專利名稱:在網(wǎng)絡(luò)中實現(xiàn)透明網(wǎng)關(guān)或代理服務(wù)器的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在網(wǎng)絡(luò)中實現(xiàn)透明網(wǎng)關(guān)或代理服務(wù)器的方法����,特別是在路由器�����,網(wǎng)關(guān)或開關(guān)裝置使用修正網(wǎng)絡(luò)地址變換(以下稱“NAT”)實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的方法。
通常�����,一個闖入中斷系統(tǒng)的代理服務(wù)器或網(wǎng)關(guān)通常作為一個網(wǎng)關(guān)使用����。在代理服務(wù)器中,用戶通常設(shè)置或進入一個代理服務(wù)器�����,然后���,再進入一個所需的服務(wù)器。但是��,在透明網(wǎng)關(guān)中�����,由于透明網(wǎng)關(guān)在完成確認(rèn)程序后與真實服務(wù)器建立一個連接���,用戶直接進入一個所需的系統(tǒng)而不知道網(wǎng)關(guān)或代理服務(wù)器的存在�,因此用戶和服務(wù)器可以相信他們沒有通過網(wǎng)關(guān)與伙伴直接聯(lián)系。
現(xiàn)有技術(shù)存在網(wǎng)絡(luò)代理服務(wù)器的透明網(wǎng)關(guān)系統(tǒng)的構(gòu)造���。
這里�,如果一個網(wǎng)絡(luò)服務(wù)端口將一個指定的TCP數(shù)據(jù)包重新定位到網(wǎng)絡(luò)設(shè)備上的代理服務(wù)器����,代理服務(wù)器取得所有數(shù)據(jù)包并通過自己的Internet協(xié)議(以下稱“IP”)再連接到服務(wù)器與其通信。由于網(wǎng)絡(luò)上使用包含主機名稱和被連接的伙伴網(wǎng)絡(luò)服務(wù)器的URL的HTTP協(xié)議��,上述過程才可能�。
盡管該方法對于允許用戶直接連接到服務(wù)器不用指定的代理服務(wù)器是有作用的,這里產(chǎn)生了一個問題�,服務(wù)器承認(rèn)的不是原始客戶而是代理服務(wù)器為其客戶。這一結(jié)構(gòu)的問題不僅在于服務(wù)器確認(rèn)正確客戶有困難��,而且在基于IP認(rèn)證系統(tǒng)的適應(yīng)上存在致命缺點�。另外,由于服務(wù)器幾乎不確認(rèn)正確用戶����,服務(wù)可能不能提供給那些通過網(wǎng)關(guān)的用戶,除非相應(yīng)的問題得到解決��。因此,出于安全和其他目的應(yīng)用網(wǎng)關(guān)的企業(yè)或機構(gòu)可能面對在網(wǎng)關(guān)的運作上的問題���。
首先���,需要改變用戶環(huán)境的額外工作。第二�,必須承擔(dān)教育用戶正確使用網(wǎng)關(guān)的沉重過程。第三�����,用于操作幫助-平臺的由用戶在使用實際中可能產(chǎn)生的那部分的額外花費���。第四�,盡管運行上述透明網(wǎng)絡(luò)代理服務(wù)器�����,互聯(lián)網(wǎng)上基于IP的大量系統(tǒng)的控制服務(wù)器不能收到適當(dāng)?shù)姆?wù)���。第五,由于透明網(wǎng)絡(luò)代理服務(wù)器只是對于可以確認(rèn)在存在應(yīng)用協(xié)議例如HTTP的目標(biāo)服務(wù)器可使用�����,如果網(wǎng)關(guān)是由如Telnet或FTP的網(wǎng)關(guān)構(gòu)成,用戶必須首先進入一個網(wǎng)關(guān)�����,然后�����,為了建立一個連接服務(wù)器的網(wǎng)關(guān)的IP����。因此實現(xiàn)一個透明代理服務(wù)器或透明網(wǎng)關(guān)不僅對于透明代理服務(wù)器,而且對于基于TCP的所有服務(wù)的應(yīng)用程序是必要的�����。
在近些年經(jīng)歷快速增長的Internet的結(jié)構(gòu)�,是首先產(chǎn)生在幾十年前,它提供的大量連接現(xiàn)在是不可預(yù)見的�����。作為解決可行的IP的方式���,NAT概念被引入�����。NAT是一個概念�����,基于重新使用個人網(wǎng)絡(luò)地址���,通常應(yīng)用到一個路由器或相似方式��,路由器從每個端口接收數(shù)據(jù)�,根據(jù)NAT規(guī)則(Mapping Rule變址規(guī)則)將一個IP數(shù)據(jù)包的源IP地址字段變換為一個授權(quán)IP地址然后傳輸�����。
如果個人網(wǎng)絡(luò)請求進入擴展網(wǎng)絡(luò)���,應(yīng)用上述NAT的網(wǎng)絡(luò)設(shè)備在分離的地址工具中儲存一個適當(dāng)數(shù)量的IP地址�,并在沒有使用的授權(quán)地址中分配那些地址給個人網(wǎng)絡(luò)��。這里�����,授權(quán)IP地址的變換是由一個NAT表完成的�����。
圖1為通常描述的基本NAT概念圖��。如圖1所示���,在基本NAT中輸出數(shù)據(jù)流的情況�����,一個全球IP地址被分配給原始本地IP地址然后記錄在NAT表�����,本地IP地址變換為全球IP地址然后傳輸���。當(dāng)輸入數(shù)據(jù)流的情況,使用目標(biāo)的全球IP地址��,也就是上述輸出數(shù)據(jù)流的情況的變換源搜索一個本地IP地址,然后全球IP地址變換為本地IP地址���。由于在該基本NAT中數(shù)據(jù)流通過目標(biāo)IP地址單獨分離��,并由多個主機同時共享一個IP地址是不可能的�,當(dāng)一個IP地址的使用率急劇減少時��,地址的變換減輕���。下面給出了參考圖1的一個詳細介紹�����。
例如���,假設(shè)本地網(wǎng)絡(luò)的主機A與全球網(wǎng)絡(luò)的主機X通訊,而本地網(wǎng)絡(luò)主機B與全球網(wǎng)絡(luò)主機Y通訊�,源A的地址以及在那里分配的全球IP地址G記錄在從A到X數(shù)據(jù)流的NAT表中。另外����,如果分配從A到X(G)數(shù)據(jù)流的同樣IP地址也如圖1所示分配從B到Y(jié)的數(shù)據(jù)流,在基本NAT輸入時��,當(dāng)只根據(jù)從Y到目標(biāo)地址G的傳輸數(shù)據(jù)檢索NAT表時,A和B的本地地址被檢索�����,這樣對于傳輸數(shù)據(jù)產(chǎn)生混淆�����。因此��,在本地網(wǎng)絡(luò)中具有分別的IP地址的多個主機不能被變換為一個����,并且在基本NAT中同樣全球同步IP也是這樣�。為了解決這一問題,在服務(wù)站通常使用NAT表保持IP記錄��,端口等等����。
還有在圖1中,對于從A到X的數(shù)據(jù)流��,源A的地址和端口號100以及分配的全球IP地址G和端口號1000記錄在NAT表中�。從B到Y(jié)的數(shù)據(jù)流,具有可變的端口號2000的全球地址G可被分配到源B的地址和端口號100。在輸入數(shù)據(jù)流時���,為了傳輸從Y到B的傳輸數(shù)據(jù)����,如果NAT表用目的地址G和端口號2000檢索�����,只有B的本地地址和端口號100被搜索到�����,因此��,從A到X的數(shù)據(jù)流可以與從B到Y(jié)的數(shù)據(jù)流分離�����。
為了實現(xiàn)上述目的�,本發(fā)明提供了一種通過使用包括一個NAT表的網(wǎng)絡(luò)設(shè)備在包括網(wǎng)關(guān)或代理服務(wù)器的網(wǎng)絡(luò)中實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的方法。另外��,本發(fā)明包括�,第一步����,確認(rèn)一個收到的數(shù)據(jù)包的源端口或目標(biāo)端口是否在NAT表中����;第二步,如果上述源端口或目標(biāo)端口在第一步中存在確認(rèn)于上述NAT表中����,記錄對話信息表中的對話�����;第三步����,在上述第二步之后變換上述數(shù)據(jù)包中的IP地址。
圖2為一個IP頭的組成圖���。
圖3為一個TCP頭的組成圖���。
圖4為根據(jù)本發(fā)明使用透明網(wǎng)關(guān)的網(wǎng)絡(luò)組成圖。
圖5為變化NAT技術(shù)的概念圖�。
圖6為根據(jù)本發(fā)明一個連接通常網(wǎng)關(guān)的TCP對話連接程序例子的流程圖�。
圖7為根據(jù)本發(fā)明由透明代理服務(wù)器設(shè)置的網(wǎng)關(guān)的TCP對話連接程序例子的流程圖��。
圖8為根據(jù)本發(fā)明的變化的NAT方法的流程圖����。
圖9和圖10為根據(jù)本發(fā)明的NAT方法的其他實施例流程圖。
發(fā)明的較佳實施例下面詳述本發(fā)明的較佳實施例�,圖2是一IP報頭的結(jié)構(gòu),圖3是一顯示了一TCP報頭的結(jié)構(gòu)的圖��,圖4是根據(jù)本發(fā)明的應(yīng)用�����,透明網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)���。
圖4中��,一顧客10可以直接與服務(wù)器70通信�����。然而�����,出于安全或者其他目的通常在網(wǎng)絡(luò)間設(shè)置網(wǎng)關(guān)��。這種網(wǎng)關(guān)的典型例子是闖入者切斷系統(tǒng)�。其它的網(wǎng)關(guān)例如網(wǎng)絡(luò)代理服務(wù)器,SMTP網(wǎng)關(guān)����,F(xiàn)TP網(wǎng)關(guān),Telnet網(wǎng)關(guān)等等也可以考慮�。當(dāng)在網(wǎng)絡(luò)的交通路徑上安裝了網(wǎng)關(guān),顧客通常不得不通過改變環(huán)境來進入網(wǎng)關(guān)�。當(dāng)顧客通過一IP數(shù)據(jù)程序與服務(wù)器通訊時���,網(wǎng)關(guān)再次進入服務(wù)器�����。從而�����,包含NAT的網(wǎng)絡(luò)設(shè)備30中的IP數(shù)據(jù)程序的IP報頭可被更改��。如果流出數(shù)據(jù)包是需要網(wǎng)關(guān)的數(shù)據(jù)包����,數(shù)據(jù)包的目標(biāo)IP改變以使網(wǎng)關(guān)可以收到該數(shù)據(jù)包。然后該數(shù)據(jù)報流向網(wǎng)關(guān)G140或者網(wǎng)關(guān)G250以被閱讀并被后者處理����。處理結(jié)束后,數(shù)據(jù)包傳送回網(wǎng)絡(luò)設(shè)備30��,因此網(wǎng)絡(luò)設(shè)備30將數(shù)據(jù)包的源IP從網(wǎng)關(guān)IP改為顧客IP�。然后,將其傳送給服務(wù)器70�����。
現(xiàn)在���,解釋隨后的服務(wù)器70的引入數(shù)據(jù)包���。接收到引入數(shù)據(jù)包后,網(wǎng)絡(luò)設(shè)備30將目標(biāo)IP從顧客IP改為網(wǎng)關(guān)40��,50的IP�����。由網(wǎng)關(guān)40,50處理后���,該數(shù)據(jù)包傳送回網(wǎng)絡(luò)設(shè)備30����,然后�����,數(shù)據(jù)包的源IP改變?yōu)榉?wù)器70的IP后���,將數(shù)據(jù)包傳送給顧客10���。這樣,在網(wǎng)關(guān)IP隱藏的情況下�,完成了顧客10與服務(wù)器70的通信�。
參考圖5和圖6,依照本發(fā)明的實現(xiàn)透明網(wǎng)關(guān)或者透明代理服務(wù)器的的方法的例子在下面給出�。
圖5顯示了根據(jù)本發(fā)明使用各種NAT技術(shù)實現(xiàn)透明網(wǎng)關(guān)或者透明代理服務(wù)器的方法的實施例的結(jié)構(gòu)描述,圖6是根據(jù)本發(fā)明普通網(wǎng)關(guān)TCP對話連接的例子的流程圖����。
圖5中��,主機C100是IP地址是C的顧客����,主機S110是IP地址是S的服務(wù)器?���,F(xiàn)在,網(wǎng)絡(luò)設(shè)備130的NAT表定義了附圖中所描述的�,也就是,使用端口號23的Telnet的目標(biāo)端口是23���,使用網(wǎng)關(guān)G��,使用端口號是80的網(wǎng)的目標(biāo)端口是80�����,使用網(wǎng)關(guān)G�。
如圖5和圖6所示����,主機C100試圖與主機S110建立通信連接。在這個程序過程中,TCP數(shù)據(jù)包中設(shè)置SYN標(biāo)記(CG���,23SYN)�。TCP報頭包括源端口和目標(biāo)端口���。網(wǎng)絡(luò)設(shè)備的NAT130認(rèn)可目標(biāo)端口是23或者80的數(shù)據(jù)包可被傳送���。這里,在其目標(biāo)IP改為G后���,數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)120����。網(wǎng)絡(luò)設(shè)備130在對話信息表中的注冊有以下結(jié)構(gòu)��,發(fā)送數(shù)據(jù)包括在表中�。
收到該數(shù)據(jù)包后,網(wǎng)關(guān)120以其設(shè)置的SYN標(biāo)記和ACK標(biāo)記從顧客100傳送到網(wǎng)絡(luò)設(shè)備130(G��,23C SYN+ACK)�����。網(wǎng)絡(luò)設(shè)備130����,于是,決定如何參考對話信息表處理該數(shù)據(jù)包����。由于源端口是23,可以知道該數(shù)據(jù)包是顧客的相應(yīng)數(shù)據(jù)包����。因而,該數(shù)據(jù)包的源IP改為服務(wù)器IP后傳送給顧客���。
然后�,顧客100發(fā)送包含ACK標(biāo)記(CG�,23ACK)的數(shù)據(jù)包。因此���,顧客和網(wǎng)關(guān)間的TCP連接建立�����。上述程序的問題在于�����,網(wǎng)關(guān)并不知道實際的目標(biāo)IP����。這樣,網(wǎng)絡(luò)設(shè)備130的NAT只好將上表的值傳送回網(wǎng)關(guān)120���。如圖6所示�,包括NAT的網(wǎng)絡(luò)設(shè)備130將對話信息傳送給網(wǎng)關(guān)120?,F(xiàn)在,網(wǎng)關(guān)120知道了實際服務(wù)器IP����,可以建立連接。
然后�,網(wǎng)關(guān)120傳送包括SYN標(biāo)記(GS,23SYN)的數(shù)據(jù)包以通過TCP連接到服務(wù)器��。數(shù)據(jù)包的源IP改為網(wǎng)關(guān)IP C(G�����;S��,23SYN)����,作為顧客IP根據(jù)網(wǎng)絡(luò)設(shè)備130的上述表格傳送給網(wǎng)關(guān)。服務(wù)器110傳送響應(yīng)數(shù)據(jù)包(S�����,23C SYN+ACK)至顧客100���。這里�,由于網(wǎng)絡(luò)設(shè)備130首先閱讀并處理該數(shù)據(jù)包����,可知網(wǎng)關(guān)120使用了上述對話信息的值。從而��,該數(shù)據(jù)包的目標(biāo)IP從顧客C改為網(wǎng)關(guān)(G S��,23G SYN+ACK)后��,傳送到網(wǎng)關(guān)120�。
如果網(wǎng)關(guān)120將按照ACK標(biāo)記(GS,23ACK)設(shè)置的數(shù)據(jù)包傳送回服務(wù)器110����,網(wǎng)絡(luò)設(shè)備130將由對話信息表(CS����,23ACK)獲得的顧客信息修改過的數(shù)據(jù)包傳送給服務(wù)器120���。因此在網(wǎng)關(guān)100和服務(wù)器110之間建立起TCP連接�����。通過這種方法����,真實顧客100通過網(wǎng)關(guān)120與服務(wù)器110使用TCP連接���。
圖7是根據(jù)本發(fā)明由透明代理服務(wù)器設(shè)置的TCP對話連接過程實例的流程圖�。
一些通用商業(yè)網(wǎng)關(guān)或代理服務(wù)器可以通過其應(yīng)用程序識別目標(biāo)的地址�����,典型的例子是信件傳遞系統(tǒng)和網(wǎng)絡(luò)代理服務(wù)器HTTP�。在這種情況下,目標(biāo)IP在應(yīng)用程序的數(shù)據(jù)中搜索���。然而�,在這種情況下,由于當(dāng)對話信息如圖6所示傳送給網(wǎng)關(guān)時����,應(yīng)用程序的協(xié)議已經(jīng)更改�����,產(chǎn)生了商業(yè)程序不能如它所能提供的功能使用�����。為解決該問題�����,在圖5中的NAT表中提供了模式欄��。這里模式值G�����,意味著這是一通用網(wǎng)關(guān)��,模式值T意味著這是一可識別目標(biāo)IP的透明網(wǎng)關(guān)。
如果目標(biāo)端口設(shè)置為80且網(wǎng)絡(luò)代理服務(wù)器設(shè)置為網(wǎng)關(guān)����,模式則設(shè)為T,如圖7所示的TCP連接可以建立���。然而�����,圖7和圖6的不同之處在于對話信息沒有傳送給網(wǎng)關(guān)�����。
圖8是根據(jù)本發(fā)明不同NAT方法的流程圖��。
在接收數(shù)據(jù)包時�,確認(rèn)數(shù)據(jù)包是否是TCP或者不是S800���。當(dāng)其不是TCP時���,數(shù)據(jù)包直接傳送。當(dāng)數(shù)據(jù)包是TCP時�,確認(rèn)目標(biāo)端口是否是在NAT表S810中���。如果目標(biāo)端口不在NAT表中,進一步確認(rèn)源端口是否在NAT表S820中��。如果源端口不在NAT表中����,意味著數(shù)據(jù)包與網(wǎng)關(guān)無關(guān),直接由數(shù)據(jù)包傳送模塊傳送���。
當(dāng)源端口或目標(biāo)端口在NAT表中存在時,確定源IP是否是網(wǎng)關(guān)IPS830��。作為參考����,這里沒有目標(biāo)IP是網(wǎng)關(guān)IP的情況,因為將目標(biāo)IP改變?yōu)榫W(wǎng)關(guān)IP是NAT的功能�����。
當(dāng)目標(biāo)IP不是網(wǎng)關(guān)IP時�����,意味著該數(shù)據(jù)包是顧客數(shù)據(jù)包或服務(wù)器數(shù)據(jù)包,這需要相對更多的處理�����。如果數(shù)據(jù)包由SYN標(biāo)記S840設(shè)置����,意味著該數(shù)據(jù)包是對話初始化數(shù)據(jù)包,該對話在對話信息表S850中注冊���。
之后�����,確認(rèn)網(wǎng)關(guān)模式是否是G S860����。如果網(wǎng)關(guān)模式不是G而是T��,數(shù)據(jù)包不改變IP地址直接傳送到數(shù)據(jù)包傳送模塊�����。如果數(shù)據(jù)包是G,進行對話信息表中的對話搜索870���。搜索方法由使用唯一記錄包括源IP信息����,源端口�,目標(biāo)IP,目標(biāo)端口S880搜索是否有結(jié)果決定�。
當(dāng)該表產(chǎn)生任何結(jié)果后,目標(biāo)IP改變?yōu)榫W(wǎng)關(guān)IPS900�,數(shù)據(jù)包傳送給模塊。當(dāng)該表沒有產(chǎn)生結(jié)果時�,數(shù)據(jù)包被丟棄S890。上述描述涉及到當(dāng)從顧客或者服務(wù)器收到數(shù)據(jù)包的情況�����。
然而�����,網(wǎng)關(guān)處理并傳送數(shù)據(jù)包S830��,對話信息表中的記錄用目標(biāo)IP�����,目標(biāo)端口��,網(wǎng)關(guān)IP和源端口S910搜索���。搜索后����,確定表是否產(chǎn)生了任何結(jié)果S920�。表產(chǎn)生了任何結(jié)果時,如果數(shù)據(jù)包由FIN標(biāo)記設(shè)置了兩次或者該數(shù)據(jù)包由RST標(biāo)記設(shè)置S940��,則對話從對話表S950中刪除�,在表S960中源IP由網(wǎng)關(guān)IP改為真實IP,數(shù)據(jù)包傳送到數(shù)據(jù)包傳送模塊���。
在以上步驟S940中�����,如果由FIN標(biāo)記設(shè)置的數(shù)據(jù)包沒有發(fā)生兩次或者該數(shù)據(jù)包由RST標(biāo)記沒有處理����,則忽略刪除對話950的步驟,該數(shù)據(jù)包在表中源IP由網(wǎng)關(guān)IP改為真實IP后����,傳送給數(shù)據(jù)包傳輸模塊。
另一方面�,如果對話信息表不包括上述步驟S920的記錄,數(shù)據(jù)包被丟棄S930����。
然后,根據(jù)圖9和其他
本發(fā)明的另一實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的方法的實施例��。上述實施例實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的問題部分是將對話信息傳送回網(wǎng)關(guān)��?���?梢赃x擇的是,本系統(tǒng)可刪除傳送對話信息至網(wǎng)關(guān)的部分并如圖9所示使用TCP/IP的特性使得源端口不能使用和顧客對話連接相同的端口號���,除非目標(biāo)IP獨自在網(wǎng)關(guān)處理。換句話說�,對話表如圖9改變,加入了網(wǎng)關(guān)對話表����。
圖9中每個表生成每個條款的過程在下面解釋�����。當(dāng)接收到有SYN標(biāo)記的數(shù)據(jù)包時�,將對話加到對話表中�����,除非源IP是網(wǎng)關(guān)IPS1000����。然后,將網(wǎng)關(guān)對話表加入到S1100����。這之后,對話表連接到網(wǎng)關(guān)對話表S1200����。然后,為了從網(wǎng)關(guān)對話表S1300中檢索到對話表�,網(wǎng)關(guān)對話表也連接到對話表。數(shù)據(jù)包在網(wǎng)關(guān)對話表信息的基礎(chǔ)上被修正�,也就是目標(biāo)IP從D1到G1修正��,然后����,將數(shù)據(jù)包傳輸?shù)絺鬏斈K���。
由于網(wǎng)關(guān)不能識別目標(biāo)IP���,則嘗試與源IP連接,來替代與目標(biāo)IP的連接�。目標(biāo)端口連接到源端口使得原始對話被NAT確認(rèn)。這里����,敘述的重點是雖然源IP是連接的,目標(biāo)IP實際上是連接的�。這種情況下,雖然收到了帶SYN標(biāo)記的數(shù)據(jù)包�,源IP變?yōu)榫W(wǎng)關(guān)IP。這里���,一域加入到網(wǎng)關(guān)對話表S1400且在增加的域中該部分將目標(biāo)IP變?yōu)榫W(wǎng)關(guān)IP。為了在網(wǎng)關(guān)對話表S1500中搜索對話表���,對話表被連接����。這里,對話表由目標(biāo)對話表和源端口搜索���。最后����,網(wǎng)關(guān)對話表連接到對話表S1600的網(wǎng)關(guān)對話���。
現(xiàn)在����,下面解釋傳送真實數(shù)據(jù)的過程中地址變換的方法�。當(dāng)源IP為網(wǎng)關(guān)IP時,網(wǎng)關(guān)對話表被搜索����。如果NAT表中存在目標(biāo)端口,該IP依照由網(wǎng)關(guān)對話表的對話指定的對話表的信息進行變換�����。如果相反,目標(biāo)端口不存在于NAT表中����,端口的IP變?yōu)橛删W(wǎng)關(guān)對話表的對話指定的對話表的相反值,也就是對話表中的源IP改為目標(biāo)IP�����,對話表中的目標(biāo)IP改為源IP���。
當(dāng)源IP不是網(wǎng)關(guān)IP時���,首先搜索對話表。如果搜索得到任何結(jié)果�,IP改為CPTR指定的網(wǎng)關(guān)對話表中具有一表格。如果搜索沒有獲得結(jié)果�,用相反的IP和端口進行新的搜索,其中源地址和目標(biāo)地址翻轉(zhuǎn)�。如果搜索獲得結(jié)果,IP獲得由SPTR指定的網(wǎng)關(guān)對話表的一個表格�。
然后,解釋在對話表中刪除一個條目的過程����。如果收到的是一個遇到兩個FIN標(biāo)記的數(shù)據(jù)包���,或者被RST標(biāo)記設(shè)置的數(shù)據(jù)包����,對話完全終止。如果源IP是網(wǎng)關(guān)IP����,數(shù)據(jù)包在被按照真實數(shù)據(jù)傳輸過程修正后被傳輸,然后��,網(wǎng)關(guān)對話表中的相應(yīng)的條目被刪除���。如果源IP不是網(wǎng)關(guān)IP����,數(shù)據(jù)包在依照真實數(shù)據(jù)傳輸過程修正后被傳輸����,然后,對話表中的相應(yīng)的條目刪除�。
圖10是如圖9描述的本發(fā)明的方法的另一實施例的流程圖。
這里��,在接收數(shù)據(jù)包S2000時,確認(rèn)在NAT表S2010中是否存在目標(biāo)端口����。
如果在NAT表中存在目標(biāo)端口,需要額外確認(rèn)是否設(shè)置SYN標(biāo)記S2020�����。如果SYN標(biāo)記已經(jīng)設(shè)置����,確認(rèn)源IP是否是網(wǎng)關(guān)IP。
如果源IP不是網(wǎng)關(guān)IP�,數(shù)據(jù)包在對話表S2040和網(wǎng)關(guān)對話表S2050中注冊。然后����,數(shù)據(jù)包連接到對話表S2060的Cptr,IP變?yōu)榕c對話表S2070相同的ST.Cptr�。
如果在以上步驟S2030中源IP是網(wǎng)關(guān)IP,數(shù)據(jù)包在網(wǎng)關(guān)對話表S2080中注冊��,并連接到對話表S2090的Sptr�����。然后,該IP和端口變?yōu)榕c網(wǎng)關(guān)對話表S2100相同的對話����。
如果在上述步驟S2020中沒有SYN標(biāo)記,則確認(rèn)源IP是否是網(wǎng)關(guān)IP S2110���,當(dāng)源IP不是網(wǎng)關(guān)IP時,在對話表中搜索對話�。當(dāng)源IP是網(wǎng)關(guān)IP時,步驟S2200在下面描述�。
下面,確認(rèn)源IP和目標(biāo)IP是否翻轉(zhuǎn)S2130�,然后,當(dāng)源和目標(biāo)翻轉(zhuǎn)S2140時����,IP和端口變?yōu)橄嗤腟T.Sptr。當(dāng)目標(biāo)和端口沒有翻轉(zhuǎn)時����,IP和端口改為相同的ST.Cptr。
然后��,確認(rèn)是否設(shè)置了FIN或者RST標(biāo)記S2160,對話表被刪除S2170��,當(dāng)設(shè)置了FIN或者RST標(biāo)記時��,數(shù)據(jù)包傳輸?shù)綌?shù)據(jù)包傳輸模塊��。
如果在上述步驟S2010中NAT表中不存在目標(biāo)端口�,還要確認(rèn)在NAT表中是否存在源端口S2180,當(dāng)在NAT表中存在源端口���,上述S2020步驟重復(fù)��,當(dāng)NAT表中不存在源端口����,確認(rèn)源IP和網(wǎng)關(guān)IP是否相同S2190���。
當(dāng)源IP與網(wǎng)關(guān)IP相同時�����,在網(wǎng)關(guān)對話表中搜索該對話S2200�����,并確認(rèn)在表中是否存在對話S2210���。
當(dāng)在網(wǎng)關(guān)對話表中不存在對話時���,數(shù)據(jù)包立即傳輸?shù)絺鬏斈K,當(dāng)網(wǎng)關(guān)對話表S2220中存在對話���,IP和端口變?yōu)榫W(wǎng)關(guān)對話表相同的對話����。
然后�,確認(rèn)是否設(shè)置了FIN或RST標(biāo)記S2230����,數(shù)據(jù)包立即傳輸?shù)綌?shù)據(jù)報傳輸模塊,當(dāng)該標(biāo)記已經(jīng)設(shè)置時�����,網(wǎng)關(guān)對話被刪除S2240后數(shù)據(jù)包傳輸?shù)綌?shù)據(jù)包傳輸模塊��。
雖然依照本發(fā)明的實施例�,以上已經(jīng)描述了本發(fā)明的結(jié)構(gòu)和效果����,本發(fā)明的權(quán)利不局限在這里��,而是決定于權(quán)利要求�����,本領(lǐng)域技術(shù)人員做出的允許的變化����、改變和修改將不超出本發(fā)明的范圍和精神。
工業(yè)實用性如上所述���,本發(fā)明允許使用者通過一透明網(wǎng)關(guān)或者透明代理服務(wù)器與通訊伙伴通訊而不注意到其存在����,并不需要在用戶環(huán)境中做任何變化�����。
而且���,本發(fā)明可使在構(gòu)造和維持網(wǎng)絡(luò)的時間和費用上有實質(zhì)性的減少��,并且不需要培訓(xùn)使用者如何使用網(wǎng)關(guān)��。
另外��,本發(fā)明允許一種基于IP的控制服務(wù)器提供普通服務(wù)�,即使是需要協(xié)議的代理服務(wù)器或網(wǎng)關(guān),保證其透明��,即不能從如Telnet或者FTP的目錄知道其目標(biāo)IP��。
權(quán)利要求
1.一種在包括網(wǎng)關(guān)或代理服務(wù)器的網(wǎng)絡(luò)中執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法���,通過使用包括一個NAT表的網(wǎng)絡(luò)設(shè)備���,包括第一步���,確認(rèn)在上述NAT表中是否存在一個收到的數(shù)據(jù)包的源端口或目標(biāo)端口�;第二步�����,如果在上述第一步中確認(rèn)上述NAT表中存在上述源端口或目標(biāo)端口�����,在對話信息表中記錄該對話;并第三步����,在上述第二步之后變換上述數(shù)據(jù)包中的IP地址。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的方法��,其中所述的第三步包括當(dāng)源IP不是目標(biāo)IP的情況��,設(shè)置一個SYN標(biāo)記時���,注冊一個對話的步驟�;當(dāng)預(yù)置網(wǎng)關(guān)模式是通常網(wǎng)關(guān)模式情況���,在對話信息中搜索上述對話的步驟�;當(dāng)上述對話搜索得到任何結(jié)果時��,目標(biāo)IP改變網(wǎng)關(guān)IP的步驟�;和如果預(yù)置網(wǎng)關(guān)模式是透明網(wǎng)關(guān)模式,直接傳輸上述數(shù)據(jù)包的步驟����。
3.根據(jù)權(quán)利要求2所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法���,其中所述的對話使用源IP,源端口�����,目標(biāo)IP和目標(biāo)端口搜索���。
4.根據(jù)權(quán)利要求1所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法����,其中所述的上述第三步包括當(dāng)源IP是目標(biāo)IP時���,在對話信息表中搜索上述對話的步驟���;和當(dāng)上述對話搜索得到任何結(jié)果時,當(dāng)設(shè)置一個FIN或RST標(biāo)記時�,從數(shù)據(jù)包中刪除所述對話后�,源IP從網(wǎng)關(guān)IP改變?yōu)檎鎸嵲碔P的步驟。
5.根據(jù)權(quán)利要求4所述的實現(xiàn)透明網(wǎng)關(guān)或透明代理服務(wù)器的方法����,其中所述的對話是用目標(biāo)IP����,目標(biāo)端口��,網(wǎng)關(guān)IP和源端口搜索�。
6.一種在包括網(wǎng)關(guān)或代理服務(wù)器的網(wǎng)絡(luò)中執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法,通過使用裝有一個NAT表的網(wǎng)絡(luò)設(shè)備���,包括第一步�,確認(rèn)收到的數(shù)據(jù)包的源端口或目標(biāo)端口是否在于上述NAT表中�����;第二步���,其中�,如果上述源或目標(biāo)端口在上述第一步中不存在于上述NAT表中���,當(dāng)源IP是網(wǎng)關(guān)IP時���,對話在網(wǎng)關(guān)對話表中搜索;如果源或目標(biāo)端口存在于上述NAT表中,IP端口按照網(wǎng)關(guān)對話表的對話改變�;和第三步,在設(shè)置FIN或RST標(biāo)記時�,刪除網(wǎng)關(guān)對話。
7.一種在包括網(wǎng)關(guān)或代理服務(wù)器的網(wǎng)絡(luò)中執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法�,通過使用裝有一個NAT表的網(wǎng)絡(luò)設(shè)備,包括第一步��,確認(rèn)收到的數(shù)據(jù)包的源端口或目標(biāo)端口是否在上述NAT表中����;第二步,如果上述源或目標(biāo)端口在上述第一步中存在于上述NAT表中�,確認(rèn)是否設(shè)置了一個SYN標(biāo)記;和第三步��,在上述第二步中設(shè)置SYN標(biāo)記時�����,改變IP和端口����。
8.根據(jù)權(quán)利要求7所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法,其中所述的第三步包括如果源IP是一個網(wǎng)關(guān)IP��,在網(wǎng)關(guān)對話表中注冊的步驟��;連接對話表的Sptr的步驟����;和改變IP和端口與網(wǎng)關(guān)對話表相同的步驟。
9.根據(jù)權(quán)利要求7所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法�,其中所述的第三步包括如果源IP不是網(wǎng)關(guān)IP,在對話表以及網(wǎng)關(guān)對話表中注冊的步驟��;連接到對話表的Cptr的步驟����;和改變IP和端口與ST.Cptr相同的步驟。
10.一種在包括網(wǎng)關(guān)或代理服務(wù)器的網(wǎng)絡(luò)中執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法����,通過使用裝有一個NAT表的網(wǎng)絡(luò)設(shè)備,包括第一步����,確認(rèn)收到的數(shù)據(jù)包的源端口或目標(biāo)端口是否在上述NAT表中;第二步�����,其中,如果上述第一步中的上述NAT表中存在上述源端口或目標(biāo)端口����,確認(rèn)是否設(shè)置了SYN標(biāo)記;和第三步�,在上述第二步中沒有設(shè)置SYN標(biāo)記時,改變IP和端口��。
11.根據(jù)權(quán)利要求10所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法���,其中所述的第三步包括如果源IP是網(wǎng)關(guān)IP�����,在網(wǎng)關(guān)對話表中搜索對話�����,并當(dāng)對話表存在時�����,將網(wǎng)關(guān)對話表和對話表的IP和端口變換為相同的步驟�,和在設(shè)置了FIN或RST標(biāo)記時刪除網(wǎng)關(guān)對話的步驟����。
12.根據(jù)權(quán)利要求10所述的執(zhí)行透明網(wǎng)關(guān)或透明代理服務(wù)器的方法�,其中所述的第三步包括如果源IP不是網(wǎng)關(guān)IP��,在網(wǎng)關(guān)對話表中搜索對話���,并確認(rèn)當(dāng)對話存在時是否源IP和目標(biāo)IP被調(diào)換的步驟;當(dāng)源IP和目標(biāo)IP被調(diào)換時改變IP和端口與ST.Sptr相同���,和在設(shè)置FIN或RST標(biāo)記后刪除對話表的步驟����;和當(dāng)源IP和目標(biāo)IP沒有被調(diào)換時改變IP和端口與ST.Cptr相同����,和在設(shè)置FIN或RST標(biāo)記后刪除對話表的步驟。
全文摘要
本發(fā)明涉及一種在網(wǎng)絡(luò)中執(zhí)行透明網(wǎng)關(guān)或代理服務(wù)器的方法��,特別的特征在于�,使用NAT傳輸方法特別是在應(yīng)用例如路由器,網(wǎng)關(guān)和/或開關(guān)裝置的地址轉(zhuǎn)化方法的網(wǎng)絡(luò)設(shè)備中使用NAT轉(zhuǎn)換方法�。根據(jù)本發(fā)明,客戶和服務(wù)器可以通過在網(wǎng)絡(luò)路徑中提供的但不用識別的網(wǎng)關(guān)相互通訊�。
文檔編號H04L29/06GK1460347SQ02800801
公開日2003年12月3日 申請日期2002年4月4日 優(yōu)先權(quán)日2001年6月22日
發(fā)明者李在亨 申請人:?��?怂箍司W(wǎng)絡(luò)有限公司