WO2015180113A1

WO2015180113A1 - 一种网络地址转换方法及装置

Info

Publication number: WO2015180113A1
Application number: PCT/CN2014/078869
Authority: WO
Inventors: 胡渭琦
Original assignee: 华为技术有限公司
Priority date: 2014-05-30
Filing date: 2014-05-30
Publication date: 2015-12-03
Also published as: CN105556906A

Abstract

公开一种网络地址转换方法，包括：转发面设备接收数据报文，所述转发面设备配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换（S101）；其中，所述转发面设备用于报文转发，所述控制面设备用于控制所述转发面设备进行报文转发；当确定所述数据报文满足所述网络地址转换流表项中的匹配条件时，所述转发面设备执行所述业务逻辑以完成所述数据报文的网络地址转换（S102）。控制面设备预先下发网络地址转换流表项至转发面设备，使得转发面设备在进行网络地址转换时不需要与控制面设备进行多次信令交换，提高了网络地址转换效率。

Description

一种网络地址转换方法及装置

技术领域

本发明涉及通信技术领域，具体涉及一种网络地址转换方法及装置。背景技术

网络地址转换 (英文： Network Address T nsktion, 缩写： NAT)属接入广域网（英文： Wide Area Network, 缩写： WAN)技术，是一种将私有地址转化为合法互联网协议（英文： Internet Protocol , 缩写： IP) 地址的转换技术，它被广泛应用于各种类型的网络中。软件定义网络（英文： Software Defined Networking, 缩写： SDN)是一种新出现的网络架构，具有控制与转发解耦，即控制面设备与转发面设备分离的特点。其中，控制面设备进行 NAT过程中的逻辑判决和处理，而转发面设备只是筒单的负责匹配和转发，不参与任何逻辑处理。

目前，由于 SDN中控制面设备与转发面设备分离，所以在 SDN中进行 NA 的过程较复杂，控制面设备需要针对每个特定的私有地址向转发面设备下发对应的处理逻辑，指示转发面设备进行 NAT操作。并且在每一次的 NAT 操作中，控制面设备和转发面设备之间需要完成多次信令交互，所以，现有的网络地址转换方法增加信令负担，同时多次交互也增加了网络地址转换的时间。

发明内容

本发明提供了一种网络地址转换方法及装置，能够減少控制面设备与转发面设备的交互次数，提高网络地址转换效率。

为了解决以上技术问题，本发明采取的技术方案是：

第一方面，本发明提供了一种网络地址转换方法，包括：

转发面设备接收数据报文，所述转发面设备配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换；其中，所述转发面设备用于报文转发，所述控制面设备用于控制所述转发面设备进行报文转发；

当确定所述数据报文满足所述网络地址转换流表项中的匹配条件时，所述转发面设备执行所述业务逻辑以完成所述数据报文的网络地址转换。

在第一方面的第一种可能的实现方式中，所述网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑；所述确定所述数据报文满足所述网络地址转换流表项中的匹配条件，包括：

当所述数据报文为来自内网的报文，和 /或，所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围时，则确定所述数据报文满足所述第一流表项中的第一匹配条件；

所述转发面设备执行所述业务逻辑完成所述数据报文的网络地址转换，包括：

所述转发面设备执行所述第一流表项中的第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址。

在第一方面的第二种可能的实现方式中，所述网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑；

所述确定所述数据报文满足所述网络地址转换流表项中的匹配条件，包括：

当所述数据报文为来自外网的报文，和 /或，所述数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围时，则确定所述数据报文满足所述第二流表项中的第二匹配条件；

所述转发面设备执行所述第二流表项中的第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址。

结合第一方面的第一种可能的实现方式，在第三种可能的实现方式中，所述转发面设备执行所述第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址，包括：

当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，所述转发面设备为所述私有地址分配一未被分配的能够用于

NA 的公有地址，并存储所述私有地址和所述公有地址的对应关系；

所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。结合第一方面的第一种可能的实现方式，在第四种可能的实现方式中，所述转发面设备执行所述第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址，包括：当存储的私有地址和公有地址的对应关系中存在与所述数据报文中源地址字段存储的私有地址对应的公有地址时，所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

结合第一方面的第二种可能的实现方式，在第五种可能的实现方式中，所述转发面设备执行所述第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址，包括：

当存储的私有地址和公有地址的对应关系中存在与所述数据报文的目的地址字段存储的公有地址对应的私有地址时，所述转发面设备利用所述私有地址替换所述数据报文的目的地址字段的内容，得到待发送第二数据报文，并将所述待发送第二数据报文发送出去，所述待发送第二数据报文的目的地址字段存储所述私有地址。

结合第一方面的第三种可能的实现方式，在第六种可能的实现方式中，所述转发面设备为所述私有地址分配一未被分配的能够用于 NAT 的公有地址之后，还包括：

所述转发面设备根据所述私有地址和分配的公有地址生成第三流表项和 /或第四流表项，所述第三流表项包括第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据报文的源地址字段的私有地址等于所述私有地址，或，所述匹配所述第三流表项的数据报文为来自内网的报文，且所述数据报文的源地址字段的私有地址等于所述私有地址，所述第四流表项包括第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报文的目的地址字段存储的公有地址等于所述分配的公有地址，或，所述匹配所述第四流表项的数据报文为来自外网的报文，且所述数据报文的目的地址字段的公有地址等于所述分配的公有地址，所述第三流表项的匹配优先级高于所述第一流表项，所述第四流表项的匹配优先级高于所述第二流表项。

第二方面，本发明提供了一种网络地址转换方法，包括：

控制面设备生成网络地址转换流表项；

所述控制面设备向转发面设备发送所述网络地址转换流表项；

其中，所述转发面设备用于报文转发，所述控制面设备用于控制所述转发面设备进行报文转发，所述网络地址转换流表项包括匹配条件和业务逻辑，用于指示所述转发面设备当收到与所述匹配条件匹配的数据报文时，执行所述业务逻辑以完成对所述数据报文的网络地址转换。

在第二方面的第一种可能的实现方式中，所述匹配条件用于指示匹配所述网络地址转换流表项的数据报文为来自内网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的源地址字段存储的私有地址属于能够通过 NA 访问外部网络的私有地址范围；

所述业务逻辑用以指示将所述匹配所述网络地址转换流表项的数据报文的源地址字段存储的私有地址转换为公有地址的操作。

在第二方面的第二种可能的实现方式中，所述匹配条件用于指示匹配所述网络地址转换流表项的数据报文为来自外网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围；

所述业务逻辑用以指示将所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址转换为私有地址的操作。

第三方面，本发明还提供了一种网络地址转换装置，所述装置配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换，其中，所述控制面设备用于控制所述装置进行报文转发，所述装置包括：

第一接收模块，用于接收数据报文；

第一转换模块，用于当确定所述第一接收模块接收的数据报文满足所述网络地址转换流表项中的匹配条件时，执行所述业务逻辑以完成所述数据报文的网络地址转换。

在第三方面的第一种可能的实现方式中，所述装置配置的网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑；所述第一转换模块包括第一确定子模块和第一转换子模块，所述第一确定子模块，用于当所述第一接收模块接收的数据报文为来自内网的报文，和 /或，所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围时，则确定所述数据文满足所述第一流表项中的第一匹配条件；

所述第一转换子模块，用于在所述第一确定子模块确定所述数据报文满足所述第一流表项中的第一匹配条件时，执行所述第一流表项中的第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址。

在第三方面的第二种可能的实现方式中，所述装置配置的网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑；所述第一转换模块包括第二确定子模块和第二转换子模块，

所述第二确定子模块，用于当所述第一接收模块接收的数据报文为来自外网的报文，和 /或，所述数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围时，则确定所述数据报文满足所述第二流表项中的第二匹配条件；

所述第二转换子模块，用于在所述第二确定子模块确定所述数据报文满足所述第二流表项中的第二匹配条件，执行所述第二流表项中的第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址。

结合第三方面的第一种可能的实现方式，在第三种可能的实现方式中，所述第一转换子模块，包括：

分配子模块，用于当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，为所述私有地址分配一未被分配的能够用于 NAT的公有地址，并存储所述私有地址和所述公有地址的对应关系；第一替换子模块，用于利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

结合第三方面的第一种可能的实现方式，在第四种可能的实现方式中，所述第一转换子模块，包括：第二替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据 ^艮文中源地址字段存储的私有地址对应的公有地址时，利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

结合第三方面的第二种可能的实现方式，在第五种可能的实现方式中，所述第二转换子模块，包括：第三替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据报文的目的地址字段存储的公有地址对应的私有地址时，利用所述私有地址替换所述数据报文的目的地址字段的内容，得到待发送第二数据报文，并将所述待发送第二数据报文发送出去，所述待发送第二数据报文的目的地址字段存储所述私有地址。

结合第三方面的第三种可能的实现方式，在第六种可能的实现方式中，所述装置还包括：

生成模块，用于根据所述分配子模块中的私有地址和分配的公有地址生成第三流表项和 /或第四流表项，所述第三流表项包括所述第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据^艮文的源地址字段的私有地址等于所述私有地址，或，所述匹配所述第三流表项的数据报文为来自内网的报文，且所述数据报文的源地址字段的私有地址等于所述私有地址，所述第四流表项包括所述第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报所述第四流表项的数据报文为来自外网的报文，且所述数据报文的目的地址字段的公有地址等于所述分配的公有地址，所述第三流表项的匹配优先级高于所述第一流表项，所述第四流表项的匹配优先级高于所述第二流表项。

第四方面，本发明还提供了一种网络地址转换装置，所述装置包括：第一生成模块，用于生成网络地址转换流表项；

第一发送模块，用于向转发面设备发送所述网络地址转换流表项；其中，所述转发面设备用于报文转发，所述网络地址转换流表项包括匹配条件和业务逻辑，用于指示所述转发面设备当收到与所述匹配条件匹配的数据报文时，执行所述业务逻辑以完成对所述数据报文的网络地址转换。

本发明中控制面设备预先下发网络地址转换流表项至转发面设备，使得转发面设备在进行 NAT转换时不再需要与控制面设备进行多次信令交换，提高了网络地址转换效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的网络地址转换方法流程图；

图 2是本发明实施例提供的网络地址转换方法流程图；

图 3 是本发明实施例提供的转发面设备执行第一业务逻辑完成网络地址转换方法的流程图；

图 4是本发明实施例提供的网络地址转换方法流程图；

图 5 是本发明实施例提供的转发面设备执行第二业务逻辑完成网络地址转换方法的流程图；

图 6 是本发明实施例提供的转发面设备生成了第三流表项之后的网络地址转换方法流程图；

图 7 是本发明实施例提供的转发面设备生成了第四流表项之后的网络地址转换方法流程图；

图 8是本发明实施例提供的网络地址转换方法流程图；

图 9是本发明实施例提供的网络地址转换装置结构示意图；

图 10是本发明实施例提供的网络地址转换装置结构示意图；

图 11是本发明实施例智能终端的硬件构成示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例的方案，下面结合附图和实施方式对本发明实施例作进一步的详细说明。

参考图 1，图 1为本实施例提供的网络地址转换方法流程图，其中，所述方法可以包括：

S101 : 转发面设备接收数据报文，所述转发面设备配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换；其中，所述转发面设备用于报文转发，所述控制面设备用于控制所述转发面设备进行报文转发。

S102 : 当确定所述数据报文满足所述网络地址转换流表项中的匹配条件时，所述转发面设备执行所述业务逻辑以完成所述数据报文的网络地址转换。

本实施例中，控制面设备确定网络地址转换流表项，并将所述网络地址流表项下发至转发面设备。网络地址转换流表项可以为处理由内网发送至外网数据报文的通用流表项，也可以为处理由外网发送至内网数据报文的通用流表项。其中，所述网络地址转换流表项均包括匹配条件和业务逻辑两部分，所述业务逻辑用于完成数据报文的网络地址转换。

当转发面设备接收到任意一个数据报文时，首先判断所述数据报文是否满足所述网络地址转换流表项中的匹配条件。如果所述转发面设备确定接收的数据报文满足所述网络地址转换流表项中的匹配条件，所述转发面设备执行所述网络地址转换流表项中的业务逻辑以完成所述数据报文的网络地址转换。

实际应用中，转发面设备配置有控制面设备下发的用于处理由内网发送至外网的数据报文的网络地址转换流表项，其中，所述网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑，所述第一业务逻辑用于转换来自内网的数据报文的网络地址。

参考图 2，图 2为本实施例提供的网络地址转换方法流程图，其中，所述方法可以包括：

S201 : 转发面设备接收控制面设备下发的第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑。

S202 : 所述转发面设备接收数据报文。

S203 : 当所述数据报文为来自内网的报文，和 /或，所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围时，则确定所述数据报文满足所述第一流表项中的第一匹配条件。

实际操作中，当转发面设备接收任意一个数据报文时，所述转发面设备判断所述数据报文是否来自内网，和 /或，判断所述数据报文的源地址字段存储的私有地址是否属于能够通过 NAT访问外部网络的私有地址范围。

本实施例中的所述第一流表项中的第一匹配条件可以用于指示匹配所述第一流表项的数据报文为来自内网的报文，也可以用于指示所述匹配所述第一流表项的数据报文的源地址字段存储的私有地址属于能够通过 NAT 访问外部网络的私有地址范围、还可以用于指示所述匹配所述第一流表项的数据报文为来自内网的报文且所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围。

S204：当确定所述数据报文满足所述第一流表项中的第一匹配条件时，所述转发面设备执行所述第一流表项中的第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址。

具体的，参考图 3，图 3为本实施例提供的转发面设备执行第一业务逻辑完成网络地址转换方法的流程图。其中，所述方法包括：

5301：转发面设备判断接收的数据报文是否满足所述第一流表项中的第一匹配条件。

5302：当确定所述数据报文满足所述第一流表项中的第一匹配条件时，所述转发面设备在存储的私有地址和公有地址的对应关系中查询是否存在与所述数据报文中源地址字段存储的私有地址对应的公有地址。

本实施例中，当转发面设备确定接收的数据报文满足第一匹配条件时，所述转发面设备在存储的私有地址和公有地址的对应关系中查询与所述数据文源地址字段存储的私有地址对应的公有地址。

其中，私有地址和公有地址的对应关系中的公有地址和私有地址可以利用数据库表项存储。具体的，本实施例在进行网络地址转换之前，所述控制面设备指示所述转发面设备预先为所述能够用于 NAT 的公有地址范围内的全部公有地址或者部分公有地址设置数据库表项，所述数据库表项包括公有地址字段和私有地址字段，所述公有地址字段用于存储公有地址，所述私有地址字段用于存储私有地址。另外，所述数据库表项还包括用于标识数据库表项状态的状态标识字段，通信对端地址，所述通信对端地址可以包括 IP地址或者同时包括 IP地址与端口号，还包括占用开始时间，用于记录所述公有地址和私有地址开始占用所述数据库表项的时间。

5303：当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，所述转发面设备为所述私有地址分配一未被分配的能够用于 NAT的公有地址，并存储所述私有地址和所述公有地址的对应关系。本实施例中，当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，所述转发面设备为所述私有地址分配一个没有被分配给其他私有地址的能够用于 NAT的公有地址，并存储所述私有地址与分配的公有地址的对应关系，以便当所述转发面设备接收到源地址字段存储所述私有地址的数据文时，可以通过该存储的对应关系直接完成网络地址的转换，无需执行分配步驟。

S304 : 所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

S305 : 当所述转发面设备在存储的私有地址和公有地址的对应关系中查询到与所述数据^艮文中源地址字段存储的私有地址对应的公有地址时，所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

本实施例中，当转发面设备确定接收的数据报文满足第一匹配条件后，所述转发面设备查询数据库中是否存在私有地址字段存储为所述私有地址的数据库表项，如果不存在相应的数据库表项，则所述转发面设备获取一个状态标识字段为空闲的数据库表项，其中，所述数据库表项的公有地址字段对应于一个未分配的能够用于 NAT的公有地址。所述转发面设备将所述私有地址添加到所述数据库表项的私有地址字段，并将所述数据库表项的状态标识字段修改为繁忙，进而利用所述数据库表项中的公有地址完成所述数据报文的网络地址转换。

如果所述转发面设备获知不存在状态标识字段为空闲的数据库表项，所述转发面设备上报至控制面设备，所述控制面设备指示所述转发面设备调整数据库表项，如增加数据库表项以用于公有地址的分配。

如果数据库中存在私有地址字段存储为所述私有地址的数据库表项，则所述转发面设备直接利用所述数据库表项的公有地址字段中存储的公有地址替换所述数据报文的源地址字段的内容完成所述数据报文的网络地址转换。

实际应用中，转发面设备还可以配置有控制面设备下发的用于处理由外网发送至内网的数据报文的网络地址转换流表项，其中，所述网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑，所述第二业务逻辑用于转换来自内网的数据报文的网络地址。

参考图 4，图 4为本实施例提供的网络地址转换方法流程图，其中，所述方法可以包括：

S401 : 转发面设备接收控制面设备下发的第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑。

S402 : 所述转发面设备接收数据报文。

S403 : 当所述数据报文为来自外网的报文，和 /或，所述数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围时，则确定所述数据 ^¾文满足所述第二流表项中的第二匹配条件。

实际应用中，当转发面设备接收到任意一个数据报文时，所述转发面设备判断所述数据报文是否为来自外网的报文，和 /或，所述数据报文的目的地址字段存储的公有地址是否属于能够用于 NAT的公有地址范围。

其中，本实施例中的所述第二流表项中的第二匹配条件用于指示匹配所述第二流表项的数据报文为来自外网的报文，也可以用于指示所述匹配所述第二流表项的数据报文的目的地址字段存储的公有地址属于能够用于 NAT 的公有地址范围，还可以用于指示匹配所述第二流表项的数据报文为来自外网的报文且所述数据报文的目的地址字段存储的公有地址属于能够用于 NAT 的公有地址范围。

S404 : 当确定所述数据报文满足所述第二流表项中的第二匹配条件时，所述转发面设备执行所述第二流表项中的第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址。

具体的，参考图 5，图 5为本实施例提供的转发面设备执行第二业务逻辑完成网络地址转换方法的流程图。其中，所述方法包括：

S501 : 转发面设备判断接收的数据报文是否满足所述第二流表项中的第二匹配条件。

S502：当确定所述数据报文满足所述第二流表项中的第二匹配条件时，所述转发面设备在存储的私有地址和公有地址的对应关系中查询是否存在与所述数据报文的目的地址字段存储的公有地址对应的私有地址；

S503：当存储的私有地址和公有地址的对应关系中存在与所述公有地址对应的私有地址时，所述转发面设备利用所述私有地址替换所述数据报文的目的地址字段的内容，得到待发送第二数据报文，并将所述待发送第二数据报文发送出去，所述待发送第二数据报文的目的地址字段存储所述私有地址。

本实施例中，当转发面设备确定接收的数据报文满足第二匹配条件时，所述转发面设备在存储的私有地址和公有地址的对应关系中查询与所述数据报文的目的地址字段存储的公有地址对应的私有地址转换所述数据报文的网络地址。

本实施例中，控制面设备预先下发网络地址转换流表项至转发面设备，使得转发面设备在进行 NAT 转换时不再需要与控制面设备进行多次信令交换，提高了网络地址转换效率。

为了进一步提高网络地址转换效率，本实施例采用快速匹配流表项完成网络地址转换，具体的，本实施例在上述 S302的转发面设备为所述私有地址分配一未被分配的能够用于 NAT的公有地址步驟之后，所述转发面设备还可以生成' 1夬速匹配流表项。

具体的，转发面设备为所述私有地址分配一未被分配的能够用于 NAT的公有地址步驟之后，所述转发面设备根据所述私有地址和所述私有地址被分配到的公有地址生成第三流表项和第四流表项中的至少一个快速匹配流表项，所述第三流表项和第四流表项均为快速匹配流表项，其中，所述第三流表项包括第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据报文的源地址字段存储的私有地址等于一个用于生成第三流表项的私有地址，所述第四流表项包括第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报文的目的地址字段存储的公有地址等于一个用于生成所述第四流表项的公有地址，所述第三流表项的匹配优先级高于所述第一流表项，所述第四流表项的匹配优先级高于所述第三流表项。

如果所述转发面设备生成了第三流表项，本实施例在确定接收的数据报文是否满足所述第一流表项中的第一匹配条件步驟之前，首先判断所述数据报文是否满足所述第三流表项中的第三匹配条件。其中，所述第三流表项包括第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据报文的源地址字段存储的私有地址等于一个用于生成所述第三流表项的私有地址，或者，所述第三匹配条件不仅包括上述条件还同时用于指示所述数据报文为来自内网的报文。同时，所述第三流表项的优先级高于所述第一流表项。

参考图 6，图 6为本实施例提供的转发面设备生成了第三流表项之后的网络地址转换方法流程图，具体的，所述方法可包括：

S601：所述转发面设备判断接收的数据报文是否满足所述第三流表项中的第三匹配条件，如果是，则进入 S602 , 如果否，则进入 S603。

本实施例中，当所述转发面设备接收的数据报文的源地址字段的私有地址等于一个用于生成第三流表项的私有地址时，或者当所述数据报文为来自内网的报文，且所述数据报文的源地址字段的私有地址等于一个用于生成第三流表项的私有地址时，所述转发面设备确定所述数据报文满足所述第三流表项中的第三匹配条件，否则，确定所述数据报文不满足所述第三匹配条件。

S602：所述转发面设备执行用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑完成网络地址转换。

当所述转发面设备确定接收的数据报文满足所述第三流表项中的第三匹配条件时，所述转发面设备执行所述第三流表项中的用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑完成所述数据报文的网络地址转换。具体的，所述转发面设备利用与所述数据报文的源地址字段存储的私有地址对应的公有地址替换所述数据报文的源地址字段的内容，得到待发送数据报文，将所述待发送数据报文发送出去，所述待发送数据报文的源地址字段存储所述公有地址。

所述转发面设备利用快速匹配流表项完成网络地址转换，減少了查询网络地址的次数，提高了网络地址转换的效率。

S603：所述转发面设备判断所述数据报文是否满足所述第一流表项中的第一匹配条件，如果是，则进入 S604。

当所述转发面设备确定所述数据报文不满足所述第三流表项中的第三匹配条件时，所述转发面设备可以判断接收的数据报文是否满足第一流表项中的第一匹配条件，如果满足，则执行 S604。

S604 : 所述转发面设备执行所述第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址。

如果所述转发面设备生成了第四流表项，本实施例在确定接收的数据报文是否满足所述第二流表项中的第二匹配条件步驟之前，首先判断所述数据报文是否满足所述第四流表项中的第四匹配条件。其中，所述第四流表项包括第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报文的目的地址字段存储的公有地址等于一个用于生成所述第四流表项的公有地址，或者，所述第四匹配条件不仅包括上述条件还同时用于指示所述数据报文为来自外网的报文。同时，所述第四流表项的优先级高于所述第二流表项。

参考图 7，图 7为本实施例提供的转发面设备生成了第四流表项之后的网络地址转换方法流程图，具体的，所述方法可包括：

S701 : 所述转发面设备判断接收的数据报文是否满足所述第四流表项中的第四匹配条件，如果是，则进入 S702 , 如果否，则进入 7603。

本实施例中，当所述转发面设备接收的数据报文的目的地址字段的公有地址等于一个用于生成所述第三流表项的公有地址时，或者，当所述数据报文为来自外网的报文，且所述数据报文的目的地址字段的公有地址等于一个用于生成所述第三流表项的公有地址时，所述转发面设备确定所述数据报文满足所述第四流表项中的第四匹配条件，否则，确定所述数据报文不满足所述第四匹配条件。

S702 : 所述转发面设备执行用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑完成所述数据 ^艮文的网络地址转换。

当所述转发面设备确定接收的数据报文满足所述第四流表项中的第四匹配条件时，所述转发面设备执行所述第四流表项中的用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑完成所述数据报文的网络地址转换。具体的，所述转发面设备利用与所述数据报文的目的地址字段存储的公有地址对应的私有地址替换所述数据报文的目的地址字段的内容，得到待发送数据报文，将所述待发送数据报文发送出去，所述待发送数据报文的目的地址字段存储所述私有地址。

S703 : 所述转发面设备判断所述数据报文是否满足所述第二流表项中的第二匹配条件，如果是，则进入 S704。

当所述转发面设备确定所述数据报文不满足所述第四流表项中的第四匹配条件时，所述转发面设备可以判断接收的数据报文是否满足第二流表项中的第二匹配条件，如果满足，则执行 S704。

S704 : 所述转发面设备执行所述第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址。

实际应用中，当转发面设备接收到任意一个数据报文后，首先将所述数据报文与所述转发面设备生成快速匹配流表项，即第三流表项和第四流表项中的匹配条件相匹配，当匹配成功时，所述转发面设备直接利用第三流表项或第四流表项中的业务逻辑完成网络地址转换。如果匹配失败，所述转发面设备可以将所述数据报文与控制面设备下发的第一流表项、第二流表项中的匹配条件相匹配，如果匹配成功，则所述转发面设备利用第一流表项或第二流表项中业务逻辑完成网络地址转换。如果匹配均不成功，则可以丢弃所述数据报文，并产生错误提示上报至所述控制面设备。本实施例通过在转发面设备中引入数据库机制为转发面设备提供数据信息的基本存储能力。

实际操作中，所述控制面设备可以指示所述转发面设备预先为能够用于 NA 的公有地址范围内的全部公有地址或者部分公有地址设置数据库表项。具体的，可以根据当前网络地址转换的类型设置数据库表项。

本实施例中，控制面设备指示转发面设备预先设置数据库表项，并对所述数据库表项进行初始化，具体的，转发面设备为每个能够用于 NAT的公有地址在逻辑上设置一条数据库表项。其中，每条数据库表项中可以包含如下属性字段，具体为 "私有地址字段 Private IP/Port,公有地址字段 Public IP/Port

(KEY) , 通信对端地址字段 Peer IP/Port，状态标识字段，占用开始时间"，并以 Public IP/Port字段作为其关键字。

另外，本实施例中的数据库表项的规模应该由控制面设备决定，所述控制面设备可以依据当前需要支持具有外网访问权限的内网用户的数量，以及能用于提供 NAT转换的外网 IP数量决定。一种实施方式中，所述控制面设备可以根据能够用于 NAT的公有地址的个数和能够通过 NAT访问外部网络的私有地址的个数中的较小值确定所述数据库表项的个数。

实际操作中，数据库表项的建立可以在系统初始化时完成，并且在控制面设备认为必要的时候可以任意指示转发面设备增加、修改或删除若干数据库表项。所以，另一种实现方式中，当控制面设备无法准确获知需要 NAT的内网用户数量，控制面设备可以先指示转发面设备设置若干数量的数据库表项，并指示转发面设备在发现无法为新用户获取空闲外网公有地址时上 ¾-至控制面设备。当所述控制面设备收到获取数据库表项失败的消息或者需要 NA 的内网用户数量发生变化时，所述控制面设备可以指示转发面设备再追加建立一批数据库表项。

由于 NAT类型较多，针对不同的 NAT类型数据库表项的建立通常不同，如下针对各种 NAT类型的数据库表项设置方法分别说明：

1、静态 NAT类型：在转发面设备中所述私有地址和公有地址的对应关系是固定的。此时，所有的公有地址都固定分配给特定用户的私有地址，其他用户均不能获得 NAT服务。

设置方法：控制面设备向转发面设备下发数据库表项时，逐一在数据库表项中设置私有 IP地址或者内网端口和与其对应的公有 IP地址或者外网端口，并将所有数据库表项均设置为繁忙状态。

2、全 cone NAT类型：通常也被称作一对一（one-to-one) NAT类型，使用这种 NAT类型可以接收所有外部主机发来的数据包。一旦一个内网端口映射到外网端口，所有发自该内网端口的数据包都经由该外网端口向外发送。任意一台外部主机都能通过给该外网端口发送数据包至该内网端口。

设置方法：控制面设备向转发面设备下发数据库表项时，仅为每一个待使用的公有 IP地址或者外网端口设置一条数据库表项，并设置所有的数据库表项为状态为空闲，其它字段置为 null或者 0等初始状态。

3、限制地址 cone NA 类型：转发面设备只接收曾经发送到对端的 IP地址来的数据包。一旦一个内网端口映射到外网端口，所有发自该内网端口的数据包都经由该外网端口向外发送。任意一台外部主机都能通过向该外网端口发数据包到达该内网端口，但是，其前提是：该内网端口之前已经发送过数据包到任意一台外网主机。

设置方法：数据库表项与全 cone NAT 类型的设置相同，但该限制地址 cone NA 类型的数据库表项设置中，将 Peer IP字段也作为数据库查询条件之一。

4、限制端口 cone NA 类型：该 NAT类型只接收曾经发送到对端的 IP 地址和端口的数据包。与上述受限制地址 cone NA 类型相似，但是该类型增加了端口限制。一旦一个内网端口映射到外网端口，所有发自该内网端口的数据包都经由该外网端口向外发送。一个外部主机能够发送数据包到达该内网端口的前提是：通过该内网端口之前发送过数据包至该外部主机。

设置方法：该类型的数据库表项设置方法与全 cone NAT类型相同，但在该限制端口 cone NA 类型的数据库表项设置中，将 Peer IP/Port字段也作为数据库查询条件之一。

5、对称 NAT类型：该 NAT类型中，来自同一私有 IP地址与内网端口的请求被映射到一个公有 IP地址和外部端口。来自该公有 IP地址和外部端口的数据^艮文，可以通过 NAT网关到达内部主机。

设置方法：该类型中数据库表项的设置方法与全 cone NAT类型相同，但在该对称 NAT类型的数据库表项设置中，将目的地址和目标端口也作为数据库查询条件之一，并在将 Peer地址和端口字段也作为数据库查询条件之一。

参考图 8，图 8为本实施例提供的一种网络地址转换方法流程图，所述方法包括：

S801：控制面设备生成网络地址转换流表项；

S802 : 所述控制面设备向转发面设备发送所述网络地址转换流表项；其中，所述转发面设备用于报文转发，所述控制面设备用于控制所述转发面设备进行报文转发，所述网络地址转换流表项包括匹配条件和业务逻辑，用于指示所述转发面设备当收到与所述匹配条件匹配的数据报文时，执行所述业务逻辑以完成对所述数据报文的网络地址转换。

一种情况下，所述匹配条件可以用于指示匹配所述网络地址转换流表项的数据报文为来自内网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的源地址字段存储的私有地址属于能够通过 NAT 访问外部网络的私有地址范围；

另一种情况中，所述匹配条件可以用于指示匹配所述网络地址转换流表项的数据报文为来自外网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址属于能够用于 NAT 的公有地址范围；

具体的网络地址转换过程可以参照上述实施例的描述，在此不再赘述。本实施例中，转发面设备采用的 openflow协议中定义了一种新的操作类型，所述操作类型包括操作匹配条件、第一指令集和第二指令集。实际操作中，当满足所述操作匹配条件时，转发面设备执行所述第一指令集，否则所述转发面设备执行所述第二指令集。

实际应用中，控制面设备向转发面设备下发的网络地址转换流表项中的业务逻辑可以通过 openflow协议中新定义的操作类型实现。

以下以第一流表项中的第一业务逻辑为例，介绍如何利用上述新的操作类型实现第一业务逻辑。具体的，所述操作类型中的操作匹配条件为在存储的私有地址和公有地址的对应关系中查询到存在与所述数据^艮文中源地址字段存储的私有地址对应的公有地址，当上述匹配条件满足时，所述转发面设备执行所述操作类型中的第一指令集，即利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。如果不满足上述匹配条件，所述转发面设备执行所述操作类型中的第二指令集，即为所述私有地址分配一未被分配的能够用于 NAT的公有地址，并存储所述私有地址和所述公有地址的对应关系，利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

实际应用中，可以使用如下伪代码实现第一流表项中的第一匹配条件和第一业务逻辑：

Match： In—Port = Private—Port

S_IP in {需要 NAT的内网 IP段}〃第一匹配条件

Instruction： / /第一业务逗辑

II： Apply-Action Existence -Search-DB：

Search-Condition= S_IP/S_Port & DB.忙闲标志 =busy 等等

ActionSet4EXI= {根据对应的 Public_IP/Port设置 S_IP/S_Port}

ActionSet4INE= {从数据库中查找一个 DB.忙闲标志 =idle的表项，并在对应的 DB表项中设置：

location]，

DB.Peer_IP/Port<= D_IP/D_Port [type=packet, location]，

DB.忙闲标志 < =busy，

DB.占用开始时间 <=系统当前时间，

S_IP/S_Port<=DB.Public_IP/Port. }

如果找不到标记为空闲的数据库表项，则根据预设的配置信息来选择丢掉该报文、上报 controller或者返回出错信息等动作。

12： Apply-Action Output Public—port。

其中， In_Port 指 4艮文输入的端口， Private_Port 指连接内网的端口号， S_IP/S_Port指^艮文中包含的源 IP/Port， D_IP/D_Port指 ^艮文中包含的目的 IP/Port, DB.*指数据库中相应表项的 *字段。

第一流表项中的 Match部分指示转发面设备选择从内网端口接收数据报文，并且所述数据文来自具有访问外网权限并需要进行 NAT转换的主机，只有上述条件匹配成功的数据报文才需要后续进行 NAT转换。

随后，转发面设备在数据库中已经置忙（DB.忙闲标志=1^ ）的数据库表项中搜索 DB.Private_IP/Port (视 NAT 类型不同，转换过程中涉及到的识别及改写字域有所不同，为筒便起见，相关字域后续筒写为 IP) 等于报文的源地址的数据库表项。如果找到，说明已经为该用户、访问或者应用（NAT 转换的对象粒度视不同 NAT类型而有所不同，为筒便起见，后续将转换对象筒写为用户或者对象）分配了对应的公有地址，则使用被记录在相应数据库表项中的公有地址来改写该数据报文的源地址；如果没有找到，说明需要为该用户分配新的公有地址并实施绑定，此时应从数据库中找到一个空闲的数据库表项（其忙闲标志为空闲），将其中记录的公有地址分配给该用户，将该数据库表项置为 busy, 并修改该数据库表项相应字段的数值，然后使用新分配的公有地址修改该数据文的源地址。如果在数据库中找不到空闲的表项，表示当前可用的公有地址已经全部被占用，此时应根据预先设定的策略配置信息来选择丢弃该数据报文等动作。

当转发面设备进行所述数据报文的 NAT转换后，所述转发面设备从连接外网的外网端口将转换后的数据报文发出，完成整个 NAT转换过程。本实施例中，可以把上述匹配条件成功和失败所需要执行的第一指令集和第二指令集分别放到两个 Group中，根据查询结果将报文交给不同的 Group 继续处理即可。上述方法可以使新定义的操作类型中所包含的信息更格式化，其长度固定也更小，便于筒化转发面设备的流表项的设计，不需要去处理非常长的流表项。参考图 9，图 9为本实施例提供的一种网络地址转换装置结构示意图，其中，所述装置配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换，其中，所述控制面设备用于控制所述装置进行报文转发，所述装置包括：

第一接收模块 901，用于接收数据报文；

第一转换模块 902，用于当确定所述第一接收模块接收的数据报文满足所述网络地址转换流表项中的匹配条件时，执行所述业务逻辑以完成所述数据报文的网络地址转换。

具体的，所述装置配置的网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑；

所述第一转换模块包括第一确定子模块和第一转换子模块，

所述第一确定子模块，用于当所述第一接收模块接收的数据报文为来自内网的报文，和 /或，所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围时，则确定所述数据文满足所述第一流表项中的第一匹配条件；所述第一转换子模块，用于在所述第一确定子模块确定所述数据报文满足所述第一流表项中的第一匹配条件时，执行所述第一流表项中的第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址。

具体的，所述装置配置的网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑；

所述第一转换模块包括第二确定子模块和第二转换子模块，

实际应用中，所述第一转换子模块，包括：

另外，所述第一转换子模块，还可以包括：第二替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据报文中源地址字段存储的私有地址对应的公有地址时，利用所述公有地址替换所述数据文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

具体的，所述第二转换子模块，包括：第三替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据报文的目的地址字段存储的公有地址对应的私有地址时，利用所述私有地址替换所述数据文的目的地址字段的内容，得到待发送第二数据报文，并将所述待发送第二数据报文发送出去，所述待发送第二数据报文的目的地址字段存储所述私有地址。为了提高网络地址转换效率，所述装置还可以包括：

生成模块，用于根据所述分配子模块中的私有地址和分配的公有地址生成第三流表项和 /或第四流表项，所述第三流表项包括所述第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据¾-文的源地址字段的私有地址等于所述私有地址，或，所述匹配所述第三流表项的数据报文为来自内网的报文，且所述数据报文的源地址字段的私有地址等于所述私有地址，所述第四流表项包括所述第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报所述第四流表项的数据报文为来自外网的报文，且所述数据报文的目的地址字段的公有地址等于所述分配的公有地址，所述第三流表项的匹配优先级高于所述第一流表项，所述第四流表项的匹配优先级高于所述第二流表项。参考图 10，图 10为本实施例提供的一种网络地址转换装置结构示意图，所述装置可以包括：

第一生成模块 1001，用于生成网络地址转换流表项；

第一发送模块 1002，用于向转发面设备发送所述网络地址转换流表项；其中，所述转发面设备用于报文转发，所述网络地址转换流表项包括匹配条件和业务逻辑，用于指示所述转发面设备当收到与所述匹配条件匹配的数据报文时，执行所述业务逻辑以完成对所述数据报文的网络地址转换。

具体的，所述匹配条件用于指示匹配所述网络地址转换流表项的数据报文为来自内网的¾-文，和 /或，所述匹配所述网络地址转换流表项的数据 ¾-文的源地址字段存储的私有地址属于能够通过 NAT 访问外部网络的私有地址范围；所述业务逻辑用以指示将所述匹配所述网络地址转换流表项的数据报文的源地址字段存储的私有地址转换为公有地址的操作。

另外，所述匹配条件还可以用于指示匹配所述网络地址转换流表项的数据报文为来自外网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围；所述业务逻辑用以指示将所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址转换为私有地址的操作。进一步地，本发明实施例还分别提供了智能终端的硬件构成。可包括至少一个处理器（例如 CPU ), 至少一个网络接口或者其他通信接口，存储器，和至少一个通信总线，用于实现这些装置之间的连接通信。处理器用于执行存储器中存储的可执行模块，例如计算机程序。存储器可能包含高速随机存取存储器（RAM: Random Access Memory ), 也可能还包括非不稳定的存储器（ non- volatile memory ), 例如至少一个磁盘存储器。通过至少一个网络接口（可以是有线或者无线）实现该系统网关与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

参见图 9，在一些实施方式中，存储器中存储了程序指令，程序指令可以被处理器执行，具体实现可参见图 8所揭示的相应单元，这里不再赘述。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步驟可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者诸如媒体网关等网络通信设备，等等）执行本发明各个实施例或者实施例的某些部分所述的方法。实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较筒单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

权利要求

1、一种网络地址转换方法，其特征在于，包括：

2、根据权利要求 1所述的方法，其特征在于，所述网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑；

3、根据权利要求 1所述的方法，其特征在于，所述网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑；

4、根据权利要求 2所述的方法，其特征在于，所述转发面设备执行所述第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址，包括：

当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，所述转发面设备为所述私有地址分配一未被分配的能够用于 NA 的公有地址，并存储所述私有地址和所述公有地址的对应关系；

所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

5、根据权利要求 2所述的方法，其特征在于，所述转发面设备执行所述第一业务逻辑以使所述数据报文的源地址字段存储的私有地址转换为公有地址，包括：当存储的私有地址和公有地址的对应关系中存在与所述数据报文中源地址字段存储的私有地址对应的公有地址时，所述转发面设备利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

6、根据权利要求 3所述的方法，其特征在于，所述转发面设备执行所述第二业务逻辑以使所述数据报文的目的地址字段存储的公有地址转换为私有地址，包括：

7、根据权利要求 4所述的方法，其特征在于，所述转发面设备为所述私有地址分配一未被分配的能够用于 NAT的公有地址之后，还包括：

8、一种网络地址转换方法，其特征在于，包括：

控制面设备生成网络地址转换流表项；

9、根据权利要求 8所述的方法，其特征在于，

所述匹配条件用于指示匹配所述网络地址转换流表项的数据报文为来自内网的文，和 /或，所述匹配所述网络地址转换流表项的数据文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围；

10、根据权利要求 8所述的方法，其特征在于，

所述匹配条件用于指示匹配所述网络地址转换流表项的数据报文为来自外网的报文，和 /或，所述匹配所述网络地址转换流表项的数据报文的目的地址字段存储的公有地址属于能够用于 NAT的公有地址范围；

11、一种网络地址转换装置，其特征在于，所述装置配置有控制面设备下发的网络地址转换流表项，所述网络地址转换流表项包括匹配条件和业务逻辑，所述业务逻辑用于网络地址转换，其中，所述控制面设备用于控制所述装置进行报文转发，所述装置包括：

第一接收模块，用于接收数据报文；

12、根据权利要求 11所述的装置，其特征在于，所述装置配置的网络地址转换流表项为第一流表项，所述第一流表项包括第一匹配条件和第一业务逻辑；

所述第一转换模块包括第一确定子模块和第一转换子模块，

所述第一确定子模块，用于当所述第一接收模块接收的数据报文为来自内网的报文，和 /或，所述数据报文的源地址字段存储的私有地址属于能够通过 NAT访问外部网络的私有地址范围时，则确定所述数据文满足所述第一流表项中的第一匹配条件；

13、根据权利要求 11所述的装置，其特征在于，所述装置配置的网络地址转换流表项为第二流表项，所述第二流表项包括第二匹配条件和第二业务逻辑；

所述第一转换模块包括第二确定子模块和第二转换子模块，

14、根据权利要求 12所述的装置，其特征在于，所述第一转换子模块，包括：分配子模块，用于当存储的私有地址和公有地址的对应关系中不存在与所述私有地址对应的公有地址时，为所述私有地址分配一未被分配的能够用于 NAT的公有地址，并存储所述私有地址和所述公有地址的对应关系；第一替换子模块，用于利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

15、根据权利要求 12所述的装置，其特征在于，所述第一转换子模块，包括：第二替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据报文中源地址字段存储的私有地址对应的公有地址时，利用所述公有地址替换所述数据报文的源地址字段的内容，得到待发送第一数据报文，并将所述待发送第一数据报文发送出去，所述待发送第一数据报文的源地址字段存储所述公有地址。

16、根据权利要求 13所述的装置，其特征在于，所述第二转换子模块，包括：第三替换子模块，用于当存储的私有地址和公有地址的对应关系中存在与所述数据报文的目的地址字段存储的公有地址对应的私有地址时，利用所述私有地址替换所述数据报文的目的地址字段的内容，得到待发送第二数据报文，并将所述待发送第二数据报文发送出去，所述待发送第二数据报文的目的地址字段存储所述私有地址。

17、根据权利要求 14所述的装置，其特征在于，所述装置还包括：生成模块，用于根据所述分配子模块中的私有地址和分配的公有地址生成第三流表项和 /或第四流表项，所述第三流表项包括所述第三匹配条件和用于将所述数据报文的源地址字段存储的私有地址转换为所述私有地址分配的公有地址的业务逻辑，所述第三匹配条件用于指示匹配所述第三流表项的数据¾-文的源地址字段的私有地址等于所述私有地址，或，所述匹配所述第三流表项的数据报文为来自内网的报文，且所述数据报文的源地址字段的私有地址等于所述私有地址，所述第四流表项包括所述第四匹配条件和用于将所述数据报文的目的地址字段存储的公有地址转换为所述公有地址对应的私有地址的业务逻辑，所述第四匹配条件用于指示匹配所述第四流表项的数据报所述第四流表项的数据报文为来自外网的报文，且所述数据报文的目的地址字段的公有地址等于所述分配的公有地址，所述第三流表项的匹配优先级高于所述第一流表项，所述第四流表项的匹配优先级高于所述第二流表项。

18、一种网络地址转换装置，其特征在于，所述装置包括：

第一生成模块，用于生成网络地址转换流表项；