DE60117520T2 - Datennetze - Google Patents

Datennetze Download PDF

Info

Publication number
DE60117520T2
DE60117520T2 DE60117520T DE60117520T DE60117520T2 DE 60117520 T2 DE60117520 T2 DE 60117520T2 DE 60117520 T DE60117520 T DE 60117520T DE 60117520 T DE60117520 T DE 60117520T DE 60117520 T2 DE60117520 T2 DE 60117520T2
Authority
DE
Germany
Prior art keywords
node
destination
destination nodes
nodes
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60117520T
Other languages
English (en)
Other versions
DE60117520D1 (de
Inventor
Henry Robert County Antrim GRAY
Sean Mark County Down BOYLE
Brian Jeremy Ipswich CHUTER
Anthony Michael Colchester HALE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
British Telecommunications PLC
Original Assignee
British Telecommunications PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by British Telecommunications PLC filed Critical British Telecommunications PLC
Publication of DE60117520D1 publication Critical patent/DE60117520D1/de
Application granted granted Critical
Publication of DE60117520T2 publication Critical patent/DE60117520T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1019Random or heuristic server selection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/10015Access to distributed or replicated servers, e.g. using brokers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1023Server selection for load balancing based on a hash applied to IP addresses or costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1029Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers using data related to the state of servers by a load balancer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Credit Cards Or The Like (AREA)
  • Superconductors And Manufacturing Methods Therefor (AREA)
  • Surgical Instruments (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf Verfahren, Computerprogramme und Vorrichtungen zum Verarbeiten von Anforderungen für Identifizierungsdaten für einen Zielknoten, um dadurch zu ermöglichen, dass eine Anwenderanforderung bedient wird. Insbesondere, aber nicht ausschließlich, bezieht sich die vorliegende Erfindung auf Verfahren, Computerprogramme und Vorrichtungen zum Verarbeiten einer oder mehrerer Anforderungen, die durch einen Autorisierungs-/Authentisierungsserver für Daten empfangen werden, die ermöglichen, dass zu irgendeinem von mehreren Zielknoten eines virtuellen privaten Datennetzes ein Tunnel aufgebaut wird.
  • Hintergrund
  • In einer typischen Anordnung zur Bereitstellung von Zugriff auf Datennetze verbindet sich der Endanwender eines Client-Endgeräts mit einem Netzzugriffsserver (NAS) eines Zugangsdiensteanbieters, der wiederum mit einem gewählten Knoten eines Datennetzes wie etwa mit einem Inhaltsserver oder mit einem Heimat-Gateway (HG) eines privaten Netzes verbindet. Die Verbindung zwischen dem Client-Endgerät und dem NAS verwendet allgemein das Punkt-zu-Punkt-Protokoll (PPP). Dagegen verwendet die Verbindung zwischen dem NAS und dem gewählten Knoten, die eine Verbindung über ein paketvermitteltes Datennetz wie etwa das Internet ist, allgemein das Internetprotokoll (IP).
  • Dort, wo Zugriff auf ein virtuelles privates Datennetz (VPDN) bereitgestellt wird, verwendet die Verbindung zwischen dem NAS und dem gewählten Knoten außerdem ein Tunnelprotokoll wie etwa das Schicht-Zwei-Weiterleitungsprotokoll (L2F-Protokoll) oder das Schicht-Zwei-Tunnelprotokoll (L2TP-Protokoll). In der VDPN-Terminologie heißt es, dass der NAS zu dem HG des VPDN einen Tunnel über das Datennetz aufbaut. Häufig sind in einem VDPN mehrere HGs vorgesehen, um einen Dienst für größere Anzahlen gleichzeitiger Anwender bereitzustellen. Die Ansammlung mehrerer HGs ist als ein Cluster von HGs bekannt. Wenn der NAS unter Verwendung eines Clusters von HGs Zugriff auf mehrere gleichzeitige Endanwender eines VPDN bereitstellt, baut er typisch mehrere Tunnel zu verschiedenen Gateways des Clusters auf. Dies dient dazu, Lastverteilung und Elastizität bereitzustellen. Im Allgemeinen haben Zugangsanbieter mehrere NAS, so dass sie den Dienst für große Anzahlen gleichzeitiger Endanbieter bereitstellen können.
  • Wenn sich das Client-Endgerät erstmals mit einem NAS verbindet, muss der NAS einige Prüfungen ausführen, bevor er Zugriff auf das VPDN bereitstellen kann. Diese Prüfungen enthalten die Authentisierung des Endanwenders des Client-Endgeräts, die Prüfung der Autorisierung des Endanwenders zur Verwendung der Dienste des Zugangsanbieters und den Aufbau eines geeigneten Mechanismus zur Rechnungslegung an den Endanwender für diese Verwendung. Diese drei Funktionen werden gelegentlich als Authentisierung, Autorisierung und Abrechnung (AAA) beschrieben. Ein Zugang zur Realisierung der AAA-Funktionalität ist das Verbinden der NAS über eine Datenübertragungsstrecke mit einem oder mit mehreren weiteren Servern, der/die die Authentisierungs-, Autorisierungs- und Abrechnungsfunktionen behandelt/behandeln. Das Industrienormprotokoll zur Bereitstellung der AAA-Funktionalität für den Internetzugang und für Internetdiensteanwender ist der Fernauthentisierungs-Einwähl-Anwenderdienst (RADIUS), wobei ein Server, der zu dem Proto koll konform ist, als ein RADIUS-Server bekannt ist. Im Allgemeinen haben Zugangsanbieter viele RADIUS-Server, die mit ihren NAS verbunden sind, um Lastverteilung und Elastizität bereitzustellen. Wo ein Zugangsanbieter mehr als einen RADIUS-Server besitzt, ist es erwünscht, dass sie funktional austauschbar sind, so dass irgendein NAS irgendeinen RADIUS-Server verwenden kann, wobei der bereitgestellte Dienst funktional völlig gleich ist.
  • Das RADIUS-Protokoll wird durch die Internet Engineering Task Force (IETF) gepflegt und ist in RFC 2138 (Basisprotokoll) und in RFC 2139 (Abrechnungserweiterungen) dokumentiert, wobei diese Dokumente hier durch Literaturhinweis eingefügt sind. Änderungen an dem RADIUS-Protokoll sind in dem IETF-Internet-Entwurf draft-ietfradius-v2-06.txt vorgeschlagen worden. Diese drei Dokumente sind von der IETF unter http://ietf.org verfügbar. Ein Verfahren zum Verarbeiten von Zugriffsanforderungen auf eine NAS/RADIUS-Serveranordnung ist in der europäischen Patentveröffentlichung EP-A-1 104 142 beschrieben.
  • Bei einem Endanwender, der sich über einen Zugangsanbieter mit einem VPDN verbinden möchte, hält jeder RADIUS-Server allgemein die IP-Adressen, die den HGs des VPDN entsprechen. Normalerweise erhält der Endanwender eine Telephonnummer, die dem Zugangsanbieter entspricht, sowie einen Anwendernamen und ein Kennwort oder weitere Sicherheitsdaten. Der Endanwender wählt sich unter Verwendung seines Client-Endgeräts bei dem Zugangsanbieter ein, wird mit einem NAS verbunden und liefert daraufhin seinen Anwendernamen und sein Kennwort. Der NAS konsultiert unter Verwendung dieser Informationen einen RADIUS-Server, um den Endanwender zu authentisieren/autorisieren, und baut die notwendigen Ab rechnungsprozeduren auf. Außerdem stellt der RADIUS-Server für den NAS die IP-Adressen der HGs bereit, zu denen ein Tunnel aufzubauen ist. Die Kommunikation zwischen dem NAS und dem RADIUS-Server folgt dem Client/Server-Modell, wobei der NAS eine Anforderung an den RADIUS-Server übergibt, der wiederum eine Antwort liefert.
  • Eine Beschränkung des RADIUS-Protokolls ist, dass es lediglich eine Antwortzeichenfolge von bis zu maximal 253 Zeichen zulässt. Dagegen werden IP-Adressen in der Dezimalpunktschreibweise, z.B. 132.252.13.255, ausgedrückt. In der Praxis gibt dies eine Beschränkung von annähernd 12 bis 16 IP-Adressen, die spezifiziert werden können, ohne auf Kompressionstechniken auszuweichen. Da Gateways zu Datennetzen einschließlich HGs eines VPDN nur eine beschränkte Anzahl gleichzeitiger Anwender (derzeit maximal annähernd 1000 bis 1500 gleichzeitige Anwender) behandeln können, führt diese Beschränkung des RADIUS-Protokolls zu einer Grenze der Anzahl gleichzeitiger Anwender, denen über einen Zugangsanbieter Zugriff auf ein Datennetz wie etwa ein VPDN bereitgestellt werden kann.
  • Darüber hinaus führen die Betriebssysteme, die von momentan kommerziell verfügbaren NAS verwendet werden, wie etwa jene, die von der Cisco Systems, Inc. (TM), und von der Lucent Technologies, Inc. (TM), verfügbar sind, zu einer strengeren Beschränkung dahingehend, dass der NAS von dem RADIUS-Server nur eine Antwortzeichenfolge von bis zu 80 Zeichen annehmen kann, um die HGs eines VPDN zu spezifizieren. In der Praxis heißt das, dass der RADIUS-Server nur etwa 4 IP-Adressen bereitstellen kann, die den HGs eines VPDN entsprechen. Dies beschränkt die Anzahl gleichzeitiger Anwen der des VPDN auf maximal annähernd 6000.
  • Die oben identifizierten Beschränkungen stellen erhebliche Probleme bei der Bereitstellung des Zugriffs auf Datennetze oder bei der Bedienung von Datennetzen wie etwa VPDN, die eine größere Anzahl gleichzeitiger Anwender erfordern, dar. Die vorliegende Erfindung schafft eine Lösung zu diesen Problemen.
  • Colajanni, M., u.a.: "Scheduling Algorithms for Distributed Web Servers", Proceedings of the International Conference on Distributed Computing Systems, USA, Los Alamitos, CA: IEEE, 27. Mai 1997 (1997-05-27), S. 169–176, XP000793033, ISBN: 0-8186-7814-3, beschreibt und vergleicht mehrere verschiedene Verfahren, durch die ein Domänennamenserver in Reaktion auf eine Anforderung zur Bereitstellung einer IP-Adresse, die einer übergebenen URL entspricht, von einer ähnlichen Anforderung zu einer weiteren eine andere IP-Adresse bereitstellt, um die Last effizient zwischen mehreren "Spiegel"-Hostings eines besonderen Betriebsmittels zu verteilen.
  • EP 0 919 912 beschreibt ein Mehrserversystem, in dem eine kleine Untergruppe der Gesamtzahl von Servern in dem Netz dazu verwendet werden, Duplikatkopien der Dateien zu halten, um Sicherungen bereitzustellen. Jeder Client unterhält eine Liste verfügbarer Server, die Duplikatkopien der den Anwender jedes Clients interessierenden Dateien (dessen Interessen als eine Gruppe von Präferenzen für den Anwender gespeichert sind) halten. Wenn sich ein Anwender mit einem solchen Server verbindet, sendet er eine Liste verfügbarer Server, die lokal bei dem Client gespeichert wird. Falls ein Server in der Liste nicht verfügbar ist, versucht der Client, sich mit einem weiteren der Server in der Liste zu verbinden.
  • Zusammenfassung der Erfindung
  • Gemäß einem ersten Aspekt der vorliegenden Erfindung wird ein Verfahren geschaffen, wie es in Anspruch 1 dargelegt ist.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Computerprogramm geschaffen, wie es in Anspruch 14 dargelegt ist.
  • Gemäß einem dritten Aspekt der vorliegenden Erfindung wird ein Server-Computer geschaffen, wie er in Anspruch 16 dargelegt ist.
  • Ein Vorteil der vorliegenden Erfindung ist, dass sie ermöglicht, dass Zugangsanbieter Zugriff auf Datennetze oder einen Dienst für Datennetze wie etwa ein VPDN bereitstellen, die eine größere Anzahl von HGs als herkömmlich möglich umfassen, wodurch Zugriff für eine größere Anzahl gleichzeitiger Endanwender bereitgestellt wird, als es herkömmlich möglich ist.
  • Es folgt nun lediglich beispielhaft eine ausführliche Beschreibung bevorzugter Ausführungsformen der vorliegenden Erfindung, in der:
  • Kurzbeschreibung der Zeichnung
  • 1 eine einfache Anordnung von Datenverarbeitungselementen zur Bereitstellung eines Zugriffs auf ein VPDN für einen Endanwender zeigt;
  • 2 eine allgemeinere Anordnung von Datenverarbeitungselementen zur Bereitstellung eines Zugriffs auf ein VPDN für einen Endan wender zeigt;
  • 3 ein Zeitablaufplan ist, der eine typische Folge von Wechselwirkungen zwischen Datenverarbeitungselementen zeigt, die daran beteiligt sind, eine Datenübertragungsstrecke aufzubauen, um für einen Endanwender Zugriff auf ein VPDN bereitzustellen;
  • 4 eine Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche Anforderungen gemäß einer ersten, einer zweiten und einer dritten Ausführungsform der vorliegenden Erfindung zeigt; und
  • 5 eine Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche Anforderungen gemäß einer vierten, einer fünften und einer sechsten Ausführungsform der vorliegenden Erfindung zeigt.
  • Ausführliche Beschreibung von Ausführungsformen der vorliegenden Erfindung
  • 1 zeigt eine einfache Anordnung von Datenverarbeitungselementen, die für einen Endanwender Zugriff auf ein VPDN bereitstellen. Ein Client-Endgerät 10 ist über eine PPP-Übertragungsstrecke 20 mit einem NAS 30 verbunden. Die physische Übertragungsstrecke wird typisch durch das öffentliche Fernsprechwählnetz (PSTN) mit einem Paar Modems (nicht gezeigt) an jedem Ende der Verbindung bereitgestellt. Alternativ kann die physische Verbindung über eine Verbindung eines diensteintegrierenden digitalen Fernmeldenetzes (ISDN) oder über ein digitales Teilnehmerleitungssystem (DSL) wie etwa über ein asynchrones DSL (ADSL) bereitgestellt werden.
  • Der NAS 30 ist über eine Datenübertragungsstrecke 40 mit einem RADIUS-Server 50 verbunden. Der NAS 30 und der RADIUS-Server 50 kommunizieren typisch unter Verwendung des Anwenderdatagrammprotokolls über das Internetprotokoll (UDP/IP). Dies stellt einen schnellen Dienst zur Übertragung von Verkehr mit hohem Volumen zwischen dem NAS 30 und dem RADIUS-Server 50 bereit. Der RADIUS-Server 50 enthält außerdem eine oder mehrere Datenbanken zum Speichern der IP-Adressen der HGs des VPDN und zum Unterhalten von Daten, die die Verwendung des Dienstes durch den Endanwender betreffen, für Abrechnungs- und andere Zwecke.
  • Bei der Bereitstellung von Zugriff auf ein VPDN baut der NAS 30 unter Verwendung eines Tunnelprotokolls wie etwa L2F oder L2TP über das Internet 70 einen Tunnel 60 zu einem HG 80 des VPDN auf. Der NAS 30 kann unter Verwendung des Tunnels 60 für den Endanwender des Client-Endgeräts 10 Zugriff auf das VPDN bereitstellen. Dort, wo das VPDN so beschaffen ist, dass es seine eigene AAA-Funktionalität bereitstellt, ist das HG 80 in der gleichen Weise wie oben beschrieben über eine Datenübertragungsstrecke 48 mit dem RADIUS-Server 90 verbunden.
  • 2 zeigt eine allgemeinere Anordnung von Datenverarbeitungselementen zur Bereitstellung eines Zugriffs auf ein VPDN für einen Endanwender, wie sie etwa von einem typischen Zugangsanbieter verwendet werden kann. Die Anordnung umfasst eine Zugangsanbieterdomäne 32 und eine VPDN-Domäne 82. Die Zugangsanbieterdomäne 32 umfasst zwei Cluster von NAS 34 und 36, die sich bei zwei Übergabepunkten (PoPs) befinden können. Zugangsanbieter lokalisieren PoPs typisch an verschiedenen geographischen Orten, um einen Dienst für lokale Endanwender bereitzustellen. In der Zugangsanbieterdomäne 32 sind die NAS-Cluster 34 und 36 jeweils unter Verwendung einer UDP wie oben beschrieben über Datenübertragungsstrecken 42 mit zwei RADIUS-Servern 52 und 54 verbunden. Die RADIUS-Server 52 und 54 können sich oder können sich nicht bei den zwei PoPs befinden. Allerdings ist im Allgemeinen jeder NAS des NAS-Clusters 34 und 36 für die Lastverteilung und Elastizität mit jedem RADIUS-Server verbunden. Jeder NAS wählt, wenn er AAA-Dienste anfordert, gemäß einem vorgegebenen Auswahlalgorithmus einen der RADIUS-Server aus.
  • Die VPDN-Domäne 82 umfasst mehrere in einem HG-Cluster 84 angeordnete HGs, die über Datenübertragungsstrecken 44 und 46 mit zwei RADIUS-Servern 92 und 94 verbunden sind. Die RADIUS-Server 92 und 94 stellen in der gleichen Weise, wie die RADIUS-Server 52 und 54 eine AAA-Funktionalität für den Zugangsanbieter bereitstellen, eine AAA-Funktionalität für das VPDN bereit. Irgendeiner der NAS der NAS-Cluster 34 und 36 kann Tunnel wie etwa 62 und 64 zu irgendeinem der HGs des HG-Clusters 84 aufbauen.
  • Ein Endanwender eines Client-Endgeräts (in dieser Figur nicht gezeigt) kann sich mit irgendeinem der NAS der NAS-Cluster 34 und 36 verbinden. Der Zugangsanbieter ordnet typisch jedem NAS-Cluster in einem PoP eine örtliche Telephonnummer zu. Ein Endanwender wählt unter Verwendung seines Client-Endgeräts eine dieser Nummern und wird mit einem der NAS, der aus dem entsprechenden NAS-Cluster gewählt wird, verbunden. Der gewählte NAS authentisiert und prüft durch Konsultation eines der RADIUS-Server 52 und 54 die Autorisierung des Endanwenders. Falls der Endanwender erfolgreich ist, stellt der NAS durch Aufbau eines Tunnels zu einem der aus dem HG-Cluster 84 gewählten HGs einen Zugriff auf das VPDN bereit. Das HG wird durch den NAS aus einer durch den autorisierenden RADIUS-Server bereitgestellten Liste gewählt. Diese Liste enthält die IP-Adressen der entsprechenden aus dem HG-Cluster 84 gewählten HGs. Die IP-Adressen der HGs des VPDN, die dem bestimmten Endanwender entsprechen, sind im Voraus in die Datenbanken der RADIUS-Server 52 und 54 programmiert worden.
  • 3 zeigt eine typische Folge von Wechselwirkungen zwischen den verschiedenen Datenverarbeitungselementen, die an der Bereitstellung eines Zugriffs auf ein VPDN für einen Endanwender beteiligt sind. Obgleich die Folge von Wechselwirkungen selbstverständlich auf andere Anordnungen von Datenverarbeitungselementen wie etwa die oben anhand von 2 beschriebene allgemeinere Anordnung zutrifft, wird die oben anhand von 1 beschriebene einfache Anordnung von Datenverarbeitungselementen angenommen. Die vertikalen Linien repräsentieren in 3 die verschiedenen beteiligten Datenverarbeitungselemente: das Client-Endgerät 10, den NAS 30, den mit dem NAS verbundenen RADIUS-Server 50, das HG 80 und den mit dem HG verbundenen RADIUS-Server 90. Die Querpfeile repräsentieren Anforderungs-Antwort-Transaktionen, die zwischen den verschiedenen Datenverarbeitungselementen stattfinden.
  • In Schritt 100 fordert das Client-Endgerät 10 durch Übergabe einer Nachricht an den NAS 30 den Aufbau einer PPP-Verbindung an. In Schritt 102 antwortet der NAS 30 durch Senden einer Abfrage unter Verwendung des Abfragequittungsaustausch-Authentisierungsprotokolls (CHAP) an das Client-Endgerät 10. Daraufhin gibt der Endanwender Informationen wie etwa seinen Anwendernamen, der einen Anwendernamenteil und einen Domänennamenteil umfasst, und ein Kennwort beim Client-Endgerät 10 an, die in Schritt 104 in Form einer CHAP-Antwort zum NAS 30 weitergeleitet werden. In Schritt 106 übergibt der NAS 30 eine Zugriffsanforderungsnachricht an den RADIUS-Server 50. Die Zugriffsanforderungsnachricht enthält Informationen, die den Endanwender des Client-Endgeräts 10 identifizieren, wie etwa den vollständigen Anwendernamen, den gemeinsamen Domänennamenteil des Anwenders oder alternativ unter Verwendung des Wählnummerinformationsdienstes (DNIS) die Telephonnummer, von der sich das Client-Endgerät eingewählt hat.
  • In Schritt 108 führt der RADIUS-Server 50 in Reaktion auf die Zugriffsanforderungsnachricht unter Verwendung der bereitgestellten Endanwender-Identifizierungsinformationen eine Datenbankabfrage ab, um den Endanwender zu authentisieren, die Autorisierung des Endanwenders zu prüfen und, falls er autorisiert ist, IP-Adressen bereitzustellen, die den HGs des VPDN entsprechen. Die IP-Adressen der HGs des VPDN, die dem bestimmten Endanwender entsprechen, sind zuvor in die Datenbank des RADIUS-Servers 50 programmiert worden. Falls der Endanwender erfolgreich ist, sendet der RADIUS-Server 50 in Schritt 110 eine Zugriffsannahmenachricht an den Zugriffsserver 30. Diese Nachricht enthält die gewählten IP-Adressen der HGs des VPDN, zu denen ein Tunnel aufzubauen ist. Falls der Endanwender erfolglos ist, sendet der RADIUS-Server 50 eine Zugriffszurückweisungsnachricht an den Zugriffsserver 30. Daraufhin kann der Zugriffsserver 30 unter Verwendung anderer Endanwender-Identifizierungsinformationen eine weitere Zugriffsanforderungsnachricht an den RADIUS-Server 50 senden, wobei der Prozess wiederholt werden kann, bis der Zugriff entweder angenommen oder endgültig zurückgewiesen wird.
  • Bei Realisierungen unter Verwendung von NAS, die durch die Cisco Systems, Inc. (TM), bereitgestellt werden, folgt die Authentisierungsfolge einem Dreiphasenmodell. Von dem NAS werden der Reihe nach bis zu drei Zugriffsanforderungsnachrichten an den RADIUS-Server gesendet, um den Endanwender zu authentisieren/autorisieren. Der erste Versuch verwendet den DNIS – d.h. die Einwahltelephonnummer –, um den Anwender zu identifizieren; falls dies fehlschlägt, verwendet der zweite Versuch den Domänenteil des Anwendernamens; falls dies fehlschlägt, verwendet der dritte und letzte Versuch den vollständigen Anwendernamen. Falls der dritte Versuch fehlschlägt, wird der Zugriff verweigert.
  • Unter der Annahme, dass der Endanwender wie oben erwähnt erfolgreich ist, enthält die Zugriffsannahmenachricht die IP-Adressen der HGs des VPDN, zu denen ein Tunnel aufzubauen ist. Wegen der oben erwähnten Beschränkungen an die Länge der durch den RADIUS-Server übertragbaren Zugriffsanforderungsnachricht und an die Länge der akzeptablen Nachrichten zu bestimmten kommerziell verfügbaren NAS kann es sein, dass in der Zugriffsannahmenachricht nur die IP-Adressen einer gewählten Untergruppe der HGs des VPDN bereitgestellt werden. Dagegen werden in Reaktion auf aufeinander folgende Zugriffsanforderungen, wie im Folgenden ausführlicher beschrieben wird, IP-Adressen bereitgestellt, die verschiedenen HGs der gesamten Gruppe der HGs entsprechen.
  • Nachdem der NAS 30 die Zugriffsannahmenachricht empfangen hat, sendet er in Schritt 112 eine Abrechnungsanforderungsnachricht an den RADIUS-Server 50, der in Schritt 114 mit einer Abrechnungsantwortnachricht zur Bestätigung antwortet. Gleichzeitig baut der NAS 30 in Schritt 116 unter Verwendung eines Tunnelprotokolls wie etwa L2F oder L2TP einen Tunnel zu dem HG 80 des VPDN auf, der aus den HG-IP-Adressen gewählt wird, die in der Zugriffsannahmenachricht in Schritt 110 bereitgestellt worden sind. Der NAS 30 verwendet einen Algorithmus, um zu wählen, zu welchem der HGs ein Tunnel aufzubauen ist. In Schritt 118 antwortet das HG 80, d.h. das gewählte HG, dem NAS 30, wobei es den Aufbau des Tunnels bestätigt.
  • In Schritt 120 wiederholt der NAS 30 die ursprünglich in Schritt 100 durch das Client-Endgerät 10 gesendete Anforderung für den Aufbau einer PPP-Verbindung. Dagegen wird die Anforderung in Schritt 120 vom NAS 30 durch den Tunnel an das HG 80 des VPDN übergeben. In Schritt 122 übergibt das HG 80 an den RADIUS-Server 90 des VPDN eine Zugriffsanforderungsnachricht, die seine Datenbank abfragt. Falls der Endanwender erfolgreich ist, übergibt der RADIUS-Server 90 in Schritt 124 an das HG 80 eine Zugriffsannahmenachricht, wobei das HG 80 in Schritt 126 den Aufbau der PPP-Verbindung zum Client-Endgerät 10 durch Übergabe von Informationen, die eine dem Client-Endgerät 10 zugewiesene IP-Adresse enthalten, über den Tunnel und über das Client-Endgerät 10 abschließt. Dies schließt den Aufbau der Datenübertragungsstrecke, um für den Endanwender Zugriff auf das VPDN bereitzustellen, ab.
  • Erste, zweite und dritte Ausführungsform der vorliegenden Erfindung
  • Anhand von 4 werden nun Verfahren zum Auswählen einer Untergruppe der gesamten Gruppe der HGs eines VPDN beschrieben. Obgleich selbstverständlich andere Anordnungen von Datenverarbeitungselementen wie etwa die oben anhand von 2 beschriebenen allgemeineren Anordnungen möglich sind, wird die oben in 1 be schriebene einfache Anordnung der Datenverarbeitungselemente angenommen. Für Veranschaulichungszwecke wird angenommen, dass der HG-Cluster des VPDN sechs HGs umfasst, die durch die Buchstaben A, B, C, D, E und F dargestellt sind, und dass der RADIUS-Server 50 in einer einzelnen Zugriffsannahmenachricht für den NAS 30 nur IP-Adressen bereitstellen kann, die nur vier der HGs des VPDN entsprechen.
  • 4 zeigt eine Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche Anforderungen gemäß einer ersten, zweiten und dritten Ausführungsform der vorliegenden Erfindung. Der RADIUS-Server 50 unterhält für jeden Endanwender oder für jede Gruppe von Endanwendern, für die Zugriff auf das VPDN bereitzustellen ist, eine Ringliste 200. Die Ringliste 200 umfasst als ihre Elemente die IP-Adressen jedes der HGs des VPDN. Die Ringliste 200 hat keine Wiederholungen. Außerdem unterhält der RADIUS-Server 50 für jeden solchen Endanwender oder für jeden solchen Satz von Endanwendern einen Zeiger 202.
  • Gemäß der ersten Ausführungsform der vorliegenden Erfindung wird der Zeiger 202 bei der Initialisierung oder beim Zurücksetzen des RADIUS-Servers 50 so eingestellt, dass er auf ein erstes Element der Liste 200 wie etwa auf das HG A zeigt. Der RADIUS-Server 50 wählt, beginnend mit dem durch den Zeiger 202 angegebenen Element, für jede empfangene erfolgreiche Zugriffsanforderungsnachricht vier aufeinander folgende IP-Adressen aus der Ringliste 200 aus. Diese vier IP-Adressen werden in der Antwort-Zugriffsannahmenachricht an den NAS 30 gesendet. Daraufhin wird der Zeiger 202 auf das nächste darauf folgende Element in der Ringliste 200 eingestellt.
  • Die Tabelle 230 zeigt die IP-Adressen, die in sieben aufeinander folgenden Zugriffsannahmenachrichten bereitgestellt werden. Bei einem Zeiger 202, der anfangs auf das HG A eingestellt ist, stellt die erste Zugriffsannahmenachricht die IP-Adressen für die HGs A, B, C und D bereit, wie sie in Zeile 1 von Tabelle 230 gezeigt sind. Die zweite Zugriffsannahmenachricht stellt die IP-Adressen für die HGs B, C, D und E bereit usw., bis sich der Zyklus bei der siebenten Zugriffsannahmenachricht wiederholt. Somit kann der RADIUS-Server 50 über eine Gruppe von sechs aufeinander folgenden Zugriffsannahme-/Zugriffsannahmetransaktionen für den NAS 30 IP Adressen bereitstellen, die allen sechs HGs des VPDN entsprechen. Darüber hinaus ist die Gewichtung zwischen den sechs HGs gleich, wobei jeder Platz in der Liste der in jeder einzelnen Zugriffsannahmenachricht bereitgestellten IP-Adressen durch die IP-Adresse jedes der HGs genau einmal belegt ist.
  • Falls der RADIUS-Server 50 richtig funktioniert, schafft dieses Verfahren eine gleiche Lastverteilung der HGs A bis F über die Zeit, während es weiter Elastizität sicherstellt, falls eines der HGs nicht funktioniert, indem jede Zugriffsannahmenachricht vier verschiedene HGs bereitstellt, mit denen der NAS 30 einen Tunnel aufbauen kann. Dagegen kann es in einer Situation, in der Probleme mit dem RADIUS-Server 50 auftreten wie etwa unvorhergesehene Fehler, die erfordern, dass der RADIUS-Server periodisch zurückgesetzt wird, vorteilhaft sein, für den NAS 30 IP-Adressen bereitzustellen, die einer zufällig gewählten Untergruppe der gesamten Gruppe von HGs des VPDN entsprechen.
  • Gemäß einer zweiten Ausführungsform der vorliegenden Erfindung, die eine Variante der ersten Ausführungsform ist, wird der Zeiger 202 jedes Mal, wenn eine Zugriffsannahmenachricht umgesetzt worden ist, so eingestellt, dass er zufällig auf eines der Elemente der Ringliste 200 zeigt. Somit werden für jede Zugriffsannahmenachricht aus der Ringliste 200 IP-Adressen bereitgestellt, die vier aufeinander folgenden HGs entsprechen, wobei aber das erste Element zufällig gewählt wird. Somit kann der RADIUS-Server 50 trotz der Möglichkeit, dass er möglicherweise gelegentlich zurückgesetzt werden muss, über eine ausreichend lange Folge von Zugriffsanforderungs-/Zugriffsannahmetransaktionen für den NAS 30 die IP-Adressen aller sechs HGs des VPDN wie oben beschrieben gleichmäßig verteilt bereitstellen.
  • Gemäß einer dritten Ausführungsform der vorliegenden Erfindung, die eine Variante der zweiten Ausführungsform ist, wird der Zeiger 202 wie zuvor beschrieben zufällig angeordnet, dies aber nur unmittelbar nach der Initialisierung oder nach dem Zurücksetzen des RADIUS-Servers 50. Nachdem der Zeiger 202 anfangs zufällig angeordnet worden ist, schreitet er wie oben in Bezug auf die erste Ausführungsform beschrieben aufeinander folgend durch die Ringliste 200 fort. Dieses Verfahren schafft dahingehend einen Kompromiss zwischen den Zielen der ersten und der zweiten Ausführungsform, dass die durch die Notwendigkeit zum Zurücksetzen des RADIUS-Servers 50 verursachten Lastverteilungsprobleme durch das anfangs zufällige Anordnen des Zeigers 202 behandelt werden, während nach Initialisierung oder Zurücksetzen durch den fortschreitenden Zeiger 202 aufeinander folgend über eine solche Liste 200 eine gleichmäßig verteilte Lastverteilung in einem feineren Maßstab erzielt wird.
  • Vierte, fünfte und sechste Ausführungsform
  • Anhand von 5 werden nun Verfahren zum Auswählen einer Untergruppe der gesamten Gruppe von HGs eines VPDN beschrieben. Obgleich selbstverständlich andere Anordnungen der Datenverarbeitungselemente wie etwa die oben anhand von 2 beschriebenen allgemeineren Anordnungen möglich sind, wird wieder die oben anhand von 1 beschriebene einfache Anordnung von Datenverarbeitungselementen angenommen. Für Veranschaulichungszwecke wird wieder angenommen, dass der HG-Cluster des VPDN sechs HGs umfasst, die durch die Buchstaben A, B, C, D, E und F dargestellt sind, und dass der RADIUS-Server 50 in einer einzelnen Zugriffsannahmenachricht für den NAS 30 nur IP-Adressen bereitstellen kann, die nur vier der HGs des VPDN entsprechen.
  • 5 zeigt eine Listenstruktur und eine Gruppe aufeinander folgender Antworten auf ähnliche Anforderungen gemäß der vierten, fünften und sechsten Ausführungsform der vorliegenden Erfindung, die jeweils Varianten der oben beschriebenen ersten, zweiten und dritten Ausführungsform sind. Wie zuvor unterhält der RADIUS-Server 50 für jeden Endanwender oder für jede Gruppe von Endanwendern, für die Zugriff auf das VPDN bereitgestellt werden soll, eine Ringliste 220. Wie zuvor umfasst die Ringliste 220 die IP-Adressen jedes der HGs des VPDN als ihre Elemente. Allerdings hat die Ringliste 220 anders als die Ringliste 200 Wiederholungen – z.B. erscheinen die HGs A und B beide zweimal. Außerdem unterhält der RADIUS-Server 50 für jeden Endanwender oder für jede Gruppe von Endanwendern einen Zeiger 222. Die Funktion des Zeigers 222 für die vierte, fünfte und sechste Ausführungsform ist wie bei dem oben gemäß der ersten, zweiten und dritten Ausführungsform in dieser Reihenfolge be schriebenen Zeiger 202. Allerdings erzeugt die Anwesenheit von Wiederholungen in der Ringliste 220 eine Gewichtung der in einer Reihe von Zugriffsannahmenachrichten gelieferten IP-Adressen der HGs. Dies ist nützlich, falls einige HGs eines VPDN gegenüber anderen bevorzugt werden sollen, falls z.B. einige HGs größere Anzahlen gleichzeitiger Endanwender als andere behandeln können. Darüber hinaus ist die Ringliste 220 so gewählt worden, dass trotz der Wiederholungen irgendeine Auswahl von vier aufeinander folgenden Elementen der Liste vier verschiedene HGs enthält. Somit gibt es, wenn der RADIUS-Server 50 die IP-Adressen von vier aufeinander folgenden Elementen der Ringliste an den NAS 30 sendet, vier verschiedene IP-Adressen, die vier verschiedenen HGs für den NAS 30 entsprechen, um daraus ohne verschwenderische Wiederholungen zu wählen.
  • Die Tabelle 230 zeigt die IP-Adressen, die gemäß der vierten Ausführungsform der vorliegenden Erfindung in sieben aufeinander folgenden Zugriffsannahmenachrichten bereitgestellt werden. Wenn der Zeiger 222 anfangs auf das HG A eingestellt ist, liefert die erste Zugriffsannahmenachricht, wie in Zeile 1 von Tabelle 230 gezeigt ist, die IP-Adressen für die HGs A, B, C und D. Die zweite Zugriffsannahmenachricht liefert die IP-Adressen für die HGs B, C, D und A usw., bis sich der Zyklus bei der neunten Zugriffsannahmenachricht wiederholt. Somit kann der RADIUS-Server 50 über eine Gruppe von acht aufeinander folgenden Zugriffsannahme-/Zugriffsannahmetransaktionen IP-Adressen für den NAS 30 bereitstellen, die allen sechs HGs des VPDN entsprechen. Dagegen ist die Gewichtung zwischen den sechs HGs nicht gleichmäßig, wobei die HGs A und B zweimal so häufig wie die HGs C, D, E und F vorkommen.
  • Da der Zeiger 222 in der vierten, fünften und sechsten Ausfüh rungsform die gleiche Funktion wie der Zeiger 202 in der ersten, zweiten und dritten Ausführungsform ausführt, ist die vierte Ausführungsform wie oben beschrieben anfällig für einen Ausfall des RADIUS-Servers 50. Dagegen behandeln die fünfte und die sechste Ausführungsform ebenso wie die zweite und die dritte Ausführungsform die Möglichkeit des RADIUS-Server-Ausfalls, nur dass die Gewichtung zwischen den HGs über eine ausreichend lange Folge von Zugriffsanforderungs-/Zugriffsannahmetransaktionen nicht gleichmäßig ist, wobei die HGs A und B zweimal so häufig wie die HGs C, D, E und F vorkommen.
  • Selbstverständlich sind Abwandlungen der oben beschriebenen Ausführungsformen der vorliegenden Erfindung möglich, in denen die Ringlistenstruktur einige oder alle der HGs des VPDN mit einer oder mit mehreren Wiederholungen einiger oder aller Elemente, die in irgendeiner Reihenfolge angeordnet sind, umfasst. Selbstverständlich können in jeder Zugriffsannahmenachricht eines oder mehrere Elemente der Ringliste übergeben werden und selbstverständlich können die Elemente dort, wo mehr als ein Element übergeben wird, aufeinander folgend von dem Zeiger oder gemäß einer alternativen Vorschrift gewählt werden.
  • Selbstverständlich können zur Realisierung der vorliegenden Erfindung andere Datenstrukturen als Ringlisten wie etwa lineare Listen, hierarchische Strukturen und vernetzte Strukturen verwendet werden.
  • Selbstverständlich sind außerdem Abwandlungen der oben beschriebenen Ausführungsformen möglich, in denen das HG nicht direkt mit einem VPDN, sondern mit einem NAS eines weiteren Diensteanbie ters verbunden ist. Die Funktion des weiteren NAS kann es sein, die Anwender mit einem VPDN oder mit dem Internet zu verbinden.
  • Selbstverständlich können ein NAS- und ein RADIUS-Server der vorliegenden Erfindung in derselben Datenverarbeitungsvorrichtung realisiert sein und können einer oder mehrere RADIUS-Server durch einen oder mehrere Server, die äquivalente Funktionen ausführen, wie etwa durch Server, die zu dem DIAMETER-Protokoll oder zu dem Gemeinsame-offene-Richtlinie-Dienstprotokoll (COPS) der IETF konform sind, ersetzt sein. Das DIAMETER-System und die DIAMETER-Architektur sind in draft-calhoun-diameter-framework-05.txt definiert, während das Basisprotokoll in draft-calhoun-diameter-12.txt definiert ist. Das COPS-System und die COPS-Architektur sind in draft-ietf-rap-framework-03.txt definiert, während das Basisprotokoll in draft-ietf-rap-cops-08.txt definiert ist. Alle vier Dokumente sind von der IETF unter http://ietf.org verfügbar. Ähnlich kann ein NAS durch einen oder mehrere Server ersetzt werden, der/die ähnliche Funktionen wie etwa ein Proxy-Server, eine Firewall oder ein Umleitungsserver ausführt/ausführen.
  • Die Verfahren gemäß der Erfindung werden typisch durch geeignet programmierte Ausrüstung ausgeführt. Die Ausrüstung wird typisch dadurch programmiert, dass das relevante Programm oder die relevanten Programme in den Speicher der Ausrüstung geladen werden. Das Programm bzw. die Programme werden typisch auf einem geeigneten Datenträger wie etwa auf einem optisch lesbaren Speicher (z.B. einer CDROM, einer DVD, einer Minidisc usw.) oder auf einem magnetisch lesbaren Speicher (z.B. auf einem Band, auf einer Diskette, auf einer Festplatte usw.) oder auf einem optischen Träger oder Funkfrequenzträger (über eine Glasfaserverbindung oder über eine Funkübertragungsstrecke) oder als ein elektrisches Signal über eine verdrahtete Datenübertragungsstrecke geliefert. Wo dies zulässig ist, wird Schutz für das eine oder die mehreren Programme und/oder für das eine oder die mehreren Programme auf einem geeigneten (z.B. computerlesbaren) Datenträger begehrt.

Claims (16)

  1. Verfahren zum Verarbeiten von Anforderungen (106) von Identifizierungsdaten für einen Zielknoten (84) von einem ersten Knoten (34, 36) eines Datennetzes (32), die bei einem zweiten Knoten (52, 54) des Datennetzes empfangen werden, wobei der erste Knoten (34, 36) Anwenderanforderungen (100) verarbeitet und der zweite Knoten (52, 54) auf einen Datenspeicher zugreifen kann, in dem Zielknoten-Identifizierungsdaten für eine Gruppe (84) mehrerer Zielknoten gespeichert sind, wobei jeder Zielknoten der Gruppe von dem ersten Knoten (34, 36) austauschbar verwendet werden kann, um eine Anwenderanforderung (100) zu bedienen, wobei das Verfahren die folgenden Schritte umfasst: a) Empfangen mehrerer ähnlicher Anforderungen (106) von dem ersten Knoten bei dem zweiten Knoten (52, 54), wobei jede der ähnlichen Anforderungen (106) mit der Gruppe (84) von Zielknoten in Beziehung steht; gekennzeichnet durch b) in Reaktion auf eine erste ähnliche Anforderung (106) Auswählen einer ersten Untergruppe der Gruppe (84) von Zielknoten und Senden von Daten, die die erste Untergruppe von Zielknoten identifizieren, zu dem ersten Knoten (34, 36), wobei die erste Untergruppe von Zielknoten mehr als einen, jedoch weniger als alle Zielknoten in der Gruppe (84) von Zielknoten enthält; und c) in Reaktion auf eine zweite ähnliche Anforderung (106) Auswählen einer zweiten Untermenge der Gruppe (84) von Zielknoten und Senden von Daten, die die zweite Untergruppe von Zielknoten identifizieren, zu dem ersten Knoten (34, 36), wobei die zweite Untergruppe ebenfalls mehr als einen, jedoch weniger als alle Zielknoten der Gruppe (84) von Zielknoten enthält und wobei die zweite Untergruppe von Zielknoten wenigstens einen Zielknoten enthält, der nicht in der ersten Untergruppe von Zielknoten enthalten ist.
  2. Verfahren nach Anspruch 1, bei dem die mehreren Zielknoten jeder Untergruppe so gewählt werden, dass die in Reaktion auf die mehreren ähnlichen Anforderungen (106) zu dem ersten Knoten (34, 36) gesendeten Daten bestrebt sind, das Auftreten jedes der Zielknoten der Gruppe (84) in Übereinstimmung mit einer vorgegebenen Gewichtung zu verteilen.
  3. Verfahren nach Anspruch 2, bei dem die Zielknoten jeder Untergruppe so gewählt werden, dass die in Reaktion auf die mehreren ähnlichen Anforderungen (106) zu dem ersten Knoten gesendeten Daten bestrebt sind, das Auftreten jedes der Zielknoten der Menge im Wesentlichen gleichmäßig auf die mehreren Zielknoten zu verteilen.
  4. Verfahren nach Anspruch 2, bei dem die Zielknoten jeder Untergruppe so gewählt werden, dass die in Reaktion auf die mehreren ähnlichen Anforderungen (106) zu dem ersten Knoten (34, 36) gesendeten Daten bestrebt sind, das Auftreten jedes der Zielknoten der Gruppe (84) so zu verteilen, dass das Auftreten eines oder mehrerer der Zielknoten in der Verteilung (84) gegenüber anderen der Zielknoten begünstigt ist.
  5. Verfahren nach einem vorhergehenden Anspruch, bei dem die mehreren ähnlichen Anforderungen (106) nacheinander bei den zweiten Knoten (52, 54) empfangen werden und für jede Anforderung (106) der erste der mehreren ausgewählten Zielknoten jeder Unterguppe in Übereinstimmung mit einer vorgegebenen Folge ausgewählt wird.
  6. Verfahren nach einem der Ansprüche 1 bis 4, bei dem die mehreren ähnlichen Anforderungen (106) bei dem zweiten Knoten (52, 54) nacheinander empfangen werden und für jede Anforderung (106) der erste der mehreren ausgewählten Zielknoten jeder Untergruppe in Übereinstimmung mit einer Zufallsfolge ausgewählt wird.
  7. Verfahren nach Anspruch 5, bei dem die vorgegebene Folge wiederholte Elemente enthält.
  8. Verfahren nach Anspruch 5, bei dem die vorgegebene Folge keine wiederholten Elemente enthält.
  9. Verfahren nach einem vorhergehenden Anspruch, bei dem der erste Knoten (34, 36) einen Netzzugriffsserver (34, 36) umfasst.
  10. Verfahren nach einem vorhergehenden Anspruch, bei dem der zweite Knoten (52, 54) einen Authentisierungs- oder Autorisierungsserver (52, 54) umfasst.
  11. Verfahren nach einem vorhergehenden Anspruch, bei dem die Zielknoten-Identifizierungsdaten für einen bestimmten Zielknoten eine Netzadresse des Zielknotens enthalten.
  12. Verfahren nach einem vorhergehenden Anspruch, bei dem die Gruppe (84) mehrerer Zielknoten ein Heimat-Gateway oder ein Hei mat-Gateway-Cluster (84) eines virtuellen privaten Datennetzes (82) ist.
  13. Verfahren nach Anspruch 12, bei dem die Zielknoten-Identifizierungsdaten den ersten Knoten (34, 36) freigeben, damit er einen Datenpaket-Tunnel (60, 62, 64) zu einem Heimat-Gateway (84) des virtuellen privaten Datennetzes (82) herstellt.
  14. Computerprogramm zum Ausführen des Verfahrens nach einem vorhergehenden Anspruch.
  15. Datenträgermedium, das das Computerprogramm nach Anspruch 14, trägt.
  16. Server-Computer (52, 54) zum Verarbeiten von Anforderungen (106) von Identifizierungsdaten für einen Zielknoten (84), die von einem ersten Knoten (34, 36) eines Datennetzes (32) durch den Server-Computer (52, 54) empfangen werden, der einen zweiten Knoten (52, 54) des Datennetzes (32) bildet, wobei der erste Knoten (34, 36) Anwenderanforderungen (100) verarbeitet und wobei der Server-Computer (52, 54) Zugriff auf einen Datenspeicher hat, in dem Zielknoten-Identifizierungsdaten für eine Gruppe (84) von mehreren Zielknoten gespeichert sind, wobei jeder Zielknoten der Gruppe von dem ersten Knoten (34, 36) austauschbar verwendet werden kann, um eine Anwenderanforderung (100) zu bedienen, wobei der Server-Computer umfasst: a) Empfangsmittel, die mehrere ähnliche Anforderungen (106) von dem ersten Knoten empfangen, die jeweils mit der Gruppe (84) von Zielknoten in Beziehung stehen; gekennzeichnet durch b) Verarbeitungs- und Sendemittel, die in Reaktion auf eine erste ähnliche Anforderung (106) eine erste Untergruppe der Gruppe (84) von Zielknoten wählen und Daten, die die erste Untergruppe von Zielknoten identifizieren, zu dem ersten Knoten (34, 36) senden, wobei die erste Untergruppe von Zielknoten mehr als einen, jedoch weniger als alle Zielknoten in der Gruppe (84) von Zielknoten enthält, und die in Reaktion auf eine zweite ähnliche Anforderung (106) eine zweite Untergruppe der Gruppe (84) von Zielknoten auswählen und Daten, die die zweite Untergruppe von Zielknoten identifizieren, zu dem ersten Knoten (34, 36) senden, wobei die zweite Untergruppe ebenfalls mehr als einen, jedoch weniger als alle Zielknoten in der Gruppe (84) von Zielknoten enthält, und wobei die zweite Untergruppe von Zielknoten wenigstens einen Zielknoten enthält, der nicht in der ersten Untergruppe von Zielknoten enthalten ist.
DE60117520T 2000-03-30 2001-03-29 Datennetze Expired - Lifetime DE60117520T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP00302641 2000-03-30
EP00302641 2000-03-30
PCT/GB2001/001418 WO2001076186A1 (en) 2000-03-30 2001-03-29 Data networks

Publications (2)

Publication Number Publication Date
DE60117520D1 DE60117520D1 (de) 2006-04-27
DE60117520T2 true DE60117520T2 (de) 2006-09-28

Family

ID=8172840

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60117520T Expired - Lifetime DE60117520T2 (de) 2000-03-30 2001-03-29 Datennetze

Country Status (7)

Country Link
US (1) US20040030800A1 (de)
EP (1) EP1269713B1 (de)
AT (1) ATE319255T1 (de)
AU (1) AU2001244336A1 (de)
CA (1) CA2404910C (de)
DE (1) DE60117520T2 (de)
WO (1) WO2001076186A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1104133A1 (de) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Netzzugangsanordnung
US6643357B2 (en) * 2000-12-14 2003-11-04 Nortel Networks Limited Distributed redirect server
SE0104344D0 (sv) * 2001-12-20 2001-12-20 Au System Ab Publ System och förfarande
JP2003330969A (ja) * 2002-05-16 2003-11-21 Sony Corp 情報管理システム、情報処理装置、情報処理方法、情報処理プログラム、及び記憶媒体
US7681007B2 (en) * 2004-04-15 2010-03-16 Broadcom Corporation Automatic expansion of hard disk drive capacity in a storage device
US20050235063A1 (en) * 2004-04-15 2005-10-20 Wilson Christopher S Automatic discovery of a networked device
US20050235364A1 (en) * 2004-04-15 2005-10-20 Wilson Christopher S Authentication mechanism permitting access to data stored in a data processing device
US20050231849A1 (en) * 2004-04-15 2005-10-20 Viresh Rustagi Graphical user interface for hard disk drive management in a data storage system
US7930413B2 (en) * 2004-09-03 2011-04-19 Wizard Tower Techno Services Ltd. System and method for controlling access to a network resource
US20060248252A1 (en) * 2005-04-27 2006-11-02 Kharwa Bhupesh D Automatic detection of data storage functionality within a docking station
DE102005044817A1 (de) * 2005-09-20 2007-03-22 Sanofi-Aventis Deutschland Gmbh Substituierte 4-Phenyltetrahydroisochinoline, Verfahren zu ihrer Herstellung, ihre Verwendung als Medikament, sowie sie enthaltendes Medikament
WO2007033519A1 (fr) * 2005-09-20 2007-03-29 Zte Corporation Procede permettant la mise a jour d'un reseau de communication prive virtuel dynamiquement
KR101319491B1 (ko) 2006-09-21 2013-10-17 삼성전자주식회사 도메인 정보를 설정하기 위한 장치 및 방법
CN102710873A (zh) * 2012-06-21 2012-10-03 浙江贝特电子科技有限公司 基于cdma2000网络vpdn视频监控系统及方法
CN112835655B (zh) * 2021-02-26 2024-05-10 深圳市晨北科技有限公司 数据透明传输方法、系统、传输终端和存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6424992B2 (en) * 1996-12-23 2002-07-23 International Business Machines Corporation Affinity-based router and routing method
CA2206616A1 (en) * 1997-05-30 1998-11-30 Robert Hugh Holt Centralized call control in a data access transport service
US6151628A (en) * 1997-07-03 2000-11-21 3Com Corporation Network access methods, including direct wireless to internet access
US6070191A (en) * 1997-10-17 2000-05-30 Lucent Technologies Inc. Data distribution techniques for load-balanced fault-tolerant web access
JP3581779B2 (ja) * 1997-11-28 2004-10-27 株式会社日立製作所 マルチサーバワークフローシステム
US6212561B1 (en) * 1998-10-08 2001-04-03 Cisco Technology, Inc. Forced sequential access to specified domains in a computer network
US6430619B1 (en) * 1999-05-06 2002-08-06 Cisco Technology, Inc. Virtual private data network session count limitation

Also Published As

Publication number Publication date
US20040030800A1 (en) 2004-02-12
DE60117520D1 (de) 2006-04-27
ATE319255T1 (de) 2006-03-15
WO2001076186A1 (en) 2001-10-11
EP1269713B1 (de) 2006-03-01
AU2001244336A1 (en) 2001-10-15
EP1269713A1 (de) 2003-01-02
CA2404910A1 (en) 2001-10-11
CA2404910C (en) 2009-10-13

Similar Documents

Publication Publication Date Title
DE69732982T2 (de) Automatische konfigurierung eines internetzugriffsgeräts
DE60117520T2 (de) Datennetze
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60219133T2 (de) Besucherportal zur Unterstützung von Datenkommunikation von umherstreifenden mobilen Endgeräten
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
EP1316230B1 (de) Generische wlan-architektur
DE60203099T2 (de) Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
DE60207984T2 (de) Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung
DE60320028T2 (de) Single Sign-On (SSO) für Benutzer von Paketfunknetz-Roaming in einem Multinationalen Betreibernetz
EP1749367B1 (de) Verfahren und system für content-basiertes billing in ip-netzwerken
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE69838769T2 (de) System und Verfahren zum anonymen, personalisierten Browsen in einem Netzwerk
EP1529374A1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
DE10048487A1 (de) Verfahren zum Anschluß von Datenendeinrichtungen an ein Datennetz
DE102009004490A1 (de) Verfahren und System zur Authentifizierung von Netzknoten eines Peer-to-Peer Netzwerks
WO2008098827A1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
EP2575385A1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
EP1170971A2 (de) Netzwerkmanagement-Server
WO2006034662A1 (de) System zum nomadischen datenzugriff von teilnehmerendeinrichtungen, vorrichtungen in diesem system sowie ein verfahren zum datenzugriff
DE60202663T2 (de) System und Verfahren zum Zuteilen dynamischer IP-Adressen
EP1537719B1 (de) Aktualisiering von auf einem rechner eines datenkommunikationssystems gespeicherter software

Legal Events

Date Code Title Description
8364 No opposition during term of opposition