專利名稱:虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT����,Network AddressTranslation)技術(shù)����,特別是涉及一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法。
背景技術(shù):
目前由于IPV4(IP協(xié)議,第四版本)的地址非常緊張��,一個(gè)企業(yè)很難申請(qǐng)到大量的公網(wǎng)地址���,所以企業(yè)建網(wǎng)時(shí)一般使用保留的私網(wǎng)地址���,然后采用NAT設(shè)備利用公網(wǎng)地址登錄因特網(wǎng)。所謂NAT就是將用戶私網(wǎng)的地址和端口轉(zhuǎn)換為公網(wǎng)的地址和端口��。用戶每發(fā)起一次因特網(wǎng)訪問(wèn)��,就會(huì)建立一項(xiàng)私網(wǎng)地址端口和轉(zhuǎn)換后的公網(wǎng)地址和端口的對(duì)應(yīng)表項(xiàng)���,即流表項(xiàng)����,以便返回的數(shù)據(jù)包能夠準(zhǔn)確的找到原來(lái)私網(wǎng)的地址和端口��。
對(duì)于大型企業(yè)來(lái)說(shuō)����,一般有很多分支機(jī)構(gòu)����,為了把這些分支機(jī)構(gòu)連成一個(gè)企業(yè)網(wǎng)����,通常有兩種方法����,一種是直接租用數(shù)據(jù)專線組建企業(yè)網(wǎng),另一種是直接購(gòu)買運(yùn)營(yíng)商的虛擬專用網(wǎng)(VPN�,Virtual Private Networks)服務(wù),在運(yùn)營(yíng)商公網(wǎng)的基礎(chǔ)上組建自己的企業(yè)網(wǎng)��。所述購(gòu)買運(yùn)營(yíng)商的VPN服務(wù)方式的費(fèi)用要比租用數(shù)據(jù)專線自己組網(wǎng)的費(fèi)用低得多��。所以���,一般組建企業(yè)網(wǎng)時(shí)��,都采用購(gòu)買運(yùn)營(yíng)商的VPN服務(wù)方式����。其中�,所述VPN用戶上因特網(wǎng)有兩種方式一種是企業(yè)可以自己購(gòu)買NAT設(shè)備來(lái)上因特網(wǎng),另一種方式租用運(yùn)營(yíng)商的NAT設(shè)備來(lái)上因特網(wǎng)����。通常運(yùn)營(yíng)商的NAT設(shè)備性能好�、穩(wěn)定可靠���,又有專業(yè)人員管理���,采用這種方式企業(yè)成本更低。
因此�,VPN用戶一般都采用租用運(yùn)營(yíng)商的NAT設(shè)備的方式來(lái)登錄因特網(wǎng),這就需要運(yùn)營(yíng)商要為多個(gè)VPN用戶提供NAT服務(wù)��,這些VPN用戶的IP地址有可能是相同的����,如果NAT設(shè)備不能對(duì)不同VPN的用戶IP進(jìn)行識(shí)別,就無(wú)法將數(shù)據(jù)包準(zhǔn)確的轉(zhuǎn)發(fā)給正確的VPN��,這就要求NAT設(shè)備能夠支持多VPN���,也就是NAT要同時(shí)支持多個(gè)實(shí)例(即多個(gè)VPN)�����,對(duì)于每個(gè)VPN看來(lái)����,產(chǎn)生獨(dú)享一個(gè)獨(dú)立的NAT設(shè)備的效果����。
目前,支持多VPN的NAT設(shè)備一般是不加限制地對(duì)各VPN的數(shù)據(jù)包進(jìn)行NAT轉(zhuǎn)換�。也就是說(shuō),對(duì)于支持多VPN的NAT設(shè)備�����,通過(guò)對(duì)VPN用戶的IP地址對(duì)可建流數(shù)和建流速率進(jìn)行限制�,一般是建一個(gè)表,該表用用戶的IP地址作為索引����,表項(xiàng)內(nèi)容包括該用戶對(duì)應(yīng)的建流速率和可建流數(shù),如果這個(gè)用戶的可建流數(shù)或建流速率超過(guò)配置值����,則拒絕做NAT轉(zhuǎn)換,但對(duì)于不同的VPN����,用戶的IP地址是可能相同的�,這樣就會(huì)出現(xiàn)不同的用戶的建流速率和可建流數(shù)被累計(jì)在一起��,導(dǎo)致統(tǒng)計(jì)不準(zhǔn)��。
由上述可知����,目前的NAT設(shè)備的處理能力受轉(zhuǎn)發(fā)能力,并發(fā)連接數(shù)����,建鏈的速度限制;雖然對(duì)用戶IP地址進(jìn)行建流速率和可建流數(shù)進(jìn)行限制�,但是對(duì)于不同VPN用戶的IP地址相同時(shí),利用這種方法對(duì)用戶IP地址進(jìn)行控制就行不通了����,故這種方法對(duì)多實(shí)例NAT無(wú)效。即利用用戶IP地址進(jìn)行建流速率和可建流數(shù)的限制����,不能防止修改源IP的建流攻擊,如果用戶采用更改源IP進(jìn)行攻擊�����,會(huì)出現(xiàn)針對(duì)每個(gè)源IP的統(tǒng)計(jì)都不超過(guò)配置的值,但由于源IP數(shù)量很多�����,導(dǎo)致總數(shù)非常龐大����,最后會(huì)耗光全部的NAT流表資源���,導(dǎo)致NAT業(yè)務(wù)不可用�����,不能有效的防止這種情況����。
此外���,VPN內(nèi)部用戶的行為應(yīng)該由VPN自己管理��,多實(shí)例的NAT設(shè)備應(yīng)該控制每個(gè)VPN對(duì)資源的消耗����,一個(gè)VPN可能過(guò)度占用NAT的這些資源,導(dǎo)致其它VPN無(wú)法獲得應(yīng)有的服務(wù)��,這對(duì)于運(yùn)營(yíng)企業(yè)來(lái)說(shuō)是一個(gè)不可控的風(fēng)險(xiǎn)����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問(wèn)題是提供一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法,以解決NAT設(shè)備基于多個(gè)VPN對(duì)帶寬和流表資源的消耗問(wèn)題���,使得NAT資源的消耗是可控和可管理的���。
為解決上述問(wèn)題,本發(fā)明提供一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�,其中,所述虛擬專用網(wǎng)下包括地址轉(zhuǎn)換設(shè)備�,用以實(shí)現(xiàn)若干虛擬專用網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換,所述方法包括步驟A�、在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶配置參數(shù)配置表;B���、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到數(shù)據(jù)包時(shí)�,獲得該數(shù)據(jù)包的虛擬專用網(wǎng)標(biāo)識(shí)����;C���、判斷所述數(shù)據(jù)包是否是新建流,若否�,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,結(jié)束�����;若是�,執(zhí)行步驟D�;D、判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)是否減為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值�,若否,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��;否則�����,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���。
通過(guò)采用令牌桶或單位時(shí)間統(tǒng)計(jì)可建流數(shù)的方式來(lái)判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)是否減為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值�����。
在為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換之前還包括步驟對(duì)所述虛擬專用網(wǎng)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量��,判斷其是否超過(guò)參數(shù)配置表中的轉(zhuǎn)發(fā)帶寬的閾值�,若超過(guò),則不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����;否則�,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。
在所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后���,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)�,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除該流表項(xiàng)�,并對(duì)虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)加一。
步驟A中根據(jù)每個(gè)虛擬專用網(wǎng)的虛擬專用網(wǎng)標(biāo)識(shí)�����、可建流數(shù)或/和建流速率或/和轉(zhuǎn)發(fā)帶寬配置成參數(shù)配置表����。
步驟C中通過(guò)查找流表來(lái)判斷所述數(shù)據(jù)包是否是新建流,其具體的實(shí)現(xiàn)過(guò)程為查找該數(shù)據(jù)包中的虛擬專用網(wǎng)標(biāo)識(shí)、源IP地址����、目的IP地址、源端口號(hào)��、目的端口號(hào)以及協(xié)議類型在該流表中是否存在�,若不存在,則所述數(shù)據(jù)包是新建流����,否則,所述數(shù)據(jù)包不是新建流���。
另外,本發(fā)明還提供一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法����,其中,所述虛擬專用網(wǎng)下包括地址轉(zhuǎn)換設(shè)備��,用以實(shí)現(xiàn)若干虛擬專用網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換���,該方法包括步驟A�、在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶分配預(yù)定資源;B���、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到報(bào)文時(shí)�,判斷該報(bào)文歸屬哪個(gè)虛擬專用網(wǎng)用戶�����;C��、查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)分配資源使用情況�,若使用沒(méi)有達(dá)到預(yù)定分配資源,則為虛擬專用網(wǎng)用戶進(jìn)行地址轉(zhuǎn)換���,否則�����,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�。
步驟A中為每個(gè)虛擬專用網(wǎng)用戶分配預(yù)定的虛擬專用網(wǎng)標(biāo)識(shí)以及可建流數(shù)或/和建流速率或/和轉(zhuǎn)發(fā)帶寬���。
步驟C中通過(guò)查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)可建流數(shù)或/和建流速率的使用情況�����,若該虛擬專用網(wǎng)用戶的可建流數(shù)沒(méi)有減為零或者建流速率沒(méi)有超過(guò)預(yù)定資源中相應(yīng)的閾值���,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,且所述虛擬專用網(wǎng)用戶對(duì)應(yīng)的可建流數(shù)減一�����;否則���,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。
在為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換之前還包括步驟對(duì)所述虛擬專用網(wǎng)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量����,判斷其是否超過(guò)預(yù)定資源中的轉(zhuǎn)發(fā)帶寬的閾值,若超過(guò)�����,則不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��;否則���,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����。
在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后��,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)���,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除該流表項(xiàng),并對(duì)虛擬專用網(wǎng)用戶所對(duì)應(yīng)的可建流數(shù)加一��。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下有益效果本發(fā)明根據(jù)NAT設(shè)備所支持的多個(gè)VPN的參數(shù)�����,建立一個(gè)參數(shù)配置表�����,每個(gè)VPN對(duì)NAT資源的消耗進(jìn)行控制����,也就是說(shuō)控制VPN進(jìn)行NAT的可建流數(shù)�����、建流速率和數(shù)據(jù)轉(zhuǎn)發(fā)速率(或轉(zhuǎn)發(fā)帶寬)���。本發(fā)明所述方法能實(shí)時(shí)監(jiān)控VPN對(duì)資源的使用情況,使得每個(gè)VPN對(duì)NAT資源的占用不能超過(guò)配置的指定值�,能夠?yàn)椴煌琕PN用戶提供不同的服務(wù),另外����,如果在配置的指定時(shí)間內(nèi),如果也沒(méi)有數(shù)據(jù)包發(fā)送��,則到達(dá)指定時(shí)間時(shí)����,NAT設(shè)備進(jìn)行刪鏈操作,釋放流表資源�����,從而能有效的監(jiān)控資源的使用情況�,進(jìn)而為不同VPN用戶提供不同的服務(wù)��,以提高客戶的滿意度,同時(shí)也增強(qiáng)了系統(tǒng)的可靠性��,不會(huì)因?yàn)橐粋€(gè)VPN用戶的惡意使用而導(dǎo)致其它VPN用戶業(yè)務(wù)的不通��。本發(fā)明可以同時(shí)控制可建流數(shù)��、建流速率和數(shù)據(jù)轉(zhuǎn)發(fā)速率等參數(shù)或它們之間的任意組合��。通過(guò)管理VPN對(duì)NAT資源的消耗��,使得NAT資源的消耗是可控和可管理的�,增加多實(shí)例(多個(gè)VPN)NAT的健壯性和安全性。
圖1是本發(fā)明虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法的流程圖����;圖2是本發(fā)明所述控制方法的實(shí)施例的流程圖;圖3是本發(fā)明虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法的另一流程圖�。
具體實(shí)施例方式
本發(fā)明的核心是管理VPN對(duì)NAT資源的消耗,使得NAT資源的消耗是可控和可管理的�,增加多實(shí)例(多個(gè)VPN)NAT的健壯性和安全性。其主要的實(shí)現(xiàn)過(guò)程為根據(jù)NAT設(shè)備所支持的多個(gè)VPN的參數(shù)�,建立一個(gè)參數(shù)配置表,對(duì)每個(gè)VPN對(duì)NAT資源的消耗進(jìn)行控制���,也就是說(shuō)控制VPN進(jìn)行NAT的可建流數(shù)����、建流速率和數(shù)據(jù)轉(zhuǎn)發(fā)速率(或轉(zhuǎn)發(fā)帶寬),本發(fā)明可以同時(shí)控制這3個(gè)參數(shù)或它們之間的任意組合���。當(dāng)NAT設(shè)備接收到數(shù)據(jù)包時(shí)��,通過(guò)測(cè)量所述數(shù)據(jù)包的可建流數(shù)或者建流速率����,然后與預(yù)先配置的參數(shù)配置表中的相應(yīng)參數(shù)進(jìn)行比較�,來(lái)決定是否正常進(jìn)行NAT轉(zhuǎn)發(fā)數(shù)據(jù)包。也就是說(shuō)���,在NAT轉(zhuǎn)發(fā)數(shù)據(jù)包之前���,對(duì)該數(shù)據(jù)包先進(jìn)行需要占用的NAT資源進(jìn)行控制,即實(shí)時(shí)監(jiān)控VPN對(duì)資源的使用情況���,使得每個(gè)VPN對(duì)NAT資源的占用不能超過(guò)配置的指定值����,能夠?yàn)椴煌琕PN用戶提供不同的服務(wù),從而提高了用戶的滿意度��。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的說(shuō)明��。
請(qǐng)參考圖1��,為本發(fā)明虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法的流程圖�����。所述方法具體包括步驟步驟S10在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶配置參數(shù)配置表���;步驟S11網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到數(shù)據(jù)包時(shí),獲得該數(shù)據(jù)包的虛擬專用網(wǎng)標(biāo)識(shí)���;步驟S12判斷所述數(shù)據(jù)包是否是新建流��,若否�����,直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理��,結(jié)束(步驟S13)��;若是�,執(zhí)行步驟S14;步驟S14判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)用戶的可建流數(shù)是否減小為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值���,若是���,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,(步驟S15)����;若否,則為該虛擬局域網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(步驟S16)����。
為了便于對(duì)本發(fā)明的理解和描述,下面先介紹三個(gè)實(shí)現(xiàn)本發(fā)明比較關(guān)鍵的參數(shù)�,分別是VPN的可建流數(shù)、VPN建流速率和VPN轉(zhuǎn)發(fā)帶寬�����。所述參數(shù)配置的集合構(gòu)成參數(shù)配置表���。在本發(fā)明中��,由于帶寬和流表是NAT設(shè)備最重要的資源����,為了防止對(duì)這兩個(gè)資源過(guò)度占用,我們需要對(duì)這兩個(gè)資源的使用情況進(jìn)行控制��,其控制的關(guān)鍵就是通過(guò)控制VPN的可建流數(shù)���、VPN建流速率或/和VPN轉(zhuǎn)發(fā)帶寬來(lái)達(dá)到目的,所述參數(shù)的集合構(gòu)成了參數(shù)配置表����,其中,對(duì)所述三個(gè)參數(shù)的定義分別為所述VPN的可建流數(shù)是針對(duì)每個(gè)VPN的��,對(duì)每個(gè)VPN的數(shù)據(jù)包進(jìn)行可建流數(shù)進(jìn)行限制�����,主要是避免一個(gè)VPN對(duì)NAT流表資源占用太多�����。所述VPN建流速率也是針對(duì)每個(gè)VPN����,對(duì)該VPN的數(shù)據(jù)包進(jìn)行建流速率限制�,主要是避免一個(gè)VPN建流速率太快�。所述VPN轉(zhuǎn)發(fā)帶寬也是針對(duì)每個(gè)VPN,對(duì)該VPN對(duì)應(yīng)的進(jìn)行NAT轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量限制���,避免單個(gè)VPN占用過(guò)多的帶寬資源���。
所述的三個(gè)參數(shù)可以同時(shí)使用,也可只選取其中一個(gè)或兩個(gè)參數(shù)的組合�,則需要在系統(tǒng)中為每個(gè)VPN的這幾個(gè)參數(shù)建一個(gè)配置表。比如��,對(duì)于四個(gè)VPN所對(duì)應(yīng)的參數(shù)配置詳見(jiàn)表1表1
由表1中可知�����,VPN 100的最大建流速率為50個(gè)/秒��,最大可建流數(shù)30個(gè)�����、轉(zhuǎn)發(fā)帶寬為10M(即轉(zhuǎn)發(fā)速率為10240字節(jié)/秒)��;VPN 500的最大可建流數(shù)40個(gè),但其它參數(shù)不限�����;VPN 1000的最大建速度為20個(gè)/秒��,但其它不限��;VPN 2000的最大建流速率為30個(gè)/秒��,最大可建流數(shù)為50個(gè)��,但其它參數(shù)不限����。因此��,本發(fā)明根據(jù)每個(gè)VPN用戶的需要為其配置參數(shù)配置表���,通過(guò)參數(shù)配置表的使用情況來(lái)控制管理VPN對(duì)NAT資源的消耗��,使得NAT資源的消耗是可控的和可管理的�����,從而增加多個(gè)VPN同時(shí)使用的健壯性和安全性�。
另外,本發(fā)明還涉及到下述參數(shù)VPN標(biāo)識(shí)��、數(shù)據(jù)流����、流表老化和流分類等。其中�����,所述VPN標(biāo)識(shí)是用來(lái)唯一表明某一個(gè)VPN的一個(gè)標(biāo)記����,與用戶VPN是一一對(duì)應(yīng)的。所述數(shù)據(jù)流從一臺(tái)設(shè)備的一個(gè)應(yīng)用發(fā)往另外一個(gè)設(shè)備的一個(gè)應(yīng)用的數(shù)據(jù)包的集合�,對(duì)于TCP和UDP協(xié)議,一個(gè)數(shù)據(jù)流是指源��、目的IP地址��、源�、目的端口號(hào)和協(xié)議類型相同的數(shù)據(jù)包的集合。對(duì)于NAT來(lái)說(shuō)一個(gè)數(shù)據(jù)流有時(shí)又常稱為NAT的一個(gè)會(huì)話���,源�、目的IP地址、源���、目的端口號(hào)和協(xié)議類型就能標(biāo)識(shí)一個(gè)流����,通常構(gòu)成一個(gè)流表的關(guān)鍵項(xiàng)�。所述流表老化如果一個(gè)流表項(xiàng)在指定的時(shí)間內(nèi)沒(méi)有訪問(wèn)過(guò),則刪除該表項(xiàng)����,對(duì)應(yīng)網(wǎng)上實(shí)際意義就是該流表對(duì)應(yīng)的連接在指定的時(shí)間內(nèi)都沒(méi)有發(fā)送過(guò)一個(gè)數(shù)據(jù)包,認(rèn)為連接已經(jīng)斷了�。所述流分類通過(guò)定義數(shù)據(jù)流的特征項(xiàng)(例如IP地址���,端口號(hào)等等)��,把滿足特征項(xiàng)的數(shù)據(jù)包分離出來(lái)就是流分類����。
通過(guò)對(duì)上述參數(shù)的了解��,本發(fā)明所述方法的具體實(shí)現(xiàn)過(guò)程為首先根據(jù)每個(gè)VPN用戶的需求為每個(gè)VPN用戶配置建流速率或/和可建流數(shù)或/和轉(zhuǎn)發(fā)帶寬,然后將其組合成參數(shù)配置表(步驟S10)��。
在步驟S11中��,當(dāng)NAT設(shè)備接收到數(shù)據(jù)包時(shí)��,首先從該數(shù)據(jù)包中獲得VPN標(biāo)識(shí)�����。如何從數(shù)據(jù)包中獲得VPN標(biāo)識(shí)����,這與具體的VPN實(shí)現(xiàn)方式有關(guān)了,如果VPN是一個(gè)網(wǎng)絡(luò)屬性�,系統(tǒng)是知道哪些數(shù)據(jù)包是從源VPN用戶發(fā)送到目的VPN用戶的,否則����,NAT設(shè)備不能將數(shù)據(jù)包發(fā)往正確的VPN用戶;還有些VPN可以通過(guò)數(shù)據(jù)包本身VLAN標(biāo)識(shí)得到VPN標(biāo)識(shí)�,或根據(jù)數(shù)據(jù)包進(jìn)入的端口得到VPN標(biāo)識(shí)。這些對(duì)于本領(lǐng)域的技術(shù)人員已是公知技術(shù)���,在這里不在作詳細(xì)的說(shuō)明��?����?傊@得VPN標(biāo)識(shí)與具體的VPN實(shí)現(xiàn)方式有關(guān)��,可以通過(guò)MPLS標(biāo)簽�,或VLAN以及其它方法來(lái)識(shí)別,要實(shí)現(xiàn)多個(gè)VPN的NAT轉(zhuǎn)換���,首先必須要獲得VPN的標(biāo)識(shí)����,以便于根據(jù)VPN的標(biāo)識(shí)的不同來(lái)區(qū)分該VPN的標(biāo)識(shí)所對(duì)應(yīng)的建流速率�、可建流數(shù)或轉(zhuǎn)發(fā)帶寬(轉(zhuǎn)發(fā)速率)。
在步驟S12中�,當(dāng)NAT設(shè)備獲得VPN的標(biāo)識(shí)后,通過(guò)查找流表來(lái)判斷所述數(shù)據(jù)包是否是新建流�����,也就是說(shuō)����,通過(guò)查找該流表中是否包括將用戶的私網(wǎng)IP地址和端口號(hào)轉(zhuǎn)換成公網(wǎng)的IP地址和端口號(hào),并與數(shù)據(jù)包的協(xié)議類型�����、目的IP地址和端口號(hào)配置成一個(gè)條流表項(xiàng)�����。但是��,所述流表的內(nèi)容與具體NAT的實(shí)現(xiàn)方式有關(guān)���,有些NAT實(shí)現(xiàn)不一定有數(shù)據(jù)包的目的IP地址和端口號(hào)��。其中����,在NAT進(jìn)行新建流時(shí)����,所述NAT新建流就是進(jìn)行地址轉(zhuǎn)換,用于將用戶的私網(wǎng)IP地址和端口號(hào)轉(zhuǎn)換成公網(wǎng)的IP地址和端口號(hào)��,所述轉(zhuǎn)換成公網(wǎng)的IP地址和端口號(hào)與所述數(shù)據(jù)包的目的IP地址和端口號(hào)以及IP協(xié)議類型配置成一個(gè)條流表項(xiàng)。如果數(shù)據(jù)包能命中(即流表中已經(jīng)存在所述數(shù)據(jù)包的IP地址和端口號(hào))流表就能得到這種私網(wǎng)IP地址�、端口號(hào)和公網(wǎng)IP、端口號(hào)的轉(zhuǎn)換關(guān)系�����。
然后判斷可建流數(shù)是否為零�,如果可建流數(shù)為零,則限制用戶上網(wǎng)�,即丟棄數(shù)據(jù)包不進(jìn)行NAT轉(zhuǎn)換(步驟S15),否則�����,對(duì)將該VPN標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)減一�,正常進(jìn)行NAT轉(zhuǎn)換,即通過(guò)NAT設(shè)備進(jìn)行地址之間的轉(zhuǎn)換�,實(shí)現(xiàn)雙方的通信(步驟S16)?��;蛘呤?��,通過(guò)測(cè)量所述數(shù)據(jù)包的VPN標(biāo)識(shí)所對(duì)應(yīng)的建流速率,并判斷所述數(shù)據(jù)包的建流速率是否超過(guò)配置的建流速率閾值���;所述建流速率的配置是在命令上進(jìn)行配置的�����,由用戶手工輸入的來(lái)檢驗(yàn)的����。通過(guò)采用令牌桶或單位時(shí)間可建流數(shù)的方式對(duì)建流速率進(jìn)行測(cè)量�。所述令牌桶技術(shù)是一種比較常用的測(cè)量速率的技術(shù),其實(shí)現(xiàn)原理就是以一定配置的速率往令牌桶放令牌�����,每建流一次就取一個(gè)令牌�����,如果建流的速度比配置的速率快�,將會(huì)沒(méi)有令牌可取,這時(shí)表明該數(shù)據(jù)包的建流速率超過(guò)配置值的最大建流速率了�,也就是說(shuō)不能再建流了。如果超過(guò)配置的最大建流速率閾值���,則限制用戶上網(wǎng)����,丟棄數(shù)據(jù)包不進(jìn)行NAT轉(zhuǎn)換(步驟S15),否則����,正常進(jìn)行NAT轉(zhuǎn)發(fā)(步驟S16)。所述采用單位時(shí)間可建流數(shù)的方式來(lái)測(cè)量建流速率����,如果單位時(shí)間內(nèi)可建流數(shù)超過(guò)配置閾值,拒絕NAT轉(zhuǎn)換��,丟棄數(shù)據(jù)包��。所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理后����,如果數(shù)據(jù)包對(duì)應(yīng)的連接結(jié)束時(shí),或數(shù)據(jù)包長(zhǎng)時(shí)間沒(méi)有被發(fā)送�,達(dá)到數(shù)據(jù)流表項(xiàng)的的老化時(shí)間,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除流表�����,并對(duì)虛擬專用網(wǎng)的可建流數(shù)減一�����。
在所述虛擬專用網(wǎng)標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)減一,正常進(jìn)行NAT轉(zhuǎn)發(fā)之前�,還包括步驟對(duì)需要進(jìn)行NAT轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量�����,并判斷所述流量是否超過(guò)該VPN標(biāo)識(shí)對(duì)應(yīng)的流量閾值(即配置的帶寬)����,如果超過(guò),也丟棄該數(shù)據(jù)包���,否則�����,正常做NAT轉(zhuǎn)發(fā)數(shù)據(jù)包�����。
當(dāng)數(shù)據(jù)包對(duì)應(yīng)的連接結(jié)束時(shí)���,或數(shù)據(jù)包長(zhǎng)時(shí)間沒(méi)有被發(fā)送���,達(dá)到數(shù)據(jù)流表項(xiàng)的的老化時(shí)間,NAT設(shè)備進(jìn)行刪流����,并對(duì)VPN標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)進(jìn)行力口一。
另外��,再請(qǐng)參開(kāi)本發(fā)明所述方法的另一實(shí)施例��,其流程圖詳見(jiàn)圖2��。所述方法包括步驟步驟M10在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶配置參數(shù)配置表�����;步驟M11網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到數(shù)據(jù)包時(shí)�,獲得該數(shù)據(jù)包的虛擬專用網(wǎng)標(biāo)識(shí);步驟M12判斷數(shù)據(jù)包是否是新建流�,若否,直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理�����,結(jié)束(步驟M13)�;若是��,執(zhí)行步驟M14��;
步驟M14判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)是否到達(dá)參數(shù)配置表中的閾值或/和建流速率是否超過(guò)參數(shù)配置表中的閾值���,若是,則丟棄該數(shù)據(jù)包��,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(步驟M15)�;否則�����,為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���,且所述虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)加一(步驟M16)��。
本發(fā)明所提供的又一實(shí)施例的這種方法與上述實(shí)施方法的相同之處��,詳見(jiàn)上述方法的相應(yīng)部分�����,在這里不再贅述�;其不同之處在于對(duì)可建流數(shù)的判斷,上一種方法是采用減的方法����,也就是說(shuō),在每次建流時(shí)�����,進(jìn)行可建流數(shù)累計(jì)減����,判斷可建流數(shù)是否為零,若不為零��,就是說(shuō)明所述可建流數(shù)還沒(méi)有到最小�����,還有空閑的流表資源可以用��,即所述虛擬專用網(wǎng)標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)減一���,并進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理�����,直到可建流數(shù)為零時(shí)�����,即達(dá)到了預(yù)先配置值��,NAT設(shè)備則拒絕數(shù)據(jù)包轉(zhuǎn)換��。而本發(fā)明又提供的這種方法是以采用加的方法���,也就是每次建流時(shí),進(jìn)行可建流數(shù)累計(jì)����,然后判斷該可建流數(shù)是否到達(dá)配置的數(shù)值,如果達(dá)到了�,就拒絕NAT轉(zhuǎn)換,并刪除流表的同時(shí)減少可建流數(shù)����;否則,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理�����。為了能更好的理解本發(fā)明,下面舉一簡(jiǎn)單的例子來(lái)比喻本發(fā)明�,即對(duì)于某個(gè)東西是否超過(guò)設(shè)置值有通常有兩種方法來(lái)判斷,例如假設(shè)我們一個(gè)電梯里只能坐10人�����,如何對(duì)其進(jìn)行控制呢一種方法�����,就是先配置好電梯最多只能乘坐10個(gè)人�,如果進(jìn)來(lái)一個(gè)人就減1,直到減為0�,就說(shuō)明電梯里已經(jīng)進(jìn)來(lái)了10個(gè)人,已滿���,不能再進(jìn)任何人了���,這就是我們上述采用減的辦法。當(dāng)然也可以采用加的方法��,即從0開(kāi)始統(tǒng)計(jì)����,進(jìn)來(lái)一個(gè)人就加1���,并不斷的與配置值相比教,直到電梯里乘坐10個(gè)人時(shí)�����,正好等于預(yù)設(shè)的配置字��,這說(shuō)明電梯已經(jīng)滿了�,不能再進(jìn)人了,這種情況就是本發(fā)明又提供的一種方法的實(shí)現(xiàn)原理�。
此外,本發(fā)明所述又一實(shí)施例的方法中也可以同時(shí)通過(guò)測(cè)量建流的速度來(lái)進(jìn)一步控制對(duì)流表資源的占用�����。在建流時(shí)同樣可以采用令牌桶或單位時(shí)間可建流數(shù)的方式對(duì)建流的速度進(jìn)行測(cè)量��,其測(cè)量的過(guò)程詳見(jiàn)上述��,在這里不在贅述�。在所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或超時(shí)后�����,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除流表,并對(duì)虛擬專用網(wǎng)的可建流數(shù)減一���。
另外��,本發(fā)明還提供一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法����,其流程圖詳見(jiàn)圖3��。其中��,所述虛擬專用網(wǎng)下包括地址轉(zhuǎn)換設(shè)備�,用以實(shí)現(xiàn)若干虛擬專用網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換,該方法包括步驟步驟N10在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶分配預(yù)定資源����;步驟N11網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到報(bào)文時(shí),判斷該報(bào)文歸屬哪個(gè)虛擬專用網(wǎng)用戶�;步驟N12判斷該用戶當(dāng)前對(duì)分配資源使用情況是否達(dá)到閾值,若使用沒(méi)有達(dá)到預(yù)定分配資源����,則為該虛擬專用網(wǎng)用戶進(jìn)行地址轉(zhuǎn)換(步驟N13)��;否則���,不進(jìn)行地址轉(zhuǎn)換(步驟N14)。
本發(fā)明與上述的方法的實(shí)現(xiàn)過(guò)程基本相同�����,該方法核心是首先把虛擬專用網(wǎng)標(biāo)識(shí)以及可建流數(shù)或/和建流速率或/和轉(zhuǎn)發(fā)帶寬定義為虛擬專用網(wǎng)用戶的預(yù)分配資源��。然后當(dāng)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備接收到報(bào)文時(shí)����,先判定所述報(bào)文歸屬于哪個(gè)虛擬專用網(wǎng)用戶,并通過(guò)查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)可建流數(shù)或/和建流速率的使用情況����,若該虛擬專用網(wǎng)用戶的可建流數(shù)沒(méi)有減為零或者建流速率沒(méi)有超過(guò)預(yù)定資源中相應(yīng)的閾值,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,且所述虛擬專用網(wǎng)用戶對(duì)應(yīng)的可建流數(shù)減一��;否則�,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換;或者是通過(guò)查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)可建流數(shù)或/和建流速率的使用情況�,若該虛擬專用網(wǎng)用戶的可建流數(shù)沒(méi)有達(dá)到或/和建流速率沒(méi)有超過(guò)預(yù)定資源中相應(yīng)的閾值,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,且所述虛擬專用網(wǎng)用戶對(duì)應(yīng)的可建流數(shù)加一����;否則,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����。其中�����,在為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換之前還可以包括對(duì)所述虛擬專用網(wǎng)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量��,判斷其是否超過(guò)預(yù)定資源中的轉(zhuǎn)發(fā)帶寬的閾值��,若超過(guò)��,則不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��;否則,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����。最后����,在所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)�����,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除該流表項(xiàng)����,并對(duì)虛擬專用網(wǎng)用戶所對(duì)應(yīng)的可建流數(shù)加一;或者���,所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后�,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)�,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除流表項(xiàng),并對(duì)虛擬專用網(wǎng)用戶所對(duì)應(yīng)的可建流數(shù)減一�����。
所述方法的具體實(shí)現(xiàn)過(guò)程現(xiàn)將上述����,在這里不再贅述。
請(qǐng)參考下述一個(gè)應(yīng)用實(shí)例���,以一次VPN的傳輸控制協(xié)議TCP連接的NAT轉(zhuǎn)換過(guò)程來(lái)描述本發(fā)明的實(shí)現(xiàn)過(guò)程�����。
首先��,NAT設(shè)備從數(shù)據(jù)包中獲得VPN標(biāo)識(shí)��;其次�,判斷該數(shù)據(jù)包是否是TCP的新建流�,若是,測(cè)量所述數(shù)據(jù)包的可建流數(shù)或/和建流速率�,如果VPN標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)為0,則丟棄該數(shù)據(jù)包�����,不做NAT轉(zhuǎn)換��,如果預(yù)先配置了VPN的建流速率限制,則采用令牌桶方式進(jìn)行建流速率的測(cè)�,如果所測(cè)量的建流速率超過(guò)預(yù)設(shè)的配置值,也丟棄該數(shù)據(jù)包���,不做NAT轉(zhuǎn)換�;如果可建流數(shù)為大于0或者小于預(yù)設(shè)的配置值時(shí)���,NAT設(shè)備會(huì)為這個(gè)數(shù)據(jù)包分配公網(wǎng)的IP地址和端口號(hào)���,同時(shí)建立私網(wǎng)地址和端口號(hào)與公網(wǎng)地址和端口建立對(duì)應(yīng)的流表。這樣后續(xù)的數(shù)據(jù)包和返回的數(shù)據(jù)包都能夠通過(guò)這個(gè)流表得到正確的IP地址和端口號(hào)�����,同時(shí)對(duì)該VPN對(duì)應(yīng)的可建流數(shù)減1�;再次,對(duì)于TCP的通信過(guò)程��,如果命中流表或者所述數(shù)據(jù)包的相關(guān)項(xiàng)與流表相符�,則采用令牌桶技術(shù)對(duì)所述數(shù)據(jù)包的流量進(jìn)行測(cè)量,再判斷所側(cè)流量是否超過(guò)該VPN標(biāo)識(shí)所對(duì)應(yīng)的流量值���,如果超過(guò)��,也丟棄該數(shù)據(jù)包�,否則正常做NAT轉(zhuǎn)發(fā);最后����,TCP通信結(jié)束����,當(dāng)TCP拆鏈包到來(lái)時(shí),NAT設(shè)備刪除流表�����,同時(shí)對(duì)VPN標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)進(jìn)行加1操作�����。如果TCP長(zhǎng)時(shí)間不發(fā)送數(shù)據(jù)包���,到達(dá)數(shù)據(jù)流表項(xiàng)的老化時(shí)間��,所述老化時(shí)間是用戶配置的���,主要是指流表對(duì)應(yīng)的連接多長(zhǎng)時(shí)間沒(méi)有數(shù)據(jù)包發(fā)送時(shí)���,就認(rèn)為該連接已經(jīng)中斷,也刪除流表��,釋放資源�,從而避免了長(zhǎng)時(shí)間占用流表資源,NAT設(shè)備也會(huì)進(jìn)行刪流操作��,這是也要對(duì)VPN標(biāo)識(shí)對(duì)應(yīng)的可建流數(shù)進(jìn)行加一操作�����。
由此可見(jiàn)����,本發(fā)明所述方法能實(shí)時(shí)監(jiān)控VPN對(duì)NAT資源的使用情況,使得每個(gè)VPN對(duì)NAT資源的占用不能超過(guò)配置的指定值��,如果超過(guò)配置的指定值���,則進(jìn)行相應(yīng)的丟棄數(shù)據(jù)包處理��,另外�,如果在配置的指定時(shí)間內(nèi),如果也沒(méi)有數(shù)據(jù)包發(fā)送�����,則到達(dá)指定時(shí)間時(shí)�����,NAT設(shè)備進(jìn)行刪鏈操作����,釋放流表資源���,從而能有效的監(jiān)控資源的使用情況�。進(jìn)而為不同VPN用戶提供不同的服務(wù)����,以提高客戶的滿意度。同時(shí)也增強(qiáng)了系統(tǒng)可靠性�,不會(huì)因一個(gè)VPN內(nèi)用戶的惡意使用,導(dǎo)致其它VPN用戶業(yè)務(wù)不可用���。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式���,應(yīng)當(dāng)指出�����,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)���,在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法,其中�,所述虛擬專用網(wǎng)下包括地址轉(zhuǎn)換設(shè)備,用以實(shí)現(xiàn)若干虛擬專用網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換��,其特征在于�,所述方法包括步驟A、在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶配置參數(shù)配置表����;B����、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到數(shù)據(jù)包時(shí)���,獲得該數(shù)據(jù)包的虛擬專用網(wǎng)標(biāo)識(shí)�����;C����、判斷所述數(shù)據(jù)包是否是新建流�,若否�����,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,結(jié)束�����;若是,執(zhí)行步驟D���;D�����、判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)是否減為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值�����,若否�,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����;否則���,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���。
2.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法,其特征在于���,通過(guò)采用令牌桶或單位時(shí)間統(tǒng)計(jì)可建流數(shù)的方式來(lái)判斷該虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)是否減為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值���。
3.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�,其特征在于���,在為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換之前還包括步驟對(duì)所述虛擬專用網(wǎng)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量��,判斷其是否超過(guò)參數(shù)配置表中的轉(zhuǎn)發(fā)帶寬的閾值����,若超過(guò)����,則不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換;否則��,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���。
4.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法,其特征在于�����,在所述進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后���,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)�,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除該流表項(xiàng),并對(duì)虛擬專用網(wǎng)標(biāo)識(shí)所對(duì)應(yīng)的可建流數(shù)加一�����。
5.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�����,其特征在于�,步驟A中根據(jù)每個(gè)虛擬專用網(wǎng)的虛擬專用網(wǎng)標(biāo)識(shí)、可建流數(shù)或/和建流速率或/和轉(zhuǎn)發(fā)帶寬配置成參數(shù)配置表����。
6.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法,其特征在于��,步驟C中通過(guò)查找流表來(lái)判斷所述數(shù)據(jù)包是否是新建流��,其具體的實(shí)現(xiàn)過(guò)程為查找該數(shù)據(jù)包中的虛擬專用網(wǎng)標(biāo)識(shí)���、源IP地址����、目的IP地址、源端口號(hào)��、目的端口號(hào)以及協(xié)議類型在該流表中是否存在���,若不存在����,則所述數(shù)據(jù)包是新建流��,否則��,所述數(shù)據(jù)包不是新建流��。
7.一種虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�,其中,所述虛擬專用網(wǎng)下包括地址轉(zhuǎn)換設(shè)備����,用以實(shí)現(xiàn)若干虛擬專用網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換,其特征在于�����,該方法包括步驟A�����、在虛擬專用網(wǎng)的地址轉(zhuǎn)換設(shè)備上為每個(gè)虛擬專用網(wǎng)用戶分配預(yù)定資源����;B、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備收到報(bào)文時(shí)����,判斷該報(bào)文歸屬哪個(gè)虛擬專用網(wǎng)用戶;C����、查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)分配資源使用情況,若使用沒(méi)有達(dá)到預(yù)定分配資源����,則為虛擬專用網(wǎng)用戶進(jìn)行地址轉(zhuǎn)換,否則���,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�。
8.根據(jù)權(quán)利要求7所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法����,其特征在于����,步驟A中為每個(gè)虛擬專用網(wǎng)用戶分配預(yù)定的虛擬專用網(wǎng)標(biāo)識(shí)以及可建流數(shù)或/和建流速率或/和轉(zhuǎn)發(fā)帶寬��。
9.根據(jù)權(quán)利要求8所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法����,其特征在于,步驟C中通過(guò)查找該虛擬專用網(wǎng)用戶當(dāng)前對(duì)可建流數(shù)或/和建流速率的使用情況����,若該虛擬專用網(wǎng)用戶的可建流數(shù)沒(méi)有減為零或者建流速率沒(méi)有超過(guò)預(yù)定資源中相應(yīng)的閾值,則為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,且所述虛擬專用網(wǎng)用戶對(duì)應(yīng)的可建流數(shù)減一�;否則,不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����。
10.根據(jù)權(quán)利要求8或9所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�����,其特征在于�����,在為該虛擬專用網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換之前還包括步驟對(duì)所述虛擬專用網(wǎng)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量測(cè)量�,判斷其是否超過(guò)預(yù)定資源中的轉(zhuǎn)發(fā)帶寬的閾值,若超過(guò)����,則不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換;否則����,進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。
11.根據(jù)權(quán)利要求7所述虛擬專用網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備資源使用的控制方法�����,其特征在于���,在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后�����,該數(shù)據(jù)流對(duì)應(yīng)的連接結(jié)束或達(dá)到流表項(xiàng)的老化時(shí)間時(shí)��,網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備刪除該流表項(xiàng)����,并對(duì)虛擬專用網(wǎng)用戶所對(duì)應(yīng)的可建流數(shù)加一。
全文摘要
本發(fā)明涉及一種VPN的NAT設(shè)備資源使用的控制方法��,該方法包括步驟A.在VPN的NAT設(shè)備上為每個(gè)VPN用戶配置參數(shù)配置表���;B.NAT設(shè)備收到數(shù)據(jù)包時(shí)����,獲得該數(shù)據(jù)包的VPN標(biāo)識(shí)��;C.判斷所述數(shù)據(jù)包是否是新建流�,若否,直接進(jìn)行NAT處理���,結(jié)束�;若是���,執(zhí)行步驟D����;D.判斷該VPN標(biāo)識(shí)的可建流數(shù)是否減小為零或/和建流速率是否達(dá)到參數(shù)配置表相應(yīng)的閾值,若否���,則為該VPN用戶進(jìn)行NAT����;否則����,不進(jìn)行NAT�����。本發(fā)明通過(guò)對(duì)可建流數(shù)����、建流速率和數(shù)據(jù)轉(zhuǎn)發(fā)速率或它們之間的任意組合的控制,來(lái)管理VPN對(duì)NAT資源的消耗���,使得NAT資源的消耗是可控和可管理的����,增加多實(shí)例(多個(gè)VPN)NAT的健壯性和安全性。
文檔編號(hào)H04L12/56GK1725735SQ20051007759
公開(kāi)日2006年1月25日 申請(qǐng)日期2005年6月17日 優(yōu)先權(quán)日2005年6月17日
發(fā)明者盧勝文 申請(qǐng)人:杭州華為三康技術(shù)有限公司