[发明专利]对网络通信数据包进行监控的系统

说明书

所属技术领域：本发明属于信息网络系统领域，具体是一种对网 络通信数据包进行监控的系统。

背景技术：在网络通信的过程中，每个通信设备都需要IP(Internet Protocol，互联网协议)地址。根据IP地址分配方案，IP地址可以分 为公网IP地址和私网IP地址。通信设备访问互联网一般都需要具备 一个有效的公网IP地址，但是由于公网IP地址数量不是足够充分， 无法保证每个通信设备都能拥有公网IP地址。为了使私网中的设备与 公网中的设备之间能够正常的进行通信，需要采用网络地址转换 (NAT，Network Address Translation)设备对私网中的IP地址与公网 的IP地址进行相互转换，解决公网IP地址资源紧缺的问题。

为了对IP数据包进行监控，通常可以在公网或私网内部署IP数 据包分析设备。当IP数据包分析设备部署在私网内时，可以对私网内 通信设备发送或接收的IP数据包进行监控，但是这种分散监控的方案 需要在每个私网内部都部署IP数据包监控设备，从而导致IP数据包 监控系统的设备利用率低，建设成本比较贵。

当IP数据包分析设备部署在公网上时，只能对NAT转换后的IP 数据包进行监控。由于私网内设备发送的IP数据包经过NAT转换后， IP数据包的源地址、源端口号会部分或全部替换成公网IP地址或其 它端口号，传统的NAT设备通常只把私网IP地址和公网IP地址的这 种转换对应关系保存在临时记录表中，并不把IP地址的转换对应关系 向外部设备或平台传送。这种处理方式会导致处于外部网络中的设备 或平台无法确定经过NAT转换的IP数据包与私网内发送该数据包的 设备之间的对应关系，也就无法在公网上通过IP数据包分析设备对来 自私网的IP数据包进行跟踪、监控和管理。

发明内容：

本发明的目的在于针对无法在公网上对来自私网的IP数据包进 行跟踪、监控和管理问题，提供一种成本低，使用方便的对网络通信 数据包进行监控的系统，可以将IP数据包分析设备部署在公网上，实 现对私网内通信设备发送或接收的IP数据包的集中监控，使得一台IP 数据包监控设备能够同时监控多个私网产生的IP数据包，从而最大程 度的发挥IP数据包监控设备的处理能力，并极大的降低了IP数据包 监控系统的建设成本。

本发明的目的是通过下述技术方案来实现的：

本发明的对网络通信数据包进行监控的系统由IP数据包分析单 元和网络地址转换单元组成，其特征在于系统中还有网络地址转换信 息发送单元和网络地址转换信息关联处理单元，其连接关系为：网络 地址转换单元分别与IP私网、网络地址转换信息发送单元、IP数据 包分析单元相连，网络地址转换信息发送单元和网络地址转换信息关 联处理单元相连，网络地址转换信息关联处理单元与IP数据包分析单 元相连，IP数据包分析单元与IP公共网络相连。

上述方案中，所述网络地址转换信息发送单元可与网络地址转换 单元合并形成网络地址转换及网络地址转换信息发送单元。

上述方案中，所述网络地址转换信息关联处理单元可与IP数据包 分析单元合并形成网络地址转换信息关联处理及IP数据包分析单元。

上述方案中，所述网络地址转换单元、网络地址转换信息发送单 元、IP数据包分析单元、网络地址转换信息关联处理单元、网络地址 转换及网络地址转换信息发送单元、网络地址转换信息关联处理及IP 数据包分析单元之间的连接方式可以是直达的或多级互联形成的IP 数据网，可以通过相同的或者不同的IP数据网进行连接，组网的物理 链路可以是无线、光纤、5类双绞线等。

上述方案中，所述网络地址转换及网络地址转换信息发送单元由 网络接口模块、IP数据包拆分与组合模块、网络地址转换规则处理模 块、网络地址转换信息发送模块和设备管理模块组成，其中，网络接 口模块分别与IP私网、IP公共网络、IP数据包拆分与组合模块、网 络地址转换信息发送模块和设备管理模块相连，IP数据包拆分与组合 模块还与网络地址转换规则处理模块相连，网络地址转换规则处理模 块还与网络地址转换信息发送模块相连。网络地址转换信息发送模块 通过网络接口模块与网络地址转换信息关联处理单元进行信息的交 互。