WO2016107392A1

WO2016107392A1 - 连接实现方法、网络服务器和网关网元

Info

Publication number: WO2016107392A1
Application number: PCT/CN2015/097153
Authority: WO
Inventors: 安国春
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-12-30
Filing date: 2015-12-11
Publication date: 2016-07-07
Also published as: CN105812166A; CN105812166B

Abstract

本文公布一种连接实现方法及系统、网络服务器和网关网元、管理方法。所述连接实现方法，包括：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，网关网元的网元IP和非网元IP位于不同的网段；设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；在网络服务器上配置与非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与网关网元建立连接；将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元，以供网关网元与非网关网元建立连接。

Description

连接实现方法、网络服务器和网关网元

技术领域

本申请涉及但不限于通讯技术领域。

背景技术

采用DCN(Data Communication Network，数据通信网络)系统来为网络设备提供管理接入、管理控制信息的通信功能，从而可以在网络管理服务器中心就完成对每个设备的远程部署和管理。

一个DCN系统网络由网络管理服务器、网关网元和非网关网元及它们之间的连接线路或网络构成；其中，网络管理服务器与网关网元实现连接且互相之间可以直接访问；

网关网元与多个与之直接或者间接连接的非网关网元构成一个系统，管理域内中的网关网元与多个非网关网元互相之间可以直接访问。

DCN系统内每个设备间直接互连的物理链路上，采用PPPOE(PPP over Ethernet，以太网上的点对点)协议，建立点到点逻辑链路通道，并在直连的端口上分配不同网段IP地址，然后在这些点到点链路通道通过OSPF(Open Shortest Path First，开放式最短路径优先)路由协议计算使每个网元得到到其他网元的路由信息。DCN系统内的网关网元和非网关网元之间通过所述路由信息实现DCN报文的传输。

在相关技术中，DCN系统的工作流程包括：

图1所示的DCN组网图，图中与DCN直接连接的为网关网元，未与DCN连接的网元1、网元2为非网关网元。在相关技术一种是网元1和网元2通过非网关网元在逻辑上与网管服务器直接连接，这样直接导致网元占用公网IP数量太多，导致IP资源紧缺；并且需要在网管服务器上配置多条路由，才能达到所有网元的同时管理，此时所有的网元都是处于随时可以登录的状态中，非常不安全。

另外一种相关技术是，通过网关网元管理网元1和网元2。在网络服务器上直接配置一条静态路由即可以管理上网关网元，在通过网关网元管理非网关网元的网元1和网元2。但是此时网络服务器和网关网元连接的端口仍然参与网元直接的路由计算，即在非网关网元上仍然有到DCN和网关网元连接的路由。也没能完全使非网关网元处于安全之中。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本文提供一种连接实现方法、网络服务器和网关网元,能够解决相关技术的DCM系统中非网关网元不安全的技术问题。

一种连接实现方法，应用于DCN系统，包括：

在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；

设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

在网络服务器上配置与所述非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与所述网关网元建立连接；

将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元，以供网关网元与非网关网元建立连接。

可选地，所述设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算的步骤包括：

设置所述网关网元在接收到所述非网元IP时不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。

可选地，所述设置所述网关网元在接收到所述非网元IP时不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中的步骤包括：

对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识，所述标识用于指示所述网关网元不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。

可选地，所述对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识的步骤包括：使能所述网关网元上与所述网络服务器或者DCN网络连接的端口对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识。

可选地，所述标识包括：vlanY。

可选地，所述将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元之后，所述方法还包括：

所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接。

可选地，所述将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元的步骤中，还包括：

将所述非网关网元的网元ID发送给所述网关网元；

所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接之后，所述方法还包括：

所述网关网元根据所述非网关网元的网元ID、和所述网关网元与非网关网元之间的连接生成网络地址转换NAT表；

所述网络服务器发送管理报文给所述网关网元，所述管理报文包括:需要管理的非网关网元的网元ID和管理内容；

所述网关网元根据管理报文和所述NAT表对与所述网元ID对应的非网关网元进行管理。

一种连接实现方法，应用于DCN系统，包括：

网关网元根据自身的非网元IP和网络服务器IP，与所述网络服务器建立连接；

所述网关网元接收所述网络服务器发送的所述网关网元的非网元IP和所述非网关网元的网元IP；

可选地，在计算所述网关网元与所述非网关网元之间的路由之前，所述方法还包括：

所述网关网元在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识，所述标识用于指示所述网关网元不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。

可选地，所述网关网元在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识的步骤包括：

所述网关网元上的端口在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识，所述端口为所述网关网元上与所述网络服务器或者DCN网络连接的端口。

一种连接实现方法，应用于DCN系统，包括：

将所述网关网元的网元IP和所述非网关网元的网元IP、网元ID发送给所述网关网元；

一种管理方法，应用于DCN系统，包括：

利用如上所述的方法建立所述网关网元与非网关网元之间的连接；

所述网关网元根据所述非网关网元的网元ID、和所述网关网元与非网关网元之间的连接生成NAT表；

一种网络服务器，应用于DCN系统，包括：地址配置模块、设置模块、第一连接建立模块和发送模块；

所述地址配置模块，设置为：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；在网络服务器配置与所述非网元IP在同一个网段的网络服务器IP；

所述设置模块，设置为：设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

所述第一连接建立模块，设置为：根据网络服务器IP和所述非网元IP与所述网关网元建立连接；

所述发送模块，设置为：通过报文将所述非网关网元的网元IP发送给所述网关网元，所述报文的目的IP为所述非网元IP，以供网关网元建立与非网关网元建立连接。

一种网关网元，应用于DCN系统，包括：第二连接建立模块、接收模块和路由计算模块；

所述第二连接建立模块，设置为：与所述网络服务器建立连接，和根据路由计算模块计算的路由建立与所述非网关网元之间的连接；

所述接收模块，设置为：接收所述网络服务器发送的所述网关网元的网元IP和非网关网元的网元IP；

所述路由计算模块，设置为：根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由。

一种连接实现系统，应用于DCN系统，包括如上所述的网络服务器和如上所述的网关网元。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

本发明实施例提供了一种连接实现方法及系统、网络服务器和网关网元、管理方法；本发明实施例的连接实现方法，包括：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；在网络服务器上配置与所述非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与所述网关网元建立连接；将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元，以供网关网元建立与非网关网元建立连接；本发明实施例的方法中网关网元配置有位于不同网段的网元IP和非网元IP，同时，本发明实施例方法中设置网关网元的非网元IP不参与网关网元的路由计算，即网关网元与网络服务器或者DCN连接的端口不参与路由计算；使得网元IP只用于与非网关网元建立连接，非网元IP只用于与网络服务器建立连接；这样网关网元与网络服务器的连接、和网关网元非网关网元之间的连接不在同一个网段中，且非网关网元不存在到网络服务器或者DCN网络的路由，达到无法通过网络服务器或者DCN网络直接访问非网关网元的目的，与相关技术相比，本发明实施例的连接实现方法提高了非网关网元的安全性；另外应用本发明实施例的连接实现方法可以只占用一个公网IP，节约了公网IP资源。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为相关技术中一种DCN系统的结构示意图；

图2为本发明实施例一提供的一种连接实现方法的流程示意图；

图3为本发明实施例二提供的一种连接实现方法的流程示意图；

图4为本发明实施例三提供的一种连接实现方法的流程示意图；

图5为本发明实施例四提供的一种管理方法的流程示意图；

图6为本发明实施例四提供的一种实现网元管理的流程示意图；

图7为本发明实施例四提供的一种网关网元与非网关网元建立连接的示意图；

图8为本发明实施例五提供的一种网络服务器的结构示意图；

图9为本发明实施例五提供的一种网关网元的结构示意图；

图10为本发明实施例五提供的一种连接实现系统的结构示意图。

本发明的实施方式

下面结合附图对本发明的实施方式进行说明。

实施例一：

考虑到相关技术的DCM系统中非网关网元存在到网络服务器或者DCN的路由导致非网关网元随时处于可登录状态从而致使非网关网元不安全的技术问题，本实施例提供了一种连接实现方法，应用于DCN系统中网络服务器侧，如图2所示，包括如下步骤：

步骤201：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段。

本实施例中网关网元是：与DCN系统中网络服务器或者DCN连接的端口所在的网元，例如图1所示DCN系统中的网关网元；

本实施例中非网关网元是：在DCN系统中可以与网关网元通信又满足需要网关网元管理的网元，例如图1所示DCN系统中网元1和网元2。

本步骤可以包括：

首先在网络服务器上配置DCN系统中所有网元的网元IP；

然后设置与DCN连接或者网络服务器连接的端口为网关网元端口，设置网关网元端口所在的网元为网关网元，并且配置网关网元的非网元IP，网元IP和非网元IP位于不同的网段；(此时即配置完了网关网元的网元IP和非网元IP)

最后设置与网关网元通信又满足需要网关网元管理的网元为非网关网元 (此时即配置完了非网关网元的网元IP)。

步骤202：设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算。

相关技术中网关网元在接收到网络服务器发送的报文之后，会将报文发送给路由计算模块进行路由计算，网络服务器发给网关网元的报文一般包括：作为源IP的网络服务器的IP、作为目的IP的非网元IP和报文体，因此非网元IP会参与网关网元与非网关网元之间的路由计算。

本实施例方法为不让报文中非网元IP参与路由计算，可以在网络服务器上设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

可以设置所述网关网元在接收到所述非网元IP时不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中，例如可以设置网关网元在接收到网络服务器发送的报文之后，不将非网元IP添加到路由计算中，这样使得网关网元与网络服务器或者DCN连接的端口不参与路由计算，非网关网元就不会存在到网络服务器或者DCN的路由。

本步骤的设置可以通过标识来实现，包括：

本实施例方法可以对报文设置标识，网关网元在接收到报文之后，识别到所述标识之后就不会将该报文发送至路由计算模块进行路由计算，也就是说，网关网元在识别到该标识之后，不会将非网元IP添加到路由计算中。

本实施例中设置标识的主体可以为网络服务器或者网关网元，例如网络服务器在发送报文之前设置标识，或者网关网元在接收到报文之后设置标识。

在网络服务器上可以使能所述网关网元上与所述网络服务器或者DCN网络连接的端口对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识。

例如在网络服务器上使能网关网元与网络服务器连接的端口对接收到的报文打上vlanY标签；网关网元在内部传输该报文时，识别到该标签后就不会将该报文发送至路由计算模块进行路由计算。

步骤203：在网络服务器上配置与所述非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与所述网关网元建立连接。

为了能够使得网络服务器与网关网元相互访问，本步骤是在配置一个与网关网元的非网元IP位于同一个网段的IP，这样就可以利用这两个IP计算网络服务器与网关网元之间的路由，然后根据路由建立连接。

步骤204：将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元，以供网关网元与非网关网元建立连接。

本实施例的方法中网关网元配置有位于不同网段的网元IP和非网元IP，同时，本实施例方法中设置网关网元的非网元IP不参与网关网元的路由计算，即网关网元与网络服务器或者DCN连接的端口不参与路由计算；使得网元IP只用于与非网关网元建立连接，非网元IP只用于与网络服务器建立连接；这样网关网元与网络服务器的连接、和网关网元非网关网元之间的连接不在同一个网段中，且非网关网元不存在到网络服务器或者DCN网络的路由，达到无法通过网络服务器或者DCN网络直接访问非网关网元的目的，与相关技术相比，本实施例的连接实现方法提高了非网关网元的安全性；另外应用本发明实施例的连接实现方法可以只占用一个公网IP，节约了公网IP资源。

实施例二：

本实施例提供了一种连接实现方法，应用于DCN系统中网关网元侧，如图3所示，包括如下步骤：

步骤301：网关网元根据自身的非网元IP和网络服务器IP，与所述网络服务器建立连接。

本步骤可以包括：

网关网元在接收网络服务器根据非网元IP和其自身的IP发送请求连接报文之后，返回可以连接的报文给网络服务器；

之后网关网元接收网络服务器发送的建立连接报文，并根据该报文与网络服务器建立连接。

步骤302：所述网关网元接收所述网络服务器发送的所述网关网元的非网元IP和所述非网关网元的网元IP。

所述报文包含作为目的IP的非网元IP和作为报文内容的非网关网元的网元IP、网元ID和网管ID的对应列表。

步骤303：所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接。

当网关网元接收到非网关网元的网元IP、网元ID和网管ID的对应列表之后，根据列表中的网元IP和网关网元的IP计算与非网关网元之间的路由；然后根据计算的路由建立与非网关网元之间的连接。

在建立与非网关网元之间的连接之后，还可以根据非网关网元的网元IP、网元ID和网管ID的对应列表，和与非网关网元之间的连接生成一个NAT(Network Address Translation，网络地址转换)表。此NAT表为网络服务器与非网关网元的通信与维护提供依据。

本步骤中根据所述路由建立与所述非网关网元之间的连接的步骤包括：

所述网关网元通过所述路由给所述非网关网元发送请求连接报文；

所述网关网元接收所述非网关网元返回的可以连接的报文；

所述网关网元通过所述路由对非网关网元发起建立连接请求报文。

本实施例提供的连接方法，可以使得网关网元仅仅根据网元IP建立与非网关网元的连接，根据非网元IP建立与网络服务器的连接，由于非网元IP不参与路由计算，所以非网关网元不存在与网络服务器或者DCN的路由，用户无法通过网络服务器或者DCN直接对非网关网元进行管理，提升了非网关网元的安全性。

在网络服务器使所述网关网元上与所述网络服务器或者DCN网络连接的端口对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识时，本实施例方法，在步骤303之前，步骤301之后还包括：

本实施例方法中，根据网络服务器对于与所述网络服务器或者DCN网络连接的端口的设置，该端口可以对接收到报文设置标识，用以指示网关网元不将所述报文中的非网元IP添加到路由计算中。

例如，在网络服务器上使能网关网元时，会配置非网元IP，此非网元IP不能与网元IP在同一个网段，同时在网关网元与网络服务器连接的端口使能vlanY，这样在网关网元接收网管服务器发送的报文时，在此端口会打上vlanY的tag，应用层接受到此VLANtag的报文时，就不会将非网元IP发往路由计算模块。这样其他网元中就不会有到此端口(或者到此非网元IP)的路由。以此保证非网元IP与每个网元IP之间的隔离。以保证网元的安全。

实施例三：

本实施例提供了一种连接实现方法，应用于DCN系统中网络服务器和网关网元两侧，如图4所示，包括如下步骤：

步骤401：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段。

步骤402：设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算。

使所述网关网元上与所述网络服务器或者DCN网络连接的端口对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识，所述标识用于指示所述网关网元不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。例如使网关网元端口对接收到的报文打上vlanY的tag，这样网关网元在内部数据传输时，就不会将该报文发送给路由计算模块，即非网元IP不参与路由计算。

步骤403：在网络服务器上配置与所述非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与所述网关网元建立连接。

步骤404：将所述网关网元的网元IP和所述非网关网元的网元IP、网元ID发送给所述网关网元。

步骤405：所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接。

本实施例提供的连接方法中网关网元配置有位于不同网段的网元IP和非网元IP，同时，本实施例方法中设置网关网元的非网元IP不参与网关网元的路由计算，即网关网元与网络服务器或者DCN连接的端口不参与路由计算；使得网元IP只用于与非网关网元建立连接，非网元IP只用于与网络服务器建立连接；这样网关网元与网络服务器的连接、和网关网元非网关网元之间的连接不在同一个网段中，且非网关网元不存在到网络服务器或者DCN网络的路由，达到无法通过网络服务器或者DCN网络直接访问非网关网元的目的，与相关技术相比，本实施例的连接实现方法提高了非网关网元的安全性；另外应用本实施例的连接实现方法可以只占用一个公网IP，节约了公网IP资源，使得应用场景更加广泛。

实施例四：

本实施例提供了一种管理方法，应用于DCN系统，如图5所示，包括下步骤：

步骤501：利用实施例三所述的方法建立所述网关网元与非网关网元之间的连接；

步骤502：所述网关网元根据所述非网关网元的网元ID、和所述网关网元与非网关网元之间的连接生成NAT表；

步骤503：所述网络服务器发送管理报文给所述网关网元，所述管理报文包括:需要管理的非网关网元的网元ID和管理内容；

步骤504：所述网关网元根据管理报文和所述NAT表对与所述网元ID对应的非网关网元进行管理。

利用本实施例方法，只需在网络服务器下发需要管理的非网关网元的网元ID，即可通过网关网元对需要管理的网元进行管理。

下面介绍应用本实施例管理方法的过程，如图6所示，包括如下步骤：

步骤601：在网络服务器上创建网元，此网元包含网元IP、网元ID和网管ID，创建网元后设置与DCN连接或者网络服务器的连接的端口为网关网元端口，使网关网元端口对报文打上vlanY的tag。

在未配置网关网元时网络服务器在与网元通信时，报文在端口会打上vlanX的标签，网元间通信同样走的是vlanX，网元间路由计算时，会区分从不同端口来的vlantag，这样以便防止路由计算错误，导致网元脱管。在网络服务器上使能网关网元时，会配置非网元IP，此非网元IP不能与网元IP在同一个网段，同时在网关网元与网络服务器连接的端口使能vlanY，这样在接收到网管服务器发送的报文时，在此端口会打上vlanY的tag，应用层接受到此VLANtag的报文时，就不会将此IP发往路由计算模块。这样其他网元中就不会有到此端口(或者到此非网元IP的路由)。以此保证非网元IP与每个网元IP之间的隔离。以保证网元的安全。

步骤602：设置端口为网关网元端口后，在网络服务器上，设置此端口所在的网元为网关网元(即与DCN或者网络服务器连接的网元)；并且配置非网元IP，此非网元IP与网元IP不能在同一个网段。

步骤603：在网络服务器上设置与非网元IP在同一个网段的IP，使网络服务器与网关网元可以相互访问。

步骤604：在网络服务器上通过设置命令，将其他所有即满足可以与网关网元通信又满足需要网关网元管理的网元，设置为此网关网元的非网关网元。

步骤605：网络服务器根据步骤604的设置，给网关网元下发所有非网关网元的网元IP、网元ID和网管ID的对应列表。

步骤606：网关网元根据自身的网元IP和此列表中非网关网元的网元IP 计算路由，形成路由表，然后根据路由表建立网关网元与所有非网关网元的TCP连接。

本步骤606中根据路由表建立网关网元与所有非网关网元的TCP连接的过程如下：

首先网关网元通过路由表内的路由给非网关网元发起一个请求建立连接的报文；

然后非网关网元接收到此报文后，查询自己的路由表后返回给网关网元可以连接的报文；

最后网关网元通过路由表内的路由给非网关网元发起建立连接的报文；

此时网关网元同时在本地应用层保存此连接，并且同网元IP、网元ID和网管ID形成一个NAT表。

应用层根据此列表，此列表包含网元IP、网元ID和网管ID，应用层根据网元IP通过协议栈的路由表，来建立于所有非网关网元TCP连接，这样在应用层会形成一个列表，其中包含网元IP、网元ID、网管ID及TCP连接。此NAT表为网络服务器与非网关网元的通信与维护提供依据。

步骤607：网络服务器只需将包含网元ID的所有报文下发给网关网元即可，网关网元的应用层就可以根据此网元ID将报文正确传递给非网关网元，实现对非网关网元的管理。

整个过程中，步骤603中网络服务器是通过非网元IP管理的网关网元，并且是在VLANY中进行数据通信；步骤606中的网元IP之间的路由计算，是通过PPPOE点对点建链，并根据路由计算协议运算得来。该方案节省了大量的IP资源，并且使网元IP完全被网关网元屏蔽掉。

本实施例中步骤606中根据路由表建立网关网元与所有非网关网元的TCP连的过程可以包括，如图7所示：

首先网关网元通过路由表内的路由给非网关网元发起一个包含源IP(网关网元IP)、源端口号(随机生成例如1111)、目的IP(非网关网元IP)、目的端口号(9998)的请求建立连接的报文；

然后非网关网元接收到此报文后，查询自己的路由表后返回给网关网元一个包含源IP(非网关网元IP)、源端口号(9998)、目的IP(网关网元IP)、目的端口号(随机生成1111)的接收到请求并且可以连接的报文；

最后网关网元通过路由表内的路由给非网关网元发起一个包含源IP(网关网元IP)、源端口号(随机生成例如1111)、目的IP(非网关网元IP)、目的端口号(9998)的建立连接的报文；

通过以步骤我们可以看出，DCN或者网络服务器与网关网元系统通信的地址只有非网元IP，这样保证了IP资源的节省，同时由于非网元IP不参与路由协议的计算，这样会使网元所有IP在DCN或者网络服务器内都不可见，从而大大消除了网元的安全隐患。

实施例五：

本实施例提供了一种网络服务器80，应用于DCN系统，如图8所示，包括：地址配置模块81、设置模块82、第一连接建立模块83和发送模块84；

所述地址配置模块81，设置为：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；在网络服务器配置与所述非网元IP在同一个网段的网络服务器IP；

所述设置模块82，设置为：设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

所述第一连接建立模块83，设置为：根据网络服务器IP和所述非网元IP与所述网关网元建立连接；

所述发送模块84，设置为：通过报文将所述非网关网元的网元IP发送给所述网关网元，所述报文的目的IP为所述非网元IP，以供网关网元建立与非网关网元建立连接。

本实施例还提供了一种网关网元90，应用于DCN系统，如图9所示，包括：第二连接建立模块91、接收模块92和路由计算模块93；

所述第二连接建立模块91，设置为：根据自身的非网元IP和网络服务器IP与网络服务器建立连接，以及根据路由计算模块计算的路由建立所述网关网元与非网关网元之间的连接；

所述接收模块92，设置为：接收所述网络服务器发送的所述网关网元的网元IP和非网关网元的网元IP；

所述路由计算模块93，设置为：根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由。

本实施例还提供了一种连接建立系统，应用于DCN系统，如图10所示，包括：如上所述的网络服务器80和如上所述的网关网元90。

本实施例提供的网络服务器与网关网元相互配合，可以使网关网元配置有位于不同网段的网元IP和非网元IP，同时，本设置网关网元的非网元IP不参与网关网元的路由计算，即网关网元与网络服务器或者DCN连接的端口不参与路由计算；使得网元IP只用于与非网关网元建立连接，非网元IP只用于与网络服务器建立连接；这样网关网元与网络服务器的连接、和网关网元非网关网元之间的连接不在同一个网段中，且非网关网元不存在到网络服务器或者DCN网络的路由，达到无法通过网络服务器或者DCN网络直接访问非网关网元的目的，与相关技术相比，提高了非网关网元的安全性；另外应用本实施例的连接建立系统可以只占用一个公网IP，节约了公网IP资源，使得应用场景更加广泛。DCN或者网络服务器与网关网元系统通信的地址只有非网元IP，这样保证了IP资源的节省。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例中网关网元配置有位于不同网段的网元IP和非网元IP，同时，本发明实施例中设置网关网元的非网元IP不参与网关网元的路由计算，即网关网元与网络服务器或者DCN连接的端口不参与路由计算；使得网元IP只用于与非网关网元建立连接，非网元IP只用于与网络服务器建立连接；这样网关网元与网络服务器的连接、和网关网元非网关网元之间的连接不在同一个网段中，且非网关网元不存在到网络服务器或者DCN网络的路由，达到无法通过网络服务器或者DCN网络直接访问非网关网元的目的。通过本发明实施例提高了非网关网元的安全性；另外，应用本发明实施例可以只占用一个公网IP，节约了公网IP资源。

Claims

一种连接实现方法，应用于数据通信网络DCN系统，包括：

在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；

设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

在网络服务器上配置与所述非网元IP在同一个网段的网络服务器IP，并根据网络服务器IP和所述非网元IP与所述网关网元建立连接；

将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元，以供网关网元与非网关网元建立连接。
如权利要求1所述的方法，其中，所述设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算的步骤包括：

设置所述网关网元在接收到所述非网元IP时不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。
如权利要求2所述的方法，其中，所述设置所述网关网元在接收到所述非网元IP时不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中的步骤包括：

对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识，所述标识用于指示所述网关网元不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。
如权利要求3所述的方法，其中，所述对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识的步骤包括：

使能所述网关网元上与所述网络服务器或者DCN网络连接的端口对所述网络服务器发送给所述网关网元且包含所述非网元IP的报文设置标识。
如权利要求4所述的方法，其中，所述标识包括：vlanY。
如权利要求1所述的方法，其中，所述将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元之后，所述方法还包括：

所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接。
如权利要求6所述的方法，其中，所述将所述网关网元的网元IP和所述非网关网元的网元IP发送给所述网关网元的步骤中，还包括：

将所述非网关网元的网元ID发送给所述网关网元；

所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接之后，所述方法还包括：

所述网关网元根据所述非网关网元的网元ID、和所述网关网元与非网关网元之间的连接生成网络地址转换NAT表；

所述网络服务器发送管理报文给所述网关网元，所述管理报文包括:需要管理的非网关网元的网元ID和管理内容；

所述网关网元根据管理报文和所述NAT表对与所述网元ID对应的非网关网元进行管理。
一种连接实现方法，应用于DCN系统，包括：

网关网元根据自身的非网元IP和网络服务器IP，与所述网络服务器建立连接；

所述网关网元接收所述网络服务器发送的所述网关网元的非网元IP和所述非网关网元的网元IP；

所述网关网元根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由，并根据所述路由建立与所述非网关网元之间的连接。
如权利要求8所述的方法，其中，在计算所述网关网元与所述非网关网元之间的路由之前，所述方法还包括：

所述网关网元在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识，所述标识用于指示所述网关网元不将所述非网元IP添加到所述网关网元与非网关网元之间的路由计算中。
如权利要求9所述的方法，其中，所述网关网元在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识的步骤包括：

所述网关网元上的端口在接收到所述网络服务器发送的且包含所述非网元IP的报文时对所述报文设置标识，所述端口为所述网关网元上与所述网络服务器或者DCN网络连接的端口。
一种网络服务器，应用于DCN系统，包括：地址配置模块、设置模块、第一连接建立模块和发送模块；

所述地址配置模块，设置为：在网络服务器上配置网关网元的网元IP和非网元IP、非网关网元的网元IP，所述网关网元的网元IP和非网元IP位于不同的网段；在网络服务器配置与所述非网元IP在同一个网段的网络服务器IP；

所述设置模块，设置为：设置所述非网元IP不参与所述网关网元与非网关网元之间的路由计算；

所述第一连接建立模块，设置为：根据网络服务器IP和所述非网元IP与所述网关网元建立连接；

所述发送模块，设置为：通过报文将所述非网关网元的网元IP发送给所述网关网元，所述报文的目的IP为所述非网元IP，以供网关网元建立与非网关网元建立连接。
一种网关网元，应用于DCN系统，包括：第二连接建立模块、接收模块和路由计算模块；

所述第二连接建立模块，设置为：根据自身的非网元IP和网络服务器IP与网络服务器建立连接，以及根据路由计算模块计算的路由建立所述网关网元与非网关网元之间的连接；

所述接收模块，设置为：接收所述网络服务器发送的所述网关网元的网元IP和非网关网元的网元IP；

所述路由计算模块，设置为：根据所述非网关网元的网元IP和所述网关网元的网元IP计算所述网关网元与所述非网关网元之间的路由。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-10任一项的方法。