技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種基于NAT的報文轉(zhuǎn)發(fā)方法和設(shè)備。?

背景技術(shù)

NAT（Network?Address?Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)報文頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實際應(yīng)用中，NAT主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公網(wǎng)IP地址代表較多的私網(wǎng)IP地址的方式，將有助于減緩可用IP地址空間的枯竭。?

圖1描述了一種基本的NAT應(yīng)用，其地址轉(zhuǎn)換的基本過程包括：?

（1）內(nèi)網(wǎng)用戶主機Host（192.168.1.3）向外網(wǎng)服務(wù)器Server（1.1.1.2）發(fā)送的IP數(shù)據(jù)報文通過NAT設(shè)備。?

（2）NAT設(shè)備查看IP數(shù)據(jù)報文的報頭內(nèi)容，發(fā)現(xiàn)該報文是發(fā)往外網(wǎng)的，將其源IP地址字段的私網(wǎng)地址192.168.1.3轉(zhuǎn)換成一個可在Internet上選路的公網(wǎng)地址20.1.1.1，并將該報文發(fā)送給外網(wǎng)服務(wù)器，并在NAT設(shè)備的網(wǎng)絡(luò)地址轉(zhuǎn)換表中記錄這一地址轉(zhuǎn)換前后的映射關(guān)系。?

（3）外網(wǎng)服務(wù)器給內(nèi)網(wǎng)用戶發(fā)送的應(yīng)答報文（其初始目的IP地址為20.11.1）到達NAT設(shè)備后，NAT設(shè)備查看報頭內(nèi)容，然后查找網(wǎng)絡(luò)地址轉(zhuǎn)換表的記錄，用對應(yīng)的內(nèi)網(wǎng)私有地址192.168.1.3替換初始的目的IP地址。?

上述的NAT過程對終端（如圖1中的Host和Server）來說是透明的。對外網(wǎng)服務(wù)器而言，它認(rèn)為內(nèi)網(wǎng)用戶主機的IP地址就是20.1.1.1，并不知道有192.168.1.3這個地址。?

地址轉(zhuǎn)換的優(yōu)點在于，在為內(nèi)部網(wǎng)絡(luò)主機提供了“隱私”保護的前提下，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)的主機通過該功能訪問外部網(wǎng)絡(luò)的資源。?

通常情況下，NAT設(shè)備上連接到用戶內(nèi)部網(wǎng)絡(luò)的接口稱為NAT內(nèi)部接口，?連接到外部網(wǎng)絡(luò)（如Internet）的接口稱為NAT外部接口。在實際應(yīng)用中，NAT設(shè)備上可能存在多個NAT外部接口，并且形成等價路由。如圖2所示，當(dāng)用戶從用戶內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)時，NAT設(shè)備有可能有多個外部接口形成等價路由。此種情況下，如果外部接口連接的單板不是做NAT轉(zhuǎn)換的單板，則經(jīng)過NAT轉(zhuǎn)換后的報文經(jīng)過該外部接口所在的單板后，會再次進行路由查找，由于外部接口的路由是等價路由，因此按照等價路由負(fù)載分擔(dān)的算法，比如HASH（哈希）算法，從等價路由中選擇一路由，并從對應(yīng)的外部接口將報文轉(zhuǎn)發(fā)出去，這樣，對于該用戶的網(wǎng)絡(luò)訪問過程，在NAT設(shè)備上將無法保證從外網(wǎng)->內(nèi)網(wǎng)的請求報文的入接口，與從內(nèi)網(wǎng)->外網(wǎng)的應(yīng)答報文的出接口保持一致。?

因此，亟需一種技術(shù)，能夠保證在這種情況下，在NAT設(shè)備上實現(xiàn)從外部接口進來的報文經(jīng)過NAT轉(zhuǎn)換后仍然從該外部接口轉(zhuǎn)發(fā)出去。?

發(fā)明內(nèi)容

本發(fā)明實施例提供了一種基于NAT的報文轉(zhuǎn)發(fā)方法和設(shè)備，用于在NAT設(shè)備的外部接口有等價路由存在的情況下，實現(xiàn)從外部接口進來的報文返回的時候也從該外部接口發(fā)送出去。?

本發(fā)明實施例提供的一種基于NAT的報文轉(zhuǎn)發(fā)方法，該方法包括：?

NAT設(shè)備的NAT模塊從內(nèi)部接口接收報文并進行NAT轉(zhuǎn)換，根據(jù)地址轉(zhuǎn)換表查詢對應(yīng)的外部接口，查詢所述外部接口所在的ARP表中的IP地址，將查詢到的IP地址轉(zhuǎn)換MAC地址并用該MAC地址替換該報文的源MAC地址，將該報文發(fā)送給連接外部接口的硬件轉(zhuǎn)發(fā)模塊；?

連接外部接口的硬件轉(zhuǎn)發(fā)模塊根據(jù)NAT模塊發(fā)來的報文的源MAC地址匹配策略路由，根據(jù)匹配到的策略路由所重定向到的目的IP地址查詢對應(yīng)的ARP表項中的出接口，將該報文的源MAC地址更新為所述出接口的MAC地址，從所述出接口轉(zhuǎn)發(fā)該報文。?

其中，所述策略路由的配置過程包括：所述NAT設(shè)備的路由協(xié)議模塊向連接外部接口的硬件轉(zhuǎn)發(fā)模塊配置路由時，查詢路由的下一跳IP地址的屬性，若路由的下一跳IP地址為指向外部接口學(xué)習(xí)過來的直連路由，則將所述下一跳IP地址轉(zhuǎn)換為MAC地址，并根據(jù)轉(zhuǎn)換后的MAC地址在所述硬件轉(zhuǎn)發(fā)模塊中配置策略路由，所述策略路由用于將源MAC地址與所述轉(zhuǎn)換后的MAC地址匹配的報文重定向到所述下一跳IP地址。?

或者，所述策略路由的配置過程包括：所述NAT設(shè)備的ARP模塊從外部接口學(xué)習(xí)到ARP表項后，將所述ARP表項中的IP地址轉(zhuǎn)換為MAC地址，并根據(jù)轉(zhuǎn)換后的MAC地址在連接外部接口的硬件轉(zhuǎn)發(fā)模塊中配置策略路由，所述策略路由用于將源MAC地址與所述轉(zhuǎn)換后的MAC地址匹配的報文重定向到所述ARP表項中的IP地址。?