国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種防止路由環(huán)路產(chǎn)生的方法、裝置和系統(tǒng)的制作方法

      文檔序號:7919912閱讀:350來源:國知局
      專利名稱:一種防止路由環(huán)路產(chǎn)生的方法、裝置和系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種防止路由環(huán)路產(chǎn)生的方法、裝 置和系統(tǒng)。
      背景技術(shù)
      NAT (Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換),是一種將私網(wǎng)地址 轉(zhuǎn)換成公網(wǎng)地址,對外發(fā)起訪問的技術(shù)。當報文通過防火墻時,防火墻會建 立會話表,記錄一次訪問的轉(zhuǎn)換前的地址和轉(zhuǎn)換后的地址,在私網(wǎng)地址多于 NAT地址池地址的時候也不會造成訪問沖突。
      防火墻的會話表技術(shù)能保證私網(wǎng)用戶對外發(fā)起訪問的時候NAT地址轉(zhuǎn)換 的一致性,但通常防火墻還會收到目的地址是NAT地址池地址的報文,此類 報文是由和防火墻出口相連的路由器轉(zhuǎn)發(fā)過來的,并且此類報文在防火墻上 無法查詢到會話表,這類報文不是私網(wǎng)用戶對外發(fā)起訪問的響應(yīng)報文,是一 種非法訪問的報文。
      防火墻作為核心層設(shè)備,會配置默認路由指向防火墻出口的路由器,而 目的地址是地址池并且在防火墻上查不到會話表的這類報文,會被防火墻轉(zhuǎn) 發(fā)到出口路由器上,而在出口路由器上查地址池的路由,這類報文又會被路 由器轉(zhuǎn)發(fā)到防火墻上。因此,這類報文會在防火墻和防火墻的上行設(shè)備之間 來回轉(zhuǎn)發(fā),直到該報文的TTL ( Time To Live,生存時間)為0被丟棄。從而, 這類報文在防火墻和防火墻的上行設(shè)備之間形成了環(huán);洛,這類才艮文稍多時就 會造成鏈路擁塞和網(wǎng)絡(luò)帶寬的極大浪費。
      現(xiàn)有技術(shù)對這類報文不作處理,使得這類報文在防火墻和該防火墻的上 行設(shè)備之間進行轉(zhuǎn)發(fā)直到TTL為O。當這類報文較多時,這類報文會占用鏈路 的大量帶寬,造成設(shè)備的性能消耗和鏈路的擁塞。

      發(fā)明內(nèi)容
      本發(fā)明實施例提供一種防止路由環(huán)路產(chǎn)生的方法、裝置和系統(tǒng),以防止 報文在防火墻和防火墻的出口路由器之間形成環(huán)路,避免產(chǎn)生鏈路擁塞。
      為達到上述目的,本發(fā)明實施例一方面提供一種防止路由環(huán)路產(chǎn)生的方
      法,包括
      在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址池地 址添加對應(yīng)的黑洞路由;
      若接收到的目的地址為所述NAT地址池地址的報文與所述黑洞路由相匹 配,則丟棄所述匹配上黑洞路由的報文。
      另一方面,本發(fā)明實施例還提供一種防止路由環(huán)路產(chǎn)生的裝置,包括
      添加模塊,用于在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所 述NAT地址池地址添加對應(yīng)的黑洞路由;
      報文處理模塊,用于若接收到的目的地址為所述NAT地址池地址的報文 與所述黑洞路由相匹配,則丟棄所述匹配上黑洞路由的報文。
      再一方面,本發(fā)明實施例還提供一種防止路由環(huán)路產(chǎn)生的系統(tǒng),包括
      轉(zhuǎn)發(fā)設(shè)備,用于從外部網(wǎng)絡(luò)向用戶發(fā)送報文;
      防火墻,用于在配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址 池地址添加對應(yīng)的黑洞路由,并在所述轉(zhuǎn)發(fā)設(shè)備發(fā)送的目的地址為所述NAT 地址池地址的報文與所述黑洞路由相匹配時丟棄所述匹配上黑洞路由的報 文。
      與現(xiàn)有技術(shù)相比,本發(fā)明實施例具有以下優(yōu)點本發(fā)明實施例中,在防 火墻上配置NAT地址池地址時,為該NAT地址池地址添加對應(yīng)的黑洞路由, 若接收到的目的地址為該NAT地址池地址的報文與黑洞路由相匹配,則丟棄 匹配上黑洞路由的報文。從而避免了非法訪問的報文在防火墻和防火墻的出 口路由器之間形成環(huán)路,防止了防火墻的出口鏈路出現(xiàn)擁塞,保證了業(yè)務(wù)的 正常進行。


      為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作筒單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā) 明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前 提下,還可以才艮據(jù)這些附圖獲得其他的附圖。
      圖1為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的方法的流程圖; 圖2為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的裝置的結(jié)構(gòu)圖; 圖3為本發(fā)明實施例另一種防止路由環(huán)路產(chǎn)生的裝置的結(jié)構(gòu)圖; 圖4為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的系統(tǒng)的結(jié)構(gòu)圖。
      具體實施例方式
      下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明的一部分實施例, 而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有 做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
      本發(fā)明實施例提供一種防止路由環(huán)路產(chǎn)生的方法,主要用于在防火墻上 配置NAT地址轉(zhuǎn)換之后,防止報文在防火墻和防火墻的出口路由器之間形成 環(huán)路,避免產(chǎn)生鏈路擁塞。
      本發(fā)明實施例在防火墻上配置NAT地址的時候,自動添加黑洞路由,黑 洞路由的出接口為空接口 ,目的地址匹配上黑洞路由的所有報文都將被丟棄。
      對于從防火墻的出口路由器轉(zhuǎn)發(fā)到防火墻上,目的地址為NAT地址池地 址的報文,如果在防火墻的會話表上查不到會話,針對這類報文,防火墻將 在該防火墻上匹配該NAT地址池地址對應(yīng)的黑洞路由,在查到了黑洞路由之 后,防火墻直接丟棄這類報文,避免了路由環(huán)路的產(chǎn)生。
      如圖1所示,為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的方法的流程圖, 包括
      步驟S101,在防火墻上配置NAT地址池地址時,為NAT地址池地址添 加對應(yīng)的黑洞路由。
      本發(fā)明實施例中,在防火墻上配置NAT地址池地址的時候,自動或手動 為NAT地址池地址添加對應(yīng)的黑洞路由,該黑洞路由具有32位的掩碼,保證
      所有目的地址為NAT地址池地址的報文,在防火墻上查不到會話時,就直接 匹配黑洞路由。
      進一步地,如果NAT地址池地址中包括防火墻的接口地址,則在添加黑 洞路由時,只需要為NAT地址池地址中除上述接口地址之外的其他地址添加 對應(yīng)的黑洞路由,而不需為防火墻的接口地址添加黑洞路由,從而保證目的 地址為防火墻的接口地址的報文能訪問到防火墻。上述黑洞路由的掩碼均為 32位的掩碼。
      步驟S102,若接收到的目的地址為NAT地址池地址的報文與黑洞路由相 匹配,則丟棄匹配上黑洞^各由的才艮文。
      在配置了黑洞路由之后,防火墻接收到來自外部網(wǎng)絡(luò)的目的地址為NAT 地址池地址的報文之后,將目的地址為NAT地址池地址的報文在該防火墻上 匹配該NAT地址池地址對應(yīng)的黑洞路由,在該報文匹配上黑洞路由之后,丟 棄匹配上黑洞路由的報文。
      上述防止路由環(huán)路產(chǎn)生的方法,在防火墻上估文NAT轉(zhuǎn)換的時候,能避免 非法訪問的報文在防火墻和防火墻的出口路由器之間形成環(huán)路,防止了防火 墻的出口鏈路出現(xiàn)擁塞,保證了業(yè)務(wù)的正常進行。
      如圖2所示,為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的裝置的結(jié)構(gòu)圖, 包括
      添加模塊21,用于在防火墻上配置NAT地址池地址時,為NAT地址池 地址添加對應(yīng)的黑洞路由。
      報文處理模塊22,用于若接收到的目的地址為NAT地址池地址的報文與 添加模塊21添加的黑洞路由相匹配,則丟棄匹配上黑洞路由的報文。
      如圖3所示,添加才莫塊21可以包括
      路由添加子才莫塊211,用于當NAT地址池地址中包括該防火墻的4妻口地 址時,為NAT地址池地址中除該防火墻的4妄口地址之外的其他地址添加對應(yīng) 的黑洞i 各由。
      其中,該防止路由環(huán)路產(chǎn)生的裝置可以集成在防火墻上,或者為一獨立 的功能實體。
      通過上述防止路由環(huán)路產(chǎn)生的裝置,在防火墻上做NAT轉(zhuǎn)換的時候,能 避免非法訪問的報文在防火墻和防火墻的出口路由器之間形成環(huán)路,防止防 火墻的出口鏈路出現(xiàn)擁塞,從而保證業(yè)務(wù)的正常進行。
      如圖4所示,為本發(fā)明實施例一種防止路由環(huán)路產(chǎn)生的系統(tǒng)的結(jié)構(gòu)圖, 包括
      轉(zhuǎn)發(fā)設(shè)備41,用于從外部網(wǎng)絡(luò)向用戶發(fā)送報文;
      防火墻42,用于在配置NATi也址池:l也址時,為NAT ;也址池地址添加對 應(yīng)的黑洞路由,并在轉(zhuǎn)發(fā)設(shè)備41發(fā)送的目的地址為NAT地址池地址的報文 與上述黑洞路由相匹配時丟棄匹配上黑洞路由的報文。
      其中,該轉(zhuǎn)發(fā)設(shè)備41可以為防火墻42的出口路由器。
      上述防止路由環(huán);洛產(chǎn)生的系統(tǒng),防火墻42在配置NAT地址池地址時, 為NAT地址池地址添加對應(yīng)的黑洞路由,從而在防火墻42上做NAT轉(zhuǎn)換的 時候,能避免非法訪問的報文在防火墻和防火墻的出口路由器之間形成環(huán)路, 防止了防火墻的出口鏈路出現(xiàn)擁塞,從而保證了業(yè)務(wù)的正常進行。
      通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)。 基于這樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟 件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM, U盤,移動硬 盤等)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服 務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。
      本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的 模塊或流程并不一定是實施本發(fā)明所必須的。
      本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的^f莫塊可以按照實施例描述 進行分布于實施例的裝置中,也可以進行相應(yīng)變化位于不同于本實施例的一 個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以進一步拆 分成多個子模塊。
      上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣。
      以上公開的僅為本發(fā)明的幾個具體實施例,但是,本發(fā)明并非局限于此,
      任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍。
      權(quán)利要求
      1、一種防止路由環(huán)路產(chǎn)生的方法,其特征在于,包括在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址池地址添加對應(yīng)的黑洞路由;若接收到的目的地址為所述NAT地址池地址的報文與所述黑洞路由相匹配,則丟棄所述匹配上黑洞路由的報文。
      2、 如權(quán)利要求1所述的方法,其特征在于,若所述NAT地址池地址中 包括所述防火墻的接口地址,在所述防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址 池地址中除所述防火墻的4妄口地址之外的其他地址添加對應(yīng)的黑洞路由。
      3、 如權(quán)利要求1所述的方法,其特征在于,所述為所述NAT地址池地 址添加對應(yīng)的黑洞路由具體包括為所述NAT地址池;也址自動或手動添加對應(yīng)的黑洞i 各由。
      4、 如權(quán)利要求1至3任意一項所述的方法,其特征在于,所述黑洞路由 具有32位的掩碼。
      5、 一種防止路由環(huán)路產(chǎn)生的裝置,其特征在于,包括添加it塊,用于在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所 述NAT地址池地址添加對應(yīng)的黑洞路由;報文處理模塊,用于若接收到的目的地址為所述NAT地址池地址的報文 與所述黑洞路由相匹配,則丟棄所述匹配上黑洞路由的報文。
      6、 如權(quán)利要求5所述的裝置,其特征在于,所述添加模塊包括路由添加子模塊,用于當所述NAT地址池地址中包括所述防火墻的接口 地址時,為所述NAT地址池地址中除所述防火墻的4妄口地址之外的其他地址 添加對應(yīng)的黑洞i 各由。
      7、 如權(quán)利要求5所述的裝置,其特征在于,所述防止路由環(huán)路產(chǎn)生的裝 置集成在所述防火墻上,或者為一獨立的功能實體。
      8、 一種防止^各由環(huán)路產(chǎn)生的系統(tǒng),其特征在于,包括 轉(zhuǎn)發(fā)設(shè)備,用于從外部網(wǎng)絡(luò)向用戶發(fā)送報文;防火墻,用于在配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址池地址添加對應(yīng)的黑洞路由,并在所述轉(zhuǎn)發(fā)設(shè)備發(fā)送的目的地址為所述NAT 地址池地址的報文與所述黑洞路由相匹配時丟棄所述匹配上黑洞路由的報 文。
      全文摘要
      本發(fā)明實施例公開了一種防止路由環(huán)路產(chǎn)生的方法、裝置和系統(tǒng),所述防止路由環(huán)路產(chǎn)生的方法,包括在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT地址池地址時,為所述NAT地址池地址添加對應(yīng)的黑洞路由;若接收到的目的地址為所述NAT地址池地址的報文與所述黑洞路由相匹配,則丟棄所述匹配上黑洞路由的報文。通過本發(fā)明實施例提供的技術(shù)方案,避免了非法訪問的報文在防火墻和防火墻的出口路由器之間形成環(huán)路,防止了防火墻的出口鏈路出現(xiàn)擁塞,保證了業(yè)務(wù)的正常進行。
      文檔編號H04L29/06GK101355418SQ20081016695
      公開日2009年1月28日 申請日期2008年9月28日 優(yōu)先權(quán)日2008年9月28日
      發(fā)明者劉敦輝, 張日華, 徐耀偉 申請人:成都市華為賽門鐵克科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1