本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信技的，具體而言，涉及基于網(wǎng)絡(luò)數(shù)據(jù)包流轉(zhuǎn)的自動(dòng)化多次nat實(shí)現(xiàn)方法及系統(tǒng)。

背景技術(shù)：

1、網(wǎng)絡(luò)地址翻譯(networkaddresstranslation，nat)，是一個(gè)internet工程任務(wù)組(internetengineeringtaskforce，ietf)標(biāo)準(zhǔn)，其允許一個(gè)整體機(jī)構(gòu)使用同一個(gè)公用ip地址出現(xiàn)在internet，是一種把內(nèi)部私有網(wǎng)絡(luò)地址(ip地址)翻譯成合法公有網(wǎng)絡(luò)ip地址的技術(shù)。網(wǎng)絡(luò)地址端口翻譯(napt)把“基本nat”翻譯的概念進(jìn)一步發(fā)展，翻譯地址的同時(shí)也翻譯傳輸層標(biāo)志(如tcp/udp的端口號(hào)，icmp的查詢id)，從而把多個(gè)內(nèi)部主機(jī)的傳輸層標(biāo)志復(fù)用為唯一的外部地址。napt使得一組主機(jī)可以共享唯一的外部地址，在本技術(shù)中，將nat和natp統(tǒng)稱為nat。

2、在金融領(lǐng)域的網(wǎng)絡(luò)管理，尤其是銀行和證券等金融機(jī)構(gòu)中，常常使用網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)技術(shù)來(lái)管理ip資源和確保區(qū)域間的安全通信，在目前的網(wǎng)絡(luò)環(huán)境管理中，運(yùn)維人員需要通過(guò)手動(dòng)計(jì)算配置多次nat，確保數(shù)據(jù)包能夠在復(fù)雜的網(wǎng)絡(luò)路徑中準(zhǔn)確流轉(zhuǎn)，其主要表現(xiàn)為以下不足點(diǎn)：

3、復(fù)雜性高：對(duì)于多次nat的情況，運(yùn)維人員需要手動(dòng)計(jì)算每一跳的nat配置，這個(gè)過(guò)程繁瑣且容易出錯(cuò)，尤其是在多個(gè)網(wǎng)絡(luò)設(shè)備和多條路由鏈路上，人工配置效率極低，維護(hù)困難；

4、自動(dòng)化不足：技術(shù)對(duì)多次nat的自動(dòng)化支持不足，尤其在大型云環(huán)境中，隨著網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的增加，無(wú)法有效應(yīng)對(duì)路徑的預(yù)測(cè)和動(dòng)態(tài)計(jì)算，導(dǎo)致網(wǎng)絡(luò)管理效率降低，而且nat管理系統(tǒng)對(duì)網(wǎng)絡(luò)管理員的專業(yè)技能要求很高，普通用戶很難掌握這些系統(tǒng)，學(xué)習(xí)曲線陡峭。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供基于網(wǎng)絡(luò)數(shù)據(jù)包流轉(zhuǎn)的自動(dòng)化多次nat實(shí)現(xiàn)方法及系統(tǒng)，通過(guò)路徑預(yù)測(cè)、數(shù)據(jù)包流轉(zhuǎn)模擬以及策略匯聚等自動(dòng)化功能，顯著提升了管理復(fù)雜網(wǎng)絡(luò)環(huán)境下的效率，減少了人工配置錯(cuò)誤，降低了維護(hù)成本，且大幅降低了網(wǎng)絡(luò)管理的技術(shù)門檻，旨在解決現(xiàn)有技術(shù)中的問題。

2、本發(fā)明是這樣實(shí)現(xiàn)的，基于網(wǎng)絡(luò)數(shù)據(jù)包流轉(zhuǎn)的自動(dòng)化多次nat實(shí)現(xiàn)方法，應(yīng)用于網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備，具體包括以下步驟：

3、s101：獲取源節(jié)點(diǎn)的請(qǐng)求目的以及路由，根據(jù)請(qǐng)求目的以及路由在云拓?fù)渲薪?jīng)過(guò)一次或多次轉(zhuǎn)發(fā)最終到達(dá)目的地址，以生成訪問線路路徑拓?fù)洌?/p>

4、s102：從源節(jié)點(diǎn)開始使用深度優(yōu)先搜索到目的節(jié)點(diǎn)之間的所有路徑，對(duì)數(shù)據(jù)包從源節(jié)點(diǎn)開始，模擬從每一條路徑上到目的節(jié)點(diǎn)之間路由是否可達(dá)，排除那些不可達(dá)路徑；

5、s103：根據(jù)需求的源、目地址和服務(wù)以及源節(jié)點(diǎn)，模擬該數(shù)據(jù)在真實(shí)的網(wǎng)絡(luò)流轉(zhuǎn)狀態(tài)，并在進(jìn)行模擬操作之前，準(zhǔn)確的理解線路上每種防火墻的數(shù)據(jù)包處理流程；

6、s104：對(duì)nat以及policy的處理判斷是否有匹配的static?nat，如果沒有再判斷是否有匹配的目的nat，然后再路由、策略、源nat依次計(jì)算，預(yù)定義nat?ip地址池以及進(jìn)入到該設(shè)備的數(shù)據(jù)包，計(jì)算出數(shù)據(jù)包的五元組在該設(shè)備內(nèi)的變化；

7、s105：計(jì)算整個(gè)預(yù)測(cè)路徑上的所有設(shè)備要開通的policy以及nat策略，預(yù)先了解鏈路上所有不同型號(hào)設(shè)備的包處理流程并在設(shè)備上定義好約定的nat?ip地址池范圍，計(jì)算出鏈路上每個(gè)設(shè)備要開通策略可以使得不同網(wǎng)絡(luò)之間可以正常訪問，并同步實(shí)現(xiàn)數(shù)據(jù)匯聚。

8、進(jìn)一步地，在s101中，根據(jù)請(qǐng)求目的以及路由在云拓?fù)渲薪?jīng)過(guò)一次或多次轉(zhuǎn)發(fā)最終到達(dá)目的地址，以生成訪問線路路徑拓?fù)洌ǎ?/p>

9、根據(jù)云上的線路結(jié)構(gòu)繪制一張拓?fù)?，拓?fù)涞慕Y(jié)構(gòu)中連接有多個(gè)防火墻與網(wǎng)絡(luò)節(jié)點(diǎn)；

10、根據(jù)數(shù)據(jù)包的源目ip以及拓?fù)湫畔⒉檎业綄?duì)應(yīng)的源目節(jié)點(diǎn)；

11、從源節(jié)點(diǎn)開始使用深度優(yōu)先搜索到目的節(jié)點(diǎn)之間的所有路徑。

12、進(jìn)一步地，從源節(jié)點(diǎn)開始使用深度優(yōu)先搜索到目的節(jié)點(diǎn)之間的所有路徑，包括：

13、引入基于深度優(yōu)先搜索算法的路徑預(yù)測(cè)自動(dòng)分析和計(jì)算網(wǎng)絡(luò)數(shù)據(jù)包從源節(jié)點(diǎn)到目的節(jié)點(diǎn)經(jīng)過(guò)的所有網(wǎng)絡(luò)設(shè)備；

14、準(zhǔn)確地模擬數(shù)據(jù)包在不同路徑上的流轉(zhuǎn)情況，自動(dòng)識(shí)別nat策略配置需求，dfs當(dāng)前節(jié)點(diǎn)搜索條件:當(dāng)前節(jié)點(diǎn)！＝目的節(jié)點(diǎn)a網(wǎng)絡(luò)節(jié)點(diǎn)當(dāng)前節(jié)點(diǎn)未被訪問過(guò)；

15、dfs尋路算法已經(jīng)訪問過(guò)節(jié)點(diǎn)時(shí)停止搜索，即當(dāng)前節(jié)點(diǎn)＝目的節(jié)點(diǎn)or當(dāng)前節(jié)點(diǎn)已被訪問過(guò)。

16、進(jìn)一步地，在s102中，從源節(jié)點(diǎn)開始使用深度優(yōu)先搜索到目的節(jié)點(diǎn)之間的所有路徑，對(duì)數(shù)據(jù)包從源節(jié)點(diǎn)開始，模擬從每一條路徑上到目的節(jié)點(diǎn)之間路由是否可達(dá)，包括：

17、源節(jié)點(diǎn)一次通過(guò)多防火墻，確定每個(gè)防火墻設(shè)備在整個(gè)鏈路中需要配置的策略，第一個(gè)防火墻根據(jù)源目地址匹配對(duì)應(yīng)路由，判斷源目地址的路由是否和路徑中的該設(shè)備的出入接口一致；

18、若否則過(guò)濾此路徑，若是則進(jìn)入下一個(gè)防火墻，下一個(gè)防火墻再根據(jù)源目地址匹配對(duì)應(yīng)路由，判斷源目地址的路由是否和路徑中的該設(shè)備的出入接口一致；

19、若否則過(guò)濾此路徑，若是則確定為目的節(jié)點(diǎn)，確定所模擬路徑上到目的節(jié)點(diǎn)之間路由為可達(dá)路徑。

20、進(jìn)一步地，在s103中，在進(jìn)行模擬該數(shù)據(jù)在真實(shí)的網(wǎng)絡(luò)流轉(zhuǎn)狀態(tài)之前，需要準(zhǔn)確的理解線路上每種防火墻的數(shù)據(jù)包處理流程，包括：

21、流量監(jiān)管：對(duì)到達(dá)防火墻的數(shù)據(jù)包進(jìn)行流量監(jiān)管，檢查數(shù)據(jù)包是否匹配到現(xiàn)有會(huì)話，依據(jù)源地址、目的地址、源端口、目的端口、協(xié)議以及唯一的會(huì)話token來(lái)確定是否屬于同一個(gè)會(huì)話；

22、如果匹配到現(xiàn)有會(huì)話，則跳過(guò)路由和策略查找過(guò)程，直接根據(jù)之前的會(huì)話信息進(jìn)行轉(zhuǎn)發(fā)；

23、檢查是否匹配到靜態(tài)nat，如果是，則進(jìn)行靜態(tài)nat后進(jìn)入路由查找過(guò)程接著檢查是否匹配到目的nat，如有匹配，則進(jìn)行目的nat匹配，并確定數(shù)據(jù)包出入方向的端口和zone。

24、進(jìn)一步地，在s104中，預(yù)定義nat?ip地址池以及進(jìn)入到該設(shè)備的數(shù)據(jù)包，計(jì)算出數(shù)據(jù)包的五元組在該設(shè)備內(nèi)的變化，包括：

25、依據(jù)數(shù)據(jù)包處理流程和設(shè)備的預(yù)定義nat?ip地址池以及進(jìn)入到該設(shè)備的數(shù)據(jù)包，可以計(jì)算出數(shù)據(jù)包的五元組在該設(shè)備內(nèi)的變化；

26、計(jì)算出當(dāng)指定源、目和服務(wù)通過(guò)該設(shè)備時(shí)需要開放怎樣的policy以及nat策略，進(jìn)而使得指定源、目、服務(wù)的數(shù)據(jù)包可以通過(guò)該設(shè)備而不是被該設(shè)備阻斷。

27、進(jìn)一步地，在s105中，預(yù)先了解鏈路上所有不同型號(hào)設(shè)備的包處理流程并在設(shè)備上定義好約定的nat?ip地址池范圍，包括：

28、預(yù)先了解鏈路上所有不同型號(hào)設(shè)備的包處理流程并在設(shè)備上定義好約定的natip地址池范圍，便可預(yù)測(cè)整個(gè)預(yù)測(cè)路徑上的所有設(shè)備要開通policy以及nat策略；

29、依據(jù)所預(yù)測(cè)的所有設(shè)備要開通policy以及nat策略計(jì)算出鏈路上每個(gè)設(shè)備要開通的策略，并執(zhí)行鏈路上每個(gè)設(shè)備要開通的策略，達(dá)到不同網(wǎng)絡(luò)之間可以正常訪問。

30、進(jìn)一步地，計(jì)算出鏈路上每個(gè)設(shè)備要開通策略可以使得不同網(wǎng)絡(luò)之間可以正常訪問，并同步實(shí)現(xiàn)數(shù)據(jù)匯聚，包括：

31、通過(guò)預(yù)測(cè)鏈路并運(yùn)用數(shù)據(jù)包模擬鏈路中的流轉(zhuǎn)情況，能夠確定每個(gè)防火墻設(shè)備在整個(gè)鏈路中需要配置的策略，以確保對(duì)特定數(shù)據(jù)包而言整個(gè)鏈路處于通暢狀態(tài)；

32、在完成分析后對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)一收集、匯聚和展示，以呈現(xiàn)給用戶一目了然的效果，用戶能夠輕松比對(duì)和審核配置內(nèi)容的合理性，還能夠快速發(fā)現(xiàn)不合理之處并進(jìn)行及時(shí)修改。

33、進(jìn)一步地，用戶能夠輕松比對(duì)和審核配置內(nèi)容的合理性，還能夠快速發(fā)現(xiàn)不合理之處并進(jìn)行及時(shí)修改，包括：

34、在完成分析后對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)一收集、匯聚和展示，這一過(guò)程為用戶提供了直觀的配置可視化，方便用戶了解和管理網(wǎng)絡(luò)安全策略；

35、對(duì)比和審核配置的過(guò)程變得更加高效，用戶可以快速判斷配置的邏輯是否合理，通過(guò)將配置直接下發(fā)到相應(yīng)的防火墻設(shè)備，極大地降低了用戶在個(gè)人計(jì)算設(shè)備上進(jìn)行配置的難度。

36、與現(xiàn)有技術(shù)相比，本發(fā)明提供的基于網(wǎng)絡(luò)數(shù)據(jù)包流轉(zhuǎn)的自動(dòng)化多次nat實(shí)現(xiàn)方法及系統(tǒng)，具備以下有益效果：

37、1、路徑預(yù)測(cè)算法：引入了基于深度優(yōu)先搜索(dfs)算法的路徑預(yù)測(cè)技術(shù)，自動(dòng)分析和計(jì)算網(wǎng)絡(luò)數(shù)據(jù)包從源節(jié)點(diǎn)到目的節(jié)點(diǎn)經(jīng)過(guò)的所有網(wǎng)絡(luò)設(shè)備，準(zhǔn)確地模擬數(shù)據(jù)包在不同路徑上的流轉(zhuǎn)情況，自動(dòng)識(shí)別nat策略配置需求；通過(guò)模擬五元組(源ip、目的ip、源端口、目的端口、協(xié)議)的變化，系統(tǒng)可以針對(duì)每個(gè)網(wǎng)絡(luò)設(shè)備，自動(dòng)識(shí)別數(shù)據(jù)包的變化，并計(jì)算所需的nat配置策略，減少了手動(dòng)配置中的錯(cuò)誤和復(fù)雜性，另外還提供了策略匯聚功能，自動(dòng)收集并展示多次nat中各個(gè)防火墻設(shè)備的策略配置，提供直觀的可視化界面，用戶可以輕松驗(yàn)證并下發(fā)配置，提升網(wǎng)絡(luò)管理效率。

38、2、通過(guò)路徑預(yù)測(cè)、數(shù)據(jù)包流轉(zhuǎn)模擬以及策略匯聚等自動(dòng)化功能，顯著提升了管理復(fù)雜網(wǎng)絡(luò)環(huán)境下的效率，減少了人工配置錯(cuò)誤，降低了維護(hù)成本，且大幅降低了網(wǎng)絡(luò)管理的技術(shù)門檻，即使對(duì)網(wǎng)絡(luò)知識(shí)不太熟悉的用戶，也能通過(guò)系統(tǒng)提供的可視化界面和自動(dòng)化配置功能，輕松完成nat管理任務(wù)。專業(yè)網(wǎng)絡(luò)管理員也可通過(guò)此系統(tǒng)減輕工作負(fù)擔(dān)，同時(shí)也提高系統(tǒng)靈活性與擴(kuò)展性：通過(guò)引入深度優(yōu)先搜索算法和動(dòng)態(tài)路由模擬技術(shù)，該系統(tǒng)可以輕松應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使得不同區(qū)域間的通信更加靈活，適應(yīng)性更強(qiáng)，擴(kuò)展性更好，適用于大型云環(huán)境下的多次nat管理需求。

39、基于網(wǎng)絡(luò)數(shù)據(jù)包流轉(zhuǎn)的自動(dòng)化多次nat實(shí)現(xiàn)系統(tǒng)，執(zhí)行于上述的自動(dòng)化多次nat實(shí)現(xiàn)方法，所述自動(dòng)化多次nat實(shí)現(xiàn)系統(tǒng)包括：

40、預(yù)測(cè)模塊，用于獲取源節(jié)點(diǎn)的請(qǐng)求目的以及路由；

41、拓?fù)渖赡K，用于根據(jù)請(qǐng)求目的以及路由在云拓?fù)渲薪?jīng)過(guò)一次或多次轉(zhuǎn)發(fā)最終到達(dá)目的地址，以生成訪問線路路徑拓?fù)洌?/p>

42、dfs尋路模塊，用于源節(jié)點(diǎn)開始使用深度優(yōu)先搜索到目的節(jié)點(diǎn)之間的所有路徑，對(duì)數(shù)據(jù)包從源節(jié)點(diǎn)開始，模擬從每一條路徑上到目的節(jié)點(diǎn)之間路由是否可達(dá)；

43、流轉(zhuǎn)模塊，用于對(duì)nat以及policy的處理判斷是否有匹配的static?nat，如果沒有再判斷是否有匹配的目的nat，然后再路由、策略、源nat依次計(jì)算，預(yù)定義nat?ip地址池以及進(jìn)入到該設(shè)備的數(shù)據(jù)包；

44、匯聚模塊，用于計(jì)算出鏈路上每個(gè)設(shè)備要開通策略可以使得不同網(wǎng)絡(luò)之間可以正常訪問，并同步實(shí)現(xiàn)數(shù)據(jù)匯聚。