CN111031020A - 一种基于端口映射的管理网络和租户网络通信的方法 - Google Patents
一种基于端口映射的管理网络和租户网络通信的方法 Download PDFInfo
- Publication number
- CN111031020A CN111031020A CN201911226879.0A CN201911226879A CN111031020A CN 111031020 A CN111031020 A CN 111031020A CN 201911226879 A CN201911226879 A CN 201911226879A CN 111031020 A CN111031020 A CN 111031020A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- port number
- port
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算网络技术领域,公开了一种基于端口映射的管理网络和租户网络通信的方法,包括由所述管理网络发起的与租户网络通信,通过在Firewall上做端口映射方式的NAT内部服务器功能和ACL规则的精确匹配实现DNAT转换,具体通过如下步骤实现:S1:管理网络发起与VM的通信;S2:报文到达Firewall之后,根据地址映射表项在Firewall入接口做DNAT转换,将请求报文的目的IP地址和目的端口号转换为配置的VM的IP地址和端口号。通过该方法,只有指定的源IP地址的报文可以通过,管理网络和租户网络安全隔离,不同的服务可以使用相同的内网EIP的不同端口号提供,解决了因为内网EIP数量限制导致的不能提供更多通信实例的问题。
Description
技术领域
本发明涉及云计算网络技术领域,具体是一种基于端口映射的管理网络和租户网络通信的方法。
背景技术
云计算网络中,openstack部署在管理网络,VM部署在业务网络,在某些实际业务场景中,需要管理网络和租户网络相互通信传递数据或者软件包,例如数据库在VM中提供RDS服务,在启动VM的过程中,需要将提供的具体服务部署完成并启动,此时需要从管理网络发起上传RPM包到RDS服务所在的VM,这个过程需要管理网络和租户网络进行通信;RDS服务同时需要与openstack中的消息队列通信,定时上报服务器状态等信息,此时需要租户网络和管理网络进行通信。
原有管理网络和租户网络通信的方式如下,VM绑定内网EIP,将内网EIP与管理网络配置静态路由和默认路由通过,实现管理网络和租户网络的通信,该通信网络中内网EIP资源不足,从而导致不能提供更多通信实例。因此,本领域技术人员提供了一种基于端口映射的管理网络和租户网络通信的方法,以解决上述背景技术中提出的问题。
发明内容
本发明的目的在于提供一种基于端口映射的管理网络和租户网络通信的方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于端口映射的管理网络和租户网络通信的方法,包括由所述管理网络发起的与租户网络通信,通过在Firewall上做端口映射方式的NAT内部服务器功能和ACL规则的精确匹配实现DNAT转换,具体通过如下步骤实现:
S1:管理网络发起与VM的通信;
S2:报文到达Firewall之后,根据地址映射表项在Firewall入接口做DNAT转换,将请求报文的目的IP地址和目的端口号转换为配置的VM的IP地址和端口号;
S3:报文通过VPC网络到达VM;
S4:在VM指定端口号上部署数据库服务之后发出回应报文,源IP地址为VM IP地址,端口号为部署数据库服务的端口号,目的IP地址为管理IP地址;
S5:报文在Firewall上根据地址映射关系做SNAT地址和端口转换,将回应报文的源IP地址转换为内网EIP地址,源端口号转换为配置的内网EIP对应的端口号。
作为本发明再进一步的方案:所述S2中需要部署数据库服务的VM的IP地址和端口号,源IP地址为管理网IP地址不变。
作为本发明再进一步的方案:所述S5中报文经过网络设备到达管理网络,此时在Firewall上可以查看到双向的会话信息,信息中包含源IP地址端口号,目的IP地址和端口号等信息。
作为本发明再进一步的方案:所述S1中的源IP地址为管理网地址,目的IP地址为内网EIP地址,目的端口号是配置的内网EIP对应的端口号。
与现有技术相比,本发明的有益效果是:
1、通过该方法,只有指定的源IP地址的报文可以通过,管理网络和租户网络安全隔离;
2、一个VM提供的服务,只占用一个内网EIP的一个端口号,不同的服务可以使用相同的内网EIP的不同端口号提供,解决了因为内网EIP数量限制导致的不能提供更多通信实例的问题。
附图说明
图1为一种基于端口映射的管理网络和租户网络通信的方法的原理图;
具体实施方式
请参阅图1,本发明实施例中,一种基于端口映射的管理网络和租户网络通信的方法,包括由管理网络发起的与租户网络通信,通过在Firewall上做端口映射方式的NAT内部服务器功能和ACL规则的精确匹配实现DNAT转换,具体通过如下步骤实现:
S1:管理网络发起与VM的通信;
S2:报文到达Firewall之后,根据地址映射表项在Firewall入接口做DNAT转换,将请求报文的目的IP地址和目的端口号转换为配置的VM的IP地址和端口号;
S3:报文通过VPC网络到达VM;
S4:在VM指定端口号上部署数据库服务之后发出回应报文,源IP地址为VM IP地址,端口号为部署数据库服务的端口号,目的IP地址为管理IP地址;
S5:报文在Firewall上根据地址映射关系做SNAT地址和端口转换,将回应报文的源IP地址转换为内网EIP地址,源端口号转换为配置的内网EIP对应的端口号。
优选的:S2中需要部署数据库服务的VM的IP地址和端口号,源IP地址为管理网IP地址不变。
优选的:S5中报文经过网络设备到达管理网络,此时在Firewall上可以查看到双向的会话信息,信息中包含源IP地址端口号,目的IP地址和端口号等信息。
优选的:S1中的源IP地址为管理网地址,目的IP地址为内网EIP地址,目的端口号是配置的内网EIP对应的端口号。
综上:NAT设备上提供内部服务器功能,通过静态配置内网IP地址和端口号和VM的IP地址和端口号之间的映射关系,实现内网IP地址和VM IP地址的反向转换,每个VM提供的服务只占用一个内网EIP的一个端口号,在内网EIP数量一定的情况下,极大的扩展了可提供服务的VM的数量。
以上的,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (4)
1.一种基于端口映射的管理网络和租户网络通信的方法,包括由所述管理网络发起的与租户网络通信,通过在Firewall上做端口映射方式的NAT内部服务器功能和ACL规则的精确匹配实现DNAT转换,其特征在于,具体通过如下步骤实现:
S1:管理网络发起与VM的通信;
S2:报文到达Firewall之后,根据地址映射表项在Firewall入接口做DNAT转换,将请求报文的目的IP地址和目的端口号转换为配置的VM的IP地址和端口号;
S3:报文通过VPC网络到达VM;
S4:在VM指定端口号上部署数据库服务之后发出回应报文,源IP地址为VM IP地址,端口号为部署数据库服务的端口号,目的IP地址为管理IP地址;
S5:报文在Firewall上根据地址映射关系做SNAT地址和端口转换,将回应报文的源IP地址转换为内网EIP地址,源端口号转换为配置的内网EIP对应的端口号。
2.根据权利要求1所述的一种基于端口映射的管理网络和租户网络通信的方法,其特征在于,所述S2中需要部署数据库服务的VM的IP地址和端口号,源IP地址为管理网IP地址不变。
3.根据权利要求1所述的一种基于端口映射的管理网络和租户网络通信的方法,其特征在于,所述S5中报文经过网络设备到达管理网络,此时在Firewall上可以查看到双向的会话信息,信息中包含源IP地址端口号,目的IP地址和端口号等信息。
4.根据权利要求1所述的一种基于端口映射的管理网络和租户网络通信的方法,其特征在于,所述S1中的源IP地址为管理网地址,目的IP地址为内网EIP地址,目的端口号是配置的内网EIP对应的端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911226879.0A CN111031020B (zh) | 2019-12-04 | 2019-12-04 | 一种基于端口映射的管理网络和租户网络通信的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911226879.0A CN111031020B (zh) | 2019-12-04 | 2019-12-04 | 一种基于端口映射的管理网络和租户网络通信的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111031020A true CN111031020A (zh) | 2020-04-17 |
| CN111031020B CN111031020B (zh) | 2022-07-15 |
Family
ID=70207865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911226879.0A Active CN111031020B (zh) | 2019-12-04 | 2019-12-04 | 一种基于端口映射的管理网络和租户网络通信的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031020B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711705A (zh) * | 2020-04-21 | 2020-09-25 | 北京天维信通科技有限公司 | 基于代理节点作双向nat实现网络连接的方法和装置 |
| CN113422846A (zh) * | 2021-06-23 | 2021-09-21 | 浪潮思科网络科技有限公司 | 一种基于网络地址转换协议的业务报文处理方法及设备 |
| CN115514692A (zh) * | 2022-09-20 | 2022-12-23 | 深信服科技股份有限公司 | 一种资源池内网络交互方法、系统、存储介质和终端 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1676370A2 (en) * | 2003-10-01 | 2006-07-05 | Santera Systems Inc. | Methods and systems for per-session network address translation (nat) learning and firewall filtering in media gateway |
| CN101605154A (zh) * | 2009-07-09 | 2009-12-16 | 中兴通讯股份有限公司 | 使用网络地址转换的网络设备的ip地址确认系统及方法 |
| CN102148879A (zh) * | 2010-10-22 | 2011-08-10 | 华为技术有限公司 | 端口映射方法、装置与通信系统 |
| CN102480530A (zh) * | 2010-11-25 | 2012-05-30 | 华为技术有限公司 | 一种报文发送方法及装置 |
| CN102790811A (zh) * | 2012-07-25 | 2012-11-21 | 浙江宇视科技有限公司 | 一种在监控网络中穿越nat设备的方法和装置 |
| CN104185192A (zh) * | 2014-08-12 | 2014-12-03 | 福建星网锐捷网络有限公司 | 一种管理设备的访问方法及相关设备 |
| CN106878482A (zh) * | 2017-01-03 | 2017-06-20 | 新华三技术有限公司 | 网络地址转换方法及装置 |
| CN107241460A (zh) * | 2017-06-30 | 2017-10-10 | 联想(北京)有限公司 | 一种浮动地址的处理方法及电子设备 |
| CN108848194A (zh) * | 2018-08-20 | 2018-11-20 | 普联技术有限公司 | 内网客户端之间的会话建立方法、路由器以及会话系统 |
| CN109218316A (zh) * | 2018-09-20 | 2019-01-15 | 杭州智块网络科技有限公司 | 一种nat穿透方法、装置、设备及存储介质 |
-
2019
- 2019-12-04 CN CN201911226879.0A patent/CN111031020B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1676370A2 (en) * | 2003-10-01 | 2006-07-05 | Santera Systems Inc. | Methods and systems for per-session network address translation (nat) learning and firewall filtering in media gateway |
| CN101605154A (zh) * | 2009-07-09 | 2009-12-16 | 中兴通讯股份有限公司 | 使用网络地址转换的网络设备的ip地址确认系统及方法 |
| CN102148879A (zh) * | 2010-10-22 | 2011-08-10 | 华为技术有限公司 | 端口映射方法、装置与通信系统 |
| CN102480530A (zh) * | 2010-11-25 | 2012-05-30 | 华为技术有限公司 | 一种报文发送方法及装置 |
| CN102790811A (zh) * | 2012-07-25 | 2012-11-21 | 浙江宇视科技有限公司 | 一种在监控网络中穿越nat设备的方法和装置 |
| CN104185192A (zh) * | 2014-08-12 | 2014-12-03 | 福建星网锐捷网络有限公司 | 一种管理设备的访问方法及相关设备 |
| CN106878482A (zh) * | 2017-01-03 | 2017-06-20 | 新华三技术有限公司 | 网络地址转换方法及装置 |
| CN107241460A (zh) * | 2017-06-30 | 2017-10-10 | 联想(北京)有限公司 | 一种浮动地址的处理方法及电子设备 |
| CN108848194A (zh) * | 2018-08-20 | 2018-11-20 | 普联技术有限公司 | 内网客户端之间的会话建立方法、路由器以及会话系统 |
| CN109218316A (zh) * | 2018-09-20 | 2019-01-15 | 杭州智块网络科技有限公司 | 一种nat穿透方法、装置、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711705A (zh) * | 2020-04-21 | 2020-09-25 | 北京天维信通科技有限公司 | 基于代理节点作双向nat实现网络连接的方法和装置 |
| CN111711705B (zh) * | 2020-04-21 | 2022-03-18 | 北京天维信通科技有限公司 | 基于代理节点作双向nat实现网络连接的方法和装置 |
| CN113422846A (zh) * | 2021-06-23 | 2021-09-21 | 浪潮思科网络科技有限公司 | 一种基于网络地址转换协议的业务报文处理方法及设备 |
| CN113422846B (zh) * | 2021-06-23 | 2022-12-23 | 浪潮思科网络科技有限公司 | 一种基于网络地址转换协议的业务报文处理方法及设备 |
| CN115514692A (zh) * | 2022-09-20 | 2022-12-23 | 深信服科技股份有限公司 | 一种资源池内网络交互方法、系统、存储介质和终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111031020B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111031020B (zh) | 一种基于端口映射的管理网络和租户网络通信的方法 | |
| US20180210752A1 (en) | Accelerator virtualization method and apparatus, and centralized resource manager | |
| CN103595648B (zh) | 用于在服务器的接收侧进行负载均衡的方法和系统 | |
| CA2968964C (en) | Source ip address transparency systems and methods | |
| CN106656650B (zh) | 业务测试环境的生成方法和系统、业务测试的方法、装置和系统 | |
| AU2013375618B2 (en) | Load sharing method and apparatus | |
| CN101136929B (zh) | 因特网小型计算机系统接口数据传输方法及设备 | |
| US10135763B2 (en) | System and method for secure and efficient communication within an organization | |
| US20180332001A1 (en) | Federated virtual datacenter apparatus | |
| CN106411742B (zh) | 一种报文传输的方法和装置 | |
| CN109981757A (zh) | 一种面向小规模微服务架构的api网关负载均衡算法 | |
| US11785054B2 (en) | Deriving system architecture from security group relationships | |
| US20170052809A1 (en) | Management device, control device, and management method | |
| CN103188171A (zh) | 一种报文调度方法和设备 | |
| CN112887330B (zh) | 一种网络acl隔离浮动ip的实现装置及方法 | |
| CN105991442B (zh) | 报文转发方法及装置 | |
| CN105357332A (zh) | 一种网络地址转换方法及装置 | |
| US20230081696A1 (en) | Methods for Shunting Clustered Gateways | |
| CN109783409A (zh) | 用于处理数据的方法和装置 | |
| CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
| CN104994137B (zh) | 一种网络透明代理的方法 | |
| JP2013126219A (ja) | 転送サーバおよび転送プログラム | |
| JP6162831B2 (ja) | パケット通信システム、sdn制御装置、パケット通信方法、及びプログラム | |
| CN105874757A (zh) | 一种数据处理方法及多核处理器系统 | |
| JP2011239082A (ja) | 通信装置及びアドレス変換方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |