本发明专利技术提供一种连接建立方法和装置,该方法包括:在接收到连接建立报文时,若分配资源池内没有可用的NAT资源,则从预留资源池内选择一个可用的NAT资源,并利用所述NAT资源为所述连接建立报文建立第一连接;在识别出所述第一连接对应的应用类型后,确定所述应用类型的优先级;若所述优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给所述第二连接的NAT资源。通过本发明专利技术的技术方案,可以保证用户关键业务的正常使用,提高用户使用体验,防止滥用NAT资源。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种连接建立方法和装置。
技术介绍
NAT(NetworkAddressTranslation,网络地址转换)是将IP报文的报文头中IP地址转换为另一个IP地址的过程,用于解决IP地址不足的问题。在实际应用中,NAT可以实现内部网络用户访问外部公共网络的功能,也可以允许外部公共网络访问部分内部网络资源(如内部服务器)。由于在外部公共网络上显示的是NAT转换后的公网IP地址,外部公共网络不知道内部网络用户/内部服务器的IP地址,因此NAT功能还可以保证内部网络用户/内部服务器的安全。NAT配置方式可以包括动态配置方式和静态配置方式。在静态配置方式中,私网IP地址与公网IP地址一一对应。在动态配置方式中,多个私网IP地址可以对应一个公网IP地址,这多个私网IP地址对应该公网IP地址的多个端口,从而节约公网IP地址。无论采用哪种NAT配置方式,NAT资源的数量都是有限的。例如,在静态配置方式中,假设公网地址池内有10个公网IP地址,则NAT资源的数量为10个。在动态配置方式中,假设公网地址池内有10个公网IP地址,每个公网IP地址对应10个端口,则NAT资源的数量为100个。由于NAT资源的数量有限,当NAT资源被耗尽时,则无法建立新连接,导致新连接的业务中断。例如,当用户开启P2P软件时,该P2P软件会建立大量连接,这些连接会迅速消耗NAT资源,待NAT资源被耗尽时,由于没有NAT资源,会导致新连接(P2P连接或者其它应用类型的连接)中断,连接建立失败。
技术实现思路
本专利技术提供一种连接建立方法,所述方法包括:在接收到连接建立报文时,若预先配置的分配资源池内没有可用的网络地址转换NAT资源,则从预先配置的预留资源池内选择一个可用的NAT资源,并利用所述NAT资源为所述连接建立报文建立第一连接;在识别出所述第一连接对应的应用类型后,确定所述应用类型的优先级;若所述优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给所述第二连接的NAT资源。本专利技术提供一种连接建立装置,所述装置包括:建立模块,用于在接收到连接建立报文时,若预先配置的分配资源池内没有可用的网络地址转换NAT资源,则从预先配置的预留资源池内选择一个可用的NAT资源,并利用所述NAT资源为所述连接建立报文建立第一连接;处理模块,用于在识别出所述第一连接对应的应用类型后,确定所述应用类型的优先级;若所述优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给所述第二连接的NAT资源。基于上述技术方案,本专利技术实施例中,当NAT资源被耗尽时,可以优先保证高优先级的应用类型对应的连接被正常建立,为该连接分配NAT资源,保证用户关键业务的正常使用,提高用户使用体验,防止单个用户或者单个IP滥用NAT资源。而且,在接收到连接建立报文后,若未识别出其应用类型,由于此时不知道该连接建立报文对应的优先级,因此,可以先从预留资源池内选择一个可用的NAT资源,并利用该NAT资源建立连接,而不是直接丢弃该连接建立报文,从而避免连接无法建立的问题。待识别出该连接建立报文对应的应用类型后,就可以基于该应用类型对应的优先级去释放更低优先级的连接。附图说明为了更加清楚地说明本专利技术实施例或者现有技术中的技术方案,下面将对本专利技术实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1是本专利技术一种实施方式中的应用场景示意图;图2是本专利技术一种实施方式中的连接建立方法的流程图;图3是本专利技术一种实施方式中的NAT设备的硬件结构图;图4是本专利技术一种实施方式中的连接建立装置的结构图。具体实施方式在本专利技术使用的术语仅仅是出于描述特定实施例的目的,而非限制本专利技术。本专利技术和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本专利技术范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本专利技术实施例中提出一种连接建立方法,该方法可以应用于NAT设备上。以图1为本专利技术实施例的应用场景示意图,NAT设备可以为一个独立设备,并部署在出口路由器与防火墙设备之间,NAT设备也可以作为一个功能模块,并部署在出口路由器或者防火墙设备上。为了方便描述,图1中以NAT设备部署在防火墙设备上为例进行说明,即由防火墙设备执行本专利技术实施例的技术方案。NAT设备上配置有多个NAT资源,这些NAT资源可以是公网IP地址,如公网IP地址1-公网IP地址100等100个NAT资源。这些NAT资源也可以是公网IP地址+端口,如公网IP地址可以为公网IP地址1-公网IP地址10,端口可以为端口1-端口10,这些公网IP地址和端口可以组合成100个NAT资源。在一个例子中,可以在NAT设备上预先配置分配资源池和预留资源池,并将部分NAT资源分配到分配资源池内,并将剩余的NAT资源分配到预留资源池内。其中,分配到预留资源池内的NAT资源的数量可以小于分配到分配资源池内的NAT资源的数量。例如,可以将公网IP地址1-公网IP地址90分配到分配资源池内,并将公网IP地址91-公网IP地址100分配到预留资源池内。在一个例子中,由于不同应用的重要性不同,因此可以为不同的应用类型配置不同的优先级。例如,邮箱应用的优先级为100,聊天应用的优先级为50,P2P应用的优先级为10。优先级的数值越大,则表示优先级越高。当然,上述描述只是给出了应用类型的几个示例,在实际应用中,还可以包括其它应用类型,而且,各应用类型的优先级也可以根据实际需要进行配置,对此不做限制。参见图2所示,为连接建立方法的流程图,该方法可以包括以下步骤:步骤201,在接收到连接建立报文时,若分配资源池内没有可用的NAT资源,则从预先配置的预留资源池内选择一个可用的NAT资源,并利用该NAT资源为该连接建立报文建立第一连接。步骤202,在识别出第一连接对应的应用类型后,确定该应用类型的优先级。步骤203,若该优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给该第二连接的NAT资源。针对步骤201,在一个例子中,当内部网络中的用户设备需要访问公共网络的服务器时,会发送针对同一数据流的多个报文,即五元组信息(如源IP地址、目的IP地址、源端口、目的端口、协议类型等)相同的多个报文,将针对同一数据流的首个报文称为连接建立报文。在接收到连接建立报文之后,由于该连接建立报文是针对同一数据流的首个报文,之前还没有为该数据流建立过连接,因此,可以采用后续步骤,确定为该数据流建立连接或者不建立连接。在一本文档来自技高网...
【技术保护点】
一种连接建立方法,其特征在于,所述方法包括:在接收到连接建立报文时,若预先配置的分配资源池内没有可用的网络地址转换NAT资源,则从预先配置的预留资源池内选择一个可用的NAT资源,并利用所述NAT资源为所述连接建立报文建立第一连接;在识别出所述第一连接对应的应用类型后,确定所述应用类型的优先级;若所述优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给所述第二连接的NAT资源。
【技术特征摘要】
1.一种连接建立方法,其特征在于,所述方法包括:在接收到连接建立报文时,若预先配置的分配资源池内没有可用的网络地址转换NAT资源,则从预先配置的预留资源池内选择一个可用的NAT资源,并利用所述NAT资源为所述连接建立报文建立第一连接;在识别出所述第一连接对应的应用类型后,确定所述应用类型的优先级;若所述优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第二连接,并回收分配给所述第二连接的NAT资源。2.根据权利要求1所述的方法,其特征在于,所述从预先配置的预留资源池内选择一个可用的NAT资源之前,所述方法进一步包括:判断是否识别出所述连接建立报文对应的应用类型;如果否,则执行从预先配置的预留资源池内选择一个可用的NAT资源的过程;如果是,则确定所述连接建立报文对应的应用类型的优先级;若确定的优先级不是当前已经建立的所有连接中的最低优先级,则断开最低优先级对应的第三连接,并回收分配给所述第三连接的NAT资源,并利用回收的NAT资源为所述连接建立报文建立连接;若确定的优先级是当前已经建立的所有连接中的最低优先级,则拒绝为所述连接建立报文建立连接。3.根据权利要求1所述的方法,其特征在于,所述确定所述应用类型的优先级之后,所述方法进一步包括:若所述优先级是当前已经建立的所有连接中的最低优先级,则断开所述第一连接,并回收分配给所述第一连接的NAT资源。4.根据权利要求1所述的方法,其特征在于,所述利用所述NAT资源为所述连接建立报文建立第一连接之后,所述方法进一步包括:若在预设时间内,未识别出所述第一连接对应的应用类型,则断开所述第一连接,并回收分配给所述第一连接的NAT资源;或,若接收到针对所述第一连接的报文的数量达到预设第一数量时,未识别出所述第一连接对应的应用类型,则断开所述第一连接,并回收分配给所述第一连接的NAT资源。5.根据权利要求1、3或4所述的方法,其特征在于,所述方法还包括:在回收NAT资源之后,判断所述预留资源池内的可用的NAT资源的数量是否达到预设第二数量;如果否,则将回收的NAT资源分配到所述预留资源池内;如果是,则将回收的NAT资源分配到所述分配资源池内。6.一种连接建立装置,其特征在于,所述装置包括:建立模块,用于在接收到连接...
【专利技术属性】
技术研发人员:易勇平,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。