[发明专利]防火墙/网络地址转换装置穿越方法、代理装置及系统

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于NSIS(Next Step inSignaling，下一代信令)的FW(Fire Wall，防火墙)/NAT(Network AddressTranslation，网络地址转换装置)穿越方法、代理装置及系统。

背景技术

近年来，随着Internet业务的多样化，传统的IP(Internet Protocol)网络在业务、流量规模及运营等方面发生了巨大的变化，出现了很多采用网络层信令的应用，包括为保证QoS(Quality of Service)的资源预留、网络调试、FW穿越、NAT以及检测路径状态等。这些网络信令应用的实现迫切地需要在IP网络中采用一个通用的信令协议，这对信令协议的可扩展性和安全性提出了更高的要求。2001年11月IETF(Internet工程任务组)成立了NSIS工作组，致力于研究下一代信令的需求、体系结构以及协议实现等问题，NSIS主要解决沿着数据路径的网络控制状态建立问题。

NSIS基本的设计思想是把信令传输和信令应用分离出来，将信令协议分为两层：NTLP(NSIS Transport Layer Protocol，信令传输层)和NSLP(NSISSignaling Layer Protocol，信令应用层)，两层是相互独立的。信令传输层的核心作用是在一个更为通用的网络部署场景中实现对等体之间消息传输，包括定位与选择信令交互的对象。信令应用层负责各种信令应用，它不仅支持传统的QoS应用，还可用于管理不同类型的网络控制状态，主要是指NAT/FW穿越。NAT/FW NSLP要求NAT设备或FW沿着数据路径进行动态配置，所谓动态配置包括使数据流和一些上行FW特定的数据流通过这些设备而不至于被阻塞。

下面以FW NSLP为例详细描述。

概括而言，FW NSLP是实现移动通信系统FW穿越的一种解决方案，其作用是可以帮助系统中控制报文和数据报文穿越FW，基本原理是在控制报文和数据报文穿越FW之前，首先用专门的FW信令(即NSLP信令)打开FW，建立控制报文和数据报文对应的规则和状态。该项基于NSLP信令的FW穿越技术与以往的FW穿越技术相比，其区别在于MN主动触发FW穿越信令，打开FW，动态建立FW状态和规则，使来自FW以外的节点报文可以顺利穿越FW。

下面结合图1和图2，对FW NSLP场景示意图以及流程图作一下介绍。

参见图1，为基于双向隧道的FW穿越示意图。在移动场景下，MN(MobileNode，移动节点)可以基于隧道技术访问CN(Correspondent Node，对端节点)：基于MN和HA(Home Agent，家乡代理)之间的双向隧道，将报文通过HA转发给CN。图1所示场景中，MN、HA和CN分别在各自的MN FW、HA FW和CN FW的保护之下工作，其中，BU和BA分别表示对转交地址的绑定更新(Bind Update)和绑定回复(Bind Answer)。

图1所示场景的基于NSLP信令的FW穿越流程参见图2。

当MN要向CN发送数据报文时，首先由MN向CN发送Creat信令(图2中表示为“Creat for traffic MN-＞CN”)，在MN与CN之间的FW(图1中的MN FW、HA FW和CN FW)上建立规则，当MN收到CN相应的CreatResponse后，表明从MN到CN的通道已打通，此后，MN即可将数据报文发送给CN；当MN预知来自MN FW以外的CN要访问自身时，也是由MN发起信令，即MN向CN发送EXT信令(图2中表示为“EXT for trafficCN-＞MN”)，在MN与CN之间的FW(图1中的MN HW、HA FW和CNFW)上建立规则，当MN收到CN相应的EXT Response后，表明从CN到MN的通道已打通，此后，CN即可将数据报文发送给MN。

除了上述描述的主要信令外，如图2所示，还包括一些测试信令：HOTI(Home of Test Init)是从MN经过HA发往CN的家乡初始化测试信令，用于测试家乡地址和转交地址的可达性；HOT(Home of Test)是从CN经过HA发往MN的HOTI测试应答信令；COTI(Care of Test Init)是从MN直接发往CN的测试信令，用于测试转交地址的可达性；COT(Care of Test)是从CN直接发往MN的COTI测试应答信令。除了上述测试信令，还包括为建立BU和BA的“Creat for BU”及相应的“Response”信令，以及BU和BA信令。