专利名称:虚拟网络系统的制作方法
技术领域:
本实用新型涉及一种计算机网络通讯系统,特别是一种计算机虚拟网络通讯系统。
背景技术:
随着Internet的快速发展,宽带接入日益普及,基于Internet的虚拟专用网VPN应用已经成为低成本、安全、可靠的远程网络互联解决方案。通过Internet进行远程网络互联,涉及两方面的技术,即VPN隧道技术和数据安全技术。在数据安全技术方面,目前的规范如IPsec/IKE,SSL,可以很好地解决通讯过程中的数据安全问题。然而,建立VPN隧道的标准,如IPsec隧道模式,PPTP,L2TP,GRE,只定义了互联双方都拥有公网IP或至少一方拥有公网IP的情况下的连接方式,对于两端都没有公网IP的情况,无法采用上述隧道标准建立VPN连接。由于IP资源的缺乏,采用NAT方式共享接入Internet成为主要的解决方案,Internet用户只能获得私有IP,并通过网络运营商(ISP)的NAT网关共享接入Internet。对于两个都采用NAT方式共享接入Internet的用户而言,采用目前标准的VPN隧道技术将无法连接,如图1所示,在NAT网关中设置端口映射,把IP包重定向,可以实现NAT后的主机被Internet用户访问。但大多数情况下,普通的Internet用户不可能修改网络运营商ISP的NAT网关的设置,位于NAT网关后的两个远程网络,主机A,主机B都通过NAT网关共享接入Internet,都可以访问Internet中有公网IP的主机,但由于主机A,主机B都在NAT网关后面,且没有分配公网IP,主机A,主机B不能直接互相访问。
发明内容
本实用新型的目的是提供一种虚拟网络系统,要解决的技术问题是利用Internet网,在不修改NAT网关设置的情况下,建立直接、非数据中转的VPN连接。
本实用新型采用以下技术方案一种虚拟网络系统,包括Internet网,联接在Internet网终端的远程网络,远程网络与Internet网之间联接有网关设备,所述网关设备是VPN服务器。
本实用新型的VPN服务器是中间握手服务器IFserver。
本实用新型的每个远程网络可设置1至50台终端,通过中间握手服务器IFserver建立互连。
本实用新型的VPN服务器采用PC服务器。
本实用新型与现有技术相比,在相互通讯的远程网络的双方与Internet网之间联接网关设备科迈易网通VPN,实现不同的远程网络互联,双方都通过NAT方式共享接入Internet网、互访,建立直接的VPN连接。
图1是现有技术的网络系统图。
图2是本实用新型实施例(一)的网络系统图。
图3是本实用新型实施例(二)的网络系统图。
具体实施方式
以下结合附图和实施例对本实用新型作进一步详细说明。如图1所示,现有技术的网络系统,主机A,主机B都通过NAT网关共享接入Internet,都可以访问Internet中有公网IP的主机,但由于主机A和主机B都在NAT网关后面,且没有分配公网IP,主机A、主机B不能直接互相访问,不能建立IPsec隧道。
如图2所示,两个远程网络与Internet网之间联接有VPN服务器,VPN服务器是中间握手服务器IFserver,规格Xeon DP 2.8G/512KB/2-SMP/2*256MB DDR/1*36.4G HDD/24*CD/ULTRA320/1000MB网卡。运行易网通网关ES-200,主机A和主机B都能访问Internet中任一公网主机。根据NAT的实现原理可知,内部主机对外访问时,都将在NAT网关中留下相应的映射关系,从Internet返回的数据包先到达NAT网关,然后根据映射关系,把数据包重定向到相应的内部主机。建立映射关系所需要的信息一般包括源内部IP,源内部端口,目的IP,目的端口,通讯协议,NAT网关中的出口端口。UDP通讯是非面向连接的通讯方式,通讯双方不需要经过握手阶段,如TCP通讯。使用UDP通讯的双方可以得到对方网关的出口信息,包括源IP,源端口。根据上述几个条件,如果主机A和主机B都了解对方在NAT网关中UDP通讯的出口信息,只要主机A和主机B都向对方NAT的出口发送UDP包,则可以实现主机A和主机B之间的直接通讯。两主机直接、非数据中转的VPN连接的步骤如下1、在Internet中设置一台握手服务器,负责交换通讯双方在NAT网关中的UDP出口信息。2、通讯双方根据对方的UDP出口信息,预测对方下次通讯可能的出口的信息。3、通讯双方向对方下次通讯的出口的信息发送UDP数据包,一旦有一方收到来自对方的UDP包,则通讯隧道建立成功。4、根据需要,在新建立的隧道中加载IPsec协议,建立了IPsec隧道。
如图3所示,两个分别带有1至50台终端,通过中间握手服务器IFserver建立互连,安装了Windows的PC终端机的远程网络通过网络运营商ISP的宽带小区接入Internet网,两者都通过NAT网关,如TP-LINK R410共享访问Internet,建立虚拟网络系统。两个远程网络间的终端机通过易网通网关ES-200实现联连。在两个网络中分别选择一台PC作为VPN网关,运行深圳市科迈通讯技术有限公司的易网通网关ES-200。两端的易网通软件启动后,将自动与深圳市科迈通讯技术有限公司或用户的VPN握手服务器通讯一台PC服务器,操作系统可以是FreeBSD,Windows Server,即图3的Comexe VPN service主机,网络中的终端设备可以是各种支持TCP/IP协议的设备,如windows PC。双方经VPN握手服务器交换UDP通道的出口信息;eSwan根据对方的UDP通道出口信息,预测下次可能的出口信息,并尝试发送连接UDP包;一旦其中一方收到对方的连接UDP包,则VPN隧道建立成功。
在图3中,终端11的IP地址为192.168.0.3(GW192.168.0.2),终端12的IP地址为192.168.0.4(GW192.168.0.2),终端13的IP地址为192.168.0.5(GW192.168.0.2),终端14为COMEXE VPNGateway,IP地址为192.168.0.2(GW192.168.0.1)Gate-wayMode(one,two),终端共享器15为小区宽带接入设备,IP地址为192.168.0.1,运营商网络16(10.0.*.*)连接在Internet网与各终端机之间;终端21的IP地址为192.168.1.3(GW192.168.1.2),终端22的IP地址为192.168.1.4(GW192.168.1.2),终端23的IP地址为192.168.1.5(GW192.168.1.2),终端24的IP地址为192.168.1.3(GW192.168.1.2),终端24为COMEXE VPN Gateway,IP地址192.168.1.2(GW192.168.1.1)Gate-way Mode(one,two),终端共享器25为小区宽带接入设备,IP地址为192.168.1.1。
权利要求1.一种虚拟网络系统,包括Internet网,联接在Internet网终端的远程网络,远程网络与Internet网之间联接有网关设备,其特征在于所述网关设备是VPN服务器。
2.根据权利要求1所述的虚拟网络系统,其特征在于所述VPN服务器是中间握手服务器(IFserver)。
3.根据权利要求2所述的虚拟网络系统,其特征在于所述每个远程网络可设置1至50台终端,通过中间握手服务器(IFserver)建立互连。
4.根据权利要求3所述的虚拟网络系统,其特征在于所述VPN服务器采用PC服务器。
专利摘要本实用新型公开了一种虚拟网络系统,要解决的技术问题是利用Internet网,在不修改NAT网关设置的情况下,建立直接、非数据中转的VPN连接。本实用新型采用以下技术方案一种虚拟网络系统,包括Internet网,联接在Internet网终端的远程网络,远程网络与Internet网之间联接有网关设备,所述网关设备是VPN服务器。本实用新型与现有技术相比,在相互通讯的远程网络的双方与Internet网之间联接网关设备科迈易网通VPN,实现不同的远程网络互联,双方都通过NAT方式共享接入Internet网、互访,建立直接的VPN连接。
文档编号H04L12/66GK2798428SQ200520059949
公开日2006年7月19日 申请日期2005年6月10日 优先权日2005年6月10日
发明者肖立国 申请人:深圳市科迈通讯技术有限公司