CN109688238B - 一种nat转换方法、装置及nat设备 - Google Patents

一种nat转换方法、装置及nat设备 Download PDF

Info

Publication number
CN109688238B
CN109688238B CN201810253605.XA CN201810253605A CN109688238B CN 109688238 B CN109688238 B CN 109688238B CN 201810253605 A CN201810253605 A CN 201810253605A CN 109688238 B CN109688238 B CN 109688238B
Authority
CN
China
Prior art keywords
quintuple
target
hash
port
nat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810253605.XA
Other languages
English (en)
Other versions
CN109688238A (zh
Inventor
安绍亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201810253605.XA priority Critical patent/CN109688238B/zh
Priority to EP19775107.6A priority patent/EP3758340A4/en
Priority to JP2020551961A priority patent/JP7082211B2/ja
Priority to PCT/CN2019/079157 priority patent/WO2019184803A1/zh
Priority to US17/041,217 priority patent/US10965642B2/en
Publication of CN109688238A publication Critical patent/CN109688238A/zh
Application granted granted Critical
Publication of CN109688238B publication Critical patent/CN109688238B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Abstract

本申请提供一种NAT转换方法、装置及NAT设备。该方法包括:从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;基于所述目标IP地址、所述参考端口和所述报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组;基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。通过本方案,可以解决现有技术中新建性能较差的问题。

Description

一种NAT转换方法、装置及NAT设备
技术领域
本申请涉及网络通信技术领域,特别涉及一种NAT转换方法、装置及NAT设备。
背景技术
NAT(Network Address Translation,网络地址转换)设备在接收到报文后,如果该报文需进行NAT处理且该报文满足会话信息新建条件,则执行新建流程。
现有技术中,以转换源IP(Internet Protocol,网络之间互连的协议)地址为例,新建流程的基本处理思想为:
从NAT资源池中选取一个IP地址和该IP地址的一个端口,利用该IP地址和该端口替换该报文的原始五元组中的源IP地址和源端口,形成新的五元组;进而,查询保存于存储介质(如DDR(Double Data Rate双倍速率同步动态随机存储器))的会话表中的哈希表,当判断出该新的五元组为不冲突的五元组时,在该哈希表和对应的结果表中记录该新的五元组和该原始五元组,并基于该新的五元组对该报文进行NAT处理;否则,重新从NAT资源池中选取一个IP地址和该IP地址的一个端口进行分析。
尽管上述新建流程能够实现NAT转换,但是,存在如下问题:基于现有会话表的哈希表的数据存储方式,每次试探只能测试一个新的五元组是否为不冲突的五元组,当该新的五元组为冲突的五元组时,会产生多次试探,而由于每次读取会话表所在的存储介质均会存在接口延时,这样无疑导致新建新能较差。
发明内容
有鉴于此,本申请提供一种NAT转换方法、装置及NAT设备,以提高NAT转换过程中的新建性能。
第一方面,本申请提供了了一种NAT转换方法,应用于网络地址转换NAT设备;所述方法包括:
从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;
基于所述目标IP地址、所述参考端口和所述报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组;
基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。
可选地,所述基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组的步骤,包括:
利用第一哈希算法,计算所述第二五元组对应的第一索引值;
对所述第一索引值进行基址处理,得到第二索引值,并以所述第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组;
所述基址处理包括:将所述第一索引值的低N位置0,或者,在所述第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
可选地,所述基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组的步骤,包括:
将所述第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,所述第一类端口的类型为:所述原始五元组中不进行NAT处理的端口的类型;
对所述第三五元组执行冲突检测,直至在所述M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将所述第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于所述一个连续端口范围的第四五元组;其中,所述第二类端口的类型为:所述原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算所述第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从所述M个第一类哈希桶中确定目标哈希桶;其中,所述第一目标值为所述第四五元组中两类端口的第一类比特的组合;
当判断出所述目标哈希桶所记录的有效的签名信息中存在所述第一签名信息时,将所述第四五元组确定为不冲突的目标五元组。
可选地,所述方法还包括:
当判断出所述报文需进行NAT处理时,利用第二哈希算法,计算所述原始五元组对应的第二签名信息;
将所述原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
利用第一哈希算法,计算所述第五五元组对应的第四索引值;
对所述第四索引值进行偏移处理,形成第五索引值,并以所述第五索引值查询所述哈希表,确定第二类哈希桶;其中,所述偏移处理为:以第二目标值替换所述第四索引值的低N位或在所述第四索引值的末尾补所述第二目标值,所述第二目标值为所述原始五元组的两类端口的第一类比特的组合;
当判断出所述第二类哈希桶所记录的有效的签名信息中存在所述第二签名信息时,基于所述结果表对所述报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
可选地,所述第一类比特为端口末尾的连续至少一位。
第二方面,本申请提供了一种NAT转换装置,应用于网络地址转换NAT设备;所述装置包括:
获取单元,用于从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;
处理单元,用于基于所述目标IP地址、所述参考端口和所述报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组;
确定单元,用于基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
转换单元,用于在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。
可选地,所述确定单元包括:
计算子单元,用于利用第一哈希算法,计算所述第二五元组对应的第一索引值;
查询子单元,用于对所述第一索引值进行基址处理,得到第二索引值,并以所述第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
确定子单元,用于基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组;
所述基址处理包括:将所述第一索引值的低N位置0,或者,在所述第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
可选地,所述确定子单元具体用于:
将所述第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,所述第一类端口的类型为:所述原始五元组中不进行NAT处理的端口的类型;
对所述第三五元组执行冲突检测,直至在所述M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将所述第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于所述一个连续端口范围的第四五元组;其中,所述第二类端口的类型为:所述原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算所述第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从所述M个第一类哈希桶中确定目标哈希桶;其中,所述第一目标值为所述第四五元组中两类端口的第一类比特的组合;
当判断出所述目标哈希桶所记录的有效的签名信息中存在所述第一签名信息时,将所述第四五元组确定为不冲突的目标五元组。
可选地,所述装置还包括:
计算单元,用于当判断出所述报文需进行NAT处理时,利用第二哈希算法,计算所述原始五元组对应的第二签名信息;
掩码单元,用于将所述原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
生成单元,用于利用第一哈希算法,计算所述第五五元组对应的第四索引值;
索引单元,用于对所述第四索引值进行偏移处理,形成第五索引值,并以所述第五索引值查询所述哈希表,确定第二类哈希桶;其中,所述偏移处理为:以第二目标值替换所述第四索引值的低N位或在所述第四索引值的末尾补所述第二目标值,所述第二目标值为所述原始五元组的两类端口的第一类比特的组合;
分析单元,用于当判断出所述第二类哈希桶所记录的有效的签名信息中存在所述第二签名信息时,基于所述结果表对所述报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
第三方面,本申请提供了一种NAT设备,包括:内部总线、存储器、处理器和通信接口;其中,所述处理器、所述通信接口、所述存储器通过所述内部总线完成相互间的通信;其中,所述存储器,用于存储NAT转换方法对应的机器可行指令;
所述处理器,用于读取所述存储器上的所述机器可读指令,以执行本申请所述的NAT转换方法。
本申请所提供方案中,一次性确定哈希表的连续多个哈希桶,进而从哈希表的连续多个哈希桶中确定不冲突的目标五元组,也就是,一次性试探与连续多个哈希桶对应的多个五元组是否为不冲突的五元组,这样使得冲突试探时可以减少对存储介质的读取次数,因此,可以提高NAT转换过程中的新建性能。
附图说明
图1是一种组网系统的结构示意图;
图2是本申请一示例性实施例示出的一种NAT转换方法的流程图;
图3是基于本申请所提供的一种NAT转换方法进行源IP地址转换的图表示意图;
图4是基于本申请所提供的一种NAT转换方法进行源IP地址转换的图表示意图;
图5是本申请一示例性实施例示出的一种NAT转换装置的结构示意图;
图6是本申请一示例性实施例示出的一种NAT设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了便于方案理解,下面介绍关于NAT(Network Address Translation,网络地址转换)的相关内容。
对于NAT而言:
从转换模式的角度而言,NAT可分为PAT(Port Address Translation,带端口的地址转换)和NO-PAT(Not Port Address Translation,不带端口的地址转换)。其中,NO-PAT模式下,一个外网IP地址同一时间只能分给一个内外IP地址进行转换;而PAT模式下,一个外网IP地址可以同时分配给多个内网IP地址共用。本申请所出现的NAT指PAT模式。
另外,按照不同的组网应用,NAT可以分为:入接口转换源IP地址,入接口转换目的IP地址,出接口转换源IP地址,出接口转换目的IP地址。并且,不同地址的转换过程类似。
为了解决现有技术中新建性能差的问题,本申请提供了一种NAT转换方法、装置及NAT设备,以提高NAT转换过程的新建性能。
下面首先对本申请所提供的一种NAT转换方法进行介绍。需要说明的是,本申请所提供的一种NAT转换方法应用于NAT设备,具体的,该NAT转换方法可以由NAT设备中的CPU来执行,当然,也可以由CPU与某些硬件共同执行完成,其中,该某些硬件可以为集成电路ASIC(Application Specific Integrated Circuit)/FPGA((Field-Programmable GateArray,现场可编程门阵列)。其中,所谓的NAT设备为两个网络的边沿设备,其用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部资源(例如内部服务器)的目的,举例而言:该NAT设备的设备类型可以为路由器,当然并不局限于此。
另外,对于会话表而言,其分为两级表。具体的,会话表的第一级为哈希表,用于存储五元组经过哈希计算得出的签名信息和指向结果表的指针;而会话表的第二级为结果表,用于存储五元组和其他转发相关的信息。
对于哈希表而言,新建流程中,当通过查询哈希表确定出不冲突的目标五元组后,可以在哈希表中记录该目标五元组和所对应的原始五元组,具体为:(1)在该哈希表中的一个哈希桶中,存储该原始五元组对应的签名信息和指向结果表的指针;(2)将目标五元组进行位置互换,得到位置互换后的目标五元组,在哈希表中的一个哈希桶中,存储位置互换后的目标五元组对应的签名信息和指向结果表的指针,其中,所谓位置互换为:源IP地址和目的IP地址互换及源端口和目的端口互换。
并且,对于一个报文而言,哈希表中包含原始五元组对应的签名信息的记录,属于该报文在哈希表中的正向哈希记录;而哈希表中包含位置互换后的目标五元组对应的签名信息的记录,属于该报文在哈希表中的反向哈希记录。另外,同一报文对应的正向哈希记录和反向哈希记录中包含相同的指针,也就是说,同一报文对应的正向哈希记录和反向哈希记录对应于结果表中的同一条记录。其中,结果表中的任一条记录至少包括:一个报文的原始五元组,以及该报文对应的位置互换后的目标五元组。
需要强调的是,本申请中,对哈希表存储五元组的相关信息的存储方式进行改变,主要的处理思路是:对于IP地址相同而端口连续的多个五元组,在哈希表中所对应的哈希桶连续,以使得在冲突试探时可以一次性读取连续多个哈希桶,从而一次性试探与连续多个哈希桶对应的多个五元组是否为不冲突的五元组。
为了便于理解方案,本申请示例性地给出一种适用于本申请所提供方法的组网系统,该组网系统的结构示意图可以参见图1。如图1所示,该组网系统中包括:主机A、NAT设备B和服务器C,由于主机A和服务器C属于不同的网络,即主机A属于内网而服务器C属于外网,因此,当主机A向服务器C发送报文时,NAT设备需要对主机A发送的报文进行NAT处理,然后将经过NAT处理后的报文发送给服务器C;类似的,当服务器C向主机A发送报文时,NAT设备需要对服务器C发送的报文进行NAT处理后,然后将经过NAT处理后的报文发送给该主机A。为了提高新建性能,图1中的NAT设备B可以利用本申请所提供的一种NAT转换方法,对主机A向服务器C发送的报文进行NAT处理,以及对服务器C向主机A发送的报文进行NAT处理。
如图2所示,本申请所提供的一种NAT转换方法,可以包括如下步骤:
S101,从NAT资源池中获取目标IP地址以及该目标IP地址的参考端口,该参考端口为该目标IP地址的一个连续端口范围中的一个端口;
当NAT设备接收到组网系统中的其他设备发送的报文时,如果该报文需进行NAT处理且该报文满足会话信息新建条件,则该NAT设备执行新建流程。本申请所提供方案中,该NAT设备执行新建流程时,可以从NAT资源池中获取目标IP地址以及该目标IP地址的参考端口,该参考端口为该目标IP地址的一个连续端口范围中的一个端口。并且,在选择端口时,可以利用对该报文的原始五元组哈希后的值进行选择,随机选择或顺序选择,等等。
需要说明的是,对于一个报文而言,该报文中的原始五元组的参数类型包括:源IP地址、目的IP地址、源端口、目的端口和协议;而NAT处理时的转换需求可以为仅仅转换源IP地址或转换目的IP地址,还可以为既转换源IP地址又转换目的IP地址。因此,在获取该目标IP地址和该参考端口后,如果需要转换源IP地址,则该目标IP地址用于替换原始五元组中的源IP地址,参考端口用于替换原始五元组中的源端口;而如果需要转换目的IP地址,则该目标IP地址用于替换原始五元组中的目的IP地址,参考端口用于替换原始五元组中的目的端口。另外,需要强调的时,本申请中所述的目标IP地址为从NAT资源池中取出的一个IP地址,该目标IP地址可以作为源IP地址或目的IP地址;而该参考端口为该目标IP地址的一个连续端口范围中的一个端口,该参考端口可以作为源端口或目的端口。
另外,本领域技术人员可以理解的是,可以基于ACL(Access Control List,访问控制列表)来确定报文是否需要进行NAT处理、NAT处理时的转换需求以及NAT处理时所使用的NAT资源池,等等。其中,NAT设备中存储有多个NAT资源池,以应对不同类型的IP地址,并且,每个NAT资源池均是IP地址及端口池。
并且,对于采用不同数据传输协议的数据流中的报文而言,报文是否满足会话信息新建条件的具体判断方式可以不同。举例而言:对于采用TCP(Transmission ControlProtocol传输控制协议)的数据流中的报文而言,报文是否满足会话信息新建条件的具体判断方式可以包括:判断报文是否为首报文,如果是,确定报文满足会话信息新建条件。对于采用UDP(User Datagram Protocol,用户数据报协议)的数据流中的报文而言,报文是否满足会话信息新建条件的具体判断方式可以包括:判断报文是否能够基于会话表直接进行NAT处理,如果不可以,确定报文满足会话信息新建条件。当然,在具体应用中,对于采用TCP协议的数据流中的报文而言,可以在判断出该报文不能基于会话表直接进行NAT处理且是首报文时,确定报文满足会话信息新建条件。
需要强调的是,判断报文是否能够基于会话表直接进行NAT处理的过程需要利用哈希表,而本申请对哈希表的存储方式进行改变,因此,判断报文是否能够基于会话表直接进行NAT处理的过程也发生了改变,为了布局清楚,后续对判断报文是否能够基于会话表直接进行NAT处理的过程进行介绍。
S102,基于该目标IP地址、该参考端口和该报文的原始五元组,生成该报文对应的第一五元组,并对该第一五元组的两类端口的第一类比特进行掩码,得到第二五元组;
S103,基于该第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
在获取到该目标IP地址和该参考端口后,该NAT设备可以基于该报文对应的转换需求,以该目标IP地址替换该报文的原始五元组中的源IP地址或目的IP地址,以该参考端口替换该原始五元组中的源端口或目的端口,从而生成该报文对应的第一五元组。在得到第一五元组后,该NAT设备可以对该第一五元组的两类端口的第一类比特进行掩码,即置0,得到第二五元组。进而,该NAT设备基于该第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组。需要说明的是,由于在基于会话表直接进行NAT处理时,无法确定被转换的是源IP地址还是目的IP地址,因此,本申请同时对第一五元组中的源端口和目的端口进行掩码。
可以理解的是,端口由16位比特构成,也就是源端口和目的端口均由16位比特构成。对于第一类比特而言,比特数量和位置可以根据实际情况设定,举例而言:第一类比特可以为端口的第0比特,可以为端口的第0比特和第1比特,也可以为端口的第0比特、第1比特和第2比特,还可以为端口的第14比特和第15比特,等等。为了计算简便,在具体应用中,该第一类比特为端口末尾的连续至少一位,具体的位数可以根据具体应用环境进行设定。举例而言:该第一类比特为端口的末尾的连续两位,即第0比特和第1比特,或者,该第一类比特为端口的末尾的连续三位,即第0比特、第1比特和第2比特,或者,该第一类比特为端口的末尾的连续四位,即第0比特、第1比特、第2比特和第3比特,等等。
需要说明的是,哈希表所对应的存储区域被划分为若干的哈希桶,并且,通过固定位数的二进制字符串作为哈希桶的索引值。为了提升冲突检测速度,从而提高新建性能,本申请需要使多个五元组所对应的哈希桶连续。基于该种需求,在哈希表中的一个哈希桶中,存储任一五元组对应的签名信息具体过程可以包括:
(1)将该五元组中源端口和目的端口的第一类比特进行掩码,利用第一哈希算法,计算掩码后的五元组对应的索引值。
其中,对于区别仅仅在于两类端口的第一类比特的多个五元组可以对应同一索引值。
(2)对该索引值进行偏移处理,形成具有固定位数的新的索引值,并将该五元组对应的签名信息记录到该新的索引值对应的哈希桶中,其中,偏移处理为:以该五元组中两类端口的第一类比特的组合值替换索引值的低N位,或者,在索引值的尾部的补该组合值,其中,N为该五元组中两类端口的第一类比特的总位数。
而基于上述的任一五元组存入哈希表的方式,为了一次性试探多个五元组是否为不冲突的五元组,在得到第一五元组后,可以首先对该第一五元组的两类端口的第一类比特进行掩码,得到第二五元组,进而基于该第二五元组的哈希结果,确定哈希表中的连续多个哈希桶,并在该连续多个哈希桶中确定不冲突的目标五元组。
具体的,基于该第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组的步骤,可以包括:
利用第一哈希算法,计算该第二五元组对应的第一索引值;
对该第一索引值进行基址处理,得到第二索引值,并以该第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
基于该第二五元组和第二哈希算法,在该M个第一类哈希桶中确定不冲突的目标五元组;
该基址处理包括:将该第一索引值的低N位置0,或者,在该第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
可以理解的是,该基址处理的具体方式与上述的偏移处理的具体方式具有对应性,具体的:该偏移处理为:以五元组中两类端口的第一类比特的组合值替换索引值的低N位,相应的,该基址处理为:将该第一索引值的低N位置0;而该偏移处理为:在索引值的尾部的补组合值,相应的,该基址处理为:在第一索引值的末尾补N位0。另外,第一哈希算法可以包括:MD(Message Digest Algorithm,消息摘要算法)或SHA(Secure Hash Algorithm,安全哈希算法),等等。
并且,以该第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶,具体过程为:确定该第二索引值所对应的第一类哈希桶,以该第二索引值所对应的第一类哈希桶为起始点,读取连续的M个第一类哈希桶。进一步的,所述基于该第二五元组和第二哈希算法,在该M个第一类哈希桶中确定不冲突的目标五元组的步骤,可以包括:
将该第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,该第一类端口的类型为:该原始五元组中不进行NAT处理的端口的类型;
对该第三五元组执行冲突检测,直至在该M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将该第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于该一个连续端口范围的第四五元组;其中,该第二类端口的类型为:该原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从该M个第一类哈希桶中确定目标哈希桶;其中,该第一目标值为该第四五元组中两类端口的第一类比特的组合;
当判断出该目标哈希桶所记录的有效的签名信息中存在该第一签名信息时,将该第四五元组确定为不冲突的目标五元组。
其中,第二哈希算法可以包括:MD(Message Digest Algorithm,消息摘要算法)或SHA(Secure Hash Algorithm,安全哈希算法),等等。并且,将第一目标值作为第三索引值,从该M个第一类哈希桶中确定目标哈希桶,具体过程为:将该第一目标值作为第三索引值,进而,将该M个第一类哈希桶中,该第三索引值对应的第一类哈希桶作为目标哈希桶。
可以理解的是,有些端口属于NAT资源池中的无效端口,而在将该第三五元组中的第二类端口的第一类比特进行置0和/或置1后所得到的端口,可能属于NAT资源池中的无效端口。因此,为了避免第四五元组的第二类端口属于该无效端口,在生成时第四五元组时,该第四五元组的第二类端口可以限定在:参考端口所在的该一个连续端口范围内。
另外,需要说明的是,初始化哈希表时,可以将哈希表项中的签名信息和指针均设置为无效值。当将五元组写入哈希表时,可以根据该五元组,将相应的签名信息和指针更改为有效值。为了区分签名信息和指针是无效值还是有效值,本方案中,在哈希表项中为每一签名信息和指针对应设置1个比特,通过将该比特置0或1,来区分无效值还是有效值。
S104,在该哈希表和对应的结果表中记录该目标五元组和该原始五元组,并基于该目标五元组对该报文进行NAT处理。
在哈希表的连续多个哈希桶中确定出不冲突的目标五元组后,可以在该哈希表和对应的结果表中记录该目标五元组和该原始五元组,并基于该目标五元组对该报文进行NAT处理。其中,在结果表中记录该目标五元组和该原始五元组可以包括:在该结果表中记录该原始五元组,以及对该目标五元组进行位置互换后所得的五元组。而基于该目标五元组对该报文进行NAT处理可以包括:将该报文中的原始五元组替换为目标五元组。本申请中,在该哈希表和对应的结果表中记录该目标五元组和该原始五元组的具体过程可以包括:
(1)利用第二哈希算法,计算该原始五元组对应的签名信息;将该原始五元组的源端口和目的端口的第一类比特进行掩码,得到新的五元组;利用第一哈希算法,计算该原始五元组对应的新的五元组的索引值,并利用原始五元组的两类端口的第一类比特的组合值,对该新的五元组的索引值进行偏移处理,得到新的索引值;以该新的索引值查询该哈希表,确定一个哈希桶,并将该原始五元组对应的签名信息和指向结果表的指针存储至所确定的该哈希桶中。
(2)将该目标五元组进行位置互换,得到位置互换后的目标五元组;利用第二哈希算法,计算位置互换后的目标五元组对应的签名信息;将位置互换后的目标五元组的两类端口的第一类比特进行掩码,得到位置互换后的目标五元组对应的新的五元组;利用第一哈希算法,计算该新的五元组的索引值;根据位置互换后的目标五元组的两类端口的第一类比特的组合值,对该索引值进行偏移处理,形成新的索引值;以该新的索引值查询该哈希表,确定一个哈希桶,并将位置互换后的目标五元组对应的签名信息和指向结果表的指针存储至所确定的该哈希桶中。另外,可以理解的是,当判断出该报文需进行NAT处理时,在执行新建过程之前,还可以判断该报文是否能够基于会话表直接进行NAT处理。因此,本申请所提供的一种NAT转换方法,还可以包括如下步骤:
步骤01,当判断出该报文需进行NAT处理时,利用第二哈希算法,计算该原始五元组对应的第二签名信息;
步骤02,将该原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
步骤03,利用第一哈希算法,计算该第五五元组对应的第四索引值;
步骤04,对该第四索引值进行偏移处理,形成第五索引值,并以该第五索引值查询该哈希表,确定第二类哈希桶;其中,该偏移处理为:以第二目标值替换该第四索引值的低N位或在该第四索引值的末尾补该第二目标值,该第二目标值为该原始五元组的两类端口的第一类比特的组合;
步骤05,当判断出该第二类哈希桶所记录的有效的签名信息中存在该第二签名信息时,基于该结果表对该报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
其中,基于该结果表对该报文进行NAT处理,具体为:依据该第二类哈希桶所记录的第二签名信息所对应的指针,从结果表中确定出五元组,进而基于所确定出的五元组,对该报文进行NAT转换。
本申请所提供方案中,一次性确定哈希表的连续多个哈希桶,进而从哈希表的连续多个哈希桶中确定不冲突的目标五元组,也就是,一次性试探与连续多个哈希桶对应的多个五元组是否为不冲突的五元组,这样使得冲突试探时可以减少对存储介质的读取次数,因此,可以提高NAT转换过程中的新建性能。
下面结合应用实例,对本申请所提供的一种NAT转换方法进行介绍。
该应用实例中,组网示意图如图1所示,该组网系统具体包括:主机A、NAT设备B和服务器C,其中,主机A的IP地址为192.168.1.2,NAT设备B的内网IP地址为192.168.1.1而外网IP地址为1.1.1.1,服务器C的IP地址为1.1.1.2。
如图3和图4所示,本申请所提供的一种NAT转换方法,可以包括如下步骤:
s01,NAT设备B接收到主机A至服务器C的报文后,基于ACL确定出该报文需进行NAT处理;
s02,提取该报文中的原始五元组(192.168.1.2,1.1.1.2,2222,80,tcp);
其中,该原始五元组中,192.168.1.2为源IP地址,1.1.1.2为目的IP地址,2222为源端口,80为目的端口,tcp为协议。
s03,利用MD算法,计算该原始五元组对应的签名信息sig1;
s04,将该原始五元组的源端口的第0比特p0和目的端口的第0比特p1进行掩码,得到五元组G 1(192.168.1.2,1.1.1.2,Psrc1,Pdst1,tcp);
其中,Psrc1为对源端口2222的第0比特p0进行掩码所得值,Pdst1为对目的端口80的第0比特p1进行掩码所得值。
s05,利用SHA算法,计算该五元组G1对应的索引值ind1;
s06,以p0和p1的组合值替换索引值ind1的末两位,形成索引值ind2;
s07,以索引值ind2查询哈希表,确定哈希桶D1;
s08,当判断出该哈希桶D1所记录的有效的签名信息中存在签名信息sig1时,基于结果表对该报文进行NAT处理;否则,执行s09;
图2所示的哈希表中,v为用于标识签名信息和指针是有效值还是无效值,其中,v为0时,表示签名信息和指针为无效值,v为1时,表示签名信息和指针属于有效值。
s09,基于ACL确定出该报文对应的地址转换类型为转换源IP地址;
s10,从源IP地址所对应的NAT资源池中获取目标IP地址和参考端口;
其中,假设该目标IP地址为1.1.1.1,参考端口为2001。
s11,以目标IP地址替换原始五元组中的源IP地址,以参考端口替换原始五元组中的源端口,得到五元组G2,并对五元组G2的源端口的第0比特p2和目的端口的第0比特p1进行掩码,得到五元组G3。
其中,如图4所示,五元组G2为(1.1.1.1,1.1.1.2,2001,80,tcp);相应的,五元组G3为(1.1.1.1,1.1.1.2,Psrc2,Pdst2,tcp)。
其中,Psrc2为对五元组G2的源端口的第0比特p2进行掩码所得值,Pdst2为对五元组G2的目的端口的第0比特p1进行掩码所得值。
s12,利用SHA算法,计算五元组G3对应的索引值ind3;
s13,将索引值ind3的低两位置0,得到索引值ind4,并以索引值ind4作为索引,从哈希表中读取出4个连续的第一类哈希桶;
s14,将五元组G3的目的端口恢复,得到五元组G4;
其中,五元组G4为(1.1.1.1,1.1.1.2,Psrc2,80,tcp)。
s15,将五元组G4的源端口的第0比特P2置0,得到五元组G5,利用MD算法,计算五元组G5对应的签名信息sig2,以p2和p1的组合值作为索引,从连续的4个第一类哈希桶中确定哈希桶D2,查询该哈希桶D2记录的有效的签名信息中是否存在该sig2,如果不存在,将五元组G5作为该报文对应的目标五元组,并在哈希表和对应的结果表中记录五元组G5和原始五元组,并基于五元组G5对该报文进行NAT处理;如果存在,执行s16;
s16,将五元组G4的源端口的第0比特P2置1,得到五元组G6,利用MD算法,计算五元组G6对应的签名信息sig3,以p2和p1的组合值作为索引,从连续的4个第一类哈希桶中确定哈希桶D3,查询该哈希桶D3记录的有效的签名信息中是否存在该sig3,如果不存在,将五元组G6作为该报文对应的目标五元组,并在哈希表和对应的结果表中记录五元组G6和原始五元组,并基于五元组G6对该报文进行NAT处理;如果存在,返回执行s10,从源IP地址所对应的NAT资源池中获取目标IP地址和参考端口。
需要说明的是,当原始五元组所对应的地址转换类型为目的IP地址时,NAT转换流程与s01-s16类似,区别在于把目的端口和源端口的处理对换。
可见,本具体实施例中,由于在冲突试探时减少了对存储介质的读取次数,因此,可以解决现有技术中的新建性能较差的问题。
相应于上述方法实施例,本申请提供了一种NAT转换装置,应用于网络地址转换NAT设备;如图5所示,所述装置包括:
获取单元510,用于从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;
处理单元520,用于基于所述目标IP地址、所述参考端口和所述报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组;
确定单元530,用于基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
转换单元540,用于在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。
本申请所提供方案中,一次性确定哈希表的连续多个哈希桶,进而从哈希表的连续多个哈希桶中确定不冲突的目标五元组,也就是,一次性试探与连续多个哈希桶对应的多个五元组是否为不冲突的五元组,这样使得冲突试探时可以减少对存储介质的读取次数,因此,可以提高NAT转换过程中的新建性能。
可选地,所述确定单元530可以包括:
计算子单元,用于利用第一哈希算法,计算所述第二五元组对应的第一索引值;
查询子单元,用于对所述第一索引值进行基址处理,得到第二索引值,并以所述第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
确定子单元,用于基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组;
所述基址处理包括:将所述第一索引值的低N位置0,或者,在所述第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
可选地,所述确定子单元具体用于:
将所述第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,所述第一类端口的类型为:所述原始五元组中不进行NAT处理的端口的类型;
对所述第三五元组执行冲突检测,直至在所述M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将所述第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于所述一个连续端口范围的第四五元组;其中,所述第二类端口的类型为:所述原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算所述第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从所述M个第一类哈希桶中确定目标哈希桶;其中,所述第一目标值为所述第四五元组中两类端口的第一类比特的组合;
当判断出所述目标哈希桶所记录的有效的签名信息中存在所述第一签名信息时,将所述第四五元组确定为不冲突的目标五元组。
可选地,所述装置还包括:
计算单元,用于当判断出所述报文需进行NAT处理时,利用第二哈希算法,计算所述原始五元组对应的第二签名信息;
掩码单元,用于将所述原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
生成单元,用于利用第一哈希算法,计算所述第五五元组对应的第四索引值;
索引单元,用于对所述第四索引值进行偏移处理,形成第五索引值,并以所述第五索引值查询所述哈希表,确定第二类哈希桶;其中,所述偏移处理为:以第二目标值替换所述第四索引值的低N位或在所述第四索引值的末尾补所述第二目标值,所述第二目标值为所述原始五元组的两类端口的第一类比特的组合;
分析单元,用于当判断出所述第二类哈希桶所记录的有效的签名信息中存在所述第二签名信息时,基于所述结果表对所述报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,相应于上述方法实施例,本申请还提供了一种NAT设备,如图6所示,该NAT设备包括:内部总线610、存储器(memory)620、处理器(processor)630和通信接口(Communications Interface)640;其中,所述处理器630、所述通信接口640、所述存储器620通过所述内部总线610完成相互间的通信;
其中,所述存储器620,用于存储NAT转换方法对应的机器可行指令;
所述处理器630,用于读取所述存储器620上的所述机器可读指令,以执行本申请所提供的NAT转换方法。
其中关于NAT转换方法的具体步骤的相关描述可以参见本申请方法实施例中的描述内容,在此不做赘述。并且,需要强调的是,该NAT设备可以为路由器,当然并不局限于此。
其中,存储器620例如可以是非易失性存储器(non-volatile memory)。处理器630可以调用执行存储器620中的实现NAT转换方法的逻辑指令,以执行上述NAT转换方法。
实现NAT转换的逻辑指令的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种NAT转换方法,其特征在于,应用于网络地址转换NAT设备;所述方法包括:
从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;
基于所述目标IP地址、所述参考端口和报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组,所述两类端口包括源端口和目的端口,所述第一类比特为设定的端口中需要进行掩码的比特;
基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组的步骤,包括:
利用第一哈希算法,计算所述第二五元组对应的第一索引值;
对所述第一索引值进行基址处理,得到第二索引值,并以所述第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组;
所述基址处理包括:将所述第一索引值的低N位置0,或者,在所述第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
3.根据权利要求2所述的方法,其特征在于,所述基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组的步骤,包括:
将所述第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,所述第一类端口的类型为:所述原始五元组中不进行NAT处理的端口的类型;
对所述第三五元组执行冲突检测,直至在所述M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将所述第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于所述一个连续端口范围的第四五元组;其中,所述第二类端口的类型为:所述原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算所述第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从所述M个第一类哈希桶中确定目标哈希桶;其中,所述第一目标值为所述第四五元组中两类端口的第一类比特的组合;
当判断出所述目标哈希桶所记录的有效的签名信息中存在所述第一签名信息时,将所述第四五元组确定为不冲突的目标五元组。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
当判断出所述报文需进行NAT处理时,利用第二哈希算法,计算所述原始五元组对应的第二签名信息;
将所述原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
利用第一哈希算法,计算所述第五五元组对应的第四索引值;
对所述第四索引值进行偏移处理,形成第五索引值,并以所述第五索引值查询所述哈希表,确定第二类哈希桶;其中,所述偏移处理为:以第二目标值替换所述第四索引值的低N位或在所述第四索引值的末尾补所述第二目标值,所述第二目标值为所述原始五元组的两类端口的第一类比特的组合;
当判断出所述第二类哈希桶所记录的有效的签名信息中存在所述第二签名信息时,基于所述结果表对所述报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述第一类比特为端口末尾的连续至少一位。
6.一种NAT转换装置,其特征在于,应用于网络地址转换NAT设备;所述装置包括:
获取单元,用于从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口,所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口;
处理单元,用于基于所述目标IP地址、所述参考端口和报文的原始五元组,生成所述报文对应的第一五元组,并对所述第一五元组的两类端口的第一类比特进行掩码,得到第二五元组,所述两类端口包括源端口和目的端口,所述第一类比特为设定的端口中需要进行掩码的比特;
确定单元,用于基于所述第二五元组的哈希结果,在哈希表的连续多个哈希桶中确定不冲突的目标五元组;
转换单元,用于在所述哈希表和对应的结果表中记录所述目标五元组和所述原始五元组,并基于所述目标五元组对所述报文进行NAT处理。
7.根据权利要求6所述的装置,其特征在于,所述确定单元包括:
计算子单元,用于利用第一哈希算法,计算所述第二五元组对应的第一索引值;
查询子单元,用于对所述第一索引值进行基址处理,得到第二索引值,并以所述第二索引值作为基址查询哈希表,确定连续的M个第一类哈希桶;
确定子单元,用于基于所述第二五元组和第二哈希算法,在所述M个第一类哈希桶中确定不冲突的目标五元组;
所述基址处理包括:将所述第一索引值的低N位置0,或者,在所述第一索引值的末尾补N位0;
N为两类端口的第一类比特的个数之和,M为2N
8.根据权利要求7所述的装置,其特征在于,所述确定子单元具体用于:
将所述第二五元组中的第一类端口的第一类比特进行恢复,得到第三五元组;其中,所述第一类端口的类型为:所述原始五元组中不进行NAT处理的端口的类型;
对所述第三五元组执行冲突检测,直至在所述M个第一类哈希桶中确定出不冲突的目标五元组;
所述冲突检测包括:
通过将所述第三五元组中的第二类端口的第一类比特进行置0和/或置1的方式,生成所包含第二类端口属于所述一个连续端口范围的第四五元组;其中,所述第二类端口的类型为:所述原始五元组中进行NAT处理的端口的类型;
利用第二哈希算法,计算所述第四五元组对应的第一签名信息;
将第一目标值作为第三索引值,从所述M个第一类哈希桶中确定目标哈希桶;其中,所述第一目标值为所述第四五元组中两类端口的第一类比特的组合;
当判断出所述目标哈希桶所记录的有效的签名信息中存在所述第一签名信息时,将所述第四五元组确定为不冲突的目标五元组。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述装置还包括:
计算单元,用于当判断出所述报文需进行NAT处理时,利用第二哈希算法,计算所述原始五元组对应的第二签名信息;
掩码单元,用于将所述原始五元组的两类端口的第一类比特进行掩码,得到第五五元组;
生成单元,用于利用第一哈希算法,计算所述第五五元组对应的第四索引值;
索引单元,用于对所述第四索引值进行偏移处理,形成第五索引值,并以所述第五索引值查询所述哈希表,确定第二类哈希桶;其中,所述偏移处理为:以第二目标值替换所述第四索引值的低N位或在所述第四索引值的末尾补所述第二目标值,所述第二目标值为所述原始五元组的两类端口的第一类比特的组合;
分析单元,用于当判断出所述第二类哈希桶所记录的有效的签名信息中存在所述第二签名信息时,基于所述结果表对所述报文进行NAT处理,否则,执行所述从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口的步骤。
10.一种NAT设备,其特征在于,包括:内部总线、存储器、处理器和通信接口;其中,所述处理器、所述通信接口、所述存储器通过所述内部总线完成相互间的通信;其中,所述存储器,用于存储NAT转换方法对应的机器可行指令;
所述处理器,用于读取所述存储器上的所述机器可读指令,以执行权利要求1-5任一项所述的NAT转换方法。
CN201810253605.XA 2018-03-26 2018-03-26 一种nat转换方法、装置及nat设备 Active CN109688238B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201810253605.XA CN109688238B (zh) 2018-03-26 2018-03-26 一种nat转换方法、装置及nat设备
EP19775107.6A EP3758340A4 (en) 2018-03-26 2019-03-22 NETWORK ADDRESS TRANSLATION
JP2020551961A JP7082211B2 (ja) 2018-03-26 2019-03-22 ネットワークアドレス変換
PCT/CN2019/079157 WO2019184803A1 (zh) 2018-03-26 2019-03-22 网络地址转换
US17/041,217 US10965642B2 (en) 2018-03-26 2019-03-22 Network address translation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810253605.XA CN109688238B (zh) 2018-03-26 2018-03-26 一种nat转换方法、装置及nat设备

Publications (2)

Publication Number Publication Date
CN109688238A CN109688238A (zh) 2019-04-26
CN109688238B true CN109688238B (zh) 2020-06-09

Family

ID=66184415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810253605.XA Active CN109688238B (zh) 2018-03-26 2018-03-26 一种nat转换方法、装置及nat设备

Country Status (5)

Country Link
US (1) US10965642B2 (zh)
EP (1) EP3758340A4 (zh)
JP (1) JP7082211B2 (zh)
CN (1) CN109688238B (zh)
WO (1) WO2019184803A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688237B (zh) 2018-03-26 2020-05-12 新华三技术有限公司 一种nat转换方法、装置及nat设备
CN113132242B (zh) * 2021-03-19 2022-11-15 翱捷科技股份有限公司 一种网络设备及其共享发送和接收缓存的方法

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7146354B1 (en) * 1999-06-18 2006-12-05 F5 Networks, Inc. Method and system for network load balancing with a compound data structure
CN100477671C (zh) * 2005-12-16 2009-04-08 中国科学院计算技术研究所 Pat模式下支持多会话应用层协议的网络地址转换方法
US7830905B2 (en) * 2007-04-20 2010-11-09 Cray Inc. Speculative forwarding in a high-radix router
CN101132424B (zh) * 2007-09-29 2011-08-31 杭州华三通信技术有限公司 网络地址转换的方法及装置
US20090138960A1 (en) * 2007-10-26 2009-05-28 University Of Ottawa Control access rule conflict detection
CN101800690B (zh) 2009-02-05 2012-08-15 北京启明星辰信息技术股份有限公司 一种使用地址池实现源地址转换的方法和装置
JP5036752B2 (ja) 2009-04-16 2012-09-26 アラクサラネットワークス株式会社 インタネットワーク装置、及び、ローカルアドレス及び各ローカルアドレスと共に用いられるローカルアドレス内通信ポート番号と、グローバルアドレス及び各グローバルアドレスと共に用いられるグローバルアドレス内通信ポート番号とを相互に変換する方法
US8009682B2 (en) 2009-05-05 2011-08-30 Citrix Systems, Inc. Systems and methods for packet steering in a multi-core architecture
CN101702657B (zh) 2009-12-04 2012-04-18 杭州华三通信技术有限公司 一种nat业务的热备份方法和设备
CN102438331B (zh) * 2012-01-12 2016-04-13 惠州Tcl移动通信有限公司 一种移动终端通过手机上网的方法及系统
US8891540B2 (en) * 2012-05-14 2014-11-18 Juniper Networks, Inc. Inline network address translation within a mobile gateway router
US9185072B2 (en) * 2012-05-14 2015-11-10 Futurewei Technologies, Inc. Stateless NAT44
KR20150053620A (ko) * 2013-11-08 2015-05-18 한국전자통신연구원 패킷 전송 장치 및 방법
CN104243631A (zh) 2014-10-13 2014-12-24 北京太一星晨信息技术有限公司 一种IPv4地址与IPv6地址有状态转换的方法及设备
CN104468381B (zh) * 2014-12-01 2017-05-10 国家计算机网络与信息安全管理中心 一种多域流规则匹配的实现方法
US9553806B2 (en) * 2015-02-06 2017-01-24 Telefonaktiebolaget L M Ericsson (Publ) Method and system for supporting port ranging in a software-defined networking (SDN) system
CN106534394B (zh) * 2015-09-15 2020-01-07 瞻博网络公司 用于管理端口的设备、系统和方法
KR102430960B1 (ko) * 2015-10-30 2022-08-09 텔레콤 이탈리아 소시에떼 퍼 아찌오니 패킷 교환 통신 네트워크 내 성능 측정
US10621080B2 (en) 2016-04-01 2020-04-14 Intel Corporation Pipelined hash table with reduced collisions
US10257061B2 (en) * 2016-05-31 2019-04-09 128 Technology, Inc. Detecting source network address translation in a communication system
US10305799B2 (en) * 2016-08-17 2019-05-28 Cisco Technology, Inc. Re-configurable lookup pipeline architecture for packet forwarding
US10834085B2 (en) * 2017-04-14 2020-11-10 Nxp Usa, Inc. Method and apparatus for speeding up ACL rule lookups that include TCP/UDP port ranges in the rules
CN107566549B (zh) 2017-09-30 2021-06-18 东软集团股份有限公司 一种网络地址转换映射表的处理方法、装置及设备
US10681011B2 (en) * 2017-11-30 2020-06-09 International Business Machines Corporation Preemptive determination of reserved IP conflicts on VPNs

Also Published As

Publication number Publication date
US20210014194A1 (en) 2021-01-14
JP2021516923A (ja) 2021-07-08
CN109688238A (zh) 2019-04-26
WO2019184803A1 (zh) 2019-10-03
US10965642B2 (en) 2021-03-30
EP3758340A1 (en) 2020-12-30
EP3758340A4 (en) 2021-02-24
JP7082211B2 (ja) 2022-06-07

Similar Documents

Publication Publication Date Title
CN106878482B (zh) 网络地址转换方法及装置
Boyle et al. Oblivious parallel RAM and applications
US8010990B2 (en) Acceleration of packet flow classification in a virtualized system
CN110120942B (zh) 安全策略规则匹配方法及装置、防火墙设备及介质
US10931580B2 (en) Packet processing method and network device
CN104579940B (zh) 查找访问控制列表的方法及装置
US11595503B2 (en) Efficient packet classification for dynamic containers
EP3811576B1 (en) Flow cache support for crypto operations and offload
CN109688238B (zh) 一种nat转换方法、装置及nat设备
WO2017039576A1 (en) Propagating belief information about malicious and benign nodes
CN109672623B (zh) 一种报文处理方法和装置
US11818099B2 (en) Efficient matching of feature-rich security policy with dynamic content using user group matching
US11128568B2 (en) Routing packets in multiple destination networks with overlapping address spaces
CN109688237B (zh) 一种nat转换方法、装置及nat设备
CN111756636B (zh) 数据包处理方法、装置及设备、存储介质
US7844731B1 (en) Systems and methods for address spacing in a firewall cluster
TW201211785A (en) Addressing a workload partition
CN115150106B (zh) 一种物理机的安全防护方法及网络节点设备
US10397109B2 (en) Routing packets in overlapping address spaces
JPWO2019184803A5 (zh)
US20200145379A1 (en) Efficient matching of feature-rich security policy with dynamic content using incremental precondition changes
US11368354B2 (en) Multi-result lookups
WO2022089027A1 (zh) 发送报文的方法、装置、系统及存储介质
US8526326B1 (en) Lock-less access of pre-allocated memory buffers used by a network device
US20200145377A1 (en) Efficient matching of feature-rich security policy with dynamic content

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant