專利名稱:一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法以及接口設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域���,尤其涉及一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法以及一種具備端口觸發(fā)并發(fā)性的接口設(shè)備����。
背景技術(shù):
因特網(wǎng)的迅速發(fā)展已經(jīng)導(dǎo)致不同設(shè)備要使用的公共網(wǎng)際協(xié)議IP(Internet Protocol)地址發(fā)生了短缺�����。一種已知的針對IP地址短缺問題的解決方案是網(wǎng)絡(luò)地址變換NAT(Ne twork address translation)��。NAT基本上是一對一或多對一的IP地址變換�����,并且在位于本地網(wǎng)絡(luò)和全局網(wǎng)絡(luò)之間的路由器或網(wǎng)關(guān)等接口設(shè)備中運行�����。所述本地網(wǎng)絡(luò)還被稱之為內(nèi)部網(wǎng)或私網(wǎng)��,所述全局網(wǎng)絡(luò)被稱之為外部網(wǎng)或公網(wǎng)����。NAT通過地址再用,允許一個機構(gòu)以一個地址出現(xiàn)在全局網(wǎng)絡(luò)上���,從而幫助保存數(shù)量有限的公共或全局IP地址�。
但是,路由器啟用NAT后�,就會把本地網(wǎng)絡(luò)內(nèi)的用戶IP地址隱藏起來不被外界發(fā)現(xiàn),從而使得全局網(wǎng)無法直接訪問本地網(wǎng)絡(luò)中的用戶��,即全局網(wǎng)無法向本地網(wǎng)主動發(fā)起連接����,這在若干應(yīng)用場景下是一個缺陷。例如���,若干游戲程序���,當(dāng)本地網(wǎng)內(nèi)的用戶建立一個TCP連接到全局網(wǎng)上的游戲服務(wù)器后,游戲服務(wù)器會試圖向該用戶建立另外一個TCP連接�����,但是�����,由于該連接企圖無法穿越NAT進(jìn)而不能成功����,最終導(dǎo)致游戲運行不起來。
針對上述問題��,在低端路由器和SOHO路由器上�,一種叫做端口觸發(fā)(porttriggering)的技術(shù)應(yīng)運而生。端口觸發(fā)的概念就是�,用戶可以在路由器上通過配置指定端口A(代表一個或一組端口)觸發(fā)端口B,那么���,當(dāng)本地網(wǎng)內(nèi)的用戶通過路由器就端口A向外發(fā)起連接時�,路由器會把端口B和該本地網(wǎng)用戶的IP地址關(guān)聯(lián)起來����,當(dāng)由外而內(nèi)的目的端口為B的報文進(jìn)來時,報文的目的地址會被替換為關(guān)聯(lián)的用戶IP地址�����,進(jìn)而轉(zhuǎn)發(fā)給上述本地網(wǎng)用戶����。在本技術(shù)領(lǐng)域中,端口A被稱為觸發(fā)端口���,端口B被稱為外來端口�����,這種配置的規(guī)則稱為端口觸發(fā)映射規(guī)則����。
上述解決方案雖然可以使全局網(wǎng)內(nèi)的服務(wù)器向本地網(wǎng)用戶主動發(fā)起連接成功,但是��,如果先后有本地網(wǎng)用戶就同一個觸發(fā)端口向全局網(wǎng)發(fā)起連接�����,后續(xù)的端口觸發(fā)功能就不能正常操作���。
例如����,假設(shè)本地網(wǎng)用戶1通過路由器就端口A(觸發(fā)端口)向全局網(wǎng)中的服務(wù)器1發(fā)起連接��,于是命中端口觸發(fā)映射規(guī)則(端口A觸發(fā)端口B)�,進(jìn)而路由器將端口B和用戶1的IP地址關(guān)聯(lián)起來。隨后,本地網(wǎng)用戶2也就端口A向全局網(wǎng)中的服務(wù)器2發(fā)起連接���,于是命中同一個端口觸發(fā)映射規(guī)則��,進(jìn)而端口B就會和用戶2的IP地址關(guān)聯(lián)�����,即與外來端口B相關(guān)聯(lián)的用戶1的IP地址被替換為用戶2的IP地址。此后���,路由器又收到來自服務(wù)器1的目的端口為端口B的報文(實際是服務(wù)器1主動向用戶1發(fā)起的TCP連接)���,由于此時與端口B關(guān)聯(lián)的IP地址是用戶2而不是用戶1的,因此�����,該報文被錯誤的轉(zhuǎn)發(fā)給用戶2����。由此可見,現(xiàn)有具備NAT相關(guān)功能的路由器無法滿足并發(fā)性的要求����。
進(jìn)一步��,當(dāng)端口觸發(fā)功能生效后(即規(guī)則中的外來端口和內(nèi)網(wǎng)IP地址建立關(guān)聯(lián))���,外來端口即向外網(wǎng)完全開放,從而帶來一定的安全隱患�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法以及接口設(shè)備��,以解決現(xiàn)有單純通過端口觸發(fā)規(guī)則實現(xiàn)全局網(wǎng)主動向本地網(wǎng)發(fā)起連接的技術(shù)方案�,不能滿足并發(fā)性需求的技術(shù)問題。
為解決上述技術(shù)問題��,本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法��,所述接口設(shè)備連接于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間進(jìn)行報文轉(zhuǎn)發(fā)���,所述接口設(shè)備收到第一網(wǎng)絡(luò)報文����,所述報文命中端口觸發(fā)映射規(guī)則�����;將上述報文的源地址、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)����;所述接口設(shè)備收到來自第二網(wǎng)絡(luò)報文時,根據(jù)與該報文地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)��。
