用于通过虚拟IP地址访问没有可访问地址的联网装置的各种方法和设备

摘要

描述用于通过虚拟IP(VIP)地址访问没有可访问网络地址的联网装置的方法、设备和系统。系统由第一装置服务控制器(DSC)构成，特征在于可以使虚拟网络接口和对应的虚拟IP地址(VIP)可用的主机控制器部件并且具有第一管道管理器以创建到装置服务管理器(DSM)的第一出局TCP/IP管道连接。当联网业务流到达具有关联的VIP的虚拟联网接口时，主机控制器部件自动处理并且转发该业务流到DSM。DSM处理并且中继来自第一出局TCP/IP管道连接的业务流到第二DSC，其具有装置控制器部件和第二管道管理器以创建到DSM的第二直接出局TCP/IP管道连接。IP重定向器接收通信业务流然后路由该通信业务流到第二DSC。

说明书

相关申请

本申请要求2007年10月24日提交的名为“提供虚拟IP地址以自动访问远程网络装置的工具”的美国专利申请序列号60/982388的权益。

版权通知

该专利文件的公开的一部分包含受版权保护的材料。版权所有者不反对由软件引擎和它的模块中的任何一个进行影印复制为如它在专利及商标局专利文档或记录中出现的那样，但另外无论如何保留全部版权。

技术领域

本发明的实施例大体上涉及网络装置。更具体地，本发明的实施例的方面涉及通过虚拟互联网协议(IP)地址的使用对或从联网装置访问。

背景技术

互联网是网络的大型集合，它们共同使用TCP/IP协议套(protocol suite)以允许在一个网络上的装置自动与可能在相同或远程网络上的其他装置通信。对于每个活动网络接口给每个这样的装置指派IP地址，这允许网络基础设施部件在目标装置之间自动路由业务流(traffic)。

给每个这样的网络接口指派整个互联网上唯一的IP地址是一般要求，然而已经保留若干块IP地址以供接口上使用(不需要使其在本地网络外面是可用的)。这样的专用地址也称为“不可路由”地址，因为建立路由(即，通过一组网络基础设施装置的路径)使得来自本地网络上的装置的业务流可到达远程网络上具有不可路由地址的网络接口是不可能的。由于互联网增长，该技术已经允许专用地址的重复再次使用，其帮助缓解公共可访问的IP地址的不断增长的短缺，但它也导致更大的复杂性，因为管理员寻找备选机制以在没有可路由地址的情况下提供对远程装置的访问。

由于互联网增长和安全威胁增加，网络管理员也试图在他们的管理控制下通过开发和部署网络过滤装置或应用程序(其允许网络管理员指定依照要求批准或拒绝访问的具体地址和端口组合)限制对具体装置的访问。这两个技术一起帮助确保互联网的增长和稳定性，但以大大增加的复杂性以及管理员希望提供对在他们的管理控制外面的网络上的联网装置的无缝访问为代价。

解决该问题的一个现存的机制涉及在本地联网装置上安装专用客户端软件，其将允许它起“虚拟专用网络”(VPN)的一部分的作用，其中本地装置被允许担当如同它是远程网络的成员那样。当使用这样的VPN系统时在远程网络上给本地主机指派IP地址并且远程网络上到主机和来自主机的所有业务流由VPN系统自动路由。

该技术达到效果但该方法苦于若干缺陷。VPN系统必须首先由远程网络的管理员建立。一旦这完成，专业化软件必须安装在希望访问的每个外部装置或VPN系统上(如果这没有完成，系统将能够提供仅有限的可访问性，例如通过网络浏览器界面)。另外，适当的安全证书必须由远程管理员产生并且由本地管理员和用户分发和维护，它们所有在对运行的所有方上放置重要的管理责任。作为最终的缺点，一旦本地主机被批准VPN访问，它将一般具有对远程网络上的所有装置的访问权(除非采取附加过滤步骤防止此)，这可能不是远程管理员期望的。

克服不可路由地址的问题的另一个技术是执行所谓的“网络地址转换”(NAT)，其涉及边界路由器的复杂重新配置以自动映射网络地址/端口组合到以及从可路由地址到不可路由地址。该技术确实允许单个公共可路由IP地址的使用以提供对多个具有不可路由地址的装置的访问而仅以增加的系统复杂性为代价。启用NAT的网络一般不允许入局连接(除非映射已经从具体端口/地址组合预先配置到具体装置)，其可能进而与试图使用默认或非标准地址/端口组合的软件冲突。

考虑到这些挑战，存在需要一种机制在不使用专用主机软件并且在远程网络上不要求网络管理员特权以建立、维护或操作该方案的情况下允许对使用非可路由地址的远程装置的简化和自动化的访问。

发明内容

描述向远程联网装置提供完全自动化的网络访问的方法、设备和系统，这些远程联网装置否则将是不可访问的，因为对于该装置的网络地址不存在有效路由。注意该系统可在不使用专用主机软件的情况下工作并且它在远程网络上不需要网络管理员特权建立、操作和维持该系统。还注意该系统可以与现有VPN系统共存并且与使用网络地址转换以映射一个或多个外部地址到不可路由地址(其否则将在本地网络外面是不可用的)的网络完全兼容。

系统由三个主要部件构成-主机控制器、装置控制器和装置服务管理器(或DSM)(参见图2a)。主机控制器由在本地网络上安装为联网装置的部件构成。装置控制器由在远程网络上安装为联网装置的部件构成并且装置服务管理器由安装在互联网上并且从主机控制器和装置控制器两者通过直接网络连接可访问的部件构成。观察到这些部件都可在较大计算系统上实例化为专用网络硬件装置部件或软件部件，而不失一般性或功能性。

主机控制器和装置控制器两者必须具有建立到DSM的出局数据连接的能力。DSM然后可以用于中继主机控制器和装置控制器部件之间的业务流。这些进而用于中继发起和目标联网装置之间的业务流。

实际上，在DSM和主机控制器或装置控制器部件之间可有防火墙装置，其阻挡入局连接或IP地址或端口的一些组合。在该情况下，如果主机控制器和/或装置控制器建立到DSM的出局TCP/IP会话是可能的，在系统中的所有其他业务流然后可自动地多路复用到这些部件之间的传输的这些连接上用于最终传递给源或目的装置。

主机控制器的目的是担当从本地网路上的发起联网装置到远程装置(其否则对该发起联网装置将是不可访问的)的连接的代理访问点。装置控制器的目的是担当正传递给在远程网络上的装置的业务流的中继点并且DSM的目的是充当由任意参与的主机控制器和装置控制器在本地网络和远程网络之间传送的业务流的业务流路由器和中继点。该三个部件一起工作以自动接受来自本地网络装置的入局网络业务流、处理和转发来自本地网络的业务流到DSM，在DSM它被处理并且路由到在远程网络上的装置控制器，这里它被处理并且传递到目标装置。在双向数据流的情况下，系统具有从远程装置自动接收返回分组并且处理它们使其返回通过系统以传递到本地装置。

还应该注意到当数据业务流进入系统时加密数据业务流和当数据业务流离开系统时解密是可能的。如果这被完成，系统将还提供彻底的端到端安全，保护业务流免于当传送时被观察。

运行中主机控制器部件使在本地网络上的一个或多个网络接口可用以发起入局数据流。每个这样的接口配置成使用所谓的虚拟IP地址(或VIP)作为到系统的进入点。VIP实际上是在本地网络上的实IP地址，除它在本地网络上是有效并且可访问地址之外，对该地址没有限制。

VIP可看作类似于在计算机系统中的虚拟存储器地址-虚拟存储器地址对于正由处理器执行的本地程序是可访问的并且访问虚拟地址的所有尝试自动映射到在计算机的物理存储器中的实地址。类似地，由联网装置访问VIP地址的所有尝试由系统自动并且透明地转换并且传送到目标物理地址。

每个这样的接口可以接受来自任意能够访问该VIP的网络装置的入局网络业务流(包括但不限于例如TCP/IP数据流、个体UDP分组或ICMP控制消息)。在TCP/IP数据流的情况下，为了提高性能主机控制器可在开始转发业务流到DSM之前执行建立TCP/IP会话需要的初始三路握手。在该情况下，装置控制器当它接收目标装置的初始数据分组时将首先在开始传递入局分组之前成功完成与目标装置的三路握手。否则一般而言所有入局网络业务流自动转发到DSM部件用于处理和路由到最终目的地(尽管如果期望的话在任何VIP上建立过滤是可能的。这可完成以例如按需要限制到本地网络的网络广播分组或ICMP控制消息分组)。

DSM配置成存储从每个VIP到目标联网装置的映射。该映射由源主机控制器的入局VIP和唯一标识符以及目的联网装置的目标IP地址和对应的装置控制器的唯一标识符构成。

注意因为分别参与主机控制器和装置控制器的唯一标识符的使用，从每个VIP到每个目标装置识别可用路由是可能的(甚至当两个装置都使用专用地址时和/或当另外不存在从发起网络到远程网络的路由时)。实际上两个装置都可使用相同的专用IP地址并且系统将仍然工作，因为两个装置可由对应的主机控制器和装置控制器部件区别。

还注意，因为每个目标装置具有它自己的VIP，没有需要安装任何特殊软件或对发起装置做出任何配置变化。应用程序简单地使用VIP地址代替不可路由的目标装置地址并且系统提供需要的传送机制。将VIP放入域名系统(DNS)也是可能的。在该情况下，VIP可改变或用可路由地址代替，而不需要对发起联网装置的任何另外的配置变化。

应该注意到主机控制器和装置控制器都不需要任何特殊的管理特权以在网络上安装或运行，对于任一部件的静态指派IP地址也没有任何需要。如果期望的话，每个可使用动态主机控制协议以请求它自己需要的地址和指派的VIP。主机控制器将对每个VIP创建虚拟网络接口，它将服务并且开始监听入局数据。当检测到入局数据时它将自动被转发到DSM用于处理和传递到目的装置控制器。

装置控制器进而可在网络上出现并且开始监听从DSM接收的数据，其采用指出它将传递到它能够访问的装置的格式编码。装置控制器仅需要去除用于传递分组到装置控制器的系统信息并且转发所得的数据分组到目标装置。任何返回的数据分组可以自动转发到DSM用于通过主机控制器路由回到适当的装置。

实际上组合系统部件中的多个到单个装置上是可能的。例如，你可以封装主机控制器和装置控制器功能性进入单个装置(我们叫做装置服务控制器)。这样做将允许这样的装置发起或终止网络连接，或甚至具有通过单个装置的多个同时双向网络业务流会话。你还可以选择放置主机控制器或装置控制器部件和DSM一起在单个装置上。在这样的情况下你必须确保在组合装置和剩余部件之间存在路由，但系统仍然可以设置成自动转发到目标不可路由装置。

附图说明

附图涉及本发明的实施例，其中：

图1图示对在由防火墙保护的网络中的联网装置访问和从其访问的系统的实施例的框图；

图2a图示具有位于由第一防火墙保护的第一域和由第二防火墙保护的第二域外部的装置服务管理器服务器的系统的实施例的框图；

图2b图示具有DSC的系统的实施例的框图，每个DSC具有管道管理器，其配置成通过向DSM验证它自己和建立到DSM的出局TCP/IP流连接然后在建立的TCP/IP流连接上对于将来的双向通信保持该连接打开来向DSM提供直接通信隧道；

图3图示具有中心DSM和本地DSC以对在由防火墙保护的网络中的联网装置访问和从其访问的系统的实施例的框图；

图4图示在DSC中的管道管理器的实施例的状态图；

图5图示分布式系统的自动集中式管理的实施例的框图；

图6图示DSM的示例实施例的框图；

图7图示DSC的示例实施例的框图；

图8图示通过在DSC中的可执行自举文件对这些DSC分发配置信息的DSM的实施例的框图；

图9图示使虚拟IP地址的分配自动化的DSM的实施例的框图；

图10图示获得和向DSM报告虚拟IP地址的网络集管(network manifold)的实施例的流程图；

图11图示创建在本地网络中可用的虚拟IP地址的两个或更多池的DSM的图。

尽管本发明可以具有各种修改和备选形式，它们的具体实施例通过示例的方式在附图中示出并且将在本文中详细描述。应该理解本发明不限于公开的特定形式，而相反，本发明涵盖落入本发明的精神和范围内的所有修改、等同物和备选方案。

具体实施方式

在下列说明中，阐述许多具体细节，例如具体数据信号、所指部件、连接、网络等的示例，以便提供本发明的全面理解。然而，对于本领域内普通技术人员中之一本发明可在没有这些具体细节的情况下实践将是明显的。在其他情况下，众所周知的部件或方法没有详细描述，相反采用框图描述以便避免不必要地使本发明模糊不清。可给出其他具体的数字标号，例如第一网络等。然而，具体的数字标号不应该解释为字面的顺序，相反要解释成第一网络不同于第二网络。从而，阐述的具体细节是仅示范性的。具体细节可不同并且仍然预期在本发明的精神和范围内。

一般，描述各种方法和设备以提供中央系统以使用虚拟IP地址访问在远程网络上的装置。每个DSC(封装在一起以简化系统的部署和管理的主机控制器和装置控制器功能性的组合)可具有管道管理器以创建到DSM的直接通信隧道。第一DSC位于第一本地网络而第二DSC位于与第一本地网络不同的第二本地网络。DSM位于在第一和第二DSC外部的广域网中。第一和第二DSC两者通过周期性地建立到DSM的出局TCP/IP管道连接、向DSM验证它们自己然后对于在出局TCP/IP管道连接上的将来的双向通信保持该连接打开而创建它们自己的到DSM的直接通信隧道。在DSM中的IP重定向器基于存储在DSM的注册表或内部数据存储器中的虚拟IP地址映射而从第一DSC从第一建立的TCP/IP管道连接接收通信业务流然后沿第二建立的TCP/IP管道连接向下路由通信业务流到第二DSC。

在DSM中的网络访问模块可配置成创建1)每个DSC的唯一标识符和给该DSC所指派的本地网络的虚拟IP地址的示例配对、2)在目的网络上的网络装置的实的、另外不可访问的IP地址和远程DSC的唯一标识符的示例配对。DSM存储这些配对在DSM的注册表中。

图1图示对在由防火墙保护的网络中的联网装置访问和从其访问的系统的实施例的框图。

第一装置服务控制器102(DSC)在由第一防火墙106保护的第一网络104中。第一网络104可包含与第一DSC 102关联的主机控制台108。主机控制台108控制并且管理在由第二防火墙114保护的第二网络116中的设备的子集。第二网络116位于从第一网络104和主机控制器108的互联网上。在第一网络104中的第一装置服务控制器102和在第二网络116中的第二装置服务控制器112与位于互联网上的装置服务管理器服务器(DSM)110合作以提供通过防火墙106、114对在第二网络116中的设备的子集的高度安全的远程访问。装置服务管理器服务器110具有IP重定向器程序118，其包含代码以执行通过防火墙106、114与每个装置服务控制器的经由直接通信隧道的机对机通信。在第二网络116中的设备的子集可例如包括服务器、PLC装置、运动控制器、自动化设备、印刷机、安全系统和个人计算机。

运行中，用户从主机控制台108打开到本地DSC(即第一DSC102)(采用主机控制器模式运行)上的指定VIP地址的连接。该本地DSC将接受该连接并且保持该连接直到建立直通目标装置的连接为止。该本地DSC然后将发起到控制DSM 110的连接(如果它没有已经建立)，并且该DSM将映射该连接到对应的被管理的装置IP地址。本地DSC发送它的标识信息以成功地向DSM 110验证它自己。为目标装置负责的关联DSC(即第二DSC 112)将周期性地打开与DSM 110的安全隧道并且确定是否有未决连接(如果这样的连接没有已经建立)。如果有未决连接，DSM 110将命令DSC发起到DSM 110的代理连接，它通过该代理连接将传递未决连接的业务流。如果有未决连接，在防火墙后面的本地DSC保持与DSM 110的直接通信隧道。

第一DSC 102和DSM 110之间的直接通信隧道以及第二DSC 112和DSM 110之间的直接通信隧道结合以允许使用从主机控制台不可访问并且在由防火墙保护的网络中的地址的设备的安全访问和管理同时维护网络的IT策略和网络防火墙的完整性。到第一DSC 102和第二DSC 112的连接点不在它们各自的网络外面向它们网络外部的装置公开暴露，因为DSC 102、112位于它们各自的防火墙106、114后面以增加通过直接通信隧道的通信的安全。当本地DSC成功地向DSM 110验证时，DSC可以立即开始提供对在已经指派VIP和对应路由的那个网络上的任何装置的安全访问，例如在网络中已经指定为对于参与的DSC可见的PLC装置等。指定可见的装置已经由第二网络116的用户授权公布。

如论述的，可见的关联的装置已经由该域的所有者授权成为可见/公布并且可视为联网装置的集合的元件，这些联网装置作为“虚拟”本地装置的单个集对于主机控制器是可用的。术语“虚拟装置网络”(VDN)用于指这样的装置集合。在该示例中，在第二网络中的设备的子集对于主机控制台是可访问的并且包括服务器、PLC装置、运动控制器、自动化设备，而印刷机、安全系统和个人计算机没有由用户授权对于VDN可见。

实际上，系统的所有管理可通过访问允许改变在DSM上的注册表的接口实现，关于在每个DSC上的VIP的信息和VIP与每个不可路由地址之间的对应路由存储在该注册表中。本地DSC可收集关于本地装置的信息并且向DSM转发该信息，或该信息可以由系统管理员手工输入。这样的信息可以包括在该DSC的网络内的DSC的标识符和IP地址和每个部件的IP地址、名字、能力、支持的协议等等。

图6图示DSM的示例实施例的框图。DSM 110可包含例如IP重定向器618等部件，重定向器618包括DSM 610中的隧道管理器、用户界面、数据库620，其包括注册表、关联管理器、策略管理器、复制管理器和其他相似部件。

图7图示DSC的示例实施例的框图。DSC702可包含例如访问子系统等部件，访问子系统包括下列部件：关联管理器；管道管理器724；隧道管理器；和网络集管726。DSC可以还包括本地数据库728(其包括注册表)、发现管理器730、装置配置管理器、装置监视管理器、自动化子系统(其包括装置配置引擎743)、用户界面、电源732、驱动端口734和其他相似部件。每个DSC可具有配置成在相同本地网络上检测和注册本地装置的发现管理器730、配置成发起和控制到DSM 210的出局TCP/IP管道连接的管道管理器724和配置成多路复用和多路分解到在第二本地网络上检测到的和指定的可见装置的TCP/IP连接的隧道管理器725。

图2a图示具有位于第一防火墙保护的第一域和第二防火墙保护的第二域外部的装置服务管理器服务器的系统的实施例的框图。

每个DSC 202、212配置有硬件逻辑和软件以担当1)主机控制器(其建立它自己和在第一域204中它的关联装置两者到位于第一防火墙206之外的DSM 210的连接)和2)装置控制器(其接收和管理从DSM 110到第二防火墙214保护的第二域216中的个体远程目标装置的入局连接)。注意，域可以是由防火墙或不同的子网分开的任何网络。DSC将能够代理它自己和它的关联装置两者到位于本地域之外的它的父DSM的连接。每个DSC可配置成周期性地发送出站通信以向DSM检查以查看是否有任何未决TCP连接在等待。

在实施例中，第一DSC202和第二DSC212每个具有通过向DSM210验证它自己和建立到DSM210的出局TCP/IP管道连接向DSM210提供直接网络通信隧道的管道管理器。第一和第二DSC202、212两者通过周期性地向DSM210验证它自己建立到DSM210的出局TCP/IP管道连接。DSC对于在出局TCP/IP管道连接上的将来的双向通信保持该连接打开。建立和验证的双向通信、TCP/IP管道连接可称为直接网络通信隧道或管道隧道。第一DSC202创建第一出局TCP/IP管道连接271并且具有与该DSC关联的第一虚拟IP地址。第二DSC212创建第二出局TCP/IP管道连接273并且具有与该DSC关联的第二虚拟IP地址。DSM210的IP重定向器沿第一建立的TCP/IP管道连接向下发送路由分组到第一DSC202并且沿第二建立的TCP/IP管道连接向下发送路由分组到第二DSC212。DSM210的IP重定向器沿第一建立的TCP/IP管道连接向下路由在第一防火墙206后面的第一域204中的网络部件的通信业务流到第一DSC202。DSM210的IP重定向器还沿第二建立的TCP/IP管道连接向下路由在第二防火墙214后面的第二域216中的网络部件的通信业务流到第二DSC212。注意，因为TCP/IP是双向流协议，DSM210可以沿打开的通信管道隧道向下发送路由分组并且从每个DSC202、212接收业务流。

主机控制台208和在第二网络中的设备的子集形成VDN的一部分，其中通过第二DSC 212向外穿过本地防火墙和/或客户的NAT路由器以访问在远程网络上的设备的子集从而主机控制台208控制并且管理第二网络中的子集。主机控制台208建立通过第一DSC202到控制VDN的DSM 210的单个出站连接，其允许双向通信，然后保持该出站连接打开。通过DSC与DSM 210合作的VDN可在互联网上的任意两点之间创建专用TCP/IP连接。

总的来说，在DSC202、212和DSM210安装并且DSC在该本地网络中发现并且注册它的关联装置的所有之后，于是虚拟IP地址可指派在DSM210中和虚拟装置网络路由的产生可以发生。

下文的步骤1-8可以用于使用虚拟IP地址获得对和从联网装置的自动化访问。

在步骤1中，初始DSC配置使用安全配置文件通过便携计算机可读介质(例如USB闪存驱动器等)载入DSC(例如第一DSC202等)的配置文件中，消除对在第一DSC202装置上的用户接口的需要。一旦电力施加于第一DSC202，第一DSC202的管道管理器建立第一出局TCP/IP管道连接271然后在第一出局TCP/IP管道连接271上从DSM210下载所有其他需要的配置信息到第一DSC202。

因此，DSC202、212打开出局隧道271、273并且向DSM210传送它的在本地网络上的存在。每个DSC发现在本地网络和在防火墙(如果存在)后面的关联装置。例如，参见图9：在第一网络中没有防火墙但在第二网络中有防火墙。本地DSC合并来自该网络的公布的信息的所有并且传送该公布的信息到DSM210上。公布的信息可例如是DSC标识(唯一ID、实IP地址、名称、能力、支持的协议、连接终点、连接、主机信息等等)。

在步骤2，在DSM210中，虚拟装置网络管理员可手动发送请求通信到新宣布的DSC以发现什么虚拟IP地址在它的本地网络中是可用的。备选地，DSC可配置成在它与DSM210初始建立时并且每当本地虚拟IP地址信息更新时最初发现什么虚拟IP地址在它的本地网络中是可用的然后向DSM210报告那些IP地址。每个DSC可使用本地自动地址服务器获得可用VIP地址。

在步骤3，在DSM210中，虚拟装置网络管理员可手动指定虚拟IP地址(即主机控制器/本地IP对)并且路由到目的装置(即对应的DSC/IP对)。在DSM210的注册表中，DSM210创建DSC的唯一标识符和与该DSC关联的虚拟IP地址的配对。DSM210还创建主机DSC控制器的唯一标识符和主机DSC控制器的实IP地址的配对，和在远程网络上的DSC的唯一标识符和目标装置的实IP地址的配对。DSM210存储这些和其他相似配对。DSM210具有VIP路由表，其存储实IP地址、虚拟IP地址、到装置的路由、DSC和它们的关联可见网络部件的所有公布信息、连接终点、连接路由、当前连接、主机信息和相似信息，并且是DSM210中的注册表的一部分(参见图6和图9)。VIP路由表允许DSM210映射由DSM210指派的虚拟IP地址到在DSC后面的实IP地址。DSM210使从虚拟IP地址到实IP地址的映射自动化，无论实地址可或可不被NAT。注意在配对中，DSM210可使用与每个DSC关联的唯一ID，然而配对还可以使用指派给该DSC的MAC地址或实IP地址。然而，指派给该DSC的MAC地址或实IP地址可以可能在将来改变并且从而需要更多管理。

对于关于虚拟IP地址如何分配的更多实施例和细节参见图9。

在步骤4，DSM210自动复制虚拟IP地址到本地装置服务控制器，例如第一DSC202，其与主机控制台(即主机控制器)关联，其开始监听来自主机控制台的入局连接。DSM210可以与第二DSC212重复该指派虚拟IP地址的过程。在实施例中，虚拟接口可在每个DSC上实现以允许多个连接被监听。虚拟接口对每个链路建立虚拟IP地址并且从而可以处理到在任何目标装置上的任意端口的TCP/IP连接。

在步骤5，为开始通信，主机控制台208连接到与由虚拟装置网络管理员配置的路由关联的适当的“虚拟IP”(VIP)地址。VIP连接自动路由直通第一DSC202以传递到正确装置。从而，采用多路复用器模式的本地DSC透明地重定向通信业务流(例如来自主机控制台208的分组等)到DSM210。因此，与主机控制台208关联的本地装置服务控制器接受来自在VIP地址上的主机控制台的入局业务流分组。

总的来说，第一DSC202增加DSC-VIP地址配对信息进入入局分组的标头然后仅转发该分组到DSM210，其将基于目标装置的实IP地址到与DSC(其对该目标装置负责)关联的虚拟IP地址的映射做出路由决定。从而，在第一DSC202中的隧道管理器程序增加信息到通信业务流(即分组)的标头，所述信息包括1)通信业务流来自第一DSC202，该信息例如它的唯一ID，和2)通过包括最初发送通信业务流的源装置和端口(例如它的实IP地址等)识别关于在第一本地网络中的发起装置的信息，然后转发该通信业务流到DSM210用于在互联网上路由。

注意，来自关联装置的入局连接可以包括流业务流(例如TCP/IP)和分组业务流(例如UDP)定向网络连接两者。TCP分组标头信息一般标识最初发送数据的源端口和接收分组的目标目的端口两者。

从而，发起到第二网络中的远程目标装置的通信业务流的主机控制台连接到在第一本地LAN上的第一DSC202，其中在第一DSC202中的隧道管理器程序多路复用业务流到第一出局TCP/IP管道连接271上并且转发通信业务流到DSM210。

在步骤6，DSM210映射第一出局TCP/IP管道连接到对应的虚拟IP地址和端口(与第二DSC212关联的)。DSM210的IP重定向器确定对于第二网络中的设备子集中的目标装置的计划目标装置地址。DSM210的IP重定向器通过咨询路由表(其至少存储实IP地址、虚拟IP地址)确定与在第二网络中的第二DSC212关联的信息，并且路由到设备的子集。DSM210具有在DSM210的注册表中的虚拟IP地址路由表，其至少存储每个DSC和在该局域网上由局域网的用户指定为可见的网络装置的实IP地址，和虚拟IP地址，并且路由到装置，其中DSM210使用在虚拟IP地址路由表中的信息映射由DSM210指派的虚拟IP地址到与给定DSC关联的实IP地址以建立路由。DSM210通过参考VIP路由表确定适当的VIP路由，然后转发每个分组到适当的第二装置控制器用于传递给目标装置。DSM210通过参考VIP路由表和看到终端目标装置的实IP地址与给定DSC唯一ID关联确定适当的VIP路由。VIP路由表还具有DSC唯一ID与给定虚拟IP地址关联，然后转发每个分组到适当的第二装置控制器用于传递给在第二网络中的目标装置。从而，DSM210路由器查找终端目标装置的地址并且看出哪个DSC对该终端目标装置负责然后发送业务流到指派给对该终端装置负责的DSC的虚拟IP地址。

总的来说，DSM210为每个DSC存储、关联和映射所有DSC和它的关联装置的公布信息、路由信息、可用虚拟IP地址信息以及其他相似信息。从而，DSM210执行端口映射以及TCP中继(在采用多路复用器模式的DSC和采用多路分解器模式的在网络与防火墙的另一侧的DSC之间)。

每个DSC还具有隧道管理器，其采用多路复用器模式映射第一本地网络中的所有关联的网络装置到域名。

在步骤7，采用多路分解器模式的第二DSC通过与DSM210建立的第二出局TCP/IP管道连接接受来自DSM210的隧道请求，并且转发该业务流到关联装置上。因此第二DSC周期性地呼叫DSM210以看出对于在主管第二装置控制器的网络中的关联装置是否有任何业务流是未决的。第二DSC具有隧道管理器以多路分解在与DSM210的出局通信隧道上接收的业务流，读取插入标头的DSC-VIP配对信息然后传递例如分组等业务流到目标终端装置。第二DSC212接收在第一虚拟IP地址上的通信业务流并且路由该通信业务流到也连接到第二本地网络(第二DSC212是其的一部分)的目的目标装置。

在步骤8，目标终端装置通过在第二DSC中路由通过相同路径将分组返回到发送器。第一和第二DSC212两者都具有管道管理器以创建到DSM210的直接通信隧道。每个DSC通过周期性地向DSM210验证它自己并且建立到DSM210的出局TCP/IP管道连接而创建它的到DSM210的直接通信隧道，然后对于在出局TCP/IP管道连接上的将来的双向通信保持该连接打开。IP重定向器基于在DSM210的注册表中发生的VIP地址映射从第一DSC202从第一建立的TCP/IP管道连接接收分组然后沿第二建立的TCP/IP管道连接向下路由分组到第二DSC212。

图9图示使虚拟IP地址的分配自动化的DSM的实施例的框图。DSM 910具有网络访问模块，其包括网络访问管理器和隧道管理器，其配置成与两个或更多装置服务控制器(DSC)合作并且充当中心管理站用于分配和指派虚拟IP地址给网络装置以代理每个DSC 902、912所在的局域网上的联网装置的通信。DSM 910位于与VIP地址关联的通信正路由到其上的LAN上的网络装置的外部。从而，DSM 910自动化来自中心DSM 910的这些虚拟IP地址的配置和分配，因此用户不需要在主机端做任何事使它们工作。DSM 910指派虚拟IP地址给给定的DSC并且建立从指派的虚拟IP地址到目的网络装置的路由(基于存储在DSM的注册表922中的对应的DSC和网络装置信息)。联网装置可在与广域网上DSM 910的位置有关的局域网上的例如本地防火墙914等防火墙后面。

在DSM 910上，VDN管理员可手动指定虚拟IP地址对(即主机控制器DSC ID和指派的本地虚拟IP地址)和到目的装置(即对应的装置控制器DSC ID和指派的本地虚拟IP地址对)的路由。备选地，DSC可发现什么虚拟IP地址在它的本地网络中是可用的，然后向DSM 910报告这些IP地址。在DSM 910中的网络访问模块创建1)每个DSC的唯一标识符(ID)和与该DSC关联的本地网络的虚拟IP地址的配对。在DSM 910中的网络访问模块还创建2)在第一局域网上主机DSC控制器的唯一标识符和与DSC的唯一标识符关联的主机控制台网络装置的实IP地址的配对，以及3)第二局域网上目的网络装置的实IP地址和目的DSC的唯一标识符的配对。在DSM 910中的网络访问模块然后存储这些配对在DSM的注册表922中的DSM 910中的VIP路由表中。这些配对还可以是本地网络的虚拟IP地址与该本地网络的DSC的唯一标识符的配对，在本地网络上的网络装置和与该本地网络关联的虚拟IP地址的其他配对也是可能的。该路由信息增加在现有分组路由信息的顶部的分组的标头部分(header portion)中。

DSM 910可与自动地址映射服务(例如域名系统938等)结合在一起，因为应用程序不需要改变它们的目标端口或重新配置成使用不同的端口。所有管理员需要做的是建立指向虚拟IP地址(VIP)的域名并且用户应用程序完全保持没有改变。

VIP路由表922可还存储VIP地址、VIP地址与唯一ID的配对、路由与装置和相似的信息。虚拟IP地址路由表922还可至少存储1)每个DSC和向DSC注册的在局域网上由局域网的用户指定为可见的网络装置的实IP地址、2)向DSC注册的网络装置和DSC的虚拟IP地址、3)到装置的连接路由、4)DSC和它们的关联的可见网络部件的所有公开的信息、5)连接终点、当前连接、主机信息和相似信息。虚拟IP地址路由表922组成DSM 910中的注册表的一部分。利用该存储的信息，DSM-DSC系统然后可以映射由DSM 910指派的虚拟IP地址到与每个DSC关联或在其后面的实IP地址以建立发起网络装置和目的装置之间的路由。总的来说，DSM 910使从虚拟IP地址到实IP地址的映射自动化，而无论实地址是可以还是不可以被NAT。注意，DSC装置配置成向DSM注册表922注册它们自己和任何关联的网络装置并且周期性地更新该信息。同样，本地DSC 912接收来自DSM910的业务流然后实际上路由业务流到例如第一网络装置953等的目的目标装置的关联的实IP地址。

在DSM 910中用于配对目的的DSC的唯一标识符可以是硬编码到每个DSC中的唯一ID、指派给该DSC的MAC地址或指派给该DSC的实IP地址。然而，指派给该DSC的MAC地址或实IP地址可以可能在将来改变并且从而要求比唯一ID更多的管辖。

DSM 910的网络访问模块使代码脚本化以命令主机DSC控制器902发现什么虚拟IP地址在在它的本地网络中是可用的以及然后向在DSM 910中的关联管理器报告这些VIP地址。DSC 902可以使用本地自动地址服务器940(例如DHCP)获得VIP地址，然后复制VIP地址回到在DSM 910中的关联管理器。

图10图示获得并向DSM报告虚拟IP地址的网络集管的实施例的流程图。

参照图9和10，在运行中在框1044中，当DSC最初与DSM通信并且然后如下周期性地与DSM通信时，DSM自动地命令主机DSC控制器902的网络集管获得本地VIP地址，例如使用DHCP。DSC 902的网络集管然后使用本地自动地址服务器940在框1045中1)在每个连接发生的基础上或2)为了效率来拾取VIP地址，从在该本地LAN中由DSC902向DSM 910预先识别为可用VIP的VIP地址池拾取VIP地址。在框1046中，DSC的网络集管可以使用本地自动地址服务器940(例如DHCP)获得VIP地址，然后复制VIP地址回到DSM 910。DSM 910使这些来自中心DSM 910的虚拟IP地址的配置自动化，因此用户不需要在主机端做任何事来使它们工作。网络访问模块然后更新VIP路由表922中的路由信息以能够关联/映射实IP地址与指派的VIP地址并且存储该关联在DSM注册表922中以及在可能的域名服务器938中以关联域名到VIP地址。

在实施例中，该关联永久存储在VIP路由表922中。在实施例中，关联配对被保持暂时存储在VIP路由表922中(同时连接是活动的)然后放置在存储对(例如100个存储对)的队列中，直到连接被需要配对的新的活动连接代替并且基于最不频繁使用而被盖写。

如论述的，主机DSC 902可查询DSM 910或甚至直接查询DNS938。主机DSC 902可向DNS 938查询正确的虚拟IP地址，或通过查询VIP路由表922获得该正确的虚拟IP地址。该主机DSC 902连接到指派给DSC的新的VIP地址。当接收查询时，DSM 910中的网络访问管理器可经由地址自动映射服务938(即动态DNS)建立从域名到远程目标装置的路由。自动映射服务器938建立指向虚拟IP地址的域名并且映射来自发起网络装置(即主机控制器DSC ID和指派的本地虚拟IP地址对)的业务流到目的装置(即对应的装置控制器DSC ID和指派的本地虚拟IP地址对)。从而，DSM 910映射指定的指派给第一DSC 902的虚拟IP地址和它的唯一ID的配对到指派给第二DSC912的IP地址和它的与域名关联的唯一ID的配对。在DSM 910中的网络访问管理器与域名服务器合作以可选地更新DSN 938中的一个或多个地址记录以允许自动的域名-到-IP地址解析。在实施例中，域名可以是映射到数字IP地址的阿尔法数字名称以便识别互联网上的计算装置。从而，发起网络装置可仅仅对通向目的装置的业务流打入域名。

DNS 938被连接并且被操作(由DSM 910)并且可对每个活动连接创建虚拟IP地址。不是从多个装置转发个体端口到单个公共IP地址，而是DSM 910中与每个DSC 902、912中的网络集管合作的网络访问模块为每个链路和每个DSC建立虚拟IP地址并且从而可以操纵到任何目标装置上的任意端口的TCP/IP连接。该技术方案可以容易地集成进入域名系统，因为应用程序不需要改变它们的目标端口或重新配置成使用不同的端口。所有你需要做的是建立指向虚拟IP地址的域名并且用户应用程序完全保持没有改变。

运行地，当DNS查询发生时DNS服务器938仅仅需要分配虚拟IP地址。每个DSC 902、912预先分配它的LAN中可用的VIP地址池，然后发送该VIP地址池到DSM 910。DSM 910然后按需要自由指派和使用来自池中的VIP地址条目(entry)。DSC需要的惟一信息是是否分配或收回VIP(来自池中的)。

为了防止明显的DoS攻击，DSM 910维护两个池用于指派虚拟IP地址。VIP地址的较小池用于来自未知公共IP地址的请求而VIP地址的较大池用于来自向DSC注册的已知IP地址的请求。一旦连接建立，到达的该连接所来自的公共IP放置在自动白名单池中，其然后允许具有更长的超时(timeout)。

在白名单中的条目还可具有指数式延时计时器以在连接终止后自动地从白名单池移除它们。

图11图示创建在本地网络中可用的虚拟IP地址的两个或更多池的DSM的图。

参照图11，在运行中在框1150中，在DNS查询时DSM中的网络访问模块检查以查看虚拟IP地址是否指派给主机DSC(hosting DSC)。

如果是，虚拟IP地址当前指派给主机DSC，网络访问模块发送该虚拟IP地址给主机DSC。

如果否，虚拟IP地址当前没有指派给主机DSC，在框1154中，网络访问模块检查是否查询来自公共IP地址或查询来自DNS查询白名单。

如果是，查询确实来自注册的公共IP地址或来自白名单，然后网络访问模块指派来自可用虚拟IP地址的大池中的对主机DSC可用的虚拟IP地址。

如果否，查询不是来自已知的公共IP地址或来自白名单，然后网络访问模块指派来自可用虚拟IP地址的小池中的对主机DSC可用的虚拟IP地址。

现在虚拟IP地址指派给主机DSC。

在框1156中，DSM的网络访问模块响应于查询而发送虚拟IP地址。

参照图9，在来自DSC的隧道请求时，DSM 910中的网络访问模块向白名单增加请求的公共IP地址并且然后将它发送到隧道调度器(dispatcher)。

注意在干预防火墙或NAT装置方面对网络管理员干预没有要求，对于主机装置使用该模式也没有任何任意配置变化的要求，但网络管理员应该为期望的DNS域(即本地网络)创建子域并且委托该子域给DSM 910或允许DSM 910提供动态DNS更新。

参照图7，如论述的，每个DSC 702具有配置成通过DHCP、端口管理和DHCP服务器管理并且维护IP地址的一个或多个池的网络集管726。在DSC 702中的网络访问模块726可由下列部件构成：DHCP服务器、虚拟IP池管理器以维护虚拟IP地址的集合，以及端口池管理器以维护端口池。

在DSC 702中的网络集管726负责维护虚拟IP地址池以供当映射IP地址到域名时由DSM 910使用。

在DSC 702中的网络集管726对于它的运行保持若干值：

pool.max指定DSC 702将一次保存的IP地址的最大数量(排除它自己)；

pool.lowmark指定一直留作预备的IP地址的数量(除非达到pool.max)；以及

pool.inuse指定当前使用中的IP地址的数量。

在DSC 702中的网络访问模块726与DSM中的网络访问模块通信以获得pool.inuse数量。另外，在DSC 702中的网络集管726应该能够为期满目的向DSM查询每个使用中的IP地址的使用。

DSC 702不需要目的地的另外的了解。实际上，DSC 702不了解隧道的最终目的地。

在DSC 702中的隧道管理器725与网络集管726以及其他内部进程通信(两者都采用多路复用器(MUX)和DeMUX模式)并且定向隧道业务流。MUX模式允许对DSC关联的网络装置与其他域中的另一个DSC的关联的网络装置通信。DEMUX模式重定向隧穿的业务流从DSM到在本地域中关联的网络装置。Mux模式可具有两个关联的程序。端口MUX隧穿本地端口任一TCP/UDP到DSM 910。虚拟IPMUX隧穿业务流到虚拟IP地址到DSM 910。

隧道MUX管理器725接受来自本地LAN在DSC上的连接(TCP/UDP)。通过使用网滤器/IP表，在DSC上的所有虚拟接口可以重定向到单个隧道MUX管理器daemon。

MUX管理器然后可以向网滤器接口查询计划的目的地以确定虚拟IP地址。当连接到DSM隧道管理器时，MUX管理器可以发送虚拟目的地IP、虚拟目的端口号和本地DSC的DNA ID。

基于该信息，DSM可以确定分组实际上计划到哪里然后代理该连接。

MUX TCP隧道处理程序(Tunnel Handler)向DSM发送一些初始标头信息。它然后对tcp_relay3执行相似功能。

隧道DEMUX管理器的任务是非常简单的。当接收到连接并且做出一些验证时，它读取初始标头以确定分组类型和目的地。隧道DEMUX管理器然后大量产生tcp_relay代理或udp_relay代理以执行实际中继任务。

这样，DSM 910充当在公司防火墙和客户NAT路由器后面运行的每个DSC的多个关联的装置的代理访问点。

在实施例中，DSM通过DHCP地址配置或从对第一DSC可用的虚拟IP地址的静态池指派虚拟IP地址给本地DSC。当本地DSC通过询问终端目标装置的指定DNS名称而发起第一TCP/IP管道连接时。返回的虚拟IP地址将已经由DSM从对主机DSC可用的本地虚拟IP地址池供应。当主机装置尝试ARP地址解析时，DSC将响应并且开始转发该连接的业务流到DSM，其然后将转发该业务流到关于DSC端口转发模式适当的装置。

隧道管理器725配置用于DSC202以能够发起到在由干预防火墙保护的另一个本地网络中的终端目标装置的TCP或UDP连接并且不知道终端目标装置的实IP地址。

参照图6，DSM 610的图形用户界面651也配置用于DSM管理员指定个体装置关联，其限定为现有装置配置与具体发现的DSC装置的配对。一旦装置已经在DSM的注册表620中关联，DSM 610可应用适当的配置变化并且将按照在DSM 610中的IP重定向器模块618中维护的访问规则的预设集开始转发代理连接(到网络设备的DSC)。

当发现并且注册探测到的DSC时，可在图形用户界面651的装置监视服务视图中出现适当的图标。用户然后可将每个这样注册的装置与之前创建的配置记录关联。一旦这完成，附加装置设定(包括发现搜索记录)可以自动地下载到DSC装置。基于这些设置，DSC然后将开始发现附加网络装置并且传递业务流。

在DSM 610中的用户数据复制管理器645提供用于从DSC复制数据到DSM的机制。在DSM 610中的用户数据复制管理器645产生包括该DSC的配置记录的装置配置文件的本地副本。DSC使用采用SSH实现的安全通信通道以从中心注册表620取得装置配置文件的本地副本，然后DSC更新它的装置配置文件的本地存储副本。从而，影子配置注册表在远程管理的DSC装置上维护。DSC然后向DSM 610发送更新完成的信号并且DSM 610更新DSM 610的中心注册表620中的远程配置的DSC的状态。

图2b图示具有DSC的系统的实施例的框图，每个DSC具有配置成通过向DSM验证它自己和建立到DSM的出局TCP/IP管道连接然后为建立的TCP/IP管道连接上的将来的双向通信保持该连接打开来向DSM提供直接通信隧道的管道管理器。主机控制台208b通过本地DSC和DSM 210b连接到远程DSC 212b。本地和远程DSC 212b都可以为双向通信保持它们自己和DSM 210b之间的直接通信隧道打开。直接TCP通信隧道是双向TCP/IP管道连接/TCP会话，其对DSM 210b保持打开。在入局连接上的业务流然后通过该会话中继。在远程DSC212b中的管道管理器可使用基于证书的SSH(安全外壳)加密协议以确保主机控制台208b和目的目标装置(例如运动控制器等)之间通过直接TCP通信隧道的安全的、端到端的通信。在业务流已经被传送后，那么然后TCP会话可关闭。从而，直接TCP通信隧道可通过SSH实现。

在实施例中，直接TCP通信隧道还可以是简单的TCP端口转发器。程序只是监听本地TCP端口并且所有接收的数据将发送到远程主机。直接TCP通信隧道允许用户绕开防火墙，该防火墙不允许远程装置建立到你的服务器的入站TCP/IP连接。

远程DSC还通过解码业务流上的标头并且转发该业务流到目标网络部件上来多路分解该业务流(从直接通信隧道到它的关联局域网上的网络部件)。TCP分组标头信息一般标识最初发送数据的源端口和接收分组的目标目的端口两者。

图5图示分布式系统的自动集中式管理的实施例的框图。

系统的核心是DSM 510。装置服务管理器管理DSC 502、512、513和515的集合。DSM 510可具有配置成与在与广域网上的DSM 510的位置有关的广域网上的防火墙(例如防火墙506、514、517和519等)后面的两个或更多DSC 502、512、513、515合作的IP重定向器模块518。DSM 510充当用于向DSC 502、512、513和515自动分发配置信息的中心管理站。经由该DSC中的驱动端口上载的可执行自举文件脚本化以采集该DSC和在与该DSC相同的网络上的网络装置的配置信息并且在没有由DSM 510的提示的情况下然后发送初始配置文件到DSM 510。DSM 510在DSM的注册表中为该DSC制作装置配置文件的原版拷贝。

每个DSC 502、512、513、515和DSM 510协力工作以提供在不同域中关联装置之间的端到端访问。DSM 510充当代理连接点以用于参与DSC 502、512、513、515。DSM 110是专用设备，其在用户主机和目的装置之间中继连接。

个体DSC 502、512、513、515充当参与的LAN上的低成本存在点。每个DSC 502、512、513、515能够同时担当主机控制器(其发起来自主机系统的连接)和装置控制器(其接收和管理到个体远程装置的入局连接)。每个DSC 502、512、513、515配置成代理它自己和它的关联网络装置两者到位于本地LAN之外的它的父DSM 510的连接。

对于远程网络，新安装的DSC像新安装的计算机一样工作。为了访问在远程网络上的装置，DSC只需要建立到控制VDN的DSM的单个出站连接。该出站连接是担当主机控制器的DSC和DSM之间的管道通信链路。一旦该连接建立，所有系统配置、命令和网络业务流可以经过加密通道。当DSC成功向DSM验证时，它可以立即开始提供对预先授权的设备的个体件的安全访问。

图8图示通过经由DSM 810中的驱动端口834上载的可执行自举文件向DSC(例如第一DSC 802等)分发配置信息的DSM的实施例的框图。DSM 810的管理员创建自举文件并且将该可执行自举文件的副本嵌入在拇指驱动器(thumb drive)上。载有可执行自举文件的拇指驱动器陪同DSC装置802并且用DSC装置802运送。在DSC 802中的可执行自举文件用代码脚本化以至少1)确定该个体DSC装置的唯一ID、2)确定DSC的当前IP地址、3)在广域网上供应DSM的IP地址和4)激活代码以发起与DSM 810的通信。

DSC装置802经由驱动端口834从拇指驱动器上载自举文件，使用自举文件的内容以经由DSC 802和DSM 810之间的SSH自动地创建安全通信通道并且在WAN上的它的IP地址连接到DSM 810。DSC802然后经由唯一ID、装置MAC地址和/或可能关联的DNS条目(DNSentry)向DSM 810验证它自己。DSM 810然后在维护在DSM 810中的参考表中查找验证信息。

参照图7，如论述的，DSC 702中的装置配置引擎743在没有由DSM的提示的情况下然后通过安全通信通道(例如通过安全协议、加密电子邮件或相似方法等)发送至少具有该个体DSC装置的唯一ID和DSC的当前IP地址信息的初始配置文件到DSM(其中个体装置通过装置ID、装置MAC地址和/或可能关联的DNS条目而被区分)。

参照图6，DSM IP重定向器模块618接收该配置信息。DSM 610具有用户数据复制管理器模块645以创建具有该配置信息和附加信息的装置配置/复制文件并且在DSM的注册表620中制作装置配置文件的原版拷贝。用户数据复制管理器模块645然后响应于DSC的向DSM610的注册或响应于给定DSC执行系统复位来向外分发该配置信息回到适当的DSC。注意，DSM 610还可响应于自举调用来发送固件、软件补丁(software patch)等的更新。

参照图7，DSC 702可以是在现有网络中部署的独立装置。该部署由仅仅物理地插入电力到电力连接和DSC的电源电路、插入以太网连接和将供应的拇指驱动器插入驱动端口734中(即USB闪存驱动器插入USB端口中)构成。就是这样。从而，DSC 702是连接至现有网络而不需要客户端软件安装在该现有网络中的另一个主机装置上的独立装置并且不需要来自终端用户的网络配置设置以适当地安装DSC到现有网络上。因此，避免许多企业IT部门不允许未授权的第三方应用程序安装到它们的系统上。DSC 702然后驻留在现有网络上并且作为到该LAN上的通信的媒介。没有必需的联网知识并且对该远程装置的访问自动配置。不需要终端用户配置或软件安装以适当地安装DSC到现有网络上。

位于每个DSC 702中的自动发现存在管理器程序730发现在现有LAN上的联网设备并且建立在该本地网络上的即时存在点。发现存在管理器程序730通过使用轮询技术发现在网络上的关联装置。发现存在管理器程序730具有图形用户界面(GUI)749以询问网络的用户由防火墙保护的每个发现的网络设备件是否应该对于由至少DSM的远程访问是可见的。DSC装置702然后收集并且通过安全通道发送出具有指定可见的网络装置信息的初始配置文件到中心管理DSM，该DSM自动地注册本地DSC和任何关联的网络装置在DSM主管的身份注册表中。该信息然后可以通过动态DNS、LDAP和DHCP以及关联的基于网络的目录服务应用程序接口使成为可用的。在实施例中，自动发现服务730等待用以发现在现有LAN上的网络设备直到DSM发送回原版配置文件的副本以及任何固件和软件更新。

图形用户界面749配置成用于DSM管理员配置每个关联的DSC的自动化的装置发现。可创建多个个体扫描记录，其指定SNMPv1、SNMPv2或另一个协议为搜索机制。当自动化的装置发现被激活时，扫描记录被复制到适当的DSC，其将使用它们以发起对于附属网络装置的它们的本地LAN的周期性扫描。

当发现装置时，DSC将创建发现记录，其将包括至少发现的装置的IP地址、用于定位发现的网络装置的发现协议和发现用的DSC的标识符。所得的发现记录将复制回DSM以供DSM的关联、配置和监视用的服务部件来使用。每个这样的发现记录将被指派唯一ID，其将允许管理员澄清对个体配置和发现的装置的引用。DSM然后发送回DSC的本地副本以存储在它的注册表728中。

从而，两个或多个DSC中的每个DSC 702充当本地注册机构，接受来自现有本地LAN上的关联网络装置的注册请求以及轮询本地LAN上的关联网络装置。DSC 702将维护关联装置的注册表728并且将能够自动地向它的父DSM注册表注册它们自己和关联装置。每个DSC 702将该数据提供给父DSM。每个DSC 702通过注册通过使用轮询技术发现的关联装置而参与装置发现和目录服务。

参照图6，DSM 610提供广域网上的DSC的分布式系统和这些DSC之间的代理通信的集中式管理。具有来自DSM 610的GUI 651的管理员从具有附加信息(包括制作现有装置配置与具体发现的装置的配对关联)、持久状态信息等的初始配置文件在中心注册表620中创建完整装置配置记录。中心配置注册表620存储配置信息并且用户数据复制管理器制作存储在DSM 610中的装置配置文件的原版拷贝。

图3图示具有中心DSM和本地DSC以对由防火墙保护的网络中的联网装置访问和从其访问的系统的实施例的框图。虚拟装置网络由DSM 310和DSC 302、312和与每个DSC关联的网络装置创建。在图3中的VDN与图1、2a和2b的上文说明相似地运行(除指出的地方)。IP重定向器可具有位于DSC和DSM两者中的部分。

参照图7，IP重定向器可包括访问子系统装置管理系统和注册表。在DSC中的管道管理器724向本地DSC进程通知到DSM的SSH会话已经完全建立。管道的SSH外壳会话(shell session)附连到DSM中的IP重定向程序部分。IP重定向程序然后发送DSC可以使用的用于确保直接通信隧道建立并且活动的周期性信标分组。一些次要的协议能力可存在以允许DSC/DSM 110执行带宽/等待时间估计。SSH的TCP端口转发特征可以用于在DSM和DSC之间传递所有其他控制和隧道数据。管道管理器724还可以协商“远程”端口，它可以从DSM监听。

图4图示在DSC中的管道管理器的实施例的状态图。管道管理器包含代码以开启和停止直接TCP通信隧道，确定该直接TCP通信隧道何时是空闲的或意外中断等等。在框402中，当未决TCP连接请求进入时，管道管理器检查以查看是否有任何SSH隧道已经与DSM建立。如果否，在框404中，管道管理器建立完整或部分SSH会话。在框406中，管道管理器通过分别证实它们的身份协商该DSC向DSM的验证。

在SSH会话已经完全建立并且对原始点负责的DSC的身份向DSM验证后，于是在框408中允许业务流在直接通信隧道中的两个方向上通过。

在框410中，如果隧道已经建立，DSC重定向socket并且刷新隧道计时器。

参照图6，DSM 610具有IP重定向程序，其由多个采用软件、逻辑或两者的组合实现的例程构成。DSC还可包含一部分IP重定向程序。IP重定向程序可包括在DSC中的部分，例如在DSC中的管道管理器等，其使代码脚本化以提供基本安全网络通信并且管理DSC和DSM之间的管道隧道和在DSC中的隧道管理器。

在DSM 610中的IP重定向器的隧道管理器624部分使代码脚本化以在DSM和采用DEMUX模式运行的DSC之间和在DSM和采用Mux模式运行的DSC之间提供安全多路复用TCP会话。

上文的进程可通过采用给定的编程语言编写的软件代码、硬件逻辑部件和其他电路或两者的某个组合实现。

因此，在实施例中，用于使上文论述的算法便利的软件可以包含到机器可读介质上。机器可读介质包括提供(例如，存储和/或发送)采用由机器(例如，计算机)可读形式的信息的任何机制。例如，机器可读介质包括：只读存储器(ROM)；随机存取存储器(RAM)；磁盘存储介质；光学存储介质；闪存器件；数字视盘(DVD)、EPROM、EEPROM、闪存、磁性或光学卡片或适用于存储电子指令的任何类型介质。

上文的详细说明的一些部分根据计算机的存储器内的数据位上的运算的符号表示和算法呈现。这些算法说明和表示是由数据处理领域内的技术人员使用的用以最有效地向本领域内其他技术人员表达他们的工作的实质的工具。算法这里并且一般设想为导致期望结果的步骤的自洽顺序。步骤是要求物理量的物理操作的那些。通常，尽管不是必须，这些量采用能够存储、转移、组合、比较和另外操作的电或磁信号的形式。已经证实有时主要由于常见使用的原因将这些信号作为位、值、要素、符号、字符、项、数字或相似物来提及是方便的。这些算法可采用许多不同的软件编程语言编写。同样，算法可用软件中的代码行、软件中的配置逻辑门或两者的组合实现。

然而，应该牢记所有这些和相似的术语将与适当的物理量关联并且仅是应用于这些量的方便标签。除非如从上文论述明显的那样另外具体叙述，意识到在整个说明中，利用例如“处理”、“计算”、“算术”、“确定”、“显示”或相似物等术语的论述指计算机系统或相似的电子计算装置的动作和进程，其操作并且转换在计算机系统的寄存器和存储器内表示为物理(电子)量的数据为在计算机系统存储器或寄存器或其他这样的信息存储、传输或显示装置内相似地表示为物理量的其他数据。

在实施例中，逻辑由遵循布尔逻辑的规则的电子电路、包含指令模式的软件或两者的任意组合构成。

尽管本发明的一些具体实施例已经示出本发明将不限于这些实施例。例如，由电子硬件部件执行的大部分功能可由软件仿真复制。从而，编写以完成那些相同功能的软件程序可仿真输入输出电路中的硬件部件的功能性。本发明将理解为不由本文描述的具体实施例限制，而仅由附上的权利要求的范围限制。