專利名稱:一種為動(dòng)態(tài)虛擬私用網(wǎng)絡(luò)提供資源的方法
技術(shù)領(lǐng)域:
本發(fā)明總的來(lái)講涉及一種系統(tǒng)和方法�����,其用來(lái)在另一站點(diǎn)(客戶站點(diǎn))動(dòng) 態(tài)地管理某一站點(diǎn)(服務(wù)器站點(diǎn))所分配的資源����,本發(fā)明特別涉及一種方法, 其以一種透明的方式在不需要管理人員知道其它網(wǎng)絡(luò)拓?fù)涞那闆r下在另一站點(diǎn) (客戶站點(diǎn))動(dòng)態(tài)地管理某一站點(diǎn)(服務(wù)器站點(diǎn))所擁有的資源��。
背景技術(shù):
用來(lái)將分布的計(jì)算機(jī)系統(tǒng)互聯(lián)的一種最常用的網(wǎng)絡(luò)就是互聯(lián)網(wǎng)�����?����;ヂ?lián)網(wǎng)能 夠使計(jì)算機(jī)系統(tǒng)的用戶在整個(gè)世界范圍內(nèi)交換數(shù)據(jù)���。此外���,許多公司網(wǎng)或商業(yè) 網(wǎng)形式的專用網(wǎng)也連接互聯(lián)網(wǎng)上。這些專用網(wǎng)通常被稱為"內(nèi)聯(lián)網(wǎng)"�。為了方便 數(shù)據(jù)的交換�,內(nèi)聯(lián)網(wǎng)通常釆用與互聯(lián)網(wǎng)相同的通訊協(xié)議��。這些互聯(lián)網(wǎng)協(xié)議(IP) 規(guī)定了數(shù)據(jù)的格式形式和通訊方式�����。此外���,公司網(wǎng)或內(nèi)聯(lián)網(wǎng)的接入可由虛擬專 用網(wǎng)關(guān)或設(shè)備來(lái)控制���。
隨著互聯(lián)網(wǎng)的不斷發(fā)展,商業(yè)上已經(jīng)將互聯(lián)網(wǎng)作為其自身網(wǎng)絡(luò)的一種延伸�。 首先是內(nèi)聯(lián)網(wǎng),其成為一種在設(shè)計(jì)上僅能由公司職員使用的接入控制站點(diǎn)?�,F(xiàn)
在�����,許多公司都生成它們自身的VPN(虛擬專用網(wǎng))���,這種網(wǎng)由多個(gè)網(wǎng)絡(luò)結(jié)點(diǎn) 構(gòu)成用來(lái)滿足遠(yuǎn)程職員和遠(yuǎn)程辦公的需要。該VPN總體來(lái)講是一種利用公共網(wǎng) 絡(luò)(通常為互聯(lián)網(wǎng))將遠(yuǎn)程站點(diǎn)或用戶連接起來(lái)的專用網(wǎng)����。與使用專門的����、真 實(shí)世界的連接如租用的線路不同�,VPN使用"虛擬的"連接,從公司的專用網(wǎng) 絡(luò)經(jīng)由互聯(lián)網(wǎng)到達(dá)遠(yuǎn)程的站點(diǎn)或職員���。
在一種典型的配置中��,局域網(wǎng)要使用多個(gè)指定的"虛擬"IP地址子網(wǎng)(如 192.168.x.x,20.x.x.x或172.16.x.x-172.31.x.x )中的一個(gè)以及一個(gè)路由器��,在該路 由器上���,網(wǎng)絡(luò)在其地址空間中有一個(gè)專用的地址(如192.168.0.1 )。該路由器同
樣也通過(guò)互聯(lián)網(wǎng)服務(wù)提供商(ISP)分配的一個(gè)"公共"地址或多個(gè)"公共"地 址連接到互聯(lián)網(wǎng)上����。當(dāng)通信從局域網(wǎng)送到互聯(lián)網(wǎng)時(shí),每一個(gè)包中的源地址均在 飛速地從專用地址傳遞到公共地址�。該路由器跟蹤每一個(gè)活躍連接的基本數(shù)據(jù) (特別是目標(biāo)地址和端口 )。當(dāng)有一個(gè)應(yīng)答返回到路由器時(shí)�����,其利用輸出階段保 存的連接跟蹤數(shù)據(jù)來(lái)確定內(nèi)部網(wǎng)上哪里發(fā)出的應(yīng)答。
由于通常會(huì)有多個(gè)客戶想接入一個(gè)具有多個(gè)應(yīng)用系統(tǒng)的服務(wù)器����,因此最好 是能夠提供一種方法和系統(tǒng),其能在另一個(gè)站點(diǎn)(客戶站點(diǎn))以一種透明的方 式動(dòng)態(tài)地分配某一站點(diǎn)(服務(wù)器站點(diǎn))所具有的資源����,而不需要管理員知道其 它網(wǎng)絡(luò)拓?fù)洹?br>
發(fā)明內(nèi)容
在本發(fā)明的一個(gè)實(shí)施例中提供了一種管理資源的方法,其包括在一個(gè)第
一站點(diǎn)至少存放一種資源����;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接;
將可獲得的資源列表輸出到第二站點(diǎn)�����,其中的第二站點(diǎn)至少向 一個(gè)客戶公開所
述獲得的資源列表����;以及向至少一個(gè)客戶提供至少一種資源的IP地址,從而從 第 一站點(diǎn)向第二站點(diǎn)提供至少 一種資源�����。
本發(fā)明的另一個(gè)實(shí)施例提供了一種提供資源的方法,其包括在一個(gè)第一 站點(diǎn)至少存放一種資源�����;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接����;將 第一站點(diǎn)處可獲得的資源列表輸出到第二站點(diǎn)�����,其中的第一站點(diǎn)和第二站點(diǎn)均 為虛擬專用網(wǎng)關(guān)���;以及將獲得的資源列表中的至少 一種資源提供給與第二站點(diǎn) 相關(guān)聯(lián)的至少一個(gè)客戶��。
本發(fā)明的另一實(shí)施例提供一種提供資源的方法����,其包括在一個(gè)第一站點(diǎn) 至少存放一種資源�����;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接�����;將第一 站點(diǎn)處可獲得的資源列表輸出到第二站點(diǎn),其中的第一站點(diǎn)和第二站點(diǎn)均為虛 擬專用網(wǎng)關(guān)���;將可獲得的資源列表中的至少一種資源提供給與第二站點(diǎn)相關(guān)聯(lián) 的至少一個(gè)客戶��;以及其中每一種可獲得的資源均由一個(gè)資源名稱��、 一服務(wù)器 端口以及一動(dòng)態(tài)生成的標(biāo)識(shí)符所標(biāo)識(shí)�。
下面參照附圖并結(jié)合優(yōu)選實(shí)施例來(lái)描述本發(fā)明���,其中相同的附圖標(biāo)記表示 相同的部件��,其中
圖1所示為具有可靠的站點(diǎn)對(duì)站點(diǎn)應(yīng)用系統(tǒng)接入的一虛擬專用網(wǎng)的示意 圖���,其根據(jù)的是在另一站點(diǎn)(客戶站點(diǎn))動(dòng)態(tài)提供某一站點(diǎn)(服務(wù)器站點(diǎn))所
分配資源的實(shí)施例;
圖2所示為具有可控應(yīng)用系統(tǒng)接入的一虛擬專用網(wǎng)的示意圖�����,其根據(jù)另一 個(gè)實(shí)施例在另一站點(diǎn)(客戶站點(diǎn))選擇地將所分配資源提供給某一站點(diǎn)(服務(wù) 器站點(diǎn))����;
圖3所示為具有應(yīng)用系統(tǒng)系統(tǒng)到應(yīng)用系統(tǒng)的接入的一虛擬專用網(wǎng)的示意 圖����,其根據(jù)另 一個(gè)實(shí)施例釆用域名系統(tǒng)(DNS)和DHCP以便動(dòng)態(tài)地提供資源�����;
圖4所示為 一系統(tǒng)的示意圖��,該系統(tǒng)根據(jù)另 一實(shí)施例為網(wǎng)絡(luò)到網(wǎng)絡(luò)的連通 性提供一子網(wǎng)��;
圖5所示為 一系統(tǒng)的示意圖���,該系統(tǒng)根據(jù)另 一實(shí)施例通過(guò)一 中間站點(diǎn)來(lái)提
供一資源。
具體實(shí)施例方式
顯然�,現(xiàn)今許多工業(yè)和許多企業(yè)都在想通過(guò)提高雇員生產(chǎn)率、商業(yè)靈活性���、 理順網(wǎng)絡(luò)管理��、大幅降低成本來(lái)簡(jiǎn)化和優(yōu)化它們的商業(yè)運(yùn)作�。為了提供一種可
靠����、根據(jù)請(qǐng)求隨時(shí)可用的內(nèi)部和遠(yuǎn)程接入,虛擬專用網(wǎng)(VPN)設(shè)備可將職員 與遠(yuǎn)程的應(yīng)用系統(tǒng)和信息相連從而滿足客戶的需要,從小型的區(qū)域商業(yè)到大型 的全球性企業(yè)�,從金融服務(wù)和醫(yī)療衛(wèi)生到政府和教育都包括在內(nèi)。例如��,可靠 地接入應(yīng)用系統(tǒng)和網(wǎng)絡(luò)化內(nèi)容幾乎可被所有類型的商業(yè)所應(yīng)用�����,如��,醫(yī)療衛(wèi)生 機(jī)構(gòu)中的管理和臨床應(yīng)用以及病人記錄的快速可靠接入的分配�,提高客戶服務(wù) 的同時(shí)減少金融機(jī)構(gòu)的成本,由供應(yīng)鏈以及零售商的雇員生成出最優(yōu)的生產(chǎn)率��,
快速可靠地接入行政和教育的應(yīng)用系統(tǒng)����;為政府部門的重要工作和數(shù)據(jù)提供快 速接入和鐵夾般的可靠性;提供快速可靠接入和電子郵件服務(wù)�����,最佳獲得性以
及在互聯(lián)網(wǎng)上流水管理可靠性的能力�����。
網(wǎng)絡(luò)化的應(yīng)用有助于商業(yè)系統(tǒng)的集成,這樣它們就能共享信息并且還能將 雇員����、提供商和管理人員連接到自動(dòng)化商業(yè)過(guò)程中。無(wú)論互聯(lián)網(wǎng)是用于金融����、 供應(yīng)鏈、客戶關(guān)系管理還是用于其它的商業(yè)關(guān)鍵應(yīng)用中�����,其基本需要都基本相 同,即如果沒(méi)有適當(dāng)級(jí)別的性能、獲得性和安全性時(shí)���,應(yīng)用系統(tǒng)就不會(huì)回傳傳 輸信息��。 一虛擬專用網(wǎng)的網(wǎng)關(guān)系統(tǒng)能通過(guò)使商業(yè)行為減少供應(yīng)成本�����、提高雇員 的在崗/招募并能使雇員更好地集中在其責(zé)任���,從而使商業(yè)行為在應(yīng)用系統(tǒng)基礎(chǔ) 設(shè)施上的投資收益最大化�����。此外����,隨著商業(yè)越來(lái)越需要通過(guò)網(wǎng)絡(luò)自服務(wù)程序來(lái) 獲取數(shù)據(jù)和服務(wù)�,人們?cè)絹?lái)越需要在VPN網(wǎng)關(guān)的性能、實(shí)用性和安全性更好的 產(chǎn)品和解決方案����。
圖1所示為一虛擬專用網(wǎng)(VPN)系統(tǒng)10的示意圖,其根據(jù)的是在第二站 點(diǎn)50 (客戶站點(diǎn))動(dòng)態(tài)地在某一站點(diǎn)30 (或服務(wù)器站點(diǎn))提供所分配資源的實(shí) 施例�����。如圖1所示����,系統(tǒng)IO包括至少兩個(gè)虛擬專用網(wǎng)(VPN)設(shè)備或網(wǎng)關(guān) 20; —第一站點(diǎn)30,其至少具有一個(gè)應(yīng)用系統(tǒng)服務(wù)器32,該服務(wù)器構(gòu)造成至少 擁有一個(gè)應(yīng)用系統(tǒng)�����;以及至少一個(gè)第二站點(diǎn)50�。至少的這一個(gè)第二站點(diǎn)50使 客戶(或客人)能夠借助于至少的兩個(gè)VPN設(shè)備或網(wǎng)關(guān)20接入第一站點(diǎn)30��, 從而借助于一通訊網(wǎng)絡(luò)12 (即互聯(lián)網(wǎng))遠(yuǎn)程接入該應(yīng)用系統(tǒng)服務(wù)器32����。第二站 點(diǎn)50還可包括至少 一個(gè)應(yīng)用系統(tǒng)服務(wù)器52����,該應(yīng)用系統(tǒng)服務(wù)器52至少具有一 個(gè)應(yīng)用系統(tǒng)。顯然����,第一站點(diǎn)30和第二站點(diǎn)50在使用時(shí)可以互換,即����,第一 站點(diǎn)30可用作第二站點(diǎn)50�����,反之亦然�,條件是系統(tǒng)IO包括雙向的應(yīng)用系統(tǒng)到 應(yīng)用系統(tǒng)的接入。
例如��,如圖1所示����,第一站點(diǎn)30(即����,公司總部)包括有一個(gè)應(yīng)用系統(tǒng)服 務(wù)器32�。第二站點(diǎn)50包括至少一個(gè)客戶或客戶機(jī)54,作為優(yōu)選其包括至少兩 個(gè)客戶或客戶機(jī)54�,其中的客戶可包括多個(gè)客戶(即,客戶A和客戶B)�,第 一站點(diǎn)30的公司的其它辦公室。每一個(gè)客戶站點(diǎn)50還可包括至少一個(gè)應(yīng)用系 統(tǒng)服務(wù)器52�����,這里的第一站點(diǎn)30(公司總部)可獲取客戶站點(diǎn)應(yīng)用系統(tǒng)服務(wù)器 52上的應(yīng)用系統(tǒng)或資源���。在這種情況下�,就存在有一個(gè)雙向的應(yīng)用系統(tǒng)到應(yīng)用系統(tǒng)的接入����。
在一實(shí)施例中,VPN設(shè)備或網(wǎng)關(guān)20構(gòu)造成能夠防止未授權(quán)的用戶使用一 個(gè)認(rèn)證�����、授權(quán)和財(cái)務(wù)/審計(jì)系統(tǒng)如AAA來(lái)破壞專用資源。VPN設(shè)備的工作由安 全策略����,如認(rèn)證和授權(quán)服務(wù)器或一 AAA服務(wù)器來(lái)確定。AAA服務(wù)器能夠在VPN 設(shè)備上實(shí)現(xiàn)�,或者是用作一個(gè)專用服務(wù)器來(lái)與VPN設(shè)備進(jìn)行通訊。該認(rèn)證或授 權(quán)(或AAA)服務(wù)器可在一遠(yuǎn)程接入VPN的環(huán)境中用于更為安全的接入����。當(dāng) 有一客戶請(qǐng)求建立一會(huì)議時(shí),該請(qǐng)求就委托給認(rèn)證和授權(quán)(AAA)服務(wù)器�。
圖2所示為 一動(dòng)態(tài)VPN系統(tǒng)10的示意圖,其通過(guò)在另 一站點(diǎn)(客戶站點(diǎn)) 在選擇地提供某一站點(diǎn)(服務(wù)器站點(diǎn))所分配資源而具有一安全的應(yīng)用系統(tǒng)到 應(yīng)用系統(tǒng)接入�。圖2所示的系統(tǒng)IO可提供由第一站點(diǎn)30所分配多個(gè)資源的可 控接入。這些資源可由多個(gè)客戶站點(diǎn)50安全地獲取���,這里的多個(gè)客戶站點(diǎn)50 對(duì)其它已接入到這些資源的客戶來(lái)說(shuō)是透明的��。如圖2所示�����,系統(tǒng)10可包括多 個(gè)VPN網(wǎng)關(guān)20,這些網(wǎng)關(guān)20將多個(gè)第二站點(diǎn)50 (如,客戶站點(diǎn)53或客戶A, 客戶站點(diǎn)55或客戶B�����,以及客戶站點(diǎn)57或客戶C)與第一站點(diǎn)30(服務(wù)器站 點(diǎn))相連,其中的第一站點(diǎn)30在結(jié)構(gòu)分配有多個(gè)資源或應(yīng)用系統(tǒng)�。在使用中, 在第一站點(diǎn)30和第二站點(diǎn)50之間優(yōu)選建立起一條安全的通道16���。第一站點(diǎn)30 和第二站點(diǎn)50優(yōu)選通過(guò)一虛擬的專用網(wǎng)絡(luò)網(wǎng)關(guān)31���、 51連接起來(lái)。顯然���,第一 站點(diǎn)30和第二站點(diǎn)50也可是任易一種合適的網(wǎng)絡(luò)設(shè)備�。盡管如圖2所示��,系 統(tǒng)IO構(gòu)造成從第二站點(diǎn)50到第一站點(diǎn)30的單向接入�,但顯然第二站點(diǎn)50也 可配置成至少存放有一個(gè)資源或應(yīng)用系統(tǒng)(圖中未示出),這樣站點(diǎn)30��、 50就 可在例如一公司內(nèi)或是合伙人之間的e-mail交換中用作一個(gè)服務(wù)器站點(diǎn)和一個(gè) 客戶站點(diǎn)����。系統(tǒng)IO按要求提供一種可靠的應(yīng)用系統(tǒng)到應(yīng)用系統(tǒng)的接入,其能使 資源和應(yīng)用系統(tǒng)如遠(yuǎn)程打印、文件服務(wù)器以及電子郵件轉(zhuǎn)發(fā)和提供對(duì)互聯(lián)網(wǎng)具 有安全和透明性���。此外����,該系統(tǒng)10顯然還能在不改變客戶和/或用戶網(wǎng)絡(luò)的情 況下做到該網(wǎng)絡(luò)中����。
在本實(shí)施例中,每一個(gè)站點(diǎn)30��、 50均優(yōu)選包含至少一個(gè)資源���,該資源可在 管理人員不知道其它網(wǎng)絡(luò)拓樸的情況下以透明的方式被遠(yuǎn)程獲取���。資源或應(yīng)用
系統(tǒng)32的列表優(yōu)選一個(gè)站點(diǎn)接著一個(gè)站點(diǎn)地被公開。因此�,如圖2所示,第二
站點(diǎn)50構(gòu)造成可讀取第一站點(diǎn)30上的多個(gè)資源32,其可被標(biāo)識(shí)為App-Sl�、 App-S2、 App-S3和App-S4��。因此��,最好不要使每一個(gè)第二站點(diǎn)50都能獲取每 一個(gè)資源32,每一個(gè)第一站點(diǎn)30優(yōu)選通過(guò)第二站點(diǎn)50來(lái)公開可獲得的資源32 的列表�。例如,客戶站點(diǎn)53 (或客戶A)可獲得App-Sl��,客戶站點(diǎn)55 (或客 戶B )可獲得App-S2��,客戶站點(diǎn)57 (或客戶C )可獲得App-S3和App-S4���。該 VPN網(wǎng)關(guān)20通過(guò)一個(gè)合適的接入控制列表(ACL)或其它合適的系統(tǒng)或者是 這些應(yīng)用系統(tǒng)或資源的獲取權(quán)的確定協(xié)議來(lái)控制資源的獲取��。該ACL優(yōu)選為在 當(dāng)?shù)夭捎?�,這樣就能在第二站點(diǎn)50和第一站點(diǎn)30來(lái)對(duì)多個(gè)資源或應(yīng)用系統(tǒng)的 獲取進(jìn)行管理�����,由此每一個(gè)客戶站點(diǎn)50均能將獲取限制到一定的用戶或客戶設(shè) 備54���,同時(shí)第一站點(diǎn)30也能夠?qū)?lái)自某一客戶站點(diǎn)50的接入進(jìn)行限制。
在一實(shí)施例中�����,第一站點(diǎn)30可具有一個(gè)集中的用戶認(rèn)證系統(tǒng)����,該系統(tǒng)布置 在第一站點(diǎn)30中��。此外���,優(yōu)選根據(jù)需要提出或建立一個(gè)安全通道從而使該系統(tǒng) 能夠使其工作效率達(dá)到最大。
在另 一實(shí)施例中����,系統(tǒng)10還為當(dāng)?shù)睾瓦h(yuǎn)程的應(yīng)用系統(tǒng)和資源提供了 一個(gè)網(wǎng)
絡(luò)接入點(diǎn)。此外���,系統(tǒng)io的配置顯然應(yīng)能使最終端的用戶或客戶僅能獲得那些
其已接入的應(yīng)用系統(tǒng)��,并且其配置成還應(yīng)當(dāng)使用戶(即客戶或客戶機(jī))54僅能 "看到"那些用戶已進(jìn)入的資源或應(yīng)用系統(tǒng)32���。
在一實(shí)施例中,系統(tǒng)10能夠在另一站點(diǎn)(第二站點(diǎn)50)上以下面的方式 動(dòng)態(tài)地提供某一站點(diǎn)(第一站點(diǎn)30)所配置的資源32,即資源32對(duì)其它接入 該應(yīng)用系統(tǒng)的用戶來(lái)說(shuō)是透明的����。第一站點(diǎn)30優(yōu)選包括一種資源32,例如所 謂"郵件服務(wù)器"的郵件服務(wù)器資源。該郵件服務(wù)器構(gòu)造成具有一個(gè)數(shù)字化IP 地址10丄1.5和端口 25�����。第二站點(diǎn)50連接到第一站點(diǎn)30上并接收可獲得的資 源列表。為了保持網(wǎng)絡(luò)工作的安全性��,只將獲取該資源所需的最少數(shù)據(jù)傳輸出 去�。在一實(shí)施例中�,只有資源的名稱、服務(wù)器端口和唯一的識(shí)別符會(huì)被輸出到 第二站點(diǎn)50���。其中唯一的識(shí)別符可以是任易的數(shù)值�,例如��,其可以是l���。第二 站點(diǎn)50接收"郵件服務(wù)器"���、端口25和idl。
為了使遠(yuǎn)程的資源的能夠在當(dāng)?shù)孬@得��,第二站點(diǎn)50優(yōu)選包括 一個(gè)動(dòng)態(tài)主機(jī)
分配協(xié)議(DHCP)服務(wù)器����,其配置在第二站點(diǎn)50上。此外還可在第二站點(diǎn)50 上的IP池中為客戶和服務(wù)器選擇IP地址�。IP地址應(yīng)從這些池中獲取而不是從 一個(gè)外部服務(wù)器獲得�����。顯然��,其它合適的協(xié)議和規(guī)則也能使第二站點(diǎn)50請(qǐng)求并 從第一站點(diǎn)30獲得一個(gè)互聯(lián)網(wǎng)地址���,其中的第一站點(diǎn)30具有一個(gè)可供分配使 用的地址列表。在一實(shí)施例中���,DHCP服務(wù)器會(huì)在提供遠(yuǎn)程資源時(shí)提供可獲得 的IP地址供第二站點(diǎn)50使用����。例如��,資源"郵件服務(wù)器"可被分配IP地址 192.168丄10�。此時(shí),第二站點(diǎn)50開始為資源的"郵件服務(wù)器'�,接收192.168丄10 端口25上的連接。顯然�,為了使所需的唯一IP地址數(shù)目最少,多個(gè)資源可重 復(fù)使用同一個(gè)IP�,只要端口不相重疊即可。
每當(dāng)?shù)诙军c(diǎn)50在192.168丄10端口 25上接收到一個(gè)連接�,就會(huì)打通通 道16到第一站點(diǎn)30的通訊�����。第二站點(diǎn)50優(yōu)選還包括有用來(lái)識(shí)別通訊源頭處特 定客戶機(jī)的信息����。顯然�����,每當(dāng)檢測(cè)到一個(gè)新的客戶時(shí)都能生成一個(gè)動(dòng)態(tài)的客戶 識(shí)別符�����。該動(dòng)態(tài)客戶識(shí)別符或客戶id優(yōu)選是一個(gè)隨機(jī)但唯一的數(shù)值��,該數(shù)值中 并不包含有客戶的信息�。例如���,該客戶id可以是數(shù)值2��。然后����,第二站點(diǎn)50 就通知第一站點(diǎn)30,客戶2正試圖連接資源1����。
此外,第一站點(diǎn)30顯然還需要分配客戶IP地址(或者是客戶機(jī)IP地址)�����, 其可用作資源地址以便連接到可獲得的資源上��。通常來(lái)講�,只有在第一站點(diǎn)30 必須初始連回客戶的情況(即,有效模式文件傳輸協(xié)議(FTP))下�,使用客戶 IP地址。該客戶IP地址還可從第一站點(diǎn)30上的DHCP服務(wù)器獲得���。在第一站 點(diǎn)30上����,這些IP地址不可能被多個(gè)客戶重復(fù)使用���,每一個(gè)客戶可以要求獲得 其自己的IP地址��,因?yàn)樗枰亩丝诓豢赡茉谑孪缺淮_定下來(lái)���。從提供給客戶 的資源那里接收到的信息量從資源idl為客戶id2送回到第二站點(diǎn)50���。
