一种分布式网络地址转换系统的制作方法
【技术领域】
[0001] 本发明涉及网络通信技术领域,尤其涉及分布式网络地址转换NAT(Netw〇rk AddressTranslation)系统。
【背景技术】
[0002] 互联网网络地址分配机构IANA(TheInternetAssignedNumbersAuthority)规 定了三类私有IP地址空间:10. 〇?〇? 0-10. 255. 255. 255、172. 16. 0? 0-172. 31. 255. 255 和 192. 168. 0.0-192. 168. 255. 255。这三类IP地址只能在内部网络使用,不允许在互联网使 用。则使用私有IP地址的网络为内部网络,简称"内网";使用公有IP地址的网络称为外部 网络,简称"外网"或者"互联网"。
[0003]NAT技术是在IPv4地址日渐枯竭的情况下出现的一种技术,主要用于实现内部网 络访问外部网络的功能,并于1994年作为RFC文档发布。NAT提供了一种将IP地址从编址 域P映射到编址域Q的机制。通常称编址域P为私有IP地址域,只允许内部网络使用,编 址域Q则为可在互联网路由的公有IP地址域。
[0004] 当前使用最广泛的网络地址转换类型有三种:静态NAT、动态NAT、网络地址端口 转换NAPT。
[0005] 静态NAT(StaticNAT)中内部主机的私有IP被永久一对一地映射到公有IP。静 态NAT没有状态的概念,不需要记录前一个数据包的转换信息,只需处理好当前数据包。静 态NAT在完成IP地址转换与网络层校验和重新计算后,在内外网之间转发数据包。图1.就 是静态NAT的例子,通过在私有IP和公有IP之间建立静态映射关系,外部主机访问公有 IP地址就相当于访问内部主机。例如:夕卜部主机HostA要访问WebServer,只需访问Web Server私有IP地址(10. 0. 0. 4)对应的公有IP地址(159. 226. 40. 4)即可。公有IP和私 用IP之间的映射,将由NAT设备完成。静态NAT的一个最显著的缺点是没有提高公有IP 地址利用率,由于一对一的静态映射关系,公有IP被内部主机独占。当内部主机不在线或 者不可用时,公有IP地址就被浪费。静态NAT方式只是作为NAT的一种特殊方式出现,仅 仅体现了网络地址转换的思想。
[0006] 动态NAT(PooledNAT)在私有IP地址和公有IP地址间建立起的动态映射关系, 所有公有IP被放入地址池,当内部主机需要访问互联网时,根据地址选择算法从地址池中 选择一个可用的公有IP地址,并在公私IP地址间建立映射。应答报文和后续报文都将使 用该映射表项进行转换。等到通信结束后,该映射表项被拆除,公网IP重新归入到地址池。 在内部主机网络访问并发率不高的情况下,动态NAT能够通过公私IP之间映射关系的动态 建立和拆除,保证网络访问正常进行,从而达到使用少量公有IP就能够让大量内部主机访 问互联网的目的。动态NAT的这种运作方式与CPU按照时间片调度类似,从宏观上看所有内 部主机同时访问互联网,而实际上同一时刻只允许公有IP地址个数的内部主机访问互联 网。图2就是动态NAT的例子,内部网络使用10. 0. 0. 0/24网段,公有IP地址全部放入地 址池中,通过在私有IP和公有IP之间建立动态映射关系,实现内部网络和外部网络互连。
[0007] 虽然动态NAT提供了使用少量公网IP就能让大量内部主机同时访问互联网的机 制,但是该机制的实现依赖于内部主机访问的频率。假设100个内部主机使用20个公有IP 进行互联网访问,一旦有超过20个频繁活动的内部主机占据了地址池中的所有公有IP地 址,其他主机就无法获取公有IP地址,从而也就阻塞了这些主机的互联网访问。
[0008] 网络地址端口转换NAPT(NetworkAddressPortTranslation)是当前最流行的 NAT方式,被普遍应用于接入设备中,能够将内部网络隐藏在一个或几个公有IP地址后。 与前两种网络地址转换只修改IP地址不同,NAPT将映射关系延伸到端口级别,单个公有IP 地址的不同端口能够与多个私有IP地址建立映射关系,网络地址端口转换涉及到网络层 和传输层。图3就是NAPT的例子,内部网络使用10. 0. 0. 0/24网段,总共有3个公有IP地 址。当一个内部主机需要进行互联网访问时,NAPT设备不仅要对数据包的IP地址进行转 换,还需要对传输层端口号进行转换。由于可用的端口地址众多,因此NAPT几乎是解决了 动态NAT中由于地址池公有IP不足带来的内部主机访问互联网被阻塞的问题。使用NAPT, 从外部主机的角度看,所有内部主机的数据包都来源于一个或者几个公有IP地址,用户只 需要申请少量的公有IP地址就能够实现让大量内部主机接入互联网。尽管主机数量众多 而互联网带宽有限,可能导致上网体验不好的情况。
[0009] 随着NAT设备的广泛部署,出现越来越多局部NAT环境"过冷"和"过热"两种极 端情况。如图4所示,某单位有三个部门,各自通过NAT设备接入互联网,各个NAT环境间 没有交互关系。这里假设每个NAT环境拥有同等资源。由于环境一用户多,而环境二和环 境三用户少,在同等资源条件下,必然导致环境一"过热"而环境二、环境三"过冷"。"过冷" 环境的NAT设备负载低,网络带宽被浪费;"过热"环境的NAT设备负载高,网络带宽不足。 造成这一状况的根本原因在于:资源分散、无法共享。
[0010] 因此传统的NAT系统IP资源利用率低,且不支持负载的资源使用策略。
【发明内容】
[0011] 有鉴于此,本发明提供了一种分布式网络地址转换系统,能够提高NAT系统中IP资源利用率,支持复杂的资源使用策略,并具有三种扩展功能,优化了网络应用。
[0012] 为达到上述目的,本发明的技术方案为:该系统包括接入层、复用层和控制层; 接入层中节点为接入点AP;复用层中节点为复用点MP;控制层中节点为控制点CP。
[0013] 接入点AP为接入服务器;接入点AP具有与内网主机通信以及为内网主机选定公 有IP资源,并与持有选定公有IP资源的复用点MP进行通信并进行地址转换的功能。
[0014] 复用点MP为复用服务器;每个复用点MP均维护各自持有的公有IP资源,每个复 用点MP具有通过各自的公有IP资源与外网通信的功能。
[0015] 控制点CP包括资源服务器IPS和配置服务器CC;其中资源服务器IPS用于维护 系统中所有复用点MP的公有IP地址资源;配置服务器用于对各层的节点进行配置。
[0016] 接入点AP、复用点MP和控制点CP之间使用隧道进行互联,隧道为传输层连接隧 道。
[0017] 进一步地,接入点AP与持有选定公有IP资源的复用点MP建立会话并进行地址转 换的过程具体为:内网主机发起到外网主机的连接请求,该连接请求中包括内网主机IP地 址和端口号、外网主机IP地址和端口号,接入点AP接收到该连接请求,通过设定的公有IP 选择算法选择公有IP地址和端口号,由此产生一个新的会话映射表项,将新的会话映射表 项中与连接有关的信息传递给复用点MP,复用点MP建立新的连接信息表项,会话建立;接 入点AP与复用点MP采用该会话进行数据交互;
[0018] 会话映射表项存于会话映射表中,该会话映射表由接入点AP建立并维护,会话映 射表项为一个会话的基本数据结构,具体包括内网主机的IP地址和端口号、所选取的公有IP地址和端口号、目的外网主机的IP地址和端口号以及该会话对端复用点MP的IP地址;
[0019] 连接信息表项存于连接信息表中,该连接信息表由复用点MP建立并维护,连接 信息表项为用于一个会话的辅助数据结构;具体包括内网主机对应的公有IP地址和端口 号、外网主机的IP地址和端口号以及该会话对端接入点AP的IP地址;
[0020] 与连接有关的信息包括公有IP地址和端口号、外网主机IP地址和端口号、以及会 话对端接入点AP的IP地址。
[0021] 优选地,上述设定的公有IP选择算法为每次选取不同复用点MP的公有IP地址。
[0022] 优选地,公有IP选择算法包括按连接变换公有IP地址和按时间变换公有IP地 址:
[0023] 按连接变换公有IP地址具体为以会话为单元循环选取不同的公有IP地址和端口 号;
[0024] 按时间变换公有IP地址具体为在连接请求中加入时间字段,在时间字段范围内 使用预设的公有IP地址,一旦超时,则变换选取其他公有IP地址。
[0025] 进一步地,接入层、复用层和控制层的节点之间采用三类数据流进行数据交互,三 类数据流分别为公有IP提交流、公有IP获取流以及系统数据流;其中系统数据流包括配置 流和业务数据流。
[0026] 公有IP提交流的数据方向为复用点MP至资源服务器IPS;当复用点MP初始化时, 复用点MP将其所维持的所有公有IP地址资源信息通过公有IP提交流发送至资源服务器 IPS,或者当复用点MP所维持的公有IP地址发生变更时,