專利名稱:用于地理分布式虛擬路由的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通過網(wǎng)絡(luò)路由分組�,并且更具體地��,涉及基于后跳(meta-hop)信息將分組向所述分組的目的地路由��。
背景技術(shù):
虛擬專用網(wǎng)絡(luò)(VPN)使得能夠通過例如互聯(lián)網(wǎng)的外部/不可靠的IP網(wǎng)絡(luò)的安全通信��。VPN提供相對(duì)安全的方式以連接彼此遠(yuǎn)離的內(nèi)部可靠網(wǎng)絡(luò)上的節(jié)點(diǎn)�����,例如客戶端����、服務(wù)器和主計(jì)算機(jī)��。通常使用加密和其他的安全機(jī)制來(lái)創(chuàng)建用于通過不可靠的外部網(wǎng)絡(luò)在授權(quán)用戶之間的純文本消息/分組的安全的點(diǎn)對(duì)點(diǎn)“隧道”��。通常�����,“純文本”分組被加密并被插入到外部分組中��。隨后內(nèi)部“純文本”分組通過不可靠的外部IP網(wǎng)絡(luò)從一個(gè)VPN網(wǎng)關(guān)“隧穿”(轉(zhuǎn)發(fā))到另一個(gè)VPN網(wǎng)關(guān),其中外部分組被解密而內(nèi)部“純文本”分組朝著內(nèi)部網(wǎng)絡(luò)上它的目的地轉(zhuǎn)發(fā)�����。在其通過外部不可靠的網(wǎng)絡(luò)從一個(gè)節(jié)點(diǎn)隧穿到另一個(gè)節(jié)點(diǎn)時(shí)��,另一個(gè)分組用作“純文本”分組的保護(hù)性外殼或封裝����。
通常,VPN中的網(wǎng)關(guān)還操作為用于它們的內(nèi)部網(wǎng)絡(luò)上的IP業(yè)務(wù)量的路由器�����。例如�����,在從可靠的內(nèi)部網(wǎng)絡(luò)上的節(jié)點(diǎn)接收到“純文本”分組時(shí),VPN網(wǎng)關(guān)在選擇器列表中查找目的地以確定分組是否被導(dǎo)向位于本地附加內(nèi)部網(wǎng)絡(luò)外部的目的地以及其是否應(yīng)該被加密以隧穿到目的地����。如果是,則VPN網(wǎng)關(guān)通過外部的不可靠網(wǎng)絡(luò)將“純文本”分組安全地隧穿到與該目的地關(guān)聯(lián)的特定VPN網(wǎng)關(guān)對(duì)端���。特定的VPN網(wǎng)關(guān)對(duì)端確定該隧穿的分組的目的地是否在它們自身的選擇器列表上�。并且如果是的話����,則對(duì)加密的分組進(jìn)行解密并且將其轉(zhuǎn)發(fā)到它的本地附加內(nèi)部網(wǎng)絡(luò)上的節(jié)點(diǎn)。另外�����,如果“純文本”分組的目的地不在選擇器列表上但其是路由表中的一條記錄(entry)�,則VPN將該未加密的純文本分組轉(zhuǎn)發(fā)到目的地。
隨著越來(lái)越多的網(wǎng)關(guān)添加到VPN�,可發(fā)展成一種網(wǎng)狀拓?fù)洌渲性赩PN中所有的網(wǎng)關(guān)都知道每一個(gè)其他的網(wǎng)關(guān)��。另外�,可在VPN中的每個(gè)網(wǎng)關(guān)之間建立隧道����。然而�,因?yàn)槊總€(gè)隧道可與在每個(gè)網(wǎng)關(guān)處保存的列表中的選擇器關(guān)聯(lián),所以當(dāng)無(wú)論何時(shí)向VPN添加新的網(wǎng)關(guān)時(shí)�����,管理員必須在每個(gè)網(wǎng)關(guān)處更新該列表��。因此��,隨著VPN中網(wǎng)關(guān)的數(shù)目增長(zhǎng)��,在每個(gè)網(wǎng)關(guān)上更新每個(gè)選擇器的列表所需的工作量可能變得更加繁重�����。
例如路由器和防火墻的一些網(wǎng)關(guān)具有允許接口的“熱插拔(hotswap)”添加(或移除)的硬件平臺(tái)����。通常����,此類的網(wǎng)關(guān)使用例如諾基亞的IPSO操作系統(tǒng)的操作系統(tǒng)來(lái)自動(dòng)地發(fā)現(xiàn)新的接口的插入并且將新的接口呈現(xiàn)給管理員��。這種類型的網(wǎng)關(guān)可在插入/呈現(xiàn)處理期間繼續(xù)正常地操作���。另外,管理員可時(shí)常向被添加到網(wǎng)關(guān)的“熱插拔”接口提供規(guī)則或路由配置信息���。
參考下面的附圖對(duì)本發(fā)明的非限制性和非窮舉性的實(shí)施方式進(jìn)行描述��。在附圖中�,除非指定����,貫穿各個(gè)附圖,相同的參考編號(hào)表示相同的部件�。
為了更好的理解本發(fā)明,針對(duì)下文的將結(jié)合附圖閱讀的本發(fā)明的詳細(xì)描述做出參考����,其中圖1示出表示用于實(shí)現(xiàn)本發(fā)明的示例性系統(tǒng)的框圖;圖2表示示出另一個(gè)示例性系統(tǒng)的框圖����;圖3示出表示示例性網(wǎng)絡(luò)設(shè)備的示意圖;圖4表示示出示例性網(wǎng)關(guān)的示意圖��;圖5示出用于自動(dòng)地管理MetaHop的一般操作的流程圖;圖6表示用于在MetaHop中自動(dòng)地提供新的網(wǎng)關(guān)的流程圖�����;圖7示出用于在MetaHop中自動(dòng)地重新配置隧道的流程圖�����;
圖8A表示針對(duì)面向內(nèi)部的接口的示例性管理控制臺(tái)儀表板�����;以及圖8B示出根據(jù)本發(fā)明的針對(duì)面向外部的接口的示例性管理控制臺(tái)儀表板���。
具體實(shí)施例方式
以下將參照附圖更為全面地描述本發(fā)明�,附圖構(gòu)成這里的一部分并且通過示例的方式表示出特定的示例性實(shí)施方式��,并且本發(fā)明可通過這些示例性的實(shí)施方式來(lái)實(shí)現(xiàn)����。然而����,本發(fā)明可以許多種不同的形式實(shí)現(xiàn)并且不應(yīng)該被解釋為限于這里所提出的實(shí)施方式����;相反���,提供這些實(shí)施方式使得本公開是徹底的和完整的����,并且向本領(lǐng)域的技術(shù)人員全面?zhèn)鬟_(dá)本發(fā)明的范圍���。另外�����,本發(fā)明可被實(shí)現(xiàn)為方法或設(shè)備���。因此,本發(fā)明可采取完全的硬件實(shí)施方式��、完全的軟件實(shí)施方式或結(jié)合軟件和硬件方面的實(shí)施方式的形式���。因此不在限制性的意義上來(lái)理解下面的詳細(xì)描述��。
簡(jiǎn)要地說明�,本發(fā)明涉及用于將一組地理分布式網(wǎng)關(guān)作為單個(gè)MetaHop管理的系統(tǒng)、設(shè)備和方法�。將MetaHop作為單個(gè)的實(shí)體操縱、管理和監(jiān)視�。如果新的網(wǎng)關(guān)添加到MetaHop,則由為新的網(wǎng)關(guān)指示相對(duì)基本的信息的管理員通過內(nèi)部網(wǎng)絡(luò)向網(wǎng)關(guān)供給成員資格憑證��。一旦供給相對(duì)基本的信息���,則新的網(wǎng)關(guān)可被運(yùn)載到相對(duì)遠(yuǎn)程的站點(diǎn)����,其中該網(wǎng)關(guān)可通過外部網(wǎng)絡(luò)自動(dòng)地找出它到MetaHop的入口點(diǎn)�����。在連接到外部網(wǎng)絡(luò)上的入口點(diǎn)(或多個(gè)入口點(diǎn))后����,新的網(wǎng)關(guān)下載其他的信息并自動(dòng)地加入MetaHop。在一個(gè)實(shí)施方式中���,能夠自動(dòng)使得加入的網(wǎng)關(guān)在MetaHop網(wǎng)關(guān)之間的隧道轉(zhuǎn)發(fā)業(yè)務(wù)量。在另一個(gè)實(shí)施方式中����,禁止加入MetaHop的新的網(wǎng)關(guān)用于轉(zhuǎn)發(fā)業(yè)務(wù)量直到管理員允許它這樣做�����。另外��,如果MetaHop中兩個(gè)網(wǎng)關(guān)之間的隧道變得不可用�����,則在網(wǎng)關(guān)之間自動(dòng)地重新配置另一條臨時(shí)隧道通路�。在一個(gè)實(shí)施方式中��,重新配置的臨時(shí)隧道通路可包括MetaHop中的至少一個(gè)中間網(wǎng)關(guān)�。
如果將向MetaHop添加新的網(wǎng)關(guān),則由管理員向網(wǎng)關(guān)供給例如唯一的標(biāo)識(shí)符和站點(diǎn)的相對(duì)基本信息���,管理員指示“該新的網(wǎng)關(guān)是MetaHop的一部分�����。這是新網(wǎng)關(guān)加入MetaHop的憑證�。(可采用任何形式)”。一旦供給該相對(duì)基本的信息��,則新的網(wǎng)關(guān)可被運(yùn)載到相對(duì)遠(yuǎn)程的站點(diǎn)�,其中該網(wǎng)關(guān)可自動(dòng)地找出它到MetaHop的入口點(diǎn)。在連接到入口點(diǎn)(或入口多個(gè)點(diǎn))后�,向新的網(wǎng)關(guān)自動(dòng)地供給用于加入MetaHop的其他信息。新的網(wǎng)關(guān)使得其他的網(wǎng)關(guān)知道它的存在���,并且至少部分地基于其在MetaHop中的成員資格���,每個(gè)網(wǎng)關(guān)知道它是否應(yīng)該將去往和來(lái)自新的網(wǎng)關(guān)的業(yè)務(wù)量進(jìn)行隧穿。
MetaHop中的各個(gè)網(wǎng)關(guān)可具有面向外部的接口信息�,例如IP地址、PPPoE憑證和/或DNS服務(wù)器等����,以便建立通過MetaHop的不可靠部分到其他網(wǎng)關(guān)的加密隧道。然而�,通過該外部面向接口信息的自動(dòng)策略管理,MetaHop中的網(wǎng)關(guān)使得管理員將地理分布式節(jié)點(diǎn)認(rèn)為是單個(gè)的實(shí)體����。
管理控制臺(tái)雖然不同,但在操作中�,網(wǎng)關(guān)的“面向內(nèi)部的”MetaHop接口稍微類似于路由器/防火墻的“熱插拔”接口�。例如�,當(dāng)新的網(wǎng)關(guān)加入MetaHop時(shí)��,盡管新近加入的網(wǎng)關(guān)的“面向內(nèi)部的”接口是到MetaHop的動(dòng)態(tài)添加接口�����,但該事件可在管理控制臺(tái)中處理����。盡管MetaHop是具有多個(gè)接口的單個(gè)路由器,MetaHop管理控制臺(tái)可向管理員提供基本的儀表板以配置每個(gè)位于遠(yuǎn)程的網(wǎng)關(guān)的面向內(nèi)部的接口(或多個(gè)接口)�����。MetaHop的管理控制臺(tái)可包括若干其他的機(jī)構(gòu)����。在一個(gè)實(shí)施方式中,可提供一種機(jī)構(gòu)以管理MetaHop中的網(wǎng)絡(luò)設(shè)備的成員資格和部署��??商峁┝硪环N機(jī)構(gòu)以監(jiān)視參與到MetaHop中的任何網(wǎng)絡(luò)設(shè)備。而且��,控制臺(tái)可包括一種用于管理通過MetaHop轉(zhuǎn)發(fā)(“純文本”分組的)應(yīng)用的機(jī)構(gòu)。
另外�����,因?yàn)镸etaHop可自動(dòng)地處理在網(wǎng)關(guān)的面向外部的接口上的加密分組的轉(zhuǎn)發(fā)(隧穿)���,所以通常管理控制臺(tái)向管理員呈現(xiàn)儀表板�,該儀表板強(qiáng)調(diào)與內(nèi)部網(wǎng)絡(luò)的面向內(nèi)部的接口相關(guān)的信息���,并且不強(qiáng)調(diào)或隱藏與網(wǎng)關(guān)的面向外部的接口相關(guān)的信息��。不強(qiáng)調(diào)面向外部的接口信息有助于促進(jìn)管理員理解MetaHop可被視為單個(gè)的實(shí)體�。另外��,網(wǎng)關(guān)的面向外部的接口的自動(dòng)設(shè)置使得網(wǎng)關(guān)自身能夠制作用于在網(wǎng)關(guān)之間點(diǎn)對(duì)點(diǎn)路由(隧穿)加密的分組業(yè)務(wù)量的選擇器列表�。響應(yīng)于在沒有管理員的輔助下網(wǎng)關(guān)的設(shè)置和成員資格中的改變,MetaHop使得參與方網(wǎng)關(guān)對(duì)自身進(jìn)行自動(dòng)地重新配置�����。
例如���,如果網(wǎng)關(guān)A和網(wǎng)關(guān)M之間的隧道出現(xiàn)故障�����,但這兩個(gè)網(wǎng)關(guān)仍可與網(wǎng)關(guān)R通信�����,則網(wǎng)關(guān)A和網(wǎng)關(guān)M將自動(dòng)地發(fā)現(xiàn)與網(wǎng)關(guān)R的公共連接并且創(chuàng)建經(jīng)由網(wǎng)關(guān)R的在網(wǎng)關(guān)A和網(wǎng)關(guān)M之間的備用隧穿路由�。因?yàn)樵撍泶┞酚傻闹匦屡渲檬亲詣?dòng)發(fā)生的���,所以管理員不必重新配置網(wǎng)絡(luò)中的所有節(jié)點(diǎn)����。相反���,網(wǎng)關(guān)自身自動(dòng)地發(fā)現(xiàn)最佳通路以便通過該最佳通路轉(zhuǎn)發(fā)加密的業(yè)務(wù)量并彼此相應(yīng)地更新����。
另外�����,用于管理控制臺(tái)的監(jiān)視機(jī)構(gòu)可被設(shè)置成使得管理員監(jiān)視來(lái)自連接到MetaHop的任何點(diǎn)的隧道重新配置活動(dòng)�。而且���,用于管理控制臺(tái)的儀表板可被設(shè)置成提供該重新配置活動(dòng)的可視化,例如隧道的斷開和網(wǎng)關(guān)之間臨時(shí)備用隧道通路的創(chuàng)建��。該自動(dòng)的隧道重新配置使得加密的(隧穿的)業(yè)務(wù)量在MetaHop網(wǎng)關(guān)之間流動(dòng)而不論初始的配置隧道是否是存在的并且如果初始的配置隧道是不可用的�,也不需要管理員手工地重新配置網(wǎng)關(guān)之間的隧道。
通常提供“MetaHop中心”服務(wù)器以實(shí)現(xiàn)對(duì)隧道重新配置和網(wǎng)關(guān)成員資格的自動(dòng)管理���,并且支持應(yīng)用代理的地址�����。MetaHop中心服務(wù)器可與多個(gè)MetaHop操作并且提供一種機(jī)構(gòu)以支持管理控制臺(tái)的操作�。另外��,MetaHop中心服務(wù)器可促進(jìn)基本上與MetaHop關(guān)聯(lián)的每一個(gè)事件的監(jiān)視����。而且,MetaHop中心服務(wù)器可提供對(duì)基本上記錄與MetaHop關(guān)聯(lián)的每一個(gè)事件的儲(chǔ)存庫(kù)的支持���。該儲(chǔ)存庫(kù)可以是基于MetaHop的集中式的或分布式的�。另外����,記錄的事件可用于分析調(diào)試通過MetaHop轉(zhuǎn)發(fā)分組的任何操作問題����。
IPSecMetaHop保持“管道元素”(網(wǎng)關(guān)之間的隧道����,新的網(wǎng)關(guān)的供給等)對(duì)于管理員是相對(duì)透明的或是不可見的,直到他/她想看見它為止���。另外,在MetaHop中��,網(wǎng)關(guān)可被抽象地視為到具有它們自身的內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程站點(diǎn)的接口����。MetaHop實(shí)現(xiàn)通過IPSec或動(dòng)態(tài)VPN路由的增強(qiáng)版本,其中安全的網(wǎng)絡(luò)以動(dòng)態(tài)的方式(而不僅僅在路由協(xié)議中)自動(dòng)地發(fā)現(xiàn)����、調(diào)整和測(cè)量在網(wǎng)關(guān)之間可用的隧道內(nèi)的改變。
另外�����,MetaHop使得路由引擎和IP安全(IPSec)引擎一起集成在網(wǎng)關(guān)中。例如�,如果網(wǎng)關(guān)從它的內(nèi)部網(wǎng)絡(luò)獲得路由更新,它將添加該更新到它的內(nèi)部路由表并且還通知它的IPSec引擎調(diào)整選擇器列表來(lái)包括該新的路由��。同樣的�,網(wǎng)關(guān)的IPSec引擎將其現(xiàn)在保護(hù)的新的子網(wǎng)通知MetaHop中其他的成員/網(wǎng)關(guān)。在其他的網(wǎng)關(guān)處�,它們的路由端口監(jiān)督程序(daemon)將向它們的內(nèi)部網(wǎng)絡(luò)廣告路由表的新的改變。通常����,其他網(wǎng)關(guān)的IPSec引擎在路由協(xié)議廣告該改變時(shí)已經(jīng)更新了它們的選擇器列表。
多播路由多播IP業(yè)務(wù)量是“一對(duì)多”業(yè)務(wù)量(一個(gè)源�����,多個(gè)目的地)��,而通常的IP業(yè)務(wù)量(客戶端/服務(wù)器)是“一對(duì)一”業(yè)務(wù)量���,即一個(gè)源和一個(gè)目的地���。例如,在站點(diǎn)A處(例如,向多個(gè)客戶端發(fā)送股票報(bào)價(jià)的站點(diǎn))的多播數(shù)據(jù)源可具有在站點(diǎn)B��、C和D處的分開的客戶端����,這些客戶端想接收該數(shù)據(jù)。在過去����,VPN管理多播IP業(yè)務(wù)量是困難的。另外�����,IPSec選擇器開始沒有被構(gòu)建為保護(hù)“一對(duì)多”IP業(yè)務(wù)量�。然而�,MetaHop可被設(shè)置操作為用于部分通過在適宜時(shí)克隆分組并且將它們隧穿來(lái)多播IP業(yè)務(wù)量的多播路由器。
MetaHop可類似用于多播業(yè)務(wù)量的多播路由器的操作����,其中MetaHop中的每個(gè)網(wǎng)關(guān)用作多播路由器上單獨(dú)的接口。例如��,如果在MetaHop的一個(gè)接口(網(wǎng)關(guān))上接收到來(lái)自任何站點(diǎn)的多播查詢���,則網(wǎng)關(guān)可更新本地多播路由樹并以基本上類似于多播路由器的方式在每個(gè)其他接口(MetaHop中的網(wǎng)關(guān))上傳播該請(qǐng)求�。通過這種方式,加密的“跳”可被集成到多播樹中而無(wú)需顯式地指示在其中間存在隧道�。該設(shè)置簡(jiǎn)化了關(guān)于如何處理多播業(yè)務(wù)量的細(xì)節(jié)并且減輕了MetaHop與現(xiàn)有協(xié)議工作的能力。
網(wǎng)關(guān)供給連接到內(nèi)部網(wǎng)絡(luò)的新的網(wǎng)關(guān)可使用基于多播的協(xié)議以基于例如它的序列號(hào)的唯一標(biāo)識(shí)符來(lái)對(duì)自身進(jìn)行廣告����。響應(yīng)于局域網(wǎng)上的多播,成員資格機(jī)構(gòu)可下載MetaHop信息到新的網(wǎng)關(guān)���,例如入口點(diǎn)IP地址�����,成員資格憑證���、靜態(tài)信息(內(nèi)部IP地址等)以及例如在加入MetaHop時(shí)允許/禁止自動(dòng)地轉(zhuǎn)發(fā)分組的配置信息。在這種情況下��,成員資格機(jī)構(gòu)在將MetaHop成員資格信息送到新的網(wǎng)關(guān)時(shí)取消了對(duì)層3信息(或串行線連接)的使用��。另外��,多播協(xié)議和唯一標(biāo)識(shí)信息的使用使得管理員不基于公共的IP地址來(lái)向新的網(wǎng)關(guān)分配MetaHop中的成員資格�����。
在一個(gè)實(shí)施方式中,通過向策略管理器機(jī)構(gòu)提供對(duì)應(yīng)于每個(gè)網(wǎng)關(guān)以及每個(gè)網(wǎng)關(guān)所屬于的特定站點(diǎn)的一列序列號(hào)�����,管理員可單獨(dú)地在相對(duì)大的新MetaHop上供給每個(gè)網(wǎng)關(guān)�。基于該列表��,策略管理器機(jī)構(gòu)可確定何時(shí)將特定的網(wǎng)關(guān)連接到局域網(wǎng)以及自動(dòng)地下載與特定的站點(diǎn)關(guān)聯(lián)的供給信息��。策略管理器機(jī)構(gòu)可位于一個(gè)新的網(wǎng)關(guān)上或它可操作在使得管理控制臺(tái)的操作針對(duì)于新的MetaHop的MetaHop中心服務(wù)器上�����。
在另一個(gè)實(shí)施方式中��,通過創(chuàng)建對(duì)應(yīng)于網(wǎng)絡(luò)上特定站點(diǎn)的序列號(hào)列表�,管理員可針對(duì)現(xiàn)有的相對(duì)較大的MetaHop配置新的網(wǎng)關(guān)�����。管理員可以利用以下指示向其他人交付該供給�����,即“拆開這些盒子中的新網(wǎng)關(guān),將它們連接到網(wǎng)絡(luò)�����,開啟它們����,當(dāng)網(wǎng)關(guān)上的某個(gè)指示告訴你網(wǎng)關(guān)已經(jīng)接收到它的憑證時(shí),拔掉它�,將它放回到它的盒子中并將其運(yùn)載到與它的序列號(hào)對(duì)應(yīng)的特定站點(diǎn)?!痹谙鄳?yīng)的站點(diǎn)處,新的網(wǎng)關(guān)可再次被接通并連接到例如互聯(lián)網(wǎng)的外部網(wǎng)絡(luò)�����,其中它可訪問MetaHop中的至少一個(gè)入口點(diǎn)并且加入�����?��?墒沟镁W(wǎng)關(guān)自動(dòng)地開始路由業(yè)務(wù)量或等待管理員在管理控制臺(tái)處允許該特性���。
在另一個(gè)實(shí)施方式中����,也通過向策略管理器機(jī)構(gòu)提供對(duì)應(yīng)于每個(gè)網(wǎng)關(guān)以及每個(gè)網(wǎng)關(guān)所屬于的特定站點(diǎn)的一列序列號(hào)�,管理員可單獨(dú)地在相對(duì)較小的新MetaHop(小于10個(gè)節(jié)點(diǎn))上供給每個(gè)網(wǎng)關(guān)?����?赏ㄟ^管理控制臺(tái)對(duì)第一網(wǎng)關(guān)加電和配置以包括足夠的管理憑證來(lái)啟動(dòng)創(chuàng)建MetaHop���。在此之后����,該第一“加電”網(wǎng)關(guān)可使用它自身的認(rèn)證授權(quán)來(lái)當(dāng)其他網(wǎng)關(guān)加電并加入MetaHop時(shí)管理所述其他網(wǎng)關(guān)的成員資格和憑證���。在這種情況下�,第一網(wǎng)關(guān)還可操作為MetaHop中心服務(wù)器���,其用于供給在本說明書其他位置所討論的其他網(wǎng)關(guān)�。代替促進(jìn)在單獨(dú)的操作系統(tǒng)上運(yùn)行的單獨(dú)的管理控制臺(tái)的操作����,通過在第一網(wǎng)關(guān)的本地操作系統(tǒng)上運(yùn)行命令行接口(CLI)、瀏覽器連接等�,第一網(wǎng)關(guān)可提供基本上與控制臺(tái)相同的操作能力。
防火墻可在MetaHop之上運(yùn)行虛擬防火墻�����。因?yàn)镸etaHop可基本上操作為較大的分布式路由器�,因此它也可被配置成虛擬防火墻在其上運(yùn)行,而不是針對(duì)每個(gè)網(wǎng)關(guān)單獨(dú)地配置防火墻�����。在一個(gè)實(shí)施方式中����,可針對(duì)特定的站點(diǎn)配置接口特定防火墻規(guī)則列表。在規(guī)則列表用于虛擬防火墻之前或之后�����,可檢查這些接口特定防火墻規(guī)則列表��。盡管防火墻的單獨(dú)實(shí)例可在每個(gè)網(wǎng)關(guān)上運(yùn)行���,但管理員可針對(duì)被自動(dòng)地應(yīng)用到每個(gè)站點(diǎn)處的每個(gè)網(wǎng)關(guān)的虛擬防火墻來(lái)管理一個(gè)防火墻規(guī)則列表�。
說明性的操作環(huán)境圖1示出其中本發(fā)明可操作的環(huán)境的一個(gè)實(shí)施方式。然而����,實(shí)現(xiàn)本發(fā)明可以不需要所有的這些組件,并且在不偏離本發(fā)明的精神或范圍的情況下可做出組件的設(shè)置和類型的改變�����。
如圖中所示�,系統(tǒng)100包括網(wǎng)關(guān)102A到102E,這些網(wǎng)關(guān)通過網(wǎng)狀拓?fù)渲械耐獠烤W(wǎng)絡(luò)經(jīng)隧道彼此連接以形成MetaHop 104�����。局域網(wǎng)(LAN)112���、114和116��、服務(wù)器120和客戶端118A和118B布置在MetaHop 104的外部并且分別與網(wǎng)關(guān)102E���、102B、102C����、102D和102A通信。另外�,MetaHop中心服務(wù)器106通過單獨(dú)的隧道與MetaHop 104中的每一個(gè)網(wǎng)關(guān)(102A到102E)通信。MetaHop中心服務(wù)器106還通過隧道與布置在另一個(gè)MetaHop 110中的網(wǎng)關(guān)(未示出)通信�����。另外�����,客戶端118B布置在MetaHop的外部并且與MetaHop中心服務(wù)器106基本上直接通信���。
MetaHop中心服務(wù)器106與管理控制臺(tái)108通信并且促進(jìn)管理控制臺(tái)108的操作����。管理控制臺(tái)108可提供儀表板(未示出)以便將MetaHop 104和MetaHop 110作為單個(gè)的實(shí)體可視地呈現(xiàn)��,并且將關(guān)于與例如LAN 112到LAN 116的內(nèi)部網(wǎng)絡(luò)關(guān)聯(lián)的面向內(nèi)部的接口的信息進(jìn)行顯示�����。
一般地��,網(wǎng)關(guān)102A到102E可虛擬地包括任何計(jì)算設(shè)備,該設(shè)備能夠連接到另一個(gè)計(jì)算設(shè)備以通過網(wǎng)絡(luò)發(fā)送和接收信息����,包括路由器、防火墻等���。另外����,服務(wù)器120和客戶端118A以及118B的設(shè)備類型還可包括虛擬的任意計(jì)算設(shè)備��,該設(shè)備能夠通過網(wǎng)絡(luò)利用例如個(gè)人計(jì)算機(jī)�����、多處理器系統(tǒng)�����、基于微處理器或可編程的消費(fèi)電子���、網(wǎng)絡(luò)PC等的有線或無(wú)線通信介質(zhì)進(jìn)行通信����。
MetaHop 104和MetaHop 110配置為使用任何形式的計(jì)算機(jī)可讀介質(zhì),以便從一個(gè)電子設(shè)備傳遞信息到能夠在開放式系統(tǒng)互聯(lián)(OSI)模型下進(jìn)行層3通信的另一個(gè)電子設(shè)備�。另外,除了局域網(wǎng)(LAN)���、廣域網(wǎng)(WAN)、直接連接(例如通過通用串行總線(USB)端口)�、其他形式的計(jì)算機(jī)可讀介質(zhì)或它們的任意組合,MetaHop還可以包括互聯(lián)網(wǎng)����。在包括那些基于不同架構(gòu)和協(xié)議的LAN的互連集合上,路由器可用作LAN之間的鏈接�����,使得消息可從一個(gè)LAN發(fā)送到另一個(gè)LAN����。另外,LAN內(nèi)的通信鏈路通?���?砂p絞線或同軸電纜,而網(wǎng)絡(luò)之間的通信鏈路可使用模擬電話線、包括T1��、T2�、T3和T4的完全或部分專用數(shù)字線、綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)���、數(shù)字用戶線(DSL)�、包括衛(wèi)星鏈路的無(wú)線鏈路或本領(lǐng)域技術(shù)人員已知的其他通信鏈路�。
另外,MetaHop 104和MetaHop 110可包括通信介質(zhì)�����,該通信介質(zhì)通常體現(xiàn)為計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊���、或例如載波��、數(shù)據(jù)信號(hào)或其他傳輸機(jī)制的調(diào)制數(shù)據(jù)信號(hào)中的其他數(shù)據(jù)��,并且包括任意的信息遞送介質(zhì)��。術(shù)語(yǔ)“調(diào)制數(shù)據(jù)信號(hào)”和“載波信號(hào)”包括這樣的信號(hào)��,其具有一個(gè)或多個(gè)它的屬性集或以關(guān)于信號(hào)中編碼信息�、指令、數(shù)據(jù)和類似等的方式改變���。通過示例�,通信介質(zhì)包括能夠在開放式系統(tǒng)互聯(lián)(OSI)模型下進(jìn)行層3通信的有線介質(zhì)���,例如但不限于雙絞線����、同軸電纜����、光纖����、波導(dǎo)和其他有線介質(zhì)以及例如但不限于聲波、RF����、紅外線和其他的無(wú)線介質(zhì)的無(wú)線介質(zhì)。
圖2示出使得由連接到MetaHop的授權(quán)用戶對(duì)內(nèi)部網(wǎng)絡(luò)上的各個(gè)資源進(jìn)行受管理的訪問的系統(tǒng)的概略圖200�����。如圖所示,MetaHop中心服務(wù)器216與MetaHop 202和MetaHop 204通信���。MetaHop中心服務(wù)器216包括若干機(jī)構(gòu)�,這些機(jī)構(gòu)包括但不限于管理控制臺(tái)218���、應(yīng)用代理220和還包括應(yīng)用代理222的虛擬專用網(wǎng)絡(luò)(VPN)應(yīng)用206��。VPN應(yīng)用206通過防火墻208耦合到內(nèi)部網(wǎng)絡(luò)(LAN 210)和“n”個(gè)資源(212和214)���。VPN 206向資源212和214中的每一個(gè)提供隧穿的通信信道。另外����,應(yīng)用代理220和222可以響應(yīng)于請(qǐng)求而向資源提供IP地址。
MetaHop 202連接到耦合到“n”個(gè)資源(232和234)的面向內(nèi)部的網(wǎng)絡(luò)(LAN 230)����。客戶端224A���、224B和224C分別連接到MetaHop中心服務(wù)器216�����、MetaHop 202和MetaHop 204���。另外��,MetaHop 204可以是多組移動(dòng)節(jié)點(diǎn)�����,例如蜂窩電話�����、尋呼機(jī)���、無(wú)線筆記本計(jì)算機(jī)��、無(wú)線個(gè)人數(shù)字助理(PDA)、無(wú)線個(gè)人計(jì)算機(jī)等。網(wǎng)關(guān)206還可包括至少一個(gè)應(yīng)用代理222�。
說明性的MetaHop中心環(huán)境圖3表示出根據(jù)本發(fā)明的一個(gè)實(shí)施方式用于實(shí)現(xiàn)MetaHop中心服務(wù)器的操作的網(wǎng)絡(luò)設(shè)備的一個(gè)實(shí)施方式。網(wǎng)絡(luò)設(shè)備300可包括比示出的組件更多的組件�。然而,所示出的組件足以公開用于實(shí)現(xiàn)本發(fā)明的示例性實(shí)施方式��。
網(wǎng)絡(luò)設(shè)備300包括處理單元312����、視頻顯示適配器314和大容量存儲(chǔ)器,所有的都經(jīng)由總線322相互通信�。大容量存儲(chǔ)器通常包括RAM 316、ROM 332以及一個(gè)或多個(gè)永久性大容量存儲(chǔ)設(shè)備�,例如硬盤驅(qū)動(dòng)器328、磁帶機(jī)�、光驅(qū)動(dòng)器和/或軟盤驅(qū)動(dòng)器。大容量存儲(chǔ)器存儲(chǔ)用于控制網(wǎng)絡(luò)設(shè)備300的操作的操作系統(tǒng)320�。可使用任何的通用操作系統(tǒng)��。還提供基本輸入/輸出系統(tǒng)(“BIOS”)318以控制網(wǎng)絡(luò)設(shè)備300的低水平操作��。如圖3中所示�����,網(wǎng)絡(luò)設(shè)備300還可經(jīng)由網(wǎng)絡(luò)接口單元310與互聯(lián)網(wǎng)通信或與一些其他的通信網(wǎng)絡(luò)通信����,該接口單元被構(gòu)建用于結(jié)合包括RIP、OSPF�����、SNMP、HTTP����、UDP/IP和TCP/IP協(xié)議的各種通信協(xié)議使用。例如����,在一個(gè)實(shí)施方式中,網(wǎng)絡(luò)接口單元310可使用利用TCP和IP多播的混合通信方案��。網(wǎng)絡(luò)接口單元310有時(shí)就是通常所說的收發(fā)器����、網(wǎng)絡(luò)接口卡(NIC)等。
如上所述的大容量存儲(chǔ)器示出了另一種類型的計(jì)算機(jī)可讀介質(zhì)�����,即計(jì)算機(jī)存儲(chǔ)介質(zhì)��。計(jì)算機(jī)存儲(chǔ)介質(zhì)可包括在任何的方法或技術(shù)中實(shí)施以便存儲(chǔ)例如計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其他數(shù)據(jù)的信息的易失性、非易失性�、可移動(dòng)的和不可移動(dòng)的介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)的例子包括RAM�����、ROM��、EEPROM��、閃存或其他存儲(chǔ)技術(shù)�、CD-ROM、數(shù)字多功能盤(DVD)或其他光學(xué)存儲(chǔ)器�����、磁帶盒��、磁帶���、磁盤存儲(chǔ)器或其他磁存儲(chǔ)設(shè)備���,或可用于存儲(chǔ)期望的信息并且可由計(jì)算設(shè)備訪問的任意其他介質(zhì)����。
大容量存儲(chǔ)器還存儲(chǔ)程序代碼和數(shù)據(jù)��。一個(gè)或多個(gè)應(yīng)用350可被加載到大容量存儲(chǔ)器并且在操作系統(tǒng)320上運(yùn)行�����。應(yīng)用程序的例子可包括代碼轉(zhuǎn)換機(jī)��、調(diào)度部件�、圖形程序、數(shù)據(jù)庫(kù)程序�、字處理程序、HTTP程序����、用戶接口程序、各種安全程序等��。大容量存儲(chǔ)器可進(jìn)一步包括例如MetaHop中心服務(wù)器360���、管理控制臺(tái)362和應(yīng)用代理364的應(yīng)用���。
結(jié)合圖1和圖2更為詳細(xì)地描述MetaHop中心服務(wù)器360、管理控制臺(tái)362和應(yīng)用代理364的實(shí)施方式��。這些應(yīng)用也可與位于網(wǎng)絡(luò)設(shè)備�����、另一個(gè)風(fēng)絡(luò)設(shè)備��、網(wǎng)關(guān)等的其他組件交互�����。其他的組件可包括客戶端應(yīng)用���、安全應(yīng)用����、傳輸應(yīng)用等���。
網(wǎng)絡(luò)設(shè)備300也可包括用于發(fā)送和接收電子郵件的SMTP處理機(jī)應(yīng)用�����、用于接收和處理HTTP請(qǐng)求的HTTP處理機(jī)應(yīng)用以及用于處理安全連接的HTTPS處理機(jī)應(yīng)用�����。HTTPS處理機(jī)應(yīng)用可以安全的方式發(fā)起與外部應(yīng)用的通信�����。此外��,網(wǎng)絡(luò)設(shè)備300可進(jìn)一步包括虛擬地支持任何安全連接的應(yīng)用����,包括但不限于TLS、TTLS�����、EAP���、SSL���、IPSec等。
網(wǎng)絡(luò)設(shè)備300還包括用于與外部設(shè)備通信的輸入/輸出接口324����,外部設(shè)備例如是鼠標(biāo)�、鍵盤����、掃描儀或圖3中未示出的其他輸入設(shè)備�����。同樣的����,網(wǎng)絡(luò)設(shè)備300可進(jìn)一步包括另外的大容量存儲(chǔ)機(jī)構(gòu),例如CD-ROM/DVD-ROM驅(qū)動(dòng)器326和硬盤驅(qū)動(dòng)器328���。硬盤驅(qū)動(dòng)器328可用于存儲(chǔ)包括應(yīng)用程序��、數(shù)據(jù)庫(kù)���、客戶端設(shè)備信息、策略��、包括但不限于證書��、密碼、口令的安全信息等����。
說明性的網(wǎng)關(guān)環(huán)境圖4表示根據(jù)本發(fā)明的一個(gè)實(shí)施方式的用于實(shí)現(xiàn)網(wǎng)關(guān)操作的網(wǎng)絡(luò)設(shè)備的一個(gè)實(shí)施方式。網(wǎng)關(guān)400可包括比示出的組件更多的組件�����。然而����,示出的組件足以公開用于實(shí)現(xiàn)本發(fā)明的示例性實(shí)施方式。
網(wǎng)絡(luò)設(shè)備400包括處理單元412�、視頻顯示適配器414和大容量存儲(chǔ)器,所有的都經(jīng)由總線422相互通信��。大容量存儲(chǔ)器通常包括RAM 416�����、ROM 432以及一個(gè)或多個(gè)永久性大容量存儲(chǔ)設(shè)備��,例如硬盤驅(qū)動(dòng)器428���、磁帶機(jī)��、光驅(qū)動(dòng)器和/或軟盤驅(qū)動(dòng)器����。大容量存儲(chǔ)器存儲(chǔ)用于控制網(wǎng)關(guān)400操作的操作系統(tǒng)420?���?墒褂萌我獾耐ㄓ貌僮飨到y(tǒng)�����。還提供基本輸入/輸出系統(tǒng)(“BIOS”)418以控制網(wǎng)關(guān)400的低水平操作�。如圖4中所示,網(wǎng)關(guān)400還可經(jīng)由網(wǎng)絡(luò)接口單元410與互聯(lián)網(wǎng)通信或與一些其他的通信網(wǎng)絡(luò)通信���,該接口單元被構(gòu)建用于結(jié)合包括RIP��、OSPF��、SNMP�����、HTTP����、UDP/IP和TCP/IP協(xié)議的各種通信協(xié)議使用。例如��,在一個(gè)實(shí)施方式中�����,網(wǎng)絡(luò)接口單元410可使用利用TCP和IP多播的混合通信方案���。網(wǎng)絡(luò)接口單元410有時(shí)就是通常所說的收發(fā)器�、網(wǎng)絡(luò)接口卡(NIC)等����。
一個(gè)或多個(gè)應(yīng)用450可被加載到大容量存儲(chǔ)器并且在操作系統(tǒng)420上運(yùn)行。應(yīng)用程序的例子可包括代碼轉(zhuǎn)換機(jī)����、調(diào)度部件、圖形程序���、數(shù)據(jù)庫(kù)程序���、字處理程序����、HTTP程序����、用戶接口程序、各種安全程序等�����。大容量存儲(chǔ)器可進(jìn)一步包括例如路由應(yīng)用460�、IPsec應(yīng)用462、防火墻464和多播應(yīng)用466的應(yīng)用����。這些應(yīng)用也可與位于網(wǎng)絡(luò)設(shè)備�����、另一個(gè)風(fēng)絡(luò)設(shè)備����、網(wǎng)關(guān)等的其他組件交互。
網(wǎng)關(guān)400也可包括用于發(fā)送和接收電子郵件的SMTP處理機(jī)應(yīng)用�、用于接收和處理HTTP請(qǐng)求的HTTP處理機(jī)應(yīng)用以及用于處理安全連接的HTTPS處理機(jī)應(yīng)用�����。HTTPS處理機(jī)應(yīng)用可以安全的方式發(fā)起與外部應(yīng)用的通信�����。此外���,網(wǎng)關(guān)400可進(jìn)一步包括虛擬地支持任何安全連接的應(yīng)用,包括但不限于TLS�����、TTLS���、EAP�����、SSL�����、IPSec等���。
網(wǎng)關(guān)400還包括用于與外部設(shè)備通信的輸入/輸出接口424�����,外部設(shè)備例如是鼠標(biāo)����、鍵盤�、掃描儀或圖4中未示出的其他輸入設(shè)備。同樣的��,網(wǎng)關(guān)400可進(jìn)一步包括另外的大容量存儲(chǔ)機(jī)構(gòu)�����,例如CD-ROM/DVD-ROM驅(qū)動(dòng)器426和硬盤驅(qū)動(dòng)器428�����。硬盤驅(qū)動(dòng)器428可用于存儲(chǔ)包括應(yīng)用程序��、數(shù)據(jù)庫(kù)����、客戶端設(shè)備信息、策略�����、包括但不限于證書��、密碼���、口令的安全信息等�。
說明性流程5示出處理500的概略流程圖���,該處理用于自動(dòng)地處理MetaHop的多個(gè)面向外部的接口使得不需要管理員花費(fèi)時(shí)間來(lái)完成�����。從開始?jí)K移動(dòng)���,處理流進(jìn)入塊502,其中MetaHop中的每個(gè)網(wǎng)關(guān)的成員資格被自動(dòng)地管理����。簡(jiǎn)言之,由管理員提供的例如附加到MetaHop的新的網(wǎng)關(guān)的站點(diǎn)和唯一標(biāo)識(shí)符(通常是序列號(hào)等)的相對(duì)基本信息用于自動(dòng)地部署新的網(wǎng)關(guān)并動(dòng)態(tài)地管理MetaHop中每個(gè)網(wǎng)關(guān)之間的隧道。
處理流向塊504��,其中自動(dòng)地管理MetaHop中每個(gè)網(wǎng)關(guān)之間的每個(gè)隧道的配置��。例如���,如果兩個(gè)網(wǎng)關(guān)之間的特定隧道不可用��,則MetaHop自動(dòng)地重新配置兩個(gè)網(wǎng)關(guān)之間的另一個(gè)臨時(shí)隧道通路���。盡管MetaHop可向管理員建議臨時(shí)隧道通路,但該配置可自動(dòng)地發(fā)生����,并且在管理員方面相對(duì)而言沒有工作量。
處理前進(jìn)到塊506���,其中MetaHop中的網(wǎng)絡(luò)設(shè)備被自動(dòng)地抽象成單個(gè)的實(shí)體����,其可以呈現(xiàn)給管理員以便監(jiān)視��。另外��,可由管理員使用管理控制臺(tái)來(lái)提供用于在MetaHop中部署新的網(wǎng)關(guān)����、將MetaHop表征為分布式和單個(gè)的實(shí)體等的信息。
步入到塊508���,處理自動(dòng)地實(shí)現(xiàn)向管理員呈現(xiàn)關(guān)于面向內(nèi)部的接口的監(jiān)視信息�。在一個(gè)實(shí)施方式中���,可使用儀表板應(yīng)用來(lái)顯示內(nèi)部網(wǎng)絡(luò)的MetaHop的面向內(nèi)部的接口的可視化����,帶有例如IP地址�、端口、狀態(tài)和類型的信息�。另外,儀表板應(yīng)用可被設(shè)置成將MetaHop的外部網(wǎng)絡(luò)的面向外部的接口作為單個(gè)的實(shí)體顯示�����,其中可在第二顯示器上呈現(xiàn)另外的信息����,例如�,節(jié)點(diǎn)�����、站點(diǎn)和網(wǎng)關(guān)���。從塊508移動(dòng)��,處理返回到執(zhí)行其他的動(dòng)作����。
圖6示出用于部署MetaHop的新的網(wǎng)關(guān)的流程圖600��。從開始?jí)K移動(dòng)到塊602����,處理提供其中新的網(wǎng)關(guān)可操作為MetaHop成員的站點(diǎn)以及例如網(wǎng)關(guān)的序列號(hào)的唯一標(biāo)識(shí)符等。在一個(gè)實(shí)施方式中��,由管理員在由MetaHop中心服務(wù)器提供促進(jìn)的管理控制臺(tái)處提供唯一的標(biāo)識(shí)符和站點(diǎn)��。
在塊604處��,新的網(wǎng)關(guān)被連接到內(nèi)部局域網(wǎng)����,其中它多播MetaHop信息。步入到塊606���,新的網(wǎng)關(guān)通過多播接收MetaHop信息���,包括但不限于入口點(diǎn)IP地址、MetaHop成員資格憑證����、例如內(nèi)部IP地址的靜態(tài)信息、例如在最初加入MetaHop時(shí)允許/禁止自動(dòng)轉(zhuǎn)發(fā)分組的配置信息�����。
在塊608處�����,將新的網(wǎng)關(guān)耦合到外部網(wǎng)絡(luò)并且單播到入口點(diǎn)IP地址��,其中它下載用于加入MetaHop的MetaHop信息的剩余部分�����。該剩余的信息可包括關(guān)于網(wǎng)關(guān)之間臨時(shí)隧道通路的重新配置的動(dòng)態(tài)MetaHop信息。
處理流向塊610�,其中它基于從內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)下載的MetaHop信息加入MetaHop。處理前進(jìn)到塊612�����,其中它能夠在MetaHop上通過隧道轉(zhuǎn)發(fā)業(yè)務(wù)量(分組)�����。在一個(gè)實(shí)施方式中���,新的網(wǎng)關(guān)自動(dòng)地開始轉(zhuǎn)發(fā)業(yè)務(wù)量����。在另一個(gè)實(shí)施方式中�,新的網(wǎng)關(guān)等待轉(zhuǎn)發(fā)業(yè)務(wù)量直到該功能由管理員確認(rèn)。下一步����,處理返回到執(zhí)行其他的動(dòng)作。
圖7示出用于實(shí)現(xiàn)MetaHop中隧道的自動(dòng)重新配置的流程圖700�����。從開始?jí)K移動(dòng),處理步入到確定塊702�,其中做出關(guān)于MetaHop中網(wǎng)關(guān)之間的隧道是否變得不可用的確定。如果是可用的�,處理前進(jìn)到塊704,其中MetaHop自動(dòng)地確定針對(duì)初始隧道的臨時(shí)隧道通路����。在接下來(lái)的情況中����,該臨時(shí)隧道通路可使用中間網(wǎng)關(guān)之間的多個(gè)隧道以基本上替代兩個(gè)網(wǎng)關(guān)之間的不可用的初始隧道。
步入到塊706��,處理自動(dòng)地以臨時(shí)隧道通路更新MetaHop中的每個(gè)網(wǎng)關(guān)���。另外����,一旦初始的隧道再次變得可用����,則MetaHop將自動(dòng)地以初始隧道再次更新每個(gè)網(wǎng)關(guān)。下一步�����,處理返回到執(zhí)行其他的動(dòng)作。
圖8A示出用于提供顯示關(guān)于例如內(nèi)部網(wǎng)絡(luò)的MetaHop的面向內(nèi)部的接口的信息的示例性儀表板800的框圖�����。所示的儀表板顯示關(guān)于內(nèi)部網(wǎng)絡(luò)的信息�����,包括IP地址�����、端口�����、狀態(tài)和類型�����。另外��,儀表板被設(shè)置成將MetaHop作為單個(gè)的實(shí)體顯示。在另一個(gè)實(shí)施方式中��,可以根本不顯示關(guān)于MetaHop的信息�,除非發(fā)生嚴(yán)重的問題。圖8B表示提供關(guān)于例如網(wǎng)關(guān)��、節(jié)點(diǎn)和站點(diǎn)的MetaHop的面向外部的接口的第二顯示信息的示例性儀表板810的框圖�。
此外,將理解到上述的流程圖示例的每個(gè)塊以及上述流程圖示例中的塊的組合可由計(jì)算機(jī)程序指令實(shí)施����?����?上蛱幚砥魈峁┻@些程序指令以生成機(jī)器����,使得在處理器上執(zhí)行的指令創(chuàng)建用于實(shí)施在流程圖塊或多個(gè)塊中指定的動(dòng)作的裝置?�?捎商幚砥鱽?lái)執(zhí)行計(jì)算機(jī)程序指令以使得由處理器執(zhí)行一系列的操作性步驟從而生成計(jì)算機(jī)實(shí)現(xiàn)的處理��,使得在處理器上執(zhí)行的指令提供用于在流程圖塊或多個(gè)塊中指定的動(dòng)作的步驟���。
因此����,流程圖示例的塊支持用于執(zhí)行特定動(dòng)作的裝置的組合,用于執(zhí)行指定動(dòng)作的步驟的組合以及用于執(zhí)行指定的動(dòng)作的程序指令裝置����。還將理解到流程示例的每個(gè)塊以及流程示例中的塊的組合可由基于專用硬件的系統(tǒng)來(lái)實(shí)施,該系統(tǒng)執(zhí)行指定的動(dòng)作或步驟���,或?qū)S糜布陀?jì)算機(jī)指令的組合來(lái)實(shí)施����。
上面的規(guī)范�、例子和數(shù)據(jù)提供對(duì)本發(fā)明的組成的加工和使用的全面描述。因?yàn)楸景l(fā)明的許多實(shí)施方式可在沒有偏離本發(fā)明的精神和范圍的情況下做出�����,所以本發(fā)明包含于后面所附的權(quán)利要求書中��。
權(quán)利要求
1.一種用于提供安全通信的系統(tǒng)�����,包括地理分布式虛擬互聯(lián)網(wǎng)協(xié)議(IP)路由器,其包括多個(gè)網(wǎng)關(guān)��,其中為每個(gè)所述網(wǎng)關(guān)提供至少一個(gè)隧道以與其他多個(gè)網(wǎng)關(guān)中的至少一個(gè)網(wǎng)關(guān)通信�,并且其中所述地理分布式虛擬IP路由器執(zhí)行以下動(dòng)作,包括使得地理分布式虛擬IP路由器作為單個(gè)的實(shí)體操縱��;以及針對(duì)在地理分布式虛擬IP路由器中變得不可用于通信的每個(gè)隧道自動(dòng)地重新配置臨時(shí)隧道����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括應(yīng)用代理����,用于響應(yīng)于請(qǐng)求而向應(yīng)用提供IP地址。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中所述地理分布式虛擬IP路由器執(zhí)行進(jìn)一步的動(dòng)作,包括使得通過內(nèi)部網(wǎng)絡(luò)向所述新的網(wǎng)關(guān)部分地供給地理分布式虛擬IP路由器信息�;通過外部網(wǎng)絡(luò)向所述新的網(wǎng)關(guān)自動(dòng)地供給剩余的地理分布式虛擬IP路由器信息;以及使用供給的地理分布式虛擬IP路由器信息來(lái)通過所述外部網(wǎng)絡(luò)自動(dòng)地將所述新的網(wǎng)關(guān)加入到所述地理分布式虛擬IP路由器�����。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,進(jìn)一步包括中心服務(wù)器,該服務(wù)器執(zhí)行進(jìn)一步的動(dòng)作�,包括如果所述隧道變得可用于通信,則自動(dòng)地將所述臨時(shí)隧道重新配置回所述隧道�。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括管理控制臺(tái)�����,其實(shí)現(xiàn)作為單個(gè)實(shí)體的地理分布式虛擬IP路由器的操作的自動(dòng)地管理����。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),進(jìn)一步包括儀表板�����,其提供將地理分布式虛擬IP路由器作為單個(gè)的實(shí)體的可視化表示����。
7.根據(jù)權(quán)利要求5所述的系統(tǒng),進(jìn)一步包括儀表板����,其提供與耦合到所述地理分布式虛擬IP路由器中至少一個(gè)網(wǎng)關(guān)的面向內(nèi)部的接口相關(guān)的信息的顯示��。
8.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中IPsec用于所述地理分布式虛擬IP路由器中網(wǎng)關(guān)之間的隧穿通信。
9.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,進(jìn)一步包括虛擬防火墻��,其可用作所述地理分布式虛擬IP路由器中的單個(gè)實(shí)體���。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其中所述虛擬防火墻進(jìn)一步提供所述地理分布式虛擬IP路由器中每個(gè)網(wǎng)關(guān)處的單獨(dú)的防火墻����。
11.一種用于在節(jié)點(diǎn)之間提供安全通信的方法�,包括使得地理分布式虛擬IP路由器為每個(gè)網(wǎng)關(guān)提供至少一個(gè)隧道以便與所述地理分布式虛擬IP路由器中至少一個(gè)對(duì)端網(wǎng)關(guān)通信�,其中將所述地理分布式虛擬IP路由器設(shè)置成作為單個(gè)的實(shí)體操縱;以及使得中心服務(wù)器執(zhí)行動(dòng)作�,包括針對(duì)所述地理分布式虛擬IP路由器中不可用于通信的每個(gè)隧道自動(dòng)地配置臨時(shí)隧道����。
12.根據(jù)權(quán)利要求11所述的方法�,進(jìn)一步包括使用應(yīng)用代理以便響應(yīng)于請(qǐng)求而針對(duì)應(yīng)用提供IP地址。
13.根據(jù)權(quán)利要求11所述的方法����,進(jìn)一步包括使用所述地理分布式虛擬IP路由器來(lái)自動(dòng)地供給新的網(wǎng)關(guān),以便連接到入口點(diǎn)并且加入所述地理分布式虛擬IP路由器��。
14.根據(jù)權(quán)利要求13所述的方法�����,進(jìn)一步包括至少部分地基于與所述網(wǎng)關(guān)關(guān)聯(lián)的序列號(hào)以及其中將操作所述新的網(wǎng)關(guān)的站點(diǎn)�,使得能夠自動(dòng)地供給所述新的網(wǎng)關(guān)。
15.根據(jù)權(quán)利要求11所述的方法��,進(jìn)一步包括使用管理控制臺(tái)以實(shí)現(xiàn)作為單個(gè)實(shí)體的地理分布式虛擬IP路由器的操作的自動(dòng)地管理�����。
16.根據(jù)權(quán)利要求15所述的方法�����,進(jìn)一步包括使得儀表板提供將地理分布式虛擬IP路由器作為單個(gè)實(shí)體的可視化表示,其中所述儀表板能夠提供對(duì)于與耦合到所述地理分布式虛擬IP路由器中至少一個(gè)網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)相關(guān)的信息的顯示�。
17.根據(jù)權(quán)利要求11所述的方法,其中IPsec用于所述地理分布式虛擬IP路由器中網(wǎng)關(guān)之間的所述隧道�。
18.根據(jù)權(quán)利要求11所述的方法,進(jìn)一步包括使得虛擬防火墻用作所述地理分布式虛擬IP路由器中的單個(gè)實(shí)體����。
19.根據(jù)權(quán)利要求18所述的方法,其中所述虛擬防火墻進(jìn)一步提供所述地理分布式虛擬IP路由器中每個(gè)網(wǎng)關(guān)處的單獨(dú)的防火墻����。
20.一種用于在節(jié)點(diǎn)之間提供安全通信的設(shè)備,包括用于地理分布式虛擬IP路由器為每個(gè)網(wǎng)關(guān)提供至少一個(gè)隧道以便與所述地理分布式虛擬IP路由器中至少一個(gè)對(duì)端網(wǎng)關(guān)通信的裝置�,其中將所述地理分布式虛擬IP路由器設(shè)置成作為單個(gè)的實(shí)體操縱;以及用于中心服務(wù)器執(zhí)行動(dòng)作的裝置����,所述動(dòng)作包括針對(duì)所述地理分布式虛擬IP路由器中不可用于通信的每個(gè)隧道自動(dòng)地配置臨時(shí)隧道。
全文摘要
一種用于管理作為單個(gè)的實(shí)體被操縱���、管理和監(jiān)視的分布式MetaHop的系統(tǒng)�����。如果新的網(wǎng)關(guān)添加到MetaHop��,則由管理員向網(wǎng)關(guān)供給成員資格憑證����,管理員指示用于新的網(wǎng)關(guān)加入MetaHop的相對(duì)基本信息��。一旦供給相對(duì)基本信息���,則新的網(wǎng)關(guān)可被運(yùn)載到相對(duì)遠(yuǎn)程的站點(diǎn)�����,其中該網(wǎng)關(guān)可自動(dòng)地找出到MetaHop的入口點(diǎn)�。在連接到入口點(diǎn)(或多個(gè)入口點(diǎn))后�,則自動(dòng)地向新的網(wǎng)關(guān)供給用于加入MetaHop的任何其他信息。在一個(gè)實(shí)施方式中����,自動(dòng)地允許加入的網(wǎng)關(guān)轉(zhuǎn)發(fā)業(yè)務(wù)量。在另一個(gè)實(shí)施方式中�����,新的網(wǎng)關(guān)被禁止用于業(yè)務(wù)量轉(zhuǎn)發(fā)直到管理員允許其在MetaHop上進(jìn)行這樣的轉(zhuǎn)發(fā)����。
文檔編號(hào)G06F11/00GK1985251SQ200580023268
公開日2007年6月20日 申請(qǐng)日期2005年5月31日 優(yōu)先權(quán)日2004年6月4日
發(fā)明者詹姆斯·戴維·阿斯尼斯 申請(qǐng)人:諾基亞公司