KR101266592B1 - 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 - Google Patents
패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 Download PDFInfo
- Publication number
- KR101266592B1 KR101266592B1 KR1020117021205A KR20117021205A KR101266592B1 KR 101266592 B1 KR101266592 B1 KR 101266592B1 KR 1020117021205 A KR1020117021205 A KR 1020117021205A KR 20117021205 A KR20117021205 A KR 20117021205A KR 101266592 B1 KR101266592 B1 KR 101266592B1
- Authority
- KR
- South Korea
- Prior art keywords
- service
- interface port
- information
- edge router
- virtual layer
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title description 2
- 230000008859 change Effects 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 19
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 6
- 230000007704 transition Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 패킷 교환 네트워크를 통해 제공된 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 것에 관한 것이다. 본 발명의 실시예는 가상 레이어-2 서비스를 제공하기 위해 CE 라우터가 통신적으로 결합되는 PE 라우터의 인터페이스 포트의 동작 상태를 모니터링하고, 상기 상태의 변경 후에, CE 라우터에 관련되어야 하는 정보가 변경되었는지를 판정하고, 이에 의해 판정이 긍정적인 경우, 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 지시하기 위해 상기 변경을 해석한다. 유리하게는, 이 능력은 CE 및 PE 라우터 사이에 교환된 데이터 패킷의 콘텐트에 의존하고 이들 사이의 통신 접속부의 동작 상태에 의존하지 않는 MAC 필터 및 스풀링 방지 필터와 같은 다른 보안 수단에 보충된다.
Description
본 발명은 패킷 교환 통신 네트워크에 관한 것으로서, 특히 가상 전용 회선(VLL) 및 가상 사설 LAN 서비스(VPLS) 서비스와 같은 개방형 시스템 상호 접속(OSI) 레이어-2 서비스에 대한 침입 검출을 제공하는 것에 관한 것이다.
가상 전용 회선(VLL)은 인터넷 프로토콜(IP) 및 다중 프로토콜 라벨 스위칭(MPLS) 네트워크(IP/MPLS)를 통한 이더넷 기반 점대점 통신을 제공하기 위한 서비스이다. 이 기술은 또한 가상 사설 와이어 서비스(VPWS) 또는 이더넷 오버 MPLS(EoMPLS)라 칭한다. VPWS 서비스는 2개의 고객 에지(CE) 라우터 사이에 점대점 접속을 제공한다. 이러한 것은 2개의 공급자 에지(PE) 라우터를 접속하는 유사 회선(pseudowire)에 2개의 부속 회로(attachment circuit)(AC)를 결합함으로써 행해지고, 각각의 PE 라우터는 부속 회로 중 하나를 경유하여 CE 라우터 중 하나에 접속된다. VLL은 통상적으로 IP/MPLS 백본(backbone)을 가로질러 MPLS 터널을 통해 이더넷 트래픽을 전송하기 위해 유사 회선 캡슐화를 사용한다. 유사 회선에 대한 더 많은 정보는 에스, 브라이언트(S. Bryant) 및 피. 페이트(P. Pate)에 의한 "유사 회선 에뮬레이션 에지 대 에지(PWE3) 아키텍처[Pseudo Wire Emulation Edge-to-Edge(PWE3) Architecture]", RFC3985, IETF, 2005년 3월에서 발견될 수 있다.
가상 사설 LAN 서비스(VPLS)는 VPLS 인스턴스화를 경유하여 폐쇄형 사용자 그룹을 효과적으로 구현하는 이더넷 서비스이다. 사용자 그룹 사이의 완전한 격리를 성취하기 위해, VPLS는 VPLS 인스턴스마다 네트워크 라우터 상에 개별 포워딩 정보 기반(FIB)을 전용한다.
각각의 VPLS 인스턴스는 유사 회선 터널의 전용된 메시가 VPLS의 부분인 PE 라우터 사이에 프로비져닝되는 것을 또한 필요로 한다.
VLL 및 VPLS 서비스는 PE 라우터 포트에서 터널 종점을 이들의 각각의 서비스에 결합하기 위해 서비스 액세스 점(SAP)을 사용한다. 예를 들어, VPLS 서비스의 경우에, SAP는 대응 포트의 물리적 식별자(예를 들어, 노드, 쉘프, 카드, 포트) 및 VPLS의 식별자(예를 들어, VLAN5)를 지정할 것이다.
몇몇 경우에, CE 라우터는 네트워크 보안에 대해 원격 또는 다른 취약한 위치에 위치된다. 이들 경우에, VLL 또는 VPLS 서비스와 같은 CE 라우터에 의해 제공된 가상 레이어-2 서비스에 참여하거나 참여하도록 시도하는 침입자 시스템에 응답할 수 있는 장소에 보안 수단을 갖는 것이 바람직하다. 이러한 침입자 시스템은 가상 레이어-2 서비스에 참여하도록 인증받지 않은 임의의 시스템을 포함한다.
본 발명은 패킷 교환 네트워크를 통해 제공되는 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 것에 관한 것이다.
본 발명의 몇몇 실시예는 가상 레이어-2 서비스를 제공하기 위해 CE 라우터가 통신적으로 결합되는 PE 라우터의 인터페이스 포트의 동작 상태를 모니터링하고, 상태의 변경 후에, CE 라우터에 관련되어야 하는 정보가 변경되었는지를 판정하고, 이에 의해 판정이 긍정적인 경우, 상기 상태의 변경을 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석한다.
본 발명의 몇몇 실시예에서, 보안 모니터링을 위해 선택된 인터페이스 포트의 식별자가 저장되고, 그 인터페이스 포트의 동작 상태가 판정된다. 인터페이스 포트가 동작 상태인 것을 나타내는 인터페이스 포트의 동작 상태에 따라, 가상 레이어-2 서비스를 제공하기 위해 인터페이스 포트에 통신적으로 결합된 CE 라우터에 관한 정보의 초기 버전이 기록된다. 인터페이스 포트의 동작 상태는 이어서 상태 변경에 대해 모니터링된다. 상태 변경의 검출시에, 정보의 현재 버전이 얻어져서 정보의 초기 버전에 비교된다. 정보의 버전 사이의 차이를 검출한 후에, 침입자 시스템이 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타내는 경보가 발생된다.
본 발명의 몇몇 실시예에서, 특정 정보는 인터페이스 포트가 위치되는 PE 라우터의 포워딩 정보 기반(FIB) 내에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 IP 어드레스를 포함한다.
본 발명의 몇몇 실시예에서, 특정 정보는 CE 라우터의 하나 이상의 MAC 또는 IP 어드레스를 포함한다. 추가적으로 또는 대안적으로, 몇몇 실시예에서, 특정 정보는 명령 라인 인터페이스(CLI)를 경유하여 CE 라우터에 발행된 명령을 얻는 것이 가능한 CE 라우터에 관한 다른 정보를 포함한다.
본 발명의 몇몇 실시예에서, CE 및 PE 라우터는 패킷 교환 네트워크의 네트워크 관리 시스템에 발행된 CLI 명령을 경유하여 액세스될 수 있고, 인터페이스 포트의 동작 상태는 네트워크 관리 시스템에 의해 발행된 이벤트 통지를 경유하여 모니터링될 수 있다.
본 발명의 실시예는 침입자 시스템이 가상 레이어-2 서비스에 참여하려는 시도시에 CE 라우터 대신에 PE 라우터에 접속될 때 발생할 수 있기 때문에, 가상 레이어-2 서비스를 제공하기 위한 CE 라우터와 PE 라우터 사이의 통신 접속이 단절될 때를 검출하는 것이 가능하다. 유리하게는, 이 능력은 CE 및 PE 라우터 사이에 교환된 데이터 패킷의 콘텐트에 의존하고 이들 사이의 통신 접속부의 동작 상태에 의존하지 않는 MAC 필터 및 스풀링 방지 필터와 같은 다른 보안 수단에 보충된다.
본 발명의 상기 및 다른 목적, 특징 및 장점은 첨부 도면에 도시된 바와 같은 바람직한 실시예의 이하의 더 구체적인 설명으로부터 명백해질 것이다.
도 1은 본 발명의 실시예에 따른 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하기 위한 네트워크 구성을 도시하는 도면.
도 2는 도 1에 도시된 실시예에 따른 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법을 도시하는 도면.
도 2는 도 1에 도시된 실시예에 따른 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법을 도시하는 도면.
도면에서, 유사한 특징은 유사한 도면 부호로 나타낸다.
도 1을 참조하면, MPLS 네트워크(12)를 통해 VPLS 서비스를 제공하기 위한 네트워크 구성(10)은 제 1 공급자 에지 라우터(PE1)와 제 2 공급자 에지 라우터(PE2) 사이의 MPLS 네트워크(12)를 통해 라우팅된 유사 회선 터널(T1)을 포함한다. 유사 회선 터널(T1)은 2개의 종점을 갖는데, 제 1 종점은 제 1 공급자 에지 라우터(PE1)에 있고, 제 2 종점은 제 2 공급자 에지 라우터(PE2)에 있다. VPLS 서비스의 서비스 인스턴스(SVC)는 각각의 공급자 에지 라우터(PE1, PE2)에서 인스턴스화되고, 유사 회선 터널(T1)을 VPLS 서비스와 관련시킨다. 따라서, VPLS 서비스와 관련된 데이터 패킷은 제 1 및 제 2 공급자 에지 라우터(PE1, PE2) 사이의 유사 회선 터널(T1)을 경유하여 MPLS 네트워크(10)를 통해 통신된다.
통상적으로, 다중 공급자 에지 라우터를 접속하는 다중 유사 회선 터널이 존재할 수 있다. 몇몇 경우에, 이들 터널은 공급자 에지 라우터를 상호 접속하는 완전 접속된 메시를 형성한다. 어느 경우든, 공급자 에지 라우터 상에 종료하는 소정의 서비스에 대해 다중 유사 회선 터널이 존재할 때, 포워딩 정보 기반이 그 라우터에 사용되어 터널들 중 어느 것을 통해 데이터 패킷이 그 목적지에 도달하도록 포워딩되어야 하는지를 결정한다. 이들 결정은 데이터 패킷의 목적지 MAC 또는 IP 어드레스에 기초하여 행해진다. MAC 어드레스는 데이터 통신 시스템의 소정의 네트워크 인터페이스 카드 또는 어댑터에 일반적으로 고유하고 전용되는 48 비트 어드레스이다. MAC 어드레스는 또한 하드웨어 어드레스로서 알려져 있다. IP 어드레스는 네트워크 인터페이스 또는 시스템에 일반적으로 고유하지만 소프트웨어에 할당 가능한 32 비트(IPv4) 또는 128 비트(IPv6) 어드레스이다.
제 1 고객 에지 라우터(CE1)는 제 1 부속 회로(AC1)를 경유하여 제 1 공급자 에지 라우터(PE1)의 제 1 인터페이스 포트(P1)에 접속된다. 제 1 고객 에지 라우터(CE1)는 제 1 MAC 어드레스(X)를 갖는다. 유사하게, 제 2 고객 에지 라우터(CE2)는 제 2 부속 회로(AC2)를 경유하여 제 2 공급자 에지 라우터(PE2)의 제 2 인터페이스 포트(P2)에 접속된다. 제 2 고객 에지 라우터(CE2)는 제 2 MAC 어드레스(Y)를 갖는다.
제 1 공급자 에지 라우터(PE1)는 서비스 인스턴스(SVC)와 관련된 제 1 포워딩 정보 기반(FIB1)을 포함한다. 제 1 포워딩 정보 기반(FIB1)은 유사 회선 터널(T1)을 위한 제 1 엔트리(E1)를 포함한다. 제 1 엔트리(E1)는 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에서 데이터 패킷을 통신하기 위해 제 2 MAC 어드레스(Y)와 제 1 MAC 어드레스(X)를 관련시킨다. 유사하게, 제 2 공급자 에지 라우터(PE2)는 서비스 인스턴스(SVC)와 관련된 제 2 포워딩 정보 기반(FIB2)을 포함한다. 제 2 포워딩 정보 기반(FIB2)은 유사 회선 터널(T1)을 위한 제 2 엔트리(E2)를 포함한다. 제 2 엔트리(E2)는 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에서 데이터 패킷을 통신하기 위해 제 2 MAC 어드레스(Y)와 제 1 MAC 어드레스(X)를 관련시킨다.
제 1 공급자 에지 라우터(PE1)에서 제 1 서비스 액세스 점은 제 1 인터페이스 포트(P1)와 서비스 인스턴스(SVC)를 관련시켜, VPLS 서비스와 관련된 제 1 부속 회로(AC1)로부터 제 1 인터페이스 포트(P1)에서 수신된 데이터 패킷이 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 유사 회선 터널을 통해 포워딩되게 된다. 이러한 정보는 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리(E1)를 포함하고, 이는 이 경우에 이들의 목적지 MAC 어드레스가 제 2 MAC 어드레스(Y)일 때 제 1 MAC 어드레스(X)인 소스 MAC 어드레스를 갖는 데이터 패킷이 유사 회선 터널(T1)을 통해 포워딩될 수 있게 한다. 유사하게, 유사 회선 터널(T1)로부터 제 1 공급자 에지 라우터(PE1)에 의해 수신된 VPLS 서비스와 관련된 데이터 패킷은 제 1 서비스 액세스 점 및 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 제 1 인터페이스 포트(P1)에 포워딩된다.
제 2 공급자 에지 라우터에서 제 2 서비스 액세스 점은 제 2 인터페이스 포트(P2)와 서비스 인스턴스(SVC)를 관련시켜, VPLS 서비스와 관련된 제 2 부속 회로(AC2)로부터 제 2 인터페이스 포트(P2)에서 수신된 데이터 패킷이 제 2 포워딩 정보 기반(FIB2) 내의 정보에 따라 유사 회선 터널을 통해 포워딩되게 된다. 이러한 정보는 제 2 포워딩 정보 기반(FIB2) 내의 제 2 엔트리(E2)를 포함하고, 이는 이 경우에 이들의 목적지 MAC 어드레스가 제 1 MAC 어드레스(X)일 때 제 2 MAC 어드레스(Y)인 소스 MAC 어드레스를 갖는 데이터 패킷이 유사 회선 터널(T1)을 통해 포워딩될 수 있게 한다. 유사하게, 유사 회선 터널(T1)로부터 제 2 공급자 에지 라우터(PE2)에 의해 수신된 VPLS 서비스와 관련된 데이터 패킷은 제 2 서비스 액세스 점 및 제 1 포워딩 정보 기반(FIB1) 내의 정보에 따라 제 2 인터페이스 포트(P2)에 포워딩된다.
상기 설명의 관점에서, VPLS 서비스와 관련된 데이터 패킷은 이들의 각각의 부속 회로(AC1, AC2), 제 1 및 제 2 공급자 에지 라우터(PE1, PE2) 및 유사 회선 터널(T1)을 경유하여 제 1 및 제 2 고객 에지 라우터(CE1, CE2) 사이에 통신될 수 있다는 것이 명백할 것이다. 그러나, 전술된 바와 같이, 몇몇 경우에, CE 라우터는 네트워크 보안에 대해 원격 또는 다른 취약한 위치에 위치된다. 이들 경우에, VLL 또는 VPLS 서비스와 같은 CE 라우터에 의해 제공된 가상 레이어-2 서비스에 참여하거나 참여하도록 시도하는 침입자 시스템에 응답할 수 있는 장소에 보안 수단을 갖는 것이 바람직하다. 이러한 침입자 시스템은 가상 레이어-2 서비스에 참여하도록 인증받지 않은 임의의 시스템을 포함한다.
도 1을 여전히 참조하면, 네트워크 구성(10)은 제어 접속부(16) 및 MPLS 네트워크(12)를 경유하여 공급자 에지 라우터(PE1, PE2)에 통신적으로 결합된 관리 엔티티(14)를 포함한다. 관리 엔티티(14)는 통상적으로 공급자 에지 라우터(PE1, PE2)와 같은 MPLS 네트워크(12) 내의 네트워크 요소 상에서 동작, 관리 및 유지(OAM)형 기능을 수행하는 것이 가능한 네트워크 관리 시스템일 수 있다. 관리 엔티티(14)의 이 기능성은, 무엇보다도 이들의 각각의 인터페이스 포트(P1, P2)의 동작 상태에 관한 제 1 및 제 2 공급자 에지 라우터(PE1, PE2)로부터의 이벤트 보고를 포함하는 장비의 보고를 수신하고, MPLS 네트워크(12)의 네트워크 요소로부터 관련 이벤트를 프로비져닝하는 능력을 포함한다.
네트워크 구성(10)은 개방형 운영 체제(OS) 인터페이스(20)를 경유하여 관리 엔티티(14)에 통신적으로 결합되는 서비스 플랫폼(18)을 또한 포함한다. 개방형 OS 인터페이스(20)를 사용하여, 서비스 플랫폼(18)은 네트워크 요소로부터 이벤트 보고에 관련된 이벤트 통지를 포함하는 이벤트 통지(22)로의 액세스를 갖는다. 또한, 개방형 OS 인터페이스(20)를 사용하여, 서비스 플랫폼(18)은 공급자 에지 라우터(PE1, PE2)에서 프로비져닝 변경을 실행하기 위한 명령을 포함하는 제어 명령(24)을 관리 엔티티(14)에 발행할 수 있다. 서비스 플랫폼(18)은 통상적으로 랩탑 또는 데스크탑 컴퓨터 또는 워크스테이션일 수 있다. 개방형 OS 인터페이스는 자바 메시지 서비스(JMS) 인터페이스이지만, 다른 유형의 메시지 인터페이스가 사용될 수 있다.
서비스 플랫폼(18)은 서비스 플랫폼(18) 상의 서비스 데이터베이스(28)와 통신하는 서비스 애플리케이션(26)을 실행하지만, 서비스 데이터베이스(28)는 또한 개방형 OS 인터페이스(20)에 의해 제공되는 것에 액세스를 갖는 관리 엔티티(14) 상에 상주할 수 있다. 서비스 애플리케이션(26)은 본 발명의 실시예에 따른 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법을 구체화하는 소프트웨어 프로그램이다.
이 방법에 따르면, 서비스 애플리케이션(26)은 개방형 OS 인터페이스(20)를 통해 수신된 이벤트 통지(22)를 모니터링한다. 서비스 애플리케이션(26)은 이들 중 임의의 것이 보안 모니터링을 위해 선택된 인터페이스 포트의 동작 상태에 관련되는지를 판정하기 위해 이벤트 통지(22)를 검사한다. 이와 같이 선택된 각각의 포트의 식별자는 서비스 데이터베이스(28)의 제 1 기록(R1)에 저장된다. 임의의 이러한 포트에 대해, 그 포트를 경유하여 제공된 VPLS 서비스에 대응하는 FIB의 FIB 엔트리 내에 포함된 정보는 관련된 PE 라우터로부터 미리 검색되어 서비스 데이터베이스(28)에 저장되어 있을 수 있다. 예를 들어, 제 1 인터페이스 포트(P1)의 경우에, 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리(E1)로부터의 정보는 서비스 데이터베이스(28)의 제 2 기록(R2) 내에 저장된다. 제 2 기록(R2)은 제 1 포트(P1)의 식별자를 포함하지만, 다른 수단에 의해 제 1 포트(P1)에 관련될 수 있다. 추가적으로 또는 대안적으로, 부속 회로에 의해 포트에 통신적으로 결합된 CE 라우터에 관한 다른 정보는 그 CE 라우터로부터 검색되어 서비스 데이터베이스(28)에 저장될 수 있다. 예를 들어, 제 1 고객 에지 라우터(CE1)의 구성 데이터는 또한 서비스 데이터베이스(28)의 제 2 기록(R2)에 저장된다. 제 2 기록(R2)에 포함된 정보는 바람직하게는 OS 인터페이스(20)를 통해 관리 엔티티(14)에 발행된 제어 명령을 사용하여 서비스 플랫폼(18)에 의해 검색될 수 있지만, 다른 방식이 작용할 수 있다. 이러한 정보는 포트가 보안 모니터링을 위해 선택될 때 또는 보안 모니터링이 포트 상에서 재초기화되고 포트가 동작 상태에 있을 때 검색될 수 있다.
제 1 및 제 2 기록(R1, R2) 내에 포함된 모든 또는 몇몇 정보를 저장하는 다수의 방식이 존재한다는 것이 이해되어야 한다. 그러나, 이들 방식 중 임의의 것은 보안 모니터링이 수행될 포트의 식별을 가능하게 하고 이러한 보안 모니터링이 활성화되고 포트가 동작 상태에 있을 때 그 포트에 통신적으로 결합된 CE 라우터에 관한 정보를 제공하면 충분할 것이다. 예를 들어, 제 1 기록(R1)은 제 2 기록(R2)이 제 1 포트(P1)의 식별에 포함되고 제 2 기록(R2)이 보안 모니터링이 수행될 포트에 관한 정보를 포함하는 것을 나타내는 방식으로 저장된다. 예를 들어, 이러한 방식은 서비스 데이터베이스(28)의 특정 부분 내에 또는 유사한 기록의 그룹 내에 제 2 기록(R2)을 저장할 수 있다.
도 1을 여전히 참조하면, 제 1 고객 에지 라우터(CE1)는 장기간 동안 패킷 스위칭 네트워크의 지원 스태프에 의해 방문되지 않은 비거주된 영역 내의 작은 빌딩 또는 캐빈과 같은 원격 사무실인 것으로서 도시되어 있다. 이러한 위치는 네트워크 보안에 대한 취약한 위치의 예이다. VPLS 서비스에 참여하려는 시도시에, 침입자 시스템(30)은 제 1 고객 에지 라우터(CE1)에서 제 1 부속 회로(AC1)를 분리하고 제 1 부속 회로(AC1)를 침입자 시스템(30)에 재접속함으로써 제 1 포트(P1)에 통신적으로 접속된다. 그러나, 제 1 부속 회로(AC1)를 분리하고 재접속하는 것은 제 1 인터페이스 포트(P1)가 동작 상태로부터 비동작 상태로 그리고 재차 동작 상태로 전이할 수 있게 한다. 추가적으로, 제 1 공급자 에지 라우터(PE1) 상에서 실행되는 어드레스 결정 프로토콜은 침입자 시스템(30)에 의해 제 1 부속 회로(AC1)를 통해 송신된 데이터 패킷으로부터 침입자 시스템(30)의 제 3 MAC 어드레스(Z)를 학습할 것이다. 제 1 공급자 에지 라우터(PE1)는 제 1 포워딩 정보 기반(FIB1) 내에 포함된 정보를 현재 버전으로 업데이트할 수 있다. 예를 들어, 제 1 엔트리(E1)는 제 1 엔트리의 현재 버전(E1')으로 업데이트될 것이다.
서비스 애플리케이션(26)은 동작 상태로부터 비동작 상태로 그리고 비동작 상태로부터 동작 상태로와 같은 인터페이스 포트의 동작 상태의 전이를 검출할 수 있는 이벤트 통지(22)를 모니터링한다. 인터페이스 포트의 동작 상태의 변경을 검출할 때, 서비스 애플리케이션(26)은 제 1 기록(R1)과 같은 서비스 데이터베이스(28) 내의 정보에 액세스하여, 영향을 받은 포트가 보안 모니터링을 위해 선택되어 있는 것인지를 판정한다. 판정이 긍정적이면, 서비스 애플리케이션(26)은 그 포트를 경유하여 제공된 VPLS 서비스에 대응하는 FIB의 FIB 엔트리 내에 포함된 현재 정보를 검색한다. 서비스 애플리케이션(26)은 영향을 받은 포트가 속하는 PE 라우터로부터 이 정보를 검색한다. 관련 FIB는 전용된 FIB가 VPLS 서비스의 각각의 인스턴스에 대해 PE 라우터 내에 존재하기 때문에 서비스 인스턴스와 영향을 받은 포트를 관련시키는 SAP 내에 포함된 정보에 의해 식별된다. 예를 들어, 제 1 인터페이스 포트(P1)의 동작 상태의 변경을 검출할 때, 서비스 애플리케이션(26)은 제 1 포워딩 정보 기반(FIB1) 내의 제 1 엔트리의 현재 버전(E1')을 검색하기 위해 관리 엔티티(14)에 제어 명령(24)을 발행한다.
서비스 애플리케이션(26)은 이어서 제 1 고객 에지 라우터(CE1)에 관한 정보의 초기 버전을 검색하기 위해 서비스 데이터베이스(28)에 액세스한다. 이 정보는 영향을 받은 포트 상에 보안 모니터링이 인에이블되거나 재초기화될 때 PE 라우터 및 대안적으로 또는 추가적으로 CE 라우터로부터 검색되는 점에서 초기라 칭한다. 예를 들어, 서비스 플랫폼(26)은 제 2 기록(R2) 내에 포함된 정보를 검색한다. 정보의 초기 버전은 정보의 현재 버전에 비교되고, 정합해야 하는 현재 및 초기 버전 내에 포함된 임의의 정보 사이의 오정합을 검출한 후에, 서비스 애플리케이션(26)은 침입자 시스템이 가상 레이어-2 서비스에 참여하려 시도하고 있다는 지시로서 오정합을 해석한다. 예를 들어, 서비스 애플리케이션(26)은 제 1 엔트리의 현재 버전(E1') 내에 그리고 제 2 기록(R2)에 저장되어 있는 제 1 부속 회로(AC1)에 통신적으로 결합된 CE 라우터의 MAC 어드레스를 비교한다. 이 경우에, 제 2 기록(R2)은 제 1 MAC 어드레스(X)를 포함하고 제 1 엔트리의 현재 버전(E1')은 제 3 MAC 어드레스(Z)를 포함하기 때문에 오정합이 존재한다. 추가적으로 또는 대안적으로, 유사한 방식으로, 영향을 받은 포트에 통신적으로 결합된 CE 라우터 또는 시스템에 고나한 다른 정보의 초기 및 현재 버전이 오정합에 대해 비교될 수 있다. 예를 들어, CE 라우터로부터 검색 가능하고 침입자 시스템에 의해 복제될 가능성이 없거나 복제되기 너무 어려운 구성 데이터와 같은 임의의 데이터가 비교를 위해 사용될 수 있다.
침입자 시스템이 보안 모니터링을 위해 선택된 인터페이스 포트를 경유하여 가상 레이어-2 서비스에 참여하려고 시도한 것에 대한 판정을 행할 때, 서비스 애플리케이션(26)은 영향을 받은 인터페이스 포트를 불능화하고, 네트워크 경보를 발생하거나 또는 가상 레이어-2 서비스의 보안 동작의 책임이 있는 조작자 또는 다른 엔티티에 이메일 또는 다른 유형의 전자 메시지를 송신하는 것과 같이 조작자에게 경보를 발행한다. 서비스 애플리케이션(26)은 영향을 받은 인터페이스 포트가 비동작 상태가 되게 하기 위해 관리 엔티티(14)에 제어 명령을 발행함으로써 영향을 받은 인터페이스 포트를 불능화한다. 예를 들어, 서비스 애플리케이션(26)은 OS 인터페이스(20)를 통해 관리 엔티티(14)에 제어 명령(24)을 발행하여 제 1 인터페이스 포트(P1)가 비동작 상태로 전이될 수 있게 한다.
도 2를 참조하면, 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법(200)이 이제 도 1을 추가로 참조하여 설명될 것이다. 방법(200)은 선택된 인터페이스 포트의 이벤트 통지를 모니터링하는 것(202)을 포함한다. 인터페이스 포트의 선택은 바람직하게는 서비스 애플리케이션(26)을 사용하여 수행될 수 있지만, 또한 서비스 플랫폼(18) 또는 관리자 엔티티(14) 상에서 실행하는 다른 애플리케이션에 의해 수행될 수 있다. 이들 선택의 기록은 바람직하게는 서비스 플랫폼(18)에, 예를 들어 서비스 데이터베이스(28) 내에 저장될 수 있지만, 이들은 또한 관리 엔티티(14)에 또는 양 위치 모두에 저장될 수도 있다. 이는 보안 모니터링될 인터페이스 포트의 지시가 인간 개입 없이 자동으로 방법(200)을 수행하는 서비스 애플리케이션(26)과 같은 엔티티에 이용 가능한 방법(200)을 수행하기 위해 충분하다. 이러한 지시는 보안 모니터링될 각각의 이러한 포트의 식별자를 포함할 수 있다. 이벤트 통지는 개방형 OS 인터페이스(20)를 경유하여 관리 엔티티(14)로부터 이벤트 통지(22)를 수신함으로써 모니터링된다.
선택된 인터페이스 포트의 이벤트 통지가 인터페이스 포트의 동작 상태가 변경되어 있는 것을 나타내는지 여부에 대한 판정(204)이 행해진다. 영향을 받은 포트의 동작 상태가 동작 상태로부터 비동작 상태로 변경되면, 방법은 동작 상태로의 추가의 변경이 발생할 때까지 대기한다. 비동작 상태로부터 동작 상태로의 영향을 받은 포트의 동작 상태의 전이가 검출될 때(206), 서비스 애플리케이션은 영향을 받은 인터페이스 포트에 통신적으로 결합된 시스템에 관한 현재 정보를 검색한다(208). 이 정보는 바람직하게는 시스템의 MAC 어드레스일 수 있지만, 침입자 시스템 상에 상주할 가능성이 없을 수 있는 구성 데이터와 같은 임의의 다른 정보일 수 있다.
검색된 현재 정보가 영향을 받은 인터페이스 포트에 통신적으로 결합된 CE 라우터에 관해 미리 검색된 정보에 오정합하는지 여부에 대한 판정(210)이 행해진다. 오정합이 검출된 후에, 영향을 받은 인터페이스 포트는 불능화되고(212), 경보가 발생한다(214). 방법(200)은 이어서 이벤트 통지(22)를 모니터링하는 단계(202)로 복귀한다.
다수의 수정, 변형 및 적응이 청구범위에 규정된 본 발명의 범주로부터 벗어나지 않고 전술된 본 발명의 실시예에 이루어질 수 있다.
Claims (10)
- 패킷 교환 네트워크(packet switching network) 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법에 있어서,
보안 모니터링을 위한 공급자 에지 라우터의 인터페이스 포트를 선택하는 단계와,
상기 가상 레이어-2 서비스를 제공하기 위해 고객 에지 라우터가 통신적으로 결합되는 상기 공급자 에지 라우터의 상기 인터페이스 포트의 동작 상태를 컴퓨터에서 모니터링하는 단계와,
상기 인터페이스 포트의 상기 모니터링된 동작 상태에서 변경이 발생했음을 검출하는 단계와,
상기 변경이 검출된 경우에 한해, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었는지를 검출하는 단계와,
상기 인터페이스 포트가 선택된 경우에 한해, 상기 고객 에지 라우터에 관한 정보가 변경되었음을 판정하는 단계와,
상기 모니터링된 동작 상태에서의 변경을 상기 침입자 시스템이 상기 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석하는 단계를 포함하는
방법.
- 제 1 항에 있어서,
상기 인터페이스 포트의 식별자를 기록함으로써, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었음을 나타내는 단계와,
상기 인터페이스 포트의 보안 모니터링이 인에이블되고 상기 인터페이스 포트가 동작 상태에 있을 때, 상기 정보의 초기 버전을 저장하는 단계를 더 포함하는
방법.
- 제 1 항에 있어서,
상기 정보는 상기 공급자 에지 라우터의 포워딩 정보 기반에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 인터넷 프로토콜(IP) 어드레스를 포함하는
방법.
- 제 3 항에 있어서,
상기 정보는 상기 고객 에지 라우터로부터 관리 엔티티를 경유하여 얻어질 수 있는 상기 고객 에지 라우터에 관한 다른 정보를 추가적으로 포함하는
방법.
- 제 1 항에 있어서,
운영 체제 인터페이스(operating system interface)를 통해 네트워크 관리 엔티티에 의해 보고된 이벤트 통지를 모니터링하는 단계를 더 포함하는
방법.
- 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하기 위한 보안 시스템에 있어서,
저장된 서비스 애플리케이션을 실행하기 위한 서비스 플랫폼을 포함하되,
상기 서비스 플랫폼은,
운영 체제 인터페이스를 경유하여 상기 패킷 교환 네트워크의 네트워크 관리 엔티티에 통신적으로 결합하기 위한 수단과,
상기 가상 레이어-2 서비스를 제공하기 위해 공급자 에지 라우터의 인터페이스 포트에 통신적으로 결합된 고객 에지 라우터에 관한 정보의 초기 버전을 저장하기 위한 서비스 데이터베이스를 포함하고, 상기 서비스 애플리케이션은 상기 서비스 플랫폼에 의해 실행될 비-일시적 컴퓨터 판독 가능 매체 상에 기록된 명령어들을 포함하되,
상기 명령어들은,
보안 모니터링을 위한 공급자 에지 라우터의 인터페이스 포트를 선택하는 명령어와,
상기 인터페이스 포트의 동작 상태와 관련되며, 상기 운영 체제 인터페이스를 통해 상기 네트워크 관리 엔티티에 의해 기록된 이벤트 통지를 모니터링하는 명령어와,
상기 인터페이스 포트의 상기 동작 상태에서 변경이 발생했음을 검출하는 명령어와,
상기 변경이 검출된 경우에 한해, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었는지를 검출하는 명령어와,
상기 인터페이스 포트가 선택된 경우에 한해, 상기 고객 에지 라우터에 관한 정보가 변경되었음을 판정하는 명령어와,
상기 모니터링된 동작 상태에서의 변경을 상기 침입자 시스템이 상기 가상 레이어-2 서비스에 참여하려고 시도한 것을 나타낸다고 해석하는 명령어를 포함하는
보안 시스템.
- 제 6 항에 있어서,
상기 서비스 애플리케이션은,
상기 인터페이스 포트의 식별자를 기록함으로써, 상기 인터페이스 포트가 보안 모니터링을 위해 선택되었음을 나타내는 명령어와,
상기 인터페이스 포트의 보안 모니터링이 인에이블되고 상기 인터페이스 포트가 동작 상태에 있을 때, 상기 정보의 초기 버전을 저장하는 명령어를 더 포함하는
보안 시스템.
- 제 6 항에 있어서,
상기 정보는 상기 공급자 에지 라우터의 포워딩 정보 기반에 저장된 하나 이상의 매체 액세스 제어(MAC) 또는 인터넷 프로토콜(IP) 어드레스를 포함하는
보안 시스템.
- 제 8 항에 있어서,
상기 정보는 상기 고객 에지 라우터로부터 관리 엔티티를 경유하여 얻어질 수 있는 상기 고객 에지 라우터에 관한 다른 정보를 추가적으로 포함하는
보안 시스템.
- 제 9 항에 있어서,
상기 가상 레이어-2 서비스는 가상 사설 근거리 통신망 서비스 또는 가상 전용 회선 서비스인
보안 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/404,023 US20100235914A1 (en) | 2009-03-13 | 2009-03-13 | Intrusion detection for virtual layer-2 services |
US12/404,023 | 2009-03-13 | ||
PCT/IB2010/001115 WO2010103407A2 (en) | 2009-03-13 | 2010-03-11 | Intrusion detection for virtual layer-2 services |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110115170A KR20110115170A (ko) | 2011-10-20 |
KR101266592B1 true KR101266592B1 (ko) | 2013-05-22 |
Family
ID=42470734
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020117021205A KR101266592B1 (ko) | 2009-03-13 | 2010-03-11 | 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20100235914A1 (ko) |
EP (1) | EP2406932B1 (ko) |
JP (1) | JP5460746B2 (ko) |
KR (1) | KR101266592B1 (ko) |
CN (1) | CN102349277B (ko) |
WO (1) | WO2010103407A2 (ko) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100561978C (zh) * | 2006-04-26 | 2009-11-18 | 华为技术有限公司 | 一种策略路由装置和方法 |
US8326962B2 (en) * | 2009-07-01 | 2012-12-04 | Siemens Corporation | Method, system and apparatus for providing automation management services |
US8640221B2 (en) | 2009-12-11 | 2014-01-28 | Juniper Networks, Inc. | Media access control address translation in virtualized environments |
US20120030759A1 (en) * | 2010-07-28 | 2012-02-02 | Alcatel-Lucent Usa Inc. | Security protocol for detection of fraudulent activity executed via malware-infected computer system |
WO2013157256A1 (ja) * | 2012-04-18 | 2013-10-24 | 日本電気株式会社 | インターワーク装置、方法、及びプログラムを格納した非一時的なコンピュータ可読媒体 |
US9825759B2 (en) * | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
US20160036843A1 (en) * | 2014-08-01 | 2016-02-04 | Honeywell International Inc. | Connected home system with cyber security monitoring |
US9769059B2 (en) * | 2015-06-25 | 2017-09-19 | Ciena Corporation | Fast interlayer forwarding |
CN107517114B (zh) * | 2016-06-16 | 2022-08-02 | 中兴通讯股份有限公司 | 一种通信端口的链接状态更新方法及装置 |
JP6977507B2 (ja) * | 2017-11-24 | 2021-12-08 | オムロン株式会社 | 制御装置および制御システム |
US11128618B2 (en) * | 2019-10-15 | 2021-09-21 | Dell Products, L.P. | Edge data center security system that autonomously disables physical communication ports on detection of potential security threat |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204339A1 (en) * | 2005-12-02 | 2007-08-30 | Alcatel | Virtual private network publish-subscribe multicast service |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
US6907470B2 (en) * | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US8001594B2 (en) * | 2001-07-30 | 2011-08-16 | Ipass, Inc. | Monitoring computer network security enforcement |
US7463639B1 (en) * | 2001-09-26 | 2008-12-09 | Junpier Networks, Inc. | Edge devices for providing a transparent LAN segment service and configuring such edge devices |
US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
FR2837337B1 (fr) * | 2002-03-15 | 2004-06-18 | Cit Alcatel | Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel |
US7234163B1 (en) * | 2002-09-16 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
US7813345B2 (en) * | 2003-06-05 | 2010-10-12 | At&T Intellectual Property I, L.P. | MAC learning using VC-LSP dedicated for broadcast and unknown frames |
JP2005051548A (ja) * | 2003-07-29 | 2005-02-24 | Furukawa Electric Co Ltd:The | データ中継方法、データ中継装置およびその装置を用いたデータ中継システム |
US7698455B2 (en) * | 2003-08-01 | 2010-04-13 | Foundry Networks, Inc. | Method for providing scalable multicast service in a virtual private LAN service |
US7373660B1 (en) * | 2003-08-26 | 2008-05-13 | Cisco Technology, Inc. | Methods and apparatus to distribute policy information |
JP2005340942A (ja) * | 2004-05-24 | 2005-12-08 | Mitsubishi Electric Corp | 通信ネットワークシステム、システム管理装置および情報転送装置 |
US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
US7769037B2 (en) * | 2005-02-19 | 2010-08-03 | Cisco Technology, Inc. | Techniques for using first sign of life at edge nodes for a virtual private network |
GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
US20060250966A1 (en) * | 2005-05-03 | 2006-11-09 | Yuan-Chi Su | Method for local area network security |
US8010994B2 (en) * | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
US8238352B2 (en) * | 2005-09-02 | 2012-08-07 | Cisco Technology, Inc. | System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility |
CN100512211C (zh) * | 2005-09-12 | 2009-07-08 | 中兴通讯股份有限公司 | 一种在不同类型网络间实现虚交换的方法 |
JP2007267139A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 認証vlan管理装置 |
JP2008042735A (ja) * | 2006-08-09 | 2008-02-21 | Fujitsu Access Ltd | Macアドレス学習機能の管理方法及びネットワーク機器 |
US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
US7885294B2 (en) * | 2007-08-23 | 2011-02-08 | Cisco Technology, Inc. | Signaling compression information using routing protocols |
US8181229B2 (en) * | 2008-03-25 | 2012-05-15 | Commscope, Inc. Of North Carolina | Methods, systems and computer program products for operating a communications network with enhanced security |
-
2009
- 2009-03-13 US US12/404,023 patent/US20100235914A1/en not_active Abandoned
-
2010
- 2010-03-11 EP EP10725274.4A patent/EP2406932B1/en not_active Not-in-force
- 2010-03-11 JP JP2011553555A patent/JP5460746B2/ja not_active Expired - Fee Related
- 2010-03-11 CN CN201080011376.2A patent/CN102349277B/zh not_active Expired - Fee Related
- 2010-03-11 WO PCT/IB2010/001115 patent/WO2010103407A2/en active Application Filing
- 2010-03-11 KR KR1020117021205A patent/KR101266592B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204339A1 (en) * | 2005-12-02 | 2007-08-30 | Alcatel | Virtual private network publish-subscribe multicast service |
Also Published As
Publication number | Publication date |
---|---|
US20100235914A1 (en) | 2010-09-16 |
KR20110115170A (ko) | 2011-10-20 |
CN102349277B (zh) | 2015-08-05 |
WO2010103407A3 (en) | 2010-11-04 |
JP5460746B2 (ja) | 2014-04-02 |
CN102349277A (zh) | 2012-02-08 |
JP2012520596A (ja) | 2012-09-06 |
EP2406932A2 (en) | 2012-01-18 |
EP2406932B1 (en) | 2015-09-23 |
WO2010103407A2 (en) | 2010-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101266592B1 (ko) | 패킷 교환 네트워크 내의 가상 레이어-2 서비스에 참여하려는 침입자 시스템의 시도를 검출하는 방법 및 시스템 | |
US8542681B2 (en) | Method and system for simplified network wide traffic and/or flow monitoring in a data network | |
US7961599B2 (en) | Pseudowire tunnel redundancy | |
KR102156964B1 (ko) | 분산된 리질리언트 네트워크 상호 접속 〔drni〕 링크 애그리게이션 그룹에 있어서 이웃과 동기화하기 위한 방법 및 시스템 | |
US8432916B2 (en) | Method and router for implementing mirroring | |
US9019840B2 (en) | CFM for conflicting MAC address notification | |
EP2787688B1 (en) | Communicating network path and status information in multi-homed networks | |
US6538997B1 (en) | Layer-2 trace method and node | |
US8085670B2 (en) | Method and system for originating connectivity fault management (CFM) frames on non-CFM aware switches | |
CN101931520B (zh) | 一种切换方法及系统 | |
US8059527B2 (en) | Techniques for oversubscribing edge nodes for virtual private networks | |
EP3809641A1 (en) | Improved port mirroring over evpn vxlan | |
US9071457B2 (en) | Provider network and provider edge apparatus | |
EP4117242A1 (en) | Message detection method, device and system | |
CN109412851B (zh) | 链路层路径检测方法、装置及系统 | |
Seppänen | Dependability of All IP Networks: Resiliency in Ethernet Based Transport |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160509 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170508 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190503 Year of fee payment: 7 |