技術領域

本發明涉及一種第一計算機網絡與至少一個第二擴展計算機網絡連接方法，其中該至少一個第二擴展計算機網絡沒有連接至因特網，并且不具有到第一計算機網絡的路由選擇通路，該方法提供步驟：

使中間網絡互連至所述至少第二擴展計算機網絡，并經由因特網使所述中間網絡互連至所述第一計算機網絡，以及

跨接所述中間網絡和因特網在所述第一計算機網絡與所述至少第二擴展計算機網絡之間實現IP隧道。

更具體地，本發明涉及一種上述類型的方法，其中所述第一計算機網絡與所述第二擴展計算機網絡屬于例如具有相同的法人實體的相同的或關聯的公司，而中間網絡屬于第三方。

背景技術

眾所周知，用于使第一計算機網絡和不連接至因特網并且不具有到所述第一計算機網絡的路由選擇通路的至少一個第二擴展計算機網絡連接的方法，提供：經由用作IP隧道終結器的路由器，使中間網絡互連至所述至少第二擴展計算機網絡，并且，經由因特網，使所述中間網絡互連至所述第一計算機網絡。

換句話說，這些方法，跨接直接的路由選擇通路和因特網、即橫過因特網和所述中間網絡，在所述第一計算機網絡與所述至少第二擴展計算機網絡之間實現IP隧道。更具體地，所述直接的路由選擇通路是跨接至少所述第二擴展計算機網絡與因特網之間的所述中間網絡的通路。

參考圖1，示意性地表示了以上方法的主要步驟，包括：具有到因特網3的連接的所述第一計算機網絡1，與沒有提供到因特網3的連接但具有到所述CPE路由器9的連接的所述第二擴展計算機網絡2之間的互連，該CPE路由器9還連接至所述中間網絡5。

例如，所述第一計算機網絡1和所述第二擴展計算機網絡2可以分別是用戶A的連通公司網絡和相同用戶A的外部連通公司網絡，由于該連通公司網絡與該外部連通公司網絡沒有直接的路由選擇通路，所以它們不能直接連接，并且由于所述外部連通公司網絡2例如因為地理約束而沒有提供到因特網3的連接，所以它們也不能經由通過因特網3的IP隧道虛擬連接。

第一計算機網絡和第二擴展計算機網絡屬于例如具有相同的法人實體的相同的或關聯的公司。

參考以上的示例，中間網絡5是提供商B的連通公司網絡5，其連接至因特網3，并可通過直接的路由選擇通路提供到外部連通公司網絡2的連通，以實現用戶A的連通公司網絡與該用戶A相應的擴展連通公司網絡之間的IP隧道。更具體地，中間網絡5或連通公司網絡5屬于第三方，該第三方不合法地連接至所述第一計算機網絡1和所述第二擴展計算機網絡2。

從第一計算機網絡1向第二擴展計算機網絡2產生的網絡通信量，及其反向的網絡通信量，被加密，例如通過IPSec協議、即用于在網絡層加密并驗證IP數據包的標準被加密，以避免第三方對傳送到IP隧道中的數據進行檢查。換句話說，加密和驗證提供：安全的虛擬點對點連接，或者用戶A的網絡之間的安全的IP隧道。

這些方法的缺點是，避免第三方檢查的加密網絡通信量，也避免中間網絡5內的檢查，使提供商B不能檢查通過其中間網絡5的網絡通信量，并且提供商B對此網絡通信量負責。

在超過一個的擴展計算機網絡2經由通過中間網絡5的相應的IP隧道連接至所述第一計算機網絡1時，已知方法的另一缺點是顯而易見的。

實際上，由于IPSec標準需要直接在OSI參考模型的IP網絡層L3上的分層安全，所以，如果將IPSec標準用于實現每個IP隧道上的安全，則提供商B的中間網絡5必須至少為每個擴展計算機網絡2提供至少一個公共IP地址，結果是為了實現多個安全的IP隧道，不能使用相同的公共IP地址。

另一方面，如果將不同的標準用于安全，以允許利用中間網絡5的相同的公共IP地址來多層電鍍(multiplating)幾個安全的IP隧道，例如SSL?VPN，則出現其他問題。所述SSL?VPN在傳輸層L4上、而不是在IP網絡層L3上分層。

實際上，該方法需要在提供商B的中間網絡5上的非簡單NAT(Network?Address?Translation，網絡地址轉換)配置，以提高在中間網絡5內以及在對進一步擴展計算機網絡2的未來可能的修正和擴展內該方法實現的復雜性。

再次參考以上的示例，由于該方法的配置必須為每個擴展計算機網絡2提供一個安全的IP通道，所以該方法實現的復雜性也在第一計算機網絡1中提高。