TWI395435B - 開放網路連接 - Google Patents
開放網路連接 Download PDFInfo
- Publication number
- TWI395435B TWI395435B TW098104871A TW98104871A TWI395435B TW I395435 B TWI395435 B TW I395435B TW 098104871 A TW098104871 A TW 098104871A TW 98104871 A TW98104871 A TW 98104871A TW I395435 B TWI395435 B TW I395435B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- traffic
- connection
- management
- logic
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
此申請案係關於全部以引用之方式併入本文中的下列美國專利申請案:於2005年5月3日申請的名稱為「封包轉換」之美國專利申請案序列號11/121,192;於2006年5月30日申請的名稱為「入侵預防系統邊緣控制器」之美國專利申請案序列號11,443,490;於2006年12月8日申請的名稱為「雙平面網路架構」之美國專利申請案序列號11/636,240。
主要區域網路(LAN)技術的乙太網路具有使用具有實體分接頭之共同共用同軸電纜所建構的早期實施方案。每一分接頭連接一終端節點。此使一個共用網路片段不具備控制,其中該等終端節點之全部係暴露至傳輸頻寬之共用10百萬位元上的訊務之全部。乙太網路LAN之發展中的下一步驟使用建立集線器及輪輻佈局的多埠互連裝置而引入結構線路,其中每一終端節點具有一連接至該等多埠互連裝置(該集線器)的鏈結(一輪輻)。該集線器提供添加的控制而且該等輪輻提供私有通信路徑。該等多埠互連裝置係首先實施為層1互連(轉發器)裝置,接著稍後使用為層2(橋接器)裝置。該等多埠互連裝置係依次互連以形成互連集線器之一集,其形成實體LAN佈局。此實施方案提供一較多控制環境,限制終端節點暴露訊務,以及提供該等多埠互連裝置與該等終端節點之間的私有通信路徑。
區域網路係組織於實體分離片段中而且此等片段係由層3裝置(路由器)互連。此等片段在如由網際網路工程任務編組(IETF)指定的網際網路協定(IP)中係稱為子網路。如藉由IEEE 802.1D規格指定的虛擬區域網路(VLAN)係引入為用以將邏輯佈局(子網路)與實體佈局(LAN片段)分離的機制。VLAN提供一新佈局控制方法,其致使能夠指派終端節點或訊務類型至邏輯佈局及訊務優先權而與LAN內的實體位置無關。此等指派係由網路管理政策控制並提供自實體配置的第一分離至邏輯(虛擬)LAN片段(VLAN)的指派。
接著添加網路存取控制(NAC),其控制允許一終端節點存取的該(或該等)VLAN。藉由IEEE在802.1x規格中指定一NAC方法之一範例。該NAC將:鑑別該終端節點以驗證該終端節點之識別碼;視需要地對該終端節點進行態勢檢查以驗證終端節點軟體未呈現威脅;而且基於該資訊將指派該終端節點至一或多個VLAN或否認對該網路的存取。NAC實施方案通常包含安全鑑別資訊及相關聯政策,其指示允許一終端節點存取一網路之哪些部分及/或哪些資源。政策資訊係儲存於一NAC政策伺服器中並且此資訊係由一強制點利用,該強制點用作控制該網路之邊緣處的終端節點存取之一網路哨符。
VLAN指派控制一終端節點的網路連接至一或多個VLAN,但是該終端節點仍係限於至其該網路的實體連接點;必須由該終端節點進行用以選擇自傳遞網路訊務所需要的封包之訊務篩選;未細查傳送至該終端節點及由其傳送的訊務以移除安全威脅而不在符合每一終端節點的網路之邊緣處配置昂貴的入侵預防系統。
以上參考的名稱為「雙平面網路架構」之專利申請案揭示電子通信網路,其包括用於實行網路連接性功能的一連接性平面,以及用於實行網路存取控制、攻擊控制及應用控制之一或多項的一控制平面。一控制平面與網路連接應用及服務可互連並透過各種介面與一連接性平面以及彼此互動。
以上參考的名稱為「雙平面網路中的網路訊務重新引導」之專利申請案揭示用於提供一連接性平面與一電子通信網路中的一控制/應用平面之間的介面之技術。特定言之,向該連接性平面註冊控制/應用平面實體,而且該連接性平面重新引導自該連接性平面的網路訊務至註冊的應用控制平面實體。例如,一電子通信網路包括一連接性子系統。向該連接性子系統註冊一控制或應用子系統。該控制子系統請求將訊務自該連接性子系統重新引導至該控制子系統。回應於重新引導請求,該連接性子系統重新引導網路訊務至該控制子系統。可將關於該連接性子系統、該控制子系統以及該重新引導請求的資訊儲存於諸如一管理資訊庫之一記錄中。該連接性子系統及該控制子系統可使用一協定(例如SNMP)或層壓在SNMP之頂部上的一協定而彼此通信。
本發明之具體實施例係關於用於藉由提供一或多個邏輯網路連接點而減輕實體網路連接點限制的技術。該等邏輯網路連接點係經由在一或多個連接性平面裝置與一電子通信網路中的一網路連接應用、服務或控制平面功能之間的一介面提供。該網路連接應用、服務或控制平面功能將本身註冊為具有該連接性平面中的功能之一邏輯網路居民(NR),該功能將提供邏輯開放網路連接(ONC)。該連接性平面中的此功能係稱為訊務存取提供者(TAP)。
除藉由上述先前專利申請案揭示的特徵以外,本發明之具體實施例添加下列特徵:
-該網路連接點訊務存取提供者(TAP)與該網路居民(NR)之間的點對點連接之參數。統稱為連接傳輸描述符的該等參數控制由ONC提供的點對點連接之態樣,例如:
○定址、VLAN、囊封、加密
○完全封包、部分封包或僅計數器
○最佳效果、保證遞送、訊務優先權
○基於安全目的之訊務細查的層級
○訊務登錄
-一傳輸ONC。
-稱為一網路協調者(NC)的一第三方實體,其協助建置一或多個開放網路連接(ONC)或指派一或多個開放網路連接(ONC)至該邏輯網路居民(NR)。
-使用ONC的應用範例,例如:
○使用ONC的網路監視應用
○使用ONC的伺服器負載平衡器
○使用ONC的NAC實施方案
○使用ONC的無線行動性
○使用ONC的服務提供者網路佈局
例如,在本發明之一項具體實施例中,提供用於控制區域網路(LAN)訊務的一系統。該系統包括一訊務存取提供者;一網路居民,其包含用以在該LAN之上傳送一管理網路連接請求的管理連接請求邏輯,該請求包括一網路訊務篩選器之規格;以及連接建置邏輯,其用以回應於該請求而建置該網路居民與該訊務存取提供者之間的一管理網路連接。該訊務存取提供者包括訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定該網路訊務是否滿足指定網路訊務篩選器;訊務修改邏輯,其用以在網路訊務滿足指定網路訊務篩選器之情況下修改網路訊務以產生經修改網路訊務;以及訊務傳送邏輯,其用以在網路訊務滿足指定網路訊務篩選器之情況下在建置連接上的該LAN之上傳送經修改網路訊務至該網路居民。
該請求可進一步包括網路訊務安全篩檢之一特定層級的規格;其中該訊務存取提供者進一步包含安全篩檢邏輯,其用以決定網路訊務是否滿足網路訊務安全篩檢之該特定層級;而且其中訊務傳送邏輯包含用以僅在網路訊務滿足網路訊務安全篩檢之該特定層級的情況下才在建置連接上的該LAN之上傳送經修改網路訊務至該網路居民的邏輯。
訊務修改邏輯可包括用以依據與管理網路連接相關聯的管理連接傳輸描述符來修改網路訊務以產生修改網路訊務之邏輯。管理連接請求邏輯可包括用以傳送該請求內的管理連接傳輸描述符之邏輯。訊務存取提供者可進一步包括用以使管理連接傳輸描述符與該連接相關聯的邏輯。
在本發明之另一具體實施例中,提供用於控制區域網路(LAN)訊務的一系統,其包括:一訊務存取提供者;以及一網路協調者,其包含用以在該LAN之上傳送一管理網路連接請求至該訊務存取提供者,該請求包括一網路訊務篩選器之規格以及一網路居民之識別符。該訊務存取提供者可包括:連接建置邏輯,其用以回應於該請求而建置該網路居民與該訊務存取提供者之間的一管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定網路訊務是否滿足指定網路訊務篩選器;訊務修改邏輯,其用以在網路訊務滿足特定網路訊務篩選器之情況下修改網路訊務以產生經修改網路訊務;以及訊務傳送邏輯,其用以在網路訊務滿足指定網路訊務篩選器之情況下在建置連接上的該LAN之上傳送經修改網路訊務至該網路居民。
在本發明之另一具體實施例中,提供用於控制區域網路(LAN)訊務的一系統,其包含:一訊務存取提供者;一網路居民,其包含用以在該LAN之上傳送一管理網路連接請求的管理連接請求邏輯,該請求包括一訊務篩檢規格。該訊務存取提供者可包括:連接建置邏輯,其用以回應於該請求而建置該網路居民與一訊務存取提供者之間的一唯傳輸管理網路連接;一電路,其用以在該管理網路連接之上自該網路居民接收網路訊務;訊務篩檢邏輯,其用以決定網路訊務是否滿足訊務篩檢規格;以及訊務傳送邏輯,其用以在網路訊務滿足訊務篩檢規格的情況下傳送網路訊務至該網路。
在本發明之另一具體實施例中,提供一方法,其用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用。該方法包括:(A)向一第一訊務存取提供者註冊該終端節點為一第一網路居民,包括指派一第一網路居民識別符至該第一網路居民;(B)在該區域網路之上建置該第一網路居民與該第一訊務存取提供者之間的一第一管理網路連接;(C)在該第一管理網路連接係作用中時,在該第一管理連接之上自該第一網路居民傳輸第一管理訊務至該第一訊務存取提供者,其中該第一管理訊務包括該第一網路居民識別符;(D)在該第一訊務存取提供者處,修改第一管理訊務以產生第一修改訊務;(E)在該第一訊務存取提供者處,傳輸第一修改訊務至該LAN;以及(F)在該第一管理網路連接係作用中時,使用區域網路介面自該終端節點傳輸第一未管理訊務至該LAN,其中該第一未管理訊務不包括該第一網路居民識別符。
在本發明之另一具體實施例中,提供一方法,其用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用。該方法包括:(A)向一第一訊務存取接收器提供者註冊該終端節點為一第一網路居民,包括指派一第一網路居民識別符至該第一網路居民;(B)在該區域網路之上建置該第一網路居民與該第一訊務存取提供者之間的一第一管理網路連接;(C)在該第一訊務存取提供者處,在該第一管理網路連接係作用中時:(1)在該第一訊務存取提供者處在該LAN之上接收第一網路訊務;(2)決定該第一網路訊務是否滿足與該第一管理網路連接相關聯的一第一網路訊務篩選器;(3)若該第一網路訊務滿足該第一網路訊務篩選器,則:(a)修改該第一管理訊務以產生包括該第一網路居民識別符的第一修改訊務,以及(b)在該第一管理網路連接上的該LAN之上傳輸第一修改訊務至該終端節點;以及(D)在該第一管理網路連接係作用中時,使用該區域網路介面在該LAN之上傳輸第一未管理訊務至該終端節點,其中該第一未管理訊務不包括該第一網路居民識別符。
在本發明之另一具體實施例中,提供一方法,其用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用,該方法包含:(A)在一網路協調者處,在該LAN之上傳送一管理網路連接請求至一訊務存取提供者;(B)在該訊務存取提供者處,在該區域網路之上建置該該訊務存取提供者與該網路協調者之間的一管理網路連接;(C)使用該區域網路介面將第一未管理網路訊務自該終端節點傳輸至該網路協調者;(D)在該網路協調者處:(1)接收該第一未管理網路訊務;(2)修改該第一未管理網路訊務以產生包括該終端節點之識別符的第一管理網路訊務;以及(3)在該第一管理網路連接之上傳輸該第一管理網路訊務至該第一訊務存取提供者;(E)在該第一訊務存取提供者處,修改該第一管理訊務以產生第一修改訊務;(F)在該第一訊務存取提供者處;傳輸該第一修改訊務至該LAN;以及(G)在該第一管理網路連接係作用中時,使用該區域網路介面將第二未管理訊務自該終端節點傳輸至該LAN,其中該第二未管理訊務不滿足該終端節點。
在本發明之另一具體實施例中,提供一方法,其用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用。該方法包括:(A)在一網路協調者處,在該LAN之上傳送一管理網路連接請求至一訊務存取提供者;(B)在該訊務存取提供者處,在該區域網路之上建置該訊務存取提供者與該網路協調者之間的一管理網路連接;(C)在該訊務存取提供者處:(1)在該LAN之上接收第一未管理網路訊務;(2)修改該第一未管理網路訊務以產生包括該終端節點之一識別符的第一管理網路訊務;以及(3)在該管理網路連接之上傳輸該第一管理網路訊務至該網路協調者;(D)在該網路協調者處;(1)接收該第一網路訊務;(2)修改該第一管理網路訊務以產生第二管理網路訊務,其不包括該終端節點之一識別符;以及(3)在該LAN之上傳輸該第二管理網路訊務至該終端節點。
在本發明之另一具體實施例中,提供用於控制對一區域網路(LAN)的存取之一系統。該系統包括:一訊務存取提供者;一網路協調者,其包含:註冊請求邏輯,其用以在該LAN之上傳送一請求以向該訊務存取提供者註冊一網路居民;管理連接請求邏輯,其用以在該LAN之上傳送一管理網路連接請求,該請求包括一網路訊務篩選器之規格;以及網路存取邏輯,其用以決定是否授權一第一終端節點以存取該LAN。該訊務存取提供者包括:註冊邏輯,其用以向該訊務存取提供者註冊該網路居民;連接建置邏輯,其用以建置該網路居民與該訊務存取提供者之間的管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選決定邏輯,其用以決定該網路訊務是否滿足指定網路訊務篩選器;以及訊務傳送邏輯,其用以在該網路訊務滿足該特定網路訊務篩選器的情況下在該管理網路連接之上傳送網路訊務至該網路居民。該網路協調者進一步包含接收訊務轉遞邏輯,其用以在決定該終端節點經授權用以存取該LAN的情況下轉遞網路訊務至該第一終端節點。
在本發明之另一具體實施例中,提供用於監視一區域網路(LAN)中的網路訊務之一系統。該系統包含:一第一訊務存取提供者;一網路居民,其包含:網路監視邏輯;第一管理連接請求邏輯,其用以在該LAN之上針對一第一唯計數器管理網路連接而傳送一第一請求,該第一請求包括一第一網路訊務篩選器之一第一規格。該第一訊務存取提供者包含:第一連接建置邏輯,其用以回應於該第一請求而建置該網路監視邏輯與該第一訊務存取提供者之間的該第一唯計數器管理網路連接;第一訊務接收電路,其用以在該LAN之上接收第一網路訊務;第一訊務計數傳送邏輯,其用以在該第一唯計數器管理網路連接之上傳送滿足第一指定網路訊務篩選器的第一網路訊務之第一數量的第一指示至該網路監視邏輯。
在本發明之另一具體實施例中,提供用於平衡一區域網路(LAN)中的網路訊務之一系統。該系統包含:一第一網路居民;一第二網路居民;一訊務存取提供者;一網路協調者;第一連接建置邏輯,其用以建置該第一網路居民與該訊務存取提供者之間的一第一管理網路連接,其中該第一管理網路連接係與一第一網路訊務篩選器相關聯;第二連接建置邏輯,其用以建置該第二網路居民與該訊務存取提供者之間的一第二管理網路連接,其中該第二管理網路連接係與一第二網路訊務篩選器相關聯;第三連接建置邏輯,其用以建置該網路協調者與該訊務存取提供者之間的一第一唯計數器管理網路連接,其中該第一唯計數器連接係與該第一網路訊務篩選器相關聯;第四連接建置邏輯,其用以建置該網路協調者與該訊務存取提供者之間的一第二唯計數器管理網路連接,其中該第二唯計數器連接係與該第二網路訊務篩選器相關聯。該第一訊務存取提供者包含:訊務接收電路,其用以在該LAN之上接收網路訊務;第一篩選器邏輯,其用以決定網路訊務是否滿足該第一網路訊務篩選器,並且若網路訊務滿足該第一網路訊務篩選器,則:增加與該第一網路訊務篩選器相關聯的一第一計數器;在該第一唯計數器連接之上傳送該第一計數器之一指示至該網路協調者;並且在該第一管理網路連接之上傳送網路訊務至該第一網路居民;以及第二篩選器邏輯,其用以決定網路訊務是否滿足該第二網路訊務篩選器,而且若網路訊務滿足該第二網路訊務篩選器,則:增加與該第二網路訊務篩選器相關聯的一第二計數器;在該第一唯計數器連接之上傳送該第一計數器之一指示至該網路協調者;以及在該第二管理網路連接之上傳送網路訊務至該第二網路居民。
在本發明之另一具體實施例中,提供用於無線連接具有一第一IP位址的一無線終端節點至一區域網路(LAN)的一系統。該系統包括:在該LAN之一第一子網路中的一第一訊務存取提供者;在該LAN之一第二子網路中的一第二訊務存取提供者;一行動性功能,其包含網路居民註冊邏輯,其用以向該第一訊務存取提供者註冊該無線終端節點為一網路居民;以及第一管理連接請求邏輯,其用以在該LAN之上傳送一第一管理網路連接請求,該第一請求包括一網路訊務篩選器之一規格。該第一訊務存取提供者包含:第一連接建置邏輯,其用以建置該第一訊務存取提供者與該網路居民之間的第一請求管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定網路訊務是否滿足指定網路訊務篩選器;以及訊務傳送邏輯,其用以在網路訊務滿足該指定網路訊務篩選器的情況下在該建置連接上傳送網路訊務至該網路居民。該行動性功能進一步包含:第二管理連接請求邏輯,其用以回應於該終端節點之IP位址至一第二IP位址的改變而在該LAN之上傳送一第二管理網路連接請求。該第二訊務存取提供者包含:第二連接建置邏輯,其用以建置該第二訊務存取提供者與該網路居民之間的第二請求管理網路連接。
本發明之各種態樣及具體實施例之其他特徵及優點將自下列說明及自申請專利範圍變得明白。
由於先前技術之各種限制,故需要進一步分離終端節點之實體網路及邏輯連接點,以便在終端節點連接之上提供較多控制而且藉由提供新類型的網路連接並且卸載訊務選擇及訊務安全細查任務來易於配置及實施網路連接應用及服務實施方案。
如今,網路連接應用或服務之實施者需要瞭解、構建及測試網路特定功能以與該網路連同實施應用功能或提供服務所需要的任務介接。本文中揭示的開放網路連接(ONC)之具體實施例不僅提供實體網路連接自邏輯連接的解耦,而且其提供一更簡單介面,其隱藏各種網路特定操作的實施細節。本文中揭示的開放網路連接之具體實施例提供一獨特能力:加以控制、細查及清理的開放網路連接;留下篩選及修整(scrubbing)網路功能之困難工作至一開放網路配接器,並且解耦終端節點的實體連接點至由開放網路連接提供的邏輯連接點。
參考圖1,其顯示使用兩個同軸電纜110及111建構的一早期乙太網路LAN實施方案。每一同軸電纜係由電纜110上的所有附加實體分接頭120至122以及電纜111上的實體分接頭150至152所共用。僅顯示少量附件以簡化該圖但是大多數舊的實施方案具有許多附件,其中指定的最大值為1024個附件。每一分接頭連接一終端節點或路由器介面。實體分接頭120至122分別連接終端節點130及131與路由器140的子網路2鏈結141。實體分接頭150至152分別連接終端節點130及131與路由器140的子網路1鏈結142。此等網路片段不提供控制而且連接至一LAN片段的所有終端節點共用橫越該同軸電纜的頻寬之10百萬位元。連接至該電纜的所有終端節點係暴露至該片段上的所有訊務。路由器140控制該兩個子網路之間的訊務,但是在每一子網路內不存在訊務控制。
參考圖2,其顯示乙太網路LAN之發展中的下一步驟,即結構線路之引入。圖2描述分成三個LAN子區段201至203的一LAN 200。每一LAN子區段表示一IP子網路。多埠互連裝置120至122建立集線器及輪輻佈局,其中每一終端節點210至215具有連接至一多埠互連裝置(集線器)的一鏈結(輪輻)。該等多埠互連裝置係首先實施為層1互連(轉發器)裝置,接著稍後使用為層2互連(橋接器)裝置。此實施方案允許在每一連接處添加控制。層2裝置具有多於較早層1裝置的控制。區域網路係組織於實體分離子區段201至203中,而且此等子區段係由層3裝置(路由器)240互連。此等LAN子區段在如由IETF指定的網際網路協定(IP)中係稱為子網路。
虛擬區域網路(VLAN)係引入為用以自實體佈局(LAN子區段)分離邏輯佈局(子網路)的一機制。VLAN提供一新佈局控制方法,其致使能夠指派終端節點或訊務類型至邏輯佈局及訊務優先權而與LAN內的實體位置無關。此等指派係由網路管理政策控制並提供自實體配置的第一分離至邏輯(虛擬)LAN子區段(VLAN)的指派。
參考圖3A,將LAN 300分成兩個邏輯群組VLAN2 302及VLAN3 301與一個實體群組子網路1 303。如吾人自圖3A所能看見,終端節點310至313並非由其實體位置或其所連接的層2交換機而歸類。此邏輯佈局能與藉由實體位置以舊方式歸類的終端節點314及315共存。三個群組301至303係藉由路由器(層3交換機)340互連。因為該等歸類不一定係基於實體位置,故路由器340不能依據該訊務係由哪個實體鏈結所接收而區分來自一個群組對另一個群組的訊務。事實上,路由器340必須使用接收封包上的VLAN標籤以決定哪個群組傳送該封包。同時,路由器340必須加標籤於其傳送的封包以確保該等封包係由身為該VLAN之成員的終端節點來接收。概括而言,因為不能依靠實體分離以識別自其傳送務訊的VLAN,故加標籤於訊務以識別傳送者之VLAN。終端節點瞭解其為哪些VLAN的成員,並且將忽視具有指示其並非成員的一VLAN之標籤的訊務。
參考圖3B,其顯示包含以一特定實體佈局互連的各種實體網路組件之一LAN 350。如以下更詳細地說明,該等LAN組件包括某種功能性,其有效地建立具有與實體網路350之佈局無關的一佈局之一邏輯網路360。更明確而言,LAN 350包含終端節點351及352,其兩者係實體上連接至一分配交換機353。具有一IPS模組的LAN交換機354包含硬體及軟體,其實施訊務存取提供者(TAP)364功能性。實體LAN 350亦包含兩個伺服器358及359,其係實體上連接至具有一IPS模組的伺服器交換機356(其包含實施TAP功能性366之硬體及軟體)。
所得邏輯佈局360包含網路居民(NR)361,其對應於實體終端節點351。網路居民(NR)361係在終端節點351向TAP 364註冊時建立的一邏輯實體,其係在具有IPS模組的LAN交換機354中實施的一邏輯實體。在NR 361與TAP 364之間建置一開放網路連接(ONC)371。同樣地,NR 362採用TAP 364建置一ONC 372。該等ONC係顯示為雙向但是ONC可加以建置為分離傳輸及接收ONC。藉由ONC 371及372(輪輻)以及TAP 364(集線器)建立邏輯佈局360中的一集線器及輪輻結構,其為兩者提供該網路中的一控制點並使終端節點351及352具備網路連接點,其在該網路中係在不同於分配交換機353處的其實體連接點之實體位置中。形成一適當管理邏輯佈局360,其能細查並使所有訊務與其傳送者相關聯,並且提供網路連接點,其係在實體網路佈局中的不同位置中。
同樣在邏輯佈局360中吾人發現分別藉由ONC 379及378連接至TAP 366的NR 369及368。在此情況下,由網路協調者(NC)365代表NR 369及368建置ONC 379及378。同樣,NC 365在TAP 366與NC 365之間建置ONC 389及388,其中ONC 389係ONC 379的唯計數器版本而且ONC 388係ONC 378的唯計數器版本。同樣,在TAP 364與TAP 366之間建置一TAP對TAP連接(TTC)375。稍後提供關於TAP對TAP連接(TTC)的更多細節。
與邏輯佈局360中的ONC相關聯的訊務之全部係控制訊務,其係橫跨其中其可與較少控制訊務共存的LAN 350而載送。此允許自使用傳統技術(例如交換機控制參數及線內IPS裝置)所控制的一網路至其中所有訊務加以檢驗並與註冊的網路居民相關聯的一完全控制邏輯佈局之平滑遷移。藉由採用舊有封包處理及控制資源工作的網路協調者(NC)功能來實現此遷移。
一NC能代表終端節點建置管理邏輯連接或可檢驗由該等終端節點傳送的ONC請求。此能力能經調節以:
-提供一網路哨符以控制對該網路的存取;
-為不支援ONC的終端節點提供管理邏輯連接;
-平衡至兩個或兩個以上終端節點或伺服器的網路訊務負載;
-提供該網路之一或多個實體位置中存在的網路至一終端節點或伺服器;
-提供一用戶端網路存取至一廣域網路及/或至一廣域網路之上的其他用戶端網路;
-提供網路應用配置、升級、可用性及重新組態;
-提供一人性化介面至該網路;
該NC功能可加以實施於:
-網路邊緣裝置(例如乙太網路交換機、智慧網路插座、或無線存取點);
-負載平衡器具;
-行動性器具;
-如由一網路服務提供者提供的用戶端邊緣裝置;
-網路應用管理控制台器具;
-一網路資訊站。
將在稍後更詳細論述此等各種實施方案。
能集中由TAP提供的訊務控制及操縱功能,例如伺服器負載平衡及訊務安全篩檢;利用封包檢驗及篩選硬體與軟體資源;降低實施成本。此集中係解說於圖3C中,其中所有控制資源係藉由在邏輯控制佈局380中提供TAP功能性385而在實體LAN佈局390中集中於具有IPS模組的LAN交換機395中。此允許大集中訊務控制實施方案,其易於實體安全、管理、冗餘之工作,並且與線內(「線路中的腫塊」)組態中配置多個IPS裝置的現有實施方案比較而降低成本。
將ONC用於許多不同網路功能不僅提供實體網路連接自邏輯連接的解耦,而且其提供自使用技術之傳統不相交集(例如交換機控制參數及線內IPS裝置)所控制的一網路至其中所有訊務加以檢驗並與註冊的網路居民相關聯的一完全控制邏輯佈局之平滑遷移。為了解說一單一撓性機制能如何完成各種網路功能,同時遷移訊務至具有一已知註冊來源的一均勻管理訊務,說明使用ONC完成各種網路功能的使用情況之一集。
網路存取控制(NAC)係LAN發展中的一步驟,其控制允許一終端節點存取的該(或該等)VLAN。將鑑別該終端節點以驗證該終端節點之識別碼;視需要地對該終端節點實行態勢檢查以驗證終端節點軟體未呈現威脅;而且基於該資訊將指派該終端節點至一或多個VLAN或否認對該網路的終端節點存取。NAC實施方案通常包含鑑別資訊及相關聯政策,其指示允許一終端節點存取一網路之哪些部分及/或哪些網路可存取資源。政策資訊係儲存於一NAC政策伺服器中並且此資訊係由一強制點利用,該強制點用作控制該網路之邊緣處的終端節點存取之一網路哨符。(參見2007年7月27日申請的名稱為「動態網路存取控制方法及設備」之美國專利申請序列號11/829,462。)
參考圖3D及3E,其描述利用ONC作為其實施技術的兩個NAC使用情況。如採用現有NAC實施方案,存在由於可以或可以不由終端節點、強制點及安全政策伺服器所提供的各種功能而遇到的各種方案。終端節點可以或可以不支援鑑別功能、VLAN加標籤、加密、態勢檢查功能或ONC。強制點可由一邊緣乙太網路LAN交換機、一無線存取點或交換機、線內IPS、或另一網路附加裝置來實施並且可以或可以不提供一鑑別協定、安全資料庫存取方法、VLAN加標籤、加密、態勢檢查功能或ONC。安全資料及存取協定與政策實施方案能變化。
實施一NAC實施方案中的ONC允許在已清除該終端節點以存取該網路及網路可存取資源之後向網路管理者及設計者提供一用以組織及管理網路存取的方法。若該等終端節點不實施ONC,則一NC能代表該等終端節點設定該等ONC。
現在參考圖3D,一NC 342能實施於強制點(例如此範例中的LAN交換機332或未顯示之另一範例中的安全伺服器)中。在終端節點331與該網路之間之路徑中的強制點332能代表終端節點331並且無需瞭解該終端節點而設定TAP 346與NC 342(本身)之間的傳輸ONC 343及接收ONC 344,其係與NC之能力(例如VLAN加標籤、加密以及囊封)對準。將使用ONC請求的組態參數來設定該等ONC。一旦建置該等ONC,訊務將自終端節點331流至實施NC 342功能的LAN交換機332並接著至在具有IPS模組的LAN交換機336中使用建置的ONC 343之一或多個所實施的TAP 346。
在接收方向上訊務將自在具有IPS模組的LAN交換機336中實施的TAP 346流至在LAN交換機332中使用建置的ONC 344之一或多個所實施的NC 342並接著自在LAN交換機332中實施的NC 342流至終端節點331。NC 342將代表終端節點331註冊本身為網路居民(NR)。NC 342可以每ONC為基礎向TAP 346揭示哪個終端節點將在利用該ONC。此允許所有ONC訊務與一終端節點相關聯,即使該終端節點不直接支援ONC亦如此。
現在參考圖3E,在已向該終端節點頒予網路存取之後,一NC 349能藉由NAC伺服器339來實施並且代表終端節點331而建置傳輸ONC 345及接收ONC 347。若終端節點331支援ONC,則NC 339能指派傳輸ONC 345及接收ONC 347至該等終端節點。否則,NC 349可以設定使用VLAN或不使用囊封的傳輸ONC 345及接收ONC 347,而無需瞭解該終端節點。NC 349可以組態邊緣交換機332以添加及剝離VLAN標籤或讀取及利用邊緣交換機332之現有VLAN組態,其係與傳輸ONC 345及接收ONC 347的組態參數對準。若終端節點332支援ONC,則其將註冊為一NR 341。否則,NC 349可以每ONC為基礎向TAP 346揭示哪個終端節點將在利用該ONC。
已針對所有經授權訊務而建置傳輸ONC 345及接收ONC 347之後,簡化未管理/未授權訊務之管理及識別。同樣,訊務篩檢能加以集中,而且依據改變的業務需求加以展開。此舉自計劃、登錄、控制、結算觀點提供網路使用的較多知曉。同樣,能指派並管理服務類別(CoS),既然授權ONC,能對其進行指派、解決以及預算,雖然所有非授權(非ONC)可以受寬頻及CoS限制。
參考圖3F,其描述一網路監視器使用情況,其中一網路監視應用係在終端節點N69上運行。該應用向TAP N72註冊為一網路居民(NR)N79。TAP功能N72係在具有IPS能力的邊緣交換機N62上運行。NRN 79自TAP N72請求一唯計數器ONC N71。此舉允許該應用監視具有在與ONC請求相關聯之篩選器參數中所定義的特定特性之訊務。因該請求,於在邊緣交換機N62上運行的TAP N72至在終端節點N69上運行的網路監視應用的NR N79之間建置一唯計數器接收ONC N71。可在NR N79與TAP N72之間採用不同篩選器準則請求並建置多個ONC。當在一NR與一TAP之間建置多個唯計數器ONC時,能將所得計數器封裝在一起以藉由降低傳輸該等計數器至該NR所需要的網路負載來增加網路效率。如何封裝該資訊係一特定實施方案但是將包含NR識別、ONC識別以及計數器更新資訊。
網路監視應用亦可向該網路中的其他TAP來註冊以得到網路訊務可見性之其他點。NR居民ID能與該網路中的TAP共用或者每一TAP可管理其自己的NR識別編號。一旦指派一NR識別至一NR,則其能在其向其他TAP註冊時使用該識別。該TAP在接收具有所供應的NR識別之一註冊請求後能檢查網路寬NR識別資料庫以看出是否授權此NR ID,而且將在已授權該ID的情況下接受NR註冊請求。同樣,一NR能自一TAP請求關於該網路中的其他TAP之資訊。該NR能使用該資訊以進行與該網路中的其他TAP之其他連接。如圖3F中所示,NR 79分別採用TAP N74、N76及N78使用單一NR識別而建置唯計數器接收ONC N73、N75及N77。
若網路監視應用想要較多詳細訊務資料,則能改變一唯計數器ONC或能建置一新ONC以傳送所有封包或該等封包之部分至NR N79以進一步檢驗或顯示。對較多詳細資訊的此請求可回應於在唯計數器ONC中所接收的計數器,從而指示需要進一步分析的可行網路事件。顯示為N70的一所得邏輯佈局包括NR N79、TAP N72、N74、N76、N78,以及建置的ONC N71、N73、N75、N77。此邏輯佈局N70利用實體佈局N60以載送該訊務。使用一共同方法以實施各種網路相關任務(像此網路監視任務及在此應用中揭示的其他使用情況)的一優點係一所得共同邏輯佈局。藉由遷移網路訊務及訊務控制方法以使用此以共同ONC為基礎的邏輯佈局而簡化網路管理及控制任務。
參考圖3G,其描述一網路負載平衡器使用情況,其中一網路負載平衡控制平面應用係在終端節點N49上運行。此負載平衡應用係負責控制指派至伺服器N42及N44之每一者的網路訊務負載。該負載平衡應用藉由為伺服器N42及N44組態ONC而用作一網路協調者(NC)N39。若該等伺服器不支援ONC,則NC N39能代表伺服器N42及N44註冊該等伺服器為網路居民(NR)N32及N34;否則該等伺服器將各請求向該TAP來註冊。伺服器N42及N44在圖3G中所描述的範例中係分別註冊為網路居民(NR)N32及N34。
該負載平衡應用藉由在TAP N38與作為網路居民N32及N34的伺服器N42及N44之間建置接收ONC來控制至該伺服器的訊務負載。依據在ONC請求中指定的訊務篩選器來分配該負載。負載平衡應用N49組態負載平衡篩選器之一初始集並且藉由建置具有與該等伺服器相同之篩選器參數的ONC之唯計數器版本來監視負載分配。此舉致使該負載平衡應用能夠監視傳送至該等伺服器的實際負載。該負載平衡應用接著能調整篩選器參數以改變負載平衡指派。
藉由組態該等伺服器之VLAN及/或網路位址以及接收ONC之定址參數,能操縱訊務至適當伺服器而無需該等伺服器上的軟體之任一額外組態。訊務將採用需要的定址及或VLAN加標籤藉由該TAP加以識別並且修改而且引導至指定的伺服器。該伺服器將接收並且處理訊務而無需瞭解負載平衡操作。若該等伺服器支援ONC,則能藉由該TAP(例如用於一更安全實施方案的加密)來實施其他類型的訊務修改。
圖3G解說具有兩個TAP N38及N36的一冗餘組態。該負載平衡應用能組態第二TAP為一非作用中備份或能在一負載共用組態中組態該等TAP。如採用單一TAP實施方案,採用指定篩選器準則建置負載平衡應用請求ONC而且亦針對負載平衡應用建置唯計數器ONC版本以監視訊務負載。負載平衡應用能重新組態該等ONC以藉由重新引導失效或過載裝置周圍的訊務來提供高可用性。
安全層級亦能加以增強並採用ONC實施方案具備更高效率。能採用適合於該伺服器之硬體及軟體的訊務安全篩檢來組態該ONC。組態安全篩選器,其保護使用中的特定伺服器,從而導致不浪費時間查找安全風險,其係設計用於其他硬體及軟體實施方案而且不可損害使用中的伺服器。同樣,如採用先前使用情況,藉由遷移網路訊務及訊務控制方法至此以共同ONC為基礎的邏輯佈局而簡化網路管理及控制任務。
參考圖3H,其描述一網路行動性使用情況,其中一網路行動性控制平面應用係在一行動性服務器具N89上運行。行動性服務協助具有行動網路連接性的無線終端節點。行動性服務器具結合無線存取點(AP)或無線交換機而工作。可在無線交換機而非如在此範例中所示的一分離器具中實施行動性服務功能。行動性服務亦可結合網路存取控制(NAC)功能而工作以鑑別並可以在允許對該網路的任何存取之前對無線終端節點進行態勢檢查。
當一無線終端節點(例如N81A)與無線AP N83相關聯時,AP N83或無線交換機N87通知新近連接的無線終端節點之行動性服務功能或NAC功能。若行動性服務器具N89係結合一NAC功能而工作,則該NAC功能(未顯示)將在其已授權對該LAN的無線節點存取時警告行動性服務器具N89。用作一網路協調者N99的行動性服務器具N89將使用頒予至該終端節點的網路存取資訊並且註冊該無線終端節點為具有TAP N97的網路居民N91A。在具有IPS的無線交換機N87中實施TAP N97。若無線終端節點不支援ONC,則NC N99將使用其自己的指派NR ID以代表該無線終端節點設定ONC以為該無線終端節點提供行動網路連接性。
在此範例中,無線終端節點N81A不支援ONC,因此用作NR N91A的NC N99建置一接收ONC N92,其引導傳送至該無線終端節點之位址的所有訊務以及其他適用多播及廣播封包至行動性服務器具N89。同樣,用作NR N91A的NC N99建置一傳輸ONC N93,其允許行動性服務器具N89轉播傳送至該無線終端節點但是採用ONC N92加以重新引導的所有訊務回至該無線終端節點。直至該無線終端節點移動至一不同子網路才絕對需要此訊務重新引導,因此直至該無線終端節點移動至一不同子網路,才能請求該TAP直接連接一接收ONC至一傳輸ONC。
接收ONC至一傳輸ONC的直接連接將訊務帶入邏輯管理網路佈局,其依次提供此邏輯佈局之利益,例如訊務之控制及細查以及對網路管理至關重要的可見性及可說明性。直接連接RX及TX ONC之此建構提供一機制以自實體平面N80之不同管理訊務遷移訊務至邏輯控制平面佈局N90中而無訊務重新引導之低效率。藉由指定RX ONC請求之ONC接收參數區段中的TX ONC來直接連接一RX ONC至一TX ONC。所得「回送」ONC組合具有提供傳輸ONC、訊務統計及可見性中指定的訊務安全篩檢以及邏輯控制平面N90中的訊務之可說明性的淨效應。此等訊務統計可由NC N99利用為唯計數器接收ONC(未顯示),其追蹤接收ONC N92為提供行動網路連接性中的助手。
在已建置並直接連接ONC N92及N93之後,該無線終端節點移動至一用戶端內之LAN中的一不同子網路或者移動至用戶端外面並且自一LAN無線鏈結改變至一WAN無線鏈結,其中此無線WAN鏈結亦係在一不同子網路中。若該無線終端節點重新與在一不同子網路中的AP N85相關聯,則該無線交換機通知行動性服務功能。行動性服務功能可能再次需要與一NAC功能工作以清除網路存取並鑑別該無線節點。行動性服務功能使用自無線交換機或NAC功能的資訊以識別此無線終端節點係先前與AP N83相關聯的無線終端節點N81A。行動性服務採取行動以使用AP N83之子網路中的先前指派IP位址而使無線終端節點N81A具備連接性。
首先,行動性服務向TAP N98註冊為由TAP N97按如較早說明的NC N99之請求而指派至無線終端節點N81A的NR N91A。如在先前範例網路監視使用情況中,NR ID可橫跨該網路中的TAP來協調或者每一TAP可指派其自己的ID至請求NR。若該TAP指派其自己的ID,則將拒絕在該請求中提供的建議的ID並且指派另一ID。行動性服務N89接著自TAP 98請求一接收ONC以在與AP N85相關聯的新子網路中重新引導所有訊務至或自該無線終端節點之新近指派網路位址,以在ONC N94之上傳送至行動性服務。在修改待定址至該無線終端節點之新網路位址的訊務之後,行動性服務請求一傳輸ONC以致使行動性服務能夠傳輸自ONC N92接收的傳送至該無線終端節點之舊網路位址的訊務至無線終端節點之新子網路。使用新網路位址作為來源位址自無線終端節點N81A傳送的訊務係由經由ONC N94重新引導至行動性服務N89的TAP N98來接收。與NR ID N91A相關聯的重新引導訊務由行動性服務N89接收並修改訊務以具有該無線終端節點之舊網路位址的來源位址,並且在ONC N93上傳送至該無線終端節點之舊子網路中的TAP N97。
此訊務重新引導能係臨時的以使自一個子網路至另一個子網路的轉變平滑。行動性服務N89能基於藉由無線終端節點或藉由組態命令追蹤作用中通信而決定停止舊網路位址的支援。若行動性服務N89決定停止支援,則其將拆卸ONC N92及N93並且可能組態ONC N94與N95之間的一直接連接,從而消除訊務重新引導,同時維持邏輯控制平面佈局中的無線訊務。另一操作模式係在將該無線終端節點連接至該LAN時使該無線終端節點維持原始網路指派位址。
若該無線終端節點留下用戶端並且連接至一無線WAN連接,則行動性服務N89將需要得到指示該無線終端節點之其新WAN指派網路位址的警告。此通知可以來自無線WAN連接之服務提供者或來自該無線終端節點。行動性服務N89接著將採用TAP N96針對傳送至新WAN指派網路位址及自其傳送的訊務來建置接收及傳輸ONC(未顯示)。如採用先前範例,行動性服務N89將重新引導並修改訊務至舊子網路以使WAN指派網路位址的轉變平滑。
如採用先前使用情況,藉由遷移網路訊務及訊務控制方法至此以共同ONC為基礎的邏輯佈局而簡化網路管理及控制任務。而且如藉由直接連接的接收及傳輸ONC所示,能遷移訊務至邏輯控制平面而無需訊務重新引導。由該等ONC實行的任務越多,則遷移至邏輯控制平面的訊務越多,簡化的管理任務越多,例如對網路管理至關重要的訊務之控制及細查與可見性及可說明性。
一服務提供者(WAN)佈局使用ONC以連接用戶端或公共位置上的用戶並且將內部網路連接(INC)用於TAP對TAP連接。INC(像ONC)能指定如何以及使用哪些技術以逐個連接為基礎來建置連接。
參考圖4,其顯示依據本發明之一項具體實施例的一電子通信網路400之圖。網路400包括一資料平面訊務存取提供者(TAP)子系統410以及一控制/應用/服務平面子系統401。TAP子系統410可(例如)加以實施為一「連接性/資料平面」中的複數個連接性子系統之一,因為該術語係用於以上參考的名稱為「雙平面網路架構」以及「雙平面網路中的網路訊務重新引導」之專利申請案中。例如,TAP子系統410可加以實施為一交換機或一路由器。同樣地,控制/應用/服務子系統401可(例如)加以實施為一「控制/應用/服務平面」中的複數個控制/應用/服務子系統之一,因為該術語係用於以上參考的名稱為「雙平面網路架構」之專利申請案中。
一般地,控制/應用/服務子系統401之一應用請求其向TAP子系統410來註冊。回應於該請求,該TAP子系統向TAP子系統410註冊該應用並指派一網路居民ID至該應用。該應用請求一接收ONC依據採用註冊請求所傳送的參數加以組態,指定的網路訊務使用提供的點對點連接參數而加以重新引導至控制子系統150。更明確而言,TAP子系統410包括構件411,其用於自應用1402接收一註冊請求421,回應於註冊請求421以向TAP子系統410註冊應用1402,以及確認註冊420;構件413,其用於自應用1402接收一ONC接收請求440;構件412,其用於回應於接收ONC請求440以經由一點對點連接431來重新引導網路訊務436至應用1402;以及構件413,其用於採用一ONC接收確認444來確認接收ONC請求442;構件,其用於回應於傳輸ONC請求442以經由一點對點連接自應用1402重新引導網路訊務432至TAP子系統410中的網路,以及至TAP子系統436之實體網路附加點處的網路;以及構件413,其用於採用ONC傳輸確認445來確認傳輸ONC請求442。
參考圖5A,其顯示一方法500之流程圖,該方法用於與依據本發明之一項具體實施例的圖4之電子通信網路400一起使用。控制/應用/服務子系統400包括在控制/應用/服務子系統401上執行的應用402至404。應用402至404可(例如)提供網路控制功能,例如存取控制、攻擊控制以及應用控制;應用(例如網路監視)或服務(例如網站伺服器)。儘管三個應用402至404係基於範例之目的而顯示於圖4中,但是可存在任何數目的應用。
