国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      數據包處理和溯源方法、裝置及系統(tǒng)的制作方法

      文檔序號:7735867閱讀:172來源:國知局
      專利名稱:數據包處理和溯源方法、裝置及系統(tǒng)的制作方法
      技術領域
      本發(fā)明涉及通信技術領域,尤其是一種數據包處理和溯源方法、裝置及系統(tǒng)。
      背景技術
      網絡地址轉換(Network Address Translation,以下簡稱NAT)是將一個網絡中使用的IP地址轉換為另一個網絡中已知的不同IP地址的過程。內部網絡用戶連接互聯網時,NAT設備將用戶的內部IP地址轉換成一個外部IP地址,并將這個地址轉換記錄下來, 當數據從外部返回時,NAT設備根據地址轉換記錄將目標地址,也就是用戶的外部IP地址, 替換成用戶的內部IP地址。在現有的網絡管理中,經常需要對IP地址進行溯源以確定其對應的原始IP地址, 進而定位這個IP地址的使用者。NAT技術對原始IP地址的隱藏具體導致了面向IP地址的溯源必須依賴于NAT設備的地址轉換記錄,也可以稱為地址轉換日志。但由于NAT設備中地址的轉換一般是動態(tài)完成的,因此地址轉換記錄的增長非常迅速,很多NAT設備僅能維護較短時間的地址轉換記錄。在網絡管理的溯源過程中,經常需要查詢之前某段時間的地址轉換記錄,而這些地址轉換記錄已經在NAT設備中刪除了,導致溯源失敗。因此,通過 NAT設備之中存儲的地址轉換記錄來實現IP地址溯源的方法在實踐中經常溯源失敗,使得網絡管理非常困難。

      發(fā)明內容
      本發(fā)明提供一種數據包處理和溯源的方法、裝置及系統(tǒng),用于解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。本發(fā)明提供了一種數據包處理方法,包括接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址,生成包含所述 N級源地址和N-I級源地址的第二數據包;發(fā)送所述第二數據包。本發(fā)明提供了一種數據包溯源方法,包括接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,N為正整數;確定所述N級源地址對應的接入網;查詢地址分配設備中與所述接入網對應的地址分配記錄。確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述N級源地址的N級網絡地址轉換NAT設備;根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。
      本發(fā)明提供了一種數據包處理裝置,包括第一接收單元,用于接收第一數據包,所述第一數據包的源地址為N-I級源地址, N為正整數;地址轉換單元,用于根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;數據包生成單元,用于生成包含所述N級源地址和N-I級源地址的第二數據包;發(fā)送單元,用于發(fā)送所述第二數據包。本發(fā)明提供了一種數據包溯源裝置,包括第二接收單元,用于接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,N為正整數;接入網確定單元,用于確定所述N級源地址對應的接入網;查詢單元,用于查詢地址分配設備中與所述接入網對應的地址分配記錄。確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述N級源地址的 N級網絡地址轉換NAT設備;溯源單元,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。本發(fā)明還提供了一種溯源系統(tǒng),包括地址分配設備,用于分配地址,并存儲地址分配記錄;與地址分配設備連接的NAT 設備和溯源設備;所述NAT設備包括如上所述的數據包處理裝置;所述溯源設備包括如上所述的數據包溯源裝置。本發(fā)明通過地址轉換時將轉換前的地址存放在數據包里,使得溯源時能夠直接從數據包中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于 NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。


      為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1是本發(fā)明的一種應用場景示意圖。圖2是本發(fā)明提供的一種數據包處理方法實施例一的流程圖。圖3a是本發(fā)明提供的一種數據包處理方法實施例二的流程圖。圖北是IPv4數據包的包頭格式圖。圖3c是IPv6數據包的格式圖。圖4是本發(fā)明提供的一種數據包溯源方法實施例一的流程圖。圖5是本發(fā)明提供的一種數據包溯源方法實施例二的流程圖。圖6是本發(fā)明提供的一種數據包溯源方法實施例三的流程圖。
      圖7是本發(fā)明提供的一種數據包處理裝置實施例一的結構示意圖。圖8是本發(fā)明提供的一種數據包處理裝置實施例二的結構示意圖。圖9是本發(fā)明提供的一種數據包溯源裝置實施例一的結構示意圖。圖10是本發(fā)明提供的一種數據包溯源裝置實施例二的結構示意圖。圖11是本發(fā)明提供的一種溯源系統(tǒng)實施例的結構示意圖。
      具體實施例方式為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。圖1是本發(fā)明的一種應用場景示意圖。如圖1所示,主機在分配到地址10. 1. 5. 1 之后,經過兩次地址轉換,源地址最終變?yōu)?92. 168. 2. 5。在每次地址轉換中,NAT設備將轉換前的地址也放置在IP數據包中。因此,最終的數據包中包含了每次地址轉換的記錄。每一個NAT設備代表了一個接入網的層次,每個層次對其下游的NAT設備的地址池配置進行了規(guī)劃。例如,NAT設備A上配置的地址池為172. 16/16,另一個和NAT設備A處于同一層次的NAT設備維護的地址池可能為172. 15/16。一個NAT設備代表了一個接入子網。如圖1所示,溯源過程中,首先根據源地址192. 168. 2. 5定位到數據發(fā)送者的接入網,然后根據該接入網的地址池配置記錄定位到NAT設備B,也即定位到了 NAT設備B管理的接入子網;然后根據上一級地址轉換記錄(172. 16. 55. 6)和NAT設備B所對應的接入子網的地址池配置記錄定位到NAT設備A,也即定位到了 NAT設備A管理的接入子網;至此, 溯源流程就直接面向原始的IP地址了,根據NAT設備A所對應接入子網的地址分配記錄, 就可以獲得10. 1. 5. 1在特定時間段的分配對象。圖2是本發(fā)明提供的一種數據包處理方法實施例一的流程圖,如圖2所示,本實施例的方法可以包括步驟201、接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;若該第一數據包之前未經過地址轉換,則N = 1,N-I級源地址即數據包發(fā)送者的初始源地址。另外,N-I級源地址通常是在數據包包頭的源地址字段中。步驟202、根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;這里預設的地址轉換規(guī)則具體可以是轉換前后地址的映射關系,比如[A,B]區(qū)間的N-I級源地址轉換為N級源地址a,[C,D]區(qū)間的N-I級源地址轉換為N級源地址b,等。 地址轉換規(guī)則可以是管理員手工設定的,也可以是根據地址分配設備的指令自動設定。步驟203、生成包含所述N級源地址和N-I級源地址的第二數據包;第二數據包的包頭源地址字段中包含所述N級源地址。所述N-I級源地址可以包含在所述第二數據包的其他位置,當然除了源地址字段以外,所述N級源地址還可以和所述N-I級源地址一起包含在第二數據包的其他位置。步驟204、發(fā)送所述第二數據包。根據網絡環(huán)境的不同,第二數據包可以直接發(fā)送給了數據包的接收者,也可以發(fā)送到下一級NAT設備,再次進行地址轉換,本發(fā)明實施例對此不作限定。本發(fā)明實施例通過在地址轉換時將轉換前的地址存放在數據包里,使得溯源時能夠直接從數據包中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖3a為發(fā)明提供的一種數據包處理法實施例二的流程圖,如圖3a所示,本實施例的方法可以包括步驟301、接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;步驟302、根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;步驟303、生成第二數據包,所述第二數據包的源地址為所述N級源地址;若所述第二數據包和所述第一數據包遵從的網絡協(xié)議相同的話,兩個數據包相比,就是源地址字段發(fā)生了變化。但若所述第二數據包和所述第一數據包遵從的網絡協(xié)議不同的話,所述第二數據包的格式也會跟所述第一數據包不同,如第二數據包為IPv6數據包而第一數據包為IPv4數據包的情況。但不論協(xié)議、格式是否相同,第二數據包和第一數據包的數據載荷部分的內容應該是相同的。 步驟304、判斷第二數據包是IPv4數據包還是IPv6數據包,若是IPv4數據包則執(zhí)行步驟305,若是IPv6數據包則執(zhí)行步驟306 ;由于不同協(xié)議數據包的格式不一樣,可擴展使用的域也不一樣,因此對于不同協(xié)議數據包的處理不一樣。步驟305、將所述N-I級源地址包含在所述第二數據包包頭的選項字段中,執(zhí)行步驟 307 ;IPv4數據包的包頭格式如圖北所示,包頭中含有一個選項字段,可以用來定義新的選項類型。由于IPv4數據包包頭的選項字段最多可以攜帶40字節(jié)的內容,考慮到IPv6 地址的長度為16字節(jié),如果最終轉換的是一個IPv4地址,那么之前最多可容納兩次IPv6 地址的轉換記錄;而對于IPv4地址,由于其地址長度為4字節(jié),因此對于最終轉換地址是 IPv4地址的情況,之前可容納較多的IPv4地址記錄。步驟306、將所述N-I級源地址包含在所述第二數據包的擴展包頭中,執(zhí)行步驟 307 ;IPv6數據包引入了擴展包頭的概念,數據包格式如圖3c所示,在數據包的基礎包頭和數據載荷之間可以有多個擴展包頭,用來定義新的包頭類型。而IPv6數據包的擴展包頭最多可攜帶2048字節(jié)的內容,這樣無論是對于IPv4地址和IPv6地址來說,都可以容納足夠多的地址轉換前的地址。步驟307、發(fā)送所述第二數據包。若步驟301中接收到的第一數據包之前已經進行過地址轉換,即(N-I) > 0,也就是N >= 2,那么第一數據包中除了 N-I級源地址還可以包含N-2級源地址,甚至N-3級源地址等。對應地,步驟305和306中還需要判斷所述第二數據包中是否包含其他源地址,如果有,以包含N-2級源地址為例,則將N-I級源地址和N-2級源地址按照預設順序存放,否則將所述N-I級源地址存放在預設的位置。若是第二數據包中還有N-3級源地址甚至0級源地址,也是類似的處理。這里預設的順序可以是越早地址轉換前的地址,即越低級別的源地址,放在越前面,比如將N-I級源地址存放在N-2級源地址后面,當然也可以反過來。預設的位置可以是存放空間的最前面,比如在第一個字節(jié)起始的位置存放,也可以是存放空間的設定字節(jié)起始的位置存放,也可以是存放空間的最后面。實際應用中,通常將第一次地址轉換前的源地址即0級源地址,放置在存放空間的最前面,將第二次地址轉換前的源地址即1級源地址,存放在第一次地址轉換前的源地址后面,將第三次地址轉換前的源地址即2 級源地址,存放在第二次地址轉換前的源地址后面,以此類推;當然反過來也可以。存放位置和存放順序設定好了,溯源時就可以根據預設的存放位置和存放順序來依次獲取上一次地址轉換前的源地址。在現有的地址轉換過程中,可用作轉換后的地址通常有多個。對應地,步驟302具體包括從至少一個目標源地址中選擇一個作為所述N級源地址,將所述N-I級源地址轉換為N級源地址。這些目標源地址可以是管理員手工設定的,也可以是根據地址分配設備分配的地址自動設定。若是地址分配設備分配的,則本實施例方法還包括步驟30 、根據地址分配設備分配的所述至少一個目標源地址,設置所述地址轉換規(guī)則。本發(fā)明實施例通過在地址轉換時將轉換前的地址放在IPv4數據包的擴展字段或是IPv6數據包的擴展包頭里,使得溯源時能夠直接從IPv4數據包的擴展字段或是IPv6數據包的擴展包頭中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖4是本發(fā)明提供的一種數據包溯源方法實施例一的流程圖,如圖4所示,該方法包括步驟401、接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I 級源地址,N為正整數;通常,N級源地址包含在所述數據包的源地址字段,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,可以包含在所述數據包除源地址字段外的其他位置。步驟402、確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄,確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述N級源地址的N級NAT設備;所述確定所述N級源地址對應的接入網具體包括,確定所述N級源地址確定對應的接入網地址。比如N級源地址為192. 168. 2. 5,假設對應的接入網地址為192. 168/16。地址分配設備跟現有技術中一樣,負責給用戶分配地址,也負責給NAT設備分配目標源地址, 并且存儲對應的地址分配記錄。所述地址分配記錄可以以接入網/接入子網地址為索引, 查找到與該接入網/接入子網對應的地址分配記錄,也叫地址池配置記錄。拿上面這個例子來說,查詢地址分配設備中與192. 168/16對應的地址池配置記錄,確定192. 168. 2. 5分配給哪個NAT設備作為目標源地址了,這樣就定位到了 N級NAT設備。步驟403、根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。定位到了 N級NAT設備后,就可以確定N級NAT設備管理的N級接入子網,這時再根據N級接入子網地址查找地址分配設備中對應的地址分配記錄,從中找出N-I級源地址的分配對象。若所述數據包只經過一次地址轉換,也就是N= 1時,這個N-I級源地址的分配對象就是數據包發(fā)送者了。本發(fā)明實施例根據數據包里存放的地址轉換前的地址和地址分配設備的地址分配記錄,進行地址溯源,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖5是本發(fā)明提供的一種數據包溯源方法實施例二的流程圖,如圖5所示,該方法包括步驟501、接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I 級源地址,N為正整數;步驟502、確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄,確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述N級源地址的N級NAT設備;步驟503、判斷所述數據包是IPv4數據包還是IPv6數據包,若是IPv4數據包則執(zhí)行步驟504,若是IPv6數據包則執(zhí)行步驟505 ;步驟504、從所述數據包包頭的選項字段中讀取所述N-I級源地址,執(zhí)行步驟 506 ;步驟505、從所述數據包的擴展包頭中讀取所述N-I級源地址,執(zhí)行步驟506 ;步驟506、根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象;若所述數據包經過不止一次地址轉換,那么所述數據包中除了 N-I級源地址,還包括N-2級源地址,甚至可能還包括N-3級源地址等。當數據包中包含多級地址轉換前的地址時,這些地址都是按照預設的順序存放的,對應地,步驟505中可以在所述數據包中按照預設的存放順序讀取所述N-I級源地址和所述N-2級源地址。以所述數據包經過兩次地址轉換、數據包中還包括N-2級源地址為例,步驟506中確定所述N-I級源地址的分配對象具體包括確定將N-2級源地址轉換為N-I級源地址的 N-I級NAT設備,執(zhí)行步驟507。步驟507、根據N-I級NAT設備對應的N_1級接入子網,查詢地址分配設備中與所述N-I級接入子網對應的地址分配記錄,確定所述N-2級源地址的分配對象。若數據包中還包括N-3級源地址等,則按照類似于步驟507的步驟重復,直到找到最初始的源地址的分配對象。本發(fā)明實施例根據IPv4數據包包頭選項字段或IPv6數據包擴展包頭中存放的地址轉換前的地址和地址分配設備的地址分配記錄進行地址溯源,無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖6是本發(fā)明提供的一種數據包溯源方法實施例三的流程圖,如圖6所示,該方法包括步驟601 接收數據包,該數據包的包頭中有N個地址轉換前的地址;N為大于0的自然數,這個N通常等于該數據包進行地址轉換的次數,N個地址轉換前的地址也就是O級源地址,1級源地址,...,N-I級源地址。
      步驟602 根據數據包源地址字段中的N級源地址,定位該N級源地址對應的接入網;也就是上述實施例中所說的包頭源地址字段中的N級源地址,步驟603 查詢地址分配設備中與所述接入網對應的地址分配記錄,確定進行N級地址轉換的N級NAT設備,確定N級NAT設備對應的N級接入子網;其中,N級地址轉換也就是最后一次地址轉換,也就是將包頭源地址地段中的地址轉換為N級源地址的那次。步驟604 判斷N是否大于1,若大于,執(zhí)行步驟605,若不大于執(zhí)行步驟607 ;步驟605 讀取N-I級源地址,查詢地址分配設備中與N級接入子網對應的地址分配記錄,確定進行N-I級地址轉換的N-I級NAT設備,并確定該N-I級NAT設備對應的N-I 級接入子網;步驟606 令N = N-1,返回步驟604 ;步驟607 查詢地址分配設備中與1級接入子網對應的地址分配記錄,確定1級地址轉換前的地址的分配對象。1級地址轉換前的地址也就是0級源地址,即最初始的源地址。本發(fā)明實施例通過數據包中存放的多個地址轉換前的地址和地址分配設備中對應多個接入網層次的地址分配記錄,進行多級地址溯源,而無需查找多個接入網層次對應的多級NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,而使得通過NAT 設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖7是本發(fā)明提供的一種數據包處理裝置實施例一的結構示意圖,如圖7所示,該裝置包括第一接收單元71,用于接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;地址轉換單元72,用于根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;數據包生成單元73,用于生成包含所述N級源地址和N-I級源地址的第二數據包;發(fā)送單元74,用于發(fā)送所述第二數據包。本發(fā)明實施例的具體實現參照本發(fā)明提供的一種數據包處理方法實施例一。本發(fā)明實施例通過在地址轉換時將轉換前的地址存放在數據包里,使得溯源時能夠直接從數據包中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖8是本發(fā)明提供的一種數據包處理裝置實施例二的結構示意圖,如圖8所示,該裝置包括第一接收單元81,用于接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;地址轉換單元82,用于根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;數據包生成單元83,用于生成第二數據包,若所述第二數據包是IPv4數據包,則將所述N-I級源地址包含在所述第二數據包包頭的選項字段中;若所述第二數據包是IPv6 數據包,則將所述N-I級源地址包含在所述第二數據包的擴展包頭中;發(fā)送單元84,用于發(fā)送所述第二數據包。優(yōu)選地,數據包生成單元83具體用于若N大于等于2,所述第一數據包還包含 N-2級源地址,則所述第二數據包中所述N-2級源地址與所述N-I級源地址按預設順序存放。優(yōu)選地,地址轉換單元82具體包括選擇子單元821,用于從至少一個目標源地址中選擇一個作為所述N級源地址;轉換子單元822,用于將所述N-I級源地址轉換為N級源地址。優(yōu)選地,地址轉換單元82還包括地址接收子單元823,用于接收地址分配設備分配的所述至少一個目標源地址。本發(fā)明實施例的具體實現參照本發(fā)明提供的一種數據包處理方法實施例二。本發(fā)明實施例通過在地址轉換時將轉換前的地址放在IPv4數據包的擴展字段或是IPv6數據包的擴展包頭里,使得溯源時能夠直接從IPv4數據包的擴展字段或是IPv6數據包的擴展包頭中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖9是本發(fā)明提供的一種數據包溯源裝置實施例一的結構示意圖,如圖9所示,該裝置包括第二接收單元91,用于接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,N 為正整數;查詢單元92,用于確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄。確定所述N級源地址的分配對象,所述分配對象是將所述 N-I級源地址轉換為所述N級源地址的N級網絡地址轉換NAT設備;溯源單元93,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。本發(fā)明實施例的具體實現可以參照本發(fā)明提供的一種數據包溯源方法實施例一。 本發(fā)明實施例根據數據包里存放的地址轉換前的地址和地址分配設備的地址分配記錄,進行地址溯源,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖10是本發(fā)明提供的一種數據包溯源裝置實施例二的結構示意圖,如圖10所示, 該裝置包括第二接收單元11,用于接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,N 為正整數;查詢單元12,用于確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄。確定所述N級源地址的分配對象,所述分配對象是將所述 N-I級源地址轉換為所述N級源地址的N級網絡地址轉換NAT設備;溯源單元13,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。溯源單元13具體包括地址讀取子單元131,用于若所述數據包是IPv4數據包,則從所述數據包包頭的選項字段中讀取所述N-I級源地址,若所述數據包是IPv6數據包,則從所述數據包的擴展包頭中讀取所述N-I級源地址;溯源子單元132,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。優(yōu)選地,若N大于等于2,所述數據包中還包含N-2級源地址,所述N_2級源地址是所述N-I級源地址進行地址轉換前的源地址,溯源子單元132具體用于確定將所述N-2級源地址轉換為所述N-I級源地址的N-I級NAT設備,根據所述N-I級NAT設備對應的N-I級接入子網,查詢地址分配設備中與所述N-I級接入子網對應的地址分配記錄,確定所述N-2 級源地址的分配對象。優(yōu)選地,溯源單元132具體用于在所述數據包中按照預設的存放順序讀取所述 N-I級源地址和所述N-2級源地址。本發(fā)明實施例的具體實現參照本發(fā)明提供的一種數據包溯源方法實施例二。本發(fā)明實施例根據IPv4數據包包頭選項字段或IPv6數據包擴展包頭中存放的地址轉換前的地址和地址分配設備的地址分配記錄,進行地址溯源,而無需查找NAT設備的地址轉換記錄, 解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。圖11是本發(fā)明提供的一種溯源系統(tǒng)實施例的結構示意圖,如圖11所示,該系統(tǒng)包括地址分配設備21,用于分配地址,并存儲地址分配記錄;與地址分配設備連接21 的NAT設備22和溯源設備23 ;NAT設備22包括如上述任一實施例所述的數據包處理裝置;溯源設備23包括如上述任一實施例所述的數據包溯源裝置。本發(fā)明通過地址轉換時將轉換前的地址存放在數據包里,使得溯源時能夠根據從數據包中找到轉換前的地址和地址分配設備的地址分配記錄進行溯源,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。本發(fā)明實施例中的地址分配設備和現有技術中的地址分配設備一樣,可以給各網絡節(jié)點分配地址,包括用戶和本發(fā)明所提供的數據包處理裝置,并且在地址分配設備中存儲有對應用戶和接入網/接入子網的地址分配記錄,其中對應于接入網/接入子網的地址分配記錄也叫做地址池配置記錄。在實際應用中,地址分配設備通常采用分布式架構,可以看成對應每一級接入網/接入子網有一個地址分配實體,該地址分配實體中存儲有對應接入網/接入子網的地址池配置記錄。為了實現方便,每個地址分配實體還可以跟同一級的數據包處理裝置在一個硬件平臺上實現,比如集成在NAT設備中。這種情況下,雖然地址分配實體和數據包處理裝置共用NAT設備的存儲資源,但是由于地址分配實體中的地址分配記錄是一種靜態(tài)的信息,且信息結構很簡單,相對于NAT設備的動態(tài)的結構復雜的地址轉換記錄來說,占用存儲量極少,因此仍可以解決現有技術中由于NAT設備存儲有限,而使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍。
      權利要求
      1.一種數據包處理方法,其特征在于,包括接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;生成包含所述N級源地址和N-I級源地址的第二數據包;發(fā)送所述第二數據包。
      2.根據權利要求1所述的方法,其特征在于,若所述第二數據包是IPv4數據包,則所述N-I級源地址包含在所述第二數據包包頭的選項字段中;若所述第二數據包是IPv6數據包,則所述N-I級源地址包含在所述第二數據包的擴展包頭中。
      3.根據權利要求1或2所述的方法,其特征在于,若N不小于2,所述第一數據包還包含N-2級源地址,則所述第二數據包中所述N-2級源地址與所述N-I級源地址按預設順序存放。
      4.根據權利要求1或2所述的方法,其特征在于,所述根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址具體包括從至少一個目標源地址中選擇一個作為所述N級源地址,將所述N-I級源地址轉換為 N級源地址。
      5.根據權利要求4所述的方法,其特征在于,所述從至少一個目標源地址中選擇一個作為所述N級源地址之前還包括接收地址分配設備分配的所述至少一個目標源地址。
      6.一種數據包溯源方法,其特征在于,包括接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,N為正整數;確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄,確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述 N級源地址的N級網絡地址轉換NAT設備;根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。
      7.根據權利要求6所述的方法,其特征在于,若N不小于2,所述數據包中還包含N-2 級源地址,所述N-2級源地址是所述N-I級源地址進行地址轉換前的源地址;所述確定所述N-I級源地址的分配對象具體包括確定將所述N-2級源地址轉換為所述N-I級源地址的N-I級NAT設備;所述確定所述N-I級源地址的分配對象之后還包括根據所述N-I級NAT設備對應的 N-I級接入子網,查詢地址分配設備中與所述N-I級接入子網對應的地址分配記錄,確定所述N-2級源地址的分配對象。
      8.根據權利要7所述的方法,其特征在于,還包括在所述數據包中按照預設的存放順序讀取所述N-I級源地址和所述N-2級源地址。
      9.根據權利要求6 8任一所述的方法,其特征在于,所述確定所述N-I級源地址的分配對象之前還包括若是IPv4數據包,則從所述數據包包頭的選項字段中讀取所述N-I級源地址;若是 IPv6數據包,則從所述數據包的擴展包頭中讀取所述N-I級源地址。
      10.一種數據包處理裝置,其特征在于,包括第一接收單元,用于接收第一數據包,所述第一數據包的源地址為N-I級源地址,N為正整數;地址轉換單元,用于根據預設的地址轉換規(guī)則,將所述N-I級源地址轉換為N級源地址;數據包生成單元,用于生成包含所述N級源地址和N-I級源地址的第二數據包; 發(fā)送單元,用于發(fā)送所述第二數據包。
      11.根據權利要求10所述的裝置,其特征在于,所述數據包生成單元具體用于 若所述第二數據包是IPv4數據包,則所述N-I級源地址包含在所述第二數據包包頭的選項字段中;若所述第二數據包是IPv6數據包,則所述N-I級源地址包含在所述第二數據包的擴展包頭中。
      12.根據權利要求10或11所述的裝置,其特征在于,所述數據包生成單元具體用于 若N不小于2,所述第一數據包還包含N-2級源地址,則所述第二數據包中所述N-2級源地址與所述N-I級源地址按預設順序存放。
      13.根據權利要求10或11所述的裝置,其特征在于,所述地址轉換單元具體包括 選擇子單元,用于從至少一個目標源地址中選擇一個作為所述N級源地址;轉換子單元,用于將所述N-I級源地址轉換為N級源地址。
      14.根據權利要求13所述的裝置,其特征在于,所述地址轉換單元還包括 地址接收子單元,用于接收地址分配設備分配的所述至少一個目標源地址。
      15.一種數據包溯源裝置,其特征在于,包括第二接收單元,用于接收數據包,所述數據包的源地址為N級源地址,所述數據包中包含N-I級源地址,所述N-I級源地址是所述N級源地址進行地址轉換前的源地址,N為正整數;查詢單元,用于確定所述N級源地址對應的接入網,查詢地址分配設備中與所述接入網對應的地址分配記錄。確定所述N級源地址的分配對象,所述分配對象是將所述N-I級源地址轉換為所述N級源地址的N級網絡地址轉換NAT設備;溯源單元,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。
      16.根據權利要求15所述的裝置,其特征在于,若N不小于2,所述數據包中還包含N-2 級源地址,所述N-2級源地址是所述N-I級源地址進行地址轉換前的源地址,所述溯源單元具體用于確定將所述N-2級源地址轉換為所述N-I級源地址的N-I級 NAT設備,根據所述N-I級NAT設備對應的N-I級接入子網,查詢地址分配設備中與所述N-I 級接入子網對應的地址分配記錄,確定所述N-2級源地址的分配對象。
      17.根據權利要16所述的裝置,其特征在于,所述溯源單元具體用于在所述數據包中按照預設的存放順序讀取所述N-I級源地址和所述N-2級源地址。
      18.根據權利要求15 17任一所述的裝置,其特征在于,所述溯源單元具體包括 地址讀取子單元,用于若所述數據包是IPv4數據包,則從所述數據包包頭的選項字段中讀取所述N-I級源地址,若所述數據包是IPv6數據包,則從所述數據包的擴展包頭中讀取所述N-I級源地址;溯源子單元,用于根據所述N級NAT設備對應的N級接入子網,查詢地址分配設備中與所述N級接入子網對應的地址分配記錄,確定所述N-I級源地址的分配對象。
      19. 一種溯源系統(tǒng),包括地址分配設備,用于分配地址,并存儲地址分配記錄;與地址分配設備連接的NAT設備和溯源設備;其特征在于,所述NAT設備包括如權利要求10 14任一所述的數據包處理裝置; 所述溯源設備包括如權利要求15 18任一所述的數據包溯源裝置。
      全文摘要
      本發(fā)明提供一種數據包處理和溯源方法、裝置及系統(tǒng)。數據包處理方法包括接收第一數據包,所述第一數據包的源地址為N-1級源地址,N為正整數;根據預設的地址轉換規(guī)則,將所述N-1級源地址轉換為N級源地址,生成包含所述N級源地址和N-1級源地址的第二數據包;發(fā)送所述第二數據包。本發(fā)明通過在地址轉換時將轉換前的地址存放在數據包里,溯源時能夠直接從數據包中找到轉換前的地址,而無需查找NAT設備的地址轉換記錄,解決現有技術中由于NAT設備存儲有限,使得通過NAT設備中存儲的地址轉換記錄來溯源導致溯源失敗的問題。
      文檔編號H04L29/12GK102316176SQ201110212609
      公開日2012年1月11日 申請日期2011年7月27日 優(yōu)先權日2011年7月27日
      發(fā)明者朱田, 王偉, 王利明, 馬迪 申請人:中國科學院計算機網絡信息中心
      網友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1