基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種基于網(wǎng)絡(luò)隔離裝置的通信方法和裝置,所述方法包括:內(nèi)端主機建立與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;外端主機根據(jù)從內(nèi)端主機收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接;所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包并將所述內(nèi)網(wǎng)數(shù)據(jù)包封裝生成第二數(shù)據(jù)包發(fā)送至外端主機;所述外端主機對所述第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝和地址轉(zhuǎn)換依次生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包、第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包和鏈路數(shù)據(jù)包;之后外端主機通過所述外網(wǎng)連接將所述內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。相對于現(xiàn)有技術(shù),本發(fā)明提供的方法在外端主機無需配置網(wǎng)絡(luò)地址的情況下,內(nèi)網(wǎng)終端和外網(wǎng)終端可以正常通信。
【專利說明】基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明適用于通信【技術(shù)領(lǐng)域】,尤其是涉及基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的飛速發(fā)展,使得信息能夠高度共享和迅速傳遞,它的開放性在給人們帶來巨大便利的同時,也帶來了系統(tǒng)入侵、信息泄密等網(wǎng)絡(luò)安全問題,因此,網(wǎng)絡(luò)安全隔離技術(shù)也得到越來越多的重視。通過部署網(wǎng)絡(luò)隔離裝置可以真正的實現(xiàn)網(wǎng)絡(luò)隔離,在阻斷各種網(wǎng)絡(luò)攻擊的前提下,為用戶提供安全的網(wǎng)絡(luò)操作、郵件訪問以及基于文件和數(shù)據(jù)庫的數(shù)據(jù)交換。
[0003]網(wǎng)絡(luò)隔離裝置部署在以太網(wǎng)鏈路上,內(nèi)外主機連接兩個獨立網(wǎng)絡(luò)進行傳輸控制協(xié)議 / 網(wǎng)際互聯(lián)協(xié)議(Transmiss1n Control Protocol/Internet Protocol, TCP/IP)數(shù)據(jù)傳輸。現(xiàn)有的網(wǎng)絡(luò)隔離裝置具有內(nèi)端主機和外端主機,內(nèi)端主機與內(nèi)網(wǎng)相連,外端主機與外網(wǎng)相連,內(nèi)端主機與外端主機各自配有IP地址,當(dāng)內(nèi)網(wǎng)與外網(wǎng)進行通訊時,實際是通過與網(wǎng)絡(luò)隔離裝置中的內(nèi)端主機和外端主機進行通信,例如,將數(shù)據(jù)包從外網(wǎng)終端發(fā)送至內(nèi)網(wǎng)的設(shè)備,首先,將數(shù)據(jù)包發(fā)送到外端主機,外端主機對數(shù)據(jù)包進行安全檢查,如包過濾,內(nèi)容掃描,認(rèn)證審查等,若通過安全檢查,則去掉數(shù)據(jù)包各種包頭信息,只保留應(yīng)用層數(shù)據(jù),也就是原始數(shù)據(jù),然后用自定義的協(xié)議封裝該數(shù)據(jù),通過隔離通道發(fā)送至內(nèi)端主機,再由內(nèi)端主機發(fā)送至內(nèi)網(wǎng)的設(shè)備。
[0004]由于針對用戶的各種基于TCP或者用戶數(shù)據(jù)報協(xié)議(User Data Protocol, UDP)的通信業(yè)務(wù),例如郵件訪問、數(shù)據(jù)庫訪問、OA辦公等,內(nèi)外端主機需要實現(xiàn)相關(guān)的協(xié)議代理功能,如TCP代理、UDP代理,以實現(xiàn)IP數(shù)據(jù)的正常傳輸。因此現(xiàn)有技術(shù)中內(nèi)外端主機必須配置網(wǎng)絡(luò)地址以支持TCP、UDP代理功能的實現(xiàn)。但是外端主機配置了網(wǎng)絡(luò)地址,則外端主機所在網(wǎng)絡(luò)的其它網(wǎng)絡(luò)設(shè)備可以對其訪問,惡意攻擊者可以利用外端主機的漏洞對其攻擊和入侵,存在著極大的安全隱患。
[0005]因此,目前需要本領(lǐng)域技術(shù)人員迫切解決的一個技術(shù)問題就是:如何解決由于網(wǎng)絡(luò)隔離裝置中的外端主機配置網(wǎng)絡(luò)地址而存在安全隱患的問題,進而提高網(wǎng)絡(luò)的安全性。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法和相應(yīng)的網(wǎng)絡(luò)隔離裝置。
[0007]依據(jù)本發(fā)明的一個方面,提供了一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法,包括:
[0008]內(nèi)端主機響應(yīng)內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址;
[0009]所述內(nèi)端主機通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址,所述第一目的網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址;
[0010]所述外端主機根據(jù)收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址;
[0011]所述外端主機在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,所述外網(wǎng)地址映射記錄包括所述外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、所述內(nèi)網(wǎng)連接標(biāo)識、所述第一源網(wǎng)絡(luò)地址和所述第一目的網(wǎng)絡(luò)地址;
[0012]所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包,所述內(nèi)網(wǎng)數(shù)據(jù)包攜帶有所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù);
[0013]所述內(nèi)端主機將所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,并將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機;所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址;
[0014]所述外端主機從接收到的第二數(shù)據(jù)包中獲取所述內(nèi)網(wǎng)連接標(biāo)識,并匹配所述內(nèi)網(wǎng)連接標(biāo)識與所述外網(wǎng)地址映射表,若不存在匹配的外網(wǎng)地址映射記錄,則丟棄所述第二數(shù)據(jù)包,若存在匹配的外網(wǎng)地址映射記錄,則繼續(xù)執(zhí)行后續(xù)步驟;
[0015]所述外端主機以虛擬網(wǎng)絡(luò)地址對所述第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址;
[0016]所述外端主機根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址;
[0017]所述外端主機在預(yù)置的地址解析表中查找所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包對應(yīng)的下一跳目的物理地址,并基于所述下一跳目的物理地址對所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包;
[0018]所述外端主機通過所述外網(wǎng)連接將所述內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。
[0019]依據(jù)本發(fā)明的另一個方面,提供了一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法,包括:
[0020]外端主機響應(yīng)外網(wǎng)終端向內(nèi)網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立外端主機與外網(wǎng)終端的外網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有外網(wǎng)終端網(wǎng)絡(luò)地址和內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0021]所述外端主機通過隔離通道向?qū)?yīng)的內(nèi)端主機發(fā)送第三數(shù)據(jù)包,所述第三數(shù)據(jù)包攜帶有外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、第二源網(wǎng)絡(luò)地址和第二目的網(wǎng)絡(luò)地址,所述第二源網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址,所述第二目的網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0022]所述內(nèi)端主機根據(jù)收到的第三數(shù)據(jù)包與內(nèi)網(wǎng)終端建立內(nèi)網(wǎng)連接,所述內(nèi)網(wǎng)連接的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為第二目的網(wǎng)絡(luò)地址;
[0023]所述內(nèi)端主機在預(yù)置的內(nèi)網(wǎng)地址映射表中設(shè)置內(nèi)網(wǎng)地址映射記錄,所述內(nèi)網(wǎng)地址映射記錄包括所述內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、所述外網(wǎng)連接標(biāo)識、所述第二源網(wǎng)絡(luò)地址和所述第二目的網(wǎng)絡(luò)地址;
[0024]所述外端主機通過所述外網(wǎng)連接接收外網(wǎng)終端發(fā)送的外網(wǎng)數(shù)據(jù)包,所述外網(wǎng)數(shù)據(jù)包攜帶有所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù);
[0025]所述外端主機將所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)封裝生成第四數(shù)據(jù)包,并將所述第四數(shù)據(jù)包通過隔離通道發(fā)送至內(nèi)端主機;所述第四數(shù)據(jù)包的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址;
[0026]所述內(nèi)端主機從接收到的第四數(shù)據(jù)包中獲取所述外網(wǎng)連接標(biāo)識,并匹配所述外網(wǎng)連接標(biāo)識與所述內(nèi)網(wǎng)地址映射表,若不存在匹配的內(nèi)網(wǎng)地址映射記錄,則丟棄所述第四數(shù)據(jù)包,若存在匹配的內(nèi)網(wǎng)地址映射記錄,則繼續(xù)執(zhí)行后續(xù)步驟;
[0027]所述內(nèi)端主機對所述第四數(shù)據(jù)包中的外網(wǎng)載荷數(shù)據(jù)進行封裝,生成外網(wǎng)網(wǎng)路數(shù)據(jù)包,所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0028]所述內(nèi)端主機查找內(nèi)網(wǎng)終端目的物理地址,并基于內(nèi)網(wǎng)終端目的物理地址對所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成外網(wǎng)鏈路數(shù)據(jù)包;
[0029]所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接將所述外網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的內(nèi)網(wǎng)終端。
[0030]依據(jù)本發(fā)明的另一個方面,提供了一種網(wǎng)絡(luò)隔離裝置,包括:內(nèi)端主機、隔離通道和外端主機;
[0031]所述內(nèi)端主機包括:內(nèi)網(wǎng)連接代理模塊、內(nèi)網(wǎng)隔離通信模塊、內(nèi)網(wǎng)數(shù)據(jù)接收模塊;
[0032]所述外端主機包括:外網(wǎng)隔離通信模塊、外網(wǎng)連接代理模塊、外網(wǎng)網(wǎng)絡(luò)地址封裝模塊、地址轉(zhuǎn)換模塊、外網(wǎng)物理地址封裝模塊、外網(wǎng)網(wǎng)橋;
[0033]所述隔離通道,用于在內(nèi)端主機和外端主機之間進行數(shù)據(jù)傳輸;
[0034]所述內(nèi)網(wǎng)連接代理模塊,用于響應(yīng)內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址;
[0035]所述內(nèi)網(wǎng)隔離通信模塊,用于通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址,所述第一目的網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址;
[0036]所述外網(wǎng)隔離通信模塊,用于從隔離通道接收所述第一數(shù)據(jù)包,并將所述第一數(shù)據(jù)包發(fā)送至外網(wǎng)連接代理模塊;
[0037]所述外網(wǎng)連接代理模塊,用于根據(jù)從外網(wǎng)隔離通信模塊收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址;
[0038]所述外網(wǎng)連接代理模塊,還用于在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,所述外網(wǎng)地址映射記錄包括所述外網(wǎng)連接代理模塊建立的外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、所述從隔離通道接收的第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址;
[0039]所述內(nèi)網(wǎng)數(shù)據(jù)接收模塊,用于通過所述內(nèi)網(wǎng)連接代理模塊建立的內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包,所述內(nèi)網(wǎng)數(shù)據(jù)包攜帶有所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù);
[0040]所述內(nèi)網(wǎng)隔離通信模塊,還用于將所述內(nèi)網(wǎng)數(shù)據(jù)接收模塊接收的內(nèi)網(wǎng)數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,并將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機中的外網(wǎng)隔離通信模塊;所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址;
[0041]所述外網(wǎng)連接代理模塊,還用于從所述外網(wǎng)隔離通信模塊接收到的第二數(shù)據(jù)包中獲取所述內(nèi)網(wǎng)連接標(biāo)識,并匹配所述內(nèi)網(wǎng)連接標(biāo)識與所述外網(wǎng)地址映射表,若不存在匹配的外網(wǎng)地址映射記錄,則丟棄所述第二數(shù)據(jù)包,若存在,則將所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)發(fā)送至外網(wǎng)網(wǎng)絡(luò)地址封裝模塊;
[0042]所述外網(wǎng)網(wǎng)絡(luò)地址封裝模塊,用于對從所述外網(wǎng)連接代理模塊接收到的第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址;
[0043]所述地址轉(zhuǎn)換模塊,用于根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述網(wǎng)絡(luò)地址封裝模塊生成的第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址;
[0044]所述外網(wǎng)物理地址封裝模塊,用于在預(yù)置的地址解析表中查找所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包對應(yīng)的下一跳目的物理地址,并基于所述下一跳目的物理地址對所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包;
[0045]所述外網(wǎng)網(wǎng)橋,用于通過所述外網(wǎng)連接代理模塊所建立的外網(wǎng)連接將所述外網(wǎng)物理地址封裝模塊生成的內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。
[0046]依據(jù)本發(fā)明的另一個方面,提供了一種網(wǎng)絡(luò)隔離裝置,包括:外端主機、隔離通道和內(nèi)端主機;
[0047]所述外端主機包括:外網(wǎng)連接代理模塊、外網(wǎng)隔離通信模塊、外網(wǎng)數(shù)據(jù)接收模塊;
[0048]所述內(nèi)端主機包括:內(nèi)網(wǎng)隔離通信模塊、內(nèi)網(wǎng)連接代理模塊、內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊、內(nèi)網(wǎng)物理地址封裝模塊、內(nèi)網(wǎng)網(wǎng)橋;
[0049]所述隔離通道,用于在外端主機和內(nèi)端主機之間進行數(shù)據(jù)傳輸;
[0050]所述外網(wǎng)連接代理模塊,用于響應(yīng)外網(wǎng)終端向內(nèi)網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立外端主機與外網(wǎng)終端的外網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有外網(wǎng)終端網(wǎng)絡(luò)地址和內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0051]所述外網(wǎng)隔離通信模塊,用于通過隔離通道向?qū)?yīng)的內(nèi)端主機發(fā)送第三數(shù)據(jù)包,所述第三數(shù)據(jù)包攜帶有外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、第二源網(wǎng)絡(luò)地址和第二目的網(wǎng)絡(luò)地址,所述第二源網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址,所述第二目的網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0052]所述內(nèi)網(wǎng)隔離通信模塊,用于從隔離通道接收所述第三數(shù)據(jù)包,并將所述第三數(shù)據(jù)包發(fā)送至內(nèi)網(wǎng)連接代理模塊;
[0053]所述內(nèi)網(wǎng)連接代理模塊,用于根據(jù)從內(nèi)網(wǎng)隔離通信模塊收到的第三數(shù)據(jù)包與內(nèi)網(wǎng)終端建立內(nèi)網(wǎng)連接,所述內(nèi)網(wǎng)連接的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為第二目的網(wǎng)絡(luò)地址;
[0054]所述內(nèi)網(wǎng)連接代理模塊,還用于在預(yù)置的內(nèi)網(wǎng)地址映射表中設(shè)置內(nèi)網(wǎng)地址映射記錄,所述內(nèi)網(wǎng)地址映射記錄包括所述內(nèi)網(wǎng)連接代理模塊建立的內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、所述外網(wǎng)連接標(biāo)識、所述第二源網(wǎng)絡(luò)地址和所述第二目的網(wǎng)絡(luò)地址;
[0055]所述外網(wǎng)數(shù)據(jù)接收模塊,用于通過所述外網(wǎng)連接代理模塊建立的外網(wǎng)連接接收外網(wǎng)終端發(fā)送的外網(wǎng)數(shù)據(jù)包,所述外網(wǎng)數(shù)據(jù)包攜帶有所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù);
[0056]所述外網(wǎng)隔離通信模塊,還用于將所述外網(wǎng)數(shù)據(jù)接收模塊接收的外網(wǎng)數(shù)據(jù)包中的外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)封裝生成第四數(shù)據(jù)包,并將所述第四數(shù)據(jù)包通過隔離通道發(fā)送至內(nèi)端主機中的內(nèi)網(wǎng)隔離通信模塊;所述第四數(shù)據(jù)包的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址;
[0057]所述內(nèi)網(wǎng)連接代理模塊,還用于從所述內(nèi)網(wǎng)隔離通信模塊接收到的第四數(shù)據(jù)包中獲取所述外網(wǎng)連接標(biāo)識,并匹配所述外網(wǎng)連接標(biāo)識與所述內(nèi)網(wǎng)地址映射表,若不存在匹配的內(nèi)網(wǎng)地址映射記錄,則丟棄所述第四數(shù)據(jù)包,若存在,則將所述外網(wǎng)鏈接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)發(fā)送至內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊;
[0058]所述內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊,用于對從所述內(nèi)網(wǎng)連接代理模塊接收到的第四數(shù)據(jù)包中的外網(wǎng)載荷數(shù)據(jù)進行封裝,生成外網(wǎng)網(wǎng)路數(shù)據(jù)包,所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址;
[0059]所述內(nèi)網(wǎng)物理地址封裝模塊,用于在預(yù)置的地址解析表中查找內(nèi)網(wǎng)終端目的物理地址,并基于內(nèi)網(wǎng)終端目的物理地址對所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成外網(wǎng)鏈路數(shù)據(jù)包;
[0060]所述內(nèi)網(wǎng)網(wǎng)橋,用于通過所述內(nèi)網(wǎng)連接將所述外網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的內(nèi)網(wǎng)終端。
[0061]在本發(fā)明提供的基于網(wǎng)絡(luò)隔離裝置的通信方法中,內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送數(shù)據(jù)包之前,首先建立內(nèi)網(wǎng)終端和內(nèi)端主機之間的內(nèi)網(wǎng)連接,然后再建立外端主機與外網(wǎng)終端之間的外網(wǎng)連接,由于外端主機沒有設(shè)置網(wǎng)絡(luò)地址,因此外端主機以本機的虛擬網(wǎng)絡(luò)地址和外網(wǎng)終端建立外網(wǎng)連接,兩個連接都建立成功后,內(nèi)網(wǎng)終端開始發(fā)送數(shù)據(jù),通過內(nèi)網(wǎng)連接將數(shù)據(jù)發(fā)送至內(nèi)端主機,內(nèi)端主機通過隔離通道將數(shù)據(jù)發(fā)送至外端主機,由于外端主機沒有設(shè)置網(wǎng)絡(luò)地址,因此,需要對發(fā)向外網(wǎng)的數(shù)據(jù)進行源網(wǎng)絡(luò)地址轉(zhuǎn)換,之后,查找到當(dāng)前數(shù)據(jù)包下一跳的MAC地址,對數(shù)據(jù)包進行封裝并發(fā)送至外網(wǎng)終端,從而實現(xiàn)了在外端主機無網(wǎng)絡(luò)地址配置的情況下,內(nèi)網(wǎng)終端正常向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的方法,避免了外端主機因配置網(wǎng)絡(luò)地址而遭受外網(wǎng)攻擊和入侵的問題,提高了網(wǎng)絡(luò)隔離裝置自身以及內(nèi)部網(wǎng)絡(luò)的安全性。
[0062]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】。
【專利附圖】
【附圖說明】
[0063]通過閱讀下文優(yōu)選實施方式的詳細(xì)描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
[0064]圖1示出了根據(jù)本發(fā)明實施例一提供的一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法流程示意圖;
[0065]圖2a示出了根據(jù)本發(fā)明實施例二提供的一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法流程示意圖;
[0066]圖2b示出了根據(jù)本發(fā)明實施例二提供的一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法流程框圖;
[0067]圖3示出了根據(jù)本發(fā)明實施例三提供的一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法流程示意圖;
[0068]圖4示出了根據(jù)本發(fā)明實施例四提供的一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法流程示意圖;
[0069]圖5示出了根據(jù)本發(fā)明實施例五提供的一種網(wǎng)絡(luò)隔離裝置結(jié)構(gòu)框圖;
[0070]圖6示出了根據(jù)本發(fā)明實施例六提供的一種網(wǎng)絡(luò)隔離裝置結(jié)構(gòu)框圖。
【具體實施方式】
[0071]為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細(xì)的說明。
[0072]實施例一
[0073]本實施例提供了一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法,參見圖1,所述方法包括:
[0074]步驟101,內(nèi)端主機響應(yīng)內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址。
[0075]在網(wǎng)絡(luò)數(shù)據(jù)傳輸時,使用面向連接的TCP傳輸協(xié)議、面向非連接的UDP傳輸協(xié)議或其它協(xié)議,本發(fā)明不做具體限制,在本發(fā)明實施例中,優(yōu)選的,使用TCP傳輸協(xié)議。
[0076]基于TCP連接的網(wǎng)絡(luò)數(shù)據(jù)傳輸,需要先建立TCP連接,TCP連接建立成功之后,雙方才進行數(shù)據(jù)的傳輸。因此,在內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送數(shù)據(jù)之前,內(nèi)網(wǎng)終端需要和外網(wǎng)終端建立TCP連接,TCP連接建立成功后才開始傳輸數(shù)據(jù)。
[0077]首先,內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送連接請求數(shù)據(jù)包,所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址。
[0078]然后,網(wǎng)絡(luò)隔離裝置中的內(nèi)端主機對所述請求數(shù)據(jù)包做出響應(yīng),并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接。
[0079]最后,內(nèi)網(wǎng)連接建立成功后,系統(tǒng)分配所述內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識。
[0080]步驟102,內(nèi)端主機通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址,所述第一目的網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址。
[0081]當(dāng)內(nèi)網(wǎng)連接建立成功之后,內(nèi)端主機通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,并通知外端主機建立對應(yīng)的外網(wǎng)連接。
[0082]步驟103,外端主機根據(jù)收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址。
[0083]外端主機接收到內(nèi)端主機發(fā)送的第一數(shù)據(jù)包后,根據(jù)所述第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接。在本發(fā)明實施例中,外端主機不設(shè)置網(wǎng)絡(luò)地址,而僅設(shè)置虛擬網(wǎng)絡(luò)地址。因此,外端主機以本機虛擬網(wǎng)絡(luò)地址與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址,即目的地址為外網(wǎng)終端網(wǎng)絡(luò)地址,夕卜網(wǎng)連接建立成功之后,系統(tǒng)分配一個對應(yīng)的外網(wǎng)連接標(biāo)識。
[0084]步驟104,外端主機在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,所述外網(wǎng)地址映射記錄包括所述外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、所述內(nèi)網(wǎng)連接標(biāo)識、所述第一源網(wǎng)絡(luò)地址和所述第一目的網(wǎng)絡(luò)地址。
[0085]在本發(fā)明實施例中,優(yōu)選的,使用SOCKET ID來唯一標(biāo)識一個TCP連接,但是使用其它方式標(biāo)識TCP連接也同樣得到支持,例如用IP地址加上端口號也可以唯一標(biāo)識一個TCP連接,對此,本發(fā)明不做具體限制。
[0086]在本發(fā)明實施例中,所述外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識為所述外網(wǎng)連接對應(yīng)的SOCKET ID,所述內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識為內(nèi)網(wǎng)連接對應(yīng)的SOCKET ID。
[0087]在本發(fā)明的另一優(yōu)選實施例中,步驟104之后,還包括:將所述第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識和所述第一源網(wǎng)絡(luò)地址設(shè)置到預(yù)置的地址轉(zhuǎn)換表中,也就是將所述內(nèi)網(wǎng)連接對應(yīng)的SOCKET ID和所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址設(shè)置到所述預(yù)置的地址轉(zhuǎn)換表中。
[0088]步驟105,內(nèi)端主機通過所述內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包,所述內(nèi)網(wǎng)數(shù)據(jù)包攜帶有所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)。
[0089]在內(nèi)網(wǎng)連接和外網(wǎng)連接建立成功,并且外網(wǎng)地址映射表和地址轉(zhuǎn)換表設(shè)置完成之后,所述內(nèi)網(wǎng)終端開始通過內(nèi)網(wǎng)連接向內(nèi)端主機發(fā)送內(nèi)網(wǎng)數(shù)據(jù)包。
[0090]步驟106,內(nèi)端主機將所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,并將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機;所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址。
[0091]本步驟具體包括:
[0092]內(nèi)端主機接收到所述內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包之后,對接收到的內(nèi)網(wǎng)數(shù)據(jù)包進行解析,得到內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù);
[0093]內(nèi)端主機將內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址;
[0094]內(nèi)端主機將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機。
[0095]步驟107,外端主機從接收到的第二數(shù)據(jù)包中獲取所述內(nèi)網(wǎng)連接標(biāo)識,并匹配所述內(nèi)網(wǎng)連接標(biāo)識與所述外網(wǎng)地址映射表,若不存在匹配的外網(wǎng)地址映射記錄,則丟棄所述第二數(shù)據(jù)包,若存在匹配的外網(wǎng)地址映射記錄,則繼續(xù)執(zhí)行后續(xù)步驟。
[0096]所述外端主機接收到所述內(nèi)端主機通過隔離通道發(fā)送的第二數(shù)據(jù)包之后,對所述第二數(shù)據(jù)包進行解析,得到所述內(nèi)網(wǎng)連接標(biāo)識,并在所述外網(wǎng)地址映射表中查找是否有所述內(nèi)網(wǎng)連接標(biāo)識對應(yīng)的外網(wǎng)地址映射記錄,若沒有,則說明所述第二數(shù)據(jù)包沒有建立好網(wǎng)絡(luò)連接,則丟棄所述第二數(shù)據(jù)包,若有,則繼續(xù)執(zhí)行后續(xù)步驟。
[0097]步驟108,外端主機以虛擬網(wǎng)絡(luò)地址對所述第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址。
[0098]所述外端主機根據(jù)所述內(nèi)網(wǎng)連接標(biāo)識,在預(yù)置的外網(wǎng)地址映射表中獲取所述內(nèi)網(wǎng)連接標(biāo)識對應(yīng)的第一目的網(wǎng)絡(luò)地址,并且對所述第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址。
[0099]步驟109,外端主機根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址。
[0100]由于所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為外端主機虛擬網(wǎng)絡(luò)地址,外端主機無法以虛擬網(wǎng)絡(luò)地址發(fā)送所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,因此外端主機需要對所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行源地址轉(zhuǎn)換。
[0101]所述外端主機對所述內(nèi)網(wǎng)載荷數(shù)據(jù)進行源地址轉(zhuǎn)換的過程具體為:所述外端主機根據(jù)所述內(nèi)網(wǎng)連接標(biāo)識,在預(yù)置的地址轉(zhuǎn)換表中查找所述內(nèi)網(wǎng)連接標(biāo)識對應(yīng)的第一源網(wǎng)絡(luò)地址,并將所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址設(shè)置為所述第一源網(wǎng)絡(luò)地址。
[0102]步驟110,外端主機在預(yù)置的地址解析表中查找所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包對應(yīng)的下一跳目的物理地址,并基于所述下一跳目的物理地址對所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包。
[0103]由于在具體實施時,網(wǎng)絡(luò)隔離裝置一般通過路由器連接外網(wǎng),因此,在本發(fā)明實施例中,所述下一跳目的物理地址包括所述內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包下一跳路由器的MAC地址,所述外端主機查找所述內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包下一跳路由器的MAC地址,并用所述MAC地址對所述內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包。
[0104]步驟111,外端主機通過所述外網(wǎng)連接將所述內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。
[0105]外端主機將所述內(nèi)網(wǎng)鏈路數(shù)據(jù)包通過所述外網(wǎng)連接發(fā)送至下一跳路由器,再由所述下一跳路由器轉(zhuǎn)發(fā)至對應(yīng)的外網(wǎng)終端。
[0106]在本實施例提供的基于網(wǎng)絡(luò)隔離裝置的通信方法中,內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送數(shù)據(jù)包之前,首先建立內(nèi)網(wǎng)終端和內(nèi)端主機之間的內(nèi)網(wǎng)連接,然后再建立外端主機與外網(wǎng)終端之間的外網(wǎng)連接,由于外端主機沒有設(shè)置網(wǎng)絡(luò)地址,因此外端主機以本機的虛擬網(wǎng)絡(luò)地址和外網(wǎng)終端建立外網(wǎng)連接,兩個連接都建立成功后,內(nèi)網(wǎng)終端開始發(fā)送數(shù)據(jù),通過內(nèi)網(wǎng)連接將數(shù)據(jù)發(fā)送至內(nèi)端主機,內(nèi)端主機通過隔離通道將數(shù)據(jù)發(fā)送至外端主機,由于外端主機沒有設(shè)置網(wǎng)絡(luò)地址,因此,需要對發(fā)向外網(wǎng)的數(shù)據(jù)進行源網(wǎng)絡(luò)地址轉(zhuǎn)換,之后,查找到當(dāng)前數(shù)據(jù)包下一跳的MAC地址,對數(shù)據(jù)包進行封裝并發(fā)送至外網(wǎng)終端,從而實現(xiàn)了在外端主機無網(wǎng)絡(luò)地址配置的情況下,內(nèi)網(wǎng)終端正常向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的方法,避免了外端主機因配置網(wǎng)絡(luò)地址而遭受外網(wǎng)攻擊和入侵的問題,提高了網(wǎng)絡(luò)隔離裝置自身以及內(nèi)部網(wǎng)絡(luò)的安全性。
[0107]實施例二
[0108]在本實施例中,結(jié)合具體實例提供了一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法。在本發(fā)明實施例中,所述網(wǎng)絡(luò)隔離裝置包括:內(nèi)端主機、隔離通道和外端主機。其中,內(nèi)端主機包括:內(nèi)網(wǎng)連接代理模塊、內(nèi)網(wǎng)隔離通信模塊、內(nèi)網(wǎng)數(shù)據(jù)接收模塊;外端主機包括:外網(wǎng)隔離通信模塊、外網(wǎng)連接代理模塊、外網(wǎng)網(wǎng)絡(luò)地址封裝模塊、地址轉(zhuǎn)換(Network AddressTranslat1n, NAT)模塊、外網(wǎng)物理地址(Media Access Control, MAC)封裝模塊、外網(wǎng)網(wǎng)橋。在本實施例中,我們以基于TCP協(xié)議的數(shù)據(jù)通信為例對給出的具體實例進行描述,所述內(nèi)網(wǎng)連接代理模塊具體為內(nèi)網(wǎng)TCP代理模塊,所述外網(wǎng)連接代理模塊具體為外網(wǎng)TCP代理模塊。進一步的,所述外端主機還包括地址轉(zhuǎn)換配置模塊,用于將外網(wǎng)隔離通信模塊所接收的第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址設(shè)置到預(yù)置的地址轉(zhuǎn)換表中;所述外端主機還包括外網(wǎng)地址解析(Address Resolut1n Protocol, ARP)表配置模塊,用于接收外網(wǎng)終端對內(nèi)網(wǎng)終端的物理地址請求,并把外端主機物理地址作為響應(yīng)發(fā)送給請求終端,以及設(shè)置外網(wǎng)地址解析表。
[0109]參見圖2a和圖2b,所述方法包括:
[0110]步驟201,內(nèi)端主機與內(nèi)網(wǎng)終端建立內(nèi)網(wǎng)連接。
[0111]在本實施例中,以內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址為10.1.1.100,外網(wǎng)終端網(wǎng)絡(luò)地址為20.1.1.100為例,所述內(nèi)網(wǎng)終端向所述外網(wǎng)終端發(fā)送內(nèi)網(wǎng)數(shù)據(jù)包之前,需要先建立內(nèi)網(wǎng)終端與外網(wǎng)終端之間的TCP連接,因此,內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送TCP連接請求數(shù)據(jù)包,所述連接請求數(shù)據(jù)包攜帶有TCP連接請求源地址,即內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址10.1.1.100,TCP連接請求目的地址,即外網(wǎng)終端網(wǎng)絡(luò)地址20.1.1.100。
[0112]所述內(nèi)端主機中的內(nèi)網(wǎng)TCP代理模塊響應(yīng)所述連接請求數(shù)據(jù)包,并且以內(nèi)端主機網(wǎng)絡(luò)地址為目的地址,以10.1.1.200為例,內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址10.1.1.100為源地址,建立內(nèi)網(wǎng)連接。
[0113]所述內(nèi)網(wǎng)連接建立成功之后,系統(tǒng)分配所述內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識,例如,SOCKET ID 為 SIDl。
[0114]步驟202,內(nèi)端主機向外端主機發(fā)送第一數(shù)據(jù)包。
[0115]當(dāng)內(nèi)網(wǎng)連接建立成功之后,所述內(nèi)端主機中的內(nèi)網(wǎng)隔離通信模塊通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,并通知外端主機建立對應(yīng)的外網(wǎng)連接。
[0116]所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識SID1、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為數(shù)據(jù)發(fā)送端,即內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址10.1.1.100,所述第一目的網(wǎng)絡(luò)地址為數(shù)據(jù)接收端,即外網(wǎng)終端網(wǎng)絡(luò)地址20.1.1.100。
[0117]步驟203,外端主機與外網(wǎng)終端建立外網(wǎng)連接。
[0118]所述外端主機中的外網(wǎng)隔離通信模塊從隔離通道接收到第一數(shù)據(jù)包后,將所述第一數(shù)據(jù)包發(fā)送至外網(wǎng)TCP代理模塊,所述外網(wǎng)TCP代理模塊根據(jù)所述第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,以1.1.1.2為例,目的地址為第一目的網(wǎng)絡(luò)地址20.1.1.100,外網(wǎng)連接建立成功之后,系統(tǒng)分配一個對應(yīng)的外網(wǎng)連接標(biāo)識,以SID2為例。
[0119]步驟204,外端主機在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄。
[0120]外網(wǎng)TCP代理模塊在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,外網(wǎng)地址映射記錄包括所述外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址。地址映射表參見表1。
[0121]
【權(quán)利要求】
1.一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法,其特征在于,包括: 內(nèi)端主機響應(yīng)內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)端主機通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址,所述第一目的網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址; 所述外端主機根據(jù)收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址; 所述外端主機在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,所述外網(wǎng)地址映射記錄包括所述外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、所述內(nèi)網(wǎng)連接標(biāo)識、所述第一源網(wǎng)絡(luò)地址和所述第一目的網(wǎng)絡(luò)地址; 所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包,所述內(nèi)網(wǎng)數(shù)據(jù)包攜帶有所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù); 所述內(nèi)端主機將所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,并將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機;所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址; 所述外端主機從接收到的第二數(shù)據(jù)包中獲取所述內(nèi)網(wǎng)連接標(biāo)識,并匹配所述內(nèi)網(wǎng)連接標(biāo)識與所述外網(wǎng)地址映射表,若不存在匹配的外網(wǎng)地址映射記錄,則丟棄所述第二數(shù)據(jù)包,若存在匹配的外網(wǎng)地址映射記錄,則繼續(xù)執(zhí)行后續(xù)步驟; 所述外端主機以虛擬網(wǎng)絡(luò)地址對所述第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址; 所述外端主機根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址; 所述外端主機在預(yù)置的地址解析表中查找所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包對應(yīng)的下一跳目的物理地址,并基于所述下一跳目的物理地址對所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包; 所述外端主機通過所述外網(wǎng)連接將所述內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。
2.如權(quán)利要求1所述的方法,其特征在于,所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包之前,還包括: 外端主機將所述第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識和所述第一源網(wǎng)絡(luò)地址設(shè)置到預(yù)置的地址轉(zhuǎn)換表中。
3.如權(quán)利要求2所述的方法,其特征在于,所述外端主機根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,具體包括: 所述外端主機從所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包中獲取內(nèi)網(wǎng)連接標(biāo)識; 所述外端主機根據(jù)所述獲取的內(nèi)網(wǎng)連接標(biāo)識從預(yù)置的地址轉(zhuǎn)換表中獲取對應(yīng)的第一源網(wǎng)絡(luò)地址; 所述外端主機將所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包封裝生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址。
4.如權(quán)利要求1所述的方法,其特征在于,所述下一跳目的物理地址具體為所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包下一跳路由器的MAC地址。
5.一種基于網(wǎng)絡(luò)隔離裝置的數(shù)據(jù)通信方法,其特征在于,包括: 外端主機響應(yīng)外網(wǎng)終端向內(nèi)網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立外端主機與外網(wǎng)終端的外網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有外網(wǎng)終端網(wǎng)絡(luò)地址和內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述外端主機通過隔離通道向?qū)?yīng)的內(nèi)端主機發(fā)送第三數(shù)據(jù)包,所述第三數(shù)據(jù)包攜帶有外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、第二源網(wǎng)絡(luò)地址和第二目的網(wǎng)絡(luò)地址,所述第二源網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址,所述第二目的網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)端主機根據(jù)收到的第三數(shù)據(jù)包與內(nèi)網(wǎng)終端建立內(nèi)網(wǎng)連接,所述內(nèi)網(wǎng)連接的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為第二目的網(wǎng)絡(luò)地址; 所述內(nèi)端主機在預(yù)置的內(nèi)網(wǎng)地址映射表中設(shè)置內(nèi)網(wǎng)地址映射記錄,所述內(nèi)網(wǎng)地址映射記錄包括所述內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、所述外網(wǎng)連接標(biāo)識、所述第二源網(wǎng)絡(luò)地址和所述第二目的網(wǎng)絡(luò)地址; 所述外端主機通過所述外網(wǎng)連接接收外網(wǎng)終端發(fā)送的外網(wǎng)數(shù)據(jù)包,所述外網(wǎng)數(shù)據(jù)包攜帶有所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù); 所述外端主機將所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)封裝生成第四數(shù)據(jù)包,并將所述第四數(shù)據(jù)包通過隔離通道發(fā)送至內(nèi)端主機;所述第四數(shù)據(jù)包的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址; 所述內(nèi)端主機從接收到的第四數(shù)據(jù)包中獲取所述外網(wǎng)連接標(biāo)識,并匹配所述外網(wǎng)連接標(biāo)識與所述內(nèi)網(wǎng)地址映射表,若不存在匹配的內(nèi)網(wǎng)地址映射記錄,則丟棄所述第四數(shù)據(jù)包,若存在匹配的內(nèi)網(wǎng)地址映射記錄,則繼續(xù)執(zhí)行后續(xù)步驟; 所述內(nèi)端主機對所述第四數(shù)據(jù)包中的外網(wǎng)載荷數(shù)據(jù)進行封裝,生成外網(wǎng)網(wǎng)路數(shù)據(jù)包,所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)端主機查找內(nèi)網(wǎng)終端目的物理地址,并基于內(nèi)網(wǎng)終端目的物理地址對所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成外網(wǎng)鏈路數(shù)據(jù)包; 所述內(nèi)端主機通過所述內(nèi)網(wǎng)連接將所述外網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的內(nèi)網(wǎng)終端。
6.一種網(wǎng)絡(luò)隔離裝置,其特征在于,所述裝置包括:內(nèi)端主機、隔離通道和外端主機; 所述內(nèi)端主機包括:內(nèi)網(wǎng)連接代理模塊、內(nèi)網(wǎng)隔離通信模塊、內(nèi)網(wǎng)數(shù)據(jù)接收模塊; 所述外端主機包括:外網(wǎng)隔離通信模塊、外網(wǎng)連接代理模塊、外網(wǎng)網(wǎng)絡(luò)地址封裝模塊、地址轉(zhuǎn)換模塊、外網(wǎng)物理地址封裝模塊、外網(wǎng)網(wǎng)橋; 所述隔離通道,用于在內(nèi)端主機和外端主機之間進行數(shù)據(jù)傳輸; 所述內(nèi)網(wǎng)連接代理模塊,用于響應(yīng)內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立內(nèi)端主機與內(nèi)網(wǎng)終端的內(nèi)網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址和外網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)隔離通信模塊,用于通過隔離通道向?qū)?yīng)的外端主機發(fā)送第一數(shù)據(jù)包,所述第一數(shù)據(jù)包攜帶有內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址,所述第一源網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址,所述第一目的網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址; 所述外網(wǎng)隔離通信模塊,用于從隔離通道接收所述第一數(shù)據(jù)包,并將所述第一數(shù)據(jù)包發(fā)送至外網(wǎng)連接代理模塊; 所述外網(wǎng)連接代理模塊,用于根據(jù)從外網(wǎng)隔離通信模塊收到的第一數(shù)據(jù)包與外網(wǎng)終端建立外網(wǎng)連接,所述外網(wǎng)連接的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為第一目的網(wǎng)絡(luò)地址; 所述外網(wǎng)連接代理模塊,還用于在預(yù)置的外網(wǎng)地址映射表中設(shè)置外網(wǎng)地址映射記錄,所述外網(wǎng)地址映射記錄包括所述外網(wǎng)連接代理模塊建立的外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、所述從隔離通道接收的第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址和第一目的網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)數(shù)據(jù)接收模塊,用于通過所述內(nèi)網(wǎng)連接代理模塊建立的內(nèi)網(wǎng)連接接收內(nèi)網(wǎng)終端發(fā)送的內(nèi)網(wǎng)數(shù)據(jù)包,所述內(nèi)網(wǎng)數(shù)據(jù)包攜帶有所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù); 所述內(nèi)網(wǎng)隔離通信模塊,還用于將所述內(nèi)網(wǎng)數(shù)據(jù)接收模塊接收的內(nèi)網(wǎng)數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)封裝生成第二數(shù)據(jù)包,并將所述第二數(shù)據(jù)包通過隔離通道發(fā)送至外端主機中的外網(wǎng)隔離通信模塊;所述第二數(shù)據(jù)包的源地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址,目的地址為外端主機虛擬網(wǎng)絡(luò)地址; 所述外網(wǎng)連接代理模塊,還用于從所述外網(wǎng)隔離通信模塊接收到的第二數(shù)據(jù)包中獲取所述內(nèi)網(wǎng)連接標(biāo)識,并匹配所述內(nèi)網(wǎng)連接標(biāo)識與所述外網(wǎng)地址映射表,若不存在匹配的外網(wǎng)地址映射記錄,則丟棄所述第二數(shù)據(jù)包,若存在,則將所述內(nèi)網(wǎng)連接標(biāo)識和內(nèi)網(wǎng)載荷數(shù)據(jù)發(fā)送至外網(wǎng)網(wǎng)絡(luò)地址封裝模塊; 所述外網(wǎng)網(wǎng)絡(luò)地址封裝模塊,用于對從所述外網(wǎng)連接代理模塊接收到的第二數(shù)據(jù)包中的內(nèi)網(wǎng)載荷數(shù)據(jù)進行封裝,生成第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述外端主機虛擬網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址; 所述地址轉(zhuǎn)換模塊,用于根據(jù)預(yù)置的地址轉(zhuǎn)換表對所述網(wǎng)絡(luò)地址封裝模塊生成的第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址轉(zhuǎn)換,生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址,目的地址為所述第一目的網(wǎng)絡(luò)地址; 所述外網(wǎng)物理地址封裝模塊,用于在預(yù)置的地址解析表中查找所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包對應(yīng)的下一跳目的物理地址,并基于所述下一跳目的物理地址對所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成內(nèi)網(wǎng)鏈路數(shù)據(jù)包; 所述外網(wǎng)網(wǎng)橋,用于通過所述外網(wǎng)連接代理模塊所建立的外網(wǎng)連接將所述外網(wǎng)物理地址封裝模塊生成的內(nèi)網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的外網(wǎng)終端。
7.如權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:地址轉(zhuǎn)換配置模塊; 所述地址轉(zhuǎn)換配置模塊,用于將外網(wǎng)隔離通信模塊所接收的第一數(shù)據(jù)包中的內(nèi)網(wǎng)連接標(biāo)識、第一源網(wǎng)絡(luò)地址設(shè)置到預(yù)置的地址轉(zhuǎn)換表中。
8.如權(quán)利要求7所述的裝置,其特征在于,所述地址轉(zhuǎn)換模塊具體用于: 從網(wǎng)絡(luò)地址封裝模塊生成的第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包中獲取內(nèi)網(wǎng)連接標(biāo)識; 根據(jù)所述獲取的內(nèi)網(wǎng)連接標(biāo)識從預(yù)置的地址轉(zhuǎn)換表中獲取對應(yīng)的第一源網(wǎng)絡(luò)地址;將所述第一內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包封裝生成第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包,所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為所述第一源網(wǎng)絡(luò)地址。
9.如權(quán)利要求6所述的裝置,其特征在于,所述下一跳目的物理地址具體為所述第二內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包下一跳路由器的MAC地址。
10.一種網(wǎng)絡(luò)隔離裝置,其特征在于,所述裝置包括:外端主機、隔離通道和內(nèi)端主機; 所述外端主機包括:外網(wǎng)連接代理模塊、外網(wǎng)隔離通信模塊、外網(wǎng)數(shù)據(jù)接收模塊; 所述內(nèi)端主機包括:內(nèi)網(wǎng)隔離通信模塊、內(nèi)網(wǎng)連接代理模塊、內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊、內(nèi)網(wǎng)物理地址封裝模塊、內(nèi)網(wǎng)網(wǎng)橋; 所述隔離通道,用于在外端主機和內(nèi)端主機之間進行數(shù)據(jù)傳輸; 所述外網(wǎng)連接代理模塊,用于響應(yīng)外網(wǎng)終端向內(nèi)網(wǎng)終端發(fā)送的連接請求數(shù)據(jù)包并建立外端主機與外網(wǎng)終端的外網(wǎng)連接;所述連接請求數(shù)據(jù)包攜帶有外網(wǎng)終端網(wǎng)絡(luò)地址和內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述外網(wǎng)隔離通信模塊,用于通過隔離通道向?qū)?yīng)的內(nèi)端主機發(fā)送第三數(shù)據(jù)包,所述第三數(shù)據(jù)包攜帶有外網(wǎng)連接對應(yīng)的外網(wǎng)連接標(biāo)識、第二源網(wǎng)絡(luò)地址和第二目的網(wǎng)絡(luò)地址,所述第二源網(wǎng)絡(luò)地址為所述外網(wǎng)終端網(wǎng)絡(luò)地址,所述第二目的網(wǎng)絡(luò)地址為所述內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)隔離通信模塊,用于從隔離通道接收所述第三數(shù)據(jù)包,并將所述第三數(shù)據(jù)包發(fā)送至內(nèi)網(wǎng)連接代理模塊; 所述內(nèi)網(wǎng)連接代理模塊,用于根據(jù)從內(nèi)網(wǎng)隔離通信模塊收到的第三數(shù)據(jù)包與內(nèi)網(wǎng)終端建立內(nèi)網(wǎng)連接,所述內(nèi)網(wǎng)連接的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為第二目的網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)連接代理模塊,還用于在預(yù)置的內(nèi)網(wǎng)地址映射表中設(shè)置內(nèi)網(wǎng)地址映射記錄,所述內(nèi)網(wǎng)地址映射記錄包括所述內(nèi)網(wǎng)連接代理模塊建立的內(nèi)網(wǎng)連接對應(yīng)的內(nèi)網(wǎng)連接標(biāo)識、所述外網(wǎng)連接標(biāo)識、所述第二源網(wǎng)絡(luò)地址和所述第二目的網(wǎng)絡(luò)地址; 所述外網(wǎng)數(shù)據(jù)接收模塊,用于通過所述外網(wǎng)連接代理模塊建立的外網(wǎng)連接接收外網(wǎng)終端發(fā)送的外網(wǎng)數(shù)據(jù)包,所述外網(wǎng)數(shù)據(jù)包攜帶有所述外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù); 所述外網(wǎng)隔離通信模塊,還用于將所述外網(wǎng)數(shù)據(jù)接收模塊接收的外網(wǎng)數(shù)據(jù)包中的外網(wǎng)連接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)封裝生成第四數(shù)據(jù)包,并將所述第四數(shù)據(jù)包通過隔離通道發(fā)送至內(nèi)端主機中的內(nèi)網(wǎng)隔離通信模塊;所述第四數(shù)據(jù)包的源地址為外端主機虛擬網(wǎng)絡(luò)地址,目的地址為內(nèi)端主機虛擬網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)連接代理模塊,還用于從所述內(nèi)網(wǎng)隔離通信模塊接收到的第四數(shù)據(jù)包中獲取所述外網(wǎng)連接標(biāo)識,并匹配所述外網(wǎng)連接標(biāo)識與所述內(nèi)網(wǎng)地址映射表,若不存在匹配的內(nèi)網(wǎng)地址映射記錄,則丟棄所述第四數(shù)據(jù)包,若存在,則將所述外網(wǎng)鏈接標(biāo)識和外網(wǎng)載荷數(shù)據(jù)發(fā)送至內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊; 所述內(nèi)網(wǎng)網(wǎng)絡(luò)地址封裝模塊,用于對從所述內(nèi)網(wǎng)連接代理模塊接收到的第四數(shù)據(jù)包中的外網(wǎng)載荷數(shù)據(jù)進行封裝,生成外網(wǎng)網(wǎng)路數(shù)據(jù)包,所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包的源地址為內(nèi)端主機網(wǎng)絡(luò)地址,目的地址為內(nèi)網(wǎng)終端網(wǎng)絡(luò)地址; 所述內(nèi)網(wǎng)物理地址封裝模塊,用于在預(yù)置的地址解析表中查找內(nèi)網(wǎng)終端目的物理地址,并基于內(nèi)網(wǎng)終端目的物理地址對所述外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包進行地址封裝,生成外網(wǎng)鏈路數(shù)據(jù)包; 所述內(nèi)網(wǎng)網(wǎng)橋,用于通過所述內(nèi)網(wǎng)連接將所述外網(wǎng)鏈路數(shù)據(jù)包發(fā)送至對應(yīng)的內(nèi)網(wǎng)終端。
【文檔編號】H04L29/06GK104202300SQ201410384892
【公開日】2014年12月10日 申請日期:2014年8月6日 優(yōu)先權(quán)日:2014年8月6日
【發(fā)明者】胡朝輝, 梁智強, 江澤鑫, 陳炯聰, 黃曙, 余南華, 林丹生, 李闖, 伍曉泉 申請人:廣東電網(wǎng)公司電力科學(xué)研究院