TWI648968B - 遠端網路連線系統及其接取設備及其連線方法 - Google Patents
遠端網路連線系統及其接取設備及其連線方法 Download PDFInfo
- Publication number
- TWI648968B TWI648968B TW106127667A TW106127667A TWI648968B TW I648968 B TWI648968 B TW I648968B TW 106127667 A TW106127667 A TW 106127667A TW 106127667 A TW106127667 A TW 106127667A TW I648968 B TWI648968 B TW I648968B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- network
- unit
- gateway
- mobile office
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Abstract
一種遠端網路連線系統,包括:一閘道器,對內連接於一企業網路,對外則連接於一網際網路;一移動辦公室接取設備,透過該網際網路與該閘道器連接;以及一終端設備,透過該移動辦公室接取設備連線並發送一封包至該閘道器,其中該移動辦公室接取設備依據該封包之目的來決定該封包的分流。
Description
本案係關於網路連線,尤指一種遠端存取的技術。
習知的用以支援出差、居家辦公等遠端使用公司電腦資源的技術主要有兩種,其一是使用VPN(虛擬私有網路,virtual private network),另一種是使用遠端桌面技術(remote desktop technology)。以VPN而言,需要購置昂貴的器材,而且需要再針對各遠端使用的終端設備,如各出差人員所攜帶的筆記型電腦、行動電話等需逐一進行軟體的安裝與設定,事前準備工作比較繁瑣。而遠端桌面技術則有Citrix、Chrome、Teamviewer等技術,不過仍然具有較高的軟體建制成本,也需要針對每個使用者的終端設備進行軟硬體的安裝與設定,事前準備也很繁瑣,安裝後的連網操作也不夠直接,再加上安全等級不高,因此仍有缺點。再者,以上述的習用技術而言,尤其以VPN為例,若
終端設備的使用者並不僅僅使用企業內網,還進行企業內網之外的網路連線操作,那麼由於所有之關於網路連線的封包都會先進入VPN通道,之後再依據封包的特性做分流,致使通道流量大增並進而降低了網速,這是習用技術的另一個缺點。
爰是之故,申請人有鑑於習知技術之缺失,發明出本案「遠端網路連線系統及其接取設備及其連線方法」,盡可能的將事前準備工作予以簡化,且大幅降低軟硬體的建制成本,而得以改善上述習用手段之缺失。
本發明之目的是為了創造一種嶄新的遠端網路連線的設備、系統、以及方法,透過本發明可以將公司行號企業機關機構內部的無線網路熱點延伸至遠端,亦即在企業實體內網之外建立一虛擬的內網、亦可說是內網的延伸。利用一具有企業WiFi通訊協定(例如CAPWAP、LWAPP)的硬體,該硬體的其中一個網路介面係與企業建立隧道連線,隧道連線是指利用穿隧協議(Tunneling Protocol)將一個攜帶私有網路位址的封包封裝在公共連線的封包的負載部份來穿越公用網路(例如網際網路),而其另一個網路介面則與一個或一個以上的終端設備進行連線,如此即達成了前述的功效,也就是此終端設備將此硬體當作了企業內部的網路熱點使用,各終端設備內的軟硬體設定則與
原本在企業內使用時相同,無需另行設定,而需要設定的僅有此一硬體而已。本發明僅需在具有二個網路介面的接取設備如MiFi、WiFi repeater、或智慧型手機(smartphone)等設備上安裝軟體或進行設定就可以很快捷的將這些接取設備轉變成為虛擬的企業內網的網路熱點。由此可見,本發明最大程度的降低了遠端辦公室、移動辦公室的建制成本,僅需要在一具接取設備上完成設定,即可透過此接取設備對多個終端設備提供網路服務。再者,本發明更可針對終端設備連線各封包之目的的不同,將各封包予以本地分流(local breakout),如一封包之目的係前往企業內網,則此封包會通過隧道連線,若否,則會直接在接取設備處連上網際網路,如此即可避免所有的封包都經過隧道連線而導致隧道連線的頻寬過擠。
為了達到上述之目的,本創作提供一種一種遠端網路連線系統,包括:一閘道器,對內連接於一企業網路(私有網路),對外則連接於一網際網路;一移動辦公室接取設備,透過該網際網路與該閘道器連接;以及一終端設備,透過該移動辦公室接取設備連線並發送一封包至該閘道器,其中該移動辦公室接取設備依據該封包之目的來決定該封包的分流為一公共連線或一隧道連線。
為了達到上述之目的,本創作又提供一種遠端網路連線系統,包括:一遠端閘道器,連接於一遠端企業
網路,且可連接於一網際網路;一移動辦公室接取設備,透過該網際網路與該閘道器連接;一終端設備,透過該移動辦公室接取設備連接該網際網路;以及一分流單元,設置於該移動辦公室接取設備內,並依據一封包被產生之目的來決定該封包可直接經由該網際網路形成一公共連線而取得一網際網路服務,或形成一隧道連線連接至該遠端閘道器。
為了達到上述之目的,本創作再提供一種使一使用者之一移動辦公室與一目標辦公室透過一隧道連線的方法,其中該目標辦公室具一閘道器、該移動辦公室可利用一公用網路、且該使用者在該移動辦公室產生複數封包,該方法包括下列步驟:為該移動辦公室提供一接取設備;使該接取設備透過該公用網路連線至該閘道器;為該複數封包建立一分流規則,其中該複數封包具一第一封包及一第二封包;以及根據該分流規則來使該第一封包使用該公用網路以形成一公共連線、並使該第二封包使用該公用網路以形成該隧道連線,而使該移動辦公室獲得一網路服務。
為了達到上述之目的,本創作又再提供一種移動辦公室用接取設備,包括:一NAT單元;一路由單元,連接該NAT單元;一隧道單元,連接於該路由單元;一橋接單元,連接於該路由單元與該隧道單元;以及一本地分
流單元,連接於該橋接單元,並依據一封包被產生之目的來決定該封包應自該橋接單元出發經該隧道單元至該路由單元而形成一隧道連線傳輸至一網際網路、或自該橋接單元出發經該路由單元至該NAT單元而形成一公共連線傳輸至該網際網路。
1‧‧‧移動辦公室接取設備
1’‧‧‧遠端區域網路、移動辦公室
10‧‧‧配置單元
11‧‧‧NAT單元
12‧‧‧路由單元
13‧‧‧本地分流單元
14‧‧‧橋接單元
15‧‧‧隧道單元
151‧‧‧隧道介面
16‧‧‧第一網路介面
17‧‧‧第二網路介面
2‧‧‧企業網路、企業內網、遠端企業網路
20‧‧‧企業閘道器、遠端閘道器、閘道器
3‧‧‧網際網路
31‧‧‧公共連線
4‧‧‧隧道連線
5‧‧‧終端設備
R1‧‧‧第一路由器
R2‧‧‧第二路由器
S1、S2、S2N、S2Y、S3、S3D、S4、S5、S51、S51N、S51N1、S51Y、S51Y1、S52、S6、S6Y、S6Y1、S6N、S6N1、S7、S7N、S7N1、S7Y、S7Y1‧‧‧步驟
圖1,為本發明的應用情境示意圖;圖2,為本發明連線流程示意圖;圖3,為終端設備使用本發明時的連線流程示意圖;圖4,為本發明的企業內網封包資訊流示意圖;以及圖5,為本發明非屬企業內網之封包資訊流示意圖。
以下針對本案之「遠端網路連線系統及其接取設備及其連線方法」的各實施例進行描述,請參考附圖,但實際之配置及所採行的方法並不必須完全符合所描述的內容,熟習本技藝者當能在不脫離本案之實際精神及範圍的情況下,做出種種變化及修改。
請參閱圖1,為本發明的應用情境示意圖。其係揭露以一系統之視角所理解的本發明,亦即一種遠端網
路連線系統,包括:一閘道器20,對內連接於一企業網路,其中該企業網路可包括一伺服器(圖中未揭示),對外則連接於一網際網路3;一移動辦公室接取設備1,透過該網際網路3與該閘道器20連接;以及一終端設備5,透過該移動辦公室接取設備1連線並發送一封包(圖中未揭示)至該閘道器20,其中該移動辦公室接取設備1依據該封包之目的來決定該封包的分流。更進一步而言,若此封包之目的是去一前述閘道器20所對內連接的該企業網路,則封包會被本發明的移動辦公室接取設備1經由一隧道連線4而傳送至閘道器20。再者,若另有一封包的目的並不相關於前述的目的,意即其目的並不是要進入該企業網路的該伺服器,則此封包則會經由公共連線31至網際網路3而不會透過隧道連線4傳輸。此外,終端設備5包括但不限於筆記型電腦、行動電話、個人數位助理(PDA)等。前述的閘道器20則位於一企業內網2內,而移動辦公室接取設備1與終端設備5則位於一遠端區域網路1’內。
請繼續參閱圖1。更進一步而言,其揭露了一種遠端網路連線系統,包括:一遠端閘道器20,連接於一遠端企業網路的伺服器(圖中未揭示),且可連接於一網際網路3;一移動辦公室接取設備1,透過該網際網路3與該閘道器20連接;一終端設備5,透過該移動辦公室接取設備1連接該網際網路3;以及一分流單元(請參閱圖4、圖5的編號13),設置於該移動辦公室接取設備1內,並依據一封包(圖中未揭示)被產生之目的來決定該封包可直接經由該網
際網路3而取得一網際網路服務,或連接至該遠端閘道器20。更進一步而言,本發明所述的分流單元之功效在於若此封包之目的是去一前述閘道器20所對內連接的該企業網路,則封包會被本發明之分流單元13所控制的移動辦公室接取設備1經由一隧道連線4而傳送至閘道器20。再者,若另有一封包的目的並不相關於前述的目的如進入該企業網路的一伺服器,則此封包則會被分流單元13所控制的移動辦公室接取設備1經由公共連線31至網際網路3而不會透過隧道連線4傳輸。所謂封包的目的通常是指但不限於如目的地、或應用軟體等。而目的則可以透過正面表列、負面表列的方式呈現,以簡化管理。亦即針對使用者的不同、通常是員工的部門、職級、類別的不同,開放不同的企業內網部門資料庫使個別特定的人可以存取。因此,當某一封包的目的符合正面表列的內容,則將此封包透過隧道連線4傳送至閘道器20,意即若此封包的目的地是符合正面表列,則可以經隧道連線4進入閘道器20(此處通常係指封包的目的是欲進入企業內網)。至於在移動辦公室接取設備1的環境會有一第一路由器R1連線至網際網路3,而閘道器20所處的企業內網環境亦會有一第二路由器R2連線至網際網路3。此外,本發明的移動辦公室接取設備4可以是一MiFi、一行動電話、或一具有兩個通訊介面的電腦。
請參閱圖2,為本發明連線流程示意圖,並請同時配合圖1。圖2係揭露以一方法發明之視角所理解的本發明,亦即一種遠端網路連線方法,包括下列步驟:首先
是步驟S1:移動辦公室接取設備1連線至一企業閘道器20。其次是步驟S2:企業閘道器20所提出的驗證連線之要求是否成功,若驗證失敗S2N,則進入步驟S3D:企業閘道器20拒絕連線。又若在步驟S2的結果是驗證成功S2Y,則進入步驟S3:配置網路設定及本地分流規則。其中所謂的配置網路設定,即是將移動辦公室接取設備1配置成為如同在使用一企業內部的網路熱點(access point)一樣。至於配置分流規則,則通常但不限於是將一個以正面表列或負面表列的分流規則匯入移動辦公室接取設備1內。網路設定及分流規則的配置可以是預先儲存於配置單元10(請參閱圖4、圖5),或是在企業閘道器20與移動辦公室接取設備1連線時動態的配置。在步驟S3之後就是步驟S4:移動辦公室接取設備1開始網路服務。意即開始對終端設備5提供網路服務。由於目前無線通信的技術十分成熟且發達,因此,使用者在使用移動式、可攜式的電子設備即如同筆記型電腦、智慧型手機時,絕大部分的情形是連線至無線網路接取器(wireless access point),因此這裡的企業閘道器20若是一無線式的則是相當合理的安排。同理,在步驟S3中的網路設定通常是無線網路設定,以因應以無線通信為主要使用方式的筆記型電腦或是智慧型手機等。如以結合硬體的方式來說明本發明上述的方法,則本發明即是提供一種使一使用者之一移動辦公室1’(即圖1的遠端區域網路1’)與一目標辦公室2(即圖1的企業內網2)透過一隧道連線4(圖1)的方法,其中該目標辦公室2具一閘道器20、該移動辦公室1’可
利用一公用網路3(即圖1的網際網路3)、且該使用者在該移動辦公室1’產生複數封包(圖中未揭示),該方法包括下列步驟:為該移動辦公室1’提供一接取設備1(即圖1的移動辦公室接取設備1);使該接取設備1連線至該閘道器20;為該複數封包建立一分流規則,其中該複數封包具一第一封包及一第二封包;以及根據該分流規則來使該第一封包使用該公共網路3並使該第二封包使用該隧道連線4而使該移動辦公室1’獲得一網路服務。
請參閱圖3,為終端設備使用本發明時的連線流程示意圖。並請同時配合圖4與圖5,圖4,為本發明的企業內網封包資訊流示意圖,而圖5,為本發明非屬企業內網之封包資訊流示意圖。請繼續參閱圖3,其是為了將前面所述的連線方法與系統所產生的功效更清楚的表達,其中揭示的步驟如後:首先是步驟S5:終端設備5使用企業無線網路SSID連上移動辦公室接取設備1的第一網路介面16(請配合圖4、圖5)。由步驟S5可知,在經過了圖2所揭示的連線步驟之後,終端設備5(請參考圖1)已經將本發明的接取設備1當作是企業內的無線網路接取器,並取得了企業無線網路SSID了,換言之,終端設備5有如置身於企業的總公司或分公司辦公室內,而不會像是在遠端的場所內。在步驟S5之後是關於位址的取得,即步驟S51:終端設備5是否使用動態位址。如果是步驟S51N:不使用動態位址,則進入步驟S51N1:終端設備5使用企業內網靜態IP位址的相關設定。又若是步驟S51Y:使用動態位址,則進入步驟S51Y1:
終端設備5發送動態位址要求,經隧道單元15(請配合圖4、圖5)取得企業IP位址的相關設定。上述的步驟S51、S51N1、S51Y1均是在說明本發明對於動態位址或靜態位址均可適用。不論如何,在終端設備5取得IP位址後,則進行步驟S52:終端設備5使用所取得的IP位址並依據一封包之目的來發送該封包,該封包經第一網路介面16至本地分流單元13。附帶一提的是,在步驟S52的過程中關於ARP(位址解析協議)的查詢可由本地分流單元13代為回覆即可加快流程並減輕隧道單元15處理封包的負荷。接下來是本發明的重點之一,即本地分流規則與封包之目的掛勾,也就是步驟S6:終端設備5所發送的封包之目的是否符合本地分流規則。請注意,這裡所述的符合本地分流規則係指需要在本地即移動辦公室接取設備1的所在地即進行分流,亦即不需要進入隧道連線4者。如果判斷的結果是步驟S6Y:符合本地分流規則。則接下來進入步驟S6Y1:本地分流單元13攔截該封包至路由單元12,經NAT單元11轉換封包之來源位址後經由第二網路介面17送出(請配合圖5)。此時通常就是連接至公共連線31。然而,如果判斷的結果是步驟S6N:不符合本地分流規則(即須經由隧道連線4送回企業)。則接下來進入步驟S6N1:封包經由橋接單元14、隧道單元15、路由單元12送回到第二網路介面17,並經由隧道連線4回到企業內網(請配合圖4)。以上至步驟S6的部分即是由終端設備5傳送封包至企業內網(私人內網)時關於封包是否分流的判斷過程,並產生步驟S6Y1與步驟S6N1兩種結果。
請繼續參閱圖3。當第二網路介面17收到一封包時,則需進行判斷,亦即進入步驟S7:遠端回送封包是否是隧道封包。亦即本發明判斷此封包是否係經由隧道連線4送回,因此會產生兩個結果,首先若判斷結果是步驟S7N:非隧道封包。則進入步驟S7N1:經NAT單元11轉換封包目的位址之後送至路由單元12,並依據路由規則經橋接單元14到第一網路介面16再送至終端設備5(請配合圖5)。其次若判斷結果是步驟S7Y:隧道封包。則進入步驟S7Y1:經路由單元12、隧道單元15並經橋接單元14到第一網路介面16再送至終端設備5(請配合圖4)。
請參閱圖4,為本發明的企業內網封包資訊流示意圖。由圖3及其說明可知,如以終端設備5發送封包而言,即由圖4的右方傳送至左方而言,首先抵達第一網路介面16,此介面通常是一無線網路介面以方便多個終端設備5存取信息。接著是傳送到本地分流單元13進行判斷,當判斷此封包是需要透過隧道連線4(即不須於本地分流者),則透過橋接單元14至隧道單元15再到路由單元12,並由第二網路介面17經過隧道連線4而傳送到企業內網。通常隧道單元15內還有一隧道介面151以產生用以在隧道連線4內傳輸的隧道封包。如是接收一來自隧道連線4的封包,則依上述的反方向傳送回終端設備5。第二網路介面17則可以是一有線網路介面或是無線網路介面。
請參閱圖5,為本發明非屬企業內網之封包資訊流示意圖。由圖3及其說明可知,如以終端設備2發送封
包而言,即由圖5的右方傳送至左方而言,首先抵達第一網路介面16,此介面通常是一無線網路介面以方便多個終端設備5存取信息。接著是傳送到本地分流單元13進行判斷,當判斷此封包是不需要透過隧道連線4(即須於本地分流者),則透過橋接單元14至路由單元12再到NAT單元11,並由第二網路介面17而傳送上公共連線31。如是接收一來自公共連線31的封包,則依上述的反方向傳送回終端設備5。第二網路介面17則可以是一有線網路介面或是無線網路介面。
請繼續參閱圖4與圖5,並請配合圖3。由上述圖4、圖5與圖3的相關說明可知,本發明的本地分流單元13與本地分流規則中判斷封包的過程為重點之一,因此圖4、圖5係揭露以一裝置發明之視角所理解的本發明,亦即一種移動辦公室用接取設備,包括:一NAT單元11;一路由單元12,連接該NAT單元11;一隧道單元15,連接於該路由單元12;一橋接單元14,連接於該路由單元14與該隧道單元15;以及一本地分流單元13,連接於該橋接單元14,並依據一封包被產生之目的來決定該封包應自該橋接單元14出發經該隧道單元15至該路由單元12而傳輸至一隧道連線4(即圖4所示)、或自該橋接單元出發經該路由單元至該NAT單元而傳輸至該公共連線31(即圖5所示)。雖然隧道連線4屬於高度隱密性、保密性的網路傳輸,但亦仍在網際網路內傳輸,而公共連線31則更屬於網際網路的一部份。而此移動辦公室接取設備1還可更包括:一無線式下行鏈路介面
16,與該本地分流單元13連接,使該本地分流單元13透過該無線式下行鏈路介面16連接一終端裝置5;以及一上行鏈路介面17,連接該路由單元12與該NAT單元11,使該封包透過該上行鏈路介面17取得該網際網路服務。此外,接取設備1還可以再包括一配置單元10,與設備1之內的各單元連接,用以配置各單元之功能。
綜上所述,本發明的「遠端網路連線系統及其接取設備及其連線方法」,一如前面所述的發明目的即在於盡可能的將移動辦公室的建制成本予以最小化,透過一具有兩個或兩個以上的網路介面的硬體,經過簡單的設定即可將此硬體化身為企業內網的無線網路熱點,此接取設備的設定內容簡述如後,即接取設備的識別碼(ID code)、隧道連線設定、本地分流規則、使用者帳密,基本上只要這幾個設定完成,就已算是完成了遠端辦公室、移動辦公室的建制,遠比習用技術的VPN設定要簡單。至於接取設備的註冊程序亦很簡單,首先是將移動辦公室接取設備連接上網,接著是在此接取設備的使用者介面輸入企業閘道器的位址,然後接取設備對企業閘道器送出納管要求,之後企業閘道器納管該接取設備,再接著是企業閘道器對該接取設備予以設定,比如此接取設備所需使用的無線網路位址(SSID),以及各無線網路(遠端區域網路,即移動辦公室所在之無線網路)所使用的本地分流規則。另外,前述的關
於納管的部分,亦可以透過直接在企業閘道器上輸入該移動辦公室接取設備的辨識碼(MAC address、ID code)來進行納管。此外,本發明的移動辦公室接取設備4可以是一MiFi、一行動電話、或一具有兩個通訊介面的電腦,若是以行動電話(通常是但不限於智慧型手機)或具有兩個通訊介面的電腦(通常是但不限於筆記型電腦),則在其內安裝應用程式使其具有如上述各圖及其說明的各種功能。由於行動電話、筆記型電腦可以說是出差必備的物品,故若以二者安裝軟體來達到本發明的功效即可免於額外攜帶一接取裝置,亦可略為減輕旅者的行李負擔,若是使用本發明的接取設備則出差人員的行動電話或筆電則完全不需要安裝額外的軟體,但習用的VPN技術反而需要安裝。若本發明與語音IP(VoIP)整合,則可以用來轉接電話。因此由上述各圖式及其說明可知,本發明透過將企業內網路熱點予以延伸而成為虛擬的內網,對於需要在遠距辦公的人而言是十分便捷的,終端設備的設定相同於在企業內使用,無須另行設定。尤有甚者,一企業、事業單位、機關團體可以備置數個本發明的接取裝置,由於該接取裝置等同於企業內網的無線網路熱點,故而都可以事前即設定完成,且全部可以使用相同的設定,因為每個出差者的帳密均有不同,因此權限自然不同,故而各自的隧道封包能去的企業內網的區域也不完全相同。亦即對於企業的MIS/IT人員而
言,本發明可以與辦公室WLAN管理整合在一起,且無須額外的VPN伺服器。因此透過本發明的系統、裝置、以及方法,遠距辦公可以輕易的達成,成本較低、操作簡易、無須繁瑣之設定,效率因而大增,故而本發明對於遠距辦公室、移動辦公室、居家辦公室的應用與普及,具有莫大的貢獻。
實施例:
實施例1,提供一種遠端網路連線系統,包括:一閘道器,對內連接於企業網路,對外則連接於一網際網路;一移動辦公室接取設備,透過該網際網路與該閘道器連接;以及一終端設備,透過該移動辦公室接取設備連線並發送一封包至該閘道器,其中該移動辦公室接取設備依據該封包之目的來決定該封包的分流為一公共連線或一隧道連線。
實施例2,提供一種遠端網路連線系統,包括:一遠端閘道器,連接於一遠端企業網路,且可連接於一網際網路;一移動辦公室接取設備,透過該網際網路與該閘道器連接;一終端設備,透過該移動辦公室接取設備連接該網際網路;以及一分流單元,設置於該移動辦公室接取設備內,並依據一封包被產生之目的來決定該封包可直接經由該網際網路形成一公共連線而取得一網際網路服務,或形成一隧道連線連接至該遠端閘道器。
實施例3,如實施例2所述的系統,其中該分流單元依據該封包之目的的正面表列或負面表列,來決定該封包的分流。
實施例4,如實施例2所述的系統,其中該移動辦公室接取設備係為一MiFi、一行動電話、或一具有兩個通訊介面的電腦。
實施例5,如實施例2所述的系統,其中該封包的分流是在該移動辦公室接取設備或在該閘道器執行。
實施例6,提供一種使一使用者之一移動辦公室與一目標辦公室透過一隧道連線的方法,其中該目標辦公室具一閘道器、該移動辦公室可利用一公用網路、且該使用者在該移動辦公室產生複數封包,該方法包括下列步驟:為該移動辦公室提供一接取設備;使該接取設備連線至該閘道器;為該複數封包建立一分流規則,其中該複數封包具一第一封包及一第二封包;以及根據該分流規則來使該第一封包使用該公用網路以形成一公共連線、並使該第二封包使用該公用網路以形成該隧道連線而使該移動辦公室獲得一網路服務。
實施例7,如實施例6所述的方法,其中該接取設備係為一MiFi、一行動電話、或一具有兩個通訊介面的電腦。
實施例8,如實施例6所述的方法,其中該分流規則係依據一被輸入至該網路多輸出入裝置的封包的目的來決定,符合一預設目的的封包可以進入該閘道器,而該
預設目的則以一正面表列或負面表列予以規範。
實施例9,如實施例6所述的方法,其中該分流規則係依據一被輸入至該網路多輸出入裝置的封包的目的地來決定,如目的地是該閘道器之內的位址,則該封包可通過該閘道器。
實施例10,如一種移動辦公室用接取設備,包括:一NAT單元;一路由單元,連接該NAT單元;一隧道單元,連接於該路由單元;一橋接單元,連接於該路由單元與該隧道單元;以及一本地分流單元,連接於該橋接單元,並依據一封包被產生之目的來決定該封包應自該橋接單元出發經該隧道單元至該路由單元而形成一隧道連線而傳輸至一網際網路、或自該橋接單元出發經該路由單元至該NAT單元而形成一公共連線而傳輸至該網際網路。
實施例11,如實施例10所述的設備,更包括:一無線式下行鏈路介面,與該本地分流單元連接,使該本地分流單元透過該無線式下行鏈路介面連接一終端裝置;以及一上行鏈路介面,連接該路由單元與該NAT單元,使該封包透過該上行鏈路介面取得該網際網路服務。
上述實施例僅係為了方便說明而舉例,雖遭熟悉本技藝之人士任施匠思而為諸般修飾,然皆不脫如附申請專利範圍所欲保護者。
Claims (11)
- 一種遠端網路連線系統,包括:一閘道器,對內連接於一企業網路,對外則連接於一網際網路;一移動辦公室接取設備,具有一第一網路介面和一第二網路介面,並載有一企業WiFi通訊協定,其中該第一網路介面透過該網際網路與該閘道器連接;以及一終端設備,透過該第二網路介面和該企業WiFi通訊協定,與該移動辦公室接取設備連線並發送一封包,其中該移動辦公室接取設備依據該封包之目的來決定該封包的分流為一公共連線或一隧道連線。
- 一種遠端網路連線系統,包括:一遠端閘道器,連接於一遠端企業網路,且可連接於一網際網路;一移動辦公室接取設備,具有一第一網路介面和一第二網路介面,並載有一企業WiFi通訊協定,其中該第一網路介面透過該網際網路與該遠端閘道器連接;一終端設備,透過該第二網路介面和該企業WiFi通訊協定,與該移動辦公室接取設備連線;以及一分流單元,設置於該移動辦公室接取設備內,並依據一封包被產生之目的來決定該封包可直接經由該網際網路形成一公共連線而取得一網際網路服務,或形成一隧道連線連接至該遠端閘道器。
- 如申請專利範圍第2項所述的系統,其中該分流單元依 據該封包之目的的正面表列或負面表列,來決定該封包的分流,該遠端企業網路具有至少一私有網路位址,該封包具有一負載部分,且當形成該隧道連線連接時,該私有網路位址被封裝在該封包的該負載部分。
- 如申請專利範圍第2項所述的系統,其中該移動辦公室接取設備係為一MiFi、一行動電話、或一具有兩個通訊介面的電腦。
- 如申請專利範圍第2項所述的系統,其中該封包的分流是在該移動辦公室接取設備或在該閘道器執行。
- 一種使一使用者之一移動辦公室接取設備與一目標辦公室透過一隧道連線的方法,其中該目標辦公室具一閘道器、該移動辦公室可利用一公用網路、且該使用者在該移動辦公室產生複數封包,該方法包括下列步驟:為該移動辦公室提供一接取設備,該接取設備具有一第一網路介面和一第二網路介面,並載有一企業WiFi通訊協定,該第一網路介面和公用網路連接;使該接取設備連線至該閘道器;為該複數封包建立一分流規則,將該複數封包區分為一第一封包及一第二封包,該第一封包的目的地是該公用網路,且該第二封包的目的地是該目標辦公室;以及根據該分流規則來使該第一封包使用該公用網路以形成一公共連線、並使該第二封包使用該公用網路以形成該隧道連線,而使該移動辦公室透過該第二網路介面 和該企業WiFi通訊協定而獲得一網路服務。
- 如申請專利範圍第6項所述的方法,其中該接取設備係為一MiFi、一行動電話、或一具有兩個通訊介面的電腦,該遠端企業網路具有至少一私有網路位址,該封包具有一負載部分,且當形成該隧道連線連接時,該私有網路位址被封裝在該封包的該負載部分。
- 如申請專利範圍第6項所述的方法,其中符合一預設目的的封包可以進入該閘道器,而該預設目的則以一正面表列或負面表列予以規範。
- 如申請專利範圍第6項所述的方法,其中如目的地是該閘道器之內的位址,則該封包可通過該閘道器。
- 一種移動辦公室用接取設備,包括:一NAT單元;一路由單元,連接該NAT單元;一隧道單元,連接於該路由單元;一橋接單元,連接於該路由單元與該隧道單元;一本地分流單元,連接於該橋接單元,並依據一封包被產生之目的來決定該封包應自該橋接單元出發經該隧道單元至該路由單元而形成一隧道連線而傳輸至一網際網路、或自該橋接單元出發經該路由單元至該NAT單元而形成一公共連線而傳輸至該網際網路;一第一網路介面,與該本地分流單元連接,使該本地分流單元透過該第一網路介面連接一終端裝置;以及一第二網路介面,連接該路由單元與該NAT單元,使 該封包透過該第二網路介面取得該網際網路服務。
- 如申請專利範圍第10項所述的設備,其中:該第一網路介面係一無線式下行鏈路介面;該第二網路介面係一上行鏈路介面,連接該路由單元與該NAT單元,使該封包透過該第二網路介面取得該網際網路服務;以及該封包具有一負載部分,且當形成該隧道連線連接時,一私有網路位址被封裝在該封包的該負載部分來穿越該公用網路。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106127667A TWI648968B (zh) | 2017-08-15 | 2017-08-15 | 遠端網路連線系統及其接取設備及其連線方法 |
US16/028,302 US20190058689A1 (en) | 2017-08-15 | 2018-07-05 | Remote network connection system, access equipment and connection method thereof |
CN201810897676.3A CN109412923A (zh) | 2017-08-15 | 2018-08-08 | 远程网络连线系统及其接取设备及其连线方法 |
EP18188452.9A EP3445004A1 (en) | 2017-08-15 | 2018-08-10 | Remote network connection system, access equipment and connection method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106127667A TWI648968B (zh) | 2017-08-15 | 2017-08-15 | 遠端網路連線系統及其接取設備及其連線方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI648968B true TWI648968B (zh) | 2019-01-21 |
TW201911820A TW201911820A (zh) | 2019-03-16 |
Family
ID=63407048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106127667A TWI648968B (zh) | 2017-08-15 | 2017-08-15 | 遠端網路連線系統及其接取設備及其連線方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20190058689A1 (zh) |
EP (1) | EP3445004A1 (zh) |
CN (1) | CN109412923A (zh) |
TW (1) | TWI648968B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110972093B (zh) * | 2018-09-28 | 2023-10-24 | 贵州白山云科技股份有限公司 | 一种移动办公实现方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132330A (zh) * | 2007-09-29 | 2008-02-27 | 中兴通讯股份有限公司 | 一种移动虚拟专用网用户接入系统和方法 |
CN203027505U (zh) * | 2013-01-04 | 2013-06-26 | 中国移动通信集团公司 | 一种MiFi和无线中继双模装置 |
US8498295B1 (en) * | 2010-11-23 | 2013-07-30 | Juniper Networks, Inc. | Modular lightweight tunneling mechanisms for transitioning between network layer protocols |
US8621087B2 (en) * | 2008-12-08 | 2013-12-31 | Electronics And Telecommunications Research Institute | Method for configuring closed user network using IP tunneling mechanism and closed user network system |
TW201445958A (zh) * | 2013-05-23 | 2014-12-01 | Sercomm Corp | 網路裝置、使用其之網際網路協定安全性系統及建立網際網路協定安全性通道之方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7298702B1 (en) * | 2002-12-20 | 2007-11-20 | Sprint Spectrum L.P. | Method and system for providing remote telephone service via a wireless local area network |
US8363665B2 (en) * | 2008-08-04 | 2013-01-29 | Stoke, Inc. | Method and system for bypassing 3GPP packet switched core network when accessing internet from 3GPP UEs using IP-BTS, femto cell, or LTE access network |
US10142292B2 (en) * | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
WO2012017132A1 (en) * | 2010-08-06 | 2012-02-09 | Nokia Corporation | Network initiated alerts to devices using a local connection |
US9160693B2 (en) * | 2010-09-27 | 2015-10-13 | Blackberry Limited | Method, apparatus and system for accessing applications and content across a plurality of computers |
US9015809B2 (en) * | 2012-02-20 | 2015-04-21 | Blackberry Limited | Establishing connectivity between an enterprise security perimeter of a device and an enterprise |
US9078137B1 (en) * | 2014-09-26 | 2015-07-07 | Fortinet, Inc. | Mobile hotspot managed by access controller |
US10542518B2 (en) * | 2017-04-06 | 2020-01-21 | Qualcomm Incorporated | Mobile access point detection |
-
2017
- 2017-08-15 TW TW106127667A patent/TWI648968B/zh active
-
2018
- 2018-07-05 US US16/028,302 patent/US20190058689A1/en not_active Abandoned
- 2018-08-08 CN CN201810897676.3A patent/CN109412923A/zh active Pending
- 2018-08-10 EP EP18188452.9A patent/EP3445004A1/en not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132330A (zh) * | 2007-09-29 | 2008-02-27 | 中兴通讯股份有限公司 | 一种移动虚拟专用网用户接入系统和方法 |
US8621087B2 (en) * | 2008-12-08 | 2013-12-31 | Electronics And Telecommunications Research Institute | Method for configuring closed user network using IP tunneling mechanism and closed user network system |
US8498295B1 (en) * | 2010-11-23 | 2013-07-30 | Juniper Networks, Inc. | Modular lightweight tunneling mechanisms for transitioning between network layer protocols |
CN203027505U (zh) * | 2013-01-04 | 2013-06-26 | 中国移动通信集团公司 | 一种MiFi和无线中继双模装置 |
TW201445958A (zh) * | 2013-05-23 | 2014-12-01 | Sercomm Corp | 網路裝置、使用其之網際網路協定安全性系統及建立網際網路協定安全性通道之方法 |
Also Published As
Publication number | Publication date |
---|---|
US20190058689A1 (en) | 2019-02-21 |
TW201911820A (zh) | 2019-03-16 |
CN109412923A (zh) | 2019-03-01 |
EP3445004A1 (en) | 2019-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101366292B (zh) | 工作在多协议无线网络环境中的移动站及其方法 | |
US9408177B2 (en) | System and method for resource management for operator services and internet | |
US8774764B2 (en) | Method and system for peer-to-peer enforcement | |
US20140050208A1 (en) | Apn ip management | |
US20120184242A1 (en) | Methods and Systems for Enhancing Wireless Coverage | |
CN103313305B (zh) | 网关装置及基站系统 | |
WO2008148357A1 (fr) | Système et procédé de communication, passerelle de station de base domestique et serveur de station de base domestique | |
US9602470B2 (en) | Network device, IPsec system and method for establishing IPsec tunnel using the same | |
US20120257565A1 (en) | Mobile network traffic management | |
WO2018077023A1 (zh) | 支持non-3GPP接入的用户面功能实体选择方法、设备及系统 | |
WO2017167249A1 (zh) | 一种专网接入方法、装置及系统 | |
US11910193B2 (en) | Methods and systems for segmenting computing devices in a network | |
WO2014101755A1 (zh) | 业务数据分流方法及系统 | |
CN103747116A (zh) | 一种基于二层隧道协议的业务访问方法及装置 | |
WO2014048373A1 (zh) | 无线信息传输方法和设备 | |
TWI648968B (zh) | 遠端網路連線系統及其接取設備及其連線方法 | |
WO2010139147A1 (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
WO2016078375A1 (zh) | 数据传送方法及装置 | |
TWI609599B (zh) | 小型基地台間的裝置對裝置通道建立方法與系統 | |
US8438627B1 (en) | Access gateway | |
CN1192565C (zh) | 一种基于无线分组网网关的上网方法 | |
TWI545923B (zh) | 網路裝置、使用其之網際網路協定安全性系統及建立網際網路協定安全性通道之方法 | |
KR101537765B1 (ko) | 테더링 데이터 처리방법 및 장치 | |
KR101364796B1 (ko) | 통신 시스템 | |
JP2011234062A (ja) | 通信システム |