ES2219488T3

ES2219488T3 - Metodo de control de transmision de datos a traves de una red de protocolo internet.

Info

Publication number: ES2219488T3
Application number: ES01660158T
Authority: ES
Inventors: Matti Halme
Original assignee: Stonesoft Corp
Current assignee: Stonesoft Corp
Priority date: 2001-08-31
Filing date: 2001-08-31
Publication date: 2004-12-01
Anticipated expiration: 2021-08-31
Also published as: DE60102692D1; DE60102692T2; ATE264030T1; EP1289183B1; EP1289183A1

Abstract

Método para monitorizar un enlace de comunicaciones entre un nodo de red fuente y un nodo de red de destino, utilizando dicho enlace de comunicaciones el protocolo IPSec, comprendiendo el método por lo menos la etapa de transmisión de un paquete de confirmación de recepción por parte del nodo de red de destino si se cumple por lo menos una de entre una primera condición y una segunda condición, comprendiendo dicho paquete de confirmación de recepción por lo menos el número de secuencia del último paquete IPSec recibido y por lo menos un valor correspondiente a la cantidad de datos recibidos a través del enlace de comunicaciones, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior.

Description

Método de control de trasmisión de datos a través de una red de protocolo Internet.

Antecedentes de la invención 1. Sector técnico de la invención

La presente invención se refiere a métodos para controlar la transmisión de datos en redes IP. Especialmente, la invención se refiere a un método tal como el especificado en el preámbulo de la reivindicación independiente del método.

2. Descripción de la técnica anterior

Actualmente la red pública de Internet está siendo utilizada cada vez más para comunicaciones conflictivas y de misiones críticas. Como los mecanismos básicos de internet no fueron diseñados originalmente teniendo en cuenta consideraciones de comunicaciones secretas y la confidencialidad, internet es una red no fiable. En muchos casos individuos cualificados pueden escuchar ilícitamente o derivar las comunicaciones, lo cual requiere la utilización de diferentes tipos de medidas de seguridad para utilizar internet de cara a comunicaciones conflictivas.

Se da a conocer un control de flujo para una conexión TCP en el documento de BAKIN D S ET AL: "Quantifying TCP performance improvements in noisy environments using protocol boosters" PROCEEDINGS ISCC 2000. FIFTH IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS, PROCEEDINGS OF 5TH IEEE SYMPOSIUM ON COMPUTER AND COMMUNICATIONS (ISCC 2000), ANTIBES-JUAN LES PINS, FRANCIA, del 3 al 6 de julio de 2000, páginas 92 a 97, XP002189754 2000, Los Alamitos, CA, USA, IEEE Comput. Soc, USA ISBN: 0-7695-0722-0.

Una estructura utilizada ampliamente es la red privada virtual (VPN). Por encima de una red no fiable tal como Internet se establece una red privada virtual construyendo canales de transmisión de datos cifrados. Típicamente una red privada virtual se utiliza para conectar entre sí oficinas distantes de una organización a través de la red pública de internet. Todo el tráfico de la red de área local de una primera oficina dirigido a una segunda oficina es cifrado por un elemento de red en la primera oficina, enviado en forma cifrada a través de internet hacia la segunda oficina, en la que un elemento de red descifra los datos transmitidos y reenvía los datos descifrados hacia la red de área local de la segunda oficina. Típicamente la VPN es transparente a los procesos que se comunican entre sí.

Típicamente las redes privadas virtuales se construyen utilizando la sucesión de protocolos IPSec. La sucesión de protocolos IPSec se describe en la norma RFC 2401 "Security Architecture for the Internet Protocol". La IPSec ofrece control de acceso, integridad sin conexión, autenticación del origen de los datos, protección contra reproducciones, confidencialidad (cifrado), y confidencialidad limitada del flujo de tráfico. La sucesión de protocolos IPSec proporciona una infraestructura para los procesos de transmisión y de cifrado de datos, pero no define ningún método específico de cifrado. Para las conexiones IPSec se pueden utilizar muchos tipos diferentes de métodos de cifrado. Típicamente las redes privadas virtuales utilizan el modo denominado de túnel, en el que se cifra un paquete completo de datos, y el resultado se transmite como carga útil en otro paquete de datos. El tráfico IPSec es unidireccional. La IPSec no proporciona control del flujo o recuperación de errores sino que deja estas operaciones a los protocolos transportados dentro del canal seguro creado por la IPSec. De este modo, la IPSec no proporciona ninguna ayuda para medir la calidad de la conexión tal como el caudal de tráfico de la conexión o retardos de la conexión o incluso para detectar que una conexión se ha vuelto inoperante. Esto constituye un problema especialmente cuando se utiliza una pluralidad de caminos de transmisión para transferir datos entre dos partes.

Sumario de la invención

Es un objetivo de la invención realizar un método de medición que permita la monitorización del rendimiento de un enlace IPSec. Otro objetivo de la invención es realizar un método de medición, el cual permita monitorizar una pluralidad de enlaces.

Los objetivos se consiguen enviando paquetes de confirmación de recepción después de cada paquete IPSec recibido N-ésimo o después de recibir cualquier paquete cuando ha pasado un periodo de tiempo predeterminado después de enviar un paquete de confirmación de recepción anterior, comprendiendo la confirmación de recepción por lo menos un número de secuencia del paquete IPSec recibido y preferentemente también un valor de contador que indica el número de paquetes recibidos desde ese enlace y/o el número de bytes recibidos desde ese enlace, permitiendo la determinación del índice de paquetes satisfactorios y/o el caudal de tráfico del enlace. Se puede obtener otra información tal como el tiempo de ida y vuelta del enlace almacenando tiempos de envío y números de secuencia de paquetes IPSec enviados y comparándolos con tiempos de recepción de paquetes de confirmación de recepción que contienen el mismo número de secuencia. Se puede obtener otra información, tal como el tiempo de ida y vuelta de un enlace no utilizado en ese momento para pasar ningún tráfico, enviando paquetes de sonda especiales, almacenando los tiempos de envío de dichos paquetes y restando ese tiempo del tiempo de recepción de una respuesta a dicho paquete. Adicionalmente, la transmisión de una pluralidad de dichos paquetes de sonda se puede utilizar para determinar el índice de paquetes satisfactorios de un enlace no utilizado en ese momento para pasar ningún tráfico.

El método para monitorizar un enlace de comunicaciones entre un nodo de red fuente y un nodo de red de destino según la invención, está caracterizado por lo especificado en la parte caracterizadora de la reivindicación independiente 1 del método que se refiere a un método para monitorizar un enlace de comunicaciones entre un nodo de red fuente y un nodo de red de destino. El método para monitorizar una pluralidad de enlaces de comunicaciones entre un emplazamiento de red fuente y un emplazamiento de red de destino está caracterizado por lo especificado en la parte caracterizadora de la reivindicación independiente 8 del método que hace referencia a un método para monitorizar una pluralidad de enlaces de comunicaciones entre un emplazamiento de red fuente y un emplazamiento de red de destino. Los nodos de red según la invención están caracterizados por lo especificado en las partes caracterizadoras de las reivindicaciones independientes 10, 13 y 16 que hacen referencia a un nodo de red. El producto de software informático según la invención está caracterizado por lo especificado en la parte caracterizadora de la reivindicación independiente 17 que hace referencia a un producto de software informático. Las reivindicaciones dependientes describen otras realizaciones ventajosas de la invención.

Breve descripción de los dibujos

A continuación, se describirán detalladamente varias realizaciones de la invención, únicamente a modo de ejemplo, y haciendo referencia a los dibujos adjuntos, en los cuales

la figura 1 ilustra una estructura de red que utiliza una estructura de pasarelas VPN en agrupamiento,

la figura 2 ilustra una estructura de red que utiliza una estructura multi-ISP, y

la figura 3 ilustra una estructura de red que tiene tanto una estructura de pasarelas VPN en agrupamiento como una estructura multi-ISP,

la figura 4 ilustra el efecto del tiempo en un parámetro de selección de rutas según una realización ventajosa de la invención,

la figura 5 ilustra el efecto del tiempo en un parámetro de selección de rutas según otra realización ventajosa de la invención,

la figura 6 ilustra un método según una realización ventajosa de la invención,

la figura 7 ilustra un método según una realización ventajosa de la invención, y

la figura 8 ilustra otro aspecto de la invención.

En las figuras se utilizan los mismos números de referencia para entidades similares.

Descripción detallada de las realizaciones preferidas A. Descripción general de la invención

A continuación, se describe en general una estructura denominada "VPN multi-ISP en agrupamiento" para clarificar todo el sistema en el que se aplica la invención.

VPN en agrupamiento significa que en lugar de una única pasarela VPN en un emplazamiento, se utiliza más de una pasarela. La estructura en agrupamiento aumenta la disponibilidad y distribuye la carga de cifrado y descifrado, reduciendo de este modo la probabilidad de un tiempo de inactividad a casi cero y aumentando el caudal de tráfico de la VPN. El número de nodos, es decir, pasarelas, puede ser diferente en puntos extremos diferentes de la VPN. El agrupamiento también se puede aplicar solamente a un punto extremo de una VPN. La figura 1 ilustra una configuración en la que hay 3 nodos en el emplazamiento A y 5 nodos en el emplazamiento B. Los nodos A1, A2, y A3 conectan la red interna A del emplazamiento A con internet 10, y los nodos B1, B2, B3, 4 y B5 conectan la red interna B del emplazamiento B con internet 10. En la estructura de la figura 1, cada emplazamiento está conectado con internet a través de solamente un ISP, PA1, PB1.

La expresión "VPN multi-ISP" se refiere a una configuración tal en la que un emplazamiento está conectado a internet utilizando más de una conexión ofrecidas por proveedores de servicios de internet (ISP). Preferentemente cada conexión se produce a través de un ISP diferente para proporcionar redundancia de manera que se evitan problemas serios si el servicio de uno de los proveedores de servicios de internet funciona defectuosamente. La figura 2 ilustra dicha configuración. La figura 2 muestra la red interna A del emplazamiento A, internet 10, y la red interna B del emplazamiento B. El nodo A1 de pasarela VPN del emplazamiento A está conectado a dos proveedores diferentes PA1 y PA2 de servicios de internet. El nodo B1 de pasarela VPN del emplazamiento B está conectado a tres proveedores diferentes PB1, PB2 y PB3 de servicios de internet. Dicha configuración aumenta la disponibilidad de la conexión ya que si una de las conexiones ISP funciona defectuosamente, el tráfico se puede dirigir de manera que fluya a través de otro ISP.

La figura 3 ilustra una estructura en la que se utilizan tanto el agrupamiento como las conexiones a través de múltiples proveedores de servicios de internet. La figura 3 muestra la red interna A del emplazamiento A, internet 10, y la red interna B del emplazamiento B. El emplazamiento A tiene tres nodos VPN A1, A2 y A3, cada uno de los cuales está conectado a ambos proveedores PA1, PA2 de servicios de internet. El emplazamiento B tiene cinco nodos VPN B1, B2, B3, B4 y B5, cada uno de los cuales está conectado a tres conexiones ISP PB1, PB2 y PB3. Dicha estructura proporciona un sistema que tiene una gran disponibilidad, es decir, una probabilidad extremadamente baja de interrupción del servicio. Dicha estructura puede gestionar averías en un nodo VPN, interrupciones en conexiones entre un emplazamiento y un ISP, e interrupciones en las conexiones de internet de proveedores ISP. Dicha estructura también proporciona una cantidad aumentada de poder de procesado necesario para el cifrado y el descifrado. Otro factor que aumenta la capacidad de la estructura es que existe una pluralidad de conexiones en internet entre los diversos proveedores ISP, y la estructura puede seleccionar la ruta con el mejor rendimiento a través de Internet de entre las ofrecidas por los ISP.

En una estructura tal como la mostrada en la figura 3, un paquete de datos que se desplaza desde un elemento central en una primera red interna A hacia un elemento central en una segunda red interna B puede utilizar muchas rutas diferentes. El paquete puede ser gestionado por cualquiera de los nodos VPN en ambos extremos, y puede ser transmitido a través de cualquiera de los ISP en ambos extremos. Consecuentemente, existen cuatro decisiones de selección de ruta a realizar cuando se transmite el paquete desde un elemento central en la red A hacia un elemento central en la red B. Estas decisiones y la forma en la que se realizan son críticas en relación con el rendimiento del sistema total. Las decisiones de selección de la ruta son las siguientes:

1. Selección del nodo VPN de procesado de salida.

2. Selección del ISP hacia el que se envía el paquete desde el emplazamiento de origen.

3. Selección del ISP desde el que se recibe el paquete en el emplazamiento de destino.

4. Selección del nodo VPN de procesado de entrada.

Para obtener un rendimiento óptimo, las selecciones deberían ser estables, es decir, permanecer sin variaciones durante un tiempo relativamente largo para paquetes en una conexión lógica determinada entre los elementos centrales específicos en las redes internas A y B, a no ser que razones de disponibilidad y/o rendimiento dicten un cambio en las selecciones. Los requisitos de estabilidad surgen de la necesidad de intentar preservar el orden de los paquetes que salen a través de Internet.

Esta solicitud de patente se ocupa de la monitorización asociada a las anteriores decisiones 2 y 3, con lo cual las decisiones 1 y 4 no se describen más detalladamente en el presente documento.

En otra realización ventajosa de la invención, la selección del ISP a través del cual se envía el paquete desde el emplazamiento de origen se realiza en el nodo VPN de origen. En esta solicitud de patente se describen posteriormente ejemplos de formas de realización de la selección.

En otra realización ventajosa de la invención, la selección del ISP a través del cual se encamina el paquete desde internet hacia el emplazamiento de destino se realiza en el nodo VPN de origen. En esta solicitud de patente se describen posteriormente ejemplos de formas de realización de la selección.

B. Realizaciones según un primer aspecto de la invención

Según un primer aspecto de la invención, se proporciona un método para medir el rendimiento de un enlace de comunicaciones que utiliza el protocolo IPSec. En el método, la monitorización se efectúa disponiendo el nodo de red de destino de manera que envía un paquete de confirmación de recepción por cada paquete IPSec N-ésimo recibido desde el modo de red de origen. El paquete de confirmación de recepción comprende por lo menos un número de secuencia del paquete IPSec, después del cual se envía el paquete de confirmación de recepción. El número de secuencia de un paquete IPSec está presente en la ESP (carga útil de seguridad mejorada) o en el encabezamiento AH (encabezamiento de autenticación), tal como se describe en los documentos RFC correspondientes y tal como es bien sabido por los expertos en la técnica.

En otra realización ventajosa de la invención, el envío de un paquete de confirmación de recepción es provocado también al alcanzar un límite de tiempo determinado. En dicha realización, si después de que se haya enviado el paquete de confirmación de recepción anterior ha transcurrido más tiempo que un límite predefinido T, se envía inmediatamente un paquete de confirmación de recepción cuando se recibe un paquete IPSec incluso si se ha recibido un número de paquetes menor que N. Es decir, el cumplimiento de cualquiera de los criterios -recepción de un número de paquetes mayor que N o transcurso del tiempo T después del envío del paquete anterior de confirmación de recepción- provoca el envío de un paquete de confirmación de recepción. Dicha realización proporciona una funcionalidad más óptima en tales casos, cuando la cantidad de tráfico es baja y variable. El tiempo T depende de los requisitos de la aplicación específica de la invención, con lo cual no se pueden proporcionar valores fijos para T. Considerando las capacidades típicas de las redes por paquetes y los requisitos típicos para la transmisión de datos para conexiones VPN en el momento de redactar esta solicitud de patente, el tiempo T puede estar comprendido de forma ventajosa entre 0,1 y 100 segundos, todavía de forma más ventajosa entre 1 y 10 segundos.

En otra realización ventajosa de la invención, el número de paquetes recibidos y/o el número de bytes recibidos se cuentan en el nodo de destino, y el valor actual de uno o ambos contadores se incluye en los paquetes de confirmación de recepción cuando son generados y enviados. Esto permite que el nodo de destino ajuste la frecuencia de confirmación de recepción (es decir, el número N) sin negociación con el nodo de origen o una indicación explícita del cambio de N en el nodo de origen, ya que en ese caso el nodo de origen puede observar cuántos paquetes han transcurrido cuando se recibe un paquete de confirmación de recepción. La inclusión de uno o ambos valores de los contadores en los paquetes de confirmación de recepción también presenta la ventaja de que el error de medición provocado por la pérdida de un paquete de confirmación de recepción se remedia más rápidamente que sin estos valores de los contadores.

El nodo de red fuente recibe los paquetes de confirmación de recepción, y anota el número de secuencia mencionado en el paquete de confirmación de recepción, y el valor del contador de paquetes en una realización tal en la que los valores de los contadores de paquetes están incluidos en los paquetes de confirmación de recepción.

En una realización ventajosa de la invención, el nodo de red fuente almacena tiempos de envío, el contenido del campo SPI y números de secuencia de paquetes IPSec enviados durante un periodo de tiempo para poder medir el tiempo de ida y vuelta (RTT) de la conexión. El número de indicaciones de tiempo que es necesario almacenar depende de N, la frecuencia de envío de los paquetes IPSec, y RTT. A continuación, el nodo de red fuente puede calcular el tiempo de ida y vuelta comparando el número de secuencia de un paquete de confirmación de recepción recibido y su tiempo de recepción con el tiempo de envío almacenado del paquete IPSec original correspondiente. El nodo de red fuente también puede calcular el índice de paquetes satisfactorios correspondiente a la conexión calculando la relación de paquetes IPSec enviados y confirmaciones de recepción recibidas. De forma ventajosa, el nodo de red fuente puede calcular una media móvil del índice de paquetes satisfactorios para filtrar los efectos de los cambios temporales en el tiempo de ida y vuelta.

En una realización tal en la que valores de contadores de paquetes se incluyen en los paquetes de confirmación de recepción, el nodo de red fuente puede calcular el índice de paquetes satisfactorios para la conexión calculando la relación de paquetes IPSec enviados y las diferencias de los valores de los contadores de paquetes de confirmaciones de recepción recibidas. Además, en una realización tal en la que valores de contadores de bytes están incluidos en los paquetes de confirmación de recepción, el nodo de red fuente puede calcular el caudal de tráfico conseguido sobre la base de los valores de los contadores de bytes y las indicaciones de tiempo asociadas de una confirmación de recepción recibida y las confirmaciones de recepción recibidas anteriores. El nodo de red fuente puede calcular de forma ventajosa una media móvil del índice de paquetes satisfactorios y el caudal de tráfico para filtrar los efectos de cambios temporales en el tiempo de ida y vuelta.

El número N está comprendido de forma ventajosa entre 50 y 500. No obstante, el valor óptimo de N depende de la calidad del enlace de comunicaciones y de las propiedades estadísticas de los cambios en la calidad del enlace de comunicaciones. Si las propiedades del enlace tales como el caudal de tráfico y el retardo del enlace no varían mucho dentro de unos periodos de monitorización relativamente breves, no es necesario seguir las propiedades con mucha precisión, con lo cual el número N se puede ajustar a un valor alto tal como 1000 o incluso mayor. Por el contrario, si las propiedades del enlace de comunicaciones varían considerablemente incluso dentro de periodos de monitorización breves, puede que sea ventajoso seguir las variaciones con más precisión, en cuyo caso el número N se puede ajustar a un valor bajo tal como 50, 20, o incluso 10. No obstante, la reducción del valor del número N aumenta la carga provocada por la monitorización del rendimiento en la red. Por esta razón, el valor óptimo para el número N depende de los requisitos de la aplicación específica de la invención y de las propiedades del enlace o enlaces de comunicación específicos utilizados.

De forma ventajosa, el intervalo de tiempo T está comprendido entre 1 segundo y 10 segundos. No obstante, el valor óptimo de T depende de la calidad del enlace de comunicaciones y de otros factores similares a aquellos que afectan al valor óptimo de T. Por esta razón, el valor óptimo para el intervalo T depende de los requisitos de la aplicación específica de la invención y de las propiedades del enlace o enlaces de comunicación específicos utilizados.

Ese método de medición puede medir el tiempo de ida y vuelta, el índice de paquetes satisfactorios y el caudal de tráfico. El método también puede monitorizar continuamente estos parámetros siempre que haya tráfico a enviar a través de la conexión. El método de medición también presenta la ventaja de que la carga de tara debida al método de medición es muy ligera.

En una realización ventajosa de la invención, se monitorizan rutas inactivas utilizando técnicas de sondas además de la monitorización de rutas activas tal como se ha descrito anteriormente. En dicha realización, un nodo VPN envía uno o más paquetes de sonda a través de cada conexión posible con un nodo VPN en el otro emplazamiento, el cual envía un paquete de respuesta como respuesta a la recepción de un paquete de sonda. Al recibir un paquete de respuesta, el nodo VPN de origen puede medir el tiempo de ida y vuelta para esa ruta. Si el nodo VPN de origen envía una pluralidad de paquetes de sonda a través de cada ruta posible, el nodo VPN de origen también puede monitorizar el índice de paquetes satisfactorios, es decir, qué porcentaje de paquetes pasan satisfactoriamente a través de la red. Dicha técnica de sondas se puede utilizar en todas las combinaciones posibles de las conexiones ISP y los nodos VPN.

C. Realizaciones de acuerdo con un segundo aspecto de la invención

Cuando se construye un paquete IPSec en túnel en el nodo cortafuegos de origen, su dirección IP fuente se fija a la dirección IP del agrupamiento de origen y su dirección IP de destino a la dirección IP del agrupamiento de destino. Estas direcciones IP se denominan puntos extremos del túnel. En una configuración tal en la que un agrupamiento está conectado a Internet utilizando múltiples conexiones ISP, un agrupamiento tiene varias direcciones IP, es decir, una para cada conexión ISP. Tales conexiones ISP pueden ser conexiones proporcionadas por ISP diferentes. En dicha configuración la selección de estas direcciones IP determina las conexiones ISP a utilizar. De este modo la selección de una dirección IP fuente y una dirección IP de destino para un paquete de datos selecciona la conexión ISP en el emplazamiento fuente y la conexión ISP para la transmisión del paquete de datos. Como el emisor de un paquete de datos especifica ambas direcciones IP mencionadas, las conexiones ISP para el paquete son especificadas por el emisor. El presente aspecto de la invención especifica una forma ventajosa de seleccionar las conexiones ISP en el emplazamiento fuente y de destino.

Un método de selección debería seleccionar una combinación de conexiones ISP fuente y de destino tal que sea funcional en ese momento si existe dicha combinación, seleccionar una combinación de conexiones ISP fuente y de destino tal que en ese momento tenga el mejor caudal de tráfico, y minimizar los cambios en la combinación de conexiones ISP fuente y de destino para minimizar la tara utilizada en establecer conexiones IPSec.

En una realización ventajosa de la invención, las conexiones ISP fuente y de destino se seleccionan por lo menos parcialmente sobre la base de por lo menos los siguientes tres parámetros:

- el último tiempo de ida y vuelta (RTT) medido para cada combinación de conexiones ISP fuente y de destino,

- el último índice de paquetes satisfactorios medido para cada combinación de conexiones ISP fuente y de destino y

- el último caudal de tráfico medido para cada combinación de conexiones ISP fuente y de destino.

En otra realización ventajosa de la invención, las conexiones ISP fuente y de destino se seleccionan por lo menos parcialmente sobre la base de por lo menos los siguientes cuatro parámetros:

- el último caudal de tráfico medido para cada combinación de conexiones ISP fuente y de destino,

- el tiempo transcurrido después de la salida del método de selección cambiado.

En una realización ventajosa de la invención, se utiliza la siguiente función en la selección de las conexiones ISP fuente y de destino:

(1)P = A*R^{-1}+B*S+C*S^{N}*T

en la que R es el tiempo de ida y vuelta (RTT) medido, S el índice de paquetes satisfactorios (PSR) que presenta el intervalo de valores de 0 a 1, y T el caudal de tráfico (THR). A, B, C y N son constantes, las cuales se ajustan según los requisitos de la aplicación específica de la realización. Se pueden calcular valores adecuados, por ejemplo, por experimentación. Como las características de las implementaciones prácticas varían ampliamente, en el presente documento no se puede proporcionar ningún detalle más sobre los valores para estas constantes adecuadas para un uso general. El valor P calculado para cada ruta se utiliza para clasificar las rutas disponibles en un orden de preferencia para la selección de una ruta, es decir, conexiones ISP fuente y de destino específicas. Según la ecuación (1), cuanto más breve sea el tiempo de ida y vuelta o más alto sea el índice de paquetes satisfactorios, mayor será la preferencia P de una ruta específica. El tercer término de la ecuación (1) proporciona un peso al caudal de tráfico únicamente en aquellos casos en los que el índice de paquetes satisfactorios está próximo a 1.

Como podría ser que los resultados de las mediciones para estos tres valores RTT, PSR y THR no estuvieran siempre disponibles, son necesarios ciertos valores por defecto. Por ejemplo, si una ruta específica no está activa, no se puede determinar ninguna velocidad del caudal de tráfico para esa ruta. En una realización ventajosa de la invención, el valor por defecto para el índice de paquetes satisfactorios y el caudal de tráfico es cero.

En una realización ventajosa de la invención, si el índice de paquetes satisfactorios es mayor que cero el valor por defecto para el tiempo de ida y vuelta se calcula utilizando una cierta función. Esto se basa en la experiencia práctica del solicitante ya que en la práctica el tiempo de ida y vuelta y el índice de paquetes satisfactorios están en correlación por lo menos aproximadamente. Cuando el índice de paquetes satisfactorios es 1 o es próximo a 1, el tiempo de ida y vuelta está en un valor mínimo, y cuando el índice de paquetes satisfactorios está próximo a cero, el tiempo de ida y vuelta es muy largo. Por consiguiente, en una realización ventajosa de la invención, si no se puede medir directamente el tiempo de ida y vuelta, se determina un valor por defecto para el tiempo de ida y vuelta a partir del índice de paquetes satisfactorios utilizando la función

(2)R = D / S^{K}

en la que R es el tiempo de ida y vuelta, S es el índice de paquetes satisfactorios, D es una constante que representa el valor mínimo del tiempo de ida y vuelta, y K es una constante. El valor de D depende de las propiedades de la red entre los nodos fuente y de destino y se puede determinar experimentalmente. Se puede determinar un valor adecuado para K, por ejemplo, por medio de experimentos de correlación. En un caso tal en el que el índice de paquetes satisfactorios es cero, para el valor del tiempo de ida y vuelta se utiliza una constante de tiempo grande tal como 10 segundos.

Otros parámetros que influyen en la selección de las conexiones ISP fuente y de destino son los factores de ponderación de los parámetros mencionados anteriormente, es decir, cuál es la importancia relativa de los parámetros. Estos factores de ponderación dependen de las circunstancias y los requisitos específicos de cada aplicación de la invención, y se pueden determinar, por ejemplo, experimentalmente.

En una realización ventajosa de la invención, las propiedades de combinaciones diferentes de conexiones ISP fuente y de destino se determinan enviando paquetes de sonda a través de cada combinación a los cuales responde el emplazamiento de destino. A continuación, el tiempo de ida y vuelta para cada combinación se puede averiguar a partir del tiempo transcurrido entre el envío de los paquetes de sonda y las respuestas recibidas. Por ejemplo, si el emplazamiento fuente tiene dos conexiones ISP y el emplazamiento de destino tiene tres conexiones ISP, basta con seis paquetes de sonda para probar la totalidad de las seis combinaciones.

En una realización ventajosa de la invención, los paquetes de sonda se envían solamente a través de combinaciones inactivas, y el tiempo de ida y vuelta de una conexión activa se mide a partir de paquetes de confirmación de recepción enviados por el emplazamiento de destino tal como se ha descrito anteriormente en esta solicitud de patente.

Además, si una de las combinaciones está activa, el caudal de tráfico se puede medir midiendo el tráfico que fluye a través de la conexión. No obstante, dicha medición no siempre refleja el caudal de tráfico verdadero, ya que la verdadera capacidad de la combinación de conexiones puede quedar claramente por encima de la cantidad de tráfico de ese momento. En una realización ventajosa de la invención, como valor de medición para el caudal de tráfico se utiliza un valor de caudal de tráfico de pico observado en una ventana de tiempo de una longitud especificada.

En el caso de combinaciones de conexiones inactivas, no se pueden medir valores de caudal de tráfico actuales. Por lo tanto, en una realización ventajosa de la invención, se utilizan valores de caudal de tráfico medidos anteriormente. En otra realización ventajosa de la invención, no se utilizan valores medidos anteriormente después de que haya pasado un cierto tiempo tras la medición para evitar la utilización de valores obsoletos e incorrectos. En dicho caso, para realizar una estimación del rendimiento del enlace se puede utilizar un valor de caudal de tráfico por defecto.

En otra realización ventajosa de la invención, se calcula un valor de caudal de tráfico para ser utilizado en la estimación del rendimiento de un enlace según una función predefinida sobre la base del tiempo de ida y vuelta de ese enlace. Este enfoque puede proporcionar resultados ventajosos ya que se ha observado que los tiempos breves de ida y vuelta están en general en correlación con valores de caudal de tráfico altos.

En una realización ventajosa de la invención, las propiedades de las combinaciones se monitorizan de forma semicontinua enviando paquetes de sonda en ciertos intervalos de tiempo. Si los intervalos de tiempo son relativamente largos, digamos una pluralidad de segundos tal como 30 segundos, la transmisión de paquetes de sonda no crea ninguna carga significativa en la red de transmisión.

El tiempo transcurrido después del último cambio de la conexión ISP en cualquiera de los extremos se utiliza en una realización ventajosa de la invención para minimizar los cambios que requieren el establecimiento de conexiones IPSec nuevas. Poco después de un cambio en las conexiones ISP, se realiza un cambio nuevo únicamente si la conexión actual está casi o completamente interrumpida. Posteriormente, el estado de disponibilidad para realizar un cambio aumenta y finalmente alcanza un punto en el que un aumento asumido relativamente pequeño en el rendimiento activaría un cambio. Esto se ilustra en la figura 4, la cual muestra un gráfico que representa a qué nivel es necesario que caiga el rendimiento del enlace actual antes de inducir un cambio en las conexiones ISP utilizadas. El eje vertical muestra el nivel de rendimiento requerido mínimo, y el eje horizontal muestra el tiempo transcurrido después del último cambio en la configuración. Tal como ilustra la figura 4, inmediatamente después de un cambio en la configuración hasta un momento T1 el rendimiento requerido es muy bajo, es decir, en el límite L1. Durante ese tiempo la configuración de la conexión ISP se cambia únicamente si el rendimiento del enlace de comunicaciones cae por debajo del umbral L1. Entre los instantes de tiempo T1 y T2, el límite requerido aumenta al valor L2, y después del tiempo T2, el límite se queda en L2. Esto tiene el efecto de que cuanto más atrás en el tiempo se realiza el cambio anterior, más pequeña es la caída en el rendimiento del enlace de comunicaciones que se requiere para provocar un cambio en la configuración. Los parámetros L1, L2, T1 y T2 dependen de las propiedades y los requisitos de la aplicación específica de la invención, por lo cual en el presente documento no se pueden proporcionar valores específicos.

En una realización ventajosa de la invención, las unidades del eje vertical y los parámetros L1 y L2 especifican ciertos valores de rendimiento absolutos. En tal realización, los límites se pueden fijar a entre el 0% y el 100% del mejor rendimiento observado para el enlace actual.

En otra realización ventajosa de la invención, los límites L1 y L2 especifican ciertos valores de rendimiento relativos, es decir, valores de la relación del rendimiento actual del enlace actual con respecto al mejor rendimiento observado de todos los enlaces disponibles, es decir, las combinaciones de conexiones ISP.

Los valores del rendimiento utilizados como base para tomar decisiones según el gráfico de la figura 4 se pueden calcular de muchas formas diferentes a partir de los tiempos de ida y vuelta observados, el índice de paquetes satisfactorios y las mediciones del caudal de tráfico. En una realización ilustrativa de la invención, un valor de rendimiento P se puede calcular como

(3)P = A*R^{-1}+B*S+C*S^{N}*T

en la que A, B, C y N son constantes, S es un índice de paquetes satisfactorios, T es un valor de caudal de tráfico, y R es un valor de medición del tiempo de ida y vuelta. Según la ecuación (3), un aumento del índice de paquetes satisfactorios, un aumento del caudal de tráfico o una disminución del tiempo de ida y vuelta hacen que aumente el rendimiento observado. No obstante, la ecuación (3) es solamente un ejemplo de un método de cálculo factible, y en varias realizaciones de la invención se pueden utilizar muchos métodos de cálculo diferentes. Por esta razón, la invención no se limita a la utilización solamente de la ecuación (3). Un ejemplo más general de una función factible para calcular P es

(4)P = A*R^{-n}+B*S+C*S^{N}*T^{-m}

en la que n y m son constantes que se deben ajustar para adaptarse a los requisitos de la aplicación específica de la invención.

La figura 4 muestra una función lineal por tramos, simple, como función de umbral dependiente del tiempo. Dicha función simple es ventajosa debido a la facilidad de implementación de dicha función. No obstante, la invención no se limita a solamente dicha función. La figura 5 muestra otro ejemplo de una función adecuada, en la que el límite cambia uniformemente de L1 a L2 durante un periodo de tiempo. La función óptima que se utilice depende de los requisitos de la aplicación específica de la invención, por lo cual la invención no se limita a ninguna función específica que se vaya a utilizar.

En otra realización ventajosa de la invención, se mantienen activos múltiples enlaces y el tráfico se divide entre los enlaces en proporciones que se corresponden con el valor de rendimiento P calculado para cada enlace de una forma similar a aquellos valores de rendimiento presentados en las ecuaciones (3) y (4).

D. Primer grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención, se proporciona un método para monitorizar un enlace de comunicaciones que utiliza el protocolo IPSec entre un nodo de red fuente y un nodo de red de destino. En la figura 6 se ilustran varias realizaciones según el presente aspecto de la invención. Según una realización ventajosa de la invención, el método comprende por lo menos las siguientes etapas

- almacenamiento 610 del número de secuencia y del tiempo de transmisión de cada paquete IPSec transmitido desde el nodo de red fuente hacia el nodo de red de destino en unos medios de memoria,

- envío 620 de un paquete de confirmación de recepción como respuesta a la recepción de cada paquete IPSec N-ésimo o a la recepción de cualquier paquete IPSec cuando han transcurrido T segundos después de enviar un paquete anterior de confirmación de recepción desde el nodo de red fuente por el nodo de red de destino, comprendiendo dicho paquete de confirmación de recepción el número de secuencia del paquete específico como respuesta al cual se envía el paquete de confirmación de recepción y el contador que indica el número de paquetes y el número de bytes recibidos, siendo N un entero positivo predefinido y siendo T un valor de tiempo predefinido,

- determinación 630 del tiempo de ida y vuelta de la conexión sobre la base del tiempo de recepción de un paquete de confirmación de recepción y el tiempo de transmisión almacenado del paquete transmitido correspondiente.

Según otra realización ventajosa de la invención, el método comprende además la etapa de cálculo 640 del índice de paquetes satisfactorios y el valor de caudal de tráfico de la conexión sobre la base del número de paquetes transmitidos y el número de paquetes y bytes recibidos determinados a partir de los valores de los contadores enviados en los paquetes de confirmación de recepción.

Según todavía otro aspecto de la invención, se proporciona un método para controlar la comunicación entre un emplazamiento de red fuente y un emplazamiento de red de destino, utilizándose en dicha comunicación el protocolo IPSec, pudiéndose utilizar en dicha comunicación una pluralidad de rutas diferentes entre el emplazamiento de red fuente y el emplazamiento de red de destino. En la figura 7 se ilustran varias realizaciones según el presente aspecto de la invención. Según una realización ventajosa de la invención, el método comprende por lo menos las siguientes etapas

- almacenamiento 610 en unos medios de memoria del número de secuencia y el tiempo de transmisión de cada paquete IPSec transmitido desde un nodo fuente en el emplazamiento de red fuente hacia un nodo de destino en el emplazamiento de red de destino,

- envío 620 de un paquete de confirmación de recepción como respuesta a la recepción de cada paquete IPSec N-ésimo o a la recepción de cualquier paquete IPSec cuando han transcurrido T segundos después de enviar un paquete anterior de confirmación de recepción desde dicho nodo fuente por dicho nodo de destino, comprendiendo dicho paquete de confirmación de recepción el número de secuencia del paquete específico como respuesta al cual se envía el paquete de confirmación de recepción y el contador que indica el número de paquetes y el número de bytes recibidos, siendo N un entero positivo predefinido y siendo T un valor de tiempo predefinido,

Según otra realización ventajosa de la invención, el método comprende además la etapa de cálculo 640 del índice de paquetes satisfactorios y el valor del caudal de tráfico de la conexión sobre la base del número de paquetes transmitidos y el número de paquetes y bytes recibidos determinados a partir de los valores de los contadores enviados en los paquetes de confirmación de recepción.

Según otra realización ventajosa de la invención, el método comprende además las siguientes etapas

- transmisión 710 de un paquete de sonda o una pluralidad de paquetes de sonda desde un nodo fuente en el emplazamiento de red fuente a través de una ruta específica hacia un nodo de destino en el emplazamiento de red de destino,

almacenamiento del tiempo de transmisión de dicho paquete de sonda en unos medios de memoria,

- transmisión 720 de un paquete de respuesta desde dicho nodo de destino hacia dicho nodo fuente como respuesta a la recepción de cada paquete de sonda,

- determinación 730 del tiempo de ida y vuelta de dicha ruta específica a partir de la diferencia del tiempo de recepción del paquete de respuesta y el tiempo de transmisión almacenado del paquete de sonda correspondiente y el índice de paquetes satisfactorios sobre la base del número de paquetes de sonda enviados y el número de paquetes de respuesta recibidos.

Según otro aspecto de la invención, se proporciona un nodo de red para recibir comunicación que utiliza el protocolo IPSec. Según una realización ventajosa de la invención el nodo comprende por lo menos

- medios para recibir paquetes IPSec,

- medios para extraer un número de secuencia de un paquete IPSec recibido, y

- medios para enviar un paquete de confirmación de recepción como respuesta después de cada paquete IPSec N-ésimo recibido o después de cualquier paquete IPSec si han transcurrido T segundos después de enviar un paquete anterior de confirmación de recepción, en el que N es un entero positivo y T es un valor predefinido, y para incluir dicho número de secuencia extraído y un valor de contador que indica el número de paquetes y bytes recibidos en dicho paquete de confirmación de recepción.

Según otro aspecto de la invención, se proporciona un nodo de red para enviar comunicación que utiliza el protocolo IPSec. Según una realización ventajosa de la invención el nodo comprende por lo menos

- medios para enviar paquetes IPSec,

- medios para almacenar indicaciones de tiempo y números de secuencia de paquetes IPSec enviados,

- medios para recibir paquetes de confirmación de recepción,

- medios para determinar el tiempo de ida y vuelta de una conexión sobre la base de la información del número de secuencia en un paquete de confirmación de recepción recibido y la información almacenada de indicaciones de tiempo y de números de secuencia de paquetes IPSec enviados,

- medios para calcular el índice de paquetes satisfactorios sobre la base del número de paquetes enviados y la información en un paquete de confirmación de recepción recibido que indica el número de paquetes recibidos, y

- medios para calcular el valor del caudal de tráfico sobre la base de la información en un paquete de confirmación de recepción recibido que indica el número de bytes recibidos.

E. Segundo grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención, se proporciona un método para monitorizar un enlace de comunicaciones entre un nodo de red fuente y un nodo de red de destino, utilizando dicho enlace de comunicaciones el protocolo IPSec. Según la realización, el método comprende por lo menos la etapa de transmisión de un paquete de confirmación de recepción por el nodo de red de destino si se cumple por lo menos una de entre una primera condición y una segunda condición, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior.

En esta solicitud de patente y en las reivindicaciones de patente adjuntas, la expresión conexión activa se refiere a una conexión que está siendo utilizada para la transmisión de datos de carga útil, mientras que la expresión conexión inactiva se refiere a una conexión que no está siendo utilizada para la transmisión de datos de carga útil. En el presente documento la mera transmisión de paquetes de sonda para medir características de una conexión no se considera transmisión de datos de carga útil.

Según otra realización ventajosa de la invención, en el método, el paquete de confirmación de recepción comprende por lo menos el número de secuencia del último paquete IPSec recibido y por lo menos un valor correspondiente a la cantidad de datos recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, en el método, dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de paquetes que indica el número de paquetes recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, en el método, dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de bytes que indica el número de bytes recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, en el método, dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de paquetes que indica el número de paquetes recibidos a través del enlace de comunicaciones y un valor de contador de bytes que indica el número de bytes recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, el método comprende además por lo menos la etapa de determinación del índice de paquetes satisfactorios del enlace de comunicaciones basándose por lo menos parcialmente en información contenida en un paquete de confirmación de recepción.

Según otra realización ventajosa de la invención, el método comprende además por lo menos la etapa de determinación del caudal de tráfico del enlace de comunicaciones basándose por lo menos parcialmente en información contenida en un paquete de confirmación de recepción.

Según otra realización ventajosa de la invención, el método comprende además por lo menos las etapas de almacenamiento en unos medios de memoria del número de secuencia y el tiempo de transmisión de cada paquete IPSec transmitido desde el nodo de red fuente hacia el nodo de red de destino, y la determinación del tiempo de ida y vuelta del enlace de comunicaciones sobre la base del tiempo de recepción de un paquete de confirmación de recepción y el tiempo de transmisión almacenado del paquete transmitido correspondiente.

F. Tercer grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención se proporciona un método para monitorizar una pluralidad de enlaces de comunicaciones entre un emplazamiento de red fuente y un emplazamiento de red de destino, presentando cada uno de los emplazamientos por lo menos un nodo de red. En el método se monitoriza un enlace de comunicación activa y se monitoriza un enlace de comunicación inactiva, en cuyo método las etapas para monitorizar un enlace de comunicación activa entre el emplazamiento de red fuente y el emplazamiento de red de destino, utilizando el enlace de comunicación activa el protocolo IPSec, comprenden por lo menos la etapa de transmisión de un paquete de confirmación de recepción por el nodo de red de destino si se cumple por lo menos una de entre una primera condición y una segunda condición, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior, y en cuyo método las etapas para monitorizar un enlace de comunicación inactiva entre el emplazamiento de red fuente y el emplazamiento de red de destino comprenden por lo menos las siguientes etapas

- transmisión de un paquete de sonda desde un nodo fuente en el emplazamiento de red fuente a través de dicho enlace de comunicación inactiva hacia un nodo de destino en el emplazamiento de red de destino,

- almacenamiento del tiempo de transmisión de dicho paquete de sonda en unos medios de memoria,

- transmisión de un paquete de respuesta desde dicho nodo de destino hacia dicho nodo fuente como respuesta a la recepción de un paquete de sonda,

- determinación del tiempo de ida y vuelta de dicho enlace de comunicación inactiva a partir de la diferencia del tiempo de recepción del paquete de respuesta y el tiempo de transmisión almacenado del paquete de sonda correspondiente.

Según otra realización ventajosa de la invención, el método comprende además las etapas de transmisión de una pluralidad de paquetes de sonda desde dicho nodo fuente en el emplazamiento de red fuente a través de dicho enlace de comunicación inactiva hacia dicho nodo de destino en el emplazamiento de red de destino, la recepción de paquetes de respuesta para dichos paquetes de sonda, y la determinación del índice de paquetes satisfactorios de dicho enlace de comunicación inactiva a partir del número de dichos paquetes de respuesta recibidos y el número de paquetes de sonda transmitidos.

G. Cuarto grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención, se proporciona un nodo 800 de red fuente para comunicarse con el protocolo IPSec con un nodo de red de destino 820 a través de un enlace de comunicaciones. Este aspecto de la invención se ilustra en la figura 8. Según una realización ventajosa de la invención el nodo de red comprende por lo menos

- medios 801 para recibir paquetes 870 de confirmación de recepción para paquetes IPSec 860 transmitidos por el nodo de red,

- medios 802 para obtener un número 874 de secuencia de un paquete IPSec a partir de un paquete 870 de confirmación de recepción recibido,

- medios 803 para obtener un valor 872 del paquete 870 de confirmación de recepción, correspondiéndose dicho valor con la cantidad de datos recibidos a través del enlace de comunicaciones por el segundo nodo de red, y

- medios 804 para determinar el índice de paquetes satisfactorios del enlace de comunicaciones basándose por lo menos parcialmente en dicho valor.

Dicho nodo de red se puede utilizar de forma ventajosa como nodo fuente de una conexión IPSec.

Según otra realización ventajosa de la invención, el nodo de red comprende además por lo menos medios 805 para determinar el caudal de tráfico del enlace de comunicaciones basándose por lo menos parcialmente en dicho valor 872.

Según otra realización ventajosa de la invención, el nodo de red comprende además por lo menos medios 806 para almacenar en unos medios 819 de memoria el número de secuencia y el tiempo de transmisión de cada paquete IPSec transmitido desde el nodo de red a través del enlace de comunicaciones, y medios 807 para determinar el tiempo de ida y vuelta del enlace de comunicaciones sobre la base del tiempo de recepción de un paquete de confirmación de recepción y el tiempo de transmisión almacenado del paquete transmitido correspondiente.

H. Quinto grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención, se proporciona un nodo 820 de red de destino para comunicarse con el protocolo IPSec con un nodo 800 de red fuente a través de un enlace de comunicaciones. Este aspecto de la invención se ilustra en la figura 8. Según una realización ventajosa de la invención, el nodo 820 de red comprende por lo menos medios 821 para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior.

Dicho nodo de red se puede utilizar de forma ventajosa como nodo de destino de una conexión IPSec.

Según otra realización ventajosa de la invención, el nodo de red comprende por lo menos medios 822 para incluir un número 862, 874 de secuencia de un paquete IPSec recibido 860 y por lo menos un valor correspondiente a la cantidad de datos recibidos a través del enlace de comunicaciones en dicho paquete 870 de confirmación de recepción.

Según otra realización ventajosa de la invención, el nodo de red comprende por lo menos medios 823 para incluir un valor 872 de contador de paquetes en dicho paquete 870 de confirmación de recepción, indicando dicho valor de contador de paquetes el número de paquetes recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, el nodo de red comprende por lo menos medios 824 para incluir un valor 872 de contador de bytes en dicho paquete de confirmación de recepción, indicando dicho valor de contador de bytes el número de bytes recibidos a través del enlace de comunicaciones.

Según otra realización ventajosa de la invención, un nodo de red comprende la funcionalidad de un nodo 800 de red fuente y un nodo 820 de red de destino de conexiones IPSec. Según dicha realización, el nodo de red comprende por lo menos

- medios 821 para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior,

Los medios 801 a 807 y 821 a 824 se pueden implementar de forma ventajosa utilizando medios de código de programa de software ejecutados por una unidad procesadora.

Según todavía otro aspecto de la invención, se proporciona un producto de programa de software para un nodo de red para comunicarse con el protocolo IPSec con un segundo nodo de red a través de un enlace de comunicaciones. Dicho producto de programa de software se puede utilizar para implementar nodos de red capaces de comunicarse utilizando el protocolo IPSec. Según una realización ventajosa de la invención, el producto de programa de software comprende por lo menos

- medios de código de programa de software para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición, siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior,

- medios de código de programa de software para recibir paquetes de confirmación de recepción para paquetes IPSec transmitidos por el nodo de red,

- medios de código de programa de software para obtener un número de secuencia de un paquete IPSec a partir de un paquete de confirmación de recepción recibido,

- medios de código de programa de software para obtener un valor del paquete de confirmación de recepción, correspondiéndose dicho valor con la cantidad de datos recibidos a través del enlace de comunicaciones por el segundo nodo de red, y

- medios de código de programa de software para determinar el índice de paquetes satisfactorios del enlace de comunicaciones basándose por lo menos parcialmente en dicho valor.

El producto de programa de software se puede realizar de muchas maneras diferentes, tales como, por ejemplo, una librería de rutinas de software para su inclusión en otros productos o como una aplicación autónoma preparada para ser utilizada en un nodo de red, y se puede representar dentro de muchos tipos diferentes de soportes, tales como medios magnéticos, ópticos o magneto-ópticos de memoria de gran capacidad tales como discos CD-ROM, y en medios de memoria electrónica tales como chips semiconductores de memoria.

I. Séptimo grupo de otras realizaciones ventajosas de la invención

Según otro aspecto de la invención, se proporciona un método para la selección de una ruta para la transmisión de paquetes de datos desde un emplazamiento de red fuente hacia un emplazamiento de red de destino. Según otra realización ventajosa de la invención, el método comprende por lo menos las siguientes etapas

- selección de una primera conexión de proveedor de servicios de internet de entre un conjunto de conexiones de proveedores de servicios de internet que conectan el emplazamiento de red fuente con internet,

- selección de una segunda conexión de proveedor de servicios de internet de entre un conjunto de conexiones de proveedores de servicios de internet que conectan el emplazamiento de red de destino con internet, en cuyo método dichas selecciones se realizan en el emplazamiento de red fuente,

y dichas selecciones se realizan por lo menos parcialmente basándose en por lo menos

- un valor del tiempo de ida y vuelta para cada combinación de conexiones de proveedor de servicios de internet fuente y de destino, y

- un índice de paquetes satisfactorios para cada combinación de conexiones de proveedor de servicios de internet fuente y de destino,

- un valor de caudal de tráfico para cada combinación de conexiones de proveedor de servicios de internet fuente y de destino.

El valor del tiempo de ida y vuelta puede ser un valor de tiempo de ida y vuelta medido en último lugar, o, por ejemplo, si no se ha realizado ninguna medición para una combinación específica o la medición es más antigua que un límite especificado, un valor por defecto. El valor del caudal de tráfico puede ser un valor de caudal de tráfico medido en último lugar, o, por ejemplo, si no se ha realizado ninguna medición para una combinación específica o la medición es más antigua que un límite especificado, un valor por defecto.

Según otra realización ventajosa de la invención, dichas selecciones también se realizan por lo menos parcialmente basándose en el tiempo transcurrido después de que se cambiara anteriormente la selección de rutas.

Según otra realización ventajosa de la invención, el cambio de magnitud del índice de paquetes satisfactorios, el caudal de tráfico y/o el tiempo de ida y vuelta de una conexión requerido para provocar un cambio en la selección de la ruta se reduce en forma de una función del tiempo.

Según otra realización ventajosa de la invención, dicha función del tiempo es una función lineal por tramos.

Según otro aspecto de la invención, se proporciona un nodo de red para transmitir paquetes de datos desde un emplazamiento de red fuente hacia un emplazamiento de red de destino. Según otra realización ventajosa de la invención, el nodo de red comprende por lo menos

- medios para seleccionar una primera conexión de proveedor de servicios de internet de entre un conjunto de conexiones de proveedores de servicios de internet que conectan el emplazamiento de red fuente con internet, y

- medios para seleccionar una segunda conexión de proveedor de servicios de internet de entre un conjunto de conexiones de proveedores de servicios de internet que conectan el emplazamiento de red de destino con internet,

realizándose dichas selecciones por lo menos parcialmente sobre la base de por lo menos

Según otro aspecto de la invención, se proporciona un producto de software informático para un sistema para transmitir paquetes de datos desde un emplazamiento de red fuente hacia un emplazamiento de red de destino. Según otra realización ventajosa de la invención, el producto de software informático comprende por lo menos

- medios para seleccionar una primera conexión de proveedor de servicios de internet de entre un conjunto de conexiones de proveedores de servicios de internet que conectan el emplazamiento de red fuente con la red, y

- un valor de índice de paquetes satisfactorios para cada combinación de conexiones de proveedor de servicios de internet fuente y de destino.

J. Otras consideraciones

A la vista de la descripción anterior resultará evidente para una persona experta en la técnica que dentro del ámbito de la invención se pueden realizar varias modificaciones. Aunque se ha descrito detalladamente una realización preferida de la invención, debería quedar claro que sobre la misma se pueden aplicar muchas modificaciones y variaciones, todas ellas dentro del ámbito de la invención.

Claims

1. Método para monitorizar un enlace de comunicaciones entre un nodo de red fuente y un nodo de red de destino, utilizando dicho enlace de comunicaciones el protocolo IPSec, comprendiendo el método por lo menos la etapa de transmisión de un paquete de confirmación de recepción por parte del nodo de red de destino si se cumple por lo menos una de entre una primera condición y una segunda condición, comprendiendo dicho paquete de confirmación de recepción por lo menos el número de secuencia del último paquete IPSec recibido y por lo menos un valor correspondiente a la cantidad de datos recibidos a través del enlace de comunicaciones,

siendo dicha primera condición la recepción de por lo menos un número predeterminado de paquetes IPSec después de la transmisión del paquete de confirmación de recepción anterior, y

siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior.

2. Método según la reivindicación 1, caracterizado porque dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de paquetes que indica el número de paquetes recibidos a través del enlace de comunicaciones.

3. Método según la reivindicación 1, caracterizado porque dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de bytes que indica el número de bytes recibidos a través del enlace de comunicaciones.

4. Método según la reivindicación 1, caracterizado porque dicho paquete de confirmación de recepción comprende por lo menos un valor de contador de paquetes que indica el número de paquetes recibidos a través del enlace de comunicaciones y un valor de contador de bytes que indica el número de bytes recibidos a través del enlace de comunicaciones.

5. Método según la reivindicación 1, caracterizado porque el método comprende además por lo menos la etapa de determinación del índice de paquetes satisfactorios del enlace de comunicaciones basándose por lo menos parcialmente en información contenida en un paquete de confirmación de recepción.

6. Método según la reivindicación 1, caracterizado porque el método comprende además por lo menos la etapa de determinación del caudal de tráfico del enlace de comunicaciones basándose por lo menos parcialmente en información contenida en un paquete de confirmación de recepción.

7. Método según la reivindicación 1, caracterizado porque el método comprende además por lo menos las etapas de

- almacenamiento en unos medios de memoria del número de secuencia y el tiempo de transmisión de cada paquete IPSec transmitido desde el nodo de red fuente hacia el nodo de red de destino, y

- la determinación del tiempo de ida y vuelta del enlace de comunicaciones sobre la base del tiempo de recepción de un paquete de confirmación de recepción y el tiempo de transmisión almacenado del paquete transmitido correspondiente.

8. Método para monitorizar una pluralidad de enlaces de comunicaciones entre un emplazamiento de red fuente y un emplazamiento de red de destino, presentando cada uno de los emplazamientos por lo menos un nodo de red, de manera que en el método se monitoriza un enlace de comunicación activa y se monitoriza un enlace de comunicación inactiva,

en cuyo método las etapas para monitorizar un enlace de comunicación activa entre el emplazamiento de red fuente y el emplazamiento de red de destino, utilizando el enlace de comunicación activa el protocolo IPSec, comprenden por lo menos

la etapa de transmisión de un paquete de confirmación de recepción por el nodo de red de destino si se cumple por lo menos una de entre una primera condición y una segunda condición,

siendo dicha segunda condición la recepción de un paquete a través del enlace de comunicaciones después de que haya pasado un tiempo predeterminado tras la transmisión del paquete de confirmación de recepción anterior,

y en cuyo método las etapas para monitorizar un enlace de comunicación inactiva entre el emplazamiento de red fuente y el emplazamiento de red de destino comprenden por lo menos las siguientes etapas

9. Método según la reivindicación 8, caracterizado porque el método comprende además las etapas de

- transmisión de una pluralidad de paquetes de sonda desde dicho nodo fuente en el emplazamiento de red fuente a través de dicho enlace de comunicación inactiva hacia dicho nodo de destino en el emplazamiento de red de destino,

- recepción de paquetes de respuesta para dichos paquetes de sonda, y

- determinación del índice de paquetes satisfactorios de dicho enlace de comunicación inactiva a partir del número de dichos paquetes de respuesta recibidos y el número de paquetes de sonda transmitidos.

10. Nodo de red para comunicarse con el protocolo IPSec con un segundo nodo de red a través de un enlace de comunicaciones, que comprende por lo menos

- medios para recibir paquetes de confirmación de recepción para paquetes IPSec transmitidos por el segundo nodo de red,

- medios para obtener un número de secuencia de un paquete IPSec a partir de un paquete de confirmación de recepción recibido,

- medios para obtener un valor del paquete de confirmación de recepción, correspondiéndose dicho valor con la cantidad de datos recibidos a través del enlace de comunicaciones por el segundo nodo de red, y

- medios para determinar el índice de paquetes satisfactorios del enlace de comunicaciones basándose por lo menos parcialmente en dicho valor.

11. Nodo de red según la reivindicación 10, caracterizado porque comprende por lo menos medios para determinar el caudal de tráfico del enlace de comunicaciones basándose por lo menos parcialmente en dicho valor.

12. Nodo de red según la reivindicación 10, caracterizado porque comprende por lo menos

- medios para almacenar en unos medios de memoria el número de secuencia y el tiempo de transmisión de cada paquete IPSec transmitido por el nodo de red a través del enlace de comunicaciones, y

- medios para determinar el tiempo de ida y vuelta del enlace de comunicaciones sobre la base del tiempo de recepción de un paquete de confirmación de recepción y el tiempo de transmisión almacenado del paquete transmitido correspondiente.

13. Nodo de red para comunicarse con el protocolo IPSec con un nodo de red fuente a través de un enlace de comunicaciones, que comprende por lo menos medios para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición, y por lo menos medios para incluir un número de secuencia de un paquete IPSec recibido y por lo menos un valor correspondiente a la cantidad de datos recibidos a través del enlace de comunicaciones en dicho paquete de confirmación de recepción,

14. Nodo de red según la reivindicación 13, caracterizado porque comprende por lo menos medios para incluir un valor de contador de paquetes en dicho paquete de confirmación de recepción, indicando dicho valor de contador de paquetes el número de paquetes recibidos a través del enlace de comunicaciones.

15. Nodo de red según la reivindicación 13, caracterizado porque comprende por lo menos medios para incluir un valor de contador de bytes en dicho paquete de confirmación de recepción, indicando dicho valor de contador de bytes el número de bytes recibidos a través del enlace de comunicaciones.

16. Nodo de red para comunicarse con el protocolo IPSec con un segundo nodo de red a través de un enlace de comunicaciones, que comprende por lo menos

- medios para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición,

17. Producto de programa de software para un nodo de red para comunicarse con el protocolo IPSec con un segundo nodo de red a través de un enlace de comunicaciones, de manera que el producto de programa de software comprende por lo menos

- medios de código de programa de software para la transmisión de un paquete de confirmación de recepción si se cumple por lo menos una de entre una primera condición y una segunda condición,

- medios de código de programa de software para recibir paquetes de confirmación de recepción para paquetes IPSec transmitidos por el segundo nodo de red,