專利名稱:網(wǎng)絡(luò)中節(jié)省ip地址提供內(nèi)部服務(wù)器的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)通信技術(shù)���,尤其涉及一種網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,很多單位開始使用私有地址建立內(nèi)部局域網(wǎng)��,而且有時需要局域網(wǎng)內(nèi)部主機用于資源存放�,允許互聯(lián)網(wǎng)上的用戶訪問���,例如局域網(wǎng)提供網(wǎng)頁(WEB)服務(wù)器���,這就要求互聯(lián)網(wǎng)上的用戶可以訪問局域網(wǎng)內(nèi)部提供WEB服務(wù)器的主機。目前����,為了實現(xiàn)互聯(lián)網(wǎng)上的主機可以訪問局域網(wǎng)內(nèi)部的主機,常用的技術(shù)是配置一個“靜態(tài)映射”���,例如該局域網(wǎng)想設(shè)置一臺WEB服務(wù)器���,其內(nèi)部IP地址為10.110.0.1��,則必須配置一個靜態(tài)的映射���,將通過ISP申請的合法IP地址202.38.160.1和地址10.110.0.1綁定,這樣互聯(lián)網(wǎng)上的主機如果想訪問這臺WEB服務(wù)器�����,就可以通過訪問IP地址202.38.160.1��,而訪問到內(nèi)部IP地址為10.110.0.1的主機�。上述方法雖然滿足了局域網(wǎng)提供內(nèi)部服務(wù)器的要求,但同時也使得局域網(wǎng)的其他主機無法利用該合法IP地址對互聯(lián)網(wǎng)進行訪問��,造成了合法的公有IP地址的浪費����;并且該局域網(wǎng)不能再提供其它對外服務(wù)(比如想提供一個域名服務(wù)器(DNS)或者文件傳輸協(xié)議(FTP)服務(wù)器)。
由上述現(xiàn)有技術(shù)可以看出�,在局域網(wǎng)中通過靜態(tài)綁定地址的方法提供內(nèi)部服務(wù)器存在如下缺點第一,靜態(tài)綁定IP地址的方法雖然使局域網(wǎng)的內(nèi)部服務(wù)器可以被互聯(lián)網(wǎng)上的主機訪問���,但同時使得IP地址不能被充分利用���,浪費了有限的IP地址資源�。
第二���,現(xiàn)有的技術(shù)方案存在較大的安全隱患通常對外提供的服務(wù)器都是單一用途��,例如WEB服務(wù)器就是為了給外部提供超文本傳輸協(xié)議(HttpHypertext Transfer Protocol)服務(wù)���,該主機只需要提供80端口的訪問即可,但使用了靜態(tài)綁定的方式提供WEB內(nèi)部服務(wù)器�,則外部網(wǎng)絡(luò)的用戶不但可以訪問到內(nèi)部服務(wù)器的80端口,還可以訪問其它任何端口��,例如某個服務(wù)器可以通過遠程登錄(Telnet)進行維護�,這種維護只有內(nèi)部網(wǎng)絡(luò)設(shè)備可以進行��,但如果使用了靜態(tài)綁定的地址轉(zhuǎn)換方式�,那么外部網(wǎng)絡(luò)的主機也可以Telnet到該服務(wù)器上,給內(nèi)部服務(wù)器的安全帶來了隱患����。
第三�,現(xiàn)有技術(shù)無法通過內(nèi)部服務(wù)器的非標準端口提供內(nèi)部服務(wù)����,例如,如果局域網(wǎng)需要提供2個WEB服務(wù)器�,其中一個WEB服務(wù)器不使用80端口,而使用8080端口���,那么現(xiàn)有技術(shù)便無法實現(xiàn)���。
本發(fā)明的目的是這樣實現(xiàn)的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法,包括(1)配置內(nèi)部服務(wù)器的外部地址及其它特征信息與內(nèi)部地址及其它特征信息的對應(yīng)關(guān)系信息��;(2)將內(nèi)部網(wǎng)絡(luò)需要與外部因特網(wǎng)交換的的報文所承載的相關(guān)信息分別與所配置的對應(yīng)關(guān)系信息相匹配��;(3)根據(jù)匹配結(jié)果對報文做相應(yīng)處理�。
所述的外部地址及其它特征信息包括內(nèi)部服務(wù)器的外部地址、外部端口及外部協(xié)議號��;所述的內(nèi)部地址及其它特征信息包括內(nèi)部服務(wù)器的內(nèi)部地址���、內(nèi)部端口及內(nèi)部協(xié)議號�����。
所述的內(nèi)部網(wǎng)絡(luò)需要與外部因特網(wǎng)交換的報文通過地址轉(zhuǎn)換路由器處理后進入外部因特網(wǎng)���。
所述的步驟(2)還進一步包括
(41)判斷通過地址轉(zhuǎn)換路由器的報文是內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文���,還是內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文;(42)如果是內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文����,則將報文所承載的目的地址、目的端口及協(xié)議號與所配置的外部地址�、外部端口及外部協(xié)議號相匹配;(43)如果是內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文����,則將報文的源地址、源端口及協(xié)議號與所配置的內(nèi)部地址�、內(nèi)部端口及內(nèi)部協(xié)議號相匹配。
對于內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文���,所述的步驟(3)還進一步包括�����;(51)判斷內(nèi)部服務(wù)器的對應(yīng)關(guān)系信息中是否有匹配的表項����;(52)如果有��,則利用與內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文的相關(guān)信息匹配的外部地址���、外部端口所對應(yīng)的內(nèi)部地址�����、內(nèi)部端口替換報文中的目的地址��、目的端口��;(53)如果沒有��,則對該內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文不作處理�����。
對于內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文�,所述的步驟(3)還進一步包括(61)判斷內(nèi)部服務(wù)器的對應(yīng)關(guān)系信息中是否有匹配的表項����;(62)如果有����,則利用與內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文的相關(guān)信息匹配的內(nèi)部地址���、內(nèi)部端口所對應(yīng)的外部地址�、外部端口替換報文中的源地址����、源端口;(63)如果沒有�����,則對該內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文不作處理���。
由上述本發(fā)明的技術(shù)方案可以看出���,本發(fā)明可以很容易的提供局域網(wǎng)內(nèi)部的WEB服務(wù)器、FTP服務(wù)器等�,且不會占用更多的合法IP地址。例如局域網(wǎng)內(nèi)部的WEB服務(wù)器和FTP服務(wù)器不在一臺內(nèi)部主機上���,兩個服務(wù)器具有著不同的內(nèi)部私有IP地址��,仍可以通過相同的合法的公有IP地址向外部網(wǎng)絡(luò)提供服務(wù)�。本發(fā)明節(jié)省了有限的合法的公有IP地址資源�,解決了現(xiàn)有技術(shù)方案中為每一個內(nèi)部服務(wù)器提供一個靜態(tài)地址映射所存在的浪費合法的公有IP地址的問題。另外��,本發(fā)明所提供的技術(shù)方案還可以實現(xiàn)對內(nèi)部服務(wù)器的支持可以到達端口級���,允許用戶按照自己的需要配置內(nèi)部服務(wù)器以提供給外部的端口���、協(xié)議,例如�����,通過配置�����,外部網(wǎng)絡(luò)的用戶可以通過“http//202.110.10.108080”這樣的地址來訪問內(nèi)部地址為10.110.10.10的Web服務(wù)器�,且訪問使用的是內(nèi)部服務(wù)器的8080端口。
請參閱圖2�����,為本發(fā)明提供的一種網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法,其具體實施方式
敘述如下首先�,用戶需要在NAT Router上配置內(nèi)部服務(wù)器的外部地址、外部端口及外部協(xié)議號與內(nèi)部服務(wù)器的內(nèi)部地址����、內(nèi)部端口及內(nèi)部協(xié)議號,并根據(jù)配置的參數(shù)建立一個關(guān)于內(nèi)部服務(wù)器的映射表��,見步驟1�,用于支持外部主機通過內(nèi)部網(wǎng)絡(luò)的合法的公有IP地址及內(nèi)部服務(wù)器對外提供服務(wù)的端口訪問內(nèi)部服務(wù)器。
然后����,將內(nèi)部網(wǎng)絡(luò)接收的報文及內(nèi)部網(wǎng)絡(luò)發(fā)出的報文所承載的相關(guān)信息分別與所配置的對應(yīng)關(guān)系信息相匹配,其匹配過程如下首先需要判斷通過NAT Router的報文為內(nèi)部網(wǎng)絡(luò)接收的報文還是內(nèi)部服務(wù)器向外部發(fā)送的報文����,見步驟2,其中如果是內(nèi)部網(wǎng)絡(luò)所接收的外部發(fā)來的報文����,則將報文所承載的目的地址、目的端口及協(xié)議號與內(nèi)部服務(wù)器的映射表中的外部地址�����、外部端口及外部協(xié)議號相匹配,見步驟3�,并判斷內(nèi)部服務(wù)器的映射表中是否有匹配的表項,見步驟4�����,如果存在匹配的表項�,則認為所接收報文為訪問內(nèi)部服務(wù)器的報文�,執(zhí)行步驟5;否則����,對該報文不做處理,見步驟6�。另外,如果內(nèi)部服務(wù)器的映射表中沒有與其相關(guān)信息匹配的報文�,則可以交由其它處理模塊進行處理;
如果是網(wǎng)絡(luò)內(nèi)部向外部發(fā)送的報文�,則將報文的源地址、源端口及協(xié)議號與所配置的內(nèi)部地址��、內(nèi)部端口及內(nèi)部協(xié)議號相匹配���,見步驟7����,并判斷內(nèi)部服務(wù)器的映射表中是否有匹配的表項,見步驟8��,如果存在匹配的表項���,則認為該報文為內(nèi)部服務(wù)器向外部發(fā)送的報文����,執(zhí)行步驟9�����,否則��,對該報文不做處理�,見步驟6,而是將該報文交給其它處理模塊進行處理��。
最后���,根據(jù)匹配結(jié)果對該報文做相應(yīng)處理�,其中對于內(nèi)部網(wǎng)絡(luò)所接收的外部發(fā)來的報文,對于匹配命中的報文�����,利用內(nèi)部服務(wù)器映射表中����,與該報文的相關(guān)信息匹配的外部地址、外部端口所對應(yīng)的內(nèi)部地址����、內(nèi)部端口替換報文中的目的地址��、目的端口�,見步驟5,然后繼續(xù)轉(zhuǎn)發(fā)該報文��,實現(xiàn)了具有內(nèi)部地址的內(nèi)部服務(wù)器可以正確地接收外部發(fā)來的報文��;對于網(wǎng)絡(luò)內(nèi)部向外部發(fā)送的報文���,利用與報文的相關(guān)信息匹配的內(nèi)部地址���、內(nèi)部端口所對應(yīng)的外部地址���、外部端口替換報文中的源地址、源端口��,見步驟9���,然后繼續(xù)向外轉(zhuǎn)發(fā)該報文����,使從內(nèi)部服務(wù)器向外部發(fā)送的報文可以正常進行轉(zhuǎn)發(fā)�。
由于本發(fā)明沒有將內(nèi)部網(wǎng)絡(luò)通過ISP獲取的合法的公有IP地址與內(nèi)部服務(wù)器的私有IP地址靜態(tài)綁定,從而使內(nèi)部網(wǎng)絡(luò)的其它主機也可以基于該公有IP地址進行訪問互聯(lián)網(wǎng)��。同時��,通過合理地配置內(nèi)部服務(wù)器相關(guān)信息的映射表��,可以指定內(nèi)部服務(wù)器向外部提供服務(wù)所使用的端口����,從而保證了內(nèi)部服務(wù)器的安全,總之�����,只有與用戶所建立的內(nèi)部服務(wù)器的映射表中的相關(guān)信息匹配的報文,才可以在外部主機與內(nèi)部網(wǎng)絡(luò)中的內(nèi)部服務(wù)器間交換����,限制了外部主機對內(nèi)部服務(wù)器的非法訪問。
權(quán)利要求
1.一種網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法�,包括(1)配置內(nèi)部服務(wù)器的外部地址及其它特征信息與內(nèi)部地址及其它特征信息的對應(yīng)關(guān)系信息;(2)將內(nèi)部網(wǎng)絡(luò)需要與外部因特網(wǎng)交換的的報文所承載的相關(guān)信息分別與所配置的對應(yīng)關(guān)系信息相匹配�;(3)根據(jù)匹配結(jié)果對報文做相應(yīng)處理。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法���,其特征在于所述的外部地址及其它特征信息包括內(nèi)部服務(wù)器的外部地址�����、外部端口及外部協(xié)議號;所述的內(nèi)部地址及其它特征信息包括內(nèi)部服務(wù)器的內(nèi)部地址����、內(nèi)部端口及內(nèi)部協(xié)議號。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法����,其特征在于所述的內(nèi)部網(wǎng)絡(luò)需要與外部因特網(wǎng)交換的報文通過地址轉(zhuǎn)換路由器處理后進入外部因特網(wǎng)。
4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法,其特征在于所述的步驟(2)還進一步包括(41)判斷通過地址轉(zhuǎn)換路由器的報文是內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文����,還是內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文;(42)如果是內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文�����,則將報文所承載的目的地址��、目的端口及協(xié)議號與所配置的外部地址�、外部端口及外部協(xié)議號相匹配;(43)如果是內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文�,則將報文的源地址、源端口及協(xié)議號與所配置的內(nèi)部地址���、內(nèi)部端口及內(nèi)部協(xié)議號相匹配�����。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法���,其特征在于對于內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文,所述的步驟(3)還進一步包括(51)判斷內(nèi)部服務(wù)器的對應(yīng)關(guān)系信息中是否有匹配的表項�����;(52)如果有,則利用與內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文的相關(guān)信息匹配的外部地址�����、外部端口所對應(yīng)的內(nèi)部地址����、內(nèi)部端口替換報文中的目的地址、目的端口�;(53)如果沒有,則對該內(nèi)部網(wǎng)絡(luò)要接收的外部發(fā)來的報文不作處理���。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法���,其特征在于對于內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文,所述的步驟(3)還進一步包括(61)判斷內(nèi)部服務(wù)器的對應(yīng)關(guān)系信息中是否有匹配的表項����;(62)如果有���,則利用與內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文的相關(guān)信息匹配的內(nèi)部地址�����、內(nèi)部端口所對應(yīng)的外部地址��、外部端口替換報文中的源地址�、源端口;(63)如果沒有����,則對該內(nèi)部網(wǎng)絡(luò)向外部發(fā)送的報文不作處理。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)中節(jié)省IP地址提供內(nèi)部服務(wù)器的方法��,該方法包括首先��,配置內(nèi)部服務(wù)器的外部地址及其它特征信息與內(nèi)部地址及其它特征信息的對應(yīng)關(guān)系信息��;然后����,將內(nèi)部網(wǎng)絡(luò)接收的報文及由內(nèi)部網(wǎng)絡(luò)發(fā)出的報文所承載的相關(guān)信息分別與所配置的對應(yīng)關(guān)系信息相匹配;最后�,根據(jù)匹配結(jié)果對該報文做相應(yīng)處理。本發(fā)明可以很容易的提供局域網(wǎng)內(nèi)部的WEB服務(wù)器�����、FTP服務(wù)器等,且不會占用更多的合法的公有IP地址����,大大節(jié)省了有限的公有IP地址資源,且本發(fā)明實現(xiàn)了對內(nèi)部服務(wù)器的支持可以到達端口級�����,為網(wǎng)絡(luò)設(shè)備的安全提供了保障����。
文檔編號H04L29/12GK1414746SQ0211679
公開日2003年4月30日 申請日期2002年5月15日 優(yōu)先權(quán)日2002年5月15日
發(fā)明者王寧 申請人:華為技術(shù)有限公司