信息处理方法及电子设备的制造方法
【技术领域】
[0001] 本发明涉及通信领域术,尤其涉及一种信息处理方法及电子设备。
【背景技术】
[0002] 目前比较典型的多租户虚拟化环境的网络模型。每个租户可以创建多个私有子 网,位于同一个子网内部的虚拟机能够互相通信。每个租户创建并维护一个独立的虚拟路 由器,连接不同租户的子网和外部网络。
[0003] 子网内的虚拟机若有外网访问权限,则可以为该虚拟机分配外网互联网协议 (Internet Protocol,IP)地址,若虚拟机有访问内网中其他子网的权限,就为该虚拟机分 配内网IP地址。
[0004] 这样就可以利用内网IP地址直接访问其他子网,但是可能存在的问题是,内网之 间的直接访问,可能会涉及一些安全问题,故如何保证不同租户之间的子网在相互访问时 的安全性,是现有技术需要进一步解决的问题。
【发明内容】
[0005] 有鉴于此,本发明实施例期望提供一种信息处理方法及电子设备,至少部分解决 子网之间相互访问的安全性低的问题。
[0006]为达到上述目的,本发明的技术方案是这样实现的:
[0007] 本发明实施例第一方面提供一种信息处理方法,包括:
[0008] 确定数据包的目的地址是否是指定互联网协议IP地址;其中,所述指定IP地址为 第一指定路由器连接的子网内的设备的内网IP地址;
[0009] 若所述目的地址是所述指定IP地址,则确定所述目的地址的地址属性;
[0010] 确定所述数据包的源地址是否是第二指定路由器的互联网协议IP地址;其中,所 述第二指定路由器为连接内网与外网的路由器;
[0011] 当所述源地址不是所述第二指定路由器的IP地址时,根据所述目的地址的地址属 性确定是否向所述目的地址发送所述数据包。
[0012] 基于上述方案,所述方法还包括:
[0013] 当所述源地址是所述第二指定路由器的IP地址时,确定向所述目的地址发送所述 数据包。
[0014] 基于上述方案,所述当所述源地址不是所述第二指定路由器的IP地址时,根据所 述目的地址的地址属性确定是否向所述目的地址发送所述数据包,包括:
[0015] 当所述源地址不是所述第二指定路由器IP地址,且所述地址属性表明所述目的地 址为拒绝内网访问时,则确定不向所述目的地址发送所述数据包。
[0016] 基于上述方案,所述当所述源地址不是所述第二指定路由器的IP地址时,根据所 述目的地址的地址属性确定是否向所述目的地址发送所述数据包,包括:
[0017] 当所述源地址不是所述第二指定路由器IP地址,且所述地址属性表明所述目的地 址为限制内网访问时,查询所述源地址的访问权限;
[0018] 当所述源地址有访问权限时,确定向所述接收端发送所述数据包;
[0019] 当所述源地址没有访问权限时,确定不向所述接收端发送所述数据包。
[0020] 基于上述方案,所述当所述源地址不是所述第二指定路由器的IP地址时,根据所 述目的地址的地址属性确定是否向所述目的地址发送所述数据包,包括:
[0021] 当所述源地址不是所述第二指定路由器的IP地址时,且所述地址属性表明所述目 的地址为允许内网访问时,则确定向所述目的地址发送所述数据包。
[0022]本发明实施例第二方面提供一种信息处理方法,所述方法包括:
[0023]接收虚拟机的内网互联网协议IP地址的分配请求;
[0024] 响应所述分配请求,获取虚拟机的内网访问权限;
[0025] 根据所述内网访问权限,为所述虚拟机分配内网IP地址并设置地址属性;
[0026] 将所述内网IP地址和所述地址属性发送给所述虚拟机所在的子网路由器。
[0027]基于上述方案,所述方法还包括:
[0028] 响应所述分配请求,获取虚拟机的外网访问权限;
[0029] 若虚拟机有外网访问权限,则为所述虚拟机分配外网IP地址,并建立所述外网IP 地址与所述内网IP地址的映射关系。
[0030]本发明实施例第三方面提供一种电子设备,包括:
[0031] 第一存储介质,用于存储第一可执行代码;
[0032] 第一处理器,与所述第一存储介质相连,能够用于读取并执行所述第一可执行代 码,其中,当所述第一处理器执行所述第一可执行代码时,能够用于确定数据包的目的地址 是否是指定互联网协议IP地址;其中,所述指定IP地址为第一指定路由器连接的子网内的 设备的内网IP地址;若所述目的地址是所述指定IP地址,则确定所述目的地址的地址属性; 确定所述数据包的源地址是否是第二指定路由器的互联网协议IP地址;其中,所述第二指 定路由器为连接内网与外网的路由器;当所述源地址不是所述第二指定路由器的IP地址 时,根据所述目的地址的地址属性确定是否向所述目的地址发送所述数据包。
[0033]基于上述方案,所述第一处理器,还能够通过执行所述第一可执行代码,用于当所 述源地址是所述第二指定路由器的IP地址时,确定向所述目的地址发送所述数据包。
[0034]基于上述方案,所述第一处理器,还能够通过执行所述第一可执行代码,用于当所 述源地址不是所述第二指定路由器IP地址,且所述地址属性表明所述目的地址为拒绝内网 访问时,则确定不向所述目的地址发送所述数据包。
[0035]基于上述方案,所述第一处理器,能够通过执行所述第一可执行代码,具体用于当 所述源地址不是所述第二指定路由器IP地址,且所述地址属性表明所述目的地址为限制内 网访问时,查询所述源地址的访问权限;当所述源地址有访问权限时,确定向所述接收端发 送所述数据包;当所述源地址没有访问权限时,确定不向所述接收端发送所述数据包。 [0036]基于上述方案,所述第一处理器,能够通过执行所述第一可执行代码,具体用于当 所述源地址不是所述第二指定路由器的IP地址时,且所述地址属性表明所述目的地址为允 许内网访问时,则确定向所述目的地址发送所述数据包。
[0037] 本发明实施例第四方面提供一种电子设备,包括:
[0038] 第二存储介质,用于存储第二可执行代码;
[0039] 第二处理器,与所述第二存储介质相连,能够用于读取并执行所述第二可执行代 码,
[0040] 通信接口,分别与所述第二存储介质及所述第二处理单元连接;
[0041 ]其中,当所述第二处理器执行所述第二可执行代码时,能够用于控制通信接口接 收虚拟机的内网互联网协议IP地址的分配请求;响应所述分配请求,获取虚拟机的内网访 问权限;根据所述内网访问权限,为所述虚拟机分配内网IP地址并设置地址属性;并控制所 述通信单元将所述内网IP地址和所述地址属性发送给所述虚拟机所在的子网路由器。 [0042] 基于上述方案,所述第二处理器,通过执行所述第二可执行代码,还用于响应所述 分配请求,获取虚拟机的外网访问权限;若虚拟机有外网访问权限,则为所述虚拟机分配外 网IP地址,并建立所述外网IP地址与所述内网IP地址的映射关系。
[0043]本发明实施例提供的信息处理方法及电子设备,将会提取数据包的目的地址和目 的地址的地址属性,利用目的地址属性来控制子网之间的相互访问,这样可比减少子网之 间在没有经过第二指定路由器或其他安全设备的情况下,在内网直接相互访问导致的安全 性低的现象。
【附图说明】
[0044] 图1为本发明实施例提供的第一种信息处理方法的流程示意图;
[0045] 图2为本发明实施例提供的一种网络架构的结构示意图;
[0046] 图3为本发明实施例提供的第二种信息处理方法的流程示意图;
[0047]图4为本发明实施例提供的第三种信息处理方法的流程示意图;
[0048]图5为本发明实施例提供的第四种信息处理方法的流程示意图;
[0049] 图6为本发明实施例提供的第一种电子设备的结构示意图;
[0050] 图7为本发明实施例提供的第二种电子设备的结构示意图;
[0051]图8为本发明实施例提供的第三种电子设备的结构示意图。
【具体实施方式】
[0052]以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。 [0053] 实施例一:
[0054]如图1所示,本实施例提供一种信息处理方法,包括:
[0055]步骤S110:确定数据包的目的地址是否是指定互联网协议IP地址;其中,所述指定 IP地址为第一指定路由器连接的子网内的设备的内网IP地址;
[0056]步骤S120:若所述目的地址是所述指定IP地址,则确定所述目的地址的地址属性; [0057]步骤S130:确定所述数据包的源地址是否是第二指定路由器的互联网协议IP地 址;其中,所述第二指定路由器为连接内网与外网的路由器;
[0058] 步骤S140:当所述源地址不是所述第二指定路由器的IP地址时,根据所述目的地 址的地址属性确定是否向所述目的地址发送所述数据包。
[0059]本实施例所述的信息处理方法可为应用于子网路由器上的方法。在本实施例中一 个内网中可设置有多个子网,这里的子网又可以称之为私网,两个子网内的虚拟机不通过 子网路由器是不能够相互访问的。
[0060] 在本实施例中当子网路由器接收到一个数据包之后,从数据包中提取目的地址, 判断目的地址是否为发送给子网路由器本身的,若不是发给子网路由器本身,而是发送给 该子网路由器所连接的子网内部的虚拟机等设备的,则需要对访问进行访问控制。在步骤 S110中所述指定IP地址即为所述第一指定路由器连接的子网内的虚拟机等设备的IP地址。 通常所述虚拟机的IP地址可为动态或半静态分配的。在步骤S110中可以在子网络路由器中 存储有所述指定IP地址,步骤S110中可以通过查找,确定所述目的地址是否为指定IP地址。
[0061] 这个时候将执行步骤S120,确定目的地址的地址属性。这里的目