一种分配端口资源的方法及装置、用户认证管理的装置

摘要

本发明实施例提供了一种分配端口资源的方法及装置、用户认证管理的装置，解决了现有技术中端口分配模块存在功能缺陷的问题。该方法包括：用户认证管理模块接收用户发送的上线请求，完成对所述用户的认证之后，为所述用户分配唯一标识所述用户的标识信息；所述用户认证管理模块向端口分配模块发送端口请求消息，所述端口请求消息中携带所述标识信息，以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源；所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息，并向所述用户发送响应消息，所述响应消息用于指示所述用户上线成功。该方法适用于通信技术领域。

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种分配端口资源的方法及 装置、用户认证管理的装置。

背景技术

随着用户的增长以及终端智能化的发展，对互联网协议(Internet  Protocol，简称：IP)地址的需求快速增长，然而网际协议版本4(Internet  Protocol Version 4，简称：IPv4)地址已经基本耗尽，虽然网际协议 版本6(Internet Protocol Version 6，简称：IPv6)理论上可以支持几 乎无穷多的终端节点，但是由于IPv6设计上无法向下兼容IPv4，在 IPv6完成商用部署之前，众多过渡技术成为当前的主流解决方案，其 中应用最广泛，技术最成熟的是网络地址转换(Network Address  Translation，简称：NAT)技术。

NAT技术通过将专用网中的用户的内部IP地址和内部端口号转 换为外部IP地址和外部端口号，使得专用网中的多个用户共享少量 的可以与因特网进行通信的外部IP地址。其中，NAT444技术是基 于传统NAT技术的一种演进技术，当内网用户上线时，局域网中与 外部因特网相连的路由器/防火墙根据用户的内部IP地址为用户分配 外部IP地址以及外部IP地址的端口块，端口块中包含多个端口。用 户上线期间可以一直使用该端口块的端口资源。当用户需要访问因特 网时，路由器/防火墙通过预分配的外部IP地址和端口块中的一个端 口使得该用户与因特网进行通信。与传统的NAT技术相比，NAT444 不必在用户每次发起连接时都为用户分配端口，而是在用户上线期间 为用户分配端口块，从而大大减小了记录该用户相关信息的日志量。

通过NAT444技术，用户为用户分配外部IP地址和端口块的端 口分配模块必须基于用户的内部IP地址为用户分配端口块，然而， 当用户内部IP地址发生变化时，为该用户分配的端口块也发生变化， 无法保持端口块的稳定，或者当用户拥有多个内部IP地址时，端口 分配模块为用户分配多个端口块，不利于审计和流量的控制，又或者 当一个局域网内的两个用户的内部IP地址相同时，端口分配模块为 这两个用户分配的端口块相同，不但不利于审计和流量的控制，还有 可能造成通信错误，再或者用户在上线时并没有分配有内部IP地址， 则端口分配模块必须等待用户认证管理模块为该用户分配IP地址之 后再为用户分配端口块，使得延时较大，影响用户体验，因此，现有 的NAT444技术中基于用户内部IP地址为用户分配端口块使得端口 分配模块存在功能缺陷。

发明内容

本发明的实施例提供一种分配端口资源的方法及装置、用户认证 管理的装置，以至少解决现有NAT444技术基于用户内部IP地址为 用户分配端口块使得端口分配模块存在功能缺陷的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供了一种分配端口资源的方法，该方 法包括：

用户认证管理模块接收用户发送的上线请求，完成对所述用户的 认证之后，为所述用户分配唯一标识所述用户的标识信息；

所述用户认证管理模块向端口分配模块发送端口请求消息，所述 端口请求消息中携带所述标识信息，以便于所述端口分配模块根据所 述标识信息为所述用户分配端口资源；

所述用户认证管理模块接收所述端口分配模块发送的端口分配 完成消息，并向所述用户发送响应消息，所述响应消息用于指示所述 用户上线成功。

第二方面，本发明实施例提供了一种分配端口资源的方法，该方 法包括：

端口分配模块接收用户认证管理模块发送的端口请求消息，所述 端口请求消息中携带唯一标识用户的标识信息；

所述端口分配模块根据所述标识信息，为所述用户分配外部互联 网协议IP地址，以及所述外部IP地址对应的端口块，其中，所述外 部IP地址用于所述用户与外部网络进行通信；

所述端口分配模块向所述用户认证管理模块发送端口分配完成 消息。

第三方面，本发明实施例提供了一种分配端口资源的装置，该装 置包括：分配单元，发送单元和接收单元；

所述分配单元，用于在所述装置接收用户发送的上线请求，完成 对所述用户的认证之后，为所述用户分配唯一标识所述用户的标识信 息；

所述发送单元，用于向端口分配模块发送端口请求消息，所述端 口请求消息中携带所述标识信息，以便于所述端口分配模块根据所述 标识信息为所述用户分配端口资源；

所述接收单元，用于接收所述端口分配模块发送的端口分配完成 消息；

所述发送单元还用于：向所述用户发送响应消息，所述响应消息 用于指示所述用户上线成功。

第四方面，本发明实施例提供了一种分配端口资源的装置，该装 置包括：接收单元，分配单元和发送单元；

所述接收单元，用于接收用户认证管理模块发送的端口请求消 息，所述端口请求消息中携带唯一标识用户的标识信息；

所述分配单元，用于根据所述标识信息，为所述用户分配外部互 联网协议IP地址，以及所述外部IP地址对应的端口块，其中，所述 外部IP地址用于所述用户与外部网络进行通信；

所述发送单元，用于向所述用户认证管理模块发送端口分配完成 消息。

本发明实施例提供了一种分配端口资源的方法及装置、用户认证 管理的装置，用户认证管理模块通过为用户分配唯一标识所述用户的 标识信息，使得端口分配模块根据所述标识信息为所述用户分配端口 块，由于所述标识信息是唯一确定的，不会发生变化，使得端口分配 模块为所述用户分配的端口块是唯一确定的，从而解决了NAT444过 程中端口分配模块存在功能缺陷的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地， 下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员 来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附 图。

图1为一种局域网与因特网连接关系示意图；

图2为一种分配端口资源的方法流程图；

图3为另一种分配端口资源的方法流程图；

图4为再一种分配端口资源的方法流程图；

图5为又一种分配端口资源的方法流程图；

图6为一种用户认证管理的装置示意图；

图7为另一种用户认证管理的装置示意图；

图8为一种分配端口资源的装置示意图；

图9为另一种分配端口资源的装置示意图；

图10为又一种分配端口资源的装置示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的 范围。

结合图1，示例性的描述了一种局域网与因特网的连接关系。现结合 图1对通过NAT444技术使局域网中的主机和因特网中的服务器进行通信 的过程进行描述。个人计算机(personal computer，PC)1，PC2，PC3和 PC4是局域网中的4个PC，分别分配有局域网内的内部IP地址，以PC1 需要访问因特网中的服务器为例，PC1在上线时向路由器/防火墙发送上线 请求消息，路由器/防火墙中的端口分配模块根据PC1的内部IP地址为PC1 分配外部IP地址和该外部IP地址的端口块，该端口块包含多个端口。

假设PC1的内部IP地址为192.168.200.2，使用内部端口号1的端口 进行通信，当PC1访问主机时，将报文发送至路由器/防火墙，报文中的 源地址为PC1的内部IP地址和内部端口号为1的端口，报文中的目的地 址为PC1所要访问的因特网中的服务器的IP地址和端口号。路由器/防火 墙中的端口分配模块根据报文中的PC1的内部IP地址，索引到为PC1分 配的外部IP地址和该外部IP地址对应的端口块，假设该外部IP地址为 218.197.70.2，端口块包括该外部IP地址的端口号为1030-1050的20个端 口。

路由器/防火墙的端口分配模块将报文的源地址中的PC1的内部IP地 址替换为路由器/防火墙为PC1分配的外部IP地址，将内部端口号为1的 端口替换为通过预设策略从为PC1分配的端口块中选择的一个端口，然后 根据报文中的目的地址将报文发送至因特网中的服务器。

但是，上述过程存在如下问题：由于局域网中连接外部因特网的路由 器/防火墙中的端口分配模块通过用户的内部IP地址为用户分配端口块， 导致端口分配模块存在功能缺陷。以该用户为PC1为例，当PC1的内部 IP地址发生变化，或者当PC1有多个IP地址时，路由器/防火墙的端口分 配模块为PC1分配的端口块也会变化，可能存在资源的浪费，也不利于流 量的统计；或者PC1与PC2的IP地址相同时，路由器/防火墙的端口分配 模块为PC1和PC2分配的端口块相同，不但不利于流量的统计，还有可 能造成通信错误；或者PC1在请求上线时还没有分配有内部IP地址，需 要路由器/防火墙的用户认证管理模块通过动态主机配置协议(Dynamic  Host Configuration Protocol，简称：DHCP)为PC1动态分配内部IP地址， 此时，路由器/防火墙的用户认证管理模块为PC1分配好内部IP地址后， 再根据该内部IP地址为用户分配外部IP地址和该外部IP地址的端口块， 从而造成用户上线时延较长，影响用户体验。

需要说明的是，在本发明实施例中，所指的内部IP地址是指只能在 局域网中用于通信的IP地址，所指的外部IP地址是指合法的IPv4地址， 可以用来与外部因特网进行通信。

为解决上述问题，本发明实施例提供了一种分配端口资源的方法，结 合图2，该方法包括：

201、用户认证管理模块接收用户发送的上线请求，完成对所述 用户的认证之后，为所述用户分配唯一标识所述用户的标识信息。

具体的，本发明实施例的执行主体为用户认证管理模块，该用户认证 管理模块可以位于路由器或防火墙中，也可以位于其他装置中，本发明实 施例对此不做限定。

当用户认证管理模块接收到用户的上线请求并完成对该用户的认证 之后，用户认证管理模块为用户分配一个唯一标识所述用户的标识信息， 所述标识信息能够在用户所处的局域网中起到对该用户唯一标识的作用。

具体的，所述用户认证管理模块还需获取标识所述用户属性的属性信 息，所述属性信息可以包含所述用户的多种信息，如所述用户的内部IP 地址信息、设备端口信息、源地址解析协议(Address Resolution Protocol， 简称：ARP)信息、隧道口信息等，当用户完成认证后，所述属性信息还 可以包括所述用户的接入认证信息，所述用户认证管理模块根据所述属性 信息中的一种或多种信息的综合可以唯一识别该用户，所述用户认证管理 模块记录所述用户的属性信息与所述用户的标识信息的对应关系。

202、所述用户认证管理模块向端口分配模块发送端口请求消息， 所述端口请求消息中携带所述标识信息，以便于所述端口分配模块根 据所述标识信息为所述用户分配端口资源。

所述用户认证管理模块向端口分配模块发送端口请求消息，所述端口 请求消息中携带用户的标识信息。当所述端口分配模块接收到所述端口请 求消息后，根据所述用户的标识信息为所述用户分配外部IP地址和该外 部IP地址对应的端口块。由于所述用户的标识信息可以唯一标识所述用 户，因此所述端口分配模块为用户分配的端口块和所述用户是唯一对应 的，当用户上线并认证成功后，无论用户的内部IP地址发生变化，或用 户包含多个内部IP地址，或同一局域网中的两个用户的内部IP完全相同， 或用户在上线并认证成功后才由用户认证管理模块分配内部IP地址，所 述端口分配模块为所述用户分配的端口块地址都是唯一确定的，从而解决 了现有NAT444技术中端口分配模块存在功能缺陷的问题。

需要说明的是，所述用户认证管理模块和所述端口分配模块可以位于 同一个设备中，也可以位于两个不同的设备，本发明实施例对此不做限定。

203、所述用户认证管理模块接收所述端口分配模块发送的端口 分配完成消息，并向所述用户发送响应消息，所述响应消息用于指示 所述用户上线成功。

当端口分配模块根据所述用户的标识信息为所述用户分配外部IP地 址和该外部IP地址对应的端口块后，向用户认证管理模块发送端口分配 完成消息。所述用户认证管理模块接收端口分配完成消息之后，向所述用 户发送响应消息，所述响应消息用于指示所述用户上线成功。

本发明实施例提供了一种分配端口资源的方法，在该方法中，用户认 证管理模块接收到用户的上线请求消息并完成对该用户的认证后，为该用 户分配唯一标识所述用户的标识信息，并将包含该用户的标识信息的端口 请求消息发送至端口分配模块，以使得端口分配模块根据用户的标识信息 为该用户分配外部IP地址和该外部IP地址对应的端口块，由于所述标识 信息是唯一确定的，不会发生变化，从而解决了现有NAT444技术中端口 分配模块存在功能缺陷的问题。

为解决现有NAT444技术端口分配模块存在功能缺陷的问题，本发明 实施还提供了一种分配端口资源的方法，结合图3，该方法包括：

301、用户认证管理模块接收用户发送的上线请求，完成对所述 用户的认证之后，为所述用户分配唯一标识所述用户的标识信息。

302、所述用户认证管理模块向端口分配模块发送端口请求消息， 所述端口请求消息中携带所述标识信息，以便于所述端口分配模块根 据所述标识信息为所述用户分配端口资源。

303、所述用户认证管理模块接收所述端口分配模块发送的端口 分配完成消息，并向所述用户发送响应消息，所述响应消息用于指示 所述用户上线成功。

具体的，步骤301-步骤303的详细技术特征可参见上述步骤201-步骤 203，本发明实施例对此不再赘述。

304、所述用户认证管理模块接收所述用户发送的报文，其中， 所述报文中包含所述用户的属性信息。

所述用户认证管理模块为所述用户分配所述用户的标识信息后，记录 所述用户的唯一标识信息与所述用户的属性信息的对应关系，其中，所述 用户的属性信息可以包含所述用户的多种信息，如所述用户的内部IP地 址信息、设备端口信息、源地址解析协议(Address Resolution Protocol， ARP)信息、隧道口信息等，当用户完成认证后，所述属性信息还可以包 括所述用户的接入认证信息，所述用户认证管理模块根据所述属性信息中 的一种或多种信息的综合可以唯一识别该用户。

当所述用户设备管理模块向所述用户发送用于指示所述用户上线成 功的响应消息后，所述用户在访问外部网络时向所述设备发送报文，所述 报文中包含所述用户的属性信息。

305、所述用户认证管理模块根据所述用户的属性信息与所述标 识信息的对应关系，确定所述用户的标识信息，并将所述标识信息添 加至所述报文。

所述用户认证管理模块根据所述用户发送的报文中的所述用户的属 性信息，根据所述用户的属性信息与所述用户的标识信息的对应关系获取 所述用户的标识信息，并将所述用户的标识信息添加至所述报文中。

进一步的，所述用户认证管理模块将所述报文发送至端口分配模块， 端口分配模块根据所述报文中的用户的标识信息，索引到该用户的标识信 息与所述端口分配模块为所述用户分配的外部IP地址以及外部IP地址对 应的端口块的对应关系，从而获取到为该用户分配的外部IP地址和该外 部IP地址对应的端口块。

所述端口分配模块将所述报文中的源地址替换为所述外部IP地址和 所述端口块中的一个端口的端口号，并根据所述报文中的目的地址将所述 报文发送至目的设备。

当所述用户下线时，所述用户认证管理模块取消所述用户的属性信息 与所述标识信息的对应关系，从而释放为该用户分配的端口资源。

本发明实施例提供了一种分配端口资源的方法，在该方法中，用户认 证管理模块接收到用户的上线请求消息并完成对该用户的认证后，为该用 户分配唯一标识所述用户的标识信息，并将包含该用户的标识信息的端口 请求消息发送至端口分配模块，以使得端口分配模块根据用户的标识信息 为该用户分配外部IP地址和该外部IP地址对应的端口块，由于所述标识 信息是唯一确定的，不会发生变化，从而解决了现有NAT444技术中端口 分配模块存在功能缺陷的问题。

为解决现有NAT444技术端口分配模块存在功能缺陷的问题，本发明 实施还提供了一种分配端口资源的方法，结合图4，该方法包括：

401、端口分配模块接收用户认证管理模块发送的端口请求消息， 所述端口请求消息中携带唯一标识用户的标识信息。

具体的，端口分配模块接收用户认证管理模块发送的端口请求消 息，所述端口请求消息中携带请求端口资源的用户的标识信息。需要 说明的是，所述端口分配模块可以位于路由器或防火墙中，也可以位 于其他设备中，并且，所述用户认证管理模块和所述端口分配模块可 以位于同一设备中，也可以位于不同设备中，本发明实施例对此不做 限定。

402、所述端口分配模块根据所述标识信息，为所述用户分配外 部互联网协议IP地址，以及所述外部IP地址对应的端口块，其中， 所述外部IP地址用于所述用户与外部网络进行通信。

所述端口分配模块根据所述用户的标识信息为所述用户分配端 口块，在所述用户上线期间，所述端口块只分配给所述用户，其他用 户不能使用该端口块中的端口资源，因此，所述端口块与所述用户是 唯一对应的。

所述端口分配模块为所述用户分配端口块之后，记录所述端口块 与所述用户的标识信息的对应关系。

403、所述端口分配模块向所述用户认证管理模块发送端口分配 完成消息。

所述端口分配模块为所述用户分配完端口块之后，向用户认证管 理模块发送端口分配完成消息，以使得所述用户认证管理模块向用户 发送用于指示用户上线成功的响应消息。

当所述用户需要访问外部网络时，所述端口分配模块接收由用户 认证管理模块发送的用户的报文，所述报文中包含用户认证管理模块 在所述报文中添加的唯一标识所述用户的标识信息，所述端口分配模 块根据所述用户的标识信息与为所述用户分配的端口块的对应关系， 获取到为所述用户分配的端口块信息。

所述端口分配模块根据所述端口块信息，按照预设的策略，如随 机选取或循环选取的方式，在所述端口块中选择一个端口作为所述用 户与外部网络通信的外部端口。

所述用户的报文的源地址包括所述用户的内部IP地址和内部端 口的端口号，所述端口分配模块将所述源地址中的所述用户的内部IP 地址转换为所述设备为所述用户分配的外部IP地址，将所述内部端 口的端口号替换为所述设备通过预设策略为所述用户选取的外部端 口的端口号。

所述端口分配模块根据所述报文中的目的地址，将所述报文发送 至外部网络中的目的设备。

进一步的，所述端口分配模块获取所述用户的日志信息，其中， 所述用户的日志信息至少包含所述用户的标识信息，所述用户的内部 IP地址，所述用户的内部端口的端口号信息，所述用户的外部IP地 址以及所述端口块的信息。在所述用户上线和下线时，该设备将所述 用户的日志信息发送至日志服务器。当需要对该用户在上线期间的通 信情况进行查询时，根据所述用户上线时的日志信息和下线时的日志 信息，以及其他相关信息，如时间信息等，就可以获取到用户在上线 期间的通信情况。

本发明实施例提供一种分配端口资源的方法，在该方法中，端口 分配模块根据用于唯一标识用户的标识信息为用户分配端口块，由于 该端口块与该用户是唯一对应的，从而解决了现有NAT444技术中端 口分配模块存在功能缺陷的问题。

为解决现有NAT444技术端口分配模块存在功能缺陷的问题，本发明 实施还提供了一种分配端口资源的方法，该方法应用于一种分配端口资源 的系统，该系统包括用户、用户认证管理模块和端口分配模块，其中，所 述用户认证管理模块和所述端口分配模块可以位于同一个设备中，也可以 位于不同的设备中，结合图5，该方法包括：

501、用户向用户认证管理模块发送上线请求。

502、所述用户认证管理模块对用户进行认证，认证通过后，为所述 用户分配唯一标识所述用户的标识信息。

503、所述用户认证管理模块获取标识所述用户属性的属性信息，并 记录所述用户的标识信息和所述属性信息的对应关系。

504、所述用户认证管理模块向端口分配模块发送端口请求消息， 所述端口请求消息中携带所述标识信息。

具体的，步骤503和步骤504之间没有先后顺序，可以先执行步骤 503，也可以先执行步骤504，本发明实施例对此不做限定。

505、所述端口分配模块根据所述标识信息，为所述用户分配外部IP 地址和所述外部IP地址对应的端口块。

506、所述端口分配模块记录所述用户的标识信息与所述外部IP地址 以及所述端口块的对应关系。

507、所述端口分配模块向所述用户认证管理模块发送端口分配完成 消息。

具体的，步骤506和步骤507之间没有先后顺序，可以先执行步骤 506，也可以先执行步骤507，本发明实施例对此不做限定。

508、所述用户认证管理模块向所述用户发送响应消息，所述响应消 息用于指示所述用户上线成功。

509、所述用户向所述用户认证管理模块发送报文，所述报文中包含 所述用户的属性信息。

510、所述用户认证管理模块根据所述用户的属性信息与所述标识 信息的对应关系，确定所述用户的标识信息。

511、所述用户认证管理模块将所述标识信息添加至所述报文， 并将所述报文发送至所述端口分配模块。

512、所述端口分配模块根据所述标识信息与所述外部IP地址以 及所述端口块的对应关系，确定所述外部IP地址以及所述端口块。

513、所述端口分配模块按照预设的策略选取所述端口块中的一 个端口作为外部端口。

514、所述端口分配模块将所述源地址信息中的内部IP地址与内 部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口 号信息，并根据所述报文中的目的地址将所述报文发送至目的设备。

需要说明的是，本发明实施例的详细技术特征可参见图2-图4 所对应的实施例，本发明实施例对此不再赘述。

本发明实施例提供了一种分配端口资源的方法，在该方法中，用户认 证管理模块接收到用户的上线请求消息并完成对该用户的认证后，为该用 户分配唯一标识所述用户的标识信息，并将包含该用户的标识信息的端口 请求消息发送至端口分配模块，端口分配模块根据用户的标识信息为该用 户分配外部IP地址和该外部IP地址对应的端口块，解决了现有NAT444 技术中端口分配模块存在功能缺陷的问题。

为解决现有NAT444技术端口分配模块存在功能缺陷的问题，本发明 实施还提供了一种用户认证管理的装置，结合图6，该装置包括：分配单 元601，发送单元602和接收单元603；

所述分配单元601，用于在所述装置接收用户发送的上线请求， 完成对所述用户的认证之后，为所述用户分配唯一标识所述用户的标 识信息；

所述发送单元602，用于向端口分配模块发送端口请求消息，所 述端口请求消息中携带所述标识信息，以便于所述端口分配模块根据 所述标识信息为所述用户分配端口资源；

所述接收单元603，用于接收所述端口分配模块发送的端口分配 完成消息；

所述发送单元602还用于：向所述用户发送响应消息，所述响应 消息用于指示所述用户上线成功。

具体的，结合图7，该装置还包括：获取单元604，记录单元605， 确定单元606和添加单元607；

所述获取单元604，用于获取标识所述用户属性的属性信息；

所述记录单元605，用于记录所述用户的属性信息与所述标识信 息的对应关系；

所述接收单元603还用于：接收所述用户发送的报文，其中，所 述报文中包含所述用户的属性信息；

所述确定单元606，用于根据所述用户的属性信息与所述标识信 息的对应关系，确定所述用户的标识信息；

所述添加单元607，用于将所述标识信息添加至所述报文。

具体的，本发明实施例的详细技术特征可参见上述图2和图3所 对应的方法的实施例，本发明实施例对此不再赘述。

本发明实施例提供了一种用户认证管理的装置，该装置接收到用户的 上线请求消息并完成对该用户的认证后，为该用户分配唯一标识所述用户 的标识信息，并将包含该用户的标识信息的端口请求消息发送至端口分配 模块，以使得端口分配模块根据用户的标识信息为该用户分配外部IP地 址和该外部IP地址对应的端口块，由于在用户上线期间该标识信息是唯 一确定的，不会发生变化，从而解决了现有NAT444技术中端口分配模块 存在功能缺陷的问题。

为解决现有NAT444技术端口分配模块存在功能缺陷的问题，本发明 实施还提供了一种分配端口资源的装置，结合图8，该装置包括：接收单 元801，分配单元802和发送单元803；

所述接收单元801，用于接收用户认证管理模块发送的端口请求 消息，所述端口请求消息中携带唯一标识用户的标识信息；

所述分配单元802，用于根据所述标识信息，为所述用户分配外 部互联网协议IP地址，以及所述外部IP地址对应的端口块，其中， 所述外部IP地址用于所述用户与外部网络进行通信；

所述发送单元803，用于向所述用户认证管理模块发送端口分配 完成消息。

具体的，结合图9，该装置还包括：记录单元804，确定单元805， 选取单元806和替换单元807；

所述记录单元804，用于记录所述标识信息与所述外部IP地址以 及所述端口块的对应关系；

所述接收单元801还用于：接收所述用户发送的报文，其中，所 述报文包含所述用户的标识信息和所述用户的源地址信息，所述用户 的源地址信息包含所述用户的内部IP地址和所述内部IP地址对应的 内部端口的端口号信息，其中，所述内部IP地址用于所述用户与内 部网络进行通信；

所述确定单元805，用于根据所述标识信息与所述外部IP地址以 及所述端口块的对应关系，确定所述外部IP地址以及所述端口块；

所述选取单元806，用于按照预设的策略选取所述端口块中的一 个端口作为外部端口；

所述替换单元807，用于将所述源地址信息中的内部IP地址与内 部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口 号信息。

可选的，结合图10，该装置还包括：获取单元808；

所述获取单元808，用于获取所述用户的日志信息，其中，所述 用户的日志信息至少包含所述用户的标识信息，所述用户的内部IP 地址，所述用户的内部端口的端口号信息，所述用户的外部IP地址 以及所述端口块的信息；

所述发送单元803还用于：将所述用户的日志信息发送至日志服 务器。

具体的，本发明实施例的详细技术特征可参见上述图4所对应的 方法的实施例，本发明实施例对此不再赘述。

本发明实施例提供一种分配端口资源的装置，该装置根据用于唯 一标识用户的标识信息为用户分配端口块，由于在用户上线期间，该 端口块与该用户是唯一对应的，从而解决了现有NAT444技术中端口 分配模块存在功能缺陷的问题。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可 读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而 前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序 代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并 不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。 因此，本发明的保护范围应以所述权利要求的保护范围为准。