[发明专利]一种防止路由环路产生的方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种防止路由环路产生的方法、装置和系统。 

背景技术

NAT(Network Address Translation，网络地址转换)，是一种将私网地址转换成公网地址，对外发起访问的技术。当报文通过防火墙时，防火墙会建立会话表，记录一次访问的转换前的地址和转换后的地址，在私网地址多于NAT地址池地址的时候也不会造成访问冲突。 

防火墙的会话表技术能保证私网用户对外发起访问的时候NAT地址转换的一致性，但通常防火墙还会收到目的地址是NAT地址池地址的报文，此类报文是由和防火墙出口相连的路由器转发过来的，并且此类报文在防火墙上无法查询到会话表，这类报文不是私网用户对外发起访问的响应报文，是一种非法访问的报文。 

防火墙作为核心层设备，会配置默认路由指向防火墙出口的路由器，而目的地址是地址池并且在防火墙上查不到会话表的这类报文，会被防火墙转发到出口路由器上，而在出口路由器上查地址池的路由，这类报文又会被路由器转发到防火墙上。因此，这类报文会在防火墙和防火墙的上行设备之间来回转发，直到该报文的TTL(Time To Live，生存时间)为0被丢弃。从而，这类报文在防火墙和防火墙的上行设备之间形成了环路，这类报文稍多时就会造成链路拥塞和网络带宽的极大浪费。 

现有技术对这类报文不作处理，使得这类报文在防火墙和该防火墙的上行设备之间进行转发直到TTL为0。当这类报文较多时，这类报文会占用链路的大量带宽，造成设备的性能消耗和链路的拥塞。

发明内容

本发明实施例提供一种防止路由环路产生的方法、装置和系统，以防止报文在防火墙和防火墙的出口路由器之间形成环路，避免产生链路拥塞。 

为达到上述目的，本发明实施例一方面提供一种防止路由环路产生的方法，包括： 

在防火墙上配置网络地址转换NAT地址池地址时，为所述NAT地址池地址添加对应的黑洞路由，所述黑洞路由具有32位的掩码； 

若接收到的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹配，则丢弃所述匹配上黑洞路由的报文。 

另一方面，本发明实施例还提供一种防止路由环路产生的装置，包括： 

添加模块，用于在防火墙上配置网络地址转换NAT地址池地址时，为所述NAT地址池地址添加对应的黑洞路由，所述黑洞路由具有32位的掩码； 

报文处理模块，用于若接收到的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹配，则丢弃所述匹配上黑洞路由的报文。 

再一方面，本发明实施例还提供一种防止路由环路产生的系统，包括： 

转发设备，用于从外部网络向用户发送报文； 

防火墙，用于在配置网络地址转换NAT地址池地址时，为所述NAT地址池地址添加对应的黑洞路由，所述黑洞路由具有32位的掩码，并在所述转发设备发送的目的地址为所述NAT地址池地址的报文与所述黑洞路由相匹配时丢弃所述匹配上黑洞路由的报文。 

与现有技术相比，本发明实施例具有以下优点：本发明实施例中，在防火墙上配置NAT地址池地址时，为该NAT地址池地址添加对应的黑洞路由，若接收到的目的地址为该NAT地址池地址的报文与黑洞路由相匹配，则丢弃匹配上黑洞路由的报文。从而避免了非法访问的报文在防火墙和防火墙的出口路由器之间形成环路，防止了防火墙的出口链路出现拥塞，保证了业务的正常进行。 

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 

图1为本发明实施例一种防止路由环路产生的方法的流程图； 

图2为本发明实施例一种防止路由环路产生的装置的结构图； 

图3为本发明实施例另一种防止路由环路产生的装置的结构图； 

图4为本发明实施例一种防止路由环路产生的系统的结构图。 

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。