DE602004003611T2 - Verkehrsüberwachungssystem - Google Patents

Verkehrsüberwachungssystem Download PDF

Info

Publication number
DE602004003611T2
DE602004003611T2 DE602004003611T DE602004003611T DE602004003611T2 DE 602004003611 T2 DE602004003611 T2 DE 602004003611T2 DE 602004003611 T DE602004003611 T DE 602004003611T DE 602004003611 T DE602004003611 T DE 602004003611T DE 602004003611 T2 DE602004003611 T2 DE 602004003611T2
Authority
DE
Germany
Prior art keywords
node
filter
information
gate
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004003611T
Other languages
English (en)
Other versions
DE602004003611D1 (de
Inventor
Alexander Mountain View Tudor
Allan Oakland Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agilent Technologies Inc
Original Assignee
Agilent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agilent Technologies Inc filed Critical Agilent Technologies Inc
Publication of DE602004003611D1 publication Critical patent/DE602004003611D1/de
Application granted granted Critical
Publication of DE602004003611T2 publication Critical patent/DE602004003611T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B23MACHINE TOOLS; METAL-WORKING NOT OTHERWISE PROVIDED FOR
    • B23KSOLDERING OR UNSOLDERING; WELDING; CLADDING OR PLATING BY SOLDERING OR WELDING; CUTTING BY APPLYING HEAT LOCALLY, e.g. FLAME CUTTING; WORKING BY LASER BEAM
    • B23K26/00Working by laser beam, e.g. welding, cutting or boring
    • B23K26/08Devices involving relative movement between laser beam and workpiece
    • B23K26/0869Devices involving movement of the laser head in at least one axial direction
    • B23K26/0876Devices involving movement of the laser head in at least one axial direction in at least two axial directions
    • B23K26/0884Devices involving movement of the laser head in at least one axial direction in at least two axial directions in at least in three axial directions, e.g. manipulators, robots
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B23MACHINE TOOLS; METAL-WORKING NOT OTHERWISE PROVIDED FOR
    • B23KSOLDERING OR UNSOLDERING; WELDING; CLADDING OR PLATING BY SOLDERING OR WELDING; CUTTING BY APPLYING HEAT LOCALLY, e.g. FLAME CUTTING; WORKING BY LASER BEAM
    • B23K26/00Working by laser beam, e.g. welding, cutting or boring
    • B23K26/70Auxiliary operations or equipment
    • B23K26/702Auxiliary equipment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Description

  • Die vorliegende Erfindung bezieht sich auf das Gebiet des Überwachens von Verkehr auf einem digitalen Netzwerk.
  • Router und Schalter sind Schlüsselkomponenten in paketvermittelten Netzwerken, die von kleinen lokalen Netzen zu Intranets innerhalb einer Organisation bis zum Internet reichen. Wie ihre Namen implizieren, leiten und schalten sie Pakete von Informationen von Quellen zu ihren Bestimmungsorten.
  • Einige hochwertige Router und Schalter bieten die Möglichkeit, den Verkehr auf jedem Tor des Geräts auf ein zweckgebundenes Spiegelungstor zu spiegeln. Hier bezieht sich die Spiegelung auf den Prozess des Herstellens einer Eins-Zu-Eins-Kopie der Pakete auf einem Tor und Senden der resultierenden Pakete an das zweckgebundene Spiegelungstor. Dies ermöglicht es dem Administrator, den Verkehr auf ausgewählten Toren zu überwachen, und die Informationen, wie z. B. Steuerinformationen, für Überwachungs-, Verwaltungs-, oder Diagnosezwecke zu verwenden.
  • Eine Anzahl von Problemen ergibt sich durch aktuelle Implementierung von Torspiegelung.
  • Erstens ist diese Funktionalität nur auf teuren hochwertigen Routern und Schaltern verfügbar. Zweitens wird programmierbares Paketfiltern nicht immer in dem Spiegelungsprozess unterstützt. Folglich werden alle Pakete gespiegelt. Ein zusätzliches Problem tritt auf, weil das zweckgebundene Spiegeltor allgemein die gleiche effektive Bandbreite hat wie die Tore, die gespiegelt werden. Als Folge können Versuche, mehr als ein Tor gleichzeitig zu überwachen, das Spiegeltor sättigen, was bewirkt, dass Pakete fallengelas sen werden. In vielen Anwendungen können fallengelassene Pakete nicht toleriert werden. Eine weitere Komplikation ist, dass der Prozess des Spiegelns das Verarbeiten von Ressourcen von dem Router erfordert. Falls der Router damit beschäftigt ist, seine Hauptaufgabe des Routens durchzuführen, wird der Spiegelungsprozess unterbrochen und angehalten. Während diesen Besetzt-Perioden ist der Spiegelungsprozess am sinnvollsten, aber bei den heutigen Systemen ist der Spiegelprozess während diesen Besetzt-Perioden nicht verfügbar.
  • Die WO 01/63838 offenbart einen Netzwerkschalter, der mehrere Spiegelungstore umfasst, die jeweils mit einem Überwachungsgerät verbunden sind.
  • Die US 6,292,108 offenbart ein Überwachungssystem, in dem Datenerfassungsgeräte Informationen zu einem zentralen Datensammelgerät übertragen.
  • Die vorliegende Erfindung schafft verbesserte Verkehrsüberwachung.
  • Gemäß einem Aspekt der vorliegenden Erfindung ist ein System vorgesehen zum Vorschlagen von Informationen für einen Informationsträger gemäß Anspruch 1.
  • Gemäß einem weiteren Aspekt der Erfindung ist ein Filterknoten gemäß Anspruch 6 vorgesehen.
  • Das Spiegeln mit Paketfiltern wird auf einer Pro-Tor-Basis durch Clientmodule geliefert. Clientmodule kommunizieren durch eine drahtlose Verbindung mit einem Ansammlungsdienst oder -modul. Jedes Clientmodul enthält ein Eingangstor, ein Ausgangstor und ein Überwachungssystem, das mit einer drahtlosen Verbindung verbunden ist. Das Ansammlungsmodul enthält eine drahtlose Verbindung, einen Ansammlungskern und ein Ausgangstor.
  • Ausführungsbeispiele der vorliegenden Erfindung sind nachfolgend lediglich beispielhaft mit Bezugnahme auf die beiliegenden Zeichnungen beschrieben.
  • 1 zeigt ein Schnittstellenmodul (Stand der Technik),
  • 2 zeigt ein Ausführungsbeispiel eines Clientmoduls,
  • 3 ist ein Blockdiagramm eines Ausführungsbeispiels eines Überwachungskerns,
  • 4 zeigt ein Ausführungsbeispiel eines Ansammlungsmoduls, und
  • 5 ist ein Blockdiagramm eines Ausführungsbeispiels eines Ansammlungskerns.
  • Gleichzeitiges Überwachen von Paketverkehr auf mehreren Schnittstellen auf einem Schalter oder Router in einem digitalen Netzwerk ist schwierig durchzuführen. Aus Kostengründen ist es normalerweise unpraktisch, Paketanalysatoren an jeder fraglichen Schnittstelle zu installieren. Obwohl der allgemeine Ansatz der Torspiegelung verwendet werden kann, um mehrere Tore gleichzeitig zu überwachen, lässt seine Implementierung in heutigen hochwertigen Routern und Schaltern viel zu wünschen übrig. Das zweckgebundene Spiegelungstor kann ohne weiteres gesättigt werden und der Spiegelungsprozess kann während Spitzenverkehrsperioden unterbrochen werden.
  • In den meisten Fällen ist jedoch der Administrator, der das Überwachen durchführt, nur an bestimmten Aspekten des Verkehrs interessiert, wie z. B. Steuerverkehr, Mitteilungen eines bestimmten Typs oder Protokolls, Mitteilungen, die bestimmte Adressen enthalten, oder dergleichen.
  • Während sich die Übertragungsgeschwindigkeiten von digitalen Paketnetzen erhöhen, geht der Trend dahin, von elektrischem Signalisieren zu optischer Kommunikation für längere Distanzen zu wechseln. Ein typisches bekanntes Schema ist Gigabit-Ethernet, das ein elektrisches Signalisierungsschema sowie ein optisches Schema definiert, das ein Paar von optischen Fasern verwendet, eine für Verkehr in jeder Richtung. Obwohl die optische Signalübertragung viele Vorteile hat, müssen die Informationen, die dieselben tragen, zurückgewandelt werden zu dem elektrischen Bereich, wenn solche Signale an Schaltern und Routern ankommen. Ein Lösungsansatz dafür, der von vielen Herstellern verwendet wird, ist das Verwenden eines Schnittstellenwandlermoduls. Eine Form eines solchen Moduls ist als GBIC oder GigaBit Interface Converter (GigaBit-Schnittstellenwandler) bekannt. Module in dem GBIC- und SFP-Formfaktor werden hergestellt durch Firmen wie z. B. Agilent Technologies, Finisar, JDS Uniphase, Infineon, Methode, und E20. Module in dem XENPAK-Formfaktor werden hergestellt von Agilent Technologies, JDS Uniphase, Opnext, und Mitsubishi. Der X2-Formfaktor wird unterstützt durch Agilent Technologies und JDS Uniphase. Der XPAK-Formfaktor wird unterstützt durch Intel und Infineon. XFP wird unterstützt durch Agilent Technologies, Finisar, Intel, JDS Uniphase, E20, Ignis und Opnext.
  • 1 zeigt ein typisches Schnittstellenwandlermodul 100, wie es in der Technik bekannt ist. Eine erste Schnittstelle 110 nimmt ein Empfangssignal 112 an und erzeugt ein Sendesignal 114 für ein Netzwerk. Für eine optische Schnittstelle, wie z. B. eine Kurzdistanz- oder Langdistanzoptikfaser umfasst die Schnittstelle 110 typischerweise einen Hochgeschwindigkeitsphotodiodendetektor und zugeordnete Formungsschaltungsanordnung zum Umwandeln des optischen Empfangssignals 112 in elektrische Form, und eine Laserdiode mit Steuerschaltungsanordnung zum Erzeugen eines optischen Ausgangssignals 114 für die elektrische Form. Gigabit-Ethernet kann auch Kupferdrähte verwenden. In solch einem Fall sorgt die Schnittstelle 110 für Signalpegelumwandlung für Sende- und Empfangsdaten. Daten- und Steuersignale 116 fließen zwischen der Schnittstelle 110 und der elektrischen Hostschnittstelle 120, die das Eingangssignal 122, das Ausgangssignal 124 und Steuersignale aufweist, die nicht gezeigt sind. Die Hostschnittstelle 120 verbindet das Modul 100 mit dem Schalter, Router oder anderem Bauelement. Außerdem befindet sich in dem Schnittstellenwandler 100 ein EEPROM 130, der verwendet wird, um Informationen, wie z. B. Seriennummern, Bauelementcharakteristika, Betriebsinformationen sowie hersteller-proprietäre Identifikationsinformationen zu speichern.
  • Für Schalter und Router ist es üblich, sich auf Umwandlungsmodule zu verlassen, um Signale von ihrer äußeren Form, elektrisch oder optisch, in die ordnungsgemäßen elektrischen Pegel umzuwandeln, die für deren interne Verwendung benötigt werden. Als solches kann ein Schalter oder Router eine Mehrzahl von Schnittstellenwandlermodulen haben, eines für jedes Tor.
  • Die bevorzugten Ausführungsbeispiele liefern Verkehrsüberwachung mit Paketfiltern durch Bereitstellen eines verbesserten Schnittstellenwandlermoduls, das Überwachungsschaltungsanordnung und eine drahtlose Datenverbindung enthält, die mit einer ähnlichen drahtlosen Datenverbindung in einem Ansammlungsmodul kommunizieren kann, oder mit jeder Überwachungsausrüstung, die mit einer ähnlichen drahtlosen Verbindung konfiguriert ist und autorisiert ist, um die Informationen zu empfangen. Dies ermöglicht es, dass Verkehr unter Verwendung des verbesserten Schnittstellenwandlermoduls auf jedem Tor oder einer Mehrzahl von Toren überwacht wird.
  • 2 zeigt ein bevorzugtes Schnittstellenwandlermodul mit Überwachungsfähigkeiten. Das Modul 200 weist eine Eingangsschnittstelle 210 für das Eingangssignal 212 und das Ausgangssignal 214 auf. Für Gigabit-Ethernet kann die Schnitt stelle 210 elektrisch oder optisch sein. Daten 216 werden zu dem Überwachungsteilsystem 240 zum Verarbeiten weitergeleitet. Der Takt 250 liefert Referenzzeitgebung für das Überwachungsteilsystem 240. Daten 218 werden zu der Host-Schnittstelle 220 weitergeleitet, mit Eingangsdaten 222, Ausgangsdaten 224 und Steuerleitungen, die nicht gezeigt sind. Der EEPROM 230 verbindet mit der Ausgangsschnittstelle 220, sowie mit dem Überwachungsteilsystem 240 und liefert Konfigurationsdaten. Der Klarheit halber sind Merkmale, die nicht zentral sind für die Erfindung, wie z. B. Leistungsregelung, nicht gezeigt.
  • Bei einem Ausführungsbeispiel der Erfindung weist das Überwachungsteilsystem 240 einen ersten Parallel-Serien-Wandler/Serien-Parallel-Wandler 242 auf, der Daten 216 zu dem Überwachungskern 244 leitet, und Funktionalität wie z. B. 8B/10B oder 4B/5B Datencodierung/-decodierung und Taktwiedergewinnung liefert. Der Überwachungskern führt die erforderlichen Überwachungsfunktionen durch, und leitet Daten zu dem Parallel-Serien-Wandler/Serien-Parallel-Wandler 246, der Signale 218 für das Ausgangsmodul 220 erzeugt. Es ist anzumerken, dass das Überwachungsteilsystem 240 weder die Inhalte der Daten modifiziert, die zwischen den Schnittstellen 210 und 220 verlaufen, noch den Datenfluss zwischen den beiden Schnittstellen behindert. Für die Pakete, die zwischen den Schnittstellen 210 und 220 verlaufen, die einen Satz von Kriterien erfüllen, wählt der Überwachungskern 244 dieselben für eine Übertragung über die drahtlose Schnittstelle 260 und die Antenne 264 aus. Bei dem bevorzugten Ausführungsbeispiel ist die drahtlose Schnittstelle 260 ein WiFi-Chipsatz, der eines der bekannten 802.11-Protokolle implementiert, wie z. B. 802.11b. Die Antenne 264 kann Teil des Moduls 200 sein, oder das Bereitstellen einer Antenne außerhalb des Moduls 200 kann vorgesehen sein. Die Konfiguration des Überwachungsteilsystems 240 kann bereitgestellt werden 232, durch EEPROM 230, oder durch Daten, die über die WiFi-Verbindung übertragen werden 262, die durch die drahtlose Verbindung 260 und die Antenne 264 bereitgestellt wird.
  • Bei dem bevorzugten Ausführungsbeispiel ist das Überwachungsteilsystem 240 auf einem einzigen Chip implementiert. Dasselbe kann auch als mehrere Chips implementiert sein. Obwohl der in 2 gezeigte Entwurf Daten 216 von der Schnittstelle 210 nimmt und dieselben durch den Parallel-Serien-Wandler/Serien-Parallel-Wandler 242 und durch den Überwachungskern 244 zu dem Parallel-Serien-Wandler/Serien-Parallel-Wandler 246 leitet, der die Signale 218 für die Ausgabeschnittstelle 220 neu taktet und neu erzeugt, wäre es ein anderer Lösungsansatz, eine direkte elektrische Verbindung zwischen den Schnittstellen 210 und 220 passiv abzugreifen, wodurch die Überwachungsfunktion ohne Neu-Takten und Neu-Erzeugen der Daten zwischen den Schnittstellen 210 und 220 durchgeführt wird.
  • 3 zeigt ein Blockdiagramm eines Abschnitts eines Überwachungskerns 244. 3 zeigt den Empfangsweg, d. h. den Überwachungsweg für Signale, die von dem Eingang 212 der Schnittstelle 210 durch den Ausgang 224 der Host-Schnittstelle 220 verlaufen. Eine ähnliche Schaltungsanordnung ist vorgesehen für den Sendeweg, der Signale von dem Eingang 222 der Schnittstelle 220 überwacht, die zu dem Ausgang 214 der Schnittstelle 210 verlaufen. Von den seriell-parallel umgesetzten und decodierten Eingangsdaten 302 werden die OSI-Schicht-2-Anfangsblöcke entfernt 310, ein Beispiel eines solchen Anfangsblocks ist der Ethernetanfangsblock. Die Ausgabe von 310 sind bekannte OSI-Schicht-3-Pakete. Die resultierenden Paketdaten werden an den Paketspeicher 320 und durch den Schicht-3- und Schicht-4-Anfangsblock-Extraktionsprozess 330 zu dem Filter 340 gesendet; ein solcher Satz von Anfangsblock ist der IP-Anfangsblock (Schicht 3) und der TCP-Anfangsblock (Schicht 4). Die Schicht-3- und Schicht-4-Anfangsblockextraktion 330 nimmt als Eingabe die OSI-Schicht-3-Pakete und gibt die Schicht-3- und Schicht-4-Anfangsblöcke an die Filtermaschi ne 340 aus. Die Filtermaschine 340 ist konfiguriert 232 durch Daten von dem EEPROM 230 von 2, oder von Daten, die durch den WiFi-Verwaltungs-Netzübergang 350 geleitet werden. Wenn das Filter 340 Informationen von Interesse erkennt, signalisiert 342 es dem Netzübergang 350, der die geeigneten Daten von dem Paketspeicher 320 durch den Sicherheitsblock 360 sendet, der dann die Daten an die WiFi-Drahtlosverbindung 260 von 2 sendet 262.
  • Der Sicherheitsblock 360 führt optional Verschlüsselungs- und Authentifizierungsdienste durch. Die Informationen, die durch den Überwachungskern 244 gesammelt werden, können beispielsweise verwendet werden, um eine vollständige Karte des Netzwerks aufzubauen, das überwacht wird. Solche Informationen können ohne weiteres für böswillige Zwecke verwendet werden, wie z. B. zum Aufbauen komplizierter Angriffe gegen das Netzwerk. Um sich dagegen zu schützen, dass die Informationen in die falschen Hände fallen, sind Verschlüsselungs- und Authentifizierungsdienste vorgesehen. Daten, die das Modul 200 über die drahtlose Verbindung verlassen, werden verschlüsselt. Daten, die über die drahtlose Verbindung in das Modul 200 eindringen, werden authentifiziert. Allgemein sind die Daten, die über die drahtlose Verbindung in das Modul eindringen, Konfigurationsdaten. Um sich gegen unbefugte Änderungen an der Konfiguration des Moduls zu schützen, wird ein Authentifizierungsprozess auf allen ankommenden Paketen durchgeführt. Nur Pakete von einer rechtmäßigen Quelle werden akzeptiert. Eine Anzahl von öffentlichen Protokollen ist verfügbar, um sowohl die Verschlüsselungs- als auch Authentifizierungsfunktion zu liefern, ein solches Protokoll ist das IP-Sicherheitsprotokoll (IPSec).
  • Wenn dieselben auf diese Weise verwendet werden, werden Überwachungsmodule auf Tore von Interesse platziert, wodurch Standardschnittstellenwandlermodule mit Überwachungsschnittstellenwandlermodulen ersetzt werden, wie es beschrieben ist. Da die Überwachungsmodule mit dem Ansamm lungsdienst oder -modul unter Verwendung einer drahtlosen Verbindung kommunizieren, muss definitionsgemäß keine zusätzliche Verdrahtung vorgesehen werden. Bei einem alternativen Ausführungsbeispiel können Überwachungsmodule, die die gleiche Schnittstelle auf beiden Toren aufweisen, wie z. B. optisch oder elektrisch, in einer Reihe platziert werden, wodurch die Schnittstellenwandlermodule des ausgewählten Geräts nicht ersetzt werden. Die Überwachungsmodule eines solchen Ausführungsbeispiels können eine zusätzliche Leistungsquelle erfordern, insbesondere falls dieselben in einer Reihe in einem optischen Weg platziert werden.
  • Die Ansammlung von überwachten Daten von einem oder mehreren Überwachungsmodulen wird durch ein Ansammlungsmodul durchgeführt, wie es in 4 gezeigt ist. Das Modul 400 liefert angesammelte Daten durch die Host-Schnittstelle 420, unter Verwendung von Eingangs- 422, Ausgangs- 424 und Steuerleitungen, die nicht gezeigt sind. Der EEPROM 430 speichert Identifikationsinformationen und kann verwendet werden, um Parameter zu speichern. Daten von einem oder mehreren Überwachungsmodulen werden durch die Antenne 464 und die drahtlose Verbindung 460 empfangen. Diese Daten werden an das Ansammlungsmodul 440 geleitet 462. Der Ansammlungskern 442 sammelt und formatiert die Informationen unter Verwendung von Konfigurationsinformationen 432 von dem EEPROM 430 oder direkt von der Schnittstelle 420. Die resultierenden Informationen werden zu dem Parallel-Serien-Wandler/Serien-Parallel-Wandler 446 geleitet, und an die Host-Schnittstelle 420 gesendet. Der Takt 450 liefert eine Referenz für den Ansammlungskern 442 und den Parallel-Serien-Wandler/Serien-Parallel-Wandler 446. Obwohl bei dem bevorzugten Ausführungsbeispiel das Gehäuse des Ansammlungsmoduls 400 gleich ist wie das Schnittstellenwandlermodulgehäuse, das für die Überwachungsmodule verwendet wird, muss das Ansammlungsmodul diesen Formfaktor nicht annehmen. Obwohl die Antenne 464 bei dem bevorzugten Ausführungsbeispiel Teil des Moduls 400 ist, kann dieselbe gleichartig dazu auch außerhalb des Moduls platziert sein.
  • Es ist anzumerken, dass das Ansammlungsmodul 400 ein gültiger Schicht-2- oder Schicht-3-Endpunkt ist. Gleichermaßen hat dieselbe eine gültige Schicht-2-Adresse, wie z. B. eine Ethernet-MAC-Adresse und eine Schicht-3-Adresse, wie z. B. eine IP-Adresse. Als solche ist dieselbe vollständig zugreifbar von dem Netzwerk, an dem dieselbe befestigt ist. Diese Verbindung ermöglicht es dem Ansammlungsmodul 400, über die Schnittstelle 420 entfernt konfiguriert zu werden. Um eine unbefugte Konfiguration des Moduls zu verhindern, werden alle Daten, die über die Schnittstelle 420 hereinkommen, authentifiziert.
  • 5 zeigt ein Blockdiagramm eines Ansammlungskerns 442. Daten 462 zu und von der drahtlosen Verbindung verlaufen durch das Sicherheitsmodul 560. Datenreduktion 540 liefert eine weitere Filterung und Verarbeitung von Daten. Es ist wichtig, anzumerken, dass das Ansammlungsmodul vollständig in der Lage ist, die Datenmenge zu reduzieren, die über die Schnittstelle 420 gesendet werden muss. Beispielsweise hält das Ansammlungsmodul Zähler basierend auf Daten, die von dem Clientmodul empfangen werden. Die Zählerwerte müssen nur periodisch über die Schnittstelle 420 übertragen werden. Ein praktisches Beispiel einer solchen Fähigkeit ist das Zählen der Anzahl von Präfixen, die von einem Border-Gateway-Protocol- (BGP) Peer während einer gegebenen Zeitperiode empfangen werden. Die Datenanalyseausrüstung muss nicht alle Protokollmitteilungen empfangen. Weitere Datenreduzierung kann auftreten, wenn die Zähler programmiert sind, um Daten nur über die Schnittstelle 420 zu übertragen, wenn vorprogrammierte Schwellenwerte erreicht wurden. Die verarbeiteten Daten werden an eine Schicht-2-Medienzugriffssteuerung (MAC) 530 geleitet, wie z. B. eine Ethernet-Schicht-2-MAC 530, die durch den Sicherheitsblock 520 und dann 448 mit dem Parallel-Serien-Wandler/Serien-Parallel-Wandler 446 von 4 kommuniziert, um eine Standard-Schicht-2-Kommunikationsfähigkeit für das Ansammlungsmodul zu liefern. Der Sicherheitsblock 520 liefert optionale Authentifizierungs- und Verschlüsselungsdienste für die Daten, die an den Informationsverbraucher kommuniziert werden.
  • Der Ansammlungsprozess kann auch durch jeden Knoten mit einer kompatiblen drahtlosen Verbindung durchgeführt werden, der authentifiziert ist, um Daten zu empfangen. Der Ansammlungsprozess kann beispielsweise durch einen Laptop oder anderen programmierbaren Computer durchgeführt werden, der mit einer geeigneten drahtlosen Schnittstelle und Betriebs-Software als Informationsverbraucher ausgestattet ist.
  • Die vorhergehende detaillierte Beschreibung der vorliegenden Erfindung ist zu Darstellungszwecken bereitgestellt und soll nicht erschöpfend sein oder die Erfindung auf die genau offenbarten Ausführungsbeispiele begrenzen. Entsprechend ist der Schutzbereich der vorliegenden Erfindung durch die angehängten Ansprüche definiert.

Claims (10)

  1. Ein Filterknoten (200) zum Verbinden zwischen einem paketvermittelten digitalen Netz und einem Tor eines paketvermittelten digitalen Vernetzungsgeräts, wobei der Filterknoten folgende Merkmale umfasst: ein einzelnes Eingangstor (210) zum Kommunizieren mit dem paketvermittelten digitalen Netz; ein einzelnes Ausgangstor (220) zum Kommunizieren mit dem paketvermittelten digitalen Vernetzungsgerät; eine Kommunikationseinrichtung (240) zum Leiten von Informationen zwischen dem Eingangstor und dem Ausgangstor; und eine Filtereinrichtung (244), die mit der Kommunikationseinrichtung (240) verbunden ist, zum Filtern von Informationen, die zwischen dem Eingangstor (210) und dem Ausgangstor (220) geleitet werden, und Leiten der gefilterten Informationen an ein drittes Tor (260).
  2. Ein Filterknoten (200) gemäß Anspruch 1, bei dem das Eingangstor (210) ein elektrisches Tor oder ein optisches Tor ist.
  3. Ein Filterknoten (200) gemäß Anspruch 1 oder 2, bei dem das dritte Tor (260) ein drahtloses Kommunikationstor ist, das optional Authentifizierung und/oder Verschlüsselung liefert.
  4. Ein Filterknoten (200) gemäß Anspruch 1, 2 oder 3, der in ein Modul mit einem Formfaktor eingebettet ist, der mit einem oder mehreren der GBIC-, SFP-, XENPAK-, X2-, XPAK- oder XFP-Formfaktoren interoperabel ist.
  5. Ein Filterknoten (200) gemäß einem der vorhergehenden Ansprüche, bei dem die Kommunikationseinrichtung (240) und/oder die Filtereinrichtung (244) über das dritte Tor konfigurierbar ist/sind.
  6. Ein Schnittstellenwandlermodul, das einen Filterknoten (200) gemäß einem der vorhergehenden Ansprüche umfasst.
  7. Ein System zum Ansammeln von Informationen für einen Informationsverbraucher in einem paketvermittelten digitalen Netz, das einen oder mehrere Filterknoten (200) gemäß einem der vorhergehenden Ansprüche und einen Ansammlungsknoten (400) umfasst, wobei: jeder Filterknoten (200) angeordnet ist, um zwischen dem paketvermittelten digitalen Netz und einem Tor eines paketvermittelten digitalen Vernetzungsgeräts zu verbinden, wobei das dritte Tor (260) jedes Filterknotens konfiguriert ist, um die gefilterten Informationen zu dem Ansammlungsknoten (400) zu kommunizieren; wobei der Ansammlungsknoten (400) ein erstes Tor (460) zum Kommunizieren mit dem einen oder den mehreren Filterknoten (200) aufweist, wobei der Ansammlungsknoten (400) angeordnet ist, um die gefilterten Informationen anzusammeln und die angesammelten Informationen auf einem zweiten Tor (420) an einen Informationsverbraucher weiterzuleiten.
  8. Ein System gemäß Anspruch 7, bei dem die Kommunikation zwischen jedem Filterknoten (200) und dem Ansammlungsknoten (400) verschlüsselt und/oder authentifiziert ist.
  9. Ein System gemäß Anspruch 7 oder 8, bei dem die Kommunikation zwischen dem Ansammlungsknoten (400) und dem Informationsverbraucher verschlüsselt und/oder authentifiziert ist.
  10. Ein System gemäß einem der Ansprüche 7, 8 oder 9, bei dem der Ansammlungsknoten (400) ein unabhängiges Gerät ist oder in ein Modul mit einem Formfaktor eingebettet ist, der mit einem oder mehreren der GBIC-, SFP-, XENPAK-, X2-, XPAK- oder XFP-Formfaktoren interoperabel ist.
DE602004003611T 2003-04-04 2004-02-27 Verkehrsüberwachungssystem Expired - Lifetime DE602004003611T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US407719 1982-08-13
US10/407,719 US20040196841A1 (en) 2003-04-04 2003-04-04 Assisted port monitoring with distributed filtering

Publications (2)

Publication Number Publication Date
DE602004003611D1 DE602004003611D1 (de) 2007-01-25
DE602004003611T2 true DE602004003611T2 (de) 2007-09-27

Family

ID=32850674

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004003611T Expired - Lifetime DE602004003611T2 (de) 2003-04-04 2004-02-27 Verkehrsüberwachungssystem

Country Status (5)

Country Link
US (1) US20040196841A1 (de)
EP (1) EP1465368B1 (de)
KR (1) KR20040086807A (de)
CN (1) CN1536830A (de)
DE (1) DE602004003611T2 (de)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7710885B2 (en) 2003-08-29 2010-05-04 Agilent Technologies, Inc. Routing monitoring
US7690040B2 (en) 2004-03-10 2010-03-30 Enterasys Networks, Inc. Method for network traffic mirroring with data privacy
WO2005109718A1 (en) 2004-05-05 2005-11-17 Gigamon Systems Llc Asymmetric packet switch and a method of use
EP1782293A2 (de) 2004-08-20 2007-05-09 Enterasys Networks, Inc. System, verfahren und vorrichtung für verkehrsspiegelaufbau, service und sicherheit in kommunikationsnetzwerken
US7626938B1 (en) 2005-03-31 2009-12-01 Marvell Israel (M.I.S.L) Ltd. Local area network switch using control plane packet mirroring to support multiple network traffic analysis devices
CN100479415C (zh) * 2005-06-06 2009-04-15 腾讯科技(深圳)有限公司 一种实现数据通讯的系统及其方法
CN100396027C (zh) * 2006-01-06 2008-06-18 杭州华三通信技术有限公司 一种实现数据镜像的方法
US8095683B2 (en) * 2006-03-01 2012-01-10 Cisco Technology, Inc. Method and system for mirroring dropped packets
US8452148B2 (en) 2008-08-29 2013-05-28 Corning Cable Systems Llc Independently translatable modules and fiber optic equipment trays in fiber optic equipment
US11294135B2 (en) 2008-08-29 2022-04-05 Corning Optical Communications LLC High density and bandwidth fiber optic apparatuses and related equipment and methods
US9075216B2 (en) 2009-05-21 2015-07-07 Corning Cable Systems Llc Fiber optic housings configured to accommodate fiber optic modules/cassettes and fiber optic panels, and related components and methods
JP2012530944A (ja) 2009-06-19 2012-12-06 コーニング ケーブル システムズ リミテッド ライアビリティ カンパニー 高密度及び高帯域幅の光ファイバ装置及び関連機器並びに方法
US8018943B1 (en) 2009-07-31 2011-09-13 Anue Systems, Inc. Automatic filter overlap processing and related systems and methods
US8934495B1 (en) 2009-07-31 2015-01-13 Anue Systems, Inc. Filtering path view graphical user interfaces and related systems and methods
US8098677B1 (en) 2009-07-31 2012-01-17 Anue Systems, Inc. Superset packet forwarding for overlapping filters and related systems and methods
US8992099B2 (en) 2010-02-04 2015-03-31 Corning Cable Systems Llc Optical interface cards, assemblies, and related methods, suited for installation and use in antenna system equipment
US8477648B2 (en) * 2010-02-16 2013-07-02 Vss Monitoring, Inc. Systems, apparatus, and methods for monitoring network capacity
US8913866B2 (en) 2010-03-26 2014-12-16 Corning Cable Systems Llc Movable adapter panel
AU2011265751B2 (en) 2010-04-16 2015-09-10 Corning Optical Communications LLC Sealing and strain relief device for data cables
US8879881B2 (en) 2010-04-30 2014-11-04 Corning Cable Systems Llc Rotatable routing guide and assembly
US9519118B2 (en) 2010-04-30 2016-12-13 Corning Optical Communications LLC Removable fiber management sections for fiber optic housings, and related components and methods
US9075217B2 (en) 2010-04-30 2015-07-07 Corning Cable Systems Llc Apparatuses and related components and methods for expanding capacity of fiber optic housings
ES2654924T3 (es) 2010-06-28 2018-02-15 Deutsche Telekom Ag Método y sistema para derivar un retardo de agregación para la agregación de paquetes en una red inalámbrica
US9279951B2 (en) 2010-10-27 2016-03-08 Corning Cable Systems Llc Fiber optic module for limited space applications having a partially sealed module sub-assembly
WO2012074982A1 (en) 2010-11-30 2012-06-07 Corning Cable Systems Llc Fiber device holder and strain relief device
WO2012106518A2 (en) 2011-02-02 2012-08-09 Corning Cable Systems Llc Optical backplane extension modules, and related assemblies suitable for establishing optical connections to information processing modules disposed in equipment racks
US20120254462A1 (en) * 2011-03-31 2012-10-04 Dhishankar Sengupta Remote data mirroring using a virtualized io path in a sas switch
US9008485B2 (en) 2011-05-09 2015-04-14 Corning Cable Systems Llc Attachment mechanisms employed to attach a rear housing section to a fiber optic housing, and related assemblies and methods
WO2013003303A1 (en) 2011-06-30 2013-01-03 Corning Cable Systems Llc Fiber optic equipment assemblies employing non-u-width-sized housings and related methods
US8953924B2 (en) 2011-09-02 2015-02-10 Corning Cable Systems Llc Removable strain relief brackets for securing fiber optic cables and/or optical fibers to fiber optic equipment, and related assemblies and methods
US9038832B2 (en) 2011-11-30 2015-05-26 Corning Cable Systems Llc Adapter panel support assembly
US9571342B2 (en) 2012-02-14 2017-02-14 Inetco Systems Limited Method and system for generating transaction data from network traffic data for an application system
US9250409B2 (en) 2012-07-02 2016-02-02 Corning Cable Systems Llc Fiber-optic-module trays and drawers for fiber-optic equipment
US9042702B2 (en) 2012-09-18 2015-05-26 Corning Cable Systems Llc Platforms and systems for fiber optic cable attachment
EP2725397B1 (de) 2012-10-26 2015-07-29 CCS Technology, Inc. Glasfaserverwaltungseinheit und Glasfaserverteilungsvorrichtung
US8985862B2 (en) 2013-02-28 2015-03-24 Corning Cable Systems Llc High-density multi-fiber adapter housings
US8614946B1 (en) 2013-06-07 2013-12-24 Sideband Networks Inc. Dynamic switch port monitoring
US9467385B2 (en) 2014-05-29 2016-10-11 Anue Systems, Inc. Cloud-based network tool optimizers for server cloud networks
US9781044B2 (en) 2014-07-16 2017-10-03 Anue Systems, Inc. Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers
US10050847B2 (en) 2014-09-30 2018-08-14 Keysight Technologies Singapore (Holdings) Pte Ltd Selective scanning of network packet traffic using cloud-based virtual machine tool platforms
US9992134B2 (en) 2015-05-27 2018-06-05 Keysight Technologies Singapore (Holdings) Pte Ltd Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems
US10116528B2 (en) 2015-10-02 2018-10-30 Keysight Technologies Singapore (Holdings) Ptd Ltd Direct network traffic monitoring within VM platforms in virtual processing environments
US10652112B2 (en) 2015-10-02 2020-05-12 Keysight Technologies Singapore (Sales) Pte. Ltd. Network traffic pre-classification within VM platforms in virtual processing environments
US10142212B2 (en) 2015-10-26 2018-11-27 Keysight Technologies Singapore (Holdings) Pte Ltd On demand packet traffic monitoring for network packet communications within virtual processing environments

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6185203B1 (en) * 1997-02-18 2001-02-06 Vixel Corporation Fibre channel switching fabric
US6041042A (en) * 1997-05-27 2000-03-21 Cabletron Systems, Inc. Remote port mirroring system and method thereof
US6292108B1 (en) * 1997-09-04 2001-09-18 The Board Of Trustees Of The Leland Standford Junior University Modular, wireless damage monitoring system for structures
US6203333B1 (en) * 1998-04-22 2001-03-20 Stratos Lightwave, Inc. High speed interface converter module
US6876653B2 (en) * 1998-07-08 2005-04-05 Broadcom Corporation Fast flexible filter processor based architecture for a network device
EP1142218B1 (de) * 1999-01-14 2007-10-31 Nokia Corporation Verfahren und vorrichtung zum abhören
US6400730B1 (en) * 1999-03-10 2002-06-04 Nishan Systems, Inc. Method and apparatus for transferring data between IP network devices and SCSI and fibre channel devices over an IP network
EP1159817B1 (de) * 1999-03-12 2011-11-16 Nokia Corporation Auffangsystem und -verfahren
US6600726B1 (en) * 1999-09-29 2003-07-29 Mobilian Corporation Multiple wireless communication protocol methods and apparatuses
EP1238492B1 (de) * 1999-12-07 2004-04-28 Broadcom Corporation Spiegelung in einer netzwerkvermittlungsstapelanordnung
WO2001063838A2 (en) * 2000-02-22 2001-08-30 Top Layer Networks, Inc. System and method for flow mirroring in a network switch
US20010052081A1 (en) * 2000-04-07 2001-12-13 Mckibben Bernard R. Communication network with a service agent element and method for providing surveillance services
US6870817B2 (en) * 2000-12-20 2005-03-22 Nortel Networks Limited Method and apparatus for monitoring calls over a session initiation protocol network
US7055174B1 (en) * 2001-02-26 2006-05-30 Sprint Spectrum L.P. Method and system for wiretapping of packet-based communications
KR100437169B1 (ko) * 2001-05-04 2004-06-25 이재형 네트워크 트래픽 흐름 제어 시스템
JP3874628B2 (ja) * 2001-05-17 2007-01-31 富士通株式会社 パケット転送装置、半導体装置
US7245620B2 (en) * 2002-03-15 2007-07-17 Broadcom Corporation Method and apparatus for filtering packet data in a network device
US20040003094A1 (en) * 2002-06-27 2004-01-01 Michael See Method and apparatus for mirroring traffic over a network
US20060112429A1 (en) * 2002-07-02 2006-05-25 Siemens Aktiengesellschaft Central exchange for an ip monitoring
US7031304B1 (en) * 2002-09-11 2006-04-18 Redback Networks Inc. Method and apparatus for selective packet Mirroring

Also Published As

Publication number Publication date
EP1465368B1 (de) 2006-12-13
US20040196841A1 (en) 2004-10-07
DE602004003611D1 (de) 2007-01-25
CN1536830A (zh) 2004-10-13
KR20040086807A (ko) 2004-10-12
EP1465368A1 (de) 2004-10-06

Similar Documents

Publication Publication Date Title
DE602004003611T2 (de) Verkehrsüberwachungssystem
DE60034353T2 (de) Regelbasierte ip datenverarbeitung
DE69836271T2 (de) Mehrstufiges firewall-system
DE69827252T2 (de) Architektur für virtuelle privatnetze
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
EP2036242B1 (de) Knoteneinrichtung für ein netzwerk mit quantenkryptografischen verbindungen sowie knotenmodul für eine derartige knoteneinrichtung
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE10052312A1 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
CN112769785A (zh) 基于机架交换机设备的网络一体化深度检测装置及方法
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102021212976A1 (de) Authentifizierung und steuerung einer datenspur
DE10084739B4 (de) Anordnung und Verfahren in einem geschalteten Telekommunikationssystem
US20070033641A1 (en) Distributed Network Security System
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
CN114268457A (zh) 一种多规约多业务公网安全接入方法
Byres Designing secure networks for process control
CN101227495A (zh) 公用电信分组数据网系统及其拥塞控制方法
EP1430685A1 (de) Verfahren zur übertragung von daten in einem paketorientierten datennetz
EP2685696A1 (de) Verfahren zum sicheren Betrieb von Verbundnetzen, insbesondere von Windpark- oder anderen ausgedehnten Netzen
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
KR100478899B1 (ko) 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법
EP1645098A1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes

Legal Events

Date Code Title Description
8327 Change in the person/name/address of the patent owner

Owner name: AGILENT TECHNOLOGIES, INC. - A DELAWARE CORPOR, US

8327 Change in the person/name/address of the patent owner

Owner name: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES, US

8364 No opposition during term of opposition