专利名称:私网网元用公网地址借助nat设备实现内部访问的方法
技术领域:
本发明涉及IP网络通信领域,特别涉及通过网络地址转换技术进行网络互联的方法。
背景技术:
随着因特网的迅速发展,因特网网络地址日益面临被耗尽的危险。为了使局域网中的多台主机能够通过有限的几个公网地址接入Internet,一种网络地址转换(Network Address Translation,简称“NAT”)技术应运而生。NAT技术是一种地址转换技术,通常用于内部网络内具有私有IP地址的主机访问外部网络时,将该主机的内部局部地址(Inside Local Address)转换为一个外部唯一可识别的合法IP地址(Inside Global Address);同时,将外部网络返回给内部网络主机的合法IP地址(Inside Global Address)映射回在内部网络中该主机的私有IP地址(Inside Local Address),使得不同私有网络可以使用相同的私有IP地址段,在不会导致地址信息出现混乱的前提下,和外部网络进行正常通信,从而扩展了IP地址的应用范围,在一定程度上缓解了当前IPv4地址空间不足的问题。
NAT技术典型应用如图1所示,从图可以看出,NAT设备逻辑上分为内部(inside)和外部(outside)两个域,当报文从inside域进入outside域或者从outside域进入inside域时,需要对报文IP地址进行相应转换。
NAT技术通常应用在私网出口网关设备上,当私网用户(inside)访问外网internet(outside)时,负责对外网不识别的私有地址进行翻译,而私网内部之间仍然通过私网地址进行互相访问。
NAT技术通常应用在私有网关出口设备上,当私网内主机要与公网主机(例如处于internet上的某台主机)进行通信时,NAT负责完成对私网主机地址的转换。而私网内主机与私网内主机通信可以直接通过私网地址进行访问。
但在某些情况下,企业为了部署的方便性和统一性,要求能够通过公网地址访问私网内的某台主机,例如附图2所示应用。企业网内部署的全部是私网IP地址,包括服务器和普通用户。网关应用NAT技术,服务器采用静态NAT(即内部地址与外部地址的映射关系可以是静态定义好的,不会发生变化的静态一对一的映射关系)将服务器的私网地址映射到一个公网地址,对外提供服务;域名服务器(DNS)采用外网的DNS,企业内部不再部署新的DNS。
在上述组网应用中,当企业普通用户通过域名方式访问企业内部服务器时,会从外网DNS解析到一个公网地址然后通过公网地址进行访问。由于这个公网地址在私网内是不可见的(服务器在私网内是一个私有IP地址),报文在私网内无法路由直接到达服务器,因此报文被转发到出口网关上做NAT转换,将这个公网地址翻译成私网内可识别的私网地址,从而达到访问服务器的目的。从图2可以看出,这种报文要能通过NAT设备访问服务器,报文是从inside接口进从inside接口出的,鉴于目前的某些NAT实现技术,这种NAT转换操作是无法实现的。因此,本发明针对这种组网应用,提供一种可行的解决方案,以实现基于公网地址和网络地址转换技术的私网内部访问。
发明内容
本发明所要解决的技术问题是提供一种私网网元通过公网地址借助NAT设备实现内部访问的方法,使私网内的终端通过公网地址借助NAT设备进行内部访问。
为了解决上述技术问题,本发明提供了一种私网网元通过公网地址借助NAT设备实现内部访问的方法,在网络地址转换设备即NAT设备的入接口配置路由策略,使报文完成从NAT设备的入接口到出接口的NAT转换,再将外网返回的报文进行从所述NAT设备出接口到入接口的NAT转换,实现报文从NAT设备入接口到入接口的发送。
进一步地,所述报文是指私网内发送方发送到私网内接收方的请求报文,所述请求报文的源地址是私网内发送方的私网地址,目的地址是私网内接收方的公网地址;或私网内接收方返回给私网内发送方的应答报文,所述应答报文的源地址是私网内接收方的私网地址,目的地址是私网内发送方的公网地址。
进一步地,所述请求报文在所述NAT设备入接口的NAT转换是将所述请求报文的源地址即所述私网内发送方的私网地址转换成其公网地址;外网返回的经过NAT转换的请求报文在所述NAT设备出接口的NAT转换是将所述经过NAT转换的请求报文的目的地址即所述私网内接收方的公网地址转换成其私网地址。
进一步地,所述应答报文在所述NAT设备入接口的NAT转换是将所述应答报文的源地址即所述私网内接收方的私网地址转换成其公网地址;外网返回的经过NAT转换的应答报文在所述NAT设备出接口的NAT转换是将所述经过NAT转换的应答报文的目的地址即所述私网内发送方的公网地址转换成其私网地址。
进一步地,私网内发送方发送请求报文到私网内接收方,包括以下步骤(a1)私网内发送方向NAT设备发送请求报文;(a2)所述NAT设备将接收到的请求报文从所述NAT设备入接口路由到出接口,并做入接口到出接口方向的源NAT转换,将所述私网内发送方的私网地址转换成其公网地址;(a3)经源NAT转换的请求报文路由转发到外网后又经路由转发回所述NAT设备;(a4)所述NAT设备收到外网返回的经源NAT转换的请求报文后,进行出接口到入接口方向的目的NAT转换,将所述私网内接收方的公网地址转换成其私网地址;(a5)经目的NAT转换的请求报文被路由转发到私网内接收方。
进一步地,私网内接收方返回应答报文给私网内发送方,包括以下步骤(b1)私网内接收方返回的应答报文路由转发到所述NAT设备上;
(b2)NAT设备将接收到的应答报文从所述NAT网关设备入接口路由到出接口,并做入接口到出接口方向的源NAT转换,将私网内接收方私网地址转换成其公网地址;(b3)经源NAT转换的应答报文路由转发到外网后被路由转发回所述NAT设备;(b4)所述NAT设备收到外网返回的经源NAT转换的应答报文后,进行出接口到入接口方向的目的NAT转换,将私网内发送方公网地址转换成其私网地址;(b5)经目的NAT转换的报文转被路由转发到私网内发送方。
进一步地,所述私网内的发送方是私网内的用户终端,或者是私网内的服务器;所述私网内的接收方是私网内的用户终端,或者是私网内的服务器。
与现有技术相比,本发明提出的私网网元通过公网地址借助NAT设备的内部访问方法,只需在NAT网关设备的入接口增加路由策略控制,在设备上新增几条配置即可实现需求,无须更改原先系统的任何设计,对原设备上的业务没有任何影响。
图1为现有技术中简化地通用NAT组网示意图;图2为现有技术中一种基于NAT技术的私网组网示意图;图3为NAT设备进行地址转换的示意图;图4为在本实施例中私网用户借助NAT设备发起以公网地址访问私网服务器的报文的流程图;图5为本实施例中私网服务器借助NAT设备响应私网用户报文的流程图。
具体实施例方式
如图3示,PC1和PC2同处于私有网络内部,PC1的私网地址为A,PC2的私网地址为B。NAT网关上将私有地址A映射成公网地址C,私有地址B映射成公网地址D。现在PC1和PC2之间要通过公网地址C和D进行相互访问。
在本文中,为了描述的方便性,将PC1定义为私网内的一个普通用户,简称私网用户;将PC2定义为私网内的一台服务器,简称私网服务器。以下描述中直接以私网用户和私网服务器代替PC1和PC2。
一个完整的私网用户借助NAT设备实现以公网地址访问私网服务器过程包括私网用户发送请求报文到私网服务器和私网服务器返回应答报文给私网用户。本发明通过在NAT网关设备的报文入接口采用路由策略控制,使报文经过NAT网关设备的inside到outside,再从其outside到inside的两次完整的NAT转换流程,实现一次inside到inside方式的转换。所述一次完整的NAT转换是指报文从NAT网关设备的inside到outside,或者是从outside到inside的转换。对于私网用户发送请求报文到私网服务器的NAT转换来说,在NAT设备上通过做inside到outside、outside到inside两次完整的NAT转换来实现将服务器的公网地址转换成其私网地址;对于私网服务器返回应答报文给私网用户的NAT转换来说,在NAT设备上通过做inside到outside、outside到inside两次完整的NAT转换,实现将私网服务器的私网地址转换回公网地址。
在本实施例中,如图4所示,私网用户采用公网地址通过NAT网关设备向私网服务器发送报文的流程,包括以下步骤步骤A,私网用户向NAT网关设备发送请求报文,该请求报文用于请求访问私网服务器,其源IP地址是用户私网地址,目的IP地址是服务器公网地址;步骤B,NAT网关设备根据其入接口配置的路由策略,将接收到的请求报文从其入接口路由到出接口,并做inside到outside方向的源NAT转换,将私网用户的私网地址转换成其公网地址;
所述入接口是NAT网关设备与私网互联的接口,所述出接口是NAT网关设备与外网互联的接口。
步骤C、步骤D,经源NAT转换的请求报文路由转发到外网,之后又经路由转发回NAT网关设备;步骤E,外网返回的经源NAT转换的请求报文到达NAT网关设备后,NAT设备做outside到inside方向的目的NAT转换,将私网服务器的公网地址转换成其私网地址;只要配置了NAT规则就可以进行outside到inside的转换。
步骤F,经目的NAT转换的报文被路由转发到服务器,实现私网用户请求报文到私网服务器的转发。
在本实施例中,如图5所示,私网服务器借助NAT设备返回报文给私网用户,包括以下步骤步骤G,私网服务器返回的应答报文经路由转发到NAT网关设备上,应答报文源IP地址是私网服务器私网地址,目的IP地址是私网用户公网地址;步骤H,NAT网关设备根据其入接口配置的路由策略,将接收到的应答报文路由到设备的出接口,并做inside到outside方向的源NAT转换,将私网服务器私网地址转换成公网地址;步骤I、步骤J,经源NAT转换的应答报文被路由转发到外网,之后被路由转发回NAT网关设备;步骤K,经源NAT转换的应答报文到NAT网关设备后,做outside到inside方向的目的NAT转换,将私网用户公网地址转换成其私网地址;步骤L,经目的NAT转换的报文被路由转发到私网用户设备,实现了私网服务器的应答报文到私网用户的转发。
应当指出的是,本发明还可有其它多种实施和扩充方式,在不背离本发明精神和范围的情况下,熟悉本领域的技术人员显然可以对本发明做出各种相应的改变和扩充,但这些改变和扩充都应当属于本发明所附权利要求所保护的范围。
例如,本发明可以用于私网内用户与用户之间的访问,或者用于私网内服务器与服务器之间的访问,流程同上。
权利要求
1.一种私网网元通过公网地址借助NAT设备实现内部访问的方法,在网络地址转换设备即NAT设备的入接口配置路由策略,使报文完成从NAT设备的入接口到出接口的NAT转换,再将外网返回的报文进行从所述NAT设备出接口到入接口的NAT转换,实现报文从NAT设备入接口到入接口的发送。
2.如权利要求1所述的方法,其特征在于,所述报文是指私网内发送方发送到私网内接收方的请求报文,所述请求报文的源地址是私网内发送方的私网地址,目的地址是私网内接收方的公网地址;或私网内接收方返回给私网内发送方的应答报文,所述应答报文的源地址是私网内接收方的私网地址,目的地址是私网内发送方的公网地址。
3.如权利要求2所述的方法,其特征在于,所述请求报文在所述NAT设备入接口的NAT转换是将所述请求报文的源地址即所述私网内发送方的私网地址转换成其公网地址;外网返回的经过NAT转换的请求报文在所述NAT设备出接口的NAT转换是将所述经过NAT转换的请求报文的目的地址即所述私网内接收方的公网地址转换成其私网地址。
4.如权利要求2所述的方法,其特征在于,所述应答报文在所述NAT设备入接口的NAT转换是将所述应答报文的源地址即所述私网内接收方的私网地址转换成其公网地址;外网返回的经过NAT转换的应答报文在所述NAT设备出接口的NAT转换是将所述经过NAT转换的应答报文的目的地址即所述私网内发送方的公网地址转换成其私网地址。
5.如权利要求3所述的方法,其特征在于,私网内发送方发送请求报文到私网内接收方,包括以下步骤(a1)私网内发送方向NAT设备发送请求报文;(a2)所述NAT设备将接收到的请求报文从所述NAT设备入接口路由到出接口,并做入接口到出接口方向的源NAT转换,将所述私网内发送方的私网地址转换成其公网地址;(a3)经源NAT转换的请求报文路由转发到外网后又经路由转发回所述NAT设备;(a4)所述NAT设备收到外网返回的经源NAT转换的请求报文后,进行出接口到入接口方向的目的NAT转换,将所述私网内接收方的公网地址转换成其私网地址;(a5)经目的NAT转换的请求报文被路由转发到私网内接收方。
6.如权利要求4所述的方法,其特征在于,私网内接收方返回应答报文给私网内发送方,包括以下步骤(b1)私网内接收方返回的应答报文路由转发到所述NAT设备上;(b2)NAT设备将接收到的应答报文从所述NAT网关设备入接口路由到出接口,并做入接口到出接口方向的源NAT转换,将私网内接收方私网地址转换成其公网地址;(b3)经源NAT转换的应答报文路由转发到外网后被路由转发回所述NAT设备;(b4)所述NAT设备收到外网返回的经源NAT转换的应答报文后,进行出接口到入接口方向的目的NAT转换,将私网内发送方公网地址转换成其私网地址;(b5)经目的NAT转换的报文转被路由转发到私网内发送方。
7.如权利要求2所述的方法,其特征在于,所述私网内的发送方是私网内的用户终端,或者是私网内的服务器;所述私网内的接收方是私网内的用户终端,或者是私网内的服务器。
全文摘要
本发明公开了一种私网网元通过公网地址借助NAT设备实现内部访问的方法,使私网内的终端通过公网地址借助NAT设备进行内部访问。本发明所述方法包括,在网络地址转换设备即NAT设备的入接口配置路由策略,使报文完成从NAT设备的入接口到出接口的NAT转换,再将外网返回的报文进行从所述NAT设备出接口到入接口的NAT转换,实现报文从NAT设备入接口到入接口的发送。
文档编号H04L29/06GK101052009SQ20071010694
公开日2007年10月10日 申请日期2007年5月14日 优先权日2007年5月14日
发明者洪先进 申请人:中兴通讯股份有限公司