DE60304704T2 - Netzsystem, Router und Netzeinrichtungsverfahren - Google Patents

Netzsystem, Router und Netzeinrichtungsverfahren Download PDF

Info

Publication number
DE60304704T2
DE60304704T2 DE60304704T DE60304704T DE60304704T2 DE 60304704 T2 DE60304704 T2 DE 60304704T2 DE 60304704 T DE60304704 T DE 60304704T DE 60304704 T DE60304704 T DE 60304704T DE 60304704 T2 DE60304704 T2 DE 60304704T2
Authority
DE
Germany
Prior art keywords
address range
access address
server
network
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60304704T
Other languages
English (en)
Other versions
DE60304704D1 (de
Inventor
Andreas Hahn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SAP SE
Original Assignee
SAP SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SAP SE filed Critical SAP SE
Application granted granted Critical
Publication of DE60304704D1 publication Critical patent/DE60304704D1/de
Publication of DE60304704T2 publication Critical patent/DE60304704T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2546Arrangements for avoiding unnecessary translation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft allgemein das Gebiet der elektronischen Datenverarbeitung und digitaler Kommunikationsnetze und insbesondere ein Netzsystem, einen Router und ein Netzeinrichtungsverfahren.
  • Beschreibung des Stands der Technik
  • Digitale Kommunikationsnetze haben kontinuierlich an Bedeutung zugenommen, weil Personen begonnen haben, sich auf den elektronischen Austausch von Informationen für geschäftliche und persönliche Zwecke zu verlassen. Email, die elektronische Übertragung von Dateien, und verschiedene andere Dienste wurden alle durch die Verwendung digitaler Kommunikationsnetze möglich. Der Typ des verwendeten digitalen Kommunikationsnetzes hängt häufig von der Größe des zu implementierenden Netzes und auch von den Bedürfnissen und Kapazitäten der das Netz implementierenden Partei oder Parteien ab. Die Hardwarekosten und die Komplexität der Verwaltung des Netzes sind häufig ein Faktor, wenn der Typ des zu implementierenden Netzes gewählt wird.
  • Netze, die auf ein kleines geographisches Gebiet, beispielsweise den Ort eines einzigen Büros, begrenzt sind, werden häufig als lokale Netze (LAN) bezeichnet. LAN sind häufig Netze in privatem Besitz innerhalb eines Gebäudes oder einer Gebäudeansammlung, und sie werden weit verbreitet verwendet, um Personalcomputer und Arbeitsstationen an einem einzigen Ort miteinander und mit gemeinsam verwendeten Ressourcen, wie Druckern und/oder lokalen, zentralisierten Dateispeichern, zu verbinden. Um zwischen den verschiedenen Arbeitsstationen, Druckern, Datenbanken usw., die innerhalb eines LANs miteinander verbunden sind, kommunizieren zu können, ist jeder Vorrichtung eine eindeutige Adresse, d.h. eine 48-Bit-Medienzugriffssteueradresse (MAC-Adresse) zugewiesen.
  • Computer und andere Vorrichtungen, die sich auf verschiedenen LAN befinden, sind häufig über ein Internet miteinander verbunden. Das World Wide Web oder "das" Internet wird verwendet, um Computer und andere Vorrichtungen, die sich an Universitäten, Regierungseinrichtungen, Firmen und Einzelpersonen befinden, miteinander zu verbinden. Router dienen als Weiterleitungsvorrichtungen und optional als Gateway-Vorrichtungen. IP-Adressen dienen dazu, Quellen- und Zielvorrichtungen zu identifizieren und den geeigneten Weg, auf dem Pakete übertragen werden sollten, festzulegen. Quellen- und Ziel-IP-Adressen sind zusammen mit Daten in IP-Paketen enthalten, die verwendet werden, um Informationen über das Internet zu übertragen. Jeder Host und jeder Router auf dem Internet weist eine IP-Adresse auf, die seine IP-Netznummer und -Hostnummer codiert. Die Kombination ist eindeutig. Zwei Maschinen haben nie die gleiche IP-Adresse. Alle IP-Adressen sind 32 Bits lang und werden in den Quelladressen- und Zieladressenfeldern von IP-Paketen verwendet.
  • US-A-6 147 976 sieht ein Paketfiltersystem vor, das eine Filterung auf der Grundlage sowohl von Quellen- als auch von Zieladressen ermöglicht. Das offenbarte Paketfiltersystem assoziiert Domänenkennungen mit jeweiligen Sätzen von Adressen. Diese Beziehung wird in einer vordefinierten Adresstabelle oder in vordefinierten Adresstabellen festgehalten. Die Adresstabelleneinträge haben jeweils einen Domänenvorspann und eine mit diesem Vorspann assoziierte Domänenkennung. Es wird ein Domänenvorspann festgelegt, der zu der Quellenadresse passt, und es wird ein Domänenvorspann festgelegt, der zu der Zieladresse passt. Diese Vorspänne sind mit einer Quellendomänenkennung bzw. einer Zieldomänenkennung assoziiert. Auf diese Weise werden eine Quellendomänenkennung und eine Zieldomänenkennung erhalten, welche die in dem Paketkopf vorgefundenen Informationen widerspiegeln.
  • Demgemäß sind existierende herkömmliche IT-Systemumgebungen serverorientiert, wobei jeder Server nur eine einzige eindeutige IP-Adresse aufweist. Ein Server ist ein Computer, der einen Dienst (Dienste) für andere Computer (Clients), die über ein Netz mit dem Server verbunden sind, bereitstellt. Alle Dienste, die auf einem solchen Server laufen, können über diese Adresse mit der Außenwelt kommunizieren. Jedem Dienst auf dem Server ist eine eindeutige Portnummer zugewiesen, und er kann eindeutig durch eine Kombination von IP-Adresse und Portnummer adressiert werden. Falls die IP-Adresse eines Servers beispielsweise 10.10.10.100 ist und die Portnummer eines gegebenen Dienstes auf diesem Server 80 ist, wäre die Kombination 10.10.10.100:80.
  • US 2002/013844 A1 betrifft ein System mit einem Zugangsnetz, wobei das System es mehreren Diensten oder Dienstanbietern ermöglicht, die Einrichtungen der Zugangsnetzinfrastruktur gemeinsam zu verwenden, wobei physikalische Netzweiterleitungspakete beliebigen einer Vielzahl von Dienstnetzen bereitgestellt werden. Router verwenden eine Vereinbarung auf der Grundlage der Quellenadresse der Pakete, die mit dem Dienstnetz bestimmt wird, um das Paket weiterzuleiten. Jedem Dienst ist eine spezifische Netzadresse zugewiesen.
  • In einer modernen Systemumgebung werden die Server über PXE/BOOTP/TFTP (Portable Execution Environment/Bootstrap Protocol/Trivial File Transfer Protocol) im LAN gebootet, und ihnen wird über DHCP (Dynamic Host Configuration Protocol) eine eindeutige IP-Adresse, ihre "physikalische IP", zugewiesen. Jedem auf einem Server eingeleiteten Dienst wird auch seine eigene "virtuelle IP-Adresse" zugewiesen. Dies ermöglicht es, dass Dienste unabhängig von den Maschinen ausgeführt werden, d.h. dass die Dienste tatsächlich auf jedem beliebigen Server ausgeführt werden können, ohne dass es nötig wäre, dass der Client die Konfiguration ändert. Beispielsweise greift ein Client immer bei 10.10.10.10 auf einen Dienst zu, der auf dem Server 10.10.1.2 oder auf jedem anderen Server in diesem LAN ausgeführt werden kann. Die physikalische IP des den Dienst ausführenden Servers ist nicht bekannt und braucht dem Client nicht bekannt zu sein. Für die Außenwelt erscheint eine solche Systemumgebung als eine geschlossene Einheit, die ihre Dienste äußeren Benutzern bei nur geringem Konfigurationsaufwand anbietet.
  • Wie bereits zuvor dargelegt wurde, befinden sich Server in traditionellen Systemumgebungen typischerweise in einem eigenen Netzsegment, das als das Server-LAN bezeichnet wird. Das Server-LAN ist über einen Router mit dem Firmen-LAN verbunden. Der Zugang zu dem Server-LAN wird durch Zugangslisten geregelt, die beispielsweise Portbereiche oder IP-Bereiche sperren. 1 zeigt eine traditionelle Systemumgebung mit gleichen IP-Adressbereichen (nachfolgend auch als "IP-Bereiche" bezeichnet), die ein Server-LAN 112 aufweist, das über einen Router 116 mit einem Firmen-LAN oder -WAN 114 verbunden ist. Zugangslisten, die in dem Router 116 verwaltet werden, bilden die Grundlage für das Ermöglichen oder Blockieren von Verbindungen. In dem in 1 dargestellten Beispiel könnte ein Client mit der IP-Adresse 10.20.30.40 beispielsweise auf einen Dienst mit dem IP-Portbereich 10.10.10.100:80, jedoch nicht auf einen Dienst mit dem IP-Portbereich 10.10.10.100:23 zugreifen.
  • In moderneren Systemumgebungen befinden sich die Server auch in einem eigenen Netzsegment (Server-LAN), das über ein Gateway auf Anwendungsebene mit dem Firmen-LAN verbunden ist. Ein Gateway ist eine Vorrichtung, die Netze mit unterschiedlichen, inkompatiblen Kommunikationsprotokollen verbindet und eine Protokollkonvertierung aufweist, um einen Protokollsatz in einen anderen Satz zu übersetzen. In einer solchen Umgebung muss das Server-LAN autark arbeiten. Um dies zu erreichen, weist das Server-LAN ihren eigenen IP-Bereich auf, und das Routen zwischen dem Firmen-LAN und dem Server-LAN wird nicht aktiviert, weil jede Bewegung der Systemumgebung entweder eine vollständige Änderung aller Routing-Tabellen in dem Firmen-LAN oder eine vollständige Änderung der IP-Konfiguration des Server-LANs notwendig machen würde. Daher sind dem Gateway-Computer eine oder mehrere IP-Adressen innerhalb des IP-Bereichs des Firmen-LANs, über das die Dienste verfügbar sind, zugewiesen.
  • 2 zeigt ein Beispiel einer Netzeinrichtung mit getrennten IP-Bereichen, wie aus dem Stand der Technik bekannt ist. Bei dieser bekannten Einrichtung wird ein Server-LAN 212 wieder mit einem Firmen-LAN oder -WAN 214 verbunden, dieses Mal über ein Gateway-System, das einen so genannten Proxy-Server 216 aufweist. Ein Proxy-Server (oder ein Proxy) ist eine Einheit, die gemeinhin auf einem LAN eingerichtet ist und sich zwischen einem Client und einem "realen" Server befindet. Alle Anforderungen des Clients werden dann über den Proxy vorgenommen, der wiederum Anforderungen vom "realen" Server vornimmt und das Ergebnis zum Client zurückgibt. Manchmal speichert der Proxy das Ergebnis und gibt ein gespeichertes Ergebnis aus, statt ein neues zu erzeugen (um die Nutzung eines Netzes zu verringern).
  • Wiederum mit Bezug auf 2 sei bemerkt, dass im Fall einer Clientanfrage der Proxy 216 als eine senderseitige Zwischenstation angegeben wird, um den gewünschten Dienst zu erreichen. Die Protokolle, die von den Diensten verwendet werden, die auf dem Server-LAN ausgeführt werden, müssen daher für eine Proxy-Verwendung geeignet sein. Das Gateway-System weist weiter eine Weiterleitungsregeltabelle 218 auf, die das so genannte Weiterleiten ermöglicht. Dies bedeutet, dass eine gegebene Kombination von IP-Adresse und Portnummer (beispielsweise 10.10.10.100:80) des Firmen-LANs einer gegebenen Kombination von IP-Adresse und Portnummer (beispielsweise 192.168.10.100:80) des Server-LANs zugewiesen wird. Dadurch wird dieser Weg der Verbindung fest im Gateway konfiguriert und nicht im Client. Ein Nachteil dieser Netzeinrichtung besteht darin, dass es jedem von einem Dienst verwendeten Protokoll bekannt sein muss, welchen Verbindungstyp das gegebene Protokoll verwendet. Protokolle, die von sich aus in der Lage sind, einen zweiten Verbindungsweg einzurichten (beispielsweise einen Rückkanal wie bei FTP (File Transfer Protocol)), können nicht über das so genannte Weiterleiten verbunden werden. Das einzige mögliche Transportprotokoll für das Weiterleiten ist das Protokoll TCP (Transmission Control Protocol). Eine bidirektionale Kommunikation über Paketkommunikationsprotokolle, wie UDP (User Datagram Protocol) oder IGMP (Internet Group Management Protocol) ist nicht möglich.
  • 3 zeigt schließlich eine weitere aus dem Stand der Technik bekannte Netzeinrichtung, wobei ein Server-LAN 312 über einen so genannten Netzadressenübersetzungsdienst (NAT-Dienst) 316 mit einem Firmen-LAN oder -WAN 314 verbunden ist. NAT ist eine Verbesserung des vorstehend beschriebenen Weiterleitungsdienstes und hat den Vorteil, dass es die Verwendung von Paketprotokollen, wie UDP und IGMP, ermöglicht. Bei NAT hält der Gateway intern ein Modul mit Verbindungstabellen für jeden Kommunikationsprotokolltyp. Dies ermöglicht das Einrichten einer Rückverbindung vom Server-LAN in das Firmen-LAN in dem Fall, in dem das Kommunikationsprotokoll bekannt ist und in das Modul implementiert ist. Es tritt jedoch der Nachteil auf, dass nicht alle Protokollimplementationen bekannt sind und in diese Module implementiert sind, so dass sie nicht mit dem NAT-Dienst verwendet werden können.
  • Weil IP-Adressen begrenzte Ressourcen sind, besteht das Problem darin, eine Netzeinrichtung bereitzustellen, die eine flexible Zuweisung von Adressen zu auf einem Server ausgeführten Zugangsdiensten ermöglicht, ohne dass umfangreiche Zugangslisten oder Weiterleitungsregeln implementiert werden müssen.
  • Zusammenfassung der Erfindung
  • Eine Aufgabe der Erfindung besteht daher darin, ein Netzsystem, einen Router und ein Netzeinrichtungsverfahren mit verbesserten Zugangsmechanismen für Dienste bereitzustellen. Diese Aufgabe wird durch Vorschlagen eines Netzsystems mit den Merkmalen von Anspruch 1, eines Routers mit den Merkmalen von Anspruch 6 und eines Netzeinrichtungsverfahrens mit den Merkmalen von Anspruch 9 gelöst.
  • Gemäß der Erfindung umfasst ein Computernetzsystem eine Vielzahl von Client-Hardwareelementen, die ein Computernetz in der Art eines lokalen Netzes LAN oder eines Weitbereichsnetzes WAN oder einen anderen Typ eines Computernetzes bilden, und ein Server-Netzsegment. Das Server-Netzsegment ist durch einen Router mit dem Computernetz verbunden. Ein Router ist eine Fachleuten wohlbekannte Vorrichtung, die dazu dient, Pakete zwischen Netzen weiterzuleiten. Die Weiterleitungsentscheidung des Routers beruht auf Netzschichtinformationen und/oder Routing-Tabellen (häufig durch Routing-Protokolle eingerichtet). Gemäß der Erfindung ist dem Computernetz ein erster Zugangsadressbereich zugewiesen, und dem Server-Netzsegment sind ein zweiter Zugangsadressbereich und ein dritter Zugangsadressbereich zugewiesen. Überdies ist der zweite Zugangsadressbereich von dem ersten Zugangsadressbereich getrennt, und der dritte Zugangsadressbereich stellt mindestens einen Unterbereich des ersten Zugangsadressbereichs dar, wobei der Router eingerichtet ist, nur Adressen innerhalb desselben Zugangsadressbereichs zu routen.
  • Die Erfindung ermöglicht die Verwendung eines Standard-Routers mit der Möglichkeit, durchzulassende Adressbereiche und zu blockierende Adressbereiche zu definieren. Dies kann beispielsweise mit einem herkömmlichen Filter vorgenommen werden, indem die entsprechenden Bereiche des zweiten bzw. des dritten Zugangsadressbereichs definiert werden. Dadurch brauchen keine komplexen Zugangslisten mehr verwaltet zu werden, und ein Bewegen eines Dienstes kann durch Einstellen des neuen Adressbereichs automatisch ausgeführt werden. Die Erfindung besteht aus einer Mischung gemeinsam verwendeter Adressbereiche und getrennter Adressbereiche, die auch die Erzeugung von Rückverbindungen sowie die Verwendung von UDP und IGMP ermöglicht.
  • Gemäß einer möglichen Ausführungsform sind die Netzadressen für Zugangsdienste gemäß der Erfindung Internetprotokoll-(IP)-Adressen, es kann jedoch in Zusammenhang mit der Erfindung jedes beliebige andere Adress- oder Protokollsystem verwendet werden.
  • Die Erfindung deckt auch ein Computerprogramm mit Programmcodemitteln ab, die geeignet sind, einen erfindungsgemäßen Prozess auszuführen, wie vorstehend beschrieben wurde, wenn das Computerprogramm auf einem Computer ausgeführt wird. Auch das auf einem computerlesbaren Medium gespeicherte Computerprogramm wird beansprucht.
  • Weitere Merkmale und Ausführungsformen der Erfindung werden anhand der Beschreibung und der anliegenden Zeichnung verständlich werden.
  • Es sei bemerkt, dass die vorstehend erwähnten Merkmale und jene, die nachstehend beschrieben werden, nicht nur in der spezifizierten Kombination, sondern auch in anderen Kombinationen oder für sich verwendet werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen.
  • Die Erfindung ist in der Zeichnung schematisch anhand eines Beispiels durch eine Ausführungsform dargestellt und wird nachstehend mit Bezug auf die Zeichnung detailliert erklärt. Es sei bemerkt, dass die Beschreibung den Schutzumfang der vorliegenden Erfindung in keiner Weise beschränkt und lediglich eine bevorzugte Ausführungsform der Erfindung erläutert.
  • Kurzbeschreibung der Zeichnung
  • Es zeigen:
  • 1 eine Netzeinrichtung mit gemeinsam verwendeten IP-Bereichen aus dem Stand der Technik,
  • 2 eine Netzeinrichtung mit getrennten IP-Bereichen unter Verwendung eines Proxy aus dem Stand der Technik,
  • 3 eine Netzeinrichtung mit getrennten IP-Bereichen unter Verwendung einer Netzadressenübersetzung aus dem Stand der Technik,
  • 4 ein Blockdiagramm einer Netzeinrichtung mit getrennten IP-Bereichen gemäß der Erfindung und
  • 5 eine Ausführungsform eines Server-Netzsegments einer Netzeinrichtung gemäß der Erfindung.
  • Detaillierte Beschreibung
  • Die Erfindung wird anhand einer möglichen Ausführungsform erläutert, bei der das Computernetz ein so genanntes Firmen-LAN oder -WAN ist, welches in dem schematischen Blockdiagramm aus 4 als eine Wolke dargestellt ist, wobei das Server-Netzsegment ein so genanntes Server-LAN ist, das auch als eine Wolke dargestellt ist. Die Zugangsadressbereiche, auf die gemäß der Ausführungsform Bezug genommen wird, sind IP-Adressbereiche. Fachleuten auf dem Gebiet der Netzsysteme wird jedoch klar sein, dass in Zusammenhang mit der Erfindung auch jeder andere Typ einer Netz- und/oder Serveranordnung und/oder eines Protokolls verwendet werden kann.
  • 4 zeigt eine Netzeinrichtung gemäß der Erfindung. Das Netz umfasst ein Server-LAN 412 und ein Firmen-LAN oder -WAN 414. Das Server-LAN 412 und das Firmen-LAN 414 sind miteinander über einen Router 416 verbunden. Die Verbindung zwischen dem Firmen-LAN 414 und dem Server-LAN 412 mit dem Router 416 wird über Ethernet-Karten ETH0: bzw. ETH1: hergestellt. Natürlich kann auch jeder andere Verbindungstyp, wie FDDI, Token Ring, SLIP, PPP usw., verwendet werden.
  • Das Firmen-LAN 414 und das Server-LAN 412 haben getrennte IP-Bereiche, die durch die Angabe "IP-Bereich 10.x.x.x" unter dem Firmen-LAN 414 und die Bezeichnungen "IP-Bereich 192.168.x.x" und "IP-Bereich 10.10.10.x" unter dem Server-LAN 412 dargestellt sind.
  • Gemäß der Erfindung wird jedem Dienst an dem Server-LAN eine IP-Adresse zugewiesen. Jedem Dienst an dem Server-LAN, der für den Zugriff auf das Firmen-LAN offen sein soll, wird eine IP-Adresse innerhalb des IP-Bereichs (der IP-Bereiche) des Firmen-LANs zugewiesen (beispielsweise 10.10.10.100). Jedem Dienst, der nur intern dem Server-LAN zur Verfügung stehen soll, wird eine IP-Adresse innerhalb des IP-Bereichs des Server-LANs zugewiesen (beispielsweise 192.168.10.100). Dies gilt auch für die IP-Adressen der jeweiligen Hardware.
  • Wie Fachleute verstehen werden, können dem Firmen-LAN 414 ein oder mehrere weitere IP-Bereiche (beispielsweise 172.x.x.x) zugewiesen werden, und dem Server-LAN 412 könnten dementsprechend auch weitere IP-Bereiche zugewiesen werden, welche Unterbereiche der weiteren IP-Bereiche des Firmen-LANs sein könnten (beispielsweise 172.10.20.x und/oder 172.20.x.x). Es wird verständlich, dass innerhalb des Schutzumfangs dieser Erfindung jede beliebige Anzahl von Zugangsadressbereichen auf beiden Seiten, d.h. am Netz und am Server, verwendet und gemischt werden können, wobei der Router zu routende Bereiche (routbare Bereiche) und nicht zu routende Bereiche (nicht routbare Bereiche) definiert. Die Bereiche können beliebige Adressen aufweisen, solange die logische Beziehung zwischen routbaren und nicht routbaren Bereichen im Router geeignet definiert ist.
  • Die Verbindung zwischen dem Firmen-LAN 414 und dem Server-LAN 412 wird durch den Router 416 hergestellt, der ein Standard-Router mit einem Paketfilter sein kann. Das Filter ist so implementiert, dass der exklusive IP-Bereich 192.168.x.x des Server-LANs blockiert wird und nur der gemeinsame oder geteilt verwendete Bereich 10.10.10.x geroutet wird. Die Verwendung von Filtern, die angesichts des gemeinsamen IP-Bereichs eingerichtet sind, verbessert die Systemsicherheit. Filterregeln in Bezug auf den IP-Bereich des Server-LANs 412 müssen für die gesamte Lebensdauer des Systems nur einmal implementiert werden. Es sei bemerkt, dass die Einrichtung des Routers auch ohne Filterdefinitionen erfolgen kann, beispielsweise durch Routing-Tabellen oder Routing-Protokolle.
  • Mit Bezug auf 5 wird ein Beispiel einer Ausführungsform des Server-Netzsegments 412 der Servereinrichtung aus 4 in weiteren Einzelheiten beschrieben. Das Server-LAN 412 umfasst drei verschiedene Hardwareelemente, d.h. ein erstes Hardwareelement 420, ein zweites Hardwareelement 422 und ein drittes Hardwareelement 424. Betriebssysteme, Überwachungsagenten und Secure-Shell-Dämonen laufen auf jedem dieser Hardwareelemente 420, 422, 424.
  • Auf dem ersten Hardwareelement 420 laufen drei Anwendungsserver. Es sei bemerkt, dass der Begriff "Server" nicht für ein Hardwareelement, sondern vielmehr für einen Dienst steht.
  • Das zweite Hardwareelement 422 beinhaltet einen Datenbankserver sowie einen vierten Anwendungsserver, der auf den Datenbankserver zugreifen muss. Eine globale Systemüberwachungseinrichtung ist auf dem dritten Hardwareelement 424 installiert, wobei der Systemüberwachungseinrichtung Daten von den Überwachungsagenten zugeführt werden.
  • Die drei Anwendungsserver des ersten Hardwareelements 420 und der eine Anwendungsserver des zweiten Hardwareelements 422 haben routbare IP-Adressen 10.10.10.3, 10.10.10.4, 10.10.10.5 und 10.10.10.6, und es kann demgemäß "extern", d.h. von außerhalb des Server-LANs 412 auf sie zugegriffen werden. Der Datenbankserver auf dem zweiten Hardwareelement 422 ist nur für die Anwendungsserver von Interesse, weil auf ihn nie direkt von äußeren Clients zugegriffen werden muss. Daher ist dem Datenbankserver eine interne, d.h. nicht routbare Adresse 192.168.100.2 zugewiesen.
  • Die Überwachungsagenten kommunizieren nur mit dem Systemüberwachungsserver des dritten Hardwareelements 424 und haben demgemäß die internen Adressen 192.168.20.3, 192.168.20.4 und 192.168.20.5. Der Zweck der Systemüberwachungseinrichtung besteht darin, gebündelte Informationen der Überwachungsagenten den Clients zur Verfügung zu stellen. Demgemäß ist der Systemüberwachungseinrichtung eine externe routbare Adresse 10.10.10.2 zugewiesen.
  • Die Secure-Shell-Dämonen am ersten und zweiten Hardwareelement sollen aus Sicherheitsgründen nur intern zugänglich sein und sind demgemäß nicht routbaren Adressen zugewiesen. Der Secure-Shell-Dämon des dritten Hardwareelements soll jedoch auch für Clients zugänglich sein und weist demgemäß die routbare Adresse 10.10.10.1 auf. Ein Anmelden am Secure-Shell-Dämon des dritten Hardwareelements ermöglicht eine Verbindung mit den Secure-Shell-Dämonen des ersten und des zweiten Hardwareelements.
  • Gemäß der Erfindung kann der identische IP-Bereich des Server-LANs in einer beliebigen Anzahl paralleler Server-LANs verwendet werden, wird eine Mehrfachverwendung eines IP-Bereichs möglich und wird ein IP-Adressraum gespart. Im Fall physikalischer Bewegungen des Netzsystems oder eines Teils des Netzsystems brauchen nur die IP-Adressen der Dienste geändert zu werden, und die Filter müssen nur an die neuen IP-Adressen angepasst werden, was trivial ist und automatisch ausgeführt werden kann. Die Erfindung sieht ein neues und erfindungsgemäßes Verfahren vor, das keine Konvertierung oder Übersetzung von Protokollen benötigt, sondern vielmehr auf der Grundlage von Routing-Definitionen arbeitet. Offensichtlich ist die Erfindung nicht auf die Verwendung nur eines dem Computernetz oder dem Firmen-LAN zugewiesenen Zugangsadressbereichs beschränkt, weil sie auch ein Computernetz abdeckt, dem zwei oder sogar noch mehr verschiedene Zugangsadressbereiche zugewiesen sind.

Claims (16)

  1. Computernetzsystem mit: einer Mehrzahl von Client-Hardwareelementen, die ein Computernetz (414) bilden, einem Server-Netzsegment (412), das eine Vielzahl von Server-Hardwareelementen (420, 422, 424) und Diensten aufweist, und einem Router (416) zum Verbinden des Computernetzes (414) mit dem Server-Netzsegment (412), wobei dem Computernetz (414) mindestens ein erster Zugangsadressbereich zugewiesen ist und dem Server-Netzsegment (412) mindestens ein zweiter Zugangsadressbereich und mindestens ein dritter Zugangsadressbereich zugewiesen sind, wobei der mindestens eine zweite Zugangsadressbereich ein von dem mindestens einen ersten Zugangsadressbereich getrennter exklusiver Adressbereich ist und der mindestens eine dritte Zugangsadressbereich ein gemeinsam verwendeter Adressbereich ist, der mindestens einen Unterbereich des mindestens einen ersten Zugangsadressbereichs darstellt, wobei jedem der Vielzahl von Server-Hardwareelementen (420, 422, 424) und jedem der Dienste eine Zugangsadresse innerhalb des gemeinsam verwendeten Adressbereichs bzw. innerhalb des exklusiven Adressbereichs zugewiesen ist und der Router (416) dafür eingerichtet ist, nur Adressen innerhalb des gemeinsam verwendeten Adressbereichs weiterzuleiten.
  2. Computernetzsystem nach Anspruch 1, wobei die Zugangsadressbereiche Internetprotokoll-Adressbereiche sind.
  3. Computernetzsystem nach Anspruch 1 oder 2, wobei das Server-Netzsegment ein LAN-Server (412) ist.
  4. Computernetzsystem nach einem der Ansprüche 1 bis 3, wobei das Computernetz ein lokales Netz LAN oder ein Weitbereichsnetz WAN ist.
  5. Computernetzsystem nach einem der Ansprüche 1 bis 4, wobei der Router ein Filter aufweist, das eingerichtet ist, um Adressen vom zweiten Zugangsadressbereich zu blockieren und Adressen vom dritten Zugangsadressbereich durchzulassen.
  6. Router (416) zum Verbinden eines Server-Netzsegments (412), das eine Vielzahl von Server-Hardwareelementen (420, 422, 424) und Diensten aufweist, mit einem Computernetz (414), wobei dem Computernetz (414) mindestens ein erster Zugangsadressbereich zugewiesen ist und dem Server-Netzsegment (412) mindestens ein zweiter Zugangsadressbereich und mindestens ein dritter Zugangsadressbereich zugewiesen sind, wobei der mindestens eine zweite Zugangsadressbereich ein von dem mindestens einen ersten Zugangsadressbereich getrennter exklusiver Adressbereich ist und der mindestens eine dritte Zugangsadressbereich ein gemeinsam verwendeter Adressbereich ist, der mindestens einen Unterbereich des mindestens einen ersten Zugangsadressbereichs darstellt, wobei jedem der Vielzahl von Server-Hardwareelementen (420, 422, 424) und jedem der Dienste eine Zugangsadresse innerhalb des gemeinsam verwendeten Adressbereichs bzw. innerhalb des exklusiven Adressbereichs zugewiesen ist und der Router (416) dafür eingerichtet ist, nur Adressen innerhalb des gemeinsam verwendeten Adressbereichs weiterzuleiten.
  7. Router nach Anspruch 6, wobei die Zugangsadressbereiche Internetprotokoll-Adressbereiche sind.
  8. Router nach Anspruch 6 oder 7, wobei der Router ein Filter aufweist, das eingerichtet ist, um Adressen vom zweiten Zugangsadressbereich zu blockieren und Adressen vom dritten Zugangsadressbereich durchzulassen.
  9. Netzeinrichtungsverfahren mit den folgenden Schritten: Zuweisen von einem oder mehreren ersten Zugangsadressbereichen zu einem Computernetz (414), Zuweisen von einem oder mehreren zweiten Zugangsadressbereichen zu einem Server-Netzsegment (412), das eine Vielzahl von Server-Hardwareelementen (420, 422, 424) und Diensten aufweist, wobei der zweite Zugangsadressbereich (bzw. die zweiten Zugangsadressbereiche) ein exklusiver Adressbereich ist, der von dem ersten Zugangsadressbereich (bzw. den ersten Zugangsadressbereichen) getrennt ist, Zuweisen von einem oder mehreren dritten Zugangsadressbereichen zu dem Server-Netzsegment (412), das eine Vielzahl von Server-Hardwareelementen (420, 422, 424) und Diensten aufweist, wobei der dritte Zugangsadressbereich (bzw. die dritten Zugangsadressbereiche) ein gemeinsam verwendeter Adressbereich ist, der mindestens einen Unterbereich des ersten Zugangsadressbereichs (bzw. der ersten Zugangsadressbereiche) darstellt, und Einrichten eines Routers (416) zur Verbindung des Computernetzes (414) mit dem Server-Netzsegment (412), so dass der Router (416) nur Adressen innerhalb des gemeinsam verwendeten Adressbereichs weiterleitet.
  10. Verfahren nach Anspruch 9, wobei die Zugangsadressbereiche Internetprotokoll-Adressbereiche sind.
  11. Verfahren nach Anspruch 9 oder 10, wobei das Server-Netzsegment ein LAN-Server (412) ist.
  12. Verfahren nach einem der Ansprüche 9 bis 11, wobei das Computernetz ein lokales Netz LAN oder ein Weitbereichsnetz WAN ist.
  13. Verfahren nach Anspruch 9, welches weiter den Schritt des Einrichtens eines Filters in dem Router aufweist, so dass das Filter Adressen vom zweiten Zugangsadressbereich bzw. von den zweiten Zugangsadressbereichen blockiert und Adressen von dem dritten Zugangsadressbereich bzw. von den dritten Zugangsadressbereichen durchlässt.
  14. Computerprogrammprodukt mit einem computerlesbaren Medium und einem auf dem computerlesbaren Medium gespeicherten Computerprogramm mit Programmcodemitteln, welche geeignet sind, um ein Verfahren nach einem der Ansprüche 9 bis 13 auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  15. Computerprogramm mit Programmcodemitteln, die geeignet sind, um ein Verfahren nach einem der Ansprüche 9 bis 13 auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  16. Computerlesbares Medium mit einem darauf gespeicherten Computerprogramm, wobei das Computerprogramm Programmcodemittel aufweist, die geeignet sind, um ein Verfahren nach einem der Ansprüche 9 bis 13 auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
DE60304704T 2003-09-18 2003-09-18 Netzsystem, Router und Netzeinrichtungsverfahren Expired - Lifetime DE60304704T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP03021092A EP1517518B1 (de) 2003-09-18 2003-09-18 Datenpaketfilterung in einer Client-Router-Server Architektur

Publications (2)

Publication Number Publication Date
DE60304704D1 DE60304704D1 (de) 2006-05-24
DE60304704T2 true DE60304704T2 (de) 2007-04-12

Family

ID=34178433

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60304704T Expired - Lifetime DE60304704T2 (de) 2003-09-18 2003-09-18 Netzsystem, Router und Netzeinrichtungsverfahren

Country Status (5)

Country Link
US (1) US7684406B2 (de)
EP (1) EP1517518B1 (de)
AT (1) ATE324002T1 (de)
DE (1) DE60304704T2 (de)
WO (1) WO2005027470A1 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756298B2 (en) * 2005-12-21 2014-06-17 Cisco Technology, Inc. System for automatic configuration of computers in a server farm
EP1966930B1 (de) 2005-12-28 2011-02-16 Telecom Italia S.p.A. Verfahren und system zur verwaltung von multicast-ablieferungsinhalt in kommunikationsnetzen
TWI311417B (en) * 2006-04-28 2009-06-21 Hon Hai Prec Ind Co Ltd Network apparatus and nat configuration method
US9692856B2 (en) 2008-07-25 2017-06-27 Ca, Inc. System and method for filtering and alteration of digital data packets
US8401990B2 (en) 2008-07-25 2013-03-19 Ca, Inc. System and method for aggregating raw data into a star schema
TWI400912B (zh) * 2010-07-19 2013-07-01 Chunghwa Telecom Co Ltd 封包導向方法
DE102014106578A1 (de) 2014-05-09 2015-11-12 Minebea Co., Ltd. Schaltung mit leistungsfaktorkorrekturfilter und gleichrichter oder inverter
US10257083B2 (en) * 2014-08-29 2019-04-09 Cisco Technology, Inc. Flow cache based mechanism of packet redirection in multiple border routers for application awareness
CN110661893A (zh) * 2018-06-28 2020-01-07 鸿富锦精密电子(天津)有限公司 数据中心管理方法及数据中心管理系统
US11438393B1 (en) * 2019-09-26 2022-09-06 Amazon Technologies, Inc. Origin server address rotation
CN113873055B (zh) * 2021-09-16 2023-09-19 四川灵通电讯有限公司 一种自动生成网络号及地址聚合方法、装置、系统和介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5251205A (en) * 1990-09-04 1993-10-05 Digital Equipment Corporation Multiple protocol routing
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US6369782B2 (en) * 1997-04-26 2002-04-09 Pioneer Electric Corporation Method for driving a plasma display panel
US5943317A (en) * 1998-10-15 1999-08-24 International Business Machines Corp. Sub-network route optimization over a shared access transport facility
US6684253B1 (en) * 1999-11-18 2004-01-27 Wachovia Bank, N.A., As Administrative Agent Secure segregation of data of two or more domains or trust realms transmitted through a common data channel
US7002924B2 (en) * 2000-02-04 2006-02-21 Matsushita Electric Industrial Co., Ltd. Zero configuration networking
CA2300066A1 (en) * 2000-03-03 2001-09-03 Paul A. Ventura High speed, high security remote access system
US20020016855A1 (en) * 2000-03-20 2002-02-07 Garrett John W. Managed access point for service selection in a shared access network
US20020075866A1 (en) * 2000-09-14 2002-06-20 Troxel Gregory Donald Delivering messages to a node at a foreign network
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US6961336B2 (en) * 2001-03-06 2005-11-01 Watchguard Technologies, Inc. Contacting a computing device outside a local network
US7046666B1 (en) * 2001-12-06 2006-05-16 The Directv Group, Inc. Method and apparatus for communicating between divergent networks using media access control communications
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
JP3872368B2 (ja) * 2002-03-27 2007-01-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置、該情報処理装置を含むネットワーク構成方法、および該ネットワーク構成方法のためのプログラム
GB0301993D0 (en) * 2003-01-29 2003-02-26 Univ Edinburgh System and method for rapid prototyping of asic systems
US7633948B2 (en) * 2003-07-07 2009-12-15 Panasonic Corporation Relay device and server, and port forward setting method
US7450498B2 (en) * 2004-10-27 2008-11-11 Morgan Stanley Fault tolerant network architecture
US7512138B2 (en) * 2004-11-30 2009-03-31 General Instrument Corporation Device. system, and method for automatically determining an appropriate LAN IP address range in a multi-router network environment

Also Published As

Publication number Publication date
WO2005027470A1 (en) 2005-03-24
EP1517518A1 (de) 2005-03-23
US20070027995A1 (en) 2007-02-01
ATE324002T1 (de) 2006-05-15
DE60304704D1 (de) 2006-05-24
US7684406B2 (en) 2010-03-23
EP1517518B1 (de) 2006-04-19

Similar Documents

Publication Publication Date Title
DE69924478T2 (de) Vorrichtung und verfahren für netzadressenübersetzung als externer service im zugriffsserver eines dienstanbieters
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE602005000017T2 (de) Kommunikationsvorrichtung, Verfahren und Programm zur Namenauflösung
DE602004012387T2 (de) System, verfahren und funktion zur ethernet-mac-adressenverwaltung
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE69433860T2 (de) System zur umgekehrten adressenauflösung für entfernte netzwerkvorrichtung
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE102012220834B4 (de) Verfahren und Vorrichtung zum Umsetzen eines flexiblen virtuellen lokalen Netzwerks
DE60311297T2 (de) Gemeinsame port adressenumsetzung in einem router der als nat & nat-pt gateway agiert
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE69836673T2 (de) Verfahren und Vorrichtung zur Konfigurierung eines Netzknotens um sich selbst Netzübergang zu sein
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE112013004187B4 (de) Technologie für Netzwerk-Datenübertragung durch ein Computersystem unter Verwendung von mindestens zwei Datenübertragungsprotokollen
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE102014201188A1 (de) Hybride Unicast-/Multicast-DNS-basierte Dienstermittlung
DE602004004991T2 (de) Automatisierte Installation von Netzgeräten mit Informationen über Regeln, Authentifizierung und gerätespezische Daten
DE102006037499A1 (de) Verfahren und System zum Entdecken und Bereitstellen von Beinahe-Echtzeit-Aktualisierungen von VPN-Topologien
DE60304704T2 (de) Netzsystem, Router und Netzeinrichtungsverfahren
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE69827474T2 (de) Kommunikationsverfahren in einer gesamtheit von verteilten systemen über ein netzwerk vom typ internet
EP3611876A1 (de) Verfahren zur konfiguration, verfahren zur bereitstellung von topologie-informationen, verwendung, gerät, computerprogramm und computerlesbares medium
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
DE60206780T2 (de) Netzwerkverbindungsvorrichtung, verbindungssystem und netzwerkverbindungsverfahren
DE102004013116B4 (de) Speichersteuervorrichtung, Zugriffssteuervorrichtung und Zugriffssteuerverfahren

Legal Events

Date Code Title Description
8364 No opposition during term of opposition