一种转发报文的方法，装置和系统.pdf

摘要
申请专利号：	CN201110028650.3	申请日：	2011.01.26
公开号：	CN102624935A	公开日：	2012.08.01
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04L 29/12申请公布日:20120801\|\|\|实质审查的生效IPC(主分类):H04L 29/12申请日:20110126\|\|\|公开
IPC分类号：	H04L29/12; H04L12/56	主分类号：	H04L29/12
申请人：	华为技术有限公司
发明人：	黄敬; 查敏
地址：	518129 广东省深圳市龙岗区坂田华为基地总部办公楼
优先权：
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

本发明实施例公开了一种转发报文的方法，装置和系统。所述方法包括：网络地址转换设备接收来自用户终端的互联网协议IP报文；对所述IP报文进行网络地址转换；在所述IP报文中插入标识用户的信息；发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。采用本发明实施例提供的技术方案，可以解决现有技术中通过查询日志文件进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。

权利要求书

1：一种转发报文的方法，其特征在于，包括：网络地址转换设备接收来自用户终端的互联网协议 IP 报文；对所述 IP 报文进行网络地址转换；在转换后的 IP 报文中插入标识用户的信息；发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。2：根据权利要求 1 所述的方法，其特征在于，所述标识用户的信息包括所述用户终端的 IP 地址和 / 或所述用户终端到所述网络地址转换设备的隧道标识。3：根据权利要求 2 所述的方法，其特征在于，所述标识用户的信息还包括所述网络地址转换设备的设备标识。4：根据权利要求 2 或 3 所述的方法，其特征在于，当所述标识用户的信息包含所述用户终端到所述网络地址转换设备的隧道标识时，所述隧道标识包括 IPv6 地址，虚拟专用网 VPN 标识，通用路由封装协议 GRE 关键字，点对点隧道协议 PPTP 隧道标识，第二层隧道协议 L2TP 隧道标识，因特网协议安全 IPSec 隧道标识或 IPv6 流标签。5：一种转发报文的装置，其特征在于，包括：接收模块，用于网络地址转换设备接收来自用户终端的互联网协议 IP 报文；转换模块，用于对所述 IP 报文进行网络地址转换；插入模块，用于在转换后的 IP 报文中插入标识用户的信息；发送模块，用于发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。6：根据权利要求 5 所述的装置，其特征在于，所述标识用户的信息包括所述用户终端的 IP 地址和 / 或所述用户终端到所述网络地址转换设备的隧道标识。7：根据权利要求 6 所述的装置，其特征在于，所述标识用户的信息还包括所述网络地址转换设备的设备标识。8：根据权利要求 6 或 7 所述的装置，其特征在于，当所述标识用户的信息包含所述用户终端的 IP 地址和 / 或所述用户终端到所述网络地址转换设备的隧道标识时，所述隧道标识包括 IPv4-in-IPv6 隧道标识，虚拟专用网 VPN 隧道标识，通用路由封装 GRE 隧道标识， PPTP 隧道标识， L2TP 隧道标识或 IPsec 隧道标识或 IPv6 流标签。9：一种转发报文的系统，其特征在于，包括：网络地址转换设备，用于接收来自用户终端的 IP 报文，对所述 IP 报文进行网络地址转换，在转换后的 IP 报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的 IP 报文；接收设备，用于接收所述插入了所述标识用户的信息的 IP 报文，并根据所述标识用户的信息识别所述用户终端。

说明书

一种转发报文的方法，装置和系统
    【技术领域】
     本发明涉及网络通信领域，尤其涉及一种转发报文的方法，装置和系统。背景技术在 IPv4(Intemet Protocol version 4，第四版互联网协议 ) 地址即将耗尽， IPv4 向 IPv6(Intemet Protocol version 6，第六版互联网协议 ) 过渡的阶段，由于 IPv6 尚未大规模应用，短时间内还无法解决地址短缺问题；为了解决地址短缺问题，运营商需要部署 CGN(Carrier GradeNAT，运营商级网络地址转换 ) 设备来复用公网 IPv4 地址 ( 以下简称 IP 地址 )。但是在部署 CGN 之后，很多用户经过 NAT(Network AddressTranslation，网络地址转换 ) 后共享一个公网 IP 地址，根据公网 IP 地址将无法找到具体用户，因此给一些应用带来问题。例如有的国家法规要求运营商支持用户溯源以打击网络犯罪；有些需要根据 IP 地址来区分用户的应用，例如用户行为分析、应用服务器根据 IP 地址来限制用户的并发下载线程数量、或者根据 IP 地址来禁止一些不停乱发文章的用户。这样一来，就需要通过用户识别和用户溯源来正确区分用户。
     现有部署 CGN 的网络中， CGN 会生成日志文件，日志记录用户内网侧信息 ( 例如私网 IP 地址 / 端口 ) 与外网侧信息 ( 例如公网 IP 地址 / 端口 ) 的对应关系，以及时间戳，协议类型等信息；日志文件可以存储在本地，也可以存放到专用的日志服务器上。然后可以通过用户公网 IP 地址及端口号等信息，查询日志文件获得用户进一步的信息，例如私网 IP 地址等，从而识别用户，然后还可以根据私网 IP 地址等信息向 AAA(Authentication Authorization Accounting，认证授权计费 ) 服务器查询并获取用户的详细信息。在有多级 CGN 的情况下，需要查询每一级 CGN 日志文件才能最终获得用户信息，网络更加复杂。另一方面，出于用户信息保密及安全等原因，运营商的日志文件一般只向运营商自身内部或者执法机构开放，不向其他运营商或网站开放，例如下载网站是无法访问运营商的日志文件获取用户信息的，从而无法区分用户。
     发明内容
     本发明实施例提供了一种转发报文的方法，装置和系统，以解决现有技术中通过访问 CGN 日志服务器进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。
     为解决上述技术问题，本发明实施例提供了一种转发报文的方法，包括：
     网络地址转换设备接收来自用户终端的互联网协议 IP 报文；
     对所述 IP 报文进行网络地址转换；
     在转换后的 IP 报文中插入标识用户的信息；
     发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。
     本发明实施例提供了一种转发报文的装置，包括：
     接收模块，用于网络地址转换设备接收来自用户终端的互联网协议 IP 报文；转换模块，用于对所述 IP 报文进行网络地址转换；
     插入模块，用于在转换后的 IP 报文中插入标识用户的信息；
     发送模块，用于发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。
     本发明实施例提供了一种转发报文的系统，其特征在于，包括：
     网络地址转换设备，用于接收来自用户终端的 IP 报文，对所述 IP 报文进行网络地址转换，在转换后的 IP 报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的 IP 报文；
     接收设备，用于接收所述插入了所述标识用户的信息的 IP 报文，并根据所述标识用户的信息识别所述用户终端。
     本发明实施例具有以下优点：
     在本发明实施例中，网络地址转换设备通过在用户 IP 报文中携带标识用户的信息，接收设备例如某网站 / 论坛服务器，可以根据收到的所述 IP 报文中标识用户的信息进行用户识别和溯源。可以看出，因为所述 IP 报文中携带了标识用户的信息，可以使得在不增加网络复杂度和日志服务器负载的情况下，能够依据所述标识用户的信息实时识别用户，进而可以获取用户详细信息，实现用户溯源。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
     图 1 是本发明实施例提供的一种转发报文的方法流程图；
     图 2 是本发明实施例提供的一种转发报文的装置框图；
     图 3 是本发明实施例提供的一种转发报文的系统框图；
     具体实施方式
     下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
     本发明实施例提供了一种转发报文的方法，包括：网络地址转换设备接收来自用户终端的互联网协议 IP 报文，在所述 IP 报文中插入标识用户的信息；向网络发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。采用本发明实施例提供的技术方案，可以解决现有技术中通过访问 CGN 日志服务器进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。
     为使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。
     参见图 1，是本发明实施例提供的一种转发报文的方法流程图，具体步骤如下：步骤 101 ：网络地址转换设备接收来自用户终端的互联网协议 IP 报文。所述网络地址转换设备可以是 CGN 设备。步骤 102 ：对所述 IP 报文进行网络地址转换。步骤 103 ：在转换后的 IP 报文中插入标识用户的信息；所述标识用户的信息是可以识别一个 CGN 下用户的标识，通常是用户终端的 IPv4地址。但是某些场景下，连接到同一个 CGN 的用户终端可能有相同的 IPv4 地址，此时需要使用其他信息，如用户终端到 CGN 设备的隧道标识包括 IPv6 地址，虚拟专用网 VPN 标识，通用路由封装 GRE 关键字， PPTP 隧道标识， L2TP 隧道标识， IPSec 隧道标识或 IPv6 flow label(IPv6 流标签 ) 等来区分用户。例如轻型双栈 DS-Lite 方案中，多个家庭网关接入一个 CGN，一个家庭网关下又有多个用户，而所有家庭网关都使用 192.0.0.0/29 网段中除 192.0.0.0 和 192.0.0.1 外的地址给用户分配 IPv4 地址，这样一来，一个 CGN 下很多用户的 IPv4 地址都是相同的；若用户直接与 CGN 建立隧道，例如 IPv4-in-IPv6 隧道，此时，通过隧道标识 IPv6 地址就可以识别该用户；若用户通过家庭网关与 CGN 建立隧道，此时就需要结合用户的 IPv4 地址和隧道标识来识别一个 CGN 该用户。
     此外，还有某些场景下，用户需要经过多个 CGN 设备才能访问某网站；一种方式是，每一级 CGN 设备都对用户的 IP 报文进行 NAT 转换，并在转换后的 IP 报文中插入标识用户的信息 (NAT 转换前的 IP 地址 )，当该网站收到经过多级 CGN 设备 NAT 转换后的最终的 IP 报文时，需要根据该最终的 IP 报文的源 IP 地址和其中携带的标识用户的信息来识别该用户；另一种方式是，每一级 CGN 设备都对用户的 IP 报文进行 NAT 转换，但是仅第一级 CGN 设备在转换后的 IP 报文中插入标识用户的信息 ( 用户的 IP 地址和第一级 CGN 设备的标识，如可以唯一标识该 CGN 设备的公网 IPv4 地址或域名等 )，当该网站收到最终的 IP 报文时，根据该最终的 IP 报文中携带的标识用户的信息就可以识别该用户。
     步骤 104 ：发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。
     实施例 1
     以用户终端的 IP 报文经过一级 CGN 设备，用户终端的 IPv4 地址可以标识该用户的场景为例。一个 CGN 设备， CGN1 下有两个用户 User1(IPv4 地址为 ip1) 和 User2(IPv4 地址为 ip2) 访问互联网某网站，根据本发明实施例，过程如下：
     CGN1 收到来自 User1 和 User2 的 IP 报文，源 IP 地址分别为 ip1 和 ip2 ；
     CGN1 对 IP 报文进行 NAT 转换，转换后 IP 报文的源 IP 地址均为 CGN1 的一个 IPv4 地址；
     CGN1 在来自 User1 的 IP 报文中插入标识 User1 的信息 ip1，在来自 User2 的 IP 报文中插入标识 User2 的信息 ip2 ；
     CGN1 重新封装并发送来自 User1 和 User2 的经过 NAT 转换并插入了标识用户的信息的 IP 报文；当该网站收到来自 CGN1 的 IP 报文后，根据报文中携带的标识用户的信息分别是 ip1 和 ip2，就可以区分 User1 和 User2。需要时，该网站可以识别出 User1 并根据需要采取措施，如限制或禁止 User1 访问该网站，或者根据标识 User1 的信息 ip1 查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1 的详细信息，实现用户溯源。
     实施例 2
     以用户终端的 IP 报文经过一级 CGN，用户终端的 IPv4 地址不能唯一标识一个 CGN 下用户的场景为例。例如，一个 CGN 设备 CGN1 下有多个家庭网关 CPE1、 CPE2 等，一个家庭网关下有多个用户终端，如 CPE1 下有 User1(IPv4 地址为 ip1)、 User2(IPv4 地址为 ip2) 等， CPE2 下有 User5(IPv4 地址为 ip1)、 User6(IPv4 地址为 ip3) 等。假设 CPE1 和 CPE2 不做 NAT 转换， CPE1 与 CGN1 间建立 IPv6 隧道，隧道标识为 IPv6-1，通过 IPv6 隧道封装用户终端的 IP 报文； CPE2 与 CGN1 间建立 IPv6 隧道，隧道标识为 IPv6-2，通过 IPv6 隧道封装用户终端的 IP 报文。用户 User1， User2 和 User5 访问互联网某网站，根据本发明实施例，过程如下：
     CGN1 收到来自 CPE1 和 CPE2 的 IPv6 隧道报文，并对 IPv6 隧道报文进行解封装；解封装后，来自 User1， User2 和 User5 的 IP 报文的源 IP 地址分别是 ip1， ip2， ip1 ；
     CGN1 对 IP 报文进行 NAT 转换，转换后，来自 User1， User2 和 User5 的 IP 报文的源 IP 地址均为 CGN1 的一个 IPv4 地址；
     CGN1 在来自 User1 的 IP 报文中插入标识 User1 的信息 IPv6-1 和 ip1，在来自 User2 的 IP 报文中插入标识 User2 的信息 IPv6-1 和 ip2，在来自 User5 的 IP 报文中插入标识 User5 的信息 IPv6-2 和 ip1 ；
     CGN1 重新封装来自 User1， User2 和 User5 的 IP 报文，发送插入了标识用户的信息的 IP 报文；当该网站收到来自 CGN1 的 IP 报文后，根据报文中携带的标识用户的信息分别是 IPv6-1 和 ip1， IPv6-1 和 ip2， IPv6-2 和 ip1，就可以区分 User1， User2 和 User5。需要时，可以根据标识 User1， User2 和 User5 的信息查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1， User2 和 User5 的详细信息，实现用户溯源。
     实施例 3
     以用户终端的 IP 报文经过多级 CGN 设备，用户终端的 IPv4 地址可以标识一个 CGN 下用户，各级 CGN 都在所述 IP 报文中插入标识用户的信息为例。例如用户 User1(IPv4 地址为 ip1) 访问互联网某网站，用户终端的 IP 报文要经过两级 CGN 设备，依次是 CGN1 和 CGN2，根据本发明实施例，过程如下：
     CGN1 接收来自 User1 的 IP 报文，所述 IP 报文的源 IP 地址为 ip1， CGN1 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip2，并在所述 IP 报文中插入 ip1，然后重新封装所述 IP 报文，并发送所述源 IP 地址为 ip2、携带了 ip1 的 IP 报文； CGN2 接收来自 CGN1 的 IP 报文，对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip3，并在所述 IP 报文中插入 ip2，然后重新封装所述 IP 报文，并发送所述源 IP 地址为 ip3、携带了标识 User1 的信息 ip1 和 ip2 的 IP 报文；最后，该网站收到所述 IP 报文，根据所述 IP 报文的源 IP 地址 ip3，标识 User1 的信息 ip1 和 ip2，就可以识别 User1。需要时，根据标识 User1 的信息查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1 的详细信息，可以实现用户溯源。
     实施例 4
     以用户终端的 IP 报文经过多级 CGN 设备，用户终端的 IPv4 地址可以标识一个 CGN 下用户，仅第一级 CGN 在所述 IP 报文中插入标识用户的信息 ( 包括该用户终端的 IPv4 地址和第一级 CGN 设备的标识 ) 为例。例如， CGN1( 标识为 IPn1) 下用户 User1(IPv4 地址为 ip0) 和 CGN2( 标识为 IPn2) 下用户 User2(IPv4 地址为 ip0) 访问互联网某网站， User1 的IP 报文要经过二级 CGN 设备，依次是 CGN1 和 CGN3， User2 的 IP 报文要经过二级 CGN 设备，依次是 CGN2 和 CGN3，根据本发明实施例，过程如下：
     CGN1 接收来自 User1 的 IP 报文，所述 IP 报文的源 IP 地址为 ip0， CGN1 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip1，并在所述 IP 报文中插入标识 User1 的信息 ip0 和 IPn1，然后重新封装所述 IP 报文，并发送所述源 IP 地址为 ip1、携带了 ip0 和 IPn1 的 IP 报文； CGN2 接收来自 User2 的 IP 报文，所述 IP 报文的源 IP 地址为 ip0， CGN2 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip2，并在所述 IP 报文中插入标识 User2 的信息 ip0 和 IPn2，然后重新封装所述 IP 报文，并发送所述源 IP 地址为 ip2、携带了 ip0 和 IPn2 的 IP 报文； CGN3 接收来自 CGN1 和 CGN2 的 IP 报文，对来自 CGN1 的 IP 报文进行 NAT 转换，转换后源 IP 地址是 ip3，对来自 CGN2 的 IP 报文进行 NAT 转换，转换后源 IP 地址也是 ip3 ； CGN3 重新封装并发送所述转换后的 IP 报文；最后，该网站收到来自 CGN3 的 IP 报文，根据所述 IP 报文的标识用户的信息分别为 ip0 和 IPn1， ip0 和 IPn2 就可以识别 User1 和 User2。需要时，根据标识用户的信息查询用户信息服务器 ( 例如 AAA 服务器 )，获取用户详细信息，可以实现用户溯源。
     参见图 2，是本发明实施例提供的一种转发报文的装置框图，该装置具体包括接收模块 201，转换模块 202，插入模块 203 和发送模块 204。其中：接收模块 201，用于网络地址转换设备接收来自用户终端的 IP 报文；
     所述网络地址转换设备可以是 CGN 设备。
     转换模块 202，用于对所述 IP 报文进行网络地址转换；
     插入模块 203，用于在转换后的 IP 报文中标识用户的信息；
     所述标识用户的信息是可以识别一个 CGN 下用户的标识，通常是用户终端的 IPv4 地址；但是某些场景下，连接到同一个 CGN 的用户终端可能有相同的 IPv4 地址，此时需要使用其他信息，如所述用户终端到 CGN 的隧道标识 IPv6 地址，虚拟专用网 VPN 标识，通用路由封装 GRE 关键字， PPTP 隧道标识， L2TP 隧道标识， IPSec 隧道标识或 IPv6 flow label(IPv6 流标签 ) 等来区分用户；还有某些场景下，用户需要经过多个 CGN 设备才能访问某网站；若每一级 CGN 设备都在 NAT 转换后的 IP 报文中插入标识用户的信息时，需要根据最终的 IP 报文的源 IP 地址和其中标识用户的信息来识别该用户；若仅仅第一级 CGN 设备在 NAT 转换后的 IP 报文中插入标识用户的信息 ( 该用户的 IP 地址和第一级 CGN 设备的标识 )，只需根据最终的 IP 报文中携带的标识用户的信息就可以识别该用户。
     发送模块 204，用于发送所述插入了所述标识用户的信息的 IP 报文，以使接收到所述 IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。
     实施例 5
     以用户终端的 IP 报文经过一级 CGN 设备，用户终端的 IPv4 地址可以标识该用户的场景为例。一个 CGN 设备， CGN1 下有两个用户 User1(IPv4 地址为 ip1) 和 User2(IPv4 地址为 ip2) 访问互联网某网站，根据本发明实施例，过程如下：
     接收模块 201 收到来自 User1 和 User2 的 IP 报文，源 IP 地址分别为 ip1 和 ip2 ；
     转换模块 202 对 IP 报文进行 NAT 转换，转换后 IP 报文的源 IP 地址均为 CGN1 的一个 IPv4 地址；
     插入模块 203 在来自 User1 的 IP 报文中插入标识 User1 的信息 ip1，在来自 User2
     的 IP 报文中插入标识 User2 的信息 ip2 ；
     CGN1 重新封装来自 User1 和 User2 的经过 NAT 转换并插入了标识用户的信息的 IP 报文，然后发送模块 204 发送所述 IP 报文；当该网站收到来自 CGN1 的 IP 报文后，根据报文中携带的标识用户的信息分别是 ip1 和 ip2，就可以区分 User1 和 User2。需要时，根据标识 User1 的信息 ip1 查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1 的详细信息，实现用户溯源。
     实施例 6
     以用户终端的 IP 报文经过一级 CGN，用户终端的 IPv4 地址不能唯一标识一个 CGN 下用户的场景为例。例如，一个 CGN 设备 CGN1 下有多个家庭网关 CPE1、 CPE2 等，一个家庭网关下有多个用户终端，如 CPE1 下有 User1(IPv4 地址为 ip1)、 User2(IPv4 地址为 ip2) 等， CPE2 下有 User5(IPv4 地址为 ip1)、 User6(IPv4 地址为 ip3) 等；假设 CPE1 和 CPE2 不做 NAT 转换， CPE1 与 CGN1 间建立 IPv6 隧道，隧道标识为 IPv6-1，通过 IPv6 隧道封装用户终端的 IP 报文； CPE2 与 CGN1 间建立 IPv6 隧道，隧道标识为 IPv6-2，通过 IPv6 隧道封装用户终端的 IP 报文。用户 User1， User2 和 User5 访问互联网某网站，根据本发明实施例，过程如下：接收模块 201 收到来自 CPE1 和 CPE2 的 IPv6 隧道报文， CGN1 对 IPv6 隧道报文进行解封装；解封装后，来自 User1， User2 和 User5 的 IP 报文的源 IP 地址分别是 ip1， ip2 和 ip1 ；
     转换模块 202 对 IP 报文进行 NAT 转换，转换后来自 User 1， User2 和 User5 的 IP 报文的源 IP 地址均为 CGN1 的一个 IPv4 地址；
     插入模块 203 在来自 User1 的 IP 报文中插入标识 User1 的信息 IPv6-1 和 ip1，在来自 User2 的 IP 报文中插入标识 User2 的信息 IPv6-1 和 ip2，在来自 User5 的 IP 报文中插入标识 User5 的信息 IPv6-2 和 ip1 ；
     CGN1 重新封装来自 User1， User2 和 User5 的 IP 报文，发送模块 204 发送插入了标识用户的信息的 IP 报文；当该网站收到来自 CGN1 的 IP 报文后，根据报文中携带的标识用户的信息分别是 IPv6-1 和 ip1， IPv6-1 和 ip2， IPv6-2 和 ip1，就可以区分 User1， User2 和 User5。需要时，可以根据标识 User1， User2 和 User5 的信息的查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1， User2 和 User5 的详细信息，可以实现用户溯源。
     实施例 7
     以用户终端的 IP 报文经过多级 CGN 设备，用户终端的 IPv4 地址可以标识一个 CGN 下用户，各级 CGN 都在所述 IP 报文中插入标识用户的信息为例。例如用户 User1(IPv4 地址为 ip1) 访问互联网某网站，用户终端的 IP 报文要经过两级 CGN 设备，依次是 CGN1 和 CGN2，根据本发明实施例，过程如下：
     CGN1 的接收模块 201 接收来自 User1 的 IP 报文，所述 IP 报文的源 IP 地址为 ip1， CGN1 的转换模块 202 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip2， CGN1 的插入模块 203 在所述 IP 报文中插入 ip1，然后 CGN1 重新封装所述 IP 报文， CGN1 的发送模块 204 发送所述源 IP 地址为 ip2、携带了 ip1 的 IP 报文； CGN2 的接收模块 201 接收来自 CGN1 的所述 IP 报文， CGN2 的转换模块 202 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip3， CGN1 的插入模块 203 在所述 IP 报文中插入 ip2，然后 CGN2 重新封装所述 IP 报文， CGN2 的
     发送模块 204 发送所述源 IP 地址为 ip3、携带了 ip1 和 ip2 的 IP 报文；最后，该网站收到来自 CGN2 的所述 IP 报文，根据所述 IP 报文的源 IP 地址 ip3，标识 User1 的信息 ip1 和 ip2，就可以识别 User1。需要时，根据标识 User1 的信息查询用户信息服务器 ( 例如 AAA 服务器 )，获取 User1 的详细信息，可以实现用户溯源。
     实施例 8
     以用户终端的 IP 报文经过多级 CGN 设备，用户终端的 IPv4 地址可以标识一个 CGN 下用户，仅第一级 CGN 设备在所述 IP 报文中插入标识用户的信息 ( 包括该用户终端的 IPv4 地址和第一级 CGN 设备的标识 ) 为例。例如， CGN1( 标识为 IPn1) 下用户 User1(IPv4 地址为 ip0) 和 CGN2( 标识为 IPn2) 下用户 User2(IPv4 地址为 ip0) 访问互联网某网站， User1 的 IP 报文要经过二级 CGN 设备，依次是 CGN1 和 CGN3， User2 的 IP 报文要经过二级 CGN 设备，依次是 CGN2 和 CGN3，根据本发明实施例，过程如下：
     CGN1 的接收模块 201 接收来自 User1 的 IP 报文，所述 IP 报文的源 IP 地址为 ip0， CGN1 的转换模块 202 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip1， CGN1 的插入模块 203 在所述 IP 报文中插入标识 User1 的信息 ip0 和 IPn1， CGN1 重新封装所述 IP 报文， CGN1 的发送模块 204 发送所述源 IP 地址为 ip1、携带了 ip0 和 IPn1 的 IP 报文； CGN2 的接收模块 201 接收来自 User2 的 IP 报文，所述 IP 报文的源 IP 地址为 ip0， CGN2 的转换模块 202 对所述 IP 报文进行 NAT 转换，将源 IP 地址转换为 ip2， CGN2 的插入模块 203 在所述 IP 报文中插入标识 User2 的信息 ip0 和 IPn2， CGN2 重新封装所述 IP 报文， CGN2 的发送模块 204 发送所述源 IP 地址为 ip2、携带了 ip0 和 IPn2 的 IP 报文； CGN3 接收来自 CGN1 和 CGN2 的 IP 报文，对来自 CGN1 的 IP 报文进行 NAT 转换，转换后源 IP 地址是 ip3，对来自 CGN2 的 IP 报文进行 NAT 转换，转换后源 IP 地址也是 ip3 ； CGN3 重新封装并发送所述转换后的 IP 报文；最后，该网站收到来自 CGN3 的 IP 报文，根据所述 IP 报文中标识用户的信息分别为 ip0 和 IPn1， ip0 和 IPn2 就可以识别 User1 和 User2。需要时，根据标识用户的信息查询用户信息服务器 ( 例如 AAA 服务器 )，获取用户详细信息，可以实现用户溯源。
     参见图 3，是本发明实施例提供的一种转发报文的系统框图，其中包括：
     网络地址转换设备 301，用于接收来自用户终端的 IP 报文，对所述 IP 报文进行网络地址转换，在转换后的 IP 报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的 IP 报文；
     接收设备 302，用于接收所述插入了所述标识用户的信息的 IP 报文，并根据所述标识用户的信息识别所述用户终端。
     采用本发明实施例提供的技术方案，由于通过在 IP 报文中携带了标识用户的信息，可以实时用户溯源和识别用户，解决现有技术中通过查询日志文件进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。
     本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质可以是 ROM/RAM，磁盘或光盘等。
     以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

资源描述

《一种转发报文的方法，装置和系统.pdf》由会员分享，可在线阅读，更多相关《一种转发报文的方法，装置和系统.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102624935 A (43)申请公布日 2012.08.01 C N 1 0 2 6 2 4 9 3 5 A *CN102624935A* (21)申请号 201110028650.3 (22)申请日 2011.01.26 H04L 29/12(2006.01) H04L 12/56(2006.01) (71)申请人华为技术有限公司地址 518129 广东省深圳市龙岗区坂田华为基地总部办公楼 (72)发明人黄敬查敏 (54) 发明名称一种转发报文的方法，装置和系统 (57) 摘要本发明实施例公开了一种转发报文的方法，装置和系统。所述方法包括：网络地址转。

2、换设备接收来自用户终端的互联网协议IP报文；对所述 IP报文进行网络地址转换；在所述IP报文中插入标识用户的信息；发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。采用本发明实施例提供的技术方案，可以解决现有技术中通过查询日志文件进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。 (51)Int.Cl. 权利要求书1页说明书7页附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 7 页附图 1 页 1/1页 2 1.一种转发报文的方法，其特征在于，包括：网。

3、络地址转换设备接收来自用户终端的互联网协议IP报文；对所述IP报文进行网络地址转换；在转换后的IP报文中插入标识用户的信息；发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。 2.根据权利要求1所述的方法，其特征在于，所述标识用户的信息包括所述用户终端的IP地址和/或所述用户终端到所述网络地址转换设备的隧道标识。 3.根据权利要求2所述的方法，其特征在于，所述标识用户的信息还包括所述网络地址转换设备的设备标识。 4.根据权利要求2或3所述的方法，其特征在于，当所述标识用户的信息包含所述用户终端到所述网络地址转换设备。

4、的隧道标识时，所述隧道标识包括IPv6地址，虚拟专用网 VPN标识，通用路由封装协议GRE关键字，点对点隧道协议PPTP隧道标识，第二层隧道协议 L2TP隧道标识，因特网协议安全IPSec隧道标识或IPv6流标签。 5.一种转发报文的装置，其特征在于，包括：接收模块，用于网络地址转换设备接收来自用户终端的互联网协议IP报文；转换模块，用于对所述IP报文进行网络地址转换；插入模块，用于在转换后的IP报文中插入标识用户的信息；发送模块，用于发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP 报文的网络设备根据所述标识用户的信息识别所述用户终端。 6.根据权利要求5所述的装置，。

5、其特征在于，所述标识用户的信息包括所述用户终端的IP地址和/或所述用户终端到所述网络地址转换设备的隧道标识。 7.根据权利要求6所述的装置，其特征在于，所述标识用户的信息还包括所述网络地址转换设备的设备标识。 8.根据权利要求6或7所述的装置，其特征在于，当所述标识用户的信息包含所述用户终端的IP地址和/或所述用户终端到所述网络地址转换设备的隧道标识时，所述隧道标识包括IPv4-in-IPv6隧道标识，虚拟专用网VPN隧道标识，通用路由封装GRE隧道标识，PPTP 隧道标识，L2TP隧道标识或IPsec隧道标识或IPv6流标签。 9.一种转发报文的系统，其特征在于，包括：网络地址转换。

6、设备，用于接收来自用户终端的IP报文，对所述IP报文进行网络地址转换，在转换后的IP报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的 IP报文；接收设备，用于接收所述插入了所述标识用户的信息的IP报文，并根据所述标识用户的信息识别所述用户终端。权利要求书CN 102624935 A 1/7页 3 一种转发报文的方法，装置和系统技术领域 0001 本发明涉及网络通信领域，尤其涉及一种转发报文的方法，装置和系统。背景技术 0002 在IPv4(Intemet Protocol version 4，第四版互联网协议)地址即将耗尽，IPv4 向IPv6(Inteme。

7、t Protocol version 6，第六版互联网协议)过渡的阶段，由于IPv6尚未大规模应用，短时间内还无法解决地址短缺问题；为了解决地址短缺问题，运营商需要部署 CGN(Carrier GradeNAT，运营商级网络地址转换)设备来复用公网IPv4地址(以下简称IP 地址)。但是在部署CGN之后，很多用户经过NAT(Network AddressTranslation，网络地址转换)后共享一个公网IP地址，根据公网IP地址将无法找到具体用户，因此给一些应用带来问题。例如有的国家法规要求运营商支持用户溯源以打击网络犯罪；有些需要根据IP地址来区分用户的应用，例如用户行为分析、应用。

8、服务器根据IP地址来限制用户的并发下载线程数量、或者根据IP地址来禁止一些不停乱发文章的用户。这样一来，就需要通过用户识别和用户溯源来正确区分用户。 0003 现有部署CGN的网络中，CGN会生成日志文件，日志记录用户内网侧信息(例如私网IP地址/端口)与外网侧信息(例如公网IP地址/端口)的对应关系，以及时间戳，协议类型等信息；日志文件可以存储在本地，也可以存放到专用的日志服务器上。然后可以通过用户公网IP地址及端口号等信息，查询日志文件获得用户进一步的信息，例如私网IP地址等，从而识别用户，然后还可以根据私网IP地址等信息向AAA(Authentication Authoriz。

9、ation Accounting，认证授权计费)服务器查询并获取用户的详细信息。在有多级CGN的情况下，需要查询每一级CGN日志文件才能最终获得用户信息，网络更加复杂。另一方面，出于用户信息保密及安全等原因，运营商的日志文件一般只向运营商自身内部或者执法机构开放，不向其他运营商或网站开放，例如下载网站是无法访问运营商的日志文件获取用户信息的，从而无法区分用户。发明内容 0004 本发明实施例提供了一种转发报文的方法，装置和系统，以解决现有技术中通过访问CGN日志服务器进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。 0005 为解决上述技术问题，本发明实施例提供了一种转发报。

10、文的方法，包括： 0006 网络地址转换设备接收来自用户终端的互联网协议IP报文； 0007 对所述IP报文进行网络地址转换； 0008 在转换后的IP报文中插入标识用户的信息； 0009 发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。 0010 本发明实施例提供了一种转发报文的装置，包括： 0011 接收模块，用于网络地址转换设备接收来自用户终端的互联网协议IP报文；说明书CN 102624935 A 2/7页 4 0012 转换模块，用于对所述IP报文进行网络地址转换； 0013 插入模块，用于在转换后的IP报文。

11、中插入标识用户的信息； 0014 发送模块，用于发送所述插入了所述标识用户的信息的IP报文，以使接收到所述 IP报文的网络设备根据所述标识用户的信息识别所述用户终端。 0015 本发明实施例提供了一种转发报文的系统，其特征在于，包括： 0016 网络地址转换设备，用于接收来自用户终端的IP报文，对所述IP报文进行网络地址转换，在转换后的IP报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的IP报文； 0017 接收设备，用于接收所述插入了所述标识用户的信息的IP报文，并根据所述标识用户的信息识别所述用户终端。 0018 本发明实施例具有以下优点： 0019 在本发明实施例中，。

12、网络地址转换设备通过在用户IP报文中携带标识用户的信息，接收设备例如某网站/论坛服务器，可以根据收到的所述IP报文中标识用户的信息进行用户识别和溯源。可以看出，因为所述IP报文中携带了标识用户的信息，可以使得在不增加网络复杂度和日志服务器负载的情况下，能够依据所述标识用户的信息实时识别用户，进而可以获取用户详细信息，实现用户溯源。附图说明 0020 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根。

13、据这些附图获得其他的附图。 0021 图1是本发明实施例提供的一种转发报文的方法流程图； 0022 图2是本发明实施例提供的一种转发报文的装置框图； 0023 图3是本发明实施例提供的一种转发报文的系统框图；具体实施方式 0024 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 0025 本发明实施例提供了一种转发报文的方法，包括：网络地址转换设备接收来自用户终端的互联网。

14、协议IP报文，在所述IP报文中插入标识用户的信息；向网络发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。采用本发明实施例提供的技术方案，可以解决现有技术中通过访问CGN日志服务器进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。 0026 为使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。 0027 参见图1，是本发明实施例提供的一种转发报文的方法流程图，具体步骤如下：说明书CN 102624935 A 3/7页 5 0028 步骤101：网。

15、络地址转换设备接收来自用户终端的互联网协议IP报文。 0029 所述网络地址转换设备可以是CGN设备。 0030 步骤102：对所述IP报文进行网络地址转换。 0031 步骤103：在转换后的IP报文中插入标识用户的信息； 0032 所述标识用户的信息是可以识别一个CGN下用户的标识，通常是用户终端的IPv4 地址。 0033 但是某些场景下，连接到同一个CGN的用户终端可能有相同的IPv4地址，此时需要使用其他信息，如用户终端到CGN设备的隧道标识包括IPv6地址，虚拟专用网VPN标识，通用路由封装GRE关键字，PPTP隧道标识，L2TP隧道标识，IPSec隧道标识或IPv6 flow 。

16、label(IPv6流标签)等来区分用户。例如轻型双栈DS-Lite方案中，多个家庭网关接入一个CGN，一个家庭网关下又有多个用户，而所有家庭网关都使用192.0.0.0/29网段中除 192.0.0.0和192.0.0.1外的地址给用户分配IPv4地址，这样一来，一个CGN下很多用户的 IPv4地址都是相同的；若用户直接与CGN建立隧道，例如IPv4-in-IPv6隧道，此时，通过隧道标识IPv6地址就可以识别该用户；若用户通过家庭网关与CGN建立隧道，此时就需要结合用户的IPv4地址和隧道标识来识别一个CGN该用户。 0034 此外，还有某些场景下，用户需要经过多个CGN设备才能访问。

17、某网站；一种方式是，每一级CGN设备都对用户的IP报文进行NAT转换，并在转换后的IP报文中插入标识用户的信息(NAT转换前的IP地址)，当该网站收到经过多级CGN设备NAT转换后的最终的IP 报文时，需要根据该最终的IP报文的源IP地址和其中携带的标识用户的信息来识别该用户；另一种方式是，每一级CGN设备都对用户的IP报文进行NAT转换，但是仅第一级CGN设备在转换后的IP报文中插入标识用户的信息(用户的IP地址和第一级CGN设备的标识，如可以唯一标识该CGN设备的公网IPv4地址或域名等)，当该网站收到最终的IP报文时，根据该最终的IP报文中携带的标识用户的信息就可以识别该用户。

18、。 0035 步骤104：发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。 0036 实施例1 0037 以用户终端的IP报文经过一级CGN设备，用户终端的IPv4地址可以标识该用户的场景为例。一个CGN设备，CGN1下有两个用户User1(IPv4地址为ip1)和User2(IPv4地址为ip2)访问互联网某网站，根据本发明实施例，过程如下： 0038 CGN1收到来自User1和User2的IP报文，源IP地址分别为ip1和ip2； 0039 CGN1对IP报文进行NAT转换，转换后IP报文的源IP地址均为CGN1的。

19、一个IPv4 地址； 0040 CGN1在来自User1的IP报文中插入标识User1的信息ip1，在来自User2的IP 报文中插入标识User2的信息ip2； 0041 CGN1重新封装并发送来自User1和User2的经过NAT转换并插入了标识用户的信息的IP报文；当该网站收到来自CGN1的IP报文后，根据报文中携带的标识用户的信息分别是ip1和ip2，就可以区分User1和User2。需要时，该网站可以识别出User1并根据需要采取措施，如限制或禁止User1访问该网站，或者根据标识User1的信息ip1查询用户信息服务器(例如AAA服务器)，获取User1的详细信息，实现用户。

20、溯源。说明书CN 102624935 A 4/7页 6 0042 实施例2 0043 以用户终端的IP报文经过一级CGN，用户终端的IPv4地址不能唯一标识一个CGN 下用户的场景为例。例如，一个CGN设备CGN1下有多个家庭网关CPE1、CPE2等，一个家庭网关下有多个用户终端，如CPE1下有User1(IPv4地址为ip1)、User2(IPv4地址为ip2) 等，CPE2下有User5(IPv4地址为ip1)、User6(IPv4地址为ip3)等。假设CPE1和CPE2不做NAT转换，CPE1与CGN1间建立IPv6隧道，隧道标识为IPv6-1，通过IPv6隧道封装用户终端的。

21、IP报文；CPE2与CGN1间建立IPv6隧道，隧道标识为IPv6-2，通过IPv6隧道封装用户终端的IP报文。用户User1，User2和User5访问互联网某网站，根据本发明实施例，过程如下： 0044 CGN1收到来自CPE1和CPE2的IPv6隧道报文，并对IPv6隧道报文进行解封装；解封装后，来自User1，User2和User5的IP报文的源IP地址分别是ip1，ip2，ip1； 0045 CGN1对IP报文进行NAT转换，转换后，来自User1，User2和User5的IP报文的源IP地址均为CGN1的一个IPv4地址； 0046 CGN1在来自User1的IP报文中插入。

22、标识User1的信息IPv6-1和ip1，在来自 User2的IP报文中插入标识User2的信息IPv6-1和ip2，在来自User5的IP报文中插入标识User5的信息IPv6-2和ip1； 0047 CGN1重新封装来自User1，User2和User5的IP报文，发送插入了标识用户的信息的IP报文；当该网站收到来自CGN1的IP报文后，根据报文中携带的标识用户的信息分别是IPv6-1和ip1，IPv6-1和ip2，IPv6-2和ip1，就可以区分User1，User2和User5。需要时，可以根据标识User1，User2和User5的信息查询用户信息服务器(例如AAA服务器)，。

23、获取User1，User2和User5的详细信息，实现用户溯源。 0048 实施例3 0049 以用户终端的IP报文经过多级CGN设备，用户终端的IPv4地址可以标识一个CGN 下用户，各级CGN都在所述IP报文中插入标识用户的信息为例。例如用户User1(IPv4地址为ip1)访问互联网某网站，用户终端的IP报文要经过两级CGN设备，依次是CGN1和CGN2，根据本发明实施例，过程如下： 0050 CGN1接收来自User1的IP报文，所述IP报文的源IP地址为ip1，CGN1对所述 IP报文进行NAT转换，将源IP地址转换为ip2，并在所述IP报文中插入ip1，然后重新封装所述IP。

24、报文，并发送所述源IP地址为ip2、携带了ip1的IP报文；CGN2接收来自CGN1 的IP报文，对所述IP报文进行NAT转换，将源IP地址转换为ip3，并在所述IP报文中插入ip2，然后重新封装所述IP报文，并发送所述源IP地址为ip3、携带了标识User1的信息 ip1和ip2的IP报文；最后，该网站收到所述IP报文，根据所述IP报文的源IP地址ip3，标识User1的信息ip1和ip2，就可以识别User1。需要时，根据标识User1的信息查询用户信息服务器(例如AAA服务器)，获取User1的详细信息，可以实现用户溯源。 0051 实施例4 0052 以用户终端的IP报文经过多级。

25、CGN设备，用户终端的IPv4地址可以标识一个CGN 下用户，仅第一级CGN在所述IP报文中插入标识用户的信息(包括该用户终端的IPv4地址和第一级CGN设备的标识)为例。例如，CGN1(标识为IPn1)下用户User1(IPv4地址为 ip0)和CGN2(标识为IPn2)下用户User2(IPv4地址为ip0)访问互联网某网站，User1的说明书CN 102624935 A 5/7页 7 IP报文要经过二级CGN设备，依次是CGN1和CGN3，User2的IP报文要经过二级CGN设备，依次是CGN2和CGN3，根据本发明实施例，过程如下： 0053 CGN1接收来自User1的IP。

26、报文，所述IP报文的源IP地址为ip0，CGN1对所述 IP报文进行NAT转换，将源IP地址转换为ip1，并在所述IP报文中插入标识User1的信息 ip0和IPn1，然后重新封装所述IP报文，并发送所述源IP地址为ip1、携带了ip0和IPn1 的IP报文；CGN2接收来自User2的IP报文，所述IP报文的源IP地址为ip0，CGN2对所述 IP报文进行NAT转换，将源IP地址转换为ip2，并在所述IP报文中插入标识User2的信息 ip0和IPn2，然后重新封装所述IP报文，并发送所述源IP地址为ip2、携带了ip0和IPn2 的IP报文；CGN3接收来自CGN1和CGN2的IP报文，对。

27、来自CGN1的IP报文进行NAT转换，转换后源IP地址是ip3，对来自CGN2的IP报文进行NAT转换，转换后源IP地址也是ip3； CGN3重新封装并发送所述转换后的IP报文；最后，该网站收到来自CGN3的IP报文，根据所述IP报文的标识用户的信息分别为ip0和IPn1，ip0和IPn2就可以识别User1和User2。需要时，根据标识用户的信息查询用户信息服务器(例如AAA服务器)，获取用户详细信息，可以实现用户溯源。 0054 参见图2，是本发明实施例提供的一种转发报文的装置框图，该装置具体包括接收模块201，转换模块202，插入模块203和发送模块204。其中： 0055 接。

28、收模块201，用于网络地址转换设备接收来自用户终端的IP报文； 0056 所述网络地址转换设备可以是CGN设备。 0057 转换模块202，用于对所述IP报文进行网络地址转换； 0058 插入模块203，用于在转换后的IP报文中标识用户的信息； 0059 所述标识用户的信息是可以识别一个CGN下用户的标识，通常是用户终端的IPv4 地址；但是某些场景下，连接到同一个CGN的用户终端可能有相同的IPv4地址，此时需要使用其他信息，如所述用户终端到CGN的隧道标识IPv6地址，虚拟专用网VPN标识，通用路由封装GRE关键字，PPTP隧道标识，L2TP隧道标识，IPSec隧道标识或IPv6 fl。

29、ow label(IPv6 流标签)等来区分用户；还有某些场景下，用户需要经过多个CGN设备才能访问某网站；若每一级CGN设备都在NAT转换后的IP报文中插入标识用户的信息时，需要根据最终的IP 报文的源IP地址和其中标识用户的信息来识别该用户；若仅仅第一级CGN设备在NAT转换后的IP报文中插入标识用户的信息(该用户的IP地址和第一级CGN设备的标识)，只需根据最终的IP报文中携带的标识用户的信息就可以识别该用户。 0060 发送模块204，用于发送所述插入了所述标识用户的信息的IP报文，以使接收到所述IP报文的网络设备根据所述标识用户的信息识别所述用户终端。 0061 实施例5 0。

30、062 以用户终端的IP报文经过一级CGN设备，用户终端的IPv4地址可以标识该用户的场景为例。一个CGN设备，CGN1下有两个用户User1(IPv4地址为ip1)和User2(IPv4地址为ip2)访问互联网某网站，根据本发明实施例，过程如下： 0063 接收模块201收到来自User1和User2的IP报文，源IP地址分别为ip1和ip2； 0064 转换模块202对IP报文进行NAT转换，转换后IP报文的源IP地址均为CGN1的一个IPv4地址； 0065 插入模块203在来自User1的IP报文中插入标识User1的信息ip1，在来自User2 说明书CN 10262493。

31、5 A 6/7页 8 的IP报文中插入标识User2的信息ip2； 0066 CGN1重新封装来自User1和User2的经过NAT转换并插入了标识用户的信息的IP 报文，然后发送模块204发送所述IP报文；当该网站收到来自CGN1的IP报文后，根据报文中携带的标识用户的信息分别是ip1和ip2，就可以区分User1和User2。需要时，根据标识User1的信息ip1查询用户信息服务器(例如AAA服务器)，获取User1的详细信息，实现用户溯源。 0067 实施例6 0068 以用户终端的IP报文经过一级CGN，用户终端的IPv4地址不能唯一标识一个CGN 下用户的场景为例。例如，一个C。

32、GN设备CGN1下有多个家庭网关CPE1、CPE2等，一个家庭网关下有多个用户终端，如CPE1下有User1(IPv4地址为ip1)、User2(IPv4地址为ip2) 等，CPE2下有User5(IPv4地址为ip1)、User6(IPv4地址为ip3)等；假设CPE1和CPE2不做NAT转换，CPE1与CGN1间建立IPv6隧道，隧道标识为IPv6-1，通过IPv6隧道封装用户终端的IP报文；CPE2与CGN1间建立IPv6隧道，隧道标识为IPv6-2，通过IPv6隧道封装用户终端的IP报文。用户User1，User2和User5访问互联网某网站，根据本发明实施例，过程如下： 0。

33、069 接收模块201收到来自CPE1和CPE2的IPv6隧道报文，CGN1对IPv6隧道报文进行解封装；解封装后，来自User1，User2和User5的IP报文的源IP地址分别是ip1，ip2和 ip1； 0070 转换模块202对IP报文进行NAT转换，转换后来自User 1，User2和User5的IP 报文的源IP地址均为CGN1的一个IPv4地址； 0071 插入模块203在来自User1的IP报文中插入标识User1的信息IPv6-1和ip1，在来自User2的IP报文中插入标识User2的信息IPv6-1和ip2，在来自User5的IP报文中插入标识User5的信息IPv。

34、6-2和ip1； 0072 CGN1重新封装来自User1，User2和User5的IP报文，发送模块204发送插入了标识用户的信息的IP报文；当该网站收到来自CGN1的IP报文后，根据报文中携带的标识用户的信息分别是IPv6-1和ip1，IPv6-1和ip2，IPv6-2和ip1，就可以区分User1，User2 和User5。需要时，可以根据标识User1，User2和User5的信息的查询用户信息服务器(例如AAA服务器)，获取User1，User2和User5的详细信息，可以实现用户溯源。 0073 实施例7 0074 以用户终端的IP报文经过多级CGN设备，用户终端的IPv4地。

35、址可以标识一个CGN 下用户，各级CGN都在所述IP报文中插入标识用户的信息为例。例如用户User1(IPv4地址为ip1)访问互联网某网站，用户终端的IP报文要经过两级CGN设备，依次是CGN1和CGN2，根据本发明实施例，过程如下： 0075 CGN1的接收模块201接收来自User1的IP报文，所述IP报文的源IP地址为ip1， CGN1的转换模块202对所述IP报文进行NAT转换，将源IP地址转换为ip2，CGN1的插入模块203在所述IP报文中插入ip1，然后CGN1重新封装所述IP报文，CGN1的发送模块204 发送所述源IP地址为ip2、携带了ip1的IP报文；CGN2的接。

36、收模块201接收来自CGN1的所述IP报文，CGN2的转换模块202对所述IP报文进行NAT转换，将源IP地址转换为ip3， CGN1的插入模块203在所述IP报文中插入ip2，然后CGN2重新封装所述IP报文，CGN2的说明书CN 102624935 A 7/7页 9 发送模块204发送所述源IP地址为ip3、携带了ip1和ip2的IP报文；最后，该网站收到来自CGN2的所述IP报文，根据所述IP报文的源IP地址ip3，标识User1的信息ip1和ip2，就可以识别User1。需要时，根据标识User1的信息查询用户信息服务器(例如AAA服务器)，获取User1的详细信息，可以。

37、实现用户溯源。 0076 实施例8 0077 以用户终端的IP报文经过多级CGN设备，用户终端的IPv4地址可以标识一个CGN 下用户，仅第一级CGN设备在所述IP报文中插入标识用户的信息(包括该用户终端的IPv4 地址和第一级CGN设备的标识)为例。例如，CGN1(标识为IPn1)下用户User1(IPv4地址为ip0)和CGN2(标识为IPn2)下用户User2(IPv4地址为ip0)访问互联网某网站，User1 的IP报文要经过二级CGN设备，依次是CGN1和CGN3，User2的IP报文要经过二级CGN设备，依次是CGN2和CGN3，根据本发明实施例，过程如下： 0078 CGN1。

38、的接收模块201接收来自User1的IP报文，所述IP报文的源IP地址为ip0， CGN1的转换模块202对所述IP报文进行NAT转换，将源IP地址转换为ip1，CGN1的插入模块203在所述IP报文中插入标识User1的信息ip0和IPn1，CGN1重新封装所述IP报文， CGN1的发送模块204发送所述源IP地址为ip1、携带了ip0和IPn1的IP报文；CGN2的接收模块201接收来自User2的IP报文，所述IP报文的源IP地址为ip0，CGN2的转换模块 202对所述IP报文进行NAT转换，将源IP地址转换为ip2，CGN2的插入模块203在所述IP 报文中插入标识User2的信。

39、息ip0和IPn2，CGN2重新封装所述IP报文，CGN2的发送模块 204发送所述源IP地址为ip2、携带了ip0和IPn2的IP报文；CGN3接收来自CGN1和CGN2 的IP报文，对来自CGN1的IP报文进行NAT转换，转换后源IP地址是ip3，对来自CGN2的 IP报文进行NAT转换，转换后源IP地址也是ip3；CGN3重新封装并发送所述转换后的IP报文；最后，该网站收到来自CGN3的IP报文，根据所述IP报文中标识用户的信息分别为ip0 和IPn1，ip0和IPn2就可以识别User1和User2。需要时，根据标识用户的信息查询用户信息服务器(例如AAA服务器)，获取用户详细信息。

40、，可以实现用户溯源。 0079 参见图3，是本发明实施例提供的一种转发报文的系统框图，其中包括： 0080 网络地址转换设备301，用于接收来自用户终端的IP报文，对所述IP报文进行网络地址转换，在转换后的IP报文中插入标识用户的信息，并发送所述插入了所述标识用户的信息的IP报文； 0081 接收设备302，用于接收所述插入了所述标识用户的信息的IP报文，并根据所述标识用户的信息识别所述用户终端。 0082 采用本发明实施例提供的技术方案，由于通过在IP报文中携带了标识用户的信息，可以实时用户溯源和识别用户，解决现有技术中通过查询日志文件进行用户识别和溯源，网络复杂度和日志服务器负载高的问题。 0083 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质可以是ROM/RAM，磁盘或光盘等。 0084 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。说明书CN 102624935 A 1/1页 10 图1 图2 图3 说明书附图CN 102624935 A 10 。

展开阅读全文