[发明专利]一种分布式系统中NAT端口资源的分配方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种分布式系统中NAT端口资源的分配方法。

背景技术

NAT(Network Address Translation，网络地址转换)是目前常用的一种解决IPv4地址短缺的方案。在二级运营商的网络出口或者大型企业(超过万人)的业务出口中，网关设备要具有NAT功能。在这种场景下，由于对处理性能的要求比较高，集中式设备的性能满足不了要求，部署的网关设备通常是分布式设备。

实际应用中，网络地址转换可以只转换IP地址，也可以同时转换IP地址和TCP/UDP协议的端口。网关设备中应用最多的是后者，本发明文件中提到的NAT都是指后者。在网关上配置几个合法的外部IP地址，内部网络的所有主机就可以通过共享这几个IP地址来实现对Internet的访问，从而可以最大限度地节约IP地址资源。

内网主机发起的具有相同的源IP地址、源端口、目的IP地址、目的端口、协议的一系列报文，对应了一个报文流。在网关设备中，为了处理这个报文流，会建立一个会话状态。每一个会话状态，都保存了一条NAT转换信息(内网IP：内网端口->公网IP：公网端口)。网关设备会利用这个会话状态，来将内网主机的IP和端口，转换为公网的IP和端口。每一个公网IP可以提供64K个端口，可以供64K个会话状态来使用。

具体地，比如内网主机1在进行ftp下载，网关会将主机1的信息(192.168.1.1:2000)转换为公网的信息(10.10.10.10:3000)。内网主机2在进行浏览网页，网关会将主机2的信息(192.168.1.2:2000)转换为公网的信息(10.10.10.10:4000)。

参见图1在分布式系统中，至少包含控制板和业务板这两种类型的板卡。其中控制板负责整机控制调度、路由表学习和下发等工作。业务板负责本地查表、业务板状态维护、会话状态维护、安全业务功能处理等工作。会话状态的建立和使用过程分为两步：(1)建立会话状态：其中，报文流的第一个报文，会触发建立会话状态，包括NAT转换信息；(2)使用会话状态：在会话状态建立以后，后续的报文就会使用会话状态来进行转发。包括使用NAT的转换信息来进行IP地址和端口的转换。

在分布式设备中，会有多块业务板。业务板是可以后续增加的。比如用户开始只买了3块业务板(业务板1，业务板2，业务板3)，后来由于业务的发展，需要提高系统的处理能力，可以再增加一块业务板(业务板4)。

当前常用的一种实现方式为：控制板上保留所有端口资源，业务板上不保留端口资源。参见图2，图中箭头表示报文的流向。假定设备上只配置了一个公网IP(10.10.10.10)，那么控制板上保存了这个公网IP地址所有的64K个端口资源。

会话状态的建立和使用过程：(1)建立会话状态：第一个报文(192.168.1.1:2000)要先经过业务板，然后发送到控制板获取NAT的转换信息(192.168.1.2:2000->10.10.10.10:3000)，然后把会话状态保存在业务板上；(2)使用会话状态：后续的报文利用业务板上保存的会话状态，直接在业务板上进行转发。

这种实现方式存在的缺陷是：扩展性不好，所有建立会话状态的过程都要经过控制板，对控制板要求很高，在配置了很多块业务板的情况下，控制板的处理性能将会成为瓶颈；新建会话状态的过程延迟大，新建会话状态的第一个报文都要绕一下控制板，导致报文的延迟大，给用户的直观反应是，速度变慢，应用中比如浏览网页的速度变慢。

当前常用的另一实现方式为：业务板均分所有的端口资源，控制板上不保留端口资源。

具体参见图3，假设系统初始有3块业务板(业务板1，业务板2，业务板3)，只配置了一个公网IP地址(10.10.10.10)，那么每块业务板上分别保留了大约21K个端口资源。每个业务板上保留的端口资源，是在系统初始化的时候决定的。在系统运行期间，不能动态调节。业务板之间的端口资源也不能相互借用。

会话状态的建立和使用过程：(1)建立会话状态：第一个报文(192.168.1.2:2000)只经过业务板，就能获取NAT的转换信息(192.168.1.2:2000->10.10.10.10:4000)，然后把会话状态保存在业务板上(不需要经过控制板处理)；(2)使用会话状态：后续的报文利用业务板上保存的会话状态，直接在业务板上进行转发。