專利名稱:使用虛擬專用網(wǎng)絡(luò)抵抗IPQoS拒絕服務(wù)攻擊的系統(tǒng)、方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信網(wǎng)絡(luò)�����,特別涉及到在諸如因特網(wǎng)等公共通信網(wǎng)絡(luò)中對拒絕服務(wù)攻擊的預(yù)防。本發(fā)明具體涉及到通過將一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)內(nèi)部對站點(diǎn)業(yè)務(wù)的接入容量的分配和/或優(yōu)先化與另一VPN或公共網(wǎng)絡(luò)中對站點(diǎn)的接入容量的分配和/或優(yōu)先化分開而在具有共享的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的通信網(wǎng)絡(luò)中預(yù)防拒絕服務(wù)攻擊的方法�����、系統(tǒng)和設(shè)備��。
對于網(wǎng)絡(luò)服務(wù)提供者���,在網(wǎng)絡(luò)設(shè)計(jì)和管理中考慮的關(guān)鍵是在源發(fā)自VPN客戶站點(diǎn)的業(yè)務(wù)和源發(fā)自VPN外部(例如是來自因特網(wǎng)或其它VPN)的業(yè)務(wù)之間適當(dāng)?shù)胤峙浣尤肴萘亢途W(wǎng)絡(luò)資源����。這種考慮相對于其預(yù)訂中包括請求網(wǎng)絡(luò)服務(wù)提供者提供最小通信帶寬或是保證特殊服務(wù)質(zhì)量(Quality of Service)(QoS)的服務(wù)級別協(xié)議(Service Level Agreement)(SLA)的那些VPN客戶的業(yè)務(wù)特別重要���。這種服務(wù)提供需要網(wǎng)絡(luò)服務(wù)提供者提供的網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議能夠?qū)崿F(xiàn)規(guī)定的QoS,并且確保有足夠的接入容量和網(wǎng)絡(luò)資源用來與其它VPN站點(diǎn)進(jìn)行通信����,這些通信與不屬于該VPN一部分的那些主機(jī)的通信分開。
在因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)中��,為獲得QoS并實(shí)現(xiàn)能夠與面向連接的網(wǎng)絡(luò)服務(wù)例如話音或異步傳輸方式(ATM)相媲美的準(zhǔn)入控制�����,有一種直接方案是模仿相同的信令資源保留的逐段切換范例(hop-by-hop switching paradigm)用于要求QoS的IP分組的信息流。事實(shí)上��,由因特網(wǎng)工程任務(wù)組(Internet Engineering Task Force)(IETF)為綜合服務(wù)(Integrated Services)(Intserv)制訂的IP信令標(biāo)準(zhǔn)恰恰適用于這種方案���。按照IETF��,RFC 1633[R.Branden等人的“Integrated Services in the InternetArchitecturean Overview(因特網(wǎng)體系結(jié)構(gòu)中的綜合服務(wù)概述)”1994年6月]中所述�����,Intserv是一種按信息流的IP QoS結(jié)構(gòu)�,允許應(yīng)用程序在傳送服務(wù)的多個(gè)控制類別當(dāng)中為其數(shù)據(jù)分組進(jìn)行選擇����。為了支持這一能力,Intserv允許在分組信息流的發(fā)射機(jī)一端的應(yīng)用程序使用IETF RFC 2205[R.Branden等人的“ResourceReSerVation Protocol(RSVP)-Version 1 Functional specification”1997年9月]所規(guī)定的公知的資源保留協(xié)議(Resource ReSerVation Protocol)(RSVP)沿著到分組信息流的接收機(jī)的路徑從所有網(wǎng)絡(luò)元件請求按規(guī)定的容量類別提供所需的QoS級別�。在從一個(gè)上游節(jié)點(diǎn)接收到一個(gè)請求資源保留的RSVP PATH消息和一個(gè)確認(rèn)資源保留的RSVP RESV消息之后,沿著該路徑的個(gè)別網(wǎng)絡(luò)元件采取措施來控制提供給信息流內(nèi)分組的QoS和容量�。
圖1表示利用常規(guī)的Intserv方案來執(zhí)行準(zhǔn)入控制的示意圖。如圖1所示����,一個(gè)示例的IP網(wǎng)絡(luò)10包括N個(gè)相同的節(jié)點(diǎn)(例如是服務(wù)提供者邊界路由器)12,各自具有L條容量為X的鏈路連接到L個(gè)個(gè)別客戶的客戶前提設(shè)備(Customer PremisesEquipment)(CPE)14。在一種按信息流的面向連接的方案中��,各個(gè)節(jié)點(diǎn)12要確保從起源到目的地的任何一條網(wǎng)絡(luò)路徑的鏈路都不會過載�。從接入容量來看,按信息流的方案能夠直接限制各個(gè)入口接入鏈路上的輸入信息流����,使所有信息流容量的總和不會超過任一出口接入鏈路(例如是節(jié)點(diǎn)12a的鏈路1)的容量X。類似的方案可用于連接IP網(wǎng)絡(luò)10內(nèi)沒有圖示出的核心路由器的鏈路�����。
盡管概念上非常簡單�����,圖1中所示的準(zhǔn)入控制技術(shù)存在許多缺點(diǎn)����。最主要的是采用RSVP的Intserv準(zhǔn)入控制的可伸縮性有限���,因?yàn)樵诜?wù)提供者的邊界和核心路由器(boundary and core routers)中需要處理密集信令(processing-intensivesignaling)RSVP��。特別地���,RSVP需要端對端信令來請求處在發(fā)射機(jī)和接收機(jī)之間的每個(gè)網(wǎng)絡(luò)元件的適當(dāng)?shù)馁Y源分配�,需要入口節(jié)點(diǎn)12b-12d的策略查詢以確定哪些信息流可以準(zhǔn)入并相應(yīng)地管轄有關(guān)業(yè)務(wù)���,以及許多其他的信號交換消息��。因此���,Intserv RSVP信令所需的處理可以和電話或ATM信令的處理相比較,并且在各個(gè)邊界或核心IP路由器內(nèi)部需要有高性能(也就是昂貴的)處理器部件來處理這種信令所需的大量處理工作����。RSVP信令是一種軟狀態(tài),意味著對信令處理頻繁刷新(默認(rèn)為每30秒一次)��,因?yàn)榭缭絀P網(wǎng)絡(luò)的正向路徑有可能改變����,因而必須周期性地通知有關(guān)一個(gè)信息流所需的關(guān)于QoS和容量的信息。這種所謂的軟狀態(tài)操作模式對路由器產(chǎn)生的額外處理負(fù)荷甚至比ATM交換的負(fù)荷還要大����。另外,如果一個(gè)邊界路由器的處理器因大量的無效RSVP請求而發(fā)生過載����,處理器有可能崩潰��,從而會造成處理器出故障的這一路由器所處理的所有客戶的所有信息流的服務(wù)中斷����。
認(rèn)識到與采用常規(guī)Intserv RSVP信令來實(shí)現(xiàn)準(zhǔn)入控制有關(guān)的這些問題�����,IETF發(fā)布了在RFC 2475[S.Blake等人�,“An Architecture for Differentiated Services”1998年12月]中定義的區(qū)別服務(wù)(Differentiated Services)(Diffserv或DS)協(xié)議。Diffserv是一種通過在每個(gè)IP-層分組標(biāo)題的一個(gè)DS字段(例如是IPv4服務(wù)類型(TOS)字節(jié)或IPv6業(yè)務(wù)類別字節(jié))內(nèi)傳輸一個(gè)集合業(yè)務(wù)分類來實(shí)現(xiàn)可伸縮性的IP QoS結(jié)構(gòu)�����。DS字段的前六位對一個(gè)Diffserv碼點(diǎn)(DSCP)編碼��,該Diffserv碼點(diǎn)在一個(gè)Diffserv域內(nèi)為在每個(gè)節(jié)點(diǎn)的分組沿著其路徑請求一個(gè)規(guī)定類別的服務(wù)或按段行為(Per HopBehavior)(PHB)�����。
在一個(gè)Diffserv域內(nèi)�����,按照服務(wù)供應(yīng)政策將網(wǎng)絡(luò)資源分配給分組流的集合(aggregate)��,服務(wù)供應(yīng)政策管理在進(jìn)入Diffserv域時(shí)的DSCP標(biāo)記和業(yè)務(wù)調(diào)節(jié)以及Diffserv域內(nèi)的業(yè)務(wù)傳送����。僅僅需要在Diffserv網(wǎng)絡(luò)邊界上采取標(biāo)記(即分類)和調(diào)節(jié)操作。因此���,在發(fā)射機(jī)和接收機(jī)之間并不需要用端對端信令來建立具有特定QoS的信息流�,只需要對各個(gè)IP分組的標(biāo)題進(jìn)行檢查和/或做際記��,Diffserv就能用一個(gè)入口邊界路由器為集合的信息流提供QoS��。
盡管Diffserv標(biāo)準(zhǔn)能用易于由硬件執(zhí)行的簡單的按分組的標(biāo)記操作替代Intserv的處理密集信令�,從而解決Intserv可伸縮性的限制,但Diffserv協(xié)議的實(shí)施仍存在不同類型的問題�。特別是由于Diffserv允許主機(jī)對服務(wù)類別做標(biāo)記,如果有許多主機(jī)用設(shè)置在高優(yōu)先權(quán)的DS字段向這種鏈路傳送分組��,Diffserv網(wǎng)絡(luò)客戶鏈接就會受到拒絕服務(wù)(DoS)攻擊�����。應(yīng)該注意到�����,一組主機(jī)會通過設(shè)置DSCP直接地或通過向一個(gè)特定的DSCP提交了由某些其它路由器或設(shè)備來分類的業(yè)務(wù)而間接地超過Diffserv服務(wù)類別的預(yù)訂容量。在Diffserv中��,一個(gè)IP網(wǎng)絡(luò)只能通過在入口路由器上采取策略來保護(hù)自身的資源���,以確保各個(gè)客戶接口不會超過各個(gè)Diffserve服務(wù)類別的預(yù)訂容量���。然而,這樣做不能防止DoS攻擊����。
圖2表示在執(zhí)行常規(guī)Diffserv協(xié)議的一個(gè)例示IP網(wǎng)絡(luò)10′中的DOS攻擊情況。在圖2中����,許多入口節(jié)點(diǎn)(例如是入口邊界路由器)12b′-12d′,每個(gè)節(jié)點(diǎn)接納(admit)以一個(gè)出口節(jié)點(diǎn)(例如是出口邊界路由器)12a′的單一鏈路為目標(biāo)的業(yè)務(wù)�����。盡管各個(gè)入口節(jié)點(diǎn)12′管轄(police)輸入分組以確?����?蛻舨粫^其在各個(gè)DSCP上的預(yù)訂資源,被允許的信息流的集合還是會超過節(jié)點(diǎn)12a′的出口鏈路1的容量X�,導(dǎo)致由這一鏈路分發(fā)給客戶站點(diǎn)的服務(wù)被拒絕�。
從Intserv和Diffserv標(biāo)準(zhǔn)的常規(guī)實(shí)施所附帶的限制來看,本發(fā)明認(rèn)識到�����,提供這樣一種能夠支持一種通信協(xié)議的數(shù)據(jù)通信方法����、系統(tǒng)和設(shè)備會是有效和理想的,與常規(guī)的Intserv方案不同���,它具有高度的可伸縮性并且還能防范常規(guī)Diffserv和其它網(wǎng)絡(luò)易受影響的DoS攻擊��。
按照本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)包括支持一個(gè)或多個(gè)基于網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)(VPN)的一個(gè)通信網(wǎng)絡(luò)��。通信網(wǎng)絡(luò)包括多個(gè)邊界路由器(boundary router)�,它們由接入鏈路耦合到屬于一個(gè)或多個(gè)VPN的CPE邊緣路由器(edge router)���。為了防止來自客戶VPN外部的業(yè)務(wù)(例如是來自其它VPN或整個(gè)因特網(wǎng)的業(yè)務(wù))損害到提供給來自客戶VPN內(nèi)部的業(yè)務(wù)的QoS���,本發(fā)明通過接入鏈路優(yōu)先化或接入鏈路容量分配在各個(gè)客戶的接入鏈路上給予VPN內(nèi)業(yè)務(wù)比VPN外業(yè)務(wù)更高的優(yōu)先權(quán)����,使得VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)�。按這種方式給予VPN內(nèi)業(yè)務(wù)優(yōu)于VPN外業(yè)務(wù)的優(yōu)先權(quán)需要網(wǎng)絡(luò)元件和協(xié)議的專門配置,包括采用層2交換和多路復(fù)用在物理接入鏈路和接入網(wǎng)絡(luò)上在VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的劃分���,以及在VPN邊界路由器和CPE邊緣路由器上為實(shí)現(xiàn)VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的邏輯業(yè)務(wù)隔離的路由協(xié)議的配置�。按照這種方式來配置接入網(wǎng)絡(luò)�����、VPN邊界路由器和CPE邊緣路由器以及邊緣和邊界路由器的路由協(xié)議��,就能實(shí)現(xiàn)DoS攻擊預(yù)防的高級服務(wù)��。
根據(jù)以下的詳細(xì)說明就能理解本發(fā)明的其它目的���、特征和優(yōu)點(diǎn)���。
在附帶的權(quán)利要求書中描述了體現(xiàn)本發(fā)明的獨(dú)特特征。然而��,結(jié)合附圖閱讀以下對最佳實(shí)施例的詳細(xì)描述有助于深入理解本發(fā)明及其應(yīng)用的最佳模式�����、進(jìn)一步的目的和優(yōu)點(diǎn),在附圖中圖1表示采用RSVP執(zhí)行按信息流的QoS的一種常規(guī)的綜合服務(wù)(Intserv)網(wǎng)絡(luò)���;圖2表示一種常規(guī)的區(qū)別服務(wù)(Diffserv)網(wǎng)絡(luò),利用在各個(gè)分組標(biāo)題中的DSCP標(biāo)記在集合的業(yè)務(wù)流上實(shí)現(xiàn)QoS�����,并因而易受到拒絕服務(wù)(DoS)攻擊�;圖3表示按照本發(fā)明最佳實(shí)施例的一例通信網(wǎng)絡(luò),通過參照虛擬專用網(wǎng)絡(luò)(VPN)中的成員資格對接入容量的分配和/或優(yōu)先化進(jìn)行劃分來抵抗DoS攻擊�����;圖4表示提供一種基于CPE的VPN方案來解決DoS攻擊問題的一例網(wǎng)絡(luò)結(jié)構(gòu)�����;圖5是一種可以在圖4和7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的QoS-知曉的CPE邊緣路由器的細(xì)節(jié)框圖���;圖6A是一種可以在圖4和7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的沒有VPN功能的QoS-知曉的邊界路由器的細(xì)節(jié)框圖�;圖6B是一種可以在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的具有VPN功能的QoS-知曉的邊界路由器的細(xì)節(jié)框圖7表示為解決DoS攻擊問題提供了一種基于網(wǎng)絡(luò)的VPN解決方案的一例網(wǎng)絡(luò)結(jié)構(gòu)�;以及圖8是一種可以在圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)采用的QoS-知曉的VPN邊界路由器的細(xì)節(jié)框圖��。
仍然參照附圖��,特別是圖3�,圖中表示按照本發(fā)明的一例網(wǎng)絡(luò)結(jié)構(gòu)20的高級框圖�����,提供一種可伸縮的方法�,在為選定業(yè)務(wù)提供QoS的同時(shí)保護(hù)虛擬專用網(wǎng)絡(luò)(VPN)客戶的接入和中繼網(wǎng)絡(luò)鏈路不受DoS攻擊。與圖2中現(xiàn)有技術(shù)的網(wǎng)絡(luò)類似�����,圖3的網(wǎng)絡(luò)結(jié)構(gòu)20包括具有N個(gè)服務(wù)提供者邊界路由器(BR)22的一個(gè)Diffserv網(wǎng)絡(luò)21��,路由器各自有L個(gè)接入鏈路�����。網(wǎng)絡(luò)結(jié)構(gòu)20的不同之處是Diffserv網(wǎng)絡(luò)21支持多個(gè)VPN范例���,在圖中表示了其中兩個(gè)��,表示成在各自用字母a到d表示的四個(gè)站點(diǎn)的每一個(gè)處耦合到用于第一網(wǎng)絡(luò)服務(wù)客戶24的CPE邊緣路由器(ER)和用于第二網(wǎng)絡(luò)服務(wù)客戶25的一個(gè)ER的邊界路由器22的接入鏈路���。各個(gè)CPE ER為客戶的局域網(wǎng)(LAN)提供網(wǎng)絡(luò)服務(wù)�。服務(wù)提供者基于網(wǎng)絡(luò)的VPN能支持比圖中所示兩個(gè)多得多的客戶�。
在圖3所示的一例通信方案中,耦合到CPE邊緣路由器24b-24d的第一VPN客戶的LAN內(nèi)部的主機(jī)��、耦合到CPE邊緣路由器25a-25d的第二VPN客戶的LAN內(nèi)部的主機(jī)���、以及耦合到與邊界路由器22a-22d鏈接的其它沒有圖示的CPE邊緣路由器的站點(diǎn)有可能全都以耦合到第一VPN客戶CPE邊緣路由器24a的LAN為目的地發(fā)送分組信息流。如果采用參照圖2所述的現(xiàn)有技術(shù)的常規(guī)Diffserv網(wǎng)絡(luò)�,耦合到CPE邊緣路由器24a的邊界路由器22a的外來接入鏈路1就容易因這些信息流的匯聚而崩潰,導(dǎo)致DoS����。然而,按照本發(fā)明�,圖3的Diffserv網(wǎng)絡(luò)21通過將VPN內(nèi)業(yè)務(wù)引向邊界路由器22a的物理接入鏈路1上的第一邏輯端口27,并將來自其它VPN或其它站點(diǎn)的業(yè)務(wù)引向邊界路由器22a的物理接入鏈路1上的第二邏輯端口28���,能防止來自VPN外部的站點(diǎn)的DoS攻擊�����。
為了防止來自有關(guān)客戶團(tuán)體以外的業(yè)務(wù)(例如是來自其它VPN或整個(gè)因特網(wǎng)的業(yè)務(wù))損害到為來自有關(guān)客戶團(tuán)體內(nèi)部的業(yè)務(wù)(例如是來自同一工商企業(yè)中其它主機(jī)的業(yè)務(wù))提供的QoS�����,本發(fā)明使VPN內(nèi)業(yè)務(wù)有比VPN外業(yè)務(wù)更高的優(yōu)先權(quán)�,或是這樣來分配接入鏈路容量,使VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)���。換句話說��,如下文所述��,各個(gè)邊界路由器22將在各自的客戶接入鏈路上的優(yōu)先權(quán)給予從客戶VPN內(nèi)部的源始發(fā)的業(yè)務(wù)����,此處將一個(gè)VPN定義為由共享網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)來連接的節(jié)點(diǎn)的一個(gè)集合���,其中的網(wǎng)絡(luò)資源和/或通信是根據(jù)節(jié)點(diǎn)集合的成員資格來劃分的����。按這種方式給予VPN內(nèi)業(yè)務(wù)優(yōu)于VPN外業(yè)務(wù)的優(yōu)先權(quán)要求網(wǎng)絡(luò)元件和協(xié)議的專門配置�����,包括采用層2多路復(fù)用在VPN內(nèi)業(yè)務(wù)與VPN外業(yè)務(wù)之間的物理接入的劃分和路由協(xié)議的配置以實(shí)現(xiàn)邏輯業(yè)務(wù)隔離??傊缦旅嬖敿?xì)描述的�����,由CPE邊緣路由器��、接入網(wǎng)絡(luò)���、基于網(wǎng)絡(luò)的VPN邊界路由器以及邊緣和邊界路由器中采用的路由協(xié)議的配置共同實(shí)現(xiàn)預(yù)防DoS攻擊的高級服務(wù)��。相比之下����,常規(guī)的Diffserv和CPE邊緣路由器的基于IPsec的IP VPN方案不能分隔以同一VPN內(nèi)的站點(diǎn)為目的地的業(yè)務(wù)(即VPN內(nèi)業(yè)務(wù))和從因特網(wǎng)的其它區(qū)域發(fā)送的業(yè)務(wù)(即VPN外業(yè)務(wù))�。
參見圖4-8��,圖3中所示的總體網(wǎng)絡(luò)結(jié)構(gòu)20可以分為至少兩類方案�。特別是按照本發(fā)明的網(wǎng)絡(luò)可以被實(shí)現(xiàn)為一種基于CPE的VPN方案,如下文參照圖4-6所述�����,或是一種基于網(wǎng)絡(luò)的VPN方案,如下文參照圖7-8所述�。
首先參見圖4,圖中表示的一例網(wǎng)絡(luò)結(jié)構(gòu)30是采用基于CPE的VPN來抵御DoS攻擊�。所示的網(wǎng)絡(luò)結(jié)構(gòu)包括一個(gè)Diffserv允許的IP VPN網(wǎng)絡(luò)44、一個(gè)盡力工作(besteffort)IP公共網(wǎng)絡(luò)46�����、以及多個(gè)客戶局域網(wǎng)(LAN)32��?�?蛻艟钟蚓W(wǎng)LAN32各自包括一個(gè)或多個(gè)主機(jī)48����,可以作為在網(wǎng)絡(luò)44和46之一或雙方上執(zhí)行分組通信的發(fā)射機(jī)和/或接收機(jī)。按照圖4所示的實(shí)施方案是假設(shè)客戶LAN32a和32b屬于同一個(gè)有關(guān)團(tuán)體(即VPN)�����,例如是一個(gè)工商企業(yè)�����。
各個(gè)客戶LAN32被各自的CPE邊緣路由器34和物理接入鏈路35耦合到各個(gè)接入網(wǎng)絡(luò)(例如是一個(gè)L2接入網(wǎng)絡(luò))38����。接入網(wǎng)絡(luò)38a和38b各自具有對Diffserv允許的IPVPN網(wǎng)絡(luò)44的邊界路由器(BR)40的第一L2接入邏輯連接����,和對盡力工作IP公共網(wǎng)絡(luò)46的邊界路由器(BR)42的第二L2接入邏輯連接����。如圖4所示,用不同線型表示VPN內(nèi)和VPN外業(yè)務(wù)�����,VPN-知曉的CPE邊緣路由器34a和34b僅僅通過Diffserv允許的IP VPN網(wǎng)絡(luò)44傳遞具有屬于該IP VPN的IP地址前綴的那些分組����,而通過盡力工作IP公共網(wǎng)絡(luò)46傳遞所有其他業(yè)務(wù)。為了增強(qiáng)客戶LAN32的安全性���,CPE邊緣路由器34a和34b通過各自的防火墻36a和36b與盡力工作IP公共網(wǎng)絡(luò)46往復(fù)傳送所有業(yè)務(wù)。
在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)中����,源發(fā)自IP VPN外部的DoS攻擊被邊界路由器40a-40b和42a-42b的配置阻止,以便適當(dāng)?shù)乩媒尤刖W(wǎng)絡(luò)38a和38b的兩個(gè)邏輯連接對VPN內(nèi)業(yè)務(wù)給予優(yōu)先權(quán)�����。例如在第一種配置中,給對Diffserv允許的IP VPN網(wǎng)絡(luò)44的L2接入邏輯連接分配比對盡力工作IP公共網(wǎng)絡(luò)46的L2接入邏輯連接更高的優(yōu)先權(quán)�����。支持接入鏈路35的這種優(yōu)先化的L2接入網(wǎng)絡(luò)包括Ethernet(例如是采用Ethernet優(yōu)先權(quán))�����、ATM(例如是采用ATM服務(wù)類別)和各種幀中繼(FR)網(wǎng)絡(luò)方案�����。這些方案都是現(xiàn)有技術(shù)中公知的技術(shù)�。按照這種配置,Diffserv允許的IP VPN網(wǎng)絡(luò)44的各個(gè)邊界路由器40將分組對其與接入網(wǎng)絡(luò)38的邏輯連接的傳輸速率修整(shape)到低于該接入鏈路傳輸速率的一個(gè)值�����,以防止對盡力工作IP公共網(wǎng)絡(luò)46的L2接入邏輯連接的資源缺乏��?���;蛘?���,按照第二種配置��,可以單獨(dú)配置邊界路由器40a-40b和42a-42b��,將以各個(gè)L2接入網(wǎng)絡(luò)邏輯連接為目標(biāo)的業(yè)務(wù)修整到規(guī)定的速率�,使這些速率的總和小于或等于鏈接CPE邊界路由器34和接入網(wǎng)絡(luò)38的物理接入媒介的傳輸容量。無論是以上哪一種配置�����,邊界路由器40和42都根據(jù)分組的DSCP標(biāo)記來執(zhí)行調(diào)度和優(yōu)先化��,并且修整到分配給該IP VPN業(yè)務(wù)的接入網(wǎng)絡(luò)連接的容量���。
正如本領(lǐng)域的技術(shù)人員所知����,選擇哪一種配置來實(shí)施是設(shè)計(jì)選擇中考慮的問題�����,因?yàn)槊總€(gè)配置都各有優(yōu)����、缺點(diǎn)。例如���,按照第一種配置����,網(wǎng)絡(luò)44和46之間在接入網(wǎng)絡(luò)配置上的配合比較容易���。然而�����,如果接入網(wǎng)絡(luò)38僅僅實(shí)施嚴(yán)格的優(yōu)先權(quán)����,則來自Diffserv允許的IP VPN網(wǎng)絡(luò)44的IP VPN業(yè)務(wù)就會造成在IP公共網(wǎng)絡(luò)46上通信的盡力工作業(yè)務(wù)資源缺乏�。第二種配置是通過為每種類型的網(wǎng)絡(luò)接入(即VPN內(nèi)和VPN外)分配一部分接入鏈路容量來解決這一問題。然而���,如果邊界路由器40和42按照第二種配置來修整業(yè)務(wù)���,網(wǎng)絡(luò)44和46之一中的未用的接入容量就不能供另一個(gè)網(wǎng)絡(luò)用來接入�����。也就是說�����,由于修整是在邊界路由器40和42上單獨(dú)進(jìn)行的�,只可能進(jìn)行非任務(wù)守恒(non-work-conserving)的調(diào)度�����。
參見圖5���,圖中表示了可在圖4中所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)使用的一種QoS-知曉的CPE邊緣路由器34的細(xì)節(jié)框圖���。如圖所示,CPE邊緣路由器34包括許多LAN端口60�����,為相應(yīng)的許多客戶LAN32提供連接��。例如在圖5中,LAN端口60a被耦合到一個(gè)客戶LAN32���,客戶LAN32包括各自被分配有32-位IP地址“a.b.c.d.,”����、“a.b.c.e.,”和“a.b.c.f.”的許多主機(jī)48�����。
每個(gè)LAN端口還被耦合到一種轉(zhuǎn)送功能62�,該功能在LAN端口60與駐留在一或多個(gè)廣域網(wǎng)(WAN)物理端口64(圖中僅表示了一個(gè))上的一個(gè)或多個(gè)邏輯端口(LP)66之間轉(zhuǎn)送分組。各自包括一個(gè)層-2子接口的LP 66例如可以被實(shí)現(xiàn)為一個(gè)以太網(wǎng)虛擬LAN(VLAN)��、FR數(shù)據(jù)鏈路連接標(biāo)識器(DLCI)��、ATM虛擬信道連接(VCC)或運(yùn)行在一種時(shí)分多路復(fù)用(TDM)信道上的點(diǎn)對點(diǎn)協(xié)議(PPP)/高級數(shù)據(jù)鏈路控制(HDLC)��。WAN物理端口64采用一個(gè)調(diào)度器68將來自邏輯端口64的分組多路復(fù)用到接入網(wǎng)絡(luò)38的傳輸介質(zhì)上�����,并利用轉(zhuǎn)送功能70將從接入網(wǎng)絡(luò)38接收到的分組轉(zhuǎn)送到各個(gè)邏輯端口���。
若是CPE邊緣路由器34的一個(gè)LAN端口60從一個(gè)客戶LAN32接收分組�����,該分組首先要通過一個(gè)分類器80��,它參照分類表82確定CPE邊緣路由器34應(yīng)該如何處理各個(gè)分組��。如圖5所示��,分類表82可以有許多索引�,包括源地址(SA)和目的地址(DA)、源端口(SP)和目的端口(DP)���、協(xié)議類型(PT)��、DSCP�����、或是來自分組鏈路�����、網(wǎng)絡(luò)或轉(zhuǎn)送層標(biāo)題的其他字段���。根據(jù)一個(gè)分組對這些索引中一個(gè)或多個(gè)的值����,分類表72獲得用來處理該分組的那一CPE邊緣路由器34內(nèi)部的管轄器(policer)(P)����、標(biāo)記器(M)����、目的地LP和目的地LP隊(duì)列(Q)等值。按照本發(fā)明的替換實(shí)施例����,可以用轉(zhuǎn)送功能62代替分類器80執(zhí)行對目的地-LP和目的地LP隊(duì)列入口的查找。
如圖所示����,可以利用一個(gè)前綴或范圍或是空值(用“-”表示)完全規(guī)定或是部分規(guī)定分類表82內(nèi)的表入口值。例如���,利用32-位IP地址完全規(guī)定LAN32的主機(jī)48的SA���,利用識別特定IP網(wǎng)絡(luò)的24-位IP地址前綴規(guī)定若干個(gè)目的地主機(jī)的DA�,而許多索引值和一個(gè)管轄值是空值����。總之��,可以對不同分類的分組信息流規(guī)定相同的管轄器��、標(biāo)記器和/或修整值�����,對于Intserv信息流的這些值是從RSVP RESV消息中提取的���。例如�����,分類表82規(guī)定了管轄器P1和標(biāo)記器M1要處理來自任何標(biāo)記有DSCP“101”的SA的分組和具有標(biāo)記有DSCP“010”的一個(gè)SA“a.b.c.e”的分組���。然而,分類表82是通過為VPN內(nèi)具有DA的業(yè)務(wù)(即VPN內(nèi)業(yè)務(wù))和地址為因特網(wǎng)內(nèi)別處的主機(jī)的業(yè)務(wù)(即VPN外業(yè)務(wù))規(guī)定不同的目的地LP值來區(qū)分具有不同分類的信息流��。因此�����,由于IP地址前綴“r.s.t,”“w.x.y����,”和“l(fā).m.n”全都與網(wǎng)絡(luò)32屬于同一VPN,與這些DA相匹配的業(yè)務(wù)通過LP-166a被傳送到Diffserv允許的IPVPN網(wǎng)絡(luò)44上的同一VPN內(nèi)的其他站點(diǎn)��,而所有其他業(yè)務(wù)通過LP-2 66b被傳送到盡力工作IP公共網(wǎng)絡(luò)46�。
可以通過靜態(tài)配置或通過路由協(xié)議動(dòng)態(tài)地確定分組所要轉(zhuǎn)送到的邏輯端口66和LP隊(duì)列。無論哪種情況���,如果一個(gè)CPE路由器34為同一目的地IP地址安裝有兩種路由,則VPN路由都應(yīng)該比因特網(wǎng)路由優(yōu)先���?�?梢砸远喾N途徑獲得這種優(yōu)先權(quán)�����,包括(1)使用內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)(即OSPF和IS-IS)來安裝VPN路由���,并使用ERGP或靜態(tài)路由來安裝因特網(wǎng)路由�����,或是(2)使用EBGP來安裝VPN路由和因特網(wǎng)路由��,對VPN路由給予較高的本地優(yōu)先權(quán)��。
在分類之后�����,按照分類表82所示用管轄器P0����、P1和標(biāo)記器M0����、M1、M2對分組執(zhí)行適當(dāng)?shù)墓茌牶蜆?biāo)記����,然后按照查詢表的規(guī)定由轉(zhuǎn)送功能62交換到各自的邏輯端口66a或66b。在規(guī)定的邏輯端口66內(nèi)���,將分組引向由分類表82規(guī)定的LP隊(duì)列Q0-Q02���。LP隊(duì)列Q0-Q2根據(jù)有效緩沖容量或門限執(zhí)行準(zhǔn)入控制����,例如隨機(jī)早期檢測(RED)��。調(diào)度器90然后按照選定的調(diào)度算法服務(wù)于LP隊(duì)列Q0-Q2�,例如先進(jìn)先出(FIFO)、優(yōu)先權(quán)��、加權(quán)循環(huán)法(WRR)�����、加權(quán)公平排隊(duì)(WFQ)或按類別排隊(duì)(CBQ)��。例如�,在圖示的實(shí)施例中��,LP-2 66a的調(diào)度器90根據(jù)與各個(gè)LP隊(duì)列i有關(guān)的加權(quán)wi和邏輯端口2的總體WFQ調(diào)度器速率r2實(shí)施WFQ����,從而將業(yè)務(wù)調(diào)整到速率r2。最后����,如上所述�,用物理WAN端口64的調(diào)度器68服務(wù)于各種邏輯端口66����,用以控制對接入網(wǎng)絡(luò)38的傳輸速率。
CPE邊緣路由器34在WAN物理端口64上從接入網(wǎng)絡(luò)38接收分組�,然后按照在將其映射到邏輯端口時(shí)接入網(wǎng)絡(luò)38的配置所示利用轉(zhuǎn)送功能70將分組轉(zhuǎn)送到合適的邏輯端口66a或66b。在各個(gè)邏輯端口66上���,分組通過一個(gè)分類器100���,它通常會采用上面討論的同一個(gè)索引集合內(nèi)的一個(gè)或多個(gè)索引來訪問分類表102。在一個(gè)典型的實(shí)施方案中��,分類器100的查找結(jié)果比分類器80的結(jié)果要簡單�����,因?yàn)椴恍枰l繁地管轄和做標(biāo)記��。因此���,在本實(shí)施例中�,分組被轉(zhuǎn)送功能62從邏輯端口66的分類器100直接轉(zhuǎn)送到根據(jù)分組的DSCP查找的表中指定的LAN端口60a的特定隊(duì)列Q0-Q2。如上所述�����,LAN端口60a的隊(duì)列Q0-Q2是由實(shí)施WFQ并且將分組發(fā)送到客戶LAN32的調(diào)度器102服務(wù)的���。
參見圖6A���,圖中表示例如可以用在圖4的網(wǎng)絡(luò)結(jié)構(gòu)中作為邊界路由器42的沒有VPN功能的一種QoS-知曉的邊界路由器的細(xì)節(jié)框圖。如圖所示�����,圖6A的邊界路由器42包括多個(gè)物理端口116��、由用于輸入分組的轉(zhuǎn)送功能112和用于輸出分組的調(diào)度器114耦合到接入網(wǎng)絡(luò)38的多個(gè)邏輯端口110��、以及在邏輯端口110和物理端口116之間轉(zhuǎn)送分組的轉(zhuǎn)送功能118���。多個(gè)物理端口116的實(shí)施方案允許對網(wǎng)絡(luò)核心路由器的容錯(cuò)連接,而耦合到接入網(wǎng)絡(luò)38的多個(gè)邏輯端口的實(shí)施方案允許用一個(gè)邏輯端口(即LP-1 110a)作為Diffserv-允許的邏輯端口和用一個(gè)第二邏輯端口(即LP-2110b)作為盡力工作邏輯端口的配置����。
這樣�����,對于從接入網(wǎng)絡(luò)38通過邊界路由器42的LP-2 110b到網(wǎng)絡(luò)核心的業(yè)務(wù)通信���,LP-2 110b的分類器124按照分類表126將所有分組引向標(biāo)記器M0。標(biāo)記器M0用DSCP000對在LP-2 110b接收的所有分組重新做標(biāo)記���,從而識別出作為盡力工作業(yè)務(wù)的分組����。反之����,LP-1 110a的分類器120利用分類表122將已經(jīng)在一個(gè)可信CPE(例如是由服務(wù)提供者管理的CPE邊緣路由器34)上接收到DSCP標(biāo)記的那些輸入分組映射到PHY-1 116a上的隊(duì)列Q0-Q2,這些隊(duì)列各自關(guān)聯(lián)到不同的QoS級別��。由于分組已經(jīng)由可信CPE進(jìn)行了多字段分類��、標(biāo)記和修整�����,邊界路由器42不需要對分組重新做標(biāo)記。然而��,如果發(fā)送CPE邊緣路由器不是一個(gè)可信CPE�,邊界路由器42就仍然需要重新標(biāo)記和管轄LP-1 110a上接收的分組。
在分類(以及在LP-2 110b上接收業(yè)務(wù)的情況下的標(biāo)記)之后��,轉(zhuǎn)送功能118將業(yè)務(wù)轉(zhuǎn)送到合適的物理端口116或邏輯端口110���。與圖5中利用分類器執(zhí)行全部轉(zhuǎn)送查找的邊緣路由器34不同�����,邊界路由器42采用另一種設(shè)計(jì)方案���,其中,由轉(zhuǎn)送功能118按分組的DA訪問一個(gè)轉(zhuǎn)送表128����,從而確定輸出端口,在本例中也就是LP-1110a���、LP-2 110b或PHY-1 116a����。對于非VPN路由器的情況����,由通用IP路由協(xié)議(例如是邊界網(wǎng)關(guān)協(xié)議(BGP))或靜態(tài)配置(例如是24位IP地址前綴“d.e.f.”與LP-2110b的關(guān)系)填寫轉(zhuǎn)送表128。另一種實(shí)施方案是可以在轉(zhuǎn)送功能62中集中設(shè)置IP查找轉(zhuǎn)送功能��。圖6所示的實(shí)施例中假設(shè)邊界路由器42為網(wǎng)絡(luò)核心傳送的所有業(yè)務(wù)范圍僅僅是針對耦合到核心路由器的一個(gè)物理端口116�����。在其他實(shí)施例中當(dāng)然有可能在各個(gè)物理端口116上平衡業(yè)務(wù)負(fù)荷����。另外,所述設(shè)計(jì)方案也可以直接擴(kuò)展到省略核心路由器或是對一個(gè)或多個(gè)核心路由器采用一個(gè)或多個(gè)邏輯端口的方案��。
對于通過邊界路由器42發(fā)送到接入網(wǎng)絡(luò)38的業(yè)務(wù)��,分類器132利用分組的DSCP訪問分類表134��,以便按照分組的DSCP所指示的QoS將各個(gè)分組引向隊(duì)列Q0-Q-2中一個(gè)合適的隊(duì)列�。對于購買了Diffserv允許的邏輯端口110的客戶,能夠獲得理想的QoS�����,因?yàn)樵碈PE已經(jīng)用適當(dāng)?shù)腄SCP值管轄和標(biāo)記了信息流。盡管盡力工作客戶能夠接收更高質(zhì)量業(yè)務(wù)�����,預(yù)防這種單向區(qū)別服務(wù)需要明顯增加分類器的復(fù)雜性�,并且包括通過路由協(xié)議向一個(gè)服務(wù)提供者網(wǎng)絡(luò)中的每個(gè)邊緣路由器分配QoS信息。
參見圖6B����,圖中表示一種QoS-知曉的VPN邊界路由器40的細(xì)節(jié)框圖,可供在圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)中提供Diffserv-允許和DoS-保護(hù)的VPN服務(wù)�����。如圖所示��,邊界路由器40包括用來耦合到Diffserv-允許的IP VPN網(wǎng)絡(luò)44的核心路由器的多個(gè)物理端口226����、由用于輸入分組的轉(zhuǎn)送功能220和用于輸出分組的調(diào)度器222耦合到一個(gè)接入網(wǎng)絡(luò)38的多個(gè)Diffserv-允許的邏輯端口224、以及用來在邏輯端口224和物理端口226之間轉(zhuǎn)送分組的一個(gè)轉(zhuǎn)送功能228�����。
邊界路由器40上的各個(gè)Diffserv-允許的邏輯端口224各自被用作多個(gè)VPN中的一個(gè)�。例如��,Diffserv-允許的邏輯端口LP-A 224a被用作屬于VPN A的一個(gè)客戶站點(diǎn)�����,它包括具有24位IP地址前綴“a.b.c.”和“a.b.d.”的客戶站點(diǎn)。同樣�����,Diffserv-允許的邏輯端口LP-B 224b被用作屬于VPN B的一個(gè)客戶站點(diǎn)�,它包括具有24位IP地址前綴“b.c.d”和“b.c.e”的兩個(gè)客戶站點(diǎn)。Diffserv-允許的邏輯端口224不能作為屬于盡力工作IP公共網(wǎng)絡(luò)46的站點(diǎn)��,因?yàn)檫@種業(yè)務(wù)是經(jīng)由邊界路由器42的���,如圖4所示����。
在圖6B中還可以看出����,邊界路由器40中各個(gè)面向核心的物理端口226被邏輯劃分成實(shí)現(xiàn)為邏輯隧道(tunnel)240的多個(gè)子接口。正如本領(lǐng)域的技術(shù)人員所知���,可以利用各種各樣的技術(shù)來實(shí)現(xiàn)隧道�����,包括IP-over-IP隧道��、通用路由包裝(GenericRouting Encapsulation)(GRE)隧道��、按隧道模式工作的IPsec�、一組堆棧的多切議標(biāo)簽交換(MPLS)標(biāo)簽、層2隧道協(xié)議(L2TP)或空值隧道���。這種隧道與邏輯端口的區(qū)別在于多個(gè)VPN的路由信息可以按嵌套方式與一個(gè)隧道相關(guān)聯(lián)�����。例如����,在IETF RFC2547[E.Rosen等人的“BGP/MPLS VPNs”1999年3月]中所述的邊界網(wǎng)關(guān)協(xié)議(BGP)/MPLS VPNs中���,由最高級MPLS標(biāo)簽確定目的地邊界路由器�,而最低級標(biāo)簽確定目的地VPN���。
在操作中�����,各個(gè)Diffserv-允許的邏輯端口224上的分類器230參照各自的分類表232按照分組的DSCP值對從接入網(wǎng)絡(luò)38通過邊界路由器40流向Diffserv允許的IPVPN網(wǎng)絡(luò)44的網(wǎng)絡(luò)核心的分組進(jìn)行分類��。如圖所示�,利用DSCP作為索引來訪問分類表232a和232b�����,為各個(gè)分組確定在物理端口PHY-1 226a上的隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列�。同樣參照分類表254由分類器250對物理端口226所接收的分組進(jìn)行分類,為一個(gè)邏輯端口224上的各個(gè)分組確定隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列���。在分類(并按照LP-B224b所示做可選的(重新)標(biāo)記)之后���,轉(zhuǎn)送功能228參照各自與一個(gè)相應(yīng)的VPN相聯(lián)系的VPN轉(zhuǎn)送表234a-234n在邏輯端口224和物理端口226之間交換分組。這樣��,例如�,VPN轉(zhuǎn)送表234a為VPN A提供轉(zhuǎn)送路由,而VPN轉(zhuǎn)送表234b為VPN B提供轉(zhuǎn)送路由�����。
利用源端口和DA作為索引來訪問VPN轉(zhuǎn)送表234。例如在轉(zhuǎn)送表34a所表示的一例網(wǎng)絡(luò)配置中�����,用具有24位IP地址前綴“a.b.d.”的DA尋址的VPN A內(nèi)的業(yè)務(wù)途經(jīng)TNL-1 240a���,并且在TNL-1 240b接收的業(yè)務(wù)被引向LP-A 224a�。在VPN路由表234b中�,可以看到在TNL-2 240b和LP-B 224b之間具有相同的路由。如上所述����,可以用靜態(tài)配置或是利用路由協(xié)議動(dòng)態(tài)地填寫VPN轉(zhuǎn)送表234。
在轉(zhuǎn)送功能178的處理之后���,各個(gè)分組按照其DSCP值被指向輸出端口隊(duì)列�。例如�,標(biāo)記有與DSCP101有關(guān)的QoS類別的分組被安置在Q2,標(biāo)有與DSCP 010有關(guān)的QoS類別的分組被安置在Q1�,而標(biāo)有DSCP 000的業(yè)務(wù)被安置在Q0。然后由調(diào)度器236和252調(diào)度從隊(duì)列Q0-Q2的分組的輸出而實(shí)現(xiàn)要求的QoS。
參見圖7�,圖中所示的一例網(wǎng)絡(luò)結(jié)構(gòu)150所提供的基于網(wǎng)絡(luò)的VPN能夠解決DoS攻擊問題。在圖7中采用相同的標(biāo)號和業(yè)務(wù)符號來識別與圖4中所示網(wǎng)絡(luò)結(jié)構(gòu)30的特征相對應(yīng)的特征�����。
圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)150和圖4的網(wǎng)絡(luò)結(jié)構(gòu)30一樣包括一個(gè)Diffserv-允許的IPVPN網(wǎng)絡(luò)44����、一個(gè)盡力工作IP公共網(wǎng)絡(luò)46以及多個(gè)客戶局域網(wǎng)(LAN)32。如上所述��,客戶LAN 32a和32b屬于同一VPN���,且各自包括一個(gè)或多個(gè)可以作為分組的發(fā)射機(jī)和/或接收機(jī)的主機(jī)48。各個(gè)客戶LAN32由一個(gè)CPE邊緣路由器34和一個(gè)物理接入鏈路153耦合到各自的接入網(wǎng)絡(luò)(例如是L2或L3接入網(wǎng)絡(luò))154��。與圖4中對QoS和盡力工作業(yè)務(wù)具有單獨(dú)的邏輯連接的接入網(wǎng)絡(luò)38不同��,接入網(wǎng)絡(luò)154僅僅耦合到Diffserv-允許的IP VPN網(wǎng)絡(luò)44的邊界路由器156��,這種網(wǎng)絡(luò)對盡力工作IP公共網(wǎng)絡(luò)46的邊界路由器42具有單獨(dú)的邏輯連接����。因此,面向網(wǎng)絡(luò)44的VPN內(nèi)業(yè)務(wù)和面向網(wǎng)絡(luò)46的VPN外業(yè)務(wù)都會通過邊界路由器156進(jìn)行路由選擇,這樣就能有利于在兩類業(yè)務(wù)之間保證任務(wù)守恒的調(diào)度����。然而,其結(jié)果是����,邊界路由器156的復(fù)雜性會增大,因?yàn)楦鱾€(gè)邊界路由器156必須為各個(gè)連接的客戶提供單獨(dú)的轉(zhuǎn)送表以及客戶之間可以共享的一個(gè)全面的因特網(wǎng)轉(zhuǎn)送表�。
參見圖8,圖中表示一個(gè)QoS-知曉的VPN邊界路由器的細(xì)節(jié)框圖�,其中管轄器、修整器����、調(diào)度器、邏輯端口接入網(wǎng)絡(luò)連接以及轉(zhuǎn)送表被配置為在圖7所示的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供Diffserv-允許的和DoS-保護(hù)的VPN服務(wù)���。如圖所示����,邊界路由器156包括耦合到網(wǎng)絡(luò)核心路由器的多個(gè)物理端口176����、由用于輸入分組的轉(zhuǎn)送功能170和用于輸出分組的調(diào)度器172耦合到接入網(wǎng)絡(luò)154的多個(gè)Diffserv-允許的邏輯端口174以及在邏輯端口174和物理端口176之間轉(zhuǎn)送分組的轉(zhuǎn)送功能178��。
由于各個(gè)CPE邊緣路由器34僅僅經(jīng)由一單個(gè)接入鏈路通過接入網(wǎng)絡(luò)154耦合到一個(gè)邊界路由器156�,所以各個(gè)網(wǎng)絡(luò)客戶站點(diǎn)在邊界路由器156上接受一對Diffserv-允許的邏輯端口174的服務(wù)�����,一個(gè)用于VPN內(nèi)業(yè)務(wù)����,一個(gè)用于VPN外業(yè)務(wù)。例如����,Diffserv-允許的邏輯端口LP-A1 174a和LP-A2 174服務(wù)于屬于VPN A的單個(gè)客戶站點(diǎn),VPN A包括具有24-位IP地址前綴“a.b.c”和“a.b.d”的至少兩個(gè)客戶站點(diǎn)��。在圖示的實(shí)施例中����,LP-A1 174a為跨越Diffserv-允許的IP VPN網(wǎng)絡(luò)44與屬于VPN A的站點(diǎn)相互通信的QoS業(yè)務(wù)提供接入�,而LP-A2 174b為與盡力工作IP公共網(wǎng)絡(luò)46來往的盡力工作業(yè)務(wù)提供接入。
如圖8進(jìn)一步所示�,邊界路由器156中各個(gè)面向核心的物理端口176被邏輯劃分成實(shí)現(xiàn)為邏輯隧道180的多個(gè)子接口。正如本領(lǐng)域的技術(shù)人員所知��,可以采用各種各樣的技術(shù)來實(shí)現(xiàn)隧道,包括IP-over-IP隧道��,通用路由包裝(GRE)隧道��、按隧道模式工作的IPsec���、一組堆棧的多協(xié)議標(biāo)簽交換(MPLS)標(biāo)簽或空值隧道��。這種隧道與邏輯端口的區(qū)別在于多個(gè)VPN的路由信息可以按嵌套方式與一個(gè)隧道相關(guān)聯(lián)����。例如��,在IETF RFC 2547中所述的邊界網(wǎng)關(guān)協(xié)議(BGP)/MPLS VPNs中�����,由最高級MPLS標(biāo)簽確定目的地邊界路由器����,而最低級標(biāo)簽確定目的地VPN。
在操作中�,各個(gè)Diffserv-允許的邏輯端口174上的分類器182參照各自的分類表190按照分組的DSCP值對從接入網(wǎng)絡(luò)154通過邊界路由器156流向網(wǎng)絡(luò)核心的分組進(jìn)行分類。如圖所示�,利用DSCP作為索引來訪問分類表190a和190b����,為各個(gè)分組確定在物理端口PHY-1 176a上的隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列����。同樣參照分類表192由分類器198對物理端口176所接收的分組進(jìn)行分類,為一個(gè)邏輯端口174上的各個(gè)分組確定隊(duì)列Q0-Q2中的一個(gè)適當(dāng)?shù)年?duì)列�。在分類(并如在LP-A2 174b所示進(jìn)行了可選的(重新)標(biāo)記)之后,轉(zhuǎn)送功能178參照各自與一個(gè)相應(yīng)的VPN和共享的因特網(wǎng)轉(zhuǎn)送表195相聯(lián)系的VPN轉(zhuǎn)送表194a-194n在邏輯端口174和物理端口176之間交換分組�。例如,轉(zhuǎn)送表194a包含為VPN A提供轉(zhuǎn)送路由的入口����,而因特網(wǎng)轉(zhuǎn)送表195包含為規(guī)定以LP-A2或TNL-2(即,為因特網(wǎng)接入配置的邏輯接口)作為來源的分組提供轉(zhuǎn)送路由的入口��。
利用源端口和DA作為索引訪問轉(zhuǎn)送表194�。例如,在用轉(zhuǎn)送表194A代表的例示網(wǎng)絡(luò)配置中����,以具有24位IP地址前綴“a.b.d”的DA尋址的VPN內(nèi)業(yè)務(wù)途經(jīng)INL-1180a,而VPN外(即因特網(wǎng))業(yè)務(wù)途經(jīng)TNL-2 180b(它可以是空值隧道)��。轉(zhuǎn)送表194a進(jìn)一步指示將通過TNL-1 180a接收的VPN內(nèi)業(yè)務(wù)引向LP-A1 174a��,而通過隧道TNL-2 180b從因特網(wǎng)到達(dá)的以具有24位IP地址前綴“a.b.c”的DA尋址的所有其它業(yè)務(wù)被傳送到LP-A2 174b�����。以邊界路由器156上的其它端口為目的地的業(yè)務(wù)(即具有本地DA的業(yè)務(wù))被傳送到邊界路由器156的其它端口(如LP-x所示)����。換句話說,轉(zhuǎn)送表194a中標(biāo)記有“本地”的入口規(guī)定了不同于分配給被分配給邊界路由器156上的接口的VPN的那些地址前綴(例如a.b.c/24)�����。
在轉(zhuǎn)送功能178的處理之后�����,分組被各自引向?qū)?yīng)其DSCP值的輸出端口隊(duì)列���。例如�,標(biāo)記有與DSCP 101有關(guān)的QoS類別的分組被安置在Q2��,標(biāo)記有與DSCP010有關(guān)的QoS類別的分組被安置在Q1����,而標(biāo)記有DSCP000的盡力工作業(yè)務(wù)被安置在Q0��。然后由調(diào)度器196從隊(duì)列Q0-Q2中調(diào)度輸出的分組���,以實(shí)現(xiàn)要求的QoS。
如上所述����,本發(fā)明提供了一種改進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu),用于為VPN內(nèi)業(yè)務(wù)提供QoS��,并保護(hù)這種信息流不受從VPN外部的源始發(fā)的DoS攻擊�����。本發(fā)明采用基于網(wǎng)絡(luò)的VPN服務(wù)和一種盡力工作因特網(wǎng)服務(wù)為選定的信息流提供DoS保護(hù)的QoS��,用具有適當(dāng)配置的路由協(xié)議的L2接入網(wǎng)絡(luò)將盡力工作因特網(wǎng)服務(wù)耦合到一個(gè)CPE邊緣路由器��。處在邊緣并且由基于網(wǎng)絡(luò)的VPN核心來處理的Diffserv標(biāo)記為選定的信息流提供QoS���,同時(shí)在邏輯上劃分VPN內(nèi)業(yè)務(wù)和VPN外業(yè)務(wù)�,以防因源發(fā)自客戶的VPN外部的業(yè)務(wù)超過了站點(diǎn)的接入容量對一個(gè)VPN網(wǎng)絡(luò)客戶站點(diǎn)形成DoS�����。若是按照IETF RFC 2998[Y.Bemet等人的“A Framework for Integrated ServicesOperation over Diffserv Networks”2000年11月]所述采用在CPE邊緣路由器和/或QoS-知曉的邊界路由器上實(shí)施的Intserv管轄控制��,還能進(jìn)一步保護(hù)源發(fā)自客戶的VPN內(nèi)部的業(yè)務(wù)��。
在基于CPE和基于網(wǎng)絡(luò)的實(shí)施方案中可以實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)����。基于CPE的方案便于配置成鏈接CPE邊緣路由器和服務(wù)提供者邊界路由器的接入網(wǎng)絡(luò)�����,并且便于實(shí)現(xiàn)提供給VPN站點(diǎn)的QoS����,而無需在整個(gè)服務(wù)提供者網(wǎng)絡(luò)中實(shí)施Diffserv?���;诰W(wǎng)絡(luò)的結(jié)構(gòu)能有效地提供允許VPN外業(yè)務(wù)利用分配給VPN內(nèi)業(yè)務(wù)的額外的接入容量的任務(wù)守恒的調(diào)度。
盡管以上討論了本發(fā)明的各種實(shí)施例�,應(yīng)該能夠理解它們僅僅是用來舉例而并非限制。因此���,本發(fā)明的范圍應(yīng)該不僅限于上述的實(shí)施例���,而是應(yīng)該僅僅受下面的權(quán)利要求書及其等效物的限制���。例如,盡管本發(fā)明是參照其最佳實(shí)施例來描述的����,在其中是在一個(gè)Diffserv網(wǎng)絡(luò)內(nèi)部實(shí)施基于網(wǎng)絡(luò)的VPN,還應(yīng)該能夠理解�����,本發(fā)明不僅限于采用Diffserv網(wǎng)絡(luò)�,還可以換成其他基于網(wǎng)絡(luò)的VPN,按照RFC2547中的指導(dǎo)���,它可以利用BGP/MPLS來實(shí)施����,或是按照RFC2917[K.Muthukrishnan等人的“A Core MPLS IP VPN Architecture”2000年9月]中的指導(dǎo)��,利用虛擬路由器來實(shí)施�����。另外,盡管在圖3�、4和7中表示了從各個(gè)CPE邊緣路由器利用一個(gè)接入鏈路到一個(gè)VPN網(wǎng)絡(luò)和一個(gè)盡力工作網(wǎng)絡(luò)的連接,應(yīng)該容易理解����,為了冗余��,可以用多個(gè)接入鏈路將CPE邊緣路由器耦合到一個(gè)或多個(gè)接入網(wǎng)絡(luò)����,為各個(gè)VPN的一個(gè)或多個(gè)邊界路由器和盡力工作網(wǎng)絡(luò)提供邏輯連接。在這種“雙重引導(dǎo)”方案中���,通過在服務(wù)提供者邊界路由器中安裝靜態(tài)路由���,或是利用路由協(xié)議(例如是EBGP)來動(dòng)態(tài)配置服務(wù)提供者邊界路由器,無論是在主要/備用還是負(fù)荷均分結(jié)構(gòu)中都能實(shí)現(xiàn)多接入鏈路�。這樣做要求CPE邊緣路由器實(shí)現(xiàn)對VPN和因特網(wǎng)接入地址空間的多個(gè)轉(zhuǎn)送表和路由協(xié)議的單獨(dú)的范例。這種CPE邊緣路由器的實(shí)施類似于圖8和有關(guān)的章節(jié)中所述的方案�,對因特網(wǎng)路由僅采用一單個(gè)VPN表和一單個(gè)表。
權(quán)利要求
1.一種網(wǎng)絡(luò)系統(tǒng)����,抵抗在對屬于一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的目的地主機(jī)的接入鏈路上的拒絕服務(wù)攻擊�����,所述網(wǎng)絡(luò)系統(tǒng)包括一個(gè)或多個(gè)出口邊界路由器����,具有對包括接入鏈路的一個(gè)接入網(wǎng)絡(luò)的連接���,其中����,所述一個(gè)或多個(gè)出口邊界路由器在用于VPN內(nèi)和VPN外業(yè)務(wù)的分離的接入網(wǎng)絡(luò)邏輯連接內(nèi)發(fā)送來自VPN內(nèi)部的源的VPN內(nèi)業(yè)務(wù)和來自VPN外部的源的VPN外業(yè)務(wù)�;以及多個(gè)入口邊界路由器,耦合到一個(gè)或多個(gè)出口邊界路由器�,用于利用一種在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)的基于網(wǎng)絡(luò)的VPN協(xié)議來通信,使得能夠預(yù)防從VPN外部的源始發(fā)的所述接入鏈路上的拒絕服務(wù)攻擊����。
2.按照權(quán)利要求1的網(wǎng)絡(luò)系統(tǒng),進(jìn)一步包括耦合多個(gè)入口邊界路由器中的至少一個(gè)入口邊界路由器和一個(gè)或多個(gè)出口邊界路由器中的至少一個(gè)出口邊界路由器的區(qū)別服務(wù)網(wǎng)絡(luò)����。
3.按照權(quán)利要求1的網(wǎng)絡(luò)系統(tǒng)���,進(jìn)一步包括多個(gè)客戶前提設(shè)備(CPE)邊緣路由器,每個(gè)客戶前提設(shè)備(CPE)邊緣路由器耦合到所述多個(gè)入口邊界路由器中的對應(yīng)一個(gè)入口邊界路由器�。
4.按照權(quán)利要求1的網(wǎng)絡(luò)系統(tǒng),進(jìn)一步包括接入網(wǎng)絡(luò)�。
5.按照權(quán)利要求4的網(wǎng)絡(luò)系統(tǒng),進(jìn)一步包括一個(gè)對接入鏈路的客戶前提設(shè)備(CPE)邊緣路由器��。
6.按照權(quán)利要求5的網(wǎng)絡(luò)系統(tǒng)�����,所述CPE邊緣路由器具有耦合到所述接入鏈路的一個(gè)物理端口�����,所述物理端口為VPN內(nèi)業(yè)務(wù)實(shí)現(xiàn)第一邏輯端口�,并為VPN外業(yè)務(wù)實(shí)現(xiàn)第二邏輯端口�。
7.按照權(quán)利要求1的網(wǎng)絡(luò)系統(tǒng),所述多個(gè)入口邊界路由器之中的至少一個(gè)入口邊界路由器實(shí)現(xiàn)在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)的多個(gè)隧道�。
8.按照權(quán)利要求1的網(wǎng)絡(luò)系統(tǒng),所述一個(gè)或多個(gè)出口邊界路由器為所述VPN內(nèi)業(yè)務(wù)提供多種不同的服務(wù)質(zhì)量����。
9.一種網(wǎng)絡(luò)系統(tǒng)��,包括一個(gè)接入網(wǎng)絡(luò)�����,具有對屬于一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的一個(gè)目的地主機(jī)的接入鏈路����,其中�,所述接入鏈路支持用于來自VPN內(nèi)部的源的VPN內(nèi)業(yè)務(wù)的第一邏輯連接和用于來自VPN外部的源的VPN外業(yè)務(wù)的第二邏輯連接;一個(gè)或多個(gè)出口邊界路由器���,具有對接入網(wǎng)絡(luò)的連接�����,其中����,所述一個(gè)或多個(gè)出口邊界路由器通過第一邏輯連接向目的地主機(jī)發(fā)送VPN內(nèi)業(yè)務(wù)�,并通過第二邏輯連接向目的地主機(jī)發(fā)送VPN外業(yè)務(wù);以及多個(gè)入口邊界路由器�,耦合到一個(gè)或多個(gè)出口邊界路由器,用于利用一種在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)的基于網(wǎng)絡(luò)的VPN協(xié)議來通信��,使得能夠預(yù)防從VPN外部的源始發(fā)的所述接入鏈路上的拒絕服務(wù)攻擊。
10.按照權(quán)利要求9的網(wǎng)絡(luò)系統(tǒng)���,進(jìn)一步包括耦合多個(gè)入口邊界路由器之中的至少一個(gè)入口邊界路由器和一個(gè)或多個(gè)出口邊界路由器之中至少一個(gè)出口邊界路由器的區(qū)別服務(wù)網(wǎng)絡(luò)��。
11.按照權(quán)利要求9的網(wǎng)絡(luò)系統(tǒng)�,進(jìn)一步包括多個(gè)客戶前提設(shè)備(CPE)邊緣路由器�,每個(gè)客戶前提設(shè)備(CPE)邊緣路由器耦合到所述多個(gè)入口邊界路由器之中的對應(yīng)一個(gè)入口邊界路由器。
12.按照權(quán)利要求9的網(wǎng)絡(luò)系統(tǒng)�����,進(jìn)一步包括一個(gè)對接入鏈路的客戶前提設(shè)備(CPE)邊緣路由器�。
13.按照權(quán)利要求12的網(wǎng)絡(luò)系統(tǒng),所述CPE邊緣路由器具有耦合到所述接入鏈路的一個(gè)物理端口�,所述物理端口為VPN內(nèi)業(yè)務(wù)實(shí)現(xiàn)第一邏輯端口����,并為VPN外業(yè)務(wù)實(shí)現(xiàn)第二邏輯端口。
14.按照權(quán)利要求9的網(wǎng)絡(luò)系統(tǒng)����,其中,所述多個(gè)入口邊界路由器之中的至少一個(gè)入口邊界路由器實(shí)現(xiàn)在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)的多個(gè)隧道�。
15.按照權(quán)利要求9的網(wǎng)絡(luò)系統(tǒng)�����,其中��,所述一個(gè)或多個(gè)出口邊界路由器為所述VPN內(nèi)業(yè)務(wù)提供多種不同的服務(wù)質(zhì)量�����。
16.一種保護(hù)對屬于一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的目的地主機(jī)的接入鏈路不受拒絕服務(wù)攻擊的方法����,所述方法包括在包括接入鏈路的一個(gè)接入網(wǎng)絡(luò)中���,為來自VPN內(nèi)部的源的VPN內(nèi)業(yè)務(wù)提供第一邏輯連接����,并為來自VPN外部的源的VPN外業(yè)務(wù)提供第二邏輯連接����;從多個(gè)入口邊界路由器到一個(gè)或多個(gè)出口邊界路由器傳送以所述目的地主機(jī)為目的地的VPN內(nèi)和VPN外業(yè)務(wù),其中��,利用一個(gè)在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)的基于網(wǎng)絡(luò)的VPN協(xié)議來發(fā)送所述VPN內(nèi)業(yè)務(wù)和所述VPN外業(yè)務(wù)�;通過第一邏輯連接從所述一個(gè)或多個(gè)出口邊界路由器向目的地主機(jī)發(fā)送VPN內(nèi)業(yè)務(wù)�,并通過第二邏輯連接從所述一個(gè)或多個(gè)出口邊界路由器向目的地主機(jī)發(fā)送VPN外業(yè)務(wù)�����,使礙能夠預(yù)防從VPN外部的源始發(fā)的所述接入鏈路上的拒絕服務(wù)攻擊�。
17.按照權(quán)利要求16的方法,其中��,所述傳送包括利用區(qū)別服務(wù)協(xié)議來傳送����。
18.按照權(quán)利要求16的方法,其中����,一個(gè)客戶前提設(shè)備(CPE)邊緣路由器被耦合在所述接入網(wǎng)絡(luò)與所述目的地主機(jī)之間,所述方法進(jìn)一步包括在耦合到接入鏈路的CPE邊緣路由器的物理端口上提供第一和第二邏輯端口���;以及在第一邏輯端口上接收VPN內(nèi)業(yè)務(wù),并在第二邏輯端口上接收VPN外業(yè)務(wù)��。
19.按照權(quán)利要求16的方法����,進(jìn)一步包括由多個(gè)入口邊界路由器之中的至少一個(gè)入口邊界路由器利用多個(gè)隧道在邏輯上劃分VPN內(nèi)和VPN外業(yè)務(wù)�。
20.按照權(quán)利要求16的方法����,進(jìn)一步包括由所述一個(gè)或多個(gè)出口邊界路由器為所述VPN內(nèi)業(yè)務(wù)提供多種不同的服務(wù)質(zhì)量。
全文摘要
按照本發(fā)明的網(wǎng)絡(luò)結(jié)構(gòu)(30)包括支持一個(gè)或多個(gè)基于網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)(VPN)(44���,46)的通信網(wǎng)絡(luò)�����。通信網(wǎng)絡(luò)包括利用接入鏈路(35)連接到屬于一個(gè)或多個(gè)VPN(44��,46)的CPE邊緣路由器(34)的多個(gè)邊界路由器(40�,42)�����。為了防止來自客戶的VPN以外的業(yè)務(wù)(例如����,大部分來自其它VPN或因特網(wǎng)的業(yè)務(wù))損害到提供給來自客戶的VPN內(nèi)部的業(yè)務(wù)的QoS(服務(wù)質(zhì)量),本發(fā)明通過接入鏈路優(yōu)先化或接入鏈路容量分配在每個(gè)客戶的接入鏈路上給予VPN內(nèi)業(yè)務(wù)比VPN外業(yè)務(wù)更高的優(yōu)先權(quán)�,使得VPN外業(yè)務(wù)不能干擾VPN內(nèi)業(yè)務(wù)。按這種方式給予VPN內(nèi)業(yè)務(wù)優(yōu)于VPN外業(yè)務(wù)的優(yōu)先權(quán)要求網(wǎng)絡(luò)元件和協(xié)議的專門配置,包括采用層2多路復(fù)用在物理接入鏈路上在VPN內(nèi)業(yè)務(wù)和VPN外業(yè)務(wù)之間的劃分以及路由選擇協(xié)議的配置��,以實(shí)現(xiàn)邏輯業(yè)務(wù)分隔���。通過以這種方式配置接入網(wǎng)絡(luò)����、VPN邊界路由器(40�����,42)和CPE邊緣路由器(34)以及邊緣和邊界路由器的路由協(xié)議�,能提供預(yù)防DoS(拒絕服務(wù))攻擊的高級服務(wù)。
文檔編號H04L29/06GK1498368SQ02806820
公開日2004年5月19日 申請日期2002年3月20日 優(yōu)先權(quán)日2001年3月20日
發(fā)明者D·E·麥克戴桑, D E 麥克戴桑 申請人:全球通訊公司