一种网络设备访问控制方法及装置

暂无

一种网络设备访问控制方法及装置\n技术领域\n[0001] 本发明涉及到通信技术领域，特别涉及到一种网络设备访问控制方法及装置。\n背景技术\n[0002] 随着计算机网络的发展，计算机网络为人们提供了各方面的信息，并成为人们生活、工作以及娱乐不可缺少的因素。对于一个大企业来说，企业网络包括各种网络设备，用户通过客户端访问该企业网络中的各个网络设备时，可通过以下两种方式：一、预先登记各个网络设备的IP地址，用户访问时，直接输入该IP地址进行访问；二、通过域名访问，管理员需要预先配置一个DNS服务器，通过该DNS服务器将域名解析成对应的IP地址，再通过该IP地址访问对应的网络设备。但是采用上述两种方式具有以下缺陷：采用方式一时，需要跟踪并记录每台网络设备的IP地址变化，操作复杂，且IP地址不方便记录；采用方式二，需要额外配置一个DNS服务器，增加成本。\n发明内容\n[0003] 本发明的主要目的为提供一种网络设备访问控制方法及装置，旨在方便快捷的访问网络设备。\n[0004] 本发明提供一种网络设备访问控制方法，该方法包括：\n[0005] 网关设备接收客户端发送的DNS请求，并从所述DNS请求中获取第一域名信息；\n[0006] 所述网关设备对所述第一域名信息进行解析处理，根据预设规则得到所述第一域名信息对应的IP地址；\n[0007] 所述网关设备将所述第一域名信息对应的IP地址返回给客户端，以使得客户端通过该IP地址访问对应的网络设备。\n[0008] 优选地，所述网关设备对所述第一域名信息进行解析处理，根据预设规则得到所述第一域名信息对应的IP地址的步骤包括：\n[0009] 所述网关设备判断所述第一域名信息与所述网关设备的虚拟域名信息是否相同；\n[0010] 若所述第一域名信息与所述网关设备的虚拟域名信息相同，将所述网关设备的虚拟域名信息对应的IP地址确定为所述第一域名信息对应的IP地址。\n[0011] 优选地，所述网关设备判断所述第一域名信息与所述网关设备的虚拟域名信息是否相同的步骤之后还包括：\n[0012] 若所述第一域名信息与所述网关设备的虚拟域名信息不相同，则所述网关设备将所述第一域名信息发送给DNS服务器，以使得所述DNS服务器对所述第一域名信息进行解析；\n[0013] 若所述网关设备未接收到所述DNS服务器返回的IP地址，则在预设的域名信息与IP地址的映射表中查找到所述第一域名信息对应的IP地址。\n[0014] 优选地，所述若所述第一域名信息与所述网关设备的虚拟域名信息不相同，则所述网关设备将所述第一域名信息发送给DNS服务器，以使得所述DNS服务器对所述第一域名信息进行解析的步骤之后，该方法还包括：\n[0015] 若所述网关设备接收到所述DNS服务器返回的IP地址，则将所述DNS服务器返回的IP地址作为所述第一域名信息对应的IP地址。\n[0016] 优选地，该方法还包括：\n[0017] 所述网关设备接收网络中各网络设备发送的广播信息，所述广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息，并根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中。\n[0018] 本发明还提供一种网络设备访问控制装置，该装置包括网关设备，所述网关设备包括：\n[0019] 第一收发模块，用于接收客户端发送的DNS请求；\n[0020] 获取模块，用于从所述DNS请求中获取第一域名信息；\n[0021] 处理模块，用于对所述第一域名信息进行解析处理，根据预设规则得到所述第一域名信息对应的IP地址；\n[0022] 所述第一收发模块，还用于将所述第一域名信息对应的IP地址返回给客户端，以使得客户端通过该IP地址访问对应的网络设备。\n[0023] 优选地，所述处理模块包括：\n[0024] 第一判断单元，用于判断所述第一域名信息与所述网关设备的虚拟域名信息是否相同；\n[0025] 第一确定单元，用于在所述第一域名信息与所述网关设备的虚拟域名信息相同时，将所述网关设备的虚拟域名信息对应的IP地址确定为所述第一域名信息对应的IP地址。\n[0026] 优选地，所述处理模块还包括：\n[0027] 第一收发单元，用于在所述第一域名信息与所述网关设备的虚拟域名信息不相同时，将所述第一域名信息发送给DNS服务器，以使得所述DNS服务器对所述第一域名信息进行解析，及用于接收所述DNS服务器返回的IP地址；\n[0028] 查找单元，用于在所述第一收发单元未接收到所述DNS服务器返回的IP地址时，在预设的域名信息与IP地址的映射表中查找到所述第一域名信息对应的IP地址。\n[0029] 优选地，所述处理模块还包括：\n[0030] 第二确定单元，用于在所述第一收发单元接收到所述DNS服务器返回的IP地址时，将所述DNS服务器返回的IP地址作为所述第一域名信息对应的IP地址。\n[0031] 优选地，所述网关设备还包括第二收发模块和确定模块，其中：\n[0032] 所述第二收发模块，用于接收网络中各网络设备发送的广播信息，所述广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息；\n[0033] 所述确定模块，用于根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中。\n[0034] 采用本发明，网关设备接收客户端发送的DNS请求，并从所述DNS请求中获取第一域名信息；所述网关设备对所述第一域名信息进行解析处理，根据预设规则得到所述第一域名信息对应的IP地址；所述网关设备将所述第一域名信息对应的IP地址返回给客户端，以使得客户端通过该IP地址访问对应的网络设备；用户不需要知道网络设备的IP地址，也不需要额外增加DNS服务器，通过网关设备就可方便快捷的访问网络设备。\n附图说明\n[0035] 图1为本发明网络设备访问控制方法的第一实施例流程示意图；\n[0036] 图2为图1中步骤S20的详细流程示意图；\n[0037] 图3为本发明网络设备访问控制方法的第二实施例流程示意图；\n[0038] 图4为本发明网络设备访问控制装置的第一实施例结构示意图；\n[0039] 图5为图4中处理模块的详细结构示意图；\n[0040] 图6为本发明网络设备访问控制装置的第二实施例结构示意图。\n[0041] 本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。\n具体实施方式\n[0042] 应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。\n[0043] 参照图1，图1为本发明网络设备访问控制方法的第一实施例流程示意图，该方法包括：\n[0044] S10、网关设备接收客户端发送的DNS请求，并从该DNS请求中获取第一域名信息。\n[0045] 网关设备指网络中介于计算机网络与客户端之间的数据包转发设备，该网络设备包括但不局限于路由设备、网桥设备、防火墙设备、代理设备、AP接入设备（无线访问接入点）。\n[0046] 该网关设备连接至少一个网络设备，用户通过客户端和网关设备访问该网络设备。\n[0047] 在该步骤S10中，网关设备接收客户端发送的DNS请求，并从该DNS请求中获取第一域名信息，如获取的第一域名信息为sg.sangfor.net。\n[0048] S20、该网关设备对该第一域名信息进行解析处理，根据预设规则得到该第一域名信息对应的IP地址。\n[0049] 该网关设备对该第一域名信息进行解析处理的，根据预设规则得到对应的IP地址，在具体实施时，该步骤S20包括（如图2所示）：\n[0050] S21、该网关设备判断该第一域名信息与该网关设备的虚拟域名信息是否相同，若该第一域名信息与该网关设备的虚拟域名信息相同，则执行步骤S22，若该第一域名信息与该网关设备的虚拟域名信息不相同，则执行步骤S23。\n[0051] 在该步骤S21中，该网关设备判断该第一域名信息与该网关设备的虚拟域名信息是否相同，以确定客户端是否访问该网关设备。即在该步骤S21中，优先判断客户端的DNS请求是否为访问该网关设备，当该第一域名信息与该网关设备的虚拟域名信息相同时，说明在步骤S10中截获的DNS请求中的第一域名信息是虚拟域名。\n[0052] 该网关设备的虚拟域名信息预先设置，如可将该网关设备的虚拟域名信息设置为sg.sangfor.net，该网关设备的虚拟域名信息sg.sangfor.net对应一个IP地址。\n[0053] S22、将该网关设备的虚拟域名信息对应的IP地址确定为该第一域名信息对应的IP地址。\n[0054] 在该步骤S22中，网关设备确定客户端的DNS请求是访问该网关设备，该网关设备将该网关设备的虚拟域名信息对应的IP地址确定为该第一域名信息对应的IP地址，以使得客户端通过该网关设备的虚拟域名信息对应的IP地址访问该网关设备。\n[0055] S23、该网关设备将该第一域名信息发送给DNS服务器，以使得该DNS服务器对该第一域名信息进行解析，若该网关设备未接收到该DNS服务器返回的IP地址，则执行步骤S24，若该网关设备接收到该DNS服务器返回的IP地址，则执行步骤S25。\n[0056] 在该步骤S23中，该网关设备将该第一域名信息发送给DNS服务器，该DNS服务器对该第一域名信息进行解析，以获得该第一域名信息对应的IP地址。该DNS服务器保存有网络中常用主机的域名和对应IP地址，如保存着百度、新浪、优酷等的域名和对应的IP地址。该DNS服务器在对第一域名信息解析成功后，向该网关设备返回对应的IP地址，如该第一域名信息为baidu.com时，该DNS服务器向网关设备返回IP地址202.108.22.5。\n[0057] 在该步骤S23中，该网关设备在接收到DNS服务器返回的IP地址时，认为客户端发送过来DNS请求为访问外部的常用主机，即可认为在步骤S10截获的DNS请求中的第一域名信息为普通域名。即在该步骤S23中，在第一域名信息与该网关设备的虚拟域名信息不相同时，优先将该第一域名信息发送给DNS服务器进行解析，以获得对应的IP地址。\n[0058] S24、该网关设备在预设的域名信息与IP地址的映射表中查找到该第一域名信息对应的IP地址。\n[0059] 该网关设备预先保存了域名信息与IP地址的映射关系，如预先保存了企业网内部的各个网络设备的域名信息与IP地址的映射关系。如该第一域名信息为A.B.C.com，在该预设的域名信息与IP地址的映射表中，该域名信息A.B.C.com对应的IP地址为1.1.1.1，则在该步骤S24中查找到该第一域名信息A.B.C.com对应的IP地址为1.1.1.1。\n[0060] S25、将该DNS服务器返回的IP地址作为该第一域名信息对应的IP地址。\n[0061] 在该步骤S25中，将DNS服务器返回的IP地址作为第一域名信息对应的IP地址，如DNS服务器返回的IP地址为202.108.22.5，则将该202.108.22.5作为第一域名信息对应的IP地址。\n[0062] S30、该网关设备将该第一域名信息对应的IP地址返回给客户端，以使得客户端通过该IP地址访问对应的网络设备。\n[0063] 参照图3，图3为本发明网络设备访问控制方法的第二实施例流程示意图。\n[0064] 基于网络设备访问控制方法的第一实施例，在步骤S10之前，该方法还包括：\n[0065] S40、该网关设备接收网络中各网络设备发送的广播信息，该广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息，并根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中。\n[0066] 在该步骤S40中，该网关设备接收网络中各网络设备发送的广播信息，根据接收的广播信息更新预设的域名信息与IP地址的映射表。\n[0067] 该广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息，如包括域名信息A.B.C.com和该域名信息A.B.C.com对应的IP地址1.1.1.1，该校验信息可以为网络设备的设备标识，，该设备标识由公共机构进行数字签名，并可由公共机构查询是否为认证的设备，防止网络中其它设备或PC伪告广播报文。该网关设备根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中，若通过该校验信息确定发布该广播信息的网络设备为非认证的设备，如该设备标识为非法的，则该网关设备将该接收的广播信息丢弃，若通过该校验信息确定发布该广播信息的网络设备为合法的，则该网关设备将该接收的广播信息保存，并根据该广播信息中的网络设备的域名信息和对应的IP地址更新预设的域名信息与IP地址的映射表。\n[0068] 网络中的各网络设备可通过广播或组播的方式向网关设备发送自己的域名信息、该域名信息对应的IP地址和校验信息。\n[0069] 参照图4，图4为本发明网络设备访问控制装置的第一实施例结构示意图，该装置包括：该装置包括网关设备，该网关设备包括：第一收发模块10，与该第一收发模块10分别连接的获取模块20、处理模块30，该获取模块20与处理模块30连接，其中：\n[0070] 该第一收发模块10，用于接收客户端发送的DNS请求；\n[0071] 该获取模块20，用于从该DNS请求中获取第一域名信息；\n[0072] 该处理模块30，用于对该第一域名信息进行解析处理，根据预设规则得到该第一域名信息对应的IP地址；\n[0073] 该第一收发模块10，还用于将该第一域名信息对应的IP地址返回给客户端，以使得客户端通过该IP地址访问对应的网络设备。\n[0074] 网关设备指网络中介于计算机网络与客户端之间的数据包转发设备，该网络设备包括但不局限于路由设备、网桥设备、防火墙设备、代理设备、AP接入设备（无线访问接入点）。\n[0075] 该网关设备连接至少一个网络设备，用户通过客户端和网关设备访问该网络设备。\n[0076] 网关设备通过第一收发模块10接收客户端发送的DNS请求，该获取模块20从该DNS请求中获取第一域名信息，如获取的第一域名信息为sg.sangfor.net。\n[0077] 该处理模块30对该第一域名信息进行解析处理的，根据预设规则得到对应的IP地址，在具体实施时，该处理模块30包括（如图5所示）：第一判断单元31、与该第一判断单元31连接第一确定单元32，其中：\n[0078] 该第一判断单元31，用于判断该第一域名信息与该网关设备的虚拟域名信息是否相同；\n[0079] 该第一确定单元32，用于在该第一域名信息与该网关设备的虚拟域名信息相同时，将该网关设备的虚拟域名信息对应的IP地址确定为该第一域名信息对应的IP地址。\n[0080] 该第一判断单元31判断该第一域名信息与该网关设备的虚拟域名信息是否相同，以确定客户端是否访问该网关设备。即该网关设备优先判断客户端的DNS请求是否为访问该网关设备，当该第一域名信息与该网关设备的虚拟域名信息相同时，说明第一收发模块\n10截获的DNS请求中的第一域名信息是虚拟域名。\n[0081] 该网关设备的虚拟域名信息预先设置，如可将该网关设备的虚拟域名信息设置为sg.sangfor.net，该网关设备的虚拟域名信息sg.sangfor.net对应一个IP地址。\n[0082] 该第一确定单元32确定客户端的DNS请求是访问该网关设备，该网关设备将该网关设备的虚拟域名信息对应的IP地址确定为该第一域名信息对应的IP地址，以使得客户端通过该网关设备的虚拟域名信息对应的IP地址访问该网关设备。\n[0083] 进一步的，该处理模块30还包括与该第一判断单元31连接的第一收发单元33，与该第一收发单元33连接的查找单元34，其中：\n[0084] 该第一收发单元33，用于在该第一域名信息与该网关设备的虚拟域名信息不相同时，将该第一域名信息发送给DNS服务器，以使得该DNS服务器对该第一域名信息进行解析，及用于接收该DNS服务器返回的IP地址；\n[0085] 该查找单元34，用于在该第一收发单元未接收到该DNS服务器返回的IP地址时，在预设的域名信息与IP地址的映射表中查找到该第一域名信息对应的IP地址。\n[0086] 该第一收发单元33将该第一域名信息发送给DNS服务器，该DNS服务器对该第一域名信息进行解析，以获得该第一域名信息对应的IP地址。该DNS服务器保存有网络中常用主机的域名和对应IP地址，如保存着百度、新浪、优酷等的域名和对应的IP地址。该DNS服务器在对第一域名信息解析成功后，向该网关设备返回对应的IP地址，如该第一域名信息为baidu.com时，该DNS服务器向网关设备返回IP地址202.108.22.5。\n[0087] 在该第一收发单元33在接收到DNS服务器返回的IP地址时，认为客户端发送过来DNS请求为访问外部的常用主机，即可认为第一收发模块10截获的DNS请求中的第一域名信息为普通域名。即第一判断单元的判断结果为在第一域名信息与该网关设备的虚拟域名信息不相同时，该第一收发单元33优先将该第一域名信息发送给DNS服务器进行解析，以获得对应的IP地址。\n[0088] 该网关设备预先保存了域名信息与IP地址的映射关系，如预先保存了企业网内部的各个网络设备的域名信息与IP地址的映射关系。如该第一域名信息为A.B.C.com，在该预设的域名信息与IP地址的映射表中，该域名信息A.B.C.com对应的IP地址为1.1.1.1，则该查找单元34查找到该第一域名信息A.B.C.com对应的IP地址为1.1.1.1。\n[0089] 进一步的，该处理模块30还包括与该第一收发单元33连接的第二确定单元35，该第二确定单元35，用于在该第一收发单元33接收到该DNS服务器返回的IP地址时，将该DNS服务器返回的IP地址作为该第一域名信息对应的IP地址。该第二确定单元35将DNS服务器返回的IP地址作为第一域名信息对应的IP地址，如DNS服务器返回的IP地址为\n202.108.22.5，则将该202.108.22.5作为第一域名信息对应的IP地址。\n[0090] 参照图6，图6为本发明网络设备访问控制装置的第二实施例结构示意图。\n[0091] 基于网络设备访问控制装置的第一实施例，该装置还包括与第一收发模块10连接的第二收发模块40，以及与该第二收发模块40连接的确定模块50，其中：\n[0092] 该第二收发模块40，用于接收网络中各网络设备发送的广播信息，该广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息；\n[0093] 该确定模块50，用于根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中。\n[0094] 该第二收发模块40接收网络中各网络设备发送的广播信息，根据接收的广播信息更新预设的域名信息与IP地址的映射表。\n[0095] 该广播信息包括网络设备的域名信息、该域名信息对应的IP地址和校验信息，如包括域名信息A.B.C.com和该域名信息A.B.C.com对应的IP地址1.1.1.1，该校验信息可以为网络设备的设备标识，该设备标识由公共机构进行数字签名，并可由公共机构查询是否为认证的设备，防止网络中其它设备或PC伪告广播报文。该确定模块50根据该校验信息确定是否将接收的广播信息中网络设备的域名信息和对应的IP地址保存在预设的域名信息与IP地址的映射表中，若通过该校验信息确定发布该广播信息的网络设备为非认证的设备，如该设备标识为非法的，则该网关设备将该接收的广播信息丢弃，若通过该校验信息确定发布该广播信息的网络设备为合法的，则该网关设备将该接收的广播信息保存，并根据该广播信息中的网络设备的域名信息和对应的IP地址更新预设的域名信息与IP地址的映射表。\n[0096] 网络中的各网络设备可通过广播或组播的方式向网关设备发送自己的域名信息和该域名信息对应的IP地址和校验信息。\n[0097] 以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围。