CN101594263B - 对网络通信数据包进行监控的系统 - Google Patents
对网络通信数据包进行监控的系统 Download PDFInfo
- Publication number
- CN101594263B CN101594263B CN2009100580788A CN200910058078A CN101594263B CN 101594263 B CN101594263 B CN 101594263B CN 2009100580788 A CN2009100580788 A CN 2009100580788A CN 200910058078 A CN200910058078 A CN 200910058078A CN 101594263 B CN101594263 B CN 101594263B
- Authority
- CN
- China
- Prior art keywords
- address translation
- network address
- network
- unit
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明属于信息网络系统领域中的一种对网络通信数据包进行监控的系统,由IP数据包分析单元和网络地址转换单元组成,其特征在于系统中还有网络地址转换信息发送单元和网络地址转换信息关联处理单元,其连接关系为:网络地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相连,网络地址转换信息发送单元和网络地址转换信息关联处理单元相连,网络地址转换信息关联处理单元与IP数据包分析单元相连,IP数据包分析单元与IP公共网络相连。本发明可以实现对私网内通信设备发送或接收的IP数据包的集中监控,使得一台IP数据包监控设备能够同时监控多个私网产生的IP数据包,极大的降低了IP数据包监控系统的建设成本。
Description
所属技术领域:本发明属于信息网络系统领域,具体是一种对网络通信数据包进行监控的系统。
背景技术:在网络通信的过程中,每个通信设备都需要IP(InternetProtocol,互联网协议)地址。根据IP地址分配方案,IP地址可以分为公网IP地址和私网IP地址。通信设备访问互联网一般都需要具备一个有效的公网IP地址,但是由于公网IP地址数量不是足够充分,无法保证每个通信设备都能拥有公网IP地址。为了使私网中的设备与公网中的设备之间能够正常的进行通信,需要采用网络地址转换(NAT,Network Address Translation)设备对私网中的IP地址与公网的IP地址进行相互转换,解决公网IP地址资源紧缺的问题。
为了对IP数据包进行监控,通常可以在公网或私网内部署IP数据包分析设备。当IP数据包分析设备部署在私网内时,可以对私网内通信设备发送或接收的IP数据包进行监控,但是这种分散监控的方案需要在每个私网内部都部署IP数据包监控设备,从而导致IP数据包监控系统的设备利用率低,建设成本比较贵。
当IP数据包分析设备部署在公网上时,只能对NAT转换后的IP数据包进行监控。由于私网内设备发送的IP数据包经过NAT转换后,IP数据包的源地址、源端口号会部分或全部替换成公网IP地址或其它端口号,传统的NAT设备通常只把私网IP地址和公网IP地址的这种转换对应关系保存在临时记录表中,并不把IP地址的转换对应关系向外部设备或平台传送。这种处理方式会导致处于外部网络中的设备或平台无法确定经过NAT转换的IP数据包与私网内发送该数据包的设备之间的对应关系,也就无法在公网上通过IP数据包分析设备对来自私网的IP数据包进行跟踪、监控和管理。
发明内容:
本发明的目的在于针对无法在公网上对来自私网的IP数据包进行跟踪、监控和管理问题,提供一种成本低,使用方便的对网络通信数据包进行监控的系统,可以将IP数据包分析设备部署在公网上,实现对私网内通信设备发送或接收的IP数据包的集中监控,使得一台IP数据包监控设备能够同时监控多个私网产生的IP数据包,从而最大程度的发挥IP数据包监控设备的处理能力,并极大的降低了IP数据包监控系统的建设成本。
本发明的目的是通过下述技术方案来实现的:
本发明的对网络通信数据包进行监控的系统由IP数据包分析单元和网络地址转换单元组成,其特征在于系统中还有网络地址转换信息发送单元和网络地址转换信息关联处理单元,其连接关系为:网络地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相连,网络地址转换信息发送单元和网络地址转换信息关联处理单元相连,网络地址转换信息关联处理单元与IP数据包分析单元相连,IP数据包分析单元与IP公共网络相连。
上述方案中,所述网络地址转换信息发送单元可与网络地址转换单元合并形成网络地址转换及网络地址转换信息发送单元。
上述方案中,所述网络地址转换信息关联处理单元可与IP数据包分析单元合并形成网络地址转换信息关联处理及IP数据包分析单元。
上述方案中,所述网络地址转换单元、网络地址转换信息发送单元、IP数据包分析单元、网络地址转换信息关联处理单元、网络地址转换及网络地址转换信息发送单元、网络地址转换信息关联处理及IP数据包分析单元之间的连接方式可以是直达的或多级互联形成的IP数据网,可以通过相同的或者不同的IP数据网进行连接,组网的物理链路可以是无线、光纤、5类双绞线等。
上述方案中,所述网络地址转换及网络地址转换信息发送单元由网络接口模块、IP数据包拆分与组合模块、网络地址转换规则处理模块、网络地址转换信息发送模块和设备管理模块组成,其中,网络接口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模块、网络地址转换信息发送模块和设备管理模块相连,IP数据包拆分与组合模块还与网络地址转换规则处理模块相连,网络地址转换规则处理模块还与网络地址转换信息发送模块相连。网络地址转换信息发送模块通过网络接口模块与网络地址转换信息关联处理单元进行信息的交互。
上述方案中,所述网络接口模块配备两个或两个以上的网络接口,网络接口分别用于连接IP私网和IP公共网络;网络接口模块负责处理IP通信过程中物理层和数据链路层的信号;根据不同的情况,网络接口模块可以采用不同的物理传输介质,例如无线、光纤、5类双绞线等;网络接口模块可以选择相同的物理传输介质,也可以选择不同的物理传输介质,网络接口模块负责与外部网络之间进行IP数据包的接收和传送,并把处理后获得的IP数据包传送到IP数据包拆分与组合模块。
上述方案中,所述IP数据包拆分与组合模块负责提取网络接口模块传送来的IP数据包的{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP(互联网控制消息协议)类型、ICMP ID(互联网控制消息协议标识)}等信息,并将这些信息传送给网络地址转换规则处理模块;另外IP数据包拆分与组合模块在网络地址转换规则处理模块的控制下对IP数据包中的IP源地址、IP源端口、IP目的地址、IP目的端口进行替换形成新的IP数据包,并根据IP数据包的传送方向将IP数据包从IP私网的网络接口单元向IP公共网络的网络接口单元传送,或者进行反方向的传送。
上述方案中,所述网络地址转换规则处理模块负责处理来自IP私网或IP公共网络中的IP数据包的IP源地址、IP源端口、IP目的地址、IP目的端口之间的映射关系,并控制IP数据包拆分与组合模块对IP数据包中的IP源地址、IP源端口、IP目的地址、IP目的端口进行替换;同时网络地址转换规则处理模块负责生成和管理IP数据包在网络地址转换单元中的网络地址转换记录,来自于网络地址转换信息关联处理单元的查询命令也由网络地址转换规则处理模块负责执行,并将查询结果发送到网络地址转换信息关联处理单元;网络地址转换规则处理模块的转换规则可以由其它系统或装置通过IP公共网络的网络接口单元进行配置和修改。网络地址转换规则处理模块可以根据预先设置的规则对IP数据包进行发送、阻止、重定向等控制处理。
上述方案中,网络地址转换信息发送模块将网络地址转换记录通过IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
上述方案中,设备管理模块用于对网络地址转换单元的工作参数进行配置、管理和监控,例如设置各个网络接口的网络地址,监控网络地址转换单元的内存使用情况等,当网络地址转换单元在运行过程中出现异常情况时,设备管理模块会主动通过IP公共网络的网络接口把异常信息向外部系统或装置发送;另外设备管理模块负责处理来自其它系统或装置的查询及/或配置命令,并将执行结果返回到其它系统或装置。设备管理模块可以接收来自其它系统或装置的升级命令和可执行的程序代码,并用新的可执行程序代码更新网络地址转换及网络地址转换信息发送单元内的可执行程序。
上述方案中,网络地址转换及网络地址转换信息发送单元可以通过计算机系统来实现,也可以采用多个逻辑处理单元来实现;逻辑处理单元可以是一个或多个中央处理单元(CPU,Central Process Unit)、数字信号处理器(DSP,Digital Signal Processor)或专用集成电路(ASIC,Application-Specific Integrated Circuit);网络地址转换及网络地址转换信息发送单元的各个功能模块可以通过硬件及/或软件实现。
上述方案中,网络地址转换及网络地址转换信息发送单元对网络地址转换过程中私网IP地址和公网IP地址之间的映射关系进行实时监控和记录,并将映射关系发送到网络地址转换信息关联处理单元,同时IP数据包分析单元对网络地址转换后的IP数据包进行分析处理,并把分析结果发送到网络地址转换信息关联处理单元,网络地址转换信息关联处理单元把网络地址转换及网络地址转换信息发送单元和IP数据包分析单元发送的信息进行关联,重新建立起IP私网内IP通信设备与IP数据包分析结果之间的对应关系,供其它系统使用。
上述方案中,在IP私网与IP接入网络的连接处放置网络地址转换及网络地址转换信息发送单元,在IP接入网络与IP公众网络之间放置IP数据包分析单元;然后对IP接入网络中路由设备的路由信息进行修改,将来自于网络地址转换及网络地址转换信息发送单元的IP数据包路由到IP数据包分析单元,同时如果来自于IP公共网络的IP数据包的目的地址是网络地址转换及网络地址转换信息发送单元,那么IP数据包首先被路由到IP数据包分析单元,然后再由IP数据包分析单元通过IP接入网传送到网络地址转换及网络地址转换信息发送单元;IP数据包分析单元、网络地址转换及网络地址转换信息发送单元与网络地址转换信息关联处理单元之间可以通过IP网络或其它通信方式进行信息传送。
本发明对私网内的IP通信设备向IP公共网络发送IP数据包实现跟踪、监控和管理的过程如下所述。
1)IP私网内的IP通信设备(具备私网网络地址A)发送IP数据包,并通过IP私网内部传送到达网络地址转换及网络地址转换信息发送单元(具备公共网络地址B,网络地址转换单元可以配置多个公共网络地址)。IP数据包中包括{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMP ID}等信息。
2)网络地址转换及网络地址转换信息发送单元对到达的IP数据包进行检查,根据IP数据包的不同类型,并结合预先设置好的映射规则,用公共网络地址B替换IP数据包中的IP源地址(私网网络地址A),用其它端口号替换IP数据包中的IP源端口。网络地址转换及网络地址转换信息发送单元完成对IP数据包的替换处理后,将IP数据包中替换之前的IP源地址、替换之前的IP源端口、替换后的IP源地址、替换后的IP源端口号、状态标识、替换时间戳等NAT转换信息形成一个多元组,并作为一条记录写入到NAT转换映射表中。
3)网络地址转换及网络地址转换信息发送单元将修改后的IP数据包传送到IP接入网络,同时将本次NAT转换产生的网络地址转换信息发送到网络地址转换信息关联处理单元,并记录发送是否成功的状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送次数上限仍未成功,则停止发送,记录发送状态。
4)网络地址转换信息关联处理单元将接收到的来自于网络地址转换及网络地址转换信息发送单元的NAT转换记录写入数据库供后续处理使用。网络地址信息关联处理单元也可以根据需要主动向网络地址转换及网络地址转换信息发送单元发送查询命令,获得最新的或历史的NAT转换记录。
5)网络地址转换及网络地址转换信息发送单元发送的IP数据包通过IP接入网络到达IP数据包分析单元,IP数据包分析单元对IP数据包进行拆包分析,形成一系列的分析结果,同时记录IP数据包的{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMP ID}等信息。IP数据包分析单元把对IP数据包进行分析所获得的结果、{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMP ID}、分析时间戳等信息共同形成一条分析记录写入本地数据库,同时将该条记录发送到网络地址转换信息关联处理单元,并记录发送是否成功的状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送次数上限仍未成功,则停止发送,记录发送状态。
6)网络地址转换信息关联处理单元将接收到的来自于IP数据包分析单元的IP数据包分析记录写入数据库供后续处理使用。网络地址转换信息关联处理单元也可以根据需要主动向IP数据包分析单元发送查询命令,获得最新的或历史的IP数据包分析记录。
7)网络地址转换信息关联处理单元在获得IP数据包的分析记录和NAT转换记录的情况下,网络地址转换信息关联处理单元将在IP数据分析记录中查询分析时间戳、IP源地址、IP源端口与NAT转换记录中替换时间戳、替换后的IP源地址、替换后的IP源端口号一致的记录。如果找到相匹配的NAT转换记录,网络地址转换信息关联处理单元将用NAT转换记录中替换之前的IP源地址、替换之前的IP源端口来改写IP数据包分析记录中的IP源地址、IP源端口,并形成新的IP数据包分析记录写入数据库供后续处理流程或其它系统使用。如果IP数据包的内容是ICMP类型,则查询IP数据包分析记录中分析时间戳、IP源地址与NAT转换记录中替换时间戳、替换后的IP源地址一致的记录。如果找到相匹配的NAT转换记录,网络地址转换信息关联处理单元将用NAT转换记录中替换之前的IP源地址来改写IP数据包分析记录中的IP源地址,并形成新的IP数据包分析记录写入数据库供后续处理流程或其它系统使用。通过以上处理步骤,网络地址转换信息关联处理单元就实现了对私网内IP通信设备所发送的IP数据包的跟踪、监控和管理。
本发明对IP公共网络向私网内的IP通信设备发送IP数据包的处理步骤如下所述。
1)IP公共网络中的IP通信设备发送IP数据包,通过路由后IP数据包到达IP数据包分析单元,IP数据包分析单元对IP数据包进行拆包分析,形成一系列的分析结果,同时记录IP数据包的{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMP ID}等信息。IP数据包分析单元把对IP数据包进行分析所获得的结果、{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMP ID}、分析时间戳等信息共同形成一条分析记录写入本地数据库,同时将该条记录发送到网络地址转换信息关联处理单元,并记录发送是否成功的状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送次数上限仍未成功,则停止发送,记录发送状态。
2)网络地址转换信息关联处理单元将接收到的来自于IP数据包分析单元的IP数据包分析记录写入数据库供后续处理使用。网络地址转换信息关联处理单元也可以根据需要主动向IP数据包分析单元发送查询命令,获得最新的或历史的IP数据包分析记录。
3)IP数据包分析单元将经过分析的IP数据包通过IP接入网络发送到对应的网络地址转换及网络地址转换信息发送单元。网络地址转换及网络地址转换信息发送单元查询保存在内存或数据库中的NAT转换记录或转换规则,如果IP数据包中的IP目的地址、IP目的端口号与NAT转换记录或转换规则中的替换后的IP源地址、替换后的IP源端口号一致,那么网络地址转换及网络地址转换信息发送单元则使用转换记录中对应的替换之前的IP源地址、替换之前的IP源端口来改写IP数据包中的IP目的地址、IP目的端口号,并将IP数据包中替换之前的IP目的地址、替换之前的IP目的端口、替换后的IP目的地址、替换后的IP目的端口号、状态标识、替换时间戳等NAT转换信息形成一个多元组,并作为一条记录写入到NAT转换映射表中。如果网络地址转换及网络地址转换信息发送单元无法找到符合转换条件的记录,则丢弃该IP数据包,不进行后续处理。
4)网络地址转换及网络地址转换信息发送单元完成前一步骤后将改写的IP数据包通过IP私网发送到私网内对应的IP通信设备,同时网络地址转换及网络地址转换信息发送单元将与该IP数据包相关联的NAT转换记录发送到网络地址转换信息关联处理单元,并记录发送是否成功的状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送次数上限仍未成功,则停止发送,记录发送状态。
5)网络地址转换信息关联处理单元将接收到的来自于网络地址转换及网络地址转换信息发送单元的NAT转换记录写入数据库供后续处理使用。网络地址转换信息关联处理单元也可以根据需要主动向网络地址转换及网络地址转换信息发送单元发送查询命令,获得最新的或历史的NAT转换记录。
6)网络地址转换信息关联处理单元在获得IP数据包的分析记录和NAT转换记录的情况下,网络地址转换信息关联处理单元将在IP数据分析记录中查询分析时间戳、IP目的地址、IP目的端口与NAT转换记录中替换时间戳、替换之前的IP目的地址、替换之前的IP目的端口一致的记录。如果找到相匹配的NAT转换记录,网络地址转换信息关联处理单元将用NAT转换记录中替换之后的IP目的地址、替换之后的IP目的端口来改写IP数据包分析记录中的IP目的地址、IP目的端口,并形成新的IP数据包分析记录写入数据库供后续处理流程或其它系统使用。如果IP数据包的内容是ICMP类型,则查询IP数据包分析记录中分析时间戳、IP目的地址与NAT转换记录中替换时间戳、替换之前的IP目的地址一致的记录。如果找到相匹配的NAT转换记录,网络地址转换信息关联处理单元将用NAT转换记录中替换之后的IP目的地址来改写IP数据包分析记录中的IP目的地址,并形成新的IP数据包分析记录写入数据库供后续处理流程或其它系统使用。通过以上处理步骤,网络地址转换信息关联处理单元就实现了对IP公网发送到私网内IP通信设备的IP数据包的跟踪、监控和管理。
本发明的特征和优势如下:本发明在对IP数据包实现分析的基础上,可以根据预先设置的规则对IP数据包进行发送、阻止、重定向等控制处理。预先设置的规则可以由其它系统发送给IP数据包分析单元,也可以直接在IP数据包分析单元中进行设置。
通过本发明描述的方法和设备,可以将IP数据包分析设备部署在公网上,实现对私网内通信设备发送或接收的IP数据包的集中监控,使得一台IP数据包监控设备能够同时监控多个私网产生的IP数据包,从而最大程度的发挥IP数据包监控设备的处理能力,并极大的降低了IP数据包监控系统的建设成本。
附图说明:
图1是本发明实施例一的整体构架示意图。
图2是本发明实施例一中将网络地址转换信息关联处理单元和IP数据包分析单元合并后的整体构架示意图。
图3是本发明实施例二的整体构架示意图。
图4是本发明实施例三的整体构架示意图。
图5是本发明实施例二的网络地址转换及网络地址转换信息发送单元的结构示意图。
图6是本发明实施例二的网络地址转换及网络地址转换信息发送单元的硬件架构图。
图7虚框内是本发明实施例二的网络地址转换及网络地址转换信息发送单元的网络接口模块的硬件架构图。
图8虚框内是本发明实施例二的网络地址转换及网络地址转换信息发送单元的IP数据包拆分与组合模块的硬件架构图。
图9虚框内是本发明实施例二的网络地址转换及网络地址转换信息发送单元的网络地址转换规则处理模块的硬件架构图。
图10虚框内是本发明实施例二的网络地址转换及网络地址转换信息发送单元的网络地址转换信息发送模块的硬件架构图。
图11虚框内是本发明实施例二的网络地址转换及网络地址转换信息发送单元的设备管理模块的硬件架构图。
图12是本发明实施例二的网络地址转换及网络地址转换信息发送单元的软件处理流程图。
图中,IP为互联网协议;SDRAM为静态内存;FLASH为可读写存储器;S3C4510B为嵌入式处理器;RS232为串行通信接口;RJ45为网络通信接口;RTL8305为以太网交换芯片;EEPROM24C01为可擦除只读存储器。
具体实施方式:
下面结合附图和实施例进一步详述本发明,但本发明不仅限于所述实施例。
实施例一
本例的对网络通信数据包进行监控的系统如图1所示,由IP数据包分析单元、网络地址转换单元、网络地址转换信息发送单元和网络地址转换信息关联处理单元组成,其连接关系为:网络地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相连,网络地址转换信息发送单元和网络地址转换信息关联处理单元相连,网络地址转换信息关联处理单元与IP数据包分析单元相连,IP数据包分析单元与IP公共网络相连。
本例所用的网络地址转换单元、IP数据包分析单元为已有设备。
网络地址转换信息发送单元可采用已有的单板计算机实现,运行本发明所描述的NAT转换记录发送功能。
本例所用的网络地址转换信息关联处理单元与IP数据包分析单元也可以进行合并,其系统如图2所示。
网络地址转换信息关联处理单元、网络地址转换信息关联处理及IP数据包分析单元可采用通用的计算机服务器实现,也可以采用多个逻辑处理单元来实现运行本发明所描述的NAT转换记录匹配功能。多个逻辑处理单元可以是一个或多个中央处理单元(CPU,CentralProcess Unit)、数字信号处理器(DSP,Digital Signal Processor)或专用集成电路(ASIC,Application-Specific Integrated Circuit)。网络地址转换信息关联处理单元可以同时与多个IP数据包分析设备和网络地址转换信息发送单元进行信息交互,并形成最终的IP数据包监控分析结果。
实施例二
本例的对网络通信数据包进行监控的系统如图3所示,由IP数据包分析单元、网络地址转换及网络地址转换信息发送单元和网络地址转换信息关联处理单元组成,其中的网络地址转换及网络地址转换信息发送单元为实施例一所述的网络地址转换信息发送单元和网络地址转换单元合并而成。其连接关系为:网络地址转换及网络地址转换信息发送单元分别与IP私网、IP数据包分析单元和网络地址转换信息关联处理单元相连,网络地址转换信息关联处理单元与IP数据包分析单元相连,IP数据包分析单元与IP公共网络相连。
本例所述合并了网络地址转换信息发送单元的网络地址转换及网络地址转换信息发送单元的整体构架如图5所示,其硬件构架如图6所示,由网络接口模块、IP数据包拆分与组合模块、网络地址转换规则处理模块、网络地址转换信息发送模块和设备管理模块组成,其中,网络接口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模块和设备管理模块相连,IP数据包拆分与组合模块还与网络地址转换规则处理模块相连,网络地址转换规则处理模块还与网络地址转换信息发送模块和网络地址转换信息关联处理单元相连,网络地址转换信息发送模块与网络地址转换信息关联处理单元相连。
本例所述网络接口模块如图7中的虚线框内所示,配备六个网络接口,由RTL8305以太网交换芯片、EEPROM24C01可擦除只读存储器、有源晶振、单口隔离变压器、四口隔离变压器、五个RJ45和一个RS232连接而成,其中四个网络接口用于连接IP私网,一个网络接口用于连接IP公共网络,一个网络接口用于连接本地管理;网络接口模块负责处理IP通信过程中物理层和数据链路层的信号;根据不同的情况,网络接口模块可以采用不同的物理传输介质,例如无线、光纤、5类双绞线等;网络接口模块可以选择相同的物理传输介质,也可以选择不同的物理传输介质,网络接口模块负责与外部网络之间进行IP数据包的接收和传送,并把处理后获得的IP数据包传送到IP数据包拆分与组合模块。
本例所述IP数据包拆分与组合模块如图8中的虚线框内所示,由S3C4510B嵌入式处理器、RTL8305以太网交换芯片组成,负责提取网络接口模块传送来的IP数据包的{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP(互联网控制消息协议)类型、ICMP ID(互联网控制消息协议标识)}等信息,并将这些信息传送给网络地址转换规则处理模块;另外IP数据包拆分与组合模块在网络地址转换规则处理模块的控制下对IP数据包中的IP源地址、IP源端口、IP目的地址、IP目的端口进行替换形成新的IP数据包,并根据IP数据包的传送方向将IP数据包从IP私网的网络接口单元向IP公共网络的网络接口单元传送,或者进行反方向的传送。
本例所述网络地址转换规则处理模块如图9中的虚线框内所示,由S3C4510B嵌入式处理器、SDRAM静态内存、FLASH可读写存储器、有源晶振组成,负责处理来自IP私网或IP公共网络中的IP数据包的IP源地址、IP源端口、IP目的地址、IP目的端口之间的映射关系,并控制IP数据包拆分与组合模块对IP数据包中的IP源地址、IP源端口、IP目的地址、IP目的端口进行替换;同时网络地址转换规则处理模块负责生成和管理IP数据包在网络地址转换及网络地址转换信息发送单元中的NAT转换记录,来自于网络地址转换信息关联处理单元的查询命令也由网络地址转换规则处理模块负责执行,并将查询结果发送到网络地址转换信息关联处理单元;网络地址转换规则处理模块的转换规则可以由其它系统或装置通过IP公共网络的网络接口单元进行配置和修改。
本例所述网络地址转换信息发送模块如图10中的虚线框内所示,由S3C4510B嵌入式处理器、RTL8305以太网交换芯片、SDRAM静态内存、FLASH可读写存储器、有源晶振组成,将NAT转换记录通过IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
本例所述设备管理模块如图11中的虚线框内所示,由S3C4510B嵌入式处理器、RTL8305以太网交换芯片、RS232组成,用于对网络地址转换及网络地址转换信息发送单元的工作参数进行配置、管理和监控,例如设置各个网络接口的网络地址,监控网络地址转换及网络地址转换信息发送单元的内存使用情况等,当网络地址转换及网络地址转换信息发送单元在运行过程中出现异常情况时,设备管理模块会主动通过IP公共网络的网络接口把异常信息向外部系统或装置发送;另外设备管理模块负责处理来自其它系统或装置的查询及/或配置命令,并将执行结果返回到其它系统或装置。
本例所述网络地址转换及网络地址转换信息发送单元采用5伏稳压电源实现对110伏~240伏交流电的变换从而获得5伏的直流电压输出,然后再分别将5伏的直流电压输出接直流3.3伏转换器向S3C4510B嵌入式处理器供电,接直流2.5伏转换器向RTL8305以太网交换芯片供电。
本例所述网络地址转换及网络地址转换信息发送单元采用多个逻辑处理单元来实现;逻辑处理单元是一个或多个中央处理单元(CPU,Central Process Unit)。
本例所述网络地址转换及网络地址转换信息发送单元对网络地址转换(NAT)过程中私网IP地址和公网IP地址之间的映射关系进行实时监控和记录,并将映射关系发送到网络地址转换信息关联处理单元,同时IP数据包分析单元对NAT转换后的IP数据包进行分析处理,并把分析结果发送到网络地址转换信息关联处理单元,网络地址转换信息关联处理单元把网络地址转换及网络地址转换信息发送单元和IP数据包分析单元发送的信息进行关联,重新建立起IP私网内IP通信设备与IP数据包分析结果之间的对应关系,供其它系统使用。网络地址转换及网络地址转换信息发送单元的软件处理流程如图12所示。
IP数据包分析单元可以采用传统的IP数据包分析设备,但是需要在其功能模块上增加本发明所描述的IP数据包记录功能,主要记录对IP数据包进行分析所获得的结果、{IP源地址、IP源端口、IP目的地址、IP目的端口}或者{IP源地址、IP目的地址、ICMP类型、ICMPID}、分析时间戳等信息,并实现将以上信息向网络地址转换信息关联处理单元发送的功能。
网络地址转换信息关联处理单元采用通用的计算机服务器实现,运行本发明所描述的NAT转换记录匹配功能。网络地址转换信息关联处理单元可以同时与多个IP数据包分析设备和网络地址转换及网络地址转换信息发送单元进行信息交互,并形成最终的IP数据包监控分析结果。
本例中,在IP私网与IP接入网络的连接处放置网络地址转换及网络地址转换信息发送单元,在IP接入网络与IP公众网络之间放置IP数据包分析单元;然后对IP接入网络中路由设备的路由信息进行修改,将来自于网络地址转换及网络地址转换信息发送单元的IP数据包路由到IP数据包分析单元,同时如果来自于IP公共网络的IP数据包的目的地址是网络地址转换及网络地址转换信息发送单元,那么IP数据包首先被路由到IP数据包分析单元,然后再由IP数据包分析单元通过IP接入网传送到网络地址转换及网络地址转换信息发送单元;IP数据包分析单元、网络地址转换及网络地址转换信息发送单元与网络地址转换信息关联处理单元之间可以通过IP网络或其它通信方式进行信息传送。
实施例三
本例的对网络通信数据包进行监控的系统如图4所示,除网络地址转换信息关联处理单元与IP数据包分析单元合并外,其余同实施例二。其中,合并后的网络地址转换信息关联处理及IP数据包分析单元采用通用的计算机服务器实现,各个功能模块通过软件实现。
实施例四
本例的对网络通信数据包进行监控的系统除网络地址转换及网络地址转换信息发送单元通过计算机系统来实现外,其余同实施例二。其中,网络地址转换及网络地址转换信息发送单元的各个功能模块通过软件实现。
实施例五
本例的对网络通信数据包进行监控的系统除网络地址转换及网络地址转换信息发送单元采用多个逻辑处理单元来实现外,其余同实施例二。其中,逻辑处理单元是数字信号处理器(DSP,Digital SignalProcessor)。
实施例六
本例的对网络通信数据包进行监控的系统除网络地址转换及网络地址转换信息发送单元采用多个逻辑处理单元来实现外,其余同实施例二。其中,逻辑处理单元是专用集成电路(ASIC,Application-SpecificIntegrated Circuit)。
Claims (5)
1.一种对网络通信数据包进行监控的系统,包括IP数据包分析单元,其特征在于系统中还有网络地址转换及网络地址转换信息发送单元和网络地址转换信息关联处理单元,其连接关系为:网络地址转换及网络地址转换信息发送单元分别与IP私网、IP数据包分析单元相连和网络地址转换信息关联处理单元相连,网络地址转换信息关联处理单元与IP数据包分析单元相连,IP数据包分析单元与IP公共网络相连;所述网络地址转换及网络地址转换信息发送单元包括网络接口模块、IP数据包拆分与组合模块、网络地址转换规则处理模块、网络地址转换信息发送模块和设备管理模块,其中,网络接口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模块、网络地址转换信息发送模块和设备管理模块相连,IP数据包拆分与组合模块还与网络地址转换规则处理模块相连,网络地址转换规则处理模块还与网络地址转换信息发送模块相连,网络地址转换信息发送模块通过网络接口模块与网络地址转换信息关联处理单元相连;所述网络地址转换规则处理模块负责处理来自IP私网或IP公共网络中的IP数据包的IP源地址、IP源端口、IP目的地址、IP目的端口之间的映射关系,并控制IP数据包拆分与组合模块对IP数据包中的IP源地址、IP源端口、IP目的地址、IP目的端口进行替换;同时网络地址转换规则处理模块负责生成和管理IP数据包在网络地址转换单元中的网络地址转换记录,来自于网络地址转换信息关联处理单元的查询命令也由网络地址转换规则处理模块负责执行,并将查询结果发送到网络地址转换信息关联处理单元;网络地址转换规则处理模块的转换规则可以由其它系统或装置通过IP公共网络的网络接口单元进行配置和修改。
2.根据权利要求1所述的对网络通信数据包进行监控的系统,其特征在于所述网络地址转换信息关联处理单元与IP数据包分析单元合并成为网络地址转换信息关联处理及IP数据包分析单元。
3.根据权利要求1所述的对网络通信数据包进行监控的系统,其特征在于所述网络地址转换信息发送模块将网络地址转换记录通过IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
4.根据权利要求1所述的对网络通信数据包进行监控的系统,其特征在于所述网络地址转换及网络地址转换信息发送单元通过计算机系统来实现,或采用多个逻辑处理单元来实现;逻辑处理单元是一个或多个中央处理单元、数字信号处理器或专用集成电路;网络地址转换及网络地址转换信息发送单元的各个功能模块通过硬件和软件实现。
5.根据权利要求1所述的对网络通信数据包进行监控的系统,其特征在于所述网络地址转换及网络地址转换信息发送单元对网络地址转换过程中私网IP地址和公网IP地址之间的映射关系进行实时监控和记录,并将映射关系发送到网络地址转换信息关联处理单元,同时IP数据包分析单元对网络地址转换后的IP数据包进行分析处理,并把分析结果发送到网络地址转换信息关联处理单元,网络地址转换信息关联处理单元把网络地址转换及网络地址转换信息发送单元和IP数据包分析单元发送的信息进行关联,重新建立起IP私网内IP通信设备与IP数据包分析结果之间的对应关系,供其它系统使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100580788A CN101594263B (zh) | 2009-01-09 | 2009-01-09 | 对网络通信数据包进行监控的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100580788A CN101594263B (zh) | 2009-01-09 | 2009-01-09 | 对网络通信数据包进行监控的系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594263A CN101594263A (zh) | 2009-12-02 |
| CN101594263B true CN101594263B (zh) | 2011-11-23 |
Family
ID=41408721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100580788A Active CN101594263B (zh) | 2009-01-09 | 2009-01-09 | 对网络通信数据包进行监控的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101594263B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763592A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 集群内外数据交互方法、集群网关和源设备 |
| CN107204882B (zh) * | 2017-07-24 | 2020-06-26 | 奇酷互联网络科技(深圳)有限公司 | 一种过滤数据包的方法和设备以及移动终端 |
| CN108881141A (zh) * | 2017-11-23 | 2018-11-23 | 北京视联动力国际信息技术有限公司 | 一种基于视联网的数据处理方法和装置 |
| CN109743238B (zh) * | 2018-12-27 | 2021-07-30 | 北京思信飞扬信息技术股份有限公司 | 一种分布式接入系统 |
| CN110784404B (zh) * | 2019-10-08 | 2022-03-25 | 烽火通信科技股份有限公司 | 一种多网口设备应用程序发包策略的调整方法及装置 |
| CN111740947A (zh) * | 2020-05-11 | 2020-10-02 | 深圳震有科技股份有限公司 | 一种数据包批量处理方法、智能终端及存储介质 |
| CN111565200B (zh) * | 2020-07-14 | 2020-10-09 | 成都数维通信技术有限公司 | 一种基于多路径报文检测分析的nat关联检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1435981A (zh) * | 2002-01-29 | 2003-08-13 | 三星电子株式会社 | 用于转换因特网协议地址的装置和使用它的家庭网络系统 |
| CN1731758A (zh) * | 2004-08-05 | 2006-02-08 | 上海贝尔阿尔卡特股份有限公司 | 一种网络地址变换方法及其装置 |
| CN101141420A (zh) * | 2007-09-05 | 2008-03-12 | 杭州华三通信技术有限公司 | 私网与公网进行数据通信的方法及系统 |
-
2009
- 2009-01-09 CN CN2009100580788A patent/CN101594263B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1435981A (zh) * | 2002-01-29 | 2003-08-13 | 三星电子株式会社 | 用于转换因特网协议地址的装置和使用它的家庭网络系统 |
| CN1731758A (zh) * | 2004-08-05 | 2006-02-08 | 上海贝尔阿尔卡特股份有限公司 | 一种网络地址变换方法及其装置 |
| CN101141420A (zh) * | 2007-09-05 | 2008-03-12 | 杭州华三通信技术有限公司 | 私网与公网进行数据通信的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101594263A (zh) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101594263B (zh) | 对网络通信数据包进行监控的系统 | |
| EP2888858B1 (en) | Method and apparatus of generalized network controller for a software defined network (sdn) | |
| CN102880475A (zh) | 计算机软件系统中基于云计算的实时事件处理系统及方法 | |
| KR20040103980A (ko) | 컨텐츠 전송 네트워크(cdn) 인터네트워킹, 각각의네트워크 및 인터페이스 구성요소를 실행하는 방법 | |
| CN101741819A (zh) | 一种协议转换网关 | |
| CN109677465B (zh) | 用于轨道交通综合监控系统的分布式实时系统架构 | |
| CN103248512A (zh) | 通信网络中应用层拓扑结构的生成方法和系统 | |
| CN103312546A (zh) | 一种自动配置管理ZigBee网络的方法 | |
| CN102035688B (zh) | 一种快速控制网络链路访问设计方法 | |
| CN109547875A (zh) | 一种fc交换网络任意端口接入设计方法 | |
| CN103716408A (zh) | 一种基于esb的企业应用集成方法及系统 | |
| CN110096545A (zh) | 一种基于大数据平台数据处理域构架方法 | |
| CN108737169A (zh) | 一种基于sdn的异构工业网络集中式融合管理方法 | |
| US12047257B2 (en) | Systems and methods for automated verification and reconfiguration of disconnected network devices | |
| CN103701945A (zh) | 一种地址转换方法和装置 | |
| CN101098256A (zh) | 一种基于简单网络管理协议的集群管理方法和系统 | |
| CN102402218B (zh) | 一种智能工业网络监控系统 | |
| CN103200067A (zh) | 用以隔离数据的动态虚拟lan | |
| CN102511152A (zh) | 在共享网络中实现组播的方法、系统及装置 | |
| CN105978715A (zh) | 一种基于实时数据中心的数据接入接口统一管理方法 | |
| CN105763380A (zh) | 一种网管数据获取方法和装置 | |
| CN113220732A (zh) | 一种联通同享的数据匹配方法及系统 | |
| CN102375763A (zh) | 一种用于实现进程间通信的系统和方法 | |
| CN111193614A (zh) | 连接全球不同地区网络环境的跨区域服务器系统和方法 | |
| KR20010055482A (ko) | 통합망 환경에서 서비스관리시스템의 관리명령을 교환기명령어로 변환하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |