CN112769973B - 一种网络地址与网络地址转换规则的匹配方法 - Google Patents

Abstract

本发明属于网络功能虚拟化技术领域，尤其涉及一种网络地址与网络地址转换规则的匹配方法。本发明的网络地址与网络地址转换规则的匹配方法，首先将原始规则表划分为若干个哈希子表，将网络地址转换规则按照掩码长度和规则类型分别存储到对应的哈希子表中。当数据包到来时，根据数据包的网络地址、端口号、传输协议号计算哈希值依次查找不同的规则子表，直至找到匹配规则。本发明的采用哈希查找的办法进行网络地址与网络地址转换规则的匹配，算法复杂度为O(1)，比已有技术中的线性查找的匹配效率高，可扩展性好，更适用于网络地址转换规则数目多、网络数据包数目多的场景。

Description

一种网络地址与网络地址转换规则的匹配方法

技术领域

本发明属于网络功能虚拟化技术领域，尤其涉及一种网络地址与网络地址转换规则的匹配方法。

背景技术

随着互联网规模不断增长，越来越多的设备和用户接入网络，然而IPv4地址空间早在2011年就被全部耗尽，已无法满足实际需求。IPv6虽然具有更大的地址空间，但是完全应用IPv6不仅需要网络基础设施的更新换代，而且需要现有网络应用对IPv6网络进行适配升级，具有较大的经济代价。因此，IPv4在未来的一段时间仍然会占据主导地位。网络地址转换技术(Network Address Translation,以下简称NAT)已经被广泛应用于各种类型Internet接入方式和各种类型的网络中，不仅可以使不同的内网设备共享使用同一个外网IP地址，解决IPv4地址不够用的问题，而且还能够有效隐藏并保护网络内部的计算机。网络地址转换的实现部署方式主要分为专用硬件和软件两类。专用硬件设备虽然性能高，但是价格昂贵且不便于统一管理；软件部署可以基于通用平台Linux内核的Netfilter/IPTables组件实现，对数据包IP地址进行网络地址转换规则匹配并修改。其中网络地址转换规则匹配的性能，对地址转换总体性能影响较大。实验发现，Netfilter/IPTables组件采用的规则线性匹配算法性能较低，影响数据流的完成时间，成为制约网络整体性能的瓶颈。

发明内容

本发明的目的在于提出一种网络地址与网络地址转换规则的匹配方法，以提高规则匹配性能，进而提升网络性能。

本发明提出的网络地址与网络地址转换规则的匹配方法，包括以下步骤：

(1)将原始网络地址转换规则按照掩码长度和规则类型分类存放到32张网络源地址转换规则哈希子表和32张网络目的地址转换规则哈希子表中，每张哈希子表分别与网络地址掩码和原始网络地址转换规则的种类相对应；

(2)当网络数据包到来时，利用步骤(1)的存储信息，进行数据包网络地址与网络目的地址转换规则的匹配，具体过程如下：

(2-1)设定初始掩码值mask为32；

(2-2)将步骤(1)中的掩码值为mask的网络目的地址转换规则哈希子表记为哈希子表T1，对哈希子表T1的计数器值进行判断，若计数器值大于0，则执行步骤(2-3)，若计数器值小于或等于0，则执行步骤(2-2-1)；

(2-2-1)将掩码值mask减1；

(2-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(2-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络目的地址转换规则，执行步骤(3)；

(2-3)将掩码值mask和网络数据包目的网络地址进行按位与运算，得到按位与运算后的网络数据包目的网络地址，并记为网络地址IP1；

(2-4)将网络地址IP1、网络数据包的目的端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(2-5)判断步骤(2-2)的哈希子表T1中行号V1的链表L1中是否存在网络目的地址转换规则，若存在，则执行步骤(2-6)，若不存在，则执行步骤(2-9)；

(2-6)读取链表L1中的第一条网络目的地址转换规则R1；

(2-7)判断网络目的地址转换规则R1的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-8)；

(2-8)判断链表L1中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络目的地址转换规则R1，并执行步骤(2-7)；若不存在，则执行步骤(2-9)；

(2-9)将网络地址IP1、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(2-10)判断步骤(2-2)的哈希子表T1中行号V2的链表L2中是否存在网络目的地址转换规则，若存在，则执行步骤(2-11)，若不存在，则返回步骤(2-2-1)；

(2-11)读取链表L2中的第一条网络目的地址转换规则R2；

(2-12)判断网络目的地址转换规则R2的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-13)；

(2-13)判断链表L2中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络目的地址转换规则R2，并执行步骤(2-12)；若不存在，则返回步骤(2-2-1)；

(3)利用步骤(1)的存储信息，进行网络地址与网络源地址转换规则的匹配，具体过程如下：

(3-1)设定初始掩码值mask为32；

(3-2)将步骤(1)中的掩码值为mask的网络源地址转换规则哈希子表记为哈希子表T2，对哈希子表T2的计数器值进行判断，若计数器值大于0，则执行步骤(3-3)，若计数器值小于或等于0，则执行步骤(3-2-1)；

(3-2-1)将掩码值mask减1；

(3-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(3-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络地址转换规则，结束；

(3-3)将掩码值mask和网络数据包源网络地址进行按位与运算，得到按位与运算后的网络数据包源网络地址，并记为网络地址IP2；

(3-4)将网络地址IP2、网络数据包的源端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(3-5)判断步骤(3-2)的哈希子表T2中行号V1的链表L1中是否存在网络源地址转换规则，若存在，则执行步骤(3-6)，若不存在，则执行步骤(3-9)；

(3-6)读取链表L1中的第一条网络源地址转换规则R1；

(3-7)判断网络源地址转换规则R1的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(3-8)；

(3-8)判断链表L1中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络源地址转换规则R1，并执行步骤(3-7)；若不存在，则执行步骤(3-9)；

(3-9)将网络地址IP2、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(3-10)判断步骤(3-2)的哈希子表T2中行号V2的链表L2中是否存在网络源地址转换规则，若存在，则执行步骤(3-11)，若不存在，则返回步骤(3-2-1)；

(3-11)读取链表L2中的第一条网络源地址转换规则R2；

(3-12)判断网络源地址转换规则R2的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配；若不分别同时对应，则执行步骤(3-13)；

(3-13)判断链表L2中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络源地址转换规则R2，并执行步骤(3-12)；若不存在，则返回步骤(3-2-1)。

本发明提出的网络地址与网络地址转换规则的匹配方法，其优点是：

本发明的网络地址与网络地址转换规则的匹配方法，首先将原始规则表划分为若干个哈希子表，将网络地址转换规则按照掩码长度和规则类型分别存储到对应的哈希子表中。当数据包到来时，根据数据包的网络地址、端口号、传输协议号计算哈希值依次查找不同的规则子表，直至找到匹配规则。本发明的采用哈希查找的办法进行网络地址与网络地址转换规则的匹配，算法复杂度为O(1)，比已有技术中的线性查找的匹配效率高，可扩展性好，更适用于网络地址转换规则数目多、网络数据包数目多的场景。

附图说明

图1是本发明方法涉及的网络地址转换规则存储示意图。

图2是本发明方法涉及的网络目的地址转换规则匹配流程图。

图3是本发明方法涉及的网络源地址转换规则匹配流程图。

具体实施方式

本发明提出的网络地址与网络地址转换规则的匹配方法，包括以下步骤：

(1)将原始网络地址转换规则按照掩码长度和规则类型分类存放到32张网络源地址转换规则哈希子表和32张网络目的地址转换规则哈希子表中，每张哈希子表分别与网络地址掩码和原始网络地址转换规则的种类相对应，每张哈希子表具有65536行，每一行包含一个链表，用来存储网络地址转换规则。如图1所示为原始网络地址转换规则存储示例，图1中的左边1为原始网络地址转换规则表，中间2为各网络源地址转换规则哈希子表，右边3为各网络目的地址转换规则哈希子表，每张哈希子表包括一个规则计数器，初始化时计数器值默认为0。以图1左边1的第2条规则为例，由于第2条规则是网络源地址转换规则且网络地址掩码为24，所以需要将第2条规则存入掩码24的网络源地址转换规则哈希子表中，存储位置由根据该第2条规则的网络地址、网络端口号、网络传输协议号计算的哈希值来决定，本实例的哈希函数为微软托普利兹哈希函数(Microsoft Toeplitz Based Hash)的输出值取后16位，计算得到的哈希值在[0,65535]范围之中。当原始网络地址转换规则存入网络源地址转换规则哈希子表或网络目的地址转换规则哈希子表中时，将该哈希子表的计数器值加1。

(2)当网络数据包到来时，利用步骤(1)的存储信息，进行数据包网络地址与网络目的地址转换规则的匹配，其流程如图2所示，具体过程如下：

(2-1)设定初始掩码值mask为32；

(2-2)将步骤(1)中的掩码值为mask的网络目的地址转换规则哈希子表记为哈希子表T1，对哈希子表T1的计数器值进行判断，若计数器值大于0，则执行步骤(2-3)，若计数器值小于或等于0，则执行步骤(2-2-1)；

(2-2-1)将掩码值mask减1；

(2-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(2-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络目的地址转换规则，执行步骤(3)；

(2-3)将掩码值mask和网络数据包目的网络地址进行按位与运算，得到按位与运算后的网络数据包目的网络地址，并记为网络地址IP1；

(2-4)将网络地址IP1、网络数据包的目的端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(2-5)判断步骤(2-2)的哈希子表T1中行号V1的链表L1中是否存在网络目的地址转换规则，若存在，则执行步骤(2-6)，若不存在，则执行步骤(2-9)；

(2-6)读取链表L1中的第一条网络目的地址转换规则R1；

(2-7)判断网络目的地址转换规则R1的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-8)；

(2-8)判断链表L1中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络目的地址转换规则R1，并执行步骤(2-7)；若不存在，则执行步骤(2-9)；

(2-9)将网络地址IP1、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(2-10)判断步骤(2-2)的哈希子表T1中行号V2的链表L2中是否存在网络目的地址转换规则，若存在，则执行步骤(2-11)，若不存在，则返回步骤(2-2-1)；

(2-11)读取链表L2中的第一条网络目的地址转换规则R2；

(2-12)判断网络目的地址转换规则R2的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-13)；

(2-13)判断链表L2中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络目的地址转换规则R2，并执行步骤(2-12)；若不存在，则返回步骤(2-2-1)；

(3)利用步骤(1)的存储信息，进行网络地址与网络源地址转换规则的匹配，其流程如图3所示，具体过程如下：

(3-1)设定初始掩码值mask为32；

(3-2)将步骤(1)中的掩码值为mask的网络源地址转换规则哈希子表记为哈希子表T2，对哈希子表T2的计数器值进行判断，若计数器值大于0，则执行步骤(3-3)，若计数器值小于或等于0，则执行步骤(3-2-1)；

(3-2-1)将掩码值mask减1；

(3-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(3-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络地址转换规则，结束；

(3-3)将掩码值mask和网络数据包源网络地址进行按位与运算，得到处理后的网络数据包源网络地址，并记为网络地址IP2；

(3-4)将网络地址IP2、网络数据包的源端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(3-5)判断步骤(3-2)的哈希子表T2中行号V1的链表L1中是否存在网络源地址转换规则，若存在，则执行步骤(3-6)，若不存在，则执行步骤(3-9)；

(3-6)读取链表L1中的第一条网络源地址转换规则R1；

(3-7)判断网络源地址转换规则R1的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(3-8)；

(3-8)判断链表L1中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络源地址转换规则R1，并执行步骤(3-7)；若不存在，则执行步骤(3-9)；

(3-9)将网络地址IP2、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(3-10)判断步骤(3-2)的哈希子表T2中行号V2的链表L2中是否存在网络源地址转换规则，若存在，则执行步骤(3-11)，若不存在，则返回步骤(3-2-1)；

(3-11)读取链表L2中的第一条网络源地址转换规则R2；

(3-12)判断网络源地址转换规则R2的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配；若不分别同时对应，则执行步骤(3-13)；

(3-13)判断链表L2中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络源地址转换规则R2，并执行步骤(3-12)；若不存在，则返回步骤(3-2-1)。

本发明方法在通用平台上进行了实验，在采用本方法后，网络地址与网络地址转换规则匹配时间随着网络地址转换规则数目的增长呈基本不变趋势，算法复杂度为O(1)，可扩展性较好。当网络地址转换规则数目为1000条时，可以比Netfilter/IPTables组件的网络地址转换规则匹配算法减少98％的匹配时间，说明本发明达到了预期目的。

Claims (1)

1.一种网络地址与网络地址转换规则的匹配方法，其特征在于该方法包括以下步骤：

(1)将原始网络地址转换规则按照掩码长度和规则类型分类存放到32张网络源地址转换规则哈希子表和32张网络目的地址转换规则哈希子表中，每张哈希子表分别与网络地址掩码和原始网络地址转换规则的种类相对应；每张哈希子表具有65536行，每一行包含一个链表，用来存储网络地址转换规则；当存储原始网络地址转换规则时，左边为原始网络地址转换规则表，中间为各网络源地址转换规则哈希子表，右边为各网络目的地址转换规则哈希子表，每张哈希子表包括一个规则计数器，初始化时计数器值默认为0；将第2条规则存入掩码24的网络源地址转换规则哈希子表中，存储位置由根据该第2条规则的网络地址、网络端口号、网络传输协议号计算的哈希值来决定；哈希函数为微软托普利兹哈希函数的输出值取后16位，计算得到的哈希值在[0,65535]范围之中；当原始网络地址转换规则存入网络源地址转换规则哈希子表或网络目的地址转换规则哈希子表中时，将该哈希子表的计数器值加1；

(2)当网络数据包到来时，利用步骤(1)的存储信息，进行数据包网络地址与网络目的地址转换规则的匹配，具体过程如下：

(2-1)设定初始掩码值mask为32；

(2-2)将步骤(1)中的掩码值为mask的网络目的地址转换规则哈希子表记为哈希子表T1，对哈希子表T1的计数器值进行判断，若计数器值大于0，则执行步骤(2-3)，若计数器值小于或等于0，则执行步骤(2-2-1)；

(2-2-1)将掩码值mask减1；

(2-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(2-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络目的地址转换规则，执行步骤(3)；

(2-3)将掩码值mask和网络数据包目的网络地址进行按位与运算，得到按位与运算后的网络数据包目的网络地址，并记为网络地址IP1；

(2-4)将网络地址IP1、网络数据包的目的端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(2-5)判断步骤(2-2)的哈希子表T1中行号V1的链表L1中是否存在网络目的地址转换规则，若存在，则执行步骤(2-6)，若不存在，则执行步骤(2-9)；

(2-6)读取链表L1中的第一条网络目的地址转换规则R1；

(2-7)判断网络目的地址转换规则R1的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-8)；

(2-8)判断链表L1中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络目的地址转换规则R1，并执行步骤(2-7)；若不存在，则执行步骤(2-9)；

(2-9)将网络地址IP1、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(2-10)判断步骤(2-2)的哈希子表T1中行号V2的链表L2中是否存在网络目的地址转换规则，若存在，则执行步骤(2-11)，若不存在，则返回步骤(2-2-1)；

(2-11)读取链表L2中的第一条网络目的地址转换规则R2；

(2-12)判断网络目的地址转换规则R2的网络地址和端口号与网络地址IP1和网络数据包的目的端口号是否分别同时对应，若分别同时对应，则匹配到网络目的地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(2-13)；

(2-13)判断链表L2中是否存在下一条网络目的地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络目的地址转换规则R2，并执行步骤(2-12)；若不存在，则返回步骤(2-2-1)；

(3)利用步骤(1)的存储信息，进行网络地址与网络源地址转换规则的匹配，具体过程如下：

(3-1)设定初始掩码值mask为32；

(3-2)将步骤(1)中的掩码值为mask的网络源地址转换规则哈希子表记为哈希子表T2，对哈希子表T2的计数器值进行判断，若计数器值大于0，则执行步骤(3-3)，若计数器值小于或等于0，则执行步骤(3-2-1)；

(3-2-1)将掩码值mask减1；

(3-2-2)对掩码值mask进行判断，若掩码值mask大于0，则重复步骤(3-2)，若掩码值mask小于等于0，则未找到与网络数据包匹配的网络地址转换规则，结束；

(3-3)将掩码值mask和网络数据包源网络地址进行按位与运算，得到按位与运算后的网络数据包源网络地址，并记为网络地址IP2；

(3-4)将网络地址IP2、网络数据包的源端口号和传输协议号输入哈希函数，计算得到哈希值V1；

(3-5)判断步骤(3-2)的哈希子表T2中行号V1的链表L1中是否存在网络源地址转换规则，若存在，则执行步骤(3-6)，若不存在，则执行步骤(3-9)；

(3-6)读取链表L1中的第一条网络源地址转换规则R1；

(3-7)判断网络源地址转换规则R1的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配，结束；若不分别同时对应，则执行步骤(3-8)；

(3-8)判断链表L1中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L1中的下一条网络源地址转换规则R1，并执行步骤(3-7)；若不存在，则执行步骤(3-9)；

(3-9)将网络地址IP2、网络数据包的传输协议号输入哈希函数，计算得到哈希值V2；

(3-10)判断步骤(3-2)的哈希子表T2中行号V2的链表L2中是否存在网络源地址转换规则，若存在，则执行步骤(3-11)，若不存在，则返回步骤(3-2-1)；

(3-11)读取链表L2中的第一条网络源地址转换规则R2；

(3-12)判断网络源地址转换规则R2的网络地址和端口号与网络地址IP2和网络数据包的源端口号是否分别同时对应，若分别同时对应，则匹配到网络源地址转换规则，实现网络地址与网络地址转换规则的匹配；若不分别同时对应，则执行步骤(3-13)；

(3-13)判断链表L2中是否存在下一条网络源地址转换规则，若存在下一条规则，则读取链表L2中的下一条网络源地址转换规则R2，并执行步骤(3-12)；若不存在，则返回步骤(3-2-1)。

Images