CN101288272A - 隧道化安全性群组 - Google Patents
隧道化安全性群组 Download PDFInfo
- Publication number
- CN101288272A CN101288272A CNA2004800337058A CN200480033705A CN101288272A CN 101288272 A CN101288272 A CN 101288272A CN A2004800337058 A CNA2004800337058 A CN A2004800337058A CN 200480033705 A CN200480033705 A CN 200480033705A CN 101288272 A CN101288272 A CN 101288272A
- Authority
- CN
- China
- Prior art keywords
- grouping
- tunnel
- sgi
- acl
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
公开了一种用于基于隧道的使用来提供安全性群组的方法。该方法包括给分组分配安全性群组标识符(SGI)(1010),并基于分组的SGI对分组分类(1020)。
Description
技术领域
本发明涉及信息网络领域,更具体而言,涉及用于基于隧道的使用来提供安全性群组的方法和装置。
背景技术
灵活的网络访问技术(如无线、动态主机配置协议(DHCP)、虚拟专用网络(VPN)网关等等)允许用户从多种接入点或进入点访问给定受保护网络。这对于各种网络都是如此,包括企业网络、服务提供者网络等。同时,在提供这种访问的同时给出的安全性也受到更多的关注。基于远程认证拨号用户服务(RADIUS)、终端访问控制器访问控制系统(TACACS)、DIAMETER协议和其他协议的技术允许用户在进入网络时被认证。然而,允许用户进行的网络访问传统上是基于用户所属的群组、由企业分配给用户的角色和用户具有的特权(作为ISP客户)或类似标准的。
图1是示出现有技术的网络100和其组件的框图,在网络100中,采用这种认证协议来认证用户。网络100包括因特网110,多个客户端(示为客户端112、114和116)访问因特网110以获得对服务器120的访问。客户端112、114和116经由交换机130访问因特网110,交换机130又耦合到入口路由器140。入口路由器140在提供对因特网110的访问时,通信地耦合到出口路由器150,出口路由器150又耦合到服务器120。注意,为了简化,经过因特网110的入口路由器140和出口路由器150之间的路径没有明示一般散布于这些路径中的路由器和/或其他网络设备。从图1中清楚可见,客户端112、114和116中的每一个可以经由单独的网络路径与服务器120通信,或者可以使用经过网络100的相同路径。
尽管这些网络路径可能穿过相同网络设备中的某些或全部(即,物理段),但是这些路径是概念上独立的(例如,可以视作单独的虚拟路径),并且被例如利用访问控制列表(ACL)单独控制。传统上,对用户(例如那些可能访问网络100的用户)享有的访问的约束已被ACL强加,ACL被用来处理分组并从而控制这种网络流量。出于可扩展性和可管理性目的,传统ACL要求用户主机地址(作为给定分组的源;例如,因特网协议(IP)地址)的映射是相对静态的。
很显然,在网络各个部分中的ACL不得不在每次认证到网络的用户添加与分配给该用户的主机的源IP地址相关联的规则时加以更新,并且该规则对于该用户来说是特有的,这导致ACL数目和其必须被更新的速率大大增加。而且,由于利用内容可寻址存储器(CAM)实现ACL的平台要求在进行改变时对ALC中的某些或全部重新编辑,因此处理成本的增加可能是相当严重的,接近于用户数目的平方。最后,由于控制对服务的访问的ACL一般位于网络中相对用户的“另一侧”(即,连接到特定服务器或服务器组的保护出口路由器),因此在每个新用户认证时需要从入口接入点到每个可能的出口路由器的通信。考虑到上述内容,尤其考虑到当前需要并且在未来也会需要的更加灵活的访问,以及用于组织的IP地址的可用性和有限大小,依赖于这种基于ACL的解决方案通常并不可行。
这样,我们所需要的是一种允许用于识别关于与主机相关联的群组或角色的信息的通信,而不需要改变分组格式以支持这种通信的机制。优选地,该方法应当采用标准化的分组格式,而不需要在已经提供在该标准化格式中的字段之外提供用于传输所需信息的任何附加字段。另外优选地,该方法应当与已经部署的现有联网设备兼容,并且不需要改变该联网设备。
发明内容
在一个实施例中,公开了一种网络设备。该网络设备包括隧道分类台。在这些实施例的某些方面中,网络设备的隧道分类台包括被配置用来基于分组的安全性群组标识符(SGI)对分组分类的分组处理部件。在这些实施例的其他方面中,隧道分类台包括耦合到所述分组处理部件的安全性群组标识符识别单元,以及耦合到分组处理部件和安全性群组标识符识别单元的隧道分类单元。
在另一个实施例中,公开了一种用于基于隧道的使用来提供安全性群组的方法。该方法包括给分组分配安全性群组标识符(SGI),并基于分组的SGI对分组分类。
前述是发明内容,因而必要地包含细节的简化、概括和省略;因此,本领域技术人员将会意识到,该发明内容仅是示例性的,并且不应当以任何方式限制本发明。仅由权利要求限定的本发明的其他方面、创造性特征和优点将从下面给出的非限制性的具体实施方式中变清楚。
附图说明
通过参考附图,本领域技术人员可以更好地理解本发明,并且清楚了解大量的目的、特征和优点。
图1是示出现有技术的网络的框图。
图2是示出结合了本发明实施例的网络的框图。
图3是更详细示出结合了本发明实施例的更加广阔的网络的框图。
图4是示出根据本发明的隧道分类台(TCS)的框图。
图5是更详细示出结合了本发明实施例的网络的框图。
图6是示出根据本发明实施例的隧道分组的框图。
图7是示出根据本发明实施例的查找单元的框图。
图8是示出根据本发明实施例通过网络转发分组流的过程的流程图。
图9是示出根据本发明实施例用于创建入口路由器和出口路由器之间的隧道的过程的流程图。
图10是示出根据本发明实施例用于利用隧道转发分组的过程的流程图。
图11是示出根据本发明实施例给分组分配安全性群组标识符(SGI)的流程图。
图12是示出根据本发明实施例的分组分类的流程图。
在不同图中相同标号的使用指示类似或相同的项。
具体实施方式
下面是要提供对本发明示例的详细描述,并且不应当认为是对本发明自身的限制。相反,任何变化都可以落在本发明的范围内,本发明的范围由所附权利要求限定。
导论
本发明是这样一种方法和装置,其提供了隧道化安全性群组(TSG)作为有效地利用源主机的逻辑群组或角色来标记分组的方式以解决前述限制。在本发明中,每个保护网络设备(例如出口路由器)广播其网络地址(例如IP地址)、处理的网络地址范围(例如,网络设备处理的IP地址块)和隧道协议需求的标识。当在分配给某些角色或群组(称为G)的入口网络设备(例如入口路由器(IR))处的用户尝试发送到由保护出口网络设备(例如出口路由器(ER))处理的网络地址时,IR建立从IR到ER的隧道(如果隧道还不存在的话),该隧道代表与G相关联的流量。作为隧道建立操作的一部分,ER被引导将到达该隧道的流量与G相关联。当G的最后一个用户与IR断开时,IR可以终止隧道。或者,如果隧道有某段时间的空闲,则IR或ER都可以终止隧道,从而收回与隧道相关联的资源,包括在隧道是加密隧道的情况下可能需要的循环密钥刷新的开销。
作为隧道建立协商的一部分,对上述内容的一种可能的扩展是将应用于G的ACL条目从ER传播到IR,从而使不可接受的分组在到安全性群组隧道的入口处(在IR处)被丢弃,而不是在其已经穿过网络(从而消耗了网络资源)后在出口处(在ER处)被丢弃。
在一个实施例中,本发明实现在路由器形式的硬件中。在这种情况下,每个TSG设备支持某些最小数目的安全性群组(例如2048)。这是路由器的内部容量,并且不表现为任何分组头部中的字段。从而,网络设备可以支持完全不同(和大的多)数目的安全性群组,并且仍然保持兼容。每个安全性群组的安全性群组标识符(SGI)被维护为交换机内部的标识符。
注意,在例如这里描述的网络中,主导通信是从客户端边缘去往关键服务器所位于的一个或若干个数据中心的。从而,受保护服务器的地址块数目很小,通常约小于10。用于客户端的中等规模的入口设备不太可能直接连接多于100个群组内的客户端主机。从而,10*100=1000是合理的最小值。从而,根据本发明的TSG设备提供了可以进行缩放以适应当前网络的解决方案。而且,这种TSG设备可以支持比最小值多的多的隧道。事实上,随着这种特征的广泛部署,用户可以更新支持实质更多隧道的TSG设备。
每个TSG设备能够在分组接收时基于端口/VLAN、源地址或在其上/通过其接收分组的隧道(如果对于接收的隧道,给定网络设备是端点的话)来分配SGI。一般来说,接入端口为该端口提供了默认SGI。执行的第2层查找也可以返回SGI,从而撤消每端口的值。而且,输入ACL查找也可以返回SGI,同样可选地撤消SGI。
注意,SGI可被视作“虚拟端口”标识符,并且在这种能力中能够处理物理端口和VLAN端口以及代表隧道端点的虚拟端口的标识。例如,在一个实施例中,这种SGI能够将物理端口标识为子集,从而网络设备的分类机制可以在该一个标识符中执行处理,而不是在两个单独的标识符(物理端口和SGI)中执行处理。
每个TSG设备具有隧道分类台(TCS),其例如在对传入分组执行的分类处理中使用SGI加上分组的目的地地址来确定分组的分类。对于L2分组,SGI是媒体访问控制(MAC)层目的地地址查找中的关键字的一部分。对于IP路由的分组,SGI是转发信息库(FIB)查找中的关键字的一部分。
每个TSG设备可以基于TCS的结果选择出口隧道,并根据由出口路由器指定的关联隧道协议(假定分组要经过隧道传输)封装分组。可以使用多种标准隧道协议,并且这多种标准隧道协议可用来支持根据本发明传输的网络流量。在经由隧道(即,在隧道端点处)接收到分组后,TSG设备能够对分组解封装,并使用内部头部的目的地地址和与隧道相关联的SGI来进行TCS操作。在该实施例中,TSG设备例如可以被设计为支持至少1024个隧道入口端点和1024个隧道出口端点。这要求在TCS中有2048个条目(以覆盖入口和出口)加上1024个隧道重写条目。
注意,TSG设备需要是可配置的,以便利用对域内路由协议的扩展来广播局限于TSG访问的地址块。TSG设备更新其TCS,以确保去往该地址块的分组被适当地通过隧道传输。
隧道可以按需(动态地)建立,这是通过利用软件将第一分组诱捕到隧道并建立隧道来实现的。这对于真正安全的隧道尤其重要,因为存在与保持每个隧道(无论是否活动)上的密钥刷新相关联的开销。或者,隧道可以在启动时或重配置后被建立为入口路由器配置的一部分。或者,可以使用静态和动态隧道的组合。
除了解决了前面讨论的限制以外,本发明的实施例还提供了多个优点,包括提高的网络效率(在所需的资源和操作方面)、改进的安全性和与现有标准和设备的兼容性。关于效率,根据本发明的TSG减少了提供逻辑群组访问控制所需的ACL的数目。本发明还减少了更新ACL的需要,同时提供了基于角色的和基于群组的访问控制。此外,通过扩展到在隧道建立时将ACL从出口设备传播到入口设备,本发明减少了网络资源的消耗,尤其是防止了潜在的拒绝服务攻击。
关于安全性,本发明采用了可以利用标准技术和协议加密的隧道,从而在从分组到群组的识别上提供了“边缘到边缘”的安全性,并且确保了基于群组的ACL的传播。本发明还容易地与现有标准兼容。根据本发明的TSG支持逻辑安全性群组,而不引入新的分组头部格式,从而避免了与新分组格式的标准化和部署支持这种新格式的交换机/路由器相关联的问题。在逻辑上,隧道被用来将发送者的安全性群组的标识符有效地从隧道的入口端点传输到隧道的出口端点,以用于该出口端点处的分类,从而有效地(并且安全地)提供了基于角色的ACL。因此,TSG可以通过更新边缘设备以提供TSG支持来递增地部署。
支持隧道化安全性群组的装置示例
图2是示出结合了本发明实施例的网络200的框图。如前一样,客户端112、114和116经由因特网110访问服务器120。同样,客户端112、114和116经由交换机130耦合到因特网110的一部分。
然而,入口路由器210和出口路由器220被配置为汇聚客户端112、114和116与服务器120之间的网络流量,并经由单个隧道(隧道230)传送该流量。在该示例中,客户端112、114和116都位于相同的用户群组内。该用户群组是隧道230所支持的用户群组。从而,在已被识别为支持给定用户群组的情况下,隧道230支持入口路由器210和出口220之间该用户群组的网络流量(在给定用户群组的情况下,该流量是去往服务器120的)。
这种情况下,入口路由器210和出口路由器220也被配置为基于给定分组从其发起的主机和分组要传送经过其的隧道的安全性分组标识符(SGI)来识别分组。如前所述,给定分组具有与其关联的SGI,SGI标识主机所属的安全性群组,以及可以静态(例如,在认证时,其中SGI被提供到适当的交换机,作为该特定用户的认证过程的一部分)或动态(例如,由入口路由器通过基于主机的网络地址执行地址到SGI转换)设置的安全性群组。
例如,当发送从主机接收到的分组时,入口路由器接收分组,并利用主机的源地址生成SGI。然后,入口路由器利用目的地地址确定分组要发送经过哪一个隧道。如果该隧道的ACL已被推入到入口路由器中,则入口路由器还可以确定是否允许在期望隧道上发送具有给定SGI的分组,并因此基于其分类处理分组。
