CN101286919A - 虚拟专用网间通过网络地址转换实现互访的方法及装置 - Google Patents
虚拟专用网间通过网络地址转换实现互访的方法及装置 Download PDFInfo
- Publication number
- CN101286919A CN101286919A CNA200710090548XA CN200710090548A CN101286919A CN 101286919 A CN101286919 A CN 101286919A CN A200710090548X A CNA200710090548X A CN A200710090548XA CN 200710090548 A CN200710090548 A CN 200710090548A CN 101286919 A CN101286919 A CN 101286919A
- Authority
- CN
- China
- Prior art keywords
- vpn
- nat
- address
- source
- conversion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000006243 chemical reaction Methods 0.000 title claims description 122
- 238000013519 translation Methods 0.000 claims description 16
- 230000003068 static effect Effects 0.000 claims description 10
- 230000007704 transition Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 abstract 1
- 230000001131 transforming effect Effects 0.000 abstract 1
- 230000006855 networking Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 235000012364 Peperomia pellucida Nutrition 0.000 description 1
- 240000007711 Peperomia pellucida Species 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种虚拟专用网VPN间通过网络地址转换NAT实现互访的方法,包括:首先配置共享VPN及对应的NAT地址池,并将该NAT地址池的路由信息发布至各VPN;然后在源VPN发起数据包访问时,根据NAT地址池进行源地址及目的地址的NAT转换,并根据目的地址或转换后的目的地址确定目的VPN;最后在目的VPN中进行数据包的路由转发。本发明还公开一种实现VPN间互访的NAT装置。应用本发明VPN间通过NAT实现互访的方法及装置,可以方便实现VPN间的互访,且配置、管理简单,安全性较高。
Description
技术领域
本发明涉及网络技术领域,尤其指一种VPN(Virtual Private Network,虚拟专用网)间通过NAT(Network Address Translation,网络地址转换)实现互访的方法及装置。
背景技术
随着互联网技术的高速发展,使用MPLS(Multiple Protocol Label Switch,多协议标签转换)为用户提供L3VPN(Layer 3VPN,层三VPN)得到日益普遍的运用,其应用于企业、政府等组网可在公网实现内部的网络隔离,但同时出于实际应用的需要,不同VPN之间还可能存在互访的需求。
目前多VPN直接的互访可以通过保证VPN间的地址分配全局唯一来实现,但该方案要求网络组建时必须进行统一规划,后期则严格按照规划实施管理,从而给网络管理带来较大压力,同时对现有网络也需要重新进行IP地址分配,改造难度较大,而使用NAT技术可以在不改变现有网络,不要求全局统一分配地址的情况下实现VPN间的访问。
现有技术中NAT设备一般是用于私网地址向公网地址的转换,包括可支持VPN的NAT设备也主要是解决多VPN共享访问公网的问题,因此对于VPN间的互访,需要将互访的两个VPN分别配置到不同的NAT装置上,然后通过将其转换成公网地址进行访问,如图1所示,VPN 11和VPN 12对VPN13和VPN 14的访问通过先将VPN 11和VPN 12的地址在NAT 15上转换成公网地址,然后再在NAT 16上将公网地址转换成VPN 13或VPN 14的私网地址;该方法的缺陷在于其组网实施上比较复杂,由于是转换成公网地址,所以还可能存在安全隐患。现有技术中另外一种利用NAT进行VPN间互访的方法需要通过在互访VPN间配置一对一的NAT变换实现;继续如图1所示,如果VPN 11~VPN 14需要互相访问内部的一些服务器,则需要分别按VPN 11~VPN 12、VPN 11~VPN 13、VPN 11~VPN 14、VPN 12~VPN 13、VPN 12~VPN 14、VPN 13~VPN 14进行配置,从而给配置及管理均造成较大难度。
发明内容
本发明的目的是提供一种VPN间通过NAT实现互访的方法及装置,以解决现有技术中VPN间互访的实现复杂、配置及管理难度较大的问题。
为达到上述目的,本发明提出一种VPN间通过NAT实现互访的方法,包括:
配置共享VPN及对应的NAT地址池,并将所述NAT地址池的路由信息发布至各VPN;
在源VPN发起数据包访问时,根据所述NAT地址池进行源地址和/或目的地址的NAT转换,并根据所述目的地址或转换后的目的地址确定目的VPN;
在所述目的VPN中进行数据包的路由转发。
所述进行数据包的路由转发之后还包括:
根据所述数据包的路由标识建立NAT会话表,所述路由标识包括:源VPN号、源地址、目的地址及目的VPN号;
所述源VPN直接根据所述NAT会话表进行后续数据包的路由转发。
所述进行数据包的路由转发之后还包括:
根据所述数据包的反向路由标识建立NAT反向会话表,所述反向路由标识包括:目的地址、目的VPN号、源VPN号及源地址,或共享VPN号、源VPN号及源地址;
所述目的VPN根据所述NAT反向会话表向所述源VPN进行反向数据包的路由转发。
所述路由标识或反向路由标识还包括:转换后的源地址和/或转换后的目的地址。
所述配置共享VPN及NAT地址池还包括:对NAT规则进行配置;
则所述源VPN发起数据包访问时,根据所述NAT规则判断所述源VPN是否进行NAT转换,如果是则进一步查询所述NAT规则确定需要使用的NAT地址池,之后则根据查询结果进行所述源地址和/或目的地址的NAT转换。
所述在目的VPN中进行数据包的路由转发进一步包括:
根据所述目的地址或进行NAT转换后的目的地址查询所述目的VPN的路由表;
根据查询得到的转发路由进行所述数据包的转发。
所述进行源地址和/或目的地址的NAT转换还包括:
根据所述NAT地址池进行源端口和/或目的端口的网络地址端口解析NAPT转换;
之后则根据目的地址及目的端口或NAPT转换后的目的地址及目的端口进行数据包的路由转发。
所述NAT地址池包括:源地址转换地址池及目标地址转换地址池,所述源/目标地址转换地址池为静态转换地址池或动态转换地址池。
本发明还提出一种实现VPN间互访的NAT装置,包括共享VPN配置单元、NAT转换单元及目的VPN确定单元,
所述共享VPN配置单元,用于配置共享VPN及对应的NAT地址池;
所述NAT转换单元,在源VPN发起数据包访问时,根据所述NAT地址池进行源地址和/或目的地址的NAT转换;
所述目的VPN确定单元,根据所述目的地址或转换后的目的地址查询所述NAT地址池,以确定进行数据包转发的目的VPN。
还包括会话表单元及反向会话表单元,
所述会话表单元,用于根据数据包的路由标识建立并存储NAT会话表,以实现根据所述NAT会话表进行来自所述源VPN的后续数据包的路由转发且所述路由标识包括:源VPN号、源地址、目的地址及目的VPN号;
所述反向会话表单元,用于根据数据包的反向路由标识建立并存储NAT反向会话表,以实现根据所述NAT反向会话表进行来自所述目的VPN的数据包的反向路由转发,且所述反向路由标识包括:目的地址、目的VPN号、源VPN号及源地址,或共享VPN号、源VPN号及源地址。
所述路由标识或反向路由标识还包括:转换后的源地址和/或转换后的目的地址。
还包括规则配置单元,与所述NAT转换单元连接,
所述规则配置单元,用于对NAT规则进行配置,以确定所述源VPN是否进行NAT转换,并进一步确定是否进行源地址和/或目的地址的NAT转换。
所述NAT转换单元进一步包括地址转换子单元及端口转换子单元,
所述地址转换子单元,根据所述NAT地址池进行源地址和/或目的地址的NAT转换;
所述端口转换子单元,进一步根据所述NAT地址池进行对应的源端口和/或目的端口的NAPT转换。
所述NAT地址池包括:源地址转换地址池及目标地址转换地址池,所述源/目标地址转换地址池为静态转换地址池或动态转换地址池。
与现有技术相比,本发明VPN间通过NAT实现互访的方法,利用在网络中配置共享VPN及NAT地址池,并将地址池地址的路由发布至需要进行互访的VPN中,可以方便实现VPN间的互访,且配置、管理简单,安全性较高。
附图说明
图1为现有技术中多VPN间互访的组网示意图;
图2为本发明VPN间通过NAT实现互访的方法实施例一流程图;
图3为本发明VPN间通过NAT实现互访的方法实施例二流程图;
图4为本发明VPN间通过NAT实现互访的方法实施例二组网示意图;
图5为本发明实现VPN间互访的NAT装置实施例图。
具体实施方式
下面以具体实施例结合附图对本发明进一步加以阐述。
本发明公开一种VPN间通过NAT实现互访的方法,其一实施例如图2所示,包括以下步骤:
S201、配置共享VPN及对应的NAT地址池,并将该NAT地址池的路由信息发布至各VPN。
为实现VPN间通过NAT转换实现互访,必须存在转换的地址池。本发明的实施例首先在网络中设置一个共享的VPN,该VPN可以是一个存在真实计算机的VPN网络,也可以是一个虚拟的VPN;然后再为该共享VPN配置一个或多个地址池,即NAT地址池。配置的地址池包括源地址转换的地址池及目的地址转换的地址池,并且无论是静态变换或是动态变换,VPN转换后的外网地址均属于该共享VPN。最后,需要将该NAT地址池的路由信息发布至网络中需要进行互访的各VPN,以使其它的VPN主机能够路由到该NAT地址池并对其中的外网IP地址进行访问,上述NAT地址池的路由信息可以是该共享VPN的地址池地址的路由或配置该地址池的NAT装置的路由。
S202、在源VPN发起数据包访问时,根据NAT地址池进行源地址和/或目的地址的NAT转换。
在经过步骤S201配置共享VPN及对应的NAT地址池,并将地址池地址的路由发布至各VPN后,当网络中的一个VPN发起向其他VPN的数据包访问时,将会路由到NAT装置,如果NAT规则中配置了源地址的转换,则对符合NAT规则的数据包的源地址进行转换,从所属共享VPN的NAT地址池中为发起访问的VPN分配一个可用地址;继续根据NAT规则判断是否同时配置了共享VPN对应的目的地址的转换,如果要进行目的地址的NAT转换,同时可得到目的地址变换后的地址所属的目的VPN。上述对源地址及目的地址均进行NAT转换适用于VPN间的内部主机使用各自的私网IP进行互访,如果互访的主机中存在一个主机使用公网IP访问网络,则只需进行一次源地址或目的地址的转换;如果双方均使用公网IP访问网络,则无需使用本实施例所述的NAT转换。另外,上述的源地址和/或目的地址的转换还可能包括源端口和/或目的端口的转换,具体实施将在后续实施例三中进行描述。
S203、根据目的地址或转换后的目的地址确定目的VPN。
由步骤S201可知,配置的NAT地址池包括源地址转换地址池及目的地址转换地址池,如果步骤S202中进行了根据该目的地址转换地址池的NAT转换,则可根据转换后的目的地址确定数据包转发的目的VPN;如果数据包中的目的地址无需进行NAT转换,则在进行源地址的NAT转换后可直接根据数据包携带的目的地址确定进行路由转发的目的VPN。
S204、在目的VPN中进行数据包的路由转发。
由步骤S203得到目的VPN后,可在该目的VPN所属的路由表中以目的地址或转换后的目的地址查询转发表的转发路由,从而进行数据包的路由转发。
本发明VPN间通过NAT实现互访的方法实施例二如图3所示,其步骤说明如下,并结合详细实施情况加以描述:
S301、配置共享VPN及对应的NAT地址池,并将该NAT地址池的路由信息发布至各VPN。
该步骤与实施例一中步骤S201相同,为实现NAT转换,必须配置地址池及所属的共享VPN,并将地址池地址或配置该地址池的NAT装置的路由发布至网络中需要进行互访的各VPN,以使该些VPN中的主机能够对地址池中的公网IP地址进行访问。
S302、对NAT规则进行配置。
实际应用中,需要进行互访的VPN可能只需要访问各自内部的部分主机或服务,出于安全性或权限的考虑,对该些VPN中的其他主机,则无需配置NAT的转换;另外,VPN中还会存在一些本身使用公网IP地址可以对网络进行访问或者通过网络被访问的主机,该些主机进行互访时,则无需进行源地址及目的地址的同时转换,而只需进行地址的一次转换。上述VPN中主机进行NAT转换的权限或需要,可以通过预先对NAT规则进行设置来实现。同时,为避免NAT转换的地址发生冲突,NAT装置可能根据用户访问服务的需要为不同的VPN分配不同的地址池,因此访问VPN进行NAT转换时的所属地址池也可以通过NAT规则进行预先设置。
结合步骤S301、S302,如图4所示,以VPN 41的10.10.0.1对VPN 42的10.10.0.1访问进行NAT变换为例。首先由NAT装置43设置共享VPN 44,并在VPN 44上配置VPN 41所有对外访问用户都需要进行NAT转换的NAT规则,以及配置NAT转换的源地址转换地址池60.0.0.1~60.0.0.32,及VPN 42的静态目的地址变换(内部服务器),即将VPN 44:60.0.1.1映射到VPN 42:10.10.0.1。然后将VPN 44的路由分别引入到VPN 41和VPN 42,从而在VPN41及VPN 42中就存在地址池60.0.0.1~60.0.0.32及60.0.1.1的路由。
S303、VPN发起数据包访问时,NAT装置根据NAT规则判断是否进行NAT转换,如果是则转步骤S304。
出于安全性或权限要求的考虑,VPN中可能存在无需对外网进行访问的主机,因此在收到VPN发起的数据包时,需要根据预设的NAT规则判断是否需要进行NAT转换。
S304、根据NAT规则得到NAT地址池,进行源地址的NAT转换。
由步骤S302可知,NAT装置可能根据用户访问情况为不同VPN分配不同的NAT地址池,因此在确定进行NAT转换后,需进一步查询NAT规则确定转换的NAT地址池;再根据地址池中的源地址转换配置对数据包的源地址进行NAT转换,从所属共享VPN的NAT地址池中分配一个可用地址,得到转换后的源地址。
S305、进行目的地址的NAT转换,得到转换后的目的地址及所属的目的VPN。
S306、在目的VPN中进行数据包的路由转发。
步骤S305、S306与实施例一中步骤S202~S204类似,对数据包的目的地址进行转换后,在目的VPN所属的路由表中以转换后的目的地址查询转发表的转发路由,从而将数据包转发至目的VPN中与目的地址对应的主机。
结合步骤S303~S305,继续如图4所示,当VPN 41的用户10.10.0.1发起对60.0.1.1的访问时,会路由到NAT装置43,NAT装置43根据NAT规则得到源地址NAT变换的地址池为60.0.0.1~60.0.0.32,从地址池地址分配未使用的地址60.0.0.1,同时得到地址池的共享VPN为VPN 44;接续以VPN 44及地址60.0.1.1查询NAT地址池中的静态目的地址变换表(内部服务器表)得到转换结果为VPN 42:10.10.0.1,VPN 42即为目的VPN;将源地址10.10.0.1替换成转换后的60.0.0.1,将目的地址60.0.1.1替换成转换后的10.10.0.1;再在目的VPN 42内以10.10.0.1查询路由表,将数据包转发到VPN 42的10.10.0.1。
另外,上述结合图4的实施例描述中,使用地址池60.0.0.1~60.0.0.32的源地址变换即为动态的NAT转换,而配置了内部服务器60.0.1.1的目的地址即为静态转换,需要说明的是,目的地址转换也可采用地址池进行动态转换,此时则必须结合现有技术中类似域名解析的地址动态解析方案,由于其并非本发明的必要技术特征所在,实现又较为复杂,且进行动态解析后的地址转换仍表现为类似于本实施例的静态内部服务器映射,因此不加以赘述,同样源地址的转换也可采用静态映射的配置,上述变化应为本领域普通技术人员易于思及,故也应落入本发明的保护范围内。
S307、根据数据包的路由标识建立NAT会话表及NAT反向会话表。
一次VPN间的互访成功建立并完成数据包的路由转发后,可根据数据包的路由标识建立NAT会话表及反向会话表,根据该会话表即可完成相同VPN相同主机间后续及反向数据包的路由转发。其中,路由标识可以包括但不限于:源VPN号、源地址、转换后的源地址、目的地址、转换后的目的地址及目的VPN号,另外,建立NAT反向会话表的反向路由标识还可以用共享VPN号代替目的地址及目的VPN号,同样可以完成目的VPN至源VPN的反向数据包路由转发。
S308、根据NAT会话表及NAT反向会话表分别进行后续正向及反向数据包的转发。
如步骤S307所述,为加快NAT转换的速度,通常会根据数据包所携带的源VPN号、源地址、目的地址及目的VPN号等路由标识建立NAT会话表及NAT反向会话表,从而后续的正向和反向数据包如果能够匹配NAT会话表项,则可直接根据会话表进行地址转换,无需进行前述的步骤。至于表项的删除则可以通过老化机制来完成,经过特定的时间后即将NAT会话表从NAT装置中删除。
结合步骤S307、S308,继续如图4所示,可在NAT装置43中建立VPN41+10.10.0.1+60.0.1.1至VPN 42+60.0.0.1+10.10.0.1及反向的VPN 42+10.10.0.1+60.0.0.1至VPN 41+60.0.1.1+10.10.0.1的对应关系NAT会话表,如表1所示。另外,反向也可以用VPN 44+10.10.0.1+60.0.0.1至VPN1+60.0.1.1+10.10.0.1建立对应的会话表,如表2所示即使用共享VPN号替代反向的入VPN号,而该共享VPN号,可通过查询反向的地址池地址60.0.0.1的路由时得到。
表1:
方向 | 入VPN | 源IP | 目的地址 | 转换后VPN | 转换后源地址 | 转换后目的地址 |
正 | 41 | 10.10.0.1 | 60.0.1.1 | 42 | 60.0.0.1 | 10.10.0.1 |
反 | 42 | 10.10.0.1 | 60.0.0.1 | 41 | 60.0.1.1 | 10.10.0.1 |
表2:
方向 | 入VPN | 源IP | 目的地址 | 转换后VPN | 转换后源地址 | 转换后目的地址 |
正 | 41 | 10.10.0.1 | 60.0.1.1 | 42 | 60.0.0.1 | 10.10.0.1 |
反 | 44 | 10.10.0.1 | 60.0.0.1 | 41 | 60.0.1.1 | 10.10.0.1 |
由于NAT会话表项的建立,VPN 41中10.10.0.1发往VPN 42中10.10.0.1的后续报文及VPN 42中10.10.0.1发往VPN 41中10.10.0.1的反向报文可直接查找表1的NAT会话表进行转换。
上述本发明实施例一及实施例二中均以直接进行源地址或目的地址的NAT转换为描述对象,在实际应用中VPN间的互访还可能需要进行NAPT(Network Address Port Translation,网络地址端口解析),如下实施例三所述。
以VPN 51中10.10.0.1:10000对VPN 52中10.10.0.1:21进行访问为例。
首先,设置共享VPN 53并在VPN 53上配置VPN 51所有对外访问用户均需要进行NAT转换的NAT规则,同时设置NAT转换的地址池60.0.0.1~60.0.0.32;并将VPN 53的内部服务器60.0.1.1:21映射到VPN 52中的10.10.0.1:21;然后将VPN 53的路由分别引入到VPN 51和VPN 52,从而在VPN 51和VPN 52中就存在地址池60.0.0.1~60.0.0.32和60.0.1.1的路由。
当VPN 51的用户10.10.0.1:10000发起对60.0.1.1:21的访问时,在VPN51内查询路由表,会转发到NAT装置53,NAT装置53根据配置的NAT规则得到NAT变换的地址池为60.0.0.1~60.0.0.32,且变换类型为NAPT,然后从地址池地址分配未用的地址和端口60.0.0.1:12000得到地址池的共享VPN为VPN 53;以VPN 53及60.0.1.1:21查询内部服务器表得到转换结果为VPN52的10.10.0.1:21;最后将源地址及端口10.10.0.1:10000替换成转换后的60.0.0.1:12000,将目的地址及端口60.0.1.1:21替换为转换后的10.10.0.1:21,再于目的VPN 52内以10.10.0.1查询路由表,转发到VPN 52的10.10.0.1,从而实现数据包的路由转发。
为便于后续正向及反向数据包的转发,进行VPN的NAPT转换后同样可以根据数据包的路由标识建立NAT会话表,如表3所示,实施例三中可建立VPN 51+10.10.0.1+10000+60.0.1.1+21至VPN 52+60.0.0.1+12000+10.10.0.1和反向的VPN 52+10.10.0.1+21+60.0.0.1+12000至VPN 51+60.0.1.1+21+10.10.0.1+10000的对应关系NAT会话表。另外反向也可以以共享VPN 53+10.10.0.1+21+60.0.0.1+12000至VPN 51+60.0.1.1+21+10.10.0.1+10000建立对应的会话表,如表4所示,而该共享VPN号,可通过查询反向的地址池地址60.0.0.1的路由时得到。
表3:
方向 | 入VPN | 源地址 | 源端口 | 目的地址 | 目的端口 | 转换后VPN | 转换后源地址 | 转换后源端口 | 转换后目的地址 | 转换后目的端口 |
正 | 51 | 10.10.0.1 | 10000 | 60.0.1.1 | 21 | 52 | 60.0.0.1 | 12000 | 10.10.0.1 | 21 |
反 | 52 | 10.10.0.1 | 21 | 60.0.0.1 | 12000 | 51 | 60.0.1.1 | 21 | 10.10.0.1 | 10000 |
表4:
方向 | 入VPN | 源地址 | 源端口 | 目的地址 | 目的端口 | 转换后VPN | 转换后源地址 | 转换后源端口 | 转换后目的地址 | 转换后目的端口 |
正 | 51 | 10.10.0.1 | 10000 | 60.0.1.1 | 21 | 52 | 60.0.0.1 | 12000 | 10.10.0.1 | 21 |
反 | 53 | 10.10.0.1 | 21 | 60.0.0.1 | 12000 | 51 | 60.0.1.1 | 21 | 10.10.0.1 | 10000 |
上述NAT会话表建立后,VPN 51中10.10.0.1发至VPN 52中10.10.0.1的正向报文及VPN 52中10.10.0.1发至VPN 51中10.10.0.1的反向报文可以通过查询该会话表直接进行转换。
实施例一、二及实施例三中分别对NAT及NAPT进行描述,实际应用中,NAT和NAPT转换可以在源地址和目的地址分别进行,其也应落入本发明的保护范围。另外,上述本发明各实施例为使描述较为清晰,仅以两个VPN互访的情况为例,而对于多个VPN间进行互访时,本发明的优势将更为明显,此处不加以赘述。
本发明还公开一种实现VPN间互访的NAT装置,其一实施例如图5所示,包括共享VPN配置单元610、NAT转换单元620及目的VPN确定单元630。其中,共享VPN配置单元610用于配置共享VPN及对应的NAT地址池;NAT转换单元620用于在源VPN发起数据包访问时,根据NAT地址池进行源地址和/或目的地址的NAT转换;目的VPN确定单元630则根据目的地址或转换后的目的地址查询NAT地址池,以确定进行数据包转发的目的VPN。
本实施例中,NAT装置还包括会话表单元640、反向会话表单元650及规则配置单元660。其中,会话表单元640用于根据数据包的路由标识建立并存储NAT会话表,以实现根据NAT会话表进行来自所述源VPN的后续数据包的路由转发,且该路由标识包括但不限于:源VPN号、源地址、转换后的源地址、目的地址、转换后的目的地址及目的VPN号;而反向会话表单元650用于根据数据包的反向路由标识建立并存储NAT反向会话表,以实现根据该NAT反向会话表进行来自目的VPN的数据包的反向路由转发,且反向路由标识包括:目的地址、目的VPN号、源VPN号及源地址,或共享VPN号、源VPN号及源地址。而规则配置单元660与NAT转换单元620连接,其用于对NAT规则进行配置,以确定源VPN是否进行NAT转换,并进一步确定是否进行源地址和/或目的地址的NAT转换。
另外,NAT转换单元620进一步包括地址转换子单元621及端口转换子单元622。其中,地址转换子单元621根据NAT地址池进行源地址和/或目的地址的NAT转换;端口转换子单元622,则进一步根据NAT地址池进行对应的源端口和/或目的端口的NAPT转换。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (14)
1、 一种虚拟专用网VPN间通过网络地址转换NAT实现互访的方法,其特征在于,包括:
配置共享VPN及对应的NAT地址池,并将所述NAT地址池的路由信息发布至各VPN;
在源VPN发起数据包访问时,根据所述NAT地址池进行源地址和/或目的地址的NAT转换,并根据所述目的地址或转换后的目的地址确定目的VPN;
在所述目的VPN中进行数据包的路由转发。
2、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述进行数据包的路由转发之后还包括:
根据所述数据包的路由标识建立NAT会话表,所述路由标识包括:源VPN号、源地址、目的地址及目的VPN号;
所述源VPN直接根据所述NAT会话表进行后续数据包的路由转发。
3、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述进行数据包的路由转发之后还包括:
根据所述数据包的反向路由标识建立NAT反向会话表,所述反向路由标识包括:目的地址、目的VPN号、源VPN号及源地址,或共享VPN号、源VPN号及源地址;
所述目的VPN根据所述NAT反向会话表向所述源VPN进行反向数据包的路由转发。
4、 如权利要求2或3所述VPN间通过NAT实现互访的方法,其特征在于,所述路由标识或反向路由标识还包括:转换后的源地址和/或转换后的目的地址。
5、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述配置共享VPN及NAT地址池还包括:对NAT规则进行配置;
则所述源VPN发起数据包访问时,根据所述NAT规则判断所述源VPN是否进行NAT转换,如果是则进一步查询所述NAT规则确定需要使用的NAT地址池,之后则根据查询结果进行所述源地址和/或目的地址的NAT转换。
6、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述在目的VPN中进行数据包的路由转发进一步包括:
根据所述目的地址或进行NAT转换后的目的地址查询所述目的VPN的路由表;
根据查询得到的转发路由进行所述数据包的转发。
7、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述进行源地址和/或目的地址的NAT转换还包括:
根据所述NAT地址池进行源端口和/或目的端口的网络地址端口解析NAPT转换;
之后则根据目的地址及目的端口或NAPT转换后的目的地址及目的端口进行数据包的路由转发。
8、 如权利要求1所述VPN间通过NAT实现互访的方法,其特征在于,所述NAT地址池包括:源地址转换地址池及目标地址转换地址池,所述源/目标地址转换地址池为静态转换地址池或动态转换地址池。
9、 一种实现VPN间互访的NAT装置,其特征在于,包括共享VPN配置单元、NAT转换单元及目的VPN确定单元,
所述共享VPN配置单元,用于配置共享VPN及对应的NAT地址池;
所述NAT转换单元,在源VPN发起数据包访问时,根据所述NAT地址池进行源地址和/或目的地址的NAT转换;
所述目的VPN确定单元,根据所述目的地址或转换后的目的地址查询所述NAT地址池,以确定进行数据包转发的目的VPN。
10、 如权利要求9所述实现VPN间互访的NAT装置,其特征在于,还包括会话表单元及反向会话表单元,
所述会话表单元,用于根据数据包的路由标识建立并存储NAT会话表,以实现根据所述NAT会话表进行来自所述源VPN的后续数据包的路由转发且所述路由标识包括:源VPN号、源地址、目的地址及目的VPN号;
所述反向会话表单元,用于根据数据包的反向路由标识建立并存储NAT反向会话表,以实现根据所述NAT反向会话表进行来自所述目的VPN的数据包的反向路由转发,且所述反向路由标识包括:目的地址、目的VPN号、源VPN号及源地址,或共享VPN号、源VPN号及源地址。
11、 如权利要求10所述实现VPN间互访的NAT装置,其特征在于,所述路由标识或反向路由标识还包括:转换后的源地址和/或转换后的目的地址。
12、 如权利要求9所述实现VPN间互访的NAT装置,其特征在于,还包括规则配置单元,与所述NAT转换单元连接,
所述规则配置单元,用于对NAT规则进行配置,以确定所述源VPN是否进行NAT转换,并进一步确定是否进行源地址和/或目的地址的NAT转换。
13、 如权利要求9所述实现VPN间互访的NAT装置,其特征在于,所述NAT转换单元进一步包括地址转换子单元及端口转换子单元,
所述地址转换子单元,根据所述NAT地址池进行源地址和/或目的地址的NAT转换;
所述端口转换子单元,进一步根据所述NAT地址池进行对应的源端口和/或目的端口的NAPT转换。
14、 如权利要求9至13任一项所述实现VPN间互访的NAT装置,其特征在于,所述NAT地址池包括:源地址转换地址池及目标地址转换地址池,所述源/目标地址转换地址池为静态转换地址池或动态转换地址池。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710090548XA CN101286919B (zh) | 2007-04-11 | 2007-04-11 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
RU2008113089A RU2406247C2 (ru) | 2007-04-11 | 2008-04-08 | Способ и устройство для реализации доступа между виртуальными частными сетями |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710090548XA CN101286919B (zh) | 2007-04-11 | 2007-04-11 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101286919A true CN101286919A (zh) | 2008-10-15 |
CN101286919B CN101286919B (zh) | 2010-11-10 |
Family
ID=40058898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710090548XA Expired - Fee Related CN101286919B (zh) | 2007-04-11 | 2007-04-11 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101286919B (zh) |
RU (1) | RU2406247C2 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291732A (zh) * | 2010-06-18 | 2011-12-21 | 中兴通讯股份有限公司 | 传输间隙样式序列的处理方法、装置及系统 |
CN101800690B (zh) * | 2009-02-05 | 2012-08-15 | 北京启明星辰信息技术股份有限公司 | 一种使用地址池实现源地址转换的方法和装置 |
CN103259724A (zh) * | 2012-02-15 | 2013-08-21 | 中兴通讯股份有限公司 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
WO2016078375A1 (zh) * | 2014-11-21 | 2016-05-26 | 中兴通讯股份有限公司 | 数据传送方法及装置 |
CN110177047A (zh) * | 2019-05-27 | 2019-08-27 | 北京字节跳动网络技术有限公司 | 报文发送方法、装置、电子设备和计算机可读存储介质 |
CN110383796A (zh) * | 2016-12-20 | 2019-10-25 | 华为技术有限公司 | 在会话初始化期间传送伪隧道信息的系统和方法 |
CN114448667A (zh) * | 2021-12-23 | 2022-05-06 | 天翼云科技有限公司 | 一种数据传输方法、装置及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1199405C (zh) * | 2002-07-23 | 2005-04-27 | 华为技术有限公司 | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
CN1780249A (zh) * | 2004-11-25 | 2006-05-31 | 华为技术有限公司 | 一种实现不同种类的第三层虚拟个人网络互通的方法 |
CN100423512C (zh) * | 2005-06-17 | 2008-10-01 | 杭州华三通信技术有限公司 | 虚拟专用网的网络地址转换设备资源使用的控制方法 |
CN100463452C (zh) * | 2006-03-21 | 2009-02-18 | 杭州华三通信技术有限公司 | 一种vpn数据转发方法及用于数据转发的vpn设备 |
-
2007
- 2007-04-11 CN CN200710090548XA patent/CN101286919B/zh not_active Expired - Fee Related
-
2008
- 2008-04-08 RU RU2008113089A patent/RU2406247C2/ru not_active IP Right Cessation
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101800690B (zh) * | 2009-02-05 | 2012-08-15 | 北京启明星辰信息技术股份有限公司 | 一种使用地址池实现源地址转换的方法和装置 |
CN102291732A (zh) * | 2010-06-18 | 2011-12-21 | 中兴通讯股份有限公司 | 传输间隙样式序列的处理方法、装置及系统 |
CN102291732B (zh) * | 2010-06-18 | 2015-04-01 | 中兴通讯股份有限公司 | 传输间隙样式序列的处理方法、装置及系统 |
CN103259724A (zh) * | 2012-02-15 | 2013-08-21 | 中兴通讯股份有限公司 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
CN103259724B (zh) * | 2012-02-15 | 2017-12-29 | 中兴通讯股份有限公司 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
WO2016078375A1 (zh) * | 2014-11-21 | 2016-05-26 | 中兴通讯股份有限公司 | 数据传送方法及装置 |
CN110383796A (zh) * | 2016-12-20 | 2019-10-25 | 华为技术有限公司 | 在会话初始化期间传送伪隧道信息的系统和方法 |
CN110383796B (zh) * | 2016-12-20 | 2021-08-03 | 华为技术有限公司 | 在会话初始化期间传送伪隧道信息的系统和方法 |
CN110177047A (zh) * | 2019-05-27 | 2019-08-27 | 北京字节跳动网络技术有限公司 | 报文发送方法、装置、电子设备和计算机可读存储介质 |
CN110177047B (zh) * | 2019-05-27 | 2022-03-04 | 北京字节跳动网络技术有限公司 | 报文发送方法、装置、电子设备和计算机可读存储介质 |
CN114448667A (zh) * | 2021-12-23 | 2022-05-06 | 天翼云科技有限公司 | 一种数据传输方法、装置及设备 |
CN114448667B (zh) * | 2021-12-23 | 2023-08-08 | 天翼云科技有限公司 | 一种数据传输方法、装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101286919B (zh) | 2010-11-10 |
RU2008113089A (ru) | 2009-10-20 |
RU2406247C2 (ru) | 2010-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101286919B (zh) | 虚拟专用网间通过网络地址转换实现互访的方法及装置 | |
CN102025591B (zh) | 虚拟专用网络的实现方法及系统 | |
US8805977B2 (en) | Method and system for address conflict resolution | |
CN102025589B (zh) | 虚拟专用网络的实现方法及系统 | |
US7852861B2 (en) | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method | |
JP4679453B2 (ja) | Lanに接続された情報機器を、wanを介して制御するためのゲートウェイ及びプログラム | |
JP2003273935A (ja) | 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法 | |
CN101043430B (zh) | 一种设备之间网络地址转换的方法 | |
JP2010103709A (ja) | パケット転送装置、パケット転送方法、パケット転送プログラム及び通信装置 | |
CN102170380A (zh) | 内网访问外网的方法和设备 | |
CN100525295C (zh) | 一种IPv4网络与IPv6网络通信的实现方法 | |
CN108063839A (zh) | 一种访问网络的方法及访问网络的装置 | |
CN111884902A (zh) | 一种vpn场景网络分流方法及装置 | |
CN101908996A (zh) | 接入私有网络的方法、数据传输方法及装置和系统 | |
CN102891903A (zh) | 一种nat转换方法及设备 | |
EP3086512B1 (en) | Implementation method and apparatus for vlan to access vf network and fcf | |
CN103428310A (zh) | 基于虚拟ip的非http域名引导系统和方法 | |
CN1863152B (zh) | 内网用户之间传递各种报文的方法 | |
JP3394727B2 (ja) | ネットワーク間通信方法及びその装置 | |
SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
CN100359875C (zh) | 在地址解析协议代理上实现负载均摊的方法 | |
CN106453399A (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
CN112887452B (zh) | 局域网间通信方法与系统、nat网关 | |
KR100355288B1 (ko) | 사설망 호스트에 서비스 서버 기능을 부여하는 장치 및 방법 | |
CN104283984A (zh) | 一种实现异类地址网络互联的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101110 |