WO2010099680A1

WO2010099680A1 - 私网用户对同侧私网设备访问的实现方法及系统

Info

Publication number: WO2010099680A1
Application number: PCT/CN2009/073533
Authority: WO
Inventors: 蒋伟
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-03-06
Filing date: 2009-08-26
Publication date: 2010-09-10
Also published as: CN101483657B; CN101483657A

Abstract

FIG. 1 : 101 A GATEWAY INITIATES AND BUILDS NETWORKING ENVIRONMENT OF A PRIVATE NETWORK AND A PUBLIC NETWORK 102 THE GATEWAY CONFIGURES CONFIGURATION INFORMATION OF ACCESS RULES AND STORES IT ON ON THE GATEWAY. THE CONFIGURATION INFORMATION OF ACCESS RULES INCLUDES INFORMATION OF ENABLING THE PRIVATE NETWORK USER TO ACCESS THE PRIVATE NETWORK DEVICE AT THE SAME SIDE OF THE PRIVATE NETWORK USER THROUGH ACCESSING A PUBLIC NETWORK OF THE GATEWAY 103 THE GATEWAY CONTROLS THE PRIVATE NETWORK USER AND ENABLES THE PRIVATE NETWORK USER TO ACCESS THE PRlVATE NETWORK DEVICE AT THE SAME SIDE OF THE PRIVATE NETWOR USER ACCORDING TO THE CONFIGURATION INFORMATION OF ACCESS RULES

Description

私网用户对同侧私网设备访问的实现方法及系统

技术领域本发明涉及计算机网络通信领域的访问技术领域，尤其涉及一种网关下私网用户对同侧私网设备公网化访问的实现方法及系统。背景技术随着互联网及其应用技术的不断发展 ,人们通过互联网获得了越来越丰富的应用与月务。作为人们访问互联网的门户——网关，也得到了越来越普遍的使用。网关的出现，使得网络出现私用和公用之分，即私网和公网之分。私网位于网关的内侧，是被网关所保护的网络环境。由于私网内部的组网信息被网关屏蔽，因此这些信息是不被私网以外用户所知晓的，从而私网的网络安全性较高。而公网则相反，公网位于网关的外侧，由于公网的组网信息是开放的，因此为所有用户所知晓，从而公网的网络安全性较低。由于私网和公网的差别 , 越来越多的网络月务被安置在位于私网一侧的私网设备上，并提供给外界访问。一般的，为了解决私网网络信息的私密性问题，同时也满足私网上的网络服务设备的可访问要求 ,网络地址转换（ NAT , Network Address Translation )技术被普遍使用。 NAT技术是在网关上提供的技术，通过 NAT技术，私网用户以外用户，也可以理解为公网用户通过访问网关提供的公网性的网络地址 , 就可以映射到网关内侧私网上提供服务的特定网络服务设备，从而实现私网设备的可访问性。目前网关上提供的 NAT技术，普遍解决的组网场景包括：私网设备，网关和公网用户 , 私网设备是提供服务的网络服务设备。该组网场景下的访问需求是公网用户实现私网设备的可访问性 , 其解决方案是：公网用户通过网关提供的 NAT技术，访问网关上的公网地址、或公网地址力口服务端口，从而映射到对私网上的私网设备或该私网设备上提供的网络月务的访问。然而，以下的组网场景和需求，目前的网关产品还无法解决。组网场景包括：私网用户、私网设备，网关和公网用户，该组网场景为私网访问公网再映射到私网的组网场景。该组网场景下的访问需求是：私网用户实现对同侧私网设备的公网化访问。也就是说，位于私网上的私网用户想要访问位于同一网关内侧的相同私网设备或不同私网设备 , 以及相同私网设备或不同私网设备所提供的网络服务；而且，由于私网用户不知道该网络服务的私网地址信息、或者组网场景不允许私网用户绕开网关直接地访问私网设备，因此私网用户希望通过访问网关的公网来间接地访问到该私网设备。随着网络业务的普及和发展，这种私网访问公网再映射到私网的组网场景和访问需求将会越来越普遍，而对这种访问需求的解决，也越来越有实际意义和迫切性。发明内容有鉴于此，本发明的主要目的在于提供一种私网用户对同侧私网设备访问的实现方法及系统，用于满足私网用户实现对同侧私网设备公网化访问的需求，使位于私网的用户通过访问网关的公网的方式实现对位于同侧私网设备的访问。为达到上述目的，本发明的技术方案是这样实现的：根据本发明的一个方面，提供了一种私网用户对同侧私网设备访问的实现方法。根据本发明的私网用户对同侧私网设备访问的实现方法，包括：网关配置访问规则配置信息；访问规则配置信息包括：私网用户通过访问网关的公网来实现访问同侧私网设备的信息；网关根据访问规则配置信息，控制私网用户实现对同侧私网设备的访问。其中，上述访问规则配置信息的配置需求来源于：用户和 /或运营商。其中 , 上述网关配置访问规则配置信息具体包括：主动将访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置；或者，网关从用户和 /或运营商处，被动获取访问规则配置信息并配置；或者，网关根据网络组网情况动态生成访问规则配置信息并配置。其中，上述访问规则配置信息进一步包括：私网用户信息、公网信息和同侧私网设备信息；上述私网用户信息、公网信息、和同侧私网设备信息三者之间存在映射关系，该映射关系的表现形式为标识映射关系的所有数据结构形式，包括表或数组。其中，上述私网用户信息为唯一标识所述私网用户的信息，包括：私网用户的地址信息、或私网用户的接入设备信息；公网信息为唯一标识所述公网的公网信息，包括：公网接入地址信息、或私网用户请求访问公网来实现访问同侧私网设备的访问报文所使用的协议信息和端口信息；同侧私网设备信息为唯一标识私网设备或所述私网设备上所提供服务的信息，包括：私网设备的地址信息、或私网设备上所提供服务的相关信息。其中，上述网关根据访问规则配置信息控制私网用户实现对同侧私网设备的访问具体为：

A、网关从所述私网用户获取访问报文，提取出访问报文中的有效信息，将该有效信息与访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则执行 B; 否则，结束当前控制私网用户实现对同侧私网设备的访问；

B、网关才艮据匹配的访问规则配置信息，通过网络地址转换 NAT 机制修改访问 4艮文转发的地址信息，控制访问 4艮文先转发到所述公网，然后再由公网转发到同侧私网设备。其中，上述有效信息为唯一标识所述访问报文的信息，包括：访问报文的媒介访问控制地址信息、访问 4艮文的源地址信息 /目的地址信息、访问 4艮文的接入设备信息、访问 4艮文的动态主机配置协议中所携带配置信息的字段信息、或访问 4艮文所访问的域名信息；上述访问报文为：私网用户请求访问公网来实现访问同侧私网设备的访问 4艮文。其中，步骤 A 中，有效信息中访问 4艮文的源地址信息具体为私网用户的地址信息 , 目的地址信息为公网接入地址信息；匹配的访问规则配置信息具体包括：私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤 B具体为： Bl、路由前，通过 NAT机制，网关将访问 4艮文的目的地址信息^ ·改为私网设备的地址信息；

Β2、通过路由机制，网关确定需将访问报文转发到同侧私网设备上；

Β3、路由后且转发访问报文前，通过 NAT机制，网关将访问报文的源地址信息 4爹丈为公网接入地址信息；

B4、通过路由机制，网关将修改源地址信息和目的地址信息后的访问报文转发到同侧私网设备上。其中，访问规则配置信息进一步根据组网方式以及业务方式进行更新；更新以静态方式手动更新或者以动态方式自动更新。根据本发明的另一个方面，还提供了一种私网用户对同侧私网设备访问的实现系统。根据本发明的私网用户对同侧私网设备访问的实现系统，包括：配置单元和控制单元，其中，配置单元，用于网关配置访问规则配置信息；控制单元，用于网关根据访问规则配置信息 , 控制私网用户实现对同侧私网设备的访问。其中，上述配置单元，进一步用于主动将访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置；或者，网关从用户和 /或运营商处被动获取访问规则配置信息并配置；或者，网关根据网络组网情况动态生成访问规则配置信息并配置。本发明在网关配置并保存访问规则配置信息，该访问规则配置信息包括：私网用户通过访问网关的公网来实现访问同侧私网设备的信息。网关才艮据该访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。由于本发明基于该访问规则配置信息 , 通过网关自身提供的 NAT机制修改报文往返时的地址信息，控制私网用户的访问报文按照符合该访问规则配置信息的正确往返路径 , 通过网关自身提供的路由机制将报文先转发到公网，然后再由公网转发到私网用户同侧私网设备。其中，私网用户的访问 4艮文为：私网用户请求访问公网来实现访问同侧私网设备的访问报文。因此，采用本发明 , 根据网关上保存的访问规则配置信息 , 能控制私网用户请求实现访问同侧私网设备的 4艮文按照正确的往返路径转发及传递，满足了私网用户实现对同侧私网设备公网化访问的需求，使位于私网的用户通过访问网关的公网的方式实现对位于同侧私网设备的访问。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本发明的进一步理解 ,构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1为本发明方法的实现流程示意图；图 2为本发明所使用的组网场景一实例的组网结构示意图；图 3为本发明一方法实施例的实现流程示意图。具体实施方式功能相无述本发明实施例才艮据私网用户通过访问网关的公网来实现访问同侧私网设备的访问规则配置信息，网关控制并实现私网用户对私网用户同侧私网设备的访问。下面结合附图对技术方案的实施作进一步的详细描述。根据本发明实施例，首先提供了一种私网用户对同侧私网设备访问的实现方法。图 1是私网用户对同侧私网设备访问的实现流程图。该流程的实现具体包括以下步骤 (步骤 101 - 步骤 103 ): 步骤 101、网关初始化，并构建私网和公网的组网环境。这里，针对网关而言，该网关是私网与网关所接入外界的公网进行沟通的唯一通道，即私网侧的所有私网用户和私网设备最终都通过该网关与公网沟通。针对位于网关内侧的私网而言，网关上提供至少一个私网接入点，正常情况下可以提供多个私网接入点，通过私网接入点私网侧的私网用户和私网设备接入网关。在私网接入点设置有网关为私网用户和私网设备所提供的私网地址信息；网关可以支持私网的多个子网划分功能；网关对外屏蔽私网的组网信息。针对位于网关外侧的公网而言，网关上可以建立至少一个接入外界的公网接入点，正常情况下可以提供多个公网接入点，公网接入点上设置有至少一个公网地址信息。网关自身提供路由转发机制实现报文的路由选择和转发。网关自身还提供 NAT机制 , 可以实现报文的源地址信息与目的地址信息的地址转换功能。源地址信息可以为地址加端口格式的信息 , 目的地址信息也可以为地址力口端口格式的信息。其中， #尤私网侧的私网用户和私网设备而言，私网用户指：任何可以工作于互联网的网络设备 ,是客户端 /服务器模型中的客户端角色。私网设备指：任何可以工作于互联网的网络设备 , 是客户端 /服务器模型中的服务器角色。而且，私网用户和私网设备既可以位于同侧私网的同一子网下，又可以位于同侧私网的不同子网下。这里，所谓同侧私网指：私网用户和私网设备都是通过同一个网关与网关所接入外界的公网相互联系的。私网用户不要求或者不可以直接访问私网设备；而且私网用户知道网关的公网地址信息，即私网用户想要或者必须通过访问网关的公网地址的方式才能访问到私网设备。步骤 102、网关配置访问规则配置信息并保存在网关上；该访问规则配置信息包括：私网用户通过访问网关的公网的方式实现访问私网用户同侧私网设备的信息。这里，步骤 102中，网关配置访问规则配置信息的具体实现过程包括以下三种方式。第一种方式为：用户和 /或运营商主动^)夺访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置。第二种方式为：网关通过网络从用户和 /或运营商处被动获取访问规则配置信息并配置。第三种方式为：网关根据网络组网情况动态生成访问规则配置信息并配置。其中，第三种方式中描述的组网情况指：网关所处网络的组网情况，比如下挂的网络设备环境或网关上的路由信息等等。而网关根据网络组网情况动态生成访问规则配置信息的具体处理过程为：网关通过其自身的动态主机配置十办议 ( DHCP, Dynamic Host Configuration Protocol ) 月务，可以知道下挂用户的用户信息，下挂设备的地址信息以及这些设备所能提供月务的能力信息。继而，网关据此可以将下挂用户与下挂设备进行关联。动态的制定或者调整对应的访问规则配置信息。这里，访问规则配置信息的配置需求来源于：用户和 /或运营商。这里，访问规则配置信息进一步包括：私网用户信息、公网信息和私网设备信息；私网用户信息、公网信息、和私网设备信息这三者之间存在映射关系 , 映射关系的表现形式为标识映射关系的所有数据结构形式 , 包括表或数组。这里，私网用户信息为唯一标识所述私网用户的信息，包括：私网用户的地址信息、或私网用户的接入设备信息。公网信息为唯一标识所述公网的公网信息，包括：公网接入地址信息、或私网用户请求访问公网来实现访问同侧私网设备的访问报文所使用的协议信息和端口信息。私网设备信息为唯一标识所述私网设备或所述私网设备上所提供服务的信息，包括：私网设备的地址信息、或私网设备上所提供服务的相关信息。其中，私网设备上所提供服务的相关信息可以为该服务的协议信息和端口信息。步骤 103、网关根据该访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。步骤 103后还包括：访问规则配置信息根据组网方式以及业务方式进行更新，更新以静态方式手动更新或者以动态方式自动更新；网关才艮据更新的访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。其中，当更新采用静态方式时，可以采用人工配置方式手动更新；当更新采用动态方式时，可以基于网络环境变化的自动更新。这里，基于网络环境变化的自动更新包括：网络中设备的上线或下线所带来访问规则的添加或删除更新；网络中设备上的服务启用或终止所带来访问规则的内容更新等等。以上由步骤 101〜步骤 103构成的技术方案中，步骤 103的具体处理过程包括 (步骤 1031 -步骤 1032 ): 步骤 1031、网关从私网用户获取访问报文，提取出访问报文中的有效信息 , 将有效信息与访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则执行步骤 1032; 否则，结束当前控制私网用户实现对私网设备的访问。这里，该有效信息为唯一标识所述访问报文的信息，包括：访问 4艮文的媒介访问控制（MAC, Media Access Control )地址信息、访问 4艮文的源地址信息 /目的地址信息、访问报文的接入设备信息、访问报文的 DHCP Option 的字段信息、或访问 4艮文所访问的域名信息。其中， DHCP Option是动态主机配置协议中所携带的一组配置信息。而且，该访问 4艮文为：私网用户请求访问公网来实现访问同侧私网设备的访问报文。步骤 1032、相应于检索到匹配的访问规则配置信息，通过网关自身提供的 NAT机制修改访问报文转发的地址信息，网关控制访问报文根据检索到匹配的访问规则配置信息，先转发到公网，然后再由公网转发到私网用户同侧的私网设备。这里，步骤 1031 中，当有效信息中访问 4艮文的源地址信息具体为私网用户的地址信息 , 目的地址信息为公网接入地址信息；检索到匹配的访问规则配置信息包括：私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤 1032具体为（步骤 10321 - 步骤 10324 ): 步骤 10321、路由前，通过网关自身提供的 NAT机制，网关将访问报文的目的地址信息修改为：该匹配的访问规则配置信息中的私网设备的地址信息。步骤 10322、通过网关自身提供的路由机制，网关确定需将访问报文转发到私网设备上。步骤 10323、路由后且转发访问报文前，通过网关自身提供的 NAT机制 , 网关将访问报文的源地址信息修改为：该匹配的访问规则配置信息中的公网接入地址信息。步骤 10324、通过网关自身提供的路由机制 , 网关将修改了源地址信息和目的地址信息后的访问报文转发到私网设备上。如图 2所示为本发明所使用的组网场景的一实例的组网结构示意图，图

2中 , 包括：位于同侧私网的同一子网下的私网用户 11和私网设备 21 , 位于同侧私网的不同子网下的私网用户 12和私网设备 22, 网关 41和公网 61。公网即为互联网。而且，私网用户 11 和私网设备 21都通过私网接入点 31 接入网关 41; 私网用户 12通过私网接入点 32接入网关 41; 私网设备 22通过私网接入点 33接入网关 41。网关 41接入公网 61 , 而且网关 41上建立两个接入外界的公网接入点 , 分别以 51和 52标识。方法实施例：参考图 2所示的组网结构示意图，本方法实施例中，私网用户对同侧私网设备访问的实现流程如图 3所示，包括以下步骤 (步骤 201 - 步骤 210 ): 步骤 201、网关 41初始化，构建私网和公网 61的组网环境；这里 ,通常在私网接入点设置有网关为私网用户和私网设备所提供的私网地址信息，在公网接入点上设置有至少一个公网地址信息。则当网关 41 初始化时，网关 41启动，网关 41接入所有的私网用户和私网设备；围绕网关 41 , 网关 41在所有公网接入点上建立公网地址信息，以及在所有私网接入点上建立私网地址信息 , 从而搭建好完备的私网和公网的组网环境。步骤 202、网关 41初始化完毕，建立起完备的组网环境后，按照用户或者运营商要求，在网关 41 上配置私网用户通过访问网关的公网地址的方式从而可以访问私网设备的访问规则配置信息；这里，访问规则配置信息可以为访问规则配置表，包含多个条目。后续网关获取私网用户的访问报文后 , 检索该访问规则配置表中的各个条目 , 如果检索到匹配的条目 , 则按照条目中的内容，通过 NAT机制对访问报文的地址信息进行修改。步骤 203、私网用户 11发出访问 4艮文；这里，该访问报文用于：私网用户 11访问网关 41的公网接入点 51的公网接入地址信息进而实现访问私网设备 21。步骤 204、访问规则配置表开始工作，检测步骤 203发出的访问报文 , 通过提取访问报文中的有效信息，以便于筛选出私网用户 11请求访问公网接入点 51的公网接入地址信息进而实现访问私网设备 21的访问 4艮文；这里，该访问 4艮文指原始访问 4艮文，即刚刚进入网关的访问 4艮文。这里，该访问报文的有效信息中包括：该访问报文的源地址信息和该访问 4艮文的目的地址信息。且该访问 4艮文的源地址信息为：私网用户 11的地址信息；该访问报文的的目的地址信息为：公网接入点 51 的公网接入地址信息。步骤 205、检索访问规则配置表中的各个条目 , 并找到与该访问报文的有效信息相匹配的条目；步骤 206、根据步骤 205中所找到的匹配条目描述的访问规则配置，通过网关上的 NAT机制 , 网关对访问 4艮文的目的地址信息进行更改，且修改为匹配条目所描述的私网设备 21的服务 1的地址信息；这里需要指出的是，私网设备与私网设备所提供的服务是一对多的关系，即一个私网设备上可以提供多个服务。则如以下的表 1所示为访问规则配置表的一个示例 , 访问规则配置表包括三项内容，这三项内容存在映射关系。表 1中，由左至右，第一项内容为私网用户的地址信息；第二项内容为公网接入地址信息；第三项内容为私网设备上所提供月务的地址信息。

表 1 步骤 207、通过网关自身的路由机制，会决定该访问报文将会发往该私网设备 21 ; 步骤 208、在决定了该访问报文的路由走向之后，以及该访问真正发送之前，再次根据步骤 205中所找到的匹配条目描述的访问规则配置，通过网关上的 NAT机制 ,修改访问报文的源地址信息 , 且修改为匹配条目所描述的公网接入点 51的公网接入地址信息；步骤 209、将修改了源地址信息和目的地址信息后的访问报文，通过网关上的路由机制 , 发送到私网设备 21; 步骤 210、后续的私网用户 11与私网设备 21之间的交互 4艮文会继续依据步骤 205 中所找到的匹配条目描述的访问规则配置，以及网关上的 NAT 机制和路由机制，进行 4艮文地址更改和转发处理，从而实现私网用户 11通过访问网关 41的公网接入点 51的公网接入地址信息进而实现访问私网设备 21 上所提供服务的目的。需要指出的是，私网用户 11访问除私网设备 21以外的其他私网设备或私网设备上所提供的月务，以及私网用户 21 访问私网设备或私网设备上所提供的服务，都可以采用以上步骤 201〜步骤 210构成的技术方案所揭示的技术原理进行处理，在此不 ^故具体阐述。根据本发明的实施例，还提供了一种私网用户对同侧私网设备访问的实现系统。才艮据本发明的实施例的私网用户对同侧私网设备访问的实现系统 , 包括：配置单元和控制单元。其中，配置单元用于网关配置访问规则配置信息。控制单元与配置单元相连，控制单元用于网关根据访问规则配置信息，控制私网用户实现对私网同侧私网设备的访问。这里，配置单元，进一步用于主动将访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置。或者网关从用户和 /或运营商处被动获取访问规则配置信息并配置。或者网关才艮据网络组网情况动态生成访问规则配置信息并配置。综上所述，由于本发明实施例是基于该访问规则配置信息，通过网关自身提供的 NAT机制修改报文往返时的地址信息，控制私网用户的访问报文按照符合该访问规则配置信息的正确往返路径，通过网关自身提供的路由机制将报文先转发到公网 , 然后再由公网转发到私网用户同侧私网设备。其中，私网用户的访问 4艮文为：私网用户请求访问公网来实现访问同侧私网设备的访问报文。因此，采用本发明实施例，根据网关上保存的访问规则配置信息，能控制私网用户请求实现访问同侧私网设备的报文按照正确的往返路径转发及传递，满足了私网用户实现对同侧私网设备公网化访问的需求，使位于私网的用户通过访问网关的公网的方式实现对位于同侧私网设备的访问。以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、？丈进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种私网用户对同侧私网设备访问的实现方法，其特征在于，该方法包括：

网关配置访问规则配置信息；所述访问规则配置信息包括：私网用户通过访问所述网关的公网来实现访问同侧私网设备的信息；

网关才艮据所述访问规则配置信息 , 控制所述私网用户实现对所述同侧私网设备的访问。

2. 根据权利要求 1所述的方法，其特征在于，所述访问规则配置信息的配置需求来源于：用户和 /或运营商。

3. 根据权利要求 1所述的方法，其特征在于，所述网关配置访问规则配置信息具体包括：主动将所述访问规则配置信息以配置文件的形式下发给所述网关 , 网关解析所述配置文件 , 获取访问规则配置信息并配置；或者，

网关从用户和 /或运营商处，被动获取访问规则配置信息并配置；或者，

网关根据网络组网情况动态生成访问规则配置信息并配置。

4. 根据权利要求 1所述的方法，其特征在于，所述访问规则配置信息进一步包括：私网用户信息、公网信息和同侧私网设备信息；

所述私网用户信息、所述公网信息、和所述同侧私网设备信息三者之间存在映射关系，所述映射关系的表现形式为标识映射关系的所有数据结构形式，包括表或数组。

5. 根据权利要求 4所述的方法，其特征在于 , 所述私网用户信息为唯一标识所述私网用户的信息，包括：私网用户的地址信息、或私网用户的接入设备信息；

所述公网信息为唯一标识所述公网的公网信息，包括：公网接入地址信息、或私网用户请求访问公网来实现访问同侧私网设备的访问 •t艮文所使用的协议信息和端口信息；

所述同侧私网设备信息为唯一标识所述私网设备或所述私网设备上所提供服务的信息，包括：私网设备的地址信息、或私网设备上所提供服务的相关信息。

6. 根据权利要求 1所述的方法，其特征在于 , 所述网关根据访问规则配置信息控制私网用户实现对所述同侧私网设备的访问具体为：

A、网关从所述私网用户获取访问报文，提取出所述访问报文中的有效信息，将所述有效信息与所述访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则执行 B; 否则，结束当前控制私网用户实现对同侧私网设备的访问；

B、网关根据所述匹配的访问规则配置信息，通过网络地址转换 NAT机制修改访问报文转发的地址信息 , 控制访问报文先转发到所述公网 , 然后再由公网转发到所述同侧私网设备。

7. 根据权利要求 6所述的方法，其特征在于，所述有效信息为唯一标识所述访问报文的信息，包括：所述访问报文的媒介访问控制地址信息、访问报文的源地址信息 /目的地址信息、访问报文的接入设备信息、访问报文的动态主机配置协议中所携带配置信息的字段信息、或访问报文所访问的域名信息；

所述访问 4艮文为：私网用户请求访问公网来实现访问同侧私网设备的访问报文。

8. 根据权利要求 7所述的方法，其特征在于，步骤 A中，所述有效信息中访问 4艮文的源地址信息具体为私网用户的地址信息 , 目的地址信息为公网接入地址信息；所述匹配的访问规则配置信息具体包括：私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤 B具体为：

B 1、路由前，通过 NAT机制 , 网关将访问 4艮文的目的地址信息修改为所述私网设备的地址信息；

B2、通过路由机制，网关确定需将访问报文转发到同侧私网设备上；

B3、路由后且转发访问 4艮文前 , 通过 NAT机制 , 网关将访问艮文的源地址信息修改为所述公网接入地址信息；

B4、通过路由机制，网关将修改源地址信息和目的地址信息后的访问报文转发到同侧私网设备上。

9. 根据权利要求 1至 8中任一项所述的方法，其特征在于，所述访问规则配置信息进一步才艮据组网方式以及业务方式进行更新；所述更新以静态方式手动更新或者以动态方式自动更新。

10. 一种私网用户对同侧私网设备访问的实现系统，其特征在于，该系统包括：配置单元和控制单元；其中，

配置单元，用于网关配置访问规则配置信息；

控制单元，用于网关根据所述访问规则配置信息 , 控制私网用户实现对同侧私网设备的访问。

11. 根据权利要求 10所述的系统，其特征在于，所述配置单元，进一步用于主动将所述访问规则配置信息以配置文件的形式下发给所述网关 , 网关解析所述配置文件，获取访问规则配置信息并配置；或者，

网关从用户和 /或运营商处被动获取访问规则配置信息并配置；或者，

网关根据网络组网情况动态生成访问规则配置信息并配置。