專利名稱:對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息網(wǎng)絡(luò)系統(tǒng)領(lǐng)域����,具體是一種對(duì)網(wǎng) 絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)��。
背景技術(shù):
在網(wǎng)絡(luò)通信的過程中���,每個(gè)通信設(shè)備都需要IP(Intemet Protocol,互聯(lián)網(wǎng)協(xié)議)地址����。根據(jù)IP地址分配方案,IP地址可以分 為公網(wǎng)IP地址和私網(wǎng)IP地址����。通信設(shè)備訪問互聯(lián)網(wǎng)一般都需要具備 一個(gè)有效的公網(wǎng)IP地址,但是由于公網(wǎng)IP地址數(shù)量不是足夠充分��, 無法保證每個(gè)通信設(shè)備都能擁有公網(wǎng)IP地址��。為了使私網(wǎng)中的設(shè)備與 公網(wǎng)中的設(shè)備之間能夠正常的進(jìn)行通信���,需要采用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT, Network Address Translation)設(shè)備對(duì)私網(wǎng)中的IP地址與公網(wǎng) 的IP地址進(jìn)行相互轉(zhuǎn)換�����,解決公網(wǎng)IP地址資源緊缺的問題�。
為了對(duì)IP數(shù)據(jù)包進(jìn)行監(jiān)控,通?���?梢栽诠W(wǎng)或私網(wǎng)內(nèi)部署IP數(shù) 據(jù)包分析設(shè)備。當(dāng)IP數(shù)據(jù)包分析設(shè)備部署在私網(wǎng)內(nèi)時(shí)��,可以對(duì)私網(wǎng)內(nèi) 通信設(shè)備發(fā)送或接收的IP數(shù)據(jù)包進(jìn)行監(jiān)控�����,但是這種分散監(jiān)控的方案 需要在每個(gè)私網(wǎng)內(nèi)部都部署IP數(shù)據(jù)包監(jiān)控設(shè)備��,從而導(dǎo)致IP數(shù)據(jù)包 監(jiān)控系統(tǒng)的設(shè)備利用率低���,建設(shè)成本比較貴��。
當(dāng)IP數(shù)據(jù)包分析設(shè)備部署在公網(wǎng)上時(shí)����,只能對(duì)NAT轉(zhuǎn)換后的IP 數(shù)據(jù)包進(jìn)行監(jiān)控����。由于私網(wǎng)內(nèi)設(shè)備發(fā)送的IP數(shù)據(jù)包經(jīng)過NAT轉(zhuǎn)換后, IP數(shù)據(jù)包的源地址����、源端口號(hào)會(huì)部分或全部替換成公網(wǎng)IP地址或其 它端口號(hào)�����,傳統(tǒng)的NAT設(shè)備通常只把私網(wǎng)IP地址和公網(wǎng)IP地址的這 種轉(zhuǎn)換對(duì)應(yīng)關(guān)系保存在臨時(shí)記錄表中�����,并不把IP地址的轉(zhuǎn)換對(duì)應(yīng)關(guān)系 向外部設(shè)備或平臺(tái)傳送�����。這種處理方式會(huì)導(dǎo)致處于外部網(wǎng)絡(luò)中的設(shè)備 或平臺(tái)無法確定經(jīng)過NAT轉(zhuǎn)換的IP數(shù)據(jù)包與私網(wǎng)內(nèi)發(fā)送該數(shù)據(jù)包的 設(shè)備之間的對(duì)應(yīng)關(guān)系,也就無法在公網(wǎng)上通過IP數(shù)據(jù)包分析設(shè)備對(duì)來 自私網(wǎng)的IP數(shù)據(jù)包進(jìn)行跟蹤���、監(jiān)控和管理���。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)無法在公網(wǎng)上對(duì)來自私網(wǎng)的IP數(shù)據(jù)包進(jìn)行跟蹤、監(jiān)控和管理問題����,提供一種成本低,使用方便的對(duì)網(wǎng)絡(luò)通信 數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)���,可以將IP數(shù)據(jù)包分析設(shè)備部署在公網(wǎng)上�����,實(shí) 現(xiàn)對(duì)私網(wǎng)內(nèi)通信設(shè)備發(fā)送或接收的IP數(shù)據(jù)包的集中監(jiān)控�,使得一臺(tái)IP 數(shù)據(jù)包監(jiān)控設(shè)備能夠同時(shí)監(jiān)控多個(gè)私網(wǎng)產(chǎn)生的IP數(shù)據(jù)包,從而最大程 度的發(fā)揮IP數(shù)據(jù)包監(jiān)控設(shè)備的處理能力����,并極大的降低了 IP數(shù)據(jù)包 監(jiān)控系統(tǒng)的建設(shè)成本。
本發(fā)明的目的是通過下述技術(shù)方案來實(shí)現(xiàn)的
本發(fā)明的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)由IP數(shù)據(jù)包分析單 元和網(wǎng)絡(luò)地址轉(zhuǎn)換單元組成�,其特征在于系統(tǒng)中還有網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元,其連接關(guān)系為網(wǎng)絡(luò) 地址轉(zhuǎn)換單元分別與IP私網(wǎng)�����、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�、IP數(shù)據(jù) 包分析單元相連,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān) 聯(lián)處理單元相連����,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單 元相連,IP數(shù)據(jù)包分析單元與IP公共網(wǎng)絡(luò)相連��。
上述方案中,所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元可與網(wǎng)絡(luò)地址轉(zhuǎn)換 單元合并形成網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�����。
上述方案中��,所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元可與IP數(shù)據(jù)包 分析單元合并形成網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理及IP數(shù)據(jù)包分析單元�����。
上述方案中�����,所述網(wǎng)絡(luò)地址轉(zhuǎn)換單元��、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單 元���、IP數(shù)據(jù)包分析單元、網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�����、網(wǎng)絡(luò)地址 轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元���、網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理及IP 數(shù)據(jù)包分析單元之間的連接方式可以是直達(dá)的或多級(jí)互聯(lián)形成的IP 數(shù)據(jù)網(wǎng)���,可以通過相同的或者不同的IP數(shù)據(jù)網(wǎng)進(jìn)行連接����,組網(wǎng)的物理 鏈路可以是無線���、光纖�����、5類雙絞線等����。
上述方案中���,所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元由 網(wǎng)絡(luò)接口模塊���、IP數(shù)據(jù)包拆分與組合模塊、網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模 塊����、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊和設(shè)備管理模塊組成,其中,網(wǎng)絡(luò)接 口模塊分別與IP私網(wǎng)���、IP公共網(wǎng)絡(luò)����、IP數(shù)據(jù)包拆分與組合模塊�����、網(wǎng) 絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊和設(shè)備管理模塊相連���,IP數(shù)據(jù)包拆分與組合 模塊還與網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊相連�,網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模 塊還與網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊相連�����。網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊 通過網(wǎng)絡(luò)接口模塊與網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元進(jìn)行信息的交
