CN111885036B - 一种通过路由器穿透内网实现多设备访问的方法及系统 - Google Patents

Abstract

本发明提出了一种通过路由器穿透内网实现多设备访问的方法及系统，所述方法包括：在路由器上安装穿透客户端，通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透链接地址；用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，建立所述路由器与对应的内网设备之间的本地代理通道；用户端通过所述临时穿透隧道与对应的本地代理通道访问对应的内网设备。本发明不需要更改现有网络结构和设备上的配置，也不需要公网IP即可实现内网多设备穿透访问。

Description

一种通过路由器穿透内网实现多设备访问的方法及系统

技术领域

本发明涉及云穿透技术领域，尤其涉及一种通过路由器穿透内网访问多个设备的方法及系统。

背景技术

早期宽带运营商提供的上网业务，一般分配的是动态公网IP，如果需要让内网的服务器对外提供服务，传统的方法是通过动态域名(DDNS)+端口映射。DDNS：将一个固定的域名和IP关联起来，IP变化的时候，自动更新域名解析，将对应的域名解析到新的IP上。端口映射：外网访问路由器的某个端口的时候，将这个请求转发给内网服务器的端口。

然而随着IPv4地址资源的逐步消耗殆尽，现在运营商大多已不再分配公网IP，这种方法就无法适用。在没有公网ip出口的环境下必须使用内网穿透方法，此外内网穿透还可以用在有公网ip出口，但路由器上无法做端口映射的场合。内网穿透内主要用于从Internet主动访问内网的设备，比如web应用或telnet/ssh远程连接等。

现有的实现方法是，在Internet上架设一台穿透服务器，拥有固定的公网IP，并部署穿透服务端软件，但是需要在穿透内网访问的设备上安装客户端软件。如果内网有多台设备，需要在每台设备上安装穿透客户端，然而不是任何设备都具备安装、运行客户端的条件，比如专用设备交换机、网络摄像头等、企业内部非开放OA系统等。有些设备比如服务器、交换机等不能上Internet，只能通过局域网访问，一些在未配置或故障状态下无法连上Internet，需要工程师远程调试。

发明内容

有鉴于此，本发明提出了一种通过路由器穿透内网访问多个设备的方法，用于解决现有云穿透技术访问内网多个设备时配置过程繁琐、需要安装多个客户端的问题，本发明通过路由器快速实现内网多设备的云穿透访问，不需要公网IP且不更改现有网络结构和设备上的配置。

本发明第一方面，一种通过路由器穿透内网实现多设备访问的方法，所述方法包括：

在路由器上安装穿透客户端，通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透链接地址，实现用户端与路由器之间的交互；

用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；

用户端通过所述临时穿透隧道与对应的本地代理通道访问对应的内网设备，内网设备响应访问请求，并依次返回数据给本地代理进程、穿透客户端、路由器、穿透服务器、用户端，实现用户端与内网设备之间的交互。

优选的，所述通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透通道，实现用户端与路由器之间的交互具体为：

穿透服务器监听命令控制端口4433和客户数据访问端口443，等待客户端连接；

路由器上的穿透客户端向穿透服务器的4433端口发起验证请求，和穿透服务器建立连接后，发送隧道注册请求，所述隧道注册请求中带有子域名；

穿透服务器收到隧道注册请求后，创建映射表，将路由器的源端口和子域名加入映射表中，路由器获得穿透后的访问链接地址T1；

Internet上的用户端访问T1，访问请求到达穿透服务器，穿透服务器读取所述映射表，根据子域名找到对应于用户端的端口，然后向路由器转发数据；

路由器收到访问请求，将所述访问请求发给本地web服务处理，并将响应数据返回给穿透服务器；穿透服务器将响应数据转发给用户端，完成持久穿透隧道建立并实现交互。

优选的，所述解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向具体为：

获取用户访问内网设备的目标URL路径，通过本地Web服务的后台API解析所述URL路径中的路由器的穿透链接地址、内网目标设备的IP、端口及提供服务的协议类型，并检查各个参数的格式正确性，以及探测目标设备的端口是否可访问，如果不可用或参数错误，返回错误并退出；

如果正常，路由器根据所述URL路径中的参数新建临时穿透隧道，生成新的临时穿透链接地址，并将用户端的访问重定向到内网设备新的临时穿透链接地址。

优选的，所述路由器启用的本地代理进程包括反向代理程序或websocket代理程序，代理目标为内网设备的web服务端口或TCP端口。

优选的，当内网有多个设备需要穿透访问时，改变路由器的穿透地址URL路径中的参数，路由器建立多个临时穿透隧道和本地代理通道，实现内网多设备访问。

本发明提出一种通过路由器穿透内网实现多设备访问的系统，所述系统包括：

持久穿透隧道建立模块：在路由器上安装穿透客户端；通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透链接地址，实现用户端与路由器之间的交互；

临时穿透隧道建立模块：用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；

内网访问模块：用户端通过所述临时穿透隧道与对应的本地代理通道访问对应的内网设备，内网设备响应访问请求，并依次返回数据给本地代理进程、穿透客户端、路由器、穿透服务器、用户端，实现用户端与内网设备之间的交互。

优选的，所述临时穿透隧道建立模块具体包括：

URL路径解析单元：获取用户访问内网设备的目标URL路径，通过本地Web服务的后台API解析所述URL路径中的路由器的穿透链接地址、内网目标设备的IP、端口及提供服务的协议类型，并检查各个参数的格式正确性，以及探测目标设备的端口是否可访问，如果不可用或参数错误，返回错误并退出；

临时穿透隧道生成单元：如果正常，路由器根据所述URL路径中的参数新建临时穿透隧道，生成新的临时穿透链接地址，并将用户端的访问重定向到内网设备新的临时穿透链接地址。

本发明的相对于现有技术具有以下有益效果：

1)本发明通过路由器建立与穿透服务器的持久穿透通道，获得穿透后的访问链接地址，通过解析穿透地址URL路径来动态创建新的临时穿透隧道，同时启用本地代理进程建立与内网设备之间的本地代理通道，本发明不受网络环境限制，快速方便地穿透访问内网任意设备；

2)本发明不需要更改现有网络结构和设备上的配置，比如在每个内网设备上安装客户端、加静态路由、配置默认网关之类，也不需要更改出口路由器上的设置，不用做端口映射/DMZ，也不需要公网IP即可实现多种内网设备的远程访问或调试，简化了内网设备访问流程。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的通过路由器穿透内网实现多设备访问的拓扑图；

图2为发明实施例提供的通过路由器穿透内网实现多设备访问的流程示意图。

具体实施方式

下面将结合本发明实施方式，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

请参阅图1，本发明实施例提供的通过路由器穿透内网实现多设备访问的拓扑图，本发明提出一种通过路由器穿透内网实现多设备访问的方法，通过路由器和云穿透服务器实现内网穿透，所述方法包括：

S1、在路由器上安装穿透客户端，所述路由器可为旁路路由器，通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透访问地址，实现用户端与路由器之间的交互；所述持久穿透隧道为路由器和穿透服务器之间的持久数据通道，创建持久穿透隧道具体步骤为：

穿透服务器监听命令控制端口4433和客户数据访问端口443，等待客户端连接；

路由器上的穿透客户端向穿透服务器的4433端口发起验证请求，和穿透服务器建立连接后，发送隧道注册请求，所述隧道注册请求中带有子域名，比如pr；

穿透服务器收到隧道注册请求后，创建映射表，将路由器的源端口和子域名加入映射表中，路由器获得穿透后的访问链接地址T1，比如https://pr.mq-link.com；

Internet上的用户端访问T1，访问请求到达穿透服务器，穿透服务器读取所述映射表，根据子域名找到对应于客户端的端口，然后向路由器转发数据；

路由器收到访问请求，将所述访问请求发给本地web服务处理，并将响应数据返回给穿透服务器；穿透服务器将响应数据转发给用户端，完成持久穿透隧道建立并实现交互。

S2、用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；

目标URL路径中含有内网目标设备的IP、端口及提供服务的协议类型，所述协议类型包括HTTP、HTTPS、Telnet、SSH、TCP 5种。

Internet上用户访问内网中目标设备的地址格式为：

https://路由器的穿透访问地址/<协议类型>/<内网设备IP地址>:<端口>

端口为协议默认端口时，可省略，比如http默认为80，https默认为443，ssh默认为22，telnet默认为23。

以本实施例穿透后的访问链接地址T1为例，T1的地址为https://pr.mq-link.com，则访问内网设备192.168.1.100的ssh服务的地址为：https://pr.mq-link.com/ssh/192.168.1.100:22/；普通http访问内网设备192.168.1.100的web服务的地址为：https://pr.mq-link.com/http/192.168.1.100/；访问内网设备192.168.1.100的端口为3000的tcp服务的地址为：https://pr.mq-link.com/tcp/192.168.1.100:3000/。

获取用户访问内网设备的目标URL路径，通过本地Web服务的后台API解析所述URL路径中的路由器的穿透链接地址、内网目标设备的IP、端口及提供服务的协议类型，并检查各个参数的格式正确性，以及探测目标设备的端口是否可访问，如果不可用或参数错误，返回错误并退出；

如果URL路径正常，路由器根据所述URL路径中的参数动态创建临时穿透隧道，通过所述临时穿透隧道建立路由器和穿透服务器之间的临时数据通道，生成新的临时穿透链接地址，比如https://pr-1921681100.mq-link.com，并以该临时穿透地址为目标地址返回HTTP 302重定向响应，将用户端的访问重定向到内网设备新的临时穿透链接地址。

在创建临时穿透隧道的同时，路由器在本地启用代理进程，包括反向代理程序或websocket代理程序，代理目标为内网设备的web服务端口或TCP端口；通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；

S3、用户端通过所述临时穿透隧道和本地代理通道访问对应的内网设备，内网设备响应访问请求，并依次返回数据给本地代理进程、穿透客户端、路由器、穿透服务器、用户端，实现用户端与内网设备之间的交互。

请参阅图2，本发明一实施例提供的通过路由器穿透内网实现多设备访问的流程示意图，路由器上的穿透客户端向公网穿透服务器的穿透服务端发起认证请求，获得响应后再请求建立持久穿透隧道，隧道建立成功可获得云穿透地址，比如https://pr.mq-link.com/。用户端(Internet用户/浏览器)访问路由器的云穿透地址，链接本地服务后得到访问内网设备的目标URL：https://pr.mq-link.com/http/192.168.1.100:80，访问请求达到路由器后，后台API会解析所述内网设备的目标URL，并检测目标设备是否在线，启动穿透客户端生成新的临时穿透链接地址https://pr-1921681100.mq-link.com，重定向至新的内网设备临时穿透链接地址。通过临时穿透地址，目标设备访问请求数据依次Internet用户、CTS穿透服务器、路由器、穿透客户端、到达内网设备，内网设备的回应数据依次经本地代理进程、穿透客户端、路由器、CTS穿透服务器到达Internet用户。

内网有多个设备需要穿透时，只需改变目标设备URL路径中的参数即可，路由器将建立多个不通的临时穿透通道供内网设备穿透使用，快速访问内网多个设备。

为了更有效使用系统资源，路由器会探测通道的使用情况，对长时间空闲(比如5分钟内无任何请求)的通道，实施主动关闭操作，并终止相关的代理程序。

与所述方法实施例相对应，本发明还提出一种通过路由器穿透内网实现多设备访问的系统，所述系统包括：

持久穿透隧道建立模块：在路由器上安装穿透客户端；通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透链接地址，实现用户端与路由器之间的交互；

临时穿透隧道建立模块：用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；所述临时穿透隧道建立模块具体包括：

URL路径解析单元：获取用户访问内网设备的目标URL路径，通过本地Web服务的后台API解析所述URL路径中的路由器的穿透链接地址、内网目标设备的IP、端口及提供服务的协议类型，并检查各个参数的格式正确性，以及探测目标设备的端口是否可访问，如果不可用或参数错误，返回错误并退出；

临时穿透隧道生成单元：如果URL路径正常，路由器根据所述URL路径中的参数新建临时穿透隧道，生成新的临时穿透链接地址，并将用户端的访问重定向到内网设备新的临时穿透链接地址。

内网访问模块：用户端通过所述临时穿透隧道与对应的本地代理通道访问对应的内网设备，内网设备响应访问请求，并依次返回数据给本地代理进程、穿透客户端、路由器、穿透服务器、用户端，实现用户端与内网设备之间的交互。

本发明提出的通过路由器穿透内网实现多设备访问的方法和系统可以很方便的访问任意内网设备，无需在路由器上做任何配置，只需要知道设备IP即可实现多种内网设备的远程访问或调试。

以上系统实施例与方法实施例是一一对应的，系统实施例简略之处，参见方法实施例即可。

以上所述仅为本发明的较佳实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种通过路由器穿透内网实现多设备访问的方法，其特征在于，所述方法包括：

在路由器上安装穿透客户端，通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透隧道，路由器获得穿透链接地址，实现用户端与路由器之间的交互；

用户端访问路由器的穿透链接地址时，解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向；同时触发路由器在本地启用代理进程，通过所述本地代理进程建立所述路由器与对应的内网设备之间的本地代理通道；

用户端通过所述临时穿透隧道与对应的本地代理通道访问对应的内网设备，内网设备响应访问请求，并依次返回数据给本地代理进程、穿透客户端、路由器、穿透服务器、用户端，实现用户端与内网设备之间的交互。

2.根据权利要求1所述通过路由器穿透内网实现多设备访问的方法，其特征在于，所述路由器为旁路路由器。

3.根据权利要求1所述通过路由器穿透内网实现多设备访问的方法，其特征在于，所述通过所述穿透客户端建立路由器和穿透服务器之间的持久穿透通道，实现用户端与路由器之间的交互具体为：

穿透服务器监听命令控制端口4433和客户数据访问端口443，等待客户端连接；

路由器上的穿透客户端向穿透服务器的4433端口发起验证请求，和穿透服务器建立连接后，发送隧道注册请求，所述隧道注册请求中带有子域名；

穿透服务器收到隧道注册请求后，创建映射表，将路由器的源端口和子域名加入映射表中，路由器获得穿透后的访问链接地址T1；

Internet上的用户端访问T1，访问请求到达穿透服务器，穿透服务器读取所述映射表，根据子域名找到对应于用户端的端口，然后向路由器转发数据；

路由器收到访问请求，将所述访问请求发给本地web服务处理，并将响应数据返回给穿透服务器；穿透服务器将响应数据转发给用户端，完成持久穿透隧道建立并实现交互。

4.根据权利要求1所述通过路由器穿透内网实现多设备访问的方法，其特征在于，所述解析用户访问内网设备的目标URL路径中的参数，路由器为对应的内网设备动态创建一条与所述穿透服务器之间的临时穿透隧道，生成新的临时穿透链接地址并重定向具体为：

获取用户访问内网设备的目标URL路径，通过本地Web服务的后台API解析所述URL路径中的路由器的穿透链接地址、内网目标设备的IP、端口及提供服务的协议类型，并检查各个参数的格式正确性，以及探测目标设备的端口是否可访问，如果不可用或参数错误，返回错误并退出；

如果所述URL路径正常，路由器根据所述URL路径中的参数动态创建临时穿透隧道，生成新的临时穿透链接地址，并将用户端的访问重定向到内网设备新的临时穿透链接地址。

5.根据权利要求1所述通过路由器穿透内网实现多设备访问的方法，其特征在于，所述路由器启用的本地代理进程包括http反向代理程序或websocket代理程序，代理目标为内网设备的web服务端口或TCP端口。

6.根据权利要求4所述通过路由器穿透内网实现多设备访问的方法，其特征在于，当内网有多个设备需要穿透访问时，改变路由器的穿透地址URL路径中的参数，路由器建立多个临时穿透隧道和本地代理通道，实现内网多设备访问。

Images