CN106797346B - 用于在vpn管理服务器处建立vpn连接的方法和系统 - Google Patents
用于在vpn管理服务器处建立vpn连接的方法和系统 Download PDFInfo
- Publication number
- CN106797346B CN106797346B CN201480082082.7A CN201480082082A CN106797346B CN 106797346 B CN106797346 B CN 106797346B CN 201480082082 A CN201480082082 A CN 201480082082A CN 106797346 B CN106797346 B CN 106797346B
- Authority
- CN
- China
- Prior art keywords
- vpn
- gateway
- configuration
- gateways
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
Abstract
本发明揭示用于在虚拟专用网络(VPN)管理服务器处的多个VPN网关之间建立VPN连接的方法。所述VPN管理服务器确定VPN网关属于第一VPN网关组并且还确定用于所述第一VPN网关组中的每个VPN网关的可能VPN连接的数目。至少部分基于VPN连接拓扑和VPN连接许可证的数目来确定用于所述第一VPN网关组中的每个VPN网关的配置。根据所述配置来配置所述第一VPN网关组中的每个VPN网关并且至少部分基于所述配置来建立多个VPN连接。
Description
技术领域
本发明总体上涉及计算机网络领域。更具体地说,本发明公开了用于在虚拟专用网络(VPN)管理服务器处的多个VPN网关之间建立VPN连接的方法和系统。
背景技术
网络供应商可以提供多种类型的VPN解决方案,其中一个涉及用于若干VPN网关之间的VPN连接的全网状拓扑。在全网状拓扑中,每个VPN网关与VPN社区中的所有其它VPN网关形成至少一个VPN连接,这意味着建立大量VPN连接。
在VPN社区中,需要为VPN社区中的所有VPN网关之间的VPN连接建立全网状拓扑。全网状VPN网络的益处包含冗余、可用性和带宽的增加。用于VPN连接的全网状拓扑的缺点包含计算资源和网络资源的消耗增加。另外,更多VPN连接可能需要来自硬件供应商、软件供应商和/或网络运营商的更多许可证。在网络条件改变时,尤其对于移动网络条件,有必要建立一种VPN连接拓扑,其不过度消耗资源且可以适应网络条件的变化,并且具有用于管理VPN连接以及由VPN连接消耗的资源的方法。
发明内容
根据本发明的各种实施例,VPN管理服务器允许在多个VPN网关之间建立VPN连接。VPN管理服务器首先确定属于第一VPN网关组的部件以及与所述第一VPN网关组中的每个部件对应的可能VPN连接的数目。确定用于所述VPN网关组的VPN连接拓扑并且所述VPN网关组中的每个部件随后被配置成根据所确定的所述VPN连接拓扑以及可供所述VPN网关组中的每个部件使用的VPN许可证的数目来建立VPN连接。所述VPN网关组中的每个部件随后根据配置与所述VPN网关组中的其它部件建立VPN连接。
根据实施例中的一个,VPN管理服务器首先从管理员接收确认以确认所确定的配置是正确的。如果所述确认包含用于修改配置的指令,则VPN管理服务器根据所述指令修改所述配置。VPN管理服务器随后配置VPN网关组的VPN网关以根据配置或修改后的配置建立VPN连接。
根据实施例中的一个,VPN连接拓扑选自由星型拓扑、全网状拓扑和部分网状拓扑组成的群组。
根据实施例中的一个,VPN管理服务器托管于远程服务器处或属于VPN网关组的VPN网关中的一个处。远程服务器可以通过互连网络,例如因特网访问。
根据实施例中的一个,VPN网关组中的VPN网关分配有优先级,使得VPN网关组中的一个或多个VPN网关具有比同一VPN网关组中的其它VPN网关高的优先级。VPN管理服务器确定VPN网关的配置以基于VPN网关组中的VPN网关的优先级建立VPN连接。
根据本发明的实施例中的一个,在多个VPN网关之间建立的一个或多个VPN连接被集中以形成集中式VPN连接。
根据实施例中的一个,在显示器或地图上显示用于建立VPN连接的VPN网关的配置。
根据实施例中的一个,VPN管理服务器从建立VPN连接的VPN网关中的一个或多个接收所建立的VPN连接的状态信息。基于VPN连接的状态,VPN管理服务器更新配置并且根据更新后的配置重新配置VPN网关组的部件。
根据实施例中的一个,由VPN网关建立的可能VPN连接的数目至少部分基于VPN网关具有的VPN连接许可证的数目。
附图说明
图1A是根据本发明的各个实施的网络环境的框图表示。
图1B是说明根据本发明的实施例中的一个的用于VPN网关组的拓扑的框图。
图1C是说明根据本发明的实施例中的一个的用于VPN网关组的拓扑的框图。
图1D是说明根据本发明的实施例中的一个的用于VPN网关组的拓扑的框图。
图2A是根据本发明的各个实施例的VPN管理服务器的说明性框图。
图2B是根据本发明的各个实施例的VPN网关的说明性框图。
图3A是说明本发明的实施例中的一个的过程的流程图。
图3B是说明本发明的实施例中的一个的过程的流程图。
图3C是说明本发明的实施例中的一个的过程的流程图。
图4说明根据本发明的实施例中的一个的配置。
图5说明用于确定根据本发明的实施例中的一个的配置的过程。
图6是说明根据本发明的实施例中的一个的VPN网关如何彼此连接的用户界面。
图7是说明根据本发明的实施例中的一个的VPN网关在地图中的地理位置以及VPN网关如何彼此连接的用户界面。
具体实施方式
以下说明仅提供优选的示例性实施例并且并不意图限制本发明的范围、实用性或配置。实际上,优选的示例性实施例的以下说明将为本领域技术人员提供实施本发明的优选示例性实施例的有利描述。应理解,在不脱离如在所附权利要求书中阐述的本发明的精神和范围的情况下,可以对元件的功能和布置进行各种改变。
在以下描述中给出特定细节以提供对实施例的透彻理解。然而,本领域的技术人员应理解,可以在没有这些具体细节的情况下实践所述实施例。例如,可以在框图中示出电路以免以不必要的细节混淆实施例。在其它情况下,可以在没有不必要的细节的情况下示出熟知的电路、过程、算法、结构以及技术以避免混淆实施例。
同样,应注意,实施例可以描述为过程,过程描绘为流程图、流程图表、数据流图、结构图或框图。尽管流程图可以将操作描述为顺序过程,但是许多操作可以并行或同时执行。另外,可以重新布置操作的次序。过程在其操作完成时终止,但是可以具有不包含在图中的额外步骤。过程可以对应于方法、函数、程序、子例程、子程序等。当过程对应于函数时,过程的终止对应于函数返回到调用函数或主函数。
实施例或其各部分可以用程序指令实施,所述程序指令可在处理单元上操作以用于执行如本文中所描述的功能以及操作。构成各种实施例的程序指令可以存储在存储媒体中。
构成各种实施例的程序指令可以存储在存储媒体中。此外,如本文所揭示,术语“存储媒体”可以表示用于存储数据的一个或多个装置,包含只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、随机存取存储器(RAM)、磁性RAM、磁芯存储器、软盘、软磁盘、硬盘、磁带、CD-ROM、快闪存储器装置、存储卡和/或用于存储信息的其它机器可读媒体。术语“机器可读媒体”包含但不限于,便携式或固定存储装置、光学存储媒体、磁性媒体、存储器芯片或盒式磁盘、无线信道以及能够存储、容纳或载送指令和/或数据的不同其它媒体。机器可读媒体可以通过虚拟化来实现,且可以是虚拟机器可读媒体,包含在基于云的实例中的虚拟机器可读媒体。
如本文所使用的术语“计算机可读存储媒体”、“主存储器”或“辅助存储装置”是指参与将指令提供到处理单元用于执行的任何媒体。计算机可读媒体仅是机器可读媒体的一个实例,所述机器可读媒体可以载送指令以用于实施本文中所描述的方法和/或技术中的任一个。此媒体可以采用许多形式,包含但不限于非易失性媒体、易失性媒体和传输媒体。非易失性媒体包含例如光盘或磁盘。易失性媒体包含动态存储器。传输媒体包含同轴电缆、铜线以及光纤。传输媒体还可以采用声波或光波的形式,例如在无线电波和红外线数据通信期间产生的声波或光波。
易失性存储装置可以用于在通过处理器/处理单元执行指令期间存储临时变量或其它中间信息。非易失性存储装置或静态存储装置可以用于存储处理器的静态信息和指令,以及不同系统配置参数。
存储媒体可以包含多个软件模块,所述软件模块可以实施为通过处理单元使用任何合适的计算机指令类型来执行的软件代码。软件代码可以作为一系列指令或命令、或作为程序存储在存储媒体中。
各种形式的计算机可读媒体可以涉及将一个或多个指令的一个或多个序列载送到处理器以供执行。例如,指令最初可以携载在远程计算机的磁盘上。或者,远程计算机可以将所述指令加载到其动态存储器中,且向运行一个或多个指令的一个或多个序列的系统发送指令。
处理单元可以是微处理器、微控制器、数字信号处理器(DSP)、那些装置的任何组合、或被配置成处理信息的任何其它电路。
处理单元执行程序指令或代码段以用于实施本发明的实施例。此外,实施例可以由硬件、软件、固件、中间件、微码、硬件描述语言或其任何组合来实施。当在软件、固件、中间件或微码中实施时,用于执行必要任务的程序指令可以存储于计算机可读存储媒体中。处理单元可以通过虚拟化来实现,且可以是虚拟处理单元,包含在基于云的实例中的虚拟处理单元。
本发明的实施例涉及使用计算机系统来实施本文所描述的技术。在实施例中,本发明的处理单元可以驻留在计算机平台等机器上。根据本发明的一个实施例,本文中所描述的技术由计算机系统执行,以响应于处理单元执行易失性存储器中所含有的一个或多个指令的一个或多个序列。此类指令可以从另一计算机可读存储媒体读取到易失性存储器中。对易失性存储器中所包含的指令的序列的执行使得处理单元执行本文中所描述的过程步骤。在替代实施例中,硬连线电路可以替代软件指令或与软件指令组合使用以实施本发明。因此,本发明的实施例不限于硬件电路以及软件的任何特定组合。
代码段或程序指令可以表示步骤、函数、子程序、程序、例程、子例程、模块、软件包、类、或指令、数据结构、或程序语句的任何组合。代码段或程序指令可以通过传递和/或接收信息、数据、自变量、参数或存储器内容耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包含存储器共享、消息传递、令牌传递、网络传输等任何合适的方式传递、转发或传输。
可以通过例如VPN管理服务器或VPN网关等的装置提供的网络接口是以太网接口、帧中继接口、光纤接口、电缆接口、DSL接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、火线接口、外围组件互连(PCI)接口等。
网络接口可以通过独立的电子组件实施或可以与其它电子组件集成。取决于配置,网络接口可以不具有网络连接或具有至少一个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、数字订户线(DSL)接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、火线接口、外围组件互连(PCI)接口等。
本发明的当前优选的实施例可以利用网关。网关是执行不同类型的网络或应用之间的协议转换的装置。术语“网关”并不意图限于单一类型的装置,因为出于本申请案的目的,可以充当用户与网络之间的桥梁的任何装置、硬件或软件都可以被考虑为网关。网关可以与多个多网络耦合。路由器、接入点或无线接入点都可以出于本发明的目的被视为网关。
实施例或其各部分可以计算机数据信号来实施,所述计算机数据信号可以采用用于经由传输媒体进行通信的任何合适形式,使得所述计算机数据信号是可读的以用于通过功能装置(例如,处理单元)来执行从而执行本文中所描述的操作。计算机数据信号可以包含可以经由传输媒体传播的任何二进制数字电子信号,所述传输媒体例如电子网络信道、光纤、空气、电磁媒体、射频(RF)链路等,且因此数据信号可以采用电信号、光信号、射频或其它无线通信信号等形式。在某些实施例中,可以经由计算机网络下载代码段,计算机网络例如因特网、企业内部网、LAN、MAN、WAN、PSTN、卫星通信系统、电缆传输系统和/或其类似者。
网络允许例如VPN管理服务器或VPN网关等的装置连接到例如因特网和外联网等的其它网络。网络可以是载送一个或多个网络协议数据的可访问网络。网络可以是有线网络或无线网络。有线网络可以使用以太网、光纤、电缆、DSL、帧中继、令牌环、串行总线、USB、火线、PCI或可以传递信息的任何材料来实施。无线网络可以使用红外线、高速分组接入(HSPA)、HSPA+、长期演进(LTE)、WiMax、GPRS、EDGE、GSM、CDMA、WiFi、CDMA2000、WCDMA、TD-SCDMA、蓝牙、WiBRO、演进数据优化(EV-DO);数字增强型无绳通信(DECT);数字AMPS(IS-136/TDMA);集成数字增强型(iDEN)或任何其它无线技术来实施。
图1A是根据本发明的各个实施的网络环境的框图表示。VPN网关111、112、113、114、115和116可以通过互连网络102,例如因特网连接到彼此。VPN管理服务器101还可以使用其网络接口205通过互连网络102连接到VPN网关111-116。VPN网关111-116能够与彼此建立VPN连接。VPN管理服务器101可以通过互连网络102确定VPN网关111-116的配置并且配置VPN网关111-116。
图2A是根据本发明的各个实施例的VPN管理服务器,例如VPN管理服务器101的说明性框图。VPN管理服务器101包括处理单元201、主存储器202、系统总线203、辅助存储装置204和网络接口205。处理单元201以及主存储器202彼此直接连接。系统总线203将处理单元201直接或间接地连接到辅助存储装置204和网络接口205。使用系统总线203使VPN管理服务器101能够具有增加的模块性。系统总线203将处理单元201耦合到辅助存储装置204和网络接口205。系统总线203可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。辅助存储装置204存储程序指令以供处理单元201执行。本发明的范围不限于VPN管理服务器101具有一个网络接口,因此VPN管理服务器101可以具有一个或多个网络接口。
图2B是根据本发明的各个实施例的VPN网关,例如VPN网关111-116的说明性框图。出于说明的目的,VPN网关116包括处理单元211、主存储器212、系统总线213、辅助存储装置214以及网络接口215a、215b和215c。处理单元211、主存储器212、系统总线213、辅助存储装置214以及网络接口215a、215b和215c可以通过与图2A中所说明的VPN管理服务器101中的方式类似的方式连接到彼此。本发明的范围不限于VPN网关111-116具有三个网络接口,因此VPN网关111-116可以具有一个或多个网络接口。
部署VPN连接的一个益处是通过第二网络,例如因特网以延伸第一网络。这使节点或主机能够通过共享或公共网络发送和接收数据,如同节点或主机直接连接到第一网络。这可以通过使用专用连接、加密或这两者的组合建立虚拟点对点连接来实现。
本领域的技术人员将了解,VPN连接可实现从相同或不同协议的数据报内的一种类型的协议的数据封装。VPN连接可以是使用不同协议,例如,因特网协议安全(IPSec)、安全套层(SSL)或可以用于建立VPN隧道的任何其它安全协议来建立的VPN隧道。可以集中多个VPN连接以形成一个集中式VPN连接。可以在2009年12月23日提交的发明名称为“用于结合的可变带宽连接的吞吐量优化(THROUGHPUT OPTIMIZATION LOR BONDED VARIABLEBANDWIDTH CONNECTIONS)”的第12/646,774号美国专利申请案中找到关于集中式VPN连接的其它细节。本发明的实施例还适用于集中式VPN连接。例如,VPN网关111可以具有三个与VPN网关113的VPN连接并且这三个VPN连接集中在一起,用于一个集中式VPN连接。
VPN网关能够与另一VPN网关、主机或节点形成VPN连接。取决于VPN网关的资源和/或配置,VPN网关可以形成一个或多个VPN连接。一般来说,当VPN网关形成更多VPN连接时,消耗更多资源。例如,VPN网关111-116中的一个的处理单元211可能需要更多处理循环来执行路由、加密、解密转发和接收VPN连接中的数据包。在另一实例中,更多VPN连接可以产生更多会话,并且一般来说更多会话需要更多存储器。
VPN网关还可以由可以使用的VPN连接许可证的数目限制。一般来说,一个VPN连接许可证允许在VPN网关中建立一个VPN连接。例如,VPN网关具有五个VPN连接许可证,所述VPN连接许可证可以用于建立与五个不同VPN网关的五个VPN连接。在另一实例中,VPN网关还可以使用五个VPN连接许可证以与三个膝上型计算机形成三个VPN连接并且与两个VPN网关形成两个VPN连接。在另一实例中,VPN网关的管理员可以选择不使用所有VPN连接许可证并且预留一个或多个VPN连接许可证以供其它用途,例如,紧急VPN连接。然而,可以对使用一个VPN连接许可证可以建立多少VPN连接不做限制。
仅出于说明的目的,VPN网关可以具有用于建立六个VPN连接的足够计算资源,但仅具有用于建立四个VPN连接的足够存储器量,并且因此用于VPN网关的可能VPN连接的数目是四。在另一实例中,VPN网关可以具有用于建立五十个VPN连接的足够计算资源、网络资源、存储器资源和其它硬件需求,但仅具有十个VPN连接许可证。因此,用于此VPN网关的可能VPN连接的数目仅是十。
可以存在多于一个类型的VPN连接许可证。例如,第一类型的VPN连接许可证用于与其它VPN网关形成VPN连接,并且第二类型的VPN连接许可证用于与例如膝上型计算机、智能电话、计算机或服务器等的装置形成VPN连接。
取决于每个VPN网关具有的资源,每个VPN网关可以具有不同数目的其能建立的可能VPN连接。VPN网关能够确定其自身可能的VPN连接的数目。例如,VPN网关可以根据资源信息,例如计算资源、网络资源和存储器资源确定可能的VPN连接的数目。在另一实例中,VPN网关基于其仍可以使用的VPN连接许可证的数目来确定可能VPN连接的数目。例如,VPN网关具有六个VPN连接许可证并且已使用所述六个VPN连接许可证中的四个。因此,可能VPN连接的数目是六并且剩余可能VPN连接(RPVPNC)的数目是二,因为VPN网关可以仅进一步建立两个VPN连接。RPVPNC的数目与可能VPN连接的数目相同或少于可能VPN连接的数目,因为VPN网关可能已建立一个或多个VPN连接。
一般来说,通过VPN软件、VPN硬件的供应商和/或VPN操作员提供VPN连接许可证。例如,当VPN网关的供应商将VPN网关卖给管理员时,供应商向管理员提供十个VPN连接许可证以供VPN网关使用。因此,VPN网关能够建立至多十个VPN连接。当管理员需要更多VPN连接许可证时,管理员可能需要从供应商购买额外的VPN连接许可证。
在一个变型中,VPN连接许可证存储在VPN网关处。因此,当VPN管理服务器101尝试确定可用的VPN连接许可证的数目时,VPN管理服务器101与每个VPN网关通信,以确定可用的VPN连接许可证的数目。
在一个变型中,VPN连接许可证存储在中心数据库处。中心数据库可以托管于VPN管理服务器101、VPN网关中的一个或远程服务器处。中心数据库记录有多少VPN连接许可证仍可用于VPN网关组。
根据本发明的实施例中的一个,数据库用作许可证存储库以记录VPN网关所具有的VPN连接的数目。在一个变型中,许可证存储库还提供关于VPN网关已部署的VPN连接许可证的数目的信息。许可证存储库可以向VPN管理服务器101提供信息以帮助VPN管理服务器101确定VPN网关所具有的可能VPN连接的数目和RPVPNC的数目。
许可证存储库可以位于VPN管理服务器101中或可以由VPN管理服务器101接触的另一主机中。
在一个变型中,许可证存储库提供关于VPN网关组的VPN许可证信息。例如,VPN网关组包括十个VPN网关并且每个VPN网关具有五个VPN连接许可证。这样,VPN网关组具有的VPN连接许可证的数目是五十,并且VPN管理服务器101可以将这五十个VPN连接许可证分配在十个VPN网关之中。如果VPN管理服务器101为VPN网关组中的VPN网关中的一个创建了建立十五个VPN连接的配置,则存在可以由VPN网关组中的其它VPN网关使用的剩余三十五个VPN连接许可证。
配置被用于配置VPN网关以建立VPN连接。配置必须包含用于建立VPN连接的VPN网关的标识以及VPN连接的标识。例如,用于在星型拓扑下与VPN网关112建立VPN连接的VPN网关116的配置具有VPN网关112的标识,例如,VPN网关112的IP地址和/或主机名。因此,VPN网关116的处理单元211可以基于VPN网关112的IP地址和/或主机名与VPN网关112形成VPN连接。
在一个变型中,配置还包含口令、私有密钥、公共密钥、证书、密码或用于对传输到其它VPN网关以及从其它VPN网关接收的数据包进行加密和解密的其它信息。这些认证信息、加密信息或解密信息可以由管理员预配置和/或由VPN管理服务器101确定。
图4说明根据本发明的实施例中的一个的配置。配置400包括用于建立VPN连接的信息。配置400包括VPN网关标识401和VPN连接信息402。配置400可以存储在VPN管理服务器101、VPN网关111-116中的一个或多个或可以与VPN管理服务器101和VPN网关111-116通信的任何电子装置处。VPN网关标识401用于指示VPN网关中的哪些WAN接口用于与远程VPN网关的WAN接口建立VPN连接。当VPN网关仅具有一个WAN接口时,可以省略VPN网关标识401的VPN网关部分的WAN接口标识。当VPN网关标识401的远程VPN网关的IP地址或主机名足以识别远程VPN网关的WAN接口时,VPN网关标识401的远程VPN网关部分的WAN接口标识是任选的。然而,当配置或管理VPN连接时,管理员将IP地址与WAN接口相关联是有用的。
VPN连接信息402主要用于包含用于在两个VPN网关之间建立VPN连接的信息。例如,VPN连接信息402可以包含用于建立VPN连接的加密信息,包含预共享密钥、加密方法、认证信息、Diffie-Hellman组信息以及密钥使用寿命信息。在另一实例中,VPN连接信息可以包含用于设定因特网协议安全(IPsec)的信息。本领域技术人员将了解,存在可以用于设定在VPN连接中使用的加密和解密机构的许多其它信息。
例如,VPN管理服务器101将配置400发送到VPN网关111。当VPN网关111接收配置400时,所述VPN网关根据远程VPN网关标识401和VPN连接信息402建立VPN连接。出于说明的目的,远程VPN网关标识401a和VPN连接402a包含用于与VPN网关112建立VPN连接的VPN网关111的WAN接口标识、VPN网关112的IP地址、VPN网关112的WAN接口标识以及VPN网关111的加密信息。类似地,VPN网关标识401b和VPN连接402b可以包含用于与VPN网关113建立VPN连接的VPN网关111的信息;并且VPN网关标识401c和VPN连接402c可以包含用于与VPN网关114建立VPN连接的VPN网关111的信息。
通过互连网络102发送配置400。可以使用传输控制协议(TCP)、用户数据报协议(UDP)或其它通信协议发送配置400。配置400的内容,例如远程VPN网关标识401和VPN连接信息402可以用任何格式表示,包含字符串、二进制数据、可扩展标记语言(XMF)格式和JavaScript对象符号(JSON),只要VPN网关能够使用和辨别。
在另一实例中,在全网状拓扑下,用于与VPN网关111-115建立多个VPN连接的VPN网关116的配置具有VPN网关111-115的标识,例如,VPN网关111-115的IP地址和/或主机名。
在一个变型中,当配置已发送到VPN网关111-116时,VPN管理服务器101不需要处于运行状态,因为VPN网关111-116随后能够在其彼此之间形成VPN连接。然而,出于维护目的,可靠性目的和/或安全性目的,VPN管理服务器101优选地保持处于运行状态以监视VPN连接的状态。出于相同原因,在VPN管理服务器101发生故障或不可达的情况下,需要具有备份的VPN管理服务器。
存在三种最常见的VPN连接拓扑,即,星型拓扑、部分网状拓扑和全网状拓扑。
参考图1B,拓扑是用于包括VPN网关111-116的VPN网关组的星型拓扑。VPN管理服务器101分别以如下方式产生VPN网关111-116的配置:VPN网关116用作中心,VPN网关111-115用作辐条。例如,为了使VPN网关111与VPN网关112发送和接收包,包必须通过VPN网关116。在一个变型中,可以存在多个中心。例如,VPN网关115是备份中心,因此在VPN网关116发生故障的情况下,VPN网关115可以用作VPN网关组的中心。在一个变型中,在VPN网关115作为备份中心时,在VPN网关115处复制拓扑和配置。在一个变型中,可以将拓扑和配置从VPN管理服务器101下载到用于替换VPN网关111-116中的一个的新VPN网关。这允许新VPN网关具有与所替换VPN网关相同的配置。当新VPN网关连接到VPN管理服务器101并且将其本身识别为用于所替换VPN网关的替换物时,VPN管理服务器101随后可以将配置发送或下载到新VPN网关。
参考图1C,拓扑是用于包括VPN网关111-116的VPN网关组的部分网状拓扑。VPN管理服务器101分别产生VPN网关111-116的配置,使得所述VPN网关形成部分网状。出于说明的目的,VPN网关111与VPN网关112、116和113形成VPN连接,VPN网关112与VPN网关113、111和114形成VPN连接,VPN网关113与VPN网关114、112和111形成VPN连接,VPN网关114与VPN网关115、113和112形成VPN连接,VPN网关115与VPN网关114和116形成VPN连接,VPN网关116与VPN网关111和115形成VPN连接。因此,不是所有VPN网关彼此建立VPN连接,因此形成部分网状。
参考图1D,拓扑是用于包括VPN网关111-116的VPN网关组的全网状拓扑。VPN管理服务器101分别产生VPN网关111-116的配置,使得所述VPN网关形成全网状。VPN网关111-116中的每一个与其余的每一个建立VPN连接,如图1D中所示。
在一个变型中,VPN连接许可证可以用于一个VPN连接或一个集中式VPN连接。因此,VPN网关可以与另一VPN网关建立一个集中式VPN连接或一个VPN连接,而不管集中式VPN连接中包括的VPN连接的数目。在一个实例中,VPN网关114具有一个VPN连接许可证。VPN网关114可以与VPN网关115建立一个集中式VPN连接并且集中式VPN连接包括多个VPN连接。VPN管理服务器101可以将VPN网关的RPVPNC的数目视为剩余可能的集中式VPN连接的数目。
或者,当可能VPN连接的数目主要受计算资源或网络资源的影响时,VPN管理服务器101可以不将VPN网关的RPVPNC的数目视为剩余可能的集中式VPN连接的数目,因为如果集中式VPN连接中的每一个包括多个VPN连接,则VPN网关可能不具有用于建立多个集中式VPN连接的足够计算资源或网络资源。在一个实例中,在第一VPN网关115处具有三十个RPVPNC。随后,VPN网关与VPN网关116建立集中式VPN连接并且集中式VPN连接由八个VPN连接组成。这样,VPN网关115的RPVPNC的数目变为二十二个,因为八个VPN连接已被建立集中式VPN连接。
可以由VPN管理服务器101请求VPN连接的数目和RPVPNC的数目。
VPN管理服务器的一个功能是确定每个VPN网关的配置。配置能被用于配置VPN网关以建立一个或多个VPN连接以形成VPN网关组。VPN管理服务器可以向VPN网关发出确定VPN网关的RPVPNC的数目的请求,并且VPN管理服务器能够协调配置以实现选定拓扑。在一个变型中,VPN管理服务器通过访问中心数据库来确定RPVPNC的数目。中心数据库具有RPVPNC的数目的信息。数据库可以被存储在本地或远程。在一个变型中,VPN管理服务器能够确定配置以获得具有最佳结果的选定拓扑。
图3A是说明本发明的实施例中的一个的过程的流程图。在步骤301处,VPN管理服务器101确定属于第一VPN网关组的部件。VPN管理服务器101可以从数据库下载部件列表,从远程服务器检索部件列表或联系VPN管理服务器101了解的VPN网关以查明VPN网关是否属于第一VPN网关组。可以由管理员预配置部件列表。
由于VPN网关可以与一个或多个VPN网关形成一个或多个VPN连接,因此VPN网关可以是一个或多个VPN网关组的部件。
在一个变型中,部件可以是主机装置,例如,膝上型计算机、智能电话、计算机、服务器或能够与另一部件建立VPN连接的任何其它装置。
在步骤302处,VPN管理服务器101确定VPN网关具有的RPVPNC的数目。VPN管理服务器101通过与每个VPN网关通信以发现RPVPNC的数目来确定RPVPNC的数目。例如,VPN管理服务器101将消息发送到第一VPN组的每个VPN网关以用于发现。在一个变型中,可以周期性地发送消息,使得VPN管理服务器101可以获得VPN网关所具有的RPVPNC数目的数目的更新信息。在一个变型中,如果VPN管理服务器101已知晓RPVPNC的数目,则VPN管理服务器101不会发出消息。例如,在VPN网关111至116之中,VPN管理服务器101已知晓VPN网关111和112的RPVPNC的数目,VPN管理服务器101仅将消息发送到VPN网关113至116以发现每个VPN网关113至116的RPVPNC的数目。
在步骤303处,VPN管理服务器101确定第一VPN网关组采用何种VPN连接拓扑。例如,第一VPN网关组可以采用星型拓扑、部分网状拓扑或全网状拓扑。VPN连接拓扑可以由管理员预配置、输入,从数据库检索或从远程服务器检索。在一个变型中,在步骤301或302之前执行步骤303。必须在步骤304之前执行步骤303,以便允许VPN管理服务器101基于确定VPN连接的VPN网关的标识和拓扑而具有正确配置。
在步骤304处,VPN管理服务器101基于RPVPNC的数目和拓扑确定每个VPN网关的配置。
在步骤305处,VPN管理服务器101根据对应配置来配置第一VPN网关组的VPN网关中的每一个。存在用于配置VPN网关的多种方法。例如,VPN管理服务器101将对应配置发送到VPN网关112并且依赖于VPN网关112来根据对应配置而配置本身。在另一实例中,VPN管理服务器101登录VPN网关113,并且随后配置VPN网关113。存在用于VPN管理服务器101登录和配置VPN网关的多种方法,例如,VPN管理服务器101可以通过网络接口或安全外壳协议执行登录和配置。
在步骤306处,VPN网关111-116根据对应配置建立VPN连接。
图3B是说明本发明的实施例中的一个的过程的流程图。图3A和图3B的流程图之间的不同之处在于步骤304与305之间的增加的步骤311。在VPN管理服务器101执行步骤305之前,VPN管理服务器101将等待确认。确认可以呈消息、字符串、数字、指令等的形式。确认包含用于向VPN管理服务器101通知在步骤304中确定的配置是否是最终配置的信息。可以由管理员、主机、服务器、装置或授权发送确认的任何其它电子设备提供确认。可以通过网络接口、命令行接口、图形用户接口、按钮等接收确认。
在一个变型中,当确认指示配置不是最终配置时,由于第一VPN网关组的部件可能已改变,RPVPNC的数目可能已改变,因此VPN管理服务器101再次执行步骤301至304。在一个变型中,促使VPN管理服务器101的管理员修改配置。这提供允许管理员更改一个或多个配置的灵活性。
在一个变型中,通过图形用户接口向管理员示出配置。例如,当在步骤305之后已由VPN管理服务器101确定配置时,VPN管理服务器101示出VPN网关如何通过用户接口彼此连接,如图6中所说明。稍后更详细地论述用户接口。管理员随后可以通过用户接口修改一个或多个配置。用户接口可以是耦合到VPN管理服务器101的计算装置的显示器或通过网络连接到VPN管理服务器101的计算装置的显示器。当管理员已在步骤311处完成配置时,VPN管理服务器101随后执行步骤305。在步骤306处,VPN网关111-116根据由管理员完成的对应配置建立VPN连接。在一个变型中,在地图上示出VPN网关111-116的位置,使得用户可以识别VPN网关111-116的位置。
在一个变型中,当用户通过用户接口改变配置并且随后将配置提交到VPN管理服务器101时,提交被视为确认。
确认的目的是确保配置正确。在一个变型中,在步骤304之后,管理员接收对确认的请求。在一个变型中,当接收请求时,管理员具有改变一个或多个配置的机会。随后将改变的一个或多个配置发送回VPN管理服务器101。在VPN管理服务器101已接收改变的配置之后,VPN管理服务器101随后将执行步骤305。改变的一个或多个配置还遵循配置401的结构。
在一个实例中,在步骤304之后VPN网关111和112的配置分别具有与VPN网关116的一个VPN连接。随后将配置发送到用户接口以供管理员确认。管理员可以修改配置,例如以在VPN网关111与112之间具有一个额外的VPN连接。当在步骤311处VPN管理服务器101接收管理员的改变配置时,改变的配置可以被视为确认。随后在步骤305处,VPN管理服务器101配置VPN网关111和112。在步骤306处,VPN网关111和112随后建立VPN连接。在步骤306处建立的VPN连接是:VPN网关111与116之间的一个VPN连接、VPN网关111与112之间的一个VPN连接以及VPN网关112与116之间的一个VPN连接。
图3C是说明本发明的实施例中的一个的过程的流程图。在图3A和图3C的流程图之间的不同之处在于在步骤306之后存在增加的步骤321-323。在网络环境变化时,VPN连接可能终止或可能变得不稳定。因此,VPN网关向VPN管理服务器101报告所建立的VPN连接的状态。当VPN管理服务器101在步骤321处接收状态时,所述VPN管理服务器在步骤322处确定是否改变、添加或终止在VPN网关之间的VPN连接。当需要改变、添加或终止VPN连接时,VPN管理服务器101在步骤322处更新配置并且在步骤323处用更新后的配置来重新配置对应VPN网关。在步骤305处,对应VPN网关随后可以根据更新后的配置来改变、添加或终止VPN连接。
可以通过网页、命令行接口、图形接口等将状态发送到VPN管理服务器101。可以通过安全的或非安全的互连网络发送状态。所述状态允许VPN管理服务器101确定VPN连接是否稳定、是否正经历网络问题、是否已终止等。
在另一实例中,仅出于说明的目的,对于如图1B、图1C或图1D中所示的VPN网关116报告其VPN连接标识的状态时,状态含有两个字符串“VPN网关115-稳定”以及“VPN网关111-终止”以指示与VPN网关115的VPN连接稳定并且与VPN网关111的VPN连接已终止。
状态不限于由字符串表示并且可以使用二进制数据、XMF风格消息、文本和二进制数据的组合或可由VPN管理服务器101辨别的任何其它格式来表示。
VPN网关将状态发送到VPN管理服务器101的频率可以是周期性的和/或在检测到VPN连接的变化之后。
根据本发明的实施例中的一个,VPN网关组中的一个或多个VPN网关具有高于同一VPN网关组中的其它VPN网关的优先级。VPN管理服务器101将创建配置以首先将尽可能多的其它VPN网关连接到具有最高优先级的VPN网关。连接到具有最高优先级的VPN网关的其它VPN网关的数目由RPVPNC的数目限制。
在另一实例中,VPN网关116具有最高优先级并且VPN网关115具有第二高优先级。当VPN管理服务器101产生用于第一VPN网关组中的VPN网关114的配置时,如果VPN网关116的RPVPNC的数目不为零,则VPN管理服务器101将首先尝试具有使VPN网关114与VPN网关116建立VPN连接的配置。在VPN网关115的RPVPNC的数目不为零的情况下,如果VPN网关116的RPVPNC的数目为零,则VPN管理服务器101将首先尝试具有使VPN网关114与VPN网关115建立VPN连接的配置。
可以通过网页、网络服务、API、控制台和/或VPN管理服务器101的用户接口由VPN网关组的管理员配置优先级。
优先级的使用使得在创建用于解决VPN网关组的特定需求的配置时具有灵活性。例如,参考图1B,VPN网关116被连接到多个高速因特网连接,并且最佳地用于执行为VPN网关组的中心以连接到因特网。因此,VPN网关116应具有最高优先级。VPN网关115位于容灾或冗余的数据中心处。因此,出于容灾或冗余的目的,VPN网关115分配有第二高优先级。VPN网关115可以执行为VPN网关组的备份中心。当VPN网关116不能够执行为VPN网关组的中心时,VPN网关111-114随后可以使用VPN网关115作为中心。
图5说明根据本发明的实施例中的一个的用于确定配置的步骤304中的过程。过程在步骤501中开始。在步骤502中,VPN管理服务器101确定拓扑是否是部分网状拓扑。如果拓扑不是部分网状拓扑,则拓扑应该是全网状拓扑或星型拓扑并且执行步骤507。
在步骤507中,如果拓扑是星型拓扑,则VPN管理服务器101首先确定作为中心的VPN网关的标识,并且随后配置每个VPN网关的配置,每个配置被配置成与中心建立VPN连接。如果拓扑是全网状的,则每个VPN网关的配置被配置成与同一VPN网关组中的所有其它VPN网关建立VPN连接。
如果拓扑是部分网站拓扑,则执行步骤503以识别具有大于零的RPVPNC数目的VPN网关。如果VPN网关的RPVPNC的数目是零,则这意味着VPN网关不再具有用于建立额外VPN连接的资源。因此,在步骤503中,VPN管理服务器101仅需要配置仍具有用于建立一个额外VPN连接的资源的VPN网关。在步骤504中,VPN管理服务器101配对两个具有大于零的RPVPNC数目的VPN网关,用于在这两个VPN网关之间建立VPN连接,并且随后将这两个网关的RPVPNC的数目减少一个。
在步骤505中,如果VPN网关组中的VPN网关中无一个或仅一个具有大于零的RPVPNC数目,则这意味着不存在成对的VPN网关,其具有建立额外VPN连接的资源,并且随后过程在步骤508处终止。
在步骤506中,VPN管理服务器101确定是否已配对所有所识别VPN网关。如果否在另一对VPN网关之间再次执行步骤504。
在一个变型中,先前已在步骤504中配对的VPN网关将不再与另一VPN网关配对,直至VPN网关组中的所有其它VPN网关具有至少一个VPN连接。这样可避免一些VPN网关被隔离的情况。一个或多个VPN网关可以与其它VPN网关隔离,当不存在足够的RPVPNC可将隔离的VPN网关与其它VPN网关连接时。
在一个变型中,VPN网关在步骤504中依序配对。例如,使用图1A进行说明,VPN网关111-116最初都具有三个RPVPNC。在遵循以下顺序的循环中由VPN管理服务器101产生VPN网关的配置:VPN网关111、VPN网关112、VPN网关113、VPN网关114、VPN网关115、VPN网关116,并且随后再次从VPN网关111开始。在第一循环中,VPN管理服务器101将首先通过产生用于与VPN网关112建立的VPN网关111的配置以及产生用于与VPN网关111建立的VPN网关112的配置来配对VPN网关111和112。随后,VPN管理服务器101通过产生用于与VPN网关113建立的VPN网关112的配置以及产生用于与VPN网关112建立的VPN网关113的配置来配对VPN网关112和113。随后,VPN管理服务器101通过产生用于与VPN网关114建立的VPN网关113的配置以及产生用于与VPN网关113建立的VPN网关114的配置来配对VPN网关113和114。随后,VPN管理服务器101通过产生用于与VPN网关115建立的VPN网关114的配置以及产生用于与VPN网关114建立的VPN网关115的配置来配对VPN网关114和115。随后,VPN管理服务器101通过产生用于与VPN网关116建立的VPN网关115的配置以及产生用于与VPN网关115建立的VPN网关116的配置来配对VPN网关115和116。随后,VPN管理服务器101通过产生用于与VPN网关111建立的VPN网关116的配置以及产生用于与VPN网关116建立的VPN网关111的配置来配对VPN网关116和111。
随后,在第一循环之后,所有VPN网关111-116各自已建立两个VPN连接,并且因此VPN网关111-116中的每一个具有一个RPVPNC。在第二循环中,VPN管理服务器101随后确定配置VPN网关111以建立另一VPN连接,因为VPN连接111按顺序在VPN网关116之后并且还具有一个RPVPNC。在VPN管理服务器101已具有用于与VPN网关112建立VPN连接的VPN网关111的配置时,VPN管理服务器101将VPN网关111与VPN网关113配对,因为VPN网关113按顺序在VPN网关112之后。VPN管理服务器101通过产生用于与VPN网关113建立的VPN网关111的配置以及产生用于与VPN网关111建立的VPN网关113的配置来将VPN网关111与VPN网关113配对。VPN网关111的RVPNC的数目随后为零,因为VPN网关111已具有分别与VPN网关112、116和113的三个VPN连接。VPN网关113的RVPNC的数目也为零,因为VPN网关113已具有分别与VPN网关114、111和112的三个VPN连接。VPN管理服务器101随后确定配置VPN网关112以建立另一VPN连接,因为VPN连接112按顺序在VPN网关111之后并且还具有一个RPVPNC。在VPN管理服务器101已具有用于与VPN网关113建立VPN连接的VPN网关112的配置并且VPN网关113的RPVPNC为零时,VPN管理服务器101将VPN网关112与VPN网关114配对,因为VPN网关114按顺序在VPN网关113之后。VPN管理服务器101通过产生用于与VPN网关114建立的VPN网关112的配置以及产生用于与VPN网关112建立的VPN网关114的配置来将VPN网关112与VPN网关114配对。VPN网关112的RVPNC的数目随后为零,因为VPN网关112已具有分别与VPN网关111、113和114的三个VPN连接。VPN网关114的RVPNC的数目也为零,因为VPN网关114已具有分别与VPN网关113、115和112的三个VPN连接。不存在VPN网关115和116可以配对以建立额外VPN连接的其它VPN网关,因为VPN网关111、112、113和114将不具有用于建立额外VPN连接的其它资源并且VPN网关115和116已具有彼此的VPN连接。在第二循环之后,VPN网关115和116仍各自具有一个RPVPNC,并且VPN网关111-114具有零个RPVPNC。因此,图1C示意了根据由VPN管理服务器101确定的配置所建立的所得VPN连接。
图6是说明VPN网关如何彼此连接的用户界面。项601-608分别表示VPN网关111-118。在此实例中,VPN网关111-118属于使用星型拓扑建立VPN连接的第一VPN网关组,VPN网关117、118、120、121和122属于使用网状拓扑建立VPN连接的第二VPN网关组。为了具有用户友好的说明,优选的是,属于同一VPN网关组的VPN网关在同一用户界面中用同一色彩或图案着色或图案化。出于说明的目的,对应于第一VPN网关组的项是白色的,并且对应于第二VPN网关组的项具有条纹状图案。由于VPN网关117和118属于第一VPN网关组和第二VPN网关组两者,因此与对应于第一或第二VPN网关组的项相比,项607和608具有不同图案。或者,对应于两个VPN网关组的项的图案或色彩可以是对应于每个VPN网关组的项的色彩的组合。例如,在项607中的圆的一半可以是白色的并且项607中的圆的另一半可以具有条纹状图案。可以存在用于说明特定项对应于两个VPN网关组的不同方法,并且本发明的范围不限于以上实例。项606连接到项601-605和项607-608,示出VPN网关116充当第一VPN网关组的中心。项610-612分别表示VPN网关120-122。在用户界面600中,项607、608、610、611和612彼此连接,示出使用网状拓扑在VPN网关117、118、120、121和122之间建立VPN连接。VPN网关121和122还通过使用点到点拓扑的VPN连接彼此连接。
在一个实例中,管理员可以将第二VPN网关组中的VPN网关配置成在全网状拓扑中彼此连接。由于缺乏VPN网关的资源,可以在部分网状拓扑中建立VPN连接,如在用户界面600中所示。
图7是说明VPN网关在地图中的地理位置以及VPN网关如何彼此连接的用户界面。在用户界面700中示意了VPN网关111-118和120-122的地理位置。在此实例中,使用星型拓扑在VPN网关111-118之间建立VPN连接,并且VPN网关116充当中心。使用部分网状拓扑在VPN网关117、118、120、121和122之间建立VPN连接。用户界面700示意了在VPN网关111-118之间以及在VPN网关117、118、120、121和122之间建立的VPN连接。
Claims (24)
1.一种用于在虚拟专用网络(VPN)管理服务器处的多个VPN网关之间建立VPN连接的方法,其包括以下步骤:
(a)确定属于第一VPN网关组的VPN网关;其中所述第一VPN网关组的部件列表是从数据库检索或从远程服务器检索;
(b)确定所述第一VPN网关组中的每个VPN网关的可能VPN连接的数目;
(c)确定所述第一VPN网关组中的每个VPN网关的配置;其中确定所述配置至少部分是基于VPN连接拓扑及VPN连接许可证的数目;所述每个VPN网关已部署所述VPN连接许可证的数目;其中所述VPN连接许可证的数目的信息是从许可证存储库检索;
(d)当所述VPN连接拓扑是星型拓扑:
(i)确定作为中心的VPN网关的标识;
(ii)根据所述配置来配置所述第一VPN网关组中的每个VPN网关;
(e)当所述VPN连接拓扑是部分网状拓扑:
(i)识别具有大于零的剩余可能VPN连接数目的VPN网关;
(ii)配对两个具有大于零的剩余可能VPN连接数目的VPN网关;
(iii)更新两个所述VPN网关的配置,并 将两个所述VPN网关的所述剩余可能VPN连接数目减少一个;
(iv)执行步骤(e)(iii)直至所有大于零的所述剩余可能VPN连接的VPN网关已配对;
(f)当所述VPN连接拓扑是全网状拓扑:
配置所述第一VPN网关组中的每个VPN网关与所述第一VPN网关组的所有其他VPN网关建立VPN连接;
(g)至少部分基于所述配置来建立多个VPN连接;
其中所述配置显示于地图上;其中所述地图示意VPN网关在地图中的地理位置,以及于所述第一VPN网关组的VPN网关之间建立VPN连接。
2.根据权利要求1所述的方法,其进一步包括:接收确认;其中仅当接收所述确认时执行所述配置的步骤。
3.根据权利要求1所述的方法,其中所述VPN连接拓扑选自由所述星型拓扑、所述全网状拓扑和所述部分网状拓扑组成的群组。
4.根据权利要求1所述的方法,其中所述VPN管理服务器托管于所述远程服务器或所述VPN网关中的一个处,其中所述远程服务器可通过互连网络访问。
5.根据权利要求1所述的方法,其中确定所述配置的步骤进一步基于优先级。
6.根据权利要求1所述的方法,其中所述VPN连接中的一个或多个是集中式VPN连接。
7.根据权利要求1所述的方法,其中通过显示器示出所述配置。
8.根据权利要求1所述的方法,其中所述VPN网关是依序配对。
9.根据权利要求1所述的方法,其进一步包括:从所述VPN网关中的一个或多个接收VPN连接的状态;更新所述配置;以及根据所述状态重新配置所述VPN网关中的所述一个或多个。
10.根据权利要求1所述的方法,其中所述配置包含:认证信息、加密信息和解密信息中的一个或多个。
11.根据权利要求2所述的方法,其中所述确认包含用于修改所述配置的指令。
12.根据权利要求1所述的方法,其中所述可能VPN连接的数目至少部分基于VPN连接许可证的数目。
13.一种能够在多个VPN网关之间建立VPN连接的VPN管理服务器,其包括:至少一个网络接口;至少一个处理单元;至少一个主存储器;至少一个辅助存储装置,
其存储程序指令,所述程序指令由所述至少一个处理单元可执行以用于:
(a)确定属于第一VPN网关组的VPN网关;其中所述第一VPN网关组的部件列表是从数据库检索或从远程服务器检索;
(b)确定所述第一VPN网关组中的每个VPN网关的可能VPN连接的数目;
(c)确定所述第一VPN网关组中的每个VPN网关的配置;其中确定所述配置至少部分是基于VPN连接拓扑及VPN连接许可证的数目;所述每个VPN网关已部署所述VPN连接许可证的数目;其中所述VPN连接许可证的数目的信息是从许可证存储库检索;
(d)当所述VPN连接拓扑是星型拓扑;
(i)确定作为中心的VPN网关的标识;
(ii)根据所述配置来配置所述第一VPN网关组中的每个VPN网关;
(e)当所述VPN连接拓扑是部分网状拓扑:
(i)识别具有大于零的剩余可能VPN连接数目的VPN网关;
(ii)配对两个具有大于零的剩余可能VPN连接数目的VPN网关;
(iii)更新所述配置及将两个所述VPN网关的所述剩余可能VPN连接数目减少一个;
(iv)执行步骤(e)(iii)直至所有大于零的剩余可能VPN连接的VPN网关已配对;
(f)当所述VPN连接拓扑是全网状拓扑:
配置所述第一VPN网关组中的每个VPN网关与所述第一VPN网关组的所有其他VPN网关建立VPN连接;
(g)至少部分基于所述配置来建立多个VPN连接;
其中所述配置显示于地图上;其中所述地图示意VPN网关在地图中的地理位置以及于所述第一VPN网关组的VPN网关之间建立VPN连接。
14.根据权利要求13所述的VPN管理服务器,其中所述至少一个辅助存储装置进一步存储由所述至少一个处理单元可执行的程序指令以用于:接收确认;其中仅当接收所述确认时执行所述配置的步骤。
15.根据权利要求13所述的VPN管理服务器,其中所述VPN连接拓扑选自由所述星型拓扑、所述全网状拓扑和所述部分网状拓扑组成的群组。
16.根据权利要求13所述的VPN管理服务器,其中所述VPN管理服务器托管于远程服务器或所述VPN网关中的一个处,其中所述远程服务器可通过互连网络访问。
17.根据权利要求13所述的VPN管理服务器,其中确定所述配置的步骤进一步基于优先级。
18.根据权利要求13所述的VPN管理服务器,其中所述VPN连接中的一个或多个是集中式VPN连接。
19.根据权利要求13所述的VPN管理服务器,其中通过显示器示出所述配置。
20.根据权利要求13所述的VPN管理服务器,其中所述VPN网关是依序配对。
21.根据权利要求13所述的VPN管理服务器,其进一步包括:从所述VPN网关中的一个或多个接收VPN连接的状态;更新所述配置;以及根据所述状态重新配置所述VPN网关中的所述一个或多个。
22.根据权利要求13所述的VPN管理服务器,其中所述配置包含:认证信息、加密信息和解密信息中的一个或多个。
23.根据权利要求14所述的VPN管理服务器,其中所述确认包含用于修改所述配置的指令。
24.根据权利要求13所述的VPN管理服务器,其中所述可能VPN连接的数目至少部分基于VPN连接许可证的数目。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010769843.3A CN111988214B (zh) | 2014-11-06 | 2014-11-06 | 用于在vpn网关处建立vpn连接的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2014/065842 WO2016071738A1 (en) | 2014-11-06 | 2014-11-06 | Methods and systems for establishing vpn connections at a vpn management server |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010769843.3A Division CN111988214B (zh) | 2014-11-06 | 2014-11-06 | 用于在vpn网关处建立vpn连接的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106797346A CN106797346A (zh) | 2017-05-31 |
| CN106797346B true CN106797346B (zh) | 2020-09-01 |
Family
ID=54606128
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010769843.3A Active CN111988214B (zh) | 2014-11-06 | 2014-11-06 | 用于在vpn网关处建立vpn连接的方法和系统 |
| CN201480082082.7A Active CN106797346B (zh) | 2014-11-06 | 2014-11-06 | 用于在vpn管理服务器处建立vpn连接的方法和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010769843.3A Active CN111988214B (zh) | 2014-11-06 | 2014-11-06 | 用于在vpn网关处建立vpn连接的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9419944B2 (zh) |
| CN (2) | CN111988214B (zh) |
| GB (1) | GB2536323B (zh) |
| WO (1) | WO2016071738A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9705882B2 (en) * | 2014-06-13 | 2017-07-11 | Pismo Labs Technology Limited | Methods and systems for managing a node |
| USD776147S1 (en) * | 2015-12-05 | 2017-01-10 | Velvet Ropes, Inc. | Mobile device having graphical user interface |
| US10193858B2 (en) * | 2015-12-22 | 2019-01-29 | Mcafee, Llc | Attestation device custody transfer protocol |
| CN107579897B (zh) * | 2017-09-14 | 2018-11-09 | 广州西麦科技股份有限公司 | 一种基于OpenDaylight配置VPN的方法及装置 |
| CN111371664B (zh) * | 2018-12-25 | 2022-02-11 | 中国移动通信有限公司研究院 | 一种虚拟专用网络接入方法及设备 |
| CN110380947B (zh) * | 2019-07-23 | 2021-10-22 | 深圳市启博科创有限公司 | 一种基于p2p技术的二级网络架构和vpn组网方法 |
| CN110677426B (zh) * | 2019-09-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
| CN111614537B (zh) * | 2020-04-29 | 2022-03-01 | 中国建设银行股份有限公司 | 灾备网络系统 |
| CN114080004B (zh) * | 2020-08-19 | 2024-04-09 | 阿里巴巴集团控股有限公司 | 专网接入方法及装置 |
| US20220263804A1 (en) * | 2021-02-12 | 2022-08-18 | Arris Enterprises Llc | Vpn manager and monitor for vpn connection selection |
| US11336516B1 (en) * | 2021-09-27 | 2022-05-17 | Netflow, UAB | Configuring and displaying a progress indicator in a virtual private network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047593A (zh) * | 2007-04-30 | 2007-10-03 | 深圳市深信服电子科技有限公司 | 通过自组域简化部署vpn网络的方法 |
| CN101048978A (zh) * | 2004-09-15 | 2007-10-03 | 诺基亚公司 | 用于寻路由和ipsec的集成的架构 |
| US8230050B1 (en) * | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| US7013331B2 (en) * | 2002-12-20 | 2006-03-14 | Nokia, Inc. | Automated bulk configuration of network devices |
| CN100401678C (zh) * | 2004-05-21 | 2008-07-09 | 华为技术有限公司 | 虚拟专用网网络管理方法 |
| US7590074B1 (en) * | 2004-12-02 | 2009-09-15 | Nortel Networks Limited | Method and apparatus for obtaining routing information on demand in a virtual private network |
| US7409709B2 (en) * | 2005-02-14 | 2008-08-05 | Etsec, Inc. | Systems and methods for automatically reconfiguring a network device |
| US7975030B2 (en) * | 2006-05-09 | 2011-07-05 | Cisco Technology, Inc. | Remote configuration of devices using a secure connection |
| CN101083549A (zh) * | 2006-06-02 | 2007-12-05 | 华为技术有限公司 | 一种实现vpn配置服务的方法和系统 |
| CN101459606B (zh) * | 2008-12-31 | 2011-04-20 | 华为技术有限公司 | 一种组播虚拟私有网络的外联网组网方法、系统和装置 |
| US8473734B2 (en) * | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having dynamic failover |
| US8908698B2 (en) * | 2012-01-13 | 2014-12-09 | Cisco Technology, Inc. | System and method for managing site-to-site VPNs of a cloud managed network |
| JP5941703B2 (ja) * | 2012-02-27 | 2016-06-29 | 株式会社日立製作所 | 管理サーバ及び管理方法 |
-
2014
- 2014-11-06 CN CN202010769843.3A patent/CN111988214B/zh active Active
- 2014-11-06 GB GB1517597.9A patent/GB2536323B/en active Active
- 2014-11-06 CN CN201480082082.7A patent/CN106797346B/zh active Active
- 2014-11-06 WO PCT/IB2014/065842 patent/WO2016071738A1/en active Application Filing
- 2014-11-06 US US14/421,140 patent/US9419944B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101048978A (zh) * | 2004-09-15 | 2007-10-03 | 诺基亚公司 | 用于寻路由和ipsec的集成的架构 |
| CN101047593A (zh) * | 2007-04-30 | 2007-10-03 | 深圳市深信服电子科技有限公司 | 通过自组域简化部署vpn网络的方法 |
| US8230050B1 (en) * | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2536323B (en) | 2021-03-31 |
| CN111988214B (zh) | 2022-04-15 |
| US9419944B2 (en) | 2016-08-16 |
| WO2016071738A1 (en) | 2016-05-12 |
| GB201517597D0 (en) | 2015-11-18 |
| GB2536323A (en) | 2016-09-14 |
| US20160134590A1 (en) | 2016-05-12 |
| CN111988214A (zh) | 2020-11-24 |
| CN106797346A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106797346B (zh) | 用于在vpn管理服务器处建立vpn连接的方法和系统 | |
| US9876764B2 (en) | Methods and systems for establishing VPN connections at a VPN gateway | |
| US10944630B2 (en) | Seamless automation of network device migration to and from cloud managed systems | |
| CN110830357A (zh) | 使用高级拓扑描述的多云虚拟计算环境供应 | |
| US11095517B2 (en) | Method and system for secure zero touch device provisioning | |
| EP3643013B1 (en) | Validation of layer 3 bridge domain subnets in a network | |
| EP3643011B1 (en) | Network validation between the logical level and the hardware level of a network | |
| CN104969517A (zh) | 针对有限用户损坏的自动控制平面 | |
| US8925066B2 (en) | Provisioning proxy for provisioning data on hardware resources | |
| US11362889B2 (en) | System and method for automated information technology services management | |
| US9935834B1 (en) | Automated configuration of virtual port channels | |
| US11716250B2 (en) | Network scale emulator | |
| US20230109231A1 (en) | Customizable network virtualization devices using multiple personalities | |
| CN111464334A (zh) | 软件定义广域网系统下实现终端设备管理的系统、方法、及服务器 | |
| JP7437409B2 (ja) | 設定装置、通信システム、設定方法、及びプログラム | |
| CN112468448A (zh) | 通信网络的处理方法、装置、电子设备和可读存储介质 | |
| US20150127788A1 (en) | Centralized enterprise image upgrades for distributed campus networks | |
| US20210406274A1 (en) | Systems and methods for database delta automation | |
| US11856117B1 (en) | Autonomous distributed wide area network having control plane and order management on a blockchain | |
| Boroufar | Software Delivery in Multi-Cloud Architecture | |
| US9304800B1 (en) | Using virtual provisioning machines to provision devices | |
| US20240129185A1 (en) | Secure bi-directional network connectivity system between private networks | |
| JP7437408B2 (ja) | 設定装置、通信システム、設定方法、及びプログラム | |
| EP4307636A1 (en) | Rapid error detection through command validation | |
| US20230319021A1 (en) | Agent-based establishment of secure connection between endpoints and cloud servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |