广域网下实现NAT穿透的方法及系统

摘要

本发明提供一种广域网下实现NAT穿透的方法及系统，至少一台终端、一支持DMZ的网络设备以及一主机，还包括一中继设备，在网络设备上开启DMZ技术，将DMZ主机的IP配置指向所述中继设备；在中继设备上安装基于NAT网络地址映射技术原理的端口映射程序，所述端口映射程序根据用户配置生成端口映射规则。本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的数据报文原封不同的转发给主机或NAT环境下的终端，从而实现了通信协议的透明，主机与终端之间能够全双工通信。本发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况下，很好地拓扩网络通信范围，最终实现区域内外的统一管理。

说明书

【技术领域】

本发明涉及一种计算机通信领域，特别涉及一种广域网下实现NAT穿 透的方法及系统。

【背景技术】

现有的基于网络通信的设备管理软件，大部分都采用TCP/IP协议与被 管控设备进行双向交互。采用双工的通信方式，具有易于开发，通信带宽占 用少、反馈及时等特点，适用于大部分的通信交互，但也有比较大的不足， 由于要求通信双方必须能够直接通信，因此只能用于园内式（专线网或单一 网络）网络环境的通信。但是在复杂混合网络环境下，如广域网与ADSL 网络间的相互访问，通过NAT技术只能由单方建立通信链路，通信的另外 一方无法直接建立通信链路，即通过NAT技术，位于ADSL网络下的设备 可以访问广域网（即外网），而广域网下的设备无法访问ADSL网络下的 设备，现有的通信机制无法满足复杂混合网络情况下的设备管理要求。

目前为了能够解决复杂混合网络环境下的通信，需要一种代理转发机 制，能够介于通信双方之间，负责传递数据报文数据，有以下几种常见方式：

软件层上，通常需要在应用层特别设计一套支持路由地址转发的通信协 议，然后由转发设备根据协议，查询路由信息，将数据报文投递到目标地址。 在应用协议层上实现网络数据报文的转发，能够较好的实现复杂网络的管 理，但通常只适用于协议设计之初，且存在以下不足之处：

1)大大增加通信协议的复杂度、系统开销、带宽资源及通信效率;

2)需要专门开发支持协议转发的路由设备并需要一定的路由算法及路 由表存储空间;

3)为了保证通信的安全将会引入非常复杂的保障机制;

4)需要兼容自身原有的通信协议，这对于新旧系统的整合可能会成为较 大的障碍;

5)对于第三方协议无法兼容，一个应用系统往往混合了多种网络通信协 议，并且这些协议通常是无法或不允许修改的;

6)开发周期相对较长，这对于有时间压力的项目是不容易接受的;

对开发完毕的系统或者已部署的系统再去改造，将协议进行全面改造对 已建设好的应用环境是相当困难的，将会面临许多实际难以解决的问题，所 以此种方式通常只能作为系统设计初期就应考虑好的方式。

另外一种方式，通过实现Sock代理客户端将通信数据报文发给代理服 务器，由代理服务器负责转换数据报文，虽然不需要在应用层特别设计一套 支持路由地址转发的通信协议，但需对程序进行修改，以支持基于代理的网 络通信，但此种方式只能支持单向发起的通信请求，这对于采用双工通信模 式的应用，是无法满足管理需求的。

硬件层上，可以通过购买硬件网关设备，在设备层上实现数据数据报文 的转发，具有高效、负载量大的优点，但这往往需要用户对现有的基础网络 结构进行改造，并且需要支出一笔高昂的硬件设备费用，这对用户来说是一 件性价比极低的一种方案，通常不太可能为了支持普通应用级系统而采用这 种方式。

【发明内容】

本发明要解决的技术问题之一，在于提供一种ADSL网络穿透方法及系 统。

本发明采用以下技术方案解决上述技术问题：

技术方案一：

一种广域网下实现NAT穿透的方法，所述方法提供至少一台终端、一 支持DMZ的网络设备、一主机以及一中继设备，所述中继设备作为旁路设 备，仅与所述网络设备相连，所述中继设备上安装有基于NAT网络地址映 射技术原理的端口映射程序，所述终端和所述中继设备设于广域网NAT环 境下，所述方法包括如下步骤：

步骤1、在网络设备上开启DMZ技术，并配置DMZ主机的IP地址， 将DMZ主机的IP配置指向所述中继设备；

步骤2、启动所述中继设备，所述端口映射程序根据用户配置生成端口 映射规则；所述端口映射规则定期发送至所述主机，其发送周期由用户设定；

步骤3、根据端口映射规则将所述中继设备与各终端IP地址进行绑定， 所述中继设备在通信端口进行数据报文监听;将位于广域网NAT环境下的 终端作为通信发起端向所述主机发送数据报文请求，或将所述主机作为通信 发起端向位于广域网NAT环境下的终端发送数据报文请求；所述主机和终 端间为全双工的通信方式；

步骤4、若位于广域网NAT环境下的终端作为通信发起端向所述主机 发送数据报文请求，首先终端将数据报文发送给网络设备，所述网络设备根 据内置的DMZ映射规则，将数据报文转发到所述中继设备，所述中继设备 依据端口映射规则将数据报文转发给所述主机；所述主机收到数据报文进行 处理后，若需返回处理结果，所述主机作为通信发起端按步骤5的方式返回 处理结果；

步骤5、若所述主机作为通信发起端向位于广域网NAT环境下的终端 发送数据报文请求，首先查询所述端口映射规则，指定接收数据报文的终端， 然后将数据报文发送至该终端对应的网络设备端口，所述网络设备根据内置 的DMZ映射规则，将数据报文原封不动地转发到所述中继设备端口，所述 中继设备端口的端口号与网络设备端口的端口号相同，所述中继设备依据端 口映射规则将数据报文转发给指定的终端；所述指定的终端收到数据报文进 行处理后，若需返回处理结果，则所述指定的终端作为通信发起端按步骤4 的方式返回处理结果。

进一步地，所述端口映射规则包括各终端的IP与中继设备通信端口、 主机的IP以及主机通信端口之间的对应规则。

进一步地，所述网络设备是路由器或交换机。

进一步地，所述中继设备采用selector网络通信模型，进行数据报文的 转发。

技术方案二：

一种广域网下实现NAT穿透的系统，包括：至少一台终端、一支持DMZ 的网络设备以及一主机，所述终端、网络设备以及主机之间通过网络连接， 还包括一安装有端口映射程序的中继设备，所述中继设备作为旁路设备，仅 通过网络与所述网络设备相连，所述终端和所述中继设备设于广域网NAT 环境下。

进一步地，所述网络设备是路由器或交换机。

本发明具有如下优点：

本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的 数据报文原封不动的转发给主机或NAT环境下的终端，无需修改数据报文， 实现通信协议的透明，主机与终端之间能够全双工通信。本发明能够在不改 造原有软件所采用的通信协议及基础网络硬件环境的情况下，很好地拓扩网 络通信范围，最终实现区域内外的统一管理，同时，本发明可适应于各种通 信协议及软件应用环境。

【附图说明】

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明广域网下实现NAT穿透的系统结构示意图。

【具体实施方式】

请参阅图1，对本发明技术方案做详细说明。

技术方案一：

一种广域网下实现NAT穿透的方法，所述方法提供至少一台终端1、 一支持DMZ的网络设备2、一主机3以及一中继设备4，所述中继设备4 作为旁路设备，仅与所述网络设备2相连，所述中继设备4上安装有基于 NAT网络地址映射技术原理的端口映射程序，所述终端1和所述中继设备4 设于广域网NAT环境下，所述方法包括如下步骤：

步骤1、在网络设备2上开启DMZ技术，并配置DMZ主机的IP地址， 将DMZ主机的IP配置指向所述中继设备4；

步骤2、启动所述中继设备4，所述端口映射程序根据用户配置生成端 口映射规则；所述端口映射规则包括各终端1的IP与中继设备4通信端口、 主机3的IP以及主机3通信端口之间的对应规则；所述端口映射规则定期 发送至所述主机，其发送周期由用户设定；

步骤3、根据端口映射规则将所述中继设备4与各终端1的IP地址进行 绑定，所述中继设备4在通信端口进行数据报文监听；绑定后在通信过程中 各终端1与中继设备4间就如同建立了各自独立的网络通信隧道，可直接通 信；将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据 报文请求，或将所述主机作为通信发起端向位于广域网NAT环境下的终端 发送数据报文请求；所述主机和终端间为全双工的通信方式；

步骤4、若位于广域网NAT环境下的终端1作为通信发起端向所述主 机发送数据报文请求，首先终端1将数据报文发送给网络设备2，所述网络 设备2根据内置的DMZ映射规则，将数据报文转发到所述中继设备4，所 述中继设备4依据端口映射规则将数据报文转发给所述主机3；所述主机3 收到数据报文进行处理后，若需返回处理结果，所述主机3作为通信发起端 按步骤5的方式返回处理结果；

步骤5、若所述主机3作为通信发起端向位于广域网NAT环境下的终 端发送数据报文请求，首先查询所述端口映射规则，指定接收数据报文的终 端1，然后将数据报文发送至该终端1对应的网络设备2端口，所述网络设 备2根据内置的DMZ映射规则，将数据报文原封不动地转发到所述中继设 备4端口，所述中继设备4端口的端口号与网络设备2端口的端口号相同， 所述中继设备4依据端口映射规则将数据报文转发给指定的终端1；所述指 定的终端1收到数据报文进行处理后，若需返回处理结果，则所述指定的终 端1作为通信发起端按步骤4的方式返回处理结果。

本实施例中，所述网络设备2可以是路由器或交换机，所述中继设备4 采用selector网络通信模型，进行数据报文的转发。

本发明中，所述DMZ(非军事化区)技术通过设立一个非安全系统与安 全系统之间的“非军事化区”，来解决安装防火墙后外部网络不能访问内部 网络服务器的问题。这个“非军事化”的缓冲区位于企业内部网络和外部网 络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务 器设施。通过这种隔离方式，不仅能对外提供服务，而且还能够有效的保护 内部网络。

所述端口映射技术就是将外网主机的IP地址的一个端口映射到内网中 的一台主机，以此提供相应的服务。当用户访问该IP的这个端口的时候， 服务器自动将请求映射到对应内网中的主机上，从而透明的实现数据报文的 转发。

技术方案二：

请再参阅图1，一种广域网下实现NAT穿透的系统，包括：至少一台 终端1、一支持DMZ的网络设备2以及一主机3，所述终端1、网络设备2 以及主机3之间通过网络连接，还包括一安装有端口映射程序的中继设备4， 所述中继设备4作为旁路设备，仅通过网络与所述网络设备2相连，所述终 端1和所述中继4设备设于广域网NAT环境下。

进一步地，所述网络设备2是路由器或交换机。

广域网下实现NAT穿透的系统，其工作原理如下：

步骤1、在网络设备2上开启DMZ技术，并配置DMZ主机的IP地址， 将DMZ主机的IP配置指向所述中继设备；

步骤2、启动所述中继设备4，所述端口映射程序根据用户配置生成端 口映射规则；所述端口映射规则包括各终端1的IP与中继设备4通信端口、 主机3的IP以及主机3通信端口之间的对应规则；所述端口映射规则定期 发送至所述主机，其发送周期由用户设定；

步骤3、根据端口映射规则将所述中继设备4与各终端1的IP地址进行 绑定，所述中继设备在通信端口进行数据报文监听；绑定后在通信过程中各 终端与中继设备间就如同建立了各自独立的网络通信隧道，可直接通信；将 位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请 求，或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数 据报文请求；所述主机和终端间为全双工的通信方式；

步骤4、若位于广域网NAT环境下的终端1作为通信发起端向所述主 机3发送数据报文请求，首先终端1将数据报文发送给网络设备2，所述网 络设备2根据内置的DMZ映射规则，将数据报文转发到所述中继设备4， 所述中继设备4依据端口映射规则将数据报文转发给所述主机3；所述主机 3收到数据报文进行处理后，若需返回处理结果，所述主机3作为通信发起 端按步骤5的方式返回处理结果；

步骤5、若所述主机3作为通信发起端向位于广域网NAT环境下的终 端发送数据报文请求，首先查询所述端口映射规则，指定接收数据报文的终 端1，然后将数据报文发送至该终端1对应的网络设备2端口，所述网络设 备2根据内置的DMZ映射规则，将数据报文原封不动地转发到所述中继设 备4端口，所述中继设备4端口的端口号与网络设备2端口的端口号相同， 所述中继设备4依据端口映射规则将数据报文转发给指定的终端1；所述指 定的终端1收到数据报文进行处理后，若需返回处理结果，则所述指定的终 端1作为通信发起端按步骤4的方式返回处理结果。

所述中继设备4采用selector网络通信模型，进行数据报文的转发。

本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的 数据报文原封不动的转发给主机或NAT环境下的终端，在无需修改数据报 文的情况下，实现了通信协议的透明，主机与终端之间能够全双工通信。本 发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况 下，很好地拓扩网络通信范围，最终实现区域内外的统一管理，同时，本发 明可适应于各种通信协议及软件应用环境。

虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人 员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发 明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的 修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。