CN1260928C - 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 - Google Patents
柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 Download PDFInfo
- Publication number
- CN1260928C CN1260928C CNB2004100731446A CN200410073144A CN1260928C CN 1260928 C CN1260928 C CN 1260928C CN B2004100731446 A CNB2004100731446 A CN B2004100731446A CN 200410073144 A CN200410073144 A CN 200410073144A CN 1260928 C CN1260928 C CN 1260928C
- Authority
- CN
- China
- Prior art keywords
- management entity
- address
- access
- nat
- ground field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法。其包括以下步骤:1)移动节点发送注册请求给接入管理实体,由接入管理实体转发给基本域管理实体;2)注册成功后建立数据端口,并通过数据端口建立连接;3)接入管理实体从连接中收集相关地址信息,并分别通知对方;4)建立隧道设备;5)移动节点和基本网络域主机通信时,扩展域管理实体或移动节点把数据包进行隧道封装,发送给接入管理实体;6)接入管理实体接收到数据后去掉外层包头,直接路由转发;7)基本域管理实体把数据转发给目的主机。本发明解决了背景技术中的传统移动IP的NAT穿越方法不能保证有效穿越以及通信的效率和安全性得不到保证的技术问题。
Description
一、技术领域
本发明涉及一种IP网络技术,尤其是一种柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法。柔性IP网络技术体系是指由基本域管理实体,扩展域管理实体,接入管理实体,移动节点构成,使局域网中的移动节点能够在全球互联网范围内随意漫游,并且确保移动节点随时能够与其局域网实现交互访问。
二、背景技术
移动IP系统应用到因特网和/或广域网范围内,使移动节点在外地网络能够以固定的家乡网络IP地址身份进行网络通信和数据访问。由于网络环境复杂多样,很多情况下,家乡代理实体或者移动节点需要在配置有NAT(网络地址转换)的网络环境中使用,使用过程中,位于私有网络内部的主机对外部可路由主机的数据访问需要经过一个NAT进行网络地址转换,NAT对内部发起的访问会进行端口及地址映射,并保证数据应答能正确的返回到内网主机;对外部屏蔽内部私有网络,保证内部网络的安全性。因此不同NAT网关后的私有网络内的主机无法直接建立通信,如果希望两者进行交互,需要实现NAT穿越。
目前传统移动IP的NAT穿越方法主要有:
一种是采用试探的方法穿越NAT,即两个私网内主机同时向中间实体发送连接请求,然后,两私网主机向对方NAT发送试探数据包,如果能通过NAT到达对方,穿越成功。如果NAT有严格的设置规则,此方法就会失效,因此不能保证针对任何类型的NAT网关都有效穿越。
另一种方法是两个私网主机同中间人进行通信,对两通信主机来说并不知道中间人的存在。数据的传送采用转发机制,对每个数据包均要进行底层处理,通信的效率和安全性得不到保证。
三、发明内容
本发明解决了背景技术中的传统移动IP的NAT穿越方法不能保证有效穿越以及通信的效率和安全性得不到保证的技术问题。
本发明的技术解决方案是:一种柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法,其特殊之处在于:该方法包括以下步骤:
1)移动节点漫游到扩展网络域后,移动节点通过配置一个扩展网络域地址并发送注册请求给接入管理实体,接入管理实体转发注册请求给基本域管理实体;
2)注册成功将激发接入管理实体建立数据端口,并通知基本域管理实体和扩展域管理实体或移动节点建立数据端口,并通过此数据端口发起对接入管理实体数据端口的连接;
3)数据连接建立成功后,接入管理实体从连接中收集相关地址信息,并分别通知对方;
4)接入管理实体以刚才的数据端口建立隧道设备,扩展域管理实体或移动节点和基本域管理实体以获得的地址信息建立隧道设备;
5)移动节点发送数据包给基本网络域主机时,扩展域管理实体或移动节点把该数据包打包,使得该数据包内层源IP地址为接入管理实体IP地址,源端口号为接入管理实体的数据端口,目的地址的IP地址和端口分别为接入管理实体通知的基本域管理实体对应的NAT的可路由地址和基本域管理实体对应NAT映射的端口;外层源IP地址为扩展域管理实体或移动节点IP地址,目的地址为接入管理实体地址;打包完毕后,发送给接入管理实体;
6)接入管理实体接收到数据后去掉外层包头,直接路由转发;
7)数据被传送给基本域管理实体处理并转发给基本网络域主机。
上述步骤3)中,当基本域管理实体、扩展域管理实体分别位于不同的NAT后时,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体。
上述步骤3)中,当基本域管理实体位于NAT后,扩展域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体的IP地址和端口通知给基本域管理实体。
上述步骤3)中扩展域管理实体位于NAT后,基本域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体。
本发明在柔性IP网络技术体系中为了有效地接收注册请求,在因特网和/或广域网范围内接入一台提供接入服务的专用服务器,即接入管理实体,可以使移动节点的注册请求消息能正常转发给基本域管理实体,接入管理实体在整个过程中采用了附加安全认证的消息转发机制,进行安全的注册请求和应答的中继,使得移动节点漫游到扩展网络域后,能够穿越扩展网络域NAT和基本网络域NAT,建立与基本域管理实体的通信,并且数据的传送使用一种可靠高效的转发机制,对任何允许内部发起正常数据访问的NAT,本发明都能可靠地实现穿越,同时又比通常的中间人转发方式效率有很大提高。
四、附图说明
图1为本发明的方法原理图;
图2为本发明方法中的移动节点发出的访问基本网络域的数据包格式图;
图3为本发明方法中的移动节点发出的数据包在扩展网络域NAT与接入管理实体之间时的格式图;
图4为本发明方法中的移动节点发出的数据包在接入管理实体与基本网络域NAT之间时的格式图;
图5为本发明方法中的基本域管理实体接收到的移动节点数据包的包头格式图。
五、具体实施方式
柔性IP网络技术体系包括接入管理实体、基本域管理实体、扩展域管理实体、移动节点,在网络环境中接入管理实体配置了可路由的IP地址,能被私有网络主机访问。
基本域管理实体、扩展域管理实体在网络环境中存在NAT的情况下,有以下三种网络配置:
1、基本域管理实体、扩展域管理实体分别位于不同的NAT后,都配置有私有IP地址;
2、基本域管理实体位于NAT后,扩展域管理实体配置有可路由的IP地址;
3、扩展域管理实体位于NAT后,基本域管理实体配置有可路由的IP地址;
基本域管理实体和移动节点发送数据时采用隧道技术,该隧道包括可穿越NAT并路由到接入管理实体的地址信息,同时还包括接入管理实体如何进一步转发穿越对端NAT的地址信息。数据包从基本域管理实体或扩展域管理实体发出后,包括了原始数据包的IP源地址和目的地址,同时还携带了自身NAT地址、接入管理实体地址、对端NAT地址。整个NAT穿越的方法最终都依赖于三个设备上隧道的建立和使用基础上,由隧道设备进行信息的封装和拆封。
参见图1,以网络配置1为例,本发明的具体方法流程如下:
1)移动节点漫游到扩展网络域后,移动节点通过配置一个扩展网络域地址并发送注册请求给接入管理实体,接入管理实体转发注册请求给基本域管理实体。
2)注册成功将激发接入管理实体建立数据端口,并通知基本域管理实体和扩展域管理实体(或移动节点)建立数据端口,基本域管理实体和扩展域管理实体(或移动节点)通过此数据端口分别从两个NAT发起对接入管理实体数据端口的访问。由于接入管理实体具有可路由的网络地址,两端从NAT内部发起的访问能正常访问到该地址,用来在NAT上建立合法的端口地址映射。此时接入管理实体具有了向两端(基本域管理实体和扩展域管理实体)NAT上的映射端口发送数据信息的能力,该数据将被认为是内部发起数据的正常应答,因此可通过NAT,在NAT上目的地址被更改为内部地址,到达相应的主机或服务器。
3)数据连接建立成功后,接入管理实体从连接中收集相关地址信息,并分别通知对方。这样基本域管理实体就获得了接入管理实体的地址、扩展域管理实体或移动节点在扩展网络域NAT上的映射地址端口;扩展域管理实体或移动节点就获得了接入管理实体地址端口和基本域管理实体在NAT上映射的地址端口。此过程分以下三种情况:
a、当基本域管理实体、扩展域管理实体分别位于不同的NAT后时,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体;
b、当基本域管理实体位于NAT后,扩展域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体的IP地址和端口通知给基本域管理实体;
c、当扩展域管理实体位于NAT后,基本域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体;
4)接入管理实体以刚才的数据端口建立隧道设备,扩展域管理实体(或移动节点)和基本域管理实体以获得的地址信息也建立隧道设备,以后数据的发送接收将通过这一系列隧道进行。
5)移动节点发送数据给基本网络域主机时,在有扩展域管理实体情况下,扩展域管理实体把该数据包打包,使得该数据包在第一阶段数据IP源地址为扩展域管理实体IP地址,目的地址为接入管理实体地址,此时数据包使用隧道协商时使用的本地源端口和目的端口,按照NAT映射规则,对应的映射端口保持不变;
数据包到达接入管理实体时,数据包的源地址为扩展网络域NAT地址和端口,目的地址端口为接入管理实体的地址及相应数据端口,接入管理实体接收并处理。
6)接入管理实体接收到数据后去掉外层包头,直接路由转发,该数据要从接入管理实体利用基本域管理实体数据端口在基本网络域NAT上的地址,让数据穿越NAT透传到基本域管理实体,由于数据包在内层包头中封装了这些信息,因此接入管理实体不需要对刚才的数据包进行重构包头的存储转发。数据包此时的包头地址为目的地址为基本网络域NAT上的映射地址和端口,源地址为接入管理实体地址和数据端口。
7)基本网络域NAT接收到数据后,由于NAT上维持有相应的端口映射,因此NAT会将数据透传,此时数据包头改变,源地址为接入管理实体地址端口,目的地址为基本域管理实体地址和数据端口,数据被传送给基本域管理实体处理并转发给基本网络域主机。完成移动节点给基本网络域主机传送数据的任务。
基本网络域主机给处于扩展网络域的移动节点发送数据也类似,在基本域管理实体上把内层、外层的地址信息封装,到达接入管理实体,接入管理实体把内层数据直接路由转发给扩展网络域的NAT,扩展网络域的NAT上维护着扩展域管理实体的端口映射,数据将透传到扩展网络域的扩展域管理实体上,并由扩展域管理实体转交给移动节点,完成数据发送。
移动节点在漫游过程中,三个实体上的隧道需要维护,主要目的是在没有数据传送的时候,保持周期性的数据连接流量,避免NAT上的端口映射超时丢失,造成数据连接的中断。
参见图2,移动节点发出的访问基本网络域的数据包格式
外层IP地址:源IP地址为扩展域管理实体的IP地址,目的IP地址为接入管理实体的IP地址
外层UDP端口:源端口为扩展域管理实体上的数据端口,目的端口为接入管理实体的数据端口
内层IP地址:源IP地址为接入管理实体的IP地址,目的IP地址为基本域管理实体对应NAT的可路由地址
内层UDP端口:源端口为接入管理实体的数据端口,目的端口为基本域管理实体对应NAT映射的端口
参见图3,移动节点发出的数据包在扩展网络域NAT与接入管理实体之间时的格式
外层IP地址:源IP地址为扩展域管理实体对应NAT的IP地址,目的IP地址为接入管理实体的IP地址
外层UDP端口:源端口为扩展域管理实体对应NAT上的数据端口,目的端口为接入管理实体的数据端口
内层IP地址:源IP地址为接入管理实体的IP地址,目的IP地址为基本域管理实体对应NAT的可路由地址
内层UDP端口:源端口为接入管理实体的数据端口,目的端口为基本域管理实体对应NAT映射的端口
参见图4,移动节点发出的数据包在接入管理实体与基本网络域NAT之间时的格式如下;
IP地址:源IP地址为接入管理实体的IP地址,目的IP地址为基本域管理实体对应NAT的可路由地址
UDP端口:源端口为接入管理实体的数据端口,目的端口为基本域管理实体对应NAT映射的端口
参见图5,基本域管理实体接收到的移动节点数据包的包头格式如下:
IP地址:源IP地址为接入管理实体的IP地址,目的IP地址为基本域管理实体的私有网络地址
UDP端口:源端口为接入管理实体的数据端口,目的端口为基本域管理实体的数据端口
名词解释:
1基本域管理实体:有一个端口与移动节点所在的基本网络域相连的网络设备,为发生漫游的移动节点提供权限认证以及身份代理。
2扩展域管理实体:在移动节点的扩展网络域上的网络设备,为移动节点转发身份认证消息以及数据包。
3接入管理实体:具有可在因特网路由的IP地址的网络设备,它位于基本域管理实体与扩展域管理实体之间,对移动节点身份进行认证以及转发移动节点数据包的中继设备。
4基本网络域:移动节点漫游前所在的网络。
5扩展网络域:移动节点漫游后所到达的网络。
6移动节点:可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然保持所有正在进行的通信,并且只使用原有固定IP地址的设备。
Claims (4)
1、一种柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法,其特征在于:该方法包括以下步骤:
1)移动节点漫游到扩展网络域后,移动节点通过配置一个扩展网络域地址并发送注册请求给接入管理实体,接入管理实体转发注册请求给基本域管理实体;
2)注册成功将激发接入管理实体建立数据端口,并通知基本域管理实体和扩展域管理实体或移动节点建立数据端口,并通过此数据端口发起对接入管理实体数据端口的连接;
3)数据连接建立成功后,接入管理实体从连接中收集相关地址信息,并分别通知对方;
4)接入管理实体以刚才的数据端口建立隧道设备,扩展域管理实体或移动节点和基本域管理实体以获得的地址信息建立隧道设备;
5)移动节点发送数据包给基本网络域主机时,扩展域管理实体或移动节点把该数据包打包,使得该数据包内层源IP地址为接入管理实体IP地址,源端口号为接入管理实体的数据端口,目的地址的IP地址和端口分别为接入管理实体通知的基本域管理实体对应的NAT的可路由地址和基本域管理实体对应NAT映射的端口;外层源IP地址为扩展域管理实体或移动节点IP地址,目的地址为接入管理实体地址;打包完毕后,发送给接入管理实体;
6)接入管理实体接收到数据后去掉外层包头,直接路由转发;
7)数据被传送给基本域管理实体处理并转发给基本网络域主机。
2、根据权利要求1所述的柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法,其特征在于:所述步骤3)中,当基本域管理实体、扩展域管理实体分别位于不同的NAT后时,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体。
3、根据权利要求1所述的柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法,其特征在于:所述步骤3)中,当基本域管理实体位于NAT后,扩展域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体NAT的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体的IP地址和端口通知给基本域管理实体。
4、根据权利要求1所述的柔性IP网络技术体系中利用接入管理实体实现NAT穿越的方法,其特征在于:所述步骤3)中,扩展域管理实体位于NAT后,基本域管理实体配置有可路由的IP地址,接入管理实体把基本域管理实体的IP地址和端口通知给扩展域管理实体,同时把扩展域管理实体NAT的IP地址和端口通知给基本域管理实体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100731446A CN1260928C (zh) | 2004-09-30 | 2004-09-30 | 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100731446A CN1260928C (zh) | 2004-09-30 | 2004-09-30 | 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1588916A CN1588916A (zh) | 2005-03-02 |
| CN1260928C true CN1260928C (zh) | 2006-06-21 |
Family
ID=34604725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100731446A Expired - Fee Related CN1260928C (zh) | 2004-09-30 | 2004-09-30 | 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1260928C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| MY140789A (en) * | 2006-04-25 | 2010-01-15 | Interdigital Tech Corp | High-throughput channel operation in a mesh wireless local area network |
| CN101222412B (zh) * | 2008-01-23 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 网络地址转换穿越方法和系统 |
| CN102970230B (zh) * | 2012-12-07 | 2015-06-10 | 中国联合网络通信集团有限公司 | 数据报文转发方法及路由器 |
-
2004
- 2004-09-30 CN CNB2004100731446A patent/CN1260928C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1588916A (zh) | 2005-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101399002B1 (ko) | 가상 사설 네트워크의 실현 방법 및 시스템 | |
| KR100814988B1 (ko) | 모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법 | |
| US7920589B2 (en) | System for converting data based upon IPv4 into data based upon IPv6 to be transmitted over an IP switched network | |
| US7411967B2 (en) | Private network gateways interconnecting private networks via an access network | |
| CN102739810B (zh) | IPv4CP/SP和IPv6网络互通的方法与设备 | |
| WO2011032473A1 (zh) | 虚拟专用网络的实现方法及系统 | |
| WO2007109963A1 (fr) | Passerelle de réseau privé virtuel et système de réseau ipv6 et système de réalisation de réseau privé virtuel mobile dans un réseau hybride et procédé correspondant | |
| CN102577255A (zh) | 云计算中企业的第2层无缝站点扩展 | |
| CN101499965B (zh) | 一种基于IPSec安全关联的网络报文路由转发和地址转换方法 | |
| Bi et al. | IPv4/IPv6 transition technologies and univer6 architecture | |
| CN1848802A (zh) | 基于P2P在IPv4上实现IPv6高性能互联的方法 | |
| KR20140099598A (ko) | 모바일 vpn 서비스를 제공하는 방법 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN101030934A (zh) | 一种基于双向隧道的实现跨异构网络移动通信的方法 | |
| CN1741502A (zh) | 基于4over6的IPv6和IPv4网间互通的方法 | |
| CN1863152A (zh) | 内网用户之间传递各种报文的方法 | |
| CN1260928C (zh) | 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 | |
| CN1243437C (zh) | 一种可穿越网络地址翻译的自动隧道的方法 | |
| Cui et al. | State management in IPv4 to IPv6 transition | |
| CN1260924C (zh) | 一种在柔性ip网络技术体系中实现双层隧道的方法 | |
| CN1863171A (zh) | 移动ip网络中实现信令穿越网络地址转换设备的方法 | |
| CN1248468C (zh) | 柔性ip网络技术体系中数据中转的ip隧道方法 | |
| CN1248462C (zh) | 一种柔性ip网络技术体系中实现局域网/广域网自适应的方法 | |
| CN1571401A (zh) | 一种将IPv6孤岛接入IPv6网的方法 | |
| CN1245002C (zh) | 一种解决柔性ip网络技术体系网段冲突的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: XI'AN IWNCOMM CO., LTD. Free format text: FORMER NAME: XIDIAN JIETONG WIRELESS NETWORK COMMUNICATION CO LTD, XI'AN |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 710075 4F.C building, No. 12, No. two, hi tech Road, Shaanxi, Xi'an Patentee after: Anxi Dianjietong Wireless Network Communications Co.,Ltd. Address before: 710075 4F.C building, No. 12, No. two, hi tech Road, Shaanxi, Xi'an Patentee before: Xi'an Xidian Jietong Wireless Network Communication Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060621 Termination date: 20180930 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |