JP2004529546A - 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ - Google Patents

仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ Download PDF

Info

Publication number
JP2004529546A
JP2004529546A JP2002573395A JP2002573395A JP2004529546A JP 2004529546 A JP2004529546 A JP 2004529546A JP 2002573395 A JP2002573395 A JP 2002573395A JP 2002573395 A JP2002573395 A JP 2002573395A JP 2004529546 A JP2004529546 A JP 2004529546A
Authority
JP
Japan
Prior art keywords
network
vpn
port
packet
logical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002573395A
Other languages
English (en)
Inventor
デイビッド・イー.・マクディーサン
Original Assignee
ワールドコム・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ワールドコム・インコーポレイテッド filed Critical ワールドコム・インコーポレイテッド
Publication of JP2004529546A publication Critical patent/JP2004529546A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/467Arrangements for supporting untagged frames, e.g. port-based VLANs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1442Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
    • H04L12/1446Charging, metering or billing arrangements for data wireline or wireless communications at network operator level inter-operator billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2408Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4535Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4557Directories for hybrid networks, e.g. including telephone numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1023Media gateways
    • H04L65/103Media gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/104Signalling gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1043Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1096Supplementary features, e.g. call forwarding or call holding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/61Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
    • H04L65/612Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • H04L65/762Media network packet handling at the source 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/80Responding to QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/43Billing software details
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/53Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP using mediation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/55Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for hybrid networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/56Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/63Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on the content carried by the session initiation protocol [SIP] messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/82Criteria or parameters used for performing billing operations
    • H04M15/8292Charging for signaling or unsuccessful connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/0016Arrangements providing connection between exchanges
    • H04Q3/0029Provisions for intelligent networking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2207/00Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
    • H04M2207/35Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0148Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0172Mediation, i.e. device or program to reformat CDRS from one or more switches in order to adapt to one or more billing programs formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/202VoIP; Packet switched telephony
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/2046Hybrid network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/22Bandwidth or usage-sensitve billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/44Charging/billing arrangements for connection made over different networks, e.g. wireless and PSTN, ISDN, etc.
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2242/00Special services or facilities
    • H04M2242/06Lines and connections with preferential service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42187Lines and connections with preferential service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13166Fault prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13384Inter-PBX traffic, PBX networks, e.g. corporate networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13389LAN, internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13399Virtual channel/circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワークアーキテクチャは一以上のネットワークに基づく仮想私設ネットワーク(VPNS)(32a、32b)をサポートする通信ネットワークを含む。通信ネットワークは一以上のVPN(32a、32b)に属するCPEエッジルータ(34a、34b)へアクセスリンク(35a、35b)によって接続される複数の境界ルータ(40a、40b、42a、42b)を含む。顧客VPN(例えば他のVPNまたは一般のインターネット)からのトラフィックが顧客のVPN(32a、32b)内からのトラフィックに提供されるQoSを悪化させないように、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害しないように、アクセスリンク優先順位付けまたはアクセスリンク能力割り当てを介して各顧客のアクセスリンクに余分なVPNトラフィックよりも内部VPNトラフィックに優先権を与える。アクセスネットワーク(38a、38b)をVPN境界ルータ(40a、40b、42a、42b)およびCPEエッジルータ(42a、42b)を設定することによっておよびエッジおよび境界ルータのルーティングプロトコールによってDoS(サービスの拒絶)攻撃に対する高レベルのサービスが達成されうる。

Description

【0001】
この発明は通信ネットワークに関して特に、インターネットのような公衆通信ネットワークにおけるサービス拒否攻撃の防止に関する。より特定的には、この発明は仮想私設網(VPN)内のサイトのトラフィックに対するアクセス能力の割り当ておよび/または優先順位を、別のVPNまたは公衆ネットワークにおけるサイトのアクセス能力の割り当ておよび/または優先順位から分離することによって、共有されたネットワークインフラストラクチャを有する通信ネットワークにおけるサービス拒否攻撃を防ぐための方法、システムおよび装置に関する。
【0002】
ネットワークサービスプロバイダに対して、ネットワーク設計および管理における主要な考慮は、VPN顧客サイトから始まるトラフィックとVPNの外部から(例えば、インターネットまたは他のVPNから)始まるトラフィックの間のアクセス能力とネットワーク資源の適切な割り当てをすることである。この考慮はネットワークサービスプロバイダが最低の通信帯域を提供するかまたは、特定のサービスの質(QoS)を保証することを要求するサービスレベルアグリーメント(Service Level Agreement,SLA)を含む予約を行っているVPN顧客のトラフィックに関して特に重要である。それらのサービスの提供はネットワークサービスプロバイダに対して特定されたQoSを達成するネットワークアーキテクチャおよびプロトコルを実行するとともに十分なアクセス能力を保証し、ネットワーク資源はVPNの一部ではないホストとの通信とは別の他のVPNサイトとの通信のために利用可能である。
【0003】
インターネットプロトコル(IP)ネットワークにおいては、QoSを達成し、音声または非同期転送モード(ATM)のような、コネクション型のネットワークサービスの許可制御に匹敵する許可制御を実行するためのまっすぐなアプローチは、QoSを要求するIPパケット対して資源予約信号送信の実例の、同じホップごとの(hop-by-hop)切り替えをエミュレートすることである。実際、統合されたサービス(Intserv、イントサーブ)のためのインターネットエンジニアリングタスクフォース(IETF)によって開発されたIP信号送信標準はこのアプローチを正確に採用している。IETF RFC1633に述べられているように[R. Branden et al., "Integrated Services in the Internet Architecture: an Overview" June 1994]、イントサーブは、アプリケーションが、自分のデータパケットに対して配送サービスの多数の制御されたレベルの中から選択できるような、フローごとのIP QoSアーキテクチャである。この能力をサポートするために、イントサーブは、パケットフローの送信器で、アプリケーションがパケットフローの受信器に対する経路に沿ったすべてのネットワーク要素から、能力の特定のレベルで所望のQoSクラスを要求することを許容するために、IETF RFC2205によって規定された[R. Branden et al., "Resource ReSerVation Protocol (RSVP)-Version 1 Functional Specification" Sept. 1997]、よく知られた資源予約プロトコル(RSVP)の使用を許可する。資源予約を要求するRSVP PATHメッセージおよび上流のノードから資源予約を確認するRSVP RESVメッセージを受け取ったあと、経路に沿った個々のネットワーク要素はフロー内でパケットに配送されたQoSおよび能力を制御するための機構を実行する。
【0004】
図1は許可制御を実行するための従来のイントサーブ実施の使用を例示する。図1に示すように、模範的なIPネットワーク10はN個の同一のノード(例えばサービスプロバイダ境界ルータ)12を含み、各々がL地区の顧客のために顧客構内装置(Customer Premise Equipment,CPE)に接続された能力XのLリンクを有している。フローごとにおいては、コネクション型のアプローチは、各ノード12が起点から宛先へのネットワークに沿ったどのリンクも過負荷ではないということを保証する。アクセス能力を見て、フローごとのアプローチはすべてのフローに対する能力の合計が任意の出口アクセスリンク(例えばノード12aのリンク1)の能力Xを超えないように、入口アクセスリンクの各々での入力フローを直接制限することができる。同様のアプローチがIPネットワーク10内の例示されていないコアルータに接続するリンクに適用が可能である。
【0005】
概念的には非常に単純ではあるが、図1に例示した許可制御技術は多くの欠点を有している。最も重要には、RSVPを使用しているイントサーブの許可制御は、サービスプロバイダの境界およびコアルータにおいてRSVPが処理集中型の信号送信を要求するため、拡張性に限界がある。特に、RSVPは送信器と受信器との間の各ネットワーク要素において適切な資源割り当てを要求するための端末間信号送信を要求し、どのフローを許可するかを決定するために、入口ノード12b−12dによるポリシー問い合わせを行い、それに応じてトラフィックを取り締まり、同時に多くの他のハンドシェイクメッセージを取り締まる(police)。結局、イントサーブRSVP信号によって要求される処理は電話またはATM信号の処理に匹敵し、各境界内で高性能の(すなわち高価な)プロセッサ要素または、そのような信号によって要求される大規模な処理を行うコアになるIPルータを要求する。RSVP信号はソフト状態にある。これは、IPネットワークを介した転送経路は変更するかもしれず、それゆえフローによって要求されるQoSおよび能力についての情報は周期的に通信されなければならないため、信号送信処理が頻繁にリフレッシュされる(デフォルトで30秒ごと)ということを意味する。このいわゆるソフト状態の動作モードがATMスイッチの処理負荷よりもさらに大きい追加の処理負荷をルータ上に生成する。さらに、境界ルータのプロセッサが大量の無効なRSVP要求によって過負荷にされると、プロセッサがクラッシュし、それによって故障したプロセッサを有するルータによって処理されているすべての顧客に対するすべてのフローに対するサービスが中断される。
【0006】
従来のイントサーブRSVP信号送信を利用した許可制御の実施に関連した課題を認識して、IETFはRFC2475[S. Blake et al., "An Architecture for Differentiated Services" Dec.1998]において規定された、差別化されたサービス(Differentiated Service、ディフサーブまたはDS)プロトコルを普及させたディフサーブは、各IP層パケットヘッダのDSフィールド(例えば、IPv4型のサービス(TOS)バイトまたはIPv6トラフィッククラスバイト)内の集合したトラフィック分類を搬送することによって拡張性を達成したIP QoSアーキテクチャである。DSフィールドの最初の6ビットは、ディフサーブドメイン内の経路に沿った各々のノードでパケットのために、特定のサービスクラスまたは、パケットに対するホップ単位動作(PHB)を要求するディフサーブコードポイント(Diffserv Code Point,DSCP)を符号化する。
【0007】
ディフサーブドメインにおいては、ネットワーク資源はサービス供給ポリシーに応じてパケットフローの集合体に割り当てられる。サービス提供ポリシーはDSCPマーキング、ディフサーブドメインへの入場のためのトラフィック条件およびディフサーブドメイン内のトラフィック転送を支配する。マーキング(すなわち分類)および条件付け操作はディフサーブネットワーク境界においてのみ実行される必要がある。このように、特定のQoSを有するフローを確立するために送信器と受信器の間で端末間信号を要求するよりも、ディフサーブは各IPパケットヘッダを単に検査および/またはマークすることによって入口境界ルータがQoSを集合されたフローに提供することができるようにする。
【0008】
ディフサーブ標準は、イントサーブの処理集中型信号送信をハードウエアにおいて容易に実行されうる簡単なパケットごとのマーキング操作と置き換えることによってイントサーブの拡張性の限界に対処したが、ディフサーブプロトコルの実施は別のタイプの問題を提示する。特に、ディフサーブはサービスクラスのホストのマーク付けを許容するため、ディフサーブネットワーク顧客リンクは、多くのホストがDSフィールドが高い優先度に設定された状態でそのリンクにパケットを送信するとサービスの拒否(DoS)攻撃を経験しうる。ホストの組はDSCPを設定することによって直接、または、特定のDSCPへある別のルータまたは装置によって分類されたトラフィックを提出することによって間接的に、ディフサーブサービスクラスの予約された能力を超えることができる。ディフサーブにおいては、IPネットワークは顧客のインターフェイスが各ディフサーブサービスクラスに対する予約された能力を超えないということを確実にするために、入口ルータで取り締まることによってその資源を保護できるだけである。しかしながら、これはDoS攻撃を防げない。
【0009】
図2は従来のディフサーブプロトコルを実行する模範的なIPネットワーク10´におけるDOS攻撃のシナリオを示す図である。図2において、多くの入口ノード(例えば入口境界ルータ)12b´−12d´の各々は、トラフィックが出口ノード(例えば出口境界ルータ)12a´の単一のリンクを標的にすることを許容する。各入口ノード12´は、顧客が各DSCPで自分の予約した資源を超えないということを確実にするために入来パケットを取り締まるが、許可されたフローの集合はノード12a´の出口リンク1の能力Xを超え、その結果、このリンクによって顧客サイトへのサービスの拒否となる。
【0010】
イントサーブおよびディフサーブ標準の従来の実施に付随する限定にかんがみて、この発明は、従来のイントサーブ実施と異なって、拡張性が高く、しかも従来のディフサーブおよび他のネットワークが受けやすいDoS攻撃に対して保護できる、通信プロトコルをサポートするデータ通信のための方法、システムおよび装置を提供することが有用でありかつ望ましいということを認識する。
【0011】
この発明に従うネットワークアーキテクチャは1以上のネットワークベースの仮想私設網(VPN)をサポートする通信ネットワークを含む。通信ネットワークは1以上のVPNに属するCPEエッジルータへのアクセスリンクによって接続された複数の境界ルータを含む。外部顧客のVPNからのトラフィック(例えば他のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内に提供されるQoSを悪化させないために、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害できないように、アクセスリンクの優先度またはアクセスリンクの能力割り当てを通じて、各顧客のアクセスリンクに対して内部VPNトラフィックを余分なVPNトラフィックよりも優先する。このようにして余分なVPNトラフィックに対して内部VPNトラフィックを優先することが、ネットワーク要素およびプロトコルの特別の設定を引き起こす。この特別の構成は、VPN境界ルータおよびCPEエッジルータでの、内部VPNトラフィックおよび余分なVPNトラフィック間の論理的なトラフィック分離を達成するためのルーティングプロトコルの設定とともに、レイヤ2スイッチおよび多重化を使用したアクセスネットワークおよび物理的なアクセスリンクでの内部VPNおよび余分なVPNトラフィック間のしきりを含む。このように、アクセスネットワーク、VPN境界ルータおよびCPEエッジルータ並びにエッジおよび境界ルータのルーティングプロトコルを構成することによって、DoS攻撃の防止に対する高レベルのサービスが達成される。
【0012】
この発明の追加の目的、特徴および利点は以下の詳細な記載から明らかになる。
【0013】
発明の特徴であると信じられる新規な特性が添付のクレームで述べられている。しかしながら、この発明自体、使用の好ましいモード、更なる目的およびその利点は、添付の図面と共に読まれたとき、例示的な実施例の詳細な説明を参照することによって最もよく理解される。
【0014】
図、特に図3を参照して、この発明に従った、仮想私設網(VPN)顧客のアクセスを保護するとともにDoS攻撃に対して主要なネットワークリンクを保護しながら、選択されたトラフィックに対してQoSを提供する拡張性のある方法を提供する模範的なネットワークアーキテクチャ20の高レベルのブロック図が示されている。図2に例示した従来のネットワークと同様に、図3のネットワークアーキテクチャ20は、それぞれがLのアクセスリンクを有するNのサービスプロバイダ境界ルータ(BR)22を有するディフサーブネットワーク21を含む。ネットワークアーキテクチャ20において異なるのは、ディフサーブネットワーク21が複数のVPN事例をサポートすることである。このうち2つの事例が図に示されており、一方は、第一ネットワークサービス顧客24に対するCPEエッジルータ(ER)に接続された境界ルータ22のアクセスリンクであり、もう一方は、4つのサイトの各々にある、第二ネットワークサービス顧客25に対するERであって、それぞれaからdによって特定されている。各CPE ERは顧客のローカルエリアネットワーク(LAN)にネットワークサービスを提供する。サービスプロバイダネットワークに基づくVPNは、この図に示されたのより多い顧客をサポートしてもよい。
【0015】
図3において示された模範的な通信シナリオにおいては、CPEエッジルータ24b−24dに接続された第一VPN顧客のLAN内のホスト、CPEエッジルータ25a−25dに接続された第二VPN顧客のLAN内のホストおよび境界ルータ22a−22dにリンクされた別の例示のないCPEエッジルータに接続されたサイトは全て、第一VPN顧客CPEエッジルータ24aに接続されたLANを目標とするパケットフローを送信してもよい。図2に関して上で述べた先行技術の従来のディフサーブネットワークがもし実行されると、CPEエッジルータ24aに接続された境界ルータ22aの出力アクセスリンク1はこれらのフロー集中によって容易に圧倒され、その結果DoSを引き起こす。しかしながら、この発明によれば、図3のディフサーブネットワーク21は、他のVPNまたは他のサイトからのトラフィックを境界ルータ22aの物理的アクセスリンク1の第2論理ポートに向ける一方で、内部VPNトラフィックを境界ルータ22aの物理的アクセスリンク1の第1論理ポート27に向けることによって、VPNの外からのDoS攻撃を防ぐ。
【0016】
所定の顧客団体外部(例えば他のVPNまたは一般のインターネット)からのトラフィックが所定の顧客団体内からのトラフィック(例えば同じ企業内の他のホストからのトラフィック)からのトラフィックに与えられたQoSを悪化させないために、この発明では内部VPNトラフィックを余分なVPNトラフィックに対して優先順序づけるか、または余分のVPNトラフィックが内部VPNトラフィックを妨害できないようにアクセスリンク能力を割り当てる。言い換えると、以下に詳細に述べるように、各境界ルータ22は各顧客のアクセスリンクに顧客のVPN内で生じたトラフィックに優先権を与える。ここで、VPNは、ネットワーク資源および/または通信がノードの集合の会員資格に基づいて分割された共有ネットワークインフラストラクチャによって接続されたノードの集合として定義される。このように内部VPNトラフィックを余分なVPNトラフィックに対して優先させることによって、論理的なトラフィック分離を達成するためにレイヤ2の多重化およびルーティングプロトコルの設定を使用して内部VPNと余分VPNの間で物理的なアクセスの分割を含むネットワーク要素およびプロトコルの特別の設定を実現する。要約すると、CPEエッジルータ、アクセスネットワーク、ネットワークに基づくVPN境界ルータ、およびエッジおよび境界ルータに組み込まれたルーティングプロトコルの設定が以下に詳細に説明するようにDoS攻撃を防ぐための高レベルのサービスを達成するために協同する。対照的に、従来のディフサーブおよびCPEエッジルータ、IPに基づくIP VPNの実行は同じVPN内のサイト用として予定されているトラフィック(例えば内部VPNトラフィック)とインターネット(例えば余分なVPNトラフィック)の他の領域から送信されたトラフィックとを分離しなかった。
【0017】
図4−8を参照して、図3に示された一般化されたネットワークアーキテクチャ20の少なくとも2つのクラスの実施例が可能である。特に、この発明に従うネットワークは図4−6を参照して以下に述べるようなCPEに基づくVPNの実施または図7および図8を参照して以下に述べるネットワークに基づくVPNの実施のいずれかとして実現される。
【0018】
まず図4を参照して、DoS攻撃に耐えるために、CPEに基づくVPNを採用した模範的なネットワークアーキテクチャ30を例示する。示されたネットワークアーキテクチャはディフサーブ可能な(Diffserv-enabled)IP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LANs)32とを含む。顧客のLAN32は、各々が一または両方のネットワーク44および46にわたって通信されたパケットを送信器および/または受信器として機能できる一以上のホストを含む。図4に示した模範的な実施例においては、顧客LAN32aおよび32bは、企業のような所定の同じ団体(例えばVPN)に属しているものと仮定する。
【0019】
各顧客LAN32はそれぞれのCPEエッジルータ34および物理的アクセスリンク35によって、それぞれのアクセスネットワーク(例えばL2アクセスネットワーク)38に接続されている。アクセスネットワーク38aおよび38bは、各々がディフサーブ可能なIP VPNネットワーク44の境界ルータ(BR)40への第一L2アクセス論理接続と、ベストエフォート型のIP公衆ネットワーク46の境界ルータ(BR)42への第二L2アクセス論理接続とを有する。内部VPNおよび余分なVPNトラフィックを異なった線で表した図4に例示されているように、VPN承知(VPN-aware)CPEエッジルータ34aおよび34bは、IP VPNに属するIPアドレスのプレフィックスを有するパケットのみをディフサーブ可能なIP VPNネットワーク44を介して送信し、他のすべてのトラフィックをベストエフォート型のIP公衆ネットワーク46を介して送信する。顧客LAN32の安全性を高めるために、CPEエッジルータ34aおよび34bはすべてのトラフィックをファイアウォール36aおよび36bのそれぞれを介してベストエフォート型のIP公衆ネットワーク46へ、またはそこからすべてのトラフィックを送信する。
【0020】
図4に例示されているネットワークアーキテクチャにおいては、IP VPNの外部から生じたDoS攻撃が内部VPNトラフィックに対して優先度を許容するためにアクセスネットワーク38a、38bの2つの論理接続を適切に利用するために境界ルータ40a−40bと42a−42bとを設定することによって防がれる。例えば、第一の設定では、ディフサーブ可能なIP VPNネットワーク44とのL2アクセス論理接続に対してベストエフォート型の公衆IPネットワーク46へのL2アクセス論理接続よりも高い優先度が割り当てられる。そのようなアクセスリンク35の優先順位をサポートするL2アクセスネットワークはイーサネット(例えばイーサネット優先度の利用)、ATM(例えばATMサービス分類の利用)および多くのフレームリレー(FR)ネットワークの実施とを含む。これらの実施はよく知られた技術を利用して提供されうる。設定によって、ディフサーブ可能なIP VPNネットワーク44の各境界ルータ40は、アクセスネットワーク38への論理接続に対するパケットの送信割合を、ベストエフォート型IP公衆ネットワーク46に対してL2アクセス論理接続が窮乏(starvation)しないように、アクセスリンクの値よりも小さい値に合わせる(shape)。代わりに、第二設定として、境界ルータ40a−40bおよび42a−42bは各L2アクセスネットワーク論理接続に対して予定されたトラフィックを特定の割合に合わせるよう個々に設定されてもよい。ここではこれら割合の合計はCPEエッジルータ34およびアクセスネットワーク38にリンクした物理的なアクセス媒体の送信能力より少ないかまたは等しい。これら2つの設定のいずれにおいても、境界ルータ40および42はパケットのDSCPマークに基づいたスケジューリングおよび優先度を実行し、IP VPNトラフィックに対するアクセスネットワーク接続に対して割り当てられた能力を合わせる。
【0021】
当業者によって理解されるように、これら代案の設定のいずれを実行するかという選択は、各設定が利点および欠点を共に有しているため、設計上の選択の問題である。例えば、最初の設定では、ネットワーク44および46間のアクセスネットワーク設定の調整が容易である。しかしながら、もしアクセスネットワーク38が厳格な優先度のみを実施すると、ディフサーブ可能なIP VPNネットワーク44からのIP VPNトラフィックはIP公衆ネットワーク46上で通信されるベストエフォート型のトラフィックを窮乏させるかもしれない。第二の設定はこの欠点をアクセスリンク能力の一部をネットワークアクセスの各タイプ(例えば内部VPNおよび余分VPNの両方)にこれらのアクセスリンク能力を割り当てることによって対処している。しかしながら、もし境界ルータ40、42が第二設定に従ってトラフィックを合わせると、ネットワーク44、46の一方に対する使用されないアクセス能力が別のネットワークへのアクセスのために使用できない。すなわち、シェイパ(shaper)は分離された境界ルータ40、42上にあるため、非作業保存(non-work-conserving)スケジュールのみが可能である。
【0022】
図5を参照して、図4に示されたネットワークアーキテクチャ内で使用されうるQoS承知CPEエッジルータ34のより詳細なブロック図が例示されている。例示されているように、CPEエッジルータ34は複数のLANポート60を含む。このLANポート60は対応する数の顧客LAN32に接続を提供する。例えば、図5において、LANポート60aはそれぞれが32ビットのIPアドレス“a.b.c.d”、“a.b.c.e”および“a.b.c.f”の多数のホスト48を含む顧客LAN32に接続されている。
【0023】
各LANポートは転送機能62に接続され、転送機能62はパケットを、LANポート60と、一以上のワイドエリアネットワーク(WAN)の物理ポート64(その一つのみが例示されている)に存在する一以上の論理ポート(LP)66との間で転送する。LP66は各々がレイヤ2のサブインターフェイスを含むが、例えば、イーサネット仮想LAN(VLAN)、FRデータリンク接続識別子(DLCI)、ATM仮想チャンネル接続(VCC)またはポイントツーポイントプロトコル(PPP)/時分割多重化(TDM)チャネルにおいて実行される高レベルのデータリンク制御(HDLC)として実施されてもよい。WAN物理ポート64は、論理ポート66からのパケットをアクセスネットワーク38の通信媒体上で多重化するためにスケジューラ68を採用し、アクセスネットワーク38から受信したパケットを転送機能70を利用したそれぞれの論理ポートへ転送する。
【0024】
CPEエッジルータ34のLANポート60が顧客LAN32からパケットを受信すると、パケットはまず分類器80を通る。分類器80は分類器テーブル82を参照して、CPEエッジルータ34によって各パケットがどのように処理されるかを決定する。図5に例示されているように、分類器テーブル82は起点アドレス(SA)、宛先アドレス(DA)、起点ポート(SP)および宛先ポート(DP)、プロトコル形式(PT)、DSCPまたはパケットのリンクからの他のフィールド、ネットワークまたは転送層ヘッダを含む多くの見出しを有してもよい。これらの見出しの一以上のパケットの値に基づいて、分類器72はパケットを処理するために使用されるCPEエッジルータ34内のポリサ(policer,P)、マーカ(M)、宛先LP、宛先LP列(queue)(Q)のための値を得る。この発明の代わりの実施例においては、宛先LPおよび宛先LP列入力の検査は分類器80よりも転送機能62によって実行されうる。
【0025】
示されているように、分類器表82内のテーブル入力値はプレフィックスまたは範囲、またはナル(“−”によって示される)を利用することによって部分的に特定またはフルに特定されてもよい。例えば、LAN32のホスト48のSAは、32ビットのIPアドレスを用いてフルに特定され、多くの宛先ホストのDAは特定のIPネットワークを識別する24ビットのIPアドレスプレフィックスを利用して特定され、多くの見出し値および一つの取り締まり値はナルである。一般に、同じポリサ、マーカおよび/またはシェイパ値、イントサーブフローに対するこれらの値はRSVP RESVメッセージから取られるのであるが、これらは異なって分類されたパケットフローに対して特定されてもよい。例えば、分類器テーブル82はポリサP1とマーカM1が、DSCP“010”でマークされたSA“a.b.c.e”を有するパケットと同様にDSCP“101”でマークされ、任意のSAからのパケットを処理するということを特定する。しかしながら、分類器テーブル82は、VPN内のDAを有するトラフィック(すなわち内部VPNトラフィック)のための異なった宛先LP値を特定することによって異なる分類を有するフローとインターネットにおけるどこかのホスト(すなわち余分なVPNトラフィック)に宛てられたトラフィックと区別する。このように、IPアドレスプレフィックス“r.s.t”、“w.x.y”および“l.m.n”のすべてがネットワーク32として同じVPNに属しているため、これらDAが合致したトラフィックは、すべての他のトラフィックがベストエフォート型のIP公衆ネットワーク46に対してLP−2 66bを介して送信される間にディフサーブ可能IP VPNネットワーク44を介して同じVPN内の他のサイトにLP−1 66aを介して送信される。
【0026】
パケットが転送される論理ポート66およびLP列は静的設定によってまたはルーティングプロトコルによって動的に決定されうる。いずれの場合においても、VPNルートは、もしCPEルータ34が同じ宛先IPアドレスのためにインストールされた両方のルートを有しているときは、インターネットルートについて常に優先されるべきである。そのような優先度は、(1)VPNルートをインストールするための内部ゲイトウエイプロトコル(IGP)(すなわちOSPFおよびIS−IS)、およびインターネットルートをインストールするための静的ルーティングすなわちEBGP、または(2)VPNルートに対して与えられたより高いローカル優先度を有する、VPNルートとインターネットルートの両方をインストールするためのEBGPの使用、を含む多くの方法の任意のもので実行されうる。
【0027】
分類後、分類器テーブル82によって示されるように、ポリサP0、P1およびマーカM0、M1、M2によって適切にパケットが取り締まられマークされたあと、テーブル検査によって特定されるように転送機能62によって論理ポート66aまたは66bのいずれかに切り替えられる。特定の論理66内で、パケットは分類器テーブル82によって特定されたLP列Q0−Q2に向けられる。LP列Q0−Q2はランダムアーリーディテクション(RED)のような利用可能なバッファ能力または閾値のいずれかに基づいて許可制御を実行する。スケジューラ90は、それから先入れ先出し(FIFO)、優先順、重み付けされたラウンドロビン(Weighted Round Robin,WRR)、重み付けされたフェアな列(WFQ)または級に基づいた列(CBQ)のような選択されたスケジューリングアルゴリズムに応じてLP列Q0−Q2を処理する。例えば、例示された実施例においては、LP−2 66aのスケジューラ90は各LP列iに関連した重み付けwiおよび論理ポート2に対する全体的なWFQスケジューラ割合r2に基づいてWFQを実施し、それによってトラフィックを割合r2に決定する。最後に、上記したように、物理的なWANポート64のスケジューラ68はアクセスネットワーク38に対して送信を制御するために各種論理ポート66を処理する。
【0028】
CPEエッジルータ34はWAN物理ポート64でアクセスネットワーク38からパケットを受信し、転送機能70を利用して、それが論理ポートに対してマップ化しているようにアクセスネットワーク38の設定によって指示される適切な論理ポート66aまたは66bにパケットを転送する。各論理ポート66において、パケットは分類器100を通過する。分類器100は分類器テーブル102にアクセスするために上で述べた同じ組の見出し内の1以上の見出しを採用している。典型的な実施においては、分類器100の結果の検査は、取締りおよびマーキングは滅多に要求されないために分類器80の検査よりも複雑ではない。このように示された実施例においては、パケットは転送機能62によって論理ポート66の分類器100から直接パケットのDSCPに基づくテーブル検査において特定されたLANポート60aの特定の列Q0−Q2に転送される。上記したように、LANポート60aの列Q0−Q2はWFQを実施し、顧客LAN32にパケットを転送する、スケジューラ102によって処理される。
【0029】
図6Aを参照して、VPN機能のないQoS承知境界ルータのより詳細なブロック図が示されている。VPN機能は例えば境界ルータ42を実行するために図4のネットワークアーキテクチャ内で使用されてもよい。示されているように、図6Aの境界ルータ42は複数の物理ポート116と、入来パケットのために転送機能112および発信パケットのためのスケジューラ114によってアクセスネットワーク38に接続された複数の論理ポート110と、論理ポート110および物理ポート116間でパケットを転送する転送機能118とを含む。複数の物理ポート116の実施によって、ネットワークコアルータに対する障害耐性接続が許容され、アクセスネットワーク38に接続された複数の論理ポートの実施は一つの論理ポートの実施によって、一つの論理ポート(すなわちLP−1 110a)をディフサーブ可能な論理ポートとして、また第二論理ポート(すなわちLP−2 110b)をベストエフォート型の論理ポートとして設定することが許容される。
【0030】
このように、アクセスネットワーク38から境界ルータ42のLP−2 110bを介してネットワークコアへ至るトラフィックに対して、LP−2 110bの分類器124はすべてのパケットを分類器テーブル126に従ってマーカM0に向ける。マーカM0はDSCP000でLP−2 110bで受信したすべてのパケットについて意見を述べ(remark)、このように、パケットをベストエフォート型のトラフィックとして特定する。対照的に、LP−1 110aの分類器120は、信頼されたCPE(例えばサービスプロバイダが管理するCPEエッジルータ34)でDSCPマーキングを既に受信した入来パケットをPHY−1 116a上の列Q0−Q2にマップ化するために分類器テーブル122を利用する。この列はQoSの異なるレベルに各々が関連している。パケットは、信頼されたCPEによって、既にマルチフィールドに分類され、マークされまた合わされて(shaped)いるため、境界ルータ42はパケットに対して意見を述べる必要はない。しかしながら、もし送信CPEエッジルータがCPEによって信頼されないのであれば、境界ルータ42はLP−1 110aで受信したパケットに対して意見を述べまた取り締まる必要があるであろう。
【0031】
分類(およびLP−2 110bで受信したトラフィックの場合においてはマーキング)に続いて、トラフィックは転送機能118によって適切な物理ポート116または論理ポート110に転送される。フルの転送検査を実行するために分類器を使用している図5のエッジルータ34と対照的に、境界ルータ42は代わりの設計を採用しており、そこでは転送機能118が出力ポート、すなわち、この例においてはLP−1 110a、LP−2 110b、またはPHY−1 116aを決定するためにパケットのDAで転送テーブル128にアクセスする。非VPNルータの場合は、転送テーブル128には、一般的なIPルーティングプロトコル(例えばボーダゲートウエイプロトコル(BGP))または静的設定(例えば、LP−2 110bでの24ビットのIPアドレスプリフィックス“d.e.f.”の関連)が存在する(populated)。代わりの実施例は転送機能62内に機能を転送するIP検査を中央に位置させうる。図6に示された模範的な実施例は境界ルータ42がネットワークコアに送られるすべてのトラフィックをコアルータに接続された物理的なポート116のただ一つに送信すると仮定する。別の実施例ではもちろん、物理ポート116を介してバランスしたトラフィックを負担させることも可能である。加えて、コアルータを削除したり、一以上のコアルータに対して一以上の論理ポートを採用する実施例も示された設計のまっすぐな拡張である。
【0032】
境界ルータ42を介したアクセスネットワーク38に通信されるトラフィックに対しては、分類器132がパケットのDSCPによって指示されたQoSに対して列Q0−Q2の適切な一つに各パケットを向けるためのパケットのDSCPを使用した分類器テーブル134にアクセスする。ディフサーブ可能な論理ポート110を購入した顧客に対しては、起点CPEが適切なDSCP値でフローを取り締まりかつマークするため、これが所望のQoSを配送する効果を有する。ベストエフォート型の顧客がより高い質のトラフィックを受けることができるが、そのような一方通行の差別されたサービスを防ぐことは分類器においてかなりの付加的な複雑さを要求し、サービスプロバイダネットワークにおける各エッジルータに対してルーティングプロトコルを介してQoS情報の分配を含む。
【0033】
図6Bを参照して、図4に示されたネットワークアーキテクチャ内においてディフサーブ可能な、およびDoSに対して保護されたVPNサービスを提供するために使用されてもよい、QoS承知(aware)VPN境界ルータ40のより詳細なブロック図が示されている。示されているように、境界ルータ40はディフサーブ可能なIP VPNネットワーク44のコアルータに接続するための複数の物理ポート226と、入来パケットのための転送機能220によってアクセスネットワーク38に接続された複数のディフサーブ可能な論理ポート224と、発信のためのスケジューラ222と、論理ポート224と物理ポート226の間のパケットを転送する転送機能228とを含む。
【0034】
境界ルータ40上で実行される各ディフサーブ可能な論理ポート224の各々は複数のVPNのそれぞれの一つを処理する。例えば、ディフサーブ可能な論理ポートをLP−A 224aは、24ビットのIPアドレスプレフィックス“a.b.c.”および“a.b.d.”を有する顧客サイトを含むVPN Aに属する顧客サイトにサービスを提供する。同様に、ディフサーブ可能な論理ポートLP−B 224bは24ビットIPアドレスプレフィックス“b.c.d.”および“b.c.e.”を有する二つの顧客サイトを含むVPN Bに属する顧客サイトにサービスを提供する。ディフサーブ可能な論理ポート224は、ベストエフォート型のIP公衆ネットワーク46に属するサイトにはサービスを提供しない。というのは、そのようなトラフィックは図4に示されるように、境界ルータ42に送られるからである。
【0035】
図6Bにさらに例示されているように、境界ルータ40の各コアに対面している物理ポート226は論理トンネル240として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバ−IPトンネル、一般ルーティングカプセル化(Generic Routing Encapsulation,GRE)トンネル、トンネルモードで作動されたIPセック(IPsec)、多重プロトコルラベル切り替え(MPLS)ラベルの積み重ねられた組、レイヤ2トンネルプロトコル(L2TP)またはナル(null)トンネルを含む各種の技術の任意のものを使用して実行されうる。そのようなトンネルは、複数のVPNに対するルーティング情報はネスト化された方法でトンネルに関連されうるという点で論理ポートと区別できる。例えば、IETF RFC2547[E. Rosen et al.,"BGP/MPLS VPNs" March 1999]に述べられているボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、一方最後のラベルが宛先VPNを決定する。
【0036】
動作において、ディフサーブ可能な論理ポート224の各々の分類器230は、それぞれの分類器テーブル232を参照してパケットのDSCP値に応じてディフサーブ可能なIP VPNネットワーク44のネットワークコアに対して境界ルータ40を介してアクセスネットワーク38からのパケットフローを分類する。示されているように、分類器テーブル232aおよび232bは各パケットに対して物理ポートPHY−1 226aで列Q0−Q2の適切な一つを決定するための見出しとしてDSCPを使用してアクセスされる。物理ポート226によって受信されたパケットは、論理ポート224の一つで各パケットに対して列Q0−Q2の適切な一つを決定するために、分類器テーブル254を参照することによって分類器250によって同様に分類される。分類(およびLP−B 224bで示される選択的な(再)マーク)の後、選択機能228は、それぞれのVPNに各々が関連するVPN転送テーブル234a−234nを参照して論理ポート224と物理ポート226との間でパケットを交換する。このように、例えば、VPN転送テーブル234aはVPN Aのための転送ルートを提供し、VPN転送テーブル234bはVPN Bに対する転送ルートを提供する。
【0037】
VPN転送テーブル234は見出しとして起点ポートとDAを使用してアクセスされる。例えば、転送テーブル234aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプレフィックス“a.b.d.”を有するDAでアドレスされたVPN A内のトラフィックはTNL−1 240aを妨害し(traverse)、TNL−240bで受信されたトラフィックはLP−A 224aに向けられる。TNL−2 240bとLP−B 224b間の同様の経路指定がVPNルーティングテーブル234bにおいて見られうる。上で議論したように、VPN転送テーブル234には静的設定またはルーティングプロトコルの動的な使用が存在する(populate)。
【0038】
転送機能178による処理のあとで、各々のパケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に収納され、DSCP000でマークされたトラフィックはQ0内に収納される。スケジューラ236および252はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0039】
図7を参照して、DoS攻撃問題に対するネットワークベースのVPNソリューションを提供する模範的なネットワークアーキテクチャ150が例示される。図7において、同様の参照符号およびトラフィック表記が図4に示されたネットワークアーキテクチャ30の特徴に対応する特徴を特定するために使用される。
【0040】
示されているように、図7のネットワークアーキテクチャ150は図4のネットワークアーキテクチャ30と同様に、ディフサーブ可能なIP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LAN)32とを含む。上記のように、顧客LAN32aおよび32bは同じVPNに属し、各々がパケットの送信器および/または受信器として機能しうる一以上のホスト48を含む。各顧客LAN32はCPEエッジルータ34と物理アクセスリンク153によってそれぞれのアクセスネットワーク(例えば、L2またはL3アクセスネットワーク)154に接続される。QoSとベストエフォートトラフィックに対して別の論理接続を有している、図4のアクセスネットワーク38と対照的に、アクセスネットワーク154は、ベストエフォート型のIP公衆ネットワーク46の境界ルータ42に対して別の論理接続を有するディフサーブ可能なIP VPNネットワーク44の境界ルータ156に接続されているだけである。このように、ネットワーク44に予定された内部VPNトラフィックとネットワーク46に予定された余分のVPNトラフィックは共に境界ルータ156を介して送信される。これはトラフィックの2クラス間の作業保存型計画は有利に許可されるということを意味する。しかしながら、その結果、境界ルータ156の複雑さは、各境界ルータ156が、顧客間で共有しうるフルのインターネット転送テーブルとともに、各付属の顧客に対する別の転送テーブルを実施しなければならないため、必ず増加する。
【0041】
図8を参照して、図7において示されたネットワークアーキテクチャ内のディフサーブ可能なおよびDoS保護されたVPNサービスを提供するために設定された、ポリサ(policer)、シェイパ(shaper)、スケジューラ、論理ポートアクセスネットワーク接続および転送テーブルがQoS承知VPN境界ルータのより詳細なブロック図が示されている。示されているように、境界ルータ156はネットワークコアルータに接続するための複数の物理ポート176と、入来パケットのための転送機能170によってアクセスネットワーク154に接続された複数のディフサーブ可能な論理ポート174と、論理ポート174と物理ポート176との間のパケットを転送する転送機能178とを含む。
【0042】
各CPEエッジルータ34はアクセスネットワーク154を介して単一のアクセスリンクのみによって境界ルータ156に接続されているため、各ネットワーク顧客サイトは一つが内部VPNトラフィックに、一つが余分なVPNトラフィックという一対のディフサーブ可能な論理ポート174によって境界ルータ156でサービスされる。例えば、ディフサーブ可能な論理ポートLP−A1 174aおよびLP−A2 174は24ビットIPアドレスプリフィックス“a.b.c.”と“a.b.d.”を有する少なくとも二つの顧客サイトを含むVPN Aに属する単一顧客サイトにサービスを提供する。示された実施例においては、LP−A1 174aはVPN Aに属するサイトへおよびそのサイトからディフサーブ可能なIP VPNネットワーク44を介して通信されたQoSトラフィックに対するアクセスを提供し、LP−A2 174bはベストエフォート型のIP公衆ネットワーク46へ、およびそこからのベストエフォートトラフィックに対するアクセスを提供する。
【0043】
図8にさらに例示されているように、境界ルータ156の各コアに面した物理ポート176は論理トンネル180として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバー−IPトンネル、一般ルーティングカプセル化(GRE)トンネル、トンネルモードにおいて操作されるIPセック、積層された多重プロトコルラベル切り替え(MPLS)ラベルの組またはナルトンネルを含む各種技術の任意のものを使用して実施されてもよい。そのようなトンネルは、多重VPNのためのルーティング情報がネスト化(nested)された方法でトンネルに関連されうるという点で、論理ポートと区別されうる。例えば、IETF RFC2547において述べられたボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、最後のラベルが宛先VPNを決定する。
【0044】
動作において、ディフサーブ可能な論理ポート174の各々にある分類器182は、境界ルータ156を介してそれぞれの分類器テーブル190を参照してパケットのDSCPに応じてネットワークコアにアクセスネットワーク154からのパケットを分類する。示されているように、分類器テーブル190aおよび190bは、各パケットに対して物理ポートPHY−1 176aの適切な列Q0−Q2の一つを決定するための見出しとしてDSCPを用いてアクセスされる。物理ポート176によって受信されたパケットは、論理ポート174の一つにおける各パケットのために列Q0−Q2の適切な一つを決定するために分類器テーブル192を参照することによって分類器198によって同様に分類される。分類(およびLP−A2 174bで示されるような選択的な(再)マークの)後、転送機能178は、各々がそれぞれのVPNおよび共有されたインターネット転送テーブル195に関連したVPN転送テーブル194a−194nを参照して論理ポート174と物理ポート176との間でパケットの交換を行う。このように、例えば、転送テーブル194aはVPN Aに対する転送ルートを提供する入口を含み、一方インターネット転送テーブル195は起点としてLP−A2またはTNL−2(すなわちインターネットアクセスに対して設定された論理インターフェイス)を特定するパケットのための転送経路を提供する入口を含む。
【0045】
転送テーブル194は見出しとして起点ポートおよびDAを使用してアクセスされる。例えば、転送テーブル194aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプリフィックスの“a.b.d.”を有するDAでアドレスされた内部VPNトラフィックはTNL−1 180aを妨害し、一方余分なVPN(すなわちインターネット)トラフィックはTNL−2 180b(これはナルトンネルとなりうる)を妨害する。転送テーブル194aは、TNL−1 180aを介して受信した内部VPNトラフィックがLP−A1 174aに向けられ、24ビットのIPアドレスプリフィックス“a.b.c.”を有するDAでアドレスされたトンネルTNL−2 180bを介したインターネットから到着したすべての他のトラフィックはLP−A1 174bに送信される。境界ルータ156(すなわちローカルDAを有するトラフィック)の他のポートで終了するトラフィックは境界ルータ156の他のポート(LP−xで示されている)に送信される。言い換えると、“ローカル”とマークされた転送テーブル194aにおける入口は境界ルータ156のインターフェイスに割り当てられたVPN(例えばa.b.c/24)に割り当てられたプリフィックス以外のアドレスプリフィックスを特定する。
【0046】
転送機能178によって処理されたあと、パケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に位置される、DSCP000でマークされたベストエフォート型のトラフィックはQ0内に位置する。スケジューラ196はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0047】
今まで述べてきたように、この発明は、VPNの外の起点からのDoS攻撃に対してそのようなフローを保護しながら、余分なVPNトラフィックにQoSを提供するための改良されたネットワークアーキテクチャを提供する。この発明はネットワークに基づくVPNサービスを使用した選択されたフローに対してDoSで保護されたQoSを、および適切に設定されたルーティングプロトコルでL2アクセスネットワークを用いたCPEエッジルータに対して接続されたベストエフォート型のインターネットサービスを提供することである。エッジにおけるディフサーブマーキングおよびネットワークに基づくVPNコアにおける処理は選択されたフローに対してQoSを提供し、一方顧客VPNの外部から生じたトラフィックがサイトのアクセス能力を超えるためにVPNネットワーク顧客サイトに対するDoSの発生を防ぐために、内部VPNおよび余分なVPNトラフィックを論理的に分割する。顧客のVPN内から生じたトラフィックからのさらなる保護さえもIETF RFC2998[Y.Bernet et al., "A Framework for Intergrated Services Operation over Diffserv Networks" Nov. 2000]に記載されているようにCPEエッジルータおよび/またはQoS承知境界ルータにおいて実施されたイントサーブポリシー制御を使用して可能になる。
【0048】
この発明のネットワークアーキテクチャは、CPEに基づく、およびネットワークに基づく実施において実現されてもよい。CPEに基づく実施であれば、CPEエッジルータおよびサービスプロバイダ境界ルータにリンクしたアクセスネットワークの設定が容易になり、全サービスプロバイダネットワークを介したディフサーブを実施することなくVPNサイトにQoSが提供される。ネットワークに基づく設定は、余分なVPNトラフィックが内部VPNトラフィックに割り当てられた余分のアクセス能力を利用することを許容する。
【0049】
この発明の各種実施例が上記で述べられたが、それらは単なる例示であって限定と理解されるべきではない。このように、この発明の広さおよび範囲は上記の模範的な実施例によって限定されるものではなく、以下のクレームおよびその均等物に応じてのみ規定されるべきである。例えば、この発明はネットワークに基づくVPNがディフサーブネットワーク内で実施された好ましい実施例に関して述べられたが、この発明はディフサーブネットワークと共に用いるものに限定されるものではなく、例えば、RFC2547において教示されているBGP/MPLS、またはRFC2917において教示されている仮想ルータの使用[K. Muthkrishnan et al., "A Core MPLS IP VPN Architecture" Sept. 2000]によって実施されてもよい、他のネットワークに基づくVPNと共に代わりに用いられてもよい。加えて、図3、4および7は各CPEエッジルータのVPNネットワークへの接続およびあるアクセスリンクによるベストエフォート型ネットワークへの接続を例示したが、冗長化のために、CPEエッジルータがVPNの各々の一以上の境界ルータおよびベストエフォート型のネットワークに論理的に接続を提供する、一以上のアクセスネットワークに多重アクセスリンクによって接続されてもよいということを理解すべきである。そのような「二重ホーム」実施においては、多重アクセスリンクはサービスプロバイダ境界ルータにおける静的経路の設立またはルーティングプロトコル(例えばEBGP)を利用したサービスプロバイダ境界ルータの動的設定を介してプライマリ/バックアップまたは負荷共有配置のいずれかにおいて使用されうる。これは、CPEエッジルータが多重転送テーブルを実施するVPNおよびインターネットのためのルーティングプロトコルの別の事例はアドレス空間にアクセスすることを要求する。そのようなCPEエッジルータの実施例は図8に例示され、関連する文章で述べられたものと同様であり、単に単一のVPNテーブルとインターネット経路のための単一のテーブルが設けられているだけである。
【図面の簡単な説明】
【0050】
【図1】RSVPを用いたフローごとのQoSを実行する従来の統合サービス(イントサーブ)ネットワークを示す図である。
【図2】各パケットヘッダーにおいてDSCPマークを用いた集合トラフィックフロー上でQoSを実行する従来の差別化されたサービス(ディフサーブ)ネットワークを例示する図であり、それゆえサービスの拒否(DoS)攻撃に対して弱い。
【図3】この発明の好ましい実施例に従った、仮想私設網(VPN)における会員資格を参照することによってアクセス能力の分割割当および/または優先順位付けを行うことによってDoS攻撃に耐えうる模範的な通信ネットワークを例示する。
【図4】DoS攻撃問題に対してCPEベースのVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図5】図4および7において例示されたネットワークアーキテクチャ内で使用されうるQoS承知(aware)CPEエッジルータのより詳細なブロック図である。
【図6A】図4および図7に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能のないQoS承知境界ルータのより詳細なブロック図である。
【図6B】図4に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能を有するQoS承知境界ルータのより詳細なブロック図である。
【図7】DoS攻撃問題に対するネットワークに基づくVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図8】図7に示されたネットワークアーキテクチャ内で使用されうるQoS承知VPN境界ルータのより詳細なブロック図である。

Claims (33)

  1. VPNに属する顧客ネットワークのための接続を有する少なくとも一つの顧客ネットワークポートと、
    少なくとも第一および第二の論理ポートが存在する少なくとも一つの物理ポートを含み、前記物理ポートは、前記第一および第二論理ポートから物理アクセスリンクへパケットの送信を計画する物理ポートスケジューラを有し、前記物理ポートスケジューラは、(1)前記第一および第二論理ポートからの発信トラフィック間でアクセスリンク能力の割り当ておよび(2)前記第二論理ポートからの発信トラフィックを介した前記第一論理ポートからの発信トラフィックのアクセスリンクの優先順位の一つによって、前記第一論理ポートからの発信トラフィックによる前記物理アクセスリンクへのアクセスを確実にし、
    VPNに属する宛先ホストに対して通信される内部VPNトラフィックとして特定されたパケットのみを前記第一論理ポートに転送し、他のパケットを前記第二論理ポートに転送する転送機能とを有する、仮想私設網(VPN)承知CPEエッジルータ。
  2. 前記顧客ネットワークポートは、複数のサービスの質の異なる一つをそれぞれが特定する複数のサービスマークのそれぞれの一つをパケットにマーク付けをする複数のマーカをさらに含み、
    少なくとも前記第一論理ポートは各々が前記複数のサービスの質のそれぞれの一つを関連する複数の列と、前記複数の列からのパケットの送信を計画する論理ポートスケジューラとを含み、
    前記転送機能は、前記複数のマーカによる前記パケットのマーキングに応じて前記複数の列の特定の一つ内にパケットを置く、請求項1に記載の仮想私設網承知CPEエッジルータ。
  3. 前記複数のマーカの各々は各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定することによってパケットにマーク付けをする、請求項2に記載の仮想私設網。
  4. 前記顧客ネットワークポートは各々が、前記顧客ネットワークに予定された発信パケットに対して複数のサービスの質の一つのそれぞれに関連した複数の列と、前記複数の列からのパケットの送信を計画する顧客ネットワークポートスケジューラとを含み、
    前記転送機能は前記パケットのマーキングに応じて、前記複数の論理ポートで受信したパケットを前記複数の列の特定の一つの中に置く、請求項1に記載の仮想私設網(VPN)承知CPEエッジルータ。
  5. 前記顧客ネットワークポートは少なくともいくつかのパケットを少なくとも部分的に起点アドレスと部分的な宛先アドレスに基づいて内部VPNトラフィックとして分類する分類器を含む、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
  6. 前記分類器は送信器ホストによって少なくとも部分的にマーキングされたことに基づいて少なくともいくつかのパケットを分類する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
  7. 前記少なくとも一つの顧客ネットワークポートはさらに少なくとも一つのポリサを含み、前記分類器はパケットを前記パケットの分類に応じて取り締まるための少なくとも一つのポリサに送信する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
  8. 前記分類器はパケットヘッダフィールドの特定の値を前記第一および第二論理ポートの特定の一つに関連づける関連した分類テーブルを有する、請求項5に記載の仮想私設網(VPN)承知エッジルータ。
  9. 前記物理ポートスケジューラはアクセスリンク能力の第一部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二部分を前記第二論理ポートからの発信トラフィックに割り当てる、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
  10. 前記物理ポートスケジューラは前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を与える、請求項1に記載の仮想私設網(VPN)承知エッジルータ。
  11. ネットワークに基づく仮想私設網(VPN)およびベストエフォート型のネットワークを実施するインターネットプロトコル(IP)ネットワークインフラストラクチャと共に使用するためのネットワークアクセスシステムであって、前記ネットワークアクセスシステムは、
    VPN承知顧客構内装置(CPE)エッジルータと、
    CPEエッジルータとネットワークに基づくVPNとの間で少なくとも第一論理接続をCPEエッジルータとベストエフォート型のネットワークとの間での第二論理接続をサポートするアクセスネットワークとを含み、
    前記VPN承知CPEエッジルータは、
    VPNに属する顧客ネットワークのための接続を有する少なくとも一つの顧客ネットワークポートと、
    少なくとも第一および第二論理ポートが存在する少なくとも一つの物理ポートを含み、前記物理ポートは、前記第一論理接続を介して前記第一論理ポートからの発信パケットを送信し、かつ前記第二論理接続を介して前記第二論理ポートから発信パケットを送信する物理ポートスケジューラを有し、前記物理ポートスケジューラは、(1)前記第一および第二論理ポートからの発信トラフィック間でのアクセスリンク能力の割り当ておよび(2)前記第二論理ポートからの発信トラフィックを介した前記第一論理ポートからの発信パケットのアクセスリンクの優先順位の一つによって前記第一論理ポートからの発信パケットによって前記物理アクセスリンクへのアクセスを保証し、
    VPNに属する宛先ホストに通信される内部VPNトラフィックとして特定されたパケットのみを前記第一論理ポートに転送し、他のパケットを前記第二論理ポートに転送するよう設定される、ネットワークアクセスシステム。
  12. 前記顧客ネットワークポートは、複数のサービスの質の異なる一つをそれぞれが特定する複数のサービスマークのそれぞれの一つをパケットにマーク付けをする複数のマーカをさらに含み、
    少なくとも前記第一論理ポートは各々が前記複数のサービスの質のそれぞれの一つを関連する複数の列と前記複数の列からのパケットの送信を計画する論理ポートスケジューラとを含み、
    前記転送機能は前記複数のマーカによる前記パケットのマーキングに応じて前記複数の列の特定の一つ内にパケットを置く、請求項11に記載のネットワークアクセスシステム。
  13. 前記複数のマーカの各々は各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定することによってパケットにマーク付けをする、請求項12に記載のネットワークアクセスシステム。
  14. 前記顧客ネットワークポートは各々が、前記顧客ネットワークに予定された発信パケットに対して複数のサービスの質の一つのそれぞれに関連した複数の列と、前記複数の列からのパケットの送信を計画する顧客ネットワークポートスケジューラとを含み、
    前記転送機能は前記パケットのマーキングに応じて、前記複数の論理ポートで受信したパケットを前記複数の列の特定の一つの中に置く、請求項11に記載のネットワークアクセスシステム。
  15. 前記顧客ネットワークポートは少なくともいくつかのパケットを少なくとも部分的に起点アドレスと部分的な宛先アドレスに基づいて内部VPNトラフィックとして分類する分類器を含む、請求項11に記載のネットワークアクセスシステム。
  16. 前記分類器は送信器ホストによって少なくとも部分的にマーキングされたことに基づいて少なくともいくつかのパケットを分類する、請求項15に記載のネットワークアクセスシステム。
  17. 前記少なくとも一つの顧客ネットワークポートはさらに少なくとも一つのポリサを含み、前記分類器はパケットを前記パケットの分類に応じて取り締まるための少なくとも一つのポリサに送信する、請求項15に記載のネットワークアクセスシステム。
  18. 前記分類器はパケットヘッダフィールドの特定の値を前記第一および第二論理ポートの特定の一つに関連づける関連した分類テーブルを有する、請求項15に記載のネットワークアクセスシステム。
  19. 前記物理ポートスケジューラはアクセスリンク能力の第一部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二部分を前記第二論理ポートからの発信トラフィックに割り当てる、請求項11に記載のネットワークアクセスシステム。
  20. 前記物理ポートスケジューラは前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を与える、請求項11に記載のネットワークアクセスシステム。
  21. 前記アクセスネットワークは非同期転送モード、イーサネットおよびフレームリレーの一つで実施されるL2アクセスネットワークを含む、請求項11に記載のネットワークアクセスシステム。
  22. ネットワークに基づく仮想私設網(VPN)およびベストエフォート型のネットワークを実施するインターネットプロトコル(IP)ネットワークインフラストラクチャをさらに含む、請求項11に記載のネットワークアクセスシステム。
  23. 前記ネットワークに基づくVPNは差別されたサービスドメインにおいて実施される、請求項22に記載のネットワークアクセスシステム。
  24. 送信器ホストから受信器ホストへデータパケットを通信する方法であって、前記方法は、
    アクセスネットワークのアクセスリンクに接続された物理ポートの少なくとも第一および第二論理ポートを提供するステップと、
    VPNに属する顧客ネットワークのための接続を有する顧客ネットワークポートで、一以上のパケットフローを受信するステップと、
    VPNに属する宛先ホストに対して通信される内部VPNトラフィックとして、または余分なVPNトラフィックとして前記一以上のパケットフローにおけるパケットを特定するステップと、
    内部VPNトラフィックとして特定されたパケットのみを物理ポートの第一論理ポートに転送し、余分なVPNトラフィックとして特定されたパケットを前記第二論理ポートに転送するステップと、
    (1)前記第一および第二論理ポートからの発信トラフィック間でアクセスリンク能力を割り当てるのと、(2)前記第二論理ポートからの発信トラフィックを介して前記第一論理ポートからの発信トラフィックのアクセスリンクの優先順位付けの一つによって、前記第一論理ポートからの発信トラフィックによるアクセスリンクへのアクセスを保護するステップとを含む、方法。
  25. 前記方法はさらに、各々が複数のサービスの質の異なる一つを特定する複数のサービスマーキングのそれぞれの一つで前記顧客ネットワークポートのパケットをマーキングするステップを含み、
    前記転送ステップは、前記パケットのマーキングに応じて前記第一論理ポートで複数の列の特定の一つにパケットを置くことを含み、
    前記方法はさらに、前記複数のサービスの質を達成するために前記複数の列からのパケットの送信を計画するステップを含む、請求項24に記載の方法。
  26. 前記マーキングは各マークされたパケットのインターネットプロトコルヘッダに差別されたサービスコードポイント(DSCP)を設定するステップを含む、請求項25に記載の方法。
  27. 前記転送ステップは前記複数の論理ポートで受信したパケットを、各々が前記顧客ネットワークに予定された発信パケットのための前記複数のサービスの質のそれぞれの一つに関連するように、前記顧客ネットワークポートで複数の列の特定の一つに置くステップを含み、前記置くステップは前記パケットのマーキングに応じて実行され、
    前記方法はさらに、前記複数のサービスの質を達成するために前記複数の列からパケットの送信を計画するステップをさらに含む、請求項24に記載の方法。
  28. 前記顧客ネットワークポートにおいて、少なくとも部分的に起点アドレスおよび部分的に宛先アドレスに基づいて内部VPNトラフィックとして、少なくともいくつかのパケットを分類するステップをさらに含む、請求項24に記載の方法。
  29. 送信ホストによるマーキングに少なくとも部分的に基づいて、少なくともいくつかのパケットを分類するステップをさらに含む、請求項28に記載の方法。
  30. 前記パケットの分類に応じて前記顧客ネットワークでパケットを取り締まる、請求項28に記載の方法。
  31. 前記分類は、パケットヘッダフィールドの特定の値を前記第一および第二の論理ポートの特定の一つに関連づける分類テーブルを参照して、前記第一および第二論理ポートの一つをパケットのための出力ポートとして選択するステップを含む、請求項28に記載の方法。
  32. 前記第一論理ポートからの発信トラフィックによってアクセスリンクに対するアクセスを保護するステップは、アクセスリンク能力の第一の部分を前記第一論理ポートからの発信トラフィックに割り当て、アクセスリンク能力の第二の部分を前記第二論理ポートからの発信トラフィックに割り当てるステップを含む、請求項24に記載の方法。
  33. 前記第一論理ポートからの発信トラフィックによってアクセスリンクに対するアクセスを保護するステップは、前記第一論理ポートからの発信トラフィックに前記第二論理ポートからの発信トラフィックよりも高いアクセスリンク優先権を認めるステップを含む、請求項24に記載の方法。
JP2002573395A 2001-03-20 2002-03-20 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ Withdrawn JP2004529546A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US27695501P 2001-03-20 2001-03-20
US27692301P 2001-03-20 2001-03-20
US27695301P 2001-03-20 2001-03-20
US10/023,331 US6778498B2 (en) 2001-03-20 2001-12-17 Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
PCT/US2002/008637 WO2002076050A1 (en) 2001-03-20 2002-03-20 Virtual private network (vpn)-aware customer premises equipment (cpe) edge router

Publications (1)

Publication Number Publication Date
JP2004529546A true JP2004529546A (ja) 2004-09-24

Family

ID=27487201

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002573395A Withdrawn JP2004529546A (ja) 2001-03-20 2002-03-20 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ

Country Status (8)

Country Link
US (2) US6778498B2 (ja)
EP (1) EP1371196A4 (ja)
JP (1) JP2004529546A (ja)
CN (1) CN1502195A (ja)
BR (1) BR0208222A (ja)
CA (1) CA2441750A1 (ja)
MX (1) MXPA03008472A (ja)
WO (1) WO2002076050A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8718092B2 (en) 2008-08-28 2014-05-06 Kddi Corporation Communication network system, network switch and bandwidth control, for site-to-site communications
JP2016508682A (ja) * 2013-01-29 2016-03-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成

Families Citing this family (174)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7110407B1 (en) 1999-09-23 2006-09-19 Netlogic Microsystems, Inc. Method and apparatus for performing priority encoding in a segmented classification system using enable signals
US7487200B1 (en) * 1999-09-23 2009-02-03 Netlogic Microsystems, Inc. Method and apparatus for performing priority encoding in a segmented classification system
US7032023B1 (en) 2000-05-16 2006-04-18 America Online, Inc. Throttling electronic communications from one or more senders
US7711790B1 (en) * 2000-08-24 2010-05-04 Foundry Networks, Inc. Securing an accessible computer system
US7725587B1 (en) * 2000-08-24 2010-05-25 Aol Llc Deep packet scan hacker identification
JP3654168B2 (ja) * 2000-09-28 2005-06-02 日本電気株式会社 インタフェース識別装置、インタフェース識別方法および、mpls−vpnサービスネットワーク
US20050088977A1 (en) * 2000-12-14 2005-04-28 Nortel Networks Limited Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment
US7039720B2 (en) * 2001-01-25 2006-05-02 Marconi Intellectual Property (Ringfence) , Inc. Dense virtual router packet switching
US6778498B2 (en) * 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US20030115480A1 (en) 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US7599351B2 (en) * 2001-03-20 2009-10-06 Verizon Business Global Llc Recursive query for communications network data
US20030206518A1 (en) * 2001-05-25 2003-11-06 Yik James Ching-Shau Public access separation in a virtual networking environment
US7756957B2 (en) * 2001-06-01 2010-07-13 Fujitsu Limited End-to-end governed data transfers in a network
US7152115B2 (en) * 2001-07-12 2006-12-19 Nortel Networks Limited Virtual private networks
WO2003010669A1 (en) * 2001-07-24 2003-02-06 Barry Porozni Wireless access system, method, signal, and computer program product
ATE489813T1 (de) * 2001-09-20 2010-12-15 Nokia Siemens Networks Gmbh Verteilte übermittlung von informationen in einem verbindungslosen, paketorientierten kommunikationsnetz
US7124183B2 (en) * 2001-09-26 2006-10-17 Bell Security Solutions Inc. Method and apparatus for secure distributed managed network information services with redundancy
US8200773B2 (en) * 2001-09-28 2012-06-12 Fiberlink Communications Corporation Client-side network access policies and management applications
US20030074342A1 (en) * 2001-10-11 2003-04-17 Curtis Donald S. Customer information management infrastructure and methods
US7580408B2 (en) * 2001-11-21 2009-08-25 Alcatel Lucent Configurable packet processor
US7236492B2 (en) * 2001-11-21 2007-06-26 Alcatel-Lucent Canada Inc. Configurable packet processor
US7373401B1 (en) * 2001-12-31 2008-05-13 Nortel Networks Limited Label switched path OAM wrapper
EP1335535A1 (en) * 2002-01-31 2003-08-13 BRITISH TELECOMMUNICATIONS public limited company Network service selection
SE0200640D0 (sv) * 2002-02-28 2002-02-28 Ericsson Telefon Ab L M Arrangement and method for routing in virtual private network
FI20020673A0 (fi) * 2002-04-09 2002-04-09 Nokia Corp Ajantasaisen pakettidatan pakettien ajoittaminen
US7072657B2 (en) * 2002-04-11 2006-07-04 Ntt Docomo, Inc. Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks
US7116995B2 (en) * 2002-05-31 2006-10-03 Nokia Corporation System and method for operating intravendor and intervendor messaging systems
DE10233954B4 (de) * 2002-07-25 2008-02-28 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Kommunikationsanordnung und Kommunikationseinrichtung zum Übermitteln von Datenzellen über ein paketorientiertes Kommunikationsnetz
US7327675B1 (en) * 2002-08-01 2008-02-05 At&T Corp. Fairness of capacity allocation for an MPLS-based VPN
US8737406B1 (en) * 2002-08-01 2014-05-27 Cisco Technology, Inc. Method for transmitting IP routes to prioritize convergence
US8438302B2 (en) * 2002-08-22 2013-05-07 International Business Machines Corporation Splitting and sharing routing information among several routers acting as a single border router
US7289500B1 (en) 2003-07-17 2007-10-30 Novell, Inc. Method and system for reliable multicast data transmission
DE60318222T2 (de) * 2002-09-09 2008-04-10 Nortel Networks Ltd., St. Laurent Netzwerk und Verfahren zur Bereitstellung von Schicht-2 virtuellen privaten Netwerken auf Basis von vermittelten virtuellen Verbindungen
US20040075270A1 (en) * 2002-10-17 2004-04-22 Lee Passarella Annotation apparatus for written material
US6954794B2 (en) * 2002-10-21 2005-10-11 Tekelec Methods and systems for exchanging reachability information and for switching traffic between redundant interfaces in a network cluster
US7596629B2 (en) * 2002-11-21 2009-09-29 Cisco Technology, Inc. System and method for interconnecting heterogeneous layer 2 VPN applications
US7782885B1 (en) * 2002-12-10 2010-08-24 Cisco Technology, Inc. System and method for queue management using queue sets
US20040196843A1 (en) * 2003-02-20 2004-10-07 Alcatel Protection of network infrastructure and secure communication of control information thereto
US7292542B2 (en) * 2003-03-05 2007-11-06 At&T Bls Intellectual Property, Inc. Method for traffic engineering of connectionless virtual private network services
JP4157409B2 (ja) * 2003-03-31 2008-10-01 富士通株式会社 仮想パス構築装置および仮想パス構築方法
US7386630B2 (en) * 2003-04-30 2008-06-10 Nokia Corporation Using policy-based management to support Diffserv over MPLS network
US7558844B1 (en) * 2003-05-06 2009-07-07 Juniper Networks, Inc. Systems and methods for implementing dynamic subscriber interfaces
US20040230695A1 (en) * 2003-05-15 2004-11-18 Anschutz Thomas Arnold Methods, systems, and computer program products for processing traffic in a communication network based on registration of an access session and/or application flow and specifying a treatment for the access session and/or application flow traffic
DE10324603A1 (de) * 2003-05-30 2004-12-23 Siemens Ag Verfahren zur Weitergabe von IP-Paketen an eine externe Steuerkomponente eines Netzknotens
US7493393B2 (en) * 2003-06-23 2009-02-17 Nokia Corporation Apparatus and method for security management in wireless IP networks
US7313605B2 (en) * 2003-07-03 2007-12-25 At&T Corp. Externally controlled reachability in virtual private networks
US7075933B2 (en) * 2003-08-01 2006-07-11 Nortel Networks, Ltd. Method and apparatus for implementing hub-and-spoke topology virtual private networks
US20050086492A1 (en) * 2003-08-15 2005-04-21 Fiberlink Communications Corporation System, method, apparatus and computer program product for facilitating digital communications
EP1517482A1 (en) * 2003-09-18 2005-03-23 Hewlett-Packard Development Company, L.P. Discovery of virtual private networks
US20050066036A1 (en) * 2003-09-19 2005-03-24 Neil Gilmartin Methods, systems and computer program products for facilitating the design and analysis of virtual networks based on total hub value
US7624187B1 (en) 2003-09-19 2009-11-24 At&T Intellectual Property, I, L.P. Method, system and computer program product for providing Ethernet VLAN capacity requirement estimation
US7640359B1 (en) * 2003-09-19 2009-12-29 At&T Intellectual Property, I, L.P. Method, system and computer program product for facilitating the design and assignment of ethernet VLANs
US20050071494A1 (en) * 2003-09-30 2005-03-31 Rundquist William A. Method and apparatus for providing fixed bandwidth communications over a local area network
US9614772B1 (en) * 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US7349985B2 (en) * 2003-11-24 2008-03-25 At&T Delaware Intellectual Property, Inc. Method, system and computer program product for calculating a VLAN latency measure
US7603463B2 (en) * 2003-12-12 2009-10-13 Nortel Networks Limited Method and apparatus for allocating processing capacity of system processing units in an extranet gateway
US7730137B1 (en) 2003-12-22 2010-06-01 Aol Inc. Restricting the volume of outbound electronic messages originated by a single entity
US8718057B1 (en) * 2004-01-20 2014-05-06 Nortel Networks Limited Ethernet LAN service enhancements
CN1947382A (zh) * 2004-02-25 2007-04-11 松下电器产业株式会社 接入网络系统、用户台设备以及网络终端设备
US7633961B2 (en) * 2004-04-07 2009-12-15 Alcatel Lucent Edge-router scaling for BGP peering with virtual private routed networks (VPRN)
US8239452B2 (en) * 2004-05-01 2012-08-07 Microsoft Corporation System and method for discovering and publishing of presence information on a network
US7698307B2 (en) 2004-05-01 2010-04-13 Microsoft Corporation System and method for synchronizing between a file system and presence of contacts on a network
US7607096B2 (en) * 2004-05-01 2009-10-20 Microsoft Corporation System and method for a user interface directed to discovering and publishing presence information on a network
US20060013231A1 (en) * 2004-06-22 2006-01-19 Sbc Knowledge Ventures, Lp Consolidated ethernet optical network and apparatus
US7684322B2 (en) * 2004-07-01 2010-03-23 Nortel Networks Limited Flow admission control in an IP network
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
ATE456886T1 (de) * 2004-07-29 2010-02-15 Telecom Italia Spa Verfahren und system zur fehler- und leistungsfähigkeitsbehebung in computernetzen, diesbezügliches netz und computerprogrammprodukt dafür
CN1294728C (zh) * 2004-08-05 2007-01-10 华为技术有限公司 边缘路由器提供服务质量保证的方法及系统
US7366182B2 (en) * 2004-08-13 2008-04-29 Qualcomm Incorporated Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain
US7725589B2 (en) * 2004-08-16 2010-05-25 Fiberlink Communications Corporation System, method, apparatus, and computer program product for facilitating digital communications
US7958208B2 (en) * 2004-09-22 2011-06-07 At&T Intellectual Property I, L.P. System and method for designing a customized switched metro Ethernet data network
US7545815B2 (en) * 2004-10-18 2009-06-09 At&T Intellectual Property Ii, L.P. Queueing technique for multiple sources and multiple priorities
KR100645517B1 (ko) * 2004-12-16 2006-11-15 삼성전자주식회사 가입자 등급에 따른 브이오아이피 호 처리 방법 및 그시스템
US20060174035A1 (en) * 2005-01-28 2006-08-03 At&T Corp. System, device, & method for applying COS policies
US7599286B2 (en) * 2005-03-01 2009-10-06 Telefonaktiebolaget L M Ericsson (Publ) System and method for achieving path symmetry in an internet protocol (IP) based network
US8189481B2 (en) * 2005-04-08 2012-05-29 Avaya, Inc QoS-based routing for CE-based VPN
US7894432B2 (en) * 2005-04-09 2011-02-22 Audiocodes, Inc. Apparatus and method creating virtual routing domains in an internet protocol network
US20060248588A1 (en) * 2005-04-28 2006-11-02 Netdevices, Inc. Defending Denial of Service Attacks in an Inter-networked Environment
US7751331B1 (en) * 2005-05-09 2010-07-06 Cisco Technology, Inc. Technique for policy conflict resolution using priority with variance
US7639669B2 (en) * 2005-06-01 2009-12-29 Alcatel-Lucent Usa Inc. Controlling communication path reservations in a packet network with non-homogeneous nodes
US7636305B1 (en) 2005-06-17 2009-12-22 Cisco Technology, Inc. Method and apparatus for monitoring network traffic
US8130767B2 (en) * 2005-06-17 2012-03-06 Cisco Technology, Inc. Method and apparatus for aggregating network traffic flows
US20060291446A1 (en) * 2005-06-24 2006-12-28 Donald Caldwell Systems, methods, and devices for managing routing
US8228818B2 (en) * 2005-06-24 2012-07-24 At&T Intellectual Property Ii, Lp Systems, methods, and devices for monitoring networks
US8533308B1 (en) 2005-08-12 2013-09-10 F5 Networks, Inc. Network traffic management through protocol-configurable transaction processing
US20070055752A1 (en) * 2005-09-08 2007-03-08 Fiberlink Dynamic network connection based on compliance
US20070078955A1 (en) * 2005-09-15 2007-04-05 Xelor Software Pty Ltd Service quality management in packet networks
US8260922B1 (en) * 2005-09-16 2012-09-04 Cisco Technology, Inc. Technique for using OER with an ECT solution for multi-homed sites
CN1859369B (zh) * 2005-10-09 2010-07-14 华为技术有限公司 实现网络连接服务建立的方法及装置
US7738401B2 (en) * 2005-10-20 2010-06-15 At&T Intellectual Property I, L.P. System and method for overlaying a hierarchical network design on a full mesh network
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US7613120B2 (en) * 2005-12-30 2009-11-03 Intel Corporation Dynamic wide area network packet routing
US7593393B2 (en) * 2006-01-20 2009-09-22 Sbc Knowledge Ventures, L.P. Voice over internet protocol multi-routing with packet interleaving
US7693059B2 (en) * 2006-01-30 2010-04-06 International Business Machines Corporation Advanced VPN routing
US8565088B1 (en) 2006-02-01 2013-10-22 F5 Networks, Inc. Selectively enabling packet concatenation based on a transaction boundary
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
JP4706542B2 (ja) * 2006-04-10 2011-06-22 株式会社日立製作所 通信装置
US8495181B2 (en) * 2006-08-03 2013-07-23 Citrix Systems, Inc Systems and methods for application based interception SSI/VPN traffic
US7580417B2 (en) * 2006-08-07 2009-08-25 Cisco Technology, Inc. Method and apparatus for load balancing over virtual network links
JP4676403B2 (ja) * 2006-08-30 2011-04-27 株式会社日立製作所 通信装置及び通信システム
US8978125B2 (en) * 2006-10-19 2015-03-10 Oracle International Corporation Identity controlled data center
US9135444B2 (en) * 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US8370915B2 (en) * 2006-10-19 2013-02-05 Oracle International Corporation Identity enabled virtualized edge processing
US7583677B1 (en) 2006-11-03 2009-09-01 Juniper Networks, Inc. Dynamic flow-based multi-path load balancing with quality of service assurances
US7738370B2 (en) * 2006-12-18 2010-06-15 Nokia Corporation Method, network element and modules therefore, and computer program for use in prioritizing a plurality of queuing entities
WO2008085201A2 (en) 2006-12-29 2008-07-17 Prodea Systems, Inc. Managed file backup and restore at remote storage locations through multi-services gateway device at user premises
US9602880B2 (en) 2006-12-29 2017-03-21 Kip Prod P1 Lp Display inserts, overlays, and graphical user interfaces for multimedia systems
US11783925B2 (en) 2006-12-29 2023-10-10 Kip Prod P1 Lp Multi-services application gateway and system employing the same
US11316688B2 (en) 2006-12-29 2022-04-26 Kip Prod P1 Lp Multi-services application gateway and system employing the same
US20170344703A1 (en) 2006-12-29 2017-11-30 Kip Prod P1 Lp Multi-services application gateway and system employing the same
US9569587B2 (en) 2006-12-29 2017-02-14 Kip Prod Pi Lp Multi-services application gateway and system employing the same
US8117338B2 (en) * 2007-01-17 2012-02-14 Rockstar Bidco, LP Border gateway protocol procedures for multi-protocol label switching and layer-2 virtual private networks using Ethernet-based tunnels
WO2008089305A2 (en) * 2007-01-17 2008-07-24 Nortel Networks Limited Border gateway protocol procedures for mpls and layer-2 vpn using ethernet-based tunnels
US9106606B1 (en) 2007-02-05 2015-08-11 F5 Networks, Inc. Method, intermediate device and computer program code for maintaining persistency
US8077607B2 (en) * 2007-03-14 2011-12-13 Cisco Technology, Inc. Dynamic response to traffic bursts in a computer network
US8077721B2 (en) * 2007-03-15 2011-12-13 Cisco Technology, Inc. Methods and apparatus providing two stage tunneling
US8156516B2 (en) * 2007-03-29 2012-04-10 Emc Corporation Virtualized federated role provisioning
US7852789B2 (en) * 2007-06-20 2010-12-14 At&T Intellectual Property Ii, L.P. Methods, systems, and/or devices for providing network access
CN101360037B (zh) * 2007-08-03 2010-12-08 中国移动通信集团公司 数据业务网络系统及数据业务的访问方法
US8649386B2 (en) * 2007-09-11 2014-02-11 Prodea Systems, Inc Multi-interface wireless adapter and network bridge
CN101399766B (zh) * 2007-09-28 2011-05-11 中国移动通信集团公司 数据业务的网络系统及访问方法
WO2009058062A1 (en) * 2007-11-02 2009-05-07 Telefonaktiebolaget Lm Ericsson (Publ) An improved mechanism for use in a virtual private network (vpn)
US8503334B2 (en) * 2007-12-14 2013-08-06 Level 3 Communications, Llc System and method for providing network services over shared virtual private network (VPN)
US9455924B2 (en) * 2008-01-02 2016-09-27 Media Network Services As Device and system for selective forwarding
JP5088145B2 (ja) * 2008-01-10 2012-12-05 富士通株式会社 パケット中継装置、制御方法およびパケット中継プログラム
US8743740B2 (en) * 2008-04-08 2014-06-03 At&T Intellectual Property I, L.P. Methods and apparatus to implement a partial mesh virtual private local area network service
WO2010009773A1 (en) * 2008-07-25 2010-01-28 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for network configuration
US8289978B2 (en) * 2008-10-15 2012-10-16 At&T Intellectual Property I, Lp Broadcast interactive television system
US7916735B2 (en) 2008-12-02 2011-03-29 At&T Intellectual Property I, L.P. Method for applying macro-controls onto IP networks using intelligent route indexing
US8201237B1 (en) 2008-12-10 2012-06-12 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
US20100145760A1 (en) * 2008-12-10 2010-06-10 William Cambre Methods and apparatus to process network access service orders
US9137209B1 (en) 2008-12-10 2015-09-15 Amazon Technologies, Inc. Providing local secure network access to remote services
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US9106539B2 (en) 2009-03-26 2015-08-11 At&T Intellectual Property I, L.P. User-controlled network configuration for handling multiple classes of service
US8326976B2 (en) * 2009-06-30 2012-12-04 Alcatel Lucent Configuring application management reporting in a communication network
US8401035B2 (en) * 2009-07-14 2013-03-19 Level 3 Communications, Llc One way SRS information transmission method
WO2011030889A1 (ja) * 2009-09-14 2011-03-17 日本電気株式会社 通信システム、転送ノード、経路管理サーバ、通信方法およびプログラム
US8346976B2 (en) * 2009-11-25 2013-01-01 T-Mobile Usa, Inc. Secured registration of a home network device
US8995301B1 (en) 2009-12-07 2015-03-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing cost information
US9036504B1 (en) 2009-12-07 2015-05-19 Amazon Technologies, Inc. Using virtual networking devices and routing information to associate network addresses with computing nodes
US7937438B1 (en) 2009-12-07 2011-05-03 Amazon Technologies, Inc. Using virtual networking devices to manage external connections
US9203747B1 (en) 2009-12-07 2015-12-01 Amazon Technologies, Inc. Providing virtual networking device functionality for managed computer networks
US8411667B2 (en) 2009-12-15 2013-04-02 At&T Intellectual Property I, L.P. Methods, apparatus and articles of manufacture to manipulate packet routing
US7991859B1 (en) 2009-12-28 2011-08-02 Amazon Technologies, Inc. Using virtual networking devices to connect managed computer networks
US7953865B1 (en) 2009-12-28 2011-05-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing communications between connected computer networks
US8224971B1 (en) * 2009-12-28 2012-07-17 Amazon Technologies, Inc. Using virtual networking devices and routing information to initiate external actions
US8630297B2 (en) * 2010-02-08 2014-01-14 Force10 Networks, Inc. Method and apparatus for the distribution of network traffic
US8611251B2 (en) * 2010-02-08 2013-12-17 Force10 Networks, Inc. Method and apparatus for the distribution of network traffic
US8565230B2 (en) * 2010-09-10 2013-10-22 Avaya Inc. Shared virtual tunnels supporting Mac learning in communication networks
US9813257B2 (en) 2010-09-10 2017-11-07 Extreme Networks, Inc. Access network dual path connectivity
EP2437470A1 (en) * 2010-09-30 2012-04-04 British Telecommunications Public Limited Company Network element and method for deriving quality of service data from a distributed hierarchical naming system
US8843600B1 (en) 2010-09-30 2014-09-23 Amazon Technologies, Inc. Providing private access to network-accessible services
GB2485148B (en) * 2010-11-01 2016-12-21 Media Network Services Network routing
US8699499B2 (en) 2010-12-08 2014-04-15 At&T Intellectual Property I, L.P. Methods and apparatus to provision cloud computing network elements
US8776256B2 (en) 2011-04-29 2014-07-08 At&T Intellectual Property I, L.P. System and method for controlling multicast geographic distribution
US9137202B2 (en) 2011-06-09 2015-09-15 At&T Intellectual Property I, L.P. System and method for dynamically adapting network delivery modes of content
US8990342B2 (en) 2011-08-04 2015-03-24 Wyse Technology L.L.C. System and method for client-server communication facilitating utilization of network-based procedure call
CN102547900B (zh) * 2011-12-29 2015-07-22 深圳市思达仪表有限公司 集中抄表的组网方法
GB2520451B (en) 2012-03-20 2015-09-30 Media Network Services As Data distribution system
US9083650B2 (en) * 2012-10-16 2015-07-14 Cable Television Laboratories, Inc. Overlay network
WO2014202021A1 (en) * 2013-06-20 2014-12-24 Huawei Technologies Co., Ltd. A method and network apparatus of establishing path
JP6127857B2 (ja) * 2013-09-17 2017-05-17 富士通株式会社 トラフィック制御装置
US9860166B1 (en) * 2013-12-18 2018-01-02 Palo Alto Networks, Inc. Stateful packet inspection and classification
US9986019B2 (en) 2015-06-24 2018-05-29 At&T Intellectual Property I, L.P. Intelligent route management for diverse ecosystems
US10091168B2 (en) * 2015-12-27 2018-10-02 T-Mobile Usa, Inc. Wireless access point security
US10684877B2 (en) * 2015-12-30 2020-06-16 Incognito Software Systems Inc. Virtualized customer premises equipment
CN106302226B (zh) * 2016-10-21 2019-08-30 中国电子科技集团公司第二十八研究所 一种QoS感知的服务动态调度方法
US11025528B1 (en) * 2018-08-08 2021-06-01 Cox Communications, Inc. Dynamic virtual network function placement for optimal border gateway protocol support
US11671451B1 (en) * 2019-08-05 2023-06-06 Amazon Technologies, Inc. Server/client resolution for link level security protocol
CN111654432B (zh) * 2020-05-29 2022-05-17 中国联合网络通信集团有限公司 物联网系统以及业务处理方法
US11496556B1 (en) 2021-04-26 2022-11-08 Cisco Technology, Inc. Service provider selection for application-driven routing
CN113691897B (zh) * 2021-08-27 2023-05-12 烽火通信科技股份有限公司 一种端到端逆向创建eoo业务的方法与装置

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4924500A (en) 1989-05-17 1990-05-08 Northern Telecom Limited Carrier independent network services
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5768271A (en) 1996-04-12 1998-06-16 Alcatel Data Networks Inc. Virtual private network
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5918019A (en) 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
US6178505B1 (en) 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6173399B1 (en) 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6339595B1 (en) 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6079020A (en) 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
EP1005780B1 (en) * 1998-06-19 2012-05-02 Juniper Networks, Inc. Method and system for encapsulating/decapsulating data on a per channel basis in hardware
US20020097725A1 (en) * 1998-07-27 2002-07-25 Nec Corporation Resource and protocol management for virtual private networks within multiprocessor ATM switches
US6912232B1 (en) 1998-10-19 2005-06-28 At&T Corp. Virtual private network
US6826616B2 (en) * 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7307990B2 (en) * 1999-01-19 2007-12-11 Cisco Technology, Inc. Shared communications network employing virtual-private-network identifiers
US6564261B1 (en) 1999-05-10 2003-05-13 Telefonaktiebolaget Lm Ericsson (Publ) Distributed system to intelligently establish sessions between anonymous users over various networks
US6614800B1 (en) * 1999-09-02 2003-09-02 International Business Machines Corporation Method and system for virtual private network administration channels
US6532088B1 (en) * 1999-09-10 2003-03-11 Alcatel System and method for packet level distributed routing in fiber optic rings
US6738910B1 (en) 1999-10-28 2004-05-18 International Business Machines Corporation Manual virtual private network internet snoop avoider
US6473863B1 (en) 1999-10-28 2002-10-29 International Business Machines Corporation Automatic virtual private network internet snoop avoider
JP2001237876A (ja) 2000-02-21 2001-08-31 Nec Corp Ip仮想プライベート網の構築方法及びip仮想プライベート網
US6621793B2 (en) * 2000-05-22 2003-09-16 Telefonaktiebolaget Lm Ericsson (Publ) Application influenced policy
JP4099930B2 (ja) 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
EP2288083B1 (en) * 2000-06-16 2013-07-31 Fujitsu Limited Communication device having VPN accomodation function
US7007299B2 (en) 2000-08-30 2006-02-28 Citibank, N.A. Method and system for internet hosting and security
US7315554B2 (en) * 2000-08-31 2008-01-01 Verizon Communications Inc. Simple peering in a transport network employing novel edge devices
US20020032793A1 (en) 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US20020038339A1 (en) 2000-09-08 2002-03-28 Wei Xu Systems and methods for packet distribution
US7272643B1 (en) * 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US6822940B1 (en) * 2000-09-29 2004-11-23 Cisco Technology, Inc. Method and apparatus for adapting enforcement of network quality of service policies based on feedback about network conditions
US20020042875A1 (en) * 2000-10-11 2002-04-11 Jayant Shukla Method and apparatus for end-to-end secure data communication
JP4183379B2 (ja) * 2000-11-27 2008-11-19 富士通株式会社 ネットワーク及びエッジルータ
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US20050088977A1 (en) * 2000-12-14 2005-04-28 Nortel Networks Limited Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment
US20020075901A1 (en) 2000-12-19 2002-06-20 Bruce Perlmutter Bandwidth management for tunneling servers
US6914883B2 (en) * 2000-12-28 2005-07-05 Alcatel QoS monitoring system and method for a high-speed DiffServ-capable network element
US6775235B2 (en) 2000-12-29 2004-08-10 Ragula Systems Tools and techniques for directing packets over disparate networks
US7120682B1 (en) * 2001-03-08 2006-10-10 Cisco Technology, Inc. Virtual private networks for voice over networks applications
US6778498B2 (en) 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US7356596B2 (en) 2001-12-07 2008-04-08 Architecture Technology Corp. Protecting networks from access link flooding attacks
US7684321B2 (en) 2001-12-21 2010-03-23 Hewlett-Packard Development Company, L.P. System for supply chain management of virtual private network services
US7343619B2 (en) 2002-03-16 2008-03-11 Trustedflow Systems, Inc. Trusted flow and operation control method
US20040223497A1 (en) 2003-05-08 2004-11-11 Onvoy Inc. Communications network with converged services
US20040266420A1 (en) 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
US7366181B2 (en) 2003-09-06 2008-04-29 Fujitsu Limited Virtual private network (VPN) with channelized ethernet over sonet (EoS) interface and method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8718092B2 (en) 2008-08-28 2014-05-06 Kddi Corporation Communication network system, network switch and bandwidth control, for site-to-site communications
JP2016508682A (ja) * 2013-01-29 2016-03-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成
US9942159B2 (en) 2013-01-29 2018-04-10 Telefonaktiebolaget Lm Ericsson Method and arrangement for QOS differentiation of VPN traffic across domains

Also Published As

Publication number Publication date
BR0208222A (pt) 2004-03-02
EP1371196A4 (en) 2004-11-17
CN1502195A (zh) 2004-06-02
MXPA03008472A (es) 2004-06-30
WO2002076050A1 (en) 2002-09-26
US20030112755A1 (en) 2003-06-19
US6778498B2 (en) 2004-08-17
US20040208122A1 (en) 2004-10-21
CA2441750A1 (en) 2002-09-26
EP1371196A1 (en) 2003-12-17
US7447151B2 (en) 2008-11-04

Similar Documents

Publication Publication Date Title
US9009812B2 (en) System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US8543734B2 (en) System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks
US7447151B2 (en) Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US20040223499A1 (en) Communications networks with converged services
US7953885B1 (en) Method and apparatus to apply aggregate access control list/quality of service features using a redirect cause
US6940862B2 (en) Apparatus and method for classifying packets
JP2013009406A (ja) インターネットにアクセスする加入者への所望のサービス・ポリシーの提供
CN100518138C (zh) 实现虚拟专用网的方法
JP2004528756A (ja) サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置
JP2004533149A (ja) IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置
Cisco VoIP Interoperability with Cisco Express Forwarding and Policy Based Routing
Cisco Introduction to Cisco MPLS VPN Technology
Cisco Introduction to Cisco MPLS VPN Technology
AU2002242345A1 (en) Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
AU2002258570A1 (en) System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
AU2002250371A1 (en) System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks
Gao et al. Design of broadband IPv6/lPv4 dual-stack access router based on service stream

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050607