JP2005503727A - 目的のネットワーク環境に対するネットワーク装置のアドレス可能性の自動確立のための方法および装置 - Google Patents
目的のネットワーク環境に対するネットワーク装置のアドレス可能性の自動確立のための方法および装置 Download PDFInfo
- Publication number
- JP2005503727A JP2005503727A JP2003529735A JP2003529735A JP2005503727A JP 2005503727 A JP2005503727 A JP 2005503727A JP 2003529735 A JP2003529735 A JP 2003529735A JP 2003529735 A JP2003529735 A JP 2003529735A JP 2005503727 A JP2005503727 A JP 2005503727A
- Authority
- JP
- Japan
- Prior art keywords
- network device
- network
- configuration
- data
- addressable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
- H04L41/0809—Plug-and-play configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
【0001】
本発明は、一般に、ネットワーキング装置に関する。さらに詳細には、本発明は、十分定義された機能状態に至らせるように、目的とするネットワーク環境と、ネットワーク装置への構成データの安全で自動的なプロビジョニングとのためにルータ、スイッチ、ファイアウォール、バーチャルプライベートネットワークゲートウェイ等のアドレス可能性の安全で自動的な確立のための方法および装置に関する。
【背景技術】
【0002】
例えば、ルータ、スイッチ、ファイアウォールおよびバーチャルプライベートネットワークゲートウェイのようなネットワーク結合および通信装置は、極めて管理が強化されている。これらのネットワーク装置は、通常、ネットワーク装置が周囲の装置のコンテキストにおいてどのように機能するようになっているかに基づいて、現時点で全て設定されなければならない多くの構成可能パラメータをサポートする。このような種類の装置を適切にセットアップするために、代表的には、組織は、ネットワーキングの原理およびプロトコルの的確な理解をもつ有資格の管理者(スタッフのまたは第3パーティからの誰か)に依存する。さらに、このようなスキルを有する管理者は、代表的には、ネットワーク装置を動作可能にするためにネットワーク装置に何らかの物理的アクセスをする必要がある。従って、管理者は、代表的には、ネットワークの各々のサイトに移動して、管理者の意図する場所への設置に先立って、ネットワーク装置にアクセスすることを可能にする必要がある。
【0003】
SNMP(Simple Network Management Protcol)のような幾つかの管理プロトコルは、有効なインターネットプロトコル(IP)を既に有するネットワーク装置が既存のネットワークに亘って構成されることを可能にするために存在する一方、現在は、工場のデフォルト段階からネットワーク装置が意図するネットワーク環境において通信可能且つアドレス可能である初期動作段階にネットワーク装置を自動的且つ安全にもっていくための機構が存在しない。
【発明の開示】
【課題を解決するための手段】
【0004】
本発明は、同様な構成要素には同様な参照番号を添えて添付図面を示すが、これは、例としてであって、限定するためのものではない。
【0005】
既存の通信ネットワークに亘って提供される、遠隔の、自動化され且つ安全なネットワーク装置についての機構および方法について説明する。概して、本発明の実施形態は、例えば、ルータ、スイッチ、ファイアウォールおよびバーチャルプライベートネットワークゲートウェイ等のネットワーク装置を提供するため且つアドレス可能性を確立するための、管理上簡単且つ複雑でない機構を提供するようにする。
【0006】
自動的且つ実施可能であるアドレス可能性および自動的プロビジョニングは、特に、サービス管理が多くの場合にサービスプロバイダの手中に留めたままにしなければならないカスタマには技術が未だに十分理解されていないVPN(仮想プライベートネットワーク)産業において、重要な販売上の特徴を提供するものと考えられる。現在まで、このようなサービス管理の重要な部分は、加入者案内器をセットアップするためにオンサイト訪問が必須である。そのような訪問を回避するための能力は、VPNサービスプロバイダおよび/または装置ベンダに対して実質的にコスト削減に移行させることにあると予想される。
【0007】
本発明の実施形態のさらなる優位性は、スキルを持ったネットワーキング作業者の生産性を高めることができる元々の相手先商標による製造会社(OEM:Original Equipment Manufacturer)およびサービスプロバイダのカスタマ、並びに、使用の容易さおよび効率の向上を実現する改善されたネットワーキング装置のエンドユーザを含むことであって、それらの実施形態においては、技術要員も個々のサイト訪問も必要ではない。
【0008】
以下の説明においては、説明目的のために、本発明の十分な理解を提供するために多くの具体的な詳細説明を行う。しかしながら、本発明はそれらの具体的な詳細な例を用いなくても実行可能であることは当業者には明確に理解されるであろう。
【0009】
本発明は、以下に説明するように、種々の段階を含む。それら本発明の段階は、ハードウェアコンポーネントにより実行可能であり、または命令を用いてプログラムされた特定目的プロセッサまたは汎用プロセッサが段階を実行するようにするために用いられることが可能である機械実行可能命令において実施可能である。また、それら段階はハードウェアおよびソフトウェアの組み合わせにより実行されることが可能である。
【0010】
本発明は、本発明に従ったプロセスを実行するコンピュータ(または、他の電子装置)をプログラムするために用いられることが可能である命令を記憶した機械読み取り可能媒体を含むことが可能であるコンピュータプログラムプロダクトとして提供することが可能である。機械読み取り可能媒体は、フロッピー(登録商標)ディスク、オプティカルディスク、コンパクトディスク読み出し専用メモリ(CD−ROM)、光磁気ディスク、ROM,ランダムアクセスメモリ(RAM)、消去可能読み取り専用メモリ(EPROM),電気的消却プログラム可能型読み取り専用メモリ(EEPROM)、磁気または光カード、フラッシュメモリ、または電子的命令を記憶するために適する他のタイプの媒体/機会読み取り可能媒体を含むことが可能であるが、これらに限定されるものではない。さらに、本発明はまた、コンピュータプログラムプロダクトとしてダウンロードされることが可能であり、プログラムは、搬送波または通信リンク(例えば、モデムまたはネットワーク接続)による他の伝搬媒体において実施されるデータ信号としてリモートコンピュータからリクエストするコンピュータにトランスポートされることが可能である。
【0011】
便宜上、本発明の実施形態については、バーチャルプライベートネットワーク(VPN)装置を参照し、例としてVPNネットワークに関連させて説明する一方、本発明は、例えば、ルータ、スイッチ、ブリッジおよびファイアウォール等の種々の他のネットワーク装置並びに種々の他のネットワーク環境に同様に適用可能である。さらに、ここで説明するVPNプロビジョンマネージャはサイト間のVPNサービスにアドレスする一方、ルータのような補完装置のためのリモートアクセスサービスについて検討する。さらに、プレミアムIPサービスとの統合により、サービスの品質(QoS)、音声およびアプリケーション配信の機構が加えられることが可能である。
用語
本発明の種々の実施形態を実行することが可能である例としてのネットワーク環境につい説明する前に、本明細書を通して用いる幾つかの用語について、ここで間単に定義する。
【0012】
ここで用いるように、“ネットワーク装置”は、一般に、ローカルエリアネットワーク(LAN)の相互接続された集合に亘るコンピュータからコンピュータへの通信を容易にする中間装置をいう。例としてのネットワーク装置は、ゲートウェイ、ルータ、スイッチ、ブリッジおよびファームウェアを含む。
【0013】
用語“ファームウェア”は、一般に、ネットワーク装置を操作するためおよびその特徴を実行するために用いられるプログラム命令をいう。ファームウェアは、例えば、オペレーティングシステム、装置ドライバ、ネットワークプロトコルスタックおよび管理プロトコル等のシステム構成要素を実行するプログラム命令を含む。これらのプログラム命令は、例えば、フラッシュメモリモジュール、EPROM、EEPROMおよびFPGA(Field Programmable Gate Array)に記憶されることが可能であり、または、それらの命令は、以下に定義するようなスマートハードウェア記憶装置の制御の下で、中間装置または通信プロトコルを使用して、全部または一部を装置に送信されることが可能である。
【0014】
用語“工場デフォルト構成”または“工場デフォルト状態”は、一般に、“インストールしてすぐに使用できる”または未初期化構成または状態であって、ネットワーク装置はファームウェアを含むが、機能する目的のネットワーク環境においてそれ自身を識別するデータを含まず、目的のネットワーク環境における他のネットワーク装置を識別するデータを含まない、未初期化構成または状態である。例えば、工場デフォルト構成におけるネットワーク装置は、例えば、ネットワークにより採用されるアドレス空間におけるインターネットプロトコル(IP)アドレスのような論理アドレスをまだ割り当てられていないとき、ネットワークにアドレスされることができない。さらに、ネットワーク装置は、そのピアの論理アドレスに関する情報を有しないとき、ネットワークにおいて通信することができない。
【0015】
用語“初期動作構成”または“初期動作状態”は、一般に、初期化された構成または状態をいうが、必ずしも、十分に定義された機能状態である必要はない。例えば、例えば、有効なVI構成を有する初期動作構成におけるネットワーク装置は、特定のネットワーク環境において通信可能であり且つアドレス可能であるが、特定のタイプのネットワークトラフィックをどのように操作するかについてまだ識別できない可能性がある。
【0016】
用語“アドレス可能データ”は、一般に、工場デフォルト構成から初期動作構成にネットワーク装置を直接的または間接的に移行することができるデータをいう。ここで説明する実施形態に従って、アドレス可能データは1つまたはそれ以上の次のようなものを含むことが可能である。すなわち、(1)ネットワーク装置のためのIPアドレスのような、一意の論理アドレス、(2)ネットワーク装置のためのローカルIPサブネットマスク、(3)ネットワーク装置のためのデフォルトゲートウェイに関連する論理アドレス、(4)リモート装置構成サーバの論理アドレス、(5)ネットワーク装置のための一意の論理アドレスにマッピングされることができるかまたは表される、例えば、ドメイン名システム(DNS)のドメイン名アドレス等の論理名、(6)デフォルトゲートウェイに関連する論理アドレスにマッピングすることができるかまたは表される論理名、並びに(7)リモート装置構成サーバの論理アドレスにマッピングすることができるかまたは表される論理名、である。
【0017】
用語“構成データ”は、一般に、初期動作構成から十分に定義された機能状態にネットワーク装置を移行させることができるデータをいう。例えば、1つまたはそれ以上のピアVPN装置をもつ安全なトンネルを確立する第1VPN装置との関連において、第1VPN装置のための構成データは、安全なトンネルを通って移動することを可能にするネットワークトラフィックのタイプについての詳細およびピアVPN装置のIPアドレスを含むことが可能である。この例においては、第1VPN装置がピアVPN装置をもつ安全なトンネルを確立し、許容ネットワークトラフィックのみが各々の安全なトンネルを通って移動することを確実にするように、それ自身を適切に構成したとき、十分定義された機能状態が達成される。
【0018】
用語“安全なデータ”は、一般に、リモート装置構成サーバから構成データにアクセスするためにネットワーク装置により用いられる共有秘密を生成するために利用されることが可能である共有秘密またはデータをいう。一実施形態に従って、秘密データは、ネットワーク装置とリモート装置構成サーバとの間で交換される通信を直接にまたは間接的に暗号化するために用いられる。他の実施形態においては、秘密データは、記憶装置からネットワーク装置に変換される一意の識別子またはパスワードから構成される。中間装置をもつ通信を含むことが可能である他の実施形態においては、そのような中間装置間の通信自身が、インターネットプロトコルセキュリティ(IPSec)およびX.509証明書のような付加的なセキュリティ機構を利用することが可能である。
【0019】
ここで用いるように、表現、ネットワーク装置の“アドレス可能性の確立”は、一般に、工場デフォルト状態(例えば、目的のネットワーク環境において動作可能でない状態)から初期動作状態(例えば、ネットワーク装置が、目的のネットワーク環境において他のネットワーク装置によりアドレスされることができ且つそれらと通信することができる状態)にネットワーク装置を移行させるプロセスをいう。
【0020】
ここで用いるように、ネットワーク装置を“プロビジョニング”するは、一般に、ネットワーク装置管理、すなわち、構成、サービスおよびアプリケーションについての1つまたはそれ以上の次のような段階に関連する構成データまたはパラメータを提供することをいう。すなわち、(1)ネットワーク装置を十分に定義された機能状態に移行させるために必要とされるカスタマに特定のデータ全てをもつネットワーク装置を構成すること、(2)サービスの品質(QoS)および音声のようなプレミアムIPサービスをかのうにすること、である。
【0021】
ここで用いるように、“バーチャルプライベートネットワークまたはVPN”は、一般に、暗号技術を用いる各々の他のネットワーク間で通信するインターネットのようなトランジットネットワークに結合されるコンピュータシステムおよびネットワーク装置のようなノードの集合をいう。このように、専用回線および/または長距離専用回線にコストを掛けることなく、ノード間で交換されるメッセージが非認証ユーザにより妨害されたり理解されたりすることから安全である、広域ネットワーク(WAN)を構成することが可能である。
【0022】
ここで用いるように、“スマートハードウェア記憶装置”は、ネットワーク装置に外部から通信可能であるように結合されることが可能である、ユーザが使い易く、可搬型で、取り外し可能な記憶装置をいう。従って、この定義は、ネットワーク装置において内部に用いられることが意図されるフラッシュメモリモジュールは除外する。しかしながら、スマートハードウェア記憶装置は、ネットワーク装置を構成するために、ファームウェアまたはブートストラップパラメータのような、フラッシュメモリモジュールのようなモジュールにおいて記憶されるデータをロード、選択または変更することに関係されることが可能である。重要なことに、スマートハードウェア記憶装置は、ネットワーク装置に直接または物理的に結合される必要がない。例えば、スマートハードウェア記憶装置は、1つまたはそれ以上の中間装置を通じてネットワーク装置のプロビジョニングポートに直接にまたは間接に結合させることが可能であり、または無線データ送信プロトコルを使用してネットワーク装置と通信することが可能である。種々のタイプのハードウェア記憶装置としては、電気的セキュリティ装置、キー、キーカード、ロック、センチネル、ドングル、ハードウェアキー、無線携帯装置、スマートカード、磁気符号化カード、またはUSB(Universal Serial Bus)ハードウェアトークン等を含むハードウェアトークンが挙げられる。
【0023】
ここで用いるように、“トランジットネットワーク”は、中間パブリックまたは専用ネットワーク或いはインターネットワークであることが可能である。インターネットは、パブリックインターネットワークの例である。社内ネットワークまたはエンタープライズネットワークはプライベートネットワークまたはインターネットワークの例である。
【発明を実施するための最良の形態】
【0024】
VPNプロビジョニングシステムの例
図1は、本発明の一実施形態に従ったバーチャルプライベートネットワーク(VPN)プロビジョニングシステム100の例を示している。この例において、VPNプロビジョニングシステム100は、2つのVPNゲートウェイ115および125、コンソールコンピュータ130、2つのトークン116および126、構成データベース135および装置構成サーバ110から構成される。
【0025】
VPNゲートウェイ115および125が適切なカスタマネットワークサイトに提供された後、VPNゲートウェイ115および125は、管理的に簡単且つ複雑でないインストールプロセスの一部として、インターネットのようなトランジットネットワークに結合される。この例において、VPNゲートウェイ115および125は、トークン116および126のような外部の記憶装置から帯域外データを受信するために、1997年10月に発行された、米国規格協会(ANSI:American National Standards Institute)/アメリカ電気通信工業会(TIA:Telecommunications Industry Association/米国電子工業会(EIA:Electronic Industries Alliance)−232−F−1997(ANSI/TIA/EIA−232−F−1997)(以後、“EIA232”と略す)に準拠する非同期通信ポート、または他のシリアル、パラレルまたはUSBポートのようなプロビジョニングインタフェース117および127を備えている。ここで、マニュアル構成プロセスまたは自動化構成プロセスは、VPNゲートウェイ115および125を十分定義された機能状態に移行させるために開始される。例えば、自動化構成プロセスは、VPNゲートウェイ115および125間にトンネルを確立するために適切なパラメータを得ることが可能であり、それにより、VPNゲートウェイ115および125はトンネル120によりトランジットネットワーク105に亘って安全にデータを交換することが可能になる。
