对网络通信数据包进行监控的系统的制作方法

专利名称：对网络通信数据包进行监控的系统的制作方法
技术领域：
本发明属于信息网络系统领域，具体是一种对网 络通信数据包进行监控的系统。
背景技术：
在网络通信的过程中，每个通信设备都需要IP(Intemet Protocol,互联网协议)地址。根据IP地址分配方案，IP地址可以分 为公网IP地址和私网IP地址。通信设备访问互联网一般都需要具备 一个有效的公网IP地址，但是由于公网IP地址数量不是足够充分， 无法保证每个通信设备都能拥有公网IP地址。为了使私网中的设备与 公网中的设备之间能够正常的进行通信，需要采用网络地址转换 (NAT, Network Address Translation)设备对私网中的IP地址与公网 的IP地址进行相互转换，解决公网IP地址资源紧缺的问题。
为了对IP数据包进行监控，通常可以在公网或私网内部署IP数 据包分析设备。当IP数据包分析设备部署在私网内时，可以对私网内 通信设备发送或接收的IP数据包进行监控，但是这种分散监控的方案 需要在每个私网内部都部署IP数据包监控设备，从而导致IP数据包 监控系统的设备利用率低，建设成本比较贵。
当IP数据包分析设备部署在公网上时，只能对NAT转换后的IP 数据包进行监控。由于私网内设备发送的IP数据包经过NAT转换后， IP数据包的源地址、源端口号会部分或全部替换成公网IP地址或其 它端口号，传统的NAT设备通常只把私网IP地址和公网IP地址的这 种转换对应关系保存在临时记录表中，并不把IP地址的转换对应关系 向外部设备或平台传送。这种处理方式会导致处于外部网络中的设备 或平台无法确定经过NAT转换的IP数据包与私网内发送该数据包的 设备之间的对应关系，也就无法在公网上通过IP数据包分析设备对来 自私网的IP数据包进行跟踪、监控和管理。

发明内容
本发明的目的在于针对无法在公网上对来自私网的IP数据包进行跟踪、监控和管理问题，提供一种成本低，使用方便的对网络通信 数据包进行监控的系统，可以将IP数据包分析设备部署在公网上，实 现对私网内通信设备发送或接收的IP数据包的集中监控，使得一台IP 数据包监控设备能够同时监控多个私网产生的IP数据包，从而最大程 度的发挥IP数据包监控设备的处理能力，并极大的降低了 IP数据包 监控系统的建设成本。
本发明的目的是通过下述技术方案来实现的
本发明的对网络通信数据包进行监控的系统由IP数据包分析单 元和网络地址转换单元组成，其特征在于系统中还有网络地址转换信 息发送单元和网络地址转换信息关联处理单元，其连接关系为网络 地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据 包分析单元相连，网络地址转换信息发送单元和网络地址转换信息关 联处理单元相连，网络地址转换信息关联处理单元与IP数据包分析单 元相连，IP数据包分析单元与IP公共网络相连。
上述方案中，所述网络地址转换信息发送单元可与网络地址转换 单元合并形成网络地址转换及网络地址转换信息发送单元。
上述方案中，所述网络地址转换信息关联处理单元可与IP数据包 分析单元合并形成网络地址转换信息关联处理及IP数据包分析单元。
上述方案中，所述网络地址转换单元、网络地址转换信息发送单 元、IP数据包分析单元、网络地址转换信息关联处理单元、网络地址 转换及网络地址转换信息发送单元、网络地址转换信息关联处理及IP 数据包分析单元之间的连接方式可以是直达的或多级互联形成的IP 数据网，可以通过相同的或者不同的IP数据网进行连接，组网的物理 链路可以是无线、光纤、5类双绞线等。
上述方案中，所述网络地址转换及网络地址转换信息发送单元由 网络接口模块、IP数据包拆分与组合模块、网络地址转换规则处理模 块、网络地址转换信息发送模块和设备管理模块组成，其中，网络接 口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模块、网 络地址转换信息发送模块和设备管理模块相连，IP数据包拆分与组合 模块还与网络地址转换规则处理模块相连，网络地址转换规则处理模 块还与网络地址转换信息发送模块相连。网络地址转换信息发送模块 通过网络接口模块与网络地址转换信息关联处理单元进行信息的交
5互。
