CN107547680B - 一种数据处理方法及装置 - Google Patents
一种数据处理方法及装置 Download PDFInfo
- Publication number
- CN107547680B CN107547680B CN201710512336.XA CN201710512336A CN107547680B CN 107547680 B CN107547680 B CN 107547680B CN 201710512336 A CN201710512336 A CN 201710512336A CN 107547680 B CN107547680 B CN 107547680B
- Authority
- CN
- China
- Prior art keywords
- target
- nat
- address
- port range
- table item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种数据处理方法及装置,该方法包括:接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;当确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。应用本发明实施例可以避免不存在使用需求的ACL表项对二次NAT设备的硬件资源的占用。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种数据处理方法及装置。
背景技术
在二次NAT(Network Address Translation,网络地址转换)组网中,一次NAT设备会先对私网用户的流量做一次NAT转换,而这些流量在进入公网之前,二次NAT设备会对这些流量再做一次NAT转换。
然而实践发现,在传统的二次NAT实现方案中,二次NAT设备上用于进行NAT转换的ACL(Access Control List,访问控制列表)表项是用户手工静态配置的,即使某ACL表项对应的流量一直不存在,该ACL表项仍然会占用硬件资源,导致资源浪费。
发明内容
本发明提供一种数据处理方法及装置,以解决不存在使用需求的ACL表项始终占用二次NAT设备的硬件资源的问题。
根据本发明实施例的第一方面,提供一种数据处理方法,应用于二次网络地址转换NAT组网中的二次NAT设备,该方法包括:
接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;
下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;
当确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。
根据本发明实施例的第二方面,提供一种数据处理方法,应用于二次网络地址转换NAT组网中的一次NAT设备,该方法包括:
当首个分支用户终端上线时,向二次NAT设备发送NAT资源下发请求,所述NAT资源下发请求携带有所述分支用户终端对应的一次NAT转换后的目标IP地址和目标端口范围,以使所述二次NAT设备下发针对所述目标IP地址和目标端口范围的目标ACL表项;
当确定满足删除所述目标ACL表项的条件时,向所述二次NAT设备发送针对所述目标IP地址和目标端口范围的NAT资源删除请求,以使所述二次NAT设备删除所述目标ACL表项。
根据本发明实施例的第三方面,提供一种数据处理装置,应用于二次网络地址转换NAT组网中的二次NAT设备,该装置包括:
接收单元,用于接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;
下发单元,用于下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;
确定单元,用于确定是否满足删除所述目标ACL表项的条件;
删除单元,用于当所述确定单元确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。
根据本发明实施例的第四方面,提供一种数据处理装置,应用于二次网络地址转换NAT组网中的一次NAT设备,该装置包括:
发送单元,用于当首个分支用户终端上线时,向二次NAT设备发送NAT资源下发请求,所述NAT资源下发请求携带有所述分支用户终端对应的一次NAT转换后的目标IP地址和目标端口范围,以使所述二次NAT设备下发针对所述目标IP地址和目标端口范围的目标ACL表项;
确定单元,用于确定是否满足删除所述目标ACL表项的条件;
所述发送单元,还用于当所述确定单元确定满足删除所述目标ACL表项的条件时,向所述二次NAT设备发送针对所述目标IP地址和目标端口范围的NAT资源删除请求,以使所述二次NAT设备删除所述目标ACL表项。
应用本发明实施例,当通过一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求,触发二次NAT设备动态下发针对目标IP地址和目标端口范围的目标ACL表项;当二次NAT设备确定满足删除目标ACL表项的条件时,二次NAT设备删除目标ACL表项,实现了二次NAT设备上ACL表项的动态下发,避免了不存在使用需求的ACL表项对二次NAT设备的硬件资源的占用。
附图说明
图1是一种二次NAT组网的系统架构示意图;
图2是本发明实施例提供的一种数据处理方法的流程示意图;
图3是本发明实施例提供的一种数据处理方法的流程示意图;
图4是本发明实施例提供的一种具体应用场景的架构示意图;
图5A是本发明实施例提供的一种一次NAT设备侧的数据处理方法的流程示意图;
图5B是本发明实施例提供的一种二次NAT设备侧的数据处理方法的流程示意图;
图6是本发明实施例提供的一种数据处理装置的结构示意图;
图7是本发明实施例提供的另一种数据处理装置的结构示意图;
图8是本发明实施例提供的另一种数据处理装置的结构示意图;
图9是本发明实施例提供的一种数据处理装置的结构示意图;
图10是本发明实施例提供的另一种数据处理装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,下面先对二次NAT组网的系统架构进行简单描述。
请参见图1,为一种典型的二次NAT组网的系统架构示意图,如图1所示,在该系统架构中,分支用户终端(如PC(Personal Computer,个人计算机))的需要访问公网时,用户终端的数据流量需要先在一次NAT设备上进行第一次NAT转换,然后,在出口设备(二次NAT设备)上进行第二次NAT转换。
其中,一次NAT设备和二次NAT设备可以为路由器、交换机等具有NAT功能的网络设备;分支用户终端是指处于私网网段内,且通过一次NAT设备接入二次NAT设备的用户终端,一个一次NAT设备连接的多个分支用户终端可以属于同一私网网段(本文中称为分支用户网段)或多个不同的私网网段。
为了使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图2,为本发明实施例提供的一种数据处理方法的流程示意图,其中,该数据处理方案可以应用图1所示系统架构中的一次NAT设备,如图2所示,该数据处理方法可以包括:
步骤201、当首个分支用户上线时,向二次NAT设备发送NAT资源下发请求,该NAT资源下发请求中携带有该分支用户终端对应的一次NAT转换后的目标IP地址和目标端口范围,以使二次NAT设备下发针对该目标IP地址和目标端口范围的目标ACL表项。
本发明实施例中,当一次NAT设备检测到首个分支用户终端(如图1所示系统架构中的与该一次NAT设备连接的任一用户终端)上线时,一次NAT设备可以从NAT地址池中的获取预先配置的该分支用户终端对应的一次NAT转换后的IP地址(本文中称为目标IP地址)和端口范围(本文中称为目标端口范围),并向二次NAT设备发送针对该目标IP地址和目标端口范围的NAT资源下发请求。
其中,二次NAT设备接收到一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求之后的处理流程可以参见图3所示方法流程中的相关描述,本发明实施例在此不做赘述。
步骤202、当确定满足删除所述目标ACL表项的条件时,向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源删除请求,以使二次NAT设备删除该目标ACL表项。
本发明实施例中,为了提高二次NAT设备的资源利用率,避免不存在使用需求的ACL表项占用二次NAT设备的硬件资源,一次NAT设备可以在确定满足删除目标ACL表项的条件时,向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源删除请求,以使二次NAT设备删除该目标ACL表项,避免该目标ACL表项对二次NAT设备的硬件资源的占用。
在本发明其中一个实施例中,上述确定满足删除目标ACL表项的条件,可以包括:
当在预设时间内未检测到分支用户网段的流量,且分支用户终端的会话为空时,确定满足所述目标ACL表项的删除条件。
在该实施例中,当一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求之后,若在预设时间内(可以根据实际场景设定,如120秒)未检测到分支用户网段(即该一次NAT设备连接的分支用户终端所属的网段),且分支用户终端会话为空(即所有的分支用户终端均下线)时,一次NAT设备可以确定满足删除目标ACL表项的条件,此时,一次NAT设备可以向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源删除请求,以使二次NAT设备删除目标ACL表项。
在本发明另一个实施例中,上述确定满足删除目标ACL表项的条件,可以包括:
当目标IP地址或/和目标端口范围变更时,确定满足目标ACL表项的删除条件。
在该实施例中,当一次NAT设备上配置的NAT地址池中对应分支用户终端的目标IP地址或/和目标端口范围变更时,一次NAT设备可以确定满足目标ACL表项的删除条件,此时,一次NAT设备可以向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源删除请求,以使二次NAT设备删除目标ACL表项。
值得说明的是,在该实施例中,当目标IP地址或/和目标端口范围变更时,一次NAT设备还需要向二次NAT设备发送针对变更后的目标IP地址或/和目标端口范围的NAT资源下发请求,以使二次NAT设备下发针对该变更后的目标IP地址或/和目标端口范围的ACL表项,其具体实现在此不做赘述。
进一步地,在本发明实施例中,为了提高数据处理的安全性,一次NAT设备可以使能安全检测功能,并与二次NAT设备协商用于安全检测的安全检测标识,当一次NAT设备使能了安全检测功能时,一次NAT设备向二次NAT设备发送NAT资源下发请求、NAT资源删除请求以及流量时,需要携带该安全检测标识,以使二次NAT设备根据该安全检测标识对接收到的NAT资源下发(或删除)请求以及流量进行合法性检测。
相应地,在本发明实施例其中一个实施例中,上述向二次NAT设备发送NAT资源下发请求之前,还可以包括:
判断一次NAT设备是否使能安全检测功能;
若使能,则在向二次NAT设备发送的NAT资源下发请求中携带安全检测标识。
在该实施例中,当一次NAT设备需要向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求时,一次NAT设备需要先判断自身是否使能了安全检测功能,若一次NAT设备使能了安全检测功能,则一次NAT设备需要在该NAT资源下发请求中携带预先协商的安全检测标识。当二次NAT设备接收到一次NAT设备发送的NAT资源下发请求,且发现该NAT资源下发请求中携带有预先协商的安全检测标识时,确定需要根据预先协商的安全检测标识对一次NAT设备发送的NAT资源下发(或删除)请求以及流量等进行合法性检测,从而,可以提高数据处理的安全性。
在该实施例的一种可选实施例中,上述安全检测功能可以为记录路由(recordroute)功能,相应地,上述安全检测标识可以为携带在报文的record router扩展头中的一次NAT设备的路由器标识(Router ID)。当一次NAT设备使能了记录路由功能时,一次NAT设备向二次NAT设备发送的NAT资源下发请求、NAT资源删除请求以及流量时,需要在报文的record router扩展头中携带一次NAT设备的路由器标识,以使二次NAT设备记录该一次NAT设备的路由器标识,并根据该路由器标识进行流量合法性检测。
相应地,在本发明实施例其中一个实施例中,上述向二次NAT设备发送NAT资源下发请求之前,还可以包括:
判断一次NAT设备是否使能记录路由功能;
若使能,则在向二次NAT设备发送的NAT资源下发请求的record router扩展头中携带第一NAT设备的路由器标识。
在该实施例中,当一次NAT设备需要向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求时,一次NAT设备需要先判断自身是否使能了记录路由功能,若一次NAT设备使能了记录路由功能,则一次NAT设备需要在该NAT资源下发请求的recordrouter扩展头中携带一次NAT设备的路由器标识。
进一步地,在该实施例中,上述在向二次NAT设备发送的NAT资源下发请求中携带安全检测标识之后,还可以包括:
在向二次NAT设备发送的目标IP地址和目标端口范围的流量中携带安全检测标识。
在该实施例中,当一次NAT设备使能了安全检测功能时,一次NAT设备向二次NAT设备发送携带安全检测标识的NAT资源下发请求之后,一次NAT设备向二次NAT设备发送目标IP地址和目标端口范围的流量(即源IP地址为目标IP地址,源端口处于目标端口范围的流量)时,也需要在该流量中携带安全检测标识,以使二次NAT设备根据该安全检测标识对该流量进行合法性检查。
值得说明的是,在本发明实施例中,若一次NAT设备未使能安全检测功能,则一次NAT设备向二次NAT设备发送的NAT资源下发请求、NAT资源删除请求以及流量等均不需要携带安全检测标识,相应地,二次NAT设备也不需要根据安全检测标识对第一NAT设备发送的流量进行安全性检查。
请参见图3,为本发明实施例提供的一种数据处理方法的流程示意图,其中,该数据处理方案可以应用图1所示系统架构中的二次NAT设备,如图3所示,该数据处理方法可以包括:
需要说明的是,在本发明实施例中,步骤301~步骤302的执行主体可以为二次NAT设备的控制单元,如CPU(Center Process Unit,中央处理单元)。
步骤301、接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求。
本发明实施例中,一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
步骤302、下发针对目标IP地址和目标端口范围的目标ACL表项,该目标ACL表项用于指示二次NAT设备对目标IP地址和目标端口范围的流量进行NAT转换。
本发明实施例中,二次NAT设备接收到一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求时,可以获取预先配置的对应该目标IP地址和目标端口范围的NAT地址,并根据该NAT地址下发针对目标IP地址和目标端口范围的ACL表项(本文中称为目标ACL表项)。
具体地,二次NAT设备的控制单元接收到针对目标IP地址和目标端口范围的NAT资源下发请求时,可以向交换芯片下发携带有该目标IP地址、目标端口范围以及对应的NAT地址的ACL配置,以使交换芯片根据该ACL配置生成对应的ACL表项。
其中,该ACL表项的格式可以如表1所示:
表1
进一步地,在本发明实施例中,考虑到当一次NAT设备发生重启,且有分支用户终端上线时,一次NAT设备会再次向二次NAT设备发送针对目标IP地址和目标地址范围的NAT资源下发请求,此时,二次NAT设备不需要再次下发针对目标IP地址和目标地址范围的ACL表项,而只需要刷新对应的ACL表项即可。
相应地,在本发明其中一个实施例中,上述下发针对目标IP地址和目标端口范围的目标ACL表项之前,还可以包括:
判断是否存在针对目标IP地址和目标端口范围的目标ACL表项;
若存在,则刷新目标ACL表项的老化时间;
否则,确定执行上述下发针对目标IP地址和目标端口范围的目标ACL表项。
在该实施例中,二次NAT设备接收到一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求时,二次NAT设备可以先查询是否存在针对目标IP地址和目标端口范围的目标ACL表项;若存在,则二次NAT设备不需要再次下发针对目标IP地址和目标端口范围的目标ACL表项,而只需要刷新该目标ACL表项的老化时间(可以根据实际场景设定,如120秒);否则,二次NAT设备可以下发针对目标IP地址和目标端口范围的目标ACL表项。
步骤303、当确定满足删除目标ACL表项的条件时,删除目标ACL表项。
本发明实施例中,为了提高二次NAT设备的资源利用率,避免不存在使用需求的ACL表项占用二次NAT设备的硬件资源,二次NAT设备在下发ACL表项之后,若确定满足删除该ACL表项的条件,则可以删除该ACL表项,以避免该ACL表项占用二次NAT设备的硬件资源。
在本发明其中一个实施例中,上述确定满足删除目标ACL表项的条件,可以包括:
当接收到一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源删除请求时,确定满足删除目标ACL表项的条件。
在该实施例中,一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源删除请求的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
在该实施例中,当二次NAT设备接收到一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源删除时,二次NAT设备可以确定满足删除目标ACL表项的条件,此时,二次NAT设备可以删除目标ACL表项,以避免目标ACL表项对硬件资源的占用。
具体地,在该实施例中,当二次NAT设备的控制单元接收到针对目标IP地址和目标端口范围的NAT资源删除请求时,可以向交换芯片下发针对目标ACL表项的删除指令,以使交换芯片删除上述目标ACL表项。
在本发明另一个实施例中,上述确定满足删除目标ACL表项的条件,可以包括:
当目标ACL表项的老化时间超时时,确定满足删除目标ACL表项的条件。
在该实施例中,二次NAT设备下发针对目标IP地址和目标端口范围的目标ACL表项之后,可以针对该目标ACL表项进行老化时间计时,例如,二次NAT设备可以启动一个老化定时器,当二次NAT设备接收到目标ACL表项相关的NAT资源下发请求或流量时,二次NAT设备可以刷新该目标ACL表项的老化时间,例如,重置老化定时器;当二次NAT设备检测到目标ACL表项的老化时间超时时,二次NAT设备可以确定满足删除目标ACL表项的条件,此时,二次NAT设备可以删除目标ACL表项,以避免目标ACL表项对硬件资源的占用。
具体地,在该实施例中,当二次NAT设备的控制单元检测到目标ACL表项的老化时间超时时,可以向交换芯片下发针对目标ACL表项的删除指令,以使交换芯片删除上述目标ACL表项。
进一步地,在本发明实施例中,为了提高数据处理的安全性,一次NAT设备向二次NAT设备发送的NAT资源请求中还可以包括预先协商的安全检测标识。
相应地,在本发明其中一个实施例中,上述下发针对目标IP地址和目标端口范围的目标ACL表项之后,还可以包括:
对应目标ACL表项记录安全检测标识。
在该实施例中,当一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求,且该NAT资源下发请求中携带有安全检测标识时,二次NAT设备下发针对目标IP地址和目标端口范围的目标ACL表项之后,还需要对应该目标ACL表项记录该安全检测标识。
例如,二次NAT设备下发的针对目标IP地址和目标端口范围的目标ACL表项的格式可以如表2所示:
表2
进一步地,在该实施例中,当接收到源IP地址为目标IP地址,且源端口处于目标端口范围的流量时,需要判断该流量中是否携带有安全检测标识,若携带有,则根据目标ACL表项对流量进行NAT转换;否则,即流量中未携带安全检测标识,或,流量中携带的安全检测标识与预先协商的安全标识不一致,拒绝根据目标ACL表项对流量进行NAT转换,例如,可以直接丢弃该流量。
进一步地,为了提高一次NAT设备与二次NAT设备之间交互的协议报文的安全性,一次NAT设备与二次NAT设备之间交互的协议报文可以通过IPSEC(Internet ProtocolSecurity,互联网协议安全性)进行加密,其具体实现在此不做赘述。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明提供的技术方案进行说明。
请参见图4,为本发明实施例提供的一种具体应用场景的架构示意图,如图4所示,在该应用场景中,Router A为二次NAT设备,Router B为一次NAT设备,Router A和Router B互相指定对方为NAT PEER(对等体),并设置有sharekey(共享密钥),其中,该sharekey用于Router A和Router B之间的报文合法性检查;Router B的路由器标识为192.168.4.1;分支用户网段为192.168.4.0/24,Router B的NAT地址池中为分支用户终端配置的IP地址和端口范围分别为3.3.3.3和2000-2999;Router A的NAT地址池中为IP地址:3.3.3.3和端口范围:2000-2999配置的公网地址为10.10.10.10。
基于图4所述的应用场景,本发明实施例提供的数据处理方法的实现流程如下:
一、Router B的处理流程
1、当首个分支用户终端上线时,Router B确定需要向Router A发送针对目标IP地址(3.3.3.3)和目标端口范围(2000-2999)的NAT资源下发请求;
2、Router B判断自身是否使能了记录路由功能;若使能,则在NAT资源下发请求的record route扩展头中携带Router B的路由器标识(192.168.4.1);否则,不在NAT资源下发请求的record route扩展头中携带Router B的路由器标识;
3、Router B向Router A发送针对目标IP地址(3.3.3.3)和目标端口范围(2000-2999)的NAT资源下发请求;
4、当在预设时间(如120秒)内未检测到分支用户网段(192.168.4.0/24)的流量,且分支用户终端的会话为空时,Router B向Router A发送针对IP地址(3.3.3.3)和目标端口范围(2000-2999)的NAT资源删除请求。其中,若Router B使能了记录路由功能,则RouterB发送的NAT资源删除请求的record route扩展头中也需要携带Router B的路由器标识。
其中,Router B的数据处理流程可以如图5A所示。
二、Router A的处理流程
1、当Router A接收到针对目标IP地址(3.3.3.3)和目标端口范围(2000-2999)的NAT资源下发请求时,判断本地是否存在针对3.3.3.3和2000-2999的目标ACL表项;若有,转至步骤2;否则,转至步骤3;
其中,Router A接收到Router B发送的报文时,会根据预设的sharekey对报文的payload(负载)部分的签名进行合法性检查,其具体实现在此不做赘述。
2、刷新该目标ACL表项的老化时间;
3、判断NAT资源下发请求的record route扩展头中是否携带有Router B的路由器标识(192.168.4.1);若是,则下发如表3所示的目标ACL表项;否则,下发如表4所示的目标ACL表项;其中,假设老化时间为120秒;
表3
表4
其中,当Router A接收到Router B发送的源IP地址为3.3.3.3,源端口处于2000-2999的流量时,查询对应的ACL表项,若该ACL表项中记录有Router B的路由器标识(即Router B使能了记录路由功能),则判断该流量的record route扩展头中是否携带有Router B的路由器标识(192.168.4.1),若携带有,则根据查询到的ACL表项进行NAT处理;否则,丢弃该流量。若该ACL表项中未记录有Router B的路由器标识(即Router B未使能记录路由功能),则根据查询到的ACL表项进行NAT处理;
4、当接收到Router A发送的针对3.3.3.3和2000-2999的NAT资源删除请求(针对表3所示的ACL表项,还需要该NAT资源删除请求的record route扩展头中携带有Router B的路由器标识),或目标ACL表项的老化时间超时时,删除目标ACL表项。
其中,Router A的数据处理流程可以如图5B所示。
通过以上描述可以看出,在本发明实施例提供的技术方案中,当通过一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求,触发二次NAT设备动态下发针对目标IP地址和目标端口范围的目标ACL表项;当二次NAT设备确定满足删除目标ACL表项的条件时,二次NAT设备删除目标ACL表项,实现了二次NAT设备上ACL表项的动态下发,避免了不存在使用需求的ACL表项对二次NAT设备的硬件资源的占用。
请参见图6,为本发明实施例提供的一种数据处理装置的结构示意图,其中,该装置可以应用于上述方法实施例中的二次NAT设备,如图6所示,该数据处理装置可以包括:
接收单元610,用于接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;
下发单元620,用于下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;
确定单元630,用于确定是否满足删除所述目标ACL表项的条件;
删除单元640,用于当所述确定单元确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。
在可选实施例中,所述确定单元630,具体用于当所述接收单元接收到所述一次NAT设备发送的针对所述目标IP地址和目标端口范围的NAT资源删除请求时,确定满足删除所述目标ACL表项的条件;或,当所述目标ACL表项的老化时间超时时,确定满足删除所述目标ACL表项的条件。
请一并参见图7,为本发明实施例提供的另一种数据处理装置的结构示意图,如图7所示,在图6所示数据处理装置的基础上,图7所示的数据处理装置还可以包括:
第一判断单元650,用于判断是否存在针对所述目标IP地址和目标端口范围的目标ACL表项;
所述下发单元620,具体用于若存在针对所述目标IP地址和目标端口范围的目标ACL表项,则刷新所述目标ACL表项的老化时间;否则,下发针对所述目标IP地址和目标端口范围的目标ACL表项。
在可选实施例中,所述下发单元620,还用于当所述NAT资源下发请求中包括安全检测标识时,对应所述目标ACL表项记录所述安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定;
相应地,请一并参见图8,为本发明实施例提供的另一种数据处理装置的结构示意图,如图8所示,在图6所示数据处理装置的基础上,图8所示的数据处理装置还可以包括:
第二判断单元660,用于当所述接收单元610接收到源IP地址为所述目标IP地址,且源端口处于所述目标端口范围的流量时,判断所述流量中是否携带有所述安全检测标识;
NAT处理单元670,用于若所述流量中携带有所述安全检测标识,则根据所述目标ACL表项对所述流量进行NAT转换;否则,拒绝根据所述目标ACL表项对所述流量进行NAT转换。
请参见图9,为本发明实施例提供的一种数据处理装置的结构示意图,其中,该装置可以应用于上述方法实施例中的一次NAT设备,如图9所示,该数据处理装置可以包括:
发送单元910,用于当首个分支用户终端上线时,向二次NAT设备发送NAT资源下发请求,所述NAT资源下发请求携带有所述分支用户终端对应的一次NAT转换后的目标IP地址和目标端口范围,以使所述二次NAT设备下发针对所述目标IP地址和目标端口范围的目标ACL表项;
确定单元920,用于确定是否满足删除所述目标ACL表项的条件;
所述发送单元910,还用于当所述确定单元确定满足删除所述目标ACL表项的条件时,向所述二次NAT设备发送针对所述目标IP地址和目标端口范围的NAT资源删除请求,以使所述二次NAT设备删除所述目标ACL表项。
在可选实施例中,所述确定单元920,具体用于当在预设时间内未检测到分支用户网段的流量,且分支用户终端的会话为空时,确定满足所述目标ACL表项的删除条件;或,当所述目标IP地址或/和端口范围变更时,确定满足所述目标ACL表项的删除条件。
请一并参见图10,为本发明实施例提供的另一种数据处理装置的结构示意图,如图10所示,在图9所示数据处理装置的基础上,图10所示的数据处理装置还包括:
判断单元930,用于判断所述一次NAT设备是否使能安全检测功能;
所述发送单元910,具体用于若所述一次NAT设备使能安全检测功能,则向所述二次NAT设备发送的NAT资源下发请求中携带安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定。
在可选实施例中,所述发送单元910,还用于在向所述二次NAT设备发送的所述目标IP地址和目标端口范围的流量中携带所述安全检测标识。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当通过一次NAT设备向二次NAT设备发送针对目标IP地址和目标端口范围的NAT资源下发请求,触发二次NAT设备动态下发针对目标IP地址和目标端口范围的目标ACL表项;当二次NAT设备确定满足删除目标ACL表项的条件时,二次NAT设备删除目标ACL表项,实现了二次NAT设备上ACL表项的动态下发,避免了不存在使用需求的ACL表项对二次NAT设备的硬件资源的占用。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (16)
1.一种数据处理方法,应用于二次网络地址转换NAT组网中的二次NAT设备,其特征在于,该方法包括:
接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;所述目标IP地址和所述目标端口范围是所述一次NAT设备对已上线的分支用户终端所属私网网段进行NAT转换得到的;
下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;
当确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。
2.根据权利要求1所述的方法,其特征在于,所述确定满足删除所述目标ACL表项的条件,包括:
当接收到所述一次NAT设备发送的针对所述目标IP地址和目标端口范围的NAT资源删除请求时,确定满足删除所述目标ACL表项的条件;或,
当所述目标ACL表项的老化时间超时时,确定满足删除所述目标ACL表项的条件。
3.根据权利要求1所述的方法,其特征在于,所述下发针对所述目标IP地址和目标端口范围的目标ACL表项之前,还包括:
判断是否存在针对所述目标IP地址和目标端口范围的目标ACL表项;
若存在,则刷新所述目标ACL表项的老化时间;
否则,确定执行所述下发针对所述目标IP地址和目标端口范围的目标ACL表项的步骤。
4.根据权利要求1所述的方法,其特征在于,所述NAT资源下发请求中包括安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定;
所述下发针对所述目标IP地址和目标端口范围的目标ACL表项之后,还包括:
对应所述目标ACL表项记录所述安全检测标识;
所述方法还包括:
当接收到源IP地址为所述目标IP地址,且源端口处于所述目标端口范围的流量时,判断所述流量中是否携带有所述安全检测标识;
若携带有,则根据所述目标ACL表项对所述流量进行NAT转换;
否则,拒绝根据所述目标ACL表项对所述流量进行NAT转换。
5.一种数据处理方法,应用于二次网络地址转换NAT组网中的一次NAT设备,其特征在于,该方法包括:
当首个分支用户终端上线时,向二次NAT设备发送NAT资源下发请求,所述NAT资源下发请求携带有所述分支用户终端所属私网网段对应的一次NAT转换后的目标IP地址和目标端口范围,以使所述二次NAT设备下发针对所述目标IP地址和目标端口范围的目标ACL表项;
当确定满足删除所述目标ACL表项的条件时,向所述二次NAT设备发送针对所述目标IP地址和目标端口范围的NAT资源删除请求,以使所述二次NAT设备删除所述目标ACL表项。
6.根据权利要求5所述的方法,其特征在于,所述确定满足所述目标ACL表项的删除条件,包括:
当在预设时间内未检测到分支用户网段的流量,且分支用户终端的会话为空时,确定满足所述目标ACL表项的删除条件;或,
当所述目标IP地址或/和端口范围变更时,确定满足所述目标ACL表项的删除条件。
7.根据权利要求5所述的方法,其特征在于,所述向二次NAT设备发送NAT资源下发请求之前,还包括:
判断所述一次NAT设备是否使能安全检测功能;
若使能,则在向所述二次NAT设备发送的NAT资源下发请求中携带安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定。
8.根据权利要求7所述的方法,其特征在于,所述在向所述二次NAT设备发送的NAT资源下发请求中携带安全检测标识之后,还包括:
在向所述二次NAT设备发送的所述目标IP地址和目标端口范围的流量中携带所述安全检测标识。
9.一种数据处理装置,应用于二次网络地址转换NAT组网中的二次NAT设备,其特征在于,该装置包括:
接收单元,用于接收一次NAT设备发送的针对目标IP地址和目标端口范围的NAT资源下发请求;所述目标IP地址和所述目标端口范围是所述一次NAT设备对已上线的分支用户终端所属私网网段进行NAT转换得到的;
下发单元,用于下发针对所述目标IP地址和目标端口范围的目标访问控制列表ACL表项,所述目标ACL表项用于指示所述二次NAT设备对所述目标IP地址和目标端口范围的流量进行NAT转换;
确定单元,用于确定是否满足删除所述目标ACL表项的条件;
删除单元,用于当所述确定单元确定满足删除所述目标ACL表项的条件时,删除所述目标ACL表项。
10.根据权利要求9所述的装置,其特征在于,
所述确定单元,具体用于当所述接收单元接收到所述一次NAT设备发送的针对所述目标IP地址和目标端口范围的NAT资源删除请求时,确定满足删除所述目标ACL表项的条件;或,当所述目标ACL表项的老化时间超时时,确定满足删除所述目标ACL表项的条件。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第一判断单元,用于判断是否存在针对所述目标IP地址和目标端口范围的目标ACL表项;
所述下发单元,具体用于若存在针对所述目标IP地址和目标端口范围的目标ACL表项,则刷新所述目标ACL表项的老化时间;否则,下发针对所述目标IP地址和目标端口范围的目标ACL表项。
12.根据权利要求9所述的装置,其特征在于,
所述下发单元,还用于当所述NAT资源下发请求中包括安全检测标识时,对应所述目标ACL表项记录所述安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定;
所述装置还包括:
第二判断单元,用于当所述接收单元接收到源IP地址为所述目标IP地址,且源端口处于所述目标端口范围的流量时,判断所述流量中是否携带有所述安全检测标识;
NAT处理单元,用于若所述流量中携带有所述安全检测标识,则根据所述目标ACL表项对所述流量进行NAT转换;否则,拒绝根据所述目标ACL表项对所述流量进行NAT转换。
13.一种数据处理装置,应用于二次网络地址转换NAT组网中的一次NAT设备,其特征在于,该装置包括:
发送单元,用于当首个分支用户终端上线时,向二次NAT设备发送NAT资源下发请求,所述NAT资源下发请求携带有所述分支用户终端所属私网网段对应的一次NAT转换后的目标IP地址和目标端口范围,以使所述二次NAT设备下发针对所述目标IP地址和目标端口范围的目标ACL表项;
确定单元,用于确定是否满足删除所述目标ACL表项的条件;
所述发送单元,还用于当所述确定单元确定满足删除所述目标ACL表项的条件时,向所述二次NAT设备发送针对所述目标IP地址和目标端口范围的NAT资源删除请求,以使所述二次NAT设备删除所述目标ACL表项。
14.根据权利要求13所述的装置,其特征在于,
所述确定单元,具体用于当在预设时间内未检测到分支用户网段的流量,且分支用户终端的会话为空时,确定满足所述目标ACL表项的删除条件;或,当所述目标IP地址或/和端口范围变更时,确定满足所述目标ACL表项的删除条件。
15.根据权利要求13所述的装置,其特征在于,所述装置还包括:
判断单元,用于判断所述一次NAT设备是否使能安全检测功能;
所述发送单元,具体用于若所述一次NAT设备使能记录路由功能,则向所述二次NAT设备发送的NAT资源下发请求中携带安全检测标识;所述安全检测标识由所述一次NAT设备和所述二次NAT设备协商确定。
16.根据权利要求15所述的装置,其特征在于,
所述发送单元,还用于在向所述二次NAT设备发送的所述目标IP地址和目标端口范围的流量中携带所述安全检测标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710512336.XA CN107547680B (zh) | 2017-06-29 | 2017-06-29 | 一种数据处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710512336.XA CN107547680B (zh) | 2017-06-29 | 2017-06-29 | 一种数据处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547680A CN107547680A (zh) | 2018-01-05 |
| CN107547680B true CN107547680B (zh) | 2020-11-06 |
Family
ID=60970954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710512336.XA Active CN107547680B (zh) | 2017-06-29 | 2017-06-29 | 一种数据处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547680B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111752245B (zh) * | 2020-06-30 | 2021-06-25 | 北京和利时智能技术有限公司 | 数据访问及处理方法、装置、设备及可读存储介质 |
| CN113132241B (zh) * | 2021-05-07 | 2022-05-24 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
| CN114978809B (zh) * | 2022-06-23 | 2024-01-12 | 惠州华阳通用电子有限公司 | 一种车载以太网vlan节点配置方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150519A (zh) * | 2007-10-30 | 2008-03-26 | 杭州华三通信技术有限公司 | 网络地址转换业务控制方法及装置 |
| CN102045320A (zh) * | 2009-10-19 | 2011-05-04 | 中兴通讯股份有限公司 | 安全策略的老化方法及装置 |
| CN102215273A (zh) * | 2010-04-12 | 2011-10-12 | 杭州华三通信技术有限公司 | 一种为内网用户提供外网接入的方法和装置 |
| CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154415B1 (en) * | 2012-09-18 | 2015-10-06 | Cisco Technology, Inc. | Parallel processing for low latency network address translation |
-
2017
- 2017-06-29 CN CN201710512336.XA patent/CN107547680B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150519A (zh) * | 2007-10-30 | 2008-03-26 | 杭州华三通信技术有限公司 | 网络地址转换业务控制方法及装置 |
| CN102045320A (zh) * | 2009-10-19 | 2011-05-04 | 中兴通讯股份有限公司 | 安全策略的老化方法及装置 |
| CN102215273A (zh) * | 2010-04-12 | 2011-10-12 | 杭州华三通信技术有限公司 | 一种为内网用户提供外网接入的方法和装置 |
| CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| ACL和NAT综合实验的设计与仿真实现;王海珍,廉佐政;《实验室研究与探索》;20160630;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547680A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10050870B2 (en) | Handling multipath flows in service function chaining | |
| US9660833B2 (en) | Application identification in records of network flows | |
| CN108234522B (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| CN112217771B (zh) | 基于租户信息的数据转发方法及数据转发装置 | |
| CN107547680B (zh) | 一种数据处理方法及装置 | |
| US10462735B2 (en) | Method, terminal and computer storage medium for realizing network access in non-local network | |
| CN109495594B (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
| WO2011147371A1 (zh) | 一种实现虚拟机间数据传输的方法和系统 | |
| CN103795622A (zh) | 一种报文转发方法及其装置 | |
| US20230254286A1 (en) | Vpn deep packet inspection | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| EP3016423A1 (en) | Network safety monitoring method and system | |
| CN102045379A (zh) | 一种进行ip存储的方法、系统和存储设备 | |
| US10785147B2 (en) | Device and method for controlling route of traffic flow | |
| CN106161340B (zh) | 业务分流方法和系统 | |
| US10567551B1 (en) | System and method for improving infrastructure to infrastructure communications | |
| CN106878099B (zh) | 一种流量管理方法、终端设备、服务器及系统 | |
| CN110336793B (zh) | 一种内网访问方法及相关装置 | |
| TW201818699A (zh) | 資料傳輸的方法、設備、裝置及系統 | |
| CN110971701A (zh) | 物联网通信方法及装置 | |
| US20160080276A1 (en) | Methods and arrangement for adapting quality of service for a private channel based on service awareness | |
| CN110430111B (zh) | 一种OpenVPN的数据传输方法及VPN服务器 | |
| CN110324826B (zh) | 一种内网访问方法及相关装置 | |
| CN113873491A (zh) | 通信装置、系统和计算机可读存储介质 | |
| CN107547478B (zh) | 报文传输方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |