[发明专利]一种多级网络地址转换下主机标识符的传递方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种多级网络地址转换下主机标识符的传递方法及装置。

背景技术

为了解决IPv4公网地址匮乏的问题，IETF(Internet Engineering Task Force，互联网工程任务组)提出了体质共享方案，即多个用户共享一个IPv4公网地址。该方案在解决地址匮乏的同时，同时也带来了不少问题，由于服务器需要使用源IPv4地址作为一个标签来识别一台主机，但是由于地址共享技术，例如NAT44，NAT64、DS-Lite等技术，使得服务器仅仅依靠IP地址很难唯一识别一台主机客户端，而导致出现了例如数据包的追踪问题，认证问题，黑名单用户等一系列的问题。

为了解决地址共享带来的问题，draft-wing-nat-reveal-option提出了HOST_ID(主机标识符)的方案，用来标识主机客户端，HOST_ID能够保持同一公网地址下的主机保持唯一性，服务器端可以通过HOST_ID与公网地址组合来识别客户端。实现HOST_ID主要有以下几种方案：

1.通过IP Option选项实现

定义一个新的IP选项，选项中包含用户的标签，地址共享设备在IP数据包中嵌入这个标签，使用这个标签能够区分共享某个地址的用户标签的内容可以包括用户的本地IPv4地址等信息。

2.通过TCP Option选项实现

定义一个新的TCP选项，HOST_ID，包含TCP用户的16位标识符。地址共享设备，例如NAT(Network Address Translation，网络地址转换)设备将会添加这个选项到TCP SYN(初始数据包)包中，服务器通过此选项以及源地址来识别用户。

3.通过IP首部的Identification字段实现

使用IP首部现有的Identification字段，设置信息用来区分共享某个IPv4地址的主机。主要为地址共享设备(例如NAT)接收到IP数据包时，重新设置这个Identification的值。

4.通过Application Header实现

在存在地址共享的情况下，在应用层的有效荷载上携带用来识别主机所需的信息。携带的信息的格式与具体的应用程序有关，例如，对于HTTP协议，当存在地址共享策略时，可以使用X-Forwarded-For(XFF)头携带原始IP地址。运行地址共享策略的设备(NAT)收到数据包时，如数据包中存在XFF头，则剥离原先的XFF头，封装这个XFF头到新的XFF头中插入到数据包中，然后发送，服务器可以根据XFF头中所包含的信息，可以得到原始客户端的地址，并进行相关的操作，如设置黑名单等。

5.通过端口设置实现

在端口设置(Port Set)方案中，地址共享设备不需要嵌入任何主机标识信息，主要通过一个算法(可以是任何端口选择算法)产生一组端口集，这组端口集中也包含收到数据包的源端口，端口集的长度由服务器设置。

6.通过HIP实现

客户端与服务器进行通信时，通过HIP(Host Identity Protocol，主机标识协议)来传递HOST_ID信息，地址共享设备对HIP的信息进行转发，实现服务器对主机的识别。

以上几种HOST_ID的实现方案，主要解决了在单级NAT的情况下，由NAT设备添加主机标识符，同时将这个标识符传递到服务器，服务器利用收到的数据包的源地址和这个主机标识符唯一的识别客户端。但是，当传输路径上存在多级NAT时(例如NAT444)，按现有方法由NAT设备进行HOST_ID的添加，当经过最后一个NAT时，会导致初始的源HOST_ID丢失等问题，具体将导致如下问题：

1.如果只在第一个NAT设备做添加HOST_ID的工作，后续NAT设备对此标识符进行透传，由于NAT设备添加的HOST_ID只能保证在当前的NAT设备下唯一，因此经过多个NAT到达服务器时，这些HOST_ID可能出现重复相同的情况，导致服务器无法有效地区分主机客户端；

2.如果NAT设备通过收到数据包的特征值(源IP，内部端口值，VLANID、Prefix6前缀)等构造HOST_ID进行添加时，则当经过多个NAT设备时，其填充的HOST_ID的值已经不能真正代表了客户端(例如只表示了上一级NAT设备)，或者说源HOST_ID的值已经丢失，从而服务器根据这些客户端进行的策略操作(如黑名单操作)时，会造成失败或误伤。