CN101360030B - 一种私网用户使用公网地址接入公网的方法及网关 - Google Patents
一种私网用户使用公网地址接入公网的方法及网关 Download PDFInfo
- Publication number
- CN101360030B CN101360030B CN2008101419337A CN200810141933A CN101360030B CN 101360030 B CN101360030 B CN 101360030B CN 2008101419337 A CN2008101419337 A CN 2008101419337A CN 200810141933 A CN200810141933 A CN 200810141933A CN 101360030 B CN101360030 B CN 101360030B
- Authority
- CN
- China
- Prior art keywords
- private user
- public network
- address
- private
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例提供了一种私网用户使用公网地址接入公网的方法,该方法包括:当LAN侧私网用户向WAN侧发送数据时,若是公网地址,则直接转发数据报文,并记录特定的私网用户的五元组信息;若是私网地址,则进行NAT/NAPT转换后将数据报文发送出去,并在NAT/NAPT映射表中记录转换前后的五元组信息;当WAN侧向LAN侧私网用户发送数据时,根据NAT/NAPT映射表中的五元组信息,转发数据报文给相应的私网用户。本发明实施例还公开了一种能提供给特定私网用户专用端口的网关。本发明实施例既解决了一个私网中的多个用户的公网地址资源占用的问题,又可以使特定用户与WAN侧设备直接进行通信,安全性更高。
Description
技术领域
本发明涉及网络通信领域,具体涉及一种私网用户使用公网地址接入公网的方法及网关。
背景技术
在现有技术中,局域网(LAN)侧私网用户如果想接入到公网,有两种方式:第一种是桥接模式,其具体方法为:PC(私网用户)通过网关直接拨号获取公网地址,此时网关不需要支持地址转换NAT功能,所有的数据在二层转发。在这种方式下,每一个私网用户都拥有一个公网地址。优点是LAN侧所有私网用户上的任何业务可以与广域网WAN侧设备直接进行通信,不进行NAT/NAPT的转换,不会受到网关的影响,缺点是这种方式造成公网地址资源的浪费。第二种方式是路由模式,其具体方法为:LAN侧私网用户向网关申请私网地址,网关向WAN侧外网申请公网地址,网关需要支持三层转发并进行公私网地址/端口的NAT(Network Address Translation)地址转换功能。此时WAN侧的设备访问LAN侧设备,需要通过网关的防火墙,必须根据需开启的业务来配置,才能允许WAN侧设备访问内网,另外,对于私网内用户需要直接与WAN侧设备通信的业务,而不需要经过NAT/NAPT转换,该接入方式不能实现。
在实现本发明实施例的过程中,发明人发现现有技术中至少存在如下问题:私网中特定用户上的服务,希望使用公网地址,而且其业务通过网关时不希望在网关上因为地址转换而受到限制,其他私网用户也希望同时与公网通信,上述现有技术方案无法同时满足。
发明内容
为解决上述技术问题,即满足LAN侧多台设备同时上公网需求,也满足LAN侧特定设备的业务可以直接与公网通信的需要,如图1所示,本发明实施例提供如下技术方案:获取公网地址;将获取的公网地址与LAN侧的特定私网用户关联,即将公网地址与所述特定私网用户的MAC地址绑定;当LAN侧私网用户申请地址时,若是所述特定私网用户,则下发公网地址,否则,下发私网地址。
本发明实施例还提供了一种能使私网用户使用公网地址接入公网的网关,该网关包括:获取单元,用于从WAN侧获取公网地址;关联单元,用于将获取的公网地址与特定私网用户相关联,即将公网地址与所述特定私网用户的MAC地址绑定;判断单元,用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;转换翻译单元,用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。该网关还包括为特定私网用户和网关业务专用的端口。
上述技术方案具有如下优点:既解决了一个私网中的多个用户的公网IP地址资源占用的问题,又可以使LAN侧特定用户与WAN侧设备直接通信。并且针对使用公网地址的私网用户,网关可不需要支持NAT和ALG,该私网用户的防火墙功能即可在自身实现,也可在网关上实现,具备更强的安全性。
附图说明
图1为本发明实施例总技术方案图。
图2为本发明实施例中的地址分配方案流程图。
图3、图4为本发明实施例中的数据转发方案流程图。
具体实施方式
本发明实施例提供一种私网用户使用公网地址接入公网的方法,下面结合附图对本发明实施例进行进一步的说明。
请参见图1,网关从WAN侧获取公网地址后,将该公网地址与需要和WAN侧设备直接通信的特定私网用户关联;当LAN侧私网用户申请地址时,若是特定私网用户,则下发公网地址,否则,下发私网地址。该方法具体包括:
地址分配方案。网关预先配置并记录需要使用公网地址的私网用户即关联私网用户PC1的信息,如PC1的MAC地址。但本发明实施例不限于记录用户的MAC地址,如果关联私网用户有其他唯一性的信息,网关也可以记录该信息。网关可以通过PPPoE或者DHCP或者静态配置等方式从WAN侧获得公网地址IP1。网关将IP1进行特殊标记后,放入LAN侧地址池。
在每台安装有TCP/IP协议的计算机里都有一个ARP缓存表,即AddressResolution Protocol(地址解析协议)。表里的IP地址与MAC地址是一一对应的。网关把关联私网用户PC1的IP地址、MAC地址输入到一个静态表中,形成IP地址-MAC地址的绑定,即实现公网地址IP1与PC1相关联。为了关联私网用户的安全,网关也可以将关联私网用户专用的端口与IP、MAC地址绑定在一起。
请参见图2,当私网用户向网关申请地址时,网关判断私网用户的MAC地址是否与记录的MAC地址信息一致。若一致,则将公网地址IP1下发给关联私网用户PC1,PC1可使用该地址直接接入公网。这样,根据自身业务需要与公网侧设备进行直接通信的私网用户在通信方面变得很便捷。同时直接与公网设备通信的关联私网用户PC1的防火墙功能既可在自身实现,也可在网关上实现,具备更强的安全性。若不一致,网关在地址池中将私网地址IP2~IPn下发私网用户。
数据转发方案。网关预先分别为PC1和网关自身的业务应用预留相应的TCP/UPD端口,这些预留的端口对外只能由PC1和网关使用。
请参见图3,当私网用户向WAN侧设备发送数据时,网关判断其MAC地址与记录的MAC信息是否一致。若记录的MAC信息一致,则该私网用户为关联私网用户PC1,网关不对数据报文修改,不进行NAT/NAPT地址转换,直接转发数据,并记录PC1会话的五元组信息。若与记录的MAC地址信息不一致,则该私网用户为私网用户PC2~PCn。网关判断端口是否为关联私网用户PC1或网关业务预留的专用端口。
若是预留的专用端口,则网关对私网用户进行地址和端口的NAPT转换后将数据发送出去,记录NAPT转换前后的五元组信息,建立NAT/NAPT映射表。如表1所示,例如,网关申请的公网地址为IP1=202.204.65.2,端口为8080,网关给私网用户PC2下发的私网IP地址(即源IP地址)为Src=192.168.1.2,源端口号为1010,目的IP地址为Des=166.111.80.200,目的端口为80。PC2与WAN侧设备通信,经过网关时,网关进行NAPT地址和端口的转换,将PC2的源IP地址改为公网地址IP1=Src=202.204.65.2,源端口改为8080。这样,WAN侧设备接收到的数据报文中,来源IP地址为网关申请的公网地址IP1,端口为8080。如表1所示,在网关中建立如下NAT/NAPT映射表。网关每进行一次NAT/NAPT转换,就在映射表中相应地增加一条记录。另外,也可以在该映射表中记录直接使用公网地址的关联私网用户PC1的五元组信息。每一个私网用户在NAT/NAPT转换前后的数据都是一一对应的关系。
表1
若不是预留的专用端口,则判断该端口是否已经被其它的私网用户使用,如果该端口已经被使用,则对私网用户进行地址和端口号的NAPT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其转换前后的五元组信息;如果该端口没有被使用,则网关对私网用户进行网络地址的NAT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其NAT转换前后的五元组信息。
请参见图4,当WAN侧向LAN侧私网用户发送数据时,网关在收到数据报文后,根据在NAT/NAPT映射表中记录的五元组信息,将收到的数据报文翻译后,转发给相应的私网用户。由于转换前后的五元组信息都是一一对应的关系,因此,网关在收到数据包的时候,可以在映射表中查找相关私网用户的会话信息,这样,就可以使数据转发给相应的私网用户。
本发明实施例还提供了一种私网用户使用公网地址接入公网的网关,如图4所示,该网关包括:获取单元1,用于从WAN侧获取公网地址;关联单元2,用于将获取的公网地址与特定私网用户相关联;判断单元3,用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;转换翻译单元4,用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。同时,该网关还包括为LAN侧特定私网用户预留的专用端口,和为网关自身业务需要而预留的专用端口。
获取单元1在WAN侧通过PPPoE或者DHCP或者静态配置等方式从WAN侧获得公网地址IP1。关联单元2记录下需要与公网侧设备直接通信的特定私网用户的信息,如MAC地址,并将该MAC地址反馈给判断单元3。关联单元2对该公网地址IP1进行特殊标记,并把关联私网用户PC1的IP地址、MAC地址输入到一个静态表中,形成IP地址-MAC地址的绑定,即实现公网地址IP1与PC1相关联。为了关联私网用户的安全,网关也可以将关联私网用户专用的端口与IP、MAC地址绑定在一起。
当私网用户申请地址时,判断单元3根据关联单元2反馈的MAC地址信息,判断私网用户的MAC地址是否与记录的MAC地址一致。若一致,则将公网地址IP1下发给该用户;若不一致,则将私用地址IP2~IPn下发给该用户。
当私网用户向WAN侧发送数据时,判断单元3判断私网用户的MAC地址是否与记录的MAC地址一致。若一致,则为关联私网用户,判断单元3直接转发数据,并将关联用户的五元组信息反馈给转换翻译单元4。转换翻译单元4将关联私网用户的五元组信息记录在NAT/NAPT映射表中。该映射表是存储在转换翻译单元4中的动态存储表,每个私网用户进行一次NAT/NAPT转换后,都在该映射表增加一条该私网用户转换前后的五元组信息。
若MAC地址与记录的MAC地址不一致,则该私网用户为私网用户PC2~PCn。判断单元3判断端口是否为关联私网用户PC1或网关业务预留的专用端口。若是预留的专用端口,则判断单元3将数据报文发送给转换翻译单元4,转换翻译单元4对私网用户进行地址和端口的NAPT转换后将数据发送出去,并在NAT/NAPT映射表中记录该私网用户转换前后的五元组信息。这样,就实现了
若不是预留的专用端口,则判断单元3判断该端口是否已经被其它的私网用户使用。如果该端口已经被使用,则判断单元3将数据报文发送给转换翻译单元4,由转换翻译单元4对私网用户进行地址和端口号的NAPT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,增加一条该私网用户转换前后的五元组信息的记录;如果该端口没有被使用,则转换翻译单元4对该私网用户进行网络地址的NAT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其NAT转换前后的五元组信息。
当WAN侧向LAN侧私网用户发送数据时,转换翻译单元4在收到数据报文后,将收到的数据报文翻译后,根据在NAT/NAPT映射表中记录的五元组信息,转发给相应的私网用户。由于转换前后的五元组信息都是一一对应的关系,因此,网关在收到数据包的时候,可以在映射表中查找相关私网用户的会话信息,这样,就可以使数据转发给相应的私网用户。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种私网用户使用公网地址接入公网的方法,其特征在于,该方法包括:
获取公网地址;
将获取的公网地址与LAN侧的特定私网用户关联,即将公网地址与所述特定私网用户的MAC地址绑定;
当LAN侧私网用户申请地址时,若是所述特定私网用户,则下发公网地址,否则,下发私网地址。
2.根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户向WAN侧发送数据时,根据地址信息,若是公网地址,直接转发数据报文;若是私网地址,则进行NAT/NAPT转换后将数据发送,并记录转换前后的五元组信息;
当WAN侧向LAN侧私网用户发送数据时,根据五元组信息,转发数据给相应的私网用户。
3.根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,所述的特定私网用户由网关预先设置并记录其信息。
4.根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户申请地址时,网关判断私网用户的信息是否与记录的信息一致:若一致,则下发公网地址;若不一致,则下发私网地址。
5.根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户向WAN侧设备发送数据时,网关根据记录的私网用户信息来判断是否为其分配专用端口;若是特定私网用户,则分配专用端口,并直接将数据发送出去;若不是特定私网用户,则进行NAT/NAPT的转换后,将数据发送出去。
6.一种网关,其特征在于,该网关包括
获取单元:用于从WAN侧获取公网地址;
关联单元:用于将获取的公网地址与特定私网用户相关联,即将公网地 址与所述特定私网用户的MAC地址绑定;
判断单元:用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;
转换翻译单元:用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。
7.根据权利要求6所述的网关,其特征在于,所述的判断单元在判断私网用户信息与记录的信息不一致时,将数据报文发送给转换翻译单元。
8.根据权利要求6所述的网关,其特征在于,该网关还包括分别为特定私网用户、网关业务设置的专用端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101419337A CN101360030B (zh) | 2008-08-21 | 2008-08-21 | 一种私网用户使用公网地址接入公网的方法及网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101419337A CN101360030B (zh) | 2008-08-21 | 2008-08-21 | 一种私网用户使用公网地址接入公网的方法及网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101360030A CN101360030A (zh) | 2009-02-04 |
| CN101360030B true CN101360030B (zh) | 2011-10-05 |
Family
ID=40332374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101419337A Active CN101360030B (zh) | 2008-08-21 | 2008-08-21 | 一种私网用户使用公网地址接入公网的方法及网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101360030B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707569B (zh) * | 2009-12-21 | 2012-05-23 | 杭州华三通信技术有限公司 | Nat业务报文处理的方法及装置 |
| CN102215273B (zh) * | 2010-04-12 | 2013-11-06 | 杭州华三通信技术有限公司 | 一种为内网用户提供外网接入的方法和装置 |
| CN102148767A (zh) * | 2011-05-12 | 2011-08-10 | 杭州华三通信技术有限公司 | 一种基于nat的数据路由方法及其装置 |
| CN103501351A (zh) * | 2013-10-22 | 2014-01-08 | 广东睿江科技有限公司 | 一种网络出口的监控方法和监控装置 |
| CN106341246A (zh) * | 2015-07-07 | 2017-01-18 | 西安中兴新软件有限责任公司 | 一种自动识别lan端口和wan端口的方法和装置 |
| CN107547296B (zh) * | 2017-05-10 | 2020-09-25 | 新华三信息安全技术有限公司 | 一种信息处理方法及装置 |
| CN111327715B (zh) * | 2018-12-17 | 2022-08-23 | 中国移动通信集团四川有限公司 | 实现NB-IoT业务下行数据可达的方法、装置、设备及介质 |
| CN113132218B (zh) * | 2019-12-31 | 2023-10-20 | 中兴通讯股份有限公司 | 一种家庭网关访问方法、装置、系统处理器及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1764172A (zh) * | 2004-10-18 | 2006-04-26 | 北京万林克网络技术有限公司 | 穿越网络地址转换和防火墙的多媒体通信代理系统及方法 |
| CN1996945A (zh) * | 2006-11-30 | 2007-07-11 | 中国科学院计算技术研究所 | 一种网络地址转换方法 |
| CN101026548A (zh) * | 2006-02-23 | 2007-08-29 | 中兴通讯股份有限公司 | 一种数据业务路由方法 |
-
2008
- 2008-08-21 CN CN2008101419337A patent/CN101360030B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1764172A (zh) * | 2004-10-18 | 2006-04-26 | 北京万林克网络技术有限公司 | 穿越网络地址转换和防火墙的多媒体通信代理系统及方法 |
| CN101026548A (zh) * | 2006-02-23 | 2007-08-29 | 中兴通讯股份有限公司 | 一种数据业务路由方法 |
| CN1996945A (zh) * | 2006-11-30 | 2007-07-11 | 中国科学院计算技术研究所 | 一种网络地址转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101360030A (zh) | 2009-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101360030B (zh) | 一种私网用户使用公网地址接入公网的方法及网关 | |
| JP4816572B2 (ja) | 仮想ネットワーク接続システム及び装置 | |
| US8249081B2 (en) | Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment | |
| US20190364115A1 (en) | Methods and apparatus for managing the use of ip addresses | |
| CN102170380B (zh) | 内网访问外网的方法和设备 | |
| JP3735348B2 (ja) | インターネットプロトコルアドレス変換装置、これを用いた通信ネットワークシステム及び通信方法 | |
| US7395354B2 (en) | Methods and systems for resolving addressing conflicts based on tunnel information | |
| KR101034938B1 (ko) | IPv6 주소 및 접속정책 관리 시스템 및 방법 | |
| CN102664972A (zh) | 一种虚拟网络中地址映射方法和装置 | |
| US20120311185A1 (en) | Data transmission based on address translation | |
| CN101132424B (zh) | 网络地址转换的方法及装置 | |
| CN106888145B (zh) | 一种vpn资源访问方法及装置 | |
| JP4766976B2 (ja) | ノード間接続方法及び装置 | |
| DE602006011567D1 (de) | Ergänzendes residential gateway management | |
| CN102572008A (zh) | 通信业务处理方法与系统、网关设备 | |
| WO2009129707A1 (zh) | 局域网之间发送、接收信息的方法和装置以及通信的系统 | |
| CN101515882A (zh) | 一种局域网与公网通信的方法、设备及系统 | |
| CN101098284A (zh) | 实现网络无缝互连的方法 | |
| US20020024959A1 (en) | Network address conversion system for enabling access to a node having a private IP address, a method therefor, and a recording medium for recording the method | |
| KR20070003890A (ko) | 적어도 두 대의 계산장치 사이에서의 연결설정시 주소와포트번호의 요약 | |
| WO2009129692A1 (zh) | 一种系统终端设备建立nat穿越通道的方法 | |
| CN101175096B (zh) | 基于源路由的可扩展ip网络的实现 | |
| CN100334858C (zh) | 一种利用双重隧道机制穿透nat的方法 | |
| JP6990647B2 (ja) | ReNAT通信環境を提供するシステム及び方法 | |
| CA2485002A1 (en) | A system and method for sharing an ip address |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210519 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Shenzhen Zhixin new information technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211021 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Honor Device Co.,Ltd. Address before: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee before: Shenzhen Zhixin new information technology Co.,Ltd. |