CN104427010A - 应用于动态虚拟专用网络的网络地址转换方法和装置 - Google Patents
应用于动态虚拟专用网络的网络地址转换方法和装置 Download PDFInfo
- Publication number
- CN104427010A CN104427010A CN201310390918.7A CN201310390918A CN104427010A CN 104427010 A CN104427010 A CN 104427010A CN 201310390918 A CN201310390918 A CN 201310390918A CN 104427010 A CN104427010 A CN 104427010A
- Authority
- CN
- China
- Prior art keywords
- equipment
- public network
- spoke
- network address
- dvpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供了应用于动态虚拟专用网络的网络地址转换方法和装置,所述DVPN中存在通过采用端口地址转换PAT模式的NAT设备连接至公网网络的Spoke设备;该方法包括:DVPN中的Hub设备在与Spoke设备建立隧道过程中,获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息;Hub设备将获取的Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。采用本发明,能够实现在DVPN中,支持NAT设备采用PAT模式。
Description
技术领域
本申请涉及网络通信技术,特别涉及应用于动态虚拟专用网络(DVPN:Dynamic Virtual Private Network)的网络地址转换(NAT:Network AddressTranslation)方法和装置。
背景技术
DVPN,可通过下一跳解析协议(NHRP:Next Hop Resolution Protocol)或者VPN地址管理(VAM:VPN Address Management)协议收集、维护和分发动态变化的公网地址等信息,DVPN可以在企业网各分支机构使用动态地址接入公网的情况下,在各分支机构间建立VPN。
在DVPN中的设备有如下几个身份:
VAM服务器:VAM服务器维护所有VAM客户端的信息,响应客户端的注册、查询。可以在路由器上实现,也可以使用专门的服务器实现。
VAM客户端:VAM客户端将自己的信息向服务器注册,在需要其他DVPN节点的信息时,向服务器发起解析请求。VAM客户端可以是主机,也可以是路由器。
中心(Hub)和分支(Spoke):VAM客户端注册至VAM服务器后获得的Hub和Spoke身份,担任Hub的VAM客户端通常是一个网络中的中心设备,作为路由信息交换的中心,也是数据转发的中心;而担任Spoke的VAM客户端通常是一个网络中的分支设备。为便于描述,本申请将DVPN中担任Hub身份或Spoke身份的VAM客户端,这里将担任Hub身份的VAM客户端称为Hub设备,将担任Spoke身份的VAM客户端称为Spoke设备。
目前,在DVPN中实现NAT是网络通信的需求。其中,NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。在网络中,配置了NAT功能且连接内部网络和外部网络的边缘设备,通常被称为NAT设备,如图1所示的路由器(Router)1为NAT设备。
NAT实现方式有以下两种:
静态方式,是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
动态方式,动态方式是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态方式下存在两种转换模式:
非端口转换(NO-PAT:Not Port Address Translation)模式:
NO-PAT模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。NO-PAT模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
端口地址转换(PAT:Port Address Translation)模式:
PAT模式下,一个NAT地址可以同时分配给多个内网地址共用。PAT模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,因特网控制消息协议)查询报文。图2示出了PAT模式下的工作流程。如图2所示,三个带有内网地址的报文(Packet)到达NAT设备,其中Packet1和Packet2来自同一个源IP地址(Src)但有不同的源端口号,Packet1和报文Packet3来自不同的源IP地址但具有相同的源端口号。通过PAT模式,三个Packet的源IP地址都被转换为同一个外网地址,但每个Packet都被赋予了不同的源端口号,因而仍保留了Packet之间的区别。当各Packet的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该回应报文应转发到的内部主机。采用PAT模式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
在DVPN中,公网网络为IPv4网络,如图3所示。为了解决IPv4地址不足的问题,DVPN中Hub设备或Spoke设备一般都通过NAT设备连接公网网络IPv4网络。当通信双端Spoke设备均通过NAT设备连接公网网络IPv4网络时,因为通信一端并不知道对端被NAT设备转换后的端口,这限制DVPN中的NAT设备只能支持No-PAT模式,即:只能将不同的Spoke设备的公网地址唯一转化为不同的外网地址,不能支持PAT模式,然而DVPN中NAT设备使用PAT模式对于大规模的DVPN来说意义明显,其可以使多个Spoke设备共用一个公网地址,而非一个Spoke设备使用一个公网地址。因此,在DVPN中,支持NAT设备采用PAT模式是亟待解决的技术问题。
发明内容
本申请提供了应用于动态虚拟专用网络的网络地址转换方法和装置,以实现在DVPN中,支持NAT设备采用PAT模式。
本申请提供的技术方案包括:
一种应用于动态虚拟专用网络DVPN的网络地址转换NAT方法,所述DVPN中存在至少一个分支Spoke设备,所述Spoke设备通过采用端口地址转换PAT模式的NAT设备连接至公网网络;该方法包括:
所述DVPN中的中心Hub设备在与Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
所述Hub设备将获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
一种应用于实现动态虚拟专用网络DVPN中网络地址转换NAT的装置,所述DVPN中存在至少一个分支Spoke设备,所述Spoke设备通过采用端口地址转换PAT模式的NAT设备连接至公网网络;所述装置为所述DVPN中的中心Hub设备,包括:
获取单元,用于在与DVPN中的Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
发送单元,用于将所述获取单元获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
由以上技术方案可以看出,本发明中,为了保证DVPN中的NAT设备采用PAT模式下通信一端Spoke设备获知对端被NAT设备转换后的端口,让Hub设备充当第三者,由Hub设备在与Spoke设备建立隧道过程中动态获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息,并由Hub设备告知给服务器,这样,通信双端Spoke设备中的任一端均通过查询服务器就可获知对端被NAT设备转换后的公网地址和端口信息,保证了DVPN中的NAT设备采用PAT模式下,即使通信双端Spoke设备均通过NAT设备连接公网网络,也能按照NAT设备支持的PAT模式正常进行通信。
附图说明
图1为现有NAT工作流程图;
图2为现有PAT工作流程图;
图3为现有DVPN组网示意图;
图4为本发明实施例提供的流程图;
图5为本发明实施例提供的DVPN组网实例图;
图6为本发明实施例提供的实施例流程图;
图7为本发明实施例提供的装置结构图;
图8为本发明实施例提供的另一种装置结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法包括图4所示的流程:
参见图4,图4为本发明实施例提供的方法流程图。该方法应用于DVPN中,在DVPN中,存在Spoke设备和Hub设备,如背景技术描述,VAM客户端注册至VAM服务器后获得Hub和Spoke身份,这里的Spoke设备为DVPN中担任Spoke身份的VAM客户端,而Hub设备为担任Hub身份的VAM客户端。
以图5所示DVPN为例,在图5中,VAM客户端1、VAM客户端2经过注册至VAM服务器后获得Spoke身份,就分别称为Spoke设备1、Spoke设备2,而VAM客户端3经过注册至VAM服务器后获得Hub身份,就称为Hub设备。
在本发明中,DVPN中存在通过PAT模式的NAT设备连接至公网网络的Spoke设备,如图5所示,Spoke设备1、Spoke设备2均分别通过NAT设备1、NAT设备2连接至公网网络。这里的公网网络可以为IPV4网络。
基于图5所示的任一Spoke设备为例,图4提供的流程可包括以下步骤:
步骤401,Hub设备在与Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息。
本发明中,当VAM客户端注册至VAM服务器获取Spoke身份后,该获取Spoke身份的VAM客户端即Spoke设备就与获取Hub身份的VAM客户端即Hub设备建立隧道。
这里,Hub设备与Spoke设备建立的隧道为VPN隧道,具体实现时可为因特网协议安全(IPSec:Internet Protocol Security)隧道或者DVPN用户数据报协议(UDP)隧道。
作为本发明的一个实施例,Hub设备获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息包括:
Hub设备在与Spoke设备建立隧道过程中获取Spoke设备发送的报文;
Hub设备识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致,如果不一致,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke连接被连接的NAT设备转换后的公网地址和端口信息,获取所述报文头携带的公网地址和端口信息。
步骤402,Hub设备将获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
作为本发明的一个实施例,本步骤402中,其他Spoke设备从所述VAM服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息包括:
其他Spoke设备在有待发送至所述Spoke设备的数据流时,发送请求报文至所述服务器;
其他Spoke设备接收所述服务器发送的对应所述请求报文的响应报文,所述响应报文携带所述Spoke设备被NAT设备转换后的公网地址和端口信息。
优选地,步骤402中的服务器可为DVPN中的VAM服务器。
其中,其他Spoke设备获取所述Spoke设备被NAT设备转换后的公网地址和端口信息之后与所述Spoke设备建立直连隧道的过程与现有两个Spoke设备之间建立直连隧道的过程类似,这里不再赘述。
从图4所示流程可以看出,本发明中,支持DVPN中的NAT设备采用PAT模式,为了保证DVPN中的NAT设备采用PAT模式下通信一端Spoke设备获知对端被NAT设备转换后的端口,让Hub设备充当第三者,由Hub设备在与Spoke设备建立隧道过程中动态获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息,并由Hub设备告知给服务器比如VAM服务器,这样,通信双端Spoke设备中的任一端均通过查询服务器比如VAM服务器获知对端被NAT设备转换后的公网地址和端口信息,保证了DVPN中的NAT设备采用PAT模式下,即使通信双端Spoke设备均通过NAT设备连接公网网络,也能按照NAT设备支持的PAT模式正常进行通信。
下面以图5所示的DVPN通过图6对图4所示流程进行实例描述:
参见图6,图6为本发明实施例提供的实施例流程图。如图6所示,该流程可包括以下步骤:
步骤601,Spoke设备1在与Hub设备1建立VPN隧道(IPsec隧道)过程中,发送报文至Hub设备1。
作为本发明的一个实施例,图5所示的DVPN中并不限定仅有一个Hub设备,这里为便于描述,仅以一个Hub设备1为例,其他Hub设备未示出。
另外,本发明中,Spoke设备1发送的报文可为协议报文,也可为控制报文。
步骤602,Hub设备1接收Spoke设备1发送的报文,识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致,如果不一致,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke设备1连接被连接的NAT设备1转换后的公网地址和端口信息,从所述报文头获取携带的公网地址和端口信息。
步骤603,Hub设备1将获取的所述Spoke设备1被NAT设备1转换后的公网地址和端口信息发送至VAM服务器。
步骤604,当Spoke设备2在有待发送至Spoke设备1的数据流时,发送请求报文至VAM服务器。
这里,请求报文可为VAM协议中的下一跳解析请求(Next hop resolverequest)报文。
步骤605,VAM服务器收到Spoke设备2发送的请求报文时,从本地查找Spoke设备1被其连接的NAT设备1转换的公网地址和端口信息,将查找到的公网地址和端口信息携带在对应所述请求报文的响应报文中发送给Spoke设备2。
这里,响应报文可为VAM协议中的下一跳应答请求(Next hop resolve reply)报文。
步骤606,Spoke设备2利用收到的Spoke设备1的被其连接的NAT设备1转换的公网地址和端口信息与Spoke设备1建立直连隧道。
这里,Spoke设备2与Spoke设备1建立直连隧道的过程与现有两个Spoke设备建立直连隧道的过程类似,不再赘述。
步骤607,Spoke设备2通过建立的至Spoke设备1的直连隧道将待发送至Spoke设备1的数据流发送至Spoke设备1。
至此,完成图6所示的流程。
以上对本发明提供的方法进行了描述,下面对本发明提供的装置进行描述:
参见图7,图7为本发明实施例提供的装置结构图。该装置应用于实现动态虚拟专用网络DVPN中网络地址转换NAT,这里,所述DVPN中存在至少一个分支Spoke设备,所述Spoke设备通过采用端口地址转换PAT模式的NAT设备连接至公网网络;具体地,图7所示装置为所述DVPN中的中心Hub设备,可包括:
获取单元,用于在与DVPN中的Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
发送单元,用于将所述获取单元获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
优选地,本发明中,所述获取单元包括:
报文子单元,用于在与Spoke设备建立隧道过程中获取Spoke设备发送的报文;
识别子单元,用于识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致;
获取子单元,用于在所述识别子单元的识别结果为不一致时,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke连接被连接的NAT设备转换后的公网地址和端口信息,获取所述报文头携带的公网地址和端口信息。
优选地,所述隧道为因特网协议安全IPSec隧道或者DVPN用户数据报协议UDP隧道。
至此,完成图7所示的装置。
优选地,本发明还提供了另外一种装置结构图,具体参见图8。图8为本发明实施例提供的另一种装置结构图。如图8所示,该装置主要包括:CPU、内存。需要说明的是,图8所示装置还进一步包括非易失性存储器和其他硬件,只不过该进一步包括的非易失性存储器和其他硬件改进不大,这里暂不重点描述。
如图8所示,所述内存包括:获取单元、发送单元。
所述获取单元,存放第一执行程序,用于在与DVPN中的Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
所述发送单元,存放第二执行程序,用于将获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道;
其中,所述CPU,用于运行所述获取单元中的第一执行程序,以在与DVPN中的Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;以及,
所述CPU,用于运行所述发送单元中的第二执行程序,以将通过运行第一执行程序获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
优选地,本发明中,所述CPU运行第一执行程序,在与Spoke设备建立隧道过程中获取Spoke设备发送的报文,识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致,如果否,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke连接被连接的NAT设备转换后的公网地址和端口信息,获取所述报文头携带的公网地址和端口信息。
优选地,所述隧道为因特网协议安全IPSec隧道或者DVPN用户数据报协议UDP隧道。
至此,完成图8所示的装置。
以上对本发明提供的装置进行了描述。
由以上方案可以看出,本发明中,支持DVPN中的NAT设备采用PAT模式,为了保证DVPN中的NAT设备采用PAT模式下通信一端Spoke设备获知对端被NAT设备转换后的端口,让Hub设备充当第三者,由Hub设备在与Spoke设备建立隧道过程中动态获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息,并由Hub设备告知给服务器,这样,通信双端Spoke设备中的任一端均通过查询服务器获知对端被NAT设备转换后的公网地址和端口信息,保证了DVPN中的NAT设备采用PAT模式下,即使通信双端Spoke设备均通过NAT设备连接公网网络,也能按照NAT设备支持的PAT模式正常进行通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种应用于动态虚拟专用网络DVPN的网络地址转换NAT方法,其特征在于,所述DVPN中存在至少一个分支Spoke设备,所述Spoke设备通过采用端口地址转换PAT模式的NAT设备连接至公网网络;该方法包括:
所述DVPN中的中心Hub设备在与Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
所述Hub设备将获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
2.根据权利要求1所述的方法,其特征在于,所述Hub设备获取Spoke设备被连接的NAT设备转换后的公网地址和端口信息包括:
所述Hub设备在与Spoke设备建立隧道过程中获取Spoke设备发送的报文;
所述Hub设备识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致,如果不一致,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息,获取所述报文头携带的公网地址和端口信息。
3.根据权利要求1所述的方法,其特征在于,其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息包括:
其他Spoke设备在有待发送至所述Spoke设备的数据流时,发送请求报文至所述服务器;
其他Spoke设备接收所述服务器发送的对应所述请求报文的响应报文,所述响应报文携带所述Spoke设备被NAT设备转换后的公网地址和端口信息。
4.根据权利要求1所述的方法,其特征在于,所述Hub设备与Spoke设备建立的隧道为因特网协议安全IPSec隧道或者DVPN用户数据报协议UDP隧道。
5.根据权利要求1所述的方法,其特征在于,所述公网网络为Ipv4网络。
6.一种应用于实现动态虚拟专用网络DVPN中网络地址转换NAT的装置,其特征在于,所述DVPN中存在至少一个分支Spoke设备,所述Spoke设备通过采用端口地址转换PAT模式的NAT设备连接至公网网络;所述装置为所述DVPN中的中心Hub设备,包括:
获取单元,用于在与DVPN中的Spoke设备建立隧道过程中,获取所述Spoke设备被连接的NAT设备转换后的公网地址和端口信息;
发送单元,用于将所述获取单元获取的所述Spoke设备被NAT设备转换后的公网地址和端口信息发送至所述DVPN中的服务器,以使其他Spoke设备从所述服务器获取所述Spoke设备被NAT设备转换后的公网地址和端口信息来建立至所述Spoke设备的直连隧道。
7.根据权利要求6所述的装置,其特征在于,所述获取单元包括:
报文子单元,用于在与Spoke设备建立隧道过程中获取Spoke设备发送的报文;
识别子单元,用于识别所述报文的报文头携带的公网地址和所述报文的载荷携带的公网地址是否一致;
获取子单元,用于在所述识别子单元的识别结果为不一致时,确定所述报文的报文头携带的公网地址和端口信息为所述Spoke连接被连接的NAT设备转换后的公网地址和端口信息,获取所述报文头携带的公网地址和端口信息。
8.根据权利要求6所述的装置,其特征在于,所述隧道为因特网协议安全IPSec隧道或者DVPN用户数据报协议UDP隧道。
9.根据权利要求6所述的装置,其特征在于,所述公网网络为Ipv4网络。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310390918.7A CN104427010B (zh) | 2013-08-30 | 2013-08-30 | 应用于动态虚拟专用网络的网络地址转换方法和装置 |
| PCT/CN2014/085235 WO2015027904A1 (en) | 2013-08-30 | 2014-08-27 | Translating network address |
| EP14840154.0A EP3039828A1 (en) | 2013-08-30 | 2014-08-27 | Translating network address |
| US14/899,471 US9871762B2 (en) | 2013-08-30 | 2014-08-27 | Translating network address |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310390918.7A CN104427010B (zh) | 2013-08-30 | 2013-08-30 | 应用于动态虚拟专用网络的网络地址转换方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104427010A true CN104427010A (zh) | 2015-03-18 |
| CN104427010B CN104427010B (zh) | 2018-02-09 |
Family
ID=52585591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310390918.7A Active CN104427010B (zh) | 2013-08-30 | 2013-08-30 | 应用于动态虚拟专用网络的网络地址转换方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9871762B2 (zh) |
| EP (1) | EP3039828A1 (zh) |
| CN (1) | CN104427010B (zh) |
| WO (1) | WO2015027904A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591871A (zh) * | 2015-10-16 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种配置自动发现虚拟专用网络分支节点的方法和装置 |
| CN106790446B (zh) * | 2016-12-02 | 2018-02-23 | 深圳市小满科技有限公司 | 数据备份系统及方法 |
| CN110430117A (zh) * | 2019-08-13 | 2019-11-08 | 广州竞远安全技术股份有限公司 | 一种连接云端网络与用户内网的高并发隧道系统及方法 |
| CN110995600A (zh) * | 2019-12-10 | 2020-04-10 | 迈普通信技术股份有限公司 | 数据传输方法、装置、电子设备及可读存储介质 |
| CN112260928A (zh) * | 2020-11-02 | 2021-01-22 | 迈普通信技术股份有限公司 | 节点切换方法、装置、电子设备及可读存储介质 |
| CN112272134A (zh) * | 2020-11-26 | 2021-01-26 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN113489811A (zh) * | 2021-07-30 | 2021-10-08 | 迈普通信技术股份有限公司 | IPv6流量处理方法、装置、电子设备及计算机可读存储介质 |
| CN114143283A (zh) * | 2021-11-26 | 2022-03-04 | 迈普通信技术股份有限公司 | 一种隧道自适应配置方法、装置,中心端设备及通信系统 |
| CN114244803A (zh) * | 2020-11-30 | 2022-03-25 | 易识科技(广东)有限责任公司 | 一种隧道穿透的控制方法及系统 |
| CN115037685A (zh) * | 2022-04-26 | 2022-09-09 | 上海地面通信息网络股份有限公司 | 隧道通信方法、中继节点、分支节点及隧道通信系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10142126B2 (en) * | 2015-06-18 | 2018-11-27 | Cisco Technology, Inc. | Scalable dynamic overlay tunnel management |
| CN105072213B (zh) * | 2015-08-28 | 2018-12-28 | 迈普通信技术股份有限公司 | 一种IPSec NAT双向穿越方法、系统及VPN网关 |
| CN108259292B (zh) * | 2016-12-29 | 2020-12-15 | 华为技术有限公司 | 建立隧道的方法及装置 |
| CN108540385A (zh) * | 2017-03-06 | 2018-09-14 | 中兴通讯股份有限公司 | 数据发送方法及装置、路由器 |
| US10715440B1 (en) * | 2018-07-02 | 2020-07-14 | Juniper Networks, Inc. | Distributed next hop resolution |
| US10652046B1 (en) * | 2018-11-14 | 2020-05-12 | Microsoft Technology Licensing, Llc | Infrastructure support in cloud environments |
| US11863534B1 (en) | 2023-02-03 | 2024-01-02 | Dice Corporation | Scalable router interface initiation |
| US11895091B1 (en) | 2023-02-03 | 2024-02-06 | Dice Corporation | Scalable router interface communication paths |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070206597A1 (en) * | 2006-03-01 | 2007-09-06 | Rajiv Asati | Methods and apparatus for providing an enhanced dynamic multipoint virtual private network architecture |
| US20080201486A1 (en) * | 2007-02-21 | 2008-08-21 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070033252A1 (en) | 2000-03-30 | 2007-02-08 | Combest Ricky F | Dynamic virtual network and method |
| US7912046B2 (en) | 2005-02-11 | 2011-03-22 | Microsoft Corporation | Automated NAT traversal for peer-to-peer networks |
| US8249081B2 (en) | 2006-09-29 | 2012-08-21 | Array Networks, Inc. | Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment |
| US8625610B2 (en) * | 2007-10-12 | 2014-01-07 | Cisco Technology, Inc. | System and method for improving spoke to spoke communication in a computer network |
| CN101707569B (zh) | 2009-12-21 | 2012-05-23 | 杭州华三通信技术有限公司 | Nat业务报文处理的方法及装置 |
| CN102546434B (zh) | 2012-02-15 | 2015-12-16 | 杭州华三通信技术有限公司 | 一种DVPN大规模组网的方法和Spoke |
| CN102594678B (zh) * | 2012-02-15 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种dvpn大规模组网的方法和客户端 |
-
2013
- 2013-08-30 CN CN201310390918.7A patent/CN104427010B/zh active Active
-
2014
- 2014-08-27 US US14/899,471 patent/US9871762B2/en active Active
- 2014-08-27 EP EP14840154.0A patent/EP3039828A1/en not_active Withdrawn
- 2014-08-27 WO PCT/CN2014/085235 patent/WO2015027904A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070206597A1 (en) * | 2006-03-01 | 2007-09-06 | Rajiv Asati | Methods and apparatus for providing an enhanced dynamic multipoint virtual private network architecture |
| US20080201486A1 (en) * | 2007-02-21 | 2008-08-21 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591871A (zh) * | 2015-10-16 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种配置自动发现虚拟专用网络分支节点的方法和装置 |
| CN105591871B (zh) * | 2015-10-16 | 2019-03-08 | 新华三技术有限公司 | 一种配置自动发现虚拟专用网络分支节点的方法和装置 |
| CN106790446B (zh) * | 2016-12-02 | 2018-02-23 | 深圳市小满科技有限公司 | 数据备份系统及方法 |
| CN110430117A (zh) * | 2019-08-13 | 2019-11-08 | 广州竞远安全技术股份有限公司 | 一种连接云端网络与用户内网的高并发隧道系统及方法 |
| CN110430117B (zh) * | 2019-08-13 | 2020-05-19 | 广州竞远安全技术股份有限公司 | 一种连接云端网络与用户内网的高并发隧道系统及方法 |
| CN110995600A (zh) * | 2019-12-10 | 2020-04-10 | 迈普通信技术股份有限公司 | 数据传输方法、装置、电子设备及可读存储介质 |
| CN112260928A (zh) * | 2020-11-02 | 2021-01-22 | 迈普通信技术股份有限公司 | 节点切换方法、装置、电子设备及可读存储介质 |
| CN112272134A (zh) * | 2020-11-26 | 2021-01-26 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN112272134B (zh) * | 2020-11-26 | 2021-12-17 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN114244803A (zh) * | 2020-11-30 | 2022-03-25 | 易识科技(广东)有限责任公司 | 一种隧道穿透的控制方法及系统 |
| CN113489811A (zh) * | 2021-07-30 | 2021-10-08 | 迈普通信技术股份有限公司 | IPv6流量处理方法、装置、电子设备及计算机可读存储介质 |
| CN114143283A (zh) * | 2021-11-26 | 2022-03-04 | 迈普通信技术股份有限公司 | 一种隧道自适应配置方法、装置,中心端设备及通信系统 |
| CN114143283B (zh) * | 2021-11-26 | 2023-10-24 | 迈普通信技术股份有限公司 | 一种隧道自适应配置方法、装置,中心端设备及通信系统 |
| CN115037685A (zh) * | 2022-04-26 | 2022-09-09 | 上海地面通信息网络股份有限公司 | 隧道通信方法、中继节点、分支节点及隧道通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3039828A1 (en) | 2016-07-06 |
| US9871762B2 (en) | 2018-01-16 |
| CN104427010B (zh) | 2018-02-09 |
| WO2015027904A1 (en) | 2015-03-05 |
| US20160182444A1 (en) | 2016-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104427010A (zh) | 应用于动态虚拟专用网络的网络地址转换方法和装置 | |
| CN113950816B (zh) | 使用边车代理机构提供多云微服务网关的系统和方法 | |
| CN102594678B (zh) | 一种dvpn大规模组网的方法和客户端 | |
| US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
| US8458303B2 (en) | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset | |
| CN109076082A (zh) | 面向身份的网络和协议中的匿名身份 | |
| KR20100066323A (ko) | Ip 터널링 기술을 이용한 폐쇄 사용자 네트워크 구성 방법 및 폐쇄 사용자 네트워크 시스템 | |
| CN103618801A (zh) | 一种p2p资源共享的方法、设备及系统 | |
| JP6211975B2 (ja) | ネットワーク延伸システム、制御装置、およびネットワーク延伸方法 | |
| Kafle et al. | ID-based communication for realizing IoT and M2M in future heterogeneous mobile networks | |
| US20150032898A1 (en) | Method for establishing a virtual community network connection and a system for implementing said method | |
| CN101083594A (zh) | 一种网络设备的管理方法及装置 | |
| EP2472788A1 (en) | Method and system for implementing id/locator mapping | |
| US20130254425A1 (en) | Dns forwarder for multi-core platforms | |
| JP5241665B2 (ja) | 通信装置、通信システムおよび通信方法 | |
| Cui et al. | State management in IPv4 to IPv6 transition | |
| US11196666B2 (en) | Receiver directed anonymization of identifier flows in identity enabled networks | |
| JP2019050628A5 (zh) | ||
| CN105516121B (zh) | 无线局域网中ac与ap通信的方法及系统 | |
| CN104683491A (zh) | 一种获取虚拟机的因特网协议地址的方法和系统 | |
| US20210359935A1 (en) | Tunnel-based network connectivity for computing clusters | |
| CN104468467A (zh) | 一种dhcp报文转发方法和设备 | |
| JP5054666B2 (ja) | Vpn接続装置、パケット制御方法、及びプログラム | |
| CN112039988A (zh) | 一种基于IPv6网络的智慧校园平台 | |
| CN106034166A (zh) | 一种局域网的网络参数配置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |