申请/专利权人：武汉思普崚技术有限公司

申请日：2020-01-15

公开（公告）日：2020-05-22

公开（公告）号：CN110855721B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L12/741(20130101);H04L29/08(20060101);H04L29/12(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.05.22#授权;2020.03.24#实质审查的生效;2020.02.28#公开

摘要：本发明公开了一种寻找网络逻辑路径的方法、设备及存储介质，所述方法通过匹配源IP或源网段找出对应的子网进而获取多个路径起始节点和起始子网后，再找到起始设备节点，并对起始设备节点进行DNat转换情况判断，在判断有DNat情况发生时，对输入的目的地址进行转换并进行路由匹配确认出下一跳接口，然后判断下一跳接口是否为路径终点设备，如果不是则继续查找下一跳接口直至找到路径终点设备后为止，得到所有的网络路径，最后对网络路径中的可达网络路径中的防火墙设备进行安全策略匹配得到可达访问不通路径以及可达访问全通路径。本发明可快速知道数据包在全网内由起点到达终点所有的行走路线，帮助管理员以可视的手段快速的定位逻辑路径。

主权项：1.一种寻找网络逻辑路径的方法，其特征在于，包括如下步骤：根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网，并确认出至少一个路径起始节点以及起始子网，其中，所述源地址为单IP地址或网段；根据所述起始子网确认出起始子网所在的接口，并通过起始子网所在的接口确认出起始设备节点；判断所述起始设备节点是否存在Nat策略，并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址；对DNat转换后的目的IP地址进行路由匹配，并确认出起始设备节点的下一跳接口以及接口的属性状态；根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备，并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止；确定出所有网络路径中的可达网络路径，并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配，并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径；所述确定出所有网络路径中的可达网络路径，并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配，并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径的步骤包括：判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址，如果是，则判断该网络路径为可达网络路径；根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备；将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配，并根据匹配结果判断出可达访问不通路径以及可达访问全通路径；所述将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配，并根据匹配结果判断出可达访问不通路径以及可达访问全通路径的步骤具体包括：将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合，并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较，当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时，判断该可达访问路径为可达访问全通路径，当存在交集时，用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合，如果没有剩余五元组，则判断该可达访问路径为可达访问不通路径，且该安全策略所属的防火墙设备为阻断设备，如果均有剩余五元组，则判断该可达访问路径为可达访问全通路径，且剩余的五元组为该安全策略所属的防火墙设备的允许数据流，减去的五元组为该安全策略所属的防火墙设备的禁止数据流。

全文数据：

权利要求：

百度查询： 武汉思普崚技术有限公司 一种寻找网络逻辑路径的方法、设备及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD