具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
参见图1,图1为本发明实施例提供的方法流程图。本发明提供的方法应用于网络设备,该网络设备可包括主控板、接口板和N块NAT板。其中,N可根据网络实际情况设置,取值可为:大于等于1的正整数。比如,如果单块NAT板的新建会话性能或是会话规格满足所有网络用户的NAT服务,则N取值可为1,否则,N可取值为大于1的正整数。并且,当N大于1时,本发明可将该N块NAT板对外虚拟成一块虚拟NAT板来提供服务。
基于此,如图1所示,该流程包括以下步骤:
步骤101,主控板为各NAT板分配相互独立的外网IP地址和端口号,并将各NAT板的标识与分配给各NAT板的外网IP地址和端口号记录至接口板。
步骤102,接口板按照负载分担方式将接收的内网访问外网的正向报文定向至NAT板,以由该NAT板将该正向报文的源IP地址以及源端口号依次替换为分配给该NAT板的其中一个外网IP地址以及端口号,并由该NAT板记录包含以下内容的对应关系:替换前、后的源IP地址、以及替换前、后的源端口号。
步骤103,接口板接收到外网访问内网的反向报文,依据所述反向报文的目的IP地址和目的端口号确定用于处理所述反向报文的NAT板,将该反向报文定向至该确定的NAT板,以由该NAT板从已记录的对应关系中查找分别与所述反向报文的目的IP地址和目的端口号对应的IP地址和端口号,将该反向报文的目的IP地址和目的端口号依次替换为查找到的IP地址和端口号。
需要说明的是,本发明所指的源端口号、以及目的端口号都为应用层识别的端口。
至此,完成图1所示的流程。
下面对图1所示流程的各个步骤进行详细描述:
在上述步骤101中,主控板可按照最大限度均匀分配原则为各NAT板分配相互独立的外网IP地址和端口号,具体为:确定所述网络设备的NAT地址池的数目等于NAT板的数目,为各NAT板分配相同数目的NAT地址池;确定所述网络设备的NAT地址池的数目大于NAT板的数目,为各NAT板分配相同数目的NAT地址池,再将剩余NAT地址池的外网IP地址及对应的端口号,以216-n个端口为单位依次分配给各NAT板;确定所述网络设备的NAT地址池的数目小于NAT板的数目,将所有NAT地址池的外网IP地址及对应端口,以216-n个端口为单位,依次分配给各NAT板;其中,n满足以下条件:2n-1<N≤2n,N为NAT板数目
下面以一个具体实施例描述如何按照最大限度均匀分配原则为各NAT板分配相互独立的外网IP地址和端口号:
以网络设备的NAT地址池数目大于NAT板的数目为例,其他情况原理类似,则,假如网络设备配置了以下5块NAT板:NAT板1至NAT板5,即N取值为5,网络设备的NAT地址池数目为7,依次为:202.1.1.1~202.1.1.7。
如此,基于上面的描述则可以得到:
先将前5个NAT地址池即202.1.1.1~202.1.1.5依次分配给NAT板1至NAT板5,比如,202.1.1.1分配给NAT板1,202.1.1.2分配给NAT板2,202.1.1.3分配给NAT板3,202.1.1.4分配给NAT板4,202.1.1.5分配给NAT板5。其中,当一个NAT地址池分配给了一块NAT板,意味着该NAT地址池的所有端口都分配了该NAT板。比如,202.1.1.1分配给NAT板1,则意味着202.1.1.1对应的所有端口均分配给了NAT板1。
之后,将剩余NAT地址池即202.1.1.6~202.1.1.7以216-n个端口为单位依次分配给NAT板1至NAT板5。基于上面描述的N取值为5,以及n满足以下条件:2n-1<N≤2n,则可以得到:n为3,即每块NAT单板依次分配到每个剩余NAT地址池的216-3=13(即8192)个端口,具体分配如下表1所示:
表1
NAT板 |
端口分配 |
NAT板1 |
000XXXXXXXXXXXXX(1) |
NAT板2 |
001XXXXXXXXXXXXX(1) |
NAT板3 |
010XXXXXXXXXXXXX(1) |
NAT板4 |
011XXXXXXXXXXXXX(1) |
NAT板5 |
100XXXXXXXXXXXXX(1) |
NAT板1 |
101XXXXXXXXXXXXX(1) |
NAT板2 |
110XXXXXXXXXXXXX(1) |
NAT板3 |
111XXXXXXXXXXXXX(1) |
NAT板4 |
000XXXXXXXXXXXXX(2) |
NAT板5 |
001XXXXXXXXXXXXX(2) |
NAT板1 |
010XXXXXXXXXXXXX(2) |
NAT板2 |
011XXXXXXXXXXXXX(2) |
NAT板3 |
100XXXXXXXXXXXXX(2) |
NAT板4 |
101XXXXXXXXXXXXX(2) |
NAT板5 |
110XXXXXXXXXXXXX(2) |
NAT板1 |
111XXXXXXXXXXXXX(2) |
在上述表1中,X表示可以为0、1,而表1中的(1)、(2)依次表示第一个剩余地址202.1.1.6、第二个剩余地址202.1.1.7。
至此,完成为上述5块NAT板分配外网IP地址和端口号的描述。
在为各NAT板分配外网IP地址和端口号之后,就将各NAT板的标识、以及分配给各NAT板的外网IP地址和端口号记录至每一接口板。优选地,本发明可以下述表2所示的四层转发表方式将分配给各NAT板的外网IP地址和端口号记录至每一接口板,具体如下述表2所示:
表2
NAT资源 |
目的NAT板 |
202.1.1.1:0/32 |
NAT板1 |
202.1.1.2:0/32 |
NAT板2 |
202.1.1.3:0/32 |
NAT板3 |
202.1.1.4:0/32 |
NAT板4 |
202.1.1.5:0/32 |
NAT板5 |
202.1.1.6:0/35 |
NAT板1 |
202.1.1.6:8192/35 |
NAT板2 |
202.1.1.6:16384/35 |
NAT板3 |
202.1.1.6:24576/35 |
NAT板4 |
202.1.1.6:32768/35 |
NAT板5 |
202.1.1.6:40960/35 |
NAT板1 |
202.1.1.6:49152/35 |
NAT板2 |
202.1.1.6:57344/35 |
NAT板3 |
202.1.1.7:0/35 |
NAT板4 |
202.1.1.7:8192/35 |
NAT板5 |
202.1.1.7:16384/35 |
NAT板1 |
202.1.1.7:24576/35 |
NAT板2 |
202.1.1.7:32768/35 |
NAT板3 |
202.1.1.7:40960/35 |
NAT板4 |
202.1.1.7:49152/35 |
NAT板5 |
202.1.1.7:57344/35 |
NAT板1 |
也就是说,每一接口板都会存在上述表2所示的四层转发表。
基于此,在步骤103中,接口板收到响应正向报文的反向报文时,就从表2中找到该反向报文的目的IP地址和目的端口号,将已分配了该目的IP地址和目的端口号的目的NAT板作为用于处理所述反向报文的NAT板,并将该反向报文定向至该NAT板。其中,该反向报文的目的IP地址和目的端口号依次为其响应的正向报文替换后的源IP地址和端口号,因此,该确定的NAT板肯定为对其响应的正向报文执行源IP地址、源端口进行替换的NAT板,这实现了正向报文和响应该正向报文的反向报文能在同一块NAT板上处理。
下面基于表2,以一个具体实施例描述如何实现正向报文和响应该正向报文的反向报文能在同一块NAT板上处理。
假如有一条有内网向外网发起的正向报文被接口板按照负载分担方式定向到NAT板5,则NAT板5就对该正向报文执行以下NAT处理:将该正向报文的源IP地址替换为表2所示的分配给本板的其中一个外网IP地址,将该正向报文的源端口号替换为表2所示的分配给该本板的其中一个端口号,并且,NAT板5还会记录该替换前的源IP地址和源端口号与替换后的源IP地址和源端口号之间的对应关系,由于NAT是基于会话的业务,因此,本发明可以会话方式记录该对应关系。针对接口板后续收到响应该正向报文的反向报文,由于该反向报文的目的地址和目的端口号为上述正向报文替换后的源IP地址和源端口号,因此,接口板就会根据上述表2、以及该反向报文的目的IP地址和目的端口号,将该反向报文定向至NAT板5,从而保证了正向报文和反向报文能在同一块NAT板上处理。
另外,在上面描述中,接口板按照负载分担方式将内网访问外网的正向报文定向至NAT板,其可通过以下任一种策略实现:
1),等价路由策略。在该等价路由策略中,当配置了NAT的外网侧端口学习到路由时,将该路由设置为包含N个下一跳信息的等价路由;其中,每一路由的下一跳信息不同于现有技术中的下一跳信息,具体为:在现有技术的下一跳信息中,其仅包含出接口,而本发明中,相比于现有技术中的下一跳信息,其额外增加了NAT板的标识;需要说明的是,本发明中,该N条等价路由显示给用户还是一条single路由或ARP。
基于等价路由策略,则接口板按照负载分担方式将内网访问外网的正向报文定向至NAT板可为:利用所述正向报文的目的IP地址在所述路由表中查找到的匹配路由包含N个下一跳信息,根据所述正向报文的特征参数进行哈希hash运算,选择与计算的hash值关联的下一跳信息,根据所选下一跳信息中NAT板的标识,将所述正向报文发送到对应的NAT板。
2),入方向重定向策略,该入方向重定向策略中,需要在网络设备的内网侧入接口配置接入控制列表(ACL),该ACL的规则为匹配需要做NAT的正向报文,其中,该匹配可通过以下方式实现:在ACL中设置多个IP地址,当接口板接收到正向报文时,利用该正向报文的源IP地址和/或目的IP地址匹配ACL,如果命中,则确定接收的正向报文为需要进行NAT的报文。在该ACL内部,也需要对正向报文的特征参数进行hash运算,选择与计算的hash值对应的NAT板标识,将所述正向报文定向至被选NAT板标识对应的NAT板。
如此,基于入方向重定向策略,则接口板按照负载分担方式将接收的内网访问外网的正向报文定向至NAT板包括:
接口板依据ACL将所述正向报文定向至对应的NAT板。
至此,通过上述两种策略中任一种即可实现NAT板间负载分担。
优选地,在上述两种策略中,为了减少对NAT辅助功能黑名单的影响,上述用于识别所述正向报文的特征参数可仅为正向报文的源IP地址,这样能够保证从某一源IP地址发起的所有正向报文都会重定向至某一固定的NAT板处理,从而实现某一IP地址的黑名单可以由某一固定NAT板单独处理,否则,需要各块NAT板间同步相应的表项信息协调处理,实现复杂且会有性能或规格的瓶颈。
至此,完成图1所示各个步骤的描述。
优选地,本发明中,网络设备中的NAT板之间可实现自动备份,下面进行描述:
本发明中,N块NAT相互备份是指:当有NAT板出现故障时,将本由该故障NAT板处理的正向报文、以及响应该正向报文的反向报文定向至用于替换该故障NAT板工作的其他正常NAT板(称为备份NAT板),这里,备份NAT板可为所有正常NAT板中负载最低的NAT板。下面进行具体描述:
基于上述的等价路由策略,则,为了实现本由故障NAT板处理的正向报文、以及响应该正向报文的反向报文定向至备份NAT板,主控板需要执行以下步骤:检测到任一NAT板发生故障,在正常NAT板中选择备份NAT板,将路由表的下一跳信息中故障NAT板的标识替换为备份NAT板的标识,并同步给接口板,由接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号。这里,通过将路由表的下一跳信息中故障NAT板的标识替换为备份NAT板的标识,能够使得接口板在接收到正向报文时,能够将本应故障NAT板处理的正向报文定向至备份NAT板;而通过接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号,能够保证响应正向报文的反向报文定向至用于替换该故障NAT板工作的其他正常NAT板。
其中,主控板将路由表的下一跳信息中故障NAT板的标识替换为备份NAT板的标识具体为:从N个下一跳信息中选择包含该故障NAT板标识的下一跳信息,将该选择的下一跳信息中的NAT板标识修改为备份NAT板的标识。而上述由接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号包括:将记录至每一接口板的四层转发表中的故障NAT板标识修改为备份NAT板的标识。
以NAT板5故障为例,则本发明可从所有正常的NAT板中选择负载最低的NAT板,以选择NAT板3为例,如此,主控板从N条等价路由的下一跳信息中选择包含该NAT板5标识的下一跳信息,将该选择的下一跳信息中的NAT板5的标识修改为NAT板3的标识,并修改接口板上表2所示四层转发表中的NAT板5标识为NAT板3标识。如此,当接口板在接收到原本由NAT板5执行NAT处理的正向报文时,由于在NAT板5故障时主控板已将包含NAT板5标识的下一跳信息中NAT板5标识修改为NAT板3标识,因此,该正向报文可直接定向至NAT板3,即实现了原本该定向至NAT板5的正向报文定向至NAT板3执行NAT处理。同样,当接口板接收到响应该正向报文的反向报文时,由于在NAT板5故障时主控板已将四层转发表中NAT板5标识修改为NAT板3标识,因此,根据已记录的四层转发表和该反向报文的目的IP地址和目的端口号,可直接定向至NAT板3,即实现了原本该定向至NAT板5的正、反向报文定向至NAT板3执行NAT处理。
需要说明的是,发生故障的NAT板并非一直处于故障状态,其还可以根据实际情况恢复,其中,当发生故障的NAT板恢复正常时,主控板还需要执行以下操作:将修改的下一跳信息中备份NAT板的标识替换为恢复正常的NAT板的标识,并同步给接口板,接口板记录恢复的NAT板对应的分配给恢复的NAT板的外网IP地址以及对应的端口号。
其中,将修改的下一跳信息中备份NAT板的标识替换为恢复正常的NAT板的标识具体可通过以下步骤实现:在N个下一跳信息中选择出该NAT板故障时已发生修改的下一跳信息,将该选择的下一跳信息中的NAT板标识修改为该NAT板的标识。而接口板记录恢复的NAT板对应的分配给恢复的NAT板的外网IP地址以及对应的端口号具体可为:从接口板记录的四层转发表中选择出该NAT板故障时发生修改的表项,将该表项中的NAT板标识修改为该恢复正常的NAT板的标识。以NAT板5故障,NAT板3替换NAT板5工作为例,则该主控板执行的操作,能够使得在NAT板5恢复正常时,不再由NAT板3替换NAT板5处理原本由NAT板5执行NAT的报文,而是由NAT板5自身处理原本由本板执行NAT的报文。
而基于上述的入方向重定向策略,则为了实现本由故障NAT板处理的正向报文、以及响应该正向报文的反向报文定向至备份NAT板,需要主控板执行以下操作:检测到任一NAT板发生故障,在正常NAT板中选择备份NAT板,并通知给接口板,接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号。
其中,在正常NAT板中选择备份NAT板,并通知给接口板,目的是为了保证接口板将本应故障NAT板处理的正向报文定向至备份NAT板。
另外,接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号具体为:将接口板记录的四层转发表中的故障NAT板标识修改为备份NAT板的标识。
相应地,当故障NAT恢复正常时,主控板还需要执行以下操作:通知给接口板,接口板记录恢复的NAT板对应的分配给恢复的NAT板的外网IP地址以及对应的端口号。
优选地,本发明中,在本应故障NAT板处理的正向报文定向至备份NAT板时,该备份NAT板可利用分配给故障NAT板的外网IP地址和端口号对本应故障NAT板处理的正向报文执行NAT处理。
其中,为了实现备份NAT板利用分配给故障NAT板的外网IP地址和端口号对本应故障NAT板处理的正向报文执行NAT处理,需要先引入一张hash对照表,并在所有NAT板间同步该hash对照表。这里,hash对照表包括以下三者之间的对应关系:hash值、NAT板和该NAT板分配的外网IP地址和端口号。以上面描述的为五块NAT板即NAT板1至NAT板5分配外网IP地址和端口号为例,则该hash对照表如下表3所示:
表3
基于该hash对照表,本发明要求定向至NAT板的正向报文携带以下hash值:在上述两种策略中选择NAT时计算的hash值。
其中,在N块NAT板均正常时,定向至每一NAT板接收的正向报文所携带的hash值与上述hash对照表记录的本板的hash值一致,可直接利用hash对照表中本板分配的外网IP地址和端口号对所述正向报文进行NAT处理。
而在有至少一块NAT板故障时,定向至正常工作的NAT板的正向报文所携带的hash值可能与上述hash对照表记录的本板的hash值一致,其中,当NAT板接收的正向报文所携带的hash值与上述hash对照表记录的本板的hash值一致时,说明该接收的正向报文就是本由本板执行NAT处理的报文,直接利用hash对照表中本板分配的外网IP地址和端口号对所述正向报文进行NAT处理,而当不一致时,说明本板当前担任了故障NAT板的备份NAT板,可利用hash对照表中与该正向报文携带的hash值对应的外网IP地址和端口号对所述正向报文进行NAT处理,这实现了替换故障NAT板工作的NAT板利用分配给故障NAT板的外网IP地址和端口号对本应故障NAT板处理的正向报文执行NAT处理。
以NAT板5故障为例,则本发明可从所有正常的NAT板中选择负载最低的NAT板,以选择NAT板3为例,如此,当接口板接收到一正向报文时,对用于识别所述正向报文的特征参数进行hash运算得到hash值,在NAT板5正常情况下,该hash值与NAT板5对应,可称为hash值5,根据该hash值可以确定出该正向报文应该定向至NAT板5。然而由于NAT板故障,则基于主控板在上述等价路由策略或者入方向重定向策略执行的操作,则接口板将hash值5携带在正向报文并定向至NAT板3。
当NAT板3接收到该正向报文时,就会发现接收的正向报文所携带的hash值5与上述hash对照表记录的本板的hash值不一致,基于此,NAT板3可直接利用hash对照表中与该接收的正向报文所携带的hash值5对应的外网IP地址和端口号即NAT板5被分配的外网IP地址和端口号对所述正向报文进行NAT处理,即实现了NAT板间的相互备份。
其中,在上面描述中,NAT板对接收的正向报文进行NAT处理可包括:将该正向报文的源IP地址以及源端口号替换为正向报文所携带的hash值5对应的外网IP地址和端口号。需要说明的是,本发明中,NAT板对接收的正向报文进行NAT处理时可进一步建立针对该正向报文的会话,为该会话打上与该正向报文携带的hash值对应的H标签,通过所述会话可实现记录上述步骤102中包含以下内容的对应关系:替换前、后的源IP地址、以及源端口号的;同时,还在接收的正向报文携带的hash值与所述hash对照表记录的本板的hash值不一致时,如果所述正向报文不为TCP连接序号(SYN)报文,进一步针对该会话打上S标签,用于表示命中所述会话的报文不做基于序列号的检查(因为命中该会话的报文之前可能一直是在故障NAT板进行NAT处理的,所以不能简单地因为序列号检查而丢弃),以避免业务中断。
如此,本发明中,当故障NAT板比如NAT板5恢复正常时,从该NAT板5工作的备份NAT板比如NAT板3上找到H标签与该NAT板的hash值对应的会话,同步该会话至该恢复正常的NAT板5,以由该恢复正常的NAT板5对命中该同步的会话的报文进行NAT处理。其中,命中会话的报文可为:外网访问内网的反向报文,且该会话包含了该反向报文的源IP地址、目的IP地址和目的端口号等。
至此,完成本发明提供的N块NAT板相互备份的方法描述。
下面对本发明提供的NAT设备进行描述:
参见图2,图2为本发明实施例提供的网络设备结构图。如图2所示所述网络设备包括:主控板、接口板和两块以上NAT板;其中,
所述主控板包括:分配单元和控制单元;
分配单元,用于为各NAT板分配相互独立的外网IP地址和端口号;
处理单元,用于将各NAT板的标识与分配给各NAT板的外网IP地址和端口号记录至接口板;
所述接口板包括:记录单元和报文转发单元;
记录单元,用于记录分配给各NAT板的外网IP地址和端口号;
报文转发单元,用于按照负载分担方式将内网访问外网的正向报文定向至NAT板;以及,接收到外网访问内网的反向报文,依据所述反向报文的目的IP地址和目的端口号确定用于处理所述反向报文的NAT板,将该反向报文定向至该确定的NAT板;
每一NAT板包括:正向报文处理单元和反向报文处理单元;
正向报文处理单元,用于对定向至本板的正向报文的源IP地址以及源端口号依次替换为分配给该NAT板的其中一个外网IP地址以及端口号,并由该NAT板记录包含以下内容的对应关系:替换前、后的源IP地址、以及替换前、后的源端口号;
反向报文处理单元,用于对定向至本板的反向报文,从已记录的对应关系中查找分别与反向报文的目的IP地址和目的端口号对应的IP地址和端口号,将该反向报文的目的IP地址和目的端口号依次替换为查找到的IP地址和端口号。
优选地,如图2所示,所述主控板还包括:路由学习单元;
所述路由学习单元,用于在配置了NAT的外网侧端口学习到路由时,将该路由设置为包含N个下一跳信息的等价路由;其中,N为NAT板数目,且每个下一跳信息包含出接口和NAT板的标识;
基于此,所述报文转发单元按照负载分担方式将接收的内网访问外网的正向报文定向至NAT板包括:
利用所述正向报文的目的IP地址在所述路由表中查找到的匹配路由包含N个下一跳信息,根据所述正向报文的特征参数进行哈希hash运算,选择与计算的hash值关联的下一跳信息,根据所选下一跳信息中NAT板的标识,将所述正向报文发送到对应的NAT板。
本发明中,所述主控板还包括:
第一控制单元,用于在检测到任一NAT板发生故障时,在正常NAT板中选择备份NAT板,将路由表的下一跳信息中故障NAT板的标识替换为备份NAT板的标识,并同步给接口板;接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号,以及,
在检测到发生故障的NAT板恢复正常,将修改的下一跳信息中备份NAT板的标识替换为恢复正常的NAT板的标识,并同步给接口板,接口板记录恢复的NAT板对应的分配给恢复的NAT板的外网IP地址以及对应的端口号。
本发明中,所述报文转发单元依据预置的ACL将所述正向报文定向至对应的NAT板。基于此,本发明中,所述主控板进一步包括:
第二控制单元,用于在检测到任一NAT板发生故障,在正常NAT板中选择备份NAT板,并同步给接口板,接口板记录备份NAT板的标识对应的分配给故障NAT板的外网IP地址和端口号,以及,
检测到发生故障的NAT板恢复正常,同步该恢复正常的NAT板给接口板,接口板记录恢复的NAT板对应的分配给恢复的NAT板的外网IP地址以及对应的端口号。
优选地,本发明中,定向至NAT板的正向报文携带了对所述正向报文的特征参数进行hash运算得到的hash值;
基于此,所述正向报文处理单元将正向报文的源IP地址以及源端口号依次替换为分配给该NAT板的其中一个外网IP地址以及端口号包括:
接收到正向报文时,如果确定所述hash对照表中本NAT板的hash值与正向报文携带的hash值一致,则将正向报文的源IP地址以及源端口号依次替换为所述hash对照表记录的分配给本NAT板的其中一个外网IP地址以及端口号,如果确定所述hash对照表中本NAT板的hash值与正向报文携带的hash值不一致,则从所述hash对照表中找到与所述正向报文携带的hash值对应的其中一个外网IP地址和端口号,将正向报文的源IP地址以及源端口号依次替换为找到的外网IP地址以及端口号。
本发明中,所述NAT板还包括:会话处理单元和会话同步单元;
会话处理单元,用于建立针对正向报文的会话,为所述会话打上所述正向报文携带的hash值对应的H标签,并在本板的hash值与正向报文携带的hash值不一致时,如果所述正向报文不为TCP连接序号SYN报文,则为所述会话进一步打上S标签,用于表示命中所述会话的报文不做基于序列号的检查,以避免业务中断;
会话同步单元,用于当故障NAT板恢复正常时,将本板上具有与该故障NAT板的hash值对应的H标签的会话同步至该恢复正常的NAT板,以使得接口板在接收到命中该会话的反向报文时将该反向报文定向至该恢复正常的NAT板。
至此,完成本发明提供的网络设备结构描述。
由以上技术方案可以看出,本发明中,通过为多块NAT板分配相互独立的外网IP地址和端口号;按照负载分担方式将内网访问外网的正向报文定向至NAT板,以由该NAT板将该正向报文的源IP地址以及源端口号依次替换为分配给该NAT板的其中一个外网IP地址以及端口号,并记录包含以下内容的对应关系:替换前、后的源IP地址、以及替换前、后的源端口号,以控制响应所述正向报文的反向报文定向至对所述正向报文执行处理的NAT板,这一方面避免了由于单块NAT板的新建会话性能有限或是会话规格不足而导致部分网络用户得不到NAT服务的缺陷,另一方便实现了各NAT板动态负载分担。
进一步地,本发明还实现了NAT板间相互自动备份的方案。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。