JP2004533149A - IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 - Google Patents
IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 Download PDFInfo
- Publication number
- JP2004533149A JP2004533149A JP2002574087A JP2002574087A JP2004533149A JP 2004533149 A JP2004533149 A JP 2004533149A JP 2002574087 A JP2002574087 A JP 2002574087A JP 2002574087 A JP2002574087 A JP 2002574087A JP 2004533149 A JP2004533149 A JP 2004533149A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- network
- traffic
- internal
- extra
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1442—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
- H04L12/1446—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level inter-operator billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4557—Directories for hybrid networks, e.g. including telephone numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/103—Media gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
- H04L65/104—Signalling gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1096—Supplementary features, e.g. call forwarding or call holding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/612—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/75—Media network packet handling
- H04L65/762—Media network packet handling at the source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/43—Billing software details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/44—Augmented, consolidated or itemized billing statement or bill presentation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/49—Connection to several service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/51—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for resellers, retailers or service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/52—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for operator independent billing system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/53—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP using mediation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/55—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for hybrid networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/58—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on statistics of usage or network monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/70—Administration or customization aspects; Counter-checking correct charges
- H04M15/745—Customizing according to wishes of subscriber, e.g. friends or family
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2218—Call detail recording
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/436—Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q3/00—Selecting arrangements
- H04Q3/0016—Arrangements providing connection between exchanges
- H04Q3/0029—Provisions for intelligent networking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0104—Augmented, consolidated or itemised billing statement, e.g. additional billing information, bill presentation, layout, format, e-mail, fax, printout, itemised bill per service or per account, cumulative billing, consolidated billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0108—Customization according to wishes of subscriber, e.g. customer preferences, friends and family, selecting services or billing options, Personal Communication Systems [PCS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0168—On line or real-time flexible customization or negotiation according to wishes of subscriber
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0172—Mediation, i.e. device or program to reformat CDRS from one or more switches in order to adapt to one or more billing programs formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0176—Billing arrangements using internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0188—Network monitoring; statistics on usage on called/calling number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/2046—Hybrid network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/46—Connection to several service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/54—Resellers-retail or service providers billing, e.g. agreements with telephone service operator, activation, charging/recharging of accounts
Abstract
この発明に従うネットワーク構成(30)は1以上のネットワークに基づく仮想私設網(VPN)(40,46)をサポートする通信ネットワークを含む。通信ネットワークは、1以上のVPN(40,46)に属するCPEエッジルータ(34)へアクセスリンク35によって接続された複数の境界ルータ(40,42)を含む。顧客のVPNの外からのトラフィック(例えば別のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内からのトラフィックに提供されるサービスの質(QoS)を悪化させるのを防ぐために、この発明では余分なVPNトラフィックが内部VPNトラフィックに干渉できないよう、アクセスリンク優先順位またはアクセスリンク能力割り当てを通じて各顧客のアクセスリンクに、余分なVPNトラフィックに対して内部VPNトラフィックを優先する。このように、余分なVPNトラフィックに対して内部VPNトラフィックを優先することによって、論理トラフィック分離を達成するためにレイヤ2多重化およびルーティングプロトコルの設定を使用した物理アクセスリンク上で内部VPNおよび余分なVPN間の分割を含む、ネットワーク要素およびプロトコルの特別の設定が行われる。アクセスネットワークを設定することによって、VPN境界ルータ(40、42)およびCPEエッジルータ(34)およびこのようなエッジおよび境界ルータのルーティングプロトコルによってDoS(サービスの拒否)攻撃防御の高レベルのサービスが達成される。
Description
【0001】
この発明は通信ネットワークに関して特に、インターネットのような公衆通信ネットワークにおけるサービス拒否攻撃の防止に関する。より特定的には、この発明は仮想私設網(VPN)内のサイトのトラフィックに対するアクセス能力の割り当ておよび/または優先順位を、別のVPNまたは公衆ネットワークにおけるサイトのアクセス能力の割り当ておよび/または優先順位から分離することによって、共有されたネットワークインフラストラクチャを有する通信ネットワークにおけるサービス拒否攻撃を防ぐための方法、システムおよび装置に関する。
【0002】
ネットワークサービスプロバイダに対して、ネットワーク設計および管理における主要な考慮は、VPN顧客サイトから始まるトラフィックとVPNの外部から(例えば、インターネットまたは他のVPNから)始まるトラフィックの間のアクセス能力とネットワーク資源の適切な割り当てをすることである。この考慮はネットワークサービスプロバイダが最低の通信帯域を提供するかまたは、特定のサービスの質(QoS)を保証することを要求するサービスレベルアグリーメント(Service Level Agreement,SLA)を含む予約を行っているVPN顧客のトラフィックに関して特に重要である。それらのサービスの提供はネットワークサービスプロバイダに対して特定されたQoSを達成するネットワークアーキテクチャおよびプロトコルを実行するとともに十分なアクセス能力を保証し、ネットワーク資源はVPNの一部ではないホストとの通信とは別の他のVPNサイトとの通信のために利用可能である。
【0003】
インターネットプロトコル(IP)ネットワークにおいては、QoSを達成し、音声または非同期転送モード(ATM)のような、コネクション型のネットワークサービスの許可制御に匹敵する許可制御を実行するためのまっすぐなアプローチは、QoSを要求するIPパケット対して資源予約信号送信の実例の、同じホップごとの(hop-by-hop)切り替えをエミュレートすることである。実際、統合されたサービス(Intserv、イントサーブ)のためのインターネットエンジニアリングタスクフォース(IETF)によって開発されたIP信号送信標準はこのアプローチを正確に採用している。IETF RFC1633に述べられているように[R. Branden et al., "Integrated Services in the Internet Architecture: an Overview" June 1994]、イントサーブは、アプリケーションが、自分のデータパケットに対して配送サービスの多数の制御されたレベルの中から選択できるような、フローごとのIP QoSアーキテクチャである。この能力をサポートするために、イントサーブは、パケットフローの送信器で、アプリケーションがパケットフローの受信器に対する経路に沿ったすべてのネットワーク要素から、能力の特定のレベルで所望のQoSクラスを要求することを許容するために、IETF RFC2205によって規定された[R. Branden et al., "Resource ReSerVation Protocol (RSVP)-Version 1 Functional Specification" Sept. 1997]、よく知られた資源予約プロトコル(RSVP)の使用を許可する。資源予約を要求するRSVP PATHメッセージおよび上流のノードから資源予約を確認するRSVP RESVメッセージを受け取ったあと、経路に沿った個々のネットワーク要素はフロー内でパケットに配送されたQoSおよび能力を制御するための機構を実行する。
【0004】
図1は許可制御を実行するための従来のイントサーブ実施の使用を例示する。図1に示すように、模範的なIPネットワーク10はN個の同一のノード(例えばサービスプロバイダ境界ルータ)12を含み、各々がL地区の顧客のために顧客構内装置(Customer Premise Equipment,CPE)に接続された能力XのLリンクを有している。フローごとにおいては、コネクション型のアプローチは、各ノード12が起点から宛先へのネットワークに沿ったどのリンクも過負荷ではないということを保証する。アクセス能力を見て、フローごとのアプローチはすべてのフローに対する能力の合計が任意の出口アクセスリンク(例えばノード12aのリンク1)の能力Xを超えないように、入口アクセスリンクの各々での入力フローを直接制限することができる。同様のアプローチがIPネットワーク10内の例示されていないコアルータに接続するリンクに適用が可能である。
【0005】