在一實(shí)施例中,虛擬連接可建立在第一站點(diǎn)30的資源32和第二站點(diǎn)50 的客戶54之間�����,其中不會(huì)將第一站點(diǎn)30或第二站點(diǎn)50的任何信息曝露給其它 的網(wǎng)絡(luò)�����。此外���,第一站點(diǎn)30和第二站點(diǎn)50均是在不需要管理人員知道其它網(wǎng) 絡(luò)拓?fù)涞那闆r下被透明地分配其它網(wǎng)絡(luò)的IP地址。該連接的這種透明的特性是
通過(guò)下面的方式來(lái)實(shí)現(xiàn)的使用一種"雙向NAT"機(jī)制將IP地址分配給第一站 點(diǎn)30上具有的可獲得資源32以及與第二站點(diǎn)50相關(guān)聯(lián)的客戶或客戶機(jī)54��。
為了使第二站點(diǎn)50的客戶機(jī)54能夠接入第一站點(diǎn)30的資源32���,客戶機(jī) 54通常必須有一個(gè)主機(jī)名或一個(gè)用來(lái)連接的IP地址���。因此,可獲得的資源32 的列表可由一站點(diǎn)的管理員來(lái)公開���?���?色@得資源32的列表可通過(guò)任何一種合適 的、可由當(dāng)?shù)氐墓芾韱T選擇進(jìn)行研發(fā)的機(jī)理進(jìn)行公布��。例如����,如果管理員選擇 基于IP地址進(jìn)行公布,那么就不再需要命名方案�����。此外��,管理員還能選擇基于 主機(jī)名進(jìn)行公布�����,那么第一站點(diǎn)30的資源就需要被分配主機(jī)名�����,并且該主機(jī)名 在該站點(diǎn)內(nèi)是唯一的數(shù)字。在一實(shí)施例中����,管理員可給主機(jī)名提供一個(gè)域名(其 配置在客戶站點(diǎn)上),該域名不能與網(wǎng)絡(luò)上的其它主機(jī)相沖突���。例如�,資源名后 帶上域名,如dynvpn���,其可以是"mailserver.dynvpn."顯然��,由于dynvpn并不 是一個(gè)標(biāo)準(zhǔn)的com��、 edu或org的域名�����,顯然其不會(huì)與標(biāo)準(zhǔn)的域名相沖突,這樣 任何一種不相沖突的域名均可使用��。盡管作為主機(jī)部分的資源名會(huì)對(duì)資源名產(chǎn) 生某些限制��,但顯然這種限制可用在可獲得資源32列表的公布中�。
在實(shí)現(xiàn)實(shí)際的命名方案時(shí),顯然任何合適的方法都可使用。例如�,虛擬專 用網(wǎng)絡(luò)網(wǎng)關(guān)20 ( VPN)可用作所有第二站點(diǎn)50客戶或客戶機(jī)54的主命名服務(wù) 器,虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)可用作所配置主域的區(qū)管�����,此外����,虛擬專用 網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)還可嘗試自動(dòng)升級(jí)任何一個(gè)現(xiàn)有的命名服務(wù)器。
如果虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)可用作所有客戶的主命名服務(wù)器��,那么 對(duì)資源的任何升級(jí)都會(huì)立即反映出來(lái)���。如果虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)為所 有客戶或客戶機(jī)54的主命名服務(wù)器����,那么該虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)優(yōu) 選采用集東配置���,并將一個(gè)備份的虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)用作次命名服務(wù)器�����。
在另一實(shí)施例中����,虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)用作資源主域的區(qū)管。例 如����,管理員可繼續(xù)使用現(xiàn)有命名服務(wù)器。然而���,現(xiàn)有的命名服務(wù)器顯然構(gòu)造成 優(yōu)選將虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20 (VPN)用作資源主域的區(qū)管���。在另一實(shí)施例中, 該虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20(VPN)可將升級(jí)發(fā)送給資源主機(jī)名的現(xiàn)有命名服務(wù)器�����。
顯然�,IP映射的主機(jī)名必須隨時(shí)改變。首先�,加上一個(gè)新的資源就需要一 個(gè)新主機(jī)名以便IP映射,這一點(diǎn)不會(huì)影響到現(xiàn)有入口���。第二,去掉一個(gè)資源也 會(huì)去掉一個(gè)現(xiàn)有的IP映射的主機(jī)名�����。盡管主機(jī)名和IP可緩存到某些客戶機(jī)上, 但客戶站點(diǎn)(或第二站點(diǎn)50)可能無(wú)法接收已去除資源的連接��。最后�����,資源可 改變其配置�����。在動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)系統(tǒng)10中���,配置的改變有可能僅能出現(xiàn)在一 資源被去除相同的資源名被不同的服務(wù)器功能再用的情況����。例如���,POP郵件服
務(wù)器可被去掉���,同時(shí)一新的IMAP郵件服務(wù)器被加上并使用同一個(gè)"郵件服務(wù)
器"資源名。顯然����,去掉現(xiàn)有的一個(gè)資源�����,然后加上一個(gè)新的資源��,就構(gòu)成了 可獲得資源列表的一個(gè)變化����,同時(shí)當(dāng)?shù)氐墓芾韱T也需要做一些必要的變化�����。這
包括從沖掉DNS緩存到通知用戶的 一 系列變化�����。
作為選擇����,網(wǎng)絡(luò)管理員構(gòu)造成可將站點(diǎn)30、 50保留住它們的實(shí)際IP地址�����, 這樣就不需要進(jìn)行地址映射�����。顯然�,如果要進(jìn)行地址映射,系統(tǒng)就會(huì)按"透明 模式"進(jìn)行操作�。
圖3所示為一系統(tǒng)10的示意圖,該系統(tǒng)用來(lái)在第二站點(diǎn)50 (位置B)上 提供來(lái)自第一站點(diǎn)30 (位置A)的資源��。如圖3所示�����,系統(tǒng)10包括一個(gè)第一 站點(diǎn)30����,其構(gòu)造成至少具有一個(gè)資源32 (應(yīng)用系統(tǒng)服務(wù)器A)。至少的這一個(gè) 資源32優(yōu)選分配到第一站點(diǎn)30中的服務(wù)器24上�����。該第一站點(diǎn)30優(yōu)選為一虛 擬專用網(wǎng)絡(luò)網(wǎng)關(guān)或設(shè)備20��。在第一站點(diǎn)30和第二站點(diǎn)50之間建立起一條可靠 的���、優(yōu)選為SSL通道或其它合適通道協(xié)議的連接16,這樣第一站點(diǎn)30這里的 至少的這一個(gè)資源32就輸出到第二站點(diǎn)50���。第二站點(diǎn)50優(yōu)選也是一個(gè)虛擬專 用網(wǎng)絡(luò)網(wǎng)關(guān)或設(shè)備20���。如圖3所示,在一實(shí)施例中��,至少的這一個(gè)資源32可 利用任何 一種合適的服務(wù)器24從第 一站點(diǎn)32輸出到第二站點(diǎn)50�����。
顯然��,每當(dāng)?shù)谝徽军c(diǎn)30和第二站點(diǎn)50之間建立起一條連接���,第二站點(diǎn)50 就會(huì)接收到一個(gè)可獲得資源32的列表��,并且其通過(guò)獲取至少的這一個(gè)資源32 的IP地址從而將至少的這一個(gè)資源做成當(dāng)?shù)乜梢垣@取的形式�����。該IP地址可從 下面方式獲得 一靜態(tài)IP地址池或多個(gè)靜態(tài)IP地址��,第一站點(diǎn)30的實(shí)際IP 地址或預(yù)分配的IP地址��,或者是從第二站點(diǎn)50中的DHCP服務(wù)器26(步驟2)
獲得�����。其中的DHCP服務(wù)器26提供出可獲得的IP地址列表供第二站點(diǎn)50使用 以便提供至少的這一個(gè)資源32��。
在一實(shí)施例中���,DHCP服務(wù)器26會(huì)在提供遠(yuǎn)程資源時(shí)提供可獲得的IP地 址供第二站點(diǎn)50使用。例如����,資源32 (應(yīng)用系統(tǒng)服務(wù)器A)可在第二站點(diǎn)50 這里分配IP地址192.168丄10。然后����,第二站點(diǎn)50就開始在資源32 (應(yīng)用系 統(tǒng)服務(wù)器A)的192.168丄10端口 21上接收連接。顯然�,為了使所需的唯一IP 地址的數(shù)目最小,同一個(gè)IP可供多個(gè)資源使用����,只要該端口不重疊即可。
第二站點(diǎn)50也可對(duì)第二站點(diǎn)50這里的客戶機(jī)25上的另一個(gè)資源33 (應(yīng) 用系統(tǒng)服務(wù)器B)進(jìn)行配置從而在第一站點(diǎn)30這里獲取一個(gè)資源32 (應(yīng)用系 統(tǒng)服務(wù)器A)。每當(dāng)?shù)诙军c(diǎn)50在192.168丄10的端口 21上接收到一個(gè)連接時(shí)�����, 其會(huì)打通從該通道到第一站點(diǎn)30的通訊���。第二站點(diǎn)50作為優(yōu)選也包括有用來(lái) 識(shí)別通訊來(lái)源的特定客戶機(jī)25的信息�����。顯然��,每次檢測(cè)出一個(gè)新的客戶時(shí)�,均 可生成出動(dòng)態(tài)客戶標(biāo)識(shí)符��。該動(dòng)態(tài)客戶標(biāo)識(shí)符或客戶ID作為優(yōu)選是一個(gè)隨機(jī)但 唯一的數(shù)值���,其并不包含有客戶的任何信息�。
此外���,第一站點(diǎn)30構(gòu)造成可分配客戶IP地址��,該地址可用作資源地址以 便連接到服務(wù)器資源上�。通常來(lái)講,該客戶IP地址用在第一站點(diǎn)30需要初始 連回客戶的情況(即有效模式文件傳輸協(xié)議(FTP))��。該客戶IP地址還可由第 一站點(diǎn)30這里的DHCP服務(wù)器26獲得(步驟7)���。在一實(shí)施例中��,可在第一站 點(diǎn)30的資源和第二站點(diǎn)50的資源之間建立起一個(gè)虛擬連接���,同時(shí)不將與服務(wù) 器或客戶有關(guān)的任何信息暴露給其它的網(wǎng)絡(luò)。此外����,第一站點(diǎn)30和第二站點(diǎn) 50在其它網(wǎng)絡(luò)中均為透明分配的IP地址��,其不需要管理員知道其它網(wǎng)絡(luò)的拓 撲�����。
為了使第二站點(diǎn)50這里的客戶機(jī)獲得第一站點(diǎn)30的資源�,客戶機(jī)通常必 須具有一個(gè)主機(jī)名或者是一個(gè)IP地址從而連接上。因此�����,資源32的列表可由 第二站點(diǎn)50的管理員利用域名系統(tǒng)(DNS)服務(wù)器28公布(步驟4)。該域名 服務(wù)器28可用來(lái)將與資源列表相關(guān)聯(lián)的域名轉(zhuǎn)換成IP地址(步驟5)����。資源列 表可由任何一種合適的、可由當(dāng)?shù)毓芾韱T選擇研發(fā)的機(jī)制公布����。例如,如果管
理員選擇基于IP地址公布��,那么就不再需要命名方案�。作為選擇,管理員可選 擇基于主機(jī)名進(jìn)行公布�,此時(shí)第一站點(diǎn)30資源就必須被分配給主機(jī)名,該主機(jī) 名在第二站點(diǎn)50中必須是唯一的�。例如,管理員可給主機(jī)名提供一個(gè)域名(其
在第二站點(diǎn)50上分配)����,該域名不得與網(wǎng)絡(luò)上的其它主機(jī)相沖突。
圖4所示為 一 系統(tǒng)10的示意圖�,該系統(tǒng)根據(jù)另 一 實(shí)施例為網(wǎng)絡(luò)到網(wǎng)絡(luò)的連 通性提供互聯(lián)網(wǎng)的一子網(wǎng)或物理網(wǎng)。如圖4所示����,系統(tǒng)IO包括多個(gè)彼此相互聯(lián) 接的虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20�����。這些虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)20構(gòu)造成連接到一個(gè)帶有 多個(gè)子網(wǎng)或遠(yuǎn)程站點(diǎn)的主站點(diǎn)上���。例如,在加利弗尼亞舊金山的一個(gè)公司可在 紐約州華盛頓巿�����、紐約巿和洛杉機(jī)巿有站點(diǎn)(即辦公室)����。顯然,系統(tǒng)10構(gòu)造 成可利用子網(wǎng)將一資源或其它應(yīng)用系統(tǒng)至少?gòu)囊粋€(gè)站點(diǎn)輸出�����,其中的站點(diǎn)至少 具有一個(gè)資源或應(yīng)用系統(tǒng)���。
在一實(shí)施例中,第一站點(diǎn)30構(gòu)造成借助于一個(gè)可靠通道提供應(yīng)用系統(tǒng)或資 源從而將資源或應(yīng)用系統(tǒng)輸出到一個(gè)遠(yuǎn)程站點(diǎn)或第二站點(diǎn)50�����,其中的可靠通道 是建立在第二站點(diǎn)50和第一站點(diǎn)30之間的通道?����?蛻艋蚩蛻魴C(jī)54連接到第二 站點(diǎn)50上��,其中的客戶或客戶機(jī)54請(qǐng)求從第一站點(diǎn)30獲得至少的這一個(gè)資源 或應(yīng)用系統(tǒng)��,然后再將其提供給客戶或客戶機(jī)54�����。顯然���,這種釆用域名系統(tǒng) (DNS)的動(dòng)態(tài)虛擬專用網(wǎng)絡(luò)可用在多種場(chǎng)合����,這包括如圖3所示的可靠的站 點(diǎn)到站點(diǎn)或應(yīng)用系統(tǒng)到應(yīng)用系統(tǒng)的接入(單向和/或雙向)�����,或者是如圖4所示 的中心輻射(hub-spoke)關(guān)系���,或者是在一個(gè)具有一個(gè)或多個(gè)站點(diǎn)的公司內(nèi)兩 個(gè)站點(diǎn)之間的對(duì)等網(wǎng)絡(luò)應(yīng)用系統(tǒng)����,或者是客戶機(jī)的整個(gè)網(wǎng)絡(luò)。
圖5所示為一系統(tǒng)的示意圖��,該系統(tǒng)通過(guò)一中間站點(diǎn)IOO來(lái)提供資源��。該 系統(tǒng)IO包括一個(gè)第一站點(diǎn)30��、第二站點(diǎn)50以及第一站點(diǎn)30和第二站點(diǎn)50之 間的一個(gè)中間站點(diǎn)100�。該第一站點(diǎn)30構(gòu)造成具有至少一個(gè)資源32,其可輸出 到第二站點(diǎn)50以便提供給至少的這一個(gè)客戶機(jī)54。如圖5所示���,至少的這一 個(gè)資源32可通過(guò)至少的這一個(gè)中間站點(diǎn)100從第一站點(diǎn)32輸出到第二站點(diǎn)50, 然后其再提供給至少的這一個(gè)客戶54�����。顯然����,中間站點(diǎn)IOO優(yōu)選為一個(gè)虛擬專 用網(wǎng)絡(luò)網(wǎng)關(guān)20�����,其構(gòu)造成能夠從第一站點(diǎn)30接收可獲得的資源列表����,并能將
該資源列表輸出給第二站點(diǎn)50,然后該第二站點(diǎn)50再將至少的這一個(gè)資源32 提供給至少的這一個(gè)客戶機(jī)54����。
顯然,至少的這一個(gè)中間站點(diǎn)100構(gòu)造成可具有至少的這一個(gè)資源32,該 資源從第一站點(diǎn)30輸出到中間站點(diǎn)100����。在另一實(shí)施例中,中間站點(diǎn)100—旦 與第二站點(diǎn)50相連就將可獲得的資源列表輸出給第二站點(diǎn)50����,其中第二站點(diǎn) 50構(gòu)造成將資源提供給第二站點(diǎn)50內(nèi)至少的這一個(gè)客戶或客戶機(jī)54。
上述實(shí)施例均是實(shí)現(xiàn)本發(fā)明的具體方式�����,但本發(fā)明并不限于這些實(shí)施例����。 顯然,本領(lǐng)域技術(shù)人員在本發(fā)明構(gòu)思和權(quán)利要求保護(hù)范圍之內(nèi)還會(huì)有許多變化��。
權(quán)利要求
1�����、一種提供資源的方法,其包括在一個(gè)第一站點(diǎn)至少存放一種資源����;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接;將可獲得的資源列表輸出到第二站點(diǎn)�,其中的第二站點(diǎn)至少向一個(gè)客戶公開所述獲得的資源列表;以及通過(guò)向至少一個(gè)客戶提供該至少一種資源的IP地址����,從而從第一站點(diǎn)向第二站點(diǎn)提供該至少的一種資源。
2���、 如權(quán)利要求i的方法�,其進(jìn)一步包括向該至少的一個(gè)客戶提供該至少 的 一個(gè)資源的IP地址���,其中的第二站點(diǎn)提供該至少的一個(gè)資源的IP地址��。
3����、 如權(quán)利要求2的方法����,其進(jìn)一步包括;將該至少的一個(gè)客戶的IP地址 提供給該至少的 一 個(gè)資源�,其中的第 一 站點(diǎn)提供該至少的 一 個(gè)客戶的IP地址。
4�����、 如權(quán)利要求2的方法��,其進(jìn)一步包括利用第二站點(diǎn)上配置的動(dòng)態(tài)主機(jī) 配置協(xié)議(DHCP)服務(wù)器來(lái)獲取該至少的一個(gè)資源的IP地址��。
5��、 如權(quán)利要求3的方法�,其中該至少一個(gè)客戶的IP地址是利用第一站點(diǎn) 上配置的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器來(lái)獲取的。
6�、 如權(quán)利要求2的方法,其中該至少一個(gè)資源的IP地址是利用第二站點(diǎn) 上配置的IP地址池來(lái)獲取的�����。
7����、 如權(quán)利要求3的方法�����,其中該至少一個(gè)客戶的IP地址是利用第一站點(diǎn) 上配置的IP地址池來(lái)獲取的�。
8��、 如權(quán)利要求2的方法���,其中該至少一個(gè)資源的IP地址是利用該至少一個(gè)資源的實(shí)際IP地址獲取的��。
9����、 如權(quán)利要求3的方法��,其中該至少一個(gè)客戶的IP地址是利用該至少一 個(gè)客戶的實(shí)際IP地址獲取的��。
10���、 如權(quán)利要求l的方法��,其中可獲得資源的列表包括資源名���、服務(wù)器 端口和一標(biāo)識(shí)符�����,或特定的IP地址和IP地址范圍。
11����、 如權(quán)利要求1的方法,其中的第二站點(diǎn)進(jìn)一步包括一個(gè)域名系統(tǒng)(DNS)服務(wù)器����。
12、 如權(quán)利要求1的方法�����,其進(jìn)一步包括給第一站點(diǎn)提供用來(lái)識(shí)別該至 少一個(gè)客戶的信息�����。
13���、 如權(quán)利要求12的方法��,其中的用來(lái)識(shí)別該至少一個(gè)客戶的信息是任意 隨機(jī)的標(biāo)識(shí)符�����,其中并不包含該至少一個(gè)客戶的信息���。
14���、 如權(quán)利要求l的方法,其進(jìn)一步包括給該至少的一個(gè)資源提供用來(lái) 識(shí)別該至少一個(gè)客戶的信息����。
15、 如權(quán)利要求l的方法�����,其中的可靠連接是利用一可靠的安全套接層 (SSL)或傳輸層安全(TLS)協(xié)議來(lái)生成的����。
16、 如權(quán)利要求l的方法�,其進(jìn)一步包括至少一個(gè)中間站點(diǎn),該至少的一 個(gè)中間站點(diǎn)處于第一站點(diǎn)和第二站點(diǎn)之間�����。
17、 如權(quán)利要求1的方法��,其中的第二站點(diǎn)用作第二站點(diǎn)上可獲得資源列 表的主命名服務(wù)器����。
18��、 如權(quán)利要求l的方法����,其中的第二站點(diǎn)用作可獲得資源列表的區(qū)域管 理服務(wù)器。
19��、 如權(quán)利要求l的方法��,其中的第二站點(diǎn)構(gòu)造成能為可獲得資源列表將 升級(jí)信息發(fā)送給現(xiàn)有的主機(jī)名域名服務(wù)器(DNS)�。
20、 如權(quán)利要求l的方法��,其中每一個(gè)可獲得的資源均由資源名���、服務(wù)器 端口和一動(dòng)態(tài)生成的標(biāo)識(shí)符來(lái)識(shí)別����。
21、 一種提供資源的方法���,其包括 在一個(gè)第一站點(diǎn)至少存放一種資源�; 在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接�;將第一站點(diǎn)處可獲得的資源列表輸出到第二站點(diǎn),其中的第一站點(diǎn)和第二站點(diǎn)均為虛擬專用網(wǎng)關(guān)�;以及將可獲得的資源列表中的至少一種資源提供給與第二站點(diǎn)相關(guān)聯(lián)的至少一 個(gè)客戶。
22�����、 一種提供資源的方法���,其包括在一個(gè)第一站點(diǎn)至少存放一種資源��;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接�;將第一站點(diǎn)處可獲得的資源列表輸出到第二站點(diǎn)���,其中的第一站點(diǎn)和第二站點(diǎn)均為虛擬專用網(wǎng)關(guān)���;將可獲得的資源列表中的至少一種資源提供給與第二站點(diǎn)相關(guān)聯(lián)的至少一 個(gè)客戶����;以及其中每一種可獲得的資源均由一個(gè)資源名稱�����、 一服務(wù)器端口以及一動(dòng)態(tài)生 成的標(biāo)識(shí)符所標(biāo)識(shí)�����。
全文摘要
本發(fā)明提供一種利用動(dòng)態(tài)主機(jī)分配協(xié)議(DHCP)服務(wù)器來(lái)進(jìn)行動(dòng)態(tài)虛擬專用網(wǎng)(VPN)的資源管理�,一種域名系統(tǒng)(DNS)和/或靜態(tài)IP地址分配�����。具體說(shuō)�,提供了一種提供資源的方法,其包括在一個(gè)第一站點(diǎn)至少存放一種資源�����;在第一站點(diǎn)和第二站點(diǎn)之間建立一個(gè)可靠的連接�����;將可獲得的資源列表輸出到第二站點(diǎn),其中的第二站點(diǎn)至少向一個(gè)客戶公開所述獲得的資源列表���;以及向至少一個(gè)客戶提供該至少一種資源的IP地址從而從第一站點(diǎn)向第二站點(diǎn)提供該至少的一種資源����。
文檔編號(hào)H04L12/46GK101184015SQ20071015183
公開日2008年5月21日 申請(qǐng)日期2007年9月20日 優(yōu)先權(quán)日2006年9月29日
發(fā)明者亞瑟·常, 任麗美, 蘇乃婷, 趙玲燕, 邁克爾·武 申請(qǐng)人:華耀環(huán)宇科技有限公司