CN104115473B - 网络网关及其测试方法 - Google Patents
网络网关及其测试方法 Download PDFInfo
- Publication number
- CN104115473B CN104115473B CN201280069776.8A CN201280069776A CN104115473B CN 104115473 B CN104115473 B CN 104115473B CN 201280069776 A CN201280069776 A CN 201280069776A CN 104115473 B CN104115473 B CN 104115473B
- Authority
- CN
- China
- Prior art keywords
- network
- gateway
- function
- nat
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/351—Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2575—NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种网络网关,其包括:网关功能,被配置成对于或者关于到达该网关功能的数据施行一项或更多项预定操作;第一应用,被配置成通过与第二应用交换数据来参与测试所述网关功能;以及路由单元,被配置成对在第一应用与第二应用之间交换的数据中的至少一些进行路由,从而使得所述数据中的至少一些到达所述网关功能。把用于测试特定网关功能的第一应用实施在具有该功能的网络网关上,而不是把所述第一应用实施在以通信方式连接到所述网关的网络中的设备中,从而不再需要在网络中具有可用于测试所述网关的该功能的设备。
Description
技术领域
本发明一般地涉及数据通信的领域。更具体来说,本发明涉及用在不同电信网络之间的网络网关。
背景技术
网络网关是被适配成在网络中的使用不同协议的网段之间提供接口或路由功能的设备。通常来说,网络网关能够通过包括用硬件、软件或者二者的组合实施的各种设备来提供不同网络之间的网络互操作性和数据路由,所述设备诸如有基本路由功能、协议翻译器、阻抗匹配设备、速率转换器、故障隔离器以及信号翻译器。
当前,紧跟基本路由功能,网络网关常常包括各种辅助功能。一些辅助功能可以与网络有关,诸如例如网络地址翻译(NAT)功能或防火墙功能。其他功能可以更多地处于应用层级,诸如例如阻断对于特定网站的访问的家长控制功能、用于电子邮件应用的垃圾邮件过滤器或者用于媒体转码的转码器。另外的其他功能例如可以与特殊路由规则、远程访问功能等等有关。这在图1中示意性地图示,图1示出了网络或网段2(诸如例如局域网(LAN)中的网络或网段)与网络或网段3(比如广域网(WAN)中的网络或网段)之间的网络网关1。网关1被图示为不仅包括基本路由功能4,而且还包括家长控制功能5、内容过滤器功能6、NAT功能7和防火墙功能8。
诸如路由、NAT、防火墙、家长控制和内容过滤器之类的不同功能全部由所述功能被安装在其上的设备的软件以及适当的软件与硬件配置构成。软件偶尔可以被更新,软件配置可以被改变,和/或硬件配置也可以被改变。当这种情况发生时,可能需要对所述功能进行测试以便确保其仍然在适当工作。例如可能还需要一旦在网络网关被制造并且在将其装运到顾客处之前对所述功能进行测试。
为了测试网络网关内部的这种功能的适当工作,必须经由所述网关从一个网络向另一个网络发送数据分组。在某些情况下还需要针对这些分组的应答以便实施适当的测试。因此,为了能够测试网关上的特定功能,所述网关必须可通信地连接到每一个网络中的至少一个设备。这具有几个的含义。
一个含义是这样的测试在网关的全部两侧都需要活跃的设备,情况可能并不总能是这样。例如改变了内容过滤器设定的运营商在家庭网络中没有设备来与他一起进行测试的情况下则无法对更新后的过滤器进行测试。
另一含义是这样的测试需要对于参与测试的网络设备的特定数量的控制。举例来说,如果本地网络中的计算机的用户想要测试他的网络网关的防火墙功能的安全性,则他必须从外部(即从WAN)向内部(即向他的本地网络)发送特定的互联网协议(IP)分组。这继而意味着用户必须控制将向其本地网络发送这样的IP分组的WAN中的至少一个设备。
再一含义包括网络上的潜在的附加负荷。并非所有测试都会导致显著负荷。但是例如如果需要测试当防火墙必须应对大量交通时的防火墙功能的性能(这一处理被称作“压力测试”),则这样的测试确实导致网络上的显著负荷。
此外,由于网关全部两侧的网络的网络等待时间,前面描述的对于网关功能的测试要花费特定时间量。
需要的是一种用于通过改进前面描述的一个或更多问题的方式来测试网络网关上的不同功能的方法。
发明内容
本发明的目的是提供用于在网络网关上测试功能的改进的方法和系统。
根据本发明的一方面,提供一种用在第一网络与第二网络之间的网络网关。所述网关包括:网关功能,其被配置成对于或者关于到达该网关功能的数据施行一项或更多项预定操作;和第一应用,被配置成通过与第二应用交换数据来参与测试网关功能。所述网关还包括被配置成对在第一应用与第二应用之间交换的数据中的至少一些进行路由从而使得所述数据中的至少一些到达网关功能的路由单元。
所述网关功能例如可以是被配置成防止由第一网络中的网段发送的特定分组到达第二网络中的网段的防火墙功能。在这样的实施例中,如果防火墙适当地运作,则由第一网络中的网段发送的数据中的至少一些仅到达防火墙功能,而不进一步继续到达第二网络中的网段。
替代地,网关功能可以是NAT,其被配置成对于穿越该NAT的分组施行网络地址翻译。在这样的实施例中,由一个网络中的网段发送的数据(在该情况中是IP分组)不仅到达NAT,而且还进一步继续到达另一个网络中的网段。
这里所使用的术语“网段”指的是处于网络的特定部分内的设备和计算系统。举例来说,在网络网关的情境中,术语“网段”可以涵盖与作为一个子网的部分的IP地址范围相关联的设备和计算系统。换句话说,在这一情境中,网段可以被视为子网的等同物。在各个实施例中,所述网段可以包括而不限于例如计算机、服务器、手持式互联网浏览器、电子邮件设备、IP语音(VoIP)电话、游戏机或者手持式游戏设备。在网络是LAN的具体情况中,这样的网络可以包含多个网段,例如具有连接到因特网的设备的网段以及未连接到因特网的网段,每一个网段包含零个或更多活跃设备,有时被称作末端用户设备(EUD)。
在一个实施例中,网关可以被适配成布置为在该网关的一侧的网络是LAN,并且在该网关的另一侧的网络是WAN。对于这样的应用,网关的网关功能可以是被配置成通过把外出请求的源地址改变成该网关的源地址并且随后把传入应答中继回到起源EUD来允许LAN中的一个或更多EUD与外部网络中的设备进行通信的NAT功能。在这样的实施例中,第一应用可以是所谓的“客户端”应用,诸如例如STUN客户端,其被配置成通过与第二应用交换一条或更多条消息来确定针对NAT功能的NAT有关信息,所述第二应用在该情况中可以是服务器,诸如例如STUN服务器。在这样的实施例中,对于网关功能的测试可以包括确定以下各项当中的一项或更多项:由NAT使用的当前端口、NAT功能的当前广域网互联网协议地址、对应于NAT功能的当前虚拟服务器规则、NAT功能的端口映射行为、NAT功能的过滤行为、NAT功能对于发夹的支持、在NAT功能中实施的端口分配算法中的一种或更多种、对应于NAT功能中的NAT绑定的超时数值,以及在拥塞期间、在繁忙网络交通期间、在多个同时会话期间和/或在多项同时NAT绑定期间的NAT功能的行为。
虽然诸如上面一个实施例之类的各个实施例在本申请中是参照STUN客户端和STUN服务器来描述的,但是针对被配置成根据不同于STUN协议的某种协议以出于测试NAT功能的目的交换一条或更多条消息的任何客户端和任何服务器可以导出类似的教导。本领域技术人员将认识到,本上下文中的术语“任何客户端”和“任何服务器”可以指代设备上的几件适当地配置的软件。
在各个实施例中,所述网络网关例如可以是NAT、家庭网关、办公室网关、路由器、包括路由器的家庭或办公室网关、运营商网络上的边缘路由器或者汽车网关。在一个实施例中,这里所描述的每一种网络网关可以是计算设备,诸如个人计算机(PC),或者网关可以被实施为这样的计算设备的部分。
本发明是基于如下认识:把用于测试特定网关功能的第一应用实施在具有该功能的网络网关上,而不是把第一应用实施在以通信方式连接到所述网关的网络中的设备中,使得不再需要在网络中具有可用于测试所述网关的功能的设备。其还至少对于测试网关功能的目的而完全消除了对以下情况的需要:将网关以通信方式连接到该网络。本发明还基于如下认识:当第一应用被实施在网络网关上而不是被实施在其中一个网络中时,对数据进行路由是必需的,从而使得在第一和第二应用之间交换的数据中的至少一些到达所测试的功能。通过这种方式,第一应用在网络的意义上看起来是处在所测试的功能的“后方”。
在一个实施例中,第二应用可以被包括在网络网关意图在其间提供接口和路由功能的第一或第二网络中的一个网络中的网段内。替代地,第二应用可以被包括在另一个网络的网段内,例如仅被用于测试网关功能的网络。对于这些实现方式当中的任一个,当网络网关可用时,意味着网关“在线”、被开启并且至少连接到寄放第二应用的网段,可以立即实施对于网关功能的测试,只要寄放第二应用的网段也可用于测试。
在另一个实施例中,类似于第一应用,第二应用也可以被包括在网络网关内。这样的实施例是特别有利的,因为其允许在完全不必将网络网关实际连接到任何网络的情况下测试网关功能。换句话说,网络网关于是只需要被开启,从而使得第一和第二应用可以交换数据以用于测试特定网关功能,并且使得路由单元可以对在这些应用之间交换的数据中的至少一些进行路由以便到达并且可能穿越所测试的网关功能,但是所述网关不需要是“在线”的或者连接到任何网络中的任何网段。本领域技术人员将认识到,尽管可以不连接物理网络接口,但是这样的功能确实需要网关和网关上的路由功能保持被启用,进而取决于所使用的实现方式又可能需要为此目的的特定配置。这一实施例对于网关功能的自动化“离线”测试可能是特别有利的,例如一旦网关被制造之后并且在将网关装运到顾客处之前。
这里在网络网关是离线的情境中所使用的术语“离线”指的是为其测试网关功能的功能无法通过网络实现的网关。这例如可能是以下情况:当网关简单地没有连接到任何网络时,当网关尝试连接到网络但是没有网络连接可用时,或者当网络连接可用但是仍然不可能通过网络测试网关功能时,例如在网络拥塞或者包含测试应用的服务器发生服务器过载的情况下。
在本说明书的情境中,术语“第一应用”和“第二应用”将被宽泛地理解为不仅涵盖软件应用,而且还涵盖实际的硬件设备,或者至少部分地用软件、硬件、固件或者其任意组合实施的任何应用。举例来说,第一应用可以包括实施在网络网关上的STUN客户端软件,而第二应用可以包括作为硬件设备的STUN服务器。
根据本发明的其他方面,本公开内容涉及一种具有用于施行这里所描述的各项功能的可能是分布式的各个部分的计算机程序,并且涉及用于这样的软件部分的数据载体。
后面将更加详细地描述本发明的实施例。但是应当认识到,这些实施例不可被解释为限制本发明的保护范围。
附图说明
在附图中:
图1是包括各项功能的网络网关的示意图示;
图2是根据本发明的一个实施例的包括用在两个网络之间的网络网关的计算环境的示意图示;
图3是根据本发明的一个实施例的图2的网络网关的示意图示;
图4是根据本发明的另一个实施例的包括用在两个网络之间的网络网关的计算环境的示意图示;以及
图5是根据本发明的一个实施例的图4的网络网关的示意图示。
具体实施方式
图2是根据本发明的一个实施例的包括用在网络15与网络17之间的网络网关11的计算环境10的示意图示。网络15和17的每一个都可以是任何网络,诸如例如IP网络。当连接到网络15和17时,所述网关被适配成在网络15中的一个或更多网段与网络17中的一个或更多网段之间提供接口以及路由数据。
除了实施网关的基本路由功能的元件(在图2中未示出的那些元件)之外,网关11还包括网关功能12、第一应用13和路由单元14。
网关功能12是用软件、硬件、固件或者其任意组合实施的设备,被适配成实施对于或者关于在网络15中的一个或更多网段与网络17中的一个或更多网段之间交换的数据交通进行一些操作的任何功能。举例来说,网关功能12可以是NAT功能、防火墙功能或者代理服务器。
第一应用13是被配置成通过与第二应用交换数据来测试网关功能12的应用。在图2中所示的实施例中,假设第二应用处在网络15内。但是如果第二应用被寄放在图2中未示出的某一其他网络内,前面关于网络网关11所描述的教导仍将适用。
考虑这样实施例,其中网络15是WAN IP网络,网络17是包括图2中未示出的一个或更多EUD的LAN网络,其中每一个EUD例如可以是计算机、手持式互联网浏览器、电子邮件设备、VoIP电话、游戏机或者手持式游戏设备。此外,考虑网关11被包括在LAN 17内,并且网关功能12是被如下适配的NAT:通过将外出请求的源地址改变到LAN 17中的NAT 12的源地址并且随后将传入应答中继回到起源EUD,使LAN 17中的EUD能够与WAN 15中的设备进行通信。这意味着只有在由属于LAN 17的设备发起时,才有可能实现跨过NAT 12的通信。因此,需要由来自WAN 15的设备发起的连接的建立的服务(诸如例如对等(P2P)文件共享、VoIP服务或者视频游戏机的在线服务)会失败,除非采取特殊措施来避免这一失败。这样的特殊措施包括各种NAT穿越技术,诸如例如通用即插即用(UPnP)、会话边界控制器(SBC)以及交互式连接性建立(ICE)。许多当前的NAT穿越技术需要确定关于NAT及其行为的某种类型的信息,即可以被称作“NAT测试”的过程。通常对于这一目的使用所谓的STUN协议,其中处于NAT后方的EUD上的通信应用(其被称作“STUN客户端”)与外部网络中的STUN服务器交换许多消息,以便确定NAT的行为。但是根据本发明的实施例,STUN客户端可以作为第一应用13被包括在网络网关11内。在这样的实施例中,第二应用是WAN 15中的STUN服务器。STUN客户端和STUN服务器随后可以交换一条或更多条消息以便测试NAT 12,其中对于NAT 12的测试例如可以包括确定以下各项当中的一项或更多项:由NAT 12使用的当前端口,NAT 12的当前WANIP地址,对应于NAT 12的当前虚拟服务器规则,NAT 12的端口映射行为,NAT 12的过滤行为,NAT 12对于发夹(hairpinning)的支持,在NAT 12中实施的一种或更多种端口分配算法,对应于NAT 12中的NAT绑定的超时数值,以及NAT 12在拥塞期间、在繁忙网络交通期间、在多个同时会话期间和/或在多项同时NAT绑定期间的行为。
存在允许将诸如第一应用13之类的新软件安装在比如网关11之类的设备中的各种计算机平台,例如OSGi、Linux等等。但是软件在这样的网关上的传统安装将利用所述网关在该网段中的IP地址与每一个网段进行通信。换句话说,由这样的附加安装的软件所发送和接收的分组将不会到达所述网关的特殊功能,诸如网关功能12。其结果是,在第一应用13在网络网关上的传统安装中,将不可能对网关功能12进行测试。
举例来说,本领域技术人员将认识到,为了利用STUN客户端和STUN服务器来测试NAT,或者更一般来说为了利用根据某种协议(STUN协议或其他协议)操作的任何“客户端”和任何“服务器”来测试NAT,“客户端”应当处于NAT的“后方”,因为在“客户端”与“服务器”之间交换的消息应当在适当的方向上穿过NAT。如果“客户端”是在传统的安装中实施在网络网关11上的第一应用13,则这一条件将不会被满足,因为在这样的“客户端”与“服务器”之间交换的消息通常将根本不会到达NAT。
类似地,当网关功能12包括除NAT之外的功能时,诸如例如防火墙或家长控制过滤器,为了能够利用第一应用13对网关功能12实施适当的测试,第一应用13必须处于网关功能12的“后方”,因为在第一和第二应用之间交换的消息应当至少到达网关功能12并且可能在适当的方向上穿过网关功能12。类似于前面描述的STUN测试,在这样的实现方式中,除非采取特殊措施,否则这一条件同样无法得到满足。这样的特殊措施包括:包括用于对在第一和第二应用之间交换的数据进行路由从而使得在第一和第二应用之间交换的数据中的至少一些到达网关功能12的路由单元14。
路由单元14出于路由目的确保第一应用13处在网关功能12的适当的侧。举例来说,为了测试防火墙,传入信息需要到达网关功能12,例如来自WAN域并且目的地为LAN域的消息。另一方面,为了测试家长控制,外出消息(请求)可能需要到达网关功能12,例如来自LAN域并且目的地为WAN域的消息。
图3提供了根据本发明的一个实施例的图2的网络网关11的另一视图。图3中所示出的具有与图2中相同的附图标记的元件意图图示相同的元件,并且因此为了简明起见,这里不重复其描述。如图3中所示,网络网关11包括针对网络15的接口20和针对网络17的接口21。网关功能12被配置成对于或关于经由接口21来自网络17并且经由接口20去到网络15的数据交通施行预定操作,并且反之亦然。此外,网络网关11在网络17侧包括对应于第一应用13的虚拟网络接口22。虚拟网络接口22被配置成对于路由单元14像常规网络接口一样运作,也就是说虚拟网络接口22允许发送和接收IP分组,并且具有可以经由其到达的一个或更多IP地址。可以经由所述虚拟网络接口到达的一个或更多应用均具有其自身的唯一地址,例如其自身的IP地址或者IP地址与端口号的组合。但是取代作为用于诸如网络接口卡之类的一件硬件的驱动器,虚拟网络接口22是向特定应用递送网络交通的驱动器,所述特定应用在该情况中是第一应用13,例如前面描述的STUN客户端。
虚拟网络接口22应当像任何其他接口那样配置。为了实现对网关功能12进行适当的测试,可以类似于网络17侧的接口21或多个接口21来配置接口22和路由规则两者,从而使得分组通过正确的路由到达并且可能经过网关功能12。接口22还可以被配置成例如与网络17侧的硬件接口(即接口21)形成桥组,在这种情况下虚拟网络接口22和接口21二者都将使用相同的路由配置,并且因此分组将通过正确的路径。
路由单元14被配置成对在网络网关11内的第一应用13与网络网关11外部某处(可能在网络15中)的第二应用之间交换的消息进行路由,从而使得所述消息穿越网关功能12。这样的配置确保第一应用13在网络意义上处在网关功能12的“后方”,因为,按照第一应用13像是被实施在网络17侧连接到网络网关11的网段上的类似方式,在第一应用13与第二应用之间交换的至少一些消息是经由网关功能12路由的。
在各个实施例中,路由单元14可以用硬件、软件、固件或者其中两项或更多项的任意组合来实施。
在一个实施例中,可以使用当前被用于创建虚拟私有网络(VPN)连接的Linux Tun或Tap实现方式来实施虚拟网络接口22。在其他实施例中,还可以使用某种其他虚拟网络接口实现方式来实施虚拟网络接口22,只要路由配置被按这样的方式编程,即虚拟网络接口22处于网络网关11的网络17侧,正如图3中所描述的那样。
类似于网络网关11上的第一应用13的实现方式,用于测试网关功能12的第二应用也可以被实施在网络网关上。图4提供了计算系统30的示意图示,其中第一应用和第二应用二者都被布置成网络网关31的一部分。网络网关31与网络网关11的类似之处在于,网关31包括前面所描述的网关功能12和第一应用13。
不同于网关11,网关31还包括第二应用38,其中如前所述,第一应用13和第二应用38被配置成交换用于测试网关功能12的一条或更多条消息。类似于网关11,网关31还包括路由单元34,其被配置成对在第一应用13与第二应用38之间交换的消息中的至少一些进行路由,以便达到并且可能经过网关功能12。与路由单元14一样,在各个实施例中,路由单元34也可以用硬件、软件、固件或者其中两项或更多项的任意组合来实施。
图5提供了根据本发明的一个实施例的图4的网络网关31的另一视图。图5图示了与图3的基本元件相同的基本元件,诸如例如网关功能12、第一应用13、接口20和21以及虚拟接口22。为了简明起见,这里不再重复这些元件的描述。
同样如图5中所示,网络网关31还包括第二应用38、路由功能34和接口33。类似于图3中所示的虚拟网络接口22,接口33也是虚拟网络接口,但是其处于网关31的网络15侧。虚拟网络接口33包括与接口22类似的功能,并且其配置方式类似于针对图3中所示的第一应用13的接口22的配置方式。
当网络15包括WAN以便在网络网关的WAN侧使用虚拟网络接口时,必须指派一个地址。该地址通常将是在外部网络中可路由的公共地址,因为这些公共地址是通常在网络网关的WAN侧所使用的地址。出于在WAN中的路由目的,这样的公共地址通常是唯一的,并且通常在同一时间仅被指派一次,即被指派给单一设备。但是由于在图5中所示的实施例中,交通经由网关功能12被路由到该地址,也就是说没有离开包含网关功能12的网关31,因此在同一时间对于网关功能的不同实现方式可以使用相同的公共地址。还要提到的是,由于去到网关31上的第二应用38的交通并不经过外部网络,因此被指派给第二应用38的地址不必是公共地址。所述地址也可以是私有地址,也就是说通常被使用在网关31的LAN侧,前提是网关31可以以这样的方式被配置,即源自网关31的LAN侧(即网络17)并且目的地是网关31的WAN侧(即网络15)的第二应用38的这种私有地址的交通将实际上至少到达并且可能经过网关功能12。
对于本领域技术人员来说将明显的是,为了使用这样的虚拟网络接口,将必须相应地配置路由规则。这可以通过各种方式来实现,诸如创建包含虚拟网络接口和实际网络接口的桥组,或者通过为此特定目的配置路由表。
把用于测试网关功能的第一和第二应用两者都实施在网络网关上的一个优点在于,不再需要具有活跃的并且能够在两个不同网络中测试所述功能的用于寄放这些应用的设备。因此,可以在网关的两侧都不需要设备的情况下实施对于网关上的网关功能的自动化测试。此外,可以在没有任何网络连接可用(即“离线”)的情况下对网络网关上的网关功能进行测试。如果连接对于网络网关可用,也就是说所述网关是“在线”的以用于施行其基本接口和路由功能,将不会有用于测试的网络交通对这些连接构成负担,从而节省网络资源以用于其他目的。
此外,由于消除或减少了网络等待时间,把第一和第二应用都实施在网络网关上允许加速测试规程,这是因为在第一和第二应用之间交换的数据不必行经外部网络。举例来说,把STUN服务器和STUN客户端包括在包括NAT功能的网络网关中允许利用STUN协议来更快地确定对应于NAT功能的NAT有关信息,这是因为没有STUN消息必须通过网络的WAN侧。尽管单一网络等待时间可能非常小,但是对于使用诸如STUN来进行NAT测试,许多消息可能必须在第一和第二应用之间来回通过。其结果是,所节省的时间是单一网络等待时间的许多倍,并且因此可能相当可观。
再进一步,这样的解决方案是可扩展的,因为例如包括NAT的每一个网络网关可以包含STUN服务器以用于连接到所述NAT的LAN中的EUD。将STUN服务器实施在网络网关上的想法基于如下认识:单一网络节点(诸如例如NAT或包括NAT的家庭网关)通常具有足够的处理能力来应对针对处在这样的网络节点后方的LAN中的相对少数的EUD的NAT行为发现。因此,将STUN服务器实施在这样的网络节点上使得不再需要具有足够的容量以便为处于许多不同网络网关后方的许多个体EUD服务的中央服务器(诸如STUN服务器)。
关于图2-5,每一个网络网关11和31还可以至少包括:用于存储数据和计算机程序的存储器、用于运行计算机程序并且用于处理数据的处理器,特别是用于实施对于网关功能的测试的处理器。举例来说,路由单元14和34的功能可以被实施为存储在存储器中的用于在处理器上运行的计算机程序。此外,每一个网络网关11和31还可以可选地包括用于发送和接收消息/数据交通的通信模块。
此外,虽然前面关于用于测试特定单一网关功能的第一和第二应用的单一集合描述了网络网关11和31的实施例,但是类似的教导可以被应用于包括可能需要被测试的多于一项特定网关功能的网关。举例来说,诸如网关31之类的网络网关可以包括NAT功能和用于测试NAT功能的相关联的第一和第二应用,以及防火墙功能和用于测试防火墙功能的另一对应用。
再此外,每一个网络网关11和31还可以包括用于指示对于包括在网关中的一项或更多项网关功能的测试的结果的装置。在一个实施例中,网络网关11和31可以被提供有光源或声源,其被配置成在对于特定网关功能的测试结束时以特定方式被激活。举例来说,网络网关11和31可以包括被配置成在对于特定网关功能的测试成功时点亮的绿灯,以及被配置成在对于特定网关功能的测试揭示出某种故障时点亮的红灯。替换地或附加地,网络网关11和31可以被提供有用于显示更加详细的测试结果的显示器,和/或被配置成通过网络向其他应用提供测试结果。要提到的是,特别对于完全断开的网络网关31,本地和物理反馈可能是相关的。举例来说,可以在连接网关之前测试其防火墙功能的网络网关允许用户在安装网关之前确信所提供的安全性。
虽然在前面的示例性实施例中将虚拟网络接口22描述为处于网络网关11的LAN侧,但是对于处在网络网关的WAN侧的虚拟网络接口22可以导出类似的教导。此外,虽然前面的示例性实施例是在IP网络的情境中描述的,但是本申请的教导可以被应用于任何种类的网络,而不必是IP网络。
本发明的一个实施例可以被实施为与计算机系统一同使用的程序产品。所述程序产品的(一个或多个)程序定义各个实施例(包括这里所描述的方法)的各项功能,并且可以被包含在各种(优选地是非瞬时性的)计算机可读存储介质上。说明性的计算机可读存储介质包括但不限于:(i)信息被永久性地存储在其上的不可写存储介质(例如计算机内的只读存储器设备,诸如可由CD-ROM驱动器读取的CD-ROM盘、ROM芯片或者任何类型的固态非易失性半导体存储器);以及(ii)在其上存储可改动的信息的可写存储介质(例如软盘驱动器内的软盘或硬盘驱动器或者任何类型的固态随机访问半导体存储器、闪存)。所述计算机程序可以在这里描述的处理单元上运行。
Claims (12)
1.一种网络网关,包括:
网关功能,被配置成对于或者关于到达所述网关功能的数据施行一项或更多项预定操作;
第一应用,被实施在所述网络网关上并且被配置成通过与第二应用交换数据来参与测试所述网关功能;以及
路由单元,被配置成对在第一应用与第二应用之间交换的数据中的至少一些进行路由,从而使得所述数据中的至少一些到达所述网关功能,
其中,至少利用与第一应用相关联并且被配置成经由所述网关功能传递数据的第一虚拟网络接口来路由所述数据。
2.根据权利要求1的网络网关,其中,所述网络网关被适配成用在第一网络与第二网络之间,并且其中到达所述网关功能的所述数据中的至少部分包括在第一网络中的一个或更多网段与第二网络中的一个或更多网段之间传送的数据。
3.根据权利要求1或2的网络网关,其中,所述网络网关是家庭网关、办公室网关、运营商网络上的边缘路由器或者汽车网关。
4.根据权利要求1或2的网络网关,其中,所述网关功能包括网络地址翻译器、防火墙、内容过滤器和家长控制当中的一项或更多项。
5.根据权利要求1或2的网络网关,其中,当所述网关功能包括网络地址翻译器(NAT)时,对于网关功能的测试包括确定以下各项当中的一项或更多项:
由NAT使用的当前端口,
NAT的当前广域网互联网协议地址,
对应于NAT的当前虚拟服务器规则,
NAT的端口映射行为,
NAT的过滤行为,
NAT对于发夹的支持,
在NAT中实施的端口分配算法中的一种或更多种,
对应于NAT中的NAT绑定的超时数值,以及
在拥塞期间、在繁忙网络交通期间、在多个同时会话期间和/或在多项同时NAT绑定期间的NAT行为。
6.根据权利要求1的网络网关,其中,第一虚拟网络接口是桥组的部分。
7.根据权利要求1或6的网络网关,其中,第一虚拟网络接口包括TUN/TAP虚拟接口。
8.根据权利要求1或2的网络网关,其中,第二应用被包括在所述网络网关内。
9.根据权利要求8的网络网关,其中,利用与第二应用相关联并且被配置成经由所述网关功能传递数据的第二虚拟网络接口来路由所述数据。
10.根据权利要求8的网络网关,其中,在所述网络网关离线时实施对于所述网关功能的测试。
11.根据权利要求1或2的网络网关,还包括用于提供对于网关功能的测试的结果的一项或更多项指示的装置。
12.一种用于测试网络网关的网关功能的方法,所述网络网关至少包括被配置成对于或者关于到达网关功能的数据施行一项或更多项预定操作的网关功能以及被实施在所述网络网关上并且被配置成通过与第二应用交换数据来参与测试所述网关功能的第一应用,所述方法包括:对在第一应用与第二应用之间交换的数据中的至少一些进行路由,从而使得所述数据中的至少一些到达所述网关功能,
其中,至少利用与第一应用相关联并且被配置成经由所述网关功能传递数据的第一虚拟网络接口来路由所述数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP11193406 | 2011-12-14 | ||
| EP11193406.3 | 2011-12-14 | ||
| PCT/EP2012/075351 WO2013087752A1 (en) | 2011-12-14 | 2012-12-13 | Virtual interface applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104115473A CN104115473A (zh) | 2014-10-22 |
| CN104115473B true CN104115473B (zh) | 2018-05-25 |
Family
ID=47351689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280069776.8A Active CN104115473B (zh) | 2011-12-14 | 2012-12-13 | 网络网关及其测试方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9559935B2 (zh) |
| EP (1) | EP2792126B1 (zh) |
| CN (1) | CN104115473B (zh) |
| WO (1) | WO2013087752A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515827A (zh) * | 2015-11-26 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 一种搭建自动化测试环境的系统和方法 |
| CN109525462B (zh) * | 2018-12-14 | 2020-09-25 | 奇安信科技集团股份有限公司 | 网关测试方法及装置 |
| CN110190993A (zh) * | 2019-05-22 | 2019-08-30 | 青岛海信宽带多媒体技术有限公司 | 一种网络设备异常诊断方法、装置及计算机设备 |
| CN110855532B (zh) * | 2019-11-28 | 2021-11-26 | 安徽江淮汽车集团股份有限公司 | 车载网关测试方法、装置、设备及存储介质 |
| US20230084349A1 (en) * | 2021-09-14 | 2023-03-16 | Comcast Cable Communications, Llc | Network Restriction Circumvention Management |
| CN114900251B (zh) * | 2022-05-27 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种测试系统及方法、装置、以及电子设备 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8019889B1 (en) | 2002-05-31 | 2011-09-13 | Cisco Technology, Inc. | Method and apparatus for making end-host network address translation (NAT) global address and port ranges aware |
| US7483393B2 (en) | 2004-12-07 | 2009-01-27 | Cisco Technology, Inc. | Method and apparatus for discovering internet addresses |
| US7912046B2 (en) | 2005-02-11 | 2011-03-22 | Microsoft Corporation | Automated NAT traversal for peer-to-peer networks |
| CN101232410A (zh) * | 2005-10-14 | 2008-07-30 | 中国移动通信集团公司 | Wap网关性能的测试方法及系统 |
| EP2016727B1 (en) | 2006-04-24 | 2018-03-28 | KTFreetel Co., Ltd. | Interworking system between ip networks using different ip addressing scheme and interworking method thereof |
| DE602007008388D1 (de) | 2007-06-14 | 2010-09-23 | Nokia Siemens Networks Oy | Reduktion von Erregungsmeldungen nach Elementedurchläufen durch einen Relais-Mechanismus |
| US7933273B2 (en) | 2007-07-27 | 2011-04-26 | Sony Computer Entertainment Inc. | Cooperative NAT behavior discovery |
| US20090285198A1 (en) * | 2008-05-13 | 2009-11-19 | Broadcom Corporation | Apparatus and methods for providing media packet flow between two users operating behind a gateway device |
| CN101820382B (zh) | 2009-02-28 | 2013-02-27 | 华为技术有限公司 | 一种通告网络地址转换设备信息的方法、装置和系统 |
| GB2482441B (en) * | 2009-04-16 | 2015-02-18 | Panasonic Corp | VPN device and VPN networking method |
| JP5273001B2 (ja) | 2009-09-30 | 2013-08-28 | ブラザー工業株式会社 | 通信システム、端末装置、通信方法、及び通信プログラム |
| US8351325B2 (en) * | 2010-08-18 | 2013-01-08 | Yr20 | Method and system for layer-2 pseudo-wire rapid-deployment service over unknown internet protocol networks |
| US20140359163A1 (en) | 2011-12-14 | 2014-12-04 | Koninklijke Kpn N.V. | Methods and Systems for Enabling NAT Traversal |
| WO2013087747A1 (en) | 2011-12-14 | 2013-06-20 | Koninklijke Kpn N.V. | Methods and systems for enabling nat traversal |
| US20150098471A1 (en) | 2011-12-14 | 2015-04-09 | Koninklijke Kpn N.V. | Methods and Systems for Enabling NAT Traversal |
| EP2792127A1 (en) | 2011-12-14 | 2014-10-22 | Koninklijke KPN N.V. | Improved node in a network |
| WO2013087786A1 (en) | 2011-12-14 | 2013-06-20 | Koninklijke Kpn N.V. | Improved server communication |
-
2012
- 2012-12-13 CN CN201280069776.8A patent/CN104115473B/zh active Active
- 2012-12-13 WO PCT/EP2012/075351 patent/WO2013087752A1/en active Application Filing
- 2012-12-13 EP EP12799212.1A patent/EP2792126B1/en active Active
- 2012-12-13 US US14/364,821 patent/US9559935B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2792126A1 (en) | 2014-10-22 |
| EP2792126B1 (en) | 2020-08-12 |
| US20150016280A1 (en) | 2015-01-15 |
| WO2013087752A1 (en) | 2013-06-20 |
| US9559935B2 (en) | 2017-01-31 |
| CN104115473A (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7004405B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| JP6991646B2 (ja) | 複数のパブリッククラウドに跨る仮想ネットワークの生成 | |
| US20230179474A1 (en) | Service insertion at logical network gateway | |
| US10944673B2 (en) | Redirection of data messages at logical network gateway | |
| CN104115473B (zh) | 网络网关及其测试方法 | |
| JP6080313B2 (ja) | 仮想ネットワークを実装及び管理するシステム及び方法 | |
| US20190182155A1 (en) | Distributed Network Sharing And Traffic Isolation | |
| US9979694B2 (en) | Managing communications between virtual computing nodes in a substrate network | |
| US20160021032A1 (en) | Systems and methods for performing logical network forwarding using a controller | |
| EP3815312A1 (en) | Service insertion at logical network gateway | |
| CN109937400A (zh) | 用于虚拟机的实时迁移的流状态传送 | |
| Schlinker et al. | PEERING: Virtualizing BGP at the Edge for Research | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| US20160149748A1 (en) | Network address translation | |
| US11463356B2 (en) | Systems and methods for forming on-premise virtual private cloud resources | |
| US20130304927A1 (en) | Network address translation-based method of bypassing internet access denial | |
| US20080165683A1 (en) | Method, system, and program product for enhancing network communications between endpoints | |
| Müller et al. | Behavior and classification of NAT devices and implications for NAT traversal | |
| Scharf et al. | Monitoring and abstraction for networked clouds | |
| di Lallo et al. | How to handle ARP in a software-defined network | |
| Phifer | The trouble with NAT | |
| US11582067B2 (en) | Systems and methods for providing network connectors | |
| Al-Baiz et al. | Internet access denial by higher-tier ISPS: A NAT-based solution | |
| Abu‐Amara et al. | A scalable NAT‐based solution to Internet access denial by higher‐tier ISPs | |
| JP2012195783A (ja) | 通信システムおよびアドレス空間共有方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |