一种可回溯的NAPT动态地址映射方法技术

本发明专利技术提出了一种可回溯的NAPT动态地址映射方法，建立NAT地址池分组以及端口范围的分组，通过计算获知私网IP与公网IP和端口范围的对应关系，建立NAPT的正反向映射表，通过NAPT的反向映射表实现源地址溯源，根据转换后的报文信息直接推算出原始报文信息，有效解决溯源中日志信息量过大的问题，减少需要上报的信息，同时提高了NAPT的转换效率，大大节省了网络资源和计算资源。网络资源和计算资源。网络资源和计算资源。

【技术实现步骤摘要】
一种可回溯的NAPT动态地址映射方法


[0001]本专利技术涉及通信
，尤其涉及一种可回溯的NAPT动态地址映射方法。

技术介绍

[0002]NAT(Network Address Translation，网络地址转换)网络地址转换是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
[0003]NAT主要用于实现内部网络(简称私网，使用私有IP地址)访问外部网络(简称公网，使用公有IP地址)的功能。当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。
[0004]NAT除了解决IP地址短缺的问题，还带来了两个好处：
[0005](1)有效避免来自外网的攻击，可以很大程度上提高网络安全性。
[0006](2)控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。
[0007]NAPT(Network Address Port Translation，网络地址端口转换)是目前最常用的NAT实现技术，其属于多对一的地址转换，它通过使用“IP地址+端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网。
[0008]NAPT实现效果如图1所示，实现步骤如下：
[0009](1)NAT设备(例如，Router，路由器)收到内网侧PC(个人电脑)发送的访问公网侧Server(服务器)的报文。比如收到PC1报文的源地址是192.1.1.100，端口号234。
[0010](2)NAT设备从地址池中选取一对空闲的“公网IP地址+端口号”，建立与内网侧报文“源IP地址+源端口号”间的NAPT正向转换表项和反向转换表项，并依据此正向NAPT表项的结果将报文转换后向公网侧发送。比如PC1的报文经NAT设备转换后的报文源地址为3.1.1.1，端口号10213。
[0011](3)NAT设备收到公网侧的回应报文后，根据报文中的“目的IP地址+目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。比如Server回应PC1的报文经NAT设备转换后，目的地址为192.1.1.100，端口号234。
[0012]在网络维护过程中，需要对用户报文进行溯源，就需要NAT设备发送溯源日志，将NAT转换信息记录并主动上报给日志服务器，该方法需要消耗上送资源，且存在实时性问题。
[0013]实现的NAT的方法有很多种，常用NAPT算法是离散的，无法通过NAT转换后报文的信息直接推算出原始报文信息，日志上报需要同时上送原始和转换后的信息。在大型系统里面，NAT日志数据量是非常庞大的，才有日志上报的方式，资源消耗较大。
[0014]可回溯算法的本质，就是根据转换后的报文信息，可推理出原始报文信息。
[0015]针对现有技术中的问题，本专利技术提出了一种可回溯的NAPT动态地址映射方法，建立NAT地址池分组以及端口范围的分组，通过计算获知私网IP与公网IP和端口范围的对应
关系，建立NAPT的正反向映射表，通过NAPT的正反向映射表实现源地址溯源，根据转换后的报文信息直接推算出原始报文信息，有效解决溯源中日志信息量过大的问题，减少需要上报的信息，同时提高了NAPT转换的效率，大大节省了网络资源和计算资源。

技术实现思路

[0016]为了解决现有技术中的不足，本专利技术提出了一种可回溯的NAPT动态地址映射方法，建立NAT地址池分组以及端口范围的分组，通过计算获知私网IP与公网IP和端口范围的对应关系，建立NAPT的正反向映射表，通过NAPT的正反向映射表实现源地址溯源，根据转换后的报文信息直接推算出原始报文信息，有效解决溯源中日志信息量过大的问题，减少需要上报的信息，同时提高了NAPT的转换效率，大大节省了网络资源和计算资源。
[0017]为了实现上述目的，本专利技术采用如下的技术方案。
[0018]在本专利技术实施例中，提出了一种可回溯的NAPT动态地址映射方法，该方法包括如下步骤：
[0019]S1为NAT地址池建立相应的NAT地址分组，设置NAT地址分组标识，并初始化源端口寄存器、源端口偏移寄存器以及NAT映射寄存器；
[0020]S2当内网流量访问公网时，根据报文所得到的NAT地址分组标识匹配NAPT正向映射表；若匹配到NAPT正向映射表项，则按照匹配的正向映射表项进行流量转发；对于首次进行正向NAT转换的流量，需要生成NAPT正反向映射表项；
[0021]S3根据NAT地址分组标识所得到的源端口寄存器以及源端口偏移寄存器生成正向表中的公网源端口；基于轮询的方式获取到公网地址索引；从而建立所述流量对应的NAPT正向映射表项；
[0022]S4根据NAT地址分组标识得到NAT映射基础寄存器以及源端口偏移寄存器，进而生成反向转换表地址，从而建立所述流量对应的NAPT反向映射表项；
[0023]S5当流量从公网访问内网时，则根据报文目的端口所在的源端口基数寄存器，得到所在的NAT地址分组标识，进而获取匹配的NAPT反向映射表项，从而实现NAPT的反向NAT转换。
[0024]进一步的，所述正向映射表用于实现NAPT正向转换；所述反向映射表用于从公网侧回应报文的反向转换。
[0025]进一步的，每生成一个新的正向表项时，源端口偏移寄存器都累加1。
[0026]进一步的，通过软件或硬件实施表项老化机制，按照固定间隔扫描老化表，对不活跃的表项实施老化，删除对应的正反向转换表项，并将源端口偏移寄存器清0，其他寄存器不做处理。
[0027]进一步的，通过私网IP范围、公网IP范围、端口段范围，建立固定私网IP与公网IP和端口范围的对应关系，实现NAPT的正向和反向转换。
[0028]进一步的，NAT地址分组标识与NAT地址分组一一对应，根据NAT地址标识映射到NAT地址分组、源端口寄存器、源端口偏移寄存器以及NAT映射寄存器。
[0029]可选的，当私网流量访问公网时，通过预先设置的ACL过滤策略获取NAT地址分组标识。
[0030]在本专利技术实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储
器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述特殊终端的接入方法。
[0031]在本专利技术实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行特殊终端的接入方法的计算机程序。
[0032]本专利技术的有益效果在于，针对现有的通信系统中存在的问题，本专利技术提出了一种可回溯的NAPT动态地址映射方法，建立NAT地址池分组以及端口范围的分组，通过计算获知私网IP与公网IP和端口范围的对应关系，建立NAPT的正反向映射表，通过NAPT的正反向映射表实现源地址溯源，根据转换后的报文信息直接推算出原始报文信息，有效解决溯源中日志信息量过大的问题，减少需要上本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可回溯的NAPT动态地址映射方法，其特征在于，该方法包括如下步骤：S1为NAT地址池建立相应的NAT地址分组，设置NAT地址分组标识，并初始化源端口寄存器、源端口偏移寄存器以及NAT映射寄存器；S2当内网流量访问公网时，根据报文所得到的NAT地址分组标识匹配NAPT正向映射表；若匹配到NAPT正向映射表项，则按照匹配的正向映射表项进行流量转发；对于首次进行正向NAT转换的流量，需要生成NAPT正反向映射表项；S3根据NAT地址分组标识所得到的源端口寄存器以及源端口偏移寄存器生成正向表中的公网源端口；基于轮询的方式获取到公网地址索引；从而建立所述流量对应的NAPT正向映射表项；S4根据NAT地址分组标识得到NAT映射基础寄存器以及源端口偏移寄存器，进而生成反向转换表地址，从而建立所述流量对应的NAPT反向映射表项；S5当流量从公网访问内网时，则根据报文目的端口所在的源端口基数寄存器，得到所在的NAT地址分组标识，进而获取匹配的NAPT反向映射表项，从而实现NAPT的反向NAT转换。2.根据权利要求1所述的可回溯的NAPT动态地址映射方法，其特征在于：所述正向...

【专利技术属性】
技术研发人员：吴亮，
申请(专利权)人：芯河半导体科技无锡有限公司，
类型：发明
国别省市：