[发明专利]NAT下快道转发系统的实现方法

说明书

技术领域

本发明涉及一种NAT下的快道转发系统的实现方法，属于网络转发优化技术领域。

背景技术

互联网的日益盛行，IPv4地址日益匮乏，导致绝大部分的互联网用户无法直接使用公网IPv4地址访问互联网，只能以NAT地址转换共享公网IPv4方式访问互联网。网络设备的NAT地址转换性能，直接影响网络设备的转发效率。互联网应用缤纷多彩，娱乐、商务、语音、视频、信息安全服务等各种各样应用逐渐渗入人们的基本生活,对网络的带宽/转发效率也越来越高。现在网络设备己不仅是扮演网络报文转发者的角色，更多的会承载诸多的互联网应用如:防火墙、关键字过滤、网络行为监控、用户认证、NAT地址转换等。随着网络设备承担互联网应用的增多，网络设备的转发性能逐渐成为系统瓶颈，极大的影响用户的网络应用体验。

由于IPv4地址的缺乏，绝大多数的互联网用户均在NAT地址转换形式下访问互联网。随着互联网用户、网络设备承载互联网应用的增多,网络设备在网络中的转发性能势必受到极大的影响。用户访问互联网应用所产生的网络报文，除每一个网络报文需要进行NAT转换的同时，若每一个网络报文均受网络设备承载的应用分析如:防火墙、关键字过滤、网络行为监控、用户认证等处理的话，势必导致处理单个网络报文所消耗的CPU时周期变长，直接影响CPU在单位时间内的网络报文转发性能。目前也存在采用专门的硬件模块来进行NAT转换与转发处理，以提高网络设备转发性能的解决方案。但在更新企业网络设备硬件的同时，也存在着昂贵的资金成本投入，废弃下来的网络设备在一定程度也是企业的资源浪费。实际上对于每个应用的每一条数据流相关的每一个网络报文，在流经网络设备确认允许转发后，该数据流后续相关的网络报文无需再移交给相关的互联网应用模块处理如:防火墙、关键字过滤、网络行为监控、用户认证等，可直接采用网络报文所属流中的NAT信息/路由信息可移交由NAT下的快道转发系统进行转发处理，极大的缩短了单个网络报文所消耗的CPU时周期，CPU单位时间内的网络报文转发性能将成倍提升。

发明内容

本发明针对网络设备承载互联网应用增多、NAT地址转换转发效率低的不足，提供一种linux NAT下的快道转发系统的实现方法，以改善网络设备的转发性能。

本发明的目的通过以下技术方案来实现：

NAT下快道转发系统的实现方法，特点是：在流的定义中增加一个属性快道，表示流是否移交由快道转发处理或是移交由网络层按默认的网络转发处理流程处理；在流的定义中增加一个属性路由，表示流相关网络报文关联的路由信息，在快道转发流相关网络报文时使用，避免二次路由查询，提高网络报文处理效率；在流定义中增加一属性流标记位，表示向关注流的模块提供快道转发流关注标记位，若模块流关注流标记置位，则模块允许流相关网络报文移交由快道转发，否则流相关网络报文需继续移交由模块处理，当流所有关注模块将关注流标记置位后，流后续相关网络报文将移交快道转发。

进一步地，上述的NAT下快道转发系统的实现方法，输入为需要转发的网络报文，首先获取网络报文对应的流，如果获取不到则网络报文移交网络层按默认的网络转发处理流程转发，由Linux conntrack模块建立网络报文所属的流，否则检查网络报文所属流的快道属性，若网络报文所属流的快道属性置位则移交由快道转发系统处理转发网络报文，否则网络报文移交网络层按默认的网络转发处理流程转发；

当网络报文移交网络层按默认的网络转发处理流程转发时，建立网络报文所属的流，同时移交关注流的互联网应用模块分析处理网络报文，以便对网络报文所属流的流标记位属性进行置位，最终决定网络报文所属流对关注流的互联网应用模块是否允许快道转发并对网络报文所属流的快道属性置位，同时在经由网络层路由查询后,将网络报文查询到的路由信息与网络报文所属流的路由属性进行流路由信息关联；

当网络报文移交由快道转发系统处理转发网络报文时，首先对网络报文进行NAT转换，再根据网络报文所属流的路由属性获取网络报文路由信息转发网络报文。

本发明技术方案突出的实质性特点和显著的进步主要体现在：

本发明提出NAT快道转发的方法，极大的提高了网络设备NAT转发性能； 提出流绑定路由信息，缩短己建立流的网络报文路由查询时间；提出流标记位，允许互联网应用关注该流而不仅是该流的网络报文，当所有互联网应用不再关注该流时，该流后续相关网络报文直接进行NAT快道转发，不再移交互联网应用处理，大大减少CPU资源消耗。

附图说明