专利名称:互联专用网络中的互联网协议选址的制作方法
技术领域:
本发明一般地涉及联网。更具体地,本发明涉及一种防止由于家庭网关处局域网的随机供应(provisioning)所造成的用户混淆的方法。
技术背景随着网关、路由器和接入点价格的持续降低以及这些设备的安装和使 用变得越来越简单,家庭和小企业网络的数量越来越多。这些专用网为家 庭和小企业提供具有局域网的种种好处。例如,他们可以很容易地共享文 件,使用电子邮件并拥有互联网接入。有时希望把两个或多个这样的专用网互联(join)在一起。将两个或 多个专用网互联在一起形成一个更大的网络,并且能够更加容易地在加入 的计算机之间进行文件共享和其他通信。这种互联例如可以通过使用虚拟 专用网(VPN)实现。VPN使用诸如互联网之类的广域网在专用网之间提 供逻辑连接。例如,可以将家庭网络互联到小企业网络。使用VPN,雇员可以轻易 地从家中存取工作文件,反之亦然。因此,实现VPN有实质性的好处。一般来说,这种VPN完全可以在专用网之间提供双向通信。RFC-1918讨论了专用地址空间的存在。该文献描述了称之为网络地址转换 (NAT)的一种家庭网关、接入点和路由器所使用的通用技术。NAT的使 用使得网关、接入点和路由器可以为专用网中的设备分配专用或本地互联 网协议(IP)地址。也就是说,网关、接入点或路由器认为专用网中的计 算机属于它的管理域,并且根据RFC-1918给它们分配本地IP地址。默认的,由网关、接入点或路由器分配给专用网中计算机的本地IP地 址是提供给网关、接入点或路由器的生产商使用的地址。也就是说,这些 是存储在网关,接入点或路由器中的本地IP地址,因此可以根据需要将其 分配。因此,可由网关、接入点或路由器的特定模型分配给其他设备的专用 IP地址可能是相同的。有时甚至对于给定厂商的不同模型或类型的产品都 是这样的。例如,给定厂商的网关和路由器可能分配相同的缺省本地地 址。这会导致专用网存在具有和其他专用网中的计算器相同的本地网络地 址的计算机。而且,网关、接入点和路由器的缺省本地IP地址本身倾向于标准化。 这种标准化更利于设备的配置和支持。网关、接入点或路由器特定模型的 文件一般参考所述设备的缺省本地IP地址。如果用户对于网关、接入点或 路由器的安装或操作请求电话支持,那么支持人员可以在指示用户或远程 配置或测试设备时利用这样的通用缺省本地IP地址。由于在供应时这些网关、接入点和路由器具有通用缺省地址,并且这 些网关、接入点和路由器本身具有相同的本地IP地址,因此可能存在具有 相同内部地址的专用网。实际上,由于对特定模型的网关、接入点或路由器,RFC-1918专用网倾向于实行相同的选址方案,因此两个专用网中的计算机具有相同的本地IP地址的可能性非常大。这并不一定是个问题。只要网关使用网络地址转换(NAT)将它的全 球IP地址借用给它专用网中的计算机,经由网络的互联网服务供应商提供 的外部IP选址可以为网络,最终为网络中的计算机提供全球唯一的IP地 址。然而当两个专用网经由VPN互联时,它们实际上成为一个更大的网 络。在这种情况下,为了避免将妨碍适当的网络操作的选址(addressing) 冲突,需要用于互联网络中的所有计算机的唯一的地址。不幸的是,RFC-1918 没有提供这种问题的解决方案,有时在专用网中协调RFC-1918本地 地址空间是不可行的。因此,在有些情况下,为了避免经由VPN互联的网络计算机之间的 地址冲突,需要重新配置网关、接入点或路由器。这种重新配置可以通过 手动改变其中一个专用网的网关、接入点或路由器的缺省IP地址(这是缺 省的LAN IP地址或专用网地址,而不是全球IP地址),或者通过改变专 用网计算机的本地地址来完成。因此专用网的本地IP地址将会不同。这种 方式下,可以避免选址冲突。虽然改变其中一个专用网的缺省IP地址不难,但是不方便。而且需要 维护和支持人员留意该变化。实际上,网络管理者和支持人员一般期望可 将网关、接入点和路由器的供应和控制数据包发送到生产商的缺省RFC-1918本地IP地址。改变设备的本地IP地址意味着,为了供应它,用户在接入设备时可能存在问题。网关、接入点或路由器的诸如配置之类的任何 选址,随后必须使用新的IP地址执行。因此,并非总是希望改变网关、接 入点或路由器的专用IP地址。综上所述,需要提供一种例如经由VPN将两个专用网互联的方法, 所述方法不需要人们为了防止选址冲突而改变网关、接入点、路由器,或 类似物的IP地址。
图l是示出根据本发明示范性实施例的,例如经由使用互联网的VPN 互联在一起的两个专用网的框图。图2是示出根据本发明一个实施例的,在互联的专用网中缓解选址冲 突的方法的示范性实施例的流程图。通过参考以下的详细说明,可以很好地理解本发明实施例和它们的优 点。应该认识到,附图中类似的标号用于指示在一个或多个附图中所阐述 的类似元件。
具体实施方式
本发明公开了在互联的专用网络中缓解选址冲突的系统和方法。例如 当将另一个网络安排为与一个网络进行通信时,可以通过自动更改该一个 网络的网关、接入点、路由器或其他设备的地址从而缓解虚拟专用网 (VPN)中的互联网协议(IP)选址冲突。网络地址范围也可以从缺省的 RFC-1918地址空间改变到不同的RFC-1918地址空间。然后可以用目标网 络地址转换过滤器(DNAT)将专用网发起的诸如http和https数据包之类 的数据包指向网关的新地址。在这种方式下,能够在互联的网络中防止模
糊(ambiguous)选址。图1示出可以互联从而形成较大的单个网络的第一专用网18和第二 专用网19。第一专用网18例如可以包括安全网关11和多个计算机12-14。第二专用网19例如可包括网络地址转换(NAT)路由器15,另一个 路由器16和至少一台计算机17。第一专用网18和/或第二专用网19可包 括诸如服务器、客户计算机、交换机、路由器、接入点、网关、集线器、 网桥、打印机、扫描仪,以及独立的存储设备之类的多种附加设备。第一专用网18可以经由使用诸如互联网IO之类的广域网(WAN)定 义的VPN互联到第二专用网19。然而,如上所述,两个专用网之间的这 种互连(interconnection)存在潜在的IP选址冲突。例如当两个网关、接 入点、路由器,或类似物由同一个生产商制造,从而方便它们各自专用网 的互连时,可能发生IP选址冲突。当一个专用网上的计算机(RoadWarrior)尝试对另一个专用网建立 VPN时,最可能发生冲突。在这种情况下,当两个NAT路由器是由同一 个公司制造并且其中一个作为安全网关以方便VPN的互连时,有可能发 生冲突。本领域的技术人员应理解,专用网可以经由诸如网关、接入点和路由 器之类的各种设备连接到广域网(WLAN)。本文中使用的术语网关,可 以包含所有这样的设备。因此术语网关仅仅是示范性的,而不是限定性 的。由于IP地址通常是由生产商分配的缺省地址,所以这些专用网的网关 可以具有相同的本地IP地址。而且,网关可以把相同的本地IP地址分配 给其各自的专用网中的计算机。第一专用网18的安全网关11具有全球IP地址,通过这个全球IP地 址,它可以通过互联网10接入。它也可以具有192.168丄1的本地IP地址 和它关联的专用网,该专用网包括的计算机12-14可以具有192.168丄0到 192.168.1.24之间的本地IP地址。同样的,第二专用网19的NAT路由器15具有全球IP地址。它也可 以具有192.168丄0禾n 192.168丄24之间的本地地址,并且可以把该范围以
内的剩余地址分配给第二专用网19上的其他设备(如路由器16)。当第一专用网18和第二专用网19通过VPN互联时,可能会发生选址 冲突。在这种情况下,192.168丄0到192.168丄24的地址范围在第一专用 网18和第二专用网19上都可用。因此,有可能在VPN上的选址至少会有一些重叠。这种冲突的RFC-1918地址空间问题一般发生在试图使用具有相同的 缺省本地IP地址或可分配地址范围的网关或路由器互联两个或多个专用网 时。在上面的实例中,当一个RFC-1918地址空间中的主机在VPN中经由 安全网关11互联到另一个相似的RFC-1918地址空间中的主机时,会发生 这种情况。在这种情况下,对于安全网关11和/或计算机12-14, NAT路 由器15和/或路由器16具有冲突的地址空间。本发明的一个或多个方面为这个问题提供两部分的解决方案。第一部 分,缓解此类冲突的时机(opportunities)。第二部分,缓解由于解决方案 的第一部分的实现方式导致的用户混淆。根据本发明的一个实施例,当第二网络19与第一网络18通信时,第 一网络18的地址将自动改变。VPN建立之前可以分配随机的RFC-1918地 址。这可能发生在首次将网关安装到网络中时,即首次购买了网关并带到 家中时,或者执行VPN的首次供应时。对于以后的VPN供应不需要改变 专用地址空间,因为对于之后使用的所有其他专用VPN而言,RFC-1918 地址的随机选择首次总的消除了冲突。 一旦RFC-1918网络改变了,并且 都给该专用网中的所有主机重新分配了新RFC-1918地址空间中的IP地 址,那么专用IP地址冲突的可能性较小。当通信指向设备的旧地址时,将 这些指向改变了地址的设备的通信重新指向新地址。例如安全网关11的管理者可以供应安全网关11从而使得路由器16例 如经由在第一网络18和第二网络19之间形成的VPN互联到第一网络 18。为了防止IP选址冲突,可以改变第一网络18的LAN地址空间,如改 变到10.x.x.x/8。也就是说,改变第一网络18的计算机12-14禾口/或安全网 关11的IP地址,从而它们与第二网络19的任何设备的地址不冲突。这些 地址改变可以自动执行。 应该注意到上面提到了地址空间10.X.X.X/8,这是因为它是最大的专用地址空间。然而,lO.x.x.x/8的使用仅仅是示范性的,而不是限定性的。本领域的技术人员会认识到同样可以使用各种其他的专用地址空间。实际上,任何随机RFC-191S专用地址空间一般都可以使用。根据本发明的一个方面,检测到地址改变并实现目标NAT (DNAT) 过滤从而将指向原IP地址的http (端口 80或8080)和https (端口 443) 的数据包重新指向新的IP地址。重新定向的数据包具有目标端口 80或 443。源IP地址来自专用网中的主机,而目标IP地址是网关的缺省IP地 址。将目标NAT过滤实现为运行系统的一部分或者是运行系统的附加部 分。 一般来说,它是使用检查来/去数据包的包过滤器实现的。当发现满足 某些标准的数据包(这种情况下,目标地址是到缺省的IP地址或者是相 应的返回数据包)时,则包过滤器代码执行目标NAT过滤。这是一个普 及的功能。如果安全网关11的地址改变了,那么与安全网关11的图形用户界面 (GUI)的通信同样也重新定向了,从而可以使用缺省的本地IP地址完成 与GUI的通信。因此,将指向安全网关11的生产商缺省RFC-1918地址的 控制层数据重新指向安全网关11的新地址。在这种方式下,用户不需要 留意地址变化并且避免了用户混淆。也就是说,即使考虑到安全网关11 的本地IP地址已经改变,诸如网络管理者之类的用户可以继续使用它们曾 经使用的地址与安全网关11的GUI通信。因此,为了接入安全网关ll执 行诸如配置之类的日常任务时,不需要用户记住新的, 一般来说是随机的 本地IP地址。因此,本发明的一个或多个方面缓解了 IP选址冲突发生的可能性,而 同时允许用户以相同的方式与网关通信,所述相同的方式即使用生产商的 设备文件中描述的相同的本地IP地址。一般来说,哪个专用网称之为第一专用网哪个专用网称之为第二专用 网并不重要。因此,例如,同样的可以改变第二网络的地址以缓解冲突。 而且,实践本发明并不限于将两个专用网互联以形成一个较大的网络。相
反,可以将任意所需数目的专用网如此互联,并且这些专用网的任何所需 数目的地址都可以根据本发明的一个或多个方面进行改变。
用VPN将专用网互联仅仅是示范性的,而不是限定性的。因此,可 以通过根据本发明的任意所需方法将专用网互联。
因此,本发明的一个或多个方面提供以不需要人改变网关、接入点、路由器,或类似物的IP地址的方式,例如通过VPN将包含两个或多个相同选址的专用网的随机网络互联的方法。用户仍然可以使用由用于供应的 生产商分配的缺省IP地址连接到设备。
认识到何时网络IP地址改变了是很重要的。 一般来说,网关将作为专用网的DHCP服务器,并且它将从生产商缺省使用的专用地址空间分配IP 地址。这表明一旦网络中的每一台计算机获得IP地址,它将继续使用该 IP地址,只要地址的租期(lease)仍在持续(一般是1天或更长)。由于 本发明试图消除地址空间的冲突,所以专用网空间的实际变化必须在与 VPN的通信开始前发生,从而当每个主机更新它的DHCP供应的IP地址 时,它会接收到新地址空间中的新地址。当把新的网关带回家并首次启动 时执行这个过程。然而这种网络空间再分配或者也可以发生在供应第一个 VPN时。或者,这个过程可以当检测到冲突或当通信首次开始时执行。然 而,这需要协议或过程重新将为作为专用网一部分的所有主机供应专用IP 地址空间。
上述实施例阐述了,而不是限定了本发明。还应认识到可以根据本发 明的原理做出多种修改和变形。相应的,本发明的范围仅由以下的权利要 求定义。
权利要求
1.一种在网络中缓解冲突的方法,所述方法包括当将第二网络安排为与第一网络通信时,自动改变所述第一网络的地址。
2. 如权利要求1所述的方法,其中改变所述第一网络的地址包括在网关首次启动时,改变专用地址空间。
3. 如权利要求1所述的方法,其中改变所述第一网络的地址包括当首 次供应VPN时,改变专用地址空间。
4. 如权利要求1所述的方法,还包括将与改变了地址的设备的通信重 新定向,从而将指向所述设备的旧地址的通信指向所述设备的新地址。
5. 如权利要求1所述的方法,还包括 检测所述第一网络的互联网协议地址的改变;以及 建立目标网络地址转换过滤器,从而将http和https数据包重新指向新地址。
6. 如权利要求1所述的方法,其中改变所述第一网络的地址包括改变 其安全网关的地址。
7. 如权利要求1所述的方法,其中通过使用虚拟专用网将所述第二网 络安排为与所述第一网络通信。
8. 如权利要求1所述的方法,其中将所述第一网络的地址改变为地址 空间10.x.x.x/8中的随机地址。
9. 如权利要求1所述的方法,还包括 检测所述第一网络的地址的改变;以及建立目标网络地址转换过滤器,从而将通信重新指向新地址。
10. 如权利要求1所述的方法,其中用户可以使用所述第一网络的未 改变的地址与其网关通信。
11. 如权利要求1所述的方法,其中将指向生产商缺省地址的控制层 数据重新指向网关、接入点或路由器目前的地址。
12. —种网络设备,包括 用于辅助与网络通信的至少一个端口;以及电路,配置所述电路用于与第一网络通信,并且当将第二网络安排为 与所述第一网络通信时,通过自动改变所述第一网络的地址来缓解冲突。
13. 如权利要求12所述的网络设备,其中改变所述第一网络的地址包 括在网关首次启动时改变专用地址空间。
14. 如权利要求12所述的网络设备,其中改变所述第一网络的地址包 括当首次供应VPN时,改变专用地址空间。
15. 如权利要求12所述的网络设备,其中配置所述电路还用于将与改 变了地址的设备的通信重新定向,从而将指向所述设备的旧地址的通信指 向所述设备的新地址。
16. 如权利要求12所述的网络设备,其中配置所述电路还用于 检测所述第一网络的互联网协议地址的改变;以及 建立目标网络地址转换过滤器,从而将http和https数据包重新指向新地址。
17. 如权利要求12所述的网络设备,其中改变所述第一网络的地址包 括改变其安全网关的地址。
18. 如权利要求12所述的网络设备,其中通过使用虚拟专用网将所述 第二网络安排为与所述第一网络通信。
19. 如权利要求12所述的网络设备,其中将所述第一网络的地址改变 为地址空间10.x.x.x/8中的随机地址。
20. 如权利要求12所述的网络设备,其中配置所述电路还用于 检测所述第一网络的地址的改变;以及建立目标网络地址转换过滤器,从而将通信重新指向新地址。
21. 如权利要求12所述的网络设备,其中用户可以使用所述第一网络 未改变的地址与其网关通信。
22. 如权利要求12所述的网络设备,其中配置所述电路使得指向生产 商缺省地址的控制层数据重新指向网关、接入点或路由器目前的地址。
23. —种网络设备,包括 与网络通信的装置;以及当将第二网络安排为与所述网络通信时,通过自动改变所述网络的地 址来缓解冲突的装置。
全文摘要
本发明公开了在互联的网络中缓解选址冲突的系统和方法。例如当将另一个网络安排为与一个网络进行通信时,可以通过自动更改所述一个网络网关的地址以缓解虚拟专用网(VPN)中的互联网协议(IP)选址冲突。目标网络地址转换(DNAT)过滤器可以用于将数据包指向网关的新地址。
文档编号H04L12/56GK101133612SQ200680006468
公开日2008年2月27日 申请日期2006年3月28日 优先权日2005年4月5日
发明者马克·恩赖特 申请人:思科技术公司