专利名称:私网终端对公网终端进行检测的方法
技术领域:
本发明涉及通信领域,尤其涉及一种私网终端对7>网终端进行 才全测的方法。
背景技术:
网绍d也址翻i奪(Net Address Translation,简称NAT ):技术是一 种地址映射才支术,通常用于子域内具有私网IP ;也址的主才几访问外部 主才几时一夸该主才几的私网IP ;t也址映射为一个外部p眷一可识别的 /^网 IP地址;同时,将外部主才几返回乡合内部主才几的/>网IP地址映射回内 部标志该主才几的私网IPi也址,4吏得返回的凄t据包正确到达内部目的 主才几。该4支术^f吏得不同私有网络可以4吏用相同的私网IP地址_敬而不 会导致外部网络的地址信息出现混乱,从而扩展了 IP地址的应用范 围,在一定程度上緩解了当前Ipv4地址空间不足的问题。
NAT —般可分为三种类型静态NAT、动态不可重用NAT、 动态可重用NAT (端口地址翻i奪/网络端口地址翻i奪),端口地址翻 二泽英文全称为Port Address Translation,简称PAT,网纟各端口 ;也址翁3 i,英文全称为Net Port Address Translation,筒 一尔NAPT 。
(1 ) l争态NAT:内部私网IP i也址和外部7^网IP地址的映射 是静态——对应的。如果结合端口来实现静态映射关系,就是端口 重定向或l争态PAT/NAPT。
(2) 动态不可重用NAT:使用外部/>网IP地址池技术,将 一些/>网ip地址存》文到一个地址池中。在进4亍NAT转换时,乂人这 个公网IP地址池中获取一个可用的公网IP地址进行转换。通信完 毕之后,该/>网IP地址也净皮释》文回地址池中。在4吏用过程中, 一个 />网IP i也址只能有一个映射关系。
(3) 动态可重用NAT (PAT/NAPT)。与动态不可重用才莫式相 比,通信的映射是通过IP地址和端口号的组合来完成的。
在规模较小的企业组网应用中,为了节约外部7>用IP地址,可 以将3各由器接口 IP地址配置到地址池中来实现)动态可重用NAT。 为了不影响和路由器本身的通信,在这种应用模式中,端口的使用 有一定的限制(包含一些知名用途的端口在内的数值较低的端口不 能用于NAT转换过程中)。
检测(Ping)程序是一种常用的用于测试另一台主机是否可达 的网络诊断工具。该程序发送一份ICMP回显请求报文给要测试是 否存在的主才几,并等4寺其返回ICMP回显应答才艮文。
在实现动态可重用NAT功能时,目前对ICMP才艮文的NAT转 4灸是—夸因对争网4空制才艮文十办i义(Internet Control Message Protocol,简 称ICMP )才艮文中的标识符(Identifier )类似于TCP/UDP才艮文的端 口来处理的。当私网用户Ping某个外部^>网IP地址时,在经过启 用复用接口地址的动态可重用NAT功能的路由器后,ICMP回显请 求才艮文中的标识符字段会一皮替换成一个新的值。在该^各由器收到 ICMP回显应答才艮文时,如果目的地址是3各由器本地地址时,将无 法判断出该报文是给路由器本身的,还是需要经过NAT处理后转发 给私网用户的。目前的做法是将这样的报文作为路由器本地报文处 理的。因此,在复用路由器接口地址的动态可重用NAT功能下,私
网用户4吏用Ping禾呈序4全测外部/>网IP i也址是否可达时,是无法收 到ICMP回显应答报文的,也就无法确定所要才企测的地址是否可达。
发明内容
鉴于以上所述的一个或多个问题,本发明^是出了一种私网终端 对公网终端进行才全测的方法,在以路由器接口的^>网IP地址实现动 态可重用NAT功能时,私网用户能够使用Ping功能来检测外部公 网IP地址是否可达。
根据本发明的实施例的私网终端对公网终端进行检测的方法包 括以下步骤步骤S102,路由器在接收到来自公网终端的ICMP回 显应答报文之后,判断ICMP回显应答报文的标识符区域中的数值 是否为预定数值;步骤S104,在标识符区i或中的彩:值为预定^:值的 情况下,路由器对ICMP回显应答报文进行复制;步骤S106,路由 器根据复制的ICMP回显应答才艮文中的7>网IP地址和预定数值获取 相应的源地址,并将所复制的ICMP回显应答才艮文发送到对应于源 地址的私网终端;以及步-骤S108,私网终端才艮据复制的ICMP回显 应答报文对公网终端进行查验。
其中,步骤S102之前还包括以下处理私网终端将用于对7>网 终端进行查验的ICMP回显请求报文发送给路由器;路由器将ICMP 回显请求报文中的源地址替换为对应于路由器的复用接口的公网IP 地址,并将ICMP回显请求报文中的标识符替换为预定数值,并将 替换后的ICMP回显请求才艮文发送给/>网终端;以及公网终端在接 收到*,换后的ICMP回显^青求净艮文之后,将相应的ICMP回显应答 报文反馈给路由器。
其中,在3各由器在对ICMP回显应答才艮文进4亍复制之后,将原 来的ICMP回显应答报文作为本地报文进行处理。在路由器根据复
制的ICMP回显应答报文中的公网IP地址和预定凄丈值获取相应的源 地址不成功的情况下,丢弃所复制的ICMP回显应答才艮文。在非复 用接口接收到ICMP回显应答报文之后,将原来的ICMP回显应答 才艮文作为本地才艮文进4亍处理。复用接口i殳置有复用标志,通过复用 标志区分复用接口和非复用接口 。预定范围为网络地址转换所允许 的范围。
通过本发明,由于本发明所述的以^各由器接口的7>网IP地址实 现动态可重用NAT时,私网用户能够Ping通外部7>网IP ;也址的方 法采用了复制一份ICMP应答报文的做法,解决了以复用路由器接 口;也址实3见NAT功能时,不能4吏用Ping禾呈序来^r测私网到某个^〉 网IP地址的是否可达的问题。
此处所说明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中
图1是根据本发明的私网终端对公网终端进行检测的方法的流 程图2为才艮据本发明的实施例的以路由器接口的7>网IP地址实现 动态可重用NAT时私网用户能够Ping通外部7>网IP i也址的方法的 流程图3是根据本发明的实施例的复用路由器接口地址实现NAT 功能时,NAT出接口收到ICMP应答才艮文的处理的流程图;以及
图4是根据本发明的实施例的复用路由器接口地址实现NAT 功能时,私网用户能Ping通外网IP地址的组网示意图。
具体实施例方式
下面参考附图,详细说明本发明的具体实施方式
。
图1是根据本发明的私网终端对公网终端进行冲企测的方法的流
禾呈图。如图l所示,该方法包4舌以下步艰《
步骤S102 ,路由器在接收到来自公网终端的ICMP回显应答报 文之后,判断ICMP回显应答报文的标识符区域中的数值是否为预
定数值。
步骤S104,在标识符区域中的数值为预定数值的情况下,路由 器对ICMP回显应答才艮文进行复制。
步骤S106, ^各由器才艮据复制的ICMP回显应答才艮文中的公网IP 地址和预定数值获取相应的源地址,并将所复制的ICMP回显应答 净艮文发送到对应于源地址的私网终端。
步骤S108,私网终端根据复制的ICMP回显应答报文对公网终
端进4于查-验。
其中,步各聚S102之前还包4舌以下处理
私网终端将用于对公网终端进行查验的ICMP回显请求报文发 送给路由器。
路由器将ICMP回显请求报文中的源地址替换为对应于路由器 的复用接口的7>网IP地址,并将ICMP回显请求才艮文中的标识符替 换为预定数值,并将替换后的ICMP回显请求报文发送给公网终端。
公网终端在接收到替换后的ICMP回显请求净艮文之后,将相应 的ICMP回显应答才艮文反馈给路由器。 其中,在路由器在对ICMP回显应答报文进行复制之后,将原 来的ICMP回显应答才艮文作为本地才艮文进4于处理。在^各由器才艮据复 制的ICMP回显应答报文中的公网IP地址和预定数值获取相应的源 地址不成功的情况下,丢弃所复制的ICMP回显应答报文。在非复 用接口接收到ICMP回显应答才艮文之后,将原来的ICMP回显应答 冲艮文作为本地才艮文进4于处理。复用4妻口i殳置有复用标志,通过复用 标志区分复用接口和非复用接口 。预定范围为网络地址转换所允许 的范围。
在根据本发明的实施例中,提出了以路由器接口的公网IP地址 实i见动态可重用NAT时,私网用户(私网纟冬端)能够Ping通夕卜部 公网IP地址(/>网终端)的方法。在复用路由器接口的/>网IP地 址的情况下,由私网用户的Ping程序发出的ICMP回显请求才艮文在 经过NAT处理后,其报文中的源地址会被替换为路由器接口的公网 IP地址,标识符会一皮替换成NAT转换所允许范围内的一个数值。 当^各由器收到该ICMP回显请求才艮文所对应的ICMP回显应答才艮文 时,如果该ICMP回显应答才艮文的目的地址就是3各由器的4妄口地址 时,接着判断该报文的标识符是否在NAT转换所允许的范围内。如 果标识符的数值超出了 NAT转换所允许的范围,则将该报文作为本 地才艮文处理。如果标识符的彰:值在NAT转换所允许的范围内,则将 该报文复制一份。原报文交给路由器作为本地报文处理;复制的报 文进行NAT处理,NAT转换成功时,将转换后才艮文转发给私网内 的机器,NAT转换失败时,直接丟弃复制的报文。
进一步地,才艮据本发明的实施例的以^各由器^妄口的/>网IP地址 实现动态可重用NAT时,私网用户能够Ping通外部/厶网IP地址的 方法,为了防止在;殳有配置复用4妄口:l也址的动态可重用NAT头见贝'J 时,也对目的地址是路由器接口地址的ICMP才艮文进行复制,在处 理中另外加一些限制。在配置复用^妄口 i也址的动态可重用NAT失见则 时,将该接口置上复用接口地址的标志,当该接口收到目的地址是
本接口地址的ICMP应答才艮文时,判断本4妄口是否有复用4妄口地址
的标志。有标志时,复制这个报文,分别交给本地和NAT模块处理; 没有标志时,将报文作为本地报文处理。
图2为根据本发明的实施例的以路由器接口的公网IP地址实现 动态可重用NAT时私网用户能够Ping通外部一^网IP地址的方法的 流禾呈图。如图2所示,该方法主要包4舌以下步-骤
步骤S202,在配置复用接口地址的NAT规则时,在复用到其地 址的接口上设置复用接口地址的标志。
步骤S204,在收到私网内ping程序所发出的ICMP回显请求才艮 文时,以源IP地址和标识符产生一个新的NAT映射关系,然后对 该报文进行相应的替换并转发出去。
步-骤S206,当复用其地址的才妻口收到目的地址是本4姿口地址的 ICMP应答报文时,首先判断其标识符是否在NAT规则所用端口的 范围内。不在端口使用范围内的,将净艮文作为本地才艮文处理;否则 执行步骤S208。
步骤S208,判断接口属性中是否有复用接口地址的标志。如果 没有相应的标志,^j寻该才艮文作为本:t也才艮文处理;如果有相应的标志, 则执行步骤S210。
步骤S210,复制一份该ICMP应答报文,原报文交给本地处理, 复制的报文交给NAT模块处理。
步骤S212,在NAT才莫块中,以复制的ICMP应答才艮文的目的地 址和标识符查找NAT映射条目。找到映射条目时,按映射条目对报 文中的目的地址和标识符进4亍替换,然后转发乡合私网内主才几;未找 到相应条目时,将该复制报文丢弃。
图3是根据本发明的实施例的复用路由器接口地址实现NAT功 能时,NAT出"l妄口收到ICMP应答才艮文的处理的流程图。如图3所 示,NAT出接口收到ICMP应答报文的处理主要包括以下步骤
步骤S302,路由器的NAT出接口判断出其收到的报文是目的地 址为本^妄口地址的ICMP应答才艮文时,才丸4亍步艰纟S304。
步骤S304,判断ICMP应答报文中标识符的值是否在NAT规则 所用端口的范围内。如果标识符的值在^f吏用端口范围内,则^丸行步
骤S306;否则将本ICMP应答报文作为本地才艮文处理(步骤S316 )。
步骤S306,判断NAT出接口上是否有复用接口地址的标志。如 果标志存在,则执行步骤S308;否则将本ICMP应答才艮文作为本地 报文处理(步骤S316)。
步骤S308,复制一份该ICMP应答报文,原报文交给本地处理; 复制的报文交给NAT模块处理。
步骤S310至步骤S314,在NAT才莫块中,对于复制的ICMP应 答净艮文以其中的目的地址和标识符查找NAT映射条目。如果未找到 相应的映射条目,则直4妻丢弃该净艮文。找到条目时,7十复制的ICMP 应答纟艮文进4于NAT转4灸并转发。
图4是根据本发明的实施例的复用路由器接口地址实现NAT功 能时,私网用户能Ping通外网IPi也址的组网示意图。
硬件部分由两台以上的主机、 一台路由器R和双绞线若干等组 成,组网关系图如图4所示。
專欠件部分的处理步艰《如下
步骤一,在路由器R上NAT规则。 a)启用NAT功能,并i殳置i 各由器4妄口的NAT属性
(1 )启用NAT功能 ip nat start
(2 )设置与私网相连的4妄口的IP地址和NAT属性 interface fei—1/1
ip address 192.168.1.1 255.255.255.0 ip nat inside (注NAT入接口 )
(3 ) i殳置与^i^网相连的4姿口的IP地址和NAT属性 interface fei—2/1 ip address l丄l.l 255.255.255.0 ip nat outside (注NAT出接口 )
b )配置复用接口地址的NAT规则所要用到的7>网IP地址池 ip nat pool pool 1 1.1.1.1 l.l丄l prefix-length 24 c )配置NAT规则所要用到的访问控制列表 ip access-list standard 1 permit 192.168.1.0 0.0.0.255
d )西己置复用接口地址的NAT规则
ip nat inside source list 1 pool pooll overload
步骤二,在私网内的主才几上用Ping来才企测IP地址为1.1.1.2的 外网主机是否可达,Ping的输出结果表示IP地址1.1.1.2可达。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何-修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种私网终端对公网终端进行检测的方法,其特征在于,所述方法包括以下步骤步骤S102,路由器在接收到来自所述公网终端的ICMP回显应答报文之后,判断所述ICMP回显应答报文的标识符区域中的数值是否为预定数值;步骤S104,在所述标识符区域中的数值为所述预定数值的情况下,所述路由器对所述ICMP回显应答报文进行复制;步骤S106,所述路由器根据复制的ICMP回显应答报文中的所述公网IP地址和所述预定数值获取相应的源地址,并将所复制的ICMP回显应答报文发送到对应于所述源地址的所述私网终端;以及步骤S108,所述私网终端根据所述复制的ICMP回显应答报文对所述公网终端进行查验。
2. 根据权利要求1所述的方法,其特征在于,在所述步骤S102 之前还包4舌以下处理所述私网终端将用于对所述7>网终端进行查验的ICMP 回显请求才艮文发送》会3各由器;所述^各由器爿夸所述ICMP回显i青求才艮文中的所述源:t也址 替换为对应于所述路由器的所述复用接口的所述公网IP地址, 并将所述ICMP回显请求才艮文中的所述标识符替换为所述预 定数值,并将替换后的ICMP回显请求报文发送给所述公网终 端;以及所述公网终端在接收到所述替换后的ICMP回显请求报 文之后,将相应的ICMP回显应答才艮文反々责纟会所述^各由器。
3. 根据权利要求2所述的方法,其特征在于,在所述路由器在对 所述ICMP回显应答报文进行复制之后,将原来的ICMP回显 应答才艮文作为本地净艮文进4于处理。
4. 根据权利要求2所述的方法,其特征在于,在所述路由器根据 复制的ICMP回显应答才艮文中的所述公网IP地址和所述预定 数值获取相应的源地址不成功的情况下,丢弃所复制的ICMP 回显应答^艮文。
5. 根据权利要求1至4中任一项所述的方法,其特征在于,在非 复用接口接收到所述ICMP回显应答报文之后,将原来的 ICMP回显应答才良文作为本地才艮文进4亍处理。
6. 根据权利要求5所述的方法,其特征在于,所述复用接口设置 有复用标志,通过所述复用标志区分所述复用4妾口和所述非复 用接口 。
7. 根据权利要求5所述的方法,其特征在于,所述预定范围为网 络地址转换所允许的范围。
全文摘要
本发明提出了一种私网终端对公网终端进行检测的方法,该方法包括以下步骤步骤S102,路由器在接收到来自公网终端的ICMP回显应答报文之后,判断ICMP回显应答报文的标识符区域中的数值是否为预定数值;步骤S104,在标识符区域中的数值为预定数值的情况下,路由器对ICMP回显应答报文进行复制;步骤S106,路由器根据复制的ICMP回显应答报文中的公网IP地址和预定数值获取相应的源地址,并将所复制的ICMP回显应答报文发送到对应于源地址的私网终端;以及步骤S108,私网终端根据复制的ICMP回显应答报文对公网终端进行查验。
文档编号H04L12/56GK101179506SQ200710193828
公开日2008年5月14日 申请日期2007年11月26日 优先权日2007年11月26日
发明者勇 孙, 晨 林, 轶 郑, 陈尔严 申请人:中兴通讯股份有限公司