CN113422846B - 一种基于网络地址转换协议的业务报文处理方法及设备 - Google Patents

一种基于网络地址转换协议的业务报文处理方法及设备 Download PDF

Info

Publication number
CN113422846B
CN113422846B CN202110697754.7A CN202110697754A CN113422846B CN 113422846 B CN113422846 B CN 113422846B CN 202110697754 A CN202110697754 A CN 202110697754A CN 113422846 B CN113422846 B CN 113422846B
Authority
CN
China
Prior art keywords
access control
control list
next hop
service message
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110697754.7A
Other languages
English (en)
Other versions
CN113422846A (zh
Inventor
蔡浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cisco Networking Technology Co Ltd
Original Assignee
Inspur Cisco Networking Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cisco Networking Technology Co Ltd filed Critical Inspur Cisco Networking Technology Co Ltd
Priority to CN202110697754.7A priority Critical patent/CN113422846B/zh
Publication of CN113422846A publication Critical patent/CN113422846A/zh
Application granted granted Critical
Publication of CN113422846B publication Critical patent/CN113422846B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于网络地址转换协议的业务报文处理方法及设备,用以解决现有的报文转换需要通过内部环回口,走两遍交换芯片流程,才能实现网络地址转换回环的技术问题。方法包括:通过交换机接收来自本地网络的主机和/或服务器的业务报文;根据第一访问控制列表规则,对业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,以及根据第二访问控制列表规则,对业务报文进行目的地址转换,得到对应的下一跳表索引;根据第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,实现业务报文的转发。本申请在访问控制列表的若干个块中,并行查询访问控制列表规则,从而同时进行源地址转换和目的地址转换。

Description

一种基于网络地址转换协议的业务报文处理方法及设备
技术领域
本申请涉及网络通信技术领域,尤其涉及一种基于网络地址转换协议的业务报文处理方法及设备。
背景技术
网络地址转换(Network Address Translation,NAT)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。当局域网内部的主机分配到内部地址(内部网络或主机的IP地址),但没有分配公网地址的情况下,使用NAT将本地私有地址转换成公网地址(在因特网上全球唯一的IP地址),与因特网上的主机进行通信。NAT能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
源地址转换(SourceNetwork Address Translation,SNAT)是局域网访问因特网时,对报文的源地址进行转换。目的地址转换(Destination Network AddressTranslation,DNAT)是因特网访问局域网时,对报文的目的地址进行转换。
目前,三层交换机上传统的NAT功能需要借助于交换芯片的NAT表项来实现。对于NAT回环来说,需要报文在三层交换机中同时走SNAT和DNAT流程,但是NAT表项资源通常较少,交换芯片中NAT表项流程只能走SNAT或DNAT流程中的一个。
在现有技术中,实现NAT回环需要单独对本地网络之间通信的报文做特殊处理,将其导向内部环回口。在NAT表项做SNAT之后,转发到一个内部环回口,再走一遍NAT表项做DNAT,此时报文需要走两遍交换芯片流程,增加了报文与交换芯片其他功能之间的耦合性。
发明内容
本申请实施例提供了一种基于网络地址转换协议的业务报文处理方法及设备,用以解决现有的报文转换需要通过内部环回口,走两遍交换芯片流程,才能实现网络地址转换回环的技术问题。
一方面,本申请实施例提供了一种基于网络地址转换协议的业务报文处理方法,包括:通过交换机接收来自本地网络的主机和/或服务器的业务报文;根据第一访问控制列表规则,对所述业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,以及根据第二访问控制列表规则,对所述业务报文进行目的地址转换,得到对应的下一跳表索引;根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,实现所述业务报文的转发。
在本申请的一种实现方式中,根据第一访问控制列表规则,对所述业务报文进行源地址转换,具体包括:根据所述业务报文的源地址,查询源地址转换的访问控制列表表项,确定第一访问控制列表规则;根据所述第一访问控制列表规则对应的业务报文修改表条目,对所述业务报文的源地址和源端口号进行转换。
在本申请的一种实现方式中,根据第二访问控制列表规则,对所述业务报文进行目的地址转换,具体包括:根据所述业务报文的目的地址和目的端口号,查询目的地址转换的访问控制列表表项,确定第二访问控制列表规则;根据所述第二访问控制列表规则对应的业务报文修改表条目,对所述业务报文的目的地址和目的端口号进行转换。
在本申请的一种实现方式中,根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口之前,还包括:根据所述业务报文的目的地址查询路由表,确定路由信息;根据所述路由信息对应的下一跳表索引,确定下一跳地址对应的出口。
在本申请的一种实现方式中,根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,具体包括:基于所述第二访问控制列表规则的优先级高于所述路由表的优先级,将所述第二访问控制列表规则对应的下一跳表索引覆盖所述路由信息对应的下一跳表索引;根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口。
在本申请的一种实现方式中,根据第一访问控制列表规则,对源地址和源端口号进行转换之前,还包括:根据所述业务报文的源地址或者目的地址,在访问控制列表的若干个块中并行查询确定对应的访问控制列表规则。
在本申请的一种实现方式中,根据所述第二访问控制列表规则确定的所述下一跳地址,与根据所述第二访问控制列表规则转换后的所述业务报文的目的地址一致。
在本申请的一种实现方式中,还包括:通过交换芯片,扩展访问控制列表资源;通过扩展后的访问控制列表资源,匹配业务报文的访问控制列表规则。
在本申请的一种实现方式中,还包括:在所述业务报文只进行源地址转换时,根据所述业务报文的目的地址查询路由表,确定路由信息;根据所述路由信息对应的下一跳表索引,确定所述源地址转换的下一跳地址;根据所述业务报文的源地址,查询所述源地址转换的访问控制列表表项,确定访问控制列表规则;根据所述访问控制列表规则,对所述业务报文的源地址和源端口号进行转换。
另一方面,本申请实施例还提供了一种基于网络地址转换协议的业务报文处理设备,处理设备包括:处理器;及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述的一种基于网络地址转换协议的业务报文处理方法。
本申请实施例提供了一种基于网络地址转换协议的业务报文处理方法及设备,至少包括以下有益效果:通过交换机接收业务报文,从而根据业务报文的源地址或者目的地址,在访问控制列表的若干个块中并行查询,将源地址转换和目的地址转换放在不同的访问控制列表的块中,确定对应的访问控制列表规则;然后根据源地址转换对应的第一访问控制列表规则,对业务报文的源地址和源端口号进行转换,从而实现源地址转换;根据目的地址对应的第二访问控制列表规则,对业务报文的目的地址和目的端口号进行转换,从而实现目的地址转换;由于第二访问控制列表的优先级高于路由表的优先级,将第二访问控制列表规则对应的下一跳表索引覆盖路由信息对应的下一跳表索引,确定下一跳地址,从而实现业务报文的转发。并且,本申请通过交换芯片,扩展了访问控制列表资源,从而提升了对网络地址转换的支持能力,方便新的业务报文匹配对应的访问控制列表规则。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种基于网络地址转换协议的业务报文处理方法流程图;
图2为本申请实施例提供的另一种基于网络地址转换协议的业务报文处理方法流程图;
图3为本申请实施例提供的一种主机和服务器通过交换机通信时的报文转换图;
图4为本申请实施例提供的一种基于网络地址转换协议的业务报文处理设备内部结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种基于网络地址转换协议的业务报文处理方法及设备,通过交换机接收业务报文,基于访问控制列表的并行查询能力,确定对应的访问控制列表规则,然后根据对应的访问控制列表规则,同时进行源地址转换和目的地址转换,实现网络地址转换回环,用以解决现有的报文转换需要通过内部环回口,走两遍交换芯片流程,才能实现网络地址转换回环的技术问题。
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
图1为本申请实施例提供的一种基于网络地址转换协议的业务报文处理方法流程图。如图1所示,本申请实施例提供的移动终端单手操作的方法主要包括以下步骤:
S101、通过交换机接收来自本地网络的主机和/或服务器的业务报文。
本申请通过交换机,可以同时接收来自本地网络的主机和服务器的业务报文,也可以分别接收来自主机、服务器的业务报文,以便根据业务报文进行后续操作。
具体地,本申请通过交换机接收主机和/或服务器的业务报文,不仅可以在本地网络和外部网络通信时有效的保护本地网络的主机和服务器,还可以在本地网络中的主机和服务器进行通信时,通过公网地址进行互访,从而在保护本地主机和服务器的基础上,实现网络地址转换回环。
在本申请的一个实施例中,服务器根据业务报文的源地址或者目的地址,在访问控制列表的若干个块中并行查询,确定出对应的访问控制列表规则,从而根据访问控制列表规则进行网络地址转换。
具体地,访问控制列表中包含若干个块,每个块中包含若干个访问控制列表规则。在接收到业务报文后,服务器在访问控制列表的若干个块中并行查询,将源地址转换和目的地址转换放在不同的访问控制列表的块中,确定对应的访问控制列表规则。并且,在业务报文同时确定出多个块的访问控制列表规则时,这些访问控制列表规则会对当前业务报文的处理进行叠加,即多个访问控制列表规则对当前业务报文并行处理。本申请通过访问控制列表进行业务报文的转换,可以防止真实的内网地址被暴露,有效地控制用户对网络的访问,从而最大程度的保障网络的安全。
S102、根据第一访问控制列表规则,对所述业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,以及根据第二访问控制列表规则,对所述业务报文进行目的地址转换,得到对应的下一跳表索引。
服务器根据源地址转换对应的第一访问控制列表规则,对业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,并且,服务器根据目的地址转换对应的第二访问控制列表规则,对业务报文进行目的地址转换,得到对应的下一跳表索引。
具体地,本申请基于访问控制列表的并行查询能力,既可以同时对业务报文进行源地址转换和目的地址转换,又可以分别对业务报文进行源地址转换或者目的地址转换,满足报文转换的实际需求。
在本申请的一个实施例中,服务器根据业务报文的源地址,查询源地址转换的访问控制列表表项,从而确定出源地址转换对应的第一访问控制列表规则,然后根据第一访问控制列表规则对应的业务报文修改表的条目,对业务报文的源地址和源端口号进行转换,从而完成源地址转换。
在本申请的一个实施例中,服务器根据业务报文的目的地址和目的端口号,查询目的地址转换的访问控制列表表项,从而确定出目的地址转换对应的第二访问控制列表规则,然后根据第二访问控制列表规则对应的业务报文修改表的条目,对业务报文的目的地址和目的端口号进行转换,从而完成目的地址转换。
在本申请的一个实施例中,服务器根据第二访问控制列表规则对应的下一跳表索引确定出的下一跳地址,与服务器根据第二访问控制列表规则转换后的业务报文的目的地址一致。
在本申请的一个实施例中,在进行源地址转换时,服务器会根据业务报文的目的地址查询路由表,确定源地址转换的路由信息,从而根据路由信息对应的下一跳表索引,确定出下一跳地址对应的出口信息。
在本申请的一个实施例中,在进行目的地址转换时,服务器会根据第二访问控制列表规则对应的下一跳表索引,确定出下一跳地址对应的出口信息。
图2为本申请实施例提供的另一种基于网络地址转换协议的业务报文处理方法流程图。如图2所示,在进行SNAT源地址转换时,服务器会根据业务报文的目的地址查询路由表,确定业务报文对应的路由信息,然后根据路由信息指示的Next Hop下一跳表索引,找到指示源地址转换出口信息的下一条地址。
服务器基于访问控制列表的并行查询能力,确定出源地址转换对应的ACL Block1for SNAT第一访问控制列表规则,和目的地址转换对应的ACL Block2for DNAT第二访问控制列表规则。
服务器根据第一访问控制列表规则,找到对应的业务报文修改表,然后根据第一访问控制列表规则对应的业务报文修改表的条目,对业务报文的源地址和源端口号进行转换,从而完成SNAT源地址转换。
在进行DNAT目的地址转换时,服务器会根据目的地址转换对应的ACL Block2 forDNAT第二访问控制列表规则指示的Next Hop下一跳表索引,找到指示目的地址转换出口信息的下一条地址。并且,服务器还根据ACL Block2 for DNAT第二访问控制列表规则,找到对应的业务报文修改表,然后根据第二访问控制列表规则对应的业务报文修改表的条目,对业务报文的目的地址和目的端口号进行转换,从而完成DNAT目的地址转换。
S103、根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,实现所述业务报文的转发。
服务器根据第二访问控制列表规则对应的下一跳索引,确定出下一跳地址对应的出口信息,从而实现业务报文的转发。
在本申请的一个实施例中,由于第二访问控制列表规则的优先级高于路由表的优先级,所以服务器会将第二访问控制列表规则对应的下一跳表索引覆盖路由表对应的下一跳表索引,从而服务器根据第二访问控制列表规则对应的下一跳表索引,确定出下一跳地址对应的出口信息。
如图2所示,在NAT网络地址转换回环中,由于ACL Block2 for DNAT第二访问控制列表规则的优先级高于路由表的优先级,所以将ACL Block2 for DNAT第二访问控制列表规则指示的Next Hop下一跳表索引,覆盖路由表指示的Next Hop下一跳表索引,最终服务器会根据ACL Block2 for DNAT第二访问控制列表规则指示的Next Hop下一跳表索引,确定出网络地址转换回环指示出口信息的下一跳地址。
在本申请的一个实施例中,服务器通过交换芯片,扩展了访问控制列表资源,通过扩展后的访问控制列表资源,方便新的业务报文匹配对应的访问控制列表规则,从而提升了对网络地址转换的支持能力。
本申请通过交换芯片的并向查询能力,确定出源地址转换和目的地址转换分别对应的访问控制列表规则,去除了源地址转换和目的地址转换之间的耦合性,从而使源地址转换和目的地址转换可以同时进行,做到互不影响,实现了网络地址转换回环,完成了业务报文的转发。
在本申请的一个实施例中,当业务报文只进行源地址转换时,服务器会根据当前业务报文的目的地址查询路由表,确定出路由信息,从而根据路由信息对应的下一跳表索引,确定出源地址转换的下一跳地址对应的出口信息。并且,服务器会根据业务报文的源地址,查询源地址转换的访问控制列表表项,确定出当前业务报文对应的访问控制列表规则,从而根据访问控制列表规则,对当前业务报文的源地址和源端口号进行转换,进而完成源地址转换。
在本申请的一个实施例中,当业务报文只进行目的地址转换时,服务器会根据业务报文的目的地址和目的端口号,查询目的地址转换的访问控制列表表项,确定出当前业务报文对应的访问控制列表规则,从而根据目的地址转换对应的访问控制列表规则,对当前业务报文的目的地址和目的端口号进行转换,进而完成目的地址转换。
图3为本申请实施例提供的一种主机和服务器通过交换机通信时的报文转换图。如图3所示,图中SNAT和DNAT虚框为本地网络中的主机192.168.1.2和服务器192.168.1.3通过交换机与因特网中的服务器1.1.1.3通信时的报文转换情况。对因特网中的服务器1.1.1.3来说,本地主机192.168.1.2和服务器192.168.1.3的IP地址均被屏蔽,服务器1.1.1.3只能看到主机和服务器通过NAT网络地址转换后的地址20.1.1.1。
在SNAT源地址转换过程中,主机192.168.1.2和服务器192.168.1.3都被转换为20.1.1.1,主机和服务器的源端口号不一样。在DNAT目的地址转换过程中,目的地址都是20.1.1.1,服务器根据目的端口号,将目的地址20.1.1.1分别转换为192.168.1.2和192.168.1.3。
如图3所示,图中NAT回环虚框为本地网络中的主机192.168.1.2和服务器192.168.1.3通过交换机进行通信时的报文转换情况。对于本地主机192.168.1.2来说,本地服务器192.168.1.3的IP地址被屏蔽了,本地主机192.168.1.2只能看到通过NAT网络地址转换后的本地服务器的地址20.1.1.1。对于本地服务器192.168.1.3来说,本地主机192.168.1.2的IP地址被屏蔽了,本地服务器192.168.1.3只能看到通过NAT网络地址转换后的本地主机的地址20.1.1.1。
需要说明的是,图2所示的方法与图1所示的方法本质相同,因此,图2中未详述的部分,具体可参照图1中的相关描述,本申请在此不再赘述。
本申请实施例提供了一种基于网络地址转换协议的业务报文处理方法及设备,通过交换机接收业务报文,从而根据业务报文的源地址或者目的地址,在访问控制列表的若干个块中并行查询,将源地址转换和目的地址转换放在不同的访问控制列表的块中,确定对应的访问控制列表规则;然后根据源地址转换对应的第一访问控制列表规则,对业务报文的源地址和源端口号进行转换,从而实现源地址转换;根据目的地址对应的第二访问控制列表规则,对业务报文的目的地址和目的端口号进行转换,从而实现目的地址转换;由于第二访问控制列表的优先级高于路由表的优先级,将第二访问控制列表规则对应的下一跳表索引覆盖路由信息对应的下一跳表索引,确定下一跳地址,从而实现业务报文的转发。并且,本申请通过交换芯片,扩展了访问控制列表资源,从而提升了对网络地址转换的支持能力,方便新的业务报文匹配对应的访问控制列表规则。
以上为本申请提出的方法实施例。基于同样的发明构思,本申请实施例还提供了一种基于网络地址转换协议的业务报文处理设备,其结构如图4所示。
图4为本申请实施例提供的一种基于网络地址转换协议的业务报文处理设备内部结构示意图。如图4所示,处理设备包括处理器401、及存储器402,其上存储有可执行代码,当可执行代码被执行时,使得处理器401执行如上的一种基于网络地址转换协议的业务报文处理方法。
在本申请的一个实施例中,处理器401用于通过交换机接收来自本地网络的主机和/或服务器的业务报文;以及用于根据第一访问控制列表规则,对业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,以及根据第二访问控制列表规则,对业务报文进行目的地址转换,得到对应的下一跳表索引;还用于根据第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,实现业务报文的转发。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (6)

1.一种基于网络地址转换协议的业务报文处理方法,其特征在于,所述方法包括:
通过交换机接收来自本地网络的主机和/或服务器的业务报文;
根据第一访问控制列表规则,对所述业务报文进行源地址转换,通过路由表得到对应的下一跳表索引,以及根据第二访问控制列表规则,对所述业务报文进行目的地址转换,得到对应的下一跳表索引;
根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,实现所述业务报文的转发;
根据第一访问控制列表规则,对所述业务报文进行源地址转换,具体包括:
根据所述业务报文的源地址,查询源地址转换的访问控制列表表项,确定第一访问控制列表规则;
根据所述第一访问控制列表规则对应的业务报文修改表条目,对所述业务报文的源地址和源端口号进行转换;
根据第二访问控制列表规则,对所述业务报文进行目的地址转换,具体包括:
根据所述业务报文的目的地址和目的端口号,查询目的地址转换的访问控制列表表项,确定第二访问控制列表规则;
根据所述第二访问控制列表规则对应的业务报文修改表条目,对所述业务报文的目的地址和目的端口号进行转换;
根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口,具体包括:
基于所述第二访问控制列表规则的优先级高于所述路由表的优先级,将所述第二访问控制列表规则对应的下一跳表索引覆盖路由信息对应的下一跳表索引;
根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口;
在所述业务报文只进行源地址转换时,根据所述业务报文的目的地址查询路由表,确定路由信息;
根据所述路由信息对应的下一跳表索引,确定所述源地址转换的下一跳地址;
根据所述业务报文的源地址,查询所述源地址转换的访问控制列表表项,确定访问控制列表规则;
根据所述访问控制列表规则,对所述业务报文的源地址和源端口号进行转换。
2.根据权利要求1所述的一种基于网络地址转换协议的业务报文处理方法,其特征在于,根据所述第二访问控制列表规则对应的下一跳表索引,确定下一跳地址对应的出口之前,所述方法还包括:
根据所述业务报文的目的地址查询路由表,确定路由信息;
根据所述路由信息对应的下一跳表索引,确定下一跳地址对应的出口。
3.根据权利要求1所述的一种基于网络地址转换协议的业务报文处理方法,其特征在于,根据第一访问控制列表规则,对源地址和源端口号进行转换之前,所述方法还包括:
根据所述业务报文的源地址或者目的地址,在访问控制列表的若干个块中并行查询确定对应的访问控制列表规则。
4.根据权利要求1所述的一种基于网络地址转换协议的业务报文处理方法,其特征在于,根据所述第二访问控制列表规则确定的所述下一跳地址,与根据所述第二访问控制列表规则转换后的所述业务报文的目的地址一致。
5.根据权利要求1所述的一种基于网络地址转换协议的业务报文处理方法,其特征在于,所述方法还包括:
通过交换芯片,扩展访问控制列表资源;
通过扩展后的访问控制列表资源,匹配业务报文的访问控制列表规则。
6.一种基于网络地址转换协议的业务报文处理设备,其特征在于,所述处理设备包括:
处理器;
及存储器,其上存储有可执行代码,当所述可执行代码被执行时,使得所述处理器执行如权利要求1-5任一项所述的一种基于网络地址转换协议的业务报文处理方法。
CN202110697754.7A 2021-06-23 2021-06-23 一种基于网络地址转换协议的业务报文处理方法及设备 Active CN113422846B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110697754.7A CN113422846B (zh) 2021-06-23 2021-06-23 一种基于网络地址转换协议的业务报文处理方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110697754.7A CN113422846B (zh) 2021-06-23 2021-06-23 一种基于网络地址转换协议的业务报文处理方法及设备

Publications (2)

Publication Number Publication Date
CN113422846A CN113422846A (zh) 2021-09-21
CN113422846B true CN113422846B (zh) 2022-12-23

Family

ID=77717517

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110697754.7A Active CN113422846B (zh) 2021-06-23 2021-06-23 一种基于网络地址转换协议的业务报文处理方法及设备

Country Status (1)

Country Link
CN (1) CN113422846B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124704B (zh) * 2021-11-19 2024-01-23 北京天融信网络安全技术有限公司 路由优化方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111031020A (zh) * 2019-12-04 2020-04-17 紫光云(南京)数字技术有限公司 一种基于端口映射的管理网络和租户网络通信的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7333430B2 (en) * 2005-07-06 2008-02-19 Fortinet, Inc. Systems and methods for passing network traffic data
CN101060493B (zh) * 2007-05-14 2011-10-26 中兴通讯股份有限公司 一种私网内用户通过域名访问私网内服务器的方法
CN105072038B (zh) * 2015-08-28 2018-12-21 华讯方舟科技有限公司 一种数据报文转发方法及装置
CN112671946B (zh) * 2020-12-25 2023-04-25 中盈优创资讯科技有限公司 一种基于sdn的地址转换实现方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111031020A (zh) * 2019-12-04 2020-04-17 紫光云(南京)数字技术有限公司 一种基于端口映射的管理网络和租户网络通信的方法

Also Published As

Publication number Publication date
CN113422846A (zh) 2021-09-21

Similar Documents

Publication Publication Date Title
JP5132059B2 (ja) パケット中継方法及びパケット中継システム
US7177943B1 (en) System and method for processing packets in a multi-processor environment
JP3531367B2 (ja) トランスレータ
JP5335886B2 (ja) ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置
CN1856163B (zh) 一种具有会话边界控制器的通信系统及其传输信令的方法
CN102025658B (zh) 身份标识网络与互联网互通的实现方法和系统
JP5506932B2 (ja) 新たなネットワークとインターネットとの相互通信の実現方法、システム及び通信端
TW201220791A (en) Enhancing DS-Lite with private IPv4 reachability
CN110233834B (zh) 网络系统、攻击报文的拦截方法、装置和设备
CN113472917B (zh) 一种数据报文的网络地址转换方法、设备及介质
US20180091471A1 (en) Client Address Based Forwarding of Dynamic Host Configuration Protocol Response Packets
CN107809386B (zh) Ip地址转换方法、路由设备和通信系统
CN109474713B (zh) 报文转发方法和装置
CN113271255A (zh) 一种网络地址转换回环的方法、装置
CN113422846B (zh) 一种基于网络地址转换协议的业务报文处理方法及设备
JP2014150364A (ja) アドレス生成装置
US7281059B2 (en) Method for using a unique IP address in a private IP address domain
CN107070790A (zh) 一种路由学习方法及路由设备
CN105100300B (zh) 网络地址转换nat的方法及装置
CN100479457C (zh) 一种实现虚拟私有网络中数据传输的方法
CN104917687B (zh) 报文分流方法及装置
JP4383216B2 (ja) 通信端末
CN116232972A (zh) 一种基于业务或内容的代理路由器
JP4191180B2 (ja) 通信支援装置、システム、通信方法及びコンピュータプログラム
JP3251220B2 (ja) インターネットとイントラネットのアドレス重複時の通信方式

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant