CN101252509B - 双-nat方法在动态虚拟专用网络(vpn)的数据包处理及路由中的应用 - Google Patents

Abstract

本发明公开一种使用双-NAT结构对虚拟专用网络(VPN)系统进行数据包处理和路由的系统和方法，以在应用程序，主机之间，或者网络的任何两个末端站点之间，在不暴露各自实际IP地址和网络拓扑的情况下，提供双向安全连接。所述方法包括给客户提供一系列远程网络上的可用的资源；由客户发起一个请求，请求资源虚拟专用网络节点上存储的可用资源列表中的一个或者多个资源，这些资源，对终端用户来看就像是本地资源；将资源和目标IP地址转换成一对客户和资源动态VPN(DVPN)地址；将请求路由到远程网络；将客户和资源DVPN地址网络地址转换成远程网络的本地IP地址；将请求发送到至少一个资源；使用相反的网络地址转换和路由过程处理响应数据包。

Description

双-NAT方法在动态虚拟专用网络(VPN)的数据包处理及路由中的应用

技术领域

本发明提出一种在动态虚拟专用网络(DVPN)系统中使用双网络地址转换(NAT)方法对虚拟专用网络(VPN)进行包处理和路由的系统和方法，具体来说，本发明讲述一种使用DVPN网关在应用程序、主机或者任何两个末端站点之间，不互相暴露IP地址和网络拓扑的情况下，提供双向安全连接的方法。 

背景技术

最常见的一种将分散的计算机组织起来的网络就是国际互联网。国际互联网允许计算机系统的使用者在全球范围内进行数据交换。此外，很多形式为公司或者商业网络这样的专用网络也连接到国际互联网中。这些专用网络通常被称为“内部互联网”。为了便于数据交换，内部互联网通常使用与国际互联网相同的通信协议。这些国际互联网协议(IP)规定了数据的格式方式和怎样通讯。另外，可以通过网关来控制访问公司网络或者内部互联网，其通常包括一个防火墙系统。 

随着国际互联网的发展的流行，商业活动将国际互联网作为一种扩展他们自己网络的一种方式。首先出现了内部互联网，其是一种设计成只能由公司职员使用的访问控制站点。目前，很多公司建立了自己的虚拟专用网络(VPN，virtual private network)来满足远程职员和远距离办公室的要求。VPN通常是使用公共网络(通常是国际互联网)来将远程站点或使用者连接专用国际互联网。与使用专门的、实际的连接(例如租用线路)相反，VPN使用″虚拟的″连接，通过国际互联网，将公司的专用网络连接给远程站点或者职员。 

在一种典型的结构中，本地网络使用一种设计成“专用”的IP地址子网(例 如192.168.x.x，10.x.x.x或172.16.x.x-172.31.x.x)，以及一种上述网络中的路由器，其具有在上述地址空间中的专用地址(例如192.168.0.1)。这个路由器还通过一个“公共”的地址或者由ISP(国际互联网服务提供者)指定的多个“公共”地址连接到国际互联网。随着流量从本地网络传送到国际互联网，每个信息包中的资源地址在从专用地址发送到公共地址的传送的过程中，进行转换。路由器追踪与每个主动的连接(特别是目的地址和端口)有关的数据。当响应返回到路由器时，路由器使用其在输出阶段储存的连接追踪数据来决定向内部网络的哪里传递上述响应。 

典型的虚拟专用网络的网关或者装置包括一个安全通信，以用在与开放并且通常是不安全的网络，例如国际互联网的连接。为了在虚拟专用网络(VPN)的任何两个节点之间建立安全通信，每个节点通过一些装置信息(“结构”)获得(包括但不限于)：VPN内远程节点的身份和状态，节点之间(VPN拓扑)的关系，为了进行认证的加密算法，以及节点之间的数据通信加密。两个节点之间的安全的通信通常被称为“隧道”，而节点本身通常被称为“隧道终端器”。传统的VPN解决方案包括一定数量的隧道终端装置，这些装置提供一个VPN通信的中心″网络集线器(hub)″。接着，在期望VPN的上共享的节点上运行软件，上述软件根据VPN装置的地址人工地构造，然后运行软件以在VPN中共享。传统的VPN解决方案会暴露两个末端VPN节点的内部网络拓扑。客户(请求者)和资源(服务)在他们自己的VPN节点中，使用本地IP地址相互通信。 

因此，希望提供这样一种应用程序和应用系统：其可任何资源(服务)，和任何应用程序层级内容，这些内容可以使用双NAT方法，通过虚拟专用网络隧道发送，并且，其没有公开本地内部网络拓扑，而且可以很容易地应用，这是因为系统和方法允许IP地址或者子网络在两个末端站点之间冲突。 

发明内容

根据本发明的一个实施方式，提供了一种使用双-NAT(网络地址转换)装 置用于虚拟专用网络信息包级路由的方法，其包括：给客户虚拟专用网络节点上的至少一个客户提供主机存储在资源虚拟专用网络节点上的可用的资源列表；给资源虚拟专用网络节点上的至少一个资源分配客户虚拟专用网络节点上的本地(虚拟)IP地址；由至少一个客户发起一个请求，请求资源虚拟专用网络节点上主机存储的可用资源列表中的至少一个资源，就像该至少一个资源相对于至少一个客户来说是本地的，并未暴露资源虚拟专用网络节点上可用的资源列表的实际IP地址，其中与客户虚拟专用网络节点相连的客户动态虚拟专用网络(DVPN)网关将本地(实际)客户IP地址和本地(虚拟)资源IP地址转换成客户DVPN地址和资源DVPN地址；通过安全连接，路由具有客户DVPN地址和资源DVPN地址的请求信息包，发送到与资源虚拟专用网络节点相连的资源动态虚拟专用网络(DVPN)网关；将客户DVPN地址和资源DVPN地址转换成本地(虚拟)客户IP地址和资源虚拟专用网络节点上的本地(实际)资源IP地址，其中由资源DVPN网关执行上述转换；通过资源虚拟专用网络节点上的至少一个资源响应请求，尽管上述请求是在资源虚拟专用网络节点上在本地发起，并未暴露客户虚拟专用网络节点上至少一个客户虚拟IP地址；通过安全连接，从资源虚拟专用网络节点上的至少一个资源将响应信息包路由回客户虚拟专用网络节点上的至少一个客户，其中资源DVPN网关将资源虚拟专用网络节点上的本地(实际)资源IP地址和本地(虚拟)客户IP地址转换成资源DVPN地址和客户DVPN地址，以通过安全隧道发送至客户DVPN网关；以及将响应信息包发送到至少一个客户，其中客户DVPN网关将资源DVPN地址和客户DVPN地址转换成客户虚拟专用网络节点上的本地(虚拟)资源IP地址和本地(实际)客户IP地址。 

附图说明

下面将根据附图显示的实施例，详细说明本发明，其中相同的元件使用相同的附图标记，其中 

图1显示出根据本发明一个实施例的动态虚拟专用网络(DVPN)访问场 景的示意图，其中发布(提供)配置在一个站点(资源站点)上的资源给另外一个站点(客户站点)； 

图2显示了根据一个实施例，涉及双-NAT信息包封装格式的图表； 

图3显示了一种用于在两个对等虚拟专用网络(VPN)节点之间，使用DVPN地址的动态专用网络(DVPN)示意图； 

图4显示了根据本发明的一个实施例，在两个对等VPN节点之间，为了远程资源服务配置的网络地址转换(NAT)/端口地址转换(PAT)规则的图表； 

图5显示了根据一个实施例，对于在两个对等VPN节点之间的远程资源访问信息包流的单独NAT规则的图表； 

图6显示了使用动态端口协议，在具有应用程序资源(例如文件传输协议(FTP))的对等VPN节点之间的动态VPN(DVPN)的结构示意性图； 

图7显示了在用户和FTP服务器之间涉及主动模式的文件传输协议(FTP)的流程图； 

图8显示了涉及从用户到FTP服务器发送端口命令信息包的图表； 

图9显示了涉及使用主动模式文件传输协议(FTP)网络地址转换端口命令信息包内容的图表； 

图10显示了涉及信息包流从FTP服务器数据端口传送到用户数据端口的图表； 

图11显示了涉及在用户和FTP服务器之间的被动模式文件传输协议(FTP)的流程图； 

图12显示了涉及从用户发送PASV命令信息包到FTP服务器的图表； 

图13显示了涉及使用被动模式文件传输协议(FTP)网络地址转换的端口命令信息包内容的图表； 

图14显示了涉及信息包流从用户数据端口传送至FTP服务器数据端口的图表。 

具体实施方式

当今注重的是，很多工业和企业希望通过提高职员生产力以及商业灵活性，来简化、优化商业运行，同时应改善网络管理并大幅减少费用。为了提供安全、包括远程以及内部范围内的请求式访问(on-demand access)，使用虚拟专用网络(VPN，virtual private net work)设备(aka网关)能够将职员与远程应用程序与信息(即，资源/服务)连接起来，以满足客户的需要，这些用户包括从小型、本地的商业机构到大型、全球化的企业，从金融服务机构、卫生保健机构到政府和教育部门。例如，安全地访问应用程序、基于网络上获取的内容可以被几乎所有类型的商业机构用来传递快速、安全的访问到行政管理、医疗卫生应用程序、卫生保健工业中的病人记录，提高用户服务并且减少金融机构的花费、优化零售供应链和职员的生产力，使得快速、安全的访问到达行政管理和教育应用程序；为重要的操作和政府部门的数据提供最快的访问和高规格的安全性；提供快速、安全的访问和e-mail服务，对国际互联网现代化管理的安全保证。 

基于网络的应用程序有助于整合公司的系统，因此能够分享信息并将职员、供货商、管理人员连接起来，从而将商业过程自动化。无论国际互联网是否用于金融、供货链、顾客关系管理或者其他企业要害应用，最重要的要求是相同的：如果没有合适的运行层次，有效性、安全性和应用程序构不能获得预想的回馈。而且，当顾客和顾客装置需要通过基于网络或者基于程序更好地访问数据和服务时，对运行、有效性和安全性提升产品和方案的需求非常巨大。 

图1为动态虚拟专用网络(DVPN)的示意图，显示了访问场景或者系统10，其将构造在一个站点(资源站点)上的资源发布(提供)至另外一个站点(客户站点)。根据一个实施例，一个完整的DVPN访问过程优选地包括如下步骤：建立安全连接或者隧道90，发布至少一个资源和路由资源访问数据信息包。建立起来的安全连接或者隧道90，优选地包括建立一个安全连接或者隧道90，优选地包括在资源虚拟专用网络节点20(站点A)和客户虚拟网络节点50 (站点B)之间建立加密套接字协议层(SSL，secure sockets layer)，其中隧道90用来传送控制信息并发送数据流。然而，应当理解的是，这里描述的系统和方法可以用于任何合适的安全连接或者隧道。 

资源虚拟专用网络节点20(站点A)优选地包括至少一个资源40，从而资源虚拟专用网络节点20能够通过SSL连接90，将至少一个资源40，例如具有(实际)资源IP地址10.1.0.200:80(42)的网络服务网络1(Web1)(资源名称)发布(或者提供)到客户虚拟专用网络节点50(站点B)。根据一个实施例，客户虚拟专用网络节点50获得实际的资源信息，并将本地IP地址10.2.0.100(56)，以及选择性的新的端口号8080，分配至上述资源，上述分配使用了动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)，一个预先构造的IP地址池，或者任何合适的方法，从而至少一个远程资源40在客户虚拟专用网络站点50(站点B)上映射成本地(虚拟)资源。通常，发布至少一个资源的虚拟专用网络节点或者站点(在本实施例中是站点A)被称为“资源站点”，并且接收从其他站点传送的资源的虚拟专用网络节点或者站点(在本实施例中是站点B)被称为“客户站点”。应当理解的是，通常，“客户”指是的是实际的客户，“资源”指的是实际的资源。 

如图1所示，系统10包括一个资源虚拟专用网络节点20(站点A)，其具有至少一个资源40，以及与资源VPN节点20相连的动态虚拟专用网络(DVPN)网关30。系统10还包括一个客户动态虚拟专用网络(DVPN)网关60，其与具有至少一个客户或者客户机70的客户VPN节点50(站点B)相连接。资源和客户DVPN网关30，60一起工作，从而将为客户70准备的任何资源配置到远程访问，而不会暴露本地内部网络资源和客户VPN节点20，50的拓扑。资源和客户虚拟专用网络节点20，50优选地构造成使用设置在各自末端动态虚拟专用网络网关，通过通信网络80(即国际互联网)安全地相互交流。此外，值得注意的是，客户VPN节点50能够构造成至少能够主机存储一个资源，从而资源VPN节点20能够成为客户节点，且这个客户节点能够被用作资源节点。 

值得注意的是，在网络系统10(图1)的资源节点20和客户节点50之间 交换数据，可以是在客户或者客户机70，例如计算机设备(例如是，计算机，(个人数字助理)PDA，手机，任何具有嵌入CPU/软件的设备)和/或运行在计算机设备的应用程序与一组资源之间(文件，服务，设备，等等)之间进行，这种交换可以通过单独的名称和/或IP地址和端口号来识别。每一个节点20，50优选地包括敏感特性的信息，包括诸如涉及金融、商业发展计划或者私人e-mail的机密数据。 

根据本发明的一个实施例，系统10可包括一种用于虚拟专用网络(VPN)信息包级路由的设备和方法。如图1所示，资源和客户DVPN(动态虚拟专用网络)网关30，60构造成：通过其他VPN节点20，50以下列方式访问应用程序和其他相关的资源，例如在一个VPN节点20，50上的e-mail：当通过提供信息包级路由和提供动态双-NAT资源和目的地址的方法和系统来传送或者访问资源的时候，这些资源是安全的，且不会暴露两个VPN节点的本地网络拓扑。资源节点20和客户VPN节点50分别包括至少一个动态虚拟专用网络(DVPN)网关30，60。DVPN网关30，60允许客户或者客户设备70发送请求并在其他的VPN节点上连接到资源，例如资源虚拟专用网络(VPN)节点20上的资源40，并接受回馈响应，而不用知道资源虚拟专用网络(VPN)节点20的特定IP地址和/或网络拓扑。在使用过程中，客户或者客户设备70请求一个文件，或者其他提供在一个远程资源VPN节点20上的资源。客户VPN节点50上的客户DVPN网关60，作为一种虚拟资源，将接受请求，并将请求通过资源DVPN网关30路由到资源VPN节点20上的远程资源上，作为资源VPN节点20上的虚拟客户。该响应沿着相反的路径。在一些情况下值得注意的是，DVPN网关30，60能够出于各种目的改变客户的请求内容或者资源的响应内容，例如支持微软交换协议传报应用程序编程接口(MAPI)和Windows文件共享协议通用网际文件系统(CIFS)，这些协议在其内容中嵌入IP地址和端口号。 

如图1所示，跨越通信网络80，例如国际互联网，在资源VPN节点20和客户VPN节点50之间使用隧道协议建立隧道90，该隧道将一个协议或者通话封装到另一个协议或者对话当中。隧道协议优选地包括一个合适的协议，其中 数据的传输想要通过公共网络以下列方式仅在专用网络，通常是企业网络中使用：公共网络中的路由节点并不知道该传输是专用网络的一部分。值得注意的是，隧道优选地通过在公共网络传输单元中封装专用网络数据和协议信息，从而专用网络协议信息对公共网络来说看来像是数据。 

值得注意的是，根据一个实施方式，每一个VPN节点例如节点50，包括如在网络系统10内的其他VPN节点20上的虚拟资源列表。上述可用的资源列表可以使用任何合适发布方式(也即资源提供)在节点20，50之间交换。例如，可用资源的发布可包括通过节点或者网络管理员和/或动态资源提供的资源人工输入(或提供)，其中在资源和客户VPN节点20，50之间建立的隧道提供主机存储在资源VPN节点20上的可用资源列表的输出，从而可以提供至少一种资源用于由与客户VPN节点50相关的客户进行访问。在合适的资源提供后，客户DVPN虚拟专用网络网关60与客户70进行相互作用，以远程资源40的名义，好像远程资源40是在客户VPN节点50上具有本地IP地址和端口号10.2.0.100:8080(56)的(虚拟)资源。这个过程也可以适用于从客户VPN节点50向资源VPN节点20提供资源。 

根据一个实施例，使用安全协议形成隧道90，例如SSL或传送层安全协议(TLS，transport layer security)，这些协议提供国际互联网上的安全通信，例如为e-mail，网络传真，以及其他数据传送。SSL使用加密技术提供国际互联网上的终端认证和通信保密。 

如图1所示，资源VPN节点20具有本地IP子网IP10.1.0.0/16(44)，客户VPN节点50具有IP子网IP10.2.0.0/16(54)。每个VPN节点20，50包括至少一个资源40，其可以通过一个资源名称例如网络服务Web1来访问。为了远程访问至少一个资源40，在具有IP地址以及端口号10.1.0.200:80(42)的资源VPN节点20上，客户70与客户VPN节点50相连，发送请求以通过客户VPN节点50上的客户DVPN网关60来访问至少一个资源40，以在资源VPN节点20和客户VPN节点50之间，跨越通信网络80建立优选安全连接或者隧道90。在合适的提供之后，远程资源40具有本地名称Web1’和IP地址和端口号 10.2.0.100:8080，成为客户VPN节点50上的(虚拟)资源。 

值得注意的是，为了保持网络的基于安全考虑的不透明性，优选地，只有最少的需要远程访问的可获得资源或者应用程序的数据将被交换。例如，为了远程访问资源VPN节点20上的资源40，仅仅需要资源的名称。然而，需要注意的是，应用程序端口号和/或唯一标识符或IP地址也可能是需要的。值得注意的是，可以应用其他合适的协议或者规则，以允许DVPN网关对远程资源来说从客户虚拟专用网络节点50获取请求并获取本地IP地址。每一次，从客户VPN节点50的请求访问远程资源，上述远程资源名称可以由DNS服务器在客户VPN节点50上来决定，以成为本地IP地址，从而该请求可以被客户DVPN网关60作为虚拟资源40接收，这将通过隧道90将业务量路由到资源VPN节点20。值得注意的是，每个DVPN网关30，60将优选地包括识别产生业务量的唯一客户机的信息。 

客户VPN节点50可以包括域名服务器(DNS，Domain Name Server)(未示出)，其构造成决定远程资源的名称Web1’成为本地IP地址、端口号10.2.0.100:8080。客户VPN节点50优选地包括一个动态主机配置协议(DHCP，Dynamichost configuration protocol)服务器(图1中未示出)，其用于在资源提供步骤中，给远程资源40分配本地IP地址，例如10.2.0.100:8080。IP池或者静态IP分配也可以用于同样的目的，这将允许在VPN节点20上的远程资源40，作为虚拟本地资源而在客户VPN节点50上被访问，并不会暴露资源VPN节点的网络拓扑和/或IP地址。资源的能力和客户DVPN网关30，60转换并路由任何请求以访问在其他VPN节点上的资源，提供了额外的安全性。 

此外，值得注意的是，IP地址也会包括端口号，其中端口号优选地是以TCP协议和UDP协议的格式。端口号，出现在数据信息包的报头，可以被用来映射数据至运行在客户或者客户机上的一个特定的程序，以及资源(服务器)上应用程序的特定步骤。例如，如果邮件服务器用于发送和接受资源内的e-mail，所有的客户VPN节点都会包含一个简单邮件传输协议(SMTP，simple mailtransfer protocol)和一个邮局协议3(POP3，post office protocol version 3)服务， 其中这些将被不同的服务器处理，端口号可以被用来决定哪个数据与哪个步骤相关。 

如图1所示，当客户70在客户虚拟专用网络节点(站点B)上具有IP地址10.2.0.10(56)时，请求访问远程资源40，例如，资源虚拟专用网络节点20(站点A)上的网络服务Web1，就像至少一个资源40是在客户虚拟网络节点50(站点B)上的本地(虚拟)资源。通常，客户虚拟专用网络50上的客户70发送格式化的信息块，其形式为发送到本地(虚拟)资源、网络服务Web1’、10.2.0.100:8080(56)的信息包(未示出)，其由客户DVPN网关60(网关B)接收。在将资源和目的IP地址和(选择性端口号)转换成使用在DVPN网关30，60中的内部标识符和端口号之后，客户DVPN网关60路由信息包至相应的SSL隧道。资源DVPN网关30(网关A)接收信息包，并将资源和目标标识符以及(选择性端口号)转换为资源虚拟专用网络节点20(站点A)上的本地IP地址和端口号。接着，作为资源虚拟专用网络节点20(站点A)上的(虚拟)客户，资源DVPN网关30(网关A)发送信息包至真正的资源，网络服务Web1，10.1.0.200:80(42)。响应遵循相反的过程。 

应当注意的是，使用具有双-网络地址转换(NAT，net work addresstranslation)的动态VPN方法可以在两个末端VPN节点之间提供更多的灵活性和强有力的安全连接的映射方法。此外，从资源发布类型上看，动态VPN能够分成应用程序资源、主机资源和子网资源，这样，能够在不担心两个末端站点之间的IP地址或者子网冲突的情况下，保证更好的获取，更灵活的访问控制和更简单的配置。例如，应用程序/主机/子网资源可以具有如下优点： 

1.应用程序发布：特定的应用程序资源，例如FTP，能够从一个站点发布到另外一个站点，从而系统和方法可以隐藏内部网络，并可以提供在应用程序资源级上的更好的构造控制。另外，应用程序资源可以由其主机名(或者IP地址)和端口号来限定。 

2.主机发布：该系统和方法提供一个途径来将整个主机映射至其他站点。IP地址或者主机名称用来限定主机资源。 

3.子网发布：该系统和方法通过一个途径来将子网映射到其他站点，从而可以使用IP地址范围来限定子网资源。 

4.为了隐藏资源站点的网络拓扑，资源名称可以在资源发布(提供)的时候指定。资源名称使用在客户站点以访问命名后的资源。对于子网的发布，资源名称可以被映射到客户站点上的一定范围的IP地址。 

图2显示了根据一个实施例双NAT信息包封装格式的图表。双NAT方法可以为动态VPN系统提供通信功能，其中DVPN网关30，60在IP信息包级中操作信息包。如图2所示，在源(src)和目的文件(dst)地址以及(选择性的)端口号被转换之后，IP信息包将被封装作为SSL隧道90的负载。在隧道90的另外一端，IP信息包将被从SSL隧道90上解码，并在另外一个地址转换后，将被路由到至少一个资源(实际的)40。为了支持唯一的源标识符(ID)和目标ID，每一个DVPN网关30，60将优选地保持一定范围的唯一地址。唯一地址的范围优选地被称为或者叫做DVPN地址，以将其区分于用在资源专用网络节点20(站点A)和客户虚拟专用网络节点50(站点B)上的本地IP地址。而且，应当注意的是，DVPN地址将优选地应这样选择：使得DVPN地址只在DVPN网关30，60中用于通过SSL隧道路由信息包时使用，并具有意义。 

如图2(以及图1)所示，客户70在客户虚拟专用网络节点50内以网际协议(IP)信息包的形式发送对于资源40的请求，IP信息包具有源IP(src IP)、目标IP地址(dst IP’)以及数据，其由客户DVPN网关60(网关B)接收。源IP(src IP)地址是客户VPN节点50上的客户IP地址，目标IP(dst IP’)地址是客户VPN节点50上的(虚拟)资源IP地址。客户DVPN网关60实现网络地址转换(NAT)或者将IP信息包的源和/或将的目标地址重写为唯一的源ID(src ID)，唯一的目标ID(dst ID)以及SSL数据，其被路由到资源DVPN网关30(网关A)。资源DVPN网关30接着将IP信息包转换为资源IP(scr IP’)地址，目标IP(dst IP)地址以及加密的数据。源IP(src IP’)地址是在资源VPN节点20上的(虚拟)客户IP地址，而目标IP(dst IP)地址是在资源VPN节点20上的资源IP地址。 

图3显示了根据动态VPN结构一个实施例的示意图，其中动态VPN结构使用DVPN地址在两个对等VPN节点之间进行远程资源访问。如图3所示，在资源发布(提供)的时候，资源站点DVPN网关30(站点A)从网关的DVPN地址池中，将一个唯一的DVPN地址分配给至少一个资源40，198.1.0.200:80(92)分配给资源虚拟专用网络节点20(具有IP子网10.1.0.0/16的站点A)上的Web1。应当注意的是，当提供至少一个资源40至多个客户站点50，150(例如具有IP子网络10.2.0.0/16和10.3.0.0/16的站点B和站点C)，可以使用相同的DVPN地址。根据一个实施例，在资源VPN节点20(站点A)上的至少一个资源40可以通过名称和/或本地IP地址以及端口号来发布。对于资源40，其通过名称而发布，资源侧的DVPN网关30将优选地通过一个反向域名服务(DNS，domain name service)搜索来定位至少一个资源40的实际IP地址。 

在通话开始时，客户站点DVPN网关60(网关B)优选地从地址池中将一个唯一的DVPN地址分配给客户70，例如198.2.0.10。上述唯一的DVPN地址将被相同客户70的客户DVPN网关60(网关)使用于所有的远程资源访问。在将DVPN地址分配给资源40或者客户70的过程中，可选择性地将新的端口号分配给DVPN地址。根据一个实施例，DVPV地址池可以通过人工分配给每个DVPN网关或者动态地从服务器(110)上获得，服务器具有动态主机配置协议(DHCP)类似的功能。每个DVPN地址范围可以由特定的DVPN网关30，60，160来识别。应当注意的是，工业化标准IP路由协议，例如开放最短路径优先协议(OSPF，open shortest path first)，和边界网关协议(BGP，border gatewayprotocol)，可以用来在一组DVPN网关30，60，160中路由信息包。 

在具体实施例中，在客户站点50，150上的原始本地客户IP地址可以用作客户70，170的DVPN地址。但是，应当注意的是，原始客户IP地址优选地仅在DVPN网关30，60，160之间使用，并且优选地不暴露于资源VPN节点20(站点A)上。或者，原始本地资源IP地址可以用作资源DVPN地址，其中原始本地资源IP地址仅在DVPN网关30，60，160之间使用，从而本地资源IP地址将不会暴露于客户VPN节点50，150(站点B，站点C)上。 

在具体实施方式中，原始客户地址和资源IP地址可以在没有任何网络地址转换(NAT)或者“Natting”的情况下使用。在本实施例中，系统和/或方法不需要在客户和资源VPN节点之间相互冲突的IP地址。而且，应当注意的是，在本实施例中，系统和/或方法不能隐藏内部网络拓扑。 

根据一个实施例，使用双NAT方法的系统或者方法在客户站点和至少一个资源站点上提供网络地址转换。此外，应当注意的是，施加在客户站点或者至少一个资源站点上的网络地址转换规则(即NAT规则)，通常并非完全相同，因而NAT规则被分别称为客户站点NAT规则和资源站点NAT规则。 

对于客户站点NAT规则：在通话开始的站点(即，通常是客户站点)，客户站点NAT规则用于将目标(虚拟资源)地址转换成特定的目标DVPN地址(例如，10.2.0.100:8080＝＞198.1.0.200:80，图3)，目标DVPN地址是资源站点DVPN网关30(网关A)的DVPN地址池的一部分。源(客户)地址也转换成特定源(客户)DVPN地址(10.2.0.10＝＞198.2.0.10，图3)，特定源(客户)DVPN地址是客户站点DVPN网关60(网关B)的DVPN地址池的一部分。对于来自资源站点30的应答，特定源(资源)DVPN地址将转换成返回到本地(虚拟)资源IP地址/端口号，并且在路由到客户70之前，目标(客户)DVPN地址将在客户站点转换成客户的IP地址。 

对于资源站点NAT规则：当资源站点DVPN网关30(网关A)接收从SSL隧道90转换过来的IP信息包，资源站点DVPN网关30将接收到信息包的目标(资源)DVPN地址转换成实际的资源IP地址(198.1.0.200:80＝＞10.1.0.200:80，图3)，并在资源站点20上从一个IP范围内或者从DHCP服务器上，选择一个合适的本地IP地址，作为客户的源IP地址(198.2.0.10＝＞10.1.0.101)。转换之后，信息包被路由到实际的资源40，从而资源站点NAT规则获取实际(或者本地)资源的目标IP地址，并为客户70选择合适的(本地)源IP地址。对于从资源40接收的应答信息包，在将信息包路由到客户站点DVPN网关60(站点B)之前，资源站点DVPN网关30将资源地址转换成资源40的特定DVPN地址，且将目标地址转换成客户70的特定DVPN地址。 

根据一个实施方式，动态VPN双NAT方法可以被用于转换资源和目标地址以及端口号，即，全部NAT/端口地址转换(PAT)，单独NAT，或者是透明的(即，没有NAT或者PAT)。 

1.全部NAT/PAT：当在客户站点上给资源提供具有新的本地IP地址和端口号时，客户站点和资源站点DVPN网关一起工作，以将客户站点上的IP地址和端口号转换成资源站点的IP地址和端口号。对于客户，IP地址和端口号在资源站点DVPN网关的地址转换中进行了改变。应当注意的是，根据本实施例，可以使用在资源站点上预先选择的固定本地IP地址，用于若干客户连接，并不需要每一次连接时分配不同的IP地址。但是，要选择新的端口号并分配给每一次连接，以保持每一个客户连接的唯一性。这个方法类似于传统的PAT或全部NAT(即，全部NAT/PAT)。应当注意的是，全部NAT/PAT系统和方法可以更有效地使用IP地址，而不需要在资源站点上储存或者消耗太多的IP地址。 

2.单独NAT：在地址转换中，只有IP地址是变化的，而端口号保持不变。使用这种方法，用于应用程序的端口号不会改变。对于来自客户的每一次新的连接，将需要资源站点上的新的IP地址。这种方法与传统的NAT一致。在这个实施例中，方法和系统被称为“单独NAT”，这是因为这个方法和系统不改变来自于客户的端口号。这种方法提供了简单的方式来处理一些复杂的应用程序协议，例如远程过程调用(RPC，remote procedure call)，其中协议端口号(仅仅是端口号，不包括IP地址)包含在负载中。在这实施例中，因为端口号没有改变所以信息包不需要解析负载以支持该负载。 

3.透明的：使用这种方法，客户和资源站点DVPN网关根本不需要改变IP地址和端口号。这意味着来自客户的信息包不进行任何地址转换就封装成负载。因此资源站点DVPN网关也不需要转换地址。这种方法更像传统的站点至站点技术，因为这种方法和系统在所有的站点上不需要IP地址冲突，并且不能隐藏内部网络拓扑。 

应当注意的是，在应用程序资源发布时，资源可以是静态的端口或者动态端口应用程序。通常，静态端口应用程序仅仅需要使用一个静态端口，其可以 与原先的端口号相同，或者是一个新的端口号。但是，动态端口应用程序更加复杂，因为新的端口号是动态地在数据传送过程中处理。应当注意的是，因为新的端口号是动态处理的，数据负载将经过应用程序协议被解析，从而为全部NAT/PAT找到处理的端口号。例如，文件传送协议(FTP)是典型的动态端口应用程序。 

通过上面所有的方法，动态VPN技术可以具有多种可能的组合，包括： 

对于客户站点的资源地址 

应用程序发布/静态端口：    全部NAT/PAT 

应用程序发布/动态端口：    全部NAT/PAT 

应用程序发布/静态端口：    单独NAT 

应用程序发布/动态端口：    单独NAT 

应用程序发布：             透明的 

主机发布：                 全部NAT/PAT 

主机发布：                 单独NAT 

主机发布：                 透明的(不需要IP冲突) 

子网发布：                 全部NAT/PAT 

子网发布：                 单独NAT 

子网发布：                 透明的(不需要IP冲突) 

对于资源站点上的客户地址： 

全部NAT/PAT 

单独NAT 

透明的 

应当注意的是，通常，广播和多点传送信息包需要在动态VPN系统或者方法中进行特定考虑，因为动态VPN设计成隐藏国际互联网拓扑。但是，由于很 多应用程序需要广播和/或多点传送业务量，通常需要广播支持和多点传送支持。 

对于广播，应当考虑子网发布的实施例。在这个实施例中，客户站点和资源站点NAT模块需要在广播信息包中转换地址。根据一个实施例，程序的执行可以包括客户侧DVPN网关，其中系统和/或方法限定了一种方式来告诉资源侧DVPN网关，不但资源站点资源是这些信息包的目标，而且信息包也是广播信息包。资源站点DVPN网关也需要基于资源信息来重组信息包。本发明的系统和方法还可考虑增加命令来控制DVPN网关是否需要传送广播信息包。 

在一个多点传送的实施例中，系统和/或方法仅需要在传送信息包的子网发布和多点传送组的情况下，支持多点传送。在客户站点网关，根据一个优选实施例，系统和/或方法构造成听命于224.0.0.22多点传送地址(222.0.0.22是成员通常发送、加入、离开因特网组管理协议(IGMP，Internet group managementprotocol)消息的地址)。但是，应当注意的是，可以使用任何合适的地址。根据另外一个实施例，当在客户站点上的计算机或者其他合适的设备加入群组时，IGMP请求可被客户站点网关解析并记录。同时，IGMP请求应当被传送到资源站点网关，因此资源站点网关可传送更多的多点传送消息至上述群组以及相关的客户站点。根据另外一个实施例，当客户站点网关接收多点传送消息，客户站点网关应仅传送至已经加入到多点传送群组的主机。 

典型的双NAT实施例在下面描述： 

实施例1：用于资源和客户地址的全部NAT/PAT： 

图4显示了根据一个实施例的图表，涉及一种网络地址转换(NAT)/端口地址转换(PAT)规则信息的建立，上述规则用于在两个对等VPN节点之间进行远程服务。如图3所示，资源Web1从资源站点20(站点A)发布到客户站点50(站点B)，上述客户站点50(站点B)具有在客户站点50上的虚拟资源Web1’的地址10.2.0.100:8080。客户10.2.0.10将通过DVPN网关30，60(网关A和网关B)访问远程网络服务Web1 10.1.0.200:80。如图4所示，客户站点DVPN网关B为客户70选择DVPN地址，198.2.0.10:2000。客户站点DVPN 网关60(网关B)还转换(NAT)目标IP地址端口号10.2.0.100:8080成资源DVPN地址和端口号198.1.0.200:80。资源的DVPN地址198.1.0.200优选地由DVPN网关30(网关A)在资源发布的时候分配。在资源站点DVPN网关30(网关A)，使用一个保留(或者固定)IP地址10.1.0.101，I，选择唯一端口号10001以保证客户连接的唯一性。保留的IP地址可以通过人工从保留的IP池分配或者获得，并用于所有的客户访问。选择新的端口号以保证每一个新客户连接的唯一性。 

实施例2：用于客户地址的单独NAT： 

图5显示了根据一个实施例的图表，涉及在两个对等VPN节点之间用于远程资源访问信息包的单独NAT规则。在资源站点DVPN网关30(网关A)，资源(客户)端口号2000在地址转换时不发生变化。因此，每一次连接都需要一个新的本地IP地址，例如10.1.0.102。这些IP地址可以从DHCP服务器获得，或者从保留的IP池中获得。. 

应当注意的是，用于客户地址的单独NAT(实施例2)与用于客户地址的全部NAT/PAT(实施例1)不同，因为对每一次新客户连接，资源站点DVPN网关30(网关A)将分配新的IP地址10.1.0.102，而端口号2000不变。实施例1中，对于每一次新客户连接，资源站点DVPN网关30(网关A)使用同样保留的IP地址10.1.0.101并选择一个新的端口号10001。 

实施例3：使用动态端口的应用程序： 

图6显示了在对等VPN节点之间的动态VPN(DVPN)结构示意图，上述节点具有使用动态端口协议，例如FTP，的应用程序资源。全动态VPN访问过程优选地包括建立安全隧道和发布至少一个资源的步骤。安全通道90的建立可以包括在资源站点20和客户站点50(站点A和站点B)之间SSL连接的建立，其中隧道90用于发送控制和数据信息包。资源发布(或者提供)可包括在资源站点20(站点A)上发布(提供)一个资源，例如FTP服务器ftp1(具有实际资源IP地址10.1.0.200)，通过优选地以SSL连接形式安全连接90将该资源发布至客户站点50(站点B)。 

如图6所示，客户站点50(站点B)获得实际的资源信息，并使用DHCP、预先构造的IP池或者其他合适的方法，将本地IP地址(10.2.0.100)分配到上述资源，从而在客户站点50(站点B)上将远程资源映射成本地(虚拟)资源。为了方便，应当注意的是，发布资源至其他站点的站点(在本实施例中，站点A)为“资源站点”，接收来自其他站点资源的站点(在本实施例中，站点B)为“客户站点”。“客户”是实际客户，而“资源”是实际服务器。 

在客户站点50(站点B)上具有IP地址10.2.0.10的客户可以访问在资源站点20(站点A)上的远程资源FTP服务器ftp1，就像该资源是客户站点50(站点B)上的本地(虚拟)资源，具体如下： 

1.客户站点50(站点B)上的客户发送信息包至本地(虚拟)资源，ftp1’10.2.0.100:21(56)； 

2.作为(虚拟)资源，DVPN网关60(网关B)接收上述信息包。在将他们的资源和目标IP地址(选择性端口号)转换成使用在DVPN网关30，60中使用的DVPN地址和端口号之后，DVPN网关60(网关B)路由信息包至相应的SSL隧道； 

3.DVPN网关30(网关A)接收信息包并将其资源和目标DVPN地址和(选择性端口号)转换成资源站点20(站点A)的本地IP地址和端口号。接着，作为资源站点20(站点A)上的(虚拟)客户，DVPN网关30(网关A)将信息包发送到实际资源，FTP服务器ftp110.1.0.200(40)；以及 

4.遵循相反过程的响应。 

如图6所示，系统10包括具有至少一个资源40的资源站点20(站点A)，动态虚拟专用网络(DVPN)网关40，上述网关与资源VPN节点20(站点A)相连。系统10还包括客户动态虚拟专用网络(DVPN)网关60，其与具有至少一个客户或者客户机70客户的VPN节点50(站点B)相连，以及选择性的另外一个动态虚拟专用网络(DVPN)网关160，其与具有至少一个客户或客户机170的另一个VPN节点150(站点C)相连。这三个DVPN网关30，60，150一起作用，以配置任何用于客户70，170的资源40，以在不会暴露本地网络三 个VPN节点20，50，150(站点A，站点B，和站点C)的情况下进行远程访问。这三个VPN节点20，50，150优选构造成使用在各自端点的虚拟专用网络网关30，60，160，安全地通过通信网80(即，国际互联网)与另外一个通信。虽然没有显示，应当注意的是，VPN节点50，150可以被构造成使用虚拟专用网络网关60，160，安全地与另外一个通信。应当注意的是，客户VPN节点50，150(站点B和站点C)可以被构造成主机存储至少一个资源40，从而资源VPN节点20(站点A)也可以作为客户节点，且客户节点可以被作为资源节点。 

图7显示了涉及在客户和FTP服务器之间的活动模式文件传输协议(FTP或ftp)的流程图。在步骤一，客户的命令端口1026与服务器的命令端口21联系，并发送端口1027命令信息包。接着，在步骤二，服务器发送确认(ACK，acknowledgment)返回到客户的命令端口。在步骤三，在专用的端口1027命令，服务器在其本地数据端口20发起一个连接，连接到客户的数据端口。最后，如步骤四所示，客户发送ACK返回。 

图8显示了涉及从客户发送到FTP服务器的端口命令信息包图表。在图8中，加粗的箭头代表端口1027命令信息包从客户70发送到FTP服务器40(在图6中)的方向。如图8所示，客户站点信息包具有源IP地址10.2.0.10及端口号1026，以及目标IP地址及端口号10.2.0.100:21。客户站点DVPN网关60(网关B)将客户70的客户IP地址，10.2.0.10:1026转换(NAT)成分配的客户DVPN地址，198.2.0.10:1026。客户站点DVPN网关60(网关B)也将目标IP地址及端口号10.2.0.100:21转换(NAT)成FTP服务器DVPN地址及端口号198.1.0.200:21，并将地址和端口号通过隧道90路由到资源DVPN网关30(网关A)。FTP服务器DVPN地址198.1.0.200，优选地由DVPN网关30(网关A)在资源发布的时候分配。在资源站点，DVPN网关30(网关A)将客户DVPN地址，198.2.0.10:1026转换(NAT)成保留的(或者固定的)IP地址，10.1.0.101，以及唯一的端口号15000，以保证客户唯一地连接在虚拟专用网络节点站点A。应当注意的是保留的IP地址可以从保留的IP池中获得或者通过人工分配。DVPN网关30(网关A)也在虚拟专用网络节点站点A，将FTP服务器DVPN 地址198.1.0.200:21转换成其本地IP地址，10.1.0.200:21，接着，代表虚拟专用网络节点站点B上的客户发送信息包至实际的FTP服务器。 

图9显示涉及如图7中的步骤一NAT端口命令数据包内容的图表。例如，如果在端口命令数据包中客户了选择10.2.0.10:1027作为一个IP地址和端口号，IP地址10.20.10:1027被客户DVPN网关60(网关B)转换成198.2.0.10:1027并通过安全连接或隧道90路由到DVPN网关30(网关A)。资源DVPN网关30(网关A)将DVPN地址198.2.0.10:1027转换成10.1.0.101:15001，其中10.1.0.101是保留的IP地址，15001是虚拟专用网络节点站点A上的客户的唯一(数据)端口号，记录与控制连接198.1.0.200:21相关的198.2.0.10:1027，并在FTP服务器的连接建立中听命于10.1.0.101:15001。应当注意的是所有的IP地址和唯一的端口号仅仅是举例性质，IP地址和唯一的端口号可以在不脱离本发明的情况下改变。 

图10显示了涉及从FTP服务器数据端口20到客户数据端口1027(图7中的步骤三)的信息包流的图表。如图10所示，FTP服务器在其本地数据端口20发起连接，连接至(虚拟)客户数据端口15001，其通过DVPN网关30，60(网关A和网关B)转换成实际的客户IP地址和端口号10.2.0.10:1027。如图10所示，DVPN网关30(网关A)执行网络地址转换(NAT)，将资源IP地址和端口号10.1.0.200:20转换成FTP服务器DVPN地址198.1.0.200:20，并将目标IP地址和端口号10.1.0.101:15001转换成客户DVPN地址198.2.0.10:1027，并通过安全连接或者隧道90将信息包路由到DVPN网关60(网关B)。接着，在虚拟专用网络节点站点B上，DVPN网关60(网关B)执行网络地址转换(NAT)，将资源DVPN地址和端口号198.1.0.200:20转换成本地(虚拟)资源IP地址10.2.0.100:20，并将目标DVPN地址198.2.0.10:1027转换成本地客户IP地址10.2.0.10:1027。接着，DVPN网关60(网关B)代表FTP服务器将信息包发送到虚拟专用网络节点站点B上的客户。 

图11显示了涉及被动模式文件传输协议(FTP或ftp)的流程图。在步骤一中，客户在命令端口1026联系FTP服务器，并发出PASV命令信息包。FTP 服务器接着在步骤二中，通过端口2024回复命令信息包，告知客户哪个端口听命于数据连接。在步骤三，客户接着发起从其数据端口1027至特定的服务器数据端口2024的数据连接。最后，服务器在步骤四中，发送ACK返回至客户的数据端口1027。 

图12显示了如图11步骤一涉及从客户至FTP服务器的PASV命令数据信息包的图表。加粗的箭头线表示PASV命令信息包从客户路由至FTP服务器的方向。 

如图12所示，客户从其命令端口1026发送PASV命令信息包，10.2.0.10:1026作为资源IP地址和端口号。IP地址10.20.10:1026由DVPN网关60(网关B)转换(NAT)成DVPN地址198.2.0.10:1026。DVPN网关60(网关B)将目标IP地址和端口号10.2.0.100:21转换成FTP服务器DVPN地址，198.1.0.200:21，并通过安全连接或者隧道90路由到DVPN网关30(网关A)。DVPN网关30(网关A)将资源DVPN地址198.2.0.10:1026转换成10.1.0.101:15000，其中10.1.0.101是保留的IP地址，15000是客户在VPN节点站点A上的唯一的端口号(全NAT/PAT)。DVPN网关30(网关A)也在VPN节点站点A将目标DVPN地址198.1.0.200:21转换成FTP服务器本地IP地址10.1.0.200:21。应当注意的是，所有的IP和DVPN地址以及唯一的端口号仅仅是示例性的，IP和DVPN地址以及唯一的端口号在不脱离本发明的情况下可以改变。 

图13显示了如图11中的步骤二涉及NAT端口命令信息包内容的表格。如图13所示，FTP服务器发送端口命令信息包，其中具有端口号2024。DVPN网关30(网关A)将端口命令信息包中的IP地址和端口号10.1.0.200:2024转换成FTP服务器DVPN地址198.1.0.200:2024，记录与10.1.0.200:21相关的10.1.0.200:2024，并等待从客户发送至198.1.9.200:2024的信息包。DVPN网关60(网关B)在虚拟专用网络节点站点B，将端口命令信息包中的DVPN地址198.1.0.200:2024转换成FTP服务器本地(虚拟)IP地址10.2.0.100:2024，记录与10.2.0.100:21控制隧道相关的10.2.0.100:2024，并听命于来自客户的 10.2.0.100:2024。 

图14显示了如图11步骤三涉及客户发起数据连接至FTP服务器的表格。如图14所述，客户从其数据端口1027发送数据包，其本地IP地址为10.2.0.10，发送至FTP服务器数据端口2024，其在虚拟专用网络节点站点B上的本地(虚拟)IP地址为10.2.0.100:2024。DVPN网关60(网关B)将客户IP地址转换成分配的DVPN地址，也即，将10.2.0.10:1027转换成198.2.0.10:1027，并且将(虚拟)FTP服务器IP地址转换成其DVPN地址，也即，将10.2.0.100:2024转换成198.1.0.200:2024，并将其通过安全连接或者隧道90路由到DVPN网关30(网关A)。DVPN网关30(网关A)将客户DVPN地址198.2.0.10:1027转换成保留的IP地址10.1.0.101以及新的端口号15001，这个端口号与虚拟专用网络节点站点A上的端口号15000相关。DVPN网关30(网关A)也在虚拟专用网络节点站点A，将FTP服务器DVPN地址198.1.0.200:2024转换成其本地IP地址10.1.0.200:2024。 

应当注意的是，根据一个实施方式，根据所提供的合适的资源，远程资源40(在资源站点或站点A(20))可以被发布到中间站点Z，并在站点Z获得本地IP地址/端口号。接着，站点Z可以将虚拟资源发布到第三个站点，例如站点B和/或站点C。上面描述的双NAT方法允许站点B和/或站点C上的客户通过多个中间站点安全地访问站点A上的资源。 

本发明的另外一个实施方式可以作为计算机程序产品实施而与计算系统一起使用。上述实施可包括一系列的计算机指令，上述指令可以在有形的介质上，例如计算机可读介质(例如，磁盘，CD-ROM，ROM，或者固定的硬盘)，或者是可以通过调制解调器或者其他界面装置传送到计算机系统，例如连接在网络跨越中介的通信适配器。媒介可以是有形的媒介(例如光通信线路或者模拟通信线路)或者其他通过无线实施的媒介(例如微波，红外线或者其他发射技术)。计算机指令系列优选的表达了根据本发明前面描述的系统的全部或者部分功能。本领域普通技术人员应当理解，这样的计算机指令可以写成多种编程语言，从而与很多种计算机结构或者操作系统使用。此外，这些指令可以储存在 任何存储器中，例如半导体、磁、光或者其他存储器，被可以被任何通信技术使用，例如光、红外线、微波或者其他发射技术。希望这样一种计算机程序产品能够成为可移动的媒介，其可被打印或者制成电子文档(例如热塑包装的软件)而可携带，可以是计算机系统原先安装的(例如在系统ROM或者固定硬盘上)，或者发布在服务器或网络(例如因特网或者国际互联网)的电子公告牌上。 

前面是实施本发明的示意性模式，并不是出于限定目的。对本领域普通技术人员来说，显然可以在不脱离本发明精神和权利要求中所限定的保护范围的情况下，进行各种变化。 

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。 

Claims (17)

1.一种使用双向-网络地址转换(Dual NAT)装置，用于虚拟专用网络系统中数据包处理和路由的方法，其包括：

在资源虚拟专用网络上存储可用资源列表，其中每个可用资源具有一个本地实际资源IP地址；

利用动态主机配置协议(DHCP)为资源虚拟专用网络上的每个可用资源动态分配一个资源动态虚拟专用网络(DVPN)地址；

利用每个可用资源的资源DVPN地址，向至少一个客户虚拟专用网络的网关发布可用资源列表；

将用于每个可用资源的资源DVPN地址转换成所述至少一个客户虚拟专用网络上的本地虚拟资源IP地址；

给所述至少一个客户虚拟专用网络上的至少一个客户提供用于可用资源列表的本地虚拟资源IP地址；

由至少一个客户发起一个请求，请求资源虚拟专用网络上主机存储的可用资源列表中的至少一个资源，就像该至少一个资源相对于该至少一个客户来说是本地的，并未暴露资源虚拟专用网络上可用资源列表的本地实际资源IP地址，该至少一个客户中的每一个都具有本地实际客户IP地址，以及其中与客户虚拟专用网络相连的客户动态虚拟专用网络DVPN网关动态分配本地实际客户IP地址并利用动态主机配置协议将本地实际客户IP地址转换成客户DVPN地址和将本地虚拟资源IP地址转换成资源DVPN地址；

通过一个安全连接，将具有客户DVPN地址和资源DVPN地址的请求路由至与资源虚拟专用网络节点相连的资源动态虚拟专用网络DVPN网关；

将客户DVPN地址和资源DVPN地址转换成本地虚拟客户IP地址和资源虚拟专用网络节点上的本地实际资源IP地址，其中由资源DVPN网关来执行该转换；

通过资源虚拟专用网络上的至少一个资源来响应请求，就像上述请求是在资源虚拟专用网络上在本地发起的，并未暴露客户虚拟专用网络上该至少一个客户的实际IP地址；

通过安全连接，从资源虚拟专用网络上的至少一个资源将响应数据包路由回客户虚拟专用网络上的该至少一个客户，其中资源DVPN网关将资源虚拟专用网络上的本地实际资源IP地址和本地虚拟客户IP地址转换成资源DVPN地址和客户DVPN地址，用于通过安全隧道路由至客户DVPN网关；以及

将响应数据包发送到该至少一个客户，其中客户DVPN网关将资源DVPN地址和客户DVPN地址转换成客户虚拟专用网络上的本地虚拟资源IP地址和本地实际客户IP地址。

2.根据权利要求1所述的方法，其中客户DVPN网关和资源DVPN网关保持一定范围的DVPN地址，这些地址被动态分配做为资源DVPN地址和客户DVPN地址。

3.根据权利要求2所述的方法，其中资源DVPN地址和客户DVPN地址与用在资源和客户虚拟专用网络上的本地实际资源IP地址、本地虚拟资源IP地址、本地实际客户IP地址和本地虚拟客户IP地址不同，从而该范围内的DVPN地址仅在客户和资源DVPN网关中使用，并具有意义，其用于在资源虚拟专用网络和客户虚拟专用网络之间通过安全连接来路由数据包。

4.根据权利要求2所述的方法，其中DVPN地址范围从具有类似于DHCP功能的服务器上分配到每个DVPN网关。

5.根据权利要求1所述的方法，其中一旦将至少一个资源发布至该客户虚拟专用网络，资源DVPN网关将从其DVPN地址池中把资源DVPN地址分配到该至少一个资源。

6.根据权利要求5所述的方法，其中至少一个资源的资源DVPN地址将被选择性地发布到每个客户DVPN网关，用于通过客户访问至少一个资源。

7.根据权利要求1所述的方法，其中一旦发起请求，要求访问至少一个资源，该客户DVPN网关将客户DVPN地址动态分配到该至少一个客户。

8.根据权利要求7所述的方法，其中客户DVPN地址将由客户DVPN网关用于所有的远程资源，该资源被至少一个客户访问。

9.根据权利要求1所述的方法，其中本地实际客户IP地址、本地虚拟客户IP地址、本地实际资源IP地址和本地虚拟资源IP地址还包括一个端口号。

10.根据权利要求9所述的方法，其中在资源虚拟专用网络上的多个本地虚拟客户IP地址与不同的端口号分享相同的IP地址，此外，其中资源DVPN网关转换客户DVPN地址和端口号。

11.根据权利要求9所述的方法，其中在客户虚拟专用网络上的多个本地虚拟资源IP地址与不同的端口号分享相同的IP地址，此外，其中客户DVPN网关转换资源DVPN地址和端口号。

12.根据权利要求1所述的方法，其中客户和资源DVPN网关执行信息包内容重写，以将嵌入的IP地址和端口号转换成支持特定应用程序协议。

13.根据权利要求1所述的方法，其中至少一个客户通过具有DVPN网关的多个中间虚拟专用网络访问至少一个资源，上述网关与多个中间虚拟专用网络中的每一个相连。

14.根据权利要求1所述的方法，其中至少一个客户包括客户虚拟专用网络上的多个客户，其中多个客户访问资源虚拟专用网络上的多个资源。

15.根据权利要求1所述的方法，其中，使用IP路由协议使具有DVPN地址的信息包在多个DVPN网关之间路由。

16.根据权利要求12所述的方法，其中应用程序协议是文件传输协议(FTP)。

17.根据权利要求15所述的方法，其中IP路由协议是OSPF或BGP。

Images