-
Gebiet der
Erfindung
-
Die
vorliegende Erfindung bezieht sich auf Verfahren, Computerprogramme
und Vorrichtungen zum Verarbeiten von Anforderungen für Identifizierungsdaten
für einen
Zielknoten, um dadurch zu ermöglichen,
dass eine Anwenderanforderung bedient wird. Insbesondere, aber nicht
ausschließlich,
bezieht sich die vorliegende Erfindung auf Verfahren, Computerprogramme
und Vorrichtungen zum Verarbeiten einer oder mehrerer Anforderungen,
die durch einen Autorisierungs-/Authentisierungsserver für Daten
empfangen werden, die ermöglichen,
dass zu irgendeinem von mehreren Zielknoten eines virtuellen privaten
Datennetzes ein Tunnel aufgebaut wird.
-
Hintergrund
-
In
einer typischen Anordnung zur Bereitstellung von Zugriff auf Datennetze
verbindet sich der Endanwender eines Client-Endgeräts mit einem Netzzugriffsserver
(NAS) eines Zugangsdiensteanbieters, der wiederum mit einem gewählten Knoten eines
Datennetzes wie etwa mit einem Inhaltsserver oder mit einem Heimat-Gateway
(HG) eines privaten Netzes verbindet. Die Verbindung zwischen dem
Client-Endgerät
und dem NAS verwendet allgemein das Punkt-zu-Punkt-Protokoll (PPP).
Dagegen verwendet die Verbindung zwischen dem NAS und dem gewählten Knoten,
die eine Verbindung über
ein paketvermitteltes Datennetz wie etwa das Internet ist, allgemein
das Internetprotokoll (IP).
-
Dort,
wo Zugriff auf ein virtuelles privates Datennetz (VPDN) bereitgestellt
wird, verwendet die Verbindung zwischen dem NAS und dem gewählten Knoten
außerdem
ein Tunnelprotokoll wie etwa das Schicht-Zwei-Weiterleitungsprotokoll
(L2F-Protokoll) oder das Schicht-Zwei-Tunnelprotokoll (L2TP-Protokoll).
In der VDPN-Terminologie heißt
es, dass der NAS zu dem HG des VPDN einen Tunnel über das Datennetz
aufbaut. Häufig
sind in einem VDPN mehrere HGs vorgesehen, um einen Dienst für größere Anzahlen
gleichzeitiger Anwender bereitzustellen. Die Ansammlung mehrerer
HGs ist als ein Cluster von HGs bekannt. Wenn der NAS unter Verwendung eines
Clusters von HGs Zugriff auf mehrere gleichzeitige Endanwender eines
VPDN bereitstellt, baut er typisch mehrere Tunnel zu verschiedenen
Gateways des Clusters auf. Dies dient dazu, Lastverteilung und Elastizität bereitzustellen.
Im Allgemeinen haben Zugangsanbieter mehrere NAS, so dass sie den
Dienst für
große
Anzahlen gleichzeitiger Endanbieter bereitstellen können.
-
Wenn
sich das Client-Endgerät
erstmals mit einem NAS verbindet, muss der NAS einige Prüfungen ausführen, bevor
er Zugriff auf das VPDN bereitstellen kann. Diese Prüfungen enthalten
die Authentisierung des Endanwenders des Client-Endgeräts, die
Prüfung
der Autorisierung des Endanwenders zur Verwendung der Dienste des
Zugangsanbieters und den Aufbau eines geeigneten Mechanismus zur Rechnungslegung
an den Endanwender für
diese Verwendung. Diese drei Funktionen werden gelegentlich als
Authentisierung, Autorisierung und Abrechnung (AAA) beschrieben.
Ein Zugang zur Realisierung der AAA-Funktionalität ist das Verbinden der NAS über eine
Datenübertragungsstrecke
mit einem oder mit mehreren weiteren Servern, der/die die Authentisierungs-,
Autorisierungs- und Abrechnungsfunktionen behandelt/behandeln. Das
Industrienormprotokoll zur Bereitstellung der AAA-Funktionalität für den Internetzugang
und für
Internetdiensteanwender ist der Fernauthentisierungs-Einwähl-Anwenderdienst
(RADIUS), wobei ein Server, der zu dem Proto koll konform ist, als
ein RADIUS-Server bekannt ist. Im Allgemeinen haben Zugangsanbieter
viele RADIUS-Server, die mit ihren NAS verbunden sind, um Lastverteilung
und Elastizität
bereitzustellen. Wo ein Zugangsanbieter mehr als einen RADIUS-Server
besitzt, ist es erwünscht,
dass sie funktional austauschbar sind, so dass irgendein NAS irgendeinen
RADIUS-Server verwenden kann, wobei der bereitgestellte Dienst funktional
völlig
gleich ist.
-
Das
RADIUS-Protokoll wird durch die Internet Engineering Task Force
(IETF) gepflegt und ist in RFC 2138 (Basisprotokoll) und in RFC
2139 (Abrechnungserweiterungen) dokumentiert, wobei diese Dokumente
hier durch Literaturhinweis eingefügt sind. Änderungen an dem RADIUS-Protokoll
sind in dem IETF-Internet-Entwurf draft-ietfradius-v2-06.txt vorgeschlagen
worden. Diese drei Dokumente sind von der IETF unter http://ietf.org
verfügbar.
Ein Verfahren zum Verarbeiten von Zugriffsanforderungen auf eine NAS/RADIUS-Serveranordnung
ist in der europäischen
Patentveröffentlichung
EP-A-1 104 142 beschrieben.
-
Bei
einem Endanwender, der sich über
einen Zugangsanbieter mit einem VPDN verbinden möchte, hält jeder RADIUS-Server allgemein
die IP-Adressen, die den HGs des VPDN entsprechen. Normalerweise
erhält
der Endanwender eine Telephonnummer, die dem Zugangsanbieter entspricht,
sowie einen Anwendernamen und ein Kennwort oder weitere Sicherheitsdaten.
Der Endanwender wählt
sich unter Verwendung seines Client-Endgeräts bei dem Zugangsanbieter
ein, wird mit einem NAS verbunden und liefert daraufhin seinen Anwendernamen
und sein Kennwort. Der NAS konsultiert unter Verwendung dieser Informationen
einen RADIUS-Server, um den Endanwender zu authentisieren/autorisieren, und
baut die notwendigen Ab rechnungsprozeduren auf. Außerdem stellt
der RADIUS-Server für
den NAS die IP-Adressen der HGs bereit, zu denen ein Tunnel aufzubauen
ist. Die Kommunikation zwischen dem NAS und dem RADIUS-Server folgt dem
Client/Server-Modell, wobei der NAS eine Anforderung an den RADIUS-Server übergibt,
der wiederum eine Antwort liefert.
-
Eine
Beschränkung
des RADIUS-Protokolls ist, dass es lediglich eine Antwortzeichenfolge
von bis zu maximal 253 Zeichen zulässt. Dagegen werden IP-Adressen
in der Dezimalpunktschreibweise, z.B. 132.252.13.255, ausgedrückt. In
der Praxis gibt dies eine Beschränkung
von annähernd
12 bis 16 IP-Adressen, die spezifiziert werden können, ohne auf Kompressionstechniken
auszuweichen. Da Gateways zu Datennetzen einschließlich HGs
eines VPDN nur eine beschränkte
Anzahl gleichzeitiger Anwender (derzeit maximal annähernd 1000
bis 1500 gleichzeitige Anwender) behandeln können, führt diese Beschränkung des
RADIUS-Protokolls zu einer Grenze der Anzahl gleichzeitiger Anwender, denen über einen
Zugangsanbieter Zugriff auf ein Datennetz wie etwa ein VPDN bereitgestellt
werden kann.
-
Darüber hinaus
führen
die Betriebssysteme, die von momentan kommerziell verfügbaren NAS verwendet
werden, wie etwa jene, die von der Cisco Systems, Inc. (TM), und
von der Lucent Technologies, Inc. (TM), verfügbar sind, zu einer strengeren Beschränkung dahingehend,
dass der NAS von dem RADIUS-Server nur eine Antwortzeichenfolge
von bis zu 80 Zeichen annehmen kann, um die HGs eines VPDN zu spezifizieren.
In der Praxis heißt
das, dass der RADIUS-Server nur etwa 4 IP-Adressen bereitstellen
kann, die den HGs eines VPDN entsprechen. Dies beschränkt die
Anzahl gleichzeitiger Anwen der des VPDN auf maximal annähernd 6000.
-
Die
oben identifizierten Beschränkungen stellen
erhebliche Probleme bei der Bereitstellung des Zugriffs auf Datennetze
oder bei der Bedienung von Datennetzen wie etwa VPDN, die eine größere Anzahl
gleichzeitiger Anwender erfordern, dar. Die vorliegende Erfindung
schafft eine Lösung
zu diesen Problemen.
-
Colajanni,
M., u.a.: "Scheduling
Algorithms for Distributed Web Servers", Proceedings of the International Conference
on Distributed Computing Systems, USA, Los Alamitos, CA: IEEE, 27.
Mai 1997 (1997-05-27), S. 169–176,
XP000793033, ISBN: 0-8186-7814-3, beschreibt und vergleicht mehrere
verschiedene Verfahren, durch die ein Domänennamenserver in Reaktion
auf eine Anforderung zur Bereitstellung einer IP-Adresse, die einer übergebenen
URL entspricht, von einer ähnlichen
Anforderung zu einer weiteren eine andere IP-Adresse bereitstellt, um die Last effizient
zwischen mehreren "Spiegel"-Hostings eines besonderen
Betriebsmittels zu verteilen.
-
EP 0 919 912 beschreibt
ein Mehrserversystem, in dem eine kleine Untergruppe der Gesamtzahl von
Servern in dem Netz dazu verwendet werden, Duplikatkopien der Dateien
zu halten, um Sicherungen bereitzustellen. Jeder Client unterhält eine
Liste verfügbarer
Server, die Duplikatkopien der den Anwender jedes Clients interessierenden
Dateien (dessen Interessen als eine Gruppe von Präferenzen
für den
Anwender gespeichert sind) halten. Wenn sich ein Anwender mit einem
solchen Server verbindet, sendet er eine Liste verfügbarer Server,
die lokal bei dem Client gespeichert wird. Falls ein Server in der Liste
nicht verfügbar
ist, versucht der Client, sich mit einem weiteren der Server in
der Liste zu verbinden.
-
Zusammenfassung
der Erfindung
-
Gemäß einem
ersten Aspekt der vorliegenden Erfindung wird ein Verfahren geschaffen,
wie es in Anspruch 1 dargelegt ist.
-
Gemäß einem
zweiten Aspekt der vorliegenden Erfindung wird ein Computerprogramm
geschaffen, wie es in Anspruch 14 dargelegt ist.
-
Gemäß einem
dritten Aspekt der vorliegenden Erfindung wird ein Server-Computer
geschaffen, wie er in Anspruch 16 dargelegt ist.
-
Ein
Vorteil der vorliegenden Erfindung ist, dass sie ermöglicht,
dass Zugangsanbieter Zugriff auf Datennetze oder einen Dienst für Datennetze
wie etwa ein VPDN bereitstellen, die eine größere Anzahl von HGs als herkömmlich möglich umfassen,
wodurch Zugriff für
eine größere Anzahl
gleichzeitiger Endanwender bereitgestellt wird, als es herkömmlich möglich ist.
-
Es
folgt nun lediglich beispielhaft eine ausführliche Beschreibung bevorzugter
Ausführungsformen
der vorliegenden Erfindung, in der:
-
Kurzbeschreibung der Zeichnung
-
1 eine
einfache Anordnung von Datenverarbeitungselementen zur Bereitstellung
eines Zugriffs auf ein VPDN für
einen Endanwender zeigt;
-
2 eine
allgemeinere Anordnung von Datenverarbeitungselementen zur Bereitstellung
eines Zugriffs auf ein VPDN für
einen Endan wender zeigt;
-
3 ein
Zeitablaufplan ist, der eine typische Folge von Wechselwirkungen
zwischen Datenverarbeitungselementen zeigt, die daran beteiligt sind,
eine Datenübertragungsstrecke
aufzubauen, um für
einen Endanwender Zugriff auf ein VPDN bereitzustellen;
-
4 eine
Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche
Anforderungen gemäß einer
ersten, einer zweiten und einer dritten Ausführungsform der vorliegenden
Erfindung zeigt; und
-
5 eine
Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche
Anforderungen gemäß einer
vierten, einer fünften
und einer sechsten Ausführungsform
der vorliegenden Erfindung zeigt.
-
Ausführliche
Beschreibung von Ausführungsformen der
vorliegenden Erfindung
-
1 zeigt
eine einfache Anordnung von Datenverarbeitungselementen, die für einen
Endanwender Zugriff auf ein VPDN bereitstellen. Ein Client-Endgerät 10 ist über eine
PPP-Übertragungsstrecke 20 mit
einem NAS 30 verbunden. Die physische Übertragungsstrecke wird typisch
durch das öffentliche
Fernsprechwählnetz
(PSTN) mit einem Paar Modems (nicht gezeigt) an jedem Ende der Verbindung bereitgestellt.
Alternativ kann die physische Verbindung über eine Verbindung eines diensteintegrierenden
digitalen Fernmeldenetzes (ISDN) oder über ein digitales Teilnehmerleitungssystem
(DSL) wie etwa über
ein asynchrones DSL (ADSL) bereitgestellt werden.
-
Der
NAS 30 ist über
eine Datenübertragungsstrecke 40 mit
einem RADIUS-Server 50 verbunden. Der NAS 30 und
der RADIUS-Server 50 kommunizieren typisch unter Verwendung
des Anwenderdatagrammprotokolls über
das Internetprotokoll (UDP/IP). Dies stellt einen schnellen Dienst
zur Übertragung
von Verkehr mit hohem Volumen zwischen dem NAS 30 und dem
RADIUS-Server 50 bereit. Der RADIUS-Server 50 enthält außerdem eine oder
mehrere Datenbanken zum Speichern der IP-Adressen der HGs des VPDN
und zum Unterhalten von Daten, die die Verwendung des Dienstes durch
den Endanwender betreffen, für
Abrechnungs- und andere Zwecke.
-
Bei
der Bereitstellung von Zugriff auf ein VPDN baut der NAS 30 unter
Verwendung eines Tunnelprotokolls wie etwa L2F oder L2TP über das
Internet 70 einen Tunnel 60 zu einem HG 80 des
VPDN auf. Der NAS 30 kann unter Verwendung des Tunnels 60 für den Endanwender
des Client-Endgeräts 10 Zugriff
auf das VPDN bereitstellen. Dort, wo das VPDN so beschaffen ist,
dass es seine eigene AAA-Funktionalität bereitstellt, ist das HG 80 in
der gleichen Weise wie oben beschrieben über eine Datenübertragungsstrecke 48 mit
dem RADIUS-Server 90 verbunden.
-
2 zeigt
eine allgemeinere Anordnung von Datenverarbeitungselementen zur
Bereitstellung eines Zugriffs auf ein VPDN für einen Endanwender, wie sie
etwa von einem typischen Zugangsanbieter verwendet werden kann.
Die Anordnung umfasst eine Zugangsanbieterdomäne 32 und eine VPDN-Domäne 82.
Die Zugangsanbieterdomäne 32 umfasst
zwei Cluster von NAS 34 und 36, die sich bei zwei Übergabepunkten
(PoPs) befinden können.
Zugangsanbieter lokalisieren PoPs typisch an verschiedenen geographischen
Orten, um einen Dienst für
lokale Endanwender bereitzustellen. In der Zugangsanbieterdomäne 32 sind
die NAS-Cluster 34 und 36 jeweils unter Verwendung
einer UDP wie oben beschrieben über
Datenübertragungsstrecken 42 mit zwei
RADIUS-Servern 52 und 54 verbunden. Die RADIUS-Server 52 und 54 können sich
oder können sich
nicht bei den zwei PoPs befinden. Allerdings ist im Allgemeinen
jeder NAS des NAS-Clusters 34 und 36 für die Lastverteilung
und Elastizität
mit jedem RADIUS-Server verbunden. Jeder NAS wählt, wenn er AAA-Dienste anfordert,
gemäß einem
vorgegebenen Auswahlalgorithmus einen der RADIUS-Server aus.
-
Die
VPDN-Domäne 82 umfasst
mehrere in einem HG-Cluster 84 angeordnete HGs, die über Datenübertragungsstrecken 44 und 46 mit
zwei RADIUS-Servern 92 und 94 verbunden sind.
Die RADIUS-Server 92 und 94 stellen in der gleichen
Weise, wie die RADIUS-Server 52 und 54 eine AAA-Funktionalität für den Zugangsanbieter
bereitstellen, eine AAA-Funktionalität für das VPDN bereit. Irgendeiner der
NAS der NAS-Cluster 34 und 36 kann Tunnel wie etwa 62 und 64 zu
irgendeinem der HGs des HG-Clusters 84 aufbauen.
-
Ein
Endanwender eines Client-Endgeräts
(in dieser Figur nicht gezeigt) kann sich mit irgendeinem der NAS
der NAS-Cluster 34 und 36 verbinden. Der Zugangsanbieter
ordnet typisch jedem NAS-Cluster in einem PoP eine örtliche
Telephonnummer zu. Ein Endanwender wählt unter Verwendung seines
Client-Endgeräts
eine dieser Nummern und wird mit einem der NAS, der aus dem entsprechenden NAS-Cluster
gewählt
wird, verbunden. Der gewählte NAS
authentisiert und prüft
durch Konsultation eines der RADIUS-Server 52 und 54 die
Autorisierung des Endanwenders. Falls der Endanwender erfolgreich ist,
stellt der NAS durch Aufbau eines Tunnels zu einem der aus dem HG-Cluster 84 gewählten HGs
einen Zugriff auf das VPDN bereit. Das HG wird durch den NAS aus
einer durch den autorisierenden RADIUS-Server bereitgestellten Liste
gewählt.
Diese Liste enthält
die IP-Adressen der entsprechenden aus dem HG-Cluster 84 gewählten HGs.
Die IP-Adressen der HGs des VPDN, die dem bestimmten Endanwender
entsprechen, sind im Voraus in die Datenbanken der RADIUS-Server 52 und 54 programmiert
worden.
-
3 zeigt
eine typische Folge von Wechselwirkungen zwischen den verschiedenen
Datenverarbeitungselementen, die an der Bereitstellung eines Zugriffs
auf ein VPDN für
einen Endanwender beteiligt sind. Obgleich die Folge von Wechselwirkungen
selbstverständlich
auf andere Anordnungen von Datenverarbeitungselementen wie etwa
die oben anhand von 2 beschriebene allgemeinere
Anordnung zutrifft, wird die oben anhand von 1 beschriebene
einfache Anordnung von Datenverarbeitungselementen angenommen. Die
vertikalen Linien repräsentieren
in 3 die verschiedenen beteiligten Datenverarbeitungselemente:
das Client-Endgerät 10,
den NAS 30, den mit dem NAS verbundenen RADIUS-Server 50,
das HG 80 und den mit dem HG verbundenen RADIUS-Server 90.
Die Querpfeile repräsentieren
Anforderungs-Antwort-Transaktionen, die zwischen den verschiedenen
Datenverarbeitungselementen stattfinden.
-
In
Schritt 100 fordert das Client-Endgerät 10 durch Übergabe
einer Nachricht an den NAS 30 den Aufbau einer PPP-Verbindung
an. In Schritt 102 antwortet der NAS 30 durch
Senden einer Abfrage unter Verwendung des Abfragequittungsaustausch-Authentisierungsprotokolls
(CHAP) an das Client-Endgerät 10.
Daraufhin gibt der Endanwender Informationen wie etwa seinen Anwendernamen,
der einen Anwendernamenteil und einen Domänennamenteil umfasst, und ein Kennwort
beim Client-Endgerät 10 an,
die in Schritt 104 in Form einer CHAP-Antwort zum NAS 30 weitergeleitet
werden. In Schritt 106 übergibt
der NAS 30 eine Zugriffsanforderungsnachricht an den RADIUS-Server 50.
Die Zugriffsanforderungsnachricht enthält Informationen, die den Endanwender
des Client-Endgeräts 10 identifizieren,
wie etwa den vollständigen
Anwendernamen, den gemeinsamen Domänennamenteil des Anwenders oder
alternativ unter Verwendung des Wählnummerinformationsdienstes
(DNIS) die Telephonnummer, von der sich das Client-Endgerät eingewählt hat.
-
In
Schritt 108 führt
der RADIUS-Server 50 in Reaktion auf die Zugriffsanforderungsnachricht
unter Verwendung der bereitgestellten Endanwender-Identifizierungsinformationen
eine Datenbankabfrage ab, um den Endanwender zu authentisieren,
die Autorisierung des Endanwenders zu prüfen und, falls er autorisiert
ist, IP-Adressen bereitzustellen, die den HGs des VPDN entsprechen.
Die IP-Adressen der HGs des VPDN, die dem bestimmten Endanwender
entsprechen, sind zuvor in die Datenbank des RADIUS-Servers 50 programmiert
worden. Falls der Endanwender erfolgreich ist, sendet der RADIUS-Server 50 in
Schritt 110 eine Zugriffsannahmenachricht an den Zugriffsserver 30.
Diese Nachricht enthält
die gewählten
IP-Adressen der HGs des VPDN, zu denen ein Tunnel aufzubauen ist.
Falls der Endanwender erfolglos ist, sendet der RADIUS-Server 50 eine Zugriffszurückweisungsnachricht
an den Zugriffsserver 30. Daraufhin kann der Zugriffsserver 30 unter Verwendung
anderer Endanwender-Identifizierungsinformationen
eine weitere Zugriffsanforderungsnachricht an den RADIUS-Server 50 senden,
wobei der Prozess wiederholt werden kann, bis der Zugriff entweder
angenommen oder endgültig
zurückgewiesen
wird.
-
Bei
Realisierungen unter Verwendung von NAS, die durch die Cisco Systems,
Inc. (TM), bereitgestellt werden, folgt die Authentisierungsfolge
einem Dreiphasenmodell. Von dem NAS werden der Reihe nach bis zu
drei Zugriffsanforderungsnachrichten an den RADIUS-Server gesendet,
um den Endanwender zu authentisieren/autorisieren. Der erste Versuch
verwendet den DNIS – d.h.
die Einwahltelephonnummer –,
um den Anwender zu identifizieren; falls dies fehlschlägt, verwendet
der zweite Versuch den Domänenteil
des Anwendernamens; falls dies fehlschlägt, verwendet der dritte und
letzte Versuch den vollständigen
Anwendernamen. Falls der dritte Versuch fehlschlägt, wird der Zugriff verweigert.
-
Unter
der Annahme, dass der Endanwender wie oben erwähnt erfolgreich ist, enthält die Zugriffsannahmenachricht
die IP-Adressen der HGs des VPDN, zu denen ein Tunnel aufzubauen
ist. Wegen der oben erwähnten
Beschränkungen
an die Länge
der durch den RADIUS-Server übertragbaren Zugriffsanforderungsnachricht
und an die Länge
der akzeptablen Nachrichten zu bestimmten kommerziell verfügbaren NAS
kann es sein, dass in der Zugriffsannahmenachricht nur die IP-Adressen
einer gewählten
Untergruppe der HGs des VPDN bereitgestellt werden. Dagegen werden
in Reaktion auf aufeinander folgende Zugriffsanforderungen, wie
im Folgenden ausführlicher
beschrieben wird, IP-Adressen bereitgestellt, die verschiedenen
HGs der gesamten Gruppe der HGs entsprechen.
-
Nachdem
der NAS 30 die Zugriffsannahmenachricht empfangen hat,
sendet er in Schritt 112 eine Abrechnungsanforderungsnachricht
an den RADIUS-Server 50, der in Schritt 114 mit
einer Abrechnungsantwortnachricht zur Bestätigung antwortet. Gleichzeitig
baut der NAS 30 in Schritt 116 unter Verwendung
eines Tunnelprotokolls wie etwa L2F oder L2TP einen Tunnel zu dem
HG 80 des VPDN auf, der aus den HG-IP-Adressen gewählt wird,
die in der Zugriffsannahmenachricht in Schritt 110 bereitgestellt worden
sind. Der NAS 30 verwendet einen Algorithmus, um zu wählen, zu
welchem der HGs ein Tunnel aufzubauen ist. In Schritt 118 antwortet
das HG 80, d.h. das gewählte
HG, dem NAS 30, wobei es den Aufbau des Tunnels bestätigt.
-
In
Schritt 120 wiederholt der NAS 30 die ursprünglich in
Schritt 100 durch das Client-Endgerät 10 gesendete Anforderung
für den
Aufbau einer PPP-Verbindung. Dagegen wird die Anforderung in Schritt 120 vom
NAS 30 durch den Tunnel an das HG 80 des VPDN übergeben.
In Schritt 122 übergibt
das HG 80 an den RADIUS-Server 90 des VPDN eine
Zugriffsanforderungsnachricht, die seine Datenbank abfragt. Falls
der Endanwender erfolgreich ist, übergibt der RADIUS-Server 90 in
Schritt 124 an das HG 80 eine Zugriffsannahmenachricht,
wobei das HG 80 in Schritt 126 den Aufbau der
PPP-Verbindung zum Client-Endgerät 10 durch Übergabe
von Informationen, die eine dem Client-Endgerät 10 zugewiesene IP-Adresse
enthalten, über
den Tunnel und über
das Client-Endgerät 10 abschließt. Dies
schließt
den Aufbau der Datenübertragungsstrecke,
um für
den Endanwender Zugriff auf das VPDN bereitzustellen, ab.
-
Erste, zweite und dritte
Ausführungsform
der vorliegenden Erfindung
-
Anhand
von 4 werden nun Verfahren zum Auswählen einer
Untergruppe der gesamten Gruppe der HGs eines VPDN beschrieben.
Obgleich selbstverständlich
andere Anordnungen von Datenverarbeitungselementen wie etwa die
oben anhand von 2 beschriebenen allgemeineren
Anordnungen möglich
sind, wird die oben in 1 be schriebene einfache Anordnung
der Datenverarbeitungselemente angenommen. Für Veranschaulichungszwecke
wird angenommen, dass der HG-Cluster des VPDN sechs HGs umfasst,
die durch die Buchstaben A, B, C, D, E und F dargestellt sind, und
dass der RADIUS-Server 50 in
einer einzelnen Zugriffsannahmenachricht für den NAS 30 nur IP-Adressen
bereitstellen kann, die nur vier der HGs des VPDN entsprechen.
-
4 zeigt
eine Listenstruktur und eine Gruppe aufeinander folgender Antworten
auf ähnliche
Anforderungen gemäß einer
ersten, zweiten und dritten Ausführungsform
der vorliegenden Erfindung. Der RADIUS-Server 50 unterhält für jeden
Endanwender oder für
jede Gruppe von Endanwendern, für die
Zugriff auf das VPDN bereitzustellen ist, eine Ringliste 200.
Die Ringliste 200 umfasst als ihre Elemente die IP-Adressen
jedes der HGs des VPDN. Die Ringliste 200 hat keine Wiederholungen.
Außerdem
unterhält
der RADIUS-Server 50 für
jeden solchen Endanwender oder für
jeden solchen Satz von Endanwendern einen Zeiger 202.
-
Gemäß der ersten
Ausführungsform
der vorliegenden Erfindung wird der Zeiger 202 bei der
Initialisierung oder beim Zurücksetzen
des RADIUS-Servers 50 so eingestellt, dass er auf ein erstes
Element der Liste 200 wie etwa auf das HG A zeigt. Der
RADIUS-Server 50 wählt,
beginnend mit dem durch den Zeiger 202 angegebenen Element,
für jede
empfangene erfolgreiche Zugriffsanforderungsnachricht vier aufeinander
folgende IP-Adressen aus der Ringliste 200 aus. Diese vier
IP-Adressen werden in der Antwort-Zugriffsannahmenachricht an den
NAS 30 gesendet. Daraufhin wird der Zeiger 202 auf
das nächste
darauf folgende Element in der Ringliste 200 eingestellt.
-
Die
Tabelle 230 zeigt die IP-Adressen, die in sieben aufeinander
folgenden Zugriffsannahmenachrichten bereitgestellt werden. Bei
einem Zeiger 202, der anfangs auf das HG A eingestellt
ist, stellt die erste Zugriffsannahmenachricht die IP-Adressen für die HGs
A, B, C und D bereit, wie sie in Zeile 1 von Tabelle 230 gezeigt
sind. Die zweite Zugriffsannahmenachricht stellt die IP-Adressen
für die
HGs B, C, D und E bereit usw., bis sich der Zyklus bei der siebenten
Zugriffsannahmenachricht wiederholt. Somit kann der RADIUS-Server 50 über eine
Gruppe von sechs aufeinander folgenden Zugriffsannahme-/Zugriffsannahmetransaktionen
für den
NAS 30 IP Adressen bereitstellen, die allen sechs HGs des VPDN
entsprechen. Darüber
hinaus ist die Gewichtung zwischen den sechs HGs gleich, wobei jeder Platz
in der Liste der in jeder einzelnen Zugriffsannahmenachricht bereitgestellten
IP-Adressen durch die IP-Adresse jedes der HGs genau einmal belegt ist.
-
Falls
der RADIUS-Server 50 richtig funktioniert, schafft dieses
Verfahren eine gleiche Lastverteilung der HGs A bis F über die
Zeit, während
es weiter Elastizität
sicherstellt, falls eines der HGs nicht funktioniert, indem jede
Zugriffsannahmenachricht vier verschiedene HGs bereitstellt, mit
denen der NAS 30 einen Tunnel aufbauen kann. Dagegen kann es
in einer Situation, in der Probleme mit dem RADIUS-Server 50 auftreten
wie etwa unvorhergesehene Fehler, die erfordern, dass der RADIUS-Server
periodisch zurückgesetzt
wird, vorteilhaft sein, für
den NAS 30 IP-Adressen bereitzustellen, die einer zufällig gewählten Untergruppe
der gesamten Gruppe von HGs des VPDN entsprechen.
-
Gemäß einer
zweiten Ausführungsform
der vorliegenden Erfindung, die eine Variante der ersten Ausführungsform
ist, wird der Zeiger 202 jedes Mal, wenn eine Zugriffsannahmenachricht
umgesetzt worden ist, so eingestellt, dass er zufällig auf
eines der Elemente der Ringliste 200 zeigt. Somit werden
für jede
Zugriffsannahmenachricht aus der Ringliste 200 IP-Adressen
bereitgestellt, die vier aufeinander folgenden HGs entsprechen,
wobei aber das erste Element zufällig
gewählt
wird. Somit kann der RADIUS-Server 50 trotz der Möglichkeit,
dass er möglicherweise
gelegentlich zurückgesetzt
werden muss, über
eine ausreichend lange Folge von Zugriffsanforderungs-/Zugriffsannahmetransaktionen
für den
NAS 30 die IP-Adressen aller sechs HGs des VPDN wie oben
beschrieben gleichmäßig verteilt
bereitstellen.
-
Gemäß einer
dritten Ausführungsform
der vorliegenden Erfindung, die eine Variante der zweiten Ausführungsform
ist, wird der Zeiger 202 wie zuvor beschrieben zufällig angeordnet,
dies aber nur unmittelbar nach der Initialisierung oder nach dem
Zurücksetzen
des RADIUS-Servers 50. Nachdem der Zeiger 202 anfangs
zufällig
angeordnet worden ist, schreitet er wie oben in Bezug auf die erste
Ausführungsform
beschrieben aufeinander folgend durch die Ringliste 200 fort.
Dieses Verfahren schafft dahingehend einen Kompromiss zwischen den
Zielen der ersten und der zweiten Ausführungsform, dass die durch
die Notwendigkeit zum Zurücksetzen
des RADIUS-Servers 50 verursachten Lastverteilungsprobleme
durch das anfangs zufällige
Anordnen des Zeigers 202 behandelt werden, während nach
Initialisierung oder Zurücksetzen
durch den fortschreitenden Zeiger 202 aufeinander folgend über eine
solche Liste 200 eine gleichmäßig verteilte Lastverteilung
in einem feineren Maßstab
erzielt wird.
-
Vierte, fünfte und
sechste Ausführungsform
-
Anhand
von 5 werden nun Verfahren zum Auswählen einer
Untergruppe der gesamten Gruppe von HGs eines VPDN beschrieben.
Obgleich selbstverständlich
andere Anordnungen der Datenverarbeitungselemente wie etwa die oben
anhand von 2 beschriebenen allgemeineren
Anordnungen möglich
sind, wird wieder die oben anhand von 1 beschriebene
einfache Anordnung von Datenverarbeitungselementen angenommen. Für Veranschaulichungszwecke
wird wieder angenommen, dass der HG-Cluster des VPDN sechs HGs umfasst, die
durch die Buchstaben A, B, C, D, E und F dargestellt sind, und dass
der RADIUS-Server 50 in einer einzelnen Zugriffsannahmenachricht
für den
NAS 30 nur IP-Adressen bereitstellen kann, die nur vier
der HGs des VPDN entsprechen.
-
5 zeigt
eine Listenstruktur und eine Gruppe aufeinander folgender Antworten
auf ähnliche
Anforderungen gemäß der vierten,
fünften
und sechsten Ausführungsform
der vorliegenden Erfindung, die jeweils Varianten der oben beschriebenen ersten,
zweiten und dritten Ausführungsform
sind. Wie zuvor unterhält
der RADIUS-Server 50 für
jeden Endanwender oder für
jede Gruppe von Endanwendern, für
die Zugriff auf das VPDN bereitgestellt werden soll, eine Ringliste 220.
Wie zuvor umfasst die Ringliste 220 die IP-Adressen jedes
der HGs des VPDN als ihre Elemente. Allerdings hat die Ringliste 220 anders
als die Ringliste 200 Wiederholungen – z.B. erscheinen die HGs A
und B beide zweimal. Außerdem
unterhält
der RADIUS-Server 50 für
jeden Endanwender oder für
jede Gruppe von Endanwendern einen Zeiger 222. Die Funktion
des Zeigers 222 für
die vierte, fünfte
und sechste Ausführungsform
ist wie bei dem oben gemäß der ersten,
zweiten und dritten Ausführungsform
in dieser Reihenfolge be schriebenen Zeiger 202. Allerdings
erzeugt die Anwesenheit von Wiederholungen in der Ringliste 220 eine
Gewichtung der in einer Reihe von Zugriffsannahmenachrichten gelieferten
IP-Adressen der HGs. Dies ist nützlich,
falls einige HGs eines VPDN gegenüber anderen bevorzugt werden
sollen, falls z.B. einige HGs größere Anzahlen
gleichzeitiger Endanwender als andere behandeln können. Darüber hinaus
ist die Ringliste 220 so gewählt worden, dass trotz der Wiederholungen
irgendeine Auswahl von vier aufeinander folgenden Elementen der
Liste vier verschiedene HGs enthält.
Somit gibt es, wenn der RADIUS-Server 50 die IP-Adressen
von vier aufeinander folgenden Elementen der Ringliste an den NAS 30 sendet,
vier verschiedene IP-Adressen,
die vier verschiedenen HGs für
den NAS 30 entsprechen, um daraus ohne verschwenderische
Wiederholungen zu wählen.
-
Die
Tabelle 230 zeigt die IP-Adressen, die gemäß der vierten
Ausführungsform
der vorliegenden Erfindung in sieben aufeinander folgenden Zugriffsannahmenachrichten
bereitgestellt werden. Wenn der Zeiger 222 anfangs auf
das HG A eingestellt ist, liefert die erste Zugriffsannahmenachricht, wie
in Zeile 1 von Tabelle 230 gezeigt ist, die IP-Adressen
für die
HGs A, B, C und D. Die zweite Zugriffsannahmenachricht liefert die
IP-Adressen für die
HGs B, C, D und A usw., bis sich der Zyklus bei der neunten Zugriffsannahmenachricht
wiederholt. Somit kann der RADIUS-Server 50 über eine
Gruppe von acht aufeinander folgenden Zugriffsannahme-/Zugriffsannahmetransaktionen
IP-Adressen für den
NAS 30 bereitstellen, die allen sechs HGs des VPDN entsprechen.
Dagegen ist die Gewichtung zwischen den sechs HGs nicht gleichmäßig, wobei die
HGs A und B zweimal so häufig
wie die HGs C, D, E und F vorkommen.
-
Da
der Zeiger 222 in der vierten, fünften und sechsten Ausfüh rungsform
die gleiche Funktion wie der Zeiger 202 in der ersten,
zweiten und dritten Ausführungsform
ausführt,
ist die vierte Ausführungsform wie
oben beschrieben anfällig
für einen
Ausfall des RADIUS-Servers 50. Dagegen behandeln die fünfte und
die sechste Ausführungsform
ebenso wie die zweite und die dritte Ausführungsform die Möglichkeit
des RADIUS-Server-Ausfalls, nur dass die Gewichtung zwischen den
HGs über
eine ausreichend lange Folge von Zugriffsanforderungs-/Zugriffsannahmetransaktionen
nicht gleichmäßig ist,
wobei die HGs A und B zweimal so häufig wie die HGs C, D, E und
F vorkommen.
-
Selbstverständlich sind
Abwandlungen der oben beschriebenen Ausführungsformen der vorliegenden
Erfindung möglich,
in denen die Ringlistenstruktur einige oder alle der HGs des VPDN
mit einer oder mit mehreren Wiederholungen einiger oder aller Elemente,
die in irgendeiner Reihenfolge angeordnet sind, umfasst. Selbstverständlich können in
jeder Zugriffsannahmenachricht eines oder mehrere Elemente der Ringliste übergeben
werden und selbstverständlich
können
die Elemente dort, wo mehr als ein Element übergeben wird, aufeinander
folgend von dem Zeiger oder gemäß einer
alternativen Vorschrift gewählt
werden.
-
Selbstverständlich können zur
Realisierung der vorliegenden Erfindung andere Datenstrukturen als
Ringlisten wie etwa lineare Listen, hierarchische Strukturen und
vernetzte Strukturen verwendet werden.
-
Selbstverständlich sind
außerdem
Abwandlungen der oben beschriebenen Ausführungsformen möglich, in
denen das HG nicht direkt mit einem VPDN, sondern mit einem NAS
eines weiteren Diensteanbie ters verbunden ist. Die Funktion des
weiteren NAS kann es sein, die Anwender mit einem VPDN oder mit
dem Internet zu verbinden.
-
Selbstverständlich können ein
NAS- und ein RADIUS-Server der vorliegenden Erfindung in derselben
Datenverarbeitungsvorrichtung realisiert sein und können einer
oder mehrere RADIUS-Server durch einen oder mehrere Server, die äquivalente Funktionen
ausführen,
wie etwa durch Server, die zu dem DIAMETER-Protokoll oder zu dem
Gemeinsame-offene-Richtlinie-Dienstprotokoll (COPS) der IETF konform
sind, ersetzt sein. Das DIAMETER-System und die DIAMETER-Architektur sind
in draft-calhoun-diameter-framework-05.txt definiert, während das
Basisprotokoll in draft-calhoun-diameter-12.txt definiert ist. Das
COPS-System und die COPS-Architektur sind in draft-ietf-rap-framework-03.txt
definiert, während
das Basisprotokoll in draft-ietf-rap-cops-08.txt definiert ist.
Alle vier Dokumente sind von der IETF unter http://ietf.org verfügbar. Ähnlich kann
ein NAS durch einen oder mehrere Server ersetzt werden, der/die ähnliche
Funktionen wie etwa ein Proxy-Server, eine Firewall oder ein Umleitungsserver
ausführt/ausführen.
-
Die
Verfahren gemäß der Erfindung
werden typisch durch geeignet programmierte Ausrüstung ausgeführt. Die
Ausrüstung
wird typisch dadurch programmiert, dass das relevante Programm oder
die relevanten Programme in den Speicher der Ausrüstung geladen
werden. Das Programm bzw. die Programme werden typisch auf einem
geeigneten Datenträger
wie etwa auf einem optisch lesbaren Speicher (z.B. einer CDROM,
einer DVD, einer Minidisc usw.) oder auf einem magnetisch lesbaren
Speicher (z.B. auf einem Band, auf einer Diskette, auf einer Festplatte
usw.) oder auf einem optischen Träger oder Funkfrequenzträger (über eine
Glasfaserverbindung oder über
eine Funkübertragungsstrecke)
oder als ein elektrisches Signal über eine verdrahtete Datenübertragungsstrecke
geliefert. Wo dies zulässig ist,
wird Schutz für
das eine oder die mehreren Programme und/oder für das eine oder die mehreren Programme
auf einem geeigneten (z.B. computerlesbaren) Datenträger begehrt.