CN107682470B - 一种检测nat地址池中公网ip可用性的方法及装置 - Google Patents

一种检测nat地址池中公网ip可用性的方法及装置 Download PDF

Info

Publication number
CN107682470B
CN107682470B CN201710958185.0A CN201710958185A CN107682470B CN 107682470 B CN107682470 B CN 107682470B CN 201710958185 A CN201710958185 A CN 201710958185A CN 107682470 B CN107682470 B CN 107682470B
Authority
CN
China
Prior art keywords
nat
session connection
public network
address
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710958185.0A
Other languages
English (en)
Other versions
CN107682470A (zh
Inventor
张小凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710958185.0A priority Critical patent/CN107682470B/zh
Publication of CN107682470A publication Critical patent/CN107682470A/zh
Application granted granted Critical
Publication of CN107682470B publication Critical patent/CN107682470B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing

Abstract

本申请提供一种检测NAT地址池中公网IP可用性的方法,所述方法包括:在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并判断NAT会话连接是否为无效连接;在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。应用本方案,可以有效地提高源地址网络地址转换的转换效率。

Description

一种检测NAT地址池中公网IP可用性的方法及装置
技术领域
本申请涉及计算机网络领域,尤其涉及一种检测NAT地址池中公网IP可用性的方法及装置。
背景技术
近年来,随着Internet的不断发展,Internet用户不断增加,相应的需要为越来越多的PC进行IP地址分配。但是IPv4地址数量是有限的,为每台PC分配IPv4地址显然是不可行的,而且IPv4地址已经逐渐耗尽。由此而产生了一种NAT(Network AddressTranslation,网络地址转换)技术,NAT解决了IP地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的PC。NAT分为基于源IP地址的NAT和基于目的IP地址的NAT,简称源NAT和目的NAT。基于源IP地址的NAT是指对发起会话连接的IP报文头中的源IP地址进行转换,通过将网络内部的私网地址转换为网络外部的公网地址,来实现网络内部用户访问网络外部的资源。基于目的IP地址的NAT是指对发起会话连接的IP报文头中的目的IP地址进行转换。其中基于源IP地址的NAT,NAT设备在网络传输过程中需要记录每一个进行了源NAT的会话连接,并形成源NAT表项以供反向报文进行NAT还原处理。通常情况下进行源NAT处理,选取转换的公网IP地址时,不能确定源NAT地址池中哪个公网IP地址是可以实现有效会话连接的,所以这样就会导致源NAT会话连接中出现大量无效的会话连接。这样不仅会增加NAT表项的查询时间,并且进行NAT处理后无法正常进行会话连接,也会影响用户的上网体验。
现有的技术方案是,在进行源NAT选取公网IP时,按照源地址哈希在NAT地址池范围中选取公网IP,来实现会话连接。
现有的技术方案缺点是,进行源NAT处理选取公网IP时,未确定转换为此公网IP后形成的会话连接是否有效,这样有可能导致此次转换形成的会话连接是无效连接,意味着此次源NAT中选取的公网IP并不适用于本次会话连接,即此次源NAT中选取的公网IP在本次会话连接中为不可用IP,以至于降低了源地址网络地址转换的有效性。
发明内容
有鉴于此,本申请提供一种检测NAT地址池中公网IP可用性的方法及装置。
具体地,本申请是通过如下技术方案实现的:
一种检测NAT地址池中公网IP可用性的方法,所述方法包括:
在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并判断NAT会话连接是否为无效连接;
在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;
在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。
一种检测NAT地址池中公网IP可用性的装置,所述装置包括:
公网IP查询单元,用于在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
转换单元,用于根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
会话连接记录单元,用于在转换成功的情况下,记录所述客户端与服务端的NAT会话连接;
判断单元,用于判断所述NAT会话连接是否为无效连接;
不可用公网IP确定单元,用于在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;
可用公网IP确定单元,用于在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。
本发明通过判断会话连接是否为无效连接,根据判断结果确定NAT地址池中公网IP的可用性,对于在本次会话连接中不可用IP进行标记,对后续报文中的源IP地址进行转换时不再采用已标记过的公网IP,提高了源地址网络地址转换的有效性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例示出的一种应用场景图;
图2是本申请一示例性实施例示出的检测NAT地址池中公网IP可用性的方法的一种实施流程图;
图3是本申请一示例性实施例示出的源IP地址网络地址转换流程示意图;
图4是本申请一示例性实施例示出的检测NAT地址池中公网IP可用性的装置的一种结构示意图;
图5是本申请一示例性实施例示出的检测NAT地址池中公网IP可用性的装置的一种优选结构示意图。
具体实施方式
首先对本申请实施例所提供的一种检测NAT地址池中公网IP可用性的方法进行说明,该方法可以包括以下步骤:
在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并判断NAT会话连接是否为无效连接;
在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;
在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。
前面如背景技术中提到的,基于源IP地址的NAT,NAT设备在网络传输过程中需要记录每一个进行了源NAT的会话连接,并形成源NAT表项以供反向报文进行NAT还原处理。通常情况下进行源NAT处理,选取转换的公网IP地址时,不能确定源NAT地址池中哪个公网IP地址是可以实现有效会话连接的,所以这样就会导致源NAT会话连接中出现大量无效的会话连接。如图1所示的一种示例性应用场景图,在客户端假设有3台PC,需要访问服务端的资源,客户端发送的IP报文进入NAT设备时,需要在NAT地址池中查找已有的公网IP,根据查询到的已有的公网IP,对IP报文中的源IP地址进行转换,在转换成功的情况下,IP报文再发送到服务端,此时记录客户端与服务端的会话连接。但是其中有一个问题是,并不确定查询到的已有的公网IP是否可用,即不确定使用查询到的已有的公网IP形成的会话连接是否有效。采用本申请的技术方案,检测NAT地址池中公网IP的可用性,在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并设置定时器事件,对所述定时器事件设置响应周期,根据设置好的定时器事件响应周期,检查所述NAT会话连接是否更新,如果所述NAT会话连接更新了,重新设置定时器事件,如果所述NAT会话连接未更新,判断NAT会话连接是否为无效连接;在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用,清除定时器事件。在确定本次会话连接所用的公网IP不可用的情况下,对本次会话连接所用的公网IP进行标记,客户端发送的后续报文进入NAT设备时,不会再使用已标记过的公网IP对后续报文中的源IP地址进行转换。
为了使本领域技术人员更好的理解本发明中的技术方案,这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本发明保护的范围。
如图2所示为本申请检测NAT地址池中公网IP可用性的方法的一种实施流程图,其具体包括以下步骤:
S101,在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
在NAT设备接收到客户端发送的报文的情况下,根据报文中携带的五元组信息,在已有的转换表项里进行查找,查找可用的NAT资源。这里所说的NAT资源包括端口和公网IP。在查找到所述报文中携带的五元组信息对应的转换表项的情况下,在预设NAT地址池中查询已有的公网IP。所述转换表项,是在进行第一次会话连接时,若所述报文中携带的五元组信息与预先在NAT设备存储的配置策略一致,即源IP、源端口、目的IP、目的端口、通信协议一致,在NAT地址池中查询已有的公网IP,根据查询到的已有公网IP,对NAT设备接收的报文中的源IP地址进行转换,在转换成功的情况下,将所述会话信息更新到转换表项中。转换表项包含内网IP+端口以及公网IP+端口。在后续会话连接中,由客户端发送的后续报文进入NAT设备,根据报文中携带的五元组信息,在所述转换表项中查找,在查找到所述报文携带的五元组信息对应的转换表项的情况下,在预设NAT地址池中查询已有的公网IP。
例如参照图1所示,其中PC1发送的IP报文进入NAT设备时,其中IP报文携带的五元组信息为192.168.1.1 10000TCP 172.30.0.1 80,其意义为一个源IP地址为192.168.1.1的PC,利用TCP协议,与目的IP地址为172.30.0.1,端口为80的服务端进行连接。根据所述IP报文携带的五元组信息在转换表项中遍历查找,在查找到所述IP报文携带的五元组信息对应的转换表项的情况下,NAT地址池范围为172.30.0.2-172.30.0.2和10.23.0.1-10.23.0.2,在所述NAT地址池中查询已有的公网IP。转换表项包含内网IP+端口以及公网IP+端口,在查找到所述IP报文携带的五元组信息对应的转换表项的情况下,预先已经存储了内网IP+端口以及公网IP+端口的转换关系,根据所述转换关系可以确定在NAT地址池中查找哪些公网IP。
S102,根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
根据所述查询到的已有的公网IP,例如上述提到的NAT地址池范围为172.30.0.2-172.30.0.2和10.23.0.1-10.23.0.2,确定所要使用的公网IP为172.30.0.2或10.23.0.1,根据所确定要使用的公网IP,对NAT设备中接收的IP报文中的源IP地址进行转换。参照图3所示,当确定所要使用的公网IP为172.30.0.2时,IP报文头中携带的五元组信息为192.168.1.1 10000TCP 172.30.0.1 80,这里列举的IP报文头仅仅是示例性的。对IP报文中的源IP地址192.168.1.1进行转换,在转换成功的情况下,IP报文头中携带的五元组信息为172.30.0.2 10000TCP172.30.0.1 80,并将此转换关系更新到转换表项中。当确定所要使用的公网为10.23.0.1,按照上述转换方法对IP报文中的源IP地址192.168.1.1进行转换,在转换成功的情况下,IP报文头中携带的五元组信息为10.23.0.110000TCP172.30.0.1 80。
S103,在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并判断NAT会话连接是否为无效连接;
如上述所说,在转换成功的情况下,第一条会话连接中IP报文头中携带的五元组信息为172.30.0.2 10000TCP 172.30.0.1 80。第二条会话连接中IP报文头中携带的五元组信息为10.23.0.1 10000TCP 172.30.0.1 80。将上述会话信息更新到转换表项中。记录客户端与服务端的NAT会话连接,并设置定时器事件,如果遍历所有的NAT会话连接去查找会话连接为长时间未改变的会话连接,,这样会很大程度上影响NAT设备性能,并且NAT设备上NAT资源是有限的,一定量级的定时器对NAT设备影响较小,因此我们这里采用定时器事件来检查会话连接是否发生了更新。对定时器事件设置好定时器事件的响应周期,根据设置好的定时器事件响应周期检查会话连接是否发生了更新,例如将定时器事件的响应周期设置为6秒,则每过6秒就会检查一次会话连接是否发生了更新。如果NAT会话连接发生了更新,重新设置定时器事件;如果NAT会话连接未更新,判断当前NAT会话连接是否为无效连接。根据上述的两条会话连接,每过6秒就会检查一次上述两条会话连接是否发生了更新,从目的IP地址172.30.0.1可以得知,第一条会话连接会发生更新,第二条会话连接一直未更新,始终保持SYN_SENT状态,则会判断第二条会话连接是否为无效连接。
S104,在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;
如上述所说在NAT会话连接未更新的情况下,判断当前NAT会话连接是否为无效连接,若所述NAT会话连接为无效连接,确定本次NAT会话连接所用的公网IP不可用。基于上述提到的第二条会话连接,其会话连接一直未更新,始终保持SYN_SENT状态,则会判断第二条会话连接是否为无效连接,若所述第二条会话连接为无效连接,确定本次NAT会话连接所用的公网IP10.23.0.1不可用。在确定了本次NAT会话连接所用的公网IP10.23.0.1不可用的情况下,释放NAT资源,对本次NAT会话连接所用的公网IP10.23.0.1进行标记,具体可以根据NAT设备接收的IP报文中的源IP地址192.168.1.1对本次NAT会话连接所用的公网IP10.23.0.1进行标记,例如可以在转换表项中对192.168.1.1 10000TCP172.30.0.1 80转换为10.23.0.1 10000TCP 172.30.0.1 80进行标记,在该转换表项中加入填充值“不可用”,如下表格1所示,这里列举的表格仅仅是示例性的。相应的我们也可以删除此转换表项,只留下利用可用公网IP生成的转换表项,方便后续报文进入NAT设备时,根据报文的五元组信息在转换表项中查找。
Figure BDA0001434514770000081
表1
在确定了本次NAT会话连接所用的公网IP10.23.0.1不可用的情况下,并对本次NAT会话连接所用的公网IP10.23.0.1进行标记,在NAT设备接收到由客户端发送的后续报文的情况下,不会使用已进行标记过的公网IP对所述后续报文中的源IP地址进行转换,即NAT设备收到后续客户端发送的后续报文时,也就是源IP地址为192.168.1.1的客户端发送的后续报文进入到NAT设备时,不会再使用公网IP10.23.0.1对后续报文中的源IP地址192.168.1.1进行转换,可以选择公网IP172.30.0.2对后续报文中的源IP地址192.168.1.1进行转换。
S105,在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。
如上述所说在NAT会话连接未更新的情况下,判断当前NAT会话连接是否为无效连接,若所述NAT会话连接不是无效连接,确定本次NAT会话连接所用的公网IP可用。基于上述提到的第一条会话连接,其会话连接未更新,判断第一条会话连接是否为无效连接,若第一条会话连接不是无效连接,确定本次NAT会话连接所用的公网IP172.30.0.2可用,并清除定时器事件。在确定了本次NAT会话连接所用的公网IP172.30.0.2可用的情况下,根据当前会话连接进行相应操作,并对本次会话连接中所用的公网IP172.30.0.2进行标记,参照表1所示,在转换表项中加入填充值“可用”。在NAT设备接收到由客户端发送的后续报文的情况下,可以选择公网IP172.30.0.2对后续报文中的源IP地址192.168.1.1进行转换。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
与前述检测NAT地址池中公网IP可用性的方法的实施例相对应,本申请还提供了检测NAT地址池中公网IP可用性的装置的实施例,如图4所示,包括公网IP查询单元210、转换单元220、会话连接记录单元230、判断单元240、不可用公网IP确定单元250、可用公网IP确定单元260。
所述公网IP查询单元210,用于在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP,并将查询到的已有公网IP发送给转换单元220;
所述转换单元220,用于根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换,并将转换结果发送给会话连接记录单元230;
所述会话连接记录单元230,用于在转换成功的情况下,记录所述客户端与服务端的NAT会话连接,并将所记录的NAT会话连接发送给判断单元240;
所述判断单元240,用于判断所述NAT会话连接是否为无效连接,判断所述NAT会话连接是无效连接,将该判断结果发送给不可用公网IP确定单元250,判断所述NAT会话连接不是无效连接,将该判断结果发送给可用公网IP确定单元260;
所述不可用公网IP确定单元250,用于在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用;
所述可用公网IP确定单元260,用于在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用。
在本申请的一种具体实施方式中,所述判断单元240包括:会话连接检查子单元241,判断子单元242;
所述会话连接检查子单元241,用于根据预设条件检查所述NAT会话连接是否更新;
所述判断子单元242,用于在所述NAT会话连接未更新的情况下,判断NAT会话连接是否为无效连接。
在本申请的一种具体实施方式中,所述会话连接检查子单元241具体用于:
根据预先设置的定时器事件的响应周期检查所述NAT会话连接是否更新。
参照图5所示,本申请提供的检测NAT地址池中公网IP可用性的装置的实施例,还可以包括:
定时器清除单元270,用于在所述NAT会话连接不是无效连接的情况下,清除所述预先设置的定时器事件。
不可用公网IP标记单元280,用于在确定本次NAT会话连接所用的公网IP不可用的情况下,根据NAT设备接收的报文中的源IP地址对所述不可用的公网IP进行标记,所述标记用于在NAT设备接收到客户端发送的后续报文的情况下,不会再使用已标记过的公网IP对后续报文中的源IP地址进行转换。
上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于系统实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种检测NAT地址池中公网IP可用性的方法,其特征在于,所述方法包括:
在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
在转换成功的情况下,记录所述客户端与服务端的NAT会话连接并判断NAT会话连接是否为无效连接;
在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用,并释放NAT资源;
在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用;
根据NAT设备接收的报文中的源IP地址对所述可用的公网IP进行标记,所述标记用于在NAT设备接收到客户端发送的后续报文的情况下,使用所述可用公网IP对后续报文中的所述源IP地址进行转换。
2.根据权利要求1所述的方法,其特征在于,所述判断NAT会话连接是否为无效连接,包括:
根据预设条件检查所述NAT会话连接是否更新;
在所述NAT会话连接未更新的情况下,判断NAT会话连接是否为无效连接。
3.根据权利要求2所述的方法,其特征在于,所述根据预设条件检查所述NAT会话连接是否更新,包括:
根据预先设置的定时器事件的响应周期检查所述NAT会话连接是否更新。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述NAT会话连接不是无效连接的情况下,清除所述预先设置的定时器事件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定本次NAT会话连接所用的公网IP不可用的情况下,根据NAT设备接收的报文中的源IP地址对所述不可用的公网IP进行标记,所述标记用于在NAT设备接收到客户端发送的后续报文的情况下,不会再使用已标记过的公网IP对后续报文中的源IP地址进行转换。
6.一种检测NAT地址池中公网IP可用性的装置,其特征在于,所述装置包括:
公网IP查询单元,用于在NAT设备接收到客户端发送的报文的情况下,在预设NAT地址池中查询已有的公网IP;
转换单元,用于根据所述查询到的已有的公网IP,对NAT设备接收的报文中的源IP地址进行转换;
会话连接记录单元,用于在转换成功的情况下,记录所述客户端与服务端的NAT会话连接;
判断单元,用于判断所述NAT会话连接是否为无效连接;
不可用公网IP确定单元,用于在所述NAT会话连接是无效连接的情况下,确定本次NAT会话连接所用的公网IP不可用,并释放NAT资源;
可用公网IP确定单元,用于在所述NAT会话连接不是无效连接的情况下,确定本次NAT会话连接所用的公网IP可用;根据NAT设备接收的报文中的源IP地址对所述可用的公网IP进行标记,所述标记用于在NAT设备接收到客户端发送的后续报文的情况下,使用所述可用公网IP对后续报文中的所述源IP地址进行转换。
7.根据权利要求6所述的装置,其特征在于,所述判断单元,包括:会话连接检查子单元,判断子单元;
所述会话连接检查子单元,用于根据预设条件检查所述NAT会话连接是否更新;
所述判断子单元,用于在所述NAT会话连接未更新的情况下,判断NAT会话连接是否为无效连接。
8.根据权利要求7所述的装置,其特征在于,所述会话连接检查子单元具体用于:
根据预先设置的定时器事件的响应周期检查所述NAT会话连接是否更新。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:定时器清除单元;
所述定时器清除单元,用于在所述NAT会话连接不是无效连接的情况下,清除所述预先设置的定时器事件。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:不可用公网IP标记单元;
所述不可用公网IP标记单元,用于在确定本次NAT会话连接所用的公网IP不可用的情况下,根据NAT设备接收的报文中的源IP地址对所述不可用的公网IP进行标记,所述标记用于在NAT设备接收到客户端发送的后续报文的情况下,不会再使用已标记过的公网IP对后续报文中的源IP地址进行转换。
CN201710958185.0A 2017-10-16 2017-10-16 一种检测nat地址池中公网ip可用性的方法及装置 Active CN107682470B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710958185.0A CN107682470B (zh) 2017-10-16 2017-10-16 一种检测nat地址池中公网ip可用性的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710958185.0A CN107682470B (zh) 2017-10-16 2017-10-16 一种检测nat地址池中公网ip可用性的方法及装置

Publications (2)

Publication Number Publication Date
CN107682470A CN107682470A (zh) 2018-02-09
CN107682470B true CN107682470B (zh) 2021-04-27

Family

ID=61140651

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710958185.0A Active CN107682470B (zh) 2017-10-16 2017-10-16 一种检测nat地址池中公网ip可用性的方法及装置

Country Status (1)

Country Link
CN (1) CN107682470B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109639580B (zh) * 2019-02-03 2021-05-14 新华三信息安全技术有限公司 一种报文转发方法及装置
CN109743414B (zh) * 2019-02-18 2021-12-31 国家计算机网络与信息安全管理中心 利用冗余连接提高地址翻译可用性的方法及计算机可读存储介质
JP2021022778A (ja) * 2019-07-25 2021-02-18 富士通株式会社 検証プログラム、検証方法及び検証装置
CN111131169B (zh) * 2019-11-30 2022-05-06 中国人民解放军战略支援部队信息工程大学 一种面向交换网络的动态id隐藏方法
CN112637374B (zh) * 2020-12-15 2022-07-01 杭州迪普科技股份有限公司 转换地址处理方法、装置、设备及计算机可读存储介质
CN115514732B (zh) * 2022-09-02 2023-08-25 上海量讯物联技术有限公司 一种基于tcp连接数的源nat ip分配方法与装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752141B (zh) * 2012-06-29 2015-05-06 杭州迪普科技有限公司 一种ip地址可达性的检查方法及装置
CN102932346A (zh) * 2012-10-26 2013-02-13 杭州迪普科技有限公司 一种nat地址池中不可用地址检测的方法及装置
US9325663B2 (en) * 2014-09-15 2016-04-26 Sprint Communications Company L.P. Discovery of network address allocations and translations in wireless communication systems
CN105939404B (zh) * 2016-05-04 2019-02-19 杭州迪普科技股份有限公司 Nat资源的获取方法及装置
CN106790556B (zh) * 2016-12-26 2019-09-17 深圳市风云实业有限公司 一种基于分布式系统的nat会话管理方法

Also Published As

Publication number Publication date
CN107682470A (zh) 2018-02-09

Similar Documents

Publication Publication Date Title
CN107682470B (zh) 一种检测nat地址池中公网ip可用性的方法及装置
JP5889445B2 (ja) Dnsデータを使用してipフローに関連するアプリケーションを特定する方法および装置
US8904524B1 (en) Detection of fast flux networks
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
US20210243170A1 (en) Methods for processing encrypted domain name server, dns, queries received from user equipment in a telecommunication network
CN110808879B (zh) 一种协议识别方法、装置、设备及可读存储介质
CN111131544B (zh) 一种实现nat穿越的方法
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
WO2017067443A1 (zh) 一种安全域名系统及其故障处理方法
RU2642833C2 (ru) Способ и устройство для обеспечения медиаресурса
CN110266650B (zh) Conpot工控蜜罐的识别方法
JP2020500374A5 (zh)
CN111049947B (zh) 报文转发方法及装置、电子设备、存储介质
US10764307B2 (en) Extracted data classification to determine if a DNS packet is malicious
WO2014206152A1 (zh) 一种网络安全监控方法和系统
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
CN107690004B (zh) 地址解析协议报文的处理方法及装置
JP2012114719A (ja) 検知装置、検知方法及び検知プログラム
CN105207977A (zh) Tcp数据包处理方法及装置
CN106789666B (zh) 一种确定转换后端口的方法和装置
CN106470249A (zh) Gateway-whois域名注册查询方法和装置
JP2010009186A (ja) 情報処理装置、情報処理システム、プログラム、および記録媒体
CN105282102A (zh) 数据流处理方法和系统以及IPv6 数据处理设备
CN113014682B (zh) 实现网络动态性的方法、系统、终端设备及存储介质
JP2002344481A (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant