[发明专利]网络地址转换技术的处理方法、NAT设备及BNG设备

说明书

本发明提供了一种网络地址转换技术的处理方法、NAT设备及BNG设备，其中，该法包括：网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值；若是，NAT设备通知宽带网络网关BNG设备对用户设备执行安全策略，其中，安全策略用于阻止用户设备的攻击行为，并通知用户设备存在攻击行为。本发明解决了相关技术中因用户主机本身异常行为而投诉运营商的问题，同时提醒用户对自身的主机安全性进行检查，从而在提高NAT设备的利用率的同时，改善用户体验。

技术领域

本发明涉及通信领域，具体而言，涉及一种网络地址转换技术的处理方法、NAT设备及BNG设备。

背景技术

随着接入Internet的宽带上网用户数量的不断猛增，IPv4地址资源也就愈加显得捉襟见肘，能够在Internet上传播的公网IPv4地址越来越稀缺，显然，越来越稀缺的公网IPv4地址根本无法满足网络用户的需求，于是也就产生了网络地址转换（Network AddressTranslation，简称为NAT）技术。

NAT技术是一种将私网IPv4地址转化为公网IPv4地址的转换技术，它被广泛应用于各种类型的Internet接入方式和各种类型的网络中。NAT技术可以完美地解决lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

NAT设备是提供NAT转换功能的设备，NAT设备分为2种：

（1）如果NAT设备和宽带网络网关（Broadband Network Gateway，简称为BNG）合一，叫做融合式NAT设备，BNG同时提供宽带接入服务和NAT功能

（2）如果NAT设备仅仅提供NAT转换功能，叫做独立式NAT设备，此时NAT设备在BNG的上游，单独提供NAT转换而不提供宽带接入功能。

用户使用NAT功能访问Internet的过程如下：

（1）当宽带用户上线时，用户从宽带网络网关上获取一个私网IPv4地址；

（2）宽带用户访问Internet，宽带用户的IPv4数据包的源地址是获取的私网IPv4地址，用户的数据包被送到NAT设备；

（3）NAT设备根据一定的规则，把用户报文的源IP和源端口转换成公网IP地址和端口后，NAT设备生成“源IP+源端口”和“转换后的源IP+源端口”的会话对应关系，并把用户的数据报文送到Internet，完成NAT正向转换；

（4）Internet上返回给用户的IP报文，在NAT设备上根据返程报文的目的IP和目的端口，查找前面所述的公私网地址端口会话对应关系，再把返程报文的目的地址和目的端口再转换成用户发送报文的私网源IP和源端口，完成NAT反向转换；

（5）反向数据包最终以用户的私网IP和端口为目的，发送到用户主机。

因此，在NAT转换过程中，根据用户访问Internet的报文，NAT设备会生成一个“源IP+源端口”和“转换后的源IP+源端口”的会话对应关系，我们把这个关系叫做Session（会话），当用户每次访问一次Internet业务（标识为一个目的IP+目的端口），NAT设备上就生成一条会话条目，一个会话条目记录如下内容：

1）用户访问的目的IP和目的端口；

2）用户的私网源IP和源端口，和用户经过NAT转换后的公网源IP和源端口；

3）使用的协议。

私网用户每次访问Internet，只要IP报文的5元组（源IP、源端口、协议、目的IP、目的端口）不同，NAT设备就会建立一条Session条目，通过Session条目的公私网的对应关系，NAT设备可以进行正向或者反向的NAT转换，用户必须通过NAT转换把私网地址和端口替换成公网地址和端口后才能访问Internet。