专利名称:建立用于归属到归属通信的名字解析系统的制作方法
建立用于归属到归属通信的名字解析系统技术领域一般地,本发明涉及通信网络,更具体地,涉及使用网关的归属 网络。
背景技术:
虚拟专用网络(VPN)是一组互联的私有网络(或归属网络), 其使用私有地址空间,如RFC 1918中定义的那样,或者站点范围的IPv6 地址。每一归属网络属于一私有名字空间,例如,"private.arpa"(或 "local.arpa"),也可能是一或多个全局域名,例如"abc.xyz.com"。 网关管理这些域名,其装备有域名系统(DNS)服务器,还可能是DNS 应用级网关。互联一或多个归属要求同步网络信息,例如,地址与名字。要求 一致性,使得用户继续访问位于其它归属的现有的、远程的服务而无 中断。例如,如果域名"toaster.private.arpa"在两或多个归属中有效, 用户不能无歧义地访问主机toaster,除非用户使用toaster的下层IP地 址,前提为两主机的IP地址唯一。而且,将toaster更名为某个其它名 字给通过其先前的名字知道该服务的用户带来不便。如果用户将该主 机的完整URL加入书签,这尤其是个问题。已提议机制来通过第三网络的帮助在两个网络之间建立隧道。这 样的机制假定IP地址与命名是人工配置的。其它机制针对VPN发现与客户边缘(CE)设备发现,该设备通 过DNS为给定VPN的一部分。通过查询域名,CE能够定位属于给定 VPN的所有CE,允许CE形成到属于VPN的其它CE的隧道。同一VPN中的多个客户边缘属于众所周知的域名(例如,vpnl.vpn-net.net), 而每一 CE在DNS中注册其名字。为形成VPN,每一 CE査询众所周 知的域名,以获取属于该域名的所有IP。 CE其后建立到每一返回的IP 地址的隧道。另一机制提议解析DNS请求消息,析取所査询的域名,将该名字 与域名列表进行比较,并于其后将DNS査询消息的目的地址修改为有 权负责该域名的DNS服务器。其后,将修改的DNS请求消息转发到 新的目的地址。还有一机制称为双面DNS,其依据请求来自何处或主机询问哪一 DNS服务器来返回适宜的地址。发明内容遵照本发明的一方面,提供一种方法,其自动建立域名系统(DNS) 名字请求的重定向器。所述方法包括以下步骤经由虚拟专用网络(VPN)的隧道向远程网关发送DNS建立分组,该分组包括归属网络 的全局名字,以及归属网络中的DNS服务器的私有地址;经由隧道从 远程网关接收DNS建立应答分组,该分组包括另一归属网络的全局名 字以及另一归属网络中的DNS服务器的私有地址;以及依照DNS建 立应答分组,配置归属网络中的DNS服务器的应用级网关(DNS-ALG),以将针对另一网络的全局名字的DNS名字请求重定向 到另一网络中的DNS服务器。所述方法可进一步包括从DNS建立应答分组析取另一归属网络的 全局名字,以及另一归属网络中的DNS服务器的私有地址的步骤。所述方法可进一步包括解决归属网络与另一归属网络之间的地址 冲突的步骤。所述方法可进一步包括生成DNS建立分组的步骤,该分组包括归 属网络的全局名字,以及归属网络中的DNS服务器的私有地址。归属网络与另一归属网络的全局名字可以是全限定域名(FQDN, fully qualified domain names )。配置步骤可包括在DNS-ALG的配置数据结构中添加重定向数据 结构。所述方法可进一步包括使用连接到归属网络中的DNS-ALG的双 面DNS系统的步骤,双面DNS系统包括内侧DNS服务器与外侧DNS 服务器,内侧DNS服务器将经由VPN隧道接收的主机名字解析为相 应的私有地址。遵照本发明的另一方面,提供一种方法,其解析域名系统(DNS) 中的域名请求。所述方法包括以下步骤确定由归属网络中的DNS的 应用级网关(DNS-ALG)接收的域名请求中的域名是否不是针对该归 属网络;如果确定域名请求不是针对该归属网络,将域名请求经由虚 拟专用网络(VPN)隧道转发给由归属网络的DNS-ALG中配置的重定 向器指定的另一归属网络的DNS的应用级网关(DNS-ALG),该重定 向器依赖于另一归属网络的全局名字以及另一归属网络中的DNS服务 器的私有地址。所述方法可迸一步包括以下步骤为域名请求解析全局域名,并 且作为对请求的响应,将应答转发给发起请求的主机,如果确定域名 请求不是针对该归属网络并且归属网络的DNS-ALG没有指定的重定 向器的话。所述方法可进一步包括以下步骤如果确定域名请求是针对该归 属网络,依照域名请求是否是来自归属网络的内部主机与VPN之一,分别从归属网络的外侧DNS服务器与内侧DNS服务器之一将应答转 发到发起请求的主机。遵照本发明的又一方面,提供一种网关,其用于在两或多个归属 网络之间通信。网关包括至少一个通信接口,其用于发送与接收数 据;存储单元,其用于存储数据与要由处理单元执行的指令;以及处 理单元,其连接到所述至少一个通信接口与所述存储单元,所述处理 单元被编程以经由虚拟专用网络(VPN)的隧道向远程网关发送DNS 建立分组,该分组包括归属网络的全周名字以及归属网络中的DNS服 务器的私有地址;经由所述隧道从所述远程网关接收DNS建立应答分 组,该分组包括另一归属网络的全局名字,以及另一归属网络中的DNS 服务器的私有地址;和依照所述DNS建立应答分组,配置归属网络中 的DNS服务器的应用级网关(DNS-ALG),以将针对另一网络的全局 名字的DNS名字请求穿过前述隧道重定向到另一网络中的DNS服务 器。所述处理单元可被编程以从DNS建立应答分组析取另 一归属网络 的全局名字,以及另一归属网络中的DNS服务器的私有地址。所述处理单元可被编程以解决归属网络与另一归属网络之间的地 址冲突。所述处理单元可被编程以生成DNS建立分组,该分组包括归属网 络的全局名字,以及归属网络中的DNS服务器的私有地址。归属网络与另一归属网络的全局名字可以是全限定域名(FQDN)。配置DNS-ALG可包括在DNS-ALG的配置数据结构中添加重定向 数据结构。所述网关可进一步包括连接到归属网络中的DNS-ALG的双面 DNS系统,双面DNS系统包括内侧DNS服务器与外侧DNS服务器, 内侧DNS服务器将经由VPN隧道接收的主机名字解析为相应的私有 地址。所述处理单元可被编程以确定由归属网络中的DNS-ALG接收的 域名请求中的域名是否不是针对该归属网络;如果确定域名请求不是 针对该归属网络,将域名请求经由虚拟专用网络(VPN)隧道转发给 由归属网络的DNS-ALG中配置的重定向器指定的另一归属网络的 DNS的应用级网关(DNS-ALG)。所述处理单元可被编程以为域名请求解析全局域名,并且作为对 请求的响应,将应答转发给发起请求的主机,如果确定域名请求不是 针对该归属网络并且归属网络的DNS-ALG没有指定的重定向器的话。所述处理单元可被编程以便,如果确定域名请求是针对该归属网 络,依照域名请求是否是来自归属网络的内部主机与VPN之一,分别 从归属网络的外侧DNS服务器与内侧DNS服务器之一将应答转发到 发起请求的主机。
下面参照绘图描述少量实施例,其中图1是阐释归属到归属通信的框图;图2是阐释驻留网关之内的DNS相关的服务的框图;图3是阐释在隧道建立期间建立名字解析重定向器的过程的流程图;图4是描绘建立DNS应用级网关的重定向器中所用的信令的图; 图5是描绘用于包括三个驻留网关的VPN的名字请求的转发的图;图6是阐释使用双面DNS进行名字解析的过程的流程图;图7是可用于图1的系统中的归属网络的示例; 图8是阐释网关的架构的框图,其可用于本发明的实施例; 图9是阐释建立域名系统(DNS)名字请求的重定向器的过程的 流程图;和图IO是阐释解析域名系统(DNS)中的域名请求的过程的流程图。
具体实施方式
公开方法、系统、与网关,用于为归属到归属网络通信自动建立 域名系统(DNS)名字请求的重定向器。在下面的描述中,阐述了各 种特定细节,包括网络接口、网络协议、等等。然而,根据本公开, 对于本领域技术人员而言显然的是,可进行修改和/或替换,而不偏离 本发明的范围与实质。在其它情形中,可能忽略特定细节,以免使本 发明晦涩。当在任何一或多个所附绘图中对步骤和/或特性进行引用时 (其具有相同的引用号),对于本描述的目的而言,这些步骤和/或特 性具有同样的功能或操作,除非相反的意图出现。概述本发明的实施例提供一种方法,用于在两个归属网络之间建立隧 道的过程期间,在归属网关建立域名系统(DNS)名字请求的重定向 器。这允许将针对其它连接的归属的名字请求穿过隧道路由到相应的 网关(GW),该网关有权负责该全局名字。本发明的实施例允许用户 使用其全局名字指代远程归属中的主机,其中主局名解析为私有地址 而非全局地址。用户能够在VPN之内保持其归属的全局域名的使用。图9是阐释建立域名系统(DNS)名字请求的重定向器的过程900 的流程图。在步骤910,经由虚拟专用网络(VPN)的隧道向远程网关 发送DNS建立分组。该DNS建立分组包括归属网络的全局名字,以 及归属网络中的DNS服务器的私有地址。在步骤912,经由隧道从远 程网关接收DNS建立应答分组。该DNS建立应答分组包括另一归属 网络的全局名字,以及另一归属网络中的DNS服务器的私有地址。在步骤914,依照所述DNS建立应答分组,配置归属网络中的DNS服务 器的应用级网关(DNS-ALG),以将针对另一网络的全局名字的DNS 名字请求重定向到另一网络中的DNS服务器。本发明的实施例能够协商域名,以用在与用在因特网上的现有 DNS规范兼容的虚拟专用网络(VPN)之中。网关(GW)有权负责归 属网络的域名的一部分,其中GW向各因特网服务提供商(ISP)登记, 以便将所关心的域名委派给该GW来解析。本发明的实施例解析内部 主机,而非客户边缘(CE, customer edges)与GW,即,在形成VPN 之后如何解析主机名。图IO是阐释解析域名系统(DNS)中的域名请求的过程1000的 流程图。在步骤1010,确定由归属网络中的DNS的应用级网关 (DNS-ALG)接收的域名请求中的域名是否不是针对该归属网络。在 步骤1012,如果确定域名请求不是针对该归属网络,并且在重定向器 列表中照到该域名,将域名请求经由虚拟专用网络(VPN)隧道转发 给由归属网络的DNS-ALG中配置的重定向器指定的另一归属网络的 DNS的应用级网关(DNS-ALG)。该重定向器依赖于另一归属网络的 全局名字以及另一归属网络中的DNS服务器的私有地址。本发明的实施例查询DNS请求的域名并将请求发送给适宜的 DNS服务器。然而,实施例不修改DNS请求消息的目的地址。作为替 代,向匹配的网络发射另一DNS请求,该网络有权负责所查询的域名。 进一步地,本发明的实施例涉及一种方案,其用于学习作为给定VPN 的一部分的域名。为建立虚拟专用网络,本地网关(GW-local)连接到远程网关(即 GW-remote),以形成VPN。在确定两个归属网络中的IP地址不冲突 之后,GW-local向GW-remote提供其全局归属网络名字。使用全局归 属网络名字的优点是全限定域名(FQDN)本身是唯一的,而名字冲突不大可能发生。加入过程的一个示例如下-1) GW-local向GW-remote传递其归属网络的全局名字 "kwan.aol.com"; 禾卩2) 此时,建立过程在GW-remote处的DNS-ALG的配置文件中添 加"kwan.aol.com"的重定向,通知GW-remote处的DNS-ALG将针对"kwan.aol.com"的所有请求发送给运行在GW-local处的DNS-ALG。本发明的一个实施例使用双面DNS系统,其中将来自VPN隧道 的DNS请求转发给朝向内侧的DNS, g卩,将主机名解析为其私有地址 的DNS。本发明的实施例提供一种方法,其自动链接两或多个归属的名字 空间,如果这些归属合并以形成VPN的话。本发明的实施例还可应用 于归属驻留网关。在隧道建立期间传递域名与DNS地址,建立DNS 请求重定向器,以及安装具有双面DNS的网关设备,允许在归属到归 属通信中解析名字。归属到归属通信图1是阐释形成VPN 100的两或多个归属网络之间的通信的高层 图,其中可使用本发明的实施例。归属网络-A 110与归属网络-B 160 连接在一起以形成VPN。 VPN隧道120在两个网络110、 160之间进 行通信。归属网络-A110包括服务器-A112,其由适宜的介质114连接 到网关-A (GW-A) 116。服务器-A 112可包括局域网(LAN)的一部 分。仅为阐释的目的起见,归属网络110的名字(myhome-name)为 "Kwan"。另一网络160包括笔记本电脑162,其由适宜的介质164 连接到网关-B(GW-B)166。网关-A 116与网关-B 166由VPN隧道120 连接到一起。每一网关116、 166具有名字170, private.arpa与 <myhome-name>.<global-domain-name>。仅为阐释的目的起见,归属网 络160的名字(myhome-name)为"Arthur"。尽管仅描绘两个归属网 络,(本领域技术人员)将理解,VPN100可包括超过两个归属网络。对于本领域技术人员而言将显而易见的是,根据本公开,可进行 无数种变形与替代。例如,在图1中,服务器-A与笔记本电脑直接连 接到各自的驻留网关。可将所述连接之一或全部引导到驻留网关。作 为可供选择的另一替代方案,连接可以是以太网网络,使用适宜的介质电缆。另一可能性是,通信路径可以是无线的,例如,使用IEEE 802.11a或IEEE 802.11b。可使用无数种其它的有线网络、无线网络、 或两者的组合。例如,诸如PDA (例如,Palm Tungsten C)等无线设 备可无线地连接到服务器-A,其又可由有线以太网网络连接到驻留网 关。尽管图1仅在每一网络中显示单个主机,本领域技术人员将容易 理解的是,每一归属网络可具有两或多个主机。图7是可作为替代用 于图1中的归属网络700的框图。网络700具有服务器760与两个其 它的电脑770与780,其由以太网络750连接到网关710。网关710也 连接到打印服务器740,并可无线地连接到PDA 730,比如说。网关 710可由适宜的通信接口直接地或由调制解调器712间接地连接到远程 归属网络,如连接720所指示的那样。前面仅仅是归属网络的配置的 示例,而无意限制本发明的实施例。再次参照图l,归属网络VPN100分段地创建,其中网关(GW) 116、 166仅在其本身尚未在VPN上时才能连接到建立的VPN。在成 功地连接到VPN之后,网关可接受来自尚未连接到VPN的其它网关 的连接。进一步地,VPN上的网关可形成网状网络,其中每一GW维 护到VPN中的其它网关的独立隧道。以这种方式形成VPN,以避免与 合并两个全异的VPN相关联的问题。归属网络110、 160中的每一主机112、162属于域名"private.arpa", 并且可能属于全局域名,例如"myhome.x.motlabs.mot.com",其遵照 图1的框170。作为网关建立过程的一部分,用户输入归属的名字,例如,上面的示例中的"myhome"。在图1中,给定归属的名字的示例 为"Kwan"与"Arthur"。将归属的名字加在归属的全局域名之前, 如果存在的话,并且由外部用户使用来访问归属110、 160之内的主机。 将归属网络IIO、 160中的每一主机112、 162配置为将其所有DNS请 求转发给网关116、 166,并配置为处于"private.arpa"域中。每一网关116、 166装备有DNS (图1中未显示,但图2可见), 以回答来自归属网络内部与外部的主机的请求。而且,每一网关有权 负责"private.arpa"。图2阐释网关230的配置200,该网关可用作图 1中的网关-A116与网关-B 166。网关230桥接归属网络210与外部公 共网络220,其可以是因特网,比如说。网关230包括DNS应用级网 关(ALG) 232,其为解析器与IPv4/IPv6通信使能器。DNS-ALG 232 具有网关的私有IP地址(例如,172.16.0.1),以及可能有一或多个ISP 分配的全局地址。DNS-ALG可使用Dan Bernstein的dnscache代码实现,文档与源 代码在http:〃cr.vp.to/dibdns.html可见。dnscache的特性之一是将针对给 定域名的请求重定向到一或多个IP地址的能力。DNS-ALG 232与内部 DNS 234 (其具有自己的IP地址(例如,172.16.0.2))接口,并与外 部DNS236 (其具有自己的IP地址(例如,172.17丄1))接口。为重 定向DNS请求,可以以全局域名(例如,x.motlabs.motcom)在"server" 目录中创建文件,并将有权负责该域的服务器的IP地址插入到文件中。 DNS-ALG 232可从归属网络210接收全局域名240 (例如, x.motlabs.mot.com)与其它全局名字242。进一步地,DNS-ALG 232 可从外部全局网络220接收全局域名250与其它域名252。图8阐释硬件架构的示例,其可用于实现图2的网关230与图1 的网关116、 166。网关架构示例图8是阐释网关800的架构的框图,其可用于本发明的实施例。 网关800包括一或多个中央处理单元(CPU) 830、存储控制器810、 与存储单元812、 814。存储控制器810连接到存储单元812、 814,其 可以是随机存取存储器(RAM)、只读存储器(ROM)、以及本领域 技术人员所熟知的若干存储技术中的任一种。CPU 830与存储控制器 810由处理器总线840连接在一起。直接存储器存取(DMA)控制器 820也可连接到总线840。 DMA控制器820允许直接向与从存储器传 输数据,而不中断CPU 820。如图8中所示,处理器总线840作为存储 器总线,但本领域技术人员将理解,可使用分离的处理器与存储器总 线。实现网关的功能的软件可内嵌在存储单元中,包括操作系统、驱 动、固件、与应用。CPU830工作为网关的处理单元,然而,可使用其 它器件与组件来实现处理单元。桥接器850连接处理器总线840与外设总线860,其典型地操作 于比处理器总线840低的数据率。各种通信接口又连接到外设总线860。 例如,可使用多种通信接口中的一或多个,以将归属网络中的设备连 接到网关。网关800具有,作为这样的接口的示例,IEEE 802.11b无线 接口 880、以太网接口 882、与通用串行总线(USB)接口 884。前面 的仅仅是示例,可使用其它网络接口,例如令牌环接口、其它无线LAN 接口、与IEEE 1394 (火线)接口。对于归属网络的外部连接,可使用 其它接口。比如说,网关800可具有网络接口卡872,以连接到另一网 络。作为可供选择的另一替代方案,网关800可包括以太网接口 870, 其可连接到适宜的调制解调器890 (例如宽带调制解调器)。还可使用 其它网络接口,作为几个示例,包括ATM与DSL。建立域名系统(DNS) 名字请求的重定向器和解析域名系统(DNS)中的域名请求的过程可 作为软件或电脑程序实现,其连同网关的处理单元与存储单元来执行。尽管已将网关800作为单独的分立设备或联合适宜的调制解调器 进行描绘,本领域技术人员将理解,可使用标准电脑系统连同适宜的 软件来实现该网关,以实现网关功能。可能存在其它变形。建立名字解析重定向器图3是阐释在隧道建立期间建立名字解析重定向器的过程300的 流程图。用户在VPN之内保持其归属的全局域名的使用。在步骤310, 建立隧道,以建立VPN。本地网关(GW-local)连接到远程GW (GW-remote)以形成VPN。在步骤312,进行检査,以确定两个归属 网络中的IP地址是否冲突。如果步骤312确定存在地址冲突(是), 处理在步骤314继续,其中解析IP地址冲突。通过由发起连接的归属 网络在尝试重新建立到GW-remote的隧道之前重编号其所有内部子 网,来解决冲突。否则,如果决策步骤312确定没有冲突(否),处 理继续到步骤316。在确定两个归属网络中的IP地址不冲突之后,在步骤316,从 GM-local获取全局归属网络名字(即,GW-local提供全局归属网络名 字)。使用全局归属网络名字的好处是全限定域名(FQDN)本身是唯 一的,而名字冲突不大可能发生。在步骤318,从GW-local获取归属 的私有DNS服务器地址。在步骤320,由GW-local向GW-remote发送 DNS建立分组。在步骤322, GW-local从GW-remote接收DNS建立应 答分组。在步骤324,从建立应答分组析取远程网络的FQDN,以及远 程网络的私有DNS服务器地址。在步骤326,配置GW-local的 DNS-ALG以将针对远程的FQDN的请求重定向到适宜的远程DNS服 务器。图4中描绘了加入过程400的一个示例。该绘图显示建立DNS应 用级网关的重定向器中使用的信令。归属网络-A 410的网关是 GW-local,且网络410具有归属网络的全局名字"kwan.aol.com"。归 属网络-B 420的网关是GW-remote,且网络420具有归属网络的全局 名字"david.home-net.net" 。 GW-local将其归属网络的全局名字 "kwan.aol.com"传递给GW-remote,如箭头430所示。这涉及陈述"Join, kwan.aol.com"与外部DNS地址"MyDNS: 172.17.1.1"。在步骤432,GW-remote检查名字冲突,并且,如果没有冲突,为GW-remote更新 DNS-ALG的配置。这样,此时,建立过程在DNS-ALG的配置文件中 添加针对"kwan.aol.com"的重定向。这告诉GW-remote处的DNS-ALG 将所有针对"kwan.aol.com"的请求发送给在GW-local处运行的 DNS-ALG。 GW-remote在建立应答中发送"OK"(或确认),并提供 其归属网络的全局名字"david.home-net.net"与"MyDNS :172.16.10.1"。 在步骤436, GW-local检查名字冲突,并且,如果没有冲突,为GW-local 更新DNS-ALG的配置。箭头438指示答复给GW-remote的"OK"(或 确认)。名字解析在每一网络中,以网络的DNS-ALG的地址配置网络中的主机。 因此,将所有DNS请求发送给DNS-ALG以供解析。另外,使用本发 明的实施例,已建立到GW的隧道的所有其它网关记录了 DNS-ALG 的私有地址。对于每一 DNS请求,DNS-ALG注意请求的进入方向(即, 请求来自的插口)并确定请求是否是来自内部主机。如果来自内部主 机,应使用"朝向内部的"DNS服务器解析请求。其后,DNS-ALG从 DNS请求分组析取查询名字,并确定是否可本地地或外部地解析该请 求。如果请求匹配其"重定向"配置目录中的域名,则将请求转发到 相应的GW地址。图5描绘用于包括三个驻留网关510、 520、 530的VPN500的名 字请求的转发。例如,每一网关510、 520、 530具有映射512、 522、 532,其告诉网关,如果找到匹配的域,向哪里转发请求。网关510、 520、 530的归属网络的全局名字分别是"Arthur.motoliome.net"、 "kwan.home-net.net"、与"david.aol.com"。网关510具有映射512: david.aol.com — GW-C; kwan.home-net.net — GW-B。网关520具有映 射522: arthur.motohomes.net — GW-A; david.aol.com — GW-C。网关 530具有日央射532: arthur.motoliomes.net ~ GW-A; kwan.home-net.net ~> GW-B。私有与全局地址解析对于名字解析,每一归属网络可包括双面DNS (或分割DNS)。 在分割DNS系统中,DNS依据请求的方向返回不同的地址。 一种部署 场景是在不同的地址运行DNS服务器的两个备份。每一 DNS服务器 维护同样的主机名,但依据请求导向到哪一DNS服务器,每一主机名 解析到不同的A/AAAA RR。以朝向私有与全局侧的DNS的地址来配 置此实施例中的DNS-ALG。依据DNS请求来自哪里,DNS-ALG将请 求重定向到适宜的DNS服务器。图6显示DNS-ALG如何使用此实施例来解析名字査询的过程 600。处理开始于步骤610。在步骤612,由GW-local的DNS-ALG接 收DNS请求。在决策步骤614,进行检查,以确定査询的域名(QNAME) 是否是myDomain(g卩,相关的本地域名)。如果步骤614返回真(是), 处理继续到步骤616。在决策步骤616,进行检查,以确定请求是否是 来自VPN或内部主机。如果步骤616返回真(是),处理继续到步骤 618。在步骤618,取得朝向内侧的DNS的地址。在步骤620,向朝向 内侧的DNS服务器发送査询的域名(QNAME)。从步骤620,将来自 DNS服务器的应答转发给发起请求的主机。如果步骤616返回假(否),处理继续到步骤622。在步骤622, 使用朝向外侧的DNS解析查询的域名(QNAME)。其后,处理继续 到步骤624,其将应答转发回发起请求的主机。如果判别步骤614返回假(否),处理继续到步骤626。在决策 步骤626,进行检查,以确定査询的域名(QNAME)是否是在GW-local 的DNS-ALG的重定向列表中。如果决策步骤626返回真(是),处理 继续到步骤630。在步骤630将请求转发到远程DNS-ALG。这使用 GW-remote的私有地址来进行。否则,如果判别步骤626返回假(否), 处理继续到步骤628。在步骤628,遵照RFC 1034与RFC 1035迭代地或递归地解析全局名字。其后,处理继续到步骤624,其中将应答转发 回发起请求的主机。本发明的实施例有利地允许用户继续使用远程归属的全局域名来 访问远程归属之内的服务。然而,依据是否存在到远程归属的隧道, 返回的地址不同。如果隧道存在,使用全局域名的查询返回私有地址, 导致将流量路由到穿过VPN。另一方面,如果没有隧道存在,请求导 致全局地址。GW可存储其先前的隧道连接的历史,如果对GW先前 有隧道的远程网络进行查询,可提供回叫(call-back),以提示用户确 定用户是否想重建立隧道。否则,GW可通过因特网解析查询的名字, 从而返回与査询的名字相关联的全局地址。在前面的方法中,公开了用于自动建立域名系统(DNS)名字请 求的重定向器的若干方法、系统、与网关。而且,公开了用于解析域 名系统(DNS)中的域名请求的方法、系统、与网关。详细说明仅提 供优选的示例性实施例,而无意限制本发明的范围、适用性、或配置。 相反,优选的示例性实施例的详细说明向本领域技术人员提供使能性 的描述,以实现本发明的优选的示例性实施例。需要理解的是,可对 组件的功能与排列进行各种变动,而不偏离如所附权利要求书阐明的 本发明的实质与范围。
权利要求
1. 一种自动建立域名系统(DNS)名字请求的重定向器的方法,所述方法包括以下步骤经由虚拟专用网络(VPN)的隧道向远程网关发送DNS建立分组,该分组包括归属网络的全局名字,以及所述归属网络中的DNS服务器的私有地址;经由所述隧道从所述远程网关接收DNS建立应答分组,该分组包括另一归属网络的全局名字,以及所述另一归属网络中的DNS服务器的私有地址;和依照所述DNS建立应答分组,配置所述归属网络中的所述DNS服务器的应用级网关(DNS-ALG),以将针对所述另一网络的所述全局名字的DNS名字请求重定向到所述另一网络中的所述DNS服务器。
2. 如权利要求1所述的方法,其进一步包括从所述DNS建立应 答分组析取所述另一归属网络的所述全局名字,以及所述另一归属网 络中的所述DNS服务器的所述私有地址的步骤。
3. 如权利要求l所述的方法,其进一步包括解决所述归属网络与 所述另一归属网络之间的地址冲突的步骤。
4. 如权利要求1所述的方法,其进一步包括生成DNS建立分组 的步骤,该分组包括所述归属网络的所述全局名字,以及所述归属网 络中的所述DNS服务器的所述私有地址。
5. 如权利要求l所述的方法,其中所述归属网络与所述另一归属 网络的所述全局名字是全限定域名(FQDN)。
6. 如权利要求1所述的方法,其中所述配置步骤包括在所述 DNS-ALG的配置数据结构中添加重定向数据结构。
7. 如权利要求l所述的方法,其进一步包括使用连接到所述归属网络中的所述DNS-ALG的双面DNS系统的步骤,所述双面DNS系统 包括内侧DNS服务器与外侧DNS服务器,所述内侧DNS服务器将经 由所述VPN隧道接收的主机名字解析为相应的私有地址。
8. —种解析域名系统(DNS)中的域名请求的方法,所述方法包 括以下步骤确定由归属网络中的DNS的应用级网关(DNS-ALG)接收的域 名请求中的域名是否不是针对所述归属网络;和如果确定所述域名请求不是针对所述归属网络,将所述域名请求 经由虚拟专用网络(VPN)隧道转发给由所述归属网络的所述 DNS-ALG中配置的重定向器指定的另一归属网络的DNS的应用级网 关(DNS-ALG),所述重定向器依赖于所述另一归属网络的全局名字 以及所述另一归属网络中的所述DNS服务器的私有地址。
9. 如权利要求8所述的方法,其进一步包括以下步骤如果确定 所述域名请求不是针对所述归属网络并且所述归属网络的所述 DNS-ALG没有指定的重定向器的话,为所述域名请求解析全局域名, 并且作为对所述请求的响应,将应答转发给发起请求的主机。
10. 如权利要求8所述的方法,其进一步包括以下步骤如果确 定所述域名请求是针对所述归属网络,依照域名请求是否来自所述归 属网络的内部主机与所述VPN之一,分别从所述归属网络的外侧DNS 服务器与内侧DNS服务器之一将应答转发到所述的发起请求的主机。
11. 一种用于在两个或更多归属网络之间通信的网关,其包括 至少一个通信接口,其用于发送与接收数据;存储单元,其用于存储数据与要由处理单元执行的指令;和 处理单元,其连接到所述至少一个通信接口与所述存储单元,所述处理单元被编程以经由虚拟专用网络(VPN)的隧道向远程网关发送DNS建立分组, 该分组包括归属网络的全局名字,以及所述归属网络中的DNS服务器 的私有地址;经由所述隧道从所述远程网关接收DNS建立应答分组,该分组包 括另一归属网络的全局名字,以及所述另一归属网络中的DNS服务器 的私有地址;和依照所述DNS建立应答分组,配置所述归属网络中的所述DNS 服务器的应用级网关(DNS-ALG),以将针对所述另一网络的所述全 局名字的DNS名字请求重定向到所述另 一 网络中的所述DNS服务器。
12. 如权利要求ll所述的网关,其中所述处理单元被编程以从所 述DNS建立应答分组析取所述另一归属网络的所述全局名字以及所述 另一归属网络中的所述DNS服务器的所述私有地址。一 af___~f., rrff、-一 一r-r* 、,、丄1_ rrrf 、,- -M- - i - 一》— 、 I、 ,.f 十rrt ~-" _1上/.tJ* "T" ,、 i 、山
13. 卯仪不j安水丄i尸/r处tfj网大,兵T尸/r处^D埋平兀攸辆程以解决 所述归属网络与所述另一归属网络之间的地址冲突。
14. 如权利要求ll所述的网关,其中所述处理单元被编程以生成DNS建立分组,该分组包括所述归属网络的所述全局名字以及所述归 属网络中的所述DNS服务器的所述私有地址。
15. 如权利要求ll所述的网关,其中所述归属网络与所述另一归 属网络的所述全局名字是全限定域名(FQDN)。
16. 如权利要求11所述的网关,其中配置所述DNS-ALG包括在 所述DNS-ALG的配置数据结构中添加重定向数据结构。
17. 如权利要求ll所述的网关,其进一步包括连接到所述归属网 络中的所述DNS-ALG的双面DNS系统,所述双面DNS系统包括内侧DNS服务器与外侧DNS服务器,所述内侧DNS服务器将经由所述VPN 隧道接收的主机名字解析为相应的私有地址。
18. 如权利要求ll所述的网关,其中所述处理单元被编程以 确定由所述归属网络中的所述DNS-ALG接收的域名请求中的域名是否不是针对所述归属网络;如果确定所述域名请求不是针对所述归属网络,将所述域名请求 经由所述虚拟专用网络(VPN)隧道转发给由所述归属网络的所述 DNS-ALG中配置的重定向器指定的另一归属网络的DNS的应用级网 关(DNS-ALG)。
19. 如权利要求18所述的网关,其中所述处理单元被编程为如果确定所述域名请求不是针对所述归属网络并且所述归属网络的所述DNS-ALG没有指定的重定向器的话,为所述域名请求解析全局域名, 并且作为对所述请求的响应,将应答转发给发起请求的主机。
20. 如权利要求18所述的网关,其中所述处理单元被编程为如 果确定所述域名请求是针对所述归属网络,依照域名请求是否来自所 述归属网络的内部主机与所述VPN之一,分别从所述归属网络的外侧 DNS服务器与内侧DNS服务器之一将应答转发到所述的发起请求的主 机。
全文摘要
本发明公开一种方法、系统、与网关,其用于自动建立域名系统(DNS)名字请求的重定向器。经由虚拟专用网络(VPN)的隧道向远程网关发送DNS建立分组。该建立分组包括归属网络的全局名字以及归属网络中的DNS服务器的私有地址。经由所述隧道从所述远程网关接收DNS建立应答分组。该应答分组包括另一归属网络的全局名字以及另一归属网络中的DNS服务器的私有地址。依照所述DNS建立应答分组,配置归属网络中的DNS服务器的应用级网关(DNS-ALG),以将针对另一网络的全局名字的DNS名字请求重定向到另一网络中的DNS服务器。
文档编号G06FGK101238453SQ200480026810
公开日2008年8月6日 申请日期2004年9月17日 优先权日2003年9月19日
发明者安德鲁斯·E·怀特, 约翰·T·贾奇, 阿瑟·迪米特雷利斯, 陈关宇 申请人:摩托罗拉公司