專利名稱:使用雙-nat方法的虛擬專用網(wǎng)絡(luò)(vpn)信息包級路由的動態(tài)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明總體來說涉及一種用于動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)系統(tǒng)的使用雙 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)結(jié)構(gòu)對虛擬專用網(wǎng)絡(luò)(VPN)信息包級路由的系統(tǒng)和方 法,更具體地��,本發(fā)明涉及一種使用DVPN網(wǎng)關(guān)來在應(yīng)用程序����、主機(jī)或者任何 兩個(gè)末端地址之間,在不互相暴露IP地址和網(wǎng)絡(luò)拓?fù)涞那闆r下��,提供雙向安全 連接���。
背景技術(shù):
最常見的 一種將分散的計(jì)算機(jī)組織起來的網(wǎng)絡(luò)就是國際互聯(lián)網(wǎng)。國際互聯(lián) 網(wǎng)允許計(jì)算機(jī)系統(tǒng)的使用者在全球范圍內(nèi)進(jìn)行數(shù)據(jù)交換�。此外,很多形式為公 司或者商業(yè)網(wǎng)絡(luò)這樣的專用網(wǎng)絡(luò)也連接到國際互聯(lián)網(wǎng)中����。這些專用網(wǎng)絡(luò)通常被 稱為"內(nèi)部互聯(lián)網(wǎng)"。為了便于數(shù)據(jù)交換,內(nèi)部互聯(lián)網(wǎng)通常使用與國際互聯(lián)網(wǎng)相 同的通信協(xié)議�����。這些國際互聯(lián)網(wǎng)協(xié)議(IP)規(guī)定了數(shù)據(jù)的格式方式和怎樣通訊����。 另外,可以通過網(wǎng)關(guān)來控制訪問公司網(wǎng)絡(luò)或者內(nèi)部互聯(lián)網(wǎng)�����,其通常包括一個(gè)防 火墻系統(tǒng)�����。隨著國際互聯(lián)網(wǎng)的發(fā)展的流行�,商業(yè)活動將國際互聯(lián)網(wǎng)作為一種擴(kuò)展他們 自己網(wǎng)絡(luò)的一種方式。首先出現(xiàn)了內(nèi)部互聯(lián)網(wǎng)���,其是一種設(shè)計(jì)成只能由公司職 員使用的訪問控制站點(diǎn)����。目前�����,很多公司建立了自己的虛擬專用網(wǎng)絡(luò)(VPN, virtual private network)來滿足遠(yuǎn)程職員和遠(yuǎn)距離辦公室的要求。VPN通常是使 用公共網(wǎng)絡(luò)(通常是國際互聯(lián)網(wǎng))來將遠(yuǎn)程站點(diǎn)或使用者連接專用國際互聯(lián)網(wǎng)��。 與使用專門的�����、實(shí)際的連接(例如租用線路)相反���,VPN使用"虛擬的"連接���, 通過國際互聯(lián)網(wǎng),將公司的專用網(wǎng)絡(luò)連接給遠(yuǎn)程站點(diǎn)或者職員��。在一種典型的結(jié)構(gòu)中����,本地網(wǎng)絡(luò)使用一種設(shè)計(jì)成"專用"的IP地址子網(wǎng)(例如192.168.x.x, 10.x.x.x或172.16.x.x-172.31.x.x),以及一種上述網(wǎng)絡(luò)中的路由 器�,其具有在上述地址空間中的專用地址(例如192.168.0.1 )。這個(gè)路由器還通 過一個(gè)"公共"的地址或者由ISP (國際互聯(lián)網(wǎng)服務(wù)提供者)指定的多個(gè)"公 共"地址連接到國際互聯(lián)網(wǎng)���。隨著流量從本地網(wǎng)絡(luò)傳送到國際互聯(lián)網(wǎng),每個(gè)信 息包中的資源地址在從專用地址發(fā)送到公共地址的傳送的過程中,進(jìn)行轉(zhuǎn)換�。 路由器追蹤與每個(gè)主動的連接(特別是目的地址和端口 )有關(guān)的數(shù)據(jù)。當(dāng)響應(yīng) 返回到路由器時(shí)�����,路由器使用其在輸出階段儲存的連接追蹤數(shù)據(jù)來決定向內(nèi)部 網(wǎng)絡(luò)的哪里傳遞上述響應(yīng)���。典型的虛擬專用網(wǎng)絡(luò)的網(wǎng)關(guān)或者裝置包括一個(gè)安全通信����,以用在與開放并 且通常是不安全的網(wǎng)絡(luò)�����,例如國際互聯(lián)網(wǎng)的連接�����。為了在虛擬專用網(wǎng)絡(luò)(VPN) 的任何兩個(gè)節(jié)點(diǎn)之間建立安全通信����,每個(gè)節(jié)點(diǎn)通過一些裝置信息("結(jié)構(gòu)")獲 得(包括但不限于)VPN內(nèi)遠(yuǎn)程節(jié)點(diǎn)的身份和狀態(tài),節(jié)點(diǎn)之間(VPN拓?fù)? 的關(guān)系�,為了進(jìn)行認(rèn)證的加密算法����,以及節(jié)點(diǎn)之間的數(shù)據(jù)通信加密���。兩個(gè)節(jié)點(diǎn) 之間的安全的通信通常被稱為"隧道"���,而節(jié)點(diǎn)本身通常被稱為"隧道終端器"。 傳統(tǒng)的VPN解決方案包括一定數(shù)量的隧道終端裝置����,這些裝置提供一個(gè)VPN 通信的中心"網(wǎng)絡(luò)集線器(hub)"。接著�,在期望VPN的上共享的節(jié)點(diǎn)上運(yùn)行 軟件,上述軟件根據(jù)VPN裝置的地址人工地構(gòu)造���,然后運(yùn)行軟件以在VPN中 共享�。傳統(tǒng)的VPN解決方案會暴露兩個(gè)末端VPN節(jié)點(diǎn)的內(nèi)部網(wǎng)絡(luò)拓?fù)?���。客?(請求者)和資源(服務(wù))在他們自己的VPN節(jié)點(diǎn)中��,使用本地IP地址相互 通信�。因此�,希望提供這樣一種應(yīng)用程序和應(yīng)用系統(tǒng)其可任何資源(服務(wù))��,和 任何應(yīng)用程序?qū)蛹墐?nèi)容�����,這些內(nèi)容可以使用雙NAT方法�,通過虛擬專用網(wǎng)絡(luò)隧 道發(fā)送�,并且,其沒有公開本地內(nèi)部網(wǎng)絡(luò)拓?fù)?�,而且可以很容易地?yīng)用�����,這是 因?yàn)橄到y(tǒng)和方法允許IP地址或者子網(wǎng)絡(luò)在兩個(gè)末端站點(diǎn)之間沖突����。發(fā)明內(nèi)容根據(jù)本發(fā)明的一個(gè)實(shí)施方式,提供了一種使用雙-NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換)裝置用于虛擬專用網(wǎng)絡(luò)信息包級路由的方法��,其包括:給客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)客戶提供主機(jī)存儲在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的可用的資源列表����; 給資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)資源分配客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本 地(虛擬)IP地址;由至少一個(gè)客戶發(fā)起一個(gè)請求�,請求資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn) 上主機(jī)存儲的可用資源列表中的至少一個(gè)資源�,就像該至少一個(gè)資源相對于至 少一個(gè)客戶來說是本地的,并未暴露資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上可用的資源列表的實(shí)際IP地址��,其中與客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)相連的客戶動態(tài)虛擬專用網(wǎng)絡(luò) (DVPN)網(wǎng)關(guān)將本地(實(shí)際)客戶IP地址和本地(虛擬)資源IP地址轉(zhuǎn)換成 客戶DVPN地址和資源DVPN地址�����;通過安全連接��,路由具有客戶DVPN地 址和資源DVPN地址的請求信息包�����,發(fā)送到與資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)相連的資 源動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān);將客戶DVPN地址和資源DVPN地址轉(zhuǎn) 換成本地(虛擬)客戶IP地址和資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地(實(shí)際)資源 IP地址����,其中由資源DVPN網(wǎng)關(guān)執(zhí)行上述轉(zhuǎn)換�;通過資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上 的至少一個(gè)資源響應(yīng)請求���,盡管上述請求是在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上在本地發(fā)起��,并未暴露客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上至少一個(gè)客戶虛擬IP地址;通過安全 連接�����,從資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)資源將響應(yīng)信息包路由回客戶虛 擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少 一 個(gè)客戶����,其中資源D VPN網(wǎng)關(guān)將資源虛擬專用網(wǎng)絡(luò) 節(jié)點(diǎn)上的本地(實(shí)際)資源IP地址和本地(虛擬)客戶IP地址轉(zhuǎn)換成資源DVPN 地址和客戶DVPN地址�,以通過安全隧道發(fā)送至客戶DVPN網(wǎng)關(guān);以及將響應(yīng) 信息包發(fā)送到至少一個(gè)客戶����,其中客戶DVPN網(wǎng)關(guān)將資源DVPN地址和客戶 DVPN地址轉(zhuǎn)換成客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地(虛擬)資源IP地址和本地 (實(shí)際)客戶IP地址。
下面將根據(jù)附圖顯示的實(shí)施例�,詳細(xì)說明本發(fā)明��,其中相同的元件使用相 同的附圖標(biāo)記���,其中圖1顯示出根據(jù)本發(fā)明一個(gè)實(shí)施例的動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)訪問場景的示意圖���,其中發(fā)布(提供)配置在一個(gè)站點(diǎn)(資源站點(diǎn))上的資源給另外 一個(gè)站點(diǎn)(客戶站點(diǎn));圖2顯示了根據(jù)一個(gè)實(shí)施例�,涉及雙-NAT信息包封裝格式的圖表;圖3顯示了 一種用于在兩個(gè)對等虛擬專用網(wǎng)絡(luò)(VPN )節(jié)點(diǎn)之間,使用DVPN 地址的動態(tài)專用網(wǎng)絡(luò)(DVPN)示意圖��;圖4顯示了根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,在兩個(gè)對等VPN節(jié)點(diǎn)之間��,為了遠(yuǎn) 程資源服務(wù)配置的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) /端口地址轉(zhuǎn)換(PAT)規(guī)則的圖表�����;圖5顯示了根據(jù)一個(gè)實(shí)施例����,對于在兩個(gè)對等VPN節(jié)點(diǎn)之間的遠(yuǎn)程資源訪 問信息包流的單獨(dú)NAT規(guī)則的圖表���;圖6顯示了使用動態(tài)端口協(xié)議���,在具有應(yīng)用程序資源(例如文件傳輸協(xié)議 (FTP))的對等VPN節(jié)點(diǎn)之間的動態(tài)VPN (DVPN)的結(jié)構(gòu)示意性圖;圖7顯示了在用戶和FTP服務(wù)器之間涉及主動模式的文件傳輸協(xié)議(FTP ) 的流程圖��;圖8顯示了涉及從用戶到FTP服務(wù)器發(fā)送端口命令信息包的圖表�;圖9顯示了涉及使用主動模式文件傳輸協(xié)議(FTP)網(wǎng)絡(luò)地址轉(zhuǎn)換端口命令信息包內(nèi)容的圖表;圖10顯示了涉及信息包流從FTP服務(wù)器數(shù)據(jù)端口傳送到用戶數(shù)據(jù)端口的圖表;圖11顯示了涉及在用戶和FTP服務(wù)器之間的被動模式文件傳輸協(xié)議(FTP ) 的流程圖�;圖12顯示了涉及從用戶發(fā)送PASV命令信息包到FTP服務(wù)器的圖表;圖13顯示了涉及使用被動模式文件傳輸協(xié)議(FTP)網(wǎng)絡(luò)地址轉(zhuǎn)換的端口命令信息包內(nèi)容的圖表�;圖14顯示了涉及信息包流從用戶數(shù)據(jù)端口傳送至FTP服務(wù)器數(shù)據(jù)端口的圖表。
具體實(shí)施方式
當(dāng)今注重的是����,很多工業(yè)和企業(yè)希望通過提高職員生產(chǎn)力以及商業(yè)靈活性, 來簡化�、優(yōu)化商業(yè)運(yùn)行,同時(shí)應(yīng)改善網(wǎng)絡(luò)管理并大幅減少費(fèi)用�。為了提供安全、包括遠(yuǎn)程以及內(nèi)部范圍內(nèi)的請求式訪問(on-demand access),使用虛擬專用網(wǎng) 絡(luò)(VPN, virtual private net work)設(shè)備(aka網(wǎng)關(guān))能夠?qū)⒙殕T與遠(yuǎn)程應(yīng)用程 序與信息(即�����,資源/服務(wù))連接起來�����,以滿足客戶的需要����,這些用戶包括從小 型、本地的商業(yè)機(jī)構(gòu)到大型�、全球化的企業(yè)��,從金融服務(wù)機(jī)構(gòu)�����、衛(wèi)生保健機(jī)構(gòu) 到政府和教育部門��。例如����,安全地訪問應(yīng)用程序��、基于網(wǎng)絡(luò)上獲取的內(nèi)容可以 被幾乎所有類型的商業(yè)機(jī)構(gòu)用來傳遞快速�����、安全的訪問到行政管理���、醫(yī)療衛(wèi)生 應(yīng)用程序、衛(wèi)生保健工業(yè)中的病人記錄�,提高用戶服務(wù)并且減少金融機(jī)構(gòu)的花 費(fèi)、優(yōu)化零售供應(yīng)鏈和職員的生產(chǎn)力��,使得快速�����、安全的訪問到達(dá)行政管理和 教育應(yīng)用程序;為重要的操作和政府部門的數(shù)據(jù)提供最快的訪問和高規(guī)格的安 全性�;提供快速、安全的訪問和e-mail服務(wù)�,對國際互聯(lián)網(wǎng)現(xiàn)代化管理的安全 保證?����;诰W(wǎng)絡(luò)的應(yīng)用程序有助于整合公司的系統(tǒng)���,因此能夠分享信息并將職員�、 供貨商��、管理人員連接起來��,從而將商業(yè)過程自動化�。無論國際互聯(lián)網(wǎng)是否用 于金融、供貨鏈��、顧客關(guān)系管理或者其他企業(yè)要害應(yīng)用�����,最重要的要求是相同 的如果沒有合適的運(yùn)行層次,有效性�����、安全性和應(yīng)用程序構(gòu)不能獲得預(yù)想的 回饋�。而且,當(dāng)顧客和顧客裝置需要通過基于網(wǎng)絡(luò)或者基于程序更好地訪問數(shù) 據(jù)和服務(wù)時(shí)��,對運(yùn)行����、有效性和安全性提升產(chǎn)品和方案的需求非常巨大。圖1為動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)的示意圖��,顯示了訪問場景或者系統(tǒng) 10��,其將構(gòu)造在一個(gè)站點(diǎn)(資源站點(diǎn))上的資源發(fā)布(提供)至另外一個(gè)站點(diǎn) (客戶站點(diǎn))�。根據(jù)一個(gè)實(shí)施例, 一個(gè)完整的DVPN訪問過程優(yōu)選地包括如下 步驟建立安全連接或者隧道90���,發(fā)布至少一個(gè)資源和路由資源訪問數(shù)據(jù)信息 包。建立起來的安全連接或者隧道90,優(yōu)選地包括建立一個(gè)安全連接或者隧道 90,優(yōu)選地包括在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A)和客戶虛擬網(wǎng)絡(luò)節(jié)點(diǎn)50(站點(diǎn)B)之間建立加密套接字協(xié)議層(SSL����, secure sockets layer),其中隧道 90用來傳送控制信息并發(fā)送數(shù)據(jù)流�����。然而�,應(yīng)當(dāng)理解的是����,這里描述的系統(tǒng)和 方法可以用于任何合適的安全連接或者隧道。資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A)優(yōu)選地包括至少一個(gè)資源40���,從而資 源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20能夠通過SSL連接90�����,將至少一個(gè)資源40��,例如具有(實(shí)際)資源IP地址10.1.0.200:80 (42)的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)1 (Webl)(資源名 稱)發(fā)布(或者提供)到客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)50 (站點(diǎn)B)��。根據(jù)一個(gè)實(shí)施 例�,客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)50獲得實(shí)際的資源信息�,并將本地IP地址10.2.0.100(56),以及選擇性的新的端口號8080,分配至上述資源����,上述分配使用了動 態(tài)主機(jī)配置協(xié)議(DHCP, Dynamic Host Configuration Protocol), —個(gè)預(yù)先構(gòu)造 的IP地址池���,或者任何合適的方法,從而至少一個(gè)遠(yuǎn)程資源40在客戶虛擬專 用網(wǎng)絡(luò)站點(diǎn)50 (站點(diǎn)B)上映射成本地(虛擬)資源��。通常�����,發(fā)布至少一個(gè)資 源的虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)或者站點(diǎn)(在本實(shí)施例中是站點(diǎn)A)被稱為"資源站點(diǎn)"�����, 并且接收從其他站點(diǎn)傳送的資源的虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)或者站點(diǎn)(在本實(shí)施例中 是站點(diǎn)B)被稱為"客戶站點(diǎn)"����。應(yīng)當(dāng)理解的是,通常�����,"客戶"指是的是實(shí)際 的客戶���,"資源"指的是實(shí)際的資源����。如圖1所示����,系統(tǒng)10包括一個(gè)資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A),其具 有至少 一 個(gè)資源4 0 �,以及與資源VPN節(jié)點(diǎn)2 0相連的動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN) 網(wǎng)關(guān)30。系統(tǒng)10還包括一個(gè)客戶動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)60����,其與 具有至少一個(gè)客戶或者客戶機(jī)70的客戶VPN節(jié)點(diǎn)50 (站點(diǎn)B)相連接。資源 和客戶DVPN網(wǎng)關(guān)30, 60 —起工作����,從而將為客戶70準(zhǔn)備的任何資源配置到 遠(yuǎn)程訪問,而不會暴露本地內(nèi)部網(wǎng)絡(luò)資源和客戶VPN節(jié)點(diǎn)20, 50的拓?fù)?����。資 源和客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20��, 50優(yōu)選地構(gòu)造成使用設(shè)置在各自末端動態(tài)虛擬 專用網(wǎng)絡(luò)網(wǎng)關(guān)���,通過通信網(wǎng)絡(luò)80 (即國際互聯(lián)網(wǎng))安全地相互交流�����。此外��,值 得注意的是�����,客戶VPN節(jié)點(diǎn)50能夠構(gòu)造成至少能夠主機(jī)存儲一個(gè)資源���,從而 資源VPN節(jié)點(diǎn)20能夠成為客戶節(jié)點(diǎn)��,且這個(gè)客戶節(jié)點(diǎn)能夠被用作資源節(jié)點(diǎn)�����。 值得注意的是�,在網(wǎng)絡(luò)系統(tǒng)10(圖1)的資源節(jié)點(diǎn)20和客戶節(jié)點(diǎn)50之間交換數(shù)據(jù)��,可以是在客戶或者客戶機(jī)70,例如計(jì)算機(jī)設(shè)備(例如是�����,計(jì)算機(jī)�����,(個(gè)人數(shù)字助理)PDA,手機(jī)���,任何具有嵌入CPU/軟件的設(shè)備)和/或運(yùn)行在計(jì)算機(jī)設(shè)備的應(yīng)用程序與一組資源之間(文件,服務(wù)���,設(shè)備���,等等)之間進(jìn)行,這種交換可以通過單獨(dú)的名稱和/或IP地址和端口號來識別��。每一個(gè)節(jié)點(diǎn)20��, 50優(yōu)選地包括敏感特性的信息�,包括諸如涉及金融、商業(yè)發(fā)展計(jì)劃或者私人 e-mail的機(jī)密數(shù)據(jù)���。根據(jù)本發(fā)明的一個(gè)實(shí)施例���,系統(tǒng)IO可包括一種用于虛擬專用網(wǎng)絡(luò)(VPN) 信息包級路由的設(shè)備和方法�����。如圖1所示�����,資源和客戶DVPN (動態(tài)虛擬專用 網(wǎng)絡(luò))網(wǎng)關(guān)30, 60構(gòu)造成通過其他VPN節(jié)點(diǎn)20�, 50以下列方式訪問應(yīng)用程 序和其他相關(guān)的資源,例如在一個(gè)VPN節(jié)點(diǎn)20���, 50上的e-mail:當(dāng)通過提供 信息包級路由和提供動態(tài)雙-NAT資源和目的地址的方法和系統(tǒng)來傳送或者訪 問資源的時(shí)候���,這些資源是安全的,且不會暴露兩個(gè)VPN節(jié)點(diǎn)的本地網(wǎng)絡(luò)拓?fù)洹?資源節(jié)點(diǎn)20和客戶VPN節(jié)點(diǎn)50分別包括至少一個(gè)動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN) 網(wǎng)關(guān)30���, 60��。 DVPN網(wǎng)關(guān)30�����, 60允許客戶或者客戶設(shè)備70發(fā)送請求并在其他 的VPN節(jié)點(diǎn)上連接到資源�����,例如資源虛擬專用網(wǎng)絡(luò)(VPN)節(jié)點(diǎn)20上的資源 40��,并接受回饋響應(yīng)��,而不用知道資源虛擬專用網(wǎng)絡(luò)(VPN)節(jié)點(diǎn)20的特定IP 地址和/或網(wǎng)絡(luò)拓?fù)?�。在使用過程中�����,客戶或者客戶設(shè)備70請求一個(gè)文件�����,或 者其他提供在一個(gè)遠(yuǎn)程資源VPN節(jié)點(diǎn)20上的資源�?��?蛻鬡PN節(jié)點(diǎn)50上的客 戶DVPN網(wǎng)關(guān)60��,作為一種虛擬資源�����,將接受請求�,并將請求通過資源DVPN 網(wǎng)關(guān)30路由到資源VPN節(jié)點(diǎn)20上的遠(yuǎn)程資源上,作為資源VPN節(jié)點(diǎn)20上的 虛擬客戶�。該響應(yīng)沿著相反的路徑。在一些情況下值得注意的是��,DVPN網(wǎng)關(guān) 30�, 60能夠出于各種目的改變客戶的請求內(nèi)容或者資源的響應(yīng)內(nèi)容,例如支持 微軟交換協(xié)議傳報(bào)應(yīng)用程序編程接口 (MAPI)和Windows文件共享協(xié)議通用 網(wǎng)際文件系統(tǒng)(CIFS),這些協(xié)議在其內(nèi)容中嵌入IP地址和端口號�����。如圖l所示�����,跨越通信網(wǎng)絡(luò)80,例如國際互聯(lián)網(wǎng)���,在資源VPN節(jié)點(diǎn)20和 客戶VPN節(jié)點(diǎn)50之間使用隧道協(xié)議建立隧道90��,該隧道將一個(gè)協(xié)議或者通話 封裝到另一個(gè)協(xié)議或者對話當(dāng)中���。隧道協(xié)議優(yōu)選地包括一個(gè)合適的協(xié)議,其中數(shù)據(jù)的傳輸想要通過公共網(wǎng)絡(luò)以下列方式僅在專用網(wǎng)絡(luò)�,通常是企業(yè)網(wǎng)絡(luò)中使 用公共網(wǎng)絡(luò)中的路由節(jié)點(diǎn)并不知道該傳輸是專用網(wǎng)絡(luò)的一部分。值得注意的 是�����,隧道優(yōu)選地通過在公共網(wǎng)絡(luò)傳輸單元中封裝專用網(wǎng)絡(luò)數(shù)據(jù)和協(xié)議信息,從 而專用網(wǎng)絡(luò)協(xié)議信息對公共網(wǎng)絡(luò)來說看來像是數(shù)據(jù)�。值得注意的是,根據(jù)一個(gè)實(shí)施方式�����,每一個(gè)VPN節(jié)點(diǎn)例如節(jié)點(diǎn)50����,包括 如在網(wǎng)絡(luò)系統(tǒng)10內(nèi)的其他VPN節(jié)點(diǎn)20上的虛擬資源列表。上述可用的資源列 表可以使用任何合適發(fā)布方式(也即資源提供)在節(jié)點(diǎn)20�����, 50之間交換��。例如��, 可用資源的發(fā)布可包括通過節(jié)點(diǎn)或者網(wǎng)絡(luò)管理員和/或動態(tài)資源提供的資源人 工輸入(或提供)�,其中在資源和客戶VPN節(jié)點(diǎn)20, 50之間建立的隧道提供主 機(jī)存儲在資源VPN節(jié)點(diǎn)20上的可用資源列表的輸出����,從而可以提供至少一種 資源用于由與客戶VPN節(jié)點(diǎn)50相關(guān)的客戶進(jìn)行訪問���。在合適的資源提供后, 客戶DVPN虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)60與客戶70進(jìn)行相互作用���,以遠(yuǎn)程資源40的 名義����,好像遠(yuǎn)程資源40是在客戶VPN節(jié)點(diǎn)50上具有本地IP地址和端口號 10.2.0.100:8080 ( 56 )的(虛擬)資源�����。這個(gè)過程也可以適用于從客戶VPN節(jié) 點(diǎn)50向資源VPN節(jié)點(diǎn)20提供資源�。根據(jù)一個(gè)實(shí)施例,使用安全協(xié)議形成隧道90,例如SSL或傳送層安全協(xié)議 (TLS���, transport layer security),這些協(xié)議提供國際互聯(lián)網(wǎng)上的安全通信��,例如 為e-mail,網(wǎng)絡(luò)傳真��,以及其他數(shù)據(jù)傳送��。SSL使用加密技術(shù)提供國際互聯(lián)網(wǎng) 上的終端認(rèn)證和通信保密����。 ,如圖1所示��,資源VPN節(jié)點(diǎn)20具有本地IP子網(wǎng)IP10.1.0.0/16 (44)��,客戶 VPN節(jié)點(diǎn)50具有IP子網(wǎng)IP10.2.0.0/16 (54)��。每個(gè)VPN節(jié)點(diǎn)20���, 50包括至少 一個(gè)資源40����,其可以通過一個(gè)資源名稱例如網(wǎng)絡(luò)服務(wù)Webl來訪問�。為了遠(yuǎn)程 訪問至少一個(gè)資源40,在具有IP地址以及端口號10丄0.200:80 (42)的資源 VPN節(jié)點(diǎn)20上�,客戶70與客戶VPN節(jié)點(diǎn)50相連,發(fā)送請求以通過客戶VPN 節(jié)點(diǎn)50上的客戶DVPN網(wǎng)關(guān)60來訪問至少一個(gè)資源40���,以在資源VPN節(jié)點(diǎn) 20和客戶VPN節(jié)點(diǎn)50之間,跨越通信網(wǎng)絡(luò)80建立優(yōu)選安全連接或者隧道90�����。 在合適的提供之后���,遠(yuǎn)程資源40具有本地名稱Webl'和IP地址和端口號10.2.0.100:8080,成為客戶VPN節(jié)點(diǎn)50上的(虛擬)資源���。值得注意的是�,為了保持網(wǎng)絡(luò)的基于安全考慮的不透明性����,優(yōu)選地,只有 最少的需要遠(yuǎn)程訪問的可獲得資源或者應(yīng)用程序的數(shù)據(jù)將被交換���。例如�,為了 遠(yuǎn)程訪問資源VPN節(jié)點(diǎn)20上的資源40�,僅僅需要資源的名稱。然而���,需要注 意的是,應(yīng)用程序端口號和/或唯一標(biāo)識符或IP地址也可能是需要的。值得注 意的是,可以應(yīng)用其他合適的協(xié)議或者規(guī)則��,以允許DVPN網(wǎng)關(guān)對遠(yuǎn)程資源來 說從客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)50獲取請求并獲取本地IP地址。每一次,從客戶 VPN節(jié)點(diǎn)50的請求訪問遠(yuǎn)程資源,上述遠(yuǎn)程資源名稱可以由DNS服務(wù)器在客 戶VPN節(jié)點(diǎn)50上來決定��,以成為本地IP地址,從而該請求可以被客戶DVPN 網(wǎng)關(guān)60作為虛擬資源40接收,這將通過隧道90將業(yè)務(wù)量路由到資源VPN節(jié) 點(diǎn)20。值得注意的是,每個(gè)DVPN網(wǎng)關(guān)30, 60將優(yōu)選地包括識別產(chǎn)生業(yè)務(wù)量 的唯一客戶機(jī)的信息��?�?蛻鬡PN節(jié)點(diǎn)50可以包括域名服務(wù)器(DNS , Domain Name Server)(未 示出)��,其構(gòu)造成決定遠(yuǎn)程資源的名稱Webl'成為本地IP地址�、端口號10.2.0.100: 8080�。客戶VPN節(jié)點(diǎn)50優(yōu)選地包括一個(gè)動態(tài)主機(jī)配置協(xié)議(DHCP��, Dynamic host configuration protocol)服務(wù)器(圖1中未示出)���,其用于在資源提供步驟中�����, 給遠(yuǎn)程資源40分配本地IP地址�,例如10.2.0.100:8080。 IP池或者靜態(tài)IP分配 也可以用于同樣的目的��,這將允許在VPN節(jié)點(diǎn)20上的遠(yuǎn)程資源40,作為虛擬 本地資源而在客戶VPN節(jié)點(diǎn)50上被訪問���,并不會暴露資源VPN節(jié)點(diǎn)的網(wǎng)絡(luò)拓 撲和/或IP地址��。資源的能力和客戶DVPN網(wǎng)關(guān)30, 60轉(zhuǎn)換并路由任何請求以 訪問在其他VPN節(jié)點(diǎn)上的資源���,提供了額外的安全性。此外�����,值得注意的是���,IP地址也會包括端口號,其中端口號優(yōu)選地是以TCP 協(xié)議和UDP協(xié)議的格式。端口號���,出現(xiàn)在數(shù)據(jù)信息包的報(bào)頭�,可以被用來映射 數(shù)據(jù)至運(yùn)行在客戶或者客戶機(jī)上的一個(gè)特定的程序,以及資源(服務(wù)器)上應(yīng) 用程序的特定步驟。例如��,如果郵件服務(wù)器用于發(fā)送和接受資源內(nèi)的e-mail, 所有的客戶VPN節(jié)點(diǎn)都會包含一個(gè)簡單郵件傳輸協(xié)議(SMTP, simple mail transfer protocol)和——個(gè)由卩局協(xié)議3 ( POP3 �����, post office protocol version 3 )服務(wù)�,其中這些將被不同的服務(wù)器處理�,端口號可以被用來決定哪個(gè)數(shù)據(jù)與哪個(gè)步驟 相關(guān)����。如圖l所示���,當(dāng)客戶70在客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(站點(diǎn)B)上具有IP地址10.2.0.10 (56)時(shí),請求訪問遠(yuǎn)程資源40,例如�����,資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A)上的網(wǎng)絡(luò)服務(wù)Webl,就像至少一個(gè)資源40是在客戶虛擬網(wǎng)絡(luò)節(jié)點(diǎn) 50 (站點(diǎn)B)上的本地(虛擬)資源。通常��,客戶虛擬專用網(wǎng)絡(luò)50上的客戶 70發(fā)送格式化的信息塊,其形式為發(fā)送到本地(虛擬)資源、網(wǎng)絡(luò)服務(wù)Webl'�����、 10.2.0.100:8080 ( 56 )的信息包(未示出)���,其由客戶DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B) 接收�����。在將資源和目的IP地址和(選擇性端口號)轉(zhuǎn)換成使用在DVPN網(wǎng)關(guān) 30, 60中的內(nèi)部標(biāo)識符和端口號之后����,客戶DVPN網(wǎng)關(guān)60路由信息包至相應(yīng) 的SSL隧道。資源DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)接收信息包�����,并將資源和目標(biāo)標(biāo) 識符以及(選擇性端口號)轉(zhuǎn)換為資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A)上的本 地IP地址和端口號���。接著,作為資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20(站點(diǎn)A)上的(虛 擬)客戶�����,資源DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)發(fā)送信息包至真正的資源��,網(wǎng)絡(luò)服務(wù) Webl����, 10.1.0.200:80 (42)�����。響應(yīng)遵循相反的過程。應(yīng)當(dāng)注意的是,使用具有雙-網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT, net work address translation)的動態(tài)VPN方法可以在兩個(gè)末端VPN節(jié)點(diǎn)之間提供更多的靈活性 和強(qiáng)有力的安全連接的映射方法。此外����,從資源發(fā)布類型上看��,動態(tài)VPN能夠 分成應(yīng)用程序資源�、主機(jī)資源和子網(wǎng)資源��,這樣����,能夠在不擔(dān)心兩個(gè)末端站點(diǎn) 之間的IP地址或者子網(wǎng)沖突的情況下,保證更好的獲取����,更靈活的訪問控制和 更簡單的配置���。例如���,應(yīng)用程序/主機(jī)/子網(wǎng)資源可以具有如下優(yōu)點(diǎn)1. 應(yīng)用程序發(fā)布特定的應(yīng)用程序資源���,例如FTP�����,能夠從一個(gè)站點(diǎn)發(fā)布 到另外一個(gè)站點(diǎn)��,從而系統(tǒng)和方法可以隱藏內(nèi)部網(wǎng)絡(luò)�����,并可以提供在應(yīng)用程序 資源級上的更好的構(gòu)造控制。另外���,應(yīng)用程序資源可以由其主機(jī)名(或者IP地 址)和端口號來限定。2. 主機(jī)發(fā)布該系統(tǒng)和方法提供一個(gè)途徑來將整個(gè)主機(jī)映射至其他站點(diǎn)。 IP地址或者主機(jī)名稱用來限定主機(jī)資源�。3. 子網(wǎng)發(fā)布該系統(tǒng)和方法通過一個(gè)途徑來將子網(wǎng)映射到其他站點(diǎn)�����,從而可以使用IP地址范圍來限定子網(wǎng)資源��。4. 為了隱藏資源站點(diǎn)的網(wǎng)絡(luò)拓?fù)?���,資源名稱可以在資源發(fā)布(提供)的時(shí)候指定�����。資源名稱使用在客戶站點(diǎn)以訪問命名后的資源。對于子網(wǎng)的發(fā)布�����,資 源名稱可以被映射到客戶站點(diǎn)上的一定范圍的IP地址。圖2顯示了根據(jù)一個(gè)實(shí)施例雙NAT信息包封裝格式的圖表�����。雙NAT方法 可以為動態(tài)VPN系統(tǒng)提供通信功能���,其中DVPN網(wǎng)關(guān)30�����, 60在IP信息包級 中操作信息包���。如圖2所示����,在源(src)和目的文件(dst)地址以及(選擇性 的)端口號被轉(zhuǎn)換之后��,IP信息包將被封裝作為SSL隧道90的負(fù)載。在隧道 90的另外一端�����,IP信息包將被從SSL隧道90上解碼���,并在另外一個(gè)地址轉(zhuǎn)換 后���,將被路由到至少一個(gè)資源(實(shí)際的)40��。為了支持唯一的源標(biāo)識符(ID) 和目標(biāo)ID,每一個(gè)DVPN網(wǎng)關(guān)30����, 60將優(yōu)選地保持一定范圍的唯一地址����。唯 一地址的范圍優(yōu)選地被稱為或者叫做DVPN地址��,以將其區(qū)分于用在資源專用 網(wǎng)絡(luò)節(jié)點(diǎn)20 (站點(diǎn)A)和客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)50 (站點(diǎn)B)上的本地IP地 址。而且��,應(yīng)當(dāng)注意的是�,DVPN地址將優(yōu)選地應(yīng)這樣選擇使得DVPN地址 只在DVPN網(wǎng)關(guān)30, 60中用于通過SSL隧道路由信息包時(shí)使用����,并具有意義。如圖2(以及圖l)所示����,客戶70在客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)50內(nèi)以網(wǎng)際協(xié) 議(IP)信息包的形式發(fā)送對于資源40的請求,IP信息包具有源IP (srcIP)、 目標(biāo)IP地址(dstIP')以及數(shù)據(jù)�����,其由客戶DVPN網(wǎng)關(guān)60(網(wǎng)關(guān)B)接收。源 IP ( src IP )地址是客戶VPN節(jié)點(diǎn)50上的客戶IP地址�����,目標(biāo)IP ( dst IP��,)地址 是客戶VPN節(jié)點(diǎn)50上的(虛擬)資源IP地址����??蛻鬌VPN網(wǎng)關(guān)60實(shí)現(xiàn)網(wǎng)絡(luò) 地址轉(zhuǎn)換(NAT)或者將IP信息包的源和/或?qū)⒌哪繕?biāo)地址重寫為唯一的源ID (srcID),唯一的目標(biāo)ID (dstID)以及SSL數(shù)據(jù)�,其被路由到資源DVPN網(wǎng) 關(guān)30 (網(wǎng)關(guān)A )。資源DVPN網(wǎng)關(guān)30接著將IP信息包轉(zhuǎn)換為資源IP ( scr IP') 地址�����,目標(biāo)IP (dst IP)地址以及加密的數(shù)據(jù)�����。源IP (src IP')地址是在資源 VPN節(jié)點(diǎn)20上的(虛擬)客戶IP地址,而目標(biāo)IP ( dst IP )地址是在資源VPN 節(jié)點(diǎn)20上的資源IP地址。圖3顯示了根據(jù)動態(tài)VPN結(jié)構(gòu)一個(gè)實(shí)施例的示意圖�����,其中動態(tài)VPN結(jié)構(gòu) 使用DVPN地址在兩個(gè)對等VPN節(jié)點(diǎn)之間進(jìn)行遠(yuǎn)程資源訪問�。'如圖3所示����, 在資源發(fā)布(提供)的時(shí)候,資源站點(diǎn)DVPN網(wǎng)關(guān)30 (站點(diǎn)A )從網(wǎng)關(guān)的DVPN 地址池中����,將一個(gè)唯一的DVPN地址分配給至少一個(gè)資源40, 198.1.0.200:80(92)分配給資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)20 (具有IP子網(wǎng)10丄0.0A6的站點(diǎn)A) 上的Webl。應(yīng)當(dāng)注意的是,當(dāng)提供至少一個(gè)資源40至多個(gè)客戶站點(diǎn)50��, 150(例如具有IP子網(wǎng)絡(luò)10.2.0.0/16和10.3.0.0/16的站點(diǎn)B和站點(diǎn)C)���,可以使用 相同的DVPN地址�。根據(jù)一個(gè)實(shí)施例�,在資源VPN節(jié)點(diǎn)20 (站點(diǎn)A)上的至 少 一個(gè)資源40可以通過名稱和/或本地IP地址以及端口號來發(fā)布。對于資源40���, 其通過名稱而發(fā)布,資源側(cè)的DVPN網(wǎng)關(guān)30將優(yōu)選地通過一個(gè)反向域名服務(wù)(DNS�����, domain name service )搜索來定位至少一個(gè)資源40的實(shí)際IP地址。在通話開始時(shí)���,客戶站點(diǎn)DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B )優(yōu)選地從地址池中將一 個(gè)唯一的DVPN地址分配給客戶70����,例如198.2.0.10。上述唯一的DVPN地址 將被相同客戶70的客戶DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān))使用于所有的遠(yuǎn)程資源訪問�����。 在將DVPN地址分配給資源40或者客戶70的過程中,可選擇性地將新的端口 號分配給DVPN地址�。根據(jù)一個(gè)實(shí)施例,DVPV地址池可以通過人工分配給每 個(gè)DVPN網(wǎng)關(guān)或者動態(tài)地從服務(wù)器(110)上獲得,服務(wù)器具有動態(tài)主機(jī)配置 協(xié)議(DHCP)類似的功能�。每個(gè)DVPN地址范圍可以由特定的DVPN網(wǎng)關(guān)30, 60, 160來識別。應(yīng)當(dāng)注意的是�����,工業(yè)化標(biāo)準(zhǔn)IP路由協(xié)議��,例如開放最短路徑 優(yōu)先協(xié)議(OSPF, open shortest path first )��,和邊界網(wǎng)關(guān)協(xié)議(BGP�, border gateway protocol),可以用來在一組DVPN網(wǎng)關(guān)30, 60����, 160中路由信息包�����。在具體實(shí)施例中,在客戶站點(diǎn)50, 150上的原始本地客戶IP地址可以用作 客戶70�����, 170的DVPN地址。但是���,應(yīng)當(dāng)注意的是��,原始客戶IP地址優(yōu)選地 僅在DVPN網(wǎng)關(guān)30��, 60��, 160之間使用,并且優(yōu)選地不暴露于資源VPN節(jié)點(diǎn) 20(站點(diǎn)A)上��?���;蛘?,原始本地資源IP地址可以用作資源DVPN地址����,其中 原始本地資源IP地址僅在DVPN網(wǎng)關(guān)30, 60���, 160之間使用��,從而本地資源 IP地址將不會暴露于客戶VPN節(jié)點(diǎn)50, 150(站點(diǎn)B,站點(diǎn)C)上����。在具體實(shí)施方式
中,原始客戶地址和資源IP地址可以在沒有任何網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)或者"Natting"的情況下使用。在本實(shí)施例中�,系統(tǒng)和/或方法不 需要在客戶和資源VPN節(jié)點(diǎn)之間相互沖突的IP地址����。而且�,應(yīng)當(dāng)注意的是, 在本實(shí)施例中�,系統(tǒng)和/或方法不能隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)洹8鶕?jù) 一 個(gè)實(shí)施例,使用雙N AT方法的系統(tǒng)或者方法在客戶站點(diǎn)和至少 一 個(gè) 資源站點(diǎn)上提供網(wǎng)絡(luò)地址轉(zhuǎn)換��。此外�,應(yīng)當(dāng)注意的是�,施加在客戶站點(diǎn)或者至 少一個(gè)資源站點(diǎn)上的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則(即NAT規(guī)則)�,通常并非完全相同��, 因而NAT規(guī)則被分別稱為客戶站點(diǎn)NAT規(guī)則和資源站點(diǎn)NAT規(guī)則�����。對于客戶站點(diǎn)NAT規(guī)則在通話開始的站點(diǎn)(即���,通常是客戶站點(diǎn))�����,客 戶站點(diǎn)NAT規(guī)則用于將目標(biāo)(虛擬資源)地址轉(zhuǎn)換成特定的目標(biāo)DVPN地址 (例如���,10.2.0.100:8080=>198.1.0.200:80�,圖3 ),目標(biāo)DVPN地址是資源站點(diǎn) DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)的DVPN地址池的一部分。源(客戶)地址也轉(zhuǎn)換成 特定源(客戶)DVPN地址(10.2.0.10二>198.2.0.10,圖3 ),特定源(客戶)DVPN 地址是客戶站點(diǎn)DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)的DVPN地址池的一部分。對于來 自資源站點(diǎn)30的應(yīng)答���,特定源(資源)DVPN地址將轉(zhuǎn)換成返回到本地(虛擬) 資源IP地址/端口號�,并且在路由到客戶70之前�����,目標(biāo)(客戶)DVPN地址將 在客戶站點(diǎn)轉(zhuǎn)換成客戶的IP地址���。對于資源站點(diǎn)NAT規(guī)則當(dāng)資源站點(diǎn)DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A )接收從SSL 隧道90轉(zhuǎn)換過來的IP信息包��,資源站點(diǎn)DVPN網(wǎng)關(guān)30將接收到信息包的目 標(biāo)(資源)DVPN地址轉(zhuǎn)換成實(shí)際的資源IP地址(198.1.0.200:80=>10.1.0.200:80����, 圖3),并在資源站點(diǎn)20上從一個(gè)IP范圍內(nèi)或者從DHCP服務(wù)器上,選擇一個(gè) 合適的本地IP地址���,作為客戶的源IP地址(198.2.0.10=>10.1.0.101 )。轉(zhuǎn)換之 后�,信息包被路由到實(shí)際的資源40�,從而資源站點(diǎn)NAT規(guī)則獲取實(shí)際(或者 本地)資源的目標(biāo)IP地址���,并為客戶70選擇合適的(本地)源IP地址����。對于 從資源40接收的應(yīng)答信息包���,在將信息包路由到客戶站點(diǎn)DVPN網(wǎng)關(guān)60 (站 點(diǎn)B )之前,資源站點(diǎn)DVPN網(wǎng)關(guān)30將資源地址轉(zhuǎn)換成資源40的特定DVPN 地址���,且將目標(biāo)地址轉(zhuǎn)換成客戶70的特定DVPN地址���。根據(jù)一個(gè)實(shí)施方式����,動態(tài)VPN雙NAT方法可以被用于轉(zhuǎn)換資源和目標(biāo)地 址以及端口號,即���,全部NAT/端口地址轉(zhuǎn)換(PAT),單獨(dú)NAT,或者是透明 的(即,沒有NAT或者PAT )����。1. 全部NAT/PAT:當(dāng)在客戶站點(diǎn)上給資源提供具有新的本地IP地址和端 口號時(shí)���,客戶站點(diǎn)和資源站點(diǎn)DVPN網(wǎng)關(guān)一起工作��,以將客戶站點(diǎn)上的IP地 址和端口號轉(zhuǎn)換成資源站點(diǎn)的IP地址和端口號����。對于客戶��,IP地址和端口號在 資源站點(diǎn)DVPN網(wǎng)關(guān)的地址轉(zhuǎn)換中進(jìn)行了改變��。應(yīng)當(dāng)注意的是��,根據(jù)本實(shí)施例����, 可以使用在資源站點(diǎn)上預(yù)先選擇的固定本地IP地址����,用于若干客戶連接��,并不 需要每一次連接時(shí)分配不同的IP地址��。但是��,要選擇新的端口號并分配給每一 次連接��,以保持每一個(gè)客戶連接的唯一性����。這個(gè)方法類似于傳統(tǒng)的PAT或全部 NAT(即��,全部NAT/PAT )�。應(yīng)當(dāng)注意的是�,全部NAT/PAT系統(tǒng)和方法可以更 有效地使用IP地址�,而不需要在資源站點(diǎn)上儲存或者消耗太多的IP地址。2. 單獨(dú)NAT:在地址轉(zhuǎn)換中,只有IP地址是變化的��,而端口號保持不變�����。 使用這種方法����,用于應(yīng)用程序的端口號不會改變���。對于來自客戶的每一次新的 連接���,將需要資源站點(diǎn)上的新的IP地址�����。這種方法與傳統(tǒng)的NAT—致�。在這 個(gè)實(shí)施例中,方法和系統(tǒng)被稱為"單獨(dú)NAT",這是因?yàn)檫@個(gè)方法和系統(tǒng)不改 變來自于客戶的端口號�。這種方法提供了簡單的方式來處理一些復(fù)雜的應(yīng)用程 序協(xié)議,例如遠(yuǎn)程過程調(diào)用(RPC���, remote procedure call),其中協(xié)議端口號(僅 僅是端口號�,不包括IP地址)包含在負(fù)載中���。在這實(shí)施例中��,因?yàn)槎丝谔枦]有 改變所以信息包不需要解析負(fù)載以支持該負(fù)載。3. 透明的使用這種方法,客戶和資源站點(diǎn)DVPN網(wǎng)關(guān)根本不需要改變IP 地址和端口號�����。這意味著來自客戶的信息包不進(jìn)行任何地址轉(zhuǎn)換就封裝成負(fù)載��。 因此資源站點(diǎn)DVPN網(wǎng)關(guān)也不需要轉(zhuǎn)換地址����。這種方法更像傳統(tǒng)的站點(diǎn)至站點(diǎn) 技術(shù),因?yàn)檫@種方法和系統(tǒng)在所有的站點(diǎn)上不需要IP地址沖突����,并且不能隱藏應(yīng)當(dāng)注意的是��,在應(yīng)用程序資源發(fā)布時(shí)�,資源可以是靜態(tài)的端口或者動態(tài) 端口應(yīng)用程序。通常�,靜態(tài)端口應(yīng)用程序僅僅需要使用一個(gè)靜態(tài)端口��,其可以與原先的端口號相同��,或者是一個(gè)新的端口號����。但是�����,動態(tài)端口應(yīng)用程序更加 復(fù)雜,因?yàn)樾碌亩丝谔柺莿討B(tài)地在數(shù)據(jù)傳送過程中處理。應(yīng)當(dāng)注意的是,因?yàn)?新的端口號是動態(tài)處理的���,數(shù)據(jù)負(fù)載將經(jīng)過應(yīng)用程序協(xié)議被解析���,從而為全部NAT/PAT找到處理的端口號。例如����,文件傳送協(xié)議(FTP)是典型的動態(tài)端口 應(yīng)用程序�����。通過上面所有的方法����,動態(tài)VPN技術(shù)可以具有多種可能的組合����,包括 對于客戶站點(diǎn)的資源地址應(yīng)用程序發(fā)布/靜態(tài)端口 全部NAT/PAT應(yīng)用程序發(fā)布/動態(tài)端口 全部NAT/PAT應(yīng)用程序發(fā)布/靜態(tài)端口 單獨(dú)NAT應(yīng)用程序發(fā)布/動態(tài)端口 單獨(dú)NAT應(yīng)用程序發(fā)布 透明的主機(jī)發(fā)布 全部NAT/PAT主機(jī)發(fā)布 單獨(dú)NAT主機(jī)發(fā)布 透明的(不需要IP沖突)子網(wǎng)發(fā)布 全部NAT/PAT子網(wǎng)發(fā)布 單獨(dú)NAT子網(wǎng)發(fā)布 透明的(不需要IP沖突)對于資源站點(diǎn)上的客戶地址 全部NAT/PAT 單獨(dú)NAT 透明的應(yīng)當(dāng)注意的是����,通常�����,廣播和多點(diǎn)傳送信息包需要在動態(tài)VPN系統(tǒng)或者方 法中進(jìn)行特定考慮�����,因?yàn)閯討B(tài)VPN設(shè)計(jì)成隱藏國際互聯(lián)網(wǎng)拓?fù)?��。但是,由于很多?yīng)用程序需要廣播和/或多點(diǎn)傳送業(yè)務(wù)量����,通常需要廣播支持和多點(diǎn)傳送支 持�����。對于廣播�����,應(yīng)當(dāng)考慮子網(wǎng)發(fā)布的實(shí)施例�����。在這個(gè)實(shí)施例中�,客戶站點(diǎn)和資源站點(diǎn)NAT模塊需要在廣播信息包中轉(zhuǎn)換地址。根據(jù)一個(gè)實(shí)施例���,程序的執(zhí)行 可以包括客戶側(cè)DVPN網(wǎng)關(guān),其中系統(tǒng)和/或方法限定了 一種方式來告訴資源側(cè) DVPN網(wǎng)關(guān),不但資源站點(diǎn)資源是這些信息包的目標(biāo)�,而且信息包也是廣播信 息包。資源站點(diǎn)DVPN網(wǎng)關(guān)也需要基于資源信息來重組信息包。本發(fā)明的系統(tǒng) 和方法還可考慮增加命令來控制DVPN網(wǎng)關(guān)是否需要傳送廣播信息包�。在一個(gè)多點(diǎn)傳送的實(shí)施例中���,系統(tǒng)和/或方法僅需要在傳送信息包的子網(wǎng)發(fā) 布和多點(diǎn)傳送組的情況下�����,支持多點(diǎn)傳送�。在客戶站點(diǎn)網(wǎng)關(guān)��,根據(jù)一個(gè)優(yōu)選實(shí) 施例���,系統(tǒng)和/或方法構(gòu)造成聽命于224.0.0.22多點(diǎn)傳送地址(222.0.0.22是成員 通常發(fā)送、加入����、離開因特網(wǎng)組管理協(xié)議(IGMP, Internet group management protocol)消息的地址)�����。但是��,應(yīng)當(dāng)注意的是���,可以使用任何合適的地址�。根 據(jù)另外一個(gè)實(shí)施例,當(dāng)在客戶站點(diǎn)上的計(jì)算機(jī)或者其他合適的設(shè)備加入群組時(shí), IGMP請求可被客戶站點(diǎn)網(wǎng)關(guān)解析并記錄�。同時(shí)���,IGMP請求應(yīng)當(dāng)被傳送到資源 站點(diǎn)網(wǎng)關(guān)����,因此資源站點(diǎn)網(wǎng)關(guān)可傳送更多的多點(diǎn)傳送消息至上述群組以及相關(guān) 的客戶站點(diǎn)。根據(jù)另外一個(gè)實(shí)施例��,當(dāng)客戶站點(diǎn)網(wǎng)關(guān)接收多點(diǎn)傳送消息��,客戶 站點(diǎn)網(wǎng)關(guān)應(yīng)僅傳送至已經(jīng)加入到多點(diǎn)傳送群組的主機(jī)。典型的雙NAT實(shí)施例在下面描述實(shí)施例1:用于資源和客戶地址的全部NAT/PAT:圖4顯示了根據(jù)一個(gè)實(shí)施例的圖表�,涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) /端口 地址轉(zhuǎn)換(PAT)規(guī)則信息的建立���,上述規(guī)則用于在兩個(gè)對等VPN節(jié)點(diǎn)之間進(jìn) 行遠(yuǎn)程服務(wù)���。如圖3所示�����,資源Webl從資源站點(diǎn)20 (站點(diǎn)A)發(fā)布到客戶站 點(diǎn)50 (站點(diǎn)B ),上述客戶站點(diǎn)50 (站點(diǎn)B )具有在客戶站點(diǎn)50上的虛擬資源 Webl�����,的地址10.2.0.100: 8080��?��?蛻?0.2.0.10將通過DVPN網(wǎng)關(guān)30�����, 60 (網(wǎng) 關(guān)A和網(wǎng)關(guān)B)訪問遠(yuǎn)程網(wǎng)絡(luò)服務(wù)Webl 10.1.0.200:80��。如圖4所示,客戶站點(diǎn) DVPN網(wǎng)關(guān)B為客戶70選擇DVPN地址,198.2.0.10:2000����?��?蛻粽军c(diǎn)DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)還轉(zhuǎn)換(NAT)目標(biāo)IP地址端口號10.2.0.100:8080成資源 DVPN地址和端口號198.1.0.200:80。資源的DVPN地址198.1.0.200優(yōu)選地由 DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)在資源發(fā)布的時(shí)候分配。在資源站點(diǎn)DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)�,使用一個(gè)保留(或者固定)IP地址IO丄O.IOI, I��,選擇唯一端口號 10001以保證客戶連接的唯一性���。保留的IP地址可以通過人工從保留的IP池分 配或者獲得���,并用于所有的客戶訪問�����。選擇新的端口號以保證每一個(gè)新客戶連 接的唯一性。實(shí)施例2:用于客戶地址的單獨(dú)NAT:圖5顯示了根據(jù)一個(gè)實(shí)施例的圖表���,涉及在兩個(gè)對等VPN節(jié)點(diǎn)之間用于遠(yuǎn) 程資源訪問信息包的單獨(dú)NAT規(guī)則��。在資源站點(diǎn)DVPN網(wǎng)關(guān)30(網(wǎng)關(guān)A)���,資 源(客戶)端口號2000在地址轉(zhuǎn)換時(shí)不發(fā)生變化。因此,每一次連接都需要一 個(gè)新的本地IP地址��,例如10丄0.102����。這些IP地址可以從DHCP服務(wù)器獲得�, 或者從保留的IP池中獲得�。.應(yīng)當(dāng)注意的是,用于客戶地址的單獨(dú)NAT (實(shí)施例2)與用于客戶地址的 全部NAT/PAT (實(shí)施例1)不同��,因?yàn)閷γ恳淮涡驴蛻暨B接,資源站點(diǎn)DVPN 網(wǎng)關(guān)30 (網(wǎng)關(guān)A)將分配新的IP地址10丄0.102,而端口號2000不變�����。實(shí)施 例l中,對于每一次新客戶連接,資源站點(diǎn)DVPN網(wǎng)關(guān)30(網(wǎng)關(guān)A)使用同樣 保留的IP地址IO丄O.IOI并選擇一個(gè)新的端口號10001。實(shí)施例3:使用動態(tài)端口的應(yīng)用程序圖6顯示了在對等VPN節(jié)點(diǎn)之間的動態(tài)VPN ( DVPN )結(jié)構(gòu)示意圖�����,上述 節(jié)點(diǎn)具有使用動態(tài)端口協(xié)議,例如FTP,的應(yīng)用程序資源��。全動態(tài)VPN訪問過 程優(yōu)選地包括建立安全隧道和發(fā)布至少一個(gè)資源的步驟。安全通道90的建立可 以包括在資源站點(diǎn)20和客戶站點(diǎn)50(站點(diǎn)A和站點(diǎn)B)之間SSL連接的建立, 其中隧道90用于發(fā)送控制和數(shù)據(jù)信息包����。資源發(fā)布(或者提供)可包括在資源 站點(diǎn)20 (站點(diǎn)A )上發(fā)布(提供) 一個(gè)資源��,例如FTP服務(wù)器ftpl (具有實(shí)際 資源IP地址10丄0.200)�����,通過優(yōu)選地以SSL連接形式安全連接90將該資源發(fā) 布至客戶站點(diǎn)50 (站點(diǎn)B)如圖6所示,客戶站點(diǎn)50(站點(diǎn)B)獲得實(shí)際的資源信息�����,并使用DHCP、 預(yù)先構(gòu)造的IP池或者其他合適的方法����,將本地IP地址(10.2.0.100)分配到上 述資源���,從而在客戶站點(diǎn)50 (站點(diǎn)B )上將遠(yuǎn)程資源映射成本地(虛擬)資源����。 為了方便,應(yīng)當(dāng)注意的是�,發(fā)布資源至其他站點(diǎn)的站點(diǎn)(在本實(shí)施例中,站點(diǎn) A)為"資源站點(diǎn)",接收來自其他站點(diǎn)資源的站點(diǎn)(在本實(shí)施例中�,站點(diǎn)B) 為"客戶站點(diǎn)"。"客戶"是實(shí)際客戶����,而"資源"是實(shí)際服務(wù)器。在客戶站點(diǎn)50 (站點(diǎn)B)上具有IP地址10.2.0.10的客戶可以訪問在資源 站點(diǎn)20 (站點(diǎn)A)上的遠(yuǎn)程資源FTP服務(wù)器ftpl�����,就像該資源是客戶站點(diǎn)50 (站點(diǎn)B)上的本地(虛擬)資源,具體如下1. 客戶站點(diǎn)50 (站點(diǎn)B)上的客戶發(fā)送信息包至本地(虛擬)資源����,ftpl' 10.2.0.100:21 ( 56);2. 作為(虛擬)資源��,DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)接收上述信息包��。在將他 們的資源和目標(biāo)IP地址(選擇性端口號)轉(zhuǎn)換成使用在DVPN網(wǎng)關(guān)30����, 60中 使用的DVPN地址和端口號之后,DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B )路由信息包至相應(yīng) 的SSL隧道��;3. DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)接收信息包并將其資源和目標(biāo)DVPN地址和 (選擇性端口號)轉(zhuǎn)換成資源站點(diǎn)20 (站點(diǎn)A)的本地IP地址和端口號�����。接著��,作為資源站點(diǎn)20 (站點(diǎn)A)上的(虛擬)客戶��,DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A) 將信息包發(fā)送到實(shí)際資源,F(xiàn)TP服務(wù)器ftpllO丄0.200 (40);以及4. 遵循相反過程的響應(yīng)����。如圖6所示,系統(tǒng)10包括具有至少一個(gè)資源40的資源站點(diǎn)20 (站點(diǎn)A)���, 動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)40,上述網(wǎng)關(guān)與資源VPN節(jié)點(diǎn)20 (站點(diǎn)A) 相連���。系統(tǒng)IO還包括客戶動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)60���,其與具有至少 一個(gè)客戶或者客戶機(jī)70客戶的VPN節(jié)點(diǎn)50 (站點(diǎn)B)相連���,以及選擇性的另 外一個(gè)動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)160,其與具有至少一個(gè)客戶或客戶機(jī) 170的另一個(gè)VPN節(jié)點(diǎn)150 (站點(diǎn)C)相連。這三個(gè)DVPN網(wǎng)關(guān)30, 60�, 150 一起作用�����,以配置任何用于客戶70����, 170的資源40���,以在不會暴露本地網(wǎng)絡(luò)三個(gè)VPN節(jié)點(diǎn)20��, 50, 150 (站點(diǎn)A,站點(diǎn)B���,和站點(diǎn)C)的情況下進(jìn)行遠(yuǎn)程訪 問。這三個(gè)VPN節(jié)點(diǎn)20�����, 50��, 150優(yōu)選構(gòu)造成使用在各自端點(diǎn)的虛擬專用網(wǎng)絡(luò) 網(wǎng)關(guān)30, 60, 160,安全地通過通信網(wǎng)80 (即�����,國際互聯(lián)網(wǎng))與另外一個(gè)通信����。 雖然沒有顯示��,應(yīng)當(dāng)注意的是��,VPN節(jié)點(diǎn)50, 150可以被構(gòu)造成使用虛擬專用 網(wǎng)絡(luò)網(wǎng)關(guān)60, 160����,安全地與另外一個(gè)通信�����。應(yīng)當(dāng)注意的是,客戶VPN節(jié)點(diǎn)50�, 150(站點(diǎn)B和站點(diǎn)C)可以被構(gòu)造成主機(jī)存儲至少一個(gè)資源40,從而資源VPN 節(jié)點(diǎn)20 (站點(diǎn)A)也可以作為客戶節(jié)點(diǎn)��,且客戶節(jié)點(diǎn)可以被作為資源節(jié)點(diǎn)����。圖7顯示了涉及在客戶和FTP服務(wù)器之間的活動模式文件傳輸協(xié)議(FTP 或ftp)的流程圖����。在步驟一���,客戶的命令端口 1026與服務(wù)器的命令端口 21聯(lián) 系�����,并發(fā)送端口 1027命令信息包���。接著,在步驟二�,服務(wù)器發(fā)送確認(rèn)(ACK, acknowledgment)返回到客戶的命令端口�����。在步驟三,在專用的端口 1027命 令�����,服務(wù)器在其本地?cái)?shù)據(jù)端口 20發(fā)起一個(gè)連接�����,連接到客戶的數(shù)據(jù)端口。最后�����, 如步驟四所示�,客戶發(fā)送ACK返回。圖8顯示了涉及從客戶發(fā)送到FTP服務(wù)器的端口命令信息包圖表����。在圖8 中,加粗的箭頭代表端口 1027命令信息包從客戶70發(fā)送到FTP服務(wù)器40 (在 圖6中)的方向。如圖8所示��,客戶站點(diǎn)信息包具有源IP地址10.2.0.10及端 口號1026�,以及目標(biāo)IP地址及端口號10.2.0.100:21�??蛻粽军c(diǎn)DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)將客戶70的客戶IP地址�����,10.2.0.10:1026轉(zhuǎn)換(NAT)成分配的客 戶DVPN地址�,198.2.0.10:1026�。客戶站點(diǎn)DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B )也將目標(biāo) IP地址及端口號10.2.0.100:21轉(zhuǎn)換(NAT )成FTP服務(wù)器DVPN地址及端口號 198.1.0.200:21,并將地址和端口號通過隧道90路由到資源DVPN網(wǎng)關(guān)30 (網(wǎng) 關(guān)A)���。 FTP服務(wù)器DVPN地址198.1.0.200,優(yōu)選地由DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A ) 在資源發(fā)布的時(shí)候分配�。在資源站點(diǎn)�����,DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)將客戶DVPN 地址,198.2.0.10:1026轉(zhuǎn)換(NAT)成保留的(或者固定的)IP地址��,10.1.0.101�, 以及唯一的端口號15000,以保證客戶唯一地連接在虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)A����。 應(yīng)當(dāng)注意的是保留的IP地址可以從保留的IP池中獲得或者通過人工分配。 DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)也在虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)A,將FTP服務(wù)器DVPN地址198.1.0.200:21轉(zhuǎn)換成其本地IP地址���,10.1.0.200:21����,接著���,代表虛擬專用 網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)B上的客戶發(fā)送信息包至實(shí)際的FTP服務(wù)器��。圖9顯示涉及如圖7中的步驟一NAT端口命令數(shù)據(jù)包內(nèi)容的圖表。例如�����, 如果在端口命令數(shù)據(jù)包中客戶了選擇10.2.0.10:1027作為 一個(gè)IP地址和端口號���, IP地址10.20.10:1027被客戶DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)轉(zhuǎn)換成198.2.0.10:1027 并通過安全連接或隧道90路由到DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)。資源DVPN網(wǎng)關(guān) 30 (網(wǎng)關(guān)A)將DVPN地址198.2.0.10:1027轉(zhuǎn)換成10.1.0.101:15001,其中 IO丄O.IOI是保留的IP地址�,15001是虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)A上的客戶的唯 一 (數(shù)據(jù))端口號,記錄與控制連接198丄0.200:21相關(guān)的198.2.0.10:1027�,并 在FTP服務(wù)器的連接建立中聽命于10丄0.101:15001��。應(yīng)當(dāng)注意的是所有的IP 地址和唯一的端口號僅僅是舉例性質(zhì),IP地址和唯一的端口號可以在不脫離本 發(fā)明的情況下改變。圖IO顯示了涉及從FTP服務(wù)器數(shù)據(jù)端口 20到客戶數(shù)據(jù)端口 1027(圖7中 的步驟三)的信息包流的圖表���。如圖10所示�����,F(xiàn)TP服務(wù)器在其本地?cái)?shù)據(jù)端口 20發(fā)起連接�����,連接至(虛擬)客戶數(shù)據(jù)端口 15001,其通過DVPN網(wǎng)關(guān)30, 60 (網(wǎng)關(guān)A和網(wǎng)關(guān)B)轉(zhuǎn)換成實(shí)際的客戶IP地址和端口號10.2.0.10:1027����。如圖 IO所示����,DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)��,將資源IP地址 和端口號10.1.0.200:20轉(zhuǎn)換成FTP服務(wù)器DVPN地址198.1.0.200:20�����,并將目 標(biāo)IP地址和端口號10.1.0.101:15001轉(zhuǎn)換成客戶DVPN地址198.2.0.10:1027, 并通過安全連接或者隧道90將信息包路由到DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)����。接著��, 在虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)B上,DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT),將資源DVPN地址和端口號198.1.0.200:20轉(zhuǎn)換成本地(虛擬)資源 IP地址10.2.0.100:20,并將目標(biāo)DVPN地址198.2.0.10:1027轉(zhuǎn)換成本地客戶IP 地址10.2.0.10:1027。接著���,DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B)代表FTP服務(wù)器將信息 包發(fā)送到虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)B上的客戶。圖11顯示了涉及被動模式文件傳輸協(xié)議(FTP或ftp)的流程圖���。在步驟 一中,客戶在命令端口 1026聯(lián)系FTP服務(wù)器,并發(fā)出PASV命令信息包。FTP服務(wù)器接著在步驟二中���,通過端口 2024回復(fù)命令信息包,告知客戶哪個(gè)端口聽 命于數(shù)據(jù)連接。在步驟三,客戶接著發(fā)起從其數(shù)據(jù)端口 1027至特定的服務(wù)器數(shù) 據(jù)端口 2024的數(shù)據(jù)連接��。最后���,服務(wù)器在步驟四中��,發(fā)送ACK返回至客戶的 數(shù)據(jù)端口 1027���。圖12顯示了如圖11步驟一涉及從客戶至FTP服務(wù)器的PASV命令數(shù)據(jù)信 息包的圖表���。加粗的箭頭線表示PASV命令信息包從客戶路由至FTP服務(wù)器的 方向�。如圖12所示���,客戶從其命令端口 1026發(fā)送PASV命令信息包, 10.2.0.10:1026作為資源IP地址和端口號��。IP地址10.20.10:1026由DVPN網(wǎng)關(guān) 60 (網(wǎng)關(guān)B )轉(zhuǎn)換(NAT )成DVPN地址198.2.0.10:1026���。 DVPN網(wǎng)關(guān)60 (網(wǎng) 關(guān)B)將目標(biāo)IP地址和端口號10.2.0.100:21轉(zhuǎn)換成FTP服務(wù)器DVPN地址�����, 198.1.0.200:21,并通過安全連接或者隧道90路由到DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)。 DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)將資源DVPN地址198.2.0.10:1026轉(zhuǎn)換成 10.1.0.101:15000,其中10.1.0.101是保留的IP地址�,15000是客戶在VPN節(jié)點(diǎn) 站點(diǎn)A上的唯一的端口號(全NAT/PAT )����。 DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)也在VPN 節(jié)點(diǎn)站點(diǎn)A將目標(biāo)DVPN地址198.1.0.200:21轉(zhuǎn)換成FTP服務(wù)器本地IP地址 10.1.0.200:21。應(yīng)當(dāng)注意的是���,所有的IP和DVPN地址以及唯一的端口號僅僅 是示例性的�,IP和DVPN地址以及唯一的端口號在不脫離本發(fā)明的情況下可以 改變。圖13顯示了如圖11中的步驟二涉及NAT端口命令信息包內(nèi)容的表格��。如 圖13所示�����,F(xiàn)TP服務(wù)器發(fā)送端口命令信息包,其中具有端口號2024���。 DVPN 網(wǎng)關(guān)30 (網(wǎng)關(guān)A)將端口命令信息包中的IP地址和端口號10丄0.200:2024轉(zhuǎn) 換成FTP服務(wù)器DVPN地址198.1.0.200:2024, i己錄與10.1.0.200:21相關(guān)的 10.1.0.200:2024,并等待從客戶發(fā)送至198.1.9.200:2024的信息包�����。DVPN網(wǎng)關(guān) 60 (網(wǎng)關(guān)B)在虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)B���,將端口命令信息包中的DVPN地址 198.1.0.200:2024轉(zhuǎn)換成FTP服務(wù)器本地(虛擬)IP地址10.2.0.100:2024,記錄 與10.2.0.100:21控制隧道相關(guān)的10.2.0.100:2024��,并聽命于來自客10.2.0.100:2024�����。圖14顯示了如圖11步驟三涉及客戶發(fā)起數(shù)據(jù)連接至FTP服務(wù)器的表格�����。 如圖14所述����,客戶從其數(shù)據(jù)端口 1027發(fā)送數(shù)據(jù)包,其本地IP地址為10.2.0.10, 發(fā)送至FTP服務(wù)器數(shù)據(jù)端口 2024����,其在虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)站點(diǎn)B上的本地(虛 擬)IP地址為10.2.0.100:2024。 DVPN網(wǎng)關(guān)60 (網(wǎng)關(guān)B )將客戶IP地址轉(zhuǎn)換成 分配的DVPN地址��,也即����,將10.2.0.10:1027轉(zhuǎn)換成198.2.0.10:1027,并且將(虛 擬)FTP服務(wù)器IP地址轉(zhuǎn)換成其DVPN地址,也即��,將10.2.0.100:2024轉(zhuǎn)換 成198.1.0.200:2024,并將其通過安全連接或者隧道90路由到DVPN網(wǎng)關(guān)30(網(wǎng) 關(guān)A)。 DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)將客戶DVPN地址198.2.0.10:1027轉(zhuǎn)換成保 留的IP地址IO丄O.IOI以及新的端口號15001���,這個(gè)端口號與虛擬專用網(wǎng)絡(luò)節(jié) 點(diǎn)站點(diǎn)A上的端口號15000相關(guān)���。DVPN網(wǎng)關(guān)30 (網(wǎng)關(guān)A)也在虛擬專用網(wǎng)絡(luò) 節(jié)點(diǎn)站點(diǎn)A,將FTP服務(wù)器DVPN地址198.1.0.200: 2024轉(zhuǎn)換成其本地IP地址 10.1.0.200:2024��。應(yīng)當(dāng)注意的是,根據(jù)一個(gè)實(shí)施方式�,根據(jù)所提供的合適的資源,遠(yuǎn)程資源 40 (在資源站點(diǎn)或站點(diǎn)A ( 20 ))可以被發(fā)布到中間站點(diǎn)Z�����,并在站點(diǎn)Z獲得本 地IP地址/端口號���。接著�,站點(diǎn)Z可以將虛擬資源發(fā)布到第三個(gè)站點(diǎn)����,例如站 點(diǎn)B和/或站點(diǎn)C。上面描述的雙NAT方法允許站點(diǎn)B和/或站點(diǎn)C上的客戶通 過多個(gè)中間站點(diǎn)安全地訪問站點(diǎn)A上的資源�����。本發(fā)明的另外一個(gè)實(shí)施方式可以作為計(jì)算機(jī)程序產(chǎn)品實(shí)施而與計(jì)算系統(tǒng)一 起使用。上述實(shí)施可包括一系列的計(jì)算機(jī)指令�,上述指令可以在有形的介質(zhì)上����, 例如計(jì)算機(jī)可讀介質(zhì)(例如,磁盤��,CD-ROM, ROM,或者固定的硬盤)����,或 者是可以通過調(diào)制解調(diào)器或者其他界面裝置傳送到計(jì)算機(jī)系統(tǒng)��,例如連接在網(wǎng) 絡(luò)跨越中介的通信適配器����。媒介可以是有形的媒介(例如光通信線路或者模擬 通信線路)或者其他通過無線實(shí)施的媒介(例如微波��,紅外線或者其他發(fā)射技 術(shù))�����。計(jì)算機(jī)指令系列優(yōu)選的表達(dá)了根據(jù)本發(fā)明前面描述的系統(tǒng)的全部或者部分 功能��。本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)理解�,這樣的計(jì)算機(jī)指令可以寫成多種編程語 言,從而與很多種計(jì)算機(jī)結(jié)構(gòu)或者操作系統(tǒng)使用��。此外���,這些指令可以儲存在任何存儲器中���,例如半導(dǎo)體�、磁、光或者其他存儲器���,被可以被任何通信技術(shù) 使用����,例如光、紅外線���、微波或者其他發(fā)射技術(shù)�。希望這樣一種計(jì)算機(jī)程序產(chǎn) 品能夠成為可移動的媒介��,其可被打印或者制成電子文檔(例如熱塑包裝的軟 件)而可攜帶�����,可以是計(jì)算機(jī)系統(tǒng)原先安裝的(例如在系統(tǒng)ROM或者固定硬 盤上)�,或者發(fā)布在服務(wù)器或網(wǎng)絡(luò)(例如因特網(wǎng)或者國際互聯(lián)網(wǎng))的電子公告牌 上��。前面是實(shí)施本發(fā)明的示意性模式�,并不是出于限定目的。對本領(lǐng)域普通技 術(shù)人員來說���,顯然可以在不脫離本發(fā)明精神和權(quán)利要求中所限定的保護(hù)范圍的 情況下���,進(jìn)行各種變化。以上所述���,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1.一種使用雙向-網(wǎng)絡(luò)地址轉(zhuǎn)換裝置�����,用于虛擬專用網(wǎng)絡(luò)信息包級路由的方法����,其包括給客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)客戶提供主機(jī)存儲在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的一個(gè)可用資源列表�����;給資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)資源分配客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的一個(gè)本地(虛擬)IP地址�;由至少一個(gè)客戶發(fā)起一個(gè)請求,請求資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上主機(jī)存儲的可用資源列表中的至少一個(gè)資源���,就像該至少一個(gè)資源相對于至少一個(gè)客戶來說是本地的�����,并未暴露資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上可用資源列表的實(shí)際IP地址���,其中與客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)相連的客戶動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)將本地(實(shí)際)客戶IP地址和本地(虛擬)資源IP地址轉(zhuǎn)換成客戶DVPN地址和資源DVPN地址���;通過一個(gè)安全連接,將具有客戶DVPN地址和資源DVPN地址的請求信息包路由至與資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)相連的資源動態(tài)虛擬專用網(wǎng)絡(luò)(DVPN)網(wǎng)關(guān)�����;將客戶DVPN地址和資源DVPN地址轉(zhuǎn)換成本地(虛擬)客戶IP地址和資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地(實(shí)際)資源IP地址�����,其中由資源DVPN網(wǎng)關(guān)來執(zhí)行該轉(zhuǎn)換�;通過資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)資源來響應(yīng)請求����,就像上述請求是在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上在本地發(fā)起的,并未暴露客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上至少一個(gè)客戶虛擬IP地址����;通過安全連接,從資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)資源將響應(yīng)信息包路由回客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的至少一個(gè)客戶�,其中資源DVPN網(wǎng)關(guān)將資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地(實(shí)際)資源IP地址和本地(虛擬)客戶IP地址轉(zhuǎn)換成資源DVPN地址和客戶DVPN地址����,用于通過安全隧道路由至客戶DVPN網(wǎng)關(guān)����;以及將響應(yīng)信息包發(fā)送到至少一個(gè)客戶,其中客戶DVPN網(wǎng)關(guān)將資源DVPN地址和客戶DVPN地址轉(zhuǎn)換成客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地(虛擬)資源IP地址和本地(實(shí)際)客戶IP地址���。
2. 根據(jù)權(quán)利要求1所述的方法��,其中客戶DVPN網(wǎng)關(guān)和資源DVPN網(wǎng)關(guān) 保持一定范圍的DVPN地址��,這些地址被分配作為資源DVPN地址和客戶 DVPN地址��。
3. 根據(jù)權(quán)利要求2所述的方法���,其中資源DVPN地址和客戶DVPN地址 與用在資源和客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地IP地址不同,從而該范圍內(nèi)的 DVPN地址僅在客戶和資源DVPN網(wǎng)關(guān)中使用��,并具有意義��,其用于在資源虛 擬專用網(wǎng)絡(luò)節(jié)點(diǎn)和客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)之間通過安全連接來路由信息包�。
4. 根據(jù)權(quán)利要求2所述的方法,其中DVPN地址范圍通過人工和/或動態(tài) 從具有類似于DHCP功能的服務(wù)器上分配到每個(gè)DVPN網(wǎng)關(guān)。
5. 根據(jù)權(quán)利要求l所述的方法�����,其中一旦將至少一個(gè)資源發(fā)布至客戶虛擬 專用網(wǎng)絡(luò)節(jié)點(diǎn)�����,資源DVPN網(wǎng)關(guān)將從其DVPN地址池中把資源DVPN地址分 配到至少一個(gè)資源����。
6. 根據(jù)權(quán)利要求5所述的方法,其中至少一個(gè)資源的資源DVPN地址將發(fā) 布到所有的客戶DVPN網(wǎng)關(guān)���,用于通過任何客戶訪問至少一個(gè)資源����。
7. 根據(jù)權(quán)利要求l所述的方法��,其中一旦發(fā)起請求�����,要求從DVPN地址池 中訪問至少一個(gè)資源����,該客戶DVPN網(wǎng)關(guān)將客戶DVPN地址分配到至少一個(gè)客 戶。
8. 根據(jù)權(quán)利要求7所述的方法���,其中客戶DVPN地址將由客戶DVPN網(wǎng) 關(guān)用于所有的遠(yuǎn)程資源����,該資源被至少一個(gè)客戶訪問��。
9. 根據(jù)權(quán)利要求1所述的方法���,其中客戶IP地址和資源IP地址還包括一 個(gè)端口號�。
10. 根據(jù)權(quán)利要求9所述的方法����,其中在資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的多個(gè) 本地(虛擬)客戶IP地址與不同的端口號分享相同的IP地址,此外����,其中資源DVPN網(wǎng)關(guān)轉(zhuǎn)換客戶DVPN地址和端口號。
11. 根據(jù)權(quán)利要求9所述的方法���,其中在客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的多個(gè) 本地(虛擬)資源IP地址與不同的端口號分享相同的IP地址��,此外�,其中客 戶DVPN網(wǎng)關(guān)轉(zhuǎn)換資源DVPN地址和端口號。
12. 根據(jù)權(quán)利要求1所述的方法���,其中客戶和資源DVPN網(wǎng)關(guān)執(zhí)行信息包 內(nèi)容重寫���,以將嵌入的IP地址和端口號轉(zhuǎn)換成支持特定應(yīng)用程序協(xié)議,例如文 件傳輸協(xié)議(FTP)��。
13. 根據(jù)權(quán)利要求1所述的方法��,其中至少一個(gè)客戶通過多個(gè)中間虛擬專 用網(wǎng)絡(luò)節(jié)點(diǎn)訪問至少一個(gè)資源�,上述節(jié)點(diǎn)具有DVPN網(wǎng)關(guān),上述網(wǎng)關(guān)與的多個(gè) 中間虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)中的每 一 個(gè)相連��。
14. 根據(jù)權(quán)利要求1所述的方法���,其中至少一個(gè)客戶包括資源虛擬專用網(wǎng) 絡(luò)節(jié)點(diǎn)上的多個(gè)客戶�����,其中多個(gè)客戶訪問客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的多個(gè)資源。
15. 根據(jù)權(quán)利要求1所述的方法����,其中��,使用IP路由協(xié)議����,例如OSPF或 BGP,使具有DVPN地址的信息包在多個(gè)DVPN網(wǎng)關(guān)之間路由����。
16. 根據(jù)權(quán)利要求1所述的方法,其中客戶虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上的本地客 戶IP地址被用作客戶DVPN地址���。
17. 根據(jù)權(quán)利要求16所述的方法����,其中本地客戶IP地址僅被用在DVPN 網(wǎng)關(guān)之間����,從而本地客戶IP地址不會暴露于其他的虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)。
全文摘要
本發(fā)明公開一種使用雙-NAT結(jié)構(gòu)用于虛擬專用網(wǎng)絡(luò)(VPN)信息包級路由的系統(tǒng)和方法����,以在應(yīng)用程序,主機(jī)之間��,或者網(wǎng)絡(luò)的任何兩個(gè)末端站點(diǎn)之間,在不暴露各自實(shí)際IP地址和網(wǎng)絡(luò)拓?fù)涞那闆r下��,提供雙向安全連接�。所述方法包括給客戶提供一列遠(yuǎn)程網(wǎng)絡(luò)上的可用的資源;由客戶發(fā)起一個(gè)請求�,請求資源虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)上存儲的可用資源列表中的至少一個(gè)資源,就像該至少一個(gè)資源相對于客戶來說是本地的���;將資源和目標(biāo)IP地址網(wǎng)絡(luò)地址轉(zhuǎn)換成一對客戶和資源動態(tài)VPN(DVPN)地址���;將請求路由到遠(yuǎn)程網(wǎng)絡(luò);將客戶和資源DVPN地址網(wǎng)絡(luò)地址轉(zhuǎn)換成遠(yuǎn)程網(wǎng)絡(luò)的本地IP地址�;將請求發(fā)送到至少一個(gè)資源;使用相反的過程網(wǎng)絡(luò)地址轉(zhuǎn)換/路由響應(yīng)���。
文檔編號H04L12/56GK101252509SQ20081000933
公開日2008年8月27日 申請日期2008年2月21日 優(yōu)先權(quán)日2007年2月21日
發(fā)明者任麗美, 張俊政, 徐步超, 柴卓原, 蘇乃婷 申請人:華耀環(huán)宇科技有限公司