CN114793221B - Nat关联表的处理方法及装置 - Google Patents

Abstract

本申请提供一种NAT关联表的处理方法及装置，该方法包括：向第二网络设备发送NAT配置策略，以使得第二网络设备生成第二NAT转换关系表；接收客户端发送的第一FTP Port请求报文；根据第一源地址以及第一源端口标识，获取第一NAT转换关系表项；向服务端发送第二FTP Port请求报文；该第二NAT转换关系表用于当第二网络设备接收到第一FTP Port响应报文后，根据第二NAT转换关系表对包括的第一目的地址进行转换，且未对第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向客户端发送第二FTP Port响应报文，以使得客户端与服务端建立数据通道。

Description

NAT关联表的处理方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种网络地址转换(英文：Network AddressTranslation，简称：NAT)关联表的处理方法及装置。

背景技术

目前，为了提高网络设备的利用率以及可靠性，通常搭建双主形式组网来实现网络传输。利用hash算法或路由分流方式，将业务流分担至两台网络设备中。当其中一台网络设备故障时，可将该故障网络设备承载的业务流迁移至另一网络设备处，实现网络设备的冗余备份，提高网络的可靠性。同时，当两台网络设备同时处理业务流时，可相互分担业务流压力，提高网络设备的利用率。

如前所述，为了实现两台网络设备同时工作并实现相互之间的冗余备份的目的，需要两台网络设备间互相备份一些处理业务流的必备表项，例如，会话表项、NAT关联表项等。并且，当存在非对称业务流(即客户端发起的请求报文与服务器回应的响应报文被上送至不同的网络设备处理)时，网络设备能够正常处理。

如图1所示，图1为现有双主形式组网示意图。在图1中，设备(Device)A、设备B形成双主组网。sw1为上行交换机，sw2为下行交换机。当客户端发送的业务流到达sw1时，由sw1交换机将业务流哈希(hash)至设备A或设备B。业务流经过设备A或设备B处理后，转发至下行sw2。sw2向服务端转发业务流。服务端接收客户端发送的业务流后响应业务流，由sw2交换机将回程业务流哈希至设备A或设备B。业务流经过设备A或设备B处理后发送至sw1上行设备。

防火墙设备通常应用在网络出口位置(例如，设备A、设备B)并执行NAT业务，业务流从任意一个方向到达双主组网中时，网络设备均能够根据NAT转换策略或NAT关联表项进行IP地址的转换，因此，需要双主组网中的两台网络设备互相备份NAT策略配置以及NAT关联表项。

在现有双主形式组网中，常常会出现非对称性连接，也即是控制通道由设备A建立，但是，数据通道由设备B建立。若设备A建立控制通道后，未将NAT策略配置以及NAT关联表项(英文：Session Relation Table，简称：SRT)备份至设备B，将导致设备B接收到业务流时，无法对业务流进行对应的NAT地址转换，出现业务丢包的情况。

为了解决非对称连接备份不及时导致丢包的问题，可通过开启透传业务报文的方式解决。当报文到达网络设备后，若未找到对应的NAT策略以及NAT关联表项，则网络设备将在报文内携带透传标记，并将携带透传标记的报文通过双机集群高可靠性(英文：HighAvailable，简称：HA)链路，透传至另一台网络设备处理，如此，另一台网络设备可找到对应的NAT策略以及NAT关联表项并进行处理。

但是，前述方案仅可对传输控制协议(英文：Transmission Control Protocol，简称：TCP)协议的三次握手中同步(SYN chronization)报文实现透传处理。对于文件传输协议(英文：File Transfer Protocol，简称：FTP)等应用协议的数据报文，前述方案无法进行透传处理，并且，前述方案中的透传处理消耗网络设备资源，占用HA链路带宽，给网络设备的稳定性带来风险。

发明内容

有鉴于此，本申请提供了一种NAT关联表的处理方法及装置，用以解决现有开启透传业务报文的方式无法对数据报文实现，且透传处理消耗网络设备资源、占用HA链路带宽，给网络设备的稳定性带来风险的问题。

第一方面，本申请提供了一种NAT关联表的处理方法，所述方法应用于第一网络设备，所述第一网络设备处于双主形式组网内，所述双主形式组网还包括第二网络设备，所述第一网络设备内已存储第一NAT转换关系表，所述方法包括：

向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识；

根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

向服务端发送第二FTP Port请求报文，所述第二FTP Port请求报文包括所述转换后的第一源地址以及所述第一源端口标识；

其中，所述第二NAT转换关系表用于当所述第二网络设备接收到所述服务端发送的第一FTP Port响应报文后，根据所述第二NAT转换关系表对所述第一FTP Port响应报文包括的第一目的地址进行转换，且未对所述第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向所述客户端发送所述第二FTP Port响应报文，所述第二FTP Port响应报文包括转换后的第一目的地址，以使得所述客户端与所述服务端建立数据通道。

第二方面，本申请提供了一种NAT关联表的处理装置，所述装置应用于第一网络设备，所述第一网络设备处于双主形式组网内，所述双主形式组网还包括第二网络设备，所述第一网络设备内已存储第一NAT转换关系表，所述装置包括：

发送单元，用于向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

接收单元，用于接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识；

获取单元，用于根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

所述发送单元还用于，向服务端发送第二FTP Port请求报文，所述第二FTP Port请求报文包括所述转换后的第一源地址以及所述第一源端口标识；

其中，所述第二NAT转换关系表用于当所述第二网络设备接收到所述服务端发送的第一FTP Port响应报文后，根据所述第二NAT转换关系表对所述第一FTP Port响应报文包括的第一目的地址进行转换，且未对所述第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向所述客户端发送所述第二FTP Port响应报文，所述第二FTP Port响应报文包括转换后的第一目的地址，以使得所述客户端与所述服务端建立数据通道。

第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

因此，通过应用本申请提供的NAT关联表的处理方法及装置，第一网络设备向第二网络设备发送NAT配置策略，以使得第二网络设备根据NAT配置策略生成并存储第二NAT转换关系表；第一网络设备接收客户端发送的第一FTP Port请求报文，该第一FTP Port请求报文包括第一源地址以及第一源端口标识；根据第一源地址以及第一源端口标识，第一网络设备查找第一NAT转换关系表，并获取与第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，该第一NAT转换关系表项包括第一源地址、第一源端口标识、转换后的第一源地址以及第一源端口标识；第一网络设备向服务端发送第二FTP Port请求报文，该第二FTP Port请求报文包括转换后的第一源地址以及第一源端口标识；

其中，该第二NAT转换关系表用于当第二网络设备接收到服务端发送的第一FTPPort响应报文后，根据第二NAT转换关系表对第一FTP Port响应报文包括的第一目的地址进行转换，且未对第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTPPort响应报文，并向客户端发送第二FTP Port响应报文，该第二FTP Port响应报文包括转换后的第一目的地址，以使得客户端与服务端建立数据通道。

如此，通过下发NAT配置策略，提前规划地址转换的映射关系。当双主形式组网内任一台网络设备接收到服务端发送的响应报文后，可直接根据映射关系进行地址转换。解决了现有开启透传业务报文的方式无法对数据报文实现，且透传处理消耗网络设备资源、占用HA链路带宽，给网络设备的稳定性带来风险的问题。实现了无需对响应报文进行透传处理，提高了网络设备的稳定性，对于双主形式组网支持的更加全面。

附图说明

图1为现有双主形式组网示意图；

图2为本申请实施例提供的NAT关联表的处理方法的流程图；

图3为本申请实施例提供的NAT关联表的处理装置结构图；

图4为本申请实施例提供的网络设备硬件结构体。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请实施例提供的NAT关联表的处理方法进行详细地说明。参见图2，图2为本申请实施例提供的NAT关联表的处理方法的流程图。该方法应用于网络设备。本申请实施例提供的NAT关联表的处理方法可包括如下所示步骤。

步骤210、向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

具体地，第一网络设备处于双主形式组网内，该双主形式组网内还包括第二网络设备、第一交换机、第二交换机。第一网络设备与第二网络设备之间已建立HA链路。第一交换机也可称之为上行交换机，其一端与客户端连接，另一端分别与第一网络设备、第二网络设备连接。第二交换机也可称之为下行交换机，其一端与服务端连接，另一端分别与第一网络设备、第二网络设备连接。

在执行本步骤之前，还包括第一网络设备接收配置指令，并根据配置指令在本地规划多个地址池、以及向第二网络设备同步NAT配置策略，第二网络设备也在本地规划多个地址池的过程。

进一步地，第一网络设备接收配置指令，该配置指令可为用户通过命令行的形式输入，或者，由控制器通过NETCONF协议下发配置指令。无论采用上述哪种方式下发配置指令，该配置指令包括NAT配置策略，上述NAT配置策略包括第一子配置策略以及第二子配置策略。

当然，若在双主形式组网内，第二网络设备已接收到配置指令，并根据配置指令在本地规划多个地址池，此时，第二网络设备还可通过HA链路，向第一网络设备发送NAT配置策略。反之，若第一网络设备已接收到配置指令，并根据配置指令在本地规划多个地址池，此时，第一网络设备还可通过HA链路，向第二网络设备发送NAT配置策略。

需要说明的是，NAT配置策略也即是地址转换策略，具体包括过滤条件、映射关系等。其中，过滤条件也即是转换前的源/目的地址、源/目的端口号标识、协议类型等。

第一网络设备接收配置指令，从配置指令中获取NAT配置策略以及第一子配置策略、第二子配置策略；

根据第一子配置策略，第一网络设备规划第一地址池(也可称之为父地址池)，该第一地址池包括转换后的地址、转换后的端口标识。第一地址池中包括的地址、端口标识为网络设备接收到客户端与服务端建立控制通道的往来报文时，对往来报文进行NAT转换时使用。

第一网络设备建立转换前的地址、转换前的端口标识与转换后的地址、转换后的端口标识之间的映射关系，并生成第三NAT转换关系表(也可称为NAT关联表，以第三NAT转换关系表为例进行说明，该NAT转换关系表也可为第一NAT转换关系表、第二NAT转换关系表等等)，该第三NAT转换关系表用于网络设备接收到建立控制通道的来往报文时，利用第一地址池中的地址、端口标识对源/目的地址、源/目的端口标识进行转换。

可以理解的是，第一地址池中的地址、端口标识均为公网地址、公网端口标识。并且，在第一子配置策略中，已规划出某一公网地址对应的一个或者多个私网地址，某一公网端口标识对应的一个或者多个私网端口标识。

例如，公网地址、公网端口标识为：211.1.1.254:1026与私网地址、私网端口标识为：111.1.1.100:56978对应。

在本申请实施例中，第一网络设备生成的第三NAT转换关系表包括公网地址：211.1.1.254、公网端口标识：1026；私网地址111.1.1.100、私网端口标识56978。

根据第二子配置策略，第一网络设备规划第二地址池(也可称之为子地址池)，该第二地址池包括转换后的地址、端口标识。第二地址池中包括的地址、端口标识为网络设备接收到客户端与服务端建立数据通道的往来报文时，对往来报文进行NAT转换时使用。

第一网络设备建立转换前的地址、端口标识与转换后的地址、端口标识之间的映射关系，并生成第一NAT转换关系表(以第一NAT转换关系表为例进行说明，该NAT转换关系表也可为第二NAT转换关系表、第三NAT转换关系表等等)，该第一NAT转换关系表用于网络设备接收到建立数据通道的来往报文时，利用第二地址池中的地址对源/目的地址进行转换，且未对端口标识进行转换，也即是转换前后的端口标识相同。

可以理解的是，第二地址池中的地址为公网地址，并且，在第二子配置策略中，已规划出某一公网地址对应的一个或者多个私网地址。

例如，公网地址、端口标识为：211.1.1.253:27327与私网地址、端口标识为：111.1.1.100:27327对应。

在本申请实施例中，第一网络设备生成的第一NAT转换关系表包括公网地址：211.1.1.253、端口标识：27327；私网地址111.1.1.100、端口标识27327。

需要说明的是，第一网络设备根据转换前后地址、端口的映射关系生成的第一NAT转换关系表中，端口标识不进行转换，私网地址与公网地址对应相同的端口标识。

更进一步地，第二地址池归属于第一地址池，且第一地址池中的地址数量与第二地址池中的地址数量相等。第一地址池包括的转换后的地址、转换后的端口标识为复用地址、复用端口。

在本步骤中，第一网络设备规划第一地址池、第二地址池后，通过HA链路向第二网络设备发送NAT配置策略，以使得第二网络设备根据NAT配置策略生成并存储第二NAT转换关系表(以第二NAT转换关系表为例进行说明，该NAT转换关系表也可为第一NAT转换关系表、第三NAT转换关系表等等)。

可以理解的是，第二网络设备接收到NAT配置策略后，也可按照前述方式，根据NAT配置策略规划多个地址池、建立多个转换前后的地址、端口映射关系以及多个NAT转换关系表。在此，将第二网络设备根据NAT配置策略生成的多个NAT转换关系表统称为第二NAT转换关系表。

第二NAT转换关系表包括用于对建立控制通道的往来报文进行NAT转换的表项以及用于对建立数据通道的往来报文进行NAT转换的表项。

步骤220、接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识；

具体地，根据步骤210的描述，第一网络设备生成对应的NAT转换关系表后，第一网络设备可对接收到的客户端与服务端之间用于建立控制通道、数据通道的往来报文执行地址、端口转换。

进一步地，在本申请实施例中，客户端与服务端之间已建立控制通道，具体过程在后续实施例中进行描述，在此不再复述。

客户端与服务端建立控制通道后，客户端需与服务端建立数据通道。此时，客户端生成第一FTP Port(FTP主动方式)请求报文，该第一FTP Port请求报文包括第一源地址(例如，111.1.1.100)以及第一源端口标识(例如，27327)。源地址、源端口标识携带在第一FTPPort请求报文包括的载荷部分。

第一FTP Port请求报文还包括协议类型，该协议类型用于使第一网络设备确定该请求报文的类型，也即是，用于建立控制通道类型或是用于建立数据通道类型。

在本申请实施例中，协议类型指示第一FTP Port请求报文为用于建立数据通道类型。

客户端向第一交换机发送第一FTP Port请求报文。第一交换机接收到第一FTPPort请求报文后，利用五元组信息，可将第一FTP Port请求报文哈希至双主形式组网内的任一台网络设备中。在本申请实施例中，第一交换机向第一网络设备发送第一FTP Port请求报文。

第一网络设备接收到第一FTP Port请求报文后，从中获取协议类型、第一源地址以及第一源端口标识。

步骤230、根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

具体地，根据步骤220的描述，第一网络设备获取到协议类型后，根据协议类型，确定该第一FTP Port请求报文为用于建立数据通道类型。

根据第一源地址以及第一源端口标识，第一网络设备查找第一NAT转换关系表，并获取与第一源地址以及第一源端口标识匹配的第一NAT转换关系表项。该第一NAT转换关系表项包括第一源地址(例如，111.1.1.100)、第一源端口标识(例如，27327)、转换后的第一源地址(例如，211.1.1.253)以及第一源端口标识(例如，27327)。

可以理解的是，第一FTP Port请求报文还包括目的地址以及目的端口标识。该目的地址以及目的端口标识均为服务器的地址、端口标识。例如，目的地址为211.1.1.100，目的端口标识为20。

步骤240、向服务端发送第二FTP Port请求报文，所述第二FTP Port请求报文包括所述转换后的第一源地址以及所述第一源端口标识。

具体地，根据步骤230的描述，第一网络设备生成第二FTP Port请求报文，该第二FTP Port请求报文包括转换后的第一源地址(例如，211.1.1.253)、第一源端口标识(例如，27327)、目的地址(例如，211.1.1.100)以及目的端口标识(例如，20)。

根据目的地址以及目的端口标识，第一网络设备向第二交换机发送第二FTP Port请求报文。第二交换机接收到第二FTP Port请求报文后向服务端发送。

服务端接收到第二FTP Port请求报文后，从中获取协议类型、转换后的第一源地址以及第一源端口标识。根据协议类型，服务端确定该第一FTP Port请求报文为用于建立数据通道类型。

根据转换后的第一源地址以及第一源端口标识，服务端生成第一FTP Port响应报文。第一FTP Port响应报文包括源地址(例如，211.1.1.100)、源端口标识(例如，20)、第一目的地址(例如，211.1.1.253)以及第一目的端口标识(例如，27327)。

根据第二目的地址以及第二目的端口标识，服务端向第二交换机发送第一FTPPort响应报文。第二交换机接收到第一FTP Port响应报文后，利用五元组信息，可将第一FTP Port响应报文再次哈希至双主形式组网内的任一台网络设备中。在本申请实施例中，第二交换机向第二网络设备发送第一FTP Port响应报文。

若此时第二网络设备接收到第一FTP Port响应报文，则第二网络设备从第一FTPPort响应报文中获取协议类型、源地址、源端口标识、第一目的地址以及第一目的端口标识。

根据协议类型，第二网络设备确定该第一FTP Port响应报文为用于建立数据通道类型。

根据源地址、源端口标识或者第一目的地址、第一目的端口标识，第二网络设备查找第二NAT转换关系表，获取与源地址、源端口标识或者第一目的地址、第一目的端口标识匹配的第二NAT转换关系表项。

例如，第二NAT转换关系表包括公网地址：211.1.1.253、端口标识：27327；私网地址111.1.1.100、端口标识27327。

第二网络设备从第二NAT转换关系表项中获取匹配的转换后的第一目的地址(例如，111.1.1.100)以及第一目的端口标识(例如，27327)。第二网络设备对第一目的地址进行转换，且未对第一目的端口标识进行转换，并生成第二FTP Port响应报文，该第二FTPPort响应报文包括源地址(例如，211.1.1.100)、源端口标识(例如，20)、转换后的第一目的地址(例如，111.1.1.100)以及第一目的端口标识(例如，27327)。

根据转换后的第一目的地址以及第一目的端口标识，第二网络设备向第一交换机发送第二FTP Port响应报文。第一交换机接收到第二FTP Port响应报文后向客户端发送，如此使得客户端与服务端建立数据通道。

因此，通过应用本申请提供的NAT关联表的处理方法，第一网络设备向第二网络设备发送NAT配置策略，以使得第二网络设备根据NAT配置策略生成并存储第二NAT转换关系表；第一网络设备接收客户端发送的第一FTP Port请求报文，该第一FTP Port请求报文包括第一源地址以及第一源端口标识；根据第一源地址以及第一源端口标识，第一网络设备查找第一NAT转换关系表，并获取与第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，该第一NAT转换关系表项包括第一源地址、第一源端口标识、转换后的第一源地址以及第一源端口标识；第一网络设备向服务端发送第二FTP Port请求报文，该第二FTPPort请求报文包括转换后的第一源地址以及第一源端口标识；

其中，该第二NAT转换关系表用于当第二网络设备接收到服务端发送的第一FTPPort响应报文后，根据第二NAT转换关系表对第一FTP Port响应报文包括的第一目的地址进行转换，且未对第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTPPort响应报文，并向客户端发送第二FTP Port响应报文，该第二FTP Port响应报文包括转换后的第一目的地址，以使得客户端与服务端建立数据通道。

如此，通过下发NAT配置策略，提前规划地址转换的映射关系。当双主形式组网内任一台网络设备接收到服务端发送的响应报文后，可直接根据映射关系进行地址转换。解决了现有开启透传业务报文的方式无法对数据报文实现，且透传处理消耗网络设备资源、占用HA链路带宽，给网络设备的稳定性带来风险的问题。实现了无需对响应报文进行透传处理，提高了网络设备的稳定性，对于双主形式组网支持的更加全面。

可选地，在本申请实施例步骤220之前，还包括第一网络设备接收客户端、服务端发送的FTP连接请求、响应报文，并对FTP连接请求、响应报文执行地址、端口的转换的过程。

具体地，客户端生成第一FTP连接请求报文。该第一FTP连接请求报文可具体为TCP协议栈中三次握手的首报文(syn报文(SYN chronization，同步))。第一FTP连接请求报文包括第二源地址(例如，111.1.1.100)以及第二源端口标识(例如，56978)。

第一FTP连接请求报文还包括协议类型，该协议类型可用于使第一网络设备确定该请求报文的类型，也即是，用于建立控制通道类型或是用于建立数据通道类型。

在本申请实施例中，协议类型指示第一FTP连接请求报文为用于建立控制通道类型。

客户端向第一交换机发送第一FTP连接请求报文。第一交换机接收到第一FTP连接请求报文后，利用五元组信息，可将第一FTP连接请求报文哈希至双主形式组网内的任一台网络设备中。在本申请实施例中，第一交换机向第一网络设备发送第一FTP连接请求报文。

第一网络设备接收到第一FTP连接请求报文后，从中获取协议类型、第二源地址以及第二源端口标识。

根据第二源地址以及第二源端口标识，第一网络设备查找本地存储的第三NAT转换关系表，获取与第二源地址以及第二源端口标识匹配的第三NAT转换关系表项。该第三NAT转换关系表项包括第二源地址(例如，111.1.1.100)、第二源端口标识(例如，56978)、转换后的第二源地址(例如，211.1.1.254)以及转换后的第二源端口标识(例如，1026)。

可以理解的是，第一FTP连接请求报文还包括目的地址以及目的端口标识。该目的地址以及目的端口标识均为服务器的地址、端口标识。例如，目的地址为211.1.1.100，目的端口标识为21。

第一网络设备生成第二FTP连接请求报文，该第二FTP连接请求报文包括转换后的第二源地址(例如，211.1.1.254)以及转换后的第二源端口标识(例如，1026)。第二FTP连接请求报文包括的目的地址、目的端口标识均为服务器的地址、端口标识。

根据目的地址以及目的端口标识，第一网络设备向第二交换机发送第二FTP连接请求报文。第二交换机接收到第二FTP连接请求报文后向服务端发送。

服务端接收到第二FTP连接请求报文后，从中获取协议类型、转换后的第二源地址以及转换后的第二源端口标识。根据协议类型，服务端确定该第一FTP连接请求报文为用于建立控制通道类型。

根据转换后的第二源地址以及转换后的第二源端口标识，服务端生成第一FTP连接响应报文。该第一FTP连接响应报文可具体为TCP协议栈中三次握手的首报文的响应报文(syn-ack报文)。第一FTP连接响应报文包括源地址(例如，211.1.1.100)、源端口标识(例如，21)、第二目的地址(例如，211.1.1.254)以及第二目的端口标识(例如，1026)。

根据第二目的地址以及第二目的端口标识，服务端向第二交换机发送第一FTP连接响应报文。第二交换机接收到第一FTP连接响应报文后，利用五元组信息，可将第一FTP连接响应报文再次哈希至双主形式组网内的任一台网络设备中。在本申请实施例中，第二交换机向第一网络设备发送第一FTP连接响应报文。

第一网络设备接收到第一FTP连接响应报文后，从中获取协议类型、第二目的地址以及第二目的端口标识。根据协议类型，第一网络设备确定该第一FTP连接响应报文为用于建立控制通道类型。

根据第二目的地址以及第二目的端口标识，第一网络设备再次查找本地存储的第三NAT转换关系表，获取与第二目的地址以及第二目的端口标识匹配的第三NAT转换关系表项。

可以理解的是，上述第二目的地址、第二目的端口标识也即为第三NAT转换关系表项中的转换后的第二源地址以及转换后的第二源端口标识。

第一网络设备从第三NAT转换关系表项中获取匹配的第二源地址以及第二源端口标识。根据第二源地址以及第二源端口标识，第一网络设备对第二目的地址以及第二目的端口标识进行转换，得到第二FTP连接响应报文。该第二FTP连接响应报文包括转换后的第二目的地址(例如，111.1.1.100)以及转换后的第二目的端口标识(例如，56978)。

可以理解的是，上述转换后的第二目的地址、转换后的第二目的端口标识也即为第三NAT转换关系表项中的第二源地址以及第二源端口标识。

第一网络设备向客户端发送第二FTP连接响应报文，如此使得客户端与服务端建立控制通道。

可以理解的是，在建立控制通道的过程中，根据现有TCP协议的规定，客户端与服务端需进行三次握手协商。上述仅以一次报文往来为例说明第一网络设备执行NAT转换的过程，其他报文往来的过程与前述相同，在此不再复述。

基于同一发明构思，本申请实施例还提供了与NAT关联表的处理方法对应的NAT关联表的处理装置。参见图3，图3为本申请实施例提供的NAT关联表的处理装置，所述装置应用于第一网络设备，所述第一网络设备处于双主形式组网内，所述双主形式组网还包括第二网络设备，所述第一网络设备内已存储第一NAT转换关系表，所述装置包括：

发送单元310，用于向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

接收单元320，用于接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识；

获取单元330，用于根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

所述发送单元310还用于，向服务端发送第二FTP Port请求报文，所述第二FTPPort请求报文包括所述转换后的第一源地址以及所述第一源端口标识；

其中，所述第二NAT转换关系表用于当所述第二网络设备接收到所述服务端发送的第一FTP Port响应报文后，根据所述第二NAT转换关系表对所述第一FTP Port响应报文包括的第一目的地址进行转换，且未对所述第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向所述客户端发送所述第二FTP Port响应报文，所述第二FTP Port响应报文包括转换后的第一目的地址，以使得所述客户端与所述服务端建立数据通道。

可选地，所述接收单元320还用于，接收所述客户端发送的第一FTP连接请求报文，所述第一FTP连接请求报文包括第二源地址以及第二源端口标识；

所述获取单元330还用于，根据所述第二源地址以及第二源端口标识，查找本地存储的第三NAT转换关系表，获取与所述第二源地址以及第二源端口标识匹配的第三NAT转换关系表项，所述第三NAT转换关系表项包括所述第二源地址、所述第二源端口标识、转换后的第二源地址以及转换后的第二源端口标识；

所述发送单元310还用于，向所述服务端发送第二FTP连接请求报文，所述第二FTP连接请求报文包括所述转换后的第二源地址以及所述转换后的第二源端口标识；

所述接收单元320还用于，接收所述服务端发送的第一FTP连接响应报文，所述第一FTP连接响应报文包括第二目的地址以及第二目的端口标识；

所述装置还包括：转换单元(图中未示出)，用于根据所述第三NAT转换关系表，对所述第二目的地址以及所述第二目的端口标识进行转换，得到第二FTP连接响应报文，所述第二FTP连接响应报文包括转换后的第二目的地址以及转换后的第二目的端口标识；

所述发送单元310还用于，向所述客户端发送所述第二FTP连接响应报文，以使得所述客户端与所述服务端建立控制通道。

可选地，所述接收单元320还用于，接收配置指令，所述配置指令包括所述NAT配置策略，所述NAT配置策略包括第一子配置策略以及第二子配置策略；

所述装置还包括：规划单元(图中未示出)，用于根据所述第一子配置策略，规划第一地址池，所述第一地址池包括转换后的地址、转换后的端口标识；

生成单元(图中未示出)，用于建立转换前的地址、转换前的端口标识与转换后的地址、转换后的端口标识之间的映射关系，并生成所述第三NAT转换关系表，所述第三NAT转换关系表用于接收到建立控制通道的报文时，对源/目的地址、源/目的端口标识进行转换；

所述规划单元(图中未示出)还用于，根据所述第二子配置策略，规划第二地址池，所述第二地址池包括转换后的地址；

所述生成单元(图中未示出)还用于，建立转换前的地址、端口标识与转换后的地址、端口标识之间的映射关系，并生成所述第一NAT转换关系表，所述第一NAT转换关系表用于接收到建立数据通道的报文时，对源/目的地址进行转换，并未对所述端口标识进行转换。

可选地，所述第二地址池归属于所述第一地址池，且所述第一地址池中的地址数量与所述第二地址池中的地址数量相等。

可选地，所述第一地址池包括的转换后的地址、转换后的端口标识为复用地址、复用端口。

因此，通过应用本申请提供的NAT关联表的处理方法及装置，第一网络设备向第二网络设备发送NAT配置策略，以使得第二网络设备根据NAT配置策略生成并存储第二NAT转换关系表；第一网络设备接收客户端发送的第一FTP Port请求报文，该第一FTP Port请求报文包括第一源地址以及第一源端口标识；根据第一源地址以及第一源端口标识，第一网络设备查找第一NAT转换关系表，并获取与第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，该第一NAT转换关系表项包括第一源地址、第一源端口标识、转换后的第一源地址以及第一源端口标识；第一网络设备向服务端发送第二FTP Port请求报文，该第二FTP Port请求报文包括转换后的第一源地址以及第一源端口标识；

其中，该第二NAT转换关系表用于当第二网络设备接收到服务端发送的第一FTPPort响应报文后，根据第二NAT转换关系表对第一FTP Port响应报文包括的第一目的地址进行转换，且未对第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTPPort响应报文，并向客户端发送第二FTP Port响应报文，该第二FTP Port响应报文包括转换后的第一目的地址，以使得客户端与服务端建立数据通道。

如此，通过下发NAT配置策略，提前规划地址转换的映射关系。当双主形式组网内任一台网络设备接收到服务端发送的响应报文后，可直接根据映射关系进行地址转换。解决了现有开启透传业务报文的方式无法对数据报文实现，且透传处理消耗网络设备资源、占用HA链路带宽，给网络设备的稳定性带来风险的问题。实现了无需对响应报文进行透传处理，提高了网络设备的稳定性，对于双主形式组网支持的更加全面

基于同一发明构思，本申请实施例还提供了一种网络设备，如图4所示，包括处理器410、收发器420和机器可读存储介质430，机器可读存储介质430存储有能够被处理器410执行的机器可执行指令，处理器410被机器可执行指令促使执行本申请实施例所提供的NAT关联表的处理方法。前述图3所示的NAT关联表的处理装置，可采用如图4所示的网络设备硬件结构实现。

上述计算机可读存储介质430可以包括随机存取存储器(英文：Random AccessMemory，简称：RAM)，也可以包括非易失性存储器(英文：Non-volatile Memory，简称：NVM)，例如至少一个磁盘存储器。可选的，计算机可读存储介质430还可以是至少一个位于远离前述处理器410的存储装置。

上述处理器410可以是通用处理器，包括中央处理器(英文：Central ProcessingUnit，简称：CPU)、网络处理器(英文：Network Processor，简称：NP)等；还可以是数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)、现场可编程门阵列(英文：Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例中，处理器410通过读取机器可读存储介质430中存储的机器可执行指令，被机器可执行指令促使能够实现处理器410自身以及调用收发器420执行前述本申请实施例描述的NAT关联表的处理方法。

另外，本申请实施例提供了一种机器可读存储介质430，机器可读存储介质430存储有机器可执行指令，在被处理器410调用和执行时，机器可执行指令促使处理器410自身以及调用收发器420执行前述本申请实施例描述的NAT关联表的处理方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对于NAT关联表的处理装置以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种NAT关联表的处理方法，其特征在于，所述方法应用于第一网络设备，所述第一网络设备处于双主形式组网内，所述双主形式组网还包括第二网络设备，所述第一网络设备内已存储第一NAT转换关系表，所述方法包括：

向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识，所述第一源地址以及所述第一源端口标识携带在所述第一FTPPort请求报文包括的载荷部分；

根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

向服务端发送第二FTP Port请求报文，所述第二FTP Port请求报文包括所述转换后的第一源地址以及所述第一源端口标识；

其中，所述第二NAT转换关系表用于当所述第二网络设备接收到所述服务端发送的第一FTP Port响应报文后，根据所述第二NAT转换关系表对所述第一FTP Port响应报文包括的第一目的地址进行转换，且未对所述第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向所述客户端发送所述第二FTP Port响应报文，所述第二FTP Port响应报文包括转换后的第一目的地址，以使得所述客户端与所述服务端建立数据通道。

2.根据权利要求1所述的方法，其特征在于，所述接收客户端发送的第一FTP Port请求报文之前，所述方法还包括：

接收所述客户端发送的第一FTP连接请求报文，所述第一FTP连接请求报文包括第二源地址以及第二源端口标识；

根据所述第二源地址以及第二源端口标识，查找本地存储的第三NAT转换关系表，获取与所述第二源地址以及第二源端口标识匹配的第三NAT转换关系表项，所述第三NAT转换关系表项包括所述第二源地址、所述第二源端口标识、转换后的第二源地址以及转换后的第二源端口标识；

向所述服务端发送第二FTP连接请求报文，所述第二FTP连接请求报文包括所述转换后的第二源地址以及所述转换后的第二源端口标识；

接收所述服务端发送的第一FTP连接响应报文，所述第一FTP连接响应报文包括第二目的地址以及第二目的端口标识；

根据所述第三NAT转换关系表，对所述第二目的地址以及所述第二目的端口标识进行转换，得到第二FTP连接响应报文，所述第二FTP连接响应报文包括转换后的第二目的地址以及转换后的第二目的端口标识；

向所述客户端发送所述第二FTP连接响应报文，以使得所述客户端与所述服务端建立控制通道。

3.根据权利要求2所述的方法，其特征在于，所述向所述第二网络设备发送NAT配置策略之前，所述方法还包括：

接收配置指令，所述配置指令包括所述NAT配置策略，所述NAT配置策略包括第一子配置策略以及第二子配置策略；

根据所述第一子配置策略，规划第一地址池，所述第一地址池包括转换后的地址、转换后的端口标识；

建立转换前的地址、转换前的端口标识与转换后的地址、转换后的端口标识之间的映射关系，并生成所述第三NAT转换关系表，所述第三NAT转换关系表用于接收到建立控制通道的报文时，对源/目的地址、源/目的端口标识进行转换；

根据所述第二子配置策略，规划第二地址池，所述第二地址池包括转换后的地址；

建立转换前的地址、端口标识与转换后的地址、端口标识之间的映射关系，并生成所述第一NAT转换关系表，所述第一NAT转换关系表用于接收到建立数据通道的报文时，对源/目的地址进行转换，并未对所述端口标识进行转换。

4.根据权利要求3所述的方法，其特征在于，所述第二地址池归属于所述第一地址池，且所述第一地址池中的地址数量与所述第二地址池中的地址数量相等。

5.根据权利要求4所述的方法，其特征在于，所述第一地址池包括的转换后的地址、转换后的端口标识为复用地址、复用端口。

6.一种NAT关联表的处理装置，其特征在于，所述装置应用于第一网络设备，所述第一网络设备处于双主形式组网内，所述双主形式组网还包括第二网络设备，所述第一网络设备内已存储第一NAT转换关系表，所述装置包括：

发送单元，用于向所述第二网络设备发送NAT配置策略，以使得所述第二网络设备根据所述NAT配置策略生成并存储第二NAT转换关系表；

接收单元，用于接收客户端发送的第一FTP Port请求报文，所述第一FTP Port请求报文包括第一源地址以及第一源端口标识，所述第一源地址以及所述第一源端口标识携带在所述第一FTP Port请求报文包括的载荷部分；

获取单元，用于根据所述第一源地址以及第一源端口标识，查找所述第一NAT转换关系表，并获取与所述第一源地址以及第一源端口标识匹配的第一NAT转换关系表项，所述第一NAT转换关系表项包括所述第一源地址、所述第一源端口标识、转换后的第一源地址以及所述第一源端口标识；

所述发送单元还用于，向服务端发送第二FTP Port请求报文，所述第二FTP Port请求报文包括所述转换后的第一源地址以及所述第一源端口标识；

其中，所述第二NAT转换关系表用于当所述第二网络设备接收到所述服务端发送的第一FTP Port响应报文后，根据所述第二NAT转换关系表对所述第一FTP Port响应报文包括的第一目的地址进行转换，且未对所述第一FTP Port响应报文包括的第一目的端口标识进行转换，得到第二FTP Port响应报文，并向所述客户端发送所述第二FTP Port响应报文，所述第二FTP Port响应报文包括转换后的第一目的地址，以使得所述客户端与所述服务端建立数据通道。

7.根据权利要求6所述的装置，其特征在于，所述接收单元还用于，接收所述客户端发送的第一FTP连接请求报文，所述第一FTP连接请求报文包括第二源地址以及第二源端口标识；

所述获取单元还用于，根据所述第二源地址以及第二源端口标识，查找本地存储的第三NAT转换关系表，获取与所述第二源地址以及第二源端口标识匹配的第三NAT转换关系表项，所述第三NAT转换关系表项包括所述第二源地址、所述第二源端口标识、转换后的第二源地址以及转换后的第二源端口标识；

所述发送单元还用于，向所述服务端发送第二FTP连接请求报文，所述第二FTP连接请求报文包括所述转换后的第二源地址以及所述转换后的第二源端口标识；

所述接收单元还用于，接收所述服务端发送的第一FTP连接响应报文，所述第一FTP连接响应报文包括第二目的地址以及第二目的端口标识；

所述装置还包括：转换单元，用于根据所述第三NAT转换关系表，对所述第二目的地址以及所述第二目的端口标识进行转换，得到第二FTP连接响应报文，所述第二FTP连接响应报文包括转换后的第二目的地址以及转换后的第二目的端口标识；

所述发送单元还用于，向所述客户端发送所述第二FTP连接响应报文，以使得所述客户端与所述服务端建立控制通道。

8.根据权利要求7所述的装置，其特征在于，所述接收单元还用于，接收配置指令，所述配置指令包括所述NAT配置策略，所述NAT配置策略包括第一子配置策略以及第二子配置策略；

所述装置还包括：规划单元，用于根据所述第一子配置策略，规划第一地址池，所述第一地址池包括转换后的地址、转换后的端口标识；

生成单元，用于建立转换前的地址、转换前的端口标识与转换后的地址、转换后的端口标识之间的映射关系，并生成所述第三NAT转换关系表，所述第三NAT转换关系表用于接收到建立控制通道的报文时，对源/目的地址、源/目的端口标识进行转换；

所述规划单元还用于，根据所述第二子配置策略，规划第二地址池，所述第二地址池包括转换后的地址；

所述生成单元还用于，建立转换前的地址、端口标识与转换后的地址、端口标识之间的映射关系，并生成所述第一NAT转换关系表，所述第一NAT转换关系表用于接收到建立数据通道的报文时，对源/目的地址进行转换，并未对所述端口标识进行转换。

9.根据权利要求8所述的装置，其特征在于，所述第二地址池归属于所述第一地址池，且所述第一地址池中的地址数量与所述第二地址池中的地址数量相等。

10.根据权利要求9所述的装置，其特征在于，所述第一地址池包括的转换后的地址、转换后的端口标识为复用地址、复用端口。