WO2014110912A1 - 访问局域网中隔离区主机的方法和装置 - Google Patents

Abstract

一种访问局域网中隔离区主机的方法，包括：配置从WAN侧所获取的公网IP地址与LAN侧的隔离区主机的私网IP地址之间的映射关系；当接收到WAN侧的客户端发送的访问请求后，根据所配置的映射关系，修改访问请求中的目的IP地址为LAN侧相应的隔离区主机的私网IP地址，将修改后的访问请求发送至所述隔离区主机；接收隔离区主机返回的回复报文，将其中包含的源IP地址修改为WAN侧的客户端的公网IP地址，并将修改后的回复报文发送至WAN侧。本发明还公开了相应的装置。釆用本发明实施例所公开的方案，在使DMZ主机安全性得以提高的同时，提高了广域网侧的IP地址的利用效率，并且为广域网侧的访问提供了较大的方便。

Description

访问局域网中隔离区主机的方法和装置

技术领域

本发明涉及到宽带网络技术领域， 特别涉及到一种访问局域网中隔离区 主机的方法和系统。

背景技术

目前在一些 SOHO办公的宽带接入场景中， 除了需要基本的上网业务外， 还需要开放 SOHO办公区中的多台设备供 WAN ( wide area network, 广域网 ) 侧访问， 而目前针对于 IPv4协议栈的情况， 当通过 WAN侧拨号时， CPE ( Customer Premise Equipment客户终端设备 )通常只能获取到一个 WAN侧 的 DMZ ( demilitarized zone, 隔离区）主机时， CPE所获取的 IP地址只能映射 到一个 DMZ主机上； 并且， 由于 CPE WAN侧本身会提供一些对外的服务， 所以需要预留 CPE WAN侧的一些端口， 因此， 就无法将所有 CPE WAN侧的 端口均映射至 DMZ区域的主机， 从而无法提高 WAN侧的 IP地址的利用效率， 为 WAN侧访问 LAN侧 DMZ主机带来了不便。

发明内容

本发明的主要目的为提供一种访问局域网中隔离区主机的方法和系统， 旨在提高广域网侧的 IP地址的利用效率， 并且能够为广域网侧的访问提供较 大的方便。

本发明提供一种访问局域网中隔离区主机的方法， 包括：

配置从 WAN侧所获取的公网 IP地址与 LAN侧的隔离区主机的私网 IP 地址之间的映射关系；

当接收到 WAN侧的客户端发送的访问请求后， 根据所配置的所述映射 关系 , 修改所述访问请求中的目的 IP地址为 LAN侧相应的隔离区主机的私 网 IP地址， 将修改后的所述访问请求发送至所述隔离区主机；

接收所述隔离区主机返回的回复报文，将其中包含的源 IP地址修改为所 述 WAN侧的客户端的公网 IP地址 ,并将修改后的所述回复 ^艮文发送至 WAN 侧。

优选地， 在执行所述配置从 WAN侧所获取的公网 IP地址与 LAN侧的 隔离区主机的私网 IP地址之间的映射关系之前 , 还包括：

配置用于存放从 WAN侧所获取的公网 IP地址的槽位信息，所述槽位信 息与所述公网 IP地址——对应。

优选地， 所述配置从 WAN侧所获取的公网 IP地址与 LAN侧的隔离区 主机的私网 IP地址之间的映射关系包括：

配置所述公网 IP地址与所述私网 IP地址的——对应的映射关系， 或配 置所述公网 IP地址及其端口与所述私网 IP地址及其端口的映射关系。

优选地， 在执行所述配置从 WAN侧所获取的公网 IP地址与 LAN侧的 隔离区主机的私网 IP地址之间的映射关系之后， 还包括：

当通过 WAN侧拨号时， 向 WAN侧的服务器发送用于表明身份的扩展 标签；

接收所述 WAN侧的服务器通过所述扩展标签所下发的多个 IP地址，将 其中的公网 IP地址填充至相应的所述槽位信息中。

优选地， 所述接收隔离区主机返回的回复 4艮文，将其中包含的源 IP地址 修改为所述公网 IP地址包括：

接收所述隔离区主机根据所述访问请求返回的回复报文， 该回复报文中 包含目的 IP地址和源 IP地址， 其中， 所述目的 IP地址为所述 WAN侧的客 户端的 IP地址， 所述源 IP地址为所述隔离区主机的私网 IP地址；

根据所配置的所述映射关系，将所述源 IP地址修改为所述 WAN侧的客 户端的公网 IP地址。 本发明还提供一种访问局域网中隔离区主机的装置， 包括：

第一配置模块， 设置为： 配置从 WAN侧所获取的公网 IP地址与 LAN 侧的隔离区主机的私网 IP地址之间的映射关系；

第一修改模块，设置为：当接收到 WAN侧的客户端发送的访问请求后， 根据所配置的所述映射关系， 修改所述访问请求中的目的 IP地址为 LAN侧 相应的隔离区主机的私网 IP地址，将修改后的所述访问请求发送至所述隔离 区主机；

第二修改模块， 设置为： 接收所述隔离区主机返回的回复报文， 将其中 包含的源 IP地址修改为所述 WAN侧的客户端的公网 IP地址， 并将修改后 的所述回复 ^艮文发送至 WAN侧。

优选地， 访问局域网中隔离区主机的装置还包括：

第二配置模块， 设置为： 配置用于存放从 WAN侧所获取的公网 IP地址 的槽位信息， 所述槽位信息与所述公网 IP地址——对应。

优选地， 所述第一配置模块设置为：

配置所述公网 IP地址与所述私网 IP地址的——对应的映射关系， 或配 置所述公网 IP地址及其端口与所述私网 IP地址及其端口的映射关系。

优选地， 访问局域网中隔离区主机的装置还包括：

发送模块， 设置为： 当通过 WAN侧拨号时， 向 WAN侧的服务器发送 用于表明身份的扩展标签；

填充模块， 设置为： 接收所述 WAN侧的服务器通过所述扩展标签所下 发的多个 IP地址， 将其中的公网 IP地址填充至相应的所述槽位信息中。

优选地， 所述第二修改模块包括：

接收单元， 设置为： 接收所述隔离区主机根据所述访问请求返回的回复 报文， 该回复报文中包含目的 IP地址和源 IP地址， 其中， 所述目的 IP地址 为所述 WAN侧的客户端的 IP地址， 所述源 IP地址为所述隔离区主机的私 网 IP地址；

修改单元， 设置为： 根据所配置的所述映射关系， 将所述源 IP地址修改 为所述 WAN侧的客户端的公网 IP地址。 本发明实施例通过配置从 WAN侧所获取的公网 IP地址与 LAN侧的隔 离区主机的私网 IP地址之间的映射关系； 当接收到 WAN侧的客户端发送的 访问请求后，根据所配置的映射关系，修改访问请求中的目的 IP地址为 LAN 侧相应的隔离区主机的私网 IP地址 ,将修改后的访问请求发送至隔离区主机; 在接收到隔离区主机返回的回复报文之后， 将其中包含的源 IP地址修改为 WAN侧的客户端的公网 IP地址 , 并将修改后的回复报文发送至 WAN侧 , 供其客户端访问。 由于 DMZ主机位于 CPE的 NAT防火墙后面， 无需配置 公网地址而是配置私网地址 , 在使 DMZ主机安全性得以提高的同时， 提高 了广域网侧的 IP地址的利用效率，并且为广域网侧的访问提供了较大的方便。 附图概述

图 1为本发明访问局域网中隔离区主机的方法一实施例的流程示意图； 图 2为本发明访问局域网中隔离区主机的方法另一实施例的流程示意图； 图 3为本发明访问局域网中隔离区主机的方法又一实施例的流程示意图； 图 4为本发明访问局域网中隔离区主机的方法中将回复报文中包含的源 IP地址^ ί 改为公网 IP地址的流程示意图；

图 5为本发明访问局域网中隔离区主机的装置一实施例的结构示意图； 图 6为本发明访问局域网中隔离区主机的装置另一实施例的结构示意图； 图 7为本发明访问局域网中隔离区主机的装置又一实施例的结构示意图； 图 8为本发明实施例访问局域网中隔离区主机的装置中第二修改模块的 结构示意图。 本发明目的的实现、 功能特点及优点将结合实施例， 参照附图做进一步 说明。 本发明的较佳实施方式

应当理解， 此处所描述的具体实施例仅仅用以解释本发明， 并不用于限 定本发明。

本发明实施例提供一种访问局域网中隔离区主机的方法， 通过客户终端 设备 CPE从 WAN侧获取多个公网 IP地址 ,并配置公网 IP地址与 LAN侧 DMZ主 机的私网 IP地址之间的映射关系， 当 WAN侧的客户端通过 CPE访问 LAN侧 DMZ主机时， 将公网 IP地址映射到相应的 DMZ主机上， 方便 WAN侧的客户 端的访问。

参照图 1 , 图 1为本发明访问局域网中隔离区主机的方法一实施例的流程 示意图。

本实施例所提供的访问局域网中隔离区主机的方法， 包括： 步骤 S10, 配置从 WAN侧所获取的公网 IP地址与 LAN侧的隔离区主 机的私网 IP地址之间的映射关系；

在 SOHO办公区域内，当 WAN侧的客户端通过 CPE访问 LAN侧的 DMZ 主机时， CPE首先通过 WAN进行拨号， 即从 WAN侧获取 IP地址， 该 IP 地址中包括基础 IP地址和公网 IP地址。 获取到公网 IP地址后， 配置其与 LAN侧的 DMZ主机的私网 IP地址之间的映射关系 , 当 WAN侧的客户端访 问某一台 DMZ主机时， 通过该映射关系即可将从 WAN侧获取的公网 IP地 址映射到该 DMZ主机上， 映射完成后， 该 DMZ主机便可开始工作。

本实施例中， 配置公网 IP地址与私网 IP地址的映射关系， 可以为配置 公网 IP地址与私网 IP地址——对应的映射关系， 也可以为配置公网 IP地址 及其端口与私网 ip地址及其端口的映射关系。

步骤 S20, 当接收到 WAN侧的客户端发送的访问请求后， 根据所配置 的映射关系 , 修改访问请求中的目的 IP地址为 LAN侧相应的隔离区主机的 私网 IP地址 , 将修改后的访问请求发送至隔离区主机；

当 WAN侧的客户端访问某一台 DMZ主机时， 向 CPE的 WAN侧的公 网 IP地址发送访问请求， 而 CPE接收到该访问请求后， 根据所配置的 CPE 的 WAN侧的公网 IP地址与 DMZ主机的公网 IP地址的映射关系 ,将访问请 求中的目的 IP地址修改为相应的 DMZ主机的私网 IP地址， 然后，将修改了 目的 IP地址的访问请求发送至 DMZ主机。

步骤 S30, 接收隔离区主机返回的回复报文， 将其中包含的源 IP地址修 改为 WAN侧的客户端的公网 IP地址， 并将爹改后的回复 4艮文发送至 WAN 侧。

当 DMZ主机接收到携带有目的 IP地址的访问请求后， 会返回回复报文至 CPE, 此时， 将该回复报文中所包含的源 IP地址修改为 WAN侧的客户端的公 网 IP地址， 然后， 将修改了源 IP地址的回复报文发送至 WAN侧， 供客户端访 问 DMZ主机。

本发明实施例， 通过配置从 WAN侧所获取的公网 IP地址与 LAN侧的 隔离区主机的私网 IP地址之间的映射关系； 当接收到 WAN侧的客户端发送 的访问请求后， 根据所配置的映射关系， 修改访问请求中的目的 IP地址为 LAN侧相应的隔离区主机的私网 IP地址， 将修改后的访问请求发送至隔离 区主机； 在接收到隔离区主机返回的回复报文之后，将其中包含的源 IP地址 爹改为 WAN侧的客户端的公网 IP地址 ,并将爹改后的回复 ^艮文发送至 WAN 侧， 供其客户端访问。 由于 DMZ主机位于 CPE的 NAT防火墙后面， 无需 配置公网地址而是配置私网地址， 在使 DMZ主机安全性得以提高的同时， 提高了广域网侧的 IP地址的利用效率，并且为广域网侧的访问提供了较大的 方便。 参照图 2 , 图 2为本发明访问局域网中隔离区主机的方法另一实施例的流 程示意图。

基于上述实施例， 在执行步骤 S10之前， 本发明访问局域网中隔离区主 机的方法还包括：

步骤 S40, 配置用于存放从 WAN侧所获取的公网 IP地址的槽位信息， 槽位信息与公网 IP地址——对应。

在配置公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关 系之前， 首先配置多个槽位信息， 所配置的槽位信息的数量与从 WAN侧动 态所获取的公网 IP地址相同， 并且为——对应， 其用于存放公网 IP地址； 本实施例中， 槽位信息也可以直接填充为公网 IP地址。

在配置公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关 系之前， 配置用于存放从 WAN侧所获取的公网 IP地址， 且与公网 IP地址 ——对应的槽位信息， 为提高广域网侧的 IP地址的利用效率提供了基础。 参照图 3 , 图 3为本发明访问局域网中隔离区主机的方法又一实施例的 流程示意图。

基于本发明访问局域网中隔离区主机的方法一实施例， 在执行步骤 S10 之后， 该方法还包括：

步骤 S50, 当通过 WAN侧拨号时， 向 WAN侧的服务器发送用于表明 身份的扩展标签；

步骤 S60, 接收 WAN侧的服务器通过扩展标签所下发的多个 IP地址， 将其中的公网 IP地址填充至相应的槽位信息中。

在配置了公网 IP地址与 LAN侧的 DMZ主机的私网 IP地址之间的映射关 系之后， 当 WAN侧的客户端需要访问 LAN侧的 DMZ主机时， CPE首先通过访 问协议建立与 WAN侧的服务器之间的连接， 即通过 WAN侧进行拨号， 本实 施例中，可以通过 DHCP协议或 PPP协议建立与 WAN侧的服务器之间的连接。

在通过 DHCP协议建立连接时 , CPE的 DHCP协议客户端向 WAN侧的服 务器发送用于表明身份的扩展标签， 宽带接入服务器解析该扩展标签后， 到 远程用户拨号认证系统进行认证，而后 DHCP服务器通过判断该 DHCP协议客 户端是否开通 SOHO业务， 决定是否需要下发多个 IP地址给 CPE, 如开通， 则 通过扩展标签下发多个 IP地址给 CPE,如未开通，则仅下发一个 IP地址给 CPE。

当通过 PPP协议建立连接时， 其自身具备认证功能， 可以直接基于用户 名到远程用户拨号认证系统进行认证， 并通过判断该 DHCP协议客户端是否 开通 SOHO业务， 决定是否需要下发多个 IP地址给 CPE, 如开通， 则通过扩展 标签下发多个 IP地址给 CPE, 如未开通， 则仅下发一个 IP地址给 CPE。

当 CPE接收到 WAN侧的服务器通过扩展标签所下发的多个 IP地址后， 将 其中的公网 IP地址填充至相应的槽位信息中。 而后， CPE将所配置的公网 IP 地址与 LAN侧的 DMZ主机的私网 IP地址之间的映射关系生效， 以供 WAN侧 的客户端访问 LAN侧的 DMZ主机。

当通过 WAN侧拨号时， 向 WAN侧的服务器发送用于表明身份的扩展 标签；并在接收到 WAN侧的服务器通过扩展标签所下发的多个 IP地址之后， 将其中的公网 IP地址填充至相应的槽位信息中， 保证了公网 IP地址与私网 IP地址之间的映射关系， 从而进一步为域网侧的访问提供了方便。 参照图 4, 图 4为本发明访问局域网中隔离区主机的方法中将回复报文 中包含的源 IP地址修改为公网 IP地址的流程示意图。

在本发明访问局域网中隔离区主机的方法一实施例中， 步骤 S30包括： 步骤 S31 , 接收隔离区主机根据访问请求返回的回复报文， 该回复报文 中包含目的 IP地址和源 IP地址， 其中， 目的 IP地址为 WAN侧的客户端的 IP地址， 源 IP地址为隔离区主机的私网 IP地址；

步骤 S32, 根据所配置的映射关系， 将源 IP地址修改为 WAN侧的客户 端的公网 IP地址。

当 CPE将修改了目的 IP地址的访问请求发送至 DMZ主机后， DMZ主 机会返回回复^艮文至 CPE, 此时 , CPE所接收到的回复^艮文中包括目的 IP 地址和源 IP地址， 其中， 目的 IP地址为 WAN侧的客户端的 IP地址， 源 IP 地址为隔离区主机的私网 IP地址。 然后， CPE根据所配置的映射关系， 将其 中的源 IP地址修改为 WAN侧的客户端的公网 IP地址。修改了源 IP地址后 , 会将修改后的回复报文发送至 WAN侧， 供其客户端进行访问。

当 CPE将修改了目的 IP地址的访问请求发送至 DMZ主机， 并接收到 DMZ主机返回的回复报文后， 根据所配置的映射关系， 将其中的源 IP地址 修改为 WAN侧的客户端的公网 IP地址，从而进一步保证了能够提高广域网 侧的 IP地址的利用效率， 并且进一步为广域网侧的访问提供了较大的方便。 本发明还提供一种访问局域网中隔离区主机的装置。

参照图 5 , 图 5为本发明访问局域网中隔离区主机的装置一实施例的结构 示意图。

本实施例所提供的访问局域网中隔离区主机的装置， 包括：

第一配置模块 10, 用于配置从 WAN侧所获取的公网 IP地址与 LAN侧 的隔离区主机的私网 IP地址之间的映射关系；

第一修改模块 20, 用于当接收到 WAN侧的客户端发送的访问请求后， 根据所配置的映射关系， 修改访问请求中的目的 IP地址为 LAN侧相应的隔 离区主机的私网 IP地址 , 将修改后的访问请求发送至隔离区主机；

第二修改模块 30, 用于接收隔离区主机返回的回复报文， 将其中包含的 源 IP地址爹改为 WAN侧的客户端的公网 IP地址， 并将爹改后的回复 ^艮文 发送至 WAN侧。

在 SOHO办公区域内，当 WAN侧的客户端通过 CPE访问 LAN侧的 DMZ 主机时， CPE首先通过 WAN进行拨号， 即从 WAN侧获取 IP地址， 该 IP 地址中包括基础 IP地址和公网 IP地址。 获取到公网 IP地址后， 通过第一配 置模块 10配置其与 LAN侧的 DMZ主机的私网 IP地址之间的映射关系， 当 WAN侧的客户端访问某一台 DMZ主机时， 通过该映射关系即可将从 WAN 侧获取的公网 IP地址映射到该 DMZ主机上， 映射完成后， 该 DMZ主机便 可开始工作。

本实施例中， 配置公网 IP地址与私网 IP地址的映射关系， 可以为配置 公网 IP地址与私网 IP地址——对应的映射关系， 也可以为配置公网 IP地址 及其端口与私网 ip地址及其端口的映射关系。

当 WAN侧的客户端访问某一台 DMZ主机时， 向 CPE的 WAN侧的公 网 IP地址发送访问请求， 而 CPE接收到该访问请求后， 第一修改模块 20根 据所配置的 CPE的 WAN侧的公网 IP地址与 DMZ主机的公网 IP地址的映 射关系，将访问请求中的目的 IP地址修改为相应的 DMZ主机的私网 IP地址， 然后， 将修改了目的 IP地址的访问请求发送至 DMZ主机。

当 DMZ主机接收到携带有目的 IP地址的访问请求后， 会返回回复报文至 CPE, 此时， 第二修改模块 30将该回复报文中所包含的源 IP地址修改为 WAN 侧的客户端的公网 IP地址， 然后， 将修改了源 IP地址的回复报文发送至 WAN 侧 , 供客户端访问 DMZ主机。

本发明实施例， 通过配置从 WAN侧所获取的公网 IP地址与 LAN侧的 隔离区主机的私网 IP地址之间的映射关系； 当接收到 WAN侧的客户端发送 的访问请求后， 根据所配置的映射关系， 修改访问请求中的目的 IP地址为 LAN侧相应的隔离区主机的私网 IP地址， 将爹改后的访问请求发送至隔离 区主机； 在接收到隔离区主机返回的回复报文之后 ,将其中包含的源 IP地址 爹改为 WAN侧的客户端的公网 IP地址 ,并将爹改后的回复 ^艮文发送至 WAN 侧， 供其客户端访问。 由于 DMZ主机位于 CPE的 NAT防火墙后面， 无需 配置公网地址而是配置私网地址， 在使 DMZ主机安全性得以提高的同时， 提高了广域网侧的 IP地址的利用效率，并且为广域网侧的访问提供了较大的 方便。 参照图 6 , 图 6为本发明访问局域网中隔离区主机的装置另一实施例的结 构示意图。

基于上述实施例， 访问局域网中隔离区主机的装置还包括：

第二配置模块 40, 用于配置用于存放从 WAN侧所获取的公网 IP地址 的槽位信息， 槽位信息与公网 IP地址——对应。

在配置公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关 系之前，首先通过第二配置模块 40配置多个槽位信息，所配置的槽位信息的 数量与从 WAN侧动态所获取的公网 IP地址相同， 并且为——对应， 其用于 存放公网 IP地址； 本实施例中， 槽位信息也可以直接填充为公网 IP地址。 在配置公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关 系之前， 配置用于存放从 WAN侧所获取的公网 IP地址， 且与公网 IP地址 ——对应的槽位信息， 为提高广域网侧的 IP地址的利用效率提供了基础。 参照图 7 , 图 7为本发明访问局域网中隔离区主机的装置又一实施例的结 构示意图。

基于本发明访问局域网中隔离区主机的装置一实施例， 访问局域网中隔 离区主机的装置还包括：

发送模块 50 , 用于当通过 WAN侧拨号时， 向 WAN侧的服务器发送用 于表明身份的扩展标签；

填充模块 60,用于接收 WAN侧的服务器通过扩展标签所下发的多个 IP 地址， 将其中的公网 IP地址填充至相应的槽位信息中。

在配置了公网 IP地址与 LAN侧的 DMZ主机的私网 IP地址之间的映射关 系之后， 当 WAN侧的客户端需要访问 LAN侧的 DMZ主机时， CPE首先通过访 问协议建立与 WAN侧的服务器之间的连接， 即通过 WAN侧进行拨号， 本实 施例中，可以通过 DHCP协议或 PPP协议建立与 WAN侧的服务器之间的连接。

在通过 DHCP协议建立连接时， CPE的 DHCP协议客户端通过发送模块 50 向 WAN侧的服务器发送用于表明身份的扩展标签，宽带接入服务器解析该扩 展标签后， 到远程用户拨号认证系统进行认证， 而后 DHCP服务器通过判断 该 DHCP协议客户端是否开通 SOHO业务， 决定是否需要下发多个 IP地址给 CPE, 如开通， 则通过扩展标签下发多个 IP地址给 CPE, 如未开通， 则仅下 发一个 IP地址给 CPE。

当通过 PPP协议建立连接时， CPE通过发送模块 50向 WAN侧的服务器发 送用于表明身份的扩展标签， 其自身具备认证功能， 可以直接基于用户名到 远程用户拨号认证系统进行认证， 并通过判断该 DHCP协议客户端是否开通 SOHO业务， 决定是否需要下发多个 IP地址给 CPE, 如开通， 则通过扩展标签 下发多个 IP地址给 CPE, 如未开通， 则仅下发一个 IP地址给 CPE。

当 CPE接收到 WAN侧的服务器通过扩展标签所下发的多个 IP地址后， 填 充模块 60将其中的公网 IP地址填充至相应的槽位信息中。 而后， CPE将所配 置的公网 IP地址与 LAN侧的 DMZ主机的私网 IP地址之间的映射关系生效， 以 供 WAN侧的客户端访问 LAN侧的 DMZ主机。

当通过 WAN侧拨号时， 向 WAN侧的服务器发送用于表明身份的扩展 标签；并在接收到 WAN侧的服务器通过扩展标签所下发的多个 IP地址之后， 将其中的公网 IP地址填充至相应的槽位信息中， 保证了公网 IP地址与私网 IP地址之间的映射关系， 从而进一步为域网侧的访问提供了方便。 参照图 8 , 图 8为本发明访问局域网中隔离区主机的装置中第二修改模块 的结构示意图。

在本发明访问局域网中隔离区主机的装置一实施例中，第二修改模块 30 包括：

接收单元 31 , 用于接收隔离区主机根据访问请求返回的回复报文， 该回 复才艮文中包含目的 IP地址和源 IP地址， 其中， 目的 IP地址为 WAN侧的客 户端的 IP地址， 源 IP地址为隔离区主机的私网 IP地址；

修改单元 32, 用于根据所配置的映射关系， 将源 IP地址修改为 WAN侧的 客户端的公网 IP地址。

当 CPE将修改了目的 IP地址的访问请求发送至 DMZ主机后， DMZ主 机会返回回复报文至 CPE, 此时， CPE通过其接收单元 31所接收到的回复 才艮文中包括目的 IP地址和源 IP地址 , 其中， 目的 IP地址为 WAN侧的客户 端的 IP地址， 源 IP地址为隔离区主机的私网 IP地址。 然后， 修改单元 32 根据所配置的映射关系，将其中的源 IP地址修改为 WAN侧的客户端的公网 IP地址。 修改了源 IP地址后， 会将修改后的回复报文发送至 WAN侧， 供其 客户端进行访问。

当 CPE将修改了目的 IP地址的访问请求发送至 DMZ主机， 并接收到 DMZ主机返回的回复 ^艮文后， 根据所配置的映射关系， 将其中的源 IP地址 修改为 WAN侧的客户端的公网 IP地址，从而进一步保证了能够提高广域网 侧的 IP地址的利用效率， 并且进一步为广域网侧的访问提供了较大的方便。 以上所述仅为本发明的优选实施例， 并非因此限制本发明的专利范围， 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换， 或直接 或间接运用在其他相关的技术领域， 均同理包括在本发明的专利保护范围。

工业实用性

本发明实施例由于 DMZ主机位于 CPE的 NAT防火墙后面， 无需配置 公网地址而是配置私网地址， 在使 DMZ主机安全性得以提高的同时， 提高 了广域网侧的 IP地址的利用效率，并且为广域网侧的访问提供了较大的方便。

Claims

权 利 要 求 书

1、 一种访问局域网中隔离区主机的方法， 包括：

配置从广域网 WAN侧所获取的公网 IP地址与局域网 LAN侧的隔离区 主机的私网 IP地址之间的映射关系；

当接收到 WAN侧的客户端发送的访问请求后， 根据所配置的所述映射 关系 , 修改所述访问请求中的目的 IP地址为 LAN侧相应的隔离区主机的私 网 IP地址， 将修改后的所述访问请求发送至所述隔离区主机；

接收所述隔离区主机返回的回复报文，将其中包含的源 IP地址修改为所 述 WAN侧的客户端的公网 IP地址，并将修改后的所述回复 ^艮文发送至 WAN 侧。

2、 根据权利要求 1所述的方法， 其中， 在执行所述配置从 WAN侧所获 取的公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关系之前, 还包括：

配置用于存放从 WAN侧所获取的公网 IP地址的槽位信息，所述槽位信 息与所述公网 IP地址——对应。

3、 根据权利要求 2所述的方法， 其中， 所述配置从 WAN侧所获取的公 网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关系包括：

配置所述公网 IP地址与所述私网 IP地址的——对应的映射关系， 或配 置所述公网 IP地址及其端口与所述私网 IP地址及其端口的映射关系。

4、 根据权利要求 3所述的方法， 其中， 在执行所述配置从 WAN侧所获 取的公网 IP地址与 LAN侧的隔离区主机的私网 IP地址之间的映射关系之后 , 还包括：

当通过 WAN侧拨号时， 向 WAN侧的服务器发送用于表明身份的扩展 标签；

接收所述 WAN侧的服务器通过所述扩展标签所下发的多个 IP地址，将 其中的公网 IP地址填充至相应的所述槽位信息中。

5、根据权利要求 1至 4中任一项所述的方法， 其中， 所述接收隔离区主 机返回的回复 ^艮文， 将其中包含的源 IP地址修改为所述公网 IP地址包括： 接收所述隔离区主机根据所述访问请求返回的回复报文， 该回复报文中 包含目的 IP地址和源 IP地址， 其中， 所述目的 IP地址为所述 WAN侧的客 户端的 IP地址， 所述源 IP地址为所述隔离区主机的私网 IP地址；

根据所配置的所述映射关系，将所述源 IP地址修改为所述 WAN侧的客 户端的公网 IP地址。

6、 一种访问局域网中隔离区主机的装置， 包括：

第一配置模块， 设置为： 配置从广域网 WAN侧所获取的公网 IP地址与 局域网 LAN侧的隔离区主机的私网 IP地址之间的映射关系；

第一修改模块，设置为：当接收到 WAN侧的客户端发送的访问请求后， 根据所配置的所述映射关系， 修改所述访问请求中的目的 IP地址为 LAN侧 相应的隔离区主机的私网 IP地址 ,将修改后的所述访问请求发送至所述隔离 区主机；

第二修改模块， 设置为： 接收所述隔离区主机返回的回复报文， 将其中 包含的源 IP地址修改为所述 WAN侧的客户端的公网 IP地址， 并将修改后 的所述回复 ^艮文发送至 WAN侧。

7、 根据权利要求 6所述的装置， 其中， 还包括：

第二配置模块， 设置为： 配置用于存放从 WAN侧所获取的公网 IP地址 的槽位信息， 所述槽位信息与所述公网 IP地址——对应。

8、 根据权利要求 7所述的装置， 其中， 所述第一配置模块设置为： 配置所述公网 IP地址与所述私网 IP地址的——对应的映射关系， 或配 置所述公网 IP地址及其端口与所述私网 IP地址及其端口的映射关系。

9、 根据权利要求 8所述的装置， 其中， 还包括：

发送模块， 设置为： 当通过 WAN侧拨号时， 向 WAN侧的服务器发送 用于表明身份的扩展标签； 填充模块， 设置为： 接收所述 WAN侧的服务器通过所述扩展标签所下 发的多个 IP地址， 将其中的公网 IP地址填充至相应的所述槽位信息中。

10、 根据权利要求 6至 9中任一项所述的装置， 其中， 所述第二修改模 块包括：

接收单元， 设置为： 接收所述隔离区主机根据所述访问请求返回的回复 报文， 该回复报文中包含目的 IP地址和源 IP地址， 其中， 所述目的 IP地址 为所述 WAN侧的客户端的 IP地址， 所述源 IP地址为所述隔离区主机的私 网 IP地址；

修改单元， 设置为： 根据所配置的所述映射关系， 将所述源 IP地址修改 为所述 WAN侧的客户端的公网 IP地址。