一種轉發報文的方法，裝置和系統的製作方法

2023-05-29 14:21:21

專利名稱：一種轉發報文的方法，裝置和系統的製作方法
技術領域：
本發明涉及網絡通信領域，尤其涉及一種轉發報文的方法，裝置和系統。
背景技術：
在IPv4 (Internet Protocol version 4,第四版網際網路協議)地址即將耗盡，IPv4向IPv6 (Internet Protocol version 6,第六版網際網路協議)過渡的階段，由於IPv6尚未大規模應用，短時間內還無法解決地址短缺問題；為了解決地址短缺問題，運營商需要部署CGN(Carrier GradeNAT，運營商級網絡地址轉換)設備來復用公網IPv4地址(以下簡稱IP位址)。但是在部署CGN之後，很多用戶經過NAT (Network AddressTranslation,網絡地址轉換)後共享一個公網IP位址，根據公網IP位址將無法找到具體用戶，因此給一些應用帶來問題。例如有的國家法規要求運營商支持用戶溯源以打擊網絡犯罪；有些需要根據IP位址來區分用戶的應用，例如用戶行為分析、應用伺服器根據IP位址來限制用戶的並發下載線程數量、或者根據IP位址來禁止一些不停亂發文章的用戶。這樣一來，就需要通過用戶識別和用戶溯源來正確區分用戶。現有部署CGN的網絡中，CGN會生成日誌文件，日誌記錄用戶內網側信息(例如私網IP位址/埠)與外網側信息(例如公網IP位址/埠)的對應關係，以及時間戳，協議類型等信息；日誌文件可以存儲在本地，也可以存放到專用的日誌伺服器上。然後可以通過用戶公網IP位址及埠號等信息，查詢日誌文件獲得用戶進一步的信息，例如私網IP位址等，從而識別用戶，然後還可以根據私網IP位址等信息向AAA(AuthenticationAuthorization Accounting,認證授權計費)伺服器查詢並獲取用戶的詳細信息。在有多級CGN的情況下，需要查詢每一級CGN日誌文件才能最終獲得用戶信息，網絡更加複雜。另一方面，出於用戶信息保密及安全等原因，運營商的日誌文件一般只向運營商自身內部或者執法機構開放，不向其他運營商或網站開放，例如下載網站是無法訪問運營商的日誌文件獲取用戶信息的，從而無法區分用戶。

發明內容
本發明實施例提供了一種轉發報文的方法，裝置和系統，以解決現有技術中通過訪問CGN日誌伺服器進行用戶識別和溯源，網絡複雜度和日誌伺服器負載高的問題。為解決上述技術問題，本發明實施例提供了一種轉發報文的方法，包括網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文；對所述IP報文進行網絡地址轉換；在轉換後的IP報文中插入標識用戶的信息；發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。本發明實施例提供了一種轉發報文的裝置，包括接收模塊，用於網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文；
轉換模塊，用於對所述IP報文進行網絡地址轉換；插入模塊，用於在轉換後的IP報文中插入標識用戶的信息；發送模塊，用於發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。本發明實施例提供了一種轉發報文的系統，其特徵在於，包括網絡地址轉換設備，用於接收來自用戶終端的IP報文，對所述IP報文進行網絡地址轉換，在轉換後的IP報文中插入標識用戶的信息，並發送所述插入了所述標識用戶的信息的IP報文； 接收設備，用於接收所述插入了所述標識用戶的信息的IP報文，並根據所述標識用戶的信息識別所述用戶終端。本發明實施例具有以下優點在本發明實施例中，網絡地址轉換設備通過在用戶IP報文中攜帶標識用戶的信息，接收設備例如某網站/論壇伺服器，可以根據收到的所述IP報文中標識用戶的信息進行用戶識別和溯源。可以看出，因為所述IP報文中攜帶了標識用戶的信息，可以使得在不增加網絡複雜度和日誌伺服器負載的情況下，能夠依據所述標識用戶的信息實時識別用戶，進而可以獲取用戶詳細信息，實現用戶溯源。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。圖I是本發明實施例提供的一種轉發報文的方法流程圖；圖2是本發明實施例提供的一種轉發報文的裝置框圖；圖3是本發明實施例提供的一種轉發報文的系統框具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明的一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。本發明實施例提供了一種轉發報文的方法，包括網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文，在所述IP報文中插入標識用戶的信息；向網絡發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。採用本發明實施例提供的技術方案，可以解決現有技術中通過訪問CGN日誌伺服器進行用戶識別和溯源，網絡複雜度和日誌伺服器負載高的問題。為使本發明實施例的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖和具體實施方式
對本發明實施例作進一步詳細的說明。參見圖1，是本發明實施例提供的一種轉發報文的方法流程圖，具體步驟如下
步驟101 :網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文。所述網絡地址轉換設備可以是CGN設備步驟102 :對所述IP報文進行網絡地址轉換。步驟103 :在轉換後的IP報文中插入標識用戶的信息；所述標識用戶的信息是可以識別一個CGN下用戶的標識，通常是用戶終端的IPv4地址。但是某些場景下，連接到同一個CGN的用戶終端可能有相同的IPv4地址，此時需要使用其他信息，如用戶終端到CGN設備的隧道標識包括IPv6地址，虛擬專用網VPN標識，通用路由封裝GRE關鍵字，PPTP隧道標識，L2TP隧道標識，IPSec隧道標識或IPv6 flowlabel (IPv6流標籤)等來區分用戶。例如輕型雙棧DS-Lite方案中，多個家庭網關接入一個CGN，一個家庭網關下又有多個用戶，而所有家庭網關都使用192. 0. 0. 0/29網段中除192. 0. 0. 0和192. 0. 0. I外的地址給用戶分配IPv4地址，這樣一來，一個CGN下很多用戶的IPv4地址都是相同的；若用戶直接與CGN建立隧道，例如IPv4-in-IPv6隧道，此時，通過隧道標識IPv6地址就可以識別該用戶；若用戶通過家庭網關與CGN建立隧道，此時就需要結合用戶的IPv4地址和隧道標識來識別一個CGN該用戶。此外，還有某些場景下，用戶需要經過多個CGN設備才能訪問某網站；一種方式是，每一級CGN設備都對用戶的IP報文進行NAT轉換，並在轉換後的IP報文中插入標識用戶的信息(NAT轉換前的IP位址)，當該網站收到經過多級CGN設備NAT轉換後的最終的IP報文時，需要根據該最終的IP報文的源IP位址和其中攜帶的標識用戶的信息來識別該用戶；另一種方式是，每一級CGN設備都對用戶的IP報文進行NAT轉換，但是僅第一級CGN設備在轉換後的IP報文中插入標識用戶的信息(用戶的IP位址和第一級CGN設備的標識，如可以唯一標識該CGN設備的公網IPv4地址或域名等)，當該網站收到最終的IP報文時，根據該最終的IP報文中攜帶的標識用戶的信息就可以識別該用戶。步驟104 :發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。實施例I以用戶終端的IP報文經過一級CGN設備，用戶終端的IPv4地址可以標識該用戶的場景為例。一個CGN設備，CGNl下有兩個用戶Userl (IPv4地址為ipl)和User2 (IPv4地址為ip2)訪問網際網路某網站，根據本發明實施例，過程如下CGNl收到來自Userl和User2的IP報文，源IP位址分別為ipl和ip2 ；CGNl對IP報文進行NAT轉換，轉換後IP報文的源IP位址均為CGNl的一個IPv4地址；CGNl在來自Userl的IP報文中插入標識Userl的信息ipl，在來自User2的IP報文中插入標識User2的信息ip2 ；CGNl重新封裝並發送來自Userl和User2的經過NAT轉換並插入了標識用戶的信息的IP報文；當該網站收到來自CGNl的IP報文後，根據報文中攜帶的標識用戶的信息分別是ipl和ip2，就可以區分Userl和User2。需要時，該網站可以識別出Userl並根據需要採取措施，如限制或禁止Userl訪問該網站，或者根據標識Userl的信息ipl查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl的詳細信息，實現用戶溯源。
實施例2以用戶終端的IP報文經過一級CGN，用戶終端的IPv4地址不能唯一標識一個CGN下用戶的場景為例。例如，一個CGN設備CGNl下有多個家庭網關CPE1、CPE2等，一個家庭網關下有多個用戶終端，如CPEl下有Userl (IPv4地址為ipl)、User2 (IPv4地址為ip2)等，CPE2 下有 User5(IPv4 地址為 ipl)、User6(IPv4 地址為 ip3)等。假設 CPEl 和 CPE2 不做NAT轉換，CPEl與CGNl間建立IPv6隧道，隧道標識為IPv6_l，通過IPv6隧道封裝用戶終端的IP報文；CPE2與CGNl間建立IPv6隧道，隧道標識為IPv6-2，通過IPv6隧道封裝用戶終端的IP報文。用戶Userl，User2和User5訪問網際網路某網站，根據本發明實施例，過程如下 CGNl收到來自CPEl和CPE2的IPv6隧道報文，並對IPv6隧道報文進行解封裝；解封裝後，來自Userl，User2和User5的IP報文的源IP位址分別是ipl, ip2, ipl ；CGNl對IP報文進行NAT轉換，轉換後，來自Userl，User2和User5的IP報文的源IP位址均為CGNl的一個IPv4地址；CGNl在來自Userl的IP報文中插入標識Userl的信息IPv6_l和ipl,在來自User2的IP報文中插入標識User2的信息IPv6_l和ip2，在來自User5的IP報文中插入標識User5的信息IPv6_2和ipl ;CGNl重新封裝來自Userl,User2和User5的IP報文,發送插入了標識用戶的信息的IP報文；當該網站收到來自CGNl的IP報文後，根據報文中攜帶的標識用戶的信息分別是 IPv6-l 和 ipl, IPv6-l 和 ip2, IPv6-2 和 ipl，就可以區分 Userl，User2 和 User5。需要時，可以根據標識Userl,User2和User5的信息查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl，User2和User5的詳細信息，實現用戶溯源。實施例3以用戶終端的IP報文經過多級CGN設備，用戶終端的IPv4地址可以標識一個CGN下用戶，各級CGN都在所述IP報文中插入標識用戶的信息為例。例如用戶Userl (IPv4地址為ipl)訪問網際網路某網站，用戶終端的IP報文要經過兩級CGN設備，依次是CGNl和CGN2，根據本發明實施例，過程如下CGNl接收來自Userl的IP報文，所述IP報文的源IP位址為ipl，CGNl對所述IP報文進行NAT轉換，將源IP位址轉換為ip2，並在所述IP報文中插入ipl，然後重新封裝所述IP報文，並發送所述源IP位址為ip2、攜帶了 ipl的IP報文；CGN2接收來自CGNl的IP報文，對所述IP報文進行NAT轉換，將源IP位址轉換為ip3，並在所述IP報文中插A ip2，然後重新封裝所述IP報文，並發送所述源IP位址為ip3、攜帶了標識Userl的信息ipl和ip2的IP報文；最後，該網站收到所述IP報文，根據所述IP報文的源IP位址ip3，標識Userl的信息ipl和ip2,就可以識別Userl。需要時,根據標識Userl的信息查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl的詳細信息，可以實現用戶溯源。實施例4以用戶終端的IP報文經過多級CGN設備，用戶終端的IPv4地址可以標識一個CGN下用戶，僅第一級CGN在所述IP報文中插入標識用戶的信息(包括該用戶終端的IPv4地址和第一級CGN設備的標識)為例。例如，CGNl (標識為IPnl)下用戶Userl (IPv4地址為ipO)和CGN2(標識為IPn2)下用戶User2 (IPv4地址為ipO)訪問網際網路某網站，Userl的IP報文要經過二級CGN設備，依次是CGNl和CGN3，User2的IP報文要經過二級CGN設備，依次是CGN2和CGN3，根據本發明實施例，過程如下CGNl接收來自Userl的IP報文，所述IP報文的源IP位址為ipO，CGNl對所述IP報文進行NAT轉換，將源IP位址轉換為ipl，並在所述IP報文中插入標識Userl的信息ipO和IPnl，然後重新封裝所述IP報文，並發送所述源IP位址為ipl、攜帶了 ipO和IPnl的IP報文；CGN2接收來自User2的IP報文，所述IP報文的源IP位址為ipO，CGN2對所述IP報文進行NAT轉換，將源IP位址轉換為ip2，並在所述IP報文中插入標識User2的信息ipO和IPn2，然後重新封裝所述IP報文，並發送所述源IP位址為ip2、攜帶了 ipO和IPn2的IP報文；CGN3接收來自CGNl和CGN2的IP報文，對來自CGNl的IP報文進行NAT轉換，轉換後源IP位址是ip3，對來自CGN2的IP報文進行NAT轉換，轉換後源IP位址也是ip3 ；CGN3重新封裝並發送所述轉換後的IP報文；最後，該網站收到來自CGN3的IP報文，根據所述IP報文的標識用戶的信息分別為ipO和IPnl，ipO和IPn2就可以識別Userl和User2。需要時，根據標識用戶的信息查詢用戶信息伺服器(例如AAA伺服器)，獲取用戶詳細信息，可以實現用戶溯源。參見圖2，是本發明實施例提供的一種轉發報文的裝置框圖，該裝置具體包括接收模塊201，轉換模塊202，插入模塊203和發送模塊204。其中接收模塊201，用於網絡地址轉換設備接收來自用戶終端的IP報文；所述網絡地址轉換設備可以是CGN設備。轉換模塊202，用於對所述IP報文進行網絡地址轉換；插入模塊203，用於在轉換後的IP報文中標識用戶的信息；所述標識用戶的信息是可以識別一個CGN下用戶的標識，通常是用戶終端的IPv4地址；但是某些場景下，連接到同一個CGN的用戶終端可能有相同的IPv4地址，此時需要使用其他信息，如所述用戶終端到CGN的隧道標識IPv6地址，虛擬專用網VPN標識，通用路由封裝GRE關鍵字，PPTP隧道標識，L2TP隧道標識，IPSec隧道標識或IPv6 flow label (IPv6流標籤)等來區分用戶；還有某些場景下，用戶需要經過多個CGN設備才能訪問某網站；若每一級CGN設備都在NAT轉換後的IP報文中插入標識用戶的信息時，需要根據最終的IP報文的源IP位址和其中標識用戶的信息來識別該用戶；若僅僅第一級CGN設備在NAT轉換後的IP報文中插入標識用戶的信息(該用戶的IP位址和第一級CGN設備的標識)，只需根據最終的IP報文中攜帶的標識用戶的信息就可以識別該用戶。發送模塊204，用於發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。實施例5以用戶終端的IP報文經過一級CGN設備，用戶終端的IPv4地址可以標識該用戶的場景為例。一個CGN設備，CGNl下有兩個用戶Userl (IPv4地址為ipl)和User2 (IPv4地址為ip2)訪問網際網路某網站，根據本發明實施例，過程如下接收模塊201收到來自Userl和User2的IP報文，源IP位址分別為ipl和ip2 ；轉換模塊202對IP報文進行NAT轉換，轉換後IP報文的源IP位址均為CGNl的一個IPv4地址；插入模塊203在來自Userl的IP報文中插入標識Userl的信息ipl,在來自User2的IP報文中插入標識User2的信息ip2 ；CGNl重新封裝來自Userl和User2的經過NAT轉換並插入了標識用戶的信息的IP報文，然後發送模塊204發送所述IP報文；當該網站收到來自CGNl的IP報文後，根據報文中攜帶的標識用戶的信息分別是ipl和ip2，就可以區分Userl和User2。需要時，根據標識Userl的信息ipl查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl的詳細信息，實現用戶溯源。實施例6
以用戶終端的IP報文經過一級CGN，用戶終端的IPv4地址不能唯一標識一個CGN下用戶的場景為例。例如，一個CGN設備CGNl下有多個家庭網關CPE1、CPE2等，一個家庭網關下有多個用戶終端，如CPEl下有Userl (IPv4地址為ipl)、User2 (IPv4地址為ip2)等，CPE2 下有 User5 (IPv4 地址為 ipl)、User6 (IPv4 地址為 ip3)等；假設 CPEl 和 CPE2 不做NAT轉換，CPEl與CGNl間建立IPv6隧道，隧道標識為IPv6_l，通過IPv6隧道封裝用戶終端的IP報文；CPE2與CGNl間建立IPv6隧道，隧道標識為IPv6-2，通過IPv6隧道封裝用戶終端的IP報文。用戶Userl，User2和User5訪問網際網路某網站，根據本發明實施例，過程如下接收模塊201收到來自CPEl和CPE2的IPv6隧道報文，CGNl對IPv6隧道報文進行解封裝；解封裝後，來自Userl，User2和User5的IP報文的源IP位址分別是ipl，ip2和ipl ;轉換模塊202對IP報文進行NAT轉換，轉換後來自User l，User2和User5的IP報文的源IP位址均為CGNl的一個IPv4地址；插入模塊203在來自Userl的IP報文中插入標識Userl的信息IPv6_l和ipl，在來自User2的IP報文中插入標識User2的信息IPv6_l和ip2，在來自User5的IP報文中插入標識User5的信息IPv6_2和ipl ；CGNl重新封裝來自Userl，User2和User5的IP報文，發送模塊204發送插入了標識用戶的信息的IP報文；當該網站收到來自CGNl的IP報文後，根據報文中攜帶的標識用戶的信息分別是IPv6-l和ipl, IPv6-l和ip2，IPv6-2和ipl，就可以區分Userl，User2和User5。需要時,可以根據標識Userl,User2和User5的信息的查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl, User2和User5的詳細信息,可以實現用戶溯源。實施例7以用戶終端的IP報文經過多級CGN設備，用戶終端的IPv4地址可以標識一個CGN下用戶，各級CGN都在所述IP報文中插入標識用戶的信息為例。例如用戶Userl (IPv4地址為ipl)訪問網際網路某網站，用戶終端的IP報文要經過兩級CGN設備，依次是CGNl和CGN2，根據本發明實施例，過程如下CGNl的接收模塊201接收來自Userl的IP報文，所述IP報文的源IP位址為ipl，CGNl的轉換模塊202對所述IP報文進行NAT轉換，將源IP位址轉換為ip2，CGNl的插入模塊203在所述IP報文中插入ip I，然後CGNl重新封裝所述IP報文，CGNl的發送模塊204發送所述源IP位址為ip2、攜帶了 ipl的IP報文；CGN2的接收模塊201接收來自CGNl的所述IP報文，CGN2的轉換模塊202對所述IP報文進行NAT轉換，將源IP位址轉換為ip3，CGNl的插入模塊203在所述IP報文中插入ip2，然後CGN2重新封裝所述IP報文，CGN2的發送模塊204發送所述源IP位址為ip3、攜帶了 ipl和ip2的IP報文；最後，該網站收到來自CGN2的所述IP報文，根據所述IP報文的源IP位址ip3，標識Userl的信息ipl和ip2，就可以識別Userl。需要時，根據標識Userl的信息查詢用戶信息伺服器(例如AAA伺服器)，獲取Userl的詳細信息，可以實現用戶溯源。
實施例8以用戶終端的IP報文經過多級CGN設備，用戶終端的IPv4地址可以標識一個CGN下用戶，僅第一級CGN設備在所述IP報文中插入標識用戶的信息(包括該用戶終端的IPv4地址和第一級CGN設備的標識)為例。例如，CGNl (標識為IPnl)下用戶Userl (IPv4地址為ipO)和CGN2(標識為IPn2)下用戶User2 (IPv4地址為ipO)訪問網際網路某網站，Userl的IP報文要經過二級CGN設備，依次是CGNl和CGN3，User2的IP報文要經過二級CGN設備，依次是CGN2和CGN3，根據本發明實施例，過程如下CGNl的接收模塊201接收來自Userl的IP報文，所述IP報文的源IP位址為ipO，CGNl的轉換模塊202對所述IP報文進行NAT轉換，將源IP位址轉換為ipl，CGNl的插入模塊203在所述IP報文中插入標識Userl的信息ipO和IPnl，CGNl重新封裝所述IP報文，CGNl的發送模塊204發送所述源IP位址為ipl、攜帶了 ipO和IPnl的IP報文；CGN2的接收模塊201接收來自User2的IP報文，所述IP報文的源IP位址為ipO，CGN2的轉換模塊202對所述IP報文進行NAT轉換，將源IP位址轉換為ip2，CGN2的插入模塊203在所述IP報文中插入標識User2的信息ipO和IPn2，CGN2重新封裝所述IP報文，CGN2的發送模塊204發送所述源IP位址為ip2、攜帶了 ipO和IPn2的IP報文；CGN3接收來自CGNl和CGN2的IP報文，對來自CGNl的IP報文進行NAT轉換，轉換後源IP位址是ip3，對來自CGN2的IP報文進行NAT轉換，轉換後源IP位址也是ip3 ；CGN3重新封裝並發送所述轉換後的IP報文；最後，該網站收到來自CGN3的IP報文，根據所述IP報文中標識用戶的信息分別為ipO和IPnl，ipO和IPn2就可以識別Userl和User2。需要時，根據標識用戶的信息查詢用戶信息伺服器(例如AAA伺服器)，獲取用戶詳細信息，可以實現用戶溯源。參見圖3，是本發明實施例提供的一種轉發報文的系統框圖，其中包括網絡地址轉換設備301，用於接收來自用戶終端的IP報文，對所述IP報文進行網絡地址轉換，在轉換後的IP報文中插入標識用戶的信息，並發送所述插入了所述標識用戶的信息的IP報文；接收設備302，用於接收所述插入了所述標識用戶的信息的IP報文，並根據所述標識用戶的信息識別所述用戶終端。採用本發明實施例提供的技術方案，由於通過在IP報文中攜帶了標識用戶的信息，可以實時用戶溯源和識別用戶，解決現有技術中通過查詢日誌文件進行用戶識別和溯源，網絡複雜度和日誌伺服器負載高的問題。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬體完成，所述的程序可以存儲於計算機可讀存儲介質中，所述存儲介質可以是R0M/RAM，磁碟或光碟等。以上所述，僅為本發明較佳的具體實施方式
，但本發明的保護範圍並不局限於此，任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護範圍之內。
權利要求
1.一種轉發報文的方法，其特徵在於，包括 網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文； 對所述IP報文進行網絡地址轉換； 在轉換後的IP報文中插入標識用戶的信息； 發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。
2.根據權利要求I所述的方法，其特徵在於，所述標識用戶的信息包括所述用戶終端的IP位址和/或所述用戶終端到所述網絡地址轉換設備的隧道標識。
3.根據權利要求2所述的方法，其特徵在於，所述標識用戶的信息還包括所述網絡地址轉換設備的設備標識。
4.根據權利要求2或3所述的方法，其特徵在於，當所述標識用戶的信息包含所述用戶終端到所述網絡地址轉換設備的隧道標識時，所述隧道標識包括IPv6地址，虛擬專用網VPN標識，通用路由封裝協議GRE關鍵字，點對點隧道協議PPTP隧道標識，第二層隧道協議L2TP隧道標識，網際網路協議安全IPSec隧道標識或IPv6流標籤。
5.一種轉發報文的裝置，其特徵在於，包括 接收模塊，用於網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文； 轉換模塊，用於對所述IP報文進行網絡地址轉換； 插入模塊，用於在轉換後的IP報文中插入標識用戶的信息； 發送模塊，用於發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。
6.根據權利要求5所述的裝置，其特徵在於，所述標識用戶的信息包括所述用戶終端的IP位址和/或所述用戶終端到所述網絡地址轉換設備的隧道標識。
7.根據權利要求6所述的裝置，其特徵在於，所述標識用戶的信息還包括所述網絡地址轉換設備的設備標識。
8.根據權利要求6或7所述的裝置，其特徵在於，當所述標識用戶的信息包含所述用戶終端的IP位址和/或所述用戶終端到所述網絡地址轉換設備的隧道標識時，所述隧道標識包括IPv4-in-IPv6隧道標識，虛擬專用網VPN隧道標識，通用路由封裝GRE隧道標識，PPTP隧道標識，L2TP隧道標識或IPsec隧道標識或IPv6流標籤。
9.一種轉發報文的系統，其特徵在於，包括 網絡地址轉換設備，用於接收來自用戶終端的IP報文，對所述IP報文進行網絡地址轉換，在轉換後的IP報文中插入標識用戶的信息，並發送所述插入了所述標識用戶的信息的IP報文； 接收設備，用於接收所述插入了所述標識用戶的信息的IP報文，並根據所述標識用戶的信息識別所述用戶終端。
全文摘要
本發明實施例公開了一種轉發報文的方法，裝置和系統。所述方法包括網絡地址轉換設備接收來自用戶終端的網際網路協議IP報文；對所述IP報文進行網絡地址轉換；在所述IP報文中插入標識用戶的信息；發送所述插入了所述標識用戶的信息的IP報文，以使接收到所述IP報文的網絡設備根據所述標識用戶的信息識別所述用戶終端。採用本發明實施例提供的技術方案，可以解決現有技術中通過查詢日誌文件進行用戶識別和溯源，網絡複雜度和日誌伺服器負載高的問題。
文檔編號H04L29/12GK102624935SQ201110028650
公開日2012年8月1日 申請日期2011年1月26日 優先權日2011年1月26日
發明者查敏, 黃敬 申請人:華為技術有限公司