JP2004529546A - 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ - Google Patents
仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ Download PDFInfo
- Publication number
- JP2004529546A JP2004529546A JP2002573395A JP2002573395A JP2004529546A JP 2004529546 A JP2004529546 A JP 2004529546A JP 2002573395 A JP2002573395 A JP 2002573395A JP 2002573395 A JP2002573395 A JP 2002573395A JP 2004529546 A JP2004529546 A JP 2004529546A
- Authority
- JP
- Japan
- Prior art keywords
- network
- vpn
- port
- packet
- logical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1442—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
- H04L12/1446—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level inter-operator billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2408—Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/805—QOS or priority aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4557—Directories for hybrid networks, e.g. including telephone numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/103—Media gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
- H04L65/104—Signalling gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1096—Supplementary features, e.g. call forwarding or call holding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/612—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/75—Media network packet handling
- H04L65/762—Media network packet handling at the source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/43—Billing software details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/47—Fraud detection or prevention means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/53—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP using mediation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/55—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for hybrid networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/56—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/63—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on the content carried by the session initiation protocol [SIP] messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/82—Criteria or parameters used for performing billing operations
- H04M15/8292—Charging for signaling or unsuccessful connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q3/00—Selecting arrangements
- H04Q3/0016—Arrangements providing connection between exchanges
- H04Q3/0029—Provisions for intelligent networking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2207/00—Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
- H04M2207/35—Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0148—Fraud detection or prevention means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0172—Mediation, i.e. device or program to reformat CDRS from one or more switches in order to adapt to one or more billing programs formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/202—VoIP; Packet switched telephony
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/2046—Hybrid network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/22—Bandwidth or usage-sensitve billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/44—Charging/billing arrangements for connection made over different networks, e.g. wireless and PSTN, ISDN, etc.
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2242/00—Special services or facilities
- H04M2242/06—Lines and connections with preferential service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42187—Lines and connections with preferential service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13166—Fault prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13384—Inter-PBX traffic, PBX networks, e.g. corporate networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13389—LAN, internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13399—Virtual channel/circuits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワークアーキテクチャは一以上のネットワークに基づく仮想私設ネットワーク(VPNS)(32a、32b)をサポートする通信ネットワークを含む。通信ネットワークは一以上のVPN(32a、32b)に属するCPEエッジルータ(34a、34b)へアクセスリンク(35a、35b)によって接続される複数の境界ルータ(40a、40b、42a、42b)を含む。顧客VPN(例えば他のVPNまたは一般のインターネット)からのトラフィックが顧客のVPN(32a、32b)内からのトラフィックに提供されるQoSを悪化させないように、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害しないように、アクセスリンク優先順位付けまたはアクセスリンク能力割り当てを介して各顧客のアクセスリンクに余分なVPNトラフィックよりも内部VPNトラフィックに優先権を与える。アクセスネットワーク(38a、38b)をVPN境界ルータ(40a、40b、42a、42b)およびCPEエッジルータ(42a、42b)を設定することによっておよびエッジおよび境界ルータのルーティングプロトコールによってDoS(サービスの拒絶)攻撃に対する高レベルのサービスが達成されうる。
Description
【0001】
この発明は通信ネットワークに関して特に、インターネットのような公衆通信ネットワークにおけるサービス拒否攻撃の防止に関する。より特定的には、この発明は仮想私設網(VPN)内のサイトのトラフィックに対するアクセス能力の割り当ておよび/または優先順位を、別のVPNまたは公衆ネットワークにおけるサイトのアクセス能力の割り当ておよび/または優先順位から分離することによって、共有されたネットワークインフラストラクチャを有する通信ネットワークにおけるサービス拒否攻撃を防ぐための方法、システムおよび装置に関する。
【0002】
ネットワークサービスプロバイダに対して、ネットワーク設計および管理における主要な考慮は、VPN顧客サイトから始まるトラフィックとVPNの外部から(例えば、インターネットまたは他のVPNから)始まるトラフィックの間のアクセス能力とネットワーク資源の適切な割り当てをすることである。この考慮はネットワークサービスプロバイダが最低の通信帯域を提供するかまたは、特定のサービスの質(QoS)を保証することを要求するサービスレベルアグリーメント(Service Level Agreement,SLA)を含む予約を行っているVPN顧客のトラフィックに関して特に重要である。それらのサービスの提供はネットワークサービスプロバイダに対して特定されたQoSを達成するネットワークアーキテクチャおよびプロトコルを実行するとともに十分なアクセス能力を保証し、ネットワーク資源はVPNの一部ではないホストとの通信とは別の他のVPNサイトとの通信のために利用可能である。
【0003】
インターネットプロトコル(IP)ネットワークにおいては、QoSを達成し、音声または非同期転送モード(ATM)のような、コネクション型のネットワークサービスの許可制御に匹敵する許可制御を実行するためのまっすぐなアプローチは、QoSを要求するIPパケット対して資源予約信号送信の実例の、同じホップごとの(hop-by-hop)切り替えをエミュレートすることである。実際、統合されたサービス(Intserv、イントサーブ)のためのインターネットエンジニアリングタスクフォース(IETF)によって開発されたIP信号送信標準はこのアプローチを正確に採用している。IETF RFC1633に述べられているように[R. Branden et al., "Integrated Services in the Internet Architecture: an Overview" June 1994]、イントサーブは、アプリケーションが、自分のデータパケットに対して配送サービスの多数の制御されたレベルの中から選択できるような、フローごとのIP QoSアーキテクチャである。この能力をサポートするために、イントサーブは、パケットフローの送信器で、アプリケーションがパケットフローの受信器に対する経路に沿ったすべてのネットワーク要素から、能力の特定のレベルで所望のQoSクラスを要求することを許容するために、IETF RFC2205によって規定された[R. Branden et al., "Resource ReSerVation Protocol (RSVP)-Version 1 Functional Specification" Sept. 1997]、よく知られた資源予約プロトコル(RSVP)の使用を許可する。資源予約を要求するRSVP PATHメッセージおよび上流のノードから資源予約を確認するRSVP RESVメッセージを受け取ったあと、経路に沿った個々のネットワーク要素はフロー内でパケットに配送されたQoSおよび能力を制御するための機構を実行する。
【0004】
図1は許可制御を実行するための従来のイントサーブ実施の使用を例示する。図1に示すように、模範的なIPネットワーク10はN個の同一のノード(例えばサービスプロバイダ境界ルータ)12を含み、各々がL地区の顧客のために顧客構内装置(Customer Premise Equipment,CPE)に接続された能力XのLリンクを有している。フローごとにおいては、コネクション型のアプローチは、各ノード12が起点から宛先へのネットワークに沿ったどのリンクも過負荷ではないということを保証する。アクセス能力を見て、フローごとのアプローチはすべてのフローに対する能力の合計が任意の出口アクセスリンク(例えばノード12aのリンク1)の能力Xを超えないように、入口アクセスリンクの各々での入力フローを直接制限することができる。同様のアプローチがIPネットワーク10内の例示されていないコアルータに接続するリンクに適用が可能である。
【0005】
概念的には非常に単純ではあるが、図1に例示した許可制御技術は多くの欠点を有している。最も重要には、RSVPを使用しているイントサーブの許可制御は、サービスプロバイダの境界およびコアルータにおいてRSVPが処理集中型の信号送信を要求するため、拡張性に限界がある。特に、RSVPは送信器と受信器との間の各ネットワーク要素において適切な資源割り当てを要求するための端末間信号送信を要求し、どのフローを許可するかを決定するために、入口ノード12b−12dによるポリシー問い合わせを行い、それに応じてトラフィックを取り締まり、同時に多くの他のハンドシェイクメッセージを取り締まる(police)。結局、イントサーブRSVP信号によって要求される処理は電話またはATM信号の処理に匹敵し、各境界内で高性能の(すなわち高価な)プロセッサ要素または、そのような信号によって要求される大規模な処理を行うコアになるIPルータを要求する。RSVP信号はソフト状態にある。これは、IPネットワークを介した転送経路は変更するかもしれず、それゆえフローによって要求されるQoSおよび能力についての情報は周期的に通信されなければならないため、信号送信処理が頻繁にリフレッシュされる(デフォルトで30秒ごと)ということを意味する。このいわゆるソフト状態の動作モードがATMスイッチの処理負荷よりもさらに大きい追加の処理負荷をルータ上に生成する。さらに、境界ルータのプロセッサが大量の無効なRSVP要求によって過負荷にされると、プロセッサがクラッシュし、それによって故障したプロセッサを有するルータによって処理されているすべての顧客に対するすべてのフローに対するサービスが中断される。
【0006】
従来のイントサーブRSVP信号送信を利用した許可制御の実施に関連した課題を認識して、IETFはRFC2475[S. Blake et al., "An Architecture for Differentiated Services" Dec.1998]において規定された、差別化されたサービス(Differentiated Service、ディフサーブまたはDS)プロトコルを普及させたディフサーブは、各IP層パケットヘッダのDSフィールド(例えば、IPv4型のサービス(TOS)バイトまたはIPv6トラフィッククラスバイト)内の集合したトラフィック分類を搬送することによって拡張性を達成したIP QoSアーキテクチャである。DSフィールドの最初の6ビットは、ディフサーブドメイン内の経路に沿った各々のノードでパケットのために、特定のサービスクラスまたは、パケットに対するホップ単位動作(PHB)を要求するディフサーブコードポイント(Diffserv Code Point,DSCP)を符号化する。
【0007】
ディフサーブドメインにおいては、ネットワーク資源はサービス供給ポリシーに応じてパケットフローの集合体に割り当てられる。サービス提供ポリシーはDSCPマーキング、ディフサーブドメインへの入場のためのトラフィック条件およびディフサーブドメイン内のトラフィック転送を支配する。マーキング(すなわち分類)および条件付け操作はディフサーブネットワーク境界においてのみ実行される必要がある。このように、特定のQoSを有するフローを確立するために送信器と受信器の間で端末間信号を要求するよりも、ディフサーブは各IPパケットヘッダを単に検査および/またはマークすることによって入口境界ルータがQoSを集合されたフローに提供することができるようにする。
【0008】
ディフサーブ標準は、イントサーブの処理集中型信号送信をハードウエアにおいて容易に実行されうる簡単なパケットごとのマーキング操作と置き換えることによってイントサーブの拡張性の限界に対処したが、ディフサーブプロトコルの実施は別のタイプの問題を提示する。特に、ディフサーブはサービスクラスのホストのマーク付けを許容するため、ディフサーブネットワーク顧客リンクは、多くのホストがDSフィールドが高い優先度に設定された状態でそのリンクにパケットを送信するとサービスの拒否(DoS)攻撃を経験しうる。ホストの組はDSCPを設定することによって直接、または、特定のDSCPへある別のルータまたは装置によって分類されたトラフィックを提出することによって間接的に、ディフサーブサービスクラスの予約された能力を超えることができる。ディフサーブにおいては、IPネットワークは顧客のインターフェイスが各ディフサーブサービスクラスに対する予約された能力を超えないということを確実にするために、入口ルータで取り締まることによってその資源を保護できるだけである。しかしながら、これはDoS攻撃を防げない。
【0009】
図2は従来のディフサーブプロトコルを実行する模範的なIPネットワーク10´におけるDOS攻撃のシナリオを示す図である。図2において、多くの入口ノード(例えば入口境界ルータ)12b´−12d´の各々は、トラフィックが出口ノード(例えば出口境界ルータ)12a´の単一のリンクを標的にすることを許容する。各入口ノード12´は、顧客が各DSCPで自分の予約した資源を超えないということを確実にするために入来パケットを取り締まるが、許可されたフローの集合はノード12a´の出口リンク1の能力Xを超え、その結果、このリンクによって顧客サイトへのサービスの拒否となる。
【0010】
イントサーブおよびディフサーブ標準の従来の実施に付随する限定にかんがみて、この発明は、従来のイントサーブ実施と異なって、拡張性が高く、しかも従来のディフサーブおよび他のネットワークが受けやすいDoS攻撃に対して保護できる、通信プロトコルをサポートするデータ通信のための方法、システムおよび装置を提供することが有用でありかつ望ましいということを認識する。
【0011】
この発明に従うネットワークアーキテクチャは1以上のネットワークベースの仮想私設網(VPN)をサポートする通信ネットワークを含む。通信ネットワークは1以上のVPNに属するCPEエッジルータへのアクセスリンクによって接続された複数の境界ルータを含む。外部顧客のVPNからのトラフィック(例えば他のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内に提供されるQoSを悪化させないために、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害できないように、アクセスリンクの優先度またはアクセスリンクの能力割り当てを通じて、各顧客のアクセスリンクに対して内部VPNトラフィックを余分なVPNトラフィックよりも優先する。このようにして余分なVPNトラフィックに対して内部VPNトラフィックを優先することが、ネットワーク要素およびプロトコルの特別の設定を引き起こす。この特別の構成は、VPN境界ルータおよびCPEエッジルータでの、内部VPNトラフィックおよび余分なVPNトラフィック間の論理的なトラフィック分離を達成するためのルーティングプロトコルの設定とともに、レイヤ2スイッチおよび多重化を使用したアクセスネットワークおよび物理的なアクセスリンクでの内部VPNおよび余分なVPNトラフィック間のしきりを含む。このように、アクセスネットワーク、VPN境界ルータおよびCPEエッジルータ並びにエッジおよび境界ルータのルーティングプロトコルを構成することによって、DoS攻撃の防止に対する高レベルのサービスが達成される。
【0012】
この発明の追加の目的、特徴および利点は以下の詳細な記載から明らかになる。
【0013】
発明の特徴であると信じられる新規な特性が添付のクレームで述べられている。しかしながら、この発明自体、使用の好ましいモード、更なる目的およびその利点は、添付の図面と共に読まれたとき、例示的な実施例の詳細な説明を参照することによって最もよく理解される。
【0014】
図、特に図3を参照して、この発明に従った、仮想私設網(VPN)顧客のアクセスを保護するとともにDoS攻撃に対して主要なネットワークリンクを保護しながら、選択されたトラフィックに対してQoSを提供する拡張性のある方法を提供する模範的なネットワークアーキテクチャ20の高レベルのブロック図が示されている。図2に例示した従来のネットワークと同様に、図3のネットワークアーキテクチャ20は、それぞれがLのアクセスリンクを有するNのサービスプロバイダ境界ルータ(BR)22を有するディフサーブネットワーク21を含む。ネットワークアーキテクチャ20において異なるのは、ディフサーブネットワーク21が複数のVPN事例をサポートすることである。このうち2つの事例が図に示されており、一方は、第一ネットワークサービス顧客24に対するCPEエッジルータ(ER)に接続された境界ルータ22のアクセスリンクであり、もう一方は、4つのサイトの各々にある、第二ネットワークサービス顧客25に対するERであって、それぞれaからdによって特定されている。各CPE ERは顧客のローカルエリアネットワーク(LAN)にネットワークサービスを提供する。サービスプロバイダネットワークに基づくVPNは、この図に示されたのより多い顧客をサポートしてもよい。
【0015】
図3において示された模範的な通信シナリオにおいては、CPEエッジルータ24b−24dに接続された第一VPN顧客のLAN内のホスト、CPEエッジルータ25a−25dに接続された第二VPN顧客のLAN内のホストおよび境界ルータ22a−22dにリンクされた別の例示のないCPEエッジルータに接続されたサイトは全て、第一VPN顧客CPEエッジルータ24aに接続されたLANを目標とするパケットフローを送信してもよい。図2に関して上で述べた先行技術の従来のディフサーブネットワークがもし実行されると、CPEエッジルータ24aに接続された境界ルータ22aの出力アクセスリンク1はこれらのフロー集中によって容易に圧倒され、その結果DoSを引き起こす。しかしながら、この発明によれば、図3のディフサーブネットワーク21は、他のVPNまたは他のサイトからのトラフィックを境界ルータ22aの物理的アクセスリンク1の第2論理ポートに向ける一方で、内部VPNトラフィックを境界ルータ22aの物理的アクセスリンク1の第1論理ポート27に向けることによって、VPNの外からのDoS攻撃を防ぐ。
【0016】
所定の顧客団体外部(例えば他のVPNまたは一般のインターネット)からのトラフィックが所定の顧客団体内からのトラフィック(例えば同じ企業内の他のホストからのトラフィック)からのトラフィックに与えられたQoSを悪化させないために、この発明では内部VPNトラフィックを余分なVPNトラフィックに対して優先順序づけるか、または余分のVPNトラフィックが内部VPNトラフィックを妨害できないようにアクセスリンク能力を割り当てる。言い換えると、以下に詳細に述べるように、各境界ルータ22は各顧客のアクセスリンクに顧客のVPN内で生じたトラフィックに優先権を与える。ここで、VPNは、ネットワーク資源および/または通信がノードの集合の会員資格に基づいて分割された共有ネットワークインフラストラクチャによって接続されたノードの集合として定義される。このように内部VPNトラフィックを余分なVPNトラフィックに対して優先させることによって、論理的なトラフィック分離を達成するためにレイヤ2の多重化およびルーティングプロトコルの設定を使用して内部VPNと余分VPNの間で物理的なアクセスの分割を含むネットワーク要素およびプロトコルの特別の設定を実現する。要約すると、CPEエッジルータ、アクセスネットワーク、ネットワークに基づくVPN境界ルータ、およびエッジおよび境界ルータに組み込まれたルーティングプロトコルの設定が以下に詳細に説明するようにDoS攻撃を防ぐための高レベルのサービスを達成するために協同する。対照的に、従来のディフサーブおよびCPEエッジルータ、IPに基づくIP VPNの実行は同じVPN内のサイト用として予定されているトラフィック(例えば内部VPNトラフィック)とインターネット(例えば余分なVPNトラフィック)の他の領域から送信されたトラフィックとを分離しなかった。
【0017】
図4−8を参照して、図3に示された一般化されたネットワークアーキテクチャ20の少なくとも2つのクラスの実施例が可能である。特に、この発明に従うネットワークは図4−6を参照して以下に述べるようなCPEに基づくVPNの実施または図7および図8を参照して以下に述べるネットワークに基づくVPNの実施のいずれかとして実現される。
【0018】
まず図4を参照して、DoS攻撃に耐えるために、CPEに基づくVPNを採用した模範的なネットワークアーキテクチャ30を例示する。示されたネットワークアーキテクチャはディフサーブ可能な(Diffserv-enabled)IP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LANs)32とを含む。顧客のLAN32は、各々が一または両方のネットワーク44および46にわたって通信されたパケットを送信器および/または受信器として機能できる一以上のホストを含む。図4に示した模範的な実施例においては、顧客LAN32aおよび32bは、企業のような所定の同じ団体(例えばVPN)に属しているものと仮定する。
【0019】
各顧客LAN32はそれぞれのCPEエッジルータ34および物理的アクセスリンク35によって、それぞれのアクセスネットワーク(例えばL2アクセスネットワーク)38に接続されている。アクセスネットワーク38aおよび38bは、各々がディフサーブ可能なIP VPNネットワーク44の境界ルータ(BR)40への第一L2アクセス論理接続と、ベストエフォート型のIP公衆ネットワーク46の境界ルータ(BR)42への第二L2アクセス論理接続とを有する。内部VPNおよび余分なVPNトラフィックを異なった線で表した図4に例示されているように、VPN承知(VPN-aware)CPEエッジルータ34aおよび34bは、IP VPNに属するIPアドレスのプレフィックスを有するパケットのみをディフサーブ可能なIP VPNネットワーク44を介して送信し、他のすべてのトラフィックをベストエフォート型のIP公衆ネットワーク46を介して送信する。顧客LAN32の安全性を高めるために、CPEエッジルータ34aおよび34bはすべてのトラフィックをファイアウォール36aおよび36bのそれぞれを介してベストエフォート型のIP公衆ネットワーク46へ、またはそこからすべてのトラフィックを送信する。
【0020】
図4に例示されているネットワークアーキテクチャにおいては、IP VPNの外部から生じたDoS攻撃が内部VPNトラフィックに対して優先度を許容するためにアクセスネットワーク38a、38bの2つの論理接続を適切に利用するために境界ルータ40a−40bと42a−42bとを設定することによって防がれる。例えば、第一の設定では、ディフサーブ可能なIP VPNネットワーク44とのL2アクセス論理接続に対してベストエフォート型の公衆IPネットワーク46へのL2アクセス論理接続よりも高い優先度が割り当てられる。そのようなアクセスリンク35の優先順位をサポートするL2アクセスネットワークはイーサネット(例えばイーサネット優先度の利用)、ATM(例えばATMサービス分類の利用)および多くのフレームリレー(FR)ネットワークの実施とを含む。これらの実施はよく知られた技術を利用して提供されうる。設定によって、ディフサーブ可能なIP VPNネットワーク44の各境界ルータ40は、アクセスネットワーク38への論理接続に対するパケットの送信割合を、ベストエフォート型IP公衆ネットワーク46に対してL2アクセス論理接続が窮乏(starvation)しないように、アクセスリンクの値よりも小さい値に合わせる(shape)。代わりに、第二設定として、境界ルータ40a−40bおよび42a−42bは各L2アクセスネットワーク論理接続に対して予定されたトラフィックを特定の割合に合わせるよう個々に設定されてもよい。ここではこれら割合の合計はCPEエッジルータ34およびアクセスネットワーク38にリンクした物理的なアクセス媒体の送信能力より少ないかまたは等しい。これら2つの設定のいずれにおいても、境界ルータ40および42はパケットのDSCPマークに基づいたスケジューリングおよび優先度を実行し、IP VPNトラフィックに対するアクセスネットワーク接続に対して割り当てられた能力を合わせる。
【0021】
当業者によって理解されるように、これら代案の設定のいずれを実行するかという選択は、各設定が利点および欠点を共に有しているため、設計上の選択の問題である。例えば、最初の設定では、ネットワーク44および46間のアクセスネットワーク設定の調整が容易である。しかしながら、もしアクセスネットワーク38が厳格な優先度のみを実施すると、ディフサーブ可能なIP VPNネットワーク44からのIP VPNトラフィックはIP公衆ネットワーク46上で通信されるベストエフォート型のトラフィックを窮乏させるかもしれない。第二の設定はこの欠点をアクセスリンク能力の一部をネットワークアクセスの各タイプ(例えば内部VPNおよび余分VPNの両方)にこれらのアクセスリンク能力を割り当てることによって対処している。しかしながら、もし境界ルータ40、42が第二設定に従ってトラフィックを合わせると、ネットワーク44、46の一方に対する使用されないアクセス能力が別のネットワークへのアクセスのために使用できない。すなわち、シェイパ(shaper)は分離された境界ルータ40、42上にあるため、非作業保存(non-work-conserving)スケジュールのみが可能である。
【0022】
図5を参照して、図4に示されたネットワークアーキテクチャ内で使用されうるQoS承知CPEエッジルータ34のより詳細なブロック図が例示されている。例示されているように、CPEエッジルータ34は複数のLANポート60を含む。このLANポート60は対応する数の顧客LAN32に接続を提供する。例えば、図5において、LANポート60aはそれぞれが32ビットのIPアドレス“a.b.c.d”、“a.b.c.e”および“a.b.c.f”の多数のホスト48を含む顧客LAN32に接続されている。
【0023】
各LANポートは転送機能62に接続され、転送機能62はパケットを、LANポート60と、一以上のワイドエリアネットワーク(WAN)の物理ポート64(その一つのみが例示されている)に存在する一以上の論理ポート(LP)66との間で転送する。LP66は各々がレイヤ2のサブインターフェイスを含むが、例えば、イーサネット仮想LAN(VLAN)、FRデータリンク接続識別子(DLCI)、ATM仮想チャンネル接続(VCC)またはポイントツーポイントプロトコル(PPP)/時分割多重化(TDM)チャネルにおいて実行される高レベルのデータリンク制御(HDLC)として実施されてもよい。WAN物理ポート64は、論理ポート66からのパケットをアクセスネットワーク38の通信媒体上で多重化するためにスケジューラ68を採用し、アクセスネットワーク38から受信したパケットを転送機能70を利用したそれぞれの論理ポートへ転送する。
【0024】
CPEエッジルータ34のLANポート60が顧客LAN32からパケットを受信すると、パケットはまず分類器80を通る。分類器80は分類器テーブル82を参照して、CPEエッジルータ34によって各パケットがどのように処理されるかを決定する。図5に例示されているように、分類器テーブル82は起点アドレス(SA)、宛先アドレス(DA)、起点ポート(SP)および宛先ポート(DP)、プロトコル形式(PT)、DSCPまたはパケットのリンクからの他のフィールド、ネットワークまたは転送層ヘッダを含む多くの見出しを有してもよい。これらの見出しの一以上のパケットの値に基づいて、分類器72はパケットを処理するために使用されるCPEエッジルータ34内のポリサ(policer,P)、マーカ(M)、宛先LP、宛先LP列(queue)(Q)のための値を得る。この発明の代わりの実施例においては、宛先LPおよび宛先LP列入力の検査は分類器80よりも転送機能62によって実行されうる。
【0025】
示されているように、分類器表82内のテーブル入力値はプレフィックスまたは範囲、またはナル(“−”によって示される)を利用することによって部分的に特定またはフルに特定されてもよい。例えば、LAN32のホスト48のSAは、32ビットのIPアドレスを用いてフルに特定され、多くの宛先ホストのDAは特定のIPネットワークを識別する24ビットのIPアドレスプレフィックスを利用して特定され、多くの見出し値および一つの取り締まり値はナルである。一般に、同じポリサ、マーカおよび/またはシェイパ値、イントサーブフローに対するこれらの値はRSVP RESVメッセージから取られるのであるが、これらは異なって分類されたパケットフローに対して特定されてもよい。例えば、分類器テーブル82はポリサP1とマーカM1が、DSCP“010”でマークされたSA“a.b.c.e”を有するパケットと同様にDSCP“101”でマークされ、任意のSAからのパケットを処理するということを特定する。しかしながら、分類器テーブル82は、VPN内のDAを有するトラフィック(すなわち内部VPNトラフィック)のための異なった宛先LP値を特定することによって異なる分類を有するフローとインターネットにおけるどこかのホスト(すなわち余分なVPNトラフィック)に宛てられたトラフィックと区別する。このように、IPアドレスプレフィックス“r.s.t”、“w.x.y”および“l.m.n”のすべてがネットワーク32として同じVPNに属しているため、これらDAが合致したトラフィックは、すべての他のトラフィックがベストエフォート型のIP公衆ネットワーク46に対してLP−2 66bを介して送信される間にディフサーブ可能IP VPNネットワーク44を介して同じVPN内の他のサイトにLP−1 66aを介して送信される。
【0026】
パケットが転送される論理ポート66およびLP列は静的設定によってまたはルーティングプロトコルによって動的に決定されうる。いずれの場合においても、VPNルートは、もしCPEルータ34が同じ宛先IPアドレスのためにインストールされた両方のルートを有しているときは、インターネットルートについて常に優先されるべきである。そのような優先度は、(1)VPNルートをインストールするための内部ゲイトウエイプロトコル(IGP)(すなわちOSPFおよびIS−IS)、およびインターネットルートをインストールするための静的ルーティングすなわちEBGP、または(2)VPNルートに対して与えられたより高いローカル優先度を有する、VPNルートとインターネットルートの両方をインストールするためのEBGPの使用、を含む多くの方法の任意のもので実行されうる。
【0027】
分類後、分類器テーブル82によって示されるように、ポリサP0、P1およびマーカM0、M1、M2によって適切にパケットが取り締まられマークされたあと、テーブル検査によって特定されるように転送機能62によって論理ポート66aまたは66bのいずれかに切り替えられる。特定の論理66内で、パケットは分類器テーブル82によって特定されたLP列Q0−Q2に向けられる。LP列Q0−Q2はランダムアーリーディテクション(RED)のような利用可能なバッファ能力または閾値のいずれかに基づいて許可制御を実行する。スケジューラ90は、それから先入れ先出し(FIFO)、優先順、重み付けされたラウンドロビン(Weighted Round Robin,WRR)、重み付けされたフェアな列(WFQ)または級に基づいた列(CBQ)のような選択されたスケジューリングアルゴリズムに応じてLP列Q0−Q2を処理する。例えば、例示された実施例においては、LP−2 66aのスケジューラ90は各LP列iに関連した重み付けwiおよび論理ポート2に対する全体的なWFQスケジューラ割合r2に基づいてWFQを実施し、それによってトラフィックを割合r2に決定する。最後に、上記したように、物理的なWANポート64のスケジューラ68はアクセスネットワーク38に対して送信を制御するために各種論理ポート66を処理する。
【0028】
CPEエッジルータ34はWAN物理ポート64でアクセスネットワーク38からパケットを受信し、転送機能70を利用して、それが論理ポートに対してマップ化しているようにアクセスネットワーク38の設定によって指示される適切な論理ポート66aまたは66bにパケットを転送する。各論理ポート66において、パケットは分類器100を通過する。分類器100は分類器テーブル102にアクセスするために上で述べた同じ組の見出し内の1以上の見出しを採用している。典型的な実施においては、分類器100の結果の検査は、取締りおよびマーキングは滅多に要求されないために分類器80の検査よりも複雑ではない。このように示された実施例においては、パケットは転送機能62によって論理ポート66の分類器100から直接パケットのDSCPに基づくテーブル検査において特定されたLANポート60aの特定の列Q0−Q2に転送される。上記したように、LANポート60aの列Q0−Q2はWFQを実施し、顧客LAN32にパケットを転送する、スケジューラ102によって処理される。
【0029】
図6Aを参照して、VPN機能のないQoS承知境界ルータのより詳細なブロック図が示されている。VPN機能は例えば境界ルータ42を実行するために図4のネットワークアーキテクチャ内で使用されてもよい。示されているように、図6Aの境界ルータ42は複数の物理ポート116と、入来パケットのために転送機能112および発信パケットのためのスケジューラ114によってアクセスネットワーク38に接続された複数の論理ポート110と、論理ポート110および物理ポート116間でパケットを転送する転送機能118とを含む。複数の物理ポート116の実施によって、ネットワークコアルータに対する障害耐性接続が許容され、アクセスネットワーク38に接続された複数の論理ポートの実施は一つの論理ポートの実施によって、一つの論理ポート(すなわちLP−1 110a)をディフサーブ可能な論理ポートとして、また第二論理ポート(すなわちLP−2 110b)をベストエフォート型の論理ポートとして設定することが許容される。
【0030】
このように、アクセスネットワーク38から境界ルータ42のLP−2 110bを介してネットワークコアへ至るトラフィックに対して、LP−2 110bの分類器124はすべてのパケットを分類器テーブル126に従ってマーカM0に向ける。マーカM0はDSCP000でLP−2 110bで受信したすべてのパケットについて意見を述べ(remark)、このように、パケットをベストエフォート型のトラフィックとして特定する。対照的に、LP−1 110aの分類器120は、信頼されたCPE(例えばサービスプロバイダが管理するCPEエッジルータ34)でDSCPマーキングを既に受信した入来パケットをPHY−1 116a上の列Q0−Q2にマップ化するために分類器テーブル122を利用する。この列はQoSの異なるレベルに各々が関連している。パケットは、信頼されたCPEによって、既にマルチフィールドに分類され、マークされまた合わされて(shaped)いるため、境界ルータ42はパケットに対して意見を述べる必要はない。しかしながら、もし送信CPEエッジルータがCPEによって信頼されないのであれば、境界ルータ42はLP−1 110aで受信したパケットに対して意見を述べまた取り締まる必要があるであろう。
【0031】
分類(およびLP−2 110bで受信したトラフィックの場合においてはマーキング)に続いて、トラフィックは転送機能118によって適切な物理ポート116または論理ポート110に転送される。フルの転送検査を実行するために分類器を使用している図5のエッジルータ34と対照的に、境界ルータ42は代わりの設計を採用しており、そこでは転送機能118が出力ポート、すなわち、この例においてはLP−1 110a、LP−2 110b、またはPHY−1 116aを決定するためにパケットのDAで転送テーブル128にアクセスする。非VPNルータの場合は、転送テーブル128には、一般的なIPルーティングプロトコル(例えばボーダゲートウエイプロトコル(BGP))または静的設定(例えば、LP−2 110bでの24ビットのIPアドレスプリフィックス“d.e.f.”の関連)が存在する(populated)。代わりの実施例は転送機能62内に機能を転送するIP検査を中央に位置させうる。図6に示された模範的な実施例は境界ルータ42がネットワークコアに送られるすべてのトラフィックをコアルータに接続された物理的なポート116のただ一つに送信すると仮定する。別の実施例ではもちろん、物理ポート116を介してバランスしたトラフィックを負担させることも可能である。加えて、コアルータを削除したり、一以上のコアルータに対して一以上の論理ポートを採用する実施例も示された設計のまっすぐな拡張である。
【0032】
境界ルータ42を介したアクセスネットワーク38に通信されるトラフィックに対しては、分類器132がパケットのDSCPによって指示されたQoSに対して列Q0−Q2の適切な一つに各パケットを向けるためのパケットのDSCPを使用した分類器テーブル134にアクセスする。ディフサーブ可能な論理ポート110を購入した顧客に対しては、起点CPEが適切なDSCP値でフローを取り締まりかつマークするため、これが所望のQoSを配送する効果を有する。ベストエフォート型の顧客がより高い質のトラフィックを受けることができるが、そのような一方通行の差別されたサービスを防ぐことは分類器においてかなりの付加的な複雑さを要求し、サービスプロバイダネットワークにおける各エッジルータに対してルーティングプロトコルを介してQoS情報の分配を含む。
【0033】
図6Bを参照して、図4に示されたネットワークアーキテクチャ内においてディフサーブ可能な、およびDoSに対して保護されたVPNサービスを提供するために使用されてもよい、QoS承知(aware)VPN境界ルータ40のより詳細なブロック図が示されている。示されているように、境界ルータ40はディフサーブ可能なIP VPNネットワーク44のコアルータに接続するための複数の物理ポート226と、入来パケットのための転送機能220によってアクセスネットワーク38に接続された複数のディフサーブ可能な論理ポート224と、発信のためのスケジューラ222と、論理ポート224と物理ポート226の間のパケットを転送する転送機能228とを含む。
【0034】
境界ルータ40上で実行される各ディフサーブ可能な論理ポート224の各々は複数のVPNのそれぞれの一つを処理する。例えば、ディフサーブ可能な論理ポートをLP−A 224aは、24ビットのIPアドレスプレフィックス“a.b.c.”および“a.b.d.”を有する顧客サイトを含むVPN Aに属する顧客サイトにサービスを提供する。同様に、ディフサーブ可能な論理ポートLP−B 224bは24ビットIPアドレスプレフィックス“b.c.d.”および“b.c.e.”を有する二つの顧客サイトを含むVPN Bに属する顧客サイトにサービスを提供する。ディフサーブ可能な論理ポート224は、ベストエフォート型のIP公衆ネットワーク46に属するサイトにはサービスを提供しない。というのは、そのようなトラフィックは図4に示されるように、境界ルータ42に送られるからである。
【0035】
図6Bにさらに例示されているように、境界ルータ40の各コアに対面している物理ポート226は論理トンネル240として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバ−IPトンネル、一般ルーティングカプセル化(Generic Routing Encapsulation,GRE)トンネル、トンネルモードで作動されたIPセック(IPsec)、多重プロトコルラベル切り替え(MPLS)ラベルの積み重ねられた組、レイヤ2トンネルプロトコル(L2TP)またはナル(null)トンネルを含む各種の技術の任意のものを使用して実行されうる。そのようなトンネルは、複数のVPNに対するルーティング情報はネスト化された方法でトンネルに関連されうるという点で論理ポートと区別できる。例えば、IETF RFC2547[E. Rosen et al.,"BGP/MPLS VPNs" March 1999]に述べられているボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、一方最後のラベルが宛先VPNを決定する。
【0036】
動作において、ディフサーブ可能な論理ポート224の各々の分類器230は、それぞれの分類器テーブル232を参照してパケットのDSCP値に応じてディフサーブ可能なIP VPNネットワーク44のネットワークコアに対して境界ルータ40を介してアクセスネットワーク38からのパケットフローを分類する。示されているように、分類器テーブル232aおよび232bは各パケットに対して物理ポートPHY−1 226aで列Q0−Q2の適切な一つを決定するための見出しとしてDSCPを使用してアクセスされる。物理ポート226によって受信されたパケットは、論理ポート224の一つで各パケットに対して列Q0−Q2の適切な一つを決定するために、分類器テーブル254を参照することによって分類器250によって同様に分類される。分類(およびLP−B 224bで示される選択的な(再)マーク)の後、選択機能228は、それぞれのVPNに各々が関連するVPN転送テーブル234a−234nを参照して論理ポート224と物理ポート226との間でパケットを交換する。このように、例えば、VPN転送テーブル234aはVPN Aのための転送ルートを提供し、VPN転送テーブル234bはVPN Bに対する転送ルートを提供する。
【0037】
VPN転送テーブル234は見出しとして起点ポートとDAを使用してアクセスされる。例えば、転送テーブル234aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプレフィックス“a.b.d.”を有するDAでアドレスされたVPN A内のトラフィックはTNL−1 240aを妨害し(traverse)、TNL−240bで受信されたトラフィックはLP−A 224aに向けられる。TNL−2 240bとLP−B 224b間の同様の経路指定がVPNルーティングテーブル234bにおいて見られうる。上で議論したように、VPN転送テーブル234には静的設定またはルーティングプロトコルの動的な使用が存在する(populate)。
【0038】
転送機能178による処理のあとで、各々のパケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に収納され、DSCP000でマークされたトラフィックはQ0内に収納される。スケジューラ236および252はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0039】
図7を参照して、DoS攻撃問題に対するネットワークベースのVPNソリューションを提供する模範的なネットワークアーキテクチャ150が例示される。図7において、同様の参照符号およびトラフィック表記が図4に示されたネットワークアーキテクチャ30の特徴に対応する特徴を特定するために使用される。
【0040】
