一种私网内用户通过域名访问私网内服务器的方法

1.一种私网内用户通过域名访问本私网内服务器的方法，其特征在于，包括：
步骤1、在私网与公网连接的设备上至少启用环回接口及地址转换，并为该私网内服务器设置静态地址转换；
步骤2、当私网内用户通过域名访问私网内服务器时，位于公网上的域名服务器将该域名解析为该私网内服务器的公网IP地址；
私网内用户向该公网IP地址发送报文，当上述私网与公网连接的设备接收到私网内用户发送的报文时，所述设备将该报文的源IP地址转换为公网IP地址并判断该报文的目的IP地址是否为私网内服务器对应的公网IP地址，如果是则进入步骤3，否则步骤结束；
步骤3、将该报文发送至环回接口，该环回接口将该报文向私网内转发，发送至该私网内服务器。
2.根据权利要求1所述的一种私网内用户通过域名访问本私网内服务器的方法，其特征在于，所述方法还包括：
在上述私网与公网连接的设备上启用策略路由。
3.根据权利要求1所述的一种私网内用户通过域名访问本私网内服务器的方法，其特征在于，所述方法还包括：
在上述私网与公网连接的设备上启用访问控制列表。
4.根据权利要求1或2或3所述的一种私网内用户通过域名访问本私网内服务器的方法，其特征在于，上述步骤3具体为：
步骤31、将上述报文转发到环回接口；
步骤32、该环回接口接收到该报文后，将该报文向私网内转发；
步骤33、将该报文的源IP地址和目的IP地址转换为对应的私网IP地址；
步骤34、将该报文发送到私网内服务器。
5.根据权利要求1所述的一种私网内用户通过域名访问本私网内服务器的方法，其特征在于，所述方法还包括：
步骤4、私网内服务器通过上述私网与公网连接的设备向该私网内用户返回报文，该私网与公网连接的设备接收到该返回报文后，将该报文的源IP地址使用静态地址转换，转换为该私网内服务器对应的公网IP地址，将该返回报文发送到环回接口；
步骤5、该环回接口将该返回报文向私网内转发；
步骤6、将该返回报文的源IP地址和目的IP地址转换为对应的私网IP地址；
步骤7、该返回报文发送至该私网内用户。

一种私网内用户通过域名访问私网内服务器的方法\n技术领域\n[0001] 本发明涉及一种访问私网内服务器的方法，特别是涉及一种私网内用户通过域名访问私网内服务器的方法。\n背景技术\n[0002] 域名服务器(Domain Name Server，以下简称DNS)是互联网上至关重要的一环。\n由于互联网上的计算机只认识IP地址，但是记录一长串IP地址对于普通人来说是非常困难的，而记录域名则相对简单很多，因此设置了提供将域名转换为IP地址的DNS解析。\n[0003] 如果外网用户想要访问私网中的服务器，由于私网中没有可以在互联网上使用的公网IP，则必须通过放置在公网上的DNS服务器将用户输入的域名进行解析，如果能够解析出相应的服务器的地址(公网IP地址)，用户才能访问该服务器，否则不能。目前，Internet用户都可以从DNS服务器解析到私网内服务器的地址并从外部访问企业私网内服务器。但是如果内部用户需要通过域名访问私网内服务器，则企业还需要在内部设置DNS域名服务器，否则内部用户不能像Internet用户通过统一的域名访问私网内服务器，而只能通过私网IP地址来访问，这给内部用户的访问带来诸多不便。在企业内部设置DNS域名服务器不仅需要考虑成本因素，而且组网方式也变得复杂；另一方面，如果不用域名访问私网内服务器而用用IP地址访问，不如域名方便记忆和识别，这就好比叫一个人的名字比叫身份证号码方便，用户的可操作性也不强，不具有访问统一性，而且私网IP地址隐蔽性差，容易受内部用户的攻击。\n发明内容\n[0004] 针对现有技术中存在的缺陷和不足，本发明的目的是提出一种私网内用户通过域名访问私网内服务器的方法，使私网内不需要另行架设DNS服务器，且用户可以通过域名访问该私网内服务器。\n[0005] 为了达到上述目的，本发明提出了一种私网内用户通过域名访问本私网内服务器的方法，包括：\n[0006] 步骤1、在私网与公网连接的设备上至少启用环回接口及地址转换，并为该私网内服务器设置静态地址转换；\n[0007] 步骤2、当上述私网与公网连接的设备接收到私网内用户发送的报文时，判断该报文的目的IP地址是否为私网内服务器对应的公网IP地址，如果是则进入步骤3，否则步骤结束；\n[0008] 步骤3、将该报文发送至环回接口，该环回接口将该报文向私网内转发，发送至该私网内服务器。\n[0009] 其中，所述方法可以包括：\n[0010] 在上述私网与公网连接的设备上启用策略路由。\n[0011] 其中，所述方法还可以包括：\n[0012] 在上述私网与公网连接的设备上启用访问控制列表。\n[0013] 其中，上述步骤3具体为：\n[0014] 步骤31、上述私网与公网连接的设备将该报文的源IP地址进行网络地址转换，转换为公网IP地址，并将该报文转发到环回接口；\n[0015] 步骤32、该环回接口接收到该报文后，将该报文返回发送该报文的接口；\n[0016] 步骤33、将该报文的源IP地址和目的IP地址转换为对应的私网IP地址；\n[0017] 步骤34、发送该报文的接口将该报文发送到私网内服务器。\n[0018] 其中，所述方法还包括：\n[0019] 步骤4、私网内服务器通过上述私网与公网连接的设备向该私网内用户返回报文，该私网与公网连接的设备接收到该返回报文后，将该报文的源IP地址使用静态地址转换，转换为该私网内服务器对应的公网IP地址；\n[0020] 步骤5、该环回接口将该返回报文向私网内转发；\n[0021] 步骤6、将该返回报文的源IP地址和目的IP地址转换为对应的私网IP地址；\n[0022] 步骤7、该返回报文发送至该私网内用户。\n[0023] 本发明提出了一种私网内用户通过域名访问私网内服务器的方法。现有技术中如果私网内用户要访问私网内服务器时，必须在私网内设置DNS服务器，或者私网内用户直接使用私网IP地址访问该私网内服务器，这样会造成组网成本提高或用户使用不便。本发明通过在私网与公网连接的设备上启用环回接口，并在收到报文时判断该报文的目的IP地址是否为该私网内服务器的IP地址，如果是则将该报文发送到环回接口，环回接口将该报文直接返回私网内。采用上述方法，通过使用环回接口，使私网内用户访问私网服务器时的报文直接返回私网，企业不需要在内部设置DNS域名服务器而内部用户仍可以通过域名访问私网内服务器的方法，采用了新颖而成熟的数据处理方式，因此取得了技术和安全上的进步，达到了方便企业内部用户访问私网内服务器的效果，降低了组网的复杂性，节省了设备投资，减少了网络带宽的占用，提高了访问灵活性、稳定性和网络安全性等等。\n由于本发明所述的企业不需要在内部设置DNS域名服务器，因而具有配置简单、识记方便、操作统一、运行稳定和安全可靠等优点。同时，在现有网络中应用该方法不需要对网络进行硬件改造。 同时，本发明采用的是成熟的现有技术，网络地址转换(Network Address Translation，以下简称NAT)是三层设备中非常常见的技术，应用于公网IP资源不足的网络，即除了与Internet连接的接口外，所有设备都配置私网IP地址，在私网内通讯时全部使用私网IP地址，即数据包的源和目的IP地址都使用私网IP；当与Internet通讯时，将有限的公网IP设置为一个IP地址池，将每一数据包的源IP地址(私网IP)转换为IP地址池中的公网IP，以解决无法为网内每一用户配置一个公网IP的困境。静态NAT，是指对于私网内重要的设备，设置固定的NAT，即该设备的私网IP固定地对应一个公网IP。环回接口也是一个成熟的技术，该接口为一虚拟接口，不需要硬件设备，该接口的功能即为将所有接收到的数据包直接发送回私网内。\n附图说明\n[0024] 图1为应用本发明方法的硬件结构示意图；\n[0025] 图2为本发明提出的方法的流程图；\n[0026] 图3为本发明提出的方法中用户向服务器发送报文时的步骤优选实施例流程图；\n[0027] 图4为本发明提出的方法中服务器向用户返回报文时的步骤优选实施例流程图。\n具体实施方式\n[0028] 下面结合附图对本发明做进一步说明。\n[0029] 实现本发明的网络结构如图1所示，在本实施例中，私网与公网连接的设备使用的是路由器R，当然本领域内技术人员可以理解使用其它三层设备如三层交换机也可以实现该功能。在本实施例中，企业内部至少包括以下设备：主机PC、私网内服务器SERVER、交换机和路由器R，而域名服务器在企业外部Internet上。内部主机PC和私网内服务器SERVER通过设备(本实施例中采用的是交换机)连接到路由器R的接口1，路由器R的接口\n2连接到外部Internet，并能访问域名服务器。在路由器R上应用的主要功能至少包括：网络地址转换NAT和环回接口loopback；其中该网络地址转换为私网内服务器配置静态地址转换。环回接口和接口1上至少配置：绑定策略路由或者访问控制列表ACL，设置入方向的网络地址转换属性；接口2和环回接口loopback至少配置有：设置出方向的网络地址转换属性。loopback环回接口是一个虚接口，不同于实接口，因此不需使用板卡，该接口的作用是将收到的报文向企业内部网络转发。其中环回接口loopback的IP地址为172.40.10.1，接口1的IP地址为192.168.88.200。该私网内服务器的私网IP为192.168.88.2，静态地址转换对应的公网IP为172.40.10.2，动态网络地址转换地址池为172.40.10.10～\n172.40.10.20。\n[0030] 为了提高网络的安全性，还可以在路由器R上启用访问控制列表ACL，访问控制列表功能主要应用于上述策略路由和网络地址转换。\n[0031] 本发明提出的一种私网内用户通过域名访问私网内服务器的方法优选实施例包括：\n[0032] 步骤(1)、在私网与公网连接的设备(本实施例中是如图1所示的路由器R)上至少启用地址转换(NAT)及环回接口(loopback)，且为私网内服务器配置静态地址转换；环回接口是一个虚拟接口，不需要实际硬件，该环回接口的功能是将接收到的数据包转发回发送的接口；\n[0033] 步骤(2)、当私网内用户通过域名访问私网内服务器时，位于公网上的域名服务器将该域名解析为该私网内服务器的公网IP地址；\n[0034] 步骤(3)、私网内用户向该公网IP发送报文；\n[0035] 步骤(4)、该报文发送到接口1，接口1具有入方向的NAT，将该报文的源IP地址转换为公网IP地址；\n[0036] 步骤(5)、上述路由器R接收到报文时，判断该报文的目的IP地址是否为私网内服务器对应的公网IP地址，如果是则将进入步骤(6)，否则步骤结束；\n[0037] 步骤(6)、将该报文发送到环回接口；\n[0038] 步骤(7)、环回接口将该报文向私网内转发，报文被返回接口1；并将该报文的源IP地址和目的IP地址转换为对应的私网IP地址；\n[0039] 步骤(8)、该报文被转发回私网内，发送到私网内服务器。\n[0040] 其中，上述步骤(5)中，该路由器R判断的方法可以为：\n[0041] 策略路由，即在环回接口上绑定策略路由，该策略路由可以根据目的IP地址设置不同的路由，即当该报文发送到路由器R时，读取该报文的目的IP地址；当目的IP地址为私网内服务器对应的公网IP地址时，将该报文发送至环回接口，并由环回接口将该报文返回私网内；当目的IP地址为其他IP地址时，按照现有技术中数据发送的方法，将该报文发送至其它接口，例如图1中所示的接口2。\n[0042] 访问控制列表，即在如图1所示的环回接口上启用访问控制列表，当报文发送到路由器R时，路由器R将该报文向所有的接口转发，环回接口的ACL设置为只允许目的IP地址为私网内服务器对应的公网IP地址的报文通过，其它IP地址不允许通过。这样只有目的IP地址私网内服务器对应的公网IP地址的报文可以进入环回接口，并由该环回接口转发回私网内。同时，为了节省网络资源，可以在接口2上启用ACL，该ACL不允许目的IP地址为私网内服务器对应的公网IP地址的报文通过。\n[0043] 其中，为了提高网络的安全性，可以在启用策略路由的同时还在该路由器R上再启用访问控制列表(ACL)，在报文到达路由器R时进行ACL检查，只有当源IP地址和目的IP地址都符合ACL设置时允许该报文通过，以提高私网IP地址的隐蔽性，防止内部用户的攻击。\n[0044] 其中，网络地址转换(NAT)的设置方法可以有多种，该技术为成熟的现有技术，在此不一一赘述。\n[0045] 下面以路由器上使用策略路由为例，对本发明进行进一步说明。该优选实施例的流程如图2所示，包括：\n[0046] 第一步，内部某主机通过域名访问某服务器，经过域名服务器DNS解析，得到该服务器的公网IP地址，该主机发出的报文就是以该主机私网IP地址为源IP地址，以该公网IP地址为目的IP地址的数据流；\n[0047] 第二步，报文到达路由器R的接口1，接口1具有入方向的NAT；\n[0048] 第三步，因为接口1上绑定了策略路由，若该报文的源和目的IP地址都通过ACL检查，则策略路由生效，该主机为PC，服务器为私网内服务器，转向第四步，反之，策略路由不生效，该用户访问Internet上的服务器，转向第九步；\n[0049] 第四步，该策略路由预设为下一跳为loopback环回接口；\n[0050] 第五步，该对该报文的源和目的IP地址都通过ACL检查，如果通过则进入第六步，否则丢弃该报文，步骤结束；\n[0051] 第六步，因为接口1和loopback环回接口分别具有入方向和出方向的网络地址转换属性，将该报文的源IP地址转换为对应的公网IP地址；在本实施例中该报文的将源IP地址为192.168.88.1，通过动态网络地址转换规则转换成地址池172.40.10.10～\n172.40.10.20中的某个地址，如172.40.10.10；根据预设的策略路由，该报文被发送到环回接口，环回接口将该报文返回接口1；\n[0052] 第七步，由于接口1具有入方向的网络地址转换，将该报文的源IP地址再转换为私网IP地址192.168.88.1；\n[0053] 第八步，所以将私网内服务器的公网IP地址172.40.10.2转换成私网IP地址\n192.168.88.2，报文的源和目的IP都是私网IP了，报文可以使用成熟的TCP/IP协议在私网内传输，最后到达私网内服务器，步骤结束；\n[0054] 第九步，报文将按照正常的路由进行转发，报文到达接口2，因为接口1和接口2上分别具有入方向和出方向的网络地址转换属性，所以将源IP地址通过动态网络地址转换规则转换成地址池172.40.10.11～172.40.10.20中的某个地址，如172.40.10.11，报文到达外部Internet。\n[0055] 其中第九步为现有技术，不是本发明关心的要点。\n[0056] 其中，网络地址转换的原理为：当一个网络只有几个公网IP地址时，如果有多个用户都需要同时访问Internet时则无法分配。为了解决公网IP地址数量不足的问题，在三层设备上涉及了NAT功能，即多个用户均采用私网IP地址，而将有限的公网IP地址作为IP地址池。当用户需要访问Internet时，源IP地址是一个私网IP地址。当该数据包到达三层设备时，该设备从IP地址池中选取一个公网IP地址，并将该数据包的源IP地址更换为该公网IP地址，然后向Internet发送。但是这样就会出现多个私网用户使用同一个公网IP地址的情况，为了保证返回的数据能够正确的到达私网内用户，因此设置了端口号以区分使用同一公网IP地址的多个私网用户。例如172.40.10.11：12345，前面使用公网IP地址，后面添加一个五位的端口号，不同的私网IP地址或不同的业务对应不同的端口号。\n这样就可以使同一公网IP地址对应多个私网用户，当三层设备收到Internet返回报文时，根据该返回报文的目的IP地址的端口号，就可以知道该公网IP地址对应的私网IP地址，并进行NAT，将公网IP地址正确的转换成对应的私网IP地址，确保数据包返回到正确的用户。\n[0057] 当私网内服务器向该私网内用户返回时步骤如图3所示，包括：\n[0058] 第1步，从私网内服务器发送的返回报文在到达接口1时，因为接口1上绑定了策略路由，返回报文的源和目的IP地址都通过ACL检查，策略路由生效；\n[0059] 第2步，策略路由预设的下一跳设置为环回接口；\n[0060] 第3步，该返回报文经过静态NAT，将源IP地址转换为公网IP，例如将源IP地址\n192.168.88.2转换为公网IP地址172.40.10.2，将该返回报文发送到环回接口；\n[0061] 第4步，环回接口将目的IP地址192.168.88.1通过动态网络地址转换规则转换成地址池172.40.10.10～172.40.10.20中的某个地址，如172.40.10.10；然后将该返回报文向私网内转发，发送到接口1；\n[0062] 第5步，接口1将返回报文的目的IP地址172.40.10.10转换成私网IP地址\n192.168.88.1，报文最后到达主机PC。\n[0063] 下面根据一个实例对本发明进行进一步说明。\n[0064] 假设企业的网络硬件部分由一台以上的主机、一台集线器或交换机、一台路由器、一台私网内服务器、一台位于公网上的域名服务器、百/千兆接口板和双绞线若干等组成，组网关系图如图1所示。\n[0065] 一、软件部分的处理步骤如下：\n[0066] 第1步：在路由器R上配置访问控制列表ACL，分别应用于动态网络地址转换和策略路由\n[0067] ip access-list extended 100\n[0068] rule 1 permit icmp 192.168.88.0 0.0.0.255 any\n[0069] ip access-list extended 101\n[0070] rule 1 permit icmp 192.168.88.1 0.0.0.0 172.40.10.2 0.0.0.0[0071] 第2步：在路由器R上配置策略路由PBR，使得内部访问私网内服务器的报文按照预置的路由进行转发\n[0072] route-map nat permit 10\n[0073] match ip address 101\n[0074] set ip next-hop 172.40.10.2\n[0075] 第3步：在路由器R上配置loopback环回接口，使得内部访问私网内服务器的报文能够向内部网络转发\n[0076] ip address 172.40.10.2 255.255.255.0\n[0077] 第4步：在路由器R上启用网络地址转换NAT并配置动态和静态网络地址转换规则\n[0078] a.启用NAT模块\n[0079] ip nat start\n[0080] b.动态网络地址转换规则，应用于内部用户访问Internet\n[0081] ip nat pool zte 172.40.10.10 172.40.10.20 prefix length 24[0082] ip nat inside source list 100 pool zte\n[0083] c.静态网络地址转换规则，应用于内部用户访问私网内服务器SERVER[0084] ip nat inside source static 192.168.88.2 172.40.10.2\n[0085] 第5步：在接口1，接口2和loopback环回接口上分别配置网络地址转换NAT属性，并在接口1上绑定策略路由：\n[0086] 接口1\n[0087] ip nat inside\n[0088] ip policy route-map nat\n[0089] 接口2\n[0090] ip nat outside\n[0091] loopback接口\n[0092] ip nat outside\n[0093] 二、从PC发送icmp报文至SERVER，得到网络地址转换条目信息\n[0094] 私网地址 公网地址\n[0095] 192.168.88.1————→172.40.10.10\n[0096] 192.168.88.1←————172.40.10.10\n[0097] 192.168.88.2←————172.40.10.2\n[0098] 三、从SERVER发送icmp报文至PC，得到网络地址转换条目信息\n[0099] 私网地址 公网地址\n[0100] 192.168.88.2————→172.40.10.2\n[0101] 192.168.88.1————→172.40.10.10\n[0102] 192.168.88.1←————172.40.10.10