技術領域

本發明涉及一種NAT下的快道轉發系統的實現方法，屬于網絡轉發優化技術領域。

背景技術

互聯網的日益盛行，IPv4地址日益匱乏，導致絕大部分的互聯網用戶無法直接使用公網IPv4地址訪問互聯網，只能以NAT地址轉換共享公網IPv4方式訪問互聯網。網絡設備的NAT地址轉換性能，直接影響網絡設備的轉發效率。互聯網應用繽紛多彩，娛樂、商務、語音、視頻、信息安全服務等各種各樣應用逐漸滲入人們的基本生活,對網絡的帶寬/轉發效率也越來越高。現在網絡設備己不僅是扮演網絡報文轉發者的角色，更多的會承載諸多的互聯網應用如:防火墻、關鍵字過濾、網絡行為監控、用戶認證、NAT地址轉換等。隨著網絡設備承擔互聯網應用的增多，網絡設備的轉發性能逐漸成為系統瓶頸，極大的影響用戶的網絡應用體驗。

由于IPv4地址的缺乏，絕大多數的互聯網用戶均在NAT地址轉換形式下訪問互聯網。隨著互聯網用戶、網絡設備承載互聯網應用的增多,網絡設備在網絡中的轉發性能勢必受到極大的影響。用戶訪問互聯網應用所產生的網絡報文，除每一個網絡報文需要進行NAT轉換的同時，若每一個網絡報文均受網絡設備承載的應用分析如:防火墻、關鍵字過濾、網絡行為監控、用戶認證等處理的話，勢必導致處理單個網絡報文所消耗的CPU時周期變長，直接影響CPU在單位時間內的網絡報文轉發性能。目前也存在采用專門的硬件模塊來進行NAT轉換與轉發處理，以提高網絡設備轉發性能的解決方案。但在更新企業網絡設備硬件的同時，也存在著昂貴的資金成本投入，廢棄下來的網絡設備在一定程度也是企業的資源浪費。實際上對于每個應用的每一條數據流相關的每一個網絡報文，在流經網絡設備確認允許轉發后，該數據流后續相關的網絡報文無需再移交給相關的互聯網應用模塊處理如:防火墻、關鍵字過濾、網絡行為監控、用戶認證等，可直接采用網絡報文所屬流中的NAT信息/路由信息可移交由NAT下的快道轉發系統進行轉發處理，極大的縮短了單個網絡報文所消耗的CPU時周期，CPU單位時間內的網絡報文轉發性能將成倍提升。

發明內容

本發明針對網絡設備承載互聯網應用增多、NAT地址轉換轉發效率低的不足，提供一種linux?NAT下的快道轉發系統的實現方法，以改善網絡設備的轉發性能。

本發明的目的通過以下技術方案來實現：

NAT下快道轉發系統的實現方法，特點是：在流的定義中增加一個屬性快道，表示流是否移交由快道轉發處理或是移交由網絡層按默認的網絡轉發處理流程處理；在流的定義中增加一個屬性路由，表示流相關網絡報文關聯的路由信息，在快道轉發流相關網絡報文時使用，避免二次路由查詢，提高網絡報文處理效率；在流定義中增加一屬性流標記位，表示向關注流的模塊提供快道轉發流關注標記位，若模塊流關注流標記置位，則模塊允許流相關網絡報文移交由快道轉發，否則流相關網絡報文需繼續移交由模塊處理，當流所有關注模塊將關注流標記置位后，流后續相關網絡報文將移交快道轉發。

進一步地，上述的NAT下快道轉發系統的實現方法，輸入為需要轉發的網絡報文，首先獲取網絡報文對應的流，如果獲取不到則網絡報文移交網絡層按默認的網絡轉發處理流程轉發，由Linux?conntrack模塊建立網絡報文所屬的流，否則檢查網絡報文所屬流的快道屬性，若網絡報文所屬流的快道屬性置位則移交由快道轉發系統處理轉發網絡報文，否則網絡報文移交網絡層按默認的網絡轉發處理流程轉發；

當網絡報文移交網絡層按默認的網絡轉發處理流程轉發時，建立網絡報文所屬的流，同時移交關注流的互聯網應用模塊分析處理網絡報文，以便對網絡報文所屬流的流標記位屬性進行置位，最終決定網絡報文所屬流對關注流的互聯網應用模塊是否允許快道轉發并對網絡報文所屬流的快道屬性置位，同時在經由網絡層路由查詢后,將網絡報文查詢到的路由信息與網絡報文所屬流的路由屬性進行流路由信息關聯；

當網絡報文移交由快道轉發系統處理轉發網絡報文時，首先對網絡報文進行NAT轉換，再根據網絡報文所屬流的路由屬性獲取網絡報文路由信息轉發網絡報文。

本發明技術方案突出的實質性特點和顯著的進步主要體現在：

本發明提出NAT快道轉發的方法，極大的提高了網絡設備NAT轉發性能；?提出流綁定路由信息，縮短己建立流的網絡報文路由查詢時間；提出流標記位，允許互聯網應用關注該流而不僅是該流的網絡報文，當所有互聯網應用不再關注該流時，該流后續相關網絡報文直接進行NAT快道轉發，不再移交互聯網應用處理，大大減少CPU資源消耗。

附圖說明