【0026】
コンソールコンピュータ130は、ネットワーク技術者が構成データを構成データベース135に入力することを可能にする構成プログラム(図示せず)を実行する。コンソールコンピュータ130はまた、以下でさらに詳細に説明するように、構成プログラムがアドレス可能データおよびセキュリティデータのようなデータと共にトークン116および126のような記憶装置をプログラムすることが可能にする非同期EIA232準拠通信ポート等のインタフェース(図示せず)を含む。
【0027】
一実施形態に従って、トークン116および126は、通信プロトコルとしてプログラムされることおよび読み出されることができる、代表的には100バイトオーダーにある、比較的小容量の不揮発性でプログラム可能なメモリを含むスマートハードウェア装置である。破線で示すように、トークン116および126は、VPNゲートウェイ115および125のような、プロビジョンされるネットワーク装置およびコンソールコンピュータ130の両方のインタフェースをとることが可能である。例えば、トークン116および126は、非同期EIA232準拠通信ポートのようなポートにプラグで接続されることが可能である。代表的なシナリオにおいては、トークン116および126は、所定の目的のネットワーク環境において、VPNゲートウェイ115および125のようなネットワーク装置を用いてアドレス可能データと共にコンソールコンピュータ130によりプログラムされる。単純化のために、特定のタイプのハードウェアトークンを使用することに関して本発明の実施形態を説明する一方、他の実施形態においては、例えば、無線携帯装置、スマートカード、磁気符号化カードまたはUSB(universal Serial Bus)等の種々の他の記憶装置がトークン116および126の代わりに使用されることが可能である。
【0028】
装置構成サーバ110はネットワーク105に結合され、構成データベース135へのアクセスを有する。装置構成サーバ110は、ネットワーク装置からの構成リクエストに応じるサーバプログラム(図示せず)を実行する。一実施形態においては、構成データを送信するために管理プロトコルを使用する。管理プロトコルは、ネットワーク装置がネットワーク105に亘って装置構成サーバ110に/から構成ファイルのような構成データを送信および/または受信することを可能にするネットワーク装置において実行するファームウェアプログラム、装置構成サーバ110並びにネットワーク105と適合する通信プロトコルである。管理プロトコルは、セキュリティのための暗号を含むことが可能であり、これにより、初期リモート構成および/またはリモート管理が安全に実施されることが可能になる。他の一実施形態において、ネットワーク装置は、中間VPNゲートウェイを使用して装置構成サーバ110をもつ安全な管理トンネルを確立する。一旦、管理トンネルが確立されると、SNMPのような標準的な管理プロトコルが装置を構成するために使用される。他の一実施形態において、装置構成サーバ110の機能および構成データベース135は、2001年3月に発行されたRFC(Request for Comments)3084および2000年1月に発行されたRFE2748に記載されているような、Common Open Policy Service Usage for Policy Provisioning(COPS−PR)Policy Information Base and Policy Serverにより実行される。重要なことに、他の実施形態において、VPNゲートウェイ115および125が装置構成サーバに結合され、構成データが送信されるネットワークは、VPNゲートウェイ115および125が通信するネットワークと異なるネットワークであることが可能である。
【0029】
ネットワーク装置プロビジョニング
図2は、本発明の一実施形態に従ったネットワーク装置プロビジョニングシステムの種々のフェーズを示す高レベルのフロー図である。以下の説明においては、カスタマは、ベンダにより提供されるネットワーキングサービスを用いることを所望すること、および、ベンダは、カスタマのサイトに目的のネットワーク環境のための適切なアドレス可能データを用いて事前にプログラムされる記憶装置およびネットワーク装置を発送し、初期のリモート構成をサポートするためにリモート装置構成サーバを提供すること、が仮定される。しかしながら、他の実施形態においては、種々の他のシナリオを検討する。例えば、1つまたはそれ以上のネットワーク装置のサプライヤ、プログラムされた記憶装置のサプライヤ並びにリモート構成サーバのサプライヤは、異なるエンティティであることが可能である。
【0030】
図に示した実施形態においては、ネットワーク装置プロビジョニングシステムの処理はブロック205において開始する。ブロック205において、デザインフェーズが実行される。代表的には、いずれかのネットワーク装置がベンダにより発送される前に、カスタマはベンダに注文をする。これは、カスタマのネットワーク環境と注文されたネットワーク装置のカスタマの意図する配置とについての関連技術の詳細をベンダが捕捉するための理想的な好機である。従って、本発明の一実施形態に従って、ネットワーク装置はネットワークにおいてどこに存在するか、およびネットワーク装置はパケットをどのように処理するか等の特定な詳細が、顧客のネットワークサイトへのネットワーク装置の配送に先立って、顧客から得られる。このような特定な情報は、次いで、アドレス可能フェーズおよび構成フェーズそれぞれにおいて用いられるアドレス可能データおよび構成データを生成するために、コンソールコンピュータを用いて高いスキルを有するネットワーク技術者により統合される。簡単に言えば、アドレス可能データは、概念的には、ネットワーク装置を有効なIP構成のような初期動作構成において起動することを可能にするデータの基本的集合と考えることが可能であって、目的のネットワーク環境において通信でき且つアドレス可能であるものである。一方、構成データは、ネットワーク装置が初期動作構成の域を超えて十分定義された機能状態に移行することを可能にするデータの集合であって、カスタマにより所望されるように、パケットをトランスポートし、フィルタリングし、および/またはルーティングするために構成され且つ準備される、データの集合である。そのようなデータの具体的な例については、以下で説明する。
【0031】
ブロック210において、アドレス可能なフェーズが実行される。アドレス可能なフェーズは、代表的には、ネットワーク装置がカスタマのネットワークサイトに提供され、目的のネットワーク環境と結合された後、実行される。この時点で、ネットワーク装置の工場デフォルト構成が機能する目的のネットワーク環境に対してネットワーク装置を識別するためのデータを含んでいないことを、指摘することは有用である。さらに、工場デフォルト構成において、ネットワーク装置は、目的のネットワーク環境における他のネットワーク装置の同一性については識別しない。一般に、ネットワークにおいて通信し且つアドレス可能であるためにネットワーク装置に必要とされることは、IPアドレスおよびそれ自身のサブネットマスクと並びにそのデフォルトゲートウェイの論理アドレスのような一意の論理アドレスである。これと可能性のある他の基本的情報を提供することは、スマートハードウェアトークンのような事前にプログラムされる記憶装置を用いてネットワーク装置へのこの情報のトランスポートを含むアドレス可能フェーズの目的である。他の実施形態においては、無線携帯装置、スマートカードまたは磁気符号化カード等の、種々の他の記憶装置を使用することが可能である。
【0032】
ネットワーク装置の構成を完了し、十分定義された機能状態に移行するために、構成データベース135に記憶される残りのカスタマ固有データ(“構成データ”)は、構成フェーズを実行することにより、ブロック215において、ネットワーク装置に提供される。アドレス化のフェーズが完了した後、ネットワーク装置は、ネットワークにおいて通信することができ且つアドレス可能である。従って、一実施形態において、アドレス可能フェーズの完了時に、ネットワーク装置は、トランジットネットワーク105に亘って構成データベースから構成データをダウンロードするために装置構成サーバ110にリクエストする。
【0033】
さらに、他の一実施形態において、例えば、3つの装置の予めプロビジョンされた十分な網目状ネットワークに第4の装置を加えるために、ネットワークのデザインを変更し且つネットワーク装置を更新するように、デザインフェーズ、アドレス可能フェーズおよび構成フェーズは、後に繰り返されることができる。この場合、デザインフェーズ、アドレス可能フェーズおよび構成フェーズは、上記のように、新しい装置をプロビジョンする役割を果たす。しかしながら、デザインフェーズおよび構成フェーズのみが、3つの事前に構成された装置を変更するために実行されるが、それらのアドレス可能性を再確立することは必要ない。
【0034】
デザインフェーズ処理
図3は、本発明の実施形態に従ったデザインフェーズ処理を示すフロー図である。この図に示した実施形態は、構成データが依存する情報は、カスタマから既に得られたものと仮定している。例えば、上記のように、カスタマの目的のネットワーク環境と意図されたネットワーク装置の使用法に関して具体的詳細を得るための理想的時間は、注文を受けるプロセスの間またはネットワーク装置を発送する前である。
【0035】
いずれにしても、デザインフェーズ処理は、カスタマにより注文したネットワーク装置が工場デフォルト状態で適切なネットワークサイトに発送されるブロック305において開始する。
【0036】
ブロック310に移る前に、ネットワーク技術者はカスタマの要求を分析し、ネットワーク装置が目的のネットワーク環境において初期動作状態で起動可能にするためのパラメータを決定する。例えば、インターネットに関してネットワーク装置が動作可能であるようにし、ネットワーク装置が自動的なリモート初期構成処理を実行することを可能にするために、代表的には、次のようなパラメータの集合を指定する。
● ネットワーク装置のローカルIPサブネットマスクおよびそのサブネットにおける一意のIPアドレス。通信ネットワークの標準的技法に従って、これらのアドレスは、目的のネットワークにおけるネットワーク装置のための一意のパブリックアドレスを提供するために選択される。また、ネットワークアドレス変換(NAT)のようなアドレスマッピング技術がネットワーク装置のために用いられる場合、一部の一意のパブリックアドレスはネットワーク装置にマッピングされる。
● トランジットネットワーク105を経由してネットワーク装置からリモート装置構成サーバ110にデータをルーティングするデフォルトゲートウェイのIPアドレス。デフォルトゲートウェイはまた、装置構成サーバ110からネットワーク装置へのリターンデータをルーティングする。
● 装置構成サーバ110のIPアドレス。
自動プロビジョニングが使用されない他の実施形態において、装置構成サーバ110のIPアドレスは、アドレス可能データの一部として含まれる必要はない。異なる根とワークプロトコルを用いる異なるネットワーク環境においては、例えば、他のアドレス可能データの最小集合が、ネットワーク装置を動作可能にするために必要であることは、理解される必要がある。
【0037】
安全な構成を可能にするために、各々のネットワーク装置はまた、認証のためにセキュリティデータを備えることが可能である。例えば、各々のネットワーク装置は、装置構成サーバ110が使用されているネットワーク装置および/またはスマートハードウェア装置を有効であると確認することを可能にするために、装置構成サーバ110に提供することができる一意の識別子またはパスワードを割り当てられることが可能である。
【0038】
ブロック310において、現時点のネットワーク装置のための構成データは、一意の識別子またはパスワードのようなセキュリティデータに関連付けられ且つ構成データベース135に対して更新される。例えば、一実施形態に従って、ネットワーク技術者は、カスタマにより注文されるネットワーク装置のためのパラメータを構データベース135に入力するために、コンソールコンピュータ130において実行するコンソールプログラムを用いることが可能である。コンソールプログラムの1つの優位性は、コンソールプログラムが、全てのネットワーク装置のために一貫する構成データを生成し且つ有効であることを確認することにより、より大きいネットワークのためにこのタスクの信頼性を実質的に改善できることである。そうでなければ、これは共通のエラーソースになる。
【0039】
ブロック315において、現時点のネットワーク装置に関連するスマートハードウェア記憶装置は、ネットワーク装置のアドレス可能データおよびブロック310において用いられた対応するセキュリティデータを用いてプログラムされる。一実施形態において、ネットワーク技術者は、EIA232準拠通信ポートにスマートハードウェア記憶装置を取り付け、次いで、スマートハードウェア記憶装置に関連する通信プロトコルを使用して、スマートハードウェア記憶装置におけるメモリにアドレス可能データをコピーすることにより、これを成し遂げる。
【0040】
ブロック320において、プログラムされたハードウェア記憶装置は、別々にネットワーク装置サイトに発送される。
【0041】
ブロック325において、デザインフェーズのアクティビティが全てのカスタマのネットワーク装置に対して完了したかどうかが決定される。その決定がされる場合、デザインフェーズは完了し、そうでなければ、デザインフェーズはブロック310から継続する。
【0042】
この例においては、ここで説明した新規のプロビジョニングスキームのセキュリティの特徴を示すことを意図している。ネットワーク装置は密封されたダンボール箱に留めることができるため、ネットワーク装置および例えばハードウェアトークンのようなスマートハードウェア記憶装置は、カスタマのネットワークサイトに別々に発送されることが可能である。このように、事前にプログラムされたハードウェア記憶装置を使用することにより、泥棒が別々に発送されたハードウェア記憶装置を発送中に盗むことができず、正当な権利者のネットワークアドレスをコピーしたり妨害したりできない場合、その泥棒は正当な権利者として振舞うこともネットワーク装置をオンライン上に持ち込むこともできないので、結局、ネットワーク装置が発送中に盗まれるという安全への侵害の機会を最小化する。
【0043】
ネットワーク装置の例
図4は、本発明の一実施形態に従ったネットワーク装置400の単純化した高水準のブロック図である。ネットワーク装置400は、本発明の特徴を実行することが可能である、例えば、VPNゲートウェイ、スイッチまたはファイアウォール等のネットワーク通信装置またはネットワークコンピューティング装置の例を示している。本発明の種々の実施形態に従って、ネットワーク装置は、現在のまたは将来のバージョンのIntel(登録商標)NetStructure(登録商標)31xx系列のVPN装置、または現在のまたは将来のバージョンのIntel Express Routerのような他のIntelのネットワークコンピューティングプロダクトとすることが可能である(IntelおよびNetStructureは登録商標、または米国カリフォルニア州サンタクララ市のIntel社の登録された商標である)。
【0044】
とにかく、この例において、ネットワーク装置400は、通信情報のためのバス410のような通信手段と情報を処理し且つ命令を実行するためのバス410に結合される1つまたはそれ以上のプロセッサ415とから構成される。ネットワーク装置400は、情報とプロセッサ415により実行される命令とを記憶するためにバスに結合される、ランダムアクセスメモリ(RAM)420または他の動的記憶装置(または、メインメモリという)からさらに構成される。メインメモリ420はまた、一時的変数またはプロセッサ415による命令の実行の間の他の中間情報を記憶するために使用されることが可能である。ネットワーク装置400はまた、読み出し専用メモリ(ROM)および/または静的情報およびプロセッサ415のための命令を記憶するためにバス410に結合される他の静的記憶装置から構成される。
【0045】
フラッシュディスク、磁気ディスクまたは光ディスクのようなデータ記憶装置430および対応するドライブはまた、情報および命令を記憶するためにバス410に結合されることが可能である。一実施形態に従って、データ記憶装置の動作を制御する、ブートストラップ方法のようなファームウェアプログラムは、ROM425またはプロセッサ415によるアクセスおよび実行のためのデータ記憶装置430において記憶されることが可能である。
【0046】
スマートハードウェア記憶装置の例
図5は、本発明の一実施形態に従ったスマートハードウェア記憶装置500のブロック図である。スマートハードウェア記憶装置500は、例としてのプログラム可能ハードウェアトークン、または、例えば、ネットワーク装置のプロビジョニングポートによりネットワーク装置に外部からインタフェースをとることが可能である他のユーザの使い易い記憶装置を表す。本発明の一実施形態に従って、スマートハードウェア記憶装置は、米国コロラド州リッジウェイ市のMicrocomputer Applications社製のドングルの現在のまたは将来のバージョンのKEYLOK(登録商標)系列、または、米国ジョージア州アトランタ市のMarx(登録商標)Software Security社製のエンハンスされたまたはカスタマイズされた現在のまたは将来のバージョンのハードウェアキーのCRYPTO−BOX系列から構成される(KEY−LOKは登録商標または米国コロラド州リッジウェイ市のMicrocomputer Applicationsの登録された商標であり、CRYPTO−BOXおよびMARXは登録商標または米国ジョージア州アトランタ市のMarx Software Security の登録された商標である)。
【0047】
本発明の種々の実施形態に従って、多かれ少なかれ備えられるハードウェア記憶装置は特定の実施のために好ましい状態にすることが可能である。ここでは、2つの例としての構成について説明する。1つは実線で示す機能ユニットに関し、もう1つは破線で示す機能ユニットに関する。しかしながら、ハードウェア記憶装置500の構成は、使用の容易さ、セキュリティおよび単純さ、並びに/或いは、価格および性能等の他の制約の間の好ましいバランスのような多くの要因に依存して実施毎に変化する。
【0048】
一実施形態において、スマートハードウェア記憶装置500は、図示された機能ユニットのサブセットのみ、すなわち、実線で示される機能ユニットから構成される。この例において、スマートハードウェア記憶装置500は、通信情報のための共通のまたは専用のバス510のような通信手段と、アドレス可能フェーズおよび構成フェーズそれぞれの間にネットワーク装置による使用のためのアドレス可能データおよびセキュリティデータのような静的情報を記憶するためにバス510に結合される他の静的記憶装置および/またはプログラム可能な不揮発性メモリ525とを含む。スマートハードウェア記憶装置500はまた、1つまたはそれ以上の入力/出力(I/O)と、ネイティブ通信プロトコルの命令の下でプログラム可能な不揮発性メモリ525にプログラムされるデータを受信するためのバス510に結合されるプログラミングインタフェースとを含む。一実施形態に従って、使用の容易化のために、(1)例えば、プログラム可能な不揮発性メモリ525にプログラムされるためにコンソールコンピュータからデータを受信することと、(2)工場デフォルト構成においてネットワーク装置にプログラム可能な不揮発性メモリ525にあるデータを出力することと、の両方のために、1つのI/Oおよびプログラミングインタフェースが含まれる。しかしながら、他の実施形態において、I/Oおよびプログラミングインタフェース540は、異なるポートタイプをもつ相互動作性を促進するために、別々で独立したプログラミングと出力インタフェースを含むことが可能である。
【0049】
他の実施形態に従って、スマートハードウェア記憶装置500は、実線により示される機能ユニットに加えて、破線により示される機能ユニットから構成される。この例において、スマートハードウェア記憶装置500はまた、種々のネットワーク装置のためのネイティブコンソールコマンドの集合を実行するための命令のような命令を実行し且つ情報を処理するために、バス410と結合される、プロセッサ515のようなプロセッシング手段を含む。ハードウェア記憶装置500は、情報およびプロセッサ515により実行される命令を記憶するためにバス510に結合される、ランダムアクセスメモリ(RAM)520または他の動的記憶装置(または、メインメモリという)からさらに構成される。メインメモリ520はまた、プロセッサ515による命令の実行の間に一時的変数または他の中間情報を記憶するために使用されることが可能である。例えば、フラッシュディスク、磁気ディスクまたは光ディスクおよび対応する装置等のデータ記憶装置530はまた、情報および命令を記憶するためにバス510に結合されることが可能である。
【0050】
この構成に従って、スマートハードウェア記憶装置500は、ネイティブコンソールコマンドの集合を用いて、ネットワーク装置を制御することによりブートストラップファームウェアにおける特有のプロビジョニングモードを支援しないネットワーク装置を動作することが可能である。例えば、一実施形態に従って、トークンは、アドレス可能フェーズに相当するものを実行するために特定のネットワーク装置を命令し、装置構成サーバに接続し、構成フェーズを完了するデータおよび論理(デザインフェーズの間に指定される)を含むことが可能である。他の実施形態に従って、スマートハードウェア記憶装置500は、ネットワーク装置の既存のブーとストラップファームウェアを更新、再ロードまたは補うことに直接的または間接的に関係することが可能である。例えば、デザインフェーズの間に指定される論理およびデータは、スマートハードウェア記憶装置500が装置構成サーバまたは一部の他の中間装置からファームウェアの更新をダウンロードするために命令するネットワーク装置にネイティブコンソールコマンドを出すようにすることが可能である。次いで、アドレス可能および/または構成フェーズは、ここで説明するように継続することが可能である。
【0051】
トークンに代わる手段として、他の既知のまたは将来の媒体はまた、ここで説明するプロビジョニングシステムと共に使用することに適している。しかしながら、ここで説明した実施形態との関連において説明したハードウェアトークンの1つを使用することには幾つかの優位性がある。第1に、プラグ接続可能な構成要素としてのハードウェアトークンは、スキルのない要員のための使用の容易性を提供し、オペレータによるエラーのリスクを著しく削減する。トークンの所有が適切に管理される場合、ハードウェアトークンはまた、安全なキー配布方法としての役割を果たすことができる。第2に、ハードウェアトークンはエンハンスするが、互換性のあるネットワーク装置の操作を変えない。ネットワーク装置は、自動的なプロビジョンの特徴が利用可能でなく、またはカスタマによりリクエスト/注文されない場合でさえ、工場から発送されるとき、十分動作可能な1つの装置である。従って、スキルの高いネットワーク管理者の手元で、まさに段ボール箱から取り出されたばかりの新品のユニットは、管理可能な状態で自動的に確立され且つ自動的にプロビジョンされるユニットと同じ使用可能機能をもって実行されるために目的のネットワーク環境に接続され且つ手作業で構成されることが可能である。
【0052】
結果として、ここで説明する柔軟性のあるプロビジョニングスキームは、強力な特徴、すなわち、自動化されたプロビジョニングを可能にし、その特徴のない他の十分動作可能なネットワーク装置においてさえ可能である。したがって、プロダクトは、ベンダが利便性を得ることができる汎用性を獲得する。具体的には、VPN産業においては、サービスプロバイダは、自分自身の装置を管理したいと思うカスタマに自動化されたプロビジョニングの特徴を伴わないVPN装置を売ることが可能であるが、xSP管理解決法を所望するカスタマに自動化されたプロビジョニングの特徴を伴うVPN装置を売ることが可能である。
【0053】
トークンは、自由自在に取り付けられたり、取り外されたりすることができる、外部接続されるユーザの使い易い構成要素であるために、このような汎用性が促進する。存在しているとき、トークンは、ネットワーク装置が自動的にプロビジョンされるようにする。トークンが存在していないとき、ネットワーク装置は正常に起動し且つ既知のまたはマニュアル構成に依存する。同じ汎用性および使用の容易さは、例えば、カスタマのデータをもつネットワーク装置を構成するために、フラッシュメモリモジュールを交換することに依存するスキームにより達成されることはできない。
【0054】
アドレス可能フェーズ
図6は、本発明の一実施形態に従ったアドレス可能フェーズの処理を示すフロー図である。一実施形態において、以下に説明するアクションは、プロセッサ415のようなプログラムされるプロセッサの制御の下で実行されることが可能である。しかしながら、代わりの実施形態において、アクションは、例えば、FPGA(Field−Programmable Gate Array)、トランジスタトランジスタ論理回路(TTL)または特定用途向け集積回路(ASIC)等のいずれかのプログラム可能なまたは直接指定された論理回路により、全部または一部実行されることが可能である。
【0055】
簡単には、本発明の実施形態に従って、ネットワーク装置のインスタレーションは、何らかのネットワーキングスキルを有する必要のないカスタマ側の要員により完成させることができる。事前にプログラムされたスマートハードウェア記憶装置が各々のカスタマサイトに到着するとき、カスタマ側の要員は、電源ケーブルとネットワークケーブルをネットワーク装置に接続し、スマートハードウェア記憶装置を対応するネットワーク装置と結合するために、するために簡単な指示書に従う(例えば、例としての実施において、EIA232準拠通信ポートのようなネットワーク装置のデザインされたプロビジョニングポートにハードウェアトークンをプラグ接続する)。ネットワーク装置が次にリセットまたはパワーアップされるとき、起動時の手順は、スマートハードウェア記憶装置の存在を検出し、特定のプロビジョニングモードを入力し、アドレス可能データを読み取る。
【0056】
ネットワーク装置400が、例えば、パワーオンにされる(コールドブート)ことにより、リセットボタンを押される(ウォームブート)ことにより、またはリスタートするためにソフトウェアコマンドを与えること(ウォームブート)により、開始されまたはリセットされるとき、ブートストラップローダプログラムが実行される。代表的には、一組のパワーオンのみのテストのような幾つかの基本的ハードウェア診断テストを連続的に実行した後、オペレーティングシステム(OS)は、不揮発性記憶装からプロセッサ415またはダイレクトメモリアクセスコントローラのような他の装置により動作メモリにロードされる。OSにより構成される命令のシーケンスは、次いで、不揮発性記憶装置から動作メモリに他のプログラムをロードするためにプロセッサ205により実行される。しかしながら、本発明の一実施形態に従って、OSに制御を渡すに先立ち、ブートストラッププロセス、或いはブートストラッププロセス(一般に、“起動時プロセス”または“起動時方法”という)までにまたはその前に開始される他のファームウェアプログラムは、アドレス可能データを受信するために特定のプロビジョニングモードを入力するかどうかを決定する。図に示した実施形態において、特定のプロビジョニングモードは、ネットワーク装置ブートストラッププロセスの一部としてブロック630および635により表される。
【0057】
アドレス可能フェーズの処理はブロック605において開始する。ここで説明する例においては、便宜上、起動時プロセスはブートストラッププロセスであると仮定される。ネットワーク装置のコールドブートまたはウォームブートのとき、ネットワーク装置のブートストラッププロセスは開始される。判定ブロック610において、ネットワーク装置のアドレス可能パラメータの状態が決定される。アドレス可能パラメータが初期化された場合、ブートストラッププロセスはブロック615により継続される。そうでない場合であって、アドレス可能パラメータは工場デフォルト状態にある(例えば、未初期化の)場合、ブートストラッププロセスは判定ブロック620により継続される。
【0058】
ブロック615において、ネットワーク装置は、ネットワーク装置が予め初期化された現時点のアドレス可能パラメータに従って起動し、ブートストラッププロセスは完了する。
【0059】
ネットワーク装置のアドレス可能パラメータが未初期化であることを決定した判定ブロック620において、ブートストラッププロセスは、スマートハードウェア記憶装置が存在するかどうかを検出する。一実施形態において、存在の決定は、ネットワーク装置のデザインされたプロビジョニングポートへのハードウェアトークンの物理的接続をセンシングすることが含まれる。しかしながら、代わりの実施形態において、存在の検出は、携帯情報端末(PDA)のような無線携帯装置の物理的近接性を検出することを含むことが可能である。他の実施形態に従って、スマートハードウェア記憶装置の存在は、ネットワーク装置のカードリーダを通した磁気符号化カードまたはネットワーク装置のスマートカードインタフェースにおけるスマートカードの存在により示される。いずれにしても、スマートハードウェア記憶装置が存在する場合、ブートストラッププロセスは、特定のプロビジョニングモードに入り、ブロック630により継続される。存在しない場合、ネットワーク装置はアドレス不可能状態において起動し、ブートストラッププロセスは完了する。
【0060】
ブロック630において、アドレス可能データは、もしあれば、スマートハードウェア記憶装置に関連する通信プロトコルを用いて、スマートハードウェア記憶装置から読み取られる。従って、リモート初期構成が実行される場合、この時点で、一意の識別子またはパスワードはまた、スマートハードウェア記憶装置から読み取られることが可能である。最終的に、ブロック635において、ネットワーク装置のアドレス可能パラメータは、スマートハードウェア記憶装置から読み取られたアドレス可能データと共に初期化される。例えば、ブートストラッププロセスは、ネットワーク装置の不揮発性メモリにおいてアドレス可能データを記憶し、ネットワーク装置のIPアドレス、IPサブネットマスクおよびデフォルトゲートウェイアドレスをアドレス可能データにおいて指定されるアドレスに設定することが可能である。一実施形態において、ブートストラッププロセスは、ブロック635からネットワーク装置構成フェーズの処理に、自動的にまたはユーザ入力に応じて継続する。しかしながら、代わりの実施形態において、ブロック635の後、ネットワーク装置は新しく初期化されたアドレス可能パラメータに従って起動し、ブートストラッププロセスは完了する。
【0061】
構成フェーズ
簡潔にいうと、上記の実施形態に従って、一旦、アドレス可能性が確立されると、ネットワーク装置において実行される起動時プロセス(例えば、ネットワーク装置のブートストラッププロセスの間に開始されるファームウェアプログラム)は、プログラムされたスマートハードウェア記憶装置から得られるアドレスにおいて装置構成サーバにリクエストを送信する。構成フェーズは、ネットワーク装置とリモート装置構成サーバにおいて実行される起動時プロセスの間の通信と処理を含む。便宜上、異なる処理スレッドは、図7および図8それぞれを参照するネットワーク装置の見地からおよびリモート装置構成サーバの見地から切り離して説明する。
【0062】
図7は、本発明の一実施形態に従ったネットワーク装置構成フェーズの処理についてのフロー図である。上記のように、一実施形態に従って、構成プロセスは、ブロック635の完了の後、自動的またはマニュアルで開始されることが可能である。この実施形態において、ブロック705乃至730は、特定のプロビジョニングモードの一部である。いずれにしても、この時点で、ネットワーク装置は、周囲のネットワーク環境(ルータ等)と通信するために、アドレス可能データを用いることができる。従って、ネットワーク装置はネットワークに亘ってデータを送信且つ受信することができ、構成フェーズに進むことができる。
【0063】
ネットワーク装置構成フェーズの処理は、構成データのリクエストが装置構成サーバ110(例えば、アドレス可能フェーズの間に、予め供給されたことが仮定される論理アドレス)に送信されるブロック705において開始する。認証が装置構成サーバ110により実行される一実施形態に従って、構成データのリクエストは、スマートハードウェア記憶装置、セキュリティデータの一部またはセキュリティデータに基づいて生成されるデータからのセキュリティデータを含む。それに代えて、セキュリティデータは、構成データのリクエストおよび装置構成サーバの応答のような、ネットワーク装置と装置構成サーバとの間で交換される通信を直接的または間接的に暗号化するために用いられることが可能である。
【0064】
ネットワーク装置およびスマートハードウェア記憶装置がブロック710において装置構成サーバ110により成功裏に認証化される場合、リクエストされた構成データは、例えば、管理プロトコルとして、装置構成サーバ110から受信される。
【0065】
判定ブロック715において、構成データがネットワーク装置により成功裏に受信されたかどうかが決定される。成功裏に受信された場合、プロセス波ブロック720に進む。そうでない場合、プロセスはブロック725の処理を実行するように分岐する。ブロック720において、装置構成サーバから受信された構成データは、自動化構成プロセスの一部として使用されることが可能である。一実施形態において、構成データは、目的のネットワーク環境において十分機能的になるように、ネットワーク装置が必要とする残りのデータを表す。残りのデータを受信した後、構成データにより識別される1つまたはそれ以上のピア装置により接続が確率されることが可能である。一実施形態に従って、ネットワーク装置はVPNゲートウェイであり、構成データは、(1)VPNゲートウェイがトンネリングするピアVPN装置の1つまたはそれ以上のIPアドレス、および(2)トンネルを通して可能とされるトラフィックタイプのためのポートおよびプロトコル数、を含む。有利なことに、このように、スキルを有しない要員が、複数のネットワーク装置が並行してネットワークに対して構成されるようにできる。
【0066】
判定ブロック725において、装置構成サーバからの構成データの成功しなかった受信のとき、所定のリトライ数を上回ったかどうかの決定がなされる。所定のリトライ数を上回った場合、処理ブロック730において、ネットワーク装置は非構成状態になる。そうでない場合、リトライは、処理ブロック705において継続されることにより、開始される。
【0067】
一実施形態において、一旦、装置構成サーバが成功裏に全ての構成データを送信し、ネットワーク装置が成功裏に構成データを受信すると、ネットワーク装置は、カスタマの要求に従って動作するために十分構成される。その結果、ネットワーク装置は、ネットワーク装置がいまだに添付されているトークンを用いて再起動される場合、プロビジョニングを繰り返すことを回避するために特定のプロビジョニングモードを無効にすることが可能である。
【0068】
それに代えて、自動化プロビジョニングプロセスは、現時点の構成データを更新された構成データと置き換えるために繰り返されることが可能である。このように、プロビジョニングシステムは、後の時間における新しい構成を用いてネットワーク装置を更新することができる。各々のネットワーク装置に対して初期アドレス可能性とセキュリティデータを提供した場合、プロビジョニングシステムは、現行のリモート管理を安全に実行するために位置付けられる。
【0069】
図8は、本発明の一実施形態に従った装置構成サーバの構成フェーズの処理を示すフロー図である。装置構成サーバが、処理ブロック805においてネットワーク装置から構成データのリクエストを受信した後、装置構成サーバは、リクエストが送信されたネットワーク装置が自動化プロビジョニングサーバのために登録されたものとして認識されるものであるかどうかを決定するために、ブロック810および825において、認証/確認プロセスを実行する。さらに、トークンは、構成データに対するリクエストにおいて与えられる一意の識別子またはパスワードのようなセキュリティデータに基づいて認証される。具体的には、処理ブロック810において、装置構成サーバは、ネットワーク装置および構成データベースにおけるトークン識別子を調べ、それらを認可されたリストと比較する。次いで、判定ブロック815において、ネットワーク装置およびトークンが認証プロセスを通過するかどうかの決定がなされる。通過する場合、構成データベースへのアクセスが、ネットワーク装置に構成データを提供する目的のために認められ、処理はブロック820において継続される。そうでない場合であって、ネットワーク装置かまたはトークンのどちらかが認証されない場合、構成データベースへのアクセスは拒絶され、構成フェーズは、リクエストされるネットワーク装置に構成データを提供する装置構成サーバをもつことができず終了する。一実施形態に従って、ネットワーク装置および/またはトークン認証スキームは、パスワード認証プロトコル(PAP)またはチャレンジ ハンドシェイク認証プロトコル(CHAP)のような種々の利用可能な認証プロトコルの1つを使用することが可能である。
【0070】
処理ブロック820において、装置構成サーバは、リクエストにおいて与えられたセキュリティデータに基づいて、ネットワーク装置のための構成データベースにおける構成データの適切な集合を調べる。構成データが構成データベースにおいて見つけられた場合、それは、ブロック825においてトランジットネットワーク105に亘ってリクエストしているネットワーク装置に送信される。一実施形態に従って、送信されたデータは、装置構成サーバにより暗号化され、構成データベースとスマートハードウェア記憶装置の両方において記憶された共有の秘密を用いてネットワーク総理ファームウェアにより暗号解読される。
【0071】
ここで説明した実施形態は、代わりの実施形態の全てのデータにおいて、リモートソース(例えば、装置構成サーバ)からネットワーク装置への構成データのネットワークトランスポートに焦点を当てている一方、例えば、アドレス可能性および構成データはスマートハードウェア記憶装置に記憶され、直接、スマートハードウェア記憶装置によりネットワーク装置に提供されることが可能である。しかしながら、ここで説明したデータトランスポート方法は、カスタマの要求の複雑さに従って、構成データは数キロバイト乃至数十または数百キロバイトまでのいずれかのかなりの量の記憶空間量を占めることが可能である。ネットワークデータトランスポートを用いる場合、提供媒体の容量に制限はない。
【0072】
さらに、ネットワークデータトランスポート提供機構は、装置構成サーバが異種装置の大きいネットワークに対して継続中のリモート管理を提供することを可能にする。各々の装置がデータトランスポートプロトコルをサポートする場合、装置構成サーバは各々のタイプの装置に適切な構成データを提供することができる。さらに、ネットワークデータトランスポート提供機構は、装置構成サーバが大きいネットワークにおいて多くのネットワーク装置に構成の変更を同時に適用するためにプロトコルを用いることができるため、速度と拡張性とにおける優位性を有している。
【0073】
以上の詳細説明において、本発明の具体的な実施形態を参照して説明した。しかしながら、本発明の範囲および広い主旨とから逸脱することなく、それら実施形態に対して種々の修正および変更が可能であることは明らかであろう。従って、以上の詳細説明および図面は例示的なものであり、限定的なものではない。
【図面の簡単な説明】
【0074】
【図1】本発明の一実施形態に従ったバーティカルプライベートネットワーク(VPN)プロビジョニングシステムの例を示す図である。
【図2】本発明の一実施形態に従ったネットワーク装置プロビジョニングシステムの種々のフェーズを占める高水準のフロー図である。
【図3】本発明の一実施形態に従ったデザインフェーズの処置を示すフロー図である。
【図4】本発明の一実施形態に従ったネットワーク装置の高水準のブロック図である。
【図5】本発明の一実施形態に従ったスマートハードウェア記憶装置のブロック図である。
【図6】本発明の一実施形態に従ったアドレス可能フェーズの処理を示すフロー図である。
【図7】本発明の一実施形態に従ったネットワーク装置構成フェーズの処理を示すフロー図である。
【図8】本発明の一実施形態に従った装置構成サーバ構成フェーズの処理を示すフロー図である。
Claims (60)
- 工場デフォルト構成におけるネットワーク装置の起動時プロセスにより、ネットワーク装置が機能するネットワーク環境においてネットワーク装置が通信可能であり且つアドレス可能であるアドレス可能データを含む記憶装置の存在を検出する段階;
記憶装置の存在が検出した後、記憶装置からネットワーク装置にアドレス可能データをトランスポートするために記憶装置に関連するプロトコルを用いることによりアドレス可能データをネットワーク装置において受信する段階;並びに
アドレス可能データに基づいてネットワーク装置の1つまたはそれ以上のアドレスパラメータを構成することによりネットワーク環境において他のノードによりアドレスされ且つ他のノードと通信することを可能にするために起動時プロセスによりネットワーク装置のアドレス可能性を確立する段階;
から構成されることを特徴とする方法。 - 請求項1に記載の方法であって、ネットワーク装置はデザインされたプロビジョニングポートを含み、前記記憶装置の存在を検出する段階は、デザインされたプロビジョニングポートに結合される記憶装置の存在を検出する手順を含む、ことを特徴とする方法。
- 請求項2に記載の方法であって、デザインされたプロビジョニングポートは非同期EIA232準拠通信ポートから構成される、ことを特徴とする方法。
- 請求項2に記載の方法であって、記憶装置は、不揮発性プログラム可能メモリを含むハードウェアトークンから構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、アドレス可能データは:
ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス;
ネットワーク装置のためのローカルIPサブネットマスク;
ネットワーク装置のためのデフォルトゲートウェイに関連するIPアドレス;並びに
リモート装置構成サーバのIPアドレス;
から構成される、ことを特徴とする方法。 - 請求項1に記載の方法であって:
記憶装置から取り出されるセキュリティエータを用いて直接的または間接的に構成リクエストを暗号化し;並びに
リモート装置構成サーバに暗号化された構成リクエストを送信する;
起動時プロセスからさらに構成される、ことを特徴とする方法。 - 請求項1に記載の方法であって、記憶装置はまた、十分定義された機能状態にネットワーク装置を移行させるために十分な構成データを含み、方法は、記憶装置からネットワーク装置に構成データをトランスポートするためにプロトコルを使用することにより構成データをネットワーク装置において受信する段階からさらに構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、前記記憶装置の存在を検出する段階に先立って、記憶装置または他の記憶装置はネットワーク装置へのファームウェアのローディングをロードまたは制御する段階であって、ファームウェアはブート時プロセスを表す命令を含む、段階、から構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、ブート時プロセスからリモート装置構成サーバに構成リクエストを送信する段階であって、構成リクエストは記憶装置から取り出されたセキュリティデータを含むかまたはセキュリティデータに基づいて暗号化される、ことを特徴とする方法。
- 請求項9に記載の方法であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)装置から構成され、方法は、リモート装置構成サーバから構成データを構成リクエストに応じて受信する段階であって、構成データはネットワーク装置がトンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数とトンネルとを確立するピアVPN装置の少なくとも1つのIPアドレスを含む、段階からさらに構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)ゲートウェイから構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、ネットワーク装置はルータから構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、前記アドレス可能データを受信する段階に先立って、且つ前記記憶装置の存在を検出する段階に応じて、ネットワーク装置がアドレス可能データの受信およびネットワーク装置の前記確立したアドレス可能性を処理するためにプロビジョニングモードに入る段階からさらに構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、記憶装置は無線携帯装置から構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、記憶装置はユニバーサルシリアルバス(USB)から構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、記憶装置はスマートカードから構成される、ことを特徴とする方法。
- 請求項1に記載の方法であって、記憶装置は磁気符号化カードから構成される、ことを特徴とする方法。
- 工場デフォルト状態からネットワーク装置が所定のネットワーク環境において通信でき且つアドレス可能である初期動作状態にネットワーク装置を移行するネットワーク装置のアドレス可能性を確立するための段階;並びに
リモート装置構成サーバからネットワークに亘って1つまたはそれ以上のデータトランスファとして残りの構成データを得ることにより所定のネットワーク環境においてネットワークトラフィックを処理するためにネットワーク装置が構成され且つ準備される、十分定義された機能状態に初期動作状態からネットワーク装置を移行させるネットワーク装置をプロビジョニングするための段階;
から構成されることを特徴とする方法。 - 請求項18に記載の装置であって、前記ネットワーク装置のアドレス可能性を確立するための段階は、ネットワーク装置の非同期EIA準拠通信ポートに結合されるハードウェアトークンの使用を含み、ハードウェアトークンは、ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス、ネットワーク装置のためのデフォルトゲートウェイに関連するIPアドレス、IPサブセットマスクおよびリモート装置構成サーバのIPアドレスを含むアドレス可能データを記憶する不揮発性のプログラム可能メモリを含む、段階から構成される、ことを特徴とする方法。
- 請求項18に記載の装置であって、前記ネットワーク装置のアドレス可能性を確立するための段階は、ネットワーク装置のネイティブコンソールコマンドの集合を用いてネットワーク装置を制御するネットワーク装置のポートに結合されるハードウェアトークンから構成される、ことを特徴とする方法。
- 工場デフォルト構成において第1バーチャルプライベートネットワーク(VPN)装置の起動時プロセスにより、第1VPNネットワーク装置のデザインされたプロビジョニングポートに結合されるハードウェアトークンの存在を検出する段階であって、ハードウェアトークンは、第1VPN装置がネットワーク環境において通信し且つ所定のアドレス可能であるようにするアドレス可能データを記憶した不揮発性のプログラム可能メモリを含む、段階;
ハードウェアトークンの不揮発性のプログラム可能メモリからアドレス可能データを読み取るためにハードウェアトークンに関連するプロトコルを用いることによりアドレス可能データを第1VPN装置において受信する段階;
アドレス可能データに基づいて第1VPN装置の1つまたはそれ以上のアドレスパラメータを設定することにより所定のネットワーク環境において他のネットワーク装置と通信することを可能にするために、起動時プロセスにより第1VPN装置のアドレス可能性を確立する段階;
起動時プロセスからリモート装置構成サーバに構成リクエストを送信する段階であって、構成リクエストはセキュリティデータに基づいて暗号化されまたはハードウェアトークンから読み取られるセキュリティデータを含む、段階;
構成リクエストに応じて、リモート装置構成サーバからトン熱構成データを受信する段階であって、トンネル構成データは所定のネットワーク環境に関連する第2VPN装置のインターネットプロトコル(IP)アドレスを含む、段階;並びに
トンネルをトンネル構成データに基づいてトランジットネットワークにより第1VPN装置と第2VPN装置との間に確立するようにする段階;
から構成されることを特徴とする方法。 - 請求項21に記載の装置であって、トレンジットネットワークはプライベートインターネットワークから構成される、ことを特徴とする方法。
- 請求項21に記載の装置であって、トレンジットネットワークはパブリックインターネットワークから構成される、ことを特徴とする方法。
- 請求項23に記載の装置であって、トランジットネットワークはインターネットから構成される、ことを特徴とする方法。
- 通信することができ且つ所定のネットワーク環境においてアドレス可能である、初期動作構成に置かれる第1ネットワーク装置;並びに
第1ネットワーク装置のデザインされたプロビジョニングポートと結合されるハードウェアトークンであって、第1ネットワーク装置のためのアドレス可能データを記憶した不揮発性のプログラム可能メモリを含む、ハードウェアトークン;
から構成され、
第1ネットワーク装置は、デザインされたプロビジョニングポートにおいてハードウェアトークンの存在を検出することに応じてアドレス可能フェーズを自動的に開始することができ、アドレス可能フェーズの間に、第1ネットワーク装置はハードウェアトークンからアドレス可能データを受信し、現時点の構成から初期動作構成に移行する;
ことを特徴とするネットワーク装置プロビジョニングシステム。 - 請求項25に記載のネットワーク装置プロビジョニングシステムであって:
第1ネットワーク装置のための構成データの第1集合を含む構成データの複数の集合へのアクセスを管理するためのリモート装置構成サーバ;
からさらに構成され、
第1ネットワーク装置のためのアドレス可能データはリモート装置構成の多面おインターネットプロトコル(IP)アドレスを含み;
ハードウェアトークンのプログラム可能メモリは構成データの第1集合に対応する一意の識別子をさらに記憶し;並びに
第1ネットワーク装置はアドレス可能フェーズの完了を受けて光栄フェーズを自動的に開始することができ、構成フェーズの間に、第1ネットワーク装置はリモート装置構成サーバに一意の識別子を含む構成リクエストを送信し、リモート装置構成サーバは第1ネットワーク装置に構成データの第1集合を提供することにより構成リクエストに応じる;
ことを特徴とするネットワーク装置プロビジョニングシステム。 - 請求項26に記載のネットワーク装置プロビジョニングシステムであって、第1ネットワーク装置は第1バーチャルプライベートネットワーク(VPN)装置から構成され、構成データの第1集合は、第1ネットワーク装置がトンネルを確立する第2VPN装置のIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数とを含む、ことを特徴とするネットワーク装置プロビジョニングシステム。
- 請求項26に記載のネットワーク装置プロビジョニングシステムであって、第1ネットワーク装置はルータから構成され、構成データの第1集合はアクセス制御リスト(ACL)の情報を含む、ことを特徴とするネットワーク装置プロビジョニングシステム。
- 記憶装置からアドレス可能データを受信するためのプロビジョニングインタフェースであって、アドレス可能データは、ネットワーク装置が通信し且つ目的のネットワーク環境においてアドレス可能であることを可能にする、プロビジョニングインタフェース;
ファームウェアを記憶した1つまたはそれ以上のメモリモジュールであって、起動時プロセスの間に記憶装置の存在をチェックし、記憶装置が存在する場合、アドレス可能データが記憶装置に関連するプロトコルを使用して記憶装置から受信されるようにし、および、アドレス可能データに基づいてネットワーク装置の1つまたはそれ以上のアドレスパラメータによりネットワーク装置のアドレス可能性を確立するための、1つまたはそれ以上のメモリモジュール;並びに
パワーアップまたはリセットに応じてファームウェアを実行するために1つまたはそれ以上のフラッシュメモリモジュールに結合されるプロセッサ;
から構成されることを特徴とするネットワーク装置。 - 請求項29に記載のネットワーク装置であって、プロビジョニングインタフェースは非同期EIA232準拠通信ポートから構成される、ことを特徴とするネットワーク装置。
- 請求項29に記載のネットワーク装置であって、ファームウェアはリモート装置構成サーバに構成リクエストをさらに送信し、構成リクエストは記憶装置から取り出されるまたはセキュリティデータに基づいて暗号化される、ことを特徴とするネットワーク装置。
- 請求項31に記載のネットワーク装置であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)から構成され、ファームウェアは、構成リクエストに応じて、リモート装置構成サーバから構成データをさらに受信し、構成データは、ネットワーク装置がトンネルを確立するピアVPN装置の少なくとも1つのIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数とを含む、ことを特徴とするネットワーク装置。
- 請求項31に記載のネットワーク装置であって、ネットワーク装置はルータから構成され、ファームウェアは、構成リクエストに応じて、リモート装置構成サーバから構成データをさらに受信し、構成データはアクセス制御リスト(ACL)情報を含む、ことを特徴とするネットワーク装置。
- ネットワーク装置のプロセッサにより実行される場合、プロセッサが:
ネットワーク装置が通信し且つ機能するネットワーク環境においてアドレス可能であるようにされるアドレス可能データを含む記憶装置の存在を検出し;
記憶装置からネットワーク装置にアドレス可能データをトランスポートするための記憶装置に関連するプロトコルを用いることによりアドレス可能データを受信し;並びに
アドレス可能データに基づいてネットワーク装置の1つまたはそれ以上のアドレスパラメータを構成することによりネットワーク環境における他のノードによりアドレスされ且つ通信することを可能にするネットワーク装置のアドレス可能性を確立する;
ようにされる命令を表すデータを記憶した、ことを特徴とする機械読み取り可能媒体。 - 請求項34に記載の機械読み取り可能媒体であって、アドレス可能データは:
ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス;
ネットワーク装置のためのローカルIPサブネットマスク;
ネットワーク装置のためのデフォルトゲートウェイの関連するIPアドレス;並びに
リモート装置構成サーバのIPアドレス;
から構成される、ことを特徴とする機械読み取り可能媒体。 - 請求項34に記載の機械読み取り可能媒体であって、命令は、プロセッサにより実行される場合、プロセッサがリモート装置構成サーバに構成リクエストを送信するようにする命令をさらに含み、構成リクエストは記憶装置から取り出された情報に基づくセキュリティデータを含む、ことを特徴とする機械読み取り可能媒体。
- 請求項34に記載の機械読み取り可能媒体であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)装置から構成され、命令は、プロセッサにより実行される場合、プロセッサが、構成リクエストに応じて、リモート装置構成サーバから構成データを受信するようにする命令をさらに含み、構成データは、ネットワーク装置がトンネルを確立するピアVPN装置の少なくとも1つのIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数を含む、ことを特徴とする機械読み取り可能媒体。
- ネットワーク装置を配置する方法であって:
ネットワーク装置を提供する段階;
ネットワーク装置のデザインされたプロビジョニングポートと結合するためにハードウェアトークンを提供する段階;
デザインされたプロビジョニングポートにおいてハードウェアと訓の存在を検出することを受けてアドレス可能フェーズを自動的に開始することができる、ネットワーク装置のためのアドレス可能データと共にハードウェアトークンの不揮発性メモリをプログラムする段階であって、アドレス可能フェーズは、ネットワーク装置がハードウェアトークンからアドレス可能データを受信し、且つ現時点の構成からネットワーク装置がネットワーク環境において通信可能であって所定のアドレス可能である初期動作構成に移行するようにする、段階;並びに
ネットワーク装置が所定のネットワーク環境においてインストールされるネットワークサイトにネットワーク装置とプログラムされた記憶装置とを別々に発送する段階;
から構成されることを特徴とする方法。 - 請求項38に記載の方法であって、ネットワーク装置は、アドレス可能フェーズの完了を受けて、構成フェーズを自動的に開始することができ、その間に、ネットワーク装置はリモート構成データベースへのアクセスを管理することに対して責任をもつリモート構成サーバに構成リクエストを送信し、方法は:
リモート構成データベースにおいてネットワーク装置のための構成データを更新し、構成データをセキュリティデータの一意の集合と関連付ける段階;並びに
構成リクエストを含むネットワーク装置に提供されるセキュリティデータの一意の集合と共にハードウェアトークンの不揮発性メモリをプログラムする段階;
からさらに構成されることを特徴とする方法。 - 請求項38に記載の方法であって、アドレス可能データは:
ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス;
ネットワーク装置のためのローカルIPサブネットマスク;
ネットワーク装置のためのデフォルトゲートウェイの関連するIPアドレス;並びに
リモート装置構成サーバのIPアドレス;
から構成される、ことを特徴とする方法。 - 請求項39に記載の方法であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)装置から構成され、構成データは、ネットワーク装置がトンネルを確立するピアVPN装置の少なくとも1つのIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数を含む、ことを特徴とする方法。
- 請求項41に記載の方法であって、構成データを受信することを受けて、ネットワーク装置は、トンネルがトランジットネットワークによりピアVPN装置を用いて確立されるようにする、ことを特徴とする方法。
- 請求項38に記載の方法であって、ネットワーク装置はルータから構成される、ことを特徴とする方法。
- 請求項38に記載の方法であって、デザインされたプロビジョニングポートは、非同期EIA232準拠通信ポートから構成される、ことを特徴とする方法。
- ネットワーク装置をインストールする方法であって:
ネットワーク装置のデザインされたプロビジョニングポートにおいてハードウェアトークンの存在を検出することに応じてアドレス可能フェーズを自動的に開始することができるネットワーク装置の配送を受け取る段階;
ハードウェアトークンをネットワーク装置のデザインされたプロビジョニングポートに結合するためにハードウェアトークンの配送を受け取る段階であって、ハードウェアトークンは、ネットワーク装置が所定のネットワーク環境において通信でき且つアドレス可能である初期動作状態にネットワーク装置をするためにアドレス可能データを記憶する不揮発性のプログラム可能メモリを含む、段階;
ネットワーク装置を所定のネットワーク環境と通信可能であるように結合する段階;並びに
ハードウェアトークンをネットワーク装置のデザインされたプロビジョニングポートに結合し且つネットワーク装置を起動するようにすることによりアドレス可能フェーズを開始する段階であって、アドレス可能フェーズは、ネットワーク装置がハードウェアトークンからアドレス可能データを受信し且つ現時点の構成から初期動作構成に移行するようにする、段階;
から構成されることを特徴とする方法。 - 請求項45に記載の方法であって、ハードウェアトークンの不揮発性のプログラム可能メモリはネットワーク装置のための構成データの集合に関連する一意の識別子を記憶し且つリモート構成データベースに記憶し、ネットワーク装置はアドレス可能フェーズの完了を受けて構成フェーズを自動的に開始することができ、その間に、ネットワーク装置は、構成データの集合がリモート構成データベースへのアクセスを管理することに対して責任をもつリモート構成サーバに一意の識別子を含む構成リクエストを送信することによりネットワーク装置に提供されるようにする、ことを特徴とする方法。
- 請求項45に記載の方法であって、アドレス可能データは:
ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス;
ネットワーク装置のためのローカルIPサブネットマスク;
ネットワーク装置のためのデフォルトゲートウェイの関連するIPアドレス;並びに
リモート装置構成サーバのIPアドレス;
から構成される、ことを特徴とする方法。 - 請求項46に記載の方法であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)装置から構成され、構成データは、ネットワーク装置がトンネルを確立するピアVPN装置の少なくとも1つのIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数を含む、ことを特徴とする方法。
- 請求項48に記載の方法であって、構成データを受信することを受けて、ネットワーク装置は、トンネルがトランジットネットワークによりピアVPN装置を用いて確立されるようにする、ことを特徴とする方法。
- 請求項45に記載の方法であって、ネットワーク装置はルータから構成される、ことを特徴とする方法。
- 請求項45に記載の方法であって、デザインされたプロビジョニングポートは、非同期EIA232準拠通信ポートから構成される、ことを特徴とする方法。
- ネットワーク装置を配送する方法であって:
ネットワーク装置が所定のネットワーク環境においてインストールされるカスタマネットワークサイトに工場デフォルト構成の状態にある十分に動作可能なネットワーク装置を発送する段階であって、ネットワーク装置は、ネットワーク装置のデザインされたプロビジョニングポートにおいて外付けのユーザが使い易いスマートハードウェア記憶装置の存在を決定することに応じてアドレス可能フェーズを自動的に開始することができる、段階;並びに
カスタマが自動的なプロビジョニングの特徴をリクエストした場合、ネットワーク装置のためのアドレス可能データと共に外付けのユーザが使い易いスマートハードウェア記憶装置をプログラムする段階であって、スマートハードウェア記憶装置はネットワーク装置のデザインされたプロビジョニングポートに結合し且つ動作可能フェーズが開始されるようにし、動作可能フェーズは、アドレス可能データがスマートハードウェア記憶装置からネットワーク装置にトランスファされるようにし且つネットワーク装置が工場デフォルト構成からネットワーク装置が所定のネットワーク環境において通信できアドレス可能である初期動作構成に移行することを可能にする、段階;並びに
プログラムされたスマートハードウェア記憶装置をカスタマのネットワークサイトに発送する段階;
から構成されることを特徴とする方法。 - 請求項52に記載の方法であって、ネットワーク装置はアドレス可能フェーズの完了を受けて構成フェーズを自動的に開始することができ、その間に、ネットワーク装置はリモート構成データベースへのアクセスを管理することに対して責任をもつリモート構成サーバに構成リクエストを送信する、方法であり:
リモート構成データベースにおいてネットワーク装置のための構成データを更新し、構成データをセキュリティデータの一意の集合と関連付ける段階;並びに
構成リクエストを含むネットワーク装置に提供されるセキュリティデータの一意の集合と共にハードウェアトークンの不揮発性メモリをプログラムする段階;
からさらに構成されることを特徴とする方法。 - 請求項52に記載の方法であって、アドレス可能データは:
ネットワーク装置のための一意のインターネットプロトコル(IP)アドレス;
ネットワーク装置のためのローカルIPサブネットマスク;
ネットワーク装置のためのデフォルトゲートウェイの関連するIPアドレス;並びに
リモート装置構成サーバのIPアドレス;
から構成される、ことを特徴とする方法。 - 請求項53に記載の方法であって、ネットワーク装置はバーチャルプライベートネットワーク(VPN)装置から構成され、構成データは、ネットワーク装置がトンネルを確立するピアVPN装置の少なくとも1つのIPアドレスと、トンネルにより許可されるトラフィックタイプのためのポートおよびプロトコル数を含む、ことを特徴とする方法。
- 請求項55に記載の方法であって、構成データを受信することを受けて、ネットワーク装置は、トンネルがトランジットネットワークによりピアVPN装置を用いて確立されるようにする、ことを特徴とする方法。
- 請求項52に記載の方法であって、ネットワーク装置はルータから構成される、ことを特徴とする方法。
- 請求項52に記載の方法であって、デザインされたプロビジョニングポートは、非同期EIA232準拠通信ポートから構成される、ことを特徴とする方法。
- 請求項52に記載の方法であって、ネットワーク装置およびプログラムされたスマートハードウェア記憶装置はカスタマのネットワークサイトに別々に発送される、ことを特徴とする方法。
- 請求項52に記載の方法であって、プログラムされたスマートハードウェア記憶装置は1つまたはそれ以上の中間装置によりネットワーク装置のデザインされたプロビジョニングポートに結合する、ことを特徴とする方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/957,879 US7313819B2 (en) | 2001-07-20 | 2001-09-20 | Automated establishment of addressability of a network device for a target network environment |
PCT/US2002/026897 WO2003026255A1 (en) | 2001-09-20 | 2002-08-22 | Automated establishment of addressability of a network device for a target network environment |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005503727A true JP2005503727A (ja) | 2005-02-03 |
JP3946700B2 JP3946700B2 (ja) | 2007-07-18 |
Family
ID=25500288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003529735A Expired - Fee Related JP3946700B2 (ja) | 2001-09-20 | 2002-08-22 | 目的のネットワーク環境に対するネットワーク装置のアドレス可能性の自動確立のための方法および装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7313819B2 (ja) |
EP (1) | EP1430696A1 (ja) |
JP (1) | JP3946700B2 (ja) |
KR (1) | KR100647163B1 (ja) |
CN (1) | CN1557087A (ja) |
BR (1) | BR0212727A (ja) |
WO (1) | WO2003026255A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010527076A (ja) * | 2007-05-07 | 2010-08-05 | モカナ・コーポレーション | Usbキーを使用したネットワーク要素の管理方法及び装置 |
JP2010535380A (ja) * | 2007-07-31 | 2010-11-18 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | 不正使用防止制御のシステム及び方法 |
Families Citing this family (168)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7693976B2 (en) * | 2000-07-11 | 2010-04-06 | Ciena Corporation | Granular management of network resources |
US7409685B2 (en) | 2002-04-12 | 2008-08-05 | Hewlett-Packard Development Company, L.P. | Initialization and update of software and/or firmware in electronic devices |
US8479189B2 (en) * | 2000-11-17 | 2013-07-02 | Hewlett-Packard Development Company, L.P. | Pattern detection preprocessor in an electronic device update generation system |
FI20010596A0 (fi) * | 2001-03-22 | 2001-03-22 | Ssh Comm Security Oyj | Turvallisuusjärjestelmä tietoliikenneverkkoa varten |
US20030079000A1 (en) * | 2001-10-19 | 2003-04-24 | Chamberlain Robert L. | Methods and apparatus for configuring multiple logical networks of devices on a single physical network |
US7430591B2 (en) * | 2001-10-19 | 2008-09-30 | Renesas Technology America, Inc. | Methods and arrangements for configuring functional networks |
US7444506B1 (en) | 2001-12-28 | 2008-10-28 | Ragula Systems | Selective encryption with parallel networks |
FR2837337B1 (fr) * | 2002-03-15 | 2004-06-18 | Cit Alcatel | Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel |
US7478167B2 (en) * | 2002-03-18 | 2009-01-13 | Nortel Networks Limited | Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks |
US7216226B2 (en) * | 2002-04-01 | 2007-05-08 | Hewlett-Packard Development Company, L.P. | Unique and secure identification of a networked computing node |
US20070169073A1 (en) * | 2002-04-12 | 2007-07-19 | O'neill Patrick | Update package generation and distribution network |
US7551628B2 (en) * | 2002-05-03 | 2009-06-23 | Hewlett-Packard Development Company, L.P. | Wireless dongle with computing capability for equipment control and method of operation thereof |
US7653746B2 (en) * | 2002-08-02 | 2010-01-26 | University Of Southern California | Routable network subnet relocation systems and methods |
JP4185346B2 (ja) * | 2002-10-18 | 2008-11-26 | 株式会社日立製作所 | ストレージ装置及びその構成設定方法 |
US7752329B1 (en) * | 2002-10-31 | 2010-07-06 | Aol Inc. | Migrating configuration information based on user identity information |
US7296288B1 (en) * | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
US7865577B1 (en) * | 2003-02-11 | 2011-01-04 | At&T Intellectual Property Ii, L.P. | Enhanced network elements and a method for configuring the enhanced network element via a trusted configuration device |
US7188161B1 (en) * | 2003-02-11 | 2007-03-06 | At&T Corp. | Method for configuring a network element at a customer premise via a mobile data terminal |
US9110853B2 (en) * | 2003-03-10 | 2015-08-18 | Oracle America, Inc. | Computer system with multiple classes of device IDs |
US8555273B1 (en) | 2003-09-17 | 2013-10-08 | Palm. Inc. | Network for updating electronic devices |
JP4543657B2 (ja) * | 2003-10-31 | 2010-09-15 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
US20050114474A1 (en) * | 2003-11-20 | 2005-05-26 | International Business Machines Corporation | Automatic configuration of the network devices via connection to specific switch ports |
US20050198530A1 (en) * | 2003-12-12 | 2005-09-08 | Chess David M. | Methods and apparatus for adaptive server reprovisioning under security assault |
US7769995B2 (en) * | 2004-01-07 | 2010-08-03 | Microsoft Corporation | System and method for providing secure network access |
US7221927B2 (en) * | 2004-02-13 | 2007-05-22 | Trapeze Networks, Inc. | Station mobility between access points |
JP4249051B2 (ja) * | 2004-02-16 | 2009-04-02 | 富士通株式会社 | 下位装置および上位装置 |
US7626944B1 (en) * | 2004-03-31 | 2009-12-01 | Packeteer, Inc. | Methods, apparatuses and systems facilitating remote, automated deployment of network devices |
US7904895B1 (en) * | 2004-04-21 | 2011-03-08 | Hewlett-Packard Develpment Company, L.P. | Firmware update in electronic devices employing update agent in a flash memory card |
US20050257047A1 (en) * | 2004-05-17 | 2005-11-17 | Alcatel | Network equipment with embedded movable secure devices |
US7730294B2 (en) * | 2004-06-04 | 2010-06-01 | Nokia Corporation | System for geographically distributed virtual routing |
US8316438B1 (en) | 2004-08-10 | 2012-11-20 | Pure Networks Llc | Network management providing network health information and lockdown security |
US8526940B1 (en) | 2004-08-17 | 2013-09-03 | Palm, Inc. | Centralized rules repository for smart phone customer care |
US8589687B2 (en) * | 2004-08-18 | 2013-11-19 | Broadcom Corporation | Architecture for supporting secure communication network setup in a wireless local area network (WLAN) |
US7930737B2 (en) * | 2004-08-18 | 2011-04-19 | Broadcom Corporation | Method and system for improved communication network setup utilizing extended terminals |
JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
US8478849B2 (en) * | 2004-12-07 | 2013-07-02 | Pure Networks LLC. | Network administration tool |
WO2006063118A2 (en) * | 2004-12-07 | 2006-06-15 | Pure Networks, Inc. | Network management |
US20060129797A1 (en) * | 2004-12-15 | 2006-06-15 | Palo Alto Research Center, Inc. | Hardware-supported secure network boot |
US8085695B2 (en) * | 2005-01-25 | 2011-12-27 | Intel Corporation | Bootstrapping devices using automatic configuration services |
US8261341B2 (en) * | 2005-01-27 | 2012-09-04 | Nokia Corporation | UPnP VPN gateway configuration service |
US8108691B2 (en) * | 2005-02-07 | 2012-01-31 | Sandisk Technologies Inc. | Methods used in a secure memory card with life cycle phases |
US8423788B2 (en) * | 2005-02-07 | 2013-04-16 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
US8321686B2 (en) * | 2005-02-07 | 2012-11-27 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
EP1867094A2 (en) | 2005-03-15 | 2007-12-19 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
US7551574B1 (en) * | 2005-03-31 | 2009-06-23 | Trapeze Networks, Inc. | Method and apparatus for controlling wireless network access privileges based on wireless client location |
US7748035B2 (en) * | 2005-04-22 | 2010-06-29 | Cisco Technology, Inc. | Approach for securely deploying network devices |
JP4774823B2 (ja) * | 2005-06-16 | 2011-09-14 | ソニー株式会社 | 無線通信システム、無線通信設定方法、無線通信装置、無線通信設定プログラム及び無線通信設定プログラム格納媒体 |
US7912017B2 (en) * | 2005-06-29 | 2011-03-22 | Sony Corporation | Wireless connection system and wireless connection method |
US7748031B2 (en) | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
US8966284B2 (en) * | 2005-09-14 | 2015-02-24 | Sandisk Technologies Inc. | Hardware driver integrity check of memory card controller firmware |
US20070061597A1 (en) * | 2005-09-14 | 2007-03-15 | Micky Holtzman | Secure yet flexible system architecture for secure devices with flash mass storage memory |
EP1932272B1 (en) * | 2005-10-05 | 2013-12-11 | Byres Security Inc. | Network security appliance |
US7724703B2 (en) * | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
US8638762B2 (en) | 2005-10-13 | 2014-01-28 | Trapeze Networks, Inc. | System and method for network integrity |
WO2007044986A2 (en) | 2005-10-13 | 2007-04-19 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
US7573859B2 (en) * | 2005-10-13 | 2009-08-11 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
US7551619B2 (en) * | 2005-10-13 | 2009-06-23 | Trapeze Networks, Inc. | Identity-based networking |
DE202005016487U1 (de) * | 2005-10-20 | 2006-03-30 | Saynet Solutions Gmbh | System zur sicheren Kommunikation von Computern mit gesicherten Netzwerken |
WO2007045051A1 (en) | 2005-10-21 | 2007-04-26 | Honeywell Limited | An authorisation system and a method of authorisation |
US20070106778A1 (en) * | 2005-10-27 | 2007-05-10 | Zeldin Paul E | Information and status and statistics messaging method and system for inter-process communication |
US8250587B2 (en) * | 2005-10-27 | 2012-08-21 | Trapeze Networks, Inc. | Non-persistent and persistent information setting method and system for inter-process communication |
US20070106998A1 (en) * | 2005-10-27 | 2007-05-10 | Zeldin Paul E | Mobility system and method for messaging and inter-process communication |
US8532095B2 (en) | 2005-11-18 | 2013-09-10 | Cisco Technology, Inc. | Techniques configuring customer equipment for network operations from provider edge |
FR2897222A1 (fr) * | 2006-02-03 | 2007-08-10 | Gemplus Sa | Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable |
US9130993B2 (en) * | 2006-02-09 | 2015-09-08 | Sony Corporation | Wireless connection system and wireless connection method |
US8891550B2 (en) * | 2006-02-15 | 2014-11-18 | International Business Machines Corporation | Platform independent configuration of multiple network services |
US20070207800A1 (en) * | 2006-02-17 | 2007-09-06 | Daley Robert C | Diagnostics And Monitoring Services In A Mobile Network For A Mobile Device |
US20070204323A1 (en) * | 2006-02-24 | 2007-08-30 | Rockwell Automation Technologies, Inc. | Auto-detection capabilities for out of the box experience |
EP1850527A1 (en) * | 2006-04-28 | 2007-10-31 | Koninklijke KPN N.V. | Configuring devices and services on a residential gateway |
US7558266B2 (en) | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
US20070260720A1 (en) * | 2006-05-03 | 2007-11-08 | Morain Gary E | Mobility domain |
US20070268516A1 (en) * | 2006-05-19 | 2007-11-22 | Jamsheed Bugwadia | Automated policy-based network device configuration and network deployment |
US20070268506A1 (en) * | 2006-05-19 | 2007-11-22 | Paul Zeldin | Autonomous auto-configuring wireless network device |
US7751339B2 (en) * | 2006-05-19 | 2010-07-06 | Cisco Technology, Inc. | Method and apparatus for simply configuring a subscriber appliance for performing a service controlled by a separate service provider |
US20070268514A1 (en) * | 2006-05-19 | 2007-11-22 | Paul Zeldin | Method and business model for automated configuration and deployment of a wireless network in a facility without network administrator intervention |
US8966018B2 (en) * | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
US7577453B2 (en) * | 2006-06-01 | 2009-08-18 | Trapeze Networks, Inc. | Wireless load balancing across bands |
WO2007146710A2 (en) | 2006-06-08 | 2007-12-21 | Hewlett-Packard Development Company, L.P. | Device management in a network |
US9191799B2 (en) * | 2006-06-09 | 2015-11-17 | Juniper Networks, Inc. | Sharing data between wireless switches system and method |
US7912982B2 (en) * | 2006-06-09 | 2011-03-22 | Trapeze Networks, Inc. | Wireless routing selection system and method |
US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
US9258702B2 (en) * | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
US7844298B2 (en) * | 2006-06-12 | 2010-11-30 | Belden Inc. | Tuned directional antennas |
US8214880B1 (en) * | 2006-06-22 | 2012-07-03 | Verizon Patent And Licensing Inc. | Methods and systems for securely configuring a network device |
US9003292B2 (en) | 2006-07-06 | 2015-04-07 | LiveAction, Inc. | System and method for network topology and flow visualization |
US7724704B2 (en) * | 2006-07-17 | 2010-05-25 | Beiden Inc. | Wireless VLAN system and method |
WO2008014454A2 (en) | 2006-07-27 | 2008-01-31 | Hewlett-Packard Development Company, L.P. | User experience and dependency management in a mobile device |
US20080072058A1 (en) * | 2006-08-24 | 2008-03-20 | Yoram Cedar | Methods in a reader for one time password generating device |
US20080052524A1 (en) * | 2006-08-24 | 2008-02-28 | Yoram Cedar | Reader for one time password generating device |
US8340110B2 (en) * | 2006-09-15 | 2012-12-25 | Trapeze Networks, Inc. | Quality of service provisioning for wireless networks |
US8072952B2 (en) * | 2006-10-16 | 2011-12-06 | Juniper Networks, Inc. | Load balancing |
US20080107077A1 (en) * | 2006-11-03 | 2008-05-08 | James Murphy | Subnet mobility supporting wireless handoff |
US20080151844A1 (en) * | 2006-12-20 | 2008-06-26 | Manish Tiwari | Wireless access point authentication system and method |
US7873061B2 (en) | 2006-12-28 | 2011-01-18 | Trapeze Networks, Inc. | System and method for aggregation and queuing in a wireless network |
US8423794B2 (en) * | 2006-12-28 | 2013-04-16 | Sandisk Technologies Inc. | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications |
US7865713B2 (en) * | 2006-12-28 | 2011-01-04 | Trapeze Networks, Inc. | Application-aware wireless network system and method |
KR100818164B1 (ko) * | 2007-02-21 | 2008-04-02 | 텔코웨어 주식회사 | 네트워크 연동 정보를 자동으로 설정하는 방법 및 그네트워크 시스템 |
US20080226075A1 (en) * | 2007-03-14 | 2008-09-18 | Trapeze Networks, Inc. | Restricted services for wireless stations |
US20080276303A1 (en) * | 2007-05-03 | 2008-11-06 | Trapeze Networks, Inc. | Network Type Advertising |
WO2008144804A1 (en) | 2007-05-28 | 2008-12-04 | Honeywell International Inc | Systems and methods for commissioning access control devices |
WO2008144803A1 (en) | 2007-05-28 | 2008-12-04 | Honeywell International Inc | Systems and methods for configuring access control devices |
DE102007031721B4 (de) * | 2007-07-06 | 2015-07-16 | Siteco Control Gmbh | Externer Konfigurationsspeicher für Netzwerkgeräte |
US9026639B2 (en) * | 2007-07-13 | 2015-05-05 | Pure Networks Llc | Home network optimizing system |
US8700743B2 (en) * | 2007-07-13 | 2014-04-15 | Pure Networks Llc | Network configuration device |
US9491077B2 (en) * | 2007-07-13 | 2016-11-08 | Cisco Technology, Inc. | Network metric reporting system |
EP2026594B1 (en) * | 2007-08-14 | 2017-07-12 | Alcatel Lucent | A module and associated method for TR-069 object management |
US8902904B2 (en) * | 2007-09-07 | 2014-12-02 | Trapeze Networks, Inc. | Network assignment based on priority |
KR101405688B1 (ko) * | 2007-09-14 | 2014-06-12 | 엘지이노텍 주식회사 | 지그비 시스템 |
US8509128B2 (en) * | 2007-09-18 | 2013-08-13 | Trapeze Networks, Inc. | High level instruction convergence function |
JP5318111B2 (ja) * | 2007-10-24 | 2013-10-16 | ラントロニクス・インコーポレイテツド | リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置 |
FR2923115B1 (fr) * | 2007-10-26 | 2010-09-10 | Radiotelephone Sfr | Procede de mise a jour de parametres de reseau et dispositif de mise en oeuvre dudit procede |
US8238942B2 (en) * | 2007-11-21 | 2012-08-07 | Trapeze Networks, Inc. | Wireless station location detection |
US8520588B2 (en) * | 2008-02-01 | 2013-08-27 | Honeywell International Inc. | Wireless system gateway cache |
US7975084B1 (en) * | 2008-02-06 | 2011-07-05 | American Megatrends, Inc. | Configuring a host computer using a service processor |
US8150357B2 (en) | 2008-03-28 | 2012-04-03 | Trapeze Networks, Inc. | Smoothing filter for irregular update intervals |
US8474023B2 (en) | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
US8949936B2 (en) * | 2008-06-19 | 2015-02-03 | Microsoft Technology Licensing, Llc | Hosted network device user interface |
US8261322B2 (en) | 2008-06-19 | 2012-09-04 | Microsoft Corporation | Home networking web-based service portal |
US9369302B1 (en) * | 2008-06-24 | 2016-06-14 | Amazon Technologies, Inc. | Managing communications between computing nodes |
US8978105B2 (en) * | 2008-07-25 | 2015-03-10 | Trapeze Networks, Inc. | Affirming network relationships and resource access via related networks |
EP2150026A1 (en) * | 2008-07-31 | 2010-02-03 | Nokia Siemens Networks OY | Configuration of a communication device |
US8238298B2 (en) | 2008-08-29 | 2012-08-07 | Trapeze Networks, Inc. | Picking an optimal channel for an access point in a wireless network |
EP2332386A4 (en) * | 2008-09-30 | 2014-07-23 | Honeywell Int Inc | SYSTEMS AND METHOD FOR INTERACTION WITH ACCESS CONTROL DEVICES |
US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US8878931B2 (en) | 2009-03-04 | 2014-11-04 | Honeywell International Inc. | Systems and methods for managing video data |
US9019070B2 (en) | 2009-03-19 | 2015-04-28 | Honeywell International Inc. | Systems and methods for managing access control devices |
US9009121B2 (en) | 2009-10-30 | 2015-04-14 | Oracle International Corporation | Bootstrapping server using configuration file stored in server-managed storage |
US9280365B2 (en) | 2009-12-17 | 2016-03-08 | Honeywell International Inc. | Systems and methods for managing configuration data at disconnected remote devices |
US8707414B2 (en) | 2010-01-07 | 2014-04-22 | Honeywell International Inc. | Systems and methods for location aware access control management |
US8649297B2 (en) * | 2010-03-26 | 2014-02-11 | Cisco Technology, Inc. | System and method for simplifying secure network setup |
US8724515B2 (en) | 2010-03-26 | 2014-05-13 | Cisco Technology, Inc. | Configuring a secure network |
US8627423B2 (en) * | 2010-04-09 | 2014-01-07 | Aruba Networks, Inc. | Authorizing remote access points |
CN102402441B (zh) * | 2010-09-16 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种对多台计算机进行配置的系统和方法 |
US8787725B2 (en) | 2010-11-11 | 2014-07-22 | Honeywell International Inc. | Systems and methods for managing video data |
CN102065021B (zh) * | 2011-01-28 | 2012-12-26 | 北京交通大学 | 基于NetFPGA的IPSecVPN实现系统及方法 |
WO2012174603A1 (en) | 2011-06-24 | 2012-12-27 | Honeywell International Inc. | Systems and methods for presenting dvm system information |
US8935438B1 (en) * | 2011-06-28 | 2015-01-13 | Amazon Technologies, Inc. | Skin-dependent device components |
US9240984B2 (en) * | 2011-07-25 | 2016-01-19 | Qterics, Inc. | Configuring an electronic device based on a transaction |
US20130031227A1 (en) * | 2011-07-27 | 2013-01-31 | Ford Daniel E | Transmission of configuration to a device for provisioning in a network |
US10038872B2 (en) | 2011-08-05 | 2018-07-31 | Honeywell International Inc. | Systems and methods for managing video data |
US10362273B2 (en) | 2011-08-05 | 2019-07-23 | Honeywell International Inc. | Systems and methods for managing video data |
US9344684B2 (en) | 2011-08-05 | 2016-05-17 | Honeywell International Inc. | Systems and methods configured to enable content sharing between client terminals of a digital video management system |
WO2013048427A1 (en) * | 2011-09-30 | 2013-04-04 | Siemens Aktiengesellschaft | Management system with versatile display |
CN103685392A (zh) * | 2012-09-13 | 2014-03-26 | 北京大唐高鸿数据网络技术有限公司 | 自动配置服务器中终端配置信息存储和分配的方法 |
CN103853641A (zh) * | 2012-11-28 | 2014-06-11 | 英业达科技有限公司 | 电子装置检测的错误排除与提示系统及其方法 |
TWI486761B (zh) * | 2012-12-12 | 2015-06-01 | 英業達股份有限公司 | 機櫃伺服器系統及其檢測方法 |
US10523903B2 (en) | 2013-10-30 | 2019-12-31 | Honeywell International Inc. | Computer implemented systems frameworks and methods configured for enabling review of incident data |
US20150142937A1 (en) * | 2013-11-18 | 2015-05-21 | Lite-On Clean Energy Technology Corp. | Method and system for remote equipment data installation |
FI20136189L (fi) | 2013-11-27 | 2015-05-28 | Tellabs Oy | Verkkoelementti ja kontrolleri verkkoelementin hallitsemiseksi |
US9692780B2 (en) | 2014-03-31 | 2017-06-27 | At&T Intellectual Property I, L.P. | Security network buffer device |
EP2958291B1 (en) * | 2014-06-18 | 2021-04-14 | Swisscom AG | Method and system for authenticating network equipment |
US10769389B2 (en) * | 2014-08-27 | 2020-09-08 | Ncr Corporation | Automatic scanner configuration |
US10404532B2 (en) | 2015-04-10 | 2019-09-03 | Comcast Cable Commnications, LLC | Virtual gateway control and management |
US20160364562A1 (en) * | 2015-06-09 | 2016-12-15 | Pure Storage, Inc. | Systems and methods for system self-configuration |
US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
US10318437B2 (en) * | 2016-10-31 | 2019-06-11 | Vinod Sitaram Mukkamala | System and method for unified secure remote configuration and management of multiple applications on embedded device platform |
US20180139090A1 (en) * | 2016-11-15 | 2018-05-17 | John Geiger | Method for secure enrollment of devices in the industrial internet of things |
EP3376733A1 (de) * | 2017-03-17 | 2018-09-19 | Siemens Aktiengesellschaft | Verfahren zur datenübertragung, datenübertragungssystem und anlernmodul |
US10938855B1 (en) * | 2017-06-23 | 2021-03-02 | Digi International Inc. | Systems and methods for automatically and securely provisioning remote computer network infrastructure |
US10805381B2 (en) * | 2017-10-03 | 2020-10-13 | Citrix Systems, Inc | Web storage based IoT device protect mechanism |
CN109067633B (zh) * | 2018-10-22 | 2024-04-16 | 泛亚电子工业(无锡)有限公司 | 基于以太网菊花链通讯网络拓扑的电源管理系统及方法 |
US11095517B2 (en) * | 2018-12-05 | 2021-08-17 | Verizon Patent And Licensing Inc. | Method and system for secure zero touch device provisioning |
US10817455B1 (en) * | 2019-04-10 | 2020-10-27 | Xilinx, Inc. | Peripheral I/O device with assignable I/O and coherent domains |
US11202195B2 (en) | 2020-03-13 | 2021-12-14 | At&T Intellectual Property I, L.P. | Systems and methods for configuring routers and for facilitating communication between routers |
CN114598735B (zh) * | 2022-01-30 | 2024-05-14 | 阿里巴巴(中国)有限公司 | 数据处理方法和系统 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6722570B1 (en) * | 1988-12-12 | 2004-04-20 | Smartdisk Corporation | Smart data storage device |
US5729767A (en) * | 1994-10-07 | 1998-03-17 | Dell Usa, L.P. | System and method for accessing peripheral devices on a non-functional controller |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US6012088A (en) | 1996-12-10 | 2000-01-04 | International Business Machines Corporation | Automatic configuration for internet access device |
US5983273A (en) | 1997-09-16 | 1999-11-09 | Webtv Networks, Inc. | Method and apparatus for providing physical security for a user account and providing access to the user's environment and preferences |
CA2306704A1 (en) | 1997-10-16 | 1999-04-29 | John Slaby | An apparatus and method for controlling access to a service over a communications system |
US6822971B1 (en) * | 1999-05-28 | 2004-11-23 | Nokia Corporation | Apparatus, and association method, for identifying data with an address |
SE9902336A0 (sv) | 1999-06-18 | 2000-12-19 | Ericsson Telefon Ab L M | Metod och system för kommunikation |
US6665714B1 (en) * | 1999-06-30 | 2003-12-16 | Emc Corporation | Method and apparatus for determining an identity of a network device |
US6438594B1 (en) * | 1999-08-31 | 2002-08-20 | Accenture Llp | Delivering service to a client via a locally addressable interface |
US7181766B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Methods and system for providing network services using at least one processor interfacing a base network |
TW588522B (en) | 2000-07-05 | 2004-05-21 | Ericsson Telefon Ab L M | Plug and play installation of router for use in a network such as a cellular telecommunications network |
FR2812992B1 (fr) | 2000-08-10 | 2003-01-17 | Sagem | Routeur a carte a microprocesseur |
US7117376B2 (en) * | 2000-12-28 | 2006-10-03 | Intel Corporation | Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations |
-
2001
- 2001-09-20 US US09/957,879 patent/US7313819B2/en not_active Expired - Fee Related
-
2002
- 2002-08-22 KR KR1020047004056A patent/KR100647163B1/ko not_active IP Right Cessation
- 2002-08-22 EP EP02768683A patent/EP1430696A1/en not_active Withdrawn
- 2002-08-22 WO PCT/US2002/026897 patent/WO2003026255A1/en active Application Filing
- 2002-08-22 CN CNA028185587A patent/CN1557087A/zh active Pending
- 2002-08-22 JP JP2003529735A patent/JP3946700B2/ja not_active Expired - Fee Related
- 2002-08-22 BR BR0212727-0A patent/BR0212727A/pt not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010527076A (ja) * | 2007-05-07 | 2010-08-05 | モカナ・コーポレーション | Usbキーを使用したネットワーク要素の管理方法及び装置 |
KR101561306B1 (ko) * | 2007-05-07 | 2015-10-16 | 모카나 코포레이션 | Usb 키를 이용한 네트워크 컴포넌트 관리 |
JP2010535380A (ja) * | 2007-07-31 | 2010-11-18 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | 不正使用防止制御のシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
US20030018889A1 (en) | 2003-01-23 |
EP1430696A1 (en) | 2004-06-23 |
KR20040039378A (ko) | 2004-05-10 |
WO2003026255A1 (en) | 2003-03-27 |
KR100647163B1 (ko) | 2006-11-23 |
JP3946700B2 (ja) | 2007-07-18 |
CN1557087A (zh) | 2004-12-22 |
US7313819B2 (en) | 2007-12-25 |
BR0212727A (pt) | 2004-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3946700B2 (ja) | 目的のネットワーク環境に対するネットワーク装置のアドレス可能性の自動確立のための方法および装置 | |
US11489872B2 (en) | Identity-based segmentation of applications and containers in a dynamic environment | |
US8370905B2 (en) | Domain access system | |
US10491583B2 (en) | Provisioning remote access points | |
US7305549B2 (en) | Filters to isolate untrusted ports of switches | |
US7831997B2 (en) | Secure and automatic provisioning of computer systems having embedded network devices | |
US9003485B2 (en) | Systems and methods for the rapid deployment of network security devices | |
US8214885B2 (en) | Managing network components using USB keys | |
KR100950833B1 (ko) | 컴퓨터 시스템과의 암호화 통신 방법 및 시스템 | |
JP6917474B2 (ja) | ネットワーク接続のためのクレデンシャル情報の処理方法、装置、及びアプリケーションapp | |
JP2009538100A (ja) | 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備 | |
CN113630374B (zh) | 实现通过网络与目标装置的安全通信的方法 | |
US20230006988A1 (en) | Method for selectively executing a container, and network arrangement | |
CN114363165A (zh) | 一种电子设备的配置方法、电子设备和服务器 | |
EP3206423A1 (en) | Device and method for connecting devices to a network | |
TWI241797B (en) | Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060803 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060815 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20061115 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20061122 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070215 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070411 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100420 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110420 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120420 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120420 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130420 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130420 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140420 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |