CN101707569A - Nat业务报文处理的方法及装置 - Google Patents
Nat业务报文处理的方法及装置 Download PDFInfo
- Publication number
- CN101707569A CN101707569A CN200910259409A CN200910259409A CN101707569A CN 101707569 A CN101707569 A CN 101707569A CN 200910259409 A CN200910259409 A CN 200910259409A CN 200910259409 A CN200910259409 A CN 200910259409A CN 101707569 A CN101707569 A CN 101707569A
- Authority
- CN
- China
- Prior art keywords
- rule
- nat
- qacl
- flow
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种NAT业务报文处理的方法和装置,该方法包括:公网出口配置NAT转换规则、以及与NAT处理装置和服务端口的绑定关系;所述NAT处理装置获取所述公网出口配置的NAT转换规则,根据所述NAT转换规则生成QACL规则并下发到所述服务端口,并将路由表中与所述公网出口对应的转发表项的重定向信息设置为所述服务端口;所述服务端口根据所述QACL规则对流量进行匹配,将匹配成功的流量向所述NAT处理装置发送,将匹配失败的流量向所述公网出口发送。本发明提高了NAT处理装置的利用率。
Description
技术领域
本发明涉及通信领域,尤其涉及一种NAT业务报文处理的方法及装置。
背景技术
NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能,使用少量的公有IP地址代表较多的私有IP地址,有助于减缓可用IP地址空间的枯竭。
NAT包括两种基本形式:NoPAT(No Port Address Translation,无端口地址转换)和PAT(Port Address Translation,端口地址转换)。其中,NoPAT方式只转换IP数据报头中的IP地址,不对端口进行转换,在私有网络地址和公共网络地址之间建立一对一的映射。PAT方式的地址转换是采用了“地址+端口”的映射方式,利用了TCP/UDP协议的端口号,进行地址转换,可在私有网地址和公共网络地址之间建立多对一的映射。
NAT地址转换转换的基本过程如图1所示,私网192.168.1.0/24通过网关公网出接口连接Internet。通常,在出接口上配置NAT规则,包含转换使用的公网地址池及使用该地址池的流量的ACL(Access Control List,访问控制列表)规则。当上行流量匹配ACL规则时,网关设备根据ACL规则从地址池中为上行流量分配一个公网IP地址,上行流量的源IP地址转换为该公网IP地址,实现对Internet的访问。网关接收下行流量时,根据该下行流量的目的IP地址匹配会话表,匹配成功时将下行流量目的IP地址转换为相应的IP地址,实现目的地址转换。
具体的,如图1所示,NAT网关处于私有网络和公有网络的连接处,当内部PC(192.168.1.3)向外部服务器(1.1.1.2)发送一个数据报1时,数据报将通过NAT网关。NAT网关查看报头内容,发现该数据报的目的地址为公有地址,将数据报1的源地址字段的私有地址192.168.1.3换成一个可在Internet上选路的公有地址20.1.1.1,并将该数据报发送到外部服务器,同时在NAT网关的网络地址转换表中记录这一映射。外部服务器给内部PC发送的应答报文2(其初始目的地址为20.1.1.1)到达NAT网关后,NAT网关再次查看报头内容,然后查找当前网络地址转换表的记录,找到与公有地址20.1.1.1对应的私用地址192.168.1.3,使用内部PC的私有地址192.168.1.3替换初始的目的地址。
NAT实现通常有两种形式:软件NAT和硬件NAT。其中,软件NAT是指通过在单核或多核CPU上运行相应的软件代码来实现NAT处理功能,所有需要NAT处理的报文都上送CPU进行处理。硬件NAT是指通过专有的NAT业务板来实现NAT处理,通过在NAT业务板上运行的NP微码来实现硬件NAT处理。软件NAT实现功能较为丰富,控制灵活,但由于受限于CPU处理能力,因此,NAT处理性能较低。硬件NAT性能高,但由于通过NP微码来实现,微码编程能力有限,功能较为单一,控制不够灵活。同时,由于需要采用专有的业务板来实现,成本高。对于网络流量主要集中于内部互访,出口流量带宽较小的用户来说,综合考虑成本、性能需求,通常选择软件NAT来实现私网到公网的访问。
目前网关设备通常为分布式路由设备,主要由主控板、接口板及交换网板构成,设备的二、三层报文转发通过硬件来实现。因此,为了支持NAT业务,必须对硬件转发流程进行修改,将转发流中需要NAT业务处理的报文识别出来,并上送NAT处理装置(CPU或NAT板)进行NAT处理,然后从对应出接口发送出去。
现有技术中,网关设备主要通过QACL重定向和FIB重定向两种方式将需要NAT处理的报文上送NAT处理装置。
QACL重定向方式,指的是在私网入接口上配置与NAT转换规则的ACL过滤规则对应的QACL重定向规则,网关设备接收到私网报文时,若私网报文的地址信息与QACL重定向规则匹配,则网关设备将将该私网报文上送NAT处理装置。
FIB重定向方式,指的是在公网出接口上配置NAT规则,将该出接口绑定到指定NAT处理装置时,网关设备重刷出接口为该公网接口的所有网段路由对应的FIB,在FIB中增加NAT处理标记及需要重定向到的目的NAT处理装置信息。网关设备从私网接收报文后,查找FIB表,找到对应的公网出接口及其对应的逻辑表项(outLIF),根据FIB表中的NAT处理标记及目的NAT处理装置重定向信息,将报文重定向目的NAT处理装置。
但是,对于FIB重定向NAT,由于重刷所有出接口为对应公网出接口的FIB表项,所有从该公网出接口出去流量都会上送NAT处理装置进行处理,其中包括不满足NAT转换规则的流量。对于多核CPU方式的软NAT,由于硬件上送CPU通道的带宽有限(通常1G),且CPU的处理能力有限,因此将不需要NAT业务处理的流量上送CPU,不仅占用上送通道带宽,影响正常NAT处理流量上送,增加CPU处理负担。同时,网关设备建立流表存储进行NAT处理的流量信息。对于不需要NAT处理的流量,同样会占用流表,消耗内存资源,影响正常会话的处理。
现有技术的缺点在于:网关设备将流量上送NAT处理装置过程中,无法准确识别需要NAT处理的流量,导致大量不需要NAT处理的流量上送NAT处理装置,消耗有限资源,导致正常业务处理流量无法得到迅速处理。
发明内容
本发明提供了一种网络地址转换业务报文处理的方法和装置,以减少网关设备中需要上送NAT处理装置进行处理的流量。
本发明提供了一种网络地址转换NAT业务报文处理的方法,应用于包括服务端口、NAT处理装置以及公网出口的网关设备,该方法进一步包括以下步骤:
所述公网出口配置NAT转换规则、以及与所述NAT处理装置和所述服务端口的绑定关系;
所述NAT处理装置获取所述公网出口配置的NAT转换规则,根据所述NAT转换规则生成QACL规则并下发到所述服务端口,并将路由表中与所述公网出口对应的转发表项的重定向信息设置为所述服务端口;
所述网关设备根据所述路由表转发接收到的流量,将目的出端口为所述公网出口的流量向所述服务端口转发;
所述服务端口根据所述QACL规则对流量进行匹配,将匹配成功的流量向所述NAT处理装置发送,将匹配失败的流量向所述公网出口发送;
所述NAT处理装置根据所述NAT转换规则匹配接收到的流量,将流量向所述公网出口发送。
根据所述NAT转换规则生成QACL规则并下发到所述服务端口包括:
当所述NAT转换规则为带ACL的转换规则时,复制所述ACL规则生成QACL规则;
当所述NAT转换规则为静态转换规则时,获取所述静态转换规则的私网地址,生成源IP地址为所述私网地址的QACL规则;
当所述NAT转换规则为NAT服务器规则时,根据对应的私网地址及服务类型,生成源IP地址和服务类型分别为所述私网地址和服务类型的QACL规则。
所述服务端口根据所述QACL规则对流量进行匹配具体为:
所述服务端口具有流量环回功能,并在入方向配置所述QACL规则;
所述服务端口在出方向直接转发接收到的流量,在入方向根据所述QACL规则匹配环回的流量。
所述根据所述NAT转换规则生成QACL规则还包括:
所述NAT处理装置以所述服务端口的端口号为索引建立并保存所述服务端口对应的QACL规则。
所述服务端口根据所述QACL规则对流量进行匹配之前,还包括:
所述服务端口接收所述NAT处理装置下发的QACL规则;
所述服务端口在本地查找是否已存储所述QACL规则;
若查找结果为是,所述服务端口增加所述QACL规则的引用计数;
若查找结果为否,所述服务端口存储所述QACL规则。
本发明提供一种网络地址转换NAT业务报文处理的装置,包括服务端口、NAT处理装置以及公网出口,作为网关设备或者所述网关设备的一部分,所述服务端口具有流量环回功能,其中
所述公网出口,用于配置NAT转换规则、以及与所述NAT处理装置和公网出口的绑定关系;
所述NAT处理装置,用于获取所述公网出口的NAT转换规则,向所述服务端口下发QACL规则,并将路由表中与所述公网出口对应的转发表项的重定向信息设置为所述服务端口;根据所述NAT转换规则匹配所述服务端口发送的流量,将流量向所述公网出口发送;
所述服务端口,接收根据所述路由表的重定向信息被重定向到本地的流量,根据所述NAT处理装置下发的QACL规则匹配所述流量,将匹配失败的流量向所述公网出口发送,将匹配成功的流量向所述NAT处理装置发送。
所述NAT处理装置具体用于:
当所述NAT转换规则为带ACL的转换规则时,复制所述ACL规则生成QACL规则;
当所述NAT转换规则为静态转换规则时,获取所述静态转换规则的私网地址,生成源IP地址为所述私网地址的QACL规则;
当所述NAT转换规则为NAT服务器规则时,根据对应的私网地址及服务类型,生成源IP地址和服务类型分别为所述私网地址和服务类型的QACL规则。
所述服务端口具有流量环回功能,具体用于:
在入方向配置接收到的所述QACL规则;
在出方向直接转发接收到的流量,在入方向根据所述QACL规则匹配环回的流量。
所述NAT处理装置还用于:
以所述服务端口的端口号为索引建立并保存所述服务端口对应的QACL规则。
所述服务端口还用于:
接收所述NAT处理装置下发的QACL规则;
在本地查找是否已存储所述QACL规则;
若查找结果为是,增加所述QACL规则的引用计数;
若查找结果为否,存储所述QACL规则。
与现有技术相比,本发明至少具有以下优点:
本发明中,通过配置服务端口、以及服务端口上的QACL规则,通过服务端口对上送NAT处理装置的流量进行过滤,降低NAT处理装置的流量处理负担,提高NAT处理装置的利用率。
附图说明
图1是现有技术中NAT地址转换转换的基本过程示意图;
图2是本发明提供的NAT业务报文处理的方法的流程示意图;
图3是本发明提供的网关设备的结构示意图;
图4是本发明应用场景提供的NAT业务报文处理的方法中,建立P2、SP以及NAT转换装置的绑定关系的过程示意图;
图5是本发明提供的NAT业务报文处理的装置的结构示意图。
具体实施方式
本发明的核心思想是:在网关设备中增加具有业务环回功能的SP(ServicePort,服务接口),并配置公网出口、SP以及NAT处理装置的绑定关系。在目的出端口为公网出口的FIB转发表项中,将流量的重定向标识信息设置为SP,在SP的入方向配置与公网出口的NAT转换规则对应的QACL规则,通过SP将匹配QACL规则的流量重定向到NAT处理装置,进一步由NAT处理装置进行NAT转换后向公网出口发送,对于与QACL规则不匹配的流量,SP直接将流量向公网出口发送。
具体的,本发明提供的方案中,网关设备将公网出口、SP与NAT处理装置绑定后,NAT处理装置获取公网出口的NAT规则,根据该NAT规则生成QACL规则并下发到SP,在SP的入方向配置QACL规则,同时,相应的将FIB表项中出方向为公网出口的流量的重定向目的地设置为SP。流量到达网关设备后,查找FIB表项,当该流量的目的出端口为上述公网出口时,其对应的重定向目的地为SP。SP接收并转发该流量后,在入方向重新接收流量,判断流量是否匹配配置的QACL规则,若匹配成功,SP将该流量向NAT处理装置发送;若匹配失败,SP将直接将该流量向公网出口发送。NAT处理装置接收流量后,进一步根据NAT转换规则处理该流量,将流量向公网出口发送。公网出口将到达的流量向公网发送。
本发明提供一种网络地址转换NAT业务报文处理的方法,应用于包括服务端口、NAT处理装置以及公网出口的网关设备,所述服务端口具有流量环回功能,如图2所示,该方法进一步包括以下步骤:
步骤201,当所述公网出口、对应的服务端口以及NAT处理装置配置绑定关系后,所述NAT处理装置获取所述公网出口的NAT转换规则,根据所述NAT转换规则生成QACL规则,将所述QACL规则下发到所述服务端口,并设置路由表中出端口为所述公网出口的重定向目的地为所述服务端口;
步骤202,所述网关设备根据路由表转发接收到的流量,将目的出端口为所述公网出口的流量向所述服务端口转发;
步骤203,所述服务端口在入方向接收到环回的流量时,根据所述QACL规则对流量进行匹配,将匹配成功的流量向所述NAT处理装置发送,将匹配失败的流量向所述公网出口发送;
步骤204,所述NAT处理装置根据所述NAT转换规则匹配接收到的流量,将流量向所述公网出口发送。
下面结合具体应用场景详细介绍本发明提供的NAT业务报文处理的方法。
本发明提供的网关设备的结构如图3所示,其中,P1、P2为多核单板上的普通接口,其中P1为私网接口,P2为公网接口。SP为NAT业务服务端口,具有流量环回功能,其物理成员端口在接口板1上。CPU为NAT业务处理的装置。NAT规则配置在公网接口P2上。
公网接口P2与SP和NAT处理装置绑定后,NAT处理装置获取P2上配置的NAT规则,根据该NAT规则生成QACL规则并下发到SP,同时将FIB表中目的出端口为公网接口P2的流量的重定向目的地设置为SP,并向SP下发QACL规则。私网侧报文从P1端口进入后,网关设备查找FIB表,发现对应的重定向目的为SP时,将报文重定向到SP。在出方向上,SP直接将流量向接口外发送,从SP出去的报文环回到SP的入方向进行处理;在入方向上,SP根据配置的QACL规则对流量进行过滤和分流:如果流量匹配QACL规则,SP将流量重定向到NAT处理装置,经过NAT处理后,从公网出口P2发送;如果报文不匹配QACL规则,SP直接根据FIB表中的ARP(Address ResolutionProtocol,地址解析协议)索引,获取ARP表项,替换报文的目的MAC地址为ARP表项对应的MAC地址,将报文从P2端口发送出去。
具体的,本发明应用场景提供的NAT业务报文处理的方法中,建立P2、SP以及NAT转换装置的绑定关系的过程如图4所示,包括以下步骤:
步骤401,公网接口P2绑定NAT处理装置。
具体的,公网接口P2上配置绑定命令,执行相应的绑定操作,例如在存在NAT转换规则的情况下,将NAT转换规则向具有绑定关系的NAT处理装置发送。
步骤402,NAT处理装置查询P2是否配置有NAT转换规则,如果查询结果为是,执行步骤403,否则,执行步骤404。
步骤403,NAT处理装置获取P2配置的NAT转换规则,进一步查询P2是否绑定对应的SP;如果查询结果为配置有绑定的SP,执行步骤407;否则,执行步骤405。
步骤404,NAT处理装置保存绑定配置。
步骤405,NAT处理装置修改FIB表的相关配置,在FIB表项中添加重定向标记,并将重定向目的地设置为自身。
步骤406,NAT处理装置保存绑定配置。
步骤407,NAT处理装置根据获取的NAT转换规则,生成对应的QACL规则,并将QACL规则下发到SP的入方向。
步骤408,NAT处理装置判断QACL规则是否下发成功,如果下发成功,执行步骤409;否则,执行步骤405。
步骤409,NAT处理装置修改FIB表的相关配置,在FIB表项中将重定向目的地设置为SP。
步骤410,NAT处理装置保存绑定配置。
本发明应用场景提供的NAT业务报文处理的方法中,网关设备可以预先配置P2、SP和NAT处理装置,并根据图4所示的流程建立P2、SP以及NAT转换装置的绑定关系。其他情况下,例如当P2已经与NAT处理装置建立绑定关系后,在网关设备中添加SP与P2绑定,此时,NAT处理装置根据与P2的绑定关系获知添加的SP,并根据NAT转换规则生成QACL规则,将QACL规则下发到SP的入方向,同时修改P2对应的FIB表项中的重定向目的地为SP。
本发明应用场景提供的NAT业务报文处理的方法中,若需要删除P2与SP的绑定关系,则NAT处理装置需要删除下发到SP接口的QACL规则,同时,修改P2对应的FIB表项,将FIB表项中的重定向目的地址修改为NAT处理装置。
本发明应用场景提供的NAT业务报文处理的方法中,NAT转换规则通常包括带ACL的转换规则、静态转换规则和NAT Server规则。
带ACL的转换规则中,NAT转换规则中的ACL用于选取需要进行NAT转换的流量,通常采用源IP匹配规则。私网侧流量通过网关设备向公网侧发送时,网关设备记录该流量的源IP地址、以及为该流量更换的公网源IP地址,当接收到目的IP地址为该公网源IP地址的流量时,网关设备流量的目的地址更换为原流量的源IP地址并向私网侧发送。因此,该类型转换规则只支持私网主动发起连接,公网到私网的流量,需要匹配对应会话,才能进入私网。
静态转换规则,包括静态一对一和静态网段规则。静态一对一指的是一个私网地址对应一个公网地址;静态网段配置指一个私网网段对应一个公网网段,两个网段包含的地址数相同,按顺序进行一对一转换。该类型支持私网向公网主动发起连接或公网主动向私网发起连接。
NAT Server规则,规则中包含内部服务器的私网地址、私网端口以及公网地址及公网端口。网关设备接收到发往该服务器对应的公网地址和端口的流量,会将目的IP转换成对应私网地址和端口,发送到该服务器。服务器端发往客户端的流量,其私网地址和端口转换为对应内部服务器配置的公网地址和端口,然后通过公网向客户端发送。
对于上述三种类型的NAT转换规则,生成QACL规则时需要进行不同的处理:
对于带ACL的转换规则,NAT处理装置直接复制对应的ACL规则,生成QACL规则;
对于静态转换规则,NAT处理装置获取静态转换规则的私网地址,生成源IP地址为该私网地址的QACL规则;
对于NAT Server规则,NAT处理装置根据服务器的私网地址及服务类型,生成源IP地址和服务类型分别为该私网地址和服务类型的QACL规则。
对于生成的QACL规则,本发明应用场景中,NAT处理装置以SP端口号为索引保存,即建立SP端口与QACL规则的对应关系,每个SP端口根据其服务的公网出端口上配置的NAT转换规则,生成对应的QACL规则.由于同一SP端口服务的公网出端口上可能配置相同的NAT转换规则,因此,同一SP端口可能下发相同的QACL规则,此时,对于重复的QACL规则,在SP端口上只需要保存一条QACL规则,同时保存对应的引用计数.在引用计数为0时,删除该规则.默认添加一条新的QACL规则时,引用计数为1.
通过采用本发明提供的方法,通过配置服务端口、以及服务端口上的QACL规则,通过服务端口对上送NAT处理装置的流量进行过滤,降低NAT处理装置的流量处理负担,提高NAT处理装置的利用率。
本发明提供一种网络地址转换NAT业务报文处理的装置,如图5所示,包括服务端口11、NAT处理装置12以及公网出口13,作为网关设备或者所述网关设备的一部分,所述服务端口11具有流量环回功能,其中
所述公网出口13,与所述服务端口11和NAT处理装置12连接,用于配置NAT转换规则、以及与所述NAT处理装置和公网出口的绑定关系;
所述NAT处理装置12,与所述公网出口13和所述服务端口11连接,用于获取所述公网出口13的NAT转换规则,向所述服务端口11下发QACL规则,并将路由表中与所述公网出口13对应的转发表项的重定向信息设置为所述服务端口11;根据所述NAT转换规则匹配所述服务端口11发送的流量,将流量向所述公网出口13发送;
所述服务端口11,与所述NAT处理装置12和公网出口13连接,用于接收根据所述路由表的重定向信息被重定向到本地的流量,根据所述NAT处理装置12下发的QACL规则匹配所述流量,将匹配成功的流量向所述NAT处理装置12发送,将匹配失败的流量向所述公网出口13发送。
所述NAT处理装置12具体用于:
当所述NAT转换规则为带ACL的转换规则时,复制所述ACL规则生成QACL规则;
当所述NAT转换规则为静态转换规则时,获取所述静态转换规则的私网地址,生成源IP地址为所述私网地址的QACL规则;
当所述NAT转换规则为NAT服务器规则时,根据对应的私网地址及服务类型,生成源IP地址和服务类型分别为所述私网地址和服务类型的QACL规则。
所述服务端口11具有流量环回功能,具体用于:
在入方向配置接收到的所述QACL规则;
在出方向直接转发接收到的流量,在入方向根据所述QACL规则匹配环回的流量。
所述NAT处理装置12还用于:
以所述服务端口的端口号为索引建立并保存所述服务端口对应的QACL规则。
所述服务端口11还用于:
接收所述NAT处理装置下发的QACL规则;
在本地查找是否已存储所述QACL规则;
若查找结果为是,增加所述QACL规则的引用计数;
若查找结果为否,存储所述QACL规则。
通过采用本发明提供的装置,配置服务端口、以及服务端口上的QACL规则,通过服务端口对上送NAT处理装置的流量进行过滤,降低NAT处理装置的流量处理负担,提高NAT处理装置的利用率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式.基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法.
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种网络地址转换NAT业务报文处理的方法,其特征在于,应用于包括服务端口、NAT处理装置以及公网出口的网关设备,该方法进一步包括以下步骤:
所述公网出口配置NAT转换规则、以及与所述NAT处理装置和所述服务端口的绑定关系;
所述NAT处理装置获取所述公网出口配置的NAT转换规则,根据所述NAT转换规则生成QACL规则并下发到所述服务端口,并将路由表中与所述公网出口对应的转发表项的重定向信息设置为所述服务端口;
所述网关设备根据所述路由表转发接收到的流量,将目的出端口为所述公网出口的流量向所述服务端口转发;
所述服务端口根据所述QACL规则对流量进行匹配,将匹配成功的流量向所述NAT处理装置发送,将匹配失败的流量向所述公网出口发送;
所述NAT处理装置根据所述NAT转换规则匹配接收到的流量,将流量向所述公网出口发送。
2.如权利要求1所述的方法,其特征在于,根据所述NAT转换规则生成QACL规则并下发到所述服务端口包括:
当所述NAT转换规则为带ACL的转换规则时,复制所述ACL规则生成QACL规则;
当所述NAT转换规则为静态转换规则时,获取所述静态转换规则的私网地址,生成源IP地址为所述私网地址的QACL规则;
当所述NAT转换规则为NAT服务器规则时,根据对应的私网地址及服务类型,生成源IP地址和服务类型分别为所述私网地址和服务类型的QACL规则。
3.如权利要求1所述的方法,其特征在于,所述服务端口根据所述QACL规则对流量进行匹配具体为:
所述服务端口具有流量环回功能,并在入方向配置所述QACL规则;
所述服务端口在出方向直接转发接收到的流量,在入方向根据所述QACL规则匹配环回的流量。
4.如权利要求1所述的方法,其特征在于,所述根据所述NAT转换规则生成QACL规则还包括:
所述NAT处理装置以所述服务端口的端口号为索引建立并保存所述服务端口对应的QACL规则。
5.如权利要求4所述的方法,其特征在于,所述服务端口根据所述QACL规则对流量进行匹配之前,还包括:
所述服务端口接收所述NAT处理装置下发的QACL规则;
所述服务端口在本地查找是否已存储所述QACL规则;
若查找结果为是,所述服务端口增加所述QACL规则的引用计数;
若查找结果为否,所述服务端口存储所述QACL规则。
6.一种网络地址转换NAT业务报文处理的装置,其特征在于,包括服务端口、NAT处理装置以及公网出口,作为网关设备或者所述网关设备的一部分,所述服务端口具有流量环回功能,其中
所述公网出口,用于配置NAT转换规则、以及与所述NAT处理装置和公网出口的绑定关系;
所述NAT处理装置,用于获取所述公网出口的NAT转换规则,向所述服务端口下发QACL规则,并将路由表中与所述公网出口对应的转发表项的重定向信息设置为所述服务端口;根据所述NAT转换规则匹配所述服务端口发送的流量,将流量向所述公网出口发送;
所述服务端口,接收根据所述路由表的重定向信息被重定向到本地的流量,根据所述NAT处理装置下发的QACL规则匹配所述流量,将匹配失败的流量向所述公网出口发送,将匹配成功的流量向所述NAT处理装置发送。
7.如权利要求6所述的装置,其特征在于,所述NAT处理装置具体用于:
当所述NAT转换规则为带ACL的转换规则时,复制所述ACL规则生成QACL规则;
当所述NAT转换规则为静态转换规则时,获取所述静态转换规则的私网地址,生成源IP地址为所述私网地址的QACL规则;
当所述NAT转换规则为NAT服务器规则时,根据对应的私网地址及服务类型,生成源IP地址和服务类型分别为所述私网地址和服务类型的QACL规则。
8.如权利要求6所述的装置,其特征在于,所述服务端口具有流量环回功能,具体用于:
在入方向配置接收到的所述QACL规则;
在出方向直接转发接收到的流量,在入方向根据所述QACL规则匹配环回的流量。
9.如权利要求6所述的装置,其特征在于,所述NAT处理装置还用于:
以所述服务端口的端口号为索引建立并保存所述服务端口对应的QACL规则。
10.如权利要求9所述的装置,其特征在于,所述服务端口还用于:
接收所述NAT处理装置下发的QACL规则;
在本地查找是否已存储所述QACL规则;
若查找结果为是,增加所述QACL规则的引用计数;
若查找结果为否,存储所述QACL规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102594094A CN101707569B (zh) | 2009-12-21 | 2009-12-21 | Nat业务报文处理的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102594094A CN101707569B (zh) | 2009-12-21 | 2009-12-21 | Nat业务报文处理的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101707569A true CN101707569A (zh) | 2010-05-12 |
CN101707569B CN101707569B (zh) | 2012-05-23 |
Family
ID=42377764
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102594094A Expired - Fee Related CN101707569B (zh) | 2009-12-21 | 2009-12-21 | Nat业务报文处理的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101707569B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111311A (zh) * | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
CN103416026A (zh) * | 2011-03-04 | 2013-11-27 | 日本电气株式会社 | 网络系统、分组处理方法和记录介质 |
WO2016062140A1 (zh) * | 2014-10-20 | 2016-04-28 | 中兴通讯股份有限公司 | 一种实现虚拟私有云网络与外部网络互通的方法和装置 |
US9871762B2 (en) | 2013-08-30 | 2018-01-16 | Hewlett Packard Enterprise Development Lp | Translating network address |
CN108173982A (zh) * | 2018-03-26 | 2018-06-15 | 深圳市风云实业有限公司 | 跨板报文的nat处理方法及装置 |
CN109088953A (zh) * | 2017-06-14 | 2018-12-25 | 中兴通讯股份有限公司 | 一种Linux网关代理转换IP的方法及装置 |
CN110311868A (zh) * | 2019-07-08 | 2019-10-08 | 新华三信息安全技术有限公司 | 业务处理方法、装置、成员设备及机器可读存储介质 |
CN112333135A (zh) * | 2020-07-16 | 2021-02-05 | 北京京东尚科信息技术有限公司 | 网关确定方法、装置、服务器、分发器、系统及存储介质 |
CN113452619A (zh) * | 2021-06-29 | 2021-09-28 | 杭州迪普科技股份有限公司 | 一种基于acl的流量分流方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101360030B (zh) * | 2008-08-21 | 2011-10-05 | 华为技术有限公司 | 一种私网用户使用公网地址接入公网的方法及网关 |
-
2009
- 2009-12-21 CN CN2009102594094A patent/CN101707569B/zh not_active Expired - Fee Related
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9203758B2 (en) | 2011-03-04 | 2015-12-01 | Nec Corporation | Network system, packet processing method and recording medium |
CN103416026B (zh) * | 2011-03-04 | 2016-06-08 | 日本电气株式会社 | 网络系统和分组处理方法 |
CN103416026A (zh) * | 2011-03-04 | 2013-11-27 | 日本电气株式会社 | 网络系统、分组处理方法和记录介质 |
US9525740B2 (en) | 2011-03-18 | 2016-12-20 | Hewlett Packard Enterprise Development Lp | Accessing a private network through L2TP |
CN102111311A (zh) * | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
CN102904975B (zh) * | 2012-09-28 | 2015-06-17 | 华为技术有限公司 | 报文处理的方法和相关装置 |
CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
US9871762B2 (en) | 2013-08-30 | 2018-01-16 | Hewlett Packard Enterprise Development Lp | Translating network address |
CN105591863B (zh) * | 2014-10-20 | 2019-11-26 | 中兴通讯股份有限公司 | 一种实现虚拟私有云网络与外部网络互通的方法和装置 |
CN105591863A (zh) * | 2014-10-20 | 2016-05-18 | 中兴通讯股份有限公司 | 一种实现虚拟私有云网络与外部网络互通的方法和装置 |
WO2016062140A1 (zh) * | 2014-10-20 | 2016-04-28 | 中兴通讯股份有限公司 | 一种实现虚拟私有云网络与外部网络互通的方法和装置 |
CN109088953A (zh) * | 2017-06-14 | 2018-12-25 | 中兴通讯股份有限公司 | 一种Linux网关代理转换IP的方法及装置 |
CN109088953B (zh) * | 2017-06-14 | 2022-02-25 | 中兴通讯股份有限公司 | 一种Linux网关代理转换IP的方法及装置 |
CN108173982A (zh) * | 2018-03-26 | 2018-06-15 | 深圳市风云实业有限公司 | 跨板报文的nat处理方法及装置 |
CN108173982B (zh) * | 2018-03-26 | 2020-12-22 | 深圳市风云实业有限公司 | 跨板报文的nat处理方法及装置 |
CN110311868A (zh) * | 2019-07-08 | 2019-10-08 | 新华三信息安全技术有限公司 | 业务处理方法、装置、成员设备及机器可读存储介质 |
CN110311868B (zh) * | 2019-07-08 | 2021-09-21 | 新华三信息安全技术有限公司 | 业务处理方法、装置、成员设备及机器可读存储介质 |
CN112333135A (zh) * | 2020-07-16 | 2021-02-05 | 北京京东尚科信息技术有限公司 | 网关确定方法、装置、服务器、分发器、系统及存储介质 |
CN113452619A (zh) * | 2021-06-29 | 2021-09-28 | 杭州迪普科技股份有限公司 | 一种基于acl的流量分流方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101707569B (zh) | 2012-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101707569B (zh) | Nat业务报文处理的方法及装置 | |
EP3225014B1 (en) | Source ip address transparency systems and methods | |
US7630368B2 (en) | Virtual network interface card loopback fastpath | |
CN102148767A (zh) | 一种基于nat的数据路由方法及其装置 | |
US20070276957A1 (en) | Apparatus and method for providing data session source device information | |
CN101150502A (zh) | 一种nat-pt设备及其负荷分担方法 | |
CN101729427A (zh) | 一种多链路负载分担和选路的方法和路由器 | |
CN104518939A (zh) | 用于连接通信网络中的主机的方法和相应中继模块 | |
CN101043430B (zh) | 一种设备之间网络地址转换的方法 | |
US9769113B1 (en) | Socket-based internet protocol for wireless networks | |
CN103152269B (zh) | 一种基于nat的报文转发方法和设备 | |
CN102792651B (zh) | 在mac层应用服务路径路由选择的装置 | |
CN102638453A (zh) | 一种基于Linux系统服务器的语音数据内核转发方法 | |
EP1562348B1 (en) | Method and Apparatus for Connecting Heterogeneous Protocol Nodes | |
CN110460641A (zh) | 数据传输方法、装置及系统 | |
US8547998B2 (en) | Tunneling IPv6 packet through IPv4 network using a tunnel entry based on IPv6 prefix and tunneling IPv4 packet using a tunnel entry based on IPv4 prefix | |
CN104486229A (zh) | 一种实现vpn网络报文转发的方法及设备 | |
CN1863202B (zh) | 提高负载均衡设备和服务器处理性能的方法 | |
CN105530159A (zh) | 一种实现跨IPv6和IPv4的VPN互访的方法和系统 | |
CN104219257B (zh) | 一种网页实时通信方法、系统及服务器和客户端 | |
CN107483628A (zh) | 基于dpdk的单向代理方法及系统 | |
CN107528932A (zh) | 一种数据传输方法、网络地址转换设备 | |
CN100393039C (zh) | 无ip地址设备网管方法 | |
JP2015503300A (ja) | マルチメディアデータを記録するための方法、デバイス、およびシステム | |
JP2001285366A (ja) | IPv4−IPv6アドレス置換方法、およびIPv4−IPv6通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20191221 |
|
CF01 | Termination of patent right due to non-payment of annual fee |