本发明涉及通信,具体涉及一种基于ont网关的nat转换控制方法、装置及ont网关。
背景技术:
::1、为了实现对酒店等公共场景ont(optical network terminal,光网络设备)网关产品下挂设备的监控,ont会被要求支持安审功能,实现对数据的监控和追踪。2、目前存在一种基于nat转换控制来实现数据的追踪方案,该方案通过将网关下挂设备“ip”转换为网关wan口“ip+端口号”的方式,来实现对网关内部的用户收发的数据的监控。该方案具体描述如下:当需要监听网关下挂某个设备上网数据时,网关需对这些数据进行nat转换控制,转换后从网关wan口出去的报文源端口号范围应在min-max范围之间,网络监听设备可根据从wan口发出报文的源ip和源端口号判断出是哪个设备的上网数据。3、其中,min:(网关下挂设备ip四段值-2)*256+1024,max:min+255,ip四段值:例如192.168.10.100中的100,需要监听设备dhcp从192.168.10.50开始分配ip地址。4、为了实现这个需求,目前采用的方式在ont网关的linux内核实现相关控制,但这种方式由于涉及用户态和内核态维护,逻辑复杂,导致可维护性较差。技术实现思路1、本发明旨在解决现有ont网关的数据监控方式存在可维护性差的问题,提出一种基于ont网关的nat转换控制方法、装置及ont网关。2、本发明解决上述技术问题所采用的技术方案是:3、第一方面,提供一种基于ont网关的nat转换控制方法,所述方法包括:4、选择ont网关的wan连接类型,并选择需要监控的端口和设备ip;5、通过iptables根据所述端口和设备ip在内核的netfilter中生成nat44规则,所述netfilter中设有默认的nat规则;6、使所述nat44规则在netfilter中生效,并新增地址伪装规则,使所述nat44规则对应的nat转换范围与所述nat规则对应的nat转换范围不重叠;7、当ont网关收到下挂设备的报文后,判断所述报文是否为udp报文或tcp报文,若是,则进一步判断所述报文是否来自需要监控的端口和设备ip,若是,则根据所述nat44规则对所述报文进行nat转换;8、将nat转换后的报文从wan口转发至前端。9、进一步地,所述选择ont网关的wan连接类型具体包括:选择ont网关的wan连接类型为internet连接,并定义internet上网wan连接对应设备接口为nbif0;10、所述需要监控的端口包括lan和wifi,定义需要监控的lan口为eth0,定义需要监控的wifi ssid为wlan0;11、所述需要监控的设备ip为ip网段,定义ip网段的起始ip为地址ip_src,定义ip网段的起始ip为地址ip_dst。12、进一步地,所述nat44规则如下:13、iptables-t nat-a-m iprange--src-range ip_src-ip_dst-s eth0-p tcp-onbif0-j nat44;14、iptables-t nat-a-m iprange--src-range ip_src-ip_dst-p udp-o nbif0-jnat44;15、iptables-t nat-a-s wlan0-p udp-o nbif0-j nat44。16、进一步地,所述方法还包括:17、当所述报文不是udp报文或tcp报文时,根据所述报文对应的协议栈流程处理所述报文;18、当所述报文不是来自需要监控的端口和设备ip时,根据默认的nat规则处理所述报文。19、第二方面,提供一种基于ont网关的nat转换控制装置,所述装置包括:20、规则配置单元,用于选择ont网关的wan连接类型,并选择需要监控的端口和设备ip;通过iptables根据所述端口和设备ip在内核的netfilter中生成nat44规则,所述netfilter中设有默认的nat规则;以及使所述nat44规则在netfilter中生效,并新增地址伪装规则,使所述nat44规则对应的nat转换范围与所述nat规则对应的nat转换范围不重叠;21、数据处理单元,用于当ont网关收到下挂设备的报文后,判断所述报文是否为udp报文或tcp报文,若是,则进一步判断所述报文是否来自需要监控的端口和设备ip,若是,则根据所述nat44规则对所述报文进行nat转换;以及将nat转换后的报文从wan口转发至前端。22、进一步地,所述选择ont网关的wan连接类型具体包括:选择ont网关的wan连接类型为internet连接,并定义internet上网wan连接对应设备接口为nbif0;23、所述需要监控的端口包括lan和wifi,定义需要监控的lan口为eth0,定义需要监控的wifi ssid为wlan0;24、所述需要监控的设备ip为ip网段,定义ip网段的起始ip为地址ip_src,定义ip网段的起始ip为地址ip_dst。25、进一步地,所述nat44规则如下:26、iptables-t nat-a-m iprange--src-range ip_src-ip_dst-s eth0-p tcp-onbif0-j nat44;27、iptables-t nat-a-m iprange--src-range ip_src-ip_dst-p udp-o nbif0-jnat44;28、iptables-t nat-a-s wlan0-p udp-o nbif0-j nat44。29、进一步地,所述数据处理单元,还用于:30、当所述报文不是udp报文或tcp报文时,根据所述报文对应的协议栈流程处理所述报文;31、当所述报文不是来自需要监控的端口和设备ip时,根据默认的nat规则处理所述报文。32、第三方面,提供另一种基于ont网关的nat转换控制装置,所述装置包括处理器和存储有程序指令的存储器,其特征在于,所述处理器被配置为在执行所述程序指令时,执行如第一方面所述的基于ont网关的nat转换控制方法。33、第四方面,提供一种ont网关,包括:网关本体以及如第二方面或第三方面所述的基于ont网关的nat转换控制装置,所述基于ont网关的nat转换控制装置被安装于所述网关本体。34、本发明的有益效果是:本发明所述的基于ont网关的nat转换控制方法、装置及ont网关,通过iptables和netfilter控制ont网关下挂设备的nat转换关系,并根据网关转发报文的源ip和源端口号来实现对网关内部的用户收发的数据的监控。本发明基于iptables和netfilter进行扩展开发,不涉及用户态和内核态维护,ont网关可直接通过iptables命令规则维护实现对数据的转发控制,提高了网关中linux系统的可维护性,减少了维护和开发成本。当前第1页12当前第1页12