專利名稱:一種將私網(wǎng)用戶接入公網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種將私網(wǎng)用戶接入公網(wǎng)的方法���,尤其涉及一種私網(wǎng)用戶不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換直接訪問特定站點(diǎn)的將私網(wǎng)用戶接入公網(wǎng)的設(shè)備和方法�。
背景技術(shù):
隨著Internet用戶數(shù)量的快速增長以及其它相關(guān)領(lǐng)域?qū)P地址需求的增加����,IPv4地址資源日益緊缺,因此網(wǎng)絡(luò)中網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備的應(yīng)用也日益增多�。隨之帶來的問題是如何解決網(wǎng)絡(luò)中大量公網(wǎng)地址和私網(wǎng)地址共存的組網(wǎng)應(yīng)用問題。
如圖1所示��,用戶PC1訪問互聯(lián)網(wǎng)(Internet)的報(bào)文從NAT設(shè)備的端口port1進(jìn)入�,端口port2出,此間經(jīng)過NAT設(shè)備做一次地址轉(zhuǎn)換�����,但是考慮到一些城域網(wǎng)內(nèi)部的服務(wù)器群(比如環(huán)球網(wǎng)服務(wù)器Web server)可以被內(nèi)部的私網(wǎng)用戶直接訪問。這樣��,為了減小NAT設(shè)備的負(fù)荷�����,提高訪問互聯(lián)網(wǎng)的性能�����,網(wǎng)絡(luò)管理員會(huì)對(duì)訪問城域網(wǎng)內(nèi)部的服務(wù)器群的流進(jìn)行控制��,讓其不進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的處理��,而是直接轉(zhuǎn)發(fā)至目的地址��。
目前提供公私網(wǎng)地址混合組網(wǎng)的技術(shù)方案較少��,多數(shù)采取的是利用訪問控制表(ACL)的方法��,通過對(duì)私網(wǎng)用戶訪問權(quán)限的控制�,來實(shí)現(xiàn)公私網(wǎng)地址混合組網(wǎng)的目的�。即在NAT設(shè)備上配置ACL表,在ACL表中�����,對(duì)來自私網(wǎng)的對(duì)特定目的地址的訪問禁止其做NAT訪問。
一般來說�,NAT再交換設(shè)備或者路由器上都是和ACL來配合使用的,也就是說默認(rèn)的直接轉(zhuǎn)發(fā)��,配置了相應(yīng)的ACL規(guī)則和NAT綁定后�����,匹配中了才作NAT轉(zhuǎn)換例如���,在如圖1所示的情況下���,私網(wǎng)地址為10.11.10.11/24,允許其直接訪問的地址為202.119.39.51��,這時(shí)可在NAT設(shè)備上配置以下規(guī)則����,實(shí)現(xiàn)控制私網(wǎng)用戶在訪問該段公網(wǎng)地址時(shí),不需做網(wǎng)絡(luò)地址轉(zhuǎn)換處理
ip nat pool pool1 202.119.32.208 202.119.32.223 mask 255.255.255.240(定義一個(gè)NAT轉(zhuǎn)換地址池)ip nat source 10.11.10.11 mask 255.255.255.0 pool pool1(定義了一個(gè)私網(wǎng)網(wǎng)段�����,將其與公網(wǎng)地址池綁定,作為轉(zhuǎn)換的依據(jù)����,以上為NAT規(guī)則。當(dāng)然����,也可以直接使用ACL)acl 1 source 10.11.10.11 mask 255.255.255.0 dest 202.119.39.51 mask255.255.255.0 nat-forbiddenapply acl port1(將ACL規(guī)則應(yīng)用到入端口,也可以省略port1���,則應(yīng)用到全局)如圖2所示�����,經(jīng)過這樣的配置之后��,NAT設(shè)備在收到私網(wǎng)用戶的訪問報(bào)文后,首先會(huì)去查詢是否配置了ACL訪問控制列表����。如果沒有配置ACL,則根據(jù)NAT轉(zhuǎn)換規(guī)則判斷是否符合NAT轉(zhuǎn)換條件�����,如果符合轉(zhuǎn)換條件則進(jìn)行處理,處理完再轉(zhuǎn)發(fā)���,否則直接轉(zhuǎn)發(fā)��。如果配置了ACL����,則查詢此報(bào)文是否匹配了一條ACL規(guī)則禁止其進(jìn)行NAT轉(zhuǎn)換處理�����。如果有匹配的ACL禁止規(guī)則���,則不作NAT轉(zhuǎn)換��,直接轉(zhuǎn)發(fā)出去����。如果沒有匹配的ACL禁止規(guī)則��,則根據(jù)NAT轉(zhuǎn)換規(guī)則判斷是否符合NAT轉(zhuǎn)換條件�,如果符合轉(zhuǎn)換條件則進(jìn)行處理����,處理完再轉(zhuǎn)發(fā)�����,否則直接轉(zhuǎn)發(fā)�。
從上面的描述中可以看到,為實(shí)現(xiàn)公網(wǎng)地址和私網(wǎng)地址混合組網(wǎng)��,此技術(shù)方案必須附加配置訪問控制列表規(guī)則?����,F(xiàn)有技術(shù)的缺點(diǎn)有1.必須附加配置ACL規(guī)則��,占用了寶貴的ACL節(jié)點(diǎn)資源�。
2.ACL節(jié)點(diǎn)越多,查詢越慢���,報(bào)文轉(zhuǎn)發(fā)性能也就越慢���。同時(shí)�,也影響了其它關(guān)聯(lián)于ACL的應(yīng)用性能���。
3.配置比較復(fù)雜,如果有類似的ACL規(guī)則��,很可能會(huì)造成沖突�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種將私網(wǎng)用戶接入公網(wǎng)的設(shè)備和方法���,不使用ACL���,利用報(bào)文轉(zhuǎn)發(fā)的流程,實(shí)現(xiàn)對(duì)來自私網(wǎng)用戶的訪問特定站點(diǎn)的報(bào)文不進(jìn)行NAT轉(zhuǎn)換���,直接高效地訪問�。
為實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種將私網(wǎng)用戶接入公網(wǎng)的方法,包括以下步驟在網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備進(jìn)行報(bào)文處理時(shí)所必須查詢的表項(xiàng)中設(shè)置是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí)��;對(duì)于所述私網(wǎng)用戶的報(bào)文�����,查詢所述標(biāo)識(shí),判斷所述報(bào)文是否需要做網(wǎng)絡(luò)地址轉(zhuǎn)換�;和如果確定需要對(duì)所述私網(wǎng)用戶的報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,則對(duì)所述報(bào)文進(jìn)行所述轉(zhuǎn)換后再進(jìn)行轉(zhuǎn)發(fā)���,否則不對(duì)所述報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,直接轉(zhuǎn)發(fā)所述報(bào)文��。
所述設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換標(biāo)識(shí)的步驟包括按照轉(zhuǎn)發(fā)的目的地址設(shè)置相應(yīng)的允許或不允許進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí)�。
所述查詢和判斷是否需要對(duì)所述私網(wǎng)用戶報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的步驟包括將所述私網(wǎng)用戶報(bào)文的目的地址與所述表項(xiàng)進(jìn)行匹配,根據(jù)匹配的結(jié)果確定所述報(bào)文是否允許進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�。
所述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備在報(bào)文處理過程中必須查詢的表項(xiàng)是轉(zhuǎn)發(fā)表、端口索引表或流高速緩存表�����。
所述轉(zhuǎn)發(fā)表��、端口索引表或流高速緩存表設(shè)置針對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的出接口��。
本發(fā)明的將私網(wǎng)用戶接入公網(wǎng)的方法的有益效果有1��、本發(fā)明將公私網(wǎng)混合組網(wǎng)的方案從ACL中分離出來�,不會(huì)占用ACL節(jié)點(diǎn)資源�����,不會(huì)與其它ACL應(yīng)用形成沖突;2�����、本發(fā)明同時(shí)提高了公私網(wǎng)混合組網(wǎng)時(shí)的報(bào)文處理速度��;3�����、本發(fā)明對(duì)設(shè)備的配置更加簡單�、清晰。
圖1為示例的私網(wǎng)用戶訪問公網(wǎng)的組網(wǎng)示意圖���;圖2是現(xiàn)有技術(shù)中對(duì)私網(wǎng)用戶訪問公網(wǎng)的示意流程圖�;圖3是本發(fā)明的一個(gè)實(shí)施例的私網(wǎng)用戶訪問公網(wǎng)的示意流程圖�。
具體實(shí)施例方式
下面結(jié)合附圖,對(duì)本發(fā)明的優(yōu)選實(shí)施方案進(jìn)行詳細(xì)說明���。
如圖1所示�����,由于報(bào)文進(jìn)入NAT設(shè)備中后���,會(huì)查詢轉(zhuǎn)發(fā)表項(xiàng)��,準(zhǔn)備后續(xù)轉(zhuǎn)發(fā)處理�。私網(wǎng)用戶訪問互聯(lián)網(wǎng)的出端口為設(shè)備的port2端口��,出端口是由路由決定的����,一般不會(huì)改變。實(shí)際應(yīng)用中可能會(huì)有兩個(gè)出接口�,或者出接口會(huì)發(fā)生變化,這些都可以通過在不同的出接口配置決定���。
在本發(fā)明的一個(gè)實(shí)施例中�,在轉(zhuǎn)發(fā)表中為出端口配置NAT轉(zhuǎn)換允許標(biāo)識(shí)�,同時(shí),根據(jù)訪問需求�����,將訪問時(shí)不需要做NAT轉(zhuǎn)換處理的特定目的地址進(jìn)行去使能操作。例如��,在圖1所示的情況下��,其具體配置如下<port2#>dest any nat permit<port2#>dest 202.119.39.0 mask 255.255.255.0 nat deny即從出端口port2發(fā)往除目的地址202.119.39.0/24之外的所有目的地址的報(bào)文都要經(jīng)NAT轉(zhuǎn)換��。
這樣�,在出端口為port2的轉(zhuǎn)發(fā)表中�,將會(huì)默認(rèn)都增加NAT允許標(biāo)識(shí)。而出端口為port2���,但是目的地址屬于網(wǎng)段202.119.39.0的轉(zhuǎn)發(fā)表會(huì)有禁止NAT標(biāo)識(shí)Index Destination/MaskInterfaceFlag(索引)(目的地址/掩碼) (端口) (標(biāo)識(shí))1 0.0.0.0/0 port2nat-permit(準(zhǔn)許NAT)2 202.119.39.0/24 port2nat-deny(禁止NAT)如果NAT設(shè)備有多個(gè)出端口��,要按上述步驟對(duì)需要做NAT的出端口進(jìn)行相應(yīng)的配置���。
這樣,如圖3所示����,在報(bào)文進(jìn)入NAT設(shè)備之后,首先查詢轉(zhuǎn)發(fā)表��,判斷表項(xiàng)是否需要進(jìn)行NAT轉(zhuǎn)換,如果需要進(jìn)行NAT轉(zhuǎn)換�����,則根據(jù)NAT轉(zhuǎn)換規(guī)則判斷是否符合NAT轉(zhuǎn)換條件�,如果符合轉(zhuǎn)換條件則進(jìn)行處理,處理完再轉(zhuǎn)發(fā)�,否則直接轉(zhuǎn)發(fā)。具體地���,在圖1所示的情況下�����,私網(wǎng)用戶在進(jìn)行互聯(lián)網(wǎng)訪問時(shí)�,與index為1的轉(zhuǎn)發(fā)表項(xiàng)匹配�,發(fā)現(xiàn)表項(xiàng)中有允許NAT標(biāo)識(shí),于是再進(jìn)行NAT轉(zhuǎn)換處理���。而當(dāng)用戶在訪問如圖1所示的地址為202.119.39.0/24的Web server的時(shí)候����,查詢轉(zhuǎn)發(fā)表��,將與index為2的轉(zhuǎn)發(fā)表項(xiàng)相匹配,發(fā)現(xiàn)表項(xiàng)中有禁止NAT處理的標(biāo)識(shí)����,于是將此報(bào)文直接轉(zhuǎn)發(fā)。因而本發(fā)明比起現(xiàn)有方案在流程上要更簡潔��,更高效���。
可以根據(jù)不同設(shè)備在報(bào)文處理流程上的差異�����,采用類似的方案,比如���,可以將是否允許NAT轉(zhuǎn)換的標(biāo)識(shí)附加在報(bào)文處理過程中必須查詢的表項(xiàng)中���,所謂必須查詢的表項(xiàng)是指在交換設(shè)備或者路由設(shè)備轉(zhuǎn)發(fā)過程中,對(duì)報(bào)文處理必須查詢的表����。即使不要求對(duì)流或者對(duì)訪問報(bào)文進(jìn)行控制的情況下,也需要查詢這些表項(xiàng)�����,比如NAT一般是三層轉(zhuǎn)發(fā),必須查路由轉(zhuǎn)發(fā)表�����。對(duì)于二層交換機(jī)�����,必須查MAC轉(zhuǎn)發(fā)表�。ACL表為訪問控制列表,在不要求對(duì)流或者訪問報(bào)文有控制的情況下�,是不需要查詢的。最多也只是查詢一下是否需要查ACL表的要求���,因而ACL表不是必須查詢的表項(xiàng)��。但是其它設(shè)備(有NAT功能)�,比如防火墻或者BAS設(shè)備可能有不同的表項(xiàng)�����,比如端口索引表��,安全表項(xiàng),流cache(高速緩存)表等等���。ACL不是必須查詢的表項(xiàng)�。這些可以因設(shè)備而異��。但是��,根本的思路都是一樣的�,即脫離ACL的束縛,將是否做NAT的標(biāo)識(shí)加在必須的流程中�����,以提高系統(tǒng)處理的性能和效率����。
以上為說明的目的對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行了詳細(xì)的描述���,但本領(lǐng)域的普通技術(shù)人員應(yīng)該意識(shí)到����,在本發(fā)明的范圍和精神內(nèi)����,各種改進(jìn)��、添加和替換都是可能的����,并且都在本發(fā)明的權(quán)利要求所限定的保護(hù)范圍內(nèi)���。
權(quán)利要求
1.一種將私網(wǎng)用戶接入公網(wǎng)的方法����,包括以下步驟在網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備進(jìn)行報(bào)文處理時(shí)所必須查詢的表項(xiàng)中設(shè)置是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí)���;對(duì)于所述私網(wǎng)用戶的報(bào)文�����,查詢所述標(biāo)識(shí)��,判斷所述報(bào)文是否需要做網(wǎng)絡(luò)地址轉(zhuǎn)換����;和如果確定需要對(duì)所述私網(wǎng)用戶的報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���,則對(duì)所述報(bào)文進(jìn)行所述網(wǎng)絡(luò)地址轉(zhuǎn)換后再進(jìn)行轉(zhuǎn)發(fā)��,否則不對(duì)所述報(bào)文進(jìn)行所述網(wǎng)絡(luò)地址轉(zhuǎn)換�����,直接轉(zhuǎn)發(fā)所述報(bào)文�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,在所述設(shè)置是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí)的步驟中�,按照轉(zhuǎn)發(fā)的目的地址設(shè)置相應(yīng)的允許或不允許進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí)。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述查詢和判斷是否需要對(duì)所述私網(wǎng)用戶報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的步驟包括將所述私網(wǎng)用戶報(bào)文的目的地址與所述表項(xiàng)進(jìn)行匹配,根據(jù)匹配的結(jié)果確定所述報(bào)文是否允許進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����。
4.根據(jù)權(quán)利要求1�����、2或3所述的方法,其特征在于��,所述必須查詢的表項(xiàng)是指在報(bào)文轉(zhuǎn)發(fā)過程中���,即使不要求對(duì)流或者對(duì)訪問報(bào)文進(jìn)行控制的情況下也必須查詢的表項(xiàng)�。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備在報(bào)文處理過程中必須查詢的表項(xiàng)是轉(zhuǎn)發(fā)表����。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于�,所述轉(zhuǎn)發(fā)表設(shè)置針對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的出接口。
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于�,所述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備在報(bào)文處理過程中必須查詢的表項(xiàng)是端口索引表。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于�,所述端口索引表設(shè)置針對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的出接口��。
9.根據(jù)權(quán)利要求4所述的方法�,其特征在于�����,所述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備在報(bào)文處理過程中必須查詢的表項(xiàng)是流高速緩存表���。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于�����,所述流高速緩存表設(shè)置針對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的出接口���。
全文摘要
本發(fā)明涉及一種將私網(wǎng)用戶接入公網(wǎng)的方法���。所述方法包括在網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備進(jìn)行報(bào)文處理時(shí)所必須查詢的表項(xiàng)中設(shè)置是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)識(shí);對(duì)于所述私網(wǎng)用戶的報(bào)文�����,查詢所述標(biāo)識(shí)�����,判斷所述報(bào)文是否需要做網(wǎng)絡(luò)地址轉(zhuǎn)換����;和如果確定需要對(duì)所述私網(wǎng)用戶的報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,則對(duì)所述報(bào)文進(jìn)行所述轉(zhuǎn)換后再進(jìn)行轉(zhuǎn)發(fā)����,否則不對(duì)所述報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,直接轉(zhuǎn)發(fā)所述報(bào)文�����。本發(fā)明的方法簡單清晰����,報(bào)文處理速度快。
文檔編號(hào)H04L12/46GK1674549SQ20041000628
公開日2005年9月28日 申請(qǐng)日期2004年3月23日 優(yōu)先權(quán)日2004年3月23日
發(fā)明者業(yè)蘇寧 申請(qǐng)人:華為技術(shù)有限公司