网络路径阻断点定位方法、装置及存储介质与流程

1.本发明涉及计算机技术领域，尤其涉及一种网络路径阻断点定位方法、装置及存储介质。


背景技术：

2.为满足各安全域及子域的物理隔离和逻辑隔离，在网络组织架构内，在各安全边界无不例外的部署各类链路保护设备，如防火墙、安全阻断设备、dpi设备等，从而i网络路径上形成多级防御的安全布局。各安全边界默认阻断全量流量，安全阻断设备类型不同，阻断技术各异。但对于合规流量，可由各安全边界的安全团队按需放行。
3.但在实践中发现，即使合规流量已经被放行，还是会出现网络路径不通的情况。
4.因此，如何更准确高效地定位网络路径中阻断点，成为业界普遍考虑的一个课题。


技术实现要素：

5.本发明提供一种网络路径阻断点定位方法、装置及存储介质，用以解决现有技术中网络路径阻断点定位方法效率低下的缺陷，实现更高效准确地定位网络路径阻断点。
6.第一方面，本发明提供一种网络路径阻断点定位方法，应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法包括：
7.基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
8.向所述目的节点发送所述测试数据包；
9.捕获所述测试数据包的返回数据包；
10.根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
11.在一个实施例中，基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包括：
12.当检测到对指定流量的放行指令之后，利用所述指定流量构建测试数据包；则
13.所述网络路径阻断点定位方法还包括：
14.如果所述阻断点定位结果显示所述目的节点不是阻断点，则对所述指定流量放行；
15.如果所述阻断点定位结果显示所述目的节点为阻断点，则对所述指定流量禁行。
16.在一个实施例中，在基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包之前，还包括：
17.从服务器端接收网络路径巡检任务，所述网络路径巡检任务包括至少一个所述目的节点的地址和端口；
18.基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包
括：
19.将所述源节点的地址和端口配置所述测试数据包的源地址和源端口，利用所述目的节点的地址和端口配置所述测试数据包的目的地址和目的端口；
20.所述网络路径阻断点定位方法还包括：
21.将所述阻断点定位结果发送给所述服务器端。
22.在一个实施例中，在向所述目的节点发送所述测试数据包之前，还包括：
23.创建网络抓包过滤器，所述网络抓包过滤器设置为对所述测试数据包的返回数据包进行捕获；
24.捕获所述测试数据包的返回数据包，包括：
25.利用所述网络抓包过滤器捕获所述测试数据包的返回数据包。
26.在一个实施例中，所述网络路径阻断点定位方法还包括：
27.在构建所述测试数据包时，对所述测试数据包配置特征标记；
28.捕获所述测试数据包的返回数据包，包括：
29.根据所述特征标记识别所述测试数据包的返回数据包。
30.在一个实施例中，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，包括：
31.根据所述网络协议与阻断判断规则之间的预设对应关系，获取所述网络协议对应的阻断判断规则；
32.判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果。
33.在一个实施例中，判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果，包括：
34.若所述网络协议为tcp，而捕获到的所述返回数据包为rest应答，则根据所述阻断点定位结果确定所述目的节点为阻断点；
35.若所述网络协议为icmp，而捕获到的所述返回数据包显示端口不可达，则根据所述阻断点定位结果确定所述目的节点为阻断点。
36.第二方面，本发明提供一种网络路径阻断点定位方法，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法应用于服务器端，包括：
37.向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及所述目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
38.从至少一个所述源节点接收所述阻断点定位结果；
39.根据所述阻断点定位结果确定所述网络路径的阻断点信息。
40.在一个实施例中，在向至少一个所述源节点发送网络路径巡检任务之前，还包括：
41.获取满足所述路径放行规则的端到端流量信息；
42.在数据库中获取所述端到端流量信息所对应的网络路径；
43.对所述网路路径中各网络节点进行配置得到至少一组所述源节点和目的节点；
44.根据至少一组所述源节点和目的节点对应生成至少一个所述网络路径巡检任务。
45.第三方面，本发明提供一种网络路径巡检系统，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径巡检系统包括：
46.服务器端，向至少一个所述源节点发送网络路径巡检任务，从至少一个所述源节点接收阻断点定位结果，根据所述阻断点定位结果确定所述网络路径的阻断点信息；
47.至少一个所述源节点，根据所述网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到所述阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则。
48.在一种实施例中，还包括：
49.后台管理系统，向所述服务器端下发所述网络路径巡检任务，从所述服务器端接收所述网络路径的阻断点信息。
50.第四方面，本发明提供一种网络路径阻断点定位装置，应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位装置包括：
51.构建模块，基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
52.发送模块，向所述目的节点发送所述测试数据包；
53.捕获模块，捕获所述测试数据包的返回数据包；
54.判断模块，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
55.第五方面，本发明提供一种网络路径阻断点定位装置，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位装置应用于服务器端，包括：
56.发送模块，向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
57.接收模块，从至少一个所述源节点接收所述阻断点定位结果；
58.确定模块，根据所述阻断点定位结果确定所述网络路径的阻断点信息。
59.第六方面，本发明提供一种终端，应用于网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备；
60.所述终端包括存储器，收发机，处理器；
61.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
62.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
63.基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
64.向所述目的节点发送所述测试数据包；
65.捕获所述测试数据包的返回数据包；
66.根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
67.第七方面，本发明提供一种网络设备，包括存储器，收发机，处理器；
68.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
69.当网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，则向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
70.从至少一个所述源节点接收所述阻断点定位结果；
71.根据所述阻断点定位结果确定所述网络路径的阻断点信息。
72.第八方面，本发明提供一种电子设备，包括存储器和存储有计算机程序的存储器，所述处理器执行所述程序时实现第一方面或第二方面所述网络路径阻断点定位方法的步骤。
73.第九方面，本发明提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行第一方面或第二方面所述网络路径阻断点定位方法的步骤。
74.本发明提供的网络路径阻断点定位方法、装置及存储介质，通过网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为所述源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的目的地址和目的端口，自动向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。利用本发明技术方案，能够通过测试数据包自动定位网络路径中的可能存在的阻断点，解决了人工定位阻断点效率及准确性低下的问题。尤其是在源节点已经对合规流量放行的情况下，本发明技术方案能够准确高效定位网络路径中可能出现的阻断点。
附图说明
75.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
76.图1是本发明提供的网络路径巡检系统的结构示意图之一；
77.图2是本发明提供网络路径阻断点定位方法的流程示意图之一；
78.图3是本发明提供的网络路径巡检方法的流程示意图之一；
79.图4是本发明提供的网络路径巡检系统的结构示意图之二；
80.图5是本发明提供网络路径阻断点定位方法的流程示意图之二；
81.图6是本发明提供网络路径阻断点定位方法的流程示意图之三；
82.图7是本发明提供网络路径阻断点定位方法的流程示意图之四；
83.图8是本发明提供网络路径阻断点定位方法的流程示意图之五；
84.图9是本发明提供网络路径阻断点定位装置的结果示意图之一；
85.图10是本发明提供网络路径阻断点定位装置的结果示意图之二；
86.图11为根据本技术实施例的终端的结构示意图；
87.图12为根据本技术实施例的网络设备的结构示意图；
88.图13是本发明提供的电子设备的结构示意图。
具体实施方式
89.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
90.本发明发明人对现有技术进行分析发现，为解决安全团队已对合规流量放行的情况下，还会出现网络不通路径不通的问题，业务团队在收到安全团队的流量放行时，采用人工手段，在源端上发起至另一端的连通性测试，触发相应网络协议的流量，依据测试结果确定网络是否如期可达。若网络不可达，则需依据业务流量在网络路径的走向逐步同各安全团进行核实，排除已正常路过的安全边界，从网络路径上逐步定位，直到各团队在线配合，人工找到阻断点。
91.在实践中发现，业务团队识别和理解网络安全边界是件非常困难的事，因为这不是分内的工作，但是在一个网络规模非常庞大的组织内，各安全团队团队协作，这是非常必须的。另外，一切端到端合规流量均是业务诉求，流量是否已按需放行也需要业务团队验证。在网络“受阻”(不一定是网络问题)时，安全团队在没有实时流量触发时缺少判断手段，那么意味这需要不断进行“圆桌会议”，要求各团队都在线，逐段分析，找到阻断点。
92.因此，现有技术的上述方案不仅在定位网络路径阻断点时效率低下，而且人工连通性测试，还可能面临可行性的问题。
93.本发明发明人为此经过创造性劳动，想到在各网络节点部署与链路保护设备关联的探针主机，实现对网络路径阻断点的自动定位。具体技术原理如下：
94.1、在各网络节点配置探针主机，在探针主机上依据网络协议构建测试数据包，将测试数据包的源地址和源端口设置为待测试网络路径中当前网络节点的地址和端口，将其目的地址和目的端口设置为待测试网络路径中该节点访问的地址和端口。
95.2、根据预先配置，探针主机发送测试数据包。
96.3、通过网卡捕获发送上述两个数据包后可能收到的返回数据包。
97.4、向网卡写入上述测试数据包，以识别该测试数据包所对应的返回数据包捕获结果，根据捕获结果判断该待测网络路径的连通状态。
98.根据网络协议不同，如果测试数据包是根据tcp协议构建，则
99.若捕获到标志位为syn/ack类型的tcp数据包，则说明“网络通，服务正常”；
100.若捕获到标志位为rest类型的tcp数据包，则说明“网络通，目的节点的服务已关闭或链路保护设备阻断”，即将目的节点定位成阻断点；
101.若超过设定时间段未捕获返回数据包，则说明网络不通。
102.如果测试数据包为udp数据包，则
103.当收到返回的udp数据包时，则判定“网络通，服务正常开启”，反之则“网络通，目的节点的服务已关闭或链路保护设备阻断”，即将目的节点定位成阻断点。
104.如果测试数据包为icmp数据包，若返回状态为端口不可达，则判定“网络通，目的节点服务关闭或链路保护设备阻断”，将目的节点定位成阻断点。若返回状态为路由不可达，则判定“无路由”。
105.本发明技术方案该技术方案适用于tcp/ip网络协议栈下，在多级安全防御的组网中，智能快速定位网络路径阻断点，其方法可以包括以下步骤：
106.s1：通过明细拆分算法解析端到端合规流量，翻译成流量生成器和解码器能理解的语义，这包括：
107.1)读取网络开通申请工单，解析所述网络开通申请工单得到端到端流量信息，如：源接入系统、源节点接入点、目的映射类型、目的接入点、目的接入系统等；
108.2)通过明细拆分算法将端到端流量信息中多个组合的流量拆分成最小单位的流量组，同时翻译成流量生成器和解码器能理解的语义字段存入数据库。
109.s2：对拆分得到的流量组利用分析定位算法生成网络路径，结合该网络路径枚举出网络路径上的网络节点，包括：
110.在数据库中预先建立网络接入点、业务系统、ip资源库、流量探针节点等基础信息，通过对上述端到端合规进行查找匹配，确定端到端流量的完整网络路径，结合该网络路径枚举出网络路径上全量网络节点；
111.s3：将明细的端到端流量需求直接下发到枚举出的所有网络节点，生成真实流量，包括：
112.1)将端到端流量信息下发到相应的网络节点的流量生成器主机上，通过流量生成器主机上的流量生成程序按需生成拨测流量；
113.2)并在拨测流量中添加辅助流量捕获与分析用的不同特征值；
114.s4：依据提前设定的网络阻塞场景，设定所有预期的返回值结果进行分析和回显，最终智能判断阻断点。
115.为此，本发明提供网络路径巡检系统，参照图1所示，具体包括服务器端110和至少一个网络节点，可以将该网络节点视为服务器端110对应的客户端121、122
…
12n，在此不做具体限定。服务器端110与各客户端连接。
116.具体地，参考图2所示时序图，使用本发明的网络路径巡检系统，网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备。本发明提供的网络路径阻断点定位方法包括如下步骤：
117.步骤210：服务器端110向至少一个源节点对应的客户端12n发送网络路径巡检任务；
118.步骤220：客户端12n根据所述网络路径巡检任务构建测试数据包的源地址、源端口及目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到所述阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
119.步骤230：服务器端110从至少一个源节点对应的客户端12n接收阻断点定位结果；
120.步骤240：服务器端110根据从各客户端12n接收到的阻断点定位结果确定网络路径的阻断点信息。
121.具体地，服务器端110部署专门的处理程序执行上述网络路径巡检任务，客户端12n部署专门的处理程序执行上述网络路径巡检任务。
122.参考图3所示，源节点所对应客户端执行网络路径巡检任务的具体实施例包括如下步骤：
123.步骤310：检查任务参数：验证巡检输入参数，确认所有参数合法，对特殊参数值进行必要处理；
124.步骤320：构建icmp数据包：构造一个icmp请求数据包，将其源地址和目的地址分别伪造为网络路径巡检任务中对应值；
125.步骤330：构建tcp/udp数据包：根据网络路径巡检任务中的协议类型，构造tcp或udp数据包，将源端口和目的端口设置为网络路径巡检任务中对应值；
126.步骤340：创建网络抓包过滤器，将过滤器设置为抓取上面待发送测试数据包的返回包；
127.步骤350：打开数据包捕获；
128.步骤360：发送icmp和tcp/udp数据包：先后将步骤320和步骤330中构建的icmp数据包和tcp/udp数据包写入到网卡，进行发送；
129.步骤370：判断是否捕获到返回数据包；
130.步骤380：若捕获到返回数据包时，则判断是否为ip数据包；
131.若否则返回步骤370；
132.若是则执行步骤390：返回数据包的类型、返回状态等捕获结果进行分析，以判断当前网络路径的网络连通状态；
133.若能够判定网络连通状态，则执行步骤3100:更新网络连通状态；
134.执行步骤3120：关闭返回数据包捕获功能；
135.若不能够判定网络连通状态，则返回步骤370。
136.若未捕获到返回数据包，则执行步骤3130：判断捕获时间是否超时；
137.若超时，则判定“网络不通”，依此执行步骤3100；
138.若未超时，则执行步骤3120。
139.在本发明实施例中，参考图4所示，网络路径巡检系统包括：后台管理系统410、服务器端420和客户端430。
140.后台管理系统410，与服务器端420连接，向所述服务器端420下发所述网络路径巡检任务，从所述服务器端420接收所述网络路径的阻断点信息。
141.后台管理系统410与服务器端420可以统一同部署在同操作系统(如linux)主机上，负责接收客户端连接、获取/分发巡检任务、处理客户端巡检结果、读写数据库和缓存。
142.具体地，使用图4所示网络路径巡检系统的网络路径阻断点定位方法包括如下步骤：
143.1)当用户申请开通网络策略时，可登录后台管理系统，通过上传网络策略申请单，批量导入待开通的网络策略信息；
144.2)验证通过后，后台管理系统410将网络策略信息写入到数据库；
145.3)在后台管理系统410中，由网络管理员手动创建或由系统按照指定规则自动创建网络路径巡检任务，通过服务器端420的通信处理程序将任务路由至相关探针主机上的客户端430通信处理程序；
146.4)探针主机上的客户端430通信处理程序接收到网络路径巡检任务后，通过伪造源ip和源端口，向目的ip和目的端口发送icmp数据包和tcp/udp数据包，在数据包中添加必要的特征数据，并在发送前打开对应返回数据包的捕获接口；
147.5)在部署本系统时，将探针主机所在子网的所有业务主机流量镜像到探针主机所接入的端口，并设置子网出口网络设备，允许测试主机发送伪造该子网其它主机地址的测试数据包；
148.6)根据实时捕获到的返回数据包类型和状态，按照上述巡检流程中的判断规则进行判定，确定网络状态；
149.7)测试完毕后客户端430依据自定义的通信指令，通过安全连接，将结果数据上报到服务器端420通信处理程序；
150.8)服务器端420通信处理程序，验证结果的有效性后，将结果写入后台管理系统410对应数据库中和缓存中。
151.9)用户在后台管理系统410中，通过报表、可视化界面、实时测试页面查看巡检项目和巡检结果，可以立即执行、查看任意网络路径巡检任务，可实时在线测试指定网络的连通性。
152.下面结合图5-图8描述本发明的网络路径阻断点定位方法。
153.参照图5所示网络路径阻断点定位方法，本方法应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备。本方法的执行执行主体为源节点，具体可以对应部署在该节点的客户端处理程序。本方法具体包括如下步骤：
154.步骤510：基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
155.步骤520：向所述目的节点发送所述测试数据包；
156.步骤530：捕获所述测试数据包的返回数据包；
157.步骤540：根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
158.在本发明实施例中，网络协议包括互联网控制消息协议icmp(internet control message protocol)、传输控制协议tcp(transmission control protocol)、用户数据报协议udp(user datagram protocol)中的至少一种，在此不作具体限定。
159.网络协议的不同，则在执行步骤540时，判断所述目的节点是否为阻断点所采用的具体规则也不同。具体地，根据所述网络协议与阻断判断规则之间的预设对应关系，获取所述网络协议对应的阻断判断规则；
160.判断所述捕获结果是否满足所获取的所述阻断判断规则以得到阻断点定位规则。
161.具体地，若网络协议为tcp，则判断所述捕获结果是否满足所获取的所述阻断判断规则以得到阻断点定位结果，包括：
162.若捕获到的返回数据包为syn/ack应答，则判断“网络通，服务正常开启”，根据阻断点定位结果确定目的节点不是阻断点；
163.若捕获到的返回数据包为rest应答，则判断“网络通，服务关闭或链路保护设备阻断”，根据所述阻断点定位结果确定所述目的节点为阻断点；
164.其它情况，判定“网络不通”，此时不能定位阻断点。
165.具体地，若网络协议为udp，则判断所述捕获结果是否满足所获取的所述阻断点以得到阻断点定位结果，包括：
166.当捕获到的返回数据包为udp数据包时，则判定“网络通，服务正常开启”，根据阻断点定位结果确定目的节点不是阻断点。
167.具体地，若网络协议为icmp，则判断所述捕获结果是否满足所获取的所述阻断点以得到阻断点定位结果，包括：
168.若捕获到返回数据包显示返回状态为端口不可达，则判定“网络通，服务关闭或链路保护设备阻断”，根据所述阻断点定位结果确定所述目的节点为阻断点；
169.若捕获到的返回数据包显示返回状态为路由不可达，则判定“无路由”，无法定位阻断点。
170.这样，在阻断点定位时，不仅能定位到可能存在的阻断点，还能获取网络路径的连通状态。
171.在一次测试过程中，可以基于上述任一网络协议构建测试数据包，还可以基于上述三个网络协议分别构建测试数据包，基于构建的三个测试数据包分别定位阻断点。
172.而对于任一网络协议，若在指定时间段内未捕获所述测试数据包的返回数据包，则无法定位阻断点。
173.另外，测试数据包满足链路保护设备配置的路径放行规则，说明测试数据包为合规流量，这可以排除测试数据包本身缺陷对测试结果的影响。
174.参考图6所示，本发明实施例还提供一种网络路径阻断点定位方法，具体包括如下步骤：
175.步骤610：当检测到对指定流量的放行指令之后，利用所述指定流量构建测试数据包；
176.步骤620、630、640请分别参考上文520、530、540，不再赘述。
177.步骤650：如果阻断点定位结果显示所述目的节点为阻断点，则对所述指定流量禁行；
178.步骤660：如果阻断点定位结果显示所述目的节点不是阻断点，则对所述指定流量放行。
179.利用本发明实施例，可以自动实时地检测网络路径的网络状态，并能够定位阻断
点，效率高。
180.禁行指令可展示给用户，从而让用户排除阻断点。
181.其中，指定流量的放行指令表明该指定流量满足路径放行规则。利用指定流量构建测试数据包，可以包括如下步骤：
182.根据指定流量确定源节点和目的节点
183.利用源节点的地址和端口配置测试数据包的源地址和源端口，利用目的节点的地址和端口配置测试数据包的目的地址和目的端口。
184.在本发明另外实施例中，在基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包之前，可以从服务器端接收网络路径巡检任务，网络路径巡检任务包括至少一个目的节点的地址和端口，将所述源节点的地址和端口配置所述测试数据包的源地址和源端口，利用所述目的节点的地址和端口配置所述测试数据包的目的地址和目的端口。之后，将阻断点定位结果发送给服务器端。
185.其中，如果网络路径巡检任务包括至少两个目的节点的地址和端口，则根据源节点的地址和端口及对应的至少两个目的节点的地址和端口构建至少两个测试数据包，各测试数据包的源地址和源端口相同，但目的地址和目的端口不同，每个测试数据包用来测试整个网络路径的子路径。这样，源节点可以使用各测试数据包分别对这些子路径进行阻断点定位。
186.在本发明实施例中，可以在构建测试数据包时，对构建的测试数据包配置特征标记，该特征标记用来标记测试数据包。这样，在捕获测试数据包的返回数据包时，可以根据特征标记识别测试数据包的返回数据包。如果捕获到的返回数据包包括相同的特征标记，则说明该返回数据包时对应测试数据包的返回数据包。
187.参考图7所示本发明提供的网络路径阻断点定位方法，网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，本方法的执行主体为服务器端，本方法具体包括：
188.步骤710：向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及所述目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
189.步骤720：从至少一个所述源节点接收所述阻断点定位结果；
190.步骤730：根据阻断点定位结果确定所述网络路径的阻断点信息。
191.在本发明可选实施例中，参照图8所示，在向至少一个源节点发送网络路径巡检任务之前，还包括如下步骤：
192.步骤810：获取满足所述路径放行规则的端到端流量信息；
193.步骤820：在数据库中获取端到端流量信息所对应的网络路径；
194.步骤830：对所述网路路径中各网络节点进行配置得到至少一组所述源节点和目的节点；
195.步骤840：根据至少一组所述源节点和目的节点对应生成至少一个所述网络路径巡检任务。
196.在这种情况下，该端到端流量信息在从网络路径的一端到另一端传输时，中间可能经历至少一个网络节点，通过获取网络路径中所有网络节点的地址和端口，从而枚举出该网络路径上的所有可网络节点。通过将各网络节点进行组合得到至少一组源节点和目的节点，可以实现对网络路径的分段巡检，对每个网络节点均能够实现阻断点定位。服务器端根据网络路径中的各段阻断定位结果确定整个网络路径的阻断点信息，这可以确保本发明网络路径阻断点定位结果的全面性、准确性和高效。
197.下面对本发明提供的网络路径阻断点定位装置进行描述，下文描述的网络路径阻断点定位装置与上文描述的网络路径阻断点定位方法可相互对应参照。
198.参照图9所示，本网络路径阻断点定位装置应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备。本装置包括：
199.构建模块910，基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
200.发送模块920，向所述目的节点发送所述测试数据包；
201.捕获模块930，捕获所述测试数据包的返回数据包；
202.判断模块940，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
203.对以上各模块所执行具体功能，请参考对应方法，在此不再赘述。
204.参照图10所示，网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备。本网络路径阻断点定位装置可以包括：
205.发送模块1001，向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
206.接收模块1002，从至少一个源节点接收所述阻断点定位结果；
207.确定模块1003，根据阻断点定位结果确定所述网络路径的阻断点信息。
208.对以上各模块所执行具体功能，请参考对应方法，在此不再赘述。
209.本技术实施例涉及的终端设备，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中，终端设备的名称可能也不相同，例如在5g系统中，终端设备可以称为用户设备(user equipment，ue)。
210.本技术实施例涉及的网络设备，可以是基站，该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同，基站又可以称为接入点，或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备，或者其它名称。
211.图11为根据本技术实施例的终端的结构示意图，参照图11，本技术实施例还提供一种终端，应用于网络路径中配置为源节点的网络节点，网络路径还包括配置为目的节点的网络节点，在网络节点中部署链路保护设备。本终端可以包括：存储器1110，收发机1120
以及处理器1130；
212.存储器1110用于存储计算机程序；收发机1120，用于在处理器1130的控制下收发数据；处理器1130，用于读取存储器1110中的计算机程序并执行以下操作：
213.基于网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的地址和端口；
214.向目的节点发送测试数据包；
215.捕获测试数据包的返回数据包；
216.根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果。
217.其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1130代表的一个或多个处理器和存储器1110代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1120可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口1140还可以是能够外接内接需要设备的接口。
218.处理器1130负责管理总线架构和通常的处理，存储器1110可以存储处理器1130在执行操作时所使用的数据。
219.处理器1130通过调用存储器1110存储的计算机程序，用于按照获得的可执行指令执行本技术实施例提供的任一方法。处理器与存储器也可以物理上分开布置。
220.图12为根据本技术实施例的网络设备的结构示意图，参照图12，本技术实施例还提供一种网络设备，可以包括：存储器1210，收发机1220以及处理器1230；
221.存储器1210用于存储计算机程序；收发机1220，用于在处理器1230的控制下收发数据；处理器1230，用于读取存储器1210中的计算机程序并执行以下操作：
222.当网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在网络节点中部署链路保护设备，则向至少一个源节点发送网络路径巡检任务，使得源节点根据网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向目的节点发送测试数据包，捕获测试数据包的返回数据包，根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果，测试数据包满足链路保护设备配置的路径放行规则；
223.从至少一个源节点接收阻断点定位结果；
224.根据阻断点定位结果确定网络路径的阻断点信息。
225.其中，在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1230代表的一个或多个处理器和存储器1210代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1220可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1230负责管理总线架构和通常的处理，存储器1210可以存储处理器1230在执行操作时所使用的数据。
226.在此需要说明的是，本发明实施例提供的终端以及网络设备，能够实现上述方法
实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
227.图13示例了一种电子设备的实体结构示意图，如图13所示，该电子设备可以包括：处理器(processor)1310、通信接口(communication interface)1320、存储器(memory)1330和通信总线1340，其中，处理器1310，通信接口1320，存储器1330通过通信总线1340完成相互间的通信。处理器810可以调用存储器1330中的计算机程序，以执行网络路径阻断点定位方法的步骤，例如包括：
228.基于网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的地址和端口；
229.向目的节点发送测试数据包；
230.捕获测试数据包的返回数据包；
231.根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果。
232.或者，还包括：
233.向至少一个源节点发送网络路径巡检任务，使得源节点根据网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向目的节点发送测试数据包，捕获测试数据包的返回数据包，根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果，测试数据包满足链路保护设备配置的路径放行规则；
234.从至少一个源节点接收阻断点定位结果；
235.根据阻断点定位结果确定网络路径的阻断点信息。
236.此外，上述的存储器1330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
237.另一方面，本发明还提供一种计算机程序产品，计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，计算机程序包括程序指令，当程序指令被计算机执行时，计算机能够执行上述各方法所提供的网络路径阻断点定位方法，该方法包括：
238.基于网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的地址和端口；
239.向目的节点发送测试数据包；
240.捕获测试数据包的返回数据包；
241.根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果。
242.或者，还包括：
243.向至少一个源节点发送网络路径巡检任务，使得源节点根据网络路径巡检任务构
建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向目的节点发送测试数据包，捕获测试数据包的返回数据包，根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果，测试数据包满足链路保护设备配置的路径放行规则；
244.从至少一个源节点接收阻断点定位结果；
245.根据阻断点定位结果确定网络路径的阻断点信息。
246.另一方面，本技术实施例还提供一种处理器可读存储介质，处理器可读存储介质存储有计算机程序，计算机程序用于使处理器执行上述各实施例提供的方法，例如包括：
247.基于网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的地址和端口；
248.向目的节点发送测试数据包；
249.捕获测试数据包的返回数据包；
250.根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果。
251.或者，还包括：
252.向至少一个源节点发送网络路径巡检任务，使得源节点根据网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向目的节点发送测试数据包，捕获测试数据包的返回数据包，根据捕获结果判断目的节点是否为阻断点以得到阻断点定位结果，测试数据包满足链路保护设备配置的路径放行规则；
253.从至少一个源节点接收阻断点定位结果；
254.根据阻断点定位结果确定网络路径的阻断点信息。
255.处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
256.以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
257.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
258.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和
范围。