CN111698344A

CN111698344A - 一种网络地址转换方法、设备及介质

Info

Publication number: CN111698344A
Application number: CN202010467514.3A
Authority: CN
Inventors: 张俊
Original assignee: Inspur Cisco Networking Technology Co Ltd
Current assignee: Inspur Cisco Networking Technology Co Ltd
Priority date: 2020-05-28
Filing date: 2020-05-28
Publication date: 2020-09-22

Abstract

本申请实施例公开了一种网络地址转换方法、设备及介质，包括：交换机的接口接收数据报文时，交换机若判断出所述数据报文已经通过网络地址转换模块的学习操作，生成所述数据报文对应的NAT会话，其中，所述学习操作为首次将数据报文进行网络地址转化的操作；所述交交换机芯片根据所述NAT会话对所述数据报文进行网络地址转换。本申请实施例通过交换机芯片可以达到高线速转换网络地址，性能获得极大的提高，可以解决现有方案转换性能低的问题。

Description

一种网络地址转换方法、设备及介质

技术领域

本申请涉及通信工程技术领域，尤其涉及一种网络地址转换方法、设备及介质。

背景技术

当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用网络地址转换(NAT，Network Address Translation)方法。

由于NAT可以具有节约IP地址和隐藏内部网络细节的优点，被广泛用于防火墙、路由设备上，现有的NAT方案通过CPU进行网络地址转换，性能受到极大的制约。

发明内容

有鉴于此，本申请实施例提供了一种网络地址转换方法、设备及介质，用于解决现有的NAT方案通过CPU进行网络地址转换性能受到极大制约的问题。

本申请实施例采用下述技术方案：

本申请实施例提供一种网络地址转换方法，所述方法包括：

交换机的接口接收数据报文时，交换机若判断出所述数据报文已经通过网络地址转换模块的学习操作，生成所述数据报文对应的NAT会话，其中，所述学习操作为首次将数据报文进行网络地址转化的操作；

所述交换机芯片根据NAT会话对所述数据报文进行网络地址转换。

进一步的，所述交换机芯片根据NAT会话对所述数据报文进行网络地址转换之后，所述方法还包括：

所述交换机芯片对应修改所述数据报文，并将修改后的数据报文转发至其他设备。

进一步的，若判断出所述数据报文未经过所述网络地址转换模块的所述学习操作，所述方法还包括：

网络转换模块接收交换机预先处理的数据报文；

解析所述数据报文，获取所述数据报文对应的参数信息；

所述网络转换模块根据所述参数信息与预先配置的NAT映射规则表，生成所述数据报文对应的NAT会话；

所述网络转换模块向所述芯片发送预先写入的所述数据报文对应的网络地址转换规则；

所述网络转换模块根据所述数据报文对应的NAT会话与所述数据报文对应的网络地址转换规则，实现所述数据报文网络地址的转换。

进一步的，所述网络转换模块接收交换机预先处理的数据报文之前，所述方法还包括：

交换机的接口接收数据报文时，所述交换机判断所述交换机的接口是否具备网络地址转换的功能；

交换机若判断出所述交换机的接口具备网络地址转换的功能，向交换机芯片下发接口网段对应的ACL规则，其中，接口网段对应的ACL规则通过所述数据报文对应的参数信息匹配所述数据报文；

根据接口网段对应的ACL规则，匹配输入至所述交换机接口的所述数据报文，并将所述数据报文发送至所述网络转换模块。

进一步的，所述网络转换模块根据所述参数信息与预先配置的NAT映射规则表，生成所述数据报文对应的NAT会话，具体包括：

所述网络转换模块根据所述NAT映射规则表，获取所述NAT映射规则表对应的源地址、目的地址、源端口、目的端口及协议类型；

所述网络转换模块判断所述参数信息中是否包含所述NAT映射规则表对应的源地址、目的地址、源端口、目的端口及协议类型；

所述网络转换模块若判断出所述参数信息中包含所述NAT映射规则表对应的源地址、目的地址、源端口、目的端口及协议类型，生成所述数据报文对应的NAT会话。

进一步的，所述网络转换模块根据所述数据报文对应的NAT会话与所述数据报文对应的网络地址转换规则，实现所述数据报文网络地址的转换之后，所述方法还包括：

所述交换机芯片获取预先设定的数据报文对应的ACL规则，其中，所述预先设定的数据报文对应的ACL规则通过所述预先设定的数据报文对应的参数信息匹配所述数据报文；

所述交换机芯片根据所述预先设定的数据报文对应的ACL规则，将所述预先设定的数据报文转发至其他设备。

进一步的，所述交换机芯片根据所述预先设定的数据报文对应的ACL规则，将所述预先设定的数据报文转发至其他设备之后，所述方法还包括：

在预设时间内，若数据报文的数量没有变化，所述网络转换模块将老化所述数据报文对应的NAT会话，并删除所述数据报文对应的网络地址转换规则和所述预先设定的数据报文对应的ACL规则。

进一步的，所述交换机芯片根据NAT会话对所述数据报文进行网络地址转换，和/或所述交换机芯片对应修改所述数据报文，并将修改后的数据报文转发至其他设备时，根据数据报文对应的ACL规则进行限速操作。

本申请实施例还提供一种网络地址转换设备，所述设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

本申请实施例还提供一种网络地址转换介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：本申请实施例通过交换机芯片可以达到线速转换网络地址，性能获得极大的提高，使得进行网络地址转换时得到极大的提升。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本说明书实施例一提供的一种网络地址转换方法的流程示意图；

图2为本说明书实施例二提供的一种网络地址转换方法的流程示意图。

具体实施方式

网络地址转换(NAT)是一种将内网地址映射为外网可路由地址的技术，可节约IP地址和隐藏内部网络细节，避免外部攻击，需要修改数据包的源地址、目的地址、源端口以及目的端口，通常用于防火墙等设备。目前防火墙的NAT实现主要基于Linux内核协议栈的iptables-netfilter架构，它提供一系列的表、链和转发规则，NAT表是iptables中的一种。数据报文流经设备时，iptables利用转发规则表进行内网与外网地址的替换，整个过程都是通过CPU计算，无法进行线速转发报文，有性能瓶颈问题。本说明书实施例的网络地址转换(NAT)可以是一种在FPGA/CPLD、ASIC等硬件基础上实现NAT的方法，能将复杂的CPU计算固化到硬件执行，支持数据报文的高线速转发。但目前网络设备中硬件NAT功能是以NAT单板集成到设备来实现，模块之间相对独立，针对现网复杂的NAT需求做定制开发困难，可拓展性差。

在现有的TCP/IP通信中，交换机因其高线速转发能力应用于二层网络，只在转发报文时将数据报文的源MAC地址替换为自己的MAC地址，不会对其他的信息进行修改。为了解决局域网中网段划分后，网段子网必须依赖路由器进行管理的局面，解决现有路由器低速、复杂所造成的网络瓶颈问题，结合二层交换和三层转发技术的三层交换机应运而生。一次路由学习，后续转发由硬件完成，大大节约了成本并且可以实现高线速的转发。

随着网络技术发展，网络需求增大，网络拓扑日趋复杂，高性能和灵活拓展能力成为衡量一个网络优劣的关键指标。设计一种具有高线速转发能力、高网络地址转发性能的设备，能极大的降低网络拓扑复杂度，提高容错能力，节约成本。

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1为本说明书实施例一提供的一种网络地址转换方法的流程示意图，具体包括：

步骤S101，交换机的接口接收数据报文时，交换机若判断出所述数据报文已经通过网络地址转换模块的学习操作，生成所述数据报文对应的NAT会话。

在本说明书实施例的步骤S101中，学习操作可以为首次将数据报文进行网络地址转化的操作。

步骤S102，交换机芯片根据NAT会话对所述数据报文进行网络地址转换。

本申请实施例通过交换机芯片可以达到线速转换网络地址，性能获得极大的提高，使得进行网络地址转换时得到极大的提升。

与本说明书实施例一相对应的是，图2为本说明书实施例二提供的一种网络地址转换方法的流程示意图，具体包括：

步骤S201，交换机的接口接收数据报文时，交换机若判断出所述数据报文已经通过网络地址转换模块的学习操作，生成所述数据报文对应的NAT会话。

在本说明书实施例的步骤S201中，学习操作可以为首次将数据报文进行网络地址转化的操作。

进一步的，在本说明书实施例的步骤S201中，若判断出所述数据报文未经过所述网络地址转换模块的所述学习操作，所述方法还包括：

网络转换模块接收交换机预先处理的数据报文；

解析所述数据报文，获取所述数据报文对应的参数信息；

进一步的，在本说明书实施例的步骤S201中，网络转换模块接收交换机预先处理的数据报文之前，所述方法还包括：

需要说明的是，在交换机的接口可以设置网络地址转换功能的开关，若判断出存在网络地址转换功能的开关时，则可以说明交换机的接口具备网络地址转换功能。

需要说明的是，ACL(Access Control Lists，访问控制列表)是一种基于包过滤的访问控制技术，可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。ACL规则可精确匹配数据报文的源地址、目的地址、源端口、目的端口、接口index、协议类型、MAC地址、数据报文优先级等元信息。

需要说明的是，数据报文对应的参数信息至少包括MAC地址、源地址、源端口、目的地址、目的端口、协议类型，接口index以及数据报文优先级。

进一步的，在本说明书实施例的步骤S201中，网络转换模块根据所述参数信息与预先配置的NAT映射规则表，生成所述数据报文对应的NAT会话，具体包括：

进一步的，在本说明书实施例的步骤S201中，网络转换模块根据所述数据报文对应的NAT会话与所述数据报文对应的网络地址转换规则，实现所述数据报文网络地址的转换之后，所述方法还包括：

进一步的，在本说明书实施例的步骤S201中，交换机芯片根据所述预先设定的数据报文对应的ACL规则，将所述预先设定的数据报文转发至其他设备之后，所述方法还包括：

在预设时间内，交换机芯片若判断数据报文的数量没有变化，所述网络转换模块将老化所述数据报文对应的NAT会话，并删除所述预先设定的数据报文对应的网络地址转换规则和所述预先设定的数据报文对应的ACL规则。将预先设定的数据报文转发至其他设备后，预设时间内数据报文的数量没有变化，说明该数据报文对应的网络地址转换规则和ACL规则以没有作用，可以将该数据报文对应的网络地址转换规则和ACL规则删除。

进一步的，在本说明书实施例的步骤S201中，交换机芯片根据NAT会话对所述数据报文进行网络地址转换，和/或所述交换机芯片对应修改所述数据报文，并将修改后的数据报文转发至其他设备时，根据数据报文对应的ACL规则进行限速操作。

需要说明的是，ACL规则可通过MAC地址、源地址、源端口、目的地址、目的端口、协议类型，接口index以及数据报文优先级，精准匹配网络地址转换中各个阶段的数据报文，统计的数据报文数用于老化以及限速操作，可针对复杂的网络需求，做网络地址转化功能的定制开发。其中，各个阶段可以包括学习操作阶段、网络地址转换阶段、老化操作阶段及

步骤S202，交换机芯片根据NAT会话对所述数据报文进行网络地址转换。

在本说明书的步骤S202中，若数据报文已经通过网络地址转换模块的学习操作，说明交换机芯片中已经存在数据报文对应的网络地址转换规则。网络转换模块可以根据数据报文对应的NAT会话与数据报文对应的网络地址转换规则，实现数据报文网络地址的转换。

步骤S203，交换机芯片对应修改所述数据报文，并将修改后的数据报文转发至其他设备。

在本说明书的步骤S203中，交换机芯片对应修改报文数据可以包括修改数据报文里含有源地址、目的地址、源端口、目的端口。

需要说明的是，本说明书实施例可以在三层交换机上实现网络地址转换(NAT)和网络地址端口转换(NAPT)，基于交换机芯片的硬件转发能力，并利用ACL(访问控制列表)功能，可以实现了硬件NAT过程中各个阶段数据报文的匹配与处理，实现了数据报文的学习操作、数据报文的网络地址转换、数据报文对应的NAT会话老化、数据报文的限速转发，降低了系统复杂度。

需要说明的是，现有的网络地址转换功能是数据报文送上CPU后，通过软件实现数据报文的修改再转发，而本说明书实施例可以达到线速转换网络地址及转发数据报文，性能获得极大的提高。

此外，本说明书实施例利用ACL规则功能实现硬件进行网络地址转换，可配置条件精准匹配网络地址转换各个阶段的数据报文，实现复杂的网络需求，可拓展性好

需要说明的是，本说明书实施例通过硬件交换机芯片进行网络地址转换、转发数据报文，软件网络地址转换模块控制NAT会话，控制面与转发面分离，互不干扰。并将网络地址转换、ACL规则等功能集成在同一芯片，可节约硬件成本。

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等，目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种网络地址转换方法，其特征在于，所述方法包括：

所述交换机芯片根据所述NAT会话对所述数据报文进行网络地址转换。

2.根据权利要求1所述的网络地址转换方法，其特征在于，所述交换机芯片根据所述NAT会话对所述数据报文进行网络地址转换之后，所述方法还包括：

3.根据权利要求1所述的网络地址转换方法，其特征在于，若判断出所述数据报文未经过所述网络地址转换模块的所述学习操作，所述方法还包括：

网络转换模块接收交换机预先处理的数据报文；

解析所述数据报文，获取所述数据报文对应的参数信息；

4.根据权利要求3所述的网络地址转换方法，其特征在于，所述网络转换模块接收交换机预先处理的数据报文之前，所述方法还包括：

5.根据权利要求3所述的网络地址转换方法，其特征在于，所述网络转换模块根据所述参数信息与预先配置的NAT映射规则表，生成所述数据报文对应的NAT会话，具体包括：

6.根据权利要求3所述的网络地址转换方法，其特征在于，所述网络转换模块根据所述数据报文对应的NAT会话与所述数据报文对应的网络地址转换规则，实现所述数据报文网络地址的转换之后，所述方法还包括：

7.根据权利要求6所述的网络地址转换方法，其特征在于，所述交换机芯片根据所述预先设定的数据报文对应的ACL规则，将所述预先设定的数据报文转发至其他设备之后，所述方法还包括：

8.根据权利要求2所述的网络地址转换方法，其特征在于，所述交换机芯片根据所述NAT会话对所述数据报文进行网络地址转换，和/或所述交换机芯片对应修改所述数据报文，并将修改后的数据报文转发至其他设备时，根据数据报文对应的ACL规则进行限速操作。

9.一种网络地址转换设备，其特征在于，所述设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

10.一种网络地址转换介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：