5互��。
上述方案中�,所述網(wǎng)絡(luò)接口模塊配備兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)接口��, 網(wǎng)絡(luò)接口分別用于連接IP私網(wǎng)和IP公共網(wǎng)絡(luò)��;網(wǎng)絡(luò)接口模塊負(fù)責(zé)處 理IP通信過程中物理層和數(shù)據(jù)鏈路層的信號(hào);根據(jù)不同的情況�,網(wǎng)絡(luò) 接口模塊可以采用不同的物理傳輸介質(zhì),例如無線����、光纖、5類雙絞 線等��;網(wǎng)絡(luò)接口模塊可以選擇相同的物理傳輸介質(zhì)�,也可以選擇不同 的物理傳輸介質(zhì),網(wǎng)絡(luò)接口模塊負(fù)責(zé)與外部網(wǎng)絡(luò)之間進(jìn)行IP數(shù)據(jù)包的 接收和傳送�����,并把處理后獲得的IP數(shù)據(jù)包傳送到IP數(shù)據(jù)包拆分與組 合模塊��。
上述方案中���,所述IP數(shù)據(jù)包拆分與組合模塊負(fù)責(zé)提取網(wǎng)絡(luò)接口模 塊傳送來的IP數(shù)據(jù)包的(IP源地址�、IP源端口����、 IP目的地址、IP目的 端口)或者(IP源地址�����、IP目的地址、ICMP (互聯(lián)網(wǎng)控制消息協(xié)議) 類型���、ICMPID (互聯(lián)網(wǎng)控制消息協(xié)議標(biāo)識(shí)))等信息���,并將這些信息 傳送給網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊;另外IP數(shù)據(jù)包拆分與組合模塊在 網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊的控制下對(duì)IP數(shù)據(jù)包中的IP源地址�、IP 源端口、 IP目的地址����、IP目的端口進(jìn)行替換形成新的IP數(shù)據(jù)包,并 根據(jù)IP數(shù)據(jù)包的傳送方向?qū)P數(shù)據(jù)包從IP私網(wǎng)的網(wǎng)絡(luò)接口單元向IP 公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口單元傳送�,或者進(jìn)行反方向的傳送。
上述方案中���,所述網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)處理來自IP私 網(wǎng)或IP公共網(wǎng)絡(luò)中的IP數(shù)據(jù)包的IP源地址��、IP源端口 �����、IP目的地址�、 IP目的端口之間的映射關(guān)系����,并控制IP數(shù)據(jù)包拆分與組合模塊對(duì)IP 數(shù)據(jù)包中的IP源地址、IP源端口�����、 IP目的地址�、IP目的端口進(jìn)行替 換;同時(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)生成和管理IP數(shù)據(jù)包在網(wǎng)絡(luò) 地址轉(zhuǎn)換單元中的網(wǎng)絡(luò)地址轉(zhuǎn)換記錄���,來自于網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián) 處理單元的査詢命令也由網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)執(zhí)行���,并將 查詢結(jié)果發(fā)送到阿絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元;網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則 處理模塊的轉(zhuǎn)換規(guī)則可以由其它系統(tǒng)或裝置通過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò) 接口單元進(jìn)行配置和修改����。網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊可以根據(jù)預(yù)先 設(shè)置的規(guī)則對(duì)IP數(shù)據(jù)包進(jìn)行發(fā)送、阻止����、重定向等控制處理。
上述方案中����,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊將網(wǎng)絡(luò)地址轉(zhuǎn)換記錄通 過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�。
上述方案中���,設(shè)備管理模塊用于對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換單元的工作參數(shù)進(jìn)行配置�、管理和監(jiān)控�����,例如設(shè)置各個(gè)網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址����,監(jiān)控網(wǎng) 絡(luò)地址轉(zhuǎn)換單元的內(nèi)存使用情況等,當(dāng)網(wǎng)絡(luò)地址轉(zhuǎn)換單元在運(yùn)行過程 中出現(xiàn)異常情況時(shí)���,設(shè)備管理模塊會(huì)主動(dòng)通過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口 把異常信息向外部系統(tǒng)或裝置發(fā)送����;另外設(shè)備管理模塊負(fù)責(zé)處理來自 其它系統(tǒng)或裝置的查詢及/或配置命令����,并將執(zhí)行結(jié)果返回到其它系統(tǒng) 或裝置。設(shè)備管理模塊可以接收來自其它系統(tǒng)或裝置的升級(jí)命令和可 執(zhí)行的程序代碼�����,并用新的可執(zhí)行程序代碼更新網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元內(nèi)的可執(zhí)行程序。
上述方案中��,網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元可以通 過計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)�,也可以采用多個(gè)邏輯處理單元來實(shí)現(xiàn)���;邏輯處 理單元可以是一個(gè)或多個(gè)中央處理單元(CPU, Central Process Unit)��、 數(shù)字信號(hào)處理器(DSP����, Digital Signal Processor)或?qū)S眉呻娐?(ASIC �, Application-Specific Integrated Circuit) ,網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元的各個(gè)功能模塊可以通過硬件及/或軟件實(shí)現(xiàn)�����。
上述方案中��,網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元對(duì)網(wǎng)絡(luò) 地址轉(zhuǎn)換過程中私網(wǎng)IP地址和公網(wǎng)IP地址之間的映射關(guān)系進(jìn)行實(shí)時(shí) 監(jiān)控和記錄�����,并將映射關(guān)系發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元, 同時(shí)IP數(shù)據(jù)包分析單元對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換后的IP數(shù)據(jù)包進(jìn)行分析處理���, 并把分析結(jié)果發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元����,網(wǎng)絡(luò)地址轉(zhuǎn)換 信息關(guān)聯(lián)處理單元把網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和 IP數(shù)據(jù)包分析單元發(fā)送的信息進(jìn)行關(guān)聯(lián)��,重新建立起IP私網(wǎng)內(nèi)IP通 信設(shè)備與IP數(shù)據(jù)包分析結(jié)果之間的對(duì)應(yīng)關(guān)系����,供其它系統(tǒng)使用。
上述方案中��,在IP私網(wǎng)與IP接入網(wǎng)絡(luò)的連接處放置網(wǎng)絡(luò)地址轉(zhuǎn) 換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元���,在IP接入網(wǎng)絡(luò)與IP公眾網(wǎng)絡(luò)之間 放置IP數(shù)據(jù)包分析單元��;然后對(duì)IP接入網(wǎng)絡(luò)中路由設(shè)備的路由信息 進(jìn)行修改�����,將來自于網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的IP 數(shù)據(jù)包路由到IP數(shù)據(jù)包分析單元���,同時(shí)如果來自于IP公共網(wǎng)絡(luò)的IP 數(shù)據(jù)包的目的地址是網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�����,那 么IP數(shù)據(jù)包首先被路由到IP數(shù)據(jù)包分析單元��,然后再由IP數(shù)據(jù)包分 析單元通過IP接入網(wǎng)傳送到網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送 單元�;IP數(shù)據(jù)包分析單元��、網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單 元與網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元之間可以通過IP網(wǎng)絡(luò)或其它通信方式進(jìn)行信息傳送��。
本發(fā)明對(duì)私網(wǎng)內(nèi)的IP通信設(shè)備向IP公共網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包實(shí)現(xiàn) 跟蹤���、監(jiān)控和管理的過程如下所述。
1 ) IP私網(wǎng)內(nèi)的IP通信設(shè)備(具備私網(wǎng)網(wǎng)絡(luò)地址A)發(fā)送IP數(shù)據(jù) 包�,并通過IP私網(wǎng)內(nèi)部傳送到達(dá)網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā) 送單元(具備公共網(wǎng)絡(luò)地址B,網(wǎng)絡(luò)地址轉(zhuǎn)換單元可以配置多個(gè)公共 網(wǎng)絡(luò)地址)���。IP數(shù)據(jù)包中包括(IP源地址���、IP源端口、 IP目的地址����、IP
目的端口)或者"P源地址��、IP目的地址��、ICMP類型��、ICMPID)等信息�����。
2) 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元對(duì)到達(dá)的IP數(shù)據(jù) 包進(jìn)行檢查�,根據(jù)IP數(shù)據(jù)包的不同類型���,并結(jié)合預(yù)先設(shè)置好的映射規(guī) 則��,用公共網(wǎng)絡(luò)地址B替換IP數(shù)據(jù)包中的IP源地址(私網(wǎng)網(wǎng)絡(luò)地址 A)�����,用其它端口號(hào)替換IP數(shù)據(jù)包中的IP源端口�����。網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng) 絡(luò)地址轉(zhuǎn)換信息發(fā)送單元完成對(duì)IP數(shù)據(jù)包的替換處理后���,將IP數(shù)據(jù) 包中替換之前的IP源地址��、替換之前的IP源端口��、替換后的IP源地 址���、替換后的IP源端口號(hào)、狀態(tài)標(biāo)識(shí)�、替換時(shí)間戳等NAT轉(zhuǎn)換信息 形成一個(gè)多元組,并作為一條記錄寫入到NAT轉(zhuǎn)換映射表中�。
3) 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元將修改后的IP數(shù) 據(jù)包傳送到IP接入網(wǎng)絡(luò),同時(shí)將本次NAT轉(zhuǎn)換產(chǎn)生的網(wǎng)絡(luò)地址轉(zhuǎn)換 信息發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�,并記錄發(fā)送是否成功的 狀態(tài)�����。如果記錄發(fā)送不成功則嘗試多次重傳���。如果超過設(shè)定的發(fā)送次 數(shù)上限仍未成功����,則停止發(fā)送���,記錄發(fā)送狀態(tài)��。
4) 網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將接收到的來自于網(wǎng)絡(luò)地址轉(zhuǎn) 換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的NAT轉(zhuǎn)換記錄寫入數(shù)據(jù)庫供后續(xù) 處理使用��。網(wǎng)絡(luò)地址信息關(guān)聯(lián)處理單元也可以根據(jù)需要主動(dòng)向網(wǎng)絡(luò)地 址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元發(fā)送査詢命令��,獲得最新的或歷 史的NAT轉(zhuǎn)換記錄�。
5) 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元發(fā)送的IP數(shù)據(jù)包 通過IP接入網(wǎng)絡(luò)到達(dá)IP數(shù)據(jù)包分析單元,IP數(shù)據(jù)包分析單元對(duì)IP數(shù) 據(jù)包進(jìn)行拆包分析�,形成一系列的分析結(jié)果,同時(shí)記錄IP數(shù)據(jù)包的(IP 源地址�����、IP源端口�����、 IP目的地址�、IP目的端口)或者(IP源地址、IP 目的地址���、ICMP類型����、ICMPID)等信息。IP數(shù)據(jù)包分析單元把對(duì)IP
8數(shù)據(jù)包進(jìn)行分析所獲得的結(jié)果�、(IP源地址、IP源端口���、 IP目的地址��、
IP目的端口}或者{0>源地址�����、IP目的地址��、ICMP類型���、ICMPID}、
分析時(shí)間戳等信息共同形成一條分析記錄寫入本地?cái)?shù)據(jù)庫��,同時(shí)將該 條記錄發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�����,并記錄發(fā)送是否成功 的狀態(tài)��。如果記錄發(fā)送不成功則嘗試多次重傳�。如果超過設(shè)定的發(fā)送 次數(shù)上限仍未成功,則停止發(fā)送����,記錄發(fā)送狀態(tài)。
6) 網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將接收到的來自于IP數(shù)據(jù)包 分析單元的IP數(shù)據(jù)包分析記錄寫入數(shù)據(jù)庫供后續(xù)處理使用�。網(wǎng)絡(luò)地址 轉(zhuǎn)換信息關(guān)聯(lián)處理單元也可以根據(jù)需要主動(dòng)向IP數(shù)據(jù)包分析單元發(fā) 送查詢命令,獲得最新的或歷史的IP數(shù)據(jù)包分析記錄���。
7) 網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元在獲得IP數(shù)據(jù)包的分析記錄 和NAT轉(zhuǎn)換記錄的情況下�����,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將在IP 數(shù)據(jù)分析記錄中查詢分析時(shí)間戳����、IP源地址����、IP源端口與NAT轉(zhuǎn)換 記錄中替換時(shí)間戳、替換后的IP源地址����、替換后的IP源端口號(hào)一致 的記錄。如果找到相匹配的NAT轉(zhuǎn)換記錄���,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處 理單元將用NAT轉(zhuǎn)換記錄中替換之前的IP源地址���、替換之前的IP源 端口來改寫IP數(shù)據(jù)包分析記錄中的IP源地址�、IP源端口��,并形成新 的IP數(shù)據(jù)包分析記錄寫入數(shù)據(jù)庫供后續(xù)處理流程或其它系統(tǒng)使用��。如 果IP數(shù)據(jù)包的內(nèi)容是ICMP類型�����,則査詢IP數(shù)據(jù)包分析記錄中分析 時(shí)間戳�、IP源地址與NAT轉(zhuǎn)換記錄中替換時(shí)間戳、替換后的IP源地 址一致的記錄��。如果找到相匹配的NAT轉(zhuǎn)換記錄�,網(wǎng)絡(luò)地址轉(zhuǎn)換信息 關(guān)聯(lián)處理單元將用NAT轉(zhuǎn)換記錄中替換之前的IP源地址來改寫IP數(shù) 據(jù)包分析記錄中的IP源地址,并形成新的IP數(shù)據(jù)包分析記錄寫入數(shù) 據(jù)庫供后續(xù)處理流程或其它系統(tǒng)使用�����。通過以上處理步驟���,網(wǎng)絡(luò)地址 轉(zhuǎn)換信息關(guān)聯(lián)處理單元就實(shí)現(xiàn)了對(duì)私網(wǎng)內(nèi)IP通信設(shè)備所發(fā)送的IP數(shù) 據(jù)包的跟蹤����、監(jiān)控和管理���。
本發(fā)明對(duì)IP公共網(wǎng)絡(luò)向私網(wǎng)內(nèi)的IP通信設(shè)備發(fā)送IP數(shù)據(jù)包的處 理步驟如下所述�。
1) IP公共網(wǎng)絡(luò)中的IP通信設(shè)備發(fā)送IP數(shù)據(jù)包����,通過路由后IP 數(shù)據(jù)包到達(dá)IP數(shù)據(jù)包分析單元,IP數(shù)據(jù)包分析單元對(duì)IP數(shù)據(jù)包進(jìn)行 拆包分析����,形成一系列的分析結(jié)果,同時(shí)記錄IP數(shù)據(jù)包的(IP源地址�����、 IP源端口����、 IP目的地址、IP目的端口)或者(IP源地址���、IP目的地址��、ICMP類型��、ICMPID)等信息��。IP數(shù)據(jù)包分析單元把對(duì)IP數(shù)據(jù)包進(jìn)行
分析所獲得的結(jié)果�、《IP源地址、IP源端口�����、 IP目的地址�����、IP目的端
口〉或者《IP源地址��、IP目的地址����、ICMP類型、ICMPID}��、分析時(shí)間 戳等信息共同形成一條分析記錄寫入本地?cái)?shù)據(jù)庫����,同時(shí)將該條記錄發(fā) 送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元,并記錄發(fā)送是否成功的狀態(tài)��。 如果記錄發(fā)送不成功則嘗試多次重傳���。如果超過設(shè)定的發(fā)送次數(shù)上限 仍未成功��,則停止發(fā)送����,記錄發(fā)送狀態(tài)�。
2) 網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將接收到的來自于IP數(shù)據(jù)包 分析單元的IP數(shù)據(jù)包分析記錄寫入數(shù)據(jù)庫供后續(xù)處理使用。網(wǎng)絡(luò)地址 轉(zhuǎn)換信息關(guān)聯(lián)處理單元也可以根據(jù)需要主動(dòng)向IP數(shù)據(jù)包分析單元發(fā) 送査詢命令����,獲得最新的或歷史的IP數(shù)據(jù)包分析記錄。
3) IP數(shù)據(jù)包分析單元將經(jīng)過分析的IP數(shù)據(jù)包通過IP接入網(wǎng)絡(luò)發(fā) 送到對(duì)應(yīng)的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元��。網(wǎng)絡(luò)地址轉(zhuǎn) 換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元査詢保存在內(nèi)存或數(shù)據(jù)庫中的NAT 轉(zhuǎn)換記錄或轉(zhuǎn)換規(guī)則�,如果IP數(shù)據(jù)包中的IP目的地址、IP目的端口 號(hào)與NAT轉(zhuǎn)換記錄或轉(zhuǎn)換規(guī)則中的替換后的IP源地址����、替換后的IP 源端口號(hào)一致,那么網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元?jiǎng)t使 用轉(zhuǎn)換記錄中對(duì)應(yīng)的替換之前的IP源地址、替換之前的IP源端口來 改寫IP數(shù)據(jù)包中的IP目的地址�、IP目的端口號(hào),并將IP數(shù)據(jù)包中替 換之前的IP目的地址�、替換之前的IP目的端口、替換后的IP目的地 址��、替換后的IP目的端口號(hào)�、狀態(tài)標(biāo)識(shí)、替換時(shí)間戳等NAT轉(zhuǎn)換信 息形成一個(gè)多元組����,并作為一條記錄寫入到NAT轉(zhuǎn)換映射表中。如果 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元無法找到符合轉(zhuǎn)換條件的 記錄����,則丟棄該IP數(shù)據(jù)包,不進(jìn)行后續(xù)處理����。
4) 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元完成前一步驟后將 改寫的IP數(shù)據(jù)包通過IP私網(wǎng)發(fā)送到私網(wǎng)內(nèi)對(duì)應(yīng)的IP通信設(shè)備,同時(shí) 網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元將與該IP數(shù)據(jù)包相關(guān)聯(lián) 的NAT轉(zhuǎn)換記錄發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元����,并記錄發(fā)送 是否成功的狀態(tài)。如果記錄發(fā)送不成功則嘗試多次重傳���。如果超過設(shè) 定的發(fā)送次數(shù)上限仍未成功��,則停止發(fā)送�,記錄發(fā)送狀態(tài)。
5 )網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將接收到的來自于網(wǎng)絡(luò)地址轉(zhuǎn) 換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的NAT轉(zhuǎn)換記錄寫入數(shù)據(jù)庫供后續(xù)2009
處理使用�����。網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元也可以根據(jù)需要主動(dòng)向網(wǎng) 絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元發(fā)送査詢命令����,獲得最新的
或歷史的NAT轉(zhuǎn)換記錄��。
6)網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元在獲得IP數(shù)據(jù)包的分析記錄 和NAT轉(zhuǎn)換記錄的情況下��,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將在IP 數(shù)據(jù)分析記錄中査詢分析時(shí)間戳�����、IP目的地址���、IP目的端口與NAT 轉(zhuǎn)換記錄中替換時(shí)間戳��、替換之前的IP目的地址��、替換之前的IP目 的端口一致的記錄���。如果找到相匹配的NAT轉(zhuǎn)換記錄�����,網(wǎng)絡(luò)地址轉(zhuǎn)換 信息關(guān)聯(lián)處理單元將用NAT轉(zhuǎn)換記錄中替換之后的IP目的地址�、替 換之后的IP目的端口來改寫IP數(shù)據(jù)包分析記錄中的IP目的地址��、IP 目的端口 ���,并形成新的IP數(shù)據(jù)包分析記錄寫入數(shù)據(jù)庫供后續(xù)處理流程 或其它系統(tǒng)使用����。如果IP數(shù)據(jù)包的內(nèi)容是ICMP類型�,則查詢IP數(shù) 據(jù)包分析記錄中分析時(shí)間戳、IP目的地址與NAT轉(zhuǎn)換記錄中替換時(shí) 間戳�、替換之前的IP目的地址一致的記錄。如果找到相匹配的NAT 轉(zhuǎn)換記錄��,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元將用NAT轉(zhuǎn)換記錄中替換 之后的IP目的地址來改寫IP數(shù)據(jù)包分析記錄中的IP目的地址�����,并形 成新的IP數(shù)據(jù)包分析記錄寫入數(shù)據(jù)庫供后續(xù)處理流程或其它系統(tǒng)使 用。通過以上處理步驟��,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元就實(shí)現(xiàn)了對(duì) IP公網(wǎng)發(fā)送到私網(wǎng)內(nèi)IP通信設(shè)備的IP數(shù)據(jù)包的跟蹤����、監(jiān)控和管理。
本發(fā)明的特征和優(yōu)勢(shì)如下本發(fā)明在對(duì)IP數(shù)據(jù)包實(shí)現(xiàn)分析的基礎(chǔ) 上�����,可以根據(jù)預(yù)先設(shè)置的規(guī)則對(duì)IP數(shù)據(jù)包進(jìn)行發(fā)送���、阻止、重定向等 控制處理���。預(yù)先設(shè)置的規(guī)則可以由其它系統(tǒng)發(fā)送給IP數(shù)據(jù)包分析單 元��,也可以直接在IP數(shù)據(jù)包分析單元中進(jìn)行設(shè)置����。
通過本發(fā)明描述的方法和設(shè)備����,可以將IP數(shù)據(jù)包分析設(shè)備部署在 公網(wǎng)上���,實(shí)現(xiàn)對(duì)私網(wǎng)內(nèi)通信設(shè)備發(fā)送或接收的IP數(shù)據(jù)包的集中監(jiān)控, 使得一臺(tái)IP數(shù)據(jù)包監(jiān)控設(shè)備能夠同時(shí)監(jiān)控多個(gè)私網(wǎng)產(chǎn)生的IP數(shù)據(jù)包����, 從而最大程度的發(fā)揮IP數(shù)據(jù)包監(jiān)控設(shè)備的處理能力,并極大的降低了 IP數(shù)據(jù)包監(jiān)控系統(tǒng)的建設(shè)成本�。
圖1是本發(fā)明實(shí)施例一的整體構(gòu)架示意圖。
圖2是本發(fā)明實(shí)施例一中將網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元和IP 數(shù)據(jù)包分析單元合并后的整體構(gòu)架示意圖��。圖3是本發(fā)明實(shí)施例二的整體構(gòu)架示意圖�����。 圖4是本發(fā)明實(shí)施例三的整體構(gòu)架示意圖�����。
圖5是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送 單元的結(jié)構(gòu)示意圖�����。
圖6是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送
單元的硬件架構(gòu)圖����。
圖7虛框內(nèi)是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元的網(wǎng)絡(luò)接口模塊的硬件架構(gòu)圖����。
圖8虛框內(nèi)是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元的IP數(shù)據(jù)包拆分與組合模塊的硬件架構(gòu)圖����。
圖9虛框內(nèi)是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊的硬件架構(gòu)圖。
圖10虛框內(nèi)是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換 信息發(fā)送單元的網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊的硬件架構(gòu)圖�����。
圖11虛框內(nèi)是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換 信息發(fā)送單元的設(shè)備管理模塊的硬件架構(gòu)圖����。
圖12是本發(fā)明實(shí)施例二的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā) 送單元的軟件處理流程圖�。
圖中,IP為互聯(lián)網(wǎng)協(xié)議����;SDRAM為靜態(tài)內(nèi)存;FLASH為可讀寫 存儲(chǔ)器��;S3C4510B為嵌入式處理器���;RS232為串行通信接口��; RJ45 為網(wǎng)絡(luò)通信接口�; RTL8305為以太網(wǎng)交換芯片;EEPROM24C01為可 擦除只讀存儲(chǔ)器���。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例進(jìn)一步詳述本發(fā)明�����,但本發(fā)明不僅限于所 述實(shí)施例���。
實(shí)施例一
本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)如圖1所示,由IP數(shù)據(jù) 包分析單元�����、網(wǎng)絡(luò)地址轉(zhuǎn)換單元�����、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò) 地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元組成����,其連接關(guān)系為網(wǎng)絡(luò)地址轉(zhuǎn)換單元 分別與IP私網(wǎng)、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�����、IP數(shù)據(jù)包分析單元相 連,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相 連�,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單元相連,IP
12數(shù)據(jù)包分析單元與IP公共網(wǎng)絡(luò)相連�。
本例所用的網(wǎng)絡(luò)地址轉(zhuǎn)換單元、IP數(shù)據(jù)包分析單元為已有設(shè)備���。 網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元可采用己有的單板計(jì)算機(jī)實(shí)現(xiàn)��,運(yùn)行
本發(fā)明所描述的NAT轉(zhuǎn)換記錄發(fā)送功能����。
本例所用的網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單
元也可以進(jìn)行合并�����,其系統(tǒng)如圖2所示���。
網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元、網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理及 IP數(shù)據(jù)包分析單元可采用通用的計(jì)算機(jī)服務(wù)器實(shí)現(xiàn)�����,也可以采用多個(gè) 邏輯處理單元來實(shí)現(xiàn)運(yùn)行本發(fā)明所描述的NAT轉(zhuǎn)換記錄匹配功能。多 個(gè)邏輯處理單元可以是一個(gè)或多個(gè)中央處理單元(CPU, Central Process Unit)�����、數(shù)字信號(hào)處理器(DSP����, Digital Signal Processor)或?qū)?用集成電路(ASIC, Application-Specific Integrated Circuit)。網(wǎng)絡(luò)地址 轉(zhuǎn)換信息關(guān)聯(lián)處理單元可以同時(shí)與多個(gè)IP數(shù)據(jù)包分析設(shè)備和網(wǎng)絡(luò)地 址轉(zhuǎn)換信息發(fā)送單元進(jìn)行信息交互�����,并形成最終的IP數(shù)據(jù)包監(jiān)控分析 結(jié)果�����。
實(shí)施例二
本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)如圖3所示��,由IP數(shù)據(jù) 包分析單元���、網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址 轉(zhuǎn)換信息關(guān)聯(lián)處理單元組成����,其中的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元為實(shí)施例一所述的網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址
轉(zhuǎn)換單元合并而成。其連接關(guān)系為網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送單元分別與IP私網(wǎng)���、IP數(shù)據(jù)包分析單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息 關(guān)聯(lián)處理單元相連����,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析 單元相連��,IP數(shù)據(jù)包分析單元與IP公共網(wǎng)絡(luò)相連�。
本例所述合并了網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)
絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的整體構(gòu)架如圖5所示,其硬件構(gòu)架如圖6 所示�����,由網(wǎng)絡(luò)接口模塊���、IP數(shù)據(jù)包拆分與組合模塊��、網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī) 則處理模塊���、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊和設(shè)備管理模塊組成,其中��, 網(wǎng)絡(luò)接口模塊分別與IP私網(wǎng)��、IP公共網(wǎng)絡(luò)�、IP數(shù)據(jù)包拆分與組合模 塊和設(shè)備管理模塊相連,IP數(shù)據(jù)包拆分與組合模塊還與網(wǎng)絡(luò)地址轉(zhuǎn)換 規(guī)則處理模塊相連����,網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊還與網(wǎng)絡(luò)地址轉(zhuǎn)換信 息發(fā)送模塊和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相連,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊與網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相連�����。
本例所述網(wǎng)絡(luò)接口模塊如圖7中的虛線框內(nèi)所示���,配備六個(gè)網(wǎng)絡(luò)
接口����,由RTL8305以太網(wǎng)交換芯片�����、EEPROM24C01可擦除只讀存儲(chǔ) 器���、有源晶振�、單口隔離變壓器���、四口隔離變壓器����、五個(gè)RJ45和一 個(gè)RS232連接而成,其中四個(gè)網(wǎng)絡(luò)接口用于連接IP私網(wǎng)��, 一個(gè)網(wǎng)絡(luò) 接口用于連接IP公共網(wǎng)絡(luò)����, 一個(gè)網(wǎng)絡(luò)接口用于連接本地管理;網(wǎng)絡(luò)接 口模塊負(fù)責(zé)處理IP通信過程中物理層和數(shù)據(jù)鏈路層的信號(hào)��;根據(jù)不同 的情況����,網(wǎng)絡(luò)接口模塊可以采用不同的物理傳輸介質(zhì),例如無線�����、光 纖�、5類雙絞線等;網(wǎng)絡(luò)接口模塊可以選擇相同的物理傳輸介質(zhì)����,也 可以選擇不同的物理傳輸介質(zhì)����,網(wǎng)絡(luò)接口模塊負(fù)責(zé)與外部網(wǎng)絡(luò)之間進(jìn) 行IP數(shù)據(jù)包的接收和傳送��,并把處理后獲得的IP數(shù)據(jù)包傳送到IP數(shù) 據(jù)包拆分與組合模塊���。
本例所述IP數(shù)據(jù)包拆分與組合模塊如圖8中的虛線框內(nèi)所示,由 S3C4510B嵌入式處理器��、RTL8305以太網(wǎng)交換芯片組成�,負(fù)責(zé)提取 網(wǎng)絡(luò)接口模塊傳送來的IP數(shù)據(jù)包的UP源地址、IP源端口����、 IP目的地 址、IP目的端口)或者(IP源地址�����、IP目的地址�����、ICMP (互聯(lián)網(wǎng)控制 消息協(xié)議)類型��、ICMP ID (互聯(lián)網(wǎng)控制消息協(xié)議標(biāo)識(shí))}等信息,并 將這些信息傳送給網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊�����;另外IP數(shù)據(jù)包拆分與 組合模塊在網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊的控制下對(duì)IP數(shù)據(jù)包中的IP 源地址����、IP源端口、 IP目的地址�����、IP目的端口進(jìn)行替換形成新的IP 數(shù)據(jù)包����,并根據(jù)IP數(shù)據(jù)包的傳送方向?qū)P數(shù)據(jù)包從IP私網(wǎng)的網(wǎng)絡(luò)接 口單元向IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口單元傳送,或者進(jìn)行反方向的傳送��。
本例所述網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊如圖9中的虛線框內(nèi)所示�, 由S3C4510B嵌入式處理器、SDRAM靜態(tài)內(nèi)存���、FLASH可讀寫存儲(chǔ) 器�����、有源晶振組成���,負(fù)責(zé)處理來自IP私網(wǎng)或IP公共網(wǎng)絡(luò)中的IP數(shù)據(jù) 包的IP源地址�、IP源端口��、 IP目的地址��、IP目的端口之間的映射關(guān) 系�����,并控制IP數(shù)據(jù)包拆分與組合模塊對(duì)IP數(shù)據(jù)包中的IP源地址����、IP 源端口�、 IP目的地址、IP目的端口進(jìn)行替換����;同時(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則 處理模塊負(fù)責(zé)生成和管理IP數(shù)據(jù)包在網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換 信息發(fā)送單元中的NAT轉(zhuǎn)換記錄,來自于網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理 單元的査詢命令也由網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)執(zhí)行�,并將查詢 結(jié)果發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元;網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊的轉(zhuǎn)換規(guī)則可以由其它系統(tǒng)或裝置通過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口 單元進(jìn)行配置和修改����。
本例所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊如圖10中的虛線框內(nèi)所示���,
由S3C4510B嵌入式處理器、RTL8305以太網(wǎng)交換芯片�����、SDRAM靜 態(tài)內(nèi)存���、FLASH可讀寫存儲(chǔ)器���、有源晶振組成,將NAT轉(zhuǎn)換記錄通 過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�。
本例所述設(shè)備管理模塊如圖11中的虛線框內(nèi)所示,由S3C4510B 嵌入式處理器����、RTL8305以太網(wǎng)交換芯片、RS232組成�����,用于對(duì)網(wǎng)絡(luò) 地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的工作參數(shù)進(jìn)行配置、管理和 監(jiān)控��,例如設(shè)置各個(gè)網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址�����,監(jiān)控網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元的內(nèi)存使用情況等���,當(dāng)網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地 址轉(zhuǎn)換信息發(fā)送單元在運(yùn)行過程中出現(xiàn)異常情況時(shí)�����,設(shè)備管理模塊會(huì) 主動(dòng)通過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口把異常信息向外部系統(tǒng)或裝置發(fā)送; 另外設(shè)備管理模塊負(fù)責(zé)處理來自其它系統(tǒng)或裝置的査詢及/或配置命 令��,并將執(zhí)行結(jié)果返回到其它系統(tǒng)或裝置����。
本例所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元采用5伏穩(wěn) 壓電源實(shí)現(xiàn)對(duì)110伏 240伏交流電的變換從而獲得5伏的直流電壓 輸出,然后再分別將5伏的直流電壓輸出接直流3.3伏轉(zhuǎn)換器向 S3C4510B嵌入式處理器供電���,接直流2.5伏轉(zhuǎn)換器向RTL8305以太 網(wǎng)交換芯片供電��。
本例所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元采用多個(gè)邏 輯處理單元來實(shí)現(xiàn)��;邏輯處理單元是一個(gè)或多個(gè)中央處理單元(CPU���, Central Process Unit)���。
本例所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元對(duì)網(wǎng)絡(luò)地址 轉(zhuǎn)換(NAT)過程中私網(wǎng)IP地址和公網(wǎng)IP地址之間的映射關(guān)系進(jìn)行 實(shí)時(shí)監(jiān)控和記錄,并將映射關(guān)系發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單 元���,同時(shí)IP數(shù)據(jù)包分析單元對(duì)NAT轉(zhuǎn)換后的IP數(shù)據(jù)包進(jìn)行分析處理�����, 并把分析結(jié)果發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元��,網(wǎng)絡(luò)地址轉(zhuǎn)換 信息關(guān)聯(lián)處理單元把網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和 IP數(shù)據(jù)包分析單元發(fā)送的信息進(jìn)行關(guān)聯(lián)��,重新建立起IP私網(wǎng)內(nèi)IP通 信設(shè)備與IP數(shù)據(jù)包分析結(jié)果之間的對(duì)應(yīng)關(guān)系�����,供其它系統(tǒng)使用���。網(wǎng)絡(luò) 地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的軟件處理流程如圖12所示。IP數(shù)據(jù)包分析單元可以釆用傳統(tǒng)的IP數(shù)據(jù)包分析設(shè)備��,但是需 要在其功能模塊上增加本發(fā)明所描述的IP數(shù)據(jù)包記錄功能,主要記錄 對(duì)IP數(shù)據(jù)包進(jìn)行分析所獲得的結(jié)果�����、(IP源地址��、IP源端口����、 IP目的
地址、IP R的端口)或者(IP源地址�、IP目的地址、ICMP類型����、ICMP ID}��、分析時(shí)間戳等信息���,并實(shí)現(xiàn)將以上信息向網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān) 聯(lián)處理單元發(fā)送的功能�����。
網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元采用通用的計(jì)算機(jī)服務(wù)器實(shí)現(xiàn)��, 運(yùn)行本發(fā)明所描述的NAT轉(zhuǎn)換記錄匹配功能��。網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián) 處理單元可以同時(shí)與多個(gè)IP數(shù)據(jù)包分析設(shè)備和網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元進(jìn)行信息交互�,并形成最終的IP數(shù)據(jù)包監(jiān)控分 析結(jié)果。
本例中��,在IP私網(wǎng)與IP接入網(wǎng)絡(luò)的連接處放置網(wǎng)絡(luò)地址轉(zhuǎn)換及 網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�,在IP接入網(wǎng)絡(luò)與IP公眾阿絡(luò)之間放置 IP數(shù)據(jù)包分析單元;然后對(duì)IP接入網(wǎng)絡(luò)中路由設(shè)備的路,由信息進(jìn)行 修改��,將來自于網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的IP數(shù)據(jù) 包路由到IP數(shù)據(jù)包分析單元��,同時(shí)如果來自于IP公共網(wǎng)絡(luò)的IP數(shù)據(jù) 包的目的地址是網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元���,那么IP 數(shù)據(jù)包首先被路由到IP數(shù)據(jù)包分析單元�����,然后再由IP數(shù)據(jù)包分析單 元通過IP接入網(wǎng)傳送到網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元�; IP數(shù)據(jù)包分析單元��、網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元與網(wǎng) 絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元之間可以通過IP網(wǎng)絡(luò)或其它通信方式 進(jìn)行信息傳送�。
本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)如圖4所示,除網(wǎng)絡(luò)地 址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單元合并外�,其余同實(shí)施例 二����。其中��,合并后的網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理及IP數(shù)據(jù)包分析單元 采用通用的計(jì)算機(jī)服務(wù)器實(shí)現(xiàn)���,各個(gè)功能模塊通過軟件實(shí)現(xiàn)��。
實(shí)施例四
本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)除網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元通過計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)外����,其余同實(shí)施例二��。 其中����,網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的各個(gè)功能模塊通 過軟件實(shí)現(xiàn)。本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)除網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元采用多個(gè)邏輯處理單元來實(shí)現(xiàn)外���,其余同實(shí)施
例二。其中����,邏輯處理單元是數(shù)字信號(hào)處理器(DSP����, Digital Signal Processor)�����。
實(shí)施例六
本例的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)除網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送單元采用多個(gè)邏輯處理單元來實(shí)現(xiàn)外�����,其余同實(shí)施 例二��。其中�����,邏輯處理單元是專用集成電路(ASIC�����, Application-Specific Integrated Circuit )�����。
權(quán)利要求
1.一種對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)��,由IP數(shù)據(jù)包分析單元和網(wǎng)絡(luò)地址轉(zhuǎn)換單元組成,其特征在于系統(tǒng)中還有網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�����,其連接關(guān)系為網(wǎng)絡(luò)地址轉(zhuǎn)換單元分別與IP私網(wǎng)�、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元、IP數(shù)據(jù)包分析單元相連��,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相連���,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單元相連����,IP數(shù)據(jù)包分析單元與IP公共網(wǎng)絡(luò)相連�����。
2. 根據(jù)權(quán)利要求1所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)���,其特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元與網(wǎng)絡(luò)地址轉(zhuǎn)換單元合并成 為網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元����。
3. 根據(jù)權(quán)利要求1所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)����,其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單元 合并成為網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理及IP數(shù)據(jù)包分析單元。
4. 根據(jù)權(quán)利要求2所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)���,其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元由網(wǎng)絡(luò)接口 模塊���、IP數(shù)據(jù)包拆分與組合模塊、網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊�、網(wǎng)絡(luò) 地址轉(zhuǎn)換信息發(fā)送模塊和設(shè)備管理模塊組成,其中�,網(wǎng)絡(luò)接口模塊分 別與IP私網(wǎng)、IP公共網(wǎng)絡(luò)���、IP數(shù)據(jù)包拆分與組合模塊�、網(wǎng)絡(luò)地址轉(zhuǎn) 換信息發(fā)送模塊和設(shè)備管理模塊相連��,IP數(shù)據(jù)包拆分與組合模塊還與 網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊相連�,網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊還與網(wǎng) 絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊相連,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊通過網(wǎng)絡(luò) 接口模塊與網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相連�����。
5. 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)��,其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)處理來自IP私網(wǎng)或IP 公共網(wǎng)絡(luò)中的IP數(shù)據(jù)包的IP源地址、IP源端口����、 IP目的地址、IP目 的端口之間的映射關(guān)系����,并控制IP數(shù)據(jù)包拆分與組合模塊對(duì)IP數(shù)據(jù) 包中的IP源地址、IP源端口�����、 IP目的地址����、IP目的端口進(jìn)行替換; 同時(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)生成和管理IP數(shù)據(jù)包在網(wǎng)絡(luò)地 址轉(zhuǎn)換單元中的網(wǎng)絡(luò)地址轉(zhuǎn)換記錄��,來自于網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元的査詢命令也由網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處理模塊負(fù)責(zé)執(zhí)行���,并將査 詢結(jié)果發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元���;網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則處 理模塊的轉(zhuǎn)換規(guī)則可以由其它系統(tǒng)或裝置通過IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接 口單元進(jìn)行配置和修改。
6. 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng),其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送模塊將網(wǎng)絡(luò)地址轉(zhuǎn)換記錄通過 IP公共網(wǎng)絡(luò)的網(wǎng)絡(luò)接口發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�����。
7. 根據(jù)權(quán)利要求2所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng)��,其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元通過計(jì)算機(jī) 系統(tǒng)來實(shí)現(xiàn)���,或釆用多個(gè)邏輯處理單元來實(shí)現(xiàn);邏輯處理單元是一個(gè) 或多個(gè)中央處理單元�、數(shù)字信號(hào)處理器或?qū)S眉呻娐罚痪W(wǎng)絡(luò)地址轉(zhuǎn) 換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元的各個(gè)功能模塊通過硬件和/或軟件 實(shí)現(xiàn)�。
8. 根據(jù)權(quán)利要求2所述的對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng),其 特征在于所述網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元對(duì)網(wǎng)絡(luò)地址 轉(zhuǎn)換過程中私網(wǎng)IP地址和公網(wǎng)IP地址之間的映射關(guān)系進(jìn)行實(shí)時(shí)監(jiān)控 和記錄���,并將映射關(guān)系發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元�����,同時(shí) IP數(shù)據(jù)包分析單元對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換后的IP數(shù)據(jù)包進(jìn)行分析處理��,并 把分析結(jié)果發(fā)送到網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元��,網(wǎng)絡(luò)地址轉(zhuǎn)換信 息關(guān)聯(lián)處理單元把網(wǎng)絡(luò)地址轉(zhuǎn)換及網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和IP 數(shù)據(jù)包分析單元發(fā)送的信息進(jìn)行關(guān)聯(lián)�����,重新建立起IP私網(wǎng)內(nèi)IP通信 設(shè)備與IP數(shù)據(jù)包分析結(jié)果之間的對(duì)應(yīng)關(guān)系�����,供其它系統(tǒng)使用����。
全文摘要
本發(fā)明屬于信息網(wǎng)絡(luò)系統(tǒng)領(lǐng)域中的一種對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行監(jiān)控的系統(tǒng),由IP數(shù)據(jù)包分析單元和網(wǎng)絡(luò)地址轉(zhuǎn)換單元組成����,其特征在于系統(tǒng)中還有網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元,其連接關(guān)系為網(wǎng)絡(luò)地址轉(zhuǎn)換單元分別與IP私網(wǎng)�、網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元、IP數(shù)據(jù)包分析單元相連�,網(wǎng)絡(luò)地址轉(zhuǎn)換信息發(fā)送單元和網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元相連,網(wǎng)絡(luò)地址轉(zhuǎn)換信息關(guān)聯(lián)處理單元與IP數(shù)據(jù)包分析單元相連��,IP數(shù)據(jù)包分析單元與IP公共網(wǎng)絡(luò)相連��。本發(fā)明可以實(shí)現(xiàn)對(duì)私網(wǎng)內(nèi)通信設(shè)備發(fā)送或接收的IP數(shù)據(jù)包的集中監(jiān)控���,使得一臺(tái)IP數(shù)據(jù)包監(jiān)控設(shè)備能夠同時(shí)監(jiān)控多個(gè)私網(wǎng)產(chǎn)生的IP數(shù)據(jù)包�����,極大的降低了IP數(shù)據(jù)包監(jiān)控系統(tǒng)的建設(shè)成本�。
文檔編號(hào)H04L12/26GK101594263SQ200910058078
公開日2009年12月2日 申請(qǐng)日期2009年1月9日 優(yōu)先權(quán)日2009年1月9日
發(fā)明者凱 劉, 趙安毅, 陳曉進(jìn) 申請(qǐng)人:成都四方信息技術(shù)有限公司