一種將私網用戶接入公網的方法

專利名稱：一種將私網用戶接入公網的方法
技術領域：
本發明涉及一種將私網用戶接入公網的方法，尤其涉及一種私網用戶不進行網絡地址轉換直接訪問特定站點的將私網用戶接入公網的設備和方法。
背景技術：
隨著Internet用戶數量的快速增長以及其它相關領域對IP地址需求的增加，IPv4地址資源日益緊缺，因此網絡中網絡地址轉換(NAT)設備的應用也日益增多。隨之帶來的問題是如何解決網絡中大量公網地址和私網地址共存的組網應用問題。
如圖1所示，用戶PC1訪問互聯網(Internet)的報文從NAT設備的端口port1進入，端口port2出，此間經過NAT設備做一次地址轉換，但是考慮到一些城域網內部的服務器群(比如環球網服務器Web server)可以被內部的私網用戶直接訪問。這樣，為了減小NAT設備的負荷，提高訪問互聯網的性能，網絡管理員會對訪問城域網內部的服務器群的流進行控制，讓其不進行網絡地址轉換的處理，而是直接轉發至目的地址。
目前提供公私網地址混合組網的技術方案較少，多數采取的是利用訪問控制表(ACL)的方法，通過對私網用戶訪問權限的控制，來實現公私網地址混合組網的目的。即在NAT設備上配置ACL表，在ACL表中，對來自私網的對特定目的地址的訪問禁止其做NAT訪問。
一般來說，NAT再交換設備或者路由器上都是和ACL來配合使用的，也就是說默認的直接轉發，配置了相應的ACL規則和NAT綁定后，匹配中了才作NAT轉換例如，在如圖1所示的情況下，私網地址為10.11.10.11/24，允許其直接訪問的地址為202.119.39.51，這時可在NAT設備上配置以下規則，實現控制私網用戶在訪問該段公網地址時，不需做網絡地址轉換處理
ip nat pool pool1 202.119.32.208 202.119.32.223 mask 255.255.255.240(定義一個NAT轉換地址池)ip nat source 10.11.10.11 mask 255.255.255.0 pool pool1(定義了一個私網網段，將其與公網地址池綁定，作為轉換的依據，以上為NAT規則。當然，也可以直接使用ACL)acl 1 source 10.11.10.11 mask 255.255.255.0 dest 202.119.39.51 mask255.255.255.0 nat-forbiddenapply acl port1(將ACL規則應用到入端口，也可以省略port1，則應用到全局)如圖2所示，經過這樣的配置之后，NAT設備在收到私網用戶的訪問報文后，首先會去查詢是否配置了ACL訪問控制列表。如果沒有配置ACL，則根據NAT轉換規則判斷是否符合NAT轉換條件，如果符合轉換條件則進行處理，處理完再轉發，否則直接轉發。如果配置了ACL，則查詢此報文是否匹配了一條ACL規則禁止其進行NAT轉換處理。如果有匹配的ACL禁止規則，則不作NAT轉換，直接轉發出去。如果沒有匹配的ACL禁止規則，則根據NAT轉換規則判斷是否符合NAT轉換條件，如果符合轉換條件則進行處理，處理完再轉發，否則直接轉發。
從上面的描述中可以看到，為實現公網地址和私網地址混合組網，此技術方案必須附加配置訪問控制列表規則。現有技術的缺點有1.必須附加配置ACL規則，占用了寶貴的ACL節點資源。
2.ACL節點越多，查詢越慢，報文轉發性能也就越慢。同時，也影響了其它關聯于ACL的應用性能。
3.配置比較復雜，如果有類似的ACL規則，很可能會造成沖突。

發明內容
本發明的目的是提供一種將私網用戶接入公網的設備和方法，不使用ACL，利用報文轉發的流程，實現對來自私網用戶的訪問特定站點的報文不進行NAT轉換，直接高效地訪問。
為實現上述目的，本發明提供了一種將私網用戶接入公網的方法，包括以下步驟在網絡地址轉換設備進行報文處理時所必須查詢的表項中設置是否需要進行網絡地址轉換的標識；對于所述私網用戶的報文，查詢所述標識，判斷所述報文是否需要做網絡地址轉換；和如果確定需要對所述私網用戶的報文進行網絡地址轉換，則對所述報文進行所述轉換后再進行轉發，否則不對所述報文進行網絡地址轉換，直接轉發所述報文。
所述設置網絡地址轉換標識的步驟包括按照轉發的目的地址設置相應的允許或不允許進行網絡地址轉換的標識。
所述查詢和判斷是否需要對所述私網用戶報文進行網絡地址轉換的步驟包括將所述私網用戶報文的目的地址與所述表項進行匹配，根據匹配的結果確定所述報文是否允許進行網絡地址轉換。
所述網絡地址轉換設備在報文處理過程中必須查詢的表項是轉發表、端口索引表或流高速緩存表。
所述轉發表、端口索引表或流高速緩存表設置針對網絡地址轉換設備的出接口。
本發明的將私網用戶接入公網的方法的有益效果有1、本發明將公私網混合組網的方案從ACL中分離出來，不會占用ACL節點資源，不會與其它ACL應用形成沖突；2、本發明同時提高了公私網混合組網時的報文處理速度；3、本發明對設備的配置更加簡單、清晰。


圖1為示例的私網用戶訪問公網的組網示意圖；圖2是現有技術中對私網用戶訪問公網的示意流程圖；圖3是本發明的一個實施例的私網用戶訪問公網的示意流程圖。
具體實施例方式
下面結合附圖，對本發明的優選實施方案進行詳細說明。
如圖1所示，由于報文進入NAT設備中后，會查詢轉發表項，準備后續轉發處理。私網用戶訪問互聯網的出端口為設備的port2端口，出端口是由路由決定的，一般不會改變。實際應用中可能會有兩個出接口，或者出接口會發生變化，這些都可以通過在不同的出接口配置決定。
在本發明的一個實施例中，在轉發表中為出端口配置NAT轉換允許標識，同時，根據訪問需求，將訪問時不需要做NAT轉換處理的特定目的地址進行去使能操作。例如，在圖1所示的情況下，其具體配置如下<port2#>dest any nat permit<port2#>dest 202.119.39.0 mask 255.255.255.0 nat deny即從出端口port2發往除目的地址202.119.39.0/24之外的所有目的地址的報文都要經NAT轉換。
這樣，在出端口為port2的轉發表中，將會默認都增加NAT允許標識。而出端口為port2，但是目的地址屬于網段202.119.39.0的轉發表會有禁止NAT標識Index Destination/MaskInterfaceFlag(索引)(目的地址/掩碼) (端口) (標識)1 0.0.0.0/0 port2nat-permit(準許NAT)2 202.119.39.0/24 port2nat-deny(禁止NAT)如果NAT設備有多個出端口，要按上述步驟對需要做NAT的出端口進行相應的配置。
這樣，如圖3所示，在報文進入NAT設備之后，首先查詢轉發表，判斷表項是否需要進行NAT轉換，如果需要進行NAT轉換，則根據NAT轉換規則判斷是否符合NAT轉換條件，如果符合轉換條件則進行處理，處理完再轉發，否則直接轉發。具體地，在圖1所示的情況下，私網用戶在進行互聯網訪問時，與index為1的轉發表項匹配，發現表項中有允許NAT標識，于是再進行NAT轉換處理。而當用戶在訪問如圖1所示的地址為202.119.39.0/24的Web server的時候，查詢轉發表，將與index為2的轉發表項相匹配，發現表項中有禁止NAT處理的標識，于是將此報文直接轉發。因而本發明比起現有方案在流程上要更簡潔，更高效。
可以根據不同設備在報文處理流程上的差異，采用類似的方案，比如，可以將是否允許NAT轉換的標識附加在報文處理過程中必須查詢的表項中，所謂必須查詢的表項是指在交換設備或者路由設備轉發過程中，對報文處理必須查詢的表。即使不要求對流或者對訪問報文進行控制的情況下，也需要查詢這些表項，比如NAT一般是三層轉發，必須查路由轉發表。對于二層交換機，必須查MAC轉發表。ACL表為訪問控制列表，在不要求對流或者訪問報文有控制的情況下，是不需要查詢的。最多也只是查詢一下是否需要查ACL表的要求，因而ACL表不是必須查詢的表項。但是其它設備(有NAT功能)，比如防火墻或者BAS設備可能有不同的表項，比如端口索引表，安全表項，流cache(高速緩存)表等等。ACL不是必須查詢的表項。這些可以因設備而異。但是，根本的思路都是一樣的，即脫離ACL的束縛，將是否做NAT的標識加在必須的流程中，以提高系統處理的性能和效率。
以上為說明的目的對本發明的優選實施例進行了詳細的描述，但本領域的普通技術人員應該意識到，在本發明的范圍和精神內，各種改進、添加和替換都是可能的，并且都在本發明的權利要求所限定的保護范圍內。
權利要求
1.一種將私網用戶接入公網的方法，包括以下步驟在網絡地址轉換設備進行報文處理時所必須查詢的表項中設置是否需要進行網絡地址轉換的標識；對于所述私網用戶的報文，查詢所述標識，判斷所述報文是否需要做網絡地址轉換；和如果確定需要對所述私網用戶的報文進行網絡地址轉換，則對所述報文進行所述網絡地址轉換后再進行轉發，否則不對所述報文進行所述網絡地址轉換，直接轉發所述報文。
2.根據權利要求1所述的方法，其特征在于，在所述設置是否需要進行網絡地址轉換的標識的步驟中，按照轉發的目的地址設置相應的允許或不允許進行網絡地址轉換的標識。
3.根據權利要求1所述的方法，其特征在于，所述查詢和判斷是否需要對所述私網用戶報文進行網絡地址轉換的步驟包括將所述私網用戶報文的目的地址與所述表項進行匹配，根據匹配的結果確定所述報文是否允許進行網絡地址轉換。
4.根據權利要求1、2或3所述的方法，其特征在于，所述必須查詢的表項是指在報文轉發過程中，即使不要求對流或者對訪問報文進行控制的情況下也必須查詢的表項。
5.根據權利要求4所述的方法，其特征在于，所述網絡地址轉換設備在報文處理過程中必須查詢的表項是轉發表。
6.根據權利要求5所述的方法，其特征在于，所述轉發表設置針對網絡地址轉換設備的出接口。
7.根據權利要求4所述的方法，其特征在于，所述網絡地址轉換設備在報文處理過程中必須查詢的表項是端口索引表。
8.根據權利要求7所述的方法，其特征在于，所述端口索引表設置針對網絡地址轉換設備的出接口。
9.根據權利要求4所述的方法，其特征在于，所述網絡地址轉換設備在報文處理過程中必須查詢的表項是流高速緩存表。
10.根據權利要求9所述的方法，其特征在于，所述流高速緩存表設置針對網絡地址轉換設備的出接口。
全文摘要
本發明涉及一種將私網用戶接入公網的方法。所述方法包括在網絡地址轉換設備進行報文處理時所必須查詢的表項中設置是否需要進行網絡地址轉換的標識；對于所述私網用戶的報文，查詢所述標識，判斷所述報文是否需要做網絡地址轉換；和如果確定需要對所述私網用戶的報文進行網絡地址轉換，則對所述報文進行所述轉換后再進行轉發，否則不對所述報文進行網絡地址轉換，直接轉發所述報文。本發明的方法簡單清晰，報文處理速度快。
文檔編號H04L12/46GK1674549SQ20041000628
公開日2005年9月28日 申請日期2004年3月23日 優先權日2004年3月23日
發明者業蘇寧 申請人:華為技術有限公司