一種報文轉發方法及裝置與流程

文檔序號：12729679閱讀：493來源：國知局

本發明涉及通信技術領域，特別是涉及一種報文轉發方法及裝置。

背景技術：

為了保證信息的安全，組網中的終端間常常需要建立安全隧道(如：IPsec(Internet Protocol Security，網絡協議安全性)隧道)，如圖1所示，路由器210和防火墻設備300間、路由器220和防火墻設備300間建立有IPsec隧道，路由器210或路由器220接收到客戶端發送的報文后，對報文進行IPsec封裝后，通過IPsec隧道發送給防火墻設備300，防火墻設備300對封裝后的報文進行解封裝后，將報文在公網轉發。

目前，客戶端隨機獲取IP地址，其獲取到的IP(Internet Protocol，網絡協議)地址可能是公網IP地址，也可能是私網IP地址，如圖1中，若客戶端110獲取到公網IP地址，客戶端120獲取到私網IP地址，防火墻設備300接收到客戶端110和/或客戶端120發送的報文，無法區分出哪個IP地址是公網IP地址，哪個IP地址是私網IP地址，進而不能確定報文是否需要進行NAT。

技術實現要素：

本發明實施例的目的在于提供一種報文轉發方法及裝置，以使網絡設備能夠確定報文是否需要進行NAT。具體技術方案如下：

一方面，本發明實施例公開了一種報文轉發方法，應用于接入設備，所述方法包括：

接收客戶端發送的訪問報文；

根據預先存儲的網絡協議IP地址和網絡類型的對應關系，確定所述訪問報文的源IP地址對應的網絡類型；

若所述源IP地址對應的網絡類型為私網地址，則對所述訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第一標識；

通過安全隧道，將進行安全隧道封裝后的所述訪問報文發送給網絡設備，以使所述網絡設備根據所述第一標識對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

二方面，本發明實施例公開了一種報文轉發方法，應用于網絡設備，所述方法包括：

接收客戶端通過接入設備發送的進行安全隧道封裝后的訪問報文，其中，所述網絡設備與所述接入設備之間已建立安全隧道，所述進行安全隧道封裝后的訪問報文的安全隧道封裝頭中包括：第一標識，所述第一標識用于標識所述訪問報文的源網絡協議IP地址對應的網絡類型為私網地址；

解封裝所述進行安全隧道封裝后的訪問報文，獲得所述訪問報文；

根據所述第一標識，對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

三方面，本發明實施例公開了一種報文轉發裝置，應用于接入設備，所述裝置包括：

第一接收單元，用于接收客戶端發送的訪問報文；

確定單元，用于根據預先存儲的網絡協議IP地址和網絡類型的對應關系，確定所述訪問報文的源IP地址對應的網絡類型；

封裝單元，用于若所述源IP地址對應的網絡類型為私網地址，則對所述訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第一標識；

第一發送單元，用于通過安全隧道，將進行安全隧道封裝后的所述訪問報文發送給網絡設備，以使所述網絡設備根據所述第一標識對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

四方面，本發明實施例公開了一種報文轉發裝置，應用于網絡設備，所述裝置包括：

接收單元，用于接收客戶端通過接入設備發送的進行安全隧道封裝后的訪問報文，其中，所述網絡設備與所述接入設備之間已建立安全隧道，所述進行安全隧道封裝后的訪問報文的安全隧道封裝頭中包括：第一標識，所述第一標識用于標識所述訪問報文的源網絡協議IP地址對應的網絡類型為私網地址；

解封裝單元，用于解封裝所述進行安全隧道封裝后的訪問報文，獲得所述訪問報文；

轉發單元，用于根據所述第一標識，對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

本發明實施例提供了一種報文轉發方法及裝置，接入設備中預先存儲有IP地址和網絡類型的對應關系，其在接收到客戶端發送的訪問報文后，可以根據上述預先存儲的對應關系，確定該訪問報文的源IP地址對應的網絡類型，當確定的網絡類型為私網地址時，在訪問報文的安全隧道封裝的安全隧道封裝頭中添加第一標識后，將進行安全隧道封裝后的訪問報文發送給網絡設備，該第一標識用于標識訪問報文的源IP地址對應的網絡類型為私網地址；這樣，網絡設備就可以根據第一標識對該訪問報文的源IP地址進行NAT，并轉發NAT后的訪問報文。可見，本發明實施例中，通過在安全隧道封裝頭中添加第一標識，使得網絡設備能夠確定出報文是否需要進行NAT。當然，實施本發明的任一產品或方法必不一定需要同時達到以上所述的所有優點。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為一種組網結構示意圖；

圖2為本發明實施例提供的一種報文轉發方法的一種流程示意圖；

圖3為本發明實施例提供的一種報文轉發方法的另一種流程示意圖；

圖4為本發明實施例提供的一種報文轉發方法的另一種流程示意圖；

圖5為本發明實施例提供的一種報文轉發方法的另一種流程示意圖；

圖6為本發明實施例提供的另一種報文轉發方法的一種流程示意圖；

圖7為本發明實施例提供的一種報文轉發裝置的結構示意圖；

圖8為本發明實施例提供的一種報文轉發裝置的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

下面通過具體實施例，對本發明進行詳細說明。

參考圖2，圖2為本發明實施例提供的一種報文轉發方法的一種流程示意圖，應用于接入設備，該接入設備可以為路由器、交換機等設備。

具體地，該方法包括：

S201：接收客戶端發送的訪問報文；

S202：根據預先存儲的IP地址和網絡類型的對應關系，確定訪問報文的源IP地址對應的網絡類型；

這里，網絡類型包括：私網地址和公網地址；預先存儲的IP地址和網絡類型的對應關系可以為用戶預先設置在接入設備中的，也可以為客戶端在通過接入設備從地址服務器中申請IP地址時存儲的。具體地，參考圖3，在圖2的基礎上，在接收客戶端發送的訪問報文之前，上述報文轉發方法還可以包括：

S301：將客戶端發送的地址請求報文發送給地址服務器；

S302：接收地址服務器發送的地址請求響應報文；

其中，地址請求響應報文中可以包括：地址服務器為客戶端分配的IP地址和網絡類型的對應關系。

S303：將地址服務器為客戶端分配的IP地址發送給客戶端，并存儲地址服務器為客戶端分配的IP地址和網絡類型的對應關系。

這種情況下，客戶端可以根據地址服務器為其分配的IP地址，發送訪問報文，該訪問報文的源IP地址為地址服務器為客戶端分配的IP地址；接入設備在接收到客戶端發送的訪問報文后，根據預先存儲的地址服務器為客戶端分配的IP地址和網絡類型的對應關系，確定訪問報文的源IP地址對應的網絡類型。

S203：若訪問報文的源IP地址對應的網絡類型為私網地址，則對訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第一標識；

其中，第一標識用于標識訪問報文的源IP地址對應的網絡類型為私網地址。

S204：通過安全隧道，將進行安全隧道封裝后的訪問報文發送給網絡設備。

這種情況下，網絡設備就可以根據第一標識，確定訪問報文的源IP地址為私網地址，該訪問報文需要進行NAT，對訪問報文的源IP地址進行NAT，并轉發NAT后的訪問報文。

需要說明的是，網絡設備可以為防火墻設備、網關設備、路由器等設備，本發明實施例對此不進行限定。另外，安全隧道可以為模板方式的安全隧道，如IPsec隧道。

在本發明的一個實施例中，客戶端的IP地址都是地址服務器隨機分配的，客戶端獲得的IP地址可能是私網地址，也可能是公網地址，若客戶端的IP地址為公網地址，則客戶端發送的訪問報文的源IP地址的網絡類型為公網地址，這種情況下，參考圖4，在圖2的基礎上，上述報文轉發方法還可以包括：

S401：若訪問報文的源IP地址對應的網絡類型為公網地址，則對訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第二標識；

其中，第二標識用于標識訪問報文的源IP地址對應的網絡類型為公網地址。

S402：通過安全隧道，將進行安全隧道封裝后的訪問報文發送給網絡設備。

這種情況下，網絡設備就可以根據第二標識，確定訪問報文的源IP地址為公網地址，該訪問報文不需要進行NAT，網絡設備不對訪問報文的源IP地址進行NAT，直接轉發訪問報文。

在本發明的另一個實施例中，當客戶端的IP地址為公網地址時，參考圖5，在圖2的基礎上，上述報文轉發方法還可以包括：

S501：若訪問報文的源IP地址對應的網絡類型為公網地址，則對訪問報文進行安全隧道封裝；

S502：通過安全隧道，將進行安全隧道封裝后的訪問報文發送給網絡設備。

這種情況下，安全隧道封裝頭未添加第一標識，表明訪問報文的源IP地址的網絡類型不是私網地址，進而確定訪問報文的源IP地址為公網地址，該訪問報文不需要進行NAT，網絡設備不對訪問報文的源IP地址進行NAT，直接轉發訪問報文。

下面結合圖1所示的組網，說明本發明實施例提供的報文轉發方法的流程，其中，X為第一標識，Y為第二標識；具體的報文轉發方法的流程可以為：

1、客戶端110將訪問報文1發送給路由器210，該訪問報文1的源IP地址為IP1；

2、路由器210根據預先存儲的IP地址與網絡類型的對應關系，確定IP1對應的網絡類型；

3、當IP1對應的網絡類型為私網地址時，路由器210對訪問報文1進行IPsec封裝，并將IPsec封裝后的訪問報文1發送給防火墻設備300，該IPsec封裝頭中包括標識X；

防火墻設備300解封裝IPsec封裝后的訪問報文1，獲得訪問報文1，并且可以從IPsec封裝頭中獲得標識X，根據標識X可以確定訪問報文1的源IP地址的網絡類型為私網地址，對訪問報文1的源IP地址(IP1)進行NAT，將NAT后的訪問報文1發送至公網；

4、當IP1對應的網絡類型為公網地址時，路由器210對訪問報文1進行IPsec封裝，并將IPsec封裝后的訪問報文1發送給防火墻設備300，該IPsec封裝頭中包括標識Y，或該IPsec封裝頭中不包括標識Y也不包括標識X；

防火墻設備300解封裝IPsec封裝后的訪問報文1，獲得訪問報文1，并且可以從IPsec封裝頭中獲得標識Y，或標識Y和標識X都不能獲得；根據標識Y，或標識Y和標識X都不能獲得，可以確定訪問報文1的源IP地址的網絡類型為公網地址，將訪問報文1發送至公網。

應用上述實施例，接入設備中預先存儲有IP地址和網絡類型的對應關系，其在接收到客戶端發送的訪問報文后，可以根據上述預先存儲的對應關系，確定該訪問報文的源IP地址對應的網絡類型，當確定的網絡類型為私網地址時，在訪問報文的安全隧道封裝的安全隧道封裝頭中添加第一標識后，將進行安全隧道封裝后的訪問報文發送給網絡設備，該第一標識用于標識訪問報文的源IP地址對應的網絡類型為私網地址；這樣，網絡設備就可以根據第一標識對該訪問報文的源IP地址進行NAT，并轉發NAT后的訪問報文。可見，本發明實施例中，通過在安全隧道封裝頭中添加第一標識，使得網絡設備能夠確定出報文是否需要進行NAT。

參考圖6，圖6為本發明實施例提供的另一種報文轉發方法的一種流程示意圖，應用于網絡設備，該網絡設備可以為防火墻設備、網關設備、路由器等設備。

具體的，該方法包括：

S601：接收客戶端通過接入設備發送的進行安全隧道封裝后的訪問報文；

其中，網絡設備與接入設備之間已建立安全隧道，該安全隧道可以為模板方式的安全隧道。上述進行安全隧道封裝后的訪問報文的安全隧道封裝頭中可以包括：第一標識，該第一標識用于標識訪問報文的源IP地址對應的網絡類型為私網地址。

S602：解封裝進行安全隧道封裝后的訪問報文，獲得訪問報文；

S603：根據進行安全隧道封裝后的訪問報文的安全隧道封裝頭中包括的第一標識，對訪問報文的源IP地址進行NAT，并轉發NAT后的訪問報文。

在本發明的一個實施例中，網絡設備在對不同的訪問報文的源IP地址進行NAT時，可能需要采用不同的NAT轉換方式，這種情況下，可以在網絡設備中預設NAT轉換方式、安全域和轉發接口的對應關系，通過該對應關系，確定接收訪問報文的接口所屬安全域對應的NAT轉換方式和轉發接口；在確定第一標識后，按照接收訪問報文的接口所屬安全域對應的NAT轉換方式，對訪問報文的源IP地址進行NAT，并通過接收訪問報文的接口所屬安全域對應的轉發接口，轉發NAT后的訪問報文。

在本發明的一個實施例中，客戶端的IP地址都是地址服務器隨機分配的，客戶端獲得的IP地址可能是私網地址，也可能是公網地址，若客戶端的IP地址為公網地址，則客戶端發送的訪問報文的源IP地址的網絡類型為公網地址，這種情況下，若網絡設備接收到的客戶端通過接入設備發送的進行安全隧道封裝后的訪問報文中未添加第一標識，或進行安全隧道封裝后的訪問報文中添加有第二標識，則在解封裝進行安全隧道封裝后的訪問報文，獲得訪問報文后，不對訪問報文的源IP地址進行NAT，轉發訪問報文。

參考圖7，圖7為本發明實施例提供的一種報文轉發裝置的結構示意圖，應用于接入設備，該裝置包括：

第一接收單元701，用于接收客戶端發送的訪問報文；

確定單元702，用于根據預先存儲的網絡協議IP地址和網絡類型的對應關系，確定所述訪問報文的源IP地址對應的網絡類型；

封裝單元703，用于若所述源IP地址對應的網絡類型為私網地址，則對所述訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第一標識；

第一發送單元704，用于通過安全隧道，將進行安全隧道封裝后的所述訪問報文發送給網絡設備，以使所述網絡設備根據所述第一標識對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

在本發明的一個實施例中，所述封裝單元703，還可以用于若所述源IP地址對應的網絡類型為公網地址，則對所述訪問報文進行安全隧道封裝，并在安全隧道封裝頭中添加第二標識；

所述第一發送單元704，還可以用于通過安全隧道，將進行安全隧道封裝后的所述訪問報文發送給所述網絡設備，以使所述網絡設備根據所述第二標識不對所述訪問報文的源IP地址進行NAT，轉發所述訪問報文。

在本發明的一個實施例中，所述封裝單元703，還可以用于若所述源IP地址對應的網絡類型為公網地址，則對所述訪問報文進行安全隧道封裝；

所述第一發送單元704，還可以用于通過安全隧道，將進行安全隧道封裝后的所述訪問報文發送給所述網絡設備，以使所述網絡設備在確定安全隧道封裝頭未添加所述第一標識后，不對所述訪問報文的源IP地址進行NAT，轉發所述訪問報文。

在本發明的一個實施例中，所述裝置還可以包括：

第二發送單元(圖7中未示出)，用于在獲取客戶端發送的訪問報文之前，將所述客戶端發送的地址請求報文發送給地址服務器；

第二接收單元(圖7中未示出)，用于接收所述地址服務器發送的地址請求響應報文，其中，所述地址請求響應報文中包括：所述地址服務器為所述客戶端分配的IP地址和網絡類型的對應關系；

存儲單元(圖7中未示出)，用于將所述地址服務器為所述客戶端分配的IP地址發送給所述客戶端，并存儲所述地址服務器為所述客戶端分配的IP地址和網絡類型的對應關系。

參考圖8，圖8為本發明實施例提供的另一種報文轉發裝置的結構示意圖，應用于網絡設備，該裝置包括：

接收單元801，用于接收客戶端通過接入設備發送的進行安全隧道封裝后的訪問報文，其中，所述網絡設備與所述接入設備之間已建立安全隧道，所述進行安全隧道封裝后的訪問報文的安全隧道封裝頭中包括：第一標識，所述第一標識用于標識所述訪問報文的源網絡協議IP地址對應的網絡類型為私網地址；

解封裝單元802，用于解封裝所述進行安全隧道封裝后的訪問報文，獲得所述訪問報文；

轉發單元803，用于根據所述第一標識，對所述訪問報文的源IP地址進行網絡地址轉換NAT，并轉發NAT后的所述訪問報文。

在本發明的一個實施例中，所述接收單元801，還可以用于接收所述客戶端通過所述接入設備發送的進行安全隧道封裝后的訪問報文，其中，所述進行安全隧道封裝后的訪問報文的安全隧道封裝頭中包括：第二標識，所述第二標識用于標識所述訪問報文的源IP地址對應的網絡類型為公網地址；

所述解封裝單元802，還可以用于解封裝所述進行安全隧道封裝后的訪問報文，獲得所述訪問報文；

所述轉發單元803，還可以用于根據所述第二標識，不對所述訪問報文的源IP地址進行NAT，轉發所述訪問報文。

在本發明的一個實施例中，所述接收單元801，還可以用于接收所述客戶端通過所述接入設備發送的進行安全隧道封裝后的訪問報文；

所述解封裝單元802，還可以用于解封裝所述進行安全隧道封裝后的訪問報文，獲得所述訪問報文；

所述轉發單元803，還可以用于在確定安全隧道封裝頭未添加所述第一標識后，不對所述訪問報文的源IP地址進行NAT，轉發所述訪問報文。

對于裝置實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

本說明書中的各個實施例均采用相關的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

以上所述僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發明的保護范圍內。

完整全部詳細技術資料下載

當前第1頁1 2 3

該技術已申請專利。僅供學習研究，如用于商業用途，請聯系技術所有人。
技術研發人員：王國利
技術所有人：新華三技術有限公司
我是此專利的發明人

該領域下的技術專家
如您需求助技術專家，請點此查看客服電話進行咨詢。
1、王老師：1.數字信號處理 2.傳感器技術及應用 3.機電一體化產品開發 4.機械工程測試技術 5.逆向工程技術研究
2、王老師：1.機器人 2.嵌入式控制系統開發
3、孫老師：1.振動信號時頻分析理論與測試系統設計 2.汽車檢測系統設計 3.汽車電子控制系統設計
4、畢老師：機構動力學與控制
5、袁老師：1.計算機視覺 2.無線網絡及物聯網
如您是高校老師，可以點此聯系我們加入專家庫。

相關技術

網友詢問留言已有0條留言

還沒有人留言評論。精彩留言會獲得點贊！

精彩留言，會給你點贊！