技術領域

本發明涉及網絡通信技術領域，尤其涉及一種基于透明模式下無互聯網協議(IP)地址建立隧道的方法及系統。

背景技術

隧道技術，又稱VPN(Virtual Private Network,虛擬專用網路)技術，其可以在不安全的互聯網上建立一個安全、穩定的私有網絡。隨著云技術的快速發展，市場上出現了通過云POP(Point Of Presence，網絡服務提供點)，即部署在云主機上的POP提供網絡接入并對網絡傳輸進行優化的服務，而隧道技術為用戶安全接入POP點提供了技術保障。隧道技術可以幫助遠程用戶、企業分支機構等企業內部網之間通過POP點建立可信的安全連接，并保證數據的安全傳輸。

透明模式，又稱網橋模式，其適用于在不改變用戶網絡拓撲和組網的前提下，部署新的設備以提供網絡服務。

有時受到用戶網絡規劃的限制，一些用戶沒有預留多余的IP地址來供新的網絡設備使用，這對于用戶部署新的網絡設備造成了困難。

現有技術方案1，采用路由模式部署，實施步驟為：

(1)在出口網關和路由器或者防火墻之間部署提供安全接入POP點服務的網絡設備；

(2)用戶分配額外的IP地址(至少2個IP地址分別配置LAN和WAN口)，并配置到提供安全接入POP點服務的設備上；

(3)對提供安全接入POP點服務的設備進行路由配置、進行POP服務器接入配置；

(4)對網關及路由器或者防火墻進行配置；

(5)客戶端訪問POP服務器提供的服務。

現有技術方案2，一種在透明模式下實現VPN接入的方法(專利申請公布號：CN 102611700 A)，提供了一種透明模式下VPN接入的方法，其實施的步驟如下：

(1)在網關和內網交換機之間設置帶有EZVPN服務器功能和透明模式的防火墻；

(2)對防火墻進行透明模式配置、EZVPN服務器配置和路由配置，其透明模式配置中包括設備透明端口及由用戶分配的額外的虛端口IP地址；

(3)對網關以及客戶端進行配置；

(4)客戶端通過EZVPN隧道訪問內網服務器。

現有的技術方案1中，采用路由模式部署，不僅需要用戶分配額外的IP地址來進行路由轉發，而且需要修改處于新的網絡設備上下游的出口網關、路由器或者防火墻的配置。這種方案由于需要改變其他網絡設備的路由配置，這樣就改變了用戶原來的網絡拓撲結構，增加了設備部署的復雜度和難度。

現有的技術方案2中，采用透明模式部署，同樣無法解決路由模式部署時存在的問題，其只是減少了對透明接入的網絡設備上下游的出口網關、路由器或者防火墻的配置，但是還是需要修改其他網絡設備的配置，同樣需要用戶分配額外的IP地址來接入POP點。

發明內容

針對上述方案中存在的問題，本發明提供了一種不需要用戶分配額外IP地址并且簡化部署方式的通過建立隧道提供安全接入POP點的解決方案。本發明主要解決了以下存在的問題：部署設備時不需要用戶分配額外的IP地址，用戶只需要提供處于透明接入的網絡設備上下游的出口網關IP地址和路由器/防火墻IP地址即可；并且不需要對其他網絡設備配置做任何的修改，不改變用戶當前網絡環境和拓撲。

為實現上述目的，本發明提供如下技術方案：

根據本發明的一樣態，一種透明模式下無互聯網協議(IP)地址建立隧道的方法，其特征在于，包括以下步驟：在出口網關和路由器/防火墻之間透明接入安全接入網絡服務提供點(POP)設備；通過源地址轉換(SNAT)來借用路由器/防火墻的IP地址，以實現無IP地址技術；使用橋接口過濾技術劫持透明模式下傳輸的網絡數據；使用虛擬專用網絡(VPN)隧道技術安全接入云POP。

并且，所述的透明模式下無IP地址建立隧道的方法，其特征在于，所述通過SNAT來借用路由器/防火墻的IP地址，包括以下步驟：所述安全接入POP設備的透明橋接口IP地址隨意設置為一個不在用戶網絡范圍內的IP地址；通過SNAT技術把所述橋接口IP地址轉換為所述路由器/防火墻的IP地址，所述橋接口就可以通過借用所述路由器/防火墻的IP地址的方式實現對外通信。