用于地理分布式虚拟路由的系统的制作方法

专利名称：用于地理分布式虚拟路由的系统的制作方法
技术领域：
本发明涉及通过网络路由分组，并且更具体地，涉及基于后跳(meta-hop)信息将分组向所述分组的目的地路由。
背景技术：
虚拟专用网络(VPN)使得能够通过例如互联网的外部/不可靠的IP网络的安全通信。VPN提供相对安全的方式以连接彼此远离的内部可靠网络上的节点，例如客户端、服务器和主计算机。通常使用加密和其他的安全机制来创建用于通过不可靠的外部网络在授权用户之间的纯文本消息/分组的安全的点对点“隧道”。通常，“纯文本”分组被加密并被插入到外部分组中。随后内部“纯文本”分组通过不可靠的外部IP网络从一个VPN网关“隧穿”(转发)到另一个VPN网关，其中外部分组被解密而内部“纯文本”分组朝着内部网络上它的目的地转发。在其通过外部不可靠的网络从一个节点隧穿到另一个节点时，另一个分组用作“纯文本”分组的保护性外壳或封装。
通常，VPN中的网关还操作为用于它们的内部网络上的IP业务量的路由器。例如，在从可靠的内部网络上的节点接收到“纯文本”分组时，VPN网关在选择器列表中查找目的地以确定分组是否被导向位于本地附加内部网络外部的目的地以及其是否应该被加密以隧穿到目的地。如果是，则VPN网关通过外部的不可靠网络将“纯文本”分组安全地隧穿到与该目的地关联的特定VPN网关对端。特定的VPN网关对端确定该隧穿的分组的目的地是否在它们自身的选择器列表上。并且如果是的话，则对加密的分组进行解密并且将其转发到它的本地附加内部网络上的节点。另外，如果“纯文本”分组的目的地不在选择器列表上但其是路由表中的一条记录(entry)，则VPN将该未加密的纯文本分组转发到目的地。
随着越来越多的网关添加到VPN，可发展成一种网状拓扑，其中在VPN中所有的网关都知道每一个其他的网关。另外，可在VPN中的每个网关之间建立隧道。然而，因为每个隧道可与在每个网关处保存的列表中的选择器关联，所以当无论何时向VPN添加新的网关时，管理员必须在每个网关处更新该列表。因此，随着VPN中网关的数目增长，在每个网关上更新每个选择器的列表所需的工作量可能变得更加繁重。
例如路由器和防火墙的一些网关具有允许接口的“热插拔(hotswap)”添加(或移除)的硬件平台。通常，此类的网关使用例如诺基亚的IPSO操作系统的操作系统来自动地发现新的接口的插入并且将新的接口呈现给管理员。这种类型的网关可在插入/呈现处理期间继续正常地操作。另外，管理员可时常向被添加到网关的“热插拔”接口提供规则或路由配置信息。


参考下面的附图对本发明的非限制性和非穷举性的实施方式进行描述。在附图中，除非指定，贯穿各个附图，相同的参考编号表示相同的部件。
为了更好的理解本发明，针对下文的将结合附图阅读的本发明的详细描述做出参考，其中图1示出表示用于实现本发明的示例性系统的框图；图2表示示出另一个示例性系统的框图；图3示出表示示例性网络设备的示意图；图4表示示出示例性网关的示意图；图5示出用于自动地管理MetaHop的一般操作的流程图；图6表示用于在MetaHop中自动地提供新的网关的流程图；图7示出用于在MetaHop中自动地重新配置隧道的流程图；
图8A表示针对面向内部的接口的示例性管理控制台仪表板；以及图8B示出根据本发明的针对面向外部的接口的示例性管理控制台仪表板。
具体实施例方式
以下将参照附图更为全面地描述本发明，附图构成这里的一部分并且通过示例的方式表示出特定的示例性实施方式，并且本发明可通过这些示例性的实施方式来实现。然而，本发明可以许多种不同的形式实现并且不应该被解释为限于这里所提出的实施方式；相反，提供这些实施方式使得本公开是彻底的和完整的，并且向本领域的技术人员全面传达本发明的范围。另外，本发明可被实现为方法或设备。因此，本发明可采取完全的硬件实施方式、完全的软件实施方式或结合软件和硬件方面的实施方式的形式。因此不在限制性的意义上来理解下面的详细描述。
简要地说明，本发明涉及用于将一组地理分布式网关作为单个MetaHop管理的系统、设备和方法。将MetaHop作为单个的实体操纵、管理和监视。如果新的网关添加到MetaHop，则由为新的网关指示相对基本的信息的管理员通过内部网络向网关供给成员资格凭证。一旦供给相对基本的信息，则新的网关可被运载到相对远程的站点，其中该网关可通过外部网络自动地找出它到MetaHop的入口点。在连接到外部网络上的入口点(或多个入口点)后，新的网关下载其他的信息并自动地加入MetaHop。在一个实施方式中，能够自动使得加入的网关在MetaHop网关之间的隧道转发业务量。在另一个实施方式中，禁止加入MetaHop的新的网关用于转发业务量直到管理员允许它这样做。另外，如果MetaHop中两个网关之间的隧道变得不可用，则在网关之间自动地重新配置另一条临时隧道通路。在一个实施方式中，重新配置的临时隧道通路可包括MetaHop中的至少一个中间网关。
如果将向MetaHop添加新的网关，则由管理员向网关供给例如唯一的标识符和站点的相对基本信息，管理员指示“该新的网关是MetaHop的一部分。这是新网关加入MetaHop的凭证。(可采用任何形式)”。一旦供给该相对基本的信息，则新的网关可被运载到相对远程的站点，其中该网关可自动地找出它到MetaHop的入口点。在连接到入口点(或入口多个点)后，向新的网关自动地供给用于加入MetaHop的其他信息。新的网关使得其他的网关知道它的存在，并且至少部分地基于其在MetaHop中的成员资格，每个网关知道它是否应该将去往和来自新的网关的业务量进行隧穿。
MetaHop中的各个网关可具有面向外部的接口信息，例如IP地址、PPPoE凭证和/或DNS服务器等，以便建立通过MetaHop的不可靠部分到其他网关的加密隧道。然而，通过该外部面向接口信息的自动策略管理，MetaHop中的网关使得管理员将地理分布式节点认为是单个的实体。
管理控制台虽然不同，但在操作中，网关的“面向内部的”MetaHop接口稍微类似于路由器/防火墙的“热插拔”接口。例如，当新的网关加入MetaHop时，尽管新近加入的网关的“面向内部的”接口是到MetaHop的动态添加接口，但该事件可在管理控制台中处理。尽管MetaHop是具有多个接口的单个路由器，MetaHop管理控制台可向管理员提供基本的仪表板以配置每个位于远程的网关的面向内部的接口(或多个接口)。MetaHop的管理控制台可包括若干其他的机构。在一个实施方式中，可提供一种机构以管理MetaHop中的网络设备的成员资格和部署。可提供另一种机构以监视参与到MetaHop中的任何网络设备。而且，控制台可包括一种用于管理通过MetaHop转发(“纯文本”分组的)应用的机构。
另外，因为MetaHop可自动地处理在网关的面向外部的接口上的加密分组的转发(隧穿)，所以通常管理控制台向管理员呈现仪表板，该仪表板强调与内部网络的面向内部的接口相关的信息，并且不强调或隐藏与网关的面向外部的接口相关的信息。不强调面向外部的接口信息有助于促进管理员理解MetaHop可被视为单个的实体。另外，网关的面向外部的接口的自动设置使得网关自身能够制作用于在网关之间点对点路由(隧穿)加密的分组业务量的选择器列表。响应于在没有管理员的辅助下网关的设置和成员资格中的改变，MetaHop使得参与方网关对自身进行自动地重新配置。
例如，如果网关A和网关M之间的隧道出现故障，但这两个网关仍可与网关R通信，则网关A和网关M将自动地发现与网关R的公共连接并且创建经由网关R的在网关A和网关M之间的备用隧穿路由。因为该隧穿路由的重新配置是自动发生的，所以管理员不必重新配置网络中的所有节点。相反，网关自身自动地发现最佳通路以便通过该最佳通路转发加密的业务量并彼此相应地更新。
另外，用于管理控制台的监视机构可被设置成使得管理员监视来自连接到MetaHop的任何点的隧道重新配置活动。而且，用于管理控制台的仪表板可被设置成提供该重新配置活动的可视化，例如隧道的断开和网关之间临时备用隧道通路的创建。该自动的隧道重新配置使得加密的(隧穿的)业务量在MetaHop网关之间流动而不论初始的配置隧道是否是存在的并且如果初始的配置隧道是不可用的，也不需要管理员手工地重新配置网关之间的隧道。
通常提供“MetaHop中心”服务器以实现对隧道重新配置和网关成员资格的自动管理，并且支持应用代理的地址。MetaHop中心服务器可与多个MetaHop操作并且提供一种机构以支持管理控制台的操作。另外，MetaHop中心服务器可促进基本上与MetaHop关联的每一个事件的监视。而且，MetaHop中心服务器可提供对基本上记录与MetaHop关联的每一个事件的储存库的支持。该储存库可以是基于MetaHop的集中式的或分布式的。另外，记录的事件可用于分析调试通过MetaHop转发分组的任何操作问题。
IPSecMetaHop保持“管道元素”(网关之间的隧道，新的网关的供给等)对于管理员是相对透明的或是不可见的，直到他/她想看见它为止。另外，在MetaHop中，网关可被抽象地视为到具有它们自身的内部网络的远程站点的接口。MetaHop实现通过IPSec或动态VPN路由的增强版本，其中安全的网络以动态的方式(而不仅仅在路由协议中)自动地发现、调整和测量在网关之间可用的隧道内的改变。
另外，MetaHop使得路由引擎和IP安全(IPSec)引擎一起集成在网关中。例如，如果网关从它的内部网络获得路由更新，它将添加该更新到它的内部路由表并且还通知它的IPSec引擎调整选择器列表来包括该新的路由。同样的，网关的IPSec引擎将其现在保护的新的子网通知MetaHop中其他的成员/网关。在其他的网关处，它们的路由端口监督程序(daemon)将向它们的内部网络广告路由表的新的改变。通常，其他网关的IPSec引擎在路由协议广告该改变时已经更新了它们的选择器列表。
多播路由多播IP业务量是“一对多”业务量(一个源，多个目的地)，而通常的IP业务量(客户端/服务器)是“一对一”业务量，即一个源和一个目的地。例如，在站点A处(例如，向多个客户端发送股票报价的站点)的多播数据源可具有在站点B、C和D处的分开的客户端，这些客户端想接收该数据。在过去，VPN管理多播IP业务量是困难的。另外，IPSec选择器开始没有被构建为保护“一对多”IP业务量。然而，MetaHop可被设置操作为用于部分通过在适宜时克隆分组并且将它们隧穿来多播IP业务量的多播路由器。
MetaHop可类似用于多播业务量的多播路由器的操作，其中MetaHop中的每个网关用作多播路由器上单独的接口。例如，如果在MetaHop的一个接口(网关)上接收到来自任何站点的多播查询，则网关可更新本地多播路由树并以基本上类似于多播路由器的方式在每个其他接口(MetaHop中的网关)上传播该请求。通过这种方式，加密的“跳”可被集成到多播树中而无需显式地指示在其中间存在隧道。该设置简化了关于如何处理多播业务量的细节并且减轻了MetaHop与现有协议工作的能力。
网关供给连接到内部网络的新的网关可使用基于多播的协议以基于例如它的序列号的唯一标识符来对自身进行广告。响应于局域网上的多播，成员资格机构可下载MetaHop信息到新的网关，例如入口点IP地址，成员资格凭证、静态信息(内部IP地址等)以及例如在加入MetaHop时允许/禁止自动地转发分组的配置信息。在这种情况下，成员资格机构在将MetaHop成员资格信息送到新的网关时取消了对层3信息(或串行线连接)的使用。另外，多播协议和唯一标识信息的使用使得管理员不基于公共的IP地址来向新的网关分配MetaHop中的成员资格。
在一个实施方式中，通过向策略管理器机构提供对应于每个网关以及每个网关所属于的特定站点的一列序列号，管理员可单独地在相对大的新MetaHop上供给每个网关。基于该列表，策略管理器机构可确定何时将特定的网关连接到局域网以及自动地下载与特定的站点关联的供给信息。策略管理器机构可位于一个新的网关上或它可操作在使得管理控制台的操作针对于新的MetaHop的MetaHop中心服务器上。
在另一个实施方式中，通过创建对应于网络上特定站点的序列号列表，管理员可针对现有的相对较大的MetaHop配置新的网关。管理员可以利用以下指示向其他人交付该供给，即“拆开这些盒子中的新网关，将它们连接到网络，开启它们，当网关上的某个指示告诉你网关已经接收到它的凭证时，拔掉它，将它放回到它的盒子中并将其运载到与它的序列号对应的特定站点。”在相应的站点处，新的网关可再次被接通并连接到例如互联网的外部网络，其中它可访问MetaHop中的至少一个入口点并且加入。可使得网关自动地开始路由业务量或等待管理员在管理控制台处允许该特性。
在另一个实施方式中，也通过向策略管理器机构提供对应于每个网关以及每个网关所属于的特定站点的一列序列号，管理员可单独地在相对较小的新MetaHop(小于10个节点)上供给每个网关。可通过管理控制台对第一网关加电和配置以包括足够的管理凭证来启动创建MetaHop。在此之后，该第一“加电”网关可使用它自身的认证授权来当其他网关加电并加入MetaHop时管理所述其他网关的成员资格和凭证。在这种情况下，第一网关还可操作为MetaHop中心服务器，其用于供给在本说明书其他位置所讨论的其他网关。代替促进在单独的操作系统上运行的单独的管理控制台的操作，通过在第一网关的本地操作系统上运行命令行接口(CLI)、浏览器连接等，第一网关可提供基本上与控制台相同的操作能力。
防火墙可在MetaHop之上运行虚拟防火墙。因为MetaHop可基本上操作为较大的分布式路由器，因此它也可被配置成虚拟防火墙在其上运行，而不是针对每个网关单独地配置防火墙。在一个实施方式中，可针对特定的站点配置接口特定防火墙规则列表。在规则列表用于虚拟防火墙之前或之后，可检查这些接口特定防火墙规则列表。尽管防火墙的单独实例可在每个网关上运行，但管理员可针对被自动地应用到每个站点处的每个网关的虚拟防火墙来管理一个防火墙规则列表。
说明性的操作环境图1示出其中本发明可操作的环境的一个实施方式。然而，实现本发明可以不需要所有的这些组件，并且在不偏离本发明的精神或范围的情况下可做出组件的设置和类型的改变。
如图中所示，系统100包括网关102A到102E，这些网关通过网状拓扑中的外部网络经隧道彼此连接以形成MetaHop 104。局域网(LAN)112、114和116、服务器120和客户端118A和118B布置在MetaHop 104的外部并且分别与网关102E、102B、102C、102D和102A通信。另外，MetaHop中心服务器106通过单独的隧道与MetaHop 104中的每一个网关(102A到102E)通信。MetaHop中心服务器106还通过隧道与布置在另一个MetaHop 110中的网关(未示出)通信。另外，客户端118B布置在MetaHop的外部并且与MetaHop中心服务器106基本上直接通信。
MetaHop中心服务器106与管理控制台108通信并且促进管理控制台108的操作。管理控制台108可提供仪表板(未示出)以便将MetaHop 104和MetaHop 110作为单个的实体可视地呈现，并且将关于与例如LAN 112到LAN 116的内部网络关联的面向内部的接口的信息进行显示。
一般地，网关102A到102E可虚拟地包括任何计算设备，该设备能够连接到另一个计算设备以通过网络发送和接收信息，包括路由器、防火墙等。另外，服务器120和客户端118A以及118B的设备类型还可包括虚拟的任意计算设备，该设备能够通过网络利用例如个人计算机、多处理器系统、基于微处理器或可编程的消费电子、网络PC等的有线或无线通信介质进行通信。
MetaHop 104和MetaHop 110配置为使用任何形式的计算机可读介质，以便从一个电子设备传递信息到能够在开放式系统互联(OSI)模型下进行层3通信的另一个电子设备。另外，除了局域网(LAN)、广域网(WAN)、直接连接(例如通过通用串行总线(USB)端口)、其他形式的计算机可读介质或它们的任意组合，MetaHop还可以包括互联网。在包括那些基于不同架构和协议的LAN的互连集合上，路由器可用作LAN之间的链接，使得消息可从一个LAN发送到另一个LAN。另外，LAN内的通信链路通常可包括双绞线或同轴电缆，而网络之间的通信链路可使用模拟电话线、包括T1、T2、T3和T4的完全或部分专用数字线、综合业务数字网(ISDN)、数字用户线(DSL)、包括卫星链路的无线链路或本领域技术人员已知的其他通信链路。
另外，MetaHop 104和MetaHop 110可包括通信介质，该通信介质通常体现为计算机可读指令、数据结构、程序模块、或例如载波、数据信号或其他传输机制的调制数据信号中的其他数据，并且包括任意的信息递送介质。术语“调制数据信号”和“载波信号”包括这样的信号，其具有一个或多个它的属性集或以关于信号中编码信息、指令、数据和类似等的方式改变。通过示例，通信介质包括能够在开放式系统互联(OSI)模型下进行层3通信的有线介质，例如但不限于双绞线、同轴电缆、光纤、波导和其他有线介质以及例如但不限于声波、RF、红外线和其他的无线介质的无线介质。
图2示出使得由连接到MetaHop的授权用户对内部网络上的各个资源进行受管理的访问的系统的概略图200。如图所示，MetaHop中心服务器216与MetaHop 202和MetaHop 204通信。MetaHop中心服务器216包括若干机构，这些机构包括但不限于管理控制台218、应用代理220和还包括应用代理222的虚拟专用网络(VPN)应用206。VPN应用206通过防火墙208耦合到内部网络(LAN 210)和“n”个资源(212和214)。VPN 206向资源212和214中的每一个提供隧穿的通信信道。另外，应用代理220和222可以响应于请求而向资源提供IP地址。
MetaHop 202连接到耦合到“n”个资源(232和234)的面向内部的网络(LAN 230)。客户端224A、224B和224C分别连接到MetaHop中心服务器216、MetaHop 202和MetaHop 204。另外，MetaHop 204可以是多组移动节点，例如蜂窝电话、寻呼机、无线笔记本计算机、无线个人数字助理(PDA)、无线个人计算机等。网关206还可包括至少一个应用代理222。
说明性的MetaHop中心环境图3表示出根据本发明的一个实施方式用于实现MetaHop中心服务器的操作的网络设备的一个实施方式。网络设备300可包括比示出的组件更多的组件。然而，所示出的组件足以公开用于实现本发明的示例性实施方式。
网络设备300包括处理单元312、视频显示适配器314和大容量存储器，所有的都经由总线322相互通信。大容量存储器通常包括RAM 316、ROM 332以及一个或多个永久性大容量存储设备，例如硬盘驱动器328、磁带机、光驱动器和/或软盘驱动器。大容量存储器存储用于控制网络设备300的操作的操作系统320。可使用任何的通用操作系统。还提供基本输入/输出系统(“BIOS”)318以控制网络设备300的低水平操作。如图3中所示，网络设备300还可经由网络接口单元310与互联网通信或与一些其他的通信网络通信，该接口单元被构建用于结合包括RIP、OSPF、SNMP、HTTP、UDP/IP和TCP/IP协议的各种通信协议使用。例如，在一个实施方式中，网络接口单元310可使用利用TCP和IP多播的混合通信方案。网络接口单元310有时就是通常所说的收发器、网络接口卡(NIC)等。
如上所述的大容量存储器示出了另一种类型的计算机可读介质，即计算机存储介质。计算机存储介质可包括在任何的方法或技术中实施以便存储例如计算机可读指令、数据结构、程序模块或其他数据的信息的易失性、非易失性、可移动的和不可移动的介质。计算机存储介质的例子包括RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备，或可用于存储期望的信息并且可由计算设备访问的任意其他介质。
大容量存储器还存储程序代码和数据。一个或多个应用350可被加载到大容量存储器并且在操作系统320上运行。应用程序的例子可包括代码转换机、调度部件、图形程序、数据库程序、字处理程序、HTTP程序、用户接口程序、各种安全程序等。大容量存储器可进一步包括例如MetaHop中心服务器360、管理控制台362和应用代理364的应用。
结合图1和图2更为详细地描述MetaHop中心服务器360、管理控制台362和应用代理364的实施方式。这些应用也可与位于网络设备、另一个风络设备、网关等的其他组件交互。其他的组件可包括客户端应用、安全应用、传输应用等。
网络设备300也可包括用于发送和接收电子邮件的SMTP处理机应用、用于接收和处理HTTP请求的HTTP处理机应用以及用于处理安全连接的HTTPS处理机应用。HTTPS处理机应用可以安全的方式发起与外部应用的通信。此外，网络设备300可进一步包括虚拟地支持任何安全连接的应用，包括但不限于TLS、TTLS、EAP、SSL、IPSec等。
网络设备300还包括用于与外部设备通信的输入/输出接口324，外部设备例如是鼠标、键盘、扫描仪或图3中未示出的其他输入设备。同样的，网络设备300可进一步包括另外的大容量存储机构，例如CD-ROM/DVD-ROM驱动器326和硬盘驱动器328。硬盘驱动器328可用于存储包括应用程序、数据库、客户端设备信息、策略、包括但不限于证书、密码、口令的安全信息等。
说明性的网关环境图4表示根据本发明的一个实施方式的用于实现网关操作的网络设备的一个实施方式。网关400可包括比示出的组件更多的组件。然而，示出的组件足以公开用于实现本发明的示例性实施方式。
网络设备400包括处理单元412、视频显示适配器414和大容量存储器，所有的都经由总线422相互通信。大容量存储器通常包括RAM 416、ROM 432以及一个或多个永久性大容量存储设备，例如硬盘驱动器428、磁带机、光驱动器和/或软盘驱动器。大容量存储器存储用于控制网关400操作的操作系统420。可使用任意的通用操作系统。还提供基本输入/输出系统(“BIOS”)418以控制网关400的低水平操作。如图4中所示，网关400还可经由网络接口单元410与互联网通信或与一些其他的通信网络通信，该接口单元被构建用于结合包括RIP、OSPF、SNMP、HTTP、UDP/IP和TCP/IP协议的各种通信协议使用。例如，在一个实施方式中，网络接口单元410可使用利用TCP和IP多播的混合通信方案。网络接口单元410有时就是通常所说的收发器、网络接口卡(NIC)等。
一个或多个应用450可被加载到大容量存储器并且在操作系统420上运行。应用程序的例子可包括代码转换机、调度部件、图形程序、数据库程序、字处理程序、HTTP程序、用户接口程序、各种安全程序等。大容量存储器可进一步包括例如路由应用460、IPsec应用462、防火墙464和多播应用466的应用。这些应用也可与位于网络设备、另一个风络设备、网关等的其他组件交互。
网关400也可包括用于发送和接收电子邮件的SMTP处理机应用、用于接收和处理HTTP请求的HTTP处理机应用以及用于处理安全连接的HTTPS处理机应用。HTTPS处理机应用可以安全的方式发起与外部应用的通信。此外，网关400可进一步包括虚拟地支持任何安全连接的应用，包括但不限于TLS、TTLS、EAP、SSL、IPSec等。
网关400还包括用于与外部设备通信的输入/输出接口424，外部设备例如是鼠标、键盘、扫描仪或图4中未示出的其他输入设备。同样的，网关400可进一步包括另外的大容量存储机构，例如CD-ROM/DVD-ROM驱动器426和硬盘驱动器428。硬盘驱动器428可用于存储包括应用程序、数据库、客户端设备信息、策略、包括但不限于证书、密码、口令的安全信息等。
说明性流程5示出处理500的概略流程图，该处理用于自动地处理MetaHop的多个面向外部的接口使得不需要管理员花费时间来完成。从开始块移动，处理流进入块502，其中MetaHop中的每个网关的成员资格被自动地管理。简言之，由管理员提供的例如附加到MetaHop的新的网关的站点和唯一标识符(通常是序列号等)的相对基本信息用于自动地部署新的网关并动态地管理MetaHop中每个网关之间的隧道。
处理流向块504，其中自动地管理MetaHop中每个网关之间的每个隧道的配置。例如，如果两个网关之间的特定隧道不可用，则MetaHop自动地重新配置两个网关之间的另一个临时隧道通路。尽管MetaHop可向管理员建议临时隧道通路，但该配置可自动地发生，并且在管理员方面相对而言没有工作量。
处理前进到块506，其中MetaHop中的网络设备被自动地抽象成单个的实体，其可以呈现给管理员以便监视。另外，可由管理员使用管理控制台来提供用于在MetaHop中部署新的网关、将MetaHop表征为分布式和单个的实体等的信息。
步入到块508，处理自动地实现向管理员呈现关于面向内部的接口的监视信息。在一个实施方式中，可使用仪表板应用来显示内部网络的MetaHop的面向内部的接口的可视化，带有例如IP地址、端口、状态和类型的信息。另外，仪表板应用可被设置成将MetaHop的外部网络的面向外部的接口作为单个的实体显示，其中可在第二显示器上呈现另外的信息，例如，节点、站点和网关。从块508移动，处理返回到执行其他的动作。
图6示出用于部署MetaHop的新的网关的流程图600。从开始块移动到块602，处理提供其中新的网关可操作为MetaHop成员的站点以及例如网关的序列号的唯一标识符等。在一个实施方式中，由管理员在由MetaHop中心服务器提供促进的管理控制台处提供唯一的标识符和站点。
在块604处，新的网关被连接到内部局域网，其中它多播MetaHop信息。步入到块606，新的网关通过多播接收MetaHop信息，包括但不限于入口点IP地址、MetaHop成员资格凭证、例如内部IP地址的静态信息、例如在最初加入MetaHop时允许/禁止自动转发分组的配置信息。
在块608处，将新的网关耦合到外部网络并且单播到入口点IP地址，其中它下载用于加入MetaHop的MetaHop信息的剩余部分。该剩余的信息可包括关于网关之间临时隧道通路的重新配置的动态MetaHop信息。
处理流向块610，其中它基于从内部网络和外部网络下载的MetaHop信息加入MetaHop。处理前进到块612，其中它能够在MetaHop上通过隧道转发业务量(分组)。在一个实施方式中，新的网关自动地开始转发业务量。在另一个实施方式中，新的网关等待转发业务量直到该功能由管理员确认。下一步，处理返回到执行其他的动作。
图7示出用于实现MetaHop中隧道的自动重新配置的流程图700。从开始块移动，处理步入到确定块702，其中做出关于MetaHop中网关之间的隧道是否变得不可用的确定。如果是可用的，处理前进到块704，其中MetaHop自动地确定针对初始隧道的临时隧道通路。在接下来的情况中，该临时隧道通路可使用中间网关之间的多个隧道以基本上替代两个网关之间的不可用的初始隧道。
步入到块706，处理自动地以临时隧道通路更新MetaHop中的每个网关。另外，一旦初始的隧道再次变得可用，则MetaHop将自动地以初始隧道再次更新每个网关。下一步，处理返回到执行其他的动作。
图8A示出用于提供显示关于例如内部网络的MetaHop的面向内部的接口的信息的示例性仪表板800的框图。所示的仪表板显示关于内部网络的信息，包括IP地址、端口、状态和类型。另外，仪表板被设置成将MetaHop作为单个的实体显示。在另一个实施方式中，可以根本不显示关于MetaHop的信息，除非发生严重的问题。图8B表示提供关于例如网关、节点和站点的MetaHop的面向外部的接口的第二显示信息的示例性仪表板810的框图。
此外，将理解到上述的流程图示例的每个块以及上述流程图示例中的块的组合可由计算机程序指令实施。可向处理器提供这些程序指令以生成机器，使得在处理器上执行的指令创建用于实施在流程图块或多个块中指定的动作的装置。可由处理器来执行计算机程序指令以使得由处理器执行一系列的操作性步骤从而生成计算机实现的处理，使得在处理器上执行的指令提供用于在流程图块或多个块中指定的动作的步骤。
因此，流程图示例的块支持用于执行特定动作的装置的组合，用于执行指定动作的步骤的组合以及用于执行指定的动作的程序指令装置。还将理解到流程示例的每个块以及流程示例中的块的组合可由基于专用硬件的系统来实施，该系统执行指定的动作或步骤，或专用硬件和计算机指令的组合来实施。
上面的规范、例子和数据提供对本发明的组成的加工和使用的全面描述。因为本发明的许多实施方式可在没有偏离本发明的精神和范围的情况下做出，所以本发明包含于后面所附的权利要求书中。
权利要求
1.一种用于提供安全通信的系统，包括地理分布式虚拟互联网协议(IP)路由器，其包括多个网关，其中为每个所述网关提供至少一个隧道以与其他多个网关中的至少一个网关通信，并且其中所述地理分布式虚拟IP路由器执行以下动作，包括使得地理分布式虚拟IP路由器作为单个的实体操纵；以及针对在地理分布式虚拟IP路由器中变得不可用于通信的每个隧道自动地重新配置临时隧道。
2.根据权利要求1所述的系统，进一步包括应用代理，用于响应于请求而向应用提供IP地址。
3.根据权利要求1所述的系统，其中所述地理分布式虚拟IP路由器执行进一步的动作，包括使得通过内部网络向所述新的网关部分地供给地理分布式虚拟IP路由器信息；通过外部网络向所述新的网关自动地供给剩余的地理分布式虚拟IP路由器信息；以及使用供给的地理分布式虚拟IP路由器信息来通过所述外部网络自动地将所述新的网关加入到所述地理分布式虚拟IP路由器。
4.根据权利要求1所述的系统，进一步包括中心服务器，该服务器执行进一步的动作，包括如果所述隧道变得可用于通信，则自动地将所述临时隧道重新配置回所述隧道。
5.根据权利要求1所述的系统，进一步包括管理控制台，其实现作为单个实体的地理分布式虚拟IP路由器的操作的自动地管理。
6.根据权利要求5所述的系统，进一步包括仪表板，其提供将地理分布式虚拟IP路由器作为单个的实体的可视化表示。
7.根据权利要求5所述的系统，进一步包括仪表板，其提供与耦合到所述地理分布式虚拟IP路由器中至少一个网关的面向内部的接口相关的信息的显示。
8.根据权利要求1所述的系统，其中IPsec用于所述地理分布式虚拟IP路由器中网关之间的隧穿通信。
9.根据权利要求1所述的系统，进一步包括虚拟防火墙，其可用作所述地理分布式虚拟IP路由器中的单个实体。
10.根据权利要求9所述的系统，其中所述虚拟防火墙进一步提供所述地理分布式虚拟IP路由器中每个网关处的单独的防火墙。
11.一种用于在节点之间提供安全通信的方法，包括使得地理分布式虚拟IP路由器为每个网关提供至少一个隧道以便与所述地理分布式虚拟IP路由器中至少一个对端网关通信，其中将所述地理分布式虚拟IP路由器设置成作为单个的实体操纵；以及使得中心服务器执行动作，包括针对所述地理分布式虚拟IP路由器中不可用于通信的每个隧道自动地配置临时隧道。
12.根据权利要求11所述的方法，进一步包括使用应用代理以便响应于请求而针对应用提供IP地址。
13.根据权利要求11所述的方法，进一步包括使用所述地理分布式虚拟IP路由器来自动地供给新的网关，以便连接到入口点并且加入所述地理分布式虚拟IP路由器。
14.根据权利要求13所述的方法，进一步包括至少部分地基于与所述网关关联的序列号以及其中将操作所述新的网关的站点，使得能够自动地供给所述新的网关。
15.根据权利要求11所述的方法，进一步包括使用管理控制台以实现作为单个实体的地理分布式虚拟IP路由器的操作的自动地管理。
16.根据权利要求15所述的方法，进一步包括使得仪表板提供将地理分布式虚拟IP路由器作为单个实体的可视化表示，其中所述仪表板能够提供对于与耦合到所述地理分布式虚拟IP路由器中至少一个网关的内部网络相关的信息的显示。
17.根据权利要求11所述的方法，其中IPsec用于所述地理分布式虚拟IP路由器中网关之间的所述隧道。
18.根据权利要求11所述的方法，进一步包括使得虚拟防火墙用作所述地理分布式虚拟IP路由器中的单个实体。
19.根据权利要求18所述的方法，其中所述虚拟防火墙进一步提供所述地理分布式虚拟IP路由器中每个网关处的单独的防火墙。
20.一种用于在节点之间提供安全通信的设备，包括用于地理分布式虚拟IP路由器为每个网关提供至少一个隧道以便与所述地理分布式虚拟IP路由器中至少一个对端网关通信的装置，其中将所述地理分布式虚拟IP路由器设置成作为单个的实体操纵；以及用于中心服务器执行动作的装置，所述动作包括针对所述地理分布式虚拟IP路由器中不可用于通信的每个隧道自动地配置临时隧道。
全文摘要
一种用于管理作为单个的实体被操纵、管理和监视的分布式MetaHop的系统。如果新的网关添加到MetaHop，则由管理员向网关供给成员资格凭证，管理员指示用于新的网关加入MetaHop的相对基本信息。一旦供给相对基本信息，则新的网关可被运载到相对远程的站点，其中该网关可自动地找出到MetaHop的入口点。在连接到入口点(或多个入口点)后，则自动地向新的网关供给用于加入MetaHop的任何其他信息。在一个实施方式中，自动地允许加入的网关转发业务量。在另一个实施方式中，新的网关被禁止用于业务量转发直到管理员允许其在MetaHop上进行这样的转发。
文档编号G06F11/00GK1985251SQ200580023268
公开日2007年6月20日 申请日期2005年5月31日 优先权日2004年6月4日
发明者詹姆斯·戴维·阿斯尼斯 申请人:诺基亚公司