[发明专利]应用于动态虚拟专用网络的网络地址转换方法和装置

说明书

技术领域

本申请涉及网络通信技术，特别涉及应用于动态虚拟专用网络（DVPN：Dynamic Virtual Private Network）的网络地址转换（NAT：Network Address Translation）方法和装置。

背景技术

DVPN，可通过下一跳解析协议（NHRP：Next Hop Resolution Protocol）或者VPN地址管理（VAM：VPN Address Management）协议收集、维护和分发动态变化的公网地址等信息，DVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。

在DVPN中的设备有如下几个身份：

VAM服务器：VAM服务器维护所有VAM客户端的信息，响应客户端的注册、查询。可以在路由器上实现，也可以使用专门的服务器实现。

VAM客户端：VAM客户端将自己的信息向服务器注册，在需要其他DVPN节点的信息时，向服务器发起解析请求。VAM客户端可以是主机，也可以是路由器。

中心（Hub）和分支（Spoke）：VAM客户端注册至VAM服务器后获得的Hub和Spoke身份，担任Hub的VAM客户端通常是一个网络中的中心设备，作为路由信息交换的中心，也是数据转发的中心；而担任Spoke的VAM客户端通常是一个网络中的分支设备。为便于描述，本申请将DVPN中担任Hub身份或Spoke身份的VAM客户端，这里将担任Hub身份的VAM客户端称为Hub设备，将担任Spoke身份的VAM客户端称为Spoke设备。

目前，在DVPN中实现NAT是网络通信的需求。其中，NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要应用在连接两个网络的边缘设备上，用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。在网络中，配置了NAT功能且连接内部网络和外部网络的边缘设备，通常被称为NAT设备，如图1所示的路由器（Router）1为NAT设备。

NAT实现方式有以下两种：

静态方式，是指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

动态方式，动态方式是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态方式下存在两种转换模式：

非端口转换（NO-PAT：Not Port Address Translation）模式：

NO-PAT模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。NO-PAT模式下，NAT设备只对报文的IP地址进行NAT转换，同时会建立一个NO-PAT表项用于记录IP地址映射关系，并可支持所有IP协议的报文。

端口地址转换（PAT：Port Address Translation）模式：

PAT模式下，一个NAT地址可以同时分配给多个内网地址共用。PAT模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，因特网控制消息协议）查询报文。图2示出了PAT模式下的工作流程。如图2所示，三个带有内网地址的报文（Packet）到达NAT设备，其中Packet1和Packet2来自同一个源IP地址（Src）但有不同的源端口号，Packet1和报文Packet3来自不同的源IP地址但具有相同的源端口号。通过PAT模式，三个Packet的源IP地址都被转换为同一个外网地址，但每个Packet都被赋予了不同的源端口号，因而仍保留了Packet之间的区别。当各Packet的回应报文到达时，NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该回应报文应转发到的内部主机。采用PAT模式可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。