专利名称:自动化网络设备配置和网络部署的制作方法
自动化网络设备配置和网络部署关联申请的交叉引用
本申请是2006年5月19日提交的编号11/437,582的美国专利申请的部分继续申请,该美国专利申请被引用并入本申请。本申请和于2006年5月19日提交的编号11/437,537 ;11/437, 538和11/437,387的未决美国专利申请相关,这些美围专利申请也被引用并入本申请。
背景技术:
此前,对一个或一批网络设备,如有线或无线网络交换机及可直接或间接地与该网络交换机连接或耦合的一个或多个接入点设备和其它设备和/或子系统的配置, 已经使网络管理员面临经济和智慧上的挑战。在网络扩展到世界范围,特别是在总部员工, 管理系统,和负责初始网络配置、网络配置变更、和/或网络扩展的网络管理员处于不同时区、讲不同语言、或被广域网(WAN)(如互联网)与本地网络管理员分隔时,这些挑战就会愈发明显。
虽然配置网络设备对于经训练的网络管理员并不特别困难,这可能需要对网络设备的特性、网络配置和/或网络软件有一定了解,还经常需要有为不能下作的设备或网络诊断、排除故障的能力,例如,当有两台网络设备因最初的未知原因而具有相同或相冲突的IP地址。
在有些情况下,网络管理员可能会作为未经技术训练的外行人如工厂或仓库楼层上的工人、办公室管理员或其它非技术人员的顾问,通过在电话上谈话并可能借助计算机链路来配置网络设备,但是如果为好几个甚至几十几百个设备这样做在管理上将过于费时和昂贵,而不切实际。
已尝试的另一方案是在将网络设备装运到它们将工作的远程位置之前,在网络管理员常驻的场所对该网络设备进行预先的配置。这在有些时候被称为设备或网络的发动或部分发动。
已尝试的另一方案是用需要的配置信息来在制造地点对设备进行预先配置,再将其直接装运到远程场所用于安装。然而,这要求与定制每台设备有关的专业技术和更高的费用,且无法解决对始于(或止于)经配置的设备的设备树中的其他设备作进一步配置的问题。因此,此方案仅部分满足静态网络配置的需要。另外,它还带来了安全问题, 因为包含访问该网络所需的任何安全信息的配置信息将在制造时被暴露而易被泄漏。
当需要配置的网络设备是无线网络设备,且设备配置和/或设备与网络使用的协议的不安全通信会使该网络对外部攻击防守薄弱易受损害时,上述及其它问题就变得尤其尖锐。由于上述及其它原因,需要用于配置一个、多个甚至数百个相同或不同的网络设备的简单、可靠而安全的设备、网络架构和方法。
图1描绘了网络设备部署系统的一个例子。
6
图2描绘了请求和接收配置信息的一个例子的流程。
图3描绘了网络设备部署系统的另一例子。
图4中的图例示出了用于使得从管理侧服务器中的存储器获得或由管理侧服务器生成有效配置的一个示例性的管理侧过程并送往远程网络设备的实施例。
图5中的图例示出了用于使得远程网络设备获得并存储有效配置的一个示例性的网络设备侧过程的实施例。
图6描绘了具有与广域无线局域网(WLAN)策略相关联的部分独立的本地网络设备的系统的一个例子。
图7描绘了用于部署部分独立的网络设备的方法的一个例子的流程图。详细说明
本说明公开了为网络设备的自动网络配置提供的安全系统、设备、方法和管理侧和设备侧过程,和计算机程序及计算机程序产品。网络设备可以具有任何形式,例如有线或无线网络交换机、网络接入点或移动接入点、路由器、和/或其它网络设备、子系统等等,或类似的需要或受益于被网络设备或子系统配置来自动配置的设备,但是,为了避免在说明书通篇重复列举或一一列举子系统类型的每个可能的网络设备,将主要就无线网络设备或交换机来描述创新之处的实施例。在某个非限定性实施例中,该网络设备包括自动配置或自我配置的无线网络交换机,例如广域网(WAN)或局域网(LAN)交换机。
本文中描述的技术可以提供这样一种能力,将网络设备如无线网络交换机送到本地或远程场所,允许没有任何特别技能也未经特别训练的人员只需将该设备插入网络连接,例如把以太网线缆插入该设备的机箱或外壳上的插入式连接器(如RJ-45端口连接器)中,在用开关开启或以其它方式提供电源或启动该设备的运行时按下按钮,作为上述动作的结果,使得该设备通过以太网向预先确定的网络服务器发送消息,并反过来接收全部和完整的配置信息或数据集合(或用于扩充已有数据集合的补充数据集合),使该网络设备在网络上运行,而无需与该网络或网络管理员做任何进一步的互动。这种方法可以为任意数量这样的网络设备来重复执行,例如,甚至为几百个网络设备和分别远离中央或总部管理侧服务器的处于不同地理位置的安装场所来重复执行。尽管并不必要,可以将不止一个服务器并入该系统运行和/或配置,或为冗余,或为容量。尽管服务器将被或可能被在此描述为配置服务器,将会理解,配置信息服务功能可以由专门的配置服务器来提供,或由提供各种其它内容、数据和信息服务功能以及该配置信息服务的服务器来提供。
图1为一个系统的一个例子,该系统示出了包括具有网络配置功能的总部或管理侧系统以及一个示例性的网络设备。该网络设备可以是任何可用类型的网络设备或子系统,在此,该网络设备示为802. 11网络上的远程无线网络交换机。
参看图1,其中示出了表示系统102的简化实施例的功能框图。在这个配置中,包括具有设备配置服务器功能的管理服务器106的网络管理系统104可以被耦合到网络设备108,以便经由网络如互联网120通信,其中网络设备108示为第一远程无线网络设备1。系统、服务器和其它设备在此可以称为引擎。如在本文中所用的,引擎包括处理器, 通常还包括固件或由该处理器执行的软件模块。取决于特定于实现或其它考虑,引擎可以是集中式的,或是根据功能分开的。引擎可以包括特别用途的硬件、固件或嵌入在计算机可读介质中供该处理器执行的软件。如在本文中所用的,计算机可读介质包括所有符合法定的介质(例如,在美国,由美国法典第35章第101条规定),并具体排除所有本身不符合法定的介质,其程度使得所述排除对于包括该计算机可读介质的权利要求有效是必要的。已知的符合法定的计算机可读介质包括硬件(例如,寄存器、随机存取存储器(RAM)、非易失性(NV)存储器,举例而言),但可以限于或不限于硬件。硬件计算机可读存储器可以称为 “实体计算机可读介质”。如在本文中使用的,“计算机可读存储介质”是能够以非暂时性方式存储数据的介质,包括易失性和非易失性存储器。
根据下文中提供的描述将会理解,通常,网络可以包括多个网络设备1, 2,…,N,为了简化描述,这里仅示出一个网络设备。还将理解,当有多个网络设备时,这些网络设备可为不同类型,或具有不同的软件版本或特性或功能需求,且可以需要不同的配置信息。在这个实施例中,该远程无线网络设备108为无线网络交换机。此处所示的网络交换机108可以耦合到一个或多个接入点132,这些接入点132本身耦合到一个或多个设备 134、136如笔记本计算机、个人数据助理(PDA)、打印机、或其它网络设备。例如,该管理服务器可以是但不限于由加利福尼亚州普利斯顿的卓思(Trapeze)网络提供的Ringmaster 服务器。
远程无线网络设备108可以包括用于远程设备标识的存储器110,该存储器可以存储一个或多个参数,所述一个或多个参数唯一地或甚至局部地随该网络来标识系统102中的物理或硬件设备。远程无线网络设备108还包括逻辑或处理器112和程序信息,用于或通过新的配置信息或在希望或需要持续维护已经存储在网络设备108中的配置时启动该网络设备108。通常,处理器会包括耦合的内部或外部RAM存储器。提供配置信息的持续性或非易失性存储器126来存储配置信息。持续性存储器用于程序指令和/或其它参数,其中包括例如网络配置信息源的标识,该网络设备从该网络配置信息源处获得其配置。清楚地,如果该网络设备没有预先存储网络配置信息,那么在该设备能在网络上正常工作之前,可能需要该网络设备108加载新的配置信息。
在一个实施例中,网络设备中预先加载的配置信息在网络设备108启动或重置时被保持。无论何时在启动或可选的重置过程中按下按钮116,或由软件设置或在软件内设置可选的自动配置=“启用”状态且该状态在启动前已保存,将触发一系列的事件,其中,该网络设备向网络管理系统104发出一个配置信息(“配置我”)请求122,并接着接收来自该网络管理系统104的被请求的配置信息项或信息集合124。所述启动或模式状态114 提供存储和指示,于是在该网络设备启动时,会进行一个对此状态的问询,从而可以了解对请求新的配置信息或对持续维护旧的配置信息的适当决定。所述状态被存储在存储器中或被其它物理属性如开关,线,或其它物理元件的状态(例如,打开或闭合,高阻抗或低阻抗, 高电压或低电压,等等)所直接指示。该网络设备被编程来根据保存的启动模式状态114 的状态来采用或执行不同的路径并执行不同的启动序列。在至少一个实施例中,该网络设备能够自动运行。
本发明不限于任何特定的配置信息项或配置信息集合。例如,可以仅请求一个配置信息项或请求多个配置信息项。可以将该配置信息称为配置数据集合,该配置数据集合可以理解为单个数据项或多个数据项。配置信息或数据集合可以是完整的,如未经配置的网络设备所需的那样,或是部分的或补充性的,如未完整配置的网络设备所需的或虽完整配置但网络设备中的配置信息需要变更或更新时所需的那样。
上述请求可以包括,举例来说但不限于,设备的互联网协议(IP)地址、设备等级、设备场所、设备地点、网络掩码(netmask)、网络标识、待配置设备类型、软件版本标识、固件版本标识、制造商数据、动态主机配置协议(DHCP)源标识、预配置固定地址标识、 序列标识(SID),以及它们的任意组合。上述软件、固件或设备硬件版本表明服务器或设备能够或可以做的,从而提供基于版本的配置信息,该配置信息主要(但并非排除性地)有助于基于协议的配置,因为不同的版本可能会有在其它版本中不可用或不可运行的不同或高级的特征。在使用基于设备标识的配置时,该设备标识例如设备序列号可提供关于该网络设备的硬件、软件、和固件特性中的任一项或任意组合的明确的信息。
在作为替代方式的实施例或配置中,可以在由网络设备请求继而被发往网络设备的任何特定配置信息或配置数据集合中提供不同的信息或数据。
该配置信息或数据集合应当足以允许客户设备或用户能够以希望的方式连接或访问网络。例如,当所述对网络的访问通过无线连接进行且所述网络设备为无线交换机,该客户设备例如笔记本计算机或其它信息装置将通过无线接入点设备以无线方式访问该网络,该无线接入点设备将通过有线或无线连接或通信链路来与所述网络交换机耦合。在这一示例性的情形下,应提供涉及接入点射频或其它无线电设备(通过在微软 Windows操作系统背景环境下或更普遍地在服务集标识(SSID)背景下由该接入点支持的所谓的网络)的配置信息以及关于人、用户、用户标识、机器标识或其它应被允许或应不被允许通过该网络设备(例如通过该接入点和交换机)连接到该网络的实体的配置信息。
发送到网络交换机的配置信息可以包括通过交换机来与网络通信的一个或多个接入点的配置信息。在另一实施例中,配置信息或数据集合定义了如何配置这些接入点设备。在另一实施例中,该配置信息或数据集合定义了如何验证用户或客户设备。在又一实施例中,该配置信息或数据集合可以定义一个网络设备(如,第一交换机)与另一网络设备(如,第二交换机)或与多个交换机的相互关系。
举例来说,关系可以考虑移动域,移动域是知晓彼此和彼此的远程连接会话(sessions)的交换机的集合。可以为了允许该设备或与该设备连接的其它设备的漫游或物理移动中的切换,所述其它设备可能包括计算机、PDA等。关系是有价值的所以在到处移动时允许关系和切换。这样,系统和网络可以提供虚拟局域网,且用户和客户设备即使在一个区域内漫游,也仍会处于同一虚拟局域网中。
在一个实施例中,网络设备包括交换机,接入点和交换机被配置为允许所有找到该网络或SSID的客户设备连接到该网络。经常地,接入点会广播它们的网络标识和 /或SSID。因此,在被委托控制对特定网络的访问的所有者、操作员、或其它管理者已选择允许所有希望或请求访问该网络如默认局域网或虚拟局域网(VLAN)的用户都能够访问该网络的情形下,那么该配置信息可以方便地说明任何用户的用户机器都可以通过该接入点和交换机来连接到该网络并在该网络上接入。W029]更一般地,该网络管理者可以选择限制对该网络的访问。在这种情形下,发送到该设备(在本例中为网络交换机和接入点)的配置信息或数据集合将说明被允许访问的潜在的客户设备的标识。
在这种情形下,举例来说而不具限定性地,可能需要提供关于以下的配置信息什么样的客户设备或客户设备的用户对该网络而言是经验证的,什么样的无线协议可用,任何认证信息,新的固定IP地址(如果已用的IP地址已经被DHCP或其它实体建立), 和/或任何其它对该网络设备或与之相连的其它设备要进行的操作有用或有利的其它信息、参数或数据。
必要地,网络设备上要呈现充分的配置信息来允许使客户(例如无线客户)以正确的安全等级(如有)来登上他们所属的该网络或SSID(而非他们不属于的其它网络或SSID)。
接入点(AP)广播它们支持的网络(在基于微软Windows的环境下)或 SSID (在更一般的无线网络环境下)。一般而言,每个接入点无线电设备可以广播单个SSID 或任意数量个或多个SSID。连接到SSID的接入点和/或客户广播该SSID并广播该网络的属性(诸如dotlX,密钥认证,等等或其它属性)。客户设备广播的属性需要与该客户设备向网络连接到的交换机的属性相匹配或至少具有共同的成分,可能还需要能够匹配这些和 /或其它凭据来判断是否应该在那个网络(SSID)上允许该客户设备。可以在服务器上或在本地完成这些参数或属性的存储和/或匹配。如果交换机不知道该用户和/或该用户的客户设备,那么该交换机不能执行该查询和匹配,所以在访问以某种方式被控制的实施例中, 发送到网络设备的配置信息可以包括用户或客户访问属性或配置信息。
配置信息还可以说明网络设备如交换机之间的关系,因此,例如,一个漫游的用户或客户设备可以保持到网络的适当的连接,即使该客户设备从一个接入点和/或交换机的无线范围移动到另一个而使得发生从一个到另一个的无缝切换天衣无缝,与此同时,就算是该设备对于它没有被授权连接的网络或SSID而言处于接入点或交换机的良好的无线频率范围之内,也不允许该用户或客户终端切换或连接到该网络。
应当理解,在这两个示例性的情形中,一个涉及不受限的接入而一个涉及受限接入,配置信息或数据集合包括一些客户或其它用户身份信息。然而,如果网络设备可以被部分地编程或发动,从而说明被允许或被禁止的接入,即使该信息或数据不需要包含在发送到发出请求的网络设备处的配置信息中。将会理解,此处描述的例子为设备提供了结构和方法,供设备为获得配置信息而发送请求并接收另一设备或系统发回的配置信息, 例如由服务器计算机经由网络发回,而无论该配置信息为何。或许需要确认、更新、检查更新、或验证此前存储在该网络设备处的所有或部分配置信息或数据。并无必要将该系统限于任何特定的配置信息或配置数据集合,也无必要将其限于配置信息的生成或存储方式。
将会理解,该配置信息请求消息可以请求任何信息,服务器对该消息的响应可以是完整的,部分的或是对发出请求的网络设备中保存的配置的单一的配置更新。发送的配置信息还可以由本文说明中呈现为管理侧配置服务器的集中式(或分布式)的配置分布管理机构来完全地控制。
图2描绘了网络设备请求并从系统管理配置服务器处接收配置信息或数据集合的过程的一个例子的流程图。该过程始于步骤141,此后,远程网络设备(如网络交换机)向该管理系统(步骤14 请求配置信息。接着,管理系统确定适当的或合适的远程设备配置信息并将其发送给该发出请求的网络设备(步骤14;3)。然后,该远程设备为自己接收配置信息,还可以可选但有利地为附加设备接收配置信息,例如与该远程网络交换机相连的一个或多个接入点(步骤1妨)。最后,该远程设备和网络为在网络上的进一步操作而使用发送或向下推送到该远程设备的所述配置信息(步骤14 ,该过程到此结束(步骤146)。其中网络设备信息被发送到管理侧服务器和/或被管理侧服务器使用,该网络信息可以是以下各项中的任一项或任意组合网络设备硬件信息、网络设备软件信息、网络设备位置信息、网络设备请求信息、识别可运行配置基础的任意其它参数,和/或以上各项的任
思组合。
根据此处提供的介绍,应当理解,当发出请求的网络设备将其请求消息发出,在接收到后,该管理系统基于一个或多个网络设备标识、网络配置策略、和/或基于它们与可能的其它因素的组合来进行配置数据库的查找或是配置信息的生成。在查找或生成中,该管理侧系统可以考虑该管理侧或集中式管理已经建立的网络上已有的预先配置的策略、规则、优选、已有配置、使用时间长难维护的设备和/或任何其它可以或应该影响该网络设备配置的参数或特征。其将会创建需要发回给该网络设备的正确的配置。对该网络设备而言,这像是它接收到了其完整的配置。例如,一个正是网络交换机或包括网络交换机的网络设备的完整的配置可以包括关于以下的配置信息如何运行其接入点(AP)或移动接入点(MP)、提供何种SSID (服务器集合标识)、配置何种虚拟局域网(VLAN)、允许谁来访问以及何种访问、和任何其它使该被配置的设备如所期望地运行所需的信息。上述仅是对如交换机等网络设备可能接收到的配置信息类别做出的非限定性的示例。
提供的与图1中的示例性系统配置相关的介绍以及图2中呈现的方法的总览,提供了本文中介绍的技术的例子的总览。下面提供的另外的介绍将描述管理系统104 和网络设备如远程无线网络设备108的作为替代方式的配置,以及用于管理系统与远程网络设备之间通信的总的方法,该方法包括仅在该管理系统中执行的过程、仅在该远程无线网络设备中执行的过程、以及包括由该管理系统104与多个远程无线网络设备108中的一个或多个的组合所执行的部分的其它过程。
参看图3,其中示出了这一创新性系统的另一个实施例,该系统示出了管理系统侧结构104、中间网络如互联网120、和多个网络设备108-n,所述多个网络设备 108-m中的每一个均为远程无线网络设备。有利地,这些无线设备可以符合WI-FI或802. 11 无线协议中的一个,尽管并不需要仅针对这一协议或仅针对这一协议的扩展、发展和改进的限定。
下面将来介绍各种特征,其中包括但不限于尤其适用于替换失效的网络设备的创新性方面,创新性方面的方法和结构在具有几百台需配置的网络设备的新场所的推出或布置和配置方面的应用,与对网络设备配置的集中式控制和/或基于策略的控制相关的创新性方面,与物理硬件交换机本身的新特性相关的创新性方面,在将该方法扩大应用到大量设备时尤为有利的创新性方面,与设备间的相互安全认证和加密相关的创新性方面,该方法不仅用于配置该设备还用于与该配置的设备耦合的树状或层级形式的其它设备的配置方面的应用,适用于保持持续的或粘性配置的创新性方面,与选择和向设备推送基于硬件的配置或基于策略的配置时的灵活性相关的创新性方面,当然还有自动建立与配置过程在直运销售的网络设备上的应用。这些方面可以以各种方式来合并和协同使用。
接下来将注意创新性的系统、设备和方法的示例性应用,本文中介绍的技术在其中有特别的优势。
网络空间中一种常见的情况是网络设备如网络交换机失效。在没有可用的网络管理员或信息技术(IT)专家的远程场所,这种失效可能会尤为棘手。在一个实施中,用设备标识(和/或网络策略)来确定要发送或推送到替换设备的配置信息。在这种替换的场景中,可能有一个网络设备提供商或制造商将装有该替代设备的箱从他们的货架上取下,不打开这个箱也不对设备做任何配置,使用诸如快递服务等将替代网络设备从制造商或提供商处直运销售到替代场所。与此同时,制造商或提供商可以将该设备的标识通知买家,于是,可以向配置信息数据库进行输入,准备好在接收到请求后获得配置信息。接着,该替代场所的任何人打开该箱,从失效的网络设备处断开以太网线缆,将该以太网线缆重新接进该替代设备上的插孔,插上电源(如果该设备上提供了通-断式开关),在通-断式开关从断开状态切换到接通状态时,按下该设备上的启动模式按钮,于是该替换网络设备向该管理侧服务器发出消息来请求配置信息。
还将理解,实施可以利用网络设备身份和策略的组合来确定一个或一组网络设备配置信息,就基于身份的配置或基于策略的配置而言,对基于身份和策略的配置的使用可以通过预先计算和并在数据库中存储该配置,在接收到要求该配置信息或数据集合的请求后实时地或基本实时地演算该配置或动态地确定配置信息来实现,或者通过预先存储、实时或动态确定配置的任意组合来实现。为一台设备动态地确定的信息甚至可以存储并在经过将该配置信息为新的请求或请求者定制而进行的必要改动后被用于或部分重用于类似的配置。
该替代网络设备知晓将其消息发送给位于特定IP地址位置上的特定服务器,因为在至少一个实施例中,该替代网络设备在制造时经过编程(或者,如果在装运前进行发动,则在发动时)来连接到特定的公知的DNS域名系统(或域名服务,或域名服务器), 这是一项将域名翻译为IP地址的互联网服务。
更具体地,查找并最终连接到配置信息源例如配置信息服务器可以通过多种方式来实现。在一个实施例中,为该网络设备确定一个特别的名称,在本地网络或其他定义的网络环境中查找或问询这个名称。
例如,在非限定性的实施例中,当该网络设备通电并开始启动或处于重新启动或其它初始阶段,并激活在自动配置模式下,如果其没有IP地址(或者,可选地,即使其具有IP地址),将向DHCP服务器发送DHCP请求,以求获得首个或一个新的IP地址(因为它可能在首次唤醒时尚不具备IP地址),还会为其分配一个DNS服务器或用该DNS服务器来对其进行识别,最后,根据一个实施例,它会从DHCP服务器处接收到域名。作为替代方式,这些中的部分或全部可以预先配置进该网络设备,例如在制造时或预先部署发动阶段。 这一作为替代方式的模式在存在安装、部署或批量生产时没有可用或可访问的DHCP服务器的可能性时可以有所帮助。
接下来,在服务器上进行域名查找,在自动配置中将公知的或其它经鉴定的或众所周知的名称附加在域名的后面或前面来为该网络设备将该服务器确定为进行问询的服务器。在一种实现中,这一公知的名称是“wlanconfigserver”,但是,对名称本身的选择并不重要。另外,并不真正需要知道这一地址;使用域名已经足以找到适当的服务器。
该域名将具有或识别应用于特定DNS域的有效IP地址。DNS是域名系统 (或域名服务又或域名服务器)的首字母缩写,即一项将域名翻译为IP地址的网络服务。 由于DNS系统实际上是系统本身上的网络,如果一台DNS服务器没有识别出或知晓一个特定的域名,它会询问另一台DNS服务器,直到找到正确的IP地址。
发起请求的网络设备被指示使用这个名称来寻找服务器。一般地,网络管理员或信息技术(IT)组已经将这个名字随地址加入到他们的本地DNS数据库中。如此,只需要这个名称,且该名称可以标识定位服务器的所述地址。这一 DNS方案可以在中央或总部场所处建立并随后发送到不同的代理服务器(如有),于是,该操作也可以在设备安装或部署的位置进行远程实现。
已知的或众所周知的名称(或其它标识)在部署前被编程或加载或存入网络设备,在部署中(在自动配置操作中)基于名称使用DNS查找地址获得地址。该DNS查找由DHCP服务器所确定或提供的DNS服务器来执行,所述域名由该DHCP服务器提供。
当DNS服务器中该名称不可用时,该操作中的至少一部分需要预先配置 (例如在装运之前或在发动阶段中),于是通过网络来从服务器处获得剩余的配置。注意在这个例子中,可以以同样的名称信息来预先配置所有的网络设备,于是可以在需要时使用相对简单的过程、较小的数据集合和技术水平较低的人员来进行批量预先配置。
在另一实施例中,制造商或提供商可以有利地打开网络设备装运箱,对该网络设备进行编程来向由购买该替代网络设备的实体所确定的IP地址或服务器发送消息。在又一实施例中,其中需要更换失效网络设备的实体保持了备用品的存货,该实体可以编程替代网络设备以使其知晓为每个备用品来接通中央或其它管理侧服务器所应联系的 IP地址,接着,该实体简单地将备用品从存货中取出,将其装运到需要它的场所。如果在产生替代需求之前进行编程,那么就不涉及紧急情况,一般也没理由要求网络管理员或IT专家的参与。注意需要在替代网络设备中编程或存储的仅是要联系的服务器的IP地址,且其它配置信息在安装时下载到该设备。因此,网络管理员可以,例如,购买10个交换机来作为替代备用品使用,用请求所用的服务器IP地址来对每个交换机进行编程,将它们放回备用品架备用。不需要为它们的最终位置来进行定制,因为其中每个一旦被安装都会在接收到对其请求的响应后获得完整的配置信息。
一旦管理侧服务器接收到请求消息,其可选地鉴定发起请求的网络设备 (例如使用网络设备独有的硬件标识进行的初始鉴定),并向发起请求的设备发送配置信息。因此,将会理解,实际上配置该替代网络设备并不需要专家。
尽管可能会需要基于设备标识来配置设备,在某些实现中,基于例如设备序列号、安全标识(SID)或其它与物理硬件关联的标识来设立或配置设备可能未必有利。 尽管可能会这样做,但其未必像复制之前失效的设备的配置的其它方法那样有效。这是一种合理的方案,也可能在很多网络配置环境下属于优选方案。
然而,在其它情况下,当这种失效出现,将替代设备进行与它所替代的失效设备进行完全相同的设立(或基本相同,在某些硬件、固件或软件版本变化需要或受益于对该处理进行增值改动时)可能是优选的。在一种实现中,可能有一组网络配置策略以整体或部分用于设立、配置和运行网络设备。这些策略还可以考虑特定的设备标识或使用设备类型或其它特性。因此,根据一个实施例,并不将对替代设备的配置和与该设备相关联的物理标识相联系,而是将对失效设备的替代设备的配置与物理地点或位置相联系,或者作为替代方式,与应用于在该位置或环境中的设备的策略相联系,以使得其运行适当且与环境及该物理地点或环境中的其它设备相关联。将会理解,应用于设备的配置和运行的策略也可以考虑设备本身的特性。一般与物理位置相关联的网络的属性之一是与地址和子网相9/20 页
关联的子网地址和互联网协议(IP)地址。使用这一本地化的信息,可以基于应用于该位置或环境中的同类型或相似类型的设备的标准策略(或者,可选地,定制策略)来配置替代设备。不同的设备如无线网络交换机可以接收不同于无线路由器或接入点的配置信息,但根据策略,可能在一类或一级设备中确定配置应是怎样,而非各自的设备标识本身。举例而言,位置可以指特定的公司办公室位置或建筑,特定城市或其它政治辖区,特定经营如研发综合设施中的研究实验室对位于同一综合设施中的仓储设施。安全特征,可能包括网络接入列表,也可以是一种基于策略的配置。因此,与策略有关的地点和位置的概念也可以是同一位置上的不同功能性活动。
配置网络设备的能力基于其物理身份或应用于该位置上的设备的协改的基础,或者甚至基于设备身份与策略的组合,其中每个都提供了额外的好处和替代的灵活性。
网络设备如无线网络交换机的实施例可以与服务器交互操作,该服务器例如加州普利斯顿的卓思网络制作的基于RingMaster 的服务器及网络软件,或者与其它服务器和/或软件交互操作来配置设备并自动建立(bring up)经配置的网络设备和网络系统。
在一种实现中,提供了系统、设备和方法来允许对处于一位置的需要配置以便在网络上运行的网络设备进行自动的无触碰或基本无触碰的配置,其中,无需技术人员、信息技术(IT)管理员或其它经训练的专家的现场参与或参加。无触碰的操作指网络设备的安装者只需要将该网络设备连接到通信链路,例如有线或无线以太网或其它可以到达配置源的网络。一般该信息源可以是网络服务器(例如前已述及的管理侧服务器),所述网络可以是或包括通过以太网线缆或无线等同物连接到该网络设备的互联网。一旦该网络设备连接到能够到达或连接到该配置信息源的网络,且该网络设备通电从而其启动自身的操作系统以便像这一类网络设备如网络交换机那样地运行,该网络设备被编程来与其配置信息源联系来获得其配置信息并接着无需任何其它帮助或介入而自行安装到网络上。在另一实施例中,必须有人按下(并可选地持续按下)一个按钮或开关或其它用于调整逻辑状态的电或机械装置,于是该网络设备将被指示来与配置信息源联系,而非使用已经保存在该网络设备存储器或逻辑中的配置信息(如有)。
此方面尤其有利于这样的情形,其中,举例而言,位于远离有IT管理员或其它IT技术人员常驻的总部设施的一处位置上的网络设备失效且需要更换,或者,需要在新设施中部署大量网络设备,即使可以派遣IT管理员或技术人员完成部署,其涉及的旅途和在场时间以及由此带来的开销增加了完成网络部署所涉及的时间。给出这两个极端的情形,其中之一涉及单一的需要替换的失效网络设备,另一情形需要在有一个或多个可用IT 专家的场所或在没有可用IT专家的场所安装和配置整个网络,根据以下介绍,很明显地, 创新性系统、设备和方法可以适用于那些介于这两种极端情形之间的情形。
由于创新性网络设备的结构可以复制到不限数量的设备上(例如,在实践中的一次几百个或几千个),管理侧网络服务器可以被配置为与任意数量的这种设备进行交互操作以便配置这个或这些设备,由于对设备进行配置所涉及的方法、过程和通信每次一般涉及该管理侧网络服务器和单一网络设备,首先来介绍与单一网络设备相关的实现。 根据这里的介绍将会理解,该系统可以扩展至包括并与任意多个设备进行交互操作,包括
14诸如仅具有几个设备的系统,乃至具有几十、几百甚至几千台设备的网络配置。另外,待配置的网络设备可以属于不同的物理类型,可以需要不同的网络配置,也可以处于不同的物理位置,以上仅举几个可能的不同情形。W061]在此介绍配置网络设备的两个首要策略。第一种策略设计基于设备的物理特性来配置该网络设备,该物理特性例如设备序列号、设备IP地址、安全ID或任意其它与该网络设备的物理硬件相关联的标识。这一配置手段成为基于身份的配置或IBC。第二种策略涉及基于一个或多个可用的网络策略进行的网络设备配置,其中,举例来说,该策略可以特定于该网络设备被安装或替代的位置。该网络策略还可以考虑网络设备类型,和/或该网络设备的其它物理或功能性方面。至少部分基于网络或管理策略的这第二种配置称为基于策略的配置(PBC)。可以使用一个或多个策略来选择、生成或确定要发送给特定网络设备(主要网络设备)的配置信息或数据集合,所述一个或多个策略还可以用于确定通过特定网络(主要网络设备)发送给其它设备的配置信息或数据集合,所述其它设备可能包括与该网络设备相连的其它网络设备(附属设备或附属网络设备)。作为一个例子,对作为主要网络设备的网络交换机而言,接入点设备就是附属网络设备。
基于身份的配置和基于策略的配置都共享着一些共同的结构性的、功能性的和操作上的方面,所以尽可能地,将对两者一起进行介绍,并在需要时介绍其区别。然而, 将会很明显地,基于策略的配置手段相比于仅基于身份的手段具有某些独特的优势。这种叙述性的方式将向读者提供对创新性方面最好的理解,并提供对本文中介绍的技术所支持的各种变形的理解。
回忆参照图1的例子,一种实施包括两个基本的硬件元件,需要配置信息 126的网络设备108,和服务器104或配置信息107的其它源,该网络设备108可以在通信链路1 例如互联网或其它网络上与该服务器104或配置信息107的其它源进行通信,来请求122该服务器处存储(例如基于设备身份)或生成的(例如,基于预定的或动态确定的策略)配置信息124,从而该配置信息被经由该通信链路发送给发起该请求的特定网络设备108。
图3中的图解说明示出了一个无线网络设备的实施例,该无线网络设备具有暴露于交换机的外表面上的嵌入式模式选择按钮,于是一个人可以将该该开关留在第一位置来保持持续保存在该设备中的配置,或者在通电、启动或其它重置过程中按下该按钮从而使得该设备请求新的配置数据或信息。
参看图3,示出了图1中系统的替代例,其中细化地示出了另外的管理系统 204和设备108。图3实施例包括在某些情形下仅随基于身份的配置(IBC) —起运行和存在的结构,例如配置存储数据库和查询表,或仅随基于策略的配置(PBC)实施例一起运行或存储在的结构,例如基于配置和策略的配置生成器210,其中的任一种结构都可视为可选元件;但是,在某些实现中,这两种结果同时存在,于是网络管理员就有几种选择,也有选择最适合当时的网络设备配置的那个选项的灵活性。应注意,该系统和设备可以可选地通过该服务器或到该设备的本地界面来人工配置任意网络设备。
该用于配置设备的创新性方法的实施例将在此从网络设备108的角度来参照图4进行介绍。如前所述,该创新性的系统设备和方法的优势之一就是其无需借助熟练的或经过训练的IT管理员就能将网络设备连接和配置到网络的能力。可能要求只需要将物理网络设备连接到网络例如以太网并给该设备通电(步骤304)就能配置网络设备。接着,该过程读取内部设备配置启动模式状态(步骤306)。该启动模式状态确定该网络设备 108是否已经具有并存储了该设备希望保留和使用的配置信息,或是该网络设备108没有配置信息或希望获得更新或新配置信息。在一种实现中,该启动模式状态是标签、比特位、 字节、或能够识别第一和第二状态的任何其它指示。如果该指示识别第一状态,该设备将采取动作来请求并从外部源如管理系统204侧服务器206获得新的配置信息。但是,如果该指示识别第二状态,则该设备将不会请求配置信息,并保持其已有并存储的配置信息。
当启动模式状态指示为处于第二状态,表示该设备不需要获得更新的或新的配置信息,设备侧过程302提供网络设备108已经可以在网络上运行并使用持续存储的旧的配置信息来继续在网络上的运行(步骤320),设备侧过程结束(步骤330)。
当启动模式状态指示为处于第一状态,表示该设备需要获得最初的、更新的或新的配置信息并发出(步骤310)从实际系统处获得配置的请求。在一种实现中,使用 “配置我”消息来将所述对配置的请求发送到管理系统侧服务器206。可选地但有利地,对该网络设备和该管理侧系统之间传递的消息使用基于证书的认证或其它认证(步骤322) 以及加密312 (至少对于敏感信息)来进行网络设备108与管理系统204之间的通信。
应当理解,认证(步骤322)和加密(步骤312)对于维护安全网络而言很重要,因为配置信息本身及网络中使用的协议中包含了或可能包含如密钥等秘密信息,这些秘密信息一旦被破译并为他人所知,将使网络面临攻击和危险。然而,将会理解,认证和加密都不是该创新性系统、设备或方法运行所必需,认证和加密是谨慎的网络架构和管理者会加以应用来保护网络的可选特征。W070]存在可以在相互意义上被启用的认证和加密。例如,在两侧的相互认证可以防止某些人从外部进入并从管理服务器提取配置数据。管理侧服务器对网络设备使用基于证书的认证,以保证只有被该管理服务器基于证书授权证书信任的网络设备才能被允许与该管理服务器对话或与该管理服务器通信,尤其是通过发送“配置我”消息到服务器来请求获得配置信息。在反方向(当管理系统与网络设备对话),可以使用基于安全套接字层 (SSL)的加密,如此,可以进行基于用户名密码机制的认证,以保证正在配置该网络设备的管理机制有权这么做。这可以由管理员执行一次,于是管理系统已经知晓该管理系统用于安全地配置该网络设备的凭证为何。因此,将会理解,该创新性的系统、设备和方法不仅提供了非常强的灵活性,其还能在维持安全且提供了对所有消息或其中经定义的子集进行加密的相互的服务器/设备认证的环境中使用。
接着,该网络设备108等待管理系统侧服务器206响应及所述被请求的配置信息。应当理解,该管理系统侧服务器206可以以与该配置信息208被发送到该网络设备108时相同的或有些不同的形式来保存配置信息208,且网络设备108可以已经并仍旧保存接收到的配置信息和其被接收到时的不同的形式或格式带(format band)。该管理系统204还可以或作为替代方式地具有并存储不同的配置信息,网络设备108由此来检测并存储配置信息。独立于对管理系统侧服务器206上对网络设备可用的配置信息与网络设备 108所存储和使用的配置信息之间的差别,应当理解,网络设备接收并存储的配置信息完全满足其对于配置信息的需求,以使得该网络设备能够在网络上以所需的方式运行。
如果在预定时间内没有收到所请求的配置信息,创新性的设备侧过程302将会为该信息提交一个新的请求或问询(步骤314)并继续检测对被请求的配置信息的接收和/或发起对该配置信息的一次新的请求直至请求被满足。该设备侧过程302还可以可选地但有利地包括在服务器处对任何接收到的配置信息进行认证(步骤324),并在配置信息和/或伴随的消息被加密时需要解密。基于加密、解密和证书权限的认证过程在本领域已知,下文中将不再做更具体的介绍。
一旦接收到配置信息,将把该配置信息(步骤318)保存到网络设备108上的存储器或其它存储工具中。接下来,将在网络设备运行需要时(步骤320)读取并使用该配置信息,该设备侧过程302结束(步骤330)。
现在参照图5来介绍相应的管理侧过程401。将会理解,在管理侧系统204 能够服务或将该配置信息发送或传递到发起请求的网络设备之前,该配置信息必须在该网络系统侧服务器206上是可用的(除非,根据一个替代例,在接收到请求后,即时或实时或基本实时地生成该配置信息)。因此,该管理侧过程401包括准备和存储数据库的步骤,该数据库可以是查表数据库,其为每个物理网络设备ID(步骤401)确定配置信息。
在配置信息基于网络策略确定或提供的替代例中,举例而言,该数据库可以包括或使用一个或多个策略,所述一个或多个策略用于基于与发起请求的网络设备相关联的网络策略和参数来为所述发起请求的网络设备提供或生成适当的配置信息。例如,可以与策略一同使用的参数可能包括但不限于位置参数,设备类型参数,设备级别参数,办公室或位置特定功能参数,或该网络设备、网络设备场所、网络设备位置的其它参数或特性,或是这些参数的任意组合,其可以与策略一同使用来确定将要为网络设备的使用而从存储器读取的或即时生成的最恰当的配置信息。
所述网络在接收请求之前具有存储的网络设备配置信息,或能够为发起请求的网络设备生成适当的网络设备配置,所述网络能够在接收到配置请求后(步骤403)发送,优选地以推送模式将配置信息发送给网络设备。因此,该服务器为待接收的配置请求 (步骤40 等待一个循环,当接收到配置设备(步骤40 的请求时,它可选地认证接收到的请求(步骤407)再基于网络设备身份标识(步骤409)或网络策略(步骤411)来确定是否应该向发起请求的设备发送配置信息。对于基于身份的配置(IBC)或基于策略的配置 (PCB),要提供的配置信息可以由数据库查找过程或由配置信息生成过程来获得,其中所述生成仅在接收到配置信息请求后进行。
基于身份的配置(IBC)使用该设备特有的标识来从接收该配置请求的已经生成的现有数据库来识别出适当的配置,或在该服务器接收到所述对配置信息的请求后为发起请求的设备生成适当的配置。在一个实施例中,所述基于策略的配置(PBC)主要依赖于一个或多个预先定义的或动态确定的策略,所述策略说明了,例如,不同类型的网络设备、不同级别的网络设备或其它参数性定义的网络设备组将在如公司的不同办公室位置、 公司或企业中的不同的功能组上部署或布置或根据任何其它规则集合或策略部署或布置时会如何以一致的(或不同的)方式来配置。
在一个实施例中,上述特有的标识可以选做选自与以下相一致的标识集合的一个标识或任意标识组合设备序列号、互联网协议IP地址、媒体访问控制(MAC)地址、 服务集合标识(SSID)、和其中的两个或更多的任意组合。
独立于要发送的配置信息的类型,配置信息可选但有利地经过加密,从而防止未授权方进行未授权的破译及对配置信息(其中可能包括诸如密钥、协议等等的秘密信息)的访问(步骤419)。最后,管理侧系统服务器向发起请求的设备发送(步骤421)配置信息,其可选地但有利地带有认证。当其中的任何信息将在非安全链路上传递,例如在互联网120或其它非安全或外部通信架构上传递,加密和/或认证都尤其有利。认证和加密都不是必需的,尽管谨慎的网络管理通常选择至少加密并经常要求管理侧与设备侧的相互认证。
管理侧服务器会可选地等待请求方确认收到发出的配置信息(步骤423), 接着该管理侧过程结束(步骤430)。
在一种实现中,可选地但有利地提供配置成功指示。在一个实施例中,当管理侧系统接收到来自远程网络设备的配置请求后,它立刻或在预定时间内转换远程网络设备的管理状态,于是网络操作员、管理员或其它实体(人或机器)接收所述远程网络设备请求成功或失败的指示。最终效果是如果自动配置请求和响应交互成功,操作员将看到该场所具有第一状态(例如,成功状态)或变“绿”,或者,如果该请求和响应交互失败,操作员将看到该场所具有第二状态(例如,失败状态)或变“红”。在一个实施例中,可以生成并可选地通过图形用户界面或其它表示该网络设备的成功或失败状态的图形、符号、或文字来显示。该管理系统还可选地提供失败的远程请求列表并允许用户对其进行诊断。
在一种实现中,如多个网络设备向管理侧配置服务器106请求配置信息, 该管理侧配置服务器可以建立一个队列,于是配置信息请求将依被接收到的顺序放入该队列,各个请求被顺序地,于是第一个配置信息请求放在队列的首部,首先为该第一个配置信息请求来向发起请求的网络设备发送配置信息,接着以接收顺序逐个处理各请求。其它实现可以,举例而言,提供优先权,于是确定为具有较高优先级的特定请求将脱离于它们的接收顺序而被处理。可以实现基于任意数量因素的优先级。例如,服务器能够基于指示例如设备标识、该请求来自的互联网协议地址、和/或其它因素来识别出应该获得较高优先级的配置请求。配置信息请求作为高优先级请求的状态可以被服务器所知,而无需服务器进行解密、认证或打开或基本处理该请求消息来确定优先级状态。
概括地介绍了从服务器向网络设备传递、下载或推送网络设备配置信息, 在网络设备与其它也需要配置或配置信息的网络设备耦合或通信的情况下,创新性的系统、设备和方法还提供了另外的功用和优势。
例如,请求配置的网络设备耦合到服务器且网络设备可以经由以太网连接来接收配置信息。另外,任何连接到在此称为主要网络设备的发起请求的网络设备108的附属网络设备,这些附属网络设备本身可以从主要网络设备处接收它们自己的配置信息, 主要网络设备向管理侧服务器发起的请求可以且在优选实施例中将包括为任意及所有连接到该主要网络设备的附属网络设备请求配置信息的请求。
尤其,在发起最初的配置信息请求的主要网络设备是网络交换机的情况下,该管理侧服务器将不仅为该网络交换机提供配置信息,还会为耦合或连接到(或可能耦合或连接到)该主要网络设备或交换机的接入点(AP)或移动接入点(MP)提供配置信息。这一可选的隐含的不仅为主要的或发起请求的网络设备也为与该主要网络设备耦合或连接到该主要网络设备的其它附属设备进行的配置信息请求,可以充分地减少进行的请求的数量及由此在网络服务器206上产生的负担。
同时为交换机和连接到交换机的接入点获得配置信息的能力意味着,与任何人工配置或网络管理员远程但非实时或离线进行的应答配置相比,建立和配置整个网络的过程将更方便并极大地简化。另外,对于在接收到请求之后生成基于网络设备身份或基于策略的配置信息的实现,在其上生成网络配置信息集合的算法、过程及策略可以在它们被需要之前的任何时候完成,且在部署或布置网络设备的时候和地点不需要任何编程人员或网络管理员介入。
在每个实例中,这意味着由于每个网络设备经物理连接和通电,其可以“呼叫起始点(call home)”或联系给定的引擎系统侧服务器206,请求其配置信息,并为标准的网络接收自己的配置信息,在几秒钟时间里完成对该网络设备及与该主要设备耦合或连接到该主要设备的任意附属网络设备的实际配置。即使决定完整地连接所有(例如,100个或更多)网络设备但直到预定时间才给它们通电,每个配置为请求初始的或新的配置信息的网络设备可以以安全方式向系统服务器发回消息,并希望其请求能在几分钟到十来分钟内得到响应。服务器处的队列机制注意同时接收到的请求,这些请求的接收是或也许是在时间上比从数据库中获得并发送或者生成并发送含有配置信息的响应消息更接近。
很明显地,这种自动配置不仅为单个网络设备的更快而划算的安装做好了准备,还具有扩展到大量新的或替代设备的独特优势和效率。
回忆创新性的网络设备106的实施例可以包括二状态按钮和/或开关,其将该发备标识为在网络设备启动或通电时“启用”或“禁用”请求配置信息,软件可设置与重设置的状态可以为该网络设备表示“启用”或“禁用”启动或通电后请求配置的状态。
在一个实施例中,在该网络设备的外壳或附件上的凹陷或孔内提供按钮。 有利地,该按钮是凹陷的,于是不会在部署该设备的过程中尤其是该网络设备已经通电的情况下被误按。可以使用任何类型的按钮或开关。在一些实现中,该按钮凹陷的深度使得需要小的尖锐物体例如回形针尖端或电线来接近该按钮并改变其状态。在一个实施例中, 该按钮仅需要在通电或启动时暂时按下,在另一些实施例中,该按钮需要在通电或启动过程中被保持一到数秒,从而激活该按钮使其具有预期效果。
在一个实施例中,该网络设备维护该设备中持续维护或非易失地存储的当前配置设定,直到按钮116在设备的通电或启动中被按下。可以在该设备中实现一种缺省的替代方式,其中网络设备108请求新的配置直至该按钮被按下,但是这种缺省条件并不优选,因为可能给管理侧服务器106造成增加的和不必要的负担。
软件或固件集合状态可以等同地用于使得网络设备108来为该设备(也为通过该主要(发起请求的)设备连接到网络的其它设备)请求配置信息。在一个实施例中, 启动模式状态设置为启用(或在制造该网络设备并加载软件/固件时,或在准备设备部署或安装时),于是当该网络设备被安装并首次通电时,它会请求配置。在此后的启动或通电时,该启动模式状态置为禁用,于是将保留已经预先加载到该网络设备中的配置信息。在一个实施例中,该启动模式状态仅在配置信息成功加载到该设备中时才从启用改为禁用。在一个实施例中,在通电时而非启动或开机阶段按下凹陷的按钮,将会把该网络设备重置到预定的配置,例如厂家默认或重置条件。
根据此处提供的介绍可以理解,基于数据库或查询表的基于身份或策略的配置,数据库或查询表信息可以在配置信息被实际需要或请求之前的任何时间输入数据库或查询表。因此,可以在部署系统前几小时、几天、几周或几个月来将信息置入数据库或查询表。所述信息的布置或存储可以非实时地完成,于是,不需要IT或网络管理员特别留意。 所述信息或其中任意部分的确定、布置和存储也可以由第三方或承包人来完成。性质敏感的某些信息可以由被信任的实体在晚些时候加入到数据库或查询表中。
某些其它常见系统和方法起初似乎能够通过按下设备外表面上的按钮来部分地自我配置到本地集合。然而,这些系统一般通过检测环境中本地存在的符合802. 11 标准的无线信号来工作。由制造无线路由器的同一家公司制造的包括无线接入点设备在内的设备在某些条件下可以与该无线路由器通信,并基于该无线路由器设备与该无线接入点设备之间的相互通信,确定这两个设备能够借以进行通信的设定。这些系统不能自动经由如以太网络连接来向远程服务器发送消息,为它们本身以及可选地为连接到它们的其它设备请求网络配置。这些常用的设备或建立方法都没有提供在此介绍的其它特征。
应当理解,至少因为该网络设备向指定的服务器发送请求来接收配置信息,有责任定义要发送到每台网络设备的配置信息(无论预先存储在已有的数据库中或是在接收到请求后生成)的实体(例如经授权的公司网络管理员)在此时可以选择最合适的配置信息。另外,该配置信息可以在服务器处根据要求或需要而不时地改变。另外,这些网络设备本身可以被以这样的方式控制,其中当需要或要求改变时,新的网络设备配置信息被推送或下载到该设备,或者服务器或其它实体会传递消息或命令来引导该网络设备在下次启动时,或在特定的日期和时间,或根据其它策略来请求更新的、改变的或替换的配置。
一种管理侧服务器可能需要改变现有的在运行的网络设备的情形是,该网络设备具有由动态主机配置协议机制或DHCP初始获得的网络IP地址。DHCP这种协改为网络上的设备分配动态IP地址,甚至可以支持静态与动态IP地址的混合。
在一些使用基于DHCP的IP地址的网络设备的存在可能会成为问题或不成为问题的例子中,可能会需要网络上的所有网络设备使用静态IP地址来运行。因此,在一种实现中,该管理侧系统配置服务器将为发起请求的网络设备分配固定IP地址,即使该网络设备使用其基于DHCP的IP地址表现正常且没有问题。还有可能允许具有固定IP地址的网络设备来获得DHCP IP地址,但在此并不特别关心这种情况。
在一种实现中,该网络设备将配置信息请求传送给该服务器,服务器以本说明书中描述的方式来接收该请求。该管理侧服务器可以接着检查特定的域、程序指令 (statement)、或该请求消息(或该请求消息的任何附件)的或其中的其它数据或指示,来查看该请求的特定域。举例来说,这些域可以包括以下各项中的任一项或任意组合该设备所处的当前IP地址,以及识别该设备是从DHCP还是通过静态IP地址配置来获得其当前的IP地址的指示。如果该管理侧系统确定该发起请求的网络设备具有静态IP地址且其希望该网络设备继续保有静态的IP地址,它可以不进行任何操作以使得该静态地址保持不变,或者分配另一静态IP地址并将其随被请求的配置信息传送给该网络设备,该网络设备和该管理侧(包括该管理侧服务器)之后将会使用所述另一静态IP地址用于其间的通信。 另一方面,如果该管理侧系统确定所述发起请求的设备在使用DHCP地址并希望该网络设备使用静态IP地址,它可以(向该DHCP IP地址)在该配置信息中发送所希望的新的静态 IP地址供所述发起请求的网络设备使用。这一新的静态IP地址此后将被用于该网络设备与该管理侧服务器或网络上其它实体之间的通信。
单一的网络设备或多个网络设备使用如DHCP来寻找IP地址具有可观的灵活性,这允许它们首先出现在网络上并发送和接收网络消息而无需始终关联到特定的IP 地址或动态确定的IP地址,随后变更其IP地址到例如管理侧静态IP地址来满足管理侧系统的偏好。所述系统和方法因此还包括管理侧智能组件,举例来说,该智能组件允许该管理侧认出一个初始消息(或后续的消息)利用特定的基于DHCP的IP地址来到该管理侧服务器,利用当前的特定的基于DHCP的IP地址向发起请求的设备发出新的网络设备配置信息, 接着更新其记录或信息于是其使用包含在该配置信息中的新分配的静态IP地址来与该网络设备进行之后的通信。
接下来关注该创新性的网络设备的一些其它和/或另外的特性或特征。
该网络设备本身(例如在无线网络交换交换机中)当它启动时必须识别出何时去请求并获得其配置信息,以及何时不去获得该配置信息。有利地,该网络设备不想在每次启动后(尽管并不排除该操作)或可能发生的每次供电故障后去再次获得配置。这可能对于该设备本身或网络或服务器都不存在任何问题,但如果一个设施中的大约两百个网络设备中的每个都在炎热的夏日的临时供电故障后去请求新的配置信息,会给网络上的网络流量、处理和/或该服务器提供的其它内容增加负担。为对此进行处理,该网络设备启动或开机情形,一个小按钮、双态键、开关或其它用于在启动时将状态在请求配置信息第一状态(启用)和不请求配置信息第二状态(禁用)之间转换的按钮将启动接收该设备配置的特殊的激活序列或程序。如果置于第二位置(例如未按下或伸出位置的左边)并不启动激活序列或绕开程序代码,将另外向外部源请求配置信息。这允许该网络设备如交换机或者使用其现有的配置数据集合,或者在任何时间点重置并取得和获得新的配置数据集合 ("conifig")。注意计算机程序软件命令可以被用于转换存储的标签、记号、数据项或其它实现该物理开关相同功能的逻辑的状态。
另外,但可选地,如果有可用的网络管理员或其它人或实体,其能够理解网络设备中存储的网络设备程序或数据,并能在网络设备被送到安装场所之前(装运前的启动模式设定)或在该安装场所处(安装前的启动模式设定)对所述网络设备程序或数据进行改动,这个人额可以应用命令行界面(CLI)来将该网络设备设置进入自动配置请求模式(如,“配置我”或“直运销售”模式,与维持现有的配置模式相对),于是不再需要在开机和自动启动过程中按下按钮,只需要连接网络连接(例如以太网线缆)并提供电源,另外, 该自动配置完全地自动化和无需触摸的。换言之,网络设备的软件中存在着与按钮按动机制相等同的机制,其设置该启动模式或导致在该网络设备中(例如,在处理器、ASIC或网络设备的其它逻辑中)执行软件和/或固件。例如,在一个实施例中,有特别的软件命令,例如“设置自动配置=启用”,一旦其被设置且该网络设备带着自动配置=启用这一设置启动,该网络设备将会在第一次启动时请求配置信息。在第一次启动后,该自动配置被启用, 该模式回到禁用,于是之后的开机将不会导致新的配置信息请求。如本文中所描述的,这意味着如果在将替代网络设备装运到一处没有或仅有最低程度的技术支持的远端位置之前就设置了自动配置=“启用”,只需要用该替代部件来替换失效部件,包括拔出和重新插入简单的以太网线缆和电源线。当该替代部件开机,它会检测到该设备中已经设置的自动配置=启用的模式,并使得该替代网络设备从网络获得其自己的配置信息。执行此次替代的人员不需要具有专业知识,且可以完全不知道正在发生什么。这基本上就和插入一个标准
21的电话机一样简单。
在一个实施例中,一旦它获得了自己的配置信息、数据或文件,该自动配置设定会被禁用,于是当它下一次启动时将不需要再次向外请求获得其配置。在另一实施例中,一旦该自动配置被设置为启用,它将保持这一设定直至改变或重置,于是,该设备将在每次启动时请求获得其配置。这一手段并非优选,因为会不必要地增加网络和服务器上的负担。
计算机程序和计算机程序产品可以包括程序模型,程序模型具有用于在处理逻辑中执行来实现本文所述的创新性方法和过程的指令和可选的数据和/或参数。例如,本文中介绍并在图2、图4和图5中举例图示的方法可以作为软件运行,该软件在该网络设备的处理器或处理逻辑中执行,或由管理侧的处理器或处理逻辑如管理侧服务器计算机(管理侧过程)执行,或由二者的结合来执行。多种类型的处理器、微处理器、ASICs、和连接或耦合的存储器可以在该管理侧服务器和网络设备中应用来实现所需的处理任务。
在一种实现中,网络设备与管理侧服务器之间的通信所使用的协议是 http上的基于XML的协议。该创新性的方案还可以或作为替代方式地随其它语言或协改使用,例如但不限于,SNMP, CMET或任何其它协议,而无需随XML运行或限于XML。
图6描绘了与广域WLAN策略关联的具有部分独立的本地网络设备的系统 600。该系统600包括耦合到第一网络604的无线局域网(WLAN)管理引擎602。在该第一网络604包括无线网络的实施例中,该WLAN管理引擎602可以管理网络设备,例如第一网络604上的无线交换机和接入点(APs)。
在图6的例子中,第一网络604耦合到广域网(WAN)606。该WAN 606可以包括例如但不限于互联网。本文中所用的术语“互联网”指由网络形成的使用特定协议的网络,该特定协议例如TCP/IP协议,还可能是其它协议例如用于超文本标记语言(HTML) 文档的超文本传输协议(HTTP),该HTML文档标记万维网(该网络)。互联网的物理连接和互联网的协议及传输过程对相关领域的技术人员而言是公知的。如果WLAN管理引擎602 能够穿过WAN 606来管理WLAN,则该WLAN管理引擎602能够管理广域WLAN。
在图6的例子中,第二网络608通过WAN 606耦合到第一网络。AP控制器610、AP612和网络服务引擎614耦合到第二网络608这些部件可以通俗地成为在该第二网络608“上”。在WLAN管理引擎602能够进行广域WLAN管理的实现中,该WLAN管理引擎 602可以管理该第二网络608上的一个或多个网络设备。如果WLAN管理引擎602给予网络设备以一定自治力,使其运行时无需例如在WLAN管理引擎602处认证时,第二网络608上的网络设备可以被称为“部分独立”。这对于避免WAN 606上的延迟是有利的,在因某些原因(由于第一网络604、WAN 606、第二网络608、WLAN管理引擎602的问题或其它连通性问题)丧失连通性时则尤其有利。
在一种实现中,该AP控制器610(及其它网络部件,例如AP 612,如可用) 物理地置于与第二网络608相关联的场所。“物理地置于”表示该第二网络608和AP控制器610相比于第一网络604和WLAN管理引擎602而言处于WAN 606的不同侧。
在一种实现中,该AP控制器610(及其它网络部件,例如AP 612,如可用) 在物理地置于与该第二网络608相关联的场所时最初未经配置。电运行能源被提供给该网络设备来启动计算机程序序列的运行,该计算机程序序列生成一条消息,该消息包括网络设备身份信息和请求由WLAN管理引擎602经由该WAN向该网络设备发送该网络设备的配置数据集合的请求。该AP控制器610(及其它网络部件,例如AP 612,如可用)可以具有特有的标识,该标识被编码或由电子签名或数字数据表示。当WLAN管理引擎602接收到带有该特有标识的请求时,该WLAN管理引擎602通过WAN 606提供适于被标识的网络设备的配置数据。有利地,一经以这种方式配置,从AP 612到第二网络608的访问第二网络608的资源的流量将不需要使用WAN606。
在图6的例子中,第二网络608可以包括多个无线发送和/或接收节点。 本文中将这样的节点称为AP 612,尽管应当理解该术语会随技术和/或实现而变化。例如, 在点对点(ad-hoc)网络中,一般不使用术语“AP”。出于简化说明的考虑,由于在电气与电子工程师协会(IEEE)802. 11标准中找到相关的术语对本领域技术人员而言没有困难, IEEE 802. 11标准的当前版本被引用并入本申请,在讨论无线技术时,优先使用一般用于 802. 11标准中的术语。应当理解,在涉及其它无线技术时,可以使用其它术语。
本文中所用的站,可以称作具有符合IEEE 802. 11标准的媒体接入控制 (MAC)地址和到无线介质的物理层(PHY)接口的设备。由于符合802. 11标准的AP具有这些特性,AP通常被称为站。在需要区分AP和非AP站的情况下,AP可以称为“AP”而站则称为“非AP站”。通常,站可以符合任何无线标准或不符合任一无线标准,并具有到无线或其它介质的任何已知或常用接口,尽管取决于标准,站可能有“站”之外的称谓并具有其它到无线或其它介质的接口。穷尽地列举站的每个实现是困难的,但其中一些例子包括笔记本计算机、无线电话、便携式数字助理(PDA)、台式计算机、或任何其它能够进行网络通信的合适的计算设备。
取决于术语和实现,AP包括作为将无线移动站连接到无线骨干网的通信中枢的硬件单元。这可以,举例来说,使得AP将用户连接到网络中的其它用户,和/或使得 AP充当无线局域网(WLAN)和固定有线网络之间互联的点。给定实现所需要的AP数量可以取决于无线域所需的大小。例如,可能需要将AP定位以使得它们覆盖了无线域的整个区域 /空间。给定实现所需要的AP数量还可以取决于来自这些AP的数据是否被用于获得这些站或这些站的子集在无线网络中的位置的快照;通常,AP越多越好,尽管在有些地方很可能存在收益递减。AP的一种实现,例如但不限于,包括卓思网络 移动点(MOBILITY POINT) (MP )AP。无线域的一种实现,例如但不限于,包括卓思网络⑧智能手机(SMART MOBILE )(卓思智能手机 )无线域。
在运行中,通常AP可能使用一个或多个无线发射机来发送和接收数据。例如,AP可以具有两个关联的无线电设备,其一配置用于5GHz传输,另一个配置用于 2. 4GHz传输。(其它频带也是可以接受的。)在一个非限定实施例中,AP通过以太网连接向无线站发送和从该无线站接收射频(RF)信号形式的信息。AP可以向它们关联的无线交换交换机发送信息并接收来自所述无线交换交换机的信息。到第二无线交换交换机的连接提供了冗余度。无线交换交换机的一种实现,例如但不限于,包括卓思网络 移动交换 (MOBILITY EXCHANGE ) (MX)交换机。
该网络服务引擎614可以向经授权的耦合到该第二网络608的站提供网络服务。为了图解说明的需要,该WLAN管理引擎602在WAN 606的第一侧,同时该网络服务引擎614位于WAN 606的第二侧,即与AP控制器610和AP 612处于同侧。这一差异是相对的,因为,在一种实现中,诸如AP控制器610等网络设备是由WLAN管理引擎602根据广域 (或“全局”)WLAN管理系统来配置的,但是本地网络设备在配置之后至少部分独立。所以, 从AP 612到第二网络608访问网络服务引擎614的网络资源的流量将不会使用WAN 606。 在图6的例子中,在运行时,站616通过AP 612来访问网络服务引擎614的网络资源。
图7描绘了用于部署部分独立网络设备的方法的例子的流程图700。在图7所示的例子中,流程图700始于模块702,其中提供连接到通过WAN连接到第一网络的第二网络,以便在与第二网络相关联的场所使用。该网络资源可以被例如网络服务引擎提 {共。
在图7的例子中,流程图700继续到模块704,其中将未配置的网络设备物理地置于与该第二网络相关联的场所,其中该网络设备包括特有的标识。
在图7的例子中,流程图700继续到模块706,其中提供运行电源来生成一条消息,该消息包括该特有标识和要求通过该WAN向该网络设备发送配置数据集合的请求。
在图7的例子中,流程图700继续到模块708,其中在网络设备处接收配置数据集合。有利地,模块706和708有助于在耦合到第一网络的WLAN管理引擎处的广域 WLAN策略。一旦接收到该配置数据集合,该网络设备可以根据广域WLAN策略来对自己进行配置。其接下来可以至少部分独立于WLAN管理弓I擎来运行。
在图7的例子中,流程图700结束在模块710,其中,在本地将流量从AP
调动到访问网络资源而不使用WAN的第二网络。在本地,表示流量在第二网络上调动;不需要将流量通过WAN向上发给WLAN管理引擎。
除非上下文清楚地要求,否则遍及说明书和权利要求书,“包括”及相似的表达应被理解为包含的意义,而与排他或详尽的意义相反;也就是说,解释为“包括但不限于”的意思。使用单数或复数数字的文字也可分别相应地包括复数或单数数字。另外,文字 “本文” “在此”、“以上”、“以下”和具有相似含义的文字当用于本专利申请时,应指本申请整体,而非本申请任何特定的部分。
以上的详细描述并非要做到穷尽或将本发明限定到上述的具体形式。上文中为举例目的而介绍了本发明的具体实施例和例子,如本领域技术人员可以能够认识到的,还可能存在落入本发明范围中的各种等同变形。例如,当步骤以给定的顺序呈现时,作为替代方式的实施例可以执行具有其它步骤顺序的程序。在此提供的本发明的教导可以应用于其它系统,而并非仅限在此述及的系统。在此介绍的各实施例可以合并来得到进一步的实施例。可以根据详细描述来对本发明进行上述和其它改动。
以上所有参考和美国专利和专利申请被引用并入本申请。如果必要,可以对本发明的各方面进行修改来实现上述各专利和专利申请的系统、功能和概念,提供本发明更进一步的实施例。可以根据以上详细说明对本发明进行上述及其它改动。通常,在以下权利要求书中所用的术语不应被理解为将本发明限定到说明书中所公开的特定的实施例, 除非在以上的详细说明中已经明确定义了该术语。因此,本发明的实际范围覆盖了公开的实施例和所有在权利要求范围内实践或实现本发明的等同方式。
下面以特定的权利要求形式呈现了本发明的某些方面,发明人已经深入考虑过任意数量权利要求形式中的本发明的各个方面。因此,发明人保留在提交本申请之后增加额外的权利要求来为本发明的其它方面获得额外的权利要求形式的权利。
权利要求
1.一种在至少一个网络设施中部署网络架构的方法,该方法包括提供附加于第二网络的网络资源,以供在与该第二网络相关联的场所使用,其中第一网络通过广域网耦合到该第二网络,且网络管理服务器耦合到该第一网络来管理无线局域网网络设备;将未经配置的接入点控制器物理地置于与该第二网络相关联的场所,其中该接入点控制器包括特定标识,该特定标识被编码或由电子签名或数字数据表示;向该接入点控制器提供电运行能源,来启动计算机程序序列的执行,该计算机程序序列生成消息,该消息包括该特定标识和对由无线局域网管理服务器通过该广域网向该接入点控制器发送该接入点控制器的配置数据集合的请求;在该接入点控制器处接收来自该无线局域网管理服务器的配置数据集合;在本地将访问该网络资源而无需使用该广域网的流量从接入点调送到该第二网络。
2.如权利要求1所述的方法,其中该配置数据集合与参数相关联,该参数选自包括以下各项的组接入点控制器硬件身份证明、至少一个所述接入点控制器位置和适用于该位置上的控制器的策略、适用于该位置上的接入点控制器的策略、基于适用于一个网络设备的策略及其运行环境而适用于该网络设备的策略、及上述各项的组合。
3.如权利要求1所述的方法,该方法进一步包括部署多个连接到该接入点控制器的未经配置的接入点,每个接入点至少具有在所述多个接入点中不同的特有标识,该标识被编码或由电子或数字数据所表示;接收所述多个接入点的配置数据集合和所述接入点控制器的配置数据集合;
4.如权利要求1所述的方法,其中该配置数据集合包括表示配置信息源来自DHCP或来自于对该设备的预先配置的指示,该指示在将该配置数据集合发送到发起请求的设备时使用。
5.一种用于部署包括至少一个网络设备的第二网络的方法,其中该第二网络通过广域网耦合到第一网络,该方法包括在设施处接收未经配置或未完整配置的无线交换机,该无线交换机需要配置信息来和网络进行交互操作;将网络线缆的插头连接到该无线交换机的外壳的外表面上配套的连接器,该网络线缆耦合到网络;为该网络交换机提供电能,来启动存储在该无线交换机中的程序,所述程序对于以下各项可实行(i)通过该广域网向所述第一网络上的外部配置信息源发送配置信息请求消息,和(ii)通过该广域网接收来自所述源的被请求的配置信息,并将其中至少一部分存入该无线交换机;允许该无线交换机使用所述被请求、接收并存入该无线交换机的配置信息连接到所述网络;其中从接入点到该第二网络的访问网络资源的流量不使用该广域网。
6.如权利要求5所述的方法,其中该配置信息包括用于该无线交换机和耦合到该无线交换机的接入点的配置信息。
7.一种方法,包括其中,第一网络通过广域网耦合到第二网络,无线局域网管理系统附加到所述第一网络,接入点附加到所述第二网络,网络服务附加到该第二网络以便在于该第二网络关联的场所使用;将初始未配置的无线交换机附加到所述第二网络;从所述无线交换机通过该广域网向该无线局域网管理系统发送用于调送配置数据的请求;在所述无线交换机处接收来自该无线局域网管理系统的对所述请求的响应,其中包括交换机配置数据;在该无线交换机处存储该交换机配置数据,并借此配置该无线交换机; 其中,在配置了该无线交换机后,从所述接入点到该第二网络访问该网络服务的流量不使用该无线局域网。
8.一种方法,包括提供附加到第二网络的网络资源,以供在与该第二网络关联的场所使用,其中该第二网络通过广域网连接到第一网络;在与该第二网络关联的场所物理地置入多个未经配置的网络设备,其中包括接入点和无线交换机,该接入点和无线交换机各自具有不同的经过编码或由电子签名或数字数据表示的特有标识;激活该无线交换机活动至请求配置状态;从该无线交换机在该广域网上向网络设备管理服务器发送对配置数据集合的请求;在该无线交换机处接收来自该网络设备管理服务器的配置数据集合;将该配置数据集合加载到该无线交换机中的非易失性存储器,借此配置该无线交换机;其中,在配置了该无线交换机后,从所述接入点到该第二网络访问该网络服务的流量不使用该广域网。
9.如权利要求8所述的方法,还包括 将无线交换机耦合到网络;为该无线交换机提供电运行能量,来启动计算机程序序列,该计算机程序序列生成对配置数据集合的请求,所述请求包括网络设备身份信息;从该无线交换机向所述网络发送对配置数据集合的请求,其中该设备标识信息包括选自以下各项的集合中的信息特有的设备标识、设备序列号、设备互联网协议地址、设备级别、设备场所、设备位置、子网掩码、网络标识、要配置的设备类型、软件版本标识、固件版本标识、制造商数据、DHCP源指示、预先配置的固定地址指示、序列标识、IP地址、媒体接入控制地址、服务集合标识、及以上各项的任意组合;接收与该设备标识相关联的配置数据集合,其中该配置数据集合包括识别被允许从或通过该无线交换机访问网络的用户或客户设备的属性的配置信息;从所述配置数据集合获得定义该无线交换机和网络上的其它设备之间关系的配置信肩、ο
10.如权利要求8所述的方法,进一步包括识别在耦合到该无线交换机的持续非易失性存储器中被唯一地识别的接收方; 通过向所述被唯一地识别的接收方发送消息来找到管理服务器。
11.如权利要求8所述的方法,还包括根据相互认证和加密/解密策略来发送该配置数据集合请求; 根据所述相互认证和加密/解密策略来接收所述配置数据集合; 其中所述相互认证策略包括交换用户身份和密码; 其中所述加密/解密策略涉及密钥的使用。
12.如权利要求8所述的方法,进一步包括改变选自包括以下各项的开关组中的开关的状态物理硬件开关、在该无线交换机启动时被按下的物理按钮、在该无线交换机开机时被按下的物理按钮、逻辑开关、和软件开关,其中改变该开关的状态激活了请求配置数据集合状态; 改变该开关的状态来激活不请求配置数据集合状态。
13.一种无需网络管理人员介入的使用包括存有配置信息的数据库的网络设备管理服务器来向网络上的无线交换机发送基于策略的配置数据集合的方法,包括将所述网络设备管理服务器耦合到网络;在该网络设备管理服务器处接收配置数据集合请求,所述请求包括与无线交换机关联的设备标识;使用该设备标识和存储在该数据库中的与该设备标识相关联的配置信息来为该无线交换机选择或生成配置数据集合;响应所述配置数据集合请求,向该无线交换机发送所述配置数据集合。
14.如权利要求13所述的方法,进一步包括将该配置数据集合存入与该设备标识相关联的数据库; 根据至少一个网络配置策略和该设备标识来进行配置数据库查询。
15.如权利要求13所述的方法,进一步包括以离线或本地模式来将该配置数据集合存储至该网络设备管理服务器,而不需将该无线交换机连接到所述网络。
16.如权利要求13所述的方法,其中所述配置数据集合与适用于该无线交换机的策略及该无线交换机的运行环境相关联的策略相关联。
17.如权利要求13所述的方法,其中所述配置数据集合包括表示配置信息源来自DHCP 或来自对该无线交换机的预先配置的指示,所述指示在将所述配置数据集合发送给该无线交换机时使用。
18.—种自动配置的无线交换机,包括存有设备标识和接收方标识的非易失性存储器;具有可编程逻辑状态的逻辑电路,其中的第一状态将该设备识别为请求新的基于策略的配置,第二状态将该设备识别为维持该无线交换机中已经存储的配置; 通信接口,用于当该无线交换机处于所述第一状态中时向与该接收方标识相关联的位于远端的外部设备发送配置数据集合请求,所述请求包括该设备标识;接收来自所述位于远端的外部设备的与该设备标识相关联的配置数据集合; 配置存储器,其中,在运行时,该配置数据集合加载到所述配置存储器来帮助自动地且无需本地管理人员介入地配置该自动配置的无线交换机,其中,经过配置,所述自动配置的无线交换机为来自相对本地的接入点的访问相对本地的网络资源的流量提供充分的调送功能。
19.如权利要求18所述的设备,其中该位于远端的外部设备通过广域网定位。
20.如权利要求18所述的设备,其中该设备包括外壳,且该逻辑电路包括双位开关,所述开关具有用于改变所述状态的按钮,所述按钮暴露于或穿过所述外壳的表面。
全文摘要
自动地配置网路设备,网络系统架构,和用于配置网络上一个或多个设备的方法。用于自动化自启动并配置一台、多台、或几百台有线或无线网络设备的设备、网络系统架构及方法。自动配置无线局域网交换机和连接到该交换机的接入点设备。用于利用设备来访问远程服务器从而获得设备配置信息的方法。用于在设施中布置包括至少一个网络设备的网络而无需具有网络或网络设备知识的人员在该设施处参与的方法。计算机程序及计算机程序产品。
文档编号H04L12/24GK102594579SQ201110001680
公开日2012年7月18日 申请日期2011年1月6日 优先权日2011年1月6日
发明者保罗·E·泽尔丁, 杨恩·弗罗因德, 詹姆希德·巴格瓦迪亚 申请人:卓思网络公司