-
Gebiet der Erfindung
-
Die
Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere
das Ermöglichen von
Mechanismen für
eine Delegierung und Verteilung von zentralisierten Netzwerkserverfunktionen
an das Ende von Computernetzwerken. Speziell betrifft die Erfindung
eine verteilte Ausstrahlungs-Serverfunktionalität, die verwendet
wird für
ein emuliertes lokales Bereichsnetzwerk (LAN) bei globalen Netzen.
-
Hintergrund
-
Die
meisten Unternehmen befinden sich an mehreren Orten, wobei jeder
Ort sein eigenes lokales Netzwerk (LAN = Local Area Network) hat.
Ein Ort ist definiert als irgendetwas zwischen einem Hauptquartier
oder einem Ort einer zugehörigen
Firma und einem entfernten Büroort
eines einzelnen Angestellten. Eine Art von Kommunikationsinfrastruktur
wird dann verwendet zum Verbinden der verschiedenen Orte. Die Internetentwicklung
kann ungefähr
kategorisiert werden in zwei Hauptbereiche:
- a)
Internet als die globale Kommunikationsinfrastruktur. Herkömmlich verwendeten
Unternehmen sogenannte geleaste Leitungen, die bereitgestellt wurden
von Telefonfirmen zum Verbinden ihrer Orte. Getrennte Firewall-Lösungen wurden
verwendet zum Zugreifen auf das Internet. Während der letzten Jahre verwenden
Firmen nicht länger das
Internet nur für
externe Kommunikation, mehr und mehr Firmen versuchen neue Netzwerklösungen,
die es ihnen erlauben, auch das Internet für firmeninterne Kommunikation
zu verwenden. Das Internet ist zu ihrem Ort-zu-Ort-Verbindungsmedium geworden.
- b) Breitband-Internet-Zugang. Parallel zu dem Obigen werden
mehr und mehr Breitbandzugangslösungen
ausgebreitet von verschiedenen Netzwerkzugangsbereitstellern. Dies
ermöglicht jedem,
seinen Zugang zum Internet von einer herkömmlichen Einwahl-PSTN-ISDN-(Public
Switched Telephone Network/Integrated Services Digital Network)-Zugangslösung zu
einer Breitbandlösung
zu aktualisieren, beispielsweise ADSL (Assymetric Digital Subscriber
Line), Kabel oder Ethernet, mit direktem Zugang zum Internet. Neben
naheliegenden Breitbandvorteilen ist der Netzwerkzugangsbenutzer
auch in der Lage, immer mit dem Internet verbunden zu sein.
-
Der
gemeinsame Name für
die meisten der Netzwerklösungen,
der mehrere Orte über
das Internet miteinander verbindet, ist "virtuelles privates Netzwerk" (VPN = virtual private
networks). VPNs können
implementiert werden auf verschiedene Arten, dies wird gut erklärt in beispielsweise
IETF durch B. Gleeson et al, "A
Framework for IP Based Virtual private Networks", RFC 2764, Februar 2000. Ein VPN ist
ein privates Netzwerk, das innerhalb eines öffentlichen Netzwerks konfiguriert
ist. Seit mehreren Jahren haben gewöhnliche Träger bzw. Bereitsteller VPNs
aufgebaut, die das Erscheinungsbild von privaten nationalen oder
internationalen Netzwerken für den
Kunden haben, aber physikalisch Backbone-Trunks mit anderen Kunden
teilen. VPNs genießen
die Sicherheit eines privaten Netzwerks über eine Zugangssteuerung und
Entschlüsselung,
während
sie den Vorteil von Wirtschaftlichkeit durch Massenproduktion aufweisen
und eingebaut werden in Verwaltungseinrichtungen von großen öffentlichen Netzwerken.
Heute gibt es ein großes
Interesse in VPNs über
das Internet, speziell aufgrund der konstanten Bedrohung von Hacker-Angriffen.
Das VPN fügt
diese Extraschicht an Sicherheit hinzu, und ein großer Wachstum
in der VPN-Verwendung wird erwartet. Im Allgemeinen können die
unterschiedlichen VPN-Lösungen
in zwei Hauptgruppen kategorisiert werden; Kundenräumlichkeitsgerät-(CPE =
Customer Premises Equipment)-basierende Lösungen oder Netzwerk-basierende
Lösungen.
-
Internet
ist ein öffentliches
Datennetzwerk, basierend auf Netzwerkparadigmen, wie zum Beispiel
gleiche und beste Anstrengungsverkehrsbehandlung. Der gesamte Verkehr,
der das Internet kreuzt, ist öffentlich
und unsicher, was in einer Anzahl von Problemen resultiert, die
gelöst
werden müssen, beispielsweise
End-zu-End-Sicherheitskommunikation zwischen Firmenorten bzw. Unternehmenssitzen. Einige
Probleme haben Lösungen,
die unterstützt werden
durch mehrere VPN, Systemverkäufer,
wie zum Beispiel verschlüsseltes
IP-Tunneln zwischen Endbenutzern, die die IPSec-Architektur verwenden, die
beschrieben wird von S. Kent und R. Atkinson in "Security Architecture for the Internet
Protocol", RFC 2401,
November 1998, oder einzelne Firewall-Lösungen, Desktop-Software-VPN-Clients;
beispielsweise Microsoft®-VPN, etc. Ein PC, der
verbunden ist mit dem Internet, kann, nicht leicht, aber es ist
möglich, verwendet
werden als ein Transitknoten von einem Hacker, beispielsweise könnte der
Hacker ein Trojanisches-Pferd-Programm
verwenden, um in den PC zu gelangen. Tief in dem PC könnte das
Trojanische-Pferd-Programm adaptiert werden, Anwendungs-Software
freizugeben, die als irgendeine authentifizierte Software agiert,
die durch den Benutzer des PCs installiert wurde. Es ist sehr schwierig
für Schicht-2 und -3 Firmware/Software
diese Art von bösartigen
Anwendungen zu detektieren. Deshalb ist es empfehlenswert, VPN-Steuer-
und Management-Software- und Firmware-Funktionen und Endbenutzeranwendungen
zu haben, wie zum Beispiel Service-Login-Software "authentifizierte" Software-Anwendungen,
die auf irgendeine Weise die Netzwerkinfrastruktur verwenden, die
bereitgestellt wird durch den VPN-Dienst, getrennt von verschiedenen Hardware-Plattformen.
Was im allgemeinen vermieden werden sollte, ist PC-Klienten zu haben,
die verantwortlich sind für
ein Konfigurieren der tatsächlichen
VPN-Einrichtung, das heißt
Zugang zu den Nachschau-Tabellen für andere VPN-Mitglieder-öffentliche-IP-Adressen zu haben,
Zugang zu Information zu haben hinsichtlich wie zu authentifizieren
ist, eine Integritätsprüfung auszuführen und
Verkehr zu entschlüsseln,
der auf VPN gerichtet ist, etc.
-
Wenn
ein virtuelles privates Netzwerk (VPN) implementiert wird als ein
emuliertes LAN auf einem Standard-IP-Netzwerk, wie zum Beispiel
dem Internet, muss man eine Ausstrahlungsfunktionalität bereitstellen,
die eine Grundlegende-(intrinsische)-Funktion ist auf einem Ebene-2-Medium,
wie zum Beispiel Ethernet. Eine Anzahl von ausstrahlungsbasierten
Diensten wird definiert auf dem Verbindungs-Niveau. Beispiele sind
Dienstentdeckungsprotokolle bzw. Service Discovery Protocols und
das Schicht-2-Adressauflösungsprotokoll
(ARP, Address Resolution Protocol). Die Ausstrahlungsfunktionalität könnte in
verschiedenen Arten implementiert werden. Beispiele der verschiedenen
Architekturen sind:
- – Ausstrahlungsfunktionalität, implementiert
als zentralisierter Server;
- – Ausstrahlungsfunktionalität, implementiert
unter Verwendung von IP-Multicast;
- – Ausstrahlungsfunktionalität, implementiert
unter Verwendung von emulierten Multicast.
-
ATM-Forum-LANE-(Lan-Emulation)-Standard
ist ein Beispiel einer zentralisierten Server-Architektur. Dieser
Server emuliert die Ausstrahlungsfunktionalität bzw. Broadcast-Funktionalität auf dem LAN.
Wenn ein LAN-emulierender
Klient (LEC, LAN Emulating Client) eine Ausstrahlung sendet, wird
die Ausstrahlung gesendet an den BUS (Broadcast and Unknown Server),
der diese Nachricht an alle der anderen Clients auf dem emulierten
LAN weiterleitet.
-
Die
technischen Probleme mit der beschriebenen Architektur sind verwandt
mit Vergrößerbarkeit
und Verlässlichkeit.
Wenn eine große
Anzahl von LAN-emulierenden Clients Broadcasts bzw. Ausstrahlungen
an den Ausstrah lungs-Server senden, wird jeder Client eine Leistungsverschlechterung
des Ausstrahlungsdienstes erfahren, aufgrund der Last auf dem Ausstrahlungs-Server. Die Verkehrslast
auf der Verbindung, die den Ausstrahlungs-Server verbindet, wird
sich auch erhöhen
mit einer großen
Anzahl von LAN-Clients. Dies wird letztendlich eine Begrenzung sein.
Diese Begrenzung wird ferner die Ausstrahlungsleistungsfähigkeit
reduzieren, die die LAN-Clients erfahren. Zusätzlich zu dem Leistungsfähigkeitsproblem
wird ein einzelner Ausstrahlungs-Server auch ein einzelner Punkt
eines Fehlers für
ausstrahlungsbasierte Dienste sein, die angeboten werden durch das
emulierte LAN.
-
Wenn
die Ausstrahlungsfunktionalität
implementiert wird durch Verwenden von IP-Multicast, treten die
LAN-emulierenden Clients einem Multicast-Netzwerk bei. Dieses Netzwerk stellt
das Ausstrahlungsmedium für
das emulierte LAN dar. Offensichtlich müssen, um in der Lage zu sein,
IP-Multicast als das Ausstrahlungsmedium zu verwenden, die Clients
mit einem Multicast-Dienst
interagieren, der bereitet wird durch das unterliegende IP-Netzwerk.
Diese Interaktion könnte
ausgeführt
werden über
einen LAN-emulierenden Server, das Managementsystem des emulierten
LAN oder durch eine andere Einrichtung. Ein technisches Problem
mit dieser Lösung
ist die Abhängigkeit
der IP-Multicast-Funktionalität
in dem IP-Backbone bzw. IP-Basisnetz und der Bedarf für das emulierte
LAN, mit dem IP-Backbone zu interagieren.
-
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Gemäß dem ersten
Aspekt der Erfindung wird ein System zum Emulieren eines lokalen
Bereichsnetzwerks auf einem globalen Kommunikationsnetzwerk bereitgestellt.
Das System umfasst Client-Einheiten und einen Server, die verbunden
sind mit dem globalen Netzwerk. Ferner umfasst das System eine Ausstrahlungsfunktionalität zum Weiterleiten
von Nachrichten an alle Clients in dem emulierten lokalen Bereichsnetzwerk.
Gemäß der Erfindung wird
die Ausstrahlungsfunktionalität
verteilt und implementiert in mehr als einem Netzwerkeinheitsknoten in
dem emulierten lokalen Bereichsnetzwerk. Das globale Netzwerk agiert
bevorzugt als ein Backbone für
das emulierte lokale Bereichsnetzwerk.
-
In
einer Ausführungsform
wird eine Auswahl von den Client-Einheiten mit einer hochgefahrenen und
laufenden Ausstrahlungsfunktionalitätseinheit definiert durch den
Server, und ist basiert auf vorbestimmten Leistungungsfähigkeitskriterien,
wie zum Beispiel verfügbarer
Bandbreite bei dem Backbone-Netzwerk.
-
Bevorzugt
ist die verteilte Ausstrahlungsfunktionalität hierarchisch strukturiert,
wobei ein Master und Anfangsausstrahlungsfunktionalitätseinheit, darstellend
die obere der Hierarchie, in dem Server konfiguriert wird.
-
In
einer Ausführungsform
werden die Verbindungen zwischen den Knoten des emulierten lokalen Bereichsnetzwerks
implementiert als ein Multicast-Netzwerk, übertragen
durch das globale Netzwerk. In einer anderen Ausführungsform
können
die Verbindungen zwischen den Knoten des emulierten lokalen Bereichsnetzwerks
implementiert werden als Single-Cast-Adressen, die Tunnel durch
das globale Netzwerk bilden.
-
Bevorzugt
umfasst jede Netzwerkeinheit mit einer verteilten Ausstrahlungsfunktionalität eine Einrichtung
zum Ausführen
eines Algorithmus zum Verhindern, dass Ausstrahlungsnachrichten
indefinitiv gesendet werden zwischen den Netzwerkeinheitsknoten
mit der verteilten Ausstrahlungsfunktionalität. In einer Ausführungsform
wird dies angeordnet durch einen Algorithmus, der auf einer Prüfsumme des Ausstrahlungspakets
basiert, wobei die Prüfsumme eindeutig
das Ausstrahlungspaket identifiziert. Die Prüfsumme wird zwischengespeichert
durch die Ausstrahlungsfunktionalität für den Zweck eines Fallenlassens
von nachfolgend ankommenden Ausstrahlungspaketen mit der gleichen
Prüfsumme.
In einer anderen Ausführungsform
wird ein anderer Algorithmus verwendet, basierend auf einem Hop-Zähler, der verringert
wird durch jede Ausstrahlungsfunktionalitätseinheit bei Ankunft, wobei
der Algorithmus funktioniert, nachfolgende ankommende Pakete fallen
zu lassen, wenn der Zähler
Null erreicht hat.
-
Bevorzugt
ist das globale Netzwerk ein Internet-Protokollnetzwerk, wie zum
Beispiel das Internet.
-
Gemäß einem
zweiten Aspekt der Erfindung wird ein Verfahren bereitgestellt zum
Durchführen der
Schritte, die in dieser Anmeldung beschrieben sind, zum Emulieren
eines verteilten lokalen Bereichsnetzwerks.
-
Kurze Beschreibung der Zeichnungen
-
Bevorzugte
Ausführungsformen
der Erfindung werden unten beschrieben mit Bezugnahme auf die Zeichnungen,
in denen
-
1 den
Systemüberblick
gemäß einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
2 die
Verkehrsüberwachung
und Session-Übernahme
gemäß einer
Ausführungsform
der vorliegenden Erfindung darstellt;
-
3 stellt
eine verteilte Ausstrahlungsfunktionalität dar, basierend auf einem
globalen Netzwerk-Backbone gemäß einer
Ausführungsform
der Erfindung; und
-
4 stellt
die hierarchische Konfiguration der Ausstrahlungsfunktionalität gemäß einer
Ausführungsform
der Erfindung dar.
-
5 stellt
ein emuliertes LAN auf einem globalen IP-Netzwerk dar, gemäß einer
Ausführungsform
der Erfindung.
-
Detaillierte Beschreibung der bevorzugten
Ausführungsformen
-
Gemäß einem
Aspekt basiert das System gemäß der vorliegenden
Erfindung auf einem Standard-IP-Netzwerk, wie das öffentliche
Internet. Das System umfasst mehrere VPN-Clients und mindestens
einen Server. Ein Server kann ein verteilter Cluster von physikalischen
Boxen sein. Die VPN-Clients könnten
implementiert werden als Driver auf dem Client-Computer, aber sind
aus Gründen
der Sicherheit bevorzugt implementiert in einer einzelnen Hardware-Box.
Ein Zweck dieses Mechanismus ist es, dynamische und sichere virtuelle
lokale Netzwerke zwischen einigen oder allen der Clients zu errichten.
Ein virtuelles Netzwerk wird erzeugt durch Einrichten von Verbindungsgruppen
in einem VPN-Server. Der Server weist ein Dienstgerät auf zum
Verfolgen von verbundenen Maschinen und Abbilden derselben auf IP-Adressen.
In einer Ausführungsform
wird dies erlangt unter Verwendung von ARP (Adress Resolution Protocol),
einem IP-Protokoll, das verwendet wird zum Erlangen einer physikalischen
Adresse eines Knotens. Eine Client-Station sendet eine ARP-Anforderung
an den VPN-Server mit der VPN-Internen-IP-Adresse des Zielknotens,
mit dem sie wünscht,
zu kommunizieren, und der VPN-Server antwortet durch Zurücksenden
der Externen-IP-Adresse, so dass Pakete übertragen werden können. ARP
gibt die Schicht-2-Adresse für eine Schicht-3-Adresse
zurück.
Der Mechanismus handhabt auch eine Verteilung von öffentlichen
Schlüsseln zum
Bilden vollständiger
Sicherheitsassoziierungen. Für
ein Handhaben von Ausstrahlungen wird ein emulierter Ausstrahlungsdienst
implementiert in dem Server, bevorzugt unter Verwendung einer IP-Multicast-Gruppe oder als ein
getrennter Ausstrahlungsdienst. Daten, die direkt von einer Maschine
in das virtuelle Netzwerk zu anderen gesendet werden, werden über IP direkt
an die IP-Adresse des empfangenen Klienten bzw. Clients getunnelt.
Der Mechanismus enthält
sowohl den Fall, wo Datenpakete direkt über IP getunnelt werden, als
auch, wenn ein Schicht-2-Medium, wie zum Beispiel Ethernet,
auf dem IP-Netzwerk geschalten wird.
-
5 stellt
eine Ausführungsform
des System gemäß des vorliegenden
Mechanismus dar, wobei ein Netzwerk 4 fünf Knoten umfasst; vier VPN-Clients 31-34 mit
globalen Adressen C1-C4 und einen Server S. Alle von diesen sind
verbunden mit und haben eine gültige
Adresse in dem physikalischen Netzwerk 4. Diese Knoten
sind miteinander verbunden, unter Verwendung von Standard-Internet-Routing-Prozeduren,
aber die Clients 31-34 sind nicht in dem gleichen
LAN. Auf dieser Netzwerkinfrastruktur bilden die Clients 31, 32 und 33 ein
virtuelles Netzwerk 30 mit lokalen Adressen D1, D2, und
D3. In dem dargestellten Fall sieht es so aus, dass die Clients
in diesem VPN auf dem gleichen lokalen Netzwerk sind. Der Grund
für dies
ist der Ausstrahlungsdienst, das heißt, das Dienstgerät, das alle
Pakete für
die lokale Ausstrahlungsdomain an alle Maschinen in dem VPN 30 liefert.
Daher arbeiten Dienstentdeckungsmechanismen oder Schicht-2-ARP
transparent auf dem virtuellen Netzwerk. Wenn Client 31 auf
dem VPN ein Paket direkt an Client 32 übertragen will, fordert die Client-Software
die physikalische Adresse C2 von dem Server S an, basieren auf der
lokalen Adresse D2, sowie mögliche
Sicherheitsschlüssel,
die benötigt
werden zum Sprechen mit D2 von S. D1 ist dann in der Lage, das Paket
in einem sicheren Tunnel direkt an D2 zu übertragen, ohne den Server
S zu durchlaufen.
-
Das
obige stellt einen effektiven und benutzerfreundlichen Mechanismus
zum Einrichten von virtuellen privaten Netzwerken über generische IP-Verbindungen dar.
Ausstrahlungsdienste und Dienstentdeckungsprotokolle, die normalerweise eine
Direkt-Schicht-2-Verbindung benötigen, können unabhängig von der aktuellen Netzwerkstruktur
arbeiten. Es stellt auch die Möglichkeit
von verteilten Netzwerkausstrahlungshandhaben dar, wobei Regeln
und Konfigurationsoptionen in den Endknoten des Netzwerks zwischengespeichert
werden können, anstatt
in einem zentralisierten Server. Der beschriebene Mechanismus ist
einzigartig dadurch, dass er ein vollständig verteiltes emuliertes
LAN auf einem IP-Netzwerk präsentiert,
wobei Zugang und Attribute, wie zum Beispiel Sicherheitsassoziierungen,
vollständig
gesteuert werden durch einen Server. Die neuesten Lösungen verwenden
statische Tunnel. Entweder werden permanente Verbindungen zwischen
den Mitgliedern des VPN oder Tunnelserver eingerichtet, was im Grunde
nach wie Modem-Pools arbeitet, nur dass eine IP-Nummer "gewählt" wird. Dies bedeutet,
dass der gesamte Verkehr, ungeachtet des letztlichen Ziels, durch
diese eine Box geht. Insbesondere kommt Verkehr, der zu diesen Orten
in das VLAN (Virtual LAN) geht, anders als der von dem VLAN-Server,
hinein durch den Serverzugang und dreht um. Der Ausstrahlungsdienst
erlaubt Dienstentdeckungsprotokollen, die entworfen sind für lokale Netzwerke,
auf dem VPN zu funktionieren, während der
ARP-Mechanismus
eine dynamische Einrichtung von sicheren Tunneln direkt zwi schen
Endpunkten erlaubt. Der gut bekannte LANE-(LAN-Emulierungs)-Standard
wurde total auf ATM (Assynchronous Transfer Mode) fokussiert, und
hat als Merkmal kein integriertes Sicherheitshandhaben. Lane führt unter
anderem die Fähigkeit
ein, Ethernet und Token-Ring-Netzwerke zusammen über ATM zu verbinden. LANE
macht den Prozess transparent, was keine Modifizierung für Ethernet
und Token-Ring-Stationen benötigt.
LANE erlaubt, gewöhnlichen
Protokollen, wie zum Beispiel IP, IPX, AppleTalk und DECnet, über ein
ATM-Backbone zu
gehen. Eine LAN-Emulierung wurde implementiert und verifiziert über ATM. Jedoch
wird, da die Systemarchitektur selbst durch ihren Entwurf das Senden
aller Daten durch den Server vermeidet, das Flaschenhalsproblem
mit den überlasteten
Serververbindungen vollständig
vermieden.
-
Im
Allgemeinen verlässt
sich das Zielsystem auf ein Entscheidungsschema darauf, dass ein
Dritter eine Client-Rolle in einer Zweiparteienkommunikations-Session übernimmt.
In 1 umfassen die Systemprozesse Endbenutzer-Clients,
die sich bei Endbenutzerräumlichkeitsgerät 1 befinden,
einen zentralen VPN-Systemserver 2 und Netzwerkrand-Lokalisierte-VPN-System-Clients 3.
Dicke Linien kennzeichnen physikalische Kommunikationslinien, wobei
Pfeile kommunizierende Enden kennzeichnen, ohne ein Spezifizieren
von dem Weg, den die Kommunikation nimmt, zwischen diesen kommunizierenden
Enden.
-
Der
Endbenutzer-Client-Prozess befindet sich bevorzugt in einem PC,
der VPN-Client-Prozess befindet sich bevorzugt innerhalb einer einzelnen Hardware-Einheit,
und der VPN-Serverprozess befindet sich innerhalb irgendeiner Server-Hardware-Einheit,
wie zum Beispiel einem IBM®-Server. Unter Prozess
wird hier die Funktionalität
für den
bestimmten Client oder Server verstanden, wie es hierin beschrieben
ist. Der VPN-Server 2 und der VPN-Client sind Teile eines VPN-Systems,
das den Endbenutzer-Client 1 mit Zugang zu angeforderten
VPNs versieht. Die Endbenutzer-Client-1-Hardware ist physikalisch
verbunden über
eine Kommunikationsleitung 11 mit der VPN-Client-3-Hardware.
Die VPN-Client-3-Hardware ist physikalisch verbunden mit
einer Schicht-2-Terminierung, die dem VPN-Client-3 erlaubt,
auf das Internet über
eine Kommunikationsleitung 12 zuzugreifen. Das Schicht-2-Protokoll
ist bevorzugt Ethernet, aber könnte
praktischerweise irgendein bekanntes Schicht-2-Protokoll
sein, das verwendet wird zur Einkapselung und Transport von IP-(Internet-Protokoll)-Paketen
zwischen IP-Knoten. Der VPN-Server 2 ist verbunden mit
dem Internet über
eine Kommunikationsleitung 13 auf die gleiche Art und Weise,
wie der VPN-Client 3.
-
Gemäß einer
Ausführungsform
des Zielsystems initiiert der Endbenutzer-Client 1 eine
Kommunikations-Session mit dem VPN-Server 2, um Zugang
zu erhalten zu einem virtuellen privaten Netzwerk. Während der
Initialisierungsphase authentifiziert und autorisiert der VPN-Server 2 den
Endbenutzer-Client 1 als einen registrierten Benutzer der VPN-Dienste,
die bereitgestellt werden durch den VPN-Server 2. Der VPN-Client 3 ist
passiv dadurch, dass er nicht irgendwelche neue Informationselemente
während
der Initialisierungsphase initiiert. Der VPN-Client 3 überwacht 22 auch
die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und
dem VPN-Server 2.
-
Wenn
die Initialisierungsphase zwischen dem Endbenutzer-Client 1 und
dem VPN-Server 2 beendet ist, und wenn Information ausgetauscht
wurde hinsichtlich bestimmter VPN, auf die die Endbenutzer-Clients
Zugriff verlangen, dann wird der VPN-Client 3 aktiv und übernimmt
die Kommunikations-Session
zwischen dem Endbenutzer-Client 1 und dem VPN-Client 3.
Der VPN-Client 3 fordert
nun, falls es notwendig ist, weil die VPN-Information schon zwischengespeichert
werden kann durch den VPN-Client 3, VPN-Konfigurationsdaten an von dem VPN-Server 2.
Der VPN-Client 3 verwendet die Konfigurationsdaten zum
Konfigurieren notwendiger VPN-Zugangsparameter, wie zum Beispiel
Verkehrsklassifizierungsparameter, Leistungsfähigkeitsversicherungsparameter
oder Firewall-Parameter, wie zum Beispiel Verschlüsselung,
Authentifizierung, Filtern von Parametern, etc.
-
Dem
Endbenutzer-Client 1 bzw. Endanwender-Client wird erlaubt,
verschiedene VPN-Server zu verwenden, aber er kann nicht simultan
auf mehr als einen VPN-Server 2 zugreifen. Der VPN-Client 3 detektiert,
wenn ein Endbenutzer-Client 1 versucht, auf einen gewissen
Server 2 zuzugreifen. In diesem Moment wird der VPN-Server 2 als
unsicher betrachtet, bis der Endbenutzer-Client 1 den VPN-Server 2 authentifiziert
hat, und auch authentifiziert wurde durch den VPN-Server 2.
-
Die Überwachungs-
und Session-Übernahmeszenarios
werden detaillierter in 2 beschrieben. Der VPN-Client 3 hat
eine Domain, der vertraut werden kann, welches die Endbenutzer-Client-1-Seite
ist, und eine Domain, der nicht vertraut wird, die Internet-Domain.
Aus der Sicht des VPN-Clients 3 befindet sich der VPN-Server 2 deshalb
in der Domain, der nicht vertraut wird. Da der gesamte ein- und
ausgehende IP-Verkehr zu/von dem Endbenutzer-Client hindurchgeht durch die VPN-Client-3-Hardware,
ist der VPN-Client 3 in der Lage, die Kommunikation 21 zwischen
dem Endbenutzer-Client 1 und dem VPN-Server 2 zu überwachen.
Dies ist gegeben, falls und nur falls, der IP-Verkehr nicht auf solch eine Art und
Weise verschlüsselt
ist, dass der VPN- Client 3 nicht
in der Lage ist, den IP-Verkehr zu entschlüsseln. Die VPN-Client-3-Software
befindet sich auf der Hardware, die physikalisch den Endbenutzer-Client 1 mit
dem Internet 4 verbindet. Der VPN-Client 3 ist deshalb
in der Lage, den gesamten Verkehr 21 zwischen dem Endbenutzer-Client 1 und
verschiedenen VPN-Servern 2 zu überwachen 22, zu welchen
der Endbenutzer-Client 1 registriert ist als Benutzer bzw. Anwender.
-
Der
VPN-Client 3 identifiziert, wenn der Endbenutzer-Client 1 anfängt, Kontakt
mit einem VPN-Server 2 aufzunehmen. Der VPN-Client 3 behandelt
die Endbenutzer-Client-1-Seite als eine Partei, der vertraut
wird, und den VPN-Server 2, als eine Partei, der nicht
vertraut wird. Die Session-Einrichtungsphase 21 zwischen
dem Endbenutzer-Client 1 und dem VPN-Server 2 könnte auf
mehrere Arten durchgeführt
werden, beispielsweise durch eine herkömmliche Aufforderung/Antwort-Handschüttelsequenz.
Die Kommunikation 21 sollte primär durchgeführt werden durch Web-basierten
Clients, aber andere Client-Serverprozessumgebungslösungen sind möglich. Wenn
die Handschüttelsequenz
zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet
ist, übernimmt
der VPN-Client 3 die Kommunikations-Session. Das Handschütteln bzw.
Handshaking wird als beendet betrachtet, wenn der VPN-Server 2 authentifiziert
wurde und den Endbenutzer-Client 1 autorisiert hat, und
den Endbenutzer-Client 1 als einen bestätigten Benutzer bestätigt. Der
VPN-Client 3 wird von nun an Proxy-Rollen hinsichtlich
sowohl des Endbenutzer-Clients 1 und des VPN-Servers 2 übernehmen.
Hinsichtlich des Endbenutzer-Clients 1 wird der VPN-Client 3 als
ein VPN-Server-Proxy agieren und hinsichtlich des VPN-Servers als
ein Endbenutzer-Client-Proxy. Der Endbenutzer-Client 1 wird
seine Session weiterführen,
unter der Annahme, dass er noch mit dem VPN-Server 2 kommuniziert. Der
VPN-Client 3 wird, unter Verwendung der VPN-Server-Proxy-Rolle,
die VPN-Einrichtungs-Session mit dem Endbenutzer-Client 1 weiterführen.
-
Ferner
wird der VPN-Client 3 nun den VPN-Server 2 als
eine sichere Quelle betrachten und Kommunikations-Sessions 23 mit
dem VPN-Server 2 starten, der ermöglicht, dass der Endbenutzer-Client 1 als
Mitglied in dem angeforderten VPN enthalten ist.
-
In
einer Ausführungsform
wird das Zielsystem in einem Dienstbereitstellungssystem implementiert,
wo Teile der Dienstfunktionalität
verteilt werden an System-Clients, die als Server-Proxies agieren. Ein
technischer Vorteil des vorliegenden Systems ist der, dass irgendein
Hackerangriff über
ein Endbenutzer-PC 1 vermieden wird durch kritische Software/Firmware
zur Steuerung und Management von VPN-Konfigurationsdaten, getrennt
von einer einzelnen Hardware 3. Ein anderer Vorteil ist
das automatisierte Übernehmen
von zertifizierten Sessions. Ein anderer Vorteil ist das Plug-and-Play-Verhalten für virtuelle
Dienste über
Internet, was verfügbar
gemacht wird durch das System. Die Lehren des vorliegenden Systems
unterscheiden sich daher von der Stand-der-Technik-Technologie,
da frühere
Lösungen
für das
Problem entweder zentralisierte Serverlösungen umfasst haben, wie zum
Beispiel PSTN/ISDN-Modem-Pool-Lösungen,
Serverzentralisiertes-IP-Sec-Tunneln etc., oder verteilte Lösungen, die
nur gültig
waren innerhalb einer Netzwerkoperator-Intra-Domain oder innerhalb
föderierter
Netzwerkoperator-Domains.
Diese Lösungen
werden allgemein als netzwerkbasierte VPN-Systeme bezeichnet. Das
vorliegende System wird unabhängig
davon funktionieren, ob oder ob nicht die verschiedenen VPN-Client-Benutzer
auf die gleiche Netzwerkoperator-Domain oder eine föderierte
Netzwerk-Domain zugreifen oder Zugang haben auf vollständig unabhängige Netzwerkoperator-Domains.
-
Ein
emuliertes Multicast umfasst einen oder bevorzugt mehrere Broadcast-Server
bzw. Ausstrahlungs-Server, die verbunden sind mit dem emulierten LAN.
Die Verbindung zwischen dem LAN-emulierenden Client LEC, hierin
als der VPN-Client bezeichnet, und die Ausstrahlungs-Server können als
Tunnel oder durch andere Mittel realisiert werden. Die Ausstrahlungs-Server
können
dynamisch konfiguriert werden durch einen LAN-emulierenden Server
(LES) oder in einer statischen Art und Weise über ein Managementsystem.
-
In
einer Ausführungsform
der vorliegenden Erfindung, die in 3 dargestellt
ist, umfasst das System eine verteilte Architektur von Ausstrahlungs-Servern
auf einem emulierten LAN. Das LAN wird emuliert auf einem Standard-IP-Netzwerk, ähnlich zu
dem Internet. Dies bedeutet, dass das IP-Netzwerk als Backbone bzw.
Basisnetz für
das emulierte LAN agiert. In 3 steht
pLAN für
physikalisches LAN, im Gegensatz zu virtuellem LAN. PC kennzeichnet
in dieser Ausführungsform
einen gewöhnlichen
Personalcomputer, aber kann gerade so gut irgendeine andere Art
von Datenkommunikationsgerät
sein. Das emulierte LAN wird auf einem Standardglobalnetzwerk implementiert,
bevorzugt einem IP-Netzwerk, wie zum Beispiel dem Internet, und
funktioniert zum Erweitern des physikalischen LANs, das auf der
linken Seite von 3 gesehen werden kann, zu anderen,
und entfernten Orten, wie zum Beispiel dem pLAN auf der rechten
Seite von 3 oder den anderen PCs. Das
emulierte LAN umfasst Verbindungen zwischen LAN-emulierenden Clients
(LECs). Ein LEC wird implementiert als getrennte physikalische Einheit
und agiert als Brücke zwischen
pLAN und dem emulierten LAN-Knoten. Ein LAN-emulierender Server
(LES) führt
das Management des emulierten LANs und der verbundenen LECs aus.
-
Die
Ausstrahlungs- und unbekannte Server (BUS)-Funktionalität könnte in
dem LEC implementiert werden als eine getrennte Einheit, verbunden
mit dem IP-Netzwerk, und/oder implementiert in dem LES. Unterschiedliche
Konfigurierungen werden in 3 gezeigt.
Falls der BUS implementiert wird in den LECs, ist die Funktion in
den meisten der LECs untätig
und funktioniert in einigen. Einige, aber nicht alle, der LECs haben
eine laufende BUS-Funktionalität. Die Auswahl
des LEC, der einen hochgefahrenen und laufenden BUS hat, wird definiert
durch den LES und, basierend auf verschiedenen Leistungsfähigkeitskriterien,
wie zum Beispiel verfügbaren
Bandbreiten für
den IP-Backbone und/oder Anzahl der Einheiten, die verbunden sind
mit dem pLan etc.
-
Die
BUSes sind bevorzugt angeordnet in einer logischen hierarchischen
Struktur, wie in 4 gezeigt. Unter Verwendung
einer hierarchischen oder Baumstruktur wird die Effizienz vergrößert. Der Master
und Anfangs-BUS, der LES-BUS, ist konfiguriert in dem LES. Unter
Verwendung mehrerer BUSes wird die Last auf dem System, das die
Ausstrahlungsfunktionalität
implementiert, verteilt. Ferner wird die verteilte Architektur ein
Lastaufteilen auf den Verbindungen, die die BUSes verbinden, geben.
Als Konsequenz der verteilten Architektur gibt es keinen einzelnen
Fehlerpunkt für
die Ausstrahlungsfunktionalität.
wenn ein LEC mit einem emulierten LAN verbunden wird, empfängt der
LEC Information von dem LES über
die verfügbaren
BUSes. Der LES kann bei dieser Stufe den verbindenden LEC konfigurieren, um
die BUS-Funktionalität zu starten.
Die Verbindungen zwischen dem LEC und den BUSes, die die Knoten
des emulierten lokalen Bereichsnetzwerks bilden, können implementiert
werden als Multicast-Netzwerk oder als Single-Cast-Adressen, das
heißt,
Tunnel, zu jedem der anderen LECs.
-
Jeder
BUS wird einen Algorithmus aufweisen, um die Möglichkeit eines "Broadcast Storm" auszuschließen, wo
Ausstrahlungsnachrichten indefinitiv bzw. unbefristet zwischen den
BUSes gesendet werden. Der Algorithmus könnte auf einer Prüfsumme des
Ausstrahlungspakets basieren. Diese Prüfsumme wird das Ausstrahlungspaket
eindeutig identifizieren, und wird zwischengespeichert durch den BUS.
Falls ein anderes Ausstrahlungspaket ankommt mit der gleichen Prüfsumme,
wird das Paket fallengelassen und nicht weitergeleitet. In einer
alternativen Ausführungsform
wird ein anderer Algorithmus verwendet, basierend auf einem Hop-Zähler, ähnlich zu
dem Time-To-Live-(TTL, Zeit zu leben)-Parameter, der verwendet wird
in IP-Netzwerken. Der Zähler
wird bei jedem BUS verringert. Wenn der Zähler Null erreicht, wird das
Paket fallengelassen und nicht weitergeleitet.
-
Die
Erfindung gemäß dieser
Beschreibung kann daher in einem VPN verwendet werden, basierend
auf einem emulierten LAN auf dem IP-Netzwerk. Die Erfindung gemäß der Beschreibung
unterscheidet sich von früher
bekannter Technologie, da existierende VPN-Lösungen einen einzelnen Ausstrahlungs-Server verwenden,
und ein technischer Vorteil beruht darin, dass es die Erweiterbarkeit
der VPN-Implementierungen verbessert.