技術領域

本發明涉及網絡通信技術，尤其涉及一種網絡地址轉換(NAT，NetworkAddress?Translation)業務控制方法及裝置。

背景技術

網絡地址轉換是一種將私網網際協議(IP，Internet?Protocol)地址轉換為公網IP地址的技術，主要用于實現私有網絡訪問公有網絡的功能，它可以使多臺私網計算機共享Internet連接，很好地解決公共IP地址資源緊缺的問題。

在NAT應用中，私網主機不僅可以訪問公網資源，同時也可以對外提供服務，即給公有網絡提供訪問私有網絡的機會。目前，無論是私網訪問公網的業務還是私網對外提供服務的業務，都是通過靜態配置的方式來進行業務控制的。對于私網訪問公網的業務，通常在NAT網關上靜態配置訪問控制列表(ACL，Access?Control?List)，指定具有某些特征的IP報文才可以使用外網地址池中的地址進行NAT服務，NAT網關收到私網主機發出的IP報文后，根據靜態配置的ACL判斷該IP報文是否需要進行NAT服務，如果需要，則執行NAT轉換，并建立轉換關系表。對于私網對外提供服務的業務，是通過靜態配置相應的網絡地址轉換服務器(NAT-Server)表項來控制的，在NAT-Server表項中指定私網主機可以對外提供的服務類型，并據此NAT-Server表項控制外網的訪問，如允許私網主機對外提供文件傳輸協議(FTP，File?Transfer?Protocol)服務等。

但是，上述靜態NAT業務控制方式存在以下缺點：

一、靈活性較差，不便于管理。

比如，在使用動態主機配置協議(DHCP，Dynamic?Host?ConfigurationProtocol)進行動態地址分配的情況下，同一個私網用戶可能會使用多個私網IP地址來訪問外網，由于對于同一個用戶，其對外網的訪問權限應該是一致的，因此如果通過靜態配置ACL來控制NAT用戶對外網的訪問，那么就需要根據當前網絡的地址管理方法在NAT網關上配置ACL規則。在用戶很多且又采用動態IP地址分配的情況下，上述ACL配置過程將較為復雜，并且修改起來也較為麻煩，靈活性較差，不便于管理。

二、不能夠為用戶提供個性化的NAT服務。

靜態配置ACL的方式使得NAT業務控制只能基于IP報文特征進行，而不能基于用戶進行。當不同用戶使用同一臺主機訪問外網時，該主機發出的IP報文特征可能相同，雖然不同用戶的內外網訪問業務可能是不一樣的，但是靜態配置ACL的方式并不能區分這種情況，對于具有相同特征的IP報文都會執行相同的處理，無法為不同用戶提供個性化的NAT服務。

發明內容

有鑒于此，本發明的主要目的在于提供一種NAT業務控制方法及裝置，提升NAT業務控制的靈活性，實現為用戶提供個性化的NAT服務。

為達到上述目的，本發明提供的技術方案如下：

一種網絡地址轉換NAT業務控制方法，在認證授權計費AAA服務器上建立針對用戶的NAT服務描述信息，該方法包括：當用戶上線并通過認證授權后，從AAA服務器獲取該用戶的NAT服務描述信息，NAT網關根據所述NAT服務描述信息對該用戶的NAT業務進行控制。

所述從AAA服務器獲取該用戶的NAT服務描述信息的過程包括：用戶通過認證授權后，AAA服務器將該用戶的NAT服務描述信息發送給接入設備，接入設備將收到的NAT服務描述信息通知給NAT網關。

所述NAT網關根據所述NAT服務描述信息對該用戶的NAT業務進行控制包括：NAT網關收到所述用戶的NAT服務描述信息后，判斷該用戶的服務類別，如果是內網訪問外網的業務，則根據收到的NAT服務描述信息動態生成對應的ACL，將該ACL與外網地址池綁定，并根據動態生成的ACL控制該用戶內網訪問外網的業務；如果是內網向外網提供服務，則根據收到的NAT服務描述信息建立該用戶的NAT-Server表項，并據此NAT-Server表項對內網向外網提供服務的業務進行控制。

所述根據動態生成的ACL控制該用戶內網訪問外網的業務包括：NAT網關收到所述用戶訪問外網的報文后，判斷收到的報文是否匹配動態生成的ACL，如果匹配，則從與該ACL綁定的外網地址池中選擇一個外網IP地址，對該報文進行NAT轉換，建立轉換關系表項，并將轉換后的報文發送出去。