一种私网用户使用公网地址接入公网的方法及网关的制作方法

文档序号:7917961阅读:243来源:国知局

专利名称::一种私网用户使用公网地址接入公网的方法及网关的制作方法
技术领域
:本发明涉及网络通信领域,具体涉及一种私网用户使用公网地址接入公网的方法及网关。
背景技术
:在现有技术中,局域网(LAN)侧私网用户如果想接入到公网,有两种方式第一种是桥接^t式,其具体方法为PC(私网用户)通过网关直接拨号获取公网地址,此时网关不需要支持地址转换NAT功能,所有的数据在二层转发。在这种方式下,每一个私网用户都拥有一个公网地址。优点是LAN侧所有私网用户上的任何业务可以与广域网WAN侧设备直接进行通信,不进行NAT/NAPT的转换,不会受到网关的影响,缺点是这种方式造成公网地址资源的浪费。第二种方式是路由模式,其具体方法为LAN侧私网用户向网关申请私网地址,网关向WAN侧外网申请公网地址,网关需要支持三层转发并进行公私网地址/端口的NAT(NetworkAddressTranslation)地址转换功能。此时WAN侧的设备访问LAN侧设备,需要通过网关的防火墙,必须根据需开启的业务来配置,才能允许WAN侧设备访问内网,另夕卜,对于私网内用户需要直接与WAN侧设备通信的业务,而不需要经过NAT/NAPT转换,该接入方式不能实现。在实现本发明实施例的过程中,发明人发现现有技术中至少存在如下问题私网中特定用户上的服务,希望使用公网地址,而且其业务通过网关时不希望在网关上因为地址转换而受到限制,其他私网用户也希望同时与公网通信,上述现有技术方案无法同时满足。
发明内容为解决上述技术问题,即满足LAN侧多台设备同时上公网需求,也满足LAN侧特定设备的业务可以直接与公网通信的需要,如图l所示,本发明实施例提供如下技术方案网关从WAN侧获取的网地址;将获取的公网地址与LAN侧的特定私网用户关联;当LAN侧私网用户申请地址时,若是特定的私网用户,则下发公网地址,否则,下发私网地址。本发明实施例还提供了一种能使私网用户使用公网地址接入公网的网关,该网关包括获取单元,用于从WAN侧获取公网地址;关联单元,用于将获取的公网地址与特定私网用户相关联;判断单元,用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;转换翻i奪单元,用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。该网关还包括为特定私网用户和网关业务专用的端口。上述技术方案具有如下优点既解决了一个私网中的多个用户的公网IP地址资源占用的问题,又可以使LAN侧特定用户与WAN侧设备直接通信。并且针对使用公网地址的私网用户,网关可不需要支持NAT和ALG,该私网用户的防火墙功能即可在自身实现,也可在网关上实现,具备更强的安全性。图1为本发明实施例总技术方案图。图2为本发明实施例中的地址分配方案流程图。图3、图4为本发明实施例中的数据转发方案流程图。具体实施例方式本发明实施例提供一种私网用户使用公网地址接入公网的方法,下面结合附图对本发明实施例进行进一步的说明。请参见图1,网关从WAN侧获取公网地址后,将该公网地址与需要和WAN侧设备直接通信的特定私网用户关耳关;当LAN侧私网用户申请地址时,若是特定私网用户,则下发公网地址,否则,下发私网地址。该方法具体包括地址分配方案。网关预先配置并记录需要使用公网地址的私网用户即关联私网用户PC1的信息,如PC1的MAC地址。但本发明实施例不限于记录用户的MAC地址,如果关联私网用户有其他唯一性的信息,网关也可以记录该信息。网关可以通过PPPoE或者DHCP或者静态配置等方式从WAN侧获得公网地址IP1。网关将IP1进行特殊标记后,放入LAN侧地址池。在每台安装有TCP/IP协议的计算机里都有一个ARP緩存表,即AddressResolutionProtocol(地址解析协议)。表里的IP地址与MAC地址是——对应的。网关把关联私网用户PCI的IP地址、MAC地址输入到一个静态表中,形成IP地址-MAC地址的绑定,即实现公网地址IP1与PCI相关联。为了关联私网用户的安全,网关也可以将关联私网用户专用的端口与IP、MAC地址绑定在一起。请参见图2,当私网用户向网关申请地址时,网关判断私网用户的MAC地址是否与记录的MAC地址信息一致。若一致,则将公网地址IP1下发给关联私网用户PCl,PCI可使用该地址直接接入公网。这样,根据自身业务需要与公网侧设备进行直接通信的私网用户在通信方面变得很便捷。同时直接与公网设备通信的关联私网用户PCl的防火墙功能既可在自身实现,也可在网关上实现,具备更强的安全性。若不一致,网关在地址池中将私网地址IP2IPn下发私网用户。数据转发方案。网关预先分别为PCl和网关自身的业务应用预留相应的TCP/UPD端口,这些预留的端口对外只能由PCl和网关使用。请参见图3,当私网用户向WAN侧设备发送数据时,网关判断其MAC地址与记录的MAC信息是否一致。若记录的MAC信息一致,则该私网用户为关联私网用户PCl,网关不对数据报文修改,不进行NAT/NAPT地址转换,直接转发数据,并记录PCl会话的五元组信息。若与记录的MAC地址信息不一致,则该私网用户为私网用户PC2PCn。网关判断端口是否为关联私网用户PCl或网关业务预留的专用端口。若是预留的专用端口,则网关对私网用户进行地址和端口的NAPT转换后将数据发送出去,记录NAPT转换前后的五元组信息,建立NAT/NAPT映射表。如表l所示,例如,网关申请的公网地址为IP1=202.204.65.2,端口为8080,网关给私网用户PC2下发的私网IP地址(即源IP地址)为Src-192.168丄2,源端口号为1010,目的IP地址为Des=166.111.80.200,目的端口为80。PC2与WAN侧设备通信,经过网关时,网关进行NAPT地址和端口的转换,将PC2的源IP地址改为公网地址IPl=Src=202.204.65.2,源端口改为8080。这样,WAN侧设备接收到的数据报文中,来源IP地址为网关申请的公网地址IP1,端口为8080。如表1所示,在网关中建立如下NAT/NAPT映射表。网关每进行一次NAT/NAPT转换,就在映射表中相应地增加一条记录。另外,也可以在该映射表中记录直接使用公网地址的关联私网用户PC1的五元组信息。每一个私网用户在NAT/NAPT转换前后的数据都是——对应的关系。<table>tableseeoriginaldocumentpage7</column></row><table>表1若不是预留的专用端口,则判断该端口是否已经被其它的私网用户使用,如果该端口已经#皮<使用,则对私网用户进行地址和端口号的NAPT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其转换前后的五元组信息;如果该端口没有被使用,则网关对私网用户进行网络地址的NAT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其NAT转换前后的五元组信息。请参见图4,当WAN侧向LAN侧私网用户发送数据时,网关在收到数据报文后,根据在NAT/NAPT映射表中记录的五元组信息,将收到的数据报文翻译后,转发给相应的私网用户。由于转换前后的五元组信息都是——对应的关系,因此,网关在收到数据包的时候,可以在映射表中查找相关私网用户的会话信息,这样,就可以使数据转发给相应的私网用户。本发明实施例还提供了一种私网用户使用公网地址接入公网的网关,如图4所示,该网关包括获取单元l,用于从WAN侧获取公网地址;关联单元2,用于将获取的公网地址与特定私网用户相关联;判断单元3,用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;转换翻译单元4,用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。同时,该网关还包括为LAN侧特定私网用户预留的专用端口,和为网关自身业务需要而预留的专用端口。获取单元1在WAN侧通过PPPoE或者DHCP或者静态配置等方式从WAN侧获得公网地址IP1。关联单元2记录下需要与公网侧设备直接通信的特定私网用户的信息,如MAC地址,并将该MAC地址反馈给判断单元3。关联单元2对该公网地址IP1进行特殊标记,并把关联私网用户PC1的IP地址、MAC地址输入到一个静态表中,形成IP地址-MAC地址的绑定,即实现公网地址IP1与PC1相关联。为了关^:私网用户的安全,网关也可以将关联私网用户专用的端口与IP、MAC地址绑定在一起。当私网用户申请地址时,判断单元3根据关联单元2反馈的MAC地址信息,判断私网用户的MAC地址是否与记录的MAC地址一致。若一致,则将公网地址IP1下发给该用户;若不一致,则将私用地址IP2IPn下发给该用户。当私网用户向WAN侧发送数据时,判断单元3判断私网用户的MAC地址是否与记录的MAC地址一致。若一致,则为关联私网用户,判断单元3直接转发数据,并将关联用户的五元组信息反馈给转换翻译单元4。转换翻译单元4将关联私网用户的五元组信息记录在NAT/NAPT映射表中。该映射表是存储在转换翻译单元4中的动态存储表,每个私网用户进行一次NAT/NAPT转换后,都在该映射表增加一条该私网用户转换前后的五元组信息。若MAC地址与记录的MAC地址不一致,则该私网用户为私网用户PC2~PCn。判断单元3判断端口是否为关联私网用户PCI或网关业务预留的专用端口。若是预留的专用端口,则判断单元3将数据报文发送给转换翻译单元4,转换翻译单元4对私网用户进行地址和端口的NAPT转换后将数据发送出去,并在NAT/NAPT映射表中记录该私网用户转换前后的五元组信息。这样,就实现了若不是预留的专用端口,则判断单元3判断该端口是否已经被其它的私网用户使用。如果该端口已经被使用,则判断单元3将数据报文发送给转换翻译单元4,由转换翻译单元4对私网用户进行地址和端口号的NAPT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,增加一条该私网用户转换前后的五元组信息的记录;如果该端口没有4皮-使用,则转换翻译单元4对该私网用户进行网络地址的NAT转换后,将数据报文发送出去,并在NAT/NAPT映射表中,记录其NAT转换前后的五元组信息。当WAN侧向LAN侧私网用户发送数据时,转换翻i奪单元4在收到数据报文后,将收到的数据报文翻译后,根据在NAT/NAPT映射表中记录的五元组信息,转发给相应的私网用户。由于转换前后的五元组信息都是——对应的关系,因此,网关在收到数据包的时候,可以在映射表中查找相关私网用户的会话信息,这样,就可以使数据转发给相应的私网用户。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1、一种私网用户使用公网地址接入公网的方法,其特征在于,该方法包括获取公网地址;将获取的公网地址与LAN侧的特定私网用户关联;当LAN侧私网用户申请地址时,若是所述特定的私网用户,则下发公网地址,否则,下发私网地址。2、根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户向WAN侧发送数据时,4艮据地址信息,若是公网地址,直接转发数据报文;若是私网地址,则进行NAT/NAPT转换后将数据发送,并记录转换前后的五元组信息;当WAN侧向LAN侧私网用户发送数据时,根据五元组信息,转发数据纟合相应的私网用户。3、根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,所述的特定私网用户由网关预先设置并记录其信息。4、根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户申请地址时,网关判断私网用户的信息是否与记录的信息一致若一致,则下发公网地址;若不一致,则下发私网地址。5、根据权利要求1所述的私网用户使用公网地址接入公网的方法,其特征在于,当LAN侧私网用户向WAN侧设备发送数据时,网关根据记录的私网用户信息来判断是否为其分配专用端口。若是特定私网用户,则分配专用端口,并直接将数据发送出去;若不是特定私网用户,则进行NAT/NAPT的转换后,将数据发送出去。6、一种网关,其特征在于,该网关还包括获取单元用于从WAN侧获取公网地址;关联单元用于将获取的公网地址与特定私网用户相关联;判断单元用于判断LAN侧私网用户的属性,并下发地址给相应的私网用户;转换翻译单元用于记录私网用户NAT/NAPT转换前后的五元组信息,并翻译WAN侧设备发送的数据,将数据转发给相应的私网用户。7、根据权利要求6所述的网关,其特征在于,所述的关联单元将公网地址与特定私网用户信息绑定,形成公网地址与私网用户关联。8、根据权利要求6所述的网关,其特征在于,所述的判断单元在判断私网用户信息与记录的信息不一致时,将数据报文发送给转换翻译单元。9、根据权利要求6所述的网关,其特征在于,该网关还包括分别为特定私网用户、网关业务"i殳置的专用端口。全文摘要本发明实施例提供了一种私网用户使用公网地址接入公网的方法,该方法包括当LAN侧私网用户向WAN侧发送数据时,若是公网地址,则直接转发数据报文,并记录特定的私网用户的五元组信息;若是私网地址,则进行NAT/NAPT转换后将数据报文发送出去,并在NAT/NAPT映射表中记录转换前后的五元组信息;当WAN侧向LAN侧私网用户发送数据时,根据NAT/NAPT映射表中的五元组信息,转发数据报文给相应的私网用户。本发明实施例还公开了一种能提供给特定私网用户专用端口的网关。本发明实施例既解决了一个私网中的多个用户的公网地址资源占用的问题,又可以使特定用户与WAN侧设备直接进行通信,安全性更高。文档编号H04L12/56GK101360030SQ20081014193公开日2009年2月4日申请日期2008年8月21日优先权日2008年8月21日发明者叶小玲,凯张,才彦峰申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1