专利名称:网络地址转换业务控制方法及装置的制作方法
技术领域:
本发明涉及网络通信:技术,尤其涉及一种网络地址转换(NAT, Network Address Translation)业务控制方法及装置。
背景技术:
网络地址转换是一种将私网网际协议(IP, Internet Protocol)地址转换 为公网IP地址的技术,主要用于实现私有网络访问公有网络的功能,它可 以使多台私网计算^L共享Internet连接,4艮好地解决^^共IP地址资源紧缺的 问题。在NAT应用中,私网主^几不^f又可以访问公网资源,同时也可以对外提 供服务,即给公有网络提供访问私有网络的机会。目前,无论是私网访问公 网的业务还是私网对外提供服务的业务,都是通过静态配置的方式来进行业 务控制的。对于私网访问公网的业务,通常在NAT网关上静态配置访问控 制列表(ACL, Access Control List),指定具有某些特征的IP报文才可以 使用外网地址池中的地址进行NAT服务,NAT网关收到私网主机发出的IP 报文后,根据静态配置的ACL判断该IP报文是否需要进行NAT服务,如 果需要,则执行NAT转换,并建立转换关系表。对于私网对外提供服务的 业务,是通过静态配置相应的网络地址转换服务器(NAT-Server)表项来控 制的,在NAT-Server表项中指定私网主机可以对外提供的服务类型,并据 此NAT-Server表项控制外网的访问,如允许私网主机对外提供文件传输协 议(FTP, File Transfer Protocol)服务等。但是,上述静态NAT业务控制方式存在以下缺点一、灵活性较差,不便于管理。
比如,在使用动态主机配置协议(DHCP, Dynamic Host Configuration Protocol)进行动态地址分配的情况下,同 一个私网用户可能会4吏用多个私 网IP地址来访问外网,由于对于同一个用户,其对外网的访问4又限应该是 一致的,因此如果通过静态配置ACL来控制NAT用户对外网的访问,那么 就需要根据当前网络的地址管理方法在NAT网关上配置ACL规则。在用户 很多且又采用动态IP地址分配的情况下,上述ACL配置过程将较为复杂, 并且修改起来也较为麻烦,灵活性较差,不便于管理。二、不能够为用户提供个性化的NAT服务。静态配置ACL的方式使得NAT业务控制只能基于IP报文特征进行, 而不能基于用户进行。当不同用户使用同一台主机访问外网时,该主机发出 的IP报文特征可能相同,虽然不同用户的内外网访问业务可能是不 一样的, 但是静态配置ACL的方式并不能区分这种情况,对于具有相同特征的IP报 文都会执行相同的处理,无法为不同用户提供个性化的NAT服务。发明内容有鉴于此,本发明的主要目的在于提供一种NAT业务控制方法及装置, 提升NAT业务控制的灵活性,实现为用户提供个性化的NAT服务。 为达到上述目的,本发明提供的技术方案如下一种网络地址转换NAT业务控制方法,在认证授权计费AAA服务器 上建立针对用户的NAT服务描述信息,该方法包括当用户上线并通过认 证授权后,从AAA服务器获取该用户的NAT服务描述信息,NAT网关根 据所述NAT服务描述信息对该用户的NAT业务进行控制。所述从AAA服务器获取该用户的NAT服务描述信息的过程包括用 户通过认证授权后,AAA服务器将该用户的NAT服务描述信息发送给接入 设备,接入设备将收到的NAT服务描述信息通知给NAT网关。所述NAT网关根据所述NAT服务描述信息对该用户的NAT业务进行 控制包括NAT网关收到所述用户的NAT服务描述信息后,判断该用户的
服务类别,如果是内网访问外网的业务,则根据收到的NAT服务描述信息 动态生成对应的ACL,将该ACL与外网地址池绑定,并才艮据动态生成的ACL 控制该用户内网访问外网的业务;如果是内网向外网提供服务,则根据收到 的NAT服务描述信息建立该用户的NAT-Server表项,并据此NAT-Server 表项对内网向外网提供服务的业务进行控制。所述根据动态生成的ACL控制该用户内网访问外网的业务包括NAT 网关收到所述用户访问外网的报文后,判断收到的报文是否匹配动态生成的 ACL,如果匹配,则/人与该ACL绑定的外网地址池中选择一个外网IP地址, 对该报文进行NAT转换,建立转换关系表项,并将转换后的报文发送出去。该方法进一步包括NAT网关在用户下线时判断该用户的服务类别, 如果是内网访问外网的业务,则删除为该用户动态生成的ACL及建立的转 换关系表项、并取消该ACL与外网地址池的绑定;如果是内网向外网提供 服务,则删除为该用户建立的NAT-Server表项。所述NAT服务描述信息在AAA服务器创建用户帐号时建立。所述NAT服务描述信息包括NAT连接限制、NAT特殊协议类型、 NAT普通协议类型、NAT外部地址池和/或NAT "良务类别。一种NAT业务控制装置,包括信息获取单元和业务控制单元,其中,信息获取单元,用于在用户上线时从AAA服务器获取该用户的NAT 服务描述信息,并将获取的服务描述信息发送给业务控制单元;业务控制单元,用于根据收到的NAT服务描述信息对所述用户的NAT 业务进行控制。所述业务控制单元包括类别判断单元、正向处理单元和反向处理单元, 其中,类别判断单元,用于在收到用户的NAT服务描述信息后,判断该用户 的服务类别,如果是内网访问外网的业务,则将收到的NAT服务描述信息 发送给正向处理单元;如果是内网向外网提供服务,则将收到的NAT服务 描述信息发送给反向处理单元;正向处理单元,用于根据收到的NAT服务描述信息动态生成对应的 ACL,将该ACL与外网地址池绑定,并根据动态生成的ACL控制所述用户 内网访问外网的业务;反向处理单元,用于根据收到的NAT服务描述信息建立该用户的 NAT-Server表项,并据此NAT-Server表项对内网向外网提供服务的业务进 行控制。所述类别判断单元,进一步用于在用户下线时判断该用户的服务类别, 如果是内网访问外网的业务,则将该用户下线信息通知正向处理单元;如果 是内网向外网提供服务,则将该用户下线信息通知反向处理单元;所述正向处理单元,进一步用于在收到用户下线通知后,删除为该用户 动态生成的ACL及建立的转换关系表项、并取消该ACL与外网地址池的绑 定;所述反向处理单元,进一步用于在收到用户下线通知后,删除为该用户 建立的NAT-Server表项。所述信息获取单元设置在具有接入控制功能的设备中,所述业务控制单 元设置在具有NAT业务处理功能的设备中;或者,所述信息获取单元和业 务控制单元同时设置在兼具接入控制和NAT业务处理功能的设备中。由此可见,本发明通过在AAA服务器上建立针对用户的NAT服务描 述信息,使得在用户上线后,可以根据该用户的NAT服务描述信息动态生 成ACL或者建立相关的NAT表项,然后根据动态生成的ACL或NAT表项 对用户的NAT业务进行控制,而无需通过静态配置的方式进行NAT业务控 制,从而提升了 NAT业务控制的灵活性,降低了管理的复杂度;并且,针 对用户动态生成ACL或NAT表项,使得NAT业务控制可以基于用户进行,
图1为本发明实施例中的NAT业务控制过程示意图。
图2为本发明实施例中的NAT业务控制装置结构示意图。
具体实施方式
本发明的基本思想是结合认证授权计费(AAA, Authentication, Authorization, Accounting)服务器实现动态的NAT业务控制方式,提升 NAT业务控制的灵活性,解决现有的静态配置方式的缺陷。为使本发明的目的、技术方案及优点更加清楚明白,下面参照附图并举 实施例,对本发明作进一步详细说明。为了实现本发明,首先需要在AAA服务器上建立针对用户的NAT月良 务描述信息,该NAT服务描述信息可以在AAA服务器创建接入用户帐号时 建立。其中,所述NAT服务描述信息主要用于描述用户可以享用的NAT服 务,以及可以对外提供的服务类型。下面列举几个可能的NAT服务描述信 息项l)NAT连接限制分为连接数限制和连接建立速率限制,用以防止单 一用户在短时间内发起大量的NAT连接,导致系统资源迅速消耗,挤占其 它合法用户资源的现象发生。2 ) NAT特殊协议类型指报文载荷里携带了需要进行NAT转换的地 址或端口信息的协议类型,如FTP、域名系统(DNS, Domain Name System)、 因特网定位服务(ILS , Internet Locator Service )、基于TCP/IP的网络基本 输入输出系统(NBT, NetBIOS over TCP/IP)、点到点隧道协议(PPTP, Point to Point Tunneling Protocol) 、 H.323等,该项决定了用户NAT服务允 许的特殊协议类型。3)NAT普通协议类型与特殊协议类型相对,指报文载荷中不存在需 要进行NAT转换的地址或端口信息的协议类型,如超文本传输协议(HTTP, Hypertext Transfer Protocol)、远程连接协议(TELNET )等,该项决定了用 户NAT服务允许的普通协议类型。4 ) NAT外网地址池进行NAT转换时所使用的外网地址需要从地址
池中获取,该项决定了用户的外网地址>^人哪个地址池获取。5) NAT月良务类另U:分为两种, 一是内网用户访问外网,二是内网用户 向外网提供服务。图1示出了本发明中的NAT业务控制过程示意图,该过程主要由接入 设备、AAA服务器和NAT网关共同完成。参见图l所示,该过程包括以下 步骤步骤101:用户上线时,接入设备向AAA服务器发送认证请求消息和 授权请求消息,AAA服务器收到后对用户进行认证授权,并在认证授权通 过后,将该用户的NAT服务描述信息下发给接入设备。步骤102:接入设备将AAA服务器下发的关于该用户的NAT服务描述 信息发送给NAT网关,请求NAT网关建立NAT服务。步骤103: NAT网关收到所述用户的NAT服务描述信息后,判断该用 户的服务类别,如果是内网访问外网的业务,则根据收到的NAT服务描述 信息动态生成对应的ACL,并动态(相对命令行上的静态配置)地将此ACL 绑定到NAT服务描述信息中携带的外网地址池,然后,根据动态生成的ACL 控制该用户内网访问外网的业务;如果是内网向外网提供服务,则根据收到 的NAT l良务描述信息建立该用户的NAT-Server表项,并据此NAT-Server 表项对内网向外网提供服务的业务进行控制。其中,所述NAT网关冲艮据动态生成的ACL控制该用户内网访问外网的 业务的过程具体包括NAT网关收到该用户访问外网的报文后,判断收到 的报文是否匹配动态生成的ACL,如果匹配,则从与该ACL绑定的外网地 址池中选择一个外网IP地址,对该报文进行NAT转换,并建立转换关系表 项,然后将转换后的报文发送出去。另外,NAT网关在动态生成ACL或NAT表项建立成功后,向接入设 备返回建立成功响应。步骤104:接入设备向AAA服务器发送计费开始请求。步骤105: AAA服务器收到计费开始请求后,开始计费,并向接入设备
返回计费开始响应。至此,接入设备完成用户上线的处理。步骤106:接入设备完成用户上线处理后,用户开始进行相关业务。 步骤107:用户下线时,接入设备请求NAT网关取消该用户的NAT服务。步骤108: NAT网关收到接入设备的取消请求后,判断该用户的服务类 别,如果是内网访问外网的业务,则删除为该用户动态生成的ACL及建立 的转换关系表项、并取消该ACL与外网地址池的绑定;如果是内网向外网 提供服务,则删除为该用户建立的NAT-Server表项。然后,NAT网关向接 入设备返回取消成功响应。步骤109:接入设备向AAA服务器发送计费结束请求。步骤110: AAA服务器收到计费结束请求后,结束计费,并向接入设备 返回计费结束响应。至此,接入设备完成用户下线处理。需要说明的是,由于目前各AAA协议并没有对NAT服务的直接支持, 因此,为了实现本发明,需要对现有的AAA协议进行扩展,比如,为远程 iU正拔号用户月良务(RADIUS, Remote Authentication Dial-in User Service ) 协议扩展NAT服务的私有属性。另夕卜,需要说明的是,本文中的接入设备是指具有接入控制功能的设备, NAT网关是指具有NAT业务处理功能的设备。在实际应用中,接入设备和 NAT网关既可以是两个单独的设备,也可以是兼具接入控制功能和NAT业 务处理功能的设备中的两个功能模块。相应地,本发明还提供了一种NAT业务控制装置,其结构参见图2所示, 主要包括信息获取单元和业务控制单元,其中,信息获取单元,用于在用户上线时从AAA服务器获取该用户的NAT服务 描述信息,并将获取的服务描述信息发送给业务控制单元;业务控制单元,用于根据收到的NAT服务描述信息对所述用户的NAT业 务进行控制。较佳地,所述业务控制单元具体可包括类别判断单元、正向处理单元和 反向处理单元,其中,类别判断单元,用于在收到用户的NAT服务描述信息后,判断该用户的服 务类别,如果是内网访问外网的业务,则将收到的NAT服务描述信息发送给正 向处理单元;如果是内网向外网提供服务,则将收到的NAT服务描述信息发送 给反向处理单元;正向处理单元,用于根据收到的NAT服务描述信息动态生成对应的ACL, 将该ACL与外网地址池绑定,并根据动态生成的ACL控制所述用户内网访问 外网的业务;反向处理单元,用于根据收到的NAT服务描述信息建立该用户的 NAT-Server表项,并据此NAT-Server表项对内网向外网提供服务的业务进行控制。另外,所述类别判断单元,还可进一步用于在用户下线时判断该用户的服 务类别,如果是内网访问外网的业务,则将该用户下线信息通知正向处理单元; 如果是内网向外网提供服务,则将该用户下线信息通知反向处理单元;所述正向处理单元,进一步用于在收到用户下线通知后,删除为该用户动 态生成的ACL及建立的转换关系表项、并取消该ACL与外网地址池的绑定;所述反向处理单元,进一步用于在收到用户下线通知后,删除为该用户建 立的NAT-Server表项。其中,所述信息获取单元设置在具有接入控制功能的设备中,所述业务控 制单元设置在具有NAT业务处理功能的设备中;或者,所述信息获取单元和业 务控制单元同时设置在兼具接入控制和NAT业务处理功能的设备中。以 上所述对本发明的目的、技术方案和有益效果进行了进一步的详细说 明,所应理解的是,以上所述并不用以限制本发明,凡在本发明的精神和原 则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范 围之内。
权利要求
1、一种网络地址转换NAT业务控制方法,其特征在于,在认证授权计费AAA服务器上建立针对用户的NAT服务描述信息,该方法包括当用户上线并通过认证授权后,从AAA服务器获取该用户的NAT服务描述信息,NAT网关根据所述NAT服务描述信息对该用户的NAT业务进行控制。
2、 根据权利要求1所述的方法,其特征在于,所述从AAA服务器获取该 用户的NAT服务描述信息的过程包括用户通过认证授权后,AAA服务器将该用户的NAT服务描述信息发送给 接入设备,接入设备将收到的NAT服务描述信息通知给NAT网关。
3、 根据权利要求2所述的方法,其特征在于,所述NAT网关根据所述NAT 服务描述信息对该用户的NAT业务进行控制包括NAT网关收到所述用户的NAT服务描述信息后,判断该用户的服务类另'J, 如果是内网访问外网的业务,则根据收到的NAT服务描述信息动态生成对应的 ACL,将该ACL与外网地址池绑定,并根据动态生成的ACL控制该用户内网 访问外网的业务;如果是内网向外网提供服务,则根据收到的NAT服务描述信 息建立该用户的NAT-Server表项,并据此NAT-Server表项对内网向外网提供服 务的业务进行控制。
4、 根据权利要求3所述的方法,其特征在于,所述根据动态生成的ACL 控制该用户内网访问外网的业务包括NAT网关收到所述用户访问外网的报文后,判断收到的报文是否匹配动态 生成的ACL,如果匹配,则从与该ACL绑定的外网地址池中选择一个外网IP 地址,对该报文进行NAT转换,建立转换关系表项,并将转换后的报文发送出 去。
5、 根据权利要求4所述的方法,其特征在于,该方法进一步包括NAT网关在用户下线时判断该用户的服务类别,如果是内网访问外网的业 务,则删除为该用户动态生成的ACL及建立的转换关系表项、并取消该ACL与外网地址池的绑定;如果是内网向外网提供服务,则删除为该用户建立的NAT-Server表项。
6、 根据权利要求1所述的方法,其特征在于,所迷NAT服务描述信息在 AAA服务器创建用户帐号时建立。
7、 根据权利要求1至6任一项所述的方法,其特征在于,所述NAT服 务描述信息包括NAT连接限制、NAT特殊协议类型、NAT普通协议类型、 NAT外部地址池和Z或NAT服务类别。
8、 一种NAT业务控制装置,其特征在于,包括信息获取单元和业务 控制单元,其中,信息获取单元,用于在用户上线时从AAA服务器获取该用户的NAT 服务描述信息,并将获取的服务描述信息发送给业务控制单元;业务控制单元,用于根据收到的NAT服务描述信息对所述用户的NAT 业务进行控制。
9、 根据权利要求8所述的装置,其特征在于,所述业务控制单元包括 类别判断单元、正向处理单元和反向处理单元,其中,类别判断单元,用于在收到用户的NAT服务描述信息后,判断该用户 的服务类别,如果是内网访问外网的业务,则将收到的NAT服务描述信息 发送给正向处理单元;如果是内网向外网提供服务,则将收到的NAT服务 描述信息发送给反向处理单元;正向处理单元,用于根据收到的NAT服务描述信息动态生成对应的 ACL,将该ACL与外网地址池绑定,并根据动态生成的ACL控制所述用户 内网访问外网的业务;反向处理单元,用于根据收到的NAT服务描述信息建立该用户的行控制。
10、 根据权利要求9所述的装置,其特征在于,所述类别判断单元,进一步用于在用户下线时判断该用户的服务类别, 如果是内网访问外网的业务,则将该用户下线信息通知正向处理单元;如果 是内网向外网提供服务,则将该用户下线信息通知反向处理单元;所述正向处理单元,进一步用于在收到用户下线通知后,删除为该用户 动态生成的ACL及建立的转换关系表项、并取消该ACL与外网地址池的绑 定;所述反向处理单元,进一步用于在收到用户下线通知后,删除为该用户 建立的NAT-Server表项。
11、根据权利要求8至IO任一项所述的装置,其特征在于,所述信息 获取单元设置在具有接入控制功能的设备中,所述业务控制单元设置在具有 NAT业务处理功能的设备中;或者,所述信息获取单元和业务控制单元同 时设置在兼具接入控制和NAT业务处理功能的设备中。
全文摘要
本发明提供了一种网络地址转换(NAT)业务控制方法,包括在认证授权计费(AAA)服务器上建立针对用户的NAT服务描述信息,当用户上线并通过认证授权后,从AAA服务器上获取该用户的NAT服务描述信息,NAT网关根据获取的NAT服务描述信息对该用户的NAT业务进行控制。另外,本发明还提供了一种NAT业务控制装置。利用本发明所提供的技术方案,能够提升NAT业务控制的灵活性,实现为用户提供个性化的NAT服务。
文档编号H04L12/56GK101150519SQ20071017655
公开日2008年3月26日 申请日期2007年10月30日 优先权日2007年10月30日
发明者陈伟锋 申请人:杭州华三通信技术有限公司