JP2005080297A - ルーティングポリシーを検出する非侵入的方法 - Google Patents
ルーティングポリシーを検出する非侵入的方法 Download PDFInfo
- Publication number
- JP2005080297A JP2005080297A JP2004245048A JP2004245048A JP2005080297A JP 2005080297 A JP2005080297 A JP 2005080297A JP 2004245048 A JP2004245048 A JP 2004245048A JP 2004245048 A JP2004245048 A JP 2004245048A JP 2005080297 A JP2005080297 A JP 2005080297A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- routing
- detected
- policies
- damping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/566—Grouping or aggregating service requests, e.g. for unified processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワークまたはASにおけるルーティングポリシーを非侵入的に検出する。
【解決手段】
本発明は、情報ネットワークのルーティングポリシーを検出するものである。ASのような大規模ネットワークは、1つのネットワークエレメントとして要約される。要約されたエレメントのボーダー上の複数のタップは、収集と関連づけのためにフォワードされる入口および出口データをフィルタリングする。異なるタップからの情報を関連づけることにより、ルーティングポリシーが検出される。これらの検出されたポリシーは、規定のポリシーと比較される。検出されたポリシー、および、検出されたポリシーと規定のポリシーとの比較は、規定のアクセスクラスに基づいて、アクセス制限される。
【選択図】図1
【解決手段】
本発明は、情報ネットワークのルーティングポリシーを検出するものである。ASのような大規模ネットワークは、1つのネットワークエレメントとして要約される。要約されたエレメントのボーダー上の複数のタップは、収集と関連づけのためにフォワードされる入口および出口データをフィルタリングする。異なるタップからの情報を関連づけることにより、ルーティングポリシーが検出される。これらの検出されたポリシーは、規定のポリシーと比較される。検出されたポリシー、および、検出されたポリシーと規定のポリシーとの比較は、規定のアクセスクラスに基づいて、アクセス制限される。
【選択図】図1
Description
本発明は、デジタルデータネットワークに関し、更に詳しくは、ネットワークまたはAS(Autonomous System)におけるルーティングポリシーを検出する非侵入的な方法(non-intrusive method)に関するものである。
ネットワークを伝播するデジタルデータに対しては、ルーティングを行わなければならない。英国内でホスティングされているウェブサイトをチェックするカリフォルニアのエンドユーザーの関心事は、そのウェブサイトから受信する情報であって、その情報が辿ってくるルートには関心を払わないが、ユーザーの要求とウェブサーバーからの応答を表すパケットストリームは、多数のネットワークを通じてルーティングされており、関連するすべてのパケットが同一のルートを辿らないこともある。
ルーターとは、メッセージをその個々の宛先に対して転送する特殊なコンピュータのことである。ルーターが有するタスクの1つは、パケットが辿るべき最も効果的または効率的なルートを判定することである。ルーターは、その他のルーター及び介在するネットワークに接続された複数のポート間において、情報パケットをスイッチングする。
これらの介在するネットワークは、ASと呼ばれる独立的に管理されるドメインとして構築されている。ASは、複数のルーター及び相互接続経路の組から構成されているが、1つのエンティティ(Entity)として管理され、外部世界からは、1つのエンティティのように見える。パケットは、ルーティング情報データベースに基づいてルーティングされる。AS内のルーティング情報データベースは、ドメイン内ルーティングプロトコル(intra-domain routing protocol)処理の結果であり、AS間で交換されるルーティング情報は、ドメイン内ルーティングプロトコル(inter-domain routing protocol)によって実行される。ドメイン間の場合には、ルーティング情報は、通常、ドメイン間ルーティングプロトコルを使用して交換される。ドメイン間ルーティング情報の散布がルーティングポリシーの主題である。これらのポリシーは、技術的な側面とビジネス的な側面の両方を有している。
まず、ルーティングポリシーの技術的な側面とは、パケットの最も効率的なルーティングに関係するものである。例えば、通常は、その高速性の観点から、T1回線よりもギガビットリンクのほうが好ましい。そして、通常は、ホップ数の少ないルーターのほうが好ましい。
一方、ルーティングポリシーのビジネス的な側面とは、費用とビジネス上の意思決定に関係するものである。例えば、企業は、複数のサービスプロバイダと契約し、1つのプロバイダを通じてそのトラフィックの大部分をルーティングすると共に、第2のプロバイダをバックアップとして使用することができる。ASは、ルーティングを契約上の義務に基づいたものにすることができ、例えば、特定のQoS(Quality of Service)を顧客に提供するという契約上の義務が、ルーティングポリシーに影響を及ぼす場合がある。ASは、ルーティングポリシーを使用し、特定の大容量リンク上で搬送されるトラフィックを、サービスに対して割増料金を支払う意思を有する顧客に限定する。ISP(インターネットサービスプロバイダ)は、それぞれそのピアの相手に応じて、様々なルーティングポリシーを適用することになる。
ISP又はASは、自身のルーティングポリシーを自身のネットワークの全要素に対して適用し、ポリシーが首尾一貫して適用されるようにする必要がある。これらのルーティングポリシーにより、例えば、ASが受け入れるプレフィックスの種類とその相手、及びASが通知するプレフィックスの種類とその相手が決定される。又、プレフィックス(Prefix)の集約方法、MED(Multi-Exit Discriminator)及びコミュニティ(Community)の使用法、並びに、フラッピング(Flapping)などの問題を制御するためのダンピングパラメータの使用法も、ルーティングポリシーによって示すことができる。
1つのAS内においては、ルーティング情報は、RIP(Routing Information Protocol)、OSPF(Open Shortest Path First Protocol)、又はISIS(Intermediate System to Intermediate System)などのドメイン内ルーティングプロトコルによって配布される。ドメイン間ルーティング情報は、通常、業界標準であるBGP(Border Gateway Protocol)又はこれに類似するものによって配布される。BGPは、ルーティング情報を、AS内で内部的には、ボーダールーター間においてiBGPを使用して交換し、AS間においてはeBGPを使用して交換する。このBGPルーティング情報の交換に関係するのは、ボーダールーターのみである。尚、ボーダールーターとは、ASの境界上で稼働するルーターのことである。
ASは、1つのエンティティのように見えるが、無数のルーター及びそれらのルーター間におけるリンクから構成されており、それぞれのルーター及びそれぞれのリンクが問題の発生源となる可能性を有している。問題の特性としては、オペレータの判断ミス、コネクタの不良、停電、オペレータエラー、ルーターの誤設定、又はルーター間における通信不良などである。ドメイン内ルーティングの変更の中には、ドメイン間ルーティング情報を生成するものも存在する。
地理的に分散可能であり、且つボーダールーターやそれらの間のリンク稼働状態などの無数の変数が含まれるASなどのシステム内において、ASオペレータは、自身が導入したルーティングポリシーのAS内における配備が完了し、実際に機能していることをどのように検証するのであろうか。又、ISPの顧客は、彼らが契約したルーティングポリシーを彼らのISPが実装していることをどのように検証できるのであろうか。
既存のソリューションにおいては、ターゲットネットワーク内のBGP及び類似の交換機能を監視し、特定のASの全ボーダールーターは同様の方式によって動作している、という仮定の下に、特定の場所においてルーティング情報を収集している。しかしながら、これらのソリューションは、多くの問題点を有している。まず、第1に、これらにおいては、受信した情報の程度に応じてしか、ネットワークのモデル化を行うことができない。たとえ、すべてのボーダールーターからすべてのBGPセションを収集したとしても、散布されたルーティング情報とBGPセッションから報告されたものの同一性が保証されないのである。そして、このような監視の実行には、余分なBGPセッションが必要であり、監視対象のルーターのオーバーヘッドを増加させることになる。第2の問題は、遮断されるプレフィックスが、それらのプレフィックスを通知するその他のASともBGPセッションを確立しない限り、可視状態にならないことである。即ち、これは、ルートが特定のボーダールーターによって遮断されているかどうかを検出するためには、その問題のプレフィックスを通知するルーターとそれらのプレフィックスを受け入れるルーターの両方とBGPセッションを確立しなければならないことを意味している。そして、第3の問題として、BGPセッションの形態のルーター設定又はこれに類似する情報は、実装されているポリシーから少なくとも1レベルずれている。即ち、BGPセッションデータが表しているのは、ポリシーの効果又は実施した結果であって、ポリシー自身ではない。
また、BGPセッションの監視によって取得されるデータは、ルーターの設定誤り、オペレータエラー、機器の不良、及び純粋な抽象的モデルと実際の世界を区別する無数の問題を有するネットワークを、実際のネットワークとしてではなく、推測によって表すものである。
従って、ASのルーティングポリシーを検出するための非侵入的な方法が求められているのである。
1つのAS又は複数のASのクラスタを1つのルーティング要素として要約する。そして、この要素の境界上のタップから情報を収集し、この収集した情報をフィルタリングし、情報を集計し、情報を関連付けることにより、要約された要素内におけるルーティングポリシーを検出する。収集した入口及び出口情報を関連付けることにより、要約された要素に対して内部的に適用されているポリシーを推定することができる。そして、これらの見いだされたポリシーを、公表されているポリシーと比較し、アクセス制御メカニズムにより、その詳細さのレベルを変化させ、関係者に配布することができる。
中継を行うASのケースのように、自身以外の発信元及び宛先アドレスの両方を有するトラフィックを通過させるデジタルネットワークにおけるドメイン間ルーティングの場合には、ルーティングは、ASの境界に位置するボータールーターが提供する情報によって実行される。ボーダールーターは、取り消された特定のルートについて通知することができる。これらのボーダールーターは、受け入れるプレフィックスの種類や転送するプレフィックスの種類などの多くの問題を処理するルーティングポリシーに従って動作している。
ルーティングに伴う問題点の1つが、「ルートフラップ」という口語的な名称を有する問題であり、これは、ルーターが通知された後に、取り消され、次いで、以前と同一のルート又は異なるルートによって、再度通知され、次いで、また廃止される、というように、ルーターが不安定な場合に発生する問題である。ルール上は、ルートの状態が変化するごとに、その変化をその他のASに伝播させる必要がある。このフラッピングに伴う問題は、大量のルート変更をその他のASに伝達しなければならないということである。不安定なルートとこの結果発生するルートフラッピングにより、短時間に大量のリソース(主に、CPU)が消費されることになり、BGPセッション障害、即ち、ルーター障害などの問題も生じる可能性がある。このルートフラッピングの問題に対する周知の解決策は、BGPルートフラップダンピングと呼ばれており、例えば、インターネットソサイエティによって発行されたRFC2439に記述されている。
RFC2439には、ルートフラップを検出するアルゴリズムと、検出された際に、ルートフラップを処理するダンピングアルゴリズムの仕様が規定されており、これらのアルゴリズムは、ポリシー駆動型パラメータに依存している。これらのポリシーの決定は、ルート通知がシステム内を伝播する速度に影響を及ぼすため、重要である。
本発明によれば、要約されたネットワーク要素における選択した入口及び出口のトラフィックを監視し、情報をフィルタリングし、集計し、関連付けることにより、要約されたネットワーク要素内部のポリシーを検出することができる。即ち、ASの入口及び出口ポイントにどのプレフィックスが表れるかを観察又は注目することによってのみ、ルーティングポリシーを判定しているのではない。又、このポリシー検出エンジンにおいては、ルートフラッピング又はルート集約をも考慮しなければならない。このルーティングポリシー検出エンジンは、収集された履歴データを分析することにより、例えば、ASが、どのプレフィックスを永遠に遮断し、どのプレフィックスを遮断しないか、について推論する。ルーティングポリシー検出エンジンは、プレフィックスの通知と取り消しの頻度を分析することにより、ダンピングポリシーの積極性のレベルを判断する。又、これらのすべてにおいて、検出により、(ASの内部における)iBGP(Internal BGP)ルーティング情報の散布の観察も促進される。
図1を参照すれば、ネットワーク100は、ボーダールーター110、112、114、116、及び118を有している。ネットワーク100は、単一のネットワーク、AS(Autonomous System)などのようなより大規模なエンティティ、又は、複数のネットワークもしくは複数のASまたはネットワークとASの組み合わせなどのような複数のエンティティのクラスタであってよい。本発明によれば、このネットワーク100を1つのルーティング要素として要約する。
ボーダールーター110に対するリンク120は、リンク120上のデータを監視するタップ130を有している。選択されたデータは、集計と分析のために、リンク140を介してノード150に送信される。同様に、ボーダールーター112に対するリンク122は、リンク122上のデータを監視するタップ132を有している。そして、選択されたデータは、リンク142を介してノード150に送信される。尚、ノード150は、リンク140及びリンク142を介してタップ130及びタップ132に接続されるものとして示されているが、ノード150は、タップへの通信経路さえ有しておれば、ネットワーク内のどこにでも存在することができる。例えば、ノード150は、タップ132とノード150間の通信がネットワーク100を通じて稼働するリンク120上の別のノードであってもよい。
又、2つのタップ130及びタップ132のみが示されているが、多数のタップを使用可能である。
図2は、ポリシー検出システムを含むブロックダイアグラムを示している。要約されたルーティング要素200は、図1のネットワーク100、AS、又はASを含むネットワークなどの大規模且つ複雑な要素を表している。
動作の際には、タップ130及びタップ132は、要約されたルーティング要素200に流入及びこれから流出するトラフィックを監視する。タップ130及びタップ132は、例えば、ボーダールーター110及びボーダールーター112に流入及びこれらから流出するピアリング通信セッション、並びにボーダールーターに流入及びこれから流出するトラフィックを監視する。
ノード150は、データの収集、集計、関連付け、ポリシーの検出、及びポリシーの検証を組み合わせたものとして示されているが、これらの段階は、物理的に同一の場所において実行する必要はない。これらは、選択した実装に応じて、ネットワーク上の別個の場所において(或いは、1つのノード上の別個のタスクとして)実行することができる。
タップ130及びタップ132から受信したデータは、ルーティングポリシー検出モジュール(RPDモジュール)170及びダンピング判定モジュール(DEモジュール)モジュール160にルーティングされ、ここで、集計及び関連付けが行われる。
RPDモジュール170は、そのテーブル内に、リンクごと及びピアごとに、入口及び出口の最良のプレフィックスルートを維持管理している。iBGPトラフィック情報をも捕捉する場合には、分析のために、内部の最良の出口及び入口ルートも保存する。iBGPトラフィックは、外部ルートの使用法を示す[LocalPref]などの追加属性を有しているため、iBGPデータにより、最良のルートの選択方法に関する追加情報が提供される。又、RPDモジュール170は、プレフィックスごとに(リンクごと及びピアごとに)、最新のn個のBGP更新メッセージを維持管理する(ここで、nは、設定可能なパラメータである)。RPDモジュール170は、この情報を、検出されたルーティングポリシーとして要約する。RPDモジュール170は、ASの入口ポイントにおいてどのプレフィックスがいつ通知されたかを出口ポイントにおいて散布されたプレフィックスと比較することにより、ルーティングポリシーを推定する。
DEモジュール160は、要約されたネットワーク要素の全体、並びに、iBGPトラフィックが存在する場合には、個々のボーダールーターについて、ダンピングを評価する。ダンピングは、ASの入口ポイントにおいてフラッピング(プレフィックスの通知と取り消しの反復)を検出し、出口ポイントを観察してフラッピングに対する出口ルーターの反応を観察することにより、評価することができる。積極性は、フラッピングに対して出口ルーターがどれだけ迅速に反応するか、によって計測する。ダンピングに使用するアルゴリズムは、RFC2439に規定されているものなどが周知であるが、ダンピングポリシーごとに、異なるパラメータを使用可能である。プレフィックスごとに、異なる方式でダンピングすることができる。このためには、DEモジュール160は、プレフィックスごとに、観察されたフラップとそれらがどのようにダンピングされたかに関する履歴データを保持する必要がある。又、DEモジュール160は、評価した出力をRPDモジュール170に供給し、どのプレフィックスが意図的に遮断され、どのプレフィックスがダンピングされるかをRPDモジュールが評価できるようにする。
ルーティングポリシー判定モジュール(RPVモジュール)175は、ユーザー/オペレータが指定したルーティングポリシーの目標を受け付け、RPDモジュール170から供給される検出されたルーティングポリシーが、それらの目標を逸脱しているかどうかを判定する。ルーティングポリシーの目標には、どのプレフィックスが遮断され、どれが誰に対して転送され、更には、どれが集約され、どれが集約されないかなどの情報を含むことができる。
ダンピング検証モジュール(DVモジュール)165は、同様に、ユーザー/オペレータが指定したダンピングポリシーの目標を比較し、DEモジュール160から供給される検出されたダンピングポリシーが、それらの目標を逸脱しているかどうかを判定する。
アクセス制御モジュール(ACモジュール)180により、ユーザーは、情報に対して選択的にアクセスすることができる。例えば、ネットワークオペレータは、統計情報、検出されたポリシー、及び、それらのポリシーと公表されたポリシーとの違いなどのすべての情報をチェックできるように望むであろう。別のクラスのユーザーに対しては、検出されたポリシーと公表されたポリシー間の比較結果にのみアクセスできるように制限することができる。その他のユーザーは、一定の範囲のIPアドレスを取り扱うすべての情報にアクセスすることができる。即ち、アクセス制御モジュール180は、ユーザーが問い合わせた特定のプレフィックスのユーザー権限についてチェックするのである。
本発明を本発明に従う特定の実施形態にて説明してきたが、本発明はこの種の本発明に従う実施形態により限定されるものとして解釈してはならず、特許請求の範囲に従って解釈しなければならない。念のため、以下に、本発明の実施態様を例示列挙する。
(実施態様1)
要約されたルーティング要素内のポリシーを検出する方法であって、
前記要素に対する複数の接続において入口及び出口ストリームを傍受するステップと、
前記タップにおいて入口及び出口ストリームをフィルタリングするステップと、
前記タップからフィルタリングされた入口及び出口ストリームを収集するステップと、
前記収集された入口及び出口ストリームを関連付けるステップと、
前記関連付けられた入口及び出口情報から、前記要約されたルーティング要素内において使用されているポリシーを検出するステップと、
を有することを特徴とする方法。
要約されたルーティング要素内のポリシーを検出する方法であって、
前記要素に対する複数の接続において入口及び出口ストリームを傍受するステップと、
前記タップにおいて入口及び出口ストリームをフィルタリングするステップと、
前記タップからフィルタリングされた入口及び出口ストリームを収集するステップと、
前記収集された入口及び出口ストリームを関連付けるステップと、
前記関連付けられた入口及び出口情報から、前記要約されたルーティング要素内において使用されているポリシーを検出するステップと、
を有することを特徴とする方法。
(実施態様2)
前記要約されたルーティング要素は、ASであることを特徴とする請求項1記載の方法。
前記要約されたルーティング要素は、ASであることを特徴とする請求項1記載の方法。
(実施態様3)
前記要約されたルーティング要素は、AS及びネットワークの組み合わせであることを特徴とする請求項1記載の方法。
前記要約されたルーティング要素は、AS及びネットワークの組み合わせであることを特徴とする請求項1記載の方法。
(実施態様4)
前記検出されたポリシーは、ルーティングポリシーを含んでいることを特徴とする請求項1記載の方法。
前記検出されたポリシーは、ルーティングポリシーを含んでいることを特徴とする請求項1記載の方法。
(実施態様5)
入口ポイントにおいて通知されたプレフィックスを出口ポイントにおいて散布されたプレフィックスと比較することにより、ルーティングポリシーを検出することを特徴とする請求項4記載の方法。
入口ポイントにおいて通知されたプレフィックスを出口ポイントにおいて散布されたプレフィックスと比較することにより、ルーティングポリシーを検出することを特徴とする請求項4記載の方法。
(実施態様6)
前記検出されたポリシーは、ダンピングポリシーを含んでいることを特徴とする請求項1記載の方法。
前記検出されたポリシーは、ダンピングポリシーを含んでいることを特徴とする請求項1記載の方法。
(実施態様7)
関連付けられた入口データを分析し入口ノードにおけるフラッピングを検出するステップと、
フラッピングを示す関連付けられた入口データを出口データと比較しダンピングポリシーを検出するステップと、
により、ダンピングポリシーを検出することを特徴とする請求項6記載の方法。
関連付けられた入口データを分析し入口ノードにおけるフラッピングを検出するステップと、
フラッピングを示す関連付けられた入口データを出口データと比較しダンピングポリシーを検出するステップと、
により、ダンピングポリシーを検出することを特徴とする請求項6記載の方法。
(実施態様8)
検出したポリシーを既定のポリシーと比較するステップを更に有することを特徴とする請求項1記載の方法。
検出したポリシーを既定のポリシーと比較するステップを更に有することを特徴とする請求項1記載の方法。
(実施態様9)
検出したルーティングポリシーを既定のルーティングポリシーと比較することを特徴とする請求項8記載の方法。
検出したルーティングポリシーを既定のルーティングポリシーと比較することを特徴とする請求項8記載の方法。
(実施態様10)
検出したダンピングポリシーを既定のダンピングポリシーと比較することを特徴とする請求項8記載の方法。
検出したダンピングポリシーを既定のダンピングポリシーと比較することを特徴とする請求項8記載の方法。
(実施態様11)
検出されたポリシーに対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項1記載の方法。
検出されたポリシーに対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項1記載の方法。
(実施態様12)
検出されたポリシーと既定のポリシーとの比較に対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項8記載の方法。
検出されたポリシーと既定のポリシーとの比較に対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項8記載の方法。
(実施態様13)
本明細書においては、本発明の特定の模範的な実施例との関連で、以下の図面を参照し、本発明について説明している。
本明細書においては、本発明の特定の模範的な実施例との関連で、以下の図面を参照し、本発明について説明している。
130、132 タップ
200 要約されたルーティング要素
200 要約されたルーティング要素
Claims (12)
- 要約されたルーティング要素内のポリシーを検出する方法であって、
前記要素に対する複数の接続において入口及び出口ストリームを傍受するステップと、
前記タップにおいて入口及び出口ストリームをフィルタリングするステップと、
前記タップからフィルタリングされた入口及び出口ストリームを収集するステップと、
前記収集された入口及び出口ストリームを関連付けるステップと、
前記関連付けられた入口及び出口情報から、前記要約されたルーティング要素内において使用されているポリシーを検出するステップと、
を有することを特徴とする方法。 - 前記要約されたルーティング要素は、ASであることを特徴とする請求項1記載の方法。
- 前記要約されたルーティング要素は、AS及びネットワークの組み合わせであることを特徴とする請求項1記載の方法。
- 前記検出されたポリシーは、ルーティングポリシーを含んでいることを特徴とする請求項1記載の方法。
- 入口ポイントにおいて通知されたプレフィックスを出口ポイントにおいて散布されたプレフィックスと比較することにより、ルーティングポリシーを検出することを特徴とする請求項4記載の方法。
- 前記検出されたポリシーは、ダンピングポリシーを含んでいることを特徴とする請求項1記載の方法。
- 関連付けられた入口データを分析し入口ノードにおけるフラッピングを検出するステップと、
フラッピングを示す関連付けられた入口データを出口データと比較しダンピングポリシーを検出するステップと、
により、ダンピングポリシーを検出することを特徴とする請求項6記載の方法。 - 検出したポリシーを既定のポリシーと比較するステップを更に有することを特徴とする請求項1記載の方法。
- 検出したルーティングポリシーを既定のルーティングポリシーと比較することを特徴とする請求項8記載の方法。
- 検出したダンピングポリシーを既定のダンピングポリシーと比較することを特徴とする請求項8記載の方法。
- 検出されたポリシーに対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項1記載の方法。
- 検出されたポリシーと既定のポリシーとの比較に対する制限されたアクセスを既定のアクセスクラスに基づいて提供するアクセス制御を更に有することを特徴とする請求項8記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/652,678 US7376154B2 (en) | 2003-08-29 | 2003-08-29 | Non-intrusive method for routing policy discovery |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005080297A true JP2005080297A (ja) | 2005-03-24 |
Family
ID=34104755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004245048A Pending JP2005080297A (ja) | 2003-08-29 | 2004-08-25 | ルーティングポリシーを検出する非侵入的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7376154B2 (ja) |
| EP (1) | EP1511220B1 (ja) |
| JP (1) | JP2005080297A (ja) |
| DE (1) | DE602004029124D1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111163B1 (en) * | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
| WO2003078459A2 (en) * | 2002-03-18 | 2003-09-25 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for configuring and controlling network resources in content delivery with distributed rules |
| US7185015B2 (en) * | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
| US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
| US20050198269A1 (en) * | 2004-02-13 | 2005-09-08 | Champagne Andrew F. | Method and system for monitoring border gateway protocol (BGP) data in a distributed computer network |
| GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
| GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
| GB2418108B (en) * | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
| WO2007008696A2 (en) * | 2005-07-08 | 2007-01-18 | At & T Corp. | Method and system for gateway selection in inter-region communication on ip networks |
| US7774822B2 (en) * | 2005-08-03 | 2010-08-10 | Novell, Inc. | Autonomous policy discovery |
| US7551627B2 (en) * | 2005-11-18 | 2009-06-23 | At&T Intellecutal Property I, L.P. | Offloading routing functions from network routers |
| US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
| US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
| US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
| GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
| US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
| GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
| US7760745B2 (en) | 2007-09-17 | 2010-07-20 | The Boeing Company | Method and apparatus for network routing between a tactical network and a satellite network |
| US7782882B2 (en) * | 2007-09-17 | 2010-08-24 | The Boeing Company | Method and apparatus for distributing dynamic auto-summarization of internet protocol reachable addresses |
| US9378282B2 (en) | 2008-06-30 | 2016-06-28 | Raytheon Company | System and method for dynamic and real-time categorization of webpages |
| US7881210B2 (en) * | 2008-10-09 | 2011-02-01 | At&T Intellectual Property I, L.P. | Method and apparatus for identifying label distribution protocol flapping events |
| US7804781B2 (en) * | 2008-11-20 | 2010-09-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to detect border gateway protocol session failures |
| US7885277B2 (en) * | 2008-12-09 | 2011-02-08 | At&T Intellectual Property I, L.P. | Methods and apparatus to analyze autonomous system peering policies |
| EP2443580A1 (en) | 2009-05-26 | 2012-04-25 | Websense, Inc. | Systems and methods for efficeint detection of fingerprinted data and information |
| US8289856B2 (en) * | 2010-07-28 | 2012-10-16 | At&T Intellectual Property I, L.P. | Alarm threshold for BGP flapping detection |
| US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
| DE102013221955A1 (de) * | 2013-10-29 | 2015-05-21 | Siemens Aktiengesellschaft | Sicherheitsrelevantes System |
| DE102013223548A1 (de) * | 2013-11-19 | 2015-05-21 | Siemens Aktiengesellschaft | Verfahren zum Erfassen von in einem Rechner-Netzwerk mit mindestens einem Rechner ausgesendeten Daten und Daten-Erfassungsanordnung |
| US10819597B2 (en) | 2018-12-18 | 2020-10-27 | At&T Intellectual Property I, L.P. | Network device measurements employing white boxes |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002518882A (ja) * | 1998-06-05 | 2002-06-25 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | 通信ネットワーク |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6728748B1 (en) * | 1998-12-01 | 2004-04-27 | Network Appliance, Inc. | Method and apparatus for policy based class of service and adaptive service level management within the context of an internet and intranet |
| US6831890B1 (en) * | 2000-10-31 | 2004-12-14 | Agilent Technologies, Inc. | Measuring network performance parameters in data communication networks |
| US7139242B2 (en) * | 2001-03-28 | 2006-11-21 | Proficient Networks, Inc. | Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies |
| US7561517B2 (en) * | 2001-11-02 | 2009-07-14 | Internap Network Services Corporation | Passive route control of data networks |
| US20030120769A1 (en) | 2001-12-07 | 2003-06-26 | Mccollom William Girard | Method and system for determining autonomous system transit volumes |
-
2003
- 2003-08-29 US US10/652,678 patent/US7376154B2/en not_active Expired - Fee Related
-
2004
- 2004-07-23 DE DE602004029124T patent/DE602004029124D1/de active Active
- 2004-07-23 EP EP04254406A patent/EP1511220B1/en active Active
- 2004-08-25 JP JP2004245048A patent/JP2005080297A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002518882A (ja) * | 1998-06-05 | 2002-06-25 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | 通信ネットワーク |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050050176A1 (en) | 2005-03-03 |
| US7376154B2 (en) | 2008-05-20 |
| EP1511220A2 (en) | 2005-03-02 |
| EP1511220B1 (en) | 2010-09-15 |
| EP1511220A3 (en) | 2007-02-14 |
| DE602004029124D1 (de) | 2010-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7376154B2 (en) | Non-intrusive method for routing policy discovery | |
| CN105991430B (zh) | 跨多个自治网络系统的数据路由 | |
| US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
| US7269157B2 (en) | System and method to assure network service levels with intelligent routing | |
| US8942106B2 (en) | Method and apparatus for route optimization enforcement and verification | |
| US7606160B2 (en) | System and method to provide routing control of information over networks | |
| US7903573B2 (en) | Method and system for network traffic matrix analysis | |
| US7027448B2 (en) | System and method for deriving traffic demands for a packet-switched network | |
| Agarwal et al. | OPCA: Robust interdomain policy routing and traffic control | |
| US8139475B2 (en) | Method and system for fault and performance recovery in communication networks, related network and computer program product therefor | |
| US20090154348A1 (en) | Method for configuring ACLS on network device based on flow information | |
| US20060056328A1 (en) | Identifying network rotuters and paths | |
| US20160359728A1 (en) | Network description mechanisms for anonymity between systems | |
| US9094297B2 (en) | Wide area network monitoring | |
| Lumezanu et al. | Triangle inequality and routing policy violations in the Internet | |
| US11956142B2 (en) | Path selection for data traffic within a software-defined wide area network using traffic metrics | |
| Xia et al. | Resource optimization for service chain monitoring in software-defined networks | |
| Dietzel | Improving Security and Resilience Capabilities of the Internet Infrastructure | |
| CN111478808A (zh) | 协助配置更新验证的方法、系统、电子设备及存储介质 | |
| Feamster | Implications of the software defined networking revolution for technology policy | |
| Zhang et al. | Characterization and design of effective BGP AS-path prepending | |
| Dayapala et al. | Investigation of Routing Techniques to Develop a Model for Software-Defined Networks using Border Gateway Protocol | |
| Richter | Classification of origin AS behavior based on BGP update streams | |
| Yannuzzi | Strategies for internet route control: past, present and future | |
| Jiang et al. | Measuring and evaluating the current BGP policy model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20070726 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070726 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100312 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100806 |