-
Gebiet der
Erfindung
-
Die
vorliegende Erfindung betrifft allgemein das Gebiet der elektronischen
Datenverarbeitung und digitaler Kommunikationsnetze und insbesondere
ein Netzsystem, einen Router und ein Netzeinrichtungsverfahren.
-
Beschreibung
des Stands der Technik
-
Digitale
Kommunikationsnetze haben kontinuierlich an Bedeutung zugenommen,
weil Personen begonnen haben, sich auf den elektronischen Austausch
von Informationen für
geschäftliche
und persönliche
Zwecke zu verlassen. Email, die elektronische Übertragung von Dateien, und
verschiedene andere Dienste wurden alle durch die Verwendung digitaler
Kommunikationsnetze möglich.
Der Typ des verwendeten digitalen Kommunikationsnetzes hängt häufig von
der Größe des zu
implementierenden Netzes und auch von den Bedürfnissen und Kapazitäten der
das Netz implementierenden Partei oder Parteien ab. Die Hardwarekosten
und die Komplexität
der Verwaltung des Netzes sind häufig
ein Faktor, wenn der Typ des zu implementierenden Netzes gewählt wird.
-
Netze,
die auf ein kleines geographisches Gebiet, beispielsweise den Ort
eines einzigen Büros, begrenzt
sind, werden häufig
als lokale Netze (LAN) bezeichnet. LAN sind häufig Netze in privatem Besitz innerhalb
eines Gebäudes
oder einer Gebäudeansammlung,
und sie werden weit verbreitet verwendet, um Personalcomputer und
Arbeitsstationen an einem einzigen Ort miteinander und mit gemeinsam
verwendeten Ressourcen, wie Druckern und/oder lokalen, zentralisierten
Dateispeichern, zu verbinden. Um zwischen den verschiedenen Arbeitsstationen,
Druckern, Datenbanken usw., die innerhalb eines LANs miteinander
verbunden sind, kommunizieren zu können, ist jeder Vorrichtung
eine eindeutige Adresse, d.h. eine 48-Bit-Medienzugriffssteueradresse (MAC-Adresse)
zugewiesen.
-
Computer
und andere Vorrichtungen, die sich auf verschiedenen LAN befinden,
sind häufig über ein
Internet miteinander verbunden. Das World Wide Web oder "das" Internet wird verwendet,
um Computer und andere Vorrichtungen, die sich an Universitäten, Regierungseinrichtungen,
Firmen und Einzelpersonen befinden, miteinander zu verbinden. Router
dienen als Weiterleitungsvorrichtungen und optional als Gateway-Vorrichtungen.
IP-Adressen dienen
dazu, Quellen- und Zielvorrichtungen zu identifizieren und den geeigneten
Weg, auf dem Pakete übertragen
werden sollten, festzulegen. Quellen- und Ziel-IP-Adressen sind zusammen mit Daten
in IP-Paketen enthalten, die verwendet werden, um Informationen über das
Internet zu übertragen.
Jeder Host und jeder Router auf dem Internet weist eine IP-Adresse
auf, die seine IP-Netznummer und -Hostnummer codiert. Die Kombination
ist eindeutig. Zwei Maschinen haben nie die gleiche IP-Adresse.
Alle IP-Adressen
sind 32 Bits lang und werden in den Quelladressen- und Zieladressenfeldern
von IP-Paketen verwendet.
-
US-A-6
147 976 sieht ein Paketfiltersystem vor, das eine Filterung auf
der Grundlage sowohl von Quellen- als
auch von Zieladressen ermöglicht.
Das offenbarte Paketfiltersystem assoziiert Domänenkennungen mit jeweiligen
Sätzen
von Adressen. Diese Beziehung wird in einer vordefinierten Adresstabelle oder
in vordefinierten Adresstabellen festgehalten. Die Adresstabelleneinträge haben
jeweils einen Domänenvorspann
und eine mit diesem Vorspann assoziierte Domänenkennung. Es wird ein Domänenvorspann
festgelegt, der zu der Quellenadresse passt, und es wird ein Domänenvorspann
festgelegt, der zu der Zieladresse passt. Diese Vorspänne sind
mit einer Quellendomänenkennung
bzw. einer Zieldomänenkennung
assoziiert. Auf diese Weise werden eine Quellendomänenkennung
und eine Zieldomänenkennung
erhalten, welche die in dem Paketkopf vorgefundenen Informationen
widerspiegeln.
-
Demgemäß sind existierende
herkömmliche IT-Systemumgebungen
serverorientiert, wobei jeder Server nur eine einzige eindeutige
IP-Adresse aufweist. Ein Server ist ein Computer, der einen Dienst (Dienste)
für andere
Computer (Clients), die über
ein Netz mit dem Server verbunden sind, bereitstellt. Alle Dienste,
die auf einem solchen Server laufen, können über diese Adresse mit der Außenwelt
kommunizieren. Jedem Dienst auf dem Server ist eine eindeutige Portnummer
zugewiesen, und er kann eindeutig durch eine Kombination von IP-Adresse
und Portnummer adressiert werden. Falls die IP-Adresse eines Servers
beispielsweise 10.10.10.100 ist und die Portnummer eines gegebenen
Dienstes auf diesem Server 80 ist, wäre die Kombination 10.10.10.100:80.
-
US
2002/013844 A1 betrifft ein System mit einem Zugangsnetz, wobei
das System es mehreren Diensten oder Dienstanbietern ermöglicht,
die Einrichtungen der Zugangsnetzinfrastruktur gemeinsam zu verwenden,
wobei physikalische Netzweiterleitungspakete beliebigen einer Vielzahl
von Dienstnetzen bereitgestellt werden. Router verwenden eine Vereinbarung
auf der Grundlage der Quellenadresse der Pakete, die mit dem Dienstnetz
bestimmt wird, um das Paket weiterzuleiten. Jedem Dienst ist eine spezifische
Netzadresse zugewiesen.
-
In
einer modernen Systemumgebung werden die Server über PXE/BOOTP/TFTP (Portable Execution
Environment/Bootstrap Protocol/Trivial File Transfer Protocol) im
LAN gebootet, und ihnen wird über
DHCP (Dynamic Host Configuration Protocol) eine eindeutige IP-Adresse, ihre "physikalische IP", zugewiesen. Jedem
auf einem Server eingeleiteten Dienst wird auch seine eigene "virtuelle IP-Adresse" zugewiesen. Dies
ermöglicht
es, dass Dienste unabhängig
von den Maschinen ausgeführt
werden, d.h. dass die Dienste tatsächlich auf jedem beliebigen
Server ausgeführt
werden können,
ohne dass es nötig
wäre, dass
der Client die Konfiguration ändert. Beispielsweise
greift ein Client immer bei 10.10.10.10 auf einen Dienst zu, der
auf dem Server 10.10.1.2 oder auf jedem anderen Server in diesem LAN
ausgeführt
werden kann. Die physikalische IP des den Dienst ausführenden
Servers ist nicht bekannt und braucht dem Client nicht bekannt zu
sein. Für
die Außenwelt
erscheint eine solche Systemumgebung als eine geschlossene Einheit,
die ihre Dienste äußeren Benutzern
bei nur geringem Konfigurationsaufwand anbietet.
-
Wie
bereits zuvor dargelegt wurde, befinden sich Server in traditionellen
Systemumgebungen typischerweise in einem eigenen Netzsegment, das
als das Server-LAN bezeichnet wird. Das Server-LAN ist über einen
Router mit dem Firmen-LAN verbunden. Der Zugang zu dem Server-LAN
wird durch Zugangslisten geregelt, die beispielsweise Portbereiche
oder IP-Bereiche sperren. 1 zeigt
eine traditionelle Systemumgebung mit gleichen IP-Adressbereichen (nachfolgend
auch als "IP-Bereiche" bezeichnet), die ein
Server-LAN 112 aufweist, das über einen Router 116 mit
einem Firmen-LAN oder -WAN 114 verbunden ist. Zugangslisten,
die in dem Router 116 verwaltet werden, bilden die Grundlage
für das
Ermöglichen oder
Blockieren von Verbindungen. In dem in 1 dargestellten
Beispiel könnte
ein Client mit der IP-Adresse 10.20.30.40 beispielsweise auf einen Dienst
mit dem IP-Portbereich
10.10.10.100:80, jedoch nicht auf einen Dienst mit dem IP-Portbereich 10.10.10.100:23
zugreifen.
-
In
moderneren Systemumgebungen befinden sich die Server auch in einem
eigenen Netzsegment (Server-LAN), das über ein Gateway auf Anwendungsebene
mit dem Firmen-LAN verbunden ist. Ein Gateway ist eine Vorrichtung,
die Netze mit unterschiedlichen, inkompatiblen Kommunikationsprotokollen
verbindet und eine Protokollkonvertierung aufweist, um einen Protokollsatz
in einen anderen Satz zu übersetzen.
In einer solchen Umgebung muss das Server-LAN autark arbeiten. Um
dies zu erreichen, weist das Server-LAN ihren eigenen IP-Bereich
auf, und das Routen zwischen dem Firmen-LAN und dem Server-LAN wird
nicht aktiviert, weil jede Bewegung der Systemumgebung entweder
eine vollständige Änderung
aller Routing-Tabellen in dem Firmen-LAN oder eine vollständige Änderung
der IP-Konfiguration des Server-LANs notwendig machen würde. Daher sind
dem Gateway-Computer eine oder mehrere IP-Adressen innerhalb des
IP-Bereichs des Firmen-LANs, über
das die Dienste verfügbar
sind, zugewiesen.
-
2 zeigt
ein Beispiel einer Netzeinrichtung mit getrennten IP-Bereichen,
wie aus dem Stand der Technik bekannt ist. Bei dieser bekannten
Einrichtung wird ein Server-LAN 212 wieder mit einem Firmen-LAN
oder -WAN 214 verbunden, dieses Mal über ein Gateway-System, das
einen so genannten Proxy-Server 216 aufweist. Ein Proxy-Server
(oder ein Proxy) ist eine Einheit, die gemeinhin auf einem LAN eingerichtet
ist und sich zwischen einem Client und einem "realen" Server befindet. Alle Anforderungen
des Clients werden dann über
den Proxy vorgenommen, der wiederum Anforderungen vom "realen" Server vornimmt
und das Ergebnis zum Client zurückgibt.
Manchmal speichert der Proxy das Ergebnis und gibt ein gespeichertes
Ergebnis aus, statt ein neues zu erzeugen (um die Nutzung eines
Netzes zu verringern).
-
Wiederum
mit Bezug auf 2 sei bemerkt, dass im Fall
einer Clientanfrage der Proxy 216 als eine senderseitige
Zwischenstation angegeben wird, um den gewünschten Dienst zu erreichen.
Die Protokolle, die von den Diensten verwendet werden, die auf dem
Server-LAN ausgeführt
werden, müssen
daher für
eine Proxy-Verwendung geeignet sein. Das Gateway-System weist weiter
eine Weiterleitungsregeltabelle 218 auf, die das so genannte
Weiterleiten ermöglicht.
Dies bedeutet, dass eine gegebene Kombination von IP-Adresse und
Portnummer (beispielsweise 10.10.10.100:80) des Firmen-LANs einer
gegebenen Kombination von IP-Adresse und Portnummer (beispielsweise
192.168.10.100:80) des Server-LANs zugewiesen wird. Dadurch wird
dieser Weg der Verbindung fest im Gateway konfiguriert und nicht
im Client. Ein Nachteil dieser Netzeinrichtung besteht darin, dass
es jedem von einem Dienst verwendeten Protokoll bekannt sein muss,
welchen Verbindungstyp das gegebene Protokoll verwendet. Protokolle,
die von sich aus in der Lage sind, einen zweiten Verbindungsweg
einzurichten (beispielsweise einen Rückkanal wie bei FTP (File Transfer
Protocol)), können
nicht über
das so genannte Weiterleiten verbunden werden. Das einzige mögliche Transportprotokoll
für das
Weiterleiten ist das Protokoll TCP (Transmission Control Protocol).
Eine bidirektionale Kommunikation über Paketkommunikationsprotokolle,
wie UDP (User Datagram Protocol) oder IGMP (Internet Group Management
Protocol) ist nicht möglich.
-
3 zeigt
schließlich
eine weitere aus dem Stand der Technik bekannte Netzeinrichtung,
wobei ein Server-LAN 312 über einen so genannten Netzadressenübersetzungsdienst
(NAT-Dienst) 316 mit einem Firmen-LAN oder -WAN 314 verbunden
ist. NAT ist eine Verbesserung des vorstehend beschriebenen Weiterleitungsdienstes
und hat den Vorteil, dass es die Verwendung von Paketprotokollen,
wie UDP und IGMP, ermöglicht.
Bei NAT hält
der Gateway intern ein Modul mit Verbindungstabellen für jeden
Kommunikationsprotokolltyp. Dies ermöglicht das Einrichten einer
Rückverbindung
vom Server-LAN in das Firmen-LAN in dem Fall, in dem das Kommunikationsprotokoll
bekannt ist und in das Modul implementiert ist. Es tritt jedoch
der Nachteil auf, dass nicht alle Protokollimplementationen bekannt
sind und in diese Module implementiert sind, so dass sie nicht mit
dem NAT-Dienst verwendet werden können.
-
Weil
IP-Adressen begrenzte Ressourcen sind, besteht das Problem darin,
eine Netzeinrichtung bereitzustellen, die eine flexible Zuweisung
von Adressen zu auf einem Server ausgeführten Zugangsdiensten ermöglicht,
ohne dass umfangreiche Zugangslisten oder Weiterleitungsregeln implementiert
werden müssen.
-
Zusammenfassung
der Erfindung
-
Eine
Aufgabe der Erfindung besteht daher darin, ein Netzsystem, einen
Router und ein Netzeinrichtungsverfahren mit verbesserten Zugangsmechanismen
für Dienste
bereitzustellen. Diese Aufgabe wird durch Vorschlagen eines Netzsystems
mit den Merkmalen von Anspruch 1, eines Routers mit den Merkmalen
von Anspruch 6 und eines Netzeinrichtungsverfahrens mit den Merkmalen
von Anspruch 9 gelöst.
-
Gemäß der Erfindung
umfasst ein Computernetzsystem eine Vielzahl von Client-Hardwareelementen,
die ein Computernetz in der Art eines lokalen Netzes LAN oder eines
Weitbereichsnetzes WAN oder einen anderen Typ eines Computernetzes
bilden, und ein Server-Netzsegment. Das Server-Netzsegment ist durch
einen Router mit dem Computernetz verbunden. Ein Router ist eine
Fachleuten wohlbekannte Vorrichtung, die dazu dient, Pakete zwischen
Netzen weiterzuleiten. Die Weiterleitungsentscheidung des Routers
beruht auf Netzschichtinformationen und/oder Routing-Tabellen (häufig durch Routing-Protokolle
eingerichtet). Gemäß der Erfindung
ist dem Computernetz ein erster Zugangsadressbereich zugewiesen,
und dem Server-Netzsegment sind ein zweiter Zugangsadressbereich
und ein dritter Zugangsadressbereich zugewiesen. Überdies ist
der zweite Zugangsadressbereich von dem ersten Zugangsadressbereich
getrennt, und der dritte Zugangsadressbereich stellt mindestens
einen Unterbereich des ersten Zugangsadressbereichs dar, wobei der
Router eingerichtet ist, nur Adressen innerhalb desselben Zugangsadressbereichs
zu routen.
-
Die
Erfindung ermöglicht
die Verwendung eines Standard-Routers mit der Möglichkeit, durchzulassende
Adressbereiche und zu blockierende Adressbereiche zu definieren.
Dies kann beispielsweise mit einem herkömmlichen Filter vorgenommen werden,
indem die entsprechenden Bereiche des zweiten bzw. des dritten Zugangsadressbereichs
definiert werden. Dadurch brauchen keine komplexen Zugangslisten
mehr verwaltet zu werden, und ein Bewegen eines Dienstes kann durch
Einstellen des neuen Adressbereichs automatisch ausgeführt werden.
Die Erfindung besteht aus einer Mischung gemeinsam verwendeter Adressbereiche
und getrennter Adressbereiche, die auch die Erzeugung von Rückverbindungen
sowie die Verwendung von UDP und IGMP ermöglicht.
-
Gemäß einer
möglichen
Ausführungsform sind
die Netzadressen für
Zugangsdienste gemäß der Erfindung
Internetprotokoll-(IP)-Adressen, es kann jedoch in Zusammenhang
mit der Erfindung jedes beliebige andere Adress- oder Protokollsystem verwendet
werden.
-
Die
Erfindung deckt auch ein Computerprogramm mit Programmcodemitteln
ab, die geeignet sind, einen erfindungsgemäßen Prozess auszuführen, wie
vorstehend beschrieben wurde, wenn das Computerprogramm auf einem
Computer ausgeführt wird.
Auch das auf einem computerlesbaren Medium gespeicherte Computerprogramm
wird beansprucht.
-
Weitere
Merkmale und Ausführungsformen der
Erfindung werden anhand der Beschreibung und der anliegenden Zeichnung
verständlich
werden.
-
Es
sei bemerkt, dass die vorstehend erwähnten Merkmale und jene, die
nachstehend beschrieben werden, nicht nur in der spezifizierten
Kombination, sondern auch in anderen Kombinationen oder für sich verwendet
werden können,
ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen.
-
Die
Erfindung ist in der Zeichnung schematisch anhand eines Beispiels
durch eine Ausführungsform
dargestellt und wird nachstehend mit Bezug auf die Zeichnung detailliert
erklärt.
Es sei bemerkt, dass die Beschreibung den Schutzumfang der vorliegenden
Erfindung in keiner Weise beschränkt und
lediglich eine bevorzugte Ausführungsform
der Erfindung erläutert.
-
Kurzbeschreibung
der Zeichnung
-
Es
zeigen:
-
1 eine
Netzeinrichtung mit gemeinsam verwendeten IP-Bereichen aus dem Stand
der Technik,
-
2 eine
Netzeinrichtung mit getrennten IP-Bereichen unter Verwendung eines Proxy
aus dem Stand der Technik,
-
3 eine
Netzeinrichtung mit getrennten IP-Bereichen unter Verwendung einer Netzadressenübersetzung
aus dem Stand der Technik,
-
4 ein
Blockdiagramm einer Netzeinrichtung mit getrennten IP-Bereichen
gemäß der Erfindung
und
-
5 eine
Ausführungsform
eines Server-Netzsegments einer Netzeinrichtung gemäß der Erfindung.
-
Detaillierte
Beschreibung
-
Die
Erfindung wird anhand einer möglichen Ausführungsform
erläutert,
bei der das Computernetz ein so genanntes Firmen-LAN oder -WAN ist, welches
in dem schematischen Blockdiagramm aus 4 als eine
Wolke dargestellt ist, wobei das Server-Netzsegment ein so genanntes
Server-LAN ist, das auch als eine Wolke dargestellt ist. Die Zugangsadressbereiche,
auf die gemäß der Ausführungsform Bezug
genommen wird, sind IP-Adressbereiche. Fachleuten
auf dem Gebiet der Netzsysteme wird jedoch klar sein, dass in Zusammenhang
mit der Erfindung auch jeder andere Typ einer Netz- und/oder Serveranordnung
und/oder eines Protokolls verwendet werden kann.
-
4 zeigt
eine Netzeinrichtung gemäß der Erfindung.
Das Netz umfasst ein Server-LAN 412 und ein Firmen-LAN
oder -WAN 414. Das Server-LAN 412 und das Firmen-LAN 414 sind
miteinander über einen
Router 416 verbunden. Die Verbindung zwischen dem Firmen-LAN 414 und
dem Server-LAN 412 mit dem Router 416 wird über Ethernet-Karten ETH0: bzw.
ETH1: hergestellt. Natürlich
kann auch jeder andere Verbindungstyp, wie FDDI, Token Ring, SLIP,
PPP usw., verwendet werden.
-
Das
Firmen-LAN 414 und das Server-LAN 412 haben getrennte
IP-Bereiche, die durch die Angabe "IP-Bereich 10.x.x.x" unter dem Firmen-LAN 414 und
die Bezeichnungen "IP-Bereich
192.168.x.x" und "IP-Bereich 10.10.10.x" unter dem Server-LAN 412 dargestellt
sind.
-
Gemäß der Erfindung
wird jedem Dienst an dem Server-LAN eine IP-Adresse zugewiesen.
Jedem Dienst an dem Server-LAN, der für den Zugriff auf das Firmen-LAN
offen sein soll, wird eine IP-Adresse innerhalb des IP-Bereichs
(der IP-Bereiche) des Firmen-LANs zugewiesen (beispielsweise 10.10.10.100).
Jedem Dienst, der nur intern dem Server-LAN zur Verfügung stehen
soll, wird eine IP-Adresse
innerhalb des IP-Bereichs des Server-LANs zugewiesen (beispielsweise 192.168.10.100).
Dies gilt auch für
die IP-Adressen der jeweiligen Hardware.
-
Wie
Fachleute verstehen werden, können dem
Firmen-LAN 414 ein oder mehrere weitere IP-Bereiche (beispielsweise
172.x.x.x) zugewiesen werden, und dem Server-LAN 412 könnten dementsprechend
auch weitere IP-Bereiche
zugewiesen werden, welche Unterbereiche der weiteren IP-Bereiche
des Firmen-LANs sein könnten
(beispielsweise 172.10.20.x und/oder 172.20.x.x). Es wird verständlich,
dass innerhalb des Schutzumfangs dieser Erfindung jede beliebige
Anzahl von Zugangsadressbereichen auf beiden Seiten, d.h. am Netz
und am Server, verwendet und gemischt werden können, wobei der Router zu routende
Bereiche (routbare Bereiche) und nicht zu routende Bereiche (nicht
routbare Bereiche) definiert. Die Bereiche können beliebige Adressen aufweisen,
solange die logische Beziehung zwischen routbaren und nicht routbaren
Bereichen im Router geeignet definiert ist.
-
Die
Verbindung zwischen dem Firmen-LAN 414 und dem Server-LAN 412 wird
durch den Router 416 hergestellt, der ein Standard-Router
mit einem Paketfilter sein kann. Das Filter ist so implementiert, dass
der exklusive IP-Bereich
192.168.x.x des Server-LANs blockiert wird und nur der gemeinsame oder
geteilt verwendete Bereich 10.10.10.x geroutet wird. Die Verwendung
von Filtern, die angesichts des gemeinsamen IP-Bereichs eingerichtet
sind, verbessert die Systemsicherheit. Filterregeln in Bezug auf den
IP-Bereich des Server-LANs 412 müssen für die gesamte
Lebensdauer des Systems nur einmal implementiert werden. Es sei
bemerkt, dass die Einrichtung des Routers auch ohne Filterdefinitionen
erfolgen kann, beispielsweise durch Routing-Tabellen oder Routing-Protokolle.
-
Mit
Bezug auf 5 wird ein Beispiel einer Ausführungsform
des Server-Netzsegments 412 der Servereinrichtung aus 4 in
weiteren Einzelheiten beschrieben. Das Server-LAN 412 umfasst
drei verschiedene Hardwareelemente, d.h. ein erstes Hardwareelement 420,
ein zweites Hardwareelement 422 und ein drittes Hardwareelement 424.
Betriebssysteme, Überwachungsagenten
und Secure-Shell-Dämonen laufen
auf jedem dieser Hardwareelemente 420, 422, 424.
-
Auf
dem ersten Hardwareelement 420 laufen drei Anwendungsserver.
Es sei bemerkt, dass der Begriff "Server" nicht für ein Hardwareelement, sondern
vielmehr für
einen Dienst steht.
-
Das
zweite Hardwareelement 422 beinhaltet einen Datenbankserver
sowie einen vierten Anwendungsserver, der auf den Datenbankserver
zugreifen muss. Eine globale Systemüberwachungseinrichtung ist
auf dem dritten Hardwareelement 424 installiert, wobei
der Systemüberwachungseinrichtung
Daten von den Überwachungsagenten
zugeführt
werden.
-
Die
drei Anwendungsserver des ersten Hardwareelements 420 und
der eine Anwendungsserver des zweiten Hardwareelements 422 haben routbare
IP-Adressen 10.10.10.3, 10.10.10.4, 10.10.10.5 und 10.10.10.6, und
es kann demgemäß "extern", d.h. von außerhalb
des Server-LANs 412 auf sie zugegriffen werden. Der Datenbankserver
auf dem zweiten Hardwareelement 422 ist nur für die Anwendungsserver
von Interesse, weil auf ihn nie direkt von äußeren Clients zugegriffen werden
muss. Daher ist dem Datenbankserver eine interne, d.h. nicht routbare
Adresse 192.168.100.2 zugewiesen.
-
Die Überwachungsagenten
kommunizieren nur mit dem Systemüberwachungsserver
des dritten Hardwareelements 424 und haben demgemäß die internen
Adressen 192.168.20.3, 192.168.20.4 und 192.168.20.5. Der Zweck
der Systemüberwachungseinrichtung
besteht darin, gebündelte
Informationen der Überwachungsagenten
den Clients zur Verfügung
zu stellen. Demgemäß ist der
Systemüberwachungseinrichtung
eine externe routbare Adresse 10.10.10.2 zugewiesen.
-
Die
Secure-Shell-Dämonen
am ersten und zweiten Hardwareelement sollen aus Sicherheitsgründen nur
intern zugänglich
sein und sind demgemäß nicht
routbaren Adressen zugewiesen. Der Secure-Shell-Dämon des
dritten Hardwareelements soll jedoch auch für Clients zugänglich sein
und weist demgemäß die routbare
Adresse 10.10.10.1 auf. Ein Anmelden am Secure-Shell-Dämon des
dritten Hardwareelements ermöglicht
eine Verbindung mit den Secure-Shell-Dämonen des
ersten und des zweiten Hardwareelements.
-
Gemäß der Erfindung
kann der identische IP-Bereich
des Server-LANs in einer beliebigen Anzahl paralleler Server-LANs
verwendet werden, wird eine Mehrfachverwendung eines IP-Bereichs
möglich
und wird ein IP-Adressraum gespart. Im Fall physikalischer Bewegungen des
Netzsystems oder eines Teils des Netzsystems brauchen nur die IP-Adressen
der Dienste geändert
zu werden, und die Filter müssen
nur an die neuen IP-Adressen angepasst werden, was trivial ist und
automatisch ausgeführt
werden kann. Die Erfindung sieht ein neues und erfindungsgemäßes Verfahren
vor, das keine Konvertierung oder Übersetzung von Protokollen
benötigt,
sondern vielmehr auf der Grundlage von Routing-Definitionen arbeitet.
Offensichtlich ist die Erfindung nicht auf die Verwendung nur eines
dem Computernetz oder dem Firmen-LAN zugewiesenen Zugangsadressbereichs
beschränkt,
weil sie auch ein Computernetz abdeckt, dem zwei oder sogar noch mehr
verschiedene Zugangsadressbereiche zugewiesen sind.