[发明专利]使用本地IP地址和不可转换端口地址的局域网的网络地址转换网关

说明书

使用TCP/IP的虚拟专用网(VPN)，使用互联网作为通信媒体，能够确保远端计算站点之间的安全、高速通信。通过各种安全措施互联网在各站点之间进行传递的信息可以保护不被不希望的偷听者或恶意的黑客拦截。有效的安全措施必须，以最小化的方式把确保一些或所有的如下保护的功能合并：在传送期间防止数据的无意的或恶意的修改保证数据完整；防止通过使用反对重复措施的反对业务的攻击；源验证；在传送期间源地址和其他报头信息的机密性；以及对不受不希望的拦截的分组有效载荷保护。用于提供互联网安全的一种标准模式是互联网协议安全组，IPSec。IPSec与TCP/IP通信协议一起工作以便在接入互联网或接入专用LAN(局域网)的装置之间提供安全的通信，其中该专用LAN它们本身接入了互联网。

TCP/IP(传输控制协议/互联网协议)协议组使用IP地址来识别网络上的每个装置。一个全球的IP地址唯一地识别互联网上的一个装置。这样的装置可以是计算机、打印机、路由器、切换器、网关或者其他网络装置。具有全球IP地址的装置可以直接被表示为互联网上的资源或者目的地。然而，TCP/IP通信协议，不是专门局限于互联网，而是同样可以用在专用LAN上。使用TCP/IP的专用LAN对于网络设备频繁地使用“本地”IP地址。虽然在一个专用LAN上任何两个装置不可分享同一个本地IP地址，但是专用LAN从互联网中分离，并且从互联网上看不见LAN上的本地装置。因此本地装置的IP地址不需要是“全球”唯一的。使用本地IP地址的LAN将通过网关连接到互联网上，网关是可以在LAN和互联网之间过滤或者路由信息的装置。由于网关直接接入互联网，并且可以看见它，所以网关必须具有一个用于通过互联网通信的全球唯一的IP地址。然而，由于从互联网上不能直接看见LAN，所以LAN上的本地机器不需要全球唯一的IP地址。

TCP/IP是使用在互联网上的通信协议。使用TCP/IP进行通信的信息包含在“数据报”中。一个数据报由信息的不连续“分组”组成，一个或多个报头被附加到该信息的不连续“分组”中。报头包括TCP/IP所需要的信息以便把该分组引导到其所希望的目的地去并且在传输期间确保它的恰当的处理。每个数据报是分别可寻址的，并且可以是一个定向连接(connection-oriented)TCP数据报或者一个“无连接”UDP(用户数据报协议)数据报。每个UDP数据报包括一个IP报头和一个UDP报头。IP报头包括至少一个“资源”IP地址和一个“目标”IP地址，同时UDP报头包括资源和目标服务地址(端口地址，被作为编号给出)。在IPv4中，IP地址长度为32位，并且与现在所熟悉的xxx.xxx.xxx.xxx的格式相关联。在这种格式中，每个三个数字的段是一个表示0到255之间的数字的二进制的八位位组(binary octet)。一个完整的IP地质把逻辑网络或者网络段的地质与网络上的“节点”(装置)的地址结合。网络或者网络段的地址可以包括IP地址的开头的3、6或9位。网络或网络段上的一个装置通过一个由在该网络或网络段地址中未使用的那些剩余的位数构成的节点地址来识别。

包含在UDP报头中的源和目标装置业务地址是16位的数字，即通常所指的“端口”或“插口”，它们被用来把分组引导到在发送或接收装置上激活的所希望的程序上。在此使用的术语“端口”，或“插口地址”，是指UDP报头中的装置地址。虽然理论上端口数与以16位数字形式的地址一样多，但是按照惯例已经把许多端口地址存储用于已建立的程序。因此，例如，端口80被存储用于HTTP，而端口20和21被存储用于FTP。虽然端口地址被使用，但是在运行多个过程的本地机器处到达的数据将被引导到它所希望的程序中去。在本地主机上运行的一个程序不是一个已存储的程序，则该本地主体可以从集中的未存储的端口号中选择以便识别该“源”程序。表示“目标”字段中的端口号的一个应答分组将被引导到该程序。

随着在过去十年期间互联网使用的蓬勃发展，以及将来它的计划发展，全球唯一的IP地址已经变成了一种短缺资源。另外，保持专用LAN的许多商业活动很少需要或者不需要LAN上的每个计算机或装置都拥有一个全球唯一的IP地址。许多专用LAN不是通过给每个本地装置一个全球唯一的IP地址而浪费有限的全球资源，而是对该LAN上的装置应用本地IP地址。为了提供对互联网的连接，这样的LAN将使用由把LAN和互联网分开来的网关在互联网上使用的仅仅一个全球唯一地址。