CN101656670A - 具有集成mpls-感知防火墙的路由装置 - Google Patents
具有集成mpls-感知防火墙的路由装置 Download PDFInfo
- Publication number
- CN101656670A CN101656670A CN200910166159A CN200910166159A CN101656670A CN 101656670 A CN101656670 A CN 101656670A CN 200910166159 A CN200910166159 A CN 200910166159A CN 200910166159 A CN200910166159 A CN 200910166159A CN 101656670 A CN101656670 A CN 101656670A
- Authority
- CN
- China
- Prior art keywords
- vpn
- packet
- router
- fire compartment
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/60—Router architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
MPLS-感知防火墙允许将防火墙安全策略应用于MPLS业务。可以集成在路由装置中的防火墙可以被配置成多个虚拟安全系统。路由装置提供用户接口,当将状态防火墙服务应用于数据包时,用户通过该用户接口指定将由集成防火墙识别的一个或多个区域。用户接口允许用户限定用于虚拟安全系统中的不同系统的不同区域和策略。另外,用户接口支持允许用户通过将客户VPN指定为与区域相关联的接口来限定用于防火墙的区域的句法。路由装置生成用于集成防火墙的映射信息,以将客户VPN映射为用于承载客户的业务的MPLS隧道的特定MPLS标签。
Description
技术领域
本发明涉及计算机网络,更具体地,涉及在计算机网络内路由数据包的网络装置。
背景技术
计算机网络是交换数据和共享资源的互联计算装置的集合。在基于数据包的网络(诸如互联网)中,计算装置通过将数据分为被称为数据包的小块来传送数据。数据包通过网络被分别从源装置路由至目的装置。目的装置从数据包提取数据并将数据集合(assemble)成其原始形式。将数据分为数据包使得源装置仅重发可能在传输期间丢失的那些个别的数据包。
专用网络可以包括单个企业拥有或管理的多个装置,诸如计算机。这些装置可以被分组成多个站点网络(site network),并且这些站点依次可以在地理上分布在广阔区域。每个站点网络均可以包括连接在特定站点处的装置的一个或多个局域网(LAN)。
随着虚拟专用网络(VPN)技术的出现,企业现在可以通过公共网络(诸如,互联网)在站点网络之间安全地共享数据。例如,集线器或中心VPN站点可以为在公司总部处的网络,同时spoke站点网络通常为在地理上分布的分公司、营业部、制造或配电设备、或企业的其他远程站点处的网络。
在一些实例中,远程站点可以建立到集线器站点或在远程站点之间的VPN隧道(tunnel),以使远程站点内的计算装置能够安全地相互进行通信或通过互联网或网络服务提供方的另一公共网络基础设施与在集线器站点处的装置进行通信。多个通信协议已经被开发用于建立VPN隧道。通常,当一个或多个安全数据流经公共网络基础设施时,这些协议允许网络装置建立VPN隧道。例如,互联网协议安全(IPSec)协议和安全套接层(SSL)协议利用加密技术建立网络“隧道”。这些隧道使符合其他网络协议的数据包(诸如,互联网协议(IP)数据包)能够被封装于在站点之间流动的加密数据包流内。
通常,每个客户站点均可以包括客户边缘路由器,该客户边缘路由器经由网络链路耦连(couple)至服务提供方网络内的对应提供方边缘路由器。提供方边缘路由器提供VPN服务,使得客户的业务(traffic)通过服务提供方的网络以及可能通过其他中间网络在VPN站点之间安全地被传送。由网络服务提供方提供的一种普通形式的VPN服务为多协议标签交换(MPLS)VPN。具体地,MPLS VPN利用创建标签交换路径(LSP)来用于经由所限定的路径通过中间网络承载客户的VPN业务。即,服务提供方的网络的路由器支持MPLS并且在客户的站点之间建立用于承载客户的VPN业务的LSP。
由于网络安全的重要性增加,服务提供方通常在每个VPN站点与服务提供方网络或连接VPN站点的其他中间公共网络之间的边界处部署安全装置。通常所配置的安全装置的一个实例为防火墙网络装置。例如,防火墙通常为被配置为基于服务提供方的安全策略允许或拒绝业务流的专用装置。
然而,由于各种原因,传统的防火墙难以将安全服务应用于MPLS业务。例如,流过防火墙的MPLS业务通常没有在数据平面内的状态。即,MPLS业务由附加于所封装的业务(诸如IP业务)的MPLS标签构成。当通过防火墙时,附加于MPLS数据包的MPLS标签通常对防火墙没有意义。因而,防火墙装置不能提供MPLS业务的状态分析,诸如使用集合的应用层数据的深度数据包检测的应用。
由于这个原因,服务提供方通常在每个客户边缘路由器与提供用于MPLS隧道的入口和出口的对应的提供方边缘路由器之间部署独立的防火墙装置。这样,防火墙装置完全位于服务提供方网络的MPLS核心之外,并且能够将防火墙策略应用于来自MPLS核心之外的每个客户站点的基于互联网协议(IP)的业务。然而,这些防火墙装置的部署增加了服务提供方必须管理和部署的装置的数量。这增加了关于服务提供方的配置和管理负担,并且对于管理员而言引起了功率、热量、冷却、储存架区以及其他问题。
发明内容
大体上,描述了使防火墙安全策略能够应用于MPLS业务的MPLS-感知(MPLS-aware)防火墙。而且,MPLS-感知防火墙可以被集成(integrate,结合)在路由装置中,从而允许单个装置提供包括MPLS支持的路由功能以及防火墙服务。作为一个实例,服务提供方可以部署在本文中所描述的单个装置,以向客户提供MPLSVPN服务以及将防火墙策略应用于客户的MPLS VPN业务。以此方式,在本文中所描述的技术可以允许服务提供方避免当提供MPLS VPN服务时部署独立的路由器和非-MPLS感知防火墙的需求。
另外,可以应用在本文中所描述的技术以实现基于区域(zone)的防火墙业务,该基于区域的防火墙业务使基于区域的安全策略能够被限定并应用于防火墙的不同网络接口。例如,除了允许基于物理接口限定区域之外,在本文中所描述的装置还允许为承载用于客户VPN的消息(communications)的VPN隧道限定安全区域。即,出于安全策略的目的,该装置提供可以限定VPN隧道的用户接口作为逻辑接口,并且这些逻辑接口可以像其他物理接口那样被用于限定将通过该装置应用策略的区域。
在一个实施例中,本发明旨在提供一种网络路由器,该网络路由器包括:多个接口,被配置为发送和接收数据包;以及路由引擎,具有执行路由协议以保持指定通过网络的路线的路由信息的控制单元,其中,该控制单元执行至少一种协议以建立用于一个或多个客户VPN的VPN隧道。该网络路由器进一步包括:转发引擎,由路由引擎配置成根据路由信息选择用于数据包的下一跳,转发平面具有基于所选的下一跳将数据包转发至接口的交换机结构(switchfabric)。网络路由器还包括:防火墙,被集成在网络路由器中,防火墙被配置为将安全功能应用于数据包。当从网络接收数据包时,转发引擎的流控制模块将一个或多个数据包定向(direct)至用于状态防火墙服务的应用的集成防火墙。另外,网络路由器提供用户接口,当将状态防火墙服务应用于数据包时,用户通过该用户界面指定将由防火墙识别的一个或多个区域。示例性的用户接口支持基于文本的句法(syntax),该基于文本的句法允许用户通过将客户VPN指定为与区域相关联的接口来限定区域。在另一实例中,图形用户接口可以容易地被使用。而且,用户接口可以由网络浏览器、管理和供应系统、或其他装置远程地访问或部署。
在另一实施例中,一种方法包括:利用路由器的路由引擎执行至少一种协议,以建立用于客户VPN的虚拟专用网(VPN)隧道。该方法进一步包括:利用网路路由器提供用户接口,用户通过该用户接口指定将由集成在路由器中的防火墙识别的一个或多个区域,其中,用户接口支持允许用户通过将用于客户VPN的一个或多个VPN隧道指定为与区域相关联的接口来限定区域的句法。该方法进一步包括:在路由器的多个接口处接收来自网络的数据包;利用路由器的转发引擎的流控制模块,将一个或多个接收到的数据包定向至用于状态防火墙服务的应用的防火墙;以及基于由用户指定的区域,利用网络路由器的防火墙将状态防火墙服务应用于数据包。另外,该方法还包括:在应用状态防火墙服务之后,将至少一些数据包从防火墙转发至转发引擎;利用转发引擎选择用于网络内的数据包的下一跳;以及根据所选的下一跳,将数据包转发至接口。
在本文中所描述的集成路由器和MPLS-感知防火墙可以具有优于传统防火墙的一些优点。例如,装置能够提供要求使用集合的应用层数据的深度数据包检测的防火墙服务,尽管VPN业务可以被封装有一个或多个标签,从而,通常不具有在数据平面内的状态。例如,集成的路由器和MPLS-感知防火墙可以应用侵入检测和防护、病毒扫描、第七层应用层安全服务以及要求通过VPN承载的MPLS业务的状态分析的其他服务。
此外,当被部署在提供基于MPLS的VPN服务的服务提供方网络的边缘处时,集成路由器和MPLS-感知防火墙可以具有一些优点。例如,在此情况下,MPLS-感知防火墙能够应用防火墙服务,尽管其在由服务提供方网络提供的到和从MPLS VPN核心的接口处对非对称业务(即,IP业务和MPLS业务)进行操作。另外,该装置、集成路由器和MPLS-感知防火墙可以容易地为服务提供方网络的多个客户提供服务。
另外,MPLS-感知防火墙可以支持虚拟安全系统。即,防火墙可以在逻辑上被分为多个虚拟安全系统,以提供多重安全服务。虚拟安全系统表示提供单独安全服务的在逻辑上所划分的防火墙范例,包括MPLS-感知的基于区域的防火墙服务。路由器可以提供虚拟安全系统作为逻辑上独立的防火墙,其可以独立地被配置,尽管虚拟安全系统可以共享集成防火墙的计算资源。路由器提供用户接口,该用户接口允许根系统管理员或为特定虚拟安全系统授权的管理员限定用于虚拟安全系统中的不同虚拟安全系统的不同区域和策略。
本发明的一个或多个实施例的详情在附图和以下描述中被阐述。本发明的其他特征、目的和优点将从说明书和附图以及从权利要求变得显而易见。
附图说明
图1是示出示例性网络环境的框图,其中,路由器包括集成MPLS-感知防火墙。
图2是进一步详细地示出包括集成MPLS-感知防火墙的示例性路由器的框图。
图3是示出路由器的示例性配置的图表,该路由器具有集成MPLS-感知防火墙,该防火墙用于向MPLS和其他网络业务提供基于区域的防火墙服务。
图4是示出示例性路由器的框图,该路由器使用共享的转发平面集成路由组件和MPLS-感知防火墙。
图5是示出根据本发明的原理的图4的路由器的示例性操作的流程图。
图6是进一步详细地示出示例性路由器的框图,该路由器使用共享的转发平面集成路由组件和MPLS-感知防火墙。
图7是进一步示出MPLS-感知防火墙路由器的示例性操作的流程图。
图8示出由路由组件提供给网络装置的集成防火墙以使得安全服务能够被应用于MPLS隧道的示例性映射信息。
图9是示出示例性路由器的框图,该路由器支持虚拟安全系统并且使用共享的转发平面集成路由组件和MPLS-感知防火墙。
图10是进一步示出支持虚拟安全系统的MPLS-感知防火墙路由器的示例性操作的流程图。
图11示出由路由组件提供给网络装置的集成防火墙以使安全服务能够被应用于不同虚拟安全系统的MPL隧道的示例性映射信息。
图12是示出在本文中所描述的MPLS、感知、基于区域的防火墙的提供方间部署的框图。
具体实施方式
图1是示出示例性网络环境2的框图,其中,服务提供方网络4提供客户虚拟专用网络(VPN)站点6A-6N(统称为VPN站点6)之间的连接性。在图1的实例中,VPN站点6包括经由网络链路16A-16N连接至服务提供方网络4的提供方边缘(PE)路由器10A-10N的客户边缘(CE)路由器8A-8N。
在一个实例中,服务提供方网络4支持提供方供应的VPN(PPVPN)。PE路由器10A-10N(统称为PE路由器10)通过服务提供方网络4以及可能通过其他中间网络传送客户VPN站点6的消息。服务提供方网络通常包括在经由高速网络链路与内部路由器和其他网络装置互连的网络的边缘处的一组PE路由器10。如图1所示,内部路由器可以为提供多协议标签交换(MPLS)MPLS核心网络的标签交换路由器(LSR)。PE路由器10和LSR 14执行一种或多种路由协议,诸如用于分发路由信息的中间系统至中间系统(ISIS)。另外,PE路由器10可以执行多协议边界网关协议(mpBGP),用于交换与VPN站点6相关联的VPN路线以及将应用于VPN消息的VPN标签。例如,与服务提供方网络4相关联的管理员可以配置PE路由器10,以为一个或多个客户VPN供应VPN服务。此时,管理员限定用于每个客户VPN的VPN标识符(例如,VPN_CUSTOMER_A),并且PE路由器10分配VPN标签、VPN地址、路由器目标、路由器区分符、以及VPN所需的所有其他状态信息。在图1的实例中,PE路由器10经由mpBGP交换此信息,以形成一个或多个端到端VPN隧道18。
另外,PE路由器10可以与LSR 14进行通信,以建立一个或多个端到端标签交换路径(LSP)形式的一个或多个MPLS隧道来用于通过服务提供方网络4以及可能通过其他中间网络传送VPN消息。沿着网络链路16到和来自VPN站点6的业务流可以采用互联网协议(IP)数据包的形式,并且可以使用互联网协议安全(IPSec)协议、安全套接层(SSL)协议或利用加密技术的其他协议来保护。PE路由器10提供用于关于在服务提供方网络4中提供的多协议标签交换(MPLS)服务的IP业务的入口和出口。即,PE路由器10作为用于传送VPN站点6的数据包(该数据包作为穿过VPN通道18以及可选地穿过一个或多个LSP的封装的VPN数据包)的入口LSR和出口LSR进行操作。例如,PE路由器10A可以从VPN站点6A接收IP业务,然后可以预先计划(prepend)基于与业务相关联的对应客户VPN的VPN标签。然后,VPN业务可以被看作通过服务提供方网络4沿着VPN隧道的流动,并且VPN隧道18可以被看作MPLS隧道的形式。然后,这些VPN隧道18(即,具有被预先计划给每个数据包的VPN标签的数据包流)中的一个或多个进一步被封装在附加MPLS标签的标签栈内,以沿着一个或多个LSP流动。例如,PE路由器10A可以进一步预先计划一个或多个MPLS标签,以在每个VPN数据包的VPN标签之上形成外部标签栈,并且通过服务提供方网络4沿着一个或多个专用LSP转发VPN数据包。PE路由器10和LSR 14可以使用任何类型的标签交换协议(诸如类似于资源预留协议(RSVP)和标签分配协议(LDP)的MPLS协议)来建立LSP。
如图1所示,每个PE路由器10均包括集成的防火墙(FW)12A-12N(统称为FW 12)。如以下进一步描述的,每个FW 12均为允许服务提供方网络4在IP-MPLS接口处应用防火墙安全策略的MPLS-感知防火墙。即,FW 12使防火墙安全策略能够被应用在IP业务进入或退出VPN隧道通道18的点处。而且,如图1所示,MPLS-感知FW 12可以被集成在路由装置(例如,PE路由器12)内,从而允许单个装置提供包括MPLS支持以及防火墙服务的路由功能。这样,在本文中所描述的技术可以使服务提供方能够避免在PE路由器10与CE路由器8之间部署独立的非MPLS-感知防火墙的要求。
另外,PE路由器10的FW 12可以提供使基于区域的安全策略能够被限定并应用于PE路由器的不同网络接口的基于区域的防火墙服务。例如,除了允许基于物理接口限定区域之外,PE路由器10还提供用户接口,该用户接口允许服务提供方限定关于由服务提供方网络4支持的客户VPN的安全区域。即,每个PE路由器10均可以提供具有使各个客户VPN能够被限定并由FW 12识别的命令句法的用户接口作为逻辑接口,并且这些逻辑接口可以像PE路由器的其他物理接口那样被用于限定区域和将应用于那些区域的对应安全策略。
图2是示出MPLS-使能(enabled)路由器(诸如图1的PE路由器10)的实例的框图,其包括集成的MPLS-感知防火墙(FW)22。在此实例中,FW 22提供允许限定基于区域的安全策略并将其应用于路由器的不同网络接口的基于区域的防火墙服务。在图2的实例中,路由器20包括物理接口27,该物理接口用于经由物理网络链路将IP业务28发送至VPN站点24以及从该VPN站点接收IP业务28。路由器20提供允许服务提供方限定区域和关于那些物理接口的对应安全策略的用户接口。另外,路由器20的用户接口允许服务提供方限定关于各个客户VPN 30的安全区域,这些安全区域被用于使消息安全地经隧道通过服务提供方网络。例如,如图2所示,系统管理员可以与用户接口进行交互以指定用于一个或多个所建立的客户VPN的逻辑接口29或其他标识符。另外,用户接口支持允许用于各个客户VPN 30的逻辑接口与路由器20的物理接口27结合使用,以限定区域和由FW 22应用于那些区域的对应安全策略的命令句法。如在本文中所说明的,路由器20保持映射信息,以允许路由器20将基于区域的安全服务应用于与VPN标签以及可选地与附加MPLS标签相关联的客户业务,从而提供具有集成MPLS-感知防火墙的路由器。
图3是示出用于提供基于区域的防火墙服务的路由器20的FW22的示例性配置的图表。在图3的图表中,纵轴表示路由器20的所有输入接口,包括N个物理输入接口(用于输入链路的图2的任何接口27)以及Y个输入VPN(用于VPN的任何逻辑接口29,其中,路由器20为出口)。横轴表示路由器20的所有输出接口,包括X个物理接口接口(用于输出链路的图2的任何接口27)以及Z个输出VPN(用于VPN的任何逻辑接口29,其中,路由器20为入口)。在此实例中,服务提供方网络的系统管理员与路由器20的用户接口进行了交互,以限定三个不同的区域:(1)用于经由VPN 1接收到的所有MPLS业务的第一区域30,(2)用于在物理接口OUTPUT INTX上输出的所有IP业务的第二区域32,以及(3)用于在物理接口INPUT INT 1上接收到的所有IP业务的第三区域34。
例如,路由器20可以提供基于文本的命令行接口,系统管理员或软件主体通过该命令行接口提供符合以下命令句法的配置数据:
zone ZONE_NAME{
interface INTEFACE_NAME;
…
interface INTEFACE_NAME;
vpn VPN_NAME;
…
vpn VPN_NAME;
}
在以上实例中,关键字“zone”表示管理员正限定新的安全区域,并且括号定界符包含了限定该区域的接口的集合。例如,落入该区域中的任何物理接口均可以使用关键字“接口”来指定。另外,用于通过服务提供方网络承载VPN通信的VPN的逻辑接口可以由“vpn”关键字容易地指定,随后是用于客户VPN的字符串标识符,在以上句法中被列为“VPN_NAME”。这样,管理员能够容易地识别利用服务提供方的VPN服务的客户VPN,并且路由器20将配置数据中提供的字符串解析到通过服务提供方网络供应的VPN。这允许管理员为了限定应用防火墙策略的区域而将VPN隧道看作逻辑接口,尽管那些VPN隧道中的多个可以穿过同一物理接口。这样,管理员可以限定多个区域(例如,图3的区域30、32和34),并且对于每个区域,可以指定物理接口、VPN或其结合的集合,它们被FW 22看作在该区域内。以上句法仅是示例性的。例如,在其他实施例中,可以省略关键字“interface”或“vpn”,或者可以使用其他关键字。
另外,路由器20的用户接口提供用于限定将关于所限定区域应用的安全策略的句法。例如,路由器20可以支持以下句法:
policy from-zone ZONE_NAME to-zone ZONE_NAME{
match{
source-address<s>;
destination-address<d>;
source-port<sp>;
destination-port<dp>;
application protocol<any>;
}
then{
actions;
}
}
在以上示例性句法中,关键字“policy(策略)”表示管理员正限定将由FW 22应用的基于区域的安全策略。关键字“from-zone”表示随后的文本指定必须从其接收业务用于策略应用的所限定的区域。关键字“to-zone”表示随后的文本指定业务必须去往其用于策略应用的所限定的区域。如以上所示,策略包括关键字“match”,其允许管理员指定数据包流标准,诸如源网络地址、目的网络地址、源端口、目的端口、应用协议或其他标准。另外,策略指定将应用于网络业务的一个或多个动作,该网络业务为了在“to-zone”上输出而经由“from-zone”被接收并且与策略中指定的任何数据包流标准匹配。然后,FW 22将策略中列举的动作应用于满足那些条件的网络业务。示例性动作包括数据包过滤、数据包记录(packetlogging)、侵入检测和防护、病毒扫描、网络地址翻译(NAT)、基于策略的认证等。
根据典型句法,管理员可以提供以下配置数据:
zone untrust{
vpn VPN-A;/*承载来自VPN站点VPN-A*的业务的
VPN /
vpn VPN-B;/*承载来自VPN站点VPN-B的业务的
VPN*/
}
zone trust{
interface ge-0/0/0.1;/*用于到客户端站点A*的链路的物
理接口/
interface so-2/4/2.0;/*用于到客户端站点site B*的链路的
物理接口/
}
policy from-zone untrust to-zone trust{
then{
apply virus_scanning;
}
}
在此实例中,管理员已经限定了两个防火墙区域,“untrust(不信任)”和“trust(信任)”。对于区域“untrust”,管理员已经表示该区域包括由两个VPN隧道(VPN-A和VPN-B)承载的VPN业务。对于区域“trust”,管理员已经指示该区域包括用于将业务转发至客户端站点A和B的两个接口的集合。另外,管理员已经限定了应用于从区域“untrust”内的接口接收到并且被定向至区域“trust”内的接口的业务(例如,从MPLS核心经由VPN-A或VPN-B并被定向至客户端站点A和B作为IP业务的VPN业务)的策略。对于这样的业务,策略要求FW 22将状态病毒扫描算法应用至由数据包集合的应用层数据。
图4是示出示例性路由器的框图,该示例性路由器集成路由组件和MPLS-感知防火墙。例如,路由器40可以为能够在服务提供方网络内部署的高端路由器。此外,转发平面42可以由通常与网络路由器的高端路由和转发组件相关联的专用转发集成电路提供。标题为MULTI-CHASSIS ROUTER WITH MULTIPLEXED OPTICALINTERCONNECTS的美国专利申请2008/0044181描述了一种多机箱路由器(multi-chassis router,多机框路由器),其中,诸如3级Clos交换机结构的多级交换机结构被用作高端转发平面,以中继多机箱路由器的多个路由节点之间的数据包。美国专利申请2008/0044181的全部内容结合于此作为参考。
如图4中的示例性实施例中所示,路由器10集成利用共享的转发平面42的MPLS-感知防火墙44和路由平面46。转发平面42是丰富的和动态的共享转发平面,可选地分布在多机箱路由器上。此外,转发平面42可以由通常与网络路由器的高端路由组件相关联的专用转发集成电路提供。随后,路由平面46和转发平面42作为高端路由器进行操作,并且防火墙44已经被紧固地集成在路由器40(例如,通过服务卡64)内,以按照共享、协作的方式使用路由组件的转发平面42。路由器40的一个示例性实例的更多详情可以在于2008年5月20日提交的标题为“STREAMLINED PACKETFORWARDING USING DYNAMIC FILTERS FOR ROUTING ANDSECURITY IN A SHARED FORWARDING PLANE”的美国临时专利申请61/054,692中找到,其内容结合于此作为参考。
路由平面46提供路由引擎68,该路由引擎主要负责保持路由信息库(RIB)72以反映路由器40所连接的网络和其他网络实体的当前布局。例如,路由引擎68提供用于与对等路由器进行通信并且周期性地更新RIB 72以准确地反映网络和其他网络实体的布局的路由协议70的执行的操作环境。示例性协议包括路由和标签交换协议,诸如mpBGP、ISIS、RSVP-TE、以及LDP,以建立VPN、LSP并用于交换标签。
根据RIB 72,转发组件80保持转发信息库(FIB)74,该转发信息库(FIB)74使网络目的地或MPLS标签与特定的下一跳和路由器40的输出接口卡的对应接口端口相关联。路由引擎68通常处理RIB 72,以执行路线选择并且基于所选路线和所分配的MPLS标签生成FIB 74。这样,路线以及标签信息可以被编程至转发平面42中。路由引擎68可以生成具有表示网络中的目的地的叶节点的根树(radix tree)形式的FIB 74。美国专利7,184,437提供了关于利用用于路线解析的根树的路由器的示例性实施例的详情,其全部内容结合于此作为参考。
当转发数据包时,转发组件80基于数据包的报头中的信息穿过根树到叶节点,以最终选择下一跳和将数据包转发到其的输出接口。基于选择,转发组件可以将数据包直接输出至输出接口,或者在高端路由器的多级交换机结构的情况下,可以将数据包转发至用于交换至适当输出接口的后级。
路由引擎46的网络服务处理(NSP)73与防火墙44的服务卡64通信并且对其进行编程。例如,路由引擎可以提供如上所述的用户接口(UI)77,以从限定防火墙区域和关于物理接口、子接口或MPLS隧道的策略的管理员79接收配置数据。作为响应,NSP 73利用对应的配置数据对服务卡64进行编程,使得防火墙44的服务卡在处理来自转发平面42的数据包时识别所限定的区域和应用安全策略。例如,每个服务卡64均可以执行作为状态信息的消费者操作并收听来自NSP 73的消息的微核。
这样,路由平面46和防火墙44进行交互,使得防火墙44感知与流过路由装置的MPLS业务相关联的状态信息。例如,路由引擎68的NSP 73利用使客户VPN与特定VPN标签以及可选地与已用于使对应VPN业务经隧道通过服务提供方网络的一个或多个附加MPLS标签相关联的信息对服务卡进行编程。NSP 73可以查询协议70和RIB 72,以向防火墙44的服务卡64提供利用用于VPN的RIB保持的信息。例如,对于可以由路由器40从客户VPN接收的VPN业务,NSP 73可以提供识别VPN标签的信息,并且可选地,一个或多个MPS标签可以被附加于数据包的报头和映射信息,以使这些标签与当限定输入区域和策略时可以由管理员利用的客户VPN标识符(例如,文本串或其他标识符)相关联。对于可以由路由器40输出到MPLS核心的VPN业务,NSP 73可以提供映射信息,其识别VPN标签以及可选地将由转发组件80应用于前往客户VPN的IP业务的一个或多个MPLS标签、用于业务的对应下一跳标识符、以及使该<VPN标签,下一跳标识符>对与当限定防火墙区域和策略时可以由管理员利用的客户VPN标识符(例如,文本串或其他标识符)相关联的映射。可选地,映射信息可以提供用于唯一识别客户VPN的其他信息,诸如路线设计者、路线目标或其他信息。
转发平面42可以包括选择性地将数据包定向至防火墙44以进行处理的流量控制(flow control)单元75。例如,流量控制单元75接收进入的数据包流78(例如,IP业务或VPN封装业务),并确定是否通过防火墙44发送数据包以在一个或多个服务卡64中进行处理,或者确定是否绕过防火墙44。服务卡24从流量控制单元75接收数据包,选择性地根据所限定的区域和策略提供对数据包的防火墙服务,并且将数据包或任何响应数据包中继到用于根据FIB 74由转发组件80进行转发的转发平面42。
防火墙44中的服务卡24可以沿路由器40的底板或其他互连安装,以执行关于从转发平面42接收到的数据包的各种防火墙服务,诸如过滤、记录、侵入检测和防护(IDP)分析、病毒扫描、深度数据包检测。在一些情况下,服务卡24可以发布命令36以动态地配置转发平面42的流量控制单元75中的流量表(未示出)。例如,当流量控制单元75接收数据包,并且确定数据包属于不与任何其过滤器匹配的新数据包流时,流量控制单元75可以将数据包发送至服务卡64以进行处理。当接收和处理数据包流的一个或多个数据包时,服务卡64可以发布命令69以将动态过滤器(例如,表示当接收到与过滤器匹配的数据包时将执行特定动作的精确匹配过滤器)安装在流量表中。在服务卡64确定不需要将另外的防火墙服务应用于数据包流(例如,在确定数据包流是信任的或良好的之后)的情况下,服务卡64可以将过滤器安装在流量控制单元75中,以指定可以在绕过防火墙44的直线路径上处理该数据包流会话的随后数据包。当流量控制单元75接收同一数据包流的随后数据包时,流量控制单元75检查流量表,确定数据包与新的动态过滤器匹配,并且根据动态过滤器将数据包定向在适当的路径上。
在此实例中,路由和防火墙服务被集成在使用适于MPLS路由器(诸如,图1的PE路由器10)要求的高速转发功能的共享转发平面42的单个路由器40中。
图5是示出根据本发明的原理的图4的路由器40的示例性操作的流程图。最初,路由引擎68执行协议70(诸如mpBGP),以交换VPN信息,该信息包括VPN标识符、VPN路线以及VPN标签(81)。另外,路由引擎可以可选性地利用RSVP-TE、LSP或其他mPLS协议,以建立用于通过各个客户VPN站点的服务提供方网络承载VPN业务的一个或多个MPLS隧道(即,LSP)(81)。此时,路由引擎68更新RIB 72,并且根据VPN路线、VPN标签以及被分配用于承载VPN业务的任何其他MPLS标签对转发组件80进行编程。另外,路由引擎46的NSP 73利用使客户VPN信息与(在将VPN业务传送到服务提供方网络(82,85)内的(多个)下一跳以及从该下一跳传送VPN业务中所使用的)特定VPN标签以及可选地任何其他MPLS标签相关联的映射,对防火墙44的服务卡64进行编程。另外,NSP利用从限定防火墙区域的管理员接收到的配置数据以及关于物理接口或各个客户VPN的策略,对服务卡64进行编程,使得防火墙44的服务卡识别所限定的区域并且当处理来自转发平面42的数据包时应用安全策略(83,85)。
在VPN隧道的配置和建立之后,路由器40接收数据包,其可以为来自VPN站点的IP业务或通过服务提供方网络来自VPN隧道(可选地由LSP承载)的VPN业务(84)。在一个可选实例中,转发平面42的流量控制单元75分析所接收到的数据包,以识别与数据包相关联的数据包流(86),例如,使用基于流的供应逻辑单元以识别基于在数据包的包头或主体中的信息的五元组。当识别数据包流时,流量控制单元75参考内部流量表(flow table)来确定是否属于新的数据包流或已由路由器识别的数据包流(88)。
如果流量控制单元75未在流量表中找到匹配(88的NO(否)分支),其表示数据包属于新数据包流,流量控制单元将数据包定向至用于防火墙服务的防火墙44的服务卡64(90)。当数据包被定向至防火墙44时,服务卡64之一将状态防火墙服务应用于数据包(92)。例如,服务卡64可以提取和集合来自数据包的应用层数据,并且深度数据包检测(DPI)引擎可以执行侵入检测和防护(IDP)分析和/或病毒扫描以过滤出坏的数据包。作为另一实例,服务卡24可以执行加密、NAT或认证服务。
在应用防火墙服务之后,服务卡64接着将数据包插入转发平面42以根据FIB 74通过转发组件80转发(96)。此时,防火墙44的服务卡64可以发信号给流量控制单元75,并且指引流量控制单元将标准安装在其内部流量表中,该内部流量表指定数据包流的随后数据包是否应该被信任以使防火墙服务不需要被应用,或者指定随后数据包是否应该继续被定向至防火墙44。
然而,如果流量控制单元75在用于所接收到的数据包的流量表中找到匹配(88的YES(是)分支),并且匹配条目将数据包定向至用于处理的直线路径上(94的YES(是)分支),则流量控制模块20不将数据包转发至防火墙44,但是发信号通知转发组件80可以根据FIB立即转发数据包(74)。
如果流量表的匹配条目指示防火墙服务将应用于所识别的数据包流(94的NO(否)分支),则流量控制单元75将数据包定向至用于防火墙服务(90,92)的防火墙44的服务卡64并随后通过转发组件88进行转发(98)。
图6是更详细地示出使用由转发引擎106提供的共享转发平面集成路由引擎104和MPLS-感知防火墙123的示例性路由器100的框图。例如,路由器100的特征可以被结合在上述的PE路由器10、路由器20、或路由器30中的任一个内。
路由器100包括控制单元102,该控制单元包括路由引擎104和转发引擎106。路由引擎104主要负责保持路由信息库(RIB)88以反映网络和其连接的其他网络实体的当前布局。具体地,路由引擎104周期性地更新RIB 108以准确地反映网络和其他实体的布局。路由引擎104还包括执行路由操作的路由协议89,包括用于通过网络建立VPN以及可选地建立LSP的协议。
UI模块105表示在路由引擎104上执行的软件,该路由引擎提供用于接收在本文中所描述的配置数据的命令行接口(例如,经由外壳(shell)或远程登录会话),该配置数据包括限定区域的防火墙配置数据和用于由防火墙123的服务卡120应用的基于区域的策略。路由引擎46的NSP 73与如上所述的防火墙123的服务卡64通信并对其进行编程。
根据RIB 108,转发引擎106的转发应用专用集成电路(ASIC)90保持转发信息库(FIB)122,该转发信息库使网络目的地或MPLS标签与特定下一跳和对应接口端口相关联。例如,控制单元102分析RIB 108并根据RIB 108生成FIB 122。路由器100包括分别经由网络链路116和117接收和发送数据包的接口卡114A-114N(“IFC114”)。IFC 114可以经由多个接口端口耦连至网络链路116、117。
通常,转发引擎106的流量控制单元108可以根据过滤器流量表124将从IFC 94接收到的一些数据包中继至服务卡120A-120M(“服务卡120”)。服务卡120从流量控制单元118接收数据包,根据数据包中的信息选择性地提供防火墙服务,并且将数据包或任何响应数据包中继至控制单元102,以通过转发ASIC 120进行转发。转发ASIC 120可以包括一个或多个专用数据包转发集成电路。
流量控制单元118包括基于流的供应逻辑单元102,其基于在每个所接收到的数据包的报头中找到的五元组来在数据包流会话之间进行区分,并且将相同流的数据包导向用于状态防火墙服务的应用的同一服务卡120。流量控制单元118参考如上描述的过滤器流量表104,以确定所接收到的数据包是否对应于可以经由直线路径(即,完全绕过服务卡120)处理的可信任的数据包流,或者确定所接收到的数据包是否对应于未知或不可信任的数据包流会话,并且因此应该被发送至用于进一步检测和防火墙服务的应用的服务卡120之一。当应用防火墙服务时,服务卡120可以经由服务卡通信模块106(SERVICE CARD COMM.MODULE 106)提供反馈给流量控制单元118,以动态地更新流量表124。即,服务卡120可以经由到服务卡通信模块108的命令121更新过滤器流量表124。
在一个实施例中,转发引擎106和路由引擎104中的每一个均可以包括一个或多个专用处理器、硬件、ASIC等,并且可以通过数据通信通道可通信地耦连。数据通信通道可以为高速网络连接、总线、共享存储器或其他数据通信机构。路由器100还可以包括用于容纳控制单元102的机箱(未示出)。该机箱具有用于容纳一组卡的多个槽(未示出),包括IFC 94和服务卡120。每个卡均可以被插入到机箱的对应槽中,以经由总线、底板、或其他电通信机构将卡电耦连至控制单元102。
路由器100可以根据具有从计算机可读存储介质(未示出)获取的可执行指令的程序代码进行操作。这种介质的实例包括随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存等。路由器100的功能可以通过利用一个或多个处理器、离散硬件电路、固件、在可编程处理器上执行的软件或以上任意结合执行计算机可读存储介质的指令来实现。
图7是示出MPLS-感知防火墙(例如,上述防火墙12、22、44、123中的任一个)的示例性操作的流程图。出于示例性的目的,将参考图6中所示的防火墙123及其一个或多个服务卡120来说明图7的流程图。
当从转发引擎106接收数据包时(130),防火墙123处理数据包以识别输入接口,数据包最初通过该输入接口由路由器100接收到(132)。在一个实例中,接收数据包的IFC 114或转发引擎106确定通过路由器100接收数据包的特定输入接口并且在将数据包中继至防火墙123以进行处理之前,将信息附加于识别特定接口的数据包。
接下来,防火墙123分析数据包的报头,以确定输入的数据包是否为IP数据包以及不是具有VPN标签并经由VPN从服务提供方网络接收到的VPN数据包。如果是这样,则防火墙123访问其内部配置数据并且确定管理员已经限定了包括接收数据包的物理接口的任何输入区域(136)。
然而,如果数据包是具有单个VPN标签或VPN标签为内部标签的MPLS栈的VPN数据包,则防火墙123访问配置数据,并且确定管理员是否已经限定了用于从其接收数据包的客户VPN的输入区域(138)。即,防火墙123读取数据包的内部VPN标签,并且访问由路由引擎104的NSP 103提供的映射信息,以将VPN标签映射为客户VPN标识符(例如,串或数字标识符)。所接收到的数据包的内部标签(即,VPN标签)通常为使用mpGBP由路由器先前分配并沿VPN隧道发布到上游LSR的标签。从而,路由引擎104已经知道了该VPN标签,并且由NSP 103提供给防火墙123的映射信息将此VPN标签映射为特定的用户VPN标识符,从而允许管理员指定防火墙配置数据内的策略和区域中的客户VPN。当基于来自NSP 103的映射信息识别来自内部VPN标签的客户VPN时,防火墙123解析配置数据,以确定管理员是否已限定了包括在接口的区域集合内的客户VPN的任何输入区域。
在确定输入区域之后,防火墙123确定数据包是否与当前正由防火墙123处理的现有数据包流会话匹配(140)。如果匹配,则防火墙123可以用将数据包置于进行处理以由转发引擎106进行及时转发的快速路径上。例如,当快速路径处理数据包时,防火墙123不需要执行初始化和更新用于新数据包的会话信息的计算密集型任务。此外,当这样的策略可能已经应用于数据包流时,防火墙123不需要将策略应用于数据包。
如果数据包与现有数据包流不匹配(140的NO(否)分支),则防火墙123对数据包执行路由查找,以确定下一跳并且基于该下一跳确定用于数据包的输出接口(144)。例如,防火墙123的一个或多个服务卡120可以通过路由引擎104被编程并且利用如转发ASIC 120所使用的FIB 122的所有或一部分副本进行安装。可选地,转发ASIC 130的FIB 122可以被存储在可经由服务卡120访问的共享存储器中。在任何一种情况下,防火墙123基于数据包中的信息穿过FIB,以确定用于数据包的下一跳及对应输出接口。另外,基于安装在FIB的副本中的信息,防火墙123基于路由查找确定数据包是否将被输出作为IP业务或VPN业务以将其插入到服务提供方网络中(146)。
如果路由查找表示数据包没有被输出作为具有VPN标签以及可选地具有一个或多个外部MPLS标签的VPN数据包,而相反地,数据包将被输出作为IP数据,则防火墙123访问配置数据,并确定管理员是否已限定包括IP数据包前往的输出接口的任何输出区域(148)。
然而,如果路由查找表示数据包将被封装并由转发引擎106输出作为VPN数据包,则防火墙123访问配置数据,并且确定管理员是否已限定包括将数据包输出至其的客户VPN的任何输出区域(150)。即,基于路由查找,防火墙123确定内部转发等价类(FEC)标签,即,当转发数据包时最终由转发引擎106被预先计划给数据包的VPN标签。另外,防火墙123基于路由查找确定VPN数据包将转发至其的下一跳。接下来,防火墙123访问由路由引擎104的NSP 103提供的映射数据,以将数据对<VPN标签,下一跳>映射为特定的客户VPN标识符。由于对于离开路由器100并进入服务提供方网络的MPLS核心的VPN业务,VPN标签很可能已经由上游路由器沿着VPN隧道通道分配并且同样地可以是复制的,因此,防火墙123使用将应用于数据包以及下一跳的VPN标签。因而,对于将被插入到VPN隧道的出口VPN业务,防火墙123识别正确的客户VPN,数据包基于在对数据包的路由查找中知道的唯一对<VPN标签,下一跳>通过对由NSP 103提供的映射信息进行索引而去往正确的客户VPN。可以使用其他信息,诸如路线设计者和/或用于客户VPN的路线目标。当解析由映射识别出的客户VPN时,防火墙123访问其配置数据以识别管理员已限定的包括数据包去往的客户VPN的任何输出区域。
接下来,已经确定了用于数据包的输入区域和输出区域,防火墙123访问其配置数据,以识别已经被限定用于在区域之间的业务传播的任何策略。此时,防火墙123还应用已由策略限定的任何数据包流标准。当识别匹配策略时,防火墙123将数据包应用与由那些策略指定的动作(152)。
在应用策略之后,防火墙123通过初始化和创建会话信息来沿“第一路径”处理数据包,以保持用于数据包流的状态。最后,防火墙123将数据包插入到转发引擎106以根据FIB 122进行转发(154)。在此实例中,路由器100将MPLS-感知、基于区域的防火墙安全特征结合在单个网络装置中。此外,基于区域的策略的全网格可以被限定并且关于物理接口以及客户VPN被无缝应用。
图8示出了由路由组件提供给网络装置(例如,从路由引擎68的NSP 73至路由器40的防火墙44)的集成防火墙以使安全服务被应用于基于MPLS的客户VPN的示例性映射信息160。可选地,转发平面42可以例如通过业务所到达的客户接口动态地识别VPN隧道,并且将映射信息传送到防火墙44和/或路由引擎68。在任何情况下,如图8所示,示例性映射信息160包括多个条目,每个条目均列出经由与用户接口(诸如UI 75)的交互由管理员在限定输入区域和策略时提供的客户VPN标识符162(例如,文本串或其他标识符)。
例如,映射信息的第一条目和第二条目包括客户VPN标识符“VPN_customer_A”,其表示在限定用于防火墙的输入区域的接口时由管理员指定的串,如在上述实例中所示。响应于用于防火墙的配置数据中的新客户VPN标识符的使用,路由组件(例如,路由引擎68的NSP 73)创建映射信息160中的两个条目。第一条目将客户VPN标识符映射至MPLS标签,其中,当封装去往特定客户的VPN站点的IP业务以及用于业务的对应下一跳标识符时,该MPLS标签由路由器的转发组件(例如,转发组件80)应用。第二条目将同一客户VPN标识符映射为希望被附加于从客户的VPN站点接收到的入站业务的VPN标签,可选地,作为MPLS标签栈的内部标签。
例如,映射信息160的第一条目将串“VPN_Customer_A”映射为<VPN标签100,下一跳标识符10.1.1.1>对。这样,第一条目将用于防火墙配置数据中的串解析为用于将被插入到服务提供方网络中的出站VPN业务(可选地,沿LSP)的特定内部VPN标签。映射信息16的第二条目将串“VPN_Customer_A”映射为由路由器先前分配并希望被附加于由用于该客户VPN站点的入站VPN隧道接收到的VPN业务的VPN标签750。在需要的情况下,映射信息160可以由管理员输入以将防火墙配置信息解析为特定VPN隧道和下一跳,或者路由组件可以基于为了路由和转发而利用的RIB和对应FIB来动态地确定此信息。除了或代替下一跳,可以使用其他信息,诸如用于客户VPN的路线设计者或路线目标。
图9是示出路由器200的另一实例的框图,该路由器使用共享转发平面204集成路由平面206和MPLS-感知防火墙208。路由器200的特征例如可以被结合在上述PE路由器10、路由器20、路由器30或路由器100中的任一个内。
在图9的实例中,防火墙208已经在逻辑上被分为多个虚拟安全系统240A-240X以提供多重安全服务。即,虚拟安全系统240代表逻辑上划分的提供独立安全服务的防火墙实例,包括由防火墙208应用的MPLS-感知的基于区域的防火墙服务。路由器200提供虚拟安全系统240作为可以独立配置的逻辑上独立的防火墙,即使虚拟安全系统可以共享服务卡224的计算资源,也可以独立地配置独立的防火墙。
例如,根级管理员207(“ROOT ADMIN 207”)是中心、全部安全和系统管理员,其可以控制和管理虚拟安全系统240中的根系统。这样,根级管理员207可以访问和配置任何客户VSYS特定安全资源,以及管理任何共享安全资源,诸如SHARED-UNTRUST区域,其通常共享到由多个内部安全区域使用的互联网的连接。根级管理员207还控制接口和区域的初始分配。
例如,根级管理员207可以与UI 215交互,以提供配置数据来限定虚拟安全系统240,并且对于每个虚拟安全系统,指定一个或多个虚拟安全系统(VSYS)管理员209(“VSYS ADMINS 209”)。每个虚拟安全系统240均作为唯一的安全域(domain)被提供给对应VSYS管理员209,并且用于每个虚拟系统240的VSYS管理员209可以通过限定将应用于与虚拟系统240相关联的业务的特定区域和策略来个别化它们的安全域。每个虚拟安全系统240均可以被配置为具有其自己的总体独立的一组安全域、策略规则组和管理域。这样,虚拟安全系统240在逻辑上将集成的MPLS-感知防火墙208分割成多个安全装置。每个VSYS管理员209均可以以本文中描述的方式与US 215进行交互,以提供用于特定虚拟系统240的配置数据,包括限定防火墙区域和关于物理接口、子接口或客户VPN的策略。由UI 215提供的管理接口对于正被配置和管理的特定虚拟安全系统240是特定的,并且每个虚拟安全系统240看起来为到单独的VSYS管理员209的离散安全装置。这意味着每个不同的虚拟安全系统240可以具有例如其自身的网络接口、操作管理连接和观察。一个虚拟安全系统240的VSYS管理员209独立于他或她自己的虚拟系统的配置和操作。
作为一个实例,路由器200的用户接口215提供用于限定对用于特定虚拟安全系统240的所限定的区域应用的安全策略的句法。例如,路由器200可以支持以下句法:
vsys VSYS-IDENTIFIER{
zone ZONE_NAME{
interface INTERFACE_NAME;
…
interface INTERFACE_NAME;
vpn VPN_NAME;
…
vpn VPN_NAME;
}
policy from-zone ZONE_NAME to-zone ZONE_NAME{
match{
source-address<s>;
destination-address<d>;
source-port<sp>;
destination-port<dp>;
application protocol<any>;
}
then{
actions;
}
}
}
在以上实例中,关键字“vsys”表示随后的配置数据应用于特定的一个虚拟安全系统240。此外部信息可以被vsys管理员209忽略,并且对应的一个虚拟安全系统40可以由UI 215自动地确定。在任何情况下,管理员可以使用关键字“zone(区域)”和“policy(策略)”限定区域和策略,如上所述,用于特定虚拟系统240。以上句法仅是示意性的。
根据示例性句法,管理员可以提供以下配置数据:
vsys Customer-A{
zone untrust{
vpn VPN-A;/*承载用于VPN站点VPN-A的业务
的VPN*/
vpn VPN-B;/*承载用于VPN站点VPN-B的业
务的VPN*/
}
zone trust{
interface ge-0/0/0.1;/*用于到客户端站点A的链路
的物理接口*/
interface so-2/4/2.0;/*用于到客户端站点B的链路
的物理接口*/
}
policy from-zone untrust to-zone trust{
then{
apply virus_scanning;
}
}
}
此实例类似于以上实例,并且管理员已限定两个防火墙区域,“untrust”和“trust”。对于区域“untrust”,管理员已经表示该区域包括由两个客户VPN(VPN-A和VPN-B)承载的VPN业务。对于区域“trust”,管理员已经表示该区域包括用于将业务转发到客户端站点A和B的两个接口的集合。另外,管理员已限定应用于从不信任区域内的接口接收到并定向至信任区域内的接口的业务(从MPLS核心经由VPN-A或VPN-B并定向至客户端站点A和B作为IP业务的VPN业务)的策略。对于这样的业务,策略要求被识别为FW 208的“客户-A”的虚拟安全系统(例如,虚拟安全系统240),以将状态病毒扫描算法应用于由对应于特定虚拟安全系统的数据包集合并根据其特定FIB 214转发的应用层数据。
作为虚拟安全系统,每个虚拟安全系统240均可以共享由服务卡224提供的相同硬件资源。例如,由服务卡224提供的计算资源可以将用于任何虚拟安全系统240的安全策略应用于与特定虚拟系统相关联的网络业务。另外,CPU的权重、时间定额(time quotas)或百分比或其他硬件使用可以被分配并加强,以确保虚拟安全系统240的公平使用,使得一个虚拟系统(诸如响应于服务攻击的拒绝)的硬件资源的消耗不影响所有其他虚拟安全系统的性能。可选地或另外地,虚拟安全系统240可以被分配给特定的服务卡224。
另外,响应于虚拟安全系统240的创建,路由器200可以管理路由引擎211和转发平面204的资源,以提供多个虚拟路由器,其中,每个虚拟安全系统240均可任意映射至不同的虚拟路由器。虚拟路由器是路由器200中的独立路由实例,并且每个实例均可以执行其自身的路由协议并保持其自身的设置、路由表(RIB)并进行路由更新。每个虚拟路由器均分享其路由域;多个虚拟路由器允许单个装置(例如,路由器200)分享完全相互独立的多个路由域。即,路由引擎211可以保持用于每个虚拟安全系统240的逻辑上独立的RIB 212。另外,对于每个RIB 212,路由引擎211根据路线以及与路线相关联的MPLS标签来利用对应FIB 214对用于虚拟系统240的转发组件220进行编程。换句话说,路由引擎211可以利用逻辑上独立的FIB 212(用于每个虚拟安全系统240的FIB)对转发组件220进行编程,并且当作出数据包转发决定时,转发组件220应用合适的FIB。
以与以上关于图4描述方式类似的方式,NSP 213利用配置数据对防火墙208进行编程。在这种情况下,NSP 213对配置数据进行编程用于每个虚拟安全系统240,使得当处理来自转发平面204的数据包时,防火墙208的服务卡224识别被限定用于不同虚拟安全系统的区域和安全策略。每个服务卡224可以例如执行作为状态信息的消费者进行操作并收听来自NSP 123的消息的微核。这样,路由平面206和防火墙208进行交互,使得防火墙208提供对多个虚拟安全系统的支持并且感知与流过路由装置的VPN业务相关联的状态信息。
例如,路由引擎211的NSP 213利用创建虚拟安全系统240的信息对服务卡224进行编程,然后,对于每个虚拟安全系统,使用于该虚拟安全系统的客户VPN与已用于使对应的VPN业务经隧道通过服务提供方网络的特定VPN标签相关联。NSP 213可以查询用于各个虚拟安全系统240的对应协议210和RIB 212,以向防火墙208的服务卡224提供利用用于特定虚拟安全系统的该特定RIB保持的信息。例如,对于可以由用于虚拟安全系统240的路由器200接收到的VPN业务,NSP 213可以提供识别将被附加于数据包的报头和映射信息中的一个或多个VPN标签的信息,以使该VPN标签与当限定用于该特定虚拟安全系统的输入区域和策略时可以由VSYS管理员209利用的客户VPN标识符相关联。对于可以由路由器200输出到与虚拟安全系统240结合的服务提供方网络的VPN业务,NSP 213可以提供识别将由转发组件220应用于前往客户VPN的IP业务的任何一个或多个VPN标签的映射信息、用于该业务的对应下一跳标识符、以及使此<VPN标签,下一跳标识符>对与当限定用于该虚拟安全系统的防火墙区域和策略时可以由VSYS管理员209利用的客户VPN标识符(例如,文本串或其他标识符)相关联的映射。
转发平面204可以包括以类似于流量控制单元75(图4)的方式进行操作的流量控制单元215,以选择性地将数据包定向至防火墙208以进行处理。服务卡224可以发布在流量控制单元215中安装动态过滤器的命令219,以控制到防火墙208的数据包转换(diversion)。
图10是示出MPLS-感知防火墙(例如,上述防火墙12、22、44、123、200中的任一个)的示例性操作的流程图。出于示例性目的,将参考防火墙200和图9中所示的一个或多个服务卡224说明图10的流程图。
当从来自转发平面204的数据包接收数据包时(230),防火墙208首先基于用于VLAN、接口、IP地址或其结合的源和/或目的地信息将数据包分类到一个虚拟安全系统240中。接下来,与数据包被分类到(相关联)的虚拟安全系统相关联的一个或多个服务卡244处理数据包以识别输入接口(其中,该数据包最初由路由器200通过该输入接口接收到)(232)。在一个实例中,在将数据包中继至防火墙208以进行处理之前,接收到数据包的IFC或转发平面204通过路由器200确定接收到数据包的特定输入接口,并将信息附加于识别特定接口的数据包。
接下来,防火墙208(即,为数据包提供虚拟安全系统240的运行环境的防火墙208的特定的一个或多个服务卡224)分析数据包的报头,以确定输入的数据包是否为IP数据包而不是从服务提供方网络经由VPN隧道接收到的VPN数据包。如果是,则防火墙208访问根配置数据以及用于与数据包相关联的特定虚拟安全系统240的配置数据,以确定根管理员207或VSYS管理员209是否已限定用于特定虚拟安全系统240的任何输入区域(包括接收到数据包的物理接口)(236)。
然而,如果数据包是具有VPN标签(可选地作为MPLS标签栈的内部标签)的VPN数据包,则防火墙208访问根配置数据以及用于与数据包相关联的特定虚拟安全系统240的配置数据,以确定根管理员207或VSYS管理员209是否已限定用于特定虚拟安全系统240(包括从其接收到数据包的客户VPN)的任何输入区域(238)。即,防火墙208读取数据包的内部VPN标签并访问由路由引擎211的NSP 213提供的映射信息,以将内部VPN标签映射为在用于该特定虚拟安全系统240的RIB 212内的客户VPN标识符,例如,串或数字标识符。
在确定输入区域之后,防火墙208确定数据包是否与当前正被防火墙208处理的现有数据包流会话匹配(240)。如果是,则防火墙208可以将数据包置于进行处理以通过转发组件220进行及时转发的快速路径上。例如,当快速路径处理数据包时,防火墙208不需要执行用于初始化并更新用于新数据包的会话信息的计算密集型任务。而且,当这样的策略已应用于数据包流时,防火墙208不需要将策略应用于数据包。
如果数据包与现有数据包流不匹配(240的NO(否)分支),则防火墙208对数据包执行路由查找,以确定下一跳并基于下一跳确定用于数据包的输出接口(244)。例如,例如,被分配了虚拟安全系统240的服务卡224可以通过路由引擎211编程并且被安装有用于各个虚拟系统的FIB 214的所有或一部分的副本。可选地,FIB214可以被存储在可经由服务卡224访问的共享存储器中。在任何一种情况下,当执行路由查找时,防火墙208选择用于与数据包相关联的虚拟安全系统240的FIB 214,并且基于数据包中的信息穿过该FIB,以确定用于数据包的下一跳和对应输出接口。另外,基于安装在对应FIB的副本中的信息,防火墙208基于路由查找确定数据包是否被输出作为具有预先计划的VPN标签的IP业务或作为VPN业务(246)。
如果路由查找表示数据包没有被作为在VPN隧道上的VPN数据包输出,而是数据包被作为IP数据包输出,则防火墙208访问根配置数据和用于特定虚拟安全系统240的配置数据,以确定根管理员207或对应VSYS管理员209是否已限定包括IP数据包前往的输出接口的任何输出区域(248)。
然而,如果路由查找表示数据包被封装并由转发组件220输出作为在VPN隧道上的VPN数据包,则防火墙208访问根配置数据以及用于特定虚拟安全系统240的配置数据,以确定根管理员207或对应VSYS管理员209是否已限定包括数据包将被输出至其的客户VPN的任何输出区域(250)。即,基于路由查找,防火墙208确定外部转发等价类(FEC)标签,当使用用于特定虚拟安全系统240的FIB 214转发数据包时,确定通过转发组件240最终被预先计划给数据包的VPN标签。另外,防火墙208基于使用适当FIB 214的副本的路由查找确定下一跳,其中,VPN数据包将被转发至该下一跳。接下来,防火墙208访问由路由引擎211的NSP 213提供的映射数据,以将数据对<VPN标签,下一跳>映射至特定客户VPN。由于对于离开路由器200和进入MPLS核心的VPN业务,VPN标签很可能已由上游LSR沿VPN隧道被分配并且同样地可以是复制的,所以防火墙208使用将应用于数据包的MPLS标签以及下一跳。从而,对于将被置于VPN上的入口VPN业务,防火墙208通过基于唯一对:在用于数据包的路由查找中获取的<VPN标签,下一跳>,对由NSP 103提供的映射信息进行索引来识别数据包前往的正确客户VPN。基于从映射识别的客户VPN,防火墙208访问其根配置数据以及用于特定虚拟安全系统240的配置数据,以识别根管理员207或VSYS管理员209已限定的包括数据包前往的客户VPN的任何区域。
接下来,确定了用于数据包的输入区域和输出区域,防火墙208访问根配置数据和用于特定虚拟安全系统240的配置数据,以识别根管理员207或VSYS管理员209已限定用于在那些区域之间传播的业务的任何策略。此时,防火墙208还应用已由策略限定的任何数据包流标准。当识别匹配策略时,防火墙208将由那些策略指定的动作应用于数据包(252)。这样,由防火墙208选择的区域和策略取决于数据包所属的特定虚拟安全系统240。
在应用策略之后,防火墙208通过初始化和创建会话信息以保持用于数据包流的状态,沿“第一路径”处理数据包。最后,防火墙208将数据包插入转发组件220以根据对应于虚拟安全系统240的特定FIB 214进行转发(254)。在该实例中,路由器200在为多个虚拟安全系统提供支持的单个物理网络装置中结合MPLS-感知防火墙安全特征、基于区域的防火墙安全特征。而且,每个虚拟安全系统均可以在逻辑上应用可以被限定并关于物理接口以及客户VPN无缝应用的基于区域的策略的全网格。
图11示出了示例性映射信息300,该示例性映射信息由路由组件提供给支持虚拟安全装置(例如,从路由引擎211的NSP 213到路由器200的防火墙208)的网络装置的集成防火墙以使安全服务能够被应用于MPLS隧道。为了举例的目的,将关于图9的路由器200描述图11。
如图11所示,示例性映射信息300包括多个条目,每个条目均列出当限定虚拟安全系统240时由根管理员207提供的虚拟安全系统标识符301(例如,文本串或其他标识符)。另外,映射信息300存储当经由与用户接口215的交互限定用于虚拟安全系统240中的对应一个的输入区域和策略时由根管理员207或授权的VSYS管理员209提供的客户VPN标识符302(例如,文本串或其他标识符)。
例如,映射信息的第一条目和第二条目包括客户VPN标识符“VPN_customer_A”,该标识符表示当限定用于防火墙的输入区域的接口时由管理员指定的串,如上述实例中所示。响应于用于防火墙的配置数据中的新客户VPN标识符的使用,路由组件(例如,路由引擎211的NSP 73)创建映射信息300中的两个条目。第一条目将客户VPN标识符映射为当封装前往特定客户的VPN站点的IP业务以及用于业务的对应下一跳标识符时由路由器的转发组件(例如,转发组件220)应用的VPN标签。第二条目将同一客户VPN标识符映射为希望被作为内部标签附加于从客户的VPN站点接收到的入站MPLS业务的VPN标签。
例如,映射信息300的前四个条目对应于第一虚拟安全系统(VSYS_customer_A),以及后两个条目对应于第二虚拟安全系统(VSYS_customer_B)。从而,该实例示出了用于具有当前限定的两个虚拟安全系统的路由器的映射信息300。
映射信息300的第一条目可以仅应用于虚拟安全系统“VPN_Customer_A”,并且将VPN标识符“VPN_OFFICE”映射为<VPN标签100,下一跳标识符10.1.1.1>对。这样,第一条目将由VSYS_管理员在防火墙配置数据中利用的“VPN_OFFICE”串解析成在第一虚拟安全系统中所识别的特殊出站VPN隧道。
映射信息300的第二条目还可以仅应用于虚拟安全系统“VPN_Customer_A”并且将VPN标识符“VPN_OFFICE”映射为由用于该虚拟安全系统的路由器先前分配的VPN标签750。即,MPLS标签750应该被附加于由用于虚拟安全系统VSYS_customer_A的该客户VPN站点的入站VPN隧道接收到的VPN业务。映射信息300可以由根管理员207或授权的VSYS_管理员209输入,以在需要时将根防火墙配置信息或VSYS特定配置信息解析成特定MPLS隧道和下一跳,或者路由组件可以基于用于每个虚拟安全系统的路由和转发目的的对应RIB和FIB来动态地确定此信息。虽然如单个表所示,但映射信息300可以基于虚拟安全系统被分割和分离,并且被存储在独立的数据结构和/或存储器中,以增加用于虚拟安全系统的额外分离程度。
图12是示出示例性网络环境400的框图,其中,两个服务提供方网络402A、402B提供在客户虚拟专用网(VPN)站点406A-406N(统称为VPN站点406)之间的连接。在图12的实例中,每个服务提供方网络402均由不同服务提供方操作,并且PE411A、PE 411B均在提供方间边界处进行操作。在该实例中,自治系统边界路由器(ASBR)411A、411B通过物理链路415耦连并且交换用于VPN站点406A、406B的网络业务。类似于图1,VPN站点406A、406B包括经由网络链路416A-416N连接至提供方边缘(PE)路由器410A-410N的客户边缘(CE)路由器408A-8N。
如关于图1的实施例所描述的,服务提供方网络402A和402B支持提供方提供的VPN(PPVPN)。例如,与服务提供方网络402相关联的管理员可以配置PE路由器410和ASBR 411以为VPN站点406的一个或多个客户VPN提供VPN服务。此时,不同服务提供方网络402的管理员分别限定用于穿过其各自的服务提供方网络402的每个客户VPN(例如,VPN_CUSTOMER_A)的VPN标识符,并且PE路由器410和ASBR 411分配VPN标签、VPN地址、路由器目标、路由器区分符、以及VPN所需的所有其他状态信息。
如图12所示,每个服务提供方网络402均可以包括在每个服务提供方网络402中提供多协议标签交换(MPLS)MPLS核心网络的其他内部标签交换路由器(LSR)414。PE路由器410和ASBR 411可以与LSR 414通信,以建立用于通过服务提供方网络404传送VPN消息的一个或多个标签交换路径(LSP)。或者可以为端到端LSP跨越服务提供方网络402,以在PE路由器412发起和终止。沿着网络链路416流至VPN站点406以及从该VPN站点流出的业务可以采用互联网协议(IP)数据包的形式,并且可以使用互联网协议安全(IPSec)协议、安全套接层(SSL)协议或利用加密技术的其他协议来进行保护。
在一个实例中,PE路由器410经由mpBGP交换VPN信息,交换VPN路线并商定内部VPN标签,以形成用于通过服务提供方网络402传送客户VPN站点406的消息的一个或多个端到端VPN隧道418。在该实施例中,ASBR 411和LSR 414可能不直接参与mpBGP协商或VPN标签分配,但是可以利用LDP或RSVP以分配应用于用于穿过服务提供方网络的VPN消息的外部MPLS标签。在该实例中,PE路由器410提供用于关于MPLS服务和在服务提供方网络404中提供的VPN的IP业务的入口和出口。即,PE路由器10随着封装的VPN数据包穿过VPN隧道418而作为用于传送VPN站点6的IP数据包的入口和出口路由器进行操作。例如,PE路由器410A可以从VPN站点406A接收IP业务,并且然后可以基于与业务相关联的对应客户VPN预先计划VPN标签。然后,VPN业务可以被看作通过服务提供方网络402沿着VPN隧道418流动。然后,这些VPN隧道中的一个或多个(即,具有被预先计划给每个数据包的VPN标签的数据包流)可以进一步被封装在由LSR 414和ASBR411分配的附加MPLS标签的标签栈内。
在另一示意性实施例中,ASBR 411进行通信以形成两个ASBR之间的LSP(与端到端VPN隧道418相反),以在服务提供方网络之间传送VPN消息。在该实例中,ASBR 411可以利用mpBGP以商定分配给数据包的内部VPN标签与外部MPLS标签。
在任一种情况下,类似于图1,每个PE路由器410均包括为MPLS-感知防火墙的集成防火墙(FW)412A-412N(统称为FW412),其中,该MPLS-感知防火墙允许服务提供方网络402将防火墙安全策略应用在服务提供方网络与客户VPN站点406之间的IP-MPLS接口处。另外,位于服务提供方网络402之间的提供方间边界处的每个PE路由器411均包括为MPLS-感知防火墙的集成防火墙(FW)413A、413B,其中,该MPLS-感知防火墙允许服务提供方网络404将防火墙安全策略应用于服务提供方网络之间的接口处。在一个实例中,FW 413允许防火墙安全策略被应用在VPN业务经由VPN隧道418在链路415上在服务提供方网络之间传送的点处。而且,通过应用上述技术,管理员可以限定将应用于不同VPN的VPN业务的不同的防火墙区域和不同的安全策略,即使VPN业务流经同一物理链路415。例如,根据本文中所描述的技术,根据以上所描述的实例中的任一个,FW 413可以为基于区域的防火墙,其允许参考由服务提供方网络提供的客户VPN指定区域和安全策略。而且,FW 413允许将这样的技术应用于通常在提供方间边界处找到的MPLS-MPLS接口处。即,在服务提供方网络4数据包之间的提供方间边界处交换的数据包通常为具有内部VPN标签以及可选地具有附加的外部MPLS标签的VPN数据包的形式。
当限定用于提供方间边界的基于区域的安全服务时,管理员可以通过指定具有包括用于客户VPN的标识符的接口列表的输入区域和输出区域来配置FW 413。即,类似于以上关于图1-图11描述的技术,每个PE路由器411均可以提供具有使各个客户VPN能够由FW 12限定并识别的命令句法的用户接口作为逻辑接口,并且这些逻辑接口可以像PE路由器的其他物理接口那样被用于限定区域以及将应用于那些区域的对应安全策略。如上所述,用于客户VPN的这些标识符被映射为应用于FW 413的任一侧上的VPN标签(即,穿过链路415或当在内部传送至服务提供方网络的MPLS核心时)。可选地或另外,系统管理员可以限定关于物理链路415的单个防火墙区域,以能够限定将应用于穿过提供方间边界的所有业务的共同安全策略。
如图12中所示,MPLS-感知FW 413可以被集成在路由装置(例如,PE路由器411)中,从而允许由每个服务提供方网络404将单个装置部署在提供方间边界处以提供包括MPLS和VPN支持的路由功能以及防火墙服务。FW 413可以实现以上关于图1至图11描述的任何功能,包括用户接口的用户命令句法和对虚拟安全系统的支持。
虽然描述了提供方边缘路由器,但是在本文中所描述的技术通常可以被应用于其他类型的路由器和网络装置。例如,路由器可以为服务提供方(SP)网络的边缘装置、对等装置、或核心装置。作为其他实例,路由器可以为提供宽带访问的边缘路由器,诸如,宽带远程接入服务器(BRAS)或宽带网络网关(BNG)或电缆调制解调终端系统(CMTS)。作为另一个实例,路由器可以为提供到公共网络的企业连接的边缘路由器,诸如多服务边缘路由器(MSE)。作为另一个实例,路由器可以为提供移动访问的边缘路由器,诸如,网关GPRS(通用分组无线服务)支持节点(GGSN)、分组数据服务节点(PDSN)、或公共数据网络网关(PDN-GW)。作为另一实例,路由器可以为提供用于流入或流出数据中心的数据包的路由和安全功能的数据中心服务器(例如,以及边缘路由器)。作为另一实例,路由器可以为用作在网络服务提供方之间互连的点的对等路由器。作为又一个实例,路由器可以为服务提供方的IP网络核心内的集合路由器(aggregation router)或核心路由器,诸如位于GGSN或PDSN或BNG之间的核心路由器。另外,路由器可以为与专用企业网络相关联的装置。
另外,该技术可以应用于在控制平面中实现第三层功能以感知建立MPLS VPN时网络所利用的MPLS信令的任何网络装置。以此方式,网络装置可以结合本文中所描述的任何功能,以提供MPLS-感知防火墙,诸如基于区域的防火墙,其中,当限定用于由装置提供的防火墙服务的区域和基于区域的策略时,MPLS VPN和装置的其他接口可以通过管理员被无缝指定。
已经描述的本发明的多种实施例。这些和其他实施例均在所附权利要求的范围内。
Claims (23)
1.一种网络路由器,包括:
多个接口,被配置为发送和接收数据包;
防火墙,被集成在所述网络路由器中,所述防火墙被配置为将状态防火墙服务应用于所述数据包;
路由引擎,包括执行路由协议以保持指定通过网络的路线的路由信息的控制单元,其中,所述控制单元执行至少一个协议以建立用于一个或多个客户虚拟专用网络(VPN)的VPN隧道;
转发引擎,由所述路由引擎配置为根据所述路由信息选择用于所述数据包的下一跳,所述转发引擎包括基于所选的下一跳将所述数据包转发至所述接口的交换机结构,其中,所述转发引擎包括流量控制模块,当从所述网络接收数据包时,所述流量控制模块将所述数据包中的一个或多个定向至应用于所述状态防火墙服务的防火墙;以及
用户接口,当将所述状态防火墙服务应用于所述数据包时,用户通过所述用户接口指定将由所述防火墙识别的一个或多个区域,每个所述区域均由一个或多个所述接口的列表限定,其中,所述用户接口支持允许所述用户通过指定与所述区域相关联的接口的列表内的所述客户VPN来限定所述区域的句法。
2.根据权利要求1所述的网络路由器,其中,所述防火墙存储指定由所述用户限定的所述区域的配置数据,至少一个所述区域指定包括用于一个或多个所述客户VPN的标识符的所述接口的集合。
3.根据权利要求1所述的网络路由器,其中,所述路由引擎的所述控制单元执行在所述路由引擎与所述防火墙之间传送映射信息的网络服务协议,其中,所述映射信息使用于所述VPN的多协议标签交换(MPLS)VPN标签与用于所述客户VPN的标识符相关联。
4.根据权利要求3所述的网络路由器,其中,对于所述网络路由器作为出口标签交换路由器进行操作的VPN隧道,所述路由引擎与所述防火墙之间的映射信息使附加于通过接口卡从所述LSP接收到的数据包的内部VPN标签与用于所述客户VPN的标识符中的相应标识符相关联。
5.根据权利要求3所述的网络路由器,其中,对于所述网络路由器作为入口标签交换路由器进行操作的VPN隧道,所述路由引擎与所述防火墙之间传送的所述映射信息使多对VPN标签和转发下一跳与用于所述客户VPN的标识符中的相应标识符相关联,其中,所述VPN标签是当通过所述转发引擎输出至所述网络时随后附加于所述数据包的VPN标签。
6.根据权利要求3所述的网络路由器,
其中,所述用户接口允许所述用户指定用于所述防火墙的一个或多个策略;
其中,基于所述映射信息,所述防火墙将所述策略应用于从所述转发平面接收到的多协议标签交换(MPLS)数据包,以及
其中,基于所述映射信息,所述防火墙将所述策略应用于从所述转发平面接收到的数据包,所述数据包被作为多协议标签交换(MPLS)数据包预定将由所述路由装置转发至所述VPN隧道。
7.根据权利要求1所述的网络路由器,
其中,所述防火墙基于由所述用户限定的所述区域确定用于每个所述数据包的输入区域和输出区域,
其中,所述防火墙基于确定用于所述数据包的所述输入区域和所述输出区域,将一个或多个所述状态防火墙服务应用于每个所述数据包,以及
其中,所述输入区域和所述输出区域中的至少一个由所述用户通过指定与所述输入区域或所述输出区域相关联的接口的集合内的至少一个所述客户VPN来限定。
8.根据权利要求1所述的网络路由器,
其中,基于所述路由信息,所述路由引擎利用使网络目的地和MPLS标签与特定下一跳和所述路由器的接口卡的对应接口端口相关联的转发信息来对所述转发引擎进行编程,
其中,所述路由引擎利用至少一部分所述转发信息来对所述防火墙进行编程,以及
其中,对于从所述转发引擎接收到的每个数据包,所述防火墙使用所述一部分所述转发信息执行用于所述数据包的路由查找,以确定用于所述数据包的输出区域。
9.根据权利要求1所述的网络路由器,其中,所述用户接口为支持允许所述用户指定所述区域的命令句法的基于文本的接口。
10.根据权利要求1所述的网络路由器,其中,所述用户接口为由所述路由器输出的将由网络浏览器或管理站远程提供的用户接口。
11.根据权利要求1所述的网络路由器,其中,所述状态防火墙服务包括多个服务,所述多个服务包括深度数据包检测、由所述数据包携带的应用层数据的病毒扫描、第七层安全服务。
12.根据权利要求1所述的网络路由器,其中,所述网络路由器包括提供方边缘路由器、宽带远程接入服务器(BRAS)、宽带网络网关(BNG)、电缆调制解调器终端系统(CMTS)、多服务边缘路由器(MSE)、网关GPRS(通用分组无线业务)支持节点(GGSN)、分组数据服务节点(PDSN)、公共数据网络网关(PDN-GW)、为流入或流出数据中心的数据包提供路由和安全功能的数据中心装置、用作网络服务提供方之间的互联点的对等路由器、和自治系统边界路由器(ASBR)中的一个。
13.根据权利要求1所述的网络路由器,其中,所述接口的列表为逻辑接口的列表,并且其中,用于所述客户VPN的至少两个或多个所述VPN隧道流过所述路由器的单个物理接口。
14.一种方法,包括:
利用路由器的路由引擎执行至少一个协议,以建立用于一个或多个客户VPN的虚拟专用网(VPN)隧道;
利用所述路由器提供用户接口,用户通过所述用户接口指定将由集成在所述路由器中的防火墙识别的一个或多个区域,其中,所述用户接口支持允许所述用户通过指定一个或多个所述客户VPN作为与所述区域相关联的接口来限定所述区域的句法;
在所述路由器的多个接口处接收来自网络的数据包;
利用所述路由器的转发引擎的流量控制模块将一个或多个所接收到的数据包定向至应用于状态防火墙服务的所述防火墙;
基于由所述用户指定的区域,利用所述网络路由器的所述防火墙将状态防火墙服务应用于所述数据包;
在应用状态防火墙服务之后,将至少一些所述数据包从所述防火墙转发至所述转发引擎;
利用所述转发引擎选择用于所述网络内的数据包的下一跳;以及
根据所选择的下一跳将所述数据包转发至所述接口。
15.根据权利要求14所述的方法,其中,所述接口的列表为逻辑接口的列表,并且其中,用于所述客户VPN的所述VPN隧道中的至少两个或多个流过所述路由器的单个物理接口。
16.根据权利要求14所述的方法,进一步包括:在所述路由器内存储指定由所述用户限定的所述区域的配置数据,至少一个所述区域指定包括用于一个或多个所述客户VPN的标识符的接口的集合。
17.根据权利要求14所述的方法,进一步包括:将映射信息从所述路由引擎传送到所述防火墙,其中,所述映射信息使用于VPN隧道的VPN标签与由所述用户接口指定的用于所述客户VPN的标识符相关联。
18.根据权利要求17所述的方法,其中,对于所述网络路由器作为出口标签交换路由器进行操作的VPN隧道,所述映射信息使附加于通过接口卡从所述LSP接收到的数据包的内部VPN标签与用于所述客户VPN的标识符中的相应标识符相关联。
19.根据权利要求17所述的方法,其中,对于所述网络路由器作为入口标签交换路由器进行操作的VPN隧道,所述映射信息使多对VPN标签和转发下一跳与用于所述客户VPN的标识符中的相应标识符相关联,其中,当通过所述转发引擎输出至所述网络时,所述VPN标签被随后附加于所述数据包。
20.根据权利要求17所述的方法,
其中,所述用户接口允许所述用户指定用于所述防火墙的一个或多个策略;
其中,基于所述映射信息,所述防火墙将所述策略应用于从所述转发平面接收到的利用至少一个标签封装的多协议标签交换(MPLS)数据包,以及
其中,基于所述映射信息,所述防火墙将所述策略应用于从所述转发平面接收到的数据包,所述数据包被预定将由所述路由装置转发。
21.根据权利要求14所述的方法,进一步包括
在所述路由器中存储指定由所述用户限定的所述区域的配置数据,所述至少一个所述区域指定包括用于一个或多个客户VPN的标识符的接口的集合;
将映射信息从所述路由引擎传送至所述防火墙,其中,所述映射信息使所述LSP内所使用的VPN标签与用于所述客户VPN的标识符相关联;
对于每个所接收到的数据包,确定所接收到的数据包是否为MPLS数据包;
当所接收到的数据包为MPLS数据包时,访问所述映射信息以将所接收到的数据包的内部VPN标签映射为用于客户VPN的标识符中的一个,以确定用于所接收到的数据包的输入区域;
确定用于所述数据包的输出区域;以及
基于为所述数据包确定的所述输入区域和所述输出区域,将一个或多个所述状态防火墙服务应用于每个所述数据包。
22.根据权利要求14所述的方法,进一步包括
在所述路由器中存储指定由所述用户限定的所述区域的配置数据,所述至少一个所述区域指定包括用于一个或多个所述客户VPN的标识符的接口的集合;
将映射信息从所述路由引擎传送至所述防火墙,其中,所述映射信息使用于所述VPN隧道的VPN标签与由所述用户接口指定的用于所述客户VPN的标识符相关联;
对于每个所接收到的数据包,确定用于所接收到的数据包的输入区域;
执行所述防火墙内的路由查找,以确定所接收到的数据包是否将由所述转发引擎输出在VPN隧道上;
当所接收到的数据包将被输出在所述VPN隧道上时:
(1)从所述路由查找确定用于所述数据包的下一跳和当转发所述数据包时所述转发引擎将附加于所述数据包的VPN标签;以及
(2)访问所述映射信息以将所述下一跳和附加于所述数据包的VPN标签映射为用于客户VPN的所述标识符之一,以当所述数据包随后由所述转发引擎转发时,确定用于所接收到的数据包的输出区域;以及
基于确定用于所述数据包的所述输入区域和所述输出区域,将一个或多个所述状态防火墙服务应用于每个所述数据包。
23.根据权利要求14所述的方法,其中,所述用户接口为基于图形的接口或支持允许所述用户指定所述区域的命令句法的基于文本的接口。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US8891608P | 2008-08-14 | 2008-08-14 | |
US61/088,916 | 2008-08-14 | ||
US12/271,605 | 2008-11-14 | ||
US12/271,605 US8307422B2 (en) | 2008-08-14 | 2008-11-14 | Routing device having integrated MPLS-aware firewall |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101656670A true CN101656670A (zh) | 2010-02-24 |
CN101656670B CN101656670B (zh) | 2013-08-14 |
Family
ID=41220136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910166159XA Active CN101656670B (zh) | 2008-08-14 | 2009-08-14 | 具有集成mpls-感知防火墙的路由装置 |
Country Status (3)
Country | Link |
---|---|
US (2) | US8307422B2 (zh) |
EP (1) | EP2154834B1 (zh) |
CN (1) | CN101656670B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
CN103368836A (zh) * | 2012-04-09 | 2013-10-23 | 中兴通讯股份有限公司 | 一种数字微波设备及其网管数据路由方法 |
CN104823405A (zh) * | 2012-10-10 | 2015-08-05 | 瑞典爱立信有限公司 | 对于基于mpls的虚拟私有云联网的ip组播服务离开过程 |
CN106302466A (zh) * | 2016-08-17 | 2017-01-04 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
CN106685956A (zh) * | 2016-12-27 | 2017-05-17 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
CN107018057A (zh) * | 2015-09-30 | 2017-08-04 | 丛林网络公司 | 通过城域接入网的快速路径内容传送 |
CN107852604A (zh) * | 2015-04-07 | 2018-03-27 | 安博科技有限公司 | 用于提供全局虚拟网络(gvn)的系统和方法 |
CN108270671A (zh) * | 2016-12-30 | 2018-07-10 | 瞻博网络公司 | 对分组执行服务 |
CN108605041A (zh) * | 2016-02-08 | 2018-09-28 | 科里普特佐内北美股份有限公司 | 通过防火墙来保护网络设备 |
CN112385194A (zh) * | 2018-07-05 | 2021-02-19 | 思科技术公司 | 远程网络之间的状态分组传输 |
CN112953827A (zh) * | 2020-12-31 | 2021-06-11 | 江苏省未来网络创新研究院 | 一种基于分段路由实现可编程虚拟路由器业务链功能的方法 |
CN113169967A (zh) * | 2018-11-30 | 2021-07-23 | 思科技术公司 | 动态的基于意图的防火墙 |
CN117081990A (zh) * | 2023-10-16 | 2023-11-17 | 北京长亭科技有限公司 | 一种mpls流量代理方法、系统、设备及存储介质 |
Families Citing this family (239)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7610610B2 (en) | 2005-01-10 | 2009-10-27 | Mcafee, Inc. | Integrated firewall, IPS, and virus scanner system and method |
US7675854B2 (en) | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8548428B2 (en) * | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
US8402111B2 (en) * | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
US8583781B2 (en) | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
US8346225B2 (en) * | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8340634B2 (en) * | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
US8391834B2 (en) * | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
US9069599B2 (en) * | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
US8307422B2 (en) | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8713627B2 (en) | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
US8190769B1 (en) | 2008-12-30 | 2012-05-29 | Juniper Networks, Inc. | Methods and apparatus for provisioning at a network device in response to a virtual resource migration notification |
US8054832B1 (en) | 2008-12-30 | 2011-11-08 | Juniper Networks, Inc. | Methods and apparatus for routing between virtual resources based on a routing location policy |
US8255496B2 (en) * | 2008-12-30 | 2012-08-28 | Juniper Networks, Inc. | Method and apparatus for determining a network topology during network provisioning |
US8565118B2 (en) * | 2008-12-30 | 2013-10-22 | Juniper Networks, Inc. | Methods and apparatus for distributed dynamic network provisioning |
US8331362B2 (en) * | 2008-12-30 | 2012-12-11 | Juniper Networks, Inc. | Methods and apparatus for distributed dynamic network provisioning |
US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
US8351898B2 (en) | 2009-01-28 | 2013-01-08 | Headwater Partners I Llc | Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account |
US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
FR2943873B1 (fr) * | 2009-03-25 | 2012-01-13 | Infovista Sa | Procede permettant a un systeme de surveillance du reseau d'un operateur de classifier des flux ip |
US8619549B2 (en) * | 2009-05-14 | 2013-12-31 | Avaya Inc. | Location based load balancing of wireless access points and wireless switches |
US8468271B1 (en) | 2009-06-02 | 2013-06-18 | Juniper Networks, Inc. | Providing privacy within computer networks using anonymous cookies |
CN101599901B (zh) * | 2009-07-15 | 2011-06-08 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
US10102352B2 (en) * | 2009-08-10 | 2018-10-16 | Arm Limited | Content usage monitor |
US9960967B2 (en) | 2009-10-21 | 2018-05-01 | A10 Networks, Inc. | Determining an application delivery server based on geo-location information |
US8953603B2 (en) | 2009-10-28 | 2015-02-10 | Juniper Networks, Inc. | Methods and apparatus related to a distributed switch fabric |
US8442048B2 (en) * | 2009-11-04 | 2013-05-14 | Juniper Networks, Inc. | Methods and apparatus for configuring a virtual network switch |
US8873549B2 (en) * | 2010-02-17 | 2014-10-28 | Cisco Technology, Inc. | Managing L2VPN connectivity after a fiber node split |
CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
US9282027B1 (en) * | 2010-03-31 | 2016-03-08 | Amazon Technologies, Inc. | Managing use of alternative intermediate destination computing nodes for provided computer networks |
US8774201B2 (en) * | 2010-09-10 | 2014-07-08 | Fujitsu Limited | Method and system for providing contextualized flow tags |
US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
US9077683B2 (en) * | 2010-12-08 | 2015-07-07 | At&T Intellectual Property I, L.P. | Architecture for network management in a multi-service network |
US8891406B1 (en) | 2010-12-22 | 2014-11-18 | Juniper Networks, Inc. | Methods and apparatus for tunnel management within a data center |
US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
US8612744B2 (en) * | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
CN102739494B (zh) * | 2011-03-31 | 2016-07-06 | 鸿富锦精密工业(深圳)有限公司 | Ssl vpn网关及其自动控制ssl vpn通道的方法 |
US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
US9497073B2 (en) | 2011-06-17 | 2016-11-15 | International Business Machines Corporation | Distributed link aggregation group (LAG) for a layer 2 fabric |
US8804736B1 (en) * | 2011-09-23 | 2014-08-12 | Juniper Networks, Inc. | Network tunneling using a label stack delimiter |
US9065745B2 (en) * | 2011-10-06 | 2015-06-23 | International Business Machines Corporation | Network traffic distribution |
US8750129B2 (en) | 2011-10-06 | 2014-06-10 | International Business Machines Corporation | Credit-based network congestion management |
US8897154B2 (en) | 2011-10-24 | 2014-11-25 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
US8813169B2 (en) | 2011-11-03 | 2014-08-19 | Varmour Networks, Inc. | Virtual security boundary for physical or virtual network devices |
US9529995B2 (en) | 2011-11-08 | 2016-12-27 | Varmour Networks, Inc. | Auto discovery of virtual machines |
US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
US9059912B2 (en) * | 2012-02-27 | 2015-06-16 | Verizon Patent And Licensing Inc. | Traffic policing for MPLS-based network |
US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
EP2645645A1 (en) * | 2012-03-30 | 2013-10-02 | British Telecommunications Public Limited Company | Packet network routing |
US10333827B2 (en) * | 2012-04-11 | 2019-06-25 | Varmour Networks, Inc. | Adaptive session forwarding following virtual machine migration detection |
CN103516610B (zh) * | 2012-06-18 | 2017-12-15 | 华为技术有限公司 | 业务处理方法、设备和系统 |
US8782221B2 (en) | 2012-07-05 | 2014-07-15 | A10 Networks, Inc. | Method to allocate buffer for TCP proxy session based on dynamic network conditions |
CN102752147B (zh) * | 2012-07-17 | 2015-01-21 | 华为技术有限公司 | 创建网络设备的方法及装置 |
US9843484B2 (en) | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
US9705800B2 (en) | 2012-09-25 | 2017-07-11 | A10 Networks, Inc. | Load distribution in data networks |
US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
US8676159B1 (en) * | 2012-09-28 | 2014-03-18 | Juniper Networks, Inc. | Mobile network interoperability |
US9596271B2 (en) | 2012-10-10 | 2017-03-14 | International Business Machines Corporation | Dynamic virtual private network |
US10110553B2 (en) * | 2012-10-11 | 2018-10-23 | Cable Television Laboratories, Inc. | Adaptive prefix delegation |
US9800545B2 (en) * | 2012-10-11 | 2017-10-24 | Cable Television Laboratories, Inc. | Role based router functionality |
US9762484B2 (en) | 2012-10-11 | 2017-09-12 | Cable Television Laboratories, Inc. | Role based router functionality |
CN103812959B (zh) * | 2012-11-15 | 2017-05-31 | 中国电信股份有限公司 | 集中管理ip地址的方法与系统 |
US20140146664A1 (en) * | 2012-11-26 | 2014-05-29 | Level 3 Communications, Llc | Apparatus, system and method for packet switching |
US9417922B2 (en) | 2012-12-03 | 2016-08-16 | Cutting Edge Consulting Associates, Inc. | Systems and methods for protecting an identity in network communications |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
CN102970229A (zh) * | 2012-12-18 | 2013-03-13 | 网神信息技术(北京)股份有限公司 | 数据转发的方法及装置 |
US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
WO2014144837A1 (en) * | 2013-03-15 | 2014-09-18 | A10 Networks, Inc. | Processing data packets using a policy based network path |
US9820316B2 (en) * | 2013-03-15 | 2017-11-14 | Aerohive Networks, Inc. | Preventing asymmetric routing using network tunneling |
US9124652B1 (en) | 2013-03-15 | 2015-09-01 | Google Inc. | Per service egress link selection |
US10038693B2 (en) | 2013-05-03 | 2018-07-31 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
WO2014186986A1 (zh) * | 2013-05-24 | 2014-11-27 | 华为技术有限公司 | 流转发方法、设备及系统 |
US9191404B2 (en) * | 2013-06-05 | 2015-11-17 | Cisco Technology, Inc. | Probabilistic flow management |
US9311123B2 (en) * | 2013-07-02 | 2016-04-12 | Hillstone Networks, Corp. | Distributed virtual security appliance and flow-based forwarding system using virtual machines |
US9391903B2 (en) * | 2013-07-15 | 2016-07-12 | Calix, Inc. | Methods and apparatuses for distributed packet flow control |
US9680760B2 (en) * | 2013-07-16 | 2017-06-13 | Cisco Technology, Inc. | Adaptive marking for WRED with intra-flow packet priorities in network queues |
US9319293B2 (en) | 2013-07-31 | 2016-04-19 | Calix, Inc. | Methods and apparatuses for network flow analysis and control |
US9240938B2 (en) | 2013-09-23 | 2016-01-19 | Calix, Inc. | Distributed system and method for flow identification in an access network |
US8724626B1 (en) | 2013-10-07 | 2014-05-13 | tw telecom holdings inc. | Redirecting network traffic based on content |
US9864623B2 (en) | 2013-11-21 | 2018-01-09 | Centurylink Intellectual Property Llc | Physical to virtual network transport function abstraction |
US10230770B2 (en) | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
US9942152B2 (en) | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
US20150288767A1 (en) | 2014-04-03 | 2015-10-08 | Centurylink Intellectual Property Llc | Network Functions Virtualization Interconnection Hub |
US9237129B2 (en) * | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
US10129122B2 (en) | 2014-06-03 | 2018-11-13 | A10 Networks, Inc. | User defined objects for network devices |
US9986061B2 (en) | 2014-06-03 | 2018-05-29 | A10 Networks, Inc. | Programming a data network device using user defined scripts |
US9992229B2 (en) | 2014-06-03 | 2018-06-05 | A10 Networks, Inc. | Programming a data network device using user defined scripts with licenses |
US10225327B2 (en) | 2014-08-13 | 2019-03-05 | Centurylink Intellectual Property Llc | Remoting application servers |
US9898318B2 (en) | 2014-08-15 | 2018-02-20 | Centurylink Intellectual Property Llc | Multi-line/multi-state virtualized OAM transponder |
US9838337B1 (en) * | 2014-09-30 | 2017-12-05 | Juniper Networks, Inc. | Automatic virtual local area network (VLAN) provisioning in data center switches |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
US10268467B2 (en) | 2014-11-11 | 2019-04-23 | A10 Networks, Inc. | Policy-driven management of application traffic for providing services to cloud-based applications |
WO2016094291A1 (en) | 2014-12-08 | 2016-06-16 | Umbra Technologies Ltd. | System and method for content retrieval from remote network regions |
US9426125B2 (en) * | 2014-12-22 | 2016-08-23 | Verizon Digital Media Services Inc. | Real-time reconfigurable web application firewall for a distributed platform |
US9537872B2 (en) | 2014-12-31 | 2017-01-03 | Dell Software Inc. | Secure neighbor discovery (SEND) using pre-shared key |
JP2018508067A (ja) | 2015-01-06 | 2018-03-22 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ニュートラルなアプリケーションプログラミングインタフェースについてのシステム及び方法 |
US9998425B2 (en) | 2015-01-27 | 2018-06-12 | Sonicwall Inc. | Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment |
EP3251301A4 (en) * | 2015-01-28 | 2018-10-10 | Umbra Technologies Ltd. | System and method for a global virtual network |
US10333840B2 (en) * | 2015-02-06 | 2019-06-25 | Cisco Technology, Inc. | System and method for on-demand content exchange with adaptive naming in information-centric networks |
JP6310874B2 (ja) * | 2015-03-12 | 2018-04-11 | 株式会社日立製作所 | インシデント検知システム |
US10178070B2 (en) * | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
WO2016198961A2 (en) | 2015-06-11 | 2016-12-15 | Umbra Technologies Ltd. | System and method for network tapestry multiprotocol integration |
US10581976B2 (en) | 2015-08-12 | 2020-03-03 | A10 Networks, Inc. | Transmission control of protocol state exchange for dynamic stateful service insertion |
US10243791B2 (en) | 2015-08-13 | 2019-03-26 | A10 Networks, Inc. | Automated adjustment of subscriber policies |
US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
CN105224855B (zh) * | 2015-08-31 | 2019-01-15 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
US10673742B2 (en) * | 2015-09-10 | 2020-06-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Multicast state reduction via tunneling in a routed system |
US10320644B1 (en) * | 2015-09-14 | 2019-06-11 | Amazon Technologies, Inc. | Traffic analyzer for isolated virtual networks |
US9882833B2 (en) | 2015-09-28 | 2018-01-30 | Centurylink Intellectual Property Llc | Intent-based services orchestration |
US9917774B2 (en) | 2015-09-30 | 2018-03-13 | Juniper Networks, Inc. | Content caching in metro access networks |
US10341185B2 (en) * | 2015-10-02 | 2019-07-02 | Arista Networks, Inc. | Dynamic service insertion |
US9723027B2 (en) | 2015-11-10 | 2017-08-01 | Sonicwall Inc. | Firewall informed by web server security policy identifying authorized resources and hosts |
US11159486B2 (en) | 2015-11-17 | 2021-10-26 | Zscaler, Inc. | Stream scanner for identifying signature matches |
US10594656B2 (en) * | 2015-11-17 | 2020-03-17 | Zscaler, Inc. | Multi-tenant cloud-based firewall systems and methods |
US11277383B2 (en) | 2015-11-17 | 2022-03-15 | Zscaler, Inc. | Cloud-based intrusion prevention system |
US10164907B2 (en) | 2015-11-25 | 2018-12-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for completing loosely specified MDTs |
US10498764B2 (en) * | 2015-12-08 | 2019-12-03 | Jpu.Io Ltd | Network routing and security within a mobile radio network |
US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
US9860259B2 (en) * | 2015-12-10 | 2018-01-02 | Sonicwall Us Holdings Inc. | Reassembly free deep packet inspection for peer to peer networks |
US11360945B2 (en) | 2015-12-11 | 2022-06-14 | Umbra Technologies Ltd. | System and method for information slingshot over a network tapestry and granularity of a tick |
US9954765B2 (en) | 2016-01-08 | 2018-04-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Graph construction for computed spring multicast |
US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
CN109075984B (zh) | 2016-03-28 | 2021-06-01 | 瑞典爱立信有限公司 | 计算的spring组播的多点到多点树 |
US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
US10142290B1 (en) * | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
CN109416680B (zh) | 2016-04-26 | 2023-02-17 | 安博科技有限公司 | 吊索路由逻辑与负载均衡 |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
US10972437B2 (en) * | 2016-08-08 | 2021-04-06 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (APN) |
US10860335B1 (en) * | 2016-09-29 | 2020-12-08 | Cisco Technology, Inc. | Network configuration interface system and method |
CN106506147B (zh) * | 2016-10-27 | 2022-04-12 | 国网江苏省电力公司南京供电公司 | 一种基于国密算法实现IPsec-VPN的方法 |
US10237090B2 (en) | 2016-10-28 | 2019-03-19 | Avago Technologies International Sales Pte. Limited | Rule-based network identifier mapping |
US10554494B1 (en) | 2017-01-04 | 2020-02-04 | Juniper Networks, Inc. | Automatic ICCP provisioning and VLAN provisioning on an inter-chassis link in a MC-LAG |
US10476817B2 (en) * | 2017-05-31 | 2019-11-12 | Juniper Networks, Inc. | Transport LSP setup using selected fabric path between virtual nodes |
US10382333B2 (en) * | 2017-05-31 | 2019-08-13 | Juniper Networks, Inc. | Fabric path context-based forwarding for virtual nodes |
US10432523B2 (en) | 2017-05-31 | 2019-10-01 | Juniper Networks, Inc. | Routing protocol signaling of multiple next hops and their relationship |
US10659352B2 (en) | 2017-05-31 | 2020-05-19 | Juniper Networks, Inc. | Signaling private context forwarding tables for a private forwarding layer |
US10389635B2 (en) | 2017-05-31 | 2019-08-20 | Juniper Networks, Inc. | Advertising selected fabric paths for service routes in virtual nodes |
US10516650B2 (en) | 2017-09-13 | 2019-12-24 | Netabstraction, Inc. | Dynamic, user-configurable virtual private network |
US10735371B2 (en) | 2017-09-21 | 2020-08-04 | Mastercard International Incorporated | Systems and methods for accessing computer networks using a virtual infrastructure |
US10511546B2 (en) | 2017-09-29 | 2019-12-17 | Juniper Networks, Inc. | Connecting virtual nodes in a network device using abstract fabric interfaces |
US10673901B2 (en) | 2017-12-27 | 2020-06-02 | Cisco Technology, Inc. | Cryptographic security audit using network service zone locking |
US10917436B2 (en) | 2018-03-20 | 2021-02-09 | Cisco Technology, Inc. | On-demand security policy provisioning |
US11102186B2 (en) * | 2018-04-26 | 2021-08-24 | Vmware, Inc. | Packet capture in software-defined networking (SDN) environments |
WO2019228622A1 (en) | 2018-05-30 | 2019-12-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for service provision in a communication network |
US10904136B2 (en) | 2018-08-06 | 2021-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Multicast distribution tree versioning for minimizing multicast group traffic disruption |
CN110875913A (zh) | 2018-09-03 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 数据传输方法和系统 |
US11082337B2 (en) * | 2019-02-15 | 2021-08-03 | Juniper Networks, Inc. | Support for multiple virtual networks over an underlay network topology |
US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
US11277337B2 (en) * | 2019-06-06 | 2022-03-15 | Cisco Technology, Inc. | Systems and methods for routing network traffic using labels |
US11122054B2 (en) | 2019-08-27 | 2021-09-14 | Bank Of America Corporation | Security tool |
US11140132B1 (en) * | 2019-12-10 | 2021-10-05 | Amazon Technologies, Inc. | Network flow management |
CN112165460B (zh) * | 2020-09-10 | 2023-07-25 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
US20220124071A1 (en) * | 2020-10-20 | 2022-04-21 | Charter Communications Operating, Llc | Routing network traffic using router-terminated virtual private network (vpn) client sessions |
US11539624B2 (en) | 2020-11-24 | 2022-12-27 | Arista Networks, Inc. | Fine-grained control over routing resolution behavior |
US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
US11831605B2 (en) * | 2021-03-29 | 2023-11-28 | Nokia Solutions And Networks Oy | Router firewall |
US11310155B1 (en) * | 2021-03-30 | 2022-04-19 | Amazon Technologies, Inc. | Virtual router workload offloading |
US11824773B2 (en) | 2021-03-30 | 2023-11-21 | Amazon Technologies, Inc. | Dynamic routing for peered virtual routers |
US11601365B2 (en) * | 2021-03-30 | 2023-03-07 | Amazon Technologies, Inc. | Wide area networking service using provider network backbone network |
US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5469208A (en) | 1993-05-26 | 1995-11-21 | Intel Corporation | Dequantization using decrements and multiply |
US6321334B1 (en) | 1998-07-15 | 2001-11-20 | Microsoft Corporation | Administering permissions associated with a security zone in a computer system security model |
US7757271B2 (en) | 2000-04-19 | 2010-07-13 | Hewlett-Packard Development Company, L.P. | Computer system security service |
US7860999B1 (en) | 2000-10-11 | 2010-12-28 | Avaya Inc. | Distributed computation in network devices |
US6996102B2 (en) | 2000-12-21 | 2006-02-07 | Nortel Networks Limited | Method and apparatus for routing data traffic across a multicast-capable fabric |
US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
CN100359885C (zh) * | 2002-06-24 | 2008-01-02 | 武汉烽火网络有限责任公司 | 以策略流方式转发数据的方法和数据转发设备 |
US7184437B1 (en) | 2002-07-17 | 2007-02-27 | Juniper Networks, Inc. | Scalable route resolution |
US7305464B2 (en) | 2002-09-03 | 2007-12-04 | End Ii End Communications, Inc. | Systems and methods for broadband network optimization |
US7283529B2 (en) | 2003-03-07 | 2007-10-16 | International Business Machines Corporation | Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network |
US20050080901A1 (en) | 2003-10-14 | 2005-04-14 | Reader Scot A. | Method and apparatus for controlling access to multicast data streams |
US7587591B2 (en) | 2003-10-31 | 2009-09-08 | Juniper Networks, Inc. | Secure transport of multicast traffic |
WO2005043814A1 (en) | 2003-10-31 | 2005-05-12 | Juniper Networks, Inc. | Enforcing access control on multicast transmissions |
US8250150B2 (en) | 2004-01-26 | 2012-08-21 | Forte Internet Software, Inc. | Methods and apparatus for identifying and facilitating a social interaction structure over a data packet network |
GB2418110B (en) | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
US7499419B2 (en) | 2004-09-24 | 2009-03-03 | Fortinet, Inc. | Scalable IP-services enabled multicast forwarding with efficient resource utilization |
US20070022479A1 (en) | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
EP1758334A1 (en) * | 2005-08-26 | 2007-02-28 | Matsushita Electric Industrial Co., Ltd. | Establishment of media sessions with media adaptation |
US8144628B2 (en) | 2005-12-13 | 2012-03-27 | Cisco Technology, Inc. | Acknowledgement-based rerouting of multicast traffic |
US8914868B2 (en) * | 2006-03-03 | 2014-12-16 | Hewlett-Packard Development Company, L.P. | Vendor-neutral policy based mechanism for enabling firewall service in an MPLS-VPN service network |
US8050559B2 (en) | 2006-08-21 | 2011-11-01 | Juniper Networks, Inc. | Multi-chassis router with multiplexed optical interconnects |
US8543667B2 (en) | 2008-01-14 | 2013-09-24 | Akamai Technologies, Inc. | Policy-based content insertion |
US8339959B1 (en) | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
US8307422B2 (en) | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8316435B1 (en) | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
US8300532B1 (en) | 2008-09-23 | 2012-10-30 | Juniper Networks, Inc. | Forwarding plane configuration for separation of services and forwarding in an integrated services router |
-
2008
- 2008-11-14 US US12/271,605 patent/US8307422B2/en active Active
-
2009
- 2009-08-04 EP EP09167142.0A patent/EP2154834B1/en active Active
- 2009-08-14 CN CN200910166159XA patent/CN101656670B/zh active Active
-
2012
- 2012-11-05 US US13/669,303 patent/US8955100B2/en active Active
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
CN103368836A (zh) * | 2012-04-09 | 2013-10-23 | 中兴通讯股份有限公司 | 一种数字微波设备及其网管数据路由方法 |
CN103368836B (zh) * | 2012-04-09 | 2016-12-14 | 中兴通讯股份有限公司 | 一种数字微波设备及其网管数据路由方法 |
CN104823405B (zh) * | 2012-10-10 | 2018-02-27 | 瑞典爱立信有限公司 | 对于基于mpls的虚拟私有云联网的ip组播服务离开过程 |
CN104823405A (zh) * | 2012-10-10 | 2015-08-05 | 瑞典爱立信有限公司 | 对于基于mpls的虚拟私有云联网的ip组播服务离开过程 |
CN107852604B (zh) * | 2015-04-07 | 2021-12-03 | 安博科技有限公司 | 用于提供全局虚拟网络(gvn)的系统 |
CN107852604A (zh) * | 2015-04-07 | 2018-03-27 | 安博科技有限公司 | 用于提供全局虚拟网络(gvn)的系统和方法 |
CN107018057A (zh) * | 2015-09-30 | 2017-08-04 | 丛林网络公司 | 通过城域接入网的快速路径内容传送 |
CN107018057B (zh) * | 2015-09-30 | 2018-10-02 | 丛林网络公司 | 通过城域接入网的快速路径内容传送 |
CN108605041A (zh) * | 2016-02-08 | 2018-09-28 | 科里普特佐内北美股份有限公司 | 通过防火墙来保护网络设备 |
CN106302466A (zh) * | 2016-08-17 | 2017-01-04 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
CN106302466B (zh) * | 2016-08-17 | 2019-04-26 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
CN106685956B (zh) * | 2016-12-27 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
CN106685956A (zh) * | 2016-12-27 | 2017-05-17 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
CN108270671A (zh) * | 2016-12-30 | 2018-07-10 | 瞻博网络公司 | 对分组执行服务 |
CN108270671B (zh) * | 2016-12-30 | 2021-03-16 | 瞻博网络公司 | 一种用于对分组执行服务的设备及其方法 |
CN112385194B (zh) * | 2018-07-05 | 2023-09-08 | 思科技术公司 | 远程网络之间的状态分组传输 |
CN112385194A (zh) * | 2018-07-05 | 2021-02-19 | 思科技术公司 | 远程网络之间的状态分组传输 |
US11949602B2 (en) | 2018-07-05 | 2024-04-02 | Cisco Technology, Inc. | Stretched EPG and micro-segmentation in multisite fabrics |
CN113169967A (zh) * | 2018-11-30 | 2021-07-23 | 思科技术公司 | 动态的基于意图的防火墙 |
CN113169967B (zh) * | 2018-11-30 | 2023-06-16 | 思科技术公司 | 动态的基于意图的防火墙 |
CN112953827A (zh) * | 2020-12-31 | 2021-06-11 | 江苏省未来网络创新研究院 | 一种基于分段路由实现可编程虚拟路由器业务链功能的方法 |
CN117081990A (zh) * | 2023-10-16 | 2023-11-17 | 北京长亭科技有限公司 | 一种mpls流量代理方法、系统、设备及存储介质 |
CN117081990B (zh) * | 2023-10-16 | 2024-01-26 | 北京长亭科技有限公司 | 一种mpls流量代理方法、系统、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US8307422B2 (en) | 2012-11-06 |
EP2154834A1 (en) | 2010-02-17 |
EP2154834B1 (en) | 2017-10-04 |
US20130074177A1 (en) | 2013-03-21 |
CN101656670B (zh) | 2013-08-14 |
US20100043068A1 (en) | 2010-02-18 |
US8955100B2 (en) | 2015-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101656670B (zh) | 具有集成mpls-感知防火墙的路由装置 | |
US8316435B1 (en) | Routing device having integrated MPLS-aware firewall with virtual security system support | |
US20210112033A1 (en) | System, apparatus and method for providing a unified firewall manager | |
US10523593B2 (en) | System, apparatus and method for providing a virtual network edge and overlay | |
US7283529B2 (en) | Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network | |
EP2252011B1 (en) | Scalable routing policy construction using dynamic redefinition of routing preference value | |
WO2017128656A1 (zh) | 虚拟专用网络vpn业务优化方法和设备 | |
CN107637031A (zh) | 用于网络业务的路径计算单元中央控制器(pcecc) | |
US20120140772A1 (en) | Methods and devices for converting routing data from one protocol to another in a virtual private network | |
CN107592270B (zh) | FlowSpec消息的处理方法和装置以及系统 | |
CN106464522A (zh) | 用于网络功能布局的方法和系统 | |
CN101902451A (zh) | Mpls网络内的汇总和最长前缀匹配 | |
WO2002099571A2 (en) | System and method for topology constrained routing policy provisioning | |
CN110868352B (zh) | 一种私网应用识别系统、方法及sdn控制器、p设备 | |
CN107070789A (zh) | 主动‑主动pbb‑evpn冗余的流量黑洞避免和快速融合 | |
CN102474451A (zh) | 连接内层和外层mpls标签 | |
Wu et al. | YANG data model for L3VPN service delivery | |
CN110086720B (zh) | 基于二维路由协议实现l3vpn的方法及系统 | |
CN113328934A (zh) | 用于将服务映射到隧道的基于服务的传输类别 | |
KR101242599B1 (ko) | Mpls vpn 라우팅 정보 관리 서버 및 그 방법 | |
Halimi et al. | Overview on mpls virtual private networks | |
Järvi | Layer 2 solutions in access provider networks | |
CN112737951B (zh) | 一种公私网混合场景下端到端sr控制方法、系统和可读存储介质 | |
KR100684143B1 (ko) | 단순화된 mpls 메커니즘을 이용하여 다양한 l2vpn서비스를 제공하기 위한 방법 및 장치 | |
Efendi | A Simulation Analysis of Latency and Packet Loss on Virtual Private Network through Multi Virtual Routing and Forwarding |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |