[发明专利]NAT规则匹配方法、装置、电子设备及存储介质

说明书

本申请提供一种NAT规则匹配方法、装置、电子设备及存储介质，涉及计算机网络技术领域。所述方法包括：基于最长前缀匹配规则，确定规则前缀树中与报文的地址匹配的匹配节点，所述规则前缀树为以规则前缀表项中的前缀值作为叶子节点，以二进制形式按照由高位到低位的顺序构造的Patricia前缀树；将所述匹配节点下挂载的规则前缀表项和所述匹配节点的祖先节点下挂载的规则前缀表项作为匹配表项；基于所述匹配表项对应的NAT规则的匹配参数在所述匹配表项中确定目标表项，返回所述目标表项对应的NAT规则。该方法通过规则前缀树进行NAT规则匹配，提高了NAT规则匹配的效率。

技术领域

本申请涉及计算机网络技术领域，具体而言，涉及一种NAT规则匹配方法、装置、电子设备及存储介质。

背景技术

随着网络技术的发展，当前网络攻击越来越多，网络安全设备大量被开发出来并应用到实际的环境中。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信时，可使用NAT(NetworkAddress Translation,网络地址转换方法)规则，其作为常用的规则被大量的部署在网络中，NAT规则主要用来解决IPv4地址不足的问题，并提供一种隐藏私有网络IP地址的功能。所以在网络通信和安全网关上部署的数量比较大，随之而来的就是匹配效率问题。

现有的NAT规则匹配方式可以完成逐条匹配，但效率很差。在通信设备和安全网关设备中配置大量NAT规则的时候，设备性能下降明显，当NAT规则达到一定规模后，NAT规则匹配将成为网络设备的性能瓶颈。

发明内容

有鉴于此，本申请实施例的目的在于提供一种NAT规则匹配方法、装置、电子设备及存储介质，以改善现有技术中存在的NAT规则匹配效率较差的问题。

本申请实施例提供了一种NAT规则匹配方法，所述方法包括：基于最长前缀匹配规则，确定规则前缀树中与报文的地址匹配的匹配节点，所述规则前缀树为以规则前缀表项中的前缀值作为叶子节点，以二进制形式按照由高位到低位的顺序构造的Patricia前缀树；将所述匹配节点下挂载的规则前缀表项和所述匹配节点的祖先节点下挂载的规则前缀表项作为匹配表项；基于所述匹配表项对应的NAT规则的匹配参数在所述匹配表项中确定目标表项，返回所述目标表项对应的NAT规则。

在上述实现方式中，将NAT规则匹配与规则前缀树中的节点匹配相结合，可以有效的减少需要匹配的NAT规则数，降低NAT规则匹配对设备运算资源的消耗，提高了规则匹配效率，有效的解决设备中配置大量NAT规则的时候，设备性能下降问题。

可选地，所述规则前缀树包括源地址规则前缀树和目的地址规则前缀树，所述基于最长前缀匹配规则，确定规则前缀树中与报文的地址匹配的匹配节点，包括：基于最长前缀匹配规则，确定所述源地址规则前缀树中与报文的源地址匹配的匹配节点；基于最长前缀匹配规则，确定所述目的地址规则前缀树中与报文的目的地址匹配的匹配节点。

在上述实现方式中，在以二进制形式按照由高位到低位的顺序构造的Patricia前缀树中以最长前缀匹配规则进行报文的源地址与源地址规则前缀树的匹配，以及报文的目的地址与目的地址规则前缀树的匹配，能够基于前缀迅速确定报文匹配的树节点，从而有利于快速、准确地匹配NAT规则。

可选地，所述基于所述匹配表项对应的NAT规则的匹配参数在所述匹配表项中确定目标表项，包括：在所述匹配表项中存在与所述报文的所有匹配参数均匹配的目标匹配表项时，确定所述报文精确命中所述目标匹配表项，将所述目标匹配表项作为所述目标表项，返回所述目标表项对应的NAT规则，其中，所述目标匹配表项对应的NAT规则的匹配参数与所述报文相匹配；在所述匹配表项中不存在与所述报文的所有匹配参数均匹配的目标匹配表项时，返回空。

在上述实现方式中，在精确命中目标匹配表项时，所有优先级低于它的匹配表项，都无需再进行NAT规则匹配，提高了匹配效率。