[发明专利]使用双－NAT方法的虚拟专用网络(VPN)信息包级路由的动态系统和方法

权利要求书

1.一种使用双向-网络地址转换装置，用于虚拟专用网络信息包级路由的方法，其包括：

给客户虚拟专用网络节点上的至少一个客户提供主机存储在资源虚拟专用网络节点上的一个可用资源列表；

给资源虚拟专用网络节点上的至少一个资源分配客户虚拟专用网络节点上的一个本地(虚拟)IP地址；

由至少一个客户发起一个请求，请求资源虚拟专用网络节点上主机存储的可用资源列表中的至少一个资源，就像该至少一个资源相对于至少一个客户来说是本地的，并未暴露资源虚拟专用网络节点上可用资源列表的实际IP地址，其中与客户虚拟专用网络节点相连的客户动态虚拟专用网络(DVPN)网关将本地(实际)客户IP地址和本地(虚拟)资源IP地址转换成客户DVPN地址和资源DVPN地址；

通过一个安全连接，将具有客户DVPN地址和资源DVPN地址的请求信息包路由至与资源虚拟专用网络节点相连的资源动态虚拟专用网络(DVPN)网关；

将客户DVPN地址和资源DVPN地址转换成本地(虚拟)客户IP地址和资源虚拟专用网络节点上的本地(实际)资源IP地址，其中由资源DVPN网关来执行该转换；

通过资源虚拟专用网络节点上的至少一个资源来响应请求，就像上述请求是在资源虚拟专用网络节点上在本地发起的，并未暴露客户虚拟专用网络节点上至少一个客户虚拟IP地址；

通过安全连接，从资源虚拟专用网络节点上的至少一个资源将响应信息包路由回客户虚拟专用网络节点上的至少一个客户，其中资源DVPN网关将资源虚拟专用网络节点上的本地(实际)资源IP地址和本地(虚拟)客户IP地址转换成资源DVPN地址和客户DVPN地址，用于通过安全隧道路由至客户DVPN网关；以及

将响应信息包发送到至少一个客户，其中客户DVPN网关将资源DVPN地址和客户DVPN地址转换成客户虚拟专用网络节点上的本地(虚拟)资源IP地址和本地(实际)客户IP地址。

2.根据权利要求1所述的方法，其中客户DVPN网关和资源DVPN网关保持一定范围的DVPN地址，这些地址被分配作为资源DVPN地址和客户DVPN地址。

3.根据权利要求2所述的方法，其中资源DVPN地址和客户DVPN地址与用在资源和客户虚拟专用网络节点上的本地IP地址不同，从而该范围内的DVPN地址仅在客户和资源DVPN网关中使用，并具有意义，其用于在资源虚拟专用网络节点和客户虚拟专用网络节点之间通过安全连接来路由信息包。

4.根据权利要求2所述的方法，其中DVPN地址范围通过人工和/或动态从具有类似于DHCP功能的服务器上分配到每个DVPN网关。

5.根据权利要求1所述的方法，其中一旦将至少一个资源发布至客户虚拟专用网络节点，资源DVPN网关将从其DVPN地址池中把资源DVPN地址分配到至少一个资源。

6.根据权利要求5所述的方法，其中至少一个资源的资源DVPN地址将发布到所有的客户DVPN网关，用于通过任何客户访问至少一个资源。

7.根据权利要求1所述的方法，其中一旦发起请求，要求从DVPN地址池中访问至少一个资源，该客户DVPN网关将客户DVPN地址分配到至少一个客户。

8.根据权利要求7所述的方法，其中客户DVPN地址将由客户DVPN网关用于所有的远程资源，该资源被至少一个客户访问。

9.根据权利要求1所述的方法，其中客户IP地址和资源IP地址还包括一个端口号。

10.根据权利要求9所述的方法，其中在资源虚拟专用网络节点上的多个本地(虚拟)客户IP地址与不同的端口号分享相同的IP地址，此外，其中资源DVPN网关转换客户DVPN地址和端口号。

11.根据权利要求9所述的方法，其中在客户虚拟专用网络节点上的多个本地(虚拟)资源IP地址与不同的端口号分享相同的IP地址，此外，其中客户DVPN网关转换资源DVPN地址和端口号。

12.根据权利要求1所述的方法，其中客户和资源DVPN网关执行信息包内容重写，以将嵌入的IP地址和端口号转换成支持特定应用程序协议，例如文件传输协议(FTP)。