示されているように、図7のネットワークアーキテクチャ150は図4のネットワークアーキテクチャ30と同様に、ディフサーブ可能なIP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LAN)32とを含む。上記のように、顧客LAN32aおよび32bは同じVPNに属し、各々がパケットの送信器および/または受信器として機能しうる一以上のホスト48を含む。各顧客LAN32はCPEエッジルータ34と物理アクセスリンク153によってそれぞれのアクセスネットワーク(例えば、L2またはL3アクセスネットワーク)154に接続される。QoSとベストエフォートトラフィックに対して別の論理接続を有している、図4のアクセスネットワーク38と対照的に、アクセスネットワーク154は、ベストエフォート型のIP公衆ネットワーク46の境界ルータ42に対して別の論理接続を有するディフサーブ可能なIP VPNネットワーク44の境界ルータ156に接続されているだけである。このように、ネットワーク44に予定された内部VPNトラフィックとネットワーク46に予定された余分のVPNトラフィックは共に境界ルータ156を介して送信される。これはトラフィックの2クラス間の作業保存型計画は有利に許可されるということを意味する。しかしながら、その結果、境界ルータ156の複雑さは、各境界ルータ156が、顧客間で共有しうるフルのインターネット転送テーブルとともに、各付属の顧客に対する別の転送テーブルを実施しなければならないため、必ず増加する。
【0041】
図8を参照して、図7において示されたネットワークアーキテクチャ内のディフサーブ可能なおよびDoS保護されたVPNサービスを提供するために設定された、ポリサ(policer)、シェイパ(shaper)、スケジューラ、論理ポートアクセスネットワーク接続および転送テーブルがQoS承知VPN境界ルータのより詳細なブロック図が示されている。示されているように、境界ルータ156はネットワークコアルータに接続するための複数の物理ポート176と、入来パケットのための転送機能170によってアクセスネットワーク154に接続された複数のディフサーブ可能な論理ポート174と、論理ポート174と物理ポート176との間のパケットを転送する転送機能178とを含む。
【0042】
各CPEエッジルータ34はアクセスネットワーク154を介して単一のアクセスリンクのみによって境界ルータ156に接続されているため、各ネットワーク顧客サイトは一つが内部VPNトラフィックに、一つが余分なVPNトラフィックという一対のディフサーブ可能な論理ポート174によって境界ルータ156でサービスされる。例えば、ディフサーブ可能な論理ポートLP−A1 174aおよびLP−A2 174は24ビットIPアドレスプリフィックス“a.b.c.”と“a.b.d.”を有する少なくとも二つの顧客サイトを含むVPN Aに属する単一顧客サイトにサービスを提供する。示された実施例においては、LP−A1 174aはVPN Aに属するサイトへおよびそのサイトからディフサーブ可能なIP VPNネットワーク44を介して通信されたQoSトラフィックに対するアクセスを提供し、LP−A2 174bはベストエフォート型のIP公衆ネットワーク46へ、およびそこからのベストエフォートトラフィックに対するアクセスを提供する。
【0043】
図8にさらに例示されているように、境界ルータ156の各コアに面した物理ポート176は論理トンネル180として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバー−IPトンネル、一般ルーティングカプセル化(GRE)トンネル、トンネルモードにおいて操作されるIPセック、積層された多重プロトコルラベル切り替え(MPLS)ラベルの組またはナルトンネルを含む各種技術の任意のものを使用して実施されてもよい。そのようなトンネルは、多重VPNのためのルーティング情報がネスト化(nested)された方法でトンネルに関連されうるという点で、論理ポートと区別されうる。例えば、IETF RFC2547において述べられたボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、最後のラベルが宛先VPNを決定する。
【0044】
動作において、ディフサーブ可能な論理ポート174の各々にある分類器182は、境界ルータ156を介してそれぞれの分類器テーブル190を参照してパケットのDSCPに応じてネットワークコアにアクセスネットワーク154からのパケットを分類する。示されているように、分類器テーブル190aおよび190bは、各パケットに対して物理ポートPHY−1 176aの適切な列Q0−Q2の一つを決定するための見出しとしてDSCPを用いてアクセスされる。物理ポート176によって受信されたパケットは、論理ポート174の一つにおける各パケットのために列Q0−Q2の適切な一つを決定するために分類器テーブル192を参照することによって分類器198によって同様に分類される。分類(およびLP−A2 174bで示されるような選択的な(再)マークの)後、転送機能178は、各々がそれぞれのVPNおよび共有されたインターネット転送テーブル195に関連したVPN転送テーブル194a−194nを参照して論理ポート174と物理ポート176との間でパケットの交換を行う。このように、例えば、転送テーブル194aはVPN Aに対する転送ルートを提供する入口を含み、一方インターネット転送テーブル195は起点としてLP−A2またはTNL−2(すなわちインターネットアクセスに対して設定された論理インターフェイス)を特定するパケットのための転送経路を提供する入口を含む。
【0045】
転送テーブル194は見出しとして起点ポートおよびDAを使用してアクセスされる。例えば、転送テーブル194aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプリフィックスの“a.b.d.”を有するDAでアドレスされた内部VPNトラフィックはTNL−1 180aを妨害し、一方余分なVPN(すなわちインターネット)トラフィックはTNL−2 180b(これはナルトンネルとなりうる)を妨害する。転送テーブル194aは、TNL−1 180aを介して受信した内部VPNトラフィックがLP−A1 174aに向けられ、24ビットのIPアドレスプリフィックス“a.b.c.”を有するDAでアドレスされたトンネルTNL−2 180bを介したインターネットから到着したすべての他のトラフィックはLP−A1 174bに送信される。境界ルータ156(すなわちローカルDAを有するトラフィック)の他のポートで終了するトラフィックは境界ルータ156の他のポート(LP−xで示されている)に送信される。言い換えると、“ローカル”とマークされた転送テーブル194aにおける入口は境界ルータ156のインターフェイスに割り当てられたVPN(例えばa.b.c/24)に割り当てられたプリフィックス以外のアドレスプリフィックスを特定する。
【0046】
転送機能178によって処理されたあと、パケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に位置される、DSCP000でマークされたベストエフォート型のトラフィックはQ0内に位置する。スケジューラ196はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0047】
今まで述べてきたように、この発明は、VPNの外の起点からのDoS攻撃に対してそのようなフローを保護しながら、余分なVPNトラフィックにQoSを提供するための改良されたネットワークアーキテクチャを提供する。この発明はネットワークに基づくVPNサービスを使用した選択されたフローに対してDoSで保護されたQoSを、および適切に設定されたルーティングプロトコルでL2アクセスネットワークを用いたCPEエッジルータに対して接続されたベストエフォート型のインターネットサービスを提供することである。エッジにおけるディフサーブマーキングおよびネットワークに基づくVPNコアにおける処理は選択されたフローに対してQoSを提供し、一方顧客VPNの外部から生じたトラフィックがサイトのアクセス能力を超えるためにVPNネットワーク顧客サイトに対するDoSの発生を防ぐために、内部VPNおよび余分なVPNトラフィックを論理的に分割する。顧客のVPN内から生じたトラフィックからのさらなる保護さえもIETF RFC2998[Y.Bernet et al., "A Framework for Intergrated Services Operation over Diffserv Networks" Nov. 2000]に記載されているようにCPEエッジルータおよび/またはQoS承知境界ルータにおいて実施されたイントサーブポリシー制御を使用して可能になる。
【0048】
この発明のネットワークアーキテクチャは、CPEに基づく、およびネットワークに基づく実施において実現されてもよい。CPEに基づく実施であれば、CPEエッジルータおよびサービスプロバイダ境界ルータにリンクしたアクセスネットワークの設定が容易になり、全サービスプロバイダネットワークを介したディフサーブを実施することなくVPNサイトにQoSが提供される。ネットワークに基づく設定は、余分なVPNトラフィックが内部VPNトラフィックに割り当てられた余分のアクセス能力を利用することを許容する。
【0049】
この発明の各種実施例が上記で述べられたが、それらは単なる例示であって限定と理解されるべきではない。このように、この発明の広さおよび範囲は上記の模範的な実施例によって限定されるものではなく、以下のクレームおよびその均等物に応じてのみ規定されるべきである。例えば、この発明はネットワークに基づくVPNがディフサーブネットワーク内で実施された好ましい実施例に関して述べられたが、この発明はディフサーブネットワークと共に用いるものに限定されるものではなく、例えば、RFC2547において教示されているBGP/MPLS、またはRFC2917において教示されている仮想ルータの使用[K. Muthkrishnan et al., "A Core MPLS IP VPN Architecture" Sept. 2000]によって実施されてもよい、他のネットワークに基づくVPNと共に代わりに用いられてもよい。加えて、図3、4および7は各CPEエッジルータのVPNネットワークへの接続およびあるアクセスリンクによるベストエフォート型ネットワークへの接続を例示したが、冗長化のために、CPEエッジルータがVPNの各々の一以上の境界ルータおよびベストエフォート型のネットワークに論理的に接続を提供する、一以上のアクセスネットワークに多重アクセスリンクによって接続されてもよいということを理解すべきである。そのような「二重ホーム」実施においては、多重アクセスリンクはサービスプロバイダ境界ルータにおける静的経路の設立またはルーティングプロトコル(例えばEBGP)を利用したサービスプロバイダ境界ルータの動的設定を介してプライマリ/バックアップまたは負荷共有配置のいずれかにおいて使用されうる。これは、CPEエッジルータが多重転送テーブルを実施するVPNおよびインターネットのためのルーティングプロトコルの別の事例はアドレス空間にアクセスすることを要求する。そのようなCPEエッジルータの実施例は図8に例示され、関連する文章で述べられたものと同様であり、単に単一のVPNテーブルとインターネット経路のための単一のテーブルが設けられているだけである。
【図面の簡単な説明】
【0050】
【図1】RSVPを用いたフローごとのQoSを実行する従来の統合サービス(イントサーブ)ネットワークを示す図である。
【図2】各パケットヘッダーにおいてDSCPマークを用いた集合トラフィックフロー上でQoSを実行する従来の差別化されたサービス(ディフサーブ)ネットワークを例示する図であり、それゆえサービスの拒否(DoS)攻撃に対して弱い。
【図3】この発明の好ましい実施例に従った、仮想私設網(VPN)における会員資格を参照することによってアクセス能力の分割割当および/または優先順位付けを行うことによってDoS攻撃に耐えうる模範的な通信ネットワークを例示する。
【図4】DoS攻撃問題に対してCPEベースのVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図5】図4および7において例示されたネットワークアーキテクチャ内で使用されうるQoS承知(aware)CPEエッジルータのより詳細なブロック図である。
【図6A】図4および図7に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能のないQoS承知境界ルータのより詳細なブロック図である。
【図6B】図4に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能を有するQoS承知境界ルータのより詳細なブロック図である。
【図7】DoS攻撃問題に対するネットワークに基づくVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図8】図7に示されたネットワークアーキテクチャ内で使用されうるQoS承知VPN境界ルータのより詳細なブロック図である。
この発明は通信ネットワークに関して特に、インターネットのような公衆通信ネットワークにおけるサービス拒否攻撃の防止に関する。より特定的には、この発明は仮想私設網(VPN)内のサイトのトラフィックに対するアクセス能力の割り当ておよび/または優先順位を、別のVPNまたは公衆ネットワークにおけるサイトのアクセス能力の割り当ておよび/または優先順位から分離することによって、共有されたネットワークインフラストラクチャを有する通信ネットワークにおけるサービス拒否攻撃を防ぐための方法、システムおよび装置に関する。
【0002】
ネットワークサービスプロバイダに対して、ネットワーク設計および管理における主要な考慮は、VPN顧客サイトから始まるトラフィックとVPNの外部から(例えば、インターネットまたは他のVPNから)始まるトラフィックの間のアクセス能力とネットワーク資源の適切な割り当てをすることである。この考慮はネットワークサービスプロバイダが最低の通信帯域を提供するかまたは、特定のサービスの質(QoS)を保証することを要求するサービスレベルアグリーメント(Service Level Agreement,SLA)を含む予約を行っているVPN顧客のトラフィックに関して特に重要である。それらのサービスの提供はネットワークサービスプロバイダに対して特定されたQoSを達成するネットワークアーキテクチャおよびプロトコルを実行するとともに十分なアクセス能力を保証し、ネットワーク資源はVPNの一部ではないホストとの通信とは別の他のVPNサイトとの通信のために利用可能である。
【0003】
インターネットプロトコル(IP)ネットワークにおいては、QoSを達成し、音声または非同期転送モード(ATM)のような、コネクション型のネットワークサービスの許可制御に匹敵する許可制御を実行するためのまっすぐなアプローチは、QoSを要求するIPパケット対して資源予約信号送信の実例の、同じホップごとの(hop-by-hop)切り替えをエミュレートすることである。実際、統合されたサービス(Intserv、イントサーブ)のためのインターネットエンジニアリングタスクフォース(IETF)によって開発されたIP信号送信標準はこのアプローチを正確に採用している。IETF RFC1633に述べられているように[R. Branden et al., "Integrated Services in the Internet Architecture: an Overview" June 1994]、イントサーブは、アプリケーションが、自分のデータパケットに対して配送サービスの多数の制御されたレベルの中から選択できるような、フローごとのIP QoSアーキテクチャである。この能力をサポートするために、イントサーブは、パケットフローの送信器で、アプリケーションがパケットフローの受信器に対する経路に沿ったすべてのネットワーク要素から、能力の特定のレベルで所望のQoSクラスを要求することを許容するために、IETF RFC2205によって規定された[R. Branden et al., "Resource ReSerVation Protocol (RSVP)-Version 1 Functional Specification" Sept. 1997]、よく知られた資源予約プロトコル(RSVP)の使用を許可する。資源予約を要求するRSVP PATHメッセージおよび上流のノードから資源予約を確認するRSVP RESVメッセージを受け取ったあと、経路に沿った個々のネットワーク要素はフロー内でパケットに配送されたQoSおよび能力を制御するための機構を実行する。
【0004】
図1は許可制御を実行するための従来のイントサーブ実施の使用を例示する。図1に示すように、模範的なIPネットワーク10はN個の同一のノード(例えばサービスプロバイダ境界ルータ)12を含み、各々がL地区の顧客のために顧客構内装置(Customer Premise Equipment,CPE)に接続された能力XのLリンクを有している。フローごとにおいては、コネクション型のアプローチは、各ノード12が起点から宛先へのネットワークに沿ったどのリンクも過負荷ではないということを保証する。アクセス能力を見て、フローごとのアプローチはすべてのフローに対する能力の合計が任意の出口アクセスリンク(例えばノード12aのリンク1)の能力Xを超えないように、入口アクセスリンクの各々での入力フローを直接制限することができる。同様のアプローチがIPネットワーク10内の例示されていないコアルータに接続するリンクに適用が可能である。
【0005】
概念的には非常に単純ではあるが、図1に例示した許可制御技術は多くの欠点を有している。最も重要には、RSVPを使用しているイントサーブの許可制御は、サービスプロバイダの境界およびコアルータにおいてRSVPが処理集中型の信号送信を要求するため、拡張性に限界がある。特に、RSVPは送信器と受信器との間の各ネットワーク要素において適切な資源割り当てを要求するための端末間信号送信を要求し、どのフローを許可するかを決定するために、入口ノード12b−12dによるポリシー問い合わせを行い、それに応じてトラフィックを取り締まり、同時に多くの他のハンドシェイクメッセージを取り締まる(police)。結局、イントサーブRSVP信号によって要求される処理は電話またはATM信号の処理に匹敵し、各境界内で高性能の(すなわち高価な)プロセッサ要素または、そのような信号によって要求される大規模な処理を行うコアになるIPルータを要求する。RSVP信号はソフト状態にある。これは、IPネットワークを介した転送経路は変更するかもしれず、それゆえフローによって要求されるQoSおよび能力についての情報は周期的に通信されなければならないため、信号送信処理が頻繁にリフレッシュされる(デフォルトで30秒ごと)ということを意味する。このいわゆるソフト状態の動作モードがATMスイッチの処理負荷よりもさらに大きい追加の処理負荷をルータ上に生成する。さらに、境界ルータのプロセッサが大量の無効なRSVP要求によって過負荷にされると、プロセッサがクラッシュし、それによって故障したプロセッサを有するルータによって処理されているすべての顧客に対するすべてのフローに対するサービスが中断される。
【0006】
従来のイントサーブRSVP信号送信を利用した許可制御の実施に関連した課題を認識して、IETFはRFC2475[S. Blake et al., "An Architecture for Differentiated Services" Dec.1998]において規定された、差別化されたサービス(Differentiated Service、ディフサーブまたはDS)プロトコルを普及させたディフサーブは、各IP層パケットヘッダのDSフィールド(例えば、IPv4型のサービス(TOS)バイトまたはIPv6トラフィッククラスバイト)内の集合したトラフィック分類を搬送することによって拡張性を達成したIP QoSアーキテクチャである。DSフィールドの最初の6ビットは、ディフサーブドメイン内の経路に沿った各々のノードでパケットのために、特定のサービスクラスまたは、パケットに対するホップ単位動作(PHB)を要求するディフサーブコードポイント(Diffserv Code Point,DSCP)を符号化する。
【0007】
ディフサーブドメインにおいては、ネットワーク資源はサービス供給ポリシーに応じてパケットフローの集合体に割り当てられる。サービス提供ポリシーはDSCPマーキング、ディフサーブドメインへの入場のためのトラフィック条件およびディフサーブドメイン内のトラフィック転送を支配する。マーキング(すなわち分類)および条件付け操作はディフサーブネットワーク境界においてのみ実行される必要がある。このように、特定のQoSを有するフローを確立するために送信器と受信器の間で端末間信号を要求するよりも、ディフサーブは各IPパケットヘッダを単に検査および/またはマークすることによって入口境界ルータがQoSを集合されたフローに提供することができるようにする。
【0008】
ディフサーブ標準は、イントサーブの処理集中型信号送信をハードウエアにおいて容易に実行されうる簡単なパケットごとのマーキング操作と置き換えることによってイントサーブの拡張性の限界に対処したが、ディフサーブプロトコルの実施は別のタイプの問題を提示する。特に、ディフサーブはサービスクラスのホストのマーク付けを許容するため、ディフサーブネットワーク顧客リンクは、多くのホストがDSフィールドが高い優先度に設定された状態でそのリンクにパケットを送信するとサービスの拒否(DoS)攻撃を経験しうる。ホストの組はDSCPを設定することによって直接、または、特定のDSCPへある別のルータまたは装置によって分類されたトラフィックを提出することによって間接的に、ディフサーブサービスクラスの予約された能力を超えることができる。ディフサーブにおいては、IPネットワークは顧客のインターフェイスが各ディフサーブサービスクラスに対する予約された能力を超えないということを確実にするために、入口ルータで取り締まることによってその資源を保護できるだけである。しかしながら、これはDoS攻撃を防げない。
【0009】
図2は従来のディフサーブプロトコルを実行する模範的なIPネットワーク10´におけるDOS攻撃のシナリオを示す図である。図2において、多くの入口ノード(例えば入口境界ルータ)12b´−12d´の各々は、トラフィックが出口ノード(例えば出口境界ルータ)12a´の単一のリンクを標的にすることを許容する。各入口ノード12´は、顧客が各DSCPで自分の予約した資源を超えないということを確実にするために入来パケットを取り締まるが、許可されたフローの集合はノード12a´の出口リンク1の能力Xを超え、その結果、このリンクによって顧客サイトへのサービスの拒否となる。
【0010】
イントサーブおよびディフサーブ標準の従来の実施に付随する限定にかんがみて、この発明は、従来のイントサーブ実施と異なって、拡張性が高く、しかも従来のディフサーブおよび他のネットワークが受けやすいDoS攻撃に対して保護できる、通信プロトコルをサポートするデータ通信のための方法、システムおよび装置を提供することが有用でありかつ望ましいということを認識する。
【0011】
この発明に従うネットワークアーキテクチャは1以上のネットワークベースの仮想私設網(VPN)をサポートする通信ネットワークを含む。通信ネットワークは1以上のVPNに属するCPEエッジルータへのアクセスリンクによって接続された複数の境界ルータを含む。外部顧客のVPNからのトラフィック(例えば他のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内に提供されるQoSを悪化させないために、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害できないように、アクセスリンクの優先度またはアクセスリンクの能力割り当てを通じて、各顧客のアクセスリンクに対して内部VPNトラフィックを余分なVPNトラフィックよりも優先する。このようにして余分なVPNトラフィックに対して内部VPNトラフィックを優先することが、ネットワーク要素およびプロトコルの特別の設定を引き起こす。この特別の構成は、VPN境界ルータおよびCPEエッジルータでの、内部VPNトラフィックおよび余分なVPNトラフィック間の論理的なトラフィック分離を達成するためのルーティングプロトコルの設定とともに、レイヤ2スイッチおよび多重化を使用したアクセスネットワークおよび物理的なアクセスリンクでの内部VPNおよび余分なVPNトラフィック間のしきりを含む。このように、アクセスネットワーク、VPN境界ルータおよびCPEエッジルータ並びにエッジおよび境界ルータのルーティングプロトコルを構成することによって、DoS攻撃の防止に対する高レベルのサービスが達成される。
【0012】
この発明の追加の目的、特徴および利点は以下の詳細な記載から明らかになる。
【0013】
発明の特徴であると信じられる新規な特性が添付のクレームで述べられている。しかしながら、この発明自体、使用の好ましいモード、更なる目的およびその利点は、添付の図面と共に読まれたとき、例示的な実施例の詳細な説明を参照することによって最もよく理解される。
【0014】
図、特に図3を参照して、この発明に従った、仮想私設網(VPN)顧客のアクセスを保護するとともにDoS攻撃に対して主要なネットワークリンクを保護しながら、選択されたトラフィックに対してQoSを提供する拡張性のある方法を提供する模範的なネットワークアーキテクチャ20の高レベルのブロック図が示されている。図2に例示した従来のネットワークと同様に、図3のネットワークアーキテクチャ20は、それぞれがLのアクセスリンクを有するNのサービスプロバイダ境界ルータ(BR)22を有するディフサーブネットワーク21を含む。ネットワークアーキテクチャ20において異なるのは、ディフサーブネットワーク21が複数のVPN事例をサポートすることである。このうち2つの事例が図に示されており、一方は、第一ネットワークサービス顧客24に対するCPEエッジルータ(ER)に接続された境界ルータ22のアクセスリンクであり、もう一方は、4つのサイトの各々にある、第二ネットワークサービス顧客25に対するERであって、それぞれaからdによって特定されている。各CPE ERは顧客のローカルエリアネットワーク(LAN)にネットワークサービスを提供する。サービスプロバイダネットワークに基づくVPNは、この図に示されたのより多い顧客をサポートしてもよい。
【0015】
図3において示された模範的な通信シナリオにおいては、CPEエッジルータ24b−24dに接続された第一VPN顧客のLAN内のホスト、CPEエッジルータ25a−25dに接続された第二VPN顧客のLAN内のホストおよび境界ルータ22a−22dにリンクされた別の例示のないCPEエッジルータに接続されたサイトは全て、第一VPN顧客CPEエッジルータ24aに接続されたLANを目標とするパケットフローを送信してもよい。図2に関して上で述べた先行技術の従来のディフサーブネットワークがもし実行されると、CPEエッジルータ24aに接続された境界ルータ22aの出力アクセスリンク1はこれらのフロー集中によって容易に圧倒され、その結果DoSを引き起こす。しかしながら、この発明によれば、図3のディフサーブネットワーク21は、他のVPNまたは他のサイトからのトラフィックを境界ルータ22aの物理的アクセスリンク1の第2論理ポートに向ける一方で、内部VPNトラフィックを境界ルータ22aの物理的アクセスリンク1の第1論理ポート27に向けることによって、VPNの外からのDoS攻撃を防ぐ。
【0016】
所定の顧客団体外部(例えば他のVPNまたは一般のインターネット)からのトラフィックが所定の顧客団体内からのトラフィック(例えば同じ企業内の他のホストからのトラフィック)からのトラフィックに与えられたQoSを悪化させないために、この発明では内部VPNトラフィックを余分なVPNトラフィックに対して優先順序づけるか、または余分のVPNトラフィックが内部VPNトラフィックを妨害できないようにアクセスリンク能力を割り当てる。言い換えると、以下に詳細に述べるように、各境界ルータ22は各顧客のアクセスリンクに顧客のVPN内で生じたトラフィックに優先権を与える。ここで、VPNは、ネットワーク資源および/または通信がノードの集合の会員資格に基づいて分割された共有ネットワークインフラストラクチャによって接続されたノードの集合として定義される。このように内部VPNトラフィックを余分なVPNトラフィックに対して優先させることによって、論理的なトラフィック分離を達成するためにレイヤ2の多重化およびルーティングプロトコルの設定を使用して内部VPNと余分VPNの間で物理的なアクセスの分割を含むネットワーク要素およびプロトコルの特別の設定を実現する。要約すると、CPEエッジルータ、アクセスネットワーク、ネットワークに基づくVPN境界ルータ、およびエッジおよび境界ルータに組み込まれたルーティングプロトコルの設定が以下に詳細に説明するようにDoS攻撃を防ぐための高レベルのサービスを達成するために協同する。対照的に、従来のディフサーブおよびCPEエッジルータ、IPに基づくIP VPNの実行は同じVPN内のサイト用として予定されているトラフィック(例えば内部VPNトラフィック)とインターネット(例えば余分なVPNトラフィック)の他の領域から送信されたトラフィックとを分離しなかった。
【0017】
図4−8を参照して、図3に示された一般化されたネットワークアーキテクチャ20の少なくとも2つのクラスの実施例が可能である。特に、この発明に従うネットワークは図4−6を参照して以下に述べるようなCPEに基づくVPNの実施または図7および図8を参照して以下に述べるネットワークに基づくVPNの実施のいずれかとして実現される。
【0018】
まず図4を参照して、DoS攻撃に耐えるために、CPEに基づくVPNを採用した模範的なネットワークアーキテクチャ30を例示する。示されたネットワークアーキテクチャはディフサーブ可能な(Diffserv-enabled)IP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LANs)32とを含む。顧客のLAN32は、各々が一または両方のネットワーク44および46にわたって通信されたパケットを送信器および/または受信器として機能できる一以上のホストを含む。図4に示した模範的な実施例においては、顧客LAN32aおよび32bは、企業のような所定の同じ団体(例えばVPN)に属しているものと仮定する。
【0019】
各顧客LAN32はそれぞれのCPEエッジルータ34および物理的アクセスリンク35によって、それぞれのアクセスネットワーク(例えばL2アクセスネットワーク)38に接続されている。アクセスネットワーク38aおよび38bは、各々がディフサーブ可能なIP VPNネットワーク44の境界ルータ(BR)40への第一L2アクセス論理接続と、ベストエフォート型のIP公衆ネットワーク46の境界ルータ(BR)42への第二L2アクセス論理接続とを有する。内部VPNおよび余分なVPNトラフィックを異なった線で表した図4に例示されているように、VPN承知(VPN-aware)CPEエッジルータ34aおよび34bは、IP VPNに属するIPアドレスのプレフィックスを有するパケットのみをディフサーブ可能なIP VPNネットワーク44を介して送信し、他のすべてのトラフィックをベストエフォート型のIP公衆ネットワーク46を介して送信する。顧客LAN32の安全性を高めるために、CPEエッジルータ34aおよび34bはすべてのトラフィックをファイアウォール36aおよび36bのそれぞれを介してベストエフォート型のIP公衆ネットワーク46へ、またはそこからすべてのトラフィックを送信する。
【0020】
図4に例示されているネットワークアーキテクチャにおいては、IP VPNの外部から生じたDoS攻撃が内部VPNトラフィックに対して優先度を許容するためにアクセスネットワーク38a、38bの2つの論理接続を適切に利用するために境界ルータ40a−40bと42a−42bとを設定することによって防がれる。例えば、第一の設定では、ディフサーブ可能なIP VPNネットワーク44とのL2アクセス論理接続に対してベストエフォート型の公衆IPネットワーク46へのL2アクセス論理接続よりも高い優先度が割り当てられる。そのようなアクセスリンク35の優先順位をサポートするL2アクセスネットワークはイーサネット(例えばイーサネット優先度の利用)、ATM(例えばATMサービス分類の利用)および多くのフレームリレー(FR)ネットワークの実施とを含む。これらの実施はよく知られた技術を利用して提供されうる。設定によって、ディフサーブ可能なIP VPNネットワーク44の各境界ルータ40は、アクセスネットワーク38への論理接続に対するパケットの送信割合を、ベストエフォート型IP公衆ネットワーク46に対してL2アクセス論理接続が窮乏(starvation)しないように、アクセスリンクの値よりも小さい値に合わせる(shape)。代わりに、第二設定として、境界ルータ40a−40bおよび42a−42bは各L2アクセスネットワーク論理接続に対して予定されたトラフィックを特定の割合に合わせるよう個々に設定されてもよい。ここではこれら割合の合計はCPEエッジルータ34およびアクセスネットワーク38にリンクした物理的なアクセス媒体の送信能力より少ないかまたは等しい。これら2つの設定のいずれにおいても、境界ルータ40および42はパケットのDSCPマークに基づいたスケジューリングおよび優先度を実行し、IP VPNトラフィックに対するアクセスネットワーク接続に対して割り当てられた能力を合わせる。
【0021】
当業者によって理解されるように、これら代案の設定のいずれを実行するかという選択は、各設定が利点および欠点を共に有しているため、設計上の選択の問題である。例えば、最初の設定では、ネットワーク44および46間のアクセスネットワーク設定の調整が容易である。しかしながら、もしアクセスネットワーク38が厳格な優先度のみを実施すると、ディフサーブ可能なIP VPNネットワーク44からのIP VPNトラフィックはIP公衆ネットワーク46上で通信されるベストエフォート型のトラフィックを窮乏させるかもしれない。第二の設定はこの欠点をアクセスリンク能力の一部をネットワークアクセスの各タイプ(例えば内部VPNおよび余分VPNの両方)にこれらのアクセスリンク能力を割り当てることによって対処している。しかしながら、もし境界ルータ40、42が第二設定に従ってトラフィックを合わせると、ネットワーク44、46の一方に対する使用されないアクセス能力が別のネットワークへのアクセスのために使用できない。すなわち、シェイパ(shaper)は分離された境界ルータ40、42上にあるため、非作業保存(non-work-conserving)スケジュールのみが可能である。
【0022】
図5を参照して、図4に示されたネットワークアーキテクチャ内で使用されうるQoS承知CPEエッジルータ34のより詳細なブロック図が例示されている。例示されているように、CPEエッジルータ34は複数のLANポート60を含む。このLANポート60は対応する数の顧客LAN32に接続を提供する。例えば、図5において、LANポート60aはそれぞれが32ビットのIPアドレス“a.b.c.d”、“a.b.c.e”および“a.b.c.f”の多数のホスト48を含む顧客LAN32に接続されている。
【0023】
各LANポートは転送機能62に接続され、転送機能62はパケットを、LANポート60と、一以上のワイドエリアネットワーク(WAN)の物理ポート64(その一つのみが例示されている)に存在する一以上の論理ポート(LP)66との間で転送する。LP66は各々がレイヤ2のサブインターフェイスを含むが、例えば、イーサネット仮想LAN(VLAN)、FRデータリンク接続識別子(DLCI)、ATM仮想チャンネル接続(VCC)またはポイントツーポイントプロトコル(PPP)/時分割多重化(TDM)チャネルにおいて実行される高レベルのデータリンク制御(HDLC)として実施されてもよい。WAN物理ポート64は、論理ポート66からのパケットをアクセスネットワーク38の通信媒体上で多重化するためにスケジューラ68を採用し、アクセスネットワーク38から受信したパケットを転送機能70を利用したそれぞれの論理ポートへ転送する。
【0024】
CPEエッジルータ34のLANポート60が顧客LAN32からパケットを受信すると、パケットはまず分類器80を通る。分類器80は分類器テーブル82を参照して、CPEエッジルータ34によって各パケットがどのように処理されるかを決定する。図5に例示されているように、分類器テーブル82は起点アドレス(SA)、宛先アドレス(DA)、起点ポート(SP)および宛先ポート(DP)、プロトコル形式(PT)、DSCPまたはパケットのリンクからの他のフィールド、ネットワークまたは転送層ヘッダを含む多くの見出しを有してもよい。これらの見出しの一以上のパケットの値に基づいて、分類器72はパケットを処理するために使用されるCPEエッジルータ34内のポリサ(policer,P)、マーカ(M)、宛先LP、宛先LP列(queue)(Q)のための値を得る。この発明の代わりの実施例においては、宛先LPおよび宛先LP列入力の検査は分類器80よりも転送機能62によって実行されうる。
【0025】
示されているように、分類器表82内のテーブル入力値はプレフィックスまたは範囲、またはナル(“−”によって示される)を利用することによって部分的に特定またはフルに特定されてもよい。例えば、LAN32のホスト48のSAは、32ビットのIPアドレスを用いてフルに特定され、多くの宛先ホストのDAは特定のIPネットワークを識別する24ビットのIPアドレスプレフィックスを利用して特定され、多くの見出し値および一つの取り締まり値はナルである。一般に、同じポリサ、マーカおよび/またはシェイパ値、イントサーブフローに対するこれらの値はRSVP RESVメッセージから取られるのであるが、これらは異なって分類されたパケットフローに対して特定されてもよい。例えば、分類器テーブル82はポリサP1とマーカM1が、DSCP“010”でマークされたSA“a.b.c.e”を有するパケットと同様にDSCP“101”でマークされ、任意のSAからのパケットを処理するということを特定する。しかしながら、分類器テーブル82は、VPN内のDAを有するトラフィック(すなわち内部VPNトラフィック)のための異なった宛先LP値を特定することによって異なる分類を有するフローとインターネットにおけるどこかのホスト(すなわち余分なVPNトラフィック)に宛てられたトラフィックと区別する。このように、IPアドレスプレフィックス“r.s.t”、“w.x.y”および“l.m.n”のすべてがネットワーク32として同じVPNに属しているため、これらDAが合致したトラフィックは、すべての他のトラフィックがベストエフォート型のIP公衆ネットワーク46に対してLP−2 66bを介して送信される間にディフサーブ可能IP VPNネットワーク44を介して同じVPN内の他のサイトにLP−1 66aを介して送信される。
【0026】
パケットが転送される論理ポート66およびLP列は静的設定によってまたはルーティングプロトコルによって動的に決定されうる。いずれの場合においても、VPNルートは、もしCPEルータ34が同じ宛先IPアドレスのためにインストールされた両方のルートを有しているときは、インターネットルートについて常に優先されるべきである。そのような優先度は、(1)VPNルートをインストールするための内部ゲイトウエイプロトコル(IGP)(すなわちOSPFおよびIS−IS)、およびインターネットルートをインストールするための静的ルーティングすなわちEBGP、または(2)VPNルートに対して与えられたより高いローカル優先度を有する、VPNルートとインターネットルートの両方をインストールするためのEBGPの使用、を含む多くの方法の任意のもので実行されうる。
【0027】
分類後、分類器テーブル82によって示されるように、ポリサP0、P1およびマーカM0、M1、M2によって適切にパケットが取り締まられマークされたあと、テーブル検査によって特定されるように転送機能62によって論理ポート66aまたは66bのいずれかに切り替えられる。特定の論理66内で、パケットは分類器テーブル82によって特定されたLP列Q0−Q2に向けられる。LP列Q0−Q2はランダムアーリーディテクション(RED)のような利用可能なバッファ能力または閾値のいずれかに基づいて許可制御を実行する。スケジューラ90は、それから先入れ先出し(FIFO)、優先順、重み付けされたラウンドロビン(Weighted Round Robin,WRR)、重み付けされたフェアな列(WFQ)または級に基づいた列(CBQ)のような選択されたスケジューリングアルゴリズムに応じてLP列Q0−Q2を処理する。例えば、例示された実施例においては、LP−2 66aのスケジューラ90は各LP列iに関連した重み付けwiおよび論理ポート2に対する全体的なWFQスケジューラ割合r2に基づいてWFQを実施し、それによってトラフィックを割合r2に決定する。最後に、上記したように、物理的なWANポート64のスケジューラ68はアクセスネットワーク38に対して送信を制御するために各種論理ポート66を処理する。
【0028】
CPEエッジルータ34はWAN物理ポート64でアクセスネットワーク38からパケットを受信し、転送機能70を利用して、それが論理ポートに対してマップ化しているようにアクセスネットワーク38の設定によって指示される適切な論理ポート66aまたは66bにパケットを転送する。各論理ポート66において、パケットは分類器100を通過する。分類器100は分類器テーブル102にアクセスするために上で述べた同じ組の見出し内の1以上の見出しを採用している。典型的な実施においては、分類器100の結果の検査は、取締りおよびマーキングは滅多に要求されないために分類器80の検査よりも複雑ではない。このように示された実施例においては、パケットは転送機能62によって論理ポート66の分類器100から直接パケットのDSCPに基づくテーブル検査において特定されたLANポート60aの特定の列Q0−Q2に転送される。上記したように、LANポート60aの列Q0−Q2はWFQを実施し、顧客LAN32にパケットを転送する、スケジューラ102によって処理される。
【0029】
図6Aを参照して、VPN機能のないQoS承知境界ルータのより詳細なブロック図が示されている。VPN機能は例えば境界ルータ42を実行するために図4のネットワークアーキテクチャ内で使用されてもよい。示されているように、図6Aの境界ルータ42は複数の物理ポート116と、入来パケットのために転送機能112および発信パケットのためのスケジューラ114によってアクセスネットワーク38に接続された複数の論理ポート110と、論理ポート110および物理ポート116間でパケットを転送する転送機能118とを含む。複数の物理ポート116の実施によって、ネットワークコアルータに対する障害耐性接続が許容され、アクセスネットワーク38に接続された複数の論理ポートの実施は一つの論理ポートの実施によって、一つの論理ポート(すなわちLP−1 110a)をディフサーブ可能な論理ポートとして、また第二論理ポート(すなわちLP−2 110b)をベストエフォート型の論理ポートとして設定することが許容される。
【0030】
このように、アクセスネットワーク38から境界ルータ42のLP−2 110bを介してネットワークコアへ至るトラフィックに対して、LP−2 110bの分類器124はすべてのパケットを分類器テーブル126に従ってマーカM0に向ける。マーカM0はDSCP000でLP−2 110bで受信したすべてのパケットについて意見を述べ(remark)、このように、パケットをベストエフォート型のトラフィックとして特定する。対照的に、LP−1 110aの分類器120は、信頼されたCPE(例えばサービスプロバイダが管理するCPEエッジルータ34)でDSCPマーキングを既に受信した入来パケットをPHY−1 116a上の列Q0−Q2にマップ化するために分類器テーブル122を利用する。この列はQoSの異なるレベルに各々が関連している。パケットは、信頼されたCPEによって、既にマルチフィールドに分類され、マークされまた合わされて(shaped)いるため、境界ルータ42はパケットに対して意見を述べる必要はない。しかしながら、もし送信CPEエッジルータがCPEによって信頼されないのであれば、境界ルータ42はLP−1 110aで受信したパケットに対して意見を述べまた取り締まる必要があるであろう。
【0031】
分類(およびLP−2 110bで受信したトラフィックの場合においてはマーキング)に続いて、トラフィックは転送機能118によって適切な物理ポート116または論理ポート110に転送される。フルの転送検査を実行するために分類器を使用している図5のエッジルータ34と対照的に、境界ルータ42は代わりの設計を採用しており、そこでは転送機能118が出力ポート、すなわち、この例においてはLP−1 110a、LP−2 110b、またはPHY−1 116aを決定するためにパケットのDAで転送テーブル128にアクセスする。非VPNルータの場合は、転送テーブル128には、一般的なIPルーティングプロトコル(例えばボーダゲートウエイプロトコル(BGP))または静的設定(例えば、LP−2 110bでの24ビットのIPアドレスプリフィックス“d.e.f.”の関連)が存在する(populated)。代わりの実施例は転送機能62内に機能を転送するIP検査を中央に位置させうる。図6に示された模範的な実施例は境界ルータ42がネットワークコアに送られるすべてのトラフィックをコアルータに接続された物理的なポート116のただ一つに送信すると仮定する。別の実施例ではもちろん、物理ポート116を介してバランスしたトラフィックを負担させることも可能である。加えて、コアルータを削除したり、一以上のコアルータに対して一以上の論理ポートを採用する実施例も示された設計のまっすぐな拡張である。
【0032】
境界ルータ42を介したアクセスネットワーク38に通信されるトラフィックに対しては、分類器132がパケットのDSCPによって指示されたQoSに対して列Q0−Q2の適切な一つに各パケットを向けるためのパケットのDSCPを使用した分類器テーブル134にアクセスする。ディフサーブ可能な論理ポート110を購入した顧客に対しては、起点CPEが適切なDSCP値でフローを取り締まりかつマークするため、これが所望のQoSを配送する効果を有する。ベストエフォート型の顧客がより高い質のトラフィックを受けることができるが、そのような一方通行の差別されたサービスを防ぐことは分類器においてかなりの付加的な複雑さを要求し、サービスプロバイダネットワークにおける各エッジルータに対してルーティングプロトコルを介してQoS情報の分配を含む。
【0033】
図6Bを参照して、図4に示されたネットワークアーキテクチャ内においてディフサーブ可能な、およびDoSに対して保護されたVPNサービスを提供するために使用されてもよい、QoS承知(aware)VPN境界ルータ40のより詳細なブロック図が示されている。示されているように、境界ルータ40はディフサーブ可能なIP VPNネットワーク44のコアルータに接続するための複数の物理ポート226と、入来パケットのための転送機能220によってアクセスネットワーク38に接続された複数のディフサーブ可能な論理ポート224と、発信のためのスケジューラ222と、論理ポート224と物理ポート226の間のパケットを転送する転送機能228とを含む。
【0034】
境界ルータ40上で実行される各ディフサーブ可能な論理ポート224の各々は複数のVPNのそれぞれの一つを処理する。例えば、ディフサーブ可能な論理ポートをLP−A 224aは、24ビットのIPアドレスプレフィックス“a.b.c.”および“a.b.d.”を有する顧客サイトを含むVPN Aに属する顧客サイトにサービスを提供する。同様に、ディフサーブ可能な論理ポートLP−B 224bは24ビットIPアドレスプレフィックス“b.c.d.”および“b.c.e.”を有する二つの顧客サイトを含むVPN Bに属する顧客サイトにサービスを提供する。ディフサーブ可能な論理ポート224は、ベストエフォート型のIP公衆ネットワーク46に属するサイトにはサービスを提供しない。というのは、そのようなトラフィックは図4に示されるように、境界ルータ42に送られるからである。
【0035】
図6Bにさらに例示されているように、境界ルータ40の各コアに対面している物理ポート226は論理トンネル240として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバ−IPトンネル、一般ルーティングカプセル化(Generic Routing Encapsulation,GRE)トンネル、トンネルモードで作動されたIPセック(IPsec)、多重プロトコルラベル切り替え(MPLS)ラベルの積み重ねられた組、レイヤ2トンネルプロトコル(L2TP)またはナル(null)トンネルを含む各種の技術の任意のものを使用して実行されうる。そのようなトンネルは、複数のVPNに対するルーティング情報はネスト化された方法でトンネルに関連されうるという点で論理ポートと区別できる。例えば、IETF RFC2547[E. Rosen et al.,"BGP/MPLS VPNs" March 1999]に述べられているボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、一方最後のラベルが宛先VPNを決定する。
【0036】
動作において、ディフサーブ可能な論理ポート224の各々の分類器230は、それぞれの分類器テーブル232を参照してパケットのDSCP値に応じてディフサーブ可能なIP VPNネットワーク44のネットワークコアに対して境界ルータ40を介してアクセスネットワーク38からのパケットフローを分類する。示されているように、分類器テーブル232aおよび232bは各パケットに対して物理ポートPHY−1 226aで列Q0−Q2の適切な一つを決定するための見出しとしてDSCPを使用してアクセスされる。物理ポート226によって受信されたパケットは、論理ポート224の一つで各パケットに対して列Q0−Q2の適切な一つを決定するために、分類器テーブル254を参照することによって分類器250によって同様に分類される。分類(およびLP−B 224bで示される選択的な(再)マーク)の後、選択機能228は、それぞれのVPNに各々が関連するVPN転送テーブル234a−234nを参照して論理ポート224と物理ポート226との間でパケットを交換する。このように、例えば、VPN転送テーブル234aはVPN Aのための転送ルートを提供し、VPN転送テーブル234bはVPN Bに対する転送ルートを提供する。
【0037】
VPN転送テーブル234は見出しとして起点ポートとDAを使用してアクセスされる。例えば、転送テーブル234aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプレフィックス“a.b.d.”を有するDAでアドレスされたVPN A内のトラフィックはTNL−1 240aを妨害し(traverse)、TNL−240bで受信されたトラフィックはLP−A 224aに向けられる。TNL−2 240bとLP−B 224b間の同様の経路指定がVPNルーティングテーブル234bにおいて見られうる。上で議論したように、VPN転送テーブル234には静的設定またはルーティングプロトコルの動的な使用が存在する(populate)。
【0038】
転送機能178による処理のあとで、各々のパケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に収納され、DSCP000でマークされたトラフィックはQ0内に収納される。スケジューラ236および252はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0039】
図7を参照して、DoS攻撃問題に対するネットワークベースのVPNソリューションを提供する模範的なネットワークアーキテクチャ150が例示される。図7において、同様の参照符号およびトラフィック表記が図4に示されたネットワークアーキテクチャ30の特徴に対応する特徴を特定するために使用される。
【0040】
示されているように、図7のネットワークアーキテクチャ150は図4のネットワークアーキテクチャ30と同様に、ディフサーブ可能なIP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LAN)32とを含む。上記のように、顧客LAN32aおよび32bは同じVPNに属し、各々がパケットの送信器および/または受信器として機能しうる一以上のホスト48を含む。各顧客LAN32はCPEエッジルータ34と物理アクセスリンク153によってそれぞれのアクセスネットワーク(例えば、L2またはL3アクセスネットワーク)154に接続される。QoSとベストエフォートトラフィックに対して別の論理接続を有している、図4のアクセスネットワーク38と対照的に、アクセスネットワーク154は、ベストエフォート型のIP公衆ネットワーク46の境界ルータ42に対して別の論理接続を有するディフサーブ可能なIP VPNネットワーク44の境界ルータ156に接続されているだけである。このように、ネットワーク44に予定された内部VPNトラフィックとネットワーク46に予定された余分のVPNトラフィックは共に境界ルータ156を介して送信される。これはトラフィックの2クラス間の作業保存型計画は有利に許可されるということを意味する。しかしながら、その結果、境界ルータ156の複雑さは、各境界ルータ156が、顧客間で共有しうるフルのインターネット転送テーブルとともに、各付属の顧客に対する別の転送テーブルを実施しなければならないため、必ず増加する。
【0041】
図8を参照して、図7において示されたネットワークアーキテクチャ内のディフサーブ可能なおよびDoS保護されたVPNサービスを提供するために設定された、ポリサ(policer)、シェイパ(shaper)、スケジューラ、論理ポートアクセスネットワーク接続および転送テーブルがQoS承知VPN境界ルータのより詳細なブロック図が示されている。示されているように、境界ルータ156はネットワークコアルータに接続するための複数の物理ポート176と、入来パケットのための転送機能170によってアクセスネットワーク154に接続された複数のディフサーブ可能な論理ポート174と、論理ポート174と物理ポート176との間のパケットを転送する転送機能178とを含む。
【0042】
各CPEエッジルータ34はアクセスネットワーク154を介して単一のアクセスリンクのみによって境界ルータ156に接続されているため、各ネットワーク顧客サイトは一つが内部VPNトラフィックに、一つが余分なVPNトラフィックという一対のディフサーブ可能な論理ポート174によって境界ルータ156でサービスされる。例えば、ディフサーブ可能な論理ポートLP−A1 174aおよびLP−A2 174は24ビットIPアドレスプリフィックス“a.b.c.”と“a.b.d.”を有する少なくとも二つの顧客サイトを含むVPN Aに属する単一顧客サイトにサービスを提供する。示された実施例においては、LP−A1 174aはVPN Aに属するサイトへおよびそのサイトからディフサーブ可能なIP VPNネットワーク44を介して通信されたQoSトラフィックに対するアクセスを提供し、LP−A2 174bはベストエフォート型のIP公衆ネットワーク46へ、およびそこからのベストエフォートトラフィックに対するアクセスを提供する。
【0043】
図8にさらに例示されているように、境界ルータ156の各コアに面した物理ポート176は論理トンネル180として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバー−IPトンネル、一般ルーティングカプセル化(GRE)トンネル、トンネルモードにおいて操作されるIPセック、積層された多重プロトコルラベル切り替え(MPLS)ラベルの組またはナルトンネルを含む各種技術の任意のものを使用して実施されてもよい。そのようなトンネルは、多重VPNのためのルーティング情報がネスト化(nested)された方法でトンネルに関連されうるという点で、論理ポートと区別されうる。例えば、IETF RFC2547において述べられたボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、最後のラベルが宛先VPNを決定する。
【0044】
動作において、ディフサーブ可能な論理ポート174の各々にある分類器182は、境界ルータ156を介してそれぞれの分類器テーブル190を参照してパケットのDSCPに応じてネットワークコアにアクセスネットワーク154からのパケットを分類する。示されているように、分類器テーブル190aおよび190bは、各パケットに対して物理ポートPHY−1 176aの適切な列Q0−Q2の一つを決定するための見出しとしてDSCPを用いてアクセスされる。物理ポート176によって受信されたパケットは、論理ポート174の一つにおける各パケットのために列Q0−Q2の適切な一つを決定するために分類器テーブル192を参照することによって分類器198によって同様に分類される。分類(およびLP−A2 174bで示されるような選択的な(再)マークの)後、転送機能178は、各々がそれぞれのVPNおよび共有されたインターネット転送テーブル195に関連したVPN転送テーブル194a−194nを参照して論理ポート174と物理ポート176との間でパケットの交換を行う。このように、例えば、転送テーブル194aはVPN Aに対する転送ルートを提供する入口を含み、一方インターネット転送テーブル195は起点としてLP−A2またはTNL−2(すなわちインターネットアクセスに対して設定された論理インターフェイス)を特定するパケットのための転送経路を提供する入口を含む。
【0045】
転送テーブル194は見出しとして起点ポートおよびDAを使用してアクセスされる。例えば、転送テーブル194aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプリフィックスの“a.b.d.”を有するDAでアドレスされた内部VPNトラフィックはTNL−1 180aを妨害し、一方余分なVPN(すなわちインターネット)トラフィックはTNL−2 180b(これはナルトンネルとなりうる)を妨害する。転送テーブル194aは、TNL−1 180aを介して受信した内部VPNトラフィックがLP−A1 174aに向けられ、24ビットのIPアドレスプリフィックス“a.b.c.”を有するDAでアドレスされたトンネルTNL−2 180bを介したインターネットから到着したすべての他のトラフィックはLP−A1 174bに送信される。境界ルータ156(すなわちローカルDAを有するトラフィック)の他のポートで終了するトラフィックは境界ルータ156の他のポート(LP−xで示されている)に送信される。言い換えると、“ローカル”とマークされた転送テーブル194aにおける入口は境界ルータ156のインターフェイスに割り当てられたVPN(例えばa.b.c/24)に割り当てられたプリフィックス以外のアドレスプリフィックスを特定する。
【0046】
転送機能178によって処理されたあと、パケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に位置される、DSCP000でマークされたベストエフォート型のトラフィックはQ0内に位置する。スケジューラ196はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0047】
今まで述べてきたように、この発明は、VPNの外の起点からのDoS攻撃に対してそのようなフローを保護しながら、余分なVPNトラフィックにQoSを提供するための改良されたネットワークアーキテクチャを提供する。この発明はネットワークに基づくVPNサービスを使用した選択されたフローに対してDoSで保護されたQoSを、および適切に設定されたルーティングプロトコルでL2アクセスネットワークを用いたCPEエッジルータに対して接続されたベストエフォート型のインターネットサービスを提供することである。エッジにおけるディフサーブマーキングおよびネットワークに基づくVPNコアにおける処理は選択されたフローに対してQoSを提供し、一方顧客VPNの外部から生じたトラフィックがサイトのアクセス能力を超えるためにVPNネットワーク顧客サイトに対するDoSの発生を防ぐために、内部VPNおよび余分なVPNトラフィックを論理的に分割する。顧客のVPN内から生じたトラフィックからのさらなる保護さえもIETF RFC2998[Y.Bernet et al., "A Framework for Intergrated Services Operation over Diffserv Networks" Nov. 2000]に記載されているようにCPEエッジルータおよび/またはQoS承知境界ルータにおいて実施されたイントサーブポリシー制御を使用して可能になる。
【0048】
この発明のネットワークアーキテクチャは、CPEに基づく、およびネットワークに基づく実施において実現されてもよい。CPEに基づく実施であれば、CPEエッジルータおよびサービスプロバイダ境界ルータにリンクしたアクセスネットワークの設定が容易になり、全サービスプロバイダネットワークを介したディフサーブを実施することなくVPNサイトにQoSが提供される。ネットワークに基づく設定は、余分なVPNトラフィックが内部VPNトラフィックに割り当てられた余分のアクセス能力を利用することを許容する。
【0049】
この発明の各種実施例が上記で述べられたが、それらは単なる例示であって限定と理解されるべきではない。このように、この発明の広さおよび範囲は上記の模範的な実施例によって限定されるものではなく、以下のクレームおよびその均等物に応じてのみ規定されるべきである。例えば、この発明はネットワークに基づくVPNがディフサーブネットワーク内で実施された好ましい実施例に関して述べられたが、この発明はディフサーブネットワークと共に用いるものに限定されるものではなく、例えば、RFC2547において教示されているBGP/MPLS、またはRFC2917において教示されている仮想ルータの使用[K. Muthkrishnan et al., "A Core MPLS IP VPN Architecture" Sept. 2000]によって実施されてもよい、他のネットワークに基づくVPNと共に代わりに用いられてもよい。加えて、図3、4および7は各CPEエッジルータのVPNネットワークへの接続およびあるアクセスリンクによるベストエフォート型ネットワークへの接続を例示したが、冗長化のために、CPEエッジルータがVPNの各々の一以上の境界ルータおよびベストエフォート型のネットワークに論理的に接続を提供する、一以上のアクセスネットワークに多重アクセスリンクによって接続されてもよいということを理解すべきである。そのような「二重ホーム」実施においては、多重アクセスリンクはサービスプロバイダ境界ルータにおける静的経路の設立またはルーティングプロトコル(例えばEBGP)を利用したサービスプロバイダ境界ルータの動的設定を介してプライマリ/バックアップまたは負荷共有配置のいずれかにおいて使用されうる。これは、CPEエッジルータが多重転送テーブルを実施するVPNおよびインターネットのためのルーティングプロトコルの別の事例はアドレス空間にアクセスすることを要求する。そのようなCPEエッジルータの実施例は図8に例示され、関連する文章で述べられたものと同様であり、単に単一のVPNテーブルとインターネット経路のための単一のテーブルが設けられているだけである。
【図面の簡単な説明】
【0050】
【図1】RSVPを用いたフローごとのQoSを実行する従来の統合サービス(イントサーブ)ネットワークを示す図である。
【図2】各パケットヘッダーにおいてDSCPマークを用いた集合トラフィックフロー上でQoSを実行する従来の差別化されたサービス(ディフサーブ)ネットワークを例示する図であり、それゆえサービスの拒否(DoS)攻撃に対して弱い。
【図3】この発明の好ましい実施例に従った、仮想私設網(VPN)における会員資格を参照することによってアクセス能力の分割割当および/または優先順位付けを行うことによってDoS攻撃に耐えうる模範的な通信ネットワークを例示する。
【図4】DoS攻撃問題に対してCPEベースのVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図5】図4および7において例示されたネットワークアーキテクチャ内で使用されうるQoS承知(aware)CPEエッジルータのより詳細なブロック図である。
【図6A】図4および図7に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能のないQoS承知境界ルータのより詳細なブロック図である。
【図6B】図4に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能を有するQoS承知境界ルータのより詳細なブロック図である。
【図7】DoS攻撃問題に対するネットワークに基づくVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図8】図7に示されたネットワークアーキテクチャ内で使用されうるQoS承知VPN境界ルータのより詳細なブロック図である。
Claims (33)
- VPNに属する顧客ネットワークのための接続を有する少なくとも一つの顧客ネットワークポートと、
少なくとも第一および第二の論理ポートが存在する少なくとも一つの物理ポートを含み、前記物理ポートは、前記第一および第二論理ポートから物理アクセスリンクへパケットの送信を計画する物理ポートスケジューラを有し、前記物理ポートスケジューラは、(1)前記第一および第二論理ポートからの発信トラフィック間でアクセスリンク能力の割り当ておよび(2)前記第二論理ポートからの発信トラフィックを介した前記第一論理ポートからの発信トラフィックのアクセスリンクの優先順位の一つによって、前記第一論理ポートからの発信トラフィックによる前記物理アクセスリンクへのアクセスを確実にし、
VPNに属する宛先ホストに対して通信される内部VPNトラフィックとして特定されたパケットのみを前記第一論理ポートに転送し、他のパケットを前記第二論理ポートに転送する転送機能とを有する、仮想私設網(VPN)承知CPEエッジルータ。 - 前記顧客ネットワークポートは、複数のサービスの質の異なる一つをそれぞれが特定する複数のサービスマークのそれぞれの一つをパケットにマーク付けをする複数のマーカをさらに含み、
少なくとも前記第一論理ポートは各々が前記複数のサービスの質のそれぞれの一つを関連する複数の列と、前記複数の列からのパケットの送信を計画する論理ポートスケジューラとを含み、
前記転送機能は、前記複数のマーカによる前記パケットのマーキングに応じて前記複数の列の特定の一つ内にパケットを置く、請求項1に記載の仮想私設網承知CPEエッジルータ。 - 前記複数のマーカの各々は各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定することによってパケットにマーク付けをする、請求項2に記載の仮想私設網。
- 前記顧客ネットワークポートは各々が、前記顧客ネットワークに予定された発信パケットに対して複数のサービスの質の一つのそれぞれに関連した複数の列と、前記複数の列からのパケットの送信を計画する顧客ネットワークポートスケジューラとを含み、
前記転送機能は前記パケットのマーキングに応じて、前記複数の論理ポートで受信したパケットを前記複数の列の特定の一つの中に置く、請求項1に記載の仮想私設網(VPN)承知CPEエッジルータ。 - 前記顧客ネットワークポートは少なくともいくつかのパケットを少なくとも部分的に起点アドレスと部分的な宛先アドレスに基づいて内部VPNトラフィックとして分類する分類器を含む、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
- 前記分類器は送信器ホストによって少なくとも部分的にマーキングされたことに基づいて少なくともいくつかのパケットを分類する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
- 前記少なくとも一つの顧客ネットワークポートはさらに少なくとも一つのポリサを含み、前記分類器はパケットを前記パケットの分類に応じて取り締まるための少なくとも一つのポリサに送信する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
- 前記分類器はパケットヘッダフィールドの特定の値を前記第一および第二論理ポートの特定の一つに関連づける関連した分類テーブルを有する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
- 前記物理ポートスケジューラはアクセスリンク能力の第一部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二部分を前記第二論理ポートからの発信トラフィックに割り当てる、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
- 前記物理ポートスケジューラは前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を与える、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
- ネットワークに基づく仮想私設網(VPN)およびベストエフォート型のネットワークを実施するインターネットプロトコル(IP)ネットワークインフラストラクチャと共に使用するためのネットワークアクセスシステムであって、前記ネットワークアクセスシステムは、
VPN承知顧客構内装置(CPE)エッジルータと、
CPEエッジルータとネットワークに基づくVPNとの間で少なくとも第一論理接続をCPEエッジルータとベストエフォート型のネットワークとの間での第二論理接続をサポートするアクセスネットワークとを含み、
前記VPN承知CPEエッジルータは、
VPNに属する顧客ネットワークのための接続を有する少なくとも一つの顧客ネットワークポートと、
少なくとも第一および第二論理ポートが存在する少なくとも一つの物理ポートを含み、前記物理ポートは、前記第一論理接続を介して前記第一論理ポートからの発信パケットを送信し、かつ前記第二論理接続を介して前記第二論理ポートから発信パケットを送信する物理ポートスケジューラを有し、前記物理ポートスケジューラは、(1)前記第一および第二論理ポートからの発信トラフィック間でのアクセスリンク能力の割り当ておよび(2)前記第二論理ポートからの発信トラフィックを介した前記第一論理ポートからの発信パケットのアクセスリンクの優先順位の一つによって前記第一論理ポートからの発信パケットによって前記物理アクセスリンクへのアクセスを保証し、
VPNに属する宛先ホストに通信される内部VPNトラフィックとして特定されたパケットのみを前記第一論理ポートに転送し、他のパケットを前記第二論理ポートに転送するよう設定される、ネットワークアクセスシステム。 - 前記顧客ネットワークポートは、複数のサービスの質の異なる一つをそれぞれが特定する複数のサービスマークのそれぞれの一つをパケットにマーク付けをする複数のマーカをさらに含み、
少なくとも前記第一論理ポートは各々が前記複数のサービスの質のそれぞれの一つを関連する複数の列と前記複数の列からのパケットの送信を計画する論理ポートスケジューラとを含み、
前記転送機能は前記複数のマーカによる前記パケットのマーキングに応じて前記複数の列の特定の一つ内にパケットを置く、請求項11に記載のネットワークアクセスシステム。 - 前記複数のマーカの各々は各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定することによってパケットにマーク付けをする、請求項12に記載のネットワークアクセスシステム。
- 前記顧客ネットワークポートは各々が、前記顧客ネットワークに予定された発信パケットに対して複数のサービスの質の一つのそれぞれに関連した複数の列と、前記複数の列からのパケットの送信を計画する顧客ネットワークポートスケジューラとを含み、
前記転送機能は前記パケットのマーキングに応じて、前記複数の論理ポートで受信したパケットを前記複数の列の特定の一つの中に置く、請求項11に記載のネットワークアクセスシステム。 - 前記顧客ネットワークポートは少なくともいくつかのパケットを少なくとも部分的に起点アドレスと部分的な宛先アドレスに基づいて内部VPNトラフィックとして分類する分類器を含む、請求項11に記載のネットワークアクセスシステム。
- 前記分類器は送信器ホストによって少なくとも部分的にマーキングされたことに基づいて少なくともいくつかのパケットを分類する、請求項15に記載のネットワークアクセスシステム。
- 前記少なくとも一つの顧客ネットワークポートはさらに少なくとも一つのポリサを含み、前記分類器はパケットを前記パケットの分類に応じて取り締まるための少なくとも一つのポリサに送信する、請求項15に記載のネットワークアクセスシステム。
- 前記分類器はパケットヘッダフィールドの特定の値を前記第一および第二論理ポートの特定の一つに関連づける関連した分類テーブルを有する、請求項15に記載のネットワークアクセスシステム。
- 前記物理ポートスケジューラはアクセスリンク能力の第一部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二部分を前記第二論理ポートからの発信トラフィックに割り当てる、請求項11に記載のネットワークアクセスシステム。
- 前記物理ポートスケジューラは前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を与える、請求項11に記載のネットワークアクセスシステム。
- 前記アクセスネットワークは非同期転送モード、イーサネットおよびフレームリレーの一つで実施されるL2アクセスネットワークを含む、請求項11に記載のネットワークアクセスシステム。
- ネットワークに基づく仮想私設網(VPN)およびベストエフォート型のネットワークを実施するインターネットプロトコル(IP)ネットワークインフラストラクチャをさらに含む、請求項11に記載のネットワークアクセスシステム。
- 前記ネットワークに基づくVPNは差別されたサービスドメインにおいて実施される、請求項22に記載のネットワークアクセスシステム。
- 送信器ホストから受信器ホストへデータパケットを通信する方法であって、前記方法は、
アクセスネットワークのアクセスリンクに接続された物理ポートの少なくとも第一および第二論理ポートを提供するステップと、
VPNに属する顧客ネットワークのための接続を有する顧客ネットワークポートで、一以上のパケットフローを受信するステップと、
VPNに属する宛先ホストに対して通信される内部VPNトラフィックとして、または余分なVPNトラフィックとして前記一以上のパケットフローにおけるパケットを特定するステップと、
内部VPNトラフィックとして特定されたパケットのみを物理ポートの第一論理ポートに転送し、余分なVPNトラフィックとして特定されたパケットを前記第二論理ポートに転送するステップと、
(1)前記第一および第二論理ポートからの発信トラフィック間でアクセスリンク能力を割り当てるのと、(2)前記第二論理ポートからの発信トラフィックを介して前記第一論理ポートからの発信トラフィックのアクセスリンクの優先順位付けの一つによって、前記第一論理ポートからの発信トラフィックによるアクセスリンクへのアクセスを保護するステップとを含む、方法。 - 前記方法はさらに、各々が複数のサービスの質の異なる一つを特定する複数のサービスマーキングのそれぞれの一つで前記顧客ネットワークポートのパケットをマーキングするステップを含み、
前記転送ステップは、前記パケットのマーキングに応じて前記第一論理ポートで複数の列の特定の一つにパケットを置くことを含み、
前記方法はさらに、前記複数のサービスの質を達成するために前記複数の列からのパケットの送信を計画するステップを含む、請求項24に記載の方法。 - 前記マーキングは各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定するステップを含む、請求項25に記載の方法。
- 前記転送ステップは前記複数の論理ポートで受信したパケットを、各々が前記顧客ネットワークに予定された発信パケットのための前記複数のサービスの質のそれぞれの一つに関連するように、前記顧客ネットワークポートで複数の列の特定の一つに置くステップを含み、前記置くステップは前記パケットのマーキングに応じて実行され、
前記方法はさらに、前記複数のサービスの質を達成するために前記複数の列からパケットの送信を計画するステップをさらに含む、請求項24に記載の方法。 - 前記顧客ネットワークポートにおいて、少なくとも部分的に起点アドレスおよび部分的に宛先アドレスに基づいて内部VPNトラフィックとして、少なくともいくつかのパケットを分類するステップをさらに含む、請求項24に記載の方法。
- 送信ホストによるマーキングに少なくとも部分的に基づいて、少なくともいくつかのパケットを分類するステップをさらに含む、請求項28に記載の方法。
- 前記パケットの分類に応じて前記顧客ネットワークでパケットを取り締まる、請求項28に記載の方法。
- 前記分類は、パケットヘッダフィールドの特定の値を前記第一および第二の論理ポートの特定の一つに関連づける分類テーブルを参照して、前記第一および第二論理ポートの一つをパケットのための出力ポートとして選択するステップを含む、請求項28に記載の方法。
- 前記第一論理ポートからの発信トラフィックによってアクセスリンクに対するアクセスを保護するステップは、アクセスリンク能力の第一の部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二の部分を前記第二論理ポートからの発信トラフィックに割り当てるステップを含む、請求項24に記載の方法。
- 前記第一論理ポートからの発信トラフィックによってアクセスリンクに対するアクセスを保護するステップは、前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を認めるステップを含む、請求項24に記載の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US27695501P | 2001-03-20 | 2001-03-20 | |
US27692301P | 2001-03-20 | 2001-03-20 | |
US27695301P | 2001-03-20 | 2001-03-20 | |
US10/023,331 US6778498B2 (en) | 2001-03-20 | 2001-12-17 | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
PCT/US2002/008637 WO2002076050A1 (en) | 2001-03-20 | 2002-03-20 | Virtual private network (vpn)-aware customer premises equipment (cpe) edge router |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004529546A true JP2004529546A (ja) | 2004-09-24 |
Family
ID=27487201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002573395A Withdrawn JP2004529546A (ja) | 2001-03-20 | 2002-03-20 | 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ |
Country Status (8)
Country | Link |
---|---|
US (2) | US6778498B2 (ja) |
EP (1) | EP1371196A4 (ja) |
JP (1) | JP2004529546A (ja) |
CN (1) | CN1502195A (ja) |
BR (1) | BR0208222A (ja) |
CA (1) | CA2441750A1 (ja) |
MX (1) | MXPA03008472A (ja) |
WO (1) | WO2002076050A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8718092B2 (en) | 2008-08-28 | 2014-05-06 | Kddi Corporation | Communication network system, network switch and bandwidth control, for site-to-site communications |
JP2016508682A (ja) * | 2013-01-29 | 2016-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 |
Families Citing this family (174)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7110407B1 (en) | 1999-09-23 | 2006-09-19 | Netlogic Microsystems, Inc. | Method and apparatus for performing priority encoding in a segmented classification system using enable signals |
US7487200B1 (en) * | 1999-09-23 | 2009-02-03 | Netlogic Microsystems, Inc. | Method and apparatus for performing priority encoding in a segmented classification system |
US7032023B1 (en) | 2000-05-16 | 2006-04-18 | America Online, Inc. | Throttling electronic communications from one or more senders |
US7711790B1 (en) * | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
JP3654168B2 (ja) * | 2000-09-28 | 2005-06-02 | 日本電気株式会社 | インタフェース識別装置、インタフェース識別方法および、mpls−vpnサービスネットワーク |
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US7039720B2 (en) * | 2001-01-25 | 2006-05-02 | Marconi Intellectual Property (Ringfence) , Inc. | Dense virtual router packet switching |
US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US20030115480A1 (en) | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
US7599351B2 (en) * | 2001-03-20 | 2009-10-06 | Verizon Business Global Llc | Recursive query for communications network data |
US20030206518A1 (en) * | 2001-05-25 | 2003-11-06 | Yik James Ching-Shau | Public access separation in a virtual networking environment |
US7756957B2 (en) * | 2001-06-01 | 2010-07-13 | Fujitsu Limited | End-to-end governed data transfers in a network |
US7152115B2 (en) * | 2001-07-12 | 2006-12-19 | Nortel Networks Limited | Virtual private networks |
WO2003010669A1 (en) * | 2001-07-24 | 2003-02-06 | Barry Porozni | Wireless access system, method, signal, and computer program product |
ATE489813T1 (de) * | 2001-09-20 | 2010-12-15 | Nokia Siemens Networks Gmbh | Verteilte übermittlung von informationen in einem verbindungslosen, paketorientierten kommunikationsnetz |
US7124183B2 (en) * | 2001-09-26 | 2006-10-17 | Bell Security Solutions Inc. | Method and apparatus for secure distributed managed network information services with redundancy |
US8200773B2 (en) * | 2001-09-28 | 2012-06-12 | Fiberlink Communications Corporation | Client-side network access policies and management applications |
US20030074342A1 (en) * | 2001-10-11 | 2003-04-17 | Curtis Donald S. | Customer information management infrastructure and methods |
US7580408B2 (en) * | 2001-11-21 | 2009-08-25 | Alcatel Lucent | Configurable packet processor |
US7236492B2 (en) * | 2001-11-21 | 2007-06-26 | Alcatel-Lucent Canada Inc. | Configurable packet processor |
US7373401B1 (en) * | 2001-12-31 | 2008-05-13 | Nortel Networks Limited | Label switched path OAM wrapper |
EP1335535A1 (en) * | 2002-01-31 | 2003-08-13 | BRITISH TELECOMMUNICATIONS public limited company | Network service selection |
SE0200640D0 (sv) * | 2002-02-28 | 2002-02-28 | Ericsson Telefon Ab L M | Arrangement and method for routing in virtual private network |
FI20020673A0 (fi) * | 2002-04-09 | 2002-04-09 | Nokia Corp | Ajantasaisen pakettidatan pakettien ajoittaminen |
US7072657B2 (en) * | 2002-04-11 | 2006-07-04 | Ntt Docomo, Inc. | Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks |
US7116995B2 (en) * | 2002-05-31 | 2006-10-03 | Nokia Corporation | System and method for operating intravendor and intervendor messaging systems |
DE10233954B4 (de) * | 2002-07-25 | 2008-02-28 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren, Kommunikationsanordnung und Kommunikationseinrichtung zum Übermitteln von Datenzellen über ein paketorientiertes Kommunikationsnetz |
US7327675B1 (en) * | 2002-08-01 | 2008-02-05 | At&T Corp. | Fairness of capacity allocation for an MPLS-based VPN |
US8737406B1 (en) * | 2002-08-01 | 2014-05-27 | Cisco Technology, Inc. | Method for transmitting IP routes to prioritize convergence |
US8438302B2 (en) * | 2002-08-22 | 2013-05-07 | International Business Machines Corporation | Splitting and sharing routing information among several routers acting as a single border router |
US7289500B1 (en) | 2003-07-17 | 2007-10-30 | Novell, Inc. | Method and system for reliable multicast data transmission |
DE60318222T2 (de) * | 2002-09-09 | 2008-04-10 | Nortel Networks Ltd., St. Laurent | Netzwerk und Verfahren zur Bereitstellung von Schicht-2 virtuellen privaten Netwerken auf Basis von vermittelten virtuellen Verbindungen |
US20040075270A1 (en) * | 2002-10-17 | 2004-04-22 | Lee Passarella | Annotation apparatus for written material |
US6954794B2 (en) * | 2002-10-21 | 2005-10-11 | Tekelec | Methods and systems for exchanging reachability information and for switching traffic between redundant interfaces in a network cluster |
US7596629B2 (en) * | 2002-11-21 | 2009-09-29 | Cisco Technology, Inc. | System and method for interconnecting heterogeneous layer 2 VPN applications |
US7782885B1 (en) * | 2002-12-10 | 2010-08-24 | Cisco Technology, Inc. | System and method for queue management using queue sets |
US20040196843A1 (en) * | 2003-02-20 | 2004-10-07 | Alcatel | Protection of network infrastructure and secure communication of control information thereto |
US7292542B2 (en) * | 2003-03-05 | 2007-11-06 | At&T Bls Intellectual Property, Inc. | Method for traffic engineering of connectionless virtual private network services |
JP4157409B2 (ja) * | 2003-03-31 | 2008-10-01 | 富士通株式会社 | 仮想パス構築装置および仮想パス構築方法 |
US7386630B2 (en) * | 2003-04-30 | 2008-06-10 | Nokia Corporation | Using policy-based management to support Diffserv over MPLS network |
US7558844B1 (en) * | 2003-05-06 | 2009-07-07 | Juniper Networks, Inc. | Systems and methods for implementing dynamic subscriber interfaces |
US20040230695A1 (en) * | 2003-05-15 | 2004-11-18 | Anschutz Thomas Arnold | Methods, systems, and computer program products for processing traffic in a communication network based on registration of an access session and/or application flow and specifying a treatment for the access session and/or application flow traffic |
DE10324603A1 (de) * | 2003-05-30 | 2004-12-23 | Siemens Ag | Verfahren zur Weitergabe von IP-Paketen an eine externe Steuerkomponente eines Netzknotens |
US7493393B2 (en) * | 2003-06-23 | 2009-02-17 | Nokia Corporation | Apparatus and method for security management in wireless IP networks |
US7313605B2 (en) * | 2003-07-03 | 2007-12-25 | At&T Corp. | Externally controlled reachability in virtual private networks |
US7075933B2 (en) * | 2003-08-01 | 2006-07-11 | Nortel Networks, Ltd. | Method and apparatus for implementing hub-and-spoke topology virtual private networks |
US20050086492A1 (en) * | 2003-08-15 | 2005-04-21 | Fiberlink Communications Corporation | System, method, apparatus and computer program product for facilitating digital communications |
EP1517482A1 (en) * | 2003-09-18 | 2005-03-23 | Hewlett-Packard Development Company, L.P. | Discovery of virtual private networks |
US20050066036A1 (en) * | 2003-09-19 | 2005-03-24 | Neil Gilmartin | Methods, systems and computer program products for facilitating the design and analysis of virtual networks based on total hub value |
US7624187B1 (en) | 2003-09-19 | 2009-11-24 | At&T Intellectual Property, I, L.P. | Method, system and computer program product for providing Ethernet VLAN capacity requirement estimation |
US7640359B1 (en) * | 2003-09-19 | 2009-12-29 | At&T Intellectual Property, I, L.P. | Method, system and computer program product for facilitating the design and assignment of ethernet VLANs |
US20050071494A1 (en) * | 2003-09-30 | 2005-03-31 | Rundquist William A. | Method and apparatus for providing fixed bandwidth communications over a local area network |
US9614772B1 (en) * | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
US7349985B2 (en) * | 2003-11-24 | 2008-03-25 | At&T Delaware Intellectual Property, Inc. | Method, system and computer program product for calculating a VLAN latency measure |
US7603463B2 (en) * | 2003-12-12 | 2009-10-13 | Nortel Networks Limited | Method and apparatus for allocating processing capacity of system processing units in an extranet gateway |
US7730137B1 (en) | 2003-12-22 | 2010-06-01 | Aol Inc. | Restricting the volume of outbound electronic messages originated by a single entity |
US8718057B1 (en) * | 2004-01-20 | 2014-05-06 | Nortel Networks Limited | Ethernet LAN service enhancements |
CN1947382A (zh) * | 2004-02-25 | 2007-04-11 | 松下电器产业株式会社 | 接入网络系统、用户台设备以及网络终端设备 |
US7633961B2 (en) * | 2004-04-07 | 2009-12-15 | Alcatel Lucent | Edge-router scaling for BGP peering with virtual private routed networks (VPRN) |
US8239452B2 (en) * | 2004-05-01 | 2012-08-07 | Microsoft Corporation | System and method for discovering and publishing of presence information on a network |
US7698307B2 (en) | 2004-05-01 | 2010-04-13 | Microsoft Corporation | System and method for synchronizing between a file system and presence of contacts on a network |
US7607096B2 (en) * | 2004-05-01 | 2009-10-20 | Microsoft Corporation | System and method for a user interface directed to discovering and publishing presence information on a network |
US20060013231A1 (en) * | 2004-06-22 | 2006-01-19 | Sbc Knowledge Ventures, Lp | Consolidated ethernet optical network and apparatus |
US7684322B2 (en) * | 2004-07-01 | 2010-03-23 | Nortel Networks Limited | Flow admission control in an IP network |
CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
ATE456886T1 (de) * | 2004-07-29 | 2010-02-15 | Telecom Italia Spa | Verfahren und system zur fehler- und leistungsfähigkeitsbehebung in computernetzen, diesbezügliches netz und computerprogrammprodukt dafür |
CN1294728C (zh) * | 2004-08-05 | 2007-01-10 | 华为技术有限公司 | 边缘路由器提供服务质量保证的方法及系统 |
US7366182B2 (en) * | 2004-08-13 | 2008-04-29 | Qualcomm Incorporated | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain |
US7725589B2 (en) * | 2004-08-16 | 2010-05-25 | Fiberlink Communications Corporation | System, method, apparatus, and computer program product for facilitating digital communications |
US7958208B2 (en) * | 2004-09-22 | 2011-06-07 | At&T Intellectual Property I, L.P. | System and method for designing a customized switched metro Ethernet data network |
US7545815B2 (en) * | 2004-10-18 | 2009-06-09 | At&T Intellectual Property Ii, L.P. | Queueing technique for multiple sources and multiple priorities |
KR100645517B1 (ko) * | 2004-12-16 | 2006-11-15 | 삼성전자주식회사 | 가입자 등급에 따른 브이오아이피 호 처리 방법 및 그시스템 |
US20060174035A1 (en) * | 2005-01-28 | 2006-08-03 | At&T Corp. | System, device, & method for applying COS policies |
US7599286B2 (en) * | 2005-03-01 | 2009-10-06 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for achieving path symmetry in an internet protocol (IP) based network |
US8189481B2 (en) * | 2005-04-08 | 2012-05-29 | Avaya, Inc | QoS-based routing for CE-based VPN |
US7894432B2 (en) * | 2005-04-09 | 2011-02-22 | Audiocodes, Inc. | Apparatus and method creating virtual routing domains in an internet protocol network |
US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
US7751331B1 (en) * | 2005-05-09 | 2010-07-06 | Cisco Technology, Inc. | Technique for policy conflict resolution using priority with variance |
US7639669B2 (en) * | 2005-06-01 | 2009-12-29 | Alcatel-Lucent Usa Inc. | Controlling communication path reservations in a packet network with non-homogeneous nodes |
US7636305B1 (en) | 2005-06-17 | 2009-12-22 | Cisco Technology, Inc. | Method and apparatus for monitoring network traffic |
US8130767B2 (en) * | 2005-06-17 | 2012-03-06 | Cisco Technology, Inc. | Method and apparatus for aggregating network traffic flows |
US20060291446A1 (en) * | 2005-06-24 | 2006-12-28 | Donald Caldwell | Systems, methods, and devices for managing routing |
US8228818B2 (en) * | 2005-06-24 | 2012-07-24 | At&T Intellectual Property Ii, Lp | Systems, methods, and devices for monitoring networks |
US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
US20070055752A1 (en) * | 2005-09-08 | 2007-03-08 | Fiberlink | Dynamic network connection based on compliance |
US20070078955A1 (en) * | 2005-09-15 | 2007-04-05 | Xelor Software Pty Ltd | Service quality management in packet networks |
US8260922B1 (en) * | 2005-09-16 | 2012-09-04 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed sites |
CN1859369B (zh) * | 2005-10-09 | 2010-07-14 | 华为技术有限公司 | 实现网络连接服务建立的方法及装置 |
US7738401B2 (en) * | 2005-10-20 | 2010-06-15 | At&T Intellectual Property I, L.P. | System and method for overlaying a hierarchical network design on a full mesh network |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
US7613120B2 (en) * | 2005-12-30 | 2009-11-03 | Intel Corporation | Dynamic wide area network packet routing |
US7593393B2 (en) * | 2006-01-20 | 2009-09-22 | Sbc Knowledge Ventures, L.P. | Voice over internet protocol multi-routing with packet interleaving |
US7693059B2 (en) * | 2006-01-30 | 2010-04-06 | International Business Machines Corporation | Advanced VPN routing |
US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
JP4706542B2 (ja) * | 2006-04-10 | 2011-06-22 | 株式会社日立製作所 | 通信装置 |
US8495181B2 (en) * | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
US7580417B2 (en) * | 2006-08-07 | 2009-08-25 | Cisco Technology, Inc. | Method and apparatus for load balancing over virtual network links |
JP4676403B2 (ja) * | 2006-08-30 | 2011-04-27 | 株式会社日立製作所 | 通信装置及び通信システム |
US8978125B2 (en) * | 2006-10-19 | 2015-03-10 | Oracle International Corporation | Identity controlled data center |
US9135444B2 (en) * | 2006-10-19 | 2015-09-15 | Novell, Inc. | Trusted platform module (TPM) assisted data center management |
US8370915B2 (en) * | 2006-10-19 | 2013-02-05 | Oracle International Corporation | Identity enabled virtualized edge processing |
US7583677B1 (en) | 2006-11-03 | 2009-09-01 | Juniper Networks, Inc. | Dynamic flow-based multi-path load balancing with quality of service assurances |
US7738370B2 (en) * | 2006-12-18 | 2010-06-15 | Nokia Corporation | Method, network element and modules therefore, and computer program for use in prioritizing a plurality of queuing entities |
WO2008085201A2 (en) | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Managed file backup and restore at remote storage locations through multi-services gateway device at user premises |
US9602880B2 (en) | 2006-12-29 | 2017-03-21 | Kip Prod P1 Lp | Display inserts, overlays, and graphical user interfaces for multimedia systems |
US11783925B2 (en) | 2006-12-29 | 2023-10-10 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US11316688B2 (en) | 2006-12-29 | 2022-04-26 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US20170344703A1 (en) | 2006-12-29 | 2017-11-30 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US9569587B2 (en) | 2006-12-29 | 2017-02-14 | Kip Prod Pi Lp | Multi-services application gateway and system employing the same |
US8117338B2 (en) * | 2007-01-17 | 2012-02-14 | Rockstar Bidco, LP | Border gateway protocol procedures for multi-protocol label switching and layer-2 virtual private networks using Ethernet-based tunnels |
WO2008089305A2 (en) * | 2007-01-17 | 2008-07-24 | Nortel Networks Limited | Border gateway protocol procedures for mpls and layer-2 vpn using ethernet-based tunnels |
US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
US8077607B2 (en) * | 2007-03-14 | 2011-12-13 | Cisco Technology, Inc. | Dynamic response to traffic bursts in a computer network |
US8077721B2 (en) * | 2007-03-15 | 2011-12-13 | Cisco Technology, Inc. | Methods and apparatus providing two stage tunneling |
US8156516B2 (en) * | 2007-03-29 | 2012-04-10 | Emc Corporation | Virtualized federated role provisioning |
US7852789B2 (en) * | 2007-06-20 | 2010-12-14 | At&T Intellectual Property Ii, L.P. | Methods, systems, and/or devices for providing network access |
CN101360037B (zh) * | 2007-08-03 | 2010-12-08 | 中国移动通信集团公司 | 数据业务网络系统及数据业务的访问方法 |
US8649386B2 (en) * | 2007-09-11 | 2014-02-11 | Prodea Systems, Inc | Multi-interface wireless adapter and network bridge |
CN101399766B (zh) * | 2007-09-28 | 2011-05-11 | 中国移动通信集团公司 | 数据业务的网络系统及访问方法 |
WO2009058062A1 (en) * | 2007-11-02 | 2009-05-07 | Telefonaktiebolaget Lm Ericsson (Publ) | An improved mechanism for use in a virtual private network (vpn) |
US8503334B2 (en) * | 2007-12-14 | 2013-08-06 | Level 3 Communications, Llc | System and method for providing network services over shared virtual private network (VPN) |
US9455924B2 (en) * | 2008-01-02 | 2016-09-27 | Media Network Services As | Device and system for selective forwarding |
JP5088145B2 (ja) * | 2008-01-10 | 2012-12-05 | 富士通株式会社 | パケット中継装置、制御方法およびパケット中継プログラム |
US8743740B2 (en) * | 2008-04-08 | 2014-06-03 | At&T Intellectual Property I, L.P. | Methods and apparatus to implement a partial mesh virtual private local area network service |
WO2010009773A1 (en) * | 2008-07-25 | 2010-01-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for network configuration |
US8289978B2 (en) * | 2008-10-15 | 2012-10-16 | At&T Intellectual Property I, Lp | Broadcast interactive television system |
US7916735B2 (en) | 2008-12-02 | 2011-03-29 | At&T Intellectual Property I, L.P. | Method for applying macro-controls onto IP networks using intelligent route indexing |
US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US20100145760A1 (en) * | 2008-12-10 | 2010-06-10 | William Cambre | Methods and apparatus to process network access service orders |
US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US9106539B2 (en) | 2009-03-26 | 2015-08-11 | At&T Intellectual Property I, L.P. | User-controlled network configuration for handling multiple classes of service |
US8326976B2 (en) * | 2009-06-30 | 2012-12-04 | Alcatel Lucent | Configuring application management reporting in a communication network |
US8401035B2 (en) * | 2009-07-14 | 2013-03-19 | Level 3 Communications, Llc | One way SRS information transmission method |
WO2011030889A1 (ja) * | 2009-09-14 | 2011-03-17 | 日本電気株式会社 | 通信システム、転送ノード、経路管理サーバ、通信方法およびプログラム |
US8346976B2 (en) * | 2009-11-25 | 2013-01-01 | T-Mobile Usa, Inc. | Secured registration of a home network device |
US8995301B1 (en) | 2009-12-07 | 2015-03-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing cost information |
US9036504B1 (en) | 2009-12-07 | 2015-05-19 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to associate network addresses with computing nodes |
US7937438B1 (en) | 2009-12-07 | 2011-05-03 | Amazon Technologies, Inc. | Using virtual networking devices to manage external connections |
US9203747B1 (en) | 2009-12-07 | 2015-12-01 | Amazon Technologies, Inc. | Providing virtual networking device functionality for managed computer networks |
US8411667B2 (en) | 2009-12-15 | 2013-04-02 | At&T Intellectual Property I, L.P. | Methods, apparatus and articles of manufacture to manipulate packet routing |
US7991859B1 (en) | 2009-12-28 | 2011-08-02 | Amazon Technologies, Inc. | Using virtual networking devices to connect managed computer networks |
US7953865B1 (en) | 2009-12-28 | 2011-05-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing communications between connected computer networks |
US8224971B1 (en) * | 2009-12-28 | 2012-07-17 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to initiate external actions |
US8630297B2 (en) * | 2010-02-08 | 2014-01-14 | Force10 Networks, Inc. | Method and apparatus for the distribution of network traffic |
US8611251B2 (en) * | 2010-02-08 | 2013-12-17 | Force10 Networks, Inc. | Method and apparatus for the distribution of network traffic |
US8565230B2 (en) * | 2010-09-10 | 2013-10-22 | Avaya Inc. | Shared virtual tunnels supporting Mac learning in communication networks |
US9813257B2 (en) | 2010-09-10 | 2017-11-07 | Extreme Networks, Inc. | Access network dual path connectivity |
EP2437470A1 (en) * | 2010-09-30 | 2012-04-04 | British Telecommunications Public Limited Company | Network element and method for deriving quality of service data from a distributed hierarchical naming system |
US8843600B1 (en) | 2010-09-30 | 2014-09-23 | Amazon Technologies, Inc. | Providing private access to network-accessible services |
GB2485148B (en) * | 2010-11-01 | 2016-12-21 | Media Network Services | Network routing |
US8699499B2 (en) | 2010-12-08 | 2014-04-15 | At&T Intellectual Property I, L.P. | Methods and apparatus to provision cloud computing network elements |
US8776256B2 (en) | 2011-04-29 | 2014-07-08 | At&T Intellectual Property I, L.P. | System and method for controlling multicast geographic distribution |
US9137202B2 (en) | 2011-06-09 | 2015-09-15 | At&T Intellectual Property I, L.P. | System and method for dynamically adapting network delivery modes of content |
US8990342B2 (en) | 2011-08-04 | 2015-03-24 | Wyse Technology L.L.C. | System and method for client-server communication facilitating utilization of network-based procedure call |
CN102547900B (zh) * | 2011-12-29 | 2015-07-22 | 深圳市思达仪表有限公司 | 集中抄表的组网方法 |
GB2520451B (en) | 2012-03-20 | 2015-09-30 | Media Network Services As | Data distribution system |
US9083650B2 (en) * | 2012-10-16 | 2015-07-14 | Cable Television Laboratories, Inc. | Overlay network |
WO2014202021A1 (en) * | 2013-06-20 | 2014-12-24 | Huawei Technologies Co., Ltd. | A method and network apparatus of establishing path |
JP6127857B2 (ja) * | 2013-09-17 | 2017-05-17 | 富士通株式会社 | トラフィック制御装置 |
US9860166B1 (en) * | 2013-12-18 | 2018-01-02 | Palo Alto Networks, Inc. | Stateful packet inspection and classification |
US9986019B2 (en) | 2015-06-24 | 2018-05-29 | At&T Intellectual Property I, L.P. | Intelligent route management for diverse ecosystems |
US10091168B2 (en) * | 2015-12-27 | 2018-10-02 | T-Mobile Usa, Inc. | Wireless access point security |
US10684877B2 (en) * | 2015-12-30 | 2020-06-16 | Incognito Software Systems Inc. | Virtualized customer premises equipment |
CN106302226B (zh) * | 2016-10-21 | 2019-08-30 | 中国电子科技集团公司第二十八研究所 | 一种QoS感知的服务动态调度方法 |
US11025528B1 (en) * | 2018-08-08 | 2021-06-01 | Cox Communications, Inc. | Dynamic virtual network function placement for optimal border gateway protocol support |
US11671451B1 (en) * | 2019-08-05 | 2023-06-06 | Amazon Technologies, Inc. | Server/client resolution for link level security protocol |
CN111654432B (zh) * | 2020-05-29 | 2022-05-17 | 中国联合网络通信集团有限公司 | 物联网系统以及业务处理方法 |
US11496556B1 (en) | 2021-04-26 | 2022-11-08 | Cisco Technology, Inc. | Service provider selection for application-driven routing |
CN113691897B (zh) * | 2021-08-27 | 2023-05-12 | 烽火通信科技股份有限公司 | 一种端到端逆向创建eoo业务的方法与装置 |
Family Cites Families (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4924500A (en) | 1989-05-17 | 1990-05-08 | Northern Telecom Limited | Carrier independent network services |
US5577209A (en) | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5768271A (en) | 1996-04-12 | 1998-06-16 | Alcatel Data Networks Inc. | Virtual private network |
US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US5918019A (en) | 1996-07-29 | 1999-06-29 | Cisco Technology, Inc. | Virtual dial-up protocol for network communication |
US6178505B1 (en) | 1997-03-10 | 2001-01-23 | Internet Dynamics, Inc. | Secure delivery of information in a network |
US6226748B1 (en) * | 1997-06-12 | 2001-05-01 | Vpnet Technologies, Inc. | Architecture for virtual private networks |
US6173399B1 (en) | 1997-06-12 | 2001-01-09 | Vpnet Technologies, Inc. | Apparatus for implementing virtual private networks |
US6339595B1 (en) | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
US6079020A (en) | 1998-01-27 | 2000-06-20 | Vpnet Technologies, Inc. | Method and apparatus for managing a virtual private network |
US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
EP1005780B1 (en) * | 1998-06-19 | 2012-05-02 | Juniper Networks, Inc. | Method and system for encapsulating/decapsulating data on a per channel basis in hardware |
US20020097725A1 (en) * | 1998-07-27 | 2002-07-25 | Nec Corporation | Resource and protocol management for virtual private networks within multiprocessor ATM switches |
US6912232B1 (en) | 1998-10-19 | 2005-06-28 | At&T Corp. | Virtual private network |
US6826616B2 (en) * | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US7307990B2 (en) * | 1999-01-19 | 2007-12-11 | Cisco Technology, Inc. | Shared communications network employing virtual-private-network identifiers |
US6564261B1 (en) | 1999-05-10 | 2003-05-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed system to intelligently establish sessions between anonymous users over various networks |
US6614800B1 (en) * | 1999-09-02 | 2003-09-02 | International Business Machines Corporation | Method and system for virtual private network administration channels |
US6532088B1 (en) * | 1999-09-10 | 2003-03-11 | Alcatel | System and method for packet level distributed routing in fiber optic rings |
US6738910B1 (en) | 1999-10-28 | 2004-05-18 | International Business Machines Corporation | Manual virtual private network internet snoop avoider |
US6473863B1 (en) | 1999-10-28 | 2002-10-29 | International Business Machines Corporation | Automatic virtual private network internet snoop avoider |
JP2001237876A (ja) | 2000-02-21 | 2001-08-31 | Nec Corp | Ip仮想プライベート網の構築方法及びip仮想プライベート網 |
US6621793B2 (en) * | 2000-05-22 | 2003-09-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Application influenced policy |
JP4099930B2 (ja) | 2000-06-02 | 2008-06-11 | 株式会社日立製作所 | ルータ装置及びvpn識別情報の設定方法 |
EP2288083B1 (en) * | 2000-06-16 | 2013-07-31 | Fujitsu Limited | Communication device having VPN accomodation function |
US7007299B2 (en) | 2000-08-30 | 2006-02-28 | Citibank, N.A. | Method and system for internet hosting and security |
US7315554B2 (en) * | 2000-08-31 | 2008-01-01 | Verizon Communications Inc. | Simple peering in a transport network employing novel edge devices |
US20020032793A1 (en) | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
US20020038339A1 (en) | 2000-09-08 | 2002-03-28 | Wei Xu | Systems and methods for packet distribution |
US7272643B1 (en) * | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
US6822940B1 (en) * | 2000-09-29 | 2004-11-23 | Cisco Technology, Inc. | Method and apparatus for adapting enforcement of network quality of service policies based on feedback about network conditions |
US20020042875A1 (en) * | 2000-10-11 | 2002-04-11 | Jayant Shukla | Method and apparatus for end-to-end secure data communication |
JP4183379B2 (ja) * | 2000-11-27 | 2008-11-19 | 富士通株式会社 | ネットワーク及びエッジルータ |
US6954790B2 (en) | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US20020075901A1 (en) | 2000-12-19 | 2002-06-20 | Bruce Perlmutter | Bandwidth management for tunneling servers |
US6914883B2 (en) * | 2000-12-28 | 2005-07-05 | Alcatel | QoS monitoring system and method for a high-speed DiffServ-capable network element |
US6775235B2 (en) | 2000-12-29 | 2004-08-10 | Ragula Systems | Tools and techniques for directing packets over disparate networks |
US7120682B1 (en) * | 2001-03-08 | 2006-10-10 | Cisco Technology, Inc. | Virtual private networks for voice over networks applications |
US6778498B2 (en) | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US7356596B2 (en) | 2001-12-07 | 2008-04-08 | Architecture Technology Corp. | Protecting networks from access link flooding attacks |
US7684321B2 (en) | 2001-12-21 | 2010-03-23 | Hewlett-Packard Development Company, L.P. | System for supply chain management of virtual private network services |
US7343619B2 (en) | 2002-03-16 | 2008-03-11 | Trustedflow Systems, Inc. | Trusted flow and operation control method |
US20040223497A1 (en) | 2003-05-08 | 2004-11-11 | Onvoy Inc. | Communications network with converged services |
US20040266420A1 (en) | 2003-06-24 | 2004-12-30 | Nokia Inc. | System and method for secure mobile connectivity |
US7366181B2 (en) | 2003-09-06 | 2008-04-29 | Fujitsu Limited | Virtual private network (VPN) with channelized ethernet over sonet (EoS) interface and method |
-
2001
- 2001-12-17 US US10/023,331 patent/US6778498B2/en not_active Expired - Fee Related
-
2002
- 2002-03-20 EP EP02707986A patent/EP1371196A4/en not_active Withdrawn
- 2002-03-20 WO PCT/US2002/008637 patent/WO2002076050A1/en not_active Application Discontinuation
- 2002-03-20 CN CNA028068211A patent/CN1502195A/zh active Pending
- 2002-03-20 MX MXPA03008472A patent/MXPA03008472A/es unknown
- 2002-03-20 BR BR0208222-5A patent/BR0208222A/pt not_active Application Discontinuation
- 2002-03-20 JP JP2002573395A patent/JP2004529546A/ja not_active Withdrawn
- 2002-03-20 CA CA002441750A patent/CA2441750A1/en not_active Abandoned
-
2004
- 2004-05-12 US US10/843,761 patent/US7447151B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8718092B2 (en) | 2008-08-28 | 2014-05-06 | Kddi Corporation | Communication network system, network switch and bandwidth control, for site-to-site communications |
JP2016508682A (ja) * | 2013-01-29 | 2016-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 |
US9942159B2 (en) | 2013-01-29 | 2018-04-10 | Telefonaktiebolaget Lm Ericsson | Method and arrangement for QOS differentiation of VPN traffic across domains |
Also Published As
Publication number | Publication date |
---|---|
BR0208222A (pt) | 2004-03-02 |
EP1371196A4 (en) | 2004-11-17 |
CN1502195A (zh) | 2004-06-02 |
MXPA03008472A (es) | 2004-06-30 |
WO2002076050A1 (en) | 2002-09-26 |
US20030112755A1 (en) | 2003-06-19 |
US6778498B2 (en) | 2004-08-17 |
US20040208122A1 (en) | 2004-10-21 |
CA2441750A1 (en) | 2002-09-26 |
EP1371196A1 (en) | 2003-12-17 |
US7447151B2 (en) | 2008-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9009812B2 (en) | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks | |
US8543734B2 (en) | System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks | |
US7447151B2 (en) | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router | |
US20040223499A1 (en) | Communications networks with converged services | |
US7953885B1 (en) | Method and apparatus to apply aggregate access control list/quality of service features using a redirect cause | |
US6940862B2 (en) | Apparatus and method for classifying packets | |
JP2013009406A (ja) | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 | |
CN100518138C (zh) | 实现虚拟专用网的方法 | |
JP2004528756A (ja) | サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置 | |
JP2004533149A (ja) | IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 | |
Cisco | VoIP Interoperability with Cisco Express Forwarding and Policy Based Routing | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
AU2002242345A1 (en) | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router | |
AU2002258570A1 (en) | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks | |
AU2002250371A1 (en) | System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks | |
Gao et al. | Design of broadband IPv6/lPv4 dual-stack access router based on service stream |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20050607 |