CN1547710A - 分布式网络接入系统的消息、控制和报告接口 - Google Patents
分布式网络接入系统的消息、控制和报告接口 Download PDFInfo
- Publication number
- CN1547710A CN1547710A CNA018222749A CN01822274A CN1547710A CN 1547710 A CN1547710 A CN 1547710A CN A018222749 A CNA018222749 A CN A018222749A CN 01822274 A CN01822274 A CN 01822274A CN 1547710 A CN1547710 A CN 1547710A
- Authority
- CN
- China
- Prior art keywords
- message
- access device
- ppu
- pad
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/165—Combined use of TCP and UDP protocols; selection criteria therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
一种网络接入系统包括外部处理器和可编程接入装置(PAD)(40a,40b)。所述外部处理器(42)向PAD(40a,40b)发送控制消息以建立PAD的配置。然后PAD根据配置向外部处理器(42)传递消息以进行业务处理。为了限制从PAD到外部处理器的网络消息传递,PAD可发送设置PAD中消息接口标志的消息。外部处理器也可向PAD发送监测器控制消息以建立PAD中监测器的配置。然后,PAD响应监测器的配置,把报告消息传递给外部处理器。
Description
发明背景
1.技术领域
一般来说,本发明涉及通信网络,具体地说,涉及以IP为中心的通信网络。更具体地说,本发明涉及基于IP的通信网络,其中包括具有分布式且独立的路由、信令、业务控制、过滤、策略控制以及IP转发中的其它功能的网络接入系统。
2.相关技术说明
因特网可大致定义为均采用TCP/IP(传输控制协议/因特网协议)系列协议在源和一个或多个目标之间传递数据包的多种通信网络及相关网关、桥接器、路由器的全球性集合。本领域的技术人员非常清楚,TCP/IP系列协议对应于七层国际标准化组织开放系统互连(ISO/OSI)参考模型的第3层和第4层(分别为网络层和传输层),它为讨论通信协议提供了一个便捷框架。ISO/OSI参考模型还包括网络层和传输层之下的物理层和链路层(分别为第1层和第2层)以及网络层和传输层之上的会话层、表示层和应用层(分别为第5至7层)。
图1A说明一种因特网服务提供商(ISP)网络10的城区级视图,用户可通过这个网络接入因特网。从左侧开始,许多用户局域网(LAN)14经各种城域接入网16与ISP网络10连接,城域接入网采用多种网络技术中的任一种;例如,时分复用(TDM)、异步转移模式(ATM)以及以太网。此外,与较大城区中的通常情况一样,在城域接入网16中存在多级分层结构,其中多个环路将各用户连接到汇聚站,并且多个最低级汇聚站馈入高级汇聚站。在城区中,通常可能只有少数汇聚站中设置了汇聚路由器12。图1A仅示出一个此类汇聚站17。来自用户LAN14的所有业务量经这些汇聚网络送回这个汇聚站17,其中汇聚路由器12应用策略驱动处理如管制、标记以及许可控制。然后,汇聚路由器将业务量按路由发送到另一个用户LAN 14或者按路由发送到核心路由器18以便通过核心20传送到更远的目标。
路由器设计的技术发展现状在很大程度上支配着图1A所示的网络设计,因为路由器价格高并且必须对高度汇聚的业务流进行操作。设计这类网络时主要考虑的是将路由器的数量减到最少,使得路由协议有效地缩放。这意味着大量功能被集中在这些路由器中:路由选择、策略数据库存储以及策略执行。
在现有技术中,路由器体系结构一般是单片的和专有的。因此,服务提供商除基本数据包路由选择之外可提供的数据业务范围受到路由器厂商所提供的控制软件的限制。另外,路由器的数据包处理吞吐量一般受到其最初安装的处理硬件的限制,而且若不更换整个路由器就无法扩展。传统路由器的单片且专有的设计存在许多本发明所针对的问题。
首先,因为路由器在传统上具有为所有消息类型提供所有业务的单控制器,边缘路由器控制器往往相当复杂,使得增加新业务或修改现有业务比较困难并且费用高。因此,基于新路由器的业务的上市时间被延长,并且通常取决于对服务提供商要求在其专有路由器体系结构中实现新业务作出响应的厂商。
其次,传统的单片路由器体系结构不便于调整,这给服务提供商提出一个显著问题,尤其是在因特网业务量显著增长方面。因此,所设置的路由器的处理能力不容易调整以跟上不断增长的业务量。相反,服务提供商必须购买另外的路由器或者更换路由器来满足增长的业务量的需求。
第三,传统的单片路由器设计还限制了灵活性和可扩展性。例如,本发明认识到,由于因特网业务量的迅速增长,需要动态提供、配置和/或重新分配对基于IP的业务的接入容量。由于接入容量必然是有限的,而且提供额外的接入容量是网络的主要成本组成,智能许可控制策略的实施以及不同业务质量的提供对于有效利用可用的接入容量是至关重要的。然而,传统的边缘路由器无法在实施策略控制的同时对各种各样的业务类型进行分类,或者无法响应对容量的动态请求,而且这种功能难以结合到当前设置的单片边缘路由器中。因此,本发明认识到,需要在商业化硬件中提供上述以及附加的策略控制、网络监视、诊断以及安全业务,同时允许对这些业务进行定制以满足各个用户和服务提供商的需求。
第四,由于路由器体系结构和业务的专有特性,如果服务提供商在一个通信网络中设置来自多个厂商的路由器,则不同路由器厂商所实现的专有业务不一定互通。因此,服务提供商不能向一个厂商购买路由器和交换机,却向另一个厂商购买业务控制软件。此外,服务提供商无法提供其通信网络作为平台,供批发商采用现有基本网络功能来提供增值数据业务。
对于现有技术中的上述及其它缺陷,本发明认识到,需要引入新的网络接入体系结构,它针对并克服了传统单片路由器体系结构的局限性。
发明概述
本发明引入一种分布式网络接入系统体系结构,其中至少包括外部处理器和可编程接入装置。在最佳实施例中,网络接入系统还包括连接可编程接入装置的接入路由器。
根据本发明,外部处理器向可编程接入装置发送控制消息,以便建立可编程接入装置的配置。可编程接入装置则根据配置将消息传递给外部处理器以进行业务处理。例如,控制消息可以是建立可编程接入装置中的包头过滤器的配置的过滤器控制消息。包头过滤器则根据控制消息所建立的配置传递从数据包流中过滤得到的网络消息。为了限制从可编程接入装置到外部处理器的网络消息的传递,可编程接入装置可发送设置可编程接入装置中的消息接口标志的消息。外部处理器还可向可编程接入装置发送监测器控制消息,以便建立可编程接入装置中的监测器的配置。然后,可编程接入装置响应监测器的配置而把报告消息传递给外部处理器。
这样,根据本发明,传统的单片专有边缘路由器由分布式网络接入系统来代替,该系统把传统边缘路由器的功能(以及附加功能)分配在三个逻辑模块之中:可编程接入装置、外部处理器以及接入路由器。根据本发明的一个最佳实施例,在接入网络的输入和输出端口之间数据包的基本路由选择由接入路由器来执行。但诸如标记、管制、监视、整形和过滤之类的转发和一般业务量调节功能在可编程接入装置中实现,而诸如消息解释、信令、许可控制以及策略调用之类的业务功能则在外部处理器中实现。如以下详细说明所述,这种功能分布产生众多优点,包括改善的可缩放性、灵活性、可扩展性、互通性、安全性以及业务提供能力。
通过以下的详细说明,本发明的其它目的、特征以及优点将会十分明显。
附图简介
本发明的被认为是新颖特点的特征将在所附权利要求中阐述。但是,通过结合附图阅读以下对说明性实施例的详细描述,会更好地理解本发明本身以及使用的最佳模式、其它目的和优点,图中:
图1A是现有技术的因特网服务提供商网络的城域视图,其中包含汇聚与核心路由器;
图1B是根据本发明的因特网服务提供商网络的城域视图;
图2说明根据本发明的通信网络的说明性实施例;
图3是根据本发明的可编程接入装置(PAD)的一个示范实施例的更详细框图;
图4是根据本发明的外部处理器的一个示范实施例的更详细框图;
图5A说明因主业务控制器出故障而切换到辅助业务控制器的过程中可编程接入装置和外部处理器之间的示范信令;
图5B说明主业务控制器恢复之后、从辅助业务控制器切换到主业务控制器的过程中可编程接入装置和外部处理器之间的示范信令;
图6说明根据本发明的网络接入系统中的示范信令,用以利用资源预留协议(RSVP)来支持业务预订;
图7A是状态机示意图,说明TCP会话过程中示范可编程接入装置的操作;
图7B是示意图,说明在TCP状态存储器全满条件下示范可编程接入装置及其相关业务控制器的操作;
图7C说明在TCP会话建立过程中根据本发明的网络接入系统中的示范信令;
图7D说明在TCP会话断开连接过程中根据本发明的网络接入系统中的示范信令;
图7E说明响应TCP会话的授权请求、根据本发明的网络接入系统中的示范信令;
图7F说明在TCP会话超时后根据本发明的网络接入系统中的示范信令;
图7G说明在TCP会话突然关闭时根据本发明的网络接入系统中的示范信令;
图8A说明在根据本发明的网络接入系统中、建立具有增强的业务质量(QoS)通路的UDP(用户数据报协议)会话的示范信令;
图8B说明在UDP会话中的数据包接收到尽力发送型传送而不是增强QoS的情况下、根据本发明的网络接入系统中的示范信令;
图8C说明根据本发明的网络接入系统中断开已经超时的UDP会话的示范信令;
图9A说明在会话初始协议(SIP)呼叫建立过程中根据本发明的网络接入系统中的示范信令;
图9B说明在SIP呼叫终止期间根据本发明的网络接入系统中的示范信令;
图9C说明根据本发明的网络接入系统中、在由网络进行超时检测之后结束SIP呼叫的示范信令;
图9D说明根据本发明的网络接入系统中、在由可编程接入装置进行超时检测之后结束SIP呼叫的示范信令;
图9E说明在SIP呼叫协商过程中根据本发明的网络接入系统中的示范信令;
图10A说明根据本发明的网络接入系统中对多播组的登记进行授权的示范信令;
图10B说明响应未经授权的登记多播组的尝试时、根据本发明的网络接入系统中的示范信令;
图10C说明响应授权的多播组成员查询时、根据本发明的网络接入系统中的示范信令;
图10D说明响应未经授权的多播组成员查询时、根据本发明的网络接入系统中的示范信令;
图10E说明响应从网络外部接收授权的多播数据包时、根据本发明的网络接入系统中的示范信令;
图10F说明响应从网络外部接收未经授权的多播数据包时、根据本发明的网络接入系统中的示范信令;
图10G说明响应从网络接收授权的多播数据包时、根据本发明的网络接入系统中的示范信令;以及
图10H说明根据本发明的网络接入系统中处理从网络接收的未经授权的多播数据包的示范信令。
最佳实施例的详细说明
分布式网络接入系统体系结构
再参照附图,具体参照图2说明根据本发明、具有分布式网络接入系统31的通信网络30的一部分的高级框图。如图所示,通信网络30可通过接入线路34连接到多个用户的设备(其中之一由用户路由器32表示)。在图1中,接入线路34可采用诸如以太网、SONET、ATM以及帧中继之类的多种常用传输网络技术中的任一种技术,并且还可包括未示出的汇聚硬件。
如同传统网络一样,通信网络30包括连接一个或多个核心路由器36的一个或多个核心通信链路38(例如中继线)。但是,与如图1所示的传统通信网络不同的是,用户路由器32没有经单片专有边缘路由器与通信网络30连接。而是用户设备、如用户路由器32经过在三个逻辑模块中分配传统边缘路由器功能(以及附加功能)的网络接入系统31与通信网络30连接,这三个模块是可编程接入装置(PAD)40、外部处理器42以及接入路由器44。根据本发明的一个最佳实施例,在接入网的输入和输出端口之间的数据包基本路由选择由接入路由器44通过参考由外部网关协议(EGP)和内部网关协议(IGP)路由选择表52、54所确定的转发表50来执行。但诸如标记、管制、监视、整形以及过滤之类的转发和一般业务量调节功能在PAD 40中实现,而诸如消息解释、信令、许可控制以及策略调用之类的业务功能则在外部处理器42中实现。若给定这种功能分配,入局和出局数据包通常是经过PAD40、接入路由器44以及核心路由器36(以及可选地附加交换接入网、如ATM或MPLS交换机60)在核心通信链路38和用户路由器32之间传递。但是,如果PAD 40的过滤功能检测到要求其它业务的数据包流,则PAD 40经“消息、报告和控制接口”(MCRI)58将适当的消息传递给外部处理器42进行业务处理,可经过PAD 40上的应用编程接口(API)和外部处理器42来对其访问。以这种方式在接入路由器44、PAD 40以及外部处理器42之间分配功能,为服务提供商(甚至第三方)提供扩展和修改现有业务、创建新业务或者给外部处理器42增加更多处理能力的自由度,而不损害PAD 40的转发性能以及接入路由器44的路由选择性能或功能。
为了实现PAD 40和外部处理器42的预期功能,服务提供商(或者甚至用户或第三方)可在一个或多个策略服务器48的策略数据库46(又称作策略判决点(PDP))中定义策略规则。策略服务器48则通过参考存储在策略数据库46中的策略规则来进行策略判决,控制PAD 40和外部处理器42的功能和操作。策略服务器48经业务策略接口(SPI)56将外部处理器42和/或PAD 40的策略判决及相关配置参数传递给外部处理器42,例如可经由策略服务器48上的API和外部处理器42对SPI 56进行访问。经由SPI 56的通信可采用多种策略查询协议中的任一种,其中包括通用开放策略服务(COPS)和轻型目录访问协议(LDAP),它们分别由因特网工程特别任务组(IETF)RFC 2748和2251定义,通过引用将其结合于此。外部处理器42在需要时经MCRI 58将PAD 40的配置参数转发给PAD 40。
下面将进一步说明,网络接入系统31还允许服务提供商(甚至第三方)在外部处理器42中设置附加功能,这是通过开发业务控制器以支持所述功能并将业务控制器安装在外部处理器42上来实现的。附加功能还可采用NMS(网络管理系统)72在网络接入系统31中实现,NMS72又称作OSS(操作支持系统)。NMS 72经接口73-77来对网络接入系统31的各部件进行监测、控制、告警以及配置(例如向其分配IP地址)。NMS 72最好是还包括计费和记帐装置,它们例如响应来自外部处理器42中的业务控制器的消息,将业务费用分配到适当的用户。
如图2所示,本发明的网络接入系统31允许替换和实现网络交换时的灵活性。例如,ATM或MPLS(多协议标记交换)网络可用来通过ATM或MPLS交换机60将一个或多个PAD 40与接入路由器44的端口连接,从而允许与接入路由器44分开来实现信令和管制功能块62、64。但是,如果信令由接入路由器44来实现,则可取消交换机60。交换机60也可插在接入路由器44和核心路由器36之间作为汇聚交换机。此外,接入路由器44可由运行控制大PAD 40的路由选择软件的外部处理器42来实现。
可编程接入装置(PAD)
参照图3说明逻辑元件的高级框图,其中包括根据本发明的PAD40的示范实施例。如上所述,PAD 40是可编程接入装置,其中包含所需的转发及数据包分类功能以及其它可选的业务量调节功能模块,它们实现对入局和出局数据包的标记、管制、监测以及整形等的任何所需组合。在一个典型实施例中,PAD 40是作为软件和传统路由器硬件的组合来实现的,它们相互配合以提供所示模块的功能。(图3中,虚线例示用来表示可选的功能模块。)
一般来说,PAD 40的功能模块在逻辑上设置在入局(例如来自用户路由器32)和出局(例如送往用户路由器32)业务通路上,其中入局通路包括包头过滤器80、标记器/管制器82、监测器84、转发表86以及输出缓冲器和调度器88。出局通路同样包括包头过滤器90、转发表86、监测器92、标记器/整形器94以及输出缓冲器和调度器96。所有这些功能模块的功能可以通过MCRI 58由外部处理器42来单独配置或编程。
在PAD 40的外部接口上从用户路由器34接收的入局数据包首先由包头过滤器80来处理,它采用协议类型、源地址(SA)、目标地址(DA)、业务类型(TOS)、差异服务码点(DSCP)、源端口(SP)、目标端口(DP)以及配置包头过滤器80以进行过滤的其它数据包的字段(例如第4层和更高层字段,如SYN、ACK、RST和FIN TCP标志)中的任一种或其组合来区别各种消息类型。重要的是,除对第3层信息进行过滤之外,包头过滤器80还能够识别高层(即第4-7层)消息类型或特定字段以及根据所配置的过滤器参数转发来自/送往外部处理器42的消息。因此,根据它的过滤器配置以及入局数据包的字段,包头过滤器80经消息接口100将该数据包送往外部处理器42或者送往特定的标记器/管制器82。还应当指出,消息接口100也可将外部处理器42所指定的数据包送入包头过滤器80和90其中之一。
响应从包头过滤器80接收数据包流,标记器/管制器82通过应用一个或多个令牌或漏桶算法来确定数据包流是否符合控制接口104建立的业务量参数,从而管制数据包流。由于管制功能,标记器/管制器82可根据其配置丢弃不符合要求的数据包,标记不符合要求的数据包(例如有较高或较低优先级)和/或对不符合要求的数据包进行计数。如果需要标记,标记器/管制器82可在IP包头、和/或3-位MPLS实验字段、和/或20-位MPLS标记字段、和/或控制接口104为该特定数据包流配置的其它字段中的差异服务(Diffserv)/TOS字节中设置若干位。
在入局通路中,能够可选地包括具有不同功能的一个或多个监测器84。例如,这些监测器84可包括使用监测器,它跟踪不同的第2层、第3层、第4层以及更高层业务量类型的统计情况(例如监测服务等级协议(SLA))。监测器84还可包括故障/故障排除/调试监测器,它通过经报告接口102和MCRI 58向外部处理器42保存并报告存储器转储和其它相关信息,验证是否符合标准以及协助代码调试和故障诊断。为了管理报告消息,可设置阈值及其它标准来调用报告事件。由监测器84发送到外部处理器42的报告消息可概括特定用户的使用信息,报告高优先级业务流的出现,对于大量带外业务量向外部处理器42发出告警,报告所监测流量的无活动性等等。
在由包头过滤器80(以及可选地由标记器/管制器82和监测器84)进行处理之后,入局数据包由转发表86进行处理。转发表86维护关于各转发通路的项目,其中各转发通路由诸如DA、SA、TOS、PT、SP、DP之类的数据包流属性、输入端口以及PAD 40通过接入网络向接入路由器44转发数据包时的相应输出端口来表示。利用这些转发表项目,转发表86将数据包转发给适当的输出端口,并将数据包传递给输出缓冲器和调度器88。
输出缓冲器和调度器88对准备通过通信网络30进行传送的数据包进行缓冲,并对这类数据包的传输进行调度。在可包含单个缓冲器或最好是多个缓冲器的输出缓冲器和调度器88中进行的缓冲最好是经过配置,以便支持多个QoS等级、甚至各个数据流的QoS。例如,缓冲器空间的一定百分比或固定量可被分配给为通过DA、SA、TOS、PT、SP和/或DP进行分类的一般类业务量或特定业务流提供服务的队列。数据包调度器则将加权循环法和/或其它算法应用于对不同业务流进行复用的多个队列。缓冲和调度机制的结合可对排队延迟进行限制,以便通过PAD 40发送数据包,从而对所选业务流确保QoS抖动参数的有界值。缓冲器和调度器88还可应用CBQ(分级排队法)、WFQ(加权公平排队)、WRR(加权循环)或者其它链路共享算法,以便对通信进行优化。
经PAD 40的出局通路与入局通路相似,但包含标记器/整形器94来代替标记器/管制器82。本领域的技术人员知道,标记器/整形器94丢弃不符合要求的数据包,将标记的数据包发送给用于正服务于输出缓冲器和调度器96中各个数据流的不同QoS等级的各种队列的适当输出缓冲器,以便控制出局数据包流的延迟、抖动和丢失,或者只是对不符合要求的数据包进行计数。
根据本发明的PAD 40可设置在网络中的许多位置上,用以执行业务管理和策略控制。例如,PAD 40可放置在将用户设备连接到地区性布置的外部处理器42所控制的提供商网络的用户接入网(如光纤、xDSL、电缆调制解调器、WAP(无线接入协议)等)中。或者,PAD 40可设置在服务提供商的入网点(POP)上,通过专用线路、FR、ATM、MPLS或以太网接入网络与用户站连接。根据本发明的PAD 40也可面对可位于提供商的POP或用户站中的服务器机房而放置。PAD 40的这种分布式网络向接入路由器44转发数据包的方式由外部处理器42采用控制接口104在转发表86中进行配置。
外部处理器
参照图4说明一个高级框图,其中说明了包含根据本发明的外部处理器42的一个最佳实施例的逻辑元件。外部处理器42可采用软件和硬件中的任一个或两者来实现,其中硬件可包括通用计算硬件或专用硬件。虽然在PAD 40的硬件上执行的外部处理器42的仅软件实现是可行的,但外部处理器42最好采用独立硬件来实现,以便使外部处理器42所执行的业务处理可以通过安装附加和/或较高性能的外部处理器硬件来方便地进行缩放。外部处理器42与PAD 40所执行的转发功能的分离还允许响应接入业务模式来动态分配外部处理器42中的处理资源,而不会降低PAD 40的转发性能。此外,如图4所示,与PAD 40分开地实现外部处理器42使外部处理器42可以为多个PAD40a和40b(它们可位于物理上远程的位置)提供服务,或者允许多个外部处理器42为单个PAD 40提供服务。单个PAD 40与多个外部处理器42相联系提供了增强的容错性。
在一个最佳实施例中,外部处理器42主要执行三种处理:调用策略服务;发出建立或断开接入网络连接的信号;以及配置一个或多个相关PAD 40。为了协调这些不同的处理功能,外部处理器42包含一个或多个业务控制器120,每一个控制器最好是控制相应类型业务的这三个功能。例如,业务控制器120可包括电话会议业务控制器(CCSC)、电子商务业务控制器(ECSC)、IP电话业务控制器(IPTELSC)、预留带宽业务控制器(RBSC)以及多播业务控制器(MSC)中的任一种或全部。这种具体业务控制能够通过支持具体业务API的专用业务控制器或通用控制器来实现。各业务控制器最好是维护一个记录它与PAD40的全部活动会话的会话表。
如图4所示,对于各个相关PAD 40,外部处理器42包括相应的PAD控制器124。在业务控制器120的指导下,各PAD控制器124通过调用控制接口104所理解的命令或脚本来配置转发表86、包头过滤器80和90、标记器/管制器82、标记器/整形器94、监测器84和92、相关PAD 40的输出缓冲器和调度器88和96。外部处理器42还包括用于各相关PAD 40的相应消息处理器122。各消息处理器122均与相关PAD 40的消息接口100互相传递消息。来自PAD 40的消息通常是从用户路由器32接收的消息,接收到这个消息时,消息处理器122剖析该消息,并将其内容通知给适当的业务控制器(由业务的类型来确定)。如图4所示,在任何给定时间,并非所有PAD 40均可配置成处理全部的业务类型;因此特定的业务控制器120可与少于全部数量的PAD 40传递消息。
如虚线所示,外部处理器42还可包括用于包含可选监测器84或92以及报告接口102的各PAD(如PAD 40a)的报告处理器126。报告处理器126从相应PAD的报告接口102接收报告消息,并将适当的报告消息发送给一个或多个业务控制器120。报告处理器126还可配置PAD 40的报告接口102,以便指定报告消息的可接受类型、报告消息的内容、报告事件等等。
从报告处理器126接收到报告消息或从消息处理器122接收到另一种消息类型时,业务控制器120将该消息转换为一个或多个策略查询,并且经SPI 56将其发送给策略服务器48。例如,如果SPI 56采用COPS,业务控制器120则分别将RSVP和SIP消息转换为COPS(RSVP)和COPS(SIP)消息。业务控制器120还可将消息传递给另一个业务控制器120以便经过接口121获取另外的业务。
响应对来自策略服务器48的策略判决的接收,业务控制器120可经由消息处理器122将一个或多个数据包插入业务流,经PAD控制器124配置PAD 40,或者经信令控制器128a和128b控制通信网络30内部或外部的信令。信令控制器128支持信令协议[例如RSVP、标记分配协议(LDP)、专用网络间接口(PNNI)、帧中继或ATM用户网络接口(UNI)等],以便建立或断开网络上的虚连接(VC)或标记交换通路(LSP)。信令控制器128所建立的VC或LSP可具有指定的QoS。
为了减少经SPI 56在业务控制器120和策略服务器48之间传递的消息数量,业务控制器120最好是各在相应的策略高速缓存130中对常用的策略规则进行高速缓存。因此,如果从入局消息中产生的策略查询的策略信息已经被高速缓存,业务控制器120则可放弃向策略服务器48发送查询而通过参考其策略高速缓存130中缓存的策略规则来进行策略判决。另外,当业务控制器120采用新业务请求查询策略服务器48时,业务控制器120可请求策略服务器48将来自策略数据库的全部相关策略信息转储到其策略高速缓存130中。但是,在策略查询的数量和高速缓存刷新频率以及在每次刷新时从策略服务器48下载的策略信息的数量之间存在折衷。其目的是对要求密集的策略查询的IP业务、如SIP呼叫所用的策略进行高速缓存,同时避免对其它在其生存期中一般只产生一个策略查询的会话(如TCP会话)的策略查找进行高速缓存。
网络接入系统接口
如上所述,本发明的网络接入系统支持至少两个接口:SPI 56和MCRI 58。下文依次对这些接口的每一个进行检验。
如下表I所总结的,SPI 56最好是支持从外部处理器42的业务控制器120发送到策略服务器48的至少一种消息类型,即与策略要求有关的查询。这类策略查询最好包括一个标志,可设置该标志以请求策略服务器48将该查询的策略规则转储到正请求业务控制器120的策略高速缓存130中。
SPI 56最好是还支持从策略服务器48发送到业务控制器120的至少五种消息类型。如表I所总结的,经SPI 56从策略服务器48发送到业务控制器120的这些消息类型包括:事务处理许可和拒绝消息、指定配置参数的消息以及包含要缓存在策略高速缓存130中的策略信息的消息。另外,策略服务器48可向外部处理器42发送表示PAD 40中会话级参数设置的消息。本领域的技术人员知道,一个重要的会话级参数是无活动计时器,它计算自从在活动会话中接收到数据包以来所经过的时间,如果超过了指定时间量,则发出通知:由于缺乏活动应当关闭该会话。
表I
| 业务控制器至策略服务器 | 带有或没有缓存策略信息请求的查询策略要求 |
| 策略服务器至业务控制器 | 批准事务处理 |
| 拒绝事务处理,包含原因指示 | |
| 提供配置参数 | |
| 将策略信息转储到策略高速缓存中 | |
| 设置会话级参数 |
通过SPI 56在策略服务器48和外部处理器42之间的通信可以是经过请求的,也可以是未经请求的。在未经请求模式的操作中,策略服务器48在没有策略请求的情况下将外部处理器42和PAD 40的配置参数发送给外部处理器42。另一种备选方案是,在通信的请求模式中,策略服务器48响应策略请求将策略判决和配置参数发送给外部处理器42。如图2所示,策略请求可由外部处理器42发送,或者由于SPI 56最好是采用开放式策略查询协议,因此也可由第三方(例如用户的策略服务器)发送。在任一情况下,策略服务器48都经由SPI 56接收策略请求。策略请求通常指定所请求的业务,并要求指明在给定业务参数(例如请求者的身份、所请求业务的类型及数量等)时是否提供所请求业务的响应,如果是,则提供该业务的相应配置。响应对策略请求的接收,在给定策略请求中提供的参数的条件下,策略服务器48询问策略数据库46以访问相应的策略。然后,策略服务器48采用所访问的策略规则及使用信息为策略请求进行策略判决。例如,策略服务器48可通过将未使用的剩余保留带宽量(使用信息)与提供所请求业务所需的带宽量进行比较,跟踪特定用户预留的带宽量(策略规则)并批准或拒绝新业务请求。策略服务器48再经SPI 56向外部处理器42提供所产生的策略判决,它们可以是“批准”、“拒绝”和/或外部处理器42和PAD 40的会话级参数的配置。
下面来看MCRI接口58,下表II概括了由PAD 40发送给外部处理器42的消息类型。如表所示,可以通过参考消息接口100、报告接口102以及控制接口104中哪一个是消息源来便捷地对这些消息类型进行分类。
如上所述,PAD 40的消息接口100将包头过滤器80和90所捕捉的消息传递给外部处理器42的消息处理器122。传递给消息处理器122的消息可以根据SA、DA、PT、SP、DP和/或诸如TCP标志(如SYN、ACK、RST、FIN等)之类的其它数据包字段以及第4-7层消息类型和字段,从入局或出局数据包流中滤除。
控制接口104响应对控制命令消息的接收而将控制应答消息发送给PAD控制器124。如果命令成功地完成(例如成功地更新了监测器84的配置),控制接口104向PAD控制器124返回命令确认。但是,如果命令因不正确的语法、所需资源不可用等而无法完成,控制接口104则通过命令失败指示来通知PAD控制器124该命令失效。
PAD 40的报告接口102将报告消息发送给外部处理器42的报告处理器126。表II所列出的报告消息包括:提供有关所监测会话的信息的消息、与PAD 40和外部处理器42的业务控制器120之间通信有关的消息以及包含监测器84和92所收集的统计数据的消息。对于某些协议、如TCP和SIP,PAD 40实现各活动会话的状态机。如果TCP状态机检测到特定的活动TCP会话的重传次数已经超过所建立的重传阈值,报告接口102则发送一个消息,通知外部处理器42的消息处理器已经超过TCP重传阈值,从而表明该TCP会话已经失效。报告处理器126以类似方式报告其它的会话失效,例如某些IP协议会话、如TCP和SIP上的无活动计时器到期。对于没有相关状态机以确保可靠性的其它数据流(如UDP会话),在该会话中检测到活动时,PAD 40的报告接口102发送“检测到活动”报告消息。
在表II所示的本发明的最佳实施例中,PAD 40和外部处理器42之间的连接状态由保持激活消息来指明,这些消息定期在各PAD 40和相关的外部处理器42之间进行交换。不存在来自PAD 40的保持激活消息表明PAD 40和外部处理器42之间的连接失败和/或PAD 40本身出故障。这类保持激活消息最好是在报告接口102和报告处理器126之间传送;但如果没有实现任何报告接口,则保持激活消息也可由消息接口100来提供。
外部处理器42中的业务控制器120还会出现故障或者向不同业务动态重新分配(例如由于负荷平衡的原因)。在支持多个业务控制器120的外部处理器42出现故障或者在业务控制器120之间的业务责任重新分配的情况下,会话责任所转移到的新业务控制器120必须接收与旧业务控制器120的全部活动会话有关的状态信息。因此,在将PAD 40分配给最佳外部处理器42的所谓切换中,PAD 40最好是在状态同步消息中向外部处理器120的报告处理器126报告活动会话的状态信息。以这种方式让PAD 40负责向新业务控制器120提供会话状态信息有利地减轻了业务控制器120a和120b使会话状态同步的责任,这是一个消息密集的过程,在正常操作过程中降低业务控制器性能。本设计的这个方面实现了对硬件、软件以及网络故障的容错性。
表II最终列出了两个示范的报告消息,它们由可选监测器84和92所执行的监测来触发。首先,报告接口102可提供基于每个用户的一般使用统计数据。外部处理器42中的业务控制器120可利用这个统计信息来测量与SLA的一致性,以及检测某些所关注的事件。其次,报告接口102可在报告消息中明确地指明已经超过了用户的预定义业务量阈值。外部处理器42中的业务控制器120可利用这个信息将附加资源分配给用户业务(例如确保与SLA的一致性)或者可通知计费服务器72应当在用户计费上进行调整(例如若计费是基于使用量)。当然也可定义其它报告消息。
表II
| 消息 | 过滤的消息 |
| 控制 | 命令确认命令失败指示 |
| 报告 | 已超过TCP重传阈值TCP状态存储器已满 |
| 无活动计时器已到期检测到活动保持激活交换业务控制器切换情况下的状态同步业务量阈值已超过使用量统计 |
现参照表III,概括经MCRI 58从外部处理器42的消息处理器122、PAD控制器124以及报告处理器126向PAD 40发送的消息类型。在表III中所示的接口实施例中,消息处理器122能够将至少两种消息发送给消息接口100。首先,消息处理器122可向消息接口100发送待插入到入局或出局数据包流的一个或多个数据包。其次,消息处理器122可向消息接口100发送一条消息,指示消息接口100中的数据包字段标志要置位或复位,从而使消息接口100向消息处理器122传递特定消息或者阻止消息接口100向消息处理器122传递特定消息,根据诸如SA、DA、PT、SP、DP之类的各种数据包字段的内容而定。
如表III所述,经MCRI 58从PAD控制器124发送到控制接口104的控制消息包括多个配置消息,它们使PAD控制器124能够通过控制接口104配置PAD 40的过滤、标记、管制、监测、缓冲、调度、整形以及转发功能模块80-96中任一个。具体地说,输出缓冲器和调度器88、96可配置成按业务量等级或业务流分配缓冲器数量或缓冲器大小,或者实现CBQ、WFQ、WRR或其它缓冲器调度算法。PAD控制器124还可配置标记器/整形器94以采用静态或自适应整形算法,以及可配置标记器/整形器94以按业务流或根据业务量等级来实现整形。PAD控制器124还可响应业务控制器120的请求来配置转发表86,以便使业务控制器120能够将数据流与ATM SVC或MPLS LSP关联。
除用来配置功能模块80-96的一般控制消息之外,MCRI 58还支持用来配置PAD 40的功能模块的特定特征的各种控制消息。例如,包头过滤器80和90可配置成去掉来自未经授权的源的多播数据包,允许或拒绝数据流的源路由选择,或者仅允许具有特定源地址的数据包。另外,PAD控制器124能够通过由业务控制器120采用信令控制器128所建立的SVC和LSP路径来更新转发表86。报告接口102可经“将报告标志置位”控制消息来配置,通过将对应于这些事件的报告标志置位或复位来启用或禁用所选事件的报告。PAD 40还可经MCRI控制消息来配置,以便设置上述TCP重传通知阈值、无活动计时器、活动计时器以及业务量阈值。最后,PAD 40以及输出缓冲器和调度器88、96的处理资源可通过经MCRI 58和控制接口104所发送的“分配资源”控制消息进行配置,以便向某个用户接口、某个数据包流、某个等级或某个多播组动态分配资源,例如带宽、队列以及处理时间片等。
从外部处理器42的报告处理器126发送到PAD 40的报告消息一般仅限于与报告接口102之间交换保持激活消息。保持激活消息的连续交换通知PAD 40相关业务控制器120在运行。如果PAD 40无法接收来自业务控制器120的保持激活消息,PAD 40则发起向辅助业务控制器120的业务切换,下面将进一步说明。
表III
| 消息 | 将数据包插到输入或输出数据包流中设置消息接口的通过/不通过标志 |
| 控制 | 配置包头过滤器配置标记器配置管制器配置转发表配置输出缓冲器和调度器配置整形器丢弃指定源的多播数据包 |
| 允许/拒绝源路由选项设置TCP重传阈值设置会话无活动计时器设置活动计时器和等级设置业务量报告阈值分配资源设置报告标志设置SVC、PVC或LSP删除TCP会话 | |
| 报告 | 保持激活交换 |
容错性
为了防止在业务控制器出故障的情况下业务中断,各业务最好是由平常提供业务的主业务控制器以及在主业务控制器出故障或者PAD和主业务控制器之间连接丢失时能提供业务的辅助业务控制器这两者来支持。在本发明的最佳实施例中,主和辅助业务控制器驻留在经接入网以不同方式连接的独立外部处理器42上。对检测到与主业务控制器通信的故障作出响应,PAD 40执行向辅助业务控制器的切换。
下面参照图5A说明时空示意图,其中说明根据本发明将业务提供从出故障的主业务控制器切换到辅助业务控制器的示范网络接入系统信号。图5A中,为了说明,假设:业务控制器120a为主业务控制器,业务控制器120b为辅助业务控制器。
在正常操作过程中,PAD 40采用可靠的通信协议(如TCP)与相关外部处理器42的业务控制器120a和120b交换信息。如上所述,保持激活消息在外部处理器42和PAD 40之间定期交换,以便使TCP会话保持有效。当PAD 40检测到保持激活消息超时,则意味着与主业务处理器120a的连接已经失败,PAD 40通过向辅助业务控制器120b发送同步段(SYN)来尝试与辅助业务控制器120b建立TCP会话,如图5A所示。如果PAD 40与辅助业务控制器120b的连接不成功(例如没有从辅助业务控制器120接收到SYN ACK),PAD 40则停止接受新的会话,并保持所有当前活动会话的状态和业务,直到恢复与主业务控制器120a的通信。
但是,如果PAD 40成功地与辅助业务控制器120b建立TCP会话(如SYN ACK的接收和ACK的返回所表示),保持各活动会话的状态机的PAD 40则将出故障的主业务控制器120a所控制的其全部活动会话的状态信息上载给辅助业务控制器120b。一旦由ACK消息确认辅助业务控制器120b接收到状态信息,PAD 40发起与辅助业务控制器120b的保持激活消息的交换。这样,业务不会因单个业务控制器120的故障而中断,并且在业务控制器120a和120b之间不要求同步。
PAD 40和辅助业务控制器120b之间的通信可以继续,如果希望非复原行为,则不复原到主业务控制器120a。但是,当前最好是在可能时让通信复原到主业务控制器120a,以便保持在分布式PAD上进行处理的业务控制器的负荷平衡。
现参照图5B说明一个时空示意图,其中说明主业务控制器恢复之后从辅助业务控制器切换到主业务控制器的过程中可编程接入装置和外部处理器之间的示范信令。复原过程从主业务控制器120a向PAD40发送SYN段以重建TCP会话开始。PAD 40用SYN ACK来响应SYN的接收,主业务控制器120a用ACK对此进行确认。一旦已经开始TCP会话,PAD 40则向主业务控制器120a上载活动会话的状态,业务控制器120a用ACK来确认会话状态的接收。
在会话状态已经成功地恢复到主业务控制器120a之后,PAD 40通知辅助业务控制器120b已经通过“准备关闭”消息恢复了主业务控制器120a。然后PAD 40通过一对FIN(即已完成)和ACK握手来关闭与辅助业务控制器120b的TCP会话,其前一半由PAD 40发出,后一半由辅助业务控制器120b发出。关闭TCP连接之后,辅助业务控制器120b删除与转移到主业务控制器120a的会话有关的全部状态信息。此后,PAD 40恢复与主业务控制器120a的保持激活交换。
城域实现
现参照图1B说明因特网服务提供商(ISP)网络的示范城域实现,其中包括根据本发明的分布式网络接入系统。图1B说明组件的物理互连而不是逻辑(如网络)连接,如图2所示。
从左侧开始,用户LAN 14与城域接入网络16’中的最低级接入网(如TDM、ATM或以太网)相互连接或直接与PAD 40相互连接。如图所示,PAD 40也可位于汇聚网络分层结构中的高层。工程经济和/或性能考虑事项确定PAD 40的布置。例如,最少业务量的汇聚或者访问低速接入链路的需要可能分别驱使PAD 40布置到较高和较低的接入网络级。
如上所述,PAD 40执行策略实施,从而减轻汇聚路由器(即接入路由器44)的部分工作负荷。策略确定也从汇聚路由器中消除,而放置在冗余外部处理器42和PDP 46中。对于大多数实现,外部处理器42通常以分布式方式设置到各城域,而PDP 46则基于区域更加稀疏地设置。由于减轻了汇聚路由器的部分工作负荷,接入路由器44能够进行缩放以处理较大的业务容量,因为它们经过优化以处理因特网路由选择的较简单但必要的任务。由于PAD 40、外部处理器42以及PDP 46不仅实现了当前技术的边缘路由器的功能,而且还实现了当前在单片路由器设计中得不到的多种功能,因此ISP网络的能力也得到扩展。
为了进一步说明本发明的各方面,下面参照一般时空图来说明各种操作情况的网络接入系统信令和消息传递的实例。这些实例说明网络级信令、面向连接的和无连接的传输协议、应用级通信以及基于策略的多播业务管理等的示范实现。
网络级信令实例
现参照图6说明一个时空示意图,其中说明了用于通过资源预留协议(RSVP)获得业务预订的示范网络级信令。在所述实例中,用户应用通过向PAD 40发送RSVP PATH消息来发起预订过程。例如,用户应用可请求在特定时间的指定带宽的路径。如图6所示,PAD 40的包头过滤器80根据RSVP协议类型(即PT=46)来捕捉RSVP PATH消息,并将它转发给外部处理器40中适当的业务控制器120(本例中称作预留带宽业务控制器(RBSC)120)。
响应路径消息的接收,RBSC 120经SPI 56(本例中假定为实现COPS)向策略服务器48传送适当的策略查询,以便确定预订业务对该用户是否经过授权。如果策略服务器48向RBSC 120返回策略判决,批准该用户的预订业务,则RBSC 120向PAD 40返回RSVP PATH消息,PAD 40将PATH消息下发到网络的出口点。
如果网络远端的接收机也批准该预订,则接收机通过向PAD 40传送预留(RESV)消息来响应,PAD 40再将RESV消息传递给RBSC120。响应RESV消息,RBSC 120对策略服务器48调用另一个策略查询,用以确定是否对该用户进行了RESV消息所指定的带宽要求的授权。响应第二个查询,跟踪各用户的分配带宽的策略服务器48确定当前分配的带宽加上所请求的带宽是否小于该用户的最大授权带宽。如果是这样,则策略服务器48通过表明批准的策略判决来通知RBSC120。RBSC 120则发起适当的ATM或MPLS信令,以便采用一个或多个信令控制器128来建立RVC或LSP。RBSC 120接收到来自网络的所请求路径的确认之后,RBSC 120配置PAD 40的包头过滤器80和转发表86,以便通过所建立的SVC或LSP在用户的数据流中传送数据包。另外,RBSC 120采用消息接口100向PAD 40返回RESV消息,PAD 40再将RESV消息上载给用户应用。RBSC 120还经PAD 40将CONFIRM消息下发给接收机,以便完成用于建立SVC或LSP的握手。
面向连接的传输实例
现参照图7A-7G说明各种TCP事件的TCP状态机和时空示意图,它们共同说明根据本发明的网络接入系统进行的面向连接的传输协议的处理。首先参照图7A说明PAD 40上对TCP会话保持的状态机的一个最佳实施例。如图所示,TCP状态机140包括两个状态:空闲状态142,其中没有活动的TCP会话;以及活动状态144,其中存在活动的TCP会话。状态机140的操作在四个TCP过程中维护TCP会话状态,其中包括:(1)响应同步段(SYN)而打开TCP会话,(2)响应完成(FIN)消息而关闭TCP会话,(3)关闭已超时的TCP会话,以及(4)响应复位(RST)消息而关闭TCP会话。图7A中,与这些操作的每一个相关的消息均由相应的标号来标识(例如“1.x”表示TCP会话打开,“2.x”表示响应FIN消息的TCP会话关闭等),并由字母标号进一步表示时间顺序(例如“1.a”先于“1.b”等)。
如图所示,当状态机140处于空闲状态142以及PAD 40接收SYN段时开始打开TCP会话。如标号150所示,包头过滤器80捕捉从用户接收的初始SYN消息,并将它传递给指定用来处理TCP业务的外部处理器42中的业务控制器120。响应SYN消息的接收,业务控制器120查询策略服务器48关于该用户的TCP会话。如果业务控制器120接收表示批准TCP会话的策略判决,则业务控制器120将SYN段返回给PAD 40,如标号152所示。响应来自业务控制器120的SYN消息的接收,状态机140将状态从空闲状态142改变为活动状态144。PAD 40将SYN段转发给目标地址所指定的接收机,并从接收机接收SYN、ACK段,如标号154所示。发送方通过采用ACK消息来应答而完成打开TCP会话所需的三方握手,如标号156所示。PAD 40将表示握手成功的ACK消息传递给业务控制器120,如标号158所示。ACK消息的接收通知业务控制器120打开了TCP会话并使业务控制器120将TCP会话添加到其活动会话表中。然后,业务控制器120在PAD40中设置该TCP会话的无活动计时器及其它参数,并将ACK消息返回给PAD 40,同样如标号158所示。此后,数据可经活动TCP会话在用户和接收机之间传送,如标号159所示。
要关闭活动TCP会话,用户或者接收机可向PAD 40发送FIN消息。响应FIN消息的接收,PAD 40将TCP状态机140复位到空闲状态142,如标号160所示。然后PAD 40将FIN消息传递给业务控制器120,如标号162所示。FIN消息通知业务控制器120关于TCP连接是无活动的,并且使业务控制器120从其活动会话表中删除该TCP会话。如图所示,PAD 40将FIN消息转发给其目标(即用户或者接收机),后者用ACK消息和FIN消息164进行响应。源则用ACK消息166来响应最后一个FIN消息。响应最后一个ACK消息的接收,PAD 40删除用于该TCP会话的状态机140。
如图7A所示,如果TCP会话的无活动计时器到期,PAD 40也会关闭活动TCP会话。响应活动TCP会话的无活动计时器的到期,PAD40将状态机140从活动状态144转换到空闲状态142,如标号170所示。PAD 40还向业务控制器120报告超时错误,如标号172所示。响应超时错误消息的接收,业务控制器120从其活动会话表中删除该TCP会话,并更新PAD 40的配置以消除与该TCP会话相关的无活动计时器及其它配置信息。PAD 40则删除该TCP会话的状态机140。
PAD 40还响应从任一方到TCP连接的复位(RST)消息的接收而关闭活动的TCP会话。响应RST消息的接收,PAD 40将状态机140从活动状态144转换到空闲状态142,如标号180所示。PAD 40还将RST消息传递给业务控制器120,如标号182所示。响应RST消息的接收,业务控制器120将RST消息回传给PAD 40,以确认接收到RST并成功地删除该TCP会话,同样如标号182所示。PAD 40则删除该TCP会话的状态机140,并将RST消息转发给TCP会话的另一方。
为了提高PAD 40和业务控制器120的有效操作,希望使其间消息传递量减至最小。因此,如果要求打开TCP会话,则PAD 40仅将最后一个ACK消息转发给业务控制器120。另外,PAD 40仅向业务控制器120传递在会话中所接收的第一个SYN、FIN段。这样避免了过多的消息传递,即使PAD 40和业务控制器120的功能是分布式的。
在最佳实施例中,PAD 40只需要使业务控制器120为之配置增值业务的TCP会话的状态信息保持激活。换句话说,PAD 40不会保持尽力发送型TCP会话的状态信息。这极大地减少了PAD 40上保存TCP状态信息(例如包头过滤器80、90以及监测器84、92的状态变量)所需的存储空间。另外,由于可能存在大量的活动TCP会话,表III中给出的删除TCP会话消息还使业务控制器120能够在TCP会话状态存储器已满的情况下确定哪些TCP会话将接收增值业务。
如图7B所示,响应对TCP状态存储器已满事件184的检测,PAD40通过报告接口102向业务控制器120发送TCP状态存储器已满消息186。状态存储器已满事件184可从包头过滤器状态变量的存储器或者监测器状态变量的存储器的耗尽中产生。响应TCP状态存储器已满消息186的接收,业务控制器120记录PAD 40的TCP状态存储器状态。
当用户路由器32通过发送SYN消息188来发起另一个增值TCP会话时,PAD 40通过消息接口100将SYN消息传递给业务控制器120,如标号190所示。响应SYN消息的接收,业务控制器120检查PAD 40的TCP状态存储器状态。由于TCP状态存储器状态为已满,因此业务控制器120根据某些预装策略来确定是否允许新的TCP会话改写现有的增值TCP会话。例如,业务控制器120可对各增值业务分配一个优先级,并允许较高优先级的会话改写较低优先级的TCP会话。除此之外或者作为另一备选方案,业务控制器120还可允许新的TCP会话改写具有最长无活动期的TCP会话。
如果不允许新的TCP会话改写任何现有的TCP会话,则业务控制器120忽略该SYN消息。因此,PAD 40不为这个新的TCP会话建立任何状态信息,PAD 40向新的TCP会话提供尽力发送型业务。但是,如果业务控制器120确定新的TCP会话可改写另一个TCP会话,则业务控制器120通过控制接口102向PAD 40发送删除TCP会话消息。PAD 40通过从其TCP状态存储器中删除现有的TCP会话来进行响应,如标号194所示。然后再执行图7A的标号150-159所示过程,以便在PAD 40的状态存储器中建立新的TCP会话。
给出图7A所示的示范TCP状态机,参照图7C-7G来说明TCP信令的若干实例。首先参照图7C来说明根据本发明、用于通过网络接入系统来建立TCP会话的示范信令。
如图所示,要打开TCP会话,客户机应用首先发出打开命令,它通知协议栈该应用希望在指定端口和IP地址上打开与服务器的连接(例如在访问万维网页面时)。客户机站点上的TCP代理则选择初始序列号(本例中为800),并传送携带所选序列号的同步段(SYN)。当SYN段到达时,PAD 40中的包头过滤器80根据指定的目标IP地址和端口号(PT=6,端口=80)来检测该SYN段要发起关键任务电子商务TCP会话。因此,包头过滤器80将SYN段传递给电子商务业务控制器(ECSC)120。ECSC 120通过例如采用LDAP请求查询策略服务器48来响应SYN段。
响应例如通过LDAP APPROVE消息表示批准TCP会话的策略服务器48,ECSC 120向PAD 40返回SYN段。当PAD 40接收来自ECSC120的SYN段时,PAD 40产生新的TCP状态机,并将它设置为活动状态144。PAD 40则将SYN段下发给SYN段中所指定的服务器。
在服务器上接收SYN段时,服务器的TCP代理选取初始序列号(本例中为400),并向PAD 40发送包含所选初始序列号的SYN段以及ACK。ACK消息指定客户机所发送的第一数据字节应当编号为801。应当指出,当服务器所发送的SYN和ACK消息由PAD 40转发给用户应用时,这些消息不需要转发给ECSC 120。
当客户机上的TCP代理接收SYN/ACK消息时,TCP代理返回401的ACK消息,表示服务器所发送的第一数据字节应当编号为401。这个ACK消息由PAD 40传递给ECSC 120,以便通知ECSC 120三方握手是成功的,以及TCP会话是打开的。ECSC 120则将TCP会话加入其活动会话表中,并采用所允许数量的TCP重传和适当的无活动计时器设置来配置PAD 40。ECSC 120还可设置标记器/管制器82,以便将属于该TCP会话的数据包标记为高优先级。ECSC 120则向PAD 40返回ACK段,PAD 40将ACK段发送给目标服务器以通知接收机TCP会话是打开的。一旦用户的TCP代理通知客户机应用该TCP连接是打开的,客户机和服务器则可以开始在TCP会话中交换数据。
下面参照表示时空示意图的图7D,其中说明了根据本发明、关闭TCP连接的示范网络接入系统信令。当TCP连接的任一侧能够发起TCP会话的断开连接时,在图7D所示的实例中,服务器应用通过指示其TCP代理关闭连接来发起该TCP会话的关闭。因此,服务器的TCP代理发送FIN段,通知客户机应用它不再发送任何数据。响应FIN段的接收,PAD 40将该连接的TCP状态机复位到空闲状态142,并将FIN段传递给ECSC 120。ECSC 120通过从其活动会话表中删除该TCP会话、通过配置PAD 40以停止标记该TCP会话的数据包并消除该会话的无活动计时器和重传设置来进行响应。PAD 40还将FIN段转发给客户机,后者采用由PAD 40传递给服务器的ACK来确认接收到FIN段。客户机应用则命令其TCP代理关闭该会话。因此客户机的TCP代理经PAD 40向服务器的TCP代理发送FIN消息。服务器的TCP代理采用向PAD 40表明关闭该TCP会话的三方握手是成功的ACK来响应客户机的FIN消息。PAD 40相应地删除该TCP会话的状态机,并将ACK消息转发给客户机。同时,服务器的代理通知服务器应用该连接已经关闭。
现参照描述时空示意图的图7E,其中说明响应未授权TCP会话的请求时根据本发明的示范网络接入系统信令。通过比较图7E至7C可以看到,在策略服务器48向ECSC 120返回LDAP策略判决拒绝该TCP会话之前,这个过程是相同的。例如,由于网络缺乏足够的资源来支持所请求的TCP会话,或者由于客户机没有预订所请求的高优先级电子商务业务,因此策略服务器48可拒绝这个TCP会话。在拒绝TCP会话之后,ECSC 120向PAD 40发出复位(RST)段,PAD 40将RST段上载给客户机上的TCP代理。当客户机的TCP代理接收RST段时,客户机的TCP代理终止该会话。应当指出,由于PAD 40不接收来自ECSC 120的SYN段,因此PAD 40不为TCP会话创建状态机。
下面参照表示时空示意图的图7F,其中说明了检测到过多TCP重传时的示范网络接入系统信令。正如所理解的,TCP会话通常通过正常的断开连接而关闭,如图7D所示。但在网络或服务器故障的情况下,TCP会话将在主机中超时,而且不会出现正常的断开连接。因此,当TCP会话断开连接时,必须实现某种机制来更新ECSC 120和PAD 40。
在图7F所示的实例中,用户和服务器之间的路由因为网络链路或节点的故障而中断。这个故障使TCP代理和客户机重传数据,直至达到重传的阈值次数。客户机的TCP代理则中断TCP连接。随后,PAD40中该TCP会话的无活动计时器到期。响应无活动计时器的到期,PAD 40将该TCP会话的状态机140更新到空闲状态142,并向ECSC120报告TCP会话超时错误。ECSC 120通过从其活动会话表中删除该TCP会话来响应超时错误的报告,并指示PAD 40停止标记该TCP会话的数据包以及删除该TCP会话的配置。PAD 40则删除该TCP会话的状态机。
下面参照描述时空示意图的图7G,其中说明了TCP会话参与方请求对TCP会话的意外关闭时的示范网络接入系统信令。如图所示,某个应用、在本例中为服务器应用通过发送复位(RST)段来发出意外关闭的通知。该应用能够因多种原因而发起意外关闭,例如因为应用希望终止连接,或者因为TCP代理已经检测到无法解决的严重通信问题。响应RST段的接收,PAD 40将该会话的TCP状态机140复位到空闲状态142,并将RST段传递给ECSC 120。响应RST段的接收,ECSC 120从其活动会话表中删除该TCP会话,并配置PAD 40以停止标记该TCP会话的数据包。PAD 40则删除该会话的TCP状态机140,并将RST段转发给客户机。客户机则在接收到RST段时关闭TCP会话。
采用UDP报告功能的无连接传输实例
现参照图8A-8C说明无连接传输协议的网络接入系统信令的三个实例。在每个实例中均采用不可靠数据报协议(UDP)。
首先参照图8A说明网络接入系统信令的时空示意图,其中UDP用作IP电话会话的语音数据的传输。在图8A所示实例中,用户已经为其IP电话(IPTEL)呼叫预订了保证业务,但具有一个不支持RSVP的使用以预订IPTEL呼叫的保证业务的客户机。但用户仍然可以通过下面详细说明的消息交换来获得IPTEL呼叫的保证业务。
当用户站上的用户调用客户机应用来进行IPTEL呼叫时开始这个过程。客户机应用则从分配给语音数据传输的可用端口池中获取未使用的UDP端口。然后,客户机应用开始通过网络发送由UDP数据包封装的语音数据作为尽力发送型业务量。已经配置用来检测语音端口范围内的UDP(即协议类型(PT)=17)数据流的PAD 40检测UDP流,并向外部处理器42中的IP电话业务控制器(IPTELSC)120报告。IPTELSC120经本例中采用COPS的SPI 56向策略服务器48查询策略判决。通过参考策略数据库46,策略服务器48确定用户已经为其IPTEL呼叫预订了保证业务,并将策略判决返回到IPTELSC 120,它指示IPTELSC120为这个IPTEL会话提供保证业务,如SA、DA、PT=17、SP及DP所定义。
因此,IPTELSC 120通过该会话的无活动计时器配置PAD 40,并指示PAD 40停止报告该IPTEL会话的出现。IPTELSC 120还开始建立该IPTEL呼叫的预留带宽路由,因为用户的客户机应用无法进行这项操作。为了建立预留带宽路由,IPTELSC 120向PAD 40发送RSVPPATH MESSAGE,PAD 40将PATH MESSAGE下发给接收机。要表明批准预订以及所预留的带宽量,接收机向PAD 40发送RESV消息,PAD 40再将RESV消息转发给IPTELSC 120。然后再确定指定带宽的预留是否经过授权。如果IPTELSC 120在策略服务器48的前一查询之后缓存了足够的策略信息,则IPTELSC 120不需要查询有关带宽的策略服务器48。但是,如果在IPTELSC 120的策略高速缓存130中没有缓存足够的策略信息,策略服务器48则再次查询是否能够预留所指定的带宽。如果指定带宽可用于该用户的预订,IPTELSC 120则经信令控制器128发起信令,以建立该IPTEL会话的SVC或LSP。对于ATM核心,建立双向SVC。对于MPLS核心,也可建立两个单向LSP。向这个UDP会话提供QoS的另一个装置包含IPTELSC 120,它指示PAD40中的标记器82修改IP首标中的差异服务(DiffServ)字段。一旦IPTELSC 120接收到来自网络的连接或确认消息表明已经建立QoS通路,IPTELSC 120则更新PAD 40,将UDP数据包流与该QoS通路相关联。另外,IPTELSC 120通过向PAD 40传递确认消息来确认建立并预留了QoS通路,PAD 40再将确认消息传递给接收机。此后,封装在UDP数据包中的语音数据经QoS通路从用户应用发送到接收机。
如图8B所示,在策略服务器48的查询产生表示用户不具有IPTEL呼叫的QoS要求的策略判决的情况下,IPTELSC 120配置PAD 40以阻止PAD 40再次报告该IPTEL呼叫。另外,IPTELSC 120设置IPTEL呼叫的无活动计时器,从而在无活动计时器到期时能够删除呼叫报告的阻止。由于没有任何QoS通路经过授权,因此UDP数据包所封装的语音数据通过网络作为尽力发送型业务量继续传送。
下面参照图8C说明时空示意图,其中说明了响应UDP会话无活动计时器到期而用来断开QoS通路的网络接入系统信令。虽然UDP会话无活动计时器会因包括网络链路或节点故障在内的许多原因而到期,但在图8C所示实例中,超时事件是由用户站上用户应用结束呼叫并停止语音业务传输所引起的。稍后,当UDP会话无活动计时器到期时,PAD 40检测超时事件并将它报告给IPTELSC 120。IPTELSC 120通过发起适当信令来释放IPTEL呼叫的SVC或LSP来进行响应,这种释放由送往IPTELSC 120的消息来确认。IPTELSC 120还调用通路断开消息来明确地断开IPTEL呼叫的QoS通路。当该消息通过网络从PAD 40进行传递时,通路断开消息消除沿QoS通路已建立的RSVP状态。IPTELSC 120则从其活动会话表中删除该IPTEL呼叫,并配置PAD 40来删除该IPTEL呼叫的全部已配置参数。
采用SIP信令的应用级实例
下面参照图9A-9E说明多个时空示意图,其中说明了根据本发明的网络接入系统中的应用级SIP信令。首先参照图9A说明SIP呼叫建立的实例。在所述实例中,例如,用户站的主叫向网络中的被叫发出SIP INVITE(邀请)请求,邀请被叫加入多媒体电话会议。当PAD 40通过分配给SIP的UDP或TCP端口范围检测到邀请请求时,PAD 40将INVITE请求传递给电话会议业务控制器(CCSC)120。CCSC 120则查询策略服务器48(例如采用LDAP请求)关于是否为该用户批准了所请求的功能。重要的是,为了减少CCSC 120和策略服务器48之间所交换的消息的数量,CCSC 120最好是在查询中设置标志,请求策略服务器48将SIP请求的策略查找转储到CCSC 120的策略高速缓存130中。这样,CCSC 120此后能够通过参考缓存的策略来进行策略判决,并避免策略服务器48的不必要查询。
假定策略服务器48批准该SIP会话,策略服务器48则向CCSC 120发送表示批准SIP会话的策略判决,并将SIP呼叫的策略规则转储到CCSC 120的策略高速缓存130中。响应批准SIP会话的接收,CCSC120向PAD 40返回INVITE消息,PAD 40再将INVITE请求转发给被叫。
响应INVITE请求的接收,被叫向PAD 40返回SIP 200 OK消息,从而表明对该呼叫的确认而不改变所指定的SIP功能。由于SIP功能没有改变,因此PAD 40直接将SIP 200 OK消息转发给主叫,并且不向CCSC 120传递该消息。主叫则通过ACK请求来确认对SIP 200 OK消息的接收,ACK请求由PAD 40传递给CCSC 120,通知它SIP会话成功建立。CCSC 120则查询其策略高速缓存130以便批准SIP呼叫的最终功能集。CCSC 120还将SIP会话加入其活动会话表中,并采用无活动计时器和其它参数配置PAD 40以协助SIP呼叫。CCSC 120则向PAD 40返回ACK请求,PAD 40又将ACK发送给被叫以完成SIP呼叫建立。
为了获得更佳的性能,最好是使从PAD 40传递到CCSC 120以及从CCSC 120传递到策略服务器48的消息减至最少。如上所述,CCSC120上的高速缓存策略规则大大地减少了所需策略查询的数量。最好是还通过在PAD 40上实现SIP状态机、仅将SIP消息传递给CCSC 120以建立、终止或改变SIP会话的功能集来减少从PAD 40传递给CCSC120的消息。
下面参照图9B说明时空示意图,其中说明了SIP呼叫终止的示范网络接入系统信令。在多方SIP电话会议中,各方只能将其本身退出呼叫,在最后一方离开通话之后终止该通话。相反,在两方SIP呼叫中,如图9B所示,被叫或主叫可终止该通话。如图9B所示,用户站上的主叫通过发送BYE请求来发起通话终止,BYE请求再由PAD 40传递给CCSC 120。CCSC 120通过从其活动会话表中删除该SIP会话、并通过清除与该SIP会话有关的策略规则的策略高速缓存130对BYE请求进行响应。CCSC 120则配置PAD 40来阻止PAD 40将随后的SIP消息从SIP呼叫传递给CCSC 120,并删除该SIP呼叫的整个配置。CCSC 120还向PAD 40发送BYE请求,PAD 40再将BYE请求转发给被叫。响应BYE请求的接收,被叫通过发送SIP 200 OK消息来确认SIP呼叫的结束,SIP 200 OK消息再由PAD 40转发给主叫而不传递给CCSC 120。
现参照图9C说明时空示意图,其中说明了结束已经超过允许持续时间的SIP呼叫的示范网络接入系统信令。在所述实例中,SIP呼叫的终止由CCSC 120检测到该SIP呼叫已经超过会话的ExpireTimer(到期计时器)所指定的允许持续时间来触发。被叫则发出BYE请求来终止该通话。响应BYE请求的接收,PAD 40将BYE请求传递给CCSC120,CCSC 120则从其活动会话表中删除该SIP会话,并从其策略高速缓存130中删除相关策略。然后CCSC 120配置PAD 40来阻止PAD40将SIP呼叫中随后的SIP消息传递给CCSC 120,并命令PAD 40删除该SIP呼叫的整个配置。然后CCSC 120向PAD 40发出BYE请求,PAD 40再将BYE请求转发给主叫和被叫。主叫和被叫则通过SIP 200OK消息来确认该SIP会话的结束。
图9D说明第三呼叫终止实例,其中参与通话的任一方均未请求终止,而只是双方均退出该SIP会话。在SIP会话中没有活动的情况下,该SIP呼叫的PAD 40中的无活动计时器到期。PAD 40则向CCSC120报告超时,CCSC 120从其活动会话表中删除该SIP会话,并从其策略高速缓存130中删除相关策略。CCSC 120则命令PAD 40删除该SIP呼叫的整个配置。
现参照图9E说明时空示意图,其中说明了主叫和被叫之间SIP呼叫功能要求的协商过程中的示范网络接入系统信令。如结合图9A所述,SIP呼叫由用户站上的用户应用发出SIP INVITE请求来发起。INVITE请求由PAD 40进行捕捉,并传递给CCSC 120,CCSC 120则查询策略服务器48。策略服务器48以批准该SIP呼叫以及下载该SIP会话的策略规则(策略查询中所要求的)来进行响应。CCSC 120则向PAD 40返回INVITE请求,PAD 40再将其转发给被叫。
但是,与图9A所示实例不同,被叫不通过确认SIP呼叫的SIP 200OK消息来进行响应。而是被叫通过表明所请求的呼叫带宽高于被叫的接入链路可支持的并且只有56Kbps连接可用的SIP 606 NOTACCEPTABLE消息来进行响应。如INVITE请求所要求的,被叫响应还指出媒体编码的集合,例如(按照优选的顺序)仅可支持PCM(脉冲编码调制)或线性预测编码(LPC)音频。响应SIP 606 NOT ACCEPTABLE消息的接收,PAD 40向CCSC 120传递该消息,CCSC 120则查询其本机策略高速缓存130并批准新的功能集。CCSC 120则向PAD 40发送SIP 606 NOT ACCEPTABLE消息,PAD 40将该消息转发给主叫。
当主叫接收SIP 606 NOT ACCEPTABLE响应时,主叫调整呼叫功能要求,并发出另一个INVITE请求以指定56Kbps带宽、LPC音频编码以及120分钟的ExpireTimer。如前所述,新的INVITE请求由PAD40传递给CCSC 120。CCSC 120则查询其本机策略高速缓存130,并根据资源可用性将呼叫持续时间限制在100分钟。CCSC 120则向PAD40返回具有100分钟的ExpireTimer的INVITE请求,PAD 40再将INVITE请求发送给被叫。
响应第二个INVITE请求的接收,被叫确定它能够支持包括100分钟通话持续时间在内的全部呼叫要求。因此,被叫通过ExpireTimer设置为100分钟的SIP 200 OK消息来进行响应。对SIP OK响应的接收作出响应,PAD 40将该响应发送给CCSC 120,CCSC 120则通过参考其策略高速缓存130来检验SIP OK响应中携带的SIP功能集,并表示批准。CCSC 120还向PAD 40发送SIP OK响应,PAD 40再将SIP OK响应转发给主叫。当主叫接收SIP OK响应时,主叫将其ExpireTimer修改为100分钟,并通过ACK请求来确认SIP OK响应。PAD 40向CCSC 120传递ACK响应,CCSC 120批准ACK响应中携带的最终SIP功能集。在这种批准之后,CCSC 120通过无活动计时器和其它参数来配置PAD 40以协助该SIP呼叫。CCSC 120还向PAD 40返回ACK消息,PAD 40再将ACK消息转发给被叫。一旦接收到被叫的ACK响应,就成功地建立了SIP呼叫。
IP多播实例
如当前网络中所实现的,IP多播、即数据包传送给两个或更多接收机采用通信的“开放组”模型。根据开放组模型,源只需要知道数据包要发送到的多播地址,但不需要知道参与多播会话的“组”的成员,和/或属于正在发送的多播数据包要到达的多播组。此外,不存在组成员需要用来登记、同步或协商的集中组管理实体,这意味着多播组成员能够随意加入或离开多播组。
虽然多播通信当前的开放组模型不允许多播通信的管理或控制,但多播组成员的管理和控制对于发送方和接收方都是重要的。对于发送方,重要的是只有经授权的源才可用于向多播组发送数据包。例如,内容提供商往往希望保护其作为多播组的唯一数据源的独占性,并且希望避免因未授权源的泛滥而产生的拒绝服务攻击。同样重要的是,对多播组中的接收方集合进行控制以限制接收送往源所授权的各方的数据包。作为一个实例,源希望限制能够接收视频分发和视频会议多播数据包的接收方。考虑到传统的IP多播开放组模型中的上述缺陷,本发明的网络接入系统体系结构实现基于策略的多播业务管理,如图10A-10H所示。
首先参照描述两个时空示意图的图10A-10B,其中说明了管理根据本发明的新多播组的登记的示范网络接入系统信令。如图10A所示,用户站上的主机通过经PAD 40向接入路由器44发送因特网组多播协议(IGMP)加入组报告消息来发出信号,希望加入某个多播组(它可以是新的多播组)。配置成通过检查协议类型(PT=2)来捕捉IGMP消息的PAD 40的包头过滤器80将加入组报告消息转发给外部处理器42中的多播业务控制器(MSC)120。响应加入组报告消息的接收,MSC 120经SPI 56查询策略服务器48,本例中采用LDAP。策略服务器48通过搜索策略数据库46以确定主机的IP地址是否属于该多播组的合格成员列表而对该查询作出响应。
如图10B所示,如果策略服务器48确定主机不适合加入该多播组,则策略服务器48向MSC 120返回策略判决,拒绝该加入组请求。MSC 120通过丢弃加入组消息以防止未经授权的主机在接入路由器44中登记新的多播组,对请求的拒绝作出响应。MSC 120也可将未经授权的尝试写入事件日志中,用于检测欺诈尝试或拒绝服务攻击。
或者,如果策略服务器48批准主机加入指定多播组的请求,如图10A所示,策略服务器48则向MSC 120发送表示批准的策略判决,MSC 120向PAD 40返回加入组报告消息。PAD 40则向接入路由器44转发加入组报告消息。如果主机是网络上多播组的第一成员,接入路由器44则将加入组报告消息中所报告的多播组加入主机所连接的网络上的多播组成员的列表中。
下面参照描述时空示意图的图10B和10C,其中说明了用于管理设法确定多播组成员的主机成员查询的示范网络接入系统信令。在图10C所示的实例中,PAD 40接收网络中从接入路由器44发出的IGMP主机成员查询消息。包头过滤器80根据其端口号捕捉该IGMP消息,并将主机成员查询消息传递给外部处理器42中的MSC 120。MSC 120则经SPI 56(本例中采用LDAP)查询策略服务器48,以确定主机成员查询消息的源地址是否是经过授权的接入路由器44。
如图10B所示,如果策略服务器48通过参考策略数据库46确定主机成员查询消息来自未识别或未授权源,则策略服务器48向MSC120返回策略判决,拒绝主机成员查询。响应该查询的拒绝,MSC 120丢弃该主机成员查询消息,并将告警消息写入其事件日志,这可表明因未经授权的主机成员查询消息的泛滥而引向网络的服务拒绝。
另一方面,如果策略服务器48批准该主机成员查询并这样指示MSC 120,如图10C所示,主机成员查询则被返回给PAD 40,PAD 40再将主机成员查询转发给用户站中的主机。这样,本发明的网络接入系统支持主机成员查询的基于策略的管理。
下面参照图10E-10F,说明用来管理向网络发送多播数据包的示范网络接入系统信令的时空示意图。在图10E-10F所示的实例中,用户站上的主机发送指向特定多播组的IP多播数据包。当PAD 40接收第一多播数据包时,在进行检验以确定是否先前已收到具有其多播地址的数据包之后,包头过滤器80捕捉该数据包。PAD 40则向外部处理器42中的MSC 120传递第一多播数据包。MSC 120经SPI 56(本例中采用LDAP)查询策略服务器48,以确定多播数据包的源地址是否经授权以向指定多播组发送多播数据包。
如图10F所示,响应拒绝发送多播数据包的策略判决(例如因为发送多播数据包的源是未识别或未经授权的)的接收,MSC 120配置PAD40来丢弃源和多播地址的这种组合的多播数据包,并将告警消息写入事件日志,可表明将大量多播数据包塞入网络的特定源的拒绝服务尝试。或者,如果MSC 120接收来自策略服务器48批准多播数据包的策略判决,如图10E所示,MSC 120则配置PAD 40直接将源和多播地址的这种组合的多播数据包转发给接入路由器44,并向PAD 40返回第一多播数据包。PAD 40则将第一多播数据包转发给接入路由器44,并将数据流中的全部后续多播数据包直接转发给接入路由器44而不将其传递给MSC 120。这样,本发明的网络接入系统采用基于策略的判决来允许授权多播数据包的进入并阻止未授权数据包的进入。
下面参照图10G-10H说明用来管理从网络接收多播数据包的示范网络接入系统信令的时空示意图。在图10G和10H所示的实例中,接入路由器44接收来自网络的IP多播数据包,并将其转发给PAD 40。响应第一多播数据包的接收,在进行检验以确定是否先前已收到具有其多播地址的数据包之后,PAD 40的包头过滤器90捕捉该多播数据包。然后包头过滤器90将第一多播数据包传递给外部处理器42中的MSC 120,MSC 120则查询策略服务器48以确定多播地址的源地址是否经授权以向指定多播组发送多播数据包。
如图10H所示,如果策略服务器48确定多播数据包的接收未经授权,例如因为该多播数据包的源是未识别或未授权的,则策略服务器48向MSC 120发送策略判决,拒绝接收该多播数据包。对拒绝接收多播数据包作出响应,MSC 120配置PAD 40来丢弃源和多播地址的这种组合的多播数据包,并将告警消息写入事件日志,这可表明来自指定源地址、试图使用户站中的子网泛滥的未授权多播数据包。因此,包含源和多播地址的相同组合的后续多播数据包被PAD 40丢弃。
或者,如图10G所示,如果策略服务器48批准接收多播数据包,MSC 120则配置PAD 40将包含源和多播地址的相同组合的后续数据包直接转发给用户站。MSC 120还向PAD 40返回第一多播数据包,PAD 40则将第一多播数据包和后续多播数据包转发给用户站。如图10H所示,数据流中的后续多播数据包由PAD 40直接转发给用户站而不传递给MSC 120。
结论
如上所述,本发明引入分布式网络接入系统体系结构。本发明的分布式网络接入系统体系结构采用至少包含过滤和转发功能的可编程接入装置、具有实现PAD的基于策略的控制的一个或多个具体业务的业务控制器的外部处理器以及执行基本路由选择的接入路由器来取代传统的单片边缘路由器。这种分布式体系结构具有优于传统的单片路由器体系结构的众多优点,其中包括可缩放性、灵活性、可扩展性、互通性、安全性以及服务提供能力。
与传统的单片路由器相比,由于以下三个逻辑模块中功能的分布性,本发明的网络接入体系结构实现了优良的可缩放性:可编程接入装置、提供业务控制的外部处理器以及接入路由器。具体地说,通过将接入路由器所执行的路由选择与可编程接入装置和外部处理器所实现的功能分离,能够仅通过根据业务要求和用户需求增加外部处理器模块和可编程接入装置来处理附加业务量和业务,而不使接入路由器过载。另外,由于因特网业务模式继续从逻辑集中向全局分布转变,在网络接入点独立于区域路由选择来应用业务和策略控制的能力为向远程目标转发业务量提供了更加可缩放的设计。
本发明的分布式网络接入系统体系结构还提供了改善的灵活性。这种灵活性是服务提供商和/或用户实现管理可编程接入装置的功能模块的业务控制和可编程性的策略的能力的自然产物。例如,可编程接入装置的包头过滤器能够配置成根据SA、DA、TOS/DSCP、PT、SP和DP的任意组合以及诸如TCP、SIP和IGMP之类的高层协议信息来区分数据包流。另外,可编程接入装置的监测器能够由外部处理器的业务控制器进行编程,以便收集SA、DA、TOS/DSCP、PT、SP、DP或其它字段的任意组合的统计信息,并根据所收集的统计信息对事件进行报告(例如过多TCP重传和RTP/UDP无活动性)。这种监测的一个特别有用的应用是跟踪不同的第2层、第3层、第4层以及更高层业务量类型的统计信息,以保证在整个网络上保持有效的SLA。与SLA当前的TDM(时分复用)方式相比,在网络中提供动态SLA支持的基于策略的方法是一种更为灵活的解决方案。
可扩展性优点的产生在某种程度上是因为外部处理器中的业务控制器所提供的具体业务控制。这种具体业务的控制能够通过各支持具体业务的API的专用业务控制器或者通用控制器来实现。不管所选实现如何,都能够仅通过增加新的业务控制器或者修改现有业务控制器来引入新业务。新业务的增加不要求对可编程接入装置、接入路由器或其它业务控制器进行任何变更。因此,在业务升级过程中不会中断其它业务。此外,由于业务控制器独立于可编程接入装置和接入路由器,因此新业务的发展和现有业务的升级不依靠专有硬件的厂商,极大地降低了开发或升级业务的时间和成本。
本发明的可扩展性还可归功于附加的监测功能,它们可在可编程接入装置中实现,用以例如通过向业务控制器保存和报告存储器转储和其它相关信息来检验与标准的一致性、调试代码以及辅助故障诊断。这种功能没有集成到传统的交换机或路由器中,并且通常仅通过增加外部网络监测装置来实现。本发明所提供的增强的使用情况监测使服务提供商能够动态地销售网络资源(即容量),同时仍然符合SLA。这不仅改善了网络利用率,而且还使通信业务工程自动化,降低了网络管理费用。
如上所述,本发明的分布式网络接入系统在可编程接入装置、提供业务控制的外部处理器以及接入路由器之间分配网络接入功能。由于这些不同组件通过明确定义的接口进行通信,因此互通性不依靠全部硬件或软件组件均需由相同厂商开发。
本发明还提供防止服务盗用和网络攻击的增强安全性。例如,外部处理器可保持在安全环境下,而让可编程接入装置的转发功能放置在较低安全性的环境中。另外,安全性软件和/或硬件能够方便地集成到外部处理器中,使得从IP地址而不是从其外部主处理器来配置可编程接入装置的会话(以及其它未经授权的通信)均被可编程接入装置的包头过滤器所拒绝,而不会传递到网络中。
本发明还具有增强的业务提供能力。由于可编程接入装置截取网络、传输以及应用层消息,从而实现应用和用户的识别,因此本发明的网络接入系统能够为用户应用的数据流建立适当的优先级或者为其提供所需带宽。例如,通过采用RSVP和LAN子网带宽管理器(SBM),可在局域网和广域网上端到端地为用户应用提供保证带宽和优先级。重要的是,使用户应用能够根据可用网络容量预留带宽、执行许可控制以及设置业务流优先级的策略能够不仅由服务提供商而且还由用户来确定。这样,用户应用能够与服务提供商网络资源交互作用,以便动态提供业务,并为应用提供保证的业务质量。这种由策略控制所调用的基于网络的提供取代了费时且易出错的OSS(操作支持系统)提供,从而降低了以IP为中心的用户应用的网络提供的密集度和成本。
即使具有上述优点,本发明的分布式网络接入系统体系结构还能够提供节省成本的网络解决方案。目前的趋势是服务提供商将在其网络设计的边缘推行更“智能的”、因而也更昂贵的装置。但这种设计要求用户购买智能的、因而也是昂贵的CPE(用户终端设备)。相反,本发明的分布式网络接入系统体系结构支持价格较低的PAD,使用户能够购买足够的智能化以提供业务传送而不需要过度的花费。
虽然参照最佳实施例对本发明进行了具体说明,但本领域的技术人员应当理解,可进行形式和细节上的各种改变,只要未背离本发明的精神和范围。例如,虽然已经结合执行指导本发明功能的软件的计算机系统说明了本发明的一些方面,但是应当理解,本发明也可作为与数据处理系统配合使用的程序产品来实现。定义本发明的功能的程序能够通过多种信号承载媒体传送给数据处理系统,其中包括但不限于非可重写存储媒体(如CD ROM)、可重写存储媒体(如软盘或硬盘驱动器)以及通信媒体、如数字和模拟网络。因此应当理解,这类信号承载媒体在对指导本发明功能的计算机可读指令进行传送或编码时,表示本发明的其它实施例。
Claims (39)
1.在包括外部处理器和可编程接入装置的网络接入系统中通信的方法,所述方法包括:
从所述外部处理器向所述可编程接入装置发送控制消息以便建立所述可编程接入装置的配置;以及
根据所述配置从所述可编程接入装置向所述外部处理器传递消息以进行业务处理。
2.如权利要求1所述的方法,其特征在于:
发送控制消息包括发送过滤器控制消息以建立所述可编程接入装置中的包头过滤器的配置;以及
传递消息包括传递由所述可编程接入装置的所述包头过滤器从数据包流中过滤得到的网络消息。
3.如权利要求2所述的方法,其特征在于还包括通过向所述可编程接入装置发送设置所述可编程接入装置中的消息接口标志的消息,限制从所述可编程接入装置到所述外部处理器的网络消息的传递。
4.如权利要求1所述的方法,其特征在于:
发送控制消息包括发送监测器控制消息以建立所述可编程接入装置中的监测器的配置;以及
传递消息包括响应所述监测器的配置而从所述可编程接入装置向所述外部处理器传递报告消息。
5.如权利要求4所述的方法,其特征在于:发送监测器控制消息包括发送控制消息以建立允许重传的极限次数。
6.如权利要求1所述的方法,其特征在于:发送监测器控制消息包括发送活动等级阈值。
7.如权利要求1所述的方法,其特征在于:发送控制消息包括发送管制器控制消息以建立所述可编程接入装置中的管制器的配置。
8.如权利要求1所述的方法,其特征在于:发送控制消息包括发送转发表控制消息以建立所述可编程接入装置中的转发表的配置。
9.如权利要求8所述的方法,其特征在于:建立转发表的配置包括在所述可编程接入装置中建立新的转发表。
10.如权利要求1所述的方法,其特征在于:发送控制消息包括发送控制消息以建立所述可编程接入装置中的调度器和一个或多个相关输出缓冲器的配置。
11.如权利要求1所述的方法,其特征在于:发送控制消息包括发送整形器控制消息以建立所述可编程接入装置中的整形器的配置。
12.如权利要求1所述的方法,其特征在于:
从所述外部处理器向所述可编程接入装置发送控制消息以建立所述可编程接入装置的配置包括发送指定不可从中接受数据包的源的控制消息;以及
所述方法还包括由所述可编程接入装置丢弃来自所述指定源的数据包。
13.如权利要求1所述的方法,其特征在于还包括响应所述外部处理器的业务处理,把来自所述外部处理器的数据包通过所述可编程接入装置送入数据包流中。
14.如权利要求1所述的方法,其特征在于:
从所述外部处理器向所述可编程接入装置发送控制消息以建立所述可编程接入装置的配置包括发送会话删除控制消息;以及
所述方法还包括所述可编程接入装置删除由所述会话删除控制消息指定的会话。
15.如权利要求1所述的方法,其特征在于还包括:所述外部处理器响应来自所述可编程接入装置的消息的接收,向网络硬件发送信号以建立网络连接。
16.如权利要求1所述的方法,其特征在于还包括:在所述外部处理器和所述可编程接入装置之间交换保持激活消息。
17.如权利要求1所述的方法,其特征在于:发送控制消息包括经由应用编程接口访问所述外部处理器上的控制处理器。
18.如权利要求1所述的方法,其特征在于还包括响应所述控制消息,从所述可编程接入装置向所述外部处理器发送确认。
19.如权利要求1所述的方法,其特征在于还包括响应所述外部处理器中服务于会话的业务控制器的故障,从所述可编程接入装置向所述外部处理器传递所述会话的状态。
20.如权利要求1所述的方法,其特征在于:发送控制消息包括经由中间通信网络发送控制消息。
21.一种网络接入系统,包括:
外部处理器,发送指定配置的控制消息;以及
可编程接入装置,响应所述控制消息,建立所述控制消息所指定的配置并且根据所述配置把消息传递给所述外部处理器以进行业务处理。
22.如权利要求21所述的网络接入系统,其特征在于:
所述可编程接入装置包括包头过滤器;
所述控制消息包括建立所述包头过滤器的配置的过滤器控制消息;以及
由所述可编程接入装置传递的消息包括由所述可编程接入装置的包头过滤器从数据包流中过滤得到的网络消息。
23.如权利要求22所述的网络接入系统,其特征在于:所述外部处理器包括用于通过向所述可编程接入装置发送设置所述可编程接入装置中的消息接口标志的消息、限制从所述可编程接入装置到所述外部处理器的网络消息的传递的装置。
24.如权利要求21所述的网络接入系统,其特征在于:
所述可编程接入装置包括用于网络业务量的监测器;
所述控制消息包括指定所述监测器的配置的监测器控制消息;以及
所述可编程接入装置传递的消息包括根据所述配置的报告消息。
25.如权利要求24所述的网络接入系统,其特征在于:所述控制消息指定允许重传的极限次数。
26.如权利要求24所述的网络接入系统,其特征在于:所述监测器控制消息指定活动等级阈值。
27.如权利要求21所述的网络接入系统,其特征在于:
所述可编程接入装置包括管制器;以及
所述控制消息包括指定所述管制器的配置的管制器控制消息。
28.如权利要求21所述的网络接入系统,其特征在于:所述控制消息包括指定转发表的配置的转发表控制消息。
29.如权利要求21所述的网络接入系统,其特征在于:
所述可编程接入装置包括用于输出数据包的一个或多个输出缓冲器以及相关调度器;以及
所述控制消息指定所述调度器以及所述一个或多个输出缓冲器的配置。
30.如权利要求21所述的网络接入系统,其特征在于:
所述可编程接入装置包括整形器;以及
所述控制消息包括指定所述整形器的配置的整形器控制。
31.如权利要求21所述的网络接入系统,其特征在于:
所述控制消息指定不从中接受数据包的源;以及
所述可编程接入装置包括用于丢弃来自所述指定源的数据包的装置。
32.如权利要求21所述的网络接入系统,其特征在于:所述外部处理器包括响应所述外部处理器的业务处理、用于把数据包通过所述可编程接入装置注入数据包流中的装置。
33.如权利要求21所述的网络接入系统,其特征在于:
所述控制消息包括会话删除控制消息;以及
所述可编程接入装置包括用于删除所述会话删除控制消息所指定的会话的装置。
34.如权利要求21所述的网络接入系统,其特征在于:所述外部处理器包括响应从所述可编程接入装置接收的消息而向网络硬件发出信号以建立网络连接的信令处理器。
35.如权利要求21所述的网络接入系统,其特征在于:所述外部处理器和所述可编程接入装置均包括用于交换保持激活消息的装置。
36.如权利要求21所述的网络接入系统,其特征在于:所述外部处理器包括输出所述控制消息的控制处理器以及通过其访问所述控制处理器的应用编程接口。
37.如权利要求21所述的网络接入系统,其特征在于:所述可编程接入装置包括响应所述控制消息、用于向所述外部处理器发送确认的装置。
38.如权利要求21所述的网络接入系统,其特征在于:
所述外部处理器包括多个提供业务处理的业务控制器;以及
所述可编程接入装置包括用于响应服务于会话的业务控制器的故障而向所述外部处理器传递会话状态的装置。
39.如权利要求21所述的网络接入系统,其特征在于还包括连接所述外部处理器和所述可编程接入装置的网络。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/723,480 | 2000-11-28 | ||
| US09/723,480 US8185615B1 (en) | 2000-11-28 | 2000-11-28 | Message, control and reporting interface for a distributed network access system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1547710A true CN1547710A (zh) | 2004-11-17 |
Family
ID=24906446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA018222749A Pending CN1547710A (zh) | 2000-11-28 | 2001-11-28 | 分布式网络接入系统的消息、控制和报告接口 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8185615B1 (zh) |
| EP (1) | EP1340157A4 (zh) |
| JP (1) | JP2004515182A (zh) |
| CN (1) | CN1547710A (zh) |
| AU (1) | AU2002225764A1 (zh) |
| BR (1) | BR0115731A (zh) |
| CA (1) | CA2430120A1 (zh) |
| MX (1) | MXPA03004669A (zh) |
| WO (1) | WO2002044921A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764719B (zh) * | 2009-11-30 | 2012-06-27 | 福建星网锐捷网络有限公司 | 一种内存告警处理方法、装置及网络设备 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9262383B2 (en) | 1999-05-21 | 2016-02-16 | E-Numerate Solutions, Inc. | System, method, and computer program product for processing a markup document |
| US9268748B2 (en) | 1999-05-21 | 2016-02-23 | E-Numerate Solutions, Inc. | System, method, and computer program product for outputting markup language documents |
| US9262384B2 (en) | 1999-05-21 | 2016-02-16 | E-Numerate Solutions, Inc. | Markup language system, method, and computer program product |
| US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
| US9600842B2 (en) | 2001-01-24 | 2017-03-21 | E-Numerate Solutions, Inc. | RDX enhancement of system and method for implementing reusable data markup language (RDL) |
| JP4161185B2 (ja) * | 2001-11-16 | 2008-10-08 | 日本電気株式会社 | 時刻同期データの伝送方法 |
| DE10260128B4 (de) * | 2002-12-19 | 2004-12-02 | Db Systems Gmbh | Ressourcenverwaltung für IP-basierte Netze mit zentraler Eskalations-Instanz |
| US20040205183A1 (en) * | 2003-03-10 | 2004-10-14 | Sandvine Incorporated | Method and system for avoiding tracking communication connection state until accepted |
| JP2005294956A (ja) * | 2004-03-31 | 2005-10-20 | Mitsui Eng & Shipbuild Co Ltd | 分散データ収集システムおよび同システムの構築方法 |
| EP1768314A1 (en) * | 2005-09-22 | 2007-03-28 | Alcatel | Access nodes for giving a client device access to an internet network |
| US8295300B1 (en) * | 2007-10-31 | 2012-10-23 | World Wide Packets, Inc. | Preventing forwarding of multicast packets |
| JP5088830B2 (ja) * | 2008-10-30 | 2012-12-05 | 岩崎通信機株式会社 | パケット通過制御方法 |
| US8904039B1 (en) | 2008-11-10 | 2014-12-02 | Tanium Inc. | Large-scale network querying and reporting |
| US8086729B1 (en) * | 2008-11-10 | 2011-12-27 | Tanium Inc. | Distributed statistical detection of network problems and causes |
| US8903973B1 (en) | 2008-11-10 | 2014-12-02 | Tanium Inc. | Parallel distributed network management |
| JP2010283590A (ja) * | 2009-06-04 | 2010-12-16 | Mitsubishi Electric Corp | 接続監視方法 |
| EP2652923B1 (en) * | 2010-12-13 | 2016-10-12 | Nec Corporation | Communication path control system, path control device, communication path control method, and path control program |
| US9059961B2 (en) | 2012-12-21 | 2015-06-16 | Tanium Inc. | Creation and maintenance of self-organizing communication orbits in distributed networks |
| US11172470B1 (en) | 2012-12-21 | 2021-11-09 | Tanium Inc. | System, security and network management using self-organizing communication orbits in distributed networks |
| US9769037B2 (en) | 2013-11-27 | 2017-09-19 | Tanium Inc. | Fast detection and remediation of unmanaged assets |
| US9667738B2 (en) | 2014-03-24 | 2017-05-30 | Tanium Inc. | Local data caching for data transfers on a network of computational devices |
| US10873645B2 (en) | 2014-03-24 | 2020-12-22 | Tanium Inc. | Software application updating in a local network |
| US9769275B2 (en) | 2014-03-24 | 2017-09-19 | Tanium Inc. | Data caching and distribution in a local network |
| US10171511B2 (en) | 2014-09-25 | 2019-01-01 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| US10244003B2 (en) * | 2014-09-25 | 2019-03-26 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| US9400888B1 (en) | 2015-02-27 | 2016-07-26 | Qualcomm Incorporated | Systems and methods for mitigating effects of an unresponsive secure element during link establishment |
| US11461208B1 (en) | 2015-04-24 | 2022-10-04 | Tanium Inc. | Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network |
| US9910752B2 (en) | 2015-04-24 | 2018-03-06 | Tanium Inc. | Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network |
| JP2018164119A (ja) * | 2015-07-13 | 2018-10-18 | 日本電気株式会社 | 制御装置、障害通知方法及びプログラム |
| US10158679B2 (en) | 2015-11-18 | 2018-12-18 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| US10372904B2 (en) | 2016-03-08 | 2019-08-06 | Tanium Inc. | Cost prioritized evaluations of indicators of compromise |
| US11609835B1 (en) | 2016-03-08 | 2023-03-21 | Tanium Inc. | Evaluating machine and process performance in distributed system |
| US11153383B2 (en) | 2016-03-08 | 2021-10-19 | Tanium Inc. | Distributed data analysis for streaming data sources |
| US10929345B2 (en) | 2016-03-08 | 2021-02-23 | Tanium Inc. | System and method of performing similarity search queries in a network |
| US11886229B1 (en) | 2016-03-08 | 2024-01-30 | Tanium Inc. | System and method for generating a global dictionary and performing similarity search queries in a network |
| US11372938B1 (en) | 2016-03-08 | 2022-06-28 | Tanium Inc. | System and method for performing search requests in a network |
| US10498744B2 (en) | 2016-03-08 | 2019-12-03 | Tanium Inc. | Integrity monitoring in a local network |
| US10397315B2 (en) * | 2016-05-26 | 2019-08-27 | Fujitsu Limited | Information processing apparatus and load distribution control method |
| US10824729B2 (en) | 2017-07-14 | 2020-11-03 | Tanium Inc. | Compliance management in a local network |
| US10841365B2 (en) | 2018-07-18 | 2020-11-17 | Tanium Inc. | Mapping application dependencies in a computer network |
| US11343355B1 (en) | 2018-07-18 | 2022-05-24 | Tanium Inc. | Automated mapping of multi-tier applications in a distributed system |
| US11831670B1 (en) | 2019-11-18 | 2023-11-28 | Tanium Inc. | System and method for prioritizing distributed system risk remediations |
| US11563764B1 (en) | 2020-08-24 | 2023-01-24 | Tanium Inc. | Risk scoring based on compliance verification test results in a local network |
Family Cites Families (90)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4228496A (en) | 1976-09-07 | 1980-10-14 | Tandem Computers Incorporated | Multiprocessor system |
| US5058056A (en) | 1983-09-12 | 1991-10-15 | International Business Machines Corporation | Workstation takeover control |
| US4899333A (en) | 1988-03-31 | 1990-02-06 | American Telephone And Telegraph Company At&T Bell Laboratories | Architecture of the control of a high performance packet switching distribution network |
| US5027269A (en) * | 1989-04-27 | 1991-06-25 | International Business Machines Corporation | Method and apparatus for providing continuous availability of applications in a computer network |
| US5115432A (en) * | 1989-12-12 | 1992-05-19 | At&T Bell Laboratories | Communication architecture for high speed networking |
| US5251205A (en) | 1990-09-04 | 1993-10-05 | Digital Equipment Corporation | Multiple protocol routing |
| FR2690260B1 (fr) * | 1992-04-17 | 1997-01-03 | Bull Sa | Utilisation d'un protocole bidirectionnel de tres haut niveau pour la communication entre un systeme hypermedia et une pluralite d'editeurs. |
| US5490252A (en) | 1992-09-30 | 1996-02-06 | Bay Networks Group, Inc. | System having central processor for transmitting generic packets to another processor to be altered and transmitting altered packets back to central processor for routing |
| US5592672A (en) | 1993-11-02 | 1997-01-07 | Bell Communications Research, Inc. | System for load balancing between message processors by routing all queued messages to a particular processor selected by a deterministic rule |
| US5541911A (en) * | 1994-10-12 | 1996-07-30 | 3Com Corporation | Remote smart filtering communication management system |
| US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
| US5737526A (en) * | 1994-12-30 | 1998-04-07 | Cisco Systems | Network having at least two routers, each having conditional filter so one of two transmits given frame and each transmits different frames, providing connection to a subnetwork |
| US5777549A (en) | 1995-03-29 | 1998-07-07 | Cabletron Systems, Inc. | Method and apparatus for policy-based alarm notification in a distributed network management environment |
| JP3097525B2 (ja) * | 1995-11-10 | 2000-10-10 | 株式会社日立製作所 | 情報フィルタリング処理を行うデータ伝送方法 |
| US5742607A (en) * | 1995-12-20 | 1998-04-21 | Intel Corporation | Method and apparatus for controlling two way communication via disparate physical media |
| US5838907A (en) * | 1996-02-20 | 1998-11-17 | Compaq Computer Corporation | Configuration manager for network devices and an associated method for providing configuration information thereto |
| US5870561A (en) | 1996-03-15 | 1999-02-09 | Novell, Inc. | Network traffic manager server for providing policy-based recommendations to clients |
| US6038309A (en) | 1996-06-13 | 2000-03-14 | Northern Telecom Limited | Apparatus and method for externally controlling processing of a service call |
| US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
| US6304893B1 (en) | 1996-07-01 | 2001-10-16 | Sun Microsystems, Inc. | Object-oriented system, method and article of manufacture for a client-server event driven message framework in an interprise computing framework system |
| US6111883A (en) | 1996-07-12 | 2000-08-29 | Hitachi, Ltd. | Repeater and network system utilizing the same |
| US5832228A (en) | 1996-07-30 | 1998-11-03 | Itt Industries, Inc. | System and method for providing multi-level security in computer devices utilized with non-secure networks |
| US6148000A (en) * | 1996-10-02 | 2000-11-14 | International Business Machines Corporation | Merging of data cells at network nodes |
| US5835727A (en) | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
| US6012088A (en) * | 1996-12-10 | 2000-01-04 | International Business Machines Corporation | Automatic configuration for internet access device |
| US6085243A (en) * | 1996-12-13 | 2000-07-04 | 3Com Corporation | Distributed remote management (dRMON) for networks |
| US6157648A (en) | 1997-03-06 | 2000-12-05 | Bell Atlantic Network Services, Inc. | Network session management |
| US6311215B1 (en) | 1997-03-25 | 2001-10-30 | Intel Corporation | System for dynamic determination of client communications capabilities |
| US6161145A (en) | 1997-05-08 | 2000-12-12 | International Business Machines Corporation | Updating server-related data at a client |
| US5996021A (en) | 1997-05-20 | 1999-11-30 | At&T Corp | Internet protocol relay network for directly routing datagram from ingress router to egress router |
| US6137777A (en) | 1997-05-27 | 2000-10-24 | Ukiah Software, Inc. | Control tool for bandwidth management |
| US5968176A (en) | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US5938736A (en) | 1997-06-30 | 1999-08-17 | Sun Microsystems, Inc. | Search engine architecture for a high performance multi-layer switch element |
| US6081522A (en) | 1997-06-30 | 2000-06-27 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
| US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
| US5920566A (en) | 1997-06-30 | 1999-07-06 | Sun Microsystems, Inc. | Routing in a multi-layer distributed network element |
| US6094435A (en) | 1997-06-30 | 2000-07-25 | Sun Microsystems, Inc. | System and method for a quality of service in a multi-layer network element |
| JP3372455B2 (ja) | 1997-07-03 | 2003-02-04 | 富士通株式会社 | パケット中継制御方法,パケット中継装置およびプログラム記憶媒体 |
| US6233245B1 (en) * | 1997-12-24 | 2001-05-15 | Nortel Networks Limited | Method and apparatus for management of bandwidth in a data communication network |
| CA2226063C (en) * | 1997-12-31 | 2003-10-07 | Northern Telecom Limited | A method of provisioning nodes within a communications network |
| US6230271B1 (en) | 1998-01-20 | 2001-05-08 | Pilot Network Services, Inc. | Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration |
| US6157635A (en) | 1998-02-13 | 2000-12-05 | 3Com Corporation | Integrated remote data access and audio/visual conference gateway |
| US6141686A (en) | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
| US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US6452915B1 (en) | 1998-07-10 | 2002-09-17 | Malibu Networks, Inc. | IP-flow classification in a wireless point to multi-point (PTMP) transmission system |
| US6424659B2 (en) | 1998-07-17 | 2002-07-23 | Network Equipment Technologies, Inc. | Multi-layer switching apparatus and method |
| US6170009B1 (en) | 1998-07-17 | 2001-01-02 | Kallol Mandal | Controlling devices on a network through policies |
| US6631414B2 (en) | 1998-08-31 | 2003-10-07 | International Business Machines Corporation | System and method for establishing virtual and physical connection paths between peer systems |
| US6219706B1 (en) | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6167445A (en) * | 1998-10-26 | 2000-12-26 | Cisco Technology, Inc. | Method and apparatus for defining and implementing high-level quality of service policies in computer networks |
| US6286052B1 (en) | 1998-12-04 | 2001-09-04 | Cisco Technology, Inc. | Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6434618B1 (en) * | 1998-11-12 | 2002-08-13 | Lucent Technologies Inc. | Programmable network element for packet-switched computer network |
| US6487170B1 (en) * | 1998-11-18 | 2002-11-26 | Nortel Networks Limited | Providing admission control and network quality of service with a distributed bandwidth broker |
| US6466976B1 (en) | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
| US6625150B1 (en) | 1998-12-17 | 2003-09-23 | Watchguard Technologies, Inc. | Policy engine architecture |
| US6542508B1 (en) | 1998-12-17 | 2003-04-01 | Watchguard Technologies, Inc. | Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor |
| US6611872B1 (en) * | 1999-01-11 | 2003-08-26 | Fastforward Networks, Inc. | Performing multicast communication in computer networks by using overlay routing |
| US6286035B1 (en) | 1999-02-01 | 2001-09-04 | Lucent Technologies Inc. | Validating and parsing engine for system configuration and support command messages |
| EP1234259A2 (en) | 1999-02-26 | 2002-08-28 | Accenture LLP | A system, method and article of manufacture for an electronic commerce interface to the government |
| AU3394000A (en) | 1999-03-05 | 2000-09-21 | At & T Corporation | System, method and apparatus for network service load and reliability management |
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
| WO2000068864A1 (en) | 1999-05-10 | 2000-11-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus in a communication network |
| US8099758B2 (en) | 1999-05-12 | 2012-01-17 | Microsoft Corporation | Policy based composite file system and method |
| US6532241B1 (en) * | 1999-05-20 | 2003-03-11 | Cisco Technology, Inc. | Method and apparatus for determining SNA sessions using various protocols for transport based on filter criteria |
| US6587466B1 (en) * | 1999-05-27 | 2003-07-01 | International Business Machines Corporation | Search tree for policy based packet classification in communication networks |
| US6442547B1 (en) | 1999-06-02 | 2002-08-27 | Andersen Consulting | System, method and article of manufacture for information service management in a hybrid communication system |
| US6505244B1 (en) | 1999-06-29 | 2003-01-07 | Cisco Technology Inc. | Policy engine which supports application specific plug-ins for enforcing policies in a feedback-based, adaptive data network |
| JP3895888B2 (ja) | 1999-06-29 | 2007-03-22 | 株式会社日立製作所 | パケット通信方法およびノード装置 |
| US6606316B1 (en) * | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Gathering network statistics in a distributed network service environment |
| US6539425B1 (en) | 1999-07-07 | 2003-03-25 | Avaya Technology Corp. | Policy-enabled communications networks |
| US6584508B1 (en) | 1999-07-13 | 2003-06-24 | Networks Associates Technology, Inc. | Advanced data guard having independently wrapped components |
| US6941465B1 (en) | 1999-07-26 | 2005-09-06 | Microsoft Corporation | Method of enforcing a policy on a computer network |
| US6598034B1 (en) | 1999-09-21 | 2003-07-22 | Infineon Technologies North America Corp. | Rule based IP data processing |
| US6680943B1 (en) * | 1999-10-01 | 2004-01-20 | Nortel Networks Limited | Establishing bi-directional communication sessions across a communications network |
| US6578076B1 (en) | 1999-10-18 | 2003-06-10 | Intel Corporation | Policy-based network management system using dynamic policy generation |
| US6765927B1 (en) | 1999-10-20 | 2004-07-20 | Alcatel | RSVP proxy service for communication network |
| US6366577B1 (en) | 1999-11-05 | 2002-04-02 | Mci Worldcom, Inc. | Method for providing IP telephony with QoS using end-to-end RSVP signaling |
| US6570884B1 (en) * | 1999-11-05 | 2003-05-27 | 3Com Corporation | Receive filtering for communication interface |
| US6788647B1 (en) | 1999-11-19 | 2004-09-07 | Cisco Technology, Inc. | Automatically applying bi-directional quality of service treatment to network data flows |
| US6674743B1 (en) | 1999-12-30 | 2004-01-06 | 3Com Corporation | Method and apparatus for providing policy-based services for internal applications |
| US6601101B1 (en) | 2000-03-15 | 2003-07-29 | 3Com Corporation | Transparent access to network attached devices |
| US7133403B1 (en) * | 2000-05-05 | 2006-11-07 | Fujitsu Limited | Transport network and method |
| US6775689B1 (en) | 2000-06-07 | 2004-08-10 | International Business Machines Corporation | System for restructuring selected parts of email messages prior to transmission to plurality of recipients |
| US6697857B1 (en) | 2000-06-09 | 2004-02-24 | Microsoft Corporation | Centralized deployment of IPSec policy information |
| US7088720B1 (en) | 2000-08-07 | 2006-08-08 | Sbc Technology Resources, Inc. | Multiservice use of network connection capability under user-to-network interface signaling |
| US6836462B1 (en) * | 2000-08-30 | 2004-12-28 | Cisco Technology, Inc. | Distributed, rule based packet redirection |
| US6771673B1 (en) | 2000-08-31 | 2004-08-03 | Verizon Communications Inc. | Methods and apparatus and data structures for providing access to an edge router of a network |
| US6665495B1 (en) | 2000-10-27 | 2003-12-16 | Yotta Networks, Inc. | Non-blocking, scalable optical router architecture and method for routing optical traffic |
| US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
-
2000
- 2000-11-28 US US09/723,480 patent/US8185615B1/en active Active
-
2001
- 2001-11-28 AU AU2002225764A patent/AU2002225764A1/en not_active Abandoned
- 2001-11-28 BR BR0115731-0A patent/BR0115731A/pt not_active Application Discontinuation
- 2001-11-28 CA CA002430120A patent/CA2430120A1/en not_active Abandoned
- 2001-11-28 MX MXPA03004669A patent/MXPA03004669A/es unknown
- 2001-11-28 EP EP01995248A patent/EP1340157A4/en not_active Withdrawn
- 2001-11-28 JP JP2002547019A patent/JP2004515182A/ja not_active Withdrawn
- 2001-11-28 CN CNA018222749A patent/CN1547710A/zh active Pending
- 2001-11-28 WO PCT/US2001/044396 patent/WO2002044921A1/en not_active Application Discontinuation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764719B (zh) * | 2009-11-30 | 2012-06-27 | 福建星网锐捷网络有限公司 | 一种内存告警处理方法、装置及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2430120A1 (en) | 2002-06-06 |
| EP1340157A4 (en) | 2005-01-05 |
| JP2004515182A (ja) | 2004-05-20 |
| EP1340157A1 (en) | 2003-09-03 |
| US8185615B1 (en) | 2012-05-22 |
| BR0115731A (pt) | 2003-08-26 |
| WO2002044921A1 (en) | 2002-06-06 |
| MXPA03004669A (es) | 2004-10-14 |
| AU2002225764A1 (en) | 2002-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1488101A (zh) | 分布式网络接入系统的外部处理器 | |
| CN1547710A (zh) | 分布式网络接入系统的消息、控制和报告接口 | |
| CN1488215A (zh) | 包括可编程接入装置具有分布式业务控制的网络接入系统 | |
| CN1201534C (zh) | 应用影响策略 | |
| CN102124455B (zh) | 向网络中的分组流提供服务 | |
| EP1203480B1 (en) | Service parameter interworking method | |
| CN1511279A (zh) | 数据网络中路由器之间每类资源的基于策略的同步 | |
| JP2004500780A (ja) | 遠距離通信ネットワーク上の通信の管理及び確立 | |
| CN1413333A (zh) | 使用差分服务模型组合用于会话启动、拆卸、验证、授权和记帐的网际协议 | |
| CN1701319A (zh) | 数据网中基于边缘的按流的QoS接纳控制 | |
| CN1498372A (zh) | 在数据网络中基于库的资源管理 | |
| CN1488107A (zh) | 用于分布式网络接入系统的可编程接入装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |