[发明专利]一种IP地址可达性的检查方法及装置

说明书

技术领域

本发明涉及网络技术，尤其涉及一种IP地址可达性的检查方法及装置。

背景技术

随着网络规模的迅速扩大，安全问题变得日益复杂，这对网络安全设备提出了很高的要求。目前广泛在网络安全设备中使用的NAT技术本来是用来实现IPv4地址节约的，但NAT技术有带有着天然的安全性，因此很多网络安全设备都集成有NAT功能。设备对收到的报文进行NAT转换并把报文转发给下一条网络设备。但是由于使用了NAT技术之后，可能引发回程路由的缺失而导致网络不通的问题。

请参考图1，NAT网关设备外网口地址池为101.111.36.18-200，相应地路由器有一条回程方向到101.111.36.0/24的回程路由，由于路由器上的掩码是24位的，因此回程路由覆盖范围是101.111.36.0-255，此时101.111.36.18-200被完全覆盖到。PC1访问internet的报文经过NAT网关设备后转换地址为101.111.36.18-200中的一个（如101.111.36.55），回程报文可以经过路由器顺利回到NAT网关设备，经过NAT地址转换后回到内网的PC1上。假设由于路由器上因为人为等原因将回程路由修改为101.111.36.128/25，此时掩码是25位，因此覆盖的范围是101.111.36.129-255，那么经过NAT转换后的公网地址在101.111.36.18-128之间的，在路由器上都没有回程反向的路由，路由器无法将目的IP地址是101.111.36.18-128的报文转发给NAT网关设备，这意味着101.111.36.18-128是没有回程路由的，这些NAT地址池中的IP地址对外部网络来说是不可达的。

在上述的实例中，如果101.111.36.18-200这个地址池中的所有IP地址都没有回程路由，那么管理员至少可以及时发现所有NAT网关设备内部的用户都接收不到外部报文这一现象，可以迅速展开故障排除工作，但是NAT网管设备接收不到外部报文的可能性有很多种，管理员要进行很多可能情况的一一排除。更为重要的是，在上述的实例中，有一部分IP地址（101.111.36.129-200）有回程路由，而另一部分IP地址101.111.36.18-128没有回程路由。这种情况下，管理员首先要经过较长时间才会发现网络出现问题，而且难以准确还原出问题的全貌，因为NAT地址转换选择的公网地址可能是随机的，通常不是严格按照一个不变规律进行选择的，因此管理员并不会直观地了解到哪些IP地址不可达而哪些IP地址可达。事实上，管理员会发现用户有的通信正常，有的通信不正常，有可能会误判为对端网络有问题或者运营商网络有问题。其次，由于管理员可能不知道路由器（可能不属于管理员自己的管理范围，比如说是运营商的路由器）上的回程路由已经修改了，管理员可能是无法知晓的。

发明内容

有鉴于此，本发明提供一种IP地址可达性的检测装置，其应用于管理服务器上，该装置包括：

日志处理单元，用于接收NAT网关设备发送的流量日志，并将该流量日志中反向流量为零且正向流量不为零的TCP会话确定为流量异常会话；其中所述反向流量为从NAT网关设备外部发送到NAT网关设备内部的流量；

异常判决单元，用于在当前的统计周期内统计NAT转换后的源IP地址的所有会话中流量异常会话的比例，如果该比例达到第一预定阈值则判定为该NAT转换后的源IP地址不可达并通知管理员。

本发明还提供一种IP地址可达性的检测方法，其应用于管理服务器上，该方法包括：

A、接收NAT网关设备发送的流量日志，并将该流量日志中反向流量为零且正向流量不为零的TCP会话确定为流量异常会话；其中所述反向流量为从NAT网关设备外部发送到NAT网关设备内部的流量；

B、在当前的统计周期内统计NAT转换后的源IP地址的所有会话中流量异常会话的比例，如果该比例达到第一预定阈值则判定为该NAT转换后的源IP地址不可达并通知管理员。

本发明通过对NAT流量日志的深入处理，能够及时发现一个或者多个NAT转换后的IP地址（NAT地址池中的IP地址）不可达的情形，有助于管理员及时通过各种措施排除网络中影响业务的故障或者错误配置，比如说上级路由器缺乏回程路由等。

附图说明

图1是本发明一种典型的带有NAT网关设备的组网图。

图2是本发明一种实施方式中IP地址可达性检测装置的逻辑结构图。

具体实施方式