一种分布式地址地址转换方法与流程

本发明涉及电通信的，尤其涉及一种分布式地址地址转换方法。

背景技术：

1、网络地址转换网关是提供地址转换服务的载体，使用网络地址转换的好处有：多个服务实例可以共享一个公网ip向外提供服务，可以缓解ip资源不足的现状；可以按需暴露服务实例的指定端口，其他未进行地址转换的服务实例端口，公网无法访问，以提供一定的安全防护。

2、传统的地址转换网关并不支持多副本同时工作，这是因为地址转换网关是有状态的，他要求同一连接的正方向及反方向流量都由同一地址转换网关处理。例如，一个连接的正向流量如果通过地址转换网关a流入访问后级服务，但是反向流量返回到地址转换网关b，反向流量将无法通过，因为地址转换网关b没有正向流量的访问记录状态。

3、地址转换的原理大致为：nat网关收到ip数据包后，根据ip数据包的目的地址及端口是否命中转换规则。若命中规则则将ip数据包中的目的地址及端口映射为规则中定义的服务实例的地址及端口，并同时记录一项连接状态表项，随后将ip数据包根据路由转发到对应的服务实例；服务实例在处理后会发送回复ip数据包，nat网关在收到回复ip数据包后查询连接状态表项发现这是一个反向流的ip数据包，因此将ip数据报文的源地址及端口修改为正向流ip数据的目的地址及端口，随后转发给客户端。

4、ip数据包的五元组指由协议、源地址、源端口、目的地址、目的端口组成的数据集合，采用五元组可以标识一条连接的数据流。

5、但是传统集中式单实例地址转换网关存在的性能瓶颈及单点故障的问题，为此我们提出一种分布式地址地址转换方法来解决该问题。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、鉴于上述现有一种分布式地址地址转换方法存在的问题，提出了本发明。

3、为解决上述技术问题，本发明提供如下技术方案：该方法通过设有两个或以上数量的地址转换网关，每个地址转换网关上都配有相同的公网ip，所述地址转换网关与物理网关运行路由协议；

4、所述地址转换网关具有ip数据包的地址和端口转换功能，并根据业务的需求设置地址转换规则；地址转换网关会记录转换条目，用于在收到该数据包代表连接的反方向流量数据包时执行反向地址端口转换；

5、所述地址转换网关与虚拟机运行于用户虚拟网络中；

6、所述地址转换网关向用户虚拟网络转发的ip数据包将被标记上网关的唯一标识，随后经过用户虚拟网络内的分布式路由转发数据包到对应的虚拟机；

7、所述连接追踪模块设置在用户虚拟网络到虚拟机的路径上，连接追踪模块检测到带有网关唯一标记的ip数据包时，会向网关连接记录表插入数据包五元组与网关的唯一标记的关联记录项，即记录该连接数据流来自何网络地址转换网关。

8、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：用户虚拟网络在转发虚拟机发出的数据包时，用户虚拟网络内的路由裁决模块进行裁决判断后数据包路由转发至五元组关联的地址转换网关。

9、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述路由裁决模块的裁决逻辑流程为：

10、s1：调转源和目的地址及端口，构建五元组；

11、s2：查询连接记录是否存在对应记录，若存在则转发数据包到记录中的网关，若不存在则执行常规路由查询并转发数据包。

12、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述连接追踪模块的运行逻辑步骤为：

13、s1：判断数据包是否携带网关id，若携带则直接放行数据包，若不携带则进行下一步；

14、s2：查询是否有对应连接记录，若有则更新记录老化时间后放行数据包，若无则再插入五元组与网关id映射记录后放行数据包。

15、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述地址转换网关与物理网关运行路由协议为：ospf，且该路由协议会在物理网关上建立ecmp等价多路径路由。

16、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述地址转换网关在收到用户虚拟网络的数据包时，若数据包命中之前的转换记录，会执行地址转换网关的逆向转换，即将数据包的源地址和源端口修改为对应的公网ip和端口。

17、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述网关连接记录表的记录具有老化时间，当连接追踪模块收到同一条流的数据包，使用五元组索引到记录，更新记录老化时间，当老化时间抵达时，记录项项失效。

18、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述网关连接记录表的记录，在连接追踪模块检测到流中包含终止标记的数据包时，使用五元组索引到记录，更新使记录项失效。

19、作为本发明所述一种分布式地址地址转换方法的一种优选方案，其中：所述地址转换网关的唯一标记被携带于隧道通信封装数据包头部。

20、一种应用于上述分布式地址地址转换方法的转换系统，该系统包括以下模块结构：物理网关、地址转换网关、连接追踪模块、路由裁决模块以及虚拟机；

21、所述物理网关连接两个地址转换网关，所述地址转换网关与虚拟机运行于用户虚拟网络中，且连接追踪模块设置在用户虚拟网络到虚拟机的路径上，用户虚拟网络内的路由裁决模块会将数据包的源和目的地址及端口置换构建五元组，并使用该五元组查询网关连接记录表，若存在记录，则将数据包路由转发至五元组关联的地址转换网关。

22、本发明的有益效果：本发明支持水平扩展、性能强：多副本网关同时工作，可以根据业务的请求量扩展网关的数量拓展副本数量满足性能要求，分布式多实例无单点故障、可用性高：一个网关故障时，其他网关可以继续提供服务；

23、本发明相对于传统方法可以多个网关实例同时工作，一个实例故障时，其他实例可以继续提供服务，具有更高的可用性、更强扩展性及更高的性能。

技术特征：

1.一种分布式地址地址转换方法，其特征在于，该方法通过设有两个或以上数量的地址转换网关，每个地址转换网关上都配有相同的公网ip，所述地址转换网关与物理网关运行路由协议；

2.根据权利要求1所述的一种分布式地址地址转换方法，其特征在于：用户虚拟网络在转发虚拟机发出的数据包时，用户虚拟网络内的路由裁决模块进行裁决判断后数据包路由转发至五元组关联的地址转换网关。

3.根据权利要求2所述的一种分布式地址地址转换方法，其特征在于：所述路由裁决模块的裁决逻辑流程为：

4.根据权利要求3所述的一种分布式地址地址转换方法，其特征在于：所述连接追踪模块的运行逻辑步骤为：

5.根据权利要求4所述的一种分布式地址地址转换方法，其特征在于：所述地址转换网关与物理网关运行路由协议为：ospf，且该路由协议会在物理网关上建立ecmp等价多路径路由。

6.根据权利要求5所述的一种分布式地址地址转换方法，其特征在于：所述地址转换网关在收到用户虚拟网络的数据包时，若数据包命中之前的转换记录，会执行地址转换网关的逆向转换，即将数据包的源地址和源端口修改为对应的公网ip和端口。

7.根据权利要求6所述的一种分布式地址地址转换方法，其特征在于：所述网关连接记录表的记录具有老化时间，当连接追踪模块收到同一条流的数据包，使用五元组索引到记录，更新记录老化时间，当老化时间抵达时，记录项项失效。

8.根据权利要求7所述的一种分布式地址地址转换方法，其特征在于：所述网关连接记录表的记录，在连接追踪模块检测到流中包含终止标记的数据包时，使用五元组索引到记录，更新使记录项失效。

9.根据权利要求8所述的一种分布式地址地址转换方法，其特征在于：所述地址转换网关的唯一标记被携带于隧道通信封装数据包头部。

10.一种应用于权利要求1-9任一项所述的一种分布式地址地址转换方法的转换系统，其特征在于：该系统包括以下模块结构：物理网关、地址转换网关、连接追踪模块、路由裁决模块以及虚拟机；

技术总结本发明公开了一种分布式地址地址转换方法，涉及电通信技术领域，该方法通过设有两个或以上数量的地址转换网关，每个地址转换网关上都配有相同的公网IP，所述地址转换网关与物理网关运行路由协议；所述地址转换网关具有IP数据包的地址和端口转换功能，并根据业务的需求设置地址转换规则；地址转换网关会记录转换条目，用于在收到该数据包代表连接的反方向流量数据包时执行反向地址端口转换。本发明对于传统方法可以多个网关实例同时工作，一个实例故障时，其他实例可以继续提供服务，具有更高的可用性、更强扩展性及更高的性能。技术研发人员：罗云鹤受保护的技术使用者：天翼云科技有限公司技术研发日：技术公布日：2024/8/1