優(yōu)選的�,所述方法還包括所述接口設(shè)備收到第二網(wǎng)絡(luò)報文時,如果沒有與該報文地址信息相匹配的關(guān)聯(lián)記錄��,則丟棄該報文�。
優(yōu)選的�����,所述方法還包括為端口觸發(fā)映射規(guī)則增設(shè)檢查外來地址的功能選項�,當(dāng)所述選項處于關(guān)閉狀態(tài)時,上述關(guān)聯(lián)步驟中只將源地址和外來端口相關(guān)聯(lián)��。
優(yōu)選的�,所述根據(jù)與第二網(wǎng)絡(luò)報文的地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)的具體過程包括取所述第二網(wǎng)絡(luò)報文的源地址、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)記錄中的目的地址�、外來端口進(jìn)行查詢;如果找到相匹配的關(guān)聯(lián)記錄,則將該項關(guān)聯(lián)記錄中的源地址作為所述第二網(wǎng)絡(luò)報文的目的地址����,轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)。
優(yōu)選的����,所述關(guān)聯(lián)步驟通過建立端口觸發(fā)關(guān)聯(lián)表予以實現(xiàn),所述端口觸發(fā)關(guān)聯(lián)表包括外來端口字段�、第一網(wǎng)絡(luò)地址字段以及第二網(wǎng)絡(luò)地址字段。
優(yōu)選的��,采用端口觸發(fā)關(guān)聯(lián)表實現(xiàn)關(guān)聯(lián)的具體過程為將被命中規(guī)則中的外來端口�、第一網(wǎng)絡(luò)報文中的源地址、目的地址分別記錄于一條關(guān)聯(lián)表項中的外來端口字段�、第一網(wǎng)絡(luò)地址字段、第二網(wǎng)絡(luò)地址字段���。
優(yōu)選的���,所述根據(jù)與第二網(wǎng)絡(luò)報文的地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)的具體過程包括以所述第二網(wǎng)絡(luò)報文的源地址、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)表中的第二網(wǎng)絡(luò)地址字段�、外來端口字段進(jìn)行查詢;如果找到相匹配的關(guān)聯(lián)表項��,則將該關(guān)聯(lián)表項中第一網(wǎng)絡(luò)地址字段內(nèi)容替換所述第二網(wǎng)絡(luò)報文的目的地址內(nèi)容,轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)��。
一種具有端口觸發(fā)并發(fā)性的接口設(shè)備��,所述接口設(shè)備連接于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間進(jìn)行報文轉(zhuǎn)發(fā)���,所述設(shè)備包括規(guī)則記錄單元����,用于記錄觸發(fā)端口和外來端口之間的端口觸發(fā)規(guī)則���;關(guān)聯(lián)單元�,用于將命中端口觸發(fā)規(guī)則的第一網(wǎng)絡(luò)報文的源地址��、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)����;匹配處理單元���,用于在關(guān)聯(lián)單元中查找與第二網(wǎng)絡(luò)報文相匹配的關(guān)聯(lián)記錄��,并據(jù)此轉(zhuǎn)發(fā)第二網(wǎng)絡(luò)報文至第一網(wǎng)絡(luò)����。
優(yōu)選的,當(dāng)所述關(guān)聯(lián)單元中沒有與第二網(wǎng)絡(luò)報文相匹配的關(guān)聯(lián)記錄時�����,所述匹配處理單元將第二網(wǎng)絡(luò)報文丟棄����。
優(yōu)選的,所述規(guī)則記錄單元中的端口觸發(fā)規(guī)則還對應(yīng)有檢查外來地址的功能選項�,所述功能選項用于指示關(guān)聯(lián)單元是否將第一網(wǎng)絡(luò)報文的目的地址參與關(guān)聯(lián)。
所述匹配轉(zhuǎn)發(fā)單元具體包括匹配查詢單元���,用于以所述第二網(wǎng)絡(luò)報文的源地址��、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)單元中的目的地址�、外來端口���,查找與所述報文相匹配的關(guān)聯(lián)記錄�����;轉(zhuǎn)發(fā)單元��,用于將相匹配的關(guān)聯(lián)記錄中的源地址作為第二網(wǎng)絡(luò)報文的目的地址�,轉(zhuǎn)發(fā)所述第二網(wǎng)絡(luò)報文至第一網(wǎng)絡(luò)。
優(yōu)選的��,所述關(guān)聯(lián)單元包括端口觸發(fā)關(guān)聯(lián)表�����,所述端口觸發(fā)關(guān)聯(lián)表包括外來端口字段���、第一網(wǎng)絡(luò)地址字段以及第二網(wǎng)絡(luò)地址字段���。
所述端口觸發(fā)表中的第一網(wǎng)絡(luò)地址字段、第二網(wǎng)絡(luò)地址字段��、外來端口字段分別用于記錄第一網(wǎng)絡(luò)報文中的源地址���、目的地址�、被命中規(guī)則中的外來端口��。
以上技術(shù)方案可以看出�����,在本發(fā)明公開的具有端口觸發(fā)并發(fā)性的接口設(shè)備中���,通過規(guī)則記錄單元記錄觸發(fā)端口和外來端口之間的端口觸發(fā)規(guī)則�����;并通過關(guān)聯(lián)單元將命中端口觸發(fā)規(guī)則的第一網(wǎng)絡(luò)報文的源地址��、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)���;從而使得當(dāng)所示接口設(shè)備收到來自第二網(wǎng)絡(luò)的報文時,通過匹配處理單元在關(guān)聯(lián)單元中查找與所述第二網(wǎng)絡(luò)報文相匹配的關(guān)聯(lián)記錄��,據(jù)此轉(zhuǎn)發(fā)第二網(wǎng)絡(luò)報文至第一網(wǎng)絡(luò)���。由此可見��,由于關(guān)聯(lián)單元記錄了來自第一網(wǎng)絡(luò)的外出報文的目的IP地址���,使得即使多個第一網(wǎng)絡(luò)用戶通過接口設(shè)備就同一觸發(fā)端口向第二網(wǎng)絡(luò)發(fā)起連接的情況下,接口設(shè)備的端口觸發(fā)功能仍然可以正常工作���,即滿足了端口觸發(fā)并發(fā)性的需要�。
圖1為本發(fā)明實施例的環(huán)境示意圖;圖2為本發(fā)明第一實施例中路由設(shè)備處理私網(wǎng)報文的方法流程示意�����;圖3為本發(fā)明第一實施例中路由設(shè)備處理公網(wǎng)報文的方法流程示意圖�����;圖4為本發(fā)明第二實施例中路由設(shè)備處理私網(wǎng)報文的方法流程示意����;圖5為本發(fā)明第二實施例中路由設(shè)備處理私網(wǎng)報文的方法流程示意;圖6為本發(fā)明具有端口觸發(fā)并發(fā)性的接口設(shè)備實施例結(jié)構(gòu)示意圖�����。
具體實施例方式
本發(fā)明的核心思想在于���,當(dāng)來自第一網(wǎng)絡(luò)的報文就觸發(fā)端口向第二網(wǎng)絡(luò)發(fā)起連接時��,將報文的目的地址(第二網(wǎng)絡(luò)地址)也參與到與外來端口的關(guān)聯(lián)中�,以便即使有多個第一網(wǎng)絡(luò)用戶就同一個觸發(fā)端口向第二網(wǎng)絡(luò)發(fā)起連接時�����,端口觸發(fā)功能也能正常工作���,即第二網(wǎng)絡(luò)的設(shè)備可以據(jù)此主動向?qū)?yīng)的第一網(wǎng)絡(luò)用戶發(fā)起連接��。
請參閱圖1����,其為本發(fā)明一個實施例的環(huán)境示意圖����。該圖中示出了與私有網(wǎng)絡(luò)11相連的第一客戶機設(shè)備10、第二客戶機設(shè)備15和與公共網(wǎng)絡(luò)12相連的第一服務(wù)器設(shè)備14��、第二服務(wù)器設(shè)備16����,這兩個網(wǎng)絡(luò)經(jīng)由根據(jù)本發(fā)明的路由設(shè)備13相連。路由設(shè)備13包括一個在私有網(wǎng)絡(luò)11和公共網(wǎng)絡(luò)12之間的NAT地址變換功能���,以及相關(guān)的端口觸發(fā)映射功能���。在這種結(jié)構(gòu)中,第一客戶機設(shè)備10、第二客戶機設(shè)備15通過路由設(shè)備13就同一觸發(fā)端口(端口A)分別向第一服務(wù)器設(shè)備14��、第二服務(wù)器設(shè)備16發(fā)起連接����,而后第一服務(wù)器設(shè)備14、第二服務(wù)器設(shè)備16又主動向第一服務(wù)器設(shè)備14���、第二服務(wù)器設(shè)備16發(fā)起TCP連接�����。就本發(fā)明而言��,私有網(wǎng)絡(luò)11對應(yīng)于第一網(wǎng)絡(luò)�����,公共網(wǎng)絡(luò)12對應(yīng)于第二網(wǎng)絡(luò)�����,以及路由設(shè)備13對應(yīng)于接口設(shè)備���。
在一個優(yōu)選實施例中,公共網(wǎng)絡(luò)12是因特網(wǎng),私有網(wǎng)絡(luò)11是一個專用家庭網(wǎng)絡(luò)�����。但是應(yīng)當(dāng)注意��,本發(fā)明并不局限于專用家庭網(wǎng)絡(luò)����,而是還能夠用于例如小型辦公室和公司網(wǎng)絡(luò)�����?����?蛻魴C設(shè)備(如第一客戶機設(shè)備10及第二客戶機設(shè)備15)可以是一個常規(guī)的計算機���,但它并不局限于此�,它還可以是一些其他的計算設(shè)備���,諸如音頻或視頻服務(wù)器����、打印機、掃描儀或其他類型的能夠使用一個地址在計算機網(wǎng)絡(luò)中連接的設(shè)備��。應(yīng)該意識到�,通常情況下還有若干設(shè)備連接到第一網(wǎng)絡(luò)12。還應(yīng)該意識到���,服務(wù)器設(shè)備(第一服務(wù)器設(shè)備14����、第二服務(wù)器設(shè)備16)可以是經(jīng)由路由設(shè)備與公共網(wǎng)絡(luò)12通信的私有或?qū)S镁W(wǎng)絡(luò)上的設(shè)備��。這里����,為了更好的解釋本發(fā)明,將服務(wù)器設(shè)備示為一個直接與公共網(wǎng)絡(luò)12相連的設(shè)備�����。
請參閱圖2��,其為本發(fā)明一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法實施例流程圖��。
步驟210為每條端口觸發(fā)規(guī)則增設(shè)檢查外來IP地址的功能選項。在關(guān)于圖1的描述中提到��,路由設(shè)備13包括一個在私有網(wǎng)絡(luò)11和公共網(wǎng)絡(luò)12之間的NAT地址變換功能��,以及相關(guān)的端口觸發(fā)映射功能�����。每條端口觸發(fā)映射規(guī)則都包括一個觸發(fā)端口和一個外來端口�,凡是來自第一網(wǎng)絡(luò)的報文(如由第一客戶機設(shè)備10或第二客戶機設(shè)備15發(fā)起的)是就某個觸發(fā)端口向第二網(wǎng)絡(luò)發(fā)起的連接��,那么該報文即命中對應(yīng)的端口觸發(fā)映射規(guī)則�,進(jìn)而被命中規(guī)則中的外來端口就參與相關(guān)動作,具體動作方式在后續(xù)步驟會進(jìn)行詳細(xì)介紹����。本步驟主要是針對現(xiàn)有端口觸發(fā)映射規(guī)則而言,增設(shè)一個檢查外來IP地址的功能選項���。
可以全局設(shè)置上述功能選項���,也可以針對每一條觸發(fā)規(guī)則單獨設(shè)置該選項。優(yōu)選的��,全局設(shè)置默認(rèn)地作用于所有端口觸發(fā)映射規(guī)則,但又可以針對每個端口觸發(fā)映射規(guī)則改變其在該選項上的設(shè)置��。下面為論述方便����,邏輯上可以認(rèn)為每一條端口觸發(fā)規(guī)則都有一個該選項的設(shè)置打開或關(guān)閉。之所以把“檢查外來IP地址”作為一個功能選項�,而不是一個必然的動作,是為了對應(yīng)用環(huán)境的復(fù)雜性���、多樣性有一個更好的適應(yīng)���。當(dāng)然,如果不增設(shè)這個功能選項也是可以的�����,即默認(rèn)所有條端口觸發(fā)映射規(guī)則都要檢查外來IP地址��。
步驟220路由設(shè)備13收到私網(wǎng)11報文���,所述報文命中一項端口觸發(fā)映射規(guī)則����。所述私網(wǎng)11報文,具體指路由設(shè)備13從私網(wǎng)口收到的來自私網(wǎng)11的分組數(shù)據(jù)報文(簡稱私網(wǎng)報文)�����,該報文是由與私網(wǎng)11連接的客戶機設(shè)備發(fā)出的�����,為了后續(xù)步驟敘述方便��,假定該報文是由第一客戶機設(shè)備10向第一服務(wù)器14發(fā)起的連接��。而且���,所述私網(wǎng)報文是通過路由設(shè)備13就某個觸發(fā)端口(如端口A)向公網(wǎng)12發(fā)起連接,于是該報文命中一項端口觸發(fā)映射規(guī)則���,該項被命中的規(guī)則中包括上述觸發(fā)端口(端口A)和對應(yīng)的外來端口(端口B)�����。
步驟230判斷該被命中規(guī)則的檢查外來IP地址的功能選項是否處于開啟狀態(tài)���。在步驟210中提到可以認(rèn)為每條端口觸發(fā)映射規(guī)則都對應(yīng)有一個“檢查外來IP地址”的功能選項���,因此本步驟即是判斷被命中的那條端口觸發(fā)映射規(guī)則對應(yīng)的功能選項狀態(tài)開啟或關(guān)閉。如果處于開啟狀態(tài)�����,則進(jìn)入步驟240��;如果處于關(guān)閉狀態(tài)�,則進(jìn)入步驟250。
步驟240將所述私網(wǎng)報文的源地址�、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)。所述報文的源地址���,通常指該報文的發(fā)起方(第一客戶機設(shè)備10)在私網(wǎng)11具有的可尋址范圍中的一個IP地址����。目的地址����,指被訪問的第一服務(wù)器14在公網(wǎng)12具有的可尋址范圍中的一個IP地址。將報文的源地址���、目的地址以及被命中規(guī)則中的外來端口(端口B)相關(guān)聯(lián)�,可以看作將上述三者綁定在一起并記錄,實質(zhì)就是��,允許路由設(shè)備13知道曾經(jīng)有過這樣的一種對應(yīng)的關(guān)系�。
步驟250將所述私網(wǎng)報文的源地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)。由于“檢查外來IP地址”的功能選項處于關(guān)閉狀態(tài)����,因此只將報文中的源地址和外來端口相關(guān)聯(lián)。需要注意的是�����,為了和開啟狀態(tài)時的關(guān)聯(lián)記錄保持一致性���,方便后續(xù)匹配查詢����,通常此種情況下在關(guān)聯(lián)記錄中也包含一個目的地址條目�,只是該目的地址條目中記錄的內(nèi)容取值為0����,表示任意地址。
此后��,關(guān)于將所述私網(wǎng)報文轉(zhuǎn)發(fā)至公網(wǎng)12的具體實現(xiàn),可以參考現(xiàn)有技術(shù)�,這點并不是本發(fā)明的實質(zhì)。應(yīng)該意識到�,通常路由設(shè)備13收到的私網(wǎng)報文是連續(xù)不斷的,而且不只是由一個客戶機發(fā)起的�,只要其收到私網(wǎng)報文命中一條端口觸發(fā)映射規(guī)則(觸發(fā)端口可能相同也可能不同),就按照上述方法處理�。
以上描述的是路由設(shè)備13理來自私網(wǎng)11的報文方法,由于路由設(shè)備13連接于私網(wǎng)11和公網(wǎng)12之間�,因此其不僅需要處理來自私網(wǎng)11的報文,還需要處理來自公網(wǎng)12的報文�����。就本發(fā)明而言�,主要是針對公網(wǎng)12的服務(wù)器向私網(wǎng)11的客戶機主動發(fā)起的連接,更具體而言����,如何將不同公網(wǎng)服務(wù)器發(fā)來的報文準(zhǔn)確轉(zhuǎn)發(fā)給對應(yīng)的私網(wǎng)客戶機,從而最終解決現(xiàn)有端口觸發(fā)方法不具有并發(fā)性的問題��。請參閱圖3����,其為發(fā)明第一實施例中路由設(shè)備處理公網(wǎng)報文的方法流程示意圖��。
步驟310路由設(shè)備13收到公共網(wǎng)絡(luò)報文�����。所述公共網(wǎng)絡(luò)報文指路由設(shè)備13從公網(wǎng)口收到的來自公共網(wǎng)絡(luò)12的報文(簡稱公網(wǎng)報文)��,例如是與公網(wǎng)12連接的服務(wù)器(如第一服務(wù)器設(shè)備14或第二服務(wù)器設(shè)備16等)向與私網(wǎng)11連接的客戶機設(shè)備發(fā)起的連接�。
步驟320以所述公網(wǎng)報文的源地址��、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)記錄中的目的地址��、外來端口進(jìn)行查詢�����。所述公共網(wǎng)絡(luò)報文的源地址通常指其發(fā)起方(服務(wù)器)在公共網(wǎng)絡(luò)12具有的可尋址范圍中的一個IP地址��。具體而言����,查看已經(jīng)存在的關(guān)聯(lián)記錄中是否有能夠和該公網(wǎng)報文地址信息相匹配的一項記錄����,匹配成功的關(guān)聯(lián)記錄的目的IP地址��、外來端口應(yīng)該分別與該公網(wǎng)報文的源IP地址�、目的端口相同���。
步驟330是否找到相匹配的關(guān)聯(lián)記錄���。如果找到相匹配的關(guān)聯(lián)記錄,則進(jìn)入步驟340�����;如果沒有找到相匹配的關(guān)聯(lián)記錄����,則進(jìn)入步驟350。
步驟340將所述相匹配的關(guān)聯(lián)記錄中的源地址作為所述第二網(wǎng)絡(luò)報文的目的地址���,進(jìn)而轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)��。
步驟350丟棄該報文��。丟棄該報文只是一種常見的處理方式����,應(yīng)該意識到并不局限于這一種,例如還可以組播等��。
通過上述第一實施例的介紹���,從實質(zhì)上闡述了本發(fā)明技術(shù)方案����。下面為了突出本發(fā)明實質(zhì)——能夠解決端口觸發(fā)并發(fā)性的問題����,以另外一個更為具體的實施例描述本發(fā)明優(yōu)選實施例。請參閱圖4���,其為本發(fā)明第二實施例中路由設(shè)備處理私網(wǎng)報文的方法流程示意圖�����。在本實施例中����,所述關(guān)聯(lián)步驟具體通過建立端口觸發(fā)關(guān)聯(lián)表予以實現(xiàn)�。
步驟410建立端口觸發(fā)關(guān)聯(lián)表����,所述端口觸發(fā)關(guān)聯(lián)表包括外來端口字段���、私網(wǎng)IP地址字段以及外網(wǎng)IP地址字段。通過上述端口觸發(fā)關(guān)聯(lián)表實現(xiàn)用戶地址信息的關(guān)聯(lián)����。所述端口觸發(fā)關(guān)聯(lián)表的內(nèi)容及具體含義如表1所述表一
步驟420當(dāng)路由設(shè)備13從私網(wǎng)口收到命中端口觸發(fā)映射規(guī)則的私網(wǎng)報文時,取該報文的源IP地址�、被命中規(guī)則中的外來端口為關(guān)鍵字分別匹配關(guān)聯(lián)記錄中的“私網(wǎng)IP地址”字段、“外來端口”字段進(jìn)行查找����,判斷端口觸發(fā)關(guān)聯(lián)表中是否已經(jīng)存在對應(yīng)的關(guān)聯(lián)表項。因為端口觸發(fā)關(guān)聯(lián)表對于所有命中某項端口觸發(fā)映射規(guī)則的報文都進(jìn)行了記錄��,因此在端口觸發(fā)關(guān)聯(lián)表中可能已經(jīng)存在對應(yīng)的關(guān)聯(lián)表項�,從而需要在記錄之前先查看一下是否已經(jīng)存在。
需要注意的是���,所謂已經(jīng)存在關(guān)聯(lián)表項�����,僅是以私網(wǎng)報文的源IP地址和被命中規(guī)則中的外來端口為衡量標(biāo)準(zhǔn)����,并不包括目的IP地址。換而言之��,即使存在的關(guān)聯(lián)記錄中“公網(wǎng)IP地址”字段的取值與該私網(wǎng)報文的目的IP地址不同�,但只要“私網(wǎng)IP地址字段”與報文源IP地址相同,“外來端口”字段和該報文命中規(guī)則中的外來端口相同�,就認(rèn)為該私有網(wǎng)絡(luò)報文已經(jīng)存在對應(yīng)的關(guān)聯(lián)記錄。通常情況下��,會為每條關(guān)聯(lián)記錄設(shè)置老化時間����。
步驟430如果已經(jīng)存在對應(yīng)的關(guān)聯(lián)記錄,則不處理����。當(dāng)然,也可以對已經(jīng)存在的對應(yīng)關(guān)聯(lián)記錄進(jìn)行更新�����,即如果所述私網(wǎng)報文的目的IP地址與查找到的對應(yīng)關(guān)聯(lián)記錄中“公網(wǎng)IP字段”的取值不同��,則將該報文的目的IP地址也添加到“公網(wǎng)IP地址”字段,從而該條關(guān)聯(lián)記錄中的“公網(wǎng)IP地址”字段可能包含多個目的IP地址���。
步驟440如果沒有找對應(yīng)的關(guān)聯(lián)記錄��,則新增一條關(guān)聯(lián)表項記錄。該新增關(guān)聯(lián)表項中“外來端口”字段的取值為該私有網(wǎng)絡(luò)報文命中的端口觸發(fā)映射規(guī)則中的外來端口號�。“私網(wǎng)IP地址”字段的取值為所述私網(wǎng)報文的源IP地址��?��!巴饩W(wǎng)IP地址”字段的取值依據(jù)所命中規(guī)則對應(yīng)的“檢查外來IP地”功能選項的狀態(tài)而定���,如果“檢查外來IP地址”功能選項處于開啟狀態(tài)(即使能),則取值為所述私網(wǎng)報文的目的IP地址���;如果“檢查外來IP地址”功能選項處于關(guān)閉狀態(tài)(即不使能)�����,則取值為0����,表示任意地址。
當(dāng)路由設(shè)備13從公網(wǎng)口收到公網(wǎng)報文時的處理情況���,請參閱圖5所示���。
步驟510路由設(shè)備13從公網(wǎng)口收到來自公網(wǎng)12的報文。
步驟520以所述公網(wǎng)報文的源地址�、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)表中的“公網(wǎng)IP地址”字段、“外來端口”字段進(jìn)行查詢�����。具體而言���,查看端口觸發(fā)關(guān)聯(lián)表中是否存在一項關(guān)聯(lián)記錄���,其“公網(wǎng)IP地址”字段的取值和所述公網(wǎng)報文的源IP地址相同,其“外來端口”字段的取值是所述公網(wǎng)報文的目的端口號相同���。需要注意���,如果“公網(wǎng)IP地址”字段的取值為0,即任意地址時,任何公網(wǎng)報文的源IP地址都可以與之匹配����。
步驟530判斷是否有相匹配的關(guān)聯(lián)表項,如果有�����,則進(jìn)入步驟540�����;如果沒有則進(jìn)入步驟550�����。
步驟540將所匹配的關(guān)聯(lián)表項中”私網(wǎng)IP地址”字段內(nèi)容替換所述公網(wǎng)報文的目的地址字段內(nèi)容��,進(jìn)而轉(zhuǎn)發(fā)至私網(wǎng)�����。路由設(shè)備13自公網(wǎng)口收到的公網(wǎng)報文��,其最初目的IP地址為路由設(shè)備13在公網(wǎng)具有的可尋址范圍內(nèi)的IP地址�,路由設(shè)備13要將其轉(zhuǎn)發(fā)至私網(wǎng)時����,需要將所匹配的關(guān)聯(lián)表項中”私網(wǎng)IP地址”字段記錄的IP地址替換路由設(shè)備13的IP地址�。
步驟550優(yōu)選的���,丟棄該報文����。這種優(yōu)選處理方式提高了外來端口的安全性��,使得針對某外來端口的攻擊一般不能生效�。
通過上述更為具體的第二實施例可以清楚看出,即使第一客戶機10和第二客戶機15通過路由設(shè)備13就同一個觸發(fā)端口(端口A)����,分別向第一服務(wù)器設(shè)備14和第二服務(wù)器設(shè)備16發(fā)起連接的情況下,路由設(shè)備13的端口觸發(fā)功能仍然可以正常工作����。因為關(guān)聯(lián)表項中準(zhǔn)確的記錄了外出報文的目的IP地址,因此無論是第一服務(wù)器設(shè)備14還是第二服務(wù)器設(shè)備16向?qū)?yīng)的客戶機設(shè)備主動發(fā)起連接時���,路由設(shè)備16都可以將報文準(zhǔn)確轉(zhuǎn)發(fā)����。可見��,依據(jù)本發(fā)明提供的方法�,使得路由設(shè)備13的端口觸發(fā)功能能夠滿足并發(fā)性的需求。
本發(fā)明還公開了一種具有端口觸發(fā)并發(fā)性的接口設(shè)備�����,請參考圖6所示的接口設(shè)備實施例結(jié)構(gòu)示意圖���,本實施例中仍然以路由設(shè)備13為例進(jìn)行說明�,路由設(shè)備13連接于私有網(wǎng)絡(luò)11和公共網(wǎng)絡(luò)12之間進(jìn)行報文轉(zhuǎn)發(fā)�����。
需要說明�����,本實施例的結(jié)構(gòu)示意圖僅是在現(xiàn)有路由技術(shù)的基礎(chǔ)上���,對路由設(shè)備13中與本發(fā)明相關(guān)部分的邏輯劃分,相信本領(lǐng)域技術(shù)人員可以參考現(xiàn)有路由技術(shù)予以實現(xiàn)。所述路由設(shè)備包括接收單元131�、規(guī)則記錄單元132、關(guān)聯(lián)單元133以及匹配處理單元134���。以下結(jié)合該設(shè)備的工作原理���,對其內(nèi)部結(jié)構(gòu)進(jìn)一步說明。
路由設(shè)備13通過接口單元131從私網(wǎng)口接收報文(簡稱私網(wǎng)報文)以及從公網(wǎng)口接收報文(簡稱公網(wǎng)報文)����。此外,路由設(shè)備13通過規(guī)則記錄單元132記錄配置的端口觸發(fā)規(guī)則����,所述規(guī)則中包括了觸發(fā)端口和外來端口。對于端口觸發(fā)規(guī)則的概念在前文已經(jīng)進(jìn)行過詳細(xì)描述��,此處就不再贅述�。規(guī)則記錄單元132中的端口觸發(fā)規(guī)則還可以對應(yīng)有“檢查外來IP地址”的功能選項,用于指示關(guān)聯(lián)單元是否將私網(wǎng)報文的目的地址參與關(guān)聯(lián)�。
當(dāng)路由設(shè)備13通過接口單元131接收到私網(wǎng)報文時,如果該報文是就某一個觸發(fā)端口向公網(wǎng)發(fā)起的連接����,那么該報文即命中規(guī)則記錄單元132中一項規(guī)則����。進(jìn)而����,通過關(guān)聯(lián)單元133將該報文的地址信息源IP地址、目的IP地址以及被命中規(guī)則中的外來端口相互關(guān)聯(lián)起來�����。具體而言����,關(guān)聯(lián)單元包括一個端口觸發(fā)關(guān)聯(lián)表,所述端口觸發(fā)關(guān)聯(lián)表包括“外來端口”字段��、“私網(wǎng)IP地址”字段以及“公網(wǎng)IP地址”字段�����。其中�,“外來端口字段”同端口觸發(fā)規(guī)則中的外來端口��,總是記錄命中的端口觸發(fā)規(guī)則中的外來端口����?���!八骄W(wǎng)IP地址”字段記錄命中端口觸發(fā)規(guī)則的私網(wǎng)報文(即外出報文)的源IP地址���,對于“公網(wǎng)I P地址”字段����,如果命中的端口觸發(fā)規(guī)則的“檢查外來IP地址”功能選項是否處于開啟狀態(tài)�����,則取值為所述私網(wǎng)報文的目的地址�,如果處于關(guān)閉狀態(tài)則取值為0,表示任意地址�。
優(yōu)選的,取該私網(wǎng)報文的源IP地址�����、被命中規(guī)則中的外來端口為關(guān)鍵字分別匹配關(guān)聯(lián)表項中的“私網(wǎng)IP地址”字段�����、“外來端口”字段進(jìn)行查找,判斷端口觸發(fā)關(guān)聯(lián)單元133中是否已經(jīng)存在對應(yīng)的關(guān)聯(lián)表項����。如果找到,則不予處理��;如果沒有找到�,則增加新的關(guān)聯(lián)表項,以記錄上述關(guān)聯(lián)內(nèi)容�。
當(dāng)路由設(shè)備13通過接收單元132從公網(wǎng)口收到報文時,通過匹配處理單元134找到與該報文地址信息相匹配的關(guān)聯(lián)表項����。具體而言,所述匹配轉(zhuǎn)發(fā)單元包括匹配查詢子單元和轉(zhuǎn)發(fā)子單元���。首先由匹配查詢子單元以所述公網(wǎng)報文的源地址�、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)單元中的目的地址���、外來端口��,查找與所述報文相匹配的關(guān)聯(lián)記錄。換而言之����,查看端口觸發(fā)關(guān)聯(lián)表中是否存在一項關(guān)聯(lián)表項記錄���,其“公網(wǎng)IP地址”字段的取值和所述公網(wǎng)報文的源IP地址相同,其“外來端口”字段的取值和所述公網(wǎng)報文的目的端口號相同�。
如果找到相匹配的關(guān)聯(lián)表項記錄,則由轉(zhuǎn)發(fā)子單元將該項記錄中的源地址作為所述公網(wǎng)報文的目的地址��,轉(zhuǎn)發(fā)至私網(wǎng)���。如果所述關(guān)聯(lián)單元中沒有與第上述公網(wǎng)報文相匹配的關(guān)聯(lián)表項記錄�,優(yōu)選的�,丟棄該報文,從而提高外來端口的安全性���。
以上對本發(fā)明所提供的一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法以及一種具備端口觸發(fā)并發(fā)性的接口設(shè)備進(jìn)行了詳細(xì)介紹�����,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述���,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時�,對于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想�����,在具體實施方式
及應(yīng)用范圍上均會有改變之處��,綜上所述��,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制����。
權(quán)利要求
1.一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法��,所述接口設(shè)備連接于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間進(jìn)行報文轉(zhuǎn)發(fā)�����,其特征在于���,所述接口設(shè)備收到第一網(wǎng)絡(luò)報文���,所述報文命中端口觸發(fā)映射規(guī)則;將上述報文的源地址、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)��;所述接口設(shè)備收到來自第二網(wǎng)絡(luò)報文時��,根據(jù)與該報文地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)�����。
2.如權(quán)利要求1所述的提高端口觸發(fā)并發(fā)性的方法�����,其特征在于�����,所述方法還包括所述接口設(shè)備收到第二網(wǎng)絡(luò)報文時��,如果沒有與該報文地址信息相匹配的關(guān)聯(lián)記錄��,則丟棄該報文���。
3.如權(quán)利要求1所述的提高端口觸發(fā)并發(fā)性的方法,其特征在于���,所述方法還包括為端口觸發(fā)映射規(guī)則增設(shè)檢查外來地址的功能選項�,當(dāng)所述選項處于關(guān)閉狀態(tài)時,上述關(guān)聯(lián)步驟中只將源地址和外來端口相關(guān)聯(lián)�。
4.如權(quán)利要求1至3中任意一項所述的提高端口觸發(fā)并發(fā)性的方法,其特征在于�,所述根據(jù)與第二網(wǎng)絡(luò)報文的地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)的具體過程包括取所述第二網(wǎng)絡(luò)報文的源地址、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)記錄中的目的地址���、外來端口進(jìn)行查詢���;如果找到相匹配的關(guān)聯(lián)記錄,則將該項關(guān)聯(lián)記錄中的源地址作為所述第二網(wǎng)絡(luò)報文的目的地址����,轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)。
5.如權(quán)利要求1至3中任意一項所述的提高端口觸發(fā)并發(fā)性的方法�,其特征在于,所述關(guān)聯(lián)步驟通過建立端口觸發(fā)關(guān)聯(lián)表予以實現(xiàn)�����,所述端口觸發(fā)關(guān)聯(lián)表包括外來端口字段�、第一網(wǎng)絡(luò)地址字段以及第二網(wǎng)絡(luò)地址字段。
6.如權(quán)利要求5所述的提高端口觸發(fā)并發(fā)性的方法�,其特征在于,采用端口觸發(fā)關(guān)聯(lián)表實現(xiàn)關(guān)聯(lián)的具體過程為將被命中規(guī)則中的外來端口、第一網(wǎng)絡(luò)報文中的源地址����、目的地址分別記錄于一條關(guān)聯(lián)表項中的外來端口字段、第一網(wǎng)絡(luò)地址字段�����、第二網(wǎng)絡(luò)地址字段��。
7.如權(quán)利要求5所述的提高端口觸發(fā)并發(fā)性的方法����,其特征在于����,所述根據(jù)與第二網(wǎng)絡(luò)報文的地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)的具體過程包括以所述第二網(wǎng)絡(luò)報文的源地址、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)表中的第二網(wǎng)絡(luò)地址字段�����、外來端口字段進(jìn)行查詢���;如果找到相匹配的關(guān)聯(lián)表項����,則將該關(guān)聯(lián)表項中第一網(wǎng)絡(luò)地址字段內(nèi)容替換所述第二網(wǎng)絡(luò)報文的目的地址內(nèi)容,轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)�����。
8.一種具有端口觸發(fā)并發(fā)性的接口設(shè)備�����,所述接口設(shè)備連接于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間進(jìn)行報文轉(zhuǎn)發(fā)����,其特征在于,所述設(shè)備包括規(guī)則記錄單元��,用于記錄觸發(fā)端口和外來端口之間的端口觸發(fā)規(guī)則����;關(guān)聯(lián)單元,用于將命中端口觸發(fā)規(guī)則的第一網(wǎng)絡(luò)報文的源地址���、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)��;匹配處理單元�����,用于在關(guān)聯(lián)單元中查找與第二網(wǎng)絡(luò)報文相匹配的關(guān)聯(lián)記錄�����,并據(jù)此轉(zhuǎn)發(fā)第二網(wǎng)絡(luò)報文至第一網(wǎng)絡(luò)�。
9.如權(quán)利要求8所述的具備端口觸發(fā)并發(fā)性的接口設(shè)備,其特征在于����,當(dāng)所述關(guān)聯(lián)單元中沒有與第二網(wǎng)絡(luò)報文相匹配的關(guān)聯(lián)記錄時�,所述匹配處理單元將第二網(wǎng)絡(luò)報文丟棄。
10.如權(quán)利要求8所述的具備端口觸發(fā)并發(fā)性的接口設(shè)備���,其特征在于��,所述規(guī)則記錄單元中的端口觸發(fā)規(guī)則還對應(yīng)有檢查外來地址的功能選項����,所述功能選項用于指示關(guān)聯(lián)單元是否將第一網(wǎng)絡(luò)報文的目的地址參與關(guān)聯(lián)��。
11.如權(quán)利要求8至10所述的具備端口觸發(fā)并發(fā)性的接口設(shè)備��,其特征在于,所述匹配轉(zhuǎn)發(fā)單元具體包括匹配查詢單元���,用于以所述第二網(wǎng)絡(luò)報文的源地址�����、目的端口為關(guān)鍵字分別匹配關(guān)聯(lián)單元中的目的地址�����、外來端口�,查找與所述報文相匹配的關(guān)聯(lián)記錄�����;轉(zhuǎn)發(fā)單元����,用于將相匹配的關(guān)聯(lián)記錄中的源地址作為第二網(wǎng)絡(luò)報文的目的地址,轉(zhuǎn)發(fā)所述第二網(wǎng)絡(luò)報文至第一網(wǎng)絡(luò)�����。
12.如權(quán)利要求8至10中任意一項所述的具備端口觸發(fā)并發(fā)性的接口設(shè)備����,其特征在于�����,所述關(guān)聯(lián)單元包括端口觸發(fā)關(guān)聯(lián)表���,所述端口觸發(fā)關(guān)聯(lián)表包括外來端口字段、第一網(wǎng)絡(luò)地址字段以及第二網(wǎng)絡(luò)地址字段���。
13.如權(quán)利要求12所述的具備端口觸發(fā)并發(fā)性的接口設(shè)備�����,其特征在于�,所述端口觸發(fā)表中的第一網(wǎng)絡(luò)地址字段���、第二網(wǎng)絡(luò)地址字段、外來端口字段分別用于記錄第一網(wǎng)絡(luò)報文中的源地址���、目的地址���、被命中規(guī)則中的外來端口��。
全文摘要
本發(fā)明公開了一種為接口設(shè)備提供端口觸發(fā)并發(fā)性的方法�,所述接口設(shè)備連接于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間進(jìn)行報文轉(zhuǎn)發(fā)����,首先,所述接口設(shè)備收到第一網(wǎng)絡(luò)報文�,所述報文命中端口觸發(fā)映射規(guī)則;然后將上述報文的源地址�����、目的地址與被命中規(guī)則中的外來端口相關(guān)聯(lián)���;當(dāng)所述接口設(shè)備收到來自第二網(wǎng)絡(luò)報文時����,根據(jù)與該報文地址信息相匹配的關(guān)聯(lián)記錄將其轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)��。通過上述方法����,使得第一網(wǎng)絡(luò)多個用戶就同一個觸發(fā)端口向第二網(wǎng)絡(luò)發(fā)起連接時,端口觸發(fā)功能也可以正常工作�,即滿足了端口觸發(fā)并發(fā)性的需求�。
文檔編號H04L12/66GK1870657SQ200610082989
公開日2006年11月29日 申請日期2006年6月23日 優(yōu)先權(quán)日2006年6月23日
發(fā)明者許錫雷 申請人:杭州華為三康技術(shù)有限公司