[发明专利]一种多NAT网关流量转发的方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种多NAT网关流量转发的方法和设备。

背景技术

由于实际网络中公网地址资源有限，网关设备通常使用NAT(Network Address Translation，网络地址转换)功能来实现内网对Internet的访问，NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，即NAT将数据中的私网地址转换为公网地址，以实现私有网络访问公共网络，且NAT通过使用少量的公网地址表示较多的私网地址，从而可减缓可用地址空间的枯竭。

现有技术中，当企业内网部署了应用服务器，且应用服务器对公网设备开放时，通过在网关设备的WAN(Wide Area Network，广域网)接口上配置NAT映射功能，可以将外部地址和端口映射到应用服务器的私有地址和端口上，从而使公网设备通过访问网关设备的公网地址和端口，访问应用服务器。

在实际组网中，如果安装多台网关设备，为了提高网络的可靠性，则可以在多台网关设备之间运行VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议)，并且在每个网关设备上配置NAT映射功能以实现公网设备对应用服务器的访问。

如图1所示的多台网关设备之间运行VRRP的组网示意图，各网关设备配置NAT映射功能，当公网设备(202.101.1.182)访问WAN接口(201.101.3.50)时，备设备会将目的地址由201.101.3.50修改为私有地址(192.168.1.100)，并将相应的端口修改为应用服务器的端口，从而将来自公网设备的数据发送给应用服务器，实现公网设备对应用服务器的访问。

但是，由于上述公网设备访问的公网地址(201.101.3.50)不是主设备地址(212.1.1.2)，在应用服务器返回响应数据时，响应数据的目的地址为VRRP的虚地址(192.168.1.10)，即应用服务器返回的响应数据会发送到主设备上，并由主设备发送给公网设备，且该数据的源地址将转换为主设备的公网地址，因此会出现数据进入的地址(201.101.3.50)和返回的地址(212.1.1.2)不一致的情况，并导致用户业务应用出现问题。

为了解决上述问题，还可以在网关设备连接内网的接口启用NAT功能，在将数据发送给应用服务器之前，将公网设备访问数据的源地址转换为网关设备的接口地址(192.168.1.2)，使得应用服务器在返回数据时，将数据返回给指定网关设备(备设备)。因此网关设备可通过进行两次NAT转换，保证接收数据和发送数据的路径一致。但是，这种情况下应用服务器无法识别公网设备的真实地址，导致一些安全策略和日志无法生效。

发明内容

本发明提供一种多NAT网关流量转发的方法和设备，以保持NAT映射数据的转发路径一致。

为了达到上述目的，本发明提供一种多网络地址转换NAT网关流量转发的方法，所述多NAT网关中的各网关设备上维护有NAT同步会话表，该方法包括以下步骤：

当所述多NAT网关中的第一网关设备接收到来自内网应用服务器的第一数据时，所述第一网关设备通过所述第一数据中携带的地址信息查询所述NAT同步会话表；

如果通过所述NAT同步会话表获知应由所述多NAT网关中的第二网关设备向公网设备发送所述第一数据，所述第一网关设备将所述第一数据发送给所述第二网关设备，由所述第二网关设备向所述公网设备发送所述第一数据。

所述多NAT网关中的第一网关设备接收到来自内网应用服务器的第一数据，之前还包括：

所述第二网关设备接收到来自所述公网设备的第二数据，所述第二网关设备将所述第二数据的目的地址信息映射为应用服务器的地址信息；所述第一数据为所述第二数据的响应；

所述第二网关设备通过所述第二数据中携带的源地址信息和目的地址信息查询所述NAT同步会话表；

如果所述NAT同步会话表中没有所述源地址信息和目的地址信息对应的记录，所述第二网关设备将源地址信息、目的地址信息、收到所述公网设备数据的网关设备为所述第二网关设备的信息添加到所述NAT同步会话表；

所述第二网关设备将所述NAT同步会话表更新的信息发送给所述第一网关设备；所述第一网关设备在自身的NAT同步会话表中添加源地址信息、目的地址信息、收到所述公网设备数据的网关设备为所述第二网关设备的信息。

地址信息包括IP地址和端口、第二网关设备的信息包括第二网关设备的IP地址；