[发明专利]分布式架构下的网络地址转换端口资源分配方法及系统

说明书

技术领域

本发明涉及网络通信技术，尤其涉及分布式架构下的网络地址转换(NAT，Network Address Translation)端口资源分配方法及系统。

背景技术

NAT是一种将因特网协议(IP，Internet Protoc0l)数据报报头中的IP地址转换为另一个IP地址的技术，主要用于实现私有网络访问公共网络的功能。NAT的一种变形是网络地址端口转换(NAPT，Network Address PortTranslation)，NAPT允许将多个私网地址映射到同一个公网地址的不同端口上，实现多个私网终端共享同一公网地址，这样有助于缓解公网地址资源紧缺的问题。图1示出了NAPT应用示意图，不同私网终端192.168.1.2和192.168.1.3发出的两个报文经过路由器时，它们的源私网IP地址都被转换成了路由器出接口的公网IP地址20.1.1.1，并通过使用不同的端口来区分；当发往私网终端的反向报文到达时，路由器再进行反向地址转换，使反向报文正确到达私网终端。

目前，NAT技术已在路由器、防火墙等安全设备上得到了广泛应用。由于安全设备在进行攻击检测和主动防御时要消耗大量的CPU资源，而采用集中式处理架构的安全设备又很难突破其在性能上的瓶颈，无法满足用户对高性能高带宽的需求，因此采用分布式架构的安全设备就应运而生。图2示出了采用分布式架构的安全设备结构示意图，包括主控板、接口和多个业务板，且业务板与接口分离，其中，各业务板用于完成业务分布式处理，接口负责完成业务的分发及发送，主控板用于对各业务板和接口进行全局控制。

在图2所示的分布式架构下，如果各个业务板共用NAT地址池，使用相同的IP地址进行NAT转换，则很容易产生资源分配冲突的问题。比如，在图2中，假设各个业务板都共用某个接口的IP地址20.1.1.1进行NAT转换，则当来自不同私网终端192.168.1.2和192.168.1.3的两个报文分别被传送到不同的业务板上处理时，这两个报文的源私网地址都将被转换成公网地址20.1.1.1，并且很可能都被映射到同一端口如1025上，从而造成端口资源分配冲突，也就是说，一个公网地址和端口(20.1.1.1:1025)分别对应(192.168.1.2:21)和(192.168.1.3:80)这两个不同的私网地址和端口。在这种情况下，当目的地址和端口为(20.1.1.1:1025)的反向报文到达安全设备后，安全设备将无法确定应该将该报文发往192.168.1.2还是192.168.1.3，从而引起通信混乱，导致这两个连接都无法正常工作。

为了解决上述端口资源分配冲突的问题，通常所采取的手段是：对端口资源进行静态划分，为各个业务板分别配置不同的端口使用范围，如将业务板1的端口范围配置成(1025～30000)，将业务板2的端口范围配置成(30001～65535)，各业务板分别从自身的端口范围中选取端口进行NAT转换，以避免端口资源分配冲突。

上述静态配置端口资源的方案虽然能够解决端口资源分配冲突的问题，但是，由于接口板流量分发的不均匀，很可能导致某个业务板上因业务流较多已使用完分配的端口资源，而另一个业务板上因业务流较少还剩大量端口资源未被使用。在这种情况下，当新的业务流到达端口资源已使用完毕的业务板时，就会因端口分配失败而造成报文处理失败，并最终导致报文被丢弃，然而实际上此时其它业务板上仍有大量的端口资源可供使用。可见，采用静态配置端口资源的方式，容易造成整机在远未达到最大规格的情况下，就已经不能正常处理业务了，从而造成端口资源的浪费。另外，由于各业务板上的端口资源是静态配置的，因此当其中某个业务板发生故障或者不在位的情况下，该业务板上的端口资源并不能够被其它业务板所使用，这样也会造成端口资源的浪费。

发明内容

有鉴于此，本发明的目的在于提供一种分布式架构下的NAT端口资源分配方法及系统，提高NAT端口资源利用率。

为达到上述目的，本发明提供的技术方案如下：

一种分布式架构下的NAT端口资源分配方法，适用于包括主控板及一个以上业务板的分布式环境，该方法包括：

在主控板上统一管理NAT端口资源，各业务板根据本板的NAT业务量向主控板请求端口资源；主控板根据业务板的请求为业务板分配空闲的端口资源，然后业务板使用分配的端口资源进行NAT转换。

所述端口资源在主控板上以端口块形式组织，所述主控板根据业务板的请求为业务板分配空闲端口资源包括：主控板根据业务板的请求为业务板分配空闲的端口块，并通过板间通信将分配的端口块信息通知业务板。