地理的に分布したバーチャルルーティングのためのシステム
単一エンティティとして統治され、管理され及び監視される分布メタホップを管理するためのシステム。メタホップに新たなゲートウェイが追加される場合には、その新たなゲートウェイがメタホップに加わるための比較的基本的な情報を指示するアドミニストレータによりメンバーシップ証明書でゲートウェイをプロビジョニングすることができる。比較的基本的な情報でプロビジョニングされると、新たなゲートウェイを比較的遠隔のサイトへ運搬し、そこで、メタホップへのエントリーポイントを自動的に求めることができる。エントリーポイント(1つ又は複数)へ接続した後に、新たなゲートウェイは、メタホップに加入するのに使用される他の情報で自動的にプロビジョニングされる。一実施形態では、その加入したゲートウェイは、トラフィックを転送するように自動的にイネーブルされる。別の実施形態では、新たなゲートウェイは、アドミニストレータがメタホップにおいてトラフィックの転送に対してそれをイネーブルするまで、トラフィックを転送することがディスエイブルされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを経てパケットをルーティングすることに係り、より詳細には、メタホップ情報に基づいてパケットをそれらの行先に向けてルーティングすることに係る。
【背景技術】
【0002】
バーチャルプライベートネットワーク(VPN)は、インターネットのような外部/非信頼性IPネットワークを経て安全な通信を行うことができる。VPNは、内部の信頼性ネットワーク上にある互いに離れたノード、例えば、クライアント、サーバー、及びホストコンピュータを接続する比較的安全な方法を提供する。非信頼性外部ネットワークを経て許可されたユーザ間に平易テキストメッセージ/パケットのための安全なポイント対ポイント「トンネル」を生成するために、通常、暗号化及び他のセキュリティメカニズムが使用される。通常、「平易テキスト」パケットは暗号化されて、外側パケットへ挿入される。内側「平易テキスト」パケットは、その後、非信頼性外部IPネットワークを経て1つのVPNゲートウェイから別のVPNゲートウェイへ「トンネル」(転送)され、そこで、外側パケットが暗号解読されると共に、内側「平易テキスト」パケットが内部ネットワーク上の行先に向かって転送される。他のパケットは、「平易テキスト」パケットが外部の非信頼性ネットワークを経て1つのノードから別のノードへトンネルされるときにこのパケットに対する保護シェル又はカプセルとして働く。
【0003】
通常、VPNのゲートウェイは、内部ネットワーク上のIPトラフィックに対するルーターとしても動作する。例えば、信頼性内部ネットワーク上のノードから「平易テキスト」パケットを受け取ると、VPNゲートウェイは、セレクタリスト内の行先をルックアップして、パケットがローカルにアタッチされた内部ネットワーク以外の行先に向けられたかどうか、そしてその行先へトンネルするために暗号化すべきかどうかを調べる。もしそうであれば、VPNゲートウェイは、「平易テキスト」パケットを、外部非信頼性ネットワークを経て行先に関連した特定のVPNゲートウェイピアへ安全にトンネルさせる。特定のVPNゲートウェイピアは、このトンネルされるパケットの行先がそれ自身のセレクタリストにあるかどうか決定する。もしそうであれば、暗号化されたパケットを解読して、そのローカルにアタッチされた内部ネットワーク上のノードへ転送する。更に、「平易テキスト」パケットの行先がセレクタリスト上になく、ルーティングテーブルのエントリーにある場合には、VPNゲートウェイは、暗号化されていない平易テキストパケットを行先へ転送することになる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
益々多くのゲートウェイがVPNに追加されるにつれて、全てのゲートウェイがVPN内の他の各々のゲートウェイに気付くようなメッシュトポロジーを開発することができる。又、VPN内の各ゲートウェイ間にトンネルを確立することができる。しかしながら、各トンネルには、各ゲートウェイに保持されたリスト内のセレクタを関連させることができるので、新たなゲートウェイがVPNに追加されたときには、アドミニストレータが各ゲートウェイにおいてこのリストを更新しなければならない。従って、VPN内のゲートウェイの数が増加するにつれて、各ゲートウェイのセレクタの各リストを更新するのに必要な努力が負担になり得る。
【0005】
ルーターやファイアウオールのようなあるゲートウェイは、インターフェイスの「ホットスワップ」追加(又は除去)を許すハードウェアプラットホームを有する。通常、このようなゲートウェイは、NokiaのIPSOオペレーティングシステムのようなオペレーティングシステムを使用して、新たなインターフェイスの挿入を自動的に発見し、新たなインターフェイスをアドミニストレータに提示する。この形式のゲートウェイは、挿入/提示プロセス中に通常に動作を続けることができる。又、アドミニストレータは、ゲートウェイに追加される「ホットスワップ」インターフェイスに対するルール又はルーティングコンフィギュレーション情報を、時々、与えることができる。
【発明を実施するための最良の形態】
【0006】
添付図面を参照して本発明の実施形態を詳細に説明するが、本発明は、これに限定されず、又、これに尽きるものでもない。添付図面において、特に指示のない限り、図面全体にわたり同じ部分を同じ参照番号で示す。
本発明を良く理解するために、添付図面を参照して述べられた詳細な説明を参照されたい。
【0007】
本発明は、本発明が実施される特定の実施形態を例示した添付図面を参照して、以下に詳細に説明する。しかしながら、本発明は、多数の異なる形態で実施でき、ここに述べる実施形態に限定されるものではなく、むしろ、これらの実施形態は、この開示を完全なものとするように設けられたもので、本発明の範囲を当業者に完全に伝えるものである。とりわけ、本発明は、方法又は装置として実施することができる。従って、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェア及びハードウェアの態様を結合した実施形態の形をとることができる。それ故、以下の詳細な説明は、何らこれに限定されるものではない。
【0008】
簡単に述べると、本発明は、地理的に分布したゲートウェイのグループを単一のメタホップ(MetaHop)として管理するシステム、装置及び方法に向けられる。メタホップは、単一のエンティティとして統治され、管理され及び監視される。メタホップに新たなゲートウェイが追加される場合には、その新たなゲートウェイに対する比較的基本的な情報を指示するアドミニストレータにより内部ネットワークを経てメンバーシップ証明書(credential)でゲートウェイをプロビジョニングすることができる。比較的基本的な情報でプロビジョニングされると、新たなゲートウェイを比較的遠隔のサイトへ運搬し、そこで、外部ネットワークを経てメタホップへのエントリーポイントを自動的に求めることができる。外部ネットワーク上のエントリーポイント(1つ又は複数)へ接続した後に、ネットワークゲートウェイは、他の情報をダウンロードすると共に、メタホップに自動的に加入する。一実施形態では、その加入したゲートウェイは、メタホップゲートウェイ間のトンネルを経てトラフィックを転送するように自動的にイネーブルされる。別の実施形態では、メタホップに加入した新たなゲートウェイは、アドミニストレータがトラフィック転送のためにそれをイネーブルするまで、トラフィックを転送することがディスエイブルされる。更に、メタホップにおける2つのゲートウェイ間のトンネルが利用不能になった場合には、別の一時的なトンネル経路がゲートウェイ間に自動的に再構成される。一実施形態では、この再構成された一時的トンネル経路は、メタホップに少なくとも1つの中間ゲートウェイを含んでもよい。
【0009】
新たなゲートウェイをメタホップに追加すべき場合には、「この新たなゲートウェイがメタホップの一部分であり、新たなゲートウェイがメタホップに加入するための証明書がある(どんな形態でもよい)」ことを指示するアドミニストレータにより独特な識別子及びサイトのような比較的基本的な情報でゲートウェイをプロビジョニングすることができる。この比較的基本的な情報でプロビジョニングされると、新たなゲートウェイを比較的遠隔のサイトへ運搬し、そこで、メタホップへのエントリーポイントを自動的に求めることができる。エントリーポイント(1つ又は複数)へ接続した後に、新たなゲートウェイは、メタホップに加入するのに使用される他の情報で自動的にプロビジョニングされる。新たなゲートウェイは、それが存在することを他のゲートウェイに知らしめ、そしてメタホップのメンバーシップであることに少なくとも一部分基づいて、各ゲートウェイは、新たなゲートウェイへ及び新たなゲートウェイからトラフィックをトンネルすべきかどうか知る。
【0010】
メタホップの個々のゲートウェイは、メタホップの非信頼性部分を経て他のゲートウェイへの暗号化トンネルを確立するために、外部を向いたインターフェイス情報、例えば、IPアドレス、PPPoE証明書及び/又はDNSサーバー、等を有することができる。しかしながら、この外部を向いたインターフェイス情報の自動的ポリシー管理により、メタホップのゲートウェイは、アドミニストレータが地理的に分布したノードを単一のエンティティとみなすことができるようにする。
【0011】
管理コンソール
オペレーションにおいて、ゲートウェイに対する「内部を向いた」メタホップインターフェイス(1つ又は複数)は、ルーター/ファイアウオールに対する「ホットスワップ」インターフェイスと若干類似しているが、異なるものである。例えば、新たなゲートウェイがメタホップに加入するときに、この事象は、管理コンソールにおいて、新たに加入したゲートウェイの「内部を向いた」インターフェイスが、メタホップに対するダイナミックに追加されるインターフェイスであるかのように、処理され得る。メタホップ管理コンソールは、メタホップが多数のインターフェイスを伴う単一のルーターであるかのように、アドミニストレータが各々の遠隔配置のゲートウェイの内部を向いたインターフェイス(1つ又は複数)を構成するための一次ダッシュボードを与えることができる。メタホップに対する管理コンソールは、多数の他のファシリティを含むことができる。一実施形態では、メタホップにおけるネットワーク装置の配備及びメンバーシップを管理するためのファシリティを設けることができる。又、メタホップに加入するネットワーク装置を監視するための別のファシリティを設けることもできる。又、コンソールは、メタホップを通る(「平易テキスト」パケット)の転送アプリケーションを管理するためのファシリティを含むことができる。
【0012】
更に、メタホップは、ゲートウェイの外部を向いたインターフェイス上の暗号化されたパケットの転送(トンネリング)を自動的に取り扱うことができるので、管理コンソールは、通常、内部ネットワークのための内部を向いたインターフェイスに関する情報を強調し且つゲートウェイの外部を向いたインターフェイスに関連した情報を非強調化し又は隠すダッシュボードをアドミニストレータに与える。外部を向いたインターフェイスの情報を非強調化することは、メタホップを単一エンティティとして見ることができるという認識をアドミニストレータに更に与える上で役立つ。又、ゲートウェイの外部を向いたインターフェイスを自動的に配列することは、暗号化されたパケットトラフィックをゲートウェイ間にポイント対ポイントでルーティング(トンネル)するのに用いられるセレクタリストをゲートウェイそれ自体が作成できるようにする。メタホップは、加入するゲートウェイが、アドミニストレータの援助なしに、それらの配列及びメンバーシップの変化に応答してそれら自体を自動的に再構成できるようにする。
【0013】
例えば、ゲートウェイAとゲートウェイMとの間のトンネルがフェイルしたが、これら両方のゲートウェイがゲートウェイRと依然通信できる場合には、ゲートウェイA及びMは、ゲートウェイRとの共通の接続を自動的に発見し、そしてゲートウェイRによりゲートウェイAとMとの間の別のトンネルルートを形成する。トンネルルートのこの再構成は、自動的に行われるので、アドミニストレータは、ネットワーク内の全てのノードを再構成する必要がない。むしろ、ゲートウェイそれ自身が、暗号化されたトラフィックを転送するための最良の経路を自動的に発見し、それに応じて互いに更新する。
【0014】
更に、管理コンソールのための監視ファシリティは、アドミニストレータがメタホップへの任意の接続ポイントからトンネル再構成アクティビティを監視できるように構成することができる。又、管理コンソールのためのダッシュボードも、トンネルの切断や、ゲートウェイ間の一時的な別のトンネル経路の生成のようなこの再構成アクティビティの視覚化を与えるように構成することができる。この自動的なトンネル再構成は、最初に構成されたトンネルがアップであるかどうかに関わらず、且つ最初に構成されたトンネルが利用できない場合にアドミニストレータがゲートウェイ間のトンネルを手動で再構成するのを必要とせずに、暗号化(トンネル化)トラフィックをメタホップゲートウェイ間に通流できるようにする。
【0015】
