【技術領域】

本發明涉及計算機網絡通信方法，尤其涉及一種對VPN通信進行透傳的方法。

【背景技術】

因為IPv4互聯網網絡IP地址數量的有限性，當前大多數以太局域網中的電腦或其他設備，都必須通過NAT處理，共用一個互聯網出口的公網IP地址，才能實現連接訪問互聯網的通信功能。當前存在兩種基本的NAT處理方式：NAT和NAPT。NAT是一對一轉換，一個局域網中的私有IP地址，對應一個互聯網公網IP地址。NAPT，是一對多轉換，多個局域網中的私有IP地址，都使用一個相同的互聯網公網IP地址。還存在其它變種NAT技術，但無論哪種NAT變種技術，都需要改變數據包中IP頭部的IP地址。

NAT技術，雖然解決了局域網中多臺電腦、共享一個公網IP地址、同時訪問互聯網的應用需求，但也對某些特殊的通信功能，帶來限制。例如，對互聯網中虛擬局域網(VPN)通信，帶來諸多限制，使很多VPN通信，不能在局域網電腦和公網服務器之間進行，局域網中的電腦，不能成功撥號連接到公網上的VPN服務器。尤其是對IPSEC隧道模式實現的VPN通信，更是限制。IPSEC隧道模式的VPN通信，完全無法在局域網中電腦和公網服務器之間進行。IPSEC隧道模式通信，不允許從局域網內電腦發出的IP包，在到達互聯網上的VPN服務器之前，IP地址發生改變。從VPN服務器發出的IP包，在到達局域網內電腦之前，也不允許IP地址發生改變。然而NAT處理，至少會改變IP包中IP頭的IP地址。這樣，就帶來矛盾，造成兩者無法兼容共存。

這個問題，對于酒店來講，更是一個大問題。對于企業局域網，還可以部署某種特殊的軟件或設備，來實現VPN對于NAT的穿透，實現VPN通信。但是對于酒店局域網，每天有各種各樣的客人入住，每個客人可能有各種不同的VPN通信方式。尤其是IPSEC隧道模式的VPN通信，在歐美的使用范圍很廣泛。這些外國客人到中國來商務旅行，入住中國的酒店，也需要和客人所在公司的總部，進行IPSEC隧道模式的VPN通信。這種通信行為，完全無法在中國絕大多數酒店中實現，影響酒店的上網服務質量。

少數高星酒店，在客人需要IPSEC隧道模式的VPN通信時，臨時分配一個備用的公網IP地址給客人使用，客人使用完后，再收回這個公網IP地址。這種臨時的措施，雖然可以滿足客人的VPN通信要求，但也給酒店管理方，帶來很大的管理負擔。并且酒店必須先向電信公司申請一個或多個公網IP地址，保留備用。這樣的操作模式，既給酒店方帶來成本負擔，也帶來寶貴公網IP地址資源的浪費。因為酒店保留備用的公網IP地址，平時是空閑的，客人需要時才使用。電信公司又必須一直給酒店保留這些公網IP地址，不能有效利用這些公網IP地址資源。

因此，開發研究一種可以有效解決局域網和互聯網之間進行IPSEC隧道模式下的VPN通信問題的通信方法，成為一個亟待研究的課題。

【發明內容】

本發明克服現有技術中的不足，提供了一種對VPN通信進行透傳的方法，它使局域網中的內部電腦與互聯網之間能進行IPSEC隧道模式下的VPN通信，在IP包傳遞的過程中，不改變IP包中IP頭的IP地址。

本發明的目的是這樣實現的：它包括以下步驟：

1)將局域網內部每臺需要訪問互聯網的電腦，在局域網中的IP地址，都設置為局域網的互聯網出口的公網IP地址；

2)局域網的上網路由器的LAN網口接收到內部電腦發送來的VPN通信IP包時，不改變任何IP層數據，不做任何NAT轉換處理，只改變鏈路層的數據，只轉換源MAC地址和目的MAC地址，然后把VPN通信IP包轉發到互聯網；

3)在局域網的上網路由器上，建立局域網內部電腦和其當前訪問的VPN服務器IP地址之間的關聯映射表；

4)局域網的上網路由器的WAN網口接收到從互聯網上VPN服務器發回來的IP包，根據IP包的源IP地址，查找上面第3個步驟建立起來的關聯映射表，查找到該IP包對應的內部電腦；局域網上網路由器不對IP層數據做任何改變，不做任何NAT轉換處理，只改變鏈路層上的數據，只轉換源MAC地址和目的MAC地址，然后把IP包轉發到對應的內部電腦；

5)對局域網的內部電腦，進行通信隔離，保證局域網中的多臺內部電腦可以同時使用同一個IP地址，使內部電腦之間的通信無互相干擾。