CN102932346A - 一种nat地址池中不可用地址检测的方法及装置 - Google Patents
一种nat地址池中不可用地址检测的方法及装置 Download PDFInfo
- Publication number
- CN102932346A CN102932346A CN2012104188839A CN201210418883A CN102932346A CN 102932346 A CN102932346 A CN 102932346A CN 2012104188839 A CN2012104188839 A CN 2012104188839A CN 201210418883 A CN201210418883 A CN 201210418883A CN 102932346 A CN102932346 A CN 102932346A
- Authority
- CN
- China
- Prior art keywords
- source
- nat
- session number
- aging
- ratio
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种NAT地址池中不可用地址的检测方法和装置。所述方法包括:对每个会话建立一条NAT日志;判断所述NAT日志中的源IP的TCP会话状态是否正常,若正常则将该源IP对应的正常会话数加1,否则将该源IP对应的老化会话数加1;判断所述源IP对应的老化会话数占该源IP总会话的比率是否超过预设的门限值,若是则确定NAT地址池中所述IP不可用。通过本发明,能够高效、快速检测分析地址池中地址不可用,进而使运维人员及时地剔除这个IP,容易排查问题。
Description
技术领域
本发明涉及数据网络通信领域中的网络安全技术,尤其涉及一种NAT地址池中不可用地址检测的方法和装置。
背景技术
随着因特网的发展,越来越多的网络设备连接到因特网上。网络设备想要访问其他的网络设备,需要配置IP地址。IP地址分为私网IP和公网IP,私网用户应当使用公网IP访问因特网。NAT(网络地址转换)能够将私网IP转化为公网IP,存放公网IP的容器即为NAT地址池。将公网IP+65536个端口,即每个IP能够分出65536个IP地址供用户使用,能够最大限度的分配这些公网IP地址。用户携带私网IP进行数据交互,NAT设备会为该报文创建一条会话,从NAT地址池中随机分配一个公网IP返回给用户,用户再携带该公网IP进行对外数据交互,直至数据交互过程完成,该条会话标志为结束,NAT地址池将收回该公网IP。
当NAT地址池中出现不可用地址的时候,例如当用户从NAT地址池中分配到一个公网IP,通过该公网IP访问非法网站,网监部门检测到该公网IP正在进行非法操作而将此公网IP禁用,则后续分配到该IP的用户将不可再上网,管理人员不能及时发现和处理此问题,导致分配到该IP的用户会话创建不成功,从而引发网络异常。
发明内容
有鉴于此,本发明提供一种NAT地址池中不可用地址检测的方法和装置,能够高效、快速检测分析地址池中地址不可用。
本发明的技术方案如下:
一种NAT地址池中不可用地址的检测方法,所述方法包括:
步骤A:对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;
步骤B:判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1;
步骤C:判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
本发明同时提供一种NAT地址池中不可用地址的检测装置,其特征在于,所述装置包括:
会话建立模块,用于对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;
状态判断模块,用于判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1;
比率判断模块,用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
本发明提供一种NAT地址池中不可用地址检测的方法和装置,通过判断IP地址对应的老化会话数占总会话数的比率,检测NAT地址池中IP地址是否可用,从而避免网络异常的产生。
附图说明
图1为本发明中一种NAT地址池中不可用地址的检测装置逻辑图。
图2为本发明中一种NAT地址池中不可用地址的检测方法流程图。
图3为本发明中会话状态判断方法流程图。
图4为本发明中不可用地址确认方法路程图。
具体实施方式
本发明提供一种NAT地址池中不可用地址检测的方法和装置,用于NAT设备。为了检测NAT地址池中不可用地址,本发明通过对每个会话建立一条NAT日志,并判断所述NAT日志中的源IP的TCP会话状态是否正常,若正常则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1,然后进一步判断所述源IP对应的老化会话数占该源IP总会话的比率是否超过预设的门限值,若是则确定NAT地址池中所述IP不可用。
为了更加清楚和明白地表述本发明,以下结合实施例对本发明技术方案进行详细说明。请参考图1,为本发明一种NAT地址池中不可用地址的检测装置逻辑图,所述装置包括会话建立模块、状态判断模块和比率判断模块。请进一步参照图2,利用所述装置执行所述方法包括:
步骤A:会话建立模块对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态,本步骤由所述会话建立模块执行;
具体地,当需要访问因特网时,用户携带私网IP发送对话请求公网IP,NAT设备会话建立模块对每一个会话建立一条NAT日志,并发送到日志服务器。其中,所述的NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态,需要说明的是,所述的NAT日志还可以包括地址转换前的源IP等其他信息。
步骤B:状态判断模块判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1,本步骤由所述状态判断模块执行;
具体地,当日志服务器收到所述的NAT日志后,状态判断模块对所述的NAT日志中所述源IP的TCP会话状态进行判断并记录该源IP对应的会话数,如果TCP会话状态正常,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1。
步骤C:比率判断模块判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用,本步骤由比率判断模块执行;
具体地,在预设的固定周期内,比率判断模块判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,如果超过所述的第一门限值,则确定NAT地址池中所述源IP不可用,输出IP信息并发出警告,运维人员就可以及时地剔除这个IP,容易排查问题,避免非正常结束导致会话建立不成功。优选地,所述固定周期为1分钟,所述的第一门限值为90%,但是并不限定为此数值,也可以为其他的数值。
请参考图3,所述利用所述状态判读模块执行步骤B进一步包括:
步骤B1:解析所述NAT日志对应的源IP信息;
步骤B2:判断存放所述源IP的存储结构中是否存在所述源IP信息,若是,则进入步骤B3,否则,将所述源IP信息添加到存储结构中;
步骤B3:判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1。以上步骤B1、B2和B3均由所述状态判断模块执行。
具体地,地址池日志服务器建立一个存储结构,当接收到所述的NAT日志以后,状态判断模块解析所述NAT日志对应的源IP、端口等信息,将每一个地址转换后的源IP的会话状态存放到存储结构中,并对所述的NAT日志中所述源IP的TCP会话状态进行判断并记录该源IP对应的会话数,如果TCP会话状态正常,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1。其中,所述的存储结构可以优选为Hashmap,也以为其他的存储结构。
请参考图4,所述利用所述比率判断模块执行步骤C进一步包括:
步骤C1:判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过总会话数的第二门限值,若是,则进入步骤C2;
步骤C2:判断所述源IP的对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。以上步骤C1和C2均由比率判断模块执行。
具体地,按照预设的固定周期,检查存储结构中的会话数统计信息,判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过总会话数的第二门限值。如果超过预设的第二门限值,则继续判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,如果超过所述的第一门限值,则确定NAT地址池中所述源IP不可用,输出IP信息并发出警告,运维人员就可以及时地剔除这个IP,容易排查问题,避免非正常结束导致会话建立不成功。如果没有超出预设的第一门限值,则确定所述IP状态异常,输出IP信息并发出警告。能够方便运维人员管理IP,排查问题。优选地,所述固定周期为1分钟,所述的第一门限值为90%,所述的第二门限值为50%,但是并不限定为此数值,也可以为其他的数值。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种NAT地址池中不可用地址的检测方法,其特征在于,所述方法包括:
步骤A:对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;
步骤B:判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1;
步骤C:判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
2.根据权利要求1所述的方法,其特征在于,所述步骤B进一步包括:
步骤B1:解析所述NAT日志对应的源IP信息;
步骤B2:判断存放所述源IP的存储结构中是否存在所述源IP信息,若是,则进入步骤B3,否则,将所述源IP信息添加到存储结构中;
步骤B3:判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1。
3.根据权利要求1所述的方法,其特征在于,所述步骤C进一步包括:
步骤C1:判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第二门限值,若是,进入步骤C2;
步骤C2:判断所述源IP的对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。
4.根据权利要求1所述的方法,其特征在于,步骤C中,所述判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值为具体为:判断在预定周期内所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值。
5.一种NAT地址池中不可用地址的检测装置,其特征在于,所述装置包括:
会话建立模块,用于对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;
状态判断模块,用于判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1;
比率判断模块,用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
6.根据权利要求5所述的装置,其特征在于,所述状态判断模块进一步用于:
解析所述NAT日志对应的源IP信息;
判断存放所述源IP的存储结构中是否存在所述源IP信息,如果否,则将所述源IP信息添加到存储结构中;如果是,则继续判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1。
7.根据权利要求5所述的装置,其特征在于,所述比率判断模块进一步用于:
判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过总会话数的第二门限值,若是,则判断所述源IP的对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。
8.根据权利要5所述的装置,其特征在于,所述比率判断模块用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值为具体为:所述比率判断模块用于判断在预定周期内所述源IP对应的老化会话数占该源IP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104188839A CN102932346A (zh) | 2012-10-26 | 2012-10-26 | 一种nat地址池中不可用地址检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104188839A CN102932346A (zh) | 2012-10-26 | 2012-10-26 | 一种nat地址池中不可用地址检测的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102932346A true CN102932346A (zh) | 2013-02-13 |
Family
ID=47647048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104188839A Pending CN102932346A (zh) | 2012-10-26 | 2012-10-26 | 一种nat地址池中不可用地址检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932346A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682470A (zh) * | 2017-10-16 | 2018-02-09 | 杭州迪普科技股份有限公司 | 一种检测nat地址池中公网ip可用性的方法及装置 |
| CN109743414A (zh) * | 2019-02-18 | 2019-05-10 | 国家计算机网络与信息安全管理中心 | 利用冗余连接提高地址翻译可用性的方法及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020184568A1 (en) * | 2001-06-04 | 2002-12-05 | Motorola, Inc | System and method for event monitoring and error detecton |
| US20030226056A1 (en) * | 2002-05-28 | 2003-12-04 | Michael Yip | Method and system for a process manager |
| CN101442431A (zh) * | 2007-11-21 | 2009-05-27 | 株式会社东芝 | 基于阈值通知文档处理设备状态的系统和方法 |
| CN102752141A (zh) * | 2012-06-29 | 2012-10-24 | 杭州迪普科技有限公司 | 一种ip地址可达性的检查方法及装置 |
-
2012
- 2012-10-26 CN CN2012104188839A patent/CN102932346A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020184568A1 (en) * | 2001-06-04 | 2002-12-05 | Motorola, Inc | System and method for event monitoring and error detecton |
| US20030226056A1 (en) * | 2002-05-28 | 2003-12-04 | Michael Yip | Method and system for a process manager |
| CN101442431A (zh) * | 2007-11-21 | 2009-05-27 | 株式会社东芝 | 基于阈值通知文档处理设备状态的系统和方法 |
| CN102752141A (zh) * | 2012-06-29 | 2012-10-24 | 杭州迪普科技有限公司 | 一种ip地址可达性的检查方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682470A (zh) * | 2017-10-16 | 2018-02-09 | 杭州迪普科技股份有限公司 | 一种检测nat地址池中公网ip可用性的方法及装置 |
| CN109743414A (zh) * | 2019-02-18 | 2019-05-10 | 国家计算机网络与信息安全管理中心 | 利用冗余连接提高地址翻译可用性的方法及计算机可读存储介质 |
| CN109743414B (zh) * | 2019-02-18 | 2021-12-31 | 国家计算机网络与信息安全管理中心 | 利用冗余连接提高地址翻译可用性的方法及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102347976B (zh) | 分布式网络服务器监控方法及系统 | |
| CN105490839B (zh) | 一种网站数据安全的告警方法及装置 | |
| CN105320585A (zh) | 一种实现应用故障诊断的方法及装置 | |
| CN108173911A (zh) | 一种微服务故障检测处理方法及装置 | |
| CN106845653A (zh) | 一种租赁单车的故障检测方法与单车租赁系统服务器 | |
| CN103441864A (zh) | 一种终端设备违规外联的监测方法 | |
| CN102752141B (zh) | 一种ip地址可达性的检查方法及装置 | |
| CN104038373A (zh) | 信息预警与自修复系统及方法 | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| CN110445876B (zh) | 基于物联网的掉电数据的管理系统 | |
| CN101599857B (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
| CN102932346A (zh) | 一种nat地址池中不可用地址检测的方法及装置 | |
| CN107229499B (zh) | 用于电力采集系统故障终端检测的主站模拟系统及检测方法 | |
| CN103905271B (zh) | 一种告警风暴抑制方法 | |
| CN103139056A (zh) | 一种安全网关及一种网络数据的交互方法 | |
| CN112291225A (zh) | 一种应用于积分系统的大数据异常流量检测方法和系统 | |
| CN104517082B (zh) | 电力数据采集装置和方法 | |
| CN111031050A (zh) | 用于用电信息采集系统的监测方法及装置 | |
| CN108880920B (zh) | 云服务管理方法、装置以及电子设备 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN105811580B (zh) | 一种窃电举报系统及方法 | |
| CN102932180A (zh) | 设备信息通知方法和网管客户端 | |
| CN114338074A (zh) | 一种配电终端ip白名单自动检测方法及检测系统 | |
| CN113535273A (zh) | 工业联网智能设备的系统级记录方法、系统及存储介质 | |
| CN111354124A (zh) | 一种智能物联网售货系统及服务设备、售货机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130213 |