CN117439815B - 一种基于反向透明桥接的内网穿透***及方法 - Google Patents
一种基于反向透明桥接的内网穿透***及方法 Download PDFInfo
- Publication number
- CN117439815B CN117439815B CN202311676857.0A CN202311676857A CN117439815B CN 117439815 B CN117439815 B CN 117439815B CN 202311676857 A CN202311676857 A CN 202311676857A CN 117439815 B CN117439815 B CN 117439815B
- Authority
- CN
- China
- Prior art keywords
- user
- server
- service end
- user client
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000035515 penetration Effects 0.000 title claims abstract description 39
- 230000006854 communication Effects 0.000 claims abstract description 222
- 238000004891 communication Methods 0.000 claims abstract description 218
- 238000012546 transfer Methods 0.000 claims abstract description 75
- 238000006243 chemical reaction Methods 0.000 claims description 18
- 238000004806 packaging method and process Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 18
- 238000013519 translation Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 108700023290 Stanford University protocol Proteins 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004080 punching Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011330 nucleic acid test Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出基于反向透明桥接的内网穿透***及方法,包括:配置有私有通信协议的用户服务端向公网中转服务器请求注册用户服务端内网信息;公网中转服务器为用户服务端分配唯一识别码,建立域名解析对应关系;配置有私有通信协议的用户客户端向公网中转服务器发起桥接用户服务端请求;公网中转服务器将用户服务端信息返回给用户客户端;用户客户端配置本地路由服务,修改路由表,配置通信数据报文转发接口;用户服务端接收用户客户端桥接请求,更新本地路由表,配置通向用户客户端通信数据报文的转发接口,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端协议转换成TCP/IP协议通信数据报文后,与内网其他终端通信。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及内网穿透。
背景技术
随着互联网的高速发展,企业和个人对网络服务的需求越来越高,但由于IPv4的公网地址数量是有限的,无法给每一台需要接入互联网的设备分配一个公网IP,现阶段能够完全解决此问题的下一代IP协议现在还未全面普及。个人计算机和办公网络一般都分属两个局域网(内网),内网与外网的计算机节点在没有独立IP并进行端口映射的情况下,是无法直接连接通信的,为了解决这类问题,内网穿透技术应运而生。但随着物联网技术的发展,现有内网穿透技术已经无法满足社会的现有需求,更无法实现透明桥接传输。
目前国内外内网穿透的解决方案还没有完全形成统一的标准和参考,这些解决方案都是在一定的应用环境中提出来的,具备一定范围内的优势,也必然存在着一定的局限性。现有内网穿透方案技术有以下几种:
(1)STUN(Simple Traversal of UDP over NATs)协议
STUN 技术是基于UDP的一种穿越方式。位于内网的主机A向有公网IP 地址的外部STUN服务器B以UDP协议的方式进行连接会话,并要求该服务器返回主机A被网络地址转换映射的公网IP地址,具有公网地址的服务器B收到数据包并解析,向主机A返回其映射的公网IP地址。此时主机A通过网络地址转换就可以收到并且获知在网络地址转换后对应的外部地址和端口 (IP/Port)并且记录在下来,并向主机C发送消息其中包含A被网络地址转换映射的IP/Port,同时还可以在其他应用层环节直接用这个被网络地址转换映射的IP/Port进行绑定使用。由于主机A数据包是从网络地址转换内部传输到网络地址转换外部的,故该数据包可以自由通过网络地址转换并被网络地址转换记录下来,同时嵌入有网络地址转换的终端建立起相关的映射表,此后处于网络地址转换外部的主机C就可以和主机A进行通信传输。其穿透示意图如图1所示。
这是一种简单的穿透方案,扩展性好,但是只能进行基于UDP协议的穿透。同时该方案健壮性比较差,而且不能进行动态设置QoS(Quality of Service)等问题。
(2)TURN(Traversal Using Relays around NAT)协议
TURN(Traversal Using Relay NAT)方式解决网络地址转换问题的思路与STUN相类似,也是通过改变私网内的私网IP,他们的区别是他们之间的映射方案不同。STUN方案映射的其自身网络地址转换上公网IP/Port,TURN方案映射方案的是首先TURN客户端映射到对应网络地址转换公网的IP/Port与TURN服务器通信,然后再获取TURN服务器为其分配的公网IP/Port,并以此来改写应用层的本地私有地址,对于用户来说中间服务器好像是透明看不到的,该方案在应用层直接将获取的IP/Port直接写入数据负载当中,其思想方法跟STUN方案是一样。但是客户端均是通过中间服务器中转方式进行穿越网络地址转换,当数据包达到服务器由服务器根据目的地址进行转发数据包。同理当数据包进来也是如此,只是角色的转换而已。总之位于内网的主机A和外网的主机C接收和发送数据时都要经过TURN服务器进行Relay转发。其传输示意图如图2所示。
TURN穿透技术与STUN协议的原理相似,但是TURN穿透技术通信双方需要单独的TURN服务器进行转发。TURN协议继承了STUN协议的很多优点,支持基于TCP协议的穿透,而且还能穿透STUN协议无法穿透的对称型网络地址转换等设备。但是由于需要专门的TURN服务器进行转发数据,这样就大大加大了数据的传输延迟和丢包率。
(3)UDP Hole punching技术
UDP Hole punching技术就是使得位于网络地址转换设备之后的双方主机在公网服务器的帮助下建立起从一端到另一端的直接的通信连接。其穿透过程示意图如下图所示。
当主机A想通过UDP请求与主机C通信时,在向主机C的公网地址和端口号(27.54.248.207:2000)发送消息时必须同时向服务器B ( 210.209.115.173:1246发送请求转播消息要求主机C发送UDP消息到A的公网地址,当A向C发送的消息到达主机C时,此时主机A的私有地址和C的公有地址就建立了一条会话,网络地址转换A会记录下主机A和C的公网地址的会话记录并且形成主机A的内网和公网的IP/Port映射关系,与此同时C的消息(服务器B要求C发送的)到达A主机也建立了一条主机C的私有地址和A的公有地址的会话,网络地址转换C记录下主机C的内网和公网地址的映射关系和A与C之间的会话,这样主机A和主机C之间就可以相互通信,不再需要服务器的帮助。同时只要主机A和主机C穿透成功并且能够相互通信,那么主机A和主机C中任何一个主机只要没有退出连接通信的状态,他们在以后的通信中可以扮演第三方服务器B的角色了。其传输示意图如图3所示。
该技术穿透的成功率较高但是这种技术比较依赖防火墙和锥形网络地址转换,而且不支持基于TCP的应用。
(4)反向链接技术
反向链接技术是最基本简单的一种网络穿透方式。只有P2P通信的双方有一方的端点是处于网络地址转换设备后,而另一方则处于公网上拥有唯一的合法公网IP地址,如图4所示。当处在公网一方的主机C要访问NAT设备后一方的主机A(比如说是网络摄像机)时,如果它直接发送数据包过去,那么该数据包将被网络地址转换A设备丢弃。但是,如果存在一个第三方公网服务器B,则位于公网上的主机C可以通过服务器B发送请求,让网络地址转换设备后的主机端点A主动发出一个反向链接的数据包到公网主机C上,此时在网络地址转换A设备上就留下了相应的映射信息,以后公网上的主机C就能通过NAT设备接入到这个局域网的主机中了。其传输示意图如图4所示。
反向链接的优点是它对于处于公网上第三方服务器C资源的占用很小,而且可以直接进行数据通信。它的局限性就在于这种方式只适合通信的一方在网络地址转换设备后的情况,如果通信双方都在网络地址转换设备后,那么就无法进行有效的通信了。因此这种方式也不具有普遍性。
发明内容
有鉴于此,本发明公开了一种基于反向透明桥接的内网穿透***,包括:用户客户端、公网中转服务器、及用户服务端;
用户客户端,用于主动发起远程接入用户服务端所在的内部局域网的链接请求,并处理本地网络数据报文的收发;用户客户端包括路由表模块、虚拟网卡模块、及通信协议模块;其中,
路由表模块,用于基于接收到公网中转服务器返回给用户客户端的信息,修改本地路由表,配置通信数据报文的路由服务;
虚拟网卡模块,用于当路由表模块完成路由配置后,根据路由配置和通信数据报文的目标地址,将用户客户端与用户服务端之间的通信数据报文按照通信协议模块设置的私有通信协议进行封装和解封,发送和接收通信数据报文;
通信协议模块,设置用于用户客户端和用户服务端双方实体之间完成通信或服务所必须遵循的规则和约定的私有通信协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,及从数据链路层到网络层的数据报文传输和寻址;
公网中转服务器,用于在用户客户端和用户服务端之间建立反向透明桥接隧道;公网中转服务器包括:数据转发模块、域名解析模块、及点对点服务模块;其中,
数据转发模块,用于用户客户端和用户服务端通信过程中的数据转发;
域名解析模块,用于解析用户服务端名称与其对应内网属性的对应关系;建立和维护用户服务端名称与用户服务端唯一识别码之间映射关系的数据库;
点对点服务模块,用于在用户客户端和用户服务端之间建立点对点通信链接;
用户服务端,为一个内部局域网的内网终端,用于响应于接收到所述用户客户端的链接请求实现与所述用户客户端之间的通信数据报文的接收和发送,或该用户服务端所在局域网的内网终端通过该用户服务端与所述用户客户端之间的通信数据报文的接收和发送;用户服务端包括:通信协议模块、虚拟网卡模块、网络地址转换模块;其中,
通信协议模块,设置与用户客户端的通信协议模块相同的私有通信协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,及从数据链路层到网络层的数据报文传输和寻址;
虚拟网卡模块,用于处理用户服务端所在的内部局域网的所有内网终端与用户客户端的通信数据,根据本地路由配置和通信数据报文的目标地址,将用户服务端与用户客户端的通信数据报文按照通信协议模块设置的私有协议进行封装和解封,发送和接收通信数据报文;
网络地址转换模块,用于用户服务端所在的内部局域网内的所有内网终端与用户客户端通信数据报文的地址转换,将基于标准TCP/IP协议的通信数据报文转换成通信协议模块设置的私有协议支持的通信数据报文。
进一步地,用户客户端为具有独立IPV4地址的联网设备,或为一个与用户服务端所在的内部局域网不能直接通信的一个内部局域网的内网终端。
进一步地,用户客户端接收到的公网中转服务器返回给用户客户端的信息包括:用户服务端识别码、用户服务端所在局域网的内网网段;
如用户服务端所在的内部局域网可与其他内部局域网进行通信,则公网中转服务器返回给用户客户端的信息还包含路由信息表;该路由信息表是用户服务端与其他内部局域网通信的路由表。
进一步地,当用户客户端和用户服务端所处的网络环境支持点对点通信链接时,点对点服务模块协商用户客户端和用户服务端之间通过点对点通信方式直接建立桥接隧道,之后用户客户端和用户服务端之间的通信数据不再经过数据转发模块的转发,而直接通信;若用户客户端和用户服务端所处的网络环境不支持点对点通信链接,则通过数据转发模块建立桥接隧道。
进一步地,公网中转服务器,还包括用户认证模块,用于在接收到用户客户端发起的通信请求时对用户客户端进行身份认证,确定用户客户端身份是否合法;用于在用户服务端提出注册请求时,对用户服务端的身份进行认证,确定用户服务端的身份是否合法。
本发明还提供一种反向透明桥接隧道建立方法,包括:
步骤A1:用户服务端向公网中转服务器请求注册用户服务端所在的内部局域网信息;
用户服务端包括通信协议模块,在该通信协议模块中配置有私有通信协议;
步骤A2:公网中转服务器接收到用户服务端的注册请求后,对通过用户身份认证的用户服务端同意注册请求,并分配唯一识别码(ID)标识该用户服务端,并将注册请求中的注册信息录入数据库,建立域名解析对应关系;
步骤A3:用户客户端向公网中转服务器发起桥接用户服务端请求;
用户客户端的通信协议模块与用户服务端的通信协议模块配置有相同的私有通信协议;
步骤A4,当待连接的用户服务端名称已经在公网中转服务器中注册且在线时,公网中转服务器将对应的用户服务端信息返回给用户客户端;
步骤A5,用户客户端利用公网中转服务器返回的用户服务端信息,配置本地路由服务,修改路由表,配置通信数据报文转发接口;
步骤A6,用户服务端接收到公网中转服务器转发的用户客户端信息后,接收用户客户端桥接请求,基于接收到的用户客户端信息更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
步骤A7,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
本发明还提供一种反向透明桥接隧道建立方法,应用于用户服务端,该方法包括:
步骤B1,运行用户服务端,安装用户服务端的虚拟网卡驱动;
用户服务端包括通信协议模块,在该通信协议模块中配置有私有通信协议;
步骤B2,配置用户服务端名称和链接密码信息,向公网中转服务器注册用户服务端名称和内网网段信息;
步骤B3,公网中转服务器给用户服务端分配用户服务端识别码(ID),并将用户服务端名称和用户服务端所在的内部局域网的网段信息录入数据库,与用户服务端建立反向透明桥接转发服务;
其中,在该数据库中存储用户服务端名称与用户服务端唯一识别码之间的映射关系;
步骤B4,用户服务端通过与公网中转服务器的链接,保持在线状态,监听公网中转服务器发送的用户客户端链接请求,当用户服务端接收到公网中转服务器转发的用户客户端信息后,接收用户客户端桥接请求,基于接收到的用户客户端信息更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
其中,用户客户端的通信协议模块与用户服务端的通信协议模块配置有相同的私有通信协议;
步骤B5,用户服务端与用户客户端采用私有通信协议、通过点对点的方式建立通信链路,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
本发明还提供一种反向透明桥接隧道建立方法,应用于用户客户端,该方法包括:
步骤C1,运行用户客户端,安装配置用户客户端虚拟网卡驱动;
用户客户端包括通信协议模块,该通信协议模块中配置私有通信协议;
步骤C2,用户客户端向公网中转服务器发起桥接用户服务端请求;
用户服务端的通信协议模块与用户客户端的通信协议模块配置有相同的私有通信协议;
步骤C3,公网中转服务器的域名解析模块解析出用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,当用户服务端在线时,向用户客户端返回用户服务端识别码和用户服务端所在的内部局域网的内网网段信息;
步骤C4,用户客户端接收返回的用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,基于接收到的所述用户服务端识别码和所述内网网段信息修改用户客户端路由表,添加与用户服务端所在内部局域网通信的路由信息;
步骤C5,用户服务端基于接收到的用户客户端桥接请求,更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
步骤C6,用户客户端与用户服务端采用私有通信协议、通过点对点的方式建立通信链路,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
进一步地,如用户服务端所在的内部局域网可与其他内部局域网进行直接通信,则公网中转服务器返回给用户客户端的信息还包含路由信息表;该路由信息表是用户服务端与其他内部局域网通信的路由表。
本发明的方案具有如下优点:
(1)节省成本:相较于传统的内网穿透方案,本发明的内网穿透技术更加简单易用,配置简单,能够有效降低中小企业在远程办公和网络维护方面的成本,让个人用户低成本实现企业级的内网穿透应用成为可能。
(2)提高数据安全性:加密传输,自定义的通信协议转发。
(3)加快数据处理速度:透明传输,提高转发效率。
(4)容易扩展:传统的VPN技术、端口转发技术、代理技术,基本都是点对点内网穿透,需要访问其他终端时,需要增加转发配置,本发明内网穿技术一旦建立链接,便可与整个网段所有终端通信,且具备同时链接多个局域网和终端级联链接能力,容易扩展内网穿透范围。
(5)处理更加稳定:数据包转发、封装和解封都在网络层以下处理,有效突破防火墙等设备的数据拦截,传输更加稳定高效。
附图说明
图1为现有的STUN 技术示意图;
图2为现有的TURN技术示意图;
图3为现有的UDP Hole punching技术示意图;
图4为现有的反向链接技术示意图;
图5为本发明的基于反向透明桥接的内网穿透***总体框架示意图;
图6为本发明的基于反向透明桥接的内网穿透***的功能模块图;
图7为本发明反向透明桥接隧道建立过程中的信号流转示意图;
图8为本发明反向透明桥接隧道建立方法流程框图;
图9为本发明的用户服务端反向透明桥接隧道建立流程框图;
图10为本发明的用户客户端反向透明桥接隧道建立流程框图;
图11为本发明实施例1的***框架示意图;
图12为本发明实施例1的反向透明桥接隧道建立流程示意图;
图13为本发明实施例2的***框架示意图;
图14为本发明实施例2的反向透明桥接隧道建立流程示意图;
图15为本发明实施例3的***框架示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明相关术语解释:
桥接:是指依据OSI网络模型的链路层的地址,对网络数据包进行转发的过程。当路由器配置了桥接选项后,会处理所有接口上的所有的数据帧,并实时调查每个主机的位置。若在某个接口上收入一个帧,就会在一个桥接内置入一个条目,列出发送数据的主机和接收到数据帧的接口MAC地址,这样路由表就被不断地在通信中完善起来。
透明桥接:指使路由器对主机来讲是透明的,其作用就相当于一个局域网交换机。本发明所述透明桥接与此概念基本一致,使用路由技术建立反向透明桥接隧道后,该桥接隧道对主机来讲是透明的,其作用就相当于局域网交换机链接终端的一条链路。
内网:也就是局域网,也称内部局域网,内网的计算机以网络地址转换(NAT)协议,通过一个公共的网关访问互联网。本发明所述内网均属于该类局域网。
终端:具备联网功能的设备,包括计算机、路由器、手机、智能电视、网络摄像头等。本发明所述终端均属于这种类型设备的一种。
反向链接:位于内网的终端主动向外网的终端建立通信链路,实现外网终端到内网终端的链接,反弹木马等都是用的该类技术。
下面结合附图对本发明进行详细描述。
图5示出了本发明的基于反向透明桥接的内网穿透***的总体框架,图6示出了本发明基于反向透明桥接的内网穿透***的功能模块架构。如图5、图6所示,该***由三个部分组成,即用户客户端、公网中转服务器、及用户服务端。其中,
用户客户端为具备联网功能的设备,例如,计算机、服务器、路由器、手机、智能电视和网络摄像头等,可以是一个具有独立IPV4地址的联网设备,或为一个内部局域网的内网终端,用于主动发起远程接入用户服务端所在的内部局域网的链接请求,并处理本地网络数据报文的收发。
用户客户端包括:路由表模块,虚拟网卡模块,通信协议模块。其中,
路由表模块,用于当接收到公网中转服务器返回给用户客户端的信息时,修改本地路由表,配置通信数据报文路由服务。
公网中转服务器发送给用户客户端的信息包含:用户服务端识别码、内网网段。如果用户服务端所在的内部局域网可与其他内部局域网进行通信,则公网中转服务器发送给用户客户端的信息还可包含路由信息表;该路由信息表是用户服务端通向其他内部局域网的路由表,如果需要链接其他内部局域网的网段,则需要推送该路由信息表,如果只接入用户服务端所在内部局域网,则不需要推送。
虚拟网卡模块,用于当路由表模块完成路由设置后,处理所有与用户服务端相关的通信数据,主要根据路由配置和通信数据报文的目标地址,将用户客户端与用户服务端之间的通信数据报文按照自定义的通信协议进行封装和解封,发送和接收数据报文;
通信协议模块,本发明自定义了用户客户端和用户服务端双方实体完成通信或服务所必须遵循的规则和约定,可以将之称为私有通信协议,其不同于TCP/IP协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,及从数据链路层到网络层的数据报文传输和寻址。
公网中转服务器是具有独立外网地址的联网终端,用于支撑用户客户端和用户服务端之间建立反向透明桥接隧道。公网中转服务器包括:用户认证模块,数据转发模块,域名解析模块,点对点服务模块。其中,
用户认证模块,用于在接收到用户客户端发起的通信请求时对用户客户端进行身份认证,确定用户客户端身份是否合法;用于在用户服务端提出注册请求时,对用户服务端的身份进行认证,确定用户服务端的身份是否合法;
数据转发模块,用于用户客户端和用户服务端通信过程中的数据转发;用户客户端发向用户服务端的数据报文,先流向公网中转服务器,经数据转发模块识别对应的用户服务端,然后转发到用户服务端;
域名解析模块,用于用户服务端名称的解析。当用户客户端通过用户服务端名称发起链接时,首先要经过公网中转服务器的域名解析模块解析出用户服务端的唯一识别码、内网网段等信息后返回给用户客户端,同时域名解析模块也负责维护用户服务端名称与用户服务端唯一识别码之间映射的数据库,当用户服务端注册时,添加数据库记录,并记录用户服务端状态信息,当用户服务端长期掉线时,删除对应记录及反向透明桥接;
域名解析模块的域名解析服务类似互联网DNS服务,用于解析用户服务端名称与其对应内网属性的对应关系。
点对点服务模块,用于在用户客户端和用户服务端之间建立点对点(P2P)链接,当用户客户端和用户服务端所处的网络环境能够支持P2P链接时,点对点服务模块会协商用户客户端和用户服务端之间通过P2P的方式直接建立桥接隧道,之后两端的通信数据将不再经过数据转发模块的转发,可以直接通信,若用户客户端和用户服务端所处的网络环境不支持P2P链接,则依然采用兼容性更强的数据转发模块建立桥接隧道。
用户服务端是一个内部局域网内的任意一个内网终端,该内网终端可以是台式机、便携式计算机、获得root权限的路由器或智能电视等,用于被接入内部局域网的通信数据报文的接收和发送。内部局域网通常包括交换机、内网服务器和各类内网终端,内部局域网的内网终端通过交换机与内部局域网外的终端进行通信。用户服务端包括:通信协议模块,虚拟网卡模块,网络地址转换模块;其中,
通信协议模块,与用户客户端的通信协议模块类似,用户服务端的通信协议模块也采用了本发明的私有通信协议,该私有协议不同于TCP/IP协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,实现从数据链路层到网络层的数据报文传输和寻址的协定。
虚拟网卡模块,用于处理本内部局域网内的所有内网终端与用户客户端的通信数据,主要根据本地路由配置和通信数据报文的目标地址,将用户服务端与用户客户端的所有通信数据报文按照自定义的通信协议进行封装和解封,发送和接收通信数据报文。
网络地址转换模块,用于本内部局域网内的所有终端与用户客户端通信数据报文的地址转换,即将基于标准TCP/IP协议的通信数据报文转换成本发明私有通信协议支持的通信数据报文。
需要说明的是,当用户客户端为一个内网终端时,用户客户端为一个与用户服务端所在的内部局域网不能直接通信的一个内部局域网的内网终端。
通过本发明,用户客户端和用户服务端通过公网中转服务器创建加密通信隧道,实现内网穿透,远程接入用户服务端所在内部局域网,实现用户客户端对用户服务端所在内网网段的反向透明桥接,网络数据包在用户客户端和用户服务端所在内部局域网中所有内网终端之间都是基于链路层地址进行转发,犹如在一个局域网中一般透明传输,达到与用户服务端所在内部局域网中所有内网终端的访问与控制。
下面进一步对本发明进行详细描述。
图7示出了本发明反向透明桥接隧道建立过程中的信号流转示意图,图8示出了本发明反向透明桥接隧道建立方法流程框图。如图7、图8所示,该方法包括如下步骤:
步骤A1:用户服务端向公网中转服务器请求注册用户服务端所在的内部局域网信息。使用安全传输层协议(TLS协议)通道向公网中转服务注册用户服务端基本信息及所在内部局域网信息,发起反向透明桥接的初始链接,并在用户服务端数据链路层做好数据包转发和解析的准备。注册数据包含用户服务端名称、链接密码、用户服务端所在内网网段、用户服务端现有路由表条目等信息。用户服务端的通信协议模块中配置有私有通信协议。
步骤A2:公网中转服务器接收到用户服务端的注册请求后,首先对用户服务端进行用户身份验证,若用户身份非法则拒绝注册;若用户身份合法则同意注册,并分配唯一识别码(ID)标识该用户服务端,并将请求中的注册信息录入数据库,建立域名解析对应关系。
步骤A3:用户客户端向公网中转服务器发起桥接用户服务端请求;用户客户端的通信协议模块中配置有与用户服务端的通信协议模块中配置的私有通信协议相同的私有通信协议。
步骤A4:公网中转服务器查询用户客户端请求连接的用户服务端名称,若准备连接的用户服务端名称已经注册且在线,则公网中转服务器将对应的用户服务端信息返回给用户客户端。用户客户端收到的返回信息包括:用户服务端识别码(ID)和用户服务端内网网段信息。
步骤A5:用户客户端利用公网中转服务器返回的信息,配置本地路由服务,修改路由表,配置通信数据报文转发接口,建立反向透明桥接隧道。
配置完成后,相当于反向透明桥接隧道建立完成,此后用户客户端访问用户服务端的内网终端的所有数据将会自动进行数据报文封装,经由用户客户端虚拟网卡向反向透明隧道转发,最后到达用户服务端,经用户服务端虚拟网卡解封后,通过数据报文中的物理地址(MAC地址)转发到内部局域网的目标内网终端。公网中转服务器在隧道建立后,主要任务是数据报文转发,数据报文的封装和解封、加密和解密都由用户客户端和用户服务端在各自虚拟网卡的作用下完成。也就是说,用户发起访问请求后,由本发明的内网穿透***自动完成反向桥接,用户不用参与,整个反向桥接过程从使用者的角度而言,感觉不到该***的存在,待用户服务端接受客户端的桥接之后,相当于在用户客户端和用户服务端所在内部局域网的交换机之间建立一条虚拟链接,该链接的通信过程类似隧道,两端相通,中间过程都被屏蔽了,因此成这条虚拟链接链路是反向透明桥接隧道。
步骤A6:用户服务端接收公网中转服务器转发的用户客户端信息后,更新本地路由表,配置通向用户客户端通信数据报文的转发接口,反向透明桥接隧道成功建立,此后该用户服务端的内网终端与用户客户端的通信相当于在同一个内部局域网通信。
步骤A7,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端协议转换成TCP/IP协议通信数据报文后,通过内网交换机与内网其他终端通信。
下面分别从用户服务端和用户客户端对本发明的反向透明桥接隧道建立的方法做进一步描述。
图9示出了本发明的反向透明桥接隧道建立方法流程框图。如图9所示,该方法应用于用户服务端,包括如下步骤:
步骤B1,运行用户服务端,安装用户服务端的虚拟网卡驱动;用户服务端的通信协议模块中配置有私有通信协议。
步骤B2,配置用户服务端名称和链接密码等信息,向公网中转服务器注册用户服务端名称和内网网段等信息;
步骤B3,公网中转服务器给用户服务端分配用户服务端识别码(ID),并将用户服务端名称和所在内部局域网的网段信息录入用户服务端用户服务端名称与用户服务端唯一识别码之间映射的数据库,与用户服务端建立反向透明桥接转发服务;
步骤B4,用户服务端建立网络桥接转发服务机制,并通过与公网中转服务器的链接,保持在线状态,监听公网中转服务器发送的用户客户端链接请求,做好与用户客户端建立反向透明桥接隧道的准备工作。
当用户服务端接收公网中转服务器转发的用户客户端信息后,接受用户客户端桥接请求,更新本地路由表,配置通向用户客户端通信数据报文的转发接口。
步骤B5,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端协议转换成TCP/IP协议通信数据报文后,通过内网交换机与内网其他终端通信。
图10示出了本发明的反向透明桥接隧道建立方法流程框图。如图10所示,该方法应用于用户客户端,包括如下步骤:
步骤C1,运行用户客户端,安装配置用户客户端虚拟网卡驱动;用户客户端的通信协议模块中配置私有通信协议;
步骤C2,用户客户端向公网中转服务器发起桥接用户服务端请求;用户服务端的通信协议模块中配置有与用户客户端的通信协议模块中配置的私有通信协议相同的私有通信协议;
步骤C3,公网中转服务器的域名解析模块解析出用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,并判断用户服务端是否在线,若在线,则向用户客户端返回用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,否则,向用户客户端返回服务端掉线的信息;
步骤C4,用户客户端接收返回的用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,修改用户客户端路由表,添加通往用户服务端所在内部局域网的路由信息,建立链接用户服务端所在内部局域网的透明桥接隧道;
步骤C5,用户客户端通过公网中转服务器将用户客户端信息发送到用户服务端且用户服务端完成链路桥接配置后,完成反向透明桥接隧道的建立,透明接入用户服务端内网,实现与该内网中任何终端所有网络数据的自由转发,公网中转服务只提供数据报文转发功能。
步骤C6,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端协议转换成TCP/IP协议通信数据报文后,通过内网交换机与内网其他终端通信。
下面通过三个实施例对本发明做进一步阐述。
实施例1:用户终端远程接入公司内网
图11示出了本发明的用户终端远程接入公司内网的***框架。如图11所示,本实施例1提供的一种基于反向透明桥接的内网穿透***访问公司内网,实现远程办公的实施方案,包括用户终端(用户客户端)、公网中转服务器和公司内网终端(用户服务端)。公司内部局域网通常包括交换机、内网服务器和各类内网终端,内部局域网的内网终端通过交换机与内部局域网外的终端进行通信。
应用条件:①该公司只有一个内部局域网;②用户终端可以是任何方式链接互联网的任何设备,可以是位于不同于该公司局域网的一个内部局域网内的内网终端,也可以是拥有独立IP的外网终端;③公司内网终端可以是该公司局域网中任何一台内网终端,内网终端包括并不限于计算机、平板、路由器和智能电视等。
图12示出了本发明实施例1的反向透明桥接隧道建立方法流程。如图12所示,该建立方法包括:
步骤S11,运行公司内网终端,该公司内网终端自行安装虚拟网卡驱动;
步骤S12,配置该公司内网终端名称和链接密码等信息,向公网中转服务器注册该公司内网终端名称和内网网段等信息;
步骤S13,公网中转服务接收到该公司内网终端注册请求后,首先进行用户身份验证,若非法则拒绝注册,合法则同意注册,分配唯一识别码标识该该公司内网终端,并将请求中的注册信息录入数据库,建立域名解析对应关系;
步骤S14,该公司内网终端建立网络桥接转发服务机制,并通过与公网中转服务器的链接,保持在线状态,监听公网中转服务发送的用户终端链接请求,做好与用户终端建立反向透明桥接隧道的准备工作;
步骤S15,运行用户终端,自行安装该用户终端的虚拟网卡驱动;
步骤S16,该用户终端以该公司内网终端名称为参数,向公网中转服务器发起访问该公司内网终端的链接请求;
步骤S17,公网中转服务器的域名解析模块通过该公司内网终端名称解析出该公司内网终端识别码和内网网段信息,并判断该公司内网终端是否在线,若在线,则返回该公司内网终端识别码和内网网段信息,否则,返回该公司内网终端掉线的信息;
步骤S18,用户终端接收返回的该公司内网终端识别码和内网网段信息,修改本机路由表,添加通往该公司内网终端所在内部局域网的路由信息,建立链接该公司内网终端所在内部局域网的透明桥接隧道;
步骤S19,用户终端在公网中转服务器将该用户终端信息发送到该公司内网终端且该公司内网终端完成链路桥接配置后,完成反向透明桥接隧道的建立,透明接入该公司内网终端所在内部局域网,实现与该内部局域网中任何终端所有网络数据的自由转发,公网中转服务只提供数据报文转发功能。
实施例2:用户终端远程接入公司多个部门内网
图13示出了本发明实施例2的用户终端远程接入公司多个部门内网的***框架。本实施例2主要应用对象是公司的网络管理维护人员,如图13所示,本发明实施例2提供的一种基于反向透明桥接的内网穿透***远程访问公司内多个局域网,实现远程网络维护的方案,包括用户终端(用户客户端)、公网中转服务器、公司局域网A、B、C和多个公司内网终端(用户服务端)。
应用条件:①该公司有多个内部局域网,且多个内部局域网之间能够通信;②用户终端可以是任何方式链接互联网的任何设备,可以是位于不同于该公司局域网的一个内部局域网内的内网终端,也可以是拥有独立IP的外网终端;③内网终端可以是该公司任一局域网中任何一台内网终端,内网终端包括并不限于计算机、平板、路由器和智能电视等。
本实施例的应用场景若使用传统VPN解决方案,需要在局域网A、B、C中分别部署VPN服务器,用户终端与局域网A、B、C分别建立链接,才能同时访问A、B、C中的终端,缺点是部署代价高,建立链接较多;若使用代理转发,则需要为不同应用配置不同的转发端口和转发路径,配置复杂且不具备通用性。
使用本发明的方案,只需在该公司局域网A、B、C中任一台内网终端、用户终端、公网中转服务器之间按照实例1的流程建立用户客户端到用户服务端的反向透明桥接隧道,即可自由访问局域网A、B、C中任何终端。唯一需要增加的步骤是配置公司内网终端时,将该公司内网终端通往另外两个局域网的路由表添加到该内网终端的路由推送表,用户终端与该内网终端建立桥接隧道时,该内网终端会推送该路由表到用户终端,在用户终端建立到局域网A、B、C的路由转发服务,实现透明接入局域网A、B、C内网,达到内网穿透的效果。
图14示出了本发明实施例2的反向透明桥接隧道建立方法流程框图。如图14所示,该建立方法包括:
步骤S21,运行公司局域网B中的内网终端,该公司内网终端自行安装虚拟网卡驱动;
步骤S22,配置该公司内网终端名称、链接密码和预推送路由信息表(该路由表包含了局域网B中终端与局域网A、C中终端通信的路由信息)等信息,向公网中转服务器注册该公司局域网B中该内网终端名称和该内网终端所在网段等信息;
步骤S23,公网中转服务接收到该公司内网终端注册请求后,首先进行用户身份验证,若非法则拒绝注册,合法则同意注册,分配唯一识别码标识该公司内网终端,并将请求中的注册信息录入数据库,建立域名解析对应关系;
步骤S24,该公司内网终端建立网络桥接转发服务机制,并通过与公网中转服务器的链接,保持在线状态,监听公网中转服务发送的用户终端链接请求,做好与用户终端建立反向透明桥接隧道的准备工作;
步骤S25,运行用户终端,用户终端自行安装安全虚拟网卡驱动;
步骤S26,用户终端以局域网B内网终端名称为参数,向公网中转服务器发起访问该公司内网的链接请求;
步骤S27,公网中转服务器的域名解析模块通过该公司内网终端名称解析出该公司内网终端别码和内网网段信息,并判断该公司内网终端是否在线,若在线,则返回该公司内网终端识别码和内网网段信息,否则,返回该公司内网终端掉线的信息;
步骤S28,该用户终端接收返回的该公司局域网B内网终端识别码、内网网段和该内网终端推送过来的路由表等信息,修改该用户终端的路由表,添加通往该公司内网终端所在局域网B的路由信息,并将该公司内网终端推送过来的通向该公司局域网A、C的路由信息更新到该用户终端的路由表,建立链接该公司内网终端所在局域网B的透明桥接隧道;
步骤S29,该用户终端在公网中转服务器将该用户终端信息发送到该公司内网终端且该公司内网终端完成链路桥接配置后,完成反向透明桥接隧道的建立,透明接入公司内网终端所在局域网B,并使用局域网B通向局域网A、C的路由信息,实现与该公司局域网A、B、C中任何终端所有网络数据的自由转发,公网中转服务器只提供数据报文转发功能。
实施例3:同时穿透多个内网实现大局域网链接
图15示出了本发明的同时穿透多个内网实现大局域网链接的***框架。如图15所示,本发明实施例3提供的一种基于反向透明桥接的内网穿透***同时桥接多个内部局域网形成大局域网的方案,包括公网中转服务器和内部局域网A、B、C、D,其中内部局域网A、B、C、D都能够独立链接互联网。内网穿透过程如下:
首先,在4个内部局域网中均选择一个内网终端,这个内网终端既可以作为用户客户端、又可以作为用户服务端,将内部局域网A中内网终端A作为用户客户端按照实例1的步骤,分别与局域网B、C、D建立反向透明桥接隧道链路,同时桥接A、B、C三个局域网;按照此方法,依次在局域网B的内网终端B、局域网C的内网终端C、局域网D的内网终端D,实现对其他三个局域网的桥接,并交换路由信息,形成4个局域网的全局路由表,实现四个局域网通过6条双向反向透明桥接隧道桥接形成一个大局域网。
应用条件:①内部局域网A、B、C、D属于4个独立的内部局域网,可能属于一个公司,也可能属于多个公司,在没有做网络地址转换的内网终端之间都不能进行直接通信;②作为用户服务端、用户客户端的终端,可以是内部局域网A、B、C、D中的任何一台内网终端,内网终端包括并不限于计算机、平板、路由器和智能电视等;③为应对形成大局域网后数据转发瓶颈,公网中转服务可以部署多台,也可以形成集群,均衡大量数据转发的压力。
传统内网穿透方案无法实现该方案设计。因本发明的内网穿透方案工作于网络层以下,通过路由和重新封装数据包建立反向透明桥接隧道实现数据报文的收发,能够以极低的代价实现该类应用场景。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于反向透明桥接的内网穿透***,包括:用户客户端、公网中转服务器、及用户服务端;其特征在于,
用户客户端,用于主动发起远程接入用户服务端所在的内部局域网的链接请求,并处理本地网络数据报文的收发;用户客户端包括路由表模块、虚拟网卡模块、及通信协议模块;其中,
路由表模块,用于基于接收到公网中转服务器返回给用户客户端的信息,修改本地路由表,配置通信数据报文的路由服务;
虚拟网卡模块,用于当路由表模块完成路由配置后,根据路由配置和通信数据报文的目标地址,将用户客户端与用户服务端之间的通信数据报文按照通信协议模块设置的私有通信协议进行封装和解封,发送和接收通信数据报文;
通信协议模块,设置用于用户客户端和用户服务端双方实体之间完成通信或服务所必须遵循的规则和约定的私有通信协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,及从数据链路层到网络层的数据报文传输和寻址;
公网中转服务器,用于在用户客户端和用户服务端之间建立反向透明桥接隧道;公网中转服务器包括:数据转发模块、域名解析模块、及点对点服务模块;其中,
数据转发模块,用于用户客户端和用户服务端通信过程中的数据转发;
域名解析模块,用于解析用户服务端名称与其对应内网属性的对应关系;建立和维护用户服务端名称与用户服务端唯一识别码之间映射关系的数据库;
点对点服务模块,用于在用户客户端和用户服务端之间建立点对点通信链接;
用户服务端,为一个内部局域网的内网终端,用于响应于接收到所述用户客户端的链接请求实现与所述用户客户端之间的通信数据报文的接收和发送,或该用户服务端所在局域网的内网终端通过该用户服务端与所述用户客户端之间的通信数据报文的接收和发送;用户服务端包括:通信协议模块、虚拟网卡模块、网络地址转换模块;其中,
通信协议模块,设置与用户客户端的通信协议模块相同的私有通信协议,用于用户客户端和用户服务端之间通信数据报文的封装和解封,及从数据链路层到网络层的数据报文传输和寻址;
虚拟网卡模块,用于处理用户服务端所在的内部局域网的所有内网终端与用户客户端的通信数据,根据本地路由配置和通信数据报文的目标地址,将用户服务端与用户客户端的通信数据报文按照通信协议模块设置的私有协议进行封装和解封,发送和接收通信数据报文;
网络地址转换模块,用于用户服务端所在的内部局域网内的所有内网终端与用户客户端通信数据报文的地址转换,将基于标准TCP/IP协议的通信数据报文转换成通信协议模块设置的私有协议支持的通信数据报文。
2.如权利要求1所述的基于反向透明桥接的内网穿透***,其特征在于:用户客户端为具有独立IPV4地址的联网设备,或为一个与用户服务端所在的内部局域网不能直接通信的一个内部局域网的内网终端。
3.如权利要求1或2所述的基于反向透明桥接的内网穿透***,其特征在于:用户客户端接收到的公网中转服务器返回给用户客户端的信息包括:用户服务端唯一识别码、用户服务端所在局域网的内网网段;
如用户服务端所在的内部局域网可与其他内部局域网进行通信,则公网中转服务器返回给用户客户端的信息还包含路由信息表;该路由信息表是用户服务端与其他内部局域网通信的路由表。
4.如权利要求1所述的基于反向透明桥接的内网穿透***,其特征在于:当用户客户端和用户服务端所处的网络环境支持点对点通信链接时,点对点服务模块协商用户客户端和用户服务端之间通过点对点通信方式直接建立桥接隧道,之后用户客户端和用户服务端之间的通信数据不再经过数据转发模块的转发,而直接通信;若用户客户端和用户服务端所处的网络环境不支持点对点通信链接,则通过数据转发模块建立桥接隧道。
5.如权利要求1所述的基于反向透明桥接的内网穿透***,其特征在于:公网中转服务器,还包括用户认证模块,用于在接收到用户客户端发起的通信请求时对用户客户端进行身份认证,确定用户客户端身份是否合法;用于在用户服务端提出注册请求时,对用户服务端的身份进行认证,确定用户服务端的身份是否合法。
6.一种反向透明桥接隧道建立方法,其特征在于,该方法包括:
步骤A1:用户服务端向公网中转服务器请求注册用户服务端所在的内部局域网信息;
用户服务端包括通信协议模块,在该通信协议模块中配置有私有通信协议;
步骤A2:公网中转服务器接收到用户服务端的注册请求后,对通过用户身份认证的用户服务端同意注册请求,并分配唯一识别码(ID)标识该用户服务端,并将注册请求中的注册信息录入数据库,建立域名解析对应关系;
步骤A3:用户客户端向公网中转服务器发起桥接用户服务端请求;
用户客户端的通信协议模块与用户服务端的通信协议模块配置有相同的私有通信协议;
步骤A4,当待连接的用户服务端名称已经在公网中转服务器中注册且在线时,公网中转服务器将对应的用户服务端信息返回给用户客户端;
步骤A5,用户客户端利用公网中转服务器返回的用户服务端信息,配置本地路由服务,修改路由表,配置通信数据报文转发接口;
步骤A6,用户服务端接收到公网中转服务器转发的用户客户端信息后,接收用户客户端桥接请求,基于接收到的用户客户端信息更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
步骤A7,用户客户端与用户服务端采用私有通信协议建立直接通信,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
7.一种反向透明桥接隧道建立方法,应用于用户服务端,其特征在于,该方法包括:
步骤B1,运行用户服务端,安装用户服务端的虚拟网卡驱动;
用户服务端包括通信协议模块,在该通信协议模块中配置有私有通信协议;
步骤B2,配置用户服务端名称和链接密码信息,向公网中转服务器注册用户服务端名称和内网网段信息;
步骤B3,公网中转服务器给用户服务端分配用户服务端唯一识别码(ID),并将用户服务端名称和用户服务端所在的内部局域网的网段信息录入数据库,与用户服务端建立反向透明桥接转发服务;
其中,在该数据库中存储用户服务端名称与用户服务端唯一识别码之间的映射关系;
步骤B4,用户服务端通过与公网中转服务器的链接,保持在线状态,监听公网中转服务器发送的用户客户端链接请求,当用户服务端接收到公网中转服务器转发的用户客户端信息后,接收用户客户端桥接请求,基于接收到的用户客户端信息更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
其中,用户客户端的通信协议模块与用户服务端的通信协议模块配置有相同的私有通信协议;
步骤B5,用户服务端与用户客户端采用私有通信协议、通过点对点的方式建立通信链路,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
8.一种反向透明桥接隧道建立方法,应用于用户客户端,其特征在于,该方法包括:
步骤C1,运行用户客户端,安装配置用户客户端虚拟网卡驱动;
用户客户端包括通信协议模块,该通信协议模块中配置私有通信协议;
步骤C2,用户客户端向公网中转服务器发起桥接用户服务端请求;
用户服务端的通信协议模块与用户客户端的通信协议模块配置有相同的私有通信协议;
步骤C3,公网中转服务器的域名解析模块解析出用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,当用户服务端在线时,向用户客户端返回用户服务端识别码和用户服务端所在的内部局域网的内网网段信息;
步骤C4,用户客户端接收返回的用户服务端识别码和用户服务端所在的内部局域网的内网网段信息,基于接收到的所述用户服务端识别码和所述内网网段信息修改用户客户端路由表,添加与用户服务端所在内部局域网通信的路由信息;
步骤C5,用户服务端基于接收到的用户客户端桥接请求,更新本地路由表,配置通向用户客户端通信数据报文的转发接口的通信链路;
步骤C6,用户客户端与用户服务端采用私有通信协议、通过点对点的方式建立通信链路,或经用户服务端将私有通信协议转换成TCP/IP协议通信数据报文后,通过内网交换机与用户服务端所在内部局域网的其他内网终端通信。
9.如权利要求6-8任一项所述的反向透明桥接隧道建立方法,其特征在于,如用户服务端所在的内部局域网可与其他内部局域网进行直接通信,则公网中转服务器返回给用户客户端的信息还包含路由信息表;该路由信息表是用户服务端与其他内部局域网通信的路由表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311676857.0A CN117439815B (zh) | 2023-12-08 | 2023-12-08 | 一种基于反向透明桥接的内网穿透***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311676857.0A CN117439815B (zh) | 2023-12-08 | 2023-12-08 | 一种基于反向透明桥接的内网穿透***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117439815A CN117439815A (zh) | 2024-01-23 |
CN117439815B true CN117439815B (zh) | 2024-03-19 |
Family
ID=89553607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311676857.0A Active CN117439815B (zh) | 2023-12-08 | 2023-12-08 | 一种基于反向透明桥接的内网穿透***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117439815B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368809A (zh) * | 2013-07-06 | 2013-10-23 | 马钢(集团)控股有限公司 | 一种互联网反向穿透隧道的实现方法 |
CN103957287A (zh) * | 2014-04-25 | 2014-07-30 | 浙江大学城市学院 | 一种基于nat穿透适配器的物联网设备p2p连接方法 |
CN107786536A (zh) * | 2017-09-11 | 2018-03-09 | 成都阜特科技股份有限公司 | 一种tcp反向端口穿透方法及其*** |
CN108123912A (zh) * | 2016-11-28 | 2018-06-05 | 央视国际网络无锡有限公司 | 一种支持p2p的微服务*** |
CN110311894A (zh) * | 2019-05-24 | 2019-10-08 | 帷幄匠心科技(杭州)有限公司 | 一种局域网内部动态穿透的方法 |
CN110611724A (zh) * | 2018-06-15 | 2019-12-24 | 上海仪电(集团)有限公司中央研究院 | 一种基于反向代理的物联网网关内网穿透方法 |
CN116436891A (zh) * | 2023-03-07 | 2023-07-14 | 中国电子科技南湖研究院 | 一种内网穿透*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL309988A (en) * | 2021-07-26 | 2024-03-01 | Bright Data Ltd | Emulation of a web browser in a dedicated relay unit |
-
2023
- 2023-12-08 CN CN202311676857.0A patent/CN117439815B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368809A (zh) * | 2013-07-06 | 2013-10-23 | 马钢(集团)控股有限公司 | 一种互联网反向穿透隧道的实现方法 |
CN103957287A (zh) * | 2014-04-25 | 2014-07-30 | 浙江大学城市学院 | 一种基于nat穿透适配器的物联网设备p2p连接方法 |
CN108123912A (zh) * | 2016-11-28 | 2018-06-05 | 央视国际网络无锡有限公司 | 一种支持p2p的微服务*** |
CN107786536A (zh) * | 2017-09-11 | 2018-03-09 | 成都阜特科技股份有限公司 | 一种tcp反向端口穿透方法及其*** |
CN110611724A (zh) * | 2018-06-15 | 2019-12-24 | 上海仪电(集团)有限公司中央研究院 | 一种基于反向代理的物联网网关内网穿透方法 |
CN110311894A (zh) * | 2019-05-24 | 2019-10-08 | 帷幄匠心科技(杭州)有限公司 | 一种局域网内部动态穿透的方法 |
CN116436891A (zh) * | 2023-03-07 | 2023-07-14 | 中国电子科技南湖研究院 | 一种内网穿透*** |
Also Published As
Publication number | Publication date |
---|---|
CN117439815A (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10079803B2 (en) | Peer-to-peer connection establishment using TURN | |
US7716369B2 (en) | Data transmission system with a mechanism enabling any application to run transparently over a network address translation device | |
EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
US7159242B2 (en) | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT | |
US8396954B2 (en) | Routing and service performance management in an application acceleration environment | |
US8265069B2 (en) | System, terminal, method, and computer program product for establishing a transport-level connection with a server located behind a network address translator and/or firewall | |
US7769871B2 (en) | Technique for sending bi-directional messages through uni-directional systems | |
US20020038371A1 (en) | Communication method and system | |
US20040148439A1 (en) | Apparatus and method for peer to peer network connectivty | |
RU2543304C2 (ru) | Способ и устройство, для ретрансляции пакетов | |
JP2007521741A (ja) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 | |
WO2010127610A1 (zh) | 一种虚拟专用网节点信息的处理方法、设备及*** | |
US20140123267A1 (en) | Method and system for tcp turn operation behind a restrictive firewall | |
WO2011032447A1 (zh) | 新网与互联网互通的实现方法、***及通信端 | |
WO2007019809A1 (fr) | Procede et systeme d'etablissement d'un canal direct point par point | |
US9088542B2 (en) | Firewall traversal driven by proximity | |
CA2884382C (en) | Method and system for tcp turn operation behind a restrictive firewall | |
Henderson et al. | The Host Identity Protocol (HIP) Experiment Report | |
CN117439815B (zh) | 一种基于反向透明桥接的内网穿透***及方法 | |
US7275262B1 (en) | Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment | |
JP2019050628A5 (zh) | ||
KR101996588B1 (ko) | Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 | |
CN116436731B (zh) | 一种多内网二层数据流通信方法 | |
KR20170111305A (ko) | 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템 | |
CN115694849A (zh) | 一种p2p内网穿透vpn的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |