WO2019184804A1

WO2019184804A1 - 网络地址转换

Info

Publication number: WO2019184804A1
Application number: PCT/CN2019/079161
Authority: WO
Inventors: 安绍亮
Original assignee: New H3C Technologies Co Ltd
Current assignee: New H3C Technologies Co Ltd
Priority date: 2018-03-26
Filing date: 2019-03-22
Publication date: 2019-10-03
Anticipated expiration: 2020-09-26
Also published as: JP2021517414A; EP3758341A1; JP6978612B2; US20210036984A1; CN109688237A; EP3758341A4; US11201852B2; CN109688237B

Abstract

本公开提供一种NAT方法、装置及NAT设备。根据该方法，从NAT资源池中获取目标IP地址以及目标IP地址的参考端口，参考端口为一个相应的连续端口范围中的一个端口。基于目标IP地址、参考端口和报文的原始五元组，生成第一五元组，并对第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组。基于第二五元组的哈希结果，从预先构建的位图中，确定表示不冲突状态的目标比特。将目标比特所表示的状态设置为冲突状态，并基于目标比特，生成目标五元组。在会话表中记录目标五元组和原始五元组，并基于目标五元组对报文进行NAT处理。

Description

网络地址转换

背景技术

NAT(Network Address Translation，网络地址转换)设备在接收到报文后，如果该报文需进行NAT处理且该报文满足会话信息新建条件，则执行新建流程。这里的“会话信息”例如包括报文的源IP(Internet Protocol，互连网协议)地址、目的地址、源端口、目的端口和传输层协议的五元组。

以源IP地址的NAT处理为例。从NAT资源池中选取一个IP地址和该IP地址的一个端口，利用该IP地址和该端口替换该报文的原始五元组中的源IP地址和源端口，形成新的五元组；进而，查询保存于存储介质(如DDR(Double Data Rate)双倍速率同步动态随机存储器)的会话表中的哈希表；当判断出该新的五元组为不冲突的五元组时，即，计算出的该新的五元组的哈希值不会在哈希表中产生哈希冲突时，在该哈希表和对应的结果表中记录该新的五元组和该原始五元组，并基于该新的五元组对该报文进行NAT处理；否则，重新从NAT资源池中选取一个IP地址和该IP地址的一个端口进行分析。

尽管上述新建流程能够实现NAT处理，但是，存在如下问题：基于现有会话表的哈希表的数据存储方式，每次冲突试探只能测试一个新的五元组，当该新的五元组产生冲突时，需要进行多次试探，而由于每次读取会话表所在的存储介质均会存在接口延时，这样无疑导致新建性能较差。

附图说明

图1是本公开一示例性实施例示出的一种组网系统的结构示意图。

图2是本公开一示例性实施例示出的一种NAT方法的流程图。

图3是本公开一示例性实施例示出的转换源IP地址时基于位图确定报文对应目标五元组的图表示意图。

图4是本公开一示例性实施例示出的转换源IP地址时对位图中的比特进行恢复的图表示意图。

图5是本公开一示例性实施例示出的一种NAT装置的结构示意图。

图6是本公开一示例性实施例示出的一种NAT设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

为了便于方案理解，下面介绍关于NAT(Network Address Translation，网络地址转换)的相关内容。

从转换模式的角度而言，NAT可分为PAT(Port Address Translation，带端口的地址转换)和NO-PAT(Not Port Address Translation，不带端口的地址转换)。其中，NO-PAT模式下，一个外网IP地址(即，公网IP地址)只能分给一个内网IP地址进行NAT；而PAT模式下，一个外网IP地址可以同时分配给多个内网IP地址共用。本公开所出现的NAT指PAT模式。

另外，按照不同的组网应用，NAT可以分为：入接口转换源IP地址，入接口转换目的IP地址，出接口转换源IP地址，出接口转换目的IP地址。并且，不同地址的转换过程类似。

本公开提供了一种NAT方法、装置及NAT设备，以提高NAT过程的新建性能。

下面首先对本公开所提供的一种NAT方法进行介绍。

本公开所提供的一种NAT方法应用于NAT设备，具体的，该NAT方法可以由NAT设备中的CPU来执行，当然，也可以由CPU与某些硬件共同执行完成，其中，该某些硬件可以为集成电路ASIC(Application Specific Integrated Circuit)/FPGA(Field－Programmable Gate Array，现场可编程门阵列)。其中，所谓的NAT设备为网络的边沿设备，其用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部资源(例如内部服务器)的目的，举例而言：该NAT设备的设备类型可以为路由器，当然并不局限于此。

另外，本公开中，预先构建位图，该位图中的每个比特用于表示五元组的状态，即冲突状态或不冲突状态，其中，该位图存储于NAT设备的存储介质中。具体的，该位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特位数相同的二进制字符串。该第一类比特为五元组的两类端口(即，进行NAT处理的端口和不进行NAT处理的端口)的第一类比特，比特数量和位置可以根据实际情况设定，举例而言：第一类比特可以为端口的第0比特，可以为端口的第0比特和第1比特，也可以为端口的第0比特、第1比特和第2比特，还可以为端口的第14比特和第15比特，等等。通过利用该位图，使得区别点仅仅在于某一端口的第一类比特的多个五元组，在同一个表项中可以分别唯一对应到一个比特，也就是说，任一表项对应于：区别点仅仅在于某一端口的第一类比特的多个五元组。

位图中的每一表项为一行比特。并且，在初始化位图时，每一表项可以通过一个固定位数的哈希值作为索引，每一表项中的多个比特所表示的状态可以均初始化为不冲突状态。这样，每次新建流程确定出不冲突的目标五元组后，可以将位图中与该目标五元组对应的比特所表示的状态设置为冲突状态。并且，在具体应用中，每个比特可以用0表示不冲突状态，1表示冲突状态，此时，初始化时位图中的比特全为0。

为了便于理解方案，本公开示例性地给出一种适用于本公开所提供方法的组网系统，该组网系统的结构示意图可以参见图1。如图1所示，该组网系统中包括：主机A、NAT设备B和服务器C，由于主机A和服务器C属于不同的网络，即主机A属于内网而服务器C属于外网，因此，当主机A向服务器C发送报文时，NAT设备需要对主机A发送的报文进行NAT处理，然后将经过NAT处理后的报文发送给服务器C；类似的，当服务器C向主机A发送报文时，NAT设备需要对服务器C发送的报文进行NAT处理后，然后将经过NAT处理后的报文发送给该主机A。为了提高新建性能，图1中的NAT设备B可以利用本公开所提供的一种NAT方法，对主机A向服务器C发送的报文进行 NAT处理，以及对服务器C向主机A发送的报文进行NAT处理。

如图2所示，本公开所提供的一种NAT方法，可以包括如下步骤。

S101，从NAT资源池中获取目标IP地址以及该目标IP地址的参考端口，该参考端口为该目标IP地址的一个连续端口范围中的一个端口。

当NAT设备接收到组网系统中的其他设备发送的报文时，如果该报文需进行NAT处理且该报文满足会话信息新建条件，则该NAT设备执行新建流程。本公开所提供方案中，该NAT设备执行新建流程时，可以从NAT资源池中获取目标IP地址以及该目标IP地址的参考端口，该参考端口为该目标IP地址的一个连续端口范围中的一个端口。并且，在选择端口时，可以利用对该报文的原始五元组进行哈希计算后的值进行选择，随机选择或顺序选择，等等。

对于一个报文而言，该报文中的原始五元组包括：源IP地址、目的IP地址、源端口、目的端口和传输协议；而NAT处理时的转换需求可以为仅仅转换源IP地址或转换目的IP地址，还可以为既转换源IP地址又转换目的IP地址。因此，在获取该目标IP地址和该参考端口后，如果需要转换源IP地址，则该目标IP地址用于替换原始五元组中的源IP地址，参考端口用于替换原始五元组中的源端口；而如果需要转换目的IP地址，则该目标IP地址用于替换原始五元组中的目的IP地址，参考端口用于替换原始五元组中的目的端口。另外，本公开中所述的目标IP地址为从NAT资源池中取出的一个IP地址，该目标IP地址可以作为源IP地址或目的IP地址；而该参考端口为该目标IP地址的一个连续端口范围中的一个端口，该参考端口可以作为源端口或目的端口。

另外，可以基于ACL(Access Control List，访问控制列表)来确定报文是否需要进行NAT处理、NAT处理时的转换需求以及NAT处理时所使用的NAT资源池，等等。其中，NAT设备中存储有多个NAT资源池，以应对不同类型的IP地址，并且，每个NAT资源池均包括IP地址及对应端口范围。

举例而言：对于采用TCP(Transmission Control Protocol传输控制协议)的数据流中的报文而言，报文是否满足会话信息新建条件的具体判断方式可以包括：判断报文是否为首报文，如果是，确定报文满足会话信息新建条件。对于采用UDP(User Datagram Protocol，用户数据报协议)的数据流中的报文而言，报文是否满足会话信息新建条件的具体判断方式可以包括：判断报文是否能够基于会话表直接进行NAT处理，如果不可以，确定报文满足会话信息新建条件。这里，仅以TCP协议、UDP协议为示例进行了描述，并不具有限制性，在具体应用中，对于采用其他协议的数据流中的报文，可以进行类似处理。例如，在判断出该报文不能基于会话表直接进行NAT处理时，确定报文满足会话信息新建条件。

S102，基于该目标IP地址、该参考端口和该报文的原始五元组，生成该报文对应的第一五元组，并对该第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组。

S103，基于对该第二五元组的哈希计算的结果，从预先构建的位图中，确定表示不冲突状态的目标比特；

其中，该位图中每个比特用于表示五元组的状态为冲突状态还是不冲突状态。

S104，将该目标比特所表示的状态设置为冲突状态，并基于该目标比特，生成该报文对应的目标五元组。

在获取到该目标IP地址和该参考端口后，该NAT设备可以基于该报文对应的转换需求，以该目标IP地址替换该报文的原始五元组中的源IP地址或目的IP地址，以该参考端口替换该原始五元组中的源端口或目的端口，从而生成该报文对应的第一五元组。而在得到第一五元组后，该NAT设备可以对该第一五元组中的参考端口的第一类比特进行掩码，即置0，得到第二五元组。具体的，当转换源IP地址时，对该第一五元组中的源端口的第一类比特进行掩码，而当转换目的IP地址时，对该第一五元组中的目的端口的第一类比特进行掩码。

进而，该NAT设备可以基于对该第二五元组的哈希计算的结果，从预先构建的位图中，确定表示不冲突状态的目标比特。并且，在得到目标比特后，该NAT设备可以将该目标比特所表示的状态设置为冲突状态，并基于该目标比特，生成该报文对应的目标五元组。具体的，基于该目标比特，生成该报文对应的目标五元组具体为：以该目标比特对应的二进制字符串恢复该第二五元组中被掩码的第一类比特，从而得到该报文对应的目标五元组。

可以理解的是，端口由16位比特表示，也就是源端口和目的端口均由16位比特表示。对于第一类比特而言，比特数量和位置可以根据实际情况设定，举例而言：第一类比特可以为端口的第0比特，可以为端口的第0比特和第1比特，也可以为端口的第0比特、第1比特和第2比特，还可以端口的第14比特和第15比特，等等。为了计算简便，在具体应用中，该第一类比特为端口末尾的连续至少一位，具体的位数可以根据具体应用环境进行设定。举例而言：该第一类比特为端口的末尾的连续两位，即第0比特和第1比特，或者，该第一类比特为端口的末尾的连续三位，即第0比特、第1比特和第2比特，或者，该第一类比特为端口的末尾的连续四位，即第0比特、第1比特、第2比特和第3比特，等等。

另外，由于该位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特位数相同的二进制字符串，因此，每一表项所包括的比特的数量与第一类比特的数量相关，具体为2 ^N，N为第一类比特的位数。每一比特对应一个与第一类比特位数相同的二进制字符串，该对应关系可以按照二进制字符串的大小顺序进行排列。举例而言：假设N为7，则一个表项从前到后的比特分别对应于：0000000、0000001、0000010......1111111；或者，分别对应于：1111111、1111110、1111101、1111100……0000001、0000000。

具体的，在一种实现方式中，所述基于该第二五元组的哈希结果，从预先构建的位图中，确定表示不冲突状态的目标比特的步骤，可以包括：

利用第一哈希算法，计算该第二五元组对应的第一索引值，并利用该第一索引值，从预先构建的位图中确定第一表项；

从该第一表项中确定目标比特；其中，该目标比特所对应状态为不冲突状态，且该目标比特所对应的二进制字符串与该参考端口未掩码部分所形成的端口，位于该一个连续端口范围内。

其中，通过位图中的存储内容可知，该第一表项为：第二五元组以及与第二五元组区别仅仅在于第一类比特的多个五元组所对应的表项。并且，该第一哈希算法可以包括但不局限于：MD(Message Digest Algorithm，消息摘要算法)或SHA(Secure Hash Algorithm，安全哈希算法)。

有些端口属于NAT资源池中的无效端口，而第一表项中的比特所对应的二进制字符串与该参考端口未掩码部分所形成的端口，可能属于NAT资源池中的无效端口。因此，为了避免基于该目标比特所生成的目标五元组中的端口属于无效端口，所确定出的目标比特满足如下条件：

该目标比特所对应状态为不冲突状态，且该目标比特所对应的二进制字符串与该参考端口未掩码部分所形成的端口，位于该一个连续端口范围内。

从该第一表项中确定目标比特的过程可以包括：从第一表项中确定状态为不冲突状态的至少一个比特，然后，从至少一个比特中，确定出所对应的二进制字符串与该参考端口未掩码部分所形成的端口，位于该一个连续端口范围内的目标比特。或者，从该第一表项中确定目标比特的过程可以包括：从第一表项中，确定所对应的二进制字符串与该参考端口未掩码部分所形成的端口，位于该一个连续端口范围内的至少一个比特，进而从所确定出的比特中，确定表示不冲突状态的目标比特。

另外，在具体应用中，存在对一个报文进行多次NAT处理的需求，因此，目标五元组的数量可以为多个。基于该处理思想，基于该第二五元组的哈希结果，可以从位图中确定出目标数量的目标比特。并且，ACL中可以记录该目标数量，进而可以通过查询ACL来获得该目标数量。

S105，在会话表中记录该目标五元组和该原始五元组，并基于该目标五元组对该报文进行NAT处理。

会话表分为两级表：哈希表和结果表。其中，哈希表为会话表的第一级表，用于存储五元组经过哈希计算得出的签名信息和指向结果表的指针；而结果表为会话表的第二级表，用于存储五元组和其他转发相关的信息。

因此，在确定出该目标五元组后，该NAT设备可以在哈希表和结果表中记录该目标五元组和该原始五元组。并且，在确定出该目标五元组后，该NAT设备可以对该报文进行NAT处理，具体可以包括：将该报文中的原始五元组替换为目标五元组。

更进一步的，当检测到从该会话表中删除该目标五元组对应的记录内容时，该目标五元组恢复为可用状态，为了保证位图的有效性，可以对位图中该目标五元组所对应比特所表示的状态进行恢复。因此，本公开所提供了一种NAT方法还可以包括如下步骤。

步骤a1，当检测到从该会话表中删除该目标五元组对应的记录内容时，确定该目标五元组所对应的地址转换类型。

步骤a2，确定该目标五元组中与该地址转换类型匹配的端口，并将所确定出的端口的第一类比特进行掩码，得到第三五元组。

其中，当所确定出的地址转换类型为转换源IP地址时，该目标五元组中与该地址转换类型匹配的端口为：源端口；而当所确定出的地址转换类型为转换目的IP地址时，该目标五元组中与该地址转换类型匹配的端口为：目的端口。

步骤a3，利用第一哈希算法，计算该第三五元组对应的第二索引值，并利用该第二索引值，从该位图中确定第二表项。

步骤a4，从该第二表项中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，该目标二进制字符串为该目标五元组中与该地址转换类型匹配的端口的第一类比特。

可选地，在一种具体实现方式中，NAT设备对应一种地址转换类型，此时，确定该目标五元组所对应的地址转换类型具体可以为：将NAT设备对应的地址转换类型作为该目标五元组所对应的地址转换类型。

可选地，在另一种具体实现方式中，NAT设备对应至少两种地址转换类型，此时，在该在会话表中记录该目标五元组和该原始五元组的步骤，可以包括：

在会话表中记录该目标五元组、该原始五元组和本次NAT的地址转换类型。

相应的，确定该目标五元组所对应的地址转换类型具体可以为：

从会话表中，确定该目标五元组所对应的地址转换类型。

在具体应用时，该地址转换类型可以为转换源IP地址、转换目的IP地址，先转换源IP地址再转换目的IP地址，或者，先转换目的IP地址再转换源IP地址。其中，地址转换类型的值的具体表征方式可以存在多种。可选地，在一种具体实现方式中，地址转换类型的值可以由三比特组成，其中，最高比特是是否转换，低两比特是转换方式。具体的，以三比特表征地址转换类型时，地址转换类型及类型值的对应关系，参见如下表1：

表1

假设会话表中记录的原始五元组为(src_ip1,dst_ip1,src_port1,dst_port1,prot)，当删除会话表所记录的目标五元组的相关信息时，恢复位图中相应比特的过程如下：

如果类型值最高比特为0，没有地址转换，结束；

如果类型值为110(转换源IP地址)，假设目标五元组为：(src_ip2,dst_ip1,src_port2,dst_port1,prot)，在比特恢复时，取(src_ip2,dst_ip1,src_port2,dst_port1,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述所给出的比特恢复过程，即步骤a1-a4；

如果类型值为101(转换目的IP地址)，假设目标五元组为：(src_ip1,dst_ip2,src_port1,dst_port2,prot)，在比特恢复时，取(src_ip1,dst_ip2,src_port1,dst_port2,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述所给出的比特恢复过程，即步骤a1-a4；

如果类型值为111(先转换源IP地址，再转换目的IP地址)，假设目标五元组为：(src_ip2,dst_ip2,src_port2,dst_port2,prot)，在比特恢复时，

取(src_ip2,dst_ip1,src_port2,dst_port1,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述比特恢复过程，再取(src_ip2,dst_ip2,src_port2,dst_port2,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述所给出的比特恢复过程，即步骤a1-a4；

如果类型值为100(先转换目的IP地址，再转换源IP地址)，假设目标五元组为：(src_ip2,dst_ip2,src_port2,dst_port2,prot)，在比特恢复时，取(src_ip1,dst_ip2,src_port1,dst_port2,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述比特恢复过程，再取(src_ip2,dst_ip2,src_port2,dst_port2,prot)作为待利用的五元组(即步骤a1-a4中的目标五元组)，执行上述所给出的比特恢复过程，即步骤a1-a4。

上述给出的地址转换类型的值仅仅作为示例，并不应该构成对本公开的限定。

本公开所提供方案中，预先构建位图，该位图中每个比特用于表示五元组的状态；进而，在新建流程中，通过查询位图，确定不冲突的五元组。本方案直接从位图中确定表示不冲突状态的目标比特，进而基于目标比特确定出不冲突的五元组，减少了对存储介质的读取次数，因此，通过本方案可以解决新建性能较差的问题。

下面结合应用实例，对本公开所提供的一种NAT方法进行介绍。

该应用实例中，组网示意图如图1所示，该组网系统具体包括：主机A、NAT设备B和服务器C，其中，主机A的IP地址为192.168.1.2，NAT设备B的内网IP地址为192.168.1.1而外网IP地址为1.1.1.1，服务器C的IP地址为1.1.1.2。

在NAT设备的DDR中预先构建位图，该位图中的每个表项包括128个比特，每个比特对应一个7位的二进制字符串，比特的值为1时表示冲突，比特的值为0时表示不冲突。并且，初始化的位图中的比特为全0。

如图3和图4所示，本公开所提供的一种NAT方法，可以包括如下步骤。

步骤b1，NAT设备B接收到主机A至服务器C的报文后，判断出该报文需进行NAT处理且该报文满足会话信息新建条件，继续执行步骤b2。

其中，该报文中的原始五元组为(192.168.1.2，1.1.1.2，2222，80，tcp)。其中，该原始五元组中，192.168.1.2为源IP地址，1.1.1.2为目的IP地址，2222为源端口，80为目的端口，tcp为传输协议。

步骤b2，从NAT资源池中获取目标IP地址以及目标IP地址的参考端口，该参考端口为该目标IP地址的一个连续端口范围中的一个端口。

其中，该NAT资源池为转换源IP地址所依据的资源池。

其中，假设该目标IP地址为1.1.1.1，参考端口为2001。

步骤b3,以目标IP地址替换报文的原始五元组中的源IP地址，以参考端口替换该原始五元组中的源端口，生成该报文对应的五元组G1，并将该第一五元组的源端口的低7位进行掩码，即填充0，得到五元组G2。

其中，五元组G1为(1.1.1.1，1.1.1.2，2001，80，tcp)；相应的，五元组G2为(1.1.1.1，1.1.1.2，P _src1，80，tcp)。

步骤b4，利用SHA算法，计算五元组G2对应的索引值ind1，并利用索引值ind1，从位图中确定表项M。

步骤b5，从该表项M中，确定目标比特，其中，该目标比特所对应状态为不冲突状态，且目标比特所对应的二进制字符串与源端口未掩码部分所形成的端口，位于一个连续端口范围内。

步骤b6,将目标比特所表示的状态设置为冲突状态，并基于目标比特，生成该报文对应的目标五元组。

其中，目标五元组为(1.1.1.1，1.1.1.2，P _src2，80，tcp)，该P _src2为以目标比特所对应二进制字符串恢复P _src1中的低7位后所得的值。

步骤b7，在会话表中记录目标五元组和原始五元组，并基于目标五元组对该报文进行NAT处理。

步骤b8，当检测到从会话表中删除目标五元组对应的记录内容时，确定目标五元组所对应的地址转换类型为转换源IP地址。

步骤b9，确定目标五元组中与地址转换类型匹配的端口为源端口，并将源端口低7位进行掩码，得到五元组G3。

其中，五元组G3为(1.1.1.1，1.1.1.2，P _src1，80，tcp)。

步骤b10，利用SHA算法，计算五元组G3对应的索引值ind1，并利用该索引值ind1，从该位图中确定表项M。

步骤b11，从该表项M中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，该目标二进制字符串为该目标五元组中源端口的低7位的比特。

当原始五元组所对应的地址转换类型为转换目的IP地址时，NAT流程与上述步骤b1-b12类似，区别在于把目的端口和源端口的处理对换。

另外，图3和图4所示的位图中，通过X表示各个比特的当前值，该当前值可以为1或0。

本方案直接从位图中确定所表示的状态为不冲突状态的目标比特，进而基于目标比特确定出不冲突的五元组，减少了对存储介质的读取次数，因此，通过本方案可以解决新建性能较差的问题。

相应于上述方法实施例，本公开还提供了一种NAT装置，如图5所示，所述装置可以包括：

信息获取单元510，用于从NAT资源池中获取目标IP地址以及所述目标IP地址的参考端口，所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口；

信息处理单元520，用于基于所述目标IP地址、所述参考端口和报文的原始五元组，生成所述报文对应的第一五元组，并对所述第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组；

比特确定单元530，用于基于所述第二五元组的哈希结果，从预先构建的位图中，确定表示不冲突状态的目标比特；其中，所述位图中每个比特用于表示五元组的状态是冲突状态还是不冲突状态；

五元组生成单元540，用于将所述目标比特所表示的状态设置为冲突状态，并基于所述目标比特，生成所述报文对应的目标五元组；

NAT处理单元550，用于在会话表中记录所述目标五元组和所述原始五元组，并基于所述目标五元组对所述报文进行NAT处理。

可选地，所述比特确定单元530具体用于：

利用第一哈希算法，计算所述第二五元组对应的第一索引值，并利用所述第一索引值，从预先构建的位图中确定第一表项；其中，所述位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特的位数相同的二进制字符串；

从所述第一表项中确定目标比特；其中，所述目标比特所对应状态为不冲突状态，且所述目标比特所对应的二进制字符串与所述参考端口未掩码部分所形成的端口，位于所述一个连续端口范围内。

可选地，所述装置还包括：

类型确定单元，用于当检测到从所述会话表中删除所述目标五元组对应的记录内容时，确定所述目标五元组所对应的地址转换类型；

端口掩码单元，用于确定所述目标五元组中与所述地址转换类型匹配的端口，并将所确定出的端口的第一类比特进行掩码，得到第三五元组；

表项查询单元，用于利用第一哈希算法，计算所述第三五元组对应的第二索引值，并利用所述第二索引值，从所述位图中确定第二表项；

冲突调整单元，用于从所述第二表项中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，所述目标二进制字符串为所述目标五元组中与所述地址转换类型匹配的端口的第一类比特。

可选地，所述NAT处理单元550具体用于：

在会话表中记录所述目标五元组、所述原始五元组和地址转换类型，并基于所述目标五元组对所述报文进行NAT处理。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

另外，相应于上述方法实施例，本公开还提供了一种NAT设备，如图6所示，该NAT设备包括：内部总线610、存储介质620、处理器630和通信接口640；其中，所述处理器630、所述通信接口640、所述存储介质620通过所述内部总线610完成相互间的通信。

其中，所述存储介质620，用于存储NAT方法对应的机器可执行指令。

所述处理器630，用于读取所述存储介质620上的所述机器可执行指令，以执行本公开所提供的NAT方法。

其中关于NAT方法的具体步骤的相关描述可以参见本公开方法实施例中的描述内容，在此不做赘述。并且，需要强调的是，该NAT设备可以为路由器，当然并不局限于此。

其中，存储介质620例如可以是非易失性(non-volatile)存储介质。处理器630可以调用执行存储介质620中的实现NAT方法的逻辑指令，以执行上述NAT方法。

实现NAT方法的逻辑指令的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员在考虑说明书及实践这里公开后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

以上所述仅为本公开的实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。

Claims

一种网络地址转换NAT方法，包括：

从NAT资源池中获取目标互联网协议IP地址以及所述目标IP地址的参考端口，所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口；

基于所述目标IP地址、所述参考端口和报文的原始五元组，生成所述报文对应的第一五元组，并对所述第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组；

基于所述第二五元组的哈希结果，从预先构建的位图中确定目标比特，所述目标比特表示的状态为不冲突状态；其中，所述位图中每个比特用于表示五元组的状态是冲突状态还是不冲突状态；

将所述目标比特所表示的状态设置为冲突状态，并基于所述目标比特，生成所述报文对应的目标五元组；

在会话表中记录所述目标五元组和所述原始五元组，并基于所述目标五元组对所述报文进行NAT处理。
根据权利要求1所述的方法，其特征在于，所述基于所述第二五元组的哈希结果，从预先构建的位图中，确定所表示的状态为不冲突状态的目标比特，包括：

利用第一哈希算法，计算所述第二五元组对应的第一索引值，并利用所述第一索引值，从预先构建的位图中确定第一表项；其中，所述位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特的位数相同的二进制字符串；

从所述第一表项中确定目标比特；其中，所述目标比特所对应状态为不冲突状态，且所述目标比特所对应的二进制字符串与所述参考端口未掩码部分所形成的端口，位于所述一个连续端口范围内。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

当检测到从所述会话表中删除所述目标五元组对应的记录内容时，确定所述目标五元组所对应的地址转换类型；

确定所述目标五元组中与所述地址转换类型匹配的端口，并将所确定出的端口的第一类比特进行掩码，得到第三五元组；

利用第一哈希算法，计算所述第三五元组对应的第二索引值，并利用所述第二索引值，从所述位图中确定第二表项；

从所述第二表项中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，所述目标二进制字符串为所述目标五元组中与所述地址转换类型匹配的端口的第一类比特。
根据权利要求3所述的方法，其特征在于，所述在会话表中记录所述目标五元组和所述原始五元组，包括：

在会话表中记录所述目标五元组、所述原始五元组和地址转换类型。
根据权利要求1-4任一项所述的方法，其特征在于，所述第一类比特为表示端口的比特序列的末尾的连续至少一位。
一种网络地址转换NAT装置，包括：

信息获取单元，用于从NAT资源池中获取目标互联网协议IP地址以及所述目标IP地址的参考端口，所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口；

信息处理单元，用于基于所述目标IP地址、所述参考端口和报文的原始五元组，生成所述报文对应的第一五元组，并对所述第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组；

比特确定单元，用于基于所述第二五元组的哈希结果，从预先构建的位图中确定目标比特，所述目标比特表示的状态为不冲突状态；其中，所述位图中每个比特用于表示五元组的状态为冲突状态还是不冲突状态；

五元组生成单元，用于将所述目标比特所表示的状态设置为冲突状态，并基于所述目标比特，生成所述报文对应的目标五元组；

NAT处理单元，用于在会话表中记录所述目标五元组和所述原始五元组，并基于所述目标五元组对所述报文进行NAT处理。
根据权利要求6所述的装置，其特征在于，所述比特确定单元具体用于：

利用第一哈希算法，计算所述第二五元组对应的第一索引值，并利用所述第一索引值，从预先构建的位图中确定第一表项；其中，所述位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特的位数相同的二进制字符串；

从所述第一表项中确定目标比特；其中，所述目标比特所对应状态为不冲突状态，且所述目标比特所对应的二进制字符串与所述参考端口未掩码部分所形成的端口，位于所述一个连续端口范围内。
根据权利要求6所述的装置，其特征在于，所述装置还包括：

类型确定单元，用于当检测到从所述会话表中删除所述目标五元组对应的记录内容时，确定所述目标五元组所对应的地址转换类型；

端口掩码单元，用于确定所述目标五元组中与所述地址转换类型匹配的端口，并将所确定出的端口的第一类比特进行掩码，得到第三五元组；

表项查询单元，用于利用第一哈希算法，计算所述第三五元组对应的第二索引值，并利用所述第二索引值，从所述位图中确定第二表项；

冲突调整单元，用于从所述第二表项中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，所述目标二进制字符串为所述目标五元组中与所述地址转换类型匹配的端口的第一类比特。
根据权利要求8所述的装置，其特征在于，所述NAT处理单元具体用于：

在会话表中记录所述目标五元组、所述原始五元组和地址转换类型，并基于所述目标五元组对所述报文进行NAT处理。
根据权利要求6-9任一项所述的装置，其特征在于，所述第一类比特为表示端口的比特序列的末尾的连续至少一位。
一种网络地址转换NAT设备，包括：内部总线、存储介质、处理器和通信接口；其中，所述处理器、所述通信接口、所述存储介质通过所述内部总线完成相互间的通信；其中，所述存储介质，用于存储NAT方法对应的机器可执行指令；

所述处理器，用于读取所述存储介质上的所述机器可读指令，以：

从NAT资源池中获取目标互联网协议IP地址以及所述目标IP地址的参考端口，所述参考端口为所述目标IP地址的一个连续端口范围中的一个端口；

基于所述目标IP地址、所述参考端口和报文的原始五元组，生成所述报文对应的第一五元组，并对所述第一五元组中的参考端口的第一类比特进行掩码，得到第二五元组；

基于所述第二五元组的哈希结果，从预先构建的位图中确定目标比特，所述目标比特表示的状态为不冲突状态；其中，所述位图中每个比特用于表示五元组的状态是冲突状态还是不冲突状态；

将所述目标比特所表示的状态设置为冲突状态，并基于所述目标比特，生成所述报文对应的目标五元组；

在会话表中记录所述目标五元组和所述原始五元组，并基于所述目标五元组对所述报文进行NAT处理。
根据权利要求11所述的设备，其特征在于，在基于所述第二五元组的哈希结果，从预先构建的位图中，确定所表示的状态为不冲突状态的目标比特时，所述机器可执行指令还促使所述处理器：

利用第一哈希算法，计算所述第二五元组对应的第一索引值，并利用所述第一索引值，从预先构建的位图中确定第一表项；其中，所述位图包括多个表项，每一表项包括多个比特，每一比特对应一个与第一类比特的位数相同的二进制字符串；

从所述第一表项中确定目标比特；其中，所述目标比特所对应状态为不冲突状态，且所述目标比特所对应的二进制字符串与所述参考端口未掩码部分所形成的端口，位于所述一个连续端口范围内。
根据权利要求11所述的设备，其特征在于，所述机器可执行指令还促使所述处理器：

当检测到从所述会话表中删除所述目标五元组对应的记录内容时，确定所述目标五元组所对应的地址转换类型；

确定所述目标五元组中与所述地址转换类型匹配的端口，并将所确定出的端口的第一类比特进行掩码，得到第三五元组；

利用第一哈希算法，计算所述第三五元组对应的第二索引值，并利用所述第二索引值，从所述位图中确定第二表项；

从所述第二表项中，确定对应于目标二进制字符串的比特，并将所确定的比特所表示的状态设置为不冲突状态，所述目标二进制字符串为所述目标五元组中与所述地址转换类型匹配的端口的第一类比特。
根据权利要求13所述的设备，其特征在于，在会话表中记录所述目标五元组和所述原始五元组时，所述机器可执行指令还促使所述处理器：

在会话表中记录所述目标五元组、所述原始五元组和地址转换类型。
根据权利要求11-14任一项所述的设备，其特征在于，所述第一类比特为表示端口的比特序列的末尾的连续至少一位。