CN101039246A - 用于探测虚拟专用网通信的方法和设备 - Google Patents
用于探测虚拟专用网通信的方法和设备 Download PDFInfo
- Publication number
- CN101039246A CN101039246A CNA2007100862855A CN200710086285A CN101039246A CN 101039246 A CN101039246 A CN 101039246A CN A2007100862855 A CNA2007100862855 A CN A2007100862855A CN 200710086285 A CN200710086285 A CN 200710086285A CN 101039246 A CN101039246 A CN 101039246A
- Authority
- CN
- China
- Prior art keywords
- bag
- node
- vpn
- test target
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种VPN(虚拟专用网)通信探测设备(2),连接到内部网,用于探测通过中继设备(RA)连接到所述内部网的外部网上的VPN节点,该探测设备向测试目标节点发送(103)响应请求包,接收(103)来自于所述测试目标节点响应于所述响应请求包的响应包,测量(103)从发送响应请求包的第一时间点到接收到响应包的第二时间点的响应时间,并基于所述响应时间与在所述测试目标包通过所述中继设备时由所述中继设备插入的延迟时间之间的相关性判决(102)所述测试目标节点是否是VPN节点,如果所述测试目标节点是所述VPN节点的所述另一个,所述测试目标包包括所述响应请求包或响应包。
Description
技术领域
本发明涉及一种虚拟专用网(VPN),尤其涉及一种用于探测正在与内部网上的节点进行VPN通信的外部网上的节点的方法和设备。
背景技术
连接远程位置的基础网络的形式包括一种被称为虚拟专用网(VPN)的技术。
3层VPN(L3VPN)是一种通过进行“封装”,即将IP包存储在真实网络中的IP包中而在真实网络上构建虚拟网络的技术。有时将这种技术称为IP-VPN、Internet VPN等。不过,L3VPN是基于封装传输IP包的VPN,不能处理任何使用IP之外的协议的数据包,且在处理广播和多播通信时需要特殊考虑。
连接远程位置的基站的形式包括一种被称为2层虚拟专用网(L2VPN)的技术。通常,远程位置的基站属于不同的网络。不过,根据该项技术,2层帧(例如以太网(注册商标)帧)是在上层封装的且是在远程位置之间传输的,从而使得该系统看起来像一个虚拟的第2层。这种技术能够有助于统一策略等并减小管理员的负荷,且允许用户属于相同的网络,而不论他/她的位置在哪里。
在一些情况下,商务或政府机构限制通过VPN从外部进行访问以防止信息泄漏。有一种设备可用于探测通过防火墙的VPN通信(例如参见“One Point Wall”,Net Agent Co.,Ltd),以控制或调节通过VPN从外部访问内部网的主机。
这是一种防火墙设备,其特征在于监测通过该设备的通信的数据包的模式并且如果通信模式是使用了公知VPN协议的那种,则判定VPN连接。
如果通过VPN从外部访问内部网,VPN通信通常会通过的连接到外部的中继设备诸如路由器。因此,如果VPN通信是公知的VPN协议,监测通过的包就能够判定该包是否是VPN通信包。
然而,由于大部分VPN通信是加密的,因此难以仅通过观察经过的包来探测VPN通信。
在“One Point Wall”中所述的上述防火墙设备被设计成通过监测通信包模式来探测VPN通信包,如果通信包模式与公知模式一致,即使通信被加密,该设备也能利用公知的VPN协议探测出通信是VPN通信。
不过,除非防火墙设备已经知道该模式,否则,不可能探测VPN通信包。因此,该防火墙设备不能基于该设备不知道的协议,例如由防火墙设备新开发的VPN协议和改进的VPN协议,来探测任何用于VPN通信的VPN通信包。
计算机的广泛使用以及高速永远在线网络的改进已经允许用户随便地使用VPN。另一方面,为了保护版权,也有这样的需求,即,禁止一个房间内的设备之外的任何设备连接到安装于该房间内的设备。
在DTCP(数字传输内容保护)/IP的标准化中曾提出过一种使用RTT(往返时间)的技术,用于探测给定的通信伙伴(节点)是否正在通过VPN进行访问。不过,上述情形不能仅由该技术单独来处理。
此外,在“One Point Wall”中所述的上述防火墙设备被设计成探测VPN通信包,能够通过监测所经过的通信利用公知的VPN协议探测VPN通信包。即使该设备能够探测VPN通信包,也不能探测通过VPN连接的节点。
如上所述,常规设备不能容易地探测正在与内部网上的节点进行VPN通信的外部网上的节点。
另一个问题是,该设备不能容易地探测在内部网节点和外部网节点之间发送/接收的通信包中用于VPN通信的任何包,无论该VPN协议是否已知。
发明内容
根据本发明的实施例,一种VPN(虚拟专用网)通信探测设备,用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于通过中继设备连接到所述内部网的外部网上,所述连接到所述内部网的VPN通信探测设备包括:
发送单元,被配置成向测试目标节点发送响应请求包;
接收单元,被配置成接收来自所述测试目标节点的响应于所述响应请求包的响应包;
测量单元,被配置成测量从发送所述响应请求包的第一时间点到接收到所述响应包的第二时间点的响应时间;以及
判决单元,被配置成基于所述响应时间和当测试目标包通过所述中继设备时由所述中继设备插入的延迟时间之间的相关性判决所述测试目标节点是否是所述VPN节点中的所述另一个,如果所述测试目标节点是所述VPN节点中的所述另一个,所述测试目标包包括所述响应请求包或所述响应包。
根据本发明的另一实施例,一种VPN(虚拟专用网)通信探测设备,用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于通过中继设备连接到所述内部网的外部网上,所述连接到所述内部网的VPN通信探测设备包括:
切换单元,被配置成将所述中继设备切换到包抛弃模式和正常模式之一,所述包抛弃模式抛弃从所述内部网和所述外部网之一发送到所述内部网和所述外部网的另一个的包中的至少一个,所述正常模式不抛弃任何包;
发送单元,被配置成当所述中继设备处于所述包抛弃模式中时向测试目标节点发送第一响应请求包且在所述中继设备处于所述正常模式中时向所述测试目标节点发送第二响应请求包;
第一探测单元,被配置成探测是否收到来自所述测试目标节点的响应于所述第一响应请求包的第一响应包;
第二探测单元,被配置成探测是否收到来自所述测试目标节点的响应于所述第二响应请求包的第二响应包;以及
判决单元,被配置成基于由所述第一和第二探测单元获得的探测结果判决所述测试目标节点是否是所述VPN节点的所述另一个。
附图说明
图1为用于解释VPN通信的图示;
图2为用于解释VPN通信的图示,其示出了当从内部网观看时包的流动;
图3为用于解释VPN通信的图示,其示出了包的实际流动;
图4为示意性示出一种状态的图示,在该状态中,节点C利用L3VPN访问内部网,其中为节点C分配了不同于内部网的地址段的地址段中的地址;
图5示意性示出一种状态的图示,在该状态中,节点C利用L3VPN访问内部网,其中为节点C分配了用于内部网的地址段中的地址;
图6为方框图,示出了根据第一实施例的探测设备的布置例;
图7为方框图,示出了根据第一实施例的网络布置的例子;
图8为流程图,用于解释探测设备的处理操作,该探测设备使用了通过延迟经过中继设备的包来探测VPN通信的第一探测方法;
图9为顺序图,用于解释根据第一探测方法的网络中的数据流动,其示出了测试目标节点是正在与内部网节点进行VPN通信的节点的情形;
图10为顺序图,用于解释根据第一探测方法的网络中的数据流动,其示出了测试目标节点是内部网节点的情形;
图11为解释根据第一实施例的网络中的数据流动的图示,其示出了在测试目标节点是正在与内部网节点进行VPN通信的节点的情形中直到探测包抵达节点C的点的数据流动;
图12为解释根据第一实施例的网络中的数据流动的图示,其示出了在测试目标节点是正在与内部网节点进行VPN通信的节点的情形中直到来自节点C的响应包抵达探测设备的点的数据流动;
图13为示出了探测包的例子的图示;
图14为示出了从节点B发出的包含探测包的请求VPN包的例子的图示;
图15为示出了地址指向节点B且包含响应包的响应VPN包的例子的图示;
图16为示出了响应包的例子的图示;
图17为解释判决单元的判决处理的图示,其示出了在改变延迟时间的长度的同时,在测得的响应时间β上的叠加结果的例子;
图18为流程图,用于解释探测设备的处理操作,该设备使用了通过抛弃经过中继设备的包来探测VPN通信的第二探测方法;
图19为顺序图,用于解释用于获得经过中继设备的包的包属性信息的连接监测处理;
图20为示出了存储着作为连接监测处理结果而获得的包属性信息的连接控制表的例子的图示;
图21为流程图,用于解释中继设备的处理操作,该中继设备使用了通过延迟预先从经过中继设备的包中选出的测试目标包来探测VPN通信的第三探测方法;
图22为顺序图,用于解释根据第三探测方法的网络中的数据流动,其示出了测试目标节点是正与内部网节点进行VPN通信的节点的情形;
图23为示出了探测包的例子的图示;
图24为示出了从节点B发送的包含探测包的请求VPN包的另一例的图示;
图25为示出了响应包的另一例的图示;
图26为示出了地址指向节点B且包含响应包的响应包的另一例的图示;
图27为示出了为了利用第三探测方法探测VPN通信而将要对每一测试目标包执行的处理的内容的图示,更具体而言,示出了针对每一测试目标包当其通过时的延迟时间以及在插入延迟时间时发送探测包的次数;
图28为示出了当探测设备执行如图27所示的处理时获得的VPN通信的探测结果的图示;
图29为流程图,用于解释中继设备的处理操作,该设备使用了通过抛弃预先从经过中继设备的包中选出的测试目标包来探测VPN通信的第四探测方法;
图30为示出了为了利用第四探测方法探测VPN通信而将要对每一测试目标包执行的处理的内容的图示,更具体而言,示出了将被抛弃的测试目标包以及在抛弃测试目标包时发送探测包的次数;
图31为示出了通过使探测设备执行图30所示的处理而获得的VPN通信探测结果的图示;
图32为示出了根据第二实施例的探测设备的布置例的图示;
图33为示出了根据第二实施例的网络布置的例子的图示;
图34为用于解释根据第二实施例的网络中的数据流动的图示,其示出了在测试目标节点是正在与内部网节点进行VPN通信的节点的情形中直到探测包抵达节点C的点的数据流动;
图35为解释根据第二实施例的网络中的数据流动的图示,其示出了在测试目标节点是正在与内部网节点进行VPN通信的节点的情形中直到来自节点C的响应包抵达探测设备的点的数据流动;
图36为顺序图,用于解释在根据第二实施例将第一探测方法应用于探测设备和中继设备的情况下网络中的数据流动,其示出了测试目标节点为内部网节点的情形;
图37为顺序图,用于解释在根据第二实施例的探测设备和中继设备中的连接监测处理;以及
图38为顺序图,用于解释在根据第二实施例将第三探测方法应用于探测设备和中继设备的情况下网络中的数据流动,其示出了测试目标节点为内部网节点的情形。
具体实施方式
以下将参考附图的图示描述本发明的实施例。
首先将参考图1到5描述VPN通信概要以及与探测进行VPN通信的节点相关的常规技术中的问题。
(VPN通信概要)
如图1所示,当节点B与节点C进行VPN(隧道)通信时,通过VPN隧道在节点C或节点C物理连接的网络与内部网之间传输网络包。
图2为示出了在节点A和节点C之间通信期间包的流动的图示,包的流动由箭头表示,作为通过VPN隧道的包的流动的例子。从包括节点A的内部网上的节点的角度来看,似乎能通过节点B访问节点C或节点C所连接的网络(该通往节点C的路由由图1和2中的虚拟隧道表示)。
然而,如图3所示,实际的VPN通信是通过路由器RA与外部网之间进行的。亦即,地址指向节点C且从节点A发出的包首先到达节点B。节点B将所接收到的地址指向节点C的包封装成VPN包并发送该VPN包。该VPN包通过路由器RA被发送到外部网并到达节点C。节点C从所接收的VPN包中提取出由节点A发送的包。这等价于从节点A发送该包且到达节点C。
封装使得通过VPN隧道虚拟连接到节点C成为可能,如图2所示。
(探测通过L3VPN连接的节点)
将作为例子描述在探测由L3VPN连接的节点过程中出现的问题。从理论上讲,外部节点与内部节点的通信是通过隧道执行的。不过,实际中路由器RA允许与外部节点交换封装的包。
图4示出了在节点C利用L3VPN访问内部网的情况下网络布置的例子。
内部网使用地址段“10.0.0.0/24”工作。当通过L3VPN连接时,需要为节点C分配不同于内部网地址块的地址块,因此为节点C的隧道端点分配了例如地址段“10.0.1.0/24”的IP地址。
当节点C访问内部网上的节点(例如节点A)时,从理论上讲,通过节点B将来自节点C沿隧道前进的包传输到内部网并使其到达节点A。相反,从节点A到节点C的包通过节点B被传输并通过隧道到达节点C。
许多L3VPN方案的设计并不传输任何用于从以太网(注册商标)中的IP地址检验MAC地址的ARP协议包。因此,即使为节点C分配内部网IP地址段的IP地址,由于节点C不能发送任何ARP响应,节点不能向内部网上的节点告知MAC地址。因此,内部网上的节点不能访问节点C。
在这种布置中,尽管节点C的IP地址与内部网的IP地址不匹配,也不能从IP地址的差异判定某节点属于内部网。这是因为在内部网中,可能会有被分配了另一IP地址段的子网工作。
如果代理ARP功能在节点B中运行,向节点C分配与内部网相同的地址段允许节点进行通信。
图5示出了节点C是如何利用L3VPN连接到内部网的例子。与图4所示的布置不同的是,在图5所示的布置中,为节点C设置内部网的地址段的地址。
当节点B接收ARP包用于查询相对于节点C的IP地址的MAC地址时,节点B的代理ARP功能发出响应,指出节点C的MAC地址与节点B的MAC地址匹配。
这意味着地址指向节点C的所有包都被发送到节点B。一旦接收到地址指向节点C的IP地址的包,节点B就通过隧道将该包传输到节点C。相反,从节点C指向内部网的包通过隧道被传输到节点B,且节点B将该包传输到内部网。
假设使用了L3VPN且VPN隧道的两端的IP地址是不同的子网地址。在这种情况下,从IP地址的差异可以知道对应的节点不在同一子网中。不过,这可能表示另一个子网工作在该内部网中且没有节点通过VPN从外部连接到内部网。因此不能仅从IP地址的差异进行探测。
此外,在使用L3VPN时(稍后将描述该方案)可以将VPN隧道两端的IP地址分配成同样的子网地址。在这种布置中,尽管对应于通过VPN连接的节点的IP地址的MAC地址与内部网中终结VPN的节点的MAC地址相一致,这并不允许判定外部访问是通过隧道进行的。还有一种可能,即向节点B分配了多个IP地址,或者节点C在内部网中且通过内部网中的隧道进行通信。
以上描述举例说明了内部网使用IPv4(互联网协议版本4)的情形。不过,当内部网使用另一种网络协议,例如IPv6(互联网协议版本6)时在VPN探测中也会发生类似问题。
(探测通过L2VPN连接的节点)
将描述在上述网络布置中使用L2VPN进行隧道通信的情形。
显然,其他终端无法意识到L2VPN的使用。如图2所示,不仅单播帧,而且例如广播帧都是通过L2隧道被传输到另一个网络的(例如,在Windows(注册商标)中通过广播传输的名称解决序列或利用多播由UPnP(注册商标)传输的装置发现序列)。
然而,如图3所示,在实际中,具有通往上游网络的路由器传输通过L2VPN隧道前进的所有包。
当通过L2VPN从外部访问某节点时,能够传输以太网(注册商标)2层帧等。这可能使得似乎节点直接连接到内部网,即使其是通过VPN连接到它的。因此,常规技术不能提供有效的手段来判定是否通过L2VPN建立了外部连接。
(前提)
以下将描述用于如下实施例的描述的网络布置的例子。在这种情况下,该实施例的前提假设是满足以下条件的网络:
·与外部网的通信,例如VPN通信总是通过探测设备或诸如路由器的中继设备。假设没有探测设备或中继设备就不能建立到外部网的连接。如果有多个通往外部的路由,将探测设备或中继设备分别设置在这种路由中,并使它们彼此协作(稍后将详细描述探测设备或中继设备)。
·内部网是这样的网络:其在探测设备或中继设备的控制下进行连接,且经配置通过探测设备或中继设备访问外部网。
·存在于内部网中且终结VPN的节点在内部网和VPN隧道之间传输包。该实施例并非基于如下假设:将终结VPN的节点设置成不将任何包传输到内部网。
·作为测试目标的节点响应于来自探测设备的响应请求向探测设备返回响应。用于发出响应请求的通信协议的例子包括ICMPecho、ARP和ICMPv6ND。
(第一实施例)
1.探测设备
图6示出了根据第一实施例的探测设备1的布置的例子。图6中的探测设备1包括连接控制单元101、判决单元102和收发单元103。
连接控制单元101监测通过路由器的连接,控制根据需要在包的传输期间插入的延迟,并控制是否传输包。连接监测是一种查询通过路由器的包的类型,即包属性信息的功能。例如,根据Linux(注册商标),该功能对应于“iptables”和“tc(iproute2)”。该功能使得能够插入任意的延迟和抛弃任意包。
判决单元102向连接控制单元101发出延迟包的指令、抛弃包的指令和取消上述指令的指令。此外,判决单元102向收发单元103发出发送判决包的指令并基于两个结果判决对应的包是否是通过该隧道的包。
收发单元103根据来自判决单元102的请求向内部网发送判决包并接收响应。然后收发单元103测量接收来自内部网的响应所用的时间。
图7示出了网络布置的例子,其中内部网包括图6中的探测设备1。在这种情况下,内部网例如为地址段为“133.196.16.0/24”的IPv4子网,且对应于节点C的通信设备通过L2VPN连接到内部网。该L2VPN使用TCP来分布数据。
参考图7,探测设备1探测到节点C通过VPN连接以及通过像图3所示的路由由VPN通信传输的包。
2.第一探测方法:当探测设备插入传送延迟并执行探测时
在这种方法中,探测设备1延迟其转发的所有包,并检查每个所插入的延迟和向测试目标节点发送请求响应的包(探测包)之后响应包返回所需的时间(响应时间)之间的相互相关性,由此探测测试目标节点是否是外部网上的节点并随后通过VPN隧道连接到内部网。
为探测设备1(其判决单元102)给出测试目标节点(在这种情况下为节点C)的MAC地址和IP地址。
以下将参考图8所示的流程图、图9所示的顺序图和图11和12所示的网络中的数据流动描述第一探测方法。
图8为用于解释探测设备1的处理操作的流程图。图9示出了顺序图,其示出了在根据第一实施例的网络中的数据流动。图11和12为解释根据第一实施例的网络中的数据流动的图示。图11示出了在测试目标节点为正在与内部网节点进行VPN通信的节点的情况下直到探测包抵达节点C的点的数据流动。图12为示出直到来自节点C的响应包抵达探测设备的点的数据流动。
参考图8,判决单元102指示连接控制单元101使通过探测设备1的包延迟时间α(α为可变值)(步骤S1)。
连接控制单元101通知判决单元102延迟插入的开始(步骤S2)。接着,连接控制单元101将从路由器RA侧向探测设备1输入的包和从内部网侧向探测设备1输入的包中的一者或两者延迟时间α,将从路由器RA侧向探测设备1输入的包传输到内部网侧并将从内部网侧向探测设备1输入的包传输到路由器RA侧,直到接收到来自判决单元102的处理停止指令(步骤S22)。
判决单元102指示收发单元103向测试目标节点(例如节点C)发送探测包连同MAC地址和IP地址(例如节点C的内部网IP地址)(步骤S3)。
一旦接收到该指令,收发单元103就向测试目标节点发送探测包(步骤S4)。探测包使用了设计成接收对(基于例如ICMPecho(ICMP回显请求)、ARP或ICMPv6ND(邻居发现)的)请求的响应的包。
图13示出了探测包(帧)的例子,其例示了含有ICMP回显请求的探测包。
收发单元103包括测量装置,用于测量在向测试目标节点发送探测包之后接收响应包所需的时间,即响应时间。在向测试目标节点发送探测包时,为了测量该响应时间,收发单元103存储探测包的传输时间(步骤S5)。
在图9的步骤S6中,一旦接收到探测包,节点B就封装探测包以生成包含加密的L2VPN数据的VPN包(请求VPN包),加密的L2VPN数据包含如图14所示的探测包。节点B向路由器RA发送该请求VPN包。
当该请求VPN包通过探测设备1时,连接控制单元101将该包延迟时间α,并将其传输到路由器RA侧(步骤S8)。
路由器RA接收通过连接控制单元101的请求VPN包,如图9所示(步骤S10)。
路由器RA从所接收的请求VPN包除去MAC报头(图14中的目的和传输源MAC地址D2和S2)并将该请求VPN包中包含的IP包发送到外部网(步骤S11)。在这种情况下,IP包的目的IP地址是节点C的IP地址“202.249.10.100”,而传输源IP地址为节点B的IP地址。节点C通过路由器RB接收IP包(IP包中加入了MAC报头)。
节点C发送地址指向路由器RA的VPN包,该包是通过封装地址指向探测设备1的“IF1”且含有ICMP回显响应的L2VPN数据获得的。路由器RB除去响应VPN包的MAC报头,并向外部网发送响应VPN包中所含的地址指向节点B的IP包(目的IP地址为节点B的IP地址)(步骤S12)。
路由器RA接收地址指向节点B的IP包。路由器RA在向IP包加入MAC报头后向内部网发送如图15所示的响应VPN包,该MAC报头含有作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址(步骤S13)。将如图15所示的响应VPN包发送到探测设备1。
探测设备1的连接控制单元101在延迟时间α之后将从路由器RA发送的包传输到内部网侧(步骤S8’)。
参考图9,当从内部网到外部网的包和从外部网到内部网的包通过探测设备1时,包在步骤S8和S8’中被延迟时间α。不过,可以使其任一者延迟该延迟时间α。例如,使从内部网到外部网的包在步骤S8中延迟该延迟时间α并将从路由器RA发送的包无延迟地(跳过步骤S8’)传输到内部网侧是足够的。或者,无延迟地将来自内部网的包传输至外部网(跳过步骤S8)并在步骤S8’中延迟该延迟时间α之后将从路由器RA发送的包传输到内部网是足够的。
当为通过探测设备1的从内部网到外部网的包和从外部网到内部网的包两者插入延迟时间α时,总的延迟时间成为2α。当为它们中任一者插入延迟时间α时,总的延迟时间成为α。在前一种情况下,执行以下将要描述的判决处理以检查所插入的延迟时间2α和所测的响应时间β之间的相关性。
在这种情况下,为了简单起见,以下描述将例示将延迟时间插入到通过探测设备1的从内部网到外部网的包或从外部网到内部网的包任一者的情形(延迟时间α在步骤S8或步骤S8’任一者中插入),即,由探测设备1插入的总延迟时间为α的情形。
图15所示的VPN包通过探测设备1被传输到内部网并由节点B接收(步骤S14)。
节点B从图15所示的所接收的VPN包中所含的L2VPN中提取对应于上述探测包的响应包(参见图16)并将响应包发送到内部网(步骤S15),响应包含有作为目的地的探测设备1的MAC地址IF1以及作为传输源的节点C的MAC地址。
在图8中的步骤S16中,收发单元103通过探测设备1的IF1接收该响应包。收发单元103从该响应包的MAC报头(图16中的D3和S3)以及IP报头判决该响应包是否是来自测试目标节点(在这种情况下为节点C)的响应包。如果传输源与节点C的MAC地址和节点C的内部网IP地址匹配,就判定该响应包是来自测试目标节点的响应包且过程前进至步骤S17。
在步骤S17中,如果响应包是来自节点C的响应包,收发单元103就存储响应包的接收时间。
然后收发单元103通知判决单元102探测包传输到测试目标节点C的时间(传输时间)和响应于探测包接收响应包的时间(接收时间)之间的差异,即响应时间β(步骤S18)。
判决单元102对应于延迟时间α存储从收发单元103告知的响应时间β(步骤S19)。
将从步骤S1到步骤S19的处理重复预定次数(步骤S20)。
在将从步骤S1到步骤S19的处理重复预定次数之后,该过程前进到步骤S21b以改变延迟时间α的值并将从步骤S1到步骤S19的处理重复预定次数。在针对多个不同(预定数量的)延迟时间α执行从步骤S1到步骤S19的处理之后,其中插入延迟时间并测量β的值(步骤S21a),判决单元102前进至步骤S22。
在步骤S22中,判决单元102指示连接控制单元101停止向通过探测设备1的包插入延迟α并指示收发单元103停止处理。
一旦接收到上述停止指令,连接控制单元101就停止图8所示的延迟插入操作(步骤S23)。
一旦接收到该停止指令,收发单元103就停止图8所示的处理(步骤S24)。
判决单元102在收发单元103通知的多个测量结果(延迟时间α和响应时间β)的基础上判决测试目标节点C是否通过VPN隧道连接到内部网(步骤S25)。
例如,如图17所示,假设当延迟时间为“0.00”秒时,测量指定次数的β的平均值为“0.01”秒,当延迟时间为“0.20”秒时,测量指定次数的β的平均值为“0.21”秒,且当延迟时间为“0.25”秒时,测量指定次数的β的平均值为“0.26”秒。
在这种情况下,随着延迟时间增加,β值增大;β的值受到延迟时间α的变化的影响。亦即,α和β之间的相关性高。这表明,由于是在探测设备1发送探测包的时间点和接收到对应的响应包的时间点之间将延迟时间α插入响应时间β中的,被延迟该延迟时间α的包是从内部网向外部网传输的包或者从外部网向内部网传输的包。亦即,探测到测试目标节点C通过VPN隧道连接到内部网。
如果测试目标节点C在内部网中,由收发单元103发送的探测包被测试目标节点C直接接收,且在步骤S4中向探测设备的IF1发送对应的响应包,如图10所示。在该操作中,未插入延迟时间。亦即,由于没有探测包通过探测设备1和路由器RA,即使向通过探测设备1的包插入的延迟时间α变化或者不插入延迟时间,在发送探测包之后接收来自测试目标节点的响应包所用的时间也不变化且几乎恒定。或者,如果该时间因为某些因素而变动且表现出相反关系的函数(例如,当α=0时β=0.1,而当α=0.2时β=0.01),即,节点C存在于内部网中,延迟时间α和β之间的相关性低。
3.第二探测方法:当探测设备抛弃包并执行探测时
在这种方法中,探测设备1抛弃所有被转发的包并比较抛弃包时包到达测试目标节点的可达性和未抛弃包时的可达性,以探测测试目标节点是否是外部网的节点以及是否通过VPN隧道连接到内部网。
以下描述将例示这样的情形:当从内部网到外部网的包和从外部网到内部网的包中的从外部网到内部网的包被通过路由器RA输入到探测设备1时,探测设备1抛弃所有的包。
预先为探测设备1(其判决单元102)提供测试目标节点(在这种情况下为节点C)的MAC地址和IP地址。
将参考图18描述第二探测方法。
参考图18,判决单元102指示连接控制单元101开始抛弃通过探测设备1的包(步骤S101)。
连接控制单元101具有一种包抛弃模式和一种不抛弃任何包的正常模式,在包抛弃模式中,抛弃从外部网输入且地址指向内部网节点的包和从内部网输入且地址指向外部网节点的包中的任一者或两者。一旦接收到上述包抛弃开始指令,连接控制单元101从正常模式切换到包抛弃模式。然后连接控制单元101通知判决单元102包抛弃的开始(步骤S102)。接着,连接控制单元101一直抛弃通过路由器RA的包,直到在步骤S111中接收到来自判决单元102的处理停止指令。
判决单元102指示收发单元103向测试目标节点连同测试目标节点(例如节点C)的MAC地址和IP地址(节点C的内部网IP地址)一起发送探测包(步骤S103)。
一旦接收到该指令,收发单元103就向测试目标节点发送探测包(步骤S104)。作为探测包,使用被设计成接收对(例如基于ICMPecho(ICMP回显请求)、ARP或ICMPv6ND的)请求的响应的包。例如,发送如图13所示的探测包。
如果测试目标节点位于VPN隧道的端点,节点B首先如在第一探测方法中所述接收探测包。节点B封装探测包以产生包含加密的L2VPN数据的VPN包(请求VPN包),该数据包含如图14所示的探测包。节点B向路由器RA发送该请求VPN包。
在这种情况下,请求VPN包通过探测设备1并直接被输入到路由器RA。
路由器RA从图14所示的请求VPN包除去MAC报头(图14中的D2和S2)并将请求VPN包中所含的IP包发送到外部网。在这种情况下,IP包的目的IP地址与节点C的IP地址(202.249.10.100)吻合,且传输源IP地址与节点B的IP地址吻合。节点C通过路由器RB接收该IP包(例如向IP包中加入了MAC地址)。
节点C发送通过如图16所示封装含有响应包的L2VPN数据获得的响应VPN包,其地址指向探测设备2的“IF1”并包含对所接收的包中包含的ICMP回显请求的ICMP回显响应。路由器RB除去该响应VPN包的MAC报头并向外部网发送该响应VPN包中所含的地址指向节点B的IP包(目的IP地址与节点B的IP地址一致)。
路由器RA接收地址指向节点B的IP包。路由器RA向探测设备1发送如图15所示的响应VPN包,该响应VPN包是通过向IP包添加MAC报头获得的,该MAC报头具有作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址。
探测设备1的连接控制单元101抛弃从路由器RA侧输入的上述响应VPN包(步骤S105)。因此,由于响应VPN包不抵达节点B,在向节点C发送探测包(步骤S107)之后的预定时间期间内收发单元103不接收如图16所示的来自节点C的任何响应包。
注意,收发单元103包括测量装置,用于在发送响应包之后测量上述预定时间期间。
如果节点C是内部网上的节点,即使探测设备1的连接控制单元101抛弃包,由于从收发单元103发送的探测包不通过探测设备1,所以包仍抵达节点C。一旦接收到探测包,节点C就发送如图16所示的响应包。结果,在发送地址指向节点C的探测包(步骤S107)之后的预定时间期间中收发单元103接收来自节点C的如图16所示的上述响应包。
当收发单元103在该预定时间期间之后在以上预定时间期间中从节点C接收上述响应包时,该过程进行到步骤S108。
在步骤S108中,收发单元103向判决单元102通知一个信息,指明是否其接收到来自节点C的响应包。
一旦接收到该通知,判决单元102就存储该信息,表明所通知的响应包是否被接收到(步骤S109)。
通过上述从步骤S101到步骤S109的处理,当连接控制单元101将要抛弃包时,它检查是否要在发送探测包之后的预定时间期间内接收来自节点C的响应包,且过程从步骤S110进行到步骤S111。当连接控制单元101不准备抛弃任何包时,它检查是否要接收来自节点C的响应包。为此,首先,在步骤S111中向连接控制单元101发出停止包抛弃的指令。一旦接收到该指令,连接控制单元101就停止包的抛弃并切换到正常模式。此后,判决单元102返回到步骤S103,指示收发单元103再次发送地址指向测试目标节点C的探测包。
一旦接收到该指示,收发单元103就向测试目标节点发送探测包(步骤S104)。在这种情况下,从节点B发送且地址指向路由器RA的请求VPN包经过路由器RA并经由路由器RB抵达节点C。如图15所示的包含从节点C发送且如图16所示的响应包的响应VPN包,即,包含作为目的地IP地址的节点B的IP地址和作为传输源IP地址的节点C的IP地址(202.249.10.100)的包通过路由器RA并被输入到探测设备1。不过,该包被传输到内部网而不被连接控制单元101抛弃。
因此上述如图16所示的响应包通过节点B被发送到探测设备2。结果,在发送地址指向节点C的探测包(步骤S106)之后的预定时间期间中收发单元103接收从节点C发送的如图16所示的上述响应包(步骤S107)。
当收发单元103在该预定时间期间之后或在预定时间期间中从节点C接收上述响应包时,该过程进行到步骤S108。
在步骤S108中,收发单元103向判决单元102通知一个信息,指明是否其接收到来自节点C的响应包。
一旦接收到该通知,判决单元102就存储该信息,表明所通知的响应包是否被接收到(步骤S109)。然后该过程进行到步骤S113,向收发单元103发出处理停止指令。
一旦接收到上述停止指令,收发单元103就停止如图18所示的处理(步骤S114)。
判决单元102在收发单元103所告知的指明在进行和不进行包抛弃时是否接收到响应包的信息判决测试目标节点C是否通过VPN隧道连接到内部网(步骤S115)。
在步骤S115中,当连接控制单元101不进行包抛弃时,判决单元102接收来自节点C的响应包。不过,当连接控制单元101进行包抛弃且判决单元102不接收来自节点C的响应包时,就探测到测试目标节点C通过VPN隧道连接到内部网。在连接控制单元101不进行包抛和进行包抛弃的任一种情形中,当从节点C接收到响应包时,就探测到测试目标节点C存在于内部网中而不是通过VPN隧道连接到内部网的节点。
以上描述例示了这样的情形:当从内部网到外部网的包和从外部网到内部网的包中的从外部网到内部网的包被通过路由器RA输入到探测设备1时,探测设备1抛弃所有的包。不过,本发明不限于此。例如,当从内部网到外部网的包和从外部网到内部网的包中的从内部网到外部网的包通过探测设备1时,探测设备1可以抛弃该包。或者,当从内部网到外部网的包和从外部网到内部网的包通过探测设备1时,探测设备1可以抛弃所有的包。在任一种情况下,根据图18所示的程序可以获得类似于上述的效果。
4.第三探测方法:当探测设备向每个连接插入传送延迟并进行探测时
设计该方法以针对每种类型的包(例如被选做测试目标包的包)向探测设备1转发的每个包插入延迟时间,并检查所插入的延迟和在向测试目标节点发送要求响应的包(探测包)之后接收响应包所需的时间(响应时间)之间的相关性,由此探测测试目标节点是否是外部网上的节点且是否通过VPN隧道连接到内部网。该探测允许判定被延迟的包是与测试目标节点交换的VPN包。
在这种情况下,通过属性信息被标识的包被称为“连接”,属性信息如MAC地址、IP地址、诸如IPv4、IPv6、TCP或UDP的通信协议和诸如TCP或UDP的端口号。例如,将把具有包括传输源IP地址“A”、目的IP地址“B”、传输源TCP端口号“C”和目的地TCP端口号“D”的属性信息的包称为连接。
首先将描述连接监测处理操作,该操作被作为探测操作的预操作而执行,用于获得属性信息以标识每个通过路由器RA的包,执行探测操作是为了探测通过VPN连接的节点以及用于VPN通信的包。
(1)连接监测处理
以下将参考图19所示的顺序图描述连接监测操作。在这种情况下,探测设备1预先具有测试目标节点(在这种情况下为节点C)的MAC地址和IP地址。
首先,判决单元102指示连接控制单元101开始连接监测操作(步骤S201)。
一旦接收到开始连接监测操作的指令,连接控制单元101就开始连接监测操作并通知判决单元102相应的信息(步骤S202)。
判决单元102指示收发单元103发送地址指向测试目标节点的探测包(步骤S203)。
收发单元103向测试目标节点发送探测包(步骤S204)。探测包使用被设计成接收对(例如基于ICMPecho、APP或ICMPv6ND的)请求的响应的包。例如,发送如图13所示的探测包。
如果测试目标节点位于VPN隧道的端点,节点B首先接收探测包。节点B封装探测包以生成含有加密的L2VPN数据的VPN包(请求VPN包),该加密的L2VPN数据含有如图14所示的探测包。节点B向路由器RA发送该请求VPN包(步骤S205)。
上述请求VPN包首先抵达探测设备1。已经抵达探测设备1的VPN包通过连接控制单元101。连接控制单元101提取与包相关的信息(包属性信息),向该信息加入VPN包和用于标识该包的包标识信息,并在预先准备的表中存储所得的信息(连接控制表)(步骤S206)。
包属性信息包含VPN包的目的MAC地址(图14中的D2)、传输源MAC地址(图14中的S2)、IP报头中包含的目的IP地址(图14中的节点C的IP地址“202.249.10.100”(DIP2))、传输源IP地址(图14中的节点B的IP地址SIP2)、VPN包的链路层报头或IP报头中所含的协议号、目的端口号(图14中的DPort2)、传输源端口号(图14中的SPort2)等。
例如,向图14所示的VPN包加入“ID3”作为包标识信息,且如图20所示,在连接控制表中彼此对应地存储从VPN包中所获得的包属性信息和包标识信息“ID3”。
路由器RA接收通过连接控制单元101的VPN包。路由器RA除去MAC报头(图14中的目的地和传输源MAC地址D2和S2)并向外部网发送VPN包所含的IP包(步骤S207)。在这种情况下,IP包的目的IP地址与节点C的IP地址“202.249.10.100”一致,且传输IP地址与节点B的IP地址一致。节点C通过路由器RB接收IP包。
节点C封装含有ICMP回显且地址指向探测设备1的L2VPN数据并发送地址指向路由器RA的VPN包。路由器RB除去VPN包的MAC报头并向外部网发送VPN包中包含的且地址指向节点B的IP包(步骤S208)。
路由器RA接收IP包。路由器RA向内部网发送如图15所示的VPN包,该VPN包是通过向IP包添加MAC报头获得的,该MAC报头具有作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址(步骤S209)。探测设备1发送如图15所示的VPN包。
已经抵达探测设备1的如图15所示的VPN包通过连接控制单元101。在这种情况下,如在步骤S206中那样,连接控制单元101提取与包相关的信息(包属性信息)并将其存储在预先准备的表(连接控制表)中,将VPN包和用于标识包的包标识信息加入该信息(步骤S210)。
例如,向图15所示的VPN包加入“ID4”作为包标识信息,且如图20所示,在连接控制表中彼此对应地存储VPN包中所含的包属性信息和包标识信息“ID4”。
图15所示的VPN包通过连接控制单元101并被节点B接收(步骤S211)。
节点B从图15所示的所接收的VPN包中所包含的L2VPN数据中提取对应于探测包的响应包(参见图16),响应包含有作为目的地的探测设备1的IF1的MAC地址和作为传输源的节点C的MAC地址,并向内部网发送该响应包(步骤S212)。收发单元103通过探测设备1的IF1接收该响应包。
通过以上方式,探测设备1能够获得通过路由器RA的每个包的属性信息。
以上操作例示了与地址指向某节点的一个探测包相关的操作次序。收发单元103通过在预定时间期间内发送多个地址指向多个节点的探测包来执行上述操作。
连接控制单元101存储在该预定时间期间内通过路由器RA的每个包的属性信息和标识信息。
判决单元102测量上述时间期间。当该预定时间期间过去后,判决单元102输出请求来停止向收发单元103发送探测包(步骤S213)。连接控制单元101输出连接监测停止指令(步骤S214)。
一旦接收到该连接监测停止指令,连接控制单元101就将存储在连接控制表中的信息通知判决单元102(步骤S215)。
一旦接收到该通知,判决单元102就将其存储在如图20所示的连接控制表中。
在该阶段,探测设备1仅识别出每个通过路由器RA的包的属性信息,但未曾探测到例如具有包标识信息“ID3”的包是用于VPN通信的包且节点C是通过VPN连接的。
参考图19,向测试目标节点发送探测包(在这种情况下为节点C)。不过,不必一直发送探测包。亦即,一旦接收到来自判决单元102的连接监测开始指令,连接控制单元101就可以获得在预定时间期间内通过探测设备1的每个包(从外部网到内部网的包和从内部网到外部网的包)的上述包属性信息。
(2)探测处理
接下来将描述利用探测设备1中的如图20所示的连接控制表探测通过VPN连接的节点和用于VPN通信的包的探测方法。
以下将参考图21所示的流程图、图22所示的顺序图和图11和12所示的网络中的数据流动来描述探测方法。
注意,与图21相同的参考数字表示与图8中相同的步骤,且与图22中相同的参考数字表示与图9中相同的步骤。
首先,探测设备1预先具有测试目标节点(在这种情况下为节点C)的MAC地址和IP地址。此外,用户在图20所示的连接控制表中存储的包标识信息中指定包标识信息或将成为测试目标的包或包属性信息。例如,假设用户在图20所示的连接控制表中的包标识信息中指定了包含在包属性信息中的协议号为“6”的几条信息,即包标识信息“ID1”到“ID4”。
参考图21,然后判决单元102从指定条的包标识信息“ID1”到“ID”中选择一条包标识信息并将该包与所选包标识信息设置为测试目标节点。判决单元102向连接控制单元101通知该测试目标节点的包标识信息(或包标识信息和对应于包标识信息的包属性信息)以及延迟时间α(α为可变值)并指示连接控制单元101开始延迟插入(步骤S1)。
以下描述将例示这种情形:具有包标识信息“ID4”的包被选择且具有包标识信息“ID4”的包被设置为测试目标包。
注意,具有包标识信息“ID4”的包具有探测设备1的IF1的IP地址作为目的IP地址和节点C的内部网IP地址作为传输源IP地址。
虽然从内部网到外部网的包和从外部网到内部网的包通过探测设备1,以下描述将例示这种情形:从内部网到外部网的包被传输到外部网而不插入延迟时间α,而从路由器RA发送的包是在向其插入延迟时间α之后被传输到内部网的。在这种情况下,在从发送请求包的时刻到接收到对应的响应包的时刻的响应时间期间插入的总延迟时间为α,且检查α和β之间的相关性。
然而本发明不限于该情形。如在上述第一探测方法中那样,可以为从内部网到外部网的包插入延迟时间α,可以将从路由器RA发送的包直接传输到内部网侧而不插入延迟时间α。同样在这种情况下,在从发送请求包的时刻到接收到响应包的时刻的响应时间期间(由探测设备1)插入的总延迟时间为α,且检查α和β之间的相关性。此外,当从内部网到外部网的包和从外部网到内部网的包都通过探测设备1时,可以为两种包都插入延迟时间α。在这种情况下,在从发送请求包的时刻到接收到响应包的时刻的响应时间期间(由探测设备1)插入的总延迟时间为2α,且检查2α和β之间的相关性。
连接控制单元101向判决单元102通知延迟插入的开始(步骤S2)。
判决单元102指示收发单元103连同测试目标节点的MAC地址以及IP地址(例如节点C的内部网IP地址)一起将探测包发送到测试目标节点(在这种情况下为节点C)(步骤S3)。
一旦接收到该指示,收发单元103就向测试目标节点发送探测包(步骤S4)。探测包使用被设计成接收对(例如基于ICMPecho(ICMP回显请求)、ARP或ICMPv6ND的)请求的响应的包。
图23示出了探测包(帧)的例子。该包例示了含有ARP请求的探测包,ARP请求用于查询对应于节点C的内部网IP地址的MAC地址。该探测包的目的地址D1为内部网中的广播MAC地址,而传输源地址S1为探测设备1的IF1的MAC地址。
在向测试目标节点发送探测包时,收发单元103存储探测包的发送时间(步骤S5)。
如果测试目标节点位于VPN隧道的端点,节点B首先接收探测包,如图22所示。
在图22的步骤S6中,节点B封装探测包以生成含有加密的L2VPN数据的VPN包(请求VPN包),该加密的L2VPN数据含有如图24所示的探测包。节点B向路由器RA发送该请求VPN包。
该请求VPN包首先通过探测设备1。不过,由于请求VPN包是从内部网输入的,该包被直接传输到路由器RA而没有插入延迟时间α,如图22所示(步骤S10)。
路由器RA从所接收的请求VPN包除去MAC报头(图24中的目的地和传输源MAC地址D2和S2)并向外部网发送该请求VPN包中所含的IP包(步骤S11)。在这种情况下,IP包的目的IP地址与节点C的IP地址“202.249.10.100”一致,且传输源IP地址与节点B的IP地址一致。节点C通过路由器RB接收该IP包(向IP包加入MAC报头)。
响应于所接收的包中所含的ARP请求,节点C发送通过如图25所示封装含有响应包的L2VPN数据获得的地址指向路由器RA的响应VPN包,该响应包地址指向探测设备1的“IF1”以返回节点C的MAC地址。路由器RB除去该响应VPN包的MAC报头并向外部网发送该响应VPN包中所含的地址指向节点B的IP包(目的IP地址为节点B的IP地址)(步骤S12)。
路由器RA接收地址指向节点B的IP包。路由器RA向内部网发送如图26所示的响应VPN包,该VPN包是通过向IP包添加MAC报头获得的,该MAC报头具有作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址(步骤S13)。将如图26所示的响应VPN包发送到探测设备1。
探测设备1的连接控制单元101检查包属性信息,例如从路由器RA发送的包的协议号、IP报头中的目的IP地址(图26中的DIP3)和传输源IP地址(图26中的SIP3)。如果包属性信息与在步骤S1中连接控制单元101通知的测试目标节点的包属性信息匹配,连接控制单元101就判定相应的包为测试目标节点(步骤S7),并在将其延迟该延迟时间α之后将该包传输到内部网(步骤S8)。
如果从路由器RA发送的包的协议号或包的包属性信息不同于在步骤S1中由判决单元102通知的测试目标的协议号或包属性信息,连接控制单元101就判定相应的包不是测试目标节点(步骤S7)。然后该过程前进到步骤S9,不插入延迟时间α而向内部网传输该包。
图26所示的VPN包被通过探测设备1传输到内部网并被节点B接收(步骤S14)。
节点B从图26所示的所接收的VPN包中所包含的L2VPN数据中提取对应于上述探测包的响应包(参见图25),响应包含有作为目的地的探测设备1的IF1的MAC地址和作为传输源的节点C的MAC地址,并向内部网发送该响应包(步骤S15)。
在图21的步骤S16中,收发单元103通过探测设备1的IF1接收该响应包。收发单元103从该响应包的MAC报头(图25中的D3和S3)以及IP报头判定该响应包是否是来自测试目标节点(在这种情况下为节点C)的响应包。如果传输源与节点C的MAC地址和节点C的内部网IP地址匹配,它就判定该响应包为来自测试目标节点C的响应包,该过程前进到步骤S17。
在步骤S17中,如果响应包是来自节点C的包,收发单元103存储该响应包的接收时间。
然后收发单元103向判决单元102通知探测包向测试目标节点C发送的时间(发送时间)与响应于探测包接收响应包的时间(接收时间)之间的差异β(步骤S18)。
判决单元102对应于延迟时间α存储收发单元103通知的时间β(步骤S19)。
在为一个测试目标包“D4”插入延迟时间α(由表示第一延迟时间的α1代表)的情形下将从步骤S1到步骤S19处理重复预指定的次数(步骤S20)。
在将步骤S1到步骤S19处理重复预指定次数之后,该过程前进到步骤S21b以改变延迟时间α的值(所得的值将由表示第二延迟时间的α2代表)。然后将从步骤S1到步骤S9的处理重复预指定次数。执行从步骤S1到步骤S9的处理并测量响应时间β的值,其中为同一测试目标包“ID4”插入具有不同长度的多个(预定数量的)延迟时间α(α1、α2......)。此后,判决单元102改变测试目标包(例如,从具有指定协议号“6”的若干条包标识信息中选择未被选择的包标识信息),将具有选定的包标识信息的包设置为新的测试目标,并针对多个延迟时间α(α1、α2,......)中的每一个将步骤S1到步骤S9的处理重复预指定次数。
当相对于具有全部指定条的包标识信息的包完成上述处理(步骤S21a)后,该过程前进到步骤S22。
在步骤S22中,判决单元102指示连接控制单元101停止向通过探测设备1的包插入延迟并指示收发单元103停止处理。
一旦接收到上述停止指令,连接控制单元101就停止图21所示的延迟插入操作(步骤S23)。
一旦接收到上述停止指令,收发单元103就停止如图21所示的处理(步骤S24)。
判决单元102在收发单元103通知的多个测量结果(延迟时间α和所测的响应时间β)的基础上判断测试目标节点C是否通过VPN隧道连接到内部网(步骤S25)。
假设测试目标节点为节点C且具有若干条包标识信息“ID1”到“ID4”的包为测试目标包。仍假设如图27所示,判决单元102已经将为各测试目标包插入的延迟时间α设置为“0”和“0.20”,已经在每种情形下将每个探测包发送了10次,且已经在发送探测包之后检查过延迟时间α和接收相应的响应包所需的时间β之间的相关性。
假设作为该处理的结果,获得了如图28所示的结果。如图28所示,在为每个测试目标包将延迟时间α设置为“0”秒和“0.2”秒的每种情形下,判决单元102计算在发送10次探测包后的响应时间β的平均值。
如图28所示,对于诸条包标识信息“ID1”和“ID2”而言,即使插入到相应的包中的延迟时间α在其通过探测设备1时发生变化,在发送探测包之后接收相应的响应包所用的时间(响应时间)β(β的平均值)也不变,且几乎恒定。亦即,延迟时间α和β之间的相关性低。
与此相反,对于诸条包标识信息“ID3”和“ID4”而言,当插入于对应包中的延迟时间α在其通过探测设备1时变化时,β的平均值随着该变化而变化。亦即,由于β的值受到延迟时间α变化的影响,因此延迟时间α和β之间的相关性高。
α和β之间相关性高表明,探测设备1在发送探测包之后接收响应包所需的时间(响应时间)包括在包通过探测设备1时插入的延迟时间α。亦即,具有诸条包标识信息“ID3”和“ID4”的包是通过探测设备1和路由器RA在内部网和外部网之间发送/接收的包,即,用于VPN通信的包。由于插入具有诸条包标识信息“ID3”和“ID4”的包的延迟时间α与向测试目标节点C发送探测包之后接收响应包所需的时间β之间相关性高,因此判定测试目标节点C通过VPN隧道连接到内部网。
亦即,在这种情况下,探测到节点C是通过VPN隧道连接到内部网的节点,且具有包标识信息“ID3”和“ID4”的包是用于VPN通信的包。
根据第三探测方法,在连接监测处理之后,通过缩小范围对预先选择的包执行探测处理(例如,在这种情况下是具有协议号“6”的包)。不过,不用执行上述连接监测处理而在所有或某些通过连接控制单元101的包(例如,TCP包、UDP包或具有高熵的包)中执行插入延迟的探测处理就足够了。在这种情况下,难以探测到用于VPN通信的包自身,但是可能如在以上情形中那样探测到通过VPN连接的测试目标节点。
5.第四探测方法:当探测设备抛弃用于每个连接的包且进行探测时
探测设备1比较要被转发的包中的预指定类型的包在被抛弃时到达测试目标节点的可达性与包不被抛弃时的可达性,以探测测试目标节点是否是外部网上的节点以及是否通过VPN隧道连接到内部网。如果探测到是这样的,就能够判定在这种情况下抛弃的包包括与测试目标交换的VPN包。
在这种情况下,通过属性信息被标识的包被称为“连接”,属性信息如MAC地址、IP地址、诸如IPv4、IPv6、TCP或UDP的通信协议和诸如TCP或UDP的端口号。例如,将把具有包括传输源IP地址“A”、目的IP地址“B”、传输源TCP端口号“C”和目的地TCP端口号“D”的属性信息的包称为连接。
如在上述第三探测方法的情况中那样,首先将描述连接监测处理操作,该操作被作为探测操作的预操作而执行,用于获得属性信息以标识每个通过路由器RA的包,执行探测操作是为了探测通过VPN连接的节点以及用于VPN通信的包。
接着将参考图29所示的流程图描述利用图20所示的连接控制表探测通过VPN连接的节点和用于VPN通信的包的探测方法,连接控制表是通过连接控制处理获得的。
注意,图29中相同的参考数字表示与图18中相同的步骤。
首先,探测设备1预先被提供以测试目标节点(在这种情况下为节点C)的MAC地址和IP地址。此外,用户在图20所示的连接控制表中存储的包标识信息中指定包标识信息或将成为测试目标的包或包属性信息。例如,假设用户在图20所示的连接控制表中的包标识信息中指定了包含在包属性信息中的协议号为“6”的几条信息,即包标识信息“ID1”到“ID4”。
参考图29,然后判决单元102从指定条的包标识信息“ID1”到“ID”中选择一条包标识信息并具有所选包标识信息的包设置为测试目标节点。判决单元102向连接控制单元101通知该测试目标节点的包标识信息(或包标识信息和被对应于包标识信息的包属性信息)并指示连接控制单元101在测试目标包通过探测设备1时抛弃测试目标包(步骤S101)。
以下描述将例示这种情形:具有包标识信息“ID4”的包被选择且具有包标识信息“ID4”的包被设置为测试目标包。
注意,具有包标识信息“ID4”的包具有IF1的IP地址作为目的IP地址和节点C的IP地址“202.249.10.100”作为传输源IP地址。因此,该测试目标包从外部网前进并经由路由器RA通过探测设备1。
一旦接收到来自判决单元102的抛弃具有包标识信息“ID4”的指令,当相应的包通过时,连接控制单元101就通知判决单元102其已经准备好抛弃包,即开始包抛弃(步骤S102)。
判决单元102指示收发单元103连同测试目标节点的MAC地址以及IP地址(例如节点C的内部网IP地址)一起将探测包发送到测试目标节点(在这种情况下为节点C)(步骤S103)。
一旦接收到该指示,收发单元103就向测试目标节点发送探测包(步骤S104)。探测包使用被设计成接收对(例如基于ICMPecho(ICMP回显请求)、ARP或ICMPv6ND的)请求的响应的包。例如,发送如图13所示的探测包。
如果测试目标节点位于VPN隧道的端点,节点B首先接收探测包,如在第一探测方法中所述。节点B封装探测包以生成含有加密的L2VPN数据的VPN包(请求VPN包),该加密的L2VPN数据含有如图14所示的探测包。节点B向路由器RA发送该请求VPN包。上述请求VPN包通过探测设备1。
连接控制单元101检查多条包属性信息,例如从内部网侧和路由器RA侧输入的包的协议号、IP报头中的目的IP地址(图14中的DIP2和图15中的DIP3)以及传输源IP地址(图14中的SIP2和图15中的SIP3)。如果在步骤S101中判定了该属性信息与连接控制单元101通知的测试目标包的属性信息匹配,连接控制单元101判定相应的包为测试目标包并抛弃该包(步骤S105)。使测试目标包之外的包通过。
注意,由于从节点B发送的图14所示的请求VPN包在属性信息方面不同于当前测试目标包,路由器RA从该请求VPN包除去MAC报头(图14中的D2和S2)并向外部网发送该请求VPN包中含有的IP包。注意,在这种情况下,IP包的目的IP地址为节点C的IP地址“202.249.10.100”,且传输源IP地址为节点B的IP地址。节点C通过路由器RB接收该IP包(其中IP包加入了MAC报头)。
节点C发送通过如图16所示封装含有响应包的L2VPN数据获得的响应VPN包,其地址指向探测设备2的“IF1”并包含对所接收的包中包含的ICMP回显请求的ICMP回显响应。路由器RB除去该响应VPN包的MAC报头并向外部网发送该响应VPN包中所含的地址指向节点B的IP包(目的IP地址与节点B的IP地址一致)。
路由器RA接收地址指向节点B的IP包。路由器RA向连接控制单元101发送如图15所示的响应VPN包,该响应VPN包是通过向IP包添加MAC报头获得的,该MAC报头具有作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址。
图15所示的响应VPN包为具有包标识信息“ID4”的当前测试目标包。
如果图15所示的(具有包标识信息“ID4”的)包是通过路由器RA输入到探测设备1的,由于包的上述属性信息与当前测试目标包的属性信息相匹配,连接控制单元101抛弃测试目标包(步骤S105)。因此,如图15所示的从测试目标节点C到节点B的响应VPN包不到达节点B。结果,在发送地址指向节点C的探测包(步骤S106)之后的预定时间期间中收发单元103不接收来自节点C的如图16所示的上述响应包(步骤S107)。
另一方面,上述测试目标包之外的包通过探测设备1而不被抛弃。因此,如果测试目标包不是将被测试目标节点C接收的含有探测包的请求VPN包或含有上述来自节点C的响应包的响应VPN包,由于该包未被连接控制单元101抛弃,收发单元103在发送地址指向节点C的探测包(步骤S106)之后的预定时间期间内接收来自节点C的如图16所示的上述响应包(步骤S107)。
假设测试目标节点C为内部网上的节点。在这种情况下,即使探测设备1的连接控制单元101抛弃通过探测设备1的包,从收发单元103发送的探测包也不通过探测设备1,从而到达节点C。一旦接收到探测包,节点C就发送如图16所示的响应包。结果,在发送地址指向节点C的探测包(步骤S106)之后的预定时间期间中收发单元103接收从节点C发送的如图16所示的上述响应包(步骤S107)。
当收发单元103在该预定时间期间之后或在预定时间期间中从节点C接收上述响应包时,该过程进行到步骤S108。
在步骤S108中,收发单元103就通知判决单元102是否接收到来自节点C的响应包。
一旦接收到该通知,判决单元102就存储表明所通知的响应包是否被接收到的信息(步骤S109)。
通过上述从步骤S101到步骤S109的处理,当连接控制单元101要抛弃具有对应于包标识信息“ID4”的属性信息的测试目标包时,连接控制单元101检查是否在发送探测包之后的预定时间期间内接收来自节点C的响应包,然后该过程从步骤S110前进到步骤S111。当连接控制单元101不准备抛弃测试目标包时,它检查是否要接收来自节点C的响应包。为此,首先,在步骤S111中向连接控制单元101发出停止包抛弃的指令。一旦接收到该指令,连接控制单元101就停止包抛弃。此后,判决单元102返回到步骤S103,指示收发单元103再次发送地址指向测试目标节点C的探测包。
一旦接收到该指示,收发单元103就向测试目标节点发送探测包(步骤S104)。在这种情况下,从节点B发送且地址指向路由器RA的请求VPN包经过探测设备1并经由路由器RB抵达节点C。如图15所示的包含从节点C发送且如图16所示的响应包的响应VPN包,即,包含作为目的1P地址的节点B的IP地址和作为传输源IP地址的节点C的IP地址(202.249.10.100)的包通过探测设备1而不被连接控制单元101抛弃。因此,通过节点B发送如图16所示的上述响应包。结果,在发送地址指向节点C的探测包(步骤S106)之后的预定时间期间中收发单元103接收从节点C发送的如图16所示的上述响应包(步骤S107)。
当收发单元103在该预定时间期间之后或在预定时间期间中从节点C接收上述响应包时,该过程进行到步骤S108。
在步骤S108中,收发单元103向判决单元102通知一个信息,指明是否其接收到来自节点C的响应包。
一旦接收到该通知,判决单元102就存储该信息,表明所通知的响应包是否被接收到(步骤S109)。然后该过程前进到步骤S116b到步骤S116a,以将测试目标包变为指定包组中未被选择的包。该过程随后前进到步骤S101以指示连接控制单元101开始抛弃新的测试目标包。接着,在步骤S102到S110中,在抛弃新的测试目标包和不抛弃包的情形下,向测试目标节点C发送探测包并检查是否接收到响应包。
当相对于所有具有指定的包标识信息的包完成上述处理(步骤S116a)后,该过程前进到步骤S113以指示收发单元103停止处理。
一旦接收到上述停止指令,收发单元103就停止如图29所示的处理(步骤S114)。
判决单元102在收发单元103所告知的指明在进行包抛弃时是否接收到响应包的信息判决测试目标节点C是否通过VPN隧道连接到内部网(步骤S115)。
在步骤S115中,尽管在不抛弃给定测试目标包时连接控制单元101接收来自节点C的响应包,当连接控制单元101抛弃测试目标包且没有接收任何来自节点C的响应包时,连接控制单元101探测到测试目标节点C通过VPN隧道连接到内部网。此外,连接控制单元101探测到测试目标包为用于与节点C进行VPN通信的包。
当连接控制单元101接收来自节点C的响应包时,即使该单元抛弃指定包组的任何测试目标包,当前指定的包组,即具有协议号“6”的包组可能不包括任何用于与节点C进行VPN通信的包,或者测试目标节点C可能不是通过VPN通信从外部网连接到内部网的节点。因此,相对于另一包组(例如,具有协议号“17”的包组),向测试目标节点C发送如图29所示的探测包以检查是否接收到任何响应包。
重复该处理就能够在测试目标节点C通过VPN隧道连接到内部网时从这种包组的任一个中探测到用于与节点C进行VPN通信的包。
参考图29,优选地,在抛弃和不抛弃测试目标包的每种情形下将探测包发送预定次数,并在每种情形下检查是否接收到响应包。
假设测试目标节点为节点C且具有若干条包标识信息“ID1”到“ID4”的包为测试目标包。仍假设在这种情况下如图30所示,判决单元102已经在抛弃所有包和不抛弃测试目标包的情形下针对每个测试目标包发送了10次探测包,且已经在抛弃测试目标包和不抛弃测试目标包的情形下检查了响应包的接收。
假设作为该操作的结果,获得了如图31所示的结果。如图31所示,判决单元102针对每个测试目标包计算响应包的接收率,其表示在抛弃和不抛弃包时接收到响应包的次数。
如图31所示,对于诸条包标识信息“ID1”和“ID2”而言,当相应包通过探测设备1时抛弃它们时获得的包接收率为100%,这与在不抛弃包时获得的相同。即使抛弃包,也总能接收到对应于探测包的响应包。亦即,包抛弃和响应包接收率之间的相关性低。
与此相反,对于诸条包标识信息“ID3”和“ID4”而言,当使相应的包不被抛弃而通过探测设备1时,总能够接收到响应包(响应包接收率为100%)。在抛弃包时,响应包接收率为“0”。亦即,包抛弃和响应包接收率之间的相关性高。结果,探测到具有诸条包标识信息“ID3”和“ID4”的包是通过探测设备1和路由器RA在内部网和外部网之间发送/接收的包,即,用于VPN通信的包。因此判定测试目标节点C是通过VPN隧道连接到内部网的。
根据第四探测方法,在执行连接监测处理之后,对预先缩小范围的包(例如,具有协议号“6”的包)执行探测处理。不过,不用执行上述连接监测处理而对所有或某些通过连接控制单元101的包(例如,TCP包、UDP包或具有高熵的包)执行抛弃的探测处理就足够了。在这种情况下,难以探测到用于VPN通信的包自身,但是可能如在以上情形中那样探测到测试目标包是否是通过VPN连接的。
已经通过例示探测基于L2VPN的VPN包的情形描述了第三和第四探测方法。不过,本发明不限于此,甚至能用于通过检查所插入的延迟时间α和所测的响应时间β之间的相关性来探测基于L3VPN的包(IPsec等),即通过IPIP隧道(移动IP/IPV6、6到4隧道等)进行VPN通信的包的情形。
第三和第四探测方法用IP报头中的目的IP地址、传输源IP地址、协议号等作为用于标识每个包的属性信息。不过,本发明不限于此。例如,当使用IPv6作为IP协议时,可以使用IP报头中的数据流ID、通信级别等。
在IP协议为IPsec、ESF(封装的安全净荷)报头中的SPI(安全参数索引)、包净荷的随机性(熵值)等的情况下,这些方法还可以使用TCP报头中的传输源端口号和目的端口号、UDP报头中的传输源端口号和目的端口号、AH(认证报头)中的SPI(安全参数索引)作为用于标识每个包的属性信息。
包净荷的高随机性(熵值)表明数据的高随机性,因此表明数据被加密的可能性高。
第三和第四探测方法在连接监测处理中使用ICMP回显请求作为探测包。不过,本发明不限于此。例如,使用不要求响应的包(帧)就足够了,只要它们抵达将要判定其是否是通过VPN连接的节点的测试目标节点(例如节点C)即可。
第三探测方法在探测处理中使用ARP请求作为探测包,第四探测方法在探测处理中使用ICMP回显请求作为探测包。不过,本发明不限于此。例如,使用抵达将要判定其是否是通过VPN连接的节点的测试目标节点(例如节点C)且被允许希望得到响应的包(帧)就足够了。例如,这些方法可以在IPv4的情况下使用ARP请求,使用RARP请求帧、ICMP/ICMPV6回显请求和ICMPv6ND包作为探测包。
此外,连接控制单元101可以不等待监测开始的指定而执行连接监测。虽然执行该处理以选择该类型的包作为测试目标,当要检查所有类型的包时,可以不进行连接监测来执行检查。
或者,不发送任何探测包而执行连接监测处理是足够的。在这种情况下,然而,由于在连接监测期间可能不发生任何VPN通信,在发送探测包同时进行连接监测提高了VPN通信的探测精度,如图19所示。
6.应用第三和第四探测方法的例子
接着将描述应用第三和第四探测方法的例子。
参考图7,假设节点A是运动图像分布服务器。为了保护运动图像的版权,节点A希望拒绝来自通过VPN连接到内部网的节点的连接。不过,节点A不能容易地知道某节点是否是通过VPN连接的。因此,例如,当节点C试图连接到节点A时,节点A让探测设备1检查节点C是否是通过VPN从外部网连接的。例如,节点A向探测设备1发送包含测试目标节点C的MAC地址和IP地址的探测处理请求。一旦接收到该探测处理请求,探测设备1执行如上所述的连接监测处理和探测处理,由此探测节点C是否是通过VPN连接的且还探测用于VPN通信的包(其属性信息)。
一旦接收到来自探测设备1的这种探测的通知,节点A就能够进行控制,例如拒绝来自节点C通过VPN的访问。
为了防止诸如个人信息、与防御相关的信息等的机密信息泄漏,优选防止外部网上的节点在没有内部网的许可的情况下进行VPN通信。然而,如果不能知道哪个包是用于VPN通信的,探测设备1就执行如上所述的连接监测处理和探测处理,以探测节点C是通过VPN连接的且还探测用于VPN通信的包(其属性信息)。
接着,探测设备1检查从内部网输入的该包的上述属性信息。如果属性信息与所探测到的用于VPN通信的包的属性信息相匹配,探测设备1就抛弃包以防止其被从内部网输出。探测设备1还检查从路由器RA侧输入的包的属性信息。如果属性信息与所探测到的用于VPN通信的包的属性信息相匹配,探测设备1就抛弃包以防止其被输入到内部网。
如上所述,根据第一实施例的第一到第四探测方法,容易探测到正在与内部网上的节点进行VPN通信的外部网上的节点。
此外,根据第一实施例的第三和第四探测方法,容易探测到正在与内部网上的节点进行VPN通信的外部网上的节点,且还探测到在内部网节点和外部网节点之间发送/接收的通信包中的用于VPN通信的包。
(第二实施例)
第一实施例已经例示了探测设备1包括连接控制单元101、判决单元102和收发单元103的情形。
第二实施例将例示如下的情形:将上述探测设备1的功能分成两部分,探测设备(在这种情况下为探测设备2)包括判决单元102和收发单元103,且连接控制单元101包括诸如路由器RA的连接在内部网和外部网之间的中继设备。
1.探测设备和转发设备的布置
图32示出了根据第二实施例的探测设备2和中继设备RA的布置的例子。图32中相同的参考数字表示与图6中相同的部分。
如在第一实施例中那样,探测设备包括判决单元102和收发单元103,还包括通信单元104,通信单元104用于和路由器RA进行用于上述连接监测处理和探测处理的通信。路由器RA包括连接控制单元101,还包括通信单元105,通信单元105用于和探测设备2进行用于上述连接监测处理和探测处理的通信。
图33示出了将图32中的探测设备2放在内部网中的网络布置的例子。
从内部网到外部网的包和从外部网到内部网的包必定通过路由器RA。因此,根据第二实施例,路由器RA包括连接控制单元101,连接控制单元101如在第一实施例中所述那样插入延迟时间(α)并抛弃包。这使得不必将探测设备2放在从内部网到外部网的包和从外部网到内部网的包一定通过探测设备的位置。如图32所示,探测设备2被放在内部网中的任意位置。
在这种情况下,作为中继设备的路由器RA包括连接控制单元101。不过,本发明不限于此。包括连接控制单元101的中继设备可以是任何设备,只要是一种能够在内部网和外部网之间转发包并执行延迟插入和包抛弃的通信设备即可。例如,该设备可以是诸如路由器、防火墙或具有这种功能的集线器的通信设备。
参考图33,内部网例如是地址段为“133.196.16.0/24”的IPv4子网,对应于节点C的通信设备通过L2VPN连接到内部网。该L2VPN使用TCP进行数据分布。
以下将描述第一和第二实施例之间的不同点。
第二实施例与第一实施例的不同在于:第二实施例被设计成通过通信单元104和路由器RA和通信单元105之间的通信在判决单元102和连接控制单元101之间交换信息(例如,图8和21中的步骤S1和S22中的指令、图18和29中步骤S2中的通知、步骤S101和S111中的指令、图19中的步骤S201和S214中的指令以及步骤S202和S215中的通知)。
假设将要在内部网节点和通过VPN隧道连接到内部网的外部网节点之间交换的包是从内部网到外部网且从外部网到内部网被传输的。在这种情况下,在第一实施例中,包通过探测设备1和路由器RA两者。相反,在第二实施例中,包仅通过路由器RA。
可以将第一实施例中所述的第一到第四探测方法以与第一实施例相同的方式应用到图32所示的探测设备2和路由器RA,不同之处在于:在第二实施例中,信息是通过探测设备2的通信单元104和路由器RA的通信单元105之间的通信在判决单元102和连接控制单元101之间交换的,而在内部网和外部网之间发送/接收的包通过路由器RA而不通过探测设备2。
2.第一探测方法
首先将通过例示如下情形参考图8和34到36描述根据第二实施例的第一探测方法,在该情形中,当测试目标节点是通过VPN隧道连接到内部网的外部网节点C且从外部网到内部网的包通过连接控制单元101时,连接控制单元101为该包插入延迟时间α。图34到36相同的参考数字表示与图11、12和9相同的部分。图34和35为解释在根据第二实施例的网络中数据的流动的图示。当测试目标节点是正在与内部网节点进行VPN通信的节点时,图34示出了直到探测包抵达节点C的步骤的过程。图35示出了直到来自节点C的响应包抵达探测设备的步骤的过程。
与第一实施例类似,第一探测方法在被路由器RA转发的所有从外部网到内部网的包中插入延迟,并检查所插入的每个延迟时间的长度和在向测试目标节点发送要求响应的包(探测包)之后接收响应包所需的时间(响应时间)之间的相关性,以探测测试目标节点是否是外部网上的节点且是否通过VPN隧道连接到内部网。
判决单元102通过通信单元104和105指示路由器RA的连接控制单元101为通过(连接控制单元101的)路由器RA的包插入延迟时间α(α为可变值)(步骤S1)。
连接控制单元101通过通信单元104和105向判决单元102通知延迟插入的开始(步骤S2)。接着,在接收从外部网输入的包时,连接控制单元101在将包延迟该延迟时间α之后将该包传输到内部网,直到接收到来自判决单元102的处理停止指令为止(步骤S22)。
判决单元102指示收发单元103连同MAC地址以及IP地址(例如节点C的内部网IP地址)一起将探测包发送到测试目标节点(例如节点C)(步骤S3)。
如在图9中所示的相同的方式下,在图34和36的步骤S4中收发单元103发送地址指向测试目标节点C的如图13所示的探测包,并在图36的步骤S5中存储探测包的发送时间。
在图34和36的步骤S6中,一旦接收到该探测包,节点B封装探测包以生成含有加密的L2VPN数据的VPN包(请求VPN包),该加密的L2VPN数据含有如图14所示的探测包。节点B向节点C(IP地址“202.249.10.100”)发送该请求VPN包。
一旦接收到上述请求VPN包,路由器RA从所接收到的请求VPN包除去MAC报头(图14中的目的地和传输源MAC地址D2和S2)并向外部网发送请求VPN包所含的IP包(图34和36中的步骤S11)。在这种情况下,IP包的目的IP地址为节点C的IP地址“202.249.10.100”,且传输源IP地址为节点B的IP地址。节点C通过路由器RB接收该IP包(IP包中加入了MAC报头)。
节点C发送地址指向节点B的响应VPN包(目的IP地址:节点B,目的地MAC地址:路由器RB),该响应VPN包是通过封装含有地址指向探测设备1的“IF1”的ICMP回显响应的L2VPN数据获得的。路由器RB除去该响应VPN包的MAC报头并向外部网发送该响应VPN包中所含的地址指向节点B的IP包(目的IP地址为节点B的IP地址)(图35和36中的步骤S12)。
路由器RA接收地址指向节点B的IP包。路由器RA在向IP包添加MAC报头后,向连接控制单元101输出如图15所示的响应VPN包,该MAC报头包含作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址。连接控制单元101在将包延迟该延迟时间α之后向内部网侧传输如图15所示的包(步骤S8’)。
参考图36,当从外部网到内部网的包通过路由器RA时,在步骤S8’中为包插入延迟时间α。不过,本发明不限于此。即使在包通过路由器RA,且在步骤S8’中插入或不插入延迟时间α的情况下,在包被传输到外部网时为从内部网到外部网的包插入延迟时间α也是足够的。
当为通过路由器RA的从内部网到外部网的包和从外部网到内部网的包两者都插入延迟时间α时,在发送探测包的时刻到接收到相应响应包的时刻之间的时间内插入的总延迟时间为2α。当为它们之一插入延迟时间α时,总的延迟时间成为α。在执行判决处理期间,在前一种情形下,从严格意义上讲,检查了所插入的延迟时间2α和实际上测得的响应时间β之间的相关性。在后一种情形下,检查了所插入的延迟时间α和实际测得的响应时间β之间的相关性。
在将包延迟该延迟时间α之后,节点B接收从路由器RA输出到内部网的如图15所示的VPN包(图35和36中的步骤S14)。
节点B从图15所示的所接收的VPN包中所包含的L2VPN数据中提取对应于上述探测包的响应包(参见图16),该响应包含有作为目的地的探测设备2的IF1的MAC地址和作为传输源的节点C的MAC地址,并向内部网发送该响应包(图35和36中的步骤S15)。
收发单元103通过探测设备2的IF1接收该响应包。
从图8的步骤S16开始的处理与在第一实施例中的相同。
3.第二探测方法
接着将通过例示如下情形描述根据第二实施例的第二探测方法,在该情形中:当测试目标节点是通过VPN隧道连接到内部网的外部网节点C时,连接控制单元101就抛弃通过路由器RA的包。
注意,这种情形下的探测设备2和路由器RA的连接控制单元101的操作几乎与第一实施例的第二探测方法(图18)中的相同,不同之处在于:信息(例如图18中的步骤S101和S111中的指令)是通过探测设备2的通信单元104和路由器RA的通信单元105之间的通信交换的,而在内部网和外部网之间发送/接收的包直接通过路由器RA而不通过探测设备2。该方法的效果与上述第一实施例中的相同。
此外,如果测试目标节点是通过VPN隧道连接到内部网的外部网节点C,探测包和响应包的传送路由与图34和35中的相同。
4.第三探测方法
接着将通过例示测试目标节点是通过VPN隧道连接到内部网的外部网节点C的情形描述将第一实施例中的第三探测方法应用于第二实施例的情形。
首先将参考图37所示的顺序图描述连接监测处理。图37相同的参考数字表示与图19相同的部分,且将仅描述图37和图19中的处理之间的不同部分。
参考图37,在内部网和外部网之间发送/接收的包直接通过路由器RA,因此被从节点B发送,且路由器RA首先接收如图14所示的请求VPN包(步骤S205)。
一旦接收到请求VPN包,路由器RA就从连接控制单元101中的请求VPN包提取上述包属性信息,并将其与包标识信息一起存储在连接控制表中(步骤S206)。
路由器RA从存储有包属性信息的请求VPN包除去MAC报头(图14中的目的地和传输源MAC地址D2和S2)并向外部网发送VPN包所含的IP包(步骤S207)。
路由器RA首先接收地址指向节点B的IP包,该IP包是从节点C发送到路由器RB的,且是通过封装地址指向探测设备1的ICMP回显响应中所含的L2VPN数据获得的(步骤S208)。路由器RA在向IP包添加MAC报头后,向连接控制单元101输出如图15所示的VPN包,该MAC报头包含作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址。如在上述步骤S206中那样,连接控制单元101从如图15所示的VPN包中提取包属性信息,将其添加到用于标识包属性信息的包标识信息中,并在连接控制表中存储所得的信息(步骤S210)。
上述处理与图19所示的相同,只是信息是通过探测设备2的通信单元104和路由器RA的通信单元105之间的通信而在判决单元102和连接控制单元101之间交换的。该处理的效果也与上述第一实施例中的相同。
接下来将描述利用探测设备2中的如图20所示的连接控制表探测通过VPN连接的节点和用于VPN通信的包的探测方法。
以下将参考图21所示的流程图和图38所示的顺序图描述该探测方法。
虽然从内部网到外部网的包和从外部网到内部网的包二者都通过路由器RA,图38例示了这种情形:从内部网到外部网的包被直接传输到外部网而不插入延迟时间α,而为从外部网到内部网的包插入延迟时间α。因此,由路由器RA插入的总延迟时间为α,且检查α和β之间的相关性。
图38中相同的参考数字表示与图22中相同的部分。以下将描述该处理与第一实施例中的处理之间的不同部分。
参考图38,由于在内部网和外部网之间发送/接收的包直接通过路由器RA,因此节点B发送该包。路由器RA首先接收图24所示的请求VPN包(步骤S6)。
一旦接收到上述请求VPN包,路由器RA从该请求VPN包除去MAC报头(图24中的目的地和传输源MAC地址D2和S2)并直接向外部网发送请求VPN包所含的IP包(不插入延迟时间α)(步骤S11)。
在这种情况下,该IP包的目的IP地址是节点C的IP地址“202.249.10.100”,且传输源IP地址为节点B的IP地址。节点C通过路由器RB接收该IP包(其中IP包加入了MAC报头)。
节点C发送通过封装含有如图25所示响应包的L2VPN数据获得的、地址指向路由器RA的响应VPN包,其中响应包地址指向探测设备1的“IF1”以返回节点C的MAC地址。路由器RB除去该响应VPN包的MAC报头并向外部网发送该响应VPN包中所含的地址指向节点B的IP包(目的IP地址为节点B的IP地址)(步骤S12)。
路由器RA接收地址指向节点B的IP包。路由器RA在向IP包添加MAC报头后,向连接控制单元101发送如图26所示的响应VPN包,该MAC报头包含作为目的地的节点B的MAC地址和作为传输源的路由器RA的MAC地址。
连接控制单元101检查包属性信息,例如响应VPN包的协议号、IP报头中的目的IP地址(图26中的DIP3)和传输源IP地址(图26中的SIP3)。如果包属性信息与在步骤S1中连接控制单元101通知的测试目标节点的包属性信息匹配,连接控制单元101就判定相应的包为测试目标节点(步骤S7),并在将其延迟该延迟时间α之后将该包传输到内部网(步骤S8)。
上述处理与图22所示的相同,只是信息是通过探测设备2的通信单元104和路由器RA的通信单元105之间的通信而在判决单元102和连接控制单元101之间交换的。该处理的效果也与上述第一实施例中的相同。
此外,如果测试目标节点是通过VPN隧道连接到内部网的外部网节点C,探测包和响应包的传送路由与图34和35中的相同。
4.第四探测方法
接着将通过例示测试目标节点是通过VPN隧道连接到内部网的外部网节点C的情形描述将第一实施例中的第四探测方法应用于第二实施例的情形。
连接控制处理与图37所示的相同。将参考图29所示的流程图描述利用如图20所示的连接控制表探测通过VPN连接的节点和用于VPN通信的包的探测方法。
注意,这种情形下的探测设备2和路由器RA的连接控制单元101的操作几乎与第一实施例的第四探测方法(图29)中的相同,只是信息(例如图29中的步骤S101和S111中的指令)是通过探测设备2的通信单元104和路由器RA的通信单元105之间的通信交换的,而在内部网和外部网之间发送/接收的包直接通过路由器RA而不通过探测设备2。该方法的效果与上述第一实施例中的相同。
此外,如果测试目标节点是通过VPN隧道连接到内部网的外部网节点C,探测包和响应包的传送路由与图34和35中的相同。
如上所述,第二实施例的第一到第四探测方法能够容易地探测到正在与内部网节点进行VPN通信的外部网节点。
第二实施例的第三和第四探测方法能够容易地探测到正在与内部网上的节点进行VPN通信的外部网上的节点,且还能容易地探测到在内部网节点和外部网节点之间发送/接收的通信包中的用于VPN通信的包。
此外,可以将上述第一实施例的第一到第四探测方法的应用的以上例子直接应用到第二实施例。
(有多个到外部网的路由的情形下的探测方法)
在第一和第二实施例中,如果有多条从内部网到外部网的路由,通过以下方法进行探测。
1.在使用探测设备1时:
在通往外部网的所有路由上安装探测设备使得能够进行探测。否则,当VPN通信通过未安装探测设备1的路由连接到外部时,由于不能探测到该通信,因此必须要在所有路由上安装探测设备。
此外,探测设备1需要彼此协作地工作。根据第一实施例的第一探测方法,安装在内部网中的所有探测设备1需要同时插入延迟。
第一实施例的第三探测方法向多个探测设备1中至少一个预定的探测设备1(以下称为主探测设备)通知由相应探测设备获得的结果,指定相对于其他探测设备的延迟时间和将要插入延迟的包,并指示它们插入延迟。这就能够以与安装一个探测设备的上述情形同样的方式进行探测。
2.在使用探测设备2时:
通往外部网的所有路由上的所有中继设备都包括连接控制单元101并需要在接收到来自内部网上的探测设备2的指令后执行上述操作。
例如,在为所有通过中继设备的包插入延迟时间的第一探测方法中,探测设备2向所有中继设备发出开始延迟插入的指令(包括延迟时间的指定),且每个中继设备执行上述延迟时间插入操作,这使得能够进行探测。
根据为通过中继设备的包中的测试目标包插入延迟的第三探测方法,探测设备2指示所有的中继设备开始连接监测。每个中继设备都向探测设备2通知连接控制结果,即,关于图20所示的连接控制表的信息。让探测设备2指示每个中继设备开始延迟插入能够以与使用一个中继设备的情形相同的方式进行探测。
如果有多个探测设备2,每个中继设备向多个探测设备2中的至少一个预定的探测设备2(主探测设备)通知通过连接监测获得的结果。一旦接收到该通知,主探测设备在每个中继设备通知的连接监测结果的基础上向每个中继设备发出延迟插入开始指令等。
(选择测试目标包的方法)
在根据第一和第二实施例的第三和第四探测方法中,即使将通过探测设备1或中继设备中的连接控制单元101的所有类型的包都设置为测试目标,也能够探测VPN通信(包和节点)。不过,如果包类型的数量大(连接的数量大),用于探测处理的处理量就大。这使得难以执行该方法。
为了解决这个问题,可以考虑在以下条件下选择测试目标包的方法:
·明确地基于已知VPN协议(例如PPTP、L2TP或IPsec)的包;
·似乎被加密的包;以及
·基于未知协议(例如,具有未知协议号或未知报头)的包。
检查包中数据的熵使得能够估计通信是否被加密。
根据探测设备工作的环境,例如,探测设备的吞吐量、安装探测设备的网络环境、以及探测设备需要的探测精度,恰当地选择一种类型的包作为测试目标将带来探测设备负荷的减少。
如上所述,上述实施例能够容易地探测到正在与内部网上的节点进行VPN通信的外部网上的节点,且能容易地探测到在内部网节点和外部网节点之间发送/接收的通信包中的用于VPN通信的包。
Claims (26)
1、一种利用连接到内部网的中继设备(RA)和探测设备(1)探测两个VPN(虚拟专用网)节点之间的VPN通信的VPN通信探测方法,所述VPN节点之一位于所述内部网上,所述VPN节点的另一个位于通过所述中继设备连接到所述内部网的外部网上,所述方法的特征在于包括:
由所述探测设备向测试目标节点发送第一响应请求包,
由所述中继设备或所述探测设备使通过所述中继设备或所述探测设备的包中的至少一个延迟第一延迟时间,所述包中的每一个被延迟第一延迟时间之后从所述内部网和所述外部网之一发送到所述内部网和所述外部网中的另一个;
由所述探测设备接收来自所述测试目标节点的对所述第一响应请求包的第一响应包;
由所述探测设备测量从发送所述第一响应请求包的第一时间点到接收到所述第一响应包的第二时间点的第一响应时间;
由所述探测设备向所述测试目标节点发送第二响应请求包;
由所述中继设备或所述探测设备使通过所述中继设备或所述探测设备的包中的至少一个延迟不同于所述第一延迟时间的第二延迟时间,所述包中的每一个从所述内部网和所述外部网之一发送到所述内部网和所述外部网中的另一个;
由所述探测设备接收来自所述测试目标节点的对所述第二响应请求包的第二响应包;
由所述探测设备测量从发送所述第二响应请求包的第三时间点到接收到所述第二响应包的第四时间点的第二响应时间;以及
当所述第一响应时间和所述第二响应时间随着所述第一延迟时间和所述第二延迟时间之间的差异而变化时,由所述探测设备判定所述测试目标节点为所述VPN节点中的所述另一个。
2、根据权利要求1所述的方法,其特征在于,在所述判定中包括:当不管所述第一延迟时间和所述第二延迟时间之间的差异如何变化,所述第一响应时间和所述第二响应时间基本恒定时,判定所述测试目标节点不是所述VPN节点中的所述另一个。
3、根据权利要求1所述的方法,其特征在于,所述第一延迟时间和所述第二延迟时间之一为“0”秒。
4、根据权利要求1所述的方法,其特征在于,当所述测试目标节点为所述VPN节点中的所述另一个时,所述第一响应时间包括所述第一响应请求包通过所述VPN节点所述之一和所述中继设备抵达所述测试目标节点所用的时间、从所述测试目标节点发送的所述第一响应包通过所述中继设备和所述VPN节点的所述之一抵达所述探测设备所用的时间、以及所述第一延迟时间。
5、一种利用连接到内部网的探测设备(1)和中继设备(RA)探测两个VPN(虚拟专用网)节点之间的VPN通信的VPN通信探测方法,所述VPN节点之一位于所述内部网上,所述VPN节点的另一个位于通过所述中继设备连接到所述内部网的外部网上,所述中继设备或所述探测设备具有包抛弃模式和正常模式,在所述包抛弃模式中,抛弃从所述内部网和所述外部网之一发送到所述内部网和所述外部网中的另一个的全部包中的至少一个,在所述正常模式中,不抛弃任何包,所述方法的特征在于包括:
将所述中继设备或所述探测设备切换到所述包抛弃模式;
由所述探测设备向测试目标节点发送第一响应请求包,
由所述中继设备或所述探测设备探测是否响应于所述第一响应请求包接收到来自所述测试目标节点的第一响应包;
将所述中继设备或所述探测设备切换到所述正常模式;
由所述探测设备向所述测试目标节点发送第二响应请求包;
由所述中继设备或所述探测设备探测是否响应于所述第二响应请求包接收到来自所述测试目标节点的第二响应包;以及
由所述探测设备判定,(a)当未探测到所述第一响应包的接收且探测到所述第二响应包的接收时,所述测试目标节点为所述VPN节点中的所述另一个,以及(b)当探测到所述第一和第二响应包的接收时,所述测试目标节点不是所述VPN节点中的所述另一个。
6、根据权利要求1所述的方法,其特征在于,延迟操作使包中由属性信息指定的测试目标包延迟,属性信息包括目的MAC地址、传输源MAC地址、目的IP地址、传输源IP地址、协议号、目的端口号和传输源端口号中的至少一个。
7、根据权利要求5所述的方法,其特征在于,在所述包抛弃模式中所述中继设备或所述探测设备抛弃包中由属性信息指定的测试目标包,所述属性信息包括目的MAC地址、传输源MAC地址、目的IP地址、传输源IP地址、协议号、目的端口号和传输源端口号中的至少一个。
8、根据权利要求6所述的方法,其特征在于所述判定包括,当判定所述测试目标节点为所述VPN节点中的所述另一个时判定所述测试目标包为用于VPN通信的包。
9、根据权利要求7所述的方法,其特征在于所述判定包括,当判定所述测试目标节点为所述VPN节点中的所述另一个时判定所述测试目标包为用于VPN通信的包。
10、根据权利要求6所述的方法,其特征在于延迟包括:
获取每个所述包的所述属性信息,
在存储器中存储所述每个包的所述属性信息,以及
基于存储在所述存储器中的所述每个包的所述属性信息选择所述测试目标包。
11、根据权利要求7所述的方法,其特征在于延迟包括:
获取每个所述包的所述属性信息,
在存储器中存储所述每个包的所述属性信息,以及
基于存储在所述存储器中的所述每个包的所述属性信息选择所述测试目标包。
12、一种VPN(虚拟专用网)通信探测设备,用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于连接到所述内部网的外部网上,连接到所述内部网的所述VPN通信探测设备特征在于包括:
发送单元(103),被配置成向测试目标节点发送响应请求包;
延迟单元(101),被配置成使通过所述VPN通信探测设备的包中的至少一个延迟多个不同延迟时间中的指定延迟时间,所述包中每一个均从所述内部网和所述外部网之一发送到所述内部网和所述外部网的另一个;
接收单元(103),被配置成响应于所述响应请求包接收来自所述测试目标节点的响应包;
测量单元(103),被配置成测量从发送所述响应请求包的第一时间点到接收到所述响应包的第二时间点的响应时间;以及
判决单元(102),被配置成基于由所述延迟单元插入的每个延迟时间和插入所述每个延迟时间时测量的所述响应时间之间的相关性判决所述测试目标节点是否是所述VPN节点中的所述另一个。
13、根据权利要求12所述的设备,其特征在于,当所述响应时间随着由所述延迟单元插入的所述每个延迟时间变化时,所述判决单元判定所述测试目标节点为所述VPN节点中的所述另一个。
14、根据权利要求12所述的设备,其特征在于所述延迟时间之一为“0”秒。
15、根据权利要求12所述的设备,其特征在于,当不管由所述延迟单元插入的所述每个延迟时间如何变化,所述响应时间基本保持恒定时,所述判决单元判定所述测试目标节点不是所述VPN节点中的所述另一个。
16、一种VPN(虚拟专用网)通信探测设备(1),用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于连接到所述内部网的外部网上,连接到所述内部网的所述VPN通信探测设备特征在于包括:
切换单元(102),被配置成切换到包抛弃模式和正常模式之一,所述包抛弃模式抛弃从所述内部网和所述外部网之一发送到所述内部网和所述外部网的另一个的全部包中的至少一个,所述正常模式不抛弃任何包;
发送单元(103),被配置成在所述包抛弃模式中向测试目标节点发送第一响应请求包且在所述正常模式中向所述测试目标节点发送第二响应请求包;
第一探测单元(103),被配置成在所述包抛弃模式中探测是否收到来自所述测试目标节点的响应于所述第一响应请求包的第一响应包;
第二探测单元(103),被配置成在所述正常模式中探测是否收到来自所述测试目标节点的响应于所述第二响应请求包的第二响应包;以及
判决单元(102),被配置成基于由所述第一探测单元和所述第二探测单元获得的探测结果判决所述测试目标节点是否是所述VPN节点的所述另一个。
17、根据权利要求16所述的设备,其特征在于,当所述第一探测单元未探测到所述第一响应包的接收且所述第二探测单元探测到所述第二响应包的接收时,所述判决单元判定所述测试目标节点是所述VPN节点中的所述另一个。
18、根据权利要求16所述的设备,其特征在于,当所述第一和第二探测单元探测到所述第一和第二响应包的接收时,所述判决单元判定所述测试目标节点不是所述VPN节点中的所述另一个。
19、根据权利要求12所述的设备,其特征在于,所述延迟单元使包中由属性信息指定的测试目标包延迟,所述属性信息包括目的MAC地址、传输源MAC地址、目的IP地址、传输源IP地址、协议号、目的端口号和传输源端口号中的至少一个。
20、根据权利要求16所述的设备,其特征在于,在所述包抛弃模式中,抛弃包中由属性信息指定的测试目标包,所述属性信息包括目的MAC地址、传输源MAC地址、目的IP地址、传输源IP地址、协议号、目的端口号和传输源端口号中的至少一个。
21、根据权利要求19所述的设备,其特征在于,当判定所述测试目标节点为所述VPN节点中的所述另一个时,所述判决单元判定所述测试目标包为用于VPN通信的包。
22、根据权利要求20所述的设备,其特征在于,当判定所述测试目标节点为所述VPN节点中的所述另一个时,所述判决单元判定所述测试目标包为用于VPN通信的包。
23、根据权利要求19所述的设备,其特征在于所述延迟单元包括:
获取单元,被配置成获取每个所述包的所述属性信息,
存储器,存储所述每个包的所述属性信息,以及
选择单元,被配置成基于存储在所述存储器中的所述每个包的所述属性信息选择所述测试目标包。
24、根据权利要求20所述的设备,其特征在于还包括包抛弃单元(101),其被配置成在所述包抛弃模式中,(a)获取每个所述包的所述属性信息,(b)在存储器中存储所述每个包的所述属性信息,(c)基于存储在所述存储器中的每个所述包的所述属性信息选择所述测试目标包,以及(d)抛弃所述测试目标包。
25、一种VPN(虚拟专用网)通信探测设备(2),用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于通过中继设备连接到所述内部网的外部网上,连接到所述内部网的所述VPN通信探测设备特征在于包括:
发送单元(103),被配置成向测试目标节点发送响应请求包;
接收单元(103),被配置成接收来自所述测试目标节点的响应于所述响应请求包的响应包;
测量单元(103),被配置成测量从发送所述响应请求包的第一时间点到接收到所述响应包的第二时间点的响应时间;以及
判决单元(102),被配置成基于所述响应时间和当测试目标包通过所述中继设备时由所述中继设备插入的延迟时间之间的相关性,判决所述测试目标节点是否是所述VPN节点中的所述另一个,如果所述测试目标节点是所述VPN节点中的所述另一个,所述测试目标包包括所述响应请求包或所述响应包。
26、一种VPN(虚拟专用网)通信探测设备(2),用于探测两个VPN节点之间的VPN通信,所述VPN节点之一位于内部网上,所述VPN节点的另一个位于通过中继设备连接到所述内部网的外部网上,连接到所述内部网的所述VPN通信探测设备特征在于包括:
切换单元(102),被配置成将所述中继设备切换到包抛弃模式和正常模式之一,所述包抛弃模式抛弃从所述内部网和所述外部网之一发送到所述内部网和所述外部网的另一个的全部包中的至少一个,所述正常模式不抛弃任何包;
发送单元(103),被配置成当所述中继设备处于所述包抛弃模式中时向测试目标节点发送第一响应请求包且在所述中继设备处于所述正常模式中时向所述测试目标节点发送第二响应请求包;
第一探测单元(103),被配置成探测是否收到来自所述测试目标节点的响应于所述第一响应请求包的第一响应包;
第二探测单元(103),被配置成探测是否收到来自所述测试目标节点的响应于所述第二响应请求包的第二响应包;以及
判决单元(102),被配置成基于由所述第一和第二探测单元获得的探测结果判决所述测试目标节点是否是所述VPN节点的所述另一个。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006068004A JP4509955B2 (ja) | 2006-03-13 | 2006-03-13 | Vpn通信検出方法及び装置 |
| JP068004/2006 | 2006-03-13 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101039246A true CN101039246A (zh) | 2007-09-19 |
| CN100499561C CN100499561C (zh) | 2009-06-10 |
Family
ID=38595137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007100862855A Expired - Fee Related CN100499561C (zh) | 2006-03-13 | 2007-03-13 | 用于探测虚拟专用网通信的方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8149722B2 (zh) |
| JP (1) | JP4509955B2 (zh) |
| CN (1) | CN100499561C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102812667A (zh) * | 2010-02-23 | 2012-12-05 | Lg电子株式会社 | 用于发起家庭网络系统中的会话的方法和装置 |
| CN103490950A (zh) * | 2013-09-03 | 2014-01-01 | 深圳市迈腾电子有限公司 | 一种路由器pptp会话容量模拟方法 |
| CN102792658B (zh) * | 2009-12-29 | 2016-03-16 | 意大利电信股份公司 | 在通信网络中进行时间测量 |
| CN106487946A (zh) * | 2016-10-12 | 2017-03-08 | 重庆金美通信有限责任公司 | 一种大规模通信网络ip资源冲突检测方法、系统和设备 |
| US11451973B2 (en) | 2020-09-23 | 2022-09-20 | T-Mobile Usa, Inc. | Simulating operation of a 5G wireless telecommunication network |
| CN115378838A (zh) * | 2022-08-24 | 2022-11-22 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4880556B2 (ja) | 2007-09-27 | 2012-02-22 | 日立オートモティブシステムズ株式会社 | 可変動弁機構の制御装置 |
| JP4866335B2 (ja) * | 2007-11-28 | 2012-02-01 | 富士通株式会社 | 中継装置,試験装置,試験方法,及び試験プログラム |
| SG153685A1 (en) * | 2007-12-17 | 2009-07-29 | Univ Nanyang | Peer-to-peer communication in wireless sensor network through delay response between packets |
| JP2009290605A (ja) * | 2008-05-29 | 2009-12-10 | Fujitsu Ltd | 中継装置、中継方法および監視装置 |
| US7916761B2 (en) * | 2008-11-03 | 2011-03-29 | The Boeing Company | Methods and apparatus for adding latency and jitter to selected network packets |
| JP5212913B2 (ja) * | 2009-03-02 | 2013-06-19 | 日本電気株式会社 | Vpn接続システム、及びvpn接続方法 |
| US8737238B2 (en) | 2009-06-11 | 2014-05-27 | Nec Corporation | Congestion detecting method and communication node |
| US20110122774A1 (en) * | 2009-11-25 | 2011-05-26 | T-Mobile Usa, Inc. | Time or Condition-Based Reestablishment of a Secure Connection |
| US8615605B2 (en) * | 2010-10-22 | 2013-12-24 | Microsoft Corporation | Automatic identification of travel and non-travel network addresses |
| US8634322B2 (en) * | 2012-02-18 | 2014-01-21 | Bank Of America Corporation | Apparatus and methods for adaptive network throttling |
| CN103905510B (zh) | 2012-12-28 | 2018-04-27 | 深圳市腾讯计算机系统有限公司 | 一种数据包的处理方法及后台服务器 |
| US9967183B2 (en) * | 2013-12-20 | 2018-05-08 | Huawei Technologies Co., Ltd. | Source routing with entropy-header |
| US20150200843A1 (en) * | 2014-01-15 | 2015-07-16 | Cisco Technology, Inc. A Corporation Of California | Packet Labels For Identifying Synchronization Groups of Packets |
| US9521219B2 (en) * | 2014-01-20 | 2016-12-13 | Echelon Corporation | Systems, methods, and apparatuses using common addressing |
| US9813488B2 (en) * | 2014-06-25 | 2017-11-07 | Comcast Cable Communications, Llc | Detecting virtual private network usage |
| US10038672B1 (en) | 2016-03-29 | 2018-07-31 | EMC IP Holding Company LLC | Virtual private network sessions generation |
| CN105791032B (zh) * | 2016-05-04 | 2018-12-07 | 珠海格力电器股份有限公司 | 智能家电与移动终端之间传输协议的测试方法及装置 |
| WO2018031951A1 (en) * | 2016-08-11 | 2018-02-15 | Hopzero, Inc. | Method and system for limiting the range of data transmissions |
| US10630657B2 (en) * | 2017-03-02 | 2020-04-21 | ColorTokens, Inc. | System and method for enhancing the security of data packets exchanged across a computer network |
| CN106921540B (zh) * | 2017-04-14 | 2020-12-25 | 王蕴卓 | 一种测试UPnP功能及页面规则检查的方法及装置 |
| US10469367B2 (en) | 2017-10-04 | 2019-11-05 | Cisco Technology, Inc. | Segment routing network processing of packets including operations signaling and processing of packets in manners providing processing and/or memory efficiencies |
| US11177977B2 (en) | 2017-12-21 | 2021-11-16 | Arris Enterprises Llc | Method and system for GRE tunnel control based on client activity detection |
| US11310146B1 (en) * | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
| US6914886B2 (en) * | 2001-05-03 | 2005-07-05 | Radware Ltd. | Controlling traffic on links between autonomous systems |
| CN103354543B (zh) * | 2002-09-30 | 2016-10-19 | 皇家飞利浦电子股份有限公司 | 确定目标节点对于源节点的邻近性的方法和相应的节点 |
| US7631055B1 (en) * | 2003-04-23 | 2009-12-08 | Cisco Technology, Inc. | Method and apparatus providing automatic connection announcement from a modular network device to a network management point |
| US7158800B2 (en) * | 2003-10-31 | 2007-01-02 | Warner Bros. Entertainment Inc. | Method and system for limiting content diffusion to local receivers |
| US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| JP4208707B2 (ja) * | 2003-12-19 | 2009-01-14 | 富士通株式会社 | ルータ |
| US7877599B2 (en) * | 2004-05-28 | 2011-01-25 | Nokia Inc. | System, method and computer program product for updating the states of a firewall |
| JP2007194764A (ja) * | 2006-01-18 | 2007-08-02 | Hitachi Ltd | 運用管理システム |
-
2006
- 2006-03-13 JP JP2006068004A patent/JP4509955B2/ja not_active Expired - Fee Related
-
2007
- 2007-03-12 US US11/716,883 patent/US8149722B2/en not_active Expired - Fee Related
- 2007-03-13 CN CNB2007100862855A patent/CN100499561C/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102792658B (zh) * | 2009-12-29 | 2016-03-16 | 意大利电信股份公司 | 在通信网络中进行时间测量 |
| CN102812667A (zh) * | 2010-02-23 | 2012-12-05 | Lg电子株式会社 | 用于发起家庭网络系统中的会话的方法和装置 |
| US9191421B2 (en) | 2010-02-23 | 2015-11-17 | Lg Electronics Inc. | Method and an apparatus for initiating a session in home network system |
| CN103490950A (zh) * | 2013-09-03 | 2014-01-01 | 深圳市迈腾电子有限公司 | 一种路由器pptp会话容量模拟方法 |
| CN103490950B (zh) * | 2013-09-03 | 2017-12-22 | 深圳市迈腾电子有限公司 | 一种路由器pptp会话容量模拟方法 |
| CN106487946A (zh) * | 2016-10-12 | 2017-03-08 | 重庆金美通信有限责任公司 | 一种大规模通信网络ip资源冲突检测方法、系统和设备 |
| CN106487946B (zh) * | 2016-10-12 | 2019-11-19 | 重庆金美通信有限责任公司 | 一种大规模通信网络ip资源冲突检测方法、系统和设备 |
| US11451973B2 (en) | 2020-09-23 | 2022-09-20 | T-Mobile Usa, Inc. | Simulating operation of a 5G wireless telecommunication network |
| CN115378838A (zh) * | 2022-08-24 | 2022-11-22 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
| CN115378838B (zh) * | 2022-08-24 | 2024-02-09 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8149722B2 (en) | 2012-04-03 |
| JP4509955B2 (ja) | 2010-07-21 |
| JP2007251259A (ja) | 2007-09-27 |
| CN100499561C (zh) | 2009-06-10 |
| US20070280247A1 (en) | 2007-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101039246A (zh) | 用于探测虚拟专用网通信的方法和设备 | |
| CN100337424C (zh) | 数据使用管理系统和方法以及具有管理功能的发送设备 | |
| CN1630259A (zh) | 内部代理装置、移动路由器、通信系统以及通信方法 | |
| CN1682499A (zh) | 内容分发系统 | |
| CN1531282A (zh) | 分组中继装置 | |
| CN1839592A (zh) | 包中继装置 | |
| CN1905530A (zh) | 组播点播方法及系统 | |
| CN1663204A (zh) | 网关装置和在该网关装置中的信号处理方法 | |
| CN1592259A (zh) | 网络用交换装置、路径管理服务器、网络接口装置及其控制方法 | |
| CN1802818A (zh) | 网络系统、学习桥式节点、学习方法及其程序 | |
| CN1860768A (zh) | 客户请求的外部地址映射 | |
| CN101032137A (zh) | 网络系统、节点及节点控制程序、网络控制方法 | |
| CN1481081A (zh) | 虚拟专用网络系统 | |
| CN1969511A (zh) | 信息处理装置、端口检测装置、信息处理方法和端口检测方法 | |
| CN1450765A (zh) | 服务器负载平衡系统、装置以及内容管理装置 | |
| CN1412973A (zh) | 虚拟个人网络服务管理系统及其服务管理器和服务代理器 | |
| CN1578273A (zh) | 移动终端,控制设备,归属代理和分组通信方法 | |
| CN1817013A (zh) | 终端和通信系统 | |
| CN101057464A (zh) | 数据递送系统和数据递送方法 | |
| CN1405986A (zh) | 第2层虚拟专用网络中继系统 | |
| CN1262093C (zh) | 移动通信系统、服务器装置和数据发送方法 | |
| CN1251455C (zh) | 路由器和通信网络系统 | |
| CN1462536A (zh) | 设置防火墙的方法和设备 | |
| CN1442984A (zh) | 通信设备和网络系统 | |
| CN1437413A (zh) | 通讯系统、通讯设备和通讯方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090610 Termination date: 20170313 |