专利名称:一种静态pat支持绑定路由器接口的方法及系统的制作方法
技术领域:
本发明涉及数据通讯领域,更具体地,涉及一种静态PAT (Port Address Translation,端口地址转换)支持绑定路由器接口的方法及系统。
背景技术:
目前,随着网络的快速发展,IPv4 (Internet Protocol Version 4,互联 网协议第4版)地址面临着地址耗尽的问题。而NAT (Network Address Translation,网络地址转换)能够帮助缓解IPv4地址耗尽的问题。NAT技术是 一种地址映射技术,通常用于子域内具有私有IP地址的主机访问外部主机时将 该子域内主机的私有IP地址映射为一个外部唯一可识别的公网(Internet) IP 地址;同时,将外部主机返回给内部主机的公网IP地址映射回内部标志该主机 的私有IP地址,使得返回的数据包正确到达内部目的主机。该技术使得不同私 有网络(简称私网)可以使用相同的私有IP地址段而不会导致公网的IP地址信 息出现混乱,从而扩展了 IP地址的应用范围,在一定程度上缓解了当前Ipv4 地址空间不足的问题。
NAT —般可分为如下三种类型
静态NAT:私网IP地址和Internet IP地址的映射是静态——对应的。如 果结合端口来实现静态映射关系,就是端口重定向或静态PAT/NAPT (Network Address Port Translation,网络地址端口转换);
动态不可重用NAT:使用Internet IP地址池技术,从Internet IP地址池 中获取一个可用的IP地址进行转换。通信完毕之后,该Internet IP地址被释 放回地址池中。在使用过程中, 一个Internet IP只能有一个映射关系;
动态可重用NAT (NAPT):与动态不可重用模式相比,通信的映射是通过IP 地址和端口号(对于TCP (Transmission Control Protocol,传输控制协议)、 UDP(User Datagram Protocol,用户数据协议)包是端口号,对于ICMP(Internet Control Message Protocol,网际控制报文协议)包则是包内的ID号)的组合 来完成的。
在规模较小的企业的组网应用中,为了节省外部Internet IP地址,可以直
接利用路由器的接口地址来实现组网。将路由器与Internet相连的接口的IP 地址配置到NAT规则中,使得私网用户可以利用动态可重用NAT规则访问外部网 络,外部用户通过静态PAT规则访问私网内部的一些机器。这样这些企业就可以 在私有网络中放置一些服务器供外部用户访问了。但是当路由器的接口地址是通 过拨号等方式动态获得,且每次所得到的地址可能不一样时,用户利用接口地址 实现静态PAT时就存在困难了,用户不可能在接口地址每次改变时重新配置静态 PAT规则,这样就会给用户带来极大不变。如果用户改为使用固定Internet IP 的方式,将可以解决这一问题;但是申请一个固定Internet IP地址的组网费用 将远远超过通过拨号等方式动态获得Internet IP地址的方式。
发明内容
本发明所要解决的技术问题是,提供一种静态PAT支持绑定路由器接口的方 法及系统,本发明实现简单,解决了路由器接口动态获得不固定网络地址的情况 下,静态PAT规则不能复用该接口网络地址的问题,提高了接口网络地址的利用 率。
一种静态PAT支持绑定路由器接口的方法,所述方法包括 步骤一配置绑定路由器NAT出接口的静态PAT规则;
步骤二根据所述被绑定的路由器的NAT出接口获得的网络地址建立符合 绑定所述路由器NAT出接口的静态PAT规则的网络地址端口映射关系;
步骤三所述被绑定的路由器NAT出接口接收到目的地址是自身接口网络地
址的TCP/UDP报文时,以所述报文的目的地址和目的端口査找所述网络地址端 口映射关系,若有,则按所述网络地址端口映射关系对所述报文进行网络地址端 口转换;否则,将所述报文作为路由器的本地报文进行处理。 所述步骤一后还包括
步骤a:判断是否存在复用所述被绑定NAT出接口的网络地址的非绑定接口
的静态PAT规则,若是,则执行步骤b;否则执行步骤二;
步骤b:判断所述绑定NAT出接口的静态PAT规则与所述非绑定接口的静态
PAT规则是否冲突,若是,则执行步骤C;否则执行步骤二;
步骤c:保存所述绑定NAT出接口的静态PAT规则;删除以所述非绑定静态 PAT规则建立的网络地址端口映射关系,执行步骤二。
所述步骤一后还包括 歩骤A:判断所述被绑定NAT出接口是否存在动态PAT规则,若是,则执行 步骤B;否则执行步骤二;
步骤B:判断所述绑定NAT出接口静态PAT规则所用的TCP/UDP全局端口号 是否在所述动态PAT规则所用的TCP/UDP全局端口号范围内,若是,则执行歩骤 C;否则执行步骤二;
步骤C:判断所述动态PAT规则是否已经利用所述TCP/UDP全局端口号建立 了网络地址端口映射关系,若是,则删除所述网络地址端口映射关系,执行歩骤 二;否则,直接执行步骤二。
当所述被绑定的路由器的NAT出接口未获得网络地址时,保存所述绑定NAT 出接口静态PAT规则,等待其获得网络地址后建立符合绑定所述路由器NAT出接 口静态PAT规则的网络地址端口映射关系。
若所述被绑定的路由器的NAT出接口获得的网络地址失效,则删除以所述 失效的网络地址建立的符合绑定所述路由器NAT出接口的静态PAT规则的网络 地址端口映射关系,释放所用的TCP/UDP全局端口号资源;若所述被绑定的路 由器的NAT出接口存在动态PAT规则,则利用所述TCP/UDP全局端口号建立 符合所述动态PAT规则的网络地址端口映射关系。
若所述被绑定的路由器的NAT出接口获得的了新的网络地址,则删除以原 网络地址建立的符合绑定所述路由器NAT出接口的静态PAT规则的网络地址端 口映射关系,然后以所述新的网络地址建立符合绑定所述路由器NAT出接口的静 态PAT规则的网络地址端口映射关系。
若按照所述绑定路由器NAT出接口的静态PAT规则建立的网络地址端口映 射关系被删除,则其所使用的TCP/UDP全局端口号可被动态NAT规则使用。
所述网络地址端口映射关系为私网IP地址、端口与路由器获得的IP地址、 端口的映射关系。
一种静态PAT支持绑定路由器接口的系统,包括公网动态域名服务器、路 由器以及私网HTTP服务器,所述路由器用于 配置绑定其NAT出接口的静态PAT规则; 以非固定方式动态获得网络地址; 建立网络地址端口映射关系;
对接收到的目的地址是其自身接口网络地址且符合所述网络地址端口映射
关系的TCP/UDP报文进行网络地址端口转换。
所述路由器通过拨号方式获得非固定的网络地址。
本发明解决了路由器接口动态获得不固定网络地址的情况下,静态PAT规则 不能复用该接口网络地址的问题,提高了接口地址的利用率。本发明可以节省固 定Internet IP地址的申请,降低了组网的费用,提高了使用NAT组网的灵活性, 且实现简单。
图1是本发明所述方法流程图2是本发明所述方法中绑定NAT出接口的静态PAT规则与复用被绑定NAT 出接口地址的非绑定接口的静态PAT规则冲突时,建立网络地址端口映射关系的 流程图3是本发明所述方法中绑定NAT出接口的静态PAT规则与绑定所述NAT 出接口的动态PAT规则冲突时,建立网络地址端口映射关系的流程图4是本发明所述方法中被绑定NAT出接口的网络地址失效或改变时的处理 的流程图5是本发明所述系统的组网示意图6是本发明的第一实施例的流程图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优 选实施例仅用于说明和解释本发明,并不用于限定本发明。 如图1所示,是本发明所述方法流程图,包括以下步骤
S102:配置路由器NAT入接口、NAT出接口及绑定所述NAT出接口的静态PAT 规则;
S104:根据所述被绑定的路由器的NAT出接口获得的网络地址建立符合绑 定所述路由器NAT出接口的静态PAT规则的网络地址端口映射关系;所述网络地 址端口映射关系为私网IP地址、端口与路由器获得的IP地址、端口的映射关系;
本方法是以静态PAT规则绑定路由器接口的方式来实现复用路由器接口的 网络地址,所以对路由器接口是否有网络地址不做限制,在接口没有获得网络地 址的情况下,只需先保存所述规则,等到接口获得了网络地址后会自动建立相应
8 的网络地址端口映射关系;在接口已经获得网络地址情的况下,若存在复用了所 述接口的网络地址的非绑定接口的静态PAT规则,则其处理流程如图2所示;若
所述被绑定NAT出接口存在动态PAT规则,则其处理如图3所示;当静态PAT 转换规则所绑定的路由器接口的网络地址失效或改变时,其建立的网络地址端口 映射关系也随之失效或改变,具体处理办法如图4所示。
S106:所述被绑定的路由器NAT出接口接收到目的地址是自身接口网络地
址的TCP/UDP报文时,以所述报文的目的地址和目的端口查找所述网络地址端 口映射关系,若有,则按所述网络地址端口映射关系对所述报文进行网络地址端 口转换;否则,将所述报文作为路由器的本地报文进行处理。
在配置了绑定NAT出接口的静态PAT规则的情况下,NAT入接口对收到的 TCP/UDP报文不需要进行额外的处理。
如图2所示,是本发明所述方法中绑定NAT出接口的静态PAT规则与复用被 绑定NAT出接口地址的非绑定接口的静态PAT规则冲突时,建立网络地址端口映 射关系的流程图,包括以下步骤
S202:配置绑定路由器NAT出接口的静态PAT规则后,存在复用了所述NAT 出接口网络地址的非绑定接口的静态PAT规则;
S204:判断所述绑定NAT出接口的静态PAT规则与所述非绑定接口的静态 PAT规则是否冲突,若是,则执行S206;否则,执行S208
S206:保存所述绑定NAT出接口的静态PAT规则但暂时不生效,删除符合非 绑定接口的静态PAT规则的网络地址端口映射关系,所述绑定NAT出接口的静态 PAT规则生效,执行S208;
S208:建立符合所述绑定NAT出接口的静态PAT规则的网络地址端口映射关系。
如图3所示,是本发明所述方法中绑定NAT出接口的静态PAT规则与绑定所 述NAT出接口的动态PAT规则冲突时,建立网络地址端口映射关系的流程图,包 括以下步骤
S302:配置绑定路由器NAT出接口的静态PAT规则后,存在绑定所述NAT 出接口的动态PAT规则;
S304:判断所述绑定路由器NAT出接口静态PAT规则所用的TCP/UDP全局端 口号是否在所述动态PAT规则所用的TCP/UDP全局端口号范围内,若是,则执行 S306;否则执行S308;
S306::判断所述动态PAT规则是否已经利用所述TCP/UDP全局端口号建立 了网络地址端口映射关系,若是,则删除所述网络地址端口映射关系,回收动态 NAT规则所用的该全局TCP/UDP端口号资源;执行S308;否则,直接执行S308;
S308:建立符合所述绑定NAT出接口的静态PAT规则的网络地址端口映射关系。
如图4所示,是本发明所述方法中被绑定NAT出接口的网络地址失效或改变 时的处理的流程图,包括以下步骤
S402:被绑定的NAT出接口的网络地址失效或改变;
S404:删除以所述失效的或者改变的网络地址建立的符合绑定所述路由器 NAT出接口的静态PAT规则的网络地址端口映射关系,释放所用的TCP/UDP全 局端口号资源;
若按照所述绑定路由器NAT出接口的静态PAT规则建立的网络地址端口映 射关系被删除,则其所使用的TCP/UDP全局端口号可被动态NAT规则使用。
S406:判断NAT出接口的网络地址是失效还是获得了新的网络地址;若失效, 则执行S408;若是获得了新的网络地址,则执行S410;
S408:若所述被绑定的NAT出接口存在动态PAT规则,则利用所述TCP/UDP 全局端口号建立符合所述动态PAT规则的网络地址端口映射关系;
S410:以所述新的网络地址建立符合绑定所述路由器NAT出接口的静态PAT 规则的网络地址端口映射关系;
如图5所示,是本发明所述系统的组网示意图;包括外部公网、路由器以及 企业私网。路由器的NAT入接口与企业私网相连,NAT出接口与外部公网相连; 路由器以拨号等方式建立与外部公网的连接,则NAT出接口获得的网络地址为非 固定地址。在配置路由器上绑定NAT出接口的静态PAT功能时,将私网服务器提 供的功能映射到NAT出接口地址的相同端口上。私网服务器具有固定域名,在动 态获得地址的情况下,通过动态域名功能来实现新地址与域名的对应。如图5 所描述的,公网用户想要访问私网中的服务器,只需要将浏览器的访问地址设置 为域名www. xxx. com. cn艮P可。
如图6所示,是本发明第一实施例的流程图,包括以下步骤
S602:在路由器上启用绑定NAT出接口的静态PAT功能; 其中,S602进一步包括 (l)启用NAT功能,并设置路由器接口的NAT属性;
ip nat start
(2) 设置与私网相连的接口的IP地址和NAT属性; interface fei—1/1
ip address 192.168. 88. 200 255.255. 255. 0
ip nat inside
(3) 设置与公网相连的接口的IP地址和NAT属性;以及 interface fei—2/1
ip nat outside
(4) 配置绑定NAT出接口的静态PAT规则;
ip nat inside source static tcp 192.168.88.101 80 fei_2/l 80 S604:路由器通过拨号等方式连接到外部公网,NAT出接口 fei—2/l获得一 个Internet IP地址212. 10. 10. 1;该Internet IP地址通过动态域名服务来完 成与域名www. xxx. com. cn的对应;路由器按照配置的规则建立起如下的地址端 口映射关系;
私网地址/端口 公网地址/端口
192,168.88.101/80 212.10.10.1/80
S606:公网用户通过浏览器访问域名www. xxx. com. cn来获得相应的服务, 在数据转送过程中,IP地址、端口的转换是按上面的映射关系进行的。
综上所述,采用本发明的方法克服了路由器接口动态获得不固定地址的情况 下,静态PAT规则不能复用该接口地址的缺点,同时提高了路由器接口地址的利 用率。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所 作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1、一种静态PAT支持绑定路由器接口的方法,其特征在于,所述方法包括步骤一配置绑定路由器NAT出接口的静态PAT规则;步骤二根据所述被绑定的路由器的NAT出接口获得的网络地址建立符合绑定所述路由器NAT出接口的静态PAT规则的网络地址端口映射关系;步骤三所述被绑定的路由器NAT出接口接收到目的地址是自身接口网络地址的TCP/UDP报文时,以所述报文的目的地址和目的端口查找所述网络地址端口映射关系,若有,则按所述网络地址端口映射关系对所述报文进行网络地址端口转换;否则,将所述报文作为路由器的本地报文进行处理。
2、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于, 所述步骤一后还包括歩骤a:判断是否存在复用所述被绑定NAT出接口的网络地址的非绑定接口的静态PAT规则,若是,则执行步骤b;否则执行步骤二;步骤b:判断所述绑定NAT出接口的静态PAT规则与所述非绑定接口的静态 PAT规则是否冲突,若是,则执行步骤C;否则执行步骤二;步骤c:保存所述绑定NAT出接口的静态PAT规则;删除以所述非绑定静态PAT规则建立的网络地址端口映射关系,执行步骤二。
