專利名稱:一種保證網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備與外網(wǎng)互通的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域����,特別涉及通過網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行網(wǎng)絡(luò)互聯(lián)的方法��。
背景技術(shù):
隨著因特網(wǎng)的迅速發(fā)展�,因特網(wǎng)網(wǎng)絡(luò)地址日益面臨被耗盡的危險(xiǎn)。為了使局域網(wǎng)中的多臺(tái)主機(jī)能夠通過有限的幾個(gè)公網(wǎng)地址接入Internet�����,一種NAT(Network Address Translation�,即網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)應(yīng)運(yùn)而生。NAT技術(shù)是一種地址轉(zhuǎn)換技術(shù)���,通常用于內(nèi)部網(wǎng)絡(luò)內(nèi)具有私有IP地址的主機(jī)訪問外部網(wǎng)絡(luò)時(shí)�����,將該主機(jī)的內(nèi)部局部地址(Inside Local Address)轉(zhuǎn)換為一個(gè)外部唯一可識(shí)別的合法IP地址(Inside Global Address)���;同時(shí)����,將外部網(wǎng)絡(luò)返回給內(nèi)部網(wǎng)絡(luò)主機(jī)的合法IP地址(Inside Global Address)映射回在內(nèi)部網(wǎng)絡(luò)中該主機(jī)的私有IP地址(Inside Local Address)�����,使得不同私有網(wǎng)絡(luò)可以使用相同的私有IP地址段�,并能和外部網(wǎng)絡(luò)進(jìn)行正常通信,卻不會(huì)導(dǎo)致地址信息出現(xiàn)混亂�。從而擴(kuò)展了IP地址的應(yīng)用范圍,在一定程度上緩解了當(dāng)前IPv4地址空間不足的問題����。
在NAT技術(shù)中有一種動(dòng)態(tài)可重用NAT的技術(shù),也叫做NAPT(NetworkAddress Port Translation�,即網(wǎng)絡(luò)地址端口轉(zhuǎn)換)或者PAT(Port AddressTranslation,即端口地址轉(zhuǎn)換)���,該技術(shù)根據(jù)內(nèi)部主機(jī)的IP地址加端口對(duì)(IP���,Port)來進(jìn)行NAT轉(zhuǎn)換。由于每一個(gè)可分配的內(nèi)部全局地址都有近64K個(gè)端口可以用來做端口地址轉(zhuǎn)換����,所以如果在內(nèi)部全局地址池里有N個(gè)地址的話�����,就可以對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)N*64K個(gè)IP地址加端口對(duì)進(jìn)行NAT轉(zhuǎn)換,大大地?cái)U(kuò)充了可進(jìn)行NAT轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)量�����。這種技術(shù)對(duì)于TCP/UDP(傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議)報(bào)文是非常合適有效的���,但是對(duì)于ICMP(因特網(wǎng)控制消息協(xié)議)報(bào)文����,由于報(bào)文沒有端口����,似乎就無法處理了。目前的解決方案是利用ICMP Identifier(ICMP標(biāo)識(shí))(下面簡(jiǎn)稱ICMP ID)來代替報(bào)文的源端口��,從而通過IP地址加ICMP ID來進(jìn)行NAT轉(zhuǎn)換����。
由于公網(wǎng)地址非常緊缺和寶貴,為了節(jié)約公網(wǎng)地址資源����,還開發(fā)了一種動(dòng)態(tài)端口轉(zhuǎn)換復(fù)用接口地址NPAT的技術(shù)��,該技術(shù)將NAT設(shè)備的接口地址配置在NAT地址池中�,它通過端口區(qū)分的方式��,不僅能使NAT設(shè)備可以和外部網(wǎng)絡(luò)進(jìn)行正常通信��,還能進(jìn)行正常的PAT功能��。
對(duì)于采用這種技術(shù)的NAT設(shè)備上�,對(duì)于TCP/UDP的應(yīng)用所使用的端口一般都小于某個(gè)固定值A(chǔ),因此只要在PAT轉(zhuǎn)換中不分配A以下的端口值�,就可以保證NAT設(shè)備既可以和外部網(wǎng)絡(luò)進(jìn)行正常通信,同時(shí)也可以正常進(jìn)行PAT轉(zhuǎn)換��。但是��,對(duì)于NAT設(shè)備生成的ICMP報(bào)文來說��,其ICMP ID的值為1~65535�����,不會(huì)小于某個(gè)固定值A(chǔ)。而在現(xiàn)有的NPAT技術(shù)實(shí)現(xiàn)中��,對(duì)于ICMP報(bào)文的PAT轉(zhuǎn)換是利用ICMP ID代替端口進(jìn)行轉(zhuǎn)換的�,即分配的端口值與ICMP ID相同。因此��,它存在著一個(gè)明顯的缺陷��,即一旦NAT設(shè)備生成的ICMP報(bào)文中的ID與NAT映射條目中分配的端口相同時(shí)��,就會(huì)產(chǎn)生端口沖突�,從而導(dǎo)致內(nèi)部主機(jī)通過NPAT轉(zhuǎn)換ping不通外部主機(jī)(或網(wǎng)絡(luò))�����,或者NAT設(shè)備ping不通外部主機(jī)(或網(wǎng)絡(luò))���。
同樣�,當(dāng)NAT設(shè)備在outside(外部)接口接收到目的地址為本地地址的ICMP報(bào)文����,并且報(bào)文中的identifier與ICMP映射條目中的端口值相同時(shí),也無法判定該報(bào)文是發(fā)送到本地設(shè)備的還是需要進(jìn)行NAT轉(zhuǎn)換送往內(nèi)部主機(jī)(或網(wǎng)絡(luò))的����,從而導(dǎo)致外部主機(jī)ping不通NAT設(shè)備�。
發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種保證網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備與外網(wǎng)互通的方法�����,能夠避免NAT設(shè)備生成的ICMP報(bào)文與轉(zhuǎn)發(fā)ICMP報(bào)文產(chǎn)生端口沖突����。
為了解決上述技術(shù)問題,本發(fā)明提供一種保證網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備與外網(wǎng)互通的方法����,應(yīng)用于網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備,該設(shè)備包括用于轉(zhuǎn)發(fā)因特網(wǎng)控制消息協(xié)議ICMP報(bào)文的網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模塊和用于收發(fā)和處理本地ICMP報(bào)文的ICMP模塊��,該方法包括以下步驟(a)當(dāng)NAT設(shè)備從內(nèi)部接口收到ICMP報(bào)文��,NAT模塊判斷該報(bào)文需要進(jìn)行端口地址轉(zhuǎn)換PAT但沒有相應(yīng)映射條目��,且為其分配了本地地址和端口時(shí)���,向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息�����,攜帶該端口的值�;(b)ICMP模塊收到所述申請(qǐng)預(yù)留消息后,判斷與該端口值相同的ICMP標(biāo)識(shí)是否已使用����,如果是,回復(fù)失敗消息��,執(zhí)行步驟(c)����;否則預(yù)留與該端口值相同的ICMP標(biāo)識(shí)不再分配�����,回復(fù)成功消息����,執(zhí)行步驟(d);(c)NAT模塊收到失敗消息后����,重新分配端口,再次向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息��,返回步驟(b);(d)NAT模塊收到成功消息后��,在映射表中創(chuàng)建該ICMP報(bào)文的映射條目����,進(jìn)行正常的NAT轉(zhuǎn)發(fā)。
進(jìn)一步地�����,上述方法還可具有以下特點(diǎn)還包括以下釋放預(yù)留的ICMP標(biāo)識(shí)的處理過程(h)NAT模塊需要?jiǎng)h除PAT映射條目時(shí)���,如果該條目的協(xié)議類型是ICMP協(xié)議且內(nèi)部全局地址為本地地址���,則提取該條目中分配的端口值,向ICMP模塊發(fā)送釋放消息�����;(i)ICMP模塊收到該釋放消息后���,釋放預(yù)留的與該端口值相同的ICMP標(biāo)識(shí)�����,向NAT模塊回復(fù)釋放成功消息�;(j)NAT模塊收到釋放成功消息后,直接刪除該映射條目����。
進(jìn)一步地,為了正確區(qū)分從外部接口接收的ICMP報(bào)文是需要進(jìn)行NAT轉(zhuǎn)發(fā)還是由本地ICMP模塊處理�,本發(fā)明方法還包括以下對(duì)外部接口收到的ICMP報(bào)文的處理過程(o)NAT設(shè)備從外部接口收到ICMP報(bào)文,如該報(bào)文需NAT轉(zhuǎn)換��,由NAT模塊查映射表中是否有該ICMP報(bào)文的映射條目��,如果有���,執(zhí)行步驟(p),如果沒有��,執(zhí)行步驟(s)�;步驟(p),NAT模塊再判斷該映射條目是否PAT映射條目�,如果是,執(zhí)行步驟(q)�����,否則按正常的NAT轉(zhuǎn)發(fā)處理,結(jié)束�;
步驟(q),判斷該ICMP報(bào)文的類型是否響應(yīng)報(bào)文�����,如果是�����,執(zhí)行步驟(r)�����,否則�����,執(zhí)行步驟(s)��;步驟(r)����,進(jìn)行NAT的轉(zhuǎn)發(fā)處理,結(jié)束�����;步驟(s),將該ICMP報(bào)文交給ICMP模塊處理���,結(jié)束��;進(jìn)一步地����,上述方法還可具有以下特點(diǎn)所述步驟(a)NAT模塊向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息后�����,記錄分配的端口值并等待ICMP模塊的應(yīng)答消息���,如果等待超時(shí)�,則向ICMP模塊重發(fā)該申請(qǐng)預(yù)留消息��。
進(jìn)一步地�����,上述方法還可具有以下特點(diǎn)所述步驟(h)和步驟(p)中��,NAT模塊是通過映射條目的端口值判斷該條目是否為PAT映射條目�����,如端口值不為0����,則該條目是PAT映射條目,否則不是PAT映射條目�����。
進(jìn)一步地�,上述方法還可具有以下特點(diǎn)所述步驟(o)中,NAT設(shè)備是通過以下方式判斷收到的ICMP報(bào)文是否需進(jìn)行NAT轉(zhuǎn)換的根據(jù)該報(bào)文的目的地址查找路由�,如路由條目中的NAT標(biāo)志被置位,則認(rèn)為該ICMP報(bào)文需進(jìn)行NAT轉(zhuǎn)換�。
由上可知,本發(fā)明在原有的技術(shù)基礎(chǔ)上增加了NAT模塊與ICMP模塊之間的交互���,使得NAT設(shè)備生成的ICMP報(bào)文的ID不會(huì)與PATICMP映射條目中的端口沖突���,保證NAT設(shè)備能夠正確區(qū)分本地接收的ICMP報(bào)文,使得NAT設(shè)備可以和外部網(wǎng)絡(luò)在進(jìn)行ping操作時(shí)可以互通���。
圖1是NAT設(shè)備網(wǎng)絡(luò)通信示意圖���;圖2是本發(fā)明實(shí)施例中NAT設(shè)備在Inside接口接收到ICMP報(bào)文后處理的基本流程圖����;圖3是本發(fā)明實(shí)施例中NAT設(shè)備釋放預(yù)留的ICMP ID的基本流程圖��;圖4是本發(fā)明實(shí)施例中ICMP模塊收到ID申請(qǐng)預(yù)留消息的基本流程圖����;圖5是本發(fā)明實(shí)施例中NAT設(shè)備在outside接口接收到目的地址為本地地址的ICMP報(bào)文后,NAT模塊處理的基本流程圖��。
具體實(shí)施方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明做進(jìn)一步地詳細(xì)描述�����。
為了清楚說明����,我們將NAT設(shè)備中進(jìn)行端口地址轉(zhuǎn)換的部分稱為NAT模塊,將生成和處理ICMP報(bào)文的部分稱為ICMP模塊���。
圖2示出了本發(fā)明實(shí)施例中NAT設(shè)備在Inside(內(nèi)部)接口方向接收到內(nèi)部主機(jī)發(fā)送的ICMP報(bào)文后的處理流程�,當(dāng)系統(tǒng)判定報(bào)文需要進(jìn)行NAT轉(zhuǎn)換并需要新創(chuàng)建映射條目時(shí)�,NAT模塊進(jìn)行如下步驟的處理步驟100,判斷該ICMP報(bào)文需要進(jìn)行的轉(zhuǎn)換是否PAT轉(zhuǎn)換��,如果是����,進(jìn)行步驟110;否則進(jìn)行正常NAT轉(zhuǎn)換流程����,結(jié)束;步驟110��,提取ICMP報(bào)文中的源地址和ID號(hào)查找NAT轉(zhuǎn)換條目映射表����,如果查找失敗,即映射表中沒有相應(yīng)的映射條目���,則進(jìn)行步驟120���,否則直接進(jìn)行NAT轉(zhuǎn)換,結(jié)束;步驟120���,為該ICMP報(bào)文分配內(nèi)部全局地址和端口�;步驟130����,判斷內(nèi)部全局地址是否為本地地址,如果是�����,表示該ICMP報(bào)文需要進(jìn)行的轉(zhuǎn)換是NPAT轉(zhuǎn)換�����,進(jìn)行步驟140�,否則,表示該ICMP報(bào)文需要進(jìn)行的是普通的PAT轉(zhuǎn)換����,則進(jìn)行正常NAT轉(zhuǎn)換流程,結(jié)束�;步驟140,記錄分配的端口值�,并向ICMP模塊發(fā)送ID申請(qǐng)預(yù)留消息����,該消息中包括分配的該端口值��;步驟150����,等待ICMP模塊的應(yīng)答消息�,如果等待超時(shí),進(jìn)行步驟160�����,如果收到返回的響應(yīng)消息�,進(jìn)行步驟170;步驟160��,向ICMP模塊重發(fā)ID申請(qǐng)預(yù)留消息����,返回步驟150;步驟170����,判斷接收的消息類型,如果為申請(qǐng)預(yù)留成功消息,則進(jìn)行步驟180��;如果是申請(qǐng)預(yù)留失敗消息����,表示ICMP模塊中與分配端口相同的ID已經(jīng)被使用,則重新分配本地地址和端口����,進(jìn)行步驟130;步驟180���,在映射表中創(chuàng)建內(nèi)部主機(jī)IP��、ICMP ID號(hào)與分配的內(nèi)部IP地址��、公用端口的PAT映射條目�����,然后進(jìn)行正常的NAT轉(zhuǎn)發(fā)�。
圖3示出了本發(fā)明實(shí)施例中NAT模塊刪除映射條目的處理流程���,當(dāng)NAT模塊在準(zhǔn)備刪除一條映射條目時(shí)�,進(jìn)行如下步驟步驟210,判斷該映射條目是否為PAT映射條目且協(xié)議類型為ICMP類型�,如果是,進(jìn)行步驟220���;否則進(jìn)行正常NAT刪除操作����,結(jié)束���;本實(shí)施例是根據(jù)映射條目中的端口值來判斷是否為PAT映射條目的,PAT映射條目的端口值不為0��,非PAT映射條目的端口值為0�。
步驟220,判斷該映射條目的內(nèi)部全局地址是否為本地地址�,如果是,進(jìn)行步驟230�;否則進(jìn)行正常的PAT條目刪除操作,結(jié)束��;步驟230�,提取該映射條目中的端口值并向ICMP模塊發(fā)送ICMP ID釋放消息,該釋放消息中包括該端口值�����;步驟240,當(dāng)收到ICMP模塊發(fā)送的ICMP ID釋放成功消息后��,直接刪除該映射條目����。
圖4示出了本發(fā)明實(shí)施例中ICMP模塊接收到來自NAT模塊的消息后的流程,包括如下步驟步驟310���,判斷接收的消息類型�,如果是ICMP ID申請(qǐng)預(yù)留消息�,進(jìn)行步驟320;如果為ICMP ID釋放消息���,進(jìn)行步驟350��;步驟320�,根據(jù)該申請(qǐng)預(yù)留消息中的端口值判斷與該值相同的ICMP ID是否已經(jīng)被使用�����,如果是�,進(jìn)行步驟330��;否則進(jìn)行步驟340��;步驟330����,向NAT模塊發(fā)送申請(qǐng)預(yù)留失敗消息����,結(jié)束;步驟340����,預(yù)留該ICMP ID值��,不再分配給ICMP報(bào)文��,并向NAT模塊發(fā)送“申請(qǐng)預(yù)留成功”消息��,結(jié)束��;步驟350��,根據(jù)該釋放消息中的端口值����,找到并釋放值與該端口值相同的ICMP ID���,并向NAT模塊發(fā)送“釋放成功”消息。
在本實(shí)施例中���,在現(xiàn)有的技術(shù)基礎(chǔ)上增加了NAT模塊與ICMP模塊之間的交互�����,在NPAT轉(zhuǎn)換時(shí)�,通知ICMP模塊預(yù)留了值與NPAT轉(zhuǎn)換中端口值相同的ID�����,在NAT設(shè)備生成ICMP報(bào)文時(shí)��,就不會(huì)使用該ID��,由此�����,NAT設(shè)備生成的ICMP報(bào)文的ID就不會(huì)與PAT ICMP映射條目中的端口沖突了�。因而避免了端口沖突��。不會(huì)出現(xiàn)內(nèi)部主機(jī)通過NPAT轉(zhuǎn)換ping不通外部主機(jī)(或網(wǎng)絡(luò))�,或者NAT設(shè)備ping不通外部主機(jī)(或網(wǎng)絡(luò))的情況��。
但是��,對(duì)于外部主機(jī)ping NAT設(shè)備的情形��,由于在外部主機(jī)ping NAT設(shè)備時(shí)��,ICMP報(bào)文中的ID是外部主機(jī)生成的�,其ID值無法控制。因此��,在outside接口收到目的地址為本地地址的ICMP報(bào)文且報(bào)文中的ID與ICMP映射條目中的端口值相同時(shí)�,由于該端口值即可能是分配給內(nèi)部主機(jī)發(fā)送的ICMP����,也是能是分配給ICMP模塊發(fā)送的ICMP,所以�����,還是無法判定該報(bào)文是發(fā)送到本地設(shè)備的還是需要進(jìn)行NAT轉(zhuǎn)換送往內(nèi)部主機(jī)����。
圖5示出了本發(fā)明實(shí)施例當(dāng)NAT設(shè)備從外部接口接收到ICMP報(bào)文后的流程�����,包括如下步驟步驟410���,判斷接收到的ICMP報(bào)文是否需要進(jìn)行NAT轉(zhuǎn)換,如果是��,進(jìn)行步驟420����;否則進(jìn)行普通的報(bào)文轉(zhuǎn)發(fā)流程,結(jié)束�;在本實(shí)施例中,根據(jù)報(bào)文目的地址查路由�����,如果發(fā)現(xiàn)NAT標(biāo)志被置位��,則表示路由條目是NAT轉(zhuǎn)換生成的���,需要進(jìn)行NAT轉(zhuǎn)換����。
步驟420,將報(bào)文送到NAT模塊���;步驟430����,通過該ICMP報(bào)文的源IP地址和ICMP ID號(hào)來查映射表����,如果查到,進(jìn)行步驟440����,如果查不到,進(jìn)行步驟460�;對(duì)于發(fā)送給NAT設(shè)備的應(yīng)答報(bào)文,查找映射表時(shí)肯定失敗����,因?yàn)镹AT設(shè)備發(fā)出的ICMP報(bào)文���,報(bào)文的ID不會(huì)和NAT映射條目中的端口值相同�,這就是前面預(yù)留ICMP ID的目的,此時(shí)應(yīng)交給ICMP模塊處理����。只有是發(fā)往內(nèi)部主機(jī)的應(yīng)答,查映射表時(shí)才會(huì)成功��。
步驟440���,判斷該ICMP報(bào)文需要進(jìn)行的轉(zhuǎn)換是否PAT轉(zhuǎn)換����,如查出的映射條目中的端口值不為0����,則為PAT轉(zhuǎn)換,進(jìn)行步驟450�����,否則����,進(jìn)行正常NAT轉(zhuǎn)發(fā)流程����,結(jié)束�;
步驟450,判斷該ICMP報(bào)文類型是否為ICMP請(qǐng)求報(bào)文�����,如果是����,進(jìn)行步驟460;否則��,即為ICDMP響應(yīng)報(bào)文�,進(jìn)行步驟470;步驟460���,將報(bào)文直接交給ICMP模塊進(jìn)行處理�,結(jié)束���;步驟470���,進(jìn)行PAT的轉(zhuǎn)發(fā)處理,結(jié)束���。
由于目前對(duì)于動(dòng)態(tài)NAT轉(zhuǎn)換不支持從外部主機(jī)ping內(nèi)部主機(jī)�����,因此對(duì)于從外部接口收到的ICMP請(qǐng)求報(bào)文無需進(jìn)行NAT處理����,只需將它送到ICMP模塊進(jìn)行相應(yīng)的操作�,或應(yīng)答或丟棄。
權(quán)利要求
1.一種保證網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備與外網(wǎng)互通的方法����,應(yīng)用于網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備,該設(shè)備包括用于轉(zhuǎn)發(fā)因特網(wǎng)控制消息協(xié)議ICMP報(bào)文的網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模塊和用于收發(fā)和處理本地ICMP報(bào)文的ICMP模塊�,該方法包括以下步驟(a)當(dāng)NAT設(shè)備從內(nèi)部接口收到ICMP報(bào)文,NAT模塊判斷該報(bào)文需要進(jìn)行端口地址轉(zhuǎn)換PAT但沒有相應(yīng)映射條目�,且為其分配了本地地址和端口時(shí),向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息����,攜帶該端口的值;(b)ICMP模塊收到所述申請(qǐng)預(yù)留消息后����,判斷與該端口值相同的ICMP標(biāo)識(shí)是否已使用����,如果是�����,回復(fù)失敗消息����,執(zhí)行步驟(c);否則預(yù)留與該端口值相同的ICMP標(biāo)識(shí)不再分配����,回復(fù)成功消息,執(zhí)行步驟(d)�����;(c)NAT模塊收到失敗消息后�,重新分配端口,再次向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息����,返回步驟(b)����;(d)NAT模塊收到成功消息后�����,在映射表中創(chuàng)建該ICMP報(bào)文的映射條目�����,進(jìn)行正常的NAT轉(zhuǎn)發(fā)�。
2.如權(quán)利要求
1所述的方法��,其特征在于����,還包括以下釋放預(yù)留的ICMP標(biāo)識(shí)的處理過程(h)NAT模塊需要?jiǎng)h除PAT映射條目時(shí),如果該條目的協(xié)議類型是ICMP協(xié)議且內(nèi)部全局地址為本地地址��,則提取該條目中分配的端口值��,向ICMP模塊發(fā)送釋放消息���;(i)ICMP模塊收到該釋放消息后��,釋放預(yù)留的與該端口值相同的ICMP標(biāo)識(shí)����,向NAT模塊回復(fù)釋放成功消息;(j)NAT模塊收到釋放成功消息后���,直接刪除該映射條目���。
3.如權(quán)利要求
1或2所述的方法,其特征在于�����,還包括以下對(duì)外部接口收到的ICMP報(bào)文的處理過程(o)NAT設(shè)備從外部接口收到ICMP報(bào)文�,如該報(bào)文需NAT轉(zhuǎn)換,由NAT模塊查映射表中是否有該ICMP報(bào)文的映射條目��,如果有�����,執(zhí)行步驟(p)��,如果沒有,執(zhí)行步驟(s)����;步驟(p),NAT模塊再判斷該映射條目是否PAT映射條目�����,如果是�����,執(zhí)行步驟(q)�����,否則按正常的NAT轉(zhuǎn)發(fā)處理����,結(jié)束����;步驟(q),判斷該ICMP報(bào)文的類型是否響應(yīng)報(bào)文�����,如果是,執(zhí)行步驟(r)�����,否則�����,執(zhí)行步驟(s)�����;步驟(r)�����,進(jìn)行NAT的轉(zhuǎn)發(fā)處理�����,結(jié)束�;步驟(s),將該ICMP報(bào)文交給ICMP模塊處理�����,結(jié)束。
4.如權(quán)利要求
1所述的方法���,其特征在于����,所述步驟(a)NAT模塊向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息后����,記錄分配的端口值并等待ICMP模塊的應(yīng)答消息,如果等待超時(shí)�����,則向ICMP模塊重發(fā)該申請(qǐng)預(yù)留消息�����。
5.如權(quán)利要求
3所述的方法�,其特征在于���,所述步驟(h)和步驟(p)中�����,NAT模塊是通過映射條目的端口值判斷該條目是否為PAT映射條目��,如端口值不為0����,則該條目是PAT映射條目,否則不是PAT映射條目�����。
6.如權(quán)利要求
3所述的方法��,其特征在于�����,所述步驟(o)中�����,NAT設(shè)備是通過以下方式判斷收到的ICMP報(bào)文是否需進(jìn)行NAT轉(zhuǎn)換的根據(jù)該報(bào)文的目的地址查找路由��,如路由條目中的NAT標(biāo)志被置位���,則認(rèn)為該ICMP報(bào)文需進(jìn)行NAT轉(zhuǎn)換���。
專利摘要
一種保證網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備與外網(wǎng)互通的方法��,應(yīng)用于NAT設(shè)備��,該設(shè)備包括NAT模塊和ICMP模塊���。NAT設(shè)備從內(nèi)部接口收到ICMP報(bào)文后,如該報(bào)文需要進(jìn)行PAT轉(zhuǎn)換但沒有映射條目����,且NAT模塊為其分配了本地地址和端口時(shí),向ICMP模塊發(fā)送申請(qǐng)預(yù)留消息���,攜帶該端口的值��;ICMP模塊判斷與該端口值相同的ICMP標(biāo)識(shí)是否已使用,如果是��,回復(fù)失敗消息�,否則預(yù)留該值的ICMP標(biāo)識(shí)不再分配,回復(fù)成功消息���;NAT模塊如果收到失敗消息��,重新分配端口���,再次申請(qǐng)預(yù)留�;如果收到成功消息����,在映射表中創(chuàng)建該ICMP報(bào)文的映射條目,進(jìn)行正常的NAT轉(zhuǎn)發(fā)����。本發(fā)明可避免NAT設(shè)備生成的ICMP報(bào)文與轉(zhuǎn)發(fā)ICMP報(bào)文產(chǎn)生端口沖突。
文檔編號(hào)H04L12/56GK1992675SQ200510135671
公開日2007年7月4日 申請(qǐng)日期2005年12月31日
發(fā)明者洪先進(jìn) 申請(qǐng)人:中興通訊股份有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan