應(yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)地址轉(zhuǎn)換方法和裝置制造方法
【專利摘要】本申請(qǐng)?zhí)峁┝藨?yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)地址轉(zhuǎn)換方法和裝置����,所述DVPN中存在通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)的Spoke設(shè)備��;該方法包括:DVPN中的Hub設(shè)備在與Spoke設(shè)備建立隧道過程中��,獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息���;Hub設(shè)備將獲取的Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器,以使其他Spoke設(shè)備從所述服務(wù)器獲取Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道��。采用本發(fā)明��,能夠?qū)崿F(xiàn)在DVPN中����,支持NAT設(shè)備采用PAT模式。
【專利說明】應(yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)地址轉(zhuǎn)換方法和裝置
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)����,特別涉及應(yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)(DVPN =DynamicVirtual Private Network)的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT:Network Address Translat1n)方法和
>J-U ρ?α裝直��。
【背景技術(shù)】
[0002]DVPN,可通過下一跳解析協(xié)議(NHRP:Next Hop Resolut1n Protocol)或者 VPN地址管理(VAM:VPN Address Management)協(xié)議收集��、維護(hù)和分發(fā)動(dòng)態(tài)變化的公網(wǎng)地址等信息���,DVPN可以在企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動(dòng)態(tài)地址接入公網(wǎng)的情況下����,在各分支機(jī)構(gòu)間建立VPN。
[0003]在DVPN中的設(shè)備有如下幾個(gè)身份:
[0004]VAM服務(wù)器:VAM服務(wù)器維護(hù)所有VAM客戶端的信息����,響應(yīng)客戶端的注冊(cè)、查詢����。可以在路由器上實(shí)現(xiàn)���,也可以使用專門的服務(wù)器實(shí)現(xiàn)�����。
[0005]VAM客戶端:VAM客戶端將自己的信息向服務(wù)器注冊(cè)����,在需要其他DVPN節(jié)點(diǎn)的信息時(shí)��,向服務(wù)器發(fā)起解析請(qǐng)求����。VAM客戶端可以是主機(jī)�,也可以是路由器��。
[0006]中心(Hub)和分支(Spoke):VAM客戶端注冊(cè)至VAM服務(wù)器后獲得的Hub和Spoke身份��,擔(dān)任Hub的VAM客戶端通常是一個(gè)網(wǎng)絡(luò)中的中心設(shè)備��,作為路由信息交換的中心�����,也是數(shù)據(jù)轉(zhuǎn)發(fā)的中心���;而擔(dān)任Spoke的VAM客戶端通常是一個(gè)網(wǎng)絡(luò)中的分支設(shè)備�����。為便于描述�����,本申請(qǐng)將DVPN中擔(dān)任Hub身份或Spoke身份的VAM客戶端,這里將擔(dān)任Hub身份的VAM客戶端稱為Hub設(shè)備,將擔(dān)任Spoke身份的VAM客戶端稱為Spoke設(shè)備�。
[0007]目前,在DVPN中實(shí)現(xiàn)NAT是網(wǎng)絡(luò)通信的需求��。其中,NAT是將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程�����。在實(shí)際應(yīng)用中�����,NAT主要應(yīng)用在連接兩個(gè)網(wǎng)絡(luò)的邊緣設(shè)備上����,用于實(shí)現(xiàn)允許內(nèi)部網(wǎng)絡(luò)用戶訪問外部公共網(wǎng)絡(luò)以及允許外部公共網(wǎng)絡(luò)訪問部分內(nèi)部網(wǎng)絡(luò)資源(例如內(nèi)部服務(wù)器)的目的。在網(wǎng)絡(luò)中�,配置了 NAT功能且連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊緣設(shè)備,通常被稱為NAT設(shè)備����,如圖1所示的路由器(Router) I為NAT設(shè)備。
[0008]NAT實(shí)現(xiàn)方式有以下兩種:
[0009]靜態(tài)方式��,是指外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的地址映射關(guān)系由配置確定�����,該方式適用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間存在固定訪問需求的組網(wǎng)環(huán)境。靜態(tài)地址轉(zhuǎn)換支持雙向互訪:內(nèi)網(wǎng)用戶可以主動(dòng)訪問外網(wǎng)���,外網(wǎng)用戶也可以主動(dòng)訪問內(nèi)網(wǎng)��。
[0010]動(dòng)態(tài)方式�,動(dòng)態(tài)方式是指內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的地址映射關(guān)系在建立連接的時(shí)候動(dòng)態(tài)產(chǎn)生�。該方式通常適用于內(nèi)部網(wǎng)絡(luò)有大量用戶需要訪問外部網(wǎng)絡(luò)的組網(wǎng)環(huán)境。動(dòng)態(tài)方式下存在兩種轉(zhuǎn)換模式:
[0011]非端口轉(zhuǎn)換(Ν0-ΡΑΤ:Not Port Address Translat1n)模式:
[0012]NO-PAT模式下�����,一個(gè)外網(wǎng)地址同一時(shí)間只能分配給一個(gè)內(nèi)網(wǎng)地址進(jìn)行地址轉(zhuǎn)換����,不能同時(shí)被多個(gè)內(nèi)網(wǎng)地址共用。當(dāng)使用某外網(wǎng)地址的內(nèi)網(wǎng)用戶停止訪問外網(wǎng)時(shí)���,NAT會(huì)將其占用的外網(wǎng)地址釋放并分配給其他內(nèi)網(wǎng)用戶使用���。NO-PAT模式下,NAT設(shè)備只對(duì)報(bào)文的IP地址進(jìn)行NAT轉(zhuǎn)換�����,同時(shí)會(huì)建立一個(gè)NO-PAT表項(xiàng)用于記錄IP地址映射關(guān)系����,并可支持所有IP協(xié)議的報(bào)文。
[0013]端口地址轉(zhuǎn)換(PAT:Port Address Translat1n)模式:
[0014]PAT模式下���,一個(gè)NAT地址可以同時(shí)分配給多個(gè)內(nèi)網(wǎng)地址共用���。PAT模式下,NAT設(shè)備需要對(duì)報(bào)文的IP地址和傳輸層端口同時(shí)進(jìn)行轉(zhuǎn)換���,且只支持TCP��、UDP和ICMP( InternetControl Message Protocol,因特網(wǎng)控制消息協(xié)議)查詢報(bào)文���。圖2示出了 PAT模式下的工作流程。如圖2所示��,三個(gè)帶有內(nèi)網(wǎng)地址的報(bào)文(Packet)到達(dá)NAT設(shè)備�����,其中Packetl和Packet2來自同一個(gè)源IP地址(Src)但有不同的源端口號(hào)�,Packetl和報(bào)文Packet3來自不同的源IP地址但具有相同的源端口號(hào)。通過PAT模式,三個(gè)Packet的源IP地址都被轉(zhuǎn)換為同一個(gè)外網(wǎng)地址���,但每個(gè)Packet都被賦予了不同的源端口號(hào)���,因而仍保留了 Packet之間的區(qū)別。當(dāng)各Packet的回應(yīng)報(bào)文到達(dá)時(shí)����,NAT設(shè)備仍能夠根據(jù)回應(yīng)報(bào)文的目的IP地址和目的端口號(hào)來區(qū)別該回應(yīng)報(bào)文應(yīng)轉(zhuǎn)發(fā)到的內(nèi)部主機(jī)。采用PAT模式可以更加充分地利用IP地址資源���,實(shí)現(xiàn)更多內(nèi)部網(wǎng)絡(luò)主機(jī)對(duì)外部網(wǎng)絡(luò)的同時(shí)訪問�����。
[0015]在DVPN中�,公網(wǎng)網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)���,如圖3所示����。為了解決IPv4地址不足的問題�,DVPN中Hub設(shè)備或Spoke設(shè)備一般都通過NAT設(shè)備連接公網(wǎng)網(wǎng)絡(luò)IPv4網(wǎng)絡(luò)����。當(dāng)通信雙端Spoke設(shè)備均通過NAT設(shè)備連接公網(wǎng)網(wǎng)絡(luò)IPv4網(wǎng)絡(luò)時(shí)�,因?yàn)橥ㄐ乓欢瞬⒉恢缹?duì)端被NAT設(shè)備轉(zhuǎn)換后的端口,這限制DVPN中的NAT設(shè)備只能支持No-PAT模式�,即:只能將不同的Spoke設(shè)備的公網(wǎng)地址唯一轉(zhuǎn)化為不同的外網(wǎng)地址���,不能支持PAT模式�����,然而DVPN中NAT設(shè)備使用PAT模式對(duì)于大規(guī)模的DVPN來說意義明顯��,其可以使多個(gè)Spoke設(shè)備共用一個(gè)公網(wǎng)地址�,而非一個(gè)Spoke設(shè)備使用一個(gè)公網(wǎng)地址�����。因此���,在DVPN中���,支持NAT設(shè)備采用PAT模式是亟待解決的技術(shù)問題�����。
【發(fā)明內(nèi)容】
[0016]本申請(qǐng)?zhí)峁┝藨?yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)地址轉(zhuǎn)換方法和裝置���,以實(shí)現(xiàn)在DVPN中,支持NAT設(shè)備采用PAT模式��。
[0017]本申請(qǐng)?zhí)峁┑募夹g(shù)方案包括:
[0018]一種應(yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)DVPN的網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法���,所述DVPN中存在至少一個(gè)分支Spoke設(shè)備����,所述Spoke設(shè)備通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)�;該方法包括:
[0019]所述DVPN中的中心Hub設(shè)備在與Spoke設(shè)備建立隧道過程中,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����;
[0020]所述Hub設(shè)備將獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器��,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道���。
[0021]一種應(yīng)用于實(shí)現(xiàn)動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)DVPN中網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的裝置�����,所述DVPN中存在至少一個(gè)分支Spoke設(shè)備����,所述Spoke設(shè)備通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò);所述裝置為所述DVPN中的中心Hub設(shè)備�����,包括:
[0022]獲取單元�����,用于在與DVPN中的Spoke設(shè)備建立隧道過程中�����,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�;
[0023]發(fā)送單元���,用于將所述獲取單元獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器�,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道��。
[0024]由以上技術(shù)方案可以看出,本發(fā)明中����,為了保證DVPN中的NAT設(shè)備采用PAT模式下通信一端Spoke設(shè)備獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的端口,讓Hub設(shè)備充當(dāng)?shù)谌?�,由Hub設(shè)備在與Spoke設(shè)備建立隧道過程中動(dòng)態(tài)獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,并由Hub設(shè)備告知給服務(wù)器����,這樣,通信雙端Spoke設(shè)備中的任一端均通過查詢服務(wù)器就可獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,保證了 DVPN中的NAT設(shè)備采用PAT模式下�����,即使通信雙端Spoke設(shè)備均通過NAT設(shè)備連接公網(wǎng)網(wǎng)絡(luò)���,也能按照NAT設(shè)備支持的PAT模式正常進(jìn)行通信��。
【專利附圖】
【附圖說明】
[0025]圖1為現(xiàn)有NAT工作流程圖�����;
[0026]圖2為現(xiàn)有PAT工作流程圖�����;
[0027]圖3為現(xiàn)有DVPN組網(wǎng)示意圖�;
[0028]圖4為本發(fā)明實(shí)施例提供的流程圖;
[0029]圖5為本發(fā)明實(shí)施例提供的DVPN組網(wǎng)實(shí)例圖�����;
[0030]圖6為本發(fā)明實(shí)施例提供的實(shí)施例流程圖����;
[0031]圖7為本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖���;
[0032]圖8為本發(fā)明實(shí)施例提供的另一種裝置結(jié)構(gòu)圖�。
【具體實(shí)施方式】
[0033]為了使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述����。
[0034]本發(fā)明提供的方法包括圖4所示的流程:
[0035]參見圖4,圖4為本發(fā)明實(shí)施例提供的方法流程圖�。該方法應(yīng)用于DVPN中,在DVPN中����,存在Spoke設(shè)備和Hub設(shè)備,如【背景技術(shù)】描述���,VAM客戶端注冊(cè)至VAM服務(wù)器后獲得Hub和Spoke身份�����,這里的Spoke設(shè)備為DVPN中擔(dān)任Spoke身份的VAM客戶端��,而Hub設(shè)備為擔(dān)任Hub身份的VAM客戶端�。
[0036]以圖5所示DVPN為例�,在圖5中,VAM客戶端1、VAM客戶端2經(jīng)過注冊(cè)至VAM服務(wù)器后獲得Spoke身份,就分別稱為Spoke設(shè)備l��、Spoke設(shè)備2,而VAM客戶端3經(jīng)過注冊(cè)至VAM服務(wù)器后獲得Hub身份�,就稱為Hub設(shè)備。
[0037]在本發(fā)明中����,DVPN中存在通過PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)的Spoke設(shè)備,如圖5所示�,Spoke設(shè)備1、Spoke設(shè)備2均分別通過NAT設(shè)備1�����、NAT設(shè)備2連接至公網(wǎng)網(wǎng)絡(luò)�。這里的公網(wǎng)網(wǎng)絡(luò)可以為IPV4網(wǎng)絡(luò)。
[0038]基于圖5所示的任一 Spoke設(shè)備為例����,圖4提供的流程可包括以下步驟:
[0039]步驟401, Hub設(shè)備在與Spoke設(shè)備建立隧道過程中����,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息。
[0040]本發(fā)明中�,當(dāng)VAM客戶端注冊(cè)至VAM服務(wù)器獲取Spoke身份后,該獲取Spoke身份的VAM客戶端即Spoke設(shè)備就與獲取Hub身份的VAM客戶端即Hub設(shè)備建立隧道。
[0041]這里,Hub設(shè)備與Spoke設(shè)備建立的隧道為VPN隧道�����,具體實(shí)現(xiàn)時(shí)可為因特網(wǎng)協(xié)議安全(IPSec =Internet Protocol Security)隧道或者DVPN用戶數(shù)據(jù)報(bào)協(xié)議(UDP)隧道���。
[0042]作為本發(fā)明的一個(gè)實(shí)施例��,Hub設(shè)備獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息包括:
[0043]Hub設(shè)備在與Spoke設(shè)備建立隧道過程中獲取Spoke設(shè)備發(fā)送的報(bào)文����;
[0044]Hub設(shè)備識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致�,如果不一致,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke連接被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,獲取所述報(bào)文頭攜帶的公網(wǎng)地址和端口信息���。
[0045]步驟402�����,Hub設(shè)備將獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器����,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道。
[0046]作為本發(fā)明的一個(gè)實(shí)施例���,本步驟402中����,其他Spoke設(shè)備從所述VAM服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息包括:
[0047]其他Spoke設(shè)備在有待發(fā)送至所述Spoke設(shè)備的數(shù)據(jù)流時(shí)��,發(fā)送請(qǐng)求報(bào)文至所述服務(wù)器���;
[0048]其他Spoke設(shè)備接收所述服務(wù)器發(fā)送的對(duì)應(yīng)所述請(qǐng)求報(bào)文的響應(yīng)報(bào)文����,所述響應(yīng)報(bào)文攜帶所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息����。
[0049]優(yōu)選地,步驟402中的服務(wù)器可為DVPN中的VAM服務(wù)器�。
[0050]其中,其他Spoke設(shè)備獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息之后與所述Spoke設(shè)備建立直連隧道的過程與現(xiàn)有兩個(gè)Spoke設(shè)備之間建立直連隧道的過程類似�����,這里不再贅述��。
[0051 ] 從圖4所示流程可以看出�����,本發(fā)明中�����,支持DVPN中的NAT設(shè)備采用PAT模式��,為了保證DVPN中的NAT設(shè)備采用PAT模式下通信一端Spoke設(shè)備獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的端口���,讓Hub設(shè)備充當(dāng)?shù)谌?���,由Hub設(shè)備在與Spoke設(shè)備建立隧道過程中動(dòng)態(tài)獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�,并由Hub設(shè)備告知給服務(wù)器比如VAM服務(wù)器,這樣���,通信雙端Spoke設(shè)備中的任一端均通過查詢服務(wù)器比如VAM服務(wù)器獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,保證了 DVPN中的NAT設(shè)備采用PAT模式下�,即使通信雙端Spoke設(shè)備均通過NAT設(shè)備連接公網(wǎng)網(wǎng)絡(luò),也能按照NAT設(shè)備支持的PAT模式正常進(jìn)行通信�����。
[0052]下面以圖5所示的DVPN通過圖6對(duì)圖4所示流程進(jìn)行實(shí)例描述:
[0053]參見圖6��,圖6為本發(fā)明實(shí)施例提供的實(shí)施例流程圖��。如圖6所示��,該流程可包括以下步驟:
[0054]步驟601�,Spoke設(shè)備I在與Hub設(shè)備I建立VPN隧道(IPsec隧道)過程中,發(fā)送報(bào)文至Hub設(shè)備I����。
[0055]作為本發(fā)明的一個(gè)實(shí)施例,圖5所示的DVPN中并不限定僅有一個(gè)Hub設(shè)備���,這里為便于描述�����,僅以一個(gè)Hub設(shè)備I為例,其他Hub設(shè)備未不出���。
[0056]另外,本發(fā)明中��,Spoke設(shè)備I發(fā)送的報(bào)文可為協(xié)議報(bào)文���,也可為控制報(bào)文����。
[0057]步驟602��,Hub設(shè)備I接收Spoke設(shè)備I發(fā)送的報(bào)文�����,識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致�����,如果不一致��,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke設(shè)備I連接被連接的NAT設(shè)備I轉(zhuǎn)換后的公網(wǎng)地址和端口信息����,從所述報(bào)文頭獲取攜帶的公網(wǎng)地址和端口信息�����。
[0058]步驟603����,Hub設(shè)備I將獲取的所述Spoke設(shè)備I被NAT設(shè)備I轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至VAM服務(wù)器���。
[0059]步驟604,當(dāng)Spoke設(shè)備2在有待發(fā)送至Spoke設(shè)備I的數(shù)據(jù)流時(shí),發(fā)送請(qǐng)求報(bào)文至VAM服務(wù)器���。
[0060]這里,請(qǐng)求報(bào)文可為VAM協(xié)議中的下一跳解析請(qǐng)求(Next hop resolve request)報(bào)文����。
[0061]步驟605,VAM服務(wù)器收到Spoke設(shè)備2發(fā)送的請(qǐng)求報(bào)文時(shí)��,從本地查找Spoke設(shè)備I被其連接的NAT設(shè)備I轉(zhuǎn)換的公網(wǎng)地址和端口信息���,將查找到的公網(wǎng)地址和端口信息攜帶在對(duì)應(yīng)所述請(qǐng)求報(bào)文的響應(yīng)報(bào)文中發(fā)送給Spoke設(shè)備2�。
[0062]這里��,響應(yīng)報(bào)文可為VAM協(xié)議中的下一跳應(yīng)答請(qǐng)求(Next hop resolve reply)報(bào)文。
[0063]步驟606���,Spoke設(shè)備2利用收到的Spoke設(shè)備I的被其連接的NAT設(shè)備I轉(zhuǎn)換的公網(wǎng)地址和端口信息與Spoke設(shè)備I建立直連隧道����。
[0064]這里���,Spoke設(shè)備2與Spoke設(shè)備I建立直連隧道的過程與現(xiàn)有兩個(gè)Spoke設(shè)備建立直連隧道的過程類似,不再贅述��。
[0065]步驟607, Spoke設(shè)備2通過建立的至Spoke設(shè)備I的直連隧道將待發(fā)送至Spoke設(shè)備I的數(shù)據(jù)流發(fā)送至Spoke設(shè)備I�。
[0066]至此,完成圖6所示的流程�。
[0067]以上對(duì)本發(fā)明提供的方法進(jìn)行了描述,下面對(duì)本發(fā)明提供的裝置進(jìn)行描述:
[0068]參見圖7���,圖7為本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖�����。該裝置應(yīng)用于實(shí)現(xiàn)動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)DVPN中網(wǎng)絡(luò)地址轉(zhuǎn)換NAT��,這里��,所述DVPN中存在至少一個(gè)分支Spoke設(shè)備��,所述Spoke設(shè)備通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)�;具體地,圖7所示裝置為所述DVPN中的中心Hub設(shè)備�,可包括:
[0069]獲取單元,用于在與DVPN中的Spoke設(shè)備建立隧道過程中��,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息��;
[0070]發(fā)送單元�����,用于將所述獲取單元獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器�����,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道���。
[0071]優(yōu)選地���,本發(fā)明中,所述獲取單元包括:
[0072]報(bào)文子單元����,用于在與Spoke設(shè)備建立隧道過程中獲取Spoke設(shè)備發(fā)送的報(bào)文��;
[0073]識(shí)別子單元�����,用于識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致���;
[0074]獲取子單元,用于在所述識(shí)別子單元的識(shí)別結(jié)果為不一致時(shí)�����,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke連接被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,獲取所述報(bào)文頭攜帶的公網(wǎng)地址和端口信息�����。
[0075]優(yōu)選地����,所述隧道為因特網(wǎng)協(xié)議安全I(xiàn)PSec隧道或者DVPN用戶數(shù)據(jù)報(bào)協(xié)議UDP隧道。
[0076]至此���,完成圖7所示的裝置�����。
[0077]優(yōu)選地�����,本發(fā)明還提供了另外一種裝置結(jié)構(gòu)圖�,具體參見圖8��。圖8為本發(fā)明實(shí)施例提供的另一種裝置結(jié)構(gòu)圖�����。如圖8所示���,該裝置主要包括:CPU�、內(nèi)存��。需要說明的是�,圖8所示裝置還進(jìn)一步包括非易失性存儲(chǔ)器和其他硬件��,只不過該進(jìn)一步包括的非易失性存儲(chǔ)器和其他硬件改進(jìn)不大����,這里暫不重點(diǎn)描述�。
[0078]如圖8所示,所述內(nèi)存包括:獲取單元、發(fā)送單元���。
[0079]所述獲取單元��,存放第一執(zhí)行程序�,用于在與DVPN中的Spoke設(shè)備建立隧道過程中�����,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息���;
[0080]所述發(fā)送單元,存放第二執(zhí)行程序�,用于將獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道���;
[0081]其中����,所述CPU,用于運(yùn)行所述獲取單元中的第一執(zhí)行程序�����,以在與DVPN中的Spoke設(shè)備建立隧道過程中��,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����;以及���,
[0082]所述CPU��,用于運(yùn)行所述發(fā)送單元中的第二執(zhí)行程序���,以將通過運(yùn)行第一執(zhí)行程序獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道����。
[0083]優(yōu)選地,本發(fā)明中�,所述CPU運(yùn)行第一執(zhí)行程序�����,在與Spoke設(shè)備建立隧道過程中獲取Spoke設(shè)備發(fā)送的報(bào)文���,識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致,如果否���,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke連接被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息���,獲取所述報(bào)文頭攜帶的公網(wǎng)地址和端口信息。
[0084]優(yōu)選地����,所述隧道為因特網(wǎng)協(xié)議安全I(xiàn)PSec隧道或者DVPN用戶數(shù)據(jù)報(bào)協(xié)議UDP隧道。
[0085]至此����,完成圖8所示的裝置����。
[0086]以上對(duì)本發(fā)明提供的裝置進(jìn)行了描述。
[0087]由以上方案可以看出�,本發(fā)明中�����,支持DVPN中的NAT設(shè)備采用PAT模式��,為了保證DVPN中的NAT設(shè)備采用PAT模式下通信一端Spoke設(shè)備獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的端口����,讓Hub設(shè)備充當(dāng)?shù)谌?�,由Hub設(shè)備在與Spoke設(shè)備建立隧道過程中動(dòng)態(tài)獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�,并由Hub設(shè)備告知給服務(wù)器,這樣�,通信雙端Spoke設(shè)備中的任一端均通過查詢服務(wù)器獲知對(duì)端被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息,保證了 DVPN中的NAT設(shè)備采用PAT模式下����,即使通信雙端Spoke設(shè)備均通過NAT設(shè)備連接公網(wǎng)網(wǎng)絡(luò),也能按照NAT設(shè)備支持的PAT模式正常進(jìn)行通信�。
[0088]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改��、等同替換�����、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)���。
【權(quán)利要求】
1.一種應(yīng)用于動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)DVPN的網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法�,其特征在于���,所述DVPN中存在至少一個(gè)分支Spoke設(shè)備�,所述Spoke設(shè)備通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)����;該方法包括: 所述DVPN中的中心Hub設(shè)備在與Spoke設(shè)備建立隧道過程中,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息���; 所述Hub設(shè)備將獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器���,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述Hub設(shè)備獲取Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息包括: 所述Hub設(shè)備在與Spoke設(shè)備建立隧道過程中獲取Spoke設(shè)備發(fā)送的報(bào)文��; 所述Hub設(shè)備識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致���,如果不一致�����,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息�����,獲取所述報(bào)文頭攜帶的公網(wǎng)地址和端口信息����。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息包括: 其他Spoke設(shè)備在有待發(fā)送至所述Spoke設(shè)備的數(shù)據(jù)流時(shí)�����,發(fā)送請(qǐng)求報(bào)文至所述服務(wù)器; 其他Spoke設(shè)備接收所述服務(wù)器發(fā)送的對(duì)應(yīng)所述請(qǐng)求報(bào)文的響應(yīng)報(bào)文��,所述響應(yīng)報(bào)文攜帶所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述Hub設(shè)備與Spoke設(shè)備建立的隧道為因特網(wǎng)協(xié)議安全I(xiàn)PSec隧道或者DVPN用戶數(shù)據(jù)報(bào)協(xié)議UDP隧道���。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述公網(wǎng)網(wǎng)絡(luò)為Ipv4網(wǎng)絡(luò)���。
6.一種應(yīng)用于實(shí)現(xiàn)動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)DVPN中網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的裝置,其特征在于��,所述DVPN中存在至少一個(gè)分支Spoke設(shè)備,所述Spoke設(shè)備通過采用端口地址轉(zhuǎn)換PAT模式的NAT設(shè)備連接至公網(wǎng)網(wǎng)絡(luò)�;所述裝置為所述DVPN中的中心Hub設(shè)備,包括: 獲取單元���,用于在與DVPN中的Spoke設(shè)備建立隧道過程中,獲取所述Spoke設(shè)備被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息���; 發(fā)送單元�,用于將所述獲取單元獲取的所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息發(fā)送至所述DVPN中的服務(wù)器��,以使其他Spoke設(shè)備從所述服務(wù)器獲取所述Spoke設(shè)備被NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息來建立至所述Spoke設(shè)備的直連隧道���。
7.根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述獲取單元包括: 報(bào)文子單元����,用于在與Spoke設(shè)備建立隧道過程中獲取Spoke設(shè)備發(fā)送的報(bào)文; 識(shí)別子單元����,用于識(shí)別所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和所述報(bào)文的載荷攜帶的公網(wǎng)地址是否一致; 獲取子單元,用于在所述識(shí)別子單元的識(shí)別結(jié)果為不一致時(shí)��,確定所述報(bào)文的報(bào)文頭攜帶的公網(wǎng)地址和端口信息為所述Spoke連接被連接的NAT設(shè)備轉(zhuǎn)換后的公網(wǎng)地址和端口信息����,獲取所述報(bào)文頭攜帶的公網(wǎng)地址和端口信息。
8.根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述隧道為因特網(wǎng)協(xié)議安全I(xiàn)PSec隧道或者DVPN用戶數(shù)據(jù)報(bào)協(xié)議UDP隧道���。
9.根據(jù)權(quán)利要求6所述的裝置����,其特征在于��,所述公網(wǎng)網(wǎng)絡(luò)為Ipv4網(wǎng)絡(luò)��。
【文檔編號(hào)】H04L29/12GK104427010SQ201310390918
【公開日】2015年3月18日 申請(qǐng)日期:2013年8月30日 優(yōu)先權(quán)日:2013年8月30日
【發(fā)明者】毛昱 申請(qǐng)人:杭州華三通信技術(shù)有限公司