技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)，特別涉及一種NAT轉(zhuǎn)換方法及設(shè)備。

背景技術(shù)

目前，業(yè)界的數(shù)據(jù)中心往往不是在一個(gè)地方，而是存在于多個(gè)地方的數(shù)據(jù)中心通過二層互聯(lián)起來。這時(shí)，數(shù)據(jù)中心內(nèi)部的服務(wù)器間是通過二層交換，而公網(wǎng)的訪問一般都是通過三層來訪問的。

由于數(shù)據(jù)中心是已經(jīng)互聯(lián)組成的二層網(wǎng)絡(luò)，在傳統(tǒng)技術(shù)上往往是通過VRRP（Virtual?Router?Redundancy?Protocol，虛擬路由器冗余協(xié)議）等協(xié)議協(xié)商或者配置某一個(gè)數(shù)據(jù)中心的交換機(jī)為三層網(wǎng)關(guān)，其他的數(shù)據(jù)中心的三層流量都從該數(shù)據(jù)中心的網(wǎng)關(guān)出去，同樣公網(wǎng)的訪問流量也是通過該數(shù)據(jù)中心的網(wǎng)關(guān)進(jìn)來再轉(zhuǎn)發(fā)到對(duì)應(yīng)的數(shù)據(jù)中心。

圖1是現(xiàn)有數(shù)據(jù)中心的一種典型組網(wǎng)示意圖。在該組網(wǎng)下，數(shù)據(jù)中心A的核心交換機(jī)和數(shù)據(jù)中心B的核心交換機(jī)間建立VRRP連接，通過VRRP連接來選擇數(shù)據(jù)中心A的核心交換機(jī)或者B的核心交換機(jī)為VRRP的Master設(shè)備（主設(shè)備），將Master設(shè)備的VRRP接口作為整個(gè)數(shù)據(jù)中心的三層網(wǎng)關(guān)。

當(dāng)Master設(shè)備為數(shù)據(jù)中心A的核心交換機(jī)時(shí)，數(shù)據(jù)中心B下面的服務(wù)器ServerA和ServerB（也可稱為終端）等進(jìn)行三層轉(zhuǎn)發(fā)以及與公網(wǎng)進(jìn)行三層互通時(shí)，都需要通過數(shù)據(jù)中心間的接口到數(shù)據(jù)中心A上繞一圈。例如，ServerA訪問公網(wǎng)時(shí)的具體訪問路徑見圖1中的曲線箭頭?？梢姡瑘D1所示組網(wǎng)下，終端與公網(wǎng)之間的流量可能需要跨越昂貴的傳輸鏈路進(jìn)行跨區(qū)域傳輸，這給原本就帶寬不大的數(shù)據(jù)中心互聯(lián)端口增加了壓力。

為解決現(xiàn)有數(shù)據(jù)中心三層流量跨區(qū)域傳輸?shù)膯栴}，本申請(qǐng)的發(fā)明人在另一件專利申請(qǐng)中提出了一種實(shí)現(xiàn)本地三層終結(jié)的技術(shù)方案，其主要思想是：在多區(qū)域的各網(wǎng)關(guān)之間組建VRRP組、同一VRRP組內(nèi)的各網(wǎng)關(guān)使用相同的虛擬MAC地址和虛擬IP地址作為網(wǎng)關(guān)地址的場(chǎng)景下，本地網(wǎng)關(guān)使能三層終結(jié)功能，本地終端就近從本地網(wǎng)關(guān)上行，在本地進(jìn)行三層終結(jié)，只有本地網(wǎng)關(guān)上行故障時(shí)才跨越二層鏈路從遠(yuǎn)端網(wǎng)關(guān)上行。

由于在實(shí)際組網(wǎng)時(shí)，網(wǎng)關(guān)的功能可能置于交換設(shè)備中實(shí)現(xiàn)，也可能置于獨(dú)立存在的網(wǎng)關(guān)設(shè)備中實(shí)現(xiàn)，并且，交換設(shè)備之間可能采取環(huán)形組網(wǎng)的方式直接相連，也可能采取星形組網(wǎng)的方式通過互聯(lián)設(shè)備相連，因此，本申請(qǐng)發(fā)明人提出的上述技術(shù)方案中將部署VRRP協(xié)議、且實(shí)現(xiàn)網(wǎng)關(guān)功能的設(shè)備統(tǒng)稱為網(wǎng)關(guān)。將上述技術(shù)方案應(yīng)用到圖1所示組網(wǎng)，核心交換機(jī)作為所述獨(dú)立的網(wǎng)關(guān)設(shè)備，部署VRRP協(xié)議作為網(wǎng)關(guān)，并實(shí)施上述技術(shù)方案，實(shí)現(xiàn)本地優(yōu)先三層終結(jié)。

按照現(xiàn)有技術(shù)，圖1所示數(shù)據(jù)中心A和數(shù)據(jù)中心B中的核心交換機(jī)向外發(fā)布相同的路由地址，通過對(duì)數(shù)據(jù)中心A的核心交換機(jī)所發(fā)布的路由地址設(shè)置較高的優(yōu)先級(jí)，使得來自公網(wǎng)的報(bào)文由數(shù)據(jù)中心A的核心交換機(jī)轉(zhuǎn)發(fā)給下游的終端，從而保證由終端發(fā)向公網(wǎng)的報(bào)文與公網(wǎng)發(fā)向相應(yīng)終端的報(bào)文的轉(zhuǎn)發(fā)路徑一致。

然而，實(shí)施本地優(yōu)先三層終結(jié)方案后，兩個(gè)數(shù)據(jù)中心中的核心交換機(jī)作為各自所屬數(shù)據(jù)中心的本地三層網(wǎng)關(guān)，數(shù)據(jù)中心A的上行三層流量就近從數(shù)據(jù)中心A的核心交換機(jī)三層終結(jié)并發(fā)送到公網(wǎng)，數(shù)據(jù)中心B的上行三層流量就近從數(shù)據(jù)中心B的核心交換機(jī)三層終結(jié)并發(fā)送到公網(wǎng)，若核心交換機(jī)采用普通路由交換設(shè)備，按照上述現(xiàn)有技術(shù)，這兩個(gè)數(shù)據(jù)中心的核心交換機(jī)向外發(fā)布相同的路由地址，這些路由將可能形成等價(jià)路由，使得從公網(wǎng)發(fā)向終端的報(bào)文可能在這兩個(gè)數(shù)據(jù)中心隨機(jī)選擇路徑，極可能導(dǎo)致三層流量上下行路徑不一致，并且流量下行路徑不確定，也不利于流量監(jiān)控、管理以及防攻擊。

除圖1所示組網(wǎng)外，現(xiàn)有技術(shù)中還有一種典型的組網(wǎng)如圖2所示。在圖2所示組網(wǎng)下，兩個(gè)數(shù)據(jù)中心中的匯聚交換機(jī)作為所述交換設(shè)備實(shí)施本申請(qǐng)發(fā)明人提出的上述技術(shù)方案，作為各自所屬數(shù)據(jù)中心的本地三層網(wǎng)關(guān)，對(duì)本數(shù)據(jù)中心的上行三層流量進(jìn)行本地優(yōu)先三層終結(jié)。在圖2所示組網(wǎng)下，同樣存在三層流量上下行路徑不一致的問題，以及由于流量下行路徑不確定，所導(dǎo)致的不利于流量監(jiān)控、管理以及防攻擊的問題。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环NNAT轉(zhuǎn)換方法及設(shè)備，以在多區(qū)域互連且本地網(wǎng)關(guān)對(duì)本地終端的流量?jī)?yōu)先三層終結(jié)的場(chǎng)景下，使各區(qū)域的三層流量保持上下行路徑一致。

本申請(qǐng)?zhí)峁┑囊环NNAT轉(zhuǎn)換方法，應(yīng)用于多區(qū)域互連且本地網(wǎng)關(guān)對(duì)本地終端的流量?jī)?yōu)先三層終結(jié)的場(chǎng)景，該方法包括：

互連的各個(gè)區(qū)域中的網(wǎng)關(guān)部署NAT功能，分別向公網(wǎng)發(fā)布不同網(wǎng)段的IP地址作為各自的路由地址；

對(duì)本地終端發(fā)往公網(wǎng)的報(bào)文，將所述報(bào)文的源IP地址修改為對(duì)應(yīng)的路由地址，再將所述報(bào)文發(fā)送到公網(wǎng)。

該方法可以進(jìn)一步包括：