[发明专利]IP报文网络地址转换的方法及装置

说明书

技术领域

本发明涉及TCP/IP报文转发，是关于使用NAT技术进行IP报文网络地址转换的方法及装置。

背景技术

随着Internet技术不断以指数级速度增长，珍贵的网络地址分配给专用网络终于被视作是一种对宝贵的虚拟房地产的浪费。因此出现了网络地址转换(NAT)标准，就是将某些IP地址留出来供专用网络重复使用。这个专用网络一般都有几百台IP终端或者几个局域网。

NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。

NAT技术在实现TCP/IP报文转发时，只是修改IP地址和端口。这就导致了TCP/IP分片转发时存在一些缺陷。

除了首个TCP/IP分片报文存在端口号外，后续分片并不存在这个信息，而只是通过分片报文的ID来区分。在同一时刻，同一IP报文的ID不会相同，但是不同IP报文的ID可以相同，当一些终端(不同IP)通过同一个设备(使用NAT技术)访问相同的服务器时，由于分片报文只有首个包存在端口号，当这些终端的后续分片报文通过设备进行地址转换后，这些报文的源IP地址，目的IP地址都相同，服务器只能通过ID来区分这些报文来自不同的数据源。由于NAT，网关等设备在转发或者重组这些分片报文时不会修改ID，这样就会导致ID相同，使得服务器无法识别数据源，而错误处理数据报文，使得某些业务处理失败，甚至导致服务器等其他严重问题。

当一个报文是分片报文时，首片报文转发流程如下

A终端：IPA:portA:ID NAT内口IPin:portA:ID----NAT外口IPout:portX:ID服务器C

B终端：IPB:portB:ID NAT内口IPin:portB:ID----NAT外口IPout:portY:ID服务器C

后续包转发流程如下(不带端口号)

A终端：IPA:ID NAT内口IPin:ID----NAT外口IPout:ID服务器C

B终端：IPB:ID NAT内口IPin:ID----NAT外口IPout:ID服务器C

服务器C：以报文的源ip、源端口、identifier来区分报文。

上述缺陷在实际应用中存在下列问题和不足：

1、在现实的网络中，由于多处理器，以及各种封装等原因，使得分片报文无法在同一时刻到达终端，进而导致ID冲突现象明显。普通报文丢失一个重传即可，而分片报文由于错误处理丢失一片会造成整个报文(多个分片报文)的重传，有时甚至导致严重错误，使得网络的稳定性下降。

2、由于ID是16位的(65536)，而现在的服务器往往至少有几十万个用户。现在应用比较广的信令如SIP扩展业务比较多，报文往往需要分片，以及媒体视频报文比较大也需要分片，还有一些终端的分片报文ID经常是0。这时候分片报文ID冲突比较多。特别是在做一些性能测试时，分片报文ID冲突比较明显，这时往往通过提升设备的转发性能，减少报文的延迟时间来降低ID冲突，但这样还是无法彻底解决ID冲突，而且设备性能提升成本非常高。

3、NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中，应用非常广，所以对整个网络的稳定性，报文的安全性，可靠性都有比较大影响。

同样的，现有技术中在对非分片报文进行网络地址转换时也会存在以上缺陷。

发明内容

本发明要解决的技术问题是提供一种IP报文网络地址转换方法和装置，以避免报文ID冲突，提高系统性能。

为解决上述技术问题，本发明提供了一种IP报文网络地址转换方法，该方法包括：

确定IP报文的唯一的修正识别号；

对所述IP报文进行网络地址转换后，用所述修正识别号替换所述IP报文的报文识别号并转发处理后报文。

进一步地，确定所述IP报文的修正识别号的步骤包括：当所述IP报文是分片报文且是首片分片报文时，生成唯一的修正识别号，在识别号索引表中创建并保存所述源地址、报文识别号与所述修正识别号的映射关系；当所述IP报文是分片报文且是后续分片报文时，根据所述后续分片报文的源地址及报文识别号检索所述识别号索引表，获取与所述源地址及报文识别号对应的修正识别号；当所述IP报文是非分片报文时，生成唯一的修正识别号。