[发明专利]域名无缝漫游访问局域网设备的方法、系统及存储介质

说明书

本发明公开了一种域名无缝漫游访问局域网设备的方法、系统及存储介质，所述方法包括：注册一个专用的互联网网络域名；为目标内网设备E预分配一个唯一的基于所述互联网网络域名的包含FQDN的URL地址；客户端M使用所述的URL地址访问所述目标内网设备E。本发明通过VPN服务进程T、动态反向代理P和域名拦截或者DoH等技术，使得客户端在任何互联网环境均可通过唯一的URL连接到位于内网环境的目标设备，实现了无缝的网络漫游；并且由于URL中域一致，Web客户端通过TLS连接可以激活PWA支持，进而有效利用页面缓存提速、安全加密，以及支持更多的安全Web API调用，实现了更为丰富的使用体验，也节省了流量。

技术领域

本发明涉及局域网设备访问技术领域，尤其是一种域名无缝漫游访问局域网设备的方法、系统及存储介质。

背景技术

现有技术中的NAT端口映射为内网网关（如路由器）外的IP网络直接访问网关内子网上的网络资源可以通过NAT端口映射的方式来实现；端口映射是 NAT 的一种，它将外网主机的 IP 地址的一个端口映射到内网中一台机器，提供相应的服务。当用户访问该 IP的该端口时，服务器自动将请求映射到对应局域网内部的机器上。

虚拟专用网络VPN（Virtual Private Network）服务为通过在内网网关上部署VPN服务提供内网访问能力。VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。其工作原理如下：

1. VPN网关一般采取双网卡结构，外网卡使用公网IP接入Internet。

2. 网络A(假定为公网internet)的终端X访问网络B(假定为公司内网)的终端Y，其发出的访问数据包的目标地址为终端Y的内部IP地址。

3. 网络A的VPN网关在接收到终端X发出的访问数据包时会检查其目标地址，如果目标地址属于网络B的地址，则封装该数据包，同时VPN网关会构造一个新的VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络B的VPN网关的外部地址。

4. 网络A的VPN网关发送VPN数据包到Internet，由于VPN数据包的目标地址是网络B的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络B的VPN网关。

5. 网络B的VPN网关检查其接收到的数据包，如果发现该数据包是从网络A的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先剥离VPN数据包的包头，再将数据包反向处理还原成原始的数据包。

6. 网络B的VPN网关将还原后的原始数据包发送至目标终端Y，由于原始数据包的目标地址是终端Y的IP，所以该数据包能够被正确地发送到终端Y。对于终端Y，它收到的数据包就和从终端X直接发过来的一样。

7. 从终端Y返回终端X的数据包处理过程和上述过程一致，所以网络A和网络B内的终端就可以互相通讯了。

由于IP网络的特点，由于路由器的NAT地址变换，在没有显示NAT端口映射、DMZ配置或反向代理的情况下， 路由器外的IP网络无法直接访问路由器内子网上的网络资源。

无论是NAT端口映射还是VPN服务器，都需要网关端口配置公网IP地址。由于公网IP属于稀缺资源，运营商提供的接入服务通常不会直接提供固定公网IP地址，而固定IP地址的接入服务通常价格极高。而当设备处于多级NAT的内网时，直接访问将更为困难。

发明内容

本申请针对以上缺点，提出一种通过公共互联网服务器动态中转目标地址为特定URL的网络请求到内网设备的网络系统方案。该方案中的内网设备仅需要一个唯一的URL即可实现在公共互联网上的任意位置安全地访问该内网设备。