專利名稱:Ip地址探測的方法及設備的制作方法
技術領域:
本發(fā)明涉及通信領域,尤其涉及一種IP地址探測的方法及設備��。
背景技術:
目前�����,國內(nèi)各運營商都是各自建網(wǎng)���,從接入網(wǎng)�、城域網(wǎng)到骨干網(wǎng)都是相互獨立���。如 果A運營商的客戶要訪問B運營商的服務器資源,則需要通過A運營商網(wǎng)絡與B運營商網(wǎng) 絡之間統(tǒng)一的訪問通道�����,該訪問通道中包括交換中心,交換中心分別統(tǒng)計從A運營商主動 訪問B運營商的流量和B運營商主動訪問A運營商的流量���,進行雙向的流量計費��,這部分跨 網(wǎng)的流量稱為穿網(wǎng)流量?����,F(xiàn)有技術中���,有一些客戶購買A運營商和B運營商的網(wǎng)絡后,然后將A運營商的網(wǎng) 絡轉(zhuǎn)賣給其他運營商�。其他運營商僅需要向這些客戶支付費用而逃避向A運營商支付費 用。如圖1所示����,用戶2是B運營商的合法用戶,IDCanternet Data Center�,互聯(lián)網(wǎng)數(shù)據(jù) 中心)用戶2既是ISPanternet krviceProvider,互聯(lián)網(wǎng)服務提供商)A的用戶又是ISP B的用戶�。如果用戶2要請求A運營商的資源,有兩種方式一是通過網(wǎng)間訪問通道訪問,二 是通過IDC用戶2訪問��。如果用戶2通過IDC用戶2請求A運營商的資源�����,將逃避向A運 營商付費�,這種穿網(wǎng)流量不需要計費的方式稱為流量穿透。為了解決上述逃避付費的問題���,現(xiàn)有技術中采用路由策略和源地址檢查的方式來 探測流量穿透���。如圖2所示,企業(yè)內(nèi)部網(wǎng)絡的出口路由器從IDC的核心層路由器(接入路 由器)學習ISP A和B的路由�,并發(fā)布學習到的路由,使得用戶2得到通過出口路由器訪問 ISP A的路由�����。在ISP A的核心路由器下行接口(連接企業(yè)客戶的接口)上啟動路由策略 和源地址檢查��。路由策略是要求不接收除了既定地址范圍之外的其他路由信息����,這些既定 地址需要預先在核心層路由器的下行接口上配置。由于用戶2的地址不在既定地址范圍 內(nèi),因此用戶2無法通過核心層路由器的下行接口訪問ISP A0源地址檢查方案要求ISP A 的核心層路由器從下行接口接收報文時要檢查報文的源地址信息���,如果源地址不屬于ISPA 分配給用戶的地址段范圍,則將報文直接丟棄����。上述路由策略和源地址檢查的方式可以阻止一些流量穿透,但是����,如果企業(yè)內(nèi)部 網(wǎng)絡的出口路由器啟動了 NAT (Network Address Translation,網(wǎng)絡地址轉(zhuǎn)換),則路由策 略和源地址檢查的方式無法發(fā)現(xiàn)流量穿透���。
發(fā)明內(nèi)容
本發(fā)明提供了一種IP地址探測的方法及設備�����,有效發(fā)現(xiàn)流量穿透��。本發(fā)明提供了一種IP地址探測的方法�����,應用于運營商網(wǎng)絡的接入路由器�����,所述接 入路由器通過第一接口連接接入用戶的網(wǎng)絡���,通過第二接口連接本運營商網(wǎng)絡的上行訪問 通道�����,所述接入路由器配置探測IP地址����,該方法包括所述接入路由器通過所述第一接口和所述第二接口發(fā)布所述探測IP地址的路 由����,并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述第二接口發(fā)布的路由的優(yōu)先級;所述接入路由器通過所述第一接口接收到用戶的TOB請求后���,查找與所述WEB請 求對應的會話記錄�����;當沒有查找到對應的會話記錄時�����,所述接入路由器建立與所述TOB請求對應的會 話記錄���,并返回以所述探測IP地址為重定向目的IP地址的重定向報文���;所述接入路由器通過所述第二接口接收到以所述探測IP地址為目的IP地址的報 文后,判定發(fā)送所述報文的用戶為非法用戶����。所述接入路由器配置探測IP地址包括所述接入路由器在環(huán)回Loopkick接口上 配置所述探測IP地址���。所述設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述第二接口發(fā)布的 路由的優(yōu)先級包括在通過所述第一接口發(fā)布路由時����,增加AS-Path路徑長度或修改MED值�。所述重定向報文中還攜帶所述WEB請求對應的會話記錄的特征標識,判定發(fā)送所述報文的用戶為非法用戶之后���,還包括根據(jù)所述重定向報文中攜帶 的會話記錄的特征標識查找對應的會話記錄并刪除���。當查找到對應的會話記錄時、或者當所述接入路由器通過所述第一接口接收到以 所述探測IP地址為目的IP地址的報文時��,所述接入路由器判定發(fā)送所述報文的用戶為合 法用戶。一種IP地址探測的設備����,作為接入路由器應用于運營商網(wǎng)絡,所述設備通過第一 接口連接接入用戶的網(wǎng)絡�����,通過第二接口連接本運營商網(wǎng)絡的上行訪問通道����,所述設備包 括配置單元,用于配置探測IP地址��;路由發(fā)布單元��,與所述配置單元連接�,用于通過所述第一接口和所述第二接口發(fā) 布所述探測IP地址的路由,并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述 第二接口發(fā)布的路由的優(yōu)先級����;接收單元,用于通過所述第一接口和第二接口接收用戶發(fā)送的報文��;查找單元�,與所述接收單元連接����,用于當所述接收單元通過所述第一接口接收到 用戶發(fā)送的WEB請求時��,查找與所述WEB請求對應的會話記錄�����;記錄建立單元�,與所述查找單元連接,用于當所述查找單元沒有查找到匹配的會 話記錄時���,建立與所述用戶對應的會話記錄;重定向單元�����,與所述查找單元連接�����,用于當所述查找單元沒有查找到對應的會話 記錄時��,返回以所述探測IP地址為重定向目的IP地址的重定向報文����;檢測單元��,與所述接收單元連接�����,用于檢測所述接收單元通過所述第二接口接收 到報文的目的IP地址是否為所述探測IP地址�,并在檢測結果為是時判定發(fā)送所述報文的 用戶為非法用戶����。所述配置單元還用于在環(huán)回Loopkick接口上配置所述探測IP地址。所述路由發(fā)布單元還用于在通過所述第一接口發(fā)布路由時�,增加AS-Path路徑 長度或修改MED值。所述重定向報文中還攜帶所述TOB請求對應的會話記錄的特征標識���,該設備還包括刪除單元���,與所述檢測單元連接,用于當所述檢測單元判定發(fā)送所述報文的用戶 為非法用戶時���,根據(jù)所述重定向報文中攜帶的會話記錄的特征標識查找對應的會話記錄并 刪除�����。所述檢測單元還用于當所述查找單元查找到對應的會話記錄時����、或者當所述接收單元通過所述第一接 口接收到以所述探測IP地址為目的IP地址的報文時,判定發(fā)送所述報文的用戶為合法用戶�。與現(xiàn)有技術相比,本發(fā)明至少具有以下優(yōu)點本發(fā)明中����,運營商網(wǎng)絡IDC的接入路由器配置探測IP地址,該探測IP地址通過網(wǎng) 間訪問通道發(fā)布的路由的優(yōu)先級較高���,接入路由器通過發(fā)送以探測IP地址為重定向目的 IP地址的重定向報文�,使得非法用戶需要通過網(wǎng)間訪問通道發(fā)送重定向報文����,從而能夠發(fā) 現(xiàn)非法用戶的流量穿透���。
圖1是現(xiàn)有技術中流量穿透的組網(wǎng)方式示意圖��;圖2是現(xiàn)有技術中采用路由策略和源地址檢查的方式來探測流量穿透的網(wǎng)絡示 意圖�;圖3是本發(fā)明提供的IP地址探測的系統(tǒng)示意圖���;圖4是本發(fā)明提供的IP地址探測過程的示意圖��;圖5是本發(fā)明提供的IP地址探測過程的另一示意圖�;圖6是本發(fā)明提供的IP地址探測的設備的結構示意圖。
具體實施例方式本發(fā)明中��,運營商網(wǎng)絡的接入路由器配置探測IP地址�����,并設置通過第一接口發(fā)布 的探測IP地址的路由的優(yōu)先級低于通過第二接口發(fā)布的路由的優(yōu)先級�,其中,運營商網(wǎng)絡 的接入路由器包括但不限于運營商網(wǎng)絡的IDC網(wǎng)絡�����,第一接口連接接入用戶的網(wǎng)絡���,第二 接口連接本運營商網(wǎng)絡的上行訪問通道���。接入用戶的網(wǎng)絡具體可以為IDC網(wǎng)絡下的企業(yè)內(nèi) 部網(wǎng)絡、或者寫字樓網(wǎng)絡��、企業(yè)園區(qū)網(wǎng)絡等。本運營商網(wǎng)絡的上行訪問通道通過單跳或多跳 后連接至本運營商網(wǎng)絡與其他運營商網(wǎng)絡的網(wǎng)間訪問通道�����。接入路由器在通過第一接口接收到用戶第一次發(fā)送的報文時����,向用戶發(fā)送重定向 報文,要求用戶以探測IP地址為目的IP地址重新發(fā)送WEB請求����,使非法用戶通過網(wǎng)間訪問 通道發(fā)送重定向的WEB請求,從而能夠控制非法用戶的網(wǎng)絡接入并獲取非法用戶的信息�。結合圖3所示,該系統(tǒng)中包括ISP A的IDC網(wǎng)絡�����、企業(yè)在ISP A的IDC網(wǎng)絡內(nèi)的數(shù) 據(jù)中心網(wǎng)絡�����、ISP B的網(wǎng)絡���、IDC網(wǎng)絡的核心層路由器(用戶的接入路由器)、數(shù)據(jù)中心網(wǎng)絡 的出口路由器和用戶2。其中�����,核心層路由器上配置探測IP地址IP1�����,例如配置在核心層路由器的 Loopkick(環(huán)回)接口上����。核心層路由器的端口 Pl連接數(shù)據(jù)中心網(wǎng)絡,P2連接匯聚層交換 機����,P3連接網(wǎng)間訪問通道。核心層路由器在P2或P3上正常發(fā)布IPl的路由���,在連接數(shù)據(jù)中心網(wǎng)絡的端口 Pl上發(fā)布IPl的路由時��,核心層路由器對路由信息進行處理�����,使得發(fā)布的 IPl的路由的優(yōu)先級低于通過P2或P3發(fā)布的IPl的路由的優(yōu)先級�。核心層路由器對路由 信息進行處理包括通過EBGP發(fā)布時,增加AS-Path路徑長度或是修改MED值�����;通過iBGP 發(fā)布時�,增加AS-Path路徑長度或是修改MED值。為了能夠檢測到用戶第一次發(fā)送的報文����,核心層路由器還需要針對Pl進行TOB會 話記錄。WEB會話記錄的內(nèi)容包括但不限于下述信息的一種或多種源和目的IP地址��、源 和目的端口號�、接收報文的入接口和時間戳信息。當核心層路由器通過Pl接收報文時�����,需 要檢查該報文是否存在匹配的WEB會話記錄���,如果有匹配的WEB會話記錄���,則正常轉(zhuǎn)發(fā)該報 文;如果沒有匹配的WEB會話記錄��,則需要為該報文新建一條WEB會話記錄��,優(yōu)選的��,該WEB 會話記錄中需要添加時間戳��,核心層路由器可以根據(jù)WEB會話記錄的時間戳信息老化WEB 會話記錄�。可選的�,核心層路由器還可以在發(fā)送報文時檢查是否存在與報文對應的WEB會 話記錄,檢測后的處理同上述對接收報文會話記錄檢測后的處理過程����。如果核心層路由器對接收的報文的WEB會話記錄檢測結果是需要新建一條TOB會 話記錄,則核心層路由器判定該報文是用戶第一次發(fā)送的報文��,需要進行IP地址探測�。假定用戶2第一次通過出口路由器發(fā)送的TOB請求的源IP地址是IP4,用戶2的 IP地址是IP2�����,IP地址探測過程如圖4所示�,包括步驟401,核心層路由器構建探測報文�。當核心層路由器檢測到用戶2發(fā)送的TOB請求沒有對應會話記錄時����,核心層路由 器建立與該WEB請求對應的會話記錄����,并構建探測報文。探測報文是強制重定向報文�,即模 擬WEB服務器返回的重定向報文。探測報文目的IP地址和端口號是WEB會話記錄的源IP 地址和端口號����,探測報文的源IP地址和端口號是TOB會話記錄的目的IP地址和端口號。重 定向報文中的重定向目的地址是探測IP地址IP1�。步驟402,核心層路由器通過Pl發(fā)送探測報文�。步驟403,數(shù)據(jù)中心網(wǎng)絡的出口路由器接收到探測報文�,進行NAT轉(zhuǎn)換,將探測報 文的目的IP地址由IP4轉(zhuǎn)變成IP2�����。步驟404��,出口路由器向用戶2發(fā)送探測報文����。步驟405��,用戶2根據(jù)探測報文向重定向目的地址IPl重新發(fā)送WEB請求。步驟406���,用戶2查詢目的地址為IPl的路由�,判定出口路由器對應的路由的優(yōu)先 級低于網(wǎng)間訪問通道對應的路由的優(yōu)先級�,通過網(wǎng)間訪問通道向核心層路由器發(fā)送WEB請 求。步驟407��,核心層路由器通過P3接收TOB請求��,檢測到TOB請求的目的IP地址是 IPl時�,判定用戶2為非法用戶,記錄用戶2的IP地址和訪問時間��。具體的��,核心層路由器還可以根據(jù)WEB請求的入接口和其他特征數(shù)據(jù)判斷用戶2 是否為非法用戶����,例如,可以在報文中記錄特征數(shù)據(jù)URL等�����,核心層路由器根據(jù)特征數(shù)據(jù)查 找到對應的WEB會話記錄,比較發(fā)現(xiàn)WEB會話記錄中的報文入接口為Pl�,不是P3,判斷用戶 2為非法用戶�。判定用戶2為非法用戶后,核心層路由器可以中止用戶2的網(wǎng)絡訪問�,或者 繼續(xù)允許用戶2的網(wǎng)絡訪問。核心層路由器記錄用戶2的IP地址和訪問時間��,便于跟蹤確 定非法訪問��。另外����,核心層路由器根據(jù)特征數(shù)據(jù)找到對應的WEB會話記錄,在判定用戶2非 法時刪除對應的會話記錄��。
如果核心層路由器判定的用戶第一次發(fā)送的報文�����,是由ISP A的用戶1發(fā)送的報 文�����,假定用戶1第一次通過出口路由器發(fā)送的WEB請求的源IP地址是IP4,用戶1的IP地 址是IP3���,則IP地址探測過程如圖5所示����,包括步驟501�����,核心層路由器構建探測報文�����。當核心層路由器檢測到用戶1發(fā)送的TOB請求沒有對應會話記錄時��,核心層路由 器建立與該WEB請求對應的會話記錄��,并構建探測報文�。探測報文目的IP地址和端口號是 WEB會話記錄的源IP地址和端口號�,探測報文的源IP地址和端口號是WEB會話記錄的目的 IP地址和端口號。重定向報文中的重定向目的地址是探測IP地址IP1�。步驟502,核心層路由器通過Pl發(fā)送探測報文���。步驟503����,數(shù)據(jù)中心網(wǎng)絡的出口路由器接收到探測報文,進行NAT轉(zhuǎn)換��,將探測報 文的目的IP地址由IP4轉(zhuǎn)變成IP3����。步驟504,出口路由器向用戶1發(fā)送探測報文��。步驟505�����,用戶1根據(jù)探測報文向重定向目的地址IPl重新發(fā)送WEB請求��。步驟506��,用戶1查詢目的地址為IPl的路由��,只查詢到與出口路由器對應的路由���, 通過出口路由器發(fā)送WEB請求���。步驟507�,核心層路由器接收到WEB請求�,查找到對應的TOB會話記錄,判斷TOB請 求合法����。本發(fā)明中,運營商網(wǎng)絡IDC的接入路由器配置探測IP地址�����,該探測IP地址通過網(wǎng) 間訪問通道發(fā)布的路由的優(yōu)先級較高�,接入路由器通過發(fā)送以探測IP地址為重定向目的 IP地址的重定向報文���,使得非法用戶需要通過網(wǎng)間訪問通道發(fā)送重定向報文���,從而能夠發(fā) 現(xiàn)非法用戶的流量穿透。需要說明���,本發(fā)明提供的方法不僅適用于運營商網(wǎng)絡IDC的接入路由器��,對于其 他流量穿透的網(wǎng)絡場景同樣適用�����。例如寫字樓或企業(yè)園區(qū)網(wǎng)的出口路由器同時連接A運 營商和B運營商��,只要A運營商和B運營商允許該出口路由器將全網(wǎng)路由引入到出口路由 器上��,就能配置NAT網(wǎng)關�,實現(xiàn)流量穿透,本發(fā)明提供的方案也可以應用于這種場景��,此時 與出口路由器對應的接入路由器通過上述方法同樣能解決流量穿透的問題���?��;谂c上述方法項相同的技術構思,本發(fā)明提供一種IP地址探測的設備����,作為接 入路由器應用于運營商網(wǎng)絡互聯(lián)網(wǎng)數(shù)據(jù)中心IDC,所述設備通過第一接口連接數(shù)據(jù)中心網(wǎng) 絡�����,通過第二接口連接與其他運營商網(wǎng)絡的網(wǎng)間訪問通道,如圖6所示����,所述設備包括配置單元11,用于配置探測IP地址����;路由發(fā)布單元12,與所述配置單元11連接�����,用于通過所述第一接口和所述第二接 口發(fā)布所述探測IP地址的路由�,并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過 所述第二接口發(fā)布的路由的優(yōu)先級;接收單元13�����,用于通過所述第一接口和第二接口接收用戶發(fā)送的報文����;查找單元14���,與所述接收單元13連接�����,用于當所述接收單元通過所述第一接口接 收到用戶發(fā)送的WEB請求時��,查找與所述WEB請求對應的會話記錄�����;記錄建立單元15����,與所述查找單元14連接,用于當所述查找單元沒有查找到匹配 的會話記錄時��,建立與所述用戶對應的會話記錄�;重定向單元16,與所述查找單元14連接���,用于當所述查找單元沒有查找到對應的會話記錄時��,返回以所述探測IP地址為重定向目的IP地址的重定向報文�����;檢測單元17����,與所述接收單元13連接,用于檢測所述接收單元通過所述第二接口 接收到報文的目的IP地址是否為所述探測IP地址���,并在檢測結果為是時判定發(fā)送所述報 文的用戶為非法用戶����。所述配置單元11還用于在環(huán)回Loopkick接口上配置所述探測IP地址���。所述路由發(fā)布單元12還用于在通過所述第一接口發(fā)布路由時����,增加AS-Path路 徑長度或修改MED值��。所述重定向報文中還攜帶所述TOB請求對應的會話記錄的特征標識�,該設備還包 括刪除單元18,與所述檢測單元17連接�����,用于當所述檢測單元判定發(fā)送所述報文的 用戶為非法用戶時����,根據(jù)所述重定向報文中攜帶的會話記錄的特征標識查找對應的會話記 錄并刪除。所述檢測單元17還用于當所述查找單元查找到對應的會話記錄時�����、或者當所述 接收單元通過所述第一接口接收到以所述探測IP地址為目的IP地址的報文時�,判定發(fā)送 所述報文的用戶為合法用戶。本發(fā)明中��,運營商網(wǎng)絡IDC的接入路由器配置探測IP地址�����,該探測IP地址通過網(wǎng) 間訪問通道發(fā)布的路由的優(yōu)先級較高�����,接入路由器通過發(fā)送以探測IP地址為重定向目的 IP地址的重定向報文��,使得非法用戶需要通過網(wǎng)間訪問通道發(fā)送重定向報文����,從而能夠發(fā) 現(xiàn)非法用戶的流量穿透。通過以上的實施方式的描述�,本領域的技術人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過硬件�,但很多情況下前者是更 佳的實施方式�����?����;谶@樣的理解�����,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若 干指令用以使得一臺計算機設備(可以是個人計算機�,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā) 明各個實施例所述的方法���。本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖�,附圖中的模塊或流 程并不一定是實施本發(fā)明所必須的�。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中���。上 述實施例的模塊可以合并為一個模塊�,也可以進一步拆分成多個子模塊����。以上公開的僅為本發(fā)明的幾個具體實施例,但是�����,本發(fā)明并非局限于此���,任何本領 域的技術人員能思之的變化都應落入本發(fā)明的保護范圍���。
權利要求
1.一種IP地址探測的方法,應用于運營商網(wǎng)絡的接入路由器��,所述接入路由器通過第 一接口連接接入用戶的網(wǎng)絡�,通過第二接口連接本運營商網(wǎng)絡的上行訪問通道,其特征在 于����,所述接入路由器配置探測IP地址,該方法包括所述接入路由器通過所述第一接口和所述第二接口發(fā)布所述探測IP地址的路由���, 并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述第二接口發(fā)布的路由的優(yōu)先 級����;所述接入路由器通過所述第一接口接收到用戶的WEB請求后,查找與所述WEB請求對 應的會話記錄�����;當沒有查找到對應的會話記錄時�����,所述接入路由器建立與所述WEB請求對應的會話記 錄�����,并返回以所述探測IP地址為重定向目的IP地址的重定向報文�;所述接入路由器通過所述第二接口接收到以所述探測IP地址為目的IP地址的報文 后,判定發(fā)送所述報文的用戶為非法用戶�����。
2.如權利要求1所述的方法��,其特征在于��,所述接入路由器配置探測IP地址包括所 述接入路由器在環(huán)回Loopkick接口上配置所述探測IP地址。
3.如權利要求1所述的方法��,其特征在于����,所述設置通過所述第一接口發(fā)布的路由的 優(yōu)先級低于通過所述第二接口發(fā)布的路由的優(yōu)先級包括在通過所述第一接口發(fā)布路由時��,增加AS-Path路徑長度或修改MED值�����。
4.如權利要求1所述的方法�,其特征在于,所述重定向報文中還攜帶所述TOB請求對應 的會話記錄的特征標識��,判定發(fā)送所述報文的用戶為非法用戶之后����,還包括根據(jù)所述重定向報文中攜帶的會 話記錄的特征標識查找對應的會話記錄并刪除。
5.如權利要求1所述的方法���,其特征在于����,當查找到對應的會話記錄時、或者當所述接 入路由器通過所述第一接口接收到以所述探測IP地址為目的IP地址的報文時�,所述接入 路由器判定發(fā)送所述報文的用戶為合法用戶。
6.一種IP地址探測的設備���,作為接入路由器應用于運營商網(wǎng)絡����,所述設備通過第一接 口連接接入用戶的網(wǎng)絡���,通過第二接口連接本運營商網(wǎng)絡的上行訪問通道�����,其特征在于��,所 述設備包括配置單元�,用于配置探測IP地址�;路由發(fā)布單元,與所述配置單元連接�,用于通過所述第一接口和所述第二接口發(fā)布所 述探測IP地址的路由,并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述第二 接口發(fā)布的路由的優(yōu)先級�;接收單元,用于通過所述第一接口和第二接口接收用戶發(fā)送的報文����;查找單元�����,與所述接收單元連接�,用于當所述接收單元通過所述第一接口接收到用戶 發(fā)送的WEB請求時����,查找與所述WEB請求對應的會話記錄��;記錄建立單元���,與所述查找單元連接����,用于當所述查找單元沒有查找到匹配的會話記 錄時�,建立與所述用戶對應的會話記錄;重定向單元��,與所述查找單元連接���,用于當所述查找單元沒有查找到對應的會話記錄 時��,返回以所述探測IP地址為重定向目的IP地址的重定向報文�����;檢測單元��,與所述接收單元連接����,用于檢測所述接收單元通過所述第二接口接收到報文的目的IP地址是否為所述探測IP地址,并在檢測結果為是時判定發(fā)送所述報文的用戶 為非法用戶�。
7.如權利要求6所述的設備,其特征在于�,所述配置單元還用于在環(huán)回Loopkick接 口上配置所述探測IP地址。
8.如權利要求6所述的設備��,其特征在于��,所述路由發(fā)布單元還用于在通過所述第一 接口發(fā)布路由時�,增加AS-Path路徑長度或修改MED值。
9.如權利要求6所述的設備�����,其特征在于���,所述重定向報文中還攜帶所述TOB請求對應 的會話記錄的特征標識��,該設備還包括刪除單元���,與所述檢測單元連接����,用于當所述檢測單元判定發(fā)送所述報文的用戶為非 法用戶時����,根據(jù)所述重定向報文中攜帶的會話記錄的特征標識查找對應的會話記錄并刪 除。
10.如權利要求6所述的設備����,其特征在于��,所述檢測單元還用于當所述查找單元查找到對應的會話記錄時�����、或者當所述接收單元通過所述第一接口接 收到以所述探測IP地址為目的IP地址的報文時����,判定發(fā)送所述報文的用戶為合法用戶���。
全文摘要
本發(fā)明公開了一種IP地址探測的方法及設備,該方法包括接入路由器配置探測IP地址�,通過第一接口和第二接口發(fā)布所述探測IP地址的路由,并設置通過所述第一接口發(fā)布的路由的優(yōu)先級低于通過所述第二接口發(fā)布的路由的優(yōu)先級����;所述接入路由器通過所述第一接口接收到用戶的WEB請求后,查找與所述WEB請求對應的會話記錄�����;當沒有查找到對應的會話記錄時���,所述接入路由器建立與所述WEB請求對應的會話記錄���,并返回以所述探測IP地址為重定向目的IP地址的重定向報文;所述接入路由器通過所述第二接口接收到以所述探測IP地址為目的IP地址的報文后���,判定發(fā)送所述報文的用戶為非法用戶���。通過本發(fā)明,接入路由器能夠有效發(fā)現(xiàn)流量穿透����。
文檔編號H04L12/56GK102118313SQ20111003108
公開日2011年7月6日 申請日期2011年1月28日 優(yōu)先權日2011年1月28日
發(fā)明者李蔚 申請人:杭州華三通信技術有限公司