用于接收和傳輸互聯網協議（ip）數據包的方法和系統的制作方法
【專利說明】

【發明內容】

[0001]本發明涉及提供接收互聯網協議(IP)數據包且在網絡網關處響應IP數據包的方法和系統。未針對網絡網關的網絡接口給網絡網關分配IP地址或未給網絡網關的網絡接口中的至少兩者分配IP地址。
[0002]根據本發明的實施例中的一者，為了經由不具有IP地址的網絡網關的第一網絡接口接收IP數據包，網絡網關檢查通過第一網絡接口的IP數據包。如果IP數據包符合攔截策略，那么網絡網關確定所述IP數據包預期用于它并且不經由第二網絡接口轉發所述IP數據包。另一方面，當所述IP數據包不符合攔截策略時，網絡網關確定所述IP數據包不是預期用于它并且經由第二網絡接口將所述IP數據包轉發到所述IP數據包的目的地地址中指示的目的地。
[0003]由于網絡網關不具有IP地址，因此源自網絡網關的IP數據包的源地址使用屬于其可攔截的一系列IP地址的IP地址。
[0004]當預期用于網絡網關的IP數據包已經到達所述網絡網關時，所述網絡網關能夠攔截所述IP數據包并且不將所述IP包轉發到其它節點。所述IP數據包的目的地地址屬于通過所述網絡網關可到達的IP地址。
[0005]根據本發明的實施例中的一者，網絡網關具有三個或更多個網絡接口。未給第一和第二網絡接口分配IP地址而給其它一個或多個網絡接口分配了 IP地址。經由其它一個或多個網絡接口接收的指定用于連接到第一或第二網絡接口的節點的IP數據包在不攔截的情況下被相應地路由。類似地，經由第一或第二網絡接口接收的并且指定用于其它一個或多個網絡接口中的一者的IP數據包也在不攔截的情況下被相應地路由。然而，經由其它一個或多個網絡接口接收的指定用于網絡網關的IP數據包被網絡網關攔截。
【背景技術】
[0006]當通過IP網絡管理網絡網關時，網絡網關需要用于通信的IP地址。網絡網關的IP地址允許IP數據包被路由到網絡網關且允許網絡網關傳輸IP數據包。
[0007]然而，在某些網絡環境中，不存在足夠的IP地址。因此，可能不存在任何額外的IP地址可供網絡網關使用。在此情況下，網絡網關可能仍然能夠路由和/或交換IP數據包，但是其無法傳輸其自身的IP數據包或接收預定目的地為網絡網關的IP數據包。
[0008]圖1是典型的網絡環境，其中路由器111經由網絡接口 113連接到防火墻150以經由網絡接口 112連接到互連網絡101。互連網絡101可以是互聯網或其它網絡。防火墻150經由網絡接口 151連接到路由器111、經由網絡接口 152連接到主機161并且經由網絡接口 153連接到網絡節點164。IP支持的裝置連接到防火墻150，例如主機161經由網絡接口 162且網絡節點164經由網絡接口 163連接到防火墻150。給網絡接口 112、113、151、152、153、162以及163中的每一者分配一個IP地址。因此需要七個IP地址。互聯網服務提供方(ISP)接著可分配七個IP地址以供路由器111使用。主機161和網絡節點164是能夠發送、接收或轉發互聯網協議(IP)數據包的節點。
[0009]在圖2中，當在路由器111與防火墻150之間增加網絡網關170時，問題是沒有更多的IP地址可用以分配給網絡網關170的網絡接口 171和172。
[0010]鑒于如上所述，顯而易見的是需要在不給網絡網關分配IP地址的情況下所述網絡網關與IP網絡中的其它節點通信。
【具體實施方式】
[0011]以下說明僅提供優選的示例性實施例并且并不意圖限制本發明的范圍、實用性或配置。實際上，優選的示例性實施例的以下說明將為所屬領域的技術人員提供實施本發明的優選的示例性實施例的有利描述。應理解，在不脫離如在所附權利要求書中闡述的本發明的精神和范圍的情況下可以對元件的功能以及布置進行各種改變。
[0012]同樣，應注意，實施方案可以描述為過程，過程描繪為流程圖、流程圖表、數據流圖、結構圖或方塊圖。盡管流程圖可以將操作描述為順序過程，但是許多操作可以并行或同時執行。另外，操作的順序可以重新布置。當操作完成時，過程終止，但是過程可以具有不包含在圖中的另外步驟。過程可以與方法、函數、步驟、子例程、子程序等相對應。當過程與函數相對應時，其終止與所述函數返回到調用函數或主函數相對應。
[0013]此外，實施例可以由硬件、軟件、固件、中間件、微碼、硬件描述語言或其任意組合來實施。當以軟件、固件、中間件或微碼實施時，執行必要任務的程序代碼或代碼段可以存儲在例如存儲介質等機器可讀介質中。處理單元可以執行必要任務。代碼段可以表示步驟、函數、子程序、程序、例程、子例程、模塊、軟件包、類別，或指令、數據結構或程序語句的任何組合。一個代碼段可以通過傳遞和/或接收信息、數據、自變量、參數或存儲器內容耦合到另一代碼段或硬件電路。信息、自變量、參數、數據等可以經由包含存儲器共享、消息傳遞、令牌傳遞、網絡傳輸等任何合適的方式傳遞、轉發或傳輸。
[0014]出于可讀性的說明目的，本文中描述的網絡節點能夠發送、接收或轉發互聯網協議(IP)數據包，例如主機電腦、路由器、交換機、虛擬機、接入點、網關、通信裝置或移動電話。
[0015]圖2是其中路由器111經由網絡接口 113連接到網絡網關170以經由網絡接口112連接到互連網絡101的網絡環境。互連網絡101可以是互聯網或其它網絡。網絡網關170經由網絡接口 171連接到路由器111并且經由網絡接口 172連接到防火墻150。防火墻150經由網絡接口 151連接到網絡網關170、經由網絡接口 152連接到主機161并且經由網絡接口 153連接到網絡節點164。IP支持的裝置連接到防火墻150，例如主機161經由網絡接口 162并且網絡節點163經由網絡接口 164連接到防火墻150。給網絡接口 112、113、151、152、153、162以及163中的每一者分配一個IP地址。然而，不給網絡接口 171和172分配任何IP地址。
[0016]方法
[0017]接收IP數據包
[0018]根據本發明的實施例中的一者，為了經由不具有IP地址的網絡網關的第一網絡接口處理IP數據包，網絡網關檢查通過其網絡接口的IP數據包。如果IP數據包符合攔截策略，那么網絡網關確定所述IP數據包預期用于它并且不將所述IP數據包轉發到連接到其網絡接口的節點。否則的話，當所述IP數據包不符合攔截策略時，網絡網關確定所述IP數據包不是預期用于它并且經由對應的網絡接口將所述IP數據包轉發到所述IP數據包的目的地地址中指示的目的地。
[0019]圖3以流程圖表示出本發明的實施例中的一者，所述流程圖表提供關于從網絡網關處的第一網絡接口接收第一 IP數據包的細節。圖3應結合圖2來查看。
[0020]當網絡網關170在步驟301處經由網絡接口 171 (其具有經由網絡接口 172可到達的目的地地址)從路由器111接收IP數據包時，網絡網關170在步驟302處檢查所述IP數據包以校驗所述IP數據包是否符合攔截策略。若所述IP數據包符合攔截策略則網絡網關170不經由網絡接口 172轉發所述IP數據包。若所述IP數據包不符合攔截策略則網絡網關170根據所述IP數據包的目的地地址經由網絡接口 172轉發所述IP數據包。
[0021]類似地，當網絡網關170在步驟301處經由網絡接口 172(其具有經由網絡接口
171可到達的目的地地址)從防火墻150接收IP數據包時，網絡網關170在步驟302處檢查所述IP數據包以校驗所述IP數據包是否符合攔截策略。若所述IP數據包符合攔截策略則網絡網關170不經由網絡接口 171轉發所述IP數據包。若所述IP數據包不符合攔截策略則網絡網關170經由網絡接口 171轉發所述IP數據包。
[0022]例如，在網絡接口112、113、151、152、153、162和 163 處的 IP地址分別是 2.2.2.1、2.2.2.2、2.2.2.3、2.2.2.4、2.2.2.5、2.2.2.6和 2.2.2.7。網絡接口 172 的可到達的地址是2.2.2.3、2.2.2.4、2.2.2.5、2.2.2.6和2.2.2.7。網絡接口 171 的可到達的地址是2.2.2.1、2.2.2.2以及屬于互連網絡101的IP地址。
[0023]根據本發明的實施例中的一者，當主機161傳輸具有目的地地址2.2.2.2(即，路由器111的網絡接口 113)的IP數據包，且所述IP數據包符合攔截策略時，網絡網關170因此攔截所述IP數據包且不將所述IP數據包轉發到路由器111。網絡網關170將處理所攔截的IP數據包。
[0024]根據本發明的實施例中的一者，在網絡網關170接收到IP數據包之后，網絡網關170通過將響應消息通過另外一個或多個IP數據包經由網絡接口 172傳輸到主機161來響應所述IP數據包。一個或多個響應IP數據包的目的地和源地址分別是接收到的IP數據包的源地址和經由除傳輸所述一個或多個響應IP數據包的網絡接口外的網絡接口中的一者或多者可到達的IP地址。
[0025]根據本發明的實施例中的一者，源自節點且通過網絡網關170接收到的IP數據包的有效負載含有向網絡網關170請求狀態報告和/或到網絡網關170的管理指令。在檢查IP數據包的有效負載之后，網絡網關170確定所