CN1217516C - 在网络中实现透明网关或代理服务器的方法 - Google Patents

在网络中实现透明网关或代理服务器的方法 Download PDF

Info

Publication number
CN1217516C
CN1217516C CN028008014A CN02800801A CN1217516C CN 1217516 C CN1217516 C CN 1217516C CN 028008014 A CN028008014 A CN 028008014A CN 02800801 A CN02800801 A CN 02800801A CN 1217516 C CN1217516 C CN 1217516C
Authority
CN
China
Prior art keywords
gateway
mentioned
packet
source
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN028008014A
Other languages
English (en)
Other versions
CN1460347A (zh
Inventor
李在亨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Exck Network Co Ltd
Original Assignee
Exck Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Exck Network Co Ltd filed Critical Exck Network Co Ltd
Publication of CN1460347A publication Critical patent/CN1460347A/zh
Application granted granted Critical
Publication of CN1217516C publication Critical patent/CN1217516C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种在网络中执行透明网关或代理服务器的方法,特别的特征在于,使用NAT传输方法特别是在应用例如路由器,网关和/或开关装置的地址转化方法的网络设备中使用NAT转换方法。根据本发明,客户和服务器可以通过在网络路径中提供的但不用识别的网关相互通讯。

Description

在网络中实现透明网关或代理服务器的方法
技术领域
本发明涉及一种在网络中实现透明网关或代理服务器的方法,特别是在路由器,网关或开关装置使用修正网络地址变换(以下称“NAT”)实现透明网关或透明代理服务器的方法。
背景技术
透明网关是一种网关,使得用户和一个通讯伙伴通讯而似乎没有网关。也就是说,透明网关可以让用户不用设置网关或代理服务器,通过对应于TCP服务端口至网关或代理服务器完成传输所有数据包的额外工作。
通常,一个闯入中断系统的代理服务器或网关通常作为一个网关使用。在代理服务器中,用户通常设置或进入一个代理服务器,然后,再进入一个所需的服务器。但是,在透明网关中,由于透明网关在完成确认程序后与真实服务器建立一个连接,用户直接进入一个所需的系统而不知道网关或代理服务器的存在,因此用户和服务器可以相信他们没有通过网关与伙伴直接联系。
现有技术存在网络代理服务器的透明网关系统的构造。
这里,如果一个网络服务端口将一个指定的TCP数据包重新定位到网络设备上的代理服务器,代理服务器取得所有数据包并通过自己的Internet协议(以下称“IP”)再连接到服务器与其通信。由于网络上使用包含主机名称和被连接的伙伴网络服务器的URL的HTTP协议,上述过程才可能。
尽管该方法对于允许用户直接连接到服务器不用指定的代理服务器是有作用的,这里产生了一个问题,服务器承认的不是原始客户而是代理服务器为其客户。这一结构的问题不仅在于服务器确认正确客户有困难,而且在基于IP认证系统的适应上存在致命缺点。另外,由于服务器几乎不确认正确用户,服务可能不能提供给那些通过网关的用户,除非相应的问题得到解决。因此,出于安全和其他目的应用网关的企业或机构可能面对在网关的运作上的问题。
首先,需要改变用户环境的额外工作。第二,必须承担教育用户正确使用网关的沉重过程。第三,用于操作帮助-平台的由用户在使用实际中可能产生的那部分的额外花费。第四,尽管运行上述透明网络代理服务器,互联网上基于IP的大量系统的控制服务器不能收到适当的服务。第五,由于透明网络代理服务器只是对于可以确认在存在应用协议例如HTTP的目标服务器可使用,如果网关是由如Telnet或FTP的网关构成,用户必须首先进入一个网关,然后,为了建立一个连接服务器的网关的IP。因此实现一个透明代理服务器或透明网关不仅对于透明代理服务器,而且对于基于TCP的所有服务的应用程序是必要的。
在近些年经历快速增长的Internet的结构,是首先产生在几十年前,它提供的大量连接现在是不可预见的。作为解决可行的IP的方式,NAT概念被引入。NAT是一个概念,基于重新使用个人网络地址,通常应用到一个路由器或相似方式,路由器从每个端口接收数据,根据NAT规则(Mapping Rule变址规则)将一个IP数据包的源IP地址字段变换为一个授权IP地址然后传输。
如果个人网络请求进入扩展网络,应用上述NAT的网络设备在分离的地址工具中储存一个适当数量的IP地址,并在没有使用的授权地址中分配那些地址给个人网络。这里,授权IP地址的变换是由一个NAT表完成的。
图1为通常描述的基本NAT概念图。如图1所示,在基本NAT中输出数据流的情况,一个全球IP地址被分配给原始本地IP地址然后记录在NAT表,本地IP地址变换为全球IP地址然后传输。当输入数据流的情况,使用目标的全球IP地址,也就是上述输出数据流的情况的变换源搜索一个本地IP地址,然后全球IP地址变换为本地IP地址。由于在该基本NAT中数据流通过目标IP地址单独分离,并由多个主机同时共享一个IP地址是不可能的,当一个IP地址的使用率急剧减少时,地址的变换减轻。下面给出了参考图1的一个详细介绍。
例如,假设本地网络的主机A与全球网络的主机X通讯,而本地网络主机B与全球网络主机Y通讯,源A的地址以及在那里分配的全球IP地址G记录在从A到X数据流的NAT表中。另外,如果分配从A到X(G)数据流的同样IP地址也如图1所示分配从B到Y的数据流,在基本NAT输入时,当只根据从Y到目标地址G的传输数据检索NAT表时,A和B的本地地址被检索,这样对于传输数据产生混淆。因此,在本地网络中具有分别的IP地址的多个主机不能被变换为一个,并且在基本NAT中同样全球同步IP也是这样。为了解决这一问题,在服务站通常使用NAT表保持IP记录,端口等等。
还有在图1中,对于从A到X的数据流,源A的地址和端口号100以及分配的全球IP地址G和端口号1000记录在NAT表中。从B到Y的数据流,具有可变的端口号2000的全球地址G可被分配到源B的地址和端口号100。在输入数据流时,为了传输从Y到B的传输数据,如果NAT表用目的地址G和端口号2000检索,只有B的本地地址和端口号100被搜索到,因此,从A到X的数据流可以与从B到Y的数据流分离。
发明内容
为了解决上述问题,本发明的目的在于提供一种通过使用包括一个NAT表的网络设备在包括网关或代理服务器的网络中实现透明网关或透明代理服务器的方法,本发明方法包括,第一步,确认一个收到数据包的源端口或目标端口是否在NAT表中;第二步,如果在上述第一步中确认上述NAT表中存在上述源端口或目标端口,确认数据包的源IP与网关IP是否相同;第三步,在上述第二步之后变换上述数据包中的源IP或目标IP,取决于数据包的源IP与网关IP是否相同,其中所述的第三步进一步包括:(1)如果由于上述第二步的结果,上述数据包的源IP与网关IP不相同,在上述的数据包中已设置了一个SYN标记的情况下,注册一个对话的步骤;当预置网关模式是通常网关模式情况,在对话信息表中搜索上述对话的步骤;并且,当在对话信息表中搜索到上述对话时,将上述数据包的目标IP改变为网关IP的步骤;如果预置网关模式是透明网关模式,直接传输上述数据包的步骤;(2)如果由于上述第二步的结果,上述数据包的源IP与网关IP相同,在对话信息表中搜索上述对话的步骤;以及如果在对话信息表中搜索到上述对话时,当上述数据包中设置一个FIN或RST标记时从对话信息表中删除对话后,将源IP从网关IP改变为真实源IP的步骤。
附图简要说明
图1为基本NAT技术的一个概念图。
图2为一个IP头的组成图。
图3为一个TCP头的组成图。
图4为根据本发明使用透明网关的网络组成图。
图5为变化NAT技术的概念图。
图6为根据本发明一个连接通常网关的TCP对话连接程序例子的流程图。
图7为根据本发明由透明代理服务器设置的网关的TCP对话连接程序例子的流程图。
图8为根据本发明的变化的NAT方法的流程图。
图9和图10为根据本发明的NAT方法的其他实施例流程图。
发明的较佳实施例
下面详述本发明的较佳实施例,图2是一IP报头的结构,图3是一显示了一TCP报头的结构的图,图4是根据本发明的应用,透明网关的网络结构。
图4中,一顾客10可以直接与服务器70通信。然而,出于安全或者其他目的通常在网络间设置网关。这种网关的典型例子是闯入者切断系统。其它的网关例如网络代理服务器,SMTP网关,FTP网关,Telnet网关等等也可以考虑。当在网络的交通路径上安装了网关,顾客通常不得不通过改变环境来进入网关。当顾客通过一IP数据程序与服务器通讯时,网关再次进入服务器。从而,包含NAT的网络设备30中的IP数据程序的IP报头可被更改。如果流出数据包是需要网关的数据包,数据包的目标IP改变以使网关可以收到该数据包。然后该数据报流向网关G1 40或者网关G2 50以被阅读并被后者处理。处理结束后,数据包传送回网络设备30,因此网络设备30将数据包的源IP从网关IP改为顾客IP。然后,将其传送给服务器70。
现在,解释随后的服务器70的引入数据包。接收到引入数据包后,网络设备30将目标IP从顾客IP改为网关40,50的IP。由网关40,50处理后,该数据包传送回网络设备30,然后,数据包的源IP改变为服务器70的IP后,将数据包传送给顾客10。这样,在网关IP隐藏的情况下,完成了顾客10与服务器70的通信。
参考图5和图6,依照本发明的实现透明网关或者透明代理服务器的的方法的例子在下面给出。
图5显示了根据本发明使用各种NAT技术实现透明网关或者透明代理服务器的方法的实施例的结构描述,图6是根据本发明普通网关TCP对话连接的例子的流程图。
图5中,主机C100是IP地址是C的顾客,主机S110是IP地址是S的服务器。现在,网络设备130的NAT表定义了附图中所描述的,也就是,使用端口号23的Telnet的目标端口是23,使用网关G,使用端口号是80的网的目标端口是80,使用网关G。
如图5和图6所示,主机C100试图与主机S110建立通信连接。在这个程序过程中,TCP数据包中设置SYN标记(C:G,23 SYN)。TCP报头包括源端口和目标端口。网络设备的NAT130认可目标端口是23或者80的数据包可被传送。这里,在其目标IP改为G后,数据包发送到网关120。网络设备130在对话信息表中的注册有以下结构,发送数据包括在表中。
顾客IP 顾客端口模式   服务器IP 服务器端口 网关IP 模式
C 1024   S 23 G G
收到该数据包后,网关120以其设置的SYN标记和ACK标记从顾客100传送到网络设备130(G,23:C SYN+ACK)。网络设备130,于是,决定如何参考对话信息表处理该数据包。由于源端口是23,可以知道该数据包是顾客的相应数据包。因而,该数据包的源IP改为服务器IP后传送给顾客。
然后,顾客100发送包含ACK标记(C:G,23 ACK)的数据包。因此,顾客和网关间的TCP连接建立。上述程序的问题在于,网关并不知道实际的目标IP。这样,网络设备130的NAT只好将上表的值传送回网关120。如图6所示,包括NAT的网络设备130将对话信息传送给网关120。现在,网关120知道了实际服务器IP,可以建立连接。
然后,网关120传送包括SYN标记(G:S,23 SYN)的数据包以通过TCP连接到服务器。数据包的源IP改为网关IP C(G;S,23 SYN),作为顾客IP根据网络设备130的上述表格传送给网关。服务器110传送响应数据包(S,23:C SYN+ACK)至顾客100。这里,由于网络设备130首先阅读并处理该数据包,可知网关120使用了上述对话信息的值。从而,该数据包的目标IP从顾客C改为网关(G S,23:G SYN+ACK)后,传送到网关120。
如果网关120将按照ACK标记(G:S,23 ACK)设置的数据包传送回服务器110,网络设备130将由对话信息表(C:S,23 ACK)获得的顾客信息修改过的数据包传送给服务器120。因此在网关100和服务器110之间建立起TCP连接。通过这种方法,真实顾客100通过网关120与服务器110使用TCP连接。
图7是根据本发明由透明代理服务器设置的TCP对话连接过程实例的流程图。
一些通用商业网关或代理服务器可以通过其应用程序识别目标的地址,典型的例子是信件传递系统和网络代理服务器HTTP。在这种情况下,目标IP在应用程序的数据中搜索。然而,在这种情况下,由于当对话信息如图6所示传送给网关时,应用程序的协议已经更改,产生了商业程序不能如它所能提供的功能使用。为解决该问题,在图5中的NAT表中提供了模式栏。这里模式值G,意味着这是一通用网关,模式值T意味着这是一可识别目标IP的透明网关。
如果目标端口设置为80且网络代理服务器设置为网关,模式则设为T,如图7所示的TCP连接可以建立。然而,图7和图6的不同之处在于对话信息没有传送给网关。
图8是根据本发明不同NAT方法的流程图。
在接收数据包时,确认数据包是否是TCP或者不是S800。当其不是TCP时,数据包直接传送。当数据包是TCP时,确认目标端口是否是在NAT表S810中。如果目标端口不在NAT表中,进一步确认源端口是否在NAT表S820中。如果源端口不在NAT表中,意味着数据包与网关无关,直接由数据包传送模块传送。
当源端口或目标端口在NAT表中存在时,确定源IP是否是网关IPS830。作为参考,这里没有目标IP是网关IP的情况,因为将目标IP改变为网关IP是NAT的功能。
当目标IP不是网关IP时,意味着该数据包是顾客数据包或服务器数据包,这需要相对更多的处理。如果数据包由SYN标记S840设置,意味着该数据包是对话初始化数据包,该对话在对话信息表S850中注册。
之后,确认网关模式是否是G S860。如果网关模式不是G而是T,数据包不改变IP地址直接传送到数据包传送模块。如果数据包是G,进行对话信息表中的对话搜索870。搜索方法由使用唯一记录包括源IP信息,源端口,目标IP,目标端口S880搜索是否有结果决定。
当该表产生任何结果后,目标IP改变为网关IPS900,数据包传送给模块。当该表没有产生结果时,数据包被丢弃S890。上述描述涉及到当从顾客或者服务器收到数据包的情况。
然而,网关处理并传送数据包S830,对话信息表中的记录用目标IP,目标端口,网关IP和源端口S910搜索。搜索后,确定表是否产生了任何结果S920。表产生了任何结果时,如果数据包由FIN标记设置了两次或者该数据包由RST标记设置S940,则对话从对话表S950中删除,在表S960中源IP由网关IP改为真实IP,数据包传送到数据包传送模块。
在以上步骤S940中,如果由FIN标记设置的数据包没有发生两次或者该数据包由RST标记没有处理,则忽略删除对话950的步骤,该数据包在表中源IP由网关IP改为真实IP后,传送给数据包传输模块。
另一方面,如果对话信息表不包括上述步骤S920的记录,数据包被丢弃S930。
然后,根据图9和其他附图说明本发明的另一实现透明网关或透明代理服务器的方法的实施例。上述实施例实现透明网关或透明代理服务器的问题部分是将对话信息传送回网关。可以选择的是,本系统可删除传送对话信息至网关的部分并如图9所示使用TCP/IP的特性使得源端口不能使用和顾客对话连接相同的端口号,除非目标IP独自在网关处理。换句话说,对话表如图9改变,加入了网关对话表。
图9中每个表生成每个条款的过程在下面解释。当接收到有SYN标记的数据包时,将对话加到对话表中,除非源IP是网关IPS1000。然后,将网关对话表加入到S1100。这之后,对话表连接到网关对话表S1200。然后,为了从网关对话表S1300中检索到对话表,网关对话表也连接到对话表。数据包在网关对话表信息的基础上被修正,也就是目标IP从D1到G1修正,然后,将数据包传输到传输模块。
由于网关不能识别目标IP,则尝试与源IP连接,来替代与目标IP的连接。目标端口连接到源端口使得原始对话被NAT确认。这里,叙述的重点是虽然源IP是连接的,目标IP实际上是连接的。这种情况下,虽然收到了带SYN标记的数据包,源IP变为网关IP。这里,一域加入到网关对话表S1400且在增加的域中该部分将目标IP变为网关IP。为了在网关对话表S1500中搜索对话表,对话表被连接。这里,对话表由目标对话表和源端口搜索。最后,网关对话表连接到对话表S1600的网关对话。
现在,下面解释传送真实数据的过程中地址变换的方法。当源IP为网关IP时,网关对话表被搜索。如果NAT表中存在目标端口,该IP依照由网关对话表的对话指定的对话表的信息进行变换。如果相反,目标端口不存在于NAT表中,端口的IP变为由网关对话表的对话指定的对话表的相反值,也就是对话表中的源IP改为目标IP,对话表中的目标IP改为源IP.
当源IP不是网关IP时,首先搜索对话表。如果搜索得到任何结果,IP改为CPTR指定的网关对话表中具有一表格。如果搜索没有获得结果,用相反的IP和端口进行新的搜索,其中源地址和目标地址翻转。如果搜索获得结果,IP获得由SPTR指定的网关对话表的一个表格。
然后,解释在对话表中删除一个条目的过程。如果收到的是一个遇到两个FIN标记的数据包,或者被RST标记设置的数据包,对话完全终止。如果源IP是网关IP,数据包在被按照真实数据传输过程修正后被传输,然后,网关对话表中的相应的条目被删除。如果源IP不是网关IP,数据包在依照真实数据传输过程修正后被传输,然后,对话表中的相应的条目删除。
图10是如图9描述的本发明的方法的另一实施例的流程图。
这里,在接收数据包S2000时,确认在NAT表S2010中是否存在目标端口。
如果在NAT表中存在目标端口,需要额外确认是否设置SYN标记S2020。如果SYN标记已经设置,确认源IP是否是网关IP。
如果源IP不是网关IP,数据包在对话表S2040和网关对话表S2050中注册。然后,数据包连接到对话表S2060的Cptr,IP变为与对话表S2070相同的ST.Cptr。
如果在以上步骤S2030中源IP是网关IP,数据包在网关对话表S2080中注册,并连接到对话表S2090的Sptr。然后,该IP和端口变为与网关对话表S2100相同的对话。
如果在上述步骤S2020中没有SYN标记,则确认源IP是否是网关IP S2110,当源IP不是网关IP时,在对话表中搜索对话。当源IP是网关IP时,步骤S2200在下面描述。
下面,确认源IP和目标IP是否翻转S2130,然后,当源和目标翻转S2140时,IP和端口变为相同的ST.Sptr。当目标和端口没有翻转时,IP和端口改为相同的ST.Cptr。
然后,确认是否设置了FIN或者RST标记S2160,对话表被删除S2170,当设置了FIN或者RST标记时,数据包传输到数据包传输模块。
如果在上述步骤S2010中NAT表中不存在目标端口,还要确认在NAT表中是否存在源端口S2180,当在NAT表中存在源端口,上述S2020步骤重复,当NAT表中不存在源端口,确认源IP和网关IP是否相同S2190。
当源IP与网关IP相同时,在网关对话表中搜索该对话S2200,并确认在表中是否存在对话S2210。
当在网关对话表中不存在对话时,数据包立即传输到传输模块,当网关对话表S2220中存在对话,IP和端口变为网关对话表相同的对话。
然后,确认是否设置了FIN或RST标记S2230,数据包立即传输到数据报传输模块,当该标记已经设置时,网关对话被删除S2240后数据包传输到数据包传输模块。
虽然依照本发明的实施例,以上已经描述了本发明的结构和效果,本发明的权利不局限在这里,而是决定于权利要求,本领域技术人员做出的允许的变化、改变和修改将不超出本发明的范围和精神。
工业实用性
如上所述,本发明允许使用者通过一透明网关或者透明代理服务器与通讯伙伴通讯而不注意到其存在,并不需要在用户环境中做任何变化。
而且,本发明可使在构造和维持网络的时间和费用上有实质性的减少,并且不需要培训使用者如何使用网关。
另外,本发明允许一种基于IP的控制服务器提供普通服务,即使是需要协议的代理服务器或网关,保证其透明,即不能从如Telnet或者FTP的目录知道其目标IP。

Claims (3)

1.一种在包括网关或代理服务器的网络中实现透明网关或透明代理服务器的方法,通过使用包括一个NAT表的网络设备,包括:
第一步,确认在上述NAT表中是否存在一个收到的数据包的源端口或目标端口;
第二步,如果在上述第一步中确认上述NAT表中存在上述源端口或目标端口,确认数据包的源IP与网关IP是否相同;并
第三步,在上述第二步之后变换上述数据包中的源IP或目标IP,取决于数据包的源IP与网关IP是否相同,
其中所述的第三步进一步包括:
(1)如果由于上述第二步的结果,上述数据包的源IP与网关IP不相同,
在上述的数据包中已设置了一个SYN标记的情况下,注册一个对话的步骤;
当预置网关模式是通常网关模式情况,在对话信息表中搜索上述对话的步骤;并且,当在对话信息表中搜索到上述对话时,将上述数据包的目标IP改变为网关IP的步骤;和
如果预置网关模式是透明网关模式,直接传输上述数据包的步骤;
(2)如果由于上述第二步的结果,上述数据包的源IP与网关IP相同,
在对话信息表中搜索上述对话的步骤;和
如果在对话信息表中搜索到上述对话时,
当上述数据包中设置一个FIN或RST标记时从对话信息表中删除所述对话后,将源IP从网关IP改变为真实源IP的步骤。
2.如权利要求1所述的方法,其中搜索所述对话的步骤为,在上述第三步中在源IP与网关IP不相同的情况下,使用源IP,源端口,目标IP和目标端口进行搜索。
3.如权利要求1所述的方法,其中搜索所述对话的步骤为,在上述第三步中源IP与网关IP相同的情况下,使用目标IP,目标端口,网关IP和源端口进行搜索。
CN028008014A 2001-06-22 2002-04-04 在网络中实现透明网关或代理服务器的方法 Expired - Fee Related CN1217516C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2001-0035710A KR100405113B1 (ko) 2001-06-22 2001-06-22 네트워크상에서의 투명한 게이트웨이 또는 투명한 프록시구현 방법
KR0035710/2001 2001-06-22

Publications (2)

Publication Number Publication Date
CN1460347A CN1460347A (zh) 2003-12-03
CN1217516C true CN1217516C (zh) 2005-08-31

Family

ID=19711225

Family Applications (1)

Application Number Title Priority Date Filing Date
CN028008014A Expired - Fee Related CN1217516C (zh) 2001-06-22 2002-04-04 在网络中实现透明网关或代理服务器的方法

Country Status (5)

Country Link
US (2) US20050015510A1 (zh)
JP (1) JP3805771B2 (zh)
KR (1) KR100405113B1 (zh)
CN (1) CN1217516C (zh)
WO (1) WO2003001756A1 (zh)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262502B (zh) * 2003-09-02 2011-09-14 华为技术有限公司 多媒体协议穿越网络地址转换设备的实现方法
CN100440886C (zh) * 2003-09-02 2008-12-03 华为技术有限公司 多媒体协议穿越网络地址转换设备的实现方法
US20050060410A1 (en) * 2003-09-11 2005-03-17 Nokia Corporation System and method for proxy-based redirection of resource requests
CN1317874C (zh) * 2003-09-27 2007-05-23 财团法人资讯工业策进会 提供虚拟主机服务快速查询置换的网络地址端口转换网关器与方法
KR100563825B1 (ko) * 2003-10-28 2006-03-24 주식회사 엑스큐어넷 컨텐츠 분석이 가능한 고성능의 프럭시 서버 및 이를이용한 패킷 처리 방법
JP4533247B2 (ja) * 2004-06-08 2010-09-01 キヤノン株式会社 サービス提供システム、サービス提供方法及びサービス提供装置
US20080022000A1 (en) * 2004-11-11 2008-01-24 Shinji Furuya Ip-Packet Relay Method and Gateway in Communication Network
KR100666005B1 (ko) * 2006-01-24 2007-01-09 양영수 방사선 경화 도전성 잉크와 이를 이용한 제조 방법
US8447802B2 (en) * 2006-03-08 2013-05-21 Riverbed Technology, Inc. Address manipulation to provide for the use of network tools even when transaction acceleration is in use over a network
US8004973B2 (en) 2006-04-25 2011-08-23 Citrix Systems, Inc. Virtual inline configuration for a network device
CN100531158C (zh) * 2006-06-29 2009-08-19 华为技术有限公司 一种无线接入网关支持透明代理的系统及方法
CN100525251C (zh) * 2006-11-30 2009-08-05 中国科学院计算技术研究所 一种网络地址转换方法
BRPI0810445A2 (pt) 2007-04-17 2014-10-14 Kenneth Tola Sistema para obter e armazenar informação transmitida em uma rede
US8549157B2 (en) * 2007-04-23 2013-10-01 Mcafee, Inc. Transparent secure socket layer
KR100891713B1 (ko) * 2007-05-14 2009-04-03 (주)이지서티 Ip 주소 투명화를 위한 게이트웨이 및 방법과 컴퓨터프로그램 기록매체
KR100898371B1 (ko) * 2007-06-18 2009-05-18 (주)모니터랩 투명 프록시 시스템 및 그의 패킷 처리 방법
CN101605153B (zh) * 2008-06-13 2013-10-09 中怡(苏州)科技有限公司 利用路由装置进行地址协议解析的方法
WO2010001188A1 (en) * 2008-07-01 2010-01-07 Thomson Licensing Transparent web proxy
US8874693B2 (en) * 2009-02-20 2014-10-28 Microsoft Corporation Service access using a service address
CN102006337B (zh) * 2010-11-23 2013-12-18 华为技术有限公司 一种基于cgn实体的数据传输方法、cgn实体、网关及系统
JP5750352B2 (ja) * 2011-10-04 2015-07-22 株式会社Into ネットワークゲートウェイ装置
CN106357590A (zh) * 2015-07-15 2017-01-25 艾默生网络能源系统北美公司 一种网络协议转换系统、网络协议转换器及其转换方法
CN107483593B (zh) * 2017-08-22 2019-12-31 网宿科技股份有限公司 双向透明代理方法及系统
US11194930B2 (en) 2018-04-27 2021-12-07 Datatrendz, Llc Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network
CN108833418B (zh) * 2018-06-22 2021-05-25 京东数字科技控股有限公司 用于防御攻击的方法、装置和系统
KR102090138B1 (ko) * 2018-12-21 2020-03-17 (주)모니터랩 세션 관리 방법 및 이를 이용한 보안중계장치
KR102085331B1 (ko) * 2019-01-07 2020-03-05 주식회사 엑스게이트 네트워크 이중화 환경에서 투명 프록시를 이용한 패킷 처리 방법 및 패킷 처리 시스템
CN109587275A (zh) * 2019-01-08 2019-04-05 网宿科技股份有限公司 一种通信连接的建立方法及代理服务器
CN109921948B (zh) * 2019-03-27 2022-07-29 新华三技术有限公司 数据平面的故障检测方法、装置及网关设备

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4677588A (en) * 1983-11-14 1987-06-30 International Business Machines Corp. Network interconnection without integration
US5493607A (en) * 1992-04-21 1996-02-20 Boston Technology Multi-system network addressing
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5856974A (en) * 1996-02-13 1999-01-05 Novell, Inc. Internetwork address mapping gateway
US6473406B1 (en) * 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US6389462B1 (en) * 1998-12-16 2002-05-14 Lucent Technologies Inc. Method and apparatus for transparently directing requests for web objects to proxy caches
US6381638B1 (en) * 1999-02-24 2002-04-30 3Com Corporation System and method for options based address reuse
KR100336998B1 (ko) * 1999-08-02 2002-05-30 전우직 발신지 주소에 의한 네트워크 주소 변환 방법
KR100301026B1 (ko) * 1999-08-20 2001-11-01 윤종용 망주소 변환 테이블을 사용한 사설망과 공용망의 망연동 방법 및 이를 위한 기록 매체
KR100333530B1 (ko) * 1999-09-29 2002-04-25 최명렬 네트워크 주소 변환(nat) 기능을 이용한 가상 사설망(vpn) 구성 방법 및 이를 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체
CN1141657C (zh) * 1999-12-29 2004-03-10 西安交通大学 基于透明网络地址翻译的防火墙代理网关
US6754709B1 (en) * 2000-03-29 2004-06-22 Microsoft Corporation Application programming interface and generalized network address translator for intelligent transparent application gateway processes
KR100438236B1 (ko) * 2000-12-28 2004-07-02 엘지전자 주식회사 브이오아이피 게이트웨이에서 네트워크 주소 변환 서버를통한 음성 패킷 전달 방법
US20020152307A1 (en) * 2001-04-12 2002-10-17 Doyle Ronald Patrick Methods, systems and computer program products for distribution of requests based on application layer information
US7272650B2 (en) * 2001-04-17 2007-09-18 Intel Corporation Communication protocols operable through network address translation (NAT) type devices
TW588532B (en) * 2002-03-29 2004-05-21 Realtek Semiconductor Corp Management device and method of NAT/NAPT session
EP1589725B1 (en) * 2003-12-23 2007-02-07 Alcatel Method for operating a symmetric network address translation

Also Published As

Publication number Publication date
KR100405113B1 (ko) 2003-11-10
CN1460347A (zh) 2003-12-03
US20080133774A1 (en) 2008-06-05
JP3805771B2 (ja) 2006-08-09
WO2003001756A1 (en) 2003-01-03
JP2004522368A (ja) 2004-07-22
US20050015510A1 (en) 2005-01-20
KR20030000080A (ko) 2003-01-06

Similar Documents

Publication Publication Date Title
CN1217516C (zh) 在网络中实现透明网关或代理服务器的方法
US7158526B2 (en) Packet communication method and apparatus and a recording medium storing a packet communication program
US7701952B2 (en) Packet communication method and apparatus and a recording medium storing a packet communication program
US6614809B1 (en) Method and apparatus for tunneling across multiple network of different types
US7106739B2 (en) Method enabling network address translation of incoming session initiation protocol connections based on dynamic host configuration protocol address assignments
JP5790775B2 (ja) ルーティング方法およびネットワーク伝送装置
JP5368459B2 (ja) ユーザ装置における三重動作サービスのサポート
RU2411673C2 (ru) Устройство маршрутизации, модуль маршрутизации и способ маршрутизации для сети доступа
US20040246991A1 (en) IP address translator and packet transfer apparatus
WO1999030237A1 (en) Methods for interfacing a computer or network to a wide area network, such as the internet
CN101036371A (zh) 用于对第二层隧道协议中的重叠的因特网协议地址进行映射的装置和方法
JP2011077804A5 (zh)
CN101707569B (zh) Nat业务报文处理的方法及装置
WO2003021870A3 (en) Routing ip packets to an aircraft
US20120027008A1 (en) Addressing Techniques For Voice Over Internet Protocol Router
CN110519009B (zh) 一种数据包传输方法和装置
US20140204876A1 (en) Systems and methods for transporting data across an air interface using reduced address headers
EP0991232A3 (de) Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikationsnetz
US7590757B2 (en) Broadcast type communication data distribution device and broadcast type communication system
US20090106436A1 (en) Methods and systems for offload processing
CN101060472A (zh) 基于路由的会话初始化协议透明穿越网络地址转换的方法
SE523862C2 (sv) Ett förfarande och en apparat för att överföra datapaket i IP-routrar
EP1432214A3 (en) A method of communicating and a fixed host therefor.
JP2005229285A (ja) ネットワーク装置およびネットワーク制御方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20050831

Termination date: 20150404

EXPY Termination of patent right or utility model