亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于通過虛擬ip地址訪問沒有可訪問地址的聯(lián)網(wǎng)裝置的各種方法和設(shè)備的制作方法

文檔序號:6479317閱讀:224來源:國知局
專利名稱:用于通過虛擬ip地址訪問沒有可訪問地址的聯(lián)網(wǎng)裝置的各種方法和設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明的實施例大體上涉及網(wǎng)絡(luò)裝置。更具體地,本發(fā)明的實施例的方面涉及通 過虛擬互聯(lián)網(wǎng)協(xié)議(IP)地址的使用對或從聯(lián)網(wǎng)裝置訪問。
背景技術(shù)
互聯(lián)網(wǎng)是網(wǎng)絡(luò)的大型集合,它們共同使用TCP/IP協(xié)議套(protocol suite)以允 許在一個網(wǎng)絡(luò)上的裝置自動與可能在相同或遠程網(wǎng)絡(luò)上的其他裝置通信。對于每個活動網(wǎng) 絡(luò)接口給每個這樣的裝置指派IP地址,這允許網(wǎng)絡(luò)基礎(chǔ)設(shè)施部件在目標裝置之間自動路 由業(yè)務流(traffic)。給每個這樣的網(wǎng)絡(luò)接口指派整個互聯(lián)網(wǎng)上唯一的IP地址是一般要求,然而已經(jīng) 保留若干塊IP地址以供接口上使用(不需要使其在本地網(wǎng)絡(luò)外面是可用的)。這樣的專用 地址也稱為“不可路由”地址,因為建立路由(即,通過一組網(wǎng)絡(luò)基礎(chǔ)設(shè)施裝置的路徑)使 得來自本地網(wǎng)絡(luò)上的裝置的業(yè)務流可到達遠程網(wǎng)絡(luò)上具有不可路由地址的網(wǎng)絡(luò)接口是不 可能的。由于互聯(lián)網(wǎng)增長,該技術(shù)已經(jīng)允許專用地址的重復再次使用,其幫助緩解公共可訪 問的IP地址的不斷增長的短缺,但它也導致更大的復雜性,因為管理員尋找備選機制以在 沒有可路由地址的情況下提供對遠程裝置的訪問。由于互聯(lián)網(wǎng)增長和安全威脅增加,網(wǎng)絡(luò)管理員也試圖在他們的管理控制下通過開 發(fā)和部署網(wǎng)絡(luò)過濾裝置或應用程序(其允許網(wǎng)絡(luò)管理員指定依照要求批準或拒絕訪問的 具體地址和端口組合)限制對具體裝置的訪問。這兩個技術(shù)一起幫助確保互聯(lián)網(wǎng)的增長和 穩(wěn)定性,但以大大增加的復雜性以及管理員希望提供對在他們的管理控制外面的網(wǎng)絡(luò)上的 聯(lián)網(wǎng)裝置的無縫訪問為代價。解決該問題的一個現(xiàn)存的機制涉及在本地聯(lián)網(wǎng)裝置上安裝專用客戶端軟件,其將 允許它起“虛擬專用網(wǎng)絡(luò)”(VPN)的一部分的作用,其中本地裝置被允許擔當如同它是遠程 網(wǎng)絡(luò)的成員那樣。當使用這樣的VPN系統(tǒng)時在遠程網(wǎng)絡(luò)上給本地主機指派IP地址并且遠 程網(wǎng)絡(luò)上到主機和來自主機的所有業(yè)務流由VPN系統(tǒng)自動路由。該技術(shù)達到效果但該方法苦于若干缺陷。VPN系統(tǒng)必須首先由遠程網(wǎng)絡(luò)的管理員 建立。一旦這完成,專業(yè)化軟件必須安裝在希望訪問的每個外部裝置或VPN系統(tǒng)上(如果這沒有完成,系統(tǒng)將能夠提供僅有限的可訪問性,例如通過網(wǎng)絡(luò)瀏覽器界面)。另外,適當?shù)?安全證書必須由遠程管理員產(chǎn)生并且由本地管理員和用戶分發(fā)和維護,它們所有在對運行 的所有方上放置重要的管理責任。作為最終的缺點,一旦本地主機被批準VPN訪問,它將一 般具有對遠程網(wǎng)絡(luò)上的所有裝置的訪問權(quán)(除非采取附加過濾步驟防止此),這可能不是 遠程管理員期望的??朔豢陕酚傻刂返膯栴}的另一個技術(shù)是執(zhí)行所謂的“網(wǎng)絡(luò)地址轉(zhuǎn)換”(NAT),其 涉及邊界路由器的復雜重新配置以自動映射網(wǎng)絡(luò)地址/端口組合到以及從可路由地址到 不可路由地址。該技術(shù)確實允許單個公共可路由IP地址的使用以提供對多個具有不可路 由地址的裝置的訪問而僅以增加的系統(tǒng)復雜性為代價。啟用NAT的網(wǎng)絡(luò)一般不允許入局連 接(除非映射已經(jīng)從具體端口 /地址組合預先配置到具體裝置),其可能進而與試圖使用默 認或非標準地址/端口組合的軟件沖突??紤]到這些挑戰(zhàn),存在需要一種機制在不使用專用主機軟件并且在遠程網(wǎng)絡(luò)上不 要求網(wǎng)絡(luò)管理員特權(quán)以建立、維護或操作該方案的情況下允許對使用非可路由地址的遠程 裝置的簡化和自動化的訪問。

發(fā)明內(nèi)容
描述向遠程聯(lián)網(wǎng)裝置提供完全自動化的網(wǎng)絡(luò)訪問的方法、設(shè)備和系統(tǒng),這些遠程 聯(lián)網(wǎng)裝置否則將是不可訪問的,因為對于該裝置的網(wǎng)絡(luò)地址不存在有效路由。注意該系統(tǒng) 可在不使用專用主機軟件的情況下工作并且它在遠程網(wǎng)絡(luò)上不需要網(wǎng)絡(luò)管理員特權(quán)建立、 操作和維持該系統(tǒng)。還注意該系統(tǒng)可以與現(xiàn)有VPN系統(tǒng)共存并且與使用網(wǎng)絡(luò)地址轉(zhuǎn)換以映 射一個或多個外部地址到不可路由地址(其否則將在本地網(wǎng)絡(luò)外面是不可用的)的網(wǎng)絡(luò)完 全兼容。系統(tǒng)由三個主要部件構(gòu)成_主機控制器、裝置控制器和裝置服務管理器(或DSM) (參見圖2a)。主機控制器由在本地網(wǎng)絡(luò)上安裝為聯(lián)網(wǎng)裝置的部件構(gòu)成。裝置控制器由在 遠程網(wǎng)絡(luò)上安裝為聯(lián)網(wǎng)裝置的部件構(gòu)成并且裝置服務管理器由安裝在互聯(lián)網(wǎng)上并且從主 機控制器和裝置控制器兩者通過直接網(wǎng)絡(luò)連接可訪問的部件構(gòu)成。觀察到這些部件都可在 較大計算系統(tǒng)上實例化為專用網(wǎng)絡(luò)硬件裝置部件或軟件部件,而不失一般性或功能性。主機控制器和裝置控制器兩者必須具有建立到DSM的出局數(shù)據(jù)連接的能力。DSM 然后可以用于中繼主機控制器和裝置控制器部件之間的業(yè)務流。這些進而用于中繼發(fā)起和 目標聯(lián)網(wǎng)裝置之間的業(yè)務流。實際上,在DSM和主機控制器或裝置控制器部件之間可有防火墻裝置,其阻擋入 局連接或IP地址或端口的一些組合。在該情況下,如果主機控制器和/或裝置控制器建立 到DSM的出局TCP/IP會話是可能的,在系統(tǒng)中的所有其他業(yè)務流然后可自動地多路復用到 這些部件之間的傳輸?shù)倪@些連接上用于最終傳遞給源或目的裝置。主機控制器的目的是擔當從本地網(wǎng)路上的發(fā)起聯(lián)網(wǎng)裝置到遠程裝置(其否則對 該發(fā)起聯(lián)網(wǎng)裝置將是不可訪問的)的連接的代理訪問點。裝置控制器的目的是擔當正傳遞 給在遠程網(wǎng)絡(luò)上的裝置的業(yè)務流的中繼點并且DSM的目的是充當由任意參與的主機控制 器和裝置控制器在本地網(wǎng)絡(luò)和遠程網(wǎng)絡(luò)之間傳送的業(yè)務流的業(yè)務流路由器和中繼點。該三 個部件一起工作以自動接受來自本地網(wǎng)絡(luò)裝置的入局網(wǎng)絡(luò)業(yè)務流、處理和轉(zhuǎn)發(fā)來自本地網(wǎng)
7絡(luò)的業(yè)務流到DSM,在DSM它被處理并且路由到在遠程網(wǎng)絡(luò)上的裝置控制器,這里它被處理 并且傳遞到目標裝置。在雙向數(shù)據(jù)流的情況下,系統(tǒng)具有從遠程裝置自動接收返回分組并 且處理它們使其返回通過系統(tǒng)以傳遞到本地裝置。還應該注意到當數(shù)據(jù)業(yè)務流進入系統(tǒng)時加密數(shù)據(jù)業(yè)務流和當數(shù)據(jù)業(yè)務流離開系 統(tǒng)時解密是可能的。如果這被完成,系統(tǒng)將還提供徹底的端到端安全,保護業(yè)務流免于當傳 送時被觀察。運行中主機控制器部件使在本地網(wǎng)絡(luò)上的一個或多個網(wǎng)絡(luò)接口可用以發(fā)起入局 數(shù)據(jù)流。每個這樣的接口配置成使用所謂的虛擬IP地址(或VIP)作為到系統(tǒng)的進入點。 VIP實際上是在本地網(wǎng)絡(luò)上的實IP地址,除它在本地網(wǎng)絡(luò)上是有效并且可訪問地址之外, 對該地址沒有限制。VIP可看作類似于在計算機系統(tǒng)中的虛擬存儲器地址-虛擬存儲器地址對于正由 處理器執(zhí)行的本地程序是可訪問的并且訪問虛擬地址的所有嘗試自動映射到在計算機的 物理存儲器中的實地址。類似地,由聯(lián)網(wǎng)裝置訪問VIP地址的所有嘗試由系統(tǒng)自動并且透 明地轉(zhuǎn)換并且傳送到目標物理地址。每個這樣的接口可以接受來自任意能夠訪問該VIP的網(wǎng)絡(luò)裝置的入局網(wǎng)絡(luò)業(yè)務 流(包括但不限于例如TCP/IP數(shù)據(jù)流、個體UDP分組或ICMP控制消息)。在TCP/IP數(shù)據(jù) 流的情況下,為了提高性能主機控制器可在開始轉(zhuǎn)發(fā)業(yè)務流到DSM之前執(zhí)行建立TCP/IP會 話需要的初始三路握手。在該情況下,裝置控制器當它接收目標裝置的初始數(shù)據(jù)分組時將 首先在開始傳遞入局分組之前成功完成與目標裝置的三路握手。否則一般而言所有入局網(wǎng) 絡(luò)業(yè)務流自動轉(zhuǎn)發(fā)到DSM部件用于處理和路由到最終目的地(盡管如果期望的話在任何 VIP上建立過濾是可能的。這可完成以例如按需要限制到本地網(wǎng)絡(luò)的網(wǎng)絡(luò)廣播分組或ICMP 控制消息分組)。DSM配置成存儲從每個VIP到目標聯(lián)網(wǎng)裝置的映射。該映射由源主機控制器的入 局VIP和唯一標識符以及目的聯(lián)網(wǎng)裝置的目標IP地址和對應的裝置控制器的唯一標識符 構(gòu)成。注意因為分別參與主機控制器和裝置控制器的唯一標識符的使用,從每個VIP到 每個目標裝置識別可用路由是可能的(甚至當兩個裝置都使用專用地址時和/或當另外不 存在從發(fā)起網(wǎng)絡(luò)到遠程網(wǎng)絡(luò)的路由時)。實際上兩個裝置都可使用相同的專用IP地址并且 系統(tǒng)將仍然工作,因為兩個裝置可由對應的主機控制器和裝置控制器部件區(qū)別。還注意,因為每個目標裝置具有它自己的VIP,沒有需要安裝任何特殊軟件或?qū)Πl(fā) 起裝置做出任何配置變化。應用程序簡單地使用VIP地址代替不可路由的目標裝置地址并 且系統(tǒng)提供需要的傳送機制。將VIP放入域名系統(tǒng)(DNS)也是可能的。在該情況下,VIP可 改變或用可路由地址代替,而不需要對發(fā)起聯(lián)網(wǎng)裝置的任何另外的配置變化。應該注意到主機控制器和裝置控制器都不需要任何特殊的管理特權(quán)以在網(wǎng)絡(luò)上 安裝或運行,對于任一部件的靜態(tài)指派IP地址也沒有任何需要。如果期望的話,每個可使 用動態(tài)主機控制協(xié)議以請求它自己需要的地址和指派的VIP。主機控制器將對每個VIP創(chuàng) 建虛擬網(wǎng)絡(luò)接口,它將服務并且開始監(jiān)聽入局數(shù)據(jù)。當檢測到入局數(shù)據(jù)時它將自動被轉(zhuǎn)發(fā) 到DSM用于處理和傳遞到目的裝置控制器。裝置控制器進而可在網(wǎng)絡(luò)上出現(xiàn)并且開始監(jiān)聽從DSM接收的數(shù)據(jù),其采用指出它將傳遞到它能夠訪問的裝置的格式編碼。裝置控制器僅需要去除用于傳遞分組到裝置控制 器的系統(tǒng)信息并且轉(zhuǎn)發(fā)所得的數(shù)據(jù)分組到目標裝置。任何返回的數(shù)據(jù)分組可以自動轉(zhuǎn)發(fā)到 DSM用于通過主機控制器路由回到適當?shù)难b置。實際上組合系統(tǒng)部件中的多個到單個裝置上是可能的。例如,你可以封裝主機控 制器和裝置控制器功能性進入單個裝置(我們叫做裝置服務控制器)。這樣做將允許這樣 的裝置發(fā)起或終止網(wǎng)絡(luò)連接,或甚至具有通過單個裝置的多個同時雙向網(wǎng)絡(luò)業(yè)務流會話。 你還可以選擇放置主機控制器或裝置控制器部件和DSM—起在單個裝置上。在這樣的情況 下你必須確保在組合裝置和剩余部件之間存在路由,但系統(tǒng)仍然可以設(shè)置成自動轉(zhuǎn)發(fā)到目 標不可路由裝置。


附圖涉及本發(fā)明的實施例,其中圖1圖示對在由防火墻保護的網(wǎng)絡(luò)中的聯(lián)網(wǎng)裝置訪問和從其訪問的系統(tǒng)的實施 例的框圖;圖2a圖示具有位于由第一防火墻保護的第一域和由第二防火墻保護的第二域外 部的裝置服務管理器服務器的系統(tǒng)的實施例的框圖;圖2b圖示具有DSC的系統(tǒng)的實施例的框圖,每個DSC具有管道管理器,其配置成 通過向DSM驗證它自己和建立到DSM的出局TCP/IP流連接然后在建立的TCP/IP流連接上 對于將來的雙向通信保持該連接打開來向DSM提供直接通信隧道;圖3圖示具有中心DSM和本地DSC以對在由防火墻保護的網(wǎng)絡(luò)中的聯(lián)網(wǎng)裝置訪問 和從其訪問的系統(tǒng)的實施例的框圖;圖4圖示在DSC中的管道管理器的實施例的狀態(tài)圖;圖5圖示分布式系統(tǒng)的自動集中式管理的實施例的框圖;圖6圖示DSM的示例實施例的框圖;圖7圖示DSC的示例實施例的框圖;圖8圖示通過在DSC中的可執(zhí)行自舉文件對這些DSC分發(fā)配置信息的DSM的實施 例的框圖;圖9圖示使虛擬IP地址的分配自動化的DSM的實施例的框圖;圖10圖示獲得和向DSM報告虛擬IP地址的網(wǎng)絡(luò)集管(network manifold)的實 施例的流程圖;圖11圖示創(chuàng)建在本地網(wǎng)絡(luò)中可用的虛擬IP地址的兩個或更多池的DSM的圖。盡管本發(fā)明可以具有各種修改和備選形式,它們的具體實施例通過示例的方式在 附圖中示出并且將在本文中詳細描述。應該理解本發(fā)明不限于公開的特定形式,而相反,本 發(fā)明涵蓋落入本發(fā)明的精神和范圍內(nèi)的所有修改、等同物和備選方案。
具體實施例方式在下列說明中,闡述許多具體細節(jié),例如具體數(shù)據(jù)信號、所指部件、連接、網(wǎng)絡(luò)等的 示例,以便提供本發(fā)明的全面理解。然而,對于本領(lǐng)域內(nèi)普通技術(shù)人員中之一本發(fā)明可在沒 有這些具體細節(jié)的情況下實踐將是明顯的。在其他情況下,眾所周知的部件或方法沒有詳細描述,相反采用框圖描述以便避免不必要地使本發(fā)明模糊不清??山o出其他具體的數(shù)字 標號,例如第一網(wǎng)絡(luò)等。然而,具體的數(shù)字標號不應該解釋為字面的順序,相反要解釋成第 一網(wǎng)絡(luò)不同于第二網(wǎng)絡(luò)。從而,闡述的具體細節(jié)是僅示范性的。具體細節(jié)可不同并且仍然 預期在本發(fā)明的精神和范圍內(nèi)。一般,描述各種方法和設(shè)備以提供中央系統(tǒng)以使用虛擬IP地址訪問在遠程網(wǎng)絡(luò) 上的裝置。每個DSC(封裝在一起以簡化系統(tǒng)的部署和管理的主機控制器和裝置控制器功 能性的組合)可具有管道管理器以創(chuàng)建到DSM的直接通信隧道。第一 DSC位于第一本地網(wǎng) 絡(luò)而第二 DSC位于與第一本地網(wǎng)絡(luò)不同的第二本地網(wǎng)絡(luò)。DSM位于在第一和第二 DSC外部的 廣域網(wǎng)中。第一和第二 DSC兩者通過周期性地建立到DSM的出局TCP/IP管道連接、向DSM 驗證它們自己然后對于在出局TCP/IP管道連接上的將來的雙向通信保持該連接打開而創(chuàng) 建它們自己的到DSM的直接通信隧道。在DSM中的IP重定向器基于存儲在DSM的注冊表 或內(nèi)部數(shù)據(jù)存儲器中的虛擬IP地址映射而從第一 DSC從第一建立的TCP/IP管道連接接收 通信業(yè)務流然后沿第二建立的TCP/IP管道連接向下路由通信業(yè)務流到第二 DSC。在DSM中的網(wǎng)絡(luò)訪問模塊可配置成創(chuàng)建1)每個DSC的唯一標識符和給該DSC所 指派的本地網(wǎng)絡(luò)的虛擬IP地址的示例配對、2)在目的網(wǎng)絡(luò)上的網(wǎng)絡(luò)裝置的實的、另外不可 訪問的IP地址和遠程DSC的唯一標識符的示例配對。DSM存儲這些配對在DSM的注冊表 中。圖1圖示對在由防火墻保護的網(wǎng)絡(luò)中的聯(lián)網(wǎng)裝置訪問和從其訪問的系統(tǒng)的實施 例的框圖。第一裝置服務控制器102(DSC)在由第一防火墻106保護的第一網(wǎng)絡(luò)104中。第 一網(wǎng)絡(luò)104可包含與第一 DSC 102關(guān)聯(lián)的主機控制臺108。主機控制臺108控制并且管理 在由第二防火墻114保護的第二網(wǎng)絡(luò)116中的設(shè)備的子集。第二網(wǎng)絡(luò)116位于從第一網(wǎng)絡(luò) 104和主機控制器108的互聯(lián)網(wǎng)上。在第一網(wǎng)絡(luò)104中的第一裝置服務控制器102和在第二 網(wǎng)絡(luò)116中的第二裝置服務控制器112與位于互聯(lián)網(wǎng)上的裝置服務管理器服務器(DSM)IlO 合作以提供通過防火墻106、114對在第二網(wǎng)絡(luò)116中的設(shè)備的子集的高度安全的遠程訪 問。裝置服務管理器服務器110具有IP重定向器程序118,其包含代碼以執(zhí)行通過防火墻 106,114與每個裝置服務控制器的經(jīng)由直接通信隧道的機對機通信。在第二網(wǎng)絡(luò)116中的 設(shè)備的子集可例如包括服務器、PLC裝置、運動控制器、自動化設(shè)備、印刷機、安全系統(tǒng)和個 人計算機。運行中,用戶從主機控制臺108打開到本地DSC(即第一 DSC102)(采用主機控制 器模式運行)上的指定VIP地址的連接。該本地DSC將接受該連接并且保持該連接直到建 立直通目標裝置的連接為止。該本地DSC然后將發(fā)起到控制DSM 110的連接(如果它沒有 已經(jīng)建立),并且該DSM將映射該連接到對應的被管理的裝置IP地址。本地DSC發(fā)送它的 標識信息以成功地向DSM 110驗證它自己。為目標裝置負責的關(guān)聯(lián)DSC(即第二 DSC 112) 將周期性地打開與DSM 110的安全隧道并且確定是否有未決連接(如果這樣的連接沒有已 經(jīng)建立)。如果有未決連接,DSM 110將命令DSC發(fā)起到DSM 110的代理連接,它通過該代 理連接將傳遞未決連接的業(yè)務流。如果有未決連接,在防火墻后面的本地DSC保持與DSM 110的直接通信隧道。第一 DSC 102和DSM 110之間的直接通信隧道以及第二 DSC 112和DSM 110之間的直接通信隧道結(jié)合以允許使用從主機控制臺不可訪問并且在由防火墻保護的網(wǎng)絡(luò)中的 地址的設(shè)備的安全訪問和管理同時維護網(wǎng)絡(luò)的IT策略和網(wǎng)絡(luò)防火墻的完整性。到第一DSC 102和第二 DSC 112的連接點不在它們各自的網(wǎng)絡(luò)外面向它們網(wǎng)絡(luò)外部的裝置公開暴露, 因為DSC 102、112位于它們各自的防火墻106、114后面以增加通過直接通信隧道的通信的 安全。當本地DSC成功地向DSM 110驗證時,DSC可以立即開始提供對在已經(jīng)指派VIP和對 應路由的那個網(wǎng)絡(luò)上的任何裝置的安全訪問,例如在網(wǎng)絡(luò)中已經(jīng)指定為對于參與的DSC可 見的PLC裝置等。指定可見的裝置已經(jīng)由第二網(wǎng)絡(luò)116的用戶授權(quán)公布。如論述的,可見的關(guān)聯(lián)的裝置已經(jīng)由該域的所有者授權(quán)成為可見/公布并且可視 為聯(lián)網(wǎng)裝置的集合的元件,這些聯(lián)網(wǎng)裝置作為“虛擬”本地裝置的單個集對于主機控制器是 可用的。術(shù)語“虛擬裝置網(wǎng)絡(luò)”(VDN)用于指這樣的裝置集合。在該示例中,在第二網(wǎng)絡(luò)中 的設(shè)備的子集對于主機控制臺是可訪問的并且包括服務器、PLC裝置、運動控制器、自動化 設(shè)備,而印刷機、安全系統(tǒng)和個人計算機沒有由用戶授權(quán)對于VDN可見。實際上,系統(tǒng)的所有管理可通過訪問允許改變在DSM上的注冊表的接口實現(xiàn),關(guān) 于在每個DSC上的VIP的信息和VIP與每個不可路由地址之間的對應路由存儲在該注冊表 中。本地DSC可收集關(guān)于本地裝置的信息并且向DSM轉(zhuǎn)發(fā)該信息,或該信息可以由系統(tǒng)管 理員手工輸入。這樣的信息可以包括在該DSC的網(wǎng)絡(luò)內(nèi)的DSC的標識符和IP地址和每個 部件的IP地址、名字、能力、支持的協(xié)議等等。圖6圖示DSM的示例實施例的框圖。DSM 110可包含例如IP重定向器618等部 件,重定向器618包括DSM 610中的隧道管理器、用戶界面、數(shù)據(jù)庫620,其包括注冊表、關(guān)聯(lián) 管理器、策略管理器、復制管理器和其他相似部件。圖7圖示DSC的示例實施例的框圖。DSC702可包含例如訪問子系統(tǒng)等部件,訪問 子系統(tǒng)包括下列部件關(guān)聯(lián)管理器;管道管理器724 ;隧道管理器;和網(wǎng)絡(luò)集管726。DSC可 以還包括本地數(shù)據(jù)庫728 (其包括注冊表)、發(fā)現(xiàn)管理器730、裝置配置管理器、裝置監(jiān)視管 理器、自動化子系統(tǒng)(其包括裝置配置引擎743)、用戶界面、電源732、驅(qū)動端口 734和其他 相似部件。每個DSC可具有配置成在相同本地網(wǎng)絡(luò)上檢測和注冊本地裝置的發(fā)現(xiàn)管理器 730、配置成發(fā)起和控制到DSM 210的出局TCP/IP管道連接的管道管理器724和配置成多 路復用和多路分解到在第二本地網(wǎng)絡(luò)上檢測到的和指定的可見裝置的TCP/IP連接的隧道 管理器725。圖2a圖示具有位于第一防火墻保護的第一域和第二防火墻保護的第二域外部的 裝置服務管理器服務器的系統(tǒng)的實施例的框圖。每個DSC 202,212配置有硬件邏輯和軟件以擔當1)主機控制器(其建立它自己 和在第一域204中它的關(guān)聯(lián)裝置兩者到位于第一防火墻206之外的DSM 210的連接)和2) 裝置控制器(其接收和管理從DSM 110到第二防火墻214保護的第二域216中的個體遠程 目標裝置的入局連接)。注意,域可以是由防火墻或不同的子網(wǎng)分開的任何網(wǎng)絡(luò)。DSC將能 夠代理它自己和它的關(guān)聯(lián)裝置兩者到位于本地域之外的它的父DSM的連接。每個DSC可配 置成周期性地發(fā)送出站通信以向DSM檢查以查看是否有任何未決TCP連接在等待。在實施例中,第一 DSC202和第二 DSC212每個具有通過向DSM210驗證它自己和建 立到DSM210的出局TCP/IP管道連接向DSM210提供直接網(wǎng)絡(luò)通信隧道的管道管理器。第一 和第二 DSC202、212兩者通過周期性地向DSM210驗證它自己建立到DSM210的出局TCP/IP
11管道連接。DSC對于在出局TCP/IP管道連接上的將來的雙向通信保持該連接打開。建立和 驗證的雙向通信、TCP/IP管道連接可稱為直接網(wǎng)絡(luò)通信隧道或管道隧道。第一 DSC202創(chuàng) 建第一出局TCP/IP管道連接271并且具有與該DSC關(guān)聯(lián)的第一虛擬IP地址。第二 DSC212 創(chuàng)建第二出局TCP/IP管道連接273并且具有與該DSC關(guān)聯(lián)的第二虛擬IP地址。DSM210的 IP重定向器沿第一建立的TCP/IP管道連接向下發(fā)送路由分組到第一DSC202并且沿第二建 立的TCP/IP管道連接向下發(fā)送路由分組到第二 DSC212。DSM210的IP重定向器沿第一建 立的TCP/IP管道連接向下路由在第一防火墻206后面的第一域204中的網(wǎng)絡(luò)部件的通信 業(yè)務流到第一 DSC202。DSM210的IP重定向器還沿第二建立的TCP/IP管道連接向下路由 在第二防火墻214后面的第二域216中的網(wǎng)絡(luò)部件的通信業(yè)務流到第二 DSC212。注意,因 為TCP/IP是雙向流協(xié)議,DSM210可以沿打開的通信管道隧道向下發(fā)送路由分組并且從每 個DSC202、212接收業(yè)務流。主機控制臺208和在第二網(wǎng)絡(luò)中的設(shè)備的子集形成VDN的一部分,其中通過第二 DSC 212向外穿過本地防火墻和/或客戶的NAT路由器以訪問在遠程網(wǎng)絡(luò)上的設(shè)備的子 集從而主機控制臺208控制并且管理第二網(wǎng)絡(luò)中的子集。主機控制臺208建立通過第一 DSC202到控制VDN的DSM 210的單個出站連接,其允許雙向通信,然后保持該出站連接打 開。通過DSC與DSM 210合作的VDN可在互聯(lián)網(wǎng)上的任意兩點之間創(chuàng)建專用TCP/IP連接。總的來說,在DSC202、212和DSM210安裝并且DSC在該本地網(wǎng)絡(luò)中發(fā)現(xiàn)并且注冊 它的關(guān)聯(lián)裝置的所有之后,于是虛擬IP地址可指派在DSM210中和虛擬裝置網(wǎng)絡(luò)路由的產(chǎn) 生可以發(fā)生。下文的步驟1-8可以用于使用虛擬IP地址獲得對和從聯(lián)網(wǎng)裝置的自動化訪問。在步驟1中,初始DSC配置使用安全配置文件通過便攜計算機可讀介質(zhì)(例如USB 閃存驅(qū)動器等)載入DSC(例如第一 DSC202等)的配置文件中,消除對在第一 DSC202裝置 上的用戶接口的需要。一旦電力施加于第一 DSC202,第一 DSC202的管道管理器建立第一出 局TCP/IP管道連接271然后在第一出局TCP/IP管道連接271上從DSM210下載所有其他 需要的配置信息到第一 DSC202。因此,DSC202、212打開出局隧道271、273并且向DSM210傳送它的在本地網(wǎng)絡(luò)上 的存在。每個DSC發(fā)現(xiàn)在本地網(wǎng)絡(luò)和在防火墻(如果存在)后面的關(guān)聯(lián)裝置。例如,參見 圖9 在第一網(wǎng)絡(luò)中沒有防火墻但在第二網(wǎng)絡(luò)中有防火墻。本地DSC合并來自該網(wǎng)絡(luò)的公 布的信息的所有并且傳送該公布的信息到DSM210上。公布的信息可例如是DSC標識(唯 一 ID、實IP地址、名稱、能力、支持的協(xié)議、連接終點、連接、主機信息等等)。在步驟2,在DSM210中,虛擬裝置網(wǎng)絡(luò)管理員可手動發(fā)送請求通信到新宣布的DSC 以發(fā)現(xiàn)什么虛擬IP地址在它的本地網(wǎng)絡(luò)中是可用的。備選地,DSC可配置成在它與DSM210 初始建立時并且每當本地虛擬IP地址信息更新時最初發(fā)現(xiàn)什么虛擬IP地址在它的本地網(wǎng) 絡(luò)中是可用的然后向DSM210報告那些IP地址。每個DSC可使用本地自動地址服務器獲得 可用VIP地址。在步驟3,在DSM210中,虛擬裝置網(wǎng)絡(luò)管理員可手動指定虛擬IP地址(即主機控 制器/本地IP對)并且路由到目的裝置(即對應的DSC/IP對)。在DSM210的注冊表中, DSM210創(chuàng)建DSC的唯一標識符和與該DSC關(guān)聯(lián)的虛擬IP地址的配對。DSM210還創(chuàng)建主機 DSC控制器的唯一標識符和主機DSC控制器的實IP地址的配對,和在遠程網(wǎng)絡(luò)上的DSC的
12唯一標識符和目標裝置的實IP地址的配對。DSM210存儲這些和其他相似配對。DSM210具 有VIP路由表,其存儲實IP地址、虛擬IP地址、到裝置的路由、DSC和它們的關(guān)聯(lián)可見網(wǎng)絡(luò) 部件的所有公布信息、連接終點、連接路由、當前連接、主機信息和相似信息,并且是DSM210 中的注冊表的一部分(參見圖6和圖9)。VIP路由表允許DSM210映射由DSM210指派的虛 擬IP地址到在DSC后面的實IP地址。DSM210使從虛擬IP地址到實IP地址的映射自動 化,無論實地址可或可不被NAT。注意在配對中,DSM210可使用與每個DSC關(guān)聯(lián)的唯一 ID, 然而配對還可以使用指派給該DSC的MAC地址或?qū)岻P地址。然而,指派給該DSC的MAC地 址或?qū)岻P地址可以可能在將來改變并且從而需要更多管理。對于關(guān)于虛擬IP地址如何分配的更多實施例和細節(jié)參見圖9。在步驟4,DSM210自動復制虛擬IP地址到本地裝置服務控制器,例如第一 DSC202, 其與主機控制臺(即主機控制器)關(guān)聯(lián),其開始監(jiān)聽來自主機控制臺的入局連接。DSM210 可以與第二 DSC212重復該指派虛擬IP地址的過程。在實施例中,虛擬接口可在每個DSC 上實現(xiàn)以允許多個連接被監(jiān)聽。虛擬接口對每個鏈路建立虛擬IP地址并且從而可以處理 到在任何目標裝置上的任意端口的TCP/IP連接。在步驟5,為開始通信,主機控制臺208連接到與由虛擬裝置網(wǎng)絡(luò)管理員配置的路 由關(guān)聯(lián)的適當?shù)摹疤摂MIP” (VIP)地址。VIP連接自動路由直通第一 DSC202以傳遞到正確 裝置。從而,采用多路復用器模式的本地DSC透明地重定向通信業(yè)務流(例如來自主機控 制臺208的分組等)到DSM210。因此,與主機控制臺208關(guān)聯(lián)的本地裝置服務控制器接受 來自在VIP地址上的主機控制臺的入局業(yè)務流分組??偟膩碚f,第一 DSC202增加DSC-VIP地址配對信息進入入局分組的標頭然后僅轉(zhuǎn) 發(fā)該分組到DSM210,其將基于目標裝置的實IP地址到與DSC(其對該目標裝置負責)關(guān)聯(lián) 的虛擬IP地址的映射做出路由決定。從而,在第一 DSC202中的隧道管理器程序增加信息 到通信業(yè)務流(即分組)的標頭,所述信息包括1)通信業(yè)務流來自第一 DSC202,該信息例 如它的唯一 ID,和2)通過包括最初發(fā)送通信業(yè)務流的源裝置和端口(例如它的實IP地址 等)識別關(guān)于在第一本地網(wǎng)絡(luò)中的發(fā)起裝置的信息,然后轉(zhuǎn)發(fā)該通信業(yè)務流到DSM210用于 在互聯(lián)網(wǎng)上路由。注意,來自關(guān)聯(lián)裝置的入局連接可以包括流業(yè)務流(例如TCP/IP)和分組業(yè)務流 (例如UDP)定向網(wǎng)絡(luò)連接兩者。TCP分組標頭信息一般標識最初發(fā)送數(shù)據(jù)的源端口和接收 分組的目標目的端口兩者。從而,發(fā)起到第二網(wǎng)絡(luò)中的遠程目標裝置的通信業(yè)務流的主機控制臺連接到在第 一本地LAN上的第一DSC202,其中在第一 DSC202中的隧道管理器程序多路復用業(yè)務流到第 一出局TCP/IP管道連接271上并且轉(zhuǎn)發(fā)通信業(yè)務流到DSM210。在步驟6,DSM210映射第一出局TCP/IP管道連接到對應的虛擬IP地址和端口 (與第二 DSC212關(guān)聯(lián)的)。DSM210的IP重定向器確定對于第二網(wǎng)絡(luò)中的設(shè)備子集中的目 標裝置的計劃目標裝置地址。DSM210的IP重定向器通過咨詢路由表(其至少存儲實IP 地址、虛擬IP地址)確定與在第二網(wǎng)絡(luò)中的第二 DSC212關(guān)聯(lián)的信息,并且路由到設(shè)備的子 集。DSM210具有在DSM210的注冊表中的虛擬IP地址路由表,其至少存儲每個DSC和在該 局域網(wǎng)上由局域網(wǎng)的用戶指定為可見的網(wǎng)絡(luò)裝置的實IP地址,和虛擬IP地址,并且路由到 裝置,其中DSM210使用在虛擬IP地址路由表中的信息映射由DSM210指派的虛擬IP地址
13到與給定DSC關(guān)聯(lián)的實IP地址以建立路由。DSM210通過參考VIP路由表確定適當?shù)腣IP 路由,然后轉(zhuǎn)發(fā)每個分組到適當?shù)牡诙b置控制器用于傳遞給目標裝置。DSM210通過參考 VIP路由表和看到終端目標裝置的實IP地址與給定DSC唯一 ID關(guān)聯(lián)確定適當?shù)腣IP路由。 VIP路由表還具有DSC唯一 ID與給定虛擬IP地址關(guān)聯(lián),然后轉(zhuǎn)發(fā)每個分組到適當?shù)牡诙b 置控制器用于傳遞給在第二網(wǎng)絡(luò)中的目標裝置。從而,DSM210路由器查找終端目標裝置的 地址并且看出哪個DSC對該終端目標裝置負責然后發(fā)送業(yè)務流到指派給對該終端裝置負 責的DSC的虛擬IP地址??偟膩碚f,DSM210為每個DSC存儲、關(guān)聯(lián)和映射所有DSC和它的關(guān)聯(lián)裝置的公布 信息、路由信息、可用虛擬IP地址信息以及其他相似信息。從而,DSM210執(zhí)行端口映射以 及TCP中繼(在采用多路復用器模式的DSC和采用多路分解器模式的在網(wǎng)絡(luò)與防火墻的另 一側(cè)的DSC之間)。每個DSC還具有隧道管理器,其采用多路復用器模式映射第一本地網(wǎng)絡(luò)中的所有 關(guān)聯(lián)的網(wǎng)絡(luò)裝置到域名。在步驟7,采用多路分解器模式的第二 DSC通過與DSM210建立的第二出局TCP/ IP管道連接接受來自DSM210的隧道請求,并且轉(zhuǎn)發(fā)該業(yè)務流到關(guān)聯(lián)裝置上。因此第二 DSC 周期性地呼叫DSM210以看出對于在主管第二裝置控制器的網(wǎng)絡(luò)中的關(guān)聯(lián)裝置是否有任何 業(yè)務流是未決的。第二 DSC具有隧道管理器以多路分解在與DSM210的出局通信隧道上接 收的業(yè)務流,讀取插入標頭的DSC-VIP配對信息然后傳遞例如分組等業(yè)務流到目標終端裝 置。第二 DSC212接收在第一虛擬IP地址上的通信業(yè)務流并且路由該通信業(yè)務流到也連接 到第二本地網(wǎng)絡(luò)(第二 DSC212是其的一部分)的目的目標裝置。在步驟8,目標終端裝置通過在第二 DSC中路由通過相同路徑將分組返回到發(fā)送 器。第一和第二 DSC212兩者都具有管道管理器以創(chuàng)建到DSM210的直接通信隧道。每個 DSC通過周期性地向DSM210驗證它自己并且建立到DSM210的出局TCP/IP管道連接而創(chuàng)建 它的到DSM210的直接通信隧道,然后對于在出局TCP/IP管道連接上的將來的雙向通信保 持該連接打開。IP重定向器基于在DSM210的注冊表中發(fā)生的VIP地址映射從第一 DSC202 從第一建立的TCP/IP管道連接接收分組然后沿第二建立的TCP/IP管道連接向下路由分組 到第二 DSC212。圖9圖示使虛擬IP地址的分配自動化的DSM的實施例的框圖。DSM 910具有網(wǎng) 絡(luò)訪問模塊,其包括網(wǎng)絡(luò)訪問管理器和隧道管理器,其配置成與兩個或更多裝置服務控制 器(DSC)合作并且充當中心管理站用于分配和指派虛擬IP地址給網(wǎng)絡(luò)裝置以代理每個DSC 902、912所在的局域網(wǎng)上的聯(lián)網(wǎng)裝置的通信。DSM 910位于與VIP地址關(guān)聯(lián)的通信正路由 到其上的LAN上的網(wǎng)絡(luò)裝置的外部。從而,DSM 910自動化來自中心DSM 910的這些虛擬 IP地址的配置和分配,因此用戶不需要在主機端做任何事使它們工作。DSM 910指派虛擬 IP地址給給定的DSC并且建立從指派的虛擬IP地址到目的網(wǎng)絡(luò)裝置的路由(基于存儲在 DSM的注冊表922中的對應的DSC和網(wǎng)絡(luò)裝置信息)。聯(lián)網(wǎng)裝置可在與廣域網(wǎng)上DSM 910 的位置有關(guān)的局域網(wǎng)上的例如本地防火墻914等防火墻后面。在DSM 910上,VDN管理員可手動指定虛擬IP地址對(即主機控制器DSC ID和 指派的本地虛擬IP地址)和到目的裝置(即對應的裝置控制器DSC ID和指派的本地虛擬 IP地址對)的路由。備選地,DSC可發(fā)現(xiàn)什么虛擬IP地址在它的本地網(wǎng)絡(luò)中是可用的,然后向DSM 910報告這些IP地址。在DSM 910中的網(wǎng)絡(luò)訪問模塊創(chuàng)建1)每個DSC的唯一標 識符(ID)和與該DSC關(guān)聯(lián)的本地網(wǎng)絡(luò)的虛擬IP地址的配對。在DSM 910中的網(wǎng)絡(luò)訪問模 塊還創(chuàng)建2)在第一局域網(wǎng)上主機DSC控制器的唯一標識符和與DSC的唯一標識符關(guān)聯(lián)的 主機控制臺網(wǎng)絡(luò)裝置的實IP地址的配對,以及3)第二局域網(wǎng)上目的網(wǎng)絡(luò)裝置的實IP地址 和目的DSC的唯一標識符的配對。在DSM 910中的網(wǎng)絡(luò)訪問模塊然后存儲這些配對在DSM 的注冊表922中的DSM 910中的VIP路由表中。這些配對還可以是本地網(wǎng)絡(luò)的虛擬IP地 址與該本地網(wǎng)絡(luò)的DSC的唯一標識符的配對,在本地網(wǎng)絡(luò)上的網(wǎng)絡(luò)裝置和與該本地網(wǎng)絡(luò)關(guān) 聯(lián)的虛擬IP地址的其他配對也是可能的。該路由信息增加在現(xiàn)有分組路由信息的頂部的 分組的標頭部分(header portion)中。DSM 910可與自動地址映射服務(例如域名系統(tǒng)938等)結(jié)合在一起,因為應用程 序不需要改變它們的目標端口或重新配置成使用不同的端口。所有管理員需要做的是建立 指向虛擬IP地址(VIP)的域名并且用戶應用程序完全保持沒有改變。VIP路由表922可還存儲VIP地址、VIP地址與唯一 ID的配對、路由與裝置和相似 的信息。虛擬IP地址路由表922還可至少存儲1)每個DSC和向DSC注冊的在局域網(wǎng)上由 局域網(wǎng)的用戶指定為可見的網(wǎng)絡(luò)裝置的實IP地址、2)向DSC注冊的網(wǎng)絡(luò)裝置和DSC的虛擬 IP地址、3)到裝置的連接路由、4)DSC和它們的關(guān)聯(lián)的可見網(wǎng)絡(luò)部件的所有公開的信息、5) 連接終點、當前連接、主機信息和相似信息。虛擬IP地址路由表922組成DSM 910中的注 冊表的一部分。利用該存儲的信息,DSM-DSC系統(tǒng)然后可以映射由DSM 910指派的虛擬IP 地址到與每個DSC關(guān)聯(lián)或在其后面的實IP地址以建立發(fā)起網(wǎng)絡(luò)裝置和目的裝置之間的路 由。總的來說,DSM 910使從虛擬IP地址到實IP地址的映射自動化,而無論實地址是可以 還是不可以被NAT。注意,DSC裝置配置成向DSM注冊表922注冊它們自己和任何關(guān)聯(lián)的網(wǎng) 絡(luò)裝置并且周期性地更新該信息。同樣,本地DSC 912接收來自DSM910的業(yè)務流然后實際 上路由業(yè)務流到例如第一網(wǎng)絡(luò)裝置953等的目的目標裝置的關(guān)聯(lián)的實IP地址。在DSM 910中用于配對目的的DSC的唯一標識符可以是硬編碼到每個DSC中的唯 一 ID、指派給該DSC的MAC地址或指派給該DSC的實IP地址。然而,指派給該DSC的MAC 地址或?qū)岻P地址可以可能在將來改變并且從而要求比唯一 ID更多的管轄。DSM 910的網(wǎng)絡(luò)訪問模塊使代碼腳本化以命令主機DSC控制器902發(fā)現(xiàn)什么虛擬 IP地址在在它的本地網(wǎng)絡(luò)中是可用的以及然后向在DSM 910中的關(guān)聯(lián)管理器報告這些VIP 地址。DSC 902可以使用本地自動地址服務器940 (例如DHCP)獲得VIP地址,然后復制VIP 地址回到在DSM 910中的關(guān)聯(lián)管理器。圖10圖示獲得并向DSM報告虛擬IP地址的網(wǎng)絡(luò)集管的實施例的流程圖。參照圖9和10,在運行中在框1044中,當DSC最初與DSM通信并且然后如下周期 性地與DSM通信時,DSM自動地命令主機DSC控制器902的網(wǎng)絡(luò)集管獲得本地VIP地址,例 如使用DHCP。DSC 902的網(wǎng)絡(luò)集管然后使用本地自動地址服務器940在框1045中1)在每 個連接發(fā)生的基礎(chǔ)上或2)為了效率來拾取VIP地址,從在該本地LAN中由DSC902向DSM 910預先識別為可用VIP的VIP地址池拾取VIP地址。在框1046中,DSC的網(wǎng)絡(luò)集管可以 使用本地自動地址服務器940 (例如DHCP)獲得VIP地址,然后復制VIP地址回到DSM 910。 DSM 910使這些來自中心DSM 910的虛擬IP地址的配置自動化,因此用戶不需要在主機端 做任何事來使它們工作。網(wǎng)絡(luò)訪問模塊然后更新VIP路由表922中的路由信息以能夠關(guān)聯(lián)/映射實IP地址與指派的VIP地址并且存儲該關(guān)聯(lián)在DSM注冊表922中以及在可能的域名 服務器938中以關(guān)聯(lián)域名到VIP地址。在實施例中,該關(guān)聯(lián)永久存儲在VIP路由表922中。在實施例中,關(guān)聯(lián)配對被保持 暫時存儲在VIP路由表922中(同時連接是活動的)然后放置在存儲對(例如100個存 儲對)的隊列中,直到連接被需要配對的新的活動連接代替并且基于最不頻繁使用而被蓋寫。如論述的,主機DSC 902可查詢DSM 910或甚至直接查詢DNS938。主機DSC 902 可向DNS 938查詢正確的虛擬IP地址,或通過查詢VIP路由表922獲得該正確的虛擬IP 地址。該主機DSC 902連接到指派給DSC的新的VIP地址。當接收查詢時,DSM 910中的網(wǎng) 絡(luò)訪問管理器可經(jīng)由地址自動映射服務938 (即動態(tài)DNS)建立從域名到遠程目標裝置的路 由。自動映射服務器938建立指向虛擬IP地址的域名并且映射來自發(fā)起網(wǎng)絡(luò)裝置(即主 機控制器DSC ID和指派的本地虛擬IP地址對)的業(yè)務流到目的裝置(即對應的裝置控制 器DSC ID和指派的本地虛擬IP地址對)。從而,DSM 910映射指定的指派給第一 DSC 902 的虛擬IP地址和它的唯一 ID的配對到指派給第二 DSC912的IP地址和它的與域名關(guān)聯(lián)的 唯一 ID的配對。在DSM 910中的網(wǎng)絡(luò)訪問管理器與域名服務器合作以可選地更新DSN 938 中的一個或多個地址記錄以允許自動的域名-到-IP地址解析。在實施例中,域名可以是 映射到數(shù)字IP地址的阿爾法數(shù)字名稱以便識別互聯(lián)網(wǎng)上的計算裝置。從而,發(fā)起網(wǎng)絡(luò)裝置 可僅僅對通向目的裝置的業(yè)務流打入域名。DNS 938被連接并且被操作(由DSM 910)并且可對每個活動連接創(chuàng)建虛擬IP地 址。不是從多個裝置轉(zhuǎn)發(fā)個體端口到單個公共IP地址,而是DSM 910中與每個DSC 902、 912中的網(wǎng)絡(luò)集管合作的網(wǎng)絡(luò)訪問模塊為每個鏈路和每個DSC建立虛擬IP地址并且從而可 以操縱到任何目標裝置上的任意端口的TCP/IP連接。該技術(shù)方案可以容易地集成進入域 名系統(tǒng),因為應用程序不需要改變它們的目標端口或重新配置成使用不同的端口。所有你 需要做的是建立指向虛擬IP地址的域名并且用戶應用程序完全保持沒有改變。運行地,當DNS查詢發(fā)生時DNS服務器938僅僅需要分配虛擬IP地址。每個DSC 902,912預先分配它的LAN中可用的VIP地址池,然后發(fā)送該VIP地址池到DSM 910。DSM 910然后按需要自由指派和使用來自池中的VIP地址條目(entry)。DSC需要的惟一信息是 是否分配或收回VIP (來自池中的)。為了防止明顯的DoS攻擊,DSM 910維護兩個池用于指派虛擬IP地址。VIP地址 的較小池用于來自未知公共IP地址的請求而VIP地址的較大池用于來自向DSC注冊的已 知IP地址的請求。一旦連接建立,到達的該連接所來自的公共IP放置在自動白名單池中, 其然后允許具有更長的超時(timeout)。在白名單中的條目還可具有指數(shù)式延時計時器以在連接終止后自動地從白名單 池移除它們。圖11圖示創(chuàng)建在本地網(wǎng)絡(luò)中可用的虛擬IP地址的兩個或更多池的DSM的圖。參照圖11,在運行中在框1150中,在DNS查詢時DSM中的網(wǎng)絡(luò)訪問模塊檢查以查 看虛擬IP地址是否指派給主機DSC (hosting DSC)。如果是,虛擬IP地址當前指派給主機DSC,網(wǎng)絡(luò)訪問模塊發(fā)送該虛擬IP地址給主 機 DSC。
如果否,虛擬IP地址當前沒有指派給主機DSC,在框1154中,網(wǎng)絡(luò)訪問模塊檢查是 否查詢來自公共IP地址或查詢來自DNS查詢白名單。如果是,查詢確實來自注冊的公共IP地址或來自白名單,然后網(wǎng)絡(luò)訪問模塊指派 來自可用虛擬IP地址的大池中的對主機DSC可用的虛擬IP地址。如果否,查詢不是來自已知的公共IP地址或來自白名單,然后網(wǎng)絡(luò)訪問模塊指派 來自可用虛擬IP地址的小池中的對主機DSC可用的虛擬IP地址。現(xiàn)在虛擬IP地址指派給主機DSC。在框1156中,DSM的網(wǎng)絡(luò)訪問模塊響應于查詢而發(fā)送虛擬IP地址。參照圖9,在來自DSC的隧道請求時,DSM 910中的網(wǎng)絡(luò)訪問模塊向白名單增加請 求的公共IP地址并且然后將它發(fā)送到隧道調(diào)度器(dispatcher)。注意在干預防火墻或NAT裝置方面對網(wǎng)絡(luò)管理員干預沒有要求,對于主機裝置使 用該模式也沒有任何任意配置變化的要求,但網(wǎng)絡(luò)管理員應該為期望的DNS域(即本地網(wǎng) 絡(luò))創(chuàng)建子域并且委托該子域給DSM 910或允許DSM 910提供動態(tài)DNS更新。參照圖7,如論述的,每個DSC 702具有配置成通過DHCP、端口管理和DHCP服務器 管理并且維護IP地址的一個或多個池的網(wǎng)絡(luò)集管726。在DSC 702中的網(wǎng)絡(luò)訪問模塊726 可由下列部件構(gòu)成=DHCP服務器、虛擬IP池管理器以維護虛擬IP地址的集合,以及端口池 管理器以維護端口池。在DSC 702中的網(wǎng)絡(luò)集管726負責維護虛擬IP地址池以供當映射IP地址到域名 時由DSM 910使用。在DSC 702中的網(wǎng)絡(luò)集管726對于它的運行保持若干值pool, max指定DSC 702將一次保存的IP地址的最大數(shù)量(排除它自己);pool. Iowmark指定一直留作預備的IP地址的數(shù)量(除非達到pool, max);以及pool, inuse指定當前使用中的IP地址的數(shù)量。在DSC 702中的網(wǎng)絡(luò)訪問模塊726與DSM中的網(wǎng)絡(luò)訪問模塊通信以獲得pool, inuse數(shù)量。另外,在DSC 702中的網(wǎng)絡(luò)集管726應該能夠為期滿目的向DSM查詢每個使用 中的IP地址的使用。DSC 702不需要目的地的另外的了解。實際上,DSC 702不了解隧道的最終目的 地。在DSC 702中的隧道管理器725與網(wǎng)絡(luò)集管726以及其他內(nèi)部進程通信(兩者都 采用多路復用器(MUX)和DeMUX模式)并且定向隧道業(yè)務流。MUX模式允許對DSC關(guān)聯(lián)的 網(wǎng)絡(luò)裝置與其他域中的另一個DSC的關(guān)聯(lián)的網(wǎng)絡(luò)裝置通信。DEMUX模式重定向隧穿的業(yè)務 流從DSM到在本地域中關(guān)聯(lián)的網(wǎng)絡(luò)裝置。Mux模式可具有兩個關(guān)聯(lián)的程序。端口 MUX隧穿 本地端口任一 TCP/UDP到DSM 910。虛擬IPMUX隧穿業(yè)務流到虛擬IP地址到DSM 910。隧道MUX管理器725接受來自本地LAN在DSC上的連接(TCP/UDP)。通過使用網(wǎng) 濾器/IP表,在DSC上的所有虛擬接口可以重定向到單個隧道MUX管理器daemon。MUX管理器然后可以向網(wǎng)濾器接口查詢計劃的目的地以確定虛擬IP地址。當連 接到DSM隧道管理器時,MUX管理器可以發(fā)送虛擬目的地IP、虛擬目的端口號和本地DSC的 DNA ID0基于該信息,DSM可以確定分組實際上計劃到哪里然后代理該連接。
MUX TCP隧道處理程序(Tunnel Handler)向DSM發(fā)送一些初始標頭信息。它然后 對tcp_relay3執(zhí)行相似功能。隧道DEMUX管理器的任務是非常簡單的。當接收到連接并且做出一些驗證時,它 讀取初始標頭以確定分組類型和目的地。隧道DEMUX管理器然后大量產(chǎn)生tcp_relay代理 或udp_relay代理以執(zhí)行實際中繼任務。這樣,DSM 910充當在公司防火墻和客戶NAT路由器后面運行的每個DSC的多個 關(guān)聯(lián)的裝置的代理訪問點。在實施例中,DSM通過DHCP地址配置或從對第一 DSC可用的虛擬IP地址的靜態(tài) 池指派虛擬IP地址給本地DSC。當本地DSC通過詢問終端目標裝置的指定DNS名稱而發(fā)起 第一 TCP/IP管道連接時。返回的虛擬IP地址將已經(jīng)由DSM從對主機DSC可用的本地虛擬 IP地址池供應。當主機裝置嘗試ARP地址解析時,DSC將響應并且開始轉(zhuǎn)發(fā)該連接的業(yè)務 流到DSM,其然后將轉(zhuǎn)發(fā)該業(yè)務流到關(guān)于DSC端口轉(zhuǎn)發(fā)模式適當?shù)难b置。隧道管理器725配置用于DSC202以能夠發(fā)起到在由干預防火墻保護的另一個本 地網(wǎng)絡(luò)中的終端目標裝置的TCP或UDP連接并且不知道終端目標裝置的實IP地址。參照圖6,DSM 610的圖形用戶界面651也配置用于DSM管理員指定個體裝置關(guān) 聯(lián),其限定為現(xiàn)有裝置配置與具體發(fā)現(xiàn)的DSC裝置的配對。一旦裝置已經(jīng)在DSM的注冊表 620中關(guān)聯(lián),DSM 610可應用適當?shù)呐渲米兓⑶覍凑赵贒SM 610中的IP重定向器模塊 618中維護的訪問規(guī)則的預設(shè)集開始轉(zhuǎn)發(fā)代理連接(到網(wǎng)絡(luò)設(shè)備的DSC)。當發(fā)現(xiàn)并且注冊探測到的DSC時,可在圖形用戶界面651的裝置監(jiān)視服務視圖中 出現(xiàn)適當?shù)膱D標。用戶然后可將每個這樣注冊的裝置與之前創(chuàng)建的配置記錄關(guān)聯(lián)。一旦這 完成,附加裝置設(shè)定(包括發(fā)現(xiàn)搜索記錄)可以自動地下載到DSC裝置。基于這些設(shè)置,DSC 然后將開始發(fā)現(xiàn)附加網(wǎng)絡(luò)裝置并且傳遞業(yè)務流。在DSM 610中的用戶數(shù)據(jù)復制管理器645提供用于從DSC復制數(shù)據(jù)到DSM的機制。 在DSM 610中的用戶數(shù)據(jù)復制管理器645產(chǎn)生包括該DSC的配置記錄的裝置配置文件的本 地副本。DSC使用采用SSH實現(xiàn)的安全通信通道以從中心注冊表620取得裝置配置文件的 本地副本,然后DSC更新它的裝置配置文件的本地存儲副本。從而,影子配置注冊表在遠程 管理的DSC裝置上維護。DSC然后向DSM 610發(fā)送更新完成的信號并且DSM 610更新DSM 610的中心注冊表620中的遠程配置的DSC的狀態(tài)。圖2b圖示具有DSC的系統(tǒng)的實施例的框圖,每個DSC具有配置成通過向DSM驗證 它自己和建立到DSM的出局TCP/IP管道連接然后為建立的TCP/IP管道連接上的將來的雙 向通信保持該連接打開來向DSM提供直接通信隧道的管道管理器。主機控制臺208b通過 本地DSC和DSM 210b連接到遠程DSC 212b。本地和遠程DSC 212b都可以為雙向通信保持 它們自己和DSM 210b之間的直接通信隧道打開。直接TCP通信隧道是雙向TCP/IP管道連 接/TCP會話,其對DSM 210b保持打開。在入局連接上的業(yè)務流然后通過該會話中繼。在 遠程DSC212b中的管道管理器可使用基于證書的SSH(安全外殼)加密協(xié)議以確保主機控 制臺208b和目的目標裝置(例如運動控制器等)之間通過直接TCP通信隧道的安全的、端 到端的通信。在業(yè)務流已經(jīng)被傳送后,那么然后TCP會話可關(guān)閉。從而,直接TCP通信隧道 可通過SSH實現(xiàn)。在實施例中,直接TCP通信隧道還可以是簡單的TCP端口轉(zhuǎn)發(fā)器。程序只是監(jiān)聽送到遠程主機。直接TCP通信隧道允許用戶繞開防 火墻,該防火墻不允許遠程裝置建立到你的服務器的入站TCP/IP連接。遠程DSC還通過解碼業(yè)務流上的標頭并且轉(zhuǎn)發(fā)該業(yè)務流到目標網(wǎng)絡(luò)部件上來多 路分解該業(yè)務流(從直接通信隧道到它的關(guān)聯(lián)局域網(wǎng)上的網(wǎng)絡(luò)部件)。TCP分組標頭信息 一般標識最初發(fā)送數(shù)據(jù)的源端口和接收分組的目標目的端口兩者。圖5圖示分布式系統(tǒng)的自動集中式管理的實施例的框圖。系統(tǒng)的核心是DSM 510。裝置服務管理器管理DSC 502、512、513和515的集合。 DSM 510可具有配置成與在與廣域網(wǎng)上的DSM 510的位置有關(guān)的廣域網(wǎng)上的防火墻(例如 防火墻506、514、517和519等)后面的兩個或更多DSC 502、512、513、515合作的IP重定 向器模塊518。DSM 510充當用于向DSC 502、512、513和515自動分發(fā)配置信息的中心管 理站。經(jīng)由該DSC中的驅(qū)動端口上載的可執(zhí)行自舉文件腳本化以采集該DSC和在與該DSC 相同的網(wǎng)絡(luò)上的網(wǎng)絡(luò)裝置的配置信息并且在沒有由DSM 510的提示的情況下然后發(fā)送初 始配置文件到DSM 510。DSM 510在DSM的注冊表中為該DSC制作裝置配置文件的原版拷 貝。每個DSC 502、512、513、515和DSM 510協(xié)力工作以提供在不同域中關(guān)聯(lián)裝置之間 的端到端訪問。DSM 510充當代理連接點以用于參與DSC 502、512、513、515。DSM 110是專
用設(shè)備,其在用戶主機和目的裝置之間中繼連接。個體DSC 502、512、513、515充當參與的LAN上的低成本存在點。每個DSC 502、 512、513、515能夠同時擔當主機控制器(其發(fā)起來自主機系統(tǒng)的連接)和裝置控制器(其 接收和管理到個體遠程裝置的入局連接)。每個DSC 502、512、513、515配置成代理它自己 和它的關(guān)聯(lián)網(wǎng)絡(luò)裝置兩者到位于本地LAN之外的它的父DSM 510的連接。對于遠程網(wǎng)絡(luò),新安裝的DSC像新安裝的計算機一樣工作。為了訪問在遠程網(wǎng)絡(luò) 上的裝置,DSC只需要建立到控制VDN的DSM的單個出站連接。該出站連接是擔當主機控 制器的DSC和DSM之間的管道通信鏈路。一旦該連接建立,所有系統(tǒng)配置、命令和網(wǎng)絡(luò)業(yè)務 流可以經(jīng)過加密通道。當DSC成功向DSM驗證時,它可以立即開始提供對預先授權(quán)的設(shè)備 的個體件的安全訪問。圖8圖示通過經(jīng)由DSM 810中的驅(qū)動端口 834上載的可執(zhí)行自舉文件向DSC(例如 第一 DSC 802等)分發(fā)配置信息的DSM的實施例的框圖。DSM 810的管理員創(chuàng)建自舉文件 并且將該可執(zhí)行自舉文件的副本嵌入在拇指驅(qū)動器(thumb drive)上。載有可執(zhí)行自舉文 件的拇指驅(qū)動器陪同DSC裝置802并且用DSC裝置802運送。在DSC 802中的可執(zhí)行自舉 文件用代碼腳本化以至少1)確定該個體DSC裝置的唯一 ID、2)確定DSC的當前IP地址、 3)在廣域網(wǎng)上供應DSM的IP地址和4)激活代碼以發(fā)起與DSM 810的通信。DSC裝置802經(jīng)由驅(qū)動端口 834從拇指驅(qū)動器上載自舉文件,使用自舉文件的內(nèi)容 以經(jīng)由DSC 802和DSM 810之間的SSH自動地創(chuàng)建安全通信通道并且在WAN上的它的IP 地址連接到DSM 810。DSC802然后經(jīng)由唯一 ID、裝置MAC地址和/或可能關(guān)聯(lián)的DNS條目 (DNSentry)向DSM 810驗證它自己。DSM 810然后在維護在DSM 810中的參考表中查找驗 ilEfn 息 ο參照圖7,如論述的,DSC 702中的裝置配置引擎743在沒有由DSM的提示的情況 下然后通過安全通信通道(例如通過安全協(xié)議、加密電子郵件或相似方法等)發(fā)送至少具
19有該個體DSC裝置的唯一 ID和DSC的當前IP地址信息的初始配置文件到DSM(其中個體 裝置通過裝置ID、裝置MAC地址和/或可能關(guān)聯(lián)的DNS條目而被區(qū)分)。參照圖6,DSM IP重定向器模塊618接收該配置信息。DSM 610具有用戶數(shù)據(jù)復 制管理器模塊645以創(chuàng)建具有該配置信息和附加信息的裝置配置/復制文件并且在DSM的 注冊表620中制作裝置配置文件的原版拷貝。用戶數(shù)據(jù)復制管理器模塊645然后響應于 DSC的向DSM610的注冊或響應于給定DSC執(zhí)行系統(tǒng)復位來向外分發(fā)該配置信息回到適當?shù)?DSC0注意,DSM 610還可響應于自舉調(diào)用來發(fā)送固件、軟件補丁(software patch)等的更 新。參照圖7,DSC 702可以是在現(xiàn)有網(wǎng)絡(luò)中部署的獨立裝置。該部署由僅僅物理地插 入電力到電力連接和DSC的電源電路、插入以太網(wǎng)連接和將供應的拇指驅(qū)動器插入驅(qū)動端 口 734中(即USB閃存驅(qū)動器插入USB端口中)構(gòu)成。就是這樣。從而,DSC 702是連接 至現(xiàn)有網(wǎng)絡(luò)而不需要客戶端軟件安裝在該現(xiàn)有網(wǎng)絡(luò)中的另一個主機裝置上的獨立裝置并 且不需要來自終端用戶的網(wǎng)絡(luò)配置設(shè)置以適當?shù)匕惭bDSC到現(xiàn)有網(wǎng)絡(luò)上。因此,避免許多 企業(yè)IT部門不允許未授權(quán)的第三方應用程序安裝到它們的系統(tǒng)上。DSC 702然后駐留在現(xiàn) 有網(wǎng)絡(luò)上并且作為到該LAN上的通信的媒介。沒有必需的聯(lián)網(wǎng)知識并且對該遠程裝置的訪 問自動配置。不需要終端用戶配置或軟件安裝以適當?shù)匕惭bDSC到現(xiàn)有網(wǎng)絡(luò)上。位于每個DSC 702中的自動發(fā)現(xiàn)存在管理器程序730發(fā)現(xiàn)在現(xiàn)有LAN上的聯(lián)網(wǎng)設(shè) 備并且建立在該本地網(wǎng)絡(luò)上的即時存在點。發(fā)現(xiàn)存在管理器程序730通過使用輪詢技術(shù)發(fā) 現(xiàn)在網(wǎng)絡(luò)上的關(guān)聯(lián)裝置。發(fā)現(xiàn)存在管理器程序730具有圖形用戶界面(⑶1)749以詢問網(wǎng) 絡(luò)的用戶由防火墻保護的每個發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備件是否應該對于由至少DSM的遠程訪問是 可見的。DSC裝置702然后收集并且通過安全通道發(fā)送出具有指定可見的網(wǎng)絡(luò)裝置信息的 初始配置文件到中心管理DSM,該DSM自動地注冊本地DSC和任何關(guān)聯(lián)的網(wǎng)絡(luò)裝置在DSM主 管的身份注冊表中。該信息然后可以通過動態(tài)DNS、LDAP和DHCP以及關(guān)聯(lián)的基于網(wǎng)絡(luò)的目 錄服務應用程序接口使成為可用的。在實施例中,自動發(fā)現(xiàn)服務730等待用以發(fā)現(xiàn)在現(xiàn)有 LAN上的網(wǎng)絡(luò)設(shè)備直到DSM發(fā)送回原版配置文件的副本以及任何固件和軟件更新。圖形用戶界面749配置成用于DSM管理員配置每個關(guān)聯(lián)的DSC的自動化的裝置發(fā) 現(xiàn)??蓜?chuàng)建多個個體掃描記錄,其指定SNMPvl、SNMPv2或另一個協(xié)議為搜索機制。當自動 化的裝置發(fā)現(xiàn)被激活時,掃描記錄被復制到適當?shù)腄SC,其將使用它們以發(fā)起對于附屬網(wǎng)絡(luò) 裝置的它們的本地LAN的周期性掃描。當發(fā)現(xiàn)裝置時,DSC將創(chuàng)建發(fā)現(xiàn)記錄,其將包括至少發(fā)現(xiàn)的裝置的IP地址、用于定 位發(fā)現(xiàn)的網(wǎng)絡(luò)裝置的發(fā)現(xiàn)協(xié)議和發(fā)現(xiàn)用的DSC的標識符。所得的發(fā)現(xiàn)記錄將復制回DSM以 供DSM的關(guān)聯(lián)、配置和監(jiān)視用的服務部件來使用。每個這樣的發(fā)現(xiàn)記錄將被指派唯一 ID,其 將允許管理員澄清對個體配置和發(fā)現(xiàn)的裝置的引用。DSM然后發(fā)送回DSC的本地副本以存 儲在它的注冊表728中。從而,兩個或多個DSC中的每個DSC 702充當本地注冊機構(gòu),接受來自現(xiàn)有本地 LAN上的關(guān)聯(lián)網(wǎng)絡(luò)裝置的注冊請求以及輪詢本地LAN上的關(guān)聯(lián)網(wǎng)絡(luò)裝置。DSC 702將維護 關(guān)聯(lián)裝置的注冊表728并且將能夠自動地向它的父DSM注冊表注冊它們自己和關(guān)聯(lián)裝置。 每個DSC 702將該數(shù)據(jù)提供給父DSM。每個DSC 702通過注冊通過使用輪詢技術(shù)發(fā)現(xiàn)的關(guān) 聯(lián)裝置而參與裝置發(fā)現(xiàn)和目錄服務。
參照圖6,DSM 610提供廣域網(wǎng)上的DSC的分布式系統(tǒng)和這些DSC之間的代理通 信的集中式管理。具有來自DSM 610的⑶I 651的管理員從具有附加信息(包括制作現(xiàn)有 裝置配置與具體發(fā)現(xiàn)的裝置的配對關(guān)聯(lián))、持久狀態(tài)信息等的初始配置文件在中心注冊表 620中創(chuàng)建完整裝置配置記錄。中心配置注冊表620存儲配置信息并且用戶數(shù)據(jù)復制管理 器制作存儲在DSM 610中的裝置配置文件的原版拷貝。圖3圖示具有中心DSM和本地DSC以對由防火墻保護的網(wǎng)絡(luò)中的聯(lián)網(wǎng)裝置訪問和 從其訪問的系統(tǒng)的實施例的框圖。虛擬裝置網(wǎng)絡(luò)由DSM 310和DSC 302、312和與每個DSC 關(guān)聯(lián)的網(wǎng)絡(luò)裝置創(chuàng)建。在圖3中的VDN與圖l、2a和2b的上文說明相似地運行(除指出的 地方)。IP重定向器可具有位于DSC和DSM兩者中的部分。參照圖7,IP重定向器可包括訪問子系統(tǒng)裝置管理系統(tǒng)和注冊表。在DSC中的管 道管理器724向本地DSC進程通知到DSM的SSH會話已經(jīng)完全建立。管道的SSH外殼會話 (shell session)附連到DSM中的IP重定向程序部分。IP重定向程序然后發(fā)送DSC可以使 用的用于確保直接通信隧道建立并且活動的周期性信標分組。一些次要的協(xié)議能力可存在 以允許DSC/DSM 110執(zhí)行帶寬/等待時間估計。SSH的TCP端口轉(zhuǎn)發(fā)特征可以用于在DSM 和DSC之間傳遞所有其他控制和隧道數(shù)據(jù)。管道管理器724還可以協(xié)商“遠程”端口,它可 以從DSM監(jiān)聽。圖4圖示在DSC中的管道管理器的實施例的狀態(tài)圖。管道管理器包含代碼以開 啟和停止直接TCP通信隧道,確定該直接TCP通信隧道何時是空閑的或意外中斷等等。在 框402中,當未決TCP連接請求進入時,管道管理器檢查以查看是否有任何SSH隧道已經(jīng)與 DSM建立。如果否,在框404中,管道管理器建立完整或部分SSH會話。在框406中,管道管 理器通過分別證實它們的身份協(xié)商該DSC向DSM的驗證。在SSH會話已經(jīng)完全建立并且對原始點負責的DSC的身份向DSM驗證后,于是在 框408中允許業(yè)務流在直接通信隧道中的兩個方向上通過。在框410中,如果隧道已經(jīng)建立,DSC重定向socket并且刷新隧道計時器。參照圖6,DSM 610具有IP重定向程序,其由多個采用軟件、邏輯或兩者的組合實 現(xiàn)的例程構(gòu)成。DSC還可包含一部分IP重定向程序。IP重定向程序可包括在DSC中的部 分,例如在DSC中的管道管理器等,其使代碼腳本化以提供基本安全網(wǎng)絡(luò)通信并且管理DSC 和DSM之間的管道隧道和在DSC中的隧道管理器。在DSM 610中的IP重定向器的隧道管理器624部分使代碼腳本化以在DSM和采 用DEMUX模式運行的DSC之間和在DSM和采用Mux模式運行的DSC之間提供安全多路復用 TCP會話。上文的進程可通過采用給定的編程語言編寫的軟件代碼、硬件邏輯部件和其他電 路或兩者的某個組合實現(xiàn)。因此,在實施例中,用于使上文論述的算法便利的軟件可以包含到機器可讀介質(zhì) 上。機器可讀介質(zhì)包括提供(例如,存儲和/或發(fā)送)采用由機器(例如,計算機)可讀形式 的信息的任何機制。例如,機器可讀介質(zhì)包括只讀存儲器(ROM);隨機存取存儲器(RAM); 磁盤存儲介質(zhì);光學存儲介質(zhì);閃存器件;數(shù)字視盤(DVD)、EPROM、EEPR0M、閃存、磁性或光 學卡片或適用于存儲電子指令的任何類型介質(zhì)。上文的詳細說明的一些部分根據(jù)計算機的存儲器內(nèi)的數(shù)據(jù)位上的運算的符號表
21示和算法呈現(xiàn)。這些算法說明和表示是由數(shù)據(jù)處理領(lǐng)域內(nèi)的技術(shù)人員使用的用以最有效地 向本領(lǐng)域內(nèi)其他技術(shù)人員表達他們的工作的實質(zhì)的工具。算法這里并且一般設(shè)想為導致期 望結(jié)果的步驟的自洽順序。步驟是要求物理量的物理操作的那些。通常,盡管不是必須,這 些量采用能夠存儲、轉(zhuǎn)移、組合、比較和另外操作的電或磁信號的形式。已經(jīng)證實有時主要 由于常見使用的原因?qū)⑦@些信號作為位、值、要素、符號、字符、項、數(shù)字或相似物來提及是 方便的。這些算法可采用許多不同的軟件編程語言編寫。同樣,算法可用軟件中的代碼行、 軟件中的配置邏輯門或兩者的組合實現(xiàn)。然而,應該牢記所有這些和相似的術(shù)語將與適當?shù)奈锢砹筷P(guān)聯(lián)并且僅是應用于這 些量的方便標簽。除非如從上文論述明顯的那樣另外具體敘述,意識到在整個說明中,利用 例如“處理”、“計算”、“算術(shù)”、“確定”、“顯示”或相似物等術(shù)語的論述指計算機系統(tǒng)或相似 的電子計算裝置的動作和進程,其操作并且轉(zhuǎn)換在計算機系統(tǒng)的寄存器和存儲器內(nèi)表示為 物理(電子)量的數(shù)據(jù)為在計算機系統(tǒng)存儲器或寄存器或其他這樣的信息存儲、傳輸或顯 示裝置內(nèi)相似地表示為物理量的其他數(shù)據(jù)。在實施例中,邏輯由遵循布爾邏輯的規(guī)則的電子電路、包含指令模式的軟件或兩 者的任意組合構(gòu)成。盡管本發(fā)明的一些具體實施例已經(jīng)示出本發(fā)明將不限于這些實施例。例如,由電 子硬件部件執(zhí)行的大部分功能可由軟件仿真復制。從而,編寫以完成那些相同功能的軟件 程序可仿真輸入輸出電路中的硬件部件的功能性。本發(fā)明將理解為不由本文描述的具體實 施例限制,而僅由附上的權(quán)利要求的范圍限制。
權(quán)利要求
一種設(shè)備,包括第一分布的服務控制器(DSC),其具有第一管道管理器以創(chuàng)建與第一虛擬IP地址關(guān)聯(lián)的到裝置服務管理器(DSM)的第一出局TCP/IP流連接,所述裝置服務管理器(DSM)進而中繼從所述第一出局TCP/IP流連接到第二DSC的通信業(yè)務流,所述第二DSC具有第二管道管理器以創(chuàng)建與第二虛擬IP地址關(guān)聯(lián)的到所述DSM的第二直接出局TCP/IP流連接,其中所述第一DSC位于第一本地網(wǎng)絡(luò)中而所述第二DSC位于與所述第一本地網(wǎng)絡(luò)不同的第二本地網(wǎng)絡(luò)中并且所述DSM位于所述第一和第二DSC兩者外部的廣域網(wǎng)中,其中所述第一和第二DSC兩者通過周期性地向所述DSM驗證它自己以及然后對于在所述出局TCP/IP流連接上的將來的雙向通信保持該連接打開而建立到所述DSM的所述出局TCP/IP流連接,并且其中在所述DSM中的IP重定向器基于發(fā)生在所述DSM的注冊表中的虛擬IP地址映射而從所述第一DSC從所述第一建立的TCP/IP流連接接收通信業(yè)務流以及然后沿所述第二建立的TCP/IP流連接向下路由所述通信業(yè)務流到所述第二DSC。
2.如權(quán)利要求1所述的設(shè)備,其中所述第二DSC接收在所述第一虛擬IP地址上的通信 業(yè)務流并且路由該通信業(yè)務流到也連接到所述第二本地網(wǎng)絡(luò)的目的裝置,所述第二 DSC是 所述第二本地網(wǎng)絡(luò)中的一部分,并且所述第一 DSC具有配置成在相同本地網(wǎng)絡(luò)上檢測和注 冊本地裝置的發(fā)現(xiàn)管理器、配置成發(fā)起和控制到所述DSM的所述出局TCP/IP流連接的所述 第一管道管理器和配置成多路復用和多路分解到所述第二本地網(wǎng)絡(luò)上的檢測到的和指定 的可見裝置的TCP/IP連接的隧道管理器。
3.如權(quán)利要求1所述的設(shè)備,其中初始DSC配置使用安全配置文件通過便攜計算機可 讀介質(zhì)載入所述第一 DSC的配置文件中,其消除對在所述第一 DSC裝置上的用戶接口的需 要,并且一旦電力施加于所述第一 DSC,所述第一 DSC的管道管理器建立所述第一出局TCP/ IP流連接然后在所述第一出局TCP/IP流連接上從所述DSM下載所有其他需要的配置信息 到所述第一 DSC。
4.如權(quán)利要求1所述的設(shè)備,還包括在所述DSM中的網(wǎng)絡(luò)訪問模塊,其配置成創(chuàng)建1)每個DSC的唯一標識符和對于該DSC 指派的來自本地網(wǎng)絡(luò)的虛擬IP地址的配對,所述網(wǎng)絡(luò)訪問模塊還配置成創(chuàng)建2)在第一局 域網(wǎng)上本地DSC的唯一標識符和與該第一 DSC的唯一標識符關(guān)聯(lián)的主機控制臺網(wǎng)絡(luò)裝置的 實IP地址的配對,以及3)第二局域網(wǎng)上的目的網(wǎng)絡(luò)裝置的實IP地址和目的DSC的唯一標 識符的配對,并且所述DSM然后存儲這些配對在所述DSM的所述注冊表中,其中向所述第一 DSC發(fā)送請求以發(fā)現(xiàn)什么虛擬IP地址在所述第一本地網(wǎng)絡(luò)中是可用的,并且所述第一 DSC 發(fā)現(xiàn)什么虛擬IP地址在它的本地網(wǎng)絡(luò)中是可用的以及然后向所述DSM報告那些可用的虛 擬IP地址。
5.如權(quán)利要求1所述的設(shè)備,還包括保護所述第二局域網(wǎng)的防火墻,其中發(fā)起到所述第二網(wǎng)絡(luò)中的遠程目標裝置的通信業(yè) 務流的主機控制臺連接到所述第一本地LAN上的所述第一DSC,其中在所述第一DSC中的隧 道管理器程序多路復用業(yè)務流到所述第一出局TCP/IP流連接上并且轉(zhuǎn)發(fā)所述通信業(yè)務流 到所述DSM,以及所述DSM映射所述第一出局TCP/IP流連接到對應的與所述第二 DSC關(guān)聯(lián)的端口和虛 擬IP地址,其中所述DSM的IP重定向器通過咨詢至少存儲實IP地址、虛擬IP地址、到設(shè)備子集的路由的路由表來確定對第二網(wǎng)絡(luò)中的設(shè)備子集中的目標裝置的計劃目標裝置地 址和與在所述第二網(wǎng)絡(luò)中的所述第二 DSC關(guān)聯(lián)的信息,以及然后通過與該DSC建立的所述 第二出局TCP/IP流連接轉(zhuǎn)發(fā)分組到所述第二 DSC。
6.如權(quán)利要求1所述的設(shè)備,其中在所述第一DSC中的隧道管理器程序增加信息到所 述通信業(yè)務流的標頭,所述信息包括1)所述通信業(yè)務流來自所述第一 DSC和2)通過包括 最初發(fā)送通信業(yè)務流的源裝置和端口識別關(guān)于在第一本地網(wǎng)絡(luò)中的發(fā)起裝置的信息,以及 然后轉(zhuǎn)發(fā)該通信業(yè)務流到所述DSM用于在互聯(lián)網(wǎng)上路由。
7.如權(quán)利要求1所述的設(shè)備,其中所述DSM具有在所述DSM的注冊表中的虛擬IP地址 路由表,其至少存儲每個DSC和在該局域網(wǎng)上由所述局域網(wǎng)的用戶指定為可見的網(wǎng)絡(luò)裝置 的實IP地址、虛擬IP地址,以及到裝置的路由,其中所述DSM使用在所述虛擬IP地址路由 表中的信息映射由所述DSM指派的虛擬IP地址到與給定DSC關(guān)聯(lián)的實IP地址以建立所述 路由,并且所述DSM通過參考所述虛擬IP地址路由表確定適當?shù)奶摂MIP地址路由,以及然 后轉(zhuǎn)發(fā)所述通信業(yè)務流到所述第二 DSC用于傳遞給所述目標裝置。
8.如權(quán)利要求7所述的設(shè)備,其中所述DSM通過參考所述VIP路由表和看出所述目標 裝置的實IP地址與所述第二 DSC的唯一 ID關(guān)聯(lián)以及所述第二 DSC的唯一 ID與給定虛擬 IP地址關(guān)聯(lián)而確定所述適當?shù)腣IP路由。
9.如權(quán)利要求1所述的設(shè)備,其中在所述第一本地網(wǎng)絡(luò)中的所述第一DSC具有隧道管 理器,其采用多路復用器模式映射所述第一本地網(wǎng)絡(luò)中的所有關(guān)聯(lián)的網(wǎng)絡(luò)裝置到域名,并 且在所述DSM中的網(wǎng)絡(luò)訪問模塊配置成維護虛擬IP地址的池以供所述第一 DSC當映射IP 地址到域名時使用。
10.如權(quán)利要求1所述的設(shè)備,其中所述第一DSC使用本地自動地址服務器獲得可用虛 擬IP地址,然后復制所述可用虛擬IP地址回到所述DSM中的關(guān)聯(lián)管理器,其更新所述DSM 中的虛擬IP路由表。
11.如權(quán)利要求1所述的設(shè)備,其中采用多路分解器模式的所述第二DSC接受來自所述 DSM的隧道請求,并且轉(zhuǎn)發(fā)所述通信業(yè)務流到所述第二局域網(wǎng)中的關(guān)聯(lián)裝置上,并且所述第 二 DSC周期性地呼叫所述DSM以看出對于在主管所述第二裝置控制器的網(wǎng)絡(luò)中的關(guān)聯(lián)裝置 是否有任何業(yè)務流是未決的,并且所述第二 DSC多路分解在與所述DSM的第二出局通信隧 道上接收的所述通信業(yè)務流,讀取插入所述通信業(yè)務流的標頭中的虛擬IP配對信息,以及 然后傳遞所述通信業(yè)務流到所述目標裝置。
12.如權(quán)利要求1所述的設(shè)備,其中隧道管理器配置用于所述第一DSC以能夠發(fā)起到由 干預防火墻保護的所述第二本地網(wǎng)絡(luò)中的終端目標裝置的TCP或UDP連接并且不知道所述 終端目標裝置的實IP地址,其中所述DSM通過DHCP地址配置或從對所述第一 DSC可用的 虛擬IP地址的靜態(tài)池中指派第一虛擬IP地址給所述第一 DSC。
13.如權(quán)利要求12所述的設(shè)備,其中所述第一DSC通過詢問所述終端目標裝置的指定 DNS名稱發(fā)起所述第一 TCP/IP流連接并且返回的虛擬IP地址由所述DSM從對所述第一 DSC 可用的本地虛擬IP地址的池中供應。
14.一種方法,包括建立從本地裝置到中心裝置的第一出局TCP/IP流連接;建立從遠程裝置到所述中心裝置的第二出局TCP/IP流連接,其中所述本地裝置位于3第一本地網(wǎng)絡(luò)中,所述遠程裝置位于與所述第一本地網(wǎng)絡(luò)不同的第二本地網(wǎng)絡(luò)中,并且所 述中心裝置位于在所述本地和遠程裝置兩者外部的廣域網(wǎng)中,其中所述本地和遠程裝置兩 者通過周期性地向所述中心裝置驗證它們自己以及然后對于在所述出局TCP/IP流連接上 的將來的雙向通信保持該連接打開而創(chuàng)建到所述中心裝置的它們自己的出局TCP/IP流連 接;指派第一虛擬IP地址給所述本地裝置和第二虛擬IP地址給所述遠程裝置;基于發(fā)生在所述中心裝置的注冊表中的虛擬IP地址映射,從與所述第一虛擬IP地址 關(guān)聯(lián)的所述本地裝置從所述第一建立的TCP/IP流連接接收通信業(yè)務流,以及然后沿所述 第二建立的TCP/IP流連接向下路由所述通信業(yè)務流到與所述第二虛擬IP地址關(guān)聯(lián)的所述 遠程裝置;以及解碼所述通信業(yè)務流并且從所述遠程裝置轉(zhuǎn)發(fā)所述通信業(yè)務流到在所述第二本地網(wǎng) 絡(luò)上的網(wǎng)絡(luò)裝置。
15.如權(quán)利要求14所述的方法,還包括在所述第二本地網(wǎng)絡(luò)上檢測和注冊本地裝置;多路復用和多路分解到所述第二本地網(wǎng)絡(luò)上的檢測到的和指定的可見裝置的TCP/IP 連接;增加信息到所述通信業(yè)務流的標頭,所述信息包括1)所述通信業(yè)務流來自所述第一 DSC和2)通過包括最初發(fā)送所述通信業(yè)務流的源裝置和端口識別關(guān)于所述第一本地網(wǎng)絡(luò) 中的發(fā)起裝置的信息。
16.如權(quán)利要求15所述的方法,其中初始DSC配置使用安全配置文件通過便攜計算 機可讀介質(zhì)載入所述第一 DSC的配置文件中,其消除對在所述第一 DSC裝置上的用戶接口 的需要,并且一旦電力施加于所述第一 DSC,所述第一 DSC的管道管理器建立所述第一出局 TCP/IP流連接以及然后在所述第一出局TCP/IP流連接上從所述DSM下載所有其他需要的 配置信息到所述第一 DSC。。
17.如權(quán)利要求15所述的方法,還包括創(chuàng)建所述本地裝置的唯一標識符和對于所述本地裝置指派的來自所述本地網(wǎng)絡(luò)的虛 擬IP地址的配對;創(chuàng)建本地裝置的唯一標識符和與DSC的唯一標識符關(guān)聯(lián)的實IP地址的配對;創(chuàng)建第二局域網(wǎng)上目的網(wǎng)絡(luò)裝置的實IP地址和所述遠程裝置的唯一標識符的配對;存儲這些配對在所述中心裝置的注冊表中;以及請求所述本地裝置以發(fā)現(xiàn)什么虛擬IP地址在所述第一本地網(wǎng)絡(luò)中是可用的,以及然 后向所述中心裝置報告那些可用的虛擬IP地址。
18.一種系統(tǒng),包括第一和第二 DSC,其每個具有管道管理器以創(chuàng)建到DSM的直接通信隧道,其中所述第一 DSC位于第一本地網(wǎng)絡(luò)中而所述第二 DSC位于與所述第一本地網(wǎng)絡(luò)不同的第二本地網(wǎng)絡(luò) 中,并且所述DSM位于在所述第一和第二 DSC兩者外部的廣域網(wǎng)中,其中所述第一和第二 DSC兩者各自通過周期性地向所述DSM驗證它自己并且建立到所述DSM的出局TCP/IP流連 接來創(chuàng)建到所述DSM的它自己的直接通信隧道,以及然后對于在所述出局TCP/IP流連接上 的將來的雙向通信保持該連接打開;以及在所述DSM中的IP重定向器,其基于發(fā)生在所述DSM的所述注冊表中的虛擬IP地址 映射而從所述第一 DSC從第一建立的TCP/IP流連接接收通信業(yè)務流,以及然后沿第二建立 的TCP/IP流連接向下路由所述通信業(yè)務流到所述第二 DSC,其中所述第二 DSC解碼所述通 信業(yè)務流并且轉(zhuǎn)發(fā)所述通信業(yè)務流到所述第二本地網(wǎng)絡(luò)上的網(wǎng)絡(luò)裝置。
19.如權(quán)利要求18所述的系統(tǒng),其中所述DSM具有在所述DSM的注冊表中的虛擬IP地 址路由表,其至少存儲每個DSC、在該局域網(wǎng)上由所述局域網(wǎng)的用戶指定為可見的網(wǎng)絡(luò)裝置 的實IP地址、虛擬IP地址,到裝置的路由,其中所述DSM使用在所述虛擬IP地址路由表中 的信息映射由所述DSM指派的虛擬IP地址到與給定DSC關(guān)聯(lián)的實IP地址以建立所述路由 并且所述DSM通過參考所述虛擬IP地址路由表確定適當?shù)奶摂MIP地址路由,以及然后轉(zhuǎn) 發(fā)所述通信業(yè)務流到所述第二 DSC用于傳遞給所述目標裝置。
20.如權(quán)利要求19所述的系統(tǒng),其中所述DSM通過參考所述VIP路由表和看出所述目 標裝置的實IP地址與所述第二 DSC的唯一 ID關(guān)聯(lián)以及所述第二 DSC的唯一 ID與給定虛 擬IP地址關(guān)聯(lián)而確定所述適當?shù)腣IP路由。
全文摘要
描述用于通過虛擬IP(VIP)地址訪問沒有可訪問網(wǎng)絡(luò)地址的聯(lián)網(wǎng)裝置的方法、設(shè)備和系統(tǒng)。系統(tǒng)由第一裝置服務控制器(DSC)構(gòu)成,特征在于可以使虛擬網(wǎng)絡(luò)接口和對應的虛擬IP地址(VIP)可用的主機控制器部件并且具有第一管道管理器以創(chuàng)建到裝置服務管理器(DSM)的第一出局TCP/IP管道連接。當聯(lián)網(wǎng)業(yè)務流到達具有關(guān)聯(lián)的VIP的虛擬聯(lián)網(wǎng)接口時,主機控制器部件自動處理并且轉(zhuǎn)發(fā)該業(yè)務流到DSM。DSM處理并且中繼來自第一出局TCP/IP管道連接的業(yè)務流到第二DSC,其具有裝置控制器部件和第二管道管理器以創(chuàng)建到DSM的第二直接出局TCP/IP管道連接。IP重定向器接收通信業(yè)務流然后路由該通信業(yè)務流到第二DSC。
文檔編號G06F13/00GK101918926SQ200880123209
公開日2010年12月15日 申請日期2008年10月24日 優(yōu)先權(quán)日2007年10月24日
發(fā)明者丹尼·特-安·桑, 喬納森·彼得·多伊奇 申請人:喬納森·彼得·多伊奇;丹尼·特-安·桑
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1