[发明专利]非对称路由情况下的报文转发方法及网络地址转换网关

说明书

技术领域

本发明涉及网络通信技术，尤其涉及非对称路由情况下的报文转发方法及网络地址转换(NAT，Network Address Translation)网关。

背景技术

网络地址转换是一种将私网网际协议(IP，Internet Protocol)地址转换为公网IP地址的技术，主要用于实现私有网络访问公有网络的功能，它可以使多台私网计算机共享Internet连接，很好地解决公共IP地址资源紧缺的问题。

支持NAT功能的设备称为NAT网关，图1示出了NAT网关的基本应用示意图。参见图1，NAT网关位于私有网络与公有网络的连接处，当私网主机(Host)192.168.1.3发往公网服务器(Server)10.1.1.2的报文(packet)1到达NAT网关后，NAT网关将该报文的源IP地址192.168.1.3转换为一个可在Internet上选路的公有地址20.1.1.1，然后将转换后的报文1发送到公网服务器，同时在NAT网关的转换关系表中记录这一映射；当公网服务器返回给私网主机192.168.1.3的报文2到达NAT网关后，NAT查找自身记录的转换关系表，将报文2的目的IP地址20.1.1.1替换为私网主机的IP地址192.168.1.3，然后发送到私网主机。上述过程对终端来说是透明的，对公网服务器而言，其认为内部主机的IP地址就是20.1.1.1，而并不知道有192.168.1.3这个地址。因此，NAT“隐藏”了企业的私有网络，为私有网络提供了“隐私”保护。

网络地址端口转换(NAPT，Network Address Port Translation)是NAT的一种变形，它允许多个私网地址映射到同一个公网地址的不同端口上。图2示出了NAT网关的NAPT应用示意图。参见图2，四个带有私网地址的IP报文到达NAT网关，其中，报文1和报文2来自同一个私网地址但具有不同的源端口号，报文3和报文4来自不同的私网地址但具有相同的源端口号；NAT网关将这四个报文的源IP地址都映射到了同一个公网地址的不同端口上，同时在NAT网关的转发关系表中记录这些映射；当回应报文到达时，NAT网关根据自身记录的转换关系表将回应报文的目的IP地址和目的端口号替换为原始私网主机的IP地址和端口号。目前，大部分的NAT网关都支持图1和图2所示的两种应用。

上述图1和图2均是单一NAT网关的应用。使用单一NAT网关，NAT网关本身成为了网络中的关键节点，其一旦失效，就会导致整个私网无法接入公网。为了克服该问题，通常使用双机备份或多机备份技术来提升设备的可靠性。图3示出了NAT网关双机备份的工作方式示意图，其中，NAT网关1(FW1)为主NAT网关，FW2为备NAT网关，当FW1正常时，所有流量都经过FW1，同时FW1将建立的转换关系表项如192.168.1.112(1152)->20.1.2.100(2001)备份到FW2上；当FW1异常无法工作时，所有的流量都切换到FW2上，FW2根据备份的转换关系表完成后续报文的地址转换，保证用户的会话连接不会中断。

在图3所示的双机备份情况下，仅有一个NAT网关工作，而另一个NAT网关闲置。为了提高设备的利用率，可以在备份的基础上进行负载分担。图4示出了NAT网关双机备份+负载分担的工作方式示意图，其中，一部分流量经过FW1，一部分流量经过FW2，两个NAT网关进行负载分担，各自完成自己的NAT转换工作，并互向对方备份转换关系表。一旦其中一个NAT网关出现故障，所有流量就切换到剩下那一个正常的NAT网关上，由于这个正常的NAT网关既有自己的转换关系表，也有对方备份过来的转换关系表，因此全部的流量都可以经过这个设备完成NAT转换功能。

在上述负载分担的工作方式下，经常会出现非对称路由的情况，即正向报文所经过的NAT网关与反向报文所经过的NAT网关不同，它们的路由互不对称。下面以传输控制协议(TCP)连接的建立过程为例，说明非对称路由情况下的报文转发过程。参见图5所示，非对称路由情况下的报文转发过程主要包括以下步骤：

步骤501：FW1接收正向同步(Syn)报文，对该Syn报文进行NAT转换，并建立转换关系表。

步骤502：FW1将转换后的Syn报文发送出去。

步骤503：FW1向FW2备份转换关系表。

步骤504：FW2接收返回的同步确认(SynAck)反向报文，查找自身的转换关系表。