CN103916491B - 基于nat444架构的动态地址映射方法及装置 - Google Patents
基于nat444架构的动态地址映射方法及装置 Download PDFInfo
- Publication number
- CN103916491B CN103916491B CN201410136110.0A CN201410136110A CN103916491B CN 103916491 B CN103916491 B CN 103916491B CN 201410136110 A CN201410136110 A CN 201410136110A CN 103916491 B CN103916491 B CN 103916491B
- Authority
- CN
- China
- Prior art keywords
- address
- port
- nat444
- public network
- subscriber terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种基于NAT444架构的动态地址映射方法及装置,该方法包括:BRAS设备在接收到Portal服务器的认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号;根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;向AAA服务器发送认证请求报文,该请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。本发明简化了NAT444部署环境,结合集中式和分布式部署两者的优点,在NAT444网关与BRAS设备分离的情况下,实现动态地址映射。
Description
技术领域
本发明涉及NAT444技术领域,尤其涉及一种基于NAT444架构的动态地址映射方法及装置。
背景技术
由于IPv4地址资源将很快枯竭,引入IPv6是网络演进的必然趋势。但是,在IPv4地址耗尽之前,运营商的网络、业务平台、终端以及ICP无法全面支持IPv6,并具备IPv6商用能力。在IPv6过渡期内,引入运营商级NAT,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6的部署争取时间,是NAT444技术部署的主要作用和目的。NAT444的部署方案包括集中式部署和分布式部署。
图1为集中式部署,NAT444与BRAS分开独立部署,是目前运营商采用的主流方案,该方案为静态映射方案,用户的私网地址和公网地址在组网规划时候就确定好,需要网管服务器将映射关系下发到AAA和NAT444网关。该部署方案中网管服务器实现复杂,用户的公网地址利用率不高。
图2为分布式部署,NAT444作为一个插卡放在BRAS上面,需要BRAS和NAT444两台设备内部之间做联动,设备之间交互报文较多,性能要求较高,而且NAT444设备必须以插卡形式存在,没有专用的NAT444设备性能高,存在性能瓶颈。
发明内容
有鉴于此,本发明提供一种基于NAT444架构的动态地址映射装置,应用于NAT444组网系统中的BRAS设备上,该系统包括用户终端设备、BRAS设备、NAT444网关、Portal服务器以及AAA服务器,该装置包括:
终端地址获取单元,用于在接收到Portal服务器的认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,所述私网IP地址在用户终端设备向Portal服务器发送的访问报文中携带,所述公网IP地址以及公网端口号为该访问报文经NAT444网关转发后得到;
端口块映射单元,用于在获取所述用户终端设备的私网IP地址、公网IP地址以及公网端口号后,根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;
认证请求发送单元,用于向AAA服务器发送认证请求报文,该请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
本发明还提供了一种基于NAT444架构的动态地址映射方法,应用于NAT444组网系统中的BRAS设备上,该系统包括用户终端设备、BRAS设备、NAT444网关、Portal服务器以及AAA服务器,该方法包括:
BRAS设备在接收到Portal服务器的认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,所述私网IP地址在用户终端设备向Portal服务器发送的访问报文中携带,所述公网IP地址以及公网端口号为该访问报文经NAT444网关转发后得到;
BRAS设备在获取所述用户终端设备的私网IP地址、公网IP地址以及公网端口号后,根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;
BRAS设备向AAA服务器发送认证请求报文,该请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
本发明简化了NAT444部署环境,结合集中式和分布式部署两者的优点,在NAT444网关与BRAS设备分离的情况下,实现动态地址映射。
附图说明
图1是NAT444架构的集中式部署方案示意图。
图2是NAT444架构的分布式部署方案示意图。
图3是本发明一种实施方式中基于NAT444架构的动态地址映射装置的逻辑结构及其基础硬件环境的示意图。
图4是本发明一种实施方式中基于NAT444架构的动态地址映射方法的流程图。
图5是本发明一种实施方式中NAT444架构的部署方案示意图。
图6是本发明一种实施方式中用户认证过程示意图。
具体实施方式
以下结合附图对本发明进行详细描述。
本发明提供一种基于NAT444架构的动态地址映射装置,应用于NAT444组网系统中的BRAS设备上,其中,该组网系统包括用户终端设备、BRAS设备、NAT444网关、Portal服务器以及AAA服务器。以下以软件实现为例进行说明,但是本发明并不排除诸如硬件或者逻辑器件等其他实现方式。如图3所示,该装置运行的硬件环境通常包括CPU、内存、非易失性存储器以及其他硬件。该装置作为一个逻辑层面的虚拟装置,其通过CPU来运行。该装置包括终端地址获取单元、端口块映射单元以及认证请求发送单元。请参考图4具体的实施步骤。
步骤101,终端地址获取单元在接收到Portal服务器的认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,所述私网IP地址在用户终端设备向Portal服务器发送的访问报文中携带,所述公网IP地址以及公网端口号为该访问报文经NAT444网关转发后得到;
步骤102,端口块映射单元在获取所述用户终端设备的私网IP地址、公网IP地址以及公网端口号后,根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;
步骤103,认证请求发送单元向AAA服务器发送认证请求报文,该请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
为了简化NAT444架构部署方案,同时实现动态地址映射,本发明在NAT444网关与BRAS设备分离的情况下,采用Portal认证的方式实现动态地址映射。图5为本发明NAT444架构部署方案示意图。该NAT444架构主要包括用户终端设备(例如PC)、BRAS设备、NAT444网关、Portal服务器以及AAA服务器。现以用户上线认证过程介绍本发明。
图6为用户上线认证过程示意图。用户在通过用户终端设备访问外部公网时,通过DHCP报文获取本地私网IP地址(例如:192.168.0.2),并通过HTTP报文发送对外网网页的访问请求报文,该访问请求报文在到达BRAS设备时,由BRAS设备确认其是否可以访问外网,若该用户终端设备未进行过认证,则BRAS设备将该访问请求报文进行重定向,将用户终端设备的私网IP地址携带在URL中,向Portal服务器发起访问。
用户终端设备对Portal服务器发起的访问请求报文在经过NAT444网关时,NAT444网关查询其内部的端口块映射表,该端口块映射表中保存了NAT444网关为每一个用户终端设备分配的对应端口块信息,每一个端口块由一段连续的端口号组成,表示该端口块范围的最两边的端口号分别称为起始端口号和结束端口号。NAT444网关在查询内部端口块映射表时,若无用户终端设备的端口块映射表项,则查找空闲的端口块(例如:3801-4100),从该端口块中找出空闲端口(例如:4000)作为该用户终端设备的公网端口号,并生成该用户的端口块映射表项,同时,NAT444网关将访问请求报文的源私网IP地址转换为公网IP地址(例如:202.11.1.1),将该访问请求报文转发给Portal服务器。
Portal服务器在接收到NAT444网关转发的访问请求报文后,从该访问请求报文中提取用户终端设备的私网IP地址以及映射后的公网IP地址和公网端口号,并向BRAS设备发送认证请求报文。在Portal服务器发送的认证请求报文中,携带了用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,公网IP地址和公网端口号利用Portal协议的扩展属性携带在认证请求报文中。
BRAS设备在接收到Portal服务器发送的认证请求报文后,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,并根据预设的端口配置算法,计算出该公网端口号对应的端口块的起始端口号和结束端口号,保存该用户终端设备的端口块映射关系表项。同时,向AAA服务器发送认证请求报文,报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
AAA服务器作为认证计费服务器,其内部的端口块映射表需要与NAT444网关内的端口块映射表保持一致。AAA服务器的端口块映射信息从BRAS设备发送的认证请求报文中获得,因此,要求BRAS设备在获取到用户终端设备的公网端口号后,根据端口配置算法计算出的端口块范围与NAT444网关配置的端口范围相同。
例如:如下两条配置命令
Portal port-range20015000
Portal port-block block-size10
若端口配置算法采用平均算法,则10块端口块的配置范围分别为2001-2300、2301-2600、2601-2900、2901-3200、3201-3500、3501-3800、3801-4100、4101-4400、4401-4700、4701-5000,则可计算出公网端口号为4000时,对应的起始端口号为3801,结束端口号为4100,与NAT444网关为用户终端设备分配的端口块范围(3801-4100)相同。通常可在BRAS设备中采用与NAT444网关相同的端口配置算法。
AAA服务器在接收到BRAS设备的认证请求后,记录用户终端设备的私网IP地址、公网IP地址以及端口块信息,并向BRAS设备回应认证成功报文。BRAS设备接收到该报文后,向Portal服务器发送认证成功报文,Portal服务器再向用户终端设备发送认证成功报文,从而完成用户上线认证过程。
在完成用户上线认证后,用户即可通过用户终端设备进行外网访问,当BRAS设备接收到外网访问请求报文时,查询内部端口块映射表,发现是已认证的用户终端设备,则无需重定向,允许其进行外网访问,该报文经过NAT444网关时,NAT444网关查找其内部端口块映射表,发现已经有记录的公网IP地址为202.11.1.1,找出对应的端口块范围在3801-4100,例如根据算法分配端口号为4008,则以端口号4008,公网IP地址202.11.1.1访问外网。同时,BRAS设备将用户上下线等信息随时更新给AAA服务器,以便AAA服务器进行计费,并为查询服务器提供用户信息查询。
以上为用户正常上线过程,在实际使用过程中,由于BRAS设备与NAT444网关分离,并且NAT444网关具备会话老化机制,因此,当预设的时间内没有会话时,则删除相应的端口块对应关系表项,将该端口块分配给其他用户终端设备,而BRAS设备无从感知此变化,导致不同用户终端设备对应同一端口块,出现端口块重叠。因此,针对此问题需要增加检测机制,确认用户终端设备是否下线,若已下线,则删除该用户终端设备的端口块对应关系表项,释放该用户终端设备的私网IP地址。具体检测方法如下。
BRAS设备预先设定一个检测时间,该时间要小于NAT444网关的会话老化时间,定时检测已注册的用户终端设备是否下线。若检测周期内没有该用户终端设备的流量,则说明该用户终端设备已经提前下线,即可删除内部该用户终端设备对应的端口块映射关系表项。
除了上述方法,BRAS设备还可在接收到新的认证请求时,若计算出的端口范围与已有的端口块映射表项相同,则说明NAT444网关中原会话已老化,已将端口块分配给新的用户终端设备使用,因此,BRAS设备需要删除该端口块原有的对应关系表项,根据新的用户终端设备建立新的对应关系表项。
本发明通过采用Portal认证以及在BRAS设备中引入端口块配置算法,简化了NAT444部署环境,结合集中式和分布式部署两者的优点,在NAT444网关与BRAS设备分离的情况下,实现动态地址映射。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种基于NAT444架构的动态地址映射装置,应用于NAT444组网系统中的BRAS设备上,该系统包括用户终端设备、BRAS设备、NAT444网关、Portal服务器以及AAA服务器,其特征在于,该装置包括:
终端地址获取单元,用于在接收到Portal服务器的第一认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,所述私网IP地址在用户终端设备向Portal服务器发送的访问报文中携带,所述公网IP地址以及公网端口号为该访问报文经NAT444网关转发后得到;
端口块映射单元,用于在获取所述用户终端设备的私网IP地址、公网IP地址以及公网端口号后,根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;
认证请求发送单元,用于向AAA服务器发送第二认证请求报文,该第二认证请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
2.如权利要求1所述的装置,其特征在于:
所述端口配置算法与NAT444网关中的端口配置算法相同。
3.如权利要求1所述的装置,其特征在于,还包括:
端口块检测单元,用于检测用户终端设备是否下线,若已下线,则删除所述端口块映射表中该用户终端设备的对应关系表项。
4.如权利要求3所述的装置,其特征在于:
所述端口块检测单元通过预设检测时间,定时检测所述用户终端设备是否下线,其中,所述检测时间小于NAT444网关的会话老化时间。
5.如权利要求3所述的装置,其特征在于:
所述端口块检测单元通过所述端口块映射单元获得用户终端设备映射的起始端口号和结束端口号,并查询端口块映射表,判断是否有相同端口范围的用户终端设备在线,如果有,则删除所述端口块映射表中已存在的用户终端设备对应关系表项。
6.一种基于NAT444架构的动态地址映射方法,应用于NAT444组网系统中的BRAS设备上,该系统包括用户终端设备、BRAS设备、NAT444网关、Portal服务器以及AAA服务器,其特征在于,该方法包括:
BRAS设备在接收到Portal服务器的第一认证请求报文时,从该报文中获取用户终端设备的私网IP地址、公网IP地址以及公网端口号,其中,所述私网IP地址在用户终端设备向Portal服务器发送的访问报文中携带,所述公网IP地址以及公网端口号为该访问报文经NAT444网关转发后得到;
BRAS设备在获取所述用户终端设备的私网IP地址、公网IP地址以及公网端口号后,根据端口配置算法计算该公网端口号对应的起始端口号和结束端口号,并在端口块映射表中保存该用户终端设备的对应关系表项;
BRAS设备向AAA服务器发送第二认证请求报文,该第二认证请求报文中携带用户终端设备的私网IP地址、公网IP地址、起始端口号以及结束端口号。
7.如权利要求6所述的方法,其特征在于:
所述端口配置算法与NAT444网关中的端口配置算法相同。
8.如权利要求6所述的方法,其特征在于:
BRAS设备检测用户终端设备是否下线,若已下线,则删除所述端口块映射表中该用户终端设备的对应关系表项。
9.如权利要求8所述的方法,其特征在于:
BRAS设备通过预设检测时间,定时检测所述用户终端设备是否下线,其中,所述检测时间小于NAT444网关的会话老化时间。
10.如权利要求8所述的方法,其特征在于:
BRAS设备获得用户终端设备映射的起始端口号和结束端口号后,查询端口块映射表,判断是否有相同端口范围的用户终端设备在线,如果有,则删除所述端口块映射表中已存在的用户终端设备对应关系表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410136110.0A CN103916491B (zh) | 2014-04-04 | 2014-04-04 | 基于nat444架构的动态地址映射方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410136110.0A CN103916491B (zh) | 2014-04-04 | 2014-04-04 | 基于nat444架构的动态地址映射方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916491A CN103916491A (zh) | 2014-07-09 |
| CN103916491B true CN103916491B (zh) | 2017-02-15 |
Family
ID=51041887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410136110.0A Active CN103916491B (zh) | 2014-04-04 | 2014-04-04 | 基于nat444架构的动态地址映射方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916491B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376339B (zh) * | 2014-08-29 | 2018-12-04 | 中国电信股份有限公司 | Nat444用户溯源的方法、设备、服务器和系统 |
| CN105704109B (zh) * | 2014-11-28 | 2019-05-24 | 华为软件技术有限公司 | 一种网络接入认证方法及设备 |
| CN106851634B (zh) * | 2017-03-07 | 2020-06-23 | 西安新路网络科技有限公司 | 一种Portal环境下管理设备在线状态的方法 |
| CN106878487B (zh) * | 2017-03-29 | 2020-02-11 | 新华三技术有限公司 | 公网地址分配方法及装置 |
| CN107733926A (zh) * | 2017-11-28 | 2018-02-23 | 杭州迪普科技股份有限公司 | 一种基于NAT的portal认证的方法及装置 |
| CN108989483B (zh) * | 2018-08-01 | 2022-02-25 | 新华三技术有限公司 | 一种网络地址的配置方法及装置 |
| CN114268444A (zh) * | 2020-09-14 | 2022-04-01 | 中兴通讯股份有限公司 | 宽带接入服务器的访问方法、服务器及存储介质 |
| CN112671708B (zh) * | 2020-11-25 | 2022-08-30 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888418A (zh) * | 2010-07-12 | 2010-11-17 | 中国电信股份有限公司 | 解决双栈网络中IPv4地址不足的方法及系统 |
| CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9191362B2 (en) * | 2012-06-26 | 2015-11-17 | Cisco Technology, Inc. | Determining the type of upstream network address translation from a home gateway |
-
2014
- 2014-04-04 CN CN201410136110.0A patent/CN103916491B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888418A (zh) * | 2010-07-12 | 2010-11-17 | 中国电信股份有限公司 | 解决双栈网络中IPv4地址不足的方法及系统 |
| CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916491A (zh) | 2014-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916491B (zh) | 基于nat444架构的动态地址映射方法及装置 | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| CN108738013B (zh) | 网络接入方法、装置和网络设备 | |
| CN105453488B (zh) | 用于处理dns请求的方法和系统 | |
| CN104023092B (zh) | 一种实现定向流量包的方法及系统 | |
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| US10951519B2 (en) | Methods, systems, and computer readable media for multi-protocol stateful routing | |
| US20060062228A1 (en) | Packet forwarding apparatus and access network system | |
| CN101141420A (zh) | 私网与公网进行数据通信的方法及系统 | |
| CN107580065A (zh) | 一种私有云接入方法及设备 | |
| US10554661B2 (en) | Methods, systems, and computer readable media for providing access network session correlation for policy control | |
| WO2012034456A1 (zh) | 一种获取dns的方法和隧道网关设备 | |
| CN106130913A (zh) | 一种多运营商接入情况下基于策略的多wan口路由器的选路方法 | |
| EP2928141A1 (en) | Ipv6 address tracing method, device, and system | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN104601743A (zh) | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 | |
| CN109495594B (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
| CN101895587A (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| CN103442328B (zh) | 一种物联网终端的服务质量控制方法和系统 | |
| CN103067411B (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
| CN103906055A (zh) | 业务数据分流方法及系统 | |
| CN112217653B (zh) | 策略下发方法、装置和系统 | |
| CN206313803U (zh) | 一种用于实现网游加速的路由器 | |
| WO2014110912A1 (zh) | 访问局域网中隔离区主机的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee before: Huasan Communication Technology Co., Ltd. |