概念的には非常に単純ではあるが、図1に例示した許可制御技術は多くの欠点を有している。最も重要には、RSVPを使用しているイントサーブの許可制御は、サービスプロバイダの境界およびコアルータにおいてRSVPが処理集中型の信号送信を要求するため、拡張性に限界がある。特に、RSVPは送信器と受信器との間の各ネットワーク要素において適切な資源割り当てを要求するための端末間信号送信を要求し、どのフローを許可するかを決定するために、入口ノード12b−12dによるポリシー問い合わせを行い、それに応じてトラフィックを取り締まり、同時に多くの他のハンドシェイクメッセージを取り締まる(police)。結局、イントサーブRSVP信号によって要求される処理は電話またはATM信号の処理に匹敵し、各境界内で高性能の(すなわち高価な)プロセッサ要素または、そのような信号によって要求される大規模な処理を行うコアになるIPルータを要求する。RSVP信号はソフト状態にある。これは、IPネットワークを介した転送経路は変更するかもしれず、それゆえフローによって要求されるQoSおよび能力についての情報は周期的に通信されなければならないため、信号送信処理が頻繁にリフレッシュされる(デフォルトで30秒ごと)ということを意味する。このいわゆるソフト状態の動作モードがATMスイッチの処理負荷よりもさらに大きい追加の処理負荷をルータ上に生成する。さらに、境界ルータのプロセッサが大量の無効なRSVP要求によって過負荷にされると、プロセッサがクラッシュし、それによって故障したプロセッサを有するルータによって処理されているすべての顧客に対するすべてのフローに対するサービスが中断される。
【0006】
従来のイントサーブRSVP信号送信を利用した許可制御の実施に関連した課題を認識して、IETFはRFC2475[S. Blake et al., "An Architecture for Differentiated Services" Dec.1998]において規定された、差別化されたサービス(Differentiated Service、ディフサーブまたはDS)プロトコルを普及させたディフサーブは、各IP層パケットヘッダのDSフィールド(例えば、IPv4型のサービス(TOS)バイトまたはIPv6トラフィッククラスバイト)内の集合したトラフィック分類を搬送することによって拡張性を達成したIP QoSアーキテクチャである。DSフィールドの最初の6ビットは、ディフサーブドメイン内の経路に沿った各々のノードでパケットのために、特定のサービスクラスまたは、パケットに対するホップ単位動作(PHB)を要求するディフサーブコードポイント(Diffserv Code Point,DSCP)を符号化する。
【0007】
ディフサーブドメインにおいては、ネットワーク資源はサービス供給ポリシーに応じてパケットフローの集合体に割り当てられる。サービス提供ポリシーはDSCPマーキング、ディフサーブドメインへの入場のためのトラフィック条件およびディフサーブドメイン内のトラフィック転送を支配する。マーキング(すなわち分類)および条件付け操作はディフサーブネットワーク境界においてのみ実行される必要がある。このように、特定のQoSを有するフローを確立するために送信器と受信器の間で端末間信号を要求するよりも、ディフサーブは各IPパケットヘッダを単に検査および/またはマークすることによって入口境界ルータがQoSを集合されたフローに提供することができるようにする。
【0008】
ディフサーブ標準は、イントサーブの処理集中型信号送信をハードウエアにおいて容易に実行されうる簡単なパケットごとのマーキング操作と置き換えることによってイントサーブの拡張性の限界に対処したが、ディフサーブプロトコルの実施は別のタイプの問題を提示する。特に、ディフサーブはサービスクラスのホストのマーク付けを許容するため、ディフサーブネットワーク顧客リンクは、多くのホストがDSフィールドが高い優先度に設定された状態でそのリンクにパケットを送信するとサービスの拒否(DoS)攻撃を経験しうる。ホストの組はDSCPを設定することによって直接、または、特定のDSCPへある別のルータまたは装置によって分類されたトラフィックを提出することによって間接的に、ディフサーブサービスクラスの予約された能力を超えることができる。ディフサーブにおいては、IPネットワークは顧客のインターフェイスが各ディフサーブサービスクラスに対する予約された能力を超えないということを確実にするために、入口ルータで取り締まることによってその資源を保護できるだけである。しかしながら、これはDoS攻撃を防げない。
【0009】
図2は従来のディフサーブプロトコルを実行する模範的なIPネットワーク10´におけるDOS攻撃のシナリオを示す図である。図2において、多くの入口ノード(例えば入口境界ルータ)12b´−12d´の各々は、トラフィックが出口ノード(例えば出口境界ルータ)12a´の単一のリンクを標的にすることを許容する。各入口ノード12´は、顧客が各DSCPで自分の予約した資源を超えないということを確実にするために入来パケットを取り締まるが、許可されたフローの集合はノード12a´の出口リンク1の能力Xを超え、その結果、このリンクによって顧客サイトへのサービスの拒否となる。
【0010】
イントサーブおよびディフサーブ標準の従来の実施に付随する限定にかんがみて、この発明は、従来のイントサーブ実施と異なって、拡張性が高く、しかも従来のディフサーブおよび他のネットワークが受けやすいDoS攻撃に対して保護できる、通信プロトコルをサポートするデータ通信のための方法、システムおよび装置を提供することが有用でありかつ望ましいということを認識する。
【0011】
この発明に従うネットワークアーキテクチャは1以上のネットワークベースの仮想私設網(VPN)をサポートする通信ネットワークを含む。通信ネットワークは1以上のVPNに属するCPEエッジルータへのアクセスリンクによって接続された複数の境界ルータを含む。外部顧客のVPNからのトラフィック(例えば他のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内に提供されるQoSを悪化させないために、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害できないように、アクセスリンクの優先度またはアクセスリンクの能力割り当てを通じて、各顧客のアクセスリンクに対して内部VPNトラフィックを余分なVPNトラフィックよりも優先する。このようにして余分なVPNトラフィックに対して内部VPNトラフィックを優先することが、ネットワーク要素およびプロトコルの特別の設定を引き起こす。この特別の構成は、VPN境界ルータおよびCPEエッジルータでの、内部VPNトラフィックおよび余分なVPNトラフィック間の論理的なトラフィック分離を達成するためのルーティングプロトコルの設定とともに、レイヤ2スイッチおよび多重化を使用したアクセスネットワークおよび物理的なアクセスリンクでの内部VPNおよび余分なVPNトラフィック間のしきりを含む。このように、アクセスネットワーク、VPN境界ルータおよびCPEエッジルータ並びにエッジおよび境界ルータのルーティングプロトコルを構成することによって、DoS攻撃の防止に対する高レベルのサービスが達成される。
【0012】
この発明の追加の目的、特徴および利点は以下の詳細な記載から明らかになる。
【0013】
発明の特徴であると信じられる新規な特性が添付のクレームで述べられている。しかしながら、この発明自体、使用の好ましいモード、更なる目的およびその利点は、添付の図面と共に読まれたとき、例示的な実施例の詳細な説明を参照することによって最もよく理解される。
【0014】
図、特に図3を参照して、この発明に従った、仮想私設網(VPN)顧客のアクセスを保護するとともにDoS攻撃に対して主要なネットワークリンクを保護しながら、選択されたトラフィックに対してQoSを提供する拡張性のある方法を提供する模範的なネットワークアーキテクチャ20の高レベルのブロック図が示されている。図2に例示した従来のネットワークと同様に、図3のネットワークアーキテクチャ20は、それぞれがLのアクセスリンクを有するNのサービスプロバイダ境界ルータ(BR)22を有するディフサーブネットワーク21を含む。ネットワークアーキテクチャ20において異なるのは、ディフサーブネットワーク21が複数のVPN事例をサポートすることである。このうち2つの事例が図に示されており、一方は、第一ネットワークサービス顧客24に対するCPEエッジルータ(ER)に接続された境界ルータ22のアクセスリンクであり、もう一方は、4つのサイトの各々にある、第二ネットワークサービス顧客25に対するERであって、それぞれaからdによって特定されている。各CPE ERは顧客のローカルエリアネットワーク(LAN)にネットワークサービスを提供する。サービスプロバイダネットワークに基づくVPNは、この図に示されたのより多い顧客をサポートしてもよい。
【0015】
図3において示された模範的な通信シナリオにおいては、CPEエッジルータ24b−24dに接続された第一VPN顧客のLAN内のホスト、CPEエッジルータ25a−25dに接続された第二VPN顧客のLAN内のホストおよび境界ルータ22a−22dにリンクされた別の例示のないCPEエッジルータに接続されたサイトは全て、第一VPN顧客CPEエッジルータ24aに接続されたLANを目標とするパケットフローを送信してもよい。図2に関して上で述べた先行技術の従来のディフサーブネットワークがもし実行されると、CPEエッジルータ24aに接続された境界ルータ22aの出力アクセスリンク1はこれらのフロー集中によって容易に圧倒され、その結果DoSを引き起こす。しかしながら、この発明によれば、図3のディフサーブネットワーク21は、他のVPNまたは他のサイトからのトラフィックを境界ルータ22aの物理的アクセスリンク1の第2論理ポートに向ける一方で、内部VPNトラフィックを境界ルータ22aの物理的アクセスリンク1の第1論理ポート27に向けることによって、VPNの外からのDoS攻撃を防ぐ。
【0016】
所定の顧客団体外部(例えば他のVPNまたは一般のインターネット)からのトラフィックが所定の顧客団体内からのトラフィック(例えば同じ企業内の他のホストからのトラフィック)からのトラフィックに与えられたQoSを悪化させないために、この発明では内部VPNトラフィックを余分なVPNトラフィックに対して優先順序づけるか、または余分のVPNトラフィックが内部VPNトラフィックを妨害できないようにアクセスリンク能力を割り当てる。言い換えると、以下に詳細に述べるように、各境界ルータ22は各顧客のアクセスリンクに顧客のVPN内で生じたトラフィックに優先権を与える。ここで、VPNは、ネットワーク資源および/または通信がノードの集合の会員資格に基づいて分割された共有ネットワークインフラストラクチャによって接続されたノードの集合として定義される。このように内部VPNトラフィックを余分なVPNトラフィックに対して優先させることによって、論理的なトラフィック分離を達成するためにレイヤ2の多重化およびルーティングプロトコルの設定を使用して内部VPNと余分VPNの間で物理的なアクセスの分割を含むネットワーク要素およびプロトコルの特別の設定を実現する。要約すると、CPEエッジルータ、アクセスネットワーク、ネットワークに基づくVPN境界ルータ、およびエッジおよび境界ルータに組み込まれたルーティングプロトコルの設定が以下に詳細に説明するようにDoS攻撃を防ぐための高レベルのサービスを達成するために協同する。対照的に、従来のディフサーブおよびCPEエッジルータ、IPに基づくIP VPNの実行は同じVPN内のサイト用として予定されているトラフィック(例えば内部VPNトラフィック)とインターネット(例えば余分なVPNトラフィック)の他の領域から送信されたトラフィックとを分離しなかった。
【0017】
図4−8を参照して、図3に示された一般化されたネットワークアーキテクチャ20の少なくとも2つのクラスの実施例が可能である。特に、この発明に従うネットワークは図4−6を参照して以下に述べるようなCPEに基づくVPNの実施または図7および図8を参照して以下に述べるネットワークに基づくVPNの実施のいずれかとして実現される。
【0018】
まず図4を参照して、DoS攻撃に耐えるために、CPEに基づくVPNを採用した模範的なネットワークアーキテクチャ30を例示する。示されたネットワークアーキテクチャはディフサーブ可能な(Diffserv-enabled)IP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LANs)32とを含む。顧客のLAN32は、各々が一または両方のネットワーク44および46にわたって通信されたパケットを送信器および/または受信器として機能できる一以上のホストを含む。図4に示した模範的な実施例においては、顧客LAN32aおよび32bは、企業のような所定の同じ団体(例えばVPN)に属しているものと仮定する。
【0019】
各顧客LAN32はそれぞれのCPEエッジルータ34および物理的アクセスリンク35によって、それぞれのアクセスネットワーク(例えばL2アクセスネットワーク)38に接続されている。アクセスネットワーク38aおよび38bは、各々がディフサーブ可能なIP VPNネットワーク44の境界ルータ(BR)40への第一L2アクセス論理接続と、ベストエフォート型のIP公衆ネットワーク46の境界ルータ(BR)42への第二L2アクセス論理接続とを有する。内部VPNおよび余分なVPNトラフィックを異なった線で表した図4に例示されているように、VPN承知(VPN-aware)CPEエッジルータ34aおよび34bは、IP VPNに属するIPアドレスのプレフィックスを有するパケットのみをディフサーブ可能なIP VPNネットワーク44を介して送信し、他のすべてのトラフィックをベストエフォート型のIP公衆ネットワーク46を介して送信する。顧客LAN32の安全性を高めるために、CPEエッジルータ34aおよび34bはすべてのトラフィックをファイアウォール36aおよび36bのそれぞれを介してベストエフォート型のIP公衆ネットワーク46へ、またはそこからすべてのトラフィックを送信する。
【0020】
図4に例示されているネットワークアーキテクチャにおいては、IP VPNの外部から生じたDoS攻撃が内部VPNトラフィックに対して優先度を許容するためにアクセスネットワーク38a、38bの2つの論理接続を適切に利用するために境界ルータ40a−40bと42a−42bとを設定することによって防がれる。例えば、第一の設定では、ディフサーブ可能なIP VPNネットワーク44とのL2アクセス論理接続に対してベストエフォート型の公衆IPネットワーク46へのL2アクセス論理接続よりも高い優先度が割り当てられる。そのようなアクセスリンク35の優先順位をサポートするL2アクセスネットワークはイーサネット(例えばイーサネット優先度の利用)、ATM(例えばATMサービス分類の利用)および多くのフレームリレー(FR)ネットワークの実施とを含む。これらの実施はよく知られた技術を利用して提供されうる。設定によって、ディフサーブ可能なIP VPNネットワーク44の各境界ルータ40は、アクセスネットワーク38への論理接続に対するパケットの送信割合を、ベストエフォート型IP公衆ネットワーク46に対してL2アクセス論理接続が窮乏(starvation)しないように、アクセスリンクの値よりも小さい値に合わせる(shape)。代わりに、第二設定として、境界ルータ40a−40bおよび42a−42bは各L2アクセスネットワーク論理接続に対して予定されたトラフィックを特定の割合に合わせるよう個々に設定されてもよい。ここではこれら割合の合計はCPEエッジルータ34およびアクセスネットワーク38にリンクした物理的なアクセス媒体の送信能力より少ないかまたは等しい。これら2つの設定のいずれにおいても、境界ルータ40および42はパケットのDSCPマークに基づいたスケジューリングおよび優先度を実行し、IP VPNトラフィックに対するアクセスネットワーク接続に対して割り当てられた能力を合わせる。
【0021】
当業者によって理解されるように、これら代案の設定のいずれを実行するかという選択は、各設定が利点および欠点を共に有しているため、設計上の選択の問題である。例えば、最初の設定では、ネットワーク44および46間のアクセスネットワーク設定の調整が容易である。しかしながら、もしアクセスネットワーク38が厳格な優先度のみを実施すると、ディフサーブ可能なIP VPNネットワーク44からのIP VPNトラフィックはIP公衆ネットワーク46上で通信されるベストエフォート型のトラフィックを窮乏させるかもしれない。第二の設定はこの欠点をアクセスリンク能力の一部をネットワークアクセスの各タイプ(例えば内部VPNおよび余分VPNの両方)にこれらのアクセスリンク能力を割り当てることによって対処している。しかしながら、もし境界ルータ40、42が第二設定に従ってトラフィックを合わせると、ネットワーク44、46の一方に対する使用されないアクセス能力が別のネットワークへのアクセスのために使用できない。すなわち、シェイパ(shaper)は分離された境界ルータ40、42上にあるため、非作業保存(non-work-conserving)スケジュールのみが可能である。
【0022】
図5を参照して、図4に示されたネットワークアーキテクチャ内で使用されうるQoS承知CPEエッジルータ34のより詳細なブロック図が例示されている。例示されているように、CPEエッジルータ34は複数のLANポート60を含む。このLANポート60は対応する数の顧客LAN32に接続を提供する。例えば、図5において、LANポート60aはそれぞれが32ビットのIPアドレス“a.b.c.d”、“a.b.c.e”および“a.b.c.f”の多数のホスト48を含む顧客LAN32に接続されている。
【0023】
各LANポートは転送機能62に接続され、転送機能62はパケットを、LANポート60と、一以上のワイドエリアネットワーク(WAN)の物理ポート64(その一つのみが例示されている)に存在する一以上の論理ポート(LP)66との間で転送する。LP66は各々がレイヤ2のサブインターフェイスを含むが、例えば、イーサネット仮想LAN(VLAN)、FRデータリンク接続識別子(DLCI)、ATM仮想チャンネル接続(VCC)またはポイントツーポイントプロトコル(PPP)/時分割多重化(TDM)チャネルにおいて実行される高レベルのデータリンク制御(HDLC)として実施されてもよい。WAN物理ポート64は、論理ポート66からのパケットをアクセスネットワーク38の通信媒体上で多重化するためにスケジューラ68を採用し、アクセスネットワーク38から受信したパケットを転送機能70を利用したそれぞれの論理ポートへ転送する。
【0024】
CPEエッジルータ34のLANポート60が顧客LAN32からパケットを受信すると、パケットはまず分類器80を通る。分類器80は分類器テーブル82を参照して、CPEエッジルータ34によって各パケットがどのように処理されるかを決定する。図5に例示されているように、分類器テーブル82は起点アドレス(SA)、宛先アドレス(DA)、起点ポート(SP)および宛先ポート(DP)、プロトコル形式(PT)、DSCPまたはパケットのリンクからの他のフィールド、ネットワークまたは転送層ヘッダを含む多くの見出しを有してもよい。これらの見出しの一以上のパケットの値に基づいて、分類器72はパケットを処理するために使用されるCPEエッジルータ34内のポリサ(policer,P)、マーカ(M)、宛先LP、宛先LP列(queue)(Q)のための値を得る。この発明の代わりの実施例においては、宛先LPおよび宛先LP列入力の検査は分類器80よりも転送機能62によって実行されうる。
【0025】
示されているように、分類器表82内のテーブル入力値はプレフィックスまたは範囲、またはナル(“−”によって示される)を利用することによって部分的に特定またはフルに特定されてもよい。例えば、LAN32のホスト48のSAは、32ビットのIPアドレスを用いてフルに特定され、多くの宛先ホストのDAは特定のIPネットワークを識別する24ビットのIPアドレスプレフィックスを利用して特定され、多くの見出し値および一つの取り締まり値はナルである。一般に、同じポリサ、マーカおよび/またはシェイパ値、イントサーブフローに対するこれらの値はRSVP RESVメッセージから取られるのであるが、これらは異なって分類されたパケットフローに対して特定されてもよい。例えば、分類器テーブル82はポリサP1とマーカM1が、DSCP“010”でマークされたSA“a.b.c.e”を有するパケットと同様にDSCP“101”でマークされ、任意のSAからのパケットを処理するということを特定する。しかしながら、分類器テーブル82は、VPN内のDAを有するトラフィック(すなわち内部VPNトラフィック)のための異なった宛先LP値を特定することによって異なる分類を有するフローとインターネットにおけるどこかのホスト(すなわち余分なVPNトラフィック)に宛てられたトラフィックと区別する。このように、IPアドレスプレフィックス“r.s.t”、“w.x.y”および“l.m.n”のすべてがネットワーク32として同じVPNに属しているため、これらDAが合致したトラフィックは、すべての他のトラフィックがベストエフォート型のIP公衆ネットワーク46に対してLP−2 66bを介して送信される間にディフサーブ可能IP VPNネットワーク44を介して同じVPN内の他のサイトにLP−1 66aを介して送信される。
【0026】
パケットが転送される論理ポート66およびLP列は静的設定によってまたはルーティングプロトコルによって動的に決定されうる。いずれの場合においても、VPNルートは、もしCPEルータ34が同じ宛先IPアドレスのためにインストールされた両方のルートを有しているときは、インターネットルートについて常に優先されるべきである。そのような優先度は、(1)VPNルートをインストールするための内部ゲイトウエイプロトコル(IGP)(すなわちOSPFおよびIS−IS)、およびインターネットルートをインストールするための静的ルーティングすなわちEBGP、または(2)VPNルートに対して与えられたより高いローカル優先度を有する、VPNルートとインターネットルートの両方をインストールするためのEBGPの使用、を含む多くの方法の任意のもので実行されうる。
【0027】
分類後、分類器テーブル82によって示されるように、ポリサP0、P1およびマーカM0、M1、M2によって適切にパケットが取り締まられマークされたあと、テーブル検査によって特定されるように転送機能62によって論理ポート66aまたは66bのいずれかに切り替えられる。特定の論理66内で、パケットは分類器テーブル82によって特定されたLP列Q0−Q2に向けられる。LP列Q0−Q2はランダムアーリーディテクション(RED)のような利用可能なバッファ能力または閾値のいずれかに基づいて許可制御を実行する。スケジューラ90は、それから先入れ先出し(FIFO)、優先順、重み付けされたラウンドロビン(Weighted Round Robin,WRR)、重み付けされたフェアな列(WFQ)または級に基づいた列(CBQ)のような選択されたスケジューリングアルゴリズムに応じてLP列Q0−Q2を処理する。例えば、例示された実施例においては、LP−2 66aのスケジューラ90は各LP列iに関連した重み付けwiおよび論理ポート2に対する全体的なWFQスケジューラ割合r2に基づいてWFQを実施し、それによってトラフィックを割合r2に決定する。最後に、上記したように、物理的なWANポート64のスケジューラ68はアクセスネットワーク38に対して送信を制御するために各種論理ポート66を処理する。
【0028】
CPEエッジルータ34はWAN物理ポート64でアクセスネットワーク38からパケットを受信し、転送機能70を利用して、それが論理ポートに対してマップ化しているようにアクセスネットワーク38の設定によって指示される適切な論理ポート66aまたは66bにパケットを転送する。各論理ポート66において、パケットは分類器100を通過する。分類器100は分類器テーブル102にアクセスするために上で述べた同じ組の見出し内の1以上の見出しを採用している。典型的な実施においては、分類器100の結果の検査は、取締りおよびマーキングは滅多に要求されないために分類器80の検査よりも複雑ではない。このように示された実施例においては、パケットは転送機能62によって論理ポート66の分類器100から直接パケットのDSCPに基づくテーブル検査において特定されたLANポート60aの特定の列Q0−Q2に転送される。上記したように、LANポート60aの列Q0−Q2はWFQを実施し、顧客LAN32にパケットを転送する、スケジューラ102によって処理される。
【0029】
図6Aを参照して、VPN機能のないQoS承知境界ルータのより詳細なブロック図が示されている。VPN機能は例えば境界ルータ42を実行するために図4のネットワークアーキテクチャ内で使用されてもよい。示されているように、図6Aの境界ルータ42は複数の物理ポート116と、入来パケットのために転送機能112および発信パケットのためのスケジューラ114によってアクセスネットワーク38に接続された複数の論理ポート110と、論理ポート110および物理ポート116間でパケットを転送する転送機能118とを含む。複数の物理ポート116の実施によって、ネットワークコアルータに対する障害耐性接続が許容され、アクセスネットワーク38に接続された複数の論理ポートの実施は一つの論理ポートの実施によって、一つの論理ポート(すなわちLP−1 110a)をディフサーブ可能な論理ポートとして、また第二論理ポート(すなわちLP−2 110b)をベストエフォート型の論理ポートとして設定することが許容される。
【0030】
このように、アクセスネットワーク38から境界ルータ42のLP−2 110bを介してネットワークコアへ至るトラフィックに対して、LP−2 110bの分類器124はすべてのパケットを分類器テーブル126に従ってマーカM0に向ける。マーカM0はDSCP000でLP−2 110bで受信したすべてのパケットについて意見を述べ(remark)、このように、パケットをベストエフォート型のトラフィックとして特定する。対照的に、LP−1 110aの分類器120は、信頼されたCPE(例えばサービスプロバイダが管理するCPEエッジルータ34)でDSCPマーキングを既に受信した入来パケットをPHY−1 116a上の列Q0−Q2にマップ化するために分類器テーブル122を利用する。この列はQoSの異なるレベルに各々が関連している。パケットは、信頼されたCPEによって、既にマルチフィールドに分類され、マークされまた合わされて(shaped)いるため、境界ルータ42はパケットに対して意見を述べる必要はない。しかしながら、もし送信CPEエッジルータがCPEによって信頼されないのであれば、境界ルータ42はLP−1 110aで受信したパケットに対して意見を述べまた取り締まる必要があるであろう。
【0031】
分類(およびLP−2 110bで受信したトラフィックの場合においてはマーキング)に続いて、トラフィックは転送機能118によって適切な物理ポート116または論理ポート110に転送される。フルの転送検査を実行するために分類器を使用している図5のエッジルータ34と対照的に、境界ルータ42は代わりの設計を採用しており、そこでは転送機能118が出力ポート、すなわち、この例においてはLP−1 110a、LP−2 110b、またはPHY−1 116aを決定するためにパケットのDAで転送テーブル128にアクセスする。非VPNルータの場合は、転送テーブル128には、一般的なIPルーティングプロトコル(例えばボーダゲートウエイプロトコル(BGP))または静的設定(例えば、LP−2 110bでの24ビットのIPアドレスプリフィックス“d.e.f.”の関連)が存在する(populated)。代わりの実施例は転送機能62内に機能を転送するIP検査を中央に位置させうる。図6に示された模範的な実施例は境界ルータ42がネットワークコアに送られるすべてのトラフィックをコアルータに接続された物理的なポート116のただ一つに送信すると仮定する。別の実施例ではもちろん、物理ポート116を介してバランスしたトラフィックを負担させることも可能である。加えて、コアルータを削除したり、一以上のコアルータに対して一以上の論理ポートを採用する実施例も示された設計のまっすぐな拡張である。
【0032】
境界ルータ42を介したアクセスネットワーク38に通信されるトラフィックに対しては、分類器132がパケットのDSCPによって指示されたQoSに対して列Q0−Q2の適切な一つに各パケットを向けるためのパケットのDSCPを使用した分類器テーブル134にアクセスする。ディフサーブ可能な論理ポート110を購入した顧客に対しては、起点CPEが適切なDSCP値でフローを取り締まりかつマークするため、これが所望のQoSを配送する効果を有する。ベストエフォート型の顧客がより高い質のトラフィックを受けることができるが、そのような一方通行の差別されたサービスを防ぐことは分類器においてかなりの付加的な複雑さを要求し、サービスプロバイダネットワークにおける各エッジルータに対してルーティングプロトコルを介してQoS情報の分配を含む。
【0033】
図6Bを参照して、図4に示されたネットワークアーキテクチャ内においてディフサーブ可能な、およびDoSに対して保護されたVPNサービスを提供するために使用されてもよい、QoS承知(aware)VPN境界ルータ40のより詳細なブロック図が示されている。示されているように、境界ルータ40はディフサーブ可能なIP VPNネットワーク44のコアルータに接続するための複数の物理ポート226と、入来パケットのための転送機能220によってアクセスネットワーク38に接続された複数のディフサーブ可能な論理ポート224と、発信のためのスケジューラ222と、論理ポート224と物理ポート226の間のパケットを転送する転送機能228とを含む。
【0034】
境界ルータ40上で実行される各ディフサーブ可能な論理ポート224の各々は複数のVPNのそれぞれの一つを処理する。例えば、ディフサーブ可能な論理ポートをLP−A 224aは、24ビットのIPアドレスプレフィックス“a.b.c.”および“a.b.d.”を有する顧客サイトを含むVPN Aに属する顧客サイトにサービスを提供する。同様に、ディフサーブ可能な論理ポートLP−B 224bは24ビットIPアドレスプレフィックス“b.c.d.”および“b.c.e.”を有する二つの顧客サイトを含むVPN Bに属する顧客サイトにサービスを提供する。ディフサーブ可能な論理ポート224は、ベストエフォート型のIP公衆ネットワーク46に属するサイトにはサービスを提供しない。というのは、そのようなトラフィックは図4に示されるように、境界ルータ42に送られるからである。
【0035】
図6Bにさらに例示されているように、境界ルータ40の各コアに対面している物理ポート226は論理トンネル240として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバ−IPトンネル、一般ルーティングカプセル化(Generic Routing Encapsulation,GRE)トンネル、トンネルモードで作動されたIPセック(IPsec)、多重プロトコルラベル切り替え(MPLS)ラベルの積み重ねられた組、レイヤ2トンネルプロトコル(L2TP)またはナル(null)トンネルを含む各種の技術の任意のものを使用して実行されうる。そのようなトンネルは、複数のVPNに対するルーティング情報はネスト化された方法でトンネルに関連されうるという点で論理ポートと区別できる。例えば、IETF RFC2547[E. Rosen et al.,"BGP/MPLS VPNs" March 1999]に述べられているボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、一方最後のラベルが宛先VPNを決定する。
【0036】
動作において、ディフサーブ可能な論理ポート224の各々の分類器230は、それぞれの分類器テーブル232を参照してパケットのDSCP値に応じてディフサーブ可能なIP VPNネットワーク44のネットワークコアに対して境界ルータ40を介してアクセスネットワーク38からのパケットフローを分類する。示されているように、分類器テーブル232aおよび232bは各パケットに対して物理ポートPHY−1 226aで列Q0−Q2の適切な一つを決定するための見出しとしてDSCPを使用してアクセスされる。物理ポート226によって受信されたパケットは、論理ポート224の一つで各パケットに対して列Q0−Q2の適切な一つを決定するために、分類器テーブル254を参照することによって分類器250によって同様に分類される。分類(およびLP−B 224bで示される選択的な(再)マーク)の後、選択機能228は、それぞれのVPNに各々が関連するVPN転送テーブル234a−234nを参照して論理ポート224と物理ポート226との間でパケットを交換する。このように、例えば、VPN転送テーブル234aはVPN Aのための転送ルートを提供し、VPN転送テーブル234bはVPN Bに対する転送ルートを提供する。
【0037】
VPN転送テーブル234は見出しとして起点ポートとDAを使用してアクセスされる。例えば、転送テーブル234aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプレフィックス“a.b.d.”を有するDAでアドレスされたVPN A内のトラフィックはTNL−1 240aを妨害し(traverse)、TNL−240bで受信されたトラフィックはLP−A 224aに向けられる。TNL−2 240bとLP−B 224b間の同様の経路指定がVPNルーティングテーブル234bにおいて見られうる。上で議論したように、VPN転送テーブル234には静的設定またはルーティングプロトコルの動的な使用が存在する(populate)。
【0038】
転送機能178による処理のあとで、各々のパケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に収納され、DSCP000でマークされたトラフィックはQ0内に収納される。スケジューラ236および252はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0039】
図7を参照して、DoS攻撃問題に対するネットワークベースのVPNソリューションを提供する模範的なネットワークアーキテクチャ150が例示される。図7において、同様の参照符号およびトラフィック表記が図4に示されたネットワークアーキテクチャ30の特徴に対応する特徴を特定するために使用される。
【0040】
示されているように、図7のネットワークアーキテクチャ150は図4のネットワークアーキテクチャ30と同様に、ディフサーブ可能なIP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LAN)32とを含む。上記のように、顧客LAN32aおよび32bは同じVPNに属し、各々がパケットの送信器および/または受信器として機能しうる一以上のホスト48を含む。各顧客LAN32はCPEエッジルータ34と物理アクセスリンク153によってそれぞれのアクセスネットワーク(例えば、L2またはL3アクセスネットワーク)154に接続される。QoSとベストエフォートトラフィックに対して別の論理接続を有している、図4のアクセスネットワーク38と対照的に、アクセスネットワーク154は、ベストエフォート型のIP公衆ネットワーク46の境界ルータ42に対して別の論理接続を有するディフサーブ可能なIP VPNネットワーク44の境界ルータ156に接続されているだけである。このように、ネットワーク44に予定された内部VPNトラフィックとネットワーク46に予定された余分のVPNトラフィックは共に境界ルータ156を介して送信される。これはトラフィックの2クラス間の作業保存型計画は有利に許可されるということを意味する。しかしながら、その結果、境界ルータ156の複雑さは、各境界ルータ156が、顧客間で共有しうるフルのインターネット転送テーブルとともに、各付属の顧客に対する別の転送テーブルを実施しなければならないため、必ず増加する。
【0041】
図8を参照して、図7において示されたネットワークアーキテクチャ内のディフサーブ可能なおよびDoS保護されたVPNサービスを提供するために設定された、ポリサ(policer)、シェイパ(shaper)、スケジューラ、論理ポートアクセスネットワーク接続および転送テーブルがQoS承知VPN境界ルータのより詳細なブロック図が示されている。示されているように、境界ルータ156はネットワークコアルータに接続するための複数の物理ポート176と、入来パケットのための転送機能170によってアクセスネットワーク154に接続された複数のディフサーブ可能な論理ポート174と、論理ポート174と物理ポート176との間のパケットを転送する転送機能178とを含む。
【0042】
各CPEエッジルータ34はアクセスネットワーク154を介して単一のアクセスリンクのみによって境界ルータ156に接続されているため、各ネットワーク顧客サイトは一つが内部VPNトラフィックに、一つが余分なVPNトラフィックという一対のディフサーブ可能な論理ポート174によって境界ルータ156でサービスされる。例えば、ディフサーブ可能な論理ポートLP−A1 174aおよびLP−A2 174は24ビットIPアドレスプリフィックス“a.b.c.”と“a.b.d.”を有する少なくとも二つの顧客サイトを含むVPN Aに属する単一顧客サイトにサービスを提供する。示された実施例においては、LP−A1 174aはVPN Aに属するサイトへおよびそのサイトからディフサーブ可能なIP VPNネットワーク44を介して通信されたQoSトラフィックに対するアクセスを提供し、LP−A2 174bはベストエフォート型のIP公衆ネットワーク46へ、およびそこからのベストエフォートトラフィックに対するアクセスを提供する。
【0043】
図8にさらに例示されているように、境界ルータ156の各コアに面した物理ポート176は論理トンネル180として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバー−IPトンネル、一般ルーティングカプセル化(GRE)トンネル、トンネルモードにおいて操作されるIPセック、積層された多重プロトコルラベル切り替え(MPLS)ラベルの組またはナルトンネルを含む各種技術の任意のものを使用して実施されてもよい。そのようなトンネルは、多重VPNのためのルーティング情報がネスト化(nested)された方法でトンネルに関連されうるという点で、論理ポートと区別されうる。例えば、IETF RFC2547において述べられたボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、最後のラベルが宛先VPNを決定する。
【0044】
動作において、ディフサーブ可能な論理ポート174の各々にある分類器182は、境界ルータ156を介してそれぞれの分類器テーブル190を参照してパケットのDSCPに応じてネットワークコアにアクセスネットワーク154からのパケットを分類する。示されているように、分類器テーブル190aおよび190bは、各パケットに対して物理ポートPHY−1 176aの適切な列Q0−Q2の一つを決定するための見出しとしてDSCPを用いてアクセスされる。物理ポート176によって受信されたパケットは、論理ポート174の一つにおける各パケットのために列Q0−Q2の適切な一つを決定するために分類器テーブル192を参照することによって分類器198によって同様に分類される。分類(およびLP−A2 174bで示されるような選択的な(再)マークの)後、転送機能178は、各々がそれぞれのVPNおよび共有されたインターネット転送テーブル195に関連したVPN転送テーブル194a−194nを参照して論理ポート174と物理ポート176との間でパケットの交換を行う。このように、例えば、転送テーブル194aはVPN Aに対する転送ルートを提供する入口を含み、一方インターネット転送テーブル195は起点としてLP−A2またはTNL−2(すなわちインターネットアクセスに対して設定された論理インターフェイス)を特定するパケットのための転送経路を提供する入口を含む。
【0045】
転送テーブル194は見出しとして起点ポートおよびDAを使用してアクセスされる。例えば、転送テーブル194aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプリフィックスの“a.b.d.”を有するDAでアドレスされた内部VPNトラフィックはTNL−1 180aを妨害し、一方余分なVPN(すなわちインターネット)トラフィックはTNL−2 180b(これはナルトンネルとなりうる)を妨害する。転送テーブル194aは、TNL−1 180aを介して受信した内部VPNトラフィックがLP−A1 174aに向けられ、24ビットのIPアドレスプリフィックス“a.b.c.”を有するDAでアドレスされたトンネルTNL−2 180bを介したインターネットから到着したすべての他のトラフィックはLP−A1 174bに送信される。境界ルータ156(すなわちローカルDAを有するトラフィック)の他のポートで終了するトラフィックは境界ルータ156の他のポート(LP−xで示されている)に送信される。言い換えると、“ローカル”とマークされた転送テーブル194aにおける入口は境界ルータ156のインターフェイスに割り当てられたVPN(例えばa.b.c/24)に割り当てられたプリフィックス以外のアドレスプリフィックスを特定する。
【0046】
転送機能178によって処理されたあと、パケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に位置される、DSCP000でマークされたベストエフォート型のトラフィックはQ0内に位置する。スケジューラ196はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0047】
今まで述べてきたように、この発明は、VPNの外の起点からのDoS攻撃に対してそのようなフローを保護しながら、余分なVPNトラフィックにQoSを提供するための改良されたネットワークアーキテクチャを提供する。この発明はネットワークに基づくVPNサービスを使用した選択されたフローに対してDoSで保護されたQoSを、および適切に設定されたルーティングプロトコルでL2アクセスネットワークを用いたCPEエッジルータに対して接続されたベストエフォート型のインターネットサービスを提供することである。エッジにおけるディフサーブマーキングおよびネットワークに基づくVPNコアにおける処理は選択されたフローに対してQoSを提供し、一方顧客VPNの外部から生じたトラフィックがサイトのアクセス能力を超えるためにVPNネットワーク顧客サイトに対するDoSの発生を防ぐために、内部VPNおよび余分なVPNトラフィックを論理的に分割する。顧客のVPN内から生じたトラフィックからのさらなる保護さえもIETF RFC2998[Y.Bernet et al., "A Framework for Intergrated Services Operation over Diffserv Networks" Nov. 2000]に記載されているようにCPEエッジルータおよび/またはQoS承知境界ルータにおいて実施されたイントサーブポリシー制御を使用して可能になる。
【0048】
この発明のネットワークアーキテクチャは、CPEに基づく、およびネットワークに基づく実施において実現されてもよい。CPEに基づく実施であれば、CPEエッジルータおよびサービスプロバイダ境界ルータにリンクしたアクセスネットワークの設定が容易になり、全サービスプロバイダネットワークを介したディフサーブを実施することなくVPNサイトにQoSが提供される。ネットワークに基づく設定は、余分なVPNトラフィックが内部VPNトラフィックに割り当てられた余分のアクセス能力を利用することを許容する。
【0049】
この発明の各種実施例が上記で述べられたが、それらは単なる例示であって限定と理解されるべきではない。このように、この発明の広さおよび範囲は上記の模範的な実施例によって限定されるものではなく、以下のクレームおよびその均等物に応じてのみ規定されるべきである。例えば、この発明はネットワークに基づくVPNがディフサーブネットワーク内で実施された好ましい実施例に関して述べられたが、この発明はディフサーブネットワークと共に用いるものに限定されるものではなく、例えば、RFC2547において教示されているBGP/MPLS、またはRFC2917において教示されている仮想ルータの使用[K. Muthkrishnan et al., "A Core MPLS IP VPN Architecture" Sept. 2000]によって実施されてもよい、他のネットワークに基づくVPNと共に代わりに用いられてもよい。加えて、図3、4および7は各CPEエッジルータのVPNネットワークへの接続およびあるアクセスリンクによるベストエフォート型ネットワークへの接続を例示したが、冗長化のために、CPEエッジルータがVPNの各々の一以上の境界ルータおよびベストエフォート型のネットワークに論理的に接続を提供する、一以上のアクセスネットワークに多重アクセスリンクによって接続されてもよいということを理解すべきである。そのような「二重ホーム」実施においては、多重アクセスリンクはサービスプロバイダ境界ルータにおける静的経路の設立またはルーティングプロトコル(例えばEBGP)を利用したサービスプロバイダ境界ルータの動的設定を介してプライマリ/バックアップまたは負荷共有配置のいずれかにおいて使用されうる。これは、CPEエッジルータが多重転送テーブルを実施するVPNおよびインターネットのためのルーティングプロトコルの別の事例はアドレス空間にアクセスすることを要求する。そのようなCPEエッジルータの実施例は図8に例示され、関連する文章で述べられたものと同様であり、単に単一のVPNテーブルとインターネット経路のための単一のテーブルが設けられているだけである。
【図面の簡単な説明】
【0050】
【図1】RSVPを用いたフローごとのQoSを実行する従来の統合サービス(イントサーブ)ネットワークを示す図である。
【図2】各パケットヘッダーにおいてDSCPマークを用いた集合トラフィックフロー上でQoSを実行する従来の差別化されたサービス(ディフサーブ)ネットワークを例示する図であり、それゆえサービスの拒否(DoS)攻撃に対して弱い。
【図3】この発明の好ましい実施例に従った、仮想私設網(VPN)における会員資格を参照することによってアクセス能力の分割割当および/または優先順位付けを行うことによってDoS攻撃に耐えうる模範的な通信ネットワークを例示する。
【図4】DoS攻撃問題に対してCPEベースのVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図5】図4および7において例示されたネットワークアーキテクチャ内で使用されうるQoS承知(aware)CPEエッジルータのより詳細なブロック図である。
【図6A】図4および図7に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能のないQoS承知境界ルータのより詳細なブロック図である。
【図6B】図4に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能を有するQoS承知境界ルータのより詳細なブロック図である。
【図7】DoS攻撃問題に対するネットワークに基づくVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図8】図7に示されたネットワークアーキテクチャ内で使用されうるQoS承知VPN境界ルータのより詳細なブロック図である。
この発明は通信ネットワークに関して特に、インターネットのような公衆通信ネットワークにおけるサービス拒否攻撃の防止に関する。より特定的には、この発明は仮想私設網(VPN)内のサイトのトラフィックに対するアクセス能力の割り当ておよび/または優先順位を、別のVPNまたは公衆ネットワークにおけるサイトのアクセス能力の割り当ておよび/または優先順位から分離することによって、共有されたネットワークインフラストラクチャを有する通信ネットワークにおけるサービス拒否攻撃を防ぐための方法、システムおよび装置に関する。
【0002】
ネットワークサービスプロバイダに対して、ネットワーク設計および管理における主要な考慮は、VPN顧客サイトから始まるトラフィックとVPNの外部から(例えば、インターネットまたは他のVPNから)始まるトラフィックの間のアクセス能力とネットワーク資源の適切な割り当てをすることである。この考慮はネットワークサービスプロバイダが最低の通信帯域を提供するかまたは、特定のサービスの質(QoS)を保証することを要求するサービスレベルアグリーメント(Service Level Agreement,SLA)を含む予約を行っているVPN顧客のトラフィックに関して特に重要である。それらのサービスの提供はネットワークサービスプロバイダに対して特定されたQoSを達成するネットワークアーキテクチャおよびプロトコルを実行するとともに十分なアクセス能力を保証し、ネットワーク資源はVPNの一部ではないホストとの通信とは別の他のVPNサイトとの通信のために利用可能である。
【0003】
インターネットプロトコル(IP)ネットワークにおいては、QoSを達成し、音声または非同期転送モード(ATM)のような、コネクション型のネットワークサービスの許可制御に匹敵する許可制御を実行するためのまっすぐなアプローチは、QoSを要求するIPパケット対して資源予約信号送信の実例の、同じホップごとの(hop-by-hop)切り替えをエミュレートすることである。実際、統合されたサービス(Intserv、イントサーブ)のためのインターネットエンジニアリングタスクフォース(IETF)によって開発されたIP信号送信標準はこのアプローチを正確に採用している。IETF RFC1633に述べられているように[R. Branden et al., "Integrated Services in the Internet Architecture: an Overview" June 1994]、イントサーブは、アプリケーションが、自分のデータパケットに対して配送サービスの多数の制御されたレベルの中から選択できるような、フローごとのIP QoSアーキテクチャである。この能力をサポートするために、イントサーブは、パケットフローの送信器で、アプリケーションがパケットフローの受信器に対する経路に沿ったすべてのネットワーク要素から、能力の特定のレベルで所望のQoSクラスを要求することを許容するために、IETF RFC2205によって規定された[R. Branden et al., "Resource ReSerVation Protocol (RSVP)-Version 1 Functional Specification" Sept. 1997]、よく知られた資源予約プロトコル(RSVP)の使用を許可する。資源予約を要求するRSVP PATHメッセージおよび上流のノードから資源予約を確認するRSVP RESVメッセージを受け取ったあと、経路に沿った個々のネットワーク要素はフロー内でパケットに配送されたQoSおよび能力を制御するための機構を実行する。
【0004】
図1は許可制御を実行するための従来のイントサーブ実施の使用を例示する。図1に示すように、模範的なIPネットワーク10はN個の同一のノード(例えばサービスプロバイダ境界ルータ)12を含み、各々がL地区の顧客のために顧客構内装置(Customer Premise Equipment,CPE)に接続された能力XのLリンクを有している。フローごとにおいては、コネクション型のアプローチは、各ノード12が起点から宛先へのネットワークに沿ったどのリンクも過負荷ではないということを保証する。アクセス能力を見て、フローごとのアプローチはすべてのフローに対する能力の合計が任意の出口アクセスリンク(例えばノード12aのリンク1)の能力Xを超えないように、入口アクセスリンクの各々での入力フローを直接制限することができる。同様のアプローチがIPネットワーク10内の例示されていないコアルータに接続するリンクに適用が可能である。
【0005】
概念的には非常に単純ではあるが、図1に例示した許可制御技術は多くの欠点を有している。最も重要には、RSVPを使用しているイントサーブの許可制御は、サービスプロバイダの境界およびコアルータにおいてRSVPが処理集中型の信号送信を要求するため、拡張性に限界がある。特に、RSVPは送信器と受信器との間の各ネットワーク要素において適切な資源割り当てを要求するための端末間信号送信を要求し、どのフローを許可するかを決定するために、入口ノード12b−12dによるポリシー問い合わせを行い、それに応じてトラフィックを取り締まり、同時に多くの他のハンドシェイクメッセージを取り締まる(police)。結局、イントサーブRSVP信号によって要求される処理は電話またはATM信号の処理に匹敵し、各境界内で高性能の(すなわち高価な)プロセッサ要素または、そのような信号によって要求される大規模な処理を行うコアになるIPルータを要求する。RSVP信号はソフト状態にある。これは、IPネットワークを介した転送経路は変更するかもしれず、それゆえフローによって要求されるQoSおよび能力についての情報は周期的に通信されなければならないため、信号送信処理が頻繁にリフレッシュされる(デフォルトで30秒ごと)ということを意味する。このいわゆるソフト状態の動作モードがATMスイッチの処理負荷よりもさらに大きい追加の処理負荷をルータ上に生成する。さらに、境界ルータのプロセッサが大量の無効なRSVP要求によって過負荷にされると、プロセッサがクラッシュし、それによって故障したプロセッサを有するルータによって処理されているすべての顧客に対するすべてのフローに対するサービスが中断される。
【0006】
従来のイントサーブRSVP信号送信を利用した許可制御の実施に関連した課題を認識して、IETFはRFC2475[S. Blake et al., "An Architecture for Differentiated Services" Dec.1998]において規定された、差別化されたサービス(Differentiated Service、ディフサーブまたはDS)プロトコルを普及させたディフサーブは、各IP層パケットヘッダのDSフィールド(例えば、IPv4型のサービス(TOS)バイトまたはIPv6トラフィッククラスバイト)内の集合したトラフィック分類を搬送することによって拡張性を達成したIP QoSアーキテクチャである。DSフィールドの最初の6ビットは、ディフサーブドメイン内の経路に沿った各々のノードでパケットのために、特定のサービスクラスまたは、パケットに対するホップ単位動作(PHB)を要求するディフサーブコードポイント(Diffserv Code Point,DSCP)を符号化する。
【0007】
ディフサーブドメインにおいては、ネットワーク資源はサービス供給ポリシーに応じてパケットフローの集合体に割り当てられる。サービス提供ポリシーはDSCPマーキング、ディフサーブドメインへの入場のためのトラフィック条件およびディフサーブドメイン内のトラフィック転送を支配する。マーキング(すなわち分類)および条件付け操作はディフサーブネットワーク境界においてのみ実行される必要がある。このように、特定のQoSを有するフローを確立するために送信器と受信器の間で端末間信号を要求するよりも、ディフサーブは各IPパケットヘッダを単に検査および/またはマークすることによって入口境界ルータがQoSを集合されたフローに提供することができるようにする。
【0008】
ディフサーブ標準は、イントサーブの処理集中型信号送信をハードウエアにおいて容易に実行されうる簡単なパケットごとのマーキング操作と置き換えることによってイントサーブの拡張性の限界に対処したが、ディフサーブプロトコルの実施は別のタイプの問題を提示する。特に、ディフサーブはサービスクラスのホストのマーク付けを許容するため、ディフサーブネットワーク顧客リンクは、多くのホストがDSフィールドが高い優先度に設定された状態でそのリンクにパケットを送信するとサービスの拒否(DoS)攻撃を経験しうる。ホストの組はDSCPを設定することによって直接、または、特定のDSCPへある別のルータまたは装置によって分類されたトラフィックを提出することによって間接的に、ディフサーブサービスクラスの予約された能力を超えることができる。ディフサーブにおいては、IPネットワークは顧客のインターフェイスが各ディフサーブサービスクラスに対する予約された能力を超えないということを確実にするために、入口ルータで取り締まることによってその資源を保護できるだけである。しかしながら、これはDoS攻撃を防げない。
【0009】
図2は従来のディフサーブプロトコルを実行する模範的なIPネットワーク10´におけるDOS攻撃のシナリオを示す図である。図2において、多くの入口ノード(例えば入口境界ルータ)12b´−12d´の各々は、トラフィックが出口ノード(例えば出口境界ルータ)12a´の単一のリンクを標的にすることを許容する。各入口ノード12´は、顧客が各DSCPで自分の予約した資源を超えないということを確実にするために入来パケットを取り締まるが、許可されたフローの集合はノード12a´の出口リンク1の能力Xを超え、その結果、このリンクによって顧客サイトへのサービスの拒否となる。
【0010】
イントサーブおよびディフサーブ標準の従来の実施に付随する限定にかんがみて、この発明は、従来のイントサーブ実施と異なって、拡張性が高く、しかも従来のディフサーブおよび他のネットワークが受けやすいDoS攻撃に対して保護できる、通信プロトコルをサポートするデータ通信のための方法、システムおよび装置を提供することが有用でありかつ望ましいということを認識する。
【0011】
この発明に従うネットワークアーキテクチャは1以上のネットワークベースの仮想私設網(VPN)をサポートする通信ネットワークを含む。通信ネットワークは1以上のVPNに属するCPEエッジルータへのアクセスリンクによって接続された複数の境界ルータを含む。外部顧客のVPNからのトラフィック(例えば他のVPNまたは一般のインターネットからのトラフィック)が顧客のVPN内に提供されるQoSを悪化させないために、この発明は、余分なVPNトラフィックが内部VPNトラフィックを妨害できないように、アクセスリンクの優先度またはアクセスリンクの能力割り当てを通じて、各顧客のアクセスリンクに対して内部VPNトラフィックを余分なVPNトラフィックよりも優先する。このようにして余分なVPNトラフィックに対して内部VPNトラフィックを優先することが、ネットワーク要素およびプロトコルの特別の設定を引き起こす。この特別の構成は、VPN境界ルータおよびCPEエッジルータでの、内部VPNトラフィックおよび余分なVPNトラフィック間の論理的なトラフィック分離を達成するためのルーティングプロトコルの設定とともに、レイヤ2スイッチおよび多重化を使用したアクセスネットワークおよび物理的なアクセスリンクでの内部VPNおよび余分なVPNトラフィック間のしきりを含む。このように、アクセスネットワーク、VPN境界ルータおよびCPEエッジルータ並びにエッジおよび境界ルータのルーティングプロトコルを構成することによって、DoS攻撃の防止に対する高レベルのサービスが達成される。
【0012】
この発明の追加の目的、特徴および利点は以下の詳細な記載から明らかになる。
【0013】
発明の特徴であると信じられる新規な特性が添付のクレームで述べられている。しかしながら、この発明自体、使用の好ましいモード、更なる目的およびその利点は、添付の図面と共に読まれたとき、例示的な実施例の詳細な説明を参照することによって最もよく理解される。
【0014】
図、特に図3を参照して、この発明に従った、仮想私設網(VPN)顧客のアクセスを保護するとともにDoS攻撃に対して主要なネットワークリンクを保護しながら、選択されたトラフィックに対してQoSを提供する拡張性のある方法を提供する模範的なネットワークアーキテクチャ20の高レベルのブロック図が示されている。図2に例示した従来のネットワークと同様に、図3のネットワークアーキテクチャ20は、それぞれがLのアクセスリンクを有するNのサービスプロバイダ境界ルータ(BR)22を有するディフサーブネットワーク21を含む。ネットワークアーキテクチャ20において異なるのは、ディフサーブネットワーク21が複数のVPN事例をサポートすることである。このうち2つの事例が図に示されており、一方は、第一ネットワークサービス顧客24に対するCPEエッジルータ(ER)に接続された境界ルータ22のアクセスリンクであり、もう一方は、4つのサイトの各々にある、第二ネットワークサービス顧客25に対するERであって、それぞれaからdによって特定されている。各CPE ERは顧客のローカルエリアネットワーク(LAN)にネットワークサービスを提供する。サービスプロバイダネットワークに基づくVPNは、この図に示されたのより多い顧客をサポートしてもよい。
【0015】
図3において示された模範的な通信シナリオにおいては、CPEエッジルータ24b−24dに接続された第一VPN顧客のLAN内のホスト、CPEエッジルータ25a−25dに接続された第二VPN顧客のLAN内のホストおよび境界ルータ22a−22dにリンクされた別の例示のないCPEエッジルータに接続されたサイトは全て、第一VPN顧客CPEエッジルータ24aに接続されたLANを目標とするパケットフローを送信してもよい。図2に関して上で述べた先行技術の従来のディフサーブネットワークがもし実行されると、CPEエッジルータ24aに接続された境界ルータ22aの出力アクセスリンク1はこれらのフロー集中によって容易に圧倒され、その結果DoSを引き起こす。しかしながら、この発明によれば、図3のディフサーブネットワーク21は、他のVPNまたは他のサイトからのトラフィックを境界ルータ22aの物理的アクセスリンク1の第2論理ポートに向ける一方で、内部VPNトラフィックを境界ルータ22aの物理的アクセスリンク1の第1論理ポート27に向けることによって、VPNの外からのDoS攻撃を防ぐ。
【0016】
所定の顧客団体外部(例えば他のVPNまたは一般のインターネット)からのトラフィックが所定の顧客団体内からのトラフィック(例えば同じ企業内の他のホストからのトラフィック)からのトラフィックに与えられたQoSを悪化させないために、この発明では内部VPNトラフィックを余分なVPNトラフィックに対して優先順序づけるか、または余分のVPNトラフィックが内部VPNトラフィックを妨害できないようにアクセスリンク能力を割り当てる。言い換えると、以下に詳細に述べるように、各境界ルータ22は各顧客のアクセスリンクに顧客のVPN内で生じたトラフィックに優先権を与える。ここで、VPNは、ネットワーク資源および/または通信がノードの集合の会員資格に基づいて分割された共有ネットワークインフラストラクチャによって接続されたノードの集合として定義される。このように内部VPNトラフィックを余分なVPNトラフィックに対して優先させることによって、論理的なトラフィック分離を達成するためにレイヤ2の多重化およびルーティングプロトコルの設定を使用して内部VPNと余分VPNの間で物理的なアクセスの分割を含むネットワーク要素およびプロトコルの特別の設定を実現する。要約すると、CPEエッジルータ、アクセスネットワーク、ネットワークに基づくVPN境界ルータ、およびエッジおよび境界ルータに組み込まれたルーティングプロトコルの設定が以下に詳細に説明するようにDoS攻撃を防ぐための高レベルのサービスを達成するために協同する。対照的に、従来のディフサーブおよびCPEエッジルータ、IPに基づくIP VPNの実行は同じVPN内のサイト用として予定されているトラフィック(例えば内部VPNトラフィック)とインターネット(例えば余分なVPNトラフィック)の他の領域から送信されたトラフィックとを分離しなかった。
【0017】
図4−8を参照して、図3に示された一般化されたネットワークアーキテクチャ20の少なくとも2つのクラスの実施例が可能である。特に、この発明に従うネットワークは図4−6を参照して以下に述べるようなCPEに基づくVPNの実施または図7および図8を参照して以下に述べるネットワークに基づくVPNの実施のいずれかとして実現される。
【0018】
まず図4を参照して、DoS攻撃に耐えるために、CPEに基づくVPNを採用した模範的なネットワークアーキテクチャ30を例示する。示されたネットワークアーキテクチャはディフサーブ可能な(Diffserv-enabled)IP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LANs)32とを含む。顧客のLAN32は、各々が一または両方のネットワーク44および46にわたって通信されたパケットを送信器および/または受信器として機能できる一以上のホストを含む。図4に示した模範的な実施例においては、顧客LAN32aおよび32bは、企業のような所定の同じ団体(例えばVPN)に属しているものと仮定する。
【0019】
各顧客LAN32はそれぞれのCPEエッジルータ34および物理的アクセスリンク35によって、それぞれのアクセスネットワーク(例えばL2アクセスネットワーク)38に接続されている。アクセスネットワーク38aおよび38bは、各々がディフサーブ可能なIP VPNネットワーク44の境界ルータ(BR)40への第一L2アクセス論理接続と、ベストエフォート型のIP公衆ネットワーク46の境界ルータ(BR)42への第二L2アクセス論理接続とを有する。内部VPNおよび余分なVPNトラフィックを異なった線で表した図4に例示されているように、VPN承知(VPN-aware)CPEエッジルータ34aおよび34bは、IP VPNに属するIPアドレスのプレフィックスを有するパケットのみをディフサーブ可能なIP VPNネットワーク44を介して送信し、他のすべてのトラフィックをベストエフォート型のIP公衆ネットワーク46を介して送信する。顧客LAN32の安全性を高めるために、CPEエッジルータ34aおよび34bはすべてのトラフィックをファイアウォール36aおよび36bのそれぞれを介してベストエフォート型のIP公衆ネットワーク46へ、またはそこからすべてのトラフィックを送信する。
【0020】
図4に例示されているネットワークアーキテクチャにおいては、IP VPNの外部から生じたDoS攻撃が内部VPNトラフィックに対して優先度を許容するためにアクセスネットワーク38a、38bの2つの論理接続を適切に利用するために境界ルータ40a−40bと42a−42bとを設定することによって防がれる。例えば、第一の設定では、ディフサーブ可能なIP VPNネットワーク44とのL2アクセス論理接続に対してベストエフォート型の公衆IPネットワーク46へのL2アクセス論理接続よりも高い優先度が割り当てられる。そのようなアクセスリンク35の優先順位をサポートするL2アクセスネットワークはイーサネット(例えばイーサネット優先度の利用)、ATM(例えばATMサービス分類の利用)および多くのフレームリレー(FR)ネットワークの実施とを含む。これらの実施はよく知られた技術を利用して提供されうる。設定によって、ディフサーブ可能なIP VPNネットワーク44の各境界ルータ40は、アクセスネットワーク38への論理接続に対するパケットの送信割合を、ベストエフォート型IP公衆ネットワーク46に対してL2アクセス論理接続が窮乏(starvation)しないように、アクセスリンクの値よりも小さい値に合わせる(shape)。代わりに、第二設定として、境界ルータ40a−40bおよび42a−42bは各L2アクセスネットワーク論理接続に対して予定されたトラフィックを特定の割合に合わせるよう個々に設定されてもよい。ここではこれら割合の合計はCPEエッジルータ34およびアクセスネットワーク38にリンクした物理的なアクセス媒体の送信能力より少ないかまたは等しい。これら2つの設定のいずれにおいても、境界ルータ40および42はパケットのDSCPマークに基づいたスケジューリングおよび優先度を実行し、IP VPNトラフィックに対するアクセスネットワーク接続に対して割り当てられた能力を合わせる。
【0021】
当業者によって理解されるように、これら代案の設定のいずれを実行するかという選択は、各設定が利点および欠点を共に有しているため、設計上の選択の問題である。例えば、最初の設定では、ネットワーク44および46間のアクセスネットワーク設定の調整が容易である。しかしながら、もしアクセスネットワーク38が厳格な優先度のみを実施すると、ディフサーブ可能なIP VPNネットワーク44からのIP VPNトラフィックはIP公衆ネットワーク46上で通信されるベストエフォート型のトラフィックを窮乏させるかもしれない。第二の設定はこの欠点をアクセスリンク能力の一部をネットワークアクセスの各タイプ(例えば内部VPNおよび余分VPNの両方)にこれらのアクセスリンク能力を割り当てることによって対処している。しかしながら、もし境界ルータ40、42が第二設定に従ってトラフィックを合わせると、ネットワーク44、46の一方に対する使用されないアクセス能力が別のネットワークへのアクセスのために使用できない。すなわち、シェイパ(shaper)は分離された境界ルータ40、42上にあるため、非作業保存(non-work-conserving)スケジュールのみが可能である。
【0022】
図5を参照して、図4に示されたネットワークアーキテクチャ内で使用されうるQoS承知CPEエッジルータ34のより詳細なブロック図が例示されている。例示されているように、CPEエッジルータ34は複数のLANポート60を含む。このLANポート60は対応する数の顧客LAN32に接続を提供する。例えば、図5において、LANポート60aはそれぞれが32ビットのIPアドレス“a.b.c.d”、“a.b.c.e”および“a.b.c.f”の多数のホスト48を含む顧客LAN32に接続されている。
【0023】
各LANポートは転送機能62に接続され、転送機能62はパケットを、LANポート60と、一以上のワイドエリアネットワーク(WAN)の物理ポート64(その一つのみが例示されている)に存在する一以上の論理ポート(LP)66との間で転送する。LP66は各々がレイヤ2のサブインターフェイスを含むが、例えば、イーサネット仮想LAN(VLAN)、FRデータリンク接続識別子(DLCI)、ATM仮想チャンネル接続(VCC)またはポイントツーポイントプロトコル(PPP)/時分割多重化(TDM)チャネルにおいて実行される高レベルのデータリンク制御(HDLC)として実施されてもよい。WAN物理ポート64は、論理ポート66からのパケットをアクセスネットワーク38の通信媒体上で多重化するためにスケジューラ68を採用し、アクセスネットワーク38から受信したパケットを転送機能70を利用したそれぞれの論理ポートへ転送する。
【0024】
CPEエッジルータ34のLANポート60が顧客LAN32からパケットを受信すると、パケットはまず分類器80を通る。分類器80は分類器テーブル82を参照して、CPEエッジルータ34によって各パケットがどのように処理されるかを決定する。図5に例示されているように、分類器テーブル82は起点アドレス(SA)、宛先アドレス(DA)、起点ポート(SP)および宛先ポート(DP)、プロトコル形式(PT)、DSCPまたはパケットのリンクからの他のフィールド、ネットワークまたは転送層ヘッダを含む多くの見出しを有してもよい。これらの見出しの一以上のパケットの値に基づいて、分類器72はパケットを処理するために使用されるCPEエッジルータ34内のポリサ(policer,P)、マーカ(M)、宛先LP、宛先LP列(queue)(Q)のための値を得る。この発明の代わりの実施例においては、宛先LPおよび宛先LP列入力の検査は分類器80よりも転送機能62によって実行されうる。
【0025】
示されているように、分類器表82内のテーブル入力値はプレフィックスまたは範囲、またはナル(“−”によって示される)を利用することによって部分的に特定またはフルに特定されてもよい。例えば、LAN32のホスト48のSAは、32ビットのIPアドレスを用いてフルに特定され、多くの宛先ホストのDAは特定のIPネットワークを識別する24ビットのIPアドレスプレフィックスを利用して特定され、多くの見出し値および一つの取り締まり値はナルである。一般に、同じポリサ、マーカおよび/またはシェイパ値、イントサーブフローに対するこれらの値はRSVP RESVメッセージから取られるのであるが、これらは異なって分類されたパケットフローに対して特定されてもよい。例えば、分類器テーブル82はポリサP1とマーカM1が、DSCP“010”でマークされたSA“a.b.c.e”を有するパケットと同様にDSCP“101”でマークされ、任意のSAからのパケットを処理するということを特定する。しかしながら、分類器テーブル82は、VPN内のDAを有するトラフィック(すなわち内部VPNトラフィック)のための異なった宛先LP値を特定することによって異なる分類を有するフローとインターネットにおけるどこかのホスト(すなわち余分なVPNトラフィック)に宛てられたトラフィックと区別する。このように、IPアドレスプレフィックス“r.s.t”、“w.x.y”および“l.m.n”のすべてがネットワーク32として同じVPNに属しているため、これらDAが合致したトラフィックは、すべての他のトラフィックがベストエフォート型のIP公衆ネットワーク46に対してLP−2 66bを介して送信される間にディフサーブ可能IP VPNネットワーク44を介して同じVPN内の他のサイトにLP−1 66aを介して送信される。
【0026】
パケットが転送される論理ポート66およびLP列は静的設定によってまたはルーティングプロトコルによって動的に決定されうる。いずれの場合においても、VPNルートは、もしCPEルータ34が同じ宛先IPアドレスのためにインストールされた両方のルートを有しているときは、インターネットルートについて常に優先されるべきである。そのような優先度は、(1)VPNルートをインストールするための内部ゲイトウエイプロトコル(IGP)(すなわちOSPFおよびIS−IS)、およびインターネットルートをインストールするための静的ルーティングすなわちEBGP、または(2)VPNルートに対して与えられたより高いローカル優先度を有する、VPNルートとインターネットルートの両方をインストールするためのEBGPの使用、を含む多くの方法の任意のもので実行されうる。
【0027】
分類後、分類器テーブル82によって示されるように、ポリサP0、P1およびマーカM0、M1、M2によって適切にパケットが取り締まられマークされたあと、テーブル検査によって特定されるように転送機能62によって論理ポート66aまたは66bのいずれかに切り替えられる。特定の論理66内で、パケットは分類器テーブル82によって特定されたLP列Q0−Q2に向けられる。LP列Q0−Q2はランダムアーリーディテクション(RED)のような利用可能なバッファ能力または閾値のいずれかに基づいて許可制御を実行する。スケジューラ90は、それから先入れ先出し(FIFO)、優先順、重み付けされたラウンドロビン(Weighted Round Robin,WRR)、重み付けされたフェアな列(WFQ)または級に基づいた列(CBQ)のような選択されたスケジューリングアルゴリズムに応じてLP列Q0−Q2を処理する。例えば、例示された実施例においては、LP−2 66aのスケジューラ90は各LP列iに関連した重み付けwiおよび論理ポート2に対する全体的なWFQスケジューラ割合r2に基づいてWFQを実施し、それによってトラフィックを割合r2に決定する。最後に、上記したように、物理的なWANポート64のスケジューラ68はアクセスネットワーク38に対して送信を制御するために各種論理ポート66を処理する。
【0028】
CPEエッジルータ34はWAN物理ポート64でアクセスネットワーク38からパケットを受信し、転送機能70を利用して、それが論理ポートに対してマップ化しているようにアクセスネットワーク38の設定によって指示される適切な論理ポート66aまたは66bにパケットを転送する。各論理ポート66において、パケットは分類器100を通過する。分類器100は分類器テーブル102にアクセスするために上で述べた同じ組の見出し内の1以上の見出しを採用している。典型的な実施においては、分類器100の結果の検査は、取締りおよびマーキングは滅多に要求されないために分類器80の検査よりも複雑ではない。このように示された実施例においては、パケットは転送機能62によって論理ポート66の分類器100から直接パケットのDSCPに基づくテーブル検査において特定されたLANポート60aの特定の列Q0−Q2に転送される。上記したように、LANポート60aの列Q0−Q2はWFQを実施し、顧客LAN32にパケットを転送する、スケジューラ102によって処理される。
【0029】
図6Aを参照して、VPN機能のないQoS承知境界ルータのより詳細なブロック図が示されている。VPN機能は例えば境界ルータ42を実行するために図4のネットワークアーキテクチャ内で使用されてもよい。示されているように、図6Aの境界ルータ42は複数の物理ポート116と、入来パケットのために転送機能112および発信パケットのためのスケジューラ114によってアクセスネットワーク38に接続された複数の論理ポート110と、論理ポート110および物理ポート116間でパケットを転送する転送機能118とを含む。複数の物理ポート116の実施によって、ネットワークコアルータに対する障害耐性接続が許容され、アクセスネットワーク38に接続された複数の論理ポートの実施は一つの論理ポートの実施によって、一つの論理ポート(すなわちLP−1 110a)をディフサーブ可能な論理ポートとして、また第二論理ポート(すなわちLP−2 110b)をベストエフォート型の論理ポートとして設定することが許容される。
【0030】
このように、アクセスネットワーク38から境界ルータ42のLP−2 110bを介してネットワークコアへ至るトラフィックに対して、LP−2 110bの分類器124はすべてのパケットを分類器テーブル126に従ってマーカM0に向ける。マーカM0はDSCP000でLP−2 110bで受信したすべてのパケットについて意見を述べ(remark)、このように、パケットをベストエフォート型のトラフィックとして特定する。対照的に、LP−1 110aの分類器120は、信頼されたCPE(例えばサービスプロバイダが管理するCPEエッジルータ34)でDSCPマーキングを既に受信した入来パケットをPHY−1 116a上の列Q0−Q2にマップ化するために分類器テーブル122を利用する。この列はQoSの異なるレベルに各々が関連している。パケットは、信頼されたCPEによって、既にマルチフィールドに分類され、マークされまた合わされて(shaped)いるため、境界ルータ42はパケットに対して意見を述べる必要はない。しかしながら、もし送信CPEエッジルータがCPEによって信頼されないのであれば、境界ルータ42はLP−1 110aで受信したパケットに対して意見を述べまた取り締まる必要があるであろう。
【0031】
分類(およびLP−2 110bで受信したトラフィックの場合においてはマーキング)に続いて、トラフィックは転送機能118によって適切な物理ポート116または論理ポート110に転送される。フルの転送検査を実行するために分類器を使用している図5のエッジルータ34と対照的に、境界ルータ42は代わりの設計を採用しており、そこでは転送機能118が出力ポート、すなわち、この例においてはLP−1 110a、LP−2 110b、またはPHY−1 116aを決定するためにパケットのDAで転送テーブル128にアクセスする。非VPNルータの場合は、転送テーブル128には、一般的なIPルーティングプロトコル(例えばボーダゲートウエイプロトコル(BGP))または静的設定(例えば、LP−2 110bでの24ビットのIPアドレスプリフィックス“d.e.f.”の関連)が存在する(populated)。代わりの実施例は転送機能62内に機能を転送するIP検査を中央に位置させうる。図6に示された模範的な実施例は境界ルータ42がネットワークコアに送られるすべてのトラフィックをコアルータに接続された物理的なポート116のただ一つに送信すると仮定する。別の実施例ではもちろん、物理ポート116を介してバランスしたトラフィックを負担させることも可能である。加えて、コアルータを削除したり、一以上のコアルータに対して一以上の論理ポートを採用する実施例も示された設計のまっすぐな拡張である。
【0032】
境界ルータ42を介したアクセスネットワーク38に通信されるトラフィックに対しては、分類器132がパケットのDSCPによって指示されたQoSに対して列Q0−Q2の適切な一つに各パケットを向けるためのパケットのDSCPを使用した分類器テーブル134にアクセスする。ディフサーブ可能な論理ポート110を購入した顧客に対しては、起点CPEが適切なDSCP値でフローを取り締まりかつマークするため、これが所望のQoSを配送する効果を有する。ベストエフォート型の顧客がより高い質のトラフィックを受けることができるが、そのような一方通行の差別されたサービスを防ぐことは分類器においてかなりの付加的な複雑さを要求し、サービスプロバイダネットワークにおける各エッジルータに対してルーティングプロトコルを介してQoS情報の分配を含む。
【0033】
図6Bを参照して、図4に示されたネットワークアーキテクチャ内においてディフサーブ可能な、およびDoSに対して保護されたVPNサービスを提供するために使用されてもよい、QoS承知(aware)VPN境界ルータ40のより詳細なブロック図が示されている。示されているように、境界ルータ40はディフサーブ可能なIP VPNネットワーク44のコアルータに接続するための複数の物理ポート226と、入来パケットのための転送機能220によってアクセスネットワーク38に接続された複数のディフサーブ可能な論理ポート224と、発信のためのスケジューラ222と、論理ポート224と物理ポート226の間のパケットを転送する転送機能228とを含む。
【0034】
境界ルータ40上で実行される各ディフサーブ可能な論理ポート224の各々は複数のVPNのそれぞれの一つを処理する。例えば、ディフサーブ可能な論理ポートをLP−A 224aは、24ビットのIPアドレスプレフィックス“a.b.c.”および“a.b.d.”を有する顧客サイトを含むVPN Aに属する顧客サイトにサービスを提供する。同様に、ディフサーブ可能な論理ポートLP−B 224bは24ビットIPアドレスプレフィックス“b.c.d.”および“b.c.e.”を有する二つの顧客サイトを含むVPN Bに属する顧客サイトにサービスを提供する。ディフサーブ可能な論理ポート224は、ベストエフォート型のIP公衆ネットワーク46に属するサイトにはサービスを提供しない。というのは、そのようなトラフィックは図4に示されるように、境界ルータ42に送られるからである。
【0035】
図6Bにさらに例示されているように、境界ルータ40の各コアに対面している物理ポート226は論理トンネル240として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバ−IPトンネル、一般ルーティングカプセル化(Generic Routing Encapsulation,GRE)トンネル、トンネルモードで作動されたIPセック(IPsec)、多重プロトコルラベル切り替え(MPLS)ラベルの積み重ねられた組、レイヤ2トンネルプロトコル(L2TP)またはナル(null)トンネルを含む各種の技術の任意のものを使用して実行されうる。そのようなトンネルは、複数のVPNに対するルーティング情報はネスト化された方法でトンネルに関連されうるという点で論理ポートと区別できる。例えば、IETF RFC2547[E. Rosen et al.,"BGP/MPLS VPNs" March 1999]に述べられているボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、一方最後のラベルが宛先VPNを決定する。
【0036】
動作において、ディフサーブ可能な論理ポート224の各々の分類器230は、それぞれの分類器テーブル232を参照してパケットのDSCP値に応じてディフサーブ可能なIP VPNネットワーク44のネットワークコアに対して境界ルータ40を介してアクセスネットワーク38からのパケットフローを分類する。示されているように、分類器テーブル232aおよび232bは各パケットに対して物理ポートPHY−1 226aで列Q0−Q2の適切な一つを決定するための見出しとしてDSCPを使用してアクセスされる。物理ポート226によって受信されたパケットは、論理ポート224の一つで各パケットに対して列Q0−Q2の適切な一つを決定するために、分類器テーブル254を参照することによって分類器250によって同様に分類される。分類(およびLP−B 224bで示される選択的な(再)マーク)の後、選択機能228は、それぞれのVPNに各々が関連するVPN転送テーブル234a−234nを参照して論理ポート224と物理ポート226との間でパケットを交換する。このように、例えば、VPN転送テーブル234aはVPN Aのための転送ルートを提供し、VPN転送テーブル234bはVPN Bに対する転送ルートを提供する。
【0037】
VPN転送テーブル234は見出しとして起点ポートとDAを使用してアクセスされる。例えば、転送テーブル234aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプレフィックス“a.b.d.”を有するDAでアドレスされたVPN A内のトラフィックはTNL−1 240aを妨害し(traverse)、TNL−240bで受信されたトラフィックはLP−A 224aに向けられる。TNL−2 240bとLP−B 224b間の同様の経路指定がVPNルーティングテーブル234bにおいて見られうる。上で議論したように、VPN転送テーブル234には静的設定またはルーティングプロトコルの動的な使用が存在する(populate)。
【0038】
転送機能178による処理のあとで、各々のパケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に収納され、DSCP000でマークされたトラフィックはQ0内に収納される。スケジューラ236および252はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0039】
図7を参照して、DoS攻撃問題に対するネットワークベースのVPNソリューションを提供する模範的なネットワークアーキテクチャ150が例示される。図7において、同様の参照符号およびトラフィック表記が図4に示されたネットワークアーキテクチャ30の特徴に対応する特徴を特定するために使用される。
【0040】
示されているように、図7のネットワークアーキテクチャ150は図4のネットワークアーキテクチャ30と同様に、ディフサーブ可能なIP VPNネットワーク44と、ベストエフォート型のIP公衆ネットワーク46と、複数の顧客ローカルエリアネットワーク(LAN)32とを含む。上記のように、顧客LAN32aおよび32bは同じVPNに属し、各々がパケットの送信器および/または受信器として機能しうる一以上のホスト48を含む。各顧客LAN32はCPEエッジルータ34と物理アクセスリンク153によってそれぞれのアクセスネットワーク(例えば、L2またはL3アクセスネットワーク)154に接続される。QoSとベストエフォートトラフィックに対して別の論理接続を有している、図4のアクセスネットワーク38と対照的に、アクセスネットワーク154は、ベストエフォート型のIP公衆ネットワーク46の境界ルータ42に対して別の論理接続を有するディフサーブ可能なIP VPNネットワーク44の境界ルータ156に接続されているだけである。このように、ネットワーク44に予定された内部VPNトラフィックとネットワーク46に予定された余分のVPNトラフィックは共に境界ルータ156を介して送信される。これはトラフィックの2クラス間の作業保存型計画は有利に許可されるということを意味する。しかしながら、その結果、境界ルータ156の複雑さは、各境界ルータ156が、顧客間で共有しうるフルのインターネット転送テーブルとともに、各付属の顧客に対する別の転送テーブルを実施しなければならないため、必ず増加する。
【0041】
図8を参照して、図7において示されたネットワークアーキテクチャ内のディフサーブ可能なおよびDoS保護されたVPNサービスを提供するために設定された、ポリサ(policer)、シェイパ(shaper)、スケジューラ、論理ポートアクセスネットワーク接続および転送テーブルがQoS承知VPN境界ルータのより詳細なブロック図が示されている。示されているように、境界ルータ156はネットワークコアルータに接続するための複数の物理ポート176と、入来パケットのための転送機能170によってアクセスネットワーク154に接続された複数のディフサーブ可能な論理ポート174と、論理ポート174と物理ポート176との間のパケットを転送する転送機能178とを含む。
【0042】
各CPEエッジルータ34はアクセスネットワーク154を介して単一のアクセスリンクのみによって境界ルータ156に接続されているため、各ネットワーク顧客サイトは一つが内部VPNトラフィックに、一つが余分なVPNトラフィックという一対のディフサーブ可能な論理ポート174によって境界ルータ156でサービスされる。例えば、ディフサーブ可能な論理ポートLP−A1 174aおよびLP−A2 174は24ビットIPアドレスプリフィックス“a.b.c.”と“a.b.d.”を有する少なくとも二つの顧客サイトを含むVPN Aに属する単一顧客サイトにサービスを提供する。示された実施例においては、LP−A1 174aはVPN Aに属するサイトへおよびそのサイトからディフサーブ可能なIP VPNネットワーク44を介して通信されたQoSトラフィックに対するアクセスを提供し、LP−A2 174bはベストエフォート型のIP公衆ネットワーク46へ、およびそこからのベストエフォートトラフィックに対するアクセスを提供する。
【0043】
図8にさらに例示されているように、境界ルータ156の各コアに面した物理ポート176は論理トンネル180として実施される複数のサブインターフェイスに論理的に分割される。当業者に理解されるように、トンネルはIP−オーバー−IPトンネル、一般ルーティングカプセル化(GRE)トンネル、トンネルモードにおいて操作されるIPセック、積層された多重プロトコルラベル切り替え(MPLS)ラベルの組またはナルトンネルを含む各種技術の任意のものを使用して実施されてもよい。そのようなトンネルは、多重VPNのためのルーティング情報がネスト化(nested)された方法でトンネルに関連されうるという点で、論理ポートと区別されうる。例えば、IETF RFC2547において述べられたボーダゲートウエイプロトコル(BGP)/MPLS VPNにおいては、最高のMPLSラベルが宛先境界ルータを決定し、最後のラベルが宛先VPNを決定する。
【0044】
動作において、ディフサーブ可能な論理ポート174の各々にある分類器182は、境界ルータ156を介してそれぞれの分類器テーブル190を参照してパケットのDSCPに応じてネットワークコアにアクセスネットワーク154からのパケットを分類する。示されているように、分類器テーブル190aおよび190bは、各パケットに対して物理ポートPHY−1 176aの適切な列Q0−Q2の一つを決定するための見出しとしてDSCPを用いてアクセスされる。物理ポート176によって受信されたパケットは、論理ポート174の一つにおける各パケットのために列Q0−Q2の適切な一つを決定するために分類器テーブル192を参照することによって分類器198によって同様に分類される。分類(およびLP−A2 174bで示されるような選択的な(再)マークの)後、転送機能178は、各々がそれぞれのVPNおよび共有されたインターネット転送テーブル195に関連したVPN転送テーブル194a−194nを参照して論理ポート174と物理ポート176との間でパケットの交換を行う。このように、例えば、転送テーブル194aはVPN Aに対する転送ルートを提供する入口を含み、一方インターネット転送テーブル195は起点としてLP−A2またはTNL−2(すなわちインターネットアクセスに対して設定された論理インターフェイス)を特定するパケットのための転送経路を提供する入口を含む。
【0045】
転送テーブル194は見出しとして起点ポートおよびDAを使用してアクセスされる。例えば、転送テーブル194aにおいて表された模範的なネットワーク設定においては、24ビットのIPアドレスプリフィックスの“a.b.d.”を有するDAでアドレスされた内部VPNトラフィックはTNL−1 180aを妨害し、一方余分なVPN(すなわちインターネット)トラフィックはTNL−2 180b(これはナルトンネルとなりうる)を妨害する。転送テーブル194aは、TNL−1 180aを介して受信した内部VPNトラフィックがLP−A1 174aに向けられ、24ビットのIPアドレスプリフィックス“a.b.c.”を有するDAでアドレスされたトンネルTNL−2 180bを介したインターネットから到着したすべての他のトラフィックはLP−A1 174bに送信される。境界ルータ156(すなわちローカルDAを有するトラフィック)の他のポートで終了するトラフィックは境界ルータ156の他のポート(LP−xで示されている)に送信される。言い換えると、“ローカル”とマークされた転送テーブル194aにおける入口は境界ルータ156のインターフェイスに割り当てられたVPN(例えばa.b.c/24)に割り当てられたプリフィックス以外のアドレスプリフィックスを特定する。
【0046】
転送機能178によって処理されたあと、パケットはそれらのDSCP値に応じた出力ポート列に向けられる。例えば、DSCP101に関連したQoSクラスでマークされたパケットはQ2内に位置され、DSCP010に関連したQoSクラスでマークされたパケットはQ1内に位置される、DSCP000でマークされたベストエフォート型のトラフィックはQ0内に位置する。スケジューラ196はそれから要求されたQoSを達成するために列Q0−Q2からのパケットの出力を計画する。
【0047】
今まで述べてきたように、この発明は、VPNの外の起点からのDoS攻撃に対してそのようなフローを保護しながら、余分なVPNトラフィックにQoSを提供するための改良されたネットワークアーキテクチャを提供する。この発明はネットワークに基づくVPNサービスを使用した選択されたフローに対してDoSで保護されたQoSを、および適切に設定されたルーティングプロトコルでL2アクセスネットワークを用いたCPEエッジルータに対して接続されたベストエフォート型のインターネットサービスを提供することである。エッジにおけるディフサーブマーキングおよびネットワークに基づくVPNコアにおける処理は選択されたフローに対してQoSを提供し、一方顧客VPNの外部から生じたトラフィックがサイトのアクセス能力を超えるためにVPNネットワーク顧客サイトに対するDoSの発生を防ぐために、内部VPNおよび余分なVPNトラフィックを論理的に分割する。顧客のVPN内から生じたトラフィックからのさらなる保護さえもIETF RFC2998[Y.Bernet et al., "A Framework for Intergrated Services Operation over Diffserv Networks" Nov. 2000]に記載されているようにCPEエッジルータおよび/またはQoS承知境界ルータにおいて実施されたイントサーブポリシー制御を使用して可能になる。
【0048】
この発明のネットワークアーキテクチャは、CPEに基づく、およびネットワークに基づく実施において実現されてもよい。CPEに基づく実施であれば、CPEエッジルータおよびサービスプロバイダ境界ルータにリンクしたアクセスネットワークの設定が容易になり、全サービスプロバイダネットワークを介したディフサーブを実施することなくVPNサイトにQoSが提供される。ネットワークに基づく設定は、余分なVPNトラフィックが内部VPNトラフィックに割り当てられた余分のアクセス能力を利用することを許容する。
【0049】
この発明の各種実施例が上記で述べられたが、それらは単なる例示であって限定と理解されるべきではない。このように、この発明の広さおよび範囲は上記の模範的な実施例によって限定されるものではなく、以下のクレームおよびその均等物に応じてのみ規定されるべきである。例えば、この発明はネットワークに基づくVPNがディフサーブネットワーク内で実施された好ましい実施例に関して述べられたが、この発明はディフサーブネットワークと共に用いるものに限定されるものではなく、例えば、RFC2547において教示されているBGP/MPLS、またはRFC2917において教示されている仮想ルータの使用[K. Muthkrishnan et al., "A Core MPLS IP VPN Architecture" Sept. 2000]によって実施されてもよい、他のネットワークに基づくVPNと共に代わりに用いられてもよい。加えて、図3、4および7は各CPEエッジルータのVPNネットワークへの接続およびあるアクセスリンクによるベストエフォート型ネットワークへの接続を例示したが、冗長化のために、CPEエッジルータがVPNの各々の一以上の境界ルータおよびベストエフォート型のネットワークに論理的に接続を提供する、一以上のアクセスネットワークに多重アクセスリンクによって接続されてもよいということを理解すべきである。そのような「二重ホーム」実施においては、多重アクセスリンクはサービスプロバイダ境界ルータにおける静的経路の設立またはルーティングプロトコル(例えばEBGP)を利用したサービスプロバイダ境界ルータの動的設定を介してプライマリ/バックアップまたは負荷共有配置のいずれかにおいて使用されうる。これは、CPEエッジルータが多重転送テーブルを実施するVPNおよびインターネットのためのルーティングプロトコルの別の事例はアドレス空間にアクセスすることを要求する。そのようなCPEエッジルータの実施例は図8に例示され、関連する文章で述べられたものと同様であり、単に単一のVPNテーブルとインターネット経路のための単一のテーブルが設けられているだけである。
【図面の簡単な説明】
【0050】
【図1】RSVPを用いたフローごとのQoSを実行する従来の統合サービス(イントサーブ)ネットワークを示す図である。
【図2】各パケットヘッダーにおいてDSCPマークを用いた集合トラフィックフロー上でQoSを実行する従来の差別化されたサービス(ディフサーブ)ネットワークを例示する図であり、それゆえサービスの拒否(DoS)攻撃に対して弱い。
【図3】この発明の好ましい実施例に従った、仮想私設網(VPN)における会員資格を参照することによってアクセス能力の分割割当および/または優先順位付けを行うことによってDoS攻撃に耐えうる模範的な通信ネットワークを例示する。
【図4】DoS攻撃問題に対してCPEベースのVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図5】図4および7において例示されたネットワークアーキテクチャ内で使用されうるQoS承知(aware)CPEエッジルータのより詳細なブロック図である。
【図6A】図4および図7に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能のないQoS承知境界ルータのより詳細なブロック図である。
【図6B】図4に例示されたネットワークアーキテクチャ内で使用されてもよいVPN機能を有するQoS承知境界ルータのより詳細なブロック図である。
【図7】DoS攻撃問題に対するネットワークに基づくVPNソリューションを提供する模範的なネットワークアーキテクチャを例示する図である。
【図8】図7に示されたネットワークアーキテクチャ内で使用されうるQoS承知VPN境界ルータのより詳細なブロック図である。
Claims (20)
- 仮想私設網(VPN)に属する宛先ホストに対するアクセスリンクへのサービスの拒否攻撃に耐えるネットワークシステムであって、
前記ネットワークシステムは、
アクセスリンクを含むアクセスネットワークへの接続を有する一以上の出口境界ルータを含み、前記一以上の出口境界ルータは内部VPNおよび余分なVPNトラフィックのための別々のアクセスネットワーク論理接続内で、VPN内の起点から内部VPNトラフィックおよびVPNの外部の起点からの余分なVPNトラフィックを送信し、
VPNの外部の起点から生じた前記アクセスリンクへのサービスの拒否攻撃が防がれるように、内部VPNと余分なVPNトラフィックを論理的に分割するネットワークに基づくVPNプロトコルを使用した通信のための一以上の出口境界ルータに接続された複数の入口境界ルータを含む、ネットワークシステム。 - 複数の入口境界ルータの少なくとも一つおよび一以上の出口境界ルータの少なくとも一つに接続された、差別化されたサービスネットワークをさらに含む、請求項1に記載のネットワークシステム。
- 前記複数の入口境界ルータのそれぞれの一つに接続された複数の顧客構内装置(CPE)エッジルータをさらに含む、請求項1に記載のネットワークシステム。
- アクセスネットワークをさらに含む、請求項1に記載のネットワークシステム。
- アクセスリンクへの顧客構内装置(CPE)エッジルータをさらに含む、請求項4に記載のネットワークシステム。
- 前記CPEエッジルータは前記アクセスリンクに接続された物理ポートを有し、前記物理ポートは、内部VPNトラフィックに対して第一論理ポートを実施し、余分なVPNトラフィックに対しては第二論理ポートを実施する、請求項5に記載のネットワークシステム。
- 前記複数の入口境界ルータの少なくとも一つは、内部VPNと余分なVPNトラフィックを論理的に分離する複数のトンネルを実施する、請求項1に記載のネットワークシステム。
- 前記一以上の出口境界ルータは、前記内部VPNトラフィックへの複数の異なるサービスの質を提供する、請求項1に記載のネットワークシステム。
- 仮想私設網(VPN)に属する宛先ホストにアクセスリンクを有するアクセスネットワークを含み、前記アクセスネットワークはVPN内の起点からの内部VPNトラフィックに対する第一論理接続およびVPN外の起点からの余分なVPNトラフィックのための第二論理接続をサポートし、
アクセスネットワークへの接続を有する一以上の出口境界ルータを含み、前記一以上の出口境界ルータは、第一論理接続を介して内部VPNトラフィックを宛先ホストに送信し、第二論理接続を介して宛先ホストに対して余分なVPNトラフィックを送信し、
VPN外の起点から生じる前記アクセスリンクへのサービスの拒否攻撃を防ぐことができるように、内部VPNおよび余分なVPNトラフィックを論理的に分割するネットワークに基づくVPNプロトコルを使用して通信するための一以上の出口境界ルータに接続された複数の入口境界ルータを含む、ネットワークシステム。 - 複数の入口境界ルータの少なくとも一つおよび一以上の出口境界ルータの少なくとも一つに接続された差別化されたサービスネットワークをさらに含む、請求項9に記載のネットワークシステム。
- 前記複数の入口境界ルータのそれぞれの一つに各々が接続された複数の顧客構内装置(CPE)エッジルータをさらに含む、請求項9に記載のネットワークシステム。
- アクセスリンクへの顧客構内装置(CPE)エッジルータをさらに含む、請求項9に記載のネットワークシステム。
- 前記CPEエッジルータは、前記アクセスリンクに接続された物理ポートを有し、前記物理ポートは内部VPNトラフィックに対して第一論理ポートを、外部VPNトラフィックに対しては第二論理ポートを実施する、請求項12に記載のネットワークシステム。
- 前記複数の入口境界ルータの少なくとも一つは内部VPNおよび余分なVPNトラフィックを論理的に分割する複数のトンネルを実施する、請求項9に記載のネットワークシステム。
- 前記一以上の出口境界ルータは前記内部VPNトラフィックに対して複数の異なるサービスの質を提供する、請求項9に記載のネットワークシステム。
- サービスの拒否攻撃に対して、仮想私設網(VPN)に属する宛先ホストへのアクセスリンクを保護する方法であって、
前記方法は、
アクセスリンクを含むアクセスネットワークにおいて、VPN内の起点からの内部VPNトラフィックのための第一論理接続およびVPN外の起点からの余分なVPNトラフィックのための第二論理接続を提供するステップを含み、
複数の入口境界ルータから一以上の出口境界ルータへ、前記宛先ホストに予定された内部VPNおよび余分なVPNトラフィックを通信するステップを含み、前記内部VPNトラフィックおよび前記余分なVPNトラフィックは内部VPNおよび余分なVPNトラフィックを論理的に分割するネットワークに基づくVPNプロトコルを使用して送信され、
第一論理接続を介して一以上の出口境界ルータから宛先ホストに対して内部VPNを送信し、第二論理接続を介して宛先ホストに対して前記一以上の出口境界ルータから余分なVPNトラフィックを送信するステップを含み、それによって、VPN外部の起点から発生する前記アクセスリンクに対するサービスの拒否攻撃が防がれる、方法。 - 前記通信は差別化されたサービスプロトコルを使用する通信を含む、請求項16に記載の方法。
- 顧客構内装置(CPE)エッジルータが前記アクセスネットワークと前記宛先ホストとの間に接続され、前記方法はさらに、
アクセスリンクに接続されたCPEエッジルータの物理的ポートで、第一および第二論理ポートを提供するステップと、
第一論理ポートで内部VPNトラフィックを受信し、第二論理ポートで余分なVPNトラフィックを受信するステップとを含む、請求項16に記載の方法。 - 複数のトンネルを用いて前記複数の入口境界ルータの少なくとも一つによって内部VPNおよび余分なVPNトラフィックを論理的に分割するステップをさらに含む、請求項16に記載の方法。
- 前記一以上の出口境界ルータは前記内部VPNトラフィックに対して複数の異なるサービスの質を提供するステップをさらに含む、請求項16に記載の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US27695501P | 2001-03-20 | 2001-03-20 | |
US27695301P | 2001-03-20 | 2001-03-20 | |
US27692301P | 2001-03-20 | 2001-03-20 | |
US10/023,043 US20030115480A1 (en) | 2001-12-17 | 2001-12-17 | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
PCT/US2002/008577 WO2002075548A1 (en) | 2001-03-20 | 2002-03-20 | SYSTEM, METHOD AND APPARATUS THAT EMPLOY VIRTUAL PRIVATE NETWORKS TO RESIST IP QoS DENIAL OF SERVICE ATTACKS |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004533149A true JP2004533149A (ja) | 2004-10-28 |
Family
ID=27487176
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002574087A Withdrawn JP2004533149A (ja) | 2001-03-20 | 2002-03-20 | IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 |
Country Status (7)
Country | Link |
---|---|
EP (1) | EP1374057A4 (ja) |
JP (1) | JP2004533149A (ja) |
CN (1) | CN1498368A (ja) |
BR (1) | BR0208223A (ja) |
CA (1) | CA2441712A1 (ja) |
MX (1) | MXPA03008421A (ja) |
WO (1) | WO2002075548A1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7653050B2 (en) | 2002-02-05 | 2010-01-26 | Nortel Networks Limited | Technique for implementing a multi-service packet and optical/TDM virtual private cross-connect |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US7515926B2 (en) * | 2005-03-30 | 2009-04-07 | Alcatel-Lucent Usa Inc. | Detection of power-drain denial-of-service attacks in wireless networks |
US8914885B2 (en) * | 2006-11-03 | 2014-12-16 | Alcatel Lucent | Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks |
US9992168B2 (en) | 2013-01-31 | 2018-06-05 | Bae Systems Plc | Data transfer |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4924500A (en) * | 1989-05-17 | 1990-05-08 | Northern Telecom Limited | Carrier independent network services |
-
2002
- 2002-03-20 WO PCT/US2002/008577 patent/WO2002075548A1/en not_active Application Discontinuation
- 2002-03-20 EP EP02728525A patent/EP1374057A4/en not_active Withdrawn
- 2002-03-20 CN CNA028068203A patent/CN1498368A/zh active Pending
- 2002-03-20 JP JP2002574087A patent/JP2004533149A/ja not_active Withdrawn
- 2002-03-20 BR BR0208223-3A patent/BR0208223A/pt not_active Application Discontinuation
- 2002-03-20 MX MXPA03008421A patent/MXPA03008421A/es unknown
- 2002-03-20 CA CA002441712A patent/CA2441712A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP1374057A1 (en) | 2004-01-02 |
MXPA03008421A (es) | 2004-01-29 |
CA2441712A1 (en) | 2002-09-26 |
EP1374057A4 (en) | 2004-11-10 |
BR0208223A (pt) | 2004-03-02 |
CN1498368A (zh) | 2004-05-19 |
WO2002075548A1 (en) | 2002-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9009812B2 (en) | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks | |
US7447151B2 (en) | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router | |
US8543734B2 (en) | System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks | |
US20040223499A1 (en) | Communications networks with converged services | |
US6940862B2 (en) | Apparatus and method for classifying packets | |
US20080172732A1 (en) | System For Ensuring Quality Of Service In A Virtual Private Network And Method Thereof | |
JP2013009406A (ja) | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 | |
CN100518138C (zh) | 实现虚拟专用网的方法 | |
KR100891208B1 (ko) | 패킷 데이터 망에서 패킷 데이터 흐름을 프로세싱하는 방법, 장치, 시스템 및 컴퓨터 프로그램이 수록된 컴퓨터 판독가능 기록 매체 | |
JP2004528756A (ja) | サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置 | |
JP2004533149A (ja) | IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 | |
Cisco | VoIP Interoperability with Cisco Express Forwarding and Policy Based Routing | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
AU2002258570A1 (en) | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks | |
AU2002250371A1 (en) | System, method and apparatus that isolate virtual private network (VPN) and best effort traffic to resist denial of service attacks | |
AU2002242345A1 (en) | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router | |
Gao et al. | Design of broadband IPv6/lPv4 dual-stack access router based on service stream |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20050607 |