CN102710518B - 广域网下实现nat穿透的方法及系统 - Google Patents
广域网下实现nat穿透的方法及系统 Download PDFInfo
- Publication number
- CN102710518B CN102710518B CN201210178368.8A CN201210178368A CN102710518B CN 102710518 B CN102710518 B CN 102710518B CN 201210178368 A CN201210178368 A CN 201210178368A CN 102710518 B CN102710518 B CN 102710518B
- Authority
- CN
- China
- Prior art keywords
- main frame
- terminal
- trunking
- port
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种广域网下实现NAT穿透的方法及系统,至少一台终端、一支持DMZ的网络设备以及一主机,还包括一中继设备,在网络设备上开启DMZ技术,将DMZ主机的IP配置指向所述中继设备;在中继设备上安装基于NAT网络地址映射技术原理的端口映射程序,所述端口映射程序根据用户配置生成端口映射规则。本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的数据报文原封不同的转发给主机或NAT环境下的终端,从而实现了通信协议的透明,主机与终端之间能够全双工通信。本发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况下,很好地拓扩网络通信范围,最终实现区域内外的统一管理。
Description
【技术领域】
本发明涉及一种计算机通信领域,特别涉及一种广域网下实现NAT穿透的方法及系统。
【背景技术】
现有的基于网络通信的设备管理软件,大部分都采用TCP/IP协议与被管控设备进行双向交互。采用双工的通信方式,具有易于开发,通信带宽占用少、反馈及时等特点,适用于大部分的通信交互,但也有比较大的不足,由于要求通信双方必须能够直接通信,因此只能用于园内式(专线网或单一网络)网络环境的通信。但是在复杂混合网络环境下,如广域网与ADSL网络间的相互访问,通过NAT技术只能由单方建立通信链路,通信的另外一方无法直接建立通信链路,即通过NAT技术,位于ADSL网络下的设备可以访问广域网(即外网),而广域网下的设备无法访问ADSL网络下的设备,现有的通信机制无法满足复杂混合网络情况下的设备管理要求。
目前为了能够解决复杂混合网络环境下的通信,需要一种代理转发机制,能够介于通信双方之间,负责传递数据报文数据,有以下几种常见方式:
软件层上,通常需要在应用层特别设计一套支持路由地址转发的通信协议,然后由转发设备根据协议,查询路由信息,将数据报文投递到目标地址。在应用协议层上实现网络数据报文的转发,能够较好的实现复杂网络的管理,但通常只适用于协议设计之初,且存在以下不足之处:
1)大大增加通信协议的复杂度、系统开销、带宽资源及通信效率;
2)需要专门开发支持协议转发的路由设备并需要一定的路由算法及路由表存储空间;
3)为了保证通信的安全将会引入非常复杂的保障机制;
4)需要兼容自身原有的通信协议,这对于新旧系统的整合可能会成为较大的障碍;
5)对于第三方协议无法兼容,一个应用系统往往混合了多种网络通信协议,并且这些协议通常是无法或不允许修改的;
6)开发周期相对较长,这对于有时间压力的项目是不容易接受的;
对开发完毕的系统或者已部署的系统再去改造,将协议进行全面改造对已建设好的应用环境是相当困难的,将会面临许多实际难以解决的问题,所以此种方式通常只能作为系统设计初期就应考虑好的方式。
另外一种方式,通过实现Sock代理客户端将通信数据报文发给代理服务器,由代理服务器负责转换数据报文,虽然不需要在应用层特别设计一套支持路由地址转发的通信协议,但需对程序进行修改,以支持基于代理的网络通信,但此种方式只能支持单向发起的通信请求,这对于采用双工通信模式的应用,是无法满足管理需求的。
硬件层上,可以通过购买硬件网关设备,在设备层上实现数据数据报文的转发,具有高效、负载量大的优点,但这往往需要用户对现有的基础网络结构进行改造,并且需要支出一笔高昂的硬件设备费用,这对用户来说是一件性价比极低的一种方案,通常不太可能为了支持普通应用级系统而采用这种方式。
【发明内容】
本发明要解决的技术问题之一,在于提供一种ADSL网络穿透方法及系统。
本发明采用以下技术方案解决上述技术问题:
技术方案一:
一种广域网下实现NAT穿透的方法,所述方法提供至少一台终端、一支持DMZ的网络设备、一主机以及一中继设备,所述中继设备作为旁路设备,仅与所述网络设备相连,所述中继设备上安装有基于NAT网络地址映射技术原理的端口映射程序,所述终端和所述中继设备设于广域网NAT环境下,所述方法包括如下步骤:
步骤1、在网络设备上开启DMZ技术,并配置DMZ主机的IP地址,将DMZ主机的IP配置指向所述中继设备;
步骤2、启动所述中继设备,所述端口映射程序根据用户配置生成端口映射规则;所述端口映射规则定期发送至所述主机,其发送周期由用户设定;
步骤3、根据端口映射规则将所述中继设备与各终端IP地址进行绑定,所述中继设备在通信端口进行数据报文监听;将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求;所述主机和终端间为全双工的通信方式;
步骤4、若位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,首先终端将数据报文发送给网络设备,所述网络设备根据内置的DMZ映射规则,将数据报文转发到所述中继设备,所述中继设备依据端口映射规则将数据报文转发给所述主机;所述主机收到数据报文进行处理后,若需返回处理结果,所述主机作为通信发起端按步骤5的方式返回处理结果;
步骤5、若所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求,首先查询所述端口映射规则,指定接收数据报文的终端,然后将数据报文发送至该终端对应的网络设备端口,所述网络设备根据内置的DMZ映射规则,将数据报文原封不动地转发到所述中继设备端口,所述中继设备端口的端口号与网络设备端口的端口号相同,所述中继设备依据端口映射规则将数据报文转发给指定的终端;所述指定的终端收到数据报文进行处理后,若需返回处理结果,则所述指定的终端作为通信发起端按步骤4的方式返回处理结果。
进一步地,所述端口映射规则包括各终端的IP与中继设备通信端口、主机的IP以及主机通信端口之间的对应规则。
进一步地,所述网络设备是路由器或交换机。
进一步地,所述中继设备采用selector网络通信模型,进行数据报文的转发。
技术方案二:
一种广域网下实现NAT穿透的系统,包括:至少一台终端、一支持DMZ的网络设备以及一主机,所述终端、网络设备以及主机之间通过网络连接,还包括一安装有端口映射程序的中继设备,所述中继设备作为旁路设备,仅通过网络与所述网络设备相连,所述终端和所述中继设备设于广域网NAT环境下。
进一步地,所述网络设备是路由器或交换机。
本发明具有如下优点:
本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的数据报文原封不动的转发给主机或NAT环境下的终端,无需修改数据报文,实现通信协议的透明,主机与终端之间能够全双工通信。本发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况下,很好地拓扩网络通信范围,最终实现区域内外的统一管理,同时,本发明可适应于各种通信协议及软件应用环境。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明广域网下实现NAT穿透的系统结构示意图。
【具体实施方式】
请参阅图1,对本发明技术方案做详细说明。
技术方案一:
一种广域网下实现NAT穿透的方法,所述方法提供至少一台终端1、一支持DMZ的网络设备2、一主机3以及一中继设备4,所述中继设备4作为旁路设备,仅与所述网络设备2相连,所述中继设备4上安装有基于NAT网络地址映射技术原理的端口映射程序,所述终端1和所述中继设备4设于广域网NAT环境下,所述方法包括如下步骤:
步骤1、在网络设备2上开启DMZ技术,并配置DMZ主机的IP地址,将DMZ主机的IP配置指向所述中继设备4;
步骤2、启动所述中继设备4,所述端口映射程序根据用户配置生成端口映射规则;所述端口映射规则包括各终端1的IP与中继设备4通信端口、主机3的IP以及主机3通信端口之间的对应规则;所述端口映射规则定期发送至所述主机,其发送周期由用户设定;
步骤3、根据端口映射规则将所述中继设备4与各终端1的IP地址进行绑定,所述中继设备4在通信端口进行数据报文监听;绑定后在通信过程中各终端1与中继设备4间就如同建立了各自独立的网络通信隧道,可直接通信;将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求;所述主机和终端间为全双工的通信方式;
步骤4、若位于广域网NAT环境下的终端1作为通信发起端向所述主机发送数据报文请求,首先终端1将数据报文发送给网络设备2,所述网络设备2根据内置的DMZ映射规则,将数据报文转发到所述中继设备4,所述中继设备4依据端口映射规则将数据报文转发给所述主机3;所述主机3收到数据报文进行处理后,若需返回处理结果,所述主机3作为通信发起端按步骤5的方式返回处理结果;
步骤5、若所述主机3作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求,首先查询所述端口映射规则,指定接收数据报文的终端1,然后将数据报文发送至该终端1对应的网络设备2端口,所述网络设备2根据内置的DMZ映射规则,将数据报文原封不动地转发到所述中继设备4端口,所述中继设备4端口的端口号与网络设备2端口的端口号相同,所述中继设备4依据端口映射规则将数据报文转发给指定的终端1;所述指定的终端1收到数据报文进行处理后,若需返回处理结果,则所述指定的终端1作为通信发起端按步骤4的方式返回处理结果。
本实施例中,所述网络设备2可以是路由器或交换机,所述中继设备4采用selector网络通信模型,进行数据报文的转发。
本发明中,所述DMZ(非军事化区)技术通过设立一个非安全系统与安全系统之间的“非军事化区”,来解决安装防火墙后外部网络不能访问内部网络服务器的问题。这个“非军事化”的缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。通过这种隔离方式,不仅能对外提供服务,而且还能够有效的保护内部网络。
所述端口映射技术就是将外网主机的IP地址的一个端口映射到内网中的一台主机,以此提供相应的服务。当用户访问该IP的这个端口的时候,服务器自动将请求映射到对应内网中的主机上,从而透明的实现数据报文的转发。
技术方案二:
请再参阅图1,一种广域网下实现NAT穿透的系统,包括:至少一台终端1、一支持DMZ的网络设备2以及一主机3,所述终端1、网络设备2以及主机3之间通过网络连接,还包括一安装有端口映射程序的中继设备4,所述中继设备4作为旁路设备,仅通过网络与所述网络设备2相连,所述终端1和所述中继4设备设于广域网NAT环境下。
进一步地,所述网络设备2是路由器或交换机。
广域网下实现NAT穿透的系统,其工作原理如下:
步骤1、在网络设备2上开启DMZ技术,并配置DMZ主机的IP地址,将DMZ主机的IP配置指向所述中继设备;
步骤2、启动所述中继设备4,所述端口映射程序根据用户配置生成端口映射规则;所述端口映射规则包括各终端1的IP与中继设备4通信端口、主机3的IP以及主机3通信端口之间的对应规则;所述端口映射规则定期发送至所述主机,其发送周期由用户设定;
步骤3、根据端口映射规则将所述中继设备4与各终端1的IP地址进行绑定,所述中继设备在通信端口进行数据报文监听;绑定后在通信过程中各终端与中继设备间就如同建立了各自独立的网络通信隧道,可直接通信;将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求;所述主机和终端间为全双工的通信方式;
步骤4、若位于广域网NAT环境下的终端1作为通信发起端向所述主机3发送数据报文请求,首先终端1将数据报文发送给网络设备2,所述网络设备2根据内置的DMZ映射规则,将数据报文转发到所述中继设备4,所述中继设备4依据端口映射规则将数据报文转发给所述主机3;所述主机3收到数据报文进行处理后,若需返回处理结果,所述主机3作为通信发起端按步骤5的方式返回处理结果;
步骤5、若所述主机3作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求,首先查询所述端口映射规则,指定接收数据报文的终端1,然后将数据报文发送至该终端1对应的网络设备2端口,所述网络设备2根据内置的DMZ映射规则,将数据报文原封不动地转发到所述中继设备4端口,所述中继设备4端口的端口号与网络设备2端口的端口号相同,所述中继设备4依据端口映射规则将数据报文转发给指定的终端1;所述指定的终端1收到数据报文进行处理后,若需返回处理结果,则所述指定的终端1作为通信发起端按步骤4的方式返回处理结果。
所述中继设备4采用selector网络通信模型,进行数据报文的转发。
本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的数据报文原封不动的转发给主机或NAT环境下的终端,在无需修改数据报文的情况下,实现了通信协议的透明,主机与终端之间能够全双工通信。本发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况下,很好地拓扩网络通信范围,最终实现区域内外的统一管理,同时,本发明可适应于各种通信协议及软件应用环境。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
Claims (4)
1.一种广域网下实现NAT穿透的方法,所述方法提供至少一台终端、一支持DMZ的网络设备以及一主机,其特征在于:还提供一中继设备,所述中继设备作为旁路设备,仅与所述网络设备相连,所述中继设备上安装有基于NAT网络地址映射技术原理的端口映射程序,所述终端和所述中继设备设于广域网NAT环境下,所述方法包括如下步骤:
步骤1、在网络设备上开启DMZ技术,并配置DMZ主机的IP地址,将DMZ主机的IP配置指向所述中继设备;
步骤2、启动所述中继设备,所述端口映射程序根据用户配置生成端口映射规则;所述端口映射规则定期发送至所述主机,其发送周期由用户设定;
步骤3、根据端口映射规则将所述中继设备与各终端IP地址进行绑定,所述中继设备在通信端口进行数据报文监听;将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求;所述主机和终端间为全双工的通信方式;
步骤4、若位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求,首先终端将数据报文发送给网络设备,所述网络设备根据内置的DMZ映射规则,将数据报文转发到所述中继设备,所述中继设备依据端口映射规则将数据报文转发给所述主机;所述主机收到数据报文进行处理后,若需返回处理结果,则所述主机作为通信发起端按步骤5的方式返回处理结果;
步骤5、若所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求,首先查询所述端口映射规则,指定接收数据报文的终端,然后将数据报文发送至该终端对应的网络设备端口,所述网络设备根据内置的DMZ映射规则,将数据报文原封不动地转发到所述中继设备端口,所述中继设备端口的端口号与网络设备端口的端口号相同,所述中继设备依据端口映射规则将数据报文转发给指定的终端;所述指定的终端收到数据报文进行处理后,若需返回处理结果,则所述指定的终端作为通信发起端按步骤4的方式返回处理结果。
2.根据权利要求1所述的广域网下实现NAT穿透的方法,其特征在于:所述端口映射规则包括各终端的IP与中继设备通信端口、主机的IP以及主机通信端口之间的对应规则。
3.根据权利要求1所述的广域网下实现NAT穿透的方法,其特征在于:所述网络设备是路由器或交换机。
4.根据权利要求1所述的广域网下实现NAT穿透的方法,其特征在于:所述中继设备采用selector网络通信模型,进行数据报文的转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210178368.8A CN102710518B (zh) | 2012-05-31 | 2012-05-31 | 广域网下实现nat穿透的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210178368.8A CN102710518B (zh) | 2012-05-31 | 2012-05-31 | 广域网下实现nat穿透的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102710518A CN102710518A (zh) | 2012-10-03 |
| CN102710518B true CN102710518B (zh) | 2015-09-02 |
Family
ID=46903087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210178368.8A Active CN102710518B (zh) | 2012-05-31 | 2012-05-31 | 广域网下实现nat穿透的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102710518B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984202B (zh) * | 2012-10-31 | 2015-11-25 | 广东天波信息技术股份有限公司 | 一种穿越NAT设备实现Telnet网管的系统与方法 |
| CN103259791B (zh) * | 2013-04-28 | 2016-03-09 | 华为技术有限公司 | 一种穿越通信选路方法、终端及系统 |
| CN103546594B (zh) * | 2013-10-29 | 2017-01-25 | 中国联合网络通信集团有限公司 | 配置隔离区指向地址的方法与装置 |
| CN107204895B (zh) * | 2017-05-19 | 2020-12-25 | 台州智奥通信设备有限公司 | 一种dut端口冲突处理能力的测试方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1561061A (zh) * | 2004-02-27 | 2005-01-05 | Ut斯达康通讯有限公司 | 通过nat进行双向访问的方法 |
| CN1791101A (zh) * | 2004-12-17 | 2006-06-21 | 明基电通股份有限公司 | 具有网络应用层通透度的地址转换方法与网络系统 |
| CN1825828A (zh) * | 2005-02-24 | 2006-08-30 | 北京风行在线技术有限公司 | 一种两端均处于不同nat下直接穿透通信的控制方法和设备 |
-
2012
- 2012-05-31 CN CN201210178368.8A patent/CN102710518B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1561061A (zh) * | 2004-02-27 | 2005-01-05 | Ut斯达康通讯有限公司 | 通过nat进行双向访问的方法 |
| CN1791101A (zh) * | 2004-12-17 | 2006-06-21 | 明基电通股份有限公司 | 具有网络应用层通透度的地址转换方法与网络系统 |
| CN1825828A (zh) * | 2005-02-24 | 2006-08-30 | 北京风行在线技术有限公司 | 一种两端均处于不同nat下直接穿透通信的控制方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102710518A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102334111B (zh) | 为受管计算机网络提供逻辑联网功能 | |
| CN107483390A (zh) | 一种云渲染网络部署子系统、系统及云渲染平台 | |
| CN101702718A (zh) | 用户终端设备的管理方法及装置 | |
| CN101800652A (zh) | 串口与以太网方式转换的方法、系统及工业以太网交换机 | |
| CN102710518B (zh) | 广域网下实现nat穿透的方法及系统 | |
| CN101567861A (zh) | 异构应用系统之间的数据同步方法及应用系统 | |
| CN105743715A (zh) | 一种网关设备的管理系统及方法 | |
| CN105379198A (zh) | 转发控制方法、驱动器及sdn网络 | |
| CN102882733B (zh) | 一种穿越nat设备实现web网管方法 | |
| CN103067270A (zh) | 一种虚拟机互访安全控制方法及装置 | |
| CN104967572A (zh) | 网络访问方法、装置及设备 | |
| SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
| CN113472637A (zh) | 一种lora网关 | |
| CN102983988A (zh) | 一种设备代理装置以及网络管理装置 | |
| CN114650290A (zh) | 网络连通的方法、处理装置、终端及存储介质 | |
| CN101060469B (zh) | 实现流控制传输协议多归属特性的系统和方法 | |
| CN103209127B (zh) | 基于Linux系统实现虚拟路由转发方法和装置 | |
| CN110336844B (zh) | 基于服务架构的站端系统协作机制实现方法 | |
| CN101621528B (zh) | 基于以太交换机集群管理的会话系统及会话通道实现方法 | |
| CN115208920B (zh) | 分布式物联网服务单元 | |
| CN116074160A (zh) | 一种gpu渲染计算节点集群虚拟组网公网转发方法 | |
| US11363653B2 (en) | Ad hoc service switch-based control of ad hoc networking | |
| CN105791432A (zh) | 一种p2p通信方法和p2p通信系统 | |
| CN104580420A (zh) | 一种跨idc的数据传输系统及方法 | |
| CN105516121B (zh) | 无线局域网中ac与ap通信的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |