WO2014101501A1 - 一种NAT实现系统、方法及Openflow交换机 - Google Patents

Abstract

本发明公开了一种NAT实现系统，包括：控制器（Controller）和Openflow交换机；Controller下发流表和改进组表；Openflow交换机接收流表和改进组表，根据流表记录的地址转换匹配规则，匹配出需要进行地址转换的数据包；根据改进组表记录的地址转换规则执行私有地址与公有IP地址之间的转换，利用转换后的地址将数据包发送出去；本发明还公开了一种NAT实现方法及Openflow交换机，利用本发明，只需将流表和改进组表一次发送给Openflow交换机，无需Openflow交换机和Controller进行频繁交互，缩短数据包转发时延，提高网络传输效率。

Description

一种 NAT实现系统、 方法及 Openflow交换机 技术领域 本发明涉及网络技术领域， 具体涉及一种网络地址转换 （NAT , Network Address Translation ) 实现系统、 方法及 Openflow交换机。 背景技术

NAT技术是将私有地址转换为公有 IP地址的技术， 这项技术广泛地应 用在 Internet接入方式中。 企业的内部网络为私有网络， 可以采用私有地址 作为主机地址； 当主机连接互联网 （Internet )上的服务器时， NAT设备将 数据包的私有地址转换为公有 IP地址发送至服务器； 当 Internet上的服务 器按此公有 IP地址返回应答数据包时， NAT设备将此公有 IP地址转换为 原来的私有地址， 使应答数据包能够正确返回到相应的主机。 NAT技术可 令同一公有 IP地址对应于多个主机的私有地址， 在保证了企业内部网络安 全的前提下， 节约了公有 IP地址资源。

软件定义网络（ SDN， Software Defined Network )技术是一种通信网络 实现方法； 将 NAT技术应用于基于 Openflow (网络交换模型 ) 的 SDN, 实现数据包路由控制与数据包转发的分离。

现有的 Openflow网络组成结构如图 1所示， 包括：控制器（ Controller ) 和 Openflow交换机 ( Openflow Switch );

当企业内部网络的主机 B，链接到互联网的服务器 D时，所述 Openflow 交换机接收到来自主机 B，具有私有地址 B的数据包 A， 所述 Openflow 交 换机向所述 Controller上报接收到数据包 A事件；

接收到上报事件后， 所述 Controller 下发流表（Flow Table ) 到所述 Openflow 交换机， 所述流表包含动作表， 指示将数据包 A 的私有地址 B 转换为公有 IP地址 C，即建立起了数据包 A的私有地址 B与公有 IP地址 C 之间的地址映射关系； 所述 Openflow 交换机依据流表记录的内容， 将私有 地址 B转换为公有 IP地址 C， 利用公有 IP地址 C将数据包 A发送出去； 所述 Controller 将流表下发到所述 Openflow 交换机的同时将组表 ( Group Table )也下发到所述 Openflow 交换机； 所述组表包括数据类型及 对相应数据类型的处理操作， 例如， 对 Select(选择)数据类型的数据包进行 广播、 服务器负载均衡等等。

由上面所述可看出， 所述 Openflow 交换机通过流表完成私有地址 B 到公有 IP地址 C的转换； 除此之外， 当主机 B，链接到互联网的另一服务器 如服务器 E时， 所述 Openflow 交换机与所述 Controller又将依据上述技术 方案进行一次互动； 也就是说， 现有技术中， 每当主机 B，拥有一个不同的 链接 (主机 B，链接到 Internet的不同服务器）时， 所述 Openflow 交换机在 接收到主机 B，私有地址的数据包时，所述 Controller都将下发一次流表到所 述 Openflow 交换机， 当有大量私有网络的主机数据包需要 Openflow 交换 机发送到 Internet时， Controller频繁下发流表将增加 Openflow交换机和 Controller的交互次数、 延长了数据包转发的时延， 同时因 Internet除了对 主机与服务器之间的数据包进行传输之外， 还有传输其它业务， 进而严重 影响了 Internet网络传输效率。

发明内容

有鉴于此， 本发明实施例的主要目的在于提供一种 NAT实现系统、 方 法及 Openflow交换机，能够减少 Openflow 交换机和 Controller的交互次数、 缩短数据包转发时延， 提高网络传输效率。

为达到上述目的， 本发明实施例的技术方案是这样实现的： 本发明实施例提供了一种 NAT 实现系统， 所述系统包括： 控制器 Controller和 Openflow交换机 Openflow Switch; 其中，

所述控制器 Controller,配置为利用 Openflow协议，将流表和改进组表 下发到所述 Openflow 交换机；

所述 Openflow 交换机，配置为利用 Openflow协议，接收所述 Controller 下发的所述流表和所述改进组表；

接收来源于私有网络或互联网 Internet的数据包， 所述 Openflow 交换 机根据流表记录的地址转换匹配规则匹配出需要进行地址转换的数据包， 根据改进组表记录的地址转换规则， 执行数据包的私有地址与公有 IP地址 之间的转换， 将数据包或发送至 Internet或发送至私有网络。

上述方案中， 所述 Openflow 交换机包括： Switch控制面、 内部通道和 Switch转发面； 其中，

所述 Switch控制面， 配置为利用 Openflow协议， 接收所述 Controller 下发的流表和改进组表；

在接收到流表和改进组表之后， 对接收到的数据包属性进行规则匹配， 当有数据包属性能够匹配所述流表记录的地址转换匹配规则时， 所述流表 执行 Group命令， 指向所述改进组表， 根据改进组表记录的地址转换规则 产生转换命令， 通过所述内部通道下发转换命令至所述 Switch转发面； 所述 Switch转发面，配置为接收来自私有网络或 Internet的数据包并通 过所述内部通道将数据包属性发送至所述 Switch控制面；

接收所述 Switch控制面下发转换命令， 依据地址转换规则， 执行数据 包私有地址与公有 IP地址之间的转换， 将数据包或发送至私有网络或发送 至 Internet

上述方案中， 所述改进组表记录的地址转换规则包括的内容为： 需要 进行地址转换的数据包的协议类型、 供私有地址选择的公有 IP地址范围、 端口号范围及私有地址与公有 IP地址对应转换关系的有效维持时间。

上述方案中， 所述流表记录有规则和命令， 对能够匹配规则的数据包 进行命令处理； 所述规则包括地址转换匹配规则； 所述命令包括 Group命 令； 当有数据包能够匹配所述流表记录的地址转换匹配规则时， 所述流表 执行 Group命令， 指向带有 NAT数据类型的改进组表。

上述方案中， 所述 Switch控制面接收流表和改进组表， 还包括 NAT分 析模块； 其中，

所述流表， 配置为将数据包属性进行规则匹配， 当有数据包属性能够 匹配记录的地址转换匹配规则时， 所述流表执行 Group命令， 指向所述带 有 NAT数据类型的改进组表；

所述改进组表， 配置为记录有地址转换规则；

所述 NAT分析模块， 配置为依据 IANA规定及地址转换规则， 对数据 包属性进行分析， 产生转换命令， 并通过内部通道下发命令到所述 Switch 转发面。

上述方案中，所述 Switch转发面配置为完成从私有地址到公有 IP地址 转换之后， 还配置为保存数据包的 NAT转换列表。

本发明实施例还提供了一种 NAT实现方法， 该方法包括：

利用 Openflow协议， Openflow 交换机接收由 Controller下发的流表和 改进组表；

Openflow 交换机根据接收流表和改进组表， 依据流表记录的地址转换 匹配规则匹配出需要进行地址转换的数据包， 根据改进组表记录的地址转 换规则， 执行数据包私有地址与公有 IP地址之间的转换， 将数据包或发送 至 Internet或发送至私有网络。

上述方案中， 所述改进组表记录有地址转换规则， 所述地址转换规则 记录的内容包括： 需要进行地址转换的数据包的协议类型、 供私有地址选择的公有 IP地 址范围、 端口号范围及私有地址与公有 IP地址对应转换关系的有效维持时 间。

上述方案中， 所述完成数据包私有地址与公有 IP地址之间的转换为： 依据 IANA规定及地址转换规则， 判断出当前数据包的地址源地址、 目的地址为私有地址还是公有 IP地址；

当判断出当前数据包的源地址为私有地址， 且目的地址为公有 IP地址 时，将私有地址转换为公有 IP地址， 并利用转换后的公有 IP地址将当前数 据包发送至目的地址， 并保存当前数据包的 NAT转换列表；

当判断出当前数据包的源地址为公有 IP地址， 且目的地址在所述地址 转换规则记录的范围内时， 查找所有已保存的 NAT转换列表；

当查找到有关于该公有 IP地址转换关系的 NAT转换列表时，将当前数 据包的目的 IP地址和端口号转换为私有地址和端口号， 并将当前数据包发 送至链接私有地址的主机；

当查找不到有关于该公有 IP地址转换关系的 NAT转换列表时，丟弃当 前数据包。

本发明实施例提供了一种 Openflow 交换机， 所述交换机包括： Switch 控制面、 内部通道和 Switch转发面； 其中，

所述 Switch控制面， 配置为利用 Openflow协议， 接收所述 Controller 下发的流表和改进组表；

在接收到流表和改进组表之后， 对接收到的数据包属性进行规则匹配， 当有数据包属性能够匹配所述流表记录的地址转换匹配规则时， 所述流表 执行 Group命令， 指向所述改进组表， 根据改进组表记录的地址转换规则 产生转换命令， 通过所述内部通道下发转换命令至所述 Switch转发面； 所述 Switch转发面，配置为接收来自私有网络或 Internet的数据包并通 过所述内部通道将数据包属性发送至所述 Switch控制面；

接收所述 Switch控制面下发转换命令， 依据地址转换规则， 执行数据 包私有地址与公有 IP地址之间的转换， 将数据包或发送至私有网络或发送 至 Internet

上述方案中， 所述 Switch控制面接收流表和改进组表， 还包括 NAT分 析模块； 其中，

所述流表， 配置为将数据包属性进行规则匹配， 当有数据包属性能够 匹配记录的地址转换匹配规则时， 所述流表执行 Group命令， 指向所述带 有 NAT数据类型的改进组表；

所述改进组表， 配置为记录有地址转换规则；

所述 NAT分析模块， 配置为依据 IANA规定及地址转换规则， 对数据 包属性进行分析， 产生转换命令， 并通过内部通道下发命令到所述 Switch 转发面。

上述方案中， 所述改进组表记录的地址转换规则包括的内容为： 需要 进行地址转换的数据包的协议类型、 供私有地址选择的公有 IP地址范围、 端口号范围及私有地址与公有 IP地址对应转换关系的有效维持时间。

本发明实施例提供的 NAT实现系统、 方法及 Openflow交换机， 利用 Openflow 协议， Controller 下发流表和改进组表到 Openflow 交换机， Openflow 交换机接收流表和改进组表， 对接收到的数据包进行规则匹配， 当有数据包能够匹配流表记录的地址转换匹配规则时， 说明当前数据包需 要进行地址转换， 所述流表执行 Group命令， 指向改进组表， 因改进组表 记录有地址转换规则， 依据改进组表记录的地址转换规则， 所述 Openflow 交换机通过 NAT分析模块的转换命令来执行私有地址与公有 IP地址之间的 转换； 利用本发明实施例， 无需 Controller频繁下发流表与改进组表， 只需 在 Openflow 交换机接收到的数据包为私有网络的第一个数据包时才下发 流表和改进组表， 减小 Openflow 交换机和 Controller的交互次数， 缩短了 数据包转发时延， 提高了网络传输效率。

附图说明

图 1为现有技术中的 Openflow网络组成结构示意图；

图 2为本发明实施例的 NAT实现系统组成结构示意图；

图 3为本发明实施例的改进组表的表项组成示意图；

图 4为本发明实施例的 NAT转换列表保存格式示意图；

图 5为本发明实施例的 NAT实现方法流程示意图。

具体实施方式

本发明实施例提供了一种 NAT实现系统， 如图 2所示， 所述系统包括 Controller 2和 Openflow 交换机 3; 其中，

所述 Controller 2， 配置为利用 Openflow协议， 将流表和改进组表下发 到所述 Openflow交换机 3;

所述 Openflow 交换机 3， 配置为利用 Openflow 协议， 接收所述 Controller 2 下发的所述流表和所述改进组表， 接收来源于私有网络或 Internet的数据包；

所述 Openflow 交换机 3， 还配置为根据流表记录的地址转换匹配规则 匹配出需要进行地址转换的数据包， 根据改进组表记录的地址转换规则， 执行数据包的私有地址与公有 IP 地址之间的转换， 将数据包或发送至 Internet或发送至私有网络。

其中， 所述流表和改进组表是依据数据包转发路由， 预先设置好的； 所述 Controller 2可在系统启动时下发流表和改进组表到所述 Openflow 交 换机 3， 也可在私有网络主机需要链接到 Internet时即根据私有网络主机的 业务需要下发流表和改进组表到所述 Openflow交换机 3;

所述流表记录有规则和命令， 所述规则包括地址转换匹配规则、 端口 号变换匹配规则等； 相应的， 所述命令包括 Group命令、 端口号变换命令 等； 对能够匹配地址转换匹配规则的数据包执行 Group命令； 对能够匹配 端口号变换匹配规则的数据包执行端口号变换命令；

所述地址转换匹配规则记录有需要进行地址转换的数据包属性， 即地 址转换匹配规则记录的内容包括有： 需要进行地址转换的数据包的协议类 型、 源地址及端口号和目的地址及端口号；

例如， 地址转换匹配规则记录内容包括： 来源于私有网络、 具有源地 址（私有地址） 为 192.168.0.1、 端口号为 1， 目的地址（公有 IP地址） 为 200.168.10.1、 端口号为 2、 协议类型为传输控制协议（ TCP, Traiisinission Control Protocol ) 的数据包需要进行地址转换。

所述 Openflow 交换机 3根据流表记录的地址转换匹配规则，匹配出需 要进行地址转换的数据包为： 所述 Openflow交换机 3对接收到的数据包属 性进行地址转换匹配规则的匹配；

其中， 数据包属性包括数据包协议类型、 地址及端口号； 所述数据包 协议类型包括： 用户数据报协议 TCP 或传输控制协议 UDP ( UDP, User Datagram Protocol ); 所述地址包括： 源地址和目的地址； 此处， 在本系统 发出数据包到链接到 Internet的服务器上时， 所述源地址指的是转换前的私 有地址， 所述目的地址指的是链接到 Internet的服务器； 在本系统接收由链 接到 Internet的服务器发送来的数据包时， 所述源地址指的是 Internet的服 务器具有的地址， 所述目的地址指的是本系统接收 Internet的服务器发送来 的数据包时使用的公有 IP地址。

所述匹配就是判断当前数据包的协议类型、 端口号、 地址等信息是否 符合地址转换匹配规则记录的内容， 当符合地址转换匹配规则记录的内容 时， 确认当前数据包为需要进行地址转换的数据包； 当不符合地址转换匹 配规则记录的内容时， 确认当前数据包为不需要进行地址转换的数据包； 根据流表记录的地址转换匹配规则， 所述 Openflow 交换机 3 匹配出 当前数据包为需要进行地址转换的数据包时， 所述流表执行 Group命令， 所述执行 Group命令即： 指向带有 NAT数据类型表项的改进组表， 依据所 述改进组表记录的地址转换规则， 进行数据包私有地址与公有 IP地址的转 换。

所述改进组表的表项格式如图 3 所示， 之所以说是改进组表， 是因为 在现有组表基础上作了改进； 本发明实施例的改进组表， 在不改变现有组 表表项结构的基础之上， 在 Group Type这个表项上增加了 NAT数据类型； 结合图 3， 对所述改进组表的每个表项进行含义说明：

Group Id (组序列号）表项表示需要进行地址转换的数据包的序列号 ( id, identity );

Group Type (组类型 )表项除了包括现有技术中的 Select等数据类型， 还包括 NAT数据类型； 当 GroupType表项为 NAT数据类型时， 表示具有 Group Id表项的数据包需要依据地址转换规则记录的内容进行地址转换； 这里， 地址转换规则记录的内容包括： 需要进行地址转换的数据包的 协议类型（ TCP或 UDP )、 供私有地址选择 (或可转换 )的公有 IP地址范 围、 端口号范围及私有地址与公有 IP地址对应转换关系的有效维持时间； 其中， 当超过该有效维持时间， 仍然无数据包进行地址转换时， 则删 除此私有地址与公有 IP地址对应转换关系。

Counters表项表示对需要进行地址转换的数据包进行统计；

所述改进组表的表项还包括有两个 Action List (动作列表）： 其一是 SNAT Action List, 为在私有地址转换为公有 IP地址后需要执行的动作， 即 一个来自私有网络的数据包由私有地址转换为公有 IP地址后， 执行 SNAT Action List所示的动作； 这里， 所述 SNAT Action List动作可根据业务需求 设置， 如可将所述 SNAT Action List动作设置为： 将当前数据包输出到链接 Internet的一个物理端口；

其二是 DNAT Action List, 为在公有 IP地址转换为私有地址后需要执 行的动作， 即一个来自 Internet网络的数据包由公有 IP地址转换为私有地 址后， 执行 DN AT Action List所示的动作； 这里， 所述 DN AT Action List 动作可根据业务需求设置，如可将所述 DNAT Action List动作设置为：将当 前数据包输出到链接私有网络的一个物理端口。

较佳地的， 所述 Openflow 交换机 3包括： Switch控制面 30、 内部通 道 31和 Switch转发面 32;

所述 Switch控制面 30，配置为利用 Openflow协议，接收所述 Controller 2下发的流表和改进组表、 接收所述 Switch转发面 32发送的数据包属性； 在接收到流表和改进组表之后， 对接收到的数据包属性进行规则匹配， 当有数据包属性能够匹配所述流表记录的地址转换匹配规则时， 说明该数 据包需要进行地址转换， 所述流表执行 Group命令， 指向所述改进组表， 根据改进组表记录的地址转换规则产生转换命令， 通过所述内部通道 31下 发转换命令到所述 Switch转发面 32;

所述 Switch转发面 32， 配置为接收来自私有网络或 Internet的数据包 并通过内部通道 31将数据包属性发送到所述 Switch控制面 30;

接收所述 Switch控制面 30下发的转换命令，依据地址转换规则，执行 数据包私有地址与公有 IP地址之间的转换， 将数据包或发送至私有网络或 发送至 Internet

所述 Switch控制面 30包括由所述 Controller 2下发的流表和改进组表， 还包括 NAT分析模块 300; 在所述 Switch控制面 30中， 所述流表， 配置为将数据包属性进行规则匹配， 当有数据包属性能够 匹配地址转换匹配规则时， 所述流表执行 Group命令， 指向所述带有 NAT 数据类型表项的改进组表；

所述改进组表， 配置为记录有地址转换规则；

所述 NAT分析模块 300， 配置为依据 IANA规定及地址转换规则， 对 数据包属性进行分析， 产生转换命令， 并通过内部通道 31下发转换命令到 所述 Switch转发面 32;

所述匹配就是判断当前数据包的协议类型、 端口号、 地址等信息是否 符合地址转换匹配规则记录的内容， 当符合地址转换匹配规则记录的内容 时， 确认当前数据包为需要进行地址转换的数据包。

具体的， 所述系统完成从私有地址（源地址）转换为公有 IP地址， 利 用转换后的公有 IP地址将数据发送至链接到 Internet的服务器具有的目的 地址的具体过程为：

利用 Openflow 协议， 所述 Controller 2 将流表和改进组表下发到 Openflow 交换机 3， 具体下发到所述 Switch控制面 30;

利用 Openflow协议， 所述 Openflow 交换机 3接收所述流表和所述改 进组表， 具体为所述 Switch控制面 30接收所述流表和所述改进组表；

所述 Switch转发面 32接收来源于私有网络的当前数据包，并将当前数 据包属性通过所述内部通道 31发送至所述 Switch控制面 30;

所述 Switch控制面 30接收当前数据包属性，并对当前数据包属性进行 规则匹配； 这里， 所述匹配就是判断当前数据包的协议类型、 端口号、 地 址等信息是否符合地址转换匹配规则记录的内容， 当符合地址转换匹配规 则记录的内容时， 确认当前数据包为需要进行地址转换的数据包， 所述流 表执行 Group命令，所述流表指向带有 NAT数据类型表项的所述改进组表； 根据 IANA规定， 所述 NAT分析模块 300对当前数据包的源地址和目的地 址进行分析；

依据因特网 i或名分配组织（ IANA， Internet Assigned Numbers Authority ) 规定， 所述 NAT分析模块 300判断出当前数据包的源地址为私有地址， 目 的地址为公有 IP地址；所述 NAT分析模块 300产生由私有地址转换为公有 IP地址的转换命令，并将转换命令通过所述内部通道 31下发至所述 Switch 转发面 32;

所述 IANA规定为： IANA保留了以下三个 IP地址块用于私有网络： 10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

依据上述 IANA规定， 所述 NAT分析模块 300可判断出当前数据包源 地址和目的地址为私有地址还是公有 IP地址；

所述 Switch转发面 32接收到所述 NAT分析模块 300下发的转换命令 后， 依据所述改进组表记录的地址转换规则， 执行当前数据包私有地址到 相应公有 IP地址的转换，并将当前数据包利用公有 IP地址发送至 Internet; 因所述改进组表记录的地址转换规则内容包括有：供私有地址选择（或 可转换） 的公有 IP地址范围、 端口号范围； 这里， 所述 Switch转发面 32 将在可转换的公有 IP地址及端口号范围中选择一个在当前数据包进行转换 时刻处于空闲状态的公有 IP地址（相应公有 IP地址 )及端口号， 供当前数 据包私有地址转换；

因改进组表动作列表 SNAT Action List包括有当前数据包私有地址转 换为相应公有 IP 地址后需要执行的动作： 将当前数据包发送至链接到 Internet的一个物理端口， 那么， 所述 Switch转发面 32利用相应公有 IP地 址将当前数据包发送至链接到 Internet的一个物理端口；

所述 Switch转发面 32执行完私有地址到相应公有 IP地址转换之后， 所述 NAT分析模块 300建立并保存当前数据包的 NAT转换列表； 所述 NAT转换列表保存格式如图 4所示， 其中，

表项 id， 用于表示当前数据包的序列号 id;

表项 Protocol type, 用于表示协议类型， 由 Openflow协议决定， 可为 UDP 、 TCP;

表项 Private IP、 Port, 用于表示当前数据包的私有地址和端口号； 表项 Public IP、 Port, 用于表示当前数据包的公有 IP地址和端口号； 表项 Time out, 为私有地址与公有 IP地址对应转换关系的有效维持时 间， 用于表示超过该有效维持时间， 仍然无数据包需要进行相应地址转换， 则删除当前 NAT转换列表。

对应于上述所述系统完成从私有地址转换为公有 IP地址， 利用转换后 的公有 IP地址将数据发送至目的地址的具体过程，所述系统利用公有 IP地 址（目的地址 )接收来源于链接到 Internet的服务器（源地址 )数据包， 并 将数据包发送至具有私有地址的主机的过程具体可以为：

所述 Switch转发面 32接收来自 Internet的数据包， 并将接收到的当前 数据包属性通过所述内部通道 31发送给所述 Switch控制面 30;

这里， 所述当前数据包的属性包括数据包协议类型、 源地址、 目的地 址及端口号：

所述 Switch控制面 30接收当前数据包属性，并对当前数据包进行规则 匹配； 这里， 所述匹配就是判断当前数据包的协议类型、 端口号、 地址等 信息是否符合地址转换匹配规则记录的内容， 当符合地址转换匹配规则记 录的内容时， 确认当前数据包为需要进行地址转换的数据包， 所述流表执 行 Group命令， 指向带有 NAT数据类型表项的所述改进组表；

依据 IANA规定及所述地址转换规则， 所述 NAT分析模块 300判断出 当前数据包的源地址为公有 IP地址、 目的地址也为公有 IP地址、 目的地址 及端口号在所述地址转换规则记录的公有 IP地址范围及端口号范围内时， 所述 NAT分析模块 300查找所有已保存的 NAT转换列表；

当所述 NAT分析模块 300能够查找到记录有当前数据包公有 IP地址 (目的地址）的地址转换关系的 NAT转换列表时， 所述 NAT分析模块 300 产生由公有 IP地址转换为私有地址的转换命令， 并将转换命令通过所述内 部通道 31下发到所述 Switch转发面 32;

所述 Switch转发面 32接收到所述 NAT分析模块 300下发的转换命令 后， 执行当前数据包公有 IP地址到私有地址的转换， 将当前数据包目的地 址和端口号转换为相应的私有地址、 及私有地址端口号； 并将当前数据包 发送至具有该私有地址及端口号的主机；

这里，当所述 NAT分析模块 300查找不到记录有关于该公有 IP地址转 换关系的 NAT转换列表时， 所述 NAT分析模块 300将丟弃当前数据包。

实际应用中， 所述 Switch控制面 30、 Switch转发面 32、 所述 NAT分 析模块 300均可由中央处理单元（CPU， Central Processing Unit ), 或数字 信号处理（DSP， Digital Signal Processor ), 或现场可编程门阵列 （FPGA， Field Programmable Gate Array )等来实现； 所述 CPU、 DSP 、 FPGA均可 位于 Openflow 交换机 3中。

基于上述 NAT实现系统， 本发明实施例还提供了一种 NAT实现方法， 口图 5所示， 该方法包括：

步骤 401 : 利用 Openflow协议， Openflow 交换机接收由 Controller下 发的流表和改进组表；

步骤 402: Openflow交换机接收流表和改进组表， 根据流表记录的地 址转换匹配规则匹配出需要进行地址转换的数据包， 根据改进组表记录的 地址转换规则， 执行数据包私有地址与公有 IP地址之间的转换， 将数据包 或发送至 Internet或发送至私有网络。

其中， 流表和改进组表是依据数据包转发路由， 预先设置好的； 所述流表记录有地址转换匹配规则、 端口号变换匹配规则等规则及

Group命令、 端口号变换命令等命令；

所述地址转换匹配规则记录有需要进行地址转换的数据包属性， 因数 据包属性包括：数据包协议类型（ TCP或 UDP )、地址（源地址和目的地址 ) 及端口号， 那么， 地址转换匹配规则记录的内容包括有： 需要进行地址转 换的数据包的协议类型、 源地址和目的地址及端口号；

所述 Openflow 交换机对接收到的数据包属性进行地址转换匹配规则 的匹配； 所述匹配就是判断当前数据包的协议类型、 端口号、 地址等信息 是否符合地址转换匹配规则记录的内容， 当符合地址转换匹配规则记录的 内容时， 确认当前数据包为需要进行地址转换的数据包； 当不符合地址转 换匹配规则记录的内容时， 确认当前数据包为不需要进行地址转换的数据 包。

实际应用中， 因为私有地址往往由企业所拥有， 最常见的情况是： 企 业先发送数据包到链接 Internet的服务器， 然后再接收该服务器返回的响应 数据包； 考虑到企业自身利益， 下面所述的这一情况很少发生： 链接到 Internet的服务器先发送数据包到企业私有网络， 私有网络接收并返回响应 数据包。

具体的， 本发明实施例实现从私有地址（源地址 )转换为公有 IP地址， 利用转换后的公有 IP地址将数据发送至链接到 Internet的服务器（目的地 址） 的过程具体可以为：

步骤 501 : 利用 Openflow协议， Controller将流表和改进组表下发到 Openflow 交换机， 具体下发到 Switch控制面；

这里， 所述流表记录的地址转换匹配规则能够匹配出需要进行地址转 换的数据包；

步骤 502:利用 Openflow协议， Openflow 交换机接收流表和改进组表， 具体为 Switch控制面接收流表和改进组表；

步骤 503: Openflow 交换机接收当前数据包， 具体为 Switch转发面接 收当前数据包；

例如， 当前数据包为 A， 当前数据包 A来源于私有网络， 其属性为： 协议类型为 TCP、 源地址（私有地址）为 192.168.0.1、 主机端口号为 1、 目 的地址为 200.168.38.1 ;

步骤 504: Switch转发面通过内部通道将当前数据包属性发送到 Switch 控制面；

步骤 505: Switch控制面接收当前数据包属性， 并对当前数据包属性进 行规则匹配；

具体的， Switch控制面接收数据包 A属性， 并对当前数据包 A属性进 行规则匹配， 因数据包属性为： 协议类型为 TCP、 源地址（私有地址） 为 192.168.0.1、 主机端口号为 1、 目的地址为 200.168.38.1 ; 当所述地址转换 匹配规则记录有： 协议类型为 TCP、 私有地址为 192.168.0.1、 主机端口号 为 1、 目的地址为 200.168.38.1的数据包需要进行地址转换； 那么， 当前数 据包 A需要进行地址转换， 流表执行 Group命令， 指向带有 NAT数据类型 表项的改进组表；

步骤 506: 依据 IANA规定， NAT分析模块对当前数据包的源地址进 行分析，产生转换命令， 并将转换命令通过内部通道下发至 Switch转发面； 具体的， 根据 IANA规定， NAT分析模块对当前数据包 A的源地址、 目的地址进行分析， 分析出当前数据包 A源地址为私有地址， 目的地址为 公有 IP地址， 对于当前数据包 ， NAT分析模块产生由私有地址转换为公 有 IP地址的转换命令， 并将转换命令下发至 Switch转发面；

步骤 507: Switch转发面接收到 NAT分析模块下发的转换命令后， 执 行当前数据包私有地址（源地址）到公有 IP地址的转换， 并利用公有 IP地 址将当前数据包发送至 Internet的服务器（目的地址）；

本步骤具体可以为： Switch转发面接收到转换命令后，将当前数据包 A 私有地址 192.168.0.1 (源地址 )转换为公有 IP地址 200.168.10.1 ;

因地址转换规则记录的内容包括有： 可供当前数据包 A的源地址私有 地址 192.168.0.1选择的公有 IP地址范围， 端口号范围； 这里举一个例子， 如可供源地址私有地址 192.168.0.1 选择的公有 IP 地址范围 200.168.10.1~200.168.10.100, 端口号范围为： 端口号为 1-200 ；

Switch转发面选择 200.168.10.1及端口号 2作为私有地址 192.168.0.1 转换后的公有 IP地址； 之所以选择 200.168.10.1及端口号 2是因为， 公有 IP地址 200.168.10.1的 2号端口在当前数据包 A进行地址转换的时刻是空 闲的；

Switch转发面利用转换后的公有 IP地址 200.168.10.1将当前数据包 A 发送至链接到 Internet具有目的地址 200.168.38.1的服务器；

因改进组表动作列表 SNAT Action List包括有私有地址 192.168.0.1 (源 地址 )转换为公有 IP地址 200.168.10.1后需要执行的动作： 将当前数据包 A发送至链接到 Internet的一个物理端口， 所以 Switch转发面利用公有 IP 地址 200.168.10.1将当前数据包 A发送至链接到具有目的地址 200.168.38.1 的一个物理端口；

步骤 507: Switch转发面执行完当前数据包私有地址到公有 IP地址之 间的转换后， NAT分析模块建立并保存当前数据包的 NAT转换列表；

具体的， Switch转发面将当前数据包 A私有地址 192.168.0.1 (源地址） 转换为公有 IP地址 200.168.10.1之后， NAT分析模块建立并保存当前数据 包 A的 NAT转换列表，因为当前数据包 A为第一个来源于私有网络的数据 包， 所以， 当前数据包 A表项 id为 "1"， 表项 Protocol type为 TCP， 表项 Private IP、 Port的私有地址为 192.168.0.1、端口号为 1，表项 Public IP、 Port 的公有 IP地址为 200.168.10.1， 端口号为 2。

由上述技术方案可看出， 所述 Openflow 交换机将私有地址（源地址） 192.168.0.1转换为公有 IP地址 200.168.10.1 , 利用转换后的公有 IP地址将 当前数据包 A发送至目的地址 200.168.38.1 ;

这里， 因为当前数据包 A是来源于私有网络的第一个数据包， 所以首 先进行步骤 501~502；

当 Switch控制面接收到的当前数据包来源于私有网络， 但不是来源于 私有网络的第一个数据包时， 无需执行步骤 501~502， 直接执行步骤 503-507; 也就是说， 本发明实施例的 NAT 实现方法只在当前数据包是私 有网络的第一个数据包时， 才进行 Openflow 交换机与 Controller的交互， 如此， 便可减少交互次数， 缩短数据包转发时延， 提高网络传输效率。

对应于上述方案， 当链接到 Internet的服务器（源地址 )发送数据包至 公有 IP地址（目的地址）， 本发明实施例实现从所述公有 IP地址（目的地 址）转换为私有地址， 由具有私有地址的主机接收所述数据包的过程具体 为：

步骤 601： Openflow 交换机接收当前数据包， 具体为 Switch转发面接 收当前数据包；

这里， Openflow 交换机接收到来自 Internet的响应数据包 A的数据包 B, 具体为 Switch转发面接收数据包 B， 其属性为： 协议类型为 TCP、 目 的地址为 200.168.10.1、 端口号为 2、 源地址为 200.168.38.1 ;

步骤 601： Switch转发面通过内部通道将当前数据包属性发送到 Switch 控制面；

步骤 603： Switch控制面接收当前数据包属性， 并对当前数据包属性进 行规则匹配；

其中， 数据包属性为： 协议类型为 TCP、 目的地址为 200.168.10.1、 端 口号为 2、 源地址为 200.168.38.1 ;

当所述地址转换匹配规则记录有： 协议类型为 TCP、 目的地址为 200.168.10.1、 主机端口号为 2的数据包需要进行地址转换； 那么， 当前数 据包 B需要进行地址转换， 流表执行 Group命令， 指向带有 NAT数据类型 表项的改进组表；

步骤 604: 依据 IANA规定及地址转换规则， NAT分析模块对当前数 据包源地址、 目的地址进行分析， 产生转换命令， 并将转换命令通过内部 通道下发至 Switch转发面；

具体的， NAT分析模块对当前数据包 B的源地址、 目的地址进行分析， 因当前数据包 B 目的地址 （公有 IP 地址） 为 200.168.10.1， 源地址为 200.168.38.1 ; 依据 IANA规定， 所述 NAT分析模块分析出当前数据包 B 源地址为公有 IP地址、目的地址也为公有 IP地址；依据地址转换规则， NAT 分析模块判断出目的地址及端口号在地址转换规则记录的公有 IP地址范围 及端口号范围内； NAT分析模块查找所有已保存的 NAT转换列表；

当 NAT分析模块能够查找到记录有当前数据包目的地址即公有 IP地址 的地址转换关系的 NAT转换列表， NAT分析模块产生由公有 IP地址（目 的地址）转换为私有地址的转换命令， 并将转换命令通过所述内部通道 31 下发到所述 Switch转发面 32;

当 NAT分析模块查找不到记录有关于该公有 IP地址（目的地址 )转换 关系的 NAT转换列表时， NAT分析模块将丟弃当前数据包。

因为这里的数据包 B是在有效维持时间里返回的响应数据包， 所以记 录有公有 ip地址 200.168.10.1与私有地址 192.168.0.1之间地址转换关系的 NAT转换列表还存在， 所以， NAT分析模块能够查找到一个公有 IP地址 200.168.10.1地址转换关系的 NAT转换列表， NAT分析模块产生转换命令， 并将转换命令下发至 Switch转发面； 这里， 因为数据包 B是在有效维持时间里返回的响应数据包， 记录有 关于公有 IP地址 200.168.10.1 的地址转换关系的 NAT转换列表还存在于 NAT分析模块， NAT分析模块能够查找到该 NAT转换列表； 当数据包 B 没有在有效维持时间返回， 说明此 NAT转换列表在有效时间里没有数据包 进行相应地址转换， NAT分析模块将删除此 NAT转换列表； 那么针对在超 过有效时间返回的数据包 B， NAT分析模块就无法查找到一个记录有关于 公有 IP地址 200.168.10.1的地址转换关系的 NAT转换列表， 则 NAT分析 模块丟弃此时的数据包 B;

步骤 605: Switch转发面接收到 NAT分析模块下发的转换命令后， 完 成当前数据包从公有 IP地址到私有地址的转换， 并将当前数据包发送至具 有该私有地址的主机；

依据查找到的 NAT转换列表，将当前数据包 B公有 IP地址 200.168.10.1 (目的地址）和端口号 2转换为私有地址 192.168.0.1、 端口号为 1 ;

因改进组表动作列表 DNAT Action List动作为：将当前数据包输出到链 接私有网络的一个物理端口， Switch转发面将公有 IP地址 200.168.10.1 (目 的地址）转换为私有地址 192.168.0.1， 并将数据包 B发送至具有私有地址 192.168.0.1的 1号端口的主机。

本发明实施例提供的 NAT实现系统、 方法及 Openflow交换机， 利用 Openflow协议， Controller将下发流表和改进组表给 Openflow 交换机； Openflow交换机对接收到的当前数据包进行规则匹配， 当有数据包能够匹 配所述流表记录的地址转换匹配规则时， 所述流表执行 Group命令， 指向 带有 NAT数据类型表项的改进组表， 依据改进组表记录的地址转换规则及 IANA规定， 所述 NAT分析模块分析当前数据包的地址， 并产生转换命令 给 Switch转发面， Switch转发面接收到转换命令， 执行当前数据包私有地 址与公有 IP地址之间的转换；利用本发明实施例的技术方案，无需 Controller 频繁下发流表，只需在 Openflow 交换机接收到的数据包为私有网络的第一 个数据包时才下发流表和改进组表， 减小 Openflow 交换机和 Controller的 交互次数， 缩短了数据包转发时延， 提高了网络传输效率。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、一种 NAT实现系统，所述系统包括： 控制器 Controller和 Openflow 交换机 Openflow Switch; 其中，

所述控制器 Controller,配置为利用 Openflow协议，将流表和改进组表 下发到所述 Openflow 交换机；

所述 Openflow 交换机，配置为利用 Openflow协议，接收所述 Controller 下发的所述流表和所述改进组表；

接收来源于私有网络或互联网 Internet的数据包， 并根据流表记录的地 址转换匹配规则匹配出需要进行地址转换的数据包， 根据改进组表记录的 地址转换规则， 执行数据包的私有地址与公有 IP地址之间的转换， 将数据 包或发送至 Internet或发送至私有网络。

2、 根据权利要求 1所述的 NAT实现系统， 其中， 所述 Openflow 交换 机包括： Switch控制面、 内部通道和 Switch转发面； 其中，

所述 Switch控制面， 配置为利用 Openflow协议， 接收所述 Controller 下发的所述流表和所述改进组表；

在接收到所述流表和所述改进组表之后， 对接收到的数据包属性进行 规则匹配， 当有数据包属性能够匹配所述流表记录的地址转换匹配规则时， 所述流表执行 Group命令， 指向所述改进组表， 根据改进组表记录的地址 转换规则产生转换命令， 通过所述内部通道下发转换命令至所述 Switch转 发面；

所述 Switch转发面，配置为接收来自私有网络或 Internet的数据包并通 过所述内部通道将数据包属性发送至所述 Switch控制面；

接收所述 Switch控制面下发转换命令， 依据地址转换规则， 执行数据 包私有地址与公有 IP地址之间的转换， 将数据包或发送至私有网络或发送 至 Internet

3、 根据权利要求 1或 2所述的 NAT实现系统， 其中， 所述改进组表 记录的地址转换规则包括的内容为： 需要进行地址转换的数据包的协议类 型、 供私有地址选择的公有 IP地址范围、 端口号范围及私有地址与公有 IP 地址对应转换关系的有效维持时间。

4、 根据权利要求 1所述的 NAT实现系统， 其中， 所述流表记录有规 则和命令， 对能够匹配规则的数据包进行命令处理； 所述规则包括地址转 换匹配规则； 所述命令包括 Group命令； 当有数据包能够匹配所述流表记 录的地址转换匹配规则时， 所述流表执行 Group命令， 指向带有 NAT数据 类型的所述改进组表。

5、 根据权利要求 2所述的 NAT实现系统， 其中， 所述 Switch控制面 接收流表和改进组表， 所述 Switch控制面还包括 NAT分析模块； 其中， 所述流表， 配置为将数据包属性进行规则匹配， 当有数据包属性能够 匹配记录的地址转换匹配规则时，所述流表执行 Group命令，指向带有 NAT 数据类型的所述改进组表；

所述改进组表， 配置为记录有地址转换规则；

所述 NAT分析模块， 配置为依据 IANA规定及地址转换规则， 对数据 包属性进行分析， 产生转换命令， 并通过内部通道下发命令到所述 Switch 转发面。

6、 根据权利要求 5所述的 NAT实现系统， 其中， 所述 Switch转发面 配置为完成从私有地址到公有 IP地址转换之后，还保存数据包的 NAT转换 列表。

7、 一种 NAT实现方法， 所述方法包括：

利用 Openflow协议， Openflow 交换机接收由 Controller下发的流表和 改进组表； Openflow 交换机根据接收流表和改进组表， 依据流表记录的地址转换 匹配规则匹配出需要进行地址转换的数据包， 根据改进组表记录的地址转 换规则， 执行数据包私有地址与公有 IP地址之间的转换， 将数据包或发送 至 Internet或发送至私有网络。

8、 根据权利要求 7所述的 NAT实现方法， 其中， 所述改进组表记录 有地址转换规则， 所述地址转换规则记录的内容包括：

需要进行地址转换的数据包的协议类型、 供私有地址选择的公有 IP地 址范围、 端口号范围及私有地址与公有 IP地址对应转换关系的有效维持时 间。

9、 根据权利要求 7所述的 NAT实现方法， 其中， 所述完成数据包私 有地址与公有 IP地址之间的转换为：

依据 IANA规定及地址转换规则， 判断出当前数据包的地址源地址、 目的地址为私有地址还是公有 IP地址；

当判断出当前数据包的源地址为私有地址， 且目的地址为公有 IP地址 时，将私有地址转换为相应的公有 IP地址， 并利用转换后的公有 IP地址将 当前数据包发送至目的地址， 并保存当前数据包的 NAT转换列表；

当判断出当前数据包的源地址为公有 IP地址， 且目的地址在所述地址 转换规则记录的范围内时， 查找所有已保存的 NAT转换列表；

当查找到有关于该公有 IP地址转换关系的 NAT转换列表时，将当前数 据包的目的 IP地址和端口号转换为相应的私有地址和端口号， 并将当前数 据包发送至具有所述私有地址的主机；

当查找不到有关于该公有 IP地址转换关系的 NAT转换列表时，丟弃当 前数据包。

10、 一种 Openflow 交换机， 所述交换机包括： Switch控制面、 内部通 道和 Switch转发面； 其中， 所述 Switch控制面， 配置为利用 Openflow协议， 接收所述 Controller 下发的流表和改进组表；

在接收到流表和改进组表之后， 对接收到的数据包属性进行规则匹配， 当有数据包属性能够匹配所述流表记录的地址转换匹配规则时， 所述流表 执行 Group命令， 指向所述改进组表， 根据改进组表记录的地址转换规则 产生转换命令， 通过所述内部通道下发转换命令至所述 Switch转发面； 所述 Switch转发面，配置为接收来自私有网络或 Internet的数据包并通 过所述内部通道将数据包属性发送至所述 Switch控制面；

接收所述 Switch控制面下发转换命令， 依据地址转换规则， 执行数据 包私有地址与公有 IP地址之间的转换， 将数据包或发送至私有网络或发送 至 Internet

11、 根据权利要求 10所述的 Openflow 交换机， 其中， 所述 Switch控 制面接收流表和改进组表，所述 Switch控制面还包括 NAT分析模块；其中， 所述流表， 配置为将数据包属性进行规则匹配， 当有数据包属性能够 匹配记录的地址转换匹配规则时，所述流表执行 Group命令，指向带有 NAT 数据类型的所述改进组表；

所述改进组表， 配置为记录有地址转换规则；

所述 NAT分析模块， 配置为依据 IANA规定及地址转换规则， 对数据 包属性进行分析， 产生转换命令， 并通过内部通道下发命令到所述 Switch 转发面。

12、 根据权利要求 10或 11所述的 Openflow 交换机， 其中， 所述改进 组表记录的地址转换规则包括的内容为： 需要进行地址转换的数据包的协 议类型、 供私有地址选择的公有 IP地址范围、 端口号范围及私有地址与公 有 IP地址对应转换关系的有效维持时间。