一种报文处理方法、装置、设备及机器可读存储介质与流程

1.本公开涉及通信技术领域，尤其是涉及一种报文处理方法、装置、设备及机器可读存储介质。


背景技术：

2.一般情况下，dns服务器和访问私网服务器的用户都是在公网，在防火墙设备的公网口配置内部服务器，是可以将公网地址、端口映射到私网内的服务器上，使得公网用户可以通过内部服务器的域名或者公网地址来访问内部服务器。如图4，当公网客户端202.38.1.2通过dns解析出内网服务器192.168.56.2对外域名对应的公网ip为202.38.1.10以后，会主动向202.38.1.10发出访问，整个访问可分为四个过程。如表1所示，可以看到1，2过程为从外到内的请求，3，4过程为从内到外的应答。整个过程符合tcp协议建立的过程，因此可以顺利访问。
3.步骤源地址目的地址1202.38.1.2202.38.1.102202.38.1.2192.168.56.23192.168.56.2202.38.1.24202.38.1.10202.38.1.25192.168.56.100202.38.1.106192.168.56.100192.168.56.27192.168.56.2192.168.56.100
4.表1
5.对于私网服务器向外发布的域名，除了让公网用户来访问之外，内网用户也同样用域名方式来访问服务器。但是内网用户的访问往往会出问题，当公网用户用域名正常访问的时候，内网用户却访问不了应用，这是由于dns服务器向私网用户发送的dns响应报文中包含的是私网服务器的公网地址，而导致收到响应报文的私网用户无法利用域名访问私网服务器。如表1所示。私网用户是对202.38.1.10发起的请求，所以私网用户自然会等待源地址为202.38.1.10的应答，结果却收到源地址是192.168.56.2的应答，明显和期待的不一致，所以私网用户会直接丢弃掉这个应答。


技术实现要素：

6.有鉴于此，本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质，以改善上述私网用户丢弃私网服务器的应答的问题。
7.具体地技术方案如下：
8.本公开提供了一种报文处理方法，应用于网络设备，所述方法包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址；将第一报文的目的ip地址替换为私网服务器的私网ip地址，然后转发至私网服务
器；接收私网服务器响应于所述第一报文而发送至私网用户的第二报文，其中第二报文的源的ip地址为私网服务器的私网ip地址；将第二报文中的源ip地址由私网服务器的私网ip地址替换为私网服务器的公网ip地址，然后转发至私网用户。
9.作为一种技术方案，配置全局nat规则，所述规则包括：将源ip地址为私网用户、目的ip地址为私网服务器的公网ip地址的报文的目的ip地址替换为私网服务器的私网ip地址；将源ip地址为私网服务器的私网ip地址、目的ip地址为私网用户的报文的源ip地址替换为私网服务器的公网ip地址。
10.作为一种技术方案，所述接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址，包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为通过解析私网服务器的域名得到的私网服务器的公网ip地址。
11.作为一种技术方案，所述网络设备为防火墙。
12.本公开同时提供了一种报文处理装置，应用于网络设备，所述装置包括：接收模块，用于接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址；处理模块，用于将第一报文的目的ip地址替换为私网服务器的私网ip地址，然后转发至私网服务器；接收模块还用于接收私网服务器响应于所述第一报文而发送至私网用户的第二报文，其中第二报文的源的ip地址为私网服务器的私网ip地址；处理模块还用于将第二报文中的源ip地址由私网服务器的私网ip地址替换为私网服务器的公网ip地址，然后转发至私网用户。
13.作为一种技术方案，所述处理模块还用于配置全局nat规则，所述规则包括：将源ip地址为私网用户、目的ip地址为私网服务器的公网ip地址的报文的目的ip地址替换为私网服务器的私网ip地址；将源ip地址为私网服务器的私网ip地址、目的ip地址为私网用户的报文的源ip地址替换为私网服务器的公网ip地址。
14.作为一种技术方案，所述接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址，包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为通过解析私网服务器的域名得到的私网服务器的公网ip地址。
15.作为一种技术方案，所述网络设备为防火墙。
16.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的报文处理方法。
17.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的报文处理方法。
18.本公开提供的上述技术方案至少带来了以下有益效果：
19.通过修改替换作为访问报文的第一报文和作为应答报文的第二报文中源ip地址、目的ip地址涉及私网服务器的公网、私网ip地址，使得私网用户通过私网直接访问到私网服务器，且不会丢弃私网服务器的应答。
附图说明
20.为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。
21.图1是本公开一种实施方式中的报文处理方法的流程图；
22.图2是本公开一种实施方式中的报文处理装置的结构图；
23.图3是本公开一种实施方式中的电子设备的硬件结构图。
24.图4是本公开一种组网。
具体实施方式
25.在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
26.应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
27.本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质，以改善上述私网用户丢弃私网服务器的应答的问题。
28.具体地，技术方案如后述。
29.在一种实施方式中，本公开提供了一种报文处理方法，应用于网络设备，所述方法包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址；将第一报文的目的ip地址替换为私网服务器的私网ip地址，然后转发至私网服务器；接收私网服务器响应于所述第一报文而发送至私网用户的第二报文，其中第二报文的源的ip地址为私网服务器的私网ip地址；将第二报文中的源ip地址由私网服务器的私网ip地址替换为私网服务器的公网ip地址，然后转发至私网用户。
30.具体地，如图1，包括以下步骤：
31.步骤s11，接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址；
32.步骤s12，将第一报文的目的ip地址替换为私网服务器的私网ip地址，然后转发至私网服务器；
33.步骤s13，接收私网服务器响应于所述第一报文而发送至私网用户的第二报文，其中第二报文的源的ip地址为私网服务器的私网ip地址；
34.步骤s14，将第二报文中的源ip地址由私网服务器的私网ip地址替换为私网服务器的公网ip地址，然后转发至私网用户。
35.通过修改替换作为访问报文的第一报文和作为应答报文的第二报文中源ip地址、
目的ip地址涉及私网服务器的公网、私网ip地址，使得私网用户通过私网直接访问到私网服务器，且不会丢弃私网服务器的应答。
36.在一种实施方式中，配置全局nat规则，所述规则包括：将源ip地址为私网用户、目的ip地址为私网服务器的公网ip地址的报文的目的ip地址替换为私网服务器的私网ip地址；将源ip地址为私网服务器的私网ip地址、目的ip地址为私网用户的报文的源ip地址替换为私网服务器的公网ip地址。
37.在一种实施方式中，所述接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址，包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为通过解析私网服务器的域名得到的私网服务器的公网ip地址。
38.在一种实施方式中，所述网络设备为防火墙。也可以是其他能够进行地址转换的网络设备。
39.如图4，私网用户192.168.56.100访问域名服务器(ftp.server.com)，通过dns服务器域名解析，得到私网服务器对应的公网地址202.38.1.10，此时私网用户向公网地址202.38.1.10进行访问。
40.当访问流量经过内网路由器上送到防火墙设备时，在防火墙私网接口上进行匹配nat策略。此时流量报文(192.168.56.100-》202.38.1.10)匹配到全局nat源 目的规则。此时防火墙发出去的流量就转换为(192.168.56.1-》192.168.56.2)，从而发送到私网服务器设备上。
41.ftp服务器设备收到流量报文后，回应的报文就变成了(192.168.56.2-》192.168.56.1)发送到防火墙设备上，防火墙设备根据会话进行转换又转换为(202.38.1.10-》192.168.56.100)流量，发送回私网用户。
42.最后私网用户收到防火墙回应的报文(202.38.1.10-》192.168.56.100)，源地址是之前访问的服务器对应的公网地址，目的地址是本机私网用户的地址，这样用户也可以正常接收这个应答了。
43.只需要对内网用户发来的请求进行地址转换，而外网来的请求无需转换，全局nat规则中的匹配条件能够对请求进行分类，外网来的不处理，内网来的进行nat转换。
44.在一种实施方式中，本公开同时提供了一种报文处理装置，如图2，应用于网络设备，所述装置包括：接收模块21，用于接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为私网服务器的公网ip地址；处理模块22，用于将第一报文的目的ip地址替换为私网服务器的私网ip地址，然后转发至私网服务器；接收模块还用于接收私网服务器响应于所述第一报文而发送至私网用户的第二报文，其中第二报文的源的ip地址为私网服务器的私网ip地址；处理模块还用于将第二报文中的源ip地址由私网服务器的私网ip地址替换为私网服务器的公网ip地址，然后转发至私网用户。
45.在一种实施方式中，所述处理模块还用于配置全局nat规则，所述规则包括：将源ip地址为私网用户、目的ip地址为私网服务器的公网ip地址的报文的目的ip地址替换为私网服务器的私网ip地址；将源ip地址为私网服务器的私网ip地址、目的ip地址为私网用户的报文的源ip地址替换为私网服务器的公网ip地址。
46.在一种实施方式中，所述接收私网用户发送的用于访问私网服务器的第一报文，
其中第一报文的目的ip地址为私网服务器的公网ip地址，包括：接收私网用户发送的用于访问私网服务器的第一报文，其中第一报文的目的ip地址为通过解析私网服务器的域名得到的私网服务器的公网ip地址。
47.在一种实施方式中，所述网络设备为防火墙。
48.装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。
49.在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的报文处理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。
50.在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的报文处理方法。
51.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。
52.上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
53.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
54.本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
55.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
56.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一
个方框或者多个方框中指定的功能。
57.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
58.本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
59.以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。