2. 专利查询
  3. 网络隔离方法、装置、设备和存储介质与流程

网络隔离方法、装置、设备和存储介质与流程

专利查询2023-9-15  112


1.本发明涉及互联网技术领域,尤其涉及一种网络隔离方法、装置、设备和存储介质。


背景技术:

2.在云计算环境中,会提供很多的服务器资源供广大用户使用。多用户(多租户)技术是一种基础技术。用户是指使用某个系统或资源的用户,多用户共享相同的系统或资源。利用多用户技术,云服务提供商可以有效的提高资源利用率,降低资源成本和系统维护成本。
3.然而,多用户技术的关键技术之一,是如何保证各用户之间的网络隔离性,保障用户使用时的安全。比如,各用户在进行网络配置、网络访问时,应该是相互独立的,不应出现诸如ip地址冲突、路由冲突等问题。


技术实现要素:

4.本发明实施例提供一种网络隔离方法、装置、设备和存储介质,实现了不同用户的网络隔离。
5.第一方面,本发明实施例提供一种网络隔离方法,应用于设定的网络设备,所述方法包括:
6.接收第一通信设备通过目标接口发送的数据报文,所述数据报文中包括真实源ip地址和真实目的ip地址,所述真实源ip地址和真实目的ip地址是真实采用的ip地址;
7.根据所述目标接口确定所述第一通信设备对应的用户标识;
8.根据与所述用户标识对应的地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换;所述网络设备为接入的通信设备配置了唯一的虚拟ip地址;
9.根据地址转换后的虚拟目的ip地址,将所述数据报文发送至与所述真实目的ip地址对应的第二通信设备。
10.第二方面,本发明实施例提供一种网络隔离装置,所述装置包括:
11.接收模块,用于接收第一通信设备通过目标接口发送的数据报文,所述数据报文中包括真实源ip地址和真实目的ip地址,所述真实源ip地址和真实目的ip地址是真实采用的ip地址;
12.确定模块,用于根据所述目标接口确定所述第一通信设备对应的用户标识;
13.转换模块,用于根据与所述用户标识对应的地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换;所述网络设备为接入的通信设备配置了唯一的虚拟ip地址;
14.发送模块,用于根据地址转换后的虚拟目的ip地址,将所述数据报文发送至与所述真实目的ip地址对应的第二通信设备。
15.第三方面,本发明实施例提供一种计算设备,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器至少可以实现如第一方面所述的网络隔离方法。
16.第四方面,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被计算设备的处理器执行时,使所述处理器至少可以实现如第一方面所述的网络隔离方法。
17.在本发明实施例提供的网络隔离方案中,应用于设定的网络设备内,首先接收第一通信设备通过目标接口发送的数据报文,其中数据报文中包括真实源ip地址和真实目的ip地址,真实源ip地址和真实目的ip地址是真实采用的ip地址。然后根据目标接口确定第一通信设备对应的用户标识,根据确定的用户标识,查找该用户标识对应的地址转换表,根据该地址转换表,对真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换,网络设备为接入的通信设备配置了唯一的虚拟ip地址,最后根据地址转换后的虚拟目的ip地址,将数据报文发送至与真实目的ip地址对应的第二通信设备。也就是说,在网络设备内,提前配置了各个用户对应的地址转换表,并且每一个真实ip地址都对应唯一的虚拟ip地址,这样即使各个用户使用了相同的真实ip地址,经过网络设备处理后,都对应唯一的虚拟ip地址,这样就可以解决用户之间的ip地址冲突和路由冲突,从而实现了不同用户之间的网络隔离。
附图说明
18.为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
19.图1为本发明实施例提供的一种网络隔离系统的组成示意图;
20.图2为本发明实施例提供的一种网络隔离方法的流程图;
21.图3为本发明实施例提供的一种网络隔离方法的应用示意图;
22.图4为本发明实施例提供的一种网络隔离方法的应用示意图;
23.图5为本发明实施例提供的一种网络隔离装置的结构示意图;
24.图6为与图5所示实施例提供的网络隔离装置对应的计算设备的结构示意图。
具体实施方式
25.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
26.另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
27.在云计算环境中,会提供很多的服务器资源供广大用户使用。多用户(多租户)技术是一种基础技术。利用多用户技术,云服务提供商可以有效的提高资源利用率,降低资源成本和系统维护成本。然而,使用这种技术,当各用户在进行网络配置、网络访问时,经常会
出现诸如ip地址冲突、路由冲突等问题,影响了用户正常使用网络以及使用时的安全性,那么如何保证各用户的网络隔离就显得十分重要。本发明实施例提供了解决方案。
28.图1为本发明实施例提供的一种网络隔离系统的组成示意图,如图1所示,该系统包括网络设备,多个通信设备以及多个目标接口。其中,网络设备为接入网络提供服务。该多个通信设备中包括下文所说的第一通信设备、第二通信设备,并且第一通信设备和第二通信设备都是通过目标接口接入网络设备。
29.网络设备可以是用于为通信设备提供访问的一种网络设备,可以选取任一种类型的网络设备进行设定。网络设备在不同应用场景中可以是不同的网络设备,可以根据需求选取相应类型的网络设备,比如需要负载均衡功能时,可以在负载均衡设备上进行设定。网络设备内保存有各用户标识对应的入向地址转换表、出向地址转换表以及路由表。
30.目标服务器位于云端,可以部署在不同地域,目标服务器对外可以提供诸如数据存储、计算、管理等服务,各个用户可以购买位于云端的目标服务器的服务,不同区域的用户可以就近访问位于云端的目标服务器所提供的服务,以获得更快的访问响应速度。本文所说的目标服务器是指云端的多个服务器中由用户设备对应的用户租用的服务器。也就是说,用户对云端服务器的使用方式是租用方式,所以这里的目标服务器是指某个用户租用的一个或多个服务器。
31.实际应用中,可能是一个用户租用位于云端的一个服务器,也可能是一个用户租用位于云端的多个服务器,云端的一个服务器也可能被多个用户租用,同时为多个用户提供服务,并且用户与服务器的租用关系会被记录下来,以便于确定各个服务器对应的租用用户。
32.在本实施例中,假设多个用户向目标服务器发送数据报文的处理过程,在该场景下,第一通信设备可以是用户设备,其可以包括若干个用户设备,比如图1中示意的用户设备1、用户设备2、

、用户设备n;第二通信设备可以是云端的目标服务器,可以包括若干云端的目标服务器,这些目标服务器部署在不同位置,比如图1中示意的目标服务器a、目标服务器b、

、目标服务器n。另一种可选地实施方式,假设目标服务器向用户发送数据报文的处理过程,在该场景下,第一通信设备也可以是若干云端的目标服务器,可以包括若干部署在不同位置的云端的目标服务器,比如图1中示意的目标服务器a、目标服务器b、

、目标服务器n;第二通信设备还可以是用户设备,可以包括若干个用户设备,比如图1中示意的用户设备1、用户设备2、

、用户设备n。也就是说,在不同的应用场景下,第一通信设备和第二通信设备可以是不同的设备,若第一设备可以是用户设备时,那么此时对应的第二设备是云端的目标服务器,同样地,若第一设备可以是云端的目标服务器,此时的第二设备为对应的用户设备。
33.目标接口可以是物理接口或逻辑接口,通过目标接口可以将第一通信设备和第二通信设备接入网络设备。每个通信设备可以配置、使用一组目标接口,但各个通信设备之间的目标接口不能重复使用,也就是说,每一组目标接口对应唯一的通信设备,通过目标接口可以确定属于哪一个通信设备。
34.在网络隔离系统架构下,对于第一通信设备和第二通信设备来说,并不能感知网络设备的内部组成和工作过程,也就是说,第一、第二通信设备仅维护自身的运行,不需要关心网络设备的运行。由于网络设备中存储有各个用户标识对应的地址转换表和路由表,
在网络设备内使用的都是虚拟ip地址,而各个通信设备使用的都是真实ip地址。并且网络设备为接入的通信设备配置了唯一地虚拟ip地址,任一虚拟ip地址对于外部的通信设备都是不可见的。
35.基于上述网络隔离系统,可以提供各种应用解决方案,比如第一通信设备向第二通信设备发送数据,通过数据报文进行数据的传输,其中数据报文中包括真实源ip地址和真实目的ip地址。当接收到第一通信设备通过目标接口发送的数据报文后,网络设备首先根据接收的数据报文对应的目标接口,确定该第一通信设备对应的用户标识。然后从存储有各个用户对应的地址转换表中查找出与该用户标识对应的入向地址转换表,之后根据该用户标识对应的入向地址转换表将数据报文中的真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换。在网络设备内,为接入的每一个通信设备都提前配置了唯一的虚拟ip地址。接着在网络设备内查找与该用户标识对应的路由表,并在与用户标识对应的路由表中确定与转换后的虚拟目的ip地址对应的下一跳通信设备,然后根据与用户标识对应的出向地址转换表,对数据报文中的虚拟目的ip地址和虚拟源ip地址进行虚拟ip地址向真实ip地址的转换,最后通过下一跳通信设备,将经过虚拟ip地址向真实ip地址的转换后的数据报文发送至与真实目的ip地址对应的第二通信设备。
36.综上,在本发明实施例提供的网络隔离系统中,网络设备可以对接收到的第一通信设备发送的数据报文中的真实ip地址转换为唯一的虚拟ip地址,然后根据转换后的虚拟目的ip地址对应的下一跳虚拟ip地址,最后将下一跳虚拟ip地址转换为真实ip地址,将数据报文发送到与真实目的ip地址对应的第二通信设备。由于网络设备提前为接入的每一个通信设备配置了唯一的虚拟ip地址,即使在传输的过程中通信设备使用相同的真实ip地址,也可以避免ip地址冲突和路由冲突等问题的出现。
37.以上对实现网络隔离所基于的网络隔离系统进行了简单介绍,下面对基于该网络隔离系统执行的网络隔离过程进行示例性说明。
38.图2为本发明实施例提供的一种网络隔离方法的流程图,该方法应用于设定的网络设备,如图2所示,该方法可以包括如下步骤:
39.201、接收第一通信设备通过目标接口发送的数据报文,数据报文中包括真实源ip地址和真实目的ip地址,真实源ip地址和真实目的ip地址是真实采用的ip地址。
40.202、根据目标接口确定第一通信设备对应的用户标识。
41.203、根据与用户标识对应的地址转换表,对真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换,网络设备为接入的通信设备配置了唯一的虚拟ip地址。
42.204、根据地址转换后的虚拟目的ip地址,将数据报文发送至与真实目的ip地址对应的第二通信设备。
43.在多用户租用云端的服务器的应用场景下都可以使用该网络隔离的方法。网络隔离的方法应用于进行特殊设定的网络设备上,可以是在负载均衡设备上实现本方案,也可以应用到有网络隔离需求的其他类型的网络设备中。也就是说,可以根据实际应用需求,在任意一种类型的网络设备上都可以进行设定。对通信设备进行网络隔离的目的,比如可以是避免在使用的的过程中出现ip地址冲突、路由冲突等问题,使各个通信设备可以正常使用网络。
44.如上文所述,在网络隔离系统中设置有多个目标接口,第一通信设备和第二通信
设备都是通过目标接口与网络设备进行连接的。每一个通信设备对应唯一的一个或一组目标接口,那么网络设备通过目标接口可以判断接收的数据报文属于那一个通信设备。在实际应用中,不同的应用场景下第一通信设备和第二通信设备是可以变换的,第一通信设备可以包括用户设备,第二通信设备可以包括云端的目标服务器,其中目标服务器是云端的多个服务器中由用户设备对应的用户租用的服务器。除此之外,可选地,第一通信设备可以包括云端的目标服务器,第二通信设备可以包括用户设备,其中目标服务器是云端的多个服务器中由用户设备对应的用户租用的服务器。
45.当第一通信设备向第二通信设备有传输需求时,先向网络设备发送数据报文,网络设备接收第一通信设备通过目标接口发送的数据报文,其中数据报文中包括真实源ip地址和真实目的ip地址,真实源ip地址和真实目的ip地址是真实采用的ip地址。
46.之后,根据目标接口确定第一通信设备对应的用户标识。由于每一个通信设备都有一组专用的接口,那么通过接收的目标接口就可以确定出该第一通信设备对应的用户标识。这样根据目标接口都可以确定出所接收的数据报文对应的用户标识。
47.本发明实施例中,并非直接根据数据报文中的真实目的ip地址,将数据报文发送至对应的第二通信设备,而是根据转换后的虚拟目的ip地址,将数据报文发送至对应的第二通信设备。
48.通过网络设备将接收到的数据报文中的真实ip地址转换为虚拟ip地址,然后根据转换后的虚拟目的ip地址进行数据报文的发送。具体地,根据与用户标识对应的地址转换表,对真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换,网络设备为接入的通信设备配置了唯一的虚拟ip地址。
49.在网络设备内保存着各个用户标识对应的地址转换表,每个用户标识都对应有两张地址转换表,用来对入向数据报文中的真实ip地址转换为虚拟ip地址的地址转换表称为入向地址转换表,用来对出向数据报文中的虚拟ip地址转换为真实ip地址的转换表称为出向地址转换表。并且,网络设备为接入的通信设备配置了唯一的虚拟ip地址,也就是说,第一通信设备发送的任一数据报文都对应于唯一的虚拟ip地址,第一通信设备发送的数据报文中的真实ip地址可以使用任意有效的真实ip地址,各个通信设备之间可以使用重复的真实ip地址。由于网络设备为接入的通信设备都配置了唯一的虚拟ip地址,即使各个通信设备使用重复的真实ip地址,也可以避免出现ip地址冲突问题。
50.当网络设备接收第一通信设备发送的数据报文后,根据目标接口确定出的第一通信设备对应的用户标识,然后根据与用户标识对应的入向地址转换表,对真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址转换。进行地址转换的目的是为了将真实ip地址转换为唯一的虚拟ip地址,即使真实ip地址是重复的,经过地址转换都会确定出唯一对应的虚拟ip地址。
51.最后,根据地址转换后的虚拟目的ip地址,将数据报文发送至与真实目的ip地址对应的第二通信设备。由于转换后的虚拟目的ip地址是唯一的ip地址,根据地址转换后的虚拟目的ip地址可以确定出唯一对应的第二通信设备。
52.可选地,根据地址转换后的虚拟目的ip地址,将数据报文发送至与真实目的ip地址对应的第二通信设备的具体过程可以为:
53.在与用户标识对应的路由表中确定与虚拟目的ip地址对应的下一跳通信设备;
54.根据与用户标识对应的出向地址转换表,对虚拟目的ip地址和虚拟源ip地址进行虚拟ip地址向真实ip地址的转换;
55.通过下一跳通信设备,将经过虚拟ip地址向真实ip地址的转换后的数据报文发送至与真实目的ip地址对应的第二通信设备。
56.在网络设备内存储有各个用户标识对应的路由表,并且不同用户标识对应的路由表被存储在不同的存储空间内。也就是说,每个用户标识对应拥有各自的路由表,各用户标识对应的路由表分别保存在单独的存储空间中,互不干扰,这样在发送数据报文时,首先根据用户标识找到此用户标识对应的路由表,然后在此路由表中查找路由,可以解决各用户之间的路由冲突的问题。由于虚拟ip地址只在网络设备内使用,对于外部的第一通信设备、第二通信设备都是不可见的,所以最终还需要根据网络设备内存储的出向地址转换表,将转换后的虚拟ip地址转换为真实ip地址。
57.综上,当网络设备接收到第一通信设备通过目标接口发送的数据报文,根据目标接口可以确定第一通信设备对应的用户标识,根据用户标识确定该第一通信设备对应的地址转换表,并根据入向地址转换表,将数据报文中的真实ip地址转换为虚拟ip地址,根据转换后的虚拟目的ip地址,在与用户标识对应的路由表内确定下一跳通信设备,之后根据用户标识对应的出向地址转换表,将数据报文中的虚拟目的ip地址和虚拟源ip地址转换为真实目的ip地址和真实源ip地址,最后根据下一跳通信设备,将经过虚拟ip地址向真实ip地址的转换后的数据报文发送至与真实目的ip地址对应的第二通信设备。由此可见,通过对接收到的数据报文中的真实ip地址进行地址转化,可以避免出现ip地址冲突。由于每个用户标识拥有各自的路由表,各用户标识对应的路由表分别保存在单独的存储空间中,互不干扰,那么通过查找各个用户标识对应的路由表,在其对应的路由表中确定下一跳ip地址,可以避免出现路由冲突。
58.为便于理解,结合图3举例来说,在图3中,假设的是针对用户设备1向租用的位于云端的目标服务器a发送数据的过程,在这个场景下,第一设备包括用户设备1,第二设备包括云端的目标服务器a,其中目标服务器是云端的多个服务器中由用户设备1对应的用户租用的的服务器。如图3中所示,当用户1有发送数据需求时,通过目标接口向网络设备发送数据报文,数据报文中包括真实源ip地址和真实目的ip地址,真实ip地址和真实目的ip地址为用户实际使用的ip地址,假设该真实源ip地址为10.1.1.100,真实目的ip地址为20.1.1.200。网络设备接收到该用户发送的数据报文后,首先根据目标接口确定该用户对应的标识,然后根据用户标识查找该用户标识对应的地址转换表,其中地址转换表包括入向地址转换表和出向地址转换表,根据入向地址转换表中的转换规则将真实ip地址转换为虚拟ip地址,其中,地址转换表中的10.1.1.100对应的虚拟ip地址为1.1.1.100,地址转换表中的20.1.1.200对应的虚拟ip地址为2.1.1.200,那么真实源ip地址转换成了1.1.1.100,真实目的ip地址转换成了2.1.1.200。根据用户标识查找该标识对应的路由表,并在此路由表中确定与转换后的虚拟目的ip地址1.1.1.200对应的下一跳通信设备,在此路由表中虚拟目的ip地址1.1.1.200对应的下一跳通信设备为网络设备a,之后根据该用户标识对应的出向地址转换表,将虚拟目的ip地址2.1.1.200转换为在该出向地址转换表中对应的真实目的ip地址20.1.1.200,将虚拟源ip地址1.1.1.100转换为在该出向地址转换表中对应的真实源ip地址10.1.1.100,通过下一跳通信设备a,将经过虚拟ip地址向真实ip
地址的转换后的数据报文发送到与真实目的ip地址对应的该用户1租用的云端的目标服务器a。
59.在上述举例中,发送的数据报文的真实源ip地址和真实目的ip和接收数据报文时的真实源、目的ip是一样的。本发明实施例提供的网络隔离方法除了上述举例中的情况适用外,还可以应用发送的数据报文的真实源ip地址和真实目的ip和接收数据报文时的真实源、目的ip是不一样的情况。即在发送数据报文前,有可能发送报文的虚拟源ip地址或虚拟目的ip地址发生变化,从而使得根据地址转换后的报文的真实源ip或目的ip也会随之变化,不再和接收数据报文时的真实源ip或目的ip一样,并且会根据变化后的虚拟ip地址查找路由。
60.除了上述举例的场景外,本发明实施例提供的网络隔离方法还可以适用于云端的目标服务器向用户设备1发送数据的场景中,以实现网络隔离。为了更好的理解,结合图4进行示例性说明。
61.如图4所示,第一设备为包括云端的目标服务器a,第二通信设备为用户设备1,其中目标服务器是云端的多个服务器中由用户设备1对应的用户租用的服务器,目标服务器可以包括用户租用的一个服务器,也可以包括用户租户的多个服务器。也就是说,一个或多个云端的服务器只服务于某一个用户,也可以为一个云端的服务器可以同时为多个用户服务。在实际应用中,云端的目标服务器a通过网络接口向网络设备发送数据报文,假设数据报文中的真实源ip地址为30.1.1.300,真实目的ip地址为40.1.1.400。网络设备接收到目标服务器a发送的数据报文后,根据预先存储的用户对服务器的租用记录,以及服务器与网络设备的通信接口之间的绑定关系,确定目标服务器a对应的用户标识。然后根据用户标识查找该用户标识对应的地址转换表,其中地址转换表包括入向地址转换表和出向地址转换表,根据入向地址转换表中的转换规则将真实ip地址转换为虚拟ip地址,其中,地址转换表中的30.1.1.300对应的虚拟ip地址为1.1.1.300,地址转换表中的40.1.1.400对应的虚拟ip地址为2.1.1.400,那么真实源ip地址转换成了1.1.1.300,真实目的ip地址转换成了2.1.1.400。根据用户标识查找该标识对应的路由表,并在此路由表中确定与转换后的虚拟目的ip地址2.1.1.400对应的下一跳通信设备,在此路由表中虚拟目的ip地址2.1.1.400对应的下一跳通信设备为网络设备a,之后根据该用户标识对应的出向地址转换表,将虚拟目的ip地址2.1.1.400转换为在该出向地址转换表中对应的真实目的ip地址40.1.1.400,将虚拟源ip地址1.1.1.300转换为在该出向地址转换表中对应的真实源ip地址30.1.1.300,通过下一跳通信设备a,将数据报文发送到与真实目的ip地址对应的用户设备1。
62.另外,上述举例中的数据报文使用的网络协议可以是ip协议、arp、ndp、ftp、icmp、icmpv6等协议。
63.以下将详细描述本发明的一个或多个实施例的网络隔离装置。本领域技术人员可以理解,这些装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
64.图5为本发明实施例提供的一种网络隔离装置的结构示意图,该装置位于网络隔离系统中的网络设备里,如图5所示,该装置包括:接收模块11、确定模块12、转换模块13、发送模块14。
65.接收模块11,用于接收第一通信设备通过目标接口发送的数据报文,数据报文中包括真实源ip地址和真实目的ip地址,真实源ip地址和真实目的ip地址是真实采用的ip地
址。
66.确定模块12,用于根据目标接口确定所述第一通信设备对应的用户标识。
67.转换模块13,用于根据与用户标识对应的地址转换表,对真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换,网络设备为接入的通信设备配置了唯一的虚拟ip地址。
68.发送模块14,用于根据地址转换后的虚拟目的ip地址,将数据报文发送至与真实目的ip地址对应的第二通信设备。
69.可选地,所述转换模块13具体用于:根据与所述用户标识对应的入向地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换。
70.可选地,所述发送模块14具体用于:在与所述用户标识对应的路由表中确定与所述虚拟目的ip地址对应的下一跳通信设备;根据与所述用户标识对应的出向地址转换表,对所述虚拟目的ip地址和虚拟源ip地址进行虚拟ip地址向真实ip地址的转换;通过所述下一跳通信设备,将经过所述虚拟ip地址向真实ip地址的转换后的数据报文发送至与所述真实目的ip地址对应的第二通信设备。
71.其中,可选地,不同用户标识对应的路由表被存储在不同的存储空间内。
72.其中,可选地,第一通信设备可以包括用户设备,第二通信设备包括云端的目标服务器,目标服务器是云端的多个服务器中由所述用户设备对应的用户租用的服务器。
73.可选地,第一通信设备可以包括云端的目标服务器,第二通信设备包括用户设备,目标服务器是云端的多个服务器中由所述用户设备对应的用户租用的服务器。
74.可选地,所述确定模块12具体用于:根据预先存储的用户对服务器的租用记录,以及服务器与所述网络设备的通信接口之间的绑定关系,确定所述第一通信设备对应的用户标识。
75.图5所示装置可以执行前述实施例中网络设备执行的步骤,详细的执行过程和技术效果参见前述实施例中的描述,在此不再赘述。
76.在一个可能的设计中,上述图5所示网络隔离装置的结构可实现为一计算设备,如图6所示,该计算设备可以包括:处理器21、存储器22、通信接口23。其中,存储器22上存储有可执行代码,当所述可执行代码被处理器21执行时,使处理器21至少可以实现如前述实施例中网络隔离方法。
77.另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被计算设备的处理器执行时,使所述处理器至少可以实现如前述实施例中提供的网络隔离方法。
78.以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
79.通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计
算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
80.最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征:
1.一种网络隔离的方法,其特征在于,应用于设定的网络设备,包括:接收第一通信设备通过目标接口发送的数据报文,所述数据报文中包括真实源ip地址和真实目的ip地址,所述真实源ip地址和真实目的ip地址是真实采用的ip地址;根据所述目标接口确定所述第一通信设备对应的用户标识;根据与所述用户标识对应的地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换;所述网络设备为接入的通信设备配置了唯一的虚拟ip地址;根据地址转换后的虚拟目的ip地址,将所述数据报文发送至与所述真实目的ip地址对应的第二通信设备。2.根据权利要求1所述的方法,其特征在于,所述根据与所述用户标识对应的地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换,包括:根据与所述用户标识对应的入向地址转换表,对所述真实源ip地址和真实目的ip地址进行真实ip地址向虚拟ip地址的转换。3.根据权利要求1所述的方法,其特征在于,所述根据地址转换后的虚拟目的ip地址,将所述数据报文发送至与所述真实目的ip地址对应的第二通信设备,包括:在与所述用户标识对应的路由表中确定与所述虚拟目的ip地址对应的下一跳通信设备;根据与所述用户标识对应的出向地址转换表,对所述虚拟目的ip地址和虚拟源ip地址进行虚拟ip地址向真实ip地址的转换;通过所述下一跳通信设备,将经过所述虚拟ip地址向真实ip地址的转换后的数据报文发送至与所述真实目的ip地址对应的第二通信设备。4.根据权利要求1所述的方法,其特征在于,不同用户标识对应的路由表被存储在不同的存储空间内。5.根据权利要求1所述的方法,其特征在于,所述第一通信设备包括用户设备,所述第二通信设备包括云端的目标服务器,所述目标服务器是云端的多个服务器中由所述用户设备对应的用户租用的服务器。6.根据权利要求1所述的方法,其特征在于,所述第一通信设备包括云端的目标服务器,所述第二通信设备包括用户设备,所述目标服务器是云端的多个服务器中由所述用户设备对应的用户租用的服务器。7.根据权利要求6所述的方法,其特征在于,所述根据所述目标接口确定所述第一通信设备对应的用户标识,包括:根据预先存储的用户对服务器的租用记录,以及服务器与所述网络设备的通信接口之间的绑定关系,确定所述第一通信设备对应的用户标识。8.一种网络隔离装置,其特征在于,包括:接收模块,用于接收第一通信设备通过目标接口发送的数据报文,所述数据报文中包括真实源ip地址和真实目的ip地址,所述真实源ip地址和真实目的ip地址是真实采用的ip地址;确定模块,用于根据所述目标接口确定所述第一通信设备对应的用户标识;转换模块,用于根据与所述用户标识对应的地址转换表,对所述真实源ip地址和真实
目的ip地址进行真实ip地址向虚拟ip地址的转换;所述网络设备为接入的通信设备配置了唯一的虚拟ip地址;发送模块,用于根据地址转换后的虚拟目的ip地址,将所述数据报文发送至与所述真实目的ip地址对应的第二通信设备。9.一种计算设备,其特征在于,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至7中任一项所述的网络隔离方法。10.一种非暂时性机器可读存储介质,其特征在于,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被计算设备的处理器执行时,使所述处理器执行如权利要求1至7中任一项所述的网络隔离方法。

技术总结
本发明提供一种网络隔离方法、装置、设备和存储介质,该方法包括:接收第一通信设备通过目标接口发送的数据报文,数据报文中包括真实源IP地址和真实目的IP地址,真实源IP地址和真实目的IP地址是真实采用的IP地址;根据目标接口确定第一通信设备对应的用户标识;根据与用户标识对应的地址转换表,对真实源IP地址和真实目的IP地址进行真实IP地址向虚拟IP地址的转换;网络设备为接入的通信设备配置了唯一的虚拟IP地址;根据地址转换后的虚拟目的IP地址,将数据报文发送至与真实目的IP地址对应的第二通信设备。在网络设备内,提前配置了各个用户对应的地址转换表,经过处理后,可以实现了不同用户之间的网络隔离。了不同用户之间的网络隔离。了不同用户之间的网络隔离。


技术研发人员:焦亮 贝少峰 孙冬冬
受保护的技术使用者:北京华耀科技有限公司
技术研发日:2021.10.12
技术公布日:2022/3/8

专利

最新回复(0)