ITMO20130178A1 - Sistema per l'instradamento di dati in reti informatiche - Google Patents

Sistema per l'instradamento di dati in reti informatiche

Info

Publication number
ITMO20130178A1
ITMO20130178A1 IT000178A ITMO20130178A ITMO20130178A1 IT MO20130178 A1 ITMO20130178 A1 IT MO20130178A1 IT 000178 A IT000178 A IT 000178A IT MO20130178 A ITMO20130178 A IT MO20130178A IT MO20130178 A1 ITMO20130178 A1 IT MO20130178A1
Authority
IT
Italy
Prior art keywords
network interface
address
lan
network
virtual
Prior art date
Application number
IT000178A
Other languages
English (en)
Inventor
Christian Marzadro
Adriano Zanfei
Original Assignee
C R D Ct Ricerche Ducati Trent O S R L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by C R D Ct Ricerche Ducati Trent O S R L filed Critical C R D Ct Ricerche Ducati Trent O S R L
Priority to IT000178A priority Critical patent/ITMO20130178A1/it
Priority to ES14759281T priority patent/ES2766325T3/es
Priority to US14/900,181 priority patent/US10382330B2/en
Priority to PCT/IB2014/062273 priority patent/WO2014203154A1/en
Priority to EP14759281.0A priority patent/EP3011708B1/en
Publication of ITMO20130178A1 publication Critical patent/ITMO20130178A1/it

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

Descrizione di Brevetto per Invenzione Industriale avente per titolo:
“SISTEMA PER L' INSTRADAMENTO DI DATI IN RETI INFORMATICHE†.
DESCRIZIONE
La presente invenzione si riferisce ad un sistema per l’instradamento di dati in reti informatiche.
E’ nota e sempre più sentita la necessità di connettere un’applicazione presente su di un computer Client ad un’applicazione presente su di un server remoto attraverso la convenzionale rete Internet.
Generalmente, la connessione presenta una serie di caratteristich comuni:
- il traffico generato dai due applicativi utilizza protocolli standard di livello 4 del cosiddetto modello ISO/OSI, tipicamente protocolli TCP (Transmission Control Protocol) o UDP (User Datagram Protocol); - ad ogni applicazione (o servizio) à ̈ associata staticamente una porta (socket) differente, che consente a più processi/applicazioni di attivare connessioni multiple TCP/UDP pur condividendo lo stesso indirizzo IP;
- l’accesso alla rete Internet da parte di componenti od apparati à ̈ di tipo indiretto.
Questo implica che l’indirizzo IP assegnato non à ̈ pubblico, ma bensì appartenente ad una sottorete alla quale l’apparato à ̈ collegato, di conseguenza à ̈ un indirizzo privato e non univoco nello spazio di indirizzi assegnati nella rete Internet.
delle sottoreti, à ̈ noto e comune l’impiego di un componente/apparato elettronico cosiddetto router atto ad instradare dati fra reti distinte e, in particolare, atto a gestire tutte le richieste verso indirizzi IP pubblici.
delle reti viene anche gestito il filtraggio delle comunicazioni in base all'indirizzo IP, al numero di porta TCP/UDP, oltre al contenuto in chiaro della comunicazione.
Il filtraggio effettuato dal firewall può essere più o meno stringente a seconda del livello di sicurezza informatica previsto per la specifica sottorete.
Considerando la necessità di connettere un’applicazione presente su di un computer client ad un’applicazione presente su di un server remoto attraverso la convenzionale rete Internet, e in generale la necessità di interconnettere tra loro differenti apparati/componenti client, si riscontrano quindi alcune complessità.
Gli apparati/componenti client possono infatti presentare le seguenti caratteristiche:
- indirizzo IP privato, e quindi non univoco;
- le richieste verso IP pubblici vengono instradate da un gateway di terze parti presente sulla stessa rete;
- il firewall di terze parti potrebbe non consentire l’instradamento di pacchetti legati ad alcune porte e/o effettuare un filtraggio in base al contenuto dei pacchetti;
- il firewall di terze parti potrebbe non inoltrare le richieste provenienti dall’esterno verso un client presente nella sua sottorete.
Per ovviare a tali inconvenienti e consentire il pieno controllo del client sono normalmente utilizzati sistemi di comunicazione di tipo VPN (Virtual Private Network), che consentono di instaurare una connessione privata tra due apparati, nello specifico tra client e server, utilizzando una rete pubblica condivisa.
In particolare, alcuni programmi VPN, come ad esempio Open VPN, consentono l' implementazione del tunneling, ovvero la canalizzazione tutte le connessioni TCP/UDP su differenti porte instradate su di un'unica porta, ad esempio la più comune porta 80 TCP/IP, risolvendo di fatto il problema del filtraggio effettuato da un firewall di terze parti e dell’instradamento dei pacchetti da e verso il client.
Come illustrato schematicamente in figura 1, l’utilizzo di un sistema di tipo VPN prevede l’assegnazione sul server di un indirizzo IP per un capo dei tunnel (srvtun1) e l’assegnazione di un indirizzo IP differente su ciascun client per ogni altro capo dei tunnel (tun1-tunn).
Come illustrato a titolo esemplificativo sempre in figura 1, in tale configurazione esiste l’eventualità che all’interfaccia di rete (eth0) del client (client 1) connessa ad una LAN (3p LAN 1) sia assegnato un indirizzo IP identico a quello preimpostato per il tunnel (tun1), con conseguenti problemi di indirizzamento.
Infatti, in tal caso l’indirizzo IP privato assegnato all’interfaccia di rete (eth0) à ̈ assegnato dinamicamente dal servizio DHCP della rete privata (3p LAN 1) e può appartenere a qualsiasi classe di indirizzi IP privati.
In particolare, le tre classi di indirizzi IP privati sono, rispettivamente:
- indirizzi di classe A 10.x.x.x, con indirizzi IP da 10.0.0.0 a 10.255.255.255;
- indirizzi di classe B 172.x.x.x, con indirizzi IP da 172.16.0.0 a 172.31.255.255;
- indirizzi di classe C 192.168.x.x, con indirizzi IP da 192.168.0.0 a 192.168.255.255.
Per ovviare a tale inconveniente à ̈ quindi necessario l’intervento da parte dell’amministratore di rete il quale, una volta verificata l’anomalia, deve modificare in modo manuale e statico gli indirizzi IP assegnati.
Il compito principale della presente invenzione à ̈ quello di escogitare un sistema per l’instradamento di dati in reti informatiche che garantisca il corretto instradamento dei dati tra dispositivi appartenenti a sottoreti differenti, collegate alla rete Internet sia direttamente che indirettamente, in modo completamente automatico e senza la necessità di configurazioni manuali dei dati di instradamento.
Altro scopo del presente trovato à ̈ quello di escogitare un sistema per l' instradamento di dati in reti informatiche che consenta di superare i menzionati inconvenienti della tecnica nota nell’ambito di una soluzione semplice, razionale, di facile ed efficace impiego e dal costo contenuto. Gli scopi sopra esposti sono raggiunti dal presente sistema per l’instradamento di dati in reti informatiche secondo la rivendicazione 1. Altre caratteristiche e vantaggi della presente invenzione risulteranno maggiormente evidenti dalla descrizione di una forma di esecuzione preferita, ma non esclusiva, di un sistema per l' instradamento di dati in reti informatiche, illustrato a titolo indicativo, ma non limitativo, nelle unite tavole di disegni in cui:
la figura 2 Ã ̈ uno schema a blocchi che illustra complessivamente il sistema secondo il trovato;
la figura 3 à ̈ uno schema a blocchi che illustra con maggiore dettaglio un’unità di instradamento, del tipo di un firewall/router, appartenente al sistema secondo il trovato;
le figure dalla 4 alla 7 illustrano schematicamente differenti possibili indirizzamenti effettuabili mediante l’unità di instradamento di figura 2; la figura 8 illustra una seconda possibile forma di attuazione del sistema secondo il trovato;
le figure 9 illustra una possibile prima tabella di instradamento virtuale implementabile all’intemo dell’unità di instradamento di figura 8;
la figura 10 illustra una possibile seconda tabella di instradamento implementabile all’ interno dell’unità di instradamento di figura 8.
Con particolare riferimento a tali figure, si à ̈ indicato globalmente con S un sistema per l’instradamento di dati in reti informatiche, in grado di consentire l' interconnessione automatica di differenti componenti o dispositivi client connessi a differenti reti private proprietarie connesse a Internet direttamente od indirettamente mediante reti di terze parti.
In particolare, come illustrato schematicamente in figura 2, il sistema S comprende:
- un’unità server SRV collegata ad una rete pubblica I, costituita ad esempio dalla convenzionale rete Internet;
una pluralità di reti locali proprietarie, indicate con la dicitura Prop.
LAN 1, ... , Prop. LAN m, provviste di rispettivi dispositivi Client CL1, . .. , CLn;
- una pluralità di unità di instradamento FW1, ... , FWm, costituite da opportuni componenti e/o dispositivi, collegati a rispettive reti locali proprietarie e collegati alla rete pubblica I attraverso rispettive reti locali di terze parti 3p LAN 1, .. . , 3p LAN m.
Non si escludono tuttavia differenti architetture del sistema S in cui, ad esempio, alcune o tutte le unità di instradamento FW1, ... , FWm sono collegati direttamente alla rete pubblica I.
Le reti locali di terze parti 3p LAN 1, ... , 3p LAN m possono essere costituite, ad esempio, da rispettive WAN (Wide Area Network) che si estendono all’interno di una determinata area geografica, ad esempio all’interno di differenti aree comunali.
Le unità di instradamento FW1, ... , FWm sono costituite da rispettivi firewall/router proprietari e sono indispensabili per la gestione di ciascuna delle reti locali proprietarie.
In particolare, ciascuna delle unità di instradamento FW1, ... , FWm à ̈ provvista di una prima interfaccia di rete eth0 collegata alla rete pubblica I attraverso una rispettiva rete locale di terze parti 3p LAN 1 , ... , 3p LAN m.
Inoltre, ciascuna delle Unità di instradamento FW1, ... , FWm à ̈ provvista di una seconda interfaccia di rete ethl collegata ad una rispettiva rete locale Prop. LAN 1, .. . , Prop. LAN m.
Utilmente, ciascuna delle unità di instradamento FW1, ... , FWm à ̈ provvista di una terza interfaccia di rete collegata a all’unità server SRV attraverso una connessione privata VPN (Virtual Private Network).
Tale connessione privata VPN Ã ̈ realizzata preferibilmente mediante Open VPN o altra soluzione di tunneling su porta identificata libera alla comunicazione sulle reti di terze parti.
Ciascuna unità di instradamento FW1, ... , FWm (firewall/router) à ̈ in grado di gestire:
- un indirizzo IP privato non noto a priori sulla prima interfaccia di rete eth0, che può appartenere a qualsiasi classe di indirizzi IP privati e che, ad esempio, può essere assegnato dinamicamente da un servizio DHCP della rispettiva rete locale di terze parti;
- F indirizzamento IP dei dispositivi Client CL1, ... , CLn appartenenti alle reti locali proprietarie collegate alla seconda interfaccia di rete ethl;
- uno o più indirizzi IΡ relativi a una o più terze interfacce di rete tunl dedicate ai tunnel VPN;
l 'indirizzamento di altri dispositivi Client CL1, ... , CLn appartenenti alle altre reti locali proprietarie.
Vantaggiosamente, ciascuna unità di instradamento FW1, ... , FWm comprende mezzi automatici di instradamento VM0, costituiti da un opportuno componente o dispositivo, atti ad instradare i dati tra l’unità server SRV e la rispettiva rete locale Prop. LAN 1, ... , Prop. LAN m, indipendentemente dall’indirizzo IΡ assegnato alla rispettiva prima interfaccia di rete ethO.
In tal modo, ciascuna unità di instradamento FW1, ... , FWm garantisce il corretto instradamento dei dati tra dispositivi client appartenenti a differenti reti locali, collegate alla rete Internet sia direttamente che indirettamente, in modo completamente automatico e senza la necessità di configurazioni manuali delle informazioni di instradamento.
Con riferimento ad una preferita forma di realizzazione, i mezzi automatici di instradamento VM0 sono implementati mediante una macchina virtuale operativamente interposta tra la prima interfaccia di rete eth0 la seconda interfaccia di rete eth1.
In particolare, la macchina virtuale VM0 à ̈ costituita da un software realizzato specificatamente per l’indirizzamento/instradamento dei dati. Non si escludono, tuttavia, differenti forme di realizzazione, in cui ad esempio i mezzi automatici di instradamento sono implementati mediante uno o più dispositivi hardware e/o programmi software distinti e separati rispetto al firewall/router.
In particolare, ciascuna macchina virtuale VM0 comprende almeno una prima interfaccia di rete virtuale eth0' collegata alla prima interfaccia di rete eth0.
Inoltre, ciascuna unità di instradamento FW1, ... , FWm comprende un’interfaccia di rete fittizia dummy0 e ciascuna macchina virtuale VM0 comprende una seconda interfaccia di rete virtuale eth1' collegata a tale interfaccia di rete fittizia dummy0.
Ciascuna macchina virtuale VM0 comprende una tabella di instradamento virtuale RT0 contenente informazioni di indirizzamento dei dati verso la prima e la seconda interfaccia di rete virtuale eth0’ e eth1’.
Inoltre, ciascuna unità di instradamento FW1, ... , FWm comprende una tabella di instradamento RT1 contenente informazioni di indirizzamento dei dati verso la seconda interfaccia di rete eth1, la terza interfaccia di rete tun1 e l' interfaccia di rete fittizia dummy0.
Vantaggiosamente, l' indirizzo IP di detta prima interfaccia di rete virtuale eth0' corrisponde all'indirizzo IP della prima interfaccia di rete eth0.
Inoltre, la macchina virtuale VM0 comprende mezzi di determinazione M atti a determinare un indirizzo IP da assegnare alla seconda interfaccia di rete virtuale eth1' in funzione dell'indirizzo IP della prima interfaccia di rete virtuale.
Preferibilmente, i mezzi di determinazione sono implementati mediante un opportuno algoritmo software.
In particolare, l'indirizzo IP della seconda interfaccia di rete virtuale ethl':
- appartiene ad una classe di indirizzi IΡ differente rispetto alla classe di indirizzi IP dell'indirizzo IP della prima interfaccia di rete virtuale ethO';
- non coincide con nessuno degli indirizzi IP assegnabili alla rispettiva rete locale Prop. LAN 1 , ... , Prop. LAN m.
Inoltre, l'algoritmo software M Ã ̈ atto a determinare un indirizzo IP da assegnare all'interfaccia di rete fittizia dummy0 in funzione dell'indirizzo IP della prima interfaccia di rete virtuale eth0'.
In particolare, l'indirizzo IP dell'interfaccia di rete fittizia dummy0:
- appartiene ad una classe di indirizzi IP differente rispetto alla classe dell'indirizzo IP della prima interfaccia di rete virtuale eth0';
- non coincide con nessuno degli indirizzi IP assegnabili a detta rete locale.
Preferibilmente, l'algoritmo software M programma un DHCP server per assegnare lindirizzo IP determinato alla porta di rete fittizia dummy0.
Con riferimento ad ima preferita forma di realizzazione de sistema S, una specifica e predefinita classe di indirizzi EP Ã ̈ utilizzata per lindirizzamento di tutte le reti locali Prop. LAN 1 , ... , Prop. LAN m.
Ad esempio, gli indirizzi IP della classe C da 192.168.X.0 a 192.1 68. x.255 possono essere utilizzati per ogni rete locale proprietaria.
Sempre con riferimento ad una preferita forma di realizzazione del sistema S, una specifica e predefinita classe di indirizzi IP Ã ̈ utilizzata per lindirizzamento dei tunnel VPN mediante le terze interfacce di rete tun1. Ad esempio, gli indirizzi IP della classe B da 172.16.0.0 a 172.31.255.255 possono essere utilizzati per ogni interfaccia dei tunnel VPN.
Durante il funzionamento del sistema S, ciascuna unità di instradamento FW1, ... , FWm à ̈ in grado di gestire qualsiasi assegnamento IP dinamico sulla prima interfaccia di rete eth0 connessa alla rete locale di terze parti.
Nelle figure dalla 4 alla 7 sono illustrati schematicamente differenti possibili indirizzamenti effettuabili mediante ciascuna unità di instradamento FW1, ... , FWm.
Nell’esempio di figura 4 alla prima interfaccia di rete eth0 à ̈ assegnato un indirizzo di classe A 10.4.247.106.
La prima interfaccia di rete virtuale eth0’ della macchina virtuale VM0 presente nell’unità di instradamento FW1 prende lo stesso indirizzo di eth0, quindi lindirizzo di classe A 10.4.247.106.
L’algoritmo software M implementato nella macchina virtuale VM0 assegna lindirizzo di classe C 192.169.200.254 alla seconda interfaccia di rete virtuale eth1’ e programma un DHCP server per assegnare l’indirizzo di classe C 192.169.200.2 all’interfaccia di rete fittizia dummy0 dell’unità di instradamento FW1.
Alla terza interfaccia di rete tun1, destinata alla comunicazione tramite tunnel VPN, rimane assegnato un indirizzo di classe B, ad esempio 172.18.1 .2.
Alla seconda interfaccia di rete eth1, collegata alla rete locale proprietaria, rimane assegnato un indirizzo di classe C, ad esempio 192.168.2.1.
In particolare, la seconda interfaccia di rete eth1 può gestire dinamicamente e staticamente tutto lo spazio di indirizzi della classe C, da 192.168.0.0 a 192.168.255.255, ad esclusione degli indirizzi 192.168.200.254 e 192.168.200.2 riservati alle interfacce eth1’ e dummy0, rendendo così possibile rindirizzamento di tutti i client della rete locale proprietaria.
Nell'esempio di figura 5 alla prima interfaccia di rete eth0 Ã ̈ assegnato un indirizzo di classe B 172.16.247.106.
La prima interfaccia di rete virtuale eth0’ della macchina virtuale VM0 presente dell’unità di instradamento FW1 prende lo stesso indirizzo di eth0, quindi l’indirizzo di classe B 172.16.247.106.
L’algoritmo software M implementato nella macchina virtuale VM0 assegna l’indirizzo di classe C 192.169.200.254 alla seconda interfaccia di rete virtuale eth1’ e programma un DHCP server per assegnare l’indirizzo di classe C 192.169.200.2 all’interfaccia di rete fittizia dummy0 dell’unità di instradamento FW1.
Alla terza interfaccia di rete tun1, destinata alla comunicazione tramite tunnel VPN, rimane assegnato un indirizzo di classe B, ad esempio 172.18.1.2.
Alla seconda interfaccia di rete eth1, collegata alla rete locale proprietaria, rimane assegnato un indirizzo di classe C, ad esempio 192.168.2.1.
In particolare, la seconda interfaccia di rete eth1 può gestire dinamicamente e staticamente tutto lo spazio di indirizzi della classe C, da 192.168.0.0 a 192.168.255.255, ad esclusione degli indirizzi 192.168.200.254 e 192.168.200.2 riservati alle interfacce eth1’ e dummy0, rendendo così possibile l' indirizzamento di tutti i client della rete locale proprietaria.
Nell'esempio di figura 6 alla prima interfaccia di rete eth0 Ã ̈ assegnato un indirizzo di classe C 192.168.247.106.
La prima interfaccia di rete virtuale eth0’ della macchina virtuale VM0 presente dell’unità di instradamento FW1 prende lo stesso indirizzo di eth0, quindi l’indirizzo di classe C 192.168.247.106.
L’algoritmo software M implementato nella macchina virtuale VM0 assegna l’indirizzo di classe B 172.17.200.254 alla seconda interfaccia di rete virtuale eth1’ e programma un DHCP server per assegnare l' indirizzo di classe C 172.17.200.2 all’interfaccia di rete fittizia dummy0 dell’unità di instradamento FW1.
Alla terza interfaccia di rete tun1, destinata alla comunicazione tramite tunnel VPN, rimane assegnato un indirizzo di classe B, ad esempio 172.18.1.2.
Alla seconda interfaccia di rete eth1, collegata alla rete locale proprietaria, rimane assegnato un indirizzo di classe C, ad esempio 192.168.2.1.
In particolare, la seconda interfaccia di rete eth1 può gestire dinamicamente e staticamente tutto lo spazio di indirizzi della classe C, da 192.168.0.0 a 192.168.255.255, rendendo così possibile Findirizzamento di tutti i client della rete locale proprietaria.
Nell'esempio di figura 7 alla prima interfaccia di rete eth0 Ã ̈ assegnato un indirizzo pubblico 109.205.109.10.
La prima interfaccia di rete virtuale eth0’ della macchina virtuale VM0 presente dell’unità di instradamento FW1 prende lo stesso indirizzo di eth0, quindi l' indirizzo pubblico 109.205.109.10.
L’algoritmo software M implementato nella macchina virtuale VM0 assegna l'indirizzo di classe C 192.169.200.254 alla seconda interfaccia di rete virtuale eth1’ e programma un DHCP server per assegnare lindirizzo di classe C 192.169.200.2 all’interfaccia di rete fittizia dummy0 dell’unità di instradamento FW1.
Alla terza interfaccia di rete tun1, destinata alla comunicazione tramite tunnel VPN, rimane assegnato un indirizzo di classe B, ad esempio 172.18.1.2.
Alla seconda interfaccia di rete eth1, collegata alla rete locale proprietaria, rimane assegnato un indirizzo di classe C, ad esempio 192.168.2.1.
In particolare, la seconda interfaccia di rete eth1 può gestire dinamicamente e staticamente tutto lo spazio di indirizzi della classe C, da 192.168.0.0 a 192.168.255.255, ad esclusione degli indirizzi 192.168.200.254 e 192.168.200.2 riservati alle interfacce eth1’ e dummy0, rendendo così possibile l indirizzamento di tutti i client della rete locale proprietaria.
In pratica, in ognuno degli esempi sopradescritti rimangono sempre liberi ed utilizzabili per le reti locali proprietarie Prop. LAN 1 , . .. , Prop. LAN m gli indirizzi della classe C.
Per consentire la connessione di due unità client di due differenti reti locali proprietarie attraverso i tunnel VPN, ciascuna delle unità di instradamento FW1, ... , FWm comprendono mezzi di mappatura, implementati mediante una o più regole di mappatura di rete memorizzate all’interno dell’unità di instradamento stessa, atti ad associare alle altre reti locali proprietarie gli indirizzi della classe A.
Come noto, gli indirizzi di classe A vanno da 10.x.x.x a 10.255.255.255 e, pertanto, questo consente di avere a disposizione 256*256*256 indirizzi. Preferibilmente, il secondo ed il terzo campo disponibile di ciascun indirizzo IΡ di classe A sono destinati all’identificazione dell’unità di instradamento FW1, ... , FWm, mentre il terzo campo disponibile à ̈ destinato ad identificare ogni unità client CL1, , CLn all’ interno della specifica rete locale proprietaria Prop. LAN 1, .. . , Prop. LAN m.
In particolare, secondo una preferita ma non esclusiva forma di realizzazione del sistema S, le suddette regole di mappatura associano gli indirizzi di classe C associati a ciascuna unità client CL1, ... , CLn all’interno di una rete locale proprietaria agli indirizzi di classe A nel modo seguente:
192.1 68. x.2 corrisponde a 10.<numero firewall campo 1>.<numero firewall campo 2>.x.
Ad esempio:
192.168.1.2 corrisponde a 10.200.2.1;
192.168.2.2 corrisponde a 10.200.2.2;
192.168.3.2 corrisponde a 10.200.2.3;
192.168.4.2 corrisponde a 10.200.2.4;
192.168.5.2 corrisponde a 10.200.2.5.
Con particolare riferimento ad una forma di realizzazione del sistema S alternativa, illustrata schematicamente ed a titolo esemplificativo in figura 8, à ̈ previsto l’utilizzo di reti VLAN (Virtual LAN) collegate ad uno o più switch di rete SW.
Tale particolare forma di realizzazione consente di gestire in modo sicuro il collegamento tra unità client della stessa rete locale proprietaria, forzando la loro comunicazione verso il firewall FW.
Inoltre, à ̈ definita un’associazione univoca tra ciascun numero di porta dello switch di rete SW e l’indirizzo IP assegnato a tale porta.
In particolare, ciascun indirizzo IP di tipo 192. 168. x.2 corrisponde all' apparato collegato alla porta x.
Ad esempio:
192.168.1.2 corrisponde all’apparato collegato alla porta 1;
192.168.2.2 corrisponde all’apparato collegato alla porta 2;
192.168.3.2 corrisponde all’apparato collegato alla porta 3;
192.168.4.2 corrisponde all’apparato collegato alla porta 4;
192.168.5.2 corrisponde all’apparato collegato alla porta 5.
Inoltre, a titolo puramente esemplificativo, sono riportate nelle figure 9 e 10 possibili tabelle di instradamento del sistema S.
In particolare, in figura 9 sono riportate possibili informazioni di indirizzamento memorizzate all’ interno di una tabella di indirizzamento virtuale RT0 di una macchina virtuale VM0 del sistema S.
In figura 10 sono invece riportate possibili informazioni di indirizzamento memorizzate all’interno di una tabella di indirizzamento RT1 di un’unità di instradamento FW1, ... . FWm del sistema S.
Si à ̈ in pratica constatato come il trovato descritto raggiunga gli scopi proposti.

Claims (11)

  1. RIVENDICAZIONI 1) Sistema (S) per l’instradamento di dati in reti informatiche, comprendente: almeno un’unità server (SRV) collegata ad una rete pubblica (I); almeno una rete locale (Prop. LAN 1, ... , Prop. LAN m) provvista di almeno un dispositivo client (CL1, ... , CLn); - almeno un’unità di instradamento (FW1, ... , FWm) provvista di una prima interfaccia di rete (ethO) collegata a detta rete pubblica (I) direttamente o indirettamente attraverso una rete locale di terze parti (3p LAN 1, ... , 3p LAN m) e provvista di almeno una seconda interfaccia di rete (eth1) collegata a detta rete locale (Prop. LAN 1, ... , Prop. LAN m); in cui a detta prima interfaccia di rete (eth0) à ̈ assegnato un indirizzo IP pubblico o un indirizzo IP privato determinato da detta rete locale di terze parti (3p LAN 1, ... , 3p LAN m); ed in cui a detta rete locale (Prop. LAN 1, ... , Prop. LAN m) à ̈ assegnata almeno una predefinita classe di indirizzi IP privati; caratterizzata dal fatto che detta unità di instradamento (FW1, ... , FWm) comprende mezzi automatici di instradamento (VM0) dei dati tra detta almeno un’unità server (SRV) e detta almeno una rete locale (Prop. LAN 1, ... , Prop. LAN m) indipendentemente dall’ indirizzo IP assegnato a detta prima interfaccia di rete (eth0).
  2. 2) Sistema (S) secondo la rivendicazione 1, caratterizzato dal fatto che detta unità di instradamento (FW1, ... , FWm) comprende almeno una terza interfaccia di rete (tun1) collegata a detta unità server (SRV) attraverso almeno una connessione VPN.
  3. 3) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detti mezzi automatici di instradamento (VM0) comprendono almeno una macchina virtuale (VM0) operativamente interposta tra detta prima interfaccia di rete (eth0) e detta seconda interfaccia di rete (eth1).
  4. 4) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detta macchina virtuale (VM0) comprende almeno una prima interfaccia di rete virtuale (eth0’) collegata a detta prima interfaccia di rete (eth0).
  5. 5) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detta unità di instradamento (FW1, , FWm) comprende almeno un’interfaccia di rete fittizia (dummy0).
  6. 6) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detta macchina virtuale (VM0) comprende almeno una seconda interfaccia di rete virtuale (eth1’) collegata a detta interfaccia di rete fittizia (dummy0).
  7. 7) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detta macchina virtuale (VM0) comprende almeno una tabella di instradamento virtuale (RT0) contenente informazioni di indirizzamento dei dati verso dette prima e seconda interfacce di rete virtuali (eth0', eth1’).
  8. 8) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che l’indirizzo IP di detta prima interfaccia di rete virtuale (eth0’) corrisponde a detto indirizzo IP della prima interfaccia di rete (eth0).
  9. 9) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che detta macchina virtuale (VM0) comprende mezzi di determinazione (M) atti a determinare un indirizzo IP da assegnare a detta seconda interfaccia di rete virtuale (eth1’) in funzione di detto indirizzo IP della prima interfaccia di rete virtuale (eth0’), tale che: - detto indirizzo IΡ della seconda interfaccia di rete virtuale (eth1') appartiene ad una classe di indirizzi IP differente rispetto alla classe di indirizzi IP di detto indirizzo IP della prima interfaccia di rete virtuale (eth0'); - detto indirizzo IΡ della seconda interfaccia di rete virtuale (eth1’) non coincide con nessuno degli indirizzi IP assegnabili a detta rete locale (Prop. LAN 1, ... , Prop. LAN m).
  10. 10) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzato dal fatto che mezzi di determinazione (M) sono atti a determinare un indirizzo IP da assegnare a detta interfaccia di rete fittizia (dummy0) in funzione di detto indirizzo IP della prima interfaccia di rete virtuale (eth0'), tale che: - detto indirizzo IP dell’interfaccia di rete fittizia (dummy0) appartiene ad una classe di indirizzi IP differente rispetto alla classe di indirizzi IP di detto indirizzo IP della prima interfaccia di rete virtuale (eth0’); - detto indirizzo IP dell’interfaccia di rete fittizia (dummy0) non coincide con nessuno degli indirizzi IP assegnabili a detta rete locale (Prop. LAN 1, ... , Prop. LAN m).
  11. 11) Sistema (S) secondo una o più delle rivendicazioni precedenti, caratterizzata dal fatto che detta unità di instradamento (FW1, ... , FWm) comprende almeno una tabella di instradamento (RT1) contenente informazioni di indirizzamento dei dati verso detta seconda interfaccia di rete (eth1), detta terza interfaccia di rete (tun1) e detta interfaccia di rete fittizia (dummy0).
IT000178A 2013-06-21 2013-06-21 Sistema per l'instradamento di dati in reti informatiche ITMO20130178A1 (it)

Priority Applications (5)

Application Number Priority Date Filing Date Title
IT000178A ITMO20130178A1 (it) 2013-06-21 2013-06-21 Sistema per l'instradamento di dati in reti informatiche
ES14759281T ES2766325T3 (es) 2013-06-21 2014-06-16 Sistema para el enrutamiento de datos a redes informáticas
US14/900,181 US10382330B2 (en) 2013-06-21 2014-06-16 System for the routing of data to computer networks
PCT/IB2014/062273 WO2014203154A1 (en) 2013-06-21 2014-06-16 System for the routing of data to computer networks
EP14759281.0A EP3011708B1 (en) 2013-06-21 2014-06-16 System for the routing of data to computer networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT000178A ITMO20130178A1 (it) 2013-06-21 2013-06-21 Sistema per l'instradamento di dati in reti informatiche

Publications (1)

Publication Number Publication Date
ITMO20130178A1 true ITMO20130178A1 (it) 2014-12-22

Family

ID=49035766

Family Applications (1)

Application Number Title Priority Date Filing Date
IT000178A ITMO20130178A1 (it) 2013-06-21 2013-06-21 Sistema per l'instradamento di dati in reti informatiche

Country Status (5)

Country Link
US (1) US10382330B2 (it)
EP (1) EP3011708B1 (it)
ES (1) ES2766325T3 (it)
IT (1) ITMO20130178A1 (it)
WO (1) WO2014203154A1 (it)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ITMO20130178A1 (it) * 2013-06-21 2014-12-22 C R D Ct Ricerche Ducati Trent O S R L Sistema per l'instradamento di dati in reti informatiche
US10938855B1 (en) * 2017-06-23 2021-03-02 Digi International Inc. Systems and methods for automatically and securely provisioning remote computer network infrastructure
CN107241460B (zh) * 2017-06-30 2020-06-23 联想(北京)有限公司 一种浮动地址的处理方法及电子设备
US11003516B2 (en) * 2017-07-24 2021-05-11 At&T Intellectual Property I, L.P. Geographical redundancy and dynamic scaling for virtual network functions

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001082097A1 (en) * 2000-04-27 2001-11-01 Fortress Technologies, Inc. A method and apparatus for integrating tunneling protocols with standard routing protocols
WO2007065139A2 (en) * 2005-12-02 2007-06-07 Computer Associates Think, Inc. Virtual tunnel network router
US20110153793A1 (en) * 2007-05-29 2011-06-23 Computer Associates Think, Inc. System and method for creating a secure tunnel for communications over a network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003226128A1 (en) * 2002-03-27 2003-10-13 First Virtual Communications System and method for traversing firewalls with protocol communications
US7111303B2 (en) * 2002-07-16 2006-09-19 International Business Machines Corporation Virtual machine operating system LAN
US8661158B2 (en) * 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US7953889B2 (en) * 2006-08-03 2011-05-31 Citrix Systems, Inc. Systems and methods for routing VPN traffic around network disruption
US8014409B1 (en) * 2007-05-30 2011-09-06 Foundry Networks, Llc Virtual router identifier that spans multiple interfaces in a routing device
US8346961B2 (en) * 2007-12-12 2013-01-01 Cisco Technology, Inc. System and method for using routing protocol extensions for improving spoke to spoke communication in a computer network
US8046480B2 (en) * 2008-03-31 2011-10-25 Amazon Technologies, Inc. Embedding overlay virtual network addresses in underlying substrate network addresses
US8725895B2 (en) * 2010-02-15 2014-05-13 Damaka, Inc. NAT traversal by concurrently probing multiple candidates
US10142218B2 (en) * 2011-01-14 2018-11-27 International Business Machines Corporation Hypervisor routing between networks in a virtual networking environment
US9749291B2 (en) * 2011-07-15 2017-08-29 International Business Machines Corporation Securing applications on public facing systems
US9231908B2 (en) * 2012-02-08 2016-01-05 Microsoft Technology Licensing, Llc Ensuring symmetric routing to private network
ITMO20130178A1 (it) * 2013-06-21 2014-12-22 C R D Ct Ricerche Ducati Trent O S R L Sistema per l'instradamento di dati in reti informatiche

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001082097A1 (en) * 2000-04-27 2001-11-01 Fortress Technologies, Inc. A method and apparatus for integrating tunneling protocols with standard routing protocols
WO2007065139A2 (en) * 2005-12-02 2007-06-07 Computer Associates Think, Inc. Virtual tunnel network router
US20110153793A1 (en) * 2007-05-29 2011-06-23 Computer Associates Think, Inc. System and method for creating a secure tunnel for communications over a network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MARQUES JUNIPER NETWORKS L FANG CISCO SYSTEMS P PAN INFINERA CORP A SHUKLA JUNIPER NETWORKS P: "BGP-signaled end-system IP/VPNs.; draft-ietf-l3vpn-end-system-01.txt", BGP-SIGNALED END-SYSTEM IP/VPNS.; DRAFT-IETF-L3VPN-END-SYSTEM-01.TXT, INTERNET ENGINEERING TASK FORCE, IETF; STANDARDWORKINGDRAFT, INTERNET SOCIETY (ISOC) 4, RUE DES FALAISES CH- 1205 GENEVA, SWITZERLAND, 2 April 2013 (2013-04-02), pages 1 - 21, XP015091685 *

Also Published As

Publication number Publication date
EP3011708B1 (en) 2019-08-21
ES2766325T3 (es) 2020-06-12
US20160149807A1 (en) 2016-05-26
US10382330B2 (en) 2019-08-13
EP3011708A1 (en) 2016-04-27
WO2014203154A1 (en) 2014-12-24

Similar Documents

Publication Publication Date Title
US20220174042A1 (en) Network Architecture for Cloud Computing Environments
Garg et al. NVGRE: Network virtualization using generic routing encapsulation
US9876756B2 (en) Network access method and device for equipment
US10355930B2 (en) System and method of subnetting a virtual network identifier
CN105227463B (zh) 一种分布式设备中业务板间的通信方法
US20160352633A1 (en) Operations, administration and management (oam) in overlay data center environments
US20110299537A1 (en) Method and system of scaling a cloud computing network
US20130132948A1 (en) Personal cloud computing and virtual distributed cloud computing system
JP6591621B2 (ja) 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム
US10404760B2 (en) Providing network connectivity to at least one client device connected to a telecommunications network via an access gateway device and an internet protocol edge function
US20140108673A1 (en) Adaptive prefix delegation
Ashraf et al. Analyzing challenging aspects of IPv6 over IPv4
US9654394B2 (en) Multi-tenant system, switch, controller and packet transferring method
CN102664972A (zh) 一种虚拟网络中地址映射方法和装置
WO2007133316A3 (en) Packet firewalls of particular use in packet switching devices
US9197603B2 (en) Method for connecting a first computer network to at least a second extended computer network
ITMO20130178A1 (it) Sistema per l&#39;instradamento di dati in reti informatiche
US11336751B2 (en) Method for operating a fieldbus system and gateway
Ashraf et al. Challenges and Mitigation Strategies for Transition from IPv4 Network to Virtualized Next-Generation IPv6 Network.
CA2980732A1 (en) Service label routing in a network
Ranjbar et al. Domain isolation in a multi-tenant software-defined network
CN106059803A (zh) 一种在计算节点上实现虚拟机南北向通信的方法
WO2012056010A1 (en) Method and system for controlling ip traffic in a service provider network
Jeuk et al. Network segmentation in the cloud a novel architecture based on UCC and IID
KR102200402B1 (ko) 소프트웨어 정의 네트워크에서 클라우드 환경의 분산 snat을 지원하는 방법, 장치 및 컴퓨터 프로그램