專利名稱:一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種訪問私網(wǎng)內(nèi)服務(wù)器的方法��,特別是涉及一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法����。
背景技術(shù):
域名服務(wù)器(Domain Name Server����,以下簡稱DNS)是互聯(lián)網(wǎng)上至關(guān)重要的一環(huán)。由于互聯(lián)網(wǎng)上的計算機只認(rèn)識IP地址��,但是記錄一長串IP地址對于普通人來說是非常困難的����,而記錄域名則相對簡單很多�,因此設(shè)置了提供將域名轉(zhuǎn)換為IP地址的DNS解析�。
如果外網(wǎng)用戶想要訪問私網(wǎng)中的服務(wù)器,由于私網(wǎng)中沒有可以在互聯(lián)網(wǎng)上使用的公網(wǎng)IP����,則必須通過放置在公網(wǎng)上的DNS服務(wù)器將用戶輸入的域名進(jìn)行解析,如果能夠解析出相應(yīng)的服務(wù)器的地址(公網(wǎng)IP地址)��,用戶才能訪問該服務(wù)器����,否則不能。目前�,Internet用戶都可以從DNS服務(wù)器解析到私網(wǎng)內(nèi)服務(wù)器的地址并從外部訪問企業(yè)私網(wǎng)內(nèi)服務(wù)器。但是如果內(nèi)部用戶需要通過域名訪問私網(wǎng)內(nèi)服務(wù)器��,則企業(yè)還需要在內(nèi)部設(shè)置DNS域名服務(wù)器�,否則內(nèi)部用戶不能像Internet用戶通過統(tǒng)一的域名訪問私網(wǎng)內(nèi)服務(wù)器,而只能通過私網(wǎng)IP地址來訪問�,這給內(nèi)部用戶的訪問帶來諸多不便。在企業(yè)內(nèi)部設(shè)置DNS域名服務(wù)器不僅需要考慮成本因素��,而且組網(wǎng)方式也變得復(fù)雜�����;另一方面,如果不用域名訪問私網(wǎng)內(nèi)服務(wù)器而用用IP地址訪問�����,不如域名方便記憶和識別�����,這就好比叫一個人的名字比叫身份證號碼方便��,用戶的可操作性也不強��,不具有訪問統(tǒng)一性�����,而且私網(wǎng)IP地址隱蔽性差���,容易受內(nèi)部用戶的攻擊。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的缺陷和不足����,本發(fā)明的目的是提出一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法,使私網(wǎng)內(nèi)不需要另行架設(shè)DNS服務(wù)器��,且用戶可以通過域名訪問該私網(wǎng)內(nèi)服務(wù)器。
為了達(dá)到上述目的��,本發(fā)明提出了一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法���,包括步驟1��、在私網(wǎng)與公網(wǎng)連接的設(shè)備上至少啟用環(huán)回接口及地址轉(zhuǎn)換���,并為該私網(wǎng)內(nèi)服務(wù)器設(shè)置靜態(tài)地址轉(zhuǎn)換;步驟2��、當(dāng)上述私網(wǎng)與公網(wǎng)連接的設(shè)備接收到私網(wǎng)內(nèi)用戶發(fā)送的報文時���,判斷該報文的目的IP地址是否為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址����,如果是則進(jìn)入步驟3����,否則步驟結(jié)束;步驟3��、將該報文發(fā)送至環(huán)回接口,該環(huán)回接口將該報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)����,發(fā)送至該私網(wǎng)內(nèi)服務(wù)器。
其中�����,所述方法可以包括在上述私網(wǎng)與公網(wǎng)連接的設(shè)備上啟用策略路由���。
其中��,所述方法還可以包括在上述私網(wǎng)與公網(wǎng)連接的設(shè)備上啟用訪問控制列表��。
其中��,上述步驟3具體為步驟31����、上述私網(wǎng)與公網(wǎng)連接的設(shè)備將該報文的源IP地址進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,轉(zhuǎn)換為公網(wǎng)IP地址���,并將該報文轉(zhuǎn)發(fā)到環(huán)回接口��;步驟32����、該環(huán)回接口接收到該報文后,將該報文返回發(fā)送該報文的接口�����;步驟33��、將該報文的源IP地址和目的IP地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)IP地址�����;步驟34��、發(fā)送該報文的接口將該報文發(fā)送到私網(wǎng)內(nèi)服務(wù)器�。
其中,所述方法還包括步驟4����、私網(wǎng)內(nèi)服務(wù)器通過上述私網(wǎng)與公網(wǎng)連接的設(shè)備向該私網(wǎng)內(nèi)用戶返回報文,該私網(wǎng)與公網(wǎng)連接的設(shè)備接收到該返回報文后��,將該報文的源IP地址使用靜態(tài)地址轉(zhuǎn)換,轉(zhuǎn)換為該私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址�;
步驟5、該環(huán)回接口將該返回報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)���;步驟6����、將該返回報文的源IP地址和目的IP地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)IP地址�;步驟7、該返回報文發(fā)送至該私網(wǎng)內(nèi)用戶�。
本發(fā)明提出了一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法。現(xiàn)有技術(shù)中如果私網(wǎng)內(nèi)用戶要訪問私網(wǎng)內(nèi)服務(wù)器時����,必須在私網(wǎng)內(nèi)設(shè)置DNS服務(wù)器,或者私網(wǎng)內(nèi)用戶直接使用私網(wǎng)IP地址訪問該私網(wǎng)內(nèi)服務(wù)器��,這樣會造成組網(wǎng)成本提高或用戶使用不便����。本發(fā)明通過在私網(wǎng)與公網(wǎng)連接的設(shè)備上啟用環(huán)回接口,并在收到報文時判斷該報文的目的IP地址是否為該私網(wǎng)內(nèi)服務(wù)器的IP地址�����,如果是則將該報文發(fā)送到環(huán)回接口���,環(huán)回接口將該報文直接返回私網(wǎng)內(nèi)��。采用上述方法��,通過使用環(huán)回接口��,使私網(wǎng)內(nèi)用戶訪問私網(wǎng)服務(wù)器時的報文直接返回私網(wǎng)���,企業(yè)不需要在內(nèi)部設(shè)置DNS域名服務(wù)器而內(nèi)部用戶仍可以通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法,采用了新穎而成熟的數(shù)據(jù)處理方式��,因此取得了技術(shù)和安全上的進(jìn)步����,達(dá)到了方便企業(yè)內(nèi)部用戶訪問私網(wǎng)內(nèi)服務(wù)器的效果,降低了組網(wǎng)的復(fù)雜性�,節(jié)省了設(shè)備投資,減少了網(wǎng)絡(luò)帶寬的占用����,提高了訪問靈活性、穩(wěn)定性和網(wǎng)絡(luò)安全性等等���。由于本發(fā)明所述的企業(yè)不需要在內(nèi)部設(shè)置DNS域名服務(wù)器��,因而具有配置簡單��、識記方便�、操作統(tǒng)一、運行穩(wěn)定和安全可靠等優(yōu)點��。同時�����,在現(xiàn)有網(wǎng)絡(luò)中應(yīng)用該方法不需要對網(wǎng)絡(luò)進(jìn)行硬件改造���。
同時���,本發(fā)明采用的是成熟的現(xiàn)有技術(shù),網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation�,以下簡稱NAT)是三層設(shè)備中非常常見的技術(shù),應(yīng)用于公網(wǎng)IP資源不足的網(wǎng)絡(luò)����,即除了與Internet連接的接口外,所有設(shè)備都配置私網(wǎng)IP地址�,在私網(wǎng)內(nèi)通訊時全部使用私網(wǎng)IP地址�,即數(shù)據(jù)包的源和目的IP地址都使用私網(wǎng)IP����;當(dāng)與Internet通訊時����,將有限的公網(wǎng)IP設(shè)置為一個IP地址池,將每一數(shù)據(jù)包的源IP地址(私網(wǎng)IP)轉(zhuǎn)換為IP地址池中的公網(wǎng)IP�,以解決無法為網(wǎng)內(nèi)每一用戶配置一個公網(wǎng)IP的困境。靜態(tài)NAT��,是指對于私網(wǎng)內(nèi)重要的設(shè)備���,設(shè)置固定的NAT�,即該設(shè)備的私網(wǎng)IP固定地對應(yīng)一個公網(wǎng)IP�。環(huán)回接口也是一個成熟的技術(shù),該接口為一虛擬接口���,不需要硬件設(shè)備����,該接口的功能即為將所有接收到的數(shù)據(jù)包直接發(fā)送回私網(wǎng)內(nèi)��。
圖1為應(yīng)用本發(fā)明方法的硬件結(jié)構(gòu)示意圖;圖2為本發(fā)明提出的方法的流程圖�����;圖3為本發(fā)明提出的方法中用戶向服務(wù)器發(fā)送報文時的步驟優(yōu)選實施例流程圖�����;圖4為本發(fā)明提出的方法中服務(wù)器向用戶返回報文時的步驟優(yōu)選實施例流程圖����。
具體實施例方式
下面結(jié)合附圖對本發(fā)明做進(jìn)一步說明。
實現(xiàn)本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示�,在本實施例中,私網(wǎng)與公網(wǎng)連接的設(shè)備使用的是路由器R���,當(dāng)然本領(lǐng)域內(nèi)技術(shù)人員可以理解使用其它三層設(shè)備如三層交換機也可以實現(xiàn)該功能����。在本實施例中�,企業(yè)內(nèi)部至少包括以下設(shè)備主機PC、私網(wǎng)內(nèi)服務(wù)器SERVER�����、交換機和路由器R,而域名服務(wù)器在企業(yè)外部Internet上���。內(nèi)部主機PC和私網(wǎng)內(nèi)服務(wù)器SERVER通過設(shè)備(本實施例中采用的是交換機)連接到路由器R的接口1���,路由器R的接口2連接到外部Internet,并能訪問域名服務(wù)器�����。在路由器R上應(yīng)用的主要功能至少包括網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和環(huán)回接口loopback�����;其中該網(wǎng)絡(luò)地址轉(zhuǎn)換為私網(wǎng)內(nèi)服務(wù)器配置靜態(tài)地址轉(zhuǎn)換����。環(huán)回接口和接口1上至少配置綁定策略路由或者訪問控制列表ACL���,設(shè)置入方向的網(wǎng)絡(luò)地址轉(zhuǎn)換屬性����;接口2和環(huán)回接口loopback至少配置有設(shè)置出方向的網(wǎng)絡(luò)地址轉(zhuǎn)換屬性����。loopback環(huán)回接口是一個虛接口��,不同于實接口���,因此不需使用板卡,該接口的作用是將收到的報文向企業(yè)內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)��。其中環(huán)回接口loopback的IP地址為172.40.10.1���,接口1的IP地址為192.168.88.200���。該私網(wǎng)內(nèi)服務(wù)器的私網(wǎng)IP為192.168.88.2,靜態(tài)地址轉(zhuǎn)換對應(yīng)的公網(wǎng)IP為172.40.10.2��,動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換地址池為172.40.10.10~172.40.10.20�����。
為了提高網(wǎng)絡(luò)的安全性���,還可以在路由器R上啟用訪問控制列表ACL����,訪問控制列表功能主要應(yīng)用于上述策略路由和網(wǎng)絡(luò)地址轉(zhuǎn)換。
本發(fā)明提出的一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法優(yōu)選實施例包括步驟(1)�、在私網(wǎng)與公網(wǎng)連接的設(shè)備(本實施例中是如圖1所示的路由器R)上至少啟用地址轉(zhuǎn)換(NAT)及環(huán)回接口(loopback),且為私網(wǎng)內(nèi)服務(wù)器配置靜態(tài)地址轉(zhuǎn)換���;環(huán)回接口是一個虛擬接口���,不需要實際硬件,該環(huán)回接口的功能是將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)回發(fā)送的接口����;步驟(2)、當(dāng)私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器時���,位于公網(wǎng)上的域名服務(wù)器將該域名解析為該私網(wǎng)內(nèi)服務(wù)器的公網(wǎng)IP地址;步驟(3)����、私網(wǎng)內(nèi)用戶向該公網(wǎng)IP發(fā)送報文;步驟(4)�、該報文發(fā)送到接口1,接口1具有入方向的NAT�����,將該報文的源IP地址轉(zhuǎn)換為公網(wǎng)IP地址;步驟(5)�����、上述路由器R接收到報文時��,判斷該報文的目的IP地址是否為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址����,如果是則將進(jìn)入步驟(6),否則步驟結(jié)束���;步驟(6)�、將該報文發(fā)送到環(huán)回接口���;步驟(7)�、環(huán)回接口將該報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)����,報文被返回接口1;并將該報文的源IP地址和目的IP地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)IP地址�;步驟(8)����、該報文被轉(zhuǎn)發(fā)回私網(wǎng)內(nèi)����,發(fā)送到私網(wǎng)內(nèi)服務(wù)器。
其中��,上述步驟(5)中�����,該路由器R判斷的方法可以為策略路由�����,即在環(huán)回接口上綁定策略路由����,該策略路由可以根據(jù)目的IP地址設(shè)置不同的路由�����,即當(dāng)該報文發(fā)送到路由器R時�,讀取該報文的目的IP地址���;當(dāng)目的IP地址為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址時,將該報文發(fā)送至環(huán)回接口��,并由環(huán)回接口將該報文返回私網(wǎng)內(nèi)���;當(dāng)目的IP地址為其他IP地址時�,按照現(xiàn)有技術(shù)中數(shù)據(jù)發(fā)送的方法�����,將該報文發(fā)送至其它接口�����,例如圖1中所示的接口2����。
訪問控制列表,即在如圖1所示的環(huán)回接口上啟用訪問控制列表�����,當(dāng)報文發(fā)送到路由器R時�,路由器R將該報文向所有的接口轉(zhuǎn)發(fā)�����,環(huán)回接口的ACL設(shè)置為只允許目的IP地址為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址的報文通過����,其它IP地址不允許通過���。這樣只有目的IP地址私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址的報文可以進(jìn)入環(huán)回接口�����,并由該環(huán)回接口轉(zhuǎn)發(fā)回私網(wǎng)內(nèi)����。同時��,為了節(jié)省網(wǎng)絡(luò)資源�����,可以在接口2上啟用ACL����,該ACL不允許目的IP地址為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址的報文通過。
其中���,為了提高網(wǎng)絡(luò)的安全性�,可以在啟用策略路由的同時還在該路由器R上再啟用訪問控制列表(ACL)�,在報文到達(dá)路由器R時進(jìn)行ACL檢查,只有當(dāng)源IP地址和目的IP地址都符合ACL設(shè)置時允許該報文通過���,以提高私網(wǎng)IP地址的隱蔽性���,防止內(nèi)部用戶的攻擊。
其中����,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的設(shè)置方法可以有多種,該技術(shù)為成熟的現(xiàn)有技術(shù)����,在此不一一贅述。
下面以路由器上使用策略路由為例���,對本發(fā)明進(jìn)行進(jìn)一步說明���。該優(yōu)選實施例的流程如圖2所示��,包括第一步�,內(nèi)部某主機通過域名訪問某服務(wù)器�����,經(jīng)過域名服務(wù)器DNS解析�����,得到該服務(wù)器的公網(wǎng)IP地址�,該主機發(fā)出的報文就是以該主機私網(wǎng)IP地址為源IP地址,以該公網(wǎng)IP地址為目的IP地址的數(shù)據(jù)流�����;第二步����,報文到達(dá)路由器R的接口1,接口1具有入方向的NAT�����;第三步,因為接口1上綁定了策略路由���,若該報文的源和目的IP地址都通過ACL檢查,則策略路由生效����,該主機為PC,服務(wù)器為私網(wǎng)內(nèi)服務(wù)器��,轉(zhuǎn)向第四步�����,反之��,策略路由不生效����,該用戶訪問Internet上的服務(wù)器,轉(zhuǎn)向第九步����;第四步,該策略路由預(yù)設(shè)為下一跳為loopback環(huán)回接口���;第五步���,該對該報文的源和目的IP地址都通過ACL檢查�,如果通過則進(jìn)入第六步����,否則丟棄該報文,步驟結(jié)束�����;第六步��,因為接口1和loopback環(huán)回接口分別具有入方向和出方向的網(wǎng)絡(luò)地址轉(zhuǎn)換屬性����,將該報文的源IP地址轉(zhuǎn)換為對應(yīng)的公網(wǎng)IP地址;在本實施例中該報文的將源IP地址為192.168.88.1���,通過動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則轉(zhuǎn)換成地址池172.40.10.10~172.40.10.20中的某個地址���,如172.40.10.10;根據(jù)預(yù)設(shè)的策略路由�����,該報文被發(fā)送到環(huán)回接口,環(huán)回接口將該報文返回接口1�;第七步,由于接口1具有入方向的網(wǎng)絡(luò)地址轉(zhuǎn)換�����,將該報文的源IP地址再轉(zhuǎn)換為私網(wǎng)IP地址192.168.88.1�;第八步�,所以將私網(wǎng)內(nèi)服務(wù)器的公網(wǎng)IP地址172.40.10.2轉(zhuǎn)換成私網(wǎng)IP地址192.168.88.2,報文的源和目的IP都是私網(wǎng)IP了�����,報文可以使用成熟的TCP/IP協(xié)議在私網(wǎng)內(nèi)傳輸���,最后到達(dá)私網(wǎng)內(nèi)服務(wù)器����,步驟結(jié)束�����;第九步,報文將按照正常的路由進(jìn)行轉(zhuǎn)發(fā)���,報文到達(dá)接口2�,因為接口1和接口2上分別具有入方向和出方向的網(wǎng)絡(luò)地址轉(zhuǎn)換屬性�,所以將源IP地址通過動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則轉(zhuǎn)換成地址池172.40.10.11~172.40.10.20中的某個地址,如172.40.10.11�,報文到達(dá)外部Internet。
其中第九步為現(xiàn)有技術(shù)�,不是本發(fā)明關(guān)心的要點。
其中�����,網(wǎng)絡(luò)地址轉(zhuǎn)換的原理為當(dāng)一個網(wǎng)絡(luò)只有幾個公網(wǎng)IP地址時��,如果有多個用戶都需要同時訪問Internet時則無法分配����。為了解決公網(wǎng)IP地址數(shù)量不足的問題,在三層設(shè)備上涉及了NAT功能��,即多個用戶均采用私網(wǎng)IP地址�,而將有限的公網(wǎng)IP地址作為IP地址池。當(dāng)用戶需要訪問Internet時����,源IP地址是一個私網(wǎng)IP地址�。當(dāng)該數(shù)據(jù)包到達(dá)三層設(shè)備時����,該設(shè)備從IP地址池中選取一個公網(wǎng)IP地址,并將該數(shù)據(jù)包的源IP地址更換為該公網(wǎng)IP地址�,然后向Internet發(fā)送。但是這樣就會出現(xiàn)多個私網(wǎng)用戶使用同一個公網(wǎng)IP地址的情況���,為了保證返回的數(shù)據(jù)能夠正確的到達(dá)私網(wǎng)內(nèi)用戶,因此設(shè)置了端口號以區(qū)分使用同一公網(wǎng)IP地址的多個私網(wǎng)用戶����。例如172.40.10.1112345,前面使用公網(wǎng)IP地址�����,后面添加一個五位的端口號���,不同的私網(wǎng)IP地址或不同的業(yè)務(wù)對應(yīng)不同的端口號��。這樣就可以使同一公網(wǎng)IP地址對應(yīng)多個私網(wǎng)用戶�����,當(dāng)三層設(shè)備收到Internet返回報文時���,根據(jù)該返回報文的目的IP地址的端口號����,就可以知道該公網(wǎng)IP地址對應(yīng)的私網(wǎng)IP地址���,并進(jìn)行NAT�����,將公網(wǎng)IP地址正確的轉(zhuǎn)換成對應(yīng)的私網(wǎng)IP地址��,確保數(shù)據(jù)包返回到正確的用戶�����。
當(dāng)私網(wǎng)內(nèi)服務(wù)器向該私網(wǎng)內(nèi)用戶返回時步驟如圖3所示���,包括第1步,從私網(wǎng)內(nèi)服務(wù)器發(fā)送的返回報文在到達(dá)接口1時�,因為接口1上綁定了策略路由��,返回報文的源和目的IP地址都通過ACL檢查�,策略路由生效�����;第2步�����,策略路由預(yù)設(shè)的下一跳設(shè)置為環(huán)回接口�;第3步,該返回報文經(jīng)過靜態(tài)NAT��,將源IP地址轉(zhuǎn)換為公網(wǎng)IP����,例如將源IP地址192.168.88.2轉(zhuǎn)換為公網(wǎng)IP地址172.40.10.2���,將該返回報文發(fā)送到環(huán)回接口�;第4步��,環(huán)回接口將目的IP地址192.168.88.1通過動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則轉(zhuǎn)換成地址池172.40.10.10~172.40.10.20中的某個地址���,如172.40.10.10����;然后將該返回報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā),發(fā)送到接口1���;第5步�����,接口1將返回報文的目的IP地址172.40.10.10轉(zhuǎn)換成私網(wǎng)IP地址192.168.88.1��,報文最后到達(dá)主機PC����。
下面根據(jù)一個實例對本發(fā)明進(jìn)行進(jìn)一步說明����。
假設(shè)企業(yè)的網(wǎng)絡(luò)硬件部分由一臺以上的主機、一臺集線器或交換機���、一臺路由器�����、一臺私網(wǎng)內(nèi)服務(wù)器�����、一臺位于公網(wǎng)上的域名服務(wù)器�����、百/千兆接口板和雙絞線若干等組成���,組網(wǎng)關(guān)系圖如圖1所示�。
一��、軟件部分的處理步驟如下第1步在路由器R上配置訪問控制列表ACL����,分別應(yīng)用于動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和策略路由ip access-list extended 100rule 1 permit icmp 192.168.88.0 0.0.0.255 anyip access-list extended 101rule 1 permit icmp 192.168.88.1 0.0.0.0 172.40.10.2 0.0.0.0
第2步在路由器R上配置策略路由PBR,使得內(nèi)部訪問私網(wǎng)內(nèi)服務(wù)器的報文按照預(yù)置的路由進(jìn)行轉(zhuǎn)發(fā)route-map nat permit 10match ip address 101set ip next-hop 172.40.10.2第3步在路由器R上配置loopback環(huán)回接口�����,使得內(nèi)部訪問私網(wǎng)內(nèi)服務(wù)器的報文能夠向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)ip address 172.40.10.2 255.255.255.0第4步在路由器R上啟用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT并配置動態(tài)和靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則a.啟用NAT模塊ip nat startb.動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則����,應(yīng)用于內(nèi)部用戶訪問Internetip nat pool zte 172.40.10.10 172.40.10.20 prefix length 24ip nat inside source list 100 pool ztec.靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則,應(yīng)用于內(nèi)部用戶訪問私網(wǎng)內(nèi)服務(wù)器SERVERip nat inside source static 192.168.88.2 172.40.10.2第5步在接口1�,接口2和loopback環(huán)回接口上分別配置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT屬性,并在接口1上綁定策略路由接口1ip nat insideip policy route-map nat接口2ip nat outside
loopback接口ip nat outside二���、從PC發(fā)送icmp報文至SERVER���,得到網(wǎng)絡(luò)地址轉(zhuǎn)換條目信息私網(wǎng)地址 公網(wǎng)地址192.168.88.1————→172.40.10.10192.168.88.1←————172.40.10.10192.168.88.2←————172.40.10.2三、從SERVER發(fā)送icmp報文至PC�����,得到網(wǎng)絡(luò)地址轉(zhuǎn)換條目信息私網(wǎng)地址 公網(wǎng)地址192.168.88.2————→172.40.10.2192.168.88.1————→172.40.10.10192.168.88.1←————172.40.10.10
權(quán)利要求
1.一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法�����,包括步驟1�����、在私網(wǎng)與公網(wǎng)連接的設(shè)備上至少啟用環(huán)回接口及地址轉(zhuǎn)換��,并為該私網(wǎng)內(nèi)服務(wù)器設(shè)置靜態(tài)地址轉(zhuǎn)換�;步驟2、當(dāng)上述私網(wǎng)與公網(wǎng)連接的設(shè)備接收到私網(wǎng)內(nèi)用戶發(fā)送的報文時,判斷該報文的目的IP地址是否為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址����,如果是則進(jìn)入步驟3,否則步驟結(jié)束��;步驟3�、將該報文發(fā)送至環(huán)回接口,該環(huán)回接口將該報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)���,發(fā)送至該私網(wǎng)內(nèi)服務(wù)器��。
2.根據(jù)權(quán)利要求1所述的一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法��,其特征在于�����,所述方法還包括在上述私網(wǎng)與公網(wǎng)連接的設(shè)備上啟用策略路由���。
3.根據(jù)權(quán)利要求1所述的一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法,其特征在于�,所述方法還包括在上述私網(wǎng)與公網(wǎng)連接的設(shè)備上啟用訪問控制列表。
4.根據(jù)權(quán)利要求1或2或3所述的一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法����,其特征在于,上述步驟3具體為步驟31����、上述私網(wǎng)與公網(wǎng)連接的設(shè)備將該報文的源IP地址進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,轉(zhuǎn)換為公網(wǎng)IP地址�����,并將該報文轉(zhuǎn)發(fā)到環(huán)回接口����;步驟32、該環(huán)回接口接收到該報文后���,將該報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)����;步驟33�、將該報文的源IP地址和目的IP地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)IP地址;步驟34��、將該報文發(fā)送到私網(wǎng)內(nèi)服務(wù)器���。
5.根據(jù)權(quán)利要求1所述的一種私網(wǎng)內(nèi)用戶通過域名訪問本私網(wǎng)內(nèi)服務(wù)器的方法�����,其特征在于���,所述方法還包括步驟4��、私網(wǎng)內(nèi)服務(wù)器通過上述私網(wǎng)與公網(wǎng)連接的設(shè)備向該私網(wǎng)內(nèi)用戶返回報文�����,該私網(wǎng)與公網(wǎng)連接的設(shè)備接收到該返回報文后��,將該報文的源IP地址使用靜態(tài)地址轉(zhuǎn)換�����,轉(zhuǎn)換為該私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址��;步驟5���、該環(huán)回接口將該返回報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā);步驟6���、將該返回報文的源IP地址和目的IP地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)IP地址�����;步驟7���、該返回報文發(fā)送至該私網(wǎng)內(nèi)用戶。
全文摘要
本發(fā)明公開了一種私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器的方法��,針對現(xiàn)有私網(wǎng)內(nèi)用戶要通過域名訪問私網(wǎng)內(nèi)服務(wù)器須在私網(wǎng)內(nèi)設(shè)置DNS服務(wù)器的問題而發(fā)明����,包括1.在私網(wǎng)與公網(wǎng)連接的設(shè)備上至少啟用環(huán)回接口及地址轉(zhuǎn)換,并為該私網(wǎng)內(nèi)服務(wù)器設(shè)置靜態(tài)地址轉(zhuǎn)換���;2.當(dāng)上述私網(wǎng)與公網(wǎng)連接的設(shè)備接收到私網(wǎng)內(nèi)用戶發(fā)送的報文時�����,判斷該報文的目的IP地址是否為私網(wǎng)內(nèi)服務(wù)器對應(yīng)的公網(wǎng)IP地址�����,如果是則進(jìn)入3��,否則結(jié)束�����;3.將該報文發(fā)送至環(huán)回接口��,該環(huán)回接口將該報文向私網(wǎng)內(nèi)轉(zhuǎn)發(fā)���,發(fā)送至該私網(wǎng)內(nèi)服務(wù)器����。本發(fā)明應(yīng)用在私網(wǎng)內(nèi)用戶通過域名訪問私網(wǎng)內(nèi)服務(wù)器時�����,使私網(wǎng)內(nèi)用戶可以不需要在私網(wǎng)內(nèi)另行架設(shè)DNS服務(wù)器即可通過域名訪問私網(wǎng)內(nèi)服務(wù)器�。
文檔編號H04L29/10GK101060493SQ200710106968
公開日2007年10月24日 申請日期2007年5月14日 優(yōu)先權(quán)日2007年5月14日
發(fā)明者孫勇, 鄭軼, 桂小華 申請人:中興通訊股份有限公司