广域网下实现NAT穿透的方法及系统

摘要

本发明提供一种广域网下实现NAT穿透的方法及系统，至少一台终端、一支持DMZ的网络设备以及一主机，还包括一中继设备，在网络设备上开启DMZ技术，将DMZ主机的IP配置指向所述中继设备；在中继设备上安装基于NAT网络地址映射技术原理的端口映射程序，所述端口映射程序根据用户配置生成端口映射规则。本发明通过中继设备端口映射程序生成的端口映射规则将上层协议的数据报文原封不同的转发给主机或NAT环境下的终端，从而实现了通信协议的透明，主机与终端之间能够全双工通信。本发明能够在不改造原有软件所采用的通信协议及基础网络硬件环境的情况下，很好地拓扩网络通信范围，最终实现区域内外的统一管理。

主权项

一种广域网下实现NAT穿透的方法，所述方法提供至少一台终端、一支持DMZ的网络设备以及一主机，其特征在于：还提供一中继设备，所述中继设备作为旁路设备，仅与所述网络设备相连，所述中继设备上安装有基于NAT网络地址映射技术原理的端口映射程序，所述终端和所述中继设备设于广域网NAT环境下，所述方法包括如下步骤：步骤1、在网络设备上开启DMZ技术，并配置DMZ主机的IP地址，将DMZ主机的IP配置指向所述中继设备；步骤2、启动所述中继设备，所述端口映射程序根据用户配置生成端口映射规则；所述端口映射规则定期发送至所述主机，其发送周期由用户设定；步骤3、根据端口映射规则将所述中继设备与各终端IP地址进行绑定，所述中继设备在通信端口进行数据报文监听;将位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求，或将所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求；所述主机和终端间为全双工的通信方式；步骤4、若位于广域网NAT环境下的终端作为通信发起端向所述主机发送数据报文请求，首先终端将数据报文发送给网络设备，所述网络设备根据内置的DMZ映射规则，将数据报文转发到所述中继设备，所述中继设备依据端口映射规则将数据报文转发给所述主机；所述主机收到数据报文进行处理后，若需返回处理结果，则所述主机作为通信发起端按步骤5的方式返回处理结果；步骤5、若所述主机作为通信发起端向位于广域网NAT环境下的终端发送数据报文请求，首先查询所述端口映射规则，指定接收数据报文的终端，然后将数据报文发送至该终端对应的网络设备端口，所述网络设备根据内置的DMZ映射规则，将数据报文原封不动地转发到所述中继设备端口，所述中继设备端口的端口号与网络设备端口的端口号相同，所述中继设备依据端口映射规则将数据报文转发给指定的终端；所述指定的终端收到数据报文进行处理后，若需返回处理结果，则所述指定的终端作为通信发起端按步骤4 的方式返回处理结果。