本发明专利技术公开了一种跨NAT环境下客户端接入方法和系统,包括:步骤1)客户端登录后,业务服务器判断客户端是否跨NAT的用户,如果用户为跨NAT用户,则判断数据包的合法性,并向合法的客户端发送修改生存时间TTL值的命令,告知修改TTL值;步骤2)客户端收到业务服务器修改TTL值的命令后,会将外发的数据包的TTL值修改为业务服务器指定的TTL值;步骤3)业务服务器收到交换机镜像过来的数据包后,判断TTL值是否合法,如果TTL值合法,则认定此数据包为合法客户端发送的数据包;否则继续判断数据包的合法性,并向非法的客户端发送RST包或数据重定向包。
【技术实现步骤摘要】
[OOOU 本专利技术属于互联网领域,设及一种跨MT环境下客户端接入方法和系统。
技术介绍
旁路准入为目前市面上准入产品中使用最广泛且最稳定的准入实现方式,它不影 响客户的网络环境,仅仅需要在客户网络环境的总出口交换机上配置好端口镜像,将网络 数据镜像到服务器上进行相应的判断处理即可实现准入的效果。 当服务器收到镜像到的数据包后,会根据自身规则判断数据包的合法性,如果数 据包合法,则对数据不进行任何处理,如果数据非法,则通过发送RST或者数据重定向包的 方式来实现对客户端访问网络数据的阻断功能。 旁路准入方式虽然可W在不影响客户网络环境的情况下实现准入效果,但它存在 一个问题就是,客户端如果跨了NAT的话,IP在经过地址转换后仅仅能获取到转换后的IP, 无法获取到NAT下哪些客户端是合法,哪些是非法。
技术实现思路
本专利技术所要解决的技术问题是在不影响客户网络环境的情况下实现准入效果,且 可W适用于客户端跨NAT环境下。 本专利技术解决上述技术问题所采取的技术方案如下: 一种跨NAT环境下客户端接入方法,包括:[000引步骤1)客户端登录后,业务服务器判断客户端是否跨NAT的用户,如果用户为跨NAT用户,则判断数据包的合法性,并向合法的客户端发送修改生存时间ITL值的命令,告 知修改ITL值; 步骤2)客户端收到业务服务器修改ITL值的命令后,会将外发的数据包的ITL值 修改为业务服务器指定的ITL值; 步骤3)业务服务器收到交换机镜像过来的数据包后,判断ITL值是否合法,如果 ITL值合法,则认定此数据包为合法客户端发送的数据包; 否则继续判断数据包的合法性,并向非法的客户端发送RST包或数据重定向包。 [001引进一步地,优选的是,步骤1中,业务服务器判断客户端是否跨NAT的用户,具体包 括: 业务服务器获取客户端登录后发送的本机IP地址;通过客户端连接业务服务器 的socket接口获取到对端的IP地址,如果获取到的对端IP和对端提交的本机IP不在一 个网段,则判定客户端为跨NAT。 进一步地,优选的是,步骤3中,判断ITL值是否合法,具体包括: 提取数据包中的IP头的数据; 判断IP头的1TL值是否在指定的ITL合法范围内,如果合法,则此数据包直接放 行,不进行处理;如果不在指定的ITL合法范围内,则继续按照已有的处理流程判断数据包 的合法性。 进一步地,优选的是,步骤3中,向非法的客户端发送RST包或数据重定向包,具体 包括: 如果数据包非法,则判断业务服务器与客户端之间是否有指定通讯的http端口, 如果有,则发送重定向数据包,其它则发送RST数据包。进一步地,优选的是,判断数据包的合法性,是基于现有的预设既有策略。 一种跨NAT环境下客户端接入系统,包括: 业务服务器和交换机,且业务服务器镜像旁路连接于交换机上,[002引所述业务服务器,用于在客户端登录后,判断客户端是否跨NAT的用户,如果用户 为跨NAT用户,则判断数据包的合法性,并向合法的客户端发送修改生存时间ITL值的命 令,告知修改ITL值;所述客户端,在收到业务服务器修改1TL值的命令后,会将外发的数据包的ITL值 修改为服务器指定的ITL值; 交换机,用于向业务服务器镜像客户端发送的数据包; 业务服务器,进一步在收到交换机镜像过来的数据包后,判断1TL值是否合法,如 果ITL值合法,则认定此数据包为合法客户端发送的数据包; 否则继续判断数据包的合法性,并向非法的客户端发送RST包或数据重定向包。进一步地,优选的是,业务服务器判断客户端是否跨NAT的用户,具体包括:[002引业务服务器获取客户端登录后发送的本机IP地址;通过客户端连接服务器的socket接口获取到对端的IP地址,如果获取到的对端IP和对端提交的本机IP不在一个网 段,则判定客户端为跨NAT。进一步地,优选的是,业务服务器,判断1TL值是否合法,具体包括: 提取数据包中的IP头的数据;[003U判断IP头的1TL值是否在指定的ITL合法范围内,如果合法,则此数据包直接放 行,不进行处理;如果不在指定的ITL合法范围内,则继续按照已有的处理流程判断数据包 的合法性。进一步地,优选的是,业务服务器,向非法的客户端发送RST包或数据重定向包, 具体包括:[003引如果数据包非法,则判断业务服务器与客户端之间是否有指定通讯的http端口, 如果有,则发送重定向数据包,其它则发送RST数据包。进一步地,优选的是,业务服务器,判断数据包的合法性,是基于现有的预设既有 策略。本专利技术采取了上述方案W后,在确保不改变客户网络环境的情况下,可W通过分 析数据包中的ITL值来判断客户端的数据包是否合法,来实现网络准入的效果。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明 书、权利要求书、W及附图中所特别指出的结构来实现和获得。【附图说明】 下面结合附图对本专利技术进行详细的描述,W使得本专利技术的上述优点更加明确。其 中,[003引图1是本专利技术跨NAT环境下客户端接入系统的示意图; 图2是本专利技术跨NAT环境下客户端接入方法的示意图; 图3是本专利技术跨NAT环境下客户端接入方法的示意图。【具体实施方式】 W下将结合附图及实施例来详细说明本专利技术的实施方式,借此对本专利技术如何应用 技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据W实施。需要说明 的是,只要不构成冲突,本专利技术中的各个实施例W及各实施例中的各个特征可W相互结合, 所形成的技术方案均在本专利技术的保护范围之内。 另外,在附图的流程图示出的步骤可W在诸如一组计算机可执行指令的计算机系 统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可不同于此处 的顺序执行所示出或描述的步骤。 lTL;TimeToLive,该字段指定IP包被路由器丢弃之前允许通过的最大网段数 量,是IPv4包头的一个8bit字段,位于IPv4包的第9个字节。 NAT;NetworkAcMressTranslation,网络地址转换。 实施例一; 一种跨NAT环境下客户端接入方法,其特征在于,包括: 步骤1)客户端登录后,业务服务器判断客户端是否跨NAT的用户,如果用户为跨 NAT用户,则判断数据包的合法性,并向合法的客户端发送修改生存时间ITL值的命令,告 知修改ITL值; 步骤2)客户端收到业务服务器修改ITL值的命令后,会将外发的数据包的ITL值 修改为业务服务器指定的ITL值; 步骤3)业务服务器收到交换机镜像过来的数据包后,判断ITL值是否合法,如果 ITL值合法,则认定此数据包为合法客户端发送的数据包; 否则继续判断数据包的合法性,并向非法的客户端发送RST包或数据重定向包。 本实施例采取了上述方案W后,在确保不改变客户网络环境的情况下,可W通过 分析数据包中的ITL值来判断客户端的数据包是当前第1页1 2 本文档来自技高网...
【技术保护点】
一种跨NAT环境下客户端接入方法,其特征在于,包括:步骤1)客户端登录后,业务服务器判断客户端是否跨NAT的用户,如果用户为跨NAT用户,则判断数据包的合法性,并向合法的客户端发送修改生存时间TTL值的命令,告知修改TTL值;步骤2)客户端收到业务服务器修改TTL值的命令后,会将外发的数据包的TTL值修改为业务服务器指定的TTL值;步骤3)业务服务器收到交换机镜像过来的数据包后,判断TTL值是否合法,如果TTL值合法,则认定此数据包为合法客户端发送的数据包;否则继续判断数据包的合法性,并向非法的客户端发送RST包或数据重定向包。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴永,范龙,
申请(专利权)人:山东华软金盾软件有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。