KR101266592B1 - 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 - Google Patents

패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 Download PDF

Info

Publication number
KR101266592B1
KR101266592B1 KR1020117021205A KR20117021205A KR101266592B1 KR 101266592 B1 KR101266592 B1 KR 101266592B1 KR 1020117021205 A KR1020117021205 A KR 1020117021205A KR 20117021205 A KR20117021205 A KR 20117021205A KR 101266592 B1 KR101266592 B1 KR 101266592B1
Authority
KR
South Korea
Prior art keywords
service
interface port
information
edge router
virtual layer
Prior art date
Application number
KR1020117021205A
Other languages
English (en)
Other versions
KR20110115170A (ko
Inventor
데니스 아맨드 프로울스
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110115170A publication Critical patent/KR20110115170A/ko
Application granted granted Critical
Publication of KR101266592B1 publication Critical patent/KR101266592B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 패킷 교환 네트워크를 통해 제공된 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 것에 관한 것이다. 본 발명의 실시예는 가상 레이어-2 서비스를 제공하기 위해 CE 라우터가 통신적으로 결합되는 PE 라우터의 인터페이스 포트의 동작 상태를 모니터링하고, 상기 상태의 변경 후에, CE 라우터에 관련되어야 하는 정보가 변경되었는지를 판정하고, 이에 의해 판정이 긍정적인 경우, 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 지시하기 위해 상기 변경을 해석한다. 유리하게는, 이 능력은 CE 및 PE 라우터 사이에 교환된 데이터 패킷의 콘텐트에 의존하고 이들 사이의 통신 접속부의 동작 상태에 의존하지 않는 MAC 필터 및 스풀링 방지 필터와 같은 다른 보안 수단에 보충된다.

Description

패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템{INTRUSION DETECTION FOR VIRTUAL LAYER-2 SERVICES}
본 발명은 패킷 교환 통신 네트워크에 관한 것으로서, 특히 가상 전용 회선(VLL) 및 가상 사설 LAN 서비스(VPLS) 서비스와 같은 개방형 시스템 상호 접속(OSI) 레이어-2 서비스에 대한 침입 검출을 제공하는 것에 관한 것이다.
가상 전용 회선(VLL)은 인터넷 프로토콜(IP) 및 다중 프로토콜 라벨 스위칭(MPLS) 네트워크(IP/MPLS)를 통한 이더넷 기반 점대점 통신을 제공하기 위한 서비스이다. 이 기술은 또한 가상 사설 와이어 서비스(VPWS) 또는 이더넷 오버 MPLS(EoMPLS)라 칭한다. VPWS 서비스는 2개의 고객 에지(CE) 라우터 사이에 점대점 접속을 제공한다. 이러한 것은 2개의 공급자 에지(PE) 라우터를 접속하는 유사 회선(pseudowire)에 2개의 부속 회로(attachment circuit)(AC)를 결합함으로써 행해지고, 각각의 PE 라우터는 부속 회로 중 하나를 경유하여 CE 라우터 중 하나에 접속된다. VLL은 통상적으로 IP/MPLS 백본(backbone)을 가로질러 MPLS 터널을 통해 이더넷 트래픽을 전송하기 위해 유사 회선 캡슐화를 사용한다. 유사 회선에 대한 더 많은 정보는 에스, 브라이언트(S. Bryant) 및 피. 페이트(P. Pate)에 의한 "유사 회선 에뮬레이션 에지 대 에지(PWE3) 아키텍처[Pseudo Wire Emulation Edge-to-Edge(PWE3) Architecture]", RFC3985, IETF, 2005년 3월에서 발견될 수 있다.
가상 사설 LAN 서비스(VPLS)는 VPLS 인스턴스화를 경유하여 폐쇄형 사용자 그룹을 효과적으로 구현하는 이더넷 서비스이다. 사용자 그룹 사이의 완전한 격리를 성취하기 위해, VPLS는 VPLS 인스턴스마다 네트워크 라우터 상에 개별 포워딩 정보 기반(FIB)을 전용한다.
각각의 VPLS 인스턴스는 유사 회선 터널의 전용된 메시가 VPLS의 부분인 PE 라우터 사이에 프로비져닝되는 것을 또한 필요로 한다.
VLL 및 VPLS 서비스는 PE 라우터 포트에서 터널 종점을 이들의 각각의 서비스에 결합하기 위해 서비스 액세스 점(SAP)을 사용한다. 예를 들어, VPLS 서비스의 경우에, SAP는 대응 포트의 물리적 식별자(예를 들어, 노드, 쉘프, 카드, 포트) 및 VPLS의 식별자(예를 들어, VLAN5)를 지정할 것이다.
몇몇 경우에, CE 라우터는 네트워크 보안에 대해 원격 또는 다른 취약한 위치에 위치된다. 이들 경우에, VLL 또는 VPLS 서비스와 같은 CE 라우터에 의해 제공된 가상 레이어-2 서비스에 참여하거나 참여하도록 시도하는 침입자 시스템에 응답할 수 있는 장소에 보안 수단을 갖는 것이 바람직하다. 이러한 침입자 시스템은 가상 레이어-2 서비스에 참여하도록 인증받지 않은 임의의 시스템을 포함한다.
본 발명은 패킷 교환 네트워크를 통해 제공되는 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 것에 관한 것이다.
본 발명의 몇몇 실시예는 가상 레이어-2 서비스를 제공하기 위해 CE 라우터가 통신적으로 결합되는 PE 라우터의 인터페이스 포트의 동작 상태를 모니터링하고, 상태의 변경 후에, CE 라우터에 관련되어야 하는 정보가 변경되었는지를 판정하고, 이에 의해 판정이 긍정적인 경우, 상기 상태의 변경을 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석한다.
본 발명의 몇몇 실시예에서, 보안 모니터링을 위해 선택된 인터페이스 포트의 식별자가 저장되고, 그 인터페이스 포트의 동작 상태가 판정된다. 인터페이스 포트가 동작 상태인 것을 나타내는 인터페이스 포트의 동작 상태에 따라, 가상 레이어-2 서비스를 제공하기 위해 인터페이스 포트에 통신적으로 결합된 CE 라우터에 관한 정보의 초기 버전이 기록된다. 인터페이스 포트의 동작 상태는 이어서 상태 변경에 대해 모니터링된다. 상태 변경의 검출시에, 정보의 현재 버전이 얻어져서 정보의 초기 버전에 비교된다. 정보의 버전 사이의 차이를 검출한 후에, 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타내는 경보가 발생된다.
본 발명의 몇몇 실시예에서, 특정 정보는 인터페이스 포트가 위치되는 PE 라우터의 포워딩 정보 기반(FIB) 내에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 IP 어드레스를 포함한다.
본 발명의 몇몇 실시예에서, 특정 정보는 CE 라우터의 하나 이상의 MAC 또는 IP 어드레스를 포함한다. 추가적으로 또는 대안적으로, 몇몇 실시예에서, 특정 정보는 명령 라인 인터페이스(CLI)를 경유하여 CE 라우터에 발행된 명령을 얻는 것이 가능한 CE 라우터에 관한 다른 정보를 포함한다.
본 발명의 몇몇 실시예에서, CE 및 PE 라우터는 패킷 교환 네트워크의 네트워크 관리 시스템에 발행된 CLI 명령을 경유하여 액세스될 수 있고, 인터페이스 포트의 동작 상태는 네트워크 관리 시스템에 의해 발행된 이벤트 통지를 경유하여 모니터링될 수 있다.
본 발명의 실시예는 침입자 시스템이 가상 레이어-2 서비스에 참여하려는 시도시에 CE 라우터 대신에 PE 라우터에 접속될 때 발생할 수 있기 때문에, 가상 레이어-2 서비스를 제공하기 위한 CE 라우터와 PE 라우터 사이의 통신 접속이 단절될 때를 검출하는 것이 가능하다. 유리하게는, 이 능력은 CE 및 PE 라우터 사이에 교환된 데이터 패킷의 콘텐트에 의존하고 이들 사이의 통신 접속부의 동작 상태에 의존하지 않는 MAC 필터 및 스풀링 방지 필터와 같은 다른 보안 수단에 보충된다.
본 발명의 상기 및 다른 목적, 특징 및 장점은 첨부 도면에 도시된 바와 같은 바람직한 실시예의 이하의 더 구체적인 설명으로부터 명백해질 것이다.
도 1은 본 발명의 실시예에 따른 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하기 위한 네트워크 구성을 도시하는 도면.
도 2는 도 1에 도시된 실시예에 따른 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법을 도시하는 도면.
도면에서, 유사한 특징은 유사한 도면 부호로 나타낸다.
도 1을 참조하면, MPLS 네트워크(12)를 통해 VPLS 서비스를 제공하기 위한 네트워크 구성(10)은 제 1 공급자 에지 라우터(PE1)와 제 2 공급자 에지 라우터(PE2) 사이의 MPLS 네트워크(12)를 통해 라우팅된 유사 회선 터널(T1)을 포함한다. 유사 회선 터널(T1)은 2개의 종점을 갖는데, 제 1 종점은 제 1 공급자 에지 라우터(PE1)에 있고, 제 2 종점은 제 2 공급자 에지 라우터(PE2)에 있다. VPLS 서비스의 서비스 인스턴스(SVC)는 각각의 공급자 에지 라우터(PE1, PE2)에서 인스턴스화되고, 유사 회선 터널(T1)을 VPLS 서비스와 관련시킨다. 따라서, VPLS 서비스와 관련된 데이터 패킷은 제 1 및 제 2 공급자 에지 라우터(PE1, PE2) 사이의 유사 회선 터널(T1)을 경유하여 MPLS 네트워크(10)를 통해 통신된다.
통상적으로, 다중 공급자 에지 라우터를 접속하는 다중 유사 회선 터널이 존재할 수 있다. 몇몇 경우에, 이들 터널은 공급자 에지 라우터를 상호 접속하는 완전 접속된 메시를 형성한다. 어느 경우든, 공급자 에지 라우터 상에 종료하는 소정의 서비스에 대해 다중 유사 회선 터널이 존재할 때, 포워딩 정보 기반이 그 라우터에 사용되어 터널들 중 어느 것을 통해 데이터 패킷이 그 목적지에 도달하도록 포워딩되어야 하는지를 결정한다. 이들 결정은 데이터 패킷의 목적지 MAC 또는 IP 어드레스에 기초하여 행해진다. MAC 어드레스는 데이터 통신 시스템의 소정의 네트워크 인터페이스 카드 또는 어댑터에 일반적으로 고유하고 전용되는 48 비트 어드레스이다. MAC 어드레스는 또한 하드웨어 어드레스로서 알려져 있다. IP 어드레스는 네트워크 인터페이스 또는 시스템에 일반적으로 고유하지만 소프트웨어에 할당 가능한 32 비트(IPv4) 또는 128 비트(IPv6) 어드레스이다.
제 1 고객 에지 라우터(CE1)는 제 1 부속 회로(AC1)를 경유하여 제 1 공급자 에지 라우터(PE1)의 제 1 인터페이스 포트(P1)에 접속된다. 제 1 고객 에지 라우터(CE1)는 제 1 MAC 어드레스(X)를 갖는다. 유사하게, 제 2 고객 에지 라우터(CE2)는 제 2 부속 회로(AC2)를 경유하여 제 2 공급자 에지 라우터(PE2)의 제 2 인터페이스 포트(P2)에 접속된다. 제 2 고객 에지 라우터(CE2)는 제 2 MAC 어드레스(Y)를 갖는다.
제 1 공급자 에지 라우터(PE1)는 서비스 인스턴스(SVC)와 관련된 제 1 포워딩 정보 기반(FIB1)을 포함한다. 제 1 포워딩 정보 기반(FIB1)은 유사 회선 터널(T1)을 위한 제 1 엔트리(E1)를 포함한다. 제 1 엔트리(E1)는 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에서 데이터 패킷을 통신하기 위해 제 2 MAC 어드레스(Y)와 제 1 MAC 어드레스(X)를 관련시킨다. 유사하게, 제 2 공급자 에지 라우터(PE2)는 서비스 인스턴스(SVC)와 관련된 제 2 포워딩 정보 기반(FIB2)을 포함한다. 제 2 포워딩 정보 기반(FIB2)은 유사 회선 터널(T1)을 위한 제 2 엔트리(E2)를 포함한다. 제 2 엔트리(E2)는 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에서 데이터 패킷을 통신하기 위해 제 2 MAC 어드레스(Y)와 제 1 MAC 어드레스(X)를 관련시킨다.
제 1 공급자 에지 라우터(PE1)에서 제 1 서비스 액세스 점은 제 1 인터페이스 포트(P1)와 서비스 인스턴스(SVC)를 관련시켜, VPLS 서비스와 관련된 제 1 부속 회로(AC1)로부터 제 1 인터페이스 포트(P1)에서 수신된 데이터 패킷이 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 유사 회선 터널을 통해 포워딩되게 된다. 이러한 정보는 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리(E1)를 포함하고, 이는 이 경우에 이들의 목적지 MAC 어드레스가 제 2 MAC 어드레스(Y)일 때 제 1 MAC 어드레스(X)인 소스 MAC 어드레스를 갖는 데이터 패킷이 유사 회선 터널(T1)을 통해 포워딩될 수 있게 한다. 유사하게, 유사 회선 터널(T1)로부터 제 1 공급자 에지 라우터(PE1)에 의해 수신된 VPLS 서비스와 관련된 데이터 패킷은 제 1 서비스 액세스 점 및 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 제 1 인터페이스 포트(P1)에 포워딩된다.
제 2 공급자 에지 라우터에서 제 2 서비스 액세스 점은 제 2 인터페이스 포트(P2)와 서비스 인스턴스(SVC)를 관련시켜, VPLS 서비스와 관련된 제 2 부속 회로(AC2)로부터 제 2 인터페이스 포트(P2)에서 수신된 데이터 패킷이 제 2 포워딩 정보 기반(FIB2) 내의 정보에 따라 유사 회선 터널을 통해 포워딩되게 된다. 이러한 정보는 제 2 포워딩 정보 기반(FIB2) 내의 제 2 엔트리(E2)를 포함하고, 이는 이 경우에 이들의 목적지 MAC 어드레스가 제 1 MAC 어드레스(X)일 때 제 2 MAC 어드레스(Y)인 소스 MAC 어드레스를 갖는 데이터 패킷이 유사 회선 터널(T1)을 통해 포워딩될 수 있게 한다. 유사하게, 유사 회선 터널(T1)로부터 제 2 공급자 에지 라우터(PE2)에 의해 수신된 VPLS 서비스와 관련된 데이터 패킷은 제 2 서비스 액세스 점 및 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 제 2 인터페이스 포트(P2)에 포워딩된다.
상기 설명의 관점에서, VPLS 서비스와 관련된 데이터 패킷은 이들의 각각의 부속 회로(AC1, AC2), 제 1 및 제 2 공급자 에지 라우터(PE1, PE2) 및 유사 회선 터널(T1)을 경유하여 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에 통신될 수 있다는 것이 명백할 것이다. 그러나, 전술된 바와 같이, 몇몇 경우에, CE 라우터는 네트워크 보안에 대해 원격 또는 다른 취약한 위치에 위치된다. 이들 경우에, VLL 또는 VPLS 서비스와 같은 CE 라우터에 의해 제공된 가상 레이어-2 서비스에 참여하거나 참여하도록 시도하는 침입자 시스템에 응답할 수 있는 장소에 보안 수단을 갖는 것이 바람직하다. 이러한 침입자 시스템은 가상 레이어-2 서비스에 참여하도록 인증받지 않은 임의의 시스템을 포함한다.
도 1을 여전히 참조하면, 네트워크 구성(10)은 제어 접속부(16) 및 MPLS 네트워크(12)를 경유하여 공급자 에지 라우터(PE1, PE2)에 통신적으로 결합된 관리 엔티티(14)를 포함한다. 관리 엔티티(14)는 통상적으로 공급자 에지 라우터(PE1, PE2)와 같은 MPLS 네트워크(12) 내의 네트워크 요소 상에서 동작, 관리 및 유지(OAM)형 기능을 수행하는 것이 가능한 네트워크 관리 시스템일 수 있다. 관리 엔티티(14)의 이 기능성은, 무엇보다도 이들의 각각의 인터페이스 포트(P1, P2)의 동작 상태에 관한 제 1 및 제 2 공급자 에지 라우터(PE1, PE2)로부터의 이벤트 보고를 포함하는 장비의 보고를 수신하고, MPLS 네트워크(12)의 네트워크 요소로부터 관련 이벤트를 프로비져닝하는 능력을 포함한다.
네트워크 구성(10)은 개방형 운영 체제(OS) 인터페이스(20)를 경유하여 관리 엔티티(14)에 통신적으로 결합되는 서비스 플랫폼(18)을 또한 포함한다. 개방형 OS 인터페이스(20)를 사용하여, 서비스 플랫폼(18)은 네트워크 요소로부터 이벤트 보고에 관련된 이벤트 통지를 포함하는 이벤트 통지(22)로의 액세스를 갖는다. 또한, 개방형 OS 인터페이스(20)를 사용하여, 서비스 플랫폼(18)은 공급자 에지 라우터(PE1, PE2)에서 프로비져닝 변경을 실행하기 위한 명령을 포함하는 제어 명령(24)을 관리 엔티티(14)에 발행할 수 있다. 서비스 플랫폼(18)은 통상적으로 랩탑 또는 데스크탑 컴퓨터 또는 워크스테이션일 수 있다. 개방형 OS 인터페이스는 자바 메시지 서비스(JMS) 인터페이스이지만, 다른 유형의 메시지 인터페이스가 사용될 수 있다.
서비스 플랫폼(18)은 서비스 플랫폼(18) 상의 서비스 데이터베이스(28)와 통신하는 서비스 애플리케이션(26)을 실행하지만, 서비스 데이터베이스(28)는 또한 개방형 OS 인터페이스(20)에 의해 제공되는 것에 액세스를 갖는 관리 엔티티(14) 상에 상주할 수 있다. 서비스 애플리케이션(26)은 본 발명의 실시예에 따른 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법을 구체화하는 소프트웨어 프로그램이다.
이 방법에 따르면, 서비스 애플리케이션(26)은 개방형 OS 인터페이스(20)를 통해 수신된 이벤트 통지(22)를 모니터링한다. 서비스 애플리케이션(26)은 이들 중 임의의 것이 보안 모니터링을 위해 선택된 인터페이스 포트의 동작 상태에 관련되는지를 판정하기 위해 이벤트 통지(22)를 검사한다. 이와 같이 선택된 각각의 포트의 식별자는 서비스 데이터베이스(28)의 제 1 기록(R1)에 저장된다. 임의의 이러한 포트에 대해, 그 포트를 경유하여 제공된 VPLS 서비스에 대응하는 FIB의 FIB 엔트리 내에 포함된 정보는 관련된 PE 라우터로부터 미리 검색되어 서비스 데이터베이스(28)에 저장되어 있을 수 있다. 예를 들어, 제 1 인터페이스 포트(P1)의 경우에, 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리(E1)로부터의 정보는 서비스 데이터베이스(28)의 제 2 기록(R2) 내에 저장된다. 제 2 기록(R2)은 제 1 포트(P1)의 식별자를 포함하지만, 다른 수단에 의해 제 1 포트(P1)에 관련될 수 있다. 추가적으로 또는 대안적으로, 부속 회로에 의해 포트에 통신적으로 결합된 CE 라우터에 관한 다른 정보는 그 CE 라우터로부터 검색되어 서비스 데이터베이스(28)에 저장될 수 있다. 예를 들어, 제 1 고객 에지 라우터(CE1)의 구성 데이터는 또한 서비스 데이터베이스(28)의 제 2 기록(R2)에 저장된다. 제 2 기록(R2)에 포함된 정보는 바람직하게는 OS 인터페이스(20)를 통해 관리 엔티티(14)에 발행된 제어 명령을 사용하여 서비스 플랫폼(18)에 의해 검색될 수 있지만, 다른 방식이 작용할 수 있다. 이러한 정보는 포트가 보안 모니터링을 위해 선택될 때 또는 보안 모니터링이 포트 상에서 재초기화되고 포트가 동작 상태에 있을 때 검색될 수 있다.
제 1 및 제 2 기록(R1, R2) 내에 포함된 모든 또는 몇몇 정보를 저장하는 다수의 방식이 존재한다는 것이 이해되어야 한다. 그러나, 이들 방식 중 임의의 것은 보안 모니터링이 수행될 포트의 식별을 가능하게 하고 이러한 보안 모니터링이 활성화되고 포트가 동작 상태에 있을 때 그 포트에 통신적으로 결합된 CE 라우터에 관한 정보를 제공하면 충분할 것이다. 예를 들어, 제 1 기록(R1)은 제 2 기록(R2)이 제 1 포트(P1)의 식별에 포함되고 제 2 기록(R2)이 보안 모니터링이 수행될 포트에 관한 정보를 포함하는 것을 나타내는 방식으로 저장된다. 예를 들어, 이러한 방식은 서비스 데이터베이스(28)의 특정 부분 내에 또는 유사한 기록의 그룹 내에 제 2 기록(R2)을 저장할 수 있다.
도 1을 여전히 참조하면, 제 1 고객 에지 라우터(CE1)는 장기간 동안 패킷 스위칭 네트워크의 지원 스태프에 의해 방문되지 않은 비거주된 영역 내의 작은 빌딩 또는 캐빈과 같은 원격 사무실인 것으로서 도시되어 있다. 이러한 위치는 네트워크 보안에 대한 취약한 위치의 예이다. VPLS 서비스에 참여하려는 시도시에, 침입자 시스템(30)은 제 1 고객 에지 라우터(CE1)에서 제 1 부속 회로(AC1)를 분리하고 제 1 부속 회로(AC1)를 침입자 시스템(30)에 재접속함으로써 제 1 포트(P1)에 통신적으로 접속된다. 그러나, 제 1 부속 회로(AC1)를 분리하고 재접속하는 것은 제 1 인터페이스 포트(P1)가 동작 상태로부터 비동작 상태로 그리고 재차 동작 상태로 전이할 수 있게 한다. 추가적으로, 제 1 공급자 에지 라우터(PE1) 상에서 실행되는 어드레스 결정 프로토콜은 침입자 시스템(30)에 의해 제 1 부속 회로(AC1)를 통해 송신된 데이터 패킷으로부터 침입자 시스템(30)의 제 3 MAC 어드레스(Z)를 학습할 것이다. 제 1 공급자 에지 라우터(PE1)는 제 1 포워딩 정보 기반(FIB1) 내에 포함된 정보를 현재 버전으로 업데이트할 수 있다. 예를 들어, 제 1 엔트리(E1)는 제 1 엔트리의 현재 버전(E1')으로 업데이트될 것이다.
서비스 애플리케이션(26)은 동작 상태로부터 비동작 상태로 그리고 비동작 상태로부터 동작 상태로와 같은 인터페이스 포트의 동작 상태의 전이를 검출할 수 있는 이벤트 통지(22)를 모니터링한다. 인터페이스 포트의 동작 상태의 변경을 검출할 때, 서비스 애플리케이션(26)은 제 1 기록(R1)과 같은 서비스 데이터베이스(28) 내의 정보에 액세스하여, 영향을 받은 포트가 보안 모니터링을 위해 선택되어 있는 것인지를 판정한다. 판정이 긍정적이면, 서비스 애플리케이션(26)은 그 포트를 경유하여 제공된 VPLS 서비스에 대응하는 FIB의 FIB 엔트리 내에 포함된 현재 정보를 검색한다. 서비스 애플리케이션(26)은 영향을 받은 포트가 속하는 PE 라우터로부터 이 정보를 검색한다. 관련 FIB는 전용된 FIB가 VPLS 서비스의 각각의 인스턴스에 대해 PE 라우터 내에 존재하기 때문에 서비스 인스턴스와 영향을 받은 포트를 관련시키는 SAP 내에 포함된 정보에 의해 식별된다. 예를 들어, 제 1 인터페이스 포트(P1)의 동작 상태의 변경을 검출할 때, 서비스 애플리케이션(26)은 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리의 현재 버전(E1')을 검색하기 위해 관리 엔티티(14)에 제어 명령(24)을 발행한다.
서비스 애플리케이션(26)은 이어서 제 1 고객 에지 라우터(CE1)에 관한 정보의 초기 버전을 검색하기 위해 서비스 데이터베이스(28)에 액세스한다. 이 정보는 영향을 받은 포트 상에 보안 모니터링이 인에이블되거나 재초기화될 때 PE 라우터 및 대안적으로 또는 추가적으로 CE 라우터로부터 검색되는 점에서 초기라 칭한다. 예를 들어, 서비스 플랫폼(26)은 제 2 기록(R2) 내에 포함된 정보를 검색한다. 정보의 초기 버전은 정보의 현재 버전에 비교되고, 정합해야 하는 현재 및 초기 버전 내에 포함된 임의의 정보 사이의 오정합을 검출한 후에, 서비스 애플리케이션(26)은 침입자 시스템이 가상 레이어-2 서비스에 참여하려 시도하고 있다는 지시로서 오정합을 해석한다. 예를 들어, 서비스 애플리케이션(26)은 제 1 엔트리의 현재 버전(E1') 내에 그리고 제 2 기록(R2)에 저장되어 있는 제 1 부속 회로(AC1)에 통신적으로 결합된 CE 라우터의 MAC 어드레스를 비교한다. 이 경우에, 제 2 기록(R2)은 제 1 MAC 어드레스(X)를 포함하고 제 1 엔트리의 현재 버전(E1')은 제 3 MAC 어드레스(Z)를 포함하기 때문에 오정합이 존재한다. 추가적으로 또는 대안적으로, 유사한 방식으로, 영향을 받은 포트에 통신적으로 결합된 CE 라우터 또는 시스템에 고나한 다른 정보의 초기 및 현재 버전이 오정합에 대해 비교될 수 있다. 예를 들어, CE 라우터로부터 검색 가능하고 침입자 시스템에 의해 복제될 가능성이 없거나 복제되기 너무 어려운 구성 데이터와 같은 임의의 데이터가 비교를 위해 사용될 수 있다.
침입자 시스템이 보안 모니터링을 위해 선택된 인터페이스 포트를 경유하여 가상 레이어-2 서비스에 참여하려고 시도한 것에 대한 판정을 행할 때, 서비스 애플리케이션(26)은 영향을 받은 인터페이스 포트를 불능화하고, 네트워크 경보를 발생하거나 또는 가상 레이어-2 서비스의 보안 동작의 책임이 있는 조작자 또는 다른 엔티티에 이메일 또는 다른 유형의 전자 메시지를 송신하는 것과 같이 조작자에게 경보를 발행한다. 서비스 애플리케이션(26)은 영향을 받은 인터페이스 포트가 비동작 상태가 되게 하기 위해 관리 엔티티(14)에 제어 명령을 발행함으로써 영향을 받은 인터페이스 포트를 불능화한다. 예를 들어, 서비스 애플리케이션(26)은 OS 인터페이스(20)를 통해 관리 엔티티(14)에 제어 명령(24)을 발행하여 제 1 인터페이스 포트(P1)가 비동작 상태로 전이될 수 있게 한다.
도 2를 참조하면, 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법(200)이 이제 도 1을 추가로 참조하여 설명될 것이다. 방법(200)은 선택된 인터페이스 포트의 이벤트 통지를 모니터링하는 것(202)을 포함한다. 인터페이스 포트의 선택은 바람직하게는 서비스 애플리케이션(26)을 사용하여 수행될 수 있지만, 또한 서비스 플랫폼(18) 또는 관리자 엔티티(14) 상에서 실행하는 다른 애플리케이션에 의해 수행될 수 있다. 이들 선택의 기록은 바람직하게는 서비스 플랫폼(18)에, 예를 들어 서비스 데이터베이스(28) 내에 저장될 수 있지만, 이들은 또한 관리 엔티티(14)에 또는 양 위치 모두에 저장될 수도 있다. 이는 보안 모니터링될 인터페이스 포트의 지시가 인간 개입 없이 자동으로 방법(200)을 수행하는 서비스 애플리케이션(26)과 같은 엔티티에 이용 가능한 방법(200)을 수행하기 위해 충분하다. 이러한 지시는 보안 모니터링될 각각의 이러한 포트의 식별자를 포함할 수 있다. 이벤트 통지는 개방형 OS 인터페이스(20)를 경유하여 관리 엔티티(14)로부터 이벤트 통지(22)를 수신함으로써 모니터링된다.
선택된 인터페이스 포트의 이벤트 통지가 인터페이스 포트의 동작 상태가 변경되어 있는 것을 나타내는지 여부에 대한 판정(204)이 행해진다. 영향을 받은 포트의 동작 상태가 동작 상태로부터 비동작 상태로 변경되면, 방법은 동작 상태로의 추가의 변경이 발생할 때까지 대기한다. 비동작 상태로부터 동작 상태로의 영향을 받은 포트의 동작 상태의 전이가 검출될 때(206), 서비스 애플리케이션은 영향을 받은 인터페이스 포트에 통신적으로 결합된 시스템에 관한 현재 정보를 검색한다(208). 이 정보는 바람직하게는 시스템의 MAC 어드레스일 수 있지만, 침입자 시스템 상에 상주할 가능성이 없을 수 있는 구성 데이터와 같은 임의의 다른 정보일 수 있다.
검색된 현재 정보가 영향을 받은 인터페이스 포트에 통신적으로 결합된 CE 라우터에 관해 미리 검색된 정보에 오정합하는지 여부에 대한 판정(210)이 행해진다. 오정합이 검출된 후에, 영향을 받은 인터페이스 포트는 불능화되고(212), 경보가 발생한다(214). 방법(200)은 이어서 이벤트 통지(22)를 모니터링하는 단계(202)로 복귀한다.
다수의 수정, 변형 및 적응이 청구범위에 규정된 본 발명의 범주로부터 벗어나지 않고 전술된 본 발명의 실시예에 이루어질 수 있다.

Claims (10)

  1. 패킷 교환 네트워크(packet switching network) 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법에 있어서,
    보안 모니터링을 위한 공급자 에지 라우터의 인터페이스 포트를 선택하는 단계와,
    상기 가상 레이어-2 서비스를 제공하기 위해 고객 에지 라우터가 통신적으로 결합되는 상기 공급자 에지 라우터의 상기 인터페이스 포트의 동작 상태를 컴퓨터에서 모니터링하는 단계와,
    상기 인터페이스 포트의 상기 모니터링된 동작 상태에서 변경이 발생했음을 검출하는 단계와,
    상기 변경이 검출된 경우에 한해, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었는지를 검출하는 단계와,
    상기 인터페이스 포트가 선택된 경우에 한해, 상기 고객 에지 라우터에 관한 정보가 변경되었음을 판정하는 단계와,
    상기 모니터링된 동작 상태에서의 변경을 상기 침입자 시스템이 상기 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 인터페이스 포트의 식별자를 기록함으로써, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었음을 나타내는 단계와,
    상기 인터페이스 포트의 보안 모니터링이 인에이블되고 상기 인터페이스 포트가 동작 상태에 있을 때, 상기 정보의 초기 버전을 저장하는 단계를 더 포함하는
    방법.
  3. 제 1 항에 있어서,
    상기 정보는 상기 공급자 에지 라우터의 포워딩 정보 기반에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 인터넷 프로토콜(IP) 어드레스를 포함하는
    방법.
  4. 제 3 항에 있어서,
    상기 정보는 상기 고객 에지 라우터로부터 관리 엔티티를 경유하여 얻어질 수 있는 상기 고객 에지 라우터에 관한 다른 정보를 추가적으로 포함하는
    방법.
  5. 제 1 항에 있어서,
    운영 체제 인터페이스(operating system interface)를 통해 네트워크 관리 엔티티에 의해 보고된 이벤트 통지를 모니터링하는 단계를 더 포함하는
    방법.
  6. 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하기 위한 보안 시스템에 있어서,
    저장된 서비스 애플리케이션을 실행하기 위한 서비스 플랫폼을 포함하되,
    상기 서비스 플랫폼은,
    운영 체제 인터페이스를 경유하여 상기 패킷 교환 네트워크의 네트워크 관리 엔티티에 통신적으로 결합하기 위한 수단과,
    상기 가상 레이어-2 서비스를 제공하기 위해 공급자 에지 라우터의 인터페이스 포트에 통신적으로 결합된 고객 에지 라우터에 관한 정보의 초기 버전을 저장하기 위한 서비스 데이터베이스를 포함하고, 상기 서비스 애플리케이션은 상기 서비스 플랫폼에 의해 실행될 비-일시적 컴퓨터 판독 가능 매체 상에 기록된 명령어들을 포함하되,
    상기 명령어들은,
    보안 모니터링을 위한 공급자 에지 라우터의 인터페이스 포트를 선택하는 명령어와,
    상기 인터페이스 포트의 동작 상태와 관련되며, 상기 운영 체제 인터페이스를 통해 상기 네트워크 관리 엔티티에 의해 기록된 이벤트 통지를 모니터링하는 명령어와,
    상기 인터페이스 포트의 상기 동작 상태에서 변경이 발생했음을 검출하는 명령어와,
    상기 변경이 검출된 경우에 한해, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었는지를 검출하는 명령어와,
    상기 인터페이스 포트가 선택된 경우에 한해, 상기 고객 에지 라우터에 관한 정보가 변경되었음을 판정하는 명령어와,
    상기 모니터링된 동작 상태에서의 변경을 상기 침입자 시스템이 상기 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석하는 명령어를 포함하는
    보안 시스템.
  7. 제 6 항에 있어서,
    상기 서비스 애플리케이션은,
    상기 인터페이스 포트의 식별자를 기록함으로써, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었음을 나타내는 명령어와,
    상기 인터페이스 포트의 보안 모니터링이 인에이블되고 상기 인터페이스 포트가 동작 상태에 있을 때, 상기 정보의 초기 버전을 저장하는 명령어를 더 포함하는
    보안 시스템.
  8. 제 6 항에 있어서,
    상기 정보는 상기 공급자 에지 라우터의 포워딩 정보 기반에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 인터넷 프로토콜(IP) 어드레스를 포함하는
    보안 시스템.
  9. 제 8 항에 있어서,
    상기 정보는 상기 고객 에지 라우터로부터 관리 엔티티를 경유하여 얻어질 수 있는 상기 고객 에지 라우터에 관한 다른 정보를 추가적으로 포함하는
    보안 시스템.
  10. 제 9 항에 있어서,
    상기 가상 레이어-2 서비스는 가상 사설 근거리 통신망 서비스 또는 가상 전용 회선 서비스인
    보안 시스템.
KR1020117021205A 2009-03-13 2010-03-11 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 KR101266592B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/404,023 US20100235914A1 (en) 2009-03-13 2009-03-13 Intrusion detection for virtual layer-2 services
US12/404,023 2009-03-13
PCT/IB2010/001115 WO2010103407A2 (en) 2009-03-13 2010-03-11 Intrusion detection for virtual layer-2 services

Publications (2)

Publication Number Publication Date
KR20110115170A KR20110115170A (ko) 2011-10-20
KR101266592B1 true KR101266592B1 (ko) 2013-05-22

Family

ID=42470734

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117021205A KR101266592B1 (ko) 2009-03-13 2010-03-11 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템

Country Status (6)

Country Link
US (1) US20100235914A1 (ko)
EP (1) EP2406932B1 (ko)
JP (1) JP5460746B2 (ko)
KR (1) KR101266592B1 (ko)
CN (1) CN102349277B (ko)
WO (1) WO2010103407A2 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100561978C (zh) * 2006-04-26 2009-11-18 华为技术有限公司 一种策略路由装置和方法
US8326962B2 (en) * 2009-07-01 2012-12-04 Siemens Corporation Method, system and apparatus for providing automation management services
WO2011072274A1 (en) 2009-12-11 2011-06-16 Juniper Networks, Inc. Media access control address translation in virtualized environments
US20120030759A1 (en) * 2010-07-28 2012-02-02 Alcatel-Lucent Usa Inc. Security protocol for detection of fraudulent activity executed via malware-infected computer system
WO2013157256A1 (ja) * 2012-04-18 2013-10-24 日本電気株式会社 インターワーク装置、方法、及びプログラムを格納した非一時的なコンピュータ可読媒体
US9825759B2 (en) * 2013-07-08 2017-11-21 Alcatel Lucent Secure service management in a communication network
US20160036843A1 (en) * 2014-08-01 2016-02-04 Honeywell International Inc. Connected home system with cyber security monitoring
US9769059B2 (en) * 2015-06-25 2017-09-19 Ciena Corporation Fast interlayer forwarding
CN107517114B (zh) * 2016-06-16 2022-08-02 中兴通讯股份有限公司 一种通信端口的链接状态更新方法及装置
JP6977507B2 (ja) * 2017-11-24 2021-12-08 オムロン株式会社 制御装置および制御システム
US11128618B2 (en) * 2019-10-15 2021-09-21 Dell Products, L.P. Edge data center security system that autonomously disables physical communication ports on detection of potential security threat

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070204339A1 (en) * 2005-12-02 2007-08-30 Alcatel Virtual private network publish-subscribe multicast service

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6907470B2 (en) * 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US8001594B2 (en) * 2001-07-30 2011-08-16 Ipass, Inc. Monitoring computer network security enforcement
US7463639B1 (en) * 2001-09-26 2008-12-09 Junpier Networks, Inc. Edge devices for providing a transparent LAN segment service and configuring such edge devices
US20030105881A1 (en) * 2001-12-03 2003-06-05 Symons Julie Anna Method for detecting and preventing intrusion in a virtually-wired switching fabric
FR2837337B1 (fr) * 2002-03-15 2004-06-18 Cit Alcatel Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
US7813345B2 (en) * 2003-06-05 2010-10-12 At&T Intellectual Property I, L.P. MAC learning using VC-LSP dedicated for broadcast and unknown frames
JP2005051548A (ja) * 2003-07-29 2005-02-24 Furukawa Electric Co Ltd:The データ中継方法、データ中継装置およびその装置を用いたデータ中継システム
US7698455B2 (en) * 2003-08-01 2010-04-13 Foundry Networks, Inc. Method for providing scalable multicast service in a virtual private LAN service
US7373660B1 (en) * 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information
JP2005340942A (ja) * 2004-05-24 2005-12-08 Mitsubishi Electric Corp 通信ネットワークシステム、システム管理装置および情報転送装置
US7676841B2 (en) * 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation
US7769037B2 (en) * 2005-02-19 2010-08-03 Cisco Technology, Inc. Techniques for using first sign of life at edge nodes for a virtual private network
GB2425681A (en) * 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
US20060250966A1 (en) * 2005-05-03 2006-11-09 Yuan-Chi Su Method for local area network security
US8010994B2 (en) * 2005-05-16 2011-08-30 Alcatel Lucent Apparatus, and associated method, for providing communication access to a communication device at a network access port
CN100435513C (zh) * 2005-06-30 2008-11-19 杭州华三通信技术有限公司 网络设备与入侵检测系统联动的方法
US8238352B2 (en) * 2005-09-02 2012-08-07 Cisco Technology, Inc. System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility
CN100512211C (zh) * 2005-09-12 2009-07-08 中兴通讯股份有限公司 一种在不同类型网络间实现虚交换的方法
JP2007267139A (ja) * 2006-03-29 2007-10-11 Fujitsu Ltd 認証vlan管理装置
JP2008042735A (ja) * 2006-08-09 2008-02-21 Fujitsu Access Ltd Macアドレス学習機能の管理方法及びネットワーク機器
US7802296B2 (en) * 2006-08-23 2010-09-21 Cisco Technology, Inc. Method and system for identifying and processing secure data frames
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
US7885294B2 (en) * 2007-08-23 2011-02-08 Cisco Technology, Inc. Signaling compression information using routing protocols
US8181229B2 (en) * 2008-03-25 2012-05-15 Commscope, Inc. Of North Carolina Methods, systems and computer program products for operating a communications network with enhanced security

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070204339A1 (en) * 2005-12-02 2007-08-30 Alcatel Virtual private network publish-subscribe multicast service

Also Published As

Publication number Publication date
KR20110115170A (ko) 2011-10-20
JP5460746B2 (ja) 2014-04-02
CN102349277B (zh) 2015-08-05
WO2010103407A3 (en) 2010-11-04
EP2406932A2 (en) 2012-01-18
JP2012520596A (ja) 2012-09-06
WO2010103407A2 (en) 2010-09-16
EP2406932B1 (en) 2015-09-23
CN102349277A (zh) 2012-02-08
US20100235914A1 (en) 2010-09-16

Similar Documents

Publication Publication Date Title
KR101266592B1 (ko) 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템
US8542681B2 (en) Method and system for simplified network wide traffic and/or flow monitoring in a data network
US7961599B2 (en) Pseudowire tunnel redundancy
KR102156964B1 (ko) 분산된 리질리언트 네트워크 상호 접속 〔drni〕 링크 애그리게이션 그룹에 있어서 이웃과 동기화하기 위한 방법 및 시스템
US8432916B2 (en) Method and router for implementing mirroring
US9019840B2 (en) CFM for conflicting MAC address notification
EP2787688B1 (en) Communicating network path and status information in multi-homed networks
US6538997B1 (en) Layer-2 trace method and node
US8085670B2 (en) Method and system for originating connectivity fault management (CFM) frames on non-CFM aware switches
CN101931520B (zh) 一种切换方法及系统
US8059527B2 (en) Techniques for oversubscribing edge nodes for virtual private networks
EP3809641A1 (en) Improved port mirroring over evpn vxlan
US9071457B2 (en) Provider network and provider edge apparatus
EP4117242A1 (en) Message detection method, device and system
CN109412851B (zh) 链路层路径检测方法、装置及系统
Seppänen Dependability of All IP Networks: Resiliency in Ethernet Based Transport

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160509

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170508

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190503

Year of fee payment: 7