CN1444363A - 一种在公共场所实施以太局域网的方法 - Google Patents
一种在公共场所实施以太局域网的方法 Download PDFInfo
- Publication number
- CN1444363A CN1444363A CN 02111024 CN02111024A CN1444363A CN 1444363 A CN1444363 A CN 1444363A CN 02111024 CN02111024 CN 02111024 CN 02111024 A CN02111024 A CN 02111024A CN 1444363 A CN1444363 A CN 1444363A
- Authority
- CN
- China
- Prior art keywords
- message
- client
- address
- internet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在公共场所实施以太局域网的方法,包括(1)监听来自客户端对其缺省网关的ARP请求,然后用自己的MAC地址回答所述ARP请求,指示客户端把所有发往Internet的IP报文进行转发;(2)判断所述IP报文是否来自客户终端;(3)如果IP报文来自客户终端,网络通过地址翻译对所述IP报文进行地址转换,同时记录对应所述IP报文的返回IP报文的路由信息,转交给Linux标准IP输出到Internet;(4)如果IP报文是从Internet返回给客户端,将所述IP报文还原成客户端的地址,然后利用保存下来的路由信息将所述IP报文发送给客户端。本方法将以太插座变成和电话插座一样,可即插即用。
Description
技术领域
本发明涉及一种在公共场所通过以太网上网的方法,尤其涉及一种免预先设置、即插即用的以太局域网上网的方法。
技术背景
目前,随着Internet的迅速普及,各种宽带上网方式不断出现。ISDN,ADSL,Cable Modem等由电话电视运营商提供的宽带Internet接入方式正迅速普及到各家各户。同时,由于各种手持计算设备的大量运用,出差旅行在外的人们需要利用笔记本电脑、PDA、新一代手提式移动电话等来上网浏览、收发Email和通过VPN接入公司内部网络的数据库来交换信息。对于这些移动用户,一些公共服务场所,如宾馆、酒店、网吧、公寓、机场、车站现在都对其提供10/100M以太网插座,使得用户利用手持计算设备的以太网网卡通过这些公共服务场所的内部宽带网络来接入Internet。这种接入方式与无线接入相比,有以下优点:
1.费用低廉。有线局域网络只有一次性的布线和设备安装费用,建成后,由于不独自占用远程接入线路,用户的每一次使用费用很少。相比之下,按流量或通信时间记费的无线接入则十分昂贵。
2.宽带高速。以太网提供10兆、100兆甚至1000兆的速率,这几乎比所有号称“宽带”的无线个人接入方式快上很多倍。
3.稳定。由于以太网有着十余年的技术发展历史,运行非常稳定,不会出现突然掉线、通信中断的不稳定情况。
但由于以太网主要运行在公司企业的办公环境中,如果在宾馆、公寓、车站等人员流动性很大的情况下实施以太网,必需解决以下两个问题:用户设备网络匹配设置和安全性。
基于以太网的TCP/IP协议要求每一个终端机都配有与其路由器相匹配的IP地址,子网掩码,缺省网关,DNS服务器等等,而这些设置对于绝大多数非技术型最终用户来说都过于复杂,而且每一次更换上网地点都要重新设置这些配置,十分不方便。同时还需要有热线帮助来指导用户怎样设置这些网络参数。如果设置不正确,轻则该用户不能接入网络,严重时可能影响其他用户的网络使用(当IP地址冲突时)。
在公共场所实施以太局域网的另一个问题是安全性。由于以太局域网共享网络介质,用户可使用一些特殊软件来监听其他用户的网络通信。因此在公共场所的以太局域网中必须设置网络安全机制,禁止用户之间的通信信息窥探。
目前,在宾馆、酒店、公寓中的公用以太网一般利用有以下几种方式来简化客户端的网络配置:
(1)动态主机设置协议(Dynamic Host Configuration Protocol,简称DHCP)
DHCP在RFC 2131中标准化。DHCP通过一个服务器来集中地分配TCP/IP设置到客户端。当客户端在TCP/IP设置中启用DHCP,客户端机器重启时会发出一个DHCP广播查询报文来寻找DHCP服务器,DHCP服务器收到这个查询报文后,发出一个响应报文,然后客户端向此服务器发出TCP/IP设置请求,最后服务器给出该客户端的地址设定。
DHCP在公用以太网存在缺点,不是解决移动用户以太网上网问题的理想方法。DHCP仍然要求用户改动自己机器的配置来启动DHCP,对于那些不使用DHCP设置的用户来说仍不可能上网。DHCP并不安全,如无其他复杂的辅助手段,恶意的用户可能耗尽DHCP的IP地址池,或故意配置一些特殊设置造成IP冲突,造成网络异常。
(2)Auto ARP
在Internet讨论组中流传有一种不完整的、针对此问题的解决方案:AutoARP。Auto ARP和PROXY ARP类似,但允许客户使用超出子网范围的IP地址。按照标准协议,某个客户端使用某个IP地址/缺省网关设置时,其IP地址如不处于本地接入路由器的所属网络范围,该客户端所发出的IP报文都不会被接入路由器处理,因此不能联入Internet。Auto ARP服务器试图和ARP报文代理一样,监听来自客户端的ARP请求报文,当Auto ARP服务器发现ARP请求的源地址不属于本地网络时,这往往意味着该客户端在寻找其缺省网关,于是就用AutoARP服务器自身的MAC地址送出ARP应答,指示该客户端将相应的IP报文发送过来,然后再把这些IP报文转发到Internet上。为了让Internet的返回报文能送回到该客户端,Auto ARP就在自己的系统路由表中加入一条路由表项指向该客户端的IP地址,这样一来,从Internet返回给客户端的IP报文就可按照AutoARP服务器的系统路由表传送给客户端。由于客户端可采用私有IP地址(192.168.X.X、172.16.X.X、10.X.X.X),因此这种方案一般要结合NAT(NetworkAddress Translators:网络地址翻译)来运行。
Auto ARP存在以下一些问题:
·客户能使用的IP地址存在限制
当客户使用的IP地址和Auto ARP服务器自己的IP地址相同时,客户端就不能上网。因为,客户的IP地址的路由表项和系统路由表中已存在的关于AutoARP服务器相冲突;
·不能处理不同客户使用相同IP地址的情况
当连在Auto ARP不同网络端口的两个或多个客户端使用相同IP地址时,会造成网络异常。这些客户端会出现争夺系统路由表资源的情形,不能互不干涉的同时上网;
·存在安全漏洞
由于Auto ARP探测客户端的IP地址并更新自己的系统路由表,这给网络攻击造成可能。考虑如下情形:攻击者和被攻击者都连在Auto ARP服务器上,被攻击者将向Internet站点www.nosuchcompany.com提交一些机密数据。攻击者可以将自己的缺省网关的IP地址设置成
www.nosuchcompany.com的地址,并访问Internet,Auto ARP服务器会在系统路由表中增加一项,使得后续所有发往
www.nosuchcompany.com都转发给本地主机,这样当被攻击者访问
www.nosuchcompany.com时,其所有发送的信息都会被本地主机丢弃,从而造成对
www.nosuchcompany.com的拒绝服务攻击。Auto ARP可以禁止客户端使用某些公用Internet地址来解决这些安全问题,但也就给客户端的地址设置范围造成限制。由于目前还没有被广泛接受的完整标准和协议来解决移动用户复杂的客户端网络地址设置问题,本发明就是应这样的要求而生。
发明内容
本发明的目的是,提供一种在公共场所实施以太局域网的方法,该方法让用户可完全不用更改自己机器的TCP/IP设置,利用任何IP地址,任何缺省网关,就可以联入Internet。该方法将以太插座变成和电话插座一样,可即插即用。同时,本发明还对接入的用户起到一个防火墙保护作用,用户不能从网络上得到其他用户的网络通信信息,也不可能访问到其他用户的机器。而且还对主干以太局域网也起到防火墙的屏蔽功能,由于应用本发明使得主干以太局域网对用户来说是透明的,不可访问的,恶意用户不可能通过广播风暴,IP嗅探等常用攻击手段来攻击主干网络。
为了在公共场所通过以太局域网上网时保证安全性和简捷性,本发明采用以下方案,一种在公共场所实施以太局域网的方法,包括以下步骤:
(1)监听来自客户端对其缺省网关的ARP请求,然后用自己的MAC地址回答所述ARP请求,指示客户端把所有发往Internet的IP报文进行转发;
(2)判断所述IP报文是否来自客户终端;
(3)如果IP报文来自客户终端,网络通过地址翻译对所述IP报文进行地址转换,同时记录对应所述IP报文的返回IP报文的路由信息,转交给Linux标准IP输出到Internet;
(4)如果IP报文是从Internet返回给客户端,将所述IP报文还原成客户端的地址,然后利用保存下来的路由信息将所述IP报文发送给客户端。
附图说明
下面结合说明书附图对本发明进行较详细的说明,熟悉本领域的技术人员可以从描述中了解到本发明的结构、特征和优点。
图1给出应用本发明进行处理的示意框图;
图2给出本发明进行启动过程的流程图;
图3给出本发明实现ARP报文接收过程的流程图;
图4给出本发明实现IP报文接收过程的流程图;
图5给出本发明的一种运行方式的结构示意图;
图6给出本发明的另一种运行方式的结构示意图。
具体实施方式
请参见图1,图中描述了本发明在具体实现过程的三个功能模块:
模块1:客户IP包接收过程。从客户端接收IP包,进行NAT地址转换,记录下路由信息,转交给Linux标准IP输出;
模块2:Internet返回IP包转发过程。从Internet接收返回IP包,进行NAT地址逆映射,利用在模块1中记录的路由信息,跳过Linux IP路由处理过程,直接转交给Linux标准IP输出;
模块3:ARP应答模块。监听来自客户端的ARP请求,判断客户端是否在寻找缺省网关或Internet目标主机,如是,则用自身的MAC地址发出ARP应答,命令客户端把IP包发往特殊IP地址转换和路由记录的功能模块。
图2、3、4给出实现本发明三个过程的流程图。
这三个过程分别称为:启动过程,ARP报文接收过程和IP报文接收过程。
对一个客户主机而言,当其有一个IP包发向Internet时,首先查找本机的路由表。如果该IP包应由系统管理员定义的缺省网关转发,则该客户主机首先用ARP协议查寻缺省网关的MAC地址,然后将该IP包发往这个缺省网关,并等待接收从缺省网关发回来的返回包。
这个过程要求本发明的IP地址转换服务器具有以下处理能力:
1.首先能够监听来自客户端对其缺省网关的ARP请求,并用自己的MAC
地址做应答,命令客户主机将后续IP报文发送过来;
2.将这些IP报的源地址转换成本服务器Internet出口接口的IP地址,然后
发往Internet;
3.接收从Internet的返回IP包,利用IP追踪表查询返回路由并略过标准的
Linux路由过程,将返回IP包发送回对应的客户主机。
上述特征可以概括为特殊IP地址转换和路由的处理过程。服务器一个网络设备接口(NIC)可进入特殊IP地址转换和路由模式,从而使得对从该网络设备接口接收到的IP报文都进行特殊IP地址转换和路由处理,进行IP地址转换和路由记录。
图2是启动过程的详细流程图。
起始步骤201,首先用户将特殊IP地址转换和路由记录的功能模块运行安装到内核,然后命令内核使网络设备进入特殊IP地址转换和路由记录模式;
步骤202,进入内核模式后,调用特殊IP地址转换和路由记录模块的挂钩函数,用来将指定的网络设备接口转入特殊IP地址转换和路由记录模式;
步骤203,对网络接口是否存在且处于激活的工作状态进行判断;
如果判断结果为是,转入步骤204;
如果判断结果为否,进入步骤205,错误结束。
步骤204,处于特殊IP地址转换和路由记录模式下的网络接口只能被动的转发客户端的通信要求,而不会主动的与客户端发起通信,因此要求这个网络接口只能接收和发送报文,但对路由系统是不可见的。因此,在这个步骤中需要从系统路由表中删除关于此网络接口的路由表项;
步骤206,由于处于特殊IP地址转换和路由记录模式下的网络接口只能被动的响应客户端的ARP请求,而不会主动的对客户发出ARP请求,因此将关于此接口的ARP缓存清空;
步骤207,安装特殊IP地址转换和路由记录模块到内核,该特殊IP地址转换和路由记录模块包含了IP报文和ARP报文的预定义处理函数(见流程图3、4及其说明),当某个网络设备接口进入特殊IP地址转换和路由记录模式(网络设备接口的特殊IP地址转换和路由记录标志置1)后,特殊IP地址转换和路由记录的预定义处理函数将对此网络设备接口有效。对出入此网络设备接口的IP网络报文将使用特殊IP地址转换和路由记录功能中的的路由功能,不再使用Linux的缺省路由系统。
步骤208,成功结束。
整个启动过程过程分为两步:
第一步用户运行”insmod redip.o”,安装包含特殊IP地址转换和路由记录功能的内核模块到内核。
第二步运行redcfg调用ioctl在指定的网络设备接口上激活特殊IP地址转换和路由记录功能。
图3给出ARP报文接收处理过程的流程图。
步骤301,接收到客户发出的ARP请求报文;
步骤302,判断该ARP包的入口网络接口是否处于特殊IP地址转换和路由记录模式下;
如果不处于特殊IP地址转换和路由记录模式下,转入步骤303,按正常ARP处理方式进行处理;
如果判断结果为是,进入步骤304,判断此ARP是否在进行IP地址冲突探测(即探测源IP为0或源IP等于目的IP)。某些操作系统在启动时会发出针对自己IP地址的ARP请求,探测自己的IP地址是否和别的主机冲突,如果从别的主机收到对此ARP请求的回答,即表明IP冲突。特殊IP地址转换和路由记录模块识别到这种ARP请求(即源IP地址为0或源IP地址与目的IP地址相等)时,并不予应答;
如果对上述步骤304的判断的结果为,表明ARP在进行IP地址冲突探测,转入步骤309,结束整个ARP报文接收处理过程。
如果对步骤304的判断结果为否,表明正在处理一般的ARP请求,接着进入步骤305,用ARP的目的IP查找系统的路由表,系统的路由表一般由系统管理员定义和配置到系统中;
步骤306,在查找过程中判断是否存在到该目的IP的路由,对此ARP报文的目的IP进行路由查找的目的在于确定是否能转发随后发往该IP的IP报文。如路由表中不存在到达该IP的路由表项,则不予回应该ARP请求;
如果没有找到到该目的IP的路由,系统就不能转发该目的IP,步骤306就转入步骤309,结束整个ARP报文接收处理过程。
如果找到该目的IP的路由,表明能转发该目的IP,接着进入步骤307;
步骤307,用该ARP包的源IP更新ARP缓存,产生对应该源IP、源MAC地址和入口网络接口的ARP缓冲,记录下对应此ARP请求的客户机的MAC地址,并生成ARP缓冲条目,当后续的发往该客户机的IP返回包到达时,可利用此ARP缓冲条目中的MAC地址将这些IP包送往该客户机,而不必再进行ARP查询;
步骤308,用此处于特殊IP地址转换和路由记录模式的网络接口的MAC地址回应该ARP请求,指示客户端将后续IP报文都发送到本机。IP地址转换服务器用自己的MAC地址响应该ARP请求,从而指示该客户主机将后续的IP报文发送过来,由IP地址转换服务器进行转发处理;
步骤309,结束该接收处理过程。
图4给出IP报文接收处理过程的流程图。下面结合该流程进行详细说明。
步骤401,接收IP报文,IP地址转换器从系统的一个网络设备接口收到一个IP报文;
步骤402,判断该IP报文的入口网络设备接口是否处于特殊IP地址转换和路由记录模式;
如果IP报文的入口网络设备接口处于特殊IP地址转换和路由记录模式下,表明该报文来自客户端,转步骤403处理将其发往Internet;
如果IP报文的入口网络设备接口并非处于特殊IP地址转换和路由记录模式下,表明该报文是来自Internet的返回报文,转步骤407进行处理将其发往对应的客户端;
一般而言,IP地址转换服务器的Internet出口网络设备接口不处于特殊IP地址转换和路由记录模式,而其连接客户端的内部网络设备接口处于特殊IP地址转换和路由记录模式,这些内部网络设备接口接收客户端的IP报文,并进行地址转换后转发到Internet出口网络设备接口送往Internet,而不处于特殊IP地址转换和路由记录模式的Internet出口网络设备接口接收从Internet返回的IP报文,并将其从处于特殊IP地址转换和路由记录模式的某内部网络设备接口返回给客户端。网络设备接口的特殊IP地址转换和路由记录是判断内部、外部网络设备接口并对IP报文做相应处理的一个标志。
步骤403,利用收到的IP报文查找对应该报文的IP追踪Hash表。IP追踪Hash表是Linux 2.4内核实现防火墙的一个重要机制。每一组相关的IP报文,如一个TCP连接,一UDP报文流,一组ICMP命令及应答都和一个IP追踪表的IP_CONNTRACK结构相联系,该结构记录了这些相关的IP报文组的前后关联的状态信息,防火墙利用这些信息来进行IP报文过滤、变换等处理。本发明所述的特殊IP地址转换和路由记录技术利用IP追踪表的IP_CONNTRACK结构来记录路由信息。如果IP报文来自于处于特殊IP地址转换和路由记录模式的内部网络设备接口,则在对应的IP_CONNTRACK结构中产生新的路由信息。而如果IP报文来自于不处于特殊IP地址转换和路由记录模式的外部Internet网络设备接口,则利用对应的IP_CONNTRACK结构中记录的路由信息对这从Internet返回的IP报文做路由发给对应的客户端;
步骤404,判断此IP报文是否对应一个IP连接追踪Hash表项;
如是则转步骤406,如否则转步骤405;
步骤405,如果对应此IP报文的IP追踪表项不存在,这是一个新的IP流,则需产生一个新的IP追踪表项来记录这IP流的信息,同时产生路由信息,这路由信息将会被该IP流的返回包处理过程所使用来将返回包发向对应的客户端;
如果步骤405中对应IP报文的IP追踪表项存在,直接转入步骤406。
步骤406对来自客户端的IP报文做地址变换,查找系统路由表,并最终发往Internet并转入步骤410;
步骤407,对从Internet发来的返回IP报文,首先进行地址逆变换,然后检查对应的IP追踪Hash表项中是否含有路由信息;
如果对应的IP追踪表项中不含有路由信息,则转入步骤408,无需进行特殊IP地址转换和路由记录处理;
如果对应的IP追踪表项中含有路由信息,则转至步骤409;
步骤408,交系统标准IP报文处理过程进行路由,并转至步骤410;
步骤409,利用对应的IP追踪表项中的路由信息对此IP报文进行路由(不使用系统的标准路由过程),交输出模块发往客户端转步骤410;
步骤410,根据所得到的路由信息(IP追踪表项中的路由信息或系统标准路由表中的路由信息)指定的输出网络设备接口输出此IP包,并结束。
图5和图6给出本发明的两种运行方式。
图5中为本发明的第一种运行方式。这里的REDIP模块即上述的特殊IP地址转换和路由记录模块。作为用户以太网RJ45插座上的一个智能嵌入式模块,把接在这个RJ45插座上的客户终端的客户网络包映射到对应的IP地址,并传递到上一级交换设备。
图6给出本发明的另一种运行方式。由第一级交换机连接终端用户,每一个交换机的端口都作为一个独立的VLAN,交换机的上联端口以VLAN Trunk方式接到体现本发明功能模块的网关的内部接口上,该网关通过802.1q VLAN ID识别各个端口上的不同用户IP数据包,再做NAT和ARP响应。
由于Redice Linux 2.4.3的跨平台能力。本发明的特殊IP地址转换和路由记录过程能够运行在Intel X86,Intel StrongARM,PowerPC,Sun SPARC,ARM7,Alpha等诸多硬件平台上。可以用于微小的智能RJ45接入盒中,也可以作为多处理器的高档网关运行。
下面以Redice Linux为例解释如何构造本发明的详细过程。
本发明中的特殊IP地址转换和路由记录功能需要修改系统TCP/IP栈。根据图上述对流程图的说明,我们需要首先让某个网络设备接口进入到特殊IP地址转换和路由记录模式。因此,修改Redice Linux kernel中关于TCP/IP的网络设备接口定义in_device如下,增加一个标志redip。
同时,修改ip_conntrack定义,在ip_conntrack结构中增加两个成员redip_rth和related_redip_rth。前者记录一个IP主连接的路由信息,后者记录与此主连接相关的期望连接的路由信息。
然后,编写一个函数调用redip_fib_disable_ip将处于特殊IP地址转换和路由记录模式下的网络接口的原有路由表项删除。
可利用Linux原有的ARP Proxy机制来处理客户端对其缺省网关的ARP查询。函数redip_enable_dev_redip激活指定网络接口上的特殊IP地址转换和路由记录标志,打开PROXY ARP和IP Forwarding,并关闭该接口上的对源IP地址的验证。
这样,客户的ARP请求将被应答,并将后续的IP报文发送到这个网络接口。
当Linux 2.4的TCP/IP栈接到一个IP包时,会调用NetFilter挂钩,IP_CONNTRACK是NetFilter的一个挂钩函数,实现有状态的IP连接追踪机制。NetFilter和IP_CONNTRACK是标准Linux 2.4内核的放火墙机制的基础。当为一个IP报文创建一个新的IP_CONNTRACK,特殊IP地址转换和路由记录过程检查该报文的入口网络接口是否处于特殊IP地址转换和路由记录状态,或者该IP报文属于一个关于特殊IP地址转换和路由记录的期望连接。如是则调用redip_create_conntrack_dst。为此IP_CONNTRACK创建一返回路由表项。
当收到一个IP报文后,IP_CONNTRACK挂钩同时检查对应该报文的IP_CONNTRACK结构,如该结构包含一个REDIP路由项,且该报文的入口网络接口不处于特殊IP地址转换和路由记录模式,则利用该REDIP路由项直接对此IP报文做路由,绕过Linux的标准IP报路由过程。
这样一来,连在目标系统特殊IP地址转换和路由记录网络接口上的客户端就能利用任何IP地址访问Internet。
本发明运行于Redice Linux 2.4.3上,分为三个部分,第一个是Redice Linuxkernel patch,这个kernel patch在标准Linux内核的几个关键数据结构中加入几个控制字段,以记录特殊IP地址转换和路由记录客户端的IP设置。第二个部分是一个内核模块redip.o,该模块从Linux内核的网络包处理链中截获相应的用户IP包进行处理。第三个部分是一个用户模式配置管理程序,用以激活和关闭特殊IP地址转换和路由记录功能。特殊IP地址转换和路由记录的运作分三个部分,ARP响应,发送包处理和返回包处理。通过监听来自客户端对其缺省网关的ARP查询,然后用自己的MAC地址回答该请求,指示客户端把所有发往Internet的IP包都做转发。
本发明在Redice Linux中注册NetFilter挂钩,如发现该IP来自客户终端,需要做地址映射,则利用Linux的NAT(Network Address Translators:网络地址翻译)功能模块对该IP包做地址转换,同时记录下对应该IP包的返回IP包的路由信息,最终将次包送回Linux网络包处理链,由正常的Linux网络发送模块发送出去。对于从Internet返回给客户端的IP包则进行相反的处理,首先包该包还原成客户端的地址,然后利用先前保存下的路由信息,将该包送给客户端。于是,客户端就能利用任何IP地址、任何缺省网关设置来访问Internet,并且丝毫也意识不到网关的存在。
本发明具有以下特点:
1.允许客户端使用任何IP地址和缺省网关,无任何限制。客户端甚至能
使用REDIP网关的IP地址;
2.连在REDIP网关不同网络接口上的客户端互不干扰,不同网络接口上
的客户端甚至能使用同一个IP地址;
3.REDIP网关有很好的安全性,连在REDIP网关不同网络接口上的客
户端互不可见,客户不能窥探到其他客户的网络报文;
4.REDIP兼容于目前通行的各种基于IP的协议类型,兼容NAT,VPN,
FTP,HTTP等等。
前面提供了对较佳实施例的描述,以使本领域内的任何技术人员可使用或利用本发明。对这些实施例的各种修改对本领域内的技术人员是显而易见的,可把这里所述的总的原理应用到其他实施例而不使用创造性。因而,本发明将不限于这里所示的实施例,而应依据符合这里所揭示的原理和新特征的最宽范围。
Claims (8)
1、一种在公共场所实施以太局域网的方法,包括以下步骤:
(1)监听来自客户端对其缺省网关的ARP请求,然后用自己的MAC地址回答所述ARP请求,指示客户端把所有发往Internet的IP报文进行转发;
(2)判断所述IP报文是否来自客户终端;
(3)如果IP报文来自客户终端,网络通过地址翻译对所述IP报文进行地址转换,同时记录对应所述IP报文的返回IP报文的路由信息,转交给Linux标准IP输出到Internet;
(4)如果IP报文是从Internet返回给客户端,将所述IP报文还原成客户端的地址,然后利用保存下来的路由信息将所述IP报文发送给客户端。
2、根据权利要求1所述的一种在公共场所实施以太局域网的方法,其特征在于,
所述步骤(3)中,所述路由信息是利用系统IP追踪表来记录并获得的。
3、根据权利要求2所述的一种在公共场所实施以太局域网的方法,其特征在于,所述步骤(3)中,进一步包括判断所述收到的IP报文的对应IP追踪表是否存在。
4、根据权利要求3所述的一种在公共场所实施以太局域网的方法,其特征在于,如果所述IP报文所对应的IP追踪表存在,根据如下情况分别处理:
(1)如果所述IP报文来自于处于特殊IP地址转换和路由记录模式的内部网络设备接口,则在对应的IP_CONNTRACK结构中产生新的路由信息;
(2)如果所述IP报文来自于不处于特殊IP地址转换和路由记录模式的外部Internet网络设备接口,则利用对应的IP_CONNTRACK结构中记录的路由信息对所述从Internet返回的IP报文进行路由发给对应的客户端。
5、根据权利要求3所述的一种在公共场所实施以太局域网的方法,其特征在于,
如果所述IP报文所对应的IP追踪表不存在,产生一新的IP追踪表项记录所述IP流的信息,并产生路由信息,形成路由信息表。
6、根据权利要求5所述的一种在公共场所实施以太局域网的方法,其特征在于,
所述方法进一步包括,特殊IP地址转换和路由记录模块启动时,从路由表中删除有关处于特殊IP地址转换和路由记录模式下的网络设备接口的路由表项。
7、根据权利要求5所述的一种在公共场所实施以太局域网的方法,其特征在于,
所述方法进一步包括将所述网络设备接口的ARP缓存清空。
8、根据权利要求1所述的一种在公共场所实施以太局域网的方法,其特征在于,
所述方法中步骤(4)中,所述保存下来的路由信息是指从Internet返回的IP报文应该从哪一个网络设备接口中送出并返回给客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02111024 CN1444363A (zh) | 2002-03-13 | 2002-03-13 | 一种在公共场所实施以太局域网的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02111024 CN1444363A (zh) | 2002-03-13 | 2002-03-13 | 一种在公共场所实施以太局域网的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1444363A true CN1444363A (zh) | 2003-09-24 |
Family
ID=27811188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02111024 Pending CN1444363A (zh) | 2002-03-13 | 2002-03-13 | 一种在公共场所实施以太局域网的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1444363A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403743C (zh) * | 2003-09-29 | 2008-07-16 | 华为技术有限公司 | 一种防范假冒网际协议以太网网关的方法 |
| CN100413294C (zh) * | 2003-11-24 | 2008-08-20 | 北京航空航天大学 | 航空网关集群系统下行报文多点投递方法 |
| CN100438478C (zh) * | 2005-04-13 | 2008-11-26 | 达创科技股份有限公司 | 无线转接器以及信息传递与取得的方法 |
| US7990972B2 (en) | 2008-01-11 | 2011-08-02 | Hon Hai Precision Industry Co., Ltd. | Network communication device and a packet routing method |
| CN101262416B (zh) * | 2007-03-06 | 2012-04-25 | 华为技术有限公司 | 通信系统中用户位置隐藏的方法、系统及装置 |
| CN101248603B (zh) * | 2003-12-23 | 2012-06-20 | 摩托罗拉移动公司 | 用于从源到节点群传送业务的方法 |
| CN106230898A (zh) * | 2016-07-21 | 2016-12-14 | 网宿科技股份有限公司 | 网络系统、代理服务器及其应用的数据处理方法及系统 |
| CN113543147A (zh) * | 2021-07-16 | 2021-10-22 | 杭州迈冲科技有限公司 | 基于Android系统的以太网共享方法 |
-
2002
- 2002-03-13 CN CN 02111024 patent/CN1444363A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403743C (zh) * | 2003-09-29 | 2008-07-16 | 华为技术有限公司 | 一种防范假冒网际协议以太网网关的方法 |
| CN100413294C (zh) * | 2003-11-24 | 2008-08-20 | 北京航空航天大学 | 航空网关集群系统下行报文多点投递方法 |
| CN101248603B (zh) * | 2003-12-23 | 2012-06-20 | 摩托罗拉移动公司 | 用于从源到节点群传送业务的方法 |
| CN100438478C (zh) * | 2005-04-13 | 2008-11-26 | 达创科技股份有限公司 | 无线转接器以及信息传递与取得的方法 |
| CN101262416B (zh) * | 2007-03-06 | 2012-04-25 | 华为技术有限公司 | 通信系统中用户位置隐藏的方法、系统及装置 |
| US7990972B2 (en) | 2008-01-11 | 2011-08-02 | Hon Hai Precision Industry Co., Ltd. | Network communication device and a packet routing method |
| CN106230898A (zh) * | 2016-07-21 | 2016-12-14 | 网宿科技股份有限公司 | 网络系统、代理服务器及其应用的数据处理方法及系统 |
| CN106230898B (zh) * | 2016-07-21 | 2019-07-23 | 网宿科技股份有限公司 | 网络系统、代理服务器及其应用的数据处理方法及系统 |
| CN113543147A (zh) * | 2021-07-16 | 2021-10-22 | 杭州迈冲科技有限公司 | 基于Android系统的以太网共享方法 |
| CN113543147B (zh) * | 2021-07-16 | 2024-02-13 | 杭州迈冲科技有限公司 | 基于Android系统的以太网共享方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1232080C (zh) | 网络中节省ip地址提供内部服务器的方法 | |
| RU2357281C2 (ru) | Виртуальная сеть вещания для междоменной связи | |
| CN100581162C (zh) | 一种防止地址解析欺骗的方法 | |
| Bjorklund | A YANG data model for IP management | |
| CN101123614B (zh) | 一种处理地址解析协议报文的方法及通信装置 | |
| US20120207167A1 (en) | Method of searching for host in ipv6 network | |
| WO2009094928A1 (fr) | Procédé et équipement de transmission d'un message basé sur le protocole de tunnel de niveau 2 | |
| WO2006029217A2 (en) | Method for automatic traffic interception | |
| CN107360270B (zh) | 一种dns解析的方法及装置 | |
| CN1925452A (zh) | 数据转发系统、方法以及网络转发设备 | |
| CN101741902B (zh) | 向互联网终端提供快速访问互联网服务器的系统和方法 | |
| CN102710485A (zh) | 透明代理方法及代理服务器 | |
| CN1444363A (zh) | 一种在公共场所实施以太局域网的方法 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN106899711A (zh) | 一种基于Linux的动态域名解析模块及其黑白名单实现方法 | |
| CN102984202B (zh) | 一种穿越NAT设备实现Telnet网管的系统与方法 | |
| CN1647486A (zh) | 数据过滤器管理装置 | |
| CN1553341A (zh) | 基于客户端的网络地址分配方法 | |
| CN104579939A (zh) | 网关的保护方法和装置 | |
| CN103516820A (zh) | 基于mac地址的端口映射方法和装置 | |
| CN1968118A (zh) | 一种建立即时通信网络邻居的方法 | |
| CN106713260B (zh) | 一种用于虚拟专用拨号网中动态数据注入的方法 | |
| CN112235432B (zh) | 支持异网访问标签地址的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |