本发明涉及云网络,尤其涉及一种基于vpc网络的路由风险分析方法、装置、电子设备和介质。
背景技术:
1、当前,虚拟专有云(virtual private cloud,vpc)成为云计算领域的重要分支。vpc的网络场景复杂多样,存在多种流量场景和路由类型。在不同的路由类型的流量场景中,进行流量数据转发时会依据静态路由进行转发。通常路由在进行选路时优先匹配源地址,然后再匹配目的地址,这样可能会出现路由劫持的情况。并且由于vpc路由表中的全部路由是静态路由,不会根据网络拓扑的变化进行动态学习,也就无法获取路由的完整路径,即无法确定数据流转发的预期出口,增加了路由劫持和路由环路的风险,从而导致网络连通性出现问题的可能性较高。
技术实现思路
1、有鉴于此,本发明实施例提供了一种基于vpc网络的路由风险分析方法、装置、电子设备和介质,以解决网络连通性出现问题的可能性较高的问题。
2、在本发明实施方式的预处理方面中,提供了一种基于vpc网络的路由风险分析方法,所述方法包括:
3、获取与新增路由条目对应的新增路由信息;其中,所述新增路由信息至少包括新增源网段、新增目的网段、新增路由类型以及新增标签;
4、根据预处理的vpc路由表对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果;
5、根据所述vpc路由表对所述新增路由信息进行路由环路分析,得到路由环路分析结果;
6、确定包含所述路由劫持分析结果和所述路由环路分析结果的所述新增路由条目的路由风险分析结果。
7、在本实施方式的一个实施例中,所述根据预处理的vpc路由表对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果,包括:
8、从预处理的vpc路由表中获取与所述新增源网段对应的预处理源网段;其中,所述预处理源网段包含所述新增源网段;
9、从所述vpc路由表中获取与所述预处理源网段对应的预处理目的网段;
10、根据所述vpc路由表和所述预处理目的网段,对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果。
11、在本实施方式的一个实施例中,所述根据所述vpc路由表和所述预处理目的网段,对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果,包括:
12、从所述vpc路由表中确定与所述预处理源网段以及所述预处理目的网段对应的预处理路由类型;
13、对所述新增目的网段与所述预处理目的网段之间的包含关系进行分析,得到包含关系分析结果;
14、若所述包含关系表示所述新增目的网段包含所述预处理目的网段,则判断所述新增路由类型与所述预处理路由类型是否相同,得到第一判断结果;
15、若所述第一判断结果表示所述新增路由类型与所述预处理路由类型不同,则将所述新增路由条目未出现路由劫持确定为路由劫持分析结果;
16、若所述第一判断结果表示所述新增路由类型与所述预处理路由类型相同,则将所述新增路由条目出现路由劫持确定为路由劫持分析结果。
17、在本实施方式的一个实施例中,若所述包含关系表示所述预处理目的网段包含所述新增目的网段,所述方法还包括:
18、判断所述新增路由类型与所述预处理路由类型是否相同,得到第二判断结果;
19、若所述第二判断结果表示所述新增路由类型与所述预处理路由类型相同,则确定所述新增路由条目未出现路由劫持,且所述新增路由条目无效;
20、若所述第二判断结果表示所述新增路由类型与所述预处理路由类型不同,则确定所述新增路由条目未出现路由劫持。
21、在本实施方式的一个实施例中,路由类型为nat网关类型、专线网关类型以及对等连接类型,所述根据所述vpc路由表对所述新增路由信息进行路由环路分析,得到路由环路分析结果,包括:
22、当所述新增路由类型为所述nat网关类型或所述专线网关类型时,将所述新增路由条目未出现路由环路确定为路由环路分析结果;
23、当所述新增路由类型为所述对等连接类型时,根据所述vpc路由表以及与所述新增路由条目对应的对端vpc地址,对所述新增路由信息进行路由环路分析,得到路由环路分析结果。
24、在本实施方式的一个实施例中,所述根据所述vpc路由表以及与所述新增路由条目对应的对端vpc地址,对所述新增路由信息进行路由环路分析,得到路由环路分析结果,包括:
25、获取与所述新增路由条目对应的对端vpc地址;其中,所述对端vpc地址指示的对端vpc与所述新增路由条目对应;
26、判断所述对端vpc地址是否属于所述vpc路由表内的地址,得到第三判断结果;
27、若所述第三判断结果为是,则将所述新增路由条目未出现路由环路确定为路由环路分析结果;
28、若所述第三判断结果为否,根据所述新增路由条目确定所述对端vpc的对端路由类型;
29、若所述对端路由类型为所述对等连接类型时,确定所述对端vpc对应的下一个对端vpc地址,并执行所述的判断所述对端vpc地址是否属于所述vpc路由表内的地址,得到第三判断结果的步骤;
30、若所述对端路由类型为所述nat网关类型或所述专线网关类型时,确定所述新增路由条目对应的完整路由路径,并对所述完整路由路径进行路由环路识别,得到路由环路识别结果,以及将所述路由环路识别结果确定为路由环路分析结果。
31、在本发明实施方式的第二方面中,提供了一种基于vpc网络的路由风险分析装置,所述装置包括:
32、获取单元,用于获取与新增路由条目对应的新增路由信息;其中,所述新增路由信息至少包括新增源网段、新增目的网段、新增路由类型以及新增标签;
33、第一分析单元,用于根据预处理的vpc路由表对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果;
34、第二分析单元,用于根据所述vpc路由表对所述新增路由信息进行路由环路分析,得到路由环路分析结果;
35、确定单元,用于确定包含所述路由劫持分析结果和所述路由环路分析结果的所述新增路由条目的路由风险分析结果。
36、在本实施方式的一个实施例中,所述第一分析单元根据预处理的vpc路由表对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果的方式具体为:
37、从预处理的vpc路由表中获取与所述新增源网段对应的预处理源网段;其中,所述预处理源网段包含所述新增源网段;
38、从所述vpc路由表中获取与所述预处理源网段对应的预处理目的网段;
39、根据所述vpc路由表和所述预处理目的网段,对所述新增路由信息进行路由劫持分析,得到路由劫持分析结果。
40、在本发明实施方式的第三方面中,提供了一种电子设备,包括:处理器;以及存储程序的存储器;其中,所述程序包括指令,所述指令在由所述处理器执行时使所述处理器执行预处理方面中任一项所述的方法。
41、在本发明实施方式的第四方面中,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行预处理方面中任一项所述的方法。
42、本技术实施例中提供的一个或多个技术方案,能够从新增路由条目中获取新增路由信息,并且可以基于预处理的vpc路由表对新增路由信息进行分析,得到新增路由条目的路由劫持分析结果以及路由环路分析结果,从而可以在新增路由条目之前就可以对该新增路由条目中出现的问题进行预先分析,降低了新增路由条目中路由劫持和路由环路的风险,进而降低了网络连通出现问题的可能性。