DE602004011219T2 - Anordnung und verfahren zur behandlung von geteilten diensten durch eine adressenumsetzung mit weiterleitung von virtual routes - Google Patents

Anordnung und verfahren zur behandlung von geteilten diensten durch eine adressenumsetzung mit weiterleitung von virtual routes Download PDF

Info

Publication number
DE602004011219T2
DE602004011219T2 DE602004011219T DE602004011219T DE602004011219T2 DE 602004011219 T2 DE602004011219 T2 DE 602004011219T2 DE 602004011219 T DE602004011219 T DE 602004011219T DE 602004011219 T DE602004011219 T DE 602004011219T DE 602004011219 T2 DE602004011219 T2 DE 602004011219T2
Authority
DE
Germany
Prior art keywords
packet
routing
network
virtual private
private network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004011219T
Other languages
English (en)
Other versions
DE602004011219D1 (de
Inventor
Mahadev Santa Clara SOMASUNDARAM
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of DE602004011219D1 publication Critical patent/DE602004011219D1/de
Application granted granted Critical
Publication of DE602004011219T2 publication Critical patent/DE602004011219T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Die vorliegende Erfindung betrifft Verfahren und Vorrichtungen zum Verarbeiten von Daten in einem Computernetzwerk. Genauer gesagt betrifft die vorliegende Erfindung Mechanismen zur Paketweiterleitung, die entweder gemeinsame Dienste anfordern oder bereitstellen, die einer Vielzahl von virtuellen privaten Netzwerken (VPNs) über ein Diensteanbieter-Netzwerk zur Verfügung stehen.
  • Damit ein einzelner Computer mit anderen Computern oder Web Servern innerhalb eines Netzwerks (z. B. dem Internet) kommunizieren kann, muß der einzelne Computer eine einzigartige IP-Adresse aufweisen. Die IP Protokoll Version 4 spezifiziert 32 Bits für die IP-Adresse, was theoretisch etwa 4.294.967.296 einzigartige IP-Adressen ergibt. Aber es gibt momentan tatsächlich nur zwischen 3,2 und 3,3 Milliarden IP-Adressen, die zur Verfügung stehen, da die Adressen in Klassen aufgeteilt sind und für das Multicasting (Mehrfachversendung), das Testen und andere spezielle Verwendungen auf die Seite gelegt sind. Mit der Explosion des Internet reicht die Anzahl an IP-Adressen nicht aus, um jeden Computer mit einer einzigartigen IP-Adresse zu versehen.
  • Eine Lösung für das Adressieren von Computern mit der begrenzten Anzahl an IP-Adressen wird als die Network Address Translation (NAT) bezeichnet. Die NAT erlaubt es einer dazwischen liegenden Vorrichtung (z. B. einem Computer, Router oder Switch), die sich zwischen dem Internet-Netzwerk und einem lokalen Netzwerk befindet, als ein Agent für eine Gruppe von lokalen Computern zu dienen. Ein kleiner Bereich von IP-Adressen oder eine einzige IP-Adresse wird zugewiesen, um die Gruppe von lokalen Computern zu repräsentieren. Jeder Computer in der lokalen Gruppe erhält auch eine lokale IP-Adresse, die nur innerhalb dieser lokalen Gruppe verwendet wird. Aber die lokalen IP-Adressen der Gruppe können ein Duplikat einer IP-Adresse sein, die innerhalb eines anderen lokalen Netzwerks verwendet wird. Wenn ein lokaler Computer versucht, mit einem Computer außerhalb des lokalen Netzwerks zu kommunizieren, dann gleicht die dazwischen liegende Vorrichtung die lokale IP-Adresse des lokalen Computers mit einer der zugewiesenen IP-Adressen der dazwischen liegenden Vorrichtung ab. Die dazwischen liegende Vorrichtung ersetzt dann die lokale Adresse des lokalen Computers durch die abgeglichene zugewiesene IP-Adresse. Diese abgeglichene und zugewiesene IP-Adresse wird dann für die Kommunikation zwischen dem lokalen Computer und dem Computer auf der Außenseite verwendet. Auf diese Weise erlauben es die NAT-Techniken, dass eine IP-Adresse quer durch lokale Netzwerke dupliziert werden kann.
  • Zusätzlich zu den IP-Adressen kann ein Paket auch eine oder mehrere Adresse(n) enthalten, die in der Nutzlast eingebettet ist/sind, die eine Ersetzung bzw. Umwandlung erfordert/erfordern. Spezielle Anwendungen können Adresse(n) in der Nutzlast für verschiedene anwendungsspezifische Zwecke einbetten. Der aktuelle Lösungsweg für die Unterstützung von Anwendungen, die IP-Adressen in der Nutzlast (z. B. DNS (Domain Name Server), FTP (File Transfer Protocol), H.225/H.245) in einer NAT-Umgebung einbetten, liegt darin, anwendungsspezifisches Wissen innerhalb der NAT-Vorrichtung selber hinzuzufügen. Dieser Lösungsweg wird im Einzelnen in dem Request for Comments Dokument RFC 2663 der Internet Engineering Task Force mit dem Titel IP "Network Adress Translator (NAT) Terminology and Consideration" von P. Srisuresh und M. Holdrege von Lucent Technologies (August 1999) beschrieben.
  • Ein Unternehmensnetzwerk ist typischerweise ein privates Netzwerk, das mit einem Unternehmen wie etwa einer Firma oder einem Geschäft assoziiert ist. Damit ein Unternehmensnetzwerk mit einem Diensteanbieter-Netzwerk oder dem Internet kommunizieren kann, fängt die NAT-Vorrichtung Pakete ab und führt eine Network Address Translation für Pakete durch, bevor sie die Pakete zu dem beabsichtigten Empfänger weiterleitet. Obgleich ein Unternehmensnetzwerk an einem einzelnen Standort oder an einer einzigen Stelle implementiert sein kann, ist ein Unternehmensnetzwerk oftmals an physisch verschiedenen Stellen implementiert. Mit anderen Worten, mehrere Standorte, die mit einem einzigen Unternehmen (z. B. Firma) assoziiert sind, können von einem Diensteanbieter als ein einziges Netzwerk betrachtet werden. Dies wird dadurch erzielt, dass jedes Unternehmen (z. B. Geschäft oder Kunde) mit einem virtuellen privaten Netzwerk (VPN) assoziiert wird. Auf diese Weise können mehrere Kundenstandorte, die mit einem einzigen Unternehmen assoziiert sind, von einem Diensteanbieter als eine einzige Entität betrachtet werden.
  • In Übereinstimmung mit verschiedenen Mechanismen aus dem Stand der Technik kann jedes Unternehmen (z. B. ein Kunde) mit einem virtuellen privaten Netzwerk identifiziert werden. Jeder Unternehmensstandort verwendet typischerweise private Adressen, die von dem Diensteanbieter nicht erkannt werden. Als eine Folge davon wird typischerweise eine NAT-Vorrichtung dazu verwendet, Adressen von Paketen, die zwischen dem Unternehmen und dem Diensteanbieter-Netzwerk gesendet werden, umzuwandeln bzw. zu ersetzen.
  • Verschiedene Firmen und Unternehmen können Dienste aufweisen, die sie Kunden oder Partnern anbieten oder mit diesen teilen möchten. So kann ein Diensteanbieter den Wunsch haben, Dienste (d. h., gemeinsame Dienste) mehreren Unternehmenskunden anzubieten. Zum Beispiel können solche gemeinsamen Dienste Voice over IP, Voice Gatekeeper und den Internet-Zugang umfassen. Deshalb sollten Kunden, die auf diese gemeinsamen Dienste zugreifen, die von dem Diensteanbieter angeboten werden, einzigartig adressierbar sein. Obwohl IPv6 einen IP-Adressenraum verspricht, der die Konnektivitätsbedürfnisse der überschaubaren Zukunft überschreitet, befindet sich IPv6 immer noch in den frühen Phasen der Entwicklung. Als eine Folge davon wird das Befähigen, dass Unternehmensklienten auf einzigartige Weise adressierbar sind, typischerweise durch NAT erreicht.
  • Typischerweise wird die NAT-Vorrichtung an jedem Unternehmensstandort implementiert. Als eine Folge davon muß ein Pool öffentlicher Adressen typischerweise jedem Unternehmenskunden vorab zugeordnet werden. Außerdem kann, da eine NAT-Vorrichtung typischerweise an jedem Unternehmensstandort plaziert wird, die Implementierung der NAT durch ein Unternehmen, das mehrere Standorte aufweist, schwerfällig sowie auch kostspielig sein.
  • Angesichts des Obigen wäre es vorteilhaft, wenn verbesserte Techniken zur Bereitstellung der NAT implementiert werden könnten.
  • Die EP 1298853 offenbart ein Verfahren zum Senden von VPN-Verkehr über das Internet, bei dem eine VPN-Adresse für ein Paket erzeugt wird, das einen VPN-Identifikator und eine private Adresse umfasst. Die VPN-Adresse wird verwendet, um einen Paket-Header zu bilden, der zu dem Paket für die Übertragung hinzugefügt wird, und der Paket-Header wird beim Empfang in seine ursprüngliche Form umgewandelt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • In einer ersten Ausführungsform der Erfindung ist ein Verfahren gemäß Anspruch 1 zum Durchführen von Paketweiterleitung bereitgestellt, das Folgendes umfasst: Halten einer Vielzahl von Sätzen von Routinginformationen, wobei jeder der Sätze von Routinginformationen mit einem anderen virtuellen privaten Netzwerk assoziiert ist; und Routen eines Pakets mittels eines Verfahrens, das die folgenden Schritte umfasst: Empfangen eines Pakets, wobei das Paket eine IP-Quelladresse und eine IP-Zieladresse aufweist, wobei das Paket des Weiteren Informationen aufweist, die einen der Vielzahl von Sätzen von Routinginformationen angeben, um das Paket zu routen; Durchführen von Network Address Translation, NAT, für das Paket; Identifizieren eines Eintrags in einem der Sätze von Routinginformationen unter Verwendung der IP-Zieladresse; und Routen des Pakets unter Verwendung des identifizierten Routingtabelleneintrags. Das Verfahren umfasst des Weiteren die folgenden Schritte: Empfangen einer Default-Route, die von einer Netzwerkvorrichtung herausgegeben wird, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen; und Aktualisieren der Sätze von Routinginformationen, damit sie die Default-Route zu der Netzwerkvorrichtung, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen, umfassen. De Erfindung stellt auch eine Netzwerkvorrichtung, wie sie im Anspruch 21 dargelegt ist, und ein entsprechendes Computerprogramm, Computerprogrammerzeugnis oder computer-lesbares Medium bereit, wie diese in Anspruch 20 dargelegt sind.
  • Verfahren und Vorrichtungen zum Durchführen der Paketweiterleitung werden offenbart. In bevorzugten Ausführungsbeispielen wird die NAT an einer Diensteanbieter-Netzwerkvorrichtung durchgeführt, die mit einer Schnittstelle eines Diensteanbieter-Netzwerks assoziiert ist. Wenn ein Paket von der Diensteanbieter-Netzwerkvorrichtung empfangen wird, wird NAT für das Paket durchgeführt, und es wird dementsprechend geroutet.
  • In Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung umfasst eine Netzwerkvorrichtung, die hier als eine Diensteanbieter-Edge Box bezeichnet wird, auch eine NAT-Vorrichtung zum Durchführen von NAT oder ist mit einer solchen assoziiert. Damit der Diensteanbieter in die Lage versetzt wird, NAT durchführen zu können, muß er in der Lage sein, zwischen potentiell identischen privaten Adressen in zwei oder mehr VPNs unterscheiden zu können. Deshalb hält die Netzwerkvorrichtung eine Vielzahl von Routingtabellen (d. h., virtuelle Routen-Weiterleitungstabellen (VRFs; virtual route forwarding tables)), wobei jede der Routingtabellen mit einem anderen virtuellen privaten Netzwerk (z. B. einem Kunden) assoziiert ist. In Übereinstimmung mit einem Ausführungsbeispiel wird dann, wenn ein Paket von der Innenseite eines virtuellen privaten Netzwerks heraus zu einer Adresse außerhalb des virtuellen privaten Netzwerks umgewandelt und gesendet wird, ein VRF- oder VPN-Identifikator in dem Ersetzungstabelleneintrag gespeichert. Außerdem wird die entsprechende Routingtabelle, die von dem VRF oder VPN identifiziert wird, mit Routinginformationen für das Paket je nach Zweckdienlichkeit aktualisiert. Wenn ein Paket von der öffentlichen Domäne empfangen wird, enthält das Paket Informationen, die eine der Vielzahl von Routingtabellen angeben oder identifizieren, die für das Routen des Pakets geeignet ist. In Übereinstimmung mit einem Ausführungsbeispiel umfasst das Paket einen VRF- oder VPN-Identifikator. Wenn die NAT für das Paket durchgeführt wird, wird die geeignete der Routingtabellen identifiziert (z. B. durch die Verwendung des VRF- oder VPN-Identifikators, der in dem Ersetzungstabelleneintrag gespeichert ist). Ein Eintrag in der Routingtabelle wird dann unter Verwendung der IP-Quell- und -Zieladressen identifiziert, die aus dem empfangenen Paket erhalten wurden. Das Paket wird dann unter Verwendung des identifizierten Routingtabelleneintrags geroutet.
  • In Übereinstimmung mit verschiedenen Ausführungsbeispielen ist die vorliegende Erfindung mit Netzwerken kompatibel, die mit Multi Protocol Label Switching (MPLS)-Fähigkeiten erweitert wurden, wie diese in RFC 2547 mit dem Titel "BGP/MPLS VPNs" von Rosen et al. im März 1999 definiert worden sind. So kann das empfangene Paket ein MPLS-Tag enthalten, das einen VPN-Identifikator (oder einen VRF-Tabellenidentifikator) enthält. Deshalb kann die NAT zum Beispiel durch die Verwendung einer Ersetzungstabelle zustande gebracht werden, die einen VPN-Identifikator in jedem Tabelleneintrag enthält.
  • Um das umgewandelte Paket zu routen, kann die Diensteanbieter-Netzwerkvorrichtung eine Vielzahl von Routingtabellen (d. h., virtuelle Routen-Weiterleitungstabellen) halten, die mit einer Vielzahl von VPNs assoziiert sind. Eine der Routingtabellen wird entsprechend einem VPN- oder VRF-Tabellenidentifikator identifiziert, der in dem Paket vorhanden ist (z. B. das MPLS-Tag) (der auch in dem Ersetzungstabelleneintrag gespeichert werden kann, der zur Durchführung von NAT verwendet wird). Wenn die Routingtabelle identifiziert ist, wird ein Eintrag in der Routingtabelle unter Verwendung der IP-Quell- und -Zieladressen aus dem Paket identifiziert. Das Paket kann dann unter Verwendung des identifizierten Routingtabelleneintrags geroutet werden.
  • In Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung identifiziert das MPLS-Tag eines Pakets, das von der Netzwerkvorrichtung empfangen wurde, die Diensteanbieter-Netzwerkvorrichtung, die für die Durchführung von NAT verantwortlich ist. Auf diese Weise leitet die empfangende Vorrichtung dann, wenn die empfangende Vorrichtung nicht mit dem Vorrichtungsidentifikator identisch ist, das Paket lediglich vorwärts weiter. Wenn die empfangende Vorrichtung von dem Vorrichtungsidentifikator in dem MPLS-Tag identifiziert wird, führt die empfangende Netzwerkvorrichtung die NAT durch und routet das Paket so, wie dies hier offenbart wird.
  • In Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung wird jede Routingtabelle mit Default-Routen für gemeinsame Dienste aktualisiert. Mit anderen Worten, wenn Bekanntmachungen für gemeinsame Dienste empfangen werden, werden die herausgegebenen Default-Routen in jeder der Routingtabellen hinzugefügt oder aktualisiert. Auf diese Weise wird jede Routingtabelle, die mit jedem virtuellen privaten Netzwerk assoziiert ist, aktualisiert, um zu ermöglichen, dass gemeinsame Dienste von jedem virtuellen privaten Netzwerk empfangen werden können. Natürlich ist es auch möglich, Default-Routen für gemeinsame Dienste auf andere Weise zu identifizieren, wie etwa in einer separaten Routingtabelle oder in einer einzigen Tabelle, die von allen VPNs durch die Verwendung eines Tag oder Identifikators für gemeinsame Dienste gemeinsam benutzt wird.
  • In Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung führt die NAT-Vorrichtung eine Network Address Translation (NAT) durch. Allgemein gesagt werden Mechanismen (z. B. in einer kombinierten Router-/NAT-Vorrichtung) für das Umwandeln von Netzwerkadressen von Verkehr bereitgestellt, der zwischen zwei privaten Domänen oder Bereichen stattfindet. Diese Mechanismen können auch dazu verwendet werden, Verkehr umzuwandeln, der zwischen einer privaten und einer öffentlichen Domäne stattfindet.
  • Ebenfalls offenbart wird ein Network Address Translation (NAT) System, das dahingehend betätigbar ist, eine Network Address Translation durchzuführen. Das NAT-System umfasst einen oder mehrere Prozessoren und einen oder mehrere Speicher. Wenigstens einer der Speicher und der Prozessoren sind so ausgelegt, dass sie wenigstens einige der oben beschriebenen Verfahrensoperationen bereitstellen. Ebenfalls offenbart ist ein Computerprogrammerzeugnis für das Durchführen der Network Address Translation für Daten. Das Computerprogrammerzeugnis weist wenigstens ein computer-lesbares Medium und Computerprogrammbefehle auf, die innerhalb des computer-lesbaren Produkts gespeichert sind, die zur Durchführung wenigstens einiger der oben beschriebenen Verfahrensoperationen eingerichtet sind.
  • Diese und weitere Merkmale und Vorteile von Ausführungsbeispielen der vorliegenden Erfindung werden in der nachfolgenden Beschreibung der Erfindung und den beigefügten Zeichnungen ausführlicher dargestellt, die beispielshalber die Prinzipien der Erfindung veranschaulichen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist eine schematische Veranschaulichung von Abschnitten eines Netzwerks, in dem die Techniken der vorliegenden Erfindung durch ein Diensteanbieter-Netzwerk in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Erfindung implementiert werden können.
  • 2 ist ein Diagramm, das eine Vielzahl von virtuellen Routen-Weiterleitungstabellen veranschaulicht, die von einer Anbieter-NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung gehalten werden.
  • 3 ist ein Prozessablaufdiagramm, das ein Paket veranschaulicht, das ein Multi Protocol Label Switching (MPLS) Tag enthält und das von einer NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung weitergeleitet wird.
  • 4 ist ein Diagramm, das eine Ersetzungstabelle veranschaulicht, die von einer NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung gehalten wird.
  • 5 ist ein Prozessablaufdiagramm, das ein Verfahren zur Verarbeitung eines Pakets durch eine NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung veranschaulicht.
  • 6 ist ein Prozessablaufdiagramm, das ein Verfahren zum Aktualisieren einer Vielzahl von virtuellen Routen-Weiterleitungstabellen mit einer Default-Route für gemeinsame Dienste in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung veranschaulicht.
  • 7 ist eine schematische Darstellung eines Router, in dem Ausführungsbeispiele der vorliegenden Erfindung implementiert werden können.
  • AUSFÜHRLICHE BESCHREIBUNG SPEZIFISCHER AUSFÜHRUNGSBEISPIELE
  • Nun wird im Einzelnen Bezug auf ein spezifisches Ausführungsbeispiel der Erfindung genommen. Ein Beispiel dieses Ausführungsbeispiels ist in den beigefügten Zeichnungen veranschaulicht. Obwohl die Erfindung in Verbindung mit diesem spezifischen Ausführungsbeispiel beschrieben wird, ist es selbstverständlich, dass dieses nicht zur Beschränkung der Erfindung auf ein einziges Ausführungsbeispiel gedacht ist. Im Gegenteil, es ist so gedacht, dass die Erfindung Alternativen, Modifikationen und Äquivalente abdeckt, wie sie innerhalb des Schutzumfangs der Erfindung enthalten sein können, wie diese von den anhängenden Ansprüchen definiert ist. In der nachfolgenden Beschreibung werden zahlreiche spezifische Einzelheiten dargelegt, um ein vollständiges Verständnis der vorliegenden Erfindung bereitzustellen. Die vorliegende Erfindung kann ohne einige oder alle dieser spezifischen Einzelheiten praktiziert werden. In anderen Fällen sind wohl bekannte Prozessoperationen nicht im Einzelnen beschrieben worden, um die vorliegende Erfindung nicht unnötig zu verschleiern.
  • In der folgenden Beschreibung schlagen verschiedene Ausführungsbeispiele der Erfindung eine Lösung vor, um ein Anbieter-Netzwerk in die Lage zu versetzen, "gemeinsame Dienste" mehreren VPNs und assoziierten Kunden bereitstellen zu können. Diese Dienste können den Internet-Zugang, Voice Gatekeepers und Proxies umfassen, sind aber nicht auf diese beschränkt. Um solche Dienste für Kunden zu unterstützen, die assoziierte virtuelle private Netzwerke aufweisen, hält das Anbieter-Netzwerk Routinginformationen für jedes virtuelle private Netzwerk, die in Zusammenhang mit der NAT-Verarbeitung verwendet werden. Auf diese Weise kann die Unterstützung für IP-Dienste auf mehrere Unternehmenskunden ausgeweitet werden. Auf diese Weise kann die Belastung der Durchführung der NAT von den Kunden auf das Diensteanbieter-Netzwerk verlagert werden.
  • 1 ist eine schematische Veranschaulichung von Abschnitten eines Netzwerks 100, in dem die Techniken der vorliegenden Erfindung in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Erfindung implementiert werden können. Allgemein gesagt stellt die vorliegende Erfindung Mechanismen zum Durchführen der Network Address Translation (NAT) zwischen einer Vielzahl von unterschiedlichen Domänen bereit. Die unterschiedlichen Domänen können beide private Domänen sein, können beide auch öffentliche Domänen sein, oder es kann eine privat und die andere öffentlich sein. In Übereinstimmung mit einem bevorzugten Ausführungsbeispiel entsprechen ausgewählte Domänen virtuellen privaten Netzwerken (VPNs). Außerdem kann jede der Domänen eine andere Version von IP implementieren. In dem veranschaulichten Ausführungsbeispiel sind diese NAT-Techniken in einer kombinierten Router- und NAT-Vorrichtung 104 implementiert. Natürlich können die NAT-Techniken der vorliegenden Erfindung in jeder geeigneten Anzahl und in jedem geeigneten Typ von Vorrichtungen implementiert werden. In Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung wird die NAT-Vorrichtung in einer Diensteanbieter-Edge Box implementiert, die an einer Eingangsschnittstelle des Diensteanbieter-Netzwerks und/oder an einer Ausgangsschnittstelle des Diensteanbieter-Netzwerks implementiert ist.
  • In dem veranschaulichten Beispiel weist die Diensteanbieter-Edge Box (und NAT-Vorrichtung) 104 fünf Schnittstellen INT1 bis INT5 auf. Vier der Schnittstellen INT1 bis INT4 sind jeweils mit einer privaten Domäne gekoppelt. Zum Beispiel ist die Schnittstelle INT1 mit der privaten Domäne 1 103 gekoppelt, und die Schnittstelle INT4 ist mit der privaten Domäne 4 gekoppelt. Jede Domäne kann jegliche geeignete Anzahl von lokalen und privaten Netzwerken umfassen. Wie gezeigt ist, umfasst die Domäne 1 103 ein privates lokales Netzwerk (LAN) 102 von Hostcomputern (z. B. 102a, 102b und 102c). In diesem Beispiel ist die Domäne 1 103 als ein virtuelles privates Netzwerk (VPN) implementiert und wird als VPN 1 bezeichnet, das einem ersten Kundenstandort, Standort 1, des Kunden A entspricht. Die Domäne 2 114 ist mit dem VPN 2 assoziiert, das dem Kunden B entspricht. Die Domäne 3 116 ist mit einem zweiten Kundenstandort, einem Standort 2, des Kunden A assoziiert und ist deshalb auch mit dem VPN 1 assoziiert. Die Domäne 4 118 ist mit dem VPN 3 assoziiert, das dem Kunden C entspricht, und umfasst den Host 120 und den DNS Server 122. Die Domäne 4 118 kann andere Server- oder Client-Plattformen umfassen (nicht gezeigt). Die Diensteanbieter-Edge Box (und NAT-Vorrichtung) 104 ist auch mit einer öffentlichen Domäne 5 (z. B. Diensteanbieter-Netzwerk) 108 durch die Schnittstelle INT 5 gekoppelt. Die Domäne 5 108 umfasst den Server 112, auf den durch den Router 110 zugegriffen werden kann. Auf diese Weise kann auf einen gemeinsamen Dienst, wie etwa einen Web Server und eine assoziierte Webseite, über den Server 112 zugegriffen werden.
  • In dem ganzen Netzwerk 100 kann jegliche Anzahl von Routern und/oder NAT-Vorrichtungen verteilt sein. Zum Beispiel kann jede Domäne mit ihrer eigenen Router-/NAT-Vorrichtung assoziiert sein. Aber in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung führt die Diensteanbieter-Edge Box 104 die NAT für mehrere Kunden durch, wodurch die Notwendigkeit für eine separate NAT-Vorrichtung an jedem VPN oder an jedem Kundenstandort beseitigt wird.
  • Ein Diensteanbieter kann den Wunsch haben, eine Vielfalt von gemeinsamen Diensten zu entwickeln und den Zugriff auf diese gemeinsamen Dienste bereitzustellen. Tatsächlich können zusätzliche Dienstangebote ein Differenzierer gegenüber Mitbewerbern sein. Unternehmenskunden können deshalb von breiteren Angeboten durch Diensteanbieter profitieren. Darüber hinaus entbindet das Verlagern der Belastung der Durchführung von irgendwelchen notwendigen Adressenumsetzungen auf das Diensteanbieter-Netzwerk die Kunden von einer komplizierten administrativen Aufgabe. Als eine Folge davon können Kunden weiterhin private Adressierungen verwenden, aber dennoch Zugang zu gemeinsamen Diensten und dem Internet aufrecht erhalten. Außerdem kann die Einbindung der NAT-Funktion innerhalb des Diensteanbieter-Netzwerks auch die Gesamtkosten für Unternehmenskunden herabsetzen, da die Kunden-Unternehmens-Router an dem Rand der Unternehmensnetzwerke nicht die NAT-Funktion durchführen müssen.
  • Da die Diensteanbieter-Edge Box den VPN-Zugang für jedes Kunden-Unternehmensnetzwerk (für ferne Kunden) bereitstellt, hält der Diensteanbieter eine Vielzahl von Routingtabellen (d. h., virtuelle Routen-Weiterleitungstabellen) für jedes der VPNs. Auf diese Weise kann der Diensteanbieter zwischen potentiell identischen privaten Adressen unterscheiden, die von mehreren VPNs unterstützt werden.
  • 2 ist ein Diagramm, das eine Vielzahl von virtuellen Routen-Weiterleitungstabellen veranschaulicht, die von einer Anbieter-NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung gehalten werden. Wie gezeigt ist, ist die Diensteanbieter-Edge Box 208 mit einem oder mehreren virtuellen privaten Netzwerken gekoppelt. Insbesondere in diesem Beispiel sind drei unterschiedliche VPNs 202, 204 und 206 mit der Diensteanbieter-Edge Box 208 gekoppelt. Die Diensteanbieter-Edge Box 208 hält eine Vielzahl von VRF-Tabellen 209, wobei jede der Routingtabellen mit einem anderen VPN assoziiert ist. Wie gezeigt ist, ist die VRF-Tabelle 1 210 mit dem VPN1 assoziiert, die VRF-Tabelle 2 212 ist mit dem VPN2 assoziiert, und die VRF-Tabelle 3 214 ist mit dem VPN3 assoziiert. Die Routingtabellen 210, 212, 214 können in der Anbieter Edge Box 208 gespeichert werden (wie gezeigt ist), oder können in einem Speicher gespeichert werden, der mit der Anbieter Edge Box 208 assoziiert ist.
  • Um ein Paket routen zu können, muß der Diensteanbieter zuerst einmal die geeignete Routingtabelle identifizieren. Traditionellerweise verwaltete jedes Kunden-Unternehmensnetzwerk seine eigene Routingtabelle. Durch das Unterstützen von mehreren Routingtabellen kann das Diensteanbieter-Netzwerk die geeignete Routingtabelle identifizieren und ein Paket dementsprechend weiter leiten. Dies kann dadurch erzielt werden, dass Informationen beschafft werden, die eine VPN- und/oder VRF-Tabelle anzeigen, um das Paket zu routen. Insbesondere können diese Informationen aus dem zu routenden Paket erhalten werden.