「メタホップハート(MetaHop Heart)」サーバーは、通常、ゲートウェイメンバーシップ及びトンネル再構成の自動的管理を可能にすると共に、アプリケーションプロキシーのためのアドレスをサポートするために設けられる。メタホップハートサーバーは、多数のメタホップと共に動作し、管理コンソールのオペレーションをサポートするファシリティを与えることができる。更に、メタホップハートサーバーは、メタホップに関連した実質的な各事象の監視を容易にすることができる。又、メタホップハートサーバーは、メタホップに関連した各事象を実質的にログするレポジトリーに対するサポートを与えることもできる。このレポジトリーは、集中化してもよいし、メタホップにわたり分布させてもよい。更に、ログされた事象は、メタホップにわたりパケットを転送するオペレーション上の問題を討論的に解決するのに使用できる。
【0016】
IPSec
メタホップは、「プラミングエレメント(plumbing element)」(ゲートウェイ間のトンネル、新たなゲートウェイのプロビジョニング、等)を、アドミニストレータがこれを見たくなるまで、アドミニストレータに対して比較的透過的に又は見えないように保持する。又、メタホップでは、ゲートウェイは、それら自身の内部ネットワークを有するリモートサイトへのインターフェイスとして抽象的に見ることができる。メタホップは、IPSec又はダイナミックVPNを経てルーティングするエンハンス型バージョンであって、安全ネットワークが、ゲートウェイ間に使用できるトンネルの変化を自動的に発見し、調整しそしてダイナミックな仕方で(ルーティングプロトコルだけでなく)スケーリングするようなバージョンを可能にする。
【0017】
更に、メタホップは、ルーティングエンジン及びIPセキュリティ(IPSec)エンジンをゲートウェイにおいて一緒に一体化できるようにする。例えば、ゲートウェイがその内部ネットワークからルーティング更新を得る場合には、更新をその内部ルーティングテーブルに追加すると共に、この新たなルートを含むようセレクタリストを調整することをそのIPSecエンジンに通知する。同様に、ゲートウェイのIPSecエンジンは、メタホップ内の他のメンバー/ゲートウェイに、これから保護する新たなサブネットを通知する。他のゲートウェイでは、それらのルーティングデーモン(daemon)が、ルーティングテーブルへの新たな変化をそれらの内部ネットワークに知らせる。通常、他のゲートウェイのためのIPSecエンジンは、ルーティングプロトコルがこの変化を知らせるときまでにそれらのセレクタリストを既に更新している。
【0018】
マルチキャストルーティング
マルチキャストIPトラフィックは、「1対多」のトラフィック(1つのソースと多数の行先)であり、一方、典型的なIPトラフィック(クライアント/サーバー)は、「1対1」のトラフィック、即ち1つのソース及び1つの行先である。例えば、サイトA(例えば、ストリームストックが多数のクライアントを引用するサイト)におけるマルチキャスティングデータソースは、このデータを受け取ることを希望するサイトB、C及びDに個別のクライアントを有することができる。過去において、マルチキャストIPトラフィックは、VPNが管理するのに困難なものである。更に、IPSecセレクタは、「1対多」のIPトラフィックを保護するように最初から構成されていない。しかしながら、メタホップは、パケットをクローン生成しそしてそれらを適宜にトンネル化することにより、マルチキャストIPトラフィックに対するマルチキャストルーターとして動作するように構成することができる。
【0019】
メタホップは、マルチキャストトラフィックに対するマルチキャストルーターのように動作することができ、メタホップにおける各ゲートウェイは、マルチキャストルーターの個別インターフェイスとして働く。例えば、マルチキャスト問合せが、いずれかのサイトから、メタホップのインターフェイス(ゲートウェイ)の1つを経て受け取られた場合には、ゲートウェイは、ローカルマルチキャストルーティングツリーを更新し、そしてマルチキャストルーターと実質的に同様に、その要求を1つおきのインターフェイス(メタホップのゲートウェイ)を経て伝播することができる。このように、暗号化された「ホップ」は、トンネルが中間にあることを明確に指示せずに、マルチキャストツリーに一体化することができる。この構成は、マルチキャストトラフィックをいかに取り扱うかの詳細を簡単化すると共に、既存のプロトコルと機能するためのメタホップの能力を容易にする。
【0020】
ゲートウェイプロビジョニング
マルチキャストベースのプロトコルは、内部ネットワークに接続された新たなゲートウェイにより使用されて、そのシリアル番号のような独特な識別子に基づきそれ自体を知らせることができる。ローカルネットワーク上のマルチキャストに応答して、メンバーシップファシリティは、エントリーポイントIPアドレス、メンバーシップ証明書、スタティック情報(内部IPアドレス等)のようなメタホップ情報、並びにメタホップに加入するときにパケットの自動的な転送をイネーブル/ディスエイブルするようなコンフィギュレーション情報を新たなゲートウェイにダウンロードすることができる。これを行うときに、メンバーシップファシリティは、新たなゲートウェイへのメタホップメンバーシップ情報を得る際にレイヤ3情報(又はシリアルライン接続)の使用を除去する。更に、マルチキャストプロトコル及び独特の識別情報を使用すると、アドミニストレータは、メタホップのメンバーシップを、共通のIPアドレスに基づかない新たなゲートウェイに割り当てることができる。
【0021】
一実施形態では、アドミニストレータは、各ゲートウェイ及び各ゲートウェイが属する特定のサイトに対応するシリアル番号のリストをポリシーマネージャーファシリティーに与えることにより、比較的大きな新たなメタホップにおいて各ゲートウェイを個々にプロビジョニングすることができる。このリストに基づいて、ポリシーマネージメントファシリティーは、特定のゲートウェイがローカルネットワークにいつ接続されたかを決定し、そして特定のサイトに関連したプロビジョニング情報を自動的にダウンロードすることができる。ポリシーマネージャーファシリティーは、新たなゲートウェイの1つに常駐することもできるし、又は新たなメタホップに対して管理コンソールのオペレーションを可能にするメタホップハートサーバーにおいて動作することもできる。
【0022】
別の実施形態では、アドミニストレータは、ネットワーク上の特定サイトに対応するシリアル番号リストを生成することにより、既存の比較的大きなメタホップに対する新たなゲートウェイを構成することができる。アドミニストレータは、「これらボックスにおける新たなゲートウェイをアンパックし、それらをネットワークに接続し、ゲートウェイ上のある指示が、ゲートウェイがその証明書を受け取ったことをあなたに知らせるときに、それらをターンオンし、それをアンプラグし、それをボックスに戻し、そしてそれを、そのシリアル番号に対応する特定のサイトへ運搬する」ための指令と共に他の誰かにプロビジョニングを手渡すことができる。対応するサイトにおいて、新たなゲートウェイを再びパワーオンして、インターネットのような外部ネットワークに接続することができ、そこで、メタホップの少なくとも1つのエントリーポイントにアクセスしてそれに加入することができる。ゲートウェイは、トラフィックのルーティングを自動的に開始するようイネーブルされるか、又はアドミニストレータが管理コンソールにおいてこの特徴をイネーブルするのを待機することができる。
【0023】
別の実施形態では、アドミニストレータは、各ゲートウェイ及び各ゲートウェイが属する特定のサイトに対応するシリアル番号のリストをポリシーマネージャーファシリティーに与えることにより、比較的小さな新たなメタホップ(ノード数10未満)において各ゲートウェイを個々にプロビジョニングすることができる。第1ゲートウェイをパワーアップし、そしてメタホップの生成を開始するに充分な管理証明書を含むように管理コンソールを介して構成することができる。その後、この第1の「パワーアップ」されたゲートウェイは、他のゲートウェイがパワーアップしそしてメタホップに加入するときにそれらゲートウェイの証明書及びメンバーシップを管理するために、それ自身の証明当局(Certificate Authority)を使用することができる。又、この場合に、第1ゲートウェイは、本明細書のどこかに述べるように、他のゲートウェイをプロビジョニングするためのメタホップハートサーバーとして動作することもできる。個別のオペレーティングシステムで実行される個別の管理コンソールのオペレーションを容易にするのではなく、第1ゲートウェイは、第1ゲートウェイのローカルオペレーティングシステムで実行されるコマンドラインインターフェイス(CLI)、ブラウザ接続、等を介してコンソールと実質的に同じオペレーション能力を発揮することができる。
【0024】
ファイアウオール
バーチャルファイアウオールは、メタホップの最上部で実行することができる。メタホップは、大きな分布型ルーターとして実質的に動作できるので、ゲートウェイごとに別々に構成されたファイアウオールではなく、その最上部で実行されるバーチャルファイアウオールとして構成することもできる。一実施形態では、インターフェイス特有のファイアウオールルールリストを、特定サイトに対して構成することができる。これらインターフェイス特有のファイアウオールルールリストは、バーチャルファイアウオールのためのルールリストの前又は後にチェックすることができる。ファイアウオールの個別のインスタンスは、各ゲートウェイで実行できるが、アドミニストレータは、各サイトにおいて各ゲートウェイに自動的に適用されるバーチャルファイアウオールのための1つのファイアウオールルールリストを管理することができる。
【0025】
例示的オペレーション環境
図1は、本発明を作用させることのできる環境の一実施形態を示す。しかしながら、本発明を実施するのに、これらコンポーネントの全部が必要とされるのではなく、これらコンポーネントの配列及び形式の変更が、本発明の精神又は範囲から逸脱せずになされ得る。
【0026】
図示されたように、システム100は、ゲートウェイ102A−102Eを備え、これらゲートウェイは、メッシュトポロジーにおいて外部ネットワークを経てトンネルを通って互いに接続されて、メタホップ104を形成する。ローカルエリアネットワーク(LAN)112、114及び116、サーバー120、並びにクライアント118A及び118Bは、メタホップ104の外側に配置され、そしてゲートウェイ102E、102B、102C、102D及び102Aと各々通信する。更に、メタホップハートサーバー106は、個別のトンネルにより、メタホップ104のゲートウェイ(102A−102E)の各々と通信する。又、メタホップハートサーバー106は、トンネルを経て、別のメタホップ110に配置されたゲートウェイ(図示せず)と通信する。更に、クライアント118Bは、メタホップの外側に配置され、メタホップハートサーバー106と実質的に直接通信する。
【0027】
メタホップハートサーバー106は、管理コンソール108と通信し、そのオペレーションを容易にする。管理コンソール108は、メタホップ104及び110を単一エンティティとして視覚的に提示すると共に、LAN112−116のような内部ネットワークに関連した内部を向いたインターフェイスに関する情報を表示するためにダッシュボード(図示せず)を備えることができる。
【0028】
一般的に、ゲートウェイ102A−102Eは、実質上、ルーター、ファイアウオール等を含むネットワークを経て情報を送受信するために別のコンピューティング装置に接続できるコンピューティング装置を含むことができる。更に、サーバー120並びにクライアント118A及び118Bのための装置の形式も、実質上、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースの又はプログラム可能な消費者向け電子装置、ネットワークPC、等のワイヤード又はワイヤレス通信媒体を使用して、ネットワークを経て通信できるコンピューティング装置を含むことができる。
【0029】
メタホップ104及び110は、ある形態のコンピュータ読み取り可能な媒体を使用して、ある電子装置から、オープンシステムズインターコネクション(OSI)モデルのもとでレイヤ3通信を行うことのできる別の電子装置へ情報を通信するように構成される。又、メタホップは、ローカルエリアネットワーク(LAN)や、ワイドエリアネットワーク(WAN)や、ユニバーサルシリアルバス(USB)ポート等による直接接続や、他の形式のコンピュータ読み取り可能な媒体や、或いはその組み合せに加えて、インターネットを含むことができる。異なるアーキテクチャー及びプロトコルに基づくものを含むLANの相互接続セットにおいて、ルーターは、LAN間のリンクとして働き、メッセージを互いに送信できるようにする。又、LAN内の通信リンクは、通常、ねじれワイヤ対又は同軸ケーブルを含み、一方、ネットワーク間の通信リンクは、アナログ電話回線、T1、T2、T3及びT4を含む全又は部分専用デジタルライン、サービス総合デジタル網(ISDN)、デジタル加入者ライン(DSL)、衛星リンクを含むワイヤレスリンク、或いは当業者に知られた他の通信リンクを使用することができる。
【0030】
更に、メタホップ104及び110は、通常、コンピュータ読み取り可能なインストラクション、データ構造、プログラムモジュール、又は搬送波のような変調データ信号における他のデータ、データ信号或いは他の搬送メカニズムを具現化する通信媒体を含むと共に、情報配送媒体を含むことができる。「変調データ信号」及び「搬送波信号」という語は、信号における情報、インストラクション、データ等をエンコードするように設定又は変化された1つ以上の特性を有する信号を含む。例えば、通信媒体は、オープンシステムズインターコネクション(OSI)モデルのもとでレイヤ3通信を行うことのできるワイヤード媒体、例えば、これに限定されないが、ねじれ対、同軸ケーブル、光ファイバ、導波器、及び他のワイヤード媒体と、ワイヤレス媒体、例えば、これに限定されないが、音響、RF、赤外線、及び他のワイヤレス媒体とを含む。
【0031】
図2は、メタホップに接続された許可されたユーザによる内部ネットワーク上の個々のリソースへの管理されたアクセスを可能にするシステムの概略200を示す。図示されたように、メタホップハートサーバー216は、メタホップ202及びメタホップ204と通信する。メタホップハートサーバー216は、管理コンソール218、アプリケーションプロキシー220、及びバーチャルプライベートネットワーク(VPN)アプリケーション206を含む(これに限定されないが)多数のファシリティを備え、又、VPNアプリケーション206は、アプリケーションプロキシー222も備えている。VPNアプリケーション206は、ファイアウオール208を経て内部ネットワーク(LAN210)及び“n”個のリソース(212及び214)に結合される。VPN206は、リソース212及び214の各々へのトンネル通信チャンネルを与える。又、アプリケーションプロキシー220及び222は、要求に応答してリソースのためのIPアドレスを与えることができる。
【0032】
メタホップ202は、“n”個のリソース(232及び234)に結合される内部を向いたネットワーク(LAN230)に接続される。クライアント224A、224B及び224Cは、メタホップハートサーバー216、メタホップ202及びメタホップ204に各々接続される。更に、メタホップ204は、セルラー電話、ページャー、ワイヤレスノートブックコンピュータ、ワイヤレスパーソナルデジタルアシスタント(PDA)、ワイヤレスパーソナルコンピュータ、等の移動ノードのグループでよい。又、ゲートウェイ206は、少なくとも1つのアプリケーションプロキシー222も含むことができる。
【0033】
例示的メタホップハート環境
図3は、本発明の一実施形態に基づいてメタホップハートサーバーのオペレーションを可能にするネットワーク装置の一実施形態を示す。ネットワーク装置300は、図示された以上の多数のコンポーネントを含んでもよい。しかしながら、図示されたコンポーネントは、本発明を実施するための実施形態を開示するのに充分である。
【0034】
ネットワーク装置300は、処理ユニット312、ビデオディスプレイアダプタ314、及び大量メモリを備え、これらは全てバス322を経て互いに通信する。大量メモリは、一般に、RAM316、ROM332、及び1つ以上の永久大量記憶装置、例えば、ハードディスクドライブ328、テープドライブ、光学的ドライブ、及び/又はフロッピー(登録商標)ディスクドライブを備えている。大量メモリは、ネットワーク装置300のオペレーションを制御するためのオペレーティングシステム320を記憶する。いかなる汎用オペレーティングシステムが使用されてもよい。又、ネットワーク装置300の低レベルオペレーションを制御するために基本的入力/出力システム(BIOS)318も設けられている。又、図3に示すように、ネットワーク装置300は、RIP、OSPF、SNMP、HTTP、UDP/IP、及びTCP/IPプロトコルを含む種々の通信プロトコルに使用するように構成されたネットワークインターフェイスユニット310を経て、インターネット又は他の通信ネットワークと通信することができる。例えば、一実施形態では、ネットワークインターフェイスユニット310は、TCP及びIPの両マルチキャストを使用するハイブリッド通信機構を用いてもよい。ネットワークインターフェイスユニット310は、時には、トランシーバ、ネットワークインターフェイスカード(NIC)、等としても知られている。
【0035】
上述した大量メモリは、別の形式のコンピュータ読み取り可能な媒体、即ちコンピュータ記憶媒体を示している。コンピュータ記憶媒体は、コンピュータ読み取り可能なインストラクション、データ構造、プログラムモジュール、又は他のデータのような情報を記憶するための方法又は技術で実施される揮発性、不揮発性、取り外し可能、及び取り外し不能の媒体を含むことができる。コンピュータ記憶媒体は、例えば、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、デジタル多様性ディスク(DVD)又は他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、或いは希望の情報を記憶するのに使用できると共にコンピューティング装置によりアクセスできる他の媒体を含む。
【0036】
又、大量メモリは、プログラムコード及びデータも記憶する。1つ以上のアプリケーション350が大量メモリにロードされ、オペレーティングシステム320で実行される。アプリケーションプログラムは、例えば、トランスコーダ、スケジューラ、グラフィックプログラム、データベースプログラム、ワードプロセスプログラム、HTTPプログラム、ユーザインターフェイスプログラム、種々のセキュリティプログラム、等々を含むことができる。大量記憶装置は、更に、メタホップハートサーバー360、管理コンソール362、及びアプリケーションプロキシー364を含むことができる。
【0037】
メタホップハートサーバー360、管理コンソール362及びアプリケーションプロキシー364の実施形態は、図1及び2を参照して詳細に説明する。又、これらのアプリケーションは、ネットワーク装置、別のネットワーク装置、ゲートウェイ等に常駐する他のコンポーネントと対話することもできる。他のコンポーネントは、クライアントアプリケーション、セキュリティアプリケーション、トランスポートアプリケーション、等を含むことができる。
【0038】
又、ネットワーク装置300は、eメールを送受信するためのSMTPハンドラーアプリケーション、HTTP要求を受け取って処理するためのHTTPハンドラーアプリケーション、及び安全接続を取り扱うためのHTTPSハンドラーアプリケーションを含むことができる。HTTPSハンドラーアプリケーションは、安全な形態で外部アプリケーションとの通信を開始することができる。更に、ネットワーク装置300は、TLS、TTLS、EAP、SSL、IPSec、等を含む(これに限定されないが)安全接続を実質上サポートするアプリケーションを含むことができる。
【0039】
又、ネットワーク装置300は、外部装置と通信するための入力/出力インターフェイス324、例えば、マウス、キーボード、スキャナ、又は図3に示されていない他の入力装置を含むことができる。同様に、ネットワーク装置300は、更に、付加的な大量記憶ファシリティ、例えば、CD−ROM/DVD−ROMドライブ326、及びハードディスクドライブ328を含むことができる。ハードディスクドライブ328は、とりわけ、アプリケーションプログラムや、データベースや、クライアント装置情報や、ポリシーや、証明書、暗号、パスワード等(これに限定されないが)を含むセキュリティ情報を記憶するのに使用できる。
【0040】
例示的ゲートウェイ環境
図4は、本発明の一実施形態に基づきゲートウェイのオペレーションを可能にするネットワーク装置の一実施形態を示す。ゲートウェイ400は、図示された以上の多数のコンポーネントを含んでもよい。しかしながら、図示されたコンポーネントは、本発明を実施するための実施形態を開示するのに充分である。
【0041】
ネットワーク装置400は、処理ユニット412、ビデオディスプレイアダプタ414、及び大量メモリを備え、これらは全てバス422を経て互いに通信する。大量メモリは、一般に、RAM416、ROM432、及び1つ以上の永久大量記憶装置、例えば、ハードディスクドライブ428、テープドライブ、光学的ドライブ、及び/又はフロッピー(登録商標)ディスクドライブを備えている。大量メモリは、ゲートウェイ400のオペレーションを制御するためのオペレーティングシステム420を記憶する。いかなる汎用オペレーティングシステムが使用されてもよい。又、ゲートウェイ400の低レベルオペレーションを制御するために基本的入力/出力システム(BIOS)418も設けられている。又、図4に示すように、ゲートウェイ400は、RIP、OSPF、SNMP、HTTP、UDP/IP、及びTCP/IPプロトコルを含む種々の通信プロトコルに使用するように構成されたネットワークインターフェイスユニット410を経て、インターネット又は他の通信ネットワークと通信することができる。例えば、一実施形態では、ネットワークインターフェイスユニット410は、TCP及びIPの両マルチキャストを使用するハイブリッド通信機構を用いてもよい。ネットワークインターフェイスユニット410は、時には、トランシーバ、ネットワークインターフェイスカード(NIC)、等としても知られている。
【0042】
1つ以上のアプリケーション450が大量メモリにロードされ、オペレーティングシステム420で実行される。アプリケーションプログラムは、例えば、トランスコーダ、スケジューラ、グラフィックプログラム、データベースプログラム、ワードプロセスプログラム、HTTPプログラム、ユーザインターフェイスプログラム、種々のセキュリティプログラム、等々を含むことができる。大量記憶装置は、更に、ルーティングアプリケーション460、IPSecアプリケーション462、ファイアウオール464、及びマルチキャストアプリケーション466のようなアプリケーションを含むことができる。又、これらのアプリケーションは、ネットワーク装置に常駐する他のコンポーネント、別のネットワーク装置、ゲートウェイ等と対話することもできる。
【0043】
又、ゲートウェイ400は、eメールを送受信するためのSMTPハンドラーアプリケーション、HTTP要求を受け取って処理するためのHTTPハンドラーアプリケーション、及び安全接続を取り扱うためのHTTPSハンドラーアプリケーションを含むことができる。HTTPSハンドラーアプリケーションは、安全な形態で外部アプリケーションとの通信を開始することができる。更に、ゲートウェイ400は、TLS、TTLS、EAP、SSL、IPSec、等を含む(これに限定されないが)安全接続を実質上サポートするアプリケーションを含むことができる。
【0044】
又、ゲートウェイ400は、外部装置と通信するための入力/出力インターフェイス424、例えば、マウス、キーボード、スキャナ、又は図4に示されていない他の入力装置を含むことができる。同様に、ゲートウェイ400は、更に、付加的な大量記憶ファシリティ、例えば、CD−ROM/DVD−ROMドライブ426、及びハードディスクドライブ428を含むことができる。ハードディスクドライブ428は、とりわけ、アプリケーションプログラムや、データベースや、クライアント装置情報や、ポリシーや、証明書、暗号、パスワード等(これに限定されないが)を含むセキュリティ情報を記憶するのに使用できる。
【0045】
例示的フローチャート
図5は、メタホップの多数の外部を向いたインターフェイスを自動的に取り扱って、アドミニストレータがそれを行う時間を費やす必要がないようにするプロセス500の概略を示すフローチャートである。開始ブロックの後に、プロセスはブロック502へ進み、メタホップにおける各ゲートウェイのメンバーシップが自動的に管理される。簡単に述べると、アドミニストレータにより与えられる比較的基本的な情報、例えば、メタホップにアタッチされる新たなゲートウェイのサイト及び独特の識別子(通常、シリアル番号等)を使用して、新たなゲートウェイを自動的に配備すると共に、メタホップにおける各ゲートウェイ間のトンネルを動的に管理する。
【0046】
プロセスは、ブロック504へ進み、ここで、メタホップにおける各ゲートウェイ間の各トンネルの構成が自動的に管理される。例えば、2つのゲートウェイ間の特定のトンネルが使用不能になった場合には、メタホップが2つのゲートウェイ間に別の一時的なトンネル経路を自動的に再構成する。メタホップは、この一時的なトンネル経路をアドミニストレータに知らせることができるが、この再構成は、アドミニストレータの側に相対的に努力を伴わずに自動的に行われる。
【0047】
プロセスは、ブロック506へ進み、ここで、メタホップにおけるネットワーク装置は、単一のエンティティへと自動的に抽象化され、これを監視のためにアドミニストレータへプレゼンテーションすることができる。更に、メタホップに新たなゲートウェイを配備し、メタホップを分布された単一エンティティとして特徴付け、等々に使用できる情報を与えるために、アドミニストレータにより管理コンソールを使用することができる。
【0048】
ブロック508へ進むと、プロセスは、アドミニストレータへの内部を向いたインターフェイスに関する監視情報の提示を自動的に可能にする。一実施形態では、ダッシュボードアプリケーションを使用して、内部ネットワークに対するメタホップの内部を向いたインターフェイスの視覚化を、IPアドレス、ポート、状態及び形式のような情報と共に表示することができる。又、ダッシュボードアプリケーションは、メタホップの外部ネットワークに対する外部を向いたインターフェイスを単一エンティティとして表示するように構成でき、ここで、例えば、ノード、サイト及びゲートウェイのような付加的な情報を二次ディスプレイにおいてプレゼンテーションすることができる。ブロック508から、プロセスは、他のアクションを実行するように復帰する。
【0049】
図6は、メタホップに対する新たなゲートウェイを配備するためのフローチャート600を示す。開始ブロックからブロック602へ進むと、プロセスは、新たなゲートウェイをメタホップのメンバーとして動作できるサイトと、ゲートウェイのシリアル番号等の独特の識別子とを与える。一実施形態では、メタホップハートサーバーにより促進される管理コンソールにおいてアドミニストレータにより独特の識別子及びサイトが与えられる。
【0050】
ブロック604において、新たなゲートウェイが内部ローカルエリアネットワークに接続され、ここで、メタホップ情報をマルチキャストする。ブロック606へ進むと、新たなゲートウェイは、マルチキャストを経て、メタホップ情報を受け取り、この情報は、エントリーポイントIPアドレス、メタホップメンバーシップ証明書、内部IPアドレスのようなスタティック情報、メタホップに最初に加入するときにパケットの自動的転送をイネーブル/ディスエイブルするようなコンフィギュレーション情報を含むが、これに限定されない。
【0051】
ブロック608において、新たなゲートウェイが外部ネットワークに結合されて、エントリーポイントIPアドレスへユニキャストし、ここで、メタホップに加入するために使用されたメタホップ情報の残りをダウンロードする。この残りの情報は、ゲートウェイ間の一時的トンネル経路の再構成に関するダイナミックメタホップ情報を含むことができる。
【0052】
プロセスは、ブロック610へ進み、ここで、内部ネットワーク及び外部ネットワークからダウンロードしたメタホップ情報に基づいてメタホップに加入する。プロセスは、ブロック612へ進み、メタホップにおいてトンネルを経てトラフィック(パケット)を転送することができるようにされる。一実施形態では、新たなゲートウェイがトラフィックの転送を自動的に開始する。別の実施形態では、新たなゲートウェイは、トラフィックの転送を、この機能がアドミニストレータにより確認されるまで待機する。次いで、プロセスは、他のアクションを遂行するように復帰する。
【0053】
図7は、メタホップにおいてトンネルの自動的再構成を可能にするためのフローチャート700である。開始ブロックから、プロセスは、判断ブロック702へ進み、ここで、メタホップにおけるゲートウェイ間のトンネルが使用不能になったかどうかの決定がなされる。もしそうであれば、プロセスは、ブロック704へ進み、ここで、メタホップは、オリジナルのトンネルに対する一時的トンネル経路を自動的に決定する。あるケースでは、この一時的トンネル経路は、2つのゲートウェイ間の使用不能となったオリジナルトンネルに実質的に置き換わるように、中間ゲートウェイ間の複数のトンネルを使用してもよい。
【0054】
ブロック706へ進むと、プロセスは、メタホップにおける各ゲートウェイを一時的なトンネル経路で自動的に更新する。又、オリジナルトンネルが再び使用可能になると、メタホップは、各ゲートウェイを再びオリジナルトンネルで自動的に更新する。次いで、プロセスは、他のアクションを実行するように復帰する。
【0055】
図8Aは、内部ネットワークのようなメタホップの内部を向いたインターフェイスに関する情報の表示を与える例示的ダッシュボード800のブロック図である。このダッシュボードは、IPアドレス、ポート、状態、及び形式を含む内部ネットワークに関する情報を表示しているところが示されている。又、ダッシュボードは、メタホップを単一エンティティとして表示するように構成される。別の実施形態では、メタホップに関する情報は、重大な問題が発生しない限り、全く表示されなくてもよい。図8Bは、ゲートウェイ、ノード、及びサイトのようなメタホップの外部を向いたインターフェイスに関する情報の第2表示を与える例示的ダッシュボード810のブロック図である。
【0056】
更に、上述したフローチャートの各ブロック、及び上述したフローチャートのブロックの組み合せは、コンピュータプログラムインストラクションにより実施できることを理解されたい。これらのプログラムインストラクションは、プロセッサに与えられ、プロセッサで実行されるインストラクションが、フローチャートのブロック(1つ又は複数)で指定されたアクションを実施するための手段を生成するようなマシンが形成される。コンピュータプログラムインストラクションは、プロセッサで実行することができ、プロセッサにより実行されるべき一連のオペレーションステップでコンピュータ実施プロセスを形成し、プロセッサで実行されるインストラクションが、フローチャートのブロック(1つ又は複数)で指定されたアクションを実施するためのステップをなす。
【0057】
従って、フローチャートのブロックは、指定のアクションを遂行するための手段の組み合せ、指定のアクションを遂行するためのステップの組み合せ、及び指定のアクションを遂行するためのプログラムインストラクション手段をサポートする。フローチャートの各ブロック、及びフローチャートのブロックの組み合せは、指定のアクション又はステップを遂行する特殊目的のハードウェアベースのシステム、或いは特殊目的のハードウェア及びコンピュータインストラクションの組み合せにより実施できることも理解されよう。
【0058】
上述した説明、実施例及びデータは、本発明の組成物の製造及び使用を完全に述べるものである。本発明の精神及び範囲から逸脱せずに本発明の多数の実施形態を案出できるので、本発明は、特許請求の範囲のみにより限定されるものとする。
【図面の簡単な説明】
【0059】
【図1】本発明を実施するための例示的システムを示すブロック図である。
【図2】別の例示的システムを示すブロック図である。
【図3】例示的ネットワーク装置を示す回路図である。
【図4】例示的ゲートウェイを示す回路図である。
【図5】メタホップの一般的オペレーションを自動的に管理するためのフローチャートである。
【図6】メタホップにおいて新たなゲートウェイを自動的にプロビジョニングするためのフローチャートである。
【図7】メタホップにおいてトンネルを自動的に再構成するためのフローチャートである。
【図8A】内部を向いたインターフェイスのための例示的管理コンソールダッシュボードを示す図である。
【図8B】本発明による外部を向いたインターフェイスのための例示的管理コンソールダッシュボードを示す図である。
【技術分野】
【0001】
本発明は、ネットワークを経てパケットをルーティングすることに係り、より詳細には、メタホップ情報に基づいてパケットをそれらの行先に向けてルーティングすることに係る。
【背景技術】
【0002】
バーチャルプライベートネットワーク(VPN)は、インターネットのような外部/非信頼性IPネットワークを経て安全な通信を行うことができる。VPNは、内部の信頼性ネットワーク上にある互いに離れたノード、例えば、クライアント、サーバー、及びホストコンピュータを接続する比較的安全な方法を提供する。非信頼性外部ネットワークを経て許可されたユーザ間に平易テキストメッセージ/パケットのための安全なポイント対ポイント「トンネル」を生成するために、通常、暗号化及び他のセキュリティメカニズムが使用される。通常、「平易テキスト」パケットは暗号化されて、外側パケットへ挿入される。内側「平易テキスト」パケットは、その後、非信頼性外部IPネットワークを経て1つのVPNゲートウェイから別のVPNゲートウェイへ「トンネル」(転送)され、そこで、外側パケットが暗号解読されると共に、内側「平易テキスト」パケットが内部ネットワーク上の行先に向かって転送される。他のパケットは、「平易テキスト」パケットが外部の非信頼性ネットワークを経て1つのノードから別のノードへトンネルされるときにこのパケットに対する保護シェル又はカプセルとして働く。
【0003】
通常、VPNのゲートウェイは、内部ネットワーク上のIPトラフィックに対するルーターとしても動作する。例えば、信頼性内部ネットワーク上のノードから「平易テキスト」パケットを受け取ると、VPNゲートウェイは、セレクタリスト内の行先をルックアップして、パケットがローカルにアタッチされた内部ネットワーク以外の行先に向けられたかどうか、そしてその行先へトンネルするために暗号化すべきかどうかを調べる。もしそうであれば、VPNゲートウェイは、「平易テキスト」パケットを、外部非信頼性ネットワークを経て行先に関連した特定のVPNゲートウェイピアへ安全にトンネルさせる。特定のVPNゲートウェイピアは、このトンネルされるパケットの行先がそれ自身のセレクタリストにあるかどうか決定する。もしそうであれば、暗号化されたパケットを解読して、そのローカルにアタッチされた内部ネットワーク上のノードへ転送する。更に、「平易テキスト」パケットの行先がセレクタリスト上になく、ルーティングテーブルのエントリーにある場合には、VPNゲートウェイは、暗号化されていない平易テキストパケットを行先へ転送することになる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
益々多くのゲートウェイがVPNに追加されるにつれて、全てのゲートウェイがVPN内の他の各々のゲートウェイに気付くようなメッシュトポロジーを開発することができる。又、VPN内の各ゲートウェイ間にトンネルを確立することができる。しかしながら、各トンネルには、各ゲートウェイに保持されたリスト内のセレクタを関連させることができるので、新たなゲートウェイがVPNに追加されたときには、アドミニストレータが各ゲートウェイにおいてこのリストを更新しなければならない。従って、VPN内のゲートウェイの数が増加するにつれて、各ゲートウェイのセレクタの各リストを更新するのに必要な努力が負担になり得る。
【0005】
ルーターやファイアウオールのようなあるゲートウェイは、インターフェイスの「ホットスワップ」追加(又は除去)を許すハードウェアプラットホームを有する。通常、このようなゲートウェイは、NokiaのIPSOオペレーティングシステムのようなオペレーティングシステムを使用して、新たなインターフェイスの挿入を自動的に発見し、新たなインターフェイスをアドミニストレータに提示する。この形式のゲートウェイは、挿入/提示プロセス中に通常に動作を続けることができる。又、アドミニストレータは、ゲートウェイに追加される「ホットスワップ」インターフェイスに対するルール又はルーティングコンフィギュレーション情報を、時々、与えることができる。
【発明を実施するための最良の形態】
【0006】
添付図面を参照して本発明の実施形態を詳細に説明するが、本発明は、これに限定されず、又、これに尽きるものでもない。添付図面において、特に指示のない限り、図面全体にわたり同じ部分を同じ参照番号で示す。
本発明を良く理解するために、添付図面を参照して述べられた詳細な説明を参照されたい。
【0007】
本発明は、本発明が実施される特定の実施形態を例示した添付図面を参照して、以下に詳細に説明する。しかしながら、本発明は、多数の異なる形態で実施でき、ここに述べる実施形態に限定されるものではなく、むしろ、これらの実施形態は、この開示を完全なものとするように設けられたもので、本発明の範囲を当業者に完全に伝えるものである。とりわけ、本発明は、方法又は装置として実施することができる。従って、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェア及びハードウェアの態様を結合した実施形態の形をとることができる。それ故、以下の詳細な説明は、何らこれに限定されるものではない。
【0008】
簡単に述べると、本発明は、地理的に分布したゲートウェイのグループを単一のメタホップ(MetaHop)として管理するシステム、装置及び方法に向けられる。メタホップは、単一のエンティティとして統治され、管理され及び監視される。メタホップに新たなゲートウェイが追加される場合には、その新たなゲートウェイに対する比較的基本的な情報を指示するアドミニストレータにより内部ネットワークを経てメンバーシップ証明書(credential)でゲートウェイをプロビジョニングすることができる。比較的基本的な情報でプロビジョニングされると、新たなゲートウェイを比較的遠隔のサイトへ運搬し、そこで、外部ネットワークを経てメタホップへのエントリーポイントを自動的に求めることができる。外部ネットワーク上のエントリーポイント(1つ又は複数)へ接続した後に、ネットワークゲートウェイは、他の情報をダウンロードすると共に、メタホップに自動的に加入する。一実施形態では、その加入したゲートウェイは、メタホップゲートウェイ間のトンネルを経てトラフィックを転送するように自動的にイネーブルされる。別の実施形態では、メタホップに加入した新たなゲートウェイは、アドミニストレータがトラフィック転送のためにそれをイネーブルするまで、トラフィックを転送することがディスエイブルされる。更に、メタホップにおける2つのゲートウェイ間のトンネルが利用不能になった場合には、別の一時的なトンネル経路がゲートウェイ間に自動的に再構成される。一実施形態では、この再構成された一時的トンネル経路は、メタホップに少なくとも1つの中間ゲートウェイを含んでもよい。
【0009】
新たなゲートウェイをメタホップに追加すべき場合には、「この新たなゲートウェイがメタホップの一部分であり、新たなゲートウェイがメタホップに加入するための証明書がある(どんな形態でもよい)」ことを指示するアドミニストレータにより独特な識別子及びサイトのような比較的基本的な情報でゲートウェイをプロビジョニングすることができる。この比較的基本的な情報でプロビジョニングされると、新たなゲートウェイを比較的遠隔のサイトへ運搬し、そこで、メタホップへのエントリーポイントを自動的に求めることができる。エントリーポイント(1つ又は複数)へ接続した後に、新たなゲートウェイは、メタホップに加入するのに使用される他の情報で自動的にプロビジョニングされる。新たなゲートウェイは、それが存在することを他のゲートウェイに知らしめ、そしてメタホップのメンバーシップであることに少なくとも一部分基づいて、各ゲートウェイは、新たなゲートウェイへ及び新たなゲートウェイからトラフィックをトンネルすべきかどうか知る。
【0010】
メタホップの個々のゲートウェイは、メタホップの非信頼性部分を経て他のゲートウェイへの暗号化トンネルを確立するために、外部を向いたインターフェイス情報、例えば、IPアドレス、PPPoE証明書及び/又はDNSサーバー、等を有することができる。しかしながら、この外部を向いたインターフェイス情報の自動的ポリシー管理により、メタホップのゲートウェイは、アドミニストレータが地理的に分布したノードを単一のエンティティとみなすことができるようにする。
【0011】
管理コンソール
オペレーションにおいて、ゲートウェイに対する「内部を向いた」メタホップインターフェイス(1つ又は複数)は、ルーター/ファイアウオールに対する「ホットスワップ」インターフェイスと若干類似しているが、異なるものである。例えば、新たなゲートウェイがメタホップに加入するときに、この事象は、管理コンソールにおいて、新たに加入したゲートウェイの「内部を向いた」インターフェイスが、メタホップに対するダイナミックに追加されるインターフェイスであるかのように、処理され得る。メタホップ管理コンソールは、メタホップが多数のインターフェイスを伴う単一のルーターであるかのように、アドミニストレータが各々の遠隔配置のゲートウェイの内部を向いたインターフェイス(1つ又は複数)を構成するための一次ダッシュボードを与えることができる。メタホップに対する管理コンソールは、多数の他のファシリティを含むことができる。一実施形態では、メタホップにおけるネットワーク装置の配備及びメンバーシップを管理するためのファシリティを設けることができる。又、メタホップに加入するネットワーク装置を監視するための別のファシリティを設けることもできる。又、コンソールは、メタホップを通る(「平易テキスト」パケット)の転送アプリケーションを管理するためのファシリティを含むことができる。
【0012】
更に、メタホップは、ゲートウェイの外部を向いたインターフェイス上の暗号化されたパケットの転送(トンネリング)を自動的に取り扱うことができるので、管理コンソールは、通常、内部ネットワークのための内部を向いたインターフェイスに関する情報を強調し且つゲートウェイの外部を向いたインターフェイスに関連した情報を非強調化し又は隠すダッシュボードをアドミニストレータに与える。外部を向いたインターフェイスの情報を非強調化することは、メタホップを単一エンティティとして見ることができるという認識をアドミニストレータに更に与える上で役立つ。又、ゲートウェイの外部を向いたインターフェイスを自動的に配列することは、暗号化されたパケットトラフィックをゲートウェイ間にポイント対ポイントでルーティング(トンネル)するのに用いられるセレクタリストをゲートウェイそれ自体が作成できるようにする。メタホップは、加入するゲートウェイが、アドミニストレータの援助なしに、それらの配列及びメンバーシップの変化に応答してそれら自体を自動的に再構成できるようにする。
【0013】
例えば、ゲートウェイAとゲートウェイMとの間のトンネルがフェイルしたが、これら両方のゲートウェイがゲートウェイRと依然通信できる場合には、ゲートウェイA及びMは、ゲートウェイRとの共通の接続を自動的に発見し、そしてゲートウェイRによりゲートウェイAとMとの間の別のトンネルルートを形成する。トンネルルートのこの再構成は、自動的に行われるので、アドミニストレータは、ネットワーク内の全てのノードを再構成する必要がない。むしろ、ゲートウェイそれ自身が、暗号化されたトラフィックを転送するための最良の経路を自動的に発見し、それに応じて互いに更新する。
【0014】
更に、管理コンソールのための監視ファシリティは、アドミニストレータがメタホップへの任意の接続ポイントからトンネル再構成アクティビティを監視できるように構成することができる。又、管理コンソールのためのダッシュボードも、トンネルの切断や、ゲートウェイ間の一時的な別のトンネル経路の生成のようなこの再構成アクティビティの視覚化を与えるように構成することができる。この自動的なトンネル再構成は、最初に構成されたトンネルがアップであるかどうかに関わらず、且つ最初に構成されたトンネルが利用できない場合にアドミニストレータがゲートウェイ間のトンネルを手動で再構成するのを必要とせずに、暗号化(トンネル化)トラフィックをメタホップゲートウェイ間に通流できるようにする。
【0015】
「メタホップハート(MetaHop Heart)」サーバーは、通常、ゲートウェイメンバーシップ及びトンネル再構成の自動的管理を可能にすると共に、アプリケーションプロキシーのためのアドレスをサポートするために設けられる。メタホップハートサーバーは、多数のメタホップと共に動作し、管理コンソールのオペレーションをサポートするファシリティを与えることができる。更に、メタホップハートサーバーは、メタホップに関連した実質的な各事象の監視を容易にすることができる。又、メタホップハートサーバーは、メタホップに関連した各事象を実質的にログするレポジトリーに対するサポートを与えることもできる。このレポジトリーは、集中化してもよいし、メタホップにわたり分布させてもよい。更に、ログされた事象は、メタホップにわたりパケットを転送するオペレーション上の問題を討論的に解決するのに使用できる。
【0016】
IPSec
メタホップは、「プラミングエレメント(plumbing element)」(ゲートウェイ間のトンネル、新たなゲートウェイのプロビジョニング、等)を、アドミニストレータがこれを見たくなるまで、アドミニストレータに対して比較的透過的に又は見えないように保持する。又、メタホップでは、ゲートウェイは、それら自身の内部ネットワークを有するリモートサイトへのインターフェイスとして抽象的に見ることができる。メタホップは、IPSec又はダイナミックVPNを経てルーティングするエンハンス型バージョンであって、安全ネットワークが、ゲートウェイ間に使用できるトンネルの変化を自動的に発見し、調整しそしてダイナミックな仕方で(ルーティングプロトコルだけでなく)スケーリングするようなバージョンを可能にする。
【0017】
更に、メタホップは、ルーティングエンジン及びIPセキュリティ(IPSec)エンジンをゲートウェイにおいて一緒に一体化できるようにする。例えば、ゲートウェイがその内部ネットワークからルーティング更新を得る場合には、更新をその内部ルーティングテーブルに追加すると共に、この新たなルートを含むようセレクタリストを調整することをそのIPSecエンジンに通知する。同様に、ゲートウェイのIPSecエンジンは、メタホップ内の他のメンバー/ゲートウェイに、これから保護する新たなサブネットを通知する。他のゲートウェイでは、それらのルーティングデーモン(daemon)が、ルーティングテーブルへの新たな変化をそれらの内部ネットワークに知らせる。通常、他のゲートウェイのためのIPSecエンジンは、ルーティングプロトコルがこの変化を知らせるときまでにそれらのセレクタリストを既に更新している。
【0018】
マルチキャストルーティング
マルチキャストIPトラフィックは、「1対多」のトラフィック(1つのソースと多数の行先)であり、一方、典型的なIPトラフィック(クライアント/サーバー)は、「1対1」のトラフィック、即ち1つのソース及び1つの行先である。例えば、サイトA(例えば、ストリームストックが多数のクライアントを引用するサイト)におけるマルチキャスティングデータソースは、このデータを受け取ることを希望するサイトB、C及びDに個別のクライアントを有することができる。過去において、マルチキャストIPトラフィックは、VPNが管理するのに困難なものである。更に、IPSecセレクタは、「1対多」のIPトラフィックを保護するように最初から構成されていない。しかしながら、メタホップは、パケットをクローン生成しそしてそれらを適宜にトンネル化することにより、マルチキャストIPトラフィックに対するマルチキャストルーターとして動作するように構成することができる。
【0019】
メタホップは、マルチキャストトラフィックに対するマルチキャストルーターのように動作することができ、メタホップにおける各ゲートウェイは、マルチキャストルーターの個別インターフェイスとして働く。例えば、マルチキャスト問合せが、いずれかのサイトから、メタホップのインターフェイス(ゲートウェイ)の1つを経て受け取られた場合には、ゲートウェイは、ローカルマルチキャストルーティングツリーを更新し、そしてマルチキャストルーターと実質的に同様に、その要求を1つおきのインターフェイス(メタホップのゲートウェイ)を経て伝播することができる。このように、暗号化された「ホップ」は、トンネルが中間にあることを明確に指示せずに、マルチキャストツリーに一体化することができる。この構成は、マルチキャストトラフィックをいかに取り扱うかの詳細を簡単化すると共に、既存のプロトコルと機能するためのメタホップの能力を容易にする。
【0020】
ゲートウェイプロビジョニング
マルチキャストベースのプロトコルは、内部ネットワークに接続された新たなゲートウェイにより使用されて、そのシリアル番号のような独特な識別子に基づきそれ自体を知らせることができる。ローカルネットワーク上のマルチキャストに応答して、メンバーシップファシリティは、エントリーポイントIPアドレス、メンバーシップ証明書、スタティック情報(内部IPアドレス等)のようなメタホップ情報、並びにメタホップに加入するときにパケットの自動的な転送をイネーブル/ディスエイブルするようなコンフィギュレーション情報を新たなゲートウェイにダウンロードすることができる。これを行うときに、メンバーシップファシリティは、新たなゲートウェイへのメタホップメンバーシップ情報を得る際にレイヤ3情報(又はシリアルライン接続)の使用を除去する。更に、マルチキャストプロトコル及び独特の識別情報を使用すると、アドミニストレータは、メタホップのメンバーシップを、共通のIPアドレスに基づかない新たなゲートウェイに割り当てることができる。
【0021】
一実施形態では、アドミニストレータは、各ゲートウェイ及び各ゲートウェイが属する特定のサイトに対応するシリアル番号のリストをポリシーマネージャーファシリティーに与えることにより、比較的大きな新たなメタホップにおいて各ゲートウェイを個々にプロビジョニングすることができる。このリストに基づいて、ポリシーマネージメントファシリティーは、特定のゲートウェイがローカルネットワークにいつ接続されたかを決定し、そして特定のサイトに関連したプロビジョニング情報を自動的にダウンロードすることができる。ポリシーマネージャーファシリティーは、新たなゲートウェイの1つに常駐することもできるし、又は新たなメタホップに対して管理コンソールのオペレーションを可能にするメタホップハートサーバーにおいて動作することもできる。
【0022】
別の実施形態では、アドミニストレータは、ネットワーク上の特定サイトに対応するシリアル番号リストを生成することにより、既存の比較的大きなメタホップに対する新たなゲートウェイを構成することができる。アドミニストレータは、「これらボックスにおける新たなゲートウェイをアンパックし、それらをネットワークに接続し、ゲートウェイ上のある指示が、ゲートウェイがその証明書を受け取ったことをあなたに知らせるときに、それらをターンオンし、それをアンプラグし、それをボックスに戻し、そしてそれを、そのシリアル番号に対応する特定のサイトへ運搬する」ための指令と共に他の誰かにプロビジョニングを手渡すことができる。対応するサイトにおいて、新たなゲートウェイを再びパワーオンして、インターネットのような外部ネットワークに接続することができ、そこで、メタホップの少なくとも1つのエントリーポイントにアクセスしてそれに加入することができる。ゲートウェイは、トラフィックのルーティングを自動的に開始するようイネーブルされるか、又はアドミニストレータが管理コンソールにおいてこの特徴をイネーブルするのを待機することができる。
【0023】
別の実施形態では、アドミニストレータは、各ゲートウェイ及び各ゲートウェイが属する特定のサイトに対応するシリアル番号のリストをポリシーマネージャーファシリティーに与えることにより、比較的小さな新たなメタホップ(ノード数10未満)において各ゲートウェイを個々にプロビジョニングすることができる。第1ゲートウェイをパワーアップし、そしてメタホップの生成を開始するに充分な管理証明書を含むように管理コンソールを介して構成することができる。その後、この第1の「パワーアップ」されたゲートウェイは、他のゲートウェイがパワーアップしそしてメタホップに加入するときにそれらゲートウェイの証明書及びメンバーシップを管理するために、それ自身の証明当局(Certificate Authority)を使用することができる。又、この場合に、第1ゲートウェイは、本明細書のどこかに述べるように、他のゲートウェイをプロビジョニングするためのメタホップハートサーバーとして動作することもできる。個別のオペレーティングシステムで実行される個別の管理コンソールのオペレーションを容易にするのではなく、第1ゲートウェイは、第1ゲートウェイのローカルオペレーティングシステムで実行されるコマンドラインインターフェイス(CLI)、ブラウザ接続、等を介してコンソールと実質的に同じオペレーション能力を発揮することができる。
【0024】
ファイアウオール
バーチャルファイアウオールは、メタホップの最上部で実行することができる。メタホップは、大きな分布型ルーターとして実質的に動作できるので、ゲートウェイごとに別々に構成されたファイアウオールではなく、その最上部で実行されるバーチャルファイアウオールとして構成することもできる。一実施形態では、インターフェイス特有のファイアウオールルールリストを、特定サイトに対して構成することができる。これらインターフェイス特有のファイアウオールルールリストは、バーチャルファイアウオールのためのルールリストの前又は後にチェックすることができる。ファイアウオールの個別のインスタンスは、各ゲートウェイで実行できるが、アドミニストレータは、各サイトにおいて各ゲートウェイに自動的に適用されるバーチャルファイアウオールのための1つのファイアウオールルールリストを管理することができる。
【0025】
例示的オペレーション環境
図1は、本発明を作用させることのできる環境の一実施形態を示す。しかしながら、本発明を実施するのに、これらコンポーネントの全部が必要とされるのではなく、これらコンポーネントの配列及び形式の変更が、本発明の精神又は範囲から逸脱せずになされ得る。
【0026】
図示されたように、システム100は、ゲートウェイ102A−102Eを備え、これらゲートウェイは、メッシュトポロジーにおいて外部ネットワークを経てトンネルを通って互いに接続されて、メタホップ104を形成する。ローカルエリアネットワーク(LAN)112、114及び116、サーバー120、並びにクライアント118A及び118Bは、メタホップ104の外側に配置され、そしてゲートウェイ102E、102B、102C、102D及び102Aと各々通信する。更に、メタホップハートサーバー106は、個別のトンネルにより、メタホップ104のゲートウェイ(102A−102E)の各々と通信する。又、メタホップハートサーバー106は、トンネルを経て、別のメタホップ110に配置されたゲートウェイ(図示せず)と通信する。更に、クライアント118Bは、メタホップの外側に配置され、メタホップハートサーバー106と実質的に直接通信する。
【0027】
メタホップハートサーバー106は、管理コンソール108と通信し、そのオペレーションを容易にする。管理コンソール108は、メタホップ104及び110を単一エンティティとして視覚的に提示すると共に、LAN112−116のような内部ネットワークに関連した内部を向いたインターフェイスに関する情報を表示するためにダッシュボード(図示せず)を備えることができる。
【0028】
一般的に、ゲートウェイ102A−102Eは、実質上、ルーター、ファイアウオール等を含むネットワークを経て情報を送受信するために別のコンピューティング装置に接続できるコンピューティング装置を含むことができる。更に、サーバー120並びにクライアント118A及び118Bのための装置の形式も、実質上、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースの又はプログラム可能な消費者向け電子装置、ネットワークPC、等のワイヤード又はワイヤレス通信媒体を使用して、ネットワークを経て通信できるコンピューティング装置を含むことができる。
【0029】
メタホップ104及び110は、ある形態のコンピュータ読み取り可能な媒体を使用して、ある電子装置から、オープンシステムズインターコネクション(OSI)モデルのもとでレイヤ3通信を行うことのできる別の電子装置へ情報を通信するように構成される。又、メタホップは、ローカルエリアネットワーク(LAN)や、ワイドエリアネットワーク(WAN)や、ユニバーサルシリアルバス(USB)ポート等による直接接続や、他の形式のコンピュータ読み取り可能な媒体や、或いはその組み合せに加えて、インターネットを含むことができる。異なるアーキテクチャー及びプロトコルに基づくものを含むLANの相互接続セットにおいて、ルーターは、LAN間のリンクとして働き、メッセージを互いに送信できるようにする。又、LAN内の通信リンクは、通常、ねじれワイヤ対又は同軸ケーブルを含み、一方、ネットワーク間の通信リンクは、アナログ電話回線、T1、T2、T3及びT4を含む全又は部分専用デジタルライン、サービス総合デジタル網(ISDN)、デジタル加入者ライン(DSL)、衛星リンクを含むワイヤレスリンク、或いは当業者に知られた他の通信リンクを使用することができる。
【0030】
更に、メタホップ104及び110は、通常、コンピュータ読み取り可能なインストラクション、データ構造、プログラムモジュール、又は搬送波のような変調データ信号における他のデータ、データ信号或いは他の搬送メカニズムを具現化する通信媒体を含むと共に、情報配送媒体を含むことができる。「変調データ信号」及び「搬送波信号」という語は、信号における情報、インストラクション、データ等をエンコードするように設定又は変化された1つ以上の特性を有する信号を含む。例えば、通信媒体は、オープンシステムズインターコネクション(OSI)モデルのもとでレイヤ3通信を行うことのできるワイヤード媒体、例えば、これに限定されないが、ねじれ対、同軸ケーブル、光ファイバ、導波器、及び他のワイヤード媒体と、ワイヤレス媒体、例えば、これに限定されないが、音響、RF、赤外線、及び他のワイヤレス媒体とを含む。
【0031】
図2は、メタホップに接続された許可されたユーザによる内部ネットワーク上の個々のリソースへの管理されたアクセスを可能にするシステムの概略200を示す。図示されたように、メタホップハートサーバー216は、メタホップ202及びメタホップ204と通信する。メタホップハートサーバー216は、管理コンソール218、アプリケーションプロキシー220、及びバーチャルプライベートネットワーク(VPN)アプリケーション206を含む(これに限定されないが)多数のファシリティを備え、又、VPNアプリケーション206は、アプリケーションプロキシー222も備えている。VPNアプリケーション206は、ファイアウオール208を経て内部ネットワーク(LAN210)及び“n”個のリソース(212及び214)に結合される。VPN206は、リソース212及び214の各々へのトンネル通信チャンネルを与える。又、アプリケーションプロキシー220及び222は、要求に応答してリソースのためのIPアドレスを与えることができる。
【0032】
メタホップ202は、“n”個のリソース(232及び234)に結合される内部を向いたネットワーク(LAN230)に接続される。クライアント224A、224B及び224Cは、メタホップハートサーバー216、メタホップ202及びメタホップ204に各々接続される。更に、メタホップ204は、セルラー電話、ページャー、ワイヤレスノートブックコンピュータ、ワイヤレスパーソナルデジタルアシスタント(PDA)、ワイヤレスパーソナルコンピュータ、等の移動ノードのグループでよい。又、ゲートウェイ206は、少なくとも1つのアプリケーションプロキシー222も含むことができる。
【0033】
例示的メタホップハート環境
図3は、本発明の一実施形態に基づいてメタホップハートサーバーのオペレーションを可能にするネットワーク装置の一実施形態を示す。ネットワーク装置300は、図示された以上の多数のコンポーネントを含んでもよい。しかしながら、図示されたコンポーネントは、本発明を実施するための実施形態を開示するのに充分である。
【0034】
ネットワーク装置300は、処理ユニット312、ビデオディスプレイアダプタ314、及び大量メモリを備え、これらは全てバス322を経て互いに通信する。大量メモリは、一般に、RAM316、ROM332、及び1つ以上の永久大量記憶装置、例えば、ハードディスクドライブ328、テープドライブ、光学的ドライブ、及び/又はフロッピー(登録商標)ディスクドライブを備えている。大量メモリは、ネットワーク装置300のオペレーションを制御するためのオペレーティングシステム320を記憶する。いかなる汎用オペレーティングシステムが使用されてもよい。又、ネットワーク装置300の低レベルオペレーションを制御するために基本的入力/出力システム(BIOS)318も設けられている。又、図3に示すように、ネットワーク装置300は、RIP、OSPF、SNMP、HTTP、UDP/IP、及びTCP/IPプロトコルを含む種々の通信プロトコルに使用するように構成されたネットワークインターフェイスユニット310を経て、インターネット又は他の通信ネットワークと通信することができる。例えば、一実施形態では、ネットワークインターフェイスユニット310は、TCP及びIPの両マルチキャストを使用するハイブリッド通信機構を用いてもよい。ネットワークインターフェイスユニット310は、時には、トランシーバ、ネットワークインターフェイスカード(NIC)、等としても知られている。
【0035】
上述した大量メモリは、別の形式のコンピュータ読み取り可能な媒体、即ちコンピュータ記憶媒体を示している。コンピュータ記憶媒体は、コンピュータ読み取り可能なインストラクション、データ構造、プログラムモジュール、又は他のデータのような情報を記憶するための方法又は技術で実施される揮発性、不揮発性、取り外し可能、及び取り外し不能の媒体を含むことができる。コンピュータ記憶媒体は、例えば、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、デジタル多様性ディスク(DVD)又は他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、或いは希望の情報を記憶するのに使用できると共にコンピューティング装置によりアクセスできる他の媒体を含む。
【0036】
又、大量メモリは、プログラムコード及びデータも記憶する。1つ以上のアプリケーション350が大量メモリにロードされ、オペレーティングシステム320で実行される。アプリケーションプログラムは、例えば、トランスコーダ、スケジューラ、グラフィックプログラム、データベースプログラム、ワードプロセスプログラム、HTTPプログラム、ユーザインターフェイスプログラム、種々のセキュリティプログラム、等々を含むことができる。大量記憶装置は、更に、メタホップハートサーバー360、管理コンソール362、及びアプリケーションプロキシー364を含むことができる。
【0037】
メタホップハートサーバー360、管理コンソール362及びアプリケーションプロキシー364の実施形態は、図1及び2を参照して詳細に説明する。又、これらのアプリケーションは、ネットワーク装置、別のネットワーク装置、ゲートウェイ等に常駐する他のコンポーネントと対話することもできる。他のコンポーネントは、クライアントアプリケーション、セキュリティアプリケーション、トランスポートアプリケーション、等を含むことができる。
【0038】
又、ネットワーク装置300は、eメールを送受信するためのSMTPハンドラーアプリケーション、HTTP要求を受け取って処理するためのHTTPハンドラーアプリケーション、及び安全接続を取り扱うためのHTTPSハンドラーアプリケーションを含むことができる。HTTPSハンドラーアプリケーションは、安全な形態で外部アプリケーションとの通信を開始することができる。更に、ネットワーク装置300は、TLS、TTLS、EAP、SSL、IPSec、等を含む(これに限定されないが)安全接続を実質上サポートするアプリケーションを含むことができる。
【0039】
又、ネットワーク装置300は、外部装置と通信するための入力/出力インターフェイス324、例えば、マウス、キーボード、スキャナ、又は図3に示されていない他の入力装置を含むことができる。同様に、ネットワーク装置300は、更に、付加的な大量記憶ファシリティ、例えば、CD−ROM/DVD−ROMドライブ326、及びハードディスクドライブ328を含むことができる。ハードディスクドライブ328は、とりわけ、アプリケーションプログラムや、データベースや、クライアント装置情報や、ポリシーや、証明書、暗号、パスワード等(これに限定されないが)を含むセキュリティ情報を記憶するのに使用できる。
【0040】
例示的ゲートウェイ環境
図4は、本発明の一実施形態に基づきゲートウェイのオペレーションを可能にするネットワーク装置の一実施形態を示す。ゲートウェイ400は、図示された以上の多数のコンポーネントを含んでもよい。しかしながら、図示されたコンポーネントは、本発明を実施するための実施形態を開示するのに充分である。
【0041】
ネットワーク装置400は、処理ユニット412、ビデオディスプレイアダプタ414、及び大量メモリを備え、これらは全てバス422を経て互いに通信する。大量メモリは、一般に、RAM416、ROM432、及び1つ以上の永久大量記憶装置、例えば、ハードディスクドライブ428、テープドライブ、光学的ドライブ、及び/又はフロッピー(登録商標)ディスクドライブを備えている。大量メモリは、ゲートウェイ400のオペレーションを制御するためのオペレーティングシステム420を記憶する。いかなる汎用オペレーティングシステムが使用されてもよい。又、ゲートウェイ400の低レベルオペレーションを制御するために基本的入力/出力システム(BIOS)418も設けられている。又、図4に示すように、ゲートウェイ400は、RIP、OSPF、SNMP、HTTP、UDP/IP、及びTCP/IPプロトコルを含む種々の通信プロトコルに使用するように構成されたネットワークインターフェイスユニット410を経て、インターネット又は他の通信ネットワークと通信することができる。例えば、一実施形態では、ネットワークインターフェイスユニット410は、TCP及びIPの両マルチキャストを使用するハイブリッド通信機構を用いてもよい。ネットワークインターフェイスユニット410は、時には、トランシーバ、ネットワークインターフェイスカード(NIC)、等としても知られている。
【0042】
1つ以上のアプリケーション450が大量メモリにロードされ、オペレーティングシステム420で実行される。アプリケーションプログラムは、例えば、トランスコーダ、スケジューラ、グラフィックプログラム、データベースプログラム、ワードプロセスプログラム、HTTPプログラム、ユーザインターフェイスプログラム、種々のセキュリティプログラム、等々を含むことができる。大量記憶装置は、更に、ルーティングアプリケーション460、IPSecアプリケーション462、ファイアウオール464、及びマルチキャストアプリケーション466のようなアプリケーションを含むことができる。又、これらのアプリケーションは、ネットワーク装置に常駐する他のコンポーネント、別のネットワーク装置、ゲートウェイ等と対話することもできる。
【0043】
又、ゲートウェイ400は、eメールを送受信するためのSMTPハンドラーアプリケーション、HTTP要求を受け取って処理するためのHTTPハンドラーアプリケーション、及び安全接続を取り扱うためのHTTPSハンドラーアプリケーションを含むことができる。HTTPSハンドラーアプリケーションは、安全な形態で外部アプリケーションとの通信を開始することができる。更に、ゲートウェイ400は、TLS、TTLS、EAP、SSL、IPSec、等を含む(これに限定されないが)安全接続を実質上サポートするアプリケーションを含むことができる。
【0044】
又、ゲートウェイ400は、外部装置と通信するための入力/出力インターフェイス424、例えば、マウス、キーボード、スキャナ、又は図4に示されていない他の入力装置を含むことができる。同様に、ゲートウェイ400は、更に、付加的な大量記憶ファシリティ、例えば、CD−ROM/DVD−ROMドライブ426、及びハードディスクドライブ428を含むことができる。ハードディスクドライブ428は、とりわけ、アプリケーションプログラムや、データベースや、クライアント装置情報や、ポリシーや、証明書、暗号、パスワード等(これに限定されないが)を含むセキュリティ情報を記憶するのに使用できる。
【0045】
例示的フローチャート
図5は、メタホップの多数の外部を向いたインターフェイスを自動的に取り扱って、アドミニストレータがそれを行う時間を費やす必要がないようにするプロセス500の概略を示すフローチャートである。開始ブロックの後に、プロセスはブロック502へ進み、メタホップにおける各ゲートウェイのメンバーシップが自動的に管理される。簡単に述べると、アドミニストレータにより与えられる比較的基本的な情報、例えば、メタホップにアタッチされる新たなゲートウェイのサイト及び独特の識別子(通常、シリアル番号等)を使用して、新たなゲートウェイを自動的に配備すると共に、メタホップにおける各ゲートウェイ間のトンネルを動的に管理する。
【0046】
プロセスは、ブロック504へ進み、ここで、メタホップにおける各ゲートウェイ間の各トンネルの構成が自動的に管理される。例えば、2つのゲートウェイ間の特定のトンネルが使用不能になった場合には、メタホップが2つのゲートウェイ間に別の一時的なトンネル経路を自動的に再構成する。メタホップは、この一時的なトンネル経路をアドミニストレータに知らせることができるが、この再構成は、アドミニストレータの側に相対的に努力を伴わずに自動的に行われる。
【0047】
プロセスは、ブロック506へ進み、ここで、メタホップにおけるネットワーク装置は、単一のエンティティへと自動的に抽象化され、これを監視のためにアドミニストレータへプレゼンテーションすることができる。更に、メタホップに新たなゲートウェイを配備し、メタホップを分布された単一エンティティとして特徴付け、等々に使用できる情報を与えるために、アドミニストレータにより管理コンソールを使用することができる。
【0048】
ブロック508へ進むと、プロセスは、アドミニストレータへの内部を向いたインターフェイスに関する監視情報の提示を自動的に可能にする。一実施形態では、ダッシュボードアプリケーションを使用して、内部ネットワークに対するメタホップの内部を向いたインターフェイスの視覚化を、IPアドレス、ポート、状態及び形式のような情報と共に表示することができる。又、ダッシュボードアプリケーションは、メタホップの外部ネットワークに対する外部を向いたインターフェイスを単一エンティティとして表示するように構成でき、ここで、例えば、ノード、サイト及びゲートウェイのような付加的な情報を二次ディスプレイにおいてプレゼンテーションすることができる。ブロック508から、プロセスは、他のアクションを実行するように復帰する。
【0049】
図6は、メタホップに対する新たなゲートウェイを配備するためのフローチャート600を示す。開始ブロックからブロック602へ進むと、プロセスは、新たなゲートウェイをメタホップのメンバーとして動作できるサイトと、ゲートウェイのシリアル番号等の独特の識別子とを与える。一実施形態では、メタホップハートサーバーにより促進される管理コンソールにおいてアドミニストレータにより独特の識別子及びサイトが与えられる。
【0050】
ブロック604において、新たなゲートウェイが内部ローカルエリアネットワークに接続され、ここで、メタホップ情報をマルチキャストする。ブロック606へ進むと、新たなゲートウェイは、マルチキャストを経て、メタホップ情報を受け取り、この情報は、エントリーポイントIPアドレス、メタホップメンバーシップ証明書、内部IPアドレスのようなスタティック情報、メタホップに最初に加入するときにパケットの自動的転送をイネーブル/ディスエイブルするようなコンフィギュレーション情報を含むが、これに限定されない。
【0051】
ブロック608において、新たなゲートウェイが外部ネットワークに結合されて、エントリーポイントIPアドレスへユニキャストし、ここで、メタホップに加入するために使用されたメタホップ情報の残りをダウンロードする。この残りの情報は、ゲートウェイ間の一時的トンネル経路の再構成に関するダイナミックメタホップ情報を含むことができる。
【0052】
プロセスは、ブロック610へ進み、ここで、内部ネットワーク及び外部ネットワークからダウンロードしたメタホップ情報に基づいてメタホップに加入する。プロセスは、ブロック612へ進み、メタホップにおいてトンネルを経てトラフィック(パケット)を転送することができるようにされる。一実施形態では、新たなゲートウェイがトラフィックの転送を自動的に開始する。別の実施形態では、新たなゲートウェイは、トラフィックの転送を、この機能がアドミニストレータにより確認されるまで待機する。次いで、プロセスは、他のアクションを遂行するように復帰する。
【0053】
図7は、メタホップにおいてトンネルの自動的再構成を可能にするためのフローチャート700である。開始ブロックから、プロセスは、判断ブロック702へ進み、ここで、メタホップにおけるゲートウェイ間のトンネルが使用不能になったかどうかの決定がなされる。もしそうであれば、プロセスは、ブロック704へ進み、ここで、メタホップは、オリジナルのトンネルに対する一時的トンネル経路を自動的に決定する。あるケースでは、この一時的トンネル経路は、2つのゲートウェイ間の使用不能となったオリジナルトンネルに実質的に置き換わるように、中間ゲートウェイ間の複数のトンネルを使用してもよい。
【0054】
ブロック706へ進むと、プロセスは、メタホップにおける各ゲートウェイを一時的なトンネル経路で自動的に更新する。又、オリジナルトンネルが再び使用可能になると、メタホップは、各ゲートウェイを再びオリジナルトンネルで自動的に更新する。次いで、プロセスは、他のアクションを実行するように復帰する。
【0055】
図8Aは、内部ネットワークのようなメタホップの内部を向いたインターフェイスに関する情報の表示を与える例示的ダッシュボード800のブロック図である。このダッシュボードは、IPアドレス、ポート、状態、及び形式を含む内部ネットワークに関する情報を表示しているところが示されている。又、ダッシュボードは、メタホップを単一エンティティとして表示するように構成される。別の実施形態では、メタホップに関する情報は、重大な問題が発生しない限り、全く表示されなくてもよい。図8Bは、ゲートウェイ、ノード、及びサイトのようなメタホップの外部を向いたインターフェイスに関する情報の第2表示を与える例示的ダッシュボード810のブロック図である。
【0056】
更に、上述したフローチャートの各ブロック、及び上述したフローチャートのブロックの組み合せは、コンピュータプログラムインストラクションにより実施できることを理解されたい。これらのプログラムインストラクションは、プロセッサに与えられ、プロセッサで実行されるインストラクションが、フローチャートのブロック(1つ又は複数)で指定されたアクションを実施するための手段を生成するようなマシンが形成される。コンピュータプログラムインストラクションは、プロセッサで実行することができ、プロセッサにより実行されるべき一連のオペレーションステップでコンピュータ実施プロセスを形成し、プロセッサで実行されるインストラクションが、フローチャートのブロック(1つ又は複数)で指定されたアクションを実施するためのステップをなす。
【0057】
従って、フローチャートのブロックは、指定のアクションを遂行するための手段の組み合せ、指定のアクションを遂行するためのステップの組み合せ、及び指定のアクションを遂行するためのプログラムインストラクション手段をサポートする。フローチャートの各ブロック、及びフローチャートのブロックの組み合せは、指定のアクション又はステップを遂行する特殊目的のハードウェアベースのシステム、或いは特殊目的のハードウェア及びコンピュータインストラクションの組み合せにより実施できることも理解されよう。
【0058】
上述した説明、実施例及びデータは、本発明の組成物の製造及び使用を完全に述べるものである。本発明の精神及び範囲から逸脱せずに本発明の多数の実施形態を案出できるので、本発明は、特許請求の範囲のみにより限定されるものとする。
【図面の簡単な説明】
【0059】
【図1】本発明を実施するための例示的システムを示すブロック図である。
【図2】別の例示的システムを示すブロック図である。
【図3】例示的ネットワーク装置を示す回路図である。
【図4】例示的ゲートウェイを示す回路図である。
【図5】メタホップの一般的オペレーションを自動的に管理するためのフローチャートである。
【図6】メタホップにおいて新たなゲートウェイを自動的にプロビジョニングするためのフローチャートである。
【図7】メタホップにおいてトンネルを自動的に再構成するためのフローチャートである。
【図8A】内部を向いたインターフェイスのための例示的管理コンソールダッシュボードを示す図である。
【図8B】本発明による外部を向いたインターフェイスのための例示的管理コンソールダッシュボードを示す図である。
【特許請求の範囲】
【請求項1】
安全な通信を与えるシステムであって、
複数のゲートウェイを含む地理的に分布したバーチャルインターネットプロトコル(IP)ルーターを備え、各ゲートウェイに対して少なくとも1つのトンネルが他の複数のゲートウェイの少なくとも1つと通信するために設けられ、且つ前記地理的に分布したバーチャルIPルーターは、
前記地理的に分布したバーチャルIPルーターを単一エンティティとして管理できるようにすること、
通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に再構成すること、
を含むアクションを実行するものである、ことを特徴とするシステム。
【請求項2】
要求に応答してアプリケーションのためのIPアドレスを与えるアプリケーションプロキシーを更に備えた、請求項1に記載のシステム。
【請求項3】
前記地理的に分布したバーチャルIPルーターは、
内部ネットワークを経て新たなゲートウェイへ地理的に分布したバーチャルIPルーター情報を部分的にプロビジョニングできるようにし、
外部ネットワークを経て残りの地理的に分布したバーチャルIPルーター情報を自動的にプロビジョニングし、更に、
前記プロビジョニングされた地理的に分布したバーチャルIPルーター情報を使用して、前記外部ネットワークを経て前記地理的に分布したバーチャルIPルーターに前記新たなゲートウェイを自動的に加入させる、
ことを含む更に別のアクションを実行する、請求項1に記載のシステム。
【請求項4】
前記トンネルが通信に使用可能となった場合に前記一時的トンネルを前記トンネルへ自動的に再構成して戻すことを含む更に別のアクションを実行するハートサーバーを更に備えた、請求項1に記載のシステム。
【請求項5】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターのオペレーションの自動的管理を可能にする管理コンソールを更に備えた、請求項1に記載のシステム。
【請求項6】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターの視覚的表示を与えるダッシュボードを更に備えた、請求項5に記載のシステム。
【請求項7】
前記地理的に分布したバーチャルIPルーターにおける少なくとも1つのゲートウェイに結合された内部を向いたインターフェイスに関する情報の表示を与えるダッシュボードを更に備えた、請求項5に記載のシステム。
【請求項8】
前記地理的に分布したバーチャルIPルーターにおけるゲートウェイ間のトンネル通信に対してIPsecが使用される、請求項1に記載のシステム。
【請求項9】
前記地理的に分布したバーチャルIPルーターにおいて単一エンティティとして構成可能なバーチャルファイアウオールを更に備えた、請求項1に記載のシステム。
【請求項10】
前記バーチャルファイアウオールは、更に、前記地理的に分布したバーチャルIPルーターにおける各ゲートウェイに個別のファイアウオールを与える、請求項9に記載のシステム。
【請求項11】
ノード間に安全な通信を与える方法であって、
各ゲートウェイに対して少なくとも1つのトンネルを与える地理的に分布したバーチャルIPルーターを、該地理的に分布したバーチャルIPルーターにおける少なくとも1つのピアゲートウェイと通信するように、イネーブルするステップを含み、
前記地理的に分布したバーチャルIPルーターは、単一エンティティとして管理するように構成されており、
さらに、通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に構成することを含むアクションを実行するようにハートサーバーをイネーブルするステップと、
を含むことを特徴とする方法。
【請求項12】
要求に応答して、アプリケーションプロキシーを使用してアプリケーションのためのIPアドレスを与えるステップを更に備えた、請求項11に記載の方法。
【請求項13】
前記地理的に分布したバーチャルIPルーターを使用して、新たなゲートウェイをエントリーポイントに接続しそして前記地理的に分布したバーチャルIPルーターに加入させるように自動的にプロビジョニングするステップを更に備えた、請求項11に記載の方法。
【請求項14】
前記ゲートウェイに関連したシリアル番号、及び新たなゲートウェイを動作すべきサイトに少なくとも一部分基づいて、新たなゲートウェイの自動的なプロビジョニングをイネーブルするステップを更に備えた、請求項13に記載の方法。
【請求項15】
管理コンソールを使用して、単一エンティティとしての前記地理的に分布したバーチャルIPルーターのオペレーションの自動的な管理をイネーブルするステップを更に備えた、請求項11に記載の方法。
【請求項16】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターの視覚的表示を与えるようにダッシュボードをイネーブルするステップを更に備え、前記ダッシュボードは、前記地理的に分布したバーチャルIPルーターにおける少なくとも1つのゲートウェイに結合された内部ネットワークに関連した情報の表示を与えるようにイネーブルされる、請求項15に記載の方法。
【請求項17】
前記地理的に分布したバーチャルIPルーターにおけるゲートウェイ間のトンネルに対してIPsecが使用される、請求項11に記載の方法。
【請求項18】
前記地理的に分布したバーチャルIPルーターにおいて単一エンティティとしてバーチャルファイアウオールを構成できるようにするステップを更に備えた、請求項11に記載の方法。
【請求項19】
前記バーチャルファイアウオールは、更に、前記地理的に分布したバーチャルIPルーターにおける各ゲートウェイに個別のファイアウオールを与える、請求項18に記載の方法。
【請求項20】
ノード間に安全な通信を与える装置であって、
各ゲートウェイに対して少なくとも1つのトンネルを与える地理的に分布したバーチャルIPルーターのための手段であって該地理的に分布したバーチャルIPルーターにおける少なくとも1つのピアゲートウェイと通信する手段を備え、
前記地理的に分布したバーチャルIPルーターは、単一エンティティとして管理するように構成されており、
さらに、
通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に構成することを含むアクションを実行するハートサーバーのための手段を備えたことを特徴とする装置。
【請求項1】
安全な通信を与えるシステムであって、
複数のゲートウェイを含む地理的に分布したバーチャルインターネットプロトコル(IP)ルーターを備え、各ゲートウェイに対して少なくとも1つのトンネルが他の複数のゲートウェイの少なくとも1つと通信するために設けられ、且つ前記地理的に分布したバーチャルIPルーターは、
前記地理的に分布したバーチャルIPルーターを単一エンティティとして管理できるようにすること、
通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に再構成すること、
を含むアクションを実行するものである、ことを特徴とするシステム。
【請求項2】
要求に応答してアプリケーションのためのIPアドレスを与えるアプリケーションプロキシーを更に備えた、請求項1に記載のシステム。
【請求項3】
前記地理的に分布したバーチャルIPルーターは、
内部ネットワークを経て新たなゲートウェイへ地理的に分布したバーチャルIPルーター情報を部分的にプロビジョニングできるようにし、
外部ネットワークを経て残りの地理的に分布したバーチャルIPルーター情報を自動的にプロビジョニングし、更に、
前記プロビジョニングされた地理的に分布したバーチャルIPルーター情報を使用して、前記外部ネットワークを経て前記地理的に分布したバーチャルIPルーターに前記新たなゲートウェイを自動的に加入させる、
ことを含む更に別のアクションを実行する、請求項1に記載のシステム。
【請求項4】
前記トンネルが通信に使用可能となった場合に前記一時的トンネルを前記トンネルへ自動的に再構成して戻すことを含む更に別のアクションを実行するハートサーバーを更に備えた、請求項1に記載のシステム。
【請求項5】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターのオペレーションの自動的管理を可能にする管理コンソールを更に備えた、請求項1に記載のシステム。
【請求項6】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターの視覚的表示を与えるダッシュボードを更に備えた、請求項5に記載のシステム。
【請求項7】
前記地理的に分布したバーチャルIPルーターにおける少なくとも1つのゲートウェイに結合された内部を向いたインターフェイスに関する情報の表示を与えるダッシュボードを更に備えた、請求項5に記載のシステム。
【請求項8】
前記地理的に分布したバーチャルIPルーターにおけるゲートウェイ間のトンネル通信に対してIPsecが使用される、請求項1に記載のシステム。
【請求項9】
前記地理的に分布したバーチャルIPルーターにおいて単一エンティティとして構成可能なバーチャルファイアウオールを更に備えた、請求項1に記載のシステム。
【請求項10】
前記バーチャルファイアウオールは、更に、前記地理的に分布したバーチャルIPルーターにおける各ゲートウェイに個別のファイアウオールを与える、請求項9に記載のシステム。
【請求項11】
ノード間に安全な通信を与える方法であって、
各ゲートウェイに対して少なくとも1つのトンネルを与える地理的に分布したバーチャルIPルーターを、該地理的に分布したバーチャルIPルーターにおける少なくとも1つのピアゲートウェイと通信するように、イネーブルするステップを含み、
前記地理的に分布したバーチャルIPルーターは、単一エンティティとして管理するように構成されており、
さらに、通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に構成することを含むアクションを実行するようにハートサーバーをイネーブルするステップと、
を含むことを特徴とする方法。
【請求項12】
要求に応答して、アプリケーションプロキシーを使用してアプリケーションのためのIPアドレスを与えるステップを更に備えた、請求項11に記載の方法。
【請求項13】
前記地理的に分布したバーチャルIPルーターを使用して、新たなゲートウェイをエントリーポイントに接続しそして前記地理的に分布したバーチャルIPルーターに加入させるように自動的にプロビジョニングするステップを更に備えた、請求項11に記載の方法。
【請求項14】
前記ゲートウェイに関連したシリアル番号、及び新たなゲートウェイを動作すべきサイトに少なくとも一部分基づいて、新たなゲートウェイの自動的なプロビジョニングをイネーブルするステップを更に備えた、請求項13に記載の方法。
【請求項15】
管理コンソールを使用して、単一エンティティとしての前記地理的に分布したバーチャルIPルーターのオペレーションの自動的な管理をイネーブルするステップを更に備えた、請求項11に記載の方法。
【請求項16】
単一エンティティとしての前記地理的に分布したバーチャルIPルーターの視覚的表示を与えるようにダッシュボードをイネーブルするステップを更に備え、前記ダッシュボードは、前記地理的に分布したバーチャルIPルーターにおける少なくとも1つのゲートウェイに結合された内部ネットワークに関連した情報の表示を与えるようにイネーブルされる、請求項15に記載の方法。
【請求項17】
前記地理的に分布したバーチャルIPルーターにおけるゲートウェイ間のトンネルに対してIPsecが使用される、請求項11に記載の方法。
【請求項18】
前記地理的に分布したバーチャルIPルーターにおいて単一エンティティとしてバーチャルファイアウオールを構成できるようにするステップを更に備えた、請求項11に記載の方法。
【請求項19】
前記バーチャルファイアウオールは、更に、前記地理的に分布したバーチャルIPルーターにおける各ゲートウェイに個別のファイアウオールを与える、請求項18に記載の方法。
【請求項20】
ノード間に安全な通信を与える装置であって、
各ゲートウェイに対して少なくとも1つのトンネルを与える地理的に分布したバーチャルIPルーターのための手段であって該地理的に分布したバーチャルIPルーターにおける少なくとも1つのピアゲートウェイと通信する手段を備え、
前記地理的に分布したバーチャルIPルーターは、単一エンティティとして管理するように構成されており、
さらに、
通信に使用不能となった前記地理的に分布したバーチャルIPルーターの各トンネルに対して一時的なトンネルを自動的に構成することを含むアクションを実行するハートサーバーのための手段を備えたことを特徴とする装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【公表番号】特表2008−502190(P2008−502190A)
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2007−514186(P2007−514186)
【出願日】平成17年5月31日(2005.5.31)
【国際出願番号】PCT/IB2005/001525
【国際公開番号】WO2005/117694
【国際公開日】平成17年12月15日(2005.12.15)
【出願人】(501034896)ノキア インコーポレイテッド (17)
【Fターム(参考)】
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成17年5月31日(2005.5.31)
【国際出願番号】PCT/IB2005/001525
【国際公開番号】WO2005/117694
【国際公開日】平成17年12月15日(2005.12.15)
【出願人】(501034896)ノキア インコーポレイテッド (17)
【Fターム(参考)】
[ Back to top ]