允許在推行網(wǎng)絡(luò)策略過(guò)程中使用域名的方法和系統(tǒng)的制作方法
【專利摘要】公開(kāi)了一種通過(guò)使用基于域名的網(wǎng)絡(luò)策略來(lái)創(chuàng)建基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的方法和系統(tǒng)����。存儲(chǔ)了基于域名的網(wǎng)絡(luò)策略。當(dāng)網(wǎng)絡(luò)裝置接收到地址記錄域名系統(tǒng)查找回復(fù)時(shí)�,網(wǎng)絡(luò)裝置識(shí)別該地址記錄域名系統(tǒng)查找回復(fù)中所指定的一個(gè)或多個(gè)主機(jī)名的一個(gè)或多個(gè)互聯(lián)網(wǎng)協(xié)議地址,隨后確定該一個(gè)或多個(gè)主機(jī)名是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中使用的域名��,并且創(chuàng)建一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略����。
【專利說(shuō)明】允許在推行網(wǎng)絡(luò)策略過(guò)程中使用域名的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及與互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)互通的局域網(wǎng),更具體地涉及允許在推行網(wǎng)絡(luò)策略過(guò)程中使用域名的方法和系統(tǒng)�。
【背景技術(shù)】
[0002]為了保護(hù)網(wǎng)絡(luò)和管制網(wǎng)絡(luò)信息流(network traffic),現(xiàn)有技術(shù)的網(wǎng)絡(luò)裝置推行了關(guān)于網(wǎng)絡(luò)信息流的網(wǎng)絡(luò)策略��。網(wǎng)絡(luò)策略描述了網(wǎng)絡(luò)裝置應(yīng)當(dāng)如何操作��,并且對(duì)不同類型的網(wǎng)絡(luò)信息流�、信息源、信息目的地和信息流內(nèi)容施加限制����。可以通過(guò)使用互聯(lián)網(wǎng)協(xié)議地址和/或域名來(lái)創(chuàng)建網(wǎng)絡(luò)策略���。用以推行網(wǎng)絡(luò)策略的兩個(gè)通信方法是對(duì)路由器中使用的路由表進(jìn)行覆蓋和由代理服務(wù)器進(jìn)行內(nèi)容審查���。
[0003]路由器使用路由表來(lái)確定如何轉(zhuǎn)發(fā)網(wǎng)絡(luò)信息流�����。路由器實(shí)現(xiàn)超控路由表來(lái)對(duì)路由表中已建立或記錄的路由進(jìn)行覆蓋�,以便執(zhí)行網(wǎng)絡(luò)策略���。在路由器處����,網(wǎng)絡(luò)策略基于互聯(lián)網(wǎng)協(xié)議(IP)地址而不是域名����。路由器審查數(shù)據(jù)包的IP地址,由此來(lái)檢查在覆蓋路由表中是否已經(jīng)指定了該IP地址��。如果是����,則根據(jù)覆蓋路由表中描述的網(wǎng)絡(luò)策略來(lái)對(duì)數(shù)據(jù)包實(shí)施路由�。如果不是����,則根據(jù)路由表來(lái)對(duì)數(shù)據(jù)包實(shí)施路由���。使用覆蓋路由表的優(yōu)點(diǎn)是其推行網(wǎng)絡(luò)策略簡(jiǎn)單����。使用覆蓋路由表的缺點(diǎn)是不能靈活地使用域名來(lái)推行網(wǎng)絡(luò)策略����。
[0004]對(duì)于現(xiàn)有技術(shù)的路由器而言,如果網(wǎng)絡(luò)管理員試圖具有使用域名的路由策略��,則網(wǎng)絡(luò)管理員不得不首先查找該域名的對(duì)應(yīng)IP地址�����,然后使用該IP地址在該現(xiàn)有技術(shù)的路由器處創(chuàng)建路由策略�。子域和主機(jī)名的可能組合幾乎是無(wú)限的。該方法很耗人工并且容易出現(xiàn)人為錯(cuò)誤�。
[0005]代理服務(wù)器可以審查通過(guò)它的內(nèi)容。如果代理服務(wù)器在審查內(nèi)容之后發(fā)現(xiàn)這些內(nèi)容滿足路由策略的條件��,則代理服務(wù)器針對(duì)這些內(nèi)容和網(wǎng)絡(luò)信息流采取相應(yīng)的網(wǎng)絡(luò)信息流路由動(dòng)作��,比如過(guò)濾、阻止和/或轉(zhuǎn)發(fā)���。用于內(nèi)容審查的一些慣用方法包括:統(tǒng)一資源定位符(URL)或域名系統(tǒng)(DNS)黑名單�����、URL正則表達(dá)式過(guò)濾(regex filtering)���、多用途互聯(lián)網(wǎng)郵件擴(kuò)展(MME)過(guò)濾、或內(nèi)容關(guān)鍵字過(guò)濾��。已知設(shè)計(jì)用于處理網(wǎng)頁(yè)信息流的一些代理服務(wù)器采用內(nèi)容分析技術(shù)來(lái)查找特定類型的內(nèi)容提供者通常使用的特質(zhì)(traits )���。管理員可以提供URL�����、域名���、IP地址、關(guān)鍵字等的許多組合來(lái)創(chuàng)建網(wǎng)絡(luò)信息流路由策略����。使用代理服務(wù)器的優(yōu)點(diǎn)包括使用域名來(lái)創(chuàng)建網(wǎng)絡(luò)信息流路由策略的靈活性�。使用代理服務(wù)器的缺點(diǎn)之一是網(wǎng)絡(luò)信息流的吞吐量限制�����,這是因?yàn)榇矸?wù)器一般使用了較多的處理能力和存儲(chǔ)能力����。使用代理服務(wù)器的另一個(gè)缺點(diǎn)是代理服務(wù)器是專用的���。對(duì)于如安全套接層之類的一些應(yīng)用而言����,完全透明的代理服務(wù)器難以存在���,并且會(huì)容易受到中間人攻擊����。
[0006]因此�,期望的是使得路由器能夠使用基于域名的網(wǎng)絡(luò)策略來(lái)進(jìn)行路由。然而��,通過(guò)實(shí)現(xiàn)代理服務(wù)器如何審查內(nèi)容來(lái)允許路由器中的這種基于域名的網(wǎng)絡(luò)策略增加了路由器的復(fù)雜性和計(jì)算資源需求��。
[0007]PTL0001:US7984493 (ALCATEL-LUCENT).2005-07-22
[0008]該現(xiàn)有技術(shù)公開(kāi)了一種使用本地DNS服務(wù)器和本地推行單元來(lái)檢測(cè)并隔離來(lái)源于本地網(wǎng)絡(luò)上的本地主機(jī)且到達(dá)本地網(wǎng)絡(luò)以外的遠(yuǎn)程主機(jī)的網(wǎng)絡(luò)惡意行為的方法和系統(tǒng),其中�����,所述本地DNS服務(wù)器用于接收來(lái)自本地主機(jī)的連接到遠(yuǎn)程主機(jī)的請(qǐng)求,完成DNS查找以得到遠(yuǎn)程主機(jī)的IP地址����,并且產(chǎn)生一致性指示符;所述本地推行單元連接在本地網(wǎng)絡(luò)與遠(yuǎn)程主機(jī)之間����,用于默認(rèn)地阻止該連接的建立,直到其接收到所述一致性指示符�。與美國(guó)專利7,984���,493不一樣�,本發(fā)明不需要具有本地DNS服務(wù)器��,并且不單單提供阻止能力�����。因此,美國(guó)專利7����,984,493沒(méi)有對(duì)本領(lǐng)域一般技術(shù)人員公開(kāi)實(shí)施本發(fā)明的任何細(xì)節(jié)�,也沒(méi)有提示本領(lǐng)域一般技術(shù)人員將美國(guó)專利7,984����,493修改為達(dá)到落入本發(fā)明的權(quán)項(xiàng)范圍內(nèi)的程度�����。
[0009]PTL0002:US7743158(NTT DOCOMO INC.).2002-12-04
[0010]該現(xiàn)有技術(shù)公開(kāi)了一種通過(guò)使用個(gè)人過(guò)濾器和服務(wù)過(guò)濾器來(lái)將域名過(guò)濾結(jié)合到網(wǎng)絡(luò)邊緣設(shè)備的安全策略中的用于網(wǎng)絡(luò)邊緣設(shè)備的方法和系統(tǒng)�����。與美國(guó)專利7�����,743�����,158不同的是,本發(fā)明不使用個(gè)人過(guò)濾器并且不涉及個(gè)人過(guò)濾器與服務(wù)過(guò)濾器的結(jié)合�����。因此��,美國(guó)專利7���,743��,158沒(méi)有對(duì)本領(lǐng)域一般技術(shù)人員公開(kāi)實(shí)施本發(fā)明的任何細(xì)節(jié)��,也沒(méi)有提示本領(lǐng)域一般技術(shù)人員將美國(guó)專利7���,743,158修改為達(dá)到落入本發(fā)明的權(quán)項(xiàng)范圍內(nèi)的程度�。
[0011]如果域名已經(jīng)被分配了互聯(lián)網(wǎng)主機(jī)并且與該主機(jī)的IP地址相關(guān)聯(lián),則該域名可以是主機(jī)名��。主機(jī)名是具有至少一個(gè)關(guān)聯(lián)的IP地址的域名���。例如����,如果關(guān)聯(lián)了 IP地址,則域名“example, com”也可以是主機(jī)名���。用于形成域名的規(guī)則的明確描述可參見(jiàn)由互聯(lián)網(wǎng)工程任務(wù)組公布的RFC1035��、RFCl 123和RFC2181����。
[0012]有益效果
[0013]本發(fā)明使得在推行網(wǎng)絡(luò)策略時(shí)能夠使用域名��。因此�,網(wǎng)絡(luò)管理員在創(chuàng)建網(wǎng)絡(luò)策略時(shí)具有更大靈活性并且在創(chuàng)建網(wǎng)絡(luò)策略時(shí)無(wú)需手動(dòng)解析IP地址����。
【發(fā)明內(nèi)容】
[0014]公開(kāi)了一種通過(guò)使用基于域名的網(wǎng)絡(luò)策略(DNNTP)來(lái)創(chuàng)建基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略(IPP)的方法和系統(tǒng)。存儲(chǔ)了基于域名的網(wǎng)絡(luò)策略�����。當(dāng)網(wǎng)絡(luò)裝置接收到地址記錄域名系統(tǒng)(DNS)查找回復(fù)時(shí)����,網(wǎng)絡(luò)裝置識(shí)別該地址記錄DNS查找回復(fù)中所指定的一個(gè)或多個(gè)主機(jī)名的一個(gè)或多個(gè)互聯(lián)網(wǎng)協(xié)議(IP)地址,隨后確定所述一個(gè)或多個(gè)主機(jī)名是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中所使用的域名����,并創(chuàng)建一個(gè)或多個(gè)基于IP地址的網(wǎng)絡(luò)策略��。
[0015]DNNTP中使用的參數(shù)包括:信息流目的地的一個(gè)或多個(gè)域名���、源信息流的地址、協(xié)議�����、和算法����。IPP中使用的參數(shù)包括:信息流目的地的一個(gè)或多個(gè)IP地址、源信息流的地址�����、協(xié)議�����、和算法����。DNNTP與它的對(duì)應(yīng)IPP之間的區(qū)別是用于信息流目的地的參數(shù)�����,其中DNNTP的域名部分在IPP中被IP地址替代�。
【專利附圖】
【附圖說(shuō)明】
[0016]通過(guò)結(jié)合附圖并參照以下詳細(xì)描述���,對(duì)本發(fā)明更為全面的認(rèn)識(shí)以及本發(fā)明所帶來(lái)的許多優(yōu)點(diǎn)將變得顯然��,同時(shí)變得更易理解�����,附圖中相同的附圖標(biāo)記表示相同或相似的部件���,附圖中:
[0017]圖1是示出使用域名來(lái)創(chuàng)建基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的步驟的流程圖�����;
[0018]圖2是示出在本發(fā)明中采用的網(wǎng)絡(luò)構(gòu)造的視圖�;[0019]圖3是示出當(dāng)由同一個(gè)網(wǎng)絡(luò)裝置接收到地址記錄DNS查找請(qǐng)求和DNS查找回復(fù)時(shí)使用域名來(lái)創(chuàng)建并推行基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的步驟的流程圖;
[0020]圖4是示出當(dāng)DNS查找請(qǐng)求是非地址記錄類型時(shí)創(chuàng)建基于IP地址的網(wǎng)絡(luò)策略的步驟的流程圖���;以及
[0021]圖5是示出在使用域名來(lái)創(chuàng)建并推行IP地址網(wǎng)絡(luò)策略過(guò)程中所涉及的部件的網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)級(jí)框圖��。
【具體實(shí)施方式】
[0022]在基于域名的網(wǎng)絡(luò)策略(DNNTP)中使用的參數(shù)包括:源信息流的地址����,比如IP地址、IP地址范圍和以太網(wǎng)地址�;信息流目的地的一個(gè)或多個(gè)域名;協(xié)議�,比如傳輸控制協(xié)議、用戶數(shù)據(jù)報(bào)協(xié)議和端口號(hào)��;以及算法���,比如權(quán)值平衡�����、最少使用���、以及最低等待時(shí)間和優(yōu)先權(quán)。在基于互聯(lián)網(wǎng)協(xié)議地址的策略(IPP)中使用的參數(shù)包括:源信息流的地址���,比如IP地址���、IP地址范圍和以太網(wǎng)地址���;信息流目的地的一個(gè)或多個(gè)IP地址;協(xié)議����,比如傳輸控制協(xié)議、用戶數(shù)據(jù)報(bào)協(xié)議和端口號(hào)��;以及算法��,比如權(quán)值平衡���、最少使用��、以及最低等待時(shí)間和優(yōu)先權(quán)��。DNNTP與它的對(duì)應(yīng)IPP之間的區(qū)別是用于信息流目的地的參數(shù)�����,其中DNNTP的域名部分在IPP中被IP地址替代。
[0023]由網(wǎng)絡(luò)裝置(IPPND)來(lái)推行IPP���。DNNTP可以被存儲(chǔ)在IPPND處或與IPPND不同的裝置處����,并且由管理員輸入,被通過(guò)網(wǎng)絡(luò)接收�����,被通過(guò)存儲(chǔ)介質(zhì)傳送和/或被通過(guò)其他已知方法接收����。
[0024]除了 DNNTP的域名部分在IPP中被IP地址替代以外,IPP的參數(shù)與DNNTP的參數(shù)相同�。
[0025]由于兩個(gè)不同的主機(jī)名可以共享相同的IP地址,因此根據(jù)DNNTP中指定的域名而創(chuàng)建的IPP可能影響屬于不同主機(jī)名的網(wǎng)絡(luò)信息流�����,并且導(dǎo)致網(wǎng)絡(luò)信息流的錯(cuò)誤的或欠優(yōu)的路由�����。
[0026]本發(fā)明可應(yīng)用于互聯(lián)網(wǎng)協(xié)議版本4 (IPv4)網(wǎng)絡(luò)和互聯(lián)網(wǎng)協(xié)議版本6 (IPv6)網(wǎng)絡(luò)兩者��。因此����,地址記錄DNS查找請(qǐng)求的記錄類型為用于IPv4地址記錄的“A”類型或用于IPv6地址記錄的“AAAA”類型��,并且地址記錄DNS查找回復(fù)的記錄類型為用于IPv4地址記錄的“A”類型或用于IPv6地址記錄的“AAAA”類型���。在DNS查找回復(fù)中包含的IP地址是IPv4地址和IPv6地址中的一個(gè)。
[0027]述
[0028]圖1是示出通過(guò)使用一個(gè)或多個(gè)DNNTP來(lái)創(chuàng)建一個(gè)或多個(gè)IPP的方法的流程圖�����。在功能塊101處��,在裝置的存儲(chǔ)器中存儲(chǔ)一個(gè)或多個(gè)DNNTP�����。該裝置可以是計(jì)算裝置或者網(wǎng)絡(luò)裝置�����,并且其可以與推行IPP的裝置相同或不同����。可以使用隨機(jī)存取存儲(chǔ)器�����、只讀存儲(chǔ)器�����、靜態(tài)存儲(chǔ)器����、非易失性存儲(chǔ)器、磁存儲(chǔ)介質(zhì)����、光學(xué)存儲(chǔ)介質(zhì)或任何存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)該存儲(chǔ)器。
[0029]在功能塊102處����,當(dāng)接收到地址記錄DNS查找回復(fù)時(shí),通過(guò)對(duì)攜帶該地址記錄DNS查找回復(fù)的IP數(shù)據(jù)包的有效載荷進(jìn)行審查���,來(lái)識(shí)別該地址記錄DNS查找回復(fù)中描述的一個(gè)或多個(gè)主機(jī)名以及一個(gè)或多個(gè)IP地址��。根據(jù)本發(fā)明的實(shí)施例中的一個(gè)�,由不同于IPPND的裝置接收地址記錄DNS查找回復(fù)����。根據(jù)本發(fā)明的實(shí)施例中的一個(gè)��,由IPPND接收地址記錄DNS查找回復(fù)���。根據(jù)本發(fā)明的實(shí)施例中的一個(gè),從網(wǎng)絡(luò)裝置的廣域網(wǎng)接收DNS查找回復(fù)����。根據(jù)本發(fā)明的實(shí)施例中的一個(gè),從所述網(wǎng)絡(luò)裝置的局域網(wǎng)接收DNS查找回復(fù)�����。根據(jù)本發(fā)明的實(shí)施例中的一個(gè)����,由計(jì)算裝置或另一網(wǎng)絡(luò)裝置來(lái)進(jìn)行地址記錄DNS查找回復(fù)的審查,隨后由該計(jì)算裝置或該另一網(wǎng)絡(luò)裝置來(lái)將識(shí)別出的一個(gè)或多個(gè)主機(jī)名以及一個(gè)或多個(gè)IP地址發(fā)送到所述網(wǎng)絡(luò)裝置���。
[0030]與現(xiàn)有技術(shù)的代理服務(wù)器相比���,功能塊102不初始化用于得到對(duì)應(yīng)IP地址的DNS查找請(qǐng)求,而代理服務(wù)器通過(guò)自己發(fā)布DNS查找請(qǐng)求來(lái)解析域名的IP地址�����。與現(xiàn)有技術(shù)的路由器相比,功能塊102審查通過(guò)的網(wǎng)絡(luò)信息流的內(nèi)容以便識(shí)別主機(jī)名和IP地址���。
[0031]在判定塊103處,將在功能塊102處識(shí)別的一個(gè)或多個(gè)主機(jī)名與在功能塊101處接收到的DNNTP中的域名進(jìn)行對(duì)比���。如果一個(gè)主機(jī)名包含了在一個(gè)或多個(gè)DNNTP中使用的一個(gè)或多個(gè)域名���,則在功能塊104處將該主機(jī)名用于創(chuàng)建一個(gè)或多個(gè)IPP。例如����,主機(jī)名“smtp.example.com,�,、“www.example, com��,��,��、“video, example, com��,,�����、“audi0.01.example,com” 和“movie, europe.example, com” 均包含了域名“example, com”,如果在一個(gè) DNNTP 中使用了 “example, com”�����,則隨后在功能塊104處使用這些主機(jī)名的一個(gè)或多個(gè)IP地址來(lái)創(chuàng)建IPP�����。如果主機(jī)名不包含任何DNNTP中所使用的域名��,則在功能塊106處不創(chuàng)建與該主機(jī)名有關(guān)的IPP���。
[0032]在功能塊104處���,使用所識(shí)別的一個(gè)或多個(gè)IP地址來(lái)創(chuàng)建一個(gè)或多個(gè)IPP。例如�,如果域名“ examp I e.com ”的DNNTP通過(guò)WAN網(wǎng)絡(luò)接口將所有網(wǎng)絡(luò)信息流路由至域名“example, com”,并且如果在功能塊102處識(shí)別的地址記錄DNS查找回復(fù)的主機(jī)名和IP地址分別是“video, example, com”和123.123.123.123���,則創(chuàng)建通過(guò)用于IP地址123.123.123.123的指定WAN接口來(lái)路由所有網(wǎng)絡(luò)的IPP�。如果在功能塊102處識(shí)別的另一地址記錄DNS查找回復(fù)的主機(jī)名和IP地址分別是“mai1.example, com”和123.123.123.124,則也創(chuàng)建通過(guò)用于IP地址123.123.123.124的指定WAN接口來(lái)路由所有網(wǎng)絡(luò)的另一 IPP����。因此,在接收了兩個(gè)地址記錄DNS查找回復(fù)之后�����,存在為域名“example,com”建立的兩個(gè)IPP���。
[0033]隨后在功能塊105中使用IPP來(lái)執(zhí)行網(wǎng)絡(luò)策略。當(dāng)網(wǎng)絡(luò)裝置接收到網(wǎng)絡(luò)信息流時(shí)�����,網(wǎng)絡(luò)裝置檢查該網(wǎng)絡(luò)信息流的IP地址是否與所存儲(chǔ)的任何IPP相匹配�。如果是,則推行IPP來(lái)管制網(wǎng)絡(luò)信息流��。有可能針對(duì)一個(gè)IP地址創(chuàng)建了多于一個(gè)IPP��。因此�,可以使用優(yōu)先權(quán)參數(shù)來(lái)為不同的DNNTP賦予不同的優(yōu)先權(quán)?����?梢酝ㄟ^(guò)由微處理器、存儲(chǔ)單元���、網(wǎng)絡(luò)接口和在網(wǎng)絡(luò)裝置中通??烧业降钠渌娮硬考?比如路由器)構(gòu)成的裝置來(lái)執(zhí)行IPP的推行��。如何實(shí)現(xiàn)IPP的推行對(duì)于本領(lǐng)域技術(shù)人員是顯而易見(jiàn)的�。
[0034]圖2是示出本發(fā)明的實(shí)施例之一的網(wǎng)絡(luò)架構(gòu)示圖,其中可以以不同的網(wǎng)絡(luò)裝置和計(jì)算裝置來(lái)實(shí)現(xiàn)圖1中的功能塊和判定塊�����。路由器201推行IPP并且將地址記錄DNS查找回復(fù)信息流鏡像復(fù)制到服務(wù)器202��。服務(wù)器202存儲(chǔ)一個(gè)或多個(gè)DNNTP�����,并且確定地址記錄DNS查找回復(fù)中包含的一個(gè)或多個(gè)主機(jī)名是否與一個(gè)或多個(gè)DNNTP相匹配�。如果存在匹配,則服務(wù)器202將創(chuàng)建一個(gè)或多個(gè)IPP并將這些IPP發(fā)送到路由器202以用于推行�����。膝上型電腦203是試圖解析主機(jī)名的IP地址并且與路由器201的LAN連接的計(jì)算裝置。DNS服務(wù)器204位于路由器201的WAN處�����,并且可以通過(guò)互聯(lián)網(wǎng)205與路由器201通信���。
[0035]根據(jù)實(shí)施例之一�����,管理IPP的裝置與IPPND不同�����。因此,管理IPP的裝置不接收與IPPND接收的網(wǎng)絡(luò)信息流相同的網(wǎng)絡(luò)信息流�。
[0036]圖3示出本發(fā)明的實(shí)施例之一,其中單個(gè)網(wǎng)絡(luò)裝置使用域名來(lái)管理IPP的創(chuàng)建并推行IPP�����。因此�����,由同一 IPPND接收DNS查找回復(fù)并且進(jìn)行網(wǎng)絡(luò)信息流的路由。當(dāng)與該IPPND的LAN連接的網(wǎng)絡(luò)裝置或計(jì)算裝置試圖通過(guò)發(fā)出地址記錄DNS查找請(qǐng)求來(lái)解析主機(jī)名的一個(gè)或多個(gè)IP地址時(shí)��,則該IPPND將在功能塊301處從其LAN網(wǎng)絡(luò)接口之一接收該地址記錄DNS查找請(qǐng)求��。由于IPPND不能解析該IP地址�,因此IPPND在功能塊302處將該地址記錄DNS查找請(qǐng)求轉(zhuǎn)發(fā)到與IPPND的WAN接口之一連接的DNS服務(wù)器或另一路由器。當(dāng)DNS服務(wù)器已經(jīng)解析了該IP地址時(shí)���,該DNS服務(wù)器以地址記錄DNS查找回復(fù)來(lái)進(jìn)行回復(fù)�。IPPND將在功能塊303處接收到該地址記錄DNS查找回復(fù)��。如果該地址記錄DNS查找回復(fù)的主機(jī)名包含了在一個(gè)或多個(gè)DNNTP中使用的域名�,則IPPND將執(zhí)行判定塊103、功能塊104��、功能塊105和功能塊304處的步驟��。
[0037]根據(jù)本發(fā)明的實(shí)施例之一���,當(dāng)在IPPND處創(chuàng)建了一個(gè)或多個(gè)IPP之后���,執(zhí)行遞送地址記錄DNS查找回復(fù)的步驟。如果DNS查找請(qǐng)求來(lái)源于與IPPND的LAN連接的計(jì)算裝置或網(wǎng)絡(luò)裝置�����,則該計(jì)算裝置或網(wǎng)絡(luò)裝置等待來(lái)自IPPND的地址記錄DNS查找回復(fù),以便在將網(wǎng)絡(luò)信息流發(fā)送到主機(jī)名的IP地址之前解析該IP地址�����。因此���,在遞送DNS查找回復(fù)之前就應(yīng)當(dāng)創(chuàng)建一個(gè)或多個(gè)IPP��,以確保IPPND具有足夠的時(shí)間來(lái)推行與域名有關(guān)的一個(gè)或多個(gè)IPP0如果沒(méi)有足夠的時(shí)間為策略路由推行創(chuàng)建IPP���,則有可能來(lái)源于IPPND的LAN的網(wǎng)絡(luò)信息流已經(jīng)違反了一個(gè)或多個(gè)IPP。
[0038]根據(jù)本發(fā)明的實(shí)施例之一�����,在預(yù)定時(shí)間段之后從IPPND移除所創(chuàng)建的IPP����?��?梢允褂枚〞r(shí)器來(lái)記錄應(yīng)當(dāng)移除IPP的時(shí)間���。如果存在多個(gè)所創(chuàng)建的IPP���,則需要多個(gè)定時(shí)器?����?梢酝ㄟ^(guò)使用諸如隨機(jī)存取存儲(chǔ)器��、硬盤和非易失性存儲(chǔ)器之類的存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)定時(shí)器�����。根據(jù)本發(fā)明的實(shí)施例之一����,由網(wǎng)絡(luò)管理員來(lái)確定該預(yù)定時(shí)間段。根據(jù)本發(fā)明的實(shí)施例之一����,在IPPND處對(duì)預(yù)定時(shí)間段進(jìn)行硬編碼。根據(jù)本發(fā)明的實(shí)施例之一���,通過(guò)與地址記錄DNS查找回復(fù)中的每個(gè)記錄相關(guān)聯(lián)的所謂的生存時(shí)間(time to live, TTL)的值來(lái)確定該預(yù)定時(shí)間段���。由針對(duì)特定資源記錄發(fā)出命令(authoritative)響應(yīng)的DNS服務(wù)器的管理員來(lái)設(shè)置TTL0 TTL可以從僅數(shù)秒變?yōu)閿?shù)天甚至數(shù)月��。如果預(yù)定時(shí)間段太短����,則IPPND可能由于對(duì)應(yīng)IPP已從IPPND移除而無(wú)法執(zhí)行DNNTP中描述的基于策略的路由�。如果預(yù)定時(shí)間段太長(zhǎng),則IPPND可能由于對(duì)應(yīng)IPP包含了過(guò)期IP地址而使用不正確的IP地址來(lái)推行DNNTP�。
[0039]根據(jù)本發(fā)明的實(shí)施例之一,當(dāng)創(chuàng)建了與較早創(chuàng)建的另一已有IPP (已有IPP)相同的新IPP時(shí)���,無(wú)需存儲(chǔ)該新IPP����,而是根據(jù)移除IPP的預(yù)定時(shí)間段來(lái)更新移除已有IPP的時(shí)間���。例如�,如果移除已有IPP的時(shí)間是12:10:00���,由網(wǎng)絡(luò)管理員輸入的預(yù)定時(shí)間段為一個(gè)小時(shí),并且在12:45:30時(shí)創(chuàng)建了與該已有IPP相同的新IPP,則將不存儲(chǔ)該新IPP��,而是將移除已有IPP的時(shí)間更新到13:45:29�����。
[0040]根據(jù)本發(fā)明的實(shí)施例之一����,DNNTP的域名不包含通配符、或者包含一個(gè)或多個(gè)通配符�。當(dāng)DNNTP的域名不包含通配符時(shí),在地址記錄DNS查找回復(fù)中包含的主機(jī)名必須與在創(chuàng)建一個(gè)或多個(gè)對(duì)應(yīng)IPP之前所指定的域名相同��。當(dāng)DNNTP中使用的域名包含了一個(gè)或多個(gè)通配符時(shí)���,主機(jī)名不必相同�����,但是必須滿足在創(chuàng)建一個(gè)或多個(gè)對(duì)應(yīng)IPP之前的通配符標(biāo)準(zhǔn)�。例如�����,如果DNNTP中的域名是“?.example, com”,則在“example, com”之前具有一個(gè)字符的任何主機(jī)名(比如“a.example, com”和“3.example, com”)均被認(rèn)為與通配符標(biāo)準(zhǔn)匹配����,并且創(chuàng)建對(duì)應(yīng)IPP。在另一示例中���,如果DNNTP中的域名為example, com”,則在“example,com”之前具有一個(gè)或多個(gè)字符的任何主機(jī)名(比如“a.example.com”�����、“efg.example, com”和“4april2012.example, com”)均被認(rèn)為與通配符標(biāo)準(zhǔn)匹配,并且創(chuàng)建對(duì)應(yīng)IPP��。在另一示例中�����,如果DNNTP中的域名為“e*a.com.*”��,則在“e”和“a”之間具有一個(gè)或多個(gè)字符并且在“com.”之后具有一個(gè)或多個(gè)字符的任何主機(jī)名(比如“a.example.com”��、“efg.example,com”和“4april2012.example, com”)均被認(rèn)為與通配符標(biāo)準(zhǔn)匹配�,并且創(chuàng)建對(duì)應(yīng)IPP����?���?梢砸栽S多方式來(lái)使用通配符進(jìn)行匹配��,包括選擇字符來(lái)代表不同的通配符���、使用正則表達(dá)式進(jìn)行匹配、使用不同的計(jì)算機(jī)語(yǔ)言實(shí)現(xiàn)匹配�����。如何在計(jì)算裝置和/或網(wǎng)絡(luò)裝置中使用通配符實(shí)現(xiàn)字符串匹配對(duì)于本領(lǐng)域技術(shù)人員而言是顯而易見(jiàn)的�����。
[0041]圖4是示出本發(fā)明的實(shí)施例之一的流程圖��,用于當(dāng)DNS查找請(qǐng)求是請(qǐng)求非地址記錄(比如郵件交換(MX)記錄�、名稱服務(wù)器(NS)記錄和域名的規(guī)范名(CNAME)記錄)時(shí)創(chuàng)建一個(gè)或多個(gè)IPP。在地址記錄DNS查找回復(fù)中返回的用于非地址記錄的主機(jī)名的數(shù)量可以多于一個(gè)�����。圖3與圖4所示的步驟之間的不同在于功能塊401���、功能塊402�����、功能塊403����、功能塊404處的附加步驟以及以判定塊405替代了判定塊103。
[0042]例如����,當(dāng)與IPPND的LAN連接的網(wǎng)絡(luò)裝置或計(jì)算裝置試圖解析域名的電子郵件服務(wù)器的一個(gè)或多個(gè)IP地址時(shí),其發(fā)出諸如MX記錄���、DNS查找請(qǐng)求之類的非地址記錄����,IPPND在功能塊410處接收來(lái)自其LAN網(wǎng)絡(luò)接口之一的非地址記錄DNS查找請(qǐng)求��。隨后IPPND在功能塊402處將該非地址記錄DNS查找請(qǐng)求轉(zhuǎn)發(fā)到與IPPND連接的DNS服務(wù)器或另一路由器�。IPPND在功能塊403處從DNS服務(wù)器或該路由器接收非地址記錄DNS查找回復(fù)。如果找到了諸如電子郵件服務(wù)器的主機(jī)名之類的名稱記錄�����,則非地址記錄DNS查找回復(fù)應(yīng)當(dāng)包含一個(gè)或多個(gè)名稱記錄。隨后IPPND將非地址記錄DNS查找回復(fù)遞送到原始發(fā)出該非地址記錄DNS查找請(qǐng)求的網(wǎng)絡(luò)裝置或計(jì)算裝置��。
[0043]由于非地址DNS查找回復(fù)可能包含一個(gè)或多個(gè)主機(jī)名并且可能不包含IP地址��,因此網(wǎng)絡(luò)裝置或計(jì)算裝置可能需要解析與非地址記錄DNS查找回復(fù)中包含的主機(jī)名有關(guān)的IP地址�����。因此�,隨后將執(zhí)行功能塊301以及后續(xù)的功能塊303和功能塊102����。
[0044]由于在功能塊403處的非地址記錄DNS查找回復(fù)中包含的主機(jī)名可能屬于DNNTP中使用的不同域名,因此在判定塊405處使用非地址記錄查找請(qǐng)求(比如MX記錄查找請(qǐng)求)中使用的域名來(lái)確定是否匹配域名匹配標(biāo)準(zhǔn)���。如果在非地址記錄查找請(qǐng)求中使用的域名包含了在一個(gè)或多個(gè)DNNTP中使用的域名����,則執(zhí)行功能塊104和功能塊105���,否則在判定塊103處使用在地址記錄查找請(qǐng)求中使用的主機(jī)名來(lái)確定是否與域名匹配標(biāo)準(zhǔn)匹配�����。如果匹配��,則執(zhí)行功能塊104和功能塊105�����,否則在功能塊106不創(chuàng)建與該主機(jī)名有關(guān)的IPP����。
[0045]根據(jù)本發(fā)明的實(shí)施例之一,IPPND在功能塊403之后通過(guò)遞送對(duì)應(yīng)的地址記錄DNS查找請(qǐng)求來(lái)自己解析與非地址記錄DNS查找回復(fù)中包含的主機(jī)名有關(guān)的IP地址����,并等待對(duì)應(yīng)的地址記錄DNS查找回復(fù)。通過(guò)主動(dòng)地發(fā)出地址記錄DNS查找請(qǐng)求��,IPPND能夠在接收到針對(duì)主機(jī)名的地址記錄DNS查找請(qǐng)求之前解析在非地址記錄DNS查找回復(fù)中包含的主機(jī)名的對(duì)應(yīng)IP地址�,從而在存在對(duì)應(yīng)IP地址的情況下更早地創(chuàng)建IPP。IPP創(chuàng)建得越早��,則IPPND可以具有越多的時(shí)間來(lái)準(zhǔn)備推行IPP����。
[0046]蓋統(tǒng)
[0047]圖5是示出通過(guò)使用域名創(chuàng)建IPP的系統(tǒng)的系統(tǒng)示圖。圖5中的箭頭是數(shù)據(jù)流。IPPND501具有一個(gè)或多個(gè)網(wǎng)絡(luò)接口以及一個(gè)或多個(gè)處理單元���,以從其LAN向其WAN507 (或者反之)接收�����、路由和/或發(fā)送信息流����?���?梢酝ㄟ^(guò)使用以太網(wǎng)���、USB�、Firewire���、Thunderbolt��、天線或能夠發(fā)送和接收數(shù)據(jù)的任何其他接口來(lái)實(shí)現(xiàn)IPPND501的網(wǎng)絡(luò)接口�?��?梢酝ㄟ^(guò)CPU����、網(wǎng)絡(luò)處理器、微處理器或能夠處理指令的任何裝置來(lái)實(shí)現(xiàn)IPPND501的處理單元�。
[0048]根據(jù)本發(fā)明的實(shí)施例之一,網(wǎng)絡(luò)策略引擎506是IPPND501內(nèi)部的處理單元�,并且用于推行包括IPP在內(nèi)的網(wǎng)絡(luò)策略??梢酝ㄟ^(guò)CPU、網(wǎng)絡(luò)處理器��、微處理器或能夠處理指令并推行網(wǎng)絡(luò)策略的任何裝置來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)策略引擎506��。在一種實(shí)現(xiàn)中�����,網(wǎng)絡(luò)策略引擎506是獨(dú)立網(wǎng)絡(luò)裝置�����,能夠推行網(wǎng)絡(luò)策略并從其LAN向其WAN (或者反之)路由信息流�,以及通過(guò)數(shù)據(jù)報(bào)、數(shù)據(jù)包���、總線�、OSI層2、OSI層3����、以太網(wǎng)、IP和/或任何其他通信協(xié)議來(lái)與IPPND501通信���。
[0049]DNS監(jiān)控器502用于識(shí)別作為域名系統(tǒng)查找回復(fù)的網(wǎng)絡(luò)信息流����。DNS監(jiān)控器502可以是獨(dú)立網(wǎng)絡(luò)裝置�����,或者是IPPND501的一部分����。當(dāng)DNS監(jiān)控器502是獨(dú)立網(wǎng)絡(luò)裝置時(shí)�����,DNS監(jiān)控器502通過(guò)數(shù)據(jù)報(bào)�����、數(shù)據(jù)包、總線�、OSI層2、OSI層3�����、以太網(wǎng)����、IP和/或任何其他通信協(xié)議來(lái)與IPPND501通信。根據(jù)本發(fā)明的實(shí)施例之一�,可以通過(guò)使用IPPND501的處理單元和網(wǎng)絡(luò)接口來(lái)實(shí)現(xiàn)DNS監(jiān)控器502。
[0050]當(dāng)IPPND501從其網(wǎng)絡(luò)接口之一接收到網(wǎng)絡(luò)信息流時(shí)����,DNS監(jiān)控器502識(shí)別屬于地址記錄和非地址記錄DNS查找請(qǐng)求及回復(fù)的網(wǎng)絡(luò)信息流。當(dāng)DNS監(jiān)控器502是獨(dú)立網(wǎng)絡(luò)裝置時(shí)����,IPPND501通過(guò)網(wǎng)絡(luò)接口將網(wǎng)絡(luò)信息流鏡像復(fù)制到DNS監(jiān)控器502。當(dāng)DNS監(jiān)控器502是IPPND501的一部分時(shí)����,DNS監(jiān)控器502的處理單元監(jiān)控從IPPND501的網(wǎng)絡(luò)接口接收的網(wǎng)絡(luò)信息流�。DNS監(jiān)控器502通過(guò)審查網(wǎng)絡(luò)信息流的有效載荷來(lái)識(shí)別地址記錄DNS查找回復(fù)��。
[0051]當(dāng)DNS監(jiān)控器502已經(jīng)識(shí)別出地址記錄DNS查找回復(fù)時(shí)��,DNS監(jiān)控器502將該地址記錄DNS查找回復(fù)轉(zhuǎn)發(fā)到對(duì)比引擎504�����。對(duì)比引擎識(shí)別該地址記錄DNS查找回復(fù)中的一個(gè)或多個(gè)主機(jī)名和對(duì)應(yīng)的一個(gè)或多個(gè)IP地址����,并檢查是否該一個(gè)或多個(gè)主機(jī)名中的任何主機(jī)名包含了在一個(gè)或多個(gè)DNNTP中使用的域名中的一個(gè)。DNNTP由DNNTP存儲(chǔ)器503提供��。對(duì)比引擎504可以是獨(dú)立的網(wǎng)絡(luò)裝置���、計(jì)算裝置或者是IPPND501的一部分�。當(dāng)對(duì)比引擎504是獨(dú)立網(wǎng)絡(luò)裝置時(shí)�����,可以由CPU�����、網(wǎng)絡(luò)處理器�、微處理器或能夠處理指令的任何裝置來(lái)實(shí)現(xiàn)對(duì)比引擎504,并通過(guò)數(shù)據(jù)報(bào)���、數(shù)據(jù)包��、總線�、OSI層2����、0SI層3、以太網(wǎng)����、IP、和/或任何其他通信協(xié)議與DNS監(jiān)控器502通信��。當(dāng)對(duì)比引擎504是IPPND501的一部分時(shí)����,DNS監(jiān)控器502應(yīng)當(dāng)也是IPPND501的一部分,并且可以使用IPPND501的處理單元和網(wǎng)絡(luò)接口來(lái)實(shí)現(xiàn)�。
[0052]DNNTP存儲(chǔ)器503可以是獨(dú)立的存儲(chǔ)器或是IPPND501的一部分。當(dāng)DNNTP存儲(chǔ)器503是獨(dú)立存儲(chǔ)器時(shí)���,DNS監(jiān)控器502通過(guò)數(shù)據(jù)報(bào)�、數(shù)據(jù)包、總線�����、OSI層2�����、0SI層3�����、以太網(wǎng)�、IP、和/或任何其他通信協(xié)議來(lái)與IPPND501通信�,并且可以使用隨機(jī)存取存儲(chǔ)器、只讀存儲(chǔ)器����、靜態(tài)存儲(chǔ)器、非易失性存儲(chǔ)器��、磁存儲(chǔ)介質(zhì)��、光學(xué)存儲(chǔ)介質(zhì)或任何存儲(chǔ)介質(zhì)來(lái)存儲(chǔ)DNNTP0當(dāng)DNNTP存儲(chǔ)器503是IPPND501的一部分時(shí)����,可以通過(guò)使用IPPND501的存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)DNNTP存儲(chǔ)器503??梢酝ㄟ^(guò)使用隨機(jī)存取存儲(chǔ)器、只讀存儲(chǔ)器�����、靜態(tài)存儲(chǔ)器�、非易失性存儲(chǔ)器、磁存儲(chǔ)介質(zhì)��、光學(xué)存儲(chǔ)介質(zhì)或任何其他存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)IPPND501的存儲(chǔ)介質(zhì)�����。
[0053]當(dāng)對(duì)比引擎504確定在一個(gè)或多個(gè)DNNTP中使用的域名中的一個(gè)域名中使用了一個(gè)或多個(gè)主機(jī)名時(shí)��,創(chuàng)建一個(gè)或多個(gè)對(duì)應(yīng)IPP���。例如����,如果從DNNTP存儲(chǔ)器503取得的域名“漏.example, com”的DNNTP是通過(guò)指定的WAN網(wǎng)絡(luò)接口將所有網(wǎng)絡(luò)信息流路由到域名“穩(wěn).example, com”,并且如果識(shí)別出的由DNS監(jiān)控器502提供的DNS查找回復(fù)的主機(jī)名和IP地址分別是“video, example, com”和123.123.123.123��,則建立通過(guò)用于IP地址123.123.123.123的指定WAN接口來(lái)路由所有網(wǎng)絡(luò)的IPP����。如果識(shí)別出的另一 DNS查找回復(fù)的主機(jī)名和IP地址分別是“mail, example, com”和123.123.123.124,則還建立通過(guò)用于IP地址123.123.123.124的指定WAN接口來(lái)路由所有網(wǎng)絡(luò)的另一 IPP�。因此,在接收到兩個(gè)DNS查找回復(fù)之后�,存在針對(duì)域名“example, com”建立的兩個(gè)IPP。
[0054]當(dāng)對(duì)比引擎504確定在DNNTP中使用的域名當(dāng)中沒(méi)有任何域名使用了這些主機(jī)名時(shí)�����,不創(chuàng)建和存儲(chǔ)IPP����。
[0055]隨后在IPP存儲(chǔ)器505處存儲(chǔ)所建立的IPP以便網(wǎng)絡(luò)策略引擎506使用。IPP存儲(chǔ)器505可以是獨(dú)立的存儲(chǔ)器或者是IPPND501的一部分���。當(dāng)IPP存儲(chǔ)器505是獨(dú)立存儲(chǔ)器時(shí)����,IPP存儲(chǔ)器505通過(guò)數(shù)據(jù)報(bào)、數(shù)據(jù)包�、總線、OSI層2��、OSI層3�����、以太網(wǎng)�����、IP��、和/或任何其他通信協(xié)議來(lái)與IPPND501通信���,并且可以使用隨機(jī)存取存儲(chǔ)器、只讀存儲(chǔ)器���、靜態(tài)存儲(chǔ)器���、非易失性存儲(chǔ)器、磁存儲(chǔ)介質(zhì)��、光學(xué)存儲(chǔ)介質(zhì)或任何其他存儲(chǔ)介質(zhì)來(lái)存儲(chǔ)IPP。當(dāng)IPP存儲(chǔ)器505是IPPND501的一部分時(shí)���,可以通過(guò)使用IPPND501的存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)IPP存儲(chǔ)器 505����。
[0056]隨后����,網(wǎng)絡(luò)策略引擎506對(duì)網(wǎng)絡(luò)信息流推行由IPP存儲(chǔ)器505提供的一個(gè)或多個(gè)IPP。
[0057]根據(jù)實(shí)施例之一��,在一個(gè)獨(dú)立裝置(比如計(jì)算裝置和網(wǎng)絡(luò)裝置)中實(shí)現(xiàn)DNS監(jiān)控器502����、DNNTP存儲(chǔ)器503、對(duì)比引擎504和IPP存儲(chǔ)器505����,并且不在該獨(dú)立裝置中實(shí)現(xiàn)IPPND501和網(wǎng)絡(luò)策略引擎506。這使得網(wǎng)絡(luò)裝置IPP管理能夠獨(dú)立于IPP的推行��。
[0058]根據(jù)實(shí)施例之一���,DNS監(jiān)控器502��、DNNTP存儲(chǔ)器503����、對(duì)比引擎504、IPP存儲(chǔ)器505和網(wǎng)絡(luò)策略引擎506均在IPPND501中實(shí)現(xiàn)����。當(dāng)與IPPND501的LAN連接的網(wǎng)絡(luò)裝置或計(jì)算裝置試圖通過(guò)發(fā)出地址記錄DNS查找請(qǐng)求來(lái)解析主機(jī)名的一個(gè)或多個(gè)IP地址時(shí)���,IPPND501將從其LAN網(wǎng)絡(luò)接口之一接收該地址記錄DNS查找請(qǐng)求����。由于IPPND501不能解析IP地址�,因此IPPND501將該地址記錄DNS查找請(qǐng)求轉(zhuǎn)發(fā)到與WAN接口之一連接的DNS服務(wù)器或另一路由器。IPPND501隨后將從DNS服務(wù)器或路由器接收地址記錄DNS查找回復(fù)����。如果任何主機(jī)名包含了一個(gè)或多個(gè)DNNTP中使用的域名,則DNS監(jiān)控器502����、DNNTP存儲(chǔ)器503、和對(duì)比引擎504將建立一個(gè)或多個(gè)IPP����。
[0059]根據(jù)本發(fā)明的實(shí)施例之一����,在已經(jīng)創(chuàng)建一個(gè)或多個(gè)IPP之后�����,IPPND501遞送地址記錄DNS查找回復(fù)�。如果DNS查找請(qǐng)求來(lái)源于與IPPND501的LAN連接的計(jì)算裝置或網(wǎng)絡(luò)裝置,則該計(jì)算裝置或網(wǎng)絡(luò)裝置等待來(lái)自IPPND501的DNS查找回復(fù)�����,以便在向主機(jī)名的IP地址發(fā)出網(wǎng)絡(luò)信息流之前解析該IP地址�����。因此��,應(yīng)當(dāng)在IPPND遞送地址記錄DNS查找回復(fù)之前就創(chuàng)建一個(gè)或多個(gè)IPP�����,以確保IPPND501具有足夠時(shí)間來(lái)推行與該域名有關(guān)的策略路由�。如果沒(méi)有足夠時(shí)間為策略路由推行創(chuàng)建IPP�����,則即使已經(jīng)解析了主機(jī)名的IP地址�����,來(lái)源于IPPND501的LAN的網(wǎng)絡(luò)信息流也可能已經(jīng)違反了策略路由�。
[0060]根據(jù)本發(fā)明的實(shí)施例之一��,在預(yù)定時(shí)間段之后���,所創(chuàng)建的IPP將從IPP存儲(chǔ)器505移除從而不能用于推行。當(dāng)IPP存儲(chǔ)器505是獨(dú)立的裝置并且具有處理指令的能力時(shí)���,可以使用IPP存儲(chǔ)器505處的定時(shí)器來(lái)記錄應(yīng)當(dāng)移除IPP的時(shí)間�。當(dāng)IPP存儲(chǔ)器505是IPPND501的一部分時(shí)�,可以通過(guò)使用IPPND501的處理單元來(lái)實(shí)現(xiàn)定時(shí)器。如果存在多個(gè)所創(chuàng)建的IPP�,則需要多個(gè)定時(shí)器?����?梢酝ㄟ^(guò)使用隨機(jī)存取存儲(chǔ)器、只讀存儲(chǔ)器�����、靜態(tài)存儲(chǔ)器���、非易失性存儲(chǔ)器�����、磁存儲(chǔ)介質(zhì)���、光學(xué)存儲(chǔ)介質(zhì)或任何其他存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn)定時(shí)器。根據(jù)本發(fā)明的實(shí)施例之一���,由網(wǎng)絡(luò)管理員來(lái)確定預(yù)定時(shí)間段����。根據(jù)本發(fā)明的實(shí)施例之一����,在IPPND501處對(duì)預(yù)定時(shí)間段進(jìn)行硬編碼。根據(jù)本發(fā)明的實(shí)施例之一�����,通過(guò)與DNS查找回復(fù)中的每一個(gè)記錄相關(guān)聯(lián)的TTL來(lái)確定IPP存儲(chǔ)器505用來(lái)移除IPP的預(yù)定時(shí)間段。如果預(yù)定時(shí)間段太短�����,則IPPND501可能會(huì)由于對(duì)應(yīng)IPP已從IPP存儲(chǔ)器505中被移除而不能推行DNNTP����。如果預(yù)定時(shí)間段太長(zhǎng),則IPPND501可能會(huì)由于對(duì)應(yīng)IPP包含了過(guò)期IP地址而使用不正確的IP地址來(lái)推行DNNTP�。
[0061]根據(jù)本發(fā)明的實(shí)施例之一,當(dāng)創(chuàng)建了與IPP存儲(chǔ)器505中已經(jīng)存儲(chǔ)的另一已有IPP相同的新IPP時(shí)�����,無(wú)需在IPP存儲(chǔ)器505處存儲(chǔ)該新IPP����,而是根據(jù)移除IPP的預(yù)定時(shí)間段來(lái)更新移除已有IPP的時(shí)間�����。例如�,如果從IPP存儲(chǔ)器505移除已有IPP的時(shí)間是在12:10:00�����,由網(wǎng)絡(luò)管理員輸入的預(yù)定時(shí)間段為一個(gè)小時(shí)����,并且與已有IPP相同的新IPP是在12:45:30創(chuàng)建的����,則將不存儲(chǔ)新IPP,而是將從IPP存儲(chǔ)器505移除已有IPP的時(shí)間更新到13:45:29��。
[0062]根據(jù)本發(fā)明的實(shí)施例之一��,對(duì)比引擎504能夠處理DNNTP的域名中所包含的一個(gè)或多個(gè)通配符�。當(dāng)主機(jī)名與DNNTP的一個(gè)或多個(gè)域名(其包含一個(gè)或多個(gè)通配符)相匹配時(shí),對(duì)比引擎504可以實(shí)現(xiàn)一個(gè)或多個(gè)通配符匹配算法來(lái)為DNNTP創(chuàng)建一個(gè)或多個(gè)IPP�����。
[0063]根據(jù)本發(fā)明的實(shí)施例之一�����,當(dāng)DNS查找請(qǐng)求是請(qǐng)求非地址記錄(比如MX記錄��、NS記錄和域名的CNAME記錄)時(shí),由于在針對(duì)非地址記錄的DNS查找回復(fù)中返回的主機(jī)名的數(shù)量可以是多于一個(gè)�����,因此對(duì)比引擎504可以創(chuàng)建一個(gè)或多個(gè)IPP�。DNS監(jiān)控器502識(shí)別出與DNS查找有關(guān)的消息并將其鏡像復(fù)制到對(duì)比引擎504,以用于對(duì)比并用于一個(gè)或多個(gè)IPP的創(chuàng)建���。
[0064]例如�,當(dāng)與IPPND501的LAN連接的網(wǎng)絡(luò)裝置或計(jì)算裝置試圖解析域名的電子郵件服務(wù)器的一個(gè)或多個(gè)IP地址時(shí)�����,其發(fā)出諸如MX記錄�、DNS查找請(qǐng)求之類的非地址記錄,IPPND501將在功能塊401處接收來(lái)自其LAN網(wǎng)絡(luò)接口之一的非地址記錄DNS查找請(qǐng)求�����。IPPND501將該非地址記錄DNS查找請(qǐng)求轉(zhuǎn)發(fā)到與IPPND501連接的DNS服務(wù)器或另一路由器�。隨后IPPND501從該DNS服務(wù)器或路由器接收非地址記錄DNS查找回復(fù)����。如果找到了名稱記錄(比如電子郵件服務(wù)器的主機(jī)名)���,則該非地址記錄DNS查找回復(fù)應(yīng)當(dāng)包含該名稱記錄。隨后IPPND501將該非地址記錄DNS查找回復(fù)遞送到原始發(fā)出該非地址記錄DNS查找請(qǐng)求的網(wǎng)絡(luò)裝置或計(jì)算裝置�����。
[0065]由于非地址DNS查找回復(fù)可能包含一個(gè)或多個(gè)主機(jī)名�,并且可能不包含IP地址,因此網(wǎng)絡(luò)裝置或計(jì)算裝置可能需要解析與非地址記錄DNS查找回復(fù)中包含的主機(jī)名有關(guān)的IP地址���。因此�����,IPPND501將從其LAN網(wǎng)絡(luò)接口之一接收地址記錄DNS查找請(qǐng)求�����。由于IPPND501不能解析該IP地址����,因此IPPND501將該地址記錄DNS查找請(qǐng)求轉(zhuǎn)發(fā)到與WAN接口之一連接的DNS服務(wù)器或另一路由器��。IPPND501隨后將從該DNS服務(wù)器或路由器接收地址記錄DNS查找回復(fù)。如果一個(gè)或多個(gè)主機(jī)名當(dāng)中的任一個(gè)主機(jī)名包含了在一個(gè)或多個(gè)DNNTP中使用的域名之一����,則DNS監(jiān)控器502、DNNTP存儲(chǔ)器503和對(duì)比引擎504將創(chuàng)建一個(gè)或多個(gè)IPP�����。
[0066]在非地址記錄DNS查找回復(fù)中包含的主機(jī)名有可能沒(méi)有包含在DNNTP中使用的相同域名����。例如,存在與域名“gmail.com”有關(guān)的DNNTP���。在從與IPPND501的LAN連接的膝上型電腦接收到針對(duì)域名“gmail.com”的MX記錄的非地址記錄DNS查找請(qǐng)求并且將其發(fā)送到DNS服務(wù)器之后�,通過(guò)IPPND501的WAN接口接收可能包含主機(jī)名“gmail-smtp-1n.1.google, com”的非地址記錄DNS查找回復(fù)�。IPPND501可以將該非地址記錄DNS查找回復(fù)轉(zhuǎn)發(fā)給膝上型電腦。膝上型電腦隨后將通過(guò)IPPND501向DNS服務(wù)器發(fā)出包含主機(jī)名“gmail-smtp-1n.1.google, com”的地址記錄DNS查找請(qǐng)求���。一旦DNS服務(wù)器已經(jīng)解析了主機(jī)名“gmail-smtp-1n.1.google, com”的IP地址,將會(huì)從IPPND501向膝上型電腦發(fā)送具有例如“74.125.53.26”的IP地址的地址記錄DNS查找回復(fù)�����。即使IP地址“74.125.53.26”的主機(jī)名“gmail-smtp-1n.1.google, com”不包含域名“gmail.com”,對(duì)比引擎504也將針對(duì)“gmail.com��,�����,DNNTP創(chuàng)建具有IP地址“74.125.53.26”的IPP����。對(duì)比引擎504能夠基于由DNS監(jiān)控器502提供的DNS查找消息的鏈來(lái)創(chuàng)建IPP���。
[0067]在另一實(shí)施例中�,IPPND501在接收到非地址記錄DNS查找回復(fù)之后通過(guò)遞送對(duì)應(yīng)的地址記錄DNS查找請(qǐng)求來(lái)自己解析與非地址記錄DNS查找回復(fù)中包含的主機(jī)名有關(guān)的IP地址���,并等待對(duì)應(yīng)的地址記錄DNS查找回復(fù)�。通過(guò)主動(dòng)地發(fā)出地址記錄DNS查找請(qǐng)求�,IPPND501能夠在接收到對(duì)主機(jī)名的地址記錄DNS查找請(qǐng)求之前解析非地址記錄DNS查找回復(fù)中包含的主機(jī)名的對(duì)應(yīng)IP地址,并因此在存在對(duì)應(yīng)IP地址的情況下更早地創(chuàng)建IPP��。IPP創(chuàng)建得越早����,網(wǎng)絡(luò)策略引擎506就能夠具有越多的時(shí)間來(lái)準(zhǔn)備IPP的推行。
【權(quán)利要求】
1.一種用于創(chuàng)建基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的方法���,其包括步驟: 存儲(chǔ)一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略�����; 接收地址記錄域名系統(tǒng)查找回復(fù)����; 識(shí)別所述地址記錄域名系統(tǒng)查找回復(fù)中所指定的一個(gè)或多個(gè)主機(jī)名的一個(gè)或多個(gè)互聯(lián)網(wǎng)協(xié)議地址; 確定所述一個(gè)或多個(gè)主機(jī)名是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中所使用的域名���;以及 創(chuàng)建一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略�。
2.如權(quán)利要求1所述的方法�,還包括步驟: 接收地址記錄域名系統(tǒng)查找請(qǐng)求; 遞送所述地址記錄域名系統(tǒng)查找請(qǐng)求���; 接收地址記錄域名系統(tǒng)查找回復(fù)�����;以及 遞送所述地址記錄域名系統(tǒng)查找回復(fù)�����。
3.如權(quán)利要求2所述的方法��,其中遞送所述地址記錄域名系統(tǒng)查找回復(fù)的步驟在創(chuàng)建一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略之后執(zhí)行���。
4.如權(quán)利要求1所述的方法��,其中所述互聯(lián)網(wǎng)協(xié)議地址是互聯(lián)網(wǎng)協(xié)議版本4的地址或互聯(lián)網(wǎng)協(xié)議版本6的地址。
5.如權(quán)利要求1所述的方法�,還包括步驟: 在預(yù)定時(shí)間段之后從存儲(chǔ)器移除所述一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略。
6.如權(quán)利要求5所述的方法����,還包括步驟: 更新移除所述基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的時(shí)間。
7.如權(quán)利要求1所述的方法����,其中在基于域名的網(wǎng)絡(luò)策略中使用的域名不包含通配符、或者包含一個(gè)或多個(gè)通配符����。
8.如權(quán)利要求2所述的方法,還包括步驟: 接收非地址記錄類型域名系統(tǒng)查找請(qǐng)求�����; 遞送所述非地址記錄類型域名系統(tǒng)查找請(qǐng)求�; 接收非地址記錄類型域名系統(tǒng)查找回復(fù)��; 遞送所述非地址記錄類型域名系統(tǒng)查找回復(fù)�; 確定非地址記錄是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中使用的域名���;以及其中所述非地址記錄是規(guī)范名記錄�、郵件交換記錄�、名稱服務(wù)器記錄、服務(wù)定位器和文本記錄中的一種�。
9.如權(quán)利要求8所述的方法,還包括步驟: 針對(duì)接收到的所述非地址記錄類型域名系統(tǒng)查找回復(fù)來(lái)遞送地址記錄類型域名系統(tǒng)查找請(qǐng)求����;以及 針對(duì)接收到的所述非地址記錄類型域名系統(tǒng)查找回復(fù)來(lái)接收地址記錄類型域名系統(tǒng)查找回復(fù)。
10.如權(quán)利要求1所述的方法�,還包括步驟: 當(dāng)改變了基于域名的網(wǎng)絡(luò)策略的域名時(shí),改變所述一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略����。
11.一種通過(guò)使用域名來(lái)創(chuàng)建基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的系統(tǒng),其包括: 一個(gè)或多個(gè)存儲(chǔ)單元�����,用于存儲(chǔ)一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略以及用于存儲(chǔ)一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略����; 一個(gè)或多個(gè)網(wǎng)絡(luò)接口��,用于接收域名系統(tǒng)查找回復(fù)�,其中所述域名系統(tǒng)查找回復(fù)的資源記錄類型是地址記錄����;以及 一個(gè)或多個(gè)處理單元��,用于識(shí)別在所述域名系統(tǒng)查找回復(fù)中所指定的一個(gè)或多個(gè)主機(jī)名的一個(gè)或多個(gè)互聯(lián)網(wǎng)協(xié)議地址�,用于確定所述一個(gè)或多個(gè)主機(jī)名是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中所使用的域名,以及用于創(chuàng)建一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略�����。
12.如權(quán)利要求11所述的系統(tǒng)����,其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于: 接收地址記錄域名系統(tǒng)查找請(qǐng)求; 遞送所述地址記錄域名系統(tǒng)查找請(qǐng)求��; 接收地址記錄域名系統(tǒng)查找回復(fù)�����;以及 遞送所述地址記錄域名系統(tǒng)查找回復(fù)。
13.如權(quán)利要求12所述的系統(tǒng)���,其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于在創(chuàng)建了一個(gè)或多個(gè)基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略之后遞送所述域名系統(tǒng)查找回復(fù)���。
14.如權(quán)利要求11所述的系統(tǒng),其中所述互聯(lián)網(wǎng)協(xié)議地址是互聯(lián)網(wǎng)協(xié)議版本4的地址或互聯(lián)網(wǎng)協(xié)議版本6的地址����。
15.如權(quán)利要求11所述的系統(tǒng),其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于: 在預(yù)定時(shí)間段之后從所述存儲(chǔ)單元移除所述基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略��。
16.如權(quán)利要求15所述的系統(tǒng)����,其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于: 更新移除所述基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)策略的時(shí)間。
17.如權(quán)利要求11所述的系統(tǒng)�,其中所述一個(gè)或多個(gè)存儲(chǔ)單元存儲(chǔ)了在基于域名的網(wǎng)絡(luò)策略中所使用的域名,所述域名不包含通配符��、或者包含一個(gè)或多個(gè)通配符���。
18.如權(quán)利要求12所述的系統(tǒng)����,其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于: 接收非地址記錄類型域名系統(tǒng)查找請(qǐng)求; 遞送所述非地址記錄類型域名系統(tǒng)查找請(qǐng)求����; 接收非地址記錄類型域名系統(tǒng)查找回復(fù); 遞送所述非地址記錄類型域名系統(tǒng)查找回復(fù)��; 確定非地址記錄是否包含了在一個(gè)或多個(gè)基于域名的網(wǎng)絡(luò)策略中所使用的域名���;以及其中所述非地址記錄是規(guī)范名記錄�����、郵件交換記錄、名稱服務(wù)器記錄��、服務(wù)定位器和文本記錄中的一種��。
19.如權(quán)利要求18所述的系統(tǒng)�,其中所述一個(gè)或多個(gè)處理單元進(jìn)一步可操作用于: 針對(duì)接收到的所述非地址記錄類型域名系統(tǒng)查找回復(fù)來(lái)遞送地址記錄類型域名系統(tǒng)查找請(qǐng)求;以及 針對(duì)接收到的所述非地址記錄類型域名系統(tǒng)查找回復(fù)來(lái)接收地址記錄類型域名系統(tǒng)查找回復(fù)����。
【文檔編號(hào)】H04L29/08GK103621044SQ201180069338
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2011年11月11日 優(yōu)先權(quán)日:2011年11月11日
【發(fā)明者】陳浩明, 葉志斌, 陳思瀚, 陳永康, 周杰懷 申請(qǐng)人:柏思科技有限公司