CN106063229A - 用于转发数据的方法和系统 - Google Patents
用于转发数据的方法和系统 Download PDFInfo
- Publication number
- CN106063229A CN106063229A CN201480076756.2A CN201480076756A CN106063229A CN 106063229 A CN106063229 A CN 106063229A CN 201480076756 A CN201480076756 A CN 201480076756A CN 106063229 A CN106063229 A CN 106063229A
- Authority
- CN
- China
- Prior art keywords
- network element
- data
- terminal
- network
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
用于在管理服务器处在第一网络元件与终端之间转发数据的方法和系统,包括以下步骤:在第一数据会话期间接收来自所述终端的与所述第一网络元件通信的请求;确定是否已经与所述第一网络元件建立了第一连接;如果尚未与所述第一网络元件建立所述第一连接,则与所述第一网络元件建立所述第一连接;以及在所述第一数据会话期间使用所述第一连接在所述第一网络元件与所述终端之间转发数据。
Description
技术领域
本发明总体上涉及计算机网络的领域。更确切地说,本发明涉及一种在管理服务器处执行的用于在网络元件与终端之间转发数据的方法。
背景技术
常见的是,为了配置远程网络元件,远程节点的管理员需要登录到远程网络元件中以执行配置。如果所述装置不是通过公共IP地址可到达的,那么将需要与远程网络元件建立虚拟专用网络(VPN)连接或隧道,之后管理员才能登录到远程网络元件中。因此,对于网络元件常见的是发送IP包到管理服务器以解决网络地址转换(NAT)问题。存在所属领域技术人员已知的用于NAT穿越的许多其它技术,例如在http://en.wikipedia.org/wiki/ NAT traversal中所论述的那些。
当管理员需要配置大量远程网络元件时,可能需要管理员付出许多努力,因为管理员需要设置许多VPN或隧道或使用NAT穿越技术以与大量远程网络元件通信。
更糟糕的是,如果只能够通过网页配置网络元件,那么管理员需要首先通过网页手动地输入用户识别和验证信息并且接着通过许多按钮点击并输入信息以配置所述网络元件。当存在大量网络元件时,手动地输入用户识别、验证信息和配置信息的过程会花费大量时间。
发明内容
本发明公开了用于解决在背景技术部分中所论述的问题的方法和系统。根据本发明的各种实施例,管理员能够通过管理服务器配置并管理一个或多个本地或网络元件。根据本发明的各种实施例,在接收到来自管理员的管理或配置第一网络元件的请求后,管理服务器确定是否已经与第一网络元件建立了第一连接。如果尚未建立第一连接,那么管理服务器建立第一连接。接着管理服务器使用第一连接并且在第一数据会话期间在第一网络元件与终端之间转发数据。
根据实施例中的一个,使用安全外壳(SSH)或无线接入点控制协议(CAPWAP)建立第一连接。第一连接可以与端口相关联。第一连接也可以与会话标识符相关联。
根据实施例中的一个,管理服务器指示第一网络元件通过第二连接建立第一连接。可以在管理服务器指示第一网络元件建立第一连接之前已经在管理服务器与第一网络元件之间建立了第二连接。
管理服务器可以包括远程辅助服务器和网络服务器。远程辅助服务器和网络服务器可以位于同一局域网(LAN)中。远程辅助服务器经由第一连接通过第一网络元件连接到第一网络元件,并且网络服务器通过第一数据会话连接终端。
第一网络元件具有多个广域网(WAN)接口。可以通过多个WAN接口中的第一WAN接口建立第一连接。如果终止了第一连接,那么可以经由第一网络元件的多个WAN接口中的第二WAN接口重新建立第一连接。
具体实施方式
以下说明仅提供优选的示例性实施例,并且并非意图限制本发明的范围、适用性或配置。实际上,优选的示例性实施例的以下说明将为所属领域的技术人员提供实施本发明的优选的示例性实施例的有利描述。应理解,在不脱离如在所附权利要求书中阐述的本发明的精神和范围的情况下可以对元件的功能和布置进行各种改变。
在以下描述中给出具体细节以提供对实施例的透彻理解。然而,所属领域的技术人员应理解,所述实施例可以在没有这些具体细节的情况下实践。例如,可以框图示出电路以便不以不必要的细节混淆实施例。在其它情况下,可以在没有不必要的细节的情况下示出熟知的电路、过程、算法、结构以及技术以便避免混淆实施例。
还应注意,实施例可以描述为过程,过程描绘为流程图、作业图、数据流图、结构图或框图。尽管流程图可将操作描述为顺序过程,但许多操作可并行或同时执行。另外,可重新布置操作的次序。当操作完成时,过程终止,但是过程可以具有不包含在图中的另外步骤。过程可以对应于方法、函数、步骤、子例程、子程序等。当过程对应于函数时,其终止对应于所述函数返回到调用函数或主函数。
实施例或其各部分可以程序指令来实施,所述程序指令可在处理单元上操作以用于执行如本文中所描述的功能和操作。构成各种实施例的程序指令可以存储在存储媒介中。
构成各种实施例的程序指令可以存储在存储媒介中。此外,如本文中所揭示,术语“存储媒介”可以表示用于存储数据的一个或多个装置,包含只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、随机存取存储器(RAM)、磁RAM、磁芯存储器、软盘、软磁盘、硬盘、磁带、CD-ROM、快闪存储器装置、存储卡和/或用于存储信息的其它机器可读媒介。术语“机器可读媒介”包含但不限于便携式或固定存储装置、光学存储媒介、磁媒介、存储芯片或盒式磁盘、无线信道以及能够存储、容纳或携载指令和/或数据的各种其它媒介。机器可读媒介可以通过虚拟化来实现,且可以是虚拟机器可读媒介,包含在基于云的实例中的虚拟机器可读媒介。
如本文中所使用的术语“计算机可读存储媒介”、“主存储器”或“从存储装置”是指参与将指令提供到处理单元用于执行的任何媒介。计算机可读媒介仅是机器可读媒介的一个实例,所述机器可读媒介可以携载用于实施本文中所描述的方法和/或技术中的任一个的指令。此类媒介可以采用许多形式,包含但不限于,非易失性媒介、易失性媒介以及传输媒介。非易失性媒介包含(例如)光盘或磁盘。易失性媒介包含动态存储器。传输媒介包含同轴电缆、铜线以及光纤。传输媒介还可以采用声波或光波的形式,例如在无线电波和红外线数据通信期间产生的声波或光波。
易失性存储装置可以用于在通过处理器/处理单元执行指令期间存储临时变量或其它中间信息。非易失性存储装置或静态存储装置可以用于存储用于处理器的静态信息和指令,以及各种系统配置参数。
存储媒介可以包含多个软件模块,所述软件模块可以实施为通过处理单元使用任何合适的计算机指令类型来执行的软件代码。软件代码可以作为一系列指令或命令、或作为程序存储在存储媒介中。
各种形式的计算机可读媒介可以涉及将一个或多个指令的一个或多个序列载送到处理器以便执行。举例来说,指令可以首先携载在远程计算机的磁盘上。或者,远程计算机可以将所述指令加载到其动态存储器中,且向运行一个或多个指令的一个或多个序列的系统发送指令。
处理单元可以是微处理器、微控制器、数字信号处理器(DSP)、那些装置的任何组合、或经配置以处理信息的任何其它电路。
处理单元执行程序指令或代码段以用于实施本发明的实施例。此外,实施例可以由硬件、软件、固件、中间件、微码、硬件描述语言或其任何组合来实施。当在软件、固件、中间件或微码中实施时,用于执行必要任务的程序指令可以存储在计算机可读存储媒介中。处理单元可以通过虚拟化来实现,且可以是虚拟处理单元,包含在基于云的实例中的虚拟处理单元。
本发明的实施例涉及使用计算机系统来实施本文中所描述的技术。在实施例中,本发明的处理单元可以存在于计算机平台等机器上。根据本发明的一个实施例,本文中所描述的技术通过计算机系统响应于处理单元执行易失性存储器中所含有的一个或多个指令的一个或多个序列来执行。此类指令可以从另一计算机可读媒介读取到易失性存储器中。对易失性存储器中所含有的指令的序列的执行使得处理单元执行本文中所描述的过程步骤。在替代实施例中,硬接线电路可以用于取代或结合软件指令以实施本发明。因此,本发明的实施例不限于硬件电路以及软件的任何特定组合。
例如程序指令等代码段可以表示过程、功能、子程序、程序、例程、子例程、模块、软件包、类别或指令、数据结构的任何组合或程序陈述。代码段可以通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包含存储器共享、消息传递、令牌传递、网络传输等任何合适的方式传递、转发或传输。
替代地,硬接线电路可以用于取代或结合软件指令以实施符合本发明的原理的过程。因此,符合本发明的原理的实施方案不限于硬件电路和软件的任何特定组合。
可以由节点提供的网络接口是以太网接口、帧中继接口、光纤接口、电缆接口、DSL接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、火线接口、外围组件互连(PCI)接口等。
网络接口可以通过独立的电子组件实施或者可以与其它电子组件整合。取决于配置,网络接口可以不具有网络连接或具有至少一个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、数字订户线(DSL)接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、火线接口、外围组件互连(PCI)接口等。
网络接口可以连接到有线或无线接入网络。接入网络可以携载一个或多个网络协议数据。有线接入网络可以使用以太网、光纤、电缆、DSL、帧中继、令牌环、串行总线、USB、火线、PCI或可以传递信息的任何材料来实施。无线接入网络可以使用红外线、高速分组接入(HSPA)、HSPA+、长期演进(LTE)、WiMax、GPRS、EDGE、GSM、CDMA、WiFi、CDMA2000、WCDMA、TD-SCDMA、蓝牙、WiBRO、演进数据优化(EV-DO);数字增强型无绳通信(DECT);数字AMPS(IS-136/TDMA);集成数字增强型(iDEN)或任何其它无线技术来实施。
实施例或其各部分可以计算机数据信号来实施,所述计算机数据信号可以采用用于经由传输媒介进行通信的任何合适形式,使得所述计算机数据信号是可读的以用于通过功能装置(例如,处理单元)来执行从而执行本文中所描述的操作。计算机数据信号可以包含可以经由传输媒介传播的任何二进制数字电子信号,所述传输媒介例如电子网络信道、光纤、空气、电磁媒介、射频(RF)链路等,且因此数据信号可以采用电信号、光信号、射频或其它无线通信信号等形式。在某些实施例中,可以经由计算机网络下载代码段,所述计算机网络例如因特网、企业内部网、LAN、MAN、WAN、PSTN、卫星通信系统、电缆传输系统和/或其类似物。
图1示出根据本发明的各种实施例的示例性网络配置。参考图1,存在多个网络元件103。网络元件103连接到互连网络104,例如因特网。网络元件103具有连接到互连网络104的至少一个网络接口。例如,网络元件103中的一个可以具有连接到互连网络104的两个WAN接口。WAN接口中的一个连接到无线通信网络并且另一个WAN接口连接到ISP提供的数字订户线(DSL)。因此,网络元件103可以通过无线通信网络和DSL连接到互连网络104。
网络元件103包括处理单元、主存储器、系统总线、从存储装置以及至少一个网络接口。处理单元和主存储器彼此直接连接。系统总线将处理单元直接或间接连接到从存储装置以及网络接口。使用系统总线允许网络元件103具有较高的模块性。系统总线将处理单元耦合到从存储装置以及网络接口。系统总线可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。从存储装置存储用于由处理单元执行的程序指令。本发明的范围不限于网络元件103仅具有一个网络接口,因此网络元件103可以具有一个或多个网络接口。网络元件103可以是网络节点,例如接入点、路由器以及网关。网络元件103也可以是主机,例如计算机、智能电话以及服务器。网络元件103也可以是能够使用因特网协议(IP)(尤其是IP版本4和IP版本6)通信的任何电子装置。
一个或多个终端101和管理服务器102也连接到互连网络104。
管理服务器102可以是路由器、网络节点、服务器、台式机、膝上型电脑、移动装置或能够执行管理服务器的功能的任何电子装置。管理服务器可以位于网络元件或终端的相同网络中或可以位于远程网络中。
终端(例如,终端101)包括显示器或其它输出装置,例如阴极射线管(CRT)、等离子显示器或液晶显示器(LCD),以用于向管理员或终端用户显示信息。终端还包括输入装置以允许管理员或终端用户向处理单元传达信息和命令选择。终端可以是网络节点、网络主机、服务器、台式机、膝上型电脑、移动装置或能够执行终端的功能的任何电子装置。终端可以位于网络元件或管理服务器的相同网络中或可以位于远程网络中。
终端101进一步包括处理单元、主存储器、系统总线、从存储装置以及至少一个网络接口。处理单元和主存储器彼此直接连接。系统总线将处理单元直接或间接连接到从存储装置、输出装置、输入装置以及网络接口。使用系统总线允许终端101具有较高的模块性。系统总线将处理单元耦合到从存储装置以及网络接口。系统总线可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。从存储装置存储用于由处理单元执行的程序指令。本发明的范围不限于终端101仅具有一个网络接口,因此终端101可以具有一个或多个网络接口。
图2是根据本发明的多个实施例中的一个的管理服务器(例如,管理服务器102)的说明性框图。管理服务器102包括处理单元200、主存储器201、系统总线202、从存储装置203以及网络接口204。处理单元200和主存储器201彼此直接连接。系统总线202将处理单元200直接或间接连接到从存储装置203以及网络接口204。使用系统总线202允许管理服务器102具有较高的模块性。系统总线202将处理单元200耦合到从存储装置203以及网络接口204。系统总线202可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线在内的若干类型总线结构中的任一个。从存储装置203存储用于由处理单元200执行的程序指令。本发明的范围不限于管理服务器102仅具有一个网络接口,因此管理服务器102可以具有一个或多个网络接口。
图3是说明根据本发明的多个实施例中的一个的过程的流程图。在步骤301处,管理服务器102接收来自终端101的与网络元件103通信的请求。在第一数据会话期间接收所述请求。
请求可以采用文本串、数字或文本和数字的组合的形式。当管理服务器102接收到来自终端的请求时,处理单元200检验所述请求是否有效。例如,请求可以是统一资源定位符(URL)并且所述URL是管理服务器102的处理单元200通过网页提供的。在第一数据会话期间将网页内容提供到终端101。URL在网页中作为超链接嵌入。当终端101已经接收到并处理网页时,终端101的处理单元能够识别URL。当终端101的处理单元决定请求以被允许与网络元件103通信时,其通过访问URL进行请求。优选的是,连同请求一起发送会话标识符以便让管理服务器102的处理单元200知晓请求经过了验证。
在另一实例中,请求可以是连同会话标识符一起发送到管理服务器102的因特网协议(IP)地址的消息。在另一实例中,通过TCP会话将请求发送到管理服务器102。
在步骤302处,管理服务器102的处理单元200确定是否已经与网络元件103建立了第一连接。
存在确定是否已经建立了第一连接以及确定第一连接的状态的多种方式。例如,管理服务器102的处理单元200可以维护数据库以记录已经建立的连接并且周期性地发送探测包以确定连接的状态。在另一实例中,可以发布网络统计命令以检验网络连接(进入和传出两者)、路由表、和多个网络接口(网络接口控制器或软件定义网络接口)以及网络协议统计。接着管理服务器102的处理单元200可以检查第一连接是否在网络统计中。
如果管理服务器102的处理单元200已经确定尚未与网络元件103建立第一连接,那么其在步骤303处与网络元件103建立第一连接。
步骤304是可选步骤,管理服务器102的处理单元200在第一数据会话未终止的情况下维持第一连接。由于第一连接可能由于多种原因而被终止,因此管理服务器102的处理单元200在第一数据会话期间周期性地检验第一连接的状态。如果终止了第一连接,那么管理服务器102的处理单元200重新建立第一连接。在一个变型中,管理服务器102的处理单元200不主动地维持第一连接,不论第一数据会话是否被终止。这是因为第一连接可以被许多终端使用,出于与转发数据不相关的其它原因。在一个变型中,即使第一数据会话仍然保持有效也可以终止第一连接。这是因为第一数据会话不只用于发送或接收来自网络元件103的数据。
在步骤305处,由于管理服务器102的处理单元200已经确认第一连接正在运行,因此管理服务器102在第一数据会话期间使用第一连接在网络元件103与终端101之间转发数据。
管理服务器102具有多种方式来在步骤305中转发数据。在一个实例中,管理服务器102可以将保存来自终端101的数据的到达的IP包首先封装在其它IP包中,并且接着将所述其它IP包转发到网络元件103。在另一实例中,当网络元件103通过管理服务器102向终端101发送网页作为对请求的回复时,网络元件103将保存网页数据的原始IP包首先封装在其它IP包中,并且接着使用CAPWAP协议通过第一连接将所述其它IP包发送到管理服务器102。当管理服务器102接收到其它IP包时,其解封原始IP包并且将原始IP包转发到终端101。因此,第一连接用于转发数据。网页可以适用于万维网和网络浏览器。网页通常以HTML或类似标记语言编写,其主要特点是提供将经由链接导航到其它网页的超文本。网页可以包括样式表、脚本、图像、视频和音频。网页的内容包含管理信息、控制信息、配置、状态、网络性能以及由网络元件103收集或产生的其它信息。
在另一实例中,如果管理服务器102通过隧道或VPN连接连接到终端103,那么管理服务器102可以首先将从网络元件103接收的原始第一IP包封装在其它第二IP包中,并且接着将其它第二IP包发送到终端101。终端101接着可以从其它第二IP包解封原始第一IP包。类似地,终端101可以首先将原始第三IP包封装在其它第四IP包中,并且接着将其它第四IP包发送到管理服务器102。当管理服务器102接收到其它第四IP包时,其解封原始第三IP包。管理服务器102接着将原始第三IP包封装在其它第五IP包中,并且将其它第五IP包发送到网络元件103。网络元件103接着可以从其它第五IP包解封原始第三IP包。
在一个变型中,管理服务器102可以在步骤305中转发数据之前修改所述数据。例如,管理服务器102可以在解封网页之后使用CAPWAP协议修改封装的网页内容。接着在步骤305中将修改后的网页转发到终端101。
在一个实施例中,管理服务器102表现为转发代理、CGI代理或网络代理。
根据本发明的多个实施例中的一个,如果终止了第一数据会话,那么管理服务器102停止转发从终端101接收的数据,因为管理服务器102可能不能够确认终端101仍然是受保护的或经过验证的。
在终端101验证了管理服务器102之后建立第一数据会话。可以通过网站、消息交换、OpenID、OAuth、第三方提供的验证服务和/或其它验证方法来执行验证。用于第一数据会话来携载数据的协议可以是超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、远程登录、SSH等。
出于说明的目的,当用户从终端101登录到管理服务器102中时,在用户已经验证了管理服务器102之后建立第一数据会话。在第一数据会话期间,用户可以发送指令到管理服务器102并且从管理服务器102接收数据。例如,在第一数据会话期间,用户可以在第一数据会话期间通过管理服务器102访问来自网络元件103中的一个的网页。另外,用户可以在同一第一数据会话期间通过管理服务器102访问其它网络元件103。管理服务器102执行在终端101与网络元件103之间转发数据的功能。使用第一数据会话可以消除用户不止一次地从终端101验证管理服务器102的需要。
第一连接用于通过管理服务器102将从终端101接收的数据转发到网络元件103,并且还用于通过管理服务器102将从网络元件103接收的数据转发到终端101。
可以使用传输控制协议(TCP)、用户数据报协议(UDP)、安全外壳(SSH)、点对点协议(PPP)、无线接入点控制协议(CAPWAP)、虚拟专用网络(VPN)或其它协议建立第一连接。优选的其使用SSH,因为SSH能够提供持久且安全的连接。为了维持第一连接,管理服务器102的处理单元200周期性地通过第一连接发送包以保持连接。可以通过网络元件103执行相同功能。第一连接不限于使用面向连接的协议,还可以通过无连接协议实施。
为了建立第一连接,如果管理服务器102可以与网络元件103直接通信,那么管理服务器102可以启动所述过程。然而,在网络元件103无法直接通信的情况下,例如,网络元件103正使用要求网络地址转换和/或防火墙后的IP地址,则可能需要通过网络元件103启动第一连接的建立。存在用于管理服务器102以指示网络元件103建立第一连接的多种方式。例如,网络元件103可已经与管理服务器102建立第二连接,并且管理服务器102可以通过第二连接发送指令到网络元件103。在另一实例中,网络元件103可以具有另一网络接口,管理服务器102可以向所述另一网络接口发送消息,使得管理服务器102可以发送请求到另一网络接口以请求网络元件103启动建立第一连接。
在一个变型中,网络元件103通过转发包到管理服务器102而周期性地且频繁地与管理服务器102通信。因此,当管理服务器102回复包时,管理服务器102的处理单元200可以将与网络元件103建立第一连接的指令与回复包一起背负。
管理服务器102可以具有连接多个网络元件103的多个连接。因此,管理服务器102可以从一个终端101转发数据到多个网络元件103。类似地,管理服务器102可以在网络元件103与多个终端之间转发数据。
根据本发明的多个实施例中的一个,网络元件103启动第一连接的建立并且尝试维持第一连接。因此,网络元件103和管理服务器102可以任何必要的时候交换数据,包含当管理服务器102在终端101与网络元件103之间转发数据时。在此情况下,不需要具有第二连接,因为第一连接也用作第二连接。在优选实施例中,网络元件103设置有管理服务器102的URL、IP地址和/或主机名。因此网络元件103能够通过使用URL、IP地址和/或主机名与管理服务器102建立第一连接。可以通过网络元件103的设备供应商预配置或通过网络元件103的管理员输入URL、IP地址和/或主机名。
图4A是说明根据本发明的多个实施例中的一个的管理服务器102如何在网络元件103与终端101之间转发数据的序列图。在通信步骤401处,终端101将通过至少一个IP包携载的数据发送到管理服务器102。所述至少一个IP包的有效负荷保存所述数据。至少一个IP包的源IP地址和目的IP地址分别是终端101的网络接口的IP地址和管理服务器102的网络接口的IP地址。接着当管理服务器102接收到至少一个IP包时,其将至少一个IP包的源IP地址和目的地址分别更新为管理服务器102的网络接口的IP地址和网络元件103的网络接口的IP地址。接着管理服务器102在通信步骤402处将至少一个IP包转发到网络元件103。
在通信步骤403处,网络元件103将通过至少另一个IP包携载的数据发送到管理服务器102。所述至少另一个IP包的有效负荷保存所述数据。至少另一个IP包的源IP地址和目的IP地址分别是网络元件103的网络接口的IP地址和管理服务器102的网络接口的IP地址。接着当管理服务器102接收到至少另一个IP包时,其将至少另一个IP包的源IP地址和目的地址分别更新为管理服务器102的网络接口的IP地址和终端101的网络接口的IP地址。接着管理服务器102在通信步骤404处将至少一个IP包转发到终端101。
在一个变型中,管理服务器102在转发数据时执行封装和解封。由于通过IP包经由第一数据会话和第一连接携载的数据可以在不同协议中,因此需要解封数据并且接着封装数据以便确保接收方网络元件可以使用所述数据。例如,通过终端101使用HTTPS协议发送数据并且使用SSH协议建立第一连接。因此,管理服务器102解封从终端101发送的来自HTTPS协议的数据,并且接着使用SSH协议将所述数据封装在IP包中以用于网络元件103。
图4B是说明根据本发明的多个实施例中的一个的通信步骤的序列图。在管理服务器102与网络元件103之间尚未建立第一连接的情况下,管理服务器102在通信步骤411中指示网络元件103建立第一连接。可以通过已经建立的连接或可以通知网络元件103有关所述指令的任何其它方式来发送所述指令。使网络元件103建立第一连接的原因是因为网络元件103可能通过防火墙保护、使用经转换网络地址或在网络元件103发起通信之前管理服务器102无法与网络元件103通信的任何其它原因。
当网络元件103接收到指令时,其在通信步骤412处建立第一连接。管理服务器102可以在第一连接已经成功地建立之后向网络元件103转发确认。在通信步骤421处,终端101通过建立第一数据会话请求发送或接收来自网络元件103的数据。如果请求被接受,那么管理服务器102在通信步骤422处为终端101提供会话标识符,接着管理服务器102可以根据图4A中说明的通信步骤在网络元件103与终端101之间转发数据。
当会话标识符通过终端101使用时,会话标识符允许在第一数据会话期间管理服务器102从终端101接收数据时终端101被识别到。
当会话标识符通过网络元件103使用时,会话标识符允许当管理服务器102通过第一连接从网络元件103接收数据时网络元件103被识别到。
为了方便阅读,通过终端101使用的会话标识符被称为第一会话标识符,并且通过网络元件103使用的会话标识符被称为第二会话标识符。第一会话标识符和第二会话标识符可以通过管理服务器102提供。这允许管理服务器102在存在多个终端101时区分不同的第一会话标识符以及在存在多个网络元件103时区分不同的第二会话标识符。因此,当终端101已经成功地验证了管理服务器102时,管理服务器102将第一数据会话标识符发送到终端101,并且终端101可以在第一数据会话期间使用第一会话标识符。类似地,当网络元件103已经与管理服务器102建立第一连接时,管理服务器102将第二会话标识符发送到网络元件103。接着网络元件103可以通过第一连接将第二会话标识符发送到管理服务器102。在一个变型中,不需要发送第二会话标识符,因为管理服务器可以使用网络元件103的IP地址作为第二会话标识符。
所属领域的技术人员将了解,存在形成会话标识符的多种技术。例如,可以根据IP地址、端口编号、时戳和/或字符串形成会话标识符。会话标识符应是唯一的,以避免混淆。当相关联的会话终止或不再有效时,会话标识符可以被重复使用。
根据本发明的多个实施例中的一个,管理服务器102周期性地检验与网络元件103的第一连接是否仍然有效或被终止。如果第一连接无效或被终止,那么可以释放或注销相关联的第二会话标识符,以便减少计算资源上的负担。类似地,管理服务器102周期性地检验与终端101的第一数据会话是否仍然有效或被终止。如果第一数据会话无效或被终止,那么可以释放或注销相关联的第一会话标识符,以便减少计算资源上的负担。
例如,可以通过使用HTTP小型文字档或HTTPS小型文字档实施会话标识符。当终端101发送数据到管理服务器102时,在第一数据会话期间,连同数据一起发送第一会话标识符。因此管理服务器102的处理单元200能够使其接收的数据与终端101相关联。当终端101已经成功地验证了管理服务器时,可以通过管理服务器102的处理单元200设置并发送第一会话标识符。
优选的是,通过安全连接发送第一会话标识符和第二会话标识符,和/或,第一会话标识符和第二会话标识符是加密的,因此这使得第一会话标识符和第二会话标识符不大可能经由窃听而暴露。
在一个变型中,管理服务器102的处理单元200在第一数据会话终止之后使第一会话标识符无效。因此,管理服务器102的处理单元200将来自终端101的连同无效的第一会话标识符一起发送的任何其它数据视为未通过验证的,以便确保真实性。这也适用于第二会话标识符。所属领域的技术人员将了解,第一数据会话可以归因于多种条件而被终止,例如退出系统、网络连接不稳定和/或时间到期。
在一个变型中,在通信步骤422之前执行通信步骤421和422。管理服务器102直到通信步骤421和422之后才执行通信步骤411。例如,在步骤421中,终端101发送检验网络元件103的客户端列表的请求到网络元件103。通过在通信步骤412之前执行通信步骤422,管理服务器102可以在从网络元件103接收回复之前对终端101作出响应。在通信步骤421和422之前执行通信步骤411和412的优势包括终端101的用户可以接收更快的响应并产生更好的用户体验。在通信步骤421和422之后执行通信步骤411和412的优势包括节约计算和网络资源,因为仅在从第一终端101接收到请求之后才与网络元件103建立第一连接。
图4C是说明根据本发明的多个实施例中的一个的通信步骤的序列图。在此图示中,在管理服务器102与网络元件103之间尚未建立第一连接。当在通信步骤431处终端101已经请求访问在网络元件103处托管的网页时,接着在通信步骤432处管理服务器102通过指示网络元件103建立第一连接来尝试建立第一连接。可以通过第二连接或通过其它方式发送指令。指令可以包含关于应如何建立第一连接的信息。
在通信步骤433处,网络元件103根据在通信步骤432中接收到的指令建立第一连接。当管理服务器102已经识别到第一连接已经建立时,其在通信步骤434中通过第一连接将在通信步骤431中接收到的来自终端103的请求转发到网络元件103。当网络元件103回复请求时,其在通信步骤435中通过第一连接提供网页内容。
在通信步骤436处,管理服务器102接着将网页内容转发到终端101。在一个变型中,如果第一数据会话被终止或破坏,那么管理服务器102不会将网页内容转发到终端101。
在一个变型中,终端101不需要提供验证信息以验证网络元件103,因为验证信息是通过管理服务器102提供的。例如,当终端101的用户请求访问来自网络元件103的网页时,终端101不提供验证信息。在通信步骤432或434中通过管理服务器提供验证信息。优选的是,在通信步骤434中提供验证信息,因为通信步骤432的目的主要是用于建立第一数据连接。验证信息可以存储在管理服务器102的存储媒介中,例如存储在从存储装置203或主存储器201中。替代地,当终端101识别到请求是通过管理服务器102转发的时,不需要登录过程或不需要验证信息。
根据本发明的多个实施例中的一个,图5示出多个网页中的一个,例如在第一数据会话期间在终端用户已经成功地验证了管理服务器102之后,通过管理服务器102提供到终端101的网页501。网页501提供关于网络元件103的信息。例如,网络元件103的装置名称是“装置A”并且具有序号“1234-1234-1234”。当用户点击超文本链接502(标记为“访问”)时,接着管理服务器102请求来自网络元件103(即,“装置A”)的网络管理页面。通过管理服务器102提供网络元件103的验证信息。可以通过管理服务器102在将从网络元件103接收到的网络管理页面发送到终端101之前修改所述网络管理页面。
在另一实例中,管理服务器102在通信步骤434中连同请求一起提供用户识别和密码信息。使用管理服务器102执行验证的优势是使管理集中和/或减少验证步骤的需要。由于终端101在建立第一数据会话时已经验证了管理服务器102,因此如果通过第一连接转发请求,则网络元件103被未验证用户访问的安全性风险较小。在一个变型中,当第一连接使用SSH协议时,通过网络元件103提供的网页通过SSH被隧穿到管理服务器102。接着管理服务器102解封来自SSH隧道的网页并将所述网页转发到终端101。在一个变型中,管理服务器102不提供验证信息,使得终端101或终端101的用户必须验证网络元件103。
在一个变型中,在通信步骤431中管理服务器102已经接收到来自终端101的数据之后,管理服务器102检查数据并在必要时修改数据,随后将数据或修改后的数据转发到网络元件103。类似地,在通信步骤435中管理服务器102已经接收到来自网络元件103的数据之后,管理服务器102检查数据并在必要时修改数据,随后将数据或修改后的数据转发到终端101。例如,网络元件103在通信步骤435处通过第一连接提供网络管理页面。出于说明的目的,第一连接是CAPWAP隧道。可以使用HTTP或HTTPS协议发送网络管理页面。保存网络管理页面数据的IP包封装在另一个IP包中并且接着通过CAPWAP隧道发送。当在通信步骤435之后管理服务器102已经接收到来自网络元件103的数据时,管理服务器102解封来自CAPWAP隧道的IP包以便提取保存网络管理页面的IP包。接着管理服务器102检查网络管理页面并确定是否修改网络管理页面。出于说明的目的,管理服务器102可以决定修改网络管理页面的小型文字档并且添加/移除网络管理页面的某些元件以便增强用户体验、改进安全性和/或更好地利用网络。可以从网络管理页面移除的元件包含退出按钮,因为退出过程应通过管理服务器102执行而不是通过终端101执行。可以修改的另一元件包含超链接,因为超链接的主机名可以被修改为管理服务器102的主机名或IP地址,以便使管理服务器102执行数据转发功能。在已经修改了网络管理页面之后,在通信步骤436处管理服务器102将修改后的网络管理页面转发到终端101。当终端101接收到修改后的网络管理页面时,其可以接着通过浏览器将修改后的网络管理页面提供到终端101的用户,或可以通过终端101的处理单元根据存储在终端101处的指令编码进一步处理修改后的网络管理页面。
管理服务器102的处理单元200可以根据一个或多个配置确定修改从终端101或从网络元件103接收到的数据。可以通过管理服务器102的用户或管理员界定配置。可以在本地自从存储装置203或主存储器201或者远程地自远程服务器检索配置,并且通过网络接口、应用编程接口(API)、命令行接口或控制台接收配置。配置可以基于数据内容。配置可以采用存储在从存储装置203或主存储器201中的程序指令的形式。替代地,配置可以采用取决于数据内容的算法的形式。
根据本发明的多个实施例中的一个,网络元件103具有能够连接到互连网络104的多个WAN接口。出于说明的目的,网络元件103的一个WAN接口通过由蜂窝式服务提供者提供的无线连接经由无线通信调制解调器连接到互连网络104,并且网络元件103的另一个WAN接口通过由数字订户线(DSL)服务提供商提供的有线连接经由以太网缆线连接到互连网络104。
因此,网络元件103能够经由连接到互连网络104的其多个WAN接口中的一个建立第一连接。所属领域的技术人员将了解,存在用于网络元件103决定使用哪个WAN接口的多种方法。例如,网络元件103的处理单元可以随机地、根据预先确定的策略、以循环方式等选择WAN接口。
在第一连接被终止或变得不稳定的情况下,网络元件103的处理单元可以选择连接到互连网络104的另一个WAN接口以用于重新建立第一连接。如果第一连接已经经历了多次丢包或丢包增加,那么网络元件103的处理单元可以确定第一连接是不稳定的。所属领域的技术人员还将了解,存在用于网络元件103决定使用哪个WAN接口重新建立第一连接的多种方法。例如,网络元件103的处理单元可以随机地、根据预先确定的策略、以循环方式等选择WAN接口。
根据本发明的多个实施例中的一个,网络元件103能够经由连接到互连网络104的其多个WAN接口中的一个建立第二连接。所属领域的技术人员将了解,存在用于网络元件103的处理单元决定使用哪个WAN接口建立第二连接的多种方法。例如,网络元件103的处理单元可以随机地、根据预先确定的策略、以循环方式等选择WAN接口。
图7说明根据本发明的各种实施例的网络配置。存在多个远程辅助服务器703和多个网络服务器703。多个远程辅助服务器703和多个网络服务器703包括在一个管理服务器中,当管理服务器包括至少一个远程辅助服务器和至少一个网络服务器时。
在一个变型中,管理服务器102通过虚拟化托管至少一个远程辅助服务器703和至少一个网络服务器702。这允许管理服务器102的管理员创建以及移除远程辅助服务器和网络服务器以适应改变的需要。
在一个变型中,远程辅助服务器703和网络服务器702是管理服务器102的不同模块,使得通过管理服务器102的处理单元200执行存储在从存储装置203或主存储器200处的程序指令以实施远程辅助服务器703和网络服务器702的功能。例如,管理服务器102的处理单元200执行一件Apache HTTP服务器软件以实施网络服务器702的功能,执行一件OpenSSH服务器以实施远程辅助服务器703的功能。
图6是说明根据本发明的多个实施例中的一个的序列图。比较图4A、图4B和图4C,网络服务器702和远程辅助服务器703一起执行管理服务器102提供的功能。
在通信步骤610处,当终端101已经对网络服务器702请求访问网络元件103的网页时,网络服务器702首先确定在远程辅助服务器703与网络元件103之间是否已经建立第一连接。网络服务器702在通信步骤611a中询问远程辅助服务器703是否已经在远程辅助服务器703与网络元件103之间建立了第一连接。远程辅助服务器703在通信步骤611b中进行回复。在一个变型中,远程辅助服务器703提供端口编号到网络服务器702,以用于网络服务器702绑定或使第一数据会话与所述端口编号相关联。在一个变型中,不在通信步骤611b中而是在通信步骤616中提供端口编号。
在一个变型中,网络服务器702已经记录是否建立了或未建立第一连接。因此,网络服务器702不需要询问远程辅助服务器703并且不需要执行通信步骤611a和611b。
如果尚未建立第一连接,那么网络服务器702接着在通信步骤612处通过指示网络元件103建立与远程辅助服务器703的第一连接来尝试建立第一连接。可以通过第二连接或通过其它方式发送指令。指令可以包含关于应如何建立第一连接的信息。
在通信步骤613处,网络元件103询问远程辅助服务器703用于建立第一连接的附加信息。在通信步骤614处,远程辅助服务器703提供附加信息到网络元件103。接着,在通信步骤615中,网络元件103根据在通信步骤612中接收到的指令以及在通信步骤614中接收到的附加信息建立与远程辅助服务器703的第一连接。
通信步骤613和614的原因之一是用于网络元件103以找出可以帮助远程辅助服务器703处理从网络元件103接收到的数据的附加信息。附加信息可以包含端口编号、协议、IP地址等。例如,在通信步骤613中,网络元件103询问远程辅助服务器703关于远程辅助服务器703在网络元件103与终端101之间中继转发数据所使用的端口编号。当在通信步骤614中远程辅助服务器703用端口编号进行回复时,网络元件103接着可以当在通信步骤615中发送数据到远程辅助服务器703时包含所述端口编号。提供给网络元件103的端口编号与在通信步骤611b或616中提供给网络服务器702的端口编号相同。使用端口编号在网络元件103与终端101之间中继转发数据的目的之一是:允许远程辅助服务器703在所述端口编号处将从网络服务器702接收的数据转发到网络元件103,以及将从网络元件103接收的回复数据转发到网络服务器702。这还允许网络服务器702使第一会话标识符与由所述端口编号指定的端口相关联。相关联允许了快速响应以及更少计算机资源需求。在一个变型中,可以绑定第一会话标识符或使其与多个端口编号相关联。因此,终端101可以通过第一数据会话访问来自多个网络元件103的信息。在一个变型中,在步骤615中连同端口编号和数据一起发送网络元件103的IP地址,因为SSH服务器中的一些仅监听特定IP地址,例如127.0.0.1,除非以另外的方式配置。端口编号和IP地址的使用是通知远程辅助服务器703当在网络元件103与终端101之间中继转发数据时其应监听哪个IP地址和端口编号。在一个变型中,当存在多个网络元件103时,每个网络元件103在通信步骤615中连同数据一起发送一组唯一的端口编号和IP地址。这组唯一的端口编号和IP地址允许远程辅助服务器703将从一个网络元件103接收的数据与从另一个网络元件103接收的数据区分出来。
在一个变型中,如果在通信步骤612中网络服务器702提供附加信息,则可省略通信步骤613和614。首先在通信步骤611b中通过远程辅助服务器703将附加信息提供到网络服务器702。
在通信步骤616中,远程辅助服务器703通知网络服务器702已经建立了第一连接。
当网络服务器702已经识别已经建立了第一连接时,其在通信步骤617中将在通信步骤610中接收到的来自终端101的请求转发到远程辅助服务器703。接着在通信步骤618中远程辅助服务器703通过第一连接转发请求。当网络元件103回复请求时,其在通信步骤619中通过第一连接将网页内容提供给远程辅助服务器703。
在通信步骤620中,远程辅助服务器703将回复转发到网络服务器702。在通信步骤621中,网络服务器702将回复转发到终端101。
当终端101通过网络服务器702和远程辅助服务器703发送数据或请求到网络元件101时,不需要再次建立第一连接,因为已经建立了第一连接。在另一实例中,当在通信步骤622中终端101已经发送预计用于网络元件103的数据到网络服务器702时,网络服务器702在通信步骤623中将所述数据转发到远程辅助服务器703。接着在通信步骤624中远程辅助服务器703将所述数据转发到网络元件103。
优选的是,在远程辅助服务器703与网络服务器702之间的通信是受保护的。还优选的是,除非通过第一连接和/或通过网络服务器702访问远程辅助服务器703,否则无法访问所述远程辅助服务器。远程辅助服务器703和网络服务器702可以并置在同一局域网(LAN)中。远程辅助服务器703和网络服务器702也可以位于不同网络中,通过安全连接相连。例如,远程辅助服务器703位于第一数据中心中,网络服务器702位于第二数据中心中。远程辅助服务器703与网络服务器702之间的通信可以通过因特网携载。在一个变型中,远程辅助服务器703和网络服务器702通过因特网经由虚拟专用网络(VPN)连接。
远程辅助服务器703和网络服务器702可以一起包括管理服务器102,远程辅助服务器703可以与不同网络元件形成多个连接,网络服务器702也可以与不同终端建立多个会话。远程辅助服务器703和网络服务器702的数目可相同或不同以便适应不同需要和网络配置。由于远程辅助服务器703用于与一个或多个网络元件103通信,因此当存在更多网络元件103时,会需要更多远程辅助服务器703以便具有与网络元件103通信的能力。当存在要与更多终端101维持的更多数据会话时,会需要更多网络服务器702以便具有与终端101通信的能力。例如,通过与网络服务器702建立连接,管理员可管理和/或配置数百万网络元件103,例如电子表和传感器。在建立连接之后,在管理员所使用的终端与网络服务器702之间建立第一数据会话。网络服务器702可以通过企业内部网和/或因特网连接到数百个远程辅助服务器703。远程辅助服务器703通过对应连接与数百万网络元件103通信。
根据本发明的多个实施例中的一个,在网络服务器702已经在通信步骤620之后从远程辅助服务器703接收到在通信步骤619中源自网络元件103的数据之后,网络服务器702检查数据并在必要时修改数据,随后将数据或修改后的数据转发到终端101。类似地,在网络服务器702已经在通信步骤622之后接收到来自终端101的数据之后,网络服务器702检查数据并在必要时修改数据,随后将数据或修改后的数据转发到远程辅助服务器703。接着远程辅助服务器703在步骤624中通过第一连接将数据或修改后的数据转发到网络元件103。
例如,网络元件103在通信步骤619处通过第一连接提供网络管理页面。出于说明的目的,第一连接是SSH隧道。可以使用HTTP或HTTPS协议发送网络管理页面。保存网络管理页面数据的IP包封装在另一个IP包中并且接着通过SSH隧道发送。当在通信步骤620之后远程辅助服务器703已经接收到来自网络元件103的数据时,远程辅助服务器703解封来自SSH隧道的IP包以便提取保存网络管理页面的IP包。接着在通信步骤620处远程辅助服务器703将保存网络管理页面的IP包转发到网络服务器702。接着在通信步骤621处,网络服务器702检查网络管理页面并确定是否修改网络管理页面。出于说明的目的,网络服务器702可以决定修改网络管理页面的小型文字档并且添加/移除网络管理页面的某些元件以便增强用户体验、改进安全性、更好地利用网络。可以从网络管理页面移除的元件包含退出按钮,因为退出过程应通过网络服务器702执行而不是通过终端101执行。可以修改的另一元件包含超链接,因为超链接的主机名可以被修改为网络服务器702的主机名或IP地址,以便使网络服务器702和远程辅助服务器703一起执行数据转发功能。在已经修改了网络管理页面之后,在通信步骤621处管理服务器102将修改后的网络管理页面转发到终端101。当终端101接收到修改后的网络管理页面时,其可以接着通过浏览器将修改后的网络管理页面提供到终端101的用户,或可以通过终端101的处理单元根据存储在终端101处的指令编码进一步处理修改后的网络管理页面。
根据本发明的多个实施例中的一个,当网络服务器702修改从终端101接收到的数据和/或源自网络元件103的数据时,网络服务器702修改HTTP或/和HTTPS报头信息以对网页进行请求或响应。例如,网络服务器702修改HTTPS报头并在HTTPS报头中添加附加信息,并且所述附加信息是不共用的。当网络元件103接收到对于其管理或配置网页的请求时,网络元件103识别报头中的附加信息,接着网络元件103能够确认所述请求是通过网络服务器702发送的。在一个变型中,在网络元件103已经确认HTTPS报头中所含有的附加信息之后,网络元件103在对请求进行回复之前不需要用户识别和密码信息。这允许更快速的验证并且可以减少计算和联网资源。在一个变型中,通过远程辅助服务器703执行HTTP或/和HTTPS的修改。在一个变型中,当通过管理服务器102执行网络服务器702和远程辅助服务器703的功能时,管理服务器102执行修改。在一个变型中,附加信息可以包含可用于网络元件103以识别可以提供什么以及不能提供什么到终端101的信息。例如,如果终端101的用户仅能读访问网络元件103的信息,那么网络服务器702可以在附加信息中设置字符串以通知网络元件103不需要写访问。附加信息中的字符串可以是“只读”。在另一实例中,如果用户可完全访问,那么附加信息中的字符串可以是“完全访问”。
在一个变型中,当终端101的用户请求访问来自网络元件103的网页时,用户不需要登录到网络元件103中并提供验证信息到网络元件103。可以通过网络服务器702提供登录过程和验证信息。替代地,当网络元件103识别请求是通过网络管理服务器702和远程辅助服务器703转发的时,可以忽略登录过程或不需要验证信息。
根据本发明的多个实施例中的一个,网络服务器702周期性地检验与网络元件103的第一连接是否仍然有效或被终止。如果第一连接无效或被终止,那么可以释放或注销相关联的第二会话标识符,以便减少计算资源上的负担。类似地,网络服务器702周期性地检验与终端101的第一数据会话是否仍然有效或被终止。如果第一数据会话无效或被终止,那么可以释放或注销相关联的第一会话标识符,以便减少计算资源上的负担。在一个变型中,远程辅助服务器703周期性地检验与网络元件103的第一连接是否仍然有效或被终止并且向网络服务器702报告结果,使得网络服务器702可以在第一连接不再有效或被终止时注销第二会话标识符。
图8是说明根据本发明的实施例中的一个的序列图。网络元件103使用第一连接和CAPWAP协议与远程辅助服务器703通信。远程辅助服务器703或网络元件103中的任一个可以启动第一连接。优选的是,通过网络元件103启动第一连接,因为网络元件103的IP地址可以不是永久性的、防火墙后的、和/或通过NAT改变的。在发生通信步骤810之前已经建立了第一连接。如果第一连接尚未建立、已经被终止或破坏,那么网络元件103可以周期性地尝试与远程辅助服务器703重新建立第一连接。
当在通信步骤810处终端101已经对网络服务器702请求访问网络元件103的网页时,所述请求在第一数据会话期间被发送。接着在通信步骤811处网络服务器702将所述请求转发到远程辅助服务器703。
接着在通信步骤812处,远程辅助服务器703使用CAPWAP协议通过第一连接将所述请求转发到网络元件103。在通信步骤813处,网络元件103以数据回复所述请求。使用CAPWAP协议通过第一连接将所述数据发送到远程辅助服务器703。接着在通信步骤814中,远程辅助服务器703将具有数据的回复转发到网络服务器702。最后,在通信步骤815中网络服务器702将数据转发到终端101。
由于可以存在多个网络元件103和终端101,因此可以分别存在多个第一连接和多个第一数据会话。例如,终端101中的一个可以请求来自多个网络元件103的管理网页。在另一实例中,网络元件103中的一个可以提供数据以响应来自多个终端101的多个请求。为了区分请求和数据,网络服务器702和远程辅助服务器703可以使用会话标识符或端口编号以用于此目的。
在一个变型中,在通信步骤811中发送的请求可以连同与第一数据会话相关联的第一会话标识符一起发送。因此,当远程辅助服务器703在通信814中转发具有数据的回复时,连同第一会话标识符一起发送所述数据,并且网络服务器702能够使所述数据与第一数据会话相关联。
类似地,当在通信步骤812中发送请求时,连同请求一起发送第二会话标识符。因此,当网络元件103在通信813中发送具有数据的回复时,连同第二会话标识符一起发送所述数据,并且远程辅助服务器703能够区分所述数据。第二会话标识符可以与第一数据会话标识符相同或不同。
例如,为了区分一个网络元件103发送的数据与另一个网络元件103发送的数据,连同数据一起发送唯一端口编号。端口编号用作第二会话标识符或第二会话标识符的一部分。可以在通信步骤812中通过远程辅助服务器703连同请求一起首先提供唯一端口编号。唯一端口编号是与通信步骤811中的第一数据会话相关联的同一端口编号。因此当访问来自多个网络元件103的信息时,第一数据会话可与多个端口编号相关联。
在一个变型中,在通信步骤811中发送请求之前,网络服务器702可以修改最初在通信步骤810中接收到的请求的内容。替代地,可以在通信步骤812之前通过远程辅助服务器703执行修改。
在一个变型中,在通信步骤815中发送数据之前,网络服务器702可以修改最初在通信步骤814中接收到的数据的内容。替代地,可以在通信步骤814之前通过远程辅助服务器703执行修改。
在一个变型中,为了区分一个网络元件103发送的数据与另一个网络元件103发送的数据,连同数据一起发送唯一会话标识符。可以在通信步骤812中通过远程辅助服务器703连同请求一起首先提供唯一会话标识符。
当远程辅助服务器703接收到数据时,其在通信步骤814中将所述数据转发到网络服务器702。
附图说明
图1示出根据本发明的各种实施例的示例性网络配置。
图2是根据本发明的多个实施例中的一个的管理服务器的说明性框图。
图3是说明根据本发明的多个实施例中的一个的过程的流程图。
图4A是说明根据本发明的多个实施例中的一个的管理服务器如何在网络元件与终端之间转发数据的序列图。
图4B是说明根据本发明的多个实施例中的一个的通信步骤的序列图。
图4C是说明根据本发明的多个实施例中的一个的通信步骤的序列图。
图5示出根据本发明的多个实施例中的一个的通过管理服务器提供到终端的网页。
图6是说明根据本发明的多个实施例中的一个的序列图。
图7说明根据本发明的各种实施例的网络配置。
图8是说明根据本发明的多个实施例中的一个的序列图。
Claims (30)
1.一种用于在管理服务器处在第一网络元件与终端之间转发数据的方法,包括以下步骤:
在第一数据会话期间接收来自所述终端的与所述第一网络元件通信的请求;
确定是否已经与所述第一网络元件建立了第一连接;
如果尚未与所述第一网络元件建立所述第一连接,则与所述第一网络元件建立所述第一连接;以及
在所述第一数据会话期间使用所述第一连接在所述第一网络元件与所述终端之间转发数据。
2.根据权利要求1所述的方法,其中使用安全外壳(SSH)或无线接入点控制协议(CAPWAP)建立所述第一连接。
3.根据权利要求1所述的方法,其中所述第一连接与端口相关联。
4.根据权利要求1所述的方法,其中所述第一数据会话与会话标识符相关联。
5.根据权利要求1所述的方法,其中所述建立所述第一连接的步骤包括以下步骤:
指示所述第一网络元件通过第二连接建立所述第一连接。
6.根据权利要求1所述的方法,其中在所述终端已经验证了所述管理服务器之后建立所述第一数据会话。
7.根据权利要求1所述的方法,其中所述管理服务器由远程辅助服务器和网络服务器组成。
8.根据权利要求7所述的方法,远程辅助服务器通过所述第一连接而连接到所述第一网络元件,并且所述网络服务器通过所述第一数据会话与所述终端连接。
9.根据权利要求1所述的方法,其中所述第一网络元件具有多个广域网(WAN)接口,并且经由所述多个WAN接口的第一WAN接口建立所述第一连接。
10.根据权利要求9所述的方法,其中当终止了所述第一连接时经由所述多个WAN接口的第二WAN接口重新建立所述第一连接。
11.根据权利要求1所述的方法,进一步包括至少部分地基于所述数据的内容确定是否修改所述数据中的一些,并且在执行所述转发数据的步骤之前如果确定了要修改所述数据,则修改所述数据。
12.根据权利要求11所述的方法,其中所述数据是网页。
13.根据权利要求11所述的方法,其中所述数据是超文本传输协议(HTTP)报头或安全超文本传输协议(HTTPS)报头。
14.一种用于在第一网络元件与终端之间转发数据的管理服务器,包括:
至少一个网络接口;
至少一个处理单元;
至少一个主存储器;
至少一个从存储装置,所述从存储装置存储可由所述至少一个处理单元执行以用于以下操作的程序指令:
在第一数据会话期间接收来自所述终端的与所述第一网络元件通信的请求;
确定是否已经与所述第一网络元件建立了第一连接;
如果尚未与所述第一网络元件建立所述第一连接,则与所述第一网络元件建立所述第一连接;以及
在所述第一数据会话期间使用所述第一连接在所述第一网络元件与所述终端之间转发数据。
15.根据权利要求14所述的管理服务器,其中使用安全外壳(SSH)或无线接入点控制协议(CAPWAP)建立所述第一连接。
16.根据权利要求14所述的管理服务器,其中所述第一连接与端口相关联。
17.根据权利要求14所述的管理服务器,其中所述第一数据会话与会话标识符相关联。
18.根据权利要求14所述的管理服务器,其中所述建立所述第一连接的步骤包括以下步骤:
指示所述第一网络元件通过第二连接建立所述第一连接。
19.根据权利要求14所述的管理服务器,其中在所述终端已经验证了所述管理服务器之后建立所述第一数据会话。
20.根据权利要求14所述的管理服务器,其中所述管理服务器由远程辅助服务器和网络服务器组成。
21.根据权利要求20所述的方法,其中所述远程辅助服务器通过所述第一连接而连接到所述第一网络元件,并且所述网络服务器通过所述第一数据会话与所述终端连接。
22.根据权利要求14所述的方法,其中所述第一网络元件具有多个广域网(WAN)接口,并且经由所述多个WAN接口的第一WAN接口建立所述第一连接。
23.根据权利要求22所述的方法,其中当终止了所述第一连接时经由所述多个WAN接口的第二WAN接口重新建立所述第一连接。
24.根据权利要求14所述的方法,其中所述至少一个从存储装置进一步存储可由所述至少一个处理单元执行以用于以下操作的程序指令:至少部分地基于所述数据的内容确定是否修改所述数据中的一些,并且在执行所述转发数据的步骤之前如果确定了要修改所述数据,则修改所述数据。
25.根据权利要求24所述的方法,其中所述数据是网页。
26.根据权利要求24所述的方法,其中所述数据是超文本传输协议(HTTP)报头或安全超文本传输协议(HTTPS)报头。
27.一种系统,包括:
至少一个终端;
至少一个网络元件;
至少一个互连网络;以及
用于在第一网络元件与终端之间转发数据的至少一个管理服务器;
其中所述终端包括至少一个网络接口、至少一个处理单元、至少一个主存储器、至少一个从存储装置、至少一个输出装置、至少一个输入装置以及至少一个系统总线;
其中所述网络元件包括至少一个网络接口、至少一个处理单元、至少一个主存储器、至少一个从存储装置以及至少一个系统总线;并且
其中所述管理服务器包括至少一个网络接口、至少一个处理单元、至少一个主存储器以及至少一个从存储装置,所述至少一个从存储装置存储可由所述至少一个处理单元执行以用于以下操作的程序指令:
在第一数据会话期间接收来自所述终端的与所述第一网络元件通信的请求;
确定是否已经与所述第一网络元件建立了第一连接;
如果尚未与所述第一网络元件建立所述第一连接,则与所述第一网络元件建立所述第一连接;以及
在所述第一数据会话期间使用所述第一连接在所述第一网络元件与所述终端之间转发数据。
28.根据权利要求27所述的方法,其中所述管理服务器的所述至少一个从存储装置进一步存储可由所述至少一个处理单元执行以用于以下操作的程序指令:至少部分地基于所述数据的内容确定是否修改所述数据中的一些,并且在执行所述转发数据的步骤之前如果确定了要修改所述数据,则修改所述数据。
29.根据权利要求28所述的方法,其中所述数据是网页。
30.根据权利要求28所述的方法,其中所述数据是超文本传输协议(HTTP)报头或安全超文本传输协议(HTTPS)报头。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2014/059452 WO2015132630A1 (en) | 2014-03-05 | 2014-03-05 | Methods and systems for forwarding data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106063229A true CN106063229A (zh) | 2016-10-26 |
| CN106063229B CN106063229B (zh) | 2020-04-14 |
Family
ID=52001434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480076756.2A Active CN106063229B (zh) | 2014-03-05 | 2014-03-05 | 用于转发数据的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10044811B2 (zh) |
| CN (1) | CN106063229B (zh) |
| GB (1) | GB2540329B (zh) |
| WO (1) | WO2015132630A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| CN110741660A (zh) * | 2017-06-07 | 2020-01-31 | 奥兰治 | 终端与相关联服务器之间的数据传输 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| US10356579B2 (en) | 2013-03-15 | 2019-07-16 | The Nielsen Company (Us), Llc | Methods and apparatus to credit usage of mobile devices |
| TWI530129B (zh) * | 2014-02-14 | 2016-04-11 | 群暉科技股份有限公司 | 用來管理固定網址存取之方法、裝置、與計算機程式產品 |
| US9762688B2 (en) * | 2014-10-31 | 2017-09-12 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
| MX2017007253A (es) | 2014-12-05 | 2017-10-16 | Wal Mart Stores Inc | Sistema y metodo para generar identificadores unicos globales. |
| WO2017015961A1 (zh) * | 2015-07-30 | 2017-02-02 | 华为技术有限公司 | 一种用于双活数据中心的仲裁方法、装置及系统 |
| CA3001987A1 (en) * | 2015-09-28 | 2017-04-06 | Walmart Apollo, Llc | Cloud based session management system |
| US10404778B2 (en) | 2015-12-09 | 2019-09-03 | Walmart Apollo, Llc | Session hand-off for mobile applications |
| CN105610651A (zh) * | 2016-02-24 | 2016-05-25 | 太仓市同维电子有限公司 | 一种无线路由器接入互联网的检查方法 |
| CN108243383A (zh) * | 2016-12-27 | 2018-07-03 | 致伸科技股份有限公司 | 用于嵌入式系统的音效测试系统与音效测试方法 |
| US10616379B2 (en) | 2017-06-23 | 2020-04-07 | Futurewei Technologies, Inc. | Seamless mobility and session continuity with TCP mobility option |
| US11829277B2 (en) * | 2019-03-21 | 2023-11-28 | Dish Network Technologies India Private Limited | Systems and methods for remote debugging |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849776A (zh) * | 2003-10-14 | 2006-10-18 | 思科技术公司 | 用于在数据通信网络中生成路由信息的方法和装置 |
| CN102217228A (zh) * | 2007-09-26 | 2011-10-12 | Nicira网络公司 | 管理和保护网络的网络操作系统 |
| CN102377600A (zh) * | 2010-08-24 | 2012-03-14 | 特拉博斯股份有限公司 | 对数据传输网络的网络元件的保护 |
| CN102790693A (zh) * | 2011-05-19 | 2012-11-21 | 中兴通讯股份有限公司 | 网管配置管理方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100499500C (zh) | 2006-04-03 | 2009-06-10 | 北京佳讯飞鸿电气股份有限公司 | 对多级通信设备实现管理的方法 |
| CN102316479B (zh) | 2010-07-07 | 2014-08-13 | 中国电信股份有限公司 | 网络业务监控的系统及网络业务运行状态监控方法 |
| US10263839B2 (en) * | 2013-03-15 | 2019-04-16 | Fortinet, Inc. | Remote management system for configuring and/or controlling a computer network switch |
| FR3007167A1 (fr) * | 2013-06-14 | 2014-12-19 | France Telecom | Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces |
-
2014
- 2014-03-05 WO PCT/IB2014/059452 patent/WO2015132630A1/en active Application Filing
- 2014-03-05 GB GB1418216.6A patent/GB2540329B/en active Active
- 2014-03-05 CN CN201480076756.2A patent/CN106063229B/zh active Active
- 2014-03-05 US US14/410,094 patent/US10044811B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849776A (zh) * | 2003-10-14 | 2006-10-18 | 思科技术公司 | 用于在数据通信网络中生成路由信息的方法和装置 |
| CN102217228A (zh) * | 2007-09-26 | 2011-10-12 | Nicira网络公司 | 管理和保护网络的网络操作系统 |
| CN102377600A (zh) * | 2010-08-24 | 2012-03-14 | 特拉博斯股份有限公司 | 对数据传输网络的网络元件的保护 |
| CN102790693A (zh) * | 2011-05-19 | 2012-11-21 | 中兴通讯股份有限公司 | 网管配置管理方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110741660A (zh) * | 2017-06-07 | 2020-01-31 | 奥兰治 | 终端与相关联服务器之间的数据传输 |
| CN110741660B (zh) * | 2017-06-07 | 2023-11-28 | 奥兰治 | 终端与相关联服务器之间的数据传输 |
| CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| CN108600156B (zh) * | 2018-03-07 | 2021-05-07 | 华为技术有限公司 | 一种服务器及安全认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015132630A1 (en) | 2015-09-11 |
| US20160285976A1 (en) | 2016-09-29 |
| CN106063229B (zh) | 2020-04-14 |
| US10044811B2 (en) | 2018-08-07 |
| GB2540329A (en) | 2017-01-18 |
| GB2540329B (en) | 2021-01-27 |
| GB201418216D0 (en) | 2014-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106063229A (zh) | 用于转发数据的方法和系统 | |
| US10313494B2 (en) | Methods and systems for identifying data sessions at a VPN gateway | |
| CN104796396A (zh) | 提供用于基于策略的应用代理的网络代理层的方法和介质 | |
| CN105530255B (zh) | 验证请求数据的方法及装置 | |
| US9674316B2 (en) | Methods and systems for identifying data sessions at a VPN gateway | |
| US20120210011A1 (en) | Apparatus and methods for access solutions to wireless and wired networks | |
| CN102904959B (zh) | 网络加速方法和网关 | |
| JP2017516410A (ja) | パブリッククラウドのプライベートネットワーク資源との接続 | |
| US10893006B2 (en) | System and method for implementing virtual platform media access control (MAC) address-based layer 3 network switching | |
| US8812693B2 (en) | System and method of implementing aggregated virtual private network (VPN) settings through a simplified graphical user interface (GUI) | |
| US11297128B2 (en) | Automated end-to-end application deployment in a data center | |
| CN110601902A (zh) | 一种基于区块链网络的交互数据处理方法及装置 | |
| CN106209838A (zh) | Ssl vpn的ip接入方法及装置 | |
| CN107508907A (zh) | 一种数据传输方法及装置 | |
| CN103475746A (zh) | 一种终端服务方法及装置 | |
| CN108390808A (zh) | 通信处理方法和装置 | |
| CN113905030A (zh) | 内外网通讯方法、装置、内网终端和代理服务器 | |
| CN109660504A (zh) | 用于控制对企业网络的访问的系统和方法 | |
| CN103873491A (zh) | 一种vpn安全浏览器系统及设置方法 | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| CN106105098A (zh) | 交换机及业务请求报文的处理方法 | |
| CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
| CN103475660A (zh) | 页面推送方法、装置和系统 | |
| CN115225292B (zh) | 一种内网访问方法、装置、设备及计算机可读存储介质 | |
| CN107911496A (zh) | 一种vpn服务端代理dns的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1228619 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |