[发明专利]报文处理的方法和相关装置

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种报文处理的方法和相关装置。

背景技术

网络地址转换(Network Address Translation，NAT)是一种IP地址共享的技术，用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。利用NAT技术，可以实现多用户同时使用少量的合法IPv4地址进行Internet访问。

具有NAT处理功能的网络设备，通常包括接口板和NAT业务处理板。接口板按照工作状态分为工作于用户侧和工作于网络侧两种。当一条正向流(由用户侧发向网络侧的流)到达用户侧接口板后，用户侧接口板会将这条正向流的特征信息发送给NAT业务处理板，NAT业务处理板分配公网IP地址和公网端口号，从而使得这条正向流报文中的源IP地址和源端口号被替换为公网IP地址和公网端口号(即正向NAT替换)。当一条正向流所触发的反向流(指对该正向流进行应答的反向流)达到网络侧接口板时，网络侧接口板会将这条反向流的特征信息发送给NAT业务处理板，以替换反向流报文中的目的IP地址和目的端口号(即反向NAT替换)。

现有技术中，当反向流为攻击流时(指反向流不是由正向流所触发的流)，网络侧的接口板也会将攻击流的特征信息也发送给NAT业务处理板，增加了网络侧的接口板与NAT业务处理板间的通信通道的负担，增加了NAT业务处理板的负荷。

同理，在软件定义的网络(Software Defined Network，SDN)中，转发设备的作用类似于上述接口板，控制器的作用类似于上述NAT业务处理板，因此存在类似的问题。

发明内容

提供一种报文处理的方法和相关装置，可以减少现有技术中网络侧的接口板与NAT业务处理板间的通信通道的负担，减少NAT业务处理板的负荷；或减少SDN中转发设备与SDN中控制器间的通信通道的负担，减少SDN中控制器的负荷。

第一方面，提供一种报文处理的方法，包括：

第一装置接收配置指令，所述配置指令用于配置所述第一装置工作在网络侧；

所述第一装置存储预判表，所述预判表用于所述第一装置在收到反向流后，根据所述反向流的特征信息判断所述反向流在全局反向NAT流表中是否有匹配项，所述全局反向NAT流表存储于第二装置，所述全局反向NAT流表用于指导对反向流进行反向NAT替换，所述全局反向NAT流表中的表项对应于全局正向NAT流表中的表项，所述全局正向NAT流表用于指导对正向流进行正向NAT替换，所述正向流是指由用户侧发往网络侧方向的流，所述反向流是指由网络侧发往用户侧方向的流；

所述第一装置接收反向流；

所述第一装置根据所述反向流的特征信息判断所述反向流是否与所述预判表中的表项匹配，如果不匹配，则确定所述反向流在所述全局反向NAT流表中没有匹配项，所述第一装置丢弃所述反向流的报文。

在所述第一方面的第一种可能的实现方式中，其中所述预判表是一个哈希表，其表项的存储地址是对所述全局反向NAT流表的表项键值进行哈希计算后的结果，所述键值包括五元组，其表项的内容用于标识所述表项是否在所述全局反向NAT流表中有对应的表项。

根据所述第一方面，或所述第一种可能的实现方式，提供了第二种可能的实现方式，在所述第一装置接收到反向流之后，以及在所述第一装置根据所述反向流的特征信息判断所述反向流是否与所述预判表中的表项匹配之前，所述方法还包括：

所述第一装置根据所述反向流的特征信息判断所述反向流是否与局部反向NAT流表中的表项匹配，所述局部反向NAT流表存储于所述第一装置上，所述局部反向NAT流表存储的是所述第一装置接收到的，且在所述全局反向NAT流表中有对应表项的反向流的反向NAT替换信息，如果匹配，则转发所述反向流的报文；如果不匹配，则判断所述反向流是否与所述预判表中的表项匹配。

根据所述第一方面，或所述第一种可能的实现方式，提供了第三种可能的实现方式，所述方法还包括：

如果所述第一装置根据所述反向流的特征信息判断所述反向流与所述预判表中的表项匹配，则所述第一装置进一步判断所述反向流是否与局部反向NAT流表中的表项匹配，如果所述反向流与所述局部反向NAT流表中的表项匹配，则转发所述反向流，所述局部反向NAT流表存储于所述第一装置上，所述局部反向NAT流表存储的是所述第一装置接收到的，且在所述全局反向NAT流表中有对应表项的反向流的反向NAT替换信息。