专利名称:用于中心站分配虚拟ip地址的各种方法和设备的制作方法
技术领域:
本发明的实施例大体上涉及网络装置。更具体地,本发明的实施例的方面涉及用 于虚拟互联网协议(IP)地址的自动分配的中心管理站。
背景技术:
互联网是网络的大型集合,它们共同使用TCP/IP协议套(protocolsuite)以允许 在一个网络上的装置自动与可能在相同或远程网络上的其他装置通信。对于每个活动网络 接口给每个这样的装置指派IP地址,这允许网络基础设施部件在目标装置之间自动路由 业务流(traffic)。给每个这样的网络接口指派整个互联网上唯一的IP地址是一般要求,然而已经 保留若干块IP地址以供接口上使用(不需要使其在本地网络外面是可用的)。这样的专用 地址也称为“不可路由”地址,因为建立路由(即,通过一组网络基础设施装置的路径)使 得来自本地网络上的装置的业务流可到达远程网络上具有不可路由地址的网络接口是不 可能的。由于互联网增长,该技术已经允许专用地址的重复再次使用,其帮助缓解公共可访 问的IP地址的不断增长的短缺,但它也导致更大的复杂性,因为管理员寻找备选机制以在 没有可路由地址的情况下提供对远程装置的访问。由于互联网增长和安全威胁增加,网络管理员也试图在他们的管理控制下通过开 发和部署网络过滤装置或应用程序(其允许网络管理员指定依照要求批准或拒绝访问的 具体地址和端口组合)限制对具体装置的访问。这两个技术一起帮助确保互联网的增长和 稳定性,但以大大增加的复杂性以及管理员希望提供对在他们的管理控制外面的网络上的 联网装置的无缝访问为代价。解决该问题的一个现存的机制涉及在本地联网装置上安装专用客户端软件,其将 允许它起“虚拟专用网络”(VPN)的一部分的作用,其中本地装置被允许担当如同它是远程 网络的成员那样。当使用这样的VPN系统时在远程网络上给本地主机指派IP地址并且远 程网络上到主机和来自主机的所有业务流由VPN系统自动路由。该技术达到效果但该方法苦于若干缺陷。VPN系统必须首先由远程网络的管理员 建立。一旦这完成,专业化软件必须安装在希望访问的每个外部装置或VPN系统上(如果 这没有完成,系统将能够提供仅有限的可访问性,例如通过网络浏览器界面)。另外,适当的安全证书必须由远程管理员产生并且由本地管理员和用户分发和维护,它们所有在对运行 的所有方上放置重要的管理责任。作为最终的缺点,一旦本地主机被批准VPN访问,它将一 般具有对远程网络上的所有装置的访问权(除非采取附加过滤步骤防止此),这可能不是 远程管理员期望的。克服不可路由地址的问题的另一个技术是执行所谓的“网络地址转换”(NAT),其 涉及边界路由器的复杂重新配置以自动映射网络地址/端口组合到以及从可路由地址到 不可路由地址。该技术确实允许单个公共可路由IP地址的使用以提供对多个具有不可路 由地址的装置的访问而仅以增加的系统复杂性为代价。启用NAT的网络一般不允许入局连 接(除非映射已经从具体端口 /地址组合预先配置到具体装置),其可能进而与试图使用默 认或非标准地址/端口组合的软件冲突。考虑到这些挑战,存在需要一种机制在不使用专用主机软件并且在远程网络上不 要求网络管理员特权以建立、维护或操作该方案的情况下允许对使用非可路由地址的远程 装置的简化和自动化的访问。假如创建并且部署这样的系统,主要的问题将是自动创建、分 配和维护适当的本地虚拟IP地址以供系统使用的能力。
发明内容
描述用于中心站分配虚拟IP地址的方法、设备和系统。装置服务管理器服务器 (DSM)具有配置成与两个或更多装置服务控制器(DSC)合作的网络访问模块。DSM充当中 心管理站用于分配和指派虚拟IP地址给网络装置以代理每个DSC所在的局域网(LAN)上 的联网装置的通信。DSM位于LAN上的网络装置(与所指派的VIP地址关联的通信正路由 到其上)的外部。DSM指派虚拟IP地址给每个DSC并且建立从指派的虚拟IP地址到LAN 上的目的网络装置的路由(基于存储在DSM的注册表中的对应的DSC和网络装置信息)。
附图涉及本发明的实施例,其中图1图示对在由防火墙保护的网络中的联网装置访问和从其访问的系统的实施 例的框图;图2a图示具有位于由第一防火墙保护的第一域和由第二防火墙保护的第二域外 部的装置服务管理器服务器的系统的实施例的框图;图2b图示具有DSC的系统的实施例的框图,每个DSC具有管道管理器,其配置成 通过向DSM验证它自己和建立到DSM的出局TCP/IP流连接然后在建立的TCP/IP流连接上 对于将来的双向通信保持该连接打开来向DSM提供直接通信隧道;图3图示具有中心DSM和本地DSC以对在由防火墙保护的网络中的联网装置访问 和从其访问的系统的实施例的框图;图4图示在DSC中的管道管理器的实施例的状态图;图5图示分布式系统的自动集中式管理的实施例的框图;图6图示DSM的示例实施例的框图;图7图示DSC的示例实施例的框图;图8图示通过在DSC中的可执行自举文件对这些DSC分发配置信息的DSM的实施例的框图;图9图示使虚拟IP地址的分配自动化的DSM的实施例的框图;图10图示获得和向DSM报告虚拟IP地址的网络集管(networkmanifold)的实施 例的流程图;图11图示创建在本地网络中可用的虚拟IP地址的两个或更多池的DSM的图。尽管本发明可以具有各种修改和备选形式,它们的具体实施例通过示例的方式在 附图中示出并且将在本文中详细描述。应该理解本发明不限于公开的特定形式,而相反,本 发明涵盖落入本发明的精神和范围内的所有修改、等同物和备选方案。
具体实施例方式在下列说明中,阐述许多具体细节,例如具体数据信号、所指部件、连接、网络等的 示例,以便提供本发明的全面理解。然而,对于本领域内普通技术人员中之一本发明可在没 有这些具体细节的情况下实践将是明显的。在其他情况下,众所周知的部件或方法没有详 细描述,相反采用框图描述以便避免不必要地使本发明模糊不清。可给出其他具体的数字 标号,例如第一网络等。然而,具体的数字标号不应该解释为字面的顺序,相反要解释成第 一网络不同于第二网络。从而,阐述的具体细节是仅示范性的。具体细节可不同并且仍然 预期在本发明的精神和范围内。一般,描述各种方法和设备以提供中央系统以分配和指派虚拟IP地址给两个或 更多远程装置。装置服务管理器服务器(DSM)可具有配置成建立与两个或更多装置服务控 制器(DSC)通信的网络访问模块。DSM充当中心管理站用于分配和指派虚拟IP地址给网 络装置以代理每个DSC所在的局域网(LAN)上的联网装置的通信。DSM位于与指派的VIP 地址关联的通信正路由到其上的LAN上的网络装置的外部。DSM命令每个DSC获得DSC所 在局域网中可用的本地虚拟IP地址。DSC然后报告这些可用的本地虚拟IP地址回到DSM。 DSM指派虚拟IP地址给给定的DSC并且建立从指派给第一 DSC的虚拟IP地址到目的网络 装置的路由(基于存储在DSM的注册表中的对应的DSC和网络装置信息)。在DSM中的网络访问模块可配置成创建1)每个DSC的唯一标识符和给该DSC所 指派的本地网络的虚拟IP地址的示例配对、2)第一局域网上主机DSC控制器的唯一标识符 和与DSC的唯一标识符关联的主机控制台网络装置的实IP地址的示例配对,以及3)第二 局域网上的目的DSC的唯一标识符和目的网络装置的实IP地址的配对。DSM存储这些配对 在DSM的注册表中。图1图示对在由防火墙保护的网络中的联网装置访问和从其访问的系统的实施 例的框图。第一装置服务控制器102(DSC)在由第一防火墙106保护的第一网络104中。第 一网络104可包含与第一 DSC 102关联的主机控制台108。主机控制台108控制并且管理 在由第二防火墙114保护的第二网络116中的设备的子集。第二网络116位于从第一网络 104和主机控制器108的互联网上。在第一网络104中的第一装置服务控制器102和在第二 网络116中的第二装置服务控制器112与位于互联网上的装置服务管理器服务器(DSM)IlO 合作以提供通过防火墙106、114对在第二网络116中的设备的子集的高度安全的远程访 问。装置服务管理器服务器110具有IP重定向器程序118,其包含代码以执行通过防火墙
7106,114与每个装置服务控制器的经由直接通信隧道的机对机通信。在第二网络116中的 设备的子集可例如包括服务器、PLC装置、运动控制器、自动化设备、印刷机、安全系统和个 人计算机。运行中,用户从主机控制台108打开到本地DSC(即第一 DSC102)(采用主机控制 器模式运行)上的指定端口的连接。该本地DSC将接受该连接并且保持该连接直到建立直 通目标装置的连接为止。该本地DSC然后将发起到控制DSM 110的连接,其将映射该连接 到对应的被管理的装置IP地址和端口。本地DSC发送它的标识信息以成功地向DSM 110 验证它自己。为目标装置负责的关联DSC(即第二 DSC 112)将周期性地打开与DSM 110的 安全隧道并且确定是否有未决连接。如果有未决连接,DSM 110将命令DSC发起到DSM 110 的代理连接,它通过该代理连接将传递未决连接的业务流。如果有未决连接,在防火墙后面 的本地DSC保持与DSM 110的直接通信隧道。第一 DSC 102和DSM 110之间的直接通信隧道以及第二 DSC 112和DSM 110之间 的直接通信隧道结合以允许从防火墙保护的网络外部的装置对防火墙保护的网络中的设 备的安全访问和管理同时维护网络的IT策略和网络防火墙的完整性。到第一 DSC 102和 第二 DSC112的连接点不在它们各自的网络外面向它们网络外部的装置公开暴露,因为DSC 102、112位于它们各自的防火墙106、114后面以增加通过直接通信隧道的通信的安全。当 本地DSC成功地向DSM 110验证时,DSC可以立即开始提供对网络中已经指定为对参与的 DSC是可见的例如PLC装置等任何装置的安全访问。指定可见的装置已经由第二网络116 的用户授权公开。如论述的,可见的关联的装置已经由该域的所有者授权以对于虚拟装置网络VDN 可见/公开(即VDN包括第一和第二网络104、116中已经授权为可见的设备)。授权以使 它们的信息可见地向VDN公开的在第二网络中的设备的示例子集包括服务器、PLC装置、运 动控制器、自动化设备,而印刷机、安全系统和个人计算机没有由用户授权以对VDN可见。本地DSC发现它的网络内的部件并且用图形用户界面呈现该域的所有者,其询问 该所有者希望哪些网络部件使它们的信息可见/公开。本地DSC收集该信息、存储该信息 并且向DSM发送在该LAN上的它的网络装置的公开信息。信息可以包括在该DSC的网络内 的DSC的标识符和IP地址和每个部件的IP地址、名字、能力、支持的协议等等。图6图示DSM的示例实施例的框图。DSM 110可包含例如IP重定向器618等部 件,重定向器618包括DSM 610中的隧道管理器、用户界面、数据库620,其包括注册表、关联 管理器、策略管理器、复制管理器和其他相似部件。图7图示DSC的示例实施例的框图。DSC702可包含例如访问子系统等部件,访问 子系统包括下列部件关联管理器;管道管理器724 ;隧道管理器;和网络集管726。DSC可 以还包括本地数据库728 (其包括注册表)、发现管理器730、装置配置管理器、装置监视管 理器、自动化子系统(其包括装置配置引擎743)、用户界面、电源732、驱动端口 734和其他 相似部件。图9图示使虚拟IP地址的分配自动化的DSM的实施例的框图。DSM 910具有网 络访问模块,其包括网络访问管理器和隧道管理器,其配置成与两个或更多装置服务控制 器(DSC)合作并且充当中心管理站用于分配和指派虚拟IP地址给网络装置以代理每个DSC 902、912所在的局域网上的联网装置的通信。DSM 910位于与VIP地址关联的通信正路由
8到其上的LAN上的网络装置的外部。从而,DSM 910自动化来自中心DSM 910的这些虚拟 IP地址的配置和分配,因此用户不需要在主机端做任何事使它们工作。DSM 910指派虚拟 IP地址给给定的DSC并且建立从指派的虚拟IP地址到目的网络装置的路由(基于存储在 DSM的注册表922中的对应的DSC和网络装置信息)。联网装置可在与广域网上DSM 910 的位置有关的局域网上的例如本地防火墙914等防火墙后面。在DSM 910上,VDN管理员可手动指定虚拟IP地址对(即主机控制器DSC ID和 指派的本地虚拟IP地址)和到目的装置(即对应的装置控制器DSC ID和指派的本地虚拟 IP地址对)的路由。备选地,DSC可发现什么虚拟IP地址在它的本地网络中是可用的,然 后向DSM 910报告这些IP地址。在DSM 910中的网络访问模块创建1)每个DSC的唯一标 识符(ID)和与该DSC关联的本地网络的虚拟IP地址的配对。在DSM 910中的网络访问模 块还创建2)在第一局域网上主机DSC控制器的唯一标识符和与DSC的唯一标识符关联的 主机控制台网络装置的实IP地址的配对,以及3)第二局域网上目的网络装置的实IP地址 和目的DSC的唯一标识符的配对。在DSM 910中的网络访问模块然后存储这些配对在DSM 的注册表922中的DSM 910中的VIP路由表中。这些配对还可以是本地网络的虚拟IP地 址与该本地网络的DSC的唯一标识符的配对,在本地网络上的网络装置和与该本地网络关 联的虚拟IP地址的其他配对也是可能的。该路由信息增加在现有分组路由信息的顶部的 分组的标头部分(header portion)中。DSM 910可与自动地址映射服务(例如域名系统938等)结合在一起,因为应用程 序不需要改变它们的目标端口或重新配置成使用不同的端口。所有管理员需要做的是建立 指向虚拟IP地址(VIP)的域名并且用户应用程序完全保持没有改变。VIP路由表922可还存储VIP地址、VIP地址与唯一 ID的配对、路由与装置和相似 的信息。虚拟IP地址路由表922还可至少存储1)每个DSC和向DSC注册的在局域网上由 局域网的用户指定为可见的网络装置的实IP地址、2)向DSC注册的网络装置和DSC的虚拟 IP地址、3)到装置的连接路由、4)DSC和它们的关联的可见网络部件的所有公开的信息、5) 连接终点、当前连接、主机信息和相似信息。虚拟IP地址路由表922组成DSM 910中的注 册表的一部分。利用该存储的信息,DSM-DSC系统然后可以映射由DSM 910指派的虚拟IP 地址到与每个DSC关联或在其后面的实IP地址以建立发起网络装置和目的装置之间的路 由。总的来说,DSM 910使从虚拟IP地址到实IP地址的映射自动化,而无论实地址是可以 还是不可以被NAT。注意,DSC装置配置成向DSM注册表922注册它们自己和任何关联的网 络装置并且周期性地更新该信息。同样,本地DSC 912接收来自DSM910的业务流然后实际 上路由业务流到例如第一网络装置953等的目的目标装置的关联的实IP地址。在DSM 910中用于配对目的的DSC的唯一标识符可以是硬编码到每个DSC中的唯 一 ID、指派给该DSC的MAC地址或指派给该DSC的实IP地址。然而,指派给该DSC的MAC 地址或实IP地址可以可能在将来改变并且从而要求比唯一 ID更多的管辖。DSM 910的网络访问模块使代码脚本化以命令主机DSC控制器902发现什么虚拟 IP地址在在它的本地网络中是可用的以及然后向在DSM 910中的关联管理器报告这些VIP 地址。DSC 902可以使用本地自动地址服务器940 (例如DHCP)获得VIP地址,然后复制VIP 地址回到在DSM 910中的关联管理器。图10图示获得并向DSM报告虚拟IP地址的网络集管的实施例的流程图。
参照图9和10,在运行中在框1044中,当DSC最初与DSM通信并且然后如下周期 性地与DSM通信时,DSM自动地命令主机DSC控制器902的网络集管获得本地VIP地址,例 如使用DHCP。DSC 902的网络集管然后使用本地自动地址服务器940在框1045中1)在每 个连接发生的基础上或2)为了效率来拾取VIP地址,从在该本地LAN中由DSC902向DSM 910预先识别为可用VIP的VIP地址池拾取VIP地址。在框1046中,DSC的网络集管可以 使用本地自动地址服务器940 (例如DHCP)获得VIP地址,然后复制VIP地址回到DSM 910。 DSM 910使这些来自中心DSM 910的虚拟IP地址的配置自动化,因此用户不需要在主机端 做任何事来使它们工作。网络访问模块然后更新VIP路由表922中的路由信息以能够关联 /映射实IP地址与指派的VIP地址并且存储该关联在DSM注册表922中以及在可能的域名 服务器938中以关联域名到VIP地址。在实施例中,该关联永久存储在VIP路由表922中。在实施例中,关联配对被保持 暂时存储在VIP路由表922中(同时连接是活动的)然后放置在存储对(例如100个存 储对)的队列中,直到连接被需要配对的新的活动连接代替并且基于最不频繁使用而被盖写。如论述的,主机DSC 902可查询DSM 910或甚至直接查询DNS938。主机DSC 902 可向DNS 938查询正确的虚拟IP地址,或通过查询VIP路由表922获得该正确的虚拟IP 地址。该主机DSC 902连接到指派给DSC的新的VIP地址。当接收查询时,DSM 910中的网 络访问管理器可经由地址自动映射服务938 (即动态DNS)建立从域名到远程目标装置的路 由。自动映射服务器938建立指向虚拟IP地址的域名并且映射来自发起网络装置(即主 机控制器DSC ID和指派的本地虚拟IP地址对)的业务流到目的装置(即对应的装置控制 器DSC ID和指派的本地虚拟IP地址对)。从而,DSM 910映射指定的指派给第一 DSC 902 的虚拟IP地址和它的唯一 ID的配对到指派给第二 DSC912的IP地址和它的与域名关联的 唯一 ID的配对。在DSM 910中的网络访问管理器与域名服务器合作以可选地更新DSN 938 中的一个或多个地址记录以允许自动的域名-到-IP地址解析。在实施例中,域名可以是 映射到数字IP地址的阿尔法数字名称以便识别互联网上的计算装置。从而,发起网络装置 可仅仅对通向目的装置的业务流打入域名。DNS 938被连接并且被操作(由DSM 910)并且可对每个活动连接创建虚拟IP地 址。不是从多个装置转发个体端口到单个公共IP地址,而是DSM 910中与每个DSC 902、 912中的网络集管合作的网络访问模块为每个链路和每个DSC建立虚拟IP地址并且从而可 以操纵到任何目标装置上的任意端口的TCP/IP连接。该技术方案可以容易地集成进入域 名系统,因为应用程序不需要改变它们的目标端口或重新配置成使用不同的端口。所有你 需要做的是建立指向虚拟IP地址的域名并且用户应用程序完全保持没有改变。运行地,当DNS查询发生时DNS服务器938仅仅需要分配虚拟IP地址。每个DSC 902,912预先分配它的LAN中可用的VIP地址池,然后发送该VIP地址池到DSM 910。DSM 910然后按需要自由指派和使用来自池中的VIP地址条目(entry)。DSC需要的惟一信息是 是否分配或收回VIP (来自池中的)。为了防止明显的DoS攻击,DSM 910维护两个池用于指派虚拟IP地址。VIP地址 的较小池用于来自未知公共IP地址的请求而VIP地址的较大池用于来自向DSC注册的已 知IP地址的请求。一旦连接建立,到达的该连接所来自的公共IP放置在自动白名单池中,
10其然后允许具有更长的超时(timeout)。在白名单中的条目还可具有指数式延时计时器以在连接终止后自动地从白名单 池移除它们。图11图示创建在本地网络中可用的虚拟IP地址的两个或更多池的DSM的图。参照图11,在运行中在框1150中,在DNS查询时DSM中的网络访问模块检查以查 看虚拟IP地址是否指派给主机DSCQiostingDSC)。如果是,虚拟IP地址当前指派给主机DSC,网络访问模块发送该虚拟IP地址给主 机 DSC。如果否,虚拟IP地址当前没有指派给主机DSC,在框1154中,网络访问模块检查是 否查询来自公共IP地址或查询来自DNS查询白名单。如果是,查询确实来自注册的公共IP地址或来自白名单,然后网络访问模块指派 来自可用虚拟IP地址的大池中的对主机DSC可用的虚拟IP地址。如果否,查询不是来自已知的公共IP地址或来自白名单,然后网络访问模块指派 来自可用虚拟IP地址的小池中的对主机DSC可用的虚拟IP地址。现在虚拟IP地址指派给主机DSC。在框1156中,DSM的网络访问模块响应于查询而发送虚拟IP地址。参照图9,在来自DSC的隧道请求时,DSM 910中的网络集管向白名单增加请求的 公共IP地址并且然后发送到隧道调度器(dispatcher)。注意在干预防火墙或NAT装置方面对网络管理员干预没有要求,对于主机装置使 用该模式也没有任何任意配置变化的要求,但网络管理员应该为期望的DNS域(即本地网 络)创建子域并且委托该子域给DSM 910或允许DSM 910提供动态DNS更新。参照图7,如论述的,每个DSC 702具有配置成通过DHCP、端口管理和DHCP服务器 管理并且维护IP地址的一个或多个池的网络集管726。在DSC 702中的网络集管726可由 下列部件构成=DHCP服务器、虚拟IP池管理器以维护虚拟IP地址的集合,以及端口池管理 器以维护端口池。在DSC 702中的网络集管726负责维护虚拟IP地址池以供当映射IP地址到域名 时由DSM 910使用。在DSC 702中的网络集管726对于它的运行保持若干值pool, max指定DSC 702将一次保存的IP地址的最大数量(排除它自己);pool. Iowmark指定一直留作预备的IP地址的数量(除非达到pool, max);以及pool, inuse指定当前使用中的IP地址的数量。在DSC 702中的网络集管726与DSM中的网络访问模块通信以获得pool, inuse 数量。另外,在DSC 702中的网络集管726应该能够为期满目的向DSM查询每个使用中的 IP地址的使用。DSC 702不需要目的地的另外的了解。实际上,DSC 702不了解隧道的最终目的 地。在DSC 702中的隧道管理器725与网络集管726以及其他内部进程通信(两者都 采用多路复用器(MUX)和DeMUX模式)并且定向隧道业务流。MUX模式允许对DSC关联的 网络装置与其他域中的另一个DSC的关联的网络装置通信。DEMUX模式重定向隧穿的业务流从DSM到在本地域中关联的网络装置。Mux模式可具有两个关联的程序。端口 MUX隧穿 本地端口(tcp/udp)到DSM 910。虚拟IP MUX隧穿业务流到虚拟IP地址到DSM 910。隧道MUX管理器725接受来自本地LAN在DSC上的连接(TCP/UDP)。通过使用网 滤器/IP表,在DSC上的所有虚拟接口可以重定向到单个隧道MUX管理器daemon。MUX管理器然后可以向网滤器接口查询计划的目的地以确定虚拟IP。当连接到 DSM隧道管理器时,MUX管理器可以发送虚拟目的地IP、虚拟目的端口号和本地DSC的DNA ID。基于该信息,DSM可以确定分组实际上计划到哪里然后代理该连接。MUX TCP隧道处理程序(Tunnel Handler)向DSM发送一些初始标头信息。它然后 对tcp_relay3执行相似功能。隧道DEMUX管理器的任务是非常简单的。当接收到连接并且做出一些验证时,它 读取初始标头以确定分组类型和目的地。隧道DEMUX管理器然后大量产生tcp_relay代理 或udp_relay代理以执行实际中继任务。这样,DSM 910充当在公司防火墙和客户NAT路由器后面运行的每个DSC的多个 关联的装置的代理访问点。参照图6,DSM 610的图形用户界面651也配置用于DSM管理员指定个体装置关 联,其限定为现有装置配置与具体发现的DSC装置的配对。一旦装置已经在DSM的注册表 620中关联,DSM 610可应用适当的配置变化并且将按照在DSM 610中的IP重定向器模块 618中维护的访问规则的预设集开始转发代理连接(到网络设备的DSC)。当发现并且注册探测到的DSC时,可在图形用户界面651的装置监视服务视图中 出现适当的图标。用户然后可将每个这样注册的装置与之前创建的配置记录关联。一旦这 完成,附加装置设定(包括发现搜索记录)可以自动地下载到DSC装置。基于这些设置,DSC 然后将开始发现附加网络装置并且传递业务流。在DSM 610中的用户数据复制管理器645提供用于从DSC复制数据到DSM的机制。 在DSM 610中的用户数据复制管理器645产生包括该DSC的配置记录的装置配置文件的本 地副本。DSC使用采用SSH实现的安全通信通道以从中心注册表620取得装置配置文件的 本地副本,然后DSC更新它的装置配置文件的本地存储副本。从而,影子配置注册表在远程 管理的DSC装置上维护。DSC然后向DSM 610发送更新完成的信号并且DSM 610更新DSM 610的中心注册表620中的远程配置的DSC的状态。图2a图示具有位于第一防火墙保护的第一域和第二防火墙保护的第二域外部的 装置服务管理器服务器的系统的实施例的框图。每个DSC 202,212配置有硬件逻辑和软件以担当1)主机控制器(其建立它自己 和在第一域204中它的关联装置两者到位于第一防火墙206之外的DSM 210的连接)和2) 装置控制器(其接收和管理从DSM 110到第二防火墙214保护的第二域216中的个体远程 目标装置的入局连接)。注意,域可以是由防火墙或不同的子网分开的任何网络。DSC将能 够代理它自己和它的关联装置两者到位于本地域之外的它的父DSM的连接。每个DSC可配 置成周期性地发送出站通信以向DSM检查以查看是否有任何未决TCP连接在等待。在实施例中,第一 DSC 202和第二 DSC 212具有用于通过向DSM210验证它自己和 建立到DSM 210的出局TCP/IP流连接来向DSM210提供直接网络通信隧道的管道管理器。DSC为在出局TCP/IP流连接上的将来的双向通信保持该连接打开。建立和验证的双向通 信、TCP/IP流连接可称为直接网络通信隧道或管道隧道。DSM 210的IP重定向器沿第一建 立的TCP/IP流连接向下发送路由分组到第一 DSC202并且沿第二建立的TCP/IP流连接向 下发送路由分组到第二 DSC212。DSM 210的IP重定向器沿第一建立的TCP/IP流连接向下 路由第一防火墙206后面的第一域204中的网络部件的分组到第一 DSC202。DSM 210的IP 重定向器还沿第二建立的TCP/IP流连接向下路由第二防火墙214后面的第二域216中的 网络部件的分组到第二 DSC212。注意,因为TCP/IP是双向流协议,DSM 210可以沿打开的 通信管道隧道向下发送路由分组并且从每个DSC 202,212接收业务流。主机控制台208和在第二网络中的设备的子集形成VDN的一部分,其中通过第二 DSC 212向外穿过本地防火墙和/或客户的NAT路由器以访问在远程网络上的设备的子集 从而主机控制台208控制并且管理第二网络中的子集。主机控制台208建立到控制VDN的 DSM 210的单个出站连接,其允许双向通信,然后保持该出站连接打开。通过DSC与DSM 210 合作的VDN可在互联网上的任意两点之间创建专用TCP/IP连接。图2b图示具有DSC的系统的实施例的框图,每个DSC具有配置成通过向DSM验证 它自己和建立到DSM的出局TCP/IP流连接然后为建立的TCP/IP流连接上的将来的双向通 信保持该连接打开来向DSM提供直接通信隧道的管道管理器。主机控制台208b通过本地 DSC和DSM 210b连接到远程DSC 212b。本地和远程DSC 212b都可以为双向通信保持它 们自己和DSM 210b之间的直接通信隧道打开。直接TCP通信隧道是双向TCP/IP流连接/ TCP会话,其对DSM 210b保持打开。在入局连接上的业务流然后通过该会话中继。在远程 DSC212b中的管道管理器可使用基于证书的SSH(安全外壳)加密协议以确保主机控制台 208b和目的目标装置(例如运动控制器等)之间通过直接TCP通信隧道的安全的、端到端 的通信。在业务流已经被传送后,那么然后TCP会话可关闭。从而,直接TCP通信隧道可通 过SSH实现。在实施例中,直接TCP通信隧道还可以是简单的TCP端口转发器。程序只是监听 本地TCP端口并且所有接收的数据将发送到远程主机、DSM。直接TCP通信隧道允许用户绕 开防火墙,该防火墙不允许远程装置建立到你的服务器的入站TCP/IP连接。远程DSC还通过解码业务流上的标头并且转发该业务流到目标网络部件上来多 路分解该业务流(从直接通信隧道到它的关联局域网上的网络部件)。TCP分组标头信息 一般标识最初发送数据的源端口和接收分组的目标目的端口两者。图5图示分布式系统的自动集中式管理的实施例的框图。系统的核心是DSM 510。装置服务管理器管理DSC 502、512、513和515的集合。 DSM 510可具有配置成与在与广域网上的DSM 510的位置有关的广域网上的防火墙(例如 防火墙506、514、517和519等)后面的两个或更多DSC 502、512、513、515合作的IP重定 向器模块518。DSM 510充当用于向DSC 502、512、513和515自动分发配置信息的中心管 理站。经由该DSC中的驱动端口上载的可执行自举文件脚本化以采集该DSC和在与该DSC 相同的网络上的网络装置的配置信息并且在没有由DSM 510的提示的情况下然后发送初 始配置文件到DSM 510。DSM 510在DSM的注册表中为该DSC制作装置配置文件的原版拷 贝。每个DSC 502、512、513、515和DSM 510协力工作以提供在不同域中关联装置之间
13的端到端访问。DSM 510充当代理连接点以用于参与DSC 502、512、513、515。DSM 110是专
用设备,其在用户主机和目的装置之间中继连接。个体DSC 502、512、513、515充当参与的LAN上的低成本存在点。每个DSC 502、 512、513、515能够同时担当主机控制器(其发起来自主机系统的连接)和装置控制器(其 接收和管理到个体远程装置的入局连接)。每个DSC 502、512、513、515配置成代理它自己 和它的关联网络装置两者到位于本地LAN之外的它的父DSM 510的连接。对于远程网络,新安装的DSC像新安装的计算机一样工作。为了访问在远程网络 上的装置,DSC只需要建立到控制VDN的DSM的单个出站连接。该出站连接是担当主机控 制器的DSC和DSM之间的管道通信链路。一旦该连接建立,所有系统配置、命令和网络业务 流可以经过加密通道。当DSC成功向DSM验证时,它可以立即开始提供对预先授权的设备 的个体件的安全访问。图8图示通过经由DSM 810中的驱动端口 834上载的可执行自举文件向DSC(例如 第一 DSC 802等)分发配置信息的DSM的实施例的框图。DSM 810的管理员创建自举文件 并且将该可执行自举文件的副本嵌入在拇指驱动器(thumb drive)上。载有可执行自举文 件的拇指驱动器陪同DSC装置802并且用DSC装置802运送。在DSC 802中的可执行自举 文件用代码脚本化以至少1)确定该个体DSC装置的唯一 ID、2)确定DSC的当前IP地址、 3)在广域网上供应DSM的IP地址和4)激活代码以发起与DSM 810的通信。DSC装置802经由驱动端口 834从拇指驱动器上载自举文件,使用自举文件的内容 以经由DSC 802和DSM 810之间的SSH自动地创建安全通信通道并且在WAN上的它的IP 地址连接到DSM 810。DSC802然后经由唯一 ID、装置MAC地址和/或可能关联的DNS条目 (DNSentry)向DSM 810验证它自己。DSM 810然后在维护在DSM 810中的参考表中查找验 ilEfn 息 ο参照图7,如论述的,DSC 702中的装置配置引擎743在没有由DSM的提示的情况 下然后通过安全通信通道(例如通过安全协议、加密电子邮件或相似方法等)发送至少具 有该个体DSC装置的唯一 ID和DSC的当前IP地址信息的初始配置文件到DSM(其中个体 装置通过装置ID、装置MAC地址和/或可能关联的DNS条目而被区分)。参照图6,DSM IP重定向器模块618接收该配置信息。DSM 610具有用户数据复 制管理器模块645以创建具有该配置信息和附加信息的装置配置/复制文件并且在DSM的 注册表620中制作装置配置文件的原版拷贝。用户数据复制管理器模块645然后响应于 DSC的向DSM610的注册或响应于给定DSC执行系统复位来向外分发该配置信息回到适当的 DSC0注意,DSM 610还可响应于自举调用来发送固件、软件补丁(software patch)等的更 新。参照图7,DSC 702可以是在现有网络中部署的独立装置。该部署由仅仅物理地插 入电力到电力连接和DSC的电源电路、插入以太网连接和将供应的拇指驱动器插入驱动端 口 734中(即USB闪存驱动器插入USB端口中)构成。就是这样。从而,DSC 702是连接 至现有网络而不需要客户端软件安装在该现有网络中的另一个主机装置上的独立装置并 且不需要来自终端用户的网络配置设置以适当地安装DSC到现有网络上。因此,避免许多 企业IT部门不允许未授权的第三方应用程序安装到它们的系统上。DSC 702然后驻留在现 有网络上并且作为到该LAN上的通信的媒介。没有必需的联网知识并且对该远程装置的访问自动配置。不需要终端用户配置或软件安装以适当地安装DSC到现有网络上。位于每个DSC 702中的自动发现存在管理器程序730发现在现有LAN上的联网设 备并且建立在该本地网络上的即时存在点。发现存在管理器程序730通过使用轮询技术发 现在网络上的关联装置。发现存在管理器程序730具有图形用户界面(⑶1)749以询问网 络的用户由防火墙保护的每个发现的网络设备件是否应该对于由至少DSM的远程访问是 可见的。DSC装置702然后收集并且通过安全通道发送出具有指定可见的网络装置信息的 初始配置文件到中心管理DSM,该DSM自动地注册本地DSC和任何关联的网络装置在DSM主 管的身份注册表中。该信息然后可以通过动态DNS、LDAP和DHCP以及关联的基于网络的目 录服务应用程序接口使成为可用的。在实施例中,自动发现服务730等待用以发现在现有 LAN上的网络设备直到DSM发送回原版配置文件的副本以及任何固件和软件更新。图形用户界面749配置成用于DSM管理员配置每个关联的DSC的自动化的装置发 现。可创建多个个体扫描记录,其指定SNMPvl、SNMPv2或另一个协议为搜索机制。当自动 化的装置发现被激活时,扫描记录被复制到适当的DSC,其将使用它们以发起对于附属网络 装置的它们的本地LAN的周期性扫描。当发现装置时,DSC将创建发现记录,其将包括至少发现的装置的IP地址、用于定 位发现的网络装置的发现协议和发现用的DSC的标识符。所得的发现记录将复制回DSM以 供DSM的关联、配置和监视用的服务部件来使用。每个这样的发现记录将被指派唯一 ID,其 将允许管理员澄清对个体配置和发现的装置的引用。DSM然后发送回DSC的本地副本以存 储在它的注册表728中。从而,两个或多个DSC中的每个DSC 702充当本地注册机构,接受来自现有本地 LAN上的关联网络装置的注册请求以及轮询本地LAN上的关联网络装置。DSC 702将维护 关联装置的注册表728并且将能够自动地向它的父DSM注册表注册它们自己和关联装置。 每个DSC 702将该数据提供给父DSM。每个DSC 702通过注册通过使用轮询技术发现的关 联装置而参与装置发现和目录服务。参照图6,DSM 610提供广域网上的DSC的分布式系统和这些DSC之间的代理通 信的集中式管理。具有来自DSM 610的⑶I 651的管理员从具有附加信息(包括制作现有 装置配置与具体发现的装置的配对关联)、持久状态信息等的初始配置文件在中心注册表 620中创建完整装置配置记录。中心配置注册表620存储配置信息并且用户数据复制管理 器制作存储在DSM 610中的装置配置文件的原版拷贝。图3图示具有中心DSM和本地DSC以对由防火墙保护的网络中的联网装置访问和 从其访问的系统的实施例的框图。虚拟装置网络由DSM 310和DSC 302、312和与每个DSC 关联的网络装置创建。在图3中的VDN与图l、2a和2b的上文说明相似地运行(除指出的 地方)。IP重定向器可具有位于DSC和DSM两者中的部分。参照图7,IP重定向器可包括访问子系统装置管理系统和注册表。在DSC中的管 道管理器724向本地DSC进程通知到DSM的SSH会话已经完全建立。管道的SSH外壳会话 (shell session)附连到DSM中的IP重定向程序部分。IP重定向程序然后发送DSC可以 使用的以用于确保直接通信隧道建立并且活动的周期性信标分组。一些次要的协议能力可 存在以允许DSC/DSM 110执行带宽/等待时间估计。SSH的TCP端口转发特征可以用于在 DSM和DSC之间传递所有其他控制和隧道数据。管道管理器724还可以协商“远程”端口,
15它可以从DSM监听。图4图示在DSC中的管道管理器的实施例的状态图。管道管理器包含代码以开 启和停止直接TCP通信隧道,确定该直接TCP通信隧道何时是空闲的或意外中断等等。在 框402中,当未决TCP连接请求进入时,管道管理器检查以查看是否有任何SSH隧道已经与 DSM建立。如果否,在框404中,管道管理器建立完整或部分SSH会话。在框406中,管道管 理器通过分别证实它们的身份协商该DSC向DSM的验证。在SSH会话已经完全建立并且对原始点负责的DSC的身份向DSM验证后,于是在 框408中允许业务流在直接通信隧道中的两个方向上通过。在框410中,如果隧道已经建立,DSC重定向socket并且刷新隧道计时器。参照图6,DSM 610具有IP重定向程序,其由多个采用软件、逻辑或两者的组合实 现的例程构成。DSC还可包含一部分IP重定向程序。IP重定向程序可包括DSC中的部分, 例如在DSC中的管道管理器等,其使代码脚本化以提供基本安全网络通信并且管理DSC和 DSM之间的管道隧道和在DSC中的隧道管理器。在DSM 610中的IP重定向器的隧道管理器624部分使代码脚本化以在DSM和采 用Demux模式运行的DSC之间和在DSM和采用Mux模式运行的DSC之间提供安全多路复用 TCP会话。上文的进程可通过采用给定的编程语言编写的软件代码、硬件逻辑部件和其他电 路或两者的某个组合实现。因此,在实施例中,用于使上文论述的算法便利的软件可以包含到机器可读介质 上。机器可读介质包括提供(例如,存储和/或发送)采用由机器(例如,计算机)可读形式 的信息的任何机制。例如,机器可读介质包括只读存储器(ROM);随机存取存储器(RAM); 磁盘存储介质;光学存储介质;闪存器件;数字视盘(DVD)、EPROM、EEPR0M、闪存、磁性或光 学卡片或适用于存储电子指令的任何类型介质。上文的详细说明的一些部分根据计算机存储器内的数据位上的运算的符号表示 和算法呈现。这些算法说明和表示是由数据处理领域内的技术人员使用的用以最有效地向 本领域内其他技术人员表达他们的工作的实质的工具。算法这里并且一般设想为导致期望 结果的步骤的自洽顺序。步骤是要求物理量的物理操作的那些。通常,尽管不是必须,这些 量采用能够存储、转移、组合、比较和另外操作的电或磁信号的形式。已经证实有时主要由 于常见使用的原因将这些信号作为位、值、要素、符号、字符、项、数字或相似物来提及是方 便的。这些算法可采用许多不同的软件编程语言编写。同样,算法可用软件中的代码行、软 件中的配置逻辑门或两者的组合实现。然而,应该牢记所有这些和相似的术语将与适当的物理量关联并且仅是应用于这 些量的方便标签。除非如从上文论述明显的那样另外具体叙述,意识到在整个说明中,利用 例如“处理”或“计算”或“算术”或“确定”或“显示”或相似物等术语的论述指计算机系统 或相似的电子计算装置的动作和进程,其操作并且转换在计算机系统的寄存器和存储器内 表示为物理(电子)量的数据为在计算机系统存储器或寄存器或其他这样的信息存储、传 输或显示装置内相似地表示为物理量的其他数据。在实施例中,逻辑由遵循布尔逻辑的规则的电子电路、包含指令模式的软件或两 者的任意组合构成。
尽管本发明的一些具体实施例已经示出本发明将不限于这些实施例。例如,由电 子硬件部件执行的大部分功能可由软件仿真复制。从而,编写以完成那些相同功能的软件 程序可仿真输入输出电路中的硬件部件的功能性。本发明将理解为不由本文描述的具体实 施例限制,而仅由附上的权利要求的范围限制。
权利要求
一种设备,包括装置服务管理器服务器(DSM),其具有网络访问模块,其配置成与两个或更多装置服务控制器(DSC)合作并且充当中心管理站用于分配和指派虚拟IP地址给网络装置以代理每个DSC所在的局域网(LAN)上的联网装置的通信,并且所述DSM位于与所述指派的VIP地址关联的通信正路由到其上的LAN上的网络装置的外部,其中,所述DSM指派第一虚拟IP地址给第一DSC,并且基于存储在所述DSM的注册表中的对应DSC和网络装置信息,建立从所述第一虚拟IP地址到目的网络装置的路由。
2.如权利要求1所述的设备,其中在所述DSM中的网络访问模块配置成创建1)每个 DSC的唯一标识符和给该DSC所指派的本地网络的虚拟IP地址的配对,所述网络访问模块 还创建2)第二局域网上目的DSC的唯一标识符和目的网络装置的实IP地址的配对,并且 所述DSM存储这些配对在所述DSM的注册表中。
3.如权利要求1所述的设备,其中所述DSM具有在所述DSM的注册表中的虚拟IP地址 路由表,其至少存储每个DSC和在该局域网上由所述局域网的用户指定为可见的网络装置 的实IP地址,和虚拟IP地址以及到装置的路由,其中所述DSM使用在所述虚拟IP地址路 由表中的信息以映射所述DSM指派的虚拟IP地址到与给定DSC关联的实IP地址以建立路 由。
4.如权利要求2所述的设备,其中所述DSC的唯一标识符可以是与每个DSC关联的唯 一 ID或指派给该DSC的MAC地址,并且所述联网装置位于广域网上与所述DSM的位置有关 的局域网上的防火墙后面。
5.如权利要求1所述的设备,其中所述DSM的网络访问模块使代码脚本化以命令第一 DSC发现什么虚拟IP地址在它的本地网络中是可用的以及然后向在所述DSM中的关联管理 器报告这些VIP地址并且所述DSC使用本地自动地址服务器获得所述VIP地址,然后复制 所述VIP地址回到所述DSM中的关联管理器。
6.如权利要求3所述的设备,其中所述网络访问模块命令DSC使用DHCP以从由DSC向 DSM预先识别的VIP地址池拾取VIP地址并且所述网络访问模块自动更新在所述VIP路由 表中的路由信息以能够映射实IP地址与指派的VIP地址并且存储该关联在所述DSM注册 表中。
7.如权利要求6所述的设备,其中关联配对被保持存储同时连接是活动的,然后关联 配对放置在存储的对的队列中直到连接被需要配对的新的活动连接代替,并且其然后基于 最不频繁使用而被盖写。
8.如权利要求1所述的设备,其中在所述DSM中的网络访问管理器通过经由动态DNS 的地址映射服务建立从域名到远程目标装置的路由以建立指向所述虚拟IP地址的域名并 且映射指定的指派给第一 DSC的虚拟IP地址和它的唯一 ID的配对到指派给第二 DSC的IP 地址和它的与所述域名关联的唯一 ID的配对。
9.如权利要求1所述的设备,其中在所述DSM中的所述网络访问管理器与域名服务器 合作以更新在所述DNS中的一个或多个地址记录以允许自动的域名-到-IP地址解析并且 所述DNS通信地连接并且由所述DSM操作并且对每个活动连接创建虚拟IP地址。
10.如权利要求1所述的设备,其中在所述DSM中的所述网络访问管理器与域名服务器 合作并且当DNS查询发生时所述DNS仅仅需要分配虚拟IP地址,其中第一 DSC预先分配在它的LAN中可用的VIP地址池,然后发送所述VIP地址池到所述DSM并且所述DSM按需要 指派和使用来自所述池的VIP地址条目。
11.如权利要求1所述的设备,其中第一DSC预先分配在它的LAN中可用的VIP地址 池,然后发送所述VIP地址池到所述DSM并且所述DSM维护两个池用于指派虚拟IP地址, VIP地址的较小池用于来自未知公共IP地址的请求而VIP地址的较大池用于来自向所述 DSC注册的已知IP地址的请求。
12.如权利要求1所述的设备,其中在所述DSM中的所述网络访问管理器与在每个DSC 中的网络集管合作以为每个DSC建立虚拟IP地址,并且然后可以处理到在任何目标装置上 的任意端口的TCP/IP连接并且所述网络集管配置成管理该DSC所在的LAN的VIP地址池。
13.一种方法,包括与每个DSC所在的局域网(LAN)上的两个或更多装置服务控制器(DSC)合作,并且第 一 DSC代理第一 LAN上的网络装置的通信;命令第一 DSC从位于每个DSC所在的LAN外部的装置获得可用的本地虚拟IP地址;分配和指派虚拟IP地址给网络装置以代理所述第一 DSC所在的第一局域网(LAN)上 的联网装置的通信;命令第二 DSC从位于每个DSC所在的LAN外部的所述装置获得可用的本地虚拟IP地址;分配和指派虚拟IP地址给网络装置以代理在所述第二 DSC所在第二局域网(LAN)上 的联网装置的通信;在所述装置中存储指派给所述第一 DSC的指派虚拟IP地址和关于所述第一 DSC的某 种唯一识别信息的第一对;在所述装置中存储指派给所述第二 DSC的指派虚拟IP地址和关于所述第二 DSC的某 种唯一识别信息的第二对;以及基于存储在所述装置中的存储的信息对,建立从所述指派的虚拟IP地址到在与给定 DSC关联的LAN上的目的网络装置的路由。
14.如权利要求13所述的方法,还包括创建1)每个DSC的唯一标识符和给所述DSC指派的本地网络的虚拟IP地址的配对、 2)在第一局域网上的主机DSC控制器的唯一标识符和与DSC的所述唯一标识符关联的主机 控制台网络装置的实IP地址的配对,以及3)在第二局域网上的目的网络装置的实IP地址 和目的DSC的唯一标识符的配对;存储这些配对在所述装置的注册表中;以及映射这些存储的对以建立从第一 DSC到所述目的网络装置的路由。
15.如权利要求14所述的方法,还包括创建两个或更多在所述本地网络中可用的虚拟IP地址池,其中VIP地址的较小池用于 来自未知公共IP地址的请求而VIP地址的较大池用于来自向所述DSC注册的已知IP地址 的请求。
16.一种系统,包括装置服务管理器服务器(DSM),其具有网络访问模块,其配置成建立与两个或更多装置 服务控制器(DSC)的通信并且充当中心管理站用于分配和指派虚拟IP地址给网络装置以代理在每个DSC所在的局域网(LAN)上的联网装置的通信,并且所述DSM位于与所述指派 的虚拟IP地址关联的通信正路由到其上的LAN上的网络装置的外部;以及所述两个或更多DSC中的第一 DSC,其中所述DSM命令所述第一 DSC获得所述第一 DSC 所在的局域网中可用的本地虚拟IP地址然后报告这些可用的本地虚拟IP地址回到所述 DSM,其中,所述DSM指派第一虚拟IP地址给所述第一 DSC,并且基于存储在所述DSM的注册 表中的对应DSC和网络装置信息,建立从指派给所述第一 DSC的第一虚拟IP地址到目的网 络装置的路由。
17.如权利要求16所述的系统,其中在所述DSM中的网络访问模块配置成创建1)每 个DSC的唯一标识符和给所述DSC指派的本地网络的虚拟IP地址的配对,所述网络访问模 块还创建2)在第一局域网上的主机DSC控制器的唯一标识符和与DSC的所述唯一标识符 关联的主机控制台网络装置的实IP地址的配对,以及3)在第二局域网上的目的网络装置 的实IP地址和目的DSC的唯一标识符的配对,并且所述DSM存储这些配对在所述DSM的所 述注册表中,并且所述联网装置可位于广域网上与所述DSM的位置有关的局域网上的防火 墙后面。
18.如权利要求16所述的系统,其中所述DSC使用本地自动地址服务器获得所述VIP 地址,然后复制所述VIP地址回到在所述DSM中的关联管理器,其更新在所述DSM中的VIP路由表。
19.如权利要求16所述的系统,其中所述网络访问模块命令DSC使用DHCP以从由DSC 向DSM预先识别的VIP地址池拾取VIP地址,并且所述网络访问模块自动更新在所述VIP 路由表中的路由信息以能够映射实IP地址与指派的VIP地址,并且存储该关联在所述DSM 注册表中,并且关联配对被保持存储同时连接是活动的,然后关联配对放置在存储的对的 队列中直到连接由需要配对的新的活动连接代替,以及然后其在最不频繁使用的基础上被"^n o
20.如权利要求16所述的系统,还包括域名服务器(DNS),其中在所述DSM中的所述网络访问管理器与所述DNS合作并且当 DNS查询发生时所述DNS仅仅需要分配虚拟IP地址,其中第一 DSC预先分配在它的LAN中 可用的VIP地址池,然后发送所述VIP地址池到所述DSM并且所述DSM按需要指派和使用 来自所述池的VIP地址条目。
全文摘要
描述用于中心站分配虚拟IP地址的方法、设备和系统。装置服务管理器服务器(DSM)具有配置成与两个或更多装置服务控制器(DSC)合作的网络访问模块。DSM充当中心管理站用于分配和指派虚拟IP地址给网络装置以代理在每个DSC所在的局域网(LAN)上的联网装置的通信。DSM位于从与指派的VIP地址关联的通信正路由到其上的LAN上的网络装置的外部。DSM指派虚拟IP地址给每个DSC,并且基于存储在DSM的注册表中的对应的DSC和网络装置信息,建立从指派的虚拟IP地址到在LAN上的目的网络装置的路由。
文档编号G06F13/00GK101952810SQ200880123286
公开日2011年1月19日 申请日期2008年10月24日 优先权日2007年10月24日
发明者D·T-A·桑, 乔纳森·彼得·多伊奇 申请人:兰特罗尼克斯公司