[发明专利]一种NAT地址池中不可用地址检测的方法及装置

说明书

技术领域

本发明涉及数据网络通信领域中的网络安全技术，尤其涉及一种NAT地址池中不可用地址检测的方法和装置。

背景技术

随着因特网的发展，越来越多的网络设备连接到因特网上。网络设备想要访问其他的网络设备，需要配置IP地址。IP地址分为私网IP和公网IP，私网用户应当使用公网IP访问因特网。NAT（网络地址转换）能够将私网IP转化为公网IP，存放公网IP的容器即为NAT地址池。将公网IP+65536个端口，即每个IP能够分出65536个IP地址供用户使用，能够最大限度的分配这些公网IP地址。用户携带私网IP进行数据交互，NAT设备会为该报文创建一条会话，从NAT地址池中随机分配一个公网IP返回给用户，用户再携带该公网IP进行对外数据交互，直至数据交互过程完成，该条会话标志为结束，NAT地址池将收回该公网IP。

当NAT地址池中出现不可用地址的时候，例如当用户从NAT地址池中分配到一个公网IP，通过该公网IP访问非法网站，网监部门检测到该公网IP正在进行非法操作而将此公网IP禁用，则后续分配到该IP的用户将不可再上网，管理人员不能及时发现和处理此问题，导致分配到该IP的用户会话创建不成功，从而引发网络异常。

发明内容

有鉴于此，本发明提供一种NAT地址池中不可用地址检测的方法和装置，能够高效、快速检测分析地址池中地址不可用。

本发明的技术方案如下：

一种NAT地址池中不可用地址的检测方法，所述方法包括：

步骤A：对每一个NAT会话建立一条NAT日志，所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态；

步骤B：判断所述NAT日志中的所述源IP的TCP会话状态是否正常，若是，则将该源IP对应的正常会话数加1，否则，将该源IP对应的老化会话数加1；

步骤C：判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值，若是，则确定NAT地址池中所述源IP不可用。

本发明同时提供一种NAT地址池中不可用地址的检测装置，其特征在于，所述装置包括：

会话建立模块，用于对每一个NAT会话建立一条NAT日志，所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态；

状态判断模块，用于判断所述NAT日志中的所述源IP的TCP会话状态是否正常，若是，则将该源IP对应的正常会话数加1，否则，将该源IP对应的老化会话数加1；

比率判断模块，用于判断所述源IP对应的老化会话数占该源IP的总会话数的比率是否超过预设的第一门限值，若是，则确定NAT地址池中所述源IP不可用。

本发明提供一种NAT地址池中不可用地址检测的方法和装置，通过判断IP地址对应的老化会话数占总会话数的比率，检测NAT地址池中IP地址是否可用，从而避免网络异常的产生。

附图说明

图1为本发明中一种NAT地址池中不可用地址的检测装置逻辑图。

图2为本发明中一种NAT地址池中不可用地址的检测方法流程图。

图3为本发明中会话状态判断方法流程图。

图4为本发明中不可用地址确认方法路程图。

具体实施方式

本发明提供一种NAT地址池中不可用地址检测的方法和装置，用于NAT设备。为了检测NAT地址池中不可用地址，本发明通过对每个会话建立一条NAT日志，并判断所述NAT日志中的源IP的TCP会话状态是否正常，若正常则将该源IP对应的正常会话数加1，否则，将该源IP对应的老化会话数加1，然后进一步判断所述源IP对应的老化会话数占该源IP总会话的比率是否超过预设的门限值，若是则确定NAT地址池中所述IP不可用。

为了更加清楚和明白地表述本发明，以下结合实施例对本发明技术方案进行详细说明。请参考图1，为本发明一种NAT地址池中不可用地址的检测装置逻辑图，所述装置包括会话建立模块、状态判断模块和比率判断模块。请进一步参照图2，利用所述装置执行所述方法包括：

步骤A：会话建立模块对每一个NAT会话建立一条NAT日志，所述NAT日志包括地址转换后的源IP以及所述源IP的TCP会话状态，本步骤由所述会话建立模块执行；