[发明专利]用于中心管理站自动分发配置信息到远程装置的各种方法和设备

说明书

相关申请

本申请要求2007年10月24日提交的名为“提供虚拟IP地址以自动访问远程网络装置的工具”的美国专利申请序列号60/982388的权益。

版权通知

该专利文件的公开的一部分包含受版权保护的材料。版权所有者不反对由软件引擎和它的模块中的任何一个进行影印复制为如它在专利及商标局专利文档或记录中出现的那样，但另外无论如何保留全部版权。

技术领域

本发明的实施例大体上涉及网络装置。更具体地，本发明的实施例的方面涉及用于自动分发配置信息到远程装置的中心管理站。

背景技术

互联网是网络的大型集合，它们共同使用TCP/IP协议套(protocolsuite)以允许在一个网络上的装置自动与可能在相同或远程网络上的其他装置通信。对于每个活动网络接口给每个这样的装置指派IP地址，这允许网络基础设施部件在目标装置之间自动路由业务流(traffic)。

给每个这样的网络接口指派整个互联网上唯一的IP地址是一般要求，然而已经保留若干块IP地址以供接口上使用(不需要使其在本地网络外面是可用的)。这样的专用地址也称为“不可路由”地址，因为建立路由(即，通过一组网络基础设施装置的路径)使得来自本地网络上的装置的业务流可到达远程网络上具有不可路由地址的网络接口是不可能的。由于互联网增长，该技术已经允许专用地址的重复再次使用，其帮助缓解公共可访问的IP地址的不断增长的短缺，但它也导致更大的复杂性，因为管理员寻找备选机制以在没有可路由地址的情况下提供对远程装置的访问。

由于互联网增长和安全威胁增加，网络管理员也试图在他们的管理控制下通过开发和部署网络过滤装置或应用程序(其允许网络管理员指定依照要求批准或拒绝访问的具体地址和端口组合)限制对具体装置的访问。这两个技术一起帮助确保互联网的增长和稳定性，但以大大增加的复杂性以及管理员希望提供对在他们的管理控制外面的网络上的联网装置的无缝访问为代价。

解决该问题的一个现存的机制涉及在本地联网装置上安装专用客户端软件，其将允许它起“虚拟专用网络”(VPN)的一部分的作用，其中本地装置被允许担当如同它是远程网络的成员那样。当使用这样的VPN系统时在远程网络上给本地主机指派IP地址并且远程网络上到主机和来自主机的所有业务流由VPN系统自动路由。

该技术达到效果但该方法苦于若干缺陷。VPN系统必须首先由远程网络的管理员建立。一旦这完成，专业化软件必须安装在希望访问的每个外部装置或VPN系统上(如果这没有完成，系统将能够提供仅有限的可访问性，例如通过网络浏览器界面)。另外，适当的安全证书必须由远程管理员产生并且由本地管理员和用户分发和维护，它们所有在对运行的所有方上放置重要的管理责任。作为最终的缺点，一旦本地主机被批准VPN访问，它将一般具有对远程网络上的所有装置的访问权(除非采取附加过滤步骤防止此)，这可能不是远程管理员期望的。

克服不可路由地址的问题的另一个技术是执行所谓的“网络地址转换”(NAT)，其涉及边界路由器的复杂重新配置以自动映射网络地址/端口组合到以及从可路由地址到不可路由地址。该技术确实允许单个公共可路由IP地址的使用以提供对多个具有不可路由地址的装置的访问而仅以增加的系统复杂性为代价。启用NAT的网络一般不允许入局连接(除非映射已经从具体端口/地址组合预先配置到具体装置)，其可能进而与试图使用默认或非标准地址/端口组合的软件冲突。

关于这些技术方案中每个的主要问题是一旦设备在远程位置投入服务则有设置初始配置参数和更新或修改系统设置或参数的挑战。该问题随配置装置的数量增长变得更加严重。

考虑到这些挑战，存在需要一种机制在不使用专用硬件(例如膝上型电脑或本地PC装置)或主机软件并且在远程网络上不要求网络管理员特权以建立、维护或操作该方案的情况下允许对远程装置的简化和自动化配置。

发明内容