专利名称:复用接口板地址时网络地址转换的实现方法
技术领域:
本发明涉及分组数据服务的接入网关,为私网中的设备提供访问公网的服务,特别涉及复用接口板地址时因特网协议报文的处理方法。
背景技术:
PDSN(Packet Data Service Node,分组数据服务节点)作为接入网关,提供IP接入方式,为移动台提供访问Internet或Intranet的服务。PDSN中的NAT(Network Address Translation,网络地址转换)模块是为了解决网络为大量移动台提供数据业务而产生的IP地址资源紧缺的矛盾。NAT工作在网络边缘,在网络内部可以根据需要随意使用IP(Internet Protocol,网际协议)地址而不需要经过申请,建议在RFC(Request for Comments,请求评论)1918中规定的私网地址中选择。当内部的移动台要与公网进行通讯时,位于接口板外部接口的NAT模块负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。这样公网地址可以复用,从而缓解或部分缓解IP地址短缺的问题;此外由于掩盖了私网结构,因此提高了私网安全性。
接口板对外的接口采用的是公有IP地址,用于NAT的全局地址也是公有IP地址。为了尽可能利用公有IP地址,需要复用接口板对外的公有IP地址来进行NAT。由此产生这样的问题复用接口板的公有IP地址做NAT时,当来自公网的报文送到接口板时,在接口板上需要判断把该报文送到私网处理还是直接在接口板上处理。
目前的解决方法是针对分布式结构,根据路由表中记录的信息来判断地址是否重叠,根据目的端口号来决定是否在本板处理。对于集中式接口板来说,这个方法不足之处在于需要在路由表中增加额外的字段来标识地址是否重叠,并且从接口板发出的报文受到端口号的限制。
发明内容
为解决上述问题,本发明提出了一种复用接口板地址时网络地址转换的实现方法。使得复用接口板的公有IP地址做NAT时,接口板可以区分从公网回到接口板的报文是在本板处理还是进行NAT处理后再送到私网处理。
为实现上述目的,本发明提出了一种复用接口板地址时网络地址转换的实现方法,利用接口板上的公有IP地址使从公网接收的报文在所述接口板上处理,或者进行网络地址转换后发送至私网设备处理,其中,包括以下步骤步骤一,配置所述接口板网络地址转换相关数据,根据所述数据创建公有IP地址的映射条目;步骤二,所述接口板接收到来自公网的报文,判断所述报文的目的地址是否是所述接口板上的公有IP地址;步骤三,若所述报文的目的地址是接口板的公有IP地址,则根据所述报文的目的地址采用的复用策略,判断所述报文是否进行网络地址转换后发送至所述私网设备处理;步骤四,若进行网络地址转换,将所述报文的目的地址转换为所述私网设备的私有IP地址,发送所述报文至所述私网设备处理,若不进行网络地址转换,则将所述报文在所述接口板上处理。
上述的复用接口板地址时网络地址转换的实现方法,其中,所述网络地址转换相关数据包括复用策略,包括抢占方式和优先级方式;全局地址池,用于网络地址转换的一组公有IP地址;动态规则,用于创建动态条目;静态规则,用于创建静态条目;和/或老化时间,用于维护动态映射条目和每个映射条目的流量标识。
上述的复用接口板地址时网络地址转换的实现方法,其中,所述复用策略包括抢占方式先抢占到所述公有IP地址的所述接口板或者所述私网设备就先使用所述公有IP地址;优先级方式设置所述接口板和所述私网设备的优先级,处理报文时,所述接口板和所述私网设备中优先级高的一方先使用所述公有IP地址,优先级低的一方在所述优先级高的一方不使用所述公有IP地址达到一定时间后才能使用,所述优先级高的一方可以中断所述优先级低的一方的业务。
上述的复用接口板地址时网络地址转换的实现方法,其中,所述创建映射条目的步骤具体包括步骤41,当所述私网设备通过所述接口板访问所述公网时,所述接口板根据根据所述动态规则从所述全局地址池分配IP地址建立动态映射条目,根据所述静态规则创建静态映射条目;步骤42,设定所述映射条目上的流量标识;步骤43,分别对所述全局地址池中的公有IP地址设定不同的路由类型,以区分所述公有IP地址是专门用于网络地址转换的,还是复用接口板的公有IP地址进行网络地址转换的;步骤44,创建映射表条目,并将所述映射条目添加到映射表中上述的复用接口板地址时网络地址转换的实现方法,其中,所述映射条目的结构包括局部地址私网设备的私有IP地址;局部端口私网设备应用进程的端口;全局地址接口板上用于网络地址转换而配置的公有IP地址;全局端口接口板上用于网络地址转换而分配的端口;规则类型静态规则或者动态规则;标识位用于标识映射条目是否有流量。
上述的复用接口板地址时网络地址转换的实现方法,其中,若所述映射条目在一定时间内没有报文通过,则取消所述映射条目的流量标识,当动态映射条目在所述老化时间内一直没有流量标识时,删除所述动态映射条目。
上述的复用接口板地址时网络地址转换的实现方法,其中,所述步骤三还包括当所述报文的目的地址不是接口板的公有IP地址,判断所述目的地址的是否是专门用于网络地址转换的公有IP地址,若是,则对所述报文进行网络地址转换,若否,则不进行网络地址转换的步骤。
上述的复用接口板地址时网络地址转换的实现方法,其中,当复用策略为优先级方式时,所述步骤二具体包括
步骤81,判断所述网络地址转换的优先级是否高于接口板处理的优先级;步骤82,若是,将所述报文目的地址转换为所述私网设备的私有IP地址,查找路由表,发送至所述私网设备处理;步骤83,若否,则将所述报文在所述接口板上处理。
上述的复用接口板地址时网络地址转换的实现方法,其中,当复用策略为抢占方式时,所述步骤二具体包括步骤91,查找所述映射表,判断所述目的地址是否存在映射条目;步骤92,若否,则将所述报文在所述接口板处理,若是,则判断所述目的地址的映射条目是否有流量标识;步骤93,若否,则将所述报文在所述接口板处理,若是,则将所述报文进行网络地址转换后发送至所述私网设备处理。
由上可知,本发明使得复用接口板的公有IP地址进行网络地址转换时,在接口板上可以区分从公网回来的报文是在本板处理,还是进行NAT后再送到内网处理。与现有的技术相比较,这种方法不需要改变现有路由表的结构,避免了用于NAT的端口号与知名端口号冲突问题,扩大了用于NAT的端口号的范围。
图1是本发明网络地址转换的原理图;图2是本发明接口板创建映射条目和设置路由类型的流程图;图3是本发明接口板接收到外部报文时进行网络地址转换的流程图。
其中,附图标记10 私网中的设备 20 接口板30 因特网具体实施方式
下面结合附图对本发明的具体实施方式
详细说明如下。
图1是本发明网络地址转换的原理图,描述了NAT系统的构成和工作原理。如图所示,位于私网中的设备10可以是移动台或个人计算机,个人计算机直接连接到接口板20上,移动台则需要通过其他设备进行编解码转换,然后连接到接口板上,这些设备采用的都是私有IP地址。因特网30位于公网中。接口板20是私网访问公网的接入网关的主要部件之一,在接口板上完成NAT的功能,即设备从私网访问公网时,在接口板上把来自私网的报文中的私有IP(Internet Protocol,网际协议)地址转换为公有IP地址,并且将来自公网的报文中的公有IP地址转换为私有IP地址。
报文中与NAT相关的信息主要有目的端口号、源端口号、目的IP地址、源IP地址和协议类型等。在接口板上收到来自公网的IP报文时只能根据目的端口号和目的IP地址来判断报文在本板处理,还是进行NAT后再送到内网去处理。当复用接口板的公有IP地址时,这时就不能根据目的IP地址而是根据目的端口号来判断报文的最终目的地,也就是当接口板收到目的端口号大于某个数值(比如5000)时,就对该报文做NAT,否则就在本板处理。根据报文的目的端口号来判断是否做NAT转换存在局限性用于NAT的端口号可能与知名端口号冲突;限制了用于NAT的端口号的范围。
本发明支持两种策略来复用接口板的公有IP地址(1)抢占式对接口板和私网中的设备来说,谁先抢占复用的公有IP地址,谁就先使用该IP地址。这种策略不会中断正在处理的业务。(2)优先级对接口板和私网中的设备来说,优先级高的先使用复用的公有IP地址,当优先级高的在一定的时间内不使用复用的公有IP地址时,优先级低的才可以使用该IP地址。这种策略下优先级高的可以中断优先级低的业务。本发明采用流量检测和老化处理的方法来有效地复用接口板上的公有IP地址,即在一段时间内若该IP地址上没有流量时就释放该IP地址。流量检测是指接口板定时地检查有否有报文通过,老化处理是指当接口板根据流量检测的结果设置流量标识位,若有流量则设置该标识位为USED,否则设置该标识位为UNUSED。
下面结合图2和图3对复用接口板上的公有IP地址时进行网络地址转换的实现方法进行具体的说明。
图2是本发明接口板创建映射条目和设置路由类型的流程图。如图所示,其中映射条目建立了私有IP地址和公有IP地址之间的对应关系,该过程包括以下步骤步骤S210,系统管理员在接口板上配置NAT相关数据,如全局地址池、动态规则和静态规则、复用策略、老化时间等。其中,全局地址池是一组连续的公有IP地址;动态规则与某个全局地址池相关联;复用策略这里指采用抢占式还是优先级方式来复用接口板的公有IP地址,确定优先级方式的,还需要设定接口板上公有IP地址处理的不同业务的优先级;老化时间是设定的某个时间范围,当老化时间到时在接口板上根据流量检测的结果设定映射条目的流量标识位或删除动态创建的映射条目。
步骤S220,接口板判断是否需要创建映射条目当私网设备通过接口板访问公网时,接口板根据动态规则从全局地址池中分配IP地址并建立动态映射条目。对于静态规则,直接在接口板上创建静态映射条目。所有的映射条目都存储在接口板的映射表中。
步骤S230,设置接口板上映射条目的流量标识位。对每个映射条目除了设置基本信息外,还要设置标识位。映射条目的结构如下表所示
从私网设备向公网发起连接时,如果找到映射条目,则设置该映射条目的标识位为有流量;如果找不到合适的映射条目并且又不能创建时,这种情况不能执行NAT功能。从接口板向公网发起连接时,不需要映射条目。这样当接口板收到来自公网的报文时,如果找到映射条目并且有流量标识,则需要做NAT;如果找到映射条目但是没有流量标识或者找不到映射条目,则说明不需要做NAT。
接口板通过流量检测和老化时间来维护映射条目的流量标识,即如果在一段时间内映射条目上没有报文通过,则置该映射条目为无流量标识。对于动态映射条目来说,若下一个老化时间到时,若该映射条目还没有流量,则会删除该映射条目。
步骤S240,根据接口板上已配置的接口IP地址直接判断步骤S210中用于NAT而配置的全局地址是否是接口板上对外的公有IP地址。
步骤S250,在配置接口板的IP地址时,已经设置了路由类型。根据步骤S240的判断结果,如果用于NAT的全局地址复用了接口板上的公有IP地址,则设定接口板IP地址的路由类型为Local。
步骤S260,根据步骤S240的判断结果,如果用于NAT的全局地址与接口板上的公有IP地址不同,则设定该地址的路由类型为NAT类型。
步骤S270,根据上述步骤提供的信息来设置映射表条目,并添加到映射表中。
通过在路由表中对公有IP地址设定路由类型,接口板可以区分用于NAT功能而复用的接口板公有IP地址和其他用于NAT功能而设定的全局IP地址。
图3是本发明接口板接收到外部报文时进行网络地址转换的流程图。如图所示,包括以下步骤步骤S310,接口板从公网接收到报文时,根据接收到的来自公网的报文的目的地址来查询本板的路由表,如果路由类型是Local,则目的地址是接口板的公有IP地址。因为在复用接口板的公有IP地址做NAT时,回来的报文可能在接口板终结,也可能通过接口板进行NAT后转发到私网设备。当公网中的报文回到接口板时,根据目的地址就可以初步判断该送到哪一部分处理,提高了处理速度。
步骤S320,根据管理员配置的数据来判断接口板上公有IP地址的复用策略,若是抢占式,则转入到步骤S330;若是优先级方式,则转入到步骤S350。
步骤S330,根据步骤S310的判断结果,如果目的地址是接口板的公有IP地址,则根据从公网收到的报文的目的地址、端口号和协议类型来查找映射表。
步骤S340,如果在映射表中找到了对应的映射条目并且在该映射条目中设置了流量标识,这说明复用了接口板上的公有IP地址进行NAT并且该报文是需要送到私网的设备上去处理,转入到步骤S380处理;否则转入到步骤S360处理。
步骤S350,根据管理员配置的数据来比较接口板处理的优先级和NAT处理的优先级,若接口板处理的优先级高,则转入到步骤S360;若NAT处理的优先级高,则转入到步骤S380。
步骤S360,在接口板处理接收到的来自公网的报文根据报文中携带的信息(如协议类型、端口号)进行分用并在接口板上处理或转发到其他部件处理。
步骤S370,接口板根据接收到的来自公网的报文的目的地址来查询本板的路由表,如果路由类型是NAT类型,则说明需要做NAT转换,转入步骤S380处理。否则转入其他处理。
步骤S380,根据找到的映射条目,在接口板上把来自公网的报文的目的地址替换为私有IP地址,根据NAT处理后的IP地址查路由表,然后把报文转发到私网设备处理。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种复用接口板地址时网络地址转换的实现方法,利用接口板上的公有IP地址使从公网接收的报文在所述接口板上处理,或者进行网络地址转换后发送至私网设备处理,其特征在于,包括以下步骤步骤一,配置所述接口板网络地址转换相关数据,根据所述数据创建公有IP地址的映射条目;步骤二,所述接口板接收到来自公网的报文,判断所述报文的目的地址是否是所述接口板上的公有IP地址;步骤三,若所述报文的目的地址是接口板的公有IP地址,则根据所述报文的目的地址采用的复用策略,判断所述报文是否进行网络地址转换后发送至所述私网设备处理;步骤四,若进行网络地址转换,将所述报文的目的地址转换为所述私网设备的私有IP地址,发送所述报文至所述私网设备处理,若不进行网络地址转换,则将所述报文在所述接口板上处理。
2.根据权利要求1所述的复用接口板地址时网络地址转换的实现方法,其特征在于,所述网络地址转换相关数据包括复用策略,包括抢占方式和优先级方式;全局地址池,用于网络地址转换的一组公有IP地址;动态规则,用于创建动态条目;静态规则,用于创建静态条目;和/或老化时间,用于维护动态映射条目和每个映射条目的流量标识。
3.根据权利要求2所述的复用接口板地址时网络地址转换的实现方法,其特征在于,所述复用策略包括抢占方式先抢占到所述公有IP地址的所述接口板或者所述私网设备就先使用所述公有IP地址;优先级方式设置所述接口板和所述私网设备的优先级,处理报文时,所述接口板和所述私网设备中优先级高的一方先使用所述公有IP地址,优先级低的一方在所述优先级高的一方不使用所述公有IP地址达到一定时间后才能使用,所述优先级高的一方可以中断所述优先级低的一方的业务。
4.根据权利要求3所述的复用接口板地址时网络地址转换的实现方法,其特征在于,所述创建映射条目的步骤具体包括步骤41,当所述私网设备通过所述接口板访问所述公网时,所述接口板根据根据所述动态规则从所述全局地址池分配IP地址建立动态映射条目,根据所述静态规则创建静态映射条目;步骤42,设定所述映射条目上的流量标识;步骤43,分别对所述全局地址池中的公有IP地址设定不同的路由类型,以区分所述公有IP地址是专门用于网络地址转换的,还是复用接口板的公有IP地址进行网络地址转换的;步骤44,创建映射表条目,并将所述映射条目添加到映射表中。
5.根据权利要求4所述的复用接口板地址时网络地址转换的实现方法,其特征在于,所述映射条目的结构包括局部地址私网设备的私有IP地址;局部端口私网设备应用进程的端口;全局地址接口板上用于网络地址转换而配置的公有IP地址;全局端口接口板上用于网络地址转换而分配的端口;规则类型静态规则或者动态规则;标识位用于标识映射条目是否有流量。
6.根据权利要求5所述的复用接口板地址时网络地址转换的实现方法,其特征在于,若所述映射条目在一定时间内没有报文通过,则取消所述映射条目的流量标识,当动态映射条目在所述老化时间内一直没有流量标识时,删除所述动态映射条目。
7.根据权利要求6所述的复用接口板地址时网络地址转换的实现方法,其特征在于,所述步骤三还包括当所述报文的目的地址不是接口板的公有IP地址,判断所述目的地址的是否是专门用于网络地址转换的公有IP地址,若是,则对所述报文进行网络地址转换,若否,则不进行网络地址转换的步骤。
8.根据权利要求6所述的复用接口板地址时网络地址转换的实现方法,其特征在于,当复用策略为优先级方式时,所述步骤二具体包括步骤81,判断所述网络地址转换的优先级是否高于接口板处理的优先级;步骤82,若是,将所述报文目的地址转换为所述私网设备的私有IP地址,查找路由表,发送至所述私网设备处理;步骤83,若否,则将所述报文在所述接口板上处理。
9.根据权利要求6所述的复用接口板地址时网络地址转换的实现方法,其特征在于,当复用策略为抢占方式时,所述步骤二具体包括步骤91,查找所述映射表,判断所述目的地址是否存在映射条目;步骤92,若否,则将所述报文在所述接口板处理,若是,则判断所述目的地址的映射条目是否有流量标识;步骤93,若否,则将所述报文在所述接口板处理,若是,则将所述报文进行网络地址转换后发送至所述私网设备处理。
全文摘要
一种复用接口板地址时网络地址转换的实现方法,利用接口板上的公有IP地址使从公网接收的报文在所述接口板上处理,或者进行网络地址转换后发送至私网设备处理,其中,包括以下步骤步骤一,配置接口板网络地址转换相关数据,根据所述数据创建公有IP地址的映射条目;步骤二,接口板接收到来自公网的报文,判断报文的目的地址是否是接口板上的公有IP地址;步骤三,若报文的目的地址是接口板的公有IP地址,根据报文的目的地址采用的复用策略,判断报文是否进行网络地址转换后发送至私网设备处理;步骤四,若是,将报文的目的地址转换为私网设备的私有IP地址后,发送至私网设备处理,若否,则将报文在接口板上处理。
文档编号H04L12/56GK101030919SQ200610011408
公开日2007年9月5日 申请日期2006年3月2日 优先权日2006年3月2日
发明者韦银星 申请人:中兴通讯股份有限公司