实现端到端通信的可配置nat设备及其数据转发方法

专利名称：：实现端到端通信的可配置nat设备及其数据转发方法
技术领域：
：本发明涉及计算机网络通信
技术领域：
，更具体地，本发明涉及一种实现端到端通信的可配置NAT设备及其数据转发方法。
背景技术：
：网络地址翻译(NetworkAddressTranslation,NAT),是一个Internet工程^壬务组(InternetEngineeringTaskForce,IETF)标准，其允许一个整体机构4吏用同一个7>用IP地址出现在Internet,是一种把内部私有网络地址(IP地址)翻译成合法公有网络IP地址的技术。网络地址端口翻译(NAPT)把"基本NAT"翻译的概念进一步发展，翻译地址的同时也翻译传输层标志(如TCP/UDP的端口号，ICMP的查询ID),从而把多个内部主才几的传输层标志复用为唯一的外部地址。NAPT使得一组主机可以共享唯一的外部地址，在本申请中，将NAT和NATP统称为NAT。随着个人信息设备的增多，网络接入设备的普及，越来越多的单位和个人不满足于单机上网，希望通过网络将各种设备组织在一起。通过NAT对接入网进行地址扩增，导致两层、三层NAT结构的出现，使得用户间端到端的数据传递的情况变得更为复杂。从用户的网络接入点到公网的服务器，往往要经由二次甚至更多的网络地址转换。两个位于不同私有网络中的主机之间进行通信时，目前主流方法是使用STUN、TURN、ICE等进行NAT穿越，要经过至少2次的网络地址转换。这些多次的网络地址转换过程，增加了NAT设备的处理负担。
发明内容为克服现有使用NAT设备进行网络通信转换过程复杂、流量大的缺陷，本发明提出一种实现端到端通信的可配置NAT设备及其数据转发方法。根据本发明的一个方面，提出了一种实现端到端通信的可配置NAT设备，包括一个或者多个接口模块、网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表和地址匹配运算器；所述网络连接关系控制矩阵用于记录接口模块所接入网络之间的连接关系；所述地址转换映射记录表用于记录所述接口模块的连接状态；所述接口模块属性表用于记录所述接口模块所连接网络的类型以及所述网络进行地址转换时所-使用的内网地址与外网地址；所述地址匹配运算器用于匹配所接收数据包的〈源地址，目的地址〉和地址转换映射记录表，i殳定匹配关系状态标志5所述一个或者多个接口模块通过控制总线分别连接网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表和地址匹配运算器，所述接口模块之间通过数据总线传送数据；所述一个或者多个接口才莫块根据网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表的记录信息以及所述匹配关系状态标志，接收来自网络或者其它接口模块的数据，完成地址转换，并将所述数据转发往其它接口模块或者本接口模块接入的网络。其中，所述接口模块可以经所述控制总线向所述网络连接关系控制矩阵发出查询请求，所述网络连接关系控制矩阵经所述控制总线返回查询结果给所述接口模块。其中，所述接口模块可以包括公有网络接口、汇聚私有网络接口和普通私有网络接口。其中，所述地址转换映射记录表用于记录所述接口^^莫块的内网网络地址、外网网络地址、映射网络地址以及各自端口。其中，所述接口模块包括逻辑控制器、模块配置和数据解析器；所述模块配置用于描述本接口模块的属性；所述数据解析器用于对接收到的数据进行解析；所述逻辑控制器用于根据网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表的记录信息以及所述匹配关系状态标志控制数据转发和地址转换。其中，所述匹配关系状态标志包括SD匹配、INPUT、DS匹配、DM匹配和IM匹配；所述SD匹配用于记录所述输入的〈源地址，目的地址〉与所述地址转换映射记录表中〈内网地址，外网地址〉的匹配关系；INPUT用于记录所述匹配的SD记录中的输入模块与地址匹配运算器的输入模块的匹配关系；所述DS匹配用于记录所述接口模块输入的〈源地址，目的地址〉与所述地址转换映射记录表中〈外网地址，内网地址〉的匹配关系；所述羅匹配用于记录所述接口^^莫块输入的〈源地址，目的地址〉与所述地址转换映射记录表中〈外网地址，映射地址〉的匹配关系；所述IM匹配用于记录所述接口模块输入的〈目的地址〉与所述地址转换映射记录表中<映射地址〉的匹配关系。其中，所述逻辑控制器根据接收数据的来源、目的地，基于地址匹配运算器使用所述接收数据对标志位的置位，完成地址转换，对地址转换映射记录表进行增加或修改，对所述数据进行转发或者丟弃。根据本发明的另一方面，提出了一种使用上述任一可配置NAT设备的数据转发方法，包括步骤IO)、所述NAT设备的接口模块接收数据并确定所述数据的来源；步骤20)、对于来自所述接口模块所连接的网络的数据，所述接口模块确定所述网络的类型；步骤30)、所述接口模块根据所述网络类型和所述匹配关系状态标志，完成地址转换，对地址转换映射记录表进行增加或修改，转发所述数据。其中，步骤30)还包括如果所述数据来自其它接口模块，所述接口模块向本接口模块所连接的网络发送所述数据。其中，步骤30)中，如果所述网络类型为公有网络，步骤30)进一步包括步骤310)、如果所述数据的〈源地址，目的地址〉与所述地址转换映射记录表中的〈外网地址，映射地址〉匹配，将所述数据的目标地址修改为所述地址转换映射记录表中的源地址；向匹配项的所述接口模块转发修改后的所述数据；步骤320)、如果所述数据的〈源地址，目的地址〉与所述地址转换映射记录表中的〈外网地址，映射地址〉不匹配并且所述数据的<源地址，目的地址>与所述地址转换映射记录表中<外网地址，内网地址>匹配，向匹配项的所述接口模块转发修改后的所述数据。其中，步骤30)进一步包括步骤31(K)、确定所述数据的目的地址类型；步骤320')、根据所述地址类型，将数据包送入地址匹配运算器，对标志位进行置位；步骤330')、根据所述标志位对所述数据进行转发或者丟弃操作。其中，步骤31(T)中，如果所述目的地址为可^各由地址，步骤330')进一步包括如果所述数据的〈源地址，目的地址〉匹配地址转换映射记录表中〈内网地址，外网地址〉并且输入模块相同，修改所述数据的源地址为所述匹配记录中的映射地址，向公有网络接口模块发送所述数据；否则将所述映射地址作为所述数据的源地址，并且向公有网络接口模块发送所述数据。其中,步骤310')中，如果所述目的地址为普通私有接口模块外网地址，步骤33(T)进一步包括如果所述数据的〈源地址，目的地址〉匹配地址转换映射记录表中的〈外网地址，映射地址>,修改所述数据地址为匹配记录中的源地址，并相匹配记录中的接口模块发送所述数据；如果所述数据的〈源地址，目的地址〉不匹配地址转换映射记录表中的〈外网地址，映射地址〉并且所述数据的目的地址匹配表中映射地址，向所述映射地址匹配的记录的接口模块发送所述数据。.步骤30)中，如果所述网络类型为汇聚私有网络接口，步骤30)进一步包括确定所述数据的目的地址为普通私有接口模块的内网地址后进行地址匹配；如果所述数据〈源地址，目的地址〉匹配地址转换映射记录表中的〈外网地址，映射地址〉，向所述匹配记录的输入接口模块发送所述数据，否则丟弃。步骤30)中，如果所述网络类型为普通私有网络接口，步骤30)进一步包括确定所述数据的目的地址为普通私有接口模块的内网地址后进行地址匹配；如果所述数据的<源地址，目的地址>匹配地址转换映射记录表中的<外网地址，内网地址〉，《'务改所述数据的源地址为匹配记录的映射地址，并且向所述匹配记录的输入接口模块发送所述数据；如果所述数据的〈源地址，目的地址〉不匹配地址转换映射记录表中的〈外网地址，内网地址>,丟弃所述数据。通过应用本发明，将设备的输入接口连接到不同的网络，对控制表进行预赋值来进行系统的初始化工作；在可配置NAT设备的辅助下，任意两个通信节点的数据传输，至多经过一次网络地址转换，在三跳(hop)以内可以到达。相对于主流的NAT设备，本发明的可配置NAT设备，将网络地址转换与穿越功能相结合，节省了多次网络地址转换所需的时间；同时可以将数据流局限在可配置NAT设备内部，减少网络中的数据流。图1示出通过NAT设备级联的网络结构示意图2示出典型的可配置NAT设备2000的功能结构；图3示出接口模块组成结构图4-图9示出可配置NAT设备的数据转发方法流程图。具体实施例方式下面结合附图和具体实施例对本发明提供的一种实现端到端通信的可配置MT设备及其数据转发方法进行详细描述。图1所示为通过NAT设备级联的网络结构示意图，NAT设备有两个网络界面，面向内网网络的内网界面和面向外网网络的外网界面。目前，NAT外网界面一般同公有网络中的全球统一IP地址进行绑定；而内网界面一般同RFC1918中规定的私有网络地址绑定。多层NAT网络的出现，使得外网界面也可以与RFC1918中规定的私有网络地址绑定。如图所示，一个私有网络B通过NAT设备接入公有网络A，私有网络C、D、E分别通过其它NATi殳备连冲妾私有网络B,通过NAT设备接入的私有网络为该NAT设备控制的网络。直接同公有网络相连的NAT设备为根NAT设备。各私有网络到公有网络经过的最少NAT设备的个数为该私有网络的层数，该路径为私有网络到公有网络的最短路径。私有网络到公有网络的层数越少，表示层级越高。如果两个私有网络到公有网络的最短路径中至少有一个NAT设备相同，则这两个私有网络有共同的根NAT设备。多层NAT网络可以被看作是多个同根多层NAT网络的组合。NAT设备中实现NAT地址转换功能的模块称为接口模块，接口模块包括输入接口与输出接口，接口模块同时接收所连接网络与其它接口模块的输入，并向所连接的网络与其它接口模块发送数据。如果一个接口模块的输入接口连接的网络是公有网络，则称其为公有网络接口；如果一个接口模块的输入接口连接的网络是私有网络，则称其为私有网络接口；其余情况，则称其为汇聚私有网络接口。图2所示为根据本发明的一个实施例的可配置NAT设备2000,所述NAT设备2000包括接口模块、数据总线、控制总线、网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表和地址匹配运算器。实际部署中需要至少一个接口模块，在本实施例中使用5个接口模块，接口模块2101、2102、2103、2104和2015，其中，2101为公有网络接口，2102为汇聚私有网络接口，2103、2104和2105为普通私有网络接口。控制总线2401、2402和2403连接每一个接口4莫块并且分别连接网络连接关系控制矩阵、地址转换映射记录表和接口模块属性表，每一个接口模块通过控制总线分别和网络连接关系控制矩阵、地址转换映射记录表以及接口模块属性表进行交互，接口模块经控制总线向网络连接关系控制矩阵发出查询请求，网络连接关系控制矩阵经控制总线返回查询结果给对应接口模块。数据总线2300在接口模块之间传送数据。网络连接关系控制矩阵记录接口模块所接入网络之间的连接关系，如表1所示。若存在网络A到网络B的直接连接，则表中相应位置值为1;否则为0。对角线值为O。在可配置NAT设备接入网络时，网络连接关系矩阵被初始化。表l网络连接关系控制矩阵<table>tableseeoriginaldocumentpage12</column></row><table>接口模块收到数据后，根据本模块逻辑控制器的处理逻辑确定了数据包的外出接口，会在地址转换映射记录表中记录连接的状态，如表2所示。表2地址转换映射记录表<table>tableseeoriginaldocumentpage13</column></row><table>地址匹配运算器2501接收接口才莫块传来的一个〈源地址，目的地址〉对作为输入，查找地址转换映射记录表，分别进行如下匹配后，对5个标志位进行置位，包括(1)、SD匹配，输入的〈源地址，目的地址〉对是否在表中有〈内网地址，外网地址〉对与之匹配；若有，SD置为1，否则，SD置为O。与之匹配的记录项记为SD记录；如果SD记录中的输入模块，与地址匹配运算器的输入模块相同，则INPUT置为l，否则INPUT置为0。(2)、DS匹配，输入的〈源地址，目的地址〉对是否在表中有〈外网地址，内网地址〉对与之匹配；若有，DS置为1，否则，DS置为O。与之匹配的记录项记为DSi己录。(3)、画匹配，输入的〈源地址，目的地址〉对是否在表中有〈外网地址，映射地址〉与之匹配；若有，DM置为1，否则，DM置为O。与之匹配的记录项记为DM记录。若有，IM置为1，否则，IM置为O。与之匹配的记录项记为IM记录。接口模块接收来自网络或者其它接口模块的数据，完成地址转换，并将数据转发，转发目的地可以是其它接口模块或者本模块接入的网络。如图3所示，接口模块包括逻辑控制器3102、模块配置3101、数据解析器3103,通过外出连接线3104接入网络，通过数据总线2300连接到其它接口模块。模块配置3101用于描述本接口模块的属性，诸如所连接的网络类型；数据解析器3103用于对接收到的数据进行解析，诸如数据的来源、数据目的地；逻辑控制器3102是接口模块的核心，用于控制数据转发；外出连接线3104包括在每个接口模块中，将接口模块接入网络。图4-图9示出使用前面所述的可配置NAT设备的数据转发方法的流程图，具体实现步骤见下文描述。如图4所示，S4001:开始，等待接收数据；S4002:判断接收到数据分组的来源；S4003:如果数据分组来自接口模块间，进入图5中的接口模块间数据处理流程S4003;S4004:如果数据分组来自所连接的网络，进入图6中的网络中数据处理流程S4004。接口模块数据处理流程如图5所示，S5001:接收到来自模块之间的数据，向本模块连接的网络发送该数据分组。跳转S4001。网络中数据处理流程如图6所示，S6001:判断本接口连接到的网络类型；若为公有网络接口，跳转S6002进入图7的^^有网络接口数据处理；若为普通私有网络接口，跳转S6003进入图8的普通私有网络接口数据处理；若为汇聚私有网络接口，跳转S6004进入图9的汇聚私有网络接口数据处理。公有网络接口数据处理流程如图7所示，S6101:进行地址匹配，若DM标志位为l,跳转S6102;若DM^而且DS4，跳转6104;否则跳转S6105;'S6102:根据DM记录，将数据分组的目标地址修改为DM记录中的源地址；转S6103;S6103:向DM记录中的输入接口模块转发修改后的数据分组，转S6002;S6104:向DS记录中的输入接口模块转发数据分组，转S6002;S6105:丟弃数据分组，转S6002。普通私有网络接口数据处理如图8所示，S6201:判断该分组的目标地址类型，如果属于可路由地址或者汇聚私有网络^接口^t块内网地址列表，转S6202;如果属于普通私有网络接口模块内网地址列表，转S6206;如果属于普通私有网络接口模块外网地址列表，转S6212;否则转S6210;S6202:进行地址匹配，若SD=1且INPUT=1,转S6203，否则转S6205;S6203:根据SD记录，修改分组的源地址为记录中的映射地址，转6204;S6204:向连接公有网络/汇集私有网络的接口模块发送该数据分组，如果分组目标地址是可路由网络，则向连接公有网络的接口模块发送数据分组，如果分组目标地址是汇聚私有网络，则根据网络连接关系控制矩阵，向与本接口模块有连接关系的汇聚私有网络接口模块发送数据分组，转S6003;S6205:在地址转换映射记录表中加入新记录，并将分组源地址更改为映射地址，转S6204;S6206:进4亍地址匹配，如果DS-1且SD4，转S6207;如果DS-1且SD^，转S6209;如果DS-l且SD-l,转S6210;如果DS^且SD-0，转转S6211;S6207:根据SD记录，修改数据分组源地址为记录中的映射地址，转S6208;S6208:向DS记录中的输入接口模块转发数据分组，转S6003;S6209:分配映射点，在地址转换映射记录表中加入新记录，转S6207;S621G:丟弃数据分组，转S6003;S6211:分配映射点，在地址转换映射记录表中加入新记录，转S6210;S6212:进^亍地址匹配，如果DM4,转S6213;如果DM-O且頂=1，转S6214。否则转S6210;S6213:修改目的地址为DM记录中的源地址，向所查的DM记录中的接口模块发送该数据分组，转S6003;S6214:增加映射表记录，其中目的地址为IM记录中的源地址，将映射点网络地址和端口作为当前数据分组的源地址，转S6215;S6215:》务改目的地址为頂记录中的源地址，向所查的IM记录中的接口模块发送该数据分组，转S6003;汇聚私有网络接口数据处理如图9所示，S6301:判断该^:据分组的目标地址类型，如果是可5^由地址，转S6302;如果属于普通私有网络接口模块内网地址列表，转S6306,如果属于普通私有网络接口模块外网地址列表，转S6309;S6302:进4亍地址匹配，如果SD-1且INPUT=1，转S6303;否则转S6305;S6303:将数据分组的源地址修改为SD记录中映射地址，转S6304;S6304:向连接公有网络的接口模块发送该数据分组，转S4001;S6305:分配一个新的映射点，增加地址转换映射记录表记录，并修改数据分组的源地址为映射地址，转S6304;S6306:进行地址匹配，如果DS-1，转S6307;否则转S6308;S6307:向所查的DM记录中的输入接口模块发送该数据分组，转S6004;S6308:丢弃数据分组，转S6004;S6309:修改目的地址为画记录中的源地址，向DM记录中的输入接口模块发送该数据分组，转S6004。最后应说明的是，以上实施例仅用以描述本发明的技术方案而不是对本技术方法进行限制，本发明在应用上可以延伸为其他的修改、变化、应用和实施例，并且因此认为所有这样的修改、变化、应用、实施例都在本发明的精神和教导范围内。权利要求1.一种实现端到端通信的可配置NAT设备，包括一个或者多个接口模块、网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表和地址匹配运算器；所述网络连接关系控制矩阵用于记录接口模块所接入网络之间的连接关系；所述地址转换映射记录表用于记录所述接口模块的连接状态；所述接口模块属性表用于记录所述接口模块所连接网络的类型以及所述网络进行地址转换时所使用的内网地址与外网地址；所述地址匹配运算器用于匹配所接收数据包的<源地址，目的地址>和地址转换映射记录表，设定匹配关系状态标志；所述一个或者多个接口模块通过控制总线分别连接网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表和地址匹配运算器，所述接口模块之间通过数据总线传送数据；所述一个或者多个接口模块根据网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表的记录信息以及所述匹配关系状态标志，接收来自网络或者其它接口模块的数据，完成地址转换，并将所述数据转发往其它接口模块或者本接口模块接入的网络。2、权利要求l的设备，其中，所述接口模块可以经所述控制总线向所述网络连接关系控制矩阵发出查询请求，所述网络连接关系控制矩阵经所述控制总线返回查询结果给所述接口模块。3、权利要求l的设备，其中，所述接口模块可以包括公有网络接口、汇聚私有网络接口和普通私有网络接口。4、权利要求l的设备，其中，所述地址转换映射记录表用于记录所述接口模块的内网网络地址、外网网络地址、映射网络地址以及各自端口。5、权利要求l的设备，其中，所述接口模块包括逻辑控制器、模块配置和数据解析器；所述模块配置用于描述本接口模块的属性；所述数据解析器用于对接收到的数据进行解析；所述逻辑控制器用于根据网络连接关系控制矩阵、地址转换映射记录表、接口模块属性表的记录信息以及所述匹配关系状态标志控制数据转发和地址转换。6、权利要求1的设备，其中，所述匹配关系状态标志包括SD匹配、INPUT、DS匹配、DM匹配和IM匹配；所述SD匹配用于记录所述l命入的〈源地址，目的地址〉与所述地址转换映射记录表中〈内网地址，外网地址〉的匹配关系；INPUT用于记录所述匹配的SD记录中的输入模块与地址匹配运算器的输入模块的匹配关系；所述DS匹配用于记录所述接口模块输入的〈源地址，目的地址〉与所述地址转换映射记录表中〈外网地址，内网地址〉的匹配关系；所述画匹配用于记录所述接口模块输入的〈源地址，目的地址〉与所述地址转换映射记录表中〈外网地址，映射地址〉的匹配关系；所述IM匹配用于记录所述接口模块输入的〈目的地址>与所述地址转换映射记录表中<映射地址>的匹配关系。7、权利要求l的设备，其中，所述逻辑控制器根据接收数据的来源、目的地，基于地址匹配运算器使用所述接收数据对标志位的置位，对地址转换映射记录表进行增加或修改，对所述数据进行转发或者丢弃。8、一种权利要求1到7任一项所述的可配置NAT设备的数据转发方法，包括步骤IO)、所述NAT设备的接口模块接收数据并确定所述数据的来源；步骤20)、对于来自所述接口模块所连接的网络的数据，所述接口模块确定所述网络的类型；步骤30)、所述接口模块根据所述网络类型和所述匹配关系状态标志，完成地址转换，转发所述数据。9、权利要求8的方法，其中，步骤30)还包括如果所述数据来自其它接口模块，所述接口模块向本接口模块所连接的网络发送所述数据。10、权利要求8的方法，其中，步骤30)中，如果所述网络类型为公有网络，步骤30)进一步包括步骤310)、如果所述数据的〈源地址，目的地址〉与所述地址转换映射记录表中的〈外网地址，映射地址〉匹配，将所述数据的目标地址修改为所述地址转换映射记录表中的源地址；向匹配项的所述接口模块转发修改后的所述数据；步骤320)、如果所述数据的〈源地址，目的地址〉与所述地址转换映射记录表中的〈外网地址，映射地址〉不匹配并且所述数据的〈源地址，目的地址>与所述地址转换映射记录表中<外网地址，内网地址〉匹配，向匹配项的所述接口模块转发修改后的所述数据。11、权利要求8的方法，其中，步骤30)进一步包括步骤31(T)、确定所述数据的目的地址类型；步骤320')、根据所述地址类型，将数据包送入地址匹配运算器，对标志位进行置位；步骤330')、根据所述标志位，对数据包进行地址转换，对地址转换映射记录表进行增加或修改，对所述数据进行转发或者丟弃操作。12、权利要求ll的方法，其中，步骤31(T)中，如果所述目的地址为可路由地址，步骤33(T)进一步包括如果所述数据的〈源地址，目的地址〉匹配地址转换映射记录表中〈内网地址，外网地址〉并且输入模块相同，修改所述数据的源地址为所述匹配记录中的映射地址，向7>有网络接口模块发送所述数据；否则将所述映射地址作为所述数据的源地址，并且向公有网络接口模块发送所述数据。13、权利要求ll的方法，其中，步骤310')中，如果所述目的地址为普通私有接口才莫块外网地址，步骤33(K)进一步包括如果所述数据的〈源地址，目的地址〉匹配地址转换映射记录表中的〈外网地址，映射地址〉，》务改所述凄t据地址为匹配记录中的源地址，并相匹配记录中的4妄口才莫块发送所述数据；如果所述数据的〈源地址，目的地址〉不匹配地址转换映射记录表中的〈外网地址，映射地址〉并且所述教:据的目的地址匹配表中映射地址，向所述映射地址匹配的记录的接口模块发送所述数据。14、权利要求8的方法，步骤30)中，如杲所述网络类型为汇聚私有网络接口，步骤30)进一步包括确定所述数据的目的地址为普通私有接口模块的内网地址后进行地址匹配；如果所述数据〈源地址，目的地址〉匹配地址转换映射记录表中的〈外网地址，映射地址>,向所述匹配记录的输入接口模块发送所述数据，否则丢弃。15、权利要求8的方法，步骤30)中，如果所述网络类型为普通私有网络接口，步骤30)进一步包括确定所述^t据的目的地址为普通私有接口才莫块的内网地址后进行地址匹配；如果所述数据的〈源地址，目的地址〉匹配地址转换映射记录表中的〈外网地址，内网地址〉，4奮改所述数据的源地址为匹配记录的映射地址，并且向所述匹配记录的输入接口模块发送所述数据；如果所述数据的〈源地址，目的地址〉不匹配地址转换映射记录表中的〈外网地址，内网地址〉，丢弃所述凄t据。全文摘要本发明公开一种实现端到端通信的可配置NAT设备及其运行方法，包括网络连接关系控制矩阵记录接口模块所接入网络之间的连接关系；地址转换映射记录表记录所述接口模块的连接状态；接口模块属性表记录所述接口模块所连接网络的类型以及所述网络进行地址转换时所使用的内网地址与外网地址；接口模块根据上述记录信息以及所述匹配关系状态标志，接收来自网络或者其它接口模块的数据，完成地址转换，并将所述数据转发往其它接口模块或者本接口模块接入的网络。通过本发明，任意两个通信节点的数据经过一次网络地址转换，在三跳以内可以到达；本发明节省多次网络地址转换所需的时间，将数据流局限在可配置NAT设备内部，减少网络中的数据流。文档编号H04L12/56GK101369968SQ20081011796公开日2009年2月18日申请日期2008年8月18日优先权日2008年8月18日发明者川傅,张国清,秦卓琼申请人:中国科学院计算技术研究所