[发明专利]对VPN通信进行透传的方法

说明书

【技术领域】

本发明涉及计算机网络通信方法，尤其涉及一种对VPN通信进行透传的方法。

【背景技术】

因为IPv4互联网网络IP地址数量的有限性，当前大多数以太局域网中的电脑或其他设备，都必须通过NAT处理，共用一个互联网出口的公网IP地址，才能实现连接访问互联网的通信功能。当前存在两种基本的NAT处理方式：NAT和NAPT。NAT是一对一转换，一个局域网中的私有IP地址，对应一个互联网公网IP地址。NAPT，是一对多转换，多个局域网中的私有IP地址，都使用一个相同的互联网公网IP地址。还存在其它变种NAT技术，但无论哪种NAT变种技术，都需要改变数据包中IP头部的IP地址。

NAT技术，虽然解决了局域网中多台电脑、共享一个公网IP地址、同时访问互联网的应用需求，但也对某些特殊的通信功能，带来限制。例如，对互联网中虚拟局域网(VPN)通信，带来诸多限制，使很多VPN通信，不能在局域网电脑和公网服务器之间进行，局域网中的电脑，不能成功拨号连接到公网上的VPN服务器。尤其是对IPSEC隧道模式实现的VPN通信，更是限制。IPSEC隧道模式的VPN通信，完全无法在局域网中电脑和公网服务器之间进行。IPSEC隧道模式通信，不允许从局域网内电脑发出的IP包，在到达互联网上的VPN服务器之前，IP地址发生改变。从VPN服务器发出的IP包，在到达局域网内电脑之前，也不允许IP地址发生改变。然而NAT处理，至少会改变IP包中IP头的IP地址。这样，就带来矛盾，造成两者无法兼容共存。

这个问题，对于酒店来讲，更是一个大问题。对于企业局域网，还可以部署某种特殊的软件或设备，来实现VPN对于NAT的穿透，实现VPN通信。但是对于酒店局域网，每天有各种各样的客人入住，每个客人可能有各种不同的VPN通信方式。尤其是IPSEC隧道模式的VPN通信，在欧美的使用范围很广泛。这些外国客人到中国来商务旅行，入住中国的酒店，也需要和客人所在公司的总部，进行IPSEC隧道模式的VPN通信。这种通信行为，完全无法在中国绝大多数酒店中实现，影响酒店的上网服务质量。

少数高星酒店，在客人需要IPSEC隧道模式的VPN通信时，临时分配一个备用的公网IP地址给客人使用，客人使用完后，再收回这个公网IP地址。这种临时的措施，虽然可以满足客人的VPN通信要求，但也给酒店管理方，带来很大的管理负担。并且酒店必须先向电信公司申请一个或多个公网IP地址，保留备用。这样的操作模式，既给酒店方带来成本负担，也带来宝贵公网IP地址资源的浪费。因为酒店保留备用的公网IP地址，平时是空闲的，客人需要时才使用。电信公司又必须一直给酒店保留这些公网IP地址，不能有效利用这些公网IP地址资源。

因此，开发研究一种可以有效解决局域网和互联网之间进行IPSEC隧道模式下的VPN通信问题的通信方法，成为一个亟待研究的课题。

【发明内容】

本发明克服现有技术中的不足，提供了一种对VPN通信进行透传的方法，它使局域网中的内部电脑与互联网之间能进行IPSEC隧道模式下的VPN通信，在IP包传递的过程中，不改变IP包中IP头的IP地址。

本发明的目的是这样实现的：它包括以下步骤：

1)将局域网内部每台需要访问互联网的电脑，在局域网中的IP地址，都设置为局域网的互联网出口的公网IP地址；

2)局域网的上网路由器的LAN网口接收到内部电脑发送来的VPN通信IP包时，不改变任何IP层数据，不做任何NAT转换处理，只改变链路层的数据，只转换源MAC地址和目的MAC地址，然后把VPN通信IP包转发到互联网；

3)在局域网的上网路由器上，建立局域网内部电脑和其当前访问的VPN服务器IP地址之间的关联映射表；

4)局域网的上网路由器的WAN网口接收到从互联网上VPN服务器发回来的IP包，根据IP包的源IP地址，查找上面第3个步骤建立起来的关联映射表，查找到该IP包对应的内部电脑；局域网上网路由器不对IP层数据做任何改变，不做任何NAT转换处理，只改变链路层上的数据，只转换源MAC地址和目的MAC地址，然后把IP包转发到对应的内部电脑；

5)对局域网的内部电脑，进行通信隔离，保证局域网中的多台内部电脑可以同时使用同一个IP地址，使内部电脑之间的通信无互相干扰。