TWI241797B - Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium - Google Patents

Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium Download PDF

Info

Publication number
TWI241797B
TWI241797B TW91121156A TW91121156A TWI241797B TW I241797 B TWI241797 B TW I241797B TW 91121156 A TW91121156 A TW 91121156A TW 91121156 A TW91121156 A TW 91121156A TW I241797 B TWI241797 B TW I241797B
Authority
TW
Taiwan
Prior art keywords
network device
network
configuration
data
addressable
Prior art date
Application number
TW91121156A
Other languages
English (en)
Inventor
Keith L Burnett
Dayman Pang
Victor C Robison
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/957,879 external-priority patent/US7313819B2/en
Application filed by Intel Corp filed Critical Intel Corp
Application granted granted Critical
Publication of TWI241797B publication Critical patent/TWI241797B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

1241797 ⑴ 玫、發明說明 (發明說明應敘明:發明所屬之技術領域、先前技術、内容、實施方式及圖式簡單說明) 本專利申請案申請公元2001年7月20曰送件、美國暫行 申請案號60/3 07,099之專利權。 著作權聲明 本文所含之内容受著作權保護,當本文揭示之專利存在 於專利及商標局檔案或紀錄内時,本著作權之所有人不反 對任何人複製揭示之專利申請項目,否則本著作權之所有 人保有和著作權有關之所有權利。 發明背景 發明範圍 本發明一般和網路裝置領域有關,更特別的是,本發明 和諸如一路由器、一交換器、一防火牆、一虛擬私有網路 閘道等網路裝置之可定址性之安全及自動構建之方法及 裝置有關_,俾用於一目標網路環境且能安全及自動地以組 態資料進行網路裝置供應,以將該網路裝置引領至完整定 義及功能性之狀態。 相關技術描述 諸如路由器、交換器、防火牆及虛擬私有網路閘道等網 路運算及通訊裝置是需要耗費大量人工管理的,此等網路 裝置通常支援許多組態參數,而該等參數必須基於該網路 裝置在週遭設備脈絡中所扮演之功能以正確設定,為適當 設定此類裝置,一組織通常仰賴一充份了解網路原理及協 定之合格管理員(為僱員其中之一或由第三者外包)負責 ,再者,此等熟悉作業之網管人員通常必須實際存取網路 -6- 1241797 _ (2) 發明說明續頁 裝置俾使其能夠運作,因此,網管人員在將網路裝置安裝 於指定地點之前,通常必須先行前往網路中之每一站或先 _ 獲得網路裝置之存取權。 ' 儘管諸如簡單網路管理協定(SNMP)等既有之數項管理 - 協定可允許具有一正確網際網路協定(IP)組態之網路裝 置於一既有之網路上進行組態,然而現今未有任何機制可 自動且安全地將一網路裝置自原廠設定值引入一初始化 作業狀態,其中該網路裝置可在指定之網路環境中進行通 ® 訊並可定址。 圖示之呈現暨概要描述 本發明藉由所附圖示之圖内範例進行說明,而非受限於 該等範例,且其中相同參數代表相同元件,且其中: 圖1說明依據本發明具體實施例之虛擬私有網路(VPN) 供應系統範例; 圖2為依據本發明具體實施例之高階流程圖,其說明一 網路裝置供應系統之各階段狀態; _ 圖3為一流程圖說明依據本發明具體實施例之設計階段 處理; 圖4為依據本發明具體實施例之網路裝置高階方塊圖; 圖5為依據本發明具體實施例之智慧型硬體儲存裝置之 方塊圖; ’ 圖6為一流程圖說明依據本發明具體實施例之可定址階 段處理; 圖7為一流程圖說明依據本發明具體實施例之網路裝置 1241797 發明說明續頁 (3) 組態階段; 圖8為一流程圖說明依據本發明具體實施例之裝置組態 伺服器組態階段處理。 本發明之詳細描述
本發明提出一種在既有通訊網路中用於遠端、自動及安 全網路供應之裝置及方法,廣泛地說,本發明之具體實施 例尋求提供一種可直接管理且不複雜之機制以構建可定 址性及供應諸如路由器、交換器、防火牆及虛擬私有網路 閘道之網路裝置。
自動促成可定址性及自動供應被認為是提供一項重要 銷售特徵,特別是在技術仍然不能為顧客充份了解且許多 方面服務管理仍需仰賴服務者手動之V P N產業中更是如 此,直到目前,此服務管理之關鍵部份仍需由管理者進行 現地服務以設定用戶終端設備,而具有避免此等現地服務 之能力則可使VPN服務提供者及/或設備販售者有效降低 成本。 本發明具體實施例之其他優點包含原始裝備製造者 (OEMs)及服務提供者之客戶能使其本身熟悉網管人員增 進生產力,並使改良網路裝置之終端使用者可更容易使用 並提高效率,因為客戶不再需要技術人員且技術人員不再 需要進行現地服務。 在以下描述中,對了說明之目的,各項詳細内容將闡述 於下俾提供讀者對本發明完整之了解,對熟悉本領域之人 士將可清楚了解,若無該等之部份詳細說明,本發明亦可 1241797 發明說明續頁 (4) 加以實踐,在其他例子中,廣為人知之結構及裝置皆以方 塊圖顯示。 本發明包含各類步驟,將詳述於下,本發明之步驟可由 硬體元件執行或可以機器可執行指令加以具體化,而各種 實踐方式可製成一通用或個殊用途之内建指令處理器以 執行相關步驟,或者,該等步驟可由硬體及軟體配合執 行。 本發明可採電腦程式產品方式提供,其可包含一具有内 存指令之機器可讀式媒體,以用於指示一電腦(或其他電 子裝置)以執行依據本發明之相關處理。該機器可讀式媒 體可包含(但不限於)軟碟、光碟、唯讀記憶體光碟 (CD-ROM)、及磁光碟、唯讀記憶體(ROMs)、隨機存取記 憶體(RAMs)、可消除式可程式化唯讀記憶體(EPROMs)、 電可消除式可程式化唯讀記憶體(EEPROMs)、磁卡或光學 卡、快閃記憶體或其他型式之適於儲存電子指令之媒介/ 機器可讀式媒體。再者,本發明亦可被下載作為一電腦程 式產品,其中該程式可自一遠端電腦藉由一通訊鏈結(例 如一數據機或網路連接)將内含於載波其他傳播媒體之資 料訊號傳輸予一需求電腦。 儘管為了便利之考量,本發明之具體實施例參照虛擬私 有網路(VPN)裝置及以VPN範例之脈絡進行描述,然而本 發明可同等應用於各類其他網路裝置,像是路由器、交換 器、橋接器、及防火牆及各類其他網路環境。再者,儘管 描述於此之VPN建置管理者為站對站VPN服務,對諸如路 發明說明續頁 1241797 (5) 由器之其他裝置之遠端服務亦在構劃之列。進一步而言, 透過和加值IP服務之整合,服務品質機制(Q 0 S )、語音及 應用傳播皆可加入。 術語 在描述本發明之各類具體實施例所能應用之網路環境 範例之前,部份在本申請案中使用之字詞將先作簡要定 義。 在此使用之π網路裝置”通常表示一中介裝置,其便於一 互連區域網路(LANs)集内進行電腦對電腦通訊,網路裝 置範例包含閘道、路由器、交換器、橋接器及防火牆等。 名詞”韌體”通常表示用於操控網路裝置及執行其特性 之程式指令,韌體可包含應用於諸如作業系統、裝置驅動 器、網路協定堆疊及管理協定等系統元件之程式指令,此 等程式指令可儲存於諸如快閃記憶體模組、EPROMs、 EEPROMs及場式可程式閘陣歹|J (FPGAs),或其可在智慧型 硬體儲存裝置(定義於下)控制之下,使用中介裝置或通訊 協定,將程式全數或部份傳輸至該裝置。 名詞’’原廠設定組態"或”原廠定義狀態通常代表一"拆 封”、或未進行初始之組態、或是網路裝置已包含韌體卻 無任何資料可在該裝置將執行功能之目標網路環境中識 別其本身,且無任何資料可識別目標網路環境中之其他網 路裝置。舉例而言,在一原廠設定組態下之網路裝置由於 其尚未在該網路所使用之位址空間内被賦予一諸如網際 網路協定(IP)位址之邏輯位址,故無法在該網路中被定址 -10- 1241797 (6) 發明說明續頁 ,再者,該網路裝置無法在該網路上進行通訊,因其並無 有關其週遭裝置之邏輯位址資訊。 字詞"初始作業組態’’或"初始作業狀態”通常代表一已 初始化之組態或狀態,但不必然是完整定義的功能狀態, 例如,處於一初始作業組態之網路裝置(例如具有一有效 IP組態)可在一特定網路環境中通訊及定址,但可能尚不 清楚其如何掌控某種型式之網路交通。 名詞”可定址性資料〃通常代表可直接或間接將一網路 裝置自該原廠設定組態轉換為初始作業組態,依據描述於 此之具體實施例,可定址性資料可包含下列之一或多項: (1)該網路裝置具有唯一之邏輯位址(像是IP位址);(2)該 網路裝置具有一子網路遮罩;(3)該網路裝置具有和一預 設閘道有關之邏輯位址;(4) 一遠端裝置組態伺服器之邏 輯位址;(5)—邏輯名稱,像是一網域名稱系統(DNS)資料 或類似之'網域名稱位址;(6) —可表示或對映至和該預設 閘道相關邏輯位址之邏輯名稱;以及(7) —可表示或對映 至該遠端裝置組態伺服器邏輯位址内之邏輯名稱。 名詞”組態資料π —般代表可將一網路裝置由初始作業 組態引領至完全定義、功能性狀態之資料,例如在第一 VPN裝置之描述中,其將和一或多個對等(peer) VPN裝置 建構安全通道,對於該第一 VPN裝置之組態資料可包含該 諸對等VPN裝置之IP位址、以及可允許透過該安全通道傳 輸之詳細資料,在此例中,當該第一 VPN裝置已和該諸對 等VPN裝置建構完成該安全通道、且本身已具有適當組態 -11 - 1241797 ⑺ 發明說明續頁 俾確保僅有經允許之網路交通可通過每一安全通道時,則 已達成該完整定義、功能性狀態。 名詞"安全資料"一般代表一共享密文或資料,其可用於 產生一共享密文俾供該網路裝置使用,以自遠端裝置組態 伺服器存取組態資料。依據一具體實施例,該安全資料可 直接或間接將介於該網路裝置及該遠端裝置組態伺服器 間之通訊交換進行加密。依據另一具體實施例,該安全資 料包含一唯一識別碼或密碼,並由該儲存裝置傳輸至該網 路裝置。在其他具體實施例中,其可包含和中介裝置之通 訊,此等介於中介裝置間之通訊本身可使用諸如網際網路 安全協定(IP Sec)之附加之安全協定及諸如X. 5 09驗証之 安全機制。 在此使用之對一網路裝置之”建構可定址性”片語一般 代表一處理作業以將網路裝置由一原廠設定狀態(例如該 裝置處於'無法在一目標網路環境中運作之狀態)引領至一 初始運作狀態(例如該網路裝置可和該目標網路環境内之 其他網路裝置通訊且可被定址之狀態)。 在此使用之’'供應(p r 〇 v i s i ο n i n g)" —網路裝置,一般代表 提供和一或多項網路裝置管理步驟如組態、服務及應用等 相關之組態資料或參數,例如,在此所使用之供應可包含 下列一或二項:(1 )將該網路裝置引導入完全定義、功能 性狀態所需之所有使用者指定資料用於對該網路裝置進 行組態;(2)啟動加值IP服務,像是服務品質(QoS)及語音。 在此使用之"虛擬私有網路或VPN〃一般代表一節點集 1241797 發明說明續頁 合,像是和一傳輸網路或互聯網路(像是網際網路)連接之 網路裝置或電腦系統,其使用加密技術相互通訊,在此種 方式下,可形成一廣域網路(WAN),其中介於該等節點間 之訊息交換可確保不受未經授權者攔截及破解,且無需額 外花費建置私有線路、固接專線(1 e a s e d 1 i n e s)及/或長途 傳輸專屬線路(long-haul dedicated circuits)。 在此使用之’’智慧型硬體儲存裝置"一般代表一使用者 可服務、可攜式、可移動式儲存裝置,其可對外連接網路 裝置進行通訊,因此,此定義排除了快閃記憶體模組,因 其係於一網路裝置内部使用。然而,該智慧型硬體儲存裝 置可用於載入、選擇、或改變儲存於此等快閃記憶體模組 内之諸如韌體或執行啟動載入程式(bootstrap)參數之資 料,俾對該網路裝置予以配組。重要的是,該智慧型硬體 儲存裝置無需直接或實體上和該網路裝置連接,例如,該 智慧型硬'體儲存裝置可透過一或多個中介裝置以直接或 間接連接至該網路裝置之供應埠或使用無線資料傳輸協 定和該網路裝置通訊。吾人可使用各種硬體儲存裝置,像 是電子安全裝置、金餘、金餘卡、鎖、防護鎖(sentinels) 、軟體鎖(d ο n g 1 e s )、硬體金錄、無線手持裝置、智慧卡、 磁碼卡、或包含萬用序列匯流排(USB)硬體符記等等之硬 體符記。 在此使用之”傳輸網路"可為一中介公用或私有網路或 互聯網路,網際網路為公用互聯網路之範例,一公司或企 業網路為私有網路或互聯網路之範例。 -13 - 1241797 (9) 發:明說明續頁 V P N供應系选範..魁 圖1說明依據本發明具體實施例之虛擬私有網路(VPN) 供應系統100之範例,在此例中,該VPN供應系統100包含 兩具VPN閘道Π 5及1 2 5、一操控電腦丨3 〇、兩項硬體符記 1 1 6及1 2 6、〆組態資料庫1 3 5、及裝置組態伺服器n 〇。 在VPN閘道1 1 5及1 2 5之後即傳送至適當客戶網路區域 ’泫V P N閘道1 1 5及1 2 5連接至一諸如網際網路之傳輸網路 1 0 5 ’俾作為直接操控及簡單安裝作業之一部份,在此例 中,V P N閘道1 1 5及1 2 5個別配賦有供應介面} 1 7及1 2 7 ,像 是可和公元1997年10月公佈之美國國家標準機構(ANSI)/ 電讯工業協會(TIA)/電子工業聯盟(eia)-232-F-1997 (ANSI/TIA/EIA-23 2-F- 1 997)(在此之稱為 ’’EIA23 2 ”)相容 之非對稱通訊埠、或其他串列、平行或U S B埠,以自外部 儲存裝置接收帶外(〇 u t - 〇 f - b a n d)資料,像是硬體符記1 1 6 及1 2 6。依據本具體實施例,該〇 u t - 0 f _ b a n d資料包含基本 可定址性資料,其可促使VPN閘道1 1 5及1 2 5開機至一可在 該網路内進行通訊及可定址之初始作業狀態,在此時點上 ,一手控或自動組態作業將被啟動以將VPN閘道1 1 5及1 2 5 引領至一完整定義、功能性狀態。舉例而言,一自動組態 作業可獲取適當參數以在V P N閘道1 1 5及1 2 5間構建一通 道120’俾使vpn閘道115及125可經由通道120而安全地在 傳輸網路1 0 5上安全地進行資料交換。 操控電腦1 3 〇執行一組態程式(未顯示)以允許一網路工 程師輸入組態資料以進行組態資料庫1 3 5,該操控電腦1 3 0 -14· 1241797 發明說明續頁 (10) 亦包含一諸如和非對稱EIA23 2相容通訊璋之介面(未顯示) ,其使得該組態程式得以將資料(像是可定址性資料)及安 全資料(將於以下描述)配合該等儲存裝置(像是硬體符記 1 1 6及1 2 6 )進行設定。 依據一具體實施例,硬體符記1 1 6及1 2 6為智慧型硬體裝 置,其内含一相對小量之非揮發性、可程式化記憶體,一 般為1 0 0位元組,其可藉由一通訊協定加以程式化及讀取 。如由虛線所示,硬體符記1 1 6及1 2 6可和操控電腦1 3 0及 將進行供應之網路裝置(像是VPN閘道1 1 5及1 2 5)介接,例 如,硬體符記1 16及126可嵌入一諸如非對稱EIA-2 3 2相容 通訊槔之埠中。在一典型之構想定,硬體符記1 1 6及1 2 6 可由操控電腦1 3 0配合可定址性資料加以程式化,以供諸 如VPN閘道1 1 5及1 2 5之網路裝置在一預定之目標網路環 境中使用。儘管由於本發明所示為簡要具體實施例,而依 據特定型式之硬體符記加以描述,在不同之具體實施例 中,各類其他諸如無線手持裝置、智慧卡、m a g n e t i c a 11 y encoded cards、或萬用序列匯流排(USB)硬體符記等儲存 裝置亦可用於取代硬體符記116及126。 用於將該等網路裝置帶入完整定義、功能性狀態之組態 資料可儲存於一集中式或分散式組態資料庫1 3 5,例如, 如將於以下詳述的,一熟悉一網路裝置所處及該網路裝置 預定安置之目標網路環境之網路工程師可構建一組組態 資料以滿足客戶需求並將其上庫至組態資料庫1 3 5。 裝置組態伺服器1 1 0和網路1 〇 5連接且可對組態資料庫 -15- 1241797
發曰ϊ說明續i
1 3 5進行存取,裝置組態伺服器1 1 0執行一伺服器程式(未 顯示)以對來自該等網路裝置之組態要求作出回應,並傳 遞適當組態資料至發出要求之網路裝置。該管理協定為一 通訊協定,其和網路1 〇 5、裝置組態伺服器1 1 0及執行於該 等網路裝置上之韌體程式相容,俾使該網路裝置得以藉由 網路1 0 5和裝置組態伺服器進行傳輸及/或接收諸如組態 檔案之組態資料,該管理協定可包含基於安全理由而加密 ,因此使得遠端初始組態及/或遠端管理可安全進行。在 另一具體實施例中,該網路裝置使用一中介VPN閘道和裝 置組態伺服器1 1 0建構一安全管理通道,一旦該管理通道 已完成構建,則可採用一諸如SNMP之標準管理協定對該 裝置進行組態。在另一具體實施例中,該裝置組態伺服器 1 1 0及組態資料庫1 3 5之功能可由一通用開放政策服務使 用於政策供應(COPS-PR)、政策資訊庫及政策伺服器等, 此等係描述於公元2000年1月出版之評論請求(RFC) 274 8 及2001年3月出版之RFC3084中。重要的是,在另一具體 實施例中,VPN閘道11 5及1 2 5所賴以連接至裝置組態伺服 器之網路及組態資料所傳輸之網路可和VPN閘道Π 5及 1 2 5用於通訊之網路不同。 網路裝置供應 圖2為一高階流程圖說明依據本發明具體實施例之網路 裝置供應系統之各作業階段,在以下討論中,吾人假設一 用戶欲使用由一銷售商所提供之網路服務,該銷售商針對 該目標網路環境以適當之可定址性資料將該等網路裝置 -16· 1241797 (12) 及儲存裝 組態伺服 各種其他 多供應者 態服務之 在所描 2 0 5開始i 在銷售商 銷售者,il 網路環境 術詳情’ 裝置將建 在該等網 得,此詳 之輔助進 可定址階 概念性地 入一諸如 路環境内 一資料集 整定義、 備傳送、 實施例描 在方塊 發明.說明績頁 置設定後,即運送至用戶位置並提供一遠端裝置 器以支援初始遠端組態。在另諸具體實施例中, 情境亦在考量之列,例如,該等網路裝置之一或 、該設定完成儲存裝置之供應者、以及該遠端組 供應者可為不同實體。 述之具體實施例中,該網路裝置供應系統於方塊 I行處理,於方塊2 0 5執行設計階段,一般而言, 運送任何網路裝置之前,客戶會遞交一訂單予該 匕提供了銷售者一絕佳之機會以了解有關該用戶 及該用戶預劃所訂購網路裝置之建置等相關技 因此,依據本發明之具體實施例,諸如該等網路 置於網路何處及其何如處理封包等詳細資訊,可 路裝置運送至客戶網路端之前先行由用戶處獲 細資訊然後由高階網路工程師藉由操控電腦1 3 0 行綜整,俾產生可定址性資料及組態資料分別供 段及組態階段使用。簡要地說,可定址性資料可 被視為資料之基本集,其可使一網路裝置開機進 有效IP組態之初始作業組態,進而可在該目標網 進行通訊且成為可定址,另一方面,組態資料為 ,其促使網路裝置可跨越初始作業組態而至一完 功能性狀態,此時該網路裝置已完成組態並已準 過濾及或路由用戶所要求之封包,此資料之詳細 述如下。 2 1 0中,其執行可定址階段,當該網路裝置已運
-17- 1241797
發明說明續頁
送至用戶網路端、且和該目標網路環境連接後,即執行該 可定址階段,在此處,吾人應指出該網路裝置之原廠設定 組態並無任何資料可在該網路裝置將發揮功能之目標網 路環境中識別該網路裝置,再者,在原廠設定組態中,該 網路裝置對位於該目標網路環境中之其他網路裝置毫無 所悉,一般而言,一網路裝置用於在該網路進行通訊及成 為可定址所需者乃是一唯一之邏輯位址,像是IP位址及其 本身之子網路遮罩以及其預設閘道之邏輯位址。提供此等 及他種潛在之基本資訊乃為可定址階段之目的,其包含了 藉由一諸如智慧型硬體符記之預先設定完成儲存裝置之 輔助,將此資訊傳輸至該網路裝置。在另諸具體實施例中 ,吾人可使用諸如無線手持裝置、智慧卡或磁碼卡之各類 其他儲存裝置。
為完成該網路裝置之組態及將其置於一完整定義、功能 性狀態,儲存於組態資料庫1 3 5内之客戶特定資料(”組態 資料π)將於方塊2 1 5藉由執行組態階段而提供至該網路裝 置處。在完成該可定址階段後,該網路裝置即可在該網路 上進行通訊並可定址。因此,依據一具體實施例,在完成 可定址階段後,該網路裝置即對裝置組態伺服器1 1 〇發出 要求以透過傳輸網路1 0 5自組態資料庫1 3 5下載組態資料。 再者,在另一具體實施例中,該設計、可定址性及組態 階段可稍後再行重覆以修訂網路設計並更新網路裝置,例 如加入第四具裝置至先前供應之具有三具裝置之全交錯 網狀網路中,在此例中,設計、可定址及組態階段對該具 -18- 1241797
發明說明續頁 新裝置扮演如上述之供應角色,然而,在此僅執行設計及 組態階段以修訂該等三具先前組態之裝置,無需重建該等 裝置之可定址性。 設計階段處理
圖3為一流程圖說明依據本發明具體實施例之設計階段 處理,描述之具體實施例假設該組態資料所依附之資訊已 自客戶端獲得,例如上述,在進行訂單處理或在運送該等 網路裝置之前,為一絕佳時間以獲取有關用戶目標網路環 境及該等網路裝置預定使用之詳細資訊。 設計階段在方塊3 0 5可以任何速率開始進行處理,其中 由客戶所訂購之網路裝置以原廠設定狀態運送至適當之 網路端。
在進行至方塊3 1 0之前,一網路工程師分析用戶需求並 決定相關參數以令該等網路裝置在該目標網路環境中以 一初始作業狀態執行開機動作,例如,為使一網路裝置在 網際網路中得以運作,並使其能執行自動遠端初始化組態 處理,以下為一般所需設定之參數集: •該網路裝置之區域IP子網路遮罩及位於該子網路内 之唯一 IP位址,依循通訊網路之標準處理,此等位 址之選定在於對該網路裝置在該目標網路内提供一 唯一公開位址,或者,若該網路裝置使用一諸如網 路位址轉換(NAT)等之位址映射技術,某一唯一、公 開位址將對映至該網路裝置。 •一預設閘道(如一路由器)之IP位址,其將自該網路裝 -19- 1241797 (15) 發明說明續頁 置經由傳輸網路1 0 5將資料路由至遠端裝置組態伺 月艮器1 1 0,該預設閘道亦將自該裝置組態伺服器1 1 0 路由資料返回至該網路裝置。 •裝置組態伺服器1 1 0之IP位址。 在其他未使用自動供應之具體實施例中,裝置組態伺 服器1 1 0之IP位址無需成為該可定址性資料之一部份,吾 人亦應了解,例如在使用不同網路協定之不同網路環境中 ,可能需要其他可定址性最小資料集,俾使一網路裝置得 以運作。 為擁有安全組態,每一網路裝置亦可獲得安全資料俾進 行驗證,例如,吾人可賦予每一網路裝置唯一識別碼或密 碼,且提供至裝置組態伺服器1 1 0,以使裝置組態伺服器 1 1 0可驗証該網路裝置及/或所使用之智慧型硬體儲存裝 置。 在方塊3 1 0時,現行網路裝置之組態資料上載至組態資 料庫1 3 5並和諸如唯一識別碼或密碼等安全資料伴連,例 如,依據一具體實施例,該網路工程師可使用執行於操控 電腦1 3 0上之操控程式將客戶要求之該網路裝置參數輸入 至組態資料庫1 3 5,對於該操控程式之一項優點為:其可 藉由產生及驗證所有網路裝置之一致性組態資料而實質 改善對於較大型網路執行此等工作之可靠度,因為此項作 業通常為最常出錯之處。 在方塊3 1 5時,一和現行網路裝置有關之智慧型硬體儲 存裝置將以該網路裝置之可定址性資料及方塊3 1 0使用之 -20- 1241797
發明說明續頁 相關安全資料進行設定。依據一具體實施例,該網路工程 師藉由將該智慧型硬體儲存裝置連接EIA2 3 2 -相容通訊埠 ,然後使用和該智慧型硬體儲存裝置有關之通訊協定,將 該可定址性資料拷貝至該智慧型硬體儲存裝置之記憶體 中 〇 在方塊3 2 0時,設定完成之該硬體儲存裝置分別運送至 網路裝置端。
在方塊3 2 5時,其將決定所有用戶之網路裝置是否已完 成設計階段作業,若已完成,則該設計階段結束,否則該 設計階段持續於方塊3 1 0執行。
本例旨在說明所描述之新型供應方式之安全性特徵,由 於該網路裝置可儲放於封存之包裝箱内,該網路裝置及該 智慧型硬體儲存裝置(例如一硬體符記)可個別運送至用 戶網路端,在此種情況下,預先設定硬體儲存裝置將可在 該網路裝置在運送中遭竊取之情況下,使可能之安全洩漏 減至最小,因為該竊賊無法將該網路裝置連於線上以獲授 權方式加以使用,除非其亦另外在個別運送過程中攔截了 硬體儲存裝置、並複製或偽造授權之所有者網路位址。 網路裝置範例 圖4為依據本發明具體實施例之網路裝置4 0 0之簡化、高 階方塊圖,該網路裝置400表示一諸如VPN閘道、一路由 器、一交換器、或一防火牆等之可加諸本發明特徵之網路 計算或網路通訊裝置範例,依據本發明之各種具體實施例 ,該網路裝置可為一現行或未來版本之Intel® -21 - 1241797
煢芍說明續頁
NetStrUCtUre 31xx系列VPN裝置或一現行或未來版本之 Intel網路計算產品’像是Intei £xpress R0utei· (1心丨及
NetStructure為美國加州聖塔科拉那之Intd公司註冊商標)。 在此例中,該網路裝置4〇〇可包含一諸如一匯流排41〇 之網路裝置以傳遞資訊,且包含一和該匯流排4 1 〇耦合之 諸如一或多具處理器415之處理裝置以處理資訊並執行指 令。網路裝晉4· Π Π^ 進一步包含一隨機存取記憶體(RAM) 420或其他動態儲 -辟存衣置(亦稱為主記憶體),其和匯流排 4 1 0 |禺合以儲在脱上# 居存將由處理器4丨5所執行之資訊及指令。主記 匕把4 2 〇亦可在處理器4 1 5執行期間儲存暫存變數或其他 中”貝Λ網路裝置400亦包含唯讀記憶憶體(R〇Μ) 425 及/或八他和匯流排4 1 0耦合之靜態儲存裝置以為處理哭 4 15儲存靜態資訊及指令。 °口 諸如快閃碟、磁碟、光碟之資料儲存裝置43 0及一相 關驅:器亦可和匯流排41〇耦合以儲存資訊及指令,依據 - η %例,一控制该裝置作業之諸如b〇〇t程序之 早刃組私式可儲存於R0M 425或存於資料儲存裝置43〇以供 處理器4 1 5存取暨執行。 /、 存裝置範也 圖5為依據本發明具體實施例之智慧型硬體儲存裝置 )〇〇之方塊圖。智慧型硬體儲存裝置5 00表示一可程式化硬 體符記或其他可服務使用者之儲存裝置範例,其可藉由 如——網 ^ SjS ^ jVL, 衣置之供應璋從外部和該網路裝置介接。依據本 ^明具貫施例,該智慧型硬體儲存裝置包含一由美國科 -22- 1241797 _ (18) 發明說明續頁 羅拉多州李奇威之Microcomputer Applications所生產增 強或改良式現行或未來版本之KEY-LOKTM系列軟體鎖, 或為一由美國喬治亞州亞特蘭大Marx® Software Security 所生產增強或改良式現行或未來版本之CRYPTO-BOX®系 列硬體金餘(KEY-LOK為美國科羅拉多州李奇威 Microcomputer Applications公司之商標或註冊商標; CRYPTO-BOX及MARX為美國喬治亞州亞特蘭大之Marx Software Security之商標或註冊商標)。 依據本發明之各種具體實施例,吾人可針對某些應用而 酌情減少或增加配賦之硬體儲存裝置,在此將討論兩項組 態範例:一為以實線表示功能性單元,而另一為以虛線表 示之功能性單元,然而在此設計之硬體儲存裝置5 〇 〇之組 態將因吾人在各類因素預設平衡點不同而在各種應用中 產生改變,該等因素包括在使用簡易度、安全性、及簡化 及/或其他遠如價格及功能等。 依據一具體實施例,智慧型儲存裝置5 〇 〇僅包含所描述 功能性單元之子網路,亦即所描述之實線括出之功能性單 元’在此例中,智慧型硬體儲存裝置5 〇 〇包含一諸如共享 或專屬匯流排5 1 0之通訊裝置以傳遞資訊,且包含一可程 式化、非揮發性記憶體5 2 5及/或其他靜態儲存裝置和匯流 排5 1 0搞合以分別儲存諸如可定址階段及組態階段之靜態 資訊。智慧型硬體儲存裝置5 〇 〇亦包含和匯流排5 1 0耦合之 一或多具輸入/輸出(I/O)及程式化介面540,用以接收將予程 式化之資料並置於可程式化、非揮發性記憶體5 2 5,並在 1241797
蚕明說明續頁 原始通訊協定之指引下輸出儲存於可程式化、非揮發性記 憶體5 2 5之資料。依據一具體實施例,為便於使用,僅採 單一 I / 0及程式化介面用於下列兩者(丨)自操控電腦處接 收將於可程式化、非揮發性記憶體5 2 5程式化之資料;以 及(2)以原廠設定組態將駐存於可程式化、非揮發性記憶 體5 2 5之資料輸出至網路上。然而,在其他具體實施例中 ’該I/O程式化介面54〇可包含個別且獨立程式化及輸出介 面’俾利和不同埠別互動運作。 依據另一具體實施例,可程式化、非揮發性記憶體5 2 5 除了所描述以實線之功能性單元外,亦包含虛線之功能性 單元’在此例中,智慧型硬體儲存裝置5 〇 〇亦包含一和匯 流排4 1 0耦合之諸如處理器5丨5之處理裝置,用於處理資訊 暨執行指令,像是用於各種網路裝置之原始操控指令集。 硬體儲存裝置5 0 0進一步包含一隨機存取記憶體(Ram) 5 2 0或其他動態儲存裝置(亦稱主記憶體),其和匯流排$ i 〇 耦合以儲存由處理器5丨5執行之資訊暨指令。主記憶體5 2 〇 亦可在處理器5丨5執行指令期間用於儲存暫存變數或其他 中介資訊,一諸如快閃碟、磁碟、光碟之資料儲存裝置5 3 〇 及 相關驅動為亦可和匯流排5 1 0搞合以儲存資訊及^^ 令〇 依此組態,智慧型硬體儲存裝置500可藉由使用一網路 裝置之原始操控指令集控制該網路裝置,進而可操作内含 不支援特殊供應型式boots trap韌體之諸網路裝置,例如, 依據一具體實施例’該硬體符記可包含邏輯暨資料(於# 1241797 (20) 丨發f說明狀 計階段時標明)以導引一特定網路裝置執行相當於可定址 階段之工作、和該裝置組態伺服器連接、並完成組態階段 。依據另一具體實施例,智慧型硬體儲存裝置5 0 0可直接 或間接參與對該網路裝置之現存bootstrap韌體進行昇級 、重新載入或補強之工作,例如,在設計階段所設定之邏 輯及資料可促使該智慧型硬體儲存裝置5 0 0向該網路裝置 發出原始操控指令,俾導引其自裝置組態伺服器或某些其 他中介裝置下載韌體更新資料,接著則可進行前述之可定 址及/或組態階段。 考量硬體符記之替代裝置,其他現存或未來之媒體亦可 適於和所描述之供應系統搭配使用,然而,在所討論之具 體實施例中使用所描述之硬體符記具有數項優點:第一, 其為可嵌入式元件,一硬體符記可便於不熟悉之使用者使 用,且大大地降低了操作錯誤之風險,在對使用之硬體符 記進行適當管理之情況下,其亦可作為一安全金鑰分送之 方法:第二,該硬體符記增強但未改變相容網路裝置之運 作,當網路裝置出廠時,該裝置為一完全可運作之裝備元 件,儘管在自動供應特徵未能執行時或是客戶未提出此項 請求/訂購時之情況下亦是如此,因為對於一熟悉網路之 管理人員而言,儘管是一剛拆封之全新裝備單元,亦可和 目標網路環境連接,並以手動方式進行組態設定以配合自 動建構之可定址性及自動供應執行已啟動之相關功能。 因此,在此所描述之彈性供應方式可使一網路裝置具有 自動供應之強而有力特性,或使該網路裝置在無該特性下 -25 - 1241797 (21) 發^月說明續頁 亦能正常運作,故銷售者可利用此點增加產品之複雜性, 明白地說,在VPN業界,一服務提供者可對欲自行管理本 身裝備之客戶販售不具自動供應特性之VPN裝置,或對於 希望擁有xSP管理方案之客戶販售具有該自動供應特性 之裝置。 該硬體符記使此種複雜性易於達成,因為其為一外部連 接、服務使用者之元件,並可依意願連接或移除,當使用 該硬體符記時,其促使該網路裝置成為自動供應式,當該 硬體符記移除時,該網路裝置可正常開機,並仰賴現存或 手設組態。相同之複雜性及便於使用之目標無法同時由例 如仰賴切換快閃記憶體模組俾以用戶資料對網路裝置進 行組態之方式達成。 可定址性階段 圖6為依據本發明具體實施例之可定址處理階段之流程 圖,在一具體實施例中,以下描述之作業可在諸如處理器 4 1 5之程式化處理器之控制下執行,然而,在其他具體實 施例中,該等作業可由諸如場式可程式閘陣列(FPGAs)、 電晶體-電晶體邏輯(TTL)或特殊應用積體電路(ASIC)等 任何可程式化或固寫於程式碼中之邏輯予以完全或部份 執行。 簡要地說,依據本發明具體實施例,網路裝置之架設可 由不具任何網路技術之用戶個人完成,當預先完成設定之 智慧型硬'體儲存裝置到達每一使用者端時,使用者個人依 循簡單指示以連接電源線及網路線至該等網路裝置,並將 1241797 (22) I杳明說明磺頁 該智慧型硬體儲存裝置和相關網路裝置介接(例如將硬體 符記嵌接於指定之網路裝置供應埠,像在應用例中為 EIA2 3 2相容通訊璋),當網路裝置接著重開機或啟動時, 一開機程序彳貞測該智慧型硬體儲存裝置之存在、進入特殊 供應模式、並自該處讀取可定址性資料。 當網路裝置4 0 0由開啟電源(冷啟動)而啟動或重開機時 、藉由按下重開機鍵重開機時(熱啟動)、或藉由發出軟體 指令重新啟始時(熱啟動),其將執行一 bootstrap載入程式 ,一般而言,當成功執行一些諸如一組電源自我測試步驟 之硬體診斷測試後,作業系統(〇S)即由處理器4 1 5或其他 諸如直接記憶體存取控制器之裝置自非揮發性儲存區載 入至記憶體内,由0 S所含之指令順序接著由處理器2 0 5執 行以將其他程式自非揮發性儲存區載入作業記憶體内。然 而,依據本發明具體實施例,在對〇 S發出控制指令之前 ’該bootstrap處理作業或另一由bootstrap處理作業進行初 始化(或在boot strap處理作業進行之前)之另一韌體程式 (一般稱之為"開機時程作業(b ο 〇 t t i m e p r 〇 c e s s) ’’或一 '•開 機時程程序(boot time procedure)")將決定是否進入一特 定供應模式以接收可定址性資料。在所描述之具體實施例 中,該特定供應模式由網路裝置執行啟動載入程式 (bootstrap)作業之方塊6 3 0及6 3 5所表示。 可定址階段處理始於方塊6 0 5,在此描述之例中,為便 於說明起見,開機時程作業假設為bootstrap作業,在網路 裝置進行冷或熱啟動時,即啟始該網路裝置之bootstrap -27- 1241797 (23) 發祗說明磺頁 作業。方塊6 1 0決定該網路裝置之可定址性參數狀態,若 該等可定址性參數已被初始化,則bootstrap作業賡續進行 方塊6 1 5,否則,若該等可定址性參數為原廠設定狀態 (例如未初始化),則b ο 〇 t s t r a p作業進行抉擇方塊6 2 0。 於方塊6 1 5處,該網路裝置依據該網路裝置先前進行初 始化之現行可定址性參數執行開機,且boot strap作業已然 完成。 於抉擇方塊6 2 0,其將決定該網路裝置可定址性資料是 否未進行初始化,該bootstrap作業偵測該智慧型硬體儲存 裝置是否存在,依據一具體實施例,所進行之偵測作業包 含偵測一硬體符記是否實體連接至該網路裝置之指定供 應琿,在其他具體實施例中,所進行之偵測則可包含偵測 一諸如個人數位助理(PDA)之無線手持裝置之實體近接 (p h y s i c a 1 p r ο X i m i t y),依據其他具體實施例,該智慧型硬 體儲存裝置之存在係由一磁碼卡刷經該網路裝置讀卡機 所指示,或由一位於該網路裝置智慧卡介面内之智慧卡所 指示,在任一情況下,若該智慧型硬體儲存裝置存在,則 boot strap作業進入特定供應模式,並賡續進行方塊6 3 0, 否則,該網路裝置以一未定址狀態開機,且bootstrap作業 已然完成。 在方法6 3 0處,該可定址性資料係藉由和該智慧型硬體 儲存裝置有關之通訊協定(如果存在的話)自該裝置讀出 ,再者,若將執行遠端初始組態,在此時,一唯一識別碼 或密碼亦可自該智慧型硬體儲存裝置讀出。最後,在方塊 -28 - 1241797 (24) 發明:說明:續頁 6 3 5處,該網路裝置之可定址性資料藉由從該智慧型硬體 儲存裝置之可定址性資料進行被始化,例如,bootstrap 作業可將該可定址性資料儲存於該網路裝置之非揮發性 記憶體中,並設定該網路裝置之IP位址、IP子網路遮罩、 及預設閘道位址於該可定址性資料之中。依據一具體實施 例,該b ο 〇 t s t r a p作業可自動地或回應使用者輸入而自方塊 6 3 5持續進入網路裝置組態階段處理。然而,在其他具體 實施例中,在方塊6 3 5後,該網路裝置依據新初始化之可 定址性參數進行開機,且該bootstrap作業已然完成。 組態階段 簡要地說,依據前述具體實施例,一旦可定址已構建完 成,一執行於該網路裝置上之開機時程作業(例如一韌體 程式於該網路裝置之boots trap作業期間初始)依獲得自該 程式化智_慧型硬體儲存裝置之位址,傳送一要求至裝置組 態伺服器,該組態階段包括由該網路裝置執行之開機時程 作業之處理,及介於該網路裝置及該遠端裝置組態伺服器 間之通訊,為便於說明,不同處理執行緒分別參考圖7及 圖8網路裝置之角度及遠端裝置組態伺服器之角度加以描 述。 圖7為一流程圖,說明依據本發明具體實施例之網路裝 置組態階段之處理作業,如前述,依據一具體實施例,該 組態階段在完成方塊6 3 5後,可採自動方式或手控予以初 始化,在此具體實施例中,方塊7 0 5至7 3 0將為特定供應模 式之一部份,於任何情況下,在此點上,該網路裝置可使 .29 - 1241797 (25) 磬曰1兢:明續頁' »*> ΐ ψ ;v.Ss\^ 、' 、>v、w 、、、、w 用該可定址性資料和週遭網路裝置(像是路由器)進行通 訊,因此,其可在該網路上傳送並接收資料,進而進行組 態階段。 該網路裝置組態階段作業始於方塊7 0 5,其中一組態資 料要求會傳送至裝置組態伺服器1 1 〇 (假設其邏輯位址已 在例如可定址階段先行賦予),依據一具體實施例,其中 驗証係由裝置組態伺服器1 1 0執行,該組態資料要求包含 來自智慧型硬體儲存裝置之安全資料、該安全資料之一部 份、或基於該安全資料所產生之資料,另一種情況為:該 安全資料可直接或間接用於將介於該網路裝置及裝置組 態伺服器1 1 0間之諸如組態資料要求及裝置組態伺服器回 應等之通訊交換予以加密。 假設該網路裝置及智慧型硬體儲存裝置已由裝置組態 伺服器1 1 0成功進行驗証,於方塊7 1 0處,所要求之組態資 料將藉由諸如一管理協定而自裝置組態伺服器1 1 0接收。 在抉擇方塊7 1 5時,其將決定該組態資料是否已由該網 路裝置成功接收,若是,則處理進行至方塊7 2 0,否則, 處理進行至作業方塊7 2 5。在方塊7 2 0時,接收自裝置組態 伺服器之組態資料可作為自動組態作業之一部份。在一具 體實施例中,該組態資料代表該網路裝置所需之其餘資料 ,俾能使其在目標網路環境中充份發揮功能。在接收其餘 資料之後,則可和該組態資料所識別之一或多具對等 (peer)裝置構建連結。依據一具體實施例,該網路裝置為 一 VPN閘道,且組態資料包括(1) 一或多個將和該VPN閘道 1241797 (26) 發明說明續頁 構建通道之對等(peer*) VPN裝置IP位址;以及(2)允許流經 通道之交通型別之埠號及協定編號。其優點為:在此種方 式下,不熟悉本領域之人士可以平行方式完成複數個網路 裝置之組態設定。 於方塊7 2 5處,在自裝置組態伺服器成功接收組態資料 後,其將決定重複嘗試之次數是否已逾限,若是,則於作 業方塊7 3 0處,該網路裝置將以一未組態狀態開機,否則 ,藉由持續執行方塊7 0 5重新進行再嘗試。 依據一具體實施例,一旦裝置組態伺服器已成功傳輸所 有組態資料,且網路裝置已成功接收該組態資料,則該網 路裝置已完成組態俾依用戶要求而運作,因此,若該網路 裝置以仍構連之硬體符記重新開機,該網路裝置可取消特 定供應模式以避免重複供應。 另一情_況為:吾人可重複自動供應作業俾以更新後之組 態資料取代現行組態資料,以此方式,該供應系統可在稍 後以新的組態更新該等網路裝置,在完成提供每一網路裝 置之初始可定址性及安全資料後,該供應系統即處理可安 全進行遠端管理之狀態。 圖8為一流程圖,說明依據本發明具體實施例之裝置組 態伺服器組態階段處理,在該裝置組態伺服器於作業方塊 8 0 5自該網路裝置接收組態資料要求後,該裝置組態伺服 器即於方塊8 1 0及8 1 5執行驗証/確認作業,以決定所傳輸 來自該網路裝置之要求為獲認可已完成登記進行自動供 應服務,再者,該硬體符記基於諸如密碼或唯一識別碼等 1241797 (27) 發'萌說也績頁: 安全資料(置於對組態資料之要求訊息内)進行驗証,明白 地說,在作業方塊8 1 0時,裝置組態伺服器搜尋該網路裝 置及位於該組態資料庫内之符記識別碼,並將其和一授權 串列進行比對,接著,在抉擇方塊8 1 5時,其決定該網路 裝置及符記是否通過驗証作業,若是,則獲得授權存取組 態資料庫以完成將組態資料供應予該網路裝置之目的並 賡續至方塊8 2 0進行處理,否則,若該網路裝置或該符記 兩者之一未通過驗証,則拒絕存取組態資料庫,且組態階 段終止,裝置組態伺服器將不對發出要求之網路裝置提供 組態資料。依據一具體實施例,該網路裝置及/或標記驗 証方式可利用任一現存之驗証協定,像是密碼驗証協定 (PAP)或盤問式交握驗証協定(CHAP)。 在處理方塊8 2 0處,裝置組態伺服器基於要求訊息内之 安全資料_為該網路裝置在組態資料庫内搜尋適當之組態 資料集,假設該組態資料已在組態資料庫内被發現,其將 於方塊8 2 5藉由傳輸網路1 0 5傳送予發出要求之網路裝置 。依據一具體實施例,所傳輸之資料由該裝置組態伺服器 加密,並由該網路裝置韌體利用儲存於該組態資料庫及於 該智慧型硬體儲存裝置内之共享金鑰解密。 儘管在此描述之諸具體實施例係針對自一遠端來源(例 如一裝置組態伺服器)對一網路裝置之網路傳輸,然在其 他具體實施例中,所有資料(諸如可定址性資料及組態資 料)可儲存於一智慧型硬體儲存裝置内,且可由該智慧型 硬體儲存裝置直接遞送予該網路裝置,再者,描述於此之 -32 - 1241797
奋明說明續頁 資料傳輸方法是更具彈性的,因為基於客戶需求之複雜性 考量下,組態資料可佔據相當大量之儲存空間(可介於幾 千位元組(Kb)至幾百Kb之間),而藉由網路資料傳輸,遞 交之媒體將無容量限制。
再者.,該網路資料傳輸遞送機制使得裝置組態伺服器可 對具有各類裝置之大型網路提供線上遠端管理,若每一裝 置皆支援資料傳輸協定,裝置組態伺服器可將適當組態資 料傳送至各型裝置,進一步而言,該網路資料傳輸遞送機 制具有速度上及適用範圍上之優點,因該裝置組態伺服器 可使用通訊協定以將組態變化同時傳輸至大型網路内之 各網路裝置。 在前述之說明中,本發明已參考特定具體實施例進行描 述,然而明確的是,吾人可加諸各類修訂及改變而不會偏 離本發明之廣泛精神及範圍,據此吾人應視上述說明及圖 示為用於說明之目的而非意於限制。

Claims (1)

  1. /第ΛΒ1121156號專利申請案 中文^請專利範圍替換本(94年5月) 拾、申請專利範圍 1. 一種建立可定址性之方法,包含: 藉由一網路裝置以原廠設定組態於開機時程作業 偵測一儲存裝置的存在,該儲存裝置内含可定址性 料以供該網路裝置用於通訊》並使該網路裝置在其 發揮功能之網路内是可定址的; 在偵測該儲存裝置存在之後,於該網路裝置接收 定址性資料,其係藉由使用和該儲存裝置有關之通 協定以將該可定址性資料自該儲存裝置傳送予該網 裝置;以及 藉由該開機時程作業建構該網路裝置之可定址性 ,以基於該可定址性資料設定該網路裝置之一或多 位址參數,促使該網路裝置和該網路環境中之其他 點通訊並由該等節點對其定址。 2. 如申請專利範圍第1項之方法,其中該網路裝置包含 指定供應埠,且該偵測一儲存裝置存在之作業包含 測和該指定供應埠耦合之儲存裝置之存在。 3. 如申請專利範圍第2項之方法,其中該指定供應埠包 一非對稱式EIA2 3 2相容通訊埠。 4·如申請專利範圍第2項之方法,其中該儲存裝置包含 硬體符記,其包含非揮發性、可程式化記憶體。 5.如申請專利範圍第1項之方法,其中該可定址性資料 含: 該網路裝置之唯一網際網路協定(IP)位址; 80554-940511.doc 時 資 將 可 訊 路 項 節 偵 含 包
    曰 該網路裝置之區域IP子網路遮罩; 該網路裝置之一預設閘道有關之IP位址;以及 一遠端裝置組態伺服器之IP位址。 6. 如申請專利範圍第1項之方法,進一步包含開機時程作 業: 間接或直接使用來自該儲存裝置安全資料將一組態 要求予以加密;以及 將加密後之組態要求傳送至遠端裝置組態伺服器。 7. 如申請專利範圍第1項之方法,其中該儲存裝置亦包含 充份之組態資料以將該網路裝置引導至一完全定義、 功能性狀態,且其中該方法進一步包含在該網路裝置 接收組態資料,其係藉由使用通訊協定將該組態資料 自該儲存裝置傳輸至該網路裝置。 8. 如申請專利範圍第1項之方法,進一步包含在偵測一儲 存裝置存在之前,該儲存裝置或另一儲存裝置進行韌 體載入或控制韌體載入至該網路裝置内,該韌體包含 代表該開機時程作業之諸指令。 9. 如申請專利範圍第1項之方法,進一步包含由該開機時 程作業將一組態要求傳輸該遠端裝置組態伺服器,該 組態要求包含擷取自該儲存裝置之安全資料,或是基 於該安全資料加密後之資料。 10. 如申請專利範圍第9項之方法,其中該網路裝置包含一 虛擬私有網路(VPN)裝置,且該方法進一步包含基於對 該組態要求作出回應而自該遠端裝置組態伺服器接收 組態資料,該組態資料包含該網路裝置將和其構建通 80554-940511.doc -2-
    1241797 9 l ν' ::丄丄 道之至少一對等(peer) VPN裝置之IP位址,且包含允許 流經該通道之通訊流量型之埠號及通訊協定編號。 11. 如申請專利範圍第1項之方法,其中該網路裝置包含一 虛擬私有網路(VPN)閘道。 12. 如申請專利範圍第1項之方法,其中該網路裝置包含一 路由器。 13. 如申請專利範圍第1項之方法,進一步包含在接收該可 定址性資料及對偵測該儲存裝置之存在作出回應之前 ,該網路裝置進入一供應模式以掌控該可定址性資料 之接收及該網路裝置可定址性之構建。 14. 如申請專利範圍第1項之方法,其中該儲存裝置包含一 無線手持裝置。 15. 如申請專利範圍第1項之方法,其中該儲存裝置包含一 萬用序列匯流排(USB)硬體符記。 16. 如申請專利範圍第1項之方法,其中該儲存裝置包含一 智慧卡。 17-如申請專利範圍第1項之方法,其中該儲存裝置包含一 磁碼卡。 18. —種建立可定址性之方法,包含下列步驟: 一建構一網路裝置可定址性之步驟,其將該網路裝 置自原廠設定狀態引導至初始作業狀態,其中該網路 裝置可在一預定網路環境内進行通訊並且是可定址的 ;以及 一用於回應該可定址性建構完成之步驟,為供應該 網路裝置,其將該網路裝置自初始作業狀態引導至完 80554-940511.doc
    1241797 全定義、功能性之狀態,其中該網路裝置已完成組態 並準備在預設之網路環境中處理網路交通,其係透過 網路自一遠端裝置組態伺服器經由一或數次資料傳輸 以獲取其餘之組態資料。 19. 如申請專利範圍第1 8項之方法,其中用於建構該網路 裝置可定址性之該步驟包含使用一和該網路裝置之非 對稱式EIA232相容通訊埠耦合之硬體符記,該硬體符 記包含一非揮發性、可程式化記憶體,其儲有可定址 性資料,包含該網路裝置之唯一網際網路協定(IP)位址 、該網路裝置之預設閘道有關之IP位址、一 IP子網路 遮罩、該遠端裝置組態伺服器之IP位址。 20. 如申請專利範圍第1 8項之方法,其中構建該網路裝置 可定址性之該步驟包含和該網路裝置之埠耦合之硬體 符記,其使用該網路裝置之原始操控指令集控制該網 路裝置。 21. —種建立可定址性之方法,包含: 偵測一硬體符記之存在,其係藉由在第一虛擬私有 網路(VPN)裝置以原廠設定組態進行開機時程作業時 ,偵測和該第一 VPN網路裝置之指定供應埠粞合之硬 體符記之存在,該硬體符記包含一非揮發性、可程式 化記憶體,其内存有可定址性資料,俾使該第一 VPN 裝置可在一預定網路環境中進行通訊並是可定址的; 在偵測該儲存裝置存在之後,接收該第一 VPN裝置 之可定址性資料,其係藉由和該硬體符記有關之通訊 協定以自該硬體符記之該非揮發性、可程式化記憶體 80554-940511.doc -4-
    1241797 讀取可定址性資料; 由開機時程作業建構該第一 VPN裝置之可定址性, ,以基於該可定址性資料而設定該第一 VPN裝置之一 或多項位址參數,促使該第一 VPN裝置在該預定網路 中得以和其他網路裝置進行通訊; 由該開機時程作業傳輸一組態要求至一遠端裝置組 態伺服器,該組態要求包含自該硬體符記讀取之安全 資料或基於該安全資料加密之資料; 為對該組態要求作出回應,自該遠端裝置組態伺服 器接收通道組態資料,該通道組態資料包含和該預定 網路環境有關之第二VPN裝置之IP位址;以及 基於該通道組態資料促使一通道透過一傳輸網路在 該第一 VPN裝置及第二VPN裝置間構建。 22. 如申請專利範圍第2 1項之方法,其中該傳輸網路包含 一私有互聯網路。 23. 如申請專利範圍第2 1項之方法,其中該傳輸網路包含 一公共互聯網路。 24·如申請專利範圍第23項之方法,其中該傳輸網路包含 一網際網路。 25. —種網路裝置供應系統,包含: 一第一網路裝置,用於設定於初始作業組態,其中 該第一網路裝置可在一預定網路環境内進行通訊並且 可定址; 一硬體符記,其連接該第一網路裝置之指定供應埠 ,該硬體符記包含非揮發性、可程式化記憶體,其内 80554-940511.doc
    1241797 儲存該第一網路裝置之可定址性資料;以及其中 該第一網路裝置可自動啟始一可定址階段,以響應 在該指定供應埠偵測該硬體符記之存在,在該可定址 階段,該第一網路裝置自該硬體符記接收該可定址性 資料,並自一現行組態轉換至初始化作業組態。 26. 如申請專利範圍第2 5項之網路裝置供應系統,進一步 包含: 一遠端裝置組態伺服器,以管理對複數個組態資料 集之存取,該等資料包含該第一網路裝置之第一組態 資料集; 其中該第一網路裝置之可定址性資料包含該遠端裝 置組態伺服器之IP位址; 其中該硬體符記之非揮發性、可程式化記憶體額外 已儲存一和該第一組態資料集有關之唯一識別碼;以 及 其中該第一網路裝置可自動將一組態階段初始化以 響應該可定址階段之完成,在該組態階段,該第一網 路裝置傳送一組態要求,其内含對該遠端裝置組態伺 月艮器之唯一識別碼,且該遠端裝置組態伺服器藉由提 供該第一組態資料集予該第一網路裝置以對該組態要 求作出回應。 27. 如申請專利範圍第26項之網路裝置供應系統,其中該 第一網路裝置包含一第一虛擬私有網路(VPN)裝置,且 其中該第一組態資料集包含一第二VPN裝置之IP位址 ,該第一網路裝置將藉由該位址建構一通道、以及允 80554-940511.doc 1241797
    許流經該通道之通訊流量型之埠號及協定編號。 28. 如申請專利範圍第26項之網路裝置供應系統,其中該 第一網路裝置包含一路由器,且其中該第一組態資料 集包含存取控制串列(ACL)資訊。 29. —種網路裝置,包含: 一供應介面,用以自一儲存裝置接收可定址性資料 ,該可定址性資料使得該網路裝置得以在一目標網路 環境内進行通訊且是可定址的; 一或多個快閃記憶體模組,其存有韌體以進行: 在開機時程作業時檢視該儲存裝置之存在; 若該儲存裝置存在,則使用一和該儲存裝置有關 之通訊協定促使該可定址性資料可自該儲存裝置接 收,且 基於該可定址性資料將一或多項位址參數進行組 態以建構該網路裝置之可定址性資料;以及 一處理器,其耦合該一或多個快閃記憶體模組,用 以執行該韌體,俾響應重開機或開啟電源。 30. 如申請專利範圍第29項之網路裝置,其中該供應介面 包含一非同步EIA232相容通訊埠。 31. 如申請專利範圍第29項之網路裝置,其中該韌體進一 步包含傳輸一組態要求至一遠端裝置組態伺服器,該 組態要求包含自該儲存裝置擷取之安全資料或基於該 安全資料加密之資料。 32. 如申請專利範圍第3 1項之網路裝置,其中該網路裝置 包含一虛擬私有網路(VPN)裝置,且該韌體為響應該組 80554-940511.doc
    年月 曰j 態要求,進一步自該遠端裝置組態伺服器接收組態資 料,該組態資料包含該網路裝置將和其建構通道之至 少一對等(peer) VPN裝置IP位址,以及可允許流經該通 道之通訊流量型埠號及協定編號。 33. 如申請專利範圍第3 1項之網路裝置,其中該網路裝置 包含一路由器,且該韌體為響應該組態要求,進一步 自該遠端裝置組態伺服器接收組態資料,該組態資料 包含存取控制串列(ACL)資訊。 34. —種機器可讀取式媒體,内存有代表指令之資料,若 由一網路裝置之處理器所執行,將促使該處理器進行: 偵測一儲存裝置之存在,其内含可定址性資料,使 得該網路裝置可在其將發揮功能之網路環境内進行通 訊且是可定址的; 接收該可定址性資料,其係藉由利用和該儲存裝置 有關之通訊協定,將該可定址性資料自該儲存裝置傳 輸至該網路裝置;以及 藉由該開機時程作業建構該網路裝置之可定址性, ,以基於該可定址性資料設定該網路裝置之一或多項 位址參數,促使該網路裝置和該網路環境中之其他節 點通訊並由該等節點對其定址。 35. 如申請專利範圍第3 4項之機器可讀取式媒體,其中該 可定址性資料包含: 該網路裝置之唯一網際網路協定(IP)位址; 該網路裝置之區域IP子網路遮罩; 該網路裝置之一預設閘道有關之IP位址;以及 80554-940511.doc
    1241797 .分4,d ; 一遠端裝置組態伺服器之IP位址。 36·如申請專利範圍第3 4項之機器可讀取式媒體,其中該 等指令進一步包含諸指令,若由該處理器執行,將促 使該處理器將一組態要求傳輸該遠端裝置組態伺服器 ,該組態要求包含基於擷取自該儲存裝置資訊之安全 資料。 37·如申請專利範圍第3 4項之機器可讀取式媒體,其中該 網路裝置包含一虛擬私有網路(VPN)裝置,且其中該等 指令進一步包含諸指令,若由該處理器執行,將促使 該處理器基於對該組態要求作出回應而自該遠端裝置 組態伺服器接收組態資料,該組態資料包含該網路裝 置將和其構建通道之至少一對等(peer) VPN裝置之IP 位址,且包含允許流經該通道之通訊流量型之埠號及 通訊協定編號。 38· —種建構一網路裝置之方法,包含: 提供一網路裝置; 提供一硬體符記以和該網路裝置之指定供應埠介接; 以該網路裝置之可定址性資料將該硬體符記之非揮 發性記憶體程式化,俾能自動地啟始一可定址階段以 響應在指定供應埠偵測該硬體符記之存在,該可定址 性階段促使該網路裝置自該硬體符記接收該可定址性 資料,並自一現行組態轉換至初始作業組態,其中該 網路裝置可在一預定網路環境中進行通訊且是可定址 的;以及 將該網路裝置及程式化儲存裝置個別運送至一網路 80554-940511.doc -9-
    1241797 端,於該處該網路裝置將於該預定網路環境下安裝。 39.如申請專利範圍第3 8項之方法,其中該網路裝置可自 動啟始一組態階段以響應該可定址性階段之完成,期 間,該網路裝置會傳輸一組態要求至一遠端組態伺服 器,該伺服器負責管理一遠端組態資料庫之存取,該 方法進一步包含: 將該網路裝置之組態資料上載至該遠端組態資料庫 ,並將該組態資料和一唯一安全資料集進行關聯;以
    及 以將提供予該網路裝置之唯一安全資料集將硬體符 記之該非揮發性記憶體進行程式化以包含該組態要求。 40. 如申請專利範圍第3 8項之方法,其中該可定址性資料 包含= 該網路裝置之唯一網際網路協定(IP)位址; 該網路裝置之區域IP子網路遮罩;
    該網路裝置之一預設閘道有關之IP位址;以及 一遠端裝置組態伺服器之IP位址。 41. 如申請專利範圍第3 9項之方法,其中該網路裝置包含 一虛擬私有網路(VPN)裝置,且該組態資料包含該網路 裝置將和其構建通道之至少一對等(peer) VPN裝置之 IP位址,且包含允許流經該通道之通訊流量型之埠號 及通訊協定編號。 42. 如申請專利範圍第4 1項之方法,其中為對接收之該組 態資料作出回應,該網路裝置透過一傳輸網路和該對 等(peer) VPN裝置建構一通道。 80554-940511.doc -10-
    哪797 43. 如申請專利範圍第3 8項之方法,其中該網路裝置包含 一路由器。 44. 如申請專利範圍第3 8項之方法,其中該網路裝置包含 一 EIA232相容通訊埠。 45· —種安裝一網路裝置之方法,包含: 接收一網路裝置之遞送,其可自動啟始可定址階段 以響應在該網路裝置指定供應埠上偵測一硬體符記之 存在; 接收一硬體符記之遞送,該硬體符記和該網路裝置 之指定供應埠介接,該硬體符記包含一非揮發性、可 程式化記憶體,其存有可定址性資料俾使該網路裝置 處於一初始化作業狀態,其中該網路裝置可在一預定 網路環境中進行通訊且是可定址的; 將該網路裝置通訊耦合於該預定網路環境中;以及 啟始可定址階段,其係藉由將該硬體符記耦合至該 網路裝置之指定供應埠中、並促使該網路裝置開機而 達成,該可定址階段促使該網路裝置自該硬體符記接 收該可定址性資料,並自一現行組態轉換至初始作業 組態。 46.如申請專利範圍第4 5項之方法,其中該硬體符記之非 揮發性、可程式化記憶體附帶儲存和該網路裝置組態 資料集有關之唯一識別碼,並且儲存於一遠端組態資 料庫内,且其中該網路裝置可自動地啟始一組態階段 以作為該可定址性階段完成之回應,期間,該網路裝 置會促使一組態資料集傳遞至該網路裝置,其係藉由 80554-940511.doc -11 -
    1241797 、汰... 傳輸一包含該唯一識別碼之組態要求至一遠端組態伺 服器,該伺服器負責管理對該遠端組態資料庫之存取。 47.如申請專利範圍第4 5項之方法,其中該可定址性資料 包含: 該網路裝置之唯一網際網路協定(IP)位址; 該網路裝置之區域IP子網路遮罩; 該網路裝置之一預設閘道有關之IP位址;以及 一遠端裝置組態伺服器之IP位址。 48. 如申請專利範圍第46項之方法,其中該網路裝置包含 一虛擬私有網路(VPN)裝置,且該組態資料集包含該網 路裝置將和其構建通道之至少一對等(peer) VPN裝置 之IP位址,且包含允許流經該通道之通訊流量型之埠 號及通訊協定編號。 49. 如申請專利範圍第4 8項之方法,其中為對接收之該組 態資料作出回應,該網路裝置透過一傳輸網路和該對 等(peer) VPN裝置建構一通道。 50·如申請專利範圍第4 5項之方法,其中該網路裝置包含 一路由器。 51. 如申請專利範圍第45項之方法,其中該網路裝置包含 一 EIA 2 3 2相容通訊埠。 52. —種遞送一網路裝置之方法,包含: 將一處於原廠設定組態之完全可運作網路裝置運送 至用戶網路端,於該處,該網路裝置將安裝一預定網 路環境内,該網路裝置可自動啟始一可定址階段,以 響應偵測該網路裝置指定供應埠上一外接、服務使用 80554-940511.doc -12-
    晴_ 者智慧型硬體儲存裝置之存在; 若該客戶已要求一自動供應特徵,則 以該網路裝置之可定址性資料將該外接、服務使用 者智慧型硬體儲存裝置予以程式化,該智慧型硬體儲 存裝置和該網路裝置之指定供應埠介接,並啟始該可 定址階段,該可定址階段使該可定址資料自該智慧型 硬體裝置傳輸至該網路裝置,並促使該網路裝置自原 廠設定組態轉換至一初始化作業組態,其中該網路裝 置可在該預定網路環境内進行通訊並為可定址的;以 及 將該程式化智慧型硬體儲存裝置運送至客戶網路端。 53.如申請專利範圍第5 2項之方法,其中網路裝置可自動 啟始一組態階段以作為定址階段完成之回應,期間, 該網路裝置會傳送一組態要求至一遠端組態伺服器, 該伺服器負責管理一遠端組態資料庫之存取,該方法 進一步包含: 將該網路裝置之組態資料上載至該遠端組態資料庫 ,並將該組態資料和一唯一安全資料集進行關聯;以 及 以將提供予該網路裝置之唯一安全資料集將硬體符 記之該非揮發性記憶體進行程式化,以包含該組態要 求。 54·如申請專利範圍第5 2項之方法,其中該可定址性資料 包含: 該網路裝置之唯一網際網路協定(IP)位址; 80554-940511.doc -13-
    7^¾頁
    該網路裝置之區域IP子網路遮罩; 該網路裝置之一預設閘道有關之IP位址;以及 一遠端裝置組態伺服器之IP位址。 55. 如申請專利範圍第5 3項之方法,其中該網路裝置包含 一虛擬私有網路(VPN)裝置,且該組態資料包含該網路 裝置將和其構建通道之至少一對等(peer*) VPN裝置之 IP位址,且包含允許流經該通道之通訊流量型之埠號 及通訊協定編號。 56. 如申請專利範圍第5 5項之方法,其中為對接收之該組 態資料作出回應,該網路裝置透過一傳輸網路和該對 等(peer) VPN裝置建構一通道。 57. 如申請專利範圍第5 2項之方法,其中該網路裝置包含 一路由器。 58.如申請專利範圍第5 2項之方法,其中該網路裝置包含 一 EIA232相容通訊埠。 59·如申請專利範圍第5 2項之方法,其中該網路裝置及該 程式化智慧型硬體裝置係個別運送至用戶網路端。 60.如申請專利範圍第52項之方法,其中該程式化智慧型硬體儲 存裝置經由一或多具中介裝置和該網路裝置之指定供應埠 介接。 80554-940511.doc -14-
TW91121156A 2001-07-20 2002-09-16 Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium TWI241797B (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US30709901P 2001-07-20 2001-07-20
US09/957,879 US7313819B2 (en) 2001-07-20 2001-09-20 Automated establishment of addressability of a network device for a target network environment

Publications (1)

Publication Number Publication Date
TWI241797B true TWI241797B (en) 2005-10-11

Family

ID=26975534

Family Applications (1)

Application Number Title Priority Date Filing Date
TW91121156A TWI241797B (en) 2001-07-20 2002-09-16 Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium

Country Status (1)

Country Link
TW (1) TWI241797B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8045631B2 (en) 2006-10-26 2011-10-25 Qualcomm, Incorporated Method and apparatus for packet detection in wireless communication system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8045631B2 (en) 2006-10-26 2011-10-25 Qualcomm, Incorporated Method and apparatus for packet detection in wireless communication system
US8107561B2 (en) 2006-10-26 2012-01-31 Qualcomm Incorporated Method and apparatus for carrier frequency offset estimation and frame synchronization in a wireless communication system

Similar Documents

Publication Publication Date Title
US7313819B2 (en) Automated establishment of addressability of a network device for a target network environment
US10491583B2 (en) Provisioning remote access points
EP2156610B1 (en) Managing network components using usb keys
US8966018B2 (en) Automated network device configuration and network deployment
US8370905B2 (en) Domain access system
US20070268514A1 (en) Method and business model for automated configuration and deployment of a wireless network in a facility without network administrator intervention
JP2009538100A (ja) 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備
US20070268515A1 (en) System and method for automatic configuration of remote network switch and connected access point devices
US20070268506A1 (en) Autonomous auto-configuring wireless network device
US20050246529A1 (en) Isolated persistent identity storage for authentication of computing devies
US20210297409A1 (en) Systems and methods for provisioning network devices
CN113630374B (zh) 实现通过网络与目标装置的安全通信的方法
US7447751B2 (en) Method for deploying a virtual private network
US20230231915A1 (en) Bare-metal connection storage method and system, and apparatus
US8972532B2 (en) Providing hardware configuration management for heterogeneous computers
TWI241797B (en) Method for establishing addressability, deploying, installing and delivering a network device, network device provisioning system, network device, and machine-readable medium
WO2023273877A1 (zh) 基于自动开通系统的网元配置方法、系统、设备和存储介质
Muc et al. Providing the ability of working remotely on local company server via VPN
JP5771741B2 (ja) 通信システム
CN118041774A (zh) 一种交换机配置上线方法、装置、设备及存储介质
Huawei Technologies Co., Ltd. VRP Fundamentals
Headquarters Configuring Web Services Management Agent

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees