一种局域网内过滤数据包的方法、装置、设备及可读介质与流程

1.本发明涉及数据包技术领域，尤其涉及一种局域网内过滤数据包的方法、装置、设备及可读介质。


背景技术：

2.多设备管理软件用于管理多种类型的存储设备，最常见的场景是安装在局域网内，对局域网内的所有存储设备进行管理。
3.为了提高管理软件的安全性，防止受到攻击，需要一种过滤数据包的方法，只处理来自存储设备的消息，而对其他网络单元发送的数据包丢弃不处理。


技术实现要素：

4.有鉴于此，本发明实施例的目的在于提出一种局域网内过滤数据包的方法、装置、设备及可读介质，通过过滤存储设备的mac地址，自动识别有效的数据包，在交互过程中进行加密，保证交互过程的安全性，同时定时更新mac地址列表，以保证数据的时效性。
5.基于上述目的，本发明实施例的一方面提供了一种局域网内过滤数据包的方法，该方法可以包括以下步骤：获取局域网内全部目标存储的mac地址，并基于所述mac地址创建mac地址列表进行保存；将网卡模式设置为混合模式，并监听所述网卡接收到的数据包；对所述数据包进行数据包格式解析，以获取所述数据包中的源mac地址；以及判断所述源mac地址是否在所述mac地址列表中，若是所述源mac地址在所述mac地址列表中，则放行所述数据包。
6.在一些实施方式中，方法还包括：定时执行所述获取局域网内全部目标存储的mac地址的步骤，并对所述mac地址列表进行更新。
7.在一些实施方式中，获取局域网内全部目标存储的mac地址包括：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收所述获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于所述响应消息收集所述目标存储设备的mac地址。
8.在一些实施方式中，通过链路层发现协议广播的方式发起获取mac地址请求包括：对所述获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对所述响应消息的信息体采用rsa非对称加密算法进行加密。
9.在一些实施方式中，收集自身mac地址并通过响应消息返回还包括：通过ip命令或ifconfig命令收集本机mac地址。
10.在一些实施方式中，方法还包括：若是所述源mac地址不在所述mac地址列表中，则将所述数据包丢弃。
11.本发明实施例的另一方面，还提供了一种局域网内过滤数据包的装置，该装置可以包括：第一模块，该第一模块配置用于获取局域网内全部目标存储的mac地址，并基于所述mac地址创建mac地址列表进行保存；第二模块，该第二模块配置用于将网卡模式设置为
混合模式，并监听所述网卡接收到的数据包；第三模块，该第三模块配置用于对所述数据包进行数据包格式解析，以获取所述数据包中的源mac地址；以及第四模块，该第四模块配置用于判断所述源mac地址是否在所述mac地址列表中，若是所述源mac地址在所述mac地址列表中，则放行所述数据包。
12.在一些实施方式中，所述第一模块进一步配置用于：定时执行所述获取局域网内全部目标存储的mac地址的步骤，并对所述mac地址列表进行更新。
13.在一些实施方式中，所述第一模块进一步配置用于：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收所述获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于所述响应消息收集所述目标存储设备的mac地址。
14.在一些实施方式中，所述第一模块进一步配置用于：对所述获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对所述响应消息的信息体采用rsa非对称加密算法进行加密。
15.在一些实施方式中，所述第一模块进一步配置用于：通过ip命令或ifconfig命令收集本机mac地址。
16.在一些实施方式中，所述第四模块进一步配置用于：若是所述源mac地址不在所述mac地址列表中，则将所述数据包丢弃。
17.本发明实施例的再一方面，还提供了一种计算机设备，包括：至少一个处理器；以及存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行时实现方法的步骤包括：获取局域网内全部目标存储的mac地址，并基于所述mac地址创建mac地址列表进行保存；将网卡模式设置为混合模式，并监听所述网卡接收到的数据包；对所述数据包进行数据包格式解析，以获取所述数据包中的源mac地址；以及判断所述源mac地址是否在所述mac地址列表中，若是所述源mac地址在所述mac地址列表中，则放行所述数据包。
18.在一些实施方式中，方法的步骤还包括：定时执行所述获取局域网内全部目标存储的mac地址的步骤，并对所述mac地址列表进行更新。
19.在一些实施方式中，获取局域网内全部目标存储的mac地址包括：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收所述获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于所述响应消息收集所述目标存储设备的mac地址。
20.在一些实施方式中，通过链路层发现协议广播的方式发起获取mac地址请求包括：对所述获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对所述响应消息的信息体采用rsa非对称加密算法进行加密。
21.在一些实施方式中，收集自身mac地址并通过响应消息返回还包括：通过ip命令或ifconfig命令收集本机mac地址。
22.在一些实施方式中，方法的步骤还包括：若是所述源mac地址不在所述mac地址列表中，则将所述数据包丢弃。
23.本发明实施例的再一方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
24.本发明至少具有以下有益技术效果：本发明通过过滤存储设备的mac地址，自动识别有效的数据包，在交互过程中进行加密，保证交互过程的安全性，同时定时更新mac地址
列表，以保证数据的时效性。本发明的技术方案至少可以用于管理多种类型的存储设备，例如安装在局域网内，对局域网内的所有存储设备进行管理。而且通过本发明的技术方案，能够提高管理软件的安全性，防止受到攻击，确保数据的安全。
附图说明
25.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。
26.图1为本发明提供的局域网内过滤数据包的方法的实施例的示意图；
27.图2为本发明提供的局域网内过滤数据包的装置的实施例的示意图；
28.图3为本发明提供的计算机设备的实施例的示意图；
29.图4为本发明提供的计算机可读存储介质的实施例的示意图。
具体实施方式
30.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
31.需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”、“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。
32.基于上述目的，本发明实施例的第一个方面，提出了局域网内过滤数据包的方法的实施例。图1示出的是本发明提供的局域网内过滤数据包的方法的实施例的示意图。如图1所示，本发明实施例的局域网内过滤数据包的方法包括如下步骤：
33.001、获取局域网内全部目标存储的mac地址，并基于mac地址创建mac地址列表进行保存；
34.002、将网卡模式设置为混合模式，并监听网卡接收到的数据包；
35.003、对数据包进行数据包格式解析，以获取数据包中的源mac地址；以及
36.004、判断源mac地址是否在mac地址列表中，若是源mac地址在mac地址列表中，则放行数据包。
37.在本实施例中，存储设备在初始上电时，是没有配置ip地址的，因此，在本发明中，基于存储设备的mac地址进行数据包的过滤。通过过滤存储设备mac地址，自动识别有效的数据包。以管理软件作为服务器端，若干存储设备作为客户端为例：服务器端通过数据链路层lldp协议广播的方式，发起收集mac地址的流程；各个客户端接收消息并响应，收集自身的mac地址，填充到相应消息中并发送出去；服务器端收集完成后，梳理出所有的识别到的mac地址并存储；监听所有网卡的所有数据包，对数据包的源mac地址进行解析，并与本地保存的mac地址列表进行比对，如果在范围内即放行，如果不在范围内，则丢弃。
38.其中，ip地址(internet protocol address)是指互联网协议地址，又译为网际协议地址，ip地址是ip协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。
39.mac地址(media access control address)，直译为媒体存取控制位址，也称为局域网地址(lan address)，mac位址，以太网地址(ethernet address)或物理地址(physical address)，它是一个用来确认网络设备位置的位址。在osi模型中，第三层网络层负责ip地址，第二层数据链路层则负责mac位址。mac地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的mac地址。
40.lldp(link layer discovery protocol)是一种数据链路层协议。网络设备可以通过在本地网络中发送lldpdu(link layer discovery protocol data unit)来通告其他设备自身的状态。lldp是一种能够使网络中的设备互相发现并通告状态、交互信息的协议。
41.在本实施例中，数据包过滤包括：获取服务器端所有网卡，将所有网卡的模式设置为混合模式，即allmulti模式；监听网卡收到的数据包，并按照数据包格式进行解析以获取数据包中的源mac地址；与收集的mac地址列表进行比较，若在范围内，则放行数据包。
42.在本实施例中，为了防止交互过程中的数据包被抓包，消息体采用rsa非对称加密算法进行加密，以保证交互过程的安全性。
43.在本发明的一些实施例中，方法还包括：定时执行获取局域网内全部目标存储的mac地址的步骤，并对mac地址列表进行更新。
44.在本实施例中，为了保证被管理的存储设备的动态增删，本发明的技术方案采用定时触发获取mac地址的过程，定时更新mac地址列表，以保证数据的时效性。
45.在本发明的一些实施例中，获取局域网内全部目标存储的mac地址包括：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于响应消息收集目标存储设备的mac地址。
46.在本实施例中，服务器定时器触发，加密消息并发送lldp广播包到局域网；客户端收到广播消息，对消息体进行解密；客户端对消息体进行分析，确认为收集mac地址的请求；客户端通过ip命令或ifconfig命令获取本机mac地址；客户端对信息进行加密，并作为消息体发送响应消息；服务器端接收到响应消息，对消息体进行解密；等待所有客户端均上报响应消息后，对获得的mac地址进行汇总并保存。
47.在本发明的一些实施例中，通过链路层发现协议广播的方式发起获取mac地址请求包括：对获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对响应消息的信息体采用rsa非对称加密算法进行加密。
48.在本实施例中，为了防止交互过程中的数据包被抓包，消息体采用rsa非对称加密算法进行加密，以保证交互过程的安全性。
49.其中，rsa公开密钥密码体制是一种使用不同的加密密钥与解密密钥，“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。在公开密钥密码体制中，加密密钥(即公开密钥)pk是公开信息，而解密密钥(即秘密密钥)sk是需要保密的。加密算法e和解密算法d也都是公开的。虽然解密密钥sk是由公开密钥pk决定的，但却不能根据pk计算出sk。
50.在本实施例中，采用lldp协议广播包形式传播，目的地址(da)指定为01-80-c2-00-00-03，这样可以局域网内交互，且可以透传交换机，但不能透传路由器；类型指定为0x88cc，即lldp协议类型；数据部分全部rsa密文，由于结果全为tlv结构，需新增tag标识messagetype，用于标识当前消息的类型。其中，messagetype的实际取值，分两种：collect_mac：mac为地址收集请求消息；collect_mac_resp为mac地址收集响应消息。
51.在本发明的一些实施例中，收集自身mac地址并通过响应消息返回包括：通过ip命令或ifconfig命令收集本机mac地址。
52.在本发明的一些实施例中，方法还包括：若是源mac地址不在mac地址列表中，则将数据包丢弃。
53.在本实施例中，获取服务器端所有网卡，将所有网卡的模式设置为混合模式，即allmulti模式；监听网卡收到的数据包，并按照数据包格式进行解析以获取数据包中的源mac地址；与收集的mac地址列表进行比较，若不在范围内，直接丢弃。
54.将网卡均设置为混合模式，以ifconfig为例的代码为：ifconfig interface_name allmulti。
55.获取到数据包以后，对数据包进行解析，按照srcmac＝datapackage+48，srcmaclen＝48的方式截取到源mac地址，进行匹配。
56.本发明的技术方案至少可以用于管理多种类型的存储设备，例如安装在局域网内，对局域网内的所有存储设备进行管理。而且通过本发明的技术方案，能够提高管理软件的安全性，防止受到攻击，确保数据的安全。
57.需要特别指出的是，上述局域网内过滤数据包的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于局域网内过滤数据包的方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在实施例之上。
58.基于上述目的，本发明实施例的第二个方面，提出了一种局域网内过滤数据包的装置。图2示出的是本发明提供的局域网内过滤数据包的装置的实施例的示意图。如图2所示，本发明实施例的局域网内过滤数据包的装置包括如下模块：第一模块011，该第一模块011配置用于获取局域网内全部目标存储的mac地址，并基于mac地址创建mac地址列表进行保存；第二模块012，该第二模块012配置用于将网卡模式设置为混合模式，并监听网卡接收到的数据包；第三模块013，该第三模块013配置用于对数据包进行数据包格式解析，以获取数据包中的源mac地址；以及第四模块014，该第四模块014配置用于判断源mac地址是否在mac地址列表中，若是源mac地址在mac地址列表中，则放行数据包。
59.在本发明的一些实施例中，第一模块011进一步配置用于：定时执行获取局域网内全部目标存储的mac地址的步骤，并对mac地址列表进行更新。
60.在本发明的一些实施例中，第一模块011进一步配置用于：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于响应消息收集目标存储设备的mac地址。
61.在本发明的一些实施例中，第一模块011进一步配置用于：对获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对响应消息的信息体采用rsa非对称加密算法进行加密。
62.在本发明的一些实施例中，第一模块011进一步配置用于：通过ip命令或ifconfig命令收集本机mac地址。
63.在本发明的一些实施例中，第四模块014进一步配置用于：若是源mac地址不在mac地址列表中，则将数据包丢弃。
64.基于上述目的，本发明实施例的第三个方面，提出了一种计算机设备。图3示出的
是本发明提供的计算机设备的实施例的示意图。如图3所示，本发明实施例的计算机设备包括如下装置：至少一个处理器021；以及存储器022，存储器022存储有可在处理器上运行的计算机指令023，指令由处理器执行时实现方法的步骤包括：获取局域网内全部目标存储的mac地址，并基于mac地址创建mac地址列表进行保存；将网卡模式设置为混合模式，并监听网卡接收到的数据包；对数据包进行数据包格式解析，以获取数据包中的源mac地址；以及判断源mac地址是否在mac地址列表中，若是源mac地址在mac地址列表中，则放行数据包。
65.在本发明的一些实施例中，方法的步骤还包括：定时执行获取局域网内全部目标存储的mac地址的步骤，并对mac地址列表进行更新。
66.在本发明的一些实施例中，获取局域网内全部目标存储的mac地址包括：通过链路层发现协议广播的方式发起获取mac地址请求；响应于由目标存储设备接收获取mac地址请求，则收集自身mac地址并通过响应消息返回；基于响应消息收集目标存储设备的mac地址。
67.在本发明的一些实施例中，通过链路层发现协议广播的方式发起获取mac地址请求包括：对获取mac地址请求的信息体采用rsa非对称加密算法进行加密；收集自身mac地址并通过响应消息返回包括：对响应消息的信息体采用rsa非对称加密算法进行加密。
68.在本发明的一些实施例中，收集自身mac地址并通过响应消息返回包括：通过ip命令或ifconfig命令收集本机mac地址。
69.在本发明的一些实施例中，方法的步骤还包括：若是源mac地址不在mac地址列表中，则将数据包丢弃。
70.本发明还提供了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示，计算机可读存储介质031存储有被处理器执行时执行如上方法的计算机程序032。
71.本发明的技术方案通过过滤存储设备的mac地址，自动识别有效的数据包，在交互过程中进行加密，保证交互过程的安全性，同时定时更新mac地址列表，以保证数据的时效性。本发明的技术方案至少可以用于管理多种类型的存储设备，例如安装在局域网内，对局域网内的所有存储设备进行管理。而且通过本发明的技术方案，能够提高管理软件的安全性，防止受到攻击，确保数据的安全。
72.最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，局域网内过滤数据包的方法的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，程序的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
73.此外，根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时，执行本发明实施例公开的方法中限定的上述功能。
74.此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
75.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬
件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
76.在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(d0l)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、d0l或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
77.以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。
78.应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
79.上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。
80.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
81.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。