上述方案中，所述网络接口模块配备两个或两个以上的网络接口， 网络接口分别用于连接IP私网和IP公共网络；网络接口模块负责处 理IP通信过程中物理层和数据链路层的信号；根据不同的情况，网络 接口模块可以采用不同的物理传输介质，例如无线、光纤、5类双绞 线等；网络接口模块可以选择相同的物理传输介质，也可以选择不同 的物理传输介质，网络接口模块负责与外部网络之间进行IP数据包的 接收和传送，并把处理后获得的IP数据包传送到IP数据包拆分与组 合模块。
上述方案中，所述IP数据包拆分与组合模块负责提取网络接口模 块传送来的IP数据包的(IP源地址、IP源端口、 IP目的地址、IP目的 端口)或者(IP源地址、IP目的地址、ICMP (互联网控制消息协议) 类型、ICMPID (互联网控制消息协议标识))等信息，并将这些信息 传送给网络地址转换规则处理模块；另外IP数据包拆分与组合模块在 网络地址转换规则处理模块的控制下对IP数据包中的IP源地址、IP 源端口、 IP目的地址、IP目的端口进行替换形成新的IP数据包，并 根据IP数据包的传送方向将IP数据包从IP私网的网络接口单元向IP 公共网络的网络接口单元传送，或者进行反方向的传送。
上述方案中，所述网络地址转换规则处理模块负责处理来自IP私 网或IP公共网络中的IP数据包的IP源地址、IP源端口 、IP目的地址、 IP目的端口之间的映射关系，并控制IP数据包拆分与组合模块对IP 数据包中的IP源地址、IP源端口、 IP目的地址、IP目的端口进行替 换；同时网络地址转换规则处理模块负责生成和管理IP数据包在网络 地址转换单元中的网络地址转换记录，来自于网络地址转换信息关联 处理单元的査询命令也由网络地址转换规则处理模块负责执行，并将 查询结果发送到阿络地址转换信息关联处理单元；网络地址转换规则 处理模块的转换规则可以由其它系统或装置通过IP公共网络的网络 接口单元进行配置和修改。网络地址转换规则处理模块可以根据预先 设置的规则对IP数据包进行发送、阻止、重定向等控制处理。
上述方案中，网络地址转换信息发送模块将网络地址转换记录通 过IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
上述方案中，设备管理模块用于对网络地址转换单元的工作参数进行配置、管理和监控，例如设置各个网络接口的网络地址，监控网 络地址转换单元的内存使用情况等，当网络地址转换单元在运行过程 中出现异常情况时，设备管理模块会主动通过IP公共网络的网络接口 把异常信息向外部系统或装置发送；另外设备管理模块负责处理来自 其它系统或装置的查询及/或配置命令，并将执行结果返回到其它系统 或装置。设备管理模块可以接收来自其它系统或装置的升级命令和可 执行的程序代码，并用新的可执行程序代码更新网络地址转换及网络 地址转换信息发送单元内的可执行程序。
上述方案中，网络地址转换及网络地址转换信息发送单元可以通 过计算机系统来实现，也可以采用多个逻辑处理单元来实现；逻辑处 理单元可以是一个或多个中央处理单元(CPU, Central Process Unit)、 数字信号处理器(DSP， Digital Signal Processor)或专用集成电路 (ASIC ， Application-Specific Integrated Circuit) ，网络地址转换及网络 地址转换信息发送单元的各个功能模块可以通过硬件及/或软件实现。
上述方案中，网络地址转换及网络地址转换信息发送单元对网络 地址转换过程中私网IP地址和公网IP地址之间的映射关系进行实时 监控和记录，并将映射关系发送到网络地址转换信息关联处理单元， 同时IP数据包分析单元对网络地址转换后的IP数据包进行分析处理， 并把分析结果发送到网络地址转换信息关联处理单元，网络地址转换 信息关联处理单元把网络地址转换及网络地址转换信息发送单元和 IP数据包分析单元发送的信息进行关联，重新建立起IP私网内IP通 信设备与IP数据包分析结果之间的对应关系，供其它系统使用。
上述方案中，在IP私网与IP接入网络的连接处放置网络地址转 换及网络地址转换信息发送单元，在IP接入网络与IP公众网络之间 放置IP数据包分析单元；然后对IP接入网络中路由设备的路由信息 进行修改，将来自于网络地址转换及网络地址转换信息发送单元的IP 数据包路由到IP数据包分析单元，同时如果来自于IP公共网络的IP 数据包的目的地址是网络地址转换及网络地址转换信息发送单元，那 么IP数据包首先被路由到IP数据包分析单元，然后再由IP数据包分 析单元通过IP接入网传送到网络地址转换及网络地址转换信息发送 单元；IP数据包分析单元、网络地址转换及网络地址转换信息发送单 元与网络地址转换信息关联处理单元之间可以通过IP网络或其它通信方式进行信息传送。
本发明对私网内的IP通信设备向IP公共网络发送IP数据包实现 跟踪、监控和管理的过程如下所述。
1 ) IP私网内的IP通信设备(具备私网网络地址A)发送IP数据 包，并通过IP私网内部传送到达网络地址转换及网络地址转换信息发 送单元(具备公共网络地址B，网络地址转换单元可以配置多个公共 网络地址)。IP数据包中包括(IP源地址、IP源端口、 IP目的地址、IP
目的端口)或者"P源地址、IP目的地址、ICMP类型、ICMPID)等信息。
2) 网络地址转换及网络地址转换信息发送单元对到达的IP数据 包进行检查，根据IP数据包的不同类型，并结合预先设置好的映射规 则，用公共网络地址B替换IP数据包中的IP源地址(私网网络地址 A)，用其它端口号替换IP数据包中的IP源端口。网络地址转换及网 络地址转换信息发送单元完成对IP数据包的替换处理后，将IP数据 包中替换之前的IP源地址、替换之前的IP源端口、替换后的IP源地 址、替换后的IP源端口号、状态标识、替换时间戳等NAT转换信息 形成一个多元组，并作为一条记录写入到NAT转换映射表中。
3) 网络地址转换及网络地址转换信息发送单元将修改后的IP数 据包传送到IP接入网络，同时将本次NAT转换产生的网络地址转换 信息发送到网络地址转换信息关联处理单元，并记录发送是否成功的 状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送次 数上限仍未成功，则停止发送，记录发送状态。
4) 网络地址转换信息关联处理单元将接收到的来自于网络地址转 换及网络地址转换信息发送单元的NAT转换记录写入数据库供后续 处理使用。网络地址信息关联处理单元也可以根据需要主动向网络地 址转换及网络地址转换信息发送单元发送査询命令，获得最新的或历 史的NAT转换记录。
5) 网络地址转换及网络地址转换信息发送单元发送的IP数据包 通过IP接入网络到达IP数据包分析单元，IP数据包分析单元对IP数 据包进行拆包分析，形成一系列的分析结果，同时记录IP数据包的(IP 源地址、IP源端口、 IP目的地址、IP目的端口)或者(IP源地址、IP 目的地址、ICMP类型、ICMPID)等信息。IP数据包分析单元把对IP
8数据包进行分析所获得的结果、(IP源地址、IP源端口、 IP目的地址、
IP目的端口}或者{0>源地址、IP目的地址、ICMP类型、ICMPID}、
分析时间戳等信息共同形成一条分析记录写入本地数据库，同时将该 条记录发送到网络地址转换信息关联处理单元，并记录发送是否成功 的状态。如果记录发送不成功则尝试多次重传。如果超过设定的发送 次数上限仍未成功，则停止发送，记录发送状态。
6) 网络地址转换信息关联处理单元将接收到的来自于IP数据包 分析单元的IP数据包分析记录写入数据库供后续处理使用。网络地址 转换信息关联处理单元也可以根据需要主动向IP数据包分析单元发 送查询命令，获得最新的或历史的IP数据包分析记录。
7) 网络地址转换信息关联处理单元在获得IP数据包的分析记录 和NAT转换记录的情况下，网络地址转换信息关联处理单元将在IP 数据分析记录中查询分析时间戳、IP源地址、IP源端口与NAT转换 记录中替换时间戳、替换后的IP源地址、替换后的IP源端口号一致 的记录。如果找到相匹配的NAT转换记录，网络地址转换信息关联处 理单元将用NAT转换记录中替换之前的IP源地址、替换之前的IP源 端口来改写IP数据包分析记录中的IP源地址、IP源端口，并形成新 的IP数据包分析记录写入数据库供后续处理流程或其它系统使用。如 果IP数据包的内容是ICMP类型，则査询IP数据包分析记录中分析 时间戳、IP源地址与NAT转换记录中替换时间戳、替换后的IP源地 址一致的记录。如果找到相匹配的NAT转换记录，网络地址转换信息 关联处理单元将用NAT转换记录中替换之前的IP源地址来改写IP数 据包分析记录中的IP源地址，并形成新的IP数据包分析记录写入数 据库供后续处理流程或其它系统使用。通过以上处理步骤，网络地址 转换信息关联处理单元就实现了对私网内IP通信设备所发送的IP数 据包的跟踪、监控和管理。
