[发明专利]一种NAT穿越方法及网关设备

权利要求书

1.一种网络地址转换NAT穿越方法，其特征在于，包括：

内网中的网关设备从通过外网接收到的报文中，识别数据流的报文，所述数据流为需要通过端口映射发送至所述内网内主机的数据流，所述数据流的报文包括相同的五元组；

对所述数据流的报文流量进行监控；

当所述数据流在预设时长内的流量超过预设阈值时，打开端口映射，所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射，所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口；

将所述数据流的报文通过所述端口映射发送至所述内网内主机；

所述打开端口映射之后，所述方法还包括：

当所述数据流在预设时长内的流量不超过所述预设阈值时，关闭所述端口映射。

2.根据权利要求1所述的方法，其特征在于，所述关闭所述端口映射之后，所述方法还包括：

停止监控所述数据流的流量。

3.根据权利要求1所述的方法，其特征在于，

所述对所述数据流的报文流量进行监控之前，所述方法还包括：向网关设备的管理设备发送第一请求消息，所述第一请求消息用于向所述管理设备请求打开任意端口映射的权限；

所述对所述数据流的报文流量进行监控，包括：在接收到所述管理设备发送的第一响应消息后，开始对所述数据流的报文流量进行监控；其中，所述第一响应消息用于向所述网关设备授予打开任意端口映射的权限。

4.根据权利要求1所述的方法，其特征在于，

所述打开端口映射之前，所述方法还包括：向网关设备的管理设备发送第二请求消息，所述第二请求消息用于向所述管理设备请求对所述数据流进行端口映射的权限；

所述打开端口映射，包括：在接收到所述管理设备发送的第二响应消息后，打开所述端口映射；其中，所述第二响应消息用于向所述网关设备授予对所述数据流进行端口映射的权限。

5.根据权利要求1-4任一项所述的方法，其特征在于，

所述数据流为由对等网络P2P报文所组成的序列；

或者，所述数据流为由超文本传输协议HTTP报文所组成的序列；

或者，所述数据流为由文件传输协议FTP报文所组成的序列。

6.一种网关设备，其特征在于，包括：

识别单元，用于从通过外网接收到的报文中，识别数据流的报文，所述数据流为需要通过端口映射发送至内网内主机的数据流，所述数据流的报文包括相同的五元组；

监控单元，用于对所述数据流的报文流量进行监控；

端口映射管理单元，用于当所述监控单元在预设时长内监控所得的所述数据流的流量超过预设阈值时，打开端口映射，所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射，所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口；

发送单元，用于将所述数据流的报文通过所述端口映射发送至所述内网内主机；

其中，所述端口映射管理单元，还用于当所述监控单元在预设时长内监控所得的所述数据流的流量不超过所述预设阈值时，关闭所述端口映射。

7.根据权利要求6所述的网关设备，其特征在于，

所述监控单元，在所述端口映射管理单元关闭所述端口映射之后，停止监控所述数据流的流量。

8.根据权利要求6所述的网关设备，其特征在于，所述网关设备还包括第一接口单元；

所述第一接口单元，用于在所述监控单元对所述数据流的报文流量进行监控之前，向网关设备的管理设备发送第一请求消息，所述第一请求消息用于向所述管理设备请求打开任意端口映射的权限；

所述第一接口单元，还用于接收所述管理设备发送的第一响应消息，所述第一响应消息用于向所述网关设备授予打开任意端口映射的权限；

所述监控单元，具体用于在所述第一接口单元接收到所述第一响应消息后，开始对所述数据流的报文流量进行监控。