[发明专利]基于网络隔离装置的数据通信方法和装置

权利要求书

1.一种基于网络隔离装置的数据通信方法，其特征在于，包括：

内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接；所述连接请求数据包携带有内网终端网络地址和外网终端网络地址；

所述内端主机通过隔离通道向对应的外端主机发送第一数据包，所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址，所述第一源网络地址为所述内网终端网络地址，所述第一目的网络地址为所述外网终端网络地址；

所述外端主机根据收到的第一数据包与外网终端建立外网连接，所述外网连接的源地址为外端主机虚拟网络地址，目的地址为第一目的网络地址；

所述外端主机在预置的外网地址映射表中设置外网地址映射记录，所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址；

所述内端主机通过所述内网连接接收内网终端发送的内网数据包，所述内网数据包携带有所述内网连接标识和内网载荷数据；

所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包，并将所述第二数据包通过隔离通道发送至外端主机；所述第二数据包的源地址为内端主机虚拟网络地址，目的地址为外端主机虚拟网络地址；

所述外端主机从接收到的第二数据包中获取所述内网连接标识，并匹配所述内网连接标识与所述外网地址映射表，若不存在匹配的外网地址映射记录，则丢弃所述第二数据包，若存在匹配的外网地址映射记录，则继续执行后续步骤；

所述外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装，生成第一内网网络数据包，所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址，目的地址为所述第一目的网络地址；

所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换，生成第二内网网络数据包；所述第二内网网络数据包的源地址为所述第一源网络地址，目的地址为所述第一目的网络地址；

所述外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址，并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装，生成内网链路数据包；

所述外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端。

2.如权利要求1所述的方法，其特征在于，所述内端主机通过所述内网连接接收内网终端发送的内网数据包之前，还包括：

外端主机将所述第一数据包中的内网连接标识和所述第一源网络地址设置到预置的地址转换表中。

3.如权利要求2所述的方法，其特征在于，所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换，生成第二内网网络数据包，具体包括：

所述外端主机从所述第一内网网络数据包中获取内网连接标识；

所述外端主机根据所述获取的内网连接标识从预置的地址转换表中获取对应的第一源网络地址；

所述外端主机将所述第一内网网络数据包封装生成第二内网网络数据包，所述第二内网网络数据包的源地址为所述第一源网络地址。

4.如权利要求1所述的方法，其特征在于，所述下一跳目的物理地址具体为所述第二内网网络数据包下一跳路由器的MAC地址。