本发明对IP公共网络向私网内的IP通信设备发送IP数据包的处 理步骤如下所述。
1) IP公共网络中的IP通信设备发送IP数据包，通过路由后IP 数据包到达IP数据包分析单元，IP数据包分析单元对IP数据包进行 拆包分析，形成一系列的分析结果，同时记录IP数据包的(IP源地址、 IP源端口、 IP目的地址、IP目的端口)或者(IP源地址、IP目的地址、ICMP类型、ICMPID)等信息。IP数据包分析单元把对IP数据包进行
分析所获得的结果、《IP源地址、IP源端口、 IP目的地址、IP目的端
口〉或者《IP源地址、IP目的地址、ICMP类型、ICMPID}、分析时间 戳等信息共同形成一条分析记录写入本地数据库，同时将该条记录发 送到网络地址转换信息关联处理单元，并记录发送是否成功的状态。 如果记录发送不成功则尝试多次重传。如果超过设定的发送次数上限 仍未成功，则停止发送，记录发送状态。
2) 网络地址转换信息关联处理单元将接收到的来自于IP数据包 分析单元的IP数据包分析记录写入数据库供后续处理使用。网络地址 转换信息关联处理单元也可以根据需要主动向IP数据包分析单元发 送査询命令，获得最新的或历史的IP数据包分析记录。
3) IP数据包分析单元将经过分析的IP数据包通过IP接入网络发 送到对应的网络地址转换及网络地址转换信息发送单元。网络地址转 换及网络地址转换信息发送单元査询保存在内存或数据库中的NAT 转换记录或转换规则，如果IP数据包中的IP目的地址、IP目的端口 号与NAT转换记录或转换规则中的替换后的IP源地址、替换后的IP 源端口号一致，那么网络地址转换及网络地址转换信息发送单元则使 用转换记录中对应的替换之前的IP源地址、替换之前的IP源端口来 改写IP数据包中的IP目的地址、IP目的端口号，并将IP数据包中替 换之前的IP目的地址、替换之前的IP目的端口、替换后的IP目的地 址、替换后的IP目的端口号、状态标识、替换时间戳等NAT转换信 息形成一个多元组，并作为一条记录写入到NAT转换映射表中。如果 网络地址转换及网络地址转换信息发送单元无法找到符合转换条件的 记录，则丢弃该IP数据包，不进行后续处理。
4) 网络地址转换及网络地址转换信息发送单元完成前一步骤后将 改写的IP数据包通过IP私网发送到私网内对应的IP通信设备，同时 网络地址转换及网络地址转换信息发送单元将与该IP数据包相关联 的NAT转换记录发送到网络地址转换信息关联处理单元，并记录发送 是否成功的状态。如果记录发送不成功则尝试多次重传。如果超过设 定的发送次数上限仍未成功，则停止发送，记录发送状态。
5 )网络地址转换信息关联处理单元将接收到的来自于网络地址转 换及网络地址转换信息发送单元的NAT转换记录写入数据库供后续2009
处理使用。网络地址转换信息关联处理单元也可以根据需要主动向网 络地址转换及网络地址转换信息发送单元发送査询命令，获得最新的
或历史的NAT转换记录。
6)网络地址转换信息关联处理单元在获得IP数据包的分析记录 和NAT转换记录的情况下，网络地址转换信息关联处理单元将在IP 数据分析记录中査询分析时间戳、IP目的地址、IP目的端口与NAT 转换记录中替换时间戳、替换之前的IP目的地址、替换之前的IP目 的端口一致的记录。如果找到相匹配的NAT转换记录，网络地址转换 信息关联处理单元将用NAT转换记录中替换之后的IP目的地址、替 换之后的IP目的端口来改写IP数据包分析记录中的IP目的地址、IP 目的端口 ，并形成新的IP数据包分析记录写入数据库供后续处理流程 或其它系统使用。如果IP数据包的内容是ICMP类型，则查询IP数 据包分析记录中分析时间戳、IP目的地址与NAT转换记录中替换时 间戳、替换之前的IP目的地址一致的记录。如果找到相匹配的NAT 转换记录，网络地址转换信息关联处理单元将用NAT转换记录中替换 之后的IP目的地址来改写IP数据包分析记录中的IP目的地址，并形 成新的IP数据包分析记录写入数据库供后续处理流程或其它系统使 用。通过以上处理步骤，网络地址转换信息关联处理单元就实现了对 IP公网发送到私网内IP通信设备的IP数据包的跟踪、监控和管理。
本发明的特征和优势如下本发明在对IP数据包实现分析的基础 上，可以根据预先设置的规则对IP数据包进行发送、阻止、重定向等 控制处理。预先设置的规则可以由其它系统发送给IP数据包分析单 元，也可以直接在IP数据包分析单元中进行设置。
通过本发明描述的方法和设备，可以将IP数据包分析设备部署在 公网上，实现对私网内通信设备发送或接收的IP数据包的集中监控， 使得一台IP数据包监控设备能够同时监控多个私网产生的IP数据包， 从而最大程度的发挥IP数据包监控设备的处理能力，并极大的降低了 IP数据包监控系统的建设成本。


图1是本发明实施例一的整体构架示意图。
图2是本发明实施例一中将网络地址转换信息关联处理单元和IP 数据包分析单元合并后的整体构架示意图。图3是本发明实施例二的整体构架示意图。 图4是本发明实施例三的整体构架示意图。
图5是本发明实施例二的网络地址转换及网络地址转换信息发送 单元的结构示意图。
图6是本发明实施例二的网络地址转换及网络地址转换信息发送
单元的硬件架构图。
图7虚框内是本发明实施例二的网络地址转换及网络地址转换信 息发送单元的网络接口模块的硬件架构图。
图8虚框内是本发明实施例二的网络地址转换及网络地址转换信 息发送单元的IP数据包拆分与组合模块的硬件架构图。
图9虚框内是本发明实施例二的网络地址转换及网络地址转换信 息发送单元的网络地址转换规则处理模块的硬件架构图。
图10虚框内是本发明实施例二的网络地址转换及网络地址转换 信息发送单元的网络地址转换信息发送模块的硬件架构图。
图11虚框内是本发明实施例二的网络地址转换及网络地址转换 信息发送单元的设备管理模块的硬件架构图。
图12是本发明实施例二的网络地址转换及网络地址转换信息发 送单元的软件处理流程图。
图中，IP为互联网协议；SDRAM为静态内存；FLASH为可读写 存储器；S3C4510B为嵌入式处理器；RS232为串行通信接口； RJ45 为网络通信接口； RTL8305为以太网交换芯片；EEPROM24C01为可 擦除只读存储器。
具体实施例方式
下面结合附图和实施例进一步详述本发明，但本发明不仅限于所 述实施例。
实施例一
本例的对网络通信数据包进行监控的系统如图1所示，由IP数据 包分析单元、网络地址转换单元、网络地址转换信息发送单元和网络 地址转换信息关联处理单元组成，其连接关系为网络地址转换单元 分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相 连，网络地址转换信息发送单元和网络地址转换信息关联处理单元相 连，网络地址转换信息关联处理单元与IP数据包分析单元相连，IP
12数据包分析单元与IP公共网络相连。
本例所用的网络地址转换单元、IP数据包分析单元为已有设备。 网络地址转换信息发送单元可采用己有的单板计算机实现，运行
本发明所描述的NAT转换记录发送功能。
本例所用的网络地址转换信息关联处理单元与IP数据包分析单
元也可以进行合并，其系统如图2所示。
网络地址转换信息关联处理单元、网络地址转换信息关联处理及 IP数据包分析单元可采用通用的计算机服务器实现，也可以采用多个 逻辑处理单元来实现运行本发明所描述的NAT转换记录匹配功能。多 个逻辑处理单元可以是一个或多个中央处理单元(CPU, Central Process Unit)、数字信号处理器(DSP， Digital Signal Processor)或专 用集成电路(ASIC, Application-Specific Integrated Circuit)。网络地址 转换信息关联处理单元可以同时与多个IP数据包分析设备和网络地 址转换信息发送单元进行信息交互，并形成最终的IP数据包监控分析 结果。
实施例二
本例的对网络通信数据包进行监控的系统如图3所示，由IP数据 包分析单元、网络地址转换及网络地址转换信息发送单元和网络地址 转换信息关联处理单元组成，其中的网络地址转换及网络地址转换信 息发送单元为实施例一所述的网络地址转换信息发送单元和网络地址
转换单元合并而成。其连接关系为网络地址转换及网络地址转换信 息发送单元分别与IP私网、IP数据包分析单元和网络地址转换信息 关联处理单元相连，网络地址转换信息关联处理单元与IP数据包分析 单元相连，IP数据包分析单元与IP公共网络相连。
本例所述合并了网络地址转换信息发送单元的网络地址转换及网
络地址转换信息发送单元的整体构架如图5所示，其硬件构架如图6 所示，由网络接口模块、IP数据包拆分与组合模块、网络地址转换规 则处理模块、网络地址转换信息发送模块和设备管理模块组成，其中， 网络接口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模 块和设备管理模块相连，IP数据包拆分与组合模块还与网络地址转换 规则处理模块相连，网络地址转换规则处理模块还与网络地址转换信 息发送模块和网络地址转换信息关联处理单元相连，网络地址转换信息发送模块与网络地址转换信息关联处理单元相连。
本例所述网络接口模块如图7中的虚线框内所示，配备六个网络
接口，由RTL8305以太网交换芯片、EEPROM24C01可擦除只读存储 器、有源晶振、单口隔离变压器、四口隔离变压器、五个RJ45和一 个RS232连接而成，其中四个网络接口用于连接IP私网， 一个网络 接口用于连接IP公共网络， 一个网络接口用于连接本地管理；网络接 口模块负责处理IP通信过程中物理层和数据链路层的信号；根据不同 的情况，网络接口模块可以采用不同的物理传输介质，例如无线、光 纤、5类双绞线等；网络接口模块可以选择相同的物理传输介质，也 可以选择不同的物理传输介质，网络接口模块负责与外部网络之间进 行IP数据包的接收和传送，并把处理后获得的IP数据包传送到IP数 据包拆分与组合模块。
本例所述IP数据包拆分与组合模块如图8中的虚线框内所示，由 S3C4510B嵌入式处理器、RTL8305以太网交换芯片组成，负责提取 网络接口模块传送来的IP数据包的UP源地址、IP源端口、 IP目的地 址、IP目的端口)或者(IP源地址、IP目的地址、ICMP (互联网控制 消息协议)类型、ICMP ID (互联网控制消息协议标识)}等信息，并 将这些信息传送给网络地址转换规则处理模块；另外IP数据包拆分与 组合模块在网络地址转换规则处理模块的控制下对IP数据包中的IP 源地址、IP源端口、 IP目的地址、IP目的端口进行替换形成新的IP 数据包，并根据IP数据包的传送方向将IP数据包从IP私网的网络接 口单元向IP公共网络的网络接口单元传送，或者进行反方向的传送。
本例所述网络地址转换规则处理模块如图9中的虚线框内所示， 由S3C4510B嵌入式处理器、SDRAM静态内存、FLASH可读写存储 器、有源晶振组成，负责处理来自IP私网或IP公共网络中的IP数据 包的IP源地址、IP源端口、 IP目的地址、IP目的端口之间的映射关 系，并控制IP数据包拆分与组合模块对IP数据包中的IP源地址、IP 源端口、 IP目的地址、IP目的端口进行替换；同时网络地址转换规则 处理模块负责生成和管理IP数据包在网络地址转换及网络地址转换 信息发送单元中的NAT转换记录，来自于网络地址转换信息关联处理 单元的査询命令也由网络地址转换规则处理模块负责执行，并将查询 结果发送到网络地址转换信息关联处理单元；网络地址转换规则处理模块的转换规则可以由其它系统或装置通过IP公共网络的网络接口 单元进行配置和修改。
本例所述网络地址转换信息发送模块如图10中的虚线框内所示，
由S3C4510B嵌入式处理器、RTL8305以太网交换芯片、SDRAM静 态内存、FLASH可读写存储器、有源晶振组成，将NAT转换记录通 过IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
本例所述设备管理模块如图11中的虚线框内所示，由S3C4510B 嵌入式处理器、RTL8305以太网交换芯片、RS232组成，用于对网络 地址转换及网络地址转换信息发送单元的工作参数进行配置、管理和 监控，例如设置各个网络接口的网络地址，监控网络地址转换及网络 地址转换信息发送单元的内存使用情况等，当网络地址转换及网络地 址转换信息发送单元在运行过程中出现异常情况时，设备管理模块会 主动通过IP公共网络的网络接口把异常信息向外部系统或装置发送； 另外设备管理模块负责处理来自其它系统或装置的査询及/或配置命 令，并将执行结果返回到其它系统或装置。
本例所述网络地址转换及网络地址转换信息发送单元采用5伏稳 压电源实现对110伏 240伏交流电的变换从而获得5伏的直流电压 输出，然后再分别将5伏的直流电压输出接直流3.3伏转换器向 S3C4510B嵌入式处理器供电，接直流2.5伏转换器向RTL8305以太 网交换芯片供电。
本例所述网络地址转换及网络地址转换信息发送单元采用多个逻 辑处理单元来实现；逻辑处理单元是一个或多个中央处理单元(CPU， Central Process Unit)。
本例所述网络地址转换及网络地址转换信息发送单元对网络地址 转换(NAT)过程中私网IP地址和公网IP地址之间的映射关系进行 实时监控和记录，并将映射关系发送到网络地址转换信息关联处理单 元，同时IP数据包分析单元对NAT转换后的IP数据包进行分析处理， 并把分析结果发送到网络地址转换信息关联处理单元，网络地址转换 信息关联处理单元把网络地址转换及网络地址转换信息发送单元和 IP数据包分析单元发送的信息进行关联，重新建立起IP私网内IP通 信设备与IP数据包分析结果之间的对应关系，供其它系统使用。网络 地址转换及网络地址转换信息发送单元的软件处理流程如图12所示。IP数据包分析单元可以釆用传统的IP数据包分析设备，但是需 要在其功能模块上增加本发明所描述的IP数据包记录功能，主要记录 对IP数据包进行分析所获得的结果、(IP源地址、IP源端口、 IP目的
地址、IP R的端口)或者(IP源地址、IP目的地址、ICMP类型、ICMP ID}、分析时间戳等信息，并实现将以上信息向网络地址转换信息关 联处理单元发送的功能。
网络地址转换信息关联处理单元采用通用的计算机服务器实现， 运行本发明所描述的NAT转换记录匹配功能。网络地址转换信息关联 处理单元可以同时与多个IP数据包分析设备和网络地址转换及网络 地址转换信息发送单元进行信息交互，并形成最终的IP数据包监控分 析结果。
本例中，在IP私网与IP接入网络的连接处放置网络地址转换及 网络地址转换信息发送单元，在IP接入网络与IP公众阿络之间放置 IP数据包分析单元；然后对IP接入网络中路由设备的路,由信息进行 修改，将来自于网络地址转换及网络地址转换信息发送单元的IP数据 包路由到IP数据包分析单元，同时如果来自于IP公共网络的IP数据 包的目的地址是网络地址转换及网络地址转换信息发送单元，那么IP 数据包首先被路由到IP数据包分析单元，然后再由IP数据包分析单 元通过IP接入网传送到网络地址转换及网络地址转换信息发送单元； IP数据包分析单元、网络地址转换及网络地址转换信息发送单元与网 络地址转换信息关联处理单元之间可以通过IP网络或其它通信方式 进行信息传送。
本例的对网络通信数据包进行监控的系统如图4所示，除网络地 址转换信息关联处理单元与IP数据包分析单元合并外，其余同实施例 二。其中，合并后的网络地址转换信息关联处理及IP数据包分析单元 采用通用的计算机服务器实现，各个功能模块通过软件实现。
实施例四
本例的对网络通信数据包进行监控的系统除网络地址转换及网络 地址转换信息发送单元通过计算机系统来实现外，其余同实施例二。 其中，网络地址转换及网络地址转换信息发送单元的各个功能模块通 过软件实现。本例的对网络通信数据包进行监控的系统除网络地址转换及网络 地址转换信息发送单元采用多个逻辑处理单元来实现外，其余同实施
例二。其中，逻辑处理单元是数字信号处理器(DSP， Digital Signal Processor)。
实施例六
本例的对网络通信数据包进行监控的系统除网络地址转换及网络 地址转换信息发送单元采用多个逻辑处理单元来实现外，其余同实施 例二。其中，逻辑处理单元是专用集成电路(ASIC， Application-Specific Integrated Circuit )。
权利要求
1.一种对网络通信数据包进行监控的系统，由IP数据包分析单元和网络地址转换单元组成，其特征在于系统中还有网络地址转换信息发送单元和网络地址转换信息关联处理单元，其连接关系为网络地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相连，网络地址转换信息发送单元和网络地址转换信息关联处理单元相连，网络地址转换信息关联处理单元与IP数据包分析单元相连，IP数据包分析单元与IP公共网络相连。
2. 根据权利要求1所述的对网络通信数据包进行监控的系统，其特征在于所述网络地址转换信息发送单元与网络地址转换单元合并成 为网络地址转换及网络地址转换信息发送单元。
3. 根据权利要求1所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换信息关联处理单元与IP数据包分析单元 合并成为网络地址转换信息关联处理及IP数据包分析单元。
4. 根据权利要求2所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换及网络地址转换信息发送单元由网络接口 模块、IP数据包拆分与组合模块、网络地址转换规则处理模块、网络 地址转换信息发送模块和设备管理模块组成，其中，网络接口模块分 别与IP私网、IP公共网络、IP数据包拆分与组合模块、网络地址转 换信息发送模块和设备管理模块相连，IP数据包拆分与组合模块还与 网络地址转换规则处理模块相连，网络地址转换规则处理模块还与网 络地址转换信息发送模块相连，网络地址转换信息发送模块通过网络 接口模块与网络地址转换信息关联处理单元相连。
5. 根据权利要求4所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换规则处理模块负责处理来自IP私网或IP 公共网络中的IP数据包的IP源地址、IP源端口、 IP目的地址、IP目 的端口之间的映射关系，并控制IP数据包拆分与组合模块对IP数据 包中的IP源地址、IP源端口、 IP目的地址、IP目的端口进行替换； 同时网络地址转换规则处理模块负责生成和管理IP数据包在网络地 址转换单元中的网络地址转换记录，来自于网络地址转换信息关联处理单元的査询命令也由网络地址转换规则处理模块负责执行，并将査 询结果发送到网络地址转换信息关联处理单元；网络地址转换规则处 理模块的转换规则可以由其它系统或装置通过IP公共网络的网络接 口单元进行配置和修改。
6. 根据权利要求4所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换信息发送模块将网络地址转换记录通过 IP公共网络的网络接口发送到网络地址转换信息关联处理单元。
7. 根据权利要求2所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换及网络地址转换信息发送单元通过计算机 系统来实现，或釆用多个逻辑处理单元来实现；逻辑处理单元是一个 或多个中央处理单元、数字信号处理器或专用集成电路；网络地址转 换及网络地址转换信息发送单元的各个功能模块通过硬件和/或软件 实现。
8. 根据权利要求2所述的对网络通信数据包进行监控的系统，其 特征在于所述网络地址转换及网络地址转换信息发送单元对网络地址 转换过程中私网IP地址和公网IP地址之间的映射关系进行实时监控 和记录，并将映射关系发送到网络地址转换信息关联处理单元，同时 IP数据包分析单元对网络地址转换后的IP数据包进行分析处理，并 把分析结果发送到网络地址转换信息关联处理单元，网络地址转换信 息关联处理单元把网络地址转换及网络地址转换信息发送单元和IP 数据包分析单元发送的信息进行关联，重新建立起IP私网内IP通信 设备与IP数据包分析结果之间的对应关系，供其它系统使用。
全文摘要
本发明属于信息网络系统领域中的一种对网络通信数据包进行监控的系统，由IP数据包分析单元和网络地址转换单元组成，其特征在于系统中还有网络地址转换信息发送单元和网络地址转换信息关联处理单元，其连接关系为网络地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据包分析单元相连，网络地址转换信息发送单元和网络地址转换信息关联处理单元相连，网络地址转换信息关联处理单元与IP数据包分析单元相连，IP数据包分析单元与IP公共网络相连。本发明可以实现对私网内通信设备发送或接收的IP数据包的集中监控，使得一台IP数据包监控设备能够同时监控多个私网产生的IP数据包，极大的降低了IP数据包监控系统的建设成本。
文档编号H04L12/26GK101594263SQ200910058078
公开日2009年12月2日 申请日期2009年1月9日 优先权日2009年1月9日
发明者凯 刘, 赵安毅, 陈晓进 申请人:成都四方信息技术有限公司