内网访问外网的方法和设备技术

本发明专利技术提供了一种内网访问外网的方法和设备，其中，该方法用于具有路由功能的设备上，所述设备用于连接所述内网和所述外网，在所述设备上全局配置ＤＮＳ　ｍａｐ策略，该方法包括：所述设备接收到ＤＮＳ服务器针对所述内网中主机访问所述外网的请求所返回的ＤＮＳ响应报文时，根据该ＤＮＳ响应报文携带的公网ＩＰ地址查找对应的ＤＮＳ　ｍａｐ策略；如果查找到的ＤＮＳ　ｍａｐ策略要求将所述公网ＩＰ地址转换为虚拟公网ＩＰ地址，则将所述ＤＮＳ响应报文携带的公网ＩＰ地址转换成对应的虚拟公网ＩＰ地址，并发送至所述返回的ＤＮＳ响应报文对应的所述内网中主机。采用本发明专利技术，实现了特殊局域网用户正常访问与特殊局域网中ＩＰ地址冲突的公网服务器。

【技术实现步骤摘要】

本专利技术涉及网络通信技术，特别涉及内网访问外网的方法和设备。
技术介绍
传统局域网(LAN)是指同一区域内比如同一办公室、同一建筑物、同一公司等由多台计算机互联所组成的网络，一般是方圆几千米以内。传统局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。这里，传统局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成，主要特征在于其内部的地址(比如内部主机和服务器的IP地址)都是标准的私有IP地址(这主要是相对于因特网上全球唯一的公有IP地址而言)。RFC1918为传统局域网预留出了三个IP地址块，分别为：A类(10.0.0.0～10.255.255.255)、B类(172.16.0.0～172.31.255.255)和C类(192.168.0.0～192.168.255.255)。这三个IP地址块不会在因特网上分配，因此，不必向ISP或者注册中心申请而可以在公司或者企业内部自由使用。随着网络技术的不断发展，出现了与传统局域网的架构相同，但地址规划不同的特殊局域网。之所以会出现特殊局域网，主要是因为一些企业或单位在最初规划局域网时，没有明确的访问因特网的需求，所以在局域网内部采用了公网地址段。而随着业务、网络的发展，这些企业或单位对于访问因特网的需求越来越强烈。从技术层面上来说，这种特殊局域网是可以通过重新规划IP地址从而变为传统局域网的。但在调整的过程中困难很多，最麻烦的问题是：局域网内部很多早期(甚至现在)的应用、服务都在程序中绑定了大量的原有IP地址，这些IP地址都是写死在应用程序中的。如果要调整IP地址，就必须对应用程序进行重新开发、修改。遗憾的是，这些应用程序的开发人员很多都已经离开，也没有留下相关的说明文档，所以重新规划IP地址是非常困难的。另外，局域网内部很多早期(甚至现在)的应用、服务所绑定的大量的IP地址都是采用静态方式分配的，并设置了大量的权限策略。如果重新规划IP地址，需要对大量的IP地址进行修改，同时还要修改大量的权限策略，这会导致工作量大、风险也很大等问题。基于上述由于重新规划特殊局域网内IP地址而存在的诸多困难，这些规划了特殊局域网的企业或单位的开发人员更倾向于通过一些技术手来来解决访问公网的问题。其中，这些技术手段主要包含现有技术中内网(局域网)在访问外网(公网)时所利用的网络地址转换服务(NAT Server)策略。其中，NAT Server策略是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT Server策略配置在NAT网关的外网接口上，主要用于实现内网访问外网的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。以图1a所示的组网为例，如图1a所示，该组网包含用于连接内网和外网的设备(记为NAT网关)，当特殊局域网内部主机A(192.168.1.3)向外部服务器B(1.1.1.2)发送一个数据报时，数据报先发送至NAT网关。NAT网关查看数据报报头内容，发现该数据报是发往外网的，那么它将数据报的源地址192.168.1.3换成一个可在-->外网上选路的公有地址20.1.1.1，并将该数据报发送到外部服务器B，同时在NAT网关的网络地址转换表中记录这一映射关系。外部服务器B给内部主机A(192.168.1.3)发送的应答报文(该应答报文的目的地址为20.1.1.1)时，当NAT网关接收到应答报文后，NAT网关再次查看应答报文的报头内容，然后查找当前网络地址转换表的记录，用内部主机A的地址192.168.1.3替换应答报文的目的地址。需要注意的是，上述过程对内网中的设备(如图1a中的主机A和服务器A)来说是透明的。对外部服务器B而言，它认为内网中内部主机A的IP地址就是20.1.1.1，并不知道其实际的IP地址192.168.1.3。但是，对于特殊局域网而言，由于特殊局域网中采用了公网IP地址，这样，就会出现一种比较极端的情况，比如，特殊局域网中的主机配置了公网IP地址。在这种情况下，如果特殊局域网中一主机如图1b中的Host A需要访问公网，比如需要访问域名www.sina.com，该域名对应的IP地址为202.38.1.8，可以看出，该域名的IP地址将与特殊局域网中另一主机如图1b中Host B的IP地址产生冲突。配置了公网IP地址的特殊局域网认为自身为公网，而真正的公网相对而言为私网，基于此，其并非传统局域网那样，要求在NAT网关的中与外网的接口(下称外网接口)即如图1b中的FE1/2上配置NAT Server策略，而是要求在NAT网关中与内网的接口(下称内网接口)即如图1b中的FE 1/1上配置NAT Server策略。而且，现有技术中，DNS map策略只是在配置了NAT Server策略的接口上应用，也就是说，在特殊局域网向外访问公网时，只有NAT网关的内网接口才能应用NAT Server策略和DNS map策略。但是，从图1b可以看出，DNS服务器返回的DNS响应报文首先到达的是NAT网关的外网接口如图1b中的FE1/2，而非NAT网关的内网接口，这样，就会因为该外网接口不能应用DNS map策略而导致无法对DNS响应报文携带的IP地址执行DNS map转换，进而导致了特殊局域网无法访问公网。并且，现有技术中，DNS map策略主要是针对公网IP地址的，由于特殊局域网中的主机或者服务器配置了公网地址，因此，在特殊局域网向外访问公网时，其当然认为DNS响应报文携带的IP地址为私网IP地址，而非公网IP地址，所以，不会对DNS响应报文携带的IP地址做DNS map转换，进而导致特殊局域网无法访问公网。
技术实现思路
本专利技术提供了内网访问外网的方法和设备，实现特殊局域网用户访问与该特殊局域网地址冲突的公网。本专利技术提供的技术方案是这样的：一种内网访问外网的方法，用于具有路由功能的设备上，所述设备用于连接所述内网和所述外网，在所述设备上全局配置域名映射DNS map策略，该方法包括以下步骤：所述设备接收到DNS服务器针对所述内网中主机访问所述外网的请求所返回的DNS响应报文时，根据该DNS响应报文携带的公网IP地址查找对应的DNS map策略；如果查找到的DNS map策略要求将所述公网IP地址转换为虚拟公网IP地址，则将所述DNS响应报文携带的公网IP地址转换成对应的虚拟公网IP地址，并发送至所述返回的DNS响应报文对应的所述内网中主机。优选地，预先在所述设备连接内网的接口上配置包含公网地址段和私网地址段的地址转换策略NAT Server，所述NAT Server策略的公网地址段包含不同于所述内网中任何-->一个IP地址的虚拟公网IP地址，所述私网地址段包含所述内网中被配置的、且与所述公网地址段包含的虚拟公网IP地址对应的公网IP地址；所述将公网IP地址转换成对应的虚拟公网IP地址包括：从已配置的NAT Server策略中查找私网地址段包含所述DNS响应报文携带的公网IP地址的NAT Server策略，将所述DNS响应报文携带的公网IP地址转换为查找到包含所述DNS响应报文携带的公网IP地址的本文档来自技高网...

【技术保护点】
１．一种内网访问外网的方法，用于具有路由功能的设备上，所述设备用于连接所述内网和所述外网，其特征在于，在所述设备上全局配置域名映射ＤＮＳｍａｐ策略，该方法包括以下步骤：所述设备接收到ＤＮＳ服务器针对所述内网中主机访问所述外网的请求所返回的ＤＮＳ响应报文时，根据该ＤＮＳ响应报文携带的公网ＩＰ地址查找对应的ＤＮＳ　ｍａｐ策略；如果查找到的ＤＮＳ　ｍａｐ策略要求将所述公网ＩＰ地址转换为虚拟公网ＩＰ地址，则将所述ＤＮＳ响应报文携带的公网ＩＰ地址转换成对应的虚拟公网ＩＰ地址，并发送至所述返回的ＤＮＳ响应报文对应的所述内网中主机。

【技术特征摘要】
1.一种内网访问外网的方法，用于具有路由功能的设备上，所述设备用于连接所述内网和所述外网，其特征在于，在所述设备上全局配置域名映射DNSmap策略，该方法包括以下步骤：所述设备接收到DNS服务器针对所述内网中主机访问所述外网的请求所返回的DNS响应报文时，根据该DNS响应报文携带的公网IP地址查找对应的DNS map策略；如果查找到的DNS map策略要求将所述公网IP地址转换为虚拟公网IP地址，则将所述DNS响应报文携带的公网IP地址转换成对应的虚拟公网IP地址，并发送至所述返回的DNS响应报文对应的所述内网中主机。2.根据权利要求1所述的方法，其特征在于，预先在所述设备连接内网的接口上配置包含公网地址段和私网地址段的地址转换策略NAT Server，所述NAT Server策略的公网地址段包含不同于所述内网中任何一个IP地址的虚拟公网IP地址，所述私网地址段包含所述内网中被配置的、且与所述公网地址段包含的虚拟公网IP地址对应的公网IP地址；所述将公网IP地址转换成对应的虚拟公网IP地址包括：从已配置的NAT Server策略中查找私网地址段包含所述DNS响应报文携带的公网IP地址的NAT Server策略，将所述DNS响应报文携带的公网IP地址转换为查找到包含所述DNS响应报文携带的公网IP地址的NAT Server策略中对应的公网地址段包含的虚拟公网IP地址。3.根据权利要求1所述的方法，其特征在于，所述根据响应报文携带的IP地址查找对应的DNS map策略包括：判断当前是否使能了DNS map策略特性，如果是，则执行根据DNS响应报文携带的IP地址查找到对应的DNS map策略的操作。4.根据权利要求1至3任一所述的方法，其特征在于，该方法进一步包括：A，所述返回的DNS响应报文对应的所述内网中主机向所述设备发送访问外网的报文，访问报文的目的地址为所述返回的DNS响应报文对应的所述内网中主机接收的虚拟公网IP地址；B，所述设备针对接收的访问报文的目的地址执行NAT处理，并发送处理后的访问报文至外网。5.根据权利要求4所述的方法，其特征在于，所述步骤B包括：B1，所述设备中与所述内网的接口接收到所述访问报文时，在已配置的NAT Server策略中查找公网地址段包含所述访问报文的目的地址的NAT Server策略，如果查找到，则执行步骤B2；如果查找不到，则按照现有方式处理所述访问报文；B2，将所述访问报文的目的地址转换为步骤B1查找到的包含所述访问报文的目的地址的NAT Server策略中私网地址段包含的地址，通过所述设备中与所述外网的接口向外网发送该访问报文。6.根据权利要求5所述的方法，其特征在于，所述步骤B2中，通过所述设备与所述外网的接口向外网发送访问报文包括：在所述设备中与所述外网的接口上执行NAT Outband功能，将所述访问报文的源地址转换为所述设备中与所述外网的接口的地址，然后向所述外网发送该访问报文。7.根据权利要求6所述的方法，其特征在于，所述步骤B2中将访问报文的目的地址转换为步骤B 1查找到的NAT Server策略中私网地址段包含的地址进一步包括：建立包含所述访问报文转换之前的目的地址和转换之后的目的地址的会话信息；所述将访问报文的源地址转换为所述设备中与所述外网的接口的地址进一步包括：建立包含所述访问报文转换之前的源地址和转换之后的源地址的映射表；当所述外网返回与所述访问报文对应的响应报文给所述主机时，该方法进一步包括：所述设备通过所述设备中与所述外网的接口接收到响应报文时，查找包含所述响应报文中目的地址的映射表，将所述响应报文的目的地址转换为查找到的映射表中与所述响应报文目的地址对应的地址；之后，向所述设备中与所述内网的接口发送响应报文；当所述设备中与所述内网的接口接收到响应报文时，查找包含所述响应报文中源地址的会话信息，将所述响应报文中源地址转换为查找到的会话信息中与所述响应报文中源地址对应的地址...

【专利技术属性】
技术研发人员：李蔚，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86[中国|杭州]