專利名稱:用于對第二層隧道協(xié)議中的重疊的因特網(wǎng)協(xié)議地址進(jìn)行映射的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及寬帶數(shù)據(jù)網(wǎng)絡(luò)設(shè)備。具體來說,本發(fā)明涉及一種網(wǎng)絡(luò)處理系統(tǒng),其允許將來自一個或者更多個私有IP網(wǎng)絡(luò)的非唯一私有因特網(wǎng)協(xié)議(“IP”)地址映射到可在公共IP網(wǎng)絡(luò)上使用的地址。
背景技術(shù):
因特網(wǎng)協(xié)議(IP)地址是唯一標(biāo)識因特網(wǎng)上的設(shè)備的名稱。為了確保唯一性,將IP版本4(IPv4)地址定義為無符號32位值,其能夠產(chǎn)生4.29千兆個可能的公共地址。某些組織負(fù)責(zé)管理因特網(wǎng)地址空間。它們的職責(zé)是在任何時間點都知道誰在何地使用特定IPv4地址。它們的職責(zé)還在于確保在任何給定時間點至多一個實體使用同一IPv4地址。而有一組IPv4地址未落入這些地址管理機(jī)構(gòu)的權(quán)限下,這就是私有IPv4地址。為私用保留有三類IPv4地址10.0.0.0/8(類A-16.7M個地址),172.16.0.0/16(類B-65.5k個地址),以及192.168.0.0/24(類C-256k個地址)。這些地址可以由任何組織自由使用。使用這些私有地址的一個缺點是由于這些私有地址可能被因特網(wǎng)上的多個實體使用,所以它們不能用于在公共因特網(wǎng)上的連接。
遺憾的是,IPv4所允許的地址的當(dāng)前數(shù)量不足以應(yīng)對因特網(wǎng)的迅速增長。地址缺乏問題的一個解決方案是使用新的定址方案。IP版本6(IPv6)允許網(wǎng)絡(luò)具有128位因特網(wǎng)地址,其產(chǎn)生3.4*10^38個可能的地址。
雖然這比IPv4改善了很多,但實現(xiàn)IPv6需要進(jìn)行基礎(chǔ)設(shè)施的徹底拆修,因而不是短期可行的解決方案(下面提及的所有IP都隱含為IPv4)。
由于缺乏足夠IP地址,以及大量企業(yè)網(wǎng)對該企業(yè)網(wǎng)內(nèi)的私有地址空間的使用,使得大多數(shù)企業(yè)網(wǎng)所利用的IP地址與其他企業(yè)網(wǎng)中的地址相重疊,甚至與該企業(yè)自己的虛擬私有網(wǎng)絡(luò)中的地址相重疊。開發(fā)出了虛擬私有網(wǎng)絡(luò)(“VPN”)和虛擬局域網(wǎng)(“VLAN”)來允許具有多個物理位置的企業(yè)創(chuàng)建對于用戶透明的單個企業(yè)網(wǎng)。這是通過企業(yè)將大量網(wǎng)絡(luò)基礎(chǔ)設(shè)施移交給諸如MCI、AT&T、Southwestern Bell等的運(yùn)營商來完成的,這些運(yùn)營商將這些企業(yè)自己的私有網(wǎng)絡(luò)上的多個遠(yuǎn)距離地址連接起來。
為了使VPN或者VLAN(下文中,提及其中一個隱含了提及另一個)運(yùn)行,由于在被運(yùn)營商控制的不同VPN之間,或者甚至在多個獨立的物理地址處存在重疊的所使用IP地址,所以必需將標(biāo)識所使用的特定VPN的信息添加到包括源地址和端口信息的分組內(nèi)的第二層信息中。然而,為了使得私有地址可在公共互聯(lián)網(wǎng)(“因特網(wǎng)”)上使用,必須使用網(wǎng)絡(luò)地址翻譯(NAT)和網(wǎng)絡(luò)地址端口翻譯(NAPT)。這些功能提供了將私有IP地址翻譯成用于因特網(wǎng)連接的公共IP地址的機(jī)制。
存在執(zhí)行地址翻譯的兩種方法NAT和NAPT。
NAT執(zhí)行一對一地址映射,例如 開發(fā)出NAT僅用于路由和安全目的,其中,如果兩個或者更多個IP地址不是連續(xù)的,則它們不能通過單個網(wǎng)絡(luò)/子網(wǎng)掩碼來表示。這使得需要多于一個路由條目來描述網(wǎng)絡(luò)。如果操作員擁有不連續(xù)的空間,但又不期望重新對網(wǎng)絡(luò)定址,則他們可以使用NAT來使得網(wǎng)絡(luò)看起來是連續(xù)的。這允許將多個路由條目壓縮到單個子網(wǎng)條目。NAT的一個屬性是隱藏的內(nèi)部IP地址。由于NAT提供對于全部私有IP地址的翻譯,所以這些私有IP地址決不會通過IP報頭而暴露給外界。一些網(wǎng)絡(luò)操作員使用此作為安全機(jī)制,并且此機(jī)制被稱為拓?fù)潆[藏。
利用NAPT來解決地址缺乏的問題。NAPT允許多個私有IP地址被表示為單個公共IP地址。網(wǎng)絡(luò)所有者仍必需擁有多個公共IP地址,但通過在他們的網(wǎng)絡(luò)中使用NAPT設(shè)備,能夠極大地減少他們必需擁有的公共IP地址的數(shù)量。在私有網(wǎng)絡(luò)與公共路由器接口連接的位置處,一般可以發(fā)現(xiàn)NAPT設(shè)備。NAPT設(shè)備通常被分配有一個或者更多個公共IP地址。NAPT設(shè)備將使用這些公共IP地址來翻譯所有私有IP地址。
大多數(shù)IP業(yè)務(wù)量是請求/響應(yīng)協(xié)議的形式,客戶端請求某個信息,并且服務(wù)器以所請求信息進(jìn)行響應(yīng)。NAPT設(shè)備利用此行為進(jìn)行地址翻譯操作。NAPT操作可以描述如下 1、客戶端發(fā)送請求, 2、客戶端請求獲得經(jīng)NAPT設(shè)備翻譯的源IP地址和端口, 3、服務(wù)器通過發(fā)送分組到由NAPT設(shè)備分配的IP地址和端口,來對請求進(jìn)行響應(yīng), 4、NAPT設(shè)備接收響應(yīng)并且將目的地IP地址和端口翻譯成正確的私有IP地址和端口,最后客戶端接收響應(yīng)并且將信息提供給用戶。
NAPT設(shè)備必需提供對請求和響應(yīng)分組兩者的翻譯。使用表來保持翻譯信息。NAPT對請求分組進(jìn)行翻譯,隨后將所使用的外部IP和端口的組合存儲在表中。隨后對照此表對響應(yīng)分組進(jìn)行索引,以便找到實際內(nèi)部IP地址和端口的組合,例如 在其消息凈荷中包括IP地址和端口信息的協(xié)議可能因使用NAPT而受負(fù)面影響。有幾個VoIP協(xié)議被設(shè)計成具有兩個主要部分信令和載體。這些協(xié)議是H.323和H.248,即媒體網(wǎng)關(guān)控制協(xié)議(MGCP)和會話初始化協(xié)議(SIP)。信令協(xié)議是與媒體流或話音流獨立的會話,并且在其凈荷(與其報頭相對)中包括有如下IP地址和端口目的地,該IP地址和端口目的地是在使用實時協(xié)議(RTP)攜帶媒體(話音)時媒體流所要發(fā)送到的地方。由于大多數(shù)NAPT設(shè)備不檢查(更極少改變)IP凈荷的內(nèi)容,所以包含在信令分組中的針對媒體流所指示的IP地址和端口將被NAPT設(shè)備忽略,因而媒體無法經(jīng)過該設(shè)備。
除了NAT/NAPT設(shè)備,對于諸如VoIP的對等通信而言,防火墻也是一個問題。防火墻通過濾除惡意業(yè)務(wù)量,為計算機(jī)網(wǎng)絡(luò)提供了安全性。存在兩種過濾方法被稱為訪問控制列表(ACL)的靜態(tài)規(guī)則,和請求導(dǎo)出規(guī)則。標(biāo)準(zhǔn)防火墻隱含地拒絕業(yè)務(wù)量。為了使分組穿過防火墻,該分組必需滿足防火墻過濾規(guī)則集中的允許規(guī)則。ACL是用戶制定的規(guī)則,其指定被允許進(jìn)行通信的終端。下面的ACL示出了所制定的兩個條目,以允許所指示的IP地址之間的業(yè)務(wù)量。
請求導(dǎo)出規(guī)則比ACL規(guī)則更明確。請求導(dǎo)出規(guī)則以與NAPT相似的方式工作。防火墻具有可信側(cè)和不可信側(cè)(私有側(cè)和公共側(cè))。通過從可信側(cè)發(fā)起的協(xié)議請求來生成這些規(guī)則。簽名(IP地址和端口信息)被存儲在表中。不可信側(cè)的抵達(dá)分組被假設(shè)為對于該請求的響應(yīng)。如果表中的簽名與該分組相對應(yīng),則假設(shè)該分組可信并且允許其經(jīng)過可信邊界。每個條目還包括最后一次動作的時間戳。如果時間戳變得比預(yù)定時間量(1-5分鐘)更久,則從表中去除該簽名。
請求導(dǎo)出規(guī)則呈現(xiàn)出與在NAPT設(shè)備情況下所遇到的問題類似的問題。同樣,網(wǎng)絡(luò)設(shè)備假設(shè)所有業(yè)務(wù)量都是客戶端-服務(wù)器業(yè)務(wù)量,并且是從該設(shè)備的特定側(cè)發(fā)起的。在VoIP作為對等協(xié)議的情況下,其將無法在此環(huán)境下正確工作。從非可信側(cè)發(fā)起的信令分組將不滿足請求導(dǎo)出規(guī)則??墒褂肁CL來管理入站(inbound)信令,但擴(kuò)展性問題可能影響這種解決方案的可管理性并且產(chǎn)生了大的安全性問題。最大的問題源自從網(wǎng)絡(luò)的不可信側(cè)發(fā)送的媒體。用于對分組產(chǎn)生簽名的信息包含在穿過防火墻的信令分組的凈荷中。而簽名僅僅根據(jù)分組的報頭中的信息來生成。由于IP地址和端口信息被編碼在凈荷內(nèi),所以將不會創(chuàng)建簽名。因為用于媒體業(yè)務(wù)量的端口是動態(tài)分配的,所以ACL無法輕易地解決此問題。
基于NAT/NAPT設(shè)備的傳統(tǒng)操作以及私有IP地址在類似VPN和VLAN的第二層隧道協(xié)議網(wǎng)絡(luò)中的使用,實時多媒體通信,尤其是那些在凈荷中包括地址信息的實時多媒體通信無法跨越多個VPN或者VLAN而運(yùn)行,并且無法連接到諸如公共因特網(wǎng)的要路由到的IP網(wǎng)絡(luò)。
因此,需要一種用于解決跨越多個第二層隧道協(xié)議網(wǎng)絡(luò)并且要到達(dá)公共IP網(wǎng)絡(luò)的重疊私有IP地址的沖突的方法和設(shè)備。
發(fā)明內(nèi)容
本發(fā)明提供一種將企業(yè)和服務(wù)供應(yīng)商的私有網(wǎng)絡(luò)及公共網(wǎng)絡(luò)互連的簡單的解決方案,其在不損害網(wǎng)絡(luò)完整性的情況下確保了開放的IP通信。本發(fā)明克服了使用私有IP地址的第二層隧道協(xié)議網(wǎng)絡(luò)在涉及雙向多媒體通信(諸如基于IP的語音)時所面對的局限性。
本發(fā)明描述了一種用于在將從第二層隧道協(xié)議網(wǎng)絡(luò)上的私有IP地址和端口接收的多個流通過網(wǎng)絡(luò)處理系統(tǒng)使用該私有IP地址和端口以及用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息映射到公共IP地址和端口時解析重疊的IP地址的方法。通過將相關(guān)流繞過第二層和第三層軟件功能來進(jìn)行路由,可在網(wǎng)絡(luò)處理系統(tǒng)上運(yùn)行的應(yīng)用中執(zhí)行映射,或者可對第二層和第三層軟件功能進(jìn)行修改以保存標(biāo)識信息并執(zhí)行映射。
本發(fā)明還描述了一種具有一個或者更多個處理器的網(wǎng)絡(luò)處理系統(tǒng),所述一個或者更多個處理器單獨或者相組合地運(yùn)行第二層、第三層以及應(yīng)用處理功能,其中,所述功能可操作地使用私有IP地址和端口以及用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息,將來自該私有IP地址和端口的多個流映射到公共IP地址和端口。如上所述,可以通過將相關(guān)流繞過第二層和第三層功能來由一應(yīng)用進(jìn)行路由,以執(zhí)行映射,或者對第二層功能進(jìn)行修改以保留該標(biāo)識信息,使得第三層功能可執(zhí)行映射。
上面已經(jīng)廣泛地概括了本發(fā)明的優(yōu)選和另選特征,從而本領(lǐng)域的技術(shù)人員可更好地理解隨后的本發(fā)明的詳細(xì)描述。下面將描述構(gòu)成本發(fā)明權(quán)利要求的主題的本發(fā)明的其他特征。本領(lǐng)域的技術(shù)人員應(yīng)該理解他們可容易地使用所公開的概念和具體實施例作為基礎(chǔ)來設(shè)計或者修改用于執(zhí)行本發(fā)明的相同目的的其他結(jié)構(gòu)。本領(lǐng)域的技術(shù)人員也可以實現(xiàn)使得這種等同結(jié)構(gòu)不脫離最廣泛形式的本發(fā)明的精神和范圍。
為了更完整地理解本發(fā)明,現(xiàn)在參照結(jié)合了附圖的以下描述,其中 圖1是現(xiàn)有技術(shù)的企業(yè)虛擬私有網(wǎng)絡(luò)的簡圖; 圖2是例示出實現(xiàn)根據(jù)本發(fā)明的網(wǎng)絡(luò)處理系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)的簡化網(wǎng)絡(luò)圖; 圖3是根據(jù)本發(fā)明的網(wǎng)絡(luò)處理系統(tǒng)的框圖; 圖4是由圖3的網(wǎng)絡(luò)處理系統(tǒng)運(yùn)行的軟件模塊的框圖; 圖5是示出基于本發(fā)明的原理的入站和出站(outbound)IP分組/流的處理的流程圖;以及 圖6是根據(jù)本發(fā)明的網(wǎng)絡(luò)處理系統(tǒng)中的軟件的實施例的框圖。
具體實施例方式 現(xiàn)在參照圖1,簡略網(wǎng)絡(luò)圖示出了現(xiàn)有技術(shù)結(jié)構(gòu)10。虛擬私有網(wǎng)絡(luò)VPN-1、VPN-2以及VPN-3也被稱作企業(yè)網(wǎng)絡(luò)12、14以及16,其表示使用用于內(nèi)部終端28和VoIP電話30的私有IP地址的、典型企業(yè)網(wǎng)絡(luò)裝置。IP PBX 32對企業(yè)的VoIP業(yè)務(wù)量進(jìn)行處理,并且連接到使每個企業(yè)話音網(wǎng)絡(luò)與公共交換電話網(wǎng)絡(luò)(“PSTN”)20互連的網(wǎng)關(guān)34。企業(yè)網(wǎng)絡(luò)12、14以及16上的數(shù)據(jù)通過用戶邊緣路由器18、經(jīng)由運(yùn)營商供應(yīng)商邊緣路由器24路由到運(yùn)營商網(wǎng)絡(luò)18中。運(yùn)營商網(wǎng)絡(luò)18采用諸如多標(biāo)簽協(xié)議交換的第二層隧道協(xié)議,該多標(biāo)簽協(xié)議交換將用于標(biāo)識特定VPN的信息添加到運(yùn)營商網(wǎng)絡(luò)18內(nèi)部的IP流中的第二層數(shù)據(jù)中,由此在運(yùn)營商網(wǎng)絡(luò)18中無需NAT或者NAPT。要傳到公共網(wǎng)絡(luò)或者因特網(wǎng)22的來自企業(yè)12、14或者16的數(shù)據(jù)必需經(jīng)過NAT/NAPT設(shè)備26,以將在VPN上使用的私有IP地址變?yōu)榭稍诠簿W(wǎng)絡(luò)22上路由的公共地址。
網(wǎng)絡(luò)10對于在其消息凈荷中包括IP地址和端口信息的對等或者實時應(yīng)用(諸如基于IP的語音)帶來了多個問題。VPN的私有定址方案不可路由到VPN外側(cè)。為了連接到諸如因特網(wǎng)的另一IP網(wǎng)絡(luò),需要NAT/NAPT路由器26將私有VPN IP地址映射到公共IP地址,或者第三層地址,該地址隨后可在任何其他IP網(wǎng)絡(luò)上被路由?;ヂ?lián)網(wǎng)工程任務(wù)組(“IETF”)的RFC 1631所描述的此方案對于數(shù)據(jù)應(yīng)用非常有用,但是如上所述,對于在其凈荷中具有地址信息的協(xié)議,諸如會話初始化協(xié)議(“SIP”)、IP語音協(xié)議H.323、或者媒體網(wǎng)關(guān)控制協(xié)議(“MGCP”)來說則無法發(fā)揮作用。
NAPT設(shè)備不檢查或者改變它們所處理的分組的凈荷信息。結(jié)果,使在凈荷中具有地址信息的協(xié)議(諸如所列出的那些VoIP協(xié)議)經(jīng)過NAPT設(shè)備將導(dǎo)致依據(jù)凈荷中的私有IP地址進(jìn)行處理的返回通信無法被傳遞,這是因為網(wǎng)絡(luò)路由器無法處理返回流所使用的私有地址。
構(gòu)成NAT問題的原因在于利用私有IP地址方案的語音VPN網(wǎng)絡(luò)通常具有重疊IP地址。例如VPN-1和VPN-2可具有私有IP地址相同的IP電話。雖然例如在VPN-1中對該IP地址進(jìn)行路由不是問題,但由于無法在VPN-2外部知道該私有地址指向哪里(如果有的話),所以試圖將該IP地址路由到VPN-2將出現(xiàn)問題。試圖將私有地址映射到公共地址以便在VPN-1與VPN-2之間進(jìn)行路由導(dǎo)致了與NAPT設(shè)備相關(guān)的上述相同問題。
雖然針對VoIP業(yè)務(wù)量和協(xié)議描述了私有地址方案的問題,但本領(lǐng)域的技術(shù)人員應(yīng)該理解相同的問題會發(fā)生在任何在第二層報頭中攜帶有隧道標(biāo)識信息的第二層隧道協(xié)議中,該標(biāo)識信息被第二層處理功能或者堆棧剝除(strip)并且不可由第三層處理功能或者堆棧使用。
現(xiàn)在參照圖2,簡略網(wǎng)絡(luò)圖示出利用網(wǎng)絡(luò)處理系統(tǒng)實現(xiàn)的網(wǎng)絡(luò),該網(wǎng)絡(luò)處理系統(tǒng)可以是會話控制器,其減輕了參照圖2描述的問題。網(wǎng)絡(luò)50也包括企業(yè)網(wǎng)絡(luò)12、14以及16(VPN-1、VPN-2、以及VPN-3),它們通過用戶邊緣路由器18和供應(yīng)商邊緣路由器24連接到運(yùn)營商網(wǎng)絡(luò)18。網(wǎng)絡(luò)處理系統(tǒng)40與運(yùn)營商網(wǎng)絡(luò)18中的一個或者更多個供應(yīng)商邊緣路由器相接。網(wǎng)絡(luò)處理系統(tǒng)40基于NAPT、受控的VoIP防火墻、會話許可控制、以及用于諸如VoIP的實時多媒體通信的會話詳情記錄,為運(yùn)營商網(wǎng)絡(luò)18提供安全的協(xié)議獲知會話或流。使用網(wǎng)絡(luò)處理系統(tǒng)40允許多個VPN在運(yùn)營商網(wǎng)絡(luò)18上直接相交互,而無需圖1中的網(wǎng)關(guān)和PSTN。另外,網(wǎng)絡(luò)處理系統(tǒng)40用于錨定(anchoring)和能夠獲知協(xié)議的NAPT,由此即使在IP地址重疊的情況下也允許使用路由器38將多個VPN與公共因特網(wǎng)22相連接。
網(wǎng)絡(luò)處理系統(tǒng)40使用可以是千兆以太網(wǎng)接口的接口42連接到供應(yīng)商邊緣路由器。通過使用供應(yīng)商邊緣路由器設(shè)置諸如802.1q VLAN標(biāo)記的標(biāo)記,網(wǎng)絡(luò)處理系統(tǒng)40能夠使用虛擬接口在運(yùn)營商網(wǎng)絡(luò)18上支持在多個VPN中使用的重疊IP地址。每個VPN使用到網(wǎng)絡(luò)處理系統(tǒng)的唯一虛擬接口,該唯一虛擬接口允許網(wǎng)絡(luò)處理系統(tǒng)用作每個VPN的出站代理服務(wù)器。例如,在SIP的情況下,網(wǎng)絡(luò)處理系統(tǒng)變成SIP代理服務(wù)器,并且對于VPN上的全部SIP會話提供錨定和注冊綁定。錨定將網(wǎng)絡(luò)處理系統(tǒng)40置于用于全部VoIP業(yè)務(wù)量的信令和媒體路徑中。網(wǎng)絡(luò)處理系統(tǒng)40還用作保護(hù)VPN免受網(wǎng)絡(luò)上的安全性威脅的防火墻。
網(wǎng)絡(luò)處理系統(tǒng)40能夠為諸如VoIP協(xié)議的更高層協(xié)議提供NAPT功能,因為它不僅能夠?qū)τ趫箢^信息提供NAPT,而且能夠?qū)τ?諸如由SIP和H.323使用的)消息凈荷中的地址字段提供NAPT。網(wǎng)絡(luò)處理系統(tǒng)具有包含已登記公共IP地址的存儲池的虛擬網(wǎng)絡(luò),以便使系統(tǒng)中的全部虛擬接口互連。當(dāng)流抵達(dá)虛擬接口時,網(wǎng)絡(luò)處理系統(tǒng)從該存儲池請求公共地址和端口,并且將VPN私有IP地址和端口翻譯成所分配的公共地址和端口,以允許該流被路由到運(yùn)營商網(wǎng)絡(luò)18或者公共網(wǎng)絡(luò)22上的任何公共地址。網(wǎng)絡(luò)處理系統(tǒng)對于該流的持續(xù)時間在防火墻中創(chuàng)建針孔,以允許相關(guān)的返回流穿過防火墻。一旦流結(jié)束,則針孔關(guān)閉并且網(wǎng)絡(luò)處理系統(tǒng)將公共IP地址和端口返回到所述存儲池。
當(dāng)入站呼叫是針對VPN上的具有私有不可路由的IP地址的IP電話或者終端時,產(chǎn)生了關(guān)于VoIP的另一問題。必需有一種用于入站業(yè)務(wù)量的機(jī)制來發(fā)現(xiàn)INVITE必須路由到的該IP電話的私有IP地址。私有地址可以總是靜態(tài)地提供的,但靜態(tài)地址管理起來復(fù)雜,擴(kuò)展性不好(在運(yùn)營商和企業(yè)側(cè)),并且消除了VoIP的一些關(guān)鍵特征。為了支持動態(tài)私有定址,IP電話必需支持SIP REGISTER方法,REGISTER提供了一種學(xué)習(xí)特定全局名稱的當(dāng)前地址(即,sip+12145551000,10.10.108.10)的機(jī)制。在此情形下,IP電話再次使用圖2的網(wǎng)絡(luò)處理系統(tǒng)40作為出站代理服務(wù)器,其迫使全部SIP請求通過網(wǎng)絡(luò)處理系統(tǒng)。
電話由在運(yùn)營商網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)處理系統(tǒng)之后的登記設(shè)備(Registrar)進(jìn)行登記,并且隨后網(wǎng)絡(luò)處理系統(tǒng)將修改REGISTER請求內(nèi)的所需字段。對電話所使用的當(dāng)前地址進(jìn)行指定的聯(lián)系報頭將被修改為由網(wǎng)絡(luò)處理系統(tǒng)管理的IP地址和端口對。存儲聯(lián)系報頭的舊值以用于對與此登記處理相關(guān)的INVITE進(jìn)行路由。當(dāng)網(wǎng)絡(luò)處理系統(tǒng)接收到在登記中插入的對于IP地址和端口的INVITE時,它可以查詢目的地IP電話的私有IP地址和端口。網(wǎng)絡(luò)處理系統(tǒng)隨后將INVITE設(shè)置在指向正確私有IP地址的正確安全連接上,這使得與正確的IP電話取得聯(lián)系。
現(xiàn)在參照圖3,示出了根據(jù)圖2的網(wǎng)絡(luò)處理系統(tǒng)40的描述的網(wǎng)絡(luò)處理系統(tǒng)的示例。網(wǎng)絡(luò)處理系統(tǒng)40包括兩個處理引擎44和46。每個處理引擎相同,因此將總體上討論每一個處理引擎的操作,而且一個處理引擎的操作的任何描述都將等同地適用于兩個處理引擎。未示出的線路接口從物理端口獲取數(shù)據(jù),對數(shù)據(jù)進(jìn)行成幀,并且隨后對數(shù)據(jù)進(jìn)行格式化以便放置在快路徑數(shù)據(jù)總線126上,如上所述,所述快路徑總線126優(yōu)選的是諸如POS-PHY第3級或者ATM UTOPIA第3級型數(shù)據(jù)總線的產(chǎn)業(yè)標(biāo)準(zhǔn)數(shù)據(jù)總線。
快速路徑數(shù)據(jù)總線126將數(shù)據(jù)饋送到業(yè)務(wù)量流掃描處理器140,業(yè)務(wù)量流掃描處理器140在優(yōu)選實施例中包括報頭預(yù)處理器104和內(nèi)容處理器110,但也可以是諸如Intel IXP系列網(wǎng)絡(luò)處理器的單個處理器。首先將數(shù)據(jù)發(fā)送到報頭預(yù)處理器104,報頭預(yù)處理器104可操作地使用包含在數(shù)據(jù)分組報頭中的信息來執(zhí)行多個操作。報頭預(yù)處理器104將所接收的數(shù)據(jù)分組存儲在與報頭預(yù)處理器104相關(guān)聯(lián)的分組存儲存儲器中,并且對報頭信息進(jìn)行掃描。對報頭信息進(jìn)行掃描以識別數(shù)據(jù)分組的類型或者協(xié)議以用于確定路由信息并且對IP報頭起始字節(jié)進(jìn)行解碼。
在已經(jīng)通過報頭預(yù)處理器104對數(shù)據(jù)分組進(jìn)行處理之后,將數(shù)據(jù)分組和通過報頭預(yù)處理器形成的諸如QoS信息的任何結(jié)果在快速數(shù)據(jù)路徑126上發(fā)送到業(yè)務(wù)量流掃描引擎140的另一半,即內(nèi)容處理器110。在通過內(nèi)容處理器110對所接收的分組進(jìn)行處理的同時,將所接收的分組存儲在分組存儲存儲器(未示出)中。內(nèi)容處理器110可操作地掃描從報頭預(yù)處理器104接收的數(shù)據(jù)分組的內(nèi)容。也對報頭進(jìn)行掃描,其一個目的是使用數(shù)據(jù)分組的預(yù)定屬性來創(chuàng)建會話id。
在優(yōu)選實施例中,雖然使用包括源地址、目的地地址、源端口、目的地端口以及協(xié)議的會話信息來創(chuàng)建會話id,但本領(lǐng)域的技術(shù)人員應(yīng)該理解,在不脫離本發(fā)明的范圍的情況下,可使用所列字段的任何子集或者數(shù)據(jù)分組中的任何附加字段來創(chuàng)建會話id。當(dāng)接收到具有新會話信息的數(shù)據(jù)分組時,報頭預(yù)處理器創(chuàng)建唯一的會話id來標(biāo)識特定業(yè)務(wù)量流。將相同會話id分配給具有相同會話信息的每個連續(xù)數(shù)據(jù)分組以標(biāo)識該流中的每個分組。當(dāng)通過明確動作結(jié)束了該特定業(yè)務(wù)量流時或者當(dāng)業(yè)務(wù)量流超時(即在預(yù)定時間量內(nèi)尚未接收到該業(yè)務(wù)量流的數(shù)據(jù)分組)時,會話id被撤銷。雖然在此討論的會話id是由報頭預(yù)處理器104創(chuàng)建的,但會話id也可以在包括內(nèi)容處理器110的業(yè)務(wù)量流掃描引擎140中的任何位置處創(chuàng)建。
將任何數(shù)據(jù)分組或者全部數(shù)據(jù)分組的內(nèi)容與已知簽名的數(shù)據(jù)庫進(jìn)行比較,如果一個或多個數(shù)據(jù)分組的內(nèi)容與已知簽名相匹配,則可以由處理引擎進(jìn)行與該簽名和/或會話id相關(guān)聯(lián)的動作。另外,內(nèi)容處理器110可操作地保持對于每個單獨業(yè)務(wù)量流的狀態(tài)獲知。換言之,內(nèi)容處理器110保持每個會話的數(shù)據(jù)庫,該數(shù)據(jù)庫不僅存儲與來自業(yè)務(wù)量流的當(dāng)前數(shù)據(jù)分組相關(guān)的狀態(tài)信息,而且存儲與全部業(yè)務(wù)量流相關(guān)的狀態(tài)信息。這允許網(wǎng)絡(luò)處理系統(tǒng)40不僅基于正掃描的數(shù)據(jù)分組的內(nèi)容而且基于整個業(yè)務(wù)量流的內(nèi)容進(jìn)行操作。
一旦已經(jīng)掃描了分組的內(nèi)容,并且由業(yè)務(wù)量流掃描引擎140得出結(jié)論,則將分組和報頭預(yù)處理器104和內(nèi)容處理器110兩者或者之一的相關(guān)結(jié)論發(fā)送到服務(wù)質(zhì)量(QoS)處理器116。QoS處理器116再次在其自己的分組存儲存儲器中存儲分組以便進(jìn)行轉(zhuǎn)發(fā)。QoS處理器116可操作地執(zhí)行對于由網(wǎng)絡(luò)處理系統(tǒng)40處理的數(shù)據(jù)分組流的業(yè)務(wù)量流管理。QoS處理器包含用于業(yè)務(wù)量管理、業(yè)務(wù)量整形以及分組修改的引擎。
QoS處理器116采用報頭預(yù)處理器104和內(nèi)容處理器110之一或者兩者的結(jié)論,并且基于該結(jié)論將數(shù)據(jù)分組分配給其內(nèi)部服務(wù)質(zhì)量隊列之一。服務(wù)質(zhì)量隊列可以被彼此相關(guān)地指定優(yōu)先級,或者可以被指定占通過設(shè)備的業(yè)務(wù)量流的最大或者最小百分比。這允許QoS處理器116將必要帶寬分配給諸如VoIP、視頻以及具有高質(zhì)量和可靠性需求的其他流的業(yè)務(wù)量流,同時將剩余帶寬分配給屬于低優(yōu)先級隊列的、諸如電子郵件和普通web沖浪的具有低質(zhì)量需求的業(yè)務(wù)量流。根據(jù)QoS引擎而不具有發(fā)送當(dāng)前駐留在隊列中的全部數(shù)據(jù)的可用帶寬的、隊列中的信息被選擇性地丟棄,由此從業(yè)務(wù)量流中去除該數(shù)據(jù)。
QoS處理器116中的QoS隊列(在本實施例的QoS處理器中有64k個隊列,但是可以使用任何數(shù)目的隊列)將數(shù)據(jù)送入調(diào)度器(本實施例中為1024),其將數(shù)據(jù)送入邏輯端口(本實施例中為256),其將數(shù)據(jù)發(fā)送到流控制端口管理器(在本實施例中為32),其可對應(yīng)于用于網(wǎng)絡(luò)設(shè)備的物理出口端口。業(yè)務(wù)量管理引擎和業(yè)務(wù)量整形引擎確定調(diào)度器的操作和邏輯端口,以根據(jù)經(jīng)編程的參數(shù)保持業(yè)務(wù)量流。
QoS處理器116還包括分組修改引擎,該分組修改引擎可操作地修改、添加或者刪除數(shù)據(jù)分組的任何字段中的位。這允許QoS處理器116改變DiffServ位,或者將適當(dāng)?shù)腗PLS墊片(shim)或者VLAN標(biāo)記置于數(shù)據(jù)分組中以進(jìn)行所需處理。QoS處理器116中的分組修改引擎也可用于改變凈荷本身中的信息,如果需要。隨后沿著快速數(shù)據(jù)路徑126發(fā)送數(shù)據(jù)分組以輸出到相關(guān)線路接口,在該接口處該數(shù)據(jù)分組被轉(zhuǎn)換回模擬信號并且被置于網(wǎng)絡(luò)上。
與所有網(wǎng)絡(luò)設(shè)備一樣,無法沿著快速數(shù)據(jù)路徑126對特定量的網(wǎng)絡(luò)業(yè)務(wù)量進(jìn)行處理。必需通過板上微處理器124來處理此業(yè)務(wù)量。快速路徑業(yè)務(wù)量流掃描引擎140和QoS處理器116將需要附加處理的分組發(fā)送到流管理處理器122,該流管理處理器122將它們轉(zhuǎn)發(fā)到微處理器124以進(jìn)行處理。微處理器124隨后通過流管理處理器122,反過來與業(yè)務(wù)量流掃描引擎140和QoS處理器116進(jìn)行通信。業(yè)務(wù)量流掃描引擎140也可操作地收集關(guān)于流過處理引擎40的業(yè)務(wù)量流的性質(zhì)的數(shù)據(jù)和統(tǒng)計信息。在元件之間使用橋146來用作PCI總線148上的緩沖器,以便防止在PCI總線上數(shù)據(jù)量過大期間可能發(fā)生的數(shù)據(jù)丟失。
從圖3的描述中可見,學(xué)習(xí)狀態(tài)機(jī)44和46允許在已知簽名的數(shù)據(jù)庫中對所接收的任何或者全部數(shù)據(jù)分組的全部內(nèi)容進(jìn)行掃描。所掃描的內(nèi)容可以是任何可變長度或者任意長度,并且甚至可以跨越分組邊界。學(xué)習(xí)狀態(tài)機(jī)44和46的能力允許網(wǎng)絡(luò)設(shè)備被構(gòu)造為智能的和能獲知狀態(tài)的,并且為網(wǎng)絡(luò)設(shè)備提供如下能力,即不僅基于數(shù)據(jù)分組的內(nèi)容而且基于來自同一流的前一數(shù)據(jù)分組的內(nèi)容對數(shù)據(jù)分組進(jìn)行操作。
使用圖3的微處理器124來實現(xiàn)與針對圖2描述的網(wǎng)絡(luò)處理系統(tǒng)40相關(guān)的一些功能。由適當(dāng)線路接口126接收與圖2的網(wǎng)絡(luò)處理系統(tǒng)40相關(guān)的業(yè)務(wù)量,該接口126將業(yè)務(wù)量發(fā)送到對應(yīng)處理引擎44或者46,在處理引擎44或者46處,對業(yè)務(wù)量進(jìn)行識別,并且如果需要則從快速路徑采集業(yè)務(wù)量。隨后將業(yè)務(wù)量發(fā)送到微處理器124,在微處理器124處對業(yè)務(wù)量進(jìn)行處理并且采取如參照圖2和下面的圖4和圖5所討論的適當(dāng)步驟。
現(xiàn)在參照圖4,圖4示出在圖3的網(wǎng)絡(luò)處理系統(tǒng)40的一個或者更多個處理器上運(yùn)行的軟件的處理流程。經(jīng)網(wǎng)絡(luò)處理系統(tǒng)40處理的流經(jīng)過各種軟件模塊并且由各種軟件模塊進(jìn)行處理,如軟件流程400所示。流中每個離散的分組首先由預(yù)處理功能402處理,其對于分組執(zhí)行初始處理。隨后分組被傳送給第二層功能或者堆棧404,在此對第二層報頭進(jìn)行處理。在開放系統(tǒng)互連參考模型中的第二層是鏈路層并且管理用戶與網(wǎng)絡(luò)之間的數(shù)據(jù)流。以太網(wǎng)是第二層協(xié)議的示例。
一旦已經(jīng)處理了第二層信息,則隨后將分組傳送給第三層功能或者堆棧406,在此對分組報頭中的網(wǎng)絡(luò)層信息進(jìn)行處理。源地址和目的地地址和端口以及路由信息是第三層信息的示例。隨后將分組傳送給TCP/UDP功能,在此對TCP和UDP流信息進(jìn)行處理。最后,如果合適,則將分組傳遞給應(yīng)用。應(yīng)用可以是任何網(wǎng)絡(luò)應(yīng)用,在此參考諸如SIP、H.323以及MGCP的基于IP的語音應(yīng)用。
第二層堆棧、第三層堆棧以及TCP/UDP堆棧是本領(lǐng)域中公知的用于處理網(wǎng)絡(luò)業(yè)務(wù)量的標(biāo)準(zhǔn)。然而,這是傳統(tǒng)應(yīng)用,其在處理諸如VPN和VLAN的第二層隧道協(xié)議網(wǎng)絡(luò)中的重疊私有IP地址時會產(chǎn)生問題。第二層隧道協(xié)議在第二層報頭中提供標(biāo)識信息,所述報頭提供第二層網(wǎng)絡(luò)交換,以便適當(dāng)?shù)亟粨QVPN業(yè)務(wù)量。第二層交換執(zhí)行起來相對便宜,但每個交換必需知道附接到第二層網(wǎng)絡(luò)的每個設(shè)備的地址。因此,第二層交換不易擴(kuò)展并且僅對于小型私有網(wǎng)絡(luò)可行。
另一方面第三層路由雖然實現(xiàn)起來太昂貴,但由于第三層路由網(wǎng)絡(luò)中的每個路由器不必知道網(wǎng)絡(luò)上的每個地址,而是只需知道基于第三層地址的一部分的下一跳信息即可,所以擴(kuò)展性好。不幸的是,由于VPN和其他第二層隧道協(xié)議在第二層報頭中具有它們的標(biāo)識信息(其被第二層堆棧404剝除),所以第三層堆棧僅看到不可路由的私有IP地址,如果有連接到同一網(wǎng)絡(luò)的多個VPN,則該私有IP地址極可能不唯一。
圖2的網(wǎng)絡(luò)處理系統(tǒng)40可被配置成以三個方法之一來處理此問題。在第一方法中,預(yù)處理功能402標(biāo)識屬于諸如VoIP的實時流并且來自或者去往VPN上的私有地址的分組。屬于這種流的分組繞過第二層堆棧、第三層堆棧以及TCP/UDP堆棧并且被直接發(fā)送到應(yīng)用層,所述應(yīng)用層被編程為執(zhí)行參照圖2所述的錨定和映射。由于已經(jīng)繞過第二層堆棧,所以用于第二層隧道協(xié)議的層標(biāo)識信息完整無缺并且可以由該應(yīng)用使用來執(zhí)行三到二映射和錨定功能,將私有IP地址和端口連同用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息一起映射到來自對于圖2的網(wǎng)絡(luò)處理系統(tǒng)40可用的公共IP地址和端口的存儲池的公共IP地址和端口。利用適當(dāng)?shù)挠成浜湾^定功能,網(wǎng)絡(luò)處理系統(tǒng)40可以成功地處理來自多個第二層隧道協(xié)議網(wǎng)絡(luò)的重疊的私有IP地址。
其中可處理此問題的第二方法將第二層堆棧修改為將用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息傳送到第三層堆棧。隨后可以修改第三層堆棧,一旦標(biāo)識信息可用于第三層堆棧,則使用私有IP地址和端口的三到二映射,將VPN/VLAN標(biāo)識信息映射和錨定到來自網(wǎng)絡(luò)處理系統(tǒng)存儲池的公共IP地址和端口。
最后,第三方法涉及修改駐留在圖3的業(yè)務(wù)量流掃描引擎140中的硬件轉(zhuǎn)發(fā)表。通常,硬件轉(zhuǎn)發(fā)表中的信息以類似如下的方式排列 其中隧道ID是指第二層隧道協(xié)議id,路由基于目的地IP地址,下一跳包含下一跳路由信息,并且修改是指對于正在處理的分組的報頭信息進(jìn)行的修改。
為了處理因重疊的私有IP地址而產(chǎn)生的問題,可修改網(wǎng)絡(luò)處理系統(tǒng)40的業(yè)務(wù)量流掃描引擎140的硬件轉(zhuǎn)發(fā)表。替代上述硬件轉(zhuǎn)發(fā)表,可如下修改該表 可見,通過由網(wǎng)絡(luò)處理系統(tǒng)40獲得的虛擬IP地址來替代隧道Id,其中通過將來自分組報頭的隧道id和源IP地址映射到虛擬IP地址,并且隨后將該虛擬IP地址而不是隧道id插入硬件轉(zhuǎn)發(fā)表。
現(xiàn)在參照圖5,對實現(xiàn)圖4所示的錨定和映射的方法進(jìn)行描述。該方法在塊420處開始,在塊420處通過網(wǎng)絡(luò)處理系統(tǒng)接收屬于與第二層隧道協(xié)議網(wǎng)絡(luò)相關(guān)聯(lián)的特定IP流的分組。該方法隨后轉(zhuǎn)到塊422,在塊422處,使用來自第二層隧道協(xié)議網(wǎng)絡(luò)的私有IP地址和端口以及標(biāo)識信息來映射到來自對于網(wǎng)絡(luò)處理系統(tǒng)可用的公共IP地址和端口的存儲池中的公共IP地址和端口。隨后如塊424所示,在網(wǎng)絡(luò)上返回在報頭和凈荷中具有特定應(yīng)用所需的映射公共IP地址和端口的該流。
塊426示出在網(wǎng)絡(luò)處理系統(tǒng)處接收的返回流,在塊426處,塊428示出被重新映射回私有IP地址和端口的公共IP地址和端口以及用于相關(guān)第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息。隨后將該流返回到第二層隧道協(xié)議網(wǎng)絡(luò)以便路由回發(fā)起方設(shè)備的私有IP地址和端口。雖然已經(jīng)參照在第二層隧道協(xié)議網(wǎng)絡(luò)上的設(shè)備處發(fā)起的流對圖5進(jìn)行了描述,但本領(lǐng)域的技術(shù)人員將容易認(rèn)識到雖然可能需要圖2所述的登記處理,但圖5的方法也能對于在網(wǎng)絡(luò)的公共側(cè)上發(fā)送的流來實現(xiàn)。
現(xiàn)在參照圖6,圖6示出通過圖2的網(wǎng)絡(luò)處理系統(tǒng)40中的內(nèi)部軟件的VPN業(yè)務(wù)量的流的框圖。雖然將參照入站的基于IP的語音呼叫來描述圖6,但本領(lǐng)域的技術(shù)人員將容易認(rèn)識到該描述適用于任何第二層隧道協(xié)議,并且在此提到的任何信號的方向可具有反向?qū)Φ任?。另外,在圖6的討論中,將引用圖2和3的參考標(biāo)記和描述。
通過網(wǎng)絡(luò)504所示的VLAN 200和通過網(wǎng)絡(luò)506所示的VLAN300,通過路由器502連接到參照圖3所述的網(wǎng)絡(luò)處理系統(tǒng)40的軟件數(shù)據(jù)平面508。來自VLAN 200或者VLAN 300的出站業(yè)務(wù)量通過線路卡510進(jìn)入數(shù)據(jù)平面508,所述線路卡510用作到數(shù)據(jù)平面508的網(wǎng)絡(luò)接口。隨后出站業(yè)務(wù)量經(jīng)過包括轉(zhuǎn)發(fā)表514、訪問控制列表516、策略塊518、PID 520和DID 522的數(shù)據(jù)平面508的出站部分。轉(zhuǎn)發(fā)表514和訪問控制列表516幫助確定用于出站業(yè)務(wù)量的路由信息,而策略塊518用于向業(yè)務(wù)量施加經(jīng)編程的策略,所述策略可包括諸如帶寬或者會話管理的策略。PID 520和DID 522收集如下的關(guān)于業(yè)務(wù)量的信息,所述信息與策略實施和統(tǒng)計信息相關(guān)。
需要在數(shù)據(jù)平面508外部進(jìn)行處理的業(yè)務(wù)量,諸如屬于諸如VoIP呼叫的應(yīng)用的業(yè)務(wù)量被路由出數(shù)據(jù)平面508,路由到MP線路卡驅(qū)動器534,所述MP線路卡驅(qū)動器534對在數(shù)據(jù)平面508與圖3的微處理器124之間流動的業(yè)務(wù)量進(jìn)行管理。網(wǎng)絡(luò)處理系統(tǒng)40支持的每個VLAN具有其自己的VLAN驅(qū)動器,在此示為用于VLAN 200的VLAN驅(qū)動器536和用于VLAN 300的VLAN驅(qū)動器548。將針對每個VLAN的業(yè)務(wù)量發(fā)送到其適當(dāng)?shù)尿?qū)動器,并且隨后發(fā)送到IP表過濾器IN 538和550,所述IP表過濾器IN 538和550在業(yè)務(wù)量被傳送到IP堆棧540之前對該業(yè)務(wù)量進(jìn)行過濾。IP堆棧540和IP規(guī)則542操作也對該業(yè)務(wù)量進(jìn)行適當(dāng)處理(如參照圖4所述),并且將該業(yè)務(wù)量傳送到進(jìn)行針對應(yīng)用的處理的用戶應(yīng)用套接字544和556。隨后該業(yè)務(wù)量通過IP堆棧540被傳送回IP表過濾器OUT 546和552,并且通過VLAN驅(qū)動器536和548被傳送回MP線路卡534,在此被傳送回數(shù)據(jù)平面508以便通過線路卡512進(jìn)行傳輸。
入站業(yè)務(wù)量經(jīng)過包括轉(zhuǎn)發(fā)表524、訪問控制列表526、策略塊528、PID 530以及DID 532的數(shù)據(jù)平面508的入站側(cè)。需要通過圖3的微處理器124進(jìn)行處理的業(yè)務(wù)量被傳送到MP線路卡驅(qū)動器534并且通過如上所述的用于出站業(yè)務(wù)量的同一元件。
圖6的描述旨在用作通過網(wǎng)絡(luò)處理系統(tǒng)40的內(nèi)部軟件層的數(shù)據(jù)流的示例。本領(lǐng)域的技術(shù)人員將認(rèn)識到不同的應(yīng)用、網(wǎng)絡(luò)配置、數(shù)據(jù)類型等將改變數(shù)據(jù)所經(jīng)過的具體模塊和路徑。圖6的描述并非意在進(jìn)行限制,并且全部其它應(yīng)用、網(wǎng)絡(luò)配置、數(shù)據(jù)類型等也在本發(fā)明的范圍內(nèi)。
雖然參照圖3描述的報頭預(yù)處理器、QoS處理器以及流管理處理器可以是能夠執(zhí)行所述功能的任何適當(dāng)?shù)奶幚砥鳎趦?yōu)選實施例中,報頭預(yù)處理器是快速模式處理器(FPP),QoS處理器是路由交換處理器(RSP),并且流管理處理器是ASI處理器,上述裝置都由AgereDivision of Lucent Technologies,Austin Texas制造。參照圖3描述的微處理器和圖4的管理模塊可以是包括Motorola,Inc.的PowerPC系微處理器或者可從Intel Corporation獲得的X86或奔騰系微處理器的任何適當(dāng)?shù)奈⑻幚砥鳌km然已經(jīng)對諸如SIP、H323、或者M(jìn)GCP的特定協(xié)議、特定實現(xiàn)方式以及材料進(jìn)行了具體參照,但本領(lǐng)域的技術(shù)人員應(yīng)該理解,在不脫離本發(fā)明的范圍的情況下,網(wǎng)絡(luò)處理系統(tǒng)可以獨立于協(xié)議并且以各種不同的實現(xiàn)方式來起作用。
雖然已經(jīng)詳細(xì)描述了本發(fā)明,但本領(lǐng)域的技術(shù)人員應(yīng)該理解他們可以在不脫離本發(fā)明的精神和范圍的情況下,以最寬的范圍對本發(fā)明進(jìn)行各種改變、替換以及變更。
權(quán)利要求
1、一種用于解析因特網(wǎng)協(xié)議網(wǎng)絡(luò)中的重疊的因特網(wǎng)協(xié)議地址的方法,所述方法包括
接收來自多于一個的第二層隧道協(xié)議網(wǎng)絡(luò)上的私有地址和端口的流;
利用用于映射到公共地址和端口的用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息,使用所述流的第三層源地址和源端口,將私有地址和端口映射到公共地址和端口。
2、根據(jù)權(quán)利要求1所述的方法,其中,在通過第二層堆棧對所述流進(jìn)行處理時,通過保持用于第二層隧道協(xié)議的所述標(biāo)識信息來實現(xiàn)所述映射。
3、根據(jù)權(quán)利要求1所述的方法,其中,通過使來自第二層隧道網(wǎng)絡(luò)的所述流繞過第二層和第三層處理應(yīng)用,并且在一應(yīng)用中使用用于執(zhí)行映射的用于第二層隧道協(xié)議的所述標(biāo)識信息,來實現(xiàn)所述映射。
4、根據(jù)權(quán)利要求3所述的方法,其中,所述應(yīng)用是基于因特網(wǎng)協(xié)議的語音應(yīng)用。
5、根據(jù)權(quán)利要求4所述的方法,其中,所述基于因特網(wǎng)協(xié)議的語音應(yīng)用是會話初始化協(xié)議應(yīng)用。
6、根據(jù)權(quán)利要求1所述的方法,所述第二層隧道協(xié)議是多協(xié)議標(biāo)簽交換虛擬私有網(wǎng)絡(luò)。
7、根據(jù)權(quán)利要求1所述的方法,其中,具有私有因特網(wǎng)協(xié)議地址的設(shè)備通過登記設(shè)備進(jìn)行預(yù)登記,由此允許來自公共網(wǎng)絡(luò)的通信到達(dá)所述設(shè)備。
8、一種在因特網(wǎng)協(xié)議網(wǎng)絡(luò)中的網(wǎng)絡(luò)處理系統(tǒng),所述因特網(wǎng)協(xié)議網(wǎng)絡(luò)包括采用第二層隧道協(xié)議的一個或者更多個網(wǎng)絡(luò),所述一個或者更多個網(wǎng)絡(luò)具有重疊的私有因特網(wǎng)協(xié)議地址,所述網(wǎng)絡(luò)處理系統(tǒng)包括
一個或者更多個處理器,其可操作地運(yùn)行包括第二層功能、第三層功能以及應(yīng)用功能的應(yīng)用,其中這些功能可操作地通過將私有源地址和端口連同用于與所述流相關(guān)聯(lián)的第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息一起映射到公共因特網(wǎng)協(xié)議地址和端口,來將采用第二層隧道協(xié)議的流映射到公共因特網(wǎng)協(xié)議地址。
9、根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)處理系統(tǒng),其中,與第二層隧道協(xié)議網(wǎng)絡(luò)相關(guān)聯(lián)的流繞過第二層功能和第三層功能,并且所述映射由所述應(yīng)用功能執(zhí)行。
10、根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述第二層功能可操作地保持用于第二層隧道協(xié)議的標(biāo)識信息,并且將所述信息傳送到隨后執(zhí)行到公共因特網(wǎng)協(xié)議地址和端口的映射的第三層功能。
11、根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述第二層隧道協(xié)議網(wǎng)絡(luò)是虛擬私有網(wǎng)絡(luò)。
12、根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)處理系統(tǒng),其中,第二層隧道協(xié)議網(wǎng)絡(luò)利用多協(xié)議標(biāo)簽交換。
13、根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述應(yīng)用功能是基于因特網(wǎng)協(xié)議的語音應(yīng)用。
14、根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)處理系統(tǒng),其中,基于因特網(wǎng)協(xié)議的語音應(yīng)用使用會話初始化協(xié)議來進(jìn)行消息傳送。
15、一種在因特網(wǎng)協(xié)議網(wǎng)絡(luò)中的網(wǎng)絡(luò)處理系統(tǒng),所述因特網(wǎng)協(xié)議網(wǎng)絡(luò)包括采用第二層隧道協(xié)議的一個或者更多個網(wǎng)絡(luò),所述一個或者更多個網(wǎng)絡(luò)具有重疊的私有因特網(wǎng)協(xié)議地址,所述網(wǎng)絡(luò)處理系統(tǒng)包括
處理器,其可操作地對用于在網(wǎng)絡(luò)上路由分組的硬件轉(zhuǎn)發(fā)表進(jìn)行處理,其中硬件轉(zhuǎn)發(fā)表中的隧道標(biāo)識符由虛擬地址來替代,所述虛擬地址是通過由所述網(wǎng)絡(luò)處理系統(tǒng)執(zhí)行源地址和隧道標(biāo)識符到所述虛擬地址的映射而獲得的。
16、根據(jù)權(quán)利要求15所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述第二層隧道協(xié)議網(wǎng)絡(luò)是虛擬私有網(wǎng)絡(luò)。
17、根據(jù)權(quán)利要求15所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述第二層隧道協(xié)議網(wǎng)絡(luò)利用多協(xié)議標(biāo)簽交換。
18、根據(jù)權(quán)利要求15所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述網(wǎng)絡(luò)處理系統(tǒng)可操作地處理基于因特網(wǎng)協(xié)議的語音業(yè)務(wù)量。
19、根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)處理系統(tǒng),其中,所述基于因特網(wǎng)協(xié)議的語音業(yè)務(wù)量使用會話初始化協(xié)議來進(jìn)行消息傳送。
20、一種用于解析因特網(wǎng)協(xié)議網(wǎng)絡(luò)中的重疊的因特網(wǎng)協(xié)議地址的方法,所述方法包括
接收來自第一個第二層隧道協(xié)議網(wǎng)絡(luò)上的第一私有地址和端口的流,其中,所述流要送到第二個第二層隧道協(xié)議網(wǎng)絡(luò)上的目的地地址;
利用用于映射到虛擬地址和端口的用于所述第一個第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識信息,使用所述流的第三層源地址和源端口,對第一私有地址和端口進(jìn)行映射;
將所述第二個第二層隧道協(xié)議網(wǎng)絡(luò)上的目的地地址映射到可在所述第二個第二層隧道協(xié)議網(wǎng)絡(luò)上路由的第二私有地址和端口。
21、根據(jù)權(quán)利要求20所述的方法,其中,在通過第二層堆棧對所述流進(jìn)行處理時,通過保持用于所述第二層隧道協(xié)議的所述標(biāo)識信息來實現(xiàn)所述映射。
22、根據(jù)權(quán)利要求20所述的方法,其中,通過使來自所述第二層隧道網(wǎng)絡(luò)的流繞過第二層處理應(yīng)用和第三層處理應(yīng)用,并且在一應(yīng)用中使用用于執(zhí)行所述映射的用于所述第二層隧道協(xié)議的所述標(biāo)識信息,來實現(xiàn)所述映射。
23、根據(jù)權(quán)利要求22所述的方法,其中,所述應(yīng)用是基于因特網(wǎng)協(xié)議的語音應(yīng)用。
24、根據(jù)權(quán)利要求23所述的方法,其中,所述基于因特網(wǎng)協(xié)議的語音應(yīng)用是會話初始化協(xié)議應(yīng)用。
25、根據(jù)權(quán)利要求20所述的方法,所述第二層隧道協(xié)議是多協(xié)議標(biāo)簽交換虛擬私有網(wǎng)絡(luò)。
全文摘要
描述了一種用于解決由于使用私有IP地址和第二層隧道協(xié)議來實現(xiàn)多個網(wǎng)絡(luò)所產(chǎn)生的問題的方法和系統(tǒng)。一種網(wǎng)絡(luò)處理系統(tǒng)可操作地利用私有IP地址和端口以及用于第二層隧道協(xié)議網(wǎng)絡(luò)的標(biāo)識符,將來自第二層隧道協(xié)議網(wǎng)絡(luò)上的私有IP地址和端口的流映射到公共IP地址和端口。所述網(wǎng)絡(luò)處理系統(tǒng)利用其自己的公共IP地址和端口來對來自所述私有網(wǎng)絡(luò)的業(yè)務(wù)量進(jìn)行錨定,并且執(zhí)行所需映射,從而在所述公共網(wǎng)絡(luò)與所述私有網(wǎng)絡(luò)之間傳送業(yè)務(wù)量。
文檔編號H04L12/46GK101036371SQ200580030138
公開日2007年9月12日 申請日期2005年7月13日 優(yōu)先權(quán)日2004年7月14日
發(fā)明者詹姆斯·R·德曼, 米爾頓·A·列, 阿斯溫庫馬·V·雷納, 羅伯特·D·馬赫三世 申請人:耐特瑞克公司