CN1500329A - 隔离虚拟专用网络(vpn)和尽力工作业务以抵抗拒绝服务攻击的系统、方法和设备 - Google Patents

隔离虚拟专用网络(vpn)和尽力工作业务以抵抗拒绝服务攻击的系统、方法和设备 Download PDF

Info

Publication number
CN1500329A
CN1500329A CNA02806822XA CN02806822A CN1500329A CN 1500329 A CN1500329 A CN 1500329A CN A02806822X A CNA02806822X A CN A02806822XA CN 02806822 A CN02806822 A CN 02806822A CN 1500329 A CN1500329 A CN 1500329A
Authority
CN
China
Prior art keywords
vpn
network
router
business
logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA02806822XA
Other languages
English (en)
Inventor
D��E����˴�ɣ
D·E·麦克戴桑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Communications
Original Assignee
Global Communications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Global Communications filed Critical Global Communications
Publication of CN1500329A publication Critical patent/CN1500329A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1442Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
    • H04L12/1446Charging, metering or billing arrangements for data wireline or wireless communications at network operator level inter-operator billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2408Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4535Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4557Directories for hybrid networks, e.g. including telephone numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1023Media gateways
    • H04L65/103Media gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/104Signalling gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1043Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1096Supplementary features, e.g. call forwarding or call holding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/61Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
    • H04L65/612Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • H04L65/762Media network packet handling at the source 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/43Billing software details
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/44Augmented, consolidated or itemized billing statement or bill presentation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/49Connection to several service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/51Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for resellers, retailers or service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/52Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for operator independent billing system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/53Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP using mediation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/55Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for hybrid networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/56Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/58Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on statistics of usage or network monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/63Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on the content carried by the session initiation protocol [SIP] messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/70Administration or customization aspects; Counter-checking correct charges
    • H04M15/745Customizing according to wishes of subscriber, e.g. friends or family
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/82Criteria or parameters used for performing billing operations
    • H04M15/8292Charging for signaling or unsuccessful connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/0016Arrangements providing connection between exchanges
    • H04Q3/0029Provisions for intelligent networking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0104Augmented, consolidated or itemised billing statement, e.g. additional billing information, bill presentation, layout, format, e-mail, fax, printout, itemised bill per service or per account, cumulative billing, consolidated billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0108Customization according to wishes of subscriber, e.g. customer preferences, friends and family, selecting services or billing options, Personal Communication Systems [PCS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0148Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0168On line or real-time flexible customization or negotiation according to wishes of subscriber
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0172Mediation, i.e. device or program to reformat CDRS from one or more switches in order to adapt to one or more billing programs formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0176Billing arrangements using internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0188Network monitoring; statistics on usage on called/calling number
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/202VoIP; Packet switched telephony
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/2046Hybrid network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/22Bandwidth or usage-sensitve billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/44Charging/billing arrangements for connection made over different networks, e.g. wireless and PSTN, ISDN, etc.
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/46Connection to several service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/54Resellers-retail or service providers billing, e.g. agreements with telephone service operator, activation, charging/recharging of accounts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Probability & Statistics with Applications (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

按照本发明的网络结构(20)包括支持一个或多个基于网络的虚拟专用网络(VPN)的通信网络。通信网络包括利用接入链路连接到属于一个或多个VPN的CPE边缘路由器(24b-24d和25a-25d)的多个边界路由器(22a-22d)。为了防止来自客户VPN以外的业务(例如,大部分来自其他VPN或因特网的业务)损害到提供给来自客户的VPN内部的业务的QoS,本发明通过接入链路优先化或接入链路容量分配在每个客户接入链路上将比VPN外业务更高的优先权给予VPN内业务,使得VPN外业务不能干扰VPN内业务。

Description

隔离虚拟专用网络(VPN)和尽力工作业务以抵抗 拒绝服务攻击的系统、力法和设备
本发明涉及到通信网络,特别涉及到在诸如因特网等公共通信网络中对拒绝服务攻击的预防。本发明具体涉及到通过将一个虚拟专用网络(VPN)内部对站点业务的接入容量的分配和/或优先化与另一VPN或公共网络中对站点的接入容量的分配和/或优先化分开而在具有共享的网络基础结构的通信网络中预防拒绝服务攻击的方法、系统和设备。
对于网络服务提供者,在网络设计和管理中考虑的关键是在源发自VPN客户站点的业务和源发自VPN外部(例如,来自因特网或其它VPN)的业务之间适当地分配接入容量和网络资源。这种考虑相对于其预订包括请求网络服务提供者提供最小通信带宽或保证特殊服务质量(Quality of Service)(QoS)的服务级别协议(Service Level Agreement)(SLA)的那些VPN客户的业务特别重要。这种服务提供需要网络服务提供者提供的网络结构和协议能够实现规定的QoS,并且确保有足够的接入容量和网络资源用来与其它的VPN站点进行通信,这些通信与不属于该VPN一部分的那些主机的通信分开。
在因特网协议(IP)网络中,为获得QoS并实现能够与面向连接的网络服务例如话音或异步传输方式(ATM)相媲美的准入控制,有一种直接方案是模仿相同的信令资源保留的逐段切换范例(hop-by-hop switching paradigm)用于要求QoS的IP分组的信息流。事实上,由因特网工程任务组(Internet Engineering Task Force)(IETF)为综合服务(Integrated Services)(Intserv)制订的IP信令标准恰恰适用于这种方案。按照IETF,RFC 1633[R.Branden等人的“Integrated Services in the InternetArchitecture:an Overview(因特网体系结构中的综合服务:概述)”1994年6月]中所述,Intserv是一种按信息流的IP QoS结构,允许应用程序在传送服务的多个控制类别当中为其数据分组进行选择。为了支持这一能力,Intserv允许在分组信息流的发射机一端的应用程序使用IETF RFC 2205[R.Branden等人的“ResourceReSer Vation Protocol(RSVP)-Version 1 Functional Specification”1997年9月]所规定的公知的资源保留协议(Resource ReSer Vation Protocol)(RSVP)沿着到分组信息流的接收机的路径从所有网络元件请求按规定的容量类别提供所需的QoS级别。在从一个上游节点接收到一个请求资源保留的RSVP PATH消息和一个确认资源保留的RSVP RESV消息之后,沿着该路径的个别网络元件采取措施来控制提供给信息流内分组的QoS和容量。
图1表示利用常规的Intserv方案来执行准入控制的示意图。如图1所示,一个示例的IP网络10包括N个相同的节点(例如,服务提供者边界路由器(boundaryrouter))12,各自具有L条容量为X的链路耦合到L个不同客户的客户前提设备(Customer Premises Equipment)(CPE)14。在一种按信息流的面向连接的方案中,各个节点12要确保从起源到目的地的任何一条网络路径的链路都不会过载。从接入容量来看,按信息流的方案能够直接限制各个入口接入链路上的输入信息流,使所有信息流容量的总和不会超过任一出口接入链路(例如是节点12a的链路1)的容量X。类似的方案可用于连接IP网络10内没有图示出的核心路由器的链路。
尽管概念上非常简单,但图1中所示的准入控制技术存在许多缺点。最主要的是采用RSVP的Intserv准入控制的可伸缩性有限,因为在服务提供者的边界和核心路由器中需要有处理密集信令(processing-intensive signaling)RSVP。特别地,RSVP需要端对端信令来请求处在发射机和接收机之间的每个网络元件的适当的资源分配,需要入口节点12b-12d的策略查询以确定哪些信流可以准入并相应地管辖有关业务,以及许多其他的信号交换消息。因此,Intserv RSVP信令所需的处理可以和电话或ATM信令的处理相比较,并且在各个边界或核心IP路由器内部需要有高性能(也就是昂贵的)处理器部件来处理这种信令所需的大量处理工作。RSVP信令是一种软状态,意味着对信令处理频繁刷新(默认为每30秒一次),因为跨越IP网络的正向路径有可能改变,因而必须周期性地通知有关一个信息流所需的关于QoS和容量的信息。这种所谓的软状态操作模式对路由器产生的额外处理负荷甚至比ATM交换的负荷还要大。另外,如果一个边界路由器的处理器因大量的无效RSVP请求而发生过载,处理器有可能崩溃,从而会造成处理器出故障的这一路由器所处理的所有客户的所有信息流的服务中断。
认识到与采用常规Intserv RSVP信令来实现准入控制有关的这些问题,IETF发布了在RFC 2475[S.Blake等人的“An Architecture for DifferentiatedServices”1998年12月]中定义的区别服务(Differentiated Services)(Diffserv或DS)协议。Diffserv是一种通过在每个IP-层分组标题的一个DS字段(例如是IPv4服务类型(TOS)字节或IPv6业务类别字节)内传输一个集合业务分类来实现可伸缩性的IPQoS结构。DS字段的前六位对一个Diffserv码点(DSCP)编码,该Diffserv码点在一个Diffserv域内为在每个节点的分组沿着其路径请求一个规定类别的服务或按段行为(Per Hop Behavior)(PHB)。
在一个Diffserv域内,按照服务供应政策将网络资源分配给分组流的集合(aggregate),服务供应攻策管理在进入Diffserv域时的DSCP标记和业务调节以及Diffserv域内的业务传送。仅仅需要在Diffserv网络边界上采取标记(即分类)和调节操作。因此,在发射机和接收机之间并不需要用端对端信令来建立具有特定QoS的信息流,只需要对各个IP分组的标题进行检查和/或做标记,Diffserv就能用一个入口边界路由器为集合的信息流提供QoS。
尽管Diffserv标准能用易于以硬件执行的简单的按分组的标记操作替代Intserv的处理密集信令,从而解决Intserv可伸缩性的限制,但Diffserv协议的实施仍存在不同类型的问题。特别是由于Diffserv允许主机对服务类别做标记,如果有许多主机用设置在高优先权的DS字段向这种链路传送分组,Diffserv网络客户链接就会受到拒绝服务(DoS)攻击。应该注意到,一组主机会通过设置DSCP直接地或通过向一个特定的DSCP提交了由某些其它路由器或设备来分类的业务而间接地超过Diffserv服务类别的预订容量。在Diffserv中,一个IP网络只能通过在入口路由器上采取策略来保护自身的资源,以确保各个客户接口不会超过各个Diffserv服务类别的预订容量。然而这样做不能防止DoS攻击。
图2表示在执行常规Diffserv协议的一个例示IP网络10′中的DOS攻击情况。在图2中,许多入口节点(例如是入口边界路由器)12b′-12d′,每个节点接纳(admit)以一个出口节点(例如是出口边界路由器)12a′的单一链路为目标的业务。尽管各个入口节点12′管辖(police)输入分组以确保客户不会超过其在各个DSCP上的预订资源,被允许的信息流的集合还是会超过节点12a′的出口链路1的容量X,导致由这一链路分发给客户站点的服务被拒绝。
从Intserv和Diffserv标准的常规实施所附带的限制来看,本发明认识到,提供这样一种能够支持一种通信协议的数据通信方法、系统和设备会是有效和理想的,与常规的Intserv方案不同,它具有高度的可伸缩性并且还能防范常规Diffserv和其它网络易受影响的DoS攻击。
按照本发明的网络结构包括支持一个或多个基于网络的虚拟专用网络(VPN)的一个通信网络。通信网络包括多个边界路由器,它们由接入链路连接到属于一个或多个VPN的CPE边缘路由器(edge router)。为了防止来自客户VPN外部的业务(例如是来自其它VPN或整个因特网的业务)损害到提供给来自客户VPN内部的业务的QoS,本发明通过接入链路优先化或接入链路容量分配在各个客户的接入链路上给予VPN内业务比VPN外业务更高的优先权,使得VPN外业务不能干扰VPN内业务。按这种方式给予VPN内业务优于VPN外业务的优先权需要网络元件和协议的专门配置,包括采用层2交换和多路复用在物理接入链路和接入网络上在VPN内业务与VPN外业务之间的划分,以及在VPN边界路由器和CPE边缘路由器上为实现VPN内业务与VPN外业务之间的逻辑业务隔离的路由协议的配置。按照这种方式来配置接入网络、VPN边界路由器和CPE边缘路由器以及边缘和边界路由器的路由协议,就能实现DoS攻击预防的高级服务。
根据以下的详细说明就能理解本发明的其它目的、特征和优点。
在附带的权利要求书中描述了体现本发明的独特特征。然而,结合附图阅读以下对最佳实施例的详细描述有助于深入理解本发明及其应用的最佳模式、进一步的目的和优点,在附图中:
图1表示采用RSVP执行按信息流的QoS的一种常规的综合服务(Intsrv)网络;
图2表示一种常规的区别服务(Diffserv)网络,利用在各个分组标题中的DSCP标记在集合的业务流上实现QoS,因而易受到拒绝服务(DoS)攻击;
图3表示按照本发明最佳实施例的一例通信网络,是通过参照虚拟专用网络(VPN)中的成员资格对接入容量的分配和/或优先化进行划分来抵抗DoS攻击;
图4表示提供一种基于CPE的VPN方案来解决DoS攻击问题的一例网络结构;
图5是一种可以在图4和7所示的网络结构内采用的QoS-知晓的CPE边缘路由器的细节框图;
图6A是一种可以在图4和7所示的网络结构内采用的没有VPN功能的QoS-知晓的边界路由器的细节框图;
图6B是一种可以在图4所示的网络结构内采用的具有VPN功能的QoS-知晓的边界路由器的细节框图;
图7表示为解决DoS攻击问题提供了一种基于网络的VPN解决方案的一例网络结构;以及
图8是一种可以在图7所示的网络结构内采用的QoS-知晓的VPN边界路由器的细节框图。
仍然参照附图,特别是图3,图中表示按照本发明的一例网络结构20的高级框图,提供一种可伸缩的方法,在为选定业务提供QoS的同时保护虚拟专用网络(VPN)客户的接入和中继网络链路不受DoS攻击。与图2中现有技术的网络类似,图3的网络结构20包括具有N个服务提供者边界路由器(BR)22的一个Diffserv网络21,路由器各自有L个接入链路。网络结构20的不同之处是Diffserv网络21支持多个VPN范例,在图中表示了其中两个,表示成在各自用字母a到d表示的四个站点的每一个处连接到用于第一网络服务客户24的CPE边缘路由器(ER)和用于第二网络服务客户25的一个ER的边界路由器22的接入链路。各个CPE ER为客户的局域网(LAN)提供网络服务。服务提供者基于网络的VPN能支持比图中所示两个多得多的客户。
在图3所示的一例通信方案中,连接到CPE边缘路由器24b-24d的第一VPN客户的LAN内部的主机、连接到CPE边缘路由器25a-25d的第二VPN客户的LAN内部的主机、以及连接到与边界路由器22a-22d链接的其它没有图示的CPE边缘路由器的站点有可能全都以连接到第一VPN客户CPE边缘路由器24a的LAN为目标发送分组信息流。如果采用参照图2所述的现有技术的常规Diffserv网络,连接到CPE边缘路由器24a的边界路由器22a的外来接入链路1就容易因这些信息流的汇聚而崩溃,导致DoS。然而,按照本发明,图3的Diffserv网络21通过将VPN内业务引向边界路由器22a的物理接入链路1上的第一逻辑端口27,并将来自其它VPN或其它站点的业务引向边界路由器22a的物理接入链路1上的第二逻辑端口28,能防止来自VPN外部的站点的DoS攻击。
为了防止来自有关客户团体以外的业务(例如是来自其它VPN或整个因特网的业务)损害到为来自有关客户团体内部的业务(例如是来自同一工商企业中其它主机的业务)提供的QoS,本发明使VPN内业务有比VPN外业务更高的优先权,或是这样来分配接入链路容量,使VPN外业务不能干扰VPN内业务。换句话说,如下文所述,各个边界路由器22将在各自的客户接入链路上的优先权给予源发自客户VPN内部的业务,此处将一个VPN定义为由共享网络基础结构来连接的节点的一个集合,其中的网络资源和/或通信是根据节点集合的成员资格来划分的。按这种方式给予VPN内业务优于VPN外业务的优先权要求网络元件和协议的专门配置,包括采用层2多路复用在VPN内业务与VPN外业务之间的物理接入的划分和路由协议的配置以实现逻辑业务隔离。总之,如下面详细描述的,由CPE边缘路由器、接入网络、基于网络的VPN边界路由器以及边缘和边界路由器中采用的路由协议的配置共同实现预防DoS攻击的高级服务。相比之下,常规的Diffserv和CPE边缘路由器的基于IPsec的Ip VPN方案不能分隔以同一VPN内的站点为目标的业务(即VPN内业务)和从因特网的其它区域发送的业务(即VPN外业务)。
参见图4-8,图3中所示的总体网络结构20可以分为至少两类方案。特别是按照本发明的网络可以被实现为一种基于CPE的VPN方案,如下文参照图4-6所述,或是一种基于网络的VPN方案,如下文参照图7-8所述。
首先参见图4,图中表示的一例网络结构30是采用基于CPE的VPN来抵御DoS攻击。所示的网络结构包括一个Diffserv允许的IP VPN网络44、一个尽力工作(besteffort)IP公共网络46、以及多个客户局域网(LAN)32。客户局域网LAN32各自包括一个或多个主机48,可以作为在网络44和46之一或双方上执行分组通信的发射机和/或接收机。按照图4所示的实施方案是假设客户LAN32a和32b属于同一个有关团体(即VPN),例如是一个工商企业。
各个客户LAN32被各自的CPE边缘路由器34和物理接入琏路35连接到各个接入网络(例如是一个L2接入网络)38。接入网络38a和38b各自具有对Diffserv允许的IPVPN网络44的边界路由器(BR)40的第一L2接入逻辑连接,和对尽力工作IP公共网络46的边界路由器(BR)42的第二L2接入逻辑连接。如图4所示,用不同线型表示VPN内和VPN外业务,VPN-知晓的CPE边缘路由器34a和34b仅仅通过Diffserv允许的IP VPN网络44传递具有属于该IP VPN的IP地址前缀的那些分组,而通过尽力工作IP公共网络46传递所有其他业务。为了增强客户LAN32的安全性,CPE边缘路由器34a和134b通过各自的防火墙36a和36b与尽力工作IP公共网络46往复传送所有业务。
在图4所示的网络结构中,源发自IP VPN外部的DoS攻击被边界路由器40a-40b和42a-42b的配置阻止,以便适当地利用接入网络38a和38b的两个逻辑连接对VPN内业务给予优先权。例如在第一种配置中,给对Diffserv允许的IP VPN网络44的L2接入逻辑连接分配比对尽力工作IP公共网络46的L2接入逻辑连接更高的优先权。支持接入链路35的这种优先化的L2接入网络包括Ethemet(例如是采用Ethemet优先权)、ATM(例如是采用ATM服务类别)和各种帧中继(FR)网络方案。这些方案都是现有技术中公知的技术。按照这种配置,Diffserv允许的IP VPN网络44的各个边界路由器40将分组对其与接入网络38的逻辑连接的传输速率修整(shape)到低于该接入链路传输速率的一个值,以防止对尽力工作IP公共网络46的L2接入逻辑连接的资源缺乏。或者,按照第二种配置,可以单独配置边界路由器40a-40b和42a-42b,将以各个L2接入网络逻辑连接为目标的业务修整到规定的速率,使这些速率的总和小于或等于链接CPE边缘路由器34和接入网络38的物理接入媒介的传输容量。无论是以上哪一种配置,边界路由器40和42都根据分组的DSCP标记来执行调度和优先化,并且修整到分配给该IP VPN业务的接入网络连接的容量。
正如本领域的技术人员所知,选择哪一种配置来实施是设计选择中考虑的问题,因为每个配置都各有优、缺点。例如,按照第一种配置,网络44和46之间在接入网络配置上的配合比较容易。然而,如果接入网络38仅仅实施严格的优先权,则来自Diffserv允许的IP VPN网络44的IP VPN业务就会造成在IP公共网络46上通信的尽力工作业务资源缺乏。第二种配置是通过为每种类型的网络接入(即VPN内和VPN外)分配一部分接入链路容量来解决这一问题。然而,如果边界路由器40和42按照第二种配置来修整业务,网络44和46之一中的未用的接入容量就不能供另一个网络用来接入。也就是说,由于修整是在边界路由器40和42上单独进行的,只可能进行非任务守恒(non-work-conserving)的调度。
参见图5,图中表示了可在图4中所示的网络结构内使用的一种QoS-知晓的CPE边缘路由器34的细节框图。如图所示,CPE边缘路由器34包括许多LAN端口60,为相应的许多客户LAN32提供连接。例如在图5中,LAN端口60a被连接到一个客户LAN32,客户LAN32包括各自被分配有32-位IP地址“a.b.c.d.,”、“a.b.c.e.,”和“a.b.c.f.”的许多主机48。
每个LAN端口还被耦合到到一种转送功能62,该功能在LAN端口60与驻留在一或多个广域网(WAN)物理端口64(图中仅表示了一个)上的一个或多个逻辑端口(LP)66之间转送分组。各自包括一个层-2子接口的LP 66例如可以被实现为一个以太网虚拟LAN(VLAN)、FR数据链路连接标识器(DLCI)、ATM虚拟信道连接(VCC)或运行在一种时分多路复用(TDM)信道上的点对点协议(PPP)/高级数据链路控制(HDLC)。WAN物理端口64采用一个调度器68将来自逻辑端口64的分组多路复用到接入网络38的传输介质上,并利用转送功能70将从接入网络38接收到的分组转送到各个逻辑端口。
若是CPE边缘路由器34的一个LAN端口60从一个客户LAN32接收分组,该分组首先要通过一个分类器80,它参照分类表82确定CPE边缘路由器34应该如何处理各个分组。如图5所示,分类表82可以有许多索引,包括源地址(SA)和目的地址(DA)、源端口(SP)和目的端口(DP)、协议类型(PT)、DSCP、或是来自分组链路、网络或转送层标题的其他字段。根据一个分组对这些索引中一个或多个的值,分类表72获得用来处理该分组的那一CPE边缘路由器34内部的管辖器(policer)(P)、标记器(M)、目的地LP和目的地LP队列(Q)等值。按照本发明的替换实施例,可以用转送功能62代替分类器80执行对目的地-LP和目的地LP队列入口的查找。
如图所示,可以利用一个前缀或范围或是空值(用“-”表示)完全规定或是部分规定分类表82内的表入口值。例如,利用32-位IP地址完全规定LAN32的主机48的SA,利用识别特定IP网络的24-位IP地址前缀规定若干个目的地主机的DA,而许多索引值和一个管辖值是空值。总之,可以对不同分类的分组信息流规定相同的管辖器、标记器和/或修整值,对于Intserv信息流的这些值是从RSVP RESV消息中提取的。例如,分类表82规定了管辖器P1和标记器M1要处理来自任何标记有DSCP“101”的SA的分组和具有标记有DSCP“010”的一个SA“a.b.c.e”的分组。然而,分类表82是通过为VPN内具有DA的业务(即VPN内业务)和地址为因特网内别处的主机的业务(即VPN外业务)规定不同的目的地LP值来区分具有不同分类的信息流。因此,由于IP地址前缀“r.s.t,”“w.x.y,”和“l.m.n”全都与网络32属于同一VPN,与这些DA相匹配的业务通过LP-166a被传送到Diffserv允许的IP VPN网络44上的同一VPN内的其他站点,而所有其他业务通过LP-2 66b被传送到尽力工作IP公共网络46。
可以通过静态配置或通过路由协议动态地确定分组所要转送到的逻辑端口66和LP队列。无论哪种情况,如果一个CPE路由器34为同一目的地IP地址安装有两种路由,则VPN路由都应该比因特网路由优先。可以以多种途径获得这种优先权,包括(1)使用内部网关协议(IGP)(即OSPF和IS-IS)来安装VPN路由,并使用EBGP或静态路由来安装因特网路由,或是(2)使用EBGP来安装VPN路由和因特网路由,对VPN路由给予较高的本地优先权。
在分类之后,按照分类表82所示用管辖器P0、P1和标记器M0、M1、M2对分组执行适当的管辖和标记,然后按照查询表的规定由转送功能62交换到各自的逻辑端口66a或66b。在规定的逻辑端口66内,将分组引向由分类表82规定的LP队列Q0-Q02。LP队列Q0-Q2根据有效缓冲容量或门限执行准入控制,例如随机早期检测(RED)。调度器90然后按照选定的调度算法服务于LP队列Q0-Q2,例如先进先出(FIFO)、优先权、加权循环法(WRR)、加权公平排队(WFQ)或按类别排队(CBQ)。例如,在图示的实施例中,LP-2 66a的调度器90根据与各个LP队列i有关的加权Wi和逻辑端口2的总体WFQ调度器速率r2实施WFQ,从而将业务调整到速率r2。最后,如上所述,用物理WAN端口64的调度器68服务于各种逻辑端口66,用以控制对接入网络38的传输速率。
CPE边缘路由器34在WAN物理端口64上从度入网络38接收分组,然后按照在将其映射到逻辑端口时接入网络38的配置所示利用转送功能70将分组转送到合适的逻辑端口66a或66b。在各个逻辑端口66上,分组通过一个分类器100,它通常会采用上面讨论的同一个索引集合内的一个或多个索引来访问分类表102。在一个典型的实施方案中,分类器100的查找结果比分类器80的结果要简单,因为不需要频繁地管辖和做标记。因此,在本实施例中,分组被转送功能62从逻辑端口66的分类器100直接转送到根据分组的DSCP查找的表中指定的LAN端口60a的特定队列Q0-Q2。如上所述,LAN端口60a的队列Q0-Q2是由实施WFQ并且将分组发送到客户LAN32的调度器102服务的。
参见图6A,图中表示例如可以用在图4的网络结构中作为边界路由器42的没有VPN功能的一种QoS-知晓的边界路由器的细节框图。如图所示,图6A的边界路由器42包括多个物理端口116、由用于输入分组的转送功能112和用于输出分组的调度器114连接到接入网络38的多个逻辑端口110、以及在逻辑端口110和物理端口116之间转送分组的转送功能118。多个物理端口116的实施方案允许对网络核心路由器的容错连接,而连接到接入网络38的多个逻辑端口的实施方案允许用一个逻辑端口(即LP-1 110a)作为Diffserv-允许的逻辑端口和用一个第二逻辑端口(即LP-2110b)作为尽力工作逻辑端口的配置。
这样,对于从接入网络38通过边界路由器42的LP-2 110b到网络核心的业务通信,LP-2 110b的分类器124按照分类表126将所有分组引向标记器M0。标记器M0用DSCP000对在LP-2 110b接收的所有分组重新做标记,从而识别出作为尽力工作业务的分组。反之,LP-1 110a的分类器120利用分类表122将已经在一个可信CPE(例如是由服务提供者管理的CPE边缘路由器34)上接收到DSCP标记的那些输入分组映射到PHY-1 116a上的队列Q0-Q2,这些队列各自关联到不同的QoS级别。由于分组已经由可信CPE进行了多字段分类、标记和修整,边界路由器42不需要对分组重新做标记。然而,如果发送CPE边缘路由器不是一个可信CPE,边界路由器42就仍然需要重新标记和管辖LP-1 110a上接收的分组。
在分类(以及在LP-2 110b接收业务的情况下的标记)之后,转送功能118将业务转送到合适的物理端口116或逻辑端口110。与图5中利用分类器执行全部转送查找的边缘路由器34不同,边界路由器42采用另一种设计方案,其中,由转送功能118按分组的DA访问一个转送表128,从而确定输出端口,在本例中也就是LP-1 110a、LP-2 110b或PHY-1 116a。对于非VPN路由器的情况,由通用IP路由协议(例如是边界网关协议(BGP))或静态配置(例如是24位IP地址前缀“d.e.f.”与LP-2 110b的关系)填写转送表128。另一种实施方案是可以在转送功能62中集中设置IP查找转送功能。图6所示的实施例中假设边界路由器42为网络核心传送的所有业务范围仅仅是针对连接到核心路由器的一个物理端口116。在其他实施例中当然有可能在各个物理端口116上平衡业务负荷。另外,所述设计方案也可以直接扩展到省略核心路由器或是对一个或多个核心路由器采用一个或多个逻辑端口的方案。
对于通过边界路由器42发送到接入网络38的业务,分类器132利用分组的DSCP访问分类表134,以便按照分组的DSCP所指示的QoS将各个分组引向队列Q0-Q-2中一个合适的队列。对于购买了Diffserv允许的逻辑端口110的客户,能够获得理想的QoS,因为原CPE已经用适当的DSCP值管辖和标记了信息流。尽管尽力工作客户能够接收更高质量业务,预防这种单向区别服务需要明显增加分类器的复杂性,并且包括通过路由协议向一个服务提供者网络中的每个边缘路由器分配QoS信息。
参见图6B,图中表示一种QoS-知晓的VPN边界路由器40的细节框图,可供在图4所示的网络结构中提供Diffserv-允许和DoS-保护的VPN服务。如图所示,边界路由器40包括用来连接到Diffserv-允许的IP VPN网络44的核心路由器的多个物理端口226、由用于输入分组的转送功能220和用于输出分组的调度器222连接到一个接入网络38的多个Diffserv-允许的逻辑端口224、以及用来在逻辑端口224和物理端口226之间转送分组的一个转送功能228。
边界路由器40上的各个Diffserv-允许的逻辑端口224各自被用作多个VPN中的一个。例如,Diffserv-允许的逻辑端口LP-A 224a被用作属于VPN A的一个客户站点,它包括具有24位IP地址前缀“a.b.c.”和“a.b.d.”的客户站点。同样,Diffserv-允许的逻辑端口LP-B 224b被用作属于VPN B的一个客户站点,它包括具有24位IP地址前缀“b.c.d”和“b.c.e”的两个客户站点。Diffserv-允许的逻辑端口224不能作为属于尽力工作IP公共网络46的站点,因为这种业务是经由边界路由器42的,如图4所示。
在图6B中还可以看出,边界路由器40中各个面向核心的物理端口226被逻辑划分成实现为逻辑隧道240的多个子接口。正如本领域的技术人员所知,可以利用各种各样的技术来实现隧道,包括IP-over-IP隧道、通用路由包装(Generic RoutingEncapsulatiion)(GRE)隧道、按隧道模式工作的IPsec、一组堆栈的多协议标签交换(MPLS)标签、层2隧道协议(L2TP)或空值隧道。这种隧道与逻辑端口的区别在于多个VPN的路由信息可以按嵌套方式与一个隧道相关联。例如,在IETF RFC2547[E.Rosen等人的“BGP/MPLS VPNs”1999年3月]中所述的边界网关协议(BGP)/MPLS VPNs中,由最高级MPLS标签确定目的地边界路由器,而最低级标签确定目的地VPN。
在操作中,各个Diffserv-允许的逻辑端口224上的分类器230参照各自的分类表232按照分组的DSCP值对从接入网络38通过边界路由器40流向Diffserv允许的IPVPN网络44的网络核心的分组进行分类。如图所示,利用DSCP作为索引来访问分类表232a和232b,为各个分组确定在物理端口PHY-1 226a上的队列Q0-Q2中的一个适当的队列。同样参照分类表254由分类器250对物理端口226所接收的分组进行分类,为一个逻辑端口224上的各个分组确定队列Q0-Q2中的一个适当的队列。在分类(并按照LP-B224b所示做可选的(重新)标记)之后,转送功能228参照各自与一个相应的VPN相联系的VPN转送表234a-234n在逻辑端口224和物理端口226之间交换分组。这样,例如,VPN转送表234a为VPN A提供转送路由,而VPN转送表234b为VPN B提供转送路由。
利用源端口和DA作为索引来访问VPN转送表234。例如在转送表234a所表示的一例网络配置中,用具有24位IP地址前缀“a.b.d.”的DA寻址的VPN A内的业务途经TNL-1 240a,并且在TNL-1 240b接收的业务被引向LP-A 224a。在VPN路由表234b中,可以看到在TNL-2 240b和LP-B 224b之间具有相同的路由。如上所述,可以用静态配置或是利用路由协议动态地填写VPN转送表234。
在转送功能178的处理之后,各个分组按照其DSCP值被指向输出端口队列。例如,标记有与DSCP101有关的QoS类别的分组被安置在Q2,标有与DSCP 010有关的QoS类别的分组被安置在Q1,而标有DSCP 000的业务被安置在Q0。然后由调度器236和252调度从队列Q0-Q2的分组的输出而实现要求的QoS。
参见图7,图中所示的一例网络结构150所提供的基于网络的VPN能够解决DoS攻击问题。在图7中采用相同的标号和业务符号来识别与图4中所示网络结构30的特征相对应的特征。
图7所示的网络结构150和图4的网络结构30一样包括一个Diffserv-允许的IPVPN网络44、一个尽力工作IP公共网络46以及多个客户局域网(LAN)32。如上所述,客户LAN 32a和32b属于同一VPN,且各自包括一个或多个可以作为分组的发射机和/或接收机的主机48。各个客户LAN32由一个CPE边缘路由器34和一个物理接入链路153连接到各自的接入网络(例如是L2或L3接入网络)154。与图4中对QoS和尽力工作业务具有单独的逻辑连接的接入网络38不同,接入网络154仅仅连接到Diffserv-允许的IP VPN网络44的边界路由器156,这种网络对尽力工作IP公共网络46的边界路由器42具有单独的逻辑连接。因此,面向网络44的VPN内业务和面向网络46的VPN外业务都会通过边界路由器156进行路由选择,这样就能有利于在两类业务之间保证任务守恒的调度。然而,其结果是,边界路由器156的复杂性会增大,因为各个边界路由器156必须为各个连接的客户提供单独的转送表以及客户之间可以共享的一个全面的因特网转送表。
参见图8,图中表示一个QoS-知晓的VPN边界路由器的细节框图,其中管辖器、修整器、调度器、逻辑端口接入网络连接以及转送表被配置为在图7所示的网络结构内提供Diffserv-允许的和DoS-保护的VPN服务。如图所示,边界路由器156包括连接到网络核心路由器的多个物理端口176、由用于输入分组的转送功能170和用于输出分组的调度器172连接到接入网络154的多个Diffserv-允许的逻辑端口174以及在逻辑端口174和物理端口176之间转送分组的转送功能178。
由于各个CPE边缘路由器34仅仅经由一单个接入链路通过接入网络154连接到一个边界路由器156,所以各个网络客户站点在边界路由器156上接受一对Diffserv-允许的逻辑端口174的服务,一个用于VPN内业务,一个用于VPN外业务。例如,Diffserv-允许的逻辑端口LP-A1 174a和LP-A2 174服务于属于VPN A的单个客户站点,VPN A包括具有24-位IP地址前缀“a.b.c”和“a.b.d”的至少两个客户站点。在图示的实施例中,LP-A1 174a为跨越Diffserv-允许的IP VPN网络44与属于VPN A的站点相互通信的QoS业务提供接入,而LP-A2 174b为与尽力工作IP公共网络46来往的尽力工作业务提供接入。
如图8进一步所示,边界路由器156中各个面向核心的物理端口176被逻辑划分成实现为逻辑隧道180的多个子接口。正如本领域的技术人员所知,可以采用各种各样的技术来实现隧道,包括IP-over-IP隧道,通用路由包装(GRE)隧道、按隧道模式工作的IPsec、一组堆栈的多协议标签交换(MPLS)标签或空值隧道。这种隧道与逻辑端口的区别在于多个VPN的路由信息可以按嵌套方式与一个隧道相关联。例如,在IETF RFC 2547中所述的边界网关协议(BGP)/MPLS VPNs中,由最高级MPLS标签确定目的地边界路由器,而最低级标签确定目的地VPN。
在操作中,各个Diffserv-允许的逻辑端口174上的分类器182参照各自的分类表190按照分组的DSCP值对从接入网络154通过边界路由器156流向网络核心的分组进行分类。如图所示,利用DSCP作为索引来访问分类表190a和190b,为各个分组确定在物理端口PHY-1 176a上的队列Q0-Q2中的一个适当的队列。同样参照分类表192由分类器198对物理端口176所接收的分组进行分类,为一个逻辑端口174上的各个分组确定队列Q0-Q2中的一个适当的队列。在分类(并如在LP-A2 174b所示进行了可选的(重新)标记)之后,转送功能178参照各自与一个相应的VPN和共享的因特网转送表195相联系的VPN转送表194a-194n在逻辑端口174和物理端口176之间交换分组。例如,转送表194a包含为VPN A提供转送路由的入口,而因特网转送表195包含为规定以LP-A2或TNL-2(即,为因特网接入配置的逻辑接口)作为来源的分组提供转送路由的入口。
利用源端口和DA作为索引访问转送表194。例如,在用转送表194a代表的例示网络配置中,以具有24位IP地址前缀“a.b.d”的DA寻址的VPN内业务途经TNL-1180a,而VPN外(即因特网)业务途经TNL-2 180b(它可以是空值隧道)。转送表194a进一步指示将通过TNL-1 180a接收的VPN内业务引向LP-A1 174a,而通过隧道TNL-2 180b从因特网到达的以具有24位IP地址前缀“a.b.c”的DA寻址的所有其它业务被传送到LP-A2 174b。以边界路由器156上的其它端口为目的地的业务(即具有本地DA的业务)被传送到边界路由器156的其它端口(如LP-x所示)。换句话说,转送表194a中标记有“本地”的入口规定了不同于分配给被分配给边界路由器156上的接口的VPN的那些地址前缀(例如a.b.c/24)。
在转送功能178的处理之后,分组被各自引向对应其DSCP值的输出端口队列。例如,标记有与DSCP 101有关的QoS类别的分组被安置在Q2,标记有与DSCP010有关的QoS类别的分组被安置在Q1,而标记有DSCP000的尽力工作业务被安置在Q0。然后由调度器196从队列D0-Q2中调度输出的分组,以实现要求的QoS。
如上所述,本发明提供了一种改进的网络结构,用于为VPN内业务提供QoS,并保护这种信息流不受源发自VPN外部的DoS攻击。本发明采用基于网络的VPN服务和一种尽力工作因特网服务为选定的信息流提供DoS保护的QoS,用具有适当配置的路由协议的L2接入网络将尽力工作因特网服务连接到一个CPE边缘路由器。处在边缘并且由基于网络的VPN核心来处理的Diffserv标记为选定的信息流提供QoS,同时在逻辑上划分VPN内业务和VPN外业务,以防因源发自客户的VPN外部的业务超过了站点的接入容量对一个VPN网络客户站点形成DoS。若是按照IETF RFC 2998[Y.Bemet等人的“A Framework for Integrated Services Operation overDiffserv Networks”2000年11月]所述采用在CPE边缘路由器和/或QoS-知晓的边界路由器上实施的intserv管辖控制,还能进一步保护源发自客户的VPN内部的业务。
在基于CPE和基于网络的实施方案中可以实现本发明的网络结构。基于CPE的方案便于配置成链接CPE边缘路由器和服务提供者边界路由器的接入网络,并且便于实现提供给VPN站点的QoS,而无需在整个服务提供者网络中实施Diffserv。基于网络的结构能有效地提供允许VPN外业务利用分配给VPN内业务的额外的接入容量的任务守恒的调度。
尽管以上讨论了本发明的各种实施例,应该能够理解它们仅仅是用来举例而并非限制。因此,本发明的范围应该不仅限于上述的实施例,而是应该仅仅受下面的权利要求书及其等效物的限制。例如,尽管本发明是参照其最佳实施例来描述的,在其中是在一个Diffserv网络内部实施基于网络的VPN,还应该能够理解,本发明不仅限于采用Diffserv网络,还可以换成其他基于网络的VPN,按照RFC2547中的指导,它可以利用BGP/MPLS来实施,或是按照RFC2917[K.Muthukrishnan等人的“A Core MPLS IP VPN Architecture”2000年9月]中的指导,利用虚拟路由器来实施。另外,尽管在图3、4和7中表示了从各个CPE边缘路由器利用一个接入链路到一个VPN网络和一个尽力工作网络的连接,应该容易理解,为了冗余,可以用多个接入链路将CPE边缘路由器连接到一个或多个接入网络,为各个VPN的一个或多个边界路由器和尽力工作网络提供逻辑连接。在这种“双重引导”方案中,通过在服务提供者边界路由器中安装静态路由,或是利用路由协议(例如是EBGP)来动态配置服务提供者边界路由器,无论是在主要/备用还是负荷均分结构中都能实现多接入链路。这样做要求CPE边缘路由器实现对VPN和因特网接入地址空间的多个转送表和路由协议的单独的范例。这种CPE边缘路由器的实施类似于图8和有关的章节中所述的方案,对因特网路由仅采用一单个VPN表和一单个表。

Claims (14)

1.一种网络系统,包括:
提供虚拟专用网络(VPN)和尽力工作公共网络的网络基础构造;
所述VPN的第一出口边界路由器和所述尽力工作公共网络的第二出口边界路由器,均被耦合以便与具有接入链路的一个出口接入网络进行通信,属于该VPN的目的地主机耦合到该接入链路;
VPN的第一入口边界路由器和尽力工作公共网络的第二入口边界路由器,其中,所述第一入口边界路由器通过所述VPN仅仅发送从VPN内部的源始发的并且以目的地主机为目标的分组到所述第一出口边界路由器,以及其中,所述第二入口边界路由器通过所述尽力工作公共网络发送从VPN外部的源始发的并且以目的地主机为目标的分组到所述第二二出口边界路由器;
其中,至少所述第一出口边界路由器被配置成利用与在尽力工作公共网络上传送的分组所采用的逻辑连接分开的一个逻辑连接将通过所述VPN接收的并且以所述目的地主机为目标的分组发送到出口接入网络上,从而保护接入链路免受从VPN外部的源始发的拒绝服务攻击。
2.按照权利要求1的网络系统,其中,至少所述VPN是在一个区别服务域内实现的。
3.按照权利要求1的网络系统,进一步包括:
连接到至少所述第一出口边界路由器的出口接入网络;以及
连接到至少第一入口边界路由器的入口接入网络。
4.按照权利要求3的网络系统,其中:
所述入口接入网络被连接到所述第一入口边界路由器和所述第二入口边界路由器之中的每一个;
所述入口接入网络对所述第一和第二入口边界路由器具有分开的逻辑连接来用于客户前提设备(CPE)边缘路由器;以及
所述入口接入网络将源地址和目的地地址均属于该VPN的分组发送给所述第一入口边界路由器,井将其他分组发送给所述第二入口边界路由器。
5.按照权利要求4的网络系统,进一步包括耦合到所述入口接入网络的CPE边缘路由器,其中,所述CPE边缘路由器包括分类器,所述分类器至少部分地根据分组标题中的主机服务标记对至少一些分组进行分类,以便选择路由至所述第一和第二入口边界路由器之一。
6.按照权利要求3的网络系统,其中:
所述出口接入网络被连接到所述第一出口边界路由器和所述第二出口边界路由器之中的每一个;
所述出口接入网络对所述第一和第二出口边界路由器具有分开的逻辑连接来用于客户前提设备(CPE)边缘路由器;以及
所述第一出口边界路由器通过第一个所述逻辑连接将来自VPN的分组发送给所述CPE边缘路由器,并且所述第二出口边界路由器通过第二个所述逻辑连接将来自尽力工作公共网络的分组发送给所述第二入口边界路由器。
7.按照权利要求6的网络系统,其中,所述出口接入网络将高于从所述第二出口边界路由器接收的业务的优先权分配给从所述第一出口边界路由器接收的业务。
8.按照权利要求7的网络系统,其中,所述第一出口边界路由器修整目的地为该目的地主机的业务,以防止目的地为该目的地主机的所述第二出口边界路由器的业务资源缺乏。
9.按照权利要求6的网络系统,其中,所述第一出口边界路由器将去往该目的地主机的业务修整到第一速率,并且所述第二出口边界路由器将去往该目的地主机的业务修整到第二速率,其中,第一和第二速率的总和不大于所述接入链路的传输容量。
10.按照权利要求1的网络系统,其中,所述第一入口路由器包括:
第一和第二逻辑输入接口,分别用来接收去往VPN的业务和去往尽力工作公共网络的业务;
第一和第二逻辑输出接口,分别用于在VPN和尽力工作公共网络上发送业务;以及
一个转送功能,将在所述第一逻辑输入接口上接收的分组交换到所述第一逻辑输出接口,并将在所述第二逻辑输入接口上接收的分组交换到所述第二逻辑输出接口。
11.按照权利要求10的网络系统,其中,所述第一出口路由器包括:
第一和第二逻辑输入接口,分别用来接收来自VPN的业务和来自尽力工作公共网络的业务;
第一逻辑输出接口和第二逻辑输出接口,分别耦合到所述出口接入网络上的分开的第一和第二逻辑连接,其中,所述第一逻辑输出接口利用所述第一逻辑连接发送从VPN接收的业务,而所述第二逻辑输出接口利用所述第二逻辑连接发送从尽力工作公共网络接收的业务;以及
一个转送功能,将在所述第一逻辑输入接口上接收的分组交换到所述第一逻辑输出接口,并将在所述第二逻辑输入接口上接收的分组交换到所述第二逻辑输出接口。
12.按照权利要求11的网络系统,其中,所述第一出口边界路由器包括耦合到各个所述第一和第二逻辑输出接口的一个调度器,将来自所述第一和第二逻辑输出接口的分组发送到所述出口接入网络上,其中,所述调度器将高于来自所述第二逻辑输出接口的业务的优先权给予来自所述第一逻辑输出接口的业务。
13.按照权利要求12的网络系统,其中,所述调度器对来自所述第一和第二逻辑输出接口的输出业务执行任务守恒的调度。
14.按照权利要求11的网络系统,其中,此VPN是多个VPN之一,以及,其中,所述转送功能具有相应的多个VPN转送表和一个用于尽力工作业务的共享的转送表。
CNA02806822XA 2001-03-20 2002-03-20 隔离虚拟专用网络(vpn)和尽力工作业务以抵抗拒绝服务攻击的系统、方法和设备 Pending CN1500329A (zh)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
US27695301P 2001-03-20 2001-03-20
US27695501P 2001-03-20 2001-03-20
US27692301P 2001-03-20 2001-03-20
US60/276,955 2001-03-20
US60/276,923 2001-03-20
US60/276,953 2001-03-20
US2333201A 2001-12-17 2001-12-17
US10/023,332 2001-12-17

Publications (1)

Publication Number Publication Date
CN1500329A true CN1500329A (zh) 2004-05-26

Family

ID=27487202

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA02806822XA Pending CN1500329A (zh) 2001-03-20 2002-03-20 隔离虚拟专用网络(vpn)和尽力工作业务以抵抗拒绝服务攻击的系统、方法和设备

Country Status (7)

Country Link
EP (1) EP1371178A4 (zh)
JP (1) JP2004528756A (zh)
CN (1) CN1500329A (zh)
BR (1) BR0208227A (zh)
CA (1) CA2441544A1 (zh)
MX (1) MXPA03008476A (zh)
WO (1) WO2002076029A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090355B (zh) * 2007-07-24 2010-09-22 杭州华三通信技术有限公司 虚拟专用网隧道的标签交换路径建立方法、系统和设备
CN103401805A (zh) * 2007-03-29 2013-11-20 威盛电子股份有限公司 网络装置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1323522C (zh) * 2003-01-22 2007-06-27 华为技术有限公司 一种确定客户边缘路由器与虚拟专用网络间关系的方法
US7621162B2 (en) * 2003-12-30 2009-11-24 Alcatel Lucent Hierarchical flow-characterizing multiplexor
TWI330964B (en) 2007-01-29 2010-09-21 Via Tech Inc Packet processing method and a network device using the method
CN114600434A (zh) * 2019-10-22 2022-06-07 华为技术有限公司 通过带内信令区分服务的系统和方法
CN117134932A (zh) * 2023-04-06 2023-11-28 荣耀终端有限公司 数据流调度方法和电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5768271A (en) * 1996-04-12 1998-06-16 Alcatel Data Networks Inc. Virtual private network
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5918019A (en) * 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103401805A (zh) * 2007-03-29 2013-11-20 威盛电子股份有限公司 网络装置
CN101090355B (zh) * 2007-07-24 2010-09-22 杭州华三通信技术有限公司 虚拟专用网隧道的标签交换路径建立方法、系统和设备

Also Published As

Publication number Publication date
CA2441544A1 (en) 2002-09-26
MXPA03008476A (es) 2004-06-30
EP1371178A4 (en) 2004-11-10
WO2002076029A1 (en) 2002-09-26
BR0208227A (pt) 2004-03-23
EP1371178A1 (en) 2003-12-17
JP2004528756A (ja) 2004-09-16

Similar Documents

Publication Publication Date Title
CN1502195A (zh) 虚拟专用网络(vpn)知晓的客户前提设备(cpe)边缘路由器
US9009812B2 (en) System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US8543734B2 (en) System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks
USRE43051E1 (en) Enabling a service provider to provide intranet services
Rosen et al. BGP/MPLS IP virtual private networks (VPNs)
EP1408655B1 (en) Method and device for double tagging of data packets
US6438127B1 (en) Process and apparatus for the operation of virtual private networks on a common data packet communication network
US20040223499A1 (en) Communications networks with converged services
US20050265308A1 (en) Selection techniques for logical grouping of VPN tunnels
US20040177157A1 (en) Logical grouping of VPN tunnels
JP2013009406A (ja) インターネットにアクセスする加入者への所望のサービス・ポリシーの提供
CN100518138C (zh) 实现虚拟专用网的方法
CN1500329A (zh) 隔离虚拟专用网络(vpn)和尽力工作业务以抵抗拒绝服务攻击的系统、方法和设备
CN1498368A (zh) 使用虚拟专用网络抵抗IPQoS拒绝服务攻击的系统、方法和设备
AU2002250371A1 (en) System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks
AU2002258570A1 (en) System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
AU2002242345A1 (en) Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
Sresthadatta Multi-protocol label switching: building MPLS based virtual private networks and services for servi ce providers core network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication