CN1725735A - 虚拟专用网的网络地址转换设备资源使用的控制方法 - Google Patents
虚拟专用网的网络地址转换设备资源使用的控制方法 Download PDFInfo
- Publication number
- CN1725735A CN1725735A CNA2005100775947A CN200510077594A CN1725735A CN 1725735 A CN1725735 A CN 1725735A CN A2005100775947 A CNA2005100775947 A CN A2005100775947A CN 200510077594 A CN200510077594 A CN 200510077594A CN 1725735 A CN1725735 A CN 1725735A
- Authority
- CN
- China
- Prior art keywords
- address translation
- network address
- virtual private
- vpn
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000007704 transition Effects 0.000 title claims description 11
- 238000013519 translation Methods 0.000 claims description 85
- 230000032683 aging Effects 0.000 claims description 12
- 238000005259 measurement Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 abstract description 2
- 238000006243 chemical reaction Methods 0.000 description 12
- 238000012217 deletion Methods 0.000 description 6
- 230000037430 deletion Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000006854 communication Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000272173 Calidris Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种VPN的NAT设备资源使用的控制方法,该方法包括步骤:A.在VPN的NAT设备上为每个VPN用户配置参数配置表;B.NAT设备收到数据包时,获得该数据包的VPN标识;C.判断所述数据包是否是新建流,若否,直接进行NAT处理,结束;若是,执行步骤D;D.判断该VPN标识的可建流数是否减小为零或/和建流速率是否达到参数配置表相应的阈值,若否,则为该VPN用户进行NAT;否则,不进行NAT。本发明通过对可建流数、建流速率和数据转发速率或它们之间的任意组合的控制,来管理VPN对NAT资源的消耗,使得NAT资源的消耗是可控和可管理的,增加多实例(多个VPN)NAT的健壮性和安全性。
Description
技术领域
本发明涉及虚拟专用网的网络地址转换(NAT,Network AddressTranslation)技术,特别是涉及一种虚拟专用网的网络地址转换设备资源使用的控制方法。
背景技术
目前由于IPV4(IP协议,第四版本)的地址非常紧张,一个企业很难申请到大量的公网地址,所以企业建网时一般使用保留的私网地址,然后采用NAT设备利用公网地址登录因特网。所谓NAT就是将用户私网的地址和端口转换为公网的地址和端口。用户每发起一次因特网访问,就会建立一项私网地址端口和转换后的公网地址和端口的对应表项,即流表项,以便返回的数据包能够准确的找到原来私网的地址和端口。
对于大型企业来说,一般有很多分支机构,为了把这些分支机构连成一个企业网,通常有两种方法,一种是直接租用数据专线组建企业网,另一种是直接购买运营商的虚拟专用网(VPN,Virtual Private Networks)服务,在运营商公网的基础上组建自己的企业网。所述购买运营商的VPN服务方式的费用要比租用数据专线自己组网的费用低得多。所以,一般组建企业网时,都采用购买运营商的VPN服务方式。其中,所述VPN用户上因特网有两种方式:一种是企业可以自己购买NAT设备来上因特网,另一种方式租用运营商的NAT设备来上因特网。通常运营商的NAT设备性能好、稳定可靠,又有专业人员管理,采用这种方式企业成本更低。
因此,VPN用户一般都采用租用运营商的NAT设备的方式来登录因特网,这就需要运营商要为多个VPN用户提供NAT服务,这些VPN用户的IP地址有可能是相同的,如果NAT设备不能对不同VPN的用户IP进行识别,就无法将数据包准确的转发给正确的VPN,这就要求NAT设备能够支持多VPN,也就是NAT要同时支持多个实例(即多个VPN),对于每个VPN看来,产生独享一个独立的NAT设备的效果。
目前,支持多VPN的NAT设备一般是不加限制地对各VPN的数据包进行NAT转换。也就是说,对于支持多VPN的NAT设备,通过对VPN用户的IP地址对可建流数和建流速率进行限制,一般是建一个表,该表用用户的IP地址作为索引,表项内容包括该用户对应的建流速率和可建流数,如果这个用户的可建流数或建流速率超过配置值,则拒绝做NAT转换,但对于不同的VPN,用户的IP地址是可能相同的,这样就会出现不同的用户的建流速率和可建流数被累计在一起,导致统计不准。
由上述可知,目前的NAT设备的处理能力受转发能力,并发连接数,建链的速度限制;虽然对用户IP地址进行建流速率和可建流数进行限制,但是对于不同VPN用户的IP地址相同时,利用这种方法对用户IP地址进行控制就行不通了,故这种方法对多实例NAT无效。即利用用户IP地址进行建流速率和可建流数的限制,不能防止修改源IP的建流攻击,如果用户采用更改源IP进行攻击,会出现针对每个源IP的统计都不超过配置的值,但由于源IP数量很多,导致总数非常庞大,最后会耗光全部的NAT流表资源,导致NAT业务不可用,不能有效的防止这种情况。
此外,VPN内部用户的行为应该由VPN自己管理,多实例的NAT设备应该控制每个VPN对资源的消耗,一个VPN可能过度占用NAT的这些资源,导致其它VPN无法获得应有的服务,这对于运营企业来说是一个不可控的风险。
发明内容
本发明解决的技术问题是提供一种虚拟专用网的网络地址转换设备资源使用的控制方法,以解决NAT设备基于多个VPN对带宽和流表资源的消耗问题,使得NAT资源的消耗是可控和可管理的。
为解决上述问题,本发明提供一种虚拟专用网的网络地址转换设备资源使用的控制方法,其中,所述虚拟专用网下包括地址转换设备,用以实现若干虚拟专用网用户访问公网时的地址转换,所述方法包括步骤:
A、在虚拟专用网的地址转换设备上为每个虚拟专用网用户配置参数配置表;
B、网络地址转换设备收到数据包时,获得该数据包的虚拟专用网标识;
C、判断所述数据包是否是新建流,若否,进行网络地址转换,结束;若是,执行步骤D;
D、判断该虚拟专用网标识所对应的可建流数是否减为零或/和建流速率是否达到参数配置表相应的阈值,若否,则为该虚拟专用网用户进行网络地址转换;否则,不进行网络地址转换。
通过采用令牌桶或单位时间统计可建流数的方式来判断该虚拟专用网标识所对应的可建流数是否减为零或/和建流速率是否达到参数配置表相应的阈值。
在为该虚拟专用网用户进行网络地址转换之前还包括步骤:对所述虚拟专用网需要转发的数据包进行流量测量,判断其是否超过参数配置表中的转发带宽的阈值,若超过,则不进行网络地址转换;否则,进行网络地址转换。
在所述进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除该流表项,并对虚拟专用网标识所对应的可建流数加一。
步骤A中根据每个虚拟专用网的虚拟专用网标识、可建流数或/和建流速率或/和转发带宽配置成参数配置表。
步骤C中通过查找流表来判断所述数据包是否是新建流,其具体的实现过程为:查找该数据包中的虚拟专用网标识、源IP地址、目的IP地址、源端口号、目的端口号以及协议类型在该流表中是否存在,若不存在,则所述数据包是新建流,否则,所述数据包不是新建流。
另外,本发明还提供一种虚拟专用网的网络地址转换设备资源使用的控制方法,其中,所述虚拟专用网下包括地址转换设备,用以实现若干虚拟专用网用户访问公网时的地址转换,该方法包括步骤:
A、在虚拟专用网的地址转换设备上为每个虚拟专用网用户分配预定资源;
B、网络地址转换设备收到报文时,判断该报文归属哪个虚拟专用网用户;
C、查找该虚拟专用网用户当前对分配资源使用情况,若使用没有达到预定分配资源,则为虚拟专用网用户进行地址转换,否则,不进行网络地址转换。
步骤A中为每个虚拟专用网用户分配预定的虚拟专用网标识以及可建流数或/和建流速率或/和转发带宽。
步骤C中通过查找该虚拟专用网用户当前对可建流数或/和建流速率的使用情况,若该虚拟专用网用户的可建流数没有减为零或者建流速率没有超过预定资源中相应的阈值,则为该虚拟专用网用户进行网络地址转换,且所述虚拟专用网用户对应的可建流数减一;否则,不进行网络地址转换。
在为该虚拟专用网用户进行网络地址转换之前还包括步骤:对所述虚拟专用网需要转发的数据包进行流量测量,判断其是否超过预定资源中的转发带宽的阈值,若超过,则不进行网络地址转换;否则,进行网络地址转换。
在进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除该流表项,并对虚拟专用网用户所对应的可建流数加一。
与现有技术相比,本发明具有以下有益效果:本发明根据NAT设备所支持的多个VPN的参数,建立一个参数配置表,每个VPN对NAT资源的消耗进行控制,也就是说控制VPN进行NAT的可建流数、建流速率和数据转发速率(或转发带宽)。本发明所述方法能实时监控VPN对资源的使用情况,使得每个VPN对NAT资源的占用不能超过配置的指定值,能够为不同VPN用户提供不同的服务,另外,如果在配置的指定时间内,如果也没有数据包发送,则到达指定时间时,NAT设备进行删链操作,释放流表资源,从而能有效的监控资源的使用情况,进而为不同VPN用户提供不同的服务,以提高客户的满意度,同时也增强了系统的可靠性,不会因为一个VPN用户的恶意使用而导致其它VPN用户业务的不通。本发明可以同时控制可建流数、建流速率和数据转发速率等参数或它们之间的任意组合。通过管理VPN对NAT资源的消耗,使得NAT资源的消耗是可控和可管理的,增加多实例(多个VPN)NAT的健壮性和安全性。
附图说明
图1是本发明虚拟专用网的网络地址转换设备资源使用的控制方法的流程图;
图2是本发明所述控制方法的实施例的流程图;
图3是本发明虚拟专用网的网络地址转换设备资源使用的控制方法的另一流程图。
具体实施方式
本发明的核心是管理VPN对NAT资源的消耗,使得NAT资源的消耗是可控和可管理的,增加多实例(多个VPN)NAT的健壮性和安全性。其主要的实现过程为:根据NAT设备所支持的多个VPN的参数,建立一个参数配置表,对每个VPN对NAT资源的消耗进行控制,也就是说控制VPN进行NAT的可建流数、建流速率和数据转发速率(或转发带宽),本发明可以同时控制这3个参数或它们之间的任意组合。当NAT设备接收到数据包时,通过测量所述数据包的可建流数或者建流速率,然后与预先配置的参数配置表中的相应参数进行比较,来决定是否正常进行NAT转发数据包。也就是说,在NAT转发数据包之前,对该数据包先进行需要占用的NAT资源进行控制,即实时监控VPN对资源的使用情况,使得每个VPN对NAT资源的占用不能超过配置的指定值,能够为不同VPN用户提供不同的服务,从而提高了用户的满意度。
下面结合附图对本发明作进一步的说明。
请参考图1,为本发明虚拟专用网的网络地址转换设备资源使用的控制方法的流程图。所述方法具体包括步骤:
步骤S10:在虚拟专用网的地址转换设备上为每个虚拟专用网用户配置参数配置表;
步骤S11:网络地址转换设备收到数据包时,获得该数据包的虚拟专用网标识;
步骤S12:判断所述数据包是否是新建流,若否,直接进行网络地址转换处理,结束(步骤S13);若是,执行步骤S14;
步骤S14:判断该虚拟专用网标识所对应用户的可建流数是否减小为零或/和建流速率是否达到参数配置表相应的阈值,若是,不进行网络地址转换,(步骤S15);若否,则为该虚拟局域网用户进行网络地址转换(步骤S16)。
为了便于对本发明的理解和描述,下面先介绍三个实现本发明比较关键的参数,分别是VPN的可建流数、VPN建流速率和VPN转发带宽。所述参数配置的集合构成参数配置表。在本发明中,由于带宽和流表是NAT设备最重要的资源,为了防止对这两个资源过度占用,我们需要对这两个资源的使用情况进行控制,其控制的关键就是通过控制VPN的可建流数、VPN建流速率或/和VPN转发带宽来达到目的,所述参数的集合构成了参数配置表,其中,对所述三个参数的定义分别为:
所述VPN的可建流数是针对每个VPN的,对每个VPN的数据包进行可建流数进行限制,主要是避免一个VPN对NAT流表资源占用太多。所述VPN建流速率也是针对每个VPN,对该VPN的数据包进行建流速率限制,主要是避免一个VPN建流速率太快。所述VPN转发带宽也是针对每个VPN,对该VPN对应的进行NAT转发的数据包进行流量限制,避免单个VPN占用过多的带宽资源。
所述的三个参数可以同时使用,也可只选取其中一个或两个参数的组合,则需要在系统中为每个VPN的这几个参数建一个配置表。比如,对于四个VPN所对应的参数配置详见表1:
表1
VPN标识 | 建流速率 | 可建流数 | 转发带宽 |
100 | 50 | 30 | 10M |
500 | - | 40 | - |
1000 | 20 | - | - |
2000 | 30 | 50 | - |
由表1中可知,VPN 100的最大建流速率为50个/秒,最大可建流数30个、转发带宽为10M(即转发速率为10240字节/秒);VPN 500的最大可建流数40个,但其它参数不限;VPN 1000的最大建速度为20个/秒,但其它不限;VPN 2000的最大建流速率为30个/秒,最大可建流数为50个,但其它参数不限。因此,本发明根据每个VPN用户的需要为其配置参数配置表,通过参数配置表的使用情况来控制管理VPN对NAT资源的消耗,使得NAT资源的消耗是可控的和可管理的,从而增加多个VPN同时使用的健壮性和安全性。
另外,本发明还涉及到下述参数:VPN标识、数据流、流表老化和流分类等。其中,所述VPN标识:是用来唯一表明某一个VPN的一个标记,与用户VPN是一一对应的。所述数据流:从一台设备的一个应用发往另外一个设备的一个应用的数据包的集合,对于TCP和UDP协议,一个数据流是指源、目的IP地址、源、目的端口号和协议类型相同的数据包的集合。对于NAT来说一个数据流有时又常称为NAT的一个会话,源、目的IP地址、源、目的端口号和协议类型就能标识一个流,通常构成一个流表的关键项。所述流表老化:如果一个流表项在指定的时间内没有访问过,则删除该表项,对应网上实际意义就是该流表对应的连接在指定的时间内都没有发送过一个数据包,认为连接已经断了。所述流分类:通过定义数据流的特征项(例如IP地址,端口号等等),把满足特征项的数据包分离出来就是流分类。
通过对上述参数的了解,本发明所述方法的具体实现过程为:
首先根据每个VPN用户的需求为每个VPN用户配置建流速率或/和可建流数或/和转发带宽,然后将其组合成参数配置表(步骤S10)。
在步骤S11中,当NAT设备接收到数据包时,首先从该数据包中获得VPN标识。如何从数据包中获得VPN标识,这与具体的VPN实现方式有关了,如果VPN是一个网络属性,系统是知道哪些数据包是从源VPN用户发送到目的VPN用户的,否则,NAT设备不能将数据包发往正确的VPN用户;还有些VPN可以通过数据包本身VLAN标识得到VPN标识,或根据数据包进入的端口得到VPN标识。这些对于本领域的技术人员已是公知技术,在这里不在作详细的说明。总之获得VPN标识与具体的VPN实现方式有关,可以通过MPLS标签,或VLAN以及其它方法来识别,要实现多个VPN的NAT转换,首先必须要获得VPN的标识,以便于根据VPN的标识的不同来区分该VPN的标识所对应的建流速率、可建流数或转发带宽(转发速率)。
在步骤S12中,当NAT设备获得VPN的标识后,通过查找流表来判断所述数据包是否是新建流,也就是说,通过查找该流表中是否包括将用户的私网IP地址和端口号转换成公网的IP地址和端口号,并与数据包的协议类型、目的IP地址和端口号配置成一个条流表项。但是,所述流表的内容与具体NAT的实现方式有关,有些NAT实现不一定有数据包的目的IP地址和端口号。其中,在NAT进行新建流时,所述NAT新建流就是进行地址转换,用于将用户的私网IP地址和端口号转换成公网的IP地址和端口号,所述转换成公网的IP地址和端口号与所述数据包的目的IP地址和端口号以及IP协议类型配置成一个条流表项。如果数据包能命中(即流表中已经存在所述数据包的IP地址和端口号)流表就能得到这种私网IP地址、端口号和公网IP、端口号的转换关系。
然后判断可建流数是否为零,如果可建流数为零,则限制用户上网,即丢弃数据包不进行NAT转换(步骤S15),否则,对将该VPN标识对应的可建流数减一,正常进行NAT转换,即通过NAT设备进行地址之间的转换,实现双方的通信(步骤S16)。或者是,通过测量所述数据包的VPN标识所对应的建流速率,并判断所述数据包的建流速率是否超过配置的建流速率阈值;所述建流速率的配置是在命令上进行配置的,由用户手工输入的来检验的。通过采用令牌桶或单位时间可建流数的方式对建流速率进行测量。所述令牌桶技术是一种比较常用的测量速率的技术,其实现原理就是以一定配置的速率往令牌桶放令牌,每建流一次就取一个令牌,如果建流的速度比配置的速率快,将会没有令牌可取,这时表明该数据包的建流速率超过配置值的最大建流速率了,也就是说不能再建流了。如果超过配置的最大建流速率阈值,则限制用户上网,丢弃数据包不进行NAT转换(步骤S15),否则,正常进行NAT转发(步骤S16)。所述采用单位时间可建流数的方式来测量建流速率,如果单位时间内可建流数超过配置阈值,拒绝NAT转换,丢弃数据包。所述进行网络地址转换处理后,如果数据包对应的连接结束时,或数据包长时间没有被发送,达到数据流表项的的老化时间,网络地址转换设备删除流表,并对虚拟专用网的可建流数减一。
在所述虚拟专用网标识对应的可建流数减一,正常进行NAT转发之前,还包括步骤:对需要进行NAT转发的数据包进行流量测量,并判断所述流量是否超过该VPN标识对应的流量阈值(即配置的带宽),如果超过,也丢弃该数据包,否则,正常做NAT转发数据包。
当数据包对应的连接结束时,或数据包长时间没有被发送,达到数据流表项的的老化时间,NAT设备进行删流,并对VPN标识对应的可建流数进行力口一。
另外,再请参开本发明所述方法的另一实施例,其流程图详见图2。所述方法包括步骤:
步骤M10:在虚拟专用网的地址转换设备上为每个虚拟专用网用户配置参数配置表;
步骤M11:网络地址转换设备收到数据包时,获得该数据包的虚拟专用网标识;
步骤M12:判断数据包是否是新建流,若否,直接进行网络地址转换处理,结束(步骤M13);若是,执行步骤M14;
步骤M14:判断该虚拟专用网标识所对应的可建流数是否到达参数配置表中的阈值或/和建流速率是否超过参数配置表中的阈值,若是,则丢弃该数据包,不进行网络地址转换(步骤M15);否则,为该虚拟专用网用户进行网络地址转换,且所述虚拟专用网标识所对应的可建流数加一(步骤M16)。
本发明所提供的又一实施例的这种方法与上述实施方法的相同之处,详见上述方法的相应部分,在这里不再赘述;其不同之处在于对可建流数的判断,上一种方法是采用减的方法,也就是说,在每次建流时,进行可建流数累计减,判断可建流数是否为零,若不为零,就是说明所述可建流数还没有到最小,还有空闲的流表资源可以用,即所述虚拟专用网标识对应的可建流数减一,并进行网络地址转换处理,直到可建流数为零时,即达到了预先配置值,NAT设备则拒绝数据包转换。而本发明又提供的这种方法是以采用加的方法,也就是每次建流时,进行可建流数累计,然后判断该可建流数是否到达配置的数值,如果达到了,就拒绝NAT转换,并删除流表的同时减少可建流数;否则,进行网络地址转换处理。为了能更好的理解本发明,下面举一简单的例子来比喻本发明,即对于某个东西是否超过设置值有通常有两种方法来判断,例如假设我们一个电梯里只能坐10人,如何对其进行控制呢:一种方法,就是先配置好电梯最多只能乘坐10个人,如果进来一个人就减1,直到减为0,就说明电梯里已经进来了10个人,已满,不能再进任何人了,这就是我们上述采用减的办法。当然也可以采用加的方法,即从0开始统计,进来一个人就加1,并不断的与配置值相比教,直到电梯里乘坐10个人时,正好等于预设的配置字,这说明电梯已经满了,不能再进人了,这种情况就是本发明又提供的一种方法的实现原理。
此外,本发明所述又一实施例的方法中也可以同时通过测量建流的速度来进一步控制对流表资源的占用。在建流时同样可以采用令牌桶或单位时间可建流数的方式对建流的速度进行测量,其测量的过程详见上述,在这里不在赘述。在所述进行网络地址转换处理的数据流对应的连接结束或超时后,网络地址转换设备删除流表,并对虚拟专用网的可建流数减一。
另外,本发明还提供一种虚拟专用网的网络地址转换设备资源使用的控制方法,其流程图详见图3。其中,所述虚拟专用网下包括地址转换设备,用以实现若干虚拟专用网用户访问公网时的地址转换,该方法包括步骤:
步骤N10:在虚拟专用网的地址转换设备上为每个虚拟专用网用户分配预定资源;
步骤N11:网络地址转换设备收到报文时,判断该报文归属哪个虚拟专用网用户;
步骤N12:判断该用户当前对分配资源使用情况是否达到阈值,若使用没有达到预定分配资源,则为该虚拟专用网用户进行地址转换(步骤N13);否则,不进行地址转换(步骤N14)。
本发明与上述的方法的实现过程基本相同,该方法核心是首先把虚拟专用网标识以及可建流数或/和建流速率或/和转发带宽定义为虚拟专用网用户的预分配资源。然后当网络地址转换设备接收到报文时,先判定所述报文归属于哪个虚拟专用网用户,并通过查找该虚拟专用网用户当前对可建流数或/和建流速率的使用情况,若该虚拟专用网用户的可建流数没有减为零或者建流速率没有超过预定资源中相应的阈值,则为该虚拟专用网用户进行网络地址转换,且所述虚拟专用网用户对应的可建流数减一;否则,不进行网络地址转换;或者是通过查找该虚拟专用网用户当前对可建流数或/和建流速率的使用情况,若该虚拟专用网用户的可建流数没有达到或/和建流速率没有超过预定资源中相应的阈值,则为该虚拟专用网用户进行网络地址转换,且所述虚拟专用网用户对应的可建流数加一;否则,不进行网络地址转换。其中,在为该虚拟专用网用户进行网络地址转换之前还可以包括:对所述虚拟专用网需要转发的数据包进行流量测量,判断其是否超过预定资源中的转发带宽的阈值,若超过,则不进行网络地址转换;否则,进行网络地址转换。最后,在所述进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除该流表项,并对虚拟专用网用户所对应的可建流数加一;或者,所述进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除流表项,并对虚拟专用网用户所对应的可建流数减一。
所述方法的具体实现过程现将上述,在这里不再赘述。
请参考下述一个应用实例,以一次VPN的传输控制协议TCP连接的NAT转换过程来描述本发明的实现过程。
首先,NAT设备从数据包中获得VPN标识;其次,判断该数据包是否是TCP的新建流,若是,测量所述数据包的可建流数或/和建流速率,如果VPN标识对应的可建流数为0,则丢弃该数据包,不做NAT转换,如果预先配置了VPN的建流速率限制,则采用令牌桶方式进行建流速率的测,如果所测量的建流速率超过预设的配置值,也丢弃该数据包,不做NAT转换;如果可建流数为大于0或者小于预设的配置值时,NAT设备会为这个数据包分配公网的IP地址和端口号,同时建立私网地址和端口号与公网地址和端口建立对应的流表。这样后续的数据包和返回的数据包都能够通过这个流表得到正确的IP地址和端口号,同时对该VPN对应的可建流数减1;再次,对于TCP的通信过程,如果命中流表或者所述数据包的相关项与流表相符,则采用令牌桶技术对所述数据包的流量进行测量,再判断所侧流量是否超过该VPN标识所对应的流量值,如果超过,也丢弃该数据包,否则正常做NAT转发;最后,TCP通信结束,当TCP拆链包到来时,NAT设备删除流表,同时对VPN标识对应的可建流数进行加1操作。如果TCP长时间不发送数据包,到达数据流表项的老化时间,所述老化时间是用户配置的,主要是指流表对应的连接多长时间没有数据包发送时,就认为该连接已经中断,也删除流表,释放资源,从而避免了长时间占用流表资源,NAT设备也会进行删流操作,这是也要对VPN标识对应的可建流数进行加一操作。
由此可见,本发明所述方法能实时监控VPN对NAT资源的使用情况,使得每个VPN对NAT资源的占用不能超过配置的指定值,如果超过配置的指定值,则进行相应的丢弃数据包处理,另外,如果在配置的指定时间内,如果也没有数据包发送,则到达指定时间时,NAT设备进行删链操作,释放流表资源,从而能有效的监控资源的使用情况。进而为不同VPN用户提供不同的服务,以提高客户的满意度。同时也增强了系统可靠性,不会因一个VPN内用户的恶意使用,导致其它VPN用户业务不可用。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1、一种虚拟专用网的网络地址转换设备资源使用的控制方法,其中,所述虚拟专用网下包括地址转换设备,用以实现若干虚拟专用网用户访问公网时的地址转换,其特征在于,所述方法包括步骤:
A、在虚拟专用网的地址转换设备上为每个虚拟专用网用户配置参数配置表;
B、网络地址转换设备收到数据包时,获得该数据包的虚拟专用网标识;
C、判断所述数据包是否是新建流,若否,进行网络地址转换,结束;若是,执行步骤D;
D、判断该虚拟专用网标识所对应的可建流数是否减为零或/和建流速率是否达到参数配置表相应的阈值,若否,则为该虚拟专用网用户进行网络地址转换;否则,不进行网络地址转换。
2、根据权利要求1所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,通过采用令牌桶或单位时间统计可建流数的方式来判断该虚拟专用网标识所对应的可建流数是否减为零或/和建流速率是否达到参数配置表相应的阈值。
3、根据权利要求1所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,在为该虚拟专用网用户进行网络地址转换之前还包括步骤:对所述虚拟专用网需要转发的数据包进行流量测量,判断其是否超过参数配置表中的转发带宽的阈值,若超过,则不进行网络地址转换;否则,进行网络地址转换。
4、根据权利要求1所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,在所述进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除该流表项,并对虚拟专用网标识所对应的可建流数加一。
5、根据权利要求1所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,步骤A中根据每个虚拟专用网的虚拟专用网标识、可建流数或/和建流速率或/和转发带宽配置成参数配置表。
6、根据权利要求1所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,步骤C中通过查找流表来判断所述数据包是否是新建流,其具体的实现过程为:查找该数据包中的虚拟专用网标识、源IP地址、目的IP地址、源端口号、目的端口号以及协议类型在该流表中是否存在,若不存在,则所述数据包是新建流,否则,所述数据包不是新建流。
7、一种虚拟专用网的网络地址转换设备资源使用的控制方法,其中,所述虚拟专用网下包括地址转换设备,用以实现若干虚拟专用网用户访问公网时的地址转换,其特征在于,该方法包括步骤:
A、在虚拟专用网的地址转换设备上为每个虚拟专用网用户分配预定资源;
B、网络地址转换设备收到报文时,判断该报文归属哪个虚拟专用网用户;
C、查找该虚拟专用网用户当前对分配资源使用情况,若使用没有达到预定分配资源,则为虚拟专用网用户进行地址转换,否则,不进行网络地址转换。
8、根据权利要求7所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,步骤A中为每个虚拟专用网用户分配预定的虚拟专用网标识以及可建流数或/和建流速率或/和转发带宽。
9、根据权利要求8所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,步骤C中通过查找该虚拟专用网用户当前对可建流数或/和建流速率的使用情况,若该虚拟专用网用户的可建流数没有减为零或者建流速率没有超过预定资源中相应的阈值,则为该虚拟专用网用户进行网络地址转换,且所述虚拟专用网用户对应的可建流数减一;否则,不进行网络地址转换。
10、根据权利要求8或9所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,在为该虚拟专用网用户进行网络地址转换之前还包括步骤:对所述虚拟专用网需要转发的数据包进行流量测量,判断其是否超过预定资源中的转发带宽的阈值,若超过,则不进行网络地址转换;否则,进行网络地址转换。
11、根据权利要求7所述虚拟专用网的网络地址转换设备资源使用的控制方法,其特征在于,在进行网络地址转换后,该数据流对应的连接结束或达到流表项的老化时间时,网络地址转换设备删除该流表项,并对虚拟专用网用户所对应的可建流数加一。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100775947A CN100423512C (zh) | 2005-06-17 | 2005-06-17 | 虚拟专用网的网络地址转换设备资源使用的控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100775947A CN100423512C (zh) | 2005-06-17 | 2005-06-17 | 虚拟专用网的网络地址转换设备资源使用的控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1725735A true CN1725735A (zh) | 2006-01-25 |
CN100423512C CN100423512C (zh) | 2008-10-01 |
Family
ID=35924985
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005100775947A Expired - Fee Related CN100423512C (zh) | 2005-06-17 | 2005-06-17 | 虚拟专用网的网络地址转换设备资源使用的控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100423512C (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150505B (zh) * | 2007-07-31 | 2010-06-16 | 杭州华三通信技术有限公司 | 通过网络地址转换转发数据流的方法和装置 |
CN101227398B (zh) * | 2008-01-31 | 2010-08-18 | 中兴通讯股份有限公司 | 网络地址转换的自动调整应用的系统及方法 |
CN101286919B (zh) * | 2007-04-11 | 2010-11-10 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
WO2011026344A1 (zh) * | 2009-09-03 | 2011-03-10 | 中兴通讯股份有限公司 | 一种ip分片报文的重组方法和装置 |
CN101409669B (zh) * | 2008-09-09 | 2011-03-30 | 上海第二工业大学 | 基于硬件的四层负载均衡交换机及其交换方法 |
CN101335681B (zh) * | 2007-06-27 | 2011-08-10 | 华为技术有限公司 | 获取穿越资源的方法、对等网络节点和对等网络 |
CN103891395A (zh) * | 2011-10-17 | 2014-06-25 | 国际商业机器公司 | 多设备监视及控制 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003524930A (ja) * | 1999-02-23 | 2003-08-19 | アルカテル・インターネツトワーキング・インコーポレイテツド | マルチサービスネットワークスイッチ |
US7337217B2 (en) * | 2000-07-21 | 2008-02-26 | Samsung Electronics Co., Ltd. | Architecture for home network on world wide web |
CN100433667C (zh) * | 2002-05-29 | 2008-11-12 | 华为技术有限公司 | 网络地址转换中私网用户访问资源分配方法 |
CN1249950C (zh) * | 2002-08-23 | 2006-04-05 | 华为技术有限公司 | 网络地址转换协议用户的网络接入控制方法 |
CN100356752C (zh) * | 2003-06-14 | 2007-12-19 | 华为技术有限公司 | 一种网络地址资源的利用方法 |
-
2005
- 2005-06-17 CN CNB2005100775947A patent/CN100423512C/zh not_active Expired - Fee Related
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286919B (zh) * | 2007-04-11 | 2010-11-10 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
CN101335681B (zh) * | 2007-06-27 | 2011-08-10 | 华为技术有限公司 | 获取穿越资源的方法、对等网络节点和对等网络 |
US8601140B2 (en) | 2007-06-27 | 2013-12-03 | Huawei Technologies Co., Ltd. | Method for acquiring traversal resource, peer to peer node and peer to peer system |
CN101150505B (zh) * | 2007-07-31 | 2010-06-16 | 杭州华三通信技术有限公司 | 通过网络地址转换转发数据流的方法和装置 |
CN101227398B (zh) * | 2008-01-31 | 2010-08-18 | 中兴通讯股份有限公司 | 网络地址转换的自动调整应用的系统及方法 |
CN101409669B (zh) * | 2008-09-09 | 2011-03-30 | 上海第二工业大学 | 基于硬件的四层负载均衡交换机及其交换方法 |
WO2011026344A1 (zh) * | 2009-09-03 | 2011-03-10 | 中兴通讯股份有限公司 | 一种ip分片报文的重组方法和装置 |
CN103891395A (zh) * | 2011-10-17 | 2014-06-25 | 国际商业机器公司 | 多设备监视及控制 |
US9913133B2 (en) | 2011-10-17 | 2018-03-06 | International Business Machines Corporation | Multi-device monitoring and control using intelligent device channel sharing |
US10028134B2 (en) | 2011-10-17 | 2018-07-17 | International Business Machines Corporation | Multi-device monitoring and control using intelligent device channel sharing |
CN103891395B (zh) * | 2011-10-17 | 2018-08-28 | 国际商业机器公司 | 多设备监视及控制 |
US10609550B2 (en) | 2011-10-17 | 2020-03-31 | International Business Machines Corporation | Multi-device monitoring and control using intelligent device channel sharing |
Also Published As
Publication number | Publication date |
---|---|
CN100423512C (zh) | 2008-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1125545C (zh) | 实现局域网虚通道传送的数据转发方法 | |
CN1725735A (zh) | 虚拟专用网的网络地址转换设备资源使用的控制方法 | |
CN1254940C (zh) | 执行网络路由选择的方法和装置 | |
CN1232080C (zh) | 网络中节省ip地址提供内部服务器的方法 | |
US8032639B2 (en) | Apparatus and method for providing data session source device information | |
US8995264B2 (en) | Packet transfer device, packet transfer method, packet transfer program and communication device | |
US20060274744A1 (en) | Dynamic VLAN ID assignment and packet transfer apparatus | |
CN101047618A (zh) | 获取网络路径信息的方法和系统 | |
CN107046506B (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
CN1575462A (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
WO2011150701A1 (zh) | 数据业务处理方法、网络设备和网络系统 | |
CN102377634A (zh) | 一种接入网设备的入网方法及系统 | |
CN1773993B (zh) | 会话中继设备和会话中继方法 | |
CN1925452A (zh) | 数据转发系统、方法以及网络转发设备 | |
CN101237332A (zh) | 计费方法、计费系统与流量统计装置 | |
US20100271949A1 (en) | Traffic processing system and method of processing traffic | |
US9270593B2 (en) | Prediction based methods for fast routing of IP flows using communication/network processors | |
CN102664804B (zh) | 网络设备实现网桥功能的方法及系统 | |
KR100827143B1 (ko) | 패킷 스위치 장비 및 그 방법 | |
CN1496642A (zh) | 具有对于接入规则的索引的防火墙 | |
CN101355585A (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
CA2974353A1 (en) | System and method for identifying a communication for routing purposes using internet protocol addresses that are allocated by and shared amongst internet service provider networks | |
CN104410576A (zh) | 混合式条件策略路由系统及方法 | |
CN1744538A (zh) | 选择不同网络服务提供商提供的服务的方法 | |
CN1697445A (zh) | 一种实现虚拟私有网络中数据传输的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081001 |
|
CF01 | Termination of patent right due to non-payment of annual fee |