一种端口块地址转换的测试系统及方法与流程

1.本技术涉及网络与基础架构安全技术领域，具体而言，涉及一种端口块地址转换的测试系统及方法。


背景技术：

2.运营商级地址转换(nat)设备，要求地址转换策略具有可运营和可管理性(sla)。由于ipv4地址的短缺，必须对每个用户使用的地址转换的端口数进行控制，否则用于地址转换的地址可能会被少数访问量大的用户将端口占尽，而其他人则无端口可用导致访问缓慢，而端口块地址转换是为了解决该问题而产生的技术。
3.端口块的分配机制，即当用户发起第一个连接时，一次性为该用户分配包含多个地址转换端口资源的端口块并发送日志，在该用户关闭所有连接前，只要所分配的所有端口未使用完毕，无需再发送日志。
4.而现有的端口块地址转换测试方法为，将服务器与客户端端通过被测网络设备连接，客户端向服务器发送报文，服务器抓包查看并检测被测设备的溯源和释放日志是否准确，该方法无法进行实时测试，且测试不充分。


技术实现要素：

5.本技术实施例的目的在于提供一种端口块地址转换的测试系统及方法，可实时测试且多方位全面测试，解决现有方法无法进行实时测试，且测试不充分的问题。
6.本技术实施例提供了一种端口块地址转换的测试系统，所述系统包括：
7.第一设备和第二设备，所述第一设备和第二设备通过防火墙设备通信连接，所述第一设备用于产生测试流量，并通过所述防火墙设备发送至所述第二设备；
8.防火墙设备，设置有端口块地址转换策略，用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户；
9.检测设备，用于获取所述防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息，以判断是否测试通过。
10.在上述实现过程中，该系统包括第一设备、第二设备、测试设备和防火墙设备，利用自动化测试的方式，测试设备从第二设备、防火墙设备获取测试用数据，如对端口块地址转换策略的资源分配情况进行统计，分别评估端口块资源(ip+端口)的散列效果以及其内部的端口的散列效果，达到全面测试的目的，解决现有方法无法进行实时测试，且测试不充分的问题。
11.本技术实施例还提供一种端口块地址转换的测试方法，应用于检测设备，所述方法包括：
12.获取防火墙设备的转换数据、第二设备的收包数据以及分配给用户的资源块的配置信息；
13.根据所述转换数据、所述收包数据和资源块的配置信息，判断是否测试通过。
14.在上述实现过程中，通过获取转换数据、收包数据以及资源块的配置信息，对防火墙设备的端口块地址转换的全面测试。
15.进一步地，所述获取防火墙设备的转换数据，根据所述转换数据判断是否测试通过，包括：
16.基于预设的采样周期，定期获取所述防火墙设备的端口块地址转换的溯源日志和释放日志；
17.判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果；
18.若是，则测试继续进行。
19.在上述实现过程中，在测试流量发送过程中，即可获得日志信息进行实时分析和比较，如果测试不通过，则可提前结束测试，节省测试时间。
20.进一步地，所述转换数据还包括报文达到网络设备产生的会话，所述获取防火墙设备的转换数据和第二设备的收包数据，根据所述转换数据和所述收包数据判断是否测试通过，包括：
21.检测所述会话和所述收包数据的信息是否一致，如果一致，则测试通过。
22.在上述实现过程中，报文在到达防火墙设备后会产生会话，在会话老化之前，相同五元组的报文就会走相同的会话，因此可根据会话和收包数据的信息是否一致来进行测试。
23.进一步地，所述转换数据还包括报文达到网络设备产生的会话，所述获取防火墙设备的转换数据和第二设备的收包数据，根据所述转换数据和所述收包数据判断是否测试通过，包括：
24.检测所述会话或所述收包数据的转换地址是否符合端口块地址转换策略中的地址池配置；
25.若符合，则测试通过。
26.在上述实现过程中，转换后的ip和端口在端口块地址转换策略中配置的范围内，则测试通过。
27.进一步地，所述转换数据还包括报文达到网络设备产生的会话，所述获取防火墙设备的转换数据和第二设备的收包数据，根据所述转换数据和所述收包数据判断是否测试通过，包括：
28.根据所述会话或所述收包数据，计算资源块散列效率；
29.将所述资源块散列效率与预设的地址散列效率进行对比；
30.若所述资源块散列效率大于所述地址散列效率，则测试通过。
31.在上述实现过程中，通过自动化测试的方式，获取端口块资源占用情况，计算资源块散列效率，并与预期值进行比较，从而使端口块地址转换策略的测试更具完备性。
32.进一步地，所述转换数据还包括报文达到网络设备产生的会话，所述获取防火墙设备的转换数据和第二设备的收包数据，根据所述转换数据和所述收包数据判断是否测试通过，包括：
33.根据所述会话或所述收包数据，计算端口散列效率；
34.将所述端口散列效率与预设的端口散列效率进行对比；
35.若所述端口散列效率大于预设值，则测试通过。
36.在上述实现过程中，通过自动化测试的方式，获取端口占用情况，计算端口散列效率，并与预期值进行比较，从而使端口块地址转换策略的测试更具完备性。
37.进一步地，所述获取分配给用户的资源块的配置信息，根据所述配置信息判断是否测试通过，包括：
38.检测用户接收到的所转换的源ip地址和源端口号是否在设定的资源块内；
39.若在，则测试通过。
40.在上述实现过程中，通过用户接收到的源ip地址和源端口号确定资源块分配情况。
41.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述中任一项所述的端口块地址转换的测试方法。
42.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的端口块地址转换的测试方法。
附图说明
43.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
44.图1为本技术实施例提供的一种端口块地址转换的测试系统的结构示意图；
45.图2为本技术实施例提供的具体测试执行流程图；
46.图3为本技术实施例提供的端口块地址转换的测试方法的流程图；
47.图4为本技术实施例提供的端口块地址转换的测试装置的结构框图。
48.图标：
49.100-第一设备；200-第二设备；300-防火墙设备；400-检测设备；500-数据获取模块；600-测试模块。
具体实施方式
50.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
51.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
52.请参看图1，图1为本技术实施例提供的一种端口块地址转换的测试系统的结构示意图。该系统包括第一设备100、第二设备200、防火墙设备300(网络设备)和检测设备400。
53.其中，第一设备100和第二设备200通过防火墙设备300通信连接，所述第一设备100用于产生测试流量，并通过所述防火墙设备300发送至所述第二设备200；
54.防火墙设备300，设置有端口块地址转换策略，用于根据所述端口块地址转换策略将接收到的测试流量以一个或多个资源块的形式分配给用户；
2999]，
……
，1.1.0.19[21000-21999]。
[0070]
步骤s13：测试脚本(运行于检测设备400)中设置有预设的资源块散列效率的百分比以及端口的散列效率的百分比，以便后期将获得资源块散列效率和端口散列效率与预设值进行对比，例如，资源块散列效率的百分比的预设值为85％，端口散列效率的百分比的预设值为85％，对于资源块散列效率和端口散列效率的预设值可以根据需要进行具体设置，在此不做任何限定。
[0071]
步骤s14：通过第一设备100构造测试流量，该测试流量包括连续源ip地址发送顺序的流量和随机源ip地址发送顺序的流量。
[0072]
ip数量与资源块数相等，且每个地址要发送的报文大于端口块的块大小(其他不同四元组)。构造ip地址为10.1.0.3-10.1.0.202(200个地址)的源地址(匹配上述策略配置)，每个源地址发送2000条流量(其他不同四元组)。
[0073]
步骤s15：测试流量到达网络设备后，在端口块地址转换模块的作用下，将会对每个用户(ip)分配一个或多个资源块；下述以每个用户/ip分配一个资源块为例进行说明。
[0074]
步骤s16：基于预设的采样周期，定期获取所述防火墙设备300的端口块地址转换的溯源日志和释放日志；判断所述溯源日志和释放日志是否符合端口块地址转换策略的配置结果；若是，则测试继续进行。
[0075]
通过远程连接的方式，以固定时间为采样周期，如设置为1s，定期获取网络设备的端口块地址转换的溯源日志和释放日志信息。如符合预期，测试继续，如不符合预期，则直接测试不通过，测试结束。
[0076]
例如，以ip 10.1.0.2为转换前源地址的报文，到达网络设备后，网络设备会给该地址分配一个端口块资源，并产生溯源日志(记录报文匹配的策略名称、协议、转换前后地址、哪块资源块被占用了)，如果相关会话老化或者清除会话，那么资源块被释放，同样会产生释放日志(记录报文匹配的策略名称、协议、转换前后地址、哪块资源块被释放了)。
[0077]
通过自动化的测试方式，可实时获取溯源日志和释放日志信息，并进行实时比较，日志消息不合理可提前预判，结束测试，从而节省了测试时间。
[0078]
步骤s17：转换数据包括报文达到网络设备产生的会话，检测会话和所述收包数据的信息是否一致，如果一致，则测试通过。
[0079]
测试流量发送结束后，检测设备400统计网络设备的相关会话以及第二设备200的收包情况，检查会话和收包数据是否一致，一致则测试通过；否则，测试不通过。例如，设备上存在10.1.0.3[52734]—》2.1.0.3[80]，转换为1.1.0.10[3001]—》2.1.0.3[80]，那么检查第二设备200的收包情况，应包含1.1.0.10[3001]—》2.1.0.3[80]；否则，测试不通过。
[0080]
步骤s18：检测所述会话或所述收包数据的转换地址是否符合端口块地址转换策略中的地址池配置；若符合，则测试通过。
[0081]
例如，转换后的源端口只有在范围[2000-21999]内才通过；否则，不通过。
[0082]
步骤s19：根据所述会话或所述收包数据，计算资源块散列效率；将所述资源块散列效率与预设的地址散列效率进行对比；若所述资源块散列效率大于所述地址散列效率，则测试通过。
[0083]
计算出资源块的散列效率，即：(实际占用的资源块数量/所有资源块数量)*100％，计算出的散列效率如果大于预期值85％，则测试通过；否则，测试不通过。
[0084]
通过自动化的方式，可通过统计资源块的占用情况，计算资源块的散列效率，并与预期值进行比较，从而对端口块地址转换模块的测试更具完备性。
[0085]
通过对端口块资源池散列情况进行统计，解决现有技术对端口块地址转换的测试不充分的问题，从而避免大量端口块资源池中的资源闲置，同时可访问的用户量少，造成资源浪费等问题。
[0086]
步骤s20：根据所述会话或所述收包数据，计算端口散列效率；将所述端口散列效率与预设的端口散列效率进行对比；若所述端口散列效率大于预设值，则测试通过。
[0087]
计算出资源块的散列效率，即：(每一块实际占用/端口块大小)*100％，计算出的散列效率如果大于预期值85％，则测试通过；否则，测试不通过。
[0088]
通过自动化的测试方式，可通过统计端口占用情况，计算端口的散列效率，并与预期值进行比较，从而使端口块地址转换模块的测试更具完备性。
[0089]
对端口块资源中的端口资源散列情况进行统计，从而解决现有技术对端口块地址转换的测试不充分的问题，从而避免同一用户可访问的应用大大减少、造成端口资源浪费等问题。
[0090]
步骤s21：检测用户接收到的所转换的源ip地址和源端口号是否在设定的资源块内；若在，则测试通过。
[0091]
例如，转换前的源ip为10.1.0.3，那么，转换后，所有该ip的报文所转换的ip以及端口均在同一个端口块资源内，例如在范围1.1.0.10[2000-2999]，如果是，则通过；如果检测到同一个转换前的ip地址除占用上述资源块外，还占有其他端口块资源，则不通过。(此检测仅在端口块地址转换策略配置为只占一块资源块的情况，如果可占用多块资源，检测方法类似，在此不再赘述)。
[0092]
从上述转换数据、收包数据和资源块的配置信息等多个维度进行测试，只有在均符合预期的情况下，才算测试通过，否则，测试不通过，使得测试更加全面。
[0093]
该方法以自动化的测试方式，在测试流量发送过程中即可开始测试，获取网络设备的溯源日志和释放日志消息，并与端口块资源实时占用情况以及释放情况进行实时比对，提前预判自动化测试结果；同时计算端口资源块的散列效率以及端口的散列效率，并与预期值进行比较，从而使端口块地址转换模块的测试更具完备性，从而解决了现有方法中对端口块地址转换测试不能实时分析以及测试不充分等问题。
[0094]
本技术实施例还提供一种端口块地址转换的测试装置，如图4所示，为端口块地址转换的测试装置的结构框图，包括：
[0095]
数据获取模块500，用于获取防火墙设备300的转换数据、第二设备200的收包数据以及分配给用户的资源块的配置信息；
[0096]
测试模块600，用于根据所述转换数据、所述收包数据和资源块的配置信息，判断是否测试通过。
[0097]
具体测试过程在此不再赘述，用于测试端口块地址转换模块的性能。
[0098]
本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述的端口块地址转换的测试方法。
[0099]
本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序
指令，所述计算机程序指令被一处理器读取并运行时，执行上述的端口块地址转换的测试方法。
[0100]
在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0101]
另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0102]
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0103]
以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
[0104]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
[0105]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。