专利名称:第一计算机网络与至少一个第二扩展计算机网络连接方法
技术领域:
本发明涉及一种 第一计算机网络与至少一个第二扩展计算机网络连接方法,其中该至少一个第二扩展计算机网络没有连接至因特网,并且不具有到第一计算机网络的路由选择通路,该方法提供步骤使中间网络互连至所述至少第二扩展计算机网络,并经由因特网使所述中间网络互连至所述第一计算机网络,以及跨接所述中间网络和因特网在所述第一计算机网络与所述至少第二扩展计算机网络之间实现IP隧道。更具体地,本发明涉及一种上述类型的方法,其中所述第一计算机网络与所述第二扩展计算机网络属于例如具有相同的法人实体的相同的或关联的公司,而中间网络属于
第二方。
背景技术:
众所周知,用于使第一计算机网络和不连接至因特网并且不具有到所述第一计算机网络的路由选择通路的至少一个第二扩展计算机网络连接的方法,提供经由用作IP隧道终结器的路由器,使中间网络互连至所述至少第二扩展计算机网络,并且,经由因特网,使所述中间网络互连至所述第一计算机网络。换句话说,这些方法,跨接直接的路由选择通路和因特网、即横过因特网和所述中间网络,在所述第一计算机网络与所述至少第二扩展计算机网络之间实现IP隧道。更具体地,所述直接的路由选择通路是跨接至少所述第二扩展计算机网络与因特网之间的所述中间网络的通路。参考图1,示意性地表示了以上方法的主要步骤,包括具有到因特网3的连接的所述第一计算机网络1,与没有提供到因特网3的连接但具有到所述CPE路由器9的连接的所述第二扩展计算机网络2之间的互连,该CPE路由器9还连接至所述中间网络5。例如,所述第一计算机网络I和所述第二扩展计算机网络2可以分别是用户A的连通公司网络和相同用户A的外部连通公司网络,由于该连通公司网络与该外部连通公司网络没有直接的路由选择通路,所以它们不能直接连接,并且由于所述外部连通公司网络2例如因为地理约束而没有提供到因特网3的连接,所以它们也不能经由通过因特网3的IP隧道虚拟连接。第一计算机网络和第二扩展计算机网络属于例如具有相同的法人实体的相同的或关联的公司。参考以上的示例,中间网络5是提供商B的连通公司网络5,其连接至因特网3,并可通过直接的路由选择通路提供到外部连通公司网络2的连通,以实现用户A的连通公司网络与该用户A相应的扩展连通公司网络之间的IP隧道。更具体地,中间网络5或连通公司网络5属于第三方,该第三方不合法地连接至所述第一计算机网络I和所述第二扩展计算机网络2。
从第一计算机网络I向第二扩展计算机网络2产生的网络通信量,及其反向的网络通信量,被加密,例如通过IPSec协议、即用于在网络层加密并验证IP数据包的标准被加密,以避免第三方对传送到IP隧道中的数据进行检查。换句话说,加密和验证提供安全的虚拟点对点连接,或者用户A 的网络之间的安全的IP隧道。这些方法的缺点是,避免第三方检查的加密网络通信量,也避免中间网络5内的检查,使提供商B不能检查通过其中间网络5的网络通信量,并且提供商B对此网络通信量负责。在超过一个的扩展计算机网络2经由通过中间网络5的相应的IP隧道连接至所述第一计算机网络I时,已知方法的另一缺点是显而易见的。实际上,由于IPSec标准需要直接在OSI参考模型的IP网络层L3上的分层安全,所以,如果将IPSec标准用于实现每个IP隧道上的安全,则提供商B的中间网络5必须至少为每个扩展计算机网络2提供至少一个公共IP地址,结果是为了实现多个安全的IP隧道,不能使用相同的公共IP地址。另一方面,如果将不同的标准用于安全,以允许利用中间网络5的相同的公共IP地址来多层电镀(multiplating)几个安全的IP隧道,例如SSL VPN,则出现其他问题。所述SSL VPN在传输层L4上、而不是在IP网络层L3上分层。实际上,该方法需要在提供商B的中间网络5上的非简单NAT (Network AddressTranslation,网络地址转换)配置,以提高在中间网络5内以及在对进一步扩展计算机网络2的未来可能的修正和扩展内该方法实现的复杂性。再次参考以上的示例,由于该方法的配置必须为每个扩展计算机网络2提供一个安全的IP通道,所以该方法实现的复杂性也在第一计算机网络I中提高。此外,独立于要连接的扩展计算机网络2的数目,已知的方法需要对中间网络5以及第一和第二扩展计算机网络1、2的繁重的检查、以及提供商B、用户A与潜在涉及的第三方C之间的IP寻址空间的大量的协商,该第三方C负责实现安全的IP隧道,也被指示成网络集成提供商。这些检查和协商是必不可少的,以避免在所述中间网络5、所述第一和第二计算机网络1、2内的多个私有IP地址的重叠和冲突,并且如果检测到重叠并且该重叠通过协商不可避免,则必须修正已知的方法,以在网络1、2、5之间提供NAT (Network AddressTranslation,网络地址转换)。换句话说,当需要单独的部分之间的网络集成——即分别具有其自身的私有网络管理的所述第一计算机网络、所述第二扩展计算机网络与所述中间网络部分之间的集成时,上述类型的技术和政治问题会出现,将提高集成所需的复杂性和时间。当集成委托给也被指示成网络集成提供商的另一技术指定方时,该复杂性进一步提高;该另一技术指定方承担实现IP隧穿;该IP隧穿,包括与所述中间网络、第一和所述第二扩展网络一起安装的路由器的配置,并且其严格受每方所需的约束限制。在本发明的基础上的技术问题是提供一种方法,其从网络体系结构、拓扑和逻辑配置的角度来对中间网络5施加最低限度的配置要求,该方法在安全的IP隧穿中要连接的多个扩展计算机网络2只需要一个公共IP地址,允许提供商B检查横过中间网络5的网络通信量,并且同时保证所述中间网络5与所述第一和第二扩展计算机网络1、2之间的相互隔离,以及避免在所述中间网络5和所述网络1、2内使用的多个私有地址之间的冲突,这样的方法还为更广泛的连通而支持附加扩展计算机网络2的递增提供,以及克服当前影响现有技术方法的缺陷和限制。
发明内容
在本发明的基础上的解决方 案思想是提供一种方法,其通过由在中间网络上的集中式路由器连接的IP隧道的流水线,使第一计算机网络与没有连接至公共因特网的至少一个第二扩展计算机网络互连,其中,流水线的第一部分是公共因特网上、在安全的中间网络与所述第一计算机网络之间实现的加密IP隧道,而流水线的第二部分是在所述提供商B的所述安全的中间网络与所述第二扩展网络之间实现的非加密IP隧道。根据该解决方案思想,以上的技术问题由一种第一计算机网络与至少一个第二扩展计算机网络连接方法解决,其中该至少第二扩展计算机网络没有连接至因特网,并且不具有到该第一计算机网络的路由选择通路,该方法提供步骤将集中式路由器安装在中间网络,并使集中式路由器关联至一个公共IP地址;通过CPE路由器使该中间网络互连至该至少第二扩展计算机网络,并通过该集中式路由器经由因特网使该中间网络互连至该第一计算机网络;跨接该中间网络和因特网,在该至少第二扩展计算机网络与该第一计算机网络之间实现IP隧道,其中该IP隧道实现为跨接该中间网络的第一内部非加密IP隧道和跨接因特网的第二外部加密IP隧道。优选地,通过例如GRE的标准协议实现IP隧道的第一部分,允许提供商B检查所述中间网络内的所述网络通信量,并且,通过例如IPSec的另一标准协议确保IP隧道的第二部分,保护来自所述第三方检测的所述通讯。优选地,通过对应的非加密IP隧道的第一部分和加密IP隧道的第二部分,在用于支持第一计算机网络与相应的多个扩展计算机网络之间的多个连接的中间网络内的集中式路由器中,需要设定单独的一个公共IP地址。优选地,本发明的方法解决了当单独的部分之间的网络集成一即分别具有其自身的私有网络管理的、第一计算机网络、至少第二扩展计算机网络与中间网络部分之间的网络集成时出现的技术和政治问题。本发明的另外的优点和实施例,在以下的说明中详细说明。但仅出于例证目的,并没有限制本发明的保护范围。
图I示意性地表示根据现有技术,通过中间网络连接的第一计算机网络和第二扩展计算机网络的方法。图2示意性地表示根据本发明,通过中间网络连接的第一计算机网络和第二扩展计算机网络的方法。图2a以不同的视图示意性地表示通过图2的中间网络而连接的第一计算机网络和第二扩展计算机网络。
具体实施方式
参考图2,示意性地表示了用于使第一计算机网络1(连通用户公司网络,Connectivity user corporate network)与至少一个第二扩展计算机网络2 (连通用户扩展公司网络,Connectivity user extended corporate network)连接的方法,该至少一个第二扩展计算机网络2没有连接至因 特网3(公共因特网,Public internet)和所述第一计算机网络I。更具体地,该方法提供经由CPE路由器9使中间网络5 (连通提供商公司网络,Connectivity provider corporate network)互连至所述至少第二扩展计算机网络2,并经由因特网3使中间网络5互连至第一计算机网络I。第一计算机网络I与中间网络5,通过因特网3,并经由具有公共IP地址IPl的POP (Point of Presence,入网点)路由器10而连接。在不限制本发明的保护范围并且仅为了例证目的的情况下,第一计算机网络I与第二扩展计算机网络2可分别是用户A的连通公司网络和用户k'的外部连通公司网络,A与A'属于例如具有相同的法人实体的相同的或关联的公司,并且由于该至少第二扩展网络2没有提供到因特网3的连接,所以A与A'的网络不能直接连接,它们也不能经由通过因特网3的IP隧道虚拟地连接。参考以上的示例,中间网络5可以是属于不合法地连接至公司A或A'的第三方的提供商B的连通公司网络5,其连接至因特网3并可通过到该至少第二扩展网络2的直接的路由选择通路提供到该至少第二扩展网络2的连通,以支持用户A的连通公司网络与用户k'的相应扩展连通公司网络之间的IP隧道。当然,以上参考用户k、k'和提供商B给出的示例不是限制性的,并且所述第一计算机网络I、所述第二扩展计算机网络2和所述中间网络5可全部属于相同的法人实体,或全部属于完全不同的法人实体,所述完全不同的法人实体根据基本上与图2所表示的网络拓扑的不同的网络拓扑,需要一个法人实体到其他法人实体的连通。根据本发明,该方法提供以下阶段将集中式路由器8 (concentration router)安装在所述中间网络5内,并使所述集中式路由器8关联至公共IP地址IP2 ;经由CPE路由器9 (CPE router)使所述中间网络5互连至所述至少第二扩展计算机网络2,并通过所述集中式路由器8经由因特网3使所述中间网络5互连至所述第一计算机网络I ;跨接所述中间网络5和因特网3、在所述至少第二扩展计算机网络2与所述第一计算机网络I之间、实现IP隧道7,其中所述IP隧道7包括跨接因特网3的第一外部加密IP隧道7a(外部隧道,External tunnel)和跨接中间网络5的第二内部非加密IP隧道7b (内部隧道,Internal tunnel)。所述第二内部非加密IP隧道7b的实现包括配置所述集中式路由器8,和配置使每个第二扩展计算机网络2连接至所述中间网络5的CPE路由器9。所述第一内部加密IP隧道7a的实现包括配置集中式路由器8和POP路由器10。更具体地,POP路由器10的配置包括将如下项存储在POP路由器10的路由选择表IOr中的步骤集中式路由器8的所述至少一个公共地址IP2 ;
多个私有IP地址,也被指示成外部右地址,在承载于IP隧道流水线7内、从所述第二扩展计算机网络2的宿主到所述第一计算机网络I产生的通信量中,被用作目的地址;
多个私有IP地址,也被指示成外部左地址,被分配给所述第二扩展计算机网络2的宿主。从以下的说明显而易见根据本发明的方法,为了避免所述多个外部左地址和所述多个外部右地址以及由提供商B分配给在所述中间网络5上的所述集中式路由器8和CPE路由器9的所述多个地址之间的冲突,在提供商B定义所述中间网络5的所有私有IP地址之后选择所述多个外部左地址,所述中间网络5的所述所有私有IP地址包括集中式路由器8的私有IP地址和CPE路由器9的外部私有IP地址。优选地,外部左地址由网络集成提供商(network integrator provider)定义,该网络集成提供商负责集成所述第一计算机网络与所述第二扩展计算机网络,以实现所述IP隧道7a和7b。POP路由器10 (POP router),向集中式路由器8及在第一外部加密IP隧道7a内,路由从所述第一计算机网络I到所述第二扩展计算机网络2产生的所有通信;并且,该POP路由器10,向第一计算机网络1,路由从所述集中式路由器8接收并从所述第二扩展计算机网络2产生的所有通信。所述集中式路由器8的配置,包括将如下项存储在所述集中式路由器8的路由选择表8r中的步骤连接至所述中间网络5的每个CPE路由器9的私有IP地址,每个CPE路由器9的所述私有IP地址均在所述第二扩展计算机网络2的外部;所述POP路由器10的公共IP地址IPl ;多个私有IP地址,也被指示成外部虚拟右地址,在它们于所述IP隧道7a和7b内通过的同时被替代成上述多个外部右地址;更具体地,上述多个外部右地址的替代,通过由CPE路由器9实施和由POP路由器10反向实施的NAT转换执行,并且反之亦然;多个私有IP地址,也被指示成内部左地址,被分配给在第二扩展计算机网络2内的第二扩展计算机网络2的宿主,用于为IP隧道流水线7产生的通信量。根据本发明的方法,为了避免所述多个外部虚拟右地址与所述CPE路由器9的所述多个外部私有IP地址之间的冲突,在提供商B定义所述中间网络5的所有私有IP地址之后选择所述多个外部虚拟右地址,所述所有私有IP地址包括所述集中式路由器8的所述私有IP地址和所述CPE路由器9的所述外部私有IP地址。优选地,外部虚拟右地址还由网络集成商提供商限定。所述集中式路由器8,向所述POP路由器10,路由从所述第二扩展计算机网络2到所述第一计算机网络I产生的所有通信量,并且,该集中式路由器8,向所述CPE路由器9,路由从所述POP路由器10接收并从所述第一计算机网络I产生的所有通信量。CPE路由器9的配置,包括将如下项存储在CPE路由器9的路由选择表9r中的步骤所述集中式路由器8的私有IP地址,所述集中式路由器8的所述私有IP地址在所述中间网络5的内部;所述多个虚拟右地址;在本地网络内、即在所述第二扩展计算机网络2内,要分配给所述第二扩展计算机网络2的宿主的多个本地左地址、即多个私有IP地址;
在该情况下,根据本发明的方法,通过在提供商B已定义所述中间网络5的所有私有IP地址之后选择所述多个外部虚拟右地址,来避免所述多个外部虚拟右地址与所述集中式路由器8的所述多个内部私有IP地址之间的冲突,所述所有私有IP地址包括集中式路由器8的私有IP地址和CPE路由器9的外部私有IP地址。同样在该情况下,所述多个外部虚拟右地址由网络集成提供商定义 。换句话说,本发明的方法通过执行以下叙述的步骤有利地避免多个私有IP地址的冲突I)收集由所述提供商B分配给所述中间网络5的所述多个私有IP地址,包括所述集中式路由器8的所述内部私有IP地址和所述(多个)CPE路由器9的所述多个外部私有IP地址;2)优选地,由所述网络集成商的一方,选择与所述集成路由器8的所述内部私有IP地址和所述CPE路由器9的所述多个外部私有IP地址不冲突的外部虚拟右地址;3)定义要在所述CPE路由器9和POP路由器10上配置的所述外部虚拟右地址与所述外部右地址之间的关联或映射;4)选择不与分配给在中间网络5上的所述集中式路由器8和所述CPE路由器9的所述外部右地址和所述多个IP地址冲突的多个左地址。在上述步骤1-4之后,可执行另一步骤5,以伪装所述集中式路由器9的所述内部私有IP地址和所述CPE路由器9的所述多个外部私有IP地址。有利地,在不需要网络集成商将路由安装至中间网络5在其路由器上的多个IP地址的情况下,和在不需要中间网络5将路由安装至网络集成商监测系统的情况下,为了允许监测和管理来自网络集成商的上述装置而执行步骤5。执行步骤5,以优选地由集成提供商的一方分配多个私有IP地址,也被指示成管理地址(mgmtaddresses)。此外,选择所述多个管理地址,以避免与所述集中式路由器8与所述CPE路由器9的所述多个外部私有IP地址的冲突。下面,参考图2a,描述本发明的方法的执行的示例,配置了 要连接的给定POP路由器10、集中式路由器8、CPE路由器9、以及所述网络1、2、3的相应IP子网,且指示何时和由谁(提供商B或者集成提供商)配置这样的装置。评定分配给所述第一计算机网络I的所述IP子网。如图2a中示意性地表示地,所述第一计算机网络I的宿主配置有,已由例如具有多个私有IP地址10. 50. 55. 2、10. 50. 44. 2、10. 50. 19. 3的对应网络管理者分配的IP子网10. 50. 0. 0/16。以上被指示成所述集中式路由器8的内部私有IP地址的具有相应IP子网的所述私有IP地址,被分配给在所述中间网络5内的所述集中式路由器8,用于实现例如具有与分配给所述第一计算机网络I的所述IP子网10. 50. 0. 0/16不同的子网192. 168. 30. 2/24的所述第二内部非加密IP隧道7b的终点。所述集中式路由器8的所述内部私有IP地址,由所述中间网络5的所述提供商B分配,并且在所述网络集成商为实现所述IP隧道选择所述多个私有IP地址之前分配。有利地,在没冲突风险的情况下,由于所述提供商B没有将任何私有IP地址分配给所述集中式路由器8,所以不会对所述提供商B施加约束。
如果在所述集中式路由器8的外部地址与对应的公共IP地址IP2之间施加NAT、例如从192. 168. 31. 2/24转换成所述公共IP地址IP21. 2. 3. 4,则也由所述提供商B分配所述集中式路由器的所述外部地址。
与所述第二内部非加密IP隧道7b的另一终点对应,所述提供商B还为在所述中间网络5内的每个(或多个)CPE路由器9选择(多个)私有IP地址,所述(多个)私有IP地址也被指示成(多个)CPE路由器9的外部私有地址。例如,对于对应的第二扩展计算机网络2考虑两个CPE路由器,分配具有与分别分配给所述第一计算机网络I和分配给所述集中式路由器9的所述内部地址的IP子网10. 50. 0. 0/16,192. 168. 30. 2/24不同的IP子网 192. 168. 44. 2/24、192. 168. 45. 2/24 的 IP。此外,所述提供商B还分配要用于设定在所述CPE路由器9和所述集中式路由器8上的所述内部隧道接口的IP子网、即192. 168. 99. 0/30、192. 168. 99. 4/30。因此,需要为所述提供商B实现IP隧穿的所有配置,基本上可由所述提供商B本身选择并决定,这不受预期避免与其他网络1、2的冲突的限制或规则约束。根据本发明的方法,只有在所述提供商B选择并指定以上的配置之后,才优选地由单独的一方、即所述网络集成提供商建立以下的多个IP地址。网络集成商还分配与由所述提供商B指定的多个私有IP地址、即CPE路由器9的多个IP地址对应的多个管理地址,以伪装这样的多个私有IP地址。在所述提供商B的上述多个IP地址选择之后,由所述网络集成商分配所述多个管理地址。下面叙述这一分配多个管理地址以伪装CPE路由器9的多个外部私有地址的步骤的示例192. 168. 22. I — 192. 168. 44. 2192. 168. 22. 2 ^ 192. 168. 45. 2例如,考虑两个扩展计算机网络2 10. 2. 2. 0/29和10. 2. 2. 8/29,也称作内部左地址的多个私有IP地址,由所述网络集成商分配给所述第二扩展计算机网络2上的宿主。网络集成商还分配也称作外部右地址的多个私有IP地址,所述多个私有IP地址在从所述第二扩展计算机网络2的所述宿主产生的通信量中用作目的地址,包括所述第一计算机网络I的多个IP地址、10. 50. 0. 0/16。这些地址最后包括由所述网络集成提供商用于监测网络操作或其他服务的服务器的多个IP地址、例如IP地址192. 168. 20. 0/24。参考图2a,所述多个右地址用10. 50. 0. 0/16和192. 168. 20. 0/24指示,所述多个左地址用10. 2. 2.
/29指示,而所述多个管理地址用192. 168. 22. x指示。多个私有IP地址由所述网络集成商分配,在所述提供商B分配上述多个私有IP地址之后。所述多个私有IP地址,也被指示成外部虚拟右地址,在它们通过IP隧道7a和7b的同时被替代成所述多个右地址。下面叙述从所述第二扩展计算机网络通过所述IP隧道流水线7到所述第一计算机网络的多个IP地址的示例。10. 50. 0. 0/16 — 10. 90. 0. 0/16 — 10. 50. 0. 0/16192. 168. 20. 0/24 — 10. 91. 0. 0/24 — 192. 168. 20. 0/24下面,根据本发明的方面,将简要描述由CPE路由器9、POP路由器10和集中式路由器8提供以输送网络通信量的网络地址转换。所述多个外部右地址,借助于CPE路由器9和POP路由器10上的源和目的NAT配置,在它们横过IP隧道7的同时,被转换成所述多个外部虚拟右地址。更具体地,当网络通信量横过所述IP隧道7时,根据本发明的方法,包括执行在所述CPE路由器9和所述POP路由器10上的源和目的NAT配置,以将所述多个外部右地址转换成所述多个外部虚拟右地 址。所述CPE路由器9上的源和目的NAT配置,与所述POP路由器10上的源和目的NAT配置方向相反,并且反之亦然。更具体地,当网络通信量离开IP隧道7时,本发明提供的方法包括执行所述POP路由器10上的源和目的NAT配置、提供将所述多个外部虚拟右地址转换成所述多个外部右地址的逆向转换。来自所述网络集成商的管理通信量,可借助于所述集中式路由器8上的目的NAT配置利用的不同的多个地址(即管理地址),达到所述CPE路由器9的多个外部私有IP地址,从而避免在所述POP路由器10中将多个路由安装至所述中间网络5的需求。更具体地,方法提供执行集中式路由器8上的目的NAT配置,包括对管理地址的定义、由所述网络集成商产生并直接到达所述CPE路由器9的网络通信量编址为所述多个管理地址。所述多个管理地址与所述CPE路由器9的所述多个外部私有IP地址不同,以避免在所述POP路由器10中将多个路由安装至所述中间网络5。所述网络集成商连接至所述第一计算机网络1,以管理所述通信量。由所述网络集成商产生的所述网络通信量,借助于所述集中式路由器8上的源NAT配置、在源地址转换成所述集中式路由器8的内部私有地址的情况下,达到所述CPE路由器9的多个外部私有IP地址,从而避免在中间网络5的路由器中将路由安装至集成提供商的管理系统的需求。更具体地,方法包括执行集中式路由器8上的源NAT配置,包括由网络集成商将于CPE路由器9产生的通信量的源地址转换为集中式路由器8的内部私有地址,以避免在中间网络5的路由器中将路由安装至集成提供商。根据本发明的一方面,通过例如GRE的标准协议实现所述IP隧道的第一部分7a,允许所述提供商B检查所述中间网络内的所述网络通信量,并且,通过例如IPSec的另一标准协议确保所述IP隧道的第二部分7b,保护来自第三方检测的所述通讯。有利地,根据本发明的方法,从网络体系结构、拓扑和逻辑配置的角度,对中间网络5施加最低限度的要求,并避免所述中间网络与所述第一计算机网络和第二扩展计算机网络的多个私有因特网IPv4地址(RFC1918)之间的冲突。有利地,所述方法允许所述提供商B检查横过所述中间网络的所述网络通信量,从而遵守所述提供商的安全策略,并且,同时通过策略路由和存取表的手段,确保提供商B的中间网络5与用户A的网络1、2之间的相互隔离,以确保这样的隔离。因此,该方法使得提供商B能够加强由中间网络5承载的通信量的安全和QoS限制。有利地,不管连接至用户A的第一计算机网络I的扩展计算机网络2的数目是多少,该方法在所述提供商B侧只需要一个公共IP地址,可在不增加多个公共IP地址的情况下,允许另外的扩展计算机网络2的递增提供。有利地,根据本发明的方法可适应网络配置的广泛设定,可降低每个方案的设计成本,并需要较少的熟练技术人员来进行与不同的提供商B的协商。
权利要求
1.一种第一计算机网络(I)与至少一个第二扩展计算机网络(2)连接方法,其中所述至少第二扩展计算机网络(2)没有连接至因特网(3),并且不具有到所述第一计算机网络(I)的路由选择通路,所述方法提供步骤 将集中式路由器(8)安装在中间网络(5),并使所述集中式路由器(8)关联至一个公共IP地址; 通过CPE路由器(9)使所述中间网络(5)互连至所述至少第二扩展计算机网络(2),并通过所述集中式路由器(8)经由因特网(3)使所述中间网络(5)互连至所述第一计算机网络⑴; 跨接所述中间网络(5)和因特网(3),在所述至少第二扩展计算机网络(2)与所述第一计算机网络⑴之间实现IP隧道(7),其中所述IP隧道(7)实现为跨接因特网(3)的第一外部加密IP隧道(7a)和跨接所述中间网络(5)的第二内部非加密IP隧道(7b)。
2.根据权利要求I所述的方法,其特征在于,所述第一外部加密IP隧道(7a)的实现,包括在所述中间网络(5)内安装集中式路由器(8)的配置和经由因特网(3)使所述第一计算机网络⑴与所述中间网络(5)互连的POP路由器(10)的配置。
3.根据权利要求2所述的方法,其特征在于,所述第二内部非加密IP隧道(7b)的实现包括进一步配置所述集中式路由器(8)和配置与所述至少第二扩展计算机网络(2)中的每一个一起安装的CPE路由器(9)。
4.根据权利要求2所述的方法,其特征在于,所述POP路由器(10)的所述配置,包括将如下项存储在所述POP路由器(10)的路由选择表(IOr)中 所述集中式路由器(8)的至少一个公共地址; 多个私有IP地址,也被指示成外部右地址,在所述IP隧道(7)内、从所述第二扩展计算机网络(2)的宿主产生的通信量中,被用作目的地址; 多个私有IP地址,也被指示成外部左地址,被分配给所述第二扩展计算机网络(2)的宿主。
5.根据权利要求2所述的方法,其特征在于,所述集中式路由器(8)的配置,包括将如下项存储在所述集中式路由器(8)的路由选择表(Sr)中 在所述中间网络(5)内、所述CPE路由器(9)的一个私有IP地址,也被指示成CPE路由器(9)的外部私有IP地址; 所述POP路由器(10)的一个公共地址; 多个私有IP地址,也被指示成外部虚拟右地址,在从所述第一计算机网络(I)产生的通信量中,被用作目的地址; 多个私有IP地址,也被指示成内部左地址,在所述第二扩展计算机网络(2)内,被分配给所述第二扩展计算机网络(2)的宿主,用于为所述IP隧道流水线(7)产生的通信量。
6.根据权利要求3和5所述的方法,其特征在于,所述CPE路由器(9)的配置,包括将如下项存储在所述CPE路由器(9)的路由选择表(9r)中 所述中间网络(5)内的所述集中式路由器(8)的一个私有地址,所述私有地址也被指示成集中式路由器(8)的私有地址; 所述多个虚拟右地址; 所述多个内部左地址。
7.根据权利要求3-6所述的方法,其特征在于 包括设置阶段,所述设置阶段包括收集所述中间网络(5)的多个私有IP地址、所述集中式路由器⑶和所述CPE路由器(9)的多个私有IP地址的配置的步骤, 并且,在所述POP路由器(10)、集中式路由器⑶和CPE路由器(9)中,选择和配置与所述收集的多个私有IP地址不同的所述多个外部左地址和所述多个外部虚拟右地址,以避免所述中间网络(5)、所述第一计算机网络(I)与所述至少第二扩展计算机网络(2)之间的多个IP地址冲突。
8.根据权利要求7所述的方法,其特征在于,由所述中间网络(5)的管理员,在所述中间网络(5)内,选择所述集中式路由器(8)的所述私有地址和所述CPE路由器(9)的所述多个私有IP地址。
9.根据权利要求8所述的方法,其特征在于,在选择所述多个外部虚拟右地址和所述多个左地址之前,在所述中间网络(5)内,选择所述集中式路由器(8)的所述私有地址和所述CPE路由器(9)的所述多个私有IP地址。
10.根据权利要求4和5所述的方法,其特征在于,包括以下步骤当所述网络通信量横过所述IP隧道⑵时,在所述多个CPE路由器(9)和POP路由器(10)上执行源和目的NAT的配置,以将所述多个外部右地址转换成所述多个外部虚拟右地址。
11.根据权利要求10所述的方法,其特征在于,执行源和目的NAT配置的另一步骤是在所述多个CPE路由器(9)和POP路由器(10)上执行的,以当所述网络通信量离开所述IP隧道(7)时,提供将所述多个外部虚拟右地址转换成所述多个外部右地址的逆向转换。
12.根据权利要求5所述的方法,其特征在于,包括以下步骤在所述集中式路由器(8)上执行目的NAT配置,包括对多个管理地址的定义,由网络集成商将为所述多个CPE路由器(9)产生的网络通信量编址为所述多个管理地址,所述多个管理地址不同于所述多个CPE路由器(9)的多个外部私有IP地址,以避免在所述POP路由器(10)中将多个路由安装至所述中间网络(5)。
13.根据权利要求12所述的方法,其特征在于,所述网络集成商连接至所述第一计算机网络(I)。
14.根据权利要求13所述的方法,其特征在于,包括以下步骤在所述集中式路由器(8)上执行源NAT配置,包括由所述网络集成商将为所述多个CPE路由器(9)产生的通信量的源地址转换为所述集中式路由器(8)的内部私有地址,以避免在所述中间网络(5)的多个路由器中将多个路由安装至集成提供商。
全文摘要
一种第一计算机网络(1)与至少一个第二扩展计算机网络(2)连接方法,其中所述至少第二扩展计算机网络(2)没有连接至因特网(3),并且不具有到所述第一计算机网络(1)的路由选择通路,该方法提供步骤将集中式路由器(8)安装在中间网络(5)内,并使所述集中式路由器(8)关联至一个公共IP地址;通过CPE路由器(9)使所述中间网络(5)互连至所述至少第二扩展计算机网络(2),并通过所述集中式路由器(8)经由因特网(3)使所述中间网络(5)互连至所述第一计算机网络(1);跨接所述的直接的中间网络(5)和因特网(3)在至少第二扩展计算机网络(2)与所述第一计算机网络(1)之间实现IP隧道(7),其中所述IP隧道(7)实现为跨接因特网(3)的第一外部加密IP隧道(7a)和跨接中间网络(5)的第二内部非加密IP隧道(7b)。
文档编号H04L29/06GK102714651SQ200980160291
公开日2012年10月3日 申请日期2009年7月1日 优先权日2009年7月1日
发明者凯文·奥尔, 卡洛·费代里科·博尔基尼, 史汀生·麦克尔希尼, 米格尔·埃斯图皮尼安, 马尔科·阿戈斯塔尼, 马泰奥·瓦尔萨纳 申请人:太阳涡轮股份有限公司