CN111641731A - 一种基于genrve的nat穿越方法 - Google Patents

Abstract

本发明公开了一种基于GENRVE的NAT穿越方法,包括以下步骤：S1：私网设备通过GENEVE协议向公网设备发送携带标识双方GENEVE隧道的ID信息，以及原始私网IP和PORT信息的GENEVE控制报文；S2：公网设备在接收到报文后，根据ID信息匹配隧道获取到对应的私网IP和PORT信息，并与当前的公网IP与PORT信息进行对应，指导转发overlay层面的封装；S3：私网设备定期发送该GENEVE的控制报文作为NAT设备的保活报文，NAT设备创建并维持对应的NATA会话表，保持GENRVE通道的联通，本发明的有益效果是：解决了SD‑WAN大二层的互通中，中间存在NAT设备，私网CPE设备和公网POP设备之间无法通过普通二层隧道连接的问题。

Description

一种基于GENRVE的NAT穿越方法

技术领域

本发明涉及通信技术领域，具体为一种基于GENRVE的NAT穿越方法。

背景技术

当前，企业的分支机构和总部间一般通过租用ISP的Internet或专线互联， 来提供数据共享、E-MAIL, Web应用及视频会议等服务。其中租用Internet主要是通过SD-WAN技术来实现互联。

SD-WAN中，通过Internet实现分支和总部的连接，通常是通过Overlay的隧道进行连接。这又分为两种应用场景：

1、使用隧道做三层的Overlay的连接。传统的技术方案是使用IPsec隧道；

2、使用隧道做二层的Overlay的连接。对于某些业务，比如物联网设备，需要大二层的互通，这时通常使用VXLAN隧道进行互联。

分支和总部（或POP）间，通常会存在NAT设备，即分支设备的IP是私网IP，而总部（或POP）的IP是公网IP，中间通过NAT设备进行IP的转换。在做二层的Overlay连接时，由于GENEVE隧道技术不支持NAT穿越，公网设备无法得知私网设备经过NAT穿越后的公网IP和PORT，在这种情况下，公网设备无法封装发给私网设备的GENEVE报文头。

发明内容

本发明的目的在于提供一种基于GENRVE的NAT穿越方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于GENRVE的NAT穿越方法,包括以下步骤：

S1：私网设备通过GENEVE协议向公网设备发送携带标识双方GENEVE隧道的ID信息，以及原始私网IP和PORT信息的GENEVE控制报文；

S2：公网设备在接收到报文后，根据ID信息匹配隧道获取到对应的私网IP和PORT信息，并与当前的公网IP与PORT信息进行对应，指导转发overlay层面的封装；

S3：私网设备定期发送该GENEVE的控制报文作为NAT设备的保活报文，NAT设备创建并维持对应的NATA会话表，保持GENRVE通道的联通。

优选的，所述S2中，所述公网设备通过私网发送的私网IP和PORT信息学习到私网CPE的公网IP和PORT信息，用来封装发送给私网CPE的GENRVE报文。

优选的，所述GENEVE控制报文具体包含以下信息：Version、Opt Len、O（1bit）、C（1bit）、Rsvd.、Protocol Type、VNI、Reserved和Variable Length Options。

优选的， 所述Opt Len以4字节为单位，表明Variable Length Options的长度，所述Variable Length Options至多只有252字节，所述Variable Length Options由TLV构成，包含了可扩展的元数据，所述O（1bit）具体为OAM包，其中包含了控制信息，Endpoint可以根据这个bit来优先处理这个包，所述C（1bit）则表面在Variable Length Options里面存在一个或多个Critical的option，所述VNI具体为虚拟网络标识，用于区分租户的标识。

优选的， 所述S1中具体识别步骤如下：

S1-1：新增GENEVE Option字段定义，根据draft-ietf-nvo3-geneve定义，先定义NATOption Class，然后根据Opt Len包含的数据和NAT Option Class的数据得知要处理的NAT选项；

S1-2：通过Protocol Type包含的字段来区分是IPv4还是IPv6；

S1-3：再通过Opt Len计算得出Private IP开始的长度；

S1-4：通过Private IP开始的长度可以获取到私网真正的IP，所述Protocol Type获取到私网发出GENRVE报文时的源端口。

与现有技术相比，本发明的有益效果是：此方案让私网设备在报文中使用控制报文携带隧道ID，这样公网可以通过配置相同的隧道ID进行匹配而知道对应的流属于哪个私网设备，这样就可以根据匹配的信息做外层封装，解决了SD-WAN大二层的互通中，中间存在NAT设备，私网CPE设备和公网POP设备之间无法通过普通二层隧道连接的问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明组网示意图；

图2为本发明GENEVE的报文头格式图；

图3为本发明GENEVE Option格式-IPv4；

图4为本发明GENEVE Option格式-IPv6。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-4，本发明提供一种技术方案：

一种基于GENRVE的NAT穿越方法,包括以下步骤：

S1：私网设备通过GENEVE协议向公网设备发送携带标识双方GENEVE隧道的ID信息，以及原始私网IP和PORT信息的GENEVE控制报文；

S2：公网设备在接收到报文后，根据ID信息匹配隧道获取到对应的私网IP和PORT信息，并与当前的公网IP与PORT信息进行对应，指导转发overlay层面的封装；

S3：私网设备定期发送该GENEVE的控制报文作为NAT设备的保活报文，NAT设备创建并维持对应的NATA会话表，保持GENRVE通道的联通。

值得注意的是，所述S2中，所述公网设备通过私网发送的私网IP和PORT信息学习到私网CPE的公网IP和PORT信息，用来封装发送给私网CPE的GENRVE报文，所述Opt Len以4字节为单位，表明Variable Length Options的长度，所述Variable Length Options至多只有252字节，所述Variable Length Options由TLV构成，包含了可扩展的元数据，所述O（1bit）具体为OAM包，其中包含了控制信息，Endpoint可以根据这个bit来优先处理这个包，所述C（1bit）则表面在Variable Length Options里面存在一个或多个Critical的option，所述VNI具体为虚拟网络标识，用于区分租户的标识。

所述S1中具体识别步骤如下：

S1-1：新增GENEVE Option字段定义，根据draft-ietf-nvo3-geneve定义，先定义NATOption Class，然后根据Opt Len包含的数据和NAT Option Class的数据得知要处理的NAT选项；

S1-2：通过Protocol Type包含的字段来区分是IPv4还是IPv6；

S1-3：再通过Opt Len计算得出Private IP开始的长度；

S1-4：通过Private IP开始的长度可以获取到私网真正的IP，所述Protocol Type获取到私网发出GENRVE报文时的源端口。

值得注意的是，所述GENEVE控制报文具体包含以下信息：Version、Opt Len、O（1bit）、C（1bit）、Rsvd.、Protocol Type、VNI、Reserved和Variable Length Options。

值得注意的是，新增GENEVE Option的字段定义数值如下：

Option Class：NAT Option Class （0xFFF1）；

Type：如果私网IP地址为IPv4，Type=0x81，如果私网IP地址为IPv6，Type=0x82。要求设备必须处理该选项；

R：0；

Len：如果Type=0x81，则Len=10，如果Type=0x82，则Len=13，所述Len具体是代表有多少个4字节；

Private为私网CPE的IP地址；

Port为私网CPE的端口地址；

ID为唯一标识一个GENEVE隧道的身份信息。

值得注意的是，在穿越NAT时，通常NAT设备会为报文五元组信息产生会话表，并根据会话表做安全过滤，为了让私网CPE设备能够识别回程的报文是GENRVE报文，从私网设备发出的GENRVE报文源端口必须是6081，其目的是为了保证经过NAT转换后的回程报文的目的端口为6081；

同时为了保证NAT会话的不老化，私网设备需要定时发送GENRVE的控制报文，在发送GENRVE控制报文中，私有属性的ID必须填写，并与公网设备的同一个GENRVE隧道ID保持一致；

公网设备的处理：

公网设备上，配置GENEVE封装信息。此时只能配置源IP地址，无法配目的IP地址。需要配置上述的ID，保持和私网设备一致。

接收到GENEVE报文，并分析出是控制报文后，解析ID，匹配本端GENEVE封装信息，并从报文中获取公网IP和端口，在回报文时使用新生成的封装信息回应。同时可以记录私网IP和PORT信息，作为数据分析使用。

实施例：

私网设备发出控制报文，携带ID为ABCD，源IP假如为192.168.0.2，源端口为6081，目的IP为公网设备IP，假设为60.0.0.1，目的端口为6081；

经NAT设备转换后，源IP假设变为70.0.0.1，源端口变为12001；

公网设备配置隧道，其ID为ABCD，公网设备收到控制报文后，经解析知道是GENEVE的控制报文，再进一步解析知道是NAT穿越报文，解析出ID为ABCD，和本地的配置进行匹配，匹配到配置的隧道，记录此时的外层IP和端口信息。此后在回报文时，就知道此隧道对应的外层目的IP（70.0.0.1）和目的端口（12001）。

本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (5)

1.一种基于GENRVE的NAT穿越方法,其特征在于，包括以下步骤：

S1：私网设备通过GENEVE协议向公网设备发送携带标识双方GENEVE隧道的ID信息，以及原始私网IP和PORT信息的GENEVE控制报文；

S2：公网设备在接收到报文后，根据ID信息匹配隧道获取到对应的私网IP和PORT信息，并与当前的公网IP与PORT信息进行对应，指导转发overlay层面的封装；

S3：私网设备定期发送该GENEVE的控制报文作为NAT设备的保活报文，NAT设备创建并维持对应的NATA会话表，保持GENRVE通道的联通。

2.根据权利要求1所述的一种基于GENRVE的NAT穿越方法，其特征在于：所述S2中，所述公网设备通过私网发送的私网IP和PORT信息学习到私网CPE的公网IP和PORT信息，用来封装发送给私网CPE的GENRVE报文。

3.根据权利要求1所述的一种基于GENRVE的NAT穿越方法，其特征在于：所述GENEVE控制报文具体包含以下信息：Version、Opt Len、O（1bit）、C（1bit）、Rsvd.、Protocol Type、VNI、Reserved和Variable Length Options。

4.根据权利要求3所述的一种基于GENRVE的NAT穿越方法，其特征在于：所述Opt Len以4字节为单位，表明Variable Length Options的长度，所述Variable Length Options至多只有252字节，所述Variable Length Options由TLV构成，包含了可扩展的元数据，所述O（1bit）具体为OAM包，其中包含了控制信息，Endpoint可以根据这个bit来优先处理这个包，所述C（1bit）则表面在Variable Length Options里面存在一个或多个Critical的option，所述VNI具体为虚拟网络标识，用于区分租户的标识。

5.根据权利要求1所述的一种基于GENRVE的NAT穿越方法，其特征在于：所述S1中具体识别步骤如下：

S1-1：新增GENEVE Option字段定义，根据draft-ietf-nvo3-geneve定义，先定义NATOption Class，然后根据Opt Len包含的数据和NAT Option Class的数据得知要处理的NAT选项；

S1-2：通过Protocol Type包含的字段来区分是IPv4还是IPv6；

S1-3：再通过Opt Len计算得出Private IP开始的长度；

S1-4：通过Private IP开始的长度可以获取到私网真正的IP，所述Protocol Type获取到私网发出GENRVE报文时的源端口。

Images