CN105227692A - 一种nat穿越方法及网关设备 - Google Patents
一种nat穿越方法及网关设备 Download PDFInfo
- Publication number
- CN105227692A CN105227692A CN201510596015.3A CN201510596015A CN105227692A CN 105227692 A CN105227692 A CN 105227692A CN 201510596015 A CN201510596015 A CN 201510596015A CN 105227692 A CN105227692 A CN 105227692A
- Authority
- CN
- China
- Prior art keywords
- message
- data flow
- port
- port mapping
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013507 mapping Methods 0.000 claims abstract description 116
- 238000012544 monitoring process Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000013519 translation Methods 0.000 claims description 3
- 230000006854 communication Effects 0.000 abstract description 37
- 238000004891 communication Methods 0.000 abstract description 33
- 238000005516 engineering process Methods 0.000 abstract description 14
- 238000012423 maintenance Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 150000001875 compounds Chemical class 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供一种NAT穿越方法及网关设备,涉及通信领域,能够减少通过NAT穿越技术进行通信所占用的网络资源,并提高通信效率。具体方案为:内网中的网关设备从通过外网接收到的报文中,识别数据流的报文,所述数据流为需要通过端口映射发送至内网内主机的数据流,所述数据流的报文包括相同的五元组;对所述数据流的报文流量进行监控;当所述数据流在预设时长内的流量超过预设阈值时,打开端口映射,所述端口映射为所述五元组中的全局目标端口到所述内网内主机的预设端口的端口映射;将所述数据流的报文通过所述端口映射发送至所述内网内主机。本发明用于通过网关设备实现端口映射。
Description
技术领域
本发明涉及通信领域,尤其涉及一种NAT穿越方法及网关设备。
背景技术
随着通信技术的不断发展,家庭内终端设备的种类和数量都不断上升,这些终端设备组成私有的家庭网络。家庭网络内的终端设备,通过家庭网关实现家庭网络内部的通信,以及家庭网络与外网之间的通信。
家庭网关作为内网与外网的连接节点,为内网内的终端设备分配私有网络互连协议(英文全称:InternetProtocol,英文简称:IP)地址,当内网内的终端设备访问外网时,家庭网关通过网络地址转换(英文全称:NetworkAddressTranslation,英文简称:NAT)技术将内网地址转换为家庭网关广域网(英文全称:WideAreaNetwork,英文简称:WAN)接口的外网地址,实现家庭网络与外网之间的通信。
NAT技术可以大大减少外网IP的分配,然而,也为外网与内网之间的通信带来一些不便,例如在对等网络(英文全称:PeertoPeer,英文简称:P2P)通信过程中,往往存在内网内的P2P客户端无法被访问的问题。为解决这样的问题,需要通过NAT穿越技术实现外网与内网的通信。
“打洞”技术是目前在实际中运用最广泛、最可靠同时也是最简单的NAT穿越技术。以“打洞”技术在P2P通信中的应用为例,“打洞”技术可以通过已知的服务器实现两个位于NAT设备后端的P2P客户端直连。例如,如图1所示,P2P客户端A与B分别在不同的NAT设备后端,分属不同的家庭网,A与B都经由各自的NAT设备与服务器S建立连接。服务器S将A和B的内网IP地址和端口号,以及外网IP地址和端口号记录下来。无论A与B二者任何一方向S发送P2P连接请求,服务器都会将其记录下来的外网、内网IP地址和端口号发送给A和B。随后A和B都向对方的外网IP地址和端口号发起访问,如果A发给B的外网IP地址和端口号的数据包在B向A发送数据包之前到达B的NAT设备,B的NAT会认为A发过来的消息是未经授权的外网消息,则丢弃掉该数据包。B发往A的数据包也是如此。一旦A与B都向对方的NAT在外网上的IP地址和端口号发送了数据包,就打开了A与B之间的“洞”,然后就可以互相发送数据包。
一旦A和B可以通过往对方的外网IP地址和端口号发送数据包的方式进行通信,则A和B停止继续发送用于“打洞”的数据包,转而开始发送P2P数据包。在没有P2P数据包需要传输的情况下,A和B还必须向对方发送“打洞”维持包,以维持该“洞”正常工作。A、B双方都需要向另一方发送维持包,如果只有一方发送,A与B之间的连接就会中断。
在通过“打洞”技术进行通信的过程中,可能需要进行多次“打洞”以建立连接,并不断发送用于“打洞”的数据包以及“打洞”维持包,导致通过NAT穿越技术进行的通信不但耗用网络资源,而且通信效率低。
发明内容
本发明的实施例提供一种NAT穿越方法及网关设备,能够减少通过NAT穿越技术进行通信所占用的网络资源,并提高通信效率。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种网络地址转换NAT穿越方法,包括:
内网中的网关设备从通过外网接收到的报文中,识别数据流的报文,所述数据流为需要通过端口映射发送至所述内网内主机的数据流,所述数据流的报文包括相同的五元组;
对所述数据流的报文流量进行监控;
当所述数据流在预设时长内的流量超过预设阈值时,打开端口映射,所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射,所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口;
将所述数据流的报文通过所述端口映射发送至所述内网内主机。
第二方面,提供一种网关设备,包括:
识别单元,用于从通过外网接收到的报文中,识别数据流的报文,所述数据流为需要通过端口映射发送至内网内主机的数据流,所述数据流的报文包括相同的五元组;
监控单元,用于对所述数据流的报文流量进行监控;
端口映射管理单元,用于当所述监控单元在预设时长内监控所得的所述数据流的流量超过预设阈值时,打开端口映射,所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射,所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口;
发送单元,用于将所述数据流的报文通过所述端口映射发送至所述内网内主机。
本发明的实施例提供的NAT穿越方法,网关设备通过从外网接收到的报文进行分析,从中识别数据流,对所述数据流的报文流量进行监控,当所述数据流在预设时长内的流量超过预设阈值时,打开端口映射,将数据流的报文通过端口映射发送至内网内主机,从而实现NAT穿越,使得外网能够访问内网内主机。在外网访问内网内主机的过程中,无需发送“打洞”的数据包或者“打洞”维持包,减少了对网络资源的占用。另外,现有技术中当通信中的一方不能接收到“打洞”维持包时连接就会中断,因此外网在访问内网内主机时可能需要多次“打洞”以建立连接,导致通信效率低下,本发明的实施例中无需进行多次连接就能完成通信,从而提高了通信效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中通过“打洞”实现NAT穿越进行通信的示意图;
图2为本发明的实施例一所提供的一种NAT穿越方法流程示意图;
图3为本发明的实施例二所提供的一种NAT穿越方法流程示意图;
图4为本发明的实施例三所提供的一种NAT穿越方法流程示意图;
图5为网关设备的管理设备的操作界面示意图;
图6为本发明的实施例四所提供的一种网关设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,或者特指一类事物中的一个,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
本发明的实施例提供一种端口映射(英文:PortMapping)方法,应用于外网需要通过NAT穿越技术访问内网内的主机的应用场景以及其它需要进行端口映射的应用场景,包括内网内主机作为文件传输协议(英文全称:FileTransferProtocol,英文简称:FTP)服务器、互联网WEB服务器以及P2P通信中的对等节点向外网提供服务的应用场景,网关设备在需要时通过端口映射实现NAT穿越,从而将接收到的数据包通过端口映射发送至内网内主机,如此实现外网对内网内主机的访问。
实施例一
本发明的实施例一提供一种NAT穿越方法,应用于网关设备,参照图2所示,包括以下步骤:
201、内网中的网关设备从通过外网接收到的报文中,识别数据流的报文。
其中,数据流为需要通过端口映射发送至内网内主机的数据流,数据流的报文包括相同的五元组。
网关设备为内网内的主机分配私有IP地址,内网内不同主机之间的报文通过网关设备进行转发。同时,网关设备为内网与外网的连接节点,内网内主机与外网之间的数据报文,通过网关设备进行转发。
网关设备对从外网接收到的报文包括五元组,五元组具体为全局源地址、全局源端口、全局目标地址、全局目标端口以及传输层协议。其中,全局源地址和全局源端口为发送报文的主机的外网IP地址及端口,也即与内网内主机通信的终端设备的外网IP地址及端口;全局目标地址和全局目标端口为内网内主机的外网IP地址及端口,即网关设备的IP地址及端口。
本实施例中所指的数据流,是由报文所组成的序列。一个数据流的报文包括相同的五元组。需要进行端口映射的报文可能属于同一数据流,也可能属于不同的数据流,本实施例仅针对一个数据流进行说明。
可选的,在Linux系统下,网关设备通过IP信息包过滤系统组件IP表(英文全称:iptables)中的P2P报文分析模块(英文全称:InternetProtocolPeertoPeer,英文简称:ipp2p)或者数据包分类器(英文全称:ApplicationLayerPacketClassifier,英文简称:L7filter)对从外网接收到的报文进行分析,从中识别数据流。
202、对数据流的报文流量进行监控。
识别数据流后,对数据流的报文流量进行监控。其中数据流的流量指在预设时长内所接收到的数据流的数据总量。
203、当数据流在预设时长内的流量超过预设阈值时,打开端口映射。
其中,端口映射为网关设备的接收端口到内网内主机的预设端口的端口映射,网关设备的接收端口为五元组中的全局目标端口指示的端口。打开端口映射之后,网关设备将接收到的数据流发送到内网内主机的预设端口,使得外网能够访问内网内主机。通常,预设端口的端口号与内网内主机所提供的服务有关。例如在一种具体的应用场景中,内网内主机为FTP服务器,对应的预设端口为21端口。可选的,在Linux系统下,网关设备可以通过IP表(英文全称:iptables)打开端口映射。
需要说明的是,预设阈值的具体取值可以为0,也可以为大于0的值。预设阈值为0表示一旦外网访问内网内主机所提供的服务时,即打开端口映射。当预设阈值为大于0的值时,则可以选择性地针对不同流量的数据流确定是否打开端口映射。例如在P2P应用场景中,如果有多个公网内设备向私网内主机请求P2P服务时,由于预设阈值取值大于0,因此网关只针对部分公网内设备的数据流打开端口映射,因此过滤掉了多个公网内设备中部分设备的服务请求,因此对预设阈值的取值进行调整,可以起到调整私网内主机工作负荷的作用。优选的,针对私网内主机所提供不同的服务,预设阈值的取值可以设为不同值,对于对应的预设阈值的取值更小(最小值为0)的服务,网关设备优先进行端口映射。
204、将数据流的报文通过端口映射发送至内网内主机。
网关设备从全局目标端口接收到数据流的报文后,根据端口映射关系,将数据流的报文发送至内网内主机的预设端口。
本发明的实施例提供的NAT穿越方法,网关设备通过从外网接收到的报文进行分析,从中识别数据流,对数据流的报文流量进行监控,当数据流在预设时长内的流量超过预设阈值时,打开端口映射,将数据流的报文通过端口映射发送至内网内主机,从而实现NAT穿越,使得外网能够访问内网内主机。在外网访问内网内主机的过程中,无需发送“打洞”的数据包或者“打洞”维持包,减少了对网络资源的占用。另外,现有技术中当通信中的一方不能接收到“打洞”维持包时连接就会中断,因此外网在访问内网内主机时可能需要多次“打洞”以建立连接,导致通信效率低下,本发明的实施例中无需进行多次连接就能完成通信,从而提高了通信效率。
实施例二
基于图2对应的实施例,本发明实施例二提供一种NAT穿越方法,应用于P2P通信的应用场景,参照图3所示,具体步骤如下,其中部分步骤与实施一中对应的步骤相同,不再赘述。
301、内网中的网关设备从通过外网接收到的报文中,识别数据流的报文。
其中,数据流为需要通过端口映射发送至内网内主机的数据流。具体的,数据流为由P2P报文所组成的序列,且P2P报文包括相同的五元组。
在P2P通信中,内网内主机的端口多变,因此需要动态地针对不同数据流进行端口映射,本实施例中仅以数据流为例进行说明。
302、向网关设备的管理设备发送第一请求消息,第一请求消息用于向管理设备请求打开任意端口映射的权限。
其中网关设备的管理设备可以是个人电脑、智能手机或者平板电脑等设备。以智能手机为例,智能手机上安装用于管理网关设备的应用程序(英文全称:Application,英文简称:App),通过该APP,网关设备的管理设备向用户显示网关设备的相关参数,包括网关设备所识别出的数据流,已完成端口映射的数据流,数据流的流量等。
同时,用户还可以通过该APP对网关设备进行控制。本实施例中,网关设备识别数据流之后,向管理设备发送第一请求消息,以获得用户的授权进行端口映射。P2P通信过程中,可能出现多个数据流,这些数据流需要发送回内网内的多个主机,因此网关设备可以通过第一请求消息向用户请求打开任意端口映射的权限,而不是在针对每一个数据流做端口映射时均向用户请求打开一个端口映射的权限,以免因为需要用户频繁地进行操作而降低用户体验。当然,用户也可以通过该APP直接关闭某一个端口映射。
303、在接收到管理设备发送的第一响应消息后,开始对数据流的报文流量进行监控,第一响应消息用于向网关设备授予打开任意端口映射的权限。
需要特别指出的是,网关设备在接收到第一响应消息之后,当网关设备识别出其它的P2P数据流时,就可以直接对新识别出的P2P数据流的流量进行监控,无需再次向用户请求获取权限。
304、当数据流在预设时长内的流量超过预设阈值时,打开端口映射。
其中,端口映射为网关设备的接收端口到内网内主机的预设端口的端口映射,网关设备的接收端口为五元组中的全局目标端口指示的端口。打开端口映射之后,网关设备将接收到的数据流发送到内网内主机的预设端口,使得外网能够访问内网内主机,进行P2P通信。
305、将数据流的报文通过端口映射发送至内网内主机。
网关设备从全局目标端口接收到数据流的报文后,根据端口映射关系,将数据流的报文发送至内网内主机的预设端口。
306、当数据流在预设时长内的流量不超过预设阈值时,关闭端口映射。
结合步骤303-304,当网关设备接收到第一响应消息后,开始对数据流的报文流量进行监控,并在进行P2P通信的过程中持续对数据流的报文流量进行监控。数据流的流量是指预设时长内所接收到的数据流的数据总量。当数据流的流量下降至预设阈值以下时,说明数据流传输完毕,此时关闭端口映射。进一步地,网关设备向管理设备上报指示端口映射关闭的消息,管理设备从已完成端口映射的数据流列表中关闭数据流。
307、停止监控数据流的流量。
结合步骤201-206,网关设备识别数据流后,在获得用户授权的情况下,对数据流的报文流量进行监控,当数据流的流量超过预设阈值时,打开端口映射,当通过监控确定数据流传输完毕后,关闭端口映射,并停止监控。
本发明的实施例提供的NAT穿越方法,网关设备从通过外网接收到的报文中,识别数据流的报文,其中数据流为由P2P报文所组成的序列,在识别数据流之后向网关设备的管理设备发送第一请求消息,向管理设备请求打开任意端口映射的权限,用户可以通过对管理设备进行操作,对端口映射进行控制,包括向网关设备授予打开任意端口映射的权限以及关闭某一端口映射,以保证内网的安全性。网关设备在获得用户授权后,通过对数据流的报文流量进行监控,根据数据流的流量打开或者关闭端口映射,使得外网能够穿越NAT访问内网内主机,完成P2P通信。通信过程中无需发送“打洞”的数据包或者“打洞”维持包,减少了对网络资源的占用,并且无需进行多次连接就能完成通信,从而提高了通信效率。
实施例三
基于图2对应的实施例,本发明实施例三提供的NAT穿越方法,应用于内网内主机作为服务器的应用场景,参照图4所示,具体步骤如下,其中部分步骤与实施一或者实施例二中对应的步骤相同,不再赘述。
401、内网中的网关设备从通过外网接收到的报文中,识别数据流的报文。
其中,数据流为需要通过端口映射发送至内网内主机的数据流,数据流的报文包括相同的五元组。
可选的,数据流为由超文本传输协议(英文全称:HyperTextTransferProtocol,英文简称:HTTP)报文所组成的序列,内网内主机为WEB服务器。
或者,数据流为由FTP报文所组成的序列,内网内主机为FTP服务器。
402、对数据流的报文流量进行监控。
403、当数据流在预设时长内的流量超过预设阈值时,向网关设备的管理设备发送第二请求消息,第二请求消息用于向管理设备请求对数据流进行端口映射的权限。
与实施例二中的P2P应用场景不同的是,网关设备在识别数据流之后就开始对数据流的报文流量进行监控,在确定数据流在预设时长内的流量超过预设阈值时,再向用户请求授权。需要说明的是,这里的请求授权,是指请求对数据流进行端口映射的授权。当网关设备监控到有新的数据流的流量超过预设阈值时,需要再次向用户请求授权。
可选的,在管理设备的显示界面,可以向用户显示如图5所示的操作界面。操作界面包括五元组中的全局目标地址以及全局目标端口,以及内网内主机的内网IP地址,以及端口号或者协议类型其中之一,通过显示以上信息来标识用于传输数据流的端口映射。其中,全局目标地址具体可以为网关设备的WAN口号。同时还包括打开和关闭端口映射的选项,供用户选择,以对端口映射进行管理。
404、在接收到管理设备发送的第二响应消息后,打开端口映射,第二响应消息用于向网关设备授予对数据流进行端口映射的权限。
打开端口映射之后,网关设备将接收到的数据流发送到内网内主机的预设端口,使得外网能够访问内网内主机。
405、将数据流的报文通过端口映射发送至内网内主机。
406、当数据流在预设时长内的流量不超过预设阈值时,关闭端口映射。
407、停止监控数据流的流量。
本发明的实施例提供的NAT穿越方法,网关设备从通过外网接收到的报文中,识别数据流的报文,其中数据流为访问作为服务器的内网内主机的报文所组成的序列,在识别数据流之后网关设备对数据流的报文流量进行监控,当数据流在预设时长内的流量超过预设阈值时,向网关设备的管理设备发送第二请求消息,向管理设备请求对数据流进行端口映射的权限,用户可以通过对管理设备进行操作,对端口映射进行控制,包括向网关设备授予对数据流进行端口映射的权限以及关闭某一端口映射,以保证内网的安全性。网关设备在获得用户授权后,打开端口映射,使得外网能够穿越NAT访问内网内服务器。通信过程中无需发送“打洞”的数据包或者“打洞”维持包,减少了对网络资源的占用,并且访问内网内服务器过程中无需进行多次连接,从而提高了通信效率。
实施例四
基于实施例一至实施例三所提供的NAT穿越方法,本发明的实施例四提供一种网关设备,参照图6所示,网关设备60包括:
识别单元601,用于对从外网接收到报文进行分析,从中识别数据流,数据流为需要通过端口映射发送至内网内主机的数据流,数据流的报文包括相同的五元组。
监控单元602,用于对数据流的报文流量进行监控。
端口映射管理单元603,用于当监控单元602在预设时长内监控所得的数据流的流量超过预设阈值时,打开端口映射,端口映射为网关设备的接收端口到内网内主机的预设端口的端口映射,网关设备的接收端口为五元组中的全局目标端口所指示的端口。
发送单元606,用于将数据流的报文通过端口映射发送至内网内主机。
可选的,端口映射管理单元603,还用于当监控单元602在预设时长内监控所得的数据流的流量不超过预设阈值时,关闭端口映射。
可选的,监控单元602,在端口映射管理单元603关闭端口映射之后,停止监控数据流的流量。
可选的,网关设备60还包括第一接口单元604。
第一接口单元604,用于在监控单元602对数据流的报文流量进行监控之前,向网关设备60的管理设备发送第一请求消息,第一请求消息用于向管理设备请求打开任意端口映射的权限。
第一接口单元604,还用于接收管理设备发送的第一响应消息,第一响应消息用于向网关设备60授予打开任意端口映射的权限。
监控单元602,具体用于在第一接口单元604接收到第一响应消息后,开始对数据流的报文流量进行监控。
可选的,网关设备60还包括第二接口单元605。
第二接口单元605,用于在端口映射管理单元603打开端口映射之前,向网关设备60的管理设备发送第二请求消息,第二请求消息用于向管理设备请求对数据流进行端口映射的权限。
第二接口单元605,还用于接收管理设备发送的第二响应消息,第二响应消息用于向网关设备60授予对数据流进行端口映射的权限。
端口映射管理单元603,具体用于在第二接口单元605接收到第二响应消息之后,打开端口映射。
可选的,数据流为由对等网络P2P报文所组成的序列。
或者,数据流为由超文本传输协议HTTP报文所组成的序列。
或者,数据流为由文件传输协议FTP报文所组成的序列。
本发明的实施例提供的网关设备,网关设备从通过外网接收到的报文中,识别数据流的报文,对数据流的报文流量进行监控,当数据流在预设时长内的流量超过预设阈值时,打开端口映射,将数据流的报文通过端口映射发送至内网内主机,从而实现NAT穿越,使得外网能够访问内网内主机。在外网访问内网内主机的过程中,无需发送“打洞”的数据包或者“打洞”维持包,减少了对网络资源的占用。另外,现有技术中当通信中的一方不能接收到“打洞”维持包时连接就会中断,因此外网在访问内网内主机时可能需要多次“打洞”以建立连接,导致通信效率低下,本发明的实施例中无需进行多次连接就能完成通信,从而提高了通信效率。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括随机存储器(英文全称:RandomAccessMemory,英文简称:RAM)、只读存储器(英文全称:ReadOnlyMemory,英文简称:ROM)、电可擦可编程只读存储器(英文全称:ElectricallyErasableProgrammableReadOnlyMemory,英文简称:EEPROM)、只读光盘(英文全称:CompactDiscReadOnlyMemory,英文简称:CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络地址转换NAT穿越方法,其特征在于,包括:
内网中的网关设备从通过外网接收到的报文中,识别数据流的报文,所述数据流为需要通过端口映射发送至所述内网内主机的数据流,所述数据流的报文包括相同的五元组;
对所述数据流的报文流量进行监控;
当所述数据流在预设时长内的流量超过预设阈值时,打开端口映射,所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射,所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口;
将所述数据流的报文通过所述端口映射发送至所述内网内主机。
2.根据权利要求1所述的方法,其特征在于,
所述打开端口映射之后,所述方法还包括:
当所述数据流在预设时长内的流量不超过所述预设阈值时,关闭所述端口映射。
3.根据权利要求2所述的方法,其特征在于,所述关闭所述端口映射之后,所述方法还包括:
停止监控所述数据流的流量。
4.根据权利要求1所述的方法,其特征在于,
所述对所述数据流的报文流量进行监控之前,所述方法还包括:向网关设备的管理设备发送第一请求消息,所述第一请求消息用于向所述管理设备请求打开任意端口映射的权限;
所述对所述数据流的报文流量进行监控,包括:在接收到所述管理设备发送的第一响应消息后,开始对所述数据流的报文流量进行监控;其中,所述第一响应消息用于向所述网关设备授予打开任意端口映射的权限。
5.根据权利要求1所述的方法,其特征在于,
所述打开端口映射之前,所述方法还包括:向网关设备的管理设备发送第二请求消息,所述第二请求消息用于向所述管理设备请求对所述数据流进行端口映射的权限;
所述打开端口映射,包括:在接收到所述管理设备发送的第二响应消息后,打开所述端口映射;其中,所述第二响应消息用于向所述网关设备授予对所述数据流进行端口映射的权限。
6.根据权利要求1-5任一项所述的方法,其特征在于,
所述数据流为由对等网络P2P报文所组成的序列;
或者,所述数据流为由超文本传输协议HTTP报文所组成的序列;
或者,所述数据流为由文件传输协议FTP报文所组成的序列。
7.一种网关设备,其特征在于,包括:
识别单元,用于从通过外网接收到的报文中,识别数据流的报文,所述数据流为需要通过端口映射发送至内网内主机的数据流,所述数据流的报文包括相同的五元组;
监控单元,用于对所述数据流的报文流量进行监控;
端口映射管理单元,用于当所述监控单元在预设时长内监控所得的所述数据流的流量超过预设阈值时,打开端口映射,所述端口映射为所述网关设备的接收端口到所述内网内主机的预设端口的端口映射,所述网关设备的接收端口为所述五元组中的全局目标端口所指示的端口;
发送单元,用于将所述数据流的报文通过所述端口映射发送至所述内网内主机。
8.根据权利要求7所述的网关设备,其特征在于,
所述端口映射管理单元,还用于当所述监控单元在预设时长内监控所得的所述数据流的流量不超过所述预设阈值时,关闭所述端口映射。
9.根据权利要求8所述的网关设备,其特征在于,
所述监控单元,在所述端口映射管理单元关闭所述端口映射之后,停止监控所述数据流的流量。
10.根据权利要求7所述的网关设备,其特征在于,所述网关设备还包括第一接口单元;
所述第一接口单元,用于在所述监控单元对所述数据流的报文流量进行监控之前,向网关设备的管理设备发送第一请求消息,所述第一请求消息用于向所述管理设备请求打开任意端口映射的权限;
所述第一接口单元,还用于接收所述管理设备发送的第一响应消息,所述第一响应消息用于向所述网关设备授予打开任意端口映射的权限;
所述监控单元,具体用于在所述第一接口单元接收到所述第一响应消息后,开始对所述数据流的报文流量进行监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510596015.3A CN105227692B (zh) | 2015-09-17 | 2015-09-17 | 一种nat穿越方法及网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510596015.3A CN105227692B (zh) | 2015-09-17 | 2015-09-17 | 一种nat穿越方法及网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105227692A true CN105227692A (zh) | 2016-01-06 |
| CN105227692B CN105227692B (zh) | 2019-05-03 |
Family
ID=54996361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510596015.3A Active CN105227692B (zh) | 2015-09-17 | 2015-09-17 | 一种nat穿越方法及网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105227692B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109165191A (zh) * | 2018-09-12 | 2019-01-08 | 郑州云海信息技术有限公司 | 一种基于ai云的容器卷数据上传方法和装置 |
| WO2019006756A1 (en) * | 2017-07-07 | 2019-01-10 | Arris Enterprises Llc | PROTOCOL SERVER BETWEEN INFRASTRUCTURE OF WIRELESS LOCAL NETWORK |
| CN109495509A (zh) * | 2018-12-27 | 2019-03-19 | 北京奇安信科技有限公司 | 网闸的数据传输方法、设备、系统和介质 |
| CN111314481A (zh) * | 2020-02-27 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 一种数据传输方法、装置、设备以及可读存储介质 |
| CN113132262A (zh) * | 2020-01-15 | 2021-07-16 | 阿里巴巴集团控股有限公司 | 一种数据流处理及分类方法、装置和系统 |
| CN114499986A (zh) * | 2021-12-29 | 2022-05-13 | 中软信息系统工程有限公司 | 数据传输方法、装置及电子设备 |
| WO2022143127A1 (zh) * | 2020-12-31 | 2022-07-07 | 华为技术有限公司 | 一种访问局域网服务设备的方法及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252605A (zh) * | 2008-04-03 | 2008-08-27 | 杭州华三通信技术有限公司 | 穿越网络地址转换设备的多媒体通信方法、系统及装置 |
| CN101478493A (zh) * | 2009-02-10 | 2009-07-08 | 杭州华三通信技术有限公司 | 一种穿越nat的通信方法及设备 |
| CN103200281A (zh) * | 2013-01-24 | 2013-07-10 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和系统 |
| CN103533103A (zh) * | 2013-10-31 | 2014-01-22 | 成都西加云杉科技有限公司 | 基于网络地址转换的通信方法和装置 |
| CN103701945A (zh) * | 2013-12-16 | 2014-04-02 | 浙江宇视科技有限公司 | 一种地址转换方法和装置 |
| CN103905579A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 平台与终端间的通信方法、通信系统、平台及相关设备 |
| US20150071225A1 (en) * | 2012-05-14 | 2015-03-12 | Juniper Networks, Inc. | Inline network address translation within a mobile gateway router |
-
2015
- 2015-09-17 CN CN201510596015.3A patent/CN105227692B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252605A (zh) * | 2008-04-03 | 2008-08-27 | 杭州华三通信技术有限公司 | 穿越网络地址转换设备的多媒体通信方法、系统及装置 |
| CN101478493A (zh) * | 2009-02-10 | 2009-07-08 | 杭州华三通信技术有限公司 | 一种穿越nat的通信方法及设备 |
| US20150071225A1 (en) * | 2012-05-14 | 2015-03-12 | Juniper Networks, Inc. | Inline network address translation within a mobile gateway router |
| CN103905579A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 平台与终端间的通信方法、通信系统、平台及相关设备 |
| CN103200281A (zh) * | 2013-01-24 | 2013-07-10 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和系统 |
| CN103533103A (zh) * | 2013-10-31 | 2014-01-22 | 成都西加云杉科技有限公司 | 基于网络地址转换的通信方法和装置 |
| CN103701945A (zh) * | 2013-12-16 | 2014-04-02 | 浙江宇视科技有限公司 | 一种地址转换方法和装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019006756A1 (en) * | 2017-07-07 | 2019-01-10 | Arris Enterprises Llc | PROTOCOL SERVER BETWEEN INFRASTRUCTURE OF WIRELESS LOCAL NETWORK |
| US11075881B2 (en) | 2017-07-07 | 2021-07-27 | Arris Enterprises Llc | Proxy between wireless local area network infrastructures |
| CN109165191A (zh) * | 2018-09-12 | 2019-01-08 | 郑州云海信息技术有限公司 | 一种基于ai云的容器卷数据上传方法和装置 |
| CN109495509A (zh) * | 2018-12-27 | 2019-03-19 | 北京奇安信科技有限公司 | 网闸的数据传输方法、设备、系统和介质 |
| CN113132262A (zh) * | 2020-01-15 | 2021-07-16 | 阿里巴巴集团控股有限公司 | 一种数据流处理及分类方法、装置和系统 |
| CN113132262B (zh) * | 2020-01-15 | 2024-05-03 | 阿里巴巴集团控股有限公司 | 一种数据流处理及分类方法、装置和系统 |
| CN111314481A (zh) * | 2020-02-27 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 一种数据传输方法、装置、设备以及可读存储介质 |
| CN111314481B (zh) * | 2020-02-27 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 一种数据传输方法、装置、设备以及可读存储介质 |
| WO2022143127A1 (zh) * | 2020-12-31 | 2022-07-07 | 华为技术有限公司 | 一种访问局域网服务设备的方法及电子设备 |
| CN114499986A (zh) * | 2021-12-29 | 2022-05-13 | 中软信息系统工程有限公司 | 数据传输方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105227692B (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105227692A (zh) | 一种nat穿越方法及网关设备 | |
| US10305859B2 (en) | Applying security policy to an application session | |
| CN100539504C (zh) | 一种网络地址转换和/或防火墙穿越平台、系统及其方法 | |
| CN107113342B (zh) | 使用软件定义网络的中继优化 | |
| CN102571749B (zh) | 使用中继服务器的数据传输系统和方法 | |
| US7526557B2 (en) | System and method for transferring data in high latency firewalled networks | |
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| US20110219113A1 (en) | Method and system for client assisted stateful handling of packets in a communications network | |
| CN102761534B (zh) | 实现媒体接入控制层透明代理的方法和装置 | |
| CN107465529A (zh) | 客户终端设备管理方法、系统及自动配置服务器 | |
| CN103152444B (zh) | 中继方式的网络地址转换及报文传输方法及装置、系统 | |
| CN105991442B (zh) | 报文转发方法及装置 | |
| CN111262715A (zh) | 一种虚拟内网加速方法、系统和计算机设备 | |
| CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
| CN112073244A (zh) | 基于tr069协议的消息处理方法及系统 | |
| CN105743925A (zh) | 一种数据传输控制方法及视频监控系统 | |
| CN108270689A (zh) | 一种实现业务连接的方法及装置 | |
| CN104106254A (zh) | 用于实现nat穿越的方法和系统 | |
| KR101426464B1 (ko) | 이동통신장치에서 서비스 품질정보 파라메터를 추출하는방법 및 장치 | |
| CN106230902B (zh) | 一种模块化家庭云系统及其控制方法 | |
| CN107483593A (zh) | 双向透明代理方法及系统 | |
| CN102983988A (zh) | 一种设备代理装置以及网络管理装置 | |
| EP3162026A1 (fr) | Procédé d'autorisation d'établissement d'un flux pair à pair dans un réseau de télécommunications mobile | |
| EP3836487A1 (en) | Internet access behavior management system, device and method | |
| CN105791005A (zh) | 基于tcp连接实现远程运维管理的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 266100 Zhuzhou Road, Laoshan District, Shandong, No. 151, No. Patentee after: Hisense Visual Technology Co., Ltd. Address before: 266100 Zhuzhou Road, Laoshan District, Shandong, No. 151, No. Patentee before: QINGDAO HISENSE ELECTRONICS Co.,Ltd. |