专利名称:一种防止路由环路产生的方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种防止路由环路产生的方法、装 置和系统。
背景技术:
NAT (Network Address Translation,网络地址转换),是一种将私网地址 转换成公网地址,对外发起访问的技术。当报文通过防火墙时,防火墙会建 立会话表,记录一次访问的转换前的地址和转换后的地址,在私网地址多于 NAT地址池地址的时候也不会造成访问沖突。
防火墙的会话表技术能保证私网用户对外发起访问的时候NAT地址转换 的一致性,但通常防火墙还会收到目的地址是NAT地址池地址的报文,此类 报文是由和防火墙出口相连的路由器转发过来的,并且此类报文在防火墙上 无法查询到会话表,这类报文不是私网用户对外发起访问的响应报文,是一 种非法访问的报文。
防火墙作为核心层设备,会配置默认路由指向防火墙出口的路由器,而 目的地址是地址池并且在防火墙上查不到会话表的这类报文,会被防火墙转 发到出口路由器上,而在出口路由器上查地址池的路由,这类报文又会被路 由器转发到防火墙上。因此,这类报文会在防火墙和防火墙的上行设备之间 来回转发,直到该报文的TTL ( Time To Live,生存时间)为0被丢弃。从而, 这类报文在防火墙和防火墙的上行设备之间形成了环;洛,这类才艮文稍多时就 会造成链路拥塞和网络带宽的极大浪费。
现有技术对这类报文不作处理,使得这类报文在防火墙和该防火墙的上 行设备之间进行转发直到TTL为O。当这类报文较多时,这类报文会占用链路 的大量带宽,造成设备的性能消耗和链路的拥塞。
发明内容
本发明实施例提供一种防止路由环路产生的方法、装置和系统,以防止 报文在防火墙和防火墙的出口路由器之间形成环路,避免产生链路拥塞。
为达到上述目的,本发明实施例一方面提供一种防止路由环路产生的方
法,包括
在防火墙上配置网络地址转换NAT地址池地址时,为所述NAT地址池地 址添加对应的黑洞路由;
若接收到的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹 配,则丢弃所述匹配上黑洞路由的报文。
另一方面,本发明实施例还提供一种防止路由环路产生的装置,包括
添加模块,用于在防火墙上配置网络地址转换NAT地址池地址时,为所 述NAT地址池地址添加对应的黑洞路由;
报文处理模块,用于若接收到的目的地址为所述NAT地址池地址的报文 与所述黑洞路由相匹配,则丢弃所述匹配上黑洞路由的报文。
再一方面,本发明实施例还提供一种防止路由环路产生的系统,包括
转发设备,用于从外部网络向用户发送报文;
防火墙,用于在配置网络地址转换NAT地址池地址时,为所述NAT地址 池地址添加对应的黑洞路由,并在所述转发设备发送的目的地址为所述NAT 地址池地址的报文与所述黑洞路由相匹配时丢弃所述匹配上黑洞路由的报 文。
与现有技术相比,本发明实施例具有以下优点本发明实施例中,在防 火墙上配置NAT地址池地址时,为该NAT地址池地址添加对应的黑洞路由, 若接收到的目的地址为该NAT地址池地址的报文与黑洞路由相匹配,则丢弃 匹配上黑洞路由的报文。从而避免了非法访问的报文在防火墙和防火墙的出 口路由器之间形成环路,防止了防火墙的出口链路出现拥塞,保证了业务的 正常进行。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作筒单地介绍,显而易见地,下面描述中的附图仅仅是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前 提下,还可以才艮据这些附图获得其他的附图。
图1为本发明实施例一种防止路由环路产生的方法的流程图; 图2为本发明实施例一种防止路由环路产生的装置的结构图; 图3为本发明实施例另一种防止路由环路产生的装置的结构图; 图4为本发明实施例一种防止路由环路产生的系统的结构图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种防止路由环路产生的方法,主要用于在防火墙上 配置NAT地址转换之后,防止报文在防火墙和防火墙的出口路由器之间形成 环路,避免产生链路拥塞。
本发明实施例在防火墙上配置NAT地址的时候,自动添加黑洞路由,黑 洞路由的出接口为空接口 ,目的地址匹配上黑洞路由的所有报文都将被丢弃。
对于从防火墻的出口路由器转发到防火墙上,目的地址为NAT地址池地 址的报文,如果在防火墙的会话表上查不到会话,针对这类报文,防火墙将 在该防火墙上匹配该NAT地址池地址对应的黑洞路由,在查到了黑洞路由之 后,防火墙直接丟弃这类报文,避免了路由环路的产生。
如图1所示,为本发明实施例一种防止路由环路产生的方法的流程图, 包括
步骤S101,在防火墙上配置NAT地址池地址时,为NAT地址池地址添 加对应的黑洞路由。
本发明实施例中,在防火墙上配置NAT地址池地址的时候,自动或手动 为NAT地址池地址添加对应的黑洞路由,该黑洞路由具有32位的掩码,保证
所有目的地址为NAT地址池地址的报文,在防火墙上查不到会话时,就直接 匹配黑洞路由。
进一步地,如果NAT地址池地址中包括防火墙的接口地址,则在添加黑 洞路由时,只需要为NAT地址池地址中除上述接口地址之外的其他地址添加 对应的黑洞路由,而不需为防火墙的接口地址添加黑洞路由,从而保证目的 地址为防火墙的接口地址的报文能访问到防火墙。上述黑洞路由的掩码均为 32位的掩码。
步骤S102,若接收到的目的地址为NAT地址池地址的报文与黑洞路由相 匹配,则丟弃匹配上黑洞^各由的才艮文。
在配置了黑洞路由之后,防火墙接收到来自外部网络的目的地址为NAT 地址池地址的报文之后,将目的地址为NAT地址池地址的报文在该防火墙上 匹配该NAT地址池地址对应的黑洞路由,在该报文匹配上黑洞路由之后,丟 弃匹配上黑洞路由的报文。
上述防止路由环路产生的方法,在防火墙上估文NAT转换的时候,能避免 非法访问的报文在防火墙和防火墙的出口路由器之间形成环路,防止了防火 墙的出口链路出现拥塞,保证了业务的正常进行。
如图2所示,为本发明实施例一种防止路由环路产生的装置的结构图, 包括
添加模块21,用于在防火墙上配置NAT地址池地址时,为NAT地址池 地址添加对应的黑洞路由。
报文处理模块22,用于若接收到的目的地址为NAT地址池地址的报文与 添加模块21添加的黑洞路由相匹配,则丟弃匹配上黑洞路由的报文。
如图3所示,添加才莫块21可以包括
路由添加子才莫块211,用于当NAT地址池地址中包括该防火墙的4妻口地 址时,为NAT地址池地址中除该防火墙的4妄口地址之外的其他地址添加对应 的黑洞i 各由。
其中,该防止路由环路产生的装置可以集成在防火墙上,或者为一独立 的功能实体。
通过上述防止路由环路产生的装置,在防火墙上做NAT转换的时候,能 避免非法访问的报文在防火墙和防火墙的出口路由器之间形成环路,防止防 火墙的出口链路出现拥塞,从而保证业务的正常进行。
如图4所示,为本发明实施例一种防止路由环路产生的系统的结构图, 包括
转发设备41,用于从外部网络向用户发送报文;
防火墙42,用于在配置NATi也址池:l也址时,为NAT ;也址池地址添加对 应的黑洞路由,并在转发设备41发送的目的地址为NAT地址池地址的报文 与上述黑洞路由相匹配时丢弃匹配上黑洞路由的报文。
其中,该转发设备41可以为防火墙42的出口路由器。
上述防止路由环;洛产生的系统,防火墙42在配置NAT地址池地址时, 为NAT地址池地址添加对应的黑洞路由,从而在防火墙42上做NAT转换的 时候,能避免非法访问的报文在防火墙和防火墻的出口路由器之间形成环路, 防止了防火墙的出口链路出现拥塞,从而保证了业务的正常进行。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。 基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软 件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动硬 盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服 务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的 模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的^f莫块可以按照实施例描述 进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一 个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆 分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,
任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种防止路由环路产生的方法,其特征在于,包括在防火墙上配置网络地址转换NAT地址池地址时,为所述NAT地址池地址添加对应的黑洞路由;若接收到的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹配,则丢弃所述匹配上黑洞路由的报文。
2、 如权利要求1所述的方法,其特征在于,若所述NAT地址池地址中 包括所述防火墙的接口地址,在所述防火墙上配置网络地址转换NAT地址池地址时,为所述NAT地址 池地址中除所述防火墙的4妄口地址之外的其他地址添加对应的黑洞路由。
3、 如权利要求1所述的方法,其特征在于,所述为所述NAT地址池地 址添加对应的黑洞路由具体包括为所述NAT地址池;也址自动或手动添加对应的黑洞i 各由。
4、 如权利要求1至3任意一项所述的方法,其特征在于,所述黑洞路由 具有32位的掩码。
5、 一种防止路由环路产生的装置,其特征在于,包括添加it块,用于在防火墙上配置网络地址转换NAT地址池地址时,为所 述NAT地址池地址添加对应的黑洞路由;报文处理模块,用于若接收到的目的地址为所述NAT地址池地址的报文 与所述黑洞路由相匹配,则丟弃所述匹配上黑洞路由的报文。
6、 如权利要求5所述的装置,其特征在于,所述添加模块包括路由添加子模块,用于当所述NAT地址池地址中包括所述防火墙的接口 地址时,为所述NAT地址池地址中除所述防火墙的4妄口地址之外的其他地址 添加对应的黑洞i 各由。
7、 如权利要求5所述的装置,其特征在于,所述防止路由环路产生的装 置集成在所述防火墙上,或者为一独立的功能实体。
8、 一种防止^各由环路产生的系统,其特征在于,包括 转发设备,用于从外部网络向用户发送报文;防火墙,用于在配置网络地址转换NAT地址池地址时,为所述NAT地址池地址添加对应的黑洞路由,并在所述转发设备发送的目的地址为所述NAT 地址池地址的报文与所述黑洞路由相匹配时丢弃所述匹配上黑洞路由的报 文。
全文摘要
本发明实施例公开了一种防止路由环路产生的方法、装置和系统,所述防止路由环路产生的方法,包括在防火墙上配置网络地址转换NAT地址池地址时,为所述NAT地址池地址添加对应的黑洞路由;若接收到的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹配,则丢弃所述匹配上黑洞路由的报文。通过本发明实施例提供的技术方案,避免了非法访问的报文在防火墙和防火墙的出口路由器之间形成环路,防止了防火墙的出口链路出现拥塞,保证了业务的正常进行。
文档编号H04L29/06GK101355418SQ20081016695
公开日2009年1月28日 申请日期2008年9月28日 优先权日2008年9月28日
发明者刘敦辉, 张日华, 徐耀伟 申请人:成都市华为赛门铁克科技有限公司