或者,如果该判决在出口路由器处进行(即,给定ACL未被推入入口路由器中),则分组发送经过适当的隧道。在接收后,出口路由器确定是否许可将分组转发到其期望目的地。这例如可以通过利用分组的分组流标记(IP源地址、IP目的地地址、端口和协议类型)以及分组的SGI参考适当的ACL条目(ACE)来实现。
图3是示出比图2所示具有更大复杂度的网络的框图。图3中所示的网络300包括客户端112、114和116,这些客户端同样经由因特网110耦合到服务器120。入口路由器310同样经由交换机130提供对因特网110的访问。客户端312、314和316也耦合到入口路由器310。客户端112、114和116经由交换机130、入口310、因特网110和出口路由器320访问服务器120。从图3中清楚可见,出口路由器320包括隧道分类台(TCS)325。如图2中一样,客户端112、114和116与服务器120之间的网络流量经由隧道230在入口路由器310和出口路由器320之间传递。
以类似的方式,客户端312、314和316经由交换机330与入口路由器310通信。客户端112、114、116、312、314和316中的每一个不仅能够与服务器120通信,还能够经由入口路由器310与出口路由器370(其包括TCS 375)和出口路由器380(其包括TCS 385)之间的隧道(即,隧道360、362、364和366)与服务器340和350通信。隧道230、360、362和364由其所支持的一个或多个用户群组标识。一般来说,给定隧道支持的一个或多个用户群组依赖于给定隧道所支持的服务器(例如,服务器120、340和350)。客户端112、114、116、312、314和316中的每一个可以属于一个或多个用户群组。基于该信息,入口路由器310和出口路由器320、370和380通过对于给定用户群组许可或阻隔隧道上的来自一个或多个客户端的流量来控制对其耦合到的服务器的访问。
在网络300中,客户端112、114、116、312、314和316能够(至少理论上能够)访问服务器120、340和350中的任何一个,只要给定客户端所属的安全性群组被允许访问给定服务器即可。这就是图3中所示的情形,图3中所示的路径事实上代表客户端112、114、116、312、314和316中的任何一个与服务器120、340和350中的任何一个之间的通信。这些路径的描绘假定无论图3中所示的路径代表什么样的组合集,基于客户端112、114、116、312、314和316的SGI以及服务器120、340和350所支持的许可,所安排的组合都是可允许的(经由位于入口路由器310中,或者位于出口路由器320、370和380中的适当路由器中的ACL(或可比较的机制)进行)。
注意,隧道230、360、362和364能够基于在隧道终点处的出口路由器所耦合到的服务器支持穿过其的一条或多条路径。从而,如果我们出于示例目的假定客户端112和114要访问服务器120,则该网络流量可以协同地穿过隧道230。
另一方面,如果要支持客户端314和316与服务器350之间的网络流量,则该网络流量可以分别经由隧道362和364独立传送。这可能是客户端314和316处于不同的安全性群组中,并且每个安全性群组被隧道362和364之一支持的情形。在该场景中,服务器350允许这两个安全性群组中的客户端的访问。或者,可以分别经由隧道360和362支持客户端314和316与服务器340和350之间各自的网络流量的流动。在该情况下,客户端314和服务器350之间的网络流量以及客户端316和服务器340之间的网络流量可能是不被许可的(基于客户端314和316的安全性群组)。从而,依赖于客户端112、114、116、312、314和316的需要,入口路由器310可能非常好地支持到出口路由器320、370和380的任何数目的隧道,从而许可对服务器120、340和350的访问。
图4是示出隧道分类台(TCS)(更具体而言,入口侧TCS 400)的框图。包括TCS 400的网络设备(例如,出口路由器320、370和380)提供了从网络设备的另一部件到TCS 400的传入分组流410。TCS 400又提供了到网络设备的其他部件的传出分组流420。TCS 400包括隧道化安全性群组(TSG)设备430,在设备430中,执行基于分组的安全性群组标识符(SGI)的处理。为此,TSG设备430包括分组处理部件440。分组处理部件440基于传入分组流410的分组的SGI对这些分组执行各种操作。
SGI识别单元450和隧道分类单元460支持该功能并且耦合到分组处理部件440。在分组处理部件440的分组处理中,由入口网络设备(例如入口路由器310)接收到分组,在分组处理部件440接收之后由SGI识别单元450识别分组的安全性群组。SGI识别单元450在识别了给定分组的安全性群组之后,将该信息传递到隧道分类单元460。隧道分类单元460利用分组的安全性群组(由SGI识别单元450提供)确定是否在给定隧道上允许传送分组以及要在其上传送分组的隧道的隧道分类(由隧道分类单元460识别)。如前所述,SGI充当虚拟输入端口,并且基于输入接口和目的地地址来确定分组的转发,例如在这种情况下利用基于策略的路由。在本发明中,判决是关于分组被在哪一个隧道转发的。与作为输出的隧道相关联的输出ACL被用来确定是经由所选隧道发送分组还是丢弃分组。
注意,关于这里描述的实施例,不同的组件被包含在不同的其他组件(例如,示为TCS 400的组件的各种元件)内。应当理解,这种所描述的体系结构仅是示例,事实上可以实现具有相同功能的许多其他体系结构。简言之(在确定意义上),实现相同功能的任何组件安排都是有效“关联的”,从而实现了期望的功能。因而,这里被组合用来实现特定功能的任何两个组件都可视作彼此“关联”,从而实现了期望的功能,无论体系结构或中间组件如何。类似地,这样关联的任何两个组件也可被视作彼此“可操作地连接”或“可操作地耦合”,以实现期望功能。
图5是示出包括主机505和服务器510的网络体系结构500的示例的框图。主机505以下面的方式利用本发明的安全性机制访问服务器510。首先,主机505的安全性群组被首先指定。这可以在主机505被认证时实现。认证功能可由认证服务器(未示出)经由主机505耦合到的交换机(例如交换机520)来加以处理。交换机520还为主机505提供了对子网525的访问。
以类似的方式,服务器510也被认证,这种情况下是由认证服务器(未示出)经由服务器510耦合到的交换机(例如交换机535)来进行。交换机535为服务器510提供了对子网540的访问。子网525和540经由因特网550通信地彼此耦合。子网525经由入口路由器555耦合到因特网550,类似地,子网540经由入口路由器560耦合到因特网550。
在图5中还示出了隧道570。隧道570提供了入口路由器555和出口路由器560之间的虚拟路径,从而支持去往耦合到出口路由器560的一个或多个服务器(例如服务器510)的网络流量。通过利用主机的安全性群组标识符识别主机的分组,并获知隧道所支持的一个或多个安全性群组(隧道分类符),入口路由器具有作出关于是否转发分组经过隧道的判决所需的信息。
安全性用户群组信息(安全性群组标识符的形式)例如在入口路由器555内生成。这用来确定可用来将给定分组传输到其指定目的地的隧道中的任何一个是否被允许承载属于该安全性群组的分组。例如,如果隧道570的分类指示在隧道570上允许传输具有该SGI的分组,则分组经由隧道570被路由穿过因特网550到达出口路由器560。如果期望的隧道不存在,则基于分组的SGI和目的地创建这样的隧道。然而,分组也可能被丢弃,因为适当隧道上的ACE拒绝这类分组。这种判决通常是基于全分组流标签进行的。分组也可能因为由于某种原因不能创建必需的隧道而被丢弃,如下结合图9所述。
图6是示出本发明的隧道分组600的框图。图6中所示的隧道分组600包括IP头部610、隧道标识符620、序列号630和原始分组信息640。注意,原始分组信息640是最初由主机(或服务器)发送到与该主机(或服务器)通信的服务器(或主机)的信息。注意,从主机传播到服务器的分组与从服务器传播到主机的分组经历相同的联网结构和操作。这是因为每个分组必须被分析,并且如果适当的话,被处理并经由经过给定因特网的适当隧道通信。IP头部610包含允许隧道分组600传播经过给定隧道的信息。类似地,隧道标识符620标识隧道分组600穿过因特网的隧道。序列号630被用来防止重放攻击,以及监视给定隧道上的丢失的表观水平。注意,在实践中,除了图6中所示的以外,还可以采用例如用在IP封装安全性有效载荷(ESP)协议中的隧道协议头部。
图7是示出根据本发明的查找单元700的框图,查找单元700是图4的隧道分类单元460的示例。查找单元700包括内容可寻址存储器(CAM)710,CAM 710从分组头部信息730中生成索引720。索引720被用来访问访问控制列表740。访问控制列表740包括多个访问控制列表条目(ACE):访问控制列表条目750(1)-(N),每个条目又包括流标签字段(在图7中示为流标签字段760(1)-(N))、隧道标识符字段(在图7中示为隧道标识符字段770(1)-(N))、安全性群组标识符(SGI)(SGI字段780(1)-(N))和其他流规范字段(在图7中示为其他流规范字段790(1)-(N))。
在入口处,分组头部信息(例如,分组头部信息730)被传递到CAM710,CAM 710基于所提供的分组头部信息执行查找。在入口路由器(从分组的起点,即客户端的角度看)的情形中,分组头部信息730的相关部分包括用来确定分组要被转发到的隧道(如果事实上这是被许可的话)的分组SGI(以及可能的其他信息)。在该场景中,CAM 710从该信息中生成索引(索引720),索引720被用来选择ACE 750(1)-(N)中的适当那个。在选择适当ACE时,将索引720中的信息与一个或多个安全性群组标识符字段780(1)-(N)中的信息相比较。这样,可以识别包含相应SGI信息的隧道标识符字段770(1)-(N)中的相应那个。
以类似的方式,在出口侧,分组头部信息730包含隧道标识信息(例如在图6中示为IP头部610和隧道标识符620)。同样,分组头部信息730被提供到CAM 710,CAM 710又生成索引720,索引720是访问控制列表740中的索引。然而,这种情况下,索引720包含关于接收到给定分组的隧道标识的信息。该索引720内的信息被用来利用包含在隧道标识符字段770(1)-(N)中的信息识别ACE 750(1)-(N)中的一个(或多个),隧道标识符字段770(1)-(N)包含与传入分组的隧道标识符匹配的隧道标识符(例如隧道标识符620)。隧道标识信息(例如隧道标识符620)和流标签信息(例如IP头部610)被用来确定哪一个安全性群组标识符字段780(1)-(N)匹配,从而能够识别分组的安全性群组标识符。从而,CAM710使用该信息来生成索引720,索引720又被用作访问控制列表740中的索引以识别ACE 750(1)-(N)中的期望那个。
注意,变量标识符“N”被用在图7和这里描述的其他附图的若干场合中,以更简单地指定一系列相关或类似元件中的最终元件。这种变量标识符的重复使用并不意味着一定暗示这一系列元件的大小之间的相关,尽管这种相关可能存在。这种变量标识符的使用并不要求每个这一系列元件与相同变量标识符限定的另一个系列具有相同的元件数。相反,在每个使用场合中,由“N”(或任何其他这样的标识符)标识的变量可以与相同变量标识符在其他场合标识的变量具有相同或不同的值。
而且,关于这里描述的信号,本领域技术人员将会认识到,信号可以直接从第一块发送到第二块,或者信号可以在块之间修饰(例如,放大、衰减、延迟、锁存、缓冲、反转、滤波或其他修饰)。尽管上述实施例的信号的特征在于从一个块发送到下一个块,但是本发明的其他实施例可以包括修饰后的信号来代替这种直接发送的信号,只要信号的信息和/或功能方面在块之间发送即可。由于所涉及的电路的物理限制(例如,不可避免地存在某些衰减和延迟),在某种程度上,在第二块处输入的信号可以概念化为从第一信号导出的第二信号,其中第一信号是从第一块输出的。因此,如这里所用的,从第一信号导出的第二信号包括第一信号或对第一信号的任何修饰,无论是由于电路限制还是由于经过其他电路元件的通路都是如此,所述其他电路元件不改变第一信号的信息和/或最终功能方面。
支持隧道化安全性群组的示例性过程
图8是示出根据本发明的转发分组流经过网络的过程的流程图。该过程开始于给定出口路由器广播给定虚拟端口的可用性(步骤800)。在广播虚拟端口的可用性时,出口路由器还广播出口路由器的目的地IP地址(在服务器侧的另一侧)和隧道信息(例如,采用的协议等等)。这等同于出口路由器指示对给定隧道的目的地的可用性。随后,客户端尝试发送分组到目的地地址(步骤810)。在进行这种尝试时,作出关于所期望的隧道是否存在的判决(步骤820)。如果期望隧道存在,则入口路由器经由给定隧道将给定的一个或多个分组转发到适当的出口路由器(步骤830)。
然而,如果隧道不存在,则入口路由器基于在出口路由器广播虚拟端口可用性期间获得的信息配置其自身和适当的出口路由器之间的隧道(步骤840)。然后确定期望隧道的创建是否成功(步骤850)。如果隧道创建成功,则入口路由器经由两者之间的隧道将给定的一个或多个分组转发到特定的出口路由器(步骤830)。然而,如果隧道创建不成功,则分组在入口路由器处丢弃(步骤860),并且丢弃计数器递增(步骤870)。这种情形例如是给定主机不被允许访问给定服务器,因为主机的安全性群组不被允许访问另一个安全性群组的服务器。还要注意,隧道创建中的故障可由入口路由器识别。
注意,TSG设备需要是可配置的,以便利用对域内路由协议的扩展来广播局限于TSG访问的地址块。TSG设备更新其TCS,以确保去往该地址块的分组被适当地通过隧道传输。还应当注意,在某些实现方式中,隧道可能需要在隧道输入处两个级别的加密,以处理隧道加密以及任何链路级别的加密。这两个级别可通过重新循环分组以使分组有效地传递经过发送(和接收)逻辑两次来实现:一次是利用端口逻辑加密执行隧道加密,第二次是执行下一跳的链路级别的加密。类似地,在隧道出口端点的接收时,分组第一次经过是对入口进行链路级别的解密,第二次经过是对入口进行隧道解密。利用这种重循环方法,TCS可以实现为用于无隧道分组处理的相同分类/转发机制的一部分。利用基于重循环的实现方式,人们可以预期在入口中的第一次重循环后的“虚拟输出端口”可用在输出ACI/QoS分类中,从而使去往特定隧道的分组可被拒绝或监管,就好像它们来自实际端口一样。
如图所示,图8(以及这里描述的其他流程图)描绘了示出根据本发明实施例的过程的流程图。应当意识到,这里讨论的操作可以由计算机系统用户直接输入的命令或专用硬件模块执行的步骤构成,但是优选实施例包括由软件模块执行的步骤。这里所谈到的步骤的功能可以对应于模块或模块一部分的功能。
这里所谈到的操作可以是模块或模块一部分(例如,软件、固件或硬件模块)。例如,尽管所述实施例包括软件模块和/或包括手工输入的用户命令,但是各种示例性模块也可以是专用硬件模块。这里讨论的软件模块可以包括脚本、批处理文件或其他可执行文件,或者其组合和/或这些文件的一部分。软件模块可以包括编码在计算机可读介质上的计算机程序或子例程。
另外,本领域技术人员将会认识到,模块之间的界限仅仅是示例性的,并且替换实施例可以合并模块,或者分解模块的功能。例如,这里讨论的模块可以被分解为子模块,这些子模块可选地运行在多个计算机上作为多个计算机过程。而且,替换实施例可以组合特定模块或子模块的多个场合。此外,本领域技术人员将会认识到,示例性实施例中描述的操作仅用于示例。根据本发明,操作可以被组合,或者操作的功能可以分布在附加操作中。
或者,这些动作可以实施在实现这种功能的电路结构中,如复杂指令集计算机(CISC)的微代码、编程到可编程或可擦除/可编程设备中的固件、现场可编程门阵列(FPGA)的配置、门阵列或全定制专用集成电路(ASIC)的设计等等。
流程图中的每个块可由模块(例如软件模块)或模块一部分或计算机系统用户执行。从而,上述方法、操作和模块可运行在被配置用来执行方法的操作的计算机系统上,和/或可以从计算机可读介质中加以执行。该方法可以实施在用于配置计算机系统执行该方法的机器可读和/或计算机可读介质中。从而,软件模块可存储在计算机系统存储器内和/或被发送到计算机系统存储器,以配置计算机系统执行模块的功能。
这种计算机系统根据程序(内部存储的指令列表,如特定应用程序和/或操作系统)正常处理信息并且经由I/O设备产生所得到的输出信息。计算机过程一般包括执行(运行)程序或程序的一部分,当前程序值和状态信息,以及操作系统用来管理过程执行的资源。父过程可以分出其他子过程以帮助执行父过程的全部功能。由于父过程特别分出子过程以执行父过程的全部功能的一部分,因此子过程(以及孙子过程等)执行的功能有时可被描述为由父过程执行。
这种计算机系统一般包括“同时”执行的多个计算机过程。通常,计算机系统包括能够交替地支持许多活动过程的单个处理单元。尽管多个过程可能表现为同时执行,但是在任何特定的时间点,只有一个过程在由单个处理单元实际执行。通过快速地改变执行的过程,计算机系统给出了同时过程执行的表观现象。计算机系统能够在各个运行阶段在多个过程之间复用计算机系统的资源的能力被称为多任务。具有多个处理单元的系统(通过定义其支持真正的并发处理)被称为多处理系统。当活动过程在多任务和/或多处理环境中执行时,这些过程通常称作是并发执行的。
这里描述的软件模块可由该计算机系统例如从计算机可读介质接收。计算机可读介质可以永久地、可移动地或远程地耦合到计算机系统。计算机可读介质例如可以非排斥地包括任何数目的以下介质:磁存储介质,包括盘和带式存储介质;光存储介质,如光盘介质(例如CD-ROM、CD-R等)和数字视频光盘存储介质;非易失性存储器,包括基于半导体的存储器单元,如FLASH存储器、EEPROM、EPROM、ROM或专用集成电路;易失性存储介质,包括寄存器、缓冲器或缓存、主存储器、RAM等等;和数据传输介质,包括计算机网络、点对点通信和载波传输介质。在基于UNIX的实施例中,软件模块可以实施在文件中,文件可以是设备、终端、本地或远程文件、套接字、网络连接、信号或其他有利的通信或状态改变。其他新的和各种类型的计算机可读介质也可用来存储和/或发送这里讨论的软件模块。
图9是示出根据本发明用于创建入口路由器和出口路由器(例如,入口路由器555和出口路由器560)之间的隧道的过程的流程图。该过程开始于入口发送创建隧道的请求到出口路由器(步骤900)。随后,在入口路由器和出口路由器之间协商安全性(步骤910)。还协商隧道所支持的网络地址(步骤920)。在给定给定网络流量的目的地的情况下,这些地址被用来确定该流量是否由该隧道传送。
然后确定在入口和出口路由器之间隧道的创建是否成功(步骤930)。如果隧道未被成功创建,则入口路由器将该事实指示给请求与期望服务器通信的主机(步骤940)。如果隧道创建成功,则确定是否将ACE从出口路由器推入入口路由器中(步骤950)。从图7中清楚可见,ACL可被视作ACE的列表。在将ACE推入入口路由器时,为了高效地实现该操作,一般来说只有可用于特定隧道的ACE被发送到入口路由器。这是例如因为全ACL可以指定多个不同安全性群组的条目,其中某些(或许多)可能对于给定入口路由器并不适当。然而,由于正被讨论的隧道仅用于特定安全性群组,因此只有涉及该安全性群组的ACE需要被发送到入口路由器,作为特定隧道创建的结果。尽管这不是强制性的,但是应当意识到,可以发送更多(直到包括整个ACL)或更少的ACE。
在将ACE推入到入口路由器时,要考虑只有某些ACE可用于特定隧道从而只有这些ACE需要被发送的事实。例如,全ACL可以指定K个不同安全性群组的条目,但是因为给定隧道(给定入口和出口路由器对之间)仅用于特定群组,因此在特定隧道的创建时只有涉及该群组的ACE可感知被发送到入口路由器。
关于是否将ACE推入到入口路由器中的判决基本是关于入口和出口路由器中的哪一个要对给定隧道的网络流量执行分组分析的判决。如果入口路由器要执行该分析,则确定出口路由器必须将所需ACE推入到入口路由器中,并且执行该操作(步骤960)。注意,如果出口路由器要执行该分析,则ACE不被推入到入口路由器中(步骤950),因此不执行出口路由器发送ACE到入口路由器的步骤。在确定是否将ACE推入到入口路由器中(以及如果希望的话,完成该操作)之后,入口路由器指示隧道成功创建(步骤970)。
图10是示出根据本发明实施例用于利用隧道转发分组的过程的流程图。该过程开始于接收分组(步骤1000),分组可以来自于隧道或直接来自于端口。随后,接收分组的路由器在分组接收后给分组分配安全性群组标识符(SGI)(步骤1010)。基于安全性群组标识符,路由器随后利用分组的SGI给分组分类(步骤1020)。分类可以在第2层或第3层执行。路由器随后确定如何转发分组(步骤1030)。这包括识别要经过其转发分组的隧道。然后确定分组是否被允许经过正被讨论的隧道(步骤1040)。如果分组被允许经过其指定隧道,则路由器经由给定隧道向其目的地转发该分组(步骤1050)。然而,如果分组不允许经过隧道,则分组被丢弃(步骤1060),并且丢弃计数器递增(步骤1070)。
图11是示出根据本发明实施例确定由网络设备(例如路由器)接收的分组的安全性群组标识符(SGI)的流程图。首先要理解,图11的过程仅是示例,并且该SGI可以在给定分组分类过程中的任何点处重新分配(甚至在每个这种点处)。然而,一般来说,这种重分配只发生一次。
图11的过程开始于将默认SGI分配到分组,这是基于接收到分组的端口进行的(步骤1100)。然后确定是否在第2层撤消默认SGI(步骤1110)。如果要在第2层撤消默认SGI,则基于其源地址给分组分配SGI(1120)。确定是否在第3层撤消默认SGI(或分配的第2层SGI)(步骤1130)。如果要在第2层撤消默认SGI(或分配的第2层SGI),则确定执行分析的给定网络设备是否实际上是隧道终点(步骤1140)。如果网络设备是隧道终点,则在第3层撤消分组的SGI。一般来说,这是通过基于利用网络设备的输入ACL执行的查找的结果给分组分配SGI来实现的(步骤1150),而不是在单独操作中在第3层撤消分组的SGI。注意,这是当输入ACL指示分组到达的隧道的情形,尽管也可以采用其他机制来识别与接收的分组相关联的隧道。然后确定如输入ACL所指示的,是否撤消默认SGI(或分配的SGI)(步骤1160)。如果ACL指示要撤消默认(或分配的)SGI,则基于可用的输入ACL条目分配分组的SGI(步骤1170)。
该过程允许这种处理发生在隧道的输入处。一般来说,主机或者利用分配的MAC地址,或者利用分配的IP地址与SGI相关联。从而,来自主机的分组被利用MAC或源IP地址映射到相应的SGI,后者一般使用输入参数。该SGI与目的地IP地址一起确定了分组应当经过的隧道,其中到隧道的出口由与作为逻辑出口端口的隧道端点相关联的输出ACL控制。在从隧道接收时发生相同的序列,除了这被应用于封装头部以提供与隧道相关联的SGI以外。然后分组需要被解封装并基于原始分组头部和给定SGI被转发,一般来说,在该阶段移去隧道封装头部。
注意,当隧道化分组需要重循环时(例如,用于加密和解密),这种分组与正常分组相比需要两倍的路由器带宽。从而,在这种分组被送出到隧道(从而在入口路由器重循环)之前阻隔未经允许的分组对于防止泛滥攻击来说可能是很重要的。
图12是示出根据本发明基于关于要对分组分类的联网层的判决的分组分类的流程图。该过程开始于关于分组是要在第2网络层分类还是在第3网络层分类的判决(步骤1200)。如果分组要在第2网络层分类,则SGI被包括在媒体访问控制(MAC)层目的地地址查找中(步骤1210)。或者,如果分组要在第3网络层分类,则SGI被包括在转发查找中(步骤1220)。注意,图12所示的操作仅是示例,SGI和其相关机制并不局限于特定分组分类机制或方法。SGI可用在多种分类机制中,包括输入ACL和输出ACL,以及转发机制。而且,ACL可以应用于第2层(L2)分组(例如VLAN ACL),从而允许对IP分组执行分类。
如上所述,本发明提供了多个优点,包括提高的网络效率(在所需的资源和操作方面)、改进的安全性和与现有标准和设备的兼容性。关于效率,根据本发明的TSG减少了提供逻辑群组访问控制所需的ACL的数目。本发明还减少了更新ACL的需要,同时提供了基于角色的和基于群组的访问控制。此外,通过扩展到在隧道建立时将ACL从出口设备传播到入口设备,本发明减少了网络资源的消耗,尤其是防止了潜在的拒绝服务攻击。
关于安全性,本发明采用了可以利用标准技术和协议加密的隧道,从而在从分组到群组的识别上提供了“边缘到边缘”的安全性,并且确保了基于群组的ACL的传播。本发明还容易地与现有标准兼容。根据本发明的TSG支持逻辑安全性群组,而不引入新的分组头部格式,从而避免了与新分组格式的标准化和部署支持这种新格式的交换机/路由器相关联的问题。在逻辑上,隧道被用来将发送者的安全性群组的标识符有效地从隧道的入口端点传输到隧道的出口端点,以用于该出口端点处的分类,从而有效地(并且安全地)提供了基于角色的ACL。因此,TSG可以通过更新边缘设备以提供TSG支持来递增地部署。
尽管已经示出并描述了本发明的特定实施例,但是本领域技术人员将会清楚,基于这里的教导,可以在不脱离本发明和其更广泛的范围的前提下进行改变和修改,因此,所附权利要求的范围包含所有这些改变和修改,这些改变和修改都落在本发明的真实精神和范围内。而且,尽管参考这些特定实施例示出和描述了本发明,但是本领域技术人员将会理解,在不脱离本发明的精神和范围的前提下,可以对前述内容进行形式和细节上的改变。
Claims (49)
1.一种网络设备,包括:
隧道分类台。
2.如权利要求1所述的网络设备,其中所述隧道分类台包括:
分组处理部件,其被配置用来基于分组的安全性群组标识符(SGI)对所述分组分类。
3.如权利要求2所述的网络设备,其中
所述分组处理部件被配置用来基于所述SGI而通过将在其上传递所述分组的隧道来转发所述分组。
4.如权利要求3所述的网络设备,其中
所述分组处理部件还被配置用来基于所述分组的头部中的信息而通过所述隧道来转发所述分组。
5.如权利要求2所述的网络设备,其中所述隧道分类台还包括:
耦合到所述分组处理部件的安全性群组标识符识别单元;以及
耦合到所述分组处理部件和所述安全性群组标识符识别单元的隧道分类单元。
6.如权利要求1所述的网络设备,其中路由器包括所述隧道分类台。
7.如权利要求6所述的网络设备,其中所述路由器还包括:
查找单元。
8.如权利要求7所述的网络设备,其中所述查找单元包括:
访问控制列表(ACL);以及
内容可寻址存储器,其中
所述内容可寻址存储器耦合到所述访问控制列表,并且
所述内容可寻址存储器被配置用来生成索引并将所述索引提供到所述ACL。
9.如权利要求8所述的网络设备,其中所述ACL包括:
多个ACL条目(ACE),其中
所述ACE中的每一个包括隧道标识符字段和安全性群组标识符字段。
10.一种方法,包括:
给分组分配安全性群组标识符(SGI);以及
基于所述SGI对所述分组分类。
11.如权利要求10所述的方法,还包括:
基于所述对所述分组分类的结果确定所述分组是否可经由隧道发送。
12.如权利要求11所述的方法,还包括:
确定所述分组的路由,其中所述确定所述分组是否可经由所述隧道发送也是基于所述路由的。
13.如权利要求12所述的方法,还包括:
如果允许经由所述隧道转发具有所述SGI的分组,则经由所述隧道转发所述分组。
14.如权利要求11所述的方法,其中所述确定包括:
生成索引,其中所述索引包括所述SGI;以及
利用所述索引来访问访问控制列表(ACL),其中所述ACL包括关于所述分组是否可经由隧道发送的信息。
15.如权利要求14所述的方法,其中所述信息包括:
SGI字段;以及
隧道标识符字段。
16.如权利要求10所述的方法,还包括:
经由隧道将所述分组从入口路由器转发到出口路由器。
17.如权利要求16所述的方法,还包括:
在所述出口路由器处接收所述分组;以及
基于所述SGI确定所述分组是否可被所述出口路由器转发。
18.如权利要求17所述的方法,其中所述确定所述分组是否可被转发的操作还包括:
基于所述SGI、所述分组的目的地和所述隧道的标识符来确定所述分组是否可被所述出口路由器转发。
19.如权利要求17所述的方法,其中所述确定所述分组是否可被转发的操作还包括:
生成到访问控制列表(ACL)的索引,其中
所述ACL包括关于所述分组是否可被所述出口路由器转发的信息,并且
所述索引包括所述隧道的所述标识符;以及
利用所述索引访问所述ACL。
20.一种计算机系统,包括:
处理器;
耦合到所述处理器的计算机可读介质;以及
编码在所述计算机可读介质中的计算机代码,其被配置用来使所述处理器执行以下操作:
给分组分配安全性群组标识符(SGI);以及
基于所述SGI对所述分组分类。
21.如权利要求20所述的计算机系统,其中被配置用来使所述处理器对所述分组分类的所述计算机代码生成所述分组的分类,并且所述计算机代码还被配置用来使所述处理器执行以下操作:
基于所述分类确定所述分组是否可经由隧道发送。
22.如权利要求21所述的计算机系统,其中所述计算机代码还被配置用来使所述处理器执行以下操作:
确定所述分组的路由,其中所述分类也是基于所述路由的。
23.如权利要求22所述的计算机系统,其中所述计算机代码还被配置用来使所述处理器执行以下操作:
如果允许经由所述隧道转发具有所述SGI的分组,则经由所述隧道转发所述分组。
24.如权利要求21所述的计算机系统,其中被配置用来使所述处理器执行确定操作的所述计算机代码还被配置用来使所述处理器执行以下操作:
生成索引,其中所述索引包括所述SGI;以及
利用所述索引来访问访问控制列表(ACL),其中所述ACL包括关于所述分组是否可经由隧道发送的信息。
25.如权利要求24所述的计算机系统,其中所述信息包括:
SGI字段;以及
隧道标识符字段。
26.如权利要求20所述的计算机系统,其中所述计算机代码还被配置用来使所述处理器执行以下操作:
经由隧道将所述分组从入口路由器转发到出口路由器。
27.如权利要求26所述的计算机系统,其中所述计算机代码还被配置用来使所述处理器执行以下操作:
在所述出口路由器处接收所述分组;以及
基于所述SGI确定所述分组是否可被所述出口路由器转发。
28.如权利要求27所述的计算机系统,其中被配置用来使所述处理器确定所述分组是否可被所述出口路由器转发的所述计算机代码还被配置用来使所述处理器执行以下操作:
基于所述SGI、所述分组的目的地和所述隧道的标识符来确定所述分组是否可被所述出口路由器转发。
29.如权利要求27所述的计算机系统,其中被配置用来使所述处理器确定所述分组是否可被所述出口路由器转发的所述计算机代码还被配置用来使所述处理器执行以下操作:
生成到访问控制列表(ACL)的索引,其中
所述ACL包括关于所述分组是否可被所述出口路由器转发的信息,并且
所述索引包括所述隧道的所述标识符;以及
利用所述索引访问所述ACL。
30.一种计算机程序产品,包括:
可在计算机系统上执行的第一指令集,其被配置用来给分组分配安全性群组标识符(SGI);
可在所述计算机系统上执行的第二指令集,其被配置用来基于所述SGI对所述分组分类;以及
计算机可读介质,其中所述计算机程序产品被编码在所述计算机可读介质中。
31.如权利要求30所述的计算机程序产品,其中所述第二指令集还被配置用来生成所述分组的分类,并且还包括:
可在所述计算机系统上执行的第三指令集,其被配置用来基于所述分类确定所述分组是否可经由隧道发送。
32.如权利要求31所述的计算机程序产品,还包括:
可在所述计算机系统上执行的第四指令集,其被配置用来确定所述分组的路由,其中所述分类也是基于所述路由的。
33.如权利要求32所述的计算机程序产品,还包括:
可在所述计算机系统上执行的第五指令集,其被配置用来在允许经由所述隧道转发具有所述SGI的分组的情况下经由所述隧道转发所述分组。
34.如权利要求31所述的计算机程序产品,其中所述第三指令集包括:
可在所述计算机系统上执行的第一指令子集,其被配置用来生成索引,其中所述索引包括所述SGI;以及
可在所述计算机系统上执行的第二指令子集,其被配置用来使用所述索引来访问访问控制列表(ACL),其中所述ACL包括关于所述分组是否可经由隧道发送的信息。
35.如权利要求34所述的计算机程序产品,其中所述信息包括:
SGI字段;以及
隧道标识符字段。
36.如权利要求30所述的计算机程序产品,还包括:
可在所述计算机系统上执行的第三指令集,其被配置用来经由隧道将所述分组从入口路由器转发到出口路由器。
37.如权利要求36所述的计算机程序产品,还包括:
可在所述计算机系统上执行的第三指令集,其被配置用来在所述出口路由器处接收所述分组;以及
可在所述计算机系统上执行的第四指令集,其被配置用来基于所述SGI确定所述分组是否可被所述出口路由器转发。
38.如权利要求37所述的计算机程序产品,其中所述第四指令集包括:
可在所述计算机系统上执行的第一指令子集,其被配置用来基于所述SGI、所述分组的目的地和所述隧道的标识符来确定所述分组是否可被所述出口路由器转发。
39.如权利要求37所述的计算机程序产品,其中所述第四指令集包括:
可在所述计算机系统上执行的第一指令子集,其被配置用来生成到访问控制列表(ACL)的索引,其中
所述ACL包括关于所述分组是否可被所述出口路由器转发的信息,并且
所述索引包括所述隧道的所述标识符;以及
可在所述计算机系统上执行的第二指令子集,其被配置用来利用所述索引访问所述ACL。
40.一种装置,包括:
用于给分组分配安全性群组标识符(SGI)的装置;以及
用于基于所述SGI对所述分组分类的装置。
41.如权利要求40所述的装置,还包括:
用于基于由所述用于对所述分组分类的装置生成的结果来确定所述分组是否可经由隧道发送的装置。
42.如权利要求41所述的装置,还包括:
用于确定所述分组的路由的装置,其中所述结果也是基于所述路由的。
43.如权利要求42所述的装置,还包括:
用于在允许经由所述隧道转发具有所述SGI的分组的情况下经由所述隧道转发所述分组的装置。
44.如权利要求41所述的装置,其中所述确定包括:
用于生成索引的装置,其中所述索引包括所述SGI;以及
用于利用所述索引来访问访问控制列表(ACL)的装置,其中所述ACL包括关于所述分组是否可经由隧道发送的信息。
45.如权利要求44所述的装置,其中所述信息包括:
SGI字段;以及
隧道标识符字段。
46.如权利要求40所述的装置,还包括:
用于经由隧道将所述分组从入口路由器转发到出口路由器的装置。
47.如权利要求46所述的装置,还包括:
用于在所述出口路由器处接收所述分组的装置;以及
用于基于所述SGI确定所述分组是否可被所述出口路由器转发的装置。
48.如权利要求47所述的装置,其中用于确定所述分组是否可被转发的所述装置还包括:
用于基于所述SGI、所述分组的目的地和所述隧道的标识符来确定所述分组是否可被所述出口路由器转发的装置。
49.如权利要求47所述的装置,其中用于确定所述分组是否可被转发的所述装置还包括:
用于生成到访问控制列表(ACL)的索引的装置,其中
所述ACL包括关于所述分组是否可被所述出口路由器转发的信息,并且
所述索引包括所述隧道的所述标识符;以及
用于利用所述索引访问所述ACL的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/716,656 US8146148B2 (en) | 2003-11-19 | 2003-11-19 | Tunneled security groups |
| US10/716,656 | 2003-11-19 | ||
| PCT/US2004/035978 WO2005053261A2 (en) | 2003-11-19 | 2004-10-29 | Tunneled security groups |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101288272A true CN101288272A (zh) | 2008-10-15 |
| CN101288272B CN101288272B (zh) | 2011-08-31 |
Family
ID=34633194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800337058A Active CN101288272B (zh) | 2003-11-19 | 2004-10-29 | 隧道化安全性群组 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8146148B2 (zh) |
| EP (1) | EP1712056B1 (zh) |
| CN (1) | CN101288272B (zh) |
| AU (2) | AU2004310652A1 (zh) |
| CA (1) | CA2543260C (zh) |
| WO (1) | WO2005053261A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104067562A (zh) * | 2011-11-11 | 2014-09-24 | 柏思科技有限公司 | 用于第二层多网络链路隧道的协议 |
| CN104272672A (zh) * | 2012-04-30 | 2015-01-07 | 国际商业机器公司 | 向虚拟覆盖网络流量提供服务 |
| CN108243082A (zh) * | 2016-12-26 | 2018-07-03 | 大唐移动通信设备有限公司 | 一种数据传输方法及设备 |
| US10044841B2 (en) | 2011-11-11 | 2018-08-07 | Pismo Labs Technology Limited | Methods and systems for creating protocol header for embedded layer two packets |
| CN112889245A (zh) * | 2018-08-21 | 2021-06-01 | 福朗特尔私人有限公司 | 具有多个负载均衡器和网络接入控制器的网络系统和架构 |
Families Citing this family (132)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7339903B2 (en) | 2001-06-14 | 2008-03-04 | Qualcomm Incorporated | Enabling foreign network multicasting for a roaming mobile node, in a foreign network, using a persistent address |
| US8000241B2 (en) * | 2001-06-26 | 2011-08-16 | Qualcomm Incorporated | Methods and apparatus for controlling access link packet flow aggregation and resource allocation in a mobile communications system |
| US7027400B2 (en) * | 2001-06-26 | 2006-04-11 | Flarion Technologies, Inc. | Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| US7836490B2 (en) | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
| DE602005000898T2 (de) * | 2004-03-16 | 2008-01-17 | At&T Corp. | Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots |
| US7616613B2 (en) * | 2004-05-05 | 2009-11-10 | Cisco Technology, Inc. | Internet protocol authentication in layer-3 multipoint tunneling for wireless access points |
| US7669244B2 (en) | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
| EP1805961B1 (en) * | 2004-10-29 | 2012-12-05 | Telefonaktiebolaget L M Ericsson (publ) | Methods and nodes in a communication system for controlling the use of access resources |
| US7877796B2 (en) * | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
| US7721323B2 (en) * | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
| US7886145B2 (en) * | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
| US7554984B2 (en) * | 2004-11-30 | 2009-06-30 | Broadcom Corporation | Fast filter processor metering and chaining |
| US7830892B2 (en) | 2004-11-30 | 2010-11-09 | Broadcom Corporation | VLAN translation in a network device |
| US7680107B2 (en) | 2004-11-30 | 2010-03-16 | Broadcom Corporation | High speed trunking in a network device |
| US7715384B2 (en) | 2004-11-30 | 2010-05-11 | Broadcom Corporation | Unicast trunking in a network device |
| US8014390B2 (en) * | 2004-11-30 | 2011-09-06 | Broadcom Corporation | Policy based routing using a fast filter processor |
| US7826481B2 (en) * | 2004-11-30 | 2010-11-02 | Broadcom Corporation | Network for supporting advance features on legacy components |
| US8005084B2 (en) * | 2004-11-30 | 2011-08-23 | Broadcom Corporation | Mirroring in a network device |
| US7827402B2 (en) | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
| JP2008524916A (ja) * | 2004-12-21 | 2008-07-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信システムにおけるパケットフローに関する装置及び方法 |
| US8457131B2 (en) * | 2005-02-18 | 2013-06-04 | Broadcom Corporation | Dynamic table sharing of memory space within a network device |
| US7779449B2 (en) * | 2005-04-13 | 2010-08-17 | The Boeing Company | Secured network processor |
| US7814311B2 (en) * | 2006-03-10 | 2010-10-12 | Cisco Technology, Inc. | Role aware network security enforcement |
| US8924524B2 (en) | 2009-07-27 | 2014-12-30 | Vmware, Inc. | Automated network configuration of virtual machines in a virtual lab data environment |
| US8619771B2 (en) | 2009-09-30 | 2013-12-31 | Vmware, Inc. | Private allocated networks over shared communications infrastructure |
| US8892706B1 (en) | 2010-06-21 | 2014-11-18 | Vmware, Inc. | Private ethernet overlay networks over a shared ethernet in a virtual environment |
| US20080222693A1 (en) * | 2006-08-08 | 2008-09-11 | Cipheroptics, Inc. | Multiple security groups with common keys on distributed networks |
| US8369219B2 (en) * | 2006-09-19 | 2013-02-05 | Cisco Technology, Inc. | System and method for managing bandwidth |
| CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
| US7840708B2 (en) * | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
| US20090276530A1 (en) * | 2007-11-30 | 2009-11-05 | Darrell Gentry | Devices, Systems, Methods and Software for Computer Networking |
| US20090271523A1 (en) * | 2007-11-30 | 2009-10-29 | Darrell Gentry | System, Method and Software for Using One Computer Network to Bypass a Portion of Another Computer Network |
| US8195774B2 (en) | 2008-05-23 | 2012-06-05 | Vmware, Inc. | Distributed virtual switch for virtualized computer systems |
| DE102008043186A1 (de) * | 2008-10-27 | 2010-04-29 | Robert Bosch Gmbh | Elektromagnetischer Schalter für eine Startvorrichtung sowie Verfahren zum Schalten des elektromagnetischen Schalters |
| GB2479916A (en) * | 2010-04-29 | 2011-11-02 | Nec Corp | Access rights management of locally held data based on network connection status of mobile device |
| US8964528B2 (en) | 2010-07-06 | 2015-02-24 | Nicira, Inc. | Method and apparatus for robust packet distribution among hierarchical managed switching elements |
| US9680750B2 (en) | 2010-07-06 | 2017-06-13 | Nicira, Inc. | Use of tunnels to hide network addresses |
| US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
| US10103939B2 (en) | 2010-07-06 | 2018-10-16 | Nicira, Inc. | Network control apparatus and method for populating logical datapath sets |
| US8717895B2 (en) * | 2010-07-06 | 2014-05-06 | Nicira, Inc. | Network virtualization apparatus and method with a table mapping engine |
| US8458786B1 (en) * | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| US9363102B1 (en) * | 2010-12-21 | 2016-06-07 | Amazon Technologies, Inc. | Methods and apparatus for implementing anycast flow stickiness in stateful sessions |
| CN102739494B (zh) * | 2011-03-31 | 2016-07-06 | 鸿富锦精密工业(深圳)有限公司 | Ssl vpn网关及其自动控制ssl vpn通道的方法 |
| US8825900B1 (en) | 2011-04-05 | 2014-09-02 | Nicira, Inc. | Method and apparatus for stateless transport layer tunneling |
| US9043452B2 (en) | 2011-05-04 | 2015-05-26 | Nicira, Inc. | Network control apparatus and method for port isolation |
| CN106850444B (zh) | 2011-08-17 | 2020-10-27 | Nicira股份有限公司 | 逻辑l3路由 |
| US9300570B2 (en) * | 2012-05-22 | 2016-03-29 | Harris Corporation | Multi-tunnel virtual private network |
| US8879558B1 (en) | 2012-06-27 | 2014-11-04 | Juniper Networks, Inc. | Dynamic remote packet capture |
| CN103516822A (zh) * | 2012-06-29 | 2014-01-15 | 同方股份有限公司 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
| CN105706420B (zh) * | 2013-06-28 | 2019-07-02 | 瑞典爱立信有限公司 | 用于实现提供商网络中的服务链的系统和方法 |
| US9350657B2 (en) | 2013-07-08 | 2016-05-24 | Nicira, Inc. | Encapsulating data packets using an adaptive tunnelling protocol |
| US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| GB201313123D0 (en) * | 2013-07-23 | 2013-09-04 | Ritchley Barnaby T | Call management system |
| WO2015015786A1 (ja) * | 2013-07-30 | 2015-02-05 | 日本電気株式会社 | 通信システム、通信装置、制御装置、ネットワークデバイス、通信方法、制御方法、および、プログラム |
| US9887960B2 (en) | 2013-08-14 | 2018-02-06 | Nicira, Inc. | Providing services for logical networks |
| US9952885B2 (en) | 2013-08-14 | 2018-04-24 | Nicira, Inc. | Generation of configuration files for a DHCP module executing within a virtualized container |
| US9577845B2 (en) | 2013-09-04 | 2017-02-21 | Nicira, Inc. | Multiple active L3 gateways for logical networks |
| US9503371B2 (en) | 2013-09-04 | 2016-11-22 | Nicira, Inc. | High availability L3 gateways for logical networks |
| US9485185B2 (en) | 2013-09-24 | 2016-11-01 | Nicira, Inc. | Adjusting connection validating control signals in response to changes in network traffic |
| US9910686B2 (en) | 2013-10-13 | 2018-03-06 | Nicira, Inc. | Bridging between network segments with a logical router |
| US10063458B2 (en) | 2013-10-13 | 2018-08-28 | Nicira, Inc. | Asymmetric connection with external networks |
| US9419855B2 (en) | 2014-03-14 | 2016-08-16 | Nicira, Inc. | Static routes for logical routers |
| US9225597B2 (en) | 2014-03-14 | 2015-12-29 | Nicira, Inc. | Managed gateways peering with external router to attract ingress packets |
| US9313129B2 (en) | 2014-03-14 | 2016-04-12 | Nicira, Inc. | Logical router processing by network controller |
| US9590901B2 (en) | 2014-03-14 | 2017-03-07 | Nicira, Inc. | Route advertisement by managed gateways |
| US9647883B2 (en) | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
| US9503321B2 (en) | 2014-03-21 | 2016-11-22 | Nicira, Inc. | Dynamic routing for logical routers |
| US9893988B2 (en) | 2014-03-27 | 2018-02-13 | Nicira, Inc. | Address resolution using multiple designated instances of a logical router |
| US9413644B2 (en) | 2014-03-27 | 2016-08-09 | Nicira, Inc. | Ingress ECMP in virtual distributed routing environment |
| US9893983B2 (en) * | 2014-04-28 | 2018-02-13 | Nicira, Inc. | Network virtualization operations using a scalable statistics collection framework |
| US9893964B2 (en) | 2014-04-28 | 2018-02-13 | Nicira, Inc. | System for aggregating statistics relating to a logical forwarding element |
| US9742881B2 (en) | 2014-06-30 | 2017-08-22 | Nicira, Inc. | Network virtualization using just-in-time distributed capability for classification encoding |
| US10020960B2 (en) | 2014-09-30 | 2018-07-10 | Nicira, Inc. | Virtual distributed bridging |
| US10511458B2 (en) | 2014-09-30 | 2019-12-17 | Nicira, Inc. | Virtual distributed bridging |
| US10250443B2 (en) | 2014-09-30 | 2019-04-02 | Nicira, Inc. | Using physical location to modify behavior of a distributed virtual network element |
| US9768980B2 (en) | 2014-09-30 | 2017-09-19 | Nicira, Inc. | Virtual distributed bridging |
| US10193783B2 (en) | 2014-12-31 | 2019-01-29 | Nicira, Inc. | System for aggregating statistics associated with interfaces |
| US9667538B2 (en) | 2015-01-30 | 2017-05-30 | Telefonaktiebolget L M Ericsson (Publ) | Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks |
| US10079779B2 (en) | 2015-01-30 | 2018-09-18 | Nicira, Inc. | Implementing logical router uplinks |
| US10038628B2 (en) | 2015-04-04 | 2018-07-31 | Nicira, Inc. | Route server mode for dynamic routing between logical and physical networks |
| US9912704B2 (en) * | 2015-06-09 | 2018-03-06 | Intel Corporation | System, apparatus and method for access control list processing in a constrained environment |
| US11204791B2 (en) * | 2015-06-30 | 2021-12-21 | Nicira, Inc. | Dynamic virtual machine network policy for ingress optimization |
| US10348625B2 (en) | 2015-06-30 | 2019-07-09 | Nicira, Inc. | Sharing common L2 segment in a virtual distributed router environment |
| US10129142B2 (en) | 2015-08-11 | 2018-11-13 | Nicira, Inc. | Route configuration for logical router |
| US10075363B2 (en) | 2015-08-31 | 2018-09-11 | Nicira, Inc. | Authorization for advertised routes among logical routers |
| US9860214B2 (en) * | 2015-09-10 | 2018-01-02 | International Business Machines Corporation | Interconnecting external networks with overlay networks in a shared computing environment |
| US10095535B2 (en) | 2015-10-31 | 2018-10-09 | Nicira, Inc. | Static route types for logical routers |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10333849B2 (en) | 2016-04-28 | 2019-06-25 | Nicira, Inc. | Automatic configuration of logical routers on edge nodes |
| US10484515B2 (en) | 2016-04-29 | 2019-11-19 | Nicira, Inc. | Implementing logical metadata proxy servers in logical networks |
| US10841273B2 (en) | 2016-04-29 | 2020-11-17 | Nicira, Inc. | Implementing logical DHCP servers in logical networks |
| US10091161B2 (en) | 2016-04-30 | 2018-10-02 | Nicira, Inc. | Assignment of router ID for logical routers |
| US10153973B2 (en) | 2016-06-29 | 2018-12-11 | Nicira, Inc. | Installation of routing tables for logical router in route server mode |
| US10560320B2 (en) | 2016-06-29 | 2020-02-11 | Nicira, Inc. | Ranking of gateways in cluster |
| US10454758B2 (en) | 2016-08-31 | 2019-10-22 | Nicira, Inc. | Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP |
| US10341236B2 (en) | 2016-09-30 | 2019-07-02 | Nicira, Inc. | Anycast edge service gateways |
| US10212071B2 (en) | 2016-12-21 | 2019-02-19 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
| US10742746B2 (en) | 2016-12-21 | 2020-08-11 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
| US10237123B2 (en) | 2016-12-21 | 2019-03-19 | Nicira, Inc. | Dynamic recovery from a split-brain failure in edge nodes |
| US10616045B2 (en) | 2016-12-22 | 2020-04-07 | Nicira, Inc. | Migration of centralized routing components of logical router |
| US10637800B2 (en) | 2017-06-30 | 2020-04-28 | Nicira, Inc | Replacement of logical network addresses with physical network addresses |
| US10681000B2 (en) | 2017-06-30 | 2020-06-09 | Nicira, Inc. | Assignment of unique physical network addresses for logical network addresses |
| US10511459B2 (en) | 2017-11-14 | 2019-12-17 | Nicira, Inc. | Selection of managed forwarding element for bridge spanning multiple datacenters |
| US10374827B2 (en) | 2017-11-14 | 2019-08-06 | Nicira, Inc. | Identifier that maps to different networks at different datacenters |
| US10917353B2 (en) * | 2018-02-28 | 2021-02-09 | Microsoft Technology Licensing, Llc | Network traffic flow logging in distributed computing systems |
| US10942788B2 (en) | 2018-06-15 | 2021-03-09 | Vmware, Inc. | Policy constraint framework for an sddc |
| US10812337B2 (en) | 2018-06-15 | 2020-10-20 | Vmware, Inc. | Hierarchical API for a SDDC |
| US10812377B2 (en) | 2018-10-12 | 2020-10-20 | Cisco Technology, Inc. | Methods and apparatus for use in providing transport and data center segmentation in a mobile network |
| US10848576B2 (en) * | 2018-10-29 | 2020-11-24 | Cisco Technology, Inc. | Network function (NF) repository function (NRF) having an interface with a segment routing path computation entity (SR-PCE) for improved discovery and selection of NF instances |
| US10931560B2 (en) | 2018-11-23 | 2021-02-23 | Vmware, Inc. | Using route type to determine routing protocol behavior |
| US10797998B2 (en) | 2018-12-05 | 2020-10-06 | Vmware, Inc. | Route server for distributed routers using hierarchical routing protocol |
| US10938788B2 (en) | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
| US20210021517A1 (en) * | 2019-07-19 | 2021-01-21 | Arista Networks, Inc. | Avoiding recirculation of data packets in a network device |
| US11095480B2 (en) | 2019-08-30 | 2021-08-17 | Vmware, Inc. | Traffic optimization using distributed edge services |
| US11095559B1 (en) | 2019-09-18 | 2021-08-17 | Cisco Technology, Inc. | Segment routing (SR) for IPV6 (SRV6) techniques for steering user plane (UP) traffic through a set of user plane functions (UPFS) with traffic handling information |
| US11095545B2 (en) | 2019-10-22 | 2021-08-17 | Vmware, Inc. | Control packet management |
| US11463469B2 (en) * | 2020-03-30 | 2022-10-04 | Forescout Technologies, Inc. | Multiple sourced classification |
| CN115380514B (zh) * | 2020-04-01 | 2024-03-01 | 威睿有限责任公司 | 为异构计算元件自动部署网络元件 |
| US11622273B2 (en) * | 2020-07-06 | 2023-04-04 | T-Mobile Usa, Inc. | Security system for directing 5G network traffic |
| US11516670B2 (en) * | 2020-07-06 | 2022-11-29 | T-Mobile Usa, Inc. | Security system for vulnerability-risk-threat (VRT) detection |
| US11616755B2 (en) | 2020-07-16 | 2023-03-28 | Vmware, Inc. | Facilitating distributed SNAT service |
| US11606294B2 (en) | 2020-07-16 | 2023-03-14 | Vmware, Inc. | Host computer configured to facilitate distributed SNAT service |
| US11611613B2 (en) | 2020-07-24 | 2023-03-21 | Vmware, Inc. | Policy-based forwarding to a load balancer of a load balancing cluster |
| US11902050B2 (en) | 2020-07-28 | 2024-02-13 | VMware LLC | Method for providing distributed gateway service at host computer |
| US11451413B2 (en) | 2020-07-28 | 2022-09-20 | Vmware, Inc. | Method for advertising availability of distributed gateway service and machines at host computer |
| US11803408B2 (en) | 2020-07-29 | 2023-10-31 | Vmware, Inc. | Distributed network plugin agents for container networking |
| US11863352B2 (en) | 2020-07-30 | 2024-01-02 | Vmware, Inc. | Hierarchical networking for nested container clusters |
| US11606254B2 (en) | 2021-06-11 | 2023-03-14 | Vmware, Inc. | Automatic configuring of VLAN and overlay logical switches for container secondary interfaces |
| US20230231741A1 (en) | 2022-01-14 | 2023-07-20 | Vmware, Inc. | Per-namespace ip address management method for container networks |
| US11848910B1 (en) | 2022-11-11 | 2023-12-19 | Vmware, Inc. | Assigning stateful pods fixed IP addresses depending on unique pod identity |
| US11831511B1 (en) | 2023-01-17 | 2023-11-28 | Vmware, Inc. | Enforcing network policies in heterogeneous systems |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5017917A (en) * | 1988-12-30 | 1991-05-21 | At&T Bell Laboratories | Restriction of communication service accessibility among subscriber communities |
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6061650A (en) * | 1996-09-10 | 2000-05-09 | Nortel Networks Corporation | Method and apparatus for transparently providing mobile network functionality |
| US6339595B1 (en) * | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
| US6226751B1 (en) * | 1998-04-17 | 2001-05-01 | Vpnet Technologies, Inc. | Method and apparatus for configuring a virtual private network |
| US6438612B1 (en) * | 1998-09-11 | 2002-08-20 | Ssh Communications Security, Ltd. | Method and arrangement for secure tunneling of data between virtual routers |
| US6643776B1 (en) * | 1999-01-29 | 2003-11-04 | International Business Machines Corporation | System and method for dynamic macro placement of IP connection filters |
| CN100384191C (zh) | 1999-06-10 | 2008-04-23 | 阿尔卡塔尔互联网运行公司 | 基于策略的网络体系结构 |
| US6779051B1 (en) * | 1999-07-30 | 2004-08-17 | Nortel Networks Corporation | Determining an end point of a GRE tunnel |
| US6693878B1 (en) * | 1999-10-15 | 2004-02-17 | Cisco Technology, Inc. | Technique and apparatus for using node ID as virtual private network (VPN) identifiers |
| US7028332B1 (en) * | 2000-06-13 | 2006-04-11 | Intel Corporation | Method and apparatus for preventing packet retransmissions during IPsec security association establishment |
| ATE291803T1 (de) * | 2000-06-30 | 2005-04-15 | Cit Alcatel | Verfahren und apparat um mit apparate zu kommunizieren die nicht zum selben virtuellen privaten netzwerk (vpn) gehören |
| US6857018B2 (en) * | 2000-07-31 | 2005-02-15 | Dongyi Jiang | System, method and computer software products for network firewall fast policy look-up |
| US6823462B1 (en) * | 2000-09-07 | 2004-11-23 | International Business Machines Corporation | Virtual private network with multiple tunnels associated with one group name |
| JP4183379B2 (ja) * | 2000-11-27 | 2008-11-19 | 富士通株式会社 | ネットワーク及びエッジルータ |
| US7391782B2 (en) * | 2001-03-06 | 2008-06-24 | Fujitsu Limited | Packet relaying apparatus and relaying method with next relaying address collation |
| US6990106B2 (en) * | 2001-03-19 | 2006-01-24 | Alcatel | Classification and tagging rules for switching nodes |
| US20020144144A1 (en) * | 2001-03-27 | 2002-10-03 | Jeffrey Weiss | Method and system for common control of virtual private network devices |
| US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
| GB0108461D0 (en) * | 2001-04-04 | 2001-05-23 | Roke Manor Research | Automatic traffic engineering |
| WO2003003660A1 (en) | 2001-06-27 | 2003-01-09 | Hyglo Ab | System and method for establishment of virtual private networks using transparent emulation clients |
| CN1150718C (zh) * | 2001-06-29 | 2004-05-19 | 华为技术有限公司 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
| US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US8713185B2 (en) * | 2001-12-07 | 2014-04-29 | Rockstar Bidco, LP | Methods of establishing virtual circuits and of providing a virtual private network service through a shared network, and provider edge device for such network |
| US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| WO2003098880A1 (fr) * | 2002-05-20 | 2003-11-27 | Fujitsu Limited | Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau |
| US20030235191A1 (en) * | 2002-06-19 | 2003-12-25 | Heggarty Jonathan W. | VLAN inheritance |
| US7647410B2 (en) * | 2002-08-28 | 2010-01-12 | Procera Networks, Inc. | Network rights management |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| US7836490B2 (en) * | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
-
2003
- 2003-11-19 US US10/716,656 patent/US8146148B2/en active Active
-
2004
- 2004-10-29 CA CA2543260A patent/CA2543260C/en not_active Expired - Fee Related
- 2004-10-29 EP EP04796733.6A patent/EP1712056B1/en active Active
- 2004-10-29 WO PCT/US2004/035978 patent/WO2005053261A2/en not_active Application Discontinuation
- 2004-10-29 CN CN2004800337058A patent/CN101288272B/zh active Active
- 2004-10-29 AU AU2004310652A patent/AU2004310652A1/en not_active Abandoned
-
2010
- 2010-03-16 AU AU2010200994A patent/AU2010200994B2/en not_active Ceased
-
2012
- 2012-01-31 US US13/362,143 patent/US8839409B2/en not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104067562A (zh) * | 2011-11-11 | 2014-09-24 | 柏思科技有限公司 | 用于第二层多网络链路隧道的协议 |
| CN104067562B (zh) * | 2011-11-11 | 2017-12-15 | 柏思科技有限公司 | 用于第二层多网络链路隧道的协议 |
| CN107682370A (zh) * | 2011-11-11 | 2018-02-09 | 柏思科技有限公司 | 用于创建用于嵌入的第二层数据包的协议标头的方法和系统 |
| US10044841B2 (en) | 2011-11-11 | 2018-08-07 | Pismo Labs Technology Limited | Methods and systems for creating protocol header for embedded layer two packets |
| CN107682370B (zh) * | 2011-11-11 | 2020-07-17 | 柏思科技有限公司 | 创建用于嵌入的第二层数据包协议标头的方法和系统 |
| CN104272672A (zh) * | 2012-04-30 | 2015-01-07 | 国际商业机器公司 | 向虚拟覆盖网络流量提供服务 |
| CN104272672B (zh) * | 2012-04-30 | 2017-03-22 | 国际商业机器公司 | 向虚拟覆盖网络流量提供服务 |
| US9699277B2 (en) | 2012-04-30 | 2017-07-04 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| CN108243082A (zh) * | 2016-12-26 | 2018-07-03 | 大唐移动通信设备有限公司 | 一种数据传输方法及设备 |
| CN108243082B (zh) * | 2016-12-26 | 2020-10-30 | 大唐移动通信设备有限公司 | 一种数据传输方法及设备 |
| CN112889245A (zh) * | 2018-08-21 | 2021-06-01 | 福朗特尔私人有限公司 | 具有多个负载均衡器和网络接入控制器的网络系统和架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101288272B (zh) | 2011-08-31 |
| WO2005053261A2 (en) | 2005-06-09 |
| EP1712056B1 (en) | 2017-12-13 |
| WO2005053261A3 (en) | 2007-02-01 |
| EP1712056A2 (en) | 2006-10-18 |
| US20050129019A1 (en) | 2005-06-16 |
| US20120131643A1 (en) | 2012-05-24 |
| AU2010200994B2 (en) | 2012-05-31 |
| US8146148B2 (en) | 2012-03-27 |
| AU2004310652A1 (en) | 2005-06-09 |
| CA2543260C (en) | 2014-08-19 |
| US8839409B2 (en) | 2014-09-16 |
| CA2543260A1 (en) | 2005-06-09 |
| AU2010200994A1 (en) | 2010-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101288272B (zh) | 隧道化安全性群组 | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| US7095741B1 (en) | Port isolation for restricting traffic flow on layer 2 switches | |
| CN1864390B (zh) | 用于利用安全性标记提供网络安全性的方法和装置 | |
| US6718387B1 (en) | Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel | |
| US5752003A (en) | Architecture for managing traffic in a virtual LAN environment | |
| US20170161609A1 (en) | Data neural network system and method | |
| US20030056063A1 (en) | System and method for providing secure access to network logical storage partitions | |
| KR20040081421A (ko) | 멀티미디어 통신을 위한 데이터 구조, 방법 및 시스템 | |
| US20050226257A1 (en) | Virtual local area network | |
| EP1701516B1 (en) | Method for facilitating application server functionality and access node comprising the same | |
| CN110089078B (zh) | 提供经由动态覆盖网络的业务转发器的方法和设备 | |
| US9716688B1 (en) | VPN for containers and virtual machines in local area networks | |
| US20060143701A1 (en) | Techniques for authenticating network protocol control messages while changing authentication secrets | |
| US7778250B2 (en) | Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation | |
| KR20040004724A (ko) | 프록시 게이트웨이를 제공하는 무선랜 서비스 시스템 및그 방법 | |
| CN114915451A (zh) | 一种基于企业级路由器的融合隧道加密传输方法 | |
| CN114175583B (zh) | 自愈网络中的系统资源管理 | |
| CN111865805B (zh) | 一种组播gre报文处理方法及系统 | |
| CN117978535A (zh) | 用于基于策略的联网的方法及系统 | |
| CN112804130A (zh) | 报文处理方法及装置、系统、存储介质以及电子设备 | |
| US20140282892A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| US11258720B2 (en) | Flow-based isolation in a service network implemented over a software-defined network | |
| CN110224844B (zh) | 虚拟专网的调度方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |