-
Die Erfindung betrifft ein Verfahren
und eine Anordnung zur Leitwegbestimmung einer paketorientierten
Kommunikation in einer Netzknoteneinrichtung.
-
Zur Unterstützung einer Datenkommunikation
innerhalb eines lokalen paketorientierten Netzwerks angeordneter
Netzelemente mit einem Kommunikationsdienstanbieter – auch Internet
Service Provider genannt – ist
die Verwendung einer vorbehaltenen Netzknoteneinrichtung – beispielsweise
ein Router oder ein Standard-Gateway – bekannt.
-
Für
einen Zugriff eines innerhalb des lokalen Netzwerks angeordneten
Netzelements auf außerhalb
des lokalen Netzwerks angeordnete Netzelemente – im folgenden 'netzwerk-externe
Netzelemente' genannt – werden
den Sendezugriff initiierende Datenpakete unter Verwendung einer
in den Netzelementen gespeicherten Netzwerkadresse, einem sogenannten
Default-Gateway-Eintrag
an die Netzknoteneinrichtung geleitet. Diese Netzknoteneinrichtung
kommuniziert mit einem das lokale Netzwerk mit übergeordneten Datenkommunikationsnetzwerken verbindenden
Kommunikationsdienstanbieter, beispielsweise einem Internet Service
Provider, abgekürzt
ISP.
-
Die Netzknoteneinrichtung führt i.A.
anhand der gleichfalls über
die Datenpakete übergebenen Zieladresse
des netzwerkexternen Netzelements eine Leitwegbestimmung durch und übergibt
als Ergebnis dieser Leitwegbestimmung die Datenpakete an einen ausgewählten Kommunikationsdienstanbieter.
In den Netzelementen selbst ist diese Leitwegbestimmung nicht beeinflussbar.
Insbesondere ist durch einen Bediener des Netzelements oder durch
eine in diesem Netzelement zur Ausführung gebrachten Applikation
keine Wahlmöglichkeit
eines alternati ven Kommunikationsdienstanbieters oder einer Auswahl aus
unterschiedlichen Kommunikationsdienstanbietern vorgesehen.
-
Bei einer Verwendung von lediglich
innerhalb des lokalen Netzwerks gültigen – 'lokalen' – Adressen ist
für eine
Kommunikation mit netzwerk-externen Netzelementen eine Umsetzung
dieser lokalen Adressen in Adressen mit globaler Gültigkeit
notwendig. Ein entsprechendes Verfahren – in der Fachwelt als Adressumsetzung
bzw. NAPT (Network Adress and Port Translation) bezeichnet – wird üblicherweise durch
die Netzknoteneinrichtung z.B. anhand von Zuordnungstabellen durchgeführt.
-
Unter Anwendung von Verfahren zur
Adressumsetzung ergibt sich der Vorteil, dass mehrere Netzelemente
mit unterschiedlichen, lediglich netzwerk-intern gültigen Netzwerkadressen über eine einzige
der Netzknoteneinrichtung zugewiesene Netzwerkadresse an einer Datenkommunikation
beteiligt sind. Diese Netzwerkadresse wird der Netzknoteneinrichtung üblicherweise
vom Kommunikationsdienstanbieter für die jeweilige Datenkommunikationssitzung
zugewiesen.
-
In dem Dokument RFC 3027 (Request
for Comment) der IETF (Internet Engineering Task Force) werden verschiedene
Applikationen bzw. Kommunikationsprotokolle genannt, bei deren Anwendung
Probleme mit einer Adressumsetzung auftreten. Diese Probleme ergeben
sich großteils
curch die Tatsache, für
auf einem Netzelement des lokalen Netzwerks ablaufende Applikation
beim Versenden von Datenpaketen an Kommunikationspartner außerhalb
des paketorientierten Netzwerks über
die Adressumsetzung die Adresse – üblicherweise die Internet Protocol-Adresse, 'IP-Adresse' – der Netzl:noteneinrichtung
als Ursprungsadresseverwendet wird. Die Adresse des Netzknoteneinrichtung wiederum
wird vom Kommunikationsdienstanbieter zugewiesen. Bei den genannten
Applikaitionen ist jedoch eine 'transparente' Verbindung zum Kommunikationsdienstanbieter
notwendig, d.h. eine Verbindung ohne eine Routerinteraktion mit
einer direkten Adressierung des Netzelements, da gegebe nenfalls auf
höheren
Protokollschichten ausgetauschte Adressen für einen Router üblicherweise
nicht sichtbar sind und nicht umgesetzt werden können, wodurch sich Adressinkonsistenzen
ergeben würden.
-
Unter einer transparenten Verbindung
wird dabei eine Kommunikationssitzung verstanden, bei der beteiligte
Kommunikationspartner ohne Umsetzung der IP-Adresse direkt miteinander
kommunizieren.
-
Ein Aspekt einer derartigen transparenten Verbindung
besteht darin, dass bei einer Kommunikation mit einem netzwerkexternen
Netzelement gegebenenfalls das – gewöhnlich als
sogenannter Client agierende – Netzelement
auch als sog. Server fungieren kann, bzw. Verbindungen zu diesem
Netzelement aufbaubar sind.
-
Wenn das im paketorientierten Netzwerk
angeordnete Netzelement unter Verwendung von Verfahren zur Adressumsetzung
jedoch einen Sendezugriff aufbauen will, ist es außerhalb
dieses Netzwerks 'unsichtbar', d.h. nicht über eine
eindeutige globale Adresse zuordenbar.
-
Zahlreiche Applikationen bzw. deren
zugeordnete Kommunikationsprotokolle auf einer Applikationsschicht
benötigen
zur Kommunikation jedoch eine derartige transparente Verbindung,
so dass diese Applikationen in der obig beschriebenen Anordnung
mit einem lokalen Netzwerk und einem das lokale Netzwerk mit dem
Kommunikationsdienstanbieter verbindenden, eine Adressumsetzung
durchführenden
Router nicht einsetzbar sind.
-
Beispiele für transparente Verbindungen
benötigende
Applikationen sind VoIP-Applikationen ('Voice over Internet Protocol') z.B. mit dem bekannten
Kommunikationsprotokollen H.323 oder Datenaustauschapplikationen
z.B. unter Verwendung des Protokolls 'active ftp' (File Transfer Protocol) usw.
-
Für
einige vorbehaltene Applikationen sind Verfahren unter Verwendung
von in der Netzknoteneinrichtung implementierten applikationsspezifischen Algorithmen
bekannt, die eine Kommunikationsprotokollanalyse auf einer Applikationsschicht
durchführen.
-
Wird durch derartige Algorithmen
ein einer vorbehaltenen Applikation zugehöriges Kommunikationsprotokoll
auf der Ebene der Applikationsschicht in der Netzknoteneinrichtung
detektiert, werden geeignete Maßnahmen
zur vollständigen
Adressumsetzung veranlasst.
-
Ein derartiges Verfahren erfordert
eine ressourcenaufwändige
Rechenleistung in der Netzknoteneinrichtung, welche den Datenaustausch
entsprechend verlangsamt und für
die jede jeweilige Applikation zu implementieren und zu warten ist.
-
Aufgabe der Erfindung ist es, ein
Verfahren anzugeben, durch das eine flexiblere Zuweisung von Kommunikationsdienstanbieterdiensten
ermöglicht wird.
-
Eine Lösung der Aufgabe erfolgt hinsichtlich ihres
Verfahrensaspekts durch ein Verfahren mit den Merkmalen des Patentanspruchs
1 und hinsichtlich ihres Vorrichtungsaspekts durch eine Anordnung
mit den Merkmalen des Patentanspruchs 6.
-
Erfindungsgemäß erfolgt in einer mit einem Netzelement über ein
paketorientiertes Netzwerk verbundenen Netzknoteneinrichtung eine
Bestimmung einer dem Netzelement zugewiesenen Netzwerkadresse sowie
eine Bestimmung eines zum Datenaustausch mit dem Netzelement verwendeten Kommunikationsprotokolls.
-
Die Netzknoteneinrichtung bindet
Netzelemente über
das paketorientierte Netzwerk an mindestens einen externen Kommunikationsdienstanbieter
an. Als Kommunikationsdienstanbieter kommt ein Netzwerkserver oder
auch ein sogenannter Internet Service Provider, abkürzend ISP,
zum Einsatz.
-
Im Falle der Bestimmung einer vorgegebenen,
d.h. einstellbaren Netzwerkadresse und/oder eines vorgegebenen,
ebenfalls einstellbaren Kommunikationsprotokolls wird eine Terminierung
der paketorientierten Kommunikation – vorzugsweise durch eine sogenannte
Proxyeinheit – und/oder
eine Auswahl einer die Netzknoteneinrichtung mit einem netzwerk-externen
Netzelement verbindenden Kommunikationsdienstanbieter durchgeführt.
-
Unter einer Terminierung der paketorientierten
Kommunikation ist ein Verfahren bei der Kommunikation eines ersten
mit einem zweiten Kommunikationspartners über eine 'Stellvertretereinheit' (Proxy) zu verstehen,
bei der die Stellvertretereinheit sowohl gegenüber dem ersten als auch dem
zweiten Kommunikationspartner als Endpunkt der Kommunikation auftritt.
-
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens
ist darin zu sehen, dass die Terminierung der paketorientierten
Kommunikation abhängig
von der Netzwerkadresse des Netzelements und/oder des Kommunikationsprotokolls
der paketorientierten Kommunikation des Netzelements erfolgt.
-
Die Berücksichtigung der Netzwerkadresse des
Netzelements ermöglicht
eine vorteilhafte Privilegierung vorbehaltener Netzelemente, die
eine Kommunikationsverbindung mit einem netzwerk externen Netzelement
aufbauen bzw. unterhalten.
-
Vorteilhaft erfolgt alternativ oder
zusätzlich zur
Berücksichtigung
der Netzwerkadresse des Netzelements eine Berücksichtigung des Kommunikationsprotokolls
der zwischen dem Netzelement und der Netzknoteneinrichtung ausgetauschten
Datenpakete zur Einleitung des Verfahrensschrittes der Terminierung
und/oder zur Auswahl des Kommunikationsdienstanbieters. Mit dieser
Terminierung ist eine Konvertierung in ein anderes Kommunikationsprotokoll
durchführbar.
-
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens
ergibt sich in Verbindung mit einer Anwendung eines Verfahrens für eine applikationsspezifischen
Protokollauswahl im Netzelement. Ein solches Verfahren wurde in
der am gleichen Tag hinterlegten Anmeldung mit dem internen Aktenzeichen 2002E03195DE
und dem Titel 'Verfahren
zur Protokollauswahl für
eine Übermittlung
von Datenpaketen' vorgeschlagen.
Mit Hilfe des vorgeschlagenen Verfahrens wird bei einer paketorientierten
Kommunikation eine Auswahl des Kommunikationsprotokolls abhängig von
der zugehörigen
kommunizierenden Applikation getroffen. In Verbindung mit dem vorgeschlagenen
Verfahren ist unter Anwendung des erfindungsgemäßen Verfahrens eine vorteilhafte
Leitwegbestimmung abhängig
von der kommunizierenden Applikation durchführbar. Damit entfällt eine
bisher durchzuführende
aufwändige
Analyse des Kommunikationsprotokolls auf Applikationsebene, deren
Algorithmus auf die jeweilige Applikation abzustimmen war.
-
Neben der – in Abhängigkeit von der Netzwerkadresse
und des Kommunikationsprotokolls durchgeführten – Terminierung der paketorientierten Kommunikation
ist bei der erfindungsgemäßen Leitwegbestimmung
für die
Kommunikation des Netzelements mit dem netzwerk-externen Netzelement
in vorteilhafter Weise auch eine gemäß den vorgenannten Auswahlkriterien
vorgenommene Auswahl eines Kommunikationsdienstanbieters vorgesehen.
Dies erweist sich insbesondere als vorteilhaft in Fällen, in denen
ein bevorzugter Kommunikationsdienstanbieter für ein spezielles Kommunikationsprotokoll und/oder
für ein
spezielles Netzelement bezüglich Übertragungsrate
oder angebotenen Diensten geeigneter ist als ein anderer.
-
In Verbindung mit dem o.g. Verfahren
für eine
applikationsspezifische Protokollauswahl im Netzelement ist vorteilhaft
eine Zuordnung eines bevorzugten Kommunikationsdienstanbieters zu
einer am Netzelement zur Ausführung
gebrachten Applikation durchführbar.
-
Vorteilhafte Weiterbildungen der
Erfindung sind in den Unteransprüchen
angegeben.
-
Ein Ausführungsbeispiel der Erfindung
wird im folgenden anhand der Zeichnung näher erläutert.
-
Dabei zeigen:
-
1:
Ein Strukturbild zur schematischen Darstellung einer Datenkommunikationsverbindung zwischen
Netzelementen innerhalb eines paketorientierten Netzwerks über eine
Netzknoteneinrichtung mit mehreren Kommunikationsdienstanbietern;
und;
-
2:
Ein Strukturbild zur schematischen Darstellung einer Anordnung von
Leitrechnereinheiten und Netzknoteneinrichtungen zur Verbindung zweier
paketorientierter Netzwerke.
-
In l ist
ein paketorientiertes Netzwerk LAN mit einem ersten, einem zweiten
sowie einem dritten Netzelement PCl,PC2,PC3 dargestellt.
-
Die Netzelemente PC1,PC2,PC3 sind
untereinander sowie mit einer Netzknoteneinrichtung ROU über das
paketorientierte Netzwerk LAN, beispielsweise unter Anwendung eines Übertragungsverfahrens
gemäß dem bekannten
Ethernet-Standard verbunden.
-
Die Netzknoteneinrichtung ROU ist
mit einem ersten, einem zweiten sowie mit einem dritten Kommunikationsdienstanbieter
ISP,ISP2,ISP3 verbunden.
-
Die Netzknoteneinrichtung ROU verfügt über eine
erste Netzwerkschnittstelle IF1 zum Anschluss an das paketorientierte
Netzwerk LAN sowie über eine
die Netzknoteneinrichtung ROU mit dem Kommunikationsdienstanbietern
ISPI,ISP2,ISP3 verbindende zweite Netzwerkschnittstelle IF2. Zwischen der
zweiten Netzwerkschnittstelle IF2 und den Kommunikationsdienstanbietern
ISPI,ISP2,ISP3 ist bedarfsweise eine – nicht dargestellte – Modulier-/Demoduliereinrichtung
angeordnet.
-
Die Netzknoteneinrichtung ROU ist
beispielsweise als Router, oder alternativ auch als Gateway oder
Proxy-Server ausgeführt.
-
Die Kommunikation der Netzelemente PCl,PC2,PC3
erfolgt über
Datenpakete, z.B. in Form sogenannter Ethernet-Rahmen. Ein derartiger
Ethernet-Rahmen besteht aus einem Ethernet-Nachrichtenkopfeintrag,
auch 'Header' genannt, sowie einem Prüfsummenfeld.
Der Ethernet-Nachrichtenkopfeintrag sowie das Prüfsummenfeld eines derartigen
Datenpakets umschließen
ein Datagramm, das im folgenden detaillierter beschrieben wird.
-
Im Falle einer Kommunikation nach
dem sogenannten Internetprotokoll – abkürzend auch IP bezeichnet – enthält der zugehörige Ethernet-Rahmen ein
IP-Datagramm, welches durch einen IP-Nachrichtenkopfeintrag gekennzeichnet
ist. In Abgrenzung zu erweiterten paketorientierten Kommunikationsprotokollen
wird dieses Kommunikationsprotokoll auch mit 'reines' Internetprotokoll bzw. 'Pure IP' bezeichnet.
-
Im Fall einer Kommunikation nach
dem PPPoE-Protokoll (Pointto-Point Protocol over Ethernet) enthält das im
Ethernet-Rahmen
eingekapselte Datagramm ein PPPoE-Datagramm, welches durch einen PPPoE-Nachrichtenkopfeintrag
gekennzeichnet ist. Das PPPoE-Datagramm enthält seinerseits ein Datagramm
nach dem PPP-Protokoll (Point-to-Point Protocol) mit einem entsprechenden
PPP-Nachrichtenkopfeintrag. Das PPPoE-Datagramm enthält des weiteren
einen Nutzdateneintrag – auch 'User Data' genannt – welcher
wiederum ein IP-Datagramm mit oben genannter Struktur enthält.
-
Ein weiteres für eine paketorientierte Kommunikation
verwendbares Kommunikationsprotokoll ist das PPTP (Point-to-Point Tunneling
Protocol). Das PPTP enthält – ähnlich dem
PPPoE-Protokoll – in Datenpaketen
ein PPP-Datagramm und erlaubt eine Tunnelung durch das paketorientiertes
Netzwerk LAN.
-
Die erste Netzwerkschnittstelle IF1
der Netzknoteneinrichtung ROU gibt empfangene Datenpakete an eine Überwachungseinheit
MON weiter. Die Überwachungseinheit
MON gibt von der ersten Netzwerkschnittstelle IF1 empfangene Datenpakete
an eine erste Bearbeitungseinheit NWU1 weiter. Die Überwachungseinheit
MON extrahiert dabei Informationen aus den eintreffenden Datenpaketen
und gibt diese in Form von Steuerinformationen – in der Zeichnung mit einem
strichpunktierten Pfeil dargestellt – an eine Steuereinheit CTR
weiter.
-
Mit Hilfe der von der Überwachungseinheit MON
empfangenen Steuerinformationen führt die Steuereinheit CTR u.a.
eine Steuerung der ersten Bearbeitungseinheit NWUl durch. Die von
der Überwachungseinheit
MON bezogenen Steuerinformationen betreffen insbesondere Informationen
zur Adresse – IP-Adresse – des sendenden
Netzelements PC1,PC2,PC3 und/oder des vom jeweiligen Netzelement
PCl,PC2,PC3 verwendete Kommunikationsprotokoll. Die Steuereinheit
CTR vergleicht die diese Steuerinformationen mit internen Konfigurationsdaten
und steuert dementsprechend die erste Bearbeitungseinheit NWU1.
Die Steuereinheit CTR steuert in analoger Weise – in der Zeichnung durch strichpunktierte
Pfeile dargestellt – eine
zweite Bearbeitungseinheit NWU2 sowie eine dritte Bearbeitungseinheit NWU3.
In der Steuereinheit CTR sind dabei Absender-Adressen und Kommunikationsprotokolle
als 'vorbehalten' vermerkt, in Abhängigkeit
derer eine entsprechende Leitwegbestimmung durchgeführt wird
bzw. ein vorgemerkter Kommunikationsdienstanbieter ISPI,ISP2,ISP3
ausgewählt
wird.
-
Die Netzknoteneinrichtung ROU ist
schließlich über eine
mit der dritten Bearbeitungseinheit NWU3 verbundene zweite Netzwerkschnittstelle NW2
mit einem ersten, zweiten und dritten Kommunikationsdienstanbieter
ISPl,ISP2,ISP3 verbunden.
-
Es werden nun Bearbeitungswege eingeführt, welche
in der Zeichnung mit eingekreisten Ziffern symbolisiert sind. Ein
erster Bearbeitungsweg 1 entspricht einer Zuweisung an
die Wegeführungseinheit
IPR, ein zweiter sowie ein dritter Bearbeitungsweg 2,3 entsprechen
einer direkten Übergabe
an die zweite Bearbeitungseinheit NWU2. Weitere Bearbeitungswege 4, 5, 6, 7, 8, 9, 10 werden
weiter unten erläutert
.
-
Die jeweiligen Bearbeitungswege 1,2,3,4,5,6,7,8,9,10 sind
als symbolische Darstellung einer Datenpaketvermittlung mit ansonsten
verbindungslosen Charakter zu verstehen. Die symbolische Darstellung
dient somit einer bildhaften Erläuterung,
wie die Datenpakete bzw. Datagramme zwischen und in den Bearbeitungseinheiten NWUI,NWU2,NWU3
bearbeitet werden.
-
Die jeweiligen Bearbeitungswege 1,2,3,4,5,6,7,8,9,10 stellen
sich in Folge mehrerer Bedingungen ein und sind somit nicht als
festbestimmte Pfade von Datenpaketen zwischen den einzelnen Funktionseinheiten
der Netzknoteineinrichtung ROU zu verstehen. Bedingungen für den Verlauf der
Bearbeitungswege 1,2,3,4,5,6,7,8,9,10 sind
insbesondere die Adresse des sendenden Netzelements PCl,PC2,PC3
oder ein vom jeweiligen Netzelement PC1,PC2,PC3 verwendetes Kommunikationsprotokoll.
Die Bearbeitungswege 1,2,3 werden von
den Bearbeitungseinheiten NWUI,NWU2,NWU3 unter Berücksichtigung
von Steuerinformationen der Steuereinheit CTR festgelegt.
-
Die Bearbeitungseinheiten NWUI,NWU2,NWU3
sind als funktionelle Komponenten, ggf. Softwarekomponenten, zur
Beschreibung einer Bearbeitung durch die Netzknoteneinrichtung ROU
zu verstehen. Für
eine Realisierung der Netzknoteneinrichtung ist eine physische Ausführung dieser
Bearbeitungseinheiten NWUI,NWU2,NWU3 in dieser aufgeteilten Form
keine notwendige Vorbedingung.
-
Im folgenden wird nun eine Wegeführung der Datenpakete
in Abhängigkeit
von unterschiedlichen Ausgangssituationen beschrieben. Mit der Berücksichtigung
der Adresse des sendenden Netzelements PCl,PC2,PC3 und/oder des
vom jeweiligen Netzelement PC1,PC2,PC3 – bzw. 'Clients' – verwendeten
Kommunikationsprotokolls wird ein client-basiertes Routing einer
Kommunikation der Netzelemente PC1,PC2,PC3 mit einem – nicht
dargestellten – netzwerk-externen
Element über
einen Kommunikationsdienstanbieter ISPI,ISP2,ISP3 ermöglicht.
-
Zunächst wird davon ausgegangen,
dass das erste Netzelement PCl eine Kommunikation zu einer – nicht
dargestellten – netzwer
k externen Einrichtung unter Verwendung des Internet Protokolls 'IP' aufbaut. In Abgrenzung
zu Kommunikationsverbindungen, welche ebenfalls IP verwenden, jedoch auf
einer darunterliegenden Kommunikationsebene weitere Kommunikationsprotokolle
zur Einkapselung der Datenpakete verwenden, wird das vom ersten Netzelement
PC1 zur Kommunikation verwendete Protokoll auch – vgl. oben – mit 'Pure IP' bezeichnet.
-
In der Überwachungseinheit MON wird
ein Kommunikationsprotokoll der an der Netzknoteneinrichtung ROU über die
erste Netzwerkschnittstelle IFl eintreffenden Datenpakete ausgewertet
und in Form von – strichpunktiert
dargestellten – Steuerinformationen
an die Steuereinheit CTR übergeben.
In der Überwachungseinheit
MON wird weiterhin in einem Datenfeld des jeweiligen Datenpakets
die Absenderadresse ausgelesen und als Steuerinformationen an die
Steuereinheit CTR übergeben.
Die in dem Informationsfeld des Datenpakets enthaltene Absenderadresse
entspricht z.B. einer IP-Adresse (Internet Protocol) des sendenden
ersten Netzelements PCl.
-
Unter Verwendung der beiden vorgenannten Informationen
zur Absenderadresse sowie zum verwendeten Kommunikationsprotokoll
legt die erste Bearbeitungseinheit NWUl – gesteuert durch die Steuereinheit
CTR – den
ersten Zuweisungsweg 1 für die weitere Bearbeitung der
Datenpakete in der Netzknoteneinrichtung ROU fest. Die zugehörigen Datenpakete
werden somit an die Wegeführungseinheit IPR übergeben.
Die Wegeführungseinheit
IPR enthält
Funktionalitäten
eines herkömmlichen
Routers.
-
Die Wegeführungseinheit IPR generiert
Datagramme, die anhand der Routingentscheidung eingetragene Zieladressen
aufweisen. Für
eine Darstellung des Routingvorgangs wird angenommen, dass für die Kommunikation
anhand später
erläuterter
Kriterien der erste Kommunikationsdienstanbieter ISP1 ausgewählt wird.
Vom ersten Kommunikationsdienstanbieter ISP1 wird der Netzknoteneinrichtung ROU
eine Adresse zugewiesen. Diese zugewiesene Adresse wird von der
Wegeführungseinheit
IPR für eine
Adressumsetzung der IP-Adresse verwendet. Bei einer derartigen Adressumsetzung
wird der Internetprotokoll-Nachrichtenkopfeintrag
des im Ethernet-Datenpaket enthaltenen IP-Datagramms bearbeitet,
indem ein Eintrag der IP-Adresse in einem Datenfeld des IP-Nachrichtenkopfeintrags
entsprechend geändert
wird. Diese Datagramme werden an die zweite Bearbeitungseinheit
NWU2 übergeben.
-
In der zweiten Bearbeitungseinheit
NWU2 wird unter Berücksichtigung
der von der Steuereinheit CTR enthaltenen Steuerinformationen eine
fallweise Konvertierung der am Eingang der zweiten Bearbeitungseinheit
NWU2 übergebenen
Datagramme in Datenpakete nach dem 'Pure IP'-, dem PPPoE- oder dem PPTP-Protokoll vorgenommen.
Des weiteren wird in der zweiten Bearbeitungseinheit NWU2 eine Verbindungssteuerung
für den
jeweilig ausgewählten
Kommunikationsdienstanbieter ISPI,ISP2,ISP3 vorgenommen. Unter dieser
Verbindungssteuerung wird insbesondere verstanden, dass aufgrund
einer längeren
Kommunikationspause zwischen einem Netzelement PC1,PC2,PC3 und dessen
netzwer k externen – nicht
dargestellten – Kommunikationspartner
eine Datenverbindung – 'Session' – mit dem zur Kommunikation
verwendeten Kommunikationsdienstanbieter getrennt werden kann. Eine
längere
Kommunikationspause wird z.B. durch ein Zeitüberschreitungsereignis – auch 'Timeout' genannt – von der
Steuerungseinheit CTR angezeigt.
-
Im vorliegenden Fall ergeben sich
für die weitere
Wegeführung
und Bearbeitung der Datagramme durch die zweite Netzwerkeinheit
NWU2 mehrere Optionen, wobei genau eine Option aufgrund der Konfiguration
der Steuereinheit CTR zur Bearbeitung der hier beschriebenen Kommunikation des
ersten Netzelements PC1 auf Basis des 'Pure IP'-Protokolls ausgewählt wird. Bei der obigen Beschreibung
der Wegeführungseinheit
IPR wurde eine Kommunikation mit dem ersten Kommunikationsdienstanbieter
ISPl angenommen.
-
Es wird für eine Beschreibung der Optionen davon
ausgegangen, dass der erste Kommunikationsdienstanbieter ISP1 eine
Kommunikation nach dem 'Pure
IP'-Protokoll, der
zweite Kommunikationsdienstanbieter ISP2 eine Kommunikation nach
dem PPTP-Protokoll
und der dritte Kommunikationsdienstanbieter ISP3 eine Kommunikation
nach dem PPPoE-Protokoll anbietet. Eine Auswahl des entsprechenden
Kommunikationsdienstanbieters ISPI,ISP2,ISP3 wird durch die dritte
Bearbeitungseinheit NWU3 unter Verwendung der von der Steuereinheit
CTR erhaltenen Steuerinformationen durchgeführt.
-
Ist durch Konfigurationseinträge in der
Steuereinheit CTR für
die vorliegende Kommunikation eine Auswahl des ersten Kommunikationsdienstanbieters
ISP1 vorgesehen, werden die Datagramme als Datenpakete ohne eine
Konvertierung des Kommunikationsprotokolls durch die zweite Bearbeitungseinheit
NWU2 an den Eingang der dritten Bearbeitungseinheit NWU3 auf dem
Bearbeitungsweg 5 übergeben.
Die dritte Bearbeitungseinheit NWU3 legt den ersten Kommunikationsdienstanbieter
ISP1 als auszuwählenden 'Internet Service
Provider' fest und übergibt – vgl. Bearbeitungsweg 8 – die Datenpakete über die
zweite Netzwerkschnittstelle IF2 an diesen ersten Kommunikationsdienstanbieter.
-
Ist dagegen durch Konfigurationseinträge in der
Steuereinheit CTR für
die vorliegende Kommunikation eine Auswahl des zwei ten bzw. dritten
Kommunikationsdienstanbieters ISP2,ISP3 vorgesehen, werden in der
zweiten Bearbeitungseinheit NWU2 die Datagramme in Datenpakete unter
Verwendung des PPPTP- bzw. PPPoE-Kommunikationsprotokolls eingekapselt
und über
den Bearbeitungsweg 6 bzw. 7 an den Eingang der dritten
Bearbeitungseinheit NWU3 übergeben.
Die dritte Bearbeitungseinheit NWU3 legt den zweiten bzw. den dritten
Kommunikationsdienstanbieter ISP2,ISP3 als auszuwählenden 'Internet Service
Provider' fest und übergibt – vgl. Bearbeitungswege 9 bzw. 10 – die Datenpakete über die zweite
Netzwerkschnittstelle IF2 an den zweiten bzw. dritten Kommunikationsdienstanbieter
ISP2,ISP3.
-
In einer – nicht dargestellten – alternativen Ausführungsform
sind statt einer gemeinsamen, die Netzknoteneinrichtung ROU mit
dem jeweiligen Kommunikationsdienstanbieter ISPI,ISP2,ISP3 verbindenden
zweiten Netzwerkschnittstelle IF2 mehrer, für jeden jeweiligen Kommunikationsdienstanbieter ISPI,ISP2,ISP3
separate – nicht
dargestellte – Netzwerkschnittstellen
vorgesehen.
-
In der vorausgehenden Darstellung
wurde die Übertragung
von Datenpaketen in einer von der ersten Netzwerkschnittstelle IF1
zur zweiten Netzwerkschnittstelle IF2 führenden Richtung beschrieben.
Eine analoge Darstellung der Rückrichtung,
d.h. von der zweiten Netzwerkschnittstelle IF2 zur ersten Netzwerkschnittstelle
IF1, unterbleibt aus Platzgründen.
-
Im folgenden wird nun davon ausgegangen, dass
das zweite Netzelement PC2 eine über
den zweiten Kommunikationsdienstanbieter ISP2 erfolgende Kommunikation
zu einer – nicht
dargestellten – netzwerk-externen
Einrichtung unter Verwendung des PPPoE-Protokolls aufbaut.
-
Vom zweiten Netzelement PC2 gesendete Datenpakete
werden ebenfalls von der Überwachungseinheit
MON ausgewertet und In formationen zur Absenderadresse bzw. zum verwendeten
Kommunikationsprotokoll an die Steuereinheit CTR übergeben.
-
Die Datenpakete gelangen an die erste
Bearbeitungseinheit NWU1, in der Datagramme aus den PPPoE-Datenpaketen
extrahiert werden. Dazu wird die Kommunikationsverbindung terminiert,
d.h. aus den Datenpaketen werden enthaltene Nutz- und Steuerinformationen
ausgelesen und aus den Nutz- und Steuerinformationen Datagramme
erzeugt, die an den Ausgang der ersten Bearbeitungseinheit NWU1
weitergegeben werden.
-
Die Datagramme werden über den
zweiten Bearbeitungsweg 2 direkt, d.h. ohne Übergabe
an die Wegeführungseinheit
IPR an die zweite Bearbeitungseinheit NWU2 übergeben. Dort wird – vgl. oben – je nach
einem durch die Steuereinheit CTR bestimmten Kommunikationsdienstanbieter ISPl;ISP2,ISP3
eine Generierung von Datenpaketen nach dem 'Pure IP'-, PPTP- bzw. PPPoE -Kommunikationsprotokoll
vorgenommen. Im vorliegenden Fall – die Kommunikation erfolgt über den
zweiten Kommunikationsdienstanbieter ISP2, vgl. oben – wird in der
zweiten Bearbeitungseinheit NWU2 eine Konvertierung in das vom zweiten
Kommunikationsdienstanbieter ISP2 unterstützte PPTP-Protokoll vorgenommen
und die so eingekapselten Datenpakete von der zweiten Bearbeitungseinheit
NWU2 über
den Bearbeitungsweg 6 an die dritte Bearbeitungseinheit NWU3 übergeben.
An der dritten Bearbeitungseinheit NWU3 wird schließlich – durch
die Steuerungseinheit CTR gesteuert – mit Wahl des Bearbeitungsweges 9 der
zweite Kommunikationsdienstanbieter ISP2 ausgewählt, an den die Datenpakete über die zweite
Netzwerkschnittstelle IF2 übergeben
werden.
-
Ist durch Konfigurationseinträge in der
Steuereinheit CTR für
das von der zweiten Netzeinrichtung PC2 verwendete PPPoE-Kommunikationsprotokoll
in Verbindung mit der Absenderadresse des zweiten Netzelements eine
transparente Verbindung vorgesehen werden die zugehörigen Datenpakete über den
Bearbeitungsweg 4 direkt an die dritte Bearbeitungseinheit
NWU3 ü bergeben.
Die in der ersten Bearbeitungseinheit an den Datenpaketen vorzunehmenden
Bearbeitungsvorgänge
werden im folgenden beschrieben.
-
Für
die Einrichtung der transparenten Verbindung werden jeweilige – nicht
dargestellte – Netzwerkschnittstellen
des zweiten Netzelements PC2 bzw. der Netzknoteneinrichtung ROU – hier die
erste Netzwerkschnittstelle IFl – eindeutig identifizierende Adressen
berücksichtigt
bzw. modifiziert. Eine derartige, die jeweilige Netzwerkschnittstelle
eindeutig identifizierende Adresse ist als MAC-Adresse (Media Access
Control) bekannt. Die MAC-Adresse ist eine zur weltweit eindeutigen
Identifikation eines Knotens (z.B. Hardware-Adresse einer Netzwerkschnittstelle) dienende
unveränderliche
Hardwareadresse. Dabei wird vor einer Obergabe der neu zusammengesetzten
Datenpakete durch die erste Bearbeitungseinheit NWU1 eine im folgenden
erläuterte Änderung
in den Ursprungsbzw. Ziel-MAC-Adressen vorgenommen.
-
Die Überwachungseinheit MON registriert
Informationen zur Ursprungs-MAC-Adresse der – nicht dargestellten – Netzwerkschnittstelle
des zweiten Netzelements PC2 und zur Ziel-MAC-Adresse der vom zweiten Netzelement
PC2 gesendeten Datenpakete. Die Ziel-MAC-Adresse der Datenpakete
ist zunächst
auf die MAC-Adresse der ersten Netzwerkschnittstelle IF1 eingestellt.
-
Die als Ziel zu verwendende MAC-Adresse des – nicht
dargestellten – netzwerk-externen
Netzelements wird während
des Verbindungsaufbaus zwischen dem zweiten Netzelement PC2 und
des zweiten Kommunikationsdienstanbieters ISP2 an die Netzknoteneinrichtung
ROU gesendet, wobei diese MAC-Adresse - z.B. in der Steuereinheit
CTR – gespeichert
wird.
-
In der ersten Bearbeitungseinheit
NWU1 werden anhand übergebener
Steuerinformationen der Steuereinheit CTR als Ursprungs-MAC-Adresse die
MAC-Adresse der zweiten Netzwerkschnittstelle IF2 und als Ziel-MAC-Adresse
die – vormals
ge speicherte – MAC-Adresse
des – nicht
dargestellten – netzwerk
externen Netzelements in den neu zusammengesetzten Datenpaketen
eingestellt.
-
Für
von dem zweiten Kommunikationsdienstanbieters ISP2 in der Gegenrichtung
gesendeten Datenpakete werden die jeweiligen MAC-Adressen entsprechend
in umgekehrten Sinn umgesetzt.
-
Im Verlauf des Aufbaus der transparenten Verbindung
wird dem zweiten Netzelement PC2 vom zweiten Kommunikationsdienstanbieter
ISP2 eine neue IP-Adresse zugewiesen, mit der die vormals lokal
gültige
IP-Adresse temporär überschrieben
wird.
-
Zur Kontrolle der transparenten Verbindung wird
außerdem
zwischen der externen Einrichtung und der zweiten Netzknoteneinrichtung
PC2 eine sogenannte 'Session
ID' vereinbart,
welche die Datenverbindungsschicht ('Session') der transparenten Verbindung TC eindeutig
kennzeichnet.
-
Zur Kommunikation zwischen dem zweiten Netzelement
PC2 und dem netzwerk-externen Netzelement auf Basis der transparenten
Verbindung wird gleichfalls beispielsweise das PPPoE-Protokoll verwendet,
wobei eine Adressumsetzung seitens der Netzknoteneinrichtung ROU
unterbleibt. Stattdessen wird die beim Verbindungsaufbau – siehe
oben – der transparenten
Verbindung bezogene IP-Adresse des zweiten Netzelements PC2 über die
Netzknoteneinrichtung ROU unverändert
an den zweiten Kommunikationsdienstanbieter ISP2 weitergegeben.
-
Wird der Aufbau der transparenten
Verbindung durch das zweite Netzelement PC2 veranlasst, erfolgt
der Datenaustausch über
einen – nicht
dargestellten – PPPoE-Treiber
im zweiten Netzelement PC2. Die transparente Verbindung erfolgt
bidirektional, d.h. auch Rückpakete
von der externen Einrichtung werden über die Netzknoteneinrichtung
ROU ohne Adressumsetzung bzw. ohne Protokollumwandlung an das zweite
Netzelement PC2 durchgestellt.
-
Die Überwachungseinheit MON detektiert anhand
der PPPoE-Nachrichtenkopfeinträge eine bestehende
transparente Verbindung TC und veranlasst ggf. anhand von vorbehaltenen
Protokollelementen – auch
Verbindungssteuerungselemente genannt – wie beispielsweise einer
Verbindungsabbauanforderung den Abbau der transparenten Verbindung.
Zusätzlich
zu einer dezidierten Verbindungsabbauanforderung durch ein Verbindungssteuerungselement
wird von der Netzknoteneinrichtung auch ein Ereignis ('Timeout') ausgelöst, sobald über einen
vordefinierten Zeitraum kein Austausch von Datenpaketen nach dem
PPPoE-Protokoll erfolgt ist. Die Netzknoteneinrichtung ROU beendet
mit diesem Ereignis die Datenverbindung ('Session') auf Basis der transparenten Verbindung.
-
Im folgenden wird ein Fall beschrieben,
bei der zur Kommunikation des zweiten und des dritten Netzelements
PC2,PC3 ein identischer Kommunikationsdienstanbieter, der dritte
Kommunikationsdienstanbieter ISP3 zugewiesen wird. Das dritte Netzelement
PC3 verwende für
die folgende Beschreibung das Kommunikationsprotokoll PPTP, das
zweite Netzelement verwende wie in den vorausgehenden Ausführungen
für den
nichttransparenten Fall – vgl. Bearbeitungswege 2,6,9 – das Kommunikationsprotokoll
PPPoE.
-
Vom dritten Netzelement PC3 gesendete Datenpakete
werden ebenfalls von der Überwachungseinheit
MON ausgewertet und Informationen zur Absenderadresse bzw. zum verwendeten
Kommunikationsprotokoll an die Steuereinheit CTR übergeben.
-
Die vom dritten Netzelement PC3 gesendeten
Datenpakete gelangen an die erste Bearbeitungseinheit NWU1, in der
Datagramme aus den PPTP-Datenpaketen extrahiert werden. Dazu wird die
Kommunikationsverbindung terminiert, d.h. aus den Datenpaketen werden
enthaltene Nutz- und Steuerinformationen ausgelesen und aus den
Nutz- und Steuerinformationen Datagramme er zeugt, die an den Ausgang
der ersten Bearbeitungseinheit NWU1 weitergegeben werden.
-
Die Datagramme werden über den
dritten Bearbeitungsweg 3 direkt, d.h. ohne Übergabe
an die Wegeführungseinheit
IPR an die zweite Bearbeitungseinheit NWU2 übergeben. Dort wird – vgl. oben – gemäß dem durch
die Steuereinheit CTR bestimmten Kommunikationsdienstanbieter ISP3
eine Generierung von Datenpaketen in das von diesem dritten Kommunikationsdienstanbieter
ISP3 unterstützte PPPoE-Kommunikationsprotokoll
vorgenommen. Die so eingekapselten Datenpakete werden von der zweiten
Bearbeitungseinheit NWU2 über
den siebten Bearbeitungsweg 7 an die dritte Bearbeitungseinheit NWU3 übergeben.
An der dritten Bearbeitungseinheit NWU3 wird schließlich – durch
die Steuerungseinheit CTR gesteuert – mit Wahl des zehnten Bearbeitungsweges 10 der
dritte Kommunikationsdienstanbieter ISP3 ausgewählt, an den die Datenpakete über die
zweite Netzwerkschnittstelle IF2 übergeben werden.
-
Für
das zweite Netzelement PC2 gelten die oben gemachten Ausführungen
zur Wahl der Bearbeitungswege bis zur zweiten Bearbeitungseinheit NWU2.
Hier ergibt sich durch die jetzt auszuführende Konvertierung in Datenpakete
nach dem PPTP-Kommunikationsprotokoll
eine Änderung
dahingehend, dass mit der auszuführenden
Konvertierung in PPTP-Datenpakete eine Übergabe von der zweiten Bearbeitungseinheit
NWU2 an die dritte Bearbeitungseinheit NWU3 auf dem Bearbeitungsweg 7 erfolgt.
-
In der bildlichen Darstellung von 'Bearbeitungswegen' heißt dies,
dass die Kommunikation sowohl des zweiten als auch des dritten Netzelements PC2,PC3 über den
identischen siebten Bearbeitungsweg 7 sowie – über die
dritte Bearbeitungseinheit NWU3, dem zehnten Bearbeitungsweg 10 und die
zweite Netzwerkschnittstelle IF2 – mit Wahl eines identischen
dritten Kommunikationsdienstanbieters ISP3 erfolgt.
-
Auf einer Datenverbindungs- (Session-)
ebene bedeutet dies, dass eine Kommunikation beider Netzelemente
PC2,PC3 über
eine gemeinsame Datenverbindung zum dritten Kommunikationsdienstanbieter
ISP3 erfolgt. Die Kommunikation zwischen der zweiten Netzwerkschnittstelle
IF2 mit dem dritten Kommunikationsdienstanbieter erfolgt dabei über das
PPTP-Kommunikationsprotokoll.
-
Unabhängig von verwendeten Kommunikationsprotokollen
sowie den in der Netzknoteneinrichtung ROU enthaltenen Funktionseinheiten
ist also für die
Funktion dieser Netzknoteneinrichtung zusammenfassend festzustellen:
Die Entscheidung ob eine transparente oder eine terminierte Datenverbindung aufgebaut
wird, zu welchem Kommunikationsdienstanbieter ISPI,ISP2,ISP3 die
Datenverbindung aufgebaut wird und welches Kommunikationsprotokoll
hierbei verwendet wird, erfolgt in der Steuereinheit CTR. Diese
Entscheidung erfolgt auf Basis von Informationen über die
Absender-Adresse (IP-Adresse) sowie des dabei verwendeten Kommunikationsprotokolls
des jeweiligen kommunizierenden Netzelements PC1,PC2,PC3.
-
Im folgenden wird unter weiterer
Bezugnahme auf die Funktionseinheiten der 1 eine Verbindung zweier paketorientierter
Netzwerke unter Anwendung des erfindungsgemäßen Verfahrens erläutert.
-
2 zeigt
das aus 1 bekannte paketorientierte
lokale Netzwerk LAN mit den angeschlossenen Netzelementen PCl,PC2,PC3.
Das lokale Netzwerk LAN ist über
eine sogenannte 'Firewall' FW an ein zweites
paketorientiertes Netzwerk IN – insbesondere
an ein 'öffentliches' Netzwerk wie dem
Internet – angeschlossen.
Eine Firewall stellt üblicherweise
den einzigen Zugang des lokalen Netzwerks LAN zum öffentlichen
Netzwerk IN dar. Zu den Aufgaben der Firewall FW gehört die Verhinderung
eines unberechtigten Zugriff auf das eigene Netzwerk LAN sowie eventuelle
Beschränkungen
von extern nutzbaren Diensten. Die Firewall FW bewirkt in Verbindung mit NAT-Algorithmen
('Network Adress
Translation'), dass
entsprechend den vorgenannten Ausführungen die Netzelemente PCl,PC2,PC3
gegenüber
Anfragen aus dem öffentlichen
Netzwerk IN 'unsichtbar', d.h. nicht durch
Adressierung für
Kommunikationszugriffe zugänglich
sind.
-
Durch die Konzentration des Zugangs
auf eine einzelne Komponente wird eine Gewährleistung der Sicherheit der
mit dem lokalen Netzwerk LAN verbundenen Netzelemente PC1,PC2,PC3
vereinfacht. Ein möglicher
Zugang von Netzelementen auf das öffentliche Netzwerk erfolgt
durch eine Stellvertretereinheit ROU, einem sogenannten Proxy-Server. Die
Stellvertretereinheit ROU führt
zudem klassische Routingfunktionen aus. Bei einem Zugriff eines
Netzelements PC1 auf ein – nicht
dargestelltes – Netzelement
im öffentlichen
Netzwerk IN kommuniziert das Netzelement mit der Stellvertretereinheit
ROU, die nach beiden Seiten als Vermittler auftritt. Auf diese Weise
kommt durch die zwischengeschaltete Stellvertretereinheit ROU keine
direkte 'Verbindung' zwischen beiden
zustande.
-
In einer zwischen der Firewall FW
und der Stellvertretereinheit ROU lokalisierten Zone DMZ – in der
Fachwelt auch 'Demilitarized
Zone' genannt – sind ein
erster und ein zweiter Leitrechner SRVl,SRV2 angeordnet.
-
Der erste Leitrechner SRVl ist beispielsweise als
DNS-Server ('Domain
Name Service') ausgestaltet
und übernimmt
eine wechselseitige Umsetzung kennzeichnender HTTP-Adressen – auch URL
('Uniform Resource
Locator') genannt – in zugehörige IP-Adressen vor.
-
Der zweite Leitrechner SRV2 ist beispielsweise
als Web-Server ausgestaltet, der für das Internet bestimmte Informationen
bereitstellt.
-
Im folgenden sei unter weiterer Bezugnahme auf 2 die Stellvertretereinheit
ROU durch die erfindungsgemäße Netzkno teneinrichtung
ROU ersetzt und die – punktiert
gezeichnete – Firewall
FW durch eine direkte Netzwerkverbindung ersetzt.
-
Mit einem Einsatz der erfindungsgemäßen Netzknoteneinrichtung
ROU ist der Einsatz der – punktiert
gezeichneten – Firewall
FW nicht mehr notwendig, bzw. einige Funktionen der Firewall verlagern
sich auf die entsprechend ausgestaltete Netzknoteneinrichtung ROU.
-
Die Netzknoteneinrichtung ROU ermöglicht für die beiden
Leitrechnern SRVl,SRV2 eine – mit
einer vorher beschriebenen Umsetzung der MAC-Adressen einhergehende – transparente
Verbindung mit – nicht
dargestellten – netzwerk-externen Netzelementen
im öffentlichen
Netzwerk IN. Dadurch sind die beiden Leitrechner SRVI,SRV2 für netzwerk-externe
Netzelementen 'sichtbar', d.h. durch Adressierung
für Kommunikationszugriffe
zugänglich.
-
Die Netzelemente PC1,PC2,PC3 sind
weiterhin unsichtbar, d.h. vor Angriffen durch netzwerk-externe
Netzelementen im öffentlichen
Netzwerk IN geschützt,
da diese infolge einer Adressumsetzung mit den jeweiligen netzwerk-externen
Netzelementen kommunizieren.