CN110191067B - 专线网络访问控制方法、装置、设备及可读存储介质 - Google Patents
专线网络访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110191067B CN110191067B CN201910450419.XA CN201910450419A CN110191067B CN 110191067 B CN110191067 B CN 110191067B CN 201910450419 A CN201910450419 A CN 201910450419A CN 110191067 B CN110191067 B CN 110191067B
- Authority
- CN
- China
- Prior art keywords
- service
- private network
- access control
- public cloud
- private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及金融科技(Fintech)技术领域,具体公开了一种专线网络访问控制方法、装置、设备及可读存储介质,该方法包括:基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。本发明实现了金融科技企业网络业务流量处理的优化,基于业务优先级的流量处理保障了线路峰值时重要业务的通讯。
Description
技术领域
本发明涉及金融科技(Fintech)技术领域,尤其涉及一种专线网络访问控制方法、装置、设备及可读存储介质。
背景技术
随着计算机技术的发展,越来越多的计算机技术(如人工智能、区块链、云计算)被应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,金融科技中的网络数据流量也在持续剧增;目前,金融科技企业的网络互联架构中,分支机构依赖于总公司进行业务数据流量的转发,在业务数据流量急剧增加的背景下,对获取到的业务流量一并进行转发极易造成网路线路的拥堵或故障,线路峰值时无法保障重要业务的通讯。
发明内容
本发明的主要目的在于提供一种专线网络访问控制方法、装置、设备及可读存储介质,旨在解决金融科技企业的网络互联架构中,分支机构依赖总公司进行数据转发,无法在线路峰值时保障重要业务的通讯的问题。
为实现上述目的,本发明提供一种专线网络访问控制方法,应用于目标边界设备,所述目标边界设备与目标服务器通信连接,所述专线网络访问控制方法包括以下步骤:
基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
可选地,所述根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量的步骤包括:
基于预设的业务类型需求,配置访问控制列表;
根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
可选地,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量;并进入步骤:根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量。
可选地,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之前还包括:
根据预设的选择条件,确定公有云专线网络的专线接入点;
基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
可选地,所述专线接入点包括第一接入点和第二接入点,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
可选地,所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤之前还包括:
基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤包括:
调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
此外,本发明还提出一种专线网络访问控制装置,设置于目标边界设备,所述目标边界设备与目标服务器通信连接,所述专线网络访问控制装置包括:
建立模块,用于基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
第一获取模块,用于根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
定义模块,用于定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
转发模块,用于调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
可选地,所述第一获取模块包括:
配置单元,用于基于预设的业务类型需求,配置访问控制列表;
获取单元,用于根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
可选地,所述装置还包括:
第二获取模块,用于基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
过滤模块,用于根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量。
可选地,所述装置还包括:
确定模块,用于根据预设的选择条件,确定公有云专线网络的专线接入点;
接入模块,用于基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
可选地,所述专线接入点包括第一接入点和第二接入点,所述装置还包括:
切换模块,用于若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
可选地,所述装置还包括:
配置模块,用于基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述转发模块包括:
转发单元,用于调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
此外,为实现上述目的,本发明还提出一种专线网络访问控制设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的专线网络访问控制程序,所述专线网络访问控制程序被所述处理器执行时实现如上任一项所述的专线网络访问控制方法的步骤。
此外,为实现上述目的,本发明还提出一种可读存储介质,应用于计算机,所述可读存储介质上存储有专线网络访问控制程序,所述专线网络访问控制程序被处理器执行时实现如上任一项所述的专线网络访问控制方法的步骤。
本发明基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器;由此,在金融科技企业中,总公司及分支机构的目标边界设备均直接通过公有云专线网络从云端获取业务流量,且对获取到的业务流量区分优先级,再根据设定的优先级进行业务流量的转发,避免了现有技术中分支机构依赖总公司进行数据转发,无法在线路峰值时保障重要业务通讯的问题。本发明实现了企业网络互联架构中网络业务流量处理的优化,基于优先级的业务流量处理保障了线路峰值时重要业务的通讯。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的结构示意图;
图2为本发明专线网络访问控制方法第一实施例的流程示意图;
图3为图2中步骤S200的细化步骤示意图;
图4为本发明专线网络访问控制方法第二实施例的流程示意图;
图5为本发明专线网络访问控制方法第三实施例的流程示意图;
图6为本发明专线网络访问控制方法第四实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图1即可为专线网络访问控制设备的硬件运行环境的结构示意图。本发明实施例专线网络访问控制设备可以是PC,便携计算机等终端设备。
如图1所示,该专线网络访问控制设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的专线网络访问控制设备结构并不构成对专线网络访问控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及专线网络访问控制程序。其中,操作***是管理和控制专线网络访问控制设备硬件和软件资源的程序,支持专线网络访问控制程序以及其它软件或程序的运行。
在图1所示的专线网络访问控制设备中,用户接口1003主要用于与各个终端进行数据通信;网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;而处理器1001可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下操作:
基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
进一步地,处理器1001还可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下步骤:
基于预设的业务类型需求,配置访问控制列表;
根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
进一步地,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后,处理器1001还可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下步骤:
基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量。
进一步地,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之前,处理器1001还可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下步骤:
根据预设的选择条件,确定公有云专线网络的专线接入点;
基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
进一步地,所述专线接入点包括第一接入点和第二接入点,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后,处理器1001还可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下步骤:
若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
进一步地,所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤之前,处理器1001还可以用于调用存储器1005中存储的专线网络访问控制程序,并执行以下步骤:
基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤包括:
调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
基于上述的结构,提出本发明专线网络访问控制方法的各个实施例。
参照图2,图2为本发明专线网络访问控制方法第一实施例的流程示意图。
本发明实施例提供了专线网络访问控制方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例专线网络访问控制方法应用于目标边界设备,所述目标边界设备与目标服务器通信连接,本实施例目标边界设备可以是防火墙或者路由器等网络边界设备。
本实施例专线网络访问控制方法包括以下步骤:
步骤S100,基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
目前,金融科技中的网络数据流量在持续急剧增加,然而,现有的金融科技企业的网络互联架构中,分支机构依赖于总公司进行业务数据流量的转发,存在的弊端有:直接从总公司拉专线到各个分支机构会涉及庞大的专线费用,价格昂贵;分支机构之间的通讯依赖于总公司进行数据转发,所有流量会从总公司绕路,会增加专线的负载;存在单点隐患,如果总公司的网络产生了故障,将会影响到所有分支机构;在业务数据流量急剧增加的背景下,总公司对获取到的业务流量一并进行转发极易造成网路线路的拥堵或故障,线路峰值时无法保障重要业务的通讯。
本实施例目标边界设备可以是总公司的目标边界设备或分支机构的目标边界设备,即本实施例总公司及分支机构均基于其对应的目标边界设备分别从云端直接获取业务流量,避免了现有技术中直接从总公司拉专线到各个分支机构会涉及庞大的专线费用的问题,也避免了分支机构之间的通讯依赖于总公司进行数据转发,所有流量会从总公司绕路,会增加专线的负载的问题。
本实施例目标边界设备基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;具体地,BGP:Border Gateway Protocol,边界网关协议,是用来连接Internet上的独立***的路由选择协议,目标边界设备接入公有云专线网络后,与公有云网络设备建立BGP邻居,用以动态的交互路由信息。
步骤S200,根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
在本实施例中,金融科技企业(如银行)的总公司及分支机构的目标边界设备均基于已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;具体地,参照图3,图3为本实施例中步骤S200的细化步骤示意图,本实施例步骤S200具体包括如下细化步骤:
步骤210,基于预设的业务类型需求,配置访问控制列表;
步骤220,根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
针对不同的分支机构,对业务类型的需求各有差异,具体实施时可根据实际需求自行设定,根据需求设定多个业务类型后,配置ACL(Access Control List,访问控制列表)来抓取不同业务类型的业务流量,多个第一业务流量可以分别是IP电话流量,业务交易流量,普通上网流量等。
步骤S300,定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;具体地,在目标边界设备配置policy-map(路由图),一个路由图由多条策略组成,每个策略都定义了一个或多个匹配规则和对应操作,通过配置路由图对重要业务(如业务流量)设置高优先级,对不重要的业务(如上网流量)设置低优先级。
步骤S400,调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
在目标边界设备连接专线的接口的入向和出向调用所述路由图,由此,目标边界设备在进行多个第一业务流量转发时,就会依据该路由图已定义的优先级来执行转发操作,即高优先级报文优先转发处理,即达到了网络流量处理的优化,在线路峰值时保障重要业务的通讯。
本实施例基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器;由此,总公司及分支机构的目标边界设备均直接通过公有云专线网络从云端获取业务流量,且对获取到的业务流量区分优先级,再根据设定的优先级进行业务流量的转发,避免了现有技术中分支机构依赖总公司进行数据转发,无法在线路峰值时保障重要业务通讯的问题。本实施例实现了企业网络互联架构中网络业务流量处理的优化,基于优先级的业务流量处理保障了线路峰值时重要业务的通讯。
进一步地,提出本发明专线网络访问控制方法第二实施例。
参照图4,图4为本发明专线网络访问控制方法第二实施例的流程示意图,基于上述专线网络访问控制方法第一实施例,本实施例中,步骤S100,基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
步骤S510,基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
步骤S520,根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量;并进入步骤S200:根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量。
在本实施例中,在BGP进程中配置prefix-list(前缀列表)用以抓取不同的业务流量,即所述第二业务流量,第二业务流量可以包括开发网、办公网、隔离区、非职场流量,等等;前缀列表用于对路由的匹配和过滤,既能限制前缀的范围,又能限制掩码的范围;本实施例根据在BGP进程中设置的前缀列表,获取该前缀列表中包括的目标路由对应的第二业务流量。
进一步地,作为一种实施方式,随着传统金融业逐步向金融科技的转变,金融科技企业对信息安全的要求也越来越高,本实施例在通过prefix-list抓取到第二业务流量后,设置允许或者拒绝接受的路由,例如拒绝接受非职场的路由,由此,实现对第二业务流量的过滤,过滤后的第二业务流量再用于定义路由图,实现基于业务优先级的流量转发处理;本实施例实现企业网络互联架构中网络业务流量处理的优化、保障线路峰值时重要业务的通讯的同时,在路由层面提高了金融科技企业的网络安全性。
进一步地,提出本发明专线网络访问控制方法第三实施例。
参照图5,图5为本发明专线网络访问控制方法第三实施例的流程示意图,基于上述图2所示的实施例,本实施例中,步骤S100,基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之前还包括:
步骤S610,根据预设的选择条件,确定公有云专线网络的专线接入点;
步骤S620,基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
在本实施例中,将金融科技企业的总公司及分支机构的专线分别接入公有云运营商最近的接入点,本实施例所述专线接入点包括第一接入点和第二接入点,即一个目标边界设备接入其与公有云运营商最近的两个接入点,可以理解的是,一个目标边界设备部署2根专线,用以避免单点隐患的问题。
进一步地,在本实施例中,作为一种实施方式,步骤S100,基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
步骤a,若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
具体地,目标边界设备与公有云网络设备建立BGP邻居后,在连接专线的目标边界设备和公有云网络设备上配置BFD(Bidirectional forwarding detection,双向转发检测机制)检测,即启动一个BFD进程实时ping测(Ping是Windows、Unix和Linux***下的一个命令)专线对端接口的可达性,并将检测结果与BGP进程关联,当ping可达性3次失败时,立即中断该线路的BGP邻居,即若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居;再将故障专线的业务流量切换至对应目标边界设备接入的另一正常专线,即并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络,由此加快了专线链路故障切换的时间,确保专线网络访问的可靠性。
进一步地,提出本发明专线网络访问控制方法第四实施例。
参照图6,图6为本发明专线网络访问控制方法第四实施例的流程示意图,基于上述专线网络访问控制方法第一实施例,本实施例中,步骤S400,调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤之前还包括:
步骤S310,基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
进一步地,步骤S400,调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤包括:
步骤S410,调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
在本实施例中,具体地,在目标边界设备配置object group(对象组),并在对象组内关联源地址,目的地址和端口;将配置完成的object group调用并根据目标服务器的属性配置成控制访问策略,达到了依据金融科技企业内部的业务需求来控制不同分支机构、不同部门之间互访端口的安全性的效果,如实现开发网拒绝访问公网等;调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器,由此,实现专线网络的安全访问控制。
此外,本发明实施例还提出一种专线网络访问控制装置,设置于目标边界设备,所述目标边界设备与目标服务器通信连接,所述专线网络访问控制装置包括:
建立模块,用于基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
第一获取模块,用于根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
定义模块,用于定义针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
转发模块,用于调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
优选地,所述第一获取模块包括:
配置单元,用于基于预设的业务类型需求,配置访问控制列表;
获取单元,用于根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
优选地,所述装置还包括:
第二获取模块,用于基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
过滤模块,用于根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量。
优选地,所述装置还包括:
确定模块,用于根据预设的选择条件,确定公有云专线网络的专线接入点;
接入模块,用于基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
优选地,所述专线接入点包括第一接入点和第二接入点,所述装置还包括:
切换模块,用于若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
优选地,所述装置还包括:
配置模块,用于基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述转发模块包括:
转发单元,用于调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
本实施例专线网络访问控制装置各个模块运行时所实现的方法可参照本发明专线网络访问控制方法各个实施例,此处不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述存储介质上存储有专线网络访问控制程序,所述专线网络访问控制程序被处理器执行时实现如上所述的专线网络访问控制方法的步骤。
其中,在所述处理器上运行的专线网络访问控制程序被执行时所实现的方法可参照本发明专线网络访问控制方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (14)
1.一种专线网络访问控制方法,其特征在于,应用于目标边界设备,所述目标边界设备与目标服务器通信连接,所述专线网络访问控制方法包括以下步骤:
基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
配置针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
2.如权利要求1所述的专线网络访问控制方法,其特征在于,所述根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量的步骤包括:
基于预设的业务类型需求,配置访问控制列表;
根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
3.如权利要求2所述的专线网络访问控制方法,其特征在于,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量;并进入步骤:根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量。
4.如权利要求1-3任一项所述的专线网络访问控制方法,其特征在于,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之前还包括:
根据预设的选择条件,确定公有云专线网络的专线接入点;
基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
5.如权利要求4所述的专线网络访问控制方法,其特征在于,所述专线接入点包括第一接入点和第二接入点,所述基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居的步骤之后还包括:
若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
6.如权利要求1-3任一项所述的专线网络访问控制方法,其特征在于,所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤之前还包括:
基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器的步骤包括:
调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
7.一种专线网络访问控制装置,其特征在于,设置于目标边界设备,所述目标边界设备与目标服务器通信连接,所述专线网络访问控制装置包括:
建立模块,用于基于已接入的公有云专线网络,与公有云网络设备建立边界网关协议BGP邻居;
第一获取模块,用于根据已建立的BGP邻居,获取多个业务类型分别对应的多个第一业务流量;
定义模块,用于配置针对所述多个第一业务流量的路由图,所述路由图包括与所述多个业务类型分别对应的业务优先级;
转发模块,用于调用所述路由图,并基于所述业务优先级将所述多个第一业务流量分别转发至所述目标服务器。
8.如权利要求7所述的专线网络访问控制装置,其特征在于,所述第一获取模块包括:
配置单元,用于基于预设的业务类型需求,配置访问控制列表;
获取单元,用于根据已建立的BGP邻居及配置完成的访问控制列表,获取多个业务类型分别对应的多个第一业务流量。
9.如权利要求8所述的专线网络访问控制装置,其特征在于,所述装置还包括:
第二获取模块,用于基于所述BGP邻居及预置前缀列表对应的目标路由,获取所述目标路由对应的第二业务流量;
过滤模块,用于根据预设的过滤条件,对所述第二业务流量进行过滤,得到过滤后的第二业务流量,所述过滤后的第二业务流量包括所述多个业务类型分别对应的多个第一业务流量。
10.如权利要求7-9任一项所述的专线网络访问控制装置,其特征在于,所述装置还包括:
确定模块,用于根据预设的选择条件,确定公有云专线网络的专线接入点;
接入模块,用于基于所述专线接入点对应的公有云网络设备,接入所述公有云专线网络。
11.如权利要求10所述的专线网络访问控制装置,其特征在于,所述专线接入点包括第一接入点和第二接入点,所述装置还包括:
切换模块,用于若检测到所述第一接入点对应的公有云专线网络存在故障,则断开所述第一接入点对应的BGP邻居,并切换所述第一接入点对应的公有云专线网络的业务流量至所述第二接入点对应的公有云专线网络。
12.如权利要求7-9任一项所述的专线网络访问控制装置,其特征在于,所述装置还包括:
配置模块,用于基于预置的对象组及所述目标服务器的属性,配置控制访问策略;
所述转发模块包括:
转发单元,用于调用所述路由图,并根据所述业务优先级及所述控制访问策略将所述多个第一业务流量分别转发至所述目标服务器。
13.一种专线网络访问控制设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的专线网络访问控制程序,所述专线网络访问控制程序被所述处理器执行时实现如权利要求1至6中任一项所述的专线网络访问控制方法的步骤。
14.一种可读存储介质,其特征在于,应用于计算机,所述可读存储介质上存储有专线网络访问控制程序,所述专线网络访问控制程序被处理器执行时实现如权利要求1至6中任一项所述的专线网络访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910450419.XA CN110191067B (zh) | 2019-05-24 | 2019-05-24 | 专线网络访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910450419.XA CN110191067B (zh) | 2019-05-24 | 2019-05-24 | 专线网络访问控制方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110191067A CN110191067A (zh) | 2019-08-30 |
| CN110191067B true CN110191067B (zh) | 2023-04-18 |
Family
ID=67718187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910450419.XA Active CN110191067B (zh) | 2019-05-24 | 2019-05-24 | 专线网络访问控制方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110191067B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511426B (zh) * | 2019-09-16 | 2022-09-27 | ***通信集团河北有限公司 | 面向业务的流量疏导方法、装置、计算设备及存储介质 |
| CN113595901A (zh) * | 2020-04-30 | 2021-11-02 | 华为技术有限公司 | 一种基于边界网关协议的路由选择方法及装置 |
| CN113630314B (zh) * | 2020-05-09 | 2022-09-16 | 北京金山云网络技术有限公司 | 混合云专线接入网络的灾备方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014182805A1 (en) * | 2013-05-07 | 2014-11-13 | Equinix, Inc. | A direct connect virtual private interface for a one to many connection with multiple virtual private clouds |
| CN106685825A (zh) * | 2017-02-18 | 2017-05-17 | 郑州云海信息技术有限公司 | 基于云计算的云路由网络管理方法及*** |
| CN106936857A (zh) * | 2015-12-29 | 2017-07-07 | 中国电信股份有限公司 | 一种混合云的连接管理方法、sdn控制器及混合云*** |
| US9935816B1 (en) * | 2015-06-16 | 2018-04-03 | Amazon Technologies, Inc. | Border gateway protocol routing configuration |
| CN109347743A (zh) * | 2018-08-02 | 2019-02-15 | 平安科技(深圳)有限公司 | 一种专线通信方法、计算机可读存储介质和终端设备 |
| CN109525512A (zh) * | 2019-01-22 | 2019-03-26 | 新华三技术有限公司 | 一种bgp邻居的建立方法及装置 |
-
2019
- 2019-05-24 CN CN201910450419.XA patent/CN110191067B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014182805A1 (en) * | 2013-05-07 | 2014-11-13 | Equinix, Inc. | A direct connect virtual private interface for a one to many connection with multiple virtual private clouds |
| US9935816B1 (en) * | 2015-06-16 | 2018-04-03 | Amazon Technologies, Inc. | Border gateway protocol routing configuration |
| CN106936857A (zh) * | 2015-12-29 | 2017-07-07 | 中国电信股份有限公司 | 一种混合云的连接管理方法、sdn控制器及混合云*** |
| CN106685825A (zh) * | 2017-02-18 | 2017-05-17 | 郑州云海信息技术有限公司 | 基于云计算的云路由网络管理方法及*** |
| CN109347743A (zh) * | 2018-08-02 | 2019-02-15 | 平安科技(深圳)有限公司 | 一种专线通信方法、计算机可读存储介质和终端设备 |
| CN109525512A (zh) * | 2019-01-22 | 2019-03-26 | 新华三技术有限公司 | 一种bgp邻居的建立方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110191067A (zh) | 2019-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109891841B (zh) | 网络控制装置、通信***、网络控制方法、及记录介质 | |
| CN110191067B (zh) | 专线网络访问控制方法、装置、设备及可读存储介质 | |
| US8806606B2 (en) | Service aggregation in a cloud services center | |
| US10084685B2 (en) | Route reflector as a service | |
| EP3449598B1 (en) | A data driven orchestrated network with installation control using a light weight distributed controller | |
| AU2016315646A1 (en) | Distributing remote device management attributes to service nodes for service rule processing | |
| US11799946B2 (en) | Method and apparatus for cloud service management, and readable storage medium | |
| MX2008000175A (es) | Arquitectura unificada para acceso remoto a una red. | |
| CN111327531B (zh) | 基于vdc的路由配置方法、装置、设备及可读存储介质 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| WO2017143695A1 (zh) | 一种子网互通方法和装置 | |
| US11924220B2 (en) | User directory deployment based on user and group policies | |
| CN114025000B (zh) | 网络访问关系的建立方法、装置、设备及存储介质 | |
| CN113132293A (zh) | 攻击检测方法、设备及公共蜜罐*** | |
| US11290354B2 (en) | Dynamic service provisioning system and method | |
| CN111884863B (zh) | 一种用于云计算环境的vpc服务链实现方法及*** | |
| CN110995744B (zh) | 报文的传输方法、装置、软件定义网络交换机及存储介质 | |
| CN115086003B (zh) | 一种负载均衡集中管控***的网页跳转后的免登录方法 | |
| US11463404B2 (en) | Quarantined communications processing at a network edge | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| Huang et al. | A novel vCPE framework for enabling virtual network functions with multiple flow tables architecture in SDN switches | |
| CN114760246A (zh) | 一种服务引流方法、装置及介质 | |
| US11916775B1 (en) | Multi-tenant cloud native control plane system | |
| US11968269B1 (en) | Hybrid tag based virtual private network with scalable next hop convergence | |
| CN109150725A (zh) | 流量疏导方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |