[发明专利]一种寻找网络逻辑路径的方法、设备及存储介质

权利要求书

1.一种寻找网络逻辑路径的方法，其特征在于，包括如下步骤：

根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网，并确认出至少一个路径起始节点以及起始子网，其中，所述源地址为单IP地址或网段；

根据所述起始子网确认出起始子网所在的接口，并通过起始子网所在的接口确认出起始设备节点；

判断所述起始设备节点是否存在Nat策略，并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址；

对DNat转换后的目的IP地址进行路由匹配，并确认出起始设备节点的下一跳接口以及接口的属性状态；

根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备，并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止；

确定出所有网络路径中的可达网络路径，并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配，并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径；

所述确定出所有网络路径中的可达网络路径，并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配，并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径的步骤包括：

判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址，如果是，则判断该网络路径为可达网络路径；

根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备；

将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配，并根据匹配结果判断出可达访问不通路径以及可达访问全通路径；

所述将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配，并根据匹配结果判断出可达访问不通路径以及可达访问全通路径的步骤具体包括：

将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合，并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较，当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时，判断该可达访问路径为可达访问全通路径，当存在交集时，用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合，如果没有剩余五元组，则判断该可达访问路径为可达访问不通路径，且该安全策略所属的防火墙设备为阻断设备，如果均有剩余五元组，则判断该可达访问路径为可达访问全通路径，且剩余的五元组为该安全策略所属的防火墙设备的允许数据流，减去的五元组为该安全策略所属的防火墙设备的禁止数据流。

2.根据权利要求1所述的寻找网络逻辑路径的方法，其特征在于，所述根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网，并确认出至少一个路径起始节点以及起始子网，其中，所述源地址为单IP地址或网段的步骤之前还包括：

获取正在各个设备的内存中运行的配置文件并解析后，将所述配置文件转换为标准格式的文件集，其中，文件集中至少包括路由表列表、对象列表、策略列表、接口列表以及子网列表。

3.根据权利要求2所述的寻找网络逻辑路径的方法，其特征在于，所述判断所述起始设备节点是否存在Nat策略，并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址的步骤包括：

将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配；

当存在目的DNat转换时，将用户输入的目的IP地址修改为DNat转换后的目的IP地址。

4.根据权利要求3所述的寻找网络逻辑路径的方法，其特征在于，所述对DNat转换后的目的IP地址进行路由匹配，并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤具体包括：

将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配，并在匹配成功时将匹配成功的接口作为下一跳接口，并获取下一跳接口的属性状态。