专利名称:一种nat地址池中不可用地址检测的方法及装置的制作方法
技术领域:
本发明涉及数据网络通信领域中的网络安全技术,尤其涉及一种NAT地址池中不可用地址检测的方法和装置。·
背景技术:
随着因特网的发展,越来越多的网络设备连接到因特网上。网络设备想要访问其他的网络设备,需要配置IP地址。IP地址分为私网IP和公网IP,私网用户应当使用公网IP访问因特网。NAT (网络地址转换)能够将私网IP转化为公网IP,存放公网IP的容器即为NAT地址池。将公网IP+65536个端口,即每个IP能够分出65536个IP地址供用户使用,能够最大限度的分配这些公网IP地址。用户携带私网IP进行数据交互,NAT设备会为该报文创建一条会话,从NAT地址池中随机分配一个公网IP返回给用户,用户再携带该公网IP进行对外数据交互,直至数据交互过程完成,该条会话标志为结束,NAT地址池将收回该公网IP。当NAT地址池中出现不可用地址的时候,例如当用户从NAT地址池中分配到一个公网IP,通过该公网IP访问非法网站,网监部门检测到该公网IP正在进行非法操作而将此公网IP禁用,则后续分配到该IP的用户将不可再上网,管理人员不能及时发现和处理此问题,导致分配到该IP的用户会话创建不成功,从而引发网络异常。
发明内容
有鉴于此,本发明提供一种NAT地址池中不可用地址检测的方法和装置,能够高效、快速检测分析地址池中地址不可用。本发明的技术方案如下一种NAT地址池中不可用地址的检测方法,所述方法包括步骤A :对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;步骤B :判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I ;步骤C :判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。本发明同时提供一种NAT地址池中不可用地址的检测装置,其特征在于,所述装置包括会话建立模块,用于对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态;状态判断模块,用于判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I;比率判断模块,用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。本发明提供一种NAT地址池中不可用地址检测的方法和装置,通过判断IP地址对应的老化会话数占总会话数的比率,检测NAT地址池中IP地址是否可用,从而避免网络异
常的产生。
图I为本发明中一种NAT地址池中不可用地址的检测装置逻辑图。图2为本发明中一种NAT地址池中不可用地址的检测方法流程图。图3为本发明中会话状态判断方法流程图。图4为本发明中不可用地址确认方法路程图。
具体实施例方式本发明提供一种NAT地址池中不可用地址检测的方法和装置,用于NAT设备。为了检测NAT地址池中不可用地址,本发明通过对每个会话建立一条NAT日志,并判断所述NAT日志中的源IP的TCP会话状态是否正常,若正常则将该源IP对应的正常会话数加I,否则,将该源IP对应的老化会话数加1,然后进一步判断所述源IP对应的老化会话数占该源IP总会话的比率是否超过预设的门限值,若是则确定NAT地址池中所述IP不可用。为了更加清楚和明白地表述本发明,以下结合实施例对本发明技术方案进行详细说明。请参考图1,为本发明一种NAT地址池中不可用地址的检测装置逻辑图,所述装置包括会话建立模块、状态判断模块和比率判断模块。请进一步参照图2,利用所述装置执行所述方法包括 步骤A :会话建立模块对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态,本步骤由所述会话建立模块执行;具体地,当需要访问因特网时,用户携带私网IP发送对话请求公网IP,NAT设备会话建立模块对每一个会话建立一条NAT日志,并发送到日志服务器。其中,所述的NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态,需要说明的是,所述的NAT日志还可以包括地址转换前的源IP等其他信息。步骤B :状态判断模块判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加1,本步骤由所述状态判断模块执行;具体地,当日志服务器收到所述的NAT日志后,状态判断模块对所述的NAT日志中所述源IP的TCP会话状态进行判断并记录该源IP对应的会话数,如果TCP会话状态正常,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I。步骤C :比率判断模块判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用,本步骤由比率判断模块执行;具体地,在预设的固定周期内,比率判断模块判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,如果超过所述的第一门限值,则确定NAT地址池中所述源IP不可用,输出IP信息并发出警告,运维人员就可以及时地剔除这个IP,容易排查问题,避免非正常结束导致会话建立不成功。优选地,所述固定周期为I分钟,所述的第一门限值为90%,但是并不限定为此数值,也可以为其他的数值。请参考图3,所述利用所述状态判读模块执行步骤B进一步包括步骤BI :解析所述NAT日志对应的源IP信息;步骤B2 :判断存放所述源IP的存储结构中是否存在所述源IP信息,若是,则进入步骤B3,否则,将所述源IP信息添加到存储结构中;步骤B3 :判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加I,否则,将该源IP对应的老化会话数加I。以上步骤BI、B2和B3均由所述状态判断模块执行。具体地,地址池日志服务器建立一个存储结构,当接收到所述的NAT日志以后,状态判断模块解析所述NAT日志对应的源IP、端口等信息,将每一个地址转换后的源IP的会话状态存放到存储结构中,并对所述的NAT日志中所述源IP的TCP会话状态进行判断并记录该源IP对应的会话数,如果TCP会话状态正常,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I。其中,所述的存储结构可以优选为Hashmap,也以为其他的存储结构。请参考图4,所述利用所述比率判断模块执行步骤C进一步包括步骤Cl :判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过总会话数的第二门限值,若是,则进入步骤C2 ;步骤C2 :判断所述源IP的对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。以上步骤Cl和C2均由比率判断模块执行。具体地,按照预设的固定周期,检查存储结构中的会话数统计信息,判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过总会话数的第二门限值。如果超过预设的第二门限值,则继续判断所述源IP对应的老化会话数占该源IP总会话数的比率是否超过预设的第一门限值,如果超过所述的第一门限值,则确定NAT地址池中所述源IP不可用,输出IP信息并发出警告,运维人员就可以及时地剔除这个IP,容易排查问题,避免非正常结束导致会话建立不成功。如果没有超出预设的第一门限值,则确定所述IP状态异常,输出IP信息并发出警告。能够方便运维人员管理IP,排查问题。优选地,所述固定周期为I分钟,所述的第一门限值为90%,所述的第二门限值为50%,但是并不限定为此数值,也可以为其他的数值。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种NAT地址池中不可用地址的检测方法,其特征在于,所述方法包括 步骤A :对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态; 步骤B :判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I ; 步骤C :判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
2.根据权利要求I所述的方法,其特征在于,所述步骤B进一步包括 步骤BI :解析所述NAT日志对应的源IP信息; 步骤B2 :判断存放所述源IP的存储结构中是否存在所述源IP信息,若是,则进入步骤B3,否则,将所述源IP信息添加到存储结构中; 步骤B3 :判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I。
3.根据权利要求I所述的方法,其特征在于,所述步骤C进一步包括 步骤Cl :判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第二门限值,若是,进入步骤C2 ; 步骤C2 :判断所述源IP的对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。
4.根据权利要求I所述的方法,其特征在于,步骤C中,所述判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值为具体为判断在预定周期内所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值。
5.一种NAT地址池中不可用地址的检测装置,其特征在于,所述装置包括 会话建立模块,用于对每一个NAT会话建立一条NAT日志,所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态; 状态判断模块,用于判断所述NAT日志中的所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I ; 比率判断模块,用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定NAT地址池中所述源IP不可用。
6.根据权利要求5所述的装置,其特征在于,所述状态判断模块进一步用于 解析所述NAT日志对应的源IP信息; 判断存放所述源IP的存储结构中是否存在所述源IP信息,如果否,则将所述源IP信息添加到存储结构中;如果是,则继续判断所述NAT日志中所述源IP的TCP会话状态是否正常,若是,则将该源IP对应的正常会话数加1,否则,将该源IP对应的老化会话数加I。
7.根据权利要求5所述的装置,其特征在于,所述比率判断模块进一步用于 判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过总会话数的第二门限值,若是,则判断所述源IP的对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值,若是,则确定所述源IP不可用,若否,则确定所述IP状态异常。
8.根据权利要5所述的装置,其特征在于,所述比率判断模块用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值为具体为所述比 率判断模块用于判断在预定周期内所述源IP对应的老化会话数占该源IP。
全文摘要
本发明公开了一种NAT地址池中不可用地址的检测方法和装置。所述方法包括对每个会话建立一条NAT日志;判断所述NAT日志中的源IP的TCP会话状态是否正常,若正常则将该源IP对应的正常会话数加1,否则将该源IP对应的老化会话数加1;判断所述源IP对应的老化会话数占该源IP总会话的比率是否超过预设的门限值,若是则确定NAT地址池中所述IP不可用。通过本发明,能够高效、快速检测分析地址池中地址不可用,进而使运维人员及时地剔除这个IP,容易排查问题。
文档编号H04L29/12GK102932346SQ20121041888
公开日2013年2月13日 申请日期2012年10月26日 优先权日2012年10月26日
发明者葛奇维 申请人:杭州迪普科技有限公司