Способ соединения первой компьютерной сети по меньшей мере со второй расширенной компьютерной сетью
Иллюстрации
Показать всеИзобретение относится к способу соединения первой компьютерной сети со второй расширенной компьютерной сетью, причем вторая компьютерная сеть не соединена с сетью Интернет. Технический результат заключается в уменьшении времени интеграции компьютерной сети. Устанавливают концентрирующий маршрутизатор в промежуточную сеть и связывают маршрутизатор с глобальным IP-адресом. Соединяют промежуточную сеть по меньшей мере со второй расширенной компьютерной сетью через маршрутизатор СРЕ и соединяют промежуточную сеть с первой компьютерной сетью через сеть Интернет, проходящей через указанный концентрирующий маршрутизатор. Реализуют IP-туннель между по меньшей мере второй расширенной компьютерной сетью и первой компьютерной сетью через прямую промежуточную сеть и сеть Интернет, при этом IP-туннель реализован в виде первого внешнего зашифрованного IP-туннеля через сеть Интернет и второго внутреннего незашифрованного IP-туннеля через промежуточную сеть. При этом реализация указанного первого внешнего зашифрованного IP-туннеля включает конфигурирование концентрирующего маршрутизатора, установленного в промежуточной сети, и конфигурирование маршрутизатора в точке присутствия, соединяющего первую компьютерную сеть и промежуточную сеть через сеть Интернет. 12 з.п. ф-лы, 3 ил.
Реферат
Область техники
Настоящее изобретение относится к способу соединения первой компьютерной сети по меньшей мере со второй расширенной компьютерной сетью, не соединенной с сетью Интернет и не имеющей маршрута к первой компьютерной сети, включающему следующие шаги:
- соединение промежуточной сети по меньшей мере со второй расширенной компьютерной сетью и соединение промежуточной сети с первой компьютерной сетью через сеть Интернет, и
- реализация IP-туннеля между первой компьютерной сетью и по меньшей мере второй расширенной компьютерной сетью через промежуточную сеть и сеть Интернет.
В частности, настоящее изобретение относится к способу описанного выше типа, при котором первая компьютерная сеть и вторая расширенная компьютерная сеть принадлежат одной и той же или родственным компаниям, например, имеющим одно и то же юридическое лицо, а промежуточная сеть принадлежит третьей стороне.
Уровень техники
Как известно, способы соединения первой компьютерной сети с по меньшей мере второй расширенной компьютерной сетью, которая не соединена с сетью Интернет и не имеет маршрута к первой компьютерной сети, обеспечивают соединение промежуточной сети с по меньшей мере второй расширенной компьютерной сетью через маршрутизатор, выступающий в качестве разделителя для IP-туннеля, и соединение промежуточной сети с первой компьютерной сетью через сеть Интернет.
Иными словами, эти способы реализуют IP-туннель между первой компьютерной сетью и по меньшей мере второй расширенной компьютерной сетью через прямой маршрут и сеть Интернет, т.е. проходящий через сеть Интернет и промежуточную сеть. Конкретнее, прямой маршрут является маршрутом через промежуточную сеть между по меньшей мере второй расширенной компьютерной сетью и Интернетом.
На фиг.1 схематически представлены основные этапы указанных выше способов, включая соединение между первой компьютерной сетью 1, имеющей соединение с сетью Интернет 3, и второй расширенной компьютерной сетью 2, не имеющей соединения с сетью Интернет 3, но имеющей соединение с абонентским маршрутизатором (маршрутизатором СРЕ) 9, также соединенным с промежуточной сетью 5.
Например, первая компьютерная сеть 1 и вторая расширенная компьютерная сеть 2 могут быть корпоративной сетью связи пользователя А и внешней корпоративной сетью связи того же пользователя А соответственно, которые не могут быть соединены прямо, поскольку они не имеют прямого маршрута, а также не могут быть соединены виртуально с помощью IP-туннеля через сеть Интернет 3, поскольку вторая корпоративная сеть связи 2 не имеет соединения с сетью Интернет 3, например, вследствие географических ограничений.
Первая компьютерная сеть и вторая расширенная компьютерная сеть принадлежат одной и той же или родственным компаниям, например, имеющим одно и то же юридическое лицо.
Согласно приведенному выше примеру промежуточная сеть 5 является связующей корпоративной сетью 5 провайдера В, которая соединена с сетью Интернет 3 и может обеспечивать возможность соединения с внешней связующей корпоративной сетью 2 через прямой маршрут, реализуя IP-туннель между связующей корпоративной сетью пользователя А и его соответствующей расширенной связующей корпоративной сетью. Точнее, промежуточная сеть 5 или связующая корпоративная сеть 5 принадлежит третьей стороне, которая на законном основании не подключена к первой компьютерной сети 1 и второй расширенной компьютерной сети 2.
Сетевой график, генерируемый первой компьютерной сетью 1 по направлению ко второй расширенной компьютерной сети 2, и наоборот, шифруется, например, с помощью протокола IPSec, т.е. стандартного протокола для шифрования и аутентификации IP-пакетов на сетевом уровне, во избежание контроля данных, передаваемых через IP-туннель, третьими сторонами. Иными словами, шифрование и аутентификация обеспечивают безопасное виртуальное соединение "точка с точкой", или безопасный IP-туннель, между сетями пользователя А.
Недостатком этих способов является то, что шифрование сетевого графика во избежание контроля третьими сторонами также не допускает контроля в промежуточной сети 5, что не позволяет провайдеру В контролировать сетевой график, проходящий через его промежуточную сеть 5, и за которую провайдер В несет ответственность.
Другой недостаток известных способов становится очевидным, когда более одной расширенной компьютерной сети 2 соединяют с первой компьютерной сетью 1 по соответствующим IP-туннелям, проходящим через промежуточную сеть 5.
Действительно, если для обеспечения безопасности в каждом из IP-туннелей используется стандарт IPSec, промежуточная сеть 5 провайдера В должна обеспечивать по меньшей мере глобальный IP-адрес для каждой расширенной компьютерной сети 2, поскольку стандарт IPSec требует иерархического представления безопасности непосредственно над IP сетевым уровнем L3 эталонной модели OSI, и в результате становится невозможным использование одного и того же глобального IP-адреса для реализации безопасных IP-туннелей.
С другой стороны, использование другого стандарта для обеспечения безопасности, допускающего использование нескольких безопасных IP-туннелей, использующих один и тот же глобальный IP-адрес промежуточной сети 5, например SSL VPN, который расположен над транспортным уровнем L4, но не над IP сетевым уровнем L3, вызывает другие проблемы.
Действительно, данный способ потребует нетривиального конфигурирования преобразования сетевых адресов (NAT) в промежуточной сети 5 провайдера В, увеличивающей сложность осуществления способа в промежуточной сети 5 и возможные будущие модификации и расширения расширенной компьютерной сети 2.
Согласно приведенному примеру отметим, что сложность осуществления способа в первой компьютерной сети 1 также повышается, поскольку она должна иметь конфигурацию, обеспечивающую по одному безопасному IP-туннелю для каждой расширенной компьютерной сети 2.
Кроме того, независимо от количества присоединяемых расширенных компьютерных сетей 2, известный способ требует обременительной проверки промежуточной сети 5, первой компьютерной сети 1 и второй расширенной компьютерной сети 2, а также сложного согласования пространства IP-адресов между провайдером В, пользователем А, потенциально вовлеченными третьими сторонами С, отвечающими за обеспечение безопасного IP-туннеля, также указываемыми как провайдеры по сетевой интеграции. Эти переговоры и контроль необходимо проводить во избежание перекрывания и конфликтов локальных IP-адресов в промежуточной сети 5, первой и второй компьютерных сетях 1, 2, и в случае обнаружения не решаемых переговорами перекрываний известные способы должны быть изменены с обеспечением возможности преобразования сетевых адресов (NAT) в сетях 1, 2, 5.
Иными словами, когда требуется сетевая интеграция между отдельными сторонами, т.е. интеграция между первой компьютерной сетью, второй расширенной компьютерной сетью и промежуточной сетью, причем каждая сеть имеет свое собственное локальное администрирование, возникают технические и политические вопросы, описанные выше, которые увеличивают сложность и время, необходимое на выполнение интеграции.
Эта сложность дополнительно возрастает, когда интеграцию производят с другой технически специализированной стороной, также указываемой как провайдер по сетевой интеграции, которая несет ответственность за реализацию IP-туннелирования, содержащего маршрутизаторы, устанавленные в промежуточной сети, в первой и второй расширенной компьютерных сетях, и которая строго ограничена требуемыми каждой стороной ограничениями.
Технической проблемой, лежащей в основании настоящего изобретения, является предоставление способа, который задает минимальные конфигурационные требования для промежуточной сети 5 относительно сетевой архитектуры, топологии сети и логической конфигурации; способ, требующий только один глобальный IP-адрес для расширенных компьютерных сетей 2, подключаемых посредством безопасных IP-туннелей, позволяющий поставщику услуг В контролировать график сети через промежуточную сеть 5 и в то же самое время гарантирующий взаимную изоляцию между промежуточной сетью 5, первой и второй расширенной компьютерными сетями 1, 2, также предупреждающий конфликты между локальными адресами, используемыми в промежуточной сети 5 и сетях 1, 2; при этом подобный способ также поддерживает постепенное приращение дополнительных расширенных компьютерных сетей 2 для более широкой связности, а также преодоление недостатков и ограничений, которые влияют на методы, соответствующие известному уровню техники.
Краткое описание изобретения
Идея решения, лежащего в основе настоящего изобретения, заключается в предоставлении способа соединения первой компьютерной сети по меньшей мере со второй расширенной компьютерной сетью, не соединенной с глобальной сетью Интернет, через магистраль IP-туннелей, соединенных концентрирующим маршрутизатором в промежуточной сети, при этом первая часть магистрали является зашифрованным IP-туннелем, обеспеченным в безопасной промежуточной сети и в первой компьютерной сети через глобальную сеть Интернет, а вторая часть магистрали является незашифрованным IP-туннелем, реализованным в безопасной промежуточной сети провайдера В и во второй расширенной компьютерной сети.
В соответствии с данной идеей решения указанная техническая проблема решается с помощью способа соединения первой компьютерной сети по меньшей мере со второй компьютерной сетью, при этом по меньшей мере вторая компьютерная сеть не соединена с сетью Интернет и не имеет маршрута к первой компьютерной сети, при этом способ предоставляет следующие этапы:
- установка концентрирующего маршрутизатора в промежуточной сети и связывание его с глобальным IP-адресом;
- соединение промежуточной сети по меньшей мере со второй расширенной компьютерной сетью через абонентский маршрутизатор (маршрутизатор СРЕ) и соединение промежуточной сети с первой компьютерной сетью через. сеть Интернет, проходящий через концентрирующий маршрутизатор;
- реализация IP-туннеля между по меньшей мере второй расширенной компьютерной сетью и первой компьютерной сетью через промежуточную сеть и сеть Интернет, при этом указанный IP-туннель реализован в виде первого незашифрованного IP-туннеля через промежуточную сеть и второго внешнего зашифрованного IP-туннеля через сеть Интернет.
Предпочтительно первая часть IP-туннеля реализована с помощью стандартного протокола, например GRE, позволяющего провайдеру В контролировать сетевой график в промежуточной сети, а вторая часть IP-туннеля защищена с помощью другого стандартного протокола, например IPSec, защищающего соединение от контроля третьей стороной.
Предпочтительно запрашивают установку одного одиночного глобального IP-адреса в концентрирующем маршрутизаторе в промежуточной сети для поддержки соединений между первой компьютерной сетью и соответствующими расширенными компьютерными сетями через соответствующие первые части незашифрованных и вторые части зашифрованных IP-туннелей.
Предпочтительно способ в соответствии с настоящим изобретением решает технические и политические проблемы, возникающие при сетевой интеграции отдельных сторон, т.е. сторон первой компьютерной сети, по меньшей мере второй расширенной компьютерной сети и промежуточной сети, при этом каждой сети требуется свое собственное локальное администрирование.
Дополнительные преимущества и варианты реализации способа в соответствии с настоящим изобретением приведены ниже, предоставленные с иллюстративной целью и без ограничения объема правовой охраны настоящего изобретения.
Краткое описание чертежей
- Фиг.1 схематически представляет первую компьютерную сеть и вторую расширенную компьютерную сеть, соединенные через промежуточную сеть в соответствии со способом, известным из уровня техники.
- Фиг.2 схематически представляет первую компьютерную сеть и вторую расширенную компьютерную сеть, соединенные через промежуточную сеть в соответствии со способом настоящего изобретения.
- Фиг.2а схематически представляет другой вид первой компьютерной сети и второй расширенной компьютерной сети, соединенных через промежуточную сеть, изображенные на Фиг.2.
Подробное описание
Согласно фиг.2 схематически представлен способ соединения первой компьютерной сети 1 по меньшей мере со второй расширенной компьютерной сетью 2, которая не соединена с сетью Интернет 3 и с первой компьютерной сетью 1.
В частности, способ предоставляет возможность соединения промежуточной сети 5 по меньшей мере со второй расширенной компьютерной сетью 2 через маршрутизатор СРЕ 9 и промежуточную сеть 5 с первой компьютерной сетью 1 через сеть Интернет 3.
Первая компьютерная сеть 1 и промежуточная сеть 5 соединяются через сеть Интернет 3 с помощью маршрутизатора 10 в точке присутствия (маршрутизатора POP), имеющего глобальный IP-адрес IP1.
Без ограничения объема правовой охраны настоящего изобретения и только в иллюстративных целях первая компьютерная сеть 1 и вторая расширенная компьютерная сеть 2 могут быть соответственно связующей корпоративной сетью пользователя А и внешней связующей корпоративной сетью пользователя А', при этом А и А' принадлежат одной компании или родственным компаниям, например, имеющим одно и то же юридическое лицо, сети которых не могут быть соединены прямо или виртуально через IP-туннель через сеть Интернет 3, поскольку по меньшей мере вторая расширенная сеть 2 не имеет соединения с сетью Интернет 3.
Согласно приведенному примеру промежуточная сеть 5 может быть связующей корпоративной сетью провайдера В, принадлежащей третьей стороне, которая на законном основании не имеет соединения с компанией А или А', которая соединена с сетью Интернет 3 и может обеспечить возможность соединения по меньшей мере второй расширенной компьютерной сети 2 через прямой маршрут, поддерживая реализацию IP-туннеля между связующей корпоративной сетью пользователя А и соответствующей связующей расширенной корпоративной сетью пользователя А'.
Конечно, приведенный выше пример со ссылкой на пользователей А, А' и провайдера В не является ограничительным, и первая компьютерная сеть 1, вторая расширенная компьютерная сеть 2 и промежуточная сеть 5 могут принадлежать одному и тому же юридическому лицу или различным юридическим лицам, и требовать соединения друг с другом согласно топологии сети, значительно отличающейся от топологии, приведенной на фиг.2.
Согласно настоящему изобретению способ представляет следующие этапы:
- установка концентрирующего маршрутизатора 8 в промежуточной сети 5 и связывание его с глобальным IP-адресом IP2;
- соединение промежуточной сети 5 по меньшей мере со второй расширенной компьютерной сетью 2 через маршрутизатор СРЕ 9 и соединение промежуточной сети с первой компьютерной сетью 1 через сеть Интернет 3, проходящую через концентрирующий маршрутизатор 8;
- реализация IP-туннеля 7 между по меньшей мере второй расширенной компьютерной сетью 2 и первой компьютерной сетью 1 через промежуточную сеть 5 и сеть Интернет 3, причем IP-туннель 7 содержит первый внешний зашифрованный IP-туннель 7а через сеть Интернет 3 и второй внутренний незашифрованный IP-туннель 7b через сеть Интернет 3 и промежуточную сеть 5.
Реализация второго внутреннего незашифрованного IP-туннеля 7b включает конфигурирование концентрирующего маршрутизатора 8 и маршрутизатора СРЕ 9, который соединяет каждую вторую расширенную компьютерную сеть 2 с промежуточной сетью 5.
Реализация первого внутреннего зашифрованного IP-туннеля 7а включает конфигурирование концентрирующего маршрутизатора 8 и маршрутизатора POP 10.
В частности, конфигурирование маршрутизатора POP 10 включает этап сохранения в его таблице 10r маршрутизации:
- по меньшей мере глобального IP-адреса IP2 концентрирующего маршрутизатора 8;
- локальных IP-адресов, также указываемых как внешние правые адреса, которые используются в качестве адресов назначения в графике в магистрали IP-туннеля 7, генерируемом хостами второй расширенной компьютерной сети 2 в направлении первой компьютерной сети 1;
- локальных IP-адресов, также указываемых как внешние левые адреса, назначаемые хостам второй расширенной компьютерной сети 2. В соответствии со способом настоящего изобретения, для предотвращения конфликтов внешних левых адресов и внешних правых адресов и адресов, назначаемых провайдером В концентрирующему маршрутизатору 8 и маршрутизаторам СРЕ 9 в промежуточной сети 5, внешние левые адреса выбираются после определения провайдером В всех локальных IP-адресов для промежуточной сети 5, включая локальный IP-адрес концентрирующего маршрутизатора 8 и внешний локальный IP-адрес маршрутизатора СРЕ 9, что будет очевидно из следующего описания. Предпочтительно внешние левые адреса определяются провайдером по сетевой интеграции, отвечают за интеграцию первой компьютерной сети и второй расширенной компьютерной сети, реализуя IP-туннели 7а и 7b.
Маршрутизатор POP 10 направляет весь график, генерируемый компьютерной сетью 1 в направлении вторых расширенных компьютерных сетей 2, в первом внешнем зашифрованном IP-туннеле 7а в концентрирующий маршрутизатор 8, и направляет весь трафик, получаемый от концентрирующего маршрутизатора 8 и генерируемый вторыми расширенными компьютерными сетями 2, в первую компьютерную сеть 1.
Конфигурирование концентрирующего маршрутизатора 8 включает этап сохранения в его таблице 8r маршрутизации:
- локального IP-адреса каждого маршрутизатора СРЕ 9, соединенного с промежуточной сетью 5, причем указанный локальный IP-адрес каждого маршрутизатора СРЕ 9 является внешним по отношению к расширенной компьютерной сети 2;
- глобального IP-адреса IP1 маршрутизатора POP 10;
- локальных IP-адресов, также указываемых как внешние виртуальные правые адреса, которые замещаются вышеуказанными внешними правыми адресами во время их прохождения в IP-туннелях 7а и 7b; в частности, замещение вышеуказанных внешних правых адресов выполняется с помощью преобразования сетевых адресов, выполняемого маршрутизаторами СРЕ 9 и обращаемого маршрутизатором POP 10, и наоборот;
- локальных IP-адресов, также указываемых как внутренние левые адреса, назначаемые хостам второй расширенной компьютерной сети 2 в этой сети 2 для графика, генерируемого в магистрали IP-туннеля 7.
В соответствии со способом настоящего изобретения для предотвращения конфликтов внешних виртуальных правых адресов и внешних локальных IP-адресов маршрутизатора СРЕ 9 первые выбираются после определения провайдером В всех локальных IP-адресов для промежуточной сети 5, включая локальный IP-адрес концентрирующего маршрутизатора 8 и внешний локальный IP-адрес маршрутизатора СРЕ 9. Предпочтительно провайдер по сетевой интеграции также определяет внешние виртуальные правые адреса.
Концентрирующий маршрутизатор 8 направляет весь график, генерируемый второй расширенной компьютерной сетью 2 в направлении первой компьютерной сети 1, в маршрутизатор POP 10 и направляет весь график, получаемый от маршрутизатора POP 10 и генерируемый первой компьютерной сетью 1, в маршрутизатор (маршрутизаторы) СРЕ 9.
Конфигурирование маршрутизатора (маршрутизаторов) СРЕ 9 включает этап сохранения в таблице 9r маршрутизации маршрутизатора СРЕ 9:
- локального IP-адреса концентрирующего маршрутизатора 8 указанного локального IP-адреса концентрирующего маршрутизатора 8, являющегося внутренним для промежуточной сети 5;
- виртуальных правых адресов;
- локальных левых адресов, т.е. локальных IP-адресов, назначаемых хостам второй расширенной компьютерной сети 2 в локальной сети, т.е. во второй расширенной компьютерной сети 2.
В этом случае, в соответствии со способом настоящего изобретения, происходит предотвращение конфликтов внешних виртуальных правых адресов и внутренних локальных IP-адресов концентрирующего маршрутизатора 8 путем выбора первых после определения провайдером В всех локальных IP-адресов промежуточной сети 5, включая локальный IP-адрес концентрирующего маршрутизатора 8 и внешний локальный IP-адрес маршрутизаторов СРЕ 9. Кроме того, в этом случае провайдер по сетевой интеграции определяет внешние виртуальные правые адреса.
Иными словами, способ в соответствии с настоящим изобретением предпочтительно обеспечивает предотвращение конфликтов локальных IP-адресов при выполнении следующих этапов:
- 1 сбор локальных IP-адресов, назначенных провайдером В для промежуточной сети 5, включая внутренний локальный IP-адрес концентрирующего маршрутизатора 8 и внешний локальный IP-адрес маршрутизатора (маршрутизаторов) СРЕ 9;
- 2 выбор, предпочтительно со стороны сетевого интегратора, внешнего виртуального правого адреса, который не конфликтует с внутренним локальным IP-адресом концентрирующего маршрутизатора 8 и внешним локальным IP-адресом маршрутизатора (маршрутизаторов) СРЕ 9;
- 3 определение связи или схемы размещения внешнего виртуального правого адреса и внешнего правого адреса, конфигурируемого маршрутизаторами СРВ 9 и маршрутизаторами POP 10;
- 4 выбор левых адресов, не конфликтующих с внешним правым адресом и IP-адресами, назначаемыми концентрирующему маршрутизатору 8 и маршрутизатору (маршрутизаторам) СРЕ 9 в промежуточной сети 5.
После выполнения указанных этапов 1-4 может быть выполнен дополнительный этап 5 для маскировки внутреннего локального IP-адреса концентрирующего маршрутизатора 8 и внешнего локального IP-адреса маршрутизатора (маршрутизаторов) СРЕ 9. Предпочтительно этап 5 выполняют для обеспечения возможности сетевому интегратору контроля и управления вышеупомянутыми устройствами, без необходимости установки сетевым интегратором маршрутов к IP-адресам промежуточной сети 5 на своих маршрутизаторах, а также без необходимости установки маршрутов к системам контроля сетевого интегратора в промежуточной сети 5. Этап 5 выполняют при назначении, преимущественно со стороны провайдера по сетевой интеграции, локальных IP-адресов, также указанных как управляющие адреса.
Кроме того, выбирают управляющие адреса, не допускающие конфликтов с концентрирующим маршрутизатором 8 и внешними локальными IP-адресами маршрутизатора (маршрутизаторов) СРЕ 9.
Ниже согласно фиг.2а описывается пример исполнения способа в соответствии с настоящим изобретением, в котором приведено конфигурирование маршрутизатора POP 10, концентрирующего маршрутизатора 8, маршрутизатора СРВ 9, а также соответствующие IP-подсети предназначенных для соединения сетей 1, 2, 3, и указание, когда и кем (провайдером В или сетевым интегратором) эти устройства конфигурируются.
Определяют IP-подсеть (подсети), назначаемые первой компьютерной сети 1.
Как схематически показано на фиг.2а, хосты первой компьютерной сети 1 конфигурированы с IP подсетью 10.50.0.0/16, которая была назначена соответствующим сетевым администратором и которая имеет, например, локальные IP-адреса 10.50.55.2, 10.50.44.2, 10.50.19.3.
Локальный IP-адрес с соответствующей IP подсетью, указанный выше как внутренний локальный IP-адрес концентрирующего маршрутизатора 8, назначается концентрирующему маршрутизатору 8 в промежуточной сети 5 для реализации конечной точки второго внутреннего незашифрованного IP-туннеля 7b, например, с IP-подсетью 192.168.30.2/24, отличной от IP-подсети 10.50.0.0/16, назначаемой первой компьютерной сети 1.
Провайдер В промежуточной сети 5 назначает внутренний локальный IP-адрес концентрирующего маршрутизатора 8 до того, как сетевой интегратор выберет локальные IP-адреса для реализации IP-туннелей. Предпочтительно на провайдера В не накладывают никаких ограничений, поскольку он свободен от назначения какого-либо локального IP-адреса концентрирующему маршрутизатору 8, без риска возникновения конфликтов.
Если между внешним адресом концентрирующего маршрутизатора 8 и соответствующим глобальным IP-адресом IP2 применяется преобразование сетевых адресов, например преобразование адреса 192.168.31.2/24 в глобальный IP-адрес IP2 1.2.3.4, провайдер В также назначает внешний адрес концентрирующего маршрутизатора.
Провайдер В также выбирает локальный IP-адрес (адреса) для каждого из маршрутизаторов СРЕ 9 в промежуточной сети 5, также указываемый как внешний локальный адрес маршрутизатора (маршрутизаторов) СРЕ 9, соответствующий другой конечной точке второго внутреннего незашифрованного IP-туннеля 7b. Например, при рассмотрении двух маршрутизаторов СРЕ для соответствующих вторых расширенных компьютерных сетей 2 назначаются IP-адреса с IP-подсетью 192.168.44.2/24, 192.168.45.2/24, которые отличны от IP-подсетей 10.50.0.0/16, 192.168.30.2/24, назначаемых соответственно первой компьютерной сети 1 и внутреннему адресу концентрирующего маршрутизатора 8.
Кроме того, провайдер В также назначает IP-подсети для использования в интерфейсах внутреннего туннеля, установленных на маршрутизаторах СРЕ и на концентрирующем маршрутизаторе 8, т.е. 192.168.99.0/30, 192.168.99.4/30.
Таким образом, провайдер В по существу может выбрать и определить самостоятельно конфигурирование, которое ему требуется выполнить для реализации IP-туннелирования, что не ограничивают правилами или ограничениями, предназначенными для недопущения конфликтов с другими сетями 1, 2.
В соответствии со способом настоящего изобретения только после того, как провайдер В выберет и установит вышеупомянутые конфигурации, предпочтительно одна сторона, т.е. провайдер, по сетевой интеграции устанавливает последующие IP-адреса.
Далее сетевой интегратор назначает управляющие адреса, которые соответствуют локальным IP-адресам провайдера В, т.е. IP-адреса маршрутизатора СРЕ 9, для маскировки таких локальных IP-адресов. Сетевой интегратор назначает управляющие адреса после указанного выше выбора IP-адресов провайдером В. Ниже приводится пример этого этапа для назначения управляющих адресов для маскировки внешних локальных адресов маршрутизаторов СРЕ 9:
192.168.22.1 → 192.168.44.2
192.168.22.2 → 192.168.45.2
Локальные IP-адреса, также называемые внутренними левыми адресами, сетевой интегратор назначает хостам во второй расширенной компьютерной сети 2, например, при рассмотрении двух расширенных компьютерных сетей 2, 10.2.2.0/29 и 10.2.2.8/29.
Сетевой интегратор далее назначает локальные IP-адреса, также называемые внешними правыми адресами, которые используются в качестве адресов назначения в графике, генерируемом хостами второй расширенной компьютерной сети 2, включая IP-адреса первой компьютерной сети 1, 10.50.0.0/16. Эти адреса в конечном итоге содержат IP-адреса серверов, используемых провайдером по сетевой интеграции для контроля работы сети или других услуг, например IP-адрес 192.168.20.0/24.
Согласно фиг.2а правые адреса указывают с 10.50.0.0/16 и 192.168.20.0/24, левые адреса указывают с 10.2.2. [0,8]/29, а управляющие адреса указывают с 192.168.22.х.
Локальные IP-адреса, также указываемые как внешние виртуальные правые адреса, которые замещаются правыми адресами во время их прохождения по IP-туннелям 7а и 7b, сетевой интегратор назначает после назначения провайдером В указанных выше локальных IP-адресов.
Ниже приводится пример IP-адресов во второй расширенной компьютерной сети через магистраль IP-туннеля 7 и в направлении к первой компьютерной сети.
10.50.0.0/16 → 10.90.0.0/16 → 10.50.0.0/16
192.168.20.0/24 → 10.91.0.0/24 → 192.168.20.0/24
Ниже, согласно аспекту настоящего изобретения, кратко описывается преобразование сетевых адресов, обеспечиваемое маршрутизаторами СРЕ 9, маршрутизатором POP 10 и концентрирующим маршрутизатором 8 для поставки сетевого графика.
Внешние правые адреса преобразуют во внешние виртуальные правые адреса при прохождении ими IP-туннеля 7 посредством конфигурирования преобразования сетевых адресов источника и назначения в маршрутизаторах СРЕ 9 и маршрутизаторе POP 10. В частности, способ в соответствии с настоящим изобретением включает конфигурирование преобразования сетевых адресов источника и назначения в маршрутизаторах СРЕ 9 и маршрутизаторе POP 10 для преобразования внешних правых адресов во внешние виртуальные правые адреса во время прохождения сетевым графиком IP-туннеля 7.
Конфигурирование преобразования сетевых адресов источника и назначения в маршрутизаторах СРЕ 9 инвертируются конфигурированием на маршрутизаторе POP 10, и наоборот. В частности, способ в соответствии с настоящим изобретением включает исполнение конфигурирования источника и назначения на маршрутизаторе POP 10, обеспечивая инвертированное преобразование, при котором внешние виртуальные правые адреса преобразуют во внешние правые адреса, когда сетевой график покидает IP-туннель 7.
Управляющий график от сетевого интегратора может достигать внешних локальных IP-адресов маршрутизаторов СРЕ 9 с использованием различных адресов, т.е. управляющих адресов, посредством конфигурирования преобразования сетевых адресов назначения в концентрирующем маршрутизаторе 8, тем самым предотвращая необходимость устанавки маршрутов для промежуточной сети 5 в маршрутизаторе POP 10. В частности, способ обеспечивает конфигурирование преобразования сетевых адресов назначения в концентрирующем маршрутизаторе 8, включая определение управляющих адресов, на которые направляют график, генерируемый сетевым интегратором, и направляемый на маршрутизаторы СРЕ 9. Управляющие адреса отличны от внешних локальных IP-адресов маршрутизаторов СРЕ 9 для предотвращения установки маршрутов к промежуточной сети 5 в маршрутизаторе POP 10.
Сетевой интегратор соединяется с первой компьютерной сети 1 для управления графиком.
Сетевой график, генерируемый сетевым интегратором, достигает внешних локальных IP-адресов маршрутизаторов СРЕ 9 с адресом источника, преобразованным во внутренний локальный адрес концентрирующего маршрутизатора 8 посредством конфигурирования преобразования сетевых адресов источника в концентрирующем маршрутизаторе 8, тем самым устраняя необходимость в установке маршрутов в управляющей системе провайдером по интеграции на маршрутизаторах промежуточной сети 5. В частности, способ включает конфигурирование преобразования сетевых адресов источника в концентрирующем маршрутизаторе 8, включая преобразование адреса источника для графика, генерируемого сетевым интегратором для маршрутизаторов СРЕ 9, во внутренний локальный адрес концентрирующего маршрутизатора 8 для предотвращения необходимости установки маршрутов провайдером по интеграции на маршрутизаторах промежуточной сети 5.
Согласно аспекту настоящего изобретения первая часть IP-туннеля 7а реализована с помощью стандартного протокола, например GRE, позволяющего провайдеру В контролировать сетевой график в промежуточной сети, а вторая часть IP-туннеля 7b защищена с помощью другого стандартного протокола, например IPSec, защищающего соединение от контроля третьей стороны.
Предпочтительно в соответствии со способом настоящего изобретения, чтобы на промежуточную сеть 5 накладывались минимальные ограничения в отношении сетевой архитектуры, топологии сети, логической конфигурации, а также не допускались конфликты между локальными Интернет-адресами IPv4 (RFC1918) промежуточной сети, первой компьютерной сети и второй расширенной компьютерной сети.
Предпочтительно способ предоставляет провайдеру В возможность контролировать сетевой график, проходящий в промежуточной сети, тем самым соблюдая политику безопасности провайдера и в то же самое время гарантируя взаимную изоляцию промежуточной сети 5 провайдера В и сетей 1, 2 пользователя А средствами политики маршрутизации и списков доступа для гарантии подобной изоляции.
Таким образом, данный способ позволяет провайдеру В усилить безопасность и ограничения качества обслуживания графика, передаваемого по промежуточной сети 5.
Предпочтительно способ требует только одного глобального IP-адреса со стороны провайдера В, независимо от количества расширенных компьютерных сетей 2, соединенных с первой компьютерной сетью 1 пользователя А, допуская постепенное приращение дополнительных расширенных компьютерных сетей 2 без добавления глобальных IP-адресов.
Предпочтительно способ в соответствии с настоящим изобретением может быть адаптирован для более широкого круга конфигурации-сети с целью снижения затрат на каждое проектное решение и будет требовать меньшего числа квалифицированных технических специалистов для проведения переговоров с различными провайдерами В.
1. Способ соединения первой компьютерной сети (1) и по меньшей мере второй расширенной компьютерной сети (2), не соединенной с сетью Интернет (3) и не имеющей маршрута к первой компьютерной сети (1), включающий:- установку концентрирующего маршрутизатора (8) в промежуточной сети (5) и его связывание с глобальным IP-адресом;- соединение промежуточной сети (5) с указанной по меньшей мере второй расширенной компьютерной сетью (2) через абонентский маршрутизатор (9) и соединение через концентрирующий маршрутизатор (8) промежуточной сети (5) с первой компьютерной сетью (1) через сеть Интернет (3);- реализация IP-туннеля (7) между указанной по меньшей мере второй расширенной компьютерной сетью (2) и первой компьютерной сетью (1) через промежуточную сеть (5) и сеть Интернет (3) в виде первого внешнего зашифрованного IP-туннеля (7а) через сеть Интернет (3) и второго внутреннего незашифрованного IP-туннеля (7b) через промежуточную сеть (5), отличающийся тем, что реализация указанного первого внешнего зашифрованного IP-туннеля (7а) включает конфигурирование концентрирующего маршрутизатора (8), установленного в промежуточной сети (5), и конфигурирование маршрутизатора (10) в точке присутствия, соединяющего первую компьютерную сеть (1) и промежуточную сеть (5) через сеть Интернет (3).
2. Способ по п.1, отличающийся тем, что реализация второго внутреннего незашифрованного IP-туннеля (7b) включает дополнительное конфигурирование концентрирующего маршрутизатора (8) и конфигурирование абонентского маршрутизатора (9), установленного в каждой указанной по меньшей мере второй расширенной компьютерной сети (2).
3. Способ по п.1, отличающийся тем, что конфигурирование маршрутизатора (10) в точке присутствия включает сохранение в его таблице (10r) маршрутизации:- по меньшей мере глобального адреса концентрирующего маршрутизатора (8);- локальных IP-адресов, также указываемых как внешние правые адреса и используемых в качестве адресов назначения в графике, генерируемом хостами второй расширенной компьютерной сети (2) в IP-туннеле (7);- локальных IP-адресов, также указываемых как внешние левые адреса и назначаемых хостам второй расширенной компьютерной сети (2).
4. Способ по п.1, отличающийся тем, что конфигурирование концентрирующего маршрутизатора (8) включает сохранение в его таблице (8r) маршрутизации:- локального IP-адреса абонентского маршрутизатора (9) в промежуточной сети (5), также указываемого как его внешний локальный IP-адрес;- глобального адреса маршрутизатора (10) в точке присутствия;- локальных IP-адресов, также указываемых как внешние виртуальные правые адреса и используемых в качестве адресов назначения в графике, генерируемом хостами первой компьютерной сети (1);- локальных IP-адресов, также указываемых как внутренние левые адреса и назначаемых хостам второй расширенной компьютерной сети (2) во второй расширенной компьютерной сети (2) для графика, генерируемого в магистрали IP-туннеля (7).
5. Способ по любому из пп.2-4, отличающийся тем, что конфигурирование маршрутизатора СРВ (9) включает сохранение в его таблице (9r) маршрутизации:- локального IP-адреса концентрирующего маршрутизатора (8) в промежуточной сети (5), также указываемого как локальный адрес концентрирующего маршрутизатора (8);- указанных виртуальных правых адресов;- указанных внутренних левых адресов.
6. Способ по любому из пп.2-4, дополнительно включающий установочную фазу, включающую этап сбора конфигурации локальных IP-адресов промежуточной сети (5), локальных IP-адресов концентрирующего маршрутизатора (8) и абонентского маршрутизатора (9), причем указанные внешние левые адреса и внешние виртуальные правые адреса выбирают и конфигурируют в маршрутизаторе (10) в точке присутствия, концентрирующем маршрутизаторе (8) и абонентском маршр