3、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于,所述歩骤一后还包括步骤A:判断所述被绑定NAT出接口是否存在动态PAT规则,若是,则执行步骤B;否则执行步骤二;歩骤B:判断所述绑定NAT出接口静态PAT规则所用的TCP/UDP全局端口号 是否在所述动态PAT规则所用的TCP/UDP全局端口号范围内,若是,则执行步骤 C;否则执行步骤二;步骤C:判断所述动态PAT规则是否已经利用所述TCP/UDP全局端口号建立 了网络地址端口映射关系,若是,则删除所述网络地址端口映射关系,执行步骤 二;否则,直接执行步骤二。
4、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于, 当所述被绑定的路由器的NAT出接口未获得网络地址时,保存所述绑定NAT出 接口静态PAT规则,等待其获得网络地址后建立符合绑定所述路由器NAT出接口 静态PAT规则的网络地址端口映射关系。
5、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于, 若所述被绑定的路由器的NAT出接口获得的网络地址失效,则删除以所述失效 的网络地址建立的符合绑定所述路由器NAT出接口的静态PAT规则的网络地址 端口映射关系,释放所用的TCP/UDP全局端口号资源;若所述被绑定的路由器 的NAT出接口存在动态PAT规则,则利用所述TCP/UDP全局端口号建立符合 所述动态PAT规则的网络地址端口映射关系。
6、 如权利要求1或5所述的静态PAT支持绑定路由器接口的方法,其特征 在于,若所述被绑定的路由器的NAT出接口获得的了新的网络地址,则删除以 原网络地址建立的符合绑定所述路由器NAT出接口的静态PAT规则的网络地址 端口映射关系,然后以所述新的网络地址建立符合绑定所述路由器NAT出接口的 静态PAT规则的网络地址端口映射关系。
7、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于, 若按照所述绑定路由器NAT出接口的静态PAT规则建立的网络地址端口映射关 系被删除,则其所使用的TCP/UDP全局端口号可被动态NAT规则使用。
8、 如权利要求1所述的静态PAT支持绑定路由器接口的方法,其特征在于, 所述网络地址端口映射关系为私网IP地址、端口与路由器获得的IP地址、端口 的映射关系。
9、 一种静态PAT支持绑定路由器接口的系统,包括公网、路由器以及私网, 其特征在于,所述路由器用于配置绑定其NAT出接口的静态PAT规则; 以非固定方式动态获得网络地址; 建立网络地址端口映射关系; 对接收到的目的地址是其自身接口网络地址且符合所述网络地址端口映射 关系的TCP/UDP报文进行网络地址端口转换。
10、如权利要求9所述的静态PAT支持绑定路由器接口的系统,其特征在 于,所述路由器通过拨号方式获得非固定的网络地址。
全文摘要
本发明涉及一种静态PAT支持绑定路由器接口的方法及系统,所述方法为首先配置绑定路由器NAT出接口的静态PAT规则;然后根据所述出接口获得的网络地址建立符合所述静态PAT规则的网络地址端口映射关系;当所述出接口接收到目的地址是自身接口网络地址的TCP/UDP报文时,以所述报文的目的地址和目的端口查找所述网络地址端口映射关系,若有,则按所述网络地址端口映射关系对所述报文进行网络地址端口转换;否则,将所述报文作为路由器的本地报文进行处理;本发明还提供一种实现所述方法的系统。本发明可以节省固定Internet IP地址的申请,降低了组网的费用,提高了使用NAT组网的灵活性,且实现简单。
文档编号H04L29/06GK101355568SQ20081021600
公开日2009年1月28日 申请日期2008年9月3日 优先权日2008年9月3日
发明者武利明, 缪武杰, 陈尔严 申请人:中兴通讯股份有限公司