WO2019201043A1 - 网络通信方法、系统、设备及存储介质 - Google Patents

Abstract

本申请公开了一种网络通信方法、系统、设备及存储介质，属于网络技术领域。通过接收向目标区块链节点发送的第一数据包，获取目标区块链节点的实际网络地址；根据第一数据包以及实际网络地址，生成第二数据包，向第二网络设备的虚拟网络地址发送第二数据包，可以减轻网关设备为各个区块链节点分别生成虚拟网络地址产生的运行开销，节省了网关设备的存储空间。

Description

网络通信方法、系统、设备及存储介质

本申请要求申请日为2018年4月20日、申请号为201810362776.6、发明名称为“网络通信方法、系统、装置、设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，特别涉及一种网络通信方法、系统、设备及存储介质。

背景技术

随着网络技术的发展，人们可以基于云端自定义VPC(Virtual Private Cloud，私有网络)，在VPC中布设和管理自己的设备，例如用户可以在VPC中布设终端，服务方可以在VPC中布设区块链节点。其中，每个VPC是一个相对隔离的网络环境，为了让不同VPC之间能相互通信，会在各个VPC之间布设VPC网关，不同VPC中的设备可以通过VPC网关进行网络通信。

以终端位于VPC1，区块链系统中各个区块链节点位于VPC2为例，VPC网关会预先为VPC2中的每个区块链节点生成对应的虚拟网络地址，并存储每个区块链节点的虚拟网络地址与实际网络地址之间的映射关系。当终端要向区块链节点发送数据包时，终端会向区块链节点的虚拟网络地址发送数据包，VPC网关会接收到数据包，根据区块链节点的虚拟网络地址，查询区块链节点的虚拟网络地址与实际网络地址之间的映射关系，得到区块链节点的实际网络地址，向区块链节点的实际网络地址发送数据包，则区块链节点会接收到数据包。

发明内容

本申请实施例提供了一种网络通信方法、系统、设备及存储介质，能够解决相关技术中VPC网关耗费资源的过多的技术问题。所述技术方案如下：

一方面，提供了一种网络通信方法，应用于第一私有网络中的第一网络设备中，所述方法包括：

所述第一网络设备接收向第二私有网络中的目标区块链节点发送的第一数据包；

所述第一网络设备获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

所述第一网络设备根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；

所述第一网络设备向所述第二私有网络中的第二网络设备的虚拟网络地址，发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。

另一方面，提供了一种网络通信方法，应用于第二私有网络中的第二网络设备中，所述方法包括：

所述第二网络设备接收网关设备的第二数据包，所述第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

所述第二网络设备从所述第二数据包中获取所述实际网络地址；

所述第二网络设备向所述目标区块链节点的实际网络地址发送所述第二数据包。

另一方面，提供了一种网络通信系统，所述网络通信系统包括第一私有网络中的第一网络设备、第二私有网络中的第二网络设备以及网关设备；

所述第一网络设备，用于接收向第二私有网络中的目标区块链节点发送的第一数据包；获取所述目标区块链节点的实际网络地址，所述目标区块链节点的实际网络地址为目标区块链节点在所述第二私有网络中的内网地址；根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；向所述第二网络设备的虚拟网络地址发送所述第二数据包；

所述网关设备，用于根据所述第二网络设备的虚拟网络地址，查询虚拟网络地址与实际网络地址之间的第三映射关系，得到所述虚拟网络地址对应的实际网络地址，作为所述第二网络设备的实际网络地址；向所述第二网络设备的实际网络地址发送所述第二数据包；

所述第二网络设备，用于接收所述网关设备的第二数据包；从所述第二数据包中获取目标区块链节点的实际网络地址；根据所述实际网络地址，向所述目标区块链节点的实际网络地址发送所述第二数据包。

另一方面，提供了一种网络通信装置，应用于第一私有网络中的第一网络设备中，所述装置包括：

接收模块，用于接收向第二私有网络中的目标区块链节点发送的第一数据包；

获取模块，用于获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

生成模块，用于根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；

发送模块，用于向所述第二私有网络中的第二网络设备的虚拟网络地址发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。

另一方面，提供了一种网络通信装置，应用于第二私有网络中的第二网络设备中，所述装置包括：

接收模块，用于接收网关设备的第二数据包，所述第二数据包携带第一私有网络中终端的第一数据包以及第二私有网络中目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

获取模块，用于从所述第二数据包中获取所述实际网络地址；

发送模块，用于根据所述实际网络地址，向所述目标区块链节点发送所述第一数据包。

另一方面，提供了一种网络设备，所述网络设备包括处理器、存储器和收发器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现以下网络通信方法：所述收发器用于接收向第二私有网络中的目标区块链节点发送的第一数据包；所述处理器用于获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；所述处理器用于根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；所述收发器用于向所述第二私有网络中的第二网络设备的虚拟网络地址，发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。

另一方面，提供了一种网络设备，所述网络设备包括处理器、存储器和收发器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现以下网络通信方法： 所述收发器用于接收网关设备的第二数据包，所述第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；所述处理器用于从所述第二数据包中获取所述实际网络地址；所述收发器用于向所述目标区块链节点的实际网络地址发送所述第二数据包。

另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行下述网络通信方法：接收向第二私有网络中的目标区块链节点发送的第一数据包；获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；向所述第二私有网络中的第二网络设备的虚拟网络地址，发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。

另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行下述网络通信方法：接收网关设备的第二数据包，所述第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；从所述第二数据包中获取所述实际网络地址；向所述目标区块链节点的实际网络地址发送所述第二数据包。

本申请实施例提供的技术方案带来的有益效果至少包括：本申请实施例提供的方法、系统、设备及存储介质，第一网络设备通过在发往目标区块链节点的数据包中，添加目标区块链节点的实际网络地址，向第二网络设备的虚拟地址发送数据包，既能将数据包通过网关设备以及第二网络设备，转发至目标区块链节点，在满足第一私有网络中的终端与第二私有网络中各个区块链节点分别进行通信的需求的基础上，网关设备无需为各个区块链节点分别生成虚拟网络地址，极大地节省了网关设备的处理资源，减轻了网关设备的运行开销，节省了网关设备的存储空间，从而保证网关设备正常运行。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种网络通信方法的实施环境的示意图；

图2是本申请实施例提供的一种网络通信方法的流程图；

图3是本申请实施例提供的一种网络设备的功能示意图；

图4是本申请实施例提供的一种网络通信方法的流程图；

图5是本申请实施例提供的一种网络配置的示意图；

图6是本申请实施例提供的一种网络通信装置的结构示意图；

图7是本申请实施例提供的一种网络通信装置的结构示意图；

图8是本申请实施例提供的一种网络设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的 实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了区分描述，本申请实施例以通信过程中终端生成的数据包称为第一数据包，在第一数据包的基础上结合第二网络设备的实际网络地址生成的数据包称为第二数据包，终端所处的VPC称为第一私有网络，区块链节点所处的VPC称为第二私有网络，区块链节点的映射端口与区块链节点的实际网络地址之间的映射关系称为第一映射关系，用户标识与区块链节点之间的映射关系称为第二映射关系，第二网络设备的虚拟网络地址与实际网络地址之间的映射关系称为第三映射关系为例进行描述。

需要说明的是，术语“第一”、“第二”、“第三”仅用于区分描述不同的数据包、不同的私有网络以及不同的映射关系，而不能理解为指示或暗示顺序关系、相对重要性或者隐含指明所指示的技术特征的数量。

为了便于理解，首先对本申请实施例涉及的技术术语“VPC”与“区块链”进行解释：

VPC：是一种能够按需定制的网络环境，在VPC中，用户可以自由划分网段、制定路由策略。VPC可以为云上的私有网络。

同一个VPC内的不同设备可以进行内网通信。具体来说，在一种可能的实施例中，同一个VPC的不同设备进行内网通信的实现方式可以为：对于任一个VPC来说，该VPC可以具有至少一个内网网段，该VPC中的每个设备可以具有内网网段中的一个内网互联网协议地址(英语：Internet Protocol Address，IP)，该VPC中的任两个设备之间可以通过彼此的内网IP进行通信，例如，设备A可以通过设备A的内网IP1与设备B的内网IP2进行通信。在一种可能的实现中，可以在VPC中部署网络设备，该网络设备可以是路由器或交换机，交换机可以基于数据链路层协议，转发同一VPC中同一子网中不同设备之间的数据包；路由器可以基于网络层协议，转发同一VPC中不同子网中设备之间的数据包。

VPC是一个隔离的网络环境。具体来说，不同VPC之间、VPC与以太网(英文：Internet)之间、VPC与VPC以外的其他私有网络之间无法直接进行通信。具体来说，在一种可能的实施例中，对于任意VPC中的任意设备来说，该设备的数据包要通过网关设备的转发，以发送至该VPC以外的其他VPC、以太网或VPC以外的其他私有网络；同理地，对于该VPC以外的其他VPC、以太网或VPC以外的其他私有网络来说，这些网络中任意设备的数据包要通过网关设备的转发，以发送至该VPC的该设备，如此可以实现租户隔离的功能，保证用户数据的安全性。

区块链：是一种去中心化的分布式数据库，是基于对等网络(英文全称：Peer to Peer，英文简称：P2P)网络传输、共识机制、加密算法等技术的新型应用模式。区块链通过链式数据结构对数据进行存储和验证，通过加密算法来保证数据传输和查询的安全，通过智能合约来操作数据。其中，该智能合约是指根据特定条件自动执行的合约程序，是利用区块链实现业务逻辑的重要途径。

图1是本申请实施例提供的一种网络通信方法的实施环境的示意图，该实施环境包括：多个终端101、第一网络设备102、网关设备103、第二网络设备104、以及多个区块链节点105。

多个终端101和第一网络设备102位于第一私有网络内部。每个终端101可以通过第一网络设备102与位于第一私有网络外部的设备进行通信。

具体来说，在一个可能的实施例中，当终端101要向第一私有网络外部的设备发送数据 包时，终端101可以向第一网络设备102发送数据包，第一网络设备102可以接收数据包，将数据包转发至第一私有网络外部的设备。同理地，当第一私有网络外部的设备要向终端101发送数据包时，第一私有网络外部的设备可以向第一网络设备102发送数据包，第一网络设备102可以接收数据包，将数据包转发至终端101。

多个区块链节点105和第二网络设备104处于第二私有网络中，每个区块链节点105可以通过第二网络设备104与位于第二私有网络外部的设备进行通信。

具体来说，在一个可能的实施例中，当区块链节点105要向第二私有网络外部的设备发送数据包时，区块链节点105可以向第二网络设备104发送数据包，第二网络设备104可以接收数据包，将数据包转发至第二私有网络外部的设备。同理地，当第二私有网络外部的设备要向区块链节点105发送数据包时，第二私有网络外部的设备可以向第二网络设备104发送数据包，第二网络设备104可以接收数据包，将数据包转发至区块链节点105。

第一网络设备102与第二网络设备104之间可以通过网关设备103进行通信，从而实现第一私有网络与第二私有网络之间的信息交互。

第一网络设备102、第二网络设备104和网关设备103均可以为路由器、交换机、网关设备、防火墙设备、服务器等，终端101可以为个人电脑、手机、负载均衡器等，区块链节点可以为服务器、个人电脑、笔记本电脑或其它具有计算能力的电子设备。需要说明的是，上述实施环境中的每个设备可以为物理上的实体设备，也可以为逻辑上的虚拟设备，例如可以为虚拟机或容器，例如为云平台的一个虚拟组成，本实施例对此不做限定。

为使本申请的优点更加清楚明白，以下结合一个示例性应用场景进行阐述：

以终端位于VPC1，目标区块链节点位于VPC2为例，终端具有跨越自身所处的VPC1，向VPC2中的目标区块链节点传输数据包的需求。例如，用户通过操作终端产生了一笔交易，终端根据这笔交易的金额、账户等生成了账本数据，希望将账本数据传输给区块链节点，以便目标区块链节点在区块链中记录账本数据。为此，终端生成了数据包，在数据包的包体中携带了账本数据，要向区块链节点发送该数据包，以便区块链节点从数据包中得到账本数据。

而由于VPC1与VPC2之间相互隔离，VPC1的终端无法通过该终端在VPC1中的内网IP，直接将数据包发送给VPC2的目标区块链节点，需要在VPC1与VPC2之间布设网关设备，网关设备用于打通VPC1与VPC2之间的通信通道，将数据包从VPC1传输至VPC2。

相关技术中，针对每个用户，网关设备要为该用户关联的每个区块链节点生成每个区块链节点对应的虚拟网络地址，例如为每个区块链节点分配一个虚拟IP地址和虚拟端口号，而不同区块链节点对应的虚拟网络地址会不同，以便通过不同的虚拟网络地址，来区分不同的区块链节点。因此，每当区块链系统中新增一个用户，VPC网关要为大量的区块链节点生成大量的虚拟网络地址，同时每当用户新关联了一个或多个区块链节点，VPC网关也要为新关联的每个区块链节点分别生成对应的虚拟网络地址。

然而，VPC网关作为云平台的一个基础组成，其处理资源和存储空间都是有限的，不便于包含过于复杂的业务逻辑，让VPC网关生成和存储海量的虚拟网络地址，会对VPC网关的正常运行产生巨大的挑战。由于一个VPC网关能够生成的虚拟网络地址的总数量是有限的，而虚拟网络地址的数量会影响到通信系统能容纳的区块链节点的数量，因此这种方式对通信系统能容纳的区块链节点的数量形成了限制。

而应用本申请实施例提供的网络通信方法以及系统，可以在VPC1中布设第一网络设备，在VPC2中布设第二网络设备，网关设备为第二网络设备生成虚拟网络地址，存储虚拟网络 地址以及实际网络地址之间的映射关系，即可实现数据包的转发功能，而无需为各个区块链节点分别生成虚拟网络地址，更无需为各个区块链节点分别存储虚拟网络地址和实际网络地址之间的映射关系。

具体地，VPC1中的终端要向VPC2中的各个区块链节点发送数据包时，均可以将数据包发送给第一网络设备，第一网络设备可以在数据包中添加对应区块链节点的实际网络地址，将添加了实际网络地址的数据包发送给第二网络设备的虚拟网络地址，网关设备能够根据第二网络设备的虚拟网络地址，接收到数据包，查询虚拟网络地址和实际网络地址之间的映射关系，得到第二网络设备的实际网络地址，根据该第二网络设备的实际网络地址，将发往各个区块链节点的数据包转发给第二网络设备，第二网络设备能够接收到第二私有网络中每个区块链节点的数据包，能够根据每个数据包中的实际网络地址，将每个数据包分别发送给对应的区块链节点。

如此，将多个终端与多个区块链节点之间的多点通信，转化为第一网络设备与第二网络设备之间的点对点通信。在满足VPC1中的各个终端与VPC2中的各个区块链节点之间进行通信的需求的基础上，极大地节省了网关设备的处理资源，减轻了网关设备的运行开销，节省了网关设备的存储空间，从而保证网关设备正常运行。进一步地，由于摆脱了网关设备资源有限的限制，提高了区块链系统能够服务的用户总数量，使得区块链系统在云端可以同时支撑大量用户的访问，每个用户可以在云端的区块链平台开发自己的基于区块链的应用。

图2是本申请实施例提供的一种网络通信方法的流程图，该方法的执行主体包括终端、第一网络设备、第二网络设备、网关设备以及目标区块链节点，参见图2，该方法包括：

201、第一私有网络中的终端向第一网络设备发送第一数据包。

当第一私有网络中的终端要向第二私有网络中的目标区块链节点传输数据时，终端可以生成第一数据包，向第一网络设备发送第一数据包，以便将第一数据包通过第一网络设备传输至目标区块链节点。其中，第一数据包的源设备为终端，第一数据包的目的设备为第二私有网络中的目标区块链节点。

具体来说，第一数据包的源互联网协议地址(英语全称：internet protocol，英语简称：IP)地址和源端口号可以是终端的IP地址和端口号，第一数据包的目的IP地址和目的端口号可以是目标区块链节点的IP地址和端口号。

在一个示例性场景中，当终端完成了交易事件，例如终端与经营实体进行了转账、产品交付、信息互通等过程后，终端可以生成第一数据包，该第一数据包包括交易数据，该交易数据可以包括交易事件的交易双方的标识、交易金额、交易时间中的至少一项。终端可以向第一网络设备发送第一数据包，以便目标区块链节点接收到根据第一数据包生成的第二数据包后，可以从第二数据包中获取交易数据，通过区块链记录该交易数据，例如，目标区块链节点可以根据交易数据生成区块，当第二私有网络中的至少一个区块链节点对该区块共识通过时，将该区块添加至区块链上。

在一种可能的设计中，发送第一数据包的过程可以采用端口映射(英语：port mapping)的方式实现。具体来说，可以预先将区块链系统中的至少一个区块链节点映射为第一网络设备中的至少一个映射端口，每个区块链节点和每个映射端口一一对应，通过不同的映射端口能够区分不同的区块链节点，终端可以根据目标区块链节点对应的映射端口以及第一网络设备的网络地址，生成第一数据包，向第一网络设备发送第一数据包。

结合端口映射的方式，针对第一数据包的传输性质，第一数据包的目的端口可以为目标 区块链节点对应的映射端口，以便第一数据包通过它的目的端口，能够标识它要重定向至目标区块链节点。另外，第一数据包的目的地址可以为第一网络设备的网络地址，以便第一数据包通过它的目的地址，能够传输至第一网络设备。

在一种可能的实现中，第一数据包可以通过包头指示目的端口以及目的地址，例如包头可以携带目的端口号以及目的IP地址，通过目的端口号指示目的端口，通过目的IP地址指示目的地址，则第一数据包的包头中的目的端口号可以为目标区块链节点对应的映射端口的映射端口号，目的IP地址可以为第一网络设备的网络地址。另外，第一数据包的包头中的源IP地址可以为终端的IP地址，源端口号可以为终端的端口号，通过源IP地址和源端口号可以指示第一数据包来自于终端。

通过端口映射的方式，终端通过在每个数据包中携带数据包待发送至的区块链节点的映射端口号，即可通过不同的映射端口号，来区分待发送至不同区块链节点的数据包，从而将每个数据包发送至对应的区块链节点，最终满足向各个区块链节点分别发送数据包的需求。

202、第一网络设备接收终端的第一数据包。

第一网络设备具有转发数据包的功能，可以接收到终端发送的第一数据包，将第一数据包转发给目标区块链节点。关于第一网络设备接收第一数据包的过程，可选地，第一网络设备可以预先开启目标区块链节点对应的映射端口，监听目标区块链节点对应的映射端口，在监听目标区块链节点对应的映射端口的过程中，接收第一数据包。

关于监听目标区块链节点对应的映射端口的具体实现方式，当第一网络设备接收到任一数据包时，第一网络设备可以确定该数据包的目的端口，判断该数据包的目的端口是否为目标区块链节点对应的映射端口，若数据包的目的端口为目标区块链节点对应的映射端口，则确定接收到了待发送给目标区块链节点的第一数据包，则后续会执行根据第一数据包生成第二数据包的处理逻辑，而若数据包的目的端口不是区块链节点对应的映射端口，则可以执行其他处理逻辑，例如将数据包转发给其他设备。

具体来说，关于第一网络设备确定数据包的目的端口的过程，第一网络设备可以解析数据包的包头，得到数据包的包头中携带的目的端口号，将该目的端口号对应的端口确定为数据包的目的端口。关于判断数据包的目的端口是否为区块链节点对应的映射端口的过程，第一网络设备可以存储映射端口信息，该映射端口信息包括当前监听的每个区块链节点对应的映射端口的映射端口号，第一网络设备可以判断数据包的目的端口号是否属于映射端口信息，当目的端口号属于该映射端口信息时，确定数据包的目的端口为区块链节点对应的映射端口。

可选地，第一网络设备可以监听区块链系统中每个区块链节点对应的每个映射端口，不同的区块链节点可以对应不同的映射端口，如此，第一网络设备能够根据各个第一数据包对应的映射端口，识别和区分各个第一数据包待发往的区块链节点。

作为示例，监听每个区块链节点对应的每个映射端口的方式可以与上述监听目标区块链节点对应的映射端口的方式同理，举例来说，假设区块链系统中包括N个区块链节点，可以开启N个映射端口，监听该N个映射端口，该N个映射端口中的每个映射端口对应N个区块链节点中的一个区块链节点，N为正整数。

203、第一网络设备获取目标区块链节点的实际网络地址。

区块链节点的实际网络地址为区块链节点在第二私有网络中的内网地址，能够在第二私有网络中唯一确定对应的区块链节点，因此通过在数据包中携带区块链节点的实际网络地址，将数据包转发至第二网络设备，第二网络设备能够根据区块链节点的实际网络地址，将接收 到的数据包转发至第二私有网络中对应的区块链节点。例如，区块链节点的实际网络地址可以包括区块链节点的IP地址和端口号，该IP地址可以为区块链节点在第二私有网络中的内网IP，端口号可以标识区块链节点中处理业务的端口。

为了让第二网络设备确定第一数据包转发给哪个区块链节点，第一网络设备可以获取目标区块链节点的实际网络地址，在第一数据包中添加实际网络地址，如此，第二网络设备可以根据数据包中的实际网络地址，确定该第一数据包的目的设备为目的区块链节点，从而将第一数据包转发至目标区块链节点。

获取目标区块链节点的实际网络地址具体可以通过以下步骤一至步骤二实现：

步骤一、第一网络设备获取第一数据包携带的映射端口号。

示例性地，若第一网络设备采用监听映射端口的方式，接收发往区块链节点的数据包，则第一网络设备可以确定第一数据包是监听哪个映射端口得到的，将这个映射端口作为第一数据包对应的映射端口。若第一网络设备未采用监听映射端口的方式接收数据包，第一网络设备可以确定第一数据包的目的端口，将第一数据包的目的端口作为第一数据包对应的映射端口。例如，第一网络设备可以解析第一数据包的包头，得到包头中携带的目的端口号，将该目的端口号对应的端口确定为第一数据包的映射端口。

步骤二、第一网络设备查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到映射端口号对应的实际网络地址，将该映射端口号对应的实际网络地址作为目标区块链节点的实际网络地址。

第一映射关系可以称为端口映射关系，第一映射关系可以包括至少一个区块链节点对应的映射端口号以及至少一个区块链节点的实际网络地址。

关于第一网络设备得到第一映射关系的方式，第一映射关系可以在区块链的运营支撑(英文全称：The Office of Strategic Services，英文简称：OSS)系统中存储，第二网络设备可以从OSS系统中获取到用户标识与区块链节点集合之间的对应关系。例如第一网络设备可以从区块链的OSS系统主动拉取第一映射关系，作为示例，第一网络设备可以向OSS系统发送映射关系请求，OSS系统接收映射关系请求后，可以生成映射关系响应，向第一网络设备发送映射关系响应，第一网络设备从映射关系响应中获取第一映射关系。其中，该映射关系响应包括第一映射关系。又如，区块链的OSS系统可以向第一网络设备推送第一映射关系。作为示例，当第一网络设备进行初始化，在OSS系统上注册时，OSS系统可以向第一网络设备推送第一映射关系。另外，第二网络设备也可以预先存储第一映射关系。另外，也可以对第一网络设备进行配置操作，由第一网络设备接收配置的第一映射关系。

204、第一网络设备根据第一数据包以及实际网络地址，生成第二数据包。

第二数据包携带第一数据包以及目标区块链节点的实际网络地址，因此第二数据包不仅包含第一数据包本身的内容，还能指示目标区块链节点的实际网络地址，第一网络设备通过生成包含第一数据包的第二数据包，一方面，能够让区块链节点接收到终端发送的第一数据包，另一方面，能够让第一数据包最终路由至第二私有网络中的目标区块链节点。

关于生成第二数据包的过程，第一网络设备可以向第一数据包中添加目标区块链节点的实际网络地址，将添加实际网络地址后的第一数据包作为第二数据包。在一种可能的实现中，生成第二数据包的过程可以包括以下步骤一至步骤二：

步骤一、第一网络设备生成携带实际网络地址的重定向包头。

重定向包头用于将第二数据包从第二网络设备重定向至目标区块链节点，重定向包头携 带目标区块链节点的实际网络地址。例如，重定向包头中的目的地址可以为目标区块链节点的实际IP地址，重定向包头中的目的端口号可以为区块链节点中处理业务的端口的端口号。

可选地，重定向包头中除了目的地址和目的端口号以外的其他内容可以与第一数据包的包头相同，例如重定向包头的源IP地址可以为终端的IP地址，源端口号可以为终端的端口号，从而指示第二数据包实际来自于终端。另外，重定向包头中除了目的地址和目的端口号以外的其他内容也可以根据第一网络设备的信息确定，例如重定向包头的源IP地址可以为第一网络设备的IP地址，源端口号可以为第一网络设备的端口号，从而指示第二数据包经过了第一网络设备的转发。

步骤二、第一网络设备向第一数据包添加重定向包头，得到第二数据包。

第二网络设备具有对数据包进行处理的功能，能够向第一数据包添加重定向包头。例如，第二网络设备可以在第一数据包的包头之前，封装该重定向包头，将第一数据包以及重定向包头的组合作为第二数据包，如此，第二数据包中可以包括两个包头，一个是终端原先生成的包头，另一个是第一网络设备生成的重定向包头。又如，第二网络设备可以将第一数据包的包头替换为重定向包头，即将第一数据包的包头从第一数据包中去掉，重新封装上重定向包头，再将替换了包头的第一数据包作为第二数据包，如此，第二数据包中的包头即为第一网络设备生成的重定向包头。

通过上述步骤一和步骤二，第一网络设备通过添加重定向包头，能够让第二数据包在第二网络设备处重定向至目标区块链节点，从而转发给目标区块链节点，满足传输数据包的需求。

205、第一网络设备向第二网络设备的虚拟网络地址发送第二数据包。

第二网络设备的虚拟网络地址是指网关设备分配给第二网络设备的地址，可以由网关设备预先根据第二网络设备的实际网络地址生成。第二网络设备的虚拟网络地址可以包括虚拟的IP地址和虚拟的端口号，第二网络设备的虚拟网络地址用于供网关设备将接收到的数据包转发给第二网络设备，即，当向第二网络设备的虚拟网络地址发送数据包时，数据包会到达网关设备，由网关设备将数据包转发给第二网络设备。

结合第二网络设备的虚拟网络地址的功能，第一网络设备获取第二网络设备的虚拟网络地址，向该第二网络设备的虚拟网络地址发送第二数据包，即可令第二数据包通过网关设备到达第二网络设备，从而跨越了第一私有网络与第二私有网络之间的网络隔离，与第二网络设备进行通信。其中，第一网络设备获取第二网络设备的虚拟网络地址的方式与上述获取第一映射关系的方式同理，在此不做赘述。

本实施例中，第一网络设备通过上述步骤实现了转发代理的功能，第一网络设备可以称为转发代理设备：第一网络设备代理终端执行向各个区块链节点发送数据包的任务，终端只需向第一网络设备发送各个区块链节点的数据包，通过第一网络设备添加各个区块链节点的实际地址，即可达到向各个区块链节点分别发送数据包的效果。也即是，终端只需访问第一网络设备，即可满足与区块链系统中的各个区块链节点进行通信的需求。

请参见图3，其示出了第一网络设备的功能结构图，第一网络设备可以具有端口监听、增加重定向包头、转发到虚拟网络地址等多个功能，通过端口监听的功能，能够在监听映射端口的过程中接收第一数据包，通过增加重定向包头的功能，能够标记第一数据包要重定向的实际网络地址，通过转发到虚拟网络地址的功能，能够让第一数据包转发到第二网络设备。

206、网关设备接收第二数据包，根据第二网络设备的虚拟网络地址，将第二数据包转发 给第二网络设备。

关于网关设备接收第二数据包的过程，网关设备可以将自身接收数据的网络地址设置为第二网络设备的虚拟网络地址，因此当第一网络设备向第二网络设备的虚拟网络地址发送第二数据包后，网关设备能够接收到第二数据包。

关于转发第二数据包的过程，网关设备可以存储第二网络设备的虚拟网络地址与实际网络地址之间的第三映射关系，当接收到第二数据包后，网关设备可以根据第二网络设备的虚拟网络地址，查询该第三映射关系，从该第三映射关系中得到第二网络设备的实际网络地址，向该第二网络设备的实际网络地址发送数据包，从而将第二数据包转发给第二网络设备。其中，第二网络设备的实际网络地址可以包括第二网络设备的外网IP地址以及第二网络设备中接收数据包的端口的端口号。

本实施例中，网关设备将第二网络设备的实际网络地址映射为虚拟网络地址，该虚拟网络地址能让第一私有网络中的第一网络设备以及终端访问，该实际网络地址能够路由至第二私有网络中的第二网络设备，网关设备根据虚拟网络地址与实际网络地址之间的第三映射关系，即可将来自于第一私有网络的数据包转发给第二私有网络的第二网络设备，从而打通了第一私有网络与第二私有网络之间的通信通道，实现了跨私有网络的通信功能。

207、第二网络设备接收网关设备的第二数据包，对终端进行鉴权。

可选地，第二网络设备可以具有鉴权的功能，可以校验终端是否具有访问目标区块链节点的权限，当终端具有访问目标区块链节点的权限时，第二网络设备向目标区块链节点发送第二数据包，而当终端不具有访问目标区块链节点的权限时，第二网络设备可以拒绝向目标区块链节点发送第二数据包，例如可以丢弃该第二数据包，又如可以通过网关设备向终端返回失败重传消息，从而控制终端向区块链节点传输数据包的权限。

在一种可能的实现中，鉴权的过程可以基于用户标识与区块链节点之间的第二映射关系实现，即，每个用户标识仅具有访问第二映射关系中对应区块链节点的权限，而不具有访问其他区块链节点的权限。第二映射关系可以包括至少一个用户标识以及对应的至少一个区块链节点，第二映射关系可以根据业务需求确定，例如，对于注册了记账服务的用户标识来说，该用户标识对应的区块链节点可以为银行关联的一个或多个区块链节点。第二映射关系可以为一个列表、数组或集合，当然也可以采用程序语言中的其他数据结构表示。第二网络设备获取第二映射关系的过程与第一网络设备获取第一映射关系的过程同理，在此不做赘述。

基于第二映射关系进行鉴权的具体过程可以包括以下步骤一至步骤四：

步骤一、第二网络设备获取第二数据包携带的用户标识。

第二网络设备可以解析第二数据包，得到第二数据包中携带的用户标识。其中，第二网络设备可以解析第二数据包的重定向包头，从该重定向包头得到用户标识。或者，第二网络设备可以解析第二数据包中第一数据包的包头，从第一数据包的包头中得到用户标识。

步骤二、第二网络设备根据用户标识与区块链节点之间的第二映射关系，从第二映射关系中，得到用户标识对应的至少一个区块链节点。

第二网络设备可以获取第二映射关系，以第二数据包携带的用户标识为索引，查询该第二映射关系，从而得到用户标识对应的至少一个区块链节点。

步骤三、第二网络设备判断目标区块链节点是否属于用户标识对应的至少一个区块链节点。

当目标区块链节点属于用户标识对应的至少一个区块链节点时，第二网络设备执行以下 步骤四，当目标区块链节点不属于用户标识对应的至少一个区块链节点时，第二网络设备执行以下步骤五。

步骤四、当目标区块链节点属于用户标识对应的至少一个区块链节点时，第二网络设备确定终端具有访问目标区块链节点的权限，则鉴权通过，第二网络设备会执行以下步骤208。

步骤五、当目标区块链节点不属于用户标识对应的至少一个区块链节点时，第二网络设备确定终端不具有访问目标区块链节点的权限，则鉴权不通过，第二网络设备会拒绝将第二数据包转发给目标区块链节点。

本步骤中，第二网络设备通过对终端访问目标区块链节点的权限进行校验，当鉴权通过才向目标区块链节点转发数据包，能够保障区块链节点的通信安全，从而避免非法用户入侵区块链节点的情况。

208、第二网络设备从第二数据包中获取目标区块链节点的实际网络地址。

第二网络设备可以具有对数据包进行重定向的功能，能够将发送至该第二网络设备的各个数据包分别重定向至区块链系统中对应的区块链节点，那么，当第二网络设备接收第二数据包后，能够使用重定向的功能，根据第二数据包中目标区块链节点的实际网络地址，将第二数据包转发至目标区块链节点。

关于从第二数据包中获取实际网络地址的方式，第二网络设备可以解析第二数据包，得到第二数据包携带的目标区块链节点的实际网络地址，从而得到了上述步骤204中第一网络设备添加的实际网络地址。其中，若上述步骤204第一网络设备添加了重定向包头，第二网络设备可以解析第二数据包中的重定向包头，得到重定向包头携带的实际网络地址。

209、第二网络设备向目标区块链节点的实际网络地址发送第二数据包。

目标区块链节点的实际网络地址为目标区块链节点在第二私有网络中的内网地址，目标区块链节点的实际网络地址在第二网络设备以及目标区块链节点中预先存储，能够在第二私有网络中标识该目标区块链节点。第二网络设备向目标区块链节点的实际网络地址发送第二数据包后，目标区块链节点即可接收第二数据包。

关于发送第二数据包的具体实现，在此示例性地提供以下实现一和实现二：

实现一、第二网络设备将第二数据包转发给目标区块链节点。

第二网络设备可以具有透传功能，透传是指透明传输，即接收到数据包后，不处理数据包，而是将数据包转发给数据包的目的设备。第二网络设备接收到第二数据包后，可以通过透传功能，不处理该第二数据包，而将第二数据包转发给目标区块链节点。

实现二、第二网络设备对第二数据包进行处理，将处理后的第二数据包转发给目标区块链节点。

例如，第二网络设备可以从第二数据包中删除重定向包头，得到第一数据包，将第一数据包发送给目标区块链节点。

又如，第二网络设备可以从第一数据包中删除第一数据包的包头，将重定向包头以及第一数据包的包体的组合发送给目标区块链节点，作为示例，可以对重定向包头以及第一数据包的包体进行封装，封装后的数据包的包头为重定向包头，封装后的数据包的包体为第一数据包的包体，第二网络设备可以将封装后的数据包作为处理后的第二数据包，将封装后的数据包发送给目标区块链节点。

又如，第二网络设备可以将第二数据包中目标区块链节点的映射端口号修改为目标区块链节点的实际网络地址，将修改后的第二数据包发送给目标区块链节点，作为示例，第二网 络设备可以存储目标区块链节点的映射端口号与目标区块链节点的实际网络地址之间的第四映射关系，当接收到第二数据包后，第二网络设备可以从第二数据包中获取目标区块链节点的映射端口号，根据目标区块链节点的映射端口号，查询第四映射关系，得到目标区块链节点的映射端口号对应的目标区块链节点的实际网络地址。

其中，第二网络设备处理第二数据包的具体逻辑可以根据实际业务需求确定，本实施例对此不做限定。

通过这种实现方式，第二网络设备可以实现透明代理的功能：第二网络设备对第二数据包进行处理后，目标区块链节点接收到第二数据包后，识别第二数据包的源地址为终端的网络地址，目的地址为自己的网络地址，因此不会感知到经过重定向的第二数据包与向自身直接发送的数据包之间的差异，也即是，目标区块链节点无需感知第一网络设备、第二网络设备以及网关设备的存在，对于目标区块链节点来说，第一网络设备、第二网络设备以及网关设备是透明的。

210、目标区块链节点根据实际网络地址，接收第二数据包。

目标区块链节点可以接收第二数据包，根据第二数据包进行业务处理。例如，以第二数据包的内容为账本数据为例，目标区块链节点可以解析第二数据包，得到账本数据，在区块链中记录账本数据，将该账本数据同步给区块链系统中的其他区块链节点。

本实施例提供的方法，第一网络设备通过在发往目标区块链节点的数据包中，添加目标区块链节点的实际网络地址，只需向第二网络设备的虚拟地址发送数据包，既能将数据包通过网关设备以及第二网络设备，转发至目标区块链节点，在满足第一私有网络中的终端与第二私有网络中各个区块链节点分别进行通信的需求的基础上，网关设备无需为各个区块链节点分别生成虚拟网络地址，极大地节省了网关设备的处理资源，减轻了网关设备的运行开销，节省了网关设备的存储空间，从而保证网关设备正常运行。

上述图2实施例阐述了终端与目标区块链节点进行信息交互的过程，而在这一过程之前，可以预先对各个设备进行网络配置，通过网络配置打通网络通信的通道，以便各个设备在已配置完成的基础上，实现上述图2实施例。

以下通过图4实施例对网络配置的过程进行具体阐述。

图4是本申请实施例提供的一种网络配置方法的流程图，参见图4，该方法的执行主体包括网关设备、区块链的OSS系统以及第一网络设备，该方法包括以下步骤：

401、当区块链系统中注册用户标识时，网关设备为该用户标识，生成第二网络设备的虚拟网络地址。

本步骤以区块链系统中注册了新用户的场景为例进行描述，即，某一用户在区块链系统中进行了注册，要求区块链系统中的区块链节点为其提供服务，例如某一用户在金融应用中进行注册，要求金融应用关联的区块链系统为该用户记录每笔交易的账本数据。

关于网关设备获取注册的用户标识的方式，终端可以生成户标识注册请求，向网关设备发送用户标识注册请求，网关设备可以接收终端的用户标识注册请求，该用户标识注册请求用于请求在区块链系统中注册新用户的用户标识，网络设备可以从该用户标识注册请求中得到用户标识，确定该用户标识加入区块链系统。其中，用户标识用于标识私有网络的用户，例如可以用于标识私有网络的开发者、管理员，或者其他具有在私有网络中进行通信的权限的用户，该用户标识可以为用户的名称、手机号码等。

针对用户标识注册请求的触发过程，在一种可能的实现中，网关设备的OSS系统可以检 测输入操作，得到输入的用户标识以及第二网络设备的实际网络地址，网关设备的OSS系统根据用户标识以及第二网络设备的实际网络地址生成用户标识注册请求，向网关设备发送用户标识注册请求，网关设备从而接收到用户标识注册请求，其中，该用户标识可以为用户的VPC身份标识号(IDentity，ID)。在另一种可能的实现中，终端可以发送用户标识注册请求，网关设备可以接收到终端的用户标识注册请求。

关于生成虚拟网络地址的方式，在一种可能的实现中，网关设备可以存储多个虚拟网络地址，可以从当前未占用的虚拟网络地址中选择一个虚拟网络地址，将该虚拟网络地址分配给第二网络设备，从而达到为第二网络设备生成虚拟网络地址的效果。例如，当前未占用的虚拟网络地址可以按照地址从小到大的顺序或从大到小的顺序排列，网关设备可以选择当前未占用的虚拟网络地址中的第一个虚拟网络地址，作为第二网络设备的虚拟网络地址。

可选地，网关设备可以将生成的第二网络设备的虚拟网络地址发送给区块链的OSS系统，例如第二网络设备的虚拟网络地址可以在网关设备与OSS系统之间保持数据同步，当网关设备生成第二网络设备的虚拟网络地址后，区块链的OSS系统可以同步地记录第二网络设备的虚拟网络地址。

可选地，区块链的OSS系统还可以在新用户加入区块链系统时，确定该用户标识关联的区块链节点，记录用户标识与区块链节点之间的第二映射关系，将记录的第二映射关系发送给第二网络设备，以便第二网络设备得到第二映射关系，从而在上述步骤207中，根据该第二映射关系执行鉴权的过程。

402、区块链的OSS系统为用户关联的至少一个区块链节点，生成至少一个映射端口号。

对于用户关联的每个区块链节点，区块链的OSS系统可以生成该区块链节点对应的映射端口号，其中为不同区块链节点生成的映射端口号可以不同，以便第一网络设备可以根据每个映射端口号识别发往每个区块链节点的数据包。

403、区块链的OSS系统将至少一个区块链节点的映射端口号以及第二网络设备的虚拟网络地址发送给第一网络设备。

区块链的OSS系统可以确定用户标识对应的私有网络，并确定私有网络中布设的网络设备，将区块链节点的映射端口以及第二网络设备的虚拟网络地址发送给该网络设备。其中，若用户标识为第一私有网络的用户标识，则区块链的OSS系统会确定第一私有网络以及第一网络设备，将区块链节点的映射端口以及第二网络设备的虚拟网络地址发送给第一网络设备。

通过将区块链节点的映射端口以及第二网络设备的虚拟网络地址发送给用户标识对应的网络设备，考虑了用户与区块链节点之间的实际关联，第一网络设备只需监听用户标识关联的区块链节点对应的映射端口即可，而无需监听整个区块链系统中各个区块链节点对应的映射端口，从而减少了第一网络设备中占用的映射端口的数量，节约了第一网络设备的处理资源以及存储空间，同时减轻了第一网络设备监听过程的运行负载，从而减少了能量消耗。

404、第一网络设备接收区块链系统中区块链节点对应的映射端口号以及第二网络设备的虚拟网络地址。

405、第一网络设备将每个映射端口号对应的端口，作为区块链节点对应的映射端口，启动监听至少一个映射端口。

对于该至少一个端口号中的每个端口号，第一网络设备可以开启本机中该端口号对应的端口，将该端口作为对应区块链节点的映射端口，即将该端口分配为向对应区块链节点发送数据包的端口，并监听该映射端口，以便上述步骤402中可以在监听过程中接收数据包。

需要说明的是，上述仅是以采用全量更新的方式，生成区块链系统中每个区块链节点对应的映射端口号为例进行描述。在一种可能的实现中，还可以采用增量更新的方式，生成区块链系统中新增的区块链节点对应的映射端口号。即，每当区块链系统中新增了区块链节点时，区块链的OSS系统只需生成新增的区块链节点对应的映射端口号，向第一网络设备发送新增的区块链节点对应的映射端口号即可，而无需为之前已生成映射端口号的区块链节点再次生成映射端口号。相应地，第一网络设备会接收新增的区块链节点对应的映射端口号，为新增的区块链节点启动监听对应的映射端口。

在一个示例性应用场景中，随着区块链的应用范围不断深入扩展，越来越多的服务方加入区块链合约，则区块链系统的规模与日俱增，区块链系统经常会新增区块链节点。为此，每当区块链系统注册了用户标识时，区块链的OSS系统可以为该用户标识生成每个区块链节点对应的映射端口号，之后，每当区块链系统中新增了区块链节点时，则区块链的OSS系统为该用户标识，生成新增的区块链节点对应的映射端口号。

通过这种更新映射端口号的方式，第一，在区块链系统中不断增加区块链节点的情况下，能够保证已注册的用户标识不仅能向注册时区块链系统中存在的区块链节点发送数据包，还能向注册后新增的区块链节点发送数据包。第二，每当区块链系统中新增区块链节点时，区块链的OSS系统无需为已生成过映射端口号的区块链节点再次生成映射端口号，减轻了区块链的OSS系统的运算量以及负载。

请参见图5，图5是本申请实施例提供的一种网络配置的示意图，网关设备的OSS系统生成第二网络设备的虚拟网络地址以后，可以将第二网络设备的虚拟网络地址发送给区块链的OSS系统，由区块链的OSS系统将第二网络设备的虚拟网络地址发送给每个私有网络的转发代理(即第一网络设备)以及区块链系统的透明代理(即第二网络设备)。

本实施例提供的方法，在新用户加入区块链系统，或老用户新关联区块链系统中的区块链节点时，为区块链节点生成对应的映射端口，并对每个设备进行网络配置，能够打通不同私有网络之间的通信通道，以便第一私有网络中的终端能将数据包发送给第二私有网络中的区块链节点，从而满足用户访问区块链节点的需求。

图6是本申请实施例提供的一种网络通信装置的结构示意图，该装置应用于第一私有网络中的第一网络设备中，该装置包括：接收模块601、获取模块602、生成模块603以及发送模块604。

接收模块601，用于接收向第二私有网络中的目标区块链节点发送的第一数据包；获取模块602，用于获取该目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；生成模块603，用于根据该第一数据包以及该实际网络地址，生成第二数据包，该第二数据包携带该第一数据包以及该实际网络地址；发送模块604，用于向该第二私有网络中的第二网络设备的虚拟网络地址发送该第二数据包，该虚拟网络地址用于供网关设备将接收到的数据包转发给该第二网络设备。

在一种可能的实现方式中，该生成模块603，用于生成携带该实际网络地址的重定向包头；向该第一数据包添加该重定向包头，得到第二数据包。

在一种可能的实现方式中，该获取模块602，用于获取该第一数据包携带的映射端口号；查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到该映射端口号对应的实际网络地址；将该映射端口号对应的实际网络地址作为该目标区块链节点的实际网络地址。

在一种可能的实现方式中，该接收模块601，用于在监听该目标区块链节点对应的映射端口的过程中，接收该第一数据包。

在一种可能的实现方式中，该接收模块601，用于接收区块链系统中区块链节点对应的映射端口号；将该第一网络设备中该映射端口号对应的端口，作为该区块链节点对应的映射端口；启动监听该映射端口号对应的端口。

图7是本申请实施例提供的一种网络通信装置的结构示意图。参见图7，该装置包括：接收模块701、获取模块702以及发送模块703。

接收模块701，用于接收网关设备的第二数据包，该第二数据包携带第一私有网络中终端的第一数据包以及第二私有网络中目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；获取模块702，用于从该第二数据包中获取该实际网络地址；发送模块703，用于根据该实际网络地址，向该目标区块链节点发送该第一数据包。

在一种可能的实现方式中，该获取模块702，用于解析该第二数据包中的重定向包头，得到该重定向包头携带的实际网络地址。

在一种可能的实现方式中，该发送模块703，用于当该终端具有访问该目标区块链节点的权限时，向该目标区块链节点的实际网络地址发送该第二数据包。

在一种可能的实现方式中，该获取模块702，用于获取该第二数据包携带的用户标识；该装置还包括鉴权模块，用于查询用户标识与区块链节点之间的第二映射关系，得到该用户标识对应的至少一个区块链节点；当该目标区块链节点属于该至少一个区块链节点时，确定该终端具有访问该目标区块链节点的权限。

上述所有可选技术方案，可以采用任意结合形成本公开的可选实施例，在此不再一一赘述。

需要说明的是：上述实施例提供的网络通信装置在进行网络通信时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将第一网络设备、第二网络设备中的至少一项的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的网络通信装置与网络通信方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图8是本申请实施例提供的一种网络设备的结构示意图，该网络设备800可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，CPU)801、一个或一个以上的存储器802以及收发器803，其中，该存储器802中存储有至少一条指令，该至少一条指令由该处理器801加载并执行以实现上述各个方法实施例提供的方法，该处理器801用于控制收发器803执行上述实施例中的收发步骤。当然，该网络设备还可以具有有线或无线网络接口以及输入输出接口等部件，以便进行输入输出，该网络设备还可以包括其他用于实现设备功能的部件，在此不做赘述。

具体地，上述指令可以由网络设备800的处理器加载并执行以下网络通信方法：该收发器用于接收向第二私有网络中的目标区块链节点发送的第一数据包；该处理器用于获取该目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；该处理器用于根据该第一数据包以及该实际网络地址，生成第二数据包，该第二数据包携带该第一数据包以及该实际网络地址；该收发器用于向该第二私有网络中的第二网络设备的虚拟网络地址，发送该第二数据包，该虚拟网络地址用于供网关设备将接收到的数 据包转发给该第二网络设备。

在一种可能的实现中，该处理器用于生成携带该实际网络地址的重定向包头；向该第一数据包添加该重定向包头，得到第二数据包。

在一种可能的实现中，该处理器用于获取该第一数据包携带的映射端口号；查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到该映射端口号对应的实际网络地址；将该映射端口号对应的实际网络地址作为该目标区块链节点的实际网络地址。

在一种可能的实现中，该收发器用于在监听该目标区块链节点对应的映射端口的过程中，接收该第一数据包。

在一种可能的实现中，该处理器用于接收区块链系统中区块链节点对应的映射端口号；将该第一网络设备中该映射端口号对应的端口，作为该区块链节点对应的映射端口；启动监听该映射端口号对应的端口。

具体地，上述指令可以由网络设备800的处理器加载并执行以下网络通信方法：

该收发器用于接收网关设备的第二数据包，该第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及该目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；该处理器用于从该第二数据包中获取该实际网络地址；该收发器用于向该目标区块链节点的实际网络地址发送该第二数据包。

在一种可能的实现中，该处理器用于解析该第二数据包中的重定向包头，得到该重定向包头携带的实际网络地址。

在一种可能的实现中，该处理器用于当该终端具有访问该目标区块链节点的权限时，向该目标区块链节点的实际网络地址发送该第二数据包。

在一种可能的实现中，该处理器用于获取该第二数据包携带的用户标识；查询用户标识与区块链节点之间的第二映射关系，得到该用户标识对应的至少一个区块链节点；当该目标区块链节点属于该至少一个区块链节点时，确定该终端具有访问该目标区块链节点的权限。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，例如，该计算机可读存储介质可以是只读存储器(英文全称：read-only memory，英文简称：ROM)、随机存取存储器(英文全称：random access memory，英文简称：RAM)、只读光盘(英文全称：compact disc read-only memory，英文简称：CD-ROM)、磁带、软盘和光数据存储设备等。具体来说，指令可由处理器执行以完成下述网络通信方法：

接收向第二私有网络中的目标区块链节点发送的第一数据包；获取该目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；根据该第一数据包以及该实际网络地址，生成第二数据包，该第二数据包携带该第一数据包以及该实际网络地址；向该第二私有网络中的第二网络设备的虚拟网络地址，发送该第二数据包，该虚拟网络地址用于供网关设备将接收到的数据包转发给该第二网络设备。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，例如，该计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。具体来说，指令可由处理器执行以完成下述网络通信方法：

接收网关设备的第二数据包，该第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及该目标区块链节点的实际网络地址，该实际网络地址为该目标区块链节点在该第二私有网络中的内网地址；从该第二数据包中获取该实际网络地址；向该目标区块链节点的实际网络地址发送该第二数据包。

在一种可能的实现方式中，该根据该第一数据包以及该实际网络地址，生成第二数据包，包括：生成携带该实际网络地址的重定向包头；向该第一数据包添加该重定向包头，得到第二数据包。

在一种可能的实现方式中，该获取该目标区块链节点的实际网络地址，包括：获取该第一数据包携带的映射端口号；查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到该映射端口号对应的实际网络地址；将该映射端口号对应的实际网络地址作为该目标区块链节点的实际网络地址。

在一种可能的实现方式中，该接收向第二私有网络中的目标区块链节点发送的第一数据包，包括：在监听该目标区块链节点对应的映射端口的过程中，接收该第一数据包。

在一种可能的实现方式中，该接收向第二私有网络中的目标区块链节点发送的第一数据包之前，该方法还包括：接收区块链系统中区块链节点对应的映射端口号；将该第一网络设备中该映射端口号对应的端口，作为该区块链节点对应的映射端口；启动监听该映射端口号对应的端口。

在一种可能的实现方式中，该从该第二数据包中获取该实际网络地址，包括：解析该第二数据包中的重定向包头，得到该重定向包头携带的实际网络地址。

在一种可能的实现方式中，该向该目标区块链节点的实际网络地址发送该第二数据包，包括：当该终端具有访问该目标区块链节点的权限时，向该目标区块链节点的实际网络地址发送该第二数据包。

在一种可能的实现方式中，该向该目标区块链节点的实际网络地址发送该第二数据包之前，该方法还包括：获取该第二数据包携带的用户标识；查询用户标识与区块链节点之间的第二映射关系，得到该用户标识对应的至少一个区块链节点；当该目标区块链节点属于该至少一个区块链节点时，确定该终端具有访问该目标区块链节点的权限。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上该仅为本申请的较佳实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (20)

1. 一种网络通信方法，应用于第一私有网络中的第一网络设备中，所述方法包括：

   所述第一网络设备接收向第二私有网络中的目标区块链节点发送的第一数据包；

   所述第一网络设备获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

   所述第一网络设备根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；

   所述第一网络设备向所述第二私有网络中的第二网络设备的虚拟网络地址，发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。
2. 根据权利要求1所述的方法，其中，所述第一网络设备根据所述第一数据包以及所述实际网络地址，生成第二数据包，包括：

   所述第一网络设备生成携带所述实际网络地址的重定向包头；

   所述第一网络设备向所述第一数据包添加所述重定向包头，得到第二数据包。
3. 根据权利要求1所述的方法，其中，所述第一网络设备获取所述目标区块链节点的实际网络地址，包括：

   所述第一网络设备获取所述第一数据包携带的映射端口号；

   所述第一网络设备查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到所述映射端口号对应的实际网络地址；

   所述第一网络设备将所述映射端口号对应的实际网络地址作为所述目标区块链节点的实际网络地址。
4. 根据权利要求1至3任一项所述的方法，其中，所述第一网络设备接收向第二私有网络中的目标区块链节点发送的第一数据包，包括：

   在所述第一网络设备监听所述目标区块链节点对应的映射端口的过程中，所述第一网络设备接收所述第一数据包。
5. 根据权利要求4所述的方法，其中，所述第一网络设备接收向第二私有网络中的目标区块链节点发送的第一数据包之前，所述方法还包括：

   所述第一网络设备接收区块链系统中区块链节点对应的映射端口号；

   所述第一网络设备将所述第一网络设备中所述映射端口号对应的端口，作为所述区块链节点对应的映射端口；

   所述第一网络设备启动监听所述映射端口号对应的端口。
6. 一种网络通信方法，应用于第二私有网络中的第二网络设备中，所述方法包括：

   所述第二网络设备接收网关设备的第二数据包，所述第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

   所述第二网络设备从所述第二数据包中获取所述实际网络地址；

   所述第二网络设备向所述目标区块链节点的实际网络地址发送所述第二数据包。
7. 根据权利要求6所述的方法，其中，所述第二网络设备从所述第二数据包中获取所述实际网络地址，包括：

   所述第二网络设备解析所述第二数据包中的重定向包头，得到所述重定向包头携带的实际网络地址。
8. 根据权利要求6所述的方法，其中，所述第二网络设备向所述目标区块链节点的实际网络地址发送所述第二数据包，包括：

   当所述终端具有访问所述目标区块链节点的权限时，所述第二网络设备向所述目标区块链节点的实际网络地址发送所述第二数据包。
9. 根据权利要求8所述的方法，其中，所述第二网络设备向所述目标区块链节点的实际网络地址发送所述第二数据包之前，所述方法还包括：

   所述第二网络设备获取所述第二数据包携带的用户标识；

   所述第二网络设备查询用户标识与区块链节点之间的第二映射关系，得到所述用户标识对应的至少一个区块链节点；

   当所述目标区块链节点属于所述至少一个区块链节点时，所述第二网络设备确定所述终端具有访问所述目标区块链节点的权限。
10. 一种网络通信系统，所述网络通信系统包括第一私有网络中的第一网络设备、第二私有网络中的第二网络设备以及网关设备；

    所述第一网络设备，用于接收向第二私有网络中的目标区块链节点发送的第一数据包；获取所述目标区块链节点的实际网络地址，所述目标区块链节点的实际网络地址为目标区块链节点在所述第二私有网络中的内网地址；根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；向所述第二网络设备的虚拟网络地址发送所述第二数据包；

    所述网关设备，用于根据所述第二网络设备的虚拟网络地址，查询虚拟网络地址与实际网络地址之间的第三映射关系，得到所述虚拟网络地址对应的实际网络地址，作为所述第二网络设备的实际网络地址；向所述第二网络设备的实际网络地址发送所述第二数据包；

    所述第二网络设备，用于接收所述网关设备的第二数据包；从所述第二数据包中获取目标区块链节点的实际网络地址；根据所述实际网络地址，向所述目标区块链节点的实际网络地址发送所述第二数据包。
11. 一种网络设备，所述网络设备包括处理器、存储器和收发器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现以下网络通信方法：

    所述收发器用于接收向第二私有网络中的目标区块链节点发送的第一数据包；

    所述处理器用于获取所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

    所述处理器用于根据所述第一数据包以及所述实际网络地址，生成第二数据包，所述第二数据包携带所述第一数据包以及所述实际网络地址；

    所述收发器用于向所述第二私有网络中的第二网络设备的虚拟网络地址，发送所述第二数据包，所述虚拟网络地址用于供网关设备将接收到的数据包转发给所述第二网络设备。
12. 根据权利要求11所述的网络设备，其中，所述处理器用于生成携带所述实际网络地址的重定向包头；向所述第一数据包添加所述重定向包头，得到第二数据包。
13. 根据权利要求11所述的网络设备，其中，所述处理器用于获取所述第一数据包携带的映射端口号；查询区块链节点的映射端口号与实际网络地址之间的第一映射关系，得到所 述映射端口号对应的实际网络地址；将所述映射端口号对应的实际网络地址作为所述目标区块链节点的实际网络地址。
14. 根据权利要求11至13任一项所述的网络设备，其中，所述收发器用于在监听所述目标区块链节点对应的映射端口的过程中，接收所述第一数据包。
15. 根据权利要求14所述的网络设备，其中，所述处理器用于接收区块链系统中区块链节点对应的映射端口号；将所述第一网络设备中所述映射端口号对应的端口，作为所述区块链节点对应的映射端口；启动监听所述映射端口号对应的端口。
16. 一种网络设备，所述网络设备包括处理器、存储器和收发器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现以下网络通信方法：

    所述收发器用于接收网关设备的第二数据包，所述第二数据包携带向第二私有网络中的目标区块链节点发送的第一数据包以及所述目标区块链节点的实际网络地址，所述实际网络地址为所述目标区块链节点在所述第二私有网络中的内网地址；

    所述处理器用于从所述第二数据包中获取所述实际网络地址；

    所述收发器用于向所述目标区块链节点的实际网络地址发送所述第二数据包。
17. 根据权利要求16所述的网络设备，其中，所述处理器用于解析所述第二数据包中的重定向包头，得到所述重定向包头携带的实际网络地址。
18. 根据权利要求16所述的网络设备，其中，所述处理器用于当所述终端具有访问所述目标区块链节点的权限时，向所述目标区块链节点的实际网络地址发送所述第二数据包。
19. 根据权利要求18所述的网络设备，其中，所述处理器用于获取所述第二数据包携带的用户标识；查询用户标识与区块链节点之间的第二映射关系，得到所述用户标识对应的至少一个区块链节点；当所述目标区块链节点属于所述至少一个区块链节点时，确定所述终端具有访问所述目标区块链节点的权限。
20. 一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如权利要求1至权利要求9任一项所述的网络通信方法所执行的操作。

Images