CN106101298A - 基于sdn的网络地址转换装置及方法 - Google Patents
基于sdn的网络地址转换装置及方法 Download PDFInfo
- Publication number
- CN106101298A CN106101298A CN201610398268.4A CN201610398268A CN106101298A CN 106101298 A CN106101298 A CN 106101298A CN 201610398268 A CN201610398268 A CN 201610398268A CN 106101298 A CN106101298 A CN 106101298A
- Authority
- CN
- China
- Prior art keywords
- stream table
- address
- host
- sdn
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/741—Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种基于SDN的网络地址转换装置,应用于SDN控制器,包括信息获取单元、流表生成单元、流表下发单元,信息获取单元用于获取流表生成信息;流表生成单元用于根据所述流表生成信息生成流表;流表下发单元用于将所述流表下发至所述SDN设备,所述SDN设备依据所述流表进行操作。本发明还提供了网络地址转换方法。本发明可让网络地址转换更加灵活和人性化。
Description
本发明涉及网络通信领域,具体而言,一种基于SDN的网络地址转换装置及方法。
背景技术
SDN(Software Defined Network)即软件定义网络,是一种新型网络架构,是网络虚拟化的一种实现方式,其核心技术是通过标准的接口将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活管理和控制,使网络作为管道变得更加智能。NAT(NetworkAddress Translation)即网络地址转换,是1994年提出的,当在内网的一些主机本来已经分配到了本地IP地址(即仅在内网使用的专用地址),但现在又需要同因特网(外网)上的主机通信时,可使用NAT方法将本地IP地址翻译成因特网(外网)上的公共IP地址通信。这种通过使用少量的公共IP地址代表较多的本地IP地址的方式,将有助于减缓可用的IP地址空间的枯竭,并从一定程度上提升了网络的安全性。
其中,传统的NAT功能一般在路由器或防火墙中实现,也就是需要在网络中增加这些设备,增加了设备的种类,增加了成本提高了维护难度,同时传统的NAT功能比较单一,无法实现灵活的策略例如运营商的选择、负载均衡、QoS侦测和设置、同外部系统的对接等等,同时也无法提供连接数、流量数据等人性化的统计信息。
发明内容
有鉴于此,本发明的目的是提供一种基于SDN的网络地址装换装置及方法,使得网络地址转换更加灵活。
本发明实施方式中提供的一种基于SDN的网络地址装换方法,应用于SDN控制器,包括:获取流表生成信息;根据所述流表生成信息生成流表;将所述流表下发至所述SDN设备,所述SDN设备依据所述流表进行报文的操作。
优选地,所述流表生成信息为第一用户配置信息、内部主机访问外部主机的第一访问请求报文,所述第一用户配置信息确定NAT资源池,所述第一用户配置信息还可以根据人为设定的访问所述外部主机的所述内部主机的IP地址或IP地址范围进一步确定所述内部主机访问内所述外部主机的权限。
优选地,所述根据所述流表生成信息生成流表的步骤具体包括:判断所述SDN控制器是否存在与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项;若存在,则根据存在的与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池生成所述流表;若不存在,则根据所述第一访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池生成所述流表;所述流表包括所述内部主机访问所述外部主机的去向流表和所述外部主机响应所述内部主机的回向流表。
优选地,所述根据所述流表生成信息生成流表的步骤进一步包括:侦测物理链路和逻辑链路及其任意组合的QoS情况和流量负载情况;利用侦测的所述QoS情况和所述流量负载情况和用户策略确定NAT地址的映射比例,进而分配转换后源IP地址和转换后源服务端口;依据所述流表生成信息生成NAT表项,进而根据所述NAT表项及物理链路流量统计对外地址的使用情况、流量使用针对地址或所述内部主机的分布情况、所述内部主机和所述外部主机发起请求的统计情况、所述外部主机和所述内部主机发起请求的统计情况、所述内部主机连接数情况;所述用户策略包括:地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源。
优选地,所述流表生成信息为第二用户配置信息、所述外部主机访问所述内部主机的第二访问请求报文,所述第二用户配置信息为所述外部主机访问所述内部主机的映射关系,所述第二用户配置信息还可以根据人为设定的访问所述内部主机的所述外部主机的源IP地址或源IP地址范围进一步确定所述外部主机访问所述内部主机的映射关系。
本发明又一实施方式中提供的基于SDN的网络地址转换装置,应用于SDN控制器,包括信息获取单元、流表生成单元、流表下发单元,信息获取单元用于获取流表生成信息;流表生成单元用于根据所述流表生成信息生成流表;流表下发单元用于将所述流表下发至所述SDN设备,所述SDN设备依据所述流表进行操作。
优选地,所述流表生成信息为第一用户配置信息、内部主机访问外部主机的第一访问请求报文,所述第一用户配置信息确定NAT资源池,所述第一用户配置信息还可以根据人为设定的访问所述外部主机的所述内部主机的IP地址或IP地址范围进一步确定所述内部主机访问所述外部主机的权限。
优选地,所述流表生成单元还用于:判断所述SDN控制器是否存在与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项;若存在,则根据存在的与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池生成所述流表;若不存在,则根据所述第一访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池生成所述流表;所述流表包括所述内部主机访问所述外部主机的去向流表和所述外部主机响应所述内部主机的回向流表。
优选地,所述流表生成单元进一步包括:侦测物理链路和逻辑链路及其任意组合的QoS情况和流量负载情况;利用侦测的所述QoS情况和所述流量负载情况和用户策略确定NAT地址的映射比例,进而分配转换后源IP地址和转换后源服务端口;依据所述流表生成信息生成NAT表项,进而根据所述NAT表项及物理链路流量统计对外地址的使用情况、流量使用针对地址或所述内部主机的分布情况、所述内部主机和所述外部主机发起请求的统计情况、所述外部主机和所述内部主机发起请求的统计情况、所述内部主机连接数情况;所述用户策略包括:地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源。
优选地,所述流表生成信息为第二用户配置信息、所述外部主机访问所述内部主机的第二访问请求报文,所述第二用户配置信息为所述外部主机访问所述内部主机的映射关系,所述第二用户配置信息还可以根据人为设定的访问所述内部主机的所述外部主机的源IP地址或源IP地址范围进一步确定所述外部主机访问所述内部主机的映射关系。
上述基于SDN的网络地址转换装置及方法,利用SDN来实现NAT功能,可以使得用户在支持SDN特性的交换机和路由器等基础网络设备实现NAT功能,同时可以灵活的实现用户的策略,人性化的数据统计,大大降低了成本,提升了网络系统的可用性和易用性。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明基于SDN的网络地址转换装置一实施方式的应用环境图。
图2为本发明基于SDN的网络地址转换装置一实施方式的功能模块图。
图3为本发明基于SDN的网络地址转换装置又一实施方式的功能模块图。
图4为本发明基于SDN的网络地址转换装置一实施方式的流程图。
图5为本发明基于SDN的网络地址转换方法针对图4的具体流程图。
图6为本发明基于SDN的网络地址转换方法针对图4的又一具体流程图。
主要元件符号说明
基于SDN的网络地址转换装置 10
SDN控制器 1
SDN设备 2
内部主机 3
外部主机 4
网络 5
信息获取模块 100
流表生成模块 102
流表下发模块 104
存储器 106
处理器 108
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明基于SDN的网络地址转换装置10一实施方式的应用环境图。在本实施方式中,基于SDN的网络地址转换装置10位于SDN控制器1上,SDN控制器1连接SDN设备2,SDN设备2通过网络5(在本实施方式中,网络5可以分为连接内部主机3的内部网络和连接外部主机4的外部网络)分别与内部主机3、外部主机4相连。在本实施方式中,所述SDN设备2指SDN系统中除了SDN控制器1以外的SDN设备2,包括但不限于SDN交换机、SDN路由器等等支持SDN功能的设备。在本实施方式中,通过基于SDN的网络地址转换装置10的运作,可以使得内部主机3在需要访问外部主机4的时候,通过其地址转换,可以顺利的转换为外部IP与外部主机4通信,同时也可以实现外部主机4对内部主机3的访问,同时还能确认访问的安全性,节约IP地址资源。
图2为本发明基于SDN的网络地址转换装置10一实施方式的功能模块图。在本实施方式中,基于SDN的网络地址转换装置10位于SDN控制器1中,包括信息获取模块100、流表生成模块102、流表下发模块104,通过各个功能模块的执行,生成相应流表并下发至SDN设备2并由SDN设备2执行该流表,进而实现NAT功能。
信息获取模块100用于获取流表生成信息。在本实施方式中,获取流表生成信息主要存在两种情况,第一种是内部主机3访问外部主机4的情况,第二种是外部主机4访问内部主机3的情况。
在第一种情况下,流表生成信息包括第一用户配置信息、内部主机3访问外部主机4的第一访问请求报文。第一用户配置信息由用户在SDN控制器1应用层的用户界面人为输入,进而确定NAT资源池,其中NAT资源池包括IP地址资源X1、X2、X3……Xp(X为IP地址,p为大于等于1的正整数),服务端口号资源Y1、Y2、Y3……Yq(Y为1到65535的正整数,q为大于等于1的正整数)。内部主机3访问外部主机4的第一访问请求报文由SDN设备2获取,并转发至SDN控制器1中。
在第二种情况下,流表生成信息包括第二用户配置信息、外部主机4访问内部主机3的第二访问请求报文。第二用户配置信息同样由用户在SDN控制器1应用层的用户界面人为输入,确定外部主机4访问内部主机3的映射关系,包括IP地址的映射关系和服务端口的映射关系。同样的,外部主机4访问内部主机3的第二访问请求报文同样由SDN设备2进行获取,进而转发至SDN控制器1中。
流表生成模块102用于根据流表生成信息生成流表。在本实施方式中的第一种情况下,流表生成模块102判断SDN控制器1是否存在与第一访问请求报文相关的ARP表项、MAC表项、路由表项。若存在,则根据存在的与第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池和访问请求中所带有的相关信息(相关信息包括源IP地址、目的IP地址、源服务端口号和报文的输入接口)生成流表,具体而言,第一访问请求报文携带有目的IP,SDN控制器1查询路由表根据目的IP获取下一跳IP;SDN控制器1通过查到的下一跳IP查询ARP表和MAC地址表获得下一跳MAC地址和输出接口;根据用户策略从NAT资源池中挑选IP地址和服务端口号资源替换报文中的源IP地址和源服务端口号,进而生成NAT表项;根据NAT表项得到流表,在本实施方式中,根据NAT表项得到的流表包括去向流表和回向流表,我们将内部主机3访问外部主机4的请求生成的流表称之为去向流表(下文称之为流表1),而将外部主机4响应内部主机3的的流表称之为回向流表(下文称之为流表2)。另外,在本实施方式中,所述用户策略包括:1.地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;2.流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;3.服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;4、用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源等等。若不存在,则根据所述第一访问请求报文进行ARP学习过程、MAC学习过程、路由表建立过程(在本实施方式中,ARP学习过程、MAC学习过程、路由表建立过程具体过程为非本专利的核心内容,本文在此便不再做过多的赘述),建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池如上所述流程生成去向流表(流表1)和对应的回向流表(流表2)。
在本实施方式中,流表生成单元102在生成去向流表及回向流表的过程中,还侦测物理链路和逻辑链路及其任意组合的QoS情况和流量负载情况;利用侦测的QoS情况和流量负载情况和用户策略确定NAT地址的映射比例,进而分配转换后源IP地址和转换后的源服务端口。另外,由于其中流表生成单元102还生成的了NAT表项,故流表生成单元102还可以根据所述NAT表项及物理链路流量统计对外地址的使用情况、流量使用针对地址或内部主机3的分布情况、内部主机3和外部主机4发起请求的统计情况、外部主机4和内部主机3发起请求的统计情况、内部主机3连接数情况。另外,在本实施方式中,第一用户配置信息还可以根据人为设定的访问外部主机4的内部主机3的IP地址或IP地址范围进一步确定内部主机3访问内外部主机4的权限,为了进一步提高安全性,还可以接入其它的身份及权限认证系统以更可靠、更安全的限定访问权限。在本实施方式中,所述用户策略包括:1.地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;2.流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;3.服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口。4、用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源等等。
在本实施方式中的第二种情况下,根据第二访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第二请求报文相关的ARP表项、MAC表项、路由表项,进而结合用户输入的第二用户配置信息中外部主机4访问内部主机3的映射关系生成去向流表及相应的回向流表(流表3和流表4)。在本实施方式中,第二用户配置信息同样也可以根据人为设定的访问内部主机3的外部主机4的IP地址或IP地址范围进一步确定外部主机4访问内部主机3的权限,为了进一步提高安全性,还可以接入其它的身份及权限认证系统以更可靠、更安全的限定访问权限。
流表下发模块104用于将流表(即所述相应情况下的去向流表和回向流表)下发至SDN设备2,在有报文匹配的时候SDN设备2执行去向流表及回向流表的执行域的操作,进而实现NAT功能。
图3是本发明基于SDN的网络地址转换装置10又一实施方式的功能模块图。在本实施方式中,基于SDN的网络地址转换装置10位于SDN控制器1中,包括信息获取模块100、流表生成模块102、流表下发模块104、存储器106、处理器108,其中信息获取模块100、流表生成模块102、流表下发模块104以软件代码模块的形式存储在存储器106中,由处理器108执行上述软件代码模块,进而实现NAT功能。
在通过上述基于SDN的网络地址转换装置10生成相应的去向流表和回向流表后,SDN设备2再次接收到报文后,判断是否存在与该报文相匹配的流表,在存在匹配流表的情况下,执行相应流表的执行域操作,进而实现NAT功能。
图4为本发明基于SDN的网络地址转换方法一实施方式的流程图,图5为本发明基于SDN的网络地址转换方法针对图4的具体流程图,涉及内部主机访问外部主机的过程,图6为本发明基于SDN的网络地址转换方法针对图4的具体流程图,涉及外部主机访问内部主机的。所述方法应用于SDN控制器1,通过执行所述方法,实现灵活的NAT转换功能。
在步骤S400,流表获取单元100获取流表生成信息。在本实施方式中,获取流表生成信息存在如下两种情况,第一种是内部主机3访问外部主机4的情况,第二种是外部主机4访问内部主机3的情况。
转到步骤S500,即在第一种情况下,获取包括第一用户配置信息、内部主机3访问外部主机4的第一访问请求报文的流表生成信息。第一用户配置信息由用户在SDN控制器1应用层的用户界面人为输入,进而确定NAT资源池,其中NAT资源池包括IP地址资源X1、X2、X3……Xp(X为IP地址,p为大于等于1的正整数),服务端口号资源Y1、Y2、Y3……Yq(Y为1到65535的正整数,q为大于等于1的正整数)。内部主机3访问外部主机4的第一访问请求报文由SDN设备2获取,并转发至SDN控制器1中。
转到步骤S600,即在第二种情况下,获取包括第二用户配置信息、外部主机4访问内部主机3的第二访问请求报文的流表生成信息。第二用户配置信息同样由用户在SDN控制器1应用层的用户界面人为输入,确定外部主机4访问内部主机3的映射关系,包括IP地址的映射关系和服务端口的映射关系。同样的,外部主机4访问内部主机3的第二访问请求报文同样由SDN设备2进行获取,进而转发至SDN控制器1中。
回到步骤S402,流表生成模块102用于根据流表生成信息生成流表。在本实施方式中,本发明结合图5和图6对步骤S402做进一步的说明。
即第一种情况下,在步骤S502,判断SDN控制器1是否存在与第一访问请求报文相关的ARP表项、MAC表项、路由表项。
若存在,在步骤S504,流表生成模块102则根据存在的与第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池和访问请求中所带有的相关信息(相关信息包括源IP地址、目的IP地址、源服务端口号和报文的输入接口)生成流表,具体而言,第一访问请求报文携带有目的IP,SDN控制器1查询路由表根据目的IP获取下一跳IP;SDN控制器1通过查到的下一跳IP查询ARP表和MAC地址表获得下一跳MAC地址和输出接口;根据用户策略从NAT资源池中挑选IP地址和服务端口号资源替换报文中的源IP地址和源服务端口号,进而生成NAT表项;根据NAT表项得到流表,在本实施方式中,根据NAT表项得到的流表包括去向流表和回向流表,我们将内部主机3访问外部主机4的请求生成的流表称之为去向流表(流表1),而将外部主机4相应内部主机3的的流表称之为回想流表(流表2)。在本实施方式中,所述用户策略包括:1.地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;2.流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;3.服务端口黑白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;4、用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源等等。
若不存在,在步骤S506,流表生成模块102则根据所述第一访问请求报文进行ARP学习过程、MAC学习过程、路由表建立过程(在本实施方式中,ARP学习过程、MAC学习过程、路由表建立过程具体过程非本专利的核心内容,本文再此便不再做过多的赘述),建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池如上所述流程生成去向流表和对应的回向流表(流表1和流表2)。
对于第二种情况,转到步骤S602,流表生成模块102根据第二访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第二请求报文相关的ARP表项、MAC表项、路由表项,进而结合外部主机4访问内部主机3的映射关系生成去向流表及相应的回向流表(流表3和流表4)。在本实施方式中,第二用户配置信息同样也可以根据人为设定的访问内部主机3的外部主机4的IP地址或IP地址范围进一步确定外部主机4访问内部主机2的权限,为了进一步提高安全性,还可以接入其它的身份及权限认证系统以更可靠、更安全的限定访问权限。
在步骤S404或S506或S604,流表下发模块104用于将流表(即所述相应情况下的去向流表和回向流表)下发至SDN设备2。
在通过上述方法生成相应的去向流表和回向流表后,SDN设备2再次接收到报文后,判断是否存在与该报文相匹配的流表,在存在匹配流表的时候,执行相应流表的执行域操作,进而实现NAT功能。
在上述所述基于SDN的网络地址转换装置10及方法中,针对流表生成模块102生成的流表还设置一老化机制,即设置一计时器,针对该计时器设定一预设时间,侦测在该预设时间内是否存在数据报文匹配已生成的流表,若存在,则清零计时器,若不存在,则删除相应的流表。
综上所述,通过执行本发明基于SDN的网络地址转换装置及方法,实现SDN控制器对网络地址转换的整体控制,节约了大量的公网IP地址资源,相比传统的方案减少了设备种类提升了系统的可靠性,同时可以灵活的实现服务端口和IP的负载均衡、来往信息的灵活统计,以及另外的连接外部的认证、鉴权等系统以提升系统的安全性和灵活性。
需要说明的是,上文所述实施方式,并不构成对发明保护范围的限定。任何在本发明的精神和原则内所作的修改,等同替换和改进等,均应包含在本发明的保护范围内。
Claims (10)
1.一种基于SDN的网络地址转换方法,应用于SDN控制器,其特征在于,包括:
获取流表生成信息;
根据所述流表生成信息生成流表;及
将所述流表下发至所述SDN设备,所述SDN设备依据所述流表进行报文的操作。
2.如权利要求1所述的基于SDN的网络地址转换方法,其特征在于,所述流表生成信息为第一用户配置信息、内部主机访问外部主机的第一访问请求报文,所述第一用户配置信息确定NAT资源池,所述第一用户配置信息还可以根据人为设定的访问所述外部主机的所述内部主机的IP地址或IP地址范围进一步确定所述内部主机访问内所述外部主机的权限。
3.如权利要求2所述的基于SDN的网络地址转换方法,其特征在于,所述根据所述流表生成信息生成流表的步骤具体包括:
判断所述SDN控制器是否存在与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项;
若存在,则根据存在的与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池生成所述流表;
若不存在,则根据所述第一访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池生成所述流表;
所述流表包括所述内部主机访问所述外部主机的去向流表和所述外部主机响应所述内部主机的回向流表。
4.如权利要求1所述的基于SDN的网络地址转换方法,其特征在于,所述根据所述流表生成信息生成流表的步骤进一步包括:
侦测物理链路和逻辑链路及其任意组合的QoS情况和流量负载情况;
利用侦测的所述QoS情况和所述流量负载情况和用户策略确定NAT地址的映射比例,进而分配转换后源IP地址和转换后源服务端口;
依据所述流表生成信息还生成NAT表项,进而根据所述NAT表项及物理链路流量统计对外地址的使用情况、流量使用针对地址或所述内部主机的分布情况、所述内部主机和所述外部主机发起请求的统计情况、所述外部主机和所述内部主机发起请求的统计情况、所述内部主机连接数情况;
所述用户策略包括:地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源。
5.如权利要求1所述的基于SDN的网络地址转换方法,其特征在于,所述流表生成信息为第二用户配置信息、所述外部主机访问所述内部主机的第二访问请求报文,所述第二用户配置信息为所述外部主机访问所述内部主机的映射关系,所述第二用户配置信息还可以根据人为设定的访问所述内部主机的所述外部主机的源IP地址或源IP地址范围进一步确定所述外部主机访问所述内部主机的映射关系。
6.一种基于SDN的网络地址转换装置,应用于SDN控制器,其特征在于,包括:
信息获取单元,用于获取流表生成信息;
流表生成单元,用于根据所述流表生成信息生成流表;及
流表下发单元,用于将所述流表下发至所述SDN设备,所述SDN设备依据所述流表进行操作。
7.如权利要求6所述的基于SDN的网络地址转换装置,其特征在于,所述流表生成信息为第一用户配置信息、内部主机访问外部主机的第一访问请求报文,所述第一用户配置信息确定NAT资源池,所述第一用户配置信息还可以根据人为设定的访问所述外部主机的所述内部主机的IP地址或IP地址范围进一步确定所述内部主机访问所述外部主机的权限。
8.如权利要求7所述的基于SDN的网络地址转换装置,其特征在于,所述流表生成单元还用于:
判断所述SDN控制器是否存在与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项;
若存在,则根据存在的与所述第一访问请求报文相关的ARP表项、MAC表项、路由表项、所述NAT资源池生成所述流表;
若不存在,则根据所述第一访问请求报文进行ARP过程、MAC学习过程、路由表建立过程,建立与所述第一请求报文相关的ARP表项、MAC表项、路由表项,进而结合所述NAT资源池生成所述流表;
所述流表包括所述内部主机访问所述外部主机的去向流表和所述外部主机响应所述内部主机的回向流表。
9.如权利要求6所述的基于SDN的网络地址转换装置,其特征在于,所述流表生成单元进一步包括:
侦测物理链路和逻辑链路及其任意组合的QoS情况和流量负载情况;
利用侦测的所述QoS情况和所述流量负载情况和用户策略确定NAT地址的映射比例,进而分配转换后源IP地址和转换后的源服务端口;
依据所述流表生成信息还生成NAT表项,进而根据所述NAT表项及物理链路流量统计对外地址的使用情况、流量使用针对地址或所述内部主机的分布情况、所述内部主机和所述外部主机发起请求的统计情况、所述外部主机和所述内部主机发起请求的统计情况、所述内部主机连接数情况;
所述用户策略包括:地址选择优先级策略,即根据链路的QoS情况、带宽租用情况等信息综合选择相应的运营商或链路的IP地址进行映射;流量负载均衡策略,即根据用户输入的负载均衡比例信息动态的控制和调整地址映射关系以实现基于连接、基于报文数、基于流量bit数和基于物理链路及其组合的负载均衡;服务端口黑、白名单策略,即根据用户输入的服务端口的范围选择映射的源服务端口以避开一些容易造成冲突和不安全的服务端口;用户访问权限策略,即那些用户可以访问外网或内网,那些用户的访问要使用某一个运营商的IP地址资源。
10.如权利要求6所述的基于SDN的网络地址转换装置,其特征在于,所述流表生成信息为第二用户配置信息、所述外部主机访问所述内部主机的第二访问请求报文,所述第二用户配置信息为所述外部主机访问所述内部主机的映射关系,所述第二用户配置信息还可以根据人为设定的访问所述内部主机的所述外部主机的源IP地址或源IP地址范围进一步确定所述外部主机访问所述内部主机的映射关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610398268.4A CN106101298B (zh) | 2016-06-06 | 2016-06-06 | 基于sdn的网络地址转换装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610398268.4A CN106101298B (zh) | 2016-06-06 | 2016-06-06 | 基于sdn的网络地址转换装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106101298A true CN106101298A (zh) | 2016-11-09 |
CN106101298B CN106101298B (zh) | 2019-06-21 |
Family
ID=57227323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610398268.4A Active CN106101298B (zh) | 2016-06-06 | 2016-06-06 | 基于sdn的网络地址转换装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106101298B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106603746A (zh) * | 2016-12-23 | 2017-04-26 | 郑州云海信息技术有限公司 | 一种私有云平台架设多重外部网络的方法和系统 |
CN107342893A (zh) * | 2017-06-17 | 2017-11-10 | 刘昱 | 一种基于sdn的网络加速方法及装置 |
CN107846365A (zh) * | 2017-10-24 | 2018-03-27 | 赞同科技股份有限公司 | 一种基于sdn的负载均衡实现系统及方法 |
CN108011825A (zh) * | 2017-11-10 | 2018-05-08 | 深圳市泰信通信息技术有限公司 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
CN108810182A (zh) * | 2018-04-28 | 2018-11-13 | 深圳市德赛微电子技术有限公司 | 一种基于openflow系统的NAT流表动态学习及配置方法 |
CN109688100A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
CN109743415A (zh) * | 2019-02-27 | 2019-05-10 | 上海浪潮云计算服务有限公司 | 一种公有云网络弹性ip实现方法及系统 |
CN110290174A (zh) * | 2019-05-24 | 2019-09-27 | 华为技术有限公司 | 一种主主集群的控制方法以及控制节点 |
CN111083053A (zh) * | 2018-10-22 | 2020-04-28 | 普天信息技术有限公司 | 电子站牌系统及控制方法 |
CN112383481A (zh) * | 2020-11-02 | 2021-02-19 | 科大讯飞股份有限公司 | 流表生成和端口转发方法、节点、电子设备和存储介质 |
CN112671946A (zh) * | 2020-12-25 | 2021-04-16 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
CN104601432A (zh) * | 2014-12-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
CN104869013A (zh) * | 2015-04-24 | 2015-08-26 | 杭州华三通信技术有限公司 | 一种基于sdn的网关配置方法及sdn控制器 |
US20160099890A1 (en) * | 2014-10-02 | 2016-04-07 | Microsoft Corporation | Relay Optimization using Software Defined Networking |
-
2016
- 2016-06-06 CN CN201610398268.4A patent/CN106101298B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
US20160099890A1 (en) * | 2014-10-02 | 2016-04-07 | Microsoft Corporation | Relay Optimization using Software Defined Networking |
CN104601432A (zh) * | 2014-12-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
CN104869013A (zh) * | 2015-04-24 | 2015-08-26 | 杭州华三通信技术有限公司 | 一种基于sdn的网关配置方法及sdn控制器 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106603746A (zh) * | 2016-12-23 | 2017-04-26 | 郑州云海信息技术有限公司 | 一种私有云平台架设多重外部网络的方法和系统 |
CN107342893A (zh) * | 2017-06-17 | 2017-11-10 | 刘昱 | 一种基于sdn的网络加速方法及装置 |
CN107846365A (zh) * | 2017-10-24 | 2018-03-27 | 赞同科技股份有限公司 | 一种基于sdn的负载均衡实现系统及方法 |
CN108011825B (zh) * | 2017-11-10 | 2020-07-28 | 深圳市泰信通信息技术有限公司 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
CN108011825A (zh) * | 2017-11-10 | 2018-05-08 | 深圳市泰信通信息技术有限公司 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
CN108810182B (zh) * | 2018-04-28 | 2021-05-18 | 深圳市德赛微电子技术有限公司 | 一种基于openflow系统的NAT流表动态学习及配置方法 |
CN108810182A (zh) * | 2018-04-28 | 2018-11-13 | 深圳市德赛微电子技术有限公司 | 一种基于openflow系统的NAT流表动态学习及配置方法 |
CN109688100A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
CN109688100B (zh) * | 2018-09-07 | 2022-06-17 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
CN111083053A (zh) * | 2018-10-22 | 2020-04-28 | 普天信息技术有限公司 | 电子站牌系统及控制方法 |
CN109743415A (zh) * | 2019-02-27 | 2019-05-10 | 上海浪潮云计算服务有限公司 | 一种公有云网络弹性ip实现方法及系统 |
CN109743415B (zh) * | 2019-02-27 | 2021-11-19 | 上海浪潮云计算服务有限公司 | 一种公有云网络弹性ip实现方法及系统 |
CN110290174A (zh) * | 2019-05-24 | 2019-09-27 | 华为技术有限公司 | 一种主主集群的控制方法以及控制节点 |
US11729102B2 (en) | 2019-05-24 | 2023-08-15 | Huawei Cloud Computing Technologies Co., Ltd. | Active-active cluster control method and control node |
CN112383481A (zh) * | 2020-11-02 | 2021-02-19 | 科大讯飞股份有限公司 | 流表生成和端口转发方法、节点、电子设备和存储介质 |
CN112671946A (zh) * | 2020-12-25 | 2021-04-16 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
CN112671946B (zh) * | 2020-12-25 | 2023-04-25 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106101298B (zh) | 2019-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106101298A (zh) | 基于sdn的网络地址转换装置及方法 | |
JP7252305B2 (ja) | データ伝送方法、デバイス、およびシステム | |
KR102138619B1 (ko) | 서버 클러스터에 기초한 메시지 생성 방법 및 부하 균형기 | |
JP5980455B2 (ja) | ネットワーク・リソース・モニタリング | |
US20170353394A1 (en) | Resource placement templates for virtual networks | |
EP4158858A1 (en) | Loop prevention in virtual l2 networks | |
CN114128223A (zh) | 虚拟网络通信方法、设备及系统 | |
CN110519806A (zh) | 切换方法、设备及系统 | |
CN105379218A (zh) | 业务流的处理方法、装置及设备 | |
US8379652B2 (en) | Methods, apparatus and computer readable medium for conveying virtual local area network (VLAN) policies from designated to roamed network | |
CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
CN103795623A (zh) | 一种在虚拟设备间实现流量互通的方法和装置 | |
CN104283774B (zh) | 一种ac池的实现方法和装置 | |
CN110972226B (zh) | 本地局域网通信方法、设备及系统 | |
CN110351135B (zh) | 多dc中的网络设备配置方法及装置 | |
US11916698B2 (en) | Dynamic cellular connectivity between the hypervisors and virtual machines | |
CN103597780A (zh) | 用于多接口网络节点的通信机制 | |
CN104734930B (zh) | Vlan接入vf网络的实现方法及装置、fcf | |
CN110851238A (zh) | 一种openstack全分布式的dhcp服务的实现方法 | |
CN104717640B (zh) | 一种基于定位的无线网络通信的实现方法 | |
CN116982306A (zh) | 扩展覆盖网络中的ip地址 | |
CN106302205A (zh) | 一种基于lldp协议的多主冲突处理方法及装置 | |
CN102857415A (zh) | 介质访问控制地址学习控制方法、装置和路由桥 | |
CN106656717A (zh) | 一种划分网络域的方法 | |
EP3197133B1 (en) | Notification method and device and acquisition device for mac address of esadi |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |