CN103095705B - 访问局域网中隔离区主机的方法和装置 - Google Patents

访问局域网中隔离区主机的方法和装置 Download PDF

Info

Publication number
CN103095705B
CN103095705B CN201310016322.0A CN201310016322A CN103095705B CN 103095705 B CN103095705 B CN 103095705B CN 201310016322 A CN201310016322 A CN 201310016322A CN 103095705 B CN103095705 B CN 103095705B
Authority
CN
China
Prior art keywords
address
wan
main frame
isolated area
public network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310016322.0A
Other languages
English (en)
Other versions
CN103095705A (zh
Inventor
毕明达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201310016322.0A priority Critical patent/CN103095705B/zh
Publication of CN103095705A publication Critical patent/CN103095705A/zh
Priority to PCT/CN2013/083642 priority patent/WO2014110912A1/zh
Priority to EP13871858.0A priority patent/EP2922253A4/en
Priority to US14/651,845 priority patent/US10171418B2/en
Application granted granted Critical
Publication of CN103095705B publication Critical patent/CN103095705B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/668Internet protocol [IP] address subnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

本发明公开了一种访问局域网中隔离区主机的方法,包括:配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至所述隔离区主机;接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。本发明还公开了相应的装置。采用本发明所公开的方案,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。<!--1-->

Description

访问局域网中隔离区主机的方法和装置
技术领域
本发明涉及到宽带网络技术领域,特别涉及到一种访问局域网中隔离区主机的方法和系统。
背景技术
目前在一些SOHO办公的宽带接入场景中,除了需要基本的上网业务外,还需要开放SOHO办公区中的多台设备供WAN(wideareanetwork,广域网)侧访问,而目前针对于IPv4协议栈的情况,当通过WAN侧拨号时,CPE(CustomerPremiseEquipment客户终端设备)通常只能获取到一个WAN侧的IP地址,而在WAN侧通过CPE访问LAN侧的DMZ(demilitarizedzone,隔离区)主机时,CPE所获取的IP地址只能映射到一个DMZ主机上;并且,由于CPEWAN侧本身会提供一些对外的服务,所以需要预留CPEWAN侧的一些端口,因此,就无法将所有CPEWAN侧的端口均映射至DMZ区域的主机,从而无法提高WAN侧的IP地址的利用效率,为WAN侧访问LAN侧DMZ主机带来了不便。
发明内容
本发明的主要目的为提供一种访问局域网中隔离区主机的方法和系统,旨在提高广域网侧的IP地址的利用效率,并且能够为广域网侧的访问提供较大的方便。
本发明提供一种访问局域网中隔离区主机的方法,包括:
配置从WAN侧所动态获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的预先配置用于存放从WAN侧所动态获取的公网IP地址的槽位信息中并使所述映射关系生效,所述槽位信息与所述公网IP地址一一对应;
当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
优选地,所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系包括:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
优选地,所述接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述公网IP地址包括:
接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
本发明还提供一种访问局域网中隔离区主机的装置,包括:
第一配置模块,用于配置从WAN侧所动态获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第二配置模块,用于配置用于存放从WAN侧所动态获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应;
发送模块,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块,用于接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中并使所述映射关系生效;
第一修改模块,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
第二修改模块,用于接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
优选地,所述第一配置模块具体用于:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
优选地,所述第二修改模块包括:
接收单元,用于接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
修改单元,用于根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
本发明通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
附图说明
图1为本发明访问局域网中隔离区主机的方法一实施例的流程示意图;
图2为本发明访问局域网中隔离区主机的方法另一实施例的流程示意图;
图3为本发明访问局域网中隔离区主机的方法又一实施例的流程示意图;
图4为本发明访问局域网中隔离区主机的方法中将回复报文中包含的源IP地址修改为公网IP地址的流程示意图;
图5为本发明访问局域网中隔离区主机的装置一实施例的结构示意图;
图6为本发明访问局域网中隔离区主机的装置另一实施例的结构示意图;
图7为本发明访问局域网中隔离区主机的装置又一实施例的结构示意图;
图8为本发明访问局域网中隔离区主机的装置中第二修改模块的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种访问局域网中隔离区主机的方法,通过客户终端设备CPE从WAN侧获取多个公网IP地址,并配置公网IP地址与LAN侧DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端通过CPE访问LAN侧DMZ主机时,将公网IP地址映射到相应的DMZ主机上,方便WAN侧的客户端的访问。
参照图1,图1为本发明访问局域网中隔离区主机的方法一实施例的流程示意图。
本实施例所提供的访问局域网中隔离区主机的方法,包括:
步骤S10,配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
在SOHO办公区域内,当WAN侧的客户端通过CPE访问LAN侧的DMZ主机时,CPE首先通过WAN进行拨号,即从WAN侧获取IP地址,该IP地址中包括基础IP地址和公网IP地址。获取到公网IP地址后,配置其与LAN侧的DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端访问某一台DMZ主机时,通过该映射关系即可将从WAN侧获取的公网IP地址映射到该DMZ主机上,映射完成后,该DMZ主机便可开始工作。
本实施例中,配置公网IP地址与私网IP地址的映射关系,可以为配置公网IP地址与私网IP地址一一对应的映射关系,也可以为配置公网IP地址及其端口与私网IP地址及其端口的映射关系。
步骤S20,当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;
当WAN侧的客户端访问某一台DMZ主机时,向CPE的WAN侧的公网IP地址发送访问请求,而CPE接收到该访问请求后,根据所配置的CPE的WAN侧的公网IP地址与DMZ主机的公网IP地址的映射关系,将访问请求中的目的IP地址修改为相应的DMZ主机的私网IP地址,然后,将修改了目的IP地址的访问请求发送至DMZ主机。
步骤S30,接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。
当DMZ主机接收到携带有目的IP地址的访问请求后,会返回回复报文至CPE,此时,将该回复报文中所包含的源IP地址修改为WAN侧的客户端的公网IP地址,然后,将修改了源IP地址的回复报文发送至WAN侧,供客户端访问DMZ主机。
本发明实施例,通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
参照图2,图2为本发明访问局域网中隔离区主机的方法另一实施例的流程示意图。
基于上述实施例,在执行步骤S10之前,本发明访问局域网中隔离区主机的方法还包括:
步骤S40,配置用于存放从WAN侧所获取的公网IP地址的槽位信息,槽位信息与公网IP地址一一对应。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,首先配置多个槽位信息,所配置的槽位信息的数量与从WAN侧动态所获取的公网IP地址相同,并且为一一对应,其用于存放公网IP地址;本实施例中,槽位信息也可以直接填充为公网IP地址。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,配置用于存放从WAN侧所获取的公网IP地址,且与公网IP地址一一对应的槽位信息,为提高广域网侧的IP地址的利用效率提供了基础。
参照图3,图3为本发明访问局域网中隔离区主机的方法又一实施例的流程示意图。
基于本发明访问局域网中隔离区主机的方法一实施例,在执行步骤S10之后,该方法还包括:
步骤S50,当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
步骤S60,接收WAN侧的服务器通过扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的槽位信息中。
在配置了公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系之后,当WAN侧的客户端需要访问LAN侧的DMZ主机时,CPE首先通过访问协议建立与WAN侧的服务器之间的连接,即通过WAN侧进行拨号,本实施例中,可以通过DHCP协议或PPP协议建立与WAN侧的服务器之间的连接。
在通过DHCP协议建立连接时,CPE的DHCP协议客户端向WAN侧的服务器发送用于表明身份的扩展标签,宽带接入服务器解析该扩展标签后,到远程用户拨号认证系统进行认证,而后DHCP服务器通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当通过PPP协议建立连接时,其自身具备认证功能,可以直接基于用户名到远程用户拨号认证系统进行认证,并通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当CPE接收到WAN侧的服务器通过扩展标签所下发的多个IP地址后,将其中的公网IP地址填充至相应的槽位信息中。而后,CPE将所配置的公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系生效,以供WAN侧的客户端访问LAN侧的DMZ主机。
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;并在接收到WAN侧的服务器通过扩展标签所下发的多个IP地址之后,将其中的公网IP地址填充至相应的槽位信息中,保证了公网IP地址与私网IP地址之间的映射关系,从而进一步为域网侧的访问提供了方便。
参照图4,图4为本发明访问局域网中隔离区主机的方法中将回复报文中包含的源IP地址修改为公网IP地址的流程示意图。
在本发明访问局域网中隔离区主机的方法一实施例中,步骤S30包括:
步骤S31,接收隔离区主机根据访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址;
步骤S32,根据所配置的映射关系,将源IP地址修改为WAN侧的客户端的公网IP地址。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机后,DMZ主机会返回回复报文至CPE,此时,CPE所接收到的回复报文中包括目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址。然后,CPE根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址。修改了源IP地址后,会将修改后的回复报文发送至WAN侧,供其客户端进行访问。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机,并接收到DMZ主机返回的回复报文后,根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址,从而进一步保证了能够提高广域网侧的IP地址的利用效率,并且进一步为广域网侧的访问提供了较大的方便。
本发明还提供一种访问局域网中隔离区主机的装置。
参照图5,图5为本发明访问局域网中隔离区主机的装置一实施例的结构示意图。
本实施例所提供的访问局域网中隔离区主机的装置,包括:
第一配置模块10,用于配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第一修改模块20,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;
第二修改模块30,用于接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧。
在SOHO办公区域内,当WAN侧的客户端通过CPE访问LAN侧的DMZ主机时,CPE首先通过WAN进行拨号,即从WAN侧获取IP地址,该IP地址中包括基础IP地址和公网IP地址。获取到公网IP地址后,通过第一配置模块10配置其与LAN侧的DMZ主机的私网IP地址之间的映射关系,当WAN侧的客户端访问某一台DMZ主机时,通过该映射关系即可将从WAN侧获取的公网IP地址映射到该DMZ主机上,映射完成后,该DMZ主机便可开始工作。
本实施例中,配置公网IP地址与私网IP地址的映射关系,可以为配置公网IP地址与私网IP地址一一对应的映射关系,也可以为配置公网IP地址及其端口与私网IP地址及其端口的映射关系。
当WAN侧的客户端访问某一台DMZ主机时,向CPE的WAN侧的公网IP地址发送访问请求,而CPE接收到该访问请求后,第一修改模块20根据所配置的CPE的WAN侧的公网IP地址与DMZ主机的公网IP地址的映射关系,将访问请求中的目的IP地址修改为相应的DMZ主机的私网IP地址,然后,将修改了目的IP地址的访问请求发送至DMZ主机。
当DMZ主机接收到携带有目的IP地址的访问请求后,会返回回复报文至CPE,此时,第二修改模块30将该回复报文中所包含的源IP地址修改为WAN侧的客户端的公网IP地址,然后,将修改了源IP地址的回复报文发送至WAN侧,供客户端访问DMZ主机。
本发明实施例,通过配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;当接收到WAN侧的客户端发送的访问请求后,根据所配置的映射关系,修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的访问请求发送至隔离区主机;在接收到隔离区主机返回的回复报文之后,将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址,并将修改后的回复报文发送至WAN侧,供其客户端访问。由于DMZ主机位于CPE的NAT防火墙后面,无需配置公网地址而是配置私网地址,在使DMZ主机安全性得以提高的同时,提高了广域网侧的IP地址的利用效率,并且为广域网侧的访问提供了较大的方便。
参照图6,图6为本发明访问局域网中隔离区主机的装置另一实施例的结构示意图。
基于上述实施例,访问局域网中隔离区主机的装置还包括:
第二配置模块40,用于配置用于存放从WAN侧所获取的公网IP地址的槽位信息,槽位信息与公网IP地址一一对应。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,首先通过第二配置模块40配置多个槽位信息,所配置的槽位信息的数量与从WAN侧动态所获取的公网IP地址相同,并且为一一对应,其用于存放公网IP地址;本实施例中,槽位信息也可以直接填充为公网IP地址。
在配置公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系之前,配置用于存放从WAN侧所获取的公网IP地址,且与公网IP地址一一对应的槽位信息,为提高广域网侧的IP地址的利用效率提供了基础。
参照图7,图7为本发明访问局域网中隔离区主机的装置又一实施例的结构示意图。
基于本发明访问局域网中隔离区主机的装置一实施例,访问局域网中隔离区主机的装置还包括:
发送模块50,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块60,用于接收WAN侧的服务器通过扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的槽位信息中。
在配置了公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系之后,当WAN侧的客户端需要访问LAN侧的DMZ主机时,CPE首先通过访问协议建立与WAN侧的服务器之间的连接,即通过WAN侧进行拨号,本实施例中,可以通过DHCP协议或PPP协议建立与WAN侧的服务器之间的连接。
在通过DHCP协议建立连接时,CPE的DHCP协议客户端通过发送模块50向WAN侧的服务器发送用于表明身份的扩展标签,宽带接入服务器解析该扩展标签后,到远程用户拨号认证系统进行认证,而后DHCP服务器通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当通过PPP协议建立连接时,CPE通过发送模块50向WAN侧的服务器发送用于表明身份的扩展标签,其自身具备认证功能,可以直接基于用户名到远程用户拨号认证系统进行认证,并通过判断该DHCP协议客户端是否开通SOHO业务,决定是否需要下发多个IP地址给CPE,如开通,则通过扩展标签下发多个IP地址给CPE,如未开通,则仅下发一个IP地址给CPE。
当CPE接收到WAN侧的服务器通过扩展标签所下发的多个IP地址后,填充模块60将其中的公网IP地址填充至相应的槽位信息中。而后,CPE将所配置的公网IP地址与LAN侧的DMZ主机的私网IP地址之间的映射关系生效,以供WAN侧的客户端访问LAN侧的DMZ主机。
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;并在接收到WAN侧的服务器通过扩展标签所下发的多个IP地址之后,将其中的公网IP地址填充至相应的槽位信息中,保证了公网IP地址与私网IP地址之间的映射关系,从而进一步为域网侧的访问提供了方便。
参照图8,图8为本发明访问局域网中隔离区主机的装置中第二修改模块的结构示意图。
在本发明访问局域网中隔离区主机的装置一实施例中,第二修改模块30包括:
接收单元31,用于接收隔离区主机根据访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址;
修改单元32,用于根据所配置的映射关系,将源IP地址修改为WAN侧的客户端的公网IP地址。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机后,DMZ主机会返回回复报文至CPE,此时,CPE通过其接收单元31所接收到的回复报文中包括目的IP地址和源IP地址,其中,目的IP地址为WAN侧的客户端的IP地址,源IP地址为隔离区主机的私网IP地址。然后,修改单元32根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址。修改了源IP地址后,会将修改后的回复报文发送至WAN侧,供其客户端进行访问。
当CPE将修改了目的IP地址的访问请求发送至DMZ主机,并接收到DMZ主机返回的回复报文后,根据所配置的映射关系,将其中的源IP地址修改为WAN侧的客户端的公网IP地址,从而进一步保证了能够提高广域网侧的IP地址的利用效率,并且进一步为广域网侧的访问提供了较大的方便。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围。

Claims (6)

1.一种访问局域网中隔离区主机的方法,其特征在于,包括:
配置从WAN侧所动态获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的预先配置用于存放从WAN侧所动态获取的公网IP地址的槽位信息中并使所述映射关系生效,所述槽位信息与所述公网IP地址一一对应;
当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
2.根据权利要求1所述的方法,其特征在于,所述配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系包括:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
3.根据权利要求1或2所述的方法,其特征在于,所述接收隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述公网IP地址包括:
接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
4.一种访问局域网中隔离区主机的装置,其特征在于,包括:
第一配置模块,用于配置从WAN侧所动态获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系;
第二配置模块,用于配置用于存放从WAN侧所动态获取的公网IP地址的槽位信息,所述槽位信息与所述公网IP地址一一对应;
发送模块,用于当通过WAN侧拨号时,向WAN侧的服务器发送用于表明身份的扩展标签;
填充模块,用于接收所述WAN侧的服务器通过所述扩展标签所下发的多个IP地址,将其中的公网IP地址填充至相应的所述槽位信息中并使所述映射关系生效;
第一修改模块,用于当接收到WAN侧的客户端发送的访问请求后,根据所配置的所述映射关系,修改所述访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址,将修改后的所述访问请求发送至所述隔离区主机;
第二修改模块,用于接收所述隔离区主机返回的回复报文,将其中包含的源IP地址修改为所述WAN侧的客户端的公网IP地址,并将修改后的所述回复报文发送至WAN侧。
5.根据权利要求4所述的装置,其特征在于,所述第一配置模块具体用于:
配置所述公网IP地址与所述私网IP地址的一一对应的映射关系,或配置所述公网IP地址及其端口与所述私网IP地址及其端口的映射关系。
6.根据权利要求4或5所述的装置,其特征在于,所述第二修改模块包括:
接收单元,用于接收所述隔离区主机根据所述访问请求返回的回复报文,该回复报文中包含目的IP地址和源IP地址,其中,所述目的IP地址为所述WAN侧的客户端的IP地址,所述源IP地址为所述隔离区主机的私网IP地址;
修改单元,用于根据所配置的所述映射关系,将所述源IP地址修改为所述WAN侧的客户端的公网IP地址。
CN201310016322.0A 2013-01-16 2013-01-16 访问局域网中隔离区主机的方法和装置 Active CN103095705B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201310016322.0A CN103095705B (zh) 2013-01-16 2013-01-16 访问局域网中隔离区主机的方法和装置
PCT/CN2013/083642 WO2014110912A1 (zh) 2013-01-16 2013-09-17 访问局域网中隔离区主机的方法和装置
EP13871858.0A EP2922253A4 (en) 2013-01-16 2013-09-17 METHOD AND APPARATUS FOR ACCESSING A HOST OF A DEMILITARIZED AREA ON A LOCAL NETWORK
US14/651,845 US10171418B2 (en) 2013-01-16 2013-09-17 Method and apparatus for accessing demilitarized zone host on local area network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310016322.0A CN103095705B (zh) 2013-01-16 2013-01-16 访问局域网中隔离区主机的方法和装置

Publications (2)

Publication Number Publication Date
CN103095705A CN103095705A (zh) 2013-05-08
CN103095705B true CN103095705B (zh) 2016-02-10

Family

ID=48207838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310016322.0A Active CN103095705B (zh) 2013-01-16 2013-01-16 访问局域网中隔离区主机的方法和装置

Country Status (4)

Country Link
US (1) US10171418B2 (zh)
EP (1) EP2922253A4 (zh)
CN (1) CN103095705B (zh)
WO (1) WO2014110912A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095705B (zh) * 2013-01-16 2016-02-10 中兴通讯股份有限公司 访问局域网中隔离区主机的方法和装置
CN104780229A (zh) * 2014-01-09 2015-07-15 东莞市微云系统科技有限公司 通过云终端设置云服务器ip地址的方法、系统和云系统
CN105763592A (zh) * 2014-12-19 2016-07-13 中兴通讯股份有限公司 集群内外数据交互方法、集群网关和源设备
CN106843895B (zh) * 2017-02-07 2020-05-19 上海网易小额贷款有限公司 用于处理请求的方法、系统和可读存储介质
CN113301179A (zh) * 2021-04-28 2021-08-24 武汉大塔技术有限公司 一种实现lte/5g桥模式的方法及无线路由设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030033418A1 (en) * 2001-07-19 2003-02-13 Young Bruce Fitzgerald Method of implementing and configuring an MGCP application layer gateway
US7274684B2 (en) * 2001-10-10 2007-09-25 Bruce Fitzgerald Young Method and system for implementing and managing a multimedia access network device
US20060126613A1 (en) * 2004-12-09 2006-06-15 Nortel Networks Limited Multi-homed broadband router
CN102484827B (zh) * 2009-08-25 2016-04-20 瑞典爱立信有限公司 用于流动订户的移动性锚的重定位
CN102149024B (zh) * 2010-02-04 2014-04-16 华为技术有限公司 一种olt代理管理onu的方法、设备及系统
CN102104525B (zh) * 2011-03-16 2013-04-24 华为技术有限公司 媒体网关设备及转发数据帧的方法
CN102143233A (zh) 2011-04-07 2011-08-03 深圳市共进电子有限公司 一种用户终端设备及网络接入方法
CN102209124B (zh) * 2011-06-08 2014-03-12 杭州华三通信技术有限公司 私网与公网通信的方法及网络地址转换设备
CN103095705B (zh) 2013-01-16 2016-02-10 中兴通讯股份有限公司 访问局域网中隔离区主机的方法和装置

Also Published As

Publication number Publication date
US20150319134A1 (en) 2015-11-05
WO2014110912A1 (zh) 2014-07-24
EP2922253A1 (en) 2015-09-23
CN103095705A (zh) 2013-05-08
US10171418B2 (en) 2019-01-01
EP2922253A4 (en) 2016-06-29

Similar Documents

Publication Publication Date Title
CN103095705B (zh) 访问局域网中隔离区主机的方法和装置
US8559448B2 (en) Method and apparatus for communication of data packets between local networks
CN1984155B (zh) 一种IPv6接入网中的域名配置方法及其网络设备
CN101056178B (zh) 一种控制用户网络访问权限的方法和系统
US9179447B2 (en) Routing traffic towards a mobile node
EP1936883B1 (en) Service provisioning method and system thereof
EP2051473B1 (en) Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks
CN102171986B (zh) 用于提供多个互联网接入的方法和网关
WO2014101935A1 (en) Enabling external access to multiple services on a local server
CN105743684B (zh) 一种ap模式下路由器的配置方法及路由器
CN104519097B (zh) 端口块资源的获取、端口块资源的分配方法及装置
CN104427010A (zh) 应用于动态虚拟专用网络的网络地址转换方法和装置
CN102904976A (zh) 基于前缀分配的扩展双重无状态IPv4-IPv6翻译方法
WO2014000565A1 (zh) 管理IPv4终端的通道的建立方法及网络网关
CN103338151A (zh) 公网客户端访问私网服务器的方法及路由器
CN101410817A (zh) 自动协议代理的自动配置名称空间的使用
CN106604119A (zh) 一种用于智能电视私有云设备的网络穿透方法及系统
KR20120103070A (ko) 패킷 호 설정 방법 및 장치
CN103428303A (zh) IPv6主机访问IPv4服务器的方法及系统
CN105635335B (zh) 社会资源接入方法、装置及系统
CN103581350A (zh) 跨越nat发布互联网服务的方法、终端、设备和系统
CN105591848A (zh) 一种IPv6无状态自动配置的认证方法及装置
CN108494751B (zh) 高效使用IPv4公有地址的方法及装置
CN101083594A (zh) 一种网络设备的管理方法及装置
CN103516820B (zh) 基于mac地址的端口映射方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant