FR2801754A1 - Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip - Google Patents
Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip Download PDFInfo
- Publication number
- FR2801754A1 FR2801754A1 FR0011974A FR0011974A FR2801754A1 FR 2801754 A1 FR2801754 A1 FR 2801754A1 FR 0011974 A FR0011974 A FR 0011974A FR 0011974 A FR0011974 A FR 0011974A FR 2801754 A1 FR2801754 A1 FR 2801754A1
- Authority
- FR
- France
- Prior art keywords
- workstation
- address
- server
- network
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Méthode pour assigner une double adresse à un poste de travail qui se connecte en un point quelconque d'un réseau de transmission de données IP composé d'au moins un premier réseau local (LAN) doté d'un serveur Dynamic Host Configuration Protocol (DHCP) local, d'un serveur Domain Name Services (DNS) local et d'un serveur d'enregistrement local, cette méthode comprenant les étapes suivantes : a) enregistrement en mode déconnecté dans le serveur d'enregistrement des paramètres du poste de travail comprenant une adresses IP statique, un identificateur (logon ID) et un mot de passe qui ont été fournis à l'utilisateur du poste de travail,b) connexion du poste de travail sur le réseau IP, le poste de travail étant configuré en mode DHCP,c) fourniture par le serveur d'enregistrement d'une adresse IP dynamique au poste de travail,d) appel du serveur d'enregistrement local par le poste de travail pour obtenir d'abord l'adresse IP statique, puis un fichier de configuration pour le poste de travail, et e) configuration automatique des applications à traiter par le poste de travail doté de l'adresse IP statique ou de l'adresse IP dynamique.
Description
<B>Domaine</B> technique La présente invention concerne la sécurisation des communications entre des postes de travail sur un réseau transmission de données, et concerne plus particulièrement méthode pour assigner une double adresse IP à un poste travail relié ' un réseau de transmission de données IP. <B>Contexte</B> Lorsqu'un poste de travail (ou un ordinateur central) connecté à réseau de transmission de données IP, adresse IP lui est assignée de manière à permettre à n'importe quel autre poste de travail de communiquer avec lui par le réseau. A l'heure actuelle, une adresse IPv4 est une valeur binaire de 32 bits. Chaque byte de l'adresse est converti en un nombre décimal et les nombres sont séparés par des points. Ce type de notation est la manière commune d'exprimer une adresse IP, de sorte que les utilisateurs peuvent lire et écrire les adresses IP facilement. On notera que la prochaine génération de réseaux utilisera des adresses IPv6 de 128 bits. Il existe trois formats d'adresses IP : la classe A pour les grands réseaux pour lesquels 1 adresse commence par un nombre compris entre 0 et 127, la classe B pour les réseaux de taille moyenne pour lesquels l'adresse commence par un nombre compris entre 128 et 191 et la classe pour les petits réseaux pour lesquels l'adresse commence par nombre compris entre 192 et 223. Une société qui a une adresse de réseau de classe A ou B utilise très vraisemblablement un réseau relativement complexe constitué de plusieurs réseaux locaux (LAN) et grands réseaux (WAN). Par conséquent, cette société a intérêt à subdiviser l'espace adresse de manière à pouvoir considérer le réseau comme une famille de sous-réseaux. Pour cela, l'adresse est subdivisée de la manière suivante < adresse réseau> < adresse sous-réseau> < adresse système central> Un poste de travail connecté à un réseau peut avoir une adresse statique ou une adresse dynamique. S'il l'on choisit une adresse statique, l'utilisateur l'entre manuellement sur son poste de travail. Mais celui-ci peut demander à ce qu'une adresse dynamique soit assignée automatiquement par un serveur Dynamic Host Configuration Protocol (DHCP). Dans ce cas, l'administrateur du réseau supervise et distribue les adresses IP à partir d'un point central et envoie automatiquement une nouvelle adresse IP à chaque fois que le poste de travail est connecté en un point différent du réseau. Un inconvénient important est que le serveur DHCP n'a aucun moyen d'échanger ou de partager des adresses en dehors du réseau local. Un autre inconvénient est que le serveur DHCP ne peut pas partager des adresses avec le serveur Domain Name Services (DNS) qui offre un protocole de couche d'application appartenant à la suite de protocoles TCP/IP standard et qui fournit un service d'affectation de noms entre les ordinateurs l'intérieur du domaine administratif local et au-delà des limites du domaine.
'un des avantages de posséder un réseau réparti est la possibilité d'ajouter, de supprimer ou de déplacer des éléments tels que des serveurs ou des imprimantes sans perturber les services offerts par les autres éléments.
même, des utilisateurs du réseau peuvent être régulièrement 'outés, supprimés ou déplacés. Ces utilisateurs doivent conserver un accès approprié aux ressources quelles que soient les modifications de leur emplacement ou de leur statut.
utilisateurs doivent aussi pouvoir accéder sans problème toutes les ressources disponibles, où qu'elles se situent le réseau. Pour suivre et gérer toutes les ressources et tous les utilisateurs d'un réseau réparti, la plupart des systèmes d'exploitation de réseau actuels utilisent un serveur d'enregistrement (souvent appelé "services de répertoire" "directory services"). Ce serveur d'enregistrement permet à chaque utilisateur d'accéder à tous les serveurs et imprimantes, à toutes les applications, messageries, bases de données, communications et autres services offerts par le réseau simplement en se connectant sur celui-ci. Cependant l'inconvénient du système actuel d'assignation des adresses est que n'importe qui peut, sans y être autorisé, connecter son poste de travail sur le réseau en mode DHCP et obtenir adresse IP dynamique lui permettant d'accéder à toutes les ressources du réseau. A l'heure actuelle, un utilisateur connecté au travers poste de travail à un réseau en mode DHCP ne peut être authentifié car la seule manière de le faire est de contrôler son adresse MAC et de le rejeter si cette adresse MAC n' pas reconnue. Or cette adresse MAC est une adresse physique. Il n'est donc pas possible avec cette adresse de connaître l'emplacement de l'utilisateur pour l'autoriser à visiter le réseau. Par conséquent, le mode d'authentification classique est penalisant. I1 serait utile de connaître l'adresse IP du visiteur, mais cette adresse disparaît de l'interface réseau lorsqu'un poste de travail se connecte sur le réseau mode DHCP et se voit assigner une adresse IP dynamique sur le réseau visité. Résumé <B>de l'invention</B> C'est pourquoi l'invention a pour objet de proposer une méthode pour assigner à un poste de travail connecté à un réseau de transmission de données, en plus de l'adresse dynamique attribuée par le serveur DHCP du réseau local, une adresse statique qui permette de l'authentifier quel que soit le sous-réseau accessible sur lequel il est connecté. Cette invention a également pour objet de proposer une méthode pour assigner une double adresse à tout nouveau poste de travail qui se connecte sur un réseau de transmission données IP, afin ainsi de protéger le réseau sur lequel poste de travail se connecte en utilisant les droits du poste de travail associés à son adresse statique. L'invention concerne donc une méthode pour assigner une double adresse à un poste de travail qui se connecte en un point quelconque d'un réseau de transmission de données IP composé d'au moins un premier réseau local (LAN) doté d'un serveur Dynamic Host Configuration Protocol (DHCP) local, d'un serveur Domain Name Services (DNS) local et d'un serveur d'enregistrement local. Cette méthode comprend les étapes suivantes enregistrement en mode déconnecté dans le serveur d'enregistrement local avant la connexion du poste de travail sur le réseau, des paramètres du poste de travail comprenant une adresses IP statique, le nom, les droits du poste de travail, son adresse MAC et l'identificateur (logon ID) et le mot de passe fournis à l'utilisateur du poste de travail, b) connexion du poste de travail sur le réseau IP, le poste de travail étant configuré en mode DHCP, c) fourniture par le serveur d'enregistrement d'une adresse IP dynamique au poste de travail, d) appel du serveur d'enregistrement par le poste de travail à l'aide de l'identificateur (logon et du mot de passe, pour obtenir d'abord l'adresse statique, puis un fichier de configuration pour le poste de travail, et e) configuration automatique des applications et des protocoles à traiter par le poste de travail doté de l'adresse statique ou de l'adresse IP dynamique, cette configuration étant basée sur le fichier de configuration. Par ailleurs, réseau de transmission de données IP comprend un second réseau LAN sur lequel est maintenant connecté le poste de travail, ce second LAN comprend un serveur DHCP visité, un serveur DNS visité et un serveur d'enregistrement visité; la méthode comprend en outre les étapes suivantes f) fourniture par le serveur d'enregistrement visité d'une nouvelle adresse IP dynamique pour le poste de travail, g) appel du serveur d'enregistrement visité le poste de travail à l'aide d'un "logon" invité pour fournir au serveur d'enregistrement visité l'adresse statique IP du poste de travail, et h) appel du serveur d'enregistrement local par le serveur d'enregistrement visité de façon ' obtenir les caractéristiques du poste de travail afin de mettre à jour le serveur d'enregistrement visité.
<B>Brève description des dessins</B> On comprendra mieux les objets susmentionnés, ainsi que les autres caractéristiques et avantages de l'invention, à la lecture de sa description détaillée ci-dessous, en association avec les dessins suivants - La figure 1 représente le schéma fonctionnel d'un réseau comprenant un LAN local sur lequel connecté un poste de travail utilisant la méthode selon la présente invention.
- La figure 2 représente les étapes de la procédure d'enregistrement utilisée lorsqu'un poste de travail est connecté sur un réseau comme indiqué la figure 1.
- La figure 3 représente le schéma fonctionnel d'un réseau comprenant un LAN local et un LAN visité sur lequel un poste de travail se connecte en utilisant un aspect particulier de la méthode selon la presente invention.
- La figure 4 représente les étapes de la procédure d'enregistrement utilisée lorsqu'un poste de travail se connecte sur un réseau comme indiqué la figure 3.
- La figure 5 représente le schéma fonctionnel d'un réseau comprenant un LAN local et un LAN visité sur lequel un poste de travail se connecte par 'intermédiaire d'un serveur d'accès distant utilisant un aspect particulier de la méthode selon la présente invention.
- La figure 6 représente le schéma fonctionnel d'un réseau comprenant un LAN local et le réseau Internet sur lequel un poste de travail se connecte par 'intermédiaire d'un serveur pare-feu utilisant un aspect particulier de la méthode selon la présente invention.
- La figure 7 représente les étapes suivies par la méthode selon la présente invention lorsqu poste de travail se connecte sur un réseau.
Description détaillée de 1 invention La figure 1 décrit la topologie d'un réseau local. Un poste de travail 10 est connecté sur un LAN local 12. L'adresse IP dynamique est fournie au poste de travail connecté au LAN par un serveur DHCP 14. Le nom de ce poste de travail est associée à cette adresse IP dynamique sur le serveur DNS 16. L'accès au monde extérieur, par exemple à un WAN 18, est assuré par un routeur par défaut 20, et un serveur d'enregistrement 22 est utilisé pour identifier et aider à configurer entièrement poste travail connecté. Les différents serveurs peuvent pas être attachés directement au sous-réseau auquel appartient le poste de travail, mais ils peuvent faire office de serveurs locaux pour ce poste de travail. Ceci signifie que sous-reseau auquel appartient ce poste est géré par serveurs selon leur fonction. La figure 2 représente les différentes étapes de la méthode selon présente invention dans l'environnement de la figure 1. Au début, il n'y a rien de préconfiguré dans le poste de travail Certains paramètres du poste de travail sont enregistrés en mode déconnecté (étape 24), tels que son adresse IP statique, son nom et ses droits, ainsi que des certificats plus un identificateur (logon ID) et un mot passe destinés à l'utilisateur (étape 26). Toutes informations sont mémorisées dans le serveur d'enregistrement. Ce serveur attend la présence du poste de travail pour exécuter l'initialisation. Certains modèles peuvent être définis pour un utilisateur invité, probablement avec certaines limitations des droits. Ensuite, le poste de travail 10 est connecté au LAN (étape grâce à son adaptateur LAN configuré pour le protocole DHCP. Le serveur DHCP 14 fournit une adresse IP dynamique associée à l'adresse MAC (étape 30).
La poste de travail 10 peut alors fonctionner avec un accès limité selon les règles de filtrage appliquées au routeur par défaut aux serveurs locaux. Un serveur pare-feu peut également être installé dans le routeur ou hors routeur. Les règles de filtrage et de sécurité décrites ' ' peuvent s'appliquer à un routeur, à un pare-feu ou aux deux. Si l'utilisateur a obtenu un identificateur (logon et un mot de passe (étape 26) pour accéder serveur d'enregistrement 22, il peut alors appeler (étape 32) le serveur 'enregistrement pour obtenir d'abord (étape 34) une adresse statique qui sera utilisée simultanément avec son adresse dynamique déjà enregistrée, puis un fichier de configuration pour son poste ou au moins un modèle de configuration comprenant une configuration spécifique pour l'emplacement du poste et des droits pour l'utilisateur (étape 36). I1 peut aussi télécharger des certificats. plus, un masque est fourni avec cette adresse IP pour identifier les différents champs contenus dans l'adresse IP et plus précisément la limite entre le sous-réseau et les champs principaux. Le serveur vérifiera également l'adresse MAC du poste l'utilisateur en contre-vérifiant l'identificateur/le mot de passe. Ensuite, les fichiers internes du serveur d'enregistrement 22 sont mis à jour lorsque poste de travail est enregistré (étape 38). La présente invention comporte une méthode préférentielle pour accéder au serveur d'enregistrement. L'adresse du serveur d'enregistrement est définie à l'aide des champs de réseau et de sous-réseau de l'adresse dynamique IP du poste de travail et d'une valeur fixe pour le champ principal, ce qui permet de contacter ce dernier sans avoir besoin de connaître son adresse réelle. Le message sera ré-acheminé vers l'adresse appropriée soit par le routeur par défaut, soit un proxy utilisateur (tel que décrit ci-après) implanté chaque sous-réseau. Supposons que l'utilisateur s'est déplacé sur le réseau local et que son poste de travail ait été reconnecté en un autre point du même réseau local. Si cette nouvelle installation a lieu après la dernière connexion sur ce réseau, l'adresse IP dynamique peut avoir été attribuee à un autre poste. Dans ce cas, le serveur DHCP fournira poste de travail une autre adresse IP dynamique. Localement, le poste de travail verra sa configuration réactualisée. Un appel automatique au serveur d'enregistrement local peut être ajouté à l'application de connexion du poste pour lui communiquer la valeur de la nouvelle adresse IP dynamique. Supposons maintenant que le poste de travail 10 qui a été configuré sur le réseau local 12 est connecté à un LAN visité 40, comme indiqué sur la figure . Comme le réseau local, le réseau visité 40 est doté d' serveur DHCP visité, d'un serveur DNS visité 44 et d'un serveur d'enregistrement visité 46. Ces divers serveurs peuvent pas être reliés directement au sous-réseau 40, mais faire office de serveurs locaux pour ce poste de travail, ce qui signifie que le sous-réseau du poste de travail 10 est géré ces serveurs selon leur fonction particulière. Le LAN visité 40 et le LAN local 12 doivent être reliés par l'intermédiaire d'un WAN 18. Ce WAN 18 est connecté au LAN local 12 par le routeur local par défaut 12 et au LAN visité 40 par le routeur visité par défaut 48, afin de fournir au poste de travail 10 connecté sur le LAN visité les droits correspondant au contenu du serveur d'enregistrement local. Lorsque cela n'est pas possible, on peut utiliser une autre méthode qui fait appel au certificat fourni par le serveur d'enregistrement local pour assigner les droits. Le serveur d'enregistrement visité validera le certificat grâce à une connexion avec une Autorité de Certification (AC) et il actualisera les droits pour ce poste. La procédure d'enregistrement sur le LAN visité 40 est illustrée à la figure 4. Le poste de travail est d'abord connecté au LAN 40 grace à son adaptateur LAN configuré en mode DHCP (étape 50). Le serveur DHCP visité 42 fournit au poste de travail, une adresse dynamique (étape 52 . Le poste de travail peut alors fonctionner avec un accès limité selon les règles de filtrage appliquées au routeur par défaut et aux serveurs locaux. Un serveur pare-feu peut aussi être installé à l'intérieur ou en dehors du routeur. Ce serveur pare-feu est un sous-système logiciel et matériel conçu pour intercepter les paquets de données avant de les acheminer dans le LAN ou hors du LAN. Il décide de l'acheminement des données en fonction d'un dispositif de sécurité. Le pare-feu compare les éléments connus de chaque paquet de données avec série de règles et décide si le paquet doit passer ou non.
Un pare-feu peut aussi comprendre des règles sécurité faisant subir des modifications élémentaires au paquet avant de laisser passer les données. Avec un dispositif de sécurité judicieux une série de règles de sécurité conçue pour mettre en #uvre ce dispositif, un pare-feu peut protéger parfaitement un LAN contre d'éventuelles attaques.
Les règles filtrage et de sécurité décrites ici peuvent s'appliquer un routeur, à un pare-feu ou aux deux. L'utilisateur contacte alors le serveur d'enregistrement visité 46 au moyen d'un identificateur (logon ID) d'invité et de l'adresse dynamique du poste de travail et lui communique son adresse statique (étape 54). Un paramètre supplémentaire est également fourni; il s'agit du masque de l'adresse statique indiquant la limite entre le sous-réseau et le système central. On notera que, comme nous 1 avons déjà indiqué, l'adresse IP du serveur d'enregistrement visité 46 est composée des champs de réseau et de sous-réseau de l'adresse dynamique assignée au poste de travail et d'une valeur prédeterminée (la même que pour serveur d'enregistrement local) pour le champ principal, ce qui permet de contacter le serveur d'enregistrement sans connaître son adresse réelle.
L'adresse statique IP permet au serveur d'enregistrement visité de contacter le serveur d'enregistrement local (étape 56) car cette adresse contient la valeur de reseau et de sous-reseau de ce dernier. Le champ principal du serveur d'enregistrement local étant une valeur fixe, comme nous l'avons déjà vu, l'adresse IP complète est facile à reconstituer. Le serveur d'enregistrement local communique les caracteristiques du poste de travail serveur d'enregistrement visité pour les réactualiser (étape 58) en réponse à la demande. On notera qu'un protocole fiable peut être utilisé entre les deux serveurs d'enregistrement, lequel utilise des certificats fournis par une Autorité centrale de Certification.
Le serveur d'enregistrement local informe alors le routeur local ou un proxy utilisateur 21 qu'il doit ré-acheminer tout trafic entrant dont l'adresse de destination (statique ou dynamique) correspond à ce poste de travail vers la nouvelle adresse indiquée par le serveur DHCP visité. Le ré-acheminement peut se faire par traduction d'adresse ou par encapsulation (étape 60). Le proxy utilisateur est un élément de réseau nouvellement défini qui fait partie de la présente invention et qui fait office de poste de travail virtuel lorsque le poste de travail ne figure plus sur LAN local mais l'on sait qu'il existe quelque part le réseau. Dans cas, le proxy utilisateur agit avec le LAN local pour constituer le poste de travail, et intercepter tout le trafic dont l'adresse IP correspond au poste de travail activé à distance. En fait, un proxy utilisateur peut intercepter le trafic de plusieurs postes de travail. Ce proxy utilisateur est réactualisé par le serveur d'enregistrement local pour ce qui concerne l'adresse active courante du poste de travail, et peut diriger tout le trafic vers le poste de travail par traduction d'adresse. Outre une connexion spécialisée normale, ce proxy utilisateur peut activer une connexion commutée vers un poste de travail qui n'est pas activé en permanence le réseau. Cela peut être utile pour les utilisateurs mobiles qui peuvent etre joints sans être connectés.
Par ailleurs, le serveur d'enregistrement visité met a jour dans le routeur et/ou le serveur pare-feu les droits pour le poste travail visiteur (étape 62). I1 vérifie également l'adresse MAC et les certificats et/ou le mot de passe correspondant à cet utilisateur (étape 64).
En ce ' concerne la figure 5, supposons maintenant le poste de travail 10 est connecté en liaison commutée LAN visité 40 par un serveur d'accès distant 66. Le serveur d'accès distant 66 contrôle l'autorisation de l'utilisateur avant d'établir la connexion avec le réseau. Une fois la connexion établie, le serveur DHCP visité communique, comme indiqué plus haut, l'adresse IP dynamique au poste de travail. Le poste de travail 10 pourra accéder au LAN local par l'intermédiaire du serveur local distant pour obtenir ses droits selon ce qui est défini dans le serveur d'enregistrement local 22. Lorsque cela n'est pas possible, une méthode alternative consiste à utiliser le certificat fourni par le serveur d'enregistrement local pour assigner les droits. Le serveur d'accès distant valide alors le certificat grâce à connexion avec l'Autorité de Certification (AC) et réactualise les droits pour ce poste.
On notera que, hormis la connexion du poste de travail au réseau est obtenue au moyen d'une liaison commutée distante 10 vers un serveur d'accès distant grâce a une information de connexion commutée comprenant l'adresse statique du poste de travail, toutes les étapes la procédure d'enregistrement sont celles représentées la figure 4, et ne seront donc pas à nouveau décrites ici. La situation est différente lorsque le poste de travail 10 est relié au réseau Internet 68 comme indiqué sur la figure 6. Dans ce cas, un serveur pare-feu 70 contrôle l'autorisation d'accès de l'utilisateur via le certificat avant de connecter le poste de travail au LAN local 12. Ainsi, toutes les communications se font dans un chemin ou "tunnel" sécurisé et l'adresse les droits sont gérés par serveur d'enregistrement 72 qui peut être contacté directement au travers du pare-feu 70, comme indiqué plus haut pour le serveur d'accès distant. Par conséquent, toutes étapes de la procédure 'enregistrement sont exécutées sous le contrôle du serveur pare-feu 70 qui remplace soit le poste de travail, lorsque celui-ci est connecté directement à un (voir figure 3), soit le serveur d'accès distant dans le où le poste de travail est connecté au réseau par l'intermédiaire d'un serveur d'accès distant (voir figure 5), mis à part le fait qu'aucune adresse IP dynamique n'est assignée au poste de travail puisque la connexion au réseau Internet implique qu'une telle adresse ait déjà été assignée au poste par l'administrateur du réseau Internet. Les opérations exécutées par les services de répertoire d'un serveur d'enregistrement quelconque sont représentées sur le schéma de la figure 7. Une connexion définissant un identificateur est d'abord détectée (étape 74). Le système vérifie si cet identificateur correspond à un autre serveur d'enregistrement (étape 76). Si non, le système détermine si l'identificateur correspond à un invité (étape 78). Si non, il détermine si l'identificateur est connu (étape 80). Si non, cela signifie que la demande de connexion est erronée (étape 82) et la procédure revient à l'étape 74. Dans ce cas, le serveur vérifie l'autorisation d'accès de l'utilisateur (étape 84), enregistre le poste de travail dans sa base de données (étape 86), envoie l'adresse IP statique à l'utilisateur (étape 88), puis configure le poste de travail avec un fichier de configuration (étape 90).
Si l'identificateur correspond à un invité, le serveur contacte le serveur d'enregistrement local (étape 92), contrôle l'autorisation d'accès de l'utilisateur (etape 94) actualise 'information du poste de travail dans base de données (étape 96), actualise la configuration du poste de travail (étape 98) et le routeur local ou le serveur pare-feu en fonction de la connexion du poste de travail sur réseau (étape 100 .
Lorsque le serveur d'enregistrement identifié par la procédure de connexion est un autre serveur d'enregistrement, serveur d'enregistrement demandeur est d'abord authentifié (étape 102). L'autorisation d'accès de l'utilisateur est ensuite vérifiée (étape 104), une réponse est fournie au serveur d'enregistrement (étape 106), le routeur local est actualisé (étape ) et le proxy utilisateur est également actualisé (étape 110).
Claims (1)
- REVENDICATIONS 1. méthode pour assigner une double adresse IP à un poste de travail (10) connecté en un point quelconque d'un réseau transmission de données IP composé d'au moins premier réseau local (LAN (12 doté d'un serveur Dynamic Host Configuration Protocol (DHCP) local (14), d'un serveur Domain Name Services (DNS) local ( et d'un serveur d'enregistrement local (22), ladite méthode étant caractérisé le fait qu'elle comprend les étapes suivantes a) enregistrement en mode déconnecté dans ledit serveur d'enregistrement local avant la connexion dudit poste de travail ledit réseau, des paramètres poste de travail comprenant une adresses IP statique, nom, des droits pour ce poste de travail et un identificateur et mot de passe fournis à l'utilisateur du poste de travail, b) connexion dudit poste de travail sur ledit réseau IP, ledit poste de travail étant configuré en mode DHCP, c) fourniture par ledit serveur d'enregistrement d'une adresse IP dynamique au dit poste de travail, d) appel dudit serveur d'enregistrement par ledit poste de travail à l'aide dudit identificateur et dudit mot de passe, pour obtenir d'abord ladite adresse IP statique, puis un fichier de configuration pour ledit poste de travail, et e) configuration automatique des applications et des protocoles à traiter par ledit poste de travail doté de ladite adresse IP statique ou de ladite adresse IP dynamique, cette configuration étant basée sur ledit fichier de configuration. 2. Méthode selon la revendication 1, ledit réseau de transmission de données IP comprenant un second réseau LAN (40) sur lequel est maintenant connecté ledit poste de travail, ledit second LAN comprenant un serveur DHCP visité, un serveur DNS visité et un serveur d'enregistrement visité; la méthode comprend outre les étapes suivantes f) fourniture par ledit serveur d'enregistrement visité d'une nouvelle adresse IP dynamique pour ledit poste de travail, g) appel dudit serveur d'enregistrement visité par ledit poste de travail à l'aide d'une connexion d'utilisateur invité pour fournir au dit serveur d'enregistrement visité l'adresse statique IP dudit poste de travail, et h) appel dudit serveur d'enregistrement local (22) par ledit serveur d'enregistrement visité pour obtenir les caractéristiques d'enregistrement dudit poste de travail afin de se mettre à jour. 3. Méthode selon la revendication 2, ledit poste de travail étant connecté au dit second LAN (40) par 'intermédiaire d'un serveur d'accès distant (66), ledit serveur d'accès distant contrôlant l'autorisation du poste de travail à être connecté au second LAN (40), et exécutant les opérations dudit poste de travail à sa place lorsqu'il est directement connecté au dit second LAN. 4. Methode selon à la revendication 2, ledit poste de travail (10) étant connecté au réseau Internet , ledit réseau Internet étant relié au dit réseau par serveur pare-feu (70) qui contrôle l'autorisation dudit poste de travail à être connecté au dit réseau ledit serveur pare-feu exécutant les opérations dudit poste de travail à sa place lorsqu'il est directement connecté au dit réseau, à l'exception de l'opération fourniture d'une adresse IP dynamique qui est effectuée par l'administration Internet. 5. Méthode selon la revendication 2, 3 ou , un proxy utilisateur (21) étant relié au dit premier LAN (12) pour faire office de poste de travail virtuel à la place dudit poste de travail, ledit proxy utilisateur interceptant tout le trafic transmis à 'adresse IP dudit poste de travail et étant réactualisé par le serveur d'enregistrement local (22) pour l'adresse active courante dudit poste de travail. 6. Méthode selon l'une des revendications 1 à l'adresse IP d'un serveur d'enregistrement (22, 46 72) étant composée des champs de réseau et de sous-réseau de l'adresse IP dynamique fournie au dit poste de travail connecté en un point quelconque dudit réseau et d'une valeur fixe pour le champ principal, ce qui permet de contacter ledit serveur d'enregistrement sans connaître son adresse réelle. 7. Méthode selon l'une des revendications précédentes, étant entendu qu'en plus de ladite adresse statique fournie par ledit serveur d'enregistrement local (22) au dit poste de travail (10), un masque est fourni par ledit serveur d'enregistrement local pour identifier les différents champs contenus dans ladite adresse statique, et plus précisément la limite entre le sous réseau et les champs principaux. 8. Systeme basé sur un réseau de transmission de données, comprenant des moyens adaptes pour exécuter les étapes de la méthode selon une quelconque des revendications précédentes.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP99480124 | 1999-11-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2801754A1 true FR2801754A1 (fr) | 2001-06-01 |
| FR2801754B1 FR2801754B1 (fr) | 2002-06-14 |
Family
ID=8242471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0011974A Expired - Fee Related FR2801754B1 (fr) | 1999-11-25 | 2000-09-20 | Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US6684243B1 (fr) |
| FR (1) | FR2801754B1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102926A (zh) * | 2022-07-25 | 2022-09-23 | 大陆汽车研发(重庆)有限公司 | Ip配置方法、装置、控制器及存储介质 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7571308B1 (en) * | 2000-06-28 | 2009-08-04 | Microsoft Corporation | Method for controlling access to a network by a wireless client |
| NO312269B1 (no) * | 2000-06-28 | 2002-04-15 | Ericsson Telefon Ab L M | Fremgangsmåte for automatisering av programvareoppgradering |
| KR100342514B1 (ko) * | 2000-09-08 | 2002-06-28 | 윤종용 | 사설 인터넷 프로토콜 주소 도메인에서 고유 인터넷프로토콜 주소 사용방법 |
| FR2815494B1 (fr) * | 2000-10-12 | 2003-01-10 | Schneider Automation S A | Methode de configuration d'un module d'automatisme sur un reseau tcp/ip |
| US6957276B1 (en) * | 2000-10-23 | 2005-10-18 | Microsoft Corporation | System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol |
| US7089334B2 (en) * | 2000-12-14 | 2006-08-08 | Mindspeed Technologies, Inc. | Intelligent network interface port for visiting computers |
| US20020105954A1 (en) * | 2001-02-02 | 2002-08-08 | Craig Peter Alan | Dynamic update proxy |
| JP3470756B2 (ja) * | 2001-03-06 | 2003-11-25 | 日本電気株式会社 | 主装置アドレス制限通知システム |
| US20020156692A1 (en) * | 2001-04-20 | 2002-10-24 | Squeglia Mark R. | Method and system for managing supply of replacement parts of a piece of equipment |
| US20020181707A1 (en) * | 2001-04-24 | 2002-12-05 | Stephany Thomas M. | Animation security method |
| US8751647B1 (en) * | 2001-06-30 | 2014-06-10 | Extreme Networks | Method and apparatus for network login authorization |
| US7809806B1 (en) | 2001-08-02 | 2010-10-05 | Cisco Technology, Inc. | Neighbor discovery using address registration protocol over ELMI |
| US8055772B2 (en) * | 2002-03-14 | 2011-11-08 | Alcatel Lucent | System for effecting communication among a plurality of devices and method for assigning addresses therefor |
| US7143435B1 (en) | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| US7734745B2 (en) | 2002-10-24 | 2010-06-08 | International Business Machines Corporation | Method and apparatus for maintaining internet domain name data |
| US8554889B2 (en) * | 2004-04-21 | 2013-10-08 | Microsoft Corporation | Method, system and apparatus for managing computer identity |
| US7558866B2 (en) | 2004-12-08 | 2009-07-07 | Microsoft Corporation | Method and system for securely provisioning a client device |
| US8316152B2 (en) * | 2005-02-15 | 2012-11-20 | Qualcomm Incorporated | Methods and apparatus for machine-to-machine communications |
| US20060250982A1 (en) * | 2005-05-05 | 2006-11-09 | Harrow Products Llc | Methods and systems for discovering and configuring network devices |
| KR100766067B1 (ko) * | 2005-11-29 | 2007-10-11 | 한국전자통신연구원 | 인터넷 서비스망에서의 게스트 액세스 허용을 통한 사용자이동성 지원 방법 및 장치와 이를 기반으로 하는 과금 방법 |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
| US20070239860A1 (en) * | 2006-04-07 | 2007-10-11 | Kyocera Mita Corporation | Information processing device, network connection method, and program recording medium |
| US20090055517A1 (en) * | 2007-08-21 | 2009-02-26 | D-Link Corporation | Method for a plug-and-play network device to acquire dual internet protocol addresses |
| CA2619092C (fr) * | 2008-01-29 | 2015-05-19 | Solutioninc Limited | Methode et systeme de prise en charge des dispositifs utilisateurs changeant de zone de desserte entre des domaines de routage par un seul serveur reseau |
| CN101459971B (zh) * | 2008-05-30 | 2011-09-21 | 中兴通讯股份有限公司 | 一种漫游情况下建立双ip承载的方法 |
| US8019837B2 (en) * | 2009-01-14 | 2011-09-13 | International Business Machines Corporation | Providing network identity for virtual machines |
| KR101359600B1 (ko) | 2009-07-03 | 2014-02-07 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 로컬 도메인 네임을 취득하기 위한 방법, 장치 및 시스템 |
| US8296403B2 (en) * | 2009-10-23 | 2012-10-23 | Novell, Inc. | Network address allocation using a user identity |
| US9832070B2 (en) * | 2009-11-13 | 2017-11-28 | Comcast Cable Communications, Llc | Communication terminal with multiple virtual network interfaces |
| JP5041020B2 (ja) * | 2010-03-25 | 2012-10-03 | ブラザー工業株式会社 | 通信装置 |
| US9632892B1 (en) * | 2015-03-30 | 2017-04-25 | EMC IP Holding Company LLC | NFS cluster failover |
| US10148531B1 (en) * | 2015-09-30 | 2018-12-04 | EMC IP Holding Company LLC | Partitioned performance: adaptive predicted impact |
| CN108494895B (zh) * | 2018-04-04 | 2020-01-10 | 广州视源电子科技股份有限公司 | 交互智能平板、网域冲突控制方法、装置及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999030467A1 (fr) * | 1997-12-05 | 1999-06-17 | Herman Elderson | Procede et dispositif permettant de convertir des adresses de protocole internet (ip) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6587882B1 (en) * | 1997-08-01 | 2003-07-01 | Kabushiki Kaisha Toshiba | Mobile IP communication scheme using visited site or nearby network as temporal home network |
| US6286039B1 (en) * | 1997-08-28 | 2001-09-04 | Cisco Technology, Inc. | Automatic static to dynamic IP address and DNS address management for remote communications network access |
| US6466981B1 (en) * | 1998-06-30 | 2002-10-15 | Microsoft Corporation | Method using an assigned dynamic IP address and automatically restoring the static IP address |
| US6286038B1 (en) * | 1998-08-03 | 2001-09-04 | Nortel Networks Limited | Method and apparatus for remotely configuring a network device |
| US6449642B2 (en) * | 1998-09-15 | 2002-09-10 | Microsoft Corporation | Method and system for integrating a client computer into a computer network |
-
2000
- 2000-05-23 US US09/576,453 patent/US6684243B1/en not_active Expired - Fee Related
- 2000-09-20 FR FR0011974A patent/FR2801754B1/fr not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999030467A1 (fr) * | 1997-12-05 | 1999-06-17 | Herman Elderson | Procede et dispositif permettant de convertir des adresses de protocole internet (ip) |
Non-Patent Citations (1)
| Title |
|---|
| YEOM H Y ET AL: "IP MULTIPLEXING BY TRANSPARENT PORT-ADDRESS TRANSLATOR", PROCEEDINGS OF THE SYSTEMS ADMINISTRATION CONFERENCE. LISA,XX,XX, 29 September 1996 (1996-09-29), pages 113 - 121, XP002046289 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102926A (zh) * | 2022-07-25 | 2022-09-23 | 大陆汽车研发(重庆)有限公司 | Ip配置方法、装置、控制器及存储介质 |
| CN115102926B (zh) * | 2022-07-25 | 2023-07-21 | 大陆汽车研发(重庆)有限公司 | Ip配置方法、装置、控制器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US6684243B1 (en) | 2004-01-27 |
| FR2801754B1 (fr) | 2002-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2801754A1 (fr) | Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip | |
| US8332464B2 (en) | System and method for remote network access | |
| US7657011B1 (en) | Lawful intercept trigger support within service provider networks | |
| US8484695B2 (en) | System and method for providing access control | |
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| CA2563422C (fr) | Systemes et procedes de gestion de reseau | |
| US7308710B2 (en) | Secured FTP architecture | |
| US6131120A (en) | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers | |
| US6529513B1 (en) | Method of using static maps in a virtual private network | |
| JP5318111B2 (ja) | リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置 | |
| US7181542B2 (en) | Method and system for managing and configuring virtual private networks | |
| EP1134955A1 (fr) | Système de gestion de réseaux avec répertoire d'adresses de réseau d' utilisateurs et de dispositifs, fournissant listes d'access à routeurs et serveurs | |
| FR2855697A1 (fr) | SYSTEME DE CONVERSION DE DONNEES BASEE SUR IPv4 EN DONNEES BASEES SUR IPv6 A TRANSMETTRE A TRAVERS UN RESEAU COMMUTE IP | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| US20030135616A1 (en) | IPSec Through L2TP | |
| EP4024820A1 (fr) | Procédé de configuration d'une interface sécurisée entre un réseau de transport et un réseau élémentaire d'une pluralité de réseaux élémentaires fédérés à travers le réseau de transport; interface associée | |
| EP3070911A1 (fr) | Procédé de contrôle d'accès à un réseau privé | |
| Chrástek | CCNA 1 Routing and Switching Introduction to Networks v5. 0 Answers | |
| WO2022136796A1 (fr) | Procedes pour la redirection de trafic, terminal, controleur, serveur d'autorisation, serveurs de resolution de noms, et programme d'ordinateur correspondants | |
| WO2020020911A1 (fr) | Procede de traitement d'un paquet de donnees, dispositif, equipement de commutation et programme d'ordinateur associes | |
| WO2022117941A1 (fr) | Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants | |
| AU2237000A (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers | |
| Adriyanto | Building Secure Infrastructure for GIAC Enterprises |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20060531 |
|
| D3 | Ip right revived | ||
| ST | Notification of lapse |
Effective date: 20130531 |