專(zhuān)利名稱(chēng):虛擬專(zhuān)用網(wǎng)絡(luò)(vpn)知曉的客戶(hù)前提設(shè)備(cpe)邊緣路由器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信網(wǎng)絡(luò)��,特別涉及到在諸如因特網(wǎng)等公共通信網(wǎng)絡(luò)中對(duì)拒絕服務(wù)攻擊的預(yù)防����。本發(fā)明具體涉及到通過(guò)將一個(gè)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)內(nèi)部對(duì)站點(diǎn)業(yè)務(wù)的接入容量的分配和/或優(yōu)先化與另一VPN或公共網(wǎng)絡(luò)中對(duì)站點(diǎn)的接入容量的分配和/或優(yōu)先化分開(kāi)而在具有共享的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的通信網(wǎng)絡(luò)中預(yù)防拒絕服務(wù)攻擊的方法、系統(tǒng)和設(shè)備�����。
對(duì)于網(wǎng)絡(luò)服務(wù)提供者���,在網(wǎng)絡(luò)設(shè)計(jì)和管理中考慮的關(guān)鍵是在源發(fā)自VPN客戶(hù)站點(diǎn)的業(yè)務(wù)和源發(fā)自VPN外部(例如是來(lái)自因特網(wǎng)或其它VPN)的業(yè)務(wù)之間適當(dāng)?shù)胤峙浣尤肴萘亢途W(wǎng)絡(luò)資源�����。這種考慮相對(duì)于其預(yù)訂中包括請(qǐng)求網(wǎng)絡(luò)服務(wù)提供者提供最小通信帶寬或保證特殊服務(wù)質(zhì)量(Quality of Service)(Qos)的服務(wù)級(jí)別協(xié)議(Service Level Agreement)(SLA)的那些VPN客戶(hù)的業(yè)務(wù)特別重要��。這種服務(wù)提供需要網(wǎng)絡(luò)服務(wù)提供者提供的網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議能夠?qū)崿F(xiàn)規(guī)定的QoS��,并且確保有足夠的接入容量和網(wǎng)絡(luò)資源用來(lái)與其它VPN站點(diǎn)進(jìn)行通信���,這些通信與不屬于該VPN一部分的那些主機(jī)的通信分開(kāi)��。
在因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)中�,為獲得QoS并實(shí)現(xiàn)能夠與面向連接的網(wǎng)絡(luò)服務(wù)例如話(huà)音或異步傳輸方式(ATM)相媲美的準(zhǔn)入控制��,有一種直接方案是模仿相同的信令資源保留的逐段切換范例(hop-by-hop switching paradigm)用于要求QoS的IP分組的信息流�����。事實(shí)上���,由因特網(wǎng)工程任務(wù)組(Internet Engineering TaskForce)(IETF)為綜合服務(wù)(Integrated Services)(Intserv)制訂的IP信令標(biāo)準(zhǔn)恰恰適用于這種方案。按照IETF���,RFC 1633[R.Branden等人的“Integrated Servicesin the Internet Architecturean Overview(因特網(wǎng)體系結(jié)構(gòu)中的綜合服務(wù)概述)”1994年6月]中所述���,Intserv是一種按信息流的IP QoS結(jié)構(gòu),允許應(yīng)用程序在傳送服務(wù)的多個(gè)控制類(lèi)別當(dāng)中為其數(shù)據(jù)分組進(jìn)行選擇��。為了支持這一能力����,Intserv允許在分組信息流的發(fā)射機(jī)一端的應(yīng)用程序使用IETF RFC2205[R.Branden等人的“Resource ReSerVation Protocol(RSVP)-Version 1 FunctionalSpecification”1997年9月]所規(guī)定的公知的資源保留協(xié)議(Resource ReSer VationProtocol)(RSVP)沿著到分組信息流的接收機(jī)的路徑從所有網(wǎng)絡(luò)元件請(qǐng)求按規(guī)定的容量類(lèi)別提供所需的QoS級(jí)別�����。在從一個(gè)上游節(jié)點(diǎn)接收到一個(gè)請(qǐng)求資源保留的RSVP PATH消息和一個(gè)確認(rèn)資源保留的RSVP RESV消息之后��,沿著該路徑的個(gè)別網(wǎng)絡(luò)元件采取措施來(lái)控制提供給信息流內(nèi)分組的QoS和容量����。
圖1表示利用常規(guī)的Intserv方案來(lái)執(zhí)行準(zhǔn)入控制的示意圖��。如圖1所示���,一個(gè)示例的IP網(wǎng)絡(luò)10包括N個(gè)相同的節(jié)點(diǎn)(例如是服務(wù)提供者邊界路由器)12���,各自具有L條容量為X的鏈路連接到L個(gè)不同客戶(hù)的客戶(hù)前提設(shè)備(Customer PremisesEquipment)(CPE)14。在一種按信息流的面向連接的方案中�����,各個(gè)節(jié)點(diǎn)12要確保從起源到目的地的任何一條網(wǎng)絡(luò)路徑的鏈路都不會(huì)過(guò)載����。從接入容量來(lái)看��,按信息流的方案能夠直接限制各個(gè)入口接入鏈路上的輸入信息流��,使所有信息流容量的總和不會(huì)超過(guò)任一出口接入鏈路(例如是節(jié)點(diǎn)12a的鏈路1)的容量X�。類(lèi)似的方案可用于連接IP網(wǎng)絡(luò)10內(nèi)沒(méi)有圖示出的核心路由器的鏈路��。
盡管概念上非常簡(jiǎn)單��,圖1中所示的準(zhǔn)入控制技術(shù)存在許多缺點(diǎn)�����。最主要的是采用RSVP的Intserv準(zhǔn)入控制的可伸縮性有限����,因?yàn)樵诜?wù)提供者的邊界和核心路由器中需要有處理密集信令(processing-intensive signaling)RSVP�。特別地,RSVP需要端對(duì)端信令來(lái)請(qǐng)求處在發(fā)射機(jī)和接收機(jī)之間的每個(gè)網(wǎng)絡(luò)元件的適當(dāng)?shù)馁Y源分配���,需要入口節(jié)點(diǎn)12b-12d的策略查詢(xún)以確定哪些信息流可以準(zhǔn)入并相應(yīng)地管轄有關(guān)業(yè)務(wù)���,以及許多其他的信號(hào)交換消息。因此�����,Intserv RSVP信令所需的處理可以和電話(huà)或ATM信令的處理相比較,并且在各個(gè)邊界或核心IP路由器內(nèi)部需要有高性能(也就是昂貴的)處理器部件來(lái)處理這種信令所需的大量處理工作�����。RSVP信令是一種軟狀態(tài)��,意味著對(duì)信令處理頻繁刷新(默認(rèn)為每30秒一次)�����,因?yàn)榭缭絀P網(wǎng)絡(luò)的正向路徑有可能改變�,因而必須周期性地通知有關(guān)一個(gè)信息流所需的關(guān)于QoS和容量的信息。這種所謂的軟狀態(tài)操作模式對(duì)路由器產(chǎn)生的額外處理負(fù)荷甚至比ATM交換的負(fù)荷還要大���。另外��,如果一個(gè)邊界路由器的處理器因大量的無(wú)效RSVP請(qǐng)求而發(fā)生過(guò)載���,處理器有可能崩潰,從而會(huì)造成處理器出故障的這一路由器所處理的所有客戶(hù)的所有信息流的服務(wù)中斷����。
認(rèn)識(shí)到與采用常規(guī)Intserv RSVP信令來(lái)實(shí)現(xiàn)準(zhǔn)入控制有關(guān)的這些問(wèn)題�,IETF發(fā)布了在RFC 2475[S.Blake等人���,“An Architecture for Differentiated Services”1998年12月]中定義的區(qū)別服務(wù)(Diffrentiated Services)(Diffsrv或DS)協(xié)議����。Diffserv是一種通過(guò)在每個(gè)IP-層分組標(biāo)題的一個(gè)DS字段(例如是IPv4服務(wù)類(lèi)型(TOS)字節(jié)或IPv6業(yè)務(wù)類(lèi)別字節(jié))內(nèi)傳輸一個(gè)集合業(yè)務(wù)分類(lèi)來(lái)實(shí)現(xiàn)可伸縮性的IP QoS結(jié)構(gòu)��。DS字段的前六位對(duì)一個(gè)Diffserv碼點(diǎn)(DSCP)編碼�,該Dffserv碼點(diǎn)在一個(gè)Diffserv域內(nèi)為在每個(gè)節(jié)點(diǎn)的分組沿著其路徑請(qǐng)求一個(gè)規(guī)定類(lèi)別的服務(wù)或按段行為(Per HopBehavior)(PHB)。
在一個(gè)Diffserv域內(nèi)�����,按照服務(wù)供應(yīng)政策將網(wǎng)絡(luò)資源分配給分組流的集合(aggregate)�����,服務(wù)供應(yīng)政策管理在進(jìn)入Diffserv域時(shí)的DSCP標(biāo)記和業(yè)務(wù)調(diào)節(jié)以及Diffserv域內(nèi)的業(yè)務(wù)傳送��。僅僅需要在Difserv網(wǎng)絡(luò)邊界上采取標(biāo)記(即分類(lèi))和調(diào)節(jié)操作��。因此���,在發(fā)射機(jī)和接收機(jī)之間并不需要用端對(duì)端信令來(lái)建立具有特定QoS的信息流����,只需要對(duì)各個(gè)IP分組的標(biāo)題進(jìn)行檢查和/或做標(biāo)記�����,Diffserv就能用一個(gè)入口邊界路由器為集合的信息流提供QoS����。
盡管Diffserv標(biāo)準(zhǔn)能用易于由硬件執(zhí)行的簡(jiǎn)單的按分組的標(biāo)記操作替代Intserv的密集處理信令,從而解決Intserv可伸縮性的限制�����,但Diffserv協(xié)議的實(shí)施仍存在不同類(lèi)型的問(wèn)題���。特別是由于Diffserv允許主機(jī)對(duì)服務(wù)類(lèi)別做標(biāo)記����,如果有許多主機(jī)用設(shè)置在高優(yōu)先權(quán)的DS字段向這種鏈路傳送分組��,Diffserv網(wǎng)絡(luò)客戶(hù)鏈接就會(huì)受到拒絕服務(wù)(DoS)攻擊���。應(yīng)該注意到��,一組主機(jī)會(huì)通過(guò)設(shè)置DSCP直接地或通過(guò)向一個(gè)特定的DSCP提交了由某些其它路由器或設(shè)備來(lái)分類(lèi)的業(yè)務(wù)而間接地超過(guò)Diffserv服務(wù)類(lèi)別的預(yù)訂容量��。在Diffserv中��,一個(gè)IP網(wǎng)絡(luò)只能通過(guò)在入口路由器上采取策略來(lái)保護(hù)自身的資源��,以確保各個(gè)客戶(hù)接口不會(huì)超過(guò)各個(gè)Diffserv服務(wù)類(lèi)別的預(yù)訂容量��。然而這樣做不能防止DoS攻擊�����。
圖2表示在執(zhí)行常規(guī)Diffserv協(xié)議的一個(gè)例示IP網(wǎng)絡(luò)10′中的DOS攻擊情況�����。在圖2中�����,許多入口節(jié)點(diǎn)(例如是入口邊界路由器)12b′-12d′����,每個(gè)節(jié)點(diǎn)接納(admit)以一個(gè)出口節(jié)點(diǎn)(例如是出口邊界路由器)12a′的單一鏈路為目標(biāo)的業(yè)務(wù)。盡管各個(gè)入口節(jié)點(diǎn)12′管轄(police)輸入分組以確?����?蛻?hù)不會(huì)超過(guò)其在各個(gè)DSCP上的預(yù)訂資源����,被允許的信息流的集合還是會(huì)超過(guò)節(jié)點(diǎn)12a′的出口鏈路1的容量X,導(dǎo)致由這一鏈路分發(fā)給客戶(hù)站點(diǎn)的服務(wù)被拒絕���。
從Intserv和Diffserv標(biāo)準(zhǔn)的常規(guī)實(shí)施所附帶的限制來(lái)看�,本發(fā)明認(rèn)識(shí)到�����,提供這樣一種能夠支持一種通信協(xié)議的數(shù)據(jù)通信方法��、系統(tǒng)和設(shè)備會(huì)是有效和理想的����,與常規(guī)的Intserv方案不同,它具有高度的可伸縮性并且還能防范常規(guī)Diffserv和其它網(wǎng)絡(luò)易受影響的DoS攻擊�。
按照本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)包括支持一個(gè)或多個(gè)基于網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的一個(gè)通信網(wǎng)絡(luò)。通信網(wǎng)絡(luò)包括多個(gè)邊界路由器(boundary router)�,它們由接入鏈路連接到屬于一個(gè)或多個(gè)VPN的CPE邊緣路由器(edge router)��。為了防止來(lái)自客戶(hù)VPN外部的業(yè)務(wù)(例如是來(lái)自其它VPN或整個(gè)因特網(wǎng)的業(yè)務(wù))損害到提供給來(lái)自客戶(hù)VPN內(nèi)部的業(yè)務(wù)的QoS�,本發(fā)明通過(guò)接入鏈路優(yōu)先化或接入鏈路容量分配在各個(gè)客戶(hù)的接入鏈路上給予VPN內(nèi)業(yè)務(wù)比VPN外業(yè)務(wù)更高的優(yōu)先權(quán)��,使得VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)�。按這種方式給予VPN內(nèi)業(yè)務(wù)優(yōu)于VPN外業(yè)務(wù)的優(yōu)先權(quán)需要網(wǎng)絡(luò)元件和協(xié)議的專(zhuān)門(mén)配置,包括采用層2交換和多路復(fù)用在物理接入鏈路和接入網(wǎng)絡(luò)上在VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的劃分�����,以及在VPN邊界路由器和CPE邊緣路由器上為實(shí)現(xiàn)VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的邏輯業(yè)務(wù)隔離的路由協(xié)議的配置�����。按照這種方式來(lái)配置接入網(wǎng)絡(luò)�、VPN邊界路由器和CPE邊緣路由器以及邊緣和邊界路由器的路由協(xié)議,就能實(shí)現(xiàn)DoS攻擊預(yù)防的高級(jí)服務(wù)�����。
根據(jù)以下的詳細(xì)說(shuō)明就能理解本發(fā)明的其它目的���、特征和優(yōu)點(diǎn)�����。
在附帶的權(quán)利要求書(shū)中描述了體現(xiàn)本發(fā)明的獨(dú)特特征����。然而�,結(jié)合附圖閱讀以下對(duì)最佳實(shí)施例的詳細(xì)描述有助于深入理解本發(fā)明及其應(yīng)用的最佳模式、進(jìn)一步的目的和優(yōu)點(diǎn)�,在附圖中圖1表示采用RSVP執(zhí)行按信息流的QoS的一種常規(guī)的綜合服務(wù)(Intserv)網(wǎng)絡(luò);圖2表示一種常規(guī)的區(qū)別服務(wù)(Diffserv)網(wǎng)絡(luò)���,利用在各個(gè)分組標(biāo)題中的DSCP標(biāo)記在集合的業(yè)務(wù)流上實(shí)現(xiàn)QoS��,因而易受到拒絕服務(wù)(DoS)攻擊���;圖3表示按照本發(fā)明最佳實(shí)施例的一例通信網(wǎng)絡(luò),是通過(guò)參照虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)中的成員資格對(duì)接入容量的分配和/或優(yōu)先化進(jìn)行劃分來(lái)抵抗DoS攻擊���;圖4表示提供一種基于CPE的VPN方案來(lái)解決DoS攻擊問(wèn)題的一例網(wǎng)絡(luò)結(jié)構(gòu)���;圖5是一種可以在圖4和7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的QoS-知曉(QoS-aware)的CPE邊緣路由器的細(xì)節(jié)框圖;圖6A是一種可以在圖4和7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的沒(méi)有VPN功能的QoS-知曉的邊界路由器的細(xì)節(jié)框圖�����;圖6B是一種可以在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的具有VPN功能的QoS-知曉的邊界路由器的細(xì)節(jié)框圖;圖7表示為解決DoS攻擊問(wèn)題提供了一種基于網(wǎng)絡(luò)的VpN解決方案的一例網(wǎng)絡(luò)結(jié)構(gòu)����;以及圖8是一種可以在圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的QoS-知曉的VPN邊界路由器的細(xì)節(jié)框圖。
仍然參照附圖�����,特別是圖3����,圖中表示按照本發(fā)明的一例網(wǎng)絡(luò)結(jié)構(gòu)20的高級(jí)框圖,提供一種可伸縮的方法���,在為選定業(yè)務(wù)提供QoS的同時(shí)保護(hù)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)客戶(hù)的接入和中繼網(wǎng)絡(luò)鏈路不受DoS攻擊��。與圖2中現(xiàn)有技術(shù)的網(wǎng)絡(luò)類(lèi)似�����,圖3的網(wǎng)絡(luò)結(jié)構(gòu)20包括具有N個(gè)服務(wù)提供者邊界路由器(BR)22的一個(gè)Diffserv網(wǎng)絡(luò)21��,路由器各自有L個(gè)接入鏈路���。網(wǎng)絡(luò)結(jié)構(gòu)20的不同之處是Dffserv網(wǎng)絡(luò)21支持多個(gè)VPN范例�,在圖中表示了其中兩個(gè)�����,表示成在各自用字母a到d表示的四個(gè)站點(diǎn)的每一個(gè)處連接到用于第一網(wǎng)絡(luò)服務(wù)客戶(hù)24的CPE邊緣路由器(ER)和用于第二網(wǎng)絡(luò)服務(wù)客戶(hù)25的一個(gè)ER的邊界路由器22的接入鏈路����。各個(gè)CPE ER為客戶(hù)的局域網(wǎng)(LAN)提供網(wǎng)絡(luò)服務(wù)�����。服務(wù)提供者基于網(wǎng)絡(luò)的VPN能支持比圖中所示兩個(gè)多得多的客戶(hù)��。
在圖3所示的一例通信方案中���,連接到CPE邊緣路由器24b-24d的第一VPN客戶(hù)的LAN內(nèi)部的主機(jī)��、連接到CPE邊緣路由器25a-25d的第二VPN客戶(hù)的LAN內(nèi)部的主機(jī)�、以及連接到與邊界路由器22a-22d鏈接的其它沒(méi)有圖示的CPE邊緣路由器的站點(diǎn)有可能全都以連接到第一VPN客戶(hù)CPE邊緣路由器24a的LAN為目標(biāo)發(fā)送分組信息流�����。如果采用參照?qǐng)D2所述的現(xiàn)有技術(shù)的常規(guī)Diffserv網(wǎng)絡(luò)���,連接到CPE邊緣路由器24a的邊界路由器22a的外來(lái)接入鏈路1就容易因這些信息流的匯聚而崩潰����,導(dǎo)致DoS。然而��,按照本發(fā)明���,圖3的Dffserv網(wǎng)絡(luò)21通過(guò)將VPN內(nèi)業(yè)務(wù)引向邊界路由器22a的物理接入鏈路1上的第一邏輯端口27���,并將來(lái)自其它VPN或其它站點(diǎn)的業(yè)務(wù)引向邊界路由器22a的物理接入鏈路1上的第二邏輯端口28,能防止來(lái)自VPN外部的站點(diǎn)的DoS攻擊����。
為了防止來(lái)自有關(guān)客戶(hù)團(tuán)體以外的業(yè)務(wù)(例如是來(lái)自其它VPN或整個(gè)因特網(wǎng)的業(yè)務(wù))損害到為來(lái)自有關(guān)客戶(hù)團(tuán)體內(nèi)部的業(yè)務(wù)(例如是來(lái)自同一工商企業(yè)中其它主機(jī)的業(yè)務(wù))提供的QoS,本發(fā)明使VPN內(nèi)業(yè)務(wù)有比VPN外業(yè)務(wù)更高的優(yōu)先權(quán)��,或是這樣來(lái)分配接入鏈路容量�,使VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)。換句話(huà)說(shuō)����,如下文所述,各個(gè)邊界路由器22將在各自的客戶(hù)接入鏈路上的優(yōu)先權(quán)給予源發(fā)自客戶(hù)VPN內(nèi)部的業(yè)務(wù),此處將一個(gè)VPN定義為由共享網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)來(lái)連接的節(jié)點(diǎn)的一個(gè)集合����,其中的網(wǎng)絡(luò)資源和/或通信是根據(jù)節(jié)點(diǎn)集合的成員資格來(lái)劃分的。按這種方式給予VPN內(nèi)業(yè)務(wù)優(yōu)于VPN外業(yè)務(wù)的優(yōu)先權(quán)要求網(wǎng)絡(luò)元件和協(xié)議的專(zhuān)門(mén)配置�,包括采用層2多路復(fù)用在VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的物理接入的劃分和路由協(xié)議的配置以實(shí)現(xiàn)邏輯業(yè)務(wù)隔離??傊缦旅嬖敿?xì)描述的�����,由CPE邊緣路由器����、接入網(wǎng)絡(luò)��、基于網(wǎng)絡(luò)的VPN邊界路由器以及邊緣和邊界路由器中采用的路由協(xié)議的配置共同實(shí)現(xiàn)預(yù)防DoS攻擊的高級(jí)服務(wù)���。相比之下��,常規(guī)的Diffserv和CPE邊緣路由器的基于IPsec的IP VPN方案不能分隔以同一VPN內(nèi)的站點(diǎn)為目標(biāo)的業(yè)務(wù)(即VPN內(nèi)業(yè)務(wù))和從因特網(wǎng)的其它區(qū)域發(fā)送的業(yè)務(wù)(即VPN外業(yè)務(wù))��。
參見(jiàn)圖4-8�,圖3中所示的總體網(wǎng)絡(luò)結(jié)構(gòu)20可以分為至少兩類(lèi)方案���。特別是按照本發(fā)明的網(wǎng)絡(luò)可以被實(shí)現(xiàn)為一種基于CPE的VPN方案��,如下文參照?qǐng)D4-6所述�����,或是一種基于網(wǎng)絡(luò)的VPN方案����,如下文參照?qǐng)D7-8所述。
首先參見(jiàn)圖4�,圖中表示的一例網(wǎng)絡(luò)結(jié)構(gòu)30是采用基于CPE的VPN來(lái)抵御DoS攻擊。所示的網(wǎng)絡(luò)結(jié)構(gòu)包括一個(gè)Diffserv允許的IP VPN網(wǎng)絡(luò)44��、一個(gè)盡力工作(besteffort)IP公共網(wǎng)絡(luò)46�����、以及多個(gè)客戶(hù)局域網(wǎng)(LAN)32����。客戶(hù)局域網(wǎng)LAN32各自包括一個(gè)或多個(gè)主機(jī)48�����,可以作為在網(wǎng)絡(luò)44和46之一或雙方上執(zhí)行分組通信的發(fā)射機(jī)和/或接收機(jī)。按照?qǐng)D4所示的實(shí)施方案是假設(shè)客戶(hù)LAN32a和32b屬于同一個(gè)有關(guān)團(tuán)體(即VPN)���,例如是一個(gè)工商企業(yè)�����。
各個(gè)客戶(hù)LAN32被各自的CPE邊緣路由器34和物理接入鏈路35連接到各個(gè)接入網(wǎng)絡(luò)(例如是一個(gè)L2接入網(wǎng)絡(luò))38��。接入網(wǎng)絡(luò)38a和38b各自具有對(duì)Diffserv允許的IPVPN網(wǎng)絡(luò)44的邊界路由器(BR)40的第一L2接入邏輯連接�����,和對(duì)盡力工作IP公共網(wǎng)絡(luò)46的邊界路由器(BR)42的第二L2接入邏輯連接�����。如圖4所示,用不同線(xiàn)型表示VPN內(nèi)和VPN外業(yè)務(wù)�����,VPN-知曉的CPE邊緣路由器34a和34b僅僅通過(guò)Diffserv允許的IP VPN網(wǎng)絡(luò)44傳遞具有屬于該IP VPN的IP地址前綴的那些分組�����,而通過(guò)盡力工作IP公共網(wǎng)絡(luò)46傳遞所有其他業(yè)務(wù)。為了增強(qiáng)客戶(hù)LAN32的安全性���,CPE邊緣路由器34a和34b通過(guò)各自的防火墻36a和36b與盡力工作IP公共網(wǎng)絡(luò)46往復(fù)傳送所有業(yè)務(wù)����。
在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)中��,源發(fā)自IP VPN外部的DoS攻擊被邊界路由器40a-40b和42a-42b的配置阻止�,以便適當(dāng)?shù)乩媒尤刖W(wǎng)絡(luò)38a和38b的兩個(gè)邏輯連接對(duì)VPN內(nèi)業(yè)務(wù)給予優(yōu)先權(quán)。例如在第一種配置中��,給對(duì)Diffserv允許的IP VPN網(wǎng)絡(luò)44的L2接入邏輯連接分配比對(duì)盡力工作IP公共網(wǎng)絡(luò)46的L2接入邏輯連接更高的優(yōu)先權(quán)��。支持接入鏈路35的這種優(yōu)先化的L2接入網(wǎng)絡(luò)包括Ethernet(例如是采用Ethernet優(yōu)先權(quán))���、ATM(例如是采用ATM服務(wù)類(lèi)別)和各種幀中繼(FR)網(wǎng)絡(luò)方案����。這些方案都是現(xiàn)有技術(shù)中公知的技術(shù)�����。按照這種配置,Diffserv允許的IP VPN網(wǎng)絡(luò)44的各個(gè)邊界路由器40將分組對(duì)其與接入網(wǎng)絡(luò)38的邏輯連接的傳輸速率修整(shape)到低于該接入鏈路傳輸速率的一個(gè)值�����,以防止對(duì)盡力工作IP公共網(wǎng)絡(luò)46的L2接入邏輯連接的資源缺乏�����?�;蛘?���,按照第二種配置,可以單獨(dú)配置邊界路由器40a-40b和42a-42b����,將以各個(gè)L2接入網(wǎng)絡(luò)邏輯連接為目標(biāo)的業(yè)務(wù)修整到規(guī)定的速率,使這些速率的總和小于或等于鏈接CPE邊緣路由器34和接入網(wǎng)絡(luò)38的物理接入媒介的傳輸容量�。無(wú)論是以上哪一種配置,邊界路由器40和42都根據(jù)分組的DSCP標(biāo)記來(lái)執(zhí)行調(diào)度和優(yōu)先化���,并且修整到分配給該IP VPN業(yè)務(wù)的接入網(wǎng)絡(luò)連接的容量。
正如本領(lǐng)域的技術(shù)人員所知���,選擇哪一種配置來(lái)實(shí)施是設(shè)計(jì)選擇中考慮的問(wèn)題�,因?yàn)槊總€(gè)配置都各有優(yōu)、缺點(diǎn)����。例如,按照第一種配置�,網(wǎng)絡(luò)44和46之間在接入網(wǎng)絡(luò)配置上的配合比較容易。然而�����,如果接入網(wǎng)絡(luò)38僅僅實(shí)施嚴(yán)格的優(yōu)先權(quán)����,則來(lái)自Diffserv允許的IP VPN網(wǎng)絡(luò)44的IP VPN業(yè)務(wù)就會(huì)造成在IP公共網(wǎng)絡(luò)46上通信的盡力工作業(yè)務(wù)資源缺乏。第二種配置是通過(guò)為每種類(lèi)型的網(wǎng)絡(luò)接入(即VPN內(nèi)和VPN外)分配一部分接入鏈路容量來(lái)解決這一問(wèn)題����。然而,如果邊界路由器40和42按照第二種配置來(lái)修整業(yè)務(wù)���,網(wǎng)絡(luò)44和46之一中的未用的接入容量就不能供另一個(gè)網(wǎng)絡(luò)用來(lái)接入���。也就是說(shuō)����,由于修整是在邊界路由器40和42上單獨(dú)進(jìn)行的�,只可能進(jìn)行非任務(wù)守恒(non-work-conserving)的調(diào)度。
參見(jiàn)圖5�,圖中表示了可在圖4中所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)使用的一種QoS-知曉的CPE邊緣路由器34的細(xì)節(jié)框圖。如圖所示�����,CPE邊緣路由器34包括許多LAN端口60���,為相應(yīng)的許多客戶(hù)LAN32提供連接��。例如在圖5中���,LAN端口60a被連接到一個(gè)客戶(hù)LAN32,客戶(hù)LAN32包括各自被分配有32-位IP地址“a.b.c.d.�����,”���、“a.b.c.e.�����,”和“a.b.c.f.”的許多主機(jī)48�����。
每個(gè)LAN端口還被耦合到一種轉(zhuǎn)送功能62�����,該功能在LAN端口60與駐留在一或多個(gè)廣域網(wǎng)(WAN)物理端口64(圖中僅表示了一個(gè))上的一個(gè)或多個(gè)邏輯端口(LP)66之間轉(zhuǎn)送分組���。各自包括一個(gè)層-2子接口的LP 66例如可以被實(shí)現(xiàn)為一個(gè)以太網(wǎng)虛擬LAN(VLAN)、FR數(shù)據(jù)鏈路連接標(biāo)識(shí)器(DLCI)�、ATM虛擬信道連接(VCC)或運(yùn)行在一種時(shí)分多路復(fù)用(TDM)信道上的點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)/高級(jí)數(shù)據(jù)鏈路控制(HDLC)。WAN物理端口64采用一個(gè)調(diào)度器68將來(lái)自邏輯端口64的分組多路復(fù)用到接入網(wǎng)絡(luò)38的傳輸介質(zhì)上�,并利用轉(zhuǎn)送功能70將從接入網(wǎng)絡(luò)38接收到的分組轉(zhuǎn)送到各個(gè)邏輯端口。
若是CPE邊緣路由器34的一個(gè)LAN端口60從一個(gè)客戶(hù)LAN32接收分組����,該分組首先要通過(guò)一個(gè)分類(lèi)器80,它參照分類(lèi)表82確定CPE邊緣路由器34應(yīng)該如何處理各個(gè)分組�。如圖5所示,分類(lèi)表82可以有許多索引�����,包括源地址(SA)和目的地址(DA)、源端口(SP)和目的端口(DP)��、協(xié)議類(lèi)型(PT)���、DSCP���、或是來(lái)自分組鏈路、網(wǎng)絡(luò)或轉(zhuǎn)送層標(biāo)題的其他字段�。根據(jù)一個(gè)分組對(duì)這些索引中一個(gè)或多個(gè)的值,分類(lèi)表72獲得用來(lái)處理該分組的那一CPE邊緣路由器34內(nèi)部的管轄器(policer)(P)����、標(biāo)記器(M)、目的地LP和目的地LP隊(duì)列(Q)等值�。按照本發(fā)明的替換實(shí)施例,可以用轉(zhuǎn)送功能62代替分類(lèi)器80執(zhí)行對(duì)目的地-LP和目的地LP隊(duì)列入口的查找�����。
如圖所示�����,可以利用一個(gè)前綴或范圍或是空值(用“-”表示)完全規(guī)定或是部分規(guī)定分類(lèi)表82內(nèi)的表入口值。例如�����,利用32-位IP地址完全規(guī)定LAN32的主機(jī)48的SA���,利用識(shí)別特定IP網(wǎng)絡(luò)的24-位IP地址前綴規(guī)定若干個(gè)目的地主機(jī)的DA,而許多索引值和一個(gè)管轄值是空值�。總之���,可以對(duì)不同分類(lèi)的分組信息流規(guī)定相同的管轄器����、標(biāo)記器和/或修整值��,對(duì)于Intserv信息流的這些值是從RSVP RESV消息中提取的���。例如�,分類(lèi)表82規(guī)定了管轄器P1和標(biāo)記器M1要處理來(lái)自任何標(biāo)記有DSCP“101”的SA的分組和具有標(biāo)記有DSCP“010”的一個(gè)SA“a.b.c.e”的分組��。然而,分類(lèi)表82是通過(guò)為VPN內(nèi)具有DA的業(yè)務(wù)(即VPN內(nèi)業(yè)務(wù))和地址為因特網(wǎng)內(nèi)別處的主機(jī)的業(yè)務(wù)(即VPN外業(yè)務(wù))規(guī)定不同的目的地LP值來(lái)區(qū)分具有不同分類(lèi)的信息流����。因此,由于IP地址前綴“r.s.t���,”“w.x.y��,”和“l(fā).m.n”全都與網(wǎng)絡(luò)32屬于同一VPN�����,與這些DA相匹配的業(yè)務(wù)通過(guò)LP-166a被傳送到Diffserv允許的IPVPN網(wǎng)絡(luò)44上的同一VPN內(nèi)的其他站點(diǎn)�,而所有其他業(yè)務(wù)通過(guò)LP-2 66b被傳送到盡力工作IP公共網(wǎng)絡(luò)46���。
可以通過(guò)靜態(tài)配置或通過(guò)路由協(xié)議動(dòng)態(tài)地確定分組所要轉(zhuǎn)送到的邏輯端口66和LP隊(duì)列����。無(wú)論哪種情況�����,如果一個(gè)CPE路由器34為同一目的地IP地址安裝有兩種路由�����,則VPN路由都應(yīng)該比因特網(wǎng)路由優(yōu)先?����?梢砸远喾N途徑獲得這種優(yōu)先權(quán)���,包括(1)使用內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)(即OSPF和IS-IS)來(lái)安裝VPN路由����,并使用EBGP或靜態(tài)路由來(lái)安裝因特網(wǎng)路由����,或是(2)使用EBGP來(lái)安裝VPN路由和因特網(wǎng)路由����,對(duì)VPN路由給予較高的本地優(yōu)先權(quán)。
在分類(lèi)之后�,按照分類(lèi)表82所示用管轄器P0、P1和標(biāo)記器M0��、M1���、M2對(duì)分組執(zhí)行適當(dāng)?shù)墓茌牶蜆?biāo)記����,然后按照查詢(xún)表的規(guī)定由轉(zhuǎn)送功能62交換到各自的邏輯端口66a或66b。在規(guī)定的邏輯端口66內(nèi)�,將分組引向由分類(lèi)表82規(guī)定的LP隊(duì)列Q0-Q02。LP隊(duì)列Q0-Q2根據(jù)有效緩沖容量或門(mén)限執(zhí)行準(zhǔn)入控制�,例如隨機(jī)早期檢測(cè)(RED)。調(diào)度器90然后按照選定的調(diào)度算法服務(wù)于LP隊(duì)列Q0-Q2���,例如先進(jìn)先出(FIFO)����、優(yōu)先權(quán)��、加權(quán)循環(huán)法(WRR)���、加權(quán)公平排隊(duì)(WFQ)或按類(lèi)別排隊(duì)(CBQ)��。例如����,在圖示的實(shí)施例中�,LP-2 66a的調(diào)度器90根據(jù)與各個(gè)LP隊(duì)列i有關(guān)的加權(quán)wi和邏輯端口2的總體WFQ調(diào)度器速率r2實(shí)施WFQ�����,從而將業(yè)務(wù)調(diào)整到速率r2�。最后��,如上所述�,用物理WAN端口64的調(diào)度器68服務(wù)于各種邏輯端口66,用以控制對(duì)接入網(wǎng)絡(luò)38的傳輸速率�。
CPE邊緣路由器34在WAN物理端口64上從接入網(wǎng)絡(luò)38接收分組,然后按照在將其映射到邏輯端口時(shí)接入網(wǎng)絡(luò)38的配置所示利用轉(zhuǎn)送功能70將分組轉(zhuǎn)送到合適的邏輯端口66a或66b�。在各個(gè)邏輯端口66上,分組通過(guò)一個(gè)分類(lèi)器100�,它通常會(huì)采用上面討論的同一個(gè)索引集合內(nèi)的一個(gè)或多個(gè)索引來(lái)訪(fǎng)問(wèn)分類(lèi)表102。在一個(gè)典型的實(shí)施方案中����,分類(lèi)器100的查找結(jié)果比分類(lèi)器80的結(jié)果要簡(jiǎn)單��,因?yàn)椴恍枰l繁地管轄和做標(biāo)記�����。因此��,在本實(shí)施例中,分組被轉(zhuǎn)送功能62從邏輯端口66的分類(lèi)器100直接轉(zhuǎn)送到根據(jù)分組的DSCP查找的表中指定的LAN端口60a的特定隊(duì)列Q0-Q2�。如上所述,LAN端口60a的隊(duì)列Q0-Q2是由實(shí)施WFQ并且將分組發(fā)送到客戶(hù)LAN32的調(diào)度器102服務(wù)的����。
參見(jiàn)圖6A,圖中表示例如可以用在圖4的網(wǎng)絡(luò)結(jié)構(gòu)中作為邊界路由器42的沒(méi)有VPN功能的一種QoS-知曉的邊界路由器的細(xì)節(jié)框圖�����。如圖所示����,圖6A的邊界路由器42包括多個(gè)物理端口116、利用用于輸入分組的轉(zhuǎn)送功能112和用于輸出分組的調(diào)度器114耦合到接入網(wǎng)絡(luò)38的多個(gè)邏輯端口110�、以及在邏輯端口110和物理端口116之間轉(zhuǎn)送分組的轉(zhuǎn)送功能118。多個(gè)物理端口116的實(shí)施方案允許對(duì)網(wǎng)絡(luò)核心路由器的容錯(cuò)連接����,而連接到接入網(wǎng)絡(luò)38的多個(gè)邏輯端口的實(shí)施方案允許用一個(gè)邏輯端口(即LP-1 110a)作為Diffserv-允許的邏輯端口和用一個(gè)第二邏輯端口(即LP-2 110b)作為盡力工作邏輯端口的配置。
這樣�����,對(duì)于從接入網(wǎng)絡(luò)38通過(guò)邊界路由器42的LP-2 110b到網(wǎng)絡(luò)核心的業(yè)務(wù)通信�,LP-2 110b的分類(lèi)器124按照分類(lèi)表126將所有分組引向標(biāo)記器MO�����。標(biāo)記器MO用DSCP000對(duì)在LP-2 110b接收的所有分組重新做標(biāo)記����,從而識(shí)別出作為盡力工作業(yè)務(wù)的分組�����。反之���,LP-1 110a的分類(lèi)器120利用分類(lèi)表122將已經(jīng)在一個(gè)可信CPE(例如是由服務(wù)提供者管理的CPE邊緣路由器34)上接收到DSCP標(biāo)記的那些輸入分組映射到PHY-1 116a上的隊(duì)列Q0-Q2�����,這些隊(duì)列各自關(guān)聯(lián)到不同的QoS級(jí)別��。由于分組已經(jīng)由可信CPE進(jìn)行了多字段分類(lèi)、標(biāo)記和修整�����,邊界路由器42不需要對(duì)分組重新做標(biāo)記����。然而�����,如果發(fā)送CPE邊緣路由器不是一個(gè)可信CPE��,邊界路由器42就仍然需要重新標(biāo)記和管轄LP-1 110a上接收的分組����。
在分類(lèi)(以及在LP-2 110b接收業(yè)務(wù)的情況下的標(biāo)記)之后���,轉(zhuǎn)送功能118將業(yè)務(wù)轉(zhuǎn)送到合適的物理端口116或邏輯端口110�。與圖5中利用分類(lèi)器執(zhí)行全部轉(zhuǎn)送查找的邊緣路由器34不同��,邊界路由器42采用另一種設(shè)計(jì)方案��,其中���,由轉(zhuǎn)送功能118按分組的DA訪(fǎng)問(wèn)一個(gè)轉(zhuǎn)送表128��,從而確定輸出端口�����,在本例中也就是LP-1110a���、LP-2 110b或PHY-1 116a���。對(duì)于非VPN路由器的情況,由通用IP路由協(xié)議(例如是邊界網(wǎng)關(guān)協(xié)議(BGP))或靜態(tài)配置(例如是24位IP地址前綴“d.e.f.”與LP-2110b的關(guān)系)填寫(xiě)轉(zhuǎn)送表128�����。另一種實(shí)施方案是可以在轉(zhuǎn)送功能62中集中設(shè)置IP查找轉(zhuǎn)送功能����。圖6所示的實(shí)施例中假設(shè)邊界路由器42為網(wǎng)絡(luò)核心傳送的所有業(yè)務(wù)范圍僅僅是針對(duì)連接到核心路由器的一個(gè)物理端口116。在其他實(shí)施例中當(dāng)然有可能在各個(gè)物理端口116上平衡業(yè)務(wù)負(fù)荷�。另外,所述設(shè)計(jì)方案也可以直接擴(kuò)展到省略核心路由器或是對(duì)一個(gè)或多個(gè)核心路由器采用一個(gè)或多個(gè)邏輯端口的方案�。
對(duì)于通過(guò)邊界路由器42發(fā)送到接入網(wǎng)絡(luò)38的業(yè)務(wù),分類(lèi)器132利用分組的DSCP訪(fǎng)問(wèn)分類(lèi)表134�����,以便按照分組的DSCP所指示的QoS將各個(gè)分組引向隊(duì)列Q0-Q-2中一個(gè)合適的隊(duì)列�。對(duì)于購(gòu)買(mǎi)了Diffserv允許的邏輯端口110的客戶(hù)��,能夠獲得理想的QoS,因?yàn)樵碈PE已經(jīng)用適當(dāng)?shù)腄SCP值管轄和標(biāo)記了信息流���。盡管盡力工作客戶(hù)能夠接收更高質(zhì)量業(yè)務(wù)����,預(yù)防這種單向區(qū)別服務(wù)需要明顯增加分類(lèi)器的復(fù)雜性�,并且包括通過(guò)路由協(xié)議向一個(gè)服務(wù)提供者網(wǎng)絡(luò)中的每個(gè)邊緣路由器分配QoS信息。
參見(jiàn)圖6B���,圖中表示一種QoS-知曉的VPN邊界路由器40的細(xì)節(jié)框圖�����,可供在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)中提供Diffserv-允許和DoS-保護(hù)的VPN服務(wù)��。如圖所示��,邊界路由器40包括用來(lái)連接到Diffserv-允許的IP VPN網(wǎng)絡(luò)44的核心路由器的多個(gè)物理端口226����、由用于輸入分組的轉(zhuǎn)送功能220和用于輸出分組的調(diào)度器222連接到一個(gè)接入網(wǎng)絡(luò)38的多個(gè)Diffserv-允許的邏輯端口224�、以及用來(lái)在邏輯端口224和物理端口226之間轉(zhuǎn)送分組的一個(gè)轉(zhuǎn)送功能228。
邊界路由器40上的各個(gè)Diffserv-允許的邏輯端口224各自被用作多個(gè)VPN中的一個(gè)。例如�,Diffserv-允許的邏輯端口LP-A 224a被用作屬于VPN A的一個(gè)客戶(hù)站點(diǎn),它包括具有24位IP地址前綴“a.b.c.”和“a.b.d.”的客戶(hù)站點(diǎn)�����。同樣,Diffserv-允許的邏輯端口LP-B 224b被用作屬于VPN B的一個(gè)客戶(hù)站點(diǎn),它包括具有24位IP地址前綴“b.c.d”和“b.c.e”的兩個(gè)客戶(hù)站點(diǎn)��。Diffserv-允許的邏輯端口224不能作為屬于盡力工作IP公共網(wǎng)絡(luò)46的站點(diǎn),因?yàn)檫@種業(yè)務(wù)是經(jīng)由邊界路由器42的���,如圖4所示����。
在圖6B中還可以看出��,邊界路由器40中各個(gè)面向核心的物理端口226被邏輯劃分成實(shí)現(xiàn)為邏輯隧道(tunnel)240的多個(gè)子接口�。正如本領(lǐng)域的技術(shù)人員所知,可以利用各種各樣的技術(shù)來(lái)實(shí)現(xiàn)隧道����,包括IP-over-IP隧道、通用路由包裝(Generic Routing Encapsulation)(GRE)隧道�����、按隧道模式工作的IPsec、一組堆棧的多協(xié)議標(biāo)簽交換(MPLS)標(biāo)簽��、層2隧道協(xié)議(L2TP)或空值隧道�。這種隧道與邏輯端口的區(qū)別在于多個(gè)VPN的路由信息可以按嵌套方式與一個(gè)隧道相關(guān)聯(lián)�����。例如�����,在IETF RFC 2547[E.Rosen等人的“BGP/MPLS VPNs”1999年3月]中所述的邊界網(wǎng)關(guān)協(xié)議(BGP)/MPLS VPNs中��,由最高級(jí)MPLS標(biāo)簽確定目的地邊界路由器���,而最低級(jí)標(biāo)簽確定目的地VPN�。
在操作中�,各個(gè)Diffserv-允許的邏輯端口224上的分類(lèi)器230參照各自的分類(lèi)表232按照分組的DSCP值對(duì)從接入網(wǎng)絡(luò)38通過(guò)邊界路由器40流向Diffserv允許的IP VPN網(wǎng)絡(luò)44的網(wǎng)絡(luò)核心的分組進(jìn)行分類(lèi)。如圖所示����,利用DSCP作為索引來(lái)訪(fǎng)問(wèn)分類(lèi)表232a和232b,為各個(gè)分組確定在物理端口PHY-1 226a上的隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列。同樣參照分類(lèi)表254由分類(lèi)器250對(duì)物理端口226所接收的分組進(jìn)行分類(lèi)��,為一個(gè)邏輯端口224上的各個(gè)分組確定隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列���。在分類(lèi)(并按照LP-B224b所示做可選的(重新)標(biāo)記)之后��,轉(zhuǎn)送功能228參照各自與一個(gè)相應(yīng)的VPN相聯(lián)系的VPN轉(zhuǎn)送表234a-234n在邏輯端口224和物理端口226之間交換分組����。這樣����,例如,VPN轉(zhuǎn)送表234a為VPN A提供轉(zhuǎn)送路由�,而VPN轉(zhuǎn)送表234b為VPN B提供轉(zhuǎn)送路由。
利用源端口和DA作為索引來(lái)訪(fǎng)問(wèn)VPN轉(zhuǎn)送表234����。例如在轉(zhuǎn)送表234a所表示的一例網(wǎng)絡(luò)配置中,用具有24位IP地址前綴“a.b.d.”的DA尋址的VPN A內(nèi)的業(yè)務(wù)途經(jīng)TNL-1 240a�����,并且在TNL-1 240b接收的業(yè)務(wù)被引向LP-A 224a�����。在VPN路由表234b中,可以看到在TNL-2 240b和LP-B 224b之間具有相同的路由���。如上所述����,可以用靜態(tài)配置或是利用路由協(xié)議動(dòng)態(tài)地填寫(xiě)VPN轉(zhuǎn)送表234���。
在轉(zhuǎn)送功能178的處理之后,各個(gè)分組按照其DSCP值被指向輸出端口隊(duì)列��。例如��,標(biāo)記有與DSCP101有關(guān)的QoS類(lèi)別的分組被安置在Q2����,標(biāo)有與DSCP 010有關(guān)的QoS類(lèi)別的分組被安置在Q1,而標(biāo)有DSCP 000的業(yè)務(wù)被安置在Q0��。然后由調(diào)度器236和252調(diào)度從隊(duì)列Q0-Q2的分組的輸出而實(shí)現(xiàn)要求的QoS��。
參見(jiàn)圖7�,圖中所示的一例網(wǎng)絡(luò)結(jié)構(gòu)150所提供的基于網(wǎng)絡(luò)的VPN能夠解決DoS攻擊問(wèn)題����。在圖7中采用相同的標(biāo)號(hào)和業(yè)務(wù)符號(hào)來(lái)識(shí)別與圖4中所示網(wǎng)絡(luò)結(jié)構(gòu)30的特征相對(duì)應(yīng)的特征����。
圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)150和圖4的網(wǎng)絡(luò)結(jié)構(gòu)30一樣包括一個(gè)Diffserv-允許的IPVPN網(wǎng)絡(luò)44、一個(gè)盡力工作IP公共網(wǎng)絡(luò)46以及多個(gè)客戶(hù)局域網(wǎng)(LAN)32�。如上所述,客戶(hù)LAN 32a和32b屬于同一VPN���,且各自包括一個(gè)或多個(gè)可以作為分組的發(fā)射機(jī)和/或接收機(jī)的主機(jī)48����。各個(gè)客戶(hù)LAN32由一個(gè)CPE邊緣路由器34和一個(gè)物理接入鏈路153連接到各自的接入網(wǎng)絡(luò)(例如是L2或L3接入網(wǎng)絡(luò))154����。與圖4中對(duì)QoS和盡力工作業(yè)務(wù)具有單獨(dú)的邏輯連接的接入網(wǎng)絡(luò)38不同,接入網(wǎng)絡(luò)154僅僅連接到Diffserv-允許的IP VPN網(wǎng)絡(luò)44的邊界路由器156����,這種網(wǎng)絡(luò)對(duì)盡力工作IP公共網(wǎng)絡(luò)46的邊界路由器42具有單獨(dú)的邏輯連接。因此���,面向網(wǎng)絡(luò)44的VPN內(nèi)業(yè)務(wù)和面向網(wǎng)絡(luò)46的VPN外業(yè)務(wù)都會(huì)通過(guò)邊界路由器156進(jìn)行路由選擇���,這樣就能有利于在兩類(lèi)業(yè)務(wù)之間保證任務(wù)守恒的調(diào)度�。然而�,其結(jié)果是,邊界路由器156的復(fù)雜性會(huì)增大�����,因?yàn)楦鱾€(gè)邊界路由器156必須為各個(gè)連接的客戶(hù)提供單獨(dú)的轉(zhuǎn)送表以及客戶(hù)之間可以共享的一個(gè)全面的因特網(wǎng)轉(zhuǎn)送表���。
參見(jiàn)圖8,圖中表示一個(gè)QoS-知曉的VPN邊界路由器的細(xì)節(jié)框圖�����,其中管轄器���、修整器�、調(diào)度器�、邏輯端口接入網(wǎng)絡(luò)連接以及轉(zhuǎn)送表被配置為在圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供Diffserv-允許的和DoS-保護(hù)的VPN服務(wù)。如圖所示�����,邊界路由器156包括連接到網(wǎng)絡(luò)核心路由器的多個(gè)物理端口176、由用于輸入分組的轉(zhuǎn)送功能170和用于輸出分組的調(diào)度器172連接到接入網(wǎng)絡(luò)154的多個(gè)Diffserv-允許的邏輯端口174以及在邏輯端口174和物理端口176之間轉(zhuǎn)送分組的轉(zhuǎn)送功能178��。
由于各個(gè)CPE邊緣路由器34僅僅經(jīng)由一單個(gè)接入鏈路通過(guò)接入網(wǎng)絡(luò)154連接到一個(gè)邊界路由器156�,所以各個(gè)網(wǎng)絡(luò)客戶(hù)站點(diǎn)在邊界路由器156上接受一對(duì)Diffserv-允許的邏輯端口174的服務(wù),一個(gè)用于VPN內(nèi)業(yè)務(wù)��,一個(gè)用于VPN外業(yè)務(wù)�����。例如����,Diffserv-允許的邏輯端口LP-A1 174a和LP-A2 174服務(wù)于屬于VPN A的單個(gè)客戶(hù)站點(diǎn),VPN A包括具有24-位IP地址前綴“a.b.c”和“a.b.d”的至少兩個(gè)客戶(hù)站點(diǎn)�����。在圖示的實(shí)施例中���,LP-A1 174a為跨越Diffserv-允許的IP VPN網(wǎng)絡(luò)44與屬于VPN A的站點(diǎn)相互通信的QoS業(yè)務(wù)提供接入��,而LP-A2 174b為與盡力工作IP公共網(wǎng)絡(luò)46來(lái)往的盡力工作業(yè)務(wù)提供接入����。
如圖8進(jìn)一步所示,邊界路由器156中各個(gè)面向核心的物理端口176被邏輯劃分成實(shí)現(xiàn)為邏輯隧道180的多個(gè)子接口�����。正如本領(lǐng)域的技術(shù)人員所知���,可以采用各種各樣的技術(shù)來(lái)實(shí)現(xiàn)隧道�,包括IP-over-IP隧道�����,通用路由包裝(GRE)隧道�����、按隧道模式工作的IPsec��、一組堆棧的多協(xié)議標(biāo)簽交換(MPLS)標(biāo)簽或空值隧道��。這種隧道與邏輯端口的區(qū)別在于多個(gè)VPN的路由信息可以按嵌套方式與一個(gè)隧道相關(guān)聯(lián)�����。例如�����,在IETF RFC 2547中所述的邊界網(wǎng)關(guān)協(xié)議(BGP)/MPLS VPNs中����,由最高級(jí)MPLS標(biāo)簽確定目的地邊界路由器,而最低級(jí)標(biāo)簽確定目的地VPN�����。
在操作中��,各個(gè)Diffserv-允許的邏輯端口174上的分類(lèi)器182參照各自的分類(lèi)表190按照分組的DSCP值對(duì)從接入網(wǎng)絡(luò)154通過(guò)邊界路由器156流向網(wǎng)絡(luò)核心的分組進(jìn)行分類(lèi)�。如圖所示,利用DSCP作為索引來(lái)訪(fǎng)問(wèn)分類(lèi)表190a和190b��,為各個(gè)分組確定在物理端口PHY-1 176a上的隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列�����。同樣參照分類(lèi)表192由分類(lèi)器198對(duì)物理端口176所接收的分組進(jìn)行分類(lèi)�����,為一個(gè)邏輯端口174上的各個(gè)分組確定隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列。在分類(lèi)(并如在LP-A2 174b所示進(jìn)行了可選的(重新)標(biāo)記)之后��,轉(zhuǎn)送功能178參照各自與一個(gè)相應(yīng)的VPN和共享的因特網(wǎng)轉(zhuǎn)送表195相聯(lián)系的VPN轉(zhuǎn)送表194a-194n在邏輯端口174和物理端口176之間交換分組����。例如,轉(zhuǎn)送表194a包含為VPN A提供轉(zhuǎn)送路由的入口�,而因特網(wǎng)轉(zhuǎn)送表195包含為規(guī)定以L(fǎng)P-A2或INL-2(即,為因特網(wǎng)接入配置的邏輯接口)作為來(lái)源的分組提供轉(zhuǎn)送路由的入口�。
利用源端口和DA作為索引訪(fǎng)問(wèn)轉(zhuǎn)送表194。例如�,在用轉(zhuǎn)送表194a代表的例示網(wǎng)絡(luò)配置中,以具有24位IP地址前綴“a.b.d”的DA尋址的VPN內(nèi)業(yè)務(wù)途經(jīng)TNL-1180a��,而VPN外(即因特網(wǎng))業(yè)務(wù)途經(jīng)TNL-2 180b(它可以是空值隧道)�����。轉(zhuǎn)送表194a進(jìn)一步指示將通過(guò)TNL-1 180a接收的VPN內(nèi)業(yè)務(wù)引向LP-A1 174a�����,而通過(guò)隧道TNL-2 180b從因特網(wǎng)到達(dá)的以具有24位IP地址前綴“a.b.c”的DA尋址的所有其它業(yè)務(wù)被傳送至LP-A2 174b���。以邊界路由器156上的其它端口為目的地的業(yè)務(wù)(即具有本地DA的業(yè)務(wù))被傳送到邊界路由器156的其它端口(如LP-x所示)。換句話(huà)說(shuō),轉(zhuǎn)送表194a中標(biāo)記有“本地”的入口規(guī)定了不同于分配給被分配給邊界路由器156上的接口的VPN的那些地址前綴(例如a.b.c/24)����。
在轉(zhuǎn)送功能178的處理之后,分組被各自引向?qū)?yīng)其DSCP值的輸出端口隊(duì)列�。例如,標(biāo)記有與DSCP 101有關(guān)的QoS類(lèi)別的分組被安置在Q2�����,標(biāo)記有與DSCP010有關(guān)的QoS類(lèi)別的分組被安置在Q1�����,而標(biāo)記有DSCP 000的盡力工作業(yè)務(wù)被安置在Q0����。然后由調(diào)度器196從隊(duì)列Q0-Q2中調(diào)度輸出的分組,以實(shí)現(xiàn)要求的QoS��。
如上所述�����,本發(fā)明提供了一種改進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)��,用于為VPN內(nèi)業(yè)務(wù)提供QoS,并保護(hù)這種信息流不受源發(fā)自VPN外部的DoS攻擊�����。本發(fā)明采用基于網(wǎng)絡(luò)的VPN服務(wù)和一種盡力工作因特網(wǎng)服務(wù)為選定的信息流提供DoS保護(hù)的QoS��,用具有適當(dāng)配置的路由協(xié)議的L2接入網(wǎng)絡(luò)將盡力工作因特網(wǎng)服務(wù)連接到一個(gè)CPE邊緣路由器���。處在邊緣并且由基于網(wǎng)絡(luò)的VPN核心來(lái)處理的Diffserv標(biāo)記為選定的信息流提供QoS�����,同時(shí)在邏輯上劃分VPN內(nèi)業(yè)務(wù)和VPN外業(yè)務(wù)���,以防因源發(fā)自客戶(hù)的VPN外部的業(yè)務(wù)超過(guò)了站點(diǎn)的接入容量對(duì)一個(gè)VPN網(wǎng)絡(luò)客戶(hù)站點(diǎn)形成DoS。若是按照IETF RFC 2998[Y.Bemet等人的“A Framework for Integrated Services Operationover Diffserv Networks”2000年11月]所述采用在CPE邊緣路由器和/或QoS-知曉的邊界路由器上實(shí)施的Intserv管轄控制�����,還能進(jìn)一步保護(hù)源發(fā)自客戶(hù)的VPN內(nèi)部的業(yè)務(wù)���。
在基于CPE和基于網(wǎng)絡(luò)的實(shí)施方案中可以實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)�����?����;贑PE的方案便于配置成鏈接CPE邊緣路由器和服務(wù)提供者邊界路由器的接入網(wǎng)絡(luò)�,并且便于實(shí)現(xiàn)提供給VPN站點(diǎn)的QoS�,而無(wú)需在整個(gè)服務(wù)提供者網(wǎng)絡(luò)中實(shí)施Diffserv?;诰W(wǎng)絡(luò)的結(jié)構(gòu)能有效地提供允許VPN外業(yè)務(wù)利用分配給VPN內(nèi)業(yè)務(wù)的額外的接入容量的任務(wù)守恒的調(diào)度。
盡管以上討論了本發(fā)明的各種實(shí)施例�,應(yīng)該能夠理解它們僅僅是用來(lái)舉例而并非限制。因此���,本發(fā)明的范圍應(yīng)該不僅限于上述的實(shí)施例�����,而是應(yīng)該僅僅受下面的權(quán)利要求書(shū)及其等效物的限制�。例如����,盡管本發(fā)明是參照其最佳實(shí)施例來(lái)描述的,在其中是在一個(gè)Diffserv網(wǎng)絡(luò)內(nèi)部實(shí)施基于網(wǎng)絡(luò)的VPN����,還應(yīng)該能夠理解�����,本發(fā)明不僅限于采用Diffaerv網(wǎng)絡(luò)�����,還可以換成其他基于網(wǎng)絡(luò)的VPN���,按照RFC2547中的指導(dǎo),它可以利用BGP/MPLS來(lái)實(shí)施���,或是按照RFC2917[K.Muthukrishnan等人的“A Core MPLS IP VPN Architecture”2000年9月]中的指導(dǎo)���,利用虛擬路由器來(lái)實(shí)施。另外���,盡管在圖3�����、4和7中表示了從各個(gè)CPE邊緣路由器利用一個(gè)接入鏈路到一個(gè)VPN網(wǎng)絡(luò)和一個(gè)盡力工作網(wǎng)絡(luò)的連接�����,應(yīng)該容易理解����,為了冗余��,可以用多個(gè)接入鏈路將CPE邊緣路由器連接到一個(gè)或多個(gè)接入網(wǎng)絡(luò)�,為各個(gè)VPN的一個(gè)或多個(gè)邊界路由器和盡力工作網(wǎng)絡(luò)提供邏輯連接。在這種“雙重引導(dǎo)”方案中�,通過(guò)在服務(wù)提供者邊界路由器中安裝靜態(tài)路由,或是利用路由協(xié)議(例如是EBGP)來(lái)動(dòng)態(tài)配置服務(wù)提供者邊界路由器��,無(wú)論是在主要/備用還是負(fù)荷均分結(jié)構(gòu)中都能實(shí)現(xiàn)多接入鏈路���。這樣做要求CPE邊緣路由器實(shí)現(xiàn)對(duì)VPN和因特網(wǎng)接入地址空間的多個(gè)轉(zhuǎn)送表和路由協(xié)議的單獨(dú)的范例����。這種CPE邊緣路由器的實(shí)施類(lèi)似于圖8和有關(guān)的章節(jié)中所述的方案�,對(duì)因特網(wǎng)路由僅采用一單個(gè)VPN表和一單個(gè)表。
權(quán)利要求
1.一種虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器���,包括至少一個(gè)客戶(hù)網(wǎng)絡(luò)端口����,具有用于屬于一個(gè)VPN的客戶(hù)網(wǎng)絡(luò)的連接;至少一個(gè)物理端口���,在所述物理端口上駐留了至少第一和第二邏輯端口����,所述物理端口具有一個(gè)物理端口調(diào)度器�����,所述物理端口調(diào)度器調(diào)度分組從所述第一和第二邏輯端口到一個(gè)物理接入鏈路上的傳輸�,其中,所述物理端口調(diào)度器通過(guò)以下的(1)與(2)之一來(lái)確保來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)對(duì)所述物理接入鏈路的接入(1)來(lái)自所述第一和第二邏輯端口的輸出業(yè)務(wù)之間的接入鏈路容量分配����;和(2)使來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)相對(duì)來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)的接入鏈路優(yōu)先化;以及一個(gè)轉(zhuǎn)送功能�,僅僅將被識(shí)別為要傳送到屬于VPN的目的地主機(jī)的VPN內(nèi)業(yè)務(wù)的分組轉(zhuǎn)送到所述第一邏輯端口,并將其他分組轉(zhuǎn)送到所述第二邏輯端口���。
2.按照權(quán)利要求1的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器���,其中所述客戶(hù)網(wǎng)絡(luò)端口進(jìn)一步包括多個(gè)標(biāo)記器����,每個(gè)標(biāo)記器用多個(gè)服務(wù)標(biāo)記中的對(duì)應(yīng)一個(gè)服務(wù)標(biāo)記對(duì)分組進(jìn)行標(biāo)記��,每個(gè)服務(wù)標(biāo)記指定多個(gè)服務(wù)質(zhì)量中的一個(gè)不同的服務(wù)質(zhì)量��;至少所述第一邏輯端口包括多個(gè)隊(duì)列和一個(gè)邏輯端口調(diào)度器�,每個(gè)隊(duì)列與所述多個(gè)服務(wù)質(zhì)量中的對(duì)應(yīng)一個(gè)服務(wù)質(zhì)量相聯(lián)系��,所述邏輯端口調(diào)度器調(diào)度來(lái)自所述多個(gè)隊(duì)列的分組的傳輸����;以及所述轉(zhuǎn)送功能根據(jù)由所述多個(gè)標(biāo)記器對(duì)所述分組進(jìn)行的標(biāo)記將分組放置在所述多個(gè)隊(duì)列中的特定隊(duì)列中。
3.按照權(quán)利要求2的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器�,其中,所述多個(gè)標(biāo)記器中的每一個(gè)標(biāo)記器通過(guò)在每個(gè)被標(biāo)記的分組的因特網(wǎng)協(xié)議標(biāo)題中設(shè)置一個(gè)區(qū)別服務(wù)碼點(diǎn)(DSCP)來(lái)標(biāo)記分組��。
4.按照權(quán)利要求1的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器�����,其中所述客戶(hù)網(wǎng)絡(luò)端口包括多個(gè)隊(duì)列和一個(gè)客戶(hù)網(wǎng)絡(luò)端口調(diào)度器���,每個(gè)隊(duì)列與用于去往所述客戶(hù)網(wǎng)絡(luò)的輸出分組的所述多個(gè)服務(wù)質(zhì)量中的對(duì)應(yīng)一個(gè)服務(wù)質(zhì)量相聯(lián)系�����,所述客戶(hù)網(wǎng)絡(luò)端口調(diào)度器調(diào)度來(lái)自所述多個(gè)隊(duì)列的分組的傳輸�����;以及所述轉(zhuǎn)送功能根據(jù)所述分組的標(biāo)記將在所述多個(gè)邏輯端口上接收的分組放置在所述多個(gè)隊(duì)列中的特定隊(duì)列中����。
5.按照權(quán)利要求1的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器,其中�,所述客戶(hù)網(wǎng)絡(luò)端口包括一個(gè)分類(lèi)器,所述分類(lèi)器至少部分地根據(jù)一個(gè)源地址和一個(gè)部分目的地地址將至少一些分組分類(lèi)為VPN內(nèi)業(yè)務(wù)���。
6.按照權(quán)利要求5的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器���,其中,所述分類(lèi)器至少部分地根據(jù)一個(gè)發(fā)射機(jī)主機(jī)的標(biāo)記對(duì)至少一些分組分類(lèi)��。
7.按照權(quán)利要求5的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器��,所述至少一個(gè)客戶(hù)網(wǎng)絡(luò)端口進(jìn)一步包括至少一個(gè)管轄器����,其中����,所述分類(lèi)器向所述至少一個(gè)管轄器發(fā)送分組���,以便根據(jù)所述分組的分類(lèi)進(jìn)行管轄����。
8.按照權(quán)利要求5的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器�����,所述分類(lèi)器具有一個(gè)相關(guān)分類(lèi)表��,所述相關(guān)分類(lèi)表將分組標(biāo)題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯(lián)系���。
9.按照權(quán)利要求1的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器,其中����,所述物理端口調(diào)度器將接入鏈路容量的第一部分分配給來(lái)自所述第一邏輯端口的輸出業(yè)務(wù),并將接入鏈路容量的第二部分分配給來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)�。
10.按照權(quán)利要求1的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)-知曉的CPE邊緣路由器,其中,所述物理端口調(diào)度器將比來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)更高的接入鏈路優(yōu)先權(quán)給予來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)�����。
11.一種網(wǎng)絡(luò)接入系統(tǒng)���,用于與實(shí)現(xiàn)基于網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和盡力工作網(wǎng)絡(luò)的因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)一起使用�����,所述網(wǎng)絡(luò)接入系統(tǒng)包括一個(gè)VPN-知曉的客戶(hù)前提設(shè)備(CPE)邊緣路由器���,一個(gè)接入網(wǎng)絡(luò),至少支持CPE邊緣路由器和基于網(wǎng)絡(luò)的VPN之間的第一邏輯連接和CPE邊緣路由器和盡力工作網(wǎng)絡(luò)之間的第二邏輯連接�;其中,所述VPN-知曉的CPE邊緣路由器包括具有用于屬于VPN的客戶(hù)網(wǎng)絡(luò)的連接的至少一個(gè)客戶(hù)網(wǎng)絡(luò)端口��;至少一個(gè)物理端口��,在所述物理端口上駐留了至少第一和第二邏輯端口�,所述物理端口具有一個(gè)物理端口調(diào)度器,所述物理端口調(diào)度器通過(guò)所述第一邏輯連接從所述第一邏輯端口發(fā)送輸出分組以及通過(guò)所述第二邏輯連接從所述第二邏輯端口發(fā)送輸出分組���,其中�,所述物理端口調(diào)度器通過(guò)以下的(1)與(2)之一來(lái)確保來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)對(duì)所述物理接入鏈路的接入(1)來(lái)自所述第一和第二邏輯端口的輸出業(yè)務(wù)之間的接入鏈路容量分配;和(2)使來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)相對(duì)來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)的接入鏈路優(yōu)先化����;以及一個(gè)轉(zhuǎn)送功能,被配置為僅僅將被識(shí)別為要傳送到一個(gè)屬于VPN的目的地主機(jī)的VPN內(nèi)業(yè)務(wù)的分組轉(zhuǎn)送到所述第一邏輯端口�,并將其他分組轉(zhuǎn)送到所述第二邏輯端口。
12.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng)�����,其中所述客戶(hù)網(wǎng)絡(luò)端口進(jìn)一步包括多個(gè)標(biāo)記器����,每個(gè)標(biāo)記器用多個(gè)服務(wù)標(biāo)記中的對(duì)應(yīng)一個(gè)服務(wù)標(biāo)記對(duì)分組進(jìn)行標(biāo)記,每個(gè)服務(wù)標(biāo)記指定多個(gè)服務(wù)質(zhì)量中的一個(gè)不同的服務(wù)質(zhì)量����;至少所述第一邏輯端口包括多個(gè)隊(duì)列和一個(gè)邏輯端口調(diào)度器���,每個(gè)所述隊(duì)列與所述多個(gè)服務(wù)質(zhì)量中的對(duì)應(yīng)一個(gè)服務(wù)質(zhì)量相聯(lián)系��,所述邏輯端口調(diào)度器調(diào)度來(lái)自所述多個(gè)隊(duì)列的分組的傳輸�;以及所述轉(zhuǎn)送功能根據(jù)由所述多個(gè)標(biāo)記器對(duì)所述分組的標(biāo)記將分組放置在所述多個(gè)隊(duì)列中的特定隊(duì)列中��。
13.按照權(quán)利要求12的網(wǎng)絡(luò)接入系統(tǒng),其中�����,所述多個(gè)標(biāo)記器中的每一個(gè)標(biāo)記器通過(guò)在每個(gè)被標(biāo)記的分組的因特網(wǎng)協(xié)議標(biāo)題中設(shè)置一個(gè)區(qū)別服務(wù)碼點(diǎn)(DSCP)來(lái)標(biāo)記分組���。
14.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng)��,其中所述客戶(hù)網(wǎng)絡(luò)端口包括多個(gè)隊(duì)列和一個(gè)客戶(hù)網(wǎng)絡(luò)端口調(diào)度器����,每個(gè)所述隊(duì)列與用于去往所述客戶(hù)網(wǎng)絡(luò)的輸出分組的所述多個(gè)服務(wù)質(zhì)量中的對(duì)應(yīng)一個(gè)服務(wù)質(zhì)量相聯(lián)系���,所述客戶(hù)網(wǎng)絡(luò)端口調(diào)度器調(diào)度來(lái)自所述多個(gè)隊(duì)列的分組的傳輸�;以及所述轉(zhuǎn)送功能根據(jù)所述分組的標(biāo)記將在所述多個(gè)邏輯端口上接收的分組放置在所述多個(gè)隊(duì)列中的特定隊(duì)列中�。
15.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng),其中��,所述客戶(hù)網(wǎng)絡(luò)端口包括一個(gè)分類(lèi)器��,所述分類(lèi)器至少部分地根據(jù)一個(gè)源地址和一個(gè)部分目的地地址將至少一些分組分類(lèi)為VPN內(nèi)業(yè)務(wù)�。
16.按照權(quán)利要求15的網(wǎng)絡(luò)接入系統(tǒng),其中�����,所述分類(lèi)器至少部分地根據(jù)一個(gè)發(fā)射機(jī)主機(jī)的標(biāo)記對(duì)至少一些分組分類(lèi)。
17.按照權(quán)利要求15的網(wǎng)絡(luò)接入系統(tǒng)����,所述至少一個(gè)客戶(hù)網(wǎng)絡(luò)端口進(jìn)一步包括至少一個(gè)管轄器,其中�����,所述分類(lèi)器向所述至少一個(gè)管轄器發(fā)送分組����,以便根據(jù)所述分組的分類(lèi)進(jìn)行管轄。
18.按照權(quán)利要求15的網(wǎng)絡(luò)接入系統(tǒng)�,所述分類(lèi)器具有一個(gè)將分組標(biāo)題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯(lián)系的相關(guān)分類(lèi)表。
19.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng)�,其中,所述物理端口調(diào)度器將接入鏈路容量的第一部分分配給來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)����,并將接入鏈路容量的第二部分分配給來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)�。
20.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng),其中����,所述物理端口調(diào)度器將比來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)更高的接入鏈路優(yōu)先權(quán)給予來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)�。
21.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng)����,其中,所述接入網(wǎng)絡(luò)包括利用異步傳送模式�、以太網(wǎng)和幀中繼之一實(shí)現(xiàn)的一個(gè)L2接入網(wǎng)絡(luò)。
22.按照權(quán)利要求11的網(wǎng)絡(luò)接入系統(tǒng)�,進(jìn)一步包括實(shí)現(xiàn)一個(gè)基于網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和一個(gè)盡力工作網(wǎng)絡(luò)的因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。
23.按照權(quán)利要求22的網(wǎng)絡(luò)接入系統(tǒng)�����,其中����,所述基于網(wǎng)絡(luò)的VPN是在一個(gè)區(qū)別服務(wù)域中實(shí)現(xiàn)的。
24.一種從一個(gè)發(fā)射機(jī)主機(jī)向一個(gè)接收機(jī)主機(jī)傳送數(shù)據(jù)分組的方法����,所述方法包括在連接到一個(gè)接入網(wǎng)絡(luò)的接入鏈路的物理端口上提供至少第一和第二邏輯端口;在具有用于屬于一個(gè)VPN的客戶(hù)網(wǎng)絡(luò)的連接的客戶(hù)網(wǎng)絡(luò)端口上���,接收一個(gè)或多個(gè)分組信息流����;將所述一個(gè)或多個(gè)分組信息流中的分組識(shí)別為要被傳送到一個(gè)屬于VPN的目的地主機(jī)的VPN內(nèi)業(yè)務(wù)或識(shí)別為VPN外業(yè)務(wù);僅僅將被識(shí)別為VPN內(nèi)業(yè)務(wù)的分組轉(zhuǎn)送到物理端口上的第一邏輯端口����,并將被識(shí)別為VPN外業(yè)務(wù)的分組轉(zhuǎn)送到所述第二邏輯端口;以及通過(guò)以下的(1)與(2)之一來(lái)保護(hù)來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)對(duì)接入鏈路的接入(1)來(lái)自所述第一和第二邏輯端口的輸出業(yè)務(wù)之間的接入鏈路容量分配��;和(2)使來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)相對(duì)來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)的接入鏈路優(yōu)先化��。
25.按照權(quán)利要求24的方法����,其中所述方法進(jìn)一步包括在所述客戶(hù)網(wǎng)絡(luò)端口上用多個(gè)服務(wù)標(biāo)記中的對(duì)應(yīng)一個(gè)服務(wù)標(biāo)記對(duì)分組進(jìn)行標(biāo)記,每個(gè)服務(wù)標(biāo)記指定多個(gè)服務(wù)質(zhì)量中的一個(gè)不同的服務(wù)質(zhì)量�;所述轉(zhuǎn)送步驟包括根據(jù)所述分組的標(biāo)記將分組放置在所述第一邏輯端口上的多個(gè)隊(duì)列中的特定隊(duì)列中;以及��,所述方法進(jìn)一步包括調(diào)度分組從所述多個(gè)隊(duì)列的傳輸���,以實(shí)現(xiàn)所述多個(gè)服務(wù)質(zhì)量��。
26.按照權(quán)利要求25的方法���,其中,所述標(biāo)記包括在每個(gè)被標(biāo)記的分組的因特網(wǎng)協(xié)議標(biāo)題中設(shè)置一個(gè)區(qū)別服務(wù)碼點(diǎn)(DSCP)�。
27.按照權(quán)利要求24的方法,其中所述轉(zhuǎn)送步驟包括將在所述多個(gè)邏輯端口上接收的分組放置在所述客戶(hù)網(wǎng)絡(luò)端口上的多個(gè)隊(duì)列中的特定隊(duì)列中����,每個(gè)所述隊(duì)列與用于去往所述客戶(hù)網(wǎng)絡(luò)的輸出分組的所述多個(gè)服務(wù)質(zhì)量中的對(duì)應(yīng)一個(gè)服務(wù)質(zhì)量相聯(lián)系,所述放置是根據(jù)所述分組的標(biāo)記執(zhí)行的�����;以及所述方法進(jìn)一步包括調(diào)度分組從所述多個(gè)隊(duì)列的傳輸�,以實(shí)現(xiàn)所述多個(gè)服務(wù)質(zhì)量。
28.按照權(quán)利要求24的方法�,進(jìn)一步包括在所述客戶(hù)網(wǎng)絡(luò)端口上至少部分地根據(jù)一個(gè)源地址和一個(gè)部分目的地地址將至少一些分組分類(lèi)為VPN內(nèi)業(yè)務(wù)。
29.按照權(quán)利要求28的方法��,進(jìn)一步包括至少部分地根據(jù)一個(gè)發(fā)射機(jī)主機(jī)的標(biāo)記對(duì)至少一些分組分類(lèi)��。
30.按照權(quán)利要求28的方法��,在所述客戶(hù)網(wǎng)絡(luò)端口上根據(jù)所述分組的分類(lèi)來(lái)管轄分組���。
31.按照權(quán)利要求28的方法��,其中��,所述分類(lèi)包括通過(guò)參考一個(gè)將分組標(biāo)題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯(lián)系的分類(lèi)表選擇所述第一和第二邏輯端口之一作為一個(gè)分組的輸出端口����。
32.按照權(quán)利要求24的方法,其中�����,保護(hù)來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)對(duì)接入鏈路的接入包括將接入鏈路容量的第一部分分配給來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)�,并將接入鏈路容量的第二部分分配給來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)。
33.按照權(quán)利要求24的方法�����,其中�,保護(hù)來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)對(duì)接入鏈路的接入包括將比來(lái)自所述第二邏輯端口的輸出業(yè)務(wù)更高的接入鏈路優(yōu)先權(quán)給予來(lái)自所述第一邏輯端口的輸出業(yè)務(wù)。
全文摘要
一種網(wǎng)絡(luò)結(jié)構(gòu)包括支持一個(gè)或多個(gè)基于網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)(32a�����,32b)的通信網(wǎng)絡(luò)�����。通信網(wǎng)絡(luò)包括利用接入鏈路(35a,35b)連接到屬于一個(gè)或多個(gè)VPN(32a��,32b)的CPE邊緣路由器(34a��,34b)的多個(gè)邊界路由器(40a��,40b���,42a,42b)��。為了防止來(lái)自客戶(hù)的VPN以外的業(yè)務(wù)(例如����,大部分來(lái)自其它VPN或因特網(wǎng)的業(yè)務(wù))損害到提供給來(lái)自客戶(hù)的VPN(32a,32b)內(nèi)部的業(yè)務(wù)的QoS�,本發(fā)明通過(guò)接入鏈路優(yōu)先化或接入鏈路容量分配在各個(gè)客戶(hù)的接入鏈路上給予VPN內(nèi)業(yè)務(wù)比VPN外業(yè)務(wù)更高的優(yōu)先權(quán),使得VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)����。通過(guò)配置接入網(wǎng)絡(luò)(38a,38b)���、VPN邊界路由器(40a��,40b�����,42a�����,42b)和CPE邊緣路由器(42a����,42b)以及邊緣和邊界路由器的路由協(xié)議,就能提供預(yù)防DoS(拒絕服務(wù))攻擊的高級(jí)服務(wù)���。
文檔編號(hào)H04M3/46GK1502195SQ02806821
公開(kāi)日2004年6月2日 申請(qǐng)日期2002年3月20日 優(yōu)先權(quán)日2001年3月20日
發(fā)明者D·E·麥克戴桑, D E 麥克戴桑 申請(qǐng)人:全球通訊公司