  • Viele Diensteanbieter erweitern im Augenblick ihre Netzwerke mit Multi Protocol Label Switching (MPLS). 3 ist ein Prozessablaufdiagramm, das ein Paket veranschaulicht, das ein Multi Protocol Label Switching (MPLS)-Tag enthält und das von einer NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung weitergeleitet wird. Wie gezeigt ist, umfasst das Paket 300 einen IP-Header 302, der eine IP-Zieladresse 304 und eine IP-Quelladresse 306 enthält. In diesem Beispiel ist die IP-Zieladresse 304 der Server 112 und die IP-Quelladresse 306 ist der Host 120. Das Paket 300 umfasst des Weiteren eine Nutzlast 308 und ein MPLS-Tag 310. Eine vereinfachte Version des MPLS-Tag zeigt einen Anbieter-Randvorrichtungs-Identifikator (provider edge device identifier) 312, der die Anbieter-Randvorrichtung identifiziert, von der aus das Pakete gesendet wurde. Außerdem identifiziert ein VPN-Identifikator 314 das virtuelle private Netzwerk, von dem das Paket gesendet worden ist. In diesem Beispiel identifiziert der VPN-Identifikator 314 das VPN3. Eine ausführlichere Beschreibung der Inhalte eines MPLS-Tag ist in RFC 2547 offenbart.
  • Um eine NAT durchzuführen, wird typischerweise eine Ersetzungstabelle verwendet. 4 ist ein Diagramm, das eine Ersetzungstabelle veranschaulicht, die von einer NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung gehalten wird. Insbesondere umfasst die Ersetzungstabelle 400 eine Vielzahl von Einträgen 402. Jeder Eintrag 402 enthält einen VPN-Identifikator oder VRF-Tabellen-Identifikator 404, eine "innere" lokale Adresse 406, eine "innere" öffentliche Adresse 408, eine "äußere" lokale Adresse 410 und eine "äußere" öffentliche Adresse 412. Mit anderen Worten gesagt entsprechen die "lokalen" Adressen den IP-Adressen, die innerhalb eines virtuellen privaten Netzwerks verwendet werden können (d. h., private Adressen), und die "öffentlichen" Adressen entsprechen den IP-Adressen, die außerhalb des virtuellen privaten Netzwerks verwendet werden können (d. h., öffentliche Adressen). Lokale Adressen werden verwendet, wenn Pakete zu Knoten innerhalb des virtuellen privaten Netzwerks gesendet werden, während öffent liche Adressen verwendet werden, wenn Pakete zu Knoten außerhalb des virtuellen privaten Netzwerks gesendet werden. Die "äußeren" Adressen entsprechen den Adressen oder Knoten außerhalb des virtuellen privaten Netzwerks, während die "inneren" Adressen diejenigen Adressen oder Knoten identifizieren, die sich innerhalb des virtuellen privaten Netzwerks befinden. In diesem Beispiel weist der Server 112 von 1 die Adresse 192.1.1.1 auf, und der Host 120 der 1 weist die Adresse 10.1.1.1 auf. Insbesondere die Adresse 10.1.1.1 kann von mehreren Hosts mehrerer VPNs gemeinsam genutzt werden. So kann der VPN-Identifikator des Ersetzungstabelleneintrags dazu verwendet werden, zwischen diesen Hosts zu unterscheiden. Der VPN-Identifikator kann zum Beispiel aus einem MPLS-Tag des Pakets erhalten werden.
  • In Übereinstimmung mit einem Ausführungsbeispiel wird eine NAT dann, wenn ein Paket von der Innenseite des VPN zu der Außenseite des VPN gesendet wird, durchgeführt und ein Ersetzungstabelleneintrag wird erzeugt. Wie oben beschrieben ist, wird der VRF- oder VPN-Identifikator in dem Ersetzungstabelleneintrag gespeichert. Die zugehörige Routingtabelle, wie sie von dem VRF- oder VPN-Identifikator identifiziert wird, wird ebenfalls aktualisiert.
  • Wenn der zugehörige Eintrag unter Verwendung der IP-Quell- und – Zieladressen und des VPN-Identifikators identifiziert worden ist, werden die entsprechenden öffentlichen Adressen beschafft, um die NAT durchzuführen, damit ein Paket von dem Host zu der Webseite übertragen wird. Das Paket kann dann mit den modifizierten öffentlichen Adressen übertragen werden. In diesem Beispiel wird die Hostadresse 10.1.1.1 in 172.1.1.1 umgesetzt bzw. durch diese ersetzt, und die Serveradresse bleibt gleich, da sie eine öffentliche Adresse ist. Auf diese Weise wird dann, wenn ein Paket von einer privaten IP-Quelladresse gesendet wird, die IP-Quelladresse von einer privaten Adresse zu einer öffentlichen Adresse ersetzt.
  • Um ein Paket von der Webseite zu dem Host zu übertragen, betrachtet die Server-Anbieter-Box den geeigneten Ersetzungstabelleneintrag unter Verwendung der IP-Quell- und -Zieladressen. Die Quell-IP-Adresse des Servers bleibt gleich, während die Ziel-IP-Adresse 172.1.1.1 in 10.1.1.1 umgewandelt wird. Auf diese Weise wird dann, wenn ein Paket von einer öffentlichen IP- Quelladresse gesendet wird, die öffentliche IP-Zieladresse durch eine private Adresse ersetzt, wenn sich die IP-Zieladresse in einem privaten Netzwerk oder VPN befindet. Ein Verfahren zur Verarbeitung eines Pakets, das durch eine Diensteanbieter-Netzwerkvorrichtung von außerhalb des VPN empfangen wird, wird unten unter Bezugnahme auf 5 noch ausführlicher beschrieben werden.
  • Wie oben unter Bezugnahme auf 4 beschrieben worden ist, können Ersetzungs- und Routingtabellen aktualisiert werden, wenn ein Paket von innerhalb eines VPN zu einem Knoten außerhalb des VPN übertragen wird. 5 ist ein Prozessablaufdiagramm, das ein Verfahren zur Verarbeitung eines Pakets durch eine Diensteanbieter-Netzwerk-NAT-Vorrichtung in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung veranschaulicht, das von außerhalb des VPN empfangen wird und zu einem Knoten innerhalb des VPN adressiert ist. Wie bei Block 502 gezeigt ist, wird die NAT durchgeführt. Zum Beispiel kann das MPLS-Tag, die dies oben beschrieben ist, die Netzwerkvorrichtung identifizieren, die für das Durchführen der NAT und das Routen des Pakets verantwortlich ist. Außerdem kann das MPLS-Tag auch das VPN-Netzwerk identifizieren. Auf diese Weise kann das VPN aus dem MPLS-Tag ermittelt werden, um einen Eintrag in einer Ersetzungstabelle wie etwa denjenigen zu identifizieren, der oben unter Bezugnahme auf 4 beschrieben worden ist. Wenn ein Eintrag in der Ersetzungstabelle einmal unter Verwendung der IP-Quelladresse (und/oder des Ports), der IP-Zieladresse (und/oder des Ports) und des VPN-Identifikators, die aus dem Paket erhalten wurden, identifiziert ist, wird die NAT bei dem Paket unter Verwendung der Inhalte des Ersetzungstabelleneintrags durchgeführt.
  • Wenn die NAT durchgeführt worden ist, kann das Paket geroutet werden. Insbesondere eine der Vielzahl von Routingtabellen, die von der Diensteanbieter-Netzwerkvorrichtung gehalten werden, muß beim Block 504 identifiziert werden, damit das Paket geroutet werden kann. Wie oben beschrieben ist, ist der VPN- und/oder VRF-Tabellen-Identifikator in einem MPLS-Tag in Übereinstimmung mit einem Ausführungsbeispiel identifiziert. Dieser VPN-Identifikator wird auch vorzugsweise in dem Ersetzungstabelleneintrag gespeichert. Auf diese Weise kann die zugehörige Routingtabelle, die mit einem spezifischen VPN assoziiert ist, unter Verwendung des VPN- Identifikators identifiziert werden, der aus dem MPLS-Tag oder alternativ aus dem VPN-Identifikator erhalten wird, der in dem Ersetzungstabelleneintrag gespeichert ist, der vorher verwendet wurde, um bei dem Paket die NAT durchzuführen.
  • Nach der Identifikation der Routingtabelle, die mit dem VPN assoziiert ist, wird ein Eintrag in der Routingtabelle unter Verwendung der IP-Quelladresse und der IP-Zieladresse in dem Paket identifiziert, wie dies bei Block 506 gezeigt ist. Das Paket wird dann unter Verwendung des identifizierten Routingtabelleneintrags beim Block 508 geroutet.
  • Um zu gewährleisten, dass jede VRF-Tabelle (Routingtabelle) aktualisiert wird, werden herausgegebene Routen zu jeder der Routingtabellen hinzugefügt, die von der Diensteanbieter-Edge Box gehalten werden. 6 ist ein Prozessablaufdiagramm, das ein Verfahren zur Aktualisierung einer Vielzahl von virtuellen Routen-Weiterleitungstabellen mit einer Default-Route zu gemeinsamen Diensten in Übereinstimmung mit verschiedenen Ausführungsbeispielen der Erfindung veranschaulicht, wie dies bei 600 gezeigt ist. Jede Netzwerkvorrichtung, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes VPN zur Verfügung stehen, gibt eine "Default-Route" zum Erreichen der Netzwerkvorrichtung heraus. Wie bei Block 602 gezeigt ist, werden eine oder mehrere herausgegebene Default-Routen zu gemeinsamen Diensten, die für jedes VPN zur Verfügung stehen, von der Diensteanbieter-Edge Box empfangen. Jede der Vielzahl von Routingtabellen, die jedem VPN entsprechen, wird dann beim Block 604 aktualisiert, damit sie die Default-Routen) enthält. Mit anderen Worten, jede Default-Route definiert eine Route zum Gelangen zu einer Netzwerkvorrichtung, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes VPN zur Verfügung stehen.
  • Im Allgemeinen können die Techniken zur Durchführung der Network Address Translation und des Routens in Übereinstimmen mit verschiedenen Ausführungsbeispielen der Erfindung in Software und/oder Hardware implementiert werden. Zum Beispiel können sie in einem Betriebssystem-Kernel, in einem separaten Benutzerprozess, in einem Bibliotheksprogrammpaket, das in Netzwerkanwendungen eingebunden ist, auf einer speziell konstruierten Maschine oder auf einer Netzwerk-Schnittstellenkarte implementiert werden. In einem spezifischen Ausführungsbeispiel der vorliegenden Erfindung werden die Techniken der vorliegenden Erfindung in Software, wie etwa einem Betriebssystem, oder in einer Anwendung, die in einem Betriebssystem läuft, implementiert.
  • Ein Software- oder Software/Hardware-Hybrid-Paket-Verarbeitungssystem der vorliegenden Erfindung wird vorzugsweise in einer programmierbaren Mehrzweckmaschine implementiert, die von einem Computerprogramm, das in einem Speicher gespeichert ist, selektiv aktiviert oder rekonfiguriert wird. Eine solche programmierbare Maschine kann eine Netzwerkvorrichtung sein, die zur Handhabung von Netzwerkverkehr ausgelegt ist. Solche Netzwerkvorrichtungen weisen typischerweise mehrere Netzwerkschnittstellen auf, die zum Beispiel Frame Relay Schnittstellen und ISDN-Schnittstellen umfassen. Spezifische Beispiele für solche Netzwerkvorrichtungen umfassen Router und Switches. Zum Beispiel können die Paketverarbeitungssysteme der vorliegenden Erfindung speziell konfigurierte Router sein, wie etwa die speziell konfigurierten Router-Modelle 1600, 2500, 2600, 3600, 4500, 4700, 7200, 7500 und 12000, die von der Firma Cisco Systems, Inc., aus San Jose, Kalifornien erhältlich sind. Eine allgemeine Architektur für einige dieser Maschinen wird aus der unten gegebenen Beschreibung offensichtlich werden. In einem alternativen Ausführungsbeispiel kann das Paketverarbeitungssystem (z. B. die NAT-Vorrichtung oder die Diensteanbieter-Edge Box) in einer Mehrzweck-Netzwerk-Hostmaschine wie etwa einem Personal Computer oder einem Arbeitsplatzrechner implementiert sein. Des Weiteren kann die Erfindung zumindest teilweise auf einer Karte (z. B. einer Schnittstellenkarte) für eine Netzwerkvorrichtung oder eine Mehrzweckdatenverarbeitungsvorrichtung implementiert werden.
  • Nun wird Bezug auf 7 genommen. Ein Router 10, der zur Implementierung von Ausführungsbeispielen der vorliegenden Erfindung geeignet ist, umfasst eine Master-Zentraleinheit (CPU) 62, Schnittstellen 68 und einen Bus 15 (z. B. einen PCI-Bus). Wenn die CPU 62 unter der Steuerung einer geeigneten Software oder Firmware agiert, ist die CPU 62 für solche Routeraufgaben wie etwa Routingtabellen-Berechnungen und Netzwerkmanagement verantwortlich. Sie kann auch für die Feststellung, ob eine Adresse eine private Adresse ist, die Feststellung, ob eine Bindung für eine private Adresse vorhanden ist, und die Umsetzung einer privaten Adresse oder einer DNS-Nutzlastadresse in eine öffentliche Pooladresse, etc., verantwortlich sein. Sie bewerkstelligt all diese Funktionen vorzugsweise unter der Steuerung einer Software, die ein Betriebssystem (z. B. das Internetwork Operating System (IOS®) von Cisco Systems, Inc.) und irgendeine geeignete Anwendungssoftware einschließt. Die CPU 62 kann einen oder mehrere Prozessoren 63 einschließen, wie etwa einen Prozessor aus der Motorola-Familie von Mikroprozessoren oder der MIPS-Familie von Mikroprozessoren. In einem alternativen Ausführungsbeispiel ist der Prozessor 63 eine speziell entworfene Hardware zur Steuerung der Operationen des Routers 10. In einem spezifischen Ausführungsbeispiel bildet auch ein Speicher 61 (wie etwa ein nichtflüchtiger RAM und/oder ROM) einen Teil der CPU 62. Aber es gibt viele verschiedene Arten und Weisen, wie ein Speicher mit dem System gekoppelt sein kann. Der Speicherblock 61 kann für eine Vielfalt von Zwecken verwendet werden, wie zum Beispiel für das Cachen und/oder Speichern von Daten, Programmieranweisungen, etc..
  • Die Schnittstellen 68 werden typischerweise als Schnittstellenkarten bereitgestellt (die manchmal als "Leitungskarten" bezeichnet werden). Im Allgemeinen steuern sie das Senden und Empfangen von Datenpaketen oder Datensegmenten über das Netzwerk und unterstützen manchmal andere Peripheriegeräte, die mit dem Router 10 verwendet werden. Unter den Schnittstellen, die bereitgestellt werden können, befinden sich Ethernet Schnittstellen, Frame Relay Schnittstellen, Kabelschnittstellen, DSL-Schnittstellen, Token Ring Schnittstellen und dergleichen. Außerdem können verschiedene Schnittstellen mit sehr hoher Geschwindigkeit bereitgestellt werden, wie etwa Fast Ethernet Schnittstellen, Gigabit Ethernet Schnittstellen, ATM Schnittstellen, HSSI Schnittstellen, POS Schnittstellen, FDDI Schnittstellen und dergleichen. Im Allgemeinen können diese Schnittstellen Ports umfassen, die für die Kommunikation mit den zweckmäßigen Medien geeignet sind. In einigen Fällen können sie auch einen unabhängigen Prozessor umfassen, und in einigen Fällen sogar einen flüchtigen RAM. Die unabhängigen Prozessoren können solche kommunikationsintensiven Aufgaben wie etwa das Paket-Switching, die Mediensteuerung und das Medienmanagement steuern. Durch das Bereitstellen von separaten Prozessoren für kommunikationsintensive Aufgaben erlauben es diese Schnittstellen, dass der Master-Mikroprozessor 62 Routingberechnungen, Netzdiagnosen, Sicherheitsfunktionen, etc. effizient durchführen kann.
  • Obwohl das System, das in 7 gezeigt ist, ein spezifischer Router der vorliegenden Erfindung ist, ist dies auf keinen Fall die einzige Router-Architektur, in der die vorliegende Erfindung implementiert werden kann. Zum Beispiel wird auch oft eine Architektur, die einen einzigen Prozessor aufweist, der sowohl Kommunikationen als auch Routingberechnungen etc. handhabt, verwendet. Außerdem können auch andere Arten von Schnittstellen und Medien mit dem Router verwendet werden.
  • Ungeachtet der Konfiguration der Netzwerkvorrichtung kann diese einen oder mehrere Speicher oder Speichermodule verwenden (wie etwa zum Beispiel den Speicherblock 65), die zur Speicherung von Daten, Programmanweisungen für die Mehrzweck-Netzwerkoperationen und/oder die hier beschriebenen erfinderischen Techniken eingerichtet sind. Die Programmanweisungen können zum Beispiel den Betrieb eines Betriebssystems und/oder einer oder mehrerer Anwendungen steuern. Der Speicher oder die Speicher kann/können auch so konfiguriert sein, dass er/sie eine virtuelle Routen-Weiterleitungstabelle für jedes virtuelle private Netzwerk speichert/speichern.
  • Da solche Informationen und Programmanweisungen verwendet werden können, um die hier beschriebenen Systeme/Verfahren zu implementieren, betrifft die vorliegende Erfindung auch maschinenlesbare Medien, die Programmanweisungen, Zustandsinformationen, etc. zum Durchführen verschiedener, hier beschriebener Operationen enthalten. Beispiele für maschinenlesbare Medien umfassen, sind aber nicht beschränkt auf magnetische Medien wie etwa Festplatten, Floppy Disks und Magnetbänder; optische Medien wie etwa CD-ROM Disks und DVDs; magnetooptische Medien wie etwa Floptical Disks; und Hardwarevorrichtungen, die speziell für die Speicherung und Durchführung von Programmanweisungen konfiguriert sind, wie etwa Nur-Lese-Speichervorrichtungen (ROM) und Direktzugriffsspeicher (RAM). Die Erfindung kann auch in einer Trägerwelle verwirklicht werden, die über ein geeignetes Medium wandert, wie etwa Luftwellen, optische Leitungen, elektrische Leitungen, etc.. Beispiele für Programmanweisungen umfassen sowohl einen Maschinencode, wie etwa denjenigen, der von einem Compiler erzeugt wird, als auch Dateien, die Codes höherer Ebene enthalten, die von dem Computer unter Verwendung eines Interpretierers ausgeführt werden können.
  • Obwohl die obige Erfindung für die Zwecke der Klarheit des Verständnisses in einigen Einzelheiten beschrieben worden ist, wird es offensichtlich sein, dass bestimmte Änderungen und Modifikationen innerhalb des Schutzumfangs der angehängten Ansprüche praktiziert werden können. Zum Beispiel kann, obwohl die vorliegende Erfindung unter Bezugnahme auf die Verwendung von mehreren Routingtabellen beschrieben worden ist, eine einzige Routingtabelle für mehrere VPNs verwendet werden, indem ein VPN-Identifikator in jeden Routingtabelleneintrag eingefügt wird. Deshalb sollten die beschriebenen Ausführungsbeispiele als veranschaulichend und nicht als beschränkend betrachtet werden, und die Erfindung sollte nicht auf die hier gegebenen Einzelheiten beschränkt sein, sondern sollte durch die folgenden Ansprüche definiert sein.

Claims (21)

  1. Verfahren zum Durchführen von Paketweiterleitung, das umfasst: Halten einer Vielzahl von Sätzen von Routinginformationen (209), wobei jeder der Sätze von Routinginformationen mit einem anderen privaten Netzwerk (202, 204, 206) assoziiert ist; und Routen eines Pakets mittels eines Verfahrens, das die folgenden Schritte umfasst: Empfangen eines Pakets (300), wobei das Paket eine IP-Quelladresse (306) und eine IP-Zieladresse (304) aufweist, wobei das Paket des Weiteren Informationen (314) aufweist, die einen der Vielzahl von Sätzen von Routinginformationen angeben, um das Paket zu routen; Durchführen von Network Address Translation, NAT, für das Paket; Identifizieren eines Eintrags in einem der Sätze von Routinginformationen unter Verwendung der IP-Zieladresse; und Routen des Pakets unter Verwendung des identifizierten Eintrags; wobei das Verfahren gekennzeichnet ist durch die folgenden Schritte: Empfangen einer Default-Route, die von einer Netzwerkvorrichtung herausgegeben wird, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen; und Aktualisieren der Sätze von Routinginformationen, damit sie die Default-Route für die Netzwerkvorrichtung, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen, umfassen.
  2. Verfahren nach Anspruch 1, wobei jeder der Sätze von Routinginformationen entsprechend jedem virtuellen privaten Netzwerk in einer separaten Routingtabelle (210, 212, 214) gespeichert wird.
  3. Verfahren nach Anspruch 2, das des Weiteren umfasst: Identifizieren eine der Vielzahl von Routingtabellen (210, 212, 214), um das Paket zu routen; Identifizieren des Eintrags in der identifizierten der Vielzahl von Routingtabellen unter Verwendung der IP-Zieladresse.
  4. Verfahren nach Anspruch 1, wobei jeder der Sätze von Routinginformationen entsprechend jedem virtuellen privaten Netzwerk in einer einzelnen Routingtabelle gespeichert wird, wobei jeder Eintrag in der Routingtabelle einen VPN-Identifikator, der das entsprechende virtuelle private Netzwerk identifiziert, aufweist.
  5. Verfahren nach Anspruch 1, wobei das Aktualisieren der Sätze von Routinginformationen umfasst: Aktualisieren einer einzelnen Routingtabelle, damit sie die Default-Route enthält.
  6. Verfahren nach Anspruch 5, wobei die einzige Routingtabelle dazu bestimmt ist, Default-Routes für gemeinsame Dienste zu speichern, die für jedes virtuelle private Netzwerk zur Verfügung stehen.
  7. Verfahren nach Anspruch 5, wobei die einzelne Routingtabelle die Sätze von Routinginformationen speichert.
  8. Verfahren nach Anspruch 1, wobei das Aktualisieren der Sätze von Routinginformationen das Aktualisieren einer Vielzahl von Routingtabellen (210, 212, 214) umfasst, damit sie die Default-Route enthalten, wobei jede der Vielzahl von Routingtabellen mit einem anderen virtuellen privaten Netzwerk assoziiert ist.
  9. Verfahren nach Anspruch 1, wobei jedes virtuelle private Netzwerk (202, 204, 206) mit einem anderen Kunden assoziiert ist.
  10. Verfahren nach Anspruch 1, wobei das Verfahren an einer Netzwerkvorrichtung durchgeführt wird, die mit einer Eingangsschnittstelle eines Diensteanbieter-Netzwerks assoziiert ist.
  11. Verfahren nach Anspruch 1, wobei das Verfahren an einer Netzwerkvorrichtung durchgeführt wird, die mit einer Ausgangsschnittstelle eines Diensteanbieter-Netzwerks assoziiert ist.
  12. Verfahren nach Anspruch 1, wobei das Verfahren an einer Netzwerkvorrichtung durchgeführt wird, die mit einem Diensteanbieter-Netzwerk assoziiert ist.
  13. Verfahren nach Anspruch 1, wobei das Durchführen von NAT für das Paket umfasst: Ersetzen der IP-Quelladresse von einer privaten Adresse zu einer öffentlichen Adresse, wenn das Paket von einer Netzwerkvorrichtung in einem privaten Netzwerk empfangen wird.
  14. Verfahren nach Anspruch 1, wobei das Durchführen von NAT für das Paket umfasst: Ersetzen der IP-Zieladresse von einer öffentlichen Adresse zu einer privaten Adresse, wenn das Paket von einer Netzwerkvorrichtung in einem öffentlichen Netzwerk empfangen wird.
  15. Verfahren nach Anspruch 14, wobei die Netzwerkvorrichtung in dem öffentlichen Netzwerk einen oder mehrere Dienste für jedes virtuelle private Netzwerk bereitstellt.
  16. Verfahren nach Anspruch 3, wobei das Paket ein MPLS-Tag (310) aufweist, das ein virtuelles privates Netzwerk angibt, und wobei das Identifizieren einer der Routingtabellen (210, 212, 214) umfasst: Ermitteln des virtuellen privaten Netzwerks aus dem MPLS-Tag; und Identifizieren der einen der Routingtabellen, die mit dem virtuellen privaten Netzwerk assoziiert ist.
  17. Verfahren nach Anspruch 16, wobei das MPLS-Tag (310) des Weiteren die Netzwerkvorrichtung identifiziert, die für das Durchführen von NAT und für das Routen des Pakets verantwortlich ist.
  18. Verfahren nach Anspruch 3, wobei das Paket ein MPLS-Tag (310) aufweist, das ein virtuelles privates Netzwerk angibt, und wobei das Durchführen von NAT für das Paket umfasst: Ermitteln des virtuellen privaten Netzwerks aus dem MPLS-Tag; Identifizieren eines Eintrags (402) in einer Ersetzungstabelle (400), die die IP-Quelladresse, die IP-Zieladresse und einen virtuellen privaten Netzwerk-Identifikator enthält, der das virtuelle private Netzwerk identifiziert; und Durchführen von NAT für das Paket mittels des Eintrags in der Ersetzungstabelle.
  19. Verfahren nach Anspruch 18, wobei das Identifizieren einer der Routingtabellen (210, 212, 214) zum Routen des Pakets umfasst: Identifizieren der einen der Routingtabellen aus dem Eintrag (402) in der Ersetzungstabelle (400).
  20. Computerprogramm oder Computerprogrammerzeugnis oder computerlesbares Medium mit computer-lesbaren Befehlen zum Durchführen von Paketweiterleitung in einer Netzwerkvorrichtung mittels eines Verfahrens gemäß einem der Ansprüche 1 bis 19.
  21. Netzwerkvorrichtung, die zum Durchführen von Paketweiterleitung ausgelegt ist, und aufweist: eine Einrichtung zum Halten einer Vielzahl von Routingtabellen (210, 212, 214), wobei jede der Vielzahl von Routingtabellen mit einem anderen virtuellen privaten Netzwerk (202, 204, 206) assoziiert ist; eine Einrichtung zum Empfangen eines Pakets (300), wobei das Paket eine IP-Quelladresse (306) und eine IP-Zieladresse (304) aufweist, wobei das Paket des Weiteren Informationen (314) enthält, die eine der Vielzahl von Routingtabellen angeben, um das Paket zu routen; eine Einrichtung zum Durchführen von Network Address Translation, NAT, für das Paket; eine Einrichtung zum Identifizieren einer der Vielzahl von Routingtabellen, um das Paket zu routen; eine Einrichtung zum Identifizieren eines Eintrags in der einen der Vielzahl von Routingtabellen mittels der IP-Zieladresse; eine Einrichtung zum Routen des Pakets mittels des identifizierten Routingtabellen-Eintrags; dadurch gekennzeichnet, dass sie aufweist: eine Einrichtung zum Empfangen einer Default-Route, die von einer Netzwerkvorrichtung herausgegeben wird, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen; und eine Einrichtung zum Aktualisieren jede der Vielzahl von Routingtabellen, damit sie die Default-Route für die Netzwerkvorrichtung, die einen oder mehrere gemeinsame Dienste bereitstellt, die für jedes virtuelle private Netzwerk zur Verfügung stehen, aufweist.
DE602004011219T 2003-06-19 2004-06-08 Anordnung und verfahren zur behandlung von geteilten diensten durch eine adressenumsetzung mit weiterleitung von virtual routes Expired - Lifetime DE602004011219T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US600893 1984-04-16
US10/600,893 US7715380B2 (en) 2003-06-19 2003-06-19 Apparatus and methods for handling shared services through virtual route forwarding (VRF)-aware-NAT
PCT/US2004/018112 WO2004114634A1 (en) 2003-06-19 2004-06-08 Apparatus and methods for handling shared services through virtual route forwarding (vrf) -aware-nat

Publications (2)

Publication Number Publication Date
DE602004011219D1 DE602004011219D1 (de) 2008-02-21
DE602004011219T2 true DE602004011219T2 (de) 2009-01-08

Family

ID=33539423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004011219T Expired - Lifetime DE602004011219T2 (de) 2003-06-19 2004-06-08 Anordnung und verfahren zur behandlung von geteilten diensten durch eine adressenumsetzung mit weiterleitung von virtual routes

Country Status (8)

Country Link
US (1) US7715380B2 (de)
EP (1) EP1634428B1 (de)
CN (1) CN1781297B (de)
AT (1) ATE383710T1 (de)
AU (1) AU2004250904B2 (de)
CA (1) CA2521540C (de)
DE (1) DE602004011219T2 (de)
WO (1) WO2004114634A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018036659A1 (de) * 2016-08-26 2018-03-01 Telefónica Germany GmbH & Co. OHG Endanwenderspezifisches virtuelles globales netzwerk

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937471B2 (en) * 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
US7447203B2 (en) * 2003-07-29 2008-11-04 At&T Intellectual Property I, L.P. Broadband access for virtual private networks
US7643484B2 (en) * 2003-09-26 2010-01-05 Surgient, Inc. Network abstraction and isolation layer rules-based federation and masquerading
US7769004B2 (en) * 2003-09-26 2010-08-03 Surgient, Inc. Network abstraction and isolation layer for masquerading machine identity of a computer
US7593388B1 (en) * 2003-09-30 2009-09-22 Nortel Networks Limited Convertor shared by multiple virtual private networks
US8051177B1 (en) * 2003-09-30 2011-11-01 Genband Us Llc Media proxy having interface to multiple virtual private networks
EP1766889A1 (de) * 2003-12-26 2007-03-28 France Telecom Markierung eines über ein ip-netzwerk gesendeten datagrams und übertragung eines solchen datagrams
US8190772B2 (en) * 2003-12-29 2012-05-29 Nortel Networks Limited Apparatus and method for layer-2 and layer-3 VPN discovery
US7433963B2 (en) * 2003-12-29 2008-10-07 At&T Intellectual Property I, Lp Methods, systems, and computer program products for using a translation/instruction system to redirect a multiprotocol label switching (MPLS) packet
US7912072B1 (en) * 2004-06-21 2011-03-22 Nortel Networks Limited Communication with a remote device
US7400611B2 (en) * 2004-06-30 2008-07-15 Lucent Technologies Inc. Discovery of border gateway protocol (BGP) multi-protocol label switching (MPLS) virtual private networks (VPNs)
US7643434B2 (en) * 2004-09-30 2010-01-05 Hewlett-Packard Development Company, L.P. Method and system for managing network nodes which communicate via connectivity services of a service provider
US20060221955A1 (en) * 2005-04-05 2006-10-05 Mark Enright IP addressing in joined private networks
US7894432B2 (en) * 2005-04-09 2011-02-22 Audiocodes, Inc. Apparatus and method creating virtual routing domains in an internet protocol network
JP4886788B2 (ja) * 2005-12-13 2012-02-29 インターナショナル・ビジネス・マシーンズ・コーポレーション 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
US8078728B1 (en) 2006-03-31 2011-12-13 Quest Software, Inc. Capacity pooling for application reservation and delivery
US20100165993A1 (en) * 2006-06-09 2010-07-01 Henrik Basilier Operator Managed Virtual Home Network
CN101090403B (zh) * 2006-06-15 2010-12-29 中兴通讯股份有限公司 一种在聚合端口的访问控制列表的装置及其实现方法
EP1874005A1 (de) * 2006-06-27 2008-01-02 Koninklijke KPN N.V. Ein persönliches Netzwerk mit mehreren Clustern
US7525969B2 (en) * 2006-08-25 2009-04-28 Cisco Technology, Inc. NAT processing in a VRF environment
CN101141279B (zh) * 2006-09-04 2010-12-29 中兴通讯股份有限公司 通过虚拟局域网的访问控制列表的装置及其实现方法
US8705374B1 (en) * 2006-10-31 2014-04-22 At&T Intellectual Property Ii, L.P. Method and apparatus for isolating label-switched path impairments
TW200822633A (en) * 2006-11-03 2008-05-16 Hon Hai Prec Ind Co Ltd Network device and packet forwarding method thereof
US8072973B1 (en) * 2006-12-14 2011-12-06 Cisco Technology, Inc. Dynamic, policy based, per-subscriber selection and transfer among virtual private networks
US8675656B2 (en) * 2007-02-20 2014-03-18 Cisco Technology, Inc. Scaling virtual private networks using service insertion architecture
CN100452746C (zh) * 2007-03-12 2009-01-14 杭州华三通信技术有限公司 一种确定出接口的方法及多接入宽带路由器
EP1973275A1 (de) * 2007-03-22 2008-09-24 British Telecommunications Public Limited Company Datenübertragungsverfahren und -vorrichtung
US8503334B2 (en) * 2007-12-14 2013-08-06 Level 3 Communications, Llc System and method for providing network services over shared virtual private network (VPN)
US8194674B1 (en) * 2007-12-20 2012-06-05 Quest Software, Inc. System and method for aggregating communications and for translating between overlapping internal network addresses and unique external network addresses
JP5159899B2 (ja) * 2008-02-11 2013-03-13 ドルビー ラボラトリーズ ライセンシング コーポレイション プライベートネットワークのダイナミックdnsシステム
US8953629B2 (en) * 2008-02-26 2015-02-10 Cisco Technology, Inc. Blade router with NAT support
US7916729B2 (en) * 2008-09-30 2011-03-29 Cisco Technology, Inc. Automatic RD rewrite technique to achieve fast convergence in inter-as networks
US9137209B1 (en) 2008-12-10 2015-09-15 Amazon Technologies, Inc. Providing local secure network access to remote services
US9524167B1 (en) * 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
US8201237B1 (en) 2008-12-10 2012-06-12 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
CN101753430B (zh) * 2008-12-19 2012-07-25 华为技术有限公司 基于路由区分符的分布式vpn路由处理装置及方法
WO2010069261A1 (zh) 2008-12-19 2010-06-24 华为技术有限公司 边界网关协议路由处理方法、装置和系统
CN101572669A (zh) * 2009-05-27 2009-11-04 中兴通讯股份有限公司 Vpn报文的转发方法及其路由标签的分配、删除方法
CN101931586B (zh) * 2009-06-26 2012-07-25 中国电信股份有限公司 Mpls vpn快速重路由的方法及其系统
US8331370B2 (en) * 2009-12-17 2012-12-11 Amazon Technologies, Inc. Distributed routing architecture
US9369426B2 (en) * 2011-08-17 2016-06-14 Nicira, Inc. Distributed logical L3 routing
US9064216B2 (en) * 2012-06-06 2015-06-23 Juniper Networks, Inc. Identifying likely faulty components in a distributed system
US9049233B2 (en) 2012-10-05 2015-06-02 Cisco Technology, Inc. MPLS segment-routing
US9369371B2 (en) 2012-10-05 2016-06-14 Cisco Technologies, Inc. Method and system for path monitoring using segment routing
US9258282B2 (en) * 2012-10-24 2016-02-09 Cisco Technology, Inc. Simplified mechanism for multi-tenant encrypted virtual networks
US10404583B1 (en) 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using multiple outside-scope identifiers
US10404582B1 (en) 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using an outside-scope indentifier
US10419335B1 (en) 2012-12-27 2019-09-17 Sitting Man, Llc Region scope-specific outside-scope indentifier-equipped routing methods, systems, and computer program products
US10397101B1 (en) 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products for mapping identifiers
US10587505B1 (en) 2012-12-27 2020-03-10 Sitting Man, Llc Routing methods, systems, and computer program products
US10411997B1 (en) 2012-12-27 2019-09-10 Sitting Man, Llc Routing methods, systems, and computer program products for using a region scoped node identifier
US10411998B1 (en) 2012-12-27 2019-09-10 Sitting Man, Llc Node scope-specific outside-scope identifier-equipped routing methods, systems, and computer program products
US10904144B2 (en) 2012-12-27 2021-01-26 Sitting Man, Llc Methods, systems, and computer program products for associating a name with a network path
US10397100B1 (en) 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products using a region scoped outside-scope identifier
US10476787B1 (en) 2012-12-27 2019-11-12 Sitting Man, Llc Routing methods, systems, and computer program products
US10212076B1 (en) 2012-12-27 2019-02-19 Sitting Man, Llc Routing methods, systems, and computer program products for mapping a node-scope specific identifier
US10374938B1 (en) 2012-12-27 2019-08-06 Sitting Man, Llc Routing methods, systems, and computer program products
US10419334B1 (en) 2012-12-27 2019-09-17 Sitting Man, Llc Internet protocol routing methods, systems, and computer program products
US10447575B1 (en) 2012-12-27 2019-10-15 Sitting Man, Llc Routing methods, systems, and computer program products
US9559954B2 (en) 2013-03-11 2017-01-31 Cisco Technology, Inc. Indexed segment ID
US9565160B2 (en) 2013-03-11 2017-02-07 Cisco Technology, Inc. Advertisement of adjacency segment identifiers
US9537769B2 (en) 2013-03-15 2017-01-03 Cisco Technology, Inc. Opportunistic compression of routing segment identifier stacks
US9537718B2 (en) 2013-03-15 2017-01-03 Cisco Technology, Inc. Segment routing over label distribution protocol
US9467367B2 (en) 2013-03-15 2016-10-11 Cisco Technology, Inc. Universal labels in internetworking
CN105210336B (zh) 2013-05-17 2018-10-26 思科技术公司 用于ldp/sr互操作性的方法、设备和计算机可读介质
AU2014381693B2 (en) * 2014-02-06 2019-11-07 E^NAT Technologies LLC Systems and methods for providing a multiple secure link architecture
US9762488B2 (en) 2014-03-06 2017-09-12 Cisco Technology, Inc. Segment routing extension headers
US9344364B2 (en) * 2014-03-31 2016-05-17 Metaswitch Networks Ltd. Data center networks
US9559950B2 (en) * 2014-03-31 2017-01-31 Tigera, Inc. Data center networks
US9813258B2 (en) * 2014-03-31 2017-11-07 Tigera, Inc. Data center networks
US9401858B2 (en) 2014-06-30 2016-07-26 Cisco Technology, Inc. Loop avoidance during network convergence in switched networks
US9807001B2 (en) 2014-07-17 2017-10-31 Cisco Technology, Inc. Segment routing using a remote forwarding adjacency identifier
US20160072764A1 (en) * 2014-09-10 2016-03-10 T-Mobile Usa, Inc. Dynamic double network address translator
US9584415B2 (en) * 2015-01-30 2017-02-28 Huawei Technologies Co., Ltd. Devices, systems and methods for service chains
US10341221B2 (en) 2015-02-26 2019-07-02 Cisco Technology, Inc. Traffic engineering for bit indexed explicit replication
US10021196B1 (en) 2015-06-22 2018-07-10 Amazon Technologies, Inc. Private service endpoints in isolated virtual networks
US10965494B2 (en) * 2015-10-01 2021-03-30 International Business Machines Corporation Intelligent multi-channel VPN orchestration
US10250452B2 (en) 2015-12-14 2019-04-02 Microsoft Technology Licensing, Llc Packaging tool for first and third party component deployment
US10356038B2 (en) 2015-12-14 2019-07-16 Microsoft Technology Licensing, Llc Shared multi-tenant domain name system (DNS) server for virtual networks
US10666517B2 (en) 2015-12-15 2020-05-26 Microsoft Technology Licensing, Llc End-to-end automated servicing model for cloud computing platforms
WO2017171743A1 (en) * 2016-03-30 2017-10-05 Ale Usa Inc. Edge network node and method for configuring a service therein
US10320672B2 (en) * 2016-05-03 2019-06-11 Cisco Technology, Inc. Shared service access for multi-tenancy in a data center fabric
US10263881B2 (en) 2016-05-26 2019-04-16 Cisco Technology, Inc. Enforcing strict shortest path forwarding using strict segment identifiers
US10193804B2 (en) * 2016-06-15 2019-01-29 Huawei Technologies Co., Ltd. Method of forwarding data packets, method of creating merged FIB key entry and method of creating a search key
CN110089146B (zh) * 2016-08-24 2022-07-01 维尔塞特公司 通信网络中的装置整形
US11032197B2 (en) 2016-09-15 2021-06-08 Cisco Technology, Inc. Reroute detection in segment routing data plane
US11522828B2 (en) * 2017-07-31 2022-12-06 Cisco Technology, Inc. Virtualized network functions through address space aggregation
US10616106B2 (en) * 2017-12-06 2020-04-07 Futurewei Technologies, Inc. Establishing virtual network routes in a computer network
US10594602B2 (en) * 2018-06-30 2020-03-17 Hewlett Packard Enterprise Development Lp Web services across virtual routing and forwarding
US11178071B2 (en) 2018-07-05 2021-11-16 Cisco Technology, Inc. Multisite interconnect and policy with switching fabrics
US10637768B1 (en) * 2018-11-02 2020-04-28 Juniper Networks, Inc. Enabling non-flexible-algorithm routers to participate in flexible-algorithm routing protocols
US11212224B1 (en) 2019-01-23 2021-12-28 Palantir Technologies Inc. Systems and methods for isolating network traffic of multiple users across networks of computing platforms
US11184325B2 (en) 2019-06-04 2021-11-23 Cisco Technology, Inc. Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
US11140074B2 (en) 2019-09-24 2021-10-05 Cisco Technology, Inc. Communicating packets across multi-domain networks using compact forwarding instructions
CN116016315A (zh) * 2020-05-25 2023-04-25 华为技术有限公司 一种路由管理方法、设备及系统
CN112187638A (zh) * 2020-09-22 2021-01-05 杭州迪普科技股份有限公司 网络访问方法、装置、设备及计算机可读存储介质
CN112532516A (zh) * 2020-11-27 2021-03-19 杭州迪普科技股份有限公司 流量转发方法、装置、设备及计算机可读存储介质
US11929976B2 (en) * 2021-02-14 2024-03-12 Oracle International Corporation Virtual network routing gateway that supports address translation for dataplane as well as dynamic routing protocols (control plane)
CN113938293A (zh) * 2021-09-23 2022-01-14 深圳市柔宇科技股份有限公司 Vpn网络分享方法、存储介质和终端设备

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5852606A (en) * 1995-07-12 1998-12-22 Bay Networks, Inc. Method and apparatus for transmitting cells across an ATM switch bus
US6055575A (en) * 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US5991297A (en) * 1997-08-28 1999-11-23 Ascend Communications Independently sizable memory pages for a plurality of connection ID types in a network switch
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6205488B1 (en) * 1998-11-13 2001-03-20 Nortel Networks Limited Internet protocol virtual private network realization using multi-protocol label switching tunnels
US6788681B1 (en) * 1999-03-16 2004-09-07 Nortel Networks Limited Virtual private networks and methods for their operation
US6751220B1 (en) * 2000-06-12 2004-06-15 Nortel Networks Limited Apparatus and method of managing virtual private network routing data
JP3859591B2 (ja) 2000-06-16 2006-12-20 富士通株式会社 Vpn収容機能を含む通信装置
JP4183379B2 (ja) * 2000-11-27 2008-11-19 富士通株式会社 ネットワーク及びエッジルータ
US6928082B2 (en) * 2001-03-28 2005-08-09 Innomedia Pte Ltd System and method for determining a connectionless communication path for communicating audio data through an address and port translation device
US20020143787A1 (en) * 2001-03-31 2002-10-03 Simon Knee Fast classless inter-domain routing (CIDR) lookups
US7099947B1 (en) * 2001-06-08 2006-08-29 Cisco Technology, Inc. Method and apparatus providing controlled access of requests from virtual private network devices to managed information objects using simple network management protocol
US7133365B2 (en) 2001-11-02 2006-11-07 Internap Network Services Corporation System and method to provide routing control of information over networks
JP3880404B2 (ja) * 2002-01-18 2007-02-14 富士通株式会社 Mplsネットワークシステム
US7227867B1 (en) * 2002-04-16 2007-06-05 Juniper Networks, Inc. Multi-protocol label switching in a network device
US7283529B2 (en) * 2003-03-07 2007-10-16 International Business Machines Corporation Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network
US6970464B2 (en) * 2003-04-01 2005-11-29 Cisco Technology, Inc. Method for recursive BGP route updates in MPLS networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018036659A1 (de) * 2016-08-26 2018-03-01 Telefónica Germany GmbH & Co. OHG Endanwenderspezifisches virtuelles globales netzwerk
DE102016010359B4 (de) 2016-08-26 2023-08-17 Telefónica Germany GmbH & Co. OHG Endanwenderspezifisches virtuelles globales Netzwerk

Also Published As

Publication number Publication date
EP1634428A1 (de) 2006-03-15
EP1634428B1 (de) 2008-01-09
CN1781297B (zh) 2011-05-11
AU2004250904A1 (en) 2004-12-29
US7715380B2 (en) 2010-05-11
AU2004250904B2 (en) 2010-05-27
CA2521540A1 (en) 2004-12-29
ATE383710T1 (de) 2008-01-15
CA2521540C (en) 2011-07-26
WO2004114634A1 (en) 2004-12-29
CN1781297A (zh) 2006-05-31
US20060013209A1 (en) 2006-01-19
DE602004011219D1 (de) 2008-02-21

Similar Documents

Publication Publication Date Title
DE602004011219T2 (de) Anordnung und verfahren zur behandlung von geteilten diensten durch eine adressenumsetzung mit weiterleitung von virtual routes
DE60311297T2 (de) Gemeinsame port adressenumsetzung in einem router der als nat & nat-pt gateway agiert
DE69924478T2 (de) Vorrichtung und verfahren für netzadressenübersetzung als externer service im zugriffsserver eines dienstanbieters
DE112008002550B4 (de) Verfahren und System für virtuelle Schnittstellenkommunikation
DE10297269B4 (de) Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache
DE69837938T2 (de) Übergreifende bildung von server clustern mittels einer netzwerkflussvermittlung
DE112013000775B4 (de) Verbinden von Rechenzentren für die Migration von virtuellen Maschinen
DE102007046474B4 (de) Verfahren zum Unterstützen einer IP-Netzwerk-Verbindung zwischen Teilbereichen in einer virtuellen Umgebung
DE10022431B4 (de) Integriertes IP-Netzwerk
DE69720351T2 (de) Verfahren und Vorrichtung zum Begrenzen des Zugriffes an privater Information in Domänennamensystemen durch Umleitung von Abfrageanforderungen
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60009819T2 (de) Netzwerkgerätskonfigurationsverfahren und Vorrichtung
DE69927285T2 (de) Netzverwaltungssystem
DE112011103082B4 (de) Mehrere virtuelle Maschinen mit gemeinsamer Nutzung einer einzigen IP-Adresse
US7957382B1 (en) Method and apparatus for handling embedded addresses in data sent through multiple network address translation (NAT) devices
DE602004006420T2 (de) System und verfahren zur synchronen konfiguration von dhcp servern und routerschnittstellen
DE112015006397B4 (de) DNS Optimierung für Multi-Source Download bei Hybridzugriff
US7334049B1 (en) Apparatus and methods for performing network address translation (NAT) in a fully connected mesh with NAT virtual interface (NVI)
DE202015009251U1 (de) Netzwerkpaketkapselung und Routing
DE69827474T2 (de) Kommunikationsverfahren in einer gesamtheit von verteilten systemen über ein netzwerk vom typ internet
DE60018913T2 (de) Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
DE10305413B4 (de) Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
DE60304704T2 (de) Netzsystem, Router und Netzeinrichtungsverfahren
DE60316158T2 (de) Filter zur verkehrstrennung
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: BOSCH JEHLE PATENTANWALTSGESELLSCHAFT MBH, 80639 M