專利名稱:互聯專用網絡中的互聯網協議選址的制作方法
技術領域:
本發明一般地涉及聯網。更具體地,本發明涉及一種防止由于家庭網關處局域網的隨機供應(provisioning)所造成的用戶混淆的方法。
技術背景隨著網關、路由器和接入點價格的持續降低以及這些設備的安裝和使 用變得越來越簡單,家庭和小企業網絡的數量越來越多。這些專用網為家 庭和小企業提供具有局域網的種種好處。例如,他們可以很容易地共享文 件,使用電子郵件并擁有互聯網接入。有時希望把兩個或多個這樣的專用網互聯(join)在一起。將兩個或 多個專用網互聯在一起形成一個更大的網絡,并且能夠更加容易地在加入 的計算機之間進行文件共享和其他通信。這種互聯例如可以通過使用虛擬 專用網(VPN)實現。VPN使用諸如互聯網之類的廣域網在專用網之間提 供邏輯連接。例如,可以將家庭網絡互聯到小企業網絡。使用VPN,雇員可以輕易 地從家中存取工作文件,反之亦然。因此,實現VPN有實質性的好處。一般來說,這種VPN完全可以在專用網之間提供雙向通信。RFC-1918討論了專用地址空間的存在。該文獻描述了稱之為網絡地址轉換 (NAT)的一種家庭網關、接入點和路由器所使用的通用技術。NAT的使 用使得網關、接入點和路由器可以為專用網中的設備分配專用或本地互聯 網協議(IP)地址。也就是說,網關、接入點或路由器認為專用網中的計 算機屬于它的管理域,并且根據RFC-1918給它們分配本地IP地址。默認的,由網關、接入點或路由器分配給專用網中計算機的本地IP地 址是提供給網關、接入點或路由器的生產商使用的地址。也就是說,這些 是存儲在網關,接入點或路由器中的本地IP地址,因此可以根據需要將其 分配。因此,可由網關、接入點或路由器的特定模型分配給其他設備的專用 IP地址可能是相同的。有時甚至對于給定廠商的不同模型或類型的產品都 是這樣的。例如,給定廠商的網關和路由器可能分配相同的缺省本地地 址。這會導致專用網存在具有和其他專用網中的計算器相同的本地網絡地 址的計算機。而且,網關、接入點和路由器的缺省本地IP地址本身傾向于標準化。 這種標準化更利于設備的配置和支持。網關、接入點或路由器特定模型的 文件一般參考所述設備的缺省本地IP地址。如果用戶對于網關、接入點或 路由器的安裝或操作請求電話支持,那么支持人員可以在指示用戶或遠程 配置或測試設備時利用這樣的通用缺省本地IP地址。由于在供應時這些網關、接入點和路由器具有通用缺省地址,并且這 些網關、接入點和路由器本身具有相同的本地IP地址,因此可能存在具有 相同內部地址的專用網。實際上,由于對特定模型的網關、接入點或路由器,RFC-1918專用網傾向于實行相同的選址方案,因此兩個專用網中的計算機具有相同的本地IP地址的可能性非常大。這并不一定是個問題。只要網關使用網絡地址轉換(NAT)將它的全 球IP地址借用給它專用網中的計算機,經由網絡的互聯網服務供應商提供 的外部IP選址可以為網絡,最終為網絡中的計算機提供全球唯一的IP地 址。然而當兩個專用網經由VPN互聯時,它們實際上成為一個更大的網 絡。在這種情況下,為了避免將妨礙適當的網絡操作的選址(addressing) 沖突,需要用于互聯網絡中的所有計算機的唯一的地址。不幸的是,RFC-1918 沒有提供這種問題的解決方案,有時在專用網中協調RFC-1918本地 地址空間是不可行的。因此,在有些情況下,為了避免經由VPN互聯的網絡計算機之間的 地址沖突,需要重新配置網關、接入點或路由器。這種重新配置可以通過 手動改變其中一個專用網的網關、接入點或路由器的缺省IP地址(這是缺 省的LAN IP地址或專用網地址,而不是全球IP地址),或者通過改變專 用網計算機的本地地址來完成。因此專用網的本地IP地址將會不同。這種 方式下,可以避免選址沖突。雖然改變其中一個專用網的缺省IP地址不難,但是不方便。而且需要 維護和支持人員留意該變化。實際上,網絡管理者和支持人員一般期望可 將網關、接入點和路由器的供應和控制數據包發送到生產商的缺省RFC-1918本地IP地址。改變設備的本地IP地址意味著,為了供應它,用戶在接入設備時可能存在問題。網關、接入點或路由器的諸如配置之類的任何 選址,隨后必須使用新的IP地址執行。因此,并非總是希望改變網關、接 入點或路由器的專用IP地址。綜上所述,需要提供一種例如經由VPN將兩個專用網互聯的方法, 所述方法不需要人們為了防止選址沖突而改變網關、接入點、路由器,或 類似物的IP地址。
圖l是示出根據本發明示范性實施例的,例如經由使用互聯網的VPN 互聯在一起的兩個專用網的框圖。圖2是示出根據本發明一個實施例的,在互聯的專用網中緩解選址沖 突的方法的示范性實施例的流程圖。通過參考以下的詳細說明,可以很好地理解本發明實施例和它們的優 點。應該認識到,附圖中類似的標號用于指示在一個或多個附圖中所闡述 的類似元件。
具體實施方式
本發明公開了在互聯的專用網絡中緩解選址沖突的系統和方法。例如 當將另一個網絡安排為與一個網絡進行通信時,可以通過自動更改該一個 網絡的網關、接入點、路由器或其他設備的地址從而緩解虛擬專用網 (VPN)中的互聯網協議(IP)選址沖突。網絡地址范圍也可以從缺省的 RFC-1918地址空間改變到不同的RFC-1918地址空間。然后可以用目標網 絡地址轉換過濾器(DNAT)將專用網發起的諸如http和https數據包之類 的數據包指向網關的新地址。在這種方式下,能夠在互聯的網絡中防止模
糊(ambiguous)選址。圖1示出可以互聯從而形成較大的單個網絡的第一專用網18和第二 專用網19。第一專用網18例如可以包括安全網關11和多個計算機12-14。第二專用網19例如可包括網絡地址轉換(NAT)路由器15,另一個 路由器16和至少一臺計算機17。第一專用網18和/或第二專用網19可包 括諸如服務器、客戶計算機、交換機、路由器、接入點、網關、集線器、 網橋、打印機、掃描儀,以及獨立的存儲設備之類的多種附加設備。第一專用網18可以經由使用諸如互聯網IO之類的廣域網(WAN)定 義的VPN互聯到第二專用網19。然而,如上所述,兩個專用網之間的這 種互連(interconnection)存在潛在的IP選址沖突。例如當兩個網關、接 入點、路由器,或類似物由同一個生產商制造,從而方便它們各自專用網 的互連時,可能發生IP選址沖突。當一個專用網上的計算機(RoadWarrior)嘗試對另一個專用網建立 VPN時,最可能發生沖突。在這種情況下,當兩個NAT路由器是由同一 個公司制造并且其中一個作為安全網關以方便VPN的互連時,有可能發 生沖突。本領域的技術人員應理解,專用網可以經由諸如網關、接入點和路由 器之類的各種設備連接到廣域網(WLAN)。本文中使用的術語網關,可 以包含所有這樣的設備。因此術語網關僅僅是示范性的,而不是限定性 的。由于IP地址通常是由生產商分配的缺省地址,所以這些專用網的網關 可以具有相同的本地IP地址。而且,網關可以把相同的本地IP地址分配 給其各自的專用網中的計算機。第一專用網18的安全網關11具有全球IP地址,通過這個全球IP地 址,它可以通過互聯網10接入。它也可以具有192.168丄1的本地IP地址 和它關聯的專用網,該專用網包括的計算機12-14可以具有192.168丄0到 192.168.1.24之間的本地IP地址。同樣的,第二專用網19的NAT路由器15具有全球IP地址。它也可 以具有192.168丄0禾n 192.168丄24之間的本地地址,并且可以把該范圍以
內的剩余地址分配給第二專用網19上的其他設備(如路由器16)。當第一專用網18和第二專用網19通過VPN互聯時,可能會發生選址 沖突。在這種情況下,192.168丄0到192.168丄24的地址范圍在第一專用 網18和第二專用網19上都可用。因此,有可能在VPN上的選址至少會有一些重疊。這種沖突的RFC-1918地址空間問題一般發生在試圖使用具有相同的 缺省本地IP地址或可分配地址范圍的網關或路由器互聯兩個或多個專用網 時。在上面的實例中,當一個RFC-1918地址空間中的主機在VPN中經由 安全網關11互聯到另一個相似的RFC-1918地址空間中的主機時,會發生 這種情況。在這種情況下,對于安全網關11和/或計算機12-14, NAT路 由器15和/或路由器16具有沖突的地址空間。本發明的一個或多個方面為這個問題提供兩部分的解決方案。第一部 分,緩解此類沖突的時機(opportunities)。第二部分,緩解由于解決方案 的第一部分的實現方式導致的用戶混淆。根據本發明的一個實施例,當第二網絡19與第一網絡18通信時,第 一網絡18的地址將自動改變。VPN建立之前可以分配隨機的RFC-1918地 址。這可能發生在首次將網關安裝到網絡中時,即首次購買了網關并帶到 家中時,或者執行VPN的首次供應時。對于以后的VPN供應不需要改變 專用地址空間,因為對于之后使用的所有其他專用VPN而言,RFC-1918 地址的隨機選擇首次總的消除了沖突。 一旦RFC-1918網絡改變了,并且 都給該專用網中的所有主機重新分配了新RFC-1918地址空間中的IP地 址,那么專用IP地址沖突的可能性較小。當通信指向設備的舊地址時,將 這些指向改變了地址的設備的通信重新指向新地址。例如安全網關11的管理者可以供應安全網關11從而使得路由器16例 如經由在第一網絡18和第二網絡19之間形成的VPN互聯到第一網絡 18。為了防止IP選址沖突,可以改變第一網絡18的LAN地址空間,如改 變到10.x.x.x/8。也就是說,改變第一網絡18的計算機12-14禾口/或安全網 關11的IP地址,從而它們與第二網絡19的任何設備的地址不沖突。這些 地址改變可以自動執行。 應該注意到上面提到了地址空間10.X.X.X/8,這是因為它是最大的專用地址空間。然而,lO.x.x.x/8的使用僅僅是示范性的,而不是限定性的。本領域的技術人員會認識到同樣可以使用各種其他的專用地址空間。實際上,任何隨機RFC-191S專用地址空間一般都可以使用。根據本發明的一個方面,檢測到地址改變并實現目標NAT (DNAT) 過濾從而將指向原IP地址的http (端口 80或8080)和https (端口 443) 的數據包重新指向新的IP地址。重新定向的數據包具有目標端口 80或 443。源IP地址來自專用網中的主機,而目標IP地址是網關的缺省IP地 址。將目標NAT過濾實現為運行系統的一部分或者是運行系統的附加部 分。 一般來說,它是使用檢查來/去數據包的包過濾器實現的。當發現滿足 某些標準的數據包(這種情況下,目標地址是到缺省的IP地址或者是相 應的返回數據包)時,則包過濾器代碼執行目標NAT過濾。這是一個普 及的功能。如果安全網關11的地址改變了,那么與安全網關11的圖形用戶界面 (GUI)的通信同樣也重新定向了,從而可以使用缺省的本地IP地址完成 與GUI的通信。因此,將指向安全網關11的生產商缺省RFC-1918地址的 控制層數據重新指向安全網關11的新地址。在這種方式下,用戶不需要 留意地址變化并且避免了用戶混淆。也就是說,即使考慮到安全網關11 的本地IP地址已經改變,諸如網絡管理者之類的用戶可以繼續使用它們曾 經使用的地址與安全網關11的GUI通信。因此,為了接入安全網關ll執 行諸如配置之類的日常任務時,不需要用戶記住新的, 一般來說是隨機的 本地IP地址。因此,本發明的一個或多個方面緩解了 IP選址沖突發生的可能性,而 同時允許用戶以相同的方式與網關通信,所述相同的方式即使用生產商的 設備文件中描述的相同的本地IP地址。一般來說,哪個專用網稱之為第一專用網哪個專用網稱之為第二專用 網并不重要。因此,例如,同樣的可以改變第二網絡的地址以緩解沖突。 而且,實踐本發明并不限于將兩個專用網互聯以形成一個較大的網絡。相
反,可以將任意所需數目的專用網如此互聯,并且這些專用網的任何所需 數目的地址都可以根據本發明的一個或多個方面進行改變。
用VPN將專用網互聯僅僅是示范性的,而不是限定性的。因此,可 以通過根據本發明的任意所需方法將專用網互聯。
因此,本發明的一個或多個方面提供以不需要人改變網關、接入點、路由器,或類似物的IP地址的方式,例如通過VPN將包含兩個或多個相同選址的專用網的隨機網絡互聯的方法。用戶仍然可以使用由用于供應的 生產商分配的缺省IP地址連接到設備。
認識到何時網絡IP地址改變了是很重要的。 一般來說,網關將作為專用網的DHCP服務器,并且它將從生產商缺省使用的專用地址空間分配IP 地址。這表明一旦網絡中的每一臺計算機獲得IP地址,它將繼續使用該 IP地址,只要地址的租期(lease)仍在持續(一般是1天或更長)。由于 本發明試圖消除地址空間的沖突,所以專用網空間的實際變化必須在與 VPN的通信開始前發生,從而當每個主機更新它的DHCP供應的IP地址 時,它會接收到新地址空間中的新地址。當把新的網關帶回家并首次啟動 時執行這個過程。然而這種網絡空間再分配或者也可以發生在供應第一個 VPN時。或者,這個過程可以當檢測到沖突或當通信首次開始時執行。然 而,這需要協議或過程重新將為作為專用網一部分的所有主機供應專用IP 地址空間。
上述實施例闡述了,而不是限定了本發明。還應認識到可以根據本發 明的原理做出多種修改和變形。相應的,本發明的范圍僅由以下的權利要 求定義。
權利要求
1.一種在網絡中緩解沖突的方法,所述方法包括當將第二網絡安排為與第一網絡通信時,自動改變所述第一網絡的地址。
2. 如權利要求1所述的方法,其中改變所述第一網絡的地址包括在網關首次啟動時,改變專用地址空間。
3. 如權利要求1所述的方法,其中改變所述第一網絡的地址包括當首 次供應VPN時,改變專用地址空間。
4. 如權利要求1所述的方法,還包括將與改變了地址的設備的通信重 新定向,從而將指向所述設備的舊地址的通信指向所述設備的新地址。
5. 如權利要求1所述的方法,還包括 檢測所述第一網絡的互聯網協議地址的改變;以及 建立目標網絡地址轉換過濾器,從而將http和https數據包重新指向新地址。
6. 如權利要求1所述的方法,其中改變所述第一網絡的地址包括改變 其安全網關的地址。
7. 如權利要求1所述的方法,其中通過使用虛擬專用網將所述第二網 絡安排為與所述第一網絡通信。
8. 如權利要求1所述的方法,其中將所述第一網絡的地址改變為地址 空間10.x.x.x/8中的隨機地址。
9. 如權利要求1所述的方法,還包括 檢測所述第一網絡的地址的改變;以及建立目標網絡地址轉換過濾器,從而將通信重新指向新地址。
10. 如權利要求1所述的方法,其中用戶可以使用所述第一網絡的未 改變的地址與其網關通信。
11. 如權利要求1所述的方法,其中將指向生產商缺省地址的控制層 數據重新指向網關、接入點或路由器目前的地址。
12. —種網絡設備,包括 用于輔助與網絡通信的至少一個端口;以及電路,配置所述電路用于與第一網絡通信,并且當將第二網絡安排為 與所述第一網絡通信時,通過自動改變所述第一網絡的地址來緩解沖突。
13. 如權利要求12所述的網絡設備,其中改變所述第一網絡的地址包 括在網關首次啟動時改變專用地址空間。
14. 如權利要求12所述的網絡設備,其中改變所述第一網絡的地址包 括當首次供應VPN時,改變專用地址空間。
15. 如權利要求12所述的網絡設備,其中配置所述電路還用于將與改 變了地址的設備的通信重新定向,從而將指向所述設備的舊地址的通信指 向所述設備的新地址。
16. 如權利要求12所述的網絡設備,其中配置所述電路還用于 檢測所述第一網絡的互聯網協議地址的改變;以及 建立目標網絡地址轉換過濾器,從而將http和https數據包重新指向新地址。
17. 如權利要求12所述的網絡設備,其中改變所述第一網絡的地址包 括改變其安全網關的地址。
18. 如權利要求12所述的網絡設備,其中通過使用虛擬專用網將所述 第二網絡安排為與所述第一網絡通信。
19. 如權利要求12所述的網絡設備,其中將所述第一網絡的地址改變 為地址空間10.x.x.x/8中的隨機地址。
20. 如權利要求12所述的網絡設備,其中配置所述電路還用于 檢測所述第一網絡的地址的改變;以及建立目標網絡地址轉換過濾器,從而將通信重新指向新地址。
21. 如權利要求12所述的網絡設備,其中用戶可以使用所述第一網絡 未改變的地址與其網關通信。
22. 如權利要求12所述的網絡設備,其中配置所述電路使得指向生產 商缺省地址的控制層數據重新指向網關、接入點或路由器目前的地址。
23. —種網絡設備,包括 與網絡通信的裝置;以及當將第二網絡安排為與所述網絡通信時,通過自動改變所述網絡的地 址來緩解沖突的裝置。
全文摘要
本發明公開了在互聯的網絡中緩解選址沖突的系統和方法。例如當將另一個網絡安排為與一個網絡進行通信時,可以通過自動更改所述一個網絡網關的地址以緩解虛擬專用網(VPN)中的互聯網協議(IP)選址沖突。目標網絡地址轉換(DNAT)過濾器可以用于將數據包指向網關的新地址。
文檔編號H04L12/56GK101133612SQ200680006468
公開日2008年2月27日 申請日期2006年3月28日 優先權日2005年4月5日
發明者馬克·恩賴特 申請人:思科技術公司