专利名称:在两个网络间建立vpn连接的方法
在两个网络间建立VPN连接的方法本发明涉及用分配给两个网络的两个通信装置、交换装置和识别工具在两个网络间建立VPN连接的方法。上述类型的VPN连接在现有技术中广泛已知,并通常应用于使网络的用户从原始网络连接至另一网络,并使得对于原始网络的用户而言,看起来其没有连接到其原始网络, 而是直接连接至该另一网络。特别地,在不同的工业应用领域中,例如在对设备进行远程维护时,VPN网络具有重要意义并能够在设备维护时显著节省资源。然而,除了大量不同的参数之外,尤其是向相应通信装置(如服务器)的网络询问的参数或基于设备运营商或远程维护服务商的安全标准的参数之外,提供用于建立这种类型的VPN连接所需的、并且通常由各用户定制的单独配置则要求较高的IT知识和自动化知识。在这种情况下,现有的建立 VPN连接的系统的缺点在于,用于建立VPN连接以例如实施设备远程维护的系统是非常昂贵的。本发明的一个目的是提供一种建立VPN连接的方法,利用该方法可在两个网络间特别简单且安全地建立VPN连接。该目的通过独立权利要求的内容来解决。从属权利要求中描述了优选的实施方式。上述目的的一种解决方案是用分配给两个网络的两个通信装置、交换装置和识别工具在两个网络间建立VPN连接的方法,该方法步骤如下(b)用识别工具使交换装置识别第一通信装置;(c)将第一 VPN数据包从第一通信装置发送至交换装置;(e)用识别工具使交换装置识别第二通信装置;(f)将第二 VPN数据包从第二通信装置送至交换装置;(1)由交换装置提供用于在通信装置之间建立VPN连接的、第一通信装置的第一 VPN配置参数;以及(m)由交换装置提供用于在通信装置之间建立VPN连接的、第二通信装置的第二 VPN配置参数。因此在本发明中,交换装置使第一通信装置的第一 VPN配置参数可用,并使第二通信装置的第二 VPN配置参数可用,从而使通信装置通过可用的配置参数能特别简单地建立VPN连接。通过根据本发明的这种方法,使通信装置之间能够建立VPN连接而无需操作者具有专业的IT知识如用于VPN连接或网络的其它知识。优选地,第一 VPN配置参数和/ 或第二 VPN配置参数包括分配给每个通信装置的网络、协议、网关IP地址和端口的信息以及现有技术中已知的建立VPN连接所需的其它信息。这里,VPN数据包可包括对应于或不同于每个通信装置和/或交换装置的返回地址或目标地址。因此,通信装置设置为现有技术中已知的用于建立VPN连接的装置,例如路由器、 防火墙和/或服务器。同样地,交换装置设置为现有技术中已知的网络中用于交换服务的装置,例如服务器。优选地,网络设置为IP网络,其中优选地,VPN连接根据例如IPsec、TLS/ SSL、ViPNet、PPTP与L2TP、PPPD与SSHjP /或SSTP等协议运行。此外,交换装置和分配给指定通信装置的网络通过另一个网络例如互联网而相互连接。根据本发明,通信装置利用相同的识别工具依次识别交换装置,然后将VPN数据包发送至交换装置。在本发明中,交换装置从所接收的VPN数据包中提取用于在通信装置之间建立VPN连接的具体的VPN配置参数,所提取的VPN配置参数可用于供具体的通信装置在随后建立VPN连接。由此可特别在分配给通信装置的两个网络之间简单地建立VPN连接,优选地,建立安全的VPN连接。此外,优选地,第一通信装置通过分配给第一通信装置的第一网络与设备和/或装备连接,第二通信装置与属于维护服务提供商例如设备制造商的、分配给第二通信装置的第二网络连接。这样,维护服务提供商可通过建立的VPN连接执行对设备或装备的远程维护。特别优选地,由操作者这样进行步骤(b),即,通过访问分配给交换装置的网站使交换装置识别第一通信装置。这里,识别工具可例如为网站的登录账户、令牌和/或密码。根据本发明,方法包括以下步骤(k)由交换装置从所接收的第一 VPN数据包和/ 或所接收的第二 VPN数据包中分别确定出第一 VPN配置参数和第二 VPN配置参数。根据本发明的特别优选的实施方式,还可首先从由通信装置发送至交换装置的VPN数据包中提取用于在通信装置之间建立VPN连接所需的信息。然后,在接下来的步骤中优选地通过步骤 (1)和/或(m)将VPN配置参数形式的信息设置为对给定的通信装置可用。因此,根据本发明的实施方式有利的是,先接收多个第一数据包和/或第二数据包,直至由所接收的第一 VPN数据包和/或所接收的第二 VPN数据包识别出确定第一 VPN配置参数和第二 VPN配置参数需要的全部信息。因此,与现有技术中已知的必须以手工方式并且几乎毫无例外地通过扩展专业知识来设置VPN配置参数不同,本发明有利地允许VPN配置参数从VPN数据包中特别简单地 (近似完全自动地)生成。因此,能够特别简单地建立两个网络之间的VPN连接。根据另一优选的实施方式,该方法包括以下步骤(a)在第一通信装置与交换装置之间创建连接,以及(d)在第二通信装置与交换装置之间创建连接。这里,在通信装置与交换装置之间创建连接例如可通过使与每个通信装置相关的操作者访问与交换装置相关的网站来实现。可替换地,在通信装置与交换装置之间的连接可由通信装置自动执行,例如根据操作者的要求自动进行。尤其优选地,在步骤(a)之后的一个小时后,优选地30分钟后,更优选地5分钟后执行步骤(d)。通过这样的实施方式,可特别简单地将VPN连接的建立初始化。原则上,如上所述,步骤(1)可直接在步骤(f)后进行。然而,根据本发明的另一优选实施方式,该方法还包括以下步骤(h)将VPN数据包从交换装置发送至第一通信装置和/或第二通信装置,以及(i)检验第一通信装置或第二通信装置是否接收到VPN数据包。 以这种方式,除了在步骤(c)或(f)中发送数据包之外,还可例如测试通信装置是否布置为能够接收VPN数据包。这样,还可测试以确定防火墙(例如阻止对与通信装置相关的网络进行未经授权访问的防火墙)是否配置为不仅可通过数据包的发送来以输出的方式建立VPN 连接(例如在步骤(c)或步骤(f)中设置的那样),还可测试防火墙是否配置为可建立输入的VPN连接,例如根据步骤(h)接收VPN数据包。所以,通过这样的布置能够特别简单地测试或模拟通信装置是否不仅发送VPN数据包、还可接收VPN数据包。
在这种情况下,根据本发明的另一优选实施方式,方法还包括步骤(g)由交换装置通过随后的步骤(h)通知第一通信装置或第二通信装置,以及(j)如果第一通信装置或第二通信装置没有接收到VPN数据包,则输出错误信息。所以,根据这些步骤,一方面首先通知通信装置VPN数据包从交换装置发送至通信装置,另一方面,如果VPN数据包没有到达通信装置则输出错误信息。优选地,这样的错误信息包括关于网络、协议、网关IP地址、端口的信息或其它现有技术中已知的建立VPN连接所需的参数。这样的布置使得可对建立 VPN连接时出现的问题进行特别简单地测试,并通过输出错误信息对问题进行识别及定位。根据本发明的另一优选实施方式,步骤(C)和/或步骤(f)在交换装置对第一通信装置或第二通信装置发出请求后执行。根据该实施方式优选的是,如果交换装置发出了例如准备接收VPN数据包的请求,则首先将VPN数据包发送至交换装置。在特别优选的实施方式中,该方法包括步骤(η)由第一通信装置和/或第二通信装置在通信装置之间建立VPN连接。根据该实施方式,优选地,通信装置借助在步骤(1)和 /或步骤(m)中由交换装置提供的VPN配置参数在通信装置之间建立VPN连接。这就意味着,在交换装置在没有进一步相互作用的情况下在通信装置之间建立VPN连接,从而例如可通过VPN连接对设备进行远程操作。原则上,技术人员可以任意期望的方式对用识别工具进行识别的步骤进行设置。 根据本发明的优选实施方式,用识别工具进行识别的步骤包括登录交换装置的网站,并且识别工具设置为网站的登录账户。例如,识别工具可为在步骤(b)中由第一通信装置设置的临时登录账户,其中,在步骤(e)中使用相同的登录账户识别第二通信装置。因此,这样的布置可允许根据本发明在两个网络间建立VPN连接的方法的特别简单的操作或实施。本发明的一个解决方案还涉及使用上述方法对设备进行远程维护从而使第一通信装置通过网络与设备连接的用途。通过根据本发明的方法的这种用途,使得设备例如工业设备被特别简单地远程维护,而操作者无需掌握关于VPN协议的用于建立远程维护必需的VPN连接的专业知识。与上述方法类似地,根据本发明的方法的其它实施方式和优点对于本领域技术人员是显而易见的。上述问题的解决方案还通过用于实施先前执行的方法的交换装置来实现。优选地,交换装置设置为服务器。与上述方法类似地,根据本发明的交换装置的其它实施方式和优点对于本领域技术人员也是显而易见的。下面将参照附图根据优选的实施方式对本发明作进一步描述。在附图中
图1为现有技术中已知的远程维护环境的示意图;图2为具有根据本发明一个优选实施方式的交换装置的远程维护环境的示意图;图3为具有根据本发明一个优选实施方式的交换装置的远程维护环境的另一示意图。图1示出了现有技术中已知的远程维护环境,该远程维护环境包括由设备运营商布置的第一网络1,第一网络1通过第一通信装置2与运营商的设备3连接。第一网络1、 第一通信装置2和设备3均通过防火墙4与互联网5连接。
同样地,从图1还示出了由远程维护提供者布置的第二网络6,第二网络6包括第二通信装置7,第二通信装置7以由防火墙8进行保护的方式连接于互联网5。第一网络1、第二网络6和互联网5根据现有技术中已知的IP协议运行。同样地, 防火墙4和防火墙8设置为根据现有技术已知的防火墙4和防火墙8,并用于防止来自互联网5的未经授权的访问。然而,对于输出的VPN连接9或输入的VPN连接10来说,防火墙 4和防火墙8配置为允许VPN连接9或VPN连接10通过。此外,设备3设置为现有技术中已知的任意工业设备。第一通信装置2和第二通信装置7均设计为用于在通信装置2和7 之间建立VPN连接的VPN路由器。根据本发明的方法,在第一步骤(a)中,在第一通信装置2与交换装置11之间建立连接,从而交换装置11也与互联网5连接,其中,此处的交换装置11设置为服务器。然后,在步骤(b)中,利用识别工具使交换装置11识别第一通信装置2。该识别通过登录到交换装置11的网页以使第一通信装置2在网页上生成临时登录账户作为识别工具来实现。步骤(a)和步骤(b)均可由设备3的用户来发起。在接下来的步骤(c)中,第一通信装置2将第一 VPN数据包发送至交换装置11,其中,交换装置11接收由第一通信装置2发出的VPN数据包。接下来,在步骤(d)中,在第二通信装置7与交换装置11之间建立连接,同样地, 该连接通过访问与交换装置11相关的网页来实现。在随后的步骤(e)中,使用相同的识别工具,即,使用相同的临时登录账户,使交换装置11识别第二通信装置7,并且在步骤(f)中,将第二 VPN数据包从第二通信装置7发送至交换装置11。交换装置11则从第二通信装置7接收第二 VPN数据包。在步骤(k)中,交换装置11从所接收的数据包中确定出第一 VPN配置参数12和第二 VPN配置参数13。VPN配置参数12和13包括例如为网络、协议、网关IP地址和/或端口以及现有技术中用于建立VPN连接的其它已知参数的信息14和信息15,这些参数由交换装置11从所接收的VPN数据包中提取。因此,VPN配置参数12和13设计为在根据步骤⑴和(m)由交换装置11向通信装置2和7中的每个进行VPN参数12和13的提供16 和17之后,通信装置2和7可根据步骤(η)借助所接收的VPN配置参数12和13直接建立 VPN连接。在测试或模拟生成的VPN配置参数12和13时,可根据步骤(h)将VPN数据包从交换装置11发送至通信装置2和7。在随后的步骤(i)中,将检验VPN数据包是否到达第一通信装置2或第二通信装置7。通过输出错误消息,例如“输入的UDP包在端口 500被阻止”,可根据步骤(j)识别例如防火墙4、8是否阻止了输入的连接10,从而使用户可对用于建立VPN连接所需的输出连接9或输入连接10的防火墙4和8的配置进行设置。为此,有利的是,根据步骤(g), 在测试发送VPN数据包之前,交换装置11通知相应的通信装置2和7。因此,本发明能够在建立VPN连接时简单地对错误进行判断和定位。在将已经建立的VPN连接中断后,可简单地重复执行用于建立VPN连接的上述方法。参考标记列表
1第一网络2第一通信装置3 设备4防火墙5互联网6第二网络7第二通信装置8防火墙9输出连接10输入连接11交换装置12第一 VPN配置参数13第二 VPN配置参数14 信息15 信息16提供第一 VPN配置参数17提供第二 VPN配置参数
权利要求
1.一种用分配给两个网络(1、6)的两个通信装置0、7)、交换装置(11)和识别工具在两个网络(1、6)间建立VPN连接的方法,所述方法具有以下步骤(b)用所述识别工具使所述交换装置(11)识别第一通信装置O);(c)将第一VPN数据包从所述第一通信装置( 发送至所述交换装置(11);(e)用所述识别工具使所述交换装置(11)识别第二通信装置(7);(f)将第二VPN数据包从所述第二通信装置(7)发送至所述交换装置(11);(k)由所述交换装置(11)从接收的所述第一 VPN数据包和/或接收的所述第二 VPN数据包中分别确定出第一 VPN配置参数(1 和第二 VPN配置参数(13);(1)由所述交换装置(11)提供(16)用于在所述通信装置(2、7)之间建立VPN连接的、 所述第一通信装置⑵的第一 VPN配置参数(12);以及(m)由所述交换装置(11)提供(17)用于在所述通信装置(2、7)之间建立VPN连接的、 所述第二通信装置(7)的第二 VPN配置参数。
2.如权利要求1所述的方法,具有以下步骤(a)在所述第一通信装置( 与所述交换装置(11)之间建立连接,以及(d)在所述第二通信装置(7)与所述交换装置(11)之间建立连接。
3.如前述权利要求中任一项所述的方法,具有以下步骤(h)将VPN数据包从所述交换装置(11)发送至所述第一通信装置( 和/或所述第二通信装置⑵,以及(i)检验所述第一通信装置( 或所述第二通信装置(7)是否已接收到所述VPN数据包。
4.如权利要求3所述的方法,具有以下步骤(g)由所述交换装置(11)通知所述第一通信装置( 或所述第二通信装置(7)随后的步骤(h);以及(j)如果所述第一通信装置( 或所述第二通信装置(7)没有接收到所述VPN数据包, 则发出错误消息。
5.如前述权利要求中任一项所述的方法,其中,步骤(c)和/或步骤(f)分布在所述交换装置(11)向所述第一通信装置( 或所述第二通信装置(7)发出请求后执行。
6.如前述权利要求中任一项所述的方法,具有以下步骤(η)由所述第一通信装置( 和/或所述第二通信装置(7)在所述通信装置(2、7)之间建立VPN连接。
7.如前述权利要求中任一项所述的方法,其中,用所述识别工具进行识别的步骤包括登录所述交换装置(11)的网页,并且所述识别工具为所述网页的登录账户。
8.使用前述权利要求中任一项所述的方法对设备C3)进行远程维护以使所述第一通信装置⑵通过网络⑴与所述设备⑶连接的用途。
9.用于实施前述权利要求中任一项所述的方法的交换装置(11)。
全文摘要
本发明的内容为用分配给两个网络(1、6)的两个通信装置(2、7)、交换装置(11)和识别工具在两个网络(1、6)间建立VPN连接的方法,该方法具有以下步骤(b)用识别工具使交换装置(11)识别第一通信装置(2);(c)将第一VPN数据包从第一通信装置(2)发送至交换装置(11);(e)用识别工具使交换装置(11)识别第二通信装置(7);(f)将第二VPN数据包从第二通信装置(7)发送至交换装置(11);(l)由交换装置(11)提供(16)用于在通信装置(2、7)之间建立VPN连接的、第一通信装置(2)的第一VPN配置参数(12);以及(m)由交换装置(11)提供(17)用于在通信装置(2、7)之间建立VPN连接的、第二通信装置(7)的第二VPN配置参数。根据本发明的这种方法能够在通信装置(2、7)之间建立VPN连接,而无需操作方具有例如用于VPN连接的专业知识或关于网络(1、6)的其它知识。
文档编号H04L12/24GK102457421SQ201110306259
公开日2012年5月16日 申请日期2011年10月11日 优先权日2010年10月15日
发明者英格·希尔根坎普 申请人:凤凰接触股份有限及两合公司