控制/應用/服務子系統401中的一應用(例如應用1402)請求其向TAP子系統410加以註冊(步驟501),例如藉由傳輸註冊請求421至TAP子系統410。更明確而言,在控制/應用/服務子系統401上執行的應用402至404之一可傳輸請求421以向TAP子系統410作為一網路居民(NR)來註冊本身。基於下列論述之目的而假定應用1402傳輸請求421。更一般地,儘管下列論述可參考控制/應用/服務子系統401為與TAP子系統410通信,但是此類通信可藉由應用402至404之任一者來實行。
註冊請求421可(例如)回應於由在電子通信網路系統400中的控制/應用/服務子系統401中配置的應用以藉由應用1402來傳輸。應用1402可能需要在提交註冊請求421之前向TAP子系統410鑑別本身。
回應於註冊請求421,TAP子系統410向TAP子系統410註冊應用1402(步驟502)。作為註冊之部分,TAP子系統410可(例如)儲存說明應用1402的註冊資訊417於TAP子系統410中。例如,TAP子系統410可產生並儲存用於應用1 402的獨一識別符418於註冊資訊417中。
TAP子系統410確認已向TAP子系統410註冊應用1 402(步驟503)。TAP子系統410可藉由(例如)傳輸確認訊息420至應用1 402來實行確認。作為確認之部分,TAP子系統410可傳輸關於連接性子系統110之能力的資訊至應用1 402。此資訊可(例如)包括於註冊確認訊息420中。該資訊可指示(例如)TAP子系統410支援哪些ONC操作模式以及點對點囊封及/或加密方案;TAP子系統410是否支援「否認」模式(其中放棄而不重新引導經篩選封包);TAP子系統410是否支援「允許」模式(其中轉遞所有封包而不向其施加篩選規則);TAP子系統410支援哪些分類領域(例如,實體埠、MAC位址、協定(例如,IP、IPX)、IP標題領域及通配符、TCP/UDP埠及範圍、訊務速率、日期/時間、不同領域的組合);TAP子系統410是否支援IPv4、IPv6或兩者;以及能在TAP子系統410中組態的訊務篩選規則的總數。
應用1402接收註冊確認訊息並記錄自接收的確認訊息之資訊。此資訊包括獨一網路居民(NR)識別(ID)並視需要地包括關於該TAP及其能力(例如訊務方向之模式、點對點組態選項以及訊務篩檢能力)的資訊(步驟504)。
應用1 402請求組態一接收ONC以便將網路訊務436自TAP子系統410重新引導至應用1402,例如藉由傳輸組態接收ONC請求440至TAP子系統410(步驟505)。組態接收ONC請求440可包括ONC RX參數441,其用於決定哪個訊務重新引導至應用1402;如何設定該TAP與該應用之間的點對點連接;以及請求哪個層級的訊務掃描來移除潛在危險訊務。可以各種方式之任一者來定義ONC RX參數441。例如,ONC RX參數441可包括一或多個規則。每一此規則可(例如)指定下列準則之任何一或多個:實體埠編號(或實體埠編號之範圍)、MAC位址、VLAN、協定、IP標題來源位址(或通配符)、IP標題目的地位址(或通配符)、TCP埠(或TCP埠之範圍)、UDP埠(或UDP埠之範圍)、訊務速率、以及在應該施加規則時的日期/時間(開始、結束或範圍)。ONC RX參數441可包括任何數目的規則。
ONC RX參數441中的每一規則可指定針對滿足該規則的訊務所採取的一行動。此類行動可包括(例如)在IP位址模式中轉遞訊務;在重新引導模式中轉遞訊務;在複製及轉遞模式中轉遞訊務;僅傳送計數器概要而不傳送訊務本身;僅傳送封包的前n個位元組;允許模式;否認模式;以及速率模式。ONC RX參數441之一記錄可加以儲存在與TAP子系統410相關聯的註冊資訊417中,以使得TAP子系統410可隨後施加ONC RX參數441以決定是否重新引導訊務436至應用1402。
ONC參數亦可包括該終端節點希望該TAP對接收訊務實行的安全篩選器。此篩選器說明可包含由該TAP提供的篩選器之一或多個名稱或該TAP可能尚未提供但是該TAP可以在其安裝經由對該TAP的一篩選器更新所載入的一新篩選器時安裝的全部篩選器說明。
該等ONC參數亦可包括說明如何在自該TAP轉遞訊務至請求網路居民之前修改訊務。一傳輸描述符包括指示待用於該封包上的定址之參數,若及如何囊封該封包,以及若及如何加密該封包之部分或全部,其指導該TAP如何遞送該等封包至該NR。
TAP子系統410接收該接收ONC請求並檢查請求組態參數441以決定其是否能實現該請求(步驟507)。若該TAP不能實現接收ONC組態請求,則其構建指示不能實現該請求的一回應訊息444而且視需要地建議替代性參數446(步驟508)。若該TAP能實現接收ONC組態請求,則其構建指示已組態該請求的一回應訊息444(步驟509)。傳送構建的接收ONC組態回應訊息444至應用1402(步驟510)。TAP子系統410可藉由(例如)採用選用替代性參數446傳輸ONC接收回應訊息444至應用1402來實行該回應。
應用1402接收該接收ONC回應訊息444(步驟512)並檢查是否已如請求而組態請求接收ONC(步驟513)。若拒絕該接收ONC,則應用1檢查是否藉由該TAP建議替代性ONC組態參數(步驟516)。若建議替代性ONC組態參數並且該應用發現該替代性參數適合其需求,則應用1利用替代性參數建議來構建一新接收ONC請求訊息(步驟517),否則應用1可選擇不使用替代性建議參數而且跳過組態一接收ONC,若如此,則應用1可繼續移動至步驟524。在任一情況下,若組態或拒絕該接收ONC,則應用1可選擇亦請求藉由構建並傳送一傳輸ONC請求訊息442至該TAP來組態一傳輸ONC(步驟514)。
組態傳輸ONC請求442可包括ONC TX參數443,其用於決定如何設定該TAP與該應用之間的點對點連接;以及請求哪個層級的訊務掃描來移除潛在危險訊務。可以各種方式之任一者來定義ONC TX參數443,如採用ONC RX參數。
TAP子系統410接收該傳輸ONC請求並檢查請求組態參數443以決定其是否能實現該請求(步驟519)。若該TAP不能實現傳輸ONC組態請求,則其構建指示不能實現該請求的一回應訊息445而且視需要地建議替代性參數447(步驟521)。若該TAP能實現接收ONC組態請求,則其構建指示已組態該請求的一回應訊息445(步驟520)。傳送構建的傳輸ONC組態回應訊息445至應用1402(步驟522)。TAP子系統410可藉由(例如)採用選用替代性參數447傳輸ONC傳輸回應訊息445至應用1402來實行該回應。
應用1402接收傳輸ONC回應訊息445(步驟526)並檢查是否已如請求而組態請求傳輸ONC(步驟527)。若拒絕該傳輸ONC請求,則應用1檢查是否藉由該TAP建議替代性ONC組態參數(步驟528)。若建議替代性ONC組態參數並且該應用發現該替代性參數適合其需求,則應用1利用替代性參數建議來構建一新傳輸ONC請求訊息(步驟529),否則應用1可選擇不使用替代性建議參數而且不成功地完成(步驟532)。
現在參考圖6a、6b及6c,其顯示可如何組態接收或傳輸ONC之三個不同範例。在圖6a中可藉由請求一終端節點來組態一ONC。在該TAP與該終端節點之間建置所得ONC。在一終端節點處,一應用可註冊為一網路居民(NR)並且在該應用與該TAP之間組態接收ONC或傳輸ONC或兩者。儘管圖6a中未顯示,但是在一終端節點上運行的多個應用可各在每一應用與該TAP之間組態接收ONC或傳輸ONC或兩者。一終端節點可選擇實施支援由在該終端節點上運行的應用所共用的終端節點之協定堆疊中的開放網路連接。此舉允許配置ONC而無需改變應用。圖6a顯示在一終端節點之協定堆疊處,一協定堆疊或該協定堆疊內的一層可註冊為一網路居民(NR)而且在該協定堆疊與該TAP之間組態接收ONC或傳輸ONC或兩者。一終端節點中的NIC能係註冊為一網路居民(NR)並且在該NIC與該TAP之間組態接收ONC或傳輸ONC或兩者的實體。使該NIC實施ONC允許配置ONC而無需改變應用,同樣,ONC組態針對增強安全而發生在終端節點作業系統以外。例如,此舉能在嵌入式防火牆NIC中加以實施並卸載對該TAP裝置的訊務掃描。
圖6B顯示採用用作一中間物的一網路協調者(NC)在一終端節點與一TAP之間組態的ONC。在此操作模式中,接收及傳輸ONC請求係由該NC攔截、檢驗、可能修改、可能藉由返回回應於該終端節點而拒絕、或可能轉遞至該TAP。目的地為該終端節點的自該TAP返回的回應亦係攔截檢驗並轉遞回至該終端節點。以下採用圖7及圖8A至8E說明此操作模式的更多細節。如在圖6a中所示的先前操作模式中,能於在一終端節點、一終端節點中的一協定堆疊、或安裝在一終端節點中的一NIC上運行的一或多個應用之間設定該等ONC。
圖6C顯示採用用作一主機的網路協調者(NC)在一終端節點與一TAP之間組態的ONC,其中該等ONC係指派至該終端節點。該終端節點可以或可以不知曉所組態的ONC。以下採用圖9及圖10A至E之說明以及利用以上採用圖3G之說明所說明的ONC之伺服器負載平衡器實施方案來說明此操作模式的更多細節。如在圖6a及6b中所示的先前操作模式中,能於在一終端節點、一終端節點中的一協定堆疊、或安裝在一終端節點中的一NIC上運行的一或多個應用之間設定該等ONC。
參考圖8A,其顯示一方法800之流程圖,該方法用於與依據本發明之一項具體實施例的圖7之電子通信網路700一起使用。控制/應用/服務子系統701包括在控制/應用/服務子系統701上執行的應用702至704。應用702至704可(例如)提供網路控制功能,例如存取控制、攻擊控制以及應用控制;應用(例如網路監視)或服務(例如網站伺服器)。儘管三個應用702至704係基於範例之目的而顯示於圖7中,但是可存在任何數目的應用。
控制/應用/服務子系統701中的一應用(例如應用1702)請求其向TAP子系統710(步驟801)加以註冊,例如藉由傳輸註冊請求721a至TAP子系統710。更明確而言,在控制/應用/服務子系統701上執行的應用702至704之一可傳輸請求721a以向TAP子系統710來註冊本身。基於下列論述之目的而假定應用1702傳輸請求721a。更一般地,儘管下列論述可參考控制/應用/服務子系統701為與TAP子系統710通信,但是此類通信可藉由應用702至704之任一者來實行。
註冊請求721a可(例如)回應於由在電子通信網路系統700中的控制/應用/服務子系統701中配置的應用以藉由應用1702來傳輸。應用1702可能需要在提交註冊請求721a之前向TAP子系統710鑑別本身。
網路協調者750(NC)攔截註冊請求;檢驗內容;記錄關於應用1的資訊;視需要地鑑別並態勢檢查請求實體;視需要地檢查一TAP註冊;製備定址至原始請求中的TAP或定址至由該NC選擇的TAP之潛在修改請求721b(步驟802)。該NC可決定由於其強制的網路存取政策而拒絕或接受註冊請求(步驟803)。若該NC不拒絕註冊請求,其將傳送指示拒絕的一註冊確認訊息720a(步驟804)。否則該NC將轉遞註冊請求721b至TAP 710(步驟805)。
回應於註冊請求721b,TAP子系統710向TAP子系統710註冊應用1702(步驟806)。作為註冊之部分,TAP子系統710可(例如)儲存說明應用1702的註冊資訊於註冊子系統711中。例如,TAP子系統710可產生並儲存用於應用1702的獨一識別符於註冊資訊中。
TAP子系統710確認已向TAP子系統710註冊應用1702(步驟806)。TAP子系統710可藉由(例如)傳輸確認訊息720b至應用1702來實行確認。作為確認之部分,TAP子系統710可傳輸關於如以上在說明圖6及7A至C之文本中說明的連接性(TAP)子系統710之能力的資訊至應用1702。
網路協調者(NC)750攔截註冊確認訊息720b;檢驗內容;記錄關於應用1702的資訊;以及轉遞註冊確認訊息720a至應用1702(步驟808)。應用1702接收註冊確認訊息720a並記錄自接收的訊息之資訊。此資訊包括獨一網路居民(NR)識別(ID)並視需要地包括關於該TAP及其能力(例如訊務方向之模式、點對點組態選項以及訊務篩檢能力)的資訊(步驟809)。
應用1702請求組態一接收ONC以便將網路訊務736自TAP子系統710重新引導至應用1702,例如藉由傳輸組態接收ONC請求740a至TAP子系統710(步驟811)。組態接收ONC請求740a可包括ONC RX參數741a,其用於決定哪個訊務重新引導至應用1402;如何設定該TAP與該應用之間的點對點連接;以及請求哪個層級的訊務掃描來移除潛在危險訊務,如較早在先前範例中所說明。
網路協調者(NC)750攔截接收ONC請求740a;檢驗內容;記錄關於應用1及該ONC的資訊;視需要地檢查政策以驗證請求實體允許該ONC;視需要地檢查一TAP註冊;製備定址至原始請求中的TAP 710或定址至由該NC選擇的TAP之潛在修改ONC請求(步驟812)。該NC可決定由於其強制的網路存取政策而拒絕或接受該接收ONC請求或者該NC可具有其將建議的一較佳組態而非請求組態(步驟814)。該NC傳送指示拒絕或建議用於該請求接收ONC之組態一的替代性參數之回應訊息744a(步驟814)。
除拒絕該請求以外,該NC可選擇代表請求者來修改接收ONC請求之組態參數而且該NC可傳送該請求至不同於在原始請求中指定的TAP之一TAP。此特徵允許不瞭解其應該與哪個TAP連接的終端節點指定一保留TAB識別符,其指示該NC應該自此網路居民(在此範例中為應用1)為此請求拾取適當的TAP。若該NC不拒絕該接收ONC請求,則其轉遞接收ONC請求訊息740b,該訊息可以不同於該NC自應用1702接收的接收ONC請求訊息740a(步驟815)。
TAP子系統710接收該接收ONC請求並檢查請求組態參數(未顯示的741b)以決定其是否能實現該請求(步驟817)。若該TAP不能實現接收ONC組態請求,則其構建指示不能實現該請求的一回應訊息744b而且視需要地建議替代性參數(未顯示的746b)(步驟818)。若該TAP能實現接收ONC組態請求,則其構建指示已組態該請求的一回應訊息744b(步驟819)。傳送構建的接收ONC組態回應訊息744b至應用1702(步驟822)。TAP子系統710可藉由(例如)採用選用替代性參數(未顯示的746b)傳輸ONC接收回應訊息744b至應用1702來實行該回應。
網路協調者(NC)750攔截該接收ONC回應744b;檢驗內容;記錄關於應用1及該ONC的資訊;轉遞該訊息至應用1744a(步驟823)。
應用1702接收該接收ONC回應訊息744a(步驟824)並檢查是否已如請求而組態請求接收ONC(步驟825)。若拒絕該接收ONC,則應用1檢查是否藉由該TAP建議替代性ONC組態參數(步驟827)。若建議替代性ONC組態參數並且該應用發現該等替代性建議參數適合其需求,則應用1利用替代性參數建議來構建一新接收ONC請求訊息(步驟828),否則應用1可選擇不使用該等替代性建議參數而且跳過組態一接收ONC,若如此,則應用1可繼續移動至步驟826。在任一情況下,若組態或拒絕該接收ONC,則應用1可選擇亦請求藉由構建並傳送一傳輸ONC請求訊息742a至該TAP來組態一傳輸ONC(步驟826)。
網路協調者(NC)750攔截傳輸ONC請求742a;檢驗內容;記錄關於應用1及該ONC的資訊;視需要地檢查政策以驗證請求實體允許該ONC;視需要地檢查一TAP註冊;製備定址至原始請求中的TAP或定址至由該NC選擇的TAP之潛在修改ONC請求(步驟832)。
該NC可決定由於其強制的網路存取政策而拒絕或接受該傳輸ONC請求(步驟833)或者該NC可具有其將建議的一較佳組態而非請求組態(步驟834)。該NC傳送指示拒絕或建議用於該請求接收ONC之組態一的替代性參數之ONC傳輸回應訊息745a。
除拒絕該請求以外,該NC可選擇代表請求者來修改傳輸ONC請求之組態參數而且該NC可傳送該請求至不同於在原始請求中指定的TAP之一TAP。此特徵允許不瞭解其應該與哪個TAP連接的終端節點指定一保留TAB識別符,其指示該NC應該自此網路居民(在此範例中為應用1702)為此請求拾取適當的TAP。若該NC不拒絕該傳輸ONC請求,則其轉遞傳輸ONC請求訊息742b,該訊息可以不同於該NC自應用1702接收的接收ONC請求訊息742a(步驟835)。
TAP子系統710接收該傳輸ONC請求並檢查請求組態參數(未顯示的743b)以決定其是否能實現該請求(步驟837)。若該TAP不能實現傳輸ONC組態請求,則其構建指示不能實現該請求的一回應訊息745b而且視需要地建議替代性參數(未顯示的747b)(步驟838)。若該TAP能實現傳輸ONC組態請求,則其構建指示已組態該請求的一回應訊息745b(步驟839)。傳送構建的傳輸ONC組態回應訊息745b至應用1702(步驟842)。TAP子系統710可藉由(例如)採用選用替代性參數(未顯示的747b)傳輸ONC接收回應訊息745b至應用1702來實行該回應。
網路協調者(NC)750攔截該傳輸ONC回應745b;檢驗內容;記錄關於應用1及該ONC的資訊;轉遞訊息745a至應用1(步驟843)。應用1702接收傳輸ONC回應訊息745a(步驟844)並檢查是否已如請求而組態請求傳輸ONC(步驟845)。若拒絕該傳輸ONC請求,則應用1檢查是否藉由該TAP建議替代性ONC組態參數(步驟847)。若建議替代性ONC組態參數並且該應用發現該替代性建議參數適合其需求,則應用1利用替代性參數建議來構建一新傳輸ONC請求訊息(步驟848),否則應用1可選擇不使用替代性建議參數而且不成功地完成(步驟850)。
參考圖10A,其顯示一方法1000之流程圖,該方法用於與依據本發明之一項具體實施例的圖9之電子通信網路900一起使用。應用/服務子系統900包括在控制/應用/服務子系統901上執行的應用902至904。應用902至904提供網站伺服器功能。儘管三個應用902至904係基於範例之目的而顯示於圖9中,但是可存在任何數目的應用。
在步驟1001中一網路協調者(NC)950使用一發現探測訊息、聽取訊務而發現可用伺服器,或者採用此NC負責控制訊務負載平衡的網站伺服器之一清單加以組態。NC 950請求其係向TAP子系統910註冊(步驟1002),例如藉由傳輸註冊請求921a至TAP子系統910,若該等網站伺服器支援ONC,則其亦可註冊本身(未顯示),但是不需要網站伺服器支援ONC
註冊請求921a可(例如)回應於在電子通信網路系統900中配置的網站伺服器以藉由該NC來傳輸。NC 950可能需要在提交註冊請求921a之前向TAP子系統910鑑別本身。
回應於註冊請求921a,TAP子系統910向TAP子系統910註冊NC 950(步驟1003)。作為註冊之部分,TAP子系統910可(例如)儲存說明NC 950的註冊資訊於註冊子系統911中。例如,TAP子系統910可產生並儲存用於NC 950的獨一識別符於註冊資訊中。
TAP子系統910確認已向TAP子系統910註冊NC 950(步驟1005)。TAP子系統910可藉由(例如)傳輸確認訊息920a至NC 950來實行確認。作為確認之部分,TAP子系統910可傳輸關於連接性(TAP)子系統910之能力的資訊至NC 950,如以上說明。
網路協調者(NC)950接收註冊確認訊息920a並記錄在接收的訊息中發現的資訊。此資訊包括獨一網路居民(NR)識別(ID)並視需要包括關於該TAP及其能力(例如訊務方向之模式、點對點組態選項以及訊務篩檢能力)的資訊(步驟1006)。
NC 950已向TAP 910加以鑑別並註冊,其現在發佈一或多個請求以向TAP 910註冊網站伺服器1 902及網站伺服器2 903(步驟1007)。此可藉由列舉待註冊的網路居民之一單一訊息或藉由個別請求來進行,每網路居民一個請求(類似於921a但未顯示)。該請求訊息包含NC 950之NR ID,作為不僅具有係一網路居民的特權,而且具有代表其註冊其他實體的一鑑別實體。
TAP 910接收由NC 950傳送的一或多個註冊請求訊息而且在步驟1008中藉由向其各指派一NR ID並記錄此資訊於註冊系統911中而註冊網站伺服器1及網站伺服器2。NC 950係授權實體的事實為代表其註冊網站伺服器1及網站伺服器2。該註冊系統儲存關於負責發源或儲集(sinking)網路訊務的實體以及可能代表可以或可以不支援ONC之其他實體採取行動的鑑別實體之資訊。此資訊儲存庫係用以檢驗並管理邏輯管理訊務平面,例如圖3G中的項目N30。
TAP子系統910可藉由(例如)回應於一或多個註冊請求以傳輸一或多個註冊確認訊息(類似於920a但是未顯示)而實行該確認。一或多個訊息可包含用於網站伺服器1902及網站伺服器2903的指派NR ID,而且可能包括關於TAP子系統910的其他資訊(步驟1009)。
NC 950在步驟1010中接收一或多個註冊回應訊息並且記錄指派至負載平衡系統952中的網站伺服器1及網站伺服器2之NR ID,而且在步驟1012中檢查網站伺服器1及網站伺服器2是否支援ONC。若網站伺服器1及網站伺服器2確實支援ONC,則NC 950可通報網站伺服器1及網站伺服器2其已加以註冊,哪些為指派的NR ID,以及可能的關於其藉由(例如)在步驟1013中建構註冊指派訊息920b及c並傳送該等訊息至網站伺服器1902及網站伺服器2903而註冊的TAP之資訊。若網站伺服器1及網站伺服器2不支援ONC,則跳過註冊指派步驟並且直接進入步驟1016。在步驟1014中網站伺服器1902及網站伺服器2903接收註冊指派訊息920b及c並且記錄其指派的NR ID。在步驟1015中網站伺服器1902及網站伺服器2903藉由傳送註冊訊息921b及c至NC 950而回應。
NC 950建構用於每一網站伺服器的一接收請求ONC訊息(範例940a),從而指定包含在ONC RX參數(範例941a)中的接收篩選器準則。建構該等篩選器準則以使得網路訊務將橫跨該等網站伺服器而平衡,同樣,訊務篩檢之層級可在ONC RX參數(範例941a)中加以指定以保護該網站伺服器所提供的特定服務。在步驟1016中對於針對網站伺服器所建構的每一接收ONC,另一接收ONC係建構為一唯計數器ONC以連接至NC 950,致使NC 950能夠監視網站伺服器1902以及網站伺服器2903上的負載。
在步驟1017中TAP 910檢查是否能組態具有參數(範例941a)的接收ONC請求(範例940a),記錄關於組態的ONC之資訊並且備註唯計數器ONC與ONC組態系統913中的網站伺服器ONC之間的鏈結。若TAP 910能組態ONC RX請求,則其在步驟1022中構成認可接收回應訊息(範例944a)而且在步驟1023中組態訊務系統以重新引導並計數符合該等接收請求參數的訊務。
若TAP 910不能組態ONC RX請求,則其在步驟1021中構成拒絕接收回應訊息(範例944a)。在步驟1024中,傳送認可或拒絕接收回應至NC 950。在步驟1025中網路協調者950接收該等接收ONC回應,檢驗內容;記錄關於負載平衡系統952中的ONC之資訊。若該等網站伺服器支援ONC並且認可ONC接收請求,則在步驟1027中NC 950構成ONC指派訊息(範例940b)。在步驟1028中該等網站伺服器將接收該等ONC接收指派訊息,記錄關於ONC的資訊並且傳送ONC接收指派回應(範例944b)。
視需要地(圖10中未顯示),若NC 950想要由該等網站伺服器所傳送的訊務加以管理,則其將採用TAP 910設定傳輸ONC。藉由代表該等網站伺服器構成並傳送ONC傳輸請求訊息(範例942a)至TAP 950來設定此等ONC。TAP 910將接收該等ONC傳輸請求訊息,採用註冊系統911記錄該等訊息,並且採用ONC傳輸回應訊息(範例945a)而回應。若該等網站伺服器支援ONC,則NC 950將通報該等網站伺服器藉由傳送ONC傳輸指派訊息(範例942b)而建置該等傳輸ONC。該等網站伺服器將接收該等ONC傳輸指派訊息,記錄關於該等ONC的資訊並且傳送ONC傳輸指派回應(範例945b)回至NC 950
各種協定能在終端節點、網路協調者與TAP之間使用;簡單請求回應協定(像SNMP)能由該TAP用以請求接收及傳輸ONC;該TAP能具有一網站服務伺服器介面並且SOAP能用以組態ONC;或者任何另一協定,其能組態如在此揭示內容中說明的ONC。
無論使用哪些協定以因ONC組態而實行NR註冊、ONC組態、或訊務重新引導;下文均說明可存在於特定協定訊息之實施方案中的資訊。並非以下論述的所有資訊領域均為每一實施方案所需要。
請求為一註冊NR的一應用或終端節點必須提供某一形式的識別。可能形式的識別之範圍能自48位元MAC位址至信用卡編號、護照編號、URL。此提供的識別之重要特性係網路訊務之來源(TX ONC)及槽(RX ONC)能與一可識別實體(例如個人、機器、公司或任何另一形式的責任實體)相關聯。在說明該NR的註冊請求中亦可存在其他資訊,例如其係誰,其在何處,以及其能力。如以上論述,可將一NR ID提供為對該TAP的建議,因為該NR已先前自此TAP或另一TAP接收此NR ID。
若頒予註冊請求,則註冊確認訊息必須提供一NR ID。註冊確認訊息亦必須包含是否已頒予註冊之一指示。可由該TAP提供其他資訊,以及自註冊請求訊息複製的資訊。可在註冊確認訊息中提供關於此TAP或其他TAP的資訊。所提供的關於該等TAP的資訊可指示該TAP ID、該TAP位置、以及該TAP之能力,而且呈現由該TAP支援的負載。在確認訊息中報告的該TAP之能力可說明其篩選、封包重新引導模式、封包修改模式以及加密支援。此資訊能用於該NR以定位其他TAP並且決定是否能藉由該等TAP符合所需要的ONC。
撤銷註冊請求訊息必須至少包含自邏輯佈局斷開的NR ID。撤銷註冊請求訊息可視需要地包含諸如斷開之原因的資訊,其中該NR預計重新連接,以及關於所斷開的ONC之使用的資訊。
接收ONC請求訊息必須最少供應請求者之NR ID以及訊務重新引導指令。該NR ID係在向此TAP註冊時提供的ID。訊務重新引導指令能自選擇在該TAP中組態的預設值來採取各種形式以指定複雜的訊務選擇準則。同樣,可指定如何自該TAP傳送重新引導的訊務至NR,其能包括諸如用以囊封、加標籤或加密的封包變換指令之項目;用以針對安全威脅而掃描重新引導的訊務之訊務細查指令;以及是否應該傳送全部、部分或另一形式的訊務代表(例如計數器)而非重新引導實際訊務。
接收ONC請求訊息可包含至該TAP的訊務登錄指令,其能在一稍後日期加以收集以追蹤與此ONC相關聯的訊務。接收ONC請求訊息亦可包含此RX ONC將係直接連接至一TX ONC的指示而且若指示一直接連接,則包含此RX ONC所直接連接的哪個TX ONC之識別。若每NR允許一個以上的TX ONC,則必須提供TX ONC ID,否則該NR ID可識別TX ONC。
ONC接收回應訊息必須包含是否已頒予請求RX ONC之一指示。若該TAP允許每NR一個以上RX ONC,則ONC接收回應訊息亦必須包含一ONC識別符(ONC ID)。能由該NR或NC使用此ONC ID以使重新引導的訊務與引起訊務重新引導的ONC相關聯。該TAP亦可自回應訊息中的ONC接收請求複製資訊。
傳輸ONC請求訊息必須最少供應該請求者之NR ID。亦可在傳輸ONC請求訊息中供應關於如何自該NR傳送訊務至該TAP的資訊、訊務修改、訊務優先權、以及訊務細查,如在RX ONC中所說明。傳輸ONC請求訊息可包含至該TAP的訊務登錄指令,其能在一稍後日期加以收集以追蹤與此ONC相關聯的訊務。同樣,亦可在傳輸ONC請求訊息中提供關於在此TX ONC與一RX ONC之間的一直接連接之資訊。
傳輸ONC回應訊息必須包含是否已頒予請求TX ONC之一指示。若該TAP允許每NR一個以上TX ONC,則ONC傳輸回應訊息亦必須包含一ONC識別符(ONC ID)。能由該NR或NC使用此ONC ID以使訊務與發源此訊務的ONC相關聯。該TAP亦可自回應訊息中的ONC傳輸請求複製資訊。
110...同軸電纜/連接性子系統
111...同軸電纜
120至122...實體分接頭/多埠互連裝置
130...終端節點
131...終端節點
140...路由器
141...子網路2鏈結
142...子網路1鏈結
150至152...實體分接頭
160...終端節點
161...終端節點
200...LAN
201至203...子區段
210至215...終端節點
220...L1或L2多埠
221...L1或L2多埠
222...L1或L2多埠
240...層3裝置(路由器)
300...LAN
301...VLAN3/群組
302...VLAN2/群組
303...子網路1/群組
310至313...終端節點
314...終端節點
315...終端節點
320...L2多埠
321...L2多埠
322...L1或L2多埠
331...終端節點
332...LAN交換機/強制點
336...具有IPS模組的LAN交換機
339...NAC伺服器
340...路由器(層3交換機)
341...NR
342...NC
343...傳輸ONC
344...接收ONC
345...傳輸ONC
346...TAP
347...接收ONC
349...NC
350...LAN/實體網路/實體LAN
351...終端節點
352...終端節點
353...分配交換機
354...具有IPS模組的LAN交換機
355...負載平衡器
356...具有IPS模組的伺服器交換機
358...伺服器
359...伺服器
360...邏輯網路/邏輯佈局
361...網路居民(NR)
362...NR
364...訊務存取提供者(TAP)
365...網路協調者(NC)
366...TAP功能性/TAP
368...NR
369...NR
371...開放網路連接(ONC)
372...ONC
375...TAP對TAP連接(TTC)
378...ONC
379...ONC
380...邏輯控制佈局
385...TAP功能性
388...ONC
389...ONC
390...LAN佈局
395...具有IPS模組的LAN交換機
400...電子通信網路
401...控制/應用/服務子系統
402...應用/應用1
403...應用/應用2
404...應用/應用3
410...資料平面訊務存取提供者(TAP)子系統/TAP子系統
411...構件/註冊系統
412...構件/訊務系統
413...構件/ONC組態系統
414...組態資料庫
417...註冊資訊
418...獨一識別符
420...註冊/註冊確認訊息
421...註冊請求
422...撤銷註冊請求
431...點對點連接
432...網路訊務
436...網路訊務
440...ONC接收請求/接收ONC請求
441...ONCRX參數
442...傳輸ONC請求/傳輸ONC請求訊息
443...ONCTX參數
444...ONC接收確認/回應訊息/接收ONC回應訊息
445...ONC傳輸確認/回應訊息/傳輸ONC回應訊息
446...替代性參數
447...替代性參數
700...電子通信網路
701...控制/應用/服務子系統
702...應用/應用1
703...應用/應用2
704...應用/應用3
710...TAP子系統
711...註冊系統
712...訊務系統
713...ONC組態系統
720a...註冊確認訊息
720b...註冊確認訊息
721a...註冊請求
721b...請求/註冊請求
722a...撤銷註冊請求
722b...撤銷註冊請求
731...ONC接收訊務
732...ONC接收訊務
736...網路訊務
740a...組態接收ONC請求
740b...接收ONC請求訊息
741b...組態參數
742a...傳輸ONC請求訊息
742b...傳輸ONC請求訊息
743...ONC TX參數
744a...回應訊息/接收ONC回應訊息
744b...回應訊息/接收ONC回應/ONC接收回應訊息
745a...ONC傳輸回應訊息/傳輸ONC回應訊息
745b...回應訊息/傳輸ONC組態回應訊息/傳輸ONC接收回應訊息
746...ONC RX參數
747...ONC TX參數
750...網路協調者(NC)
900...電子通信網路
901...控制/應用/服務子系統
902...應用/網站伺服器1
903...應用/網站伺服器2
904...應用/網站伺服器3
910...TAP子系統/TAP
911...註冊系統
912...訊務系統
913...ONC組態系統
920a...確認訊息
920b及c...註冊指派訊息
921a...註冊請求
921b及c...註冊訊息
922a...撤銷註冊請求
922b...發現探測
931...ONC接收訊務
932...ONC傳輸訊務
936...網路訊務
940a...範例/ONC接收訊息
940b...範例/ONC RX指派
941a...範例/ONC RX參數
942a...範例/ONC傳輸請求
942b...範例/ONC TX指派
943...ONC TX參數
944a...範例/ONC接收回應
944b...範例/ONC RX ASG回應
945a...範例/ONC傳輸回應
945b...範例/ONC TX回應
950...網路協調者(NC)
952...負載平衡系統
N30...項目
N32...網路居民(NR)
N34...網路居民(NR)
N36...TAP
N38...TAP
N39...網路協調者(NC)
N42...伺服器
N44...伺服器
N49...終端節點/負載平衡應用
N60...實體佈局
N62...具有IPS能力的邊緣交換機
N64...具有IPS的無線交換機
N66...具有IPS的伺服器交換機
N68...具有IPS的核心交換機
N69...終端節點
N70...邏輯佈局
N71...唯計數器ONC/唯計數器接收ONC
N72...TAP/TAP功能
N73...唯計數器接收ONC
N74...TAP
N75...唯計數器接收ONC
N76...TAP
N77...唯計數器接收ONC
N78...TAP
N79...網路居民(NR)
N80...實體平面
N81A...無線終端節點
N81B...無線終端節點
N83...無線AP/AP
N84...無線終端節點
N85...AP
N86...具有IPS的WAN路由器
N87...具有IPS的無線交換機
N88...具有IPS的無線交換機
N89...行動性服務器具/行動性服務
N90...邏輯控制平面佈局
N91A...網路居民/NR/NR ID
N91B...NR
N92...ONC
N93...傳輸ONC
N94...ONC
N95...ONC
N96...TAP
N97...TAP
N98...TAP
N99...網路協調者/NC
圖1係原始乙太網路實體佈局;
圖2係乙太網路結構線路佈局;
圖3A係具有VLAN的乙太網路結構線路佈局;
圖3B係具有ONC及TAP的邏輯集線器及輪輻佈局;
圖3C係集中TAP資源;
圖3D係在終端節點不支援ONC時的NAC使用情況;
圖3E係在終端節點確實支援ONC時的NAC使用情況;
圖3F係利用ONC的網路監視使用情況;
圖3G係利用ONC的負載平衡器使用情況;
圖3H係利用ONC的行動性使用情況;
圖4係依據本發明之一項具體實施例的一電子通信網路之一圖;
圖5A至5C係用於向一TAP註冊一應用以及組態依據本發明之一項具體實施例的圖4之電子通信網路中的接收及傳輸ONC之方法的流程圖;
圖6描述在一終端節點與一TAP之間;在一終端節點與一TAP之間(其中該NC作為一中間物)設定的ONC;以及在一TAP與由一NC指派的一終端節點之間的ONC;
圖7係依據具有網路協調者(NC)功能的本發明之一項具體實施例的一電子通信網路之一圖;
圖8A至8E係用於向一TAP註冊一應用以及組態依據本發明之一項具體實施例的圖7之電子通信網路中的接收及傳輸ONC(其中該NC用作一中間物)之方法的流程圖;
圖9係依據具有網路協調者(NC)功能的本發明之一項具體實施例的一電子通信網路之一圖;
圖10A至10D係用於向一TAP註冊一應用以及指派依據本發明之一項具體實施例的圖9之電子通信網路中的接收及傳輸ONC至該NR(其中該NC用作一中間物)之方法的流程圖。
400...電子通信網路
401...控制/應用/服務子系統
402...應用/應用1
403...應用/應用2
404...應用/應用3
410...資料平面訊務存取提供者(TAP)子系統/TAP子系統
411...構件/註冊系統
412...構件/訊務系統
413...構件/ONC組態系統
414...組態資料庫
417...註冊資訊
418...獨一識別符
420...註冊/註冊確認訊息
421...註冊請求
422...撤銷註冊請求
431...點對點連接
432...網路訊務
436...網路訊務
440...ONC接收請求/接收ONC請求
441...ONC RX參數
442...傳輸ONC請求/傳輸ONC請求訊息
443...ONC TX參數
444...ONC接收確認/回應訊息/接收ONC回應訊息
445...ONC傳輸確認/回應訊息/傳輸ONC回應訊息
446...替代性參數
447...替代性參數
Claims (29)
- 一種用於控制區域網路(LAN)訊務的系統,該系統包含:一訊務存取提供者;一網路常駐裝置,其包含用以在該LAN之上傳送一管理網路連接請求之管理連接請求邏輯,該請求包括一網路訊務篩選器之一指定;連接建置邏輯,其用以回應於該請求以建置介於該網路常駐裝置與該訊務存取提供者之間的一管理網路連接,且用以指定一網路常駐裝置識別符給該網路常駐裝置;以及其中該訊務存取提供者包含:訊務接收電路,其用以在該LAN之上從該網路常駐裝置接收管理網路訊務,該管理網路訊務包含該網路常駐裝置識別符;篩選器決定邏輯,其用以決定該網路訊務是否滿足該指定網路訊務篩選器;訊務修改邏輯,其用以在該網路訊務滿足該指定網路訊務篩選器的情況下修改該網路訊務以產生經修改網路訊務;以及訊務傳送邏輯,其用以在該網路訊務滿足該指定網路訊務篩選器的情況下在該建置連接上的該LAN之上傳送該經修改網路訊務至該網路常駐裝置;以及其中該網路常駐裝置進一步包含發送邏輯,其用以 當該管理網路連接是有作用時從該網路常駐裝置於一區域網路上發送未管理訊務至該LAN,其中該未管理訊務不包含該網路常駐裝置識別符。
- 如請求項1之系統,其中該請求進一步包括網路訊務安全篩檢之一特定層級的一指定;其中該訊務存取提供者進一步包含安全篩檢邏輯,其用以決定該網路訊務是否滿足網路訊務安全篩檢之該特定層級;以及其中該訊務傳送邏輯包含傳送邏輯,其用以僅在該網路訊務滿足網路訊務安全篩檢之該特定層級的情況下才在該建置連接上的該LAN之上傳送該經修改網路訊務至該網路常駐裝置。
- 如請求項1之系統,其中該訊務修改邏輯包含:修改邏輯,其用以依據與該管理網路連接相關聯的一管理連接傳輸描述符來修改該網路訊務以產生該經修改網路訊務。
- 如請求項3之系統,其中該管理連接請求邏輯包含傳送邏輯,其用以傳送該請求內的該管理連接傳輸描述符。
- 如請求項3之系統,其中該訊務存取提供者進一步包含關聯邏輯,其用以使該管理連接傳輸描述符與該連接相關聯。
- 如請求項1之系統,其中該管理網路連接包含一唯接收連接。
- 如請求項1之系統,其中該訊務存取提供者接受邏輯網路常駐裝置之註冊,該邏輯網路常駐裝置包含應用程式、服務、及控制平面功能,該訊務存取提供者用以提供一邏輯開放連接至這個經註冊之網路常駐裝置。
- 一種用於控制區域網路(LAN)訊務的方法,其包含:(A)在該LAN之上自一網路協調者接收一管理網路連接請求,該請求包括一網路訊務篩選器之一指定,及除了該網路協調者外之一網路常駐裝置之一識別符,該網路協調者係註冊以用於網路連接管理;(B)回應於該請求以建置介於該網路常駐裝置與一訊務存取提供者之間的一管理網路連接;以及(C)在該訊務存取提供者處:(1)在該LAN之上接收網路訊務;(2)決定該網路訊務是否滿足該指定網路訊務篩選器;以及(3)在該網路訊務滿足該指定網路訊務篩選器的情況下修改該網路訊務以產生經修改網路訊務;以及(4)在該網路訊務滿足該指定網路訊務篩選器的情況下在該建置連接上的該LAN之上傳送該經修改網路訊務至該網路常駐裝置。
- 一種用於控制區域網路(LAN)訊務的系統,其包含:一訊務存取提供者;一網路協調者,其包含傳送邏輯用以在該LAN之上傳送一管理網路連接請求至該訊務存取提供者,該請求包 括一網路訊務篩選器之一指定以及除了該網路協調者外之一網路常駐裝置之一識別符,該網路協調者係向該訊務存取提供者註冊;其中該訊務存取提供者包含:連接建置邏輯,其用以回應於該請求以建置介於該網路常駐裝置與該訊務存取提供者之間的一管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定該網路訊務是否滿足該指定網路訊務篩選器;訊務修改邏輯,其用以在該網路訊務滿足該特定網路訊務篩選器的情況下修改該網路訊務以產生經經修改網路訊務;以及訊務傳送邏輯,其用以在該網路訊務滿足該指定網路訊務篩選器的情況下在該建置連接上的該LAN之上傳送該經修改網路訊務至該網路常駐裝置。
- 如請求項9之系統,其中該訊務修改邏輯包含:修改邏輯,其用以依據與該管理網路連接相關聯的一管理連接傳輸描述符來修改該網路訊務以產生經修改網路訊務。
- 如請求項10之系統,其中該管理連接請求邏輯包含傳送邏輯用以傳送該請求內的該管理連接傳輸描述符。
- 如請求項10之系統,其中該訊務存取提供者進一步包含 關聯邏輯用以使該管理連接傳輸描述符與該連接相關聯。
- 一種用於控制區域網路(LAN)訊務的系統,其包含:一訊務存取提供者;一網路常駐裝置,其包含管理連接請求邏輯用以在該LAN之上傳送一管理網路連接請求,該請求包括一訊務篩檢規格以識別對應至資料發送器之經授權開放網路連接,該網路常駐裝置將從此接收資料;其中該訊務存取提供者包含:連接建置邏輯,其用以回應於該請求以建置介於該網路常駐裝置與一訊務存取提供者之間的一唯傳輸管理網路連接;一接收電路,其用以在該管理網路連接之上自該網路常駐裝置接收網路訊務;訊務篩檢邏輯,其用以決定該網路訊務是否滿足該訊務篩檢規格;以及訊務傳送邏輯,其用以在該網路訊務滿足該訊務篩檢規格的情況下傳送該網路訊務至該網路。
- 一種用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用的方法,該方法包含:(A)向一第一訊務存取提供者註冊該終端節點為一第一網路常駐裝置,包含指派一第一網路常駐裝置識別符至該第一網路常駐裝置;(B)在該區域網路之上建置介於該第一網路常駐裝置與 該第一訊務存取提供者之間的一第一管理網路連接;(C)在該第一管理網路連接係作用中時,在第一管理連接之上自該第一網路常駐裝置傳輸第一管理訊務至該第一訊務存取提供者,其中該第一管理訊務包括該第一網路常駐裝置識別符;(D)在該第一訊務存取提供者處,修改該第一管理訊務以產生第一修改訊務;(E)在該第一訊務存取提供者處,傳輸該第一修改訊務至該LAN;以及(F)在該第一管理網路連接係作用中時,使用該區域網路介面自該終端節點傳輸第一未管理訊務至該LAN,其中該第一未管理訊務不包括該第一網路常駐裝置識別符。
- 如請求項14之方法,其進一步包含:(G)向一第二訊務存取提供者註冊該終端節點為一第二網路常駐裝置,包含指派一第一網路常駐裝置識別符至該第一網路常駐裝置;(H)在該區域網路之上建置介於該第二網路常駐裝置與該第二訊務存取提供者之間的一第二管理網路連接;以及(I)在該第一管理網路連接及第二該管理網路連接係作用中時,在該第二管理連接之上自該第二網路常駐裝置傳輸第二管理訊務至該第二訊務存取提供者, 其中該第二管理訊務包括該第二網路常駐裝置識別符。
- 一種用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用的方法,該方法包含:(A)向一第一訊務存取提供者註冊該終端節點為一第一網路常駐裝置,包含指派一第一網路常駐裝置識別符至該第一網路常駐裝置;(B)在該區域網路之上建置介於該第一網路常駐裝置與該第一訊務存取提供者之間的一第一管理網路連接;(C)在該第一訊務存取提供者處,在該第一管理網路連接係作用中時:(1)在該第一訊務存取提供者處,在該LAN之上接收第一網路訊務;(2)決定該第一網路訊務是否滿足與該第一管理網路連接相關聯的一第一網路訊務篩選器;(3)若該第一網路訊務滿足該第一網路訊務篩選器,則:(a)修改該第一管理訊務以產生包括該第一網路常駐裝置識別符的第一修改訊務,以及(b)在該第一管理網路連接上的該LAN之上傳輸該第一修改訊務至該終端節點;以及(D)在該第一管理網路連接係作用中時,在該LAN之上使用該區域網路介面傳輸第一未管理訊務至該終端節點,其中該第一未管理訊務不包括該第一網路常駐裝置識別 符。
- 如請求項16之方法,其進一步包含:(E)向一第二訊務存取提供者註冊該終端節點為一第二網路常駐裝置,包含指派一第二網路常駐裝置識別符至該第一網路常駐裝置;(F)在該區域網路之上建置介於該第二網路常駐裝置與該第二訊務存取提供者之間的一第二管理網路連接;以及(G)在該第二訊務存取提供者處,在該第一管理網路連接及該第二管理網路連接係作用中時:(1)在該第二訊務存取提供者處,在該LAN之上接收第二網路訊務;(2)決定該第二網路訊務是否滿足與該第二管理網路連接相關聯的一第二網路訊務篩選器;(3)若該第二網路訊務滿足該第二網路訊務篩選器,則:(a)修改該第二管理訊務以產生包括該第二網路常駐裝置識別符的第二修改訊務,以及(b)在該第二管理網路連接上的該LAN之上傳輸該第二修改訊務至該終端節點。
- 一種用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用的方法,該方法包含:(A)在一網路協調者處,在該LAN之上傳送一管理網路連接請求至一訊務存取提供者;(B)在該訊務存取提供者處,在該區域網路之上建置介 於該訊務存取提供者與該網路協調者之間的一管理網路連接;(C)使用該區域網路介面自該終端節點傳輸第一未管理網路訊務至該網路協調者;(D)在該網路協調者處:(1)接收該第一未管理網路訊務;以及(2)修改該第一未管理網路訊務以產生包括該終端節點之一識別符的第一管理網路訊務;以及(3)在該第一管理網路連接之上傳輸該第一管理網路訊務至該第一訊務存取提供者;(E)在該第一訊務存取提供者處,修改該第一管理訊務以產生第一修改訊務;(F)在該第一訊務存取提供者處,傳輸該第一修改訊務至該LAN;以及(G)在該第一管理網路連接係作用中時,使用該區域網路介面自該終端節點傳輸第二未管理訊務至該LAN,其中該第二未管理訊務不識別該終端節點。
- 一種用於與包括具有一區域網路介面的一終端節點之一區域網路一起使用的方法,該方法包含:(A)在一網路協調者處,在該LAN之上傳送一管理網路連接請求至一訊務存取提供者;(B)在該訊務存取提供者處,在該區域網路之上建置介於該訊務存取提供者與該網路協調者之間的一管理網路連接; (C)在該訊務存取提供者處:(1)在該LAN之上接收第一未管理網路訊務;(2)修改該第一未管理網路訊務以產生包括該終端節點之一識別符的第一管理網路訊務;以及(3)在該管理網路連接之上傳輸該第一管理網路訊務至該網路協調者;(D)在該網路協調者處:(1)接收該第一網路訊務;(2)修改該第一管理網路訊務以產生不包括該終端節點之一識別符的第二管理網路訊務;以及(3)在該LAN之上傳輸該第二未管理網路訊務至該終端節點。
- 一種用於控制對一區域網路(LAN)的存取之系統,該系統包含:一訊務存取提供者;一網路協調者,其包含:註冊請求邏輯,其用以在該LAN之上傳送一請求以向該訊務存取提供者註冊該網路協調者為一網路常駐裝置;管理連接請求邏輯,其用以在該LAN之上傳送一管理網路連接請求,該請求包括一網路訊務篩選器之一指定;網路存取邏輯,其用以決定是否授權一第一終端節點存取該LAN; 其中該訊務存取提供者包含:註冊邏輯,其用以向該訊務存取提供者註冊該網路協調者;連接建置邏輯,其用以建置介於該網路常駐協調者與該訊務存取提供者之間的該管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定該網路訊務是否滿足該指定網路訊務篩選器;以及訊務傳送邏輯,其用以在該網路訊務滿足該特定網路訊務篩選器的情況下在該管理網路連接之上傳送該網路訊務至該網路協調者;以及其中該網路協調者進一步包含:接收訊務轉遞邏輯,其用以在決定該終端節點經授權用以存取該LAN的情況下轉遞該網路訊務至該第一終端節點。
- 如請求項20之系統,其中該網路協調者進一步包含:傳輸訊務轉遞邏輯,其用以在該管理網路連接之上自該終端節點接收網路訊務並且傳輸該網路訊務至該訊務存取提供者。
- 一種用於監視一區域網路(LAN)中的網路訊務之系統,該系統包含:一第一訊務存取提供者; 一網路常駐裝置,其包含:網路監視邏輯;第一管理連接請求邏輯,其用以在該LAN之上針對一第一唯計數器管理網路連接而傳送一第一請求,該第一請求包括一第一網路訊務篩選器之一第一指定;其中該第一訊務存取提供者包含:第一連接建置邏輯,其用以回應於該第一請求以建置介於該網路監視邏輯與該第一訊務存取提供者之間的該第一唯計數器管理網路連接;第一訊務接收電路,其用以在該LAN之上接收第一網路訊務;第一訊務計數傳送邏輯,其用以在該第一唯計數器管理網路連接之上傳送滿足第一指定網路訊務篩選器的該第一網路訊務之一第一數量的一第一指示至該網路監視邏輯。
- 如請求項22之系統,其中該網路常駐裝置進一步包含第二管理連接請求邏輯,其用以在該LAN之上針對一第二唯計數器管理網路連接而傳送一第二請求,該第二請求包括一第二網路訊務篩選器之一第二指定;以及其中該系統進一步包含一第二訊務存取提供者,其包含:第二連接建置邏輯,其用以回應於該第二請求而且在該第一管理網路連接係作用中時建置介於該網路監視邏輯與該第二訊務存取提供者之間的該第二唯計數 器管理網路連接;第二訊務接收電路,其用以在該LAN之上接收第二網路訊務;第二訊務計數傳送邏輯,其用以在該第二唯計數器管理網路連接之上傳送滿足第二指定網路訊務篩選器的該第二網路訊務之一第二數量的一第二指示至該網路監視邏輯。
- 如請求項22之系統,其進一步包含:計數臨限值邏輯,其用以決定該第一數量是否超過一預定臨限值;以及連接修改構件,其用以在該預定臨限值經決定已被超過的情況下改變該第一唯計數器管理網路連接至一捕獲連接。
- 一種用於平衡一區域網路(LAN)中的網路訊務負載之系統,該系統包含:一第一網路常駐裝置;一第二網路常駐裝置;一訊務存取提供者;一網路協調者;第一連接建置邏輯,其用以建置介於該第一網路常駐裝置與該訊務存取提供者之間的一第一管理網路連接,其中該第一管理網路連接係與一第一網路訊務篩選器相關聯;第二連接建置邏輯,其用以建置介於該第二網路常駐 裝置與該訊務存取提供者之間的一第二管理網路連接,其中該第二管理網路連接係與一第二網路訊務篩選器相關聯;第三連接建置邏輯,其用以建置介於該網路協調者與該訊務存取提供者之間的一第一唯計數器管理網路連接,其中該第一唯計數器連接係與該第一網路訊務篩選器相關聯;第四連接建置邏輯,其用以建置介於該網路協調者與該訊務存取提供者之間的一第二唯計數器管理網路連接,其中該第二唯計數器連接係與該第二網路訊務篩選器相關聯;其中該第一訊務存取提供者包含:訊務接收電路,其用以在該LAN之上接收網路訊務;第一篩選器邏輯,其用以決定該網路訊務是否滿足該第一網路訊務篩選器,而且若該網路訊務滿足該第一網路訊務篩選器,則:增加與該第一網路訊務篩選器相關聯的一第一計數器;在該第一唯計數器連接之上傳送該第一計數器之一指示至該網路協調者;以及在該第一管理網路連接之上傳送該網路訊務至該第一網路常駐裝置;以及第二篩選器邏輯,其用以決定該網路訊務是否滿足 該第二網路訊務篩選器,而且若該網路訊務滿足該第二網路訊務篩選器,則:增加與該第二網路訊務篩選器相關聯的一第二計數器;在該第一唯計數器連接之上傳送該第一計數器之一指示至該網路協調者;以及在該第二管理網路連接之上傳送該網路訊務至該第二網路常駐裝置。
- 如請求項25之系統,其進一步包含:修改構件,其用以基於該第一計數器及該第二計數器修改該第一網路訊務篩選器及該第二網路訊務篩選器。
- 一種用於無線連接具有一第一IP位址的一無線終端節點至一區域網路(LAN)的系統,該系統包含:一第一訊務存取提供者,其係在該LAN之一第一子網路中;一第二訊務存取提供者,其係在該LAN之一第二子網路中;一行動性功能,其包含:網路常駐裝置註冊邏輯,其用以向該第一訊務存取提供者註冊該無線終端節點為一網路常駐裝置;以及第一管理連接請求邏輯,其用以在該LAN之上傳送一第一管理網路連接請求,該第一請求包括一網路訊務篩選器之一指定;其中該第一訊務存取提供者包含: 第一連接建置邏輯,其用以建置介於該第一訊務存取提供者與該網路常駐裝置之間的該第一請求管理網路連接;訊務接收電路,其用以在該LAN之上接收網路訊務;篩選器決定邏輯,其用以決定該網路訊務是否滿足該指定網路訊務篩選器;以及訊務傳送邏輯,其用以在該網路訊務滿足該指定網路訊務篩選器的情況下在該建置連接上傳送該網路訊務至該網路常駐裝置;其中該行動性功能進一步包含:第二管理連接請求邏輯,其用以回應於該終端節點之IP位址至一第二IP位址的改變以在該LAN之上傳送一第二管理網路連接請求;以及其中該第二訊務存取提供者包含:第二連接建置邏輯,其用以建置介於該第二訊務存取提供者與該網路常駐裝置之間的該第二請求管理網路連接。
- 如請求項27之系統,其中該行動性功能進一步包含:訊務轉遞邏輯,其用以在該第二請求管理網路連接之上接收定址至該第一IP位址的網路訊務並且傳送所接收網路訊務至該第二IP位址處的該終端節點。
- 如請求項27之系統,其中該行動性功能進一步包含:訊務轉遞邏輯,其用以接收自該第二IP位址處的該終 端節點傳輸的網路訊務,修改該所接收網路訊務之一來源位址至該第一IP位址,以及轉遞該經修改網路訊務至其指定目的地。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/120,377 US8085662B2 (en) | 2008-05-14 | 2008-05-14 | Open network connections |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200947969A TW200947969A (en) | 2009-11-16 |
TWI395435B true TWI395435B (zh) | 2013-05-01 |
Family
ID=41316047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW098104871A TWI395435B (zh) | 2008-05-14 | 2009-02-16 | 開放網路連接 |
Country Status (3)
Country | Link |
---|---|
US (2) | US8085662B2 (zh) |
CN (1) | CN101582822B (zh) |
TW (1) | TWI395435B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8085662B2 (en) * | 2008-05-14 | 2011-12-27 | Hewlett-Packard Company | Open network connections |
US8660124B2 (en) | 2011-08-05 | 2014-02-25 | International Business Machines Corporation | Distributed overlay network data traffic management by a virtual server |
US20130034094A1 (en) * | 2011-08-05 | 2013-02-07 | International Business Machines Corporation | Virtual Switch Data Control In A Distributed Overlay Network |
US8782128B2 (en) | 2011-10-18 | 2014-07-15 | International Business Machines Corporation | Global queue pair management in a point-to-point computer network |
US8819769B1 (en) * | 2012-03-30 | 2014-08-26 | Emc Corporation | Managing user access with mobile device posture |
US9319264B1 (en) * | 2012-07-12 | 2016-04-19 | Google Inc. | Networking systems with dynamically changing topologies |
US9258195B1 (en) | 2012-08-08 | 2016-02-09 | Shoretel, Inc. | Logical topology visualization |
US9876705B1 (en) | 2013-12-30 | 2018-01-23 | Google Llc | System and method for adjusting network topology without packet loss |
US9736051B2 (en) * | 2014-04-30 | 2017-08-15 | Ixia | Smartap arrangement and methods thereof |
US9602308B2 (en) | 2014-06-23 | 2017-03-21 | International Business Machines Corporation | Servicing packets in a virtual network and a software-defined network (SDN) |
US10284485B2 (en) * | 2014-07-08 | 2019-05-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication nodes, methods therein, computer programs and a computer-readable storage medium |
US9985869B2 (en) | 2015-06-09 | 2018-05-29 | International Business Machines Corporation | Support for high availability of service appliances in a software-defined network (SDN) service chaining infrastructure |
JP6616230B2 (ja) * | 2016-04-07 | 2019-12-04 | APRESIA Systems株式会社 | ネットワーク装置 |
JP6692224B2 (ja) * | 2016-06-22 | 2020-05-13 | 株式会社東芝 | 情報共有システム、通信装置、及び情報共有方法 |
US10148576B2 (en) * | 2016-07-28 | 2018-12-04 | Fortinet, Inc. | Network processing unit (NPU) integrated layer 2 network device for layer 3 offloading |
US10637752B2 (en) * | 2017-03-31 | 2020-04-28 | Arista Networks, Inc. | Method and apparatus for tap aggregation and network data truncation |
US10938685B2 (en) * | 2018-07-24 | 2021-03-02 | Cisco Technology, Inc. | Secure traffic visibility and analytics for encrypted traffic |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW571531B (en) * | 2001-08-15 | 2004-01-11 | Precache Inc | Packet routing via payload inspection and subscription processing in a publish-subscribe network |
US20040076151A1 (en) * | 2002-10-21 | 2004-04-22 | Walter Fant | Connection identifiers and restoration in optical networks |
TWI291819B (en) * | 2005-05-27 | 2007-12-21 | Lg Electronics Inc | Apparatus and method for establishing network |
TWI291816B (en) * | 2005-03-24 | 2007-12-21 | Ind Tech Res Inst | Method and apparatus of a multiple-input-multiple-output wireless system and components |
US7327757B2 (en) * | 1999-02-23 | 2008-02-05 | Alcatel Lucent | Multi-service network switch with independent protocol stack architecture |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6980515B1 (en) * | 1999-02-23 | 2005-12-27 | Alcatel | Multi-service network switch with quality of access |
US7539134B1 (en) * | 1999-11-16 | 2009-05-26 | Broadcom Corporation | High speed flow control methodology |
JP3831656B2 (ja) * | 2001-12-05 | 2006-10-11 | 株式会社日立製作所 | ネットワーク接続装置およびネットワーク接続方法 |
PT1529374E (pt) * | 2002-08-16 | 2006-12-29 | Togewa Holding Ag | Processo e sistema para autenticação gsm durante o roaming com wlan |
CN1518289B (zh) * | 2003-01-17 | 2010-06-09 | 华为技术有限公司 | 一种基于以太网交换机的安全过滤方法 |
MXPA05009877A (es) * | 2003-03-14 | 2006-02-28 | Thomson Licensing | Una arquitectura de punto de acceso a wlan flexible capaz de ordenar diferentes dispositivos del usuario. |
CA2590669A1 (en) * | 2004-12-31 | 2006-07-06 | British Telecommunications Public Limited Company | Method to run a connectionless network as a connection oriented network |
US8085662B2 (en) * | 2008-05-14 | 2011-12-27 | Hewlett-Packard Company | Open network connections |
US8533817B2 (en) * | 2005-10-05 | 2013-09-10 | Hewlett-Packard Development Company, L.P. | Method and apparatus for connection-rate filtering |
US7808918B2 (en) * | 2006-08-22 | 2010-10-05 | Embarq Holdings Company, Llc | System and method for dynamically shaping network traffic |
CN100558089C (zh) * | 2007-06-08 | 2009-11-04 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
-
2008
- 2008-05-14 US US12/120,377 patent/US8085662B2/en active Active
-
2009
- 2009-02-16 TW TW098104871A patent/TWI395435B/zh not_active IP Right Cessation
- 2009-05-13 CN CN200910139369.XA patent/CN101582822B/zh not_active Expired - Fee Related
-
2011
- 2011-11-23 US US13/304,104 patent/US9413547B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7327757B2 (en) * | 1999-02-23 | 2008-02-05 | Alcatel Lucent | Multi-service network switch with independent protocol stack architecture |
TW571531B (en) * | 2001-08-15 | 2004-01-11 | Precache Inc | Packet routing via payload inspection and subscription processing in a publish-subscribe network |
US20040076151A1 (en) * | 2002-10-21 | 2004-04-22 | Walter Fant | Connection identifiers and restoration in optical networks |
TWI291816B (en) * | 2005-03-24 | 2007-12-21 | Ind Tech Res Inst | Method and apparatus of a multiple-input-multiple-output wireless system and components |
TWI291819B (en) * | 2005-05-27 | 2007-12-21 | Lg Electronics Inc | Apparatus and method for establishing network |
Also Published As
Publication number | Publication date |
---|---|
US20120069770A1 (en) | 2012-03-22 |
CN101582822B (zh) | 2014-10-29 |
US20090285091A1 (en) | 2009-11-19 |
CN101582822A (zh) | 2009-11-18 |
TW200947969A (en) | 2009-11-16 |
US8085662B2 (en) | 2011-12-27 |
US9413547B2 (en) | 2016-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI395435B (zh) | 開放網路連接 | |
US11050713B2 (en) | Firewall configured with dynamic membership sets representing machine attributes | |
US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
JP6073338B2 (ja) | 仮想化されたホームipサービスデリバリのためのアーキテクチャ | |
US8984141B2 (en) | Server for routing connection to client device | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
US9838261B2 (en) | Method, apparatus, and system for providing network traversing service | |
JP3780282B2 (ja) | エリアネットワークにおけるセキュリティ | |
US20080189764A1 (en) | Dynamic network access control method and apparatus | |
CN112235123A (zh) | 业务功能注册机制和能力索引编制 | |
CN113016167A (zh) | 在网络中使权利跟随终端设备的方法和装置 | |
US11595305B2 (en) | Device information method and apparatus for directing link-layer communication | |
JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
US11575577B2 (en) | User information method and apparatus for directing link-layer communication | |
US20040030765A1 (en) | Local network natification | |
EP3448001B1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
CN112889255A (zh) | 将公共wifi热点扩展到私有企业网络 | |
US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 | |
CN114978567A (zh) | 微分支部署中的认证链接 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |