CN103095705A - 访问局域网中隔离区主机的方法和装置 - Google Patents
访问局域网中隔离区主机的方法和装置 Download PDFInfo
- Publication number
- CN103095705A CN103095705A CN2013100163220A CN201310016322A CN103095705A CN 103095705 A CN103095705 A CN 103095705A CN 2013100163220 A CN2013100163220 A CN 2013100163220A CN 201310016322 A CN201310016322 A CN 201310016322A CN 103095705 A CN103095705 A CN 103095705A
- Authority
- CN
- China
- Prior art keywords
- address
- main frame
- wan side
- public network
- isolated area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
本发明公开了一种访问局域网中隔离区主机的方法,包括:配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至所述隔离区主机;接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。本发明还公开了相应的装置。采用本发明所公开的方案,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
Description
技术领域
本发明涉及到宽带网络技术领域,特别涉及到一种访问局域网中隔离区主机的方法和系统。
背景技术
目前在一些SOHO办公的宽带接入场景中,除了需要基本的上网业务外,还需要开放SOHO办公区中的多台设备供WAN(wide area network,广域网)侧访问,而目前针对于IPv4协议栈的情况,当通过WAN侧拨号时,CPE(Customer Premise Equipment 客户终端设备)通常只能获取到一个WAN侧的IP地址,而在WAN侧通过CPE访问LAN侧的DMZ(demilitarized zone,隔离区)主机时,CPE所获取的IP地址只能映射到一个DMZ主机上;并且,由于CPE WAN侧本身会提供一些对外的服务,所以需要预留CPE WAN侧的一些端口,因此,就无法将所有CPE WAN侧的端口均映射至DMZ区域的主机,从而无法提高WAN侧的IP地址的利用效率,为WAN侧访问LAN侧DMZ主机带来了不便。
发明内容
本发明的主要目的为提供一种访问局域网中隔离区主机的方法和系统,旨在提高广域网侧的IP地址的利用效率,并且能够为广域网侧的访问提供较大的方便。
本发明提供一种访问局域网中隔离区主机的方法,包括:
配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
优选地,在执行所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,还包括:
配置用于存放从WAN侧所获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应。
优选地,所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系包括:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
优选地,在执行所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之后,还包括:
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中。
优选地,所述接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述公网IP地址包括:
接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
本发明还提供一种访问局域网中隔离区主机的装置,包括:
第一配置模块,用于配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第一修改模块,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
第二修改模块,用于接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
优选地,访问局域网中隔离区主机的装置还包括:
第二配置模块,用于配置用于存放从WAN侧所获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应。
优选地,所述第一配置模块具体用于:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
优选地,访问局域网中隔离区主机的装置还包括:
发送模块,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块,用于接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中。
优选地,所述第二修改模块包括:
接收单元,用于接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
修改单元,用于根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
本发明通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
附图说明
图1为本发明访问局域网中隔离区主机的方法一实施例的流程示意图;
图2为本发明访问局域网中隔离区主机的方法另一实施例的流程示意图;
图3为本发明访问局域网中隔离区主机的方法又一实施例的流程示意图;
图4为本发明访问局域网中隔离区主机的方法中将回复报文中包含的源IP地址修改为公网IP地址的流程示意图;
图5为本发明访问局域网中隔离区主机的装置一实施例的结构示意图;
图6为本发明访问局域网中隔离区主机的装置另一实施例的结构示意图;
图7为本发明访问局域网中隔离区主机的装置又一实施例的结构示意图;
图8为本发明访问局域网中隔离区主机的装置中第二修改模块的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种访问局域网中隔离区主机的方法,通过客户终端设备CPE从WAN侧获取多个公网IP地址,并配置公网IP地址与LAN侧DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端通过CPE访问LAN侧DMZ主机时,将公网IP地址映射到相应的DMZ主机上,方便WAN侧的客户端的访问。
参照图1,图1为本发明访问局域网中隔离区主机的方法一实施例的流程示意图。
本实施例所提供的访问局域网中隔离区主机的方法,包括:
步骤S10,配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
在SOHO办公区域内,当WAN侧的客户端通过CPE访问LAN侧的DMZ主机时,CPE首先通过WAN进行拨号,即从WAN侧获取IP地址,该IP地址中包括基础IP地址和公网IP地址。获取到公网IP地址后,配置其与LAN侧的DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端访问某一台DMZ主机时,通过该映射关系即可将从WAN侧获取的公网IP地址映射到该DMZ主机上,映射完成后,该DMZ主机便可开始工作。
本实施例中,配置公网IP地址与私网IP地址的映射关系,可以为配置公网IP地址与私网IP地址一一对应的映射关系,也可以为配置公网IP地址及其端口与私网IP地址及其端口的映射关系。
步骤S20,当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;
当WAN侧的客户端访问某一台DMZ主机时,向CPE的WAN侧的公网IP地址发送访问请求,而CPE接收到该访问请求后,根据所配置的CPE的WAN侧的公网IP地址与DMZ主机的公网IP地址的映射关系,将访问请求中的目的IP地址修改为相应的DMZ主机的私网IP地址,然后,将修改了目的IP地址的访问请求发送至DMZ主机。
步骤S30,接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。
当DMZ主机接收到携带有目的IP地址的访问请求后,会返回回复报文至CPE,此时,将该回复报文中所包含的源IP地址修改为WAN侧的客户端的公网IP地址,然后,将修改了源IP地址的回复报文发送至WAN侧,供客户端访问DMZ主机。
本发明实施例,通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
参照图2,图2为本发明访问局域网中隔离区主机的方法另一实施例的流程示意图。
基于上述实施例,在执行步骤S10之前,本发明访问局域网中隔离区主机的方法还包括:
步骤S40,配置用于存放从WAN侧所获取的公网IP地址的槽位信息,槽位信息与公网IP地址一一对应。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,首先配置多个槽位信息,所配置的槽位信息的数量与从WAN侧动态所获取的公网IP地址相同,并且为一一对应,其用于存放公网IP地址;本实施例中,槽位信息也可以直接填充为公网IP地址。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,配置用于存放从WAN侧所获取的公网IP地址,且与公网IP地址一一对应的槽位信息,为提高广域网侧的IP地址的利用效率提供了基础。
参照图3,图3为本发明访问局域网中隔离区主机的方法又一实施例的流程示意图。
基于本发明访问局域网中隔离区主机的方法一实施例,在执行步骤S10之后,该方法还包括:
步骤S50,当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
步骤S60,接收WAN侧的服务器通过扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的槽位信息中。
在配置了公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系之后,当WAN侧的客户端需要访问LAN侧的DMZ主机时,CPE首先通过访问协议建立与WAN侧的服务器之间的连接,即通过WAN侧进行拨号,本实施例中,可以通过DHCP协议或PPP协议建立与WAN侧的服务器之间的连接。
在通过DHCP协议建立连接时,CPE的DHCP协议客户端向WAN侧的服务器发送用于表明身份的扩展标签,宽带接入服务器解析该扩展标签后,到远程用户拨号认证系统进行认证,而后DHCP服务器通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当通过PPP协议建立连接时,其自身具备认证功能,可以直接基于用户名到远程用户拨号认证系统进行认证,并通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当CPE接收到WAN侧的服务器通过扩展标签所下发的多个IP地址后,将其中的公网IP地址填充至相应的槽位信息中。而后,CPE将所配置的公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系生效,以供WAN侧的客户端访问LAN侧的DMZ主机。
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;并在接收到WAN侧的服务器通过扩展标签所下发的多个IP地址之后,将其中的公网IP地址填充至相应的槽位信息中,保证了公网IP地址与私网IP地址之间的映射关系,从而进一步为域网侧的访问提供了方便。
参照图4,图4为本发明访问局域网中隔离区主机的方法中将回复报文中包含的源IP地址修改为公网IP地址的流程示意图。
在本发明访问局域网中隔离区主机的方法一实施例中,步骤S30包括:
步骤S31,接收隔离区主机根据访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址;
步骤S32,根据所配置的映射关系,将源IP地址修改为WAN侧的客户端的公网IP地址。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机后,DMZ主机会返回回复报文至CPE,此时,CPE所接收到的回复报文中包括目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址。然后,CPE根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址。修改了源IP地址后,会将修改后的回复报文发送至WAN侧,供其客户端进行访问。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机,并接收到DMZ主机返回的回复报文后,根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址,从而进一步保证了能够提高广域网侧的IP地址的利用效率,并且进一步为广域网侧的访问提供了较大的方便。
本发明还提供一种访问局域网中隔离区主机的装置。
参照图5,图5为本发明访问局域网中隔离区主机的装置一实施例的结构示意图。
本实施例所提供的访问局域网中隔离区主机的装置,包括:
第一配置模块10,用于配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第一修改模块20,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;
第二修改模块30,用于接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。
在SOHO办公区域内,当WAN侧的客户端通过CPE访问LAN侧的DMZ主机时,CPE首先通过WAN进行拨号,即从WAN侧获取IP地址,该IP地址中包括基础IP地址和公网IP地址。获取到公网IP地址后,通过第一配置模块10配置其与LAN侧的DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端访问某一台DMZ主机时,通过该映射关系即可将从WAN侧获取的公网IP地址映射到该DMZ主机上,映射完成后,该DMZ主机便可开始工作。
本实施例中,配置公网IP地址与私网IP地址的映射关系,可以为配置公网IP地址与私网IP地址一一对应的映射关系,也可以为配置公网IP地址及其端口与私网IP地址及其端口的映射关系。
当WAN侧的客户端访问某一台DMZ主机时,向CPE的WAN侧的公网IP地址发送访问请求,而CPE接收到该访问请求后,第一修改模块20根据所配置的CPE的WAN侧的公网IP地址与DMZ主机的公网IP地址的映射关系,将访问请求中的目的IP地址修改为相应的DMZ主机的私网IP地址,然后,将修改了目的IP地址的访问请求发送至DMZ主机。
当DMZ主机接收到携带有目的IP地址的访问请求后,会返回回复报文至CPE,此时,第二修改模块30将该回复报文中所包含的源IP地址修改为WAN侧的客户端的公网IP地址,然后,将修改了源IP地址的回复报文发送至WAN侧,供客户端访问DMZ主机。
本发明实施例,通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
参照图6,图6为本发明访问局域网中隔离区主机的装置另一实施例的结构示意图。
基于上述实施例,访问局域网中隔离区主机的装置还包括:
第二配置模块40,用于配置用于存放从WAN侧所获取的公网IP地址的槽位信息,槽位信息与公网IP地址一一对应。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,首先通过第二配置模块40配置多个槽位信息,所配置的槽位信息的数量与从WAN侧动态所获取的公网IP地址相同,并且为一一对应,其用于存放公网IP地址;本实施例中,槽位信息也可以直接填充为公网IP地址。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,配置用于存放从WAN侧所获取的公网IP地址,且与公网IP地址一一对应的槽位信息,为提高广域网侧的IP地址的利用效率提供了基础。
参照图7,图7为本发明访问局域网中隔离区主机的装置又一实施例的结构示意图。
基于本发明访问局域网中隔离区主机的装置一实施例,访问局域网中隔离区主机的装置还包括:
发送模块50,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块60,用于接收WAN侧的服务器通过扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的槽位信息中。
在配置了公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系之后,当WAN侧的客户端需要访问LAN侧的DMZ主机时,CPE首先通过访问协议建立与WAN侧的服务器之间的连接,即通过WAN侧进行拨号,本实施例中,可以通过DHCP协议或PPP协议建立与WAN侧的服务器之间的连接。
在通过DHCP协议建立连接时,CPE的DHCP协议客户端通过发送模块50向WAN侧的服务器发送用于表明身份的扩展标签,宽带接入服务器解析该扩展标签后,到远程用户拨号认证系统进行认证,而后DHCP服务器通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当通过PPP协议建立连接时,CPE通过发送模块50向WAN侧的服务器发送用于表明身份的扩展标签,其自身具备认证功能,可以直接基于用户名到远程用户拨号认证系统进行认证,并通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当CPE接收到WAN侧的服务器通过扩展标签所下发的多个IP地址后,填充模块60将其中的公网IP地址填充至相应的槽位信息中。而后,CPE将所配置的公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系生效,以供WAN侧的客户端访问LAN侧的DMZ主机。
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;并在接收到WAN侧的服务器通过扩展标签所下发的多个IP地址之后,将其中的公网IP地址填充至相应的槽位信息中,保证了公网IP地址与私网IP地址之间的映射关系,从而进一步为域网侧的访问提供了方便。
参照图8,图8为本发明访问局域网中隔离区主机的装置中第二修改模块的结构示意图。
在本发明访问局域网中隔离区主机的装置一实施例中,第二修改模块30包括:
接收单元31,用于接收隔离区主机根据访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址;
修改单元32,用于根据所配置的映射关系,将源IP地址修改为WAN侧的客户端的公网IP地址。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机后,DMZ主机会返回回复报文至CPE,此时,CPE通过其接收单元31所接收到的回复报文中包括目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址。然后,修改单元32根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址。修改了源IP地址后,会将修改后的回复报文发送至WAN侧,供其客户端进行访问。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机,并接收到DMZ主机返回的回复报文后,根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址,从而进一步保证了能够提高广域网侧的IP地址的利用效率,并且进一步为广域网侧的访问提供了较大的方便。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围。
Claims (10)
1.一种访问局域网中隔离区主机的方法,其特征在于,包括:
配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
2.根据权利要求1所述的方法,其特征在于,在执行所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,还包括:
配置用于存放从WAN侧所获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应。
3.根据权利要求2所述的方法,其特征在于,所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系包括:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
4.根据权利要求3所述的方法,其特征在于,在执行所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之后,还包括:
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述公网IP地址包括:
接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
6.一种访问局域网中隔离区主机的装置,其特征在于,包括:
第一配置模块,用于配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第一修改模块,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
第二修改模块,用于接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
7.根据权利要求6所述的装置,其特征在于,还包括:
第二配置模块,用于配置用于存放从WAN侧所获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应。
8.根据权利要求7所述的装置,其特征在于,所述第一配置模块具体用于:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
9.根据权利要求8所述的装置,其特征在于,还包括:
发送模块,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块,用于接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中。
10.根据权利要求6至9中任一项所述的装置,其特征在于,所述第二修改模块包括:
接收单元,用于接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
修改单元,用于根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310016322.0A CN103095705B (zh) | 2013-01-16 | 2013-01-16 | 访问局域网中隔离区主机的方法和装置 |
PCT/CN2013/083642 WO2014110912A1 (zh) | 2013-01-16 | 2013-09-17 | 访问局域网中隔离区主机的方法和装置 |
US14/651,845 US10171418B2 (en) | 2013-01-16 | 2013-09-17 | Method and apparatus for accessing demilitarized zone host on local area network |
EP13871858.0A EP2922253A4 (en) | 2013-01-16 | 2013-09-17 | METHOD AND APPARATUS FOR ACCESSING A HOST OF A DEMILITARIZED AREA ON A LOCAL NETWORK |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310016322.0A CN103095705B (zh) | 2013-01-16 | 2013-01-16 | 访问局域网中隔离区主机的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103095705A true CN103095705A (zh) | 2013-05-08 |
CN103095705B CN103095705B (zh) | 2016-02-10 |
Family
ID=48207838
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310016322.0A Active CN103095705B (zh) | 2013-01-16 | 2013-01-16 | 访问局域网中隔离区主机的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10171418B2 (zh) |
EP (1) | EP2922253A4 (zh) |
CN (1) | CN103095705B (zh) |
WO (1) | WO2014110912A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014110912A1 (zh) * | 2013-01-16 | 2014-07-24 | 中兴通讯股份有限公司 | 访问局域网中隔离区主机的方法和装置 |
CN104780229A (zh) * | 2014-01-09 | 2015-07-15 | 东莞市微云系统科技有限公司 | 通过云终端设置云服务器ip地址的方法、系统和云系统 |
CN105763592A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 集群内外数据交互方法、集群网关和源设备 |
CN106843895A (zh) * | 2017-02-07 | 2017-06-13 | 上海网易小额贷款有限公司 | 用于处理请求的方法、系统和可读存储介质 |
CN113301179A (zh) * | 2021-04-28 | 2021-08-24 | 武汉大塔技术有限公司 | 一种实现lte/5g桥模式的方法及无线路由设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030033418A1 (en) * | 2001-07-19 | 2003-02-13 | Young Bruce Fitzgerald | Method of implementing and configuring an MGCP application layer gateway |
CN102104525A (zh) * | 2011-03-16 | 2011-06-22 | 华为技术有限公司 | 媒体网关设备及转发数据帧的方法 |
CN102209124A (zh) * | 2011-06-08 | 2011-10-05 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7274684B2 (en) * | 2001-10-10 | 2007-09-25 | Bruce Fitzgerald Young | Method and system for implementing and managing a multimedia access network device |
US20060126613A1 (en) * | 2004-12-09 | 2006-06-15 | Nortel Networks Limited | Multi-homed broadband router |
US9668293B2 (en) * | 2009-08-25 | 2017-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Relocation of mobility anchor for nomadic subscribers |
CN102149024B (zh) * | 2010-02-04 | 2014-04-16 | 华为技术有限公司 | 一种olt代理管理onu的方法、设备及系统 |
CN102143233A (zh) * | 2011-04-07 | 2011-08-03 | 深圳市共进电子有限公司 | 一种用户终端设备及网络接入方法 |
CN103095705B (zh) * | 2013-01-16 | 2016-02-10 | 中兴通讯股份有限公司 | 访问局域网中隔离区主机的方法和装置 |
-
2013
- 2013-01-16 CN CN201310016322.0A patent/CN103095705B/zh active Active
- 2013-09-17 US US14/651,845 patent/US10171418B2/en active Active
- 2013-09-17 EP EP13871858.0A patent/EP2922253A4/en not_active Withdrawn
- 2013-09-17 WO PCT/CN2013/083642 patent/WO2014110912A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030033418A1 (en) * | 2001-07-19 | 2003-02-13 | Young Bruce Fitzgerald | Method of implementing and configuring an MGCP application layer gateway |
CN102104525A (zh) * | 2011-03-16 | 2011-06-22 | 华为技术有限公司 | 媒体网关设备及转发数据帧的方法 |
CN102209124A (zh) * | 2011-06-08 | 2011-10-05 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014110912A1 (zh) * | 2013-01-16 | 2014-07-24 | 中兴通讯股份有限公司 | 访问局域网中隔离区主机的方法和装置 |
US10171418B2 (en) | 2013-01-16 | 2019-01-01 | Xi'an Zhongxing New Software Co., Ltd | Method and apparatus for accessing demilitarized zone host on local area network |
CN104780229A (zh) * | 2014-01-09 | 2015-07-15 | 东莞市微云系统科技有限公司 | 通过云终端设置云服务器ip地址的方法、系统和云系统 |
CN105763592A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 集群内外数据交互方法、集群网关和源设备 |
CN106843895A (zh) * | 2017-02-07 | 2017-06-13 | 上海网易小额贷款有限公司 | 用于处理请求的方法、系统和可读存储介质 |
CN113301179A (zh) * | 2021-04-28 | 2021-08-24 | 武汉大塔技术有限公司 | 一种实现lte/5g桥模式的方法及无线路由设备 |
Also Published As
Publication number | Publication date |
---|---|
EP2922253A1 (en) | 2015-09-23 |
CN103095705B (zh) | 2016-02-10 |
WO2014110912A1 (zh) | 2014-07-24 |
US10171418B2 (en) | 2019-01-01 |
US20150319134A1 (en) | 2015-11-05 |
EP2922253A4 (en) | 2016-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101056178B (zh) | 一种控制用户网络访问权限的方法和系统 | |
CN101662511B (zh) | 网络地址分配方法及dhcp服务器、接入系统及方法 | |
EP2051473B1 (en) | Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks | |
CN101287017B (zh) | 主动式ip地址分配方法及系统 | |
CN103095705B (zh) | 访问局域网中隔离区主机的方法和装置 | |
CN108737585B (zh) | Ip地址的分配方法及装置 | |
CN104468625B (zh) | 拨号隧道代理装置、利用拨号隧道穿越nat的方法 | |
EP1936883A1 (en) | Service provisioning method and system thereof | |
KR101589239B1 (ko) | 패킷 호 설정 방법 및 장치 | |
CN101702718A (zh) | 用户终端设备的管理方法及装置 | |
CN104427010A (zh) | 应用于动态虚拟专用网络的网络地址转换方法和装置 | |
CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
CN102904976A (zh) | 基于前缀分配的扩展双重无状态IPv4-IPv6翻译方法 | |
CN103428303A (zh) | IPv6主机访问IPv4服务器的方法及系统 | |
CN106604119A (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
KR20120036973A (ko) | 정보 제공 방법, 홈 게이트웨이 및 홈 네트워크 시스템 | |
CN105635335B (zh) | 社会资源接入方法、装置及系统 | |
CN103716189A (zh) | 一种局域网终端网关设备配置管理方法 | |
CN102957759A (zh) | 一种IPv6地址前缀的分配方法和系统 | |
CN103581350A (zh) | 跨越nat发布互联网服务的方法、终端、设备和系统 | |
CN101083594A (zh) | 一种网络设备的管理方法及装置 | |
CN105591848A (zh) | 一种IPv6无状态自动配置的认证方法及装置 | |
CN102244620A (zh) | 一种确定网关与设备关联关系的方法和系统 | |
CN107547467B (zh) | 一种电路认证处理方法、系统及控制器 | |
CN105119934A (zh) | 虚拟专用网分支的部署方法、总部设备和分支设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |