專利名稱:開(kāi)放式網(wǎng)絡(luò)連接的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及開(kāi)放式網(wǎng)絡(luò)連接��。
背景技術(shù):
以太網(wǎng)作為卓越的局域網(wǎng)(LAN)技術(shù)�����,其早期的實(shí)現(xiàn)方案是通過(guò)使用 具有物理接頭(physicaltaps)的通用共享同軸電纜構(gòu)建的�����。每個(gè)接頭連接一 個(gè)端節(jié)點(diǎn)����。這樣就提供了一個(gè)沒(méi)有任何控制的共享網(wǎng)絡(luò)段(segment),其中 所有端節(jié)點(diǎn)暴露至位于共享10兆位發(fā)送帶寬上的所有信息流(traffic)��。以 太網(wǎng)LAN的演進(jìn)的下一步是使用創(chuàng)建星型(hub and spoke)拓?fù)涞亩喽丝诨?連設(shè)備來(lái)引入結(jié)構(gòu)化布線�,這樣每個(gè)端節(jié)點(diǎn)具有與多端口互連設(shè)備(集線器 (hub))連接的鏈路(輻射軸(spoke))���。所述集線器提供附加控制���,輻 射軸提供專有(private)通信路徑。多端口互連設(shè)備首先實(shí)現(xiàn)為層1互連(中 繼器(repeaters))設(shè)備��,然后是層2 (橋)設(shè)備��。多端口互連設(shè)備依次互連�����, 以形成構(gòu)建物理LAN拓?fù)涞囊唤M互連集線器。這種實(shí)現(xiàn)方案提供了更為可 控的環(huán)境�����,對(duì)端節(jié)點(diǎn)暴露至信息流加以限制���,并在多端口互連設(shè)備與端節(jié)點(diǎn) 之間提供專有通信路徑����。
局域網(wǎng)以物理分離的段組成���,且這些段由層3設(shè)備(路由器)互連���。這 些段在由互聯(lián)網(wǎng)工程任務(wù)組(IETF)指定的互聯(lián)網(wǎng)協(xié)議(IP)中被稱為子網(wǎng)。 引入由IEEE 802.1D規(guī)范指定的虛擬局域網(wǎng)(VLAN)�,以作為將邏輯拓?fù)?br>
13(子網(wǎng))從物理拓?fù)?LAN段)分離的機(jī)制。VLAN提供了新的拓?fù)淇刂品?法����,其能夠?qū)Κ?dú)立于LAN中的物理位置的邏輯拓?fù)浜托畔⒘鲗傩苑峙涠斯?jié) 點(diǎn)或信息流類型。這些分配由網(wǎng)絡(luò)管理策略控制�����,并提供了從物理配置到邏 輯(虛擬)LAN段(VLAN)分配的第一分離。
然后增加網(wǎng)絡(luò)接入控制(NAC)���,其控制允許端節(jié)點(diǎn)接入(access)的 VLAN或多個(gè)VLAN����。 NAC方法的一個(gè)實(shí)例由IEEE在802.lx規(guī)范中指定�。 NAC將對(duì)端節(jié)點(diǎn)進(jìn)行認(rèn)證(authenticate),以驗(yàn)證端節(jié)點(diǎn)的身份;可選地 進(jìn)行端節(jié)點(diǎn)的姿態(tài)(posture)檢査����,以驗(yàn)證端節(jié)點(diǎn)軟件沒(méi)有呈現(xiàn)威脅性;以 及基于該信息將端節(jié)點(diǎn)分配給一個(gè)或多個(gè)VLAN或拒絕將端節(jié)點(diǎn)接入至網(wǎng) 絡(luò)�。NAC實(shí)現(xiàn)方案通常包含下述安全認(rèn)證信息和相關(guān)策略,其表示允許端節(jié) 點(diǎn)接入網(wǎng)絡(luò)的哪些部分和/或哪些資源�����。將策略信息存儲(chǔ)在NAC策略服務(wù)器 上���,并由執(zhí)行點(diǎn)(enforcementpoint)利用這種信息,所述執(zhí)行點(diǎn)被用作在網(wǎng) 絡(luò)邊緣處控制端節(jié)點(diǎn)接入的網(wǎng)絡(luò)警衛(wèi)(sentinel)�。
VLAN分配對(duì)一個(gè)或多個(gè)VLAN控制端節(jié)點(diǎn)的網(wǎng)絡(luò)連接,但是該端節(jié)點(diǎn) 仍受制于其對(duì)網(wǎng)絡(luò)的物理連接點(diǎn)����;必須由端節(jié)點(diǎn)進(jìn)行信息流過(guò)濾(所述信息 流過(guò)濾從經(jīng)過(guò)的網(wǎng)絡(luò)信息流選擇所需要的封包)�����;如果在內(nèi)嵌(in line with) 有各端節(jié)點(diǎn)的網(wǎng)絡(luò)邊緣處沒(méi)有配置昂貴的防入侵系統(tǒng)���,詳查發(fā)送到端節(jié)點(diǎn)以 及由端節(jié)點(diǎn)發(fā)送的信息流就沒(méi)有經(jīng)過(guò)詳查(scrutinized),其中該詳查用以 去除安全威脅�。
發(fā)明內(nèi)容
題為"Bi-Planar Network Architecture"的上述專利申請(qǐng)公開(kāi)了電子通信 網(wǎng)絡(luò),該電子通信網(wǎng)絡(luò)包括用于執(zhí)行網(wǎng)絡(luò)連接功能的連接平面���、以及用于執(zhí) 行一個(gè)或多個(gè)網(wǎng)絡(luò)接入控制��、攻擊(attack)控制和應(yīng)用控制的控制平面�?���??制平面以及網(wǎng)絡(luò)連接應(yīng)用和服務(wù)可通過(guò)各種接口與連接平面彼此互連并與 連接平面進(jìn)行交互。
題為"Network Traffic Redirection in Bi-Planar Networks"的上述專利申
請(qǐng)公開(kāi)了用于在電子通信網(wǎng)絡(luò)中的連接平面和控制/應(yīng)用平面之間提供接口 的技術(shù)�。具體地,通過(guò)連接平面來(lái)登記控制/應(yīng)用平面實(shí)體�,且連接平面對(duì)網(wǎng) 絡(luò)信息流進(jìn)行從連接平面到所登記的應(yīng)用控制平面實(shí)體的重定向。例如��,電子通信網(wǎng)絡(luò)包括連通性(connectivity)子系統(tǒng)。通過(guò)連通性子系統(tǒng)登記控制 或應(yīng)用子系統(tǒng)���?�?刂谱酉到y(tǒng)請(qǐng)求對(duì)信息流進(jìn)行從連通性子系統(tǒng)到控制子系統(tǒng) 的重定向���。響應(yīng)于重定向請(qǐng)求,連通性子系統(tǒng)將網(wǎng)絡(luò)信息流重定向至控制子 系統(tǒng)�����?�?蓪㈥P(guān)于連通性子系統(tǒng)����、控制子系統(tǒng)和重定向請(qǐng)求的信息存儲(chǔ)在諸如 管理信息數(shù)據(jù)庫(kù)等記錄中。連通性子系統(tǒng)和控制子系統(tǒng)可使用協(xié)議(例如 SNMP協(xié)議或SNMP頂置層協(xié)議)彼此通信���。
本發(fā)明的實(shí)施例指向通過(guò)提供一個(gè)或多個(gè)邏輯網(wǎng)絡(luò)連接點(diǎn)來(lái)減少 (alleviation)物理網(wǎng)絡(luò)連接點(diǎn)限制的技術(shù)。在電子通信網(wǎng)絡(luò)中��,經(jīng)由一個(gè)或 多個(gè)連接平面設(shè)備和網(wǎng)絡(luò)連接應(yīng)用����、服務(wù)或控制平面功能之間的接口來(lái)提供 邏輯網(wǎng)絡(luò)連接���。通過(guò)在連接平面中提供邏輯開(kāi)放式網(wǎng)絡(luò)連接(ONC)的功能, 網(wǎng)絡(luò)連接應(yīng)用��、服務(wù)�����、或控制平面功能將自身登記為邏輯網(wǎng)絡(luò)用戶(NR)�。 在連接平面中的這個(gè)功能被稱為信息流接入提供商(TAP)。
除了提供上述先前專利申請(qǐng)公開(kāi)的特征之外��,本發(fā)明的實(shí)施例還增加以 下特征-
一在網(wǎng)絡(luò)連接點(diǎn)信息流接入提供商(TAP)和網(wǎng)絡(luò)用戶(NR)之間的點(diǎn) 對(duì)點(diǎn)連接的參數(shù)���。所述參數(shù)被共同稱為連接傳送(transmission)描述符��,所 述參數(shù)用來(lái)控制由ONC提供的點(diǎn)對(duì)點(diǎn)連接的以下方面�,例如
〇定址(addressing) �、 VLAN、封包���、加密(encryption)
O完整封包(foil packet)��、部分封包(partial packet)��、或僅計(jì)數(shù)
O最佳服務(wù)�、保證傳遞、信息流優(yōu)先級(jí)
O用于安全目的的信息流的詳査等級(jí)
O信息流錄入(logging)
一傳送式ONC (A transmit ONC)�。
一稱為網(wǎng)絡(luò)協(xié)調(diào)器(NC)的第三方實(shí)體,其輔助建立一個(gè)或多個(gè)開(kāi)放式 網(wǎng)絡(luò)連接(ONC)或?qū)⒁粋€(gè)或多個(gè)開(kāi)放式網(wǎng)絡(luò)連接(ONCs)分配給邏輯網(wǎng) 絡(luò)用戶(NR)��。
一使用ONC的應(yīng)用實(shí)例���,例如
〇使用ONC的網(wǎng)絡(luò)監(jiān)控應(yīng)用
〇使用ONC的服務(wù)器負(fù)載均衡器
〇使用ONC的NAC實(shí)現(xiàn)方案
15〇使用ONC的無(wú)線移動(dòng)性
〇使用ONC的服務(wù)提供商網(wǎng)絡(luò)拓?fù)?br>
例如��,在本發(fā)明的一個(gè)實(shí)施例中����,提供一種用于控制局域網(wǎng)(LAN)信 息流的系統(tǒng)���。所述系統(tǒng)包括信息流接入提供商����;網(wǎng)絡(luò)用戶���,包括管理連 接請(qǐng)求邏輯��,通過(guò)所述LAN發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求�,所述請(qǐng)求包括網(wǎng)絡(luò)信 息流過(guò)濾的規(guī)范��;連接建立邏輯���,響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與所述信 息流接入提供商之間建立管理網(wǎng)絡(luò)連接����。所述信息流接入提供商包括信息 流接收電路���,通過(guò)所述LAN接收網(wǎng)絡(luò)信息流�;過(guò)濾確定邏輯�����,確定所述網(wǎng) 絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾��;信息流修改邏輯��,如果所述網(wǎng) 絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾�,則修改所述網(wǎng)絡(luò)信息流以生成修改 后的網(wǎng)絡(luò)信息流;以及信息流發(fā)送邏輯,如果所述網(wǎng)絡(luò)信息流滿足所指定的 網(wǎng)絡(luò)信息流過(guò)濾��,則在所建立的連接上通過(guò)所述LAN向所述網(wǎng)絡(luò)用戶發(fā)送 所述修改后的網(wǎng)絡(luò)信息流���。
所述請(qǐng)求還可以包括網(wǎng)絡(luò)信息流安全篩選的特定等級(jí)的規(guī)范���;其中所述 信息流接入提供商還包括安全篩選邏輯,確定所述網(wǎng)絡(luò)信息流是否滿足所 述網(wǎng)絡(luò)信息流安全篩選的特定等級(jí)��;以及其中所述信息流發(fā)送邏輯包括如下 邏輯僅在所述網(wǎng)絡(luò)信息流滿足所述網(wǎng)絡(luò)信息流安全篩選的特定等級(jí)時(shí)才在 所建立的連接上通過(guò)LAN向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流��。
所述信息流修改邏輯可以包括如下邏輯根據(jù)與所述管理網(wǎng)絡(luò)連接關(guān)聯(lián)
的管理連接傳送描述符來(lái)修改所述網(wǎng)絡(luò)信息流以生成所述修改后的網(wǎng)絡(luò)信
息流�����。所述管理連接請(qǐng)求邏輯可以包括如下邏輯在所述請(qǐng)求中發(fā)送所述管 理連接傳送描述符���。所述信息流接入提供商還可以包括如下邏輯將所述管 理連接傳送描述符與所述連接關(guān)聯(lián)����。
在本發(fā)明的另一個(gè)實(shí)施例中����,提供一種用于控制局域網(wǎng)(LAN)信息流 的系統(tǒng)�����,包括信息流接入提供商���;網(wǎng)絡(luò)協(xié)調(diào)器���,包括通過(guò)所述LAN向
所述信息流接入提供商發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求的邏輯�����,所述請(qǐng)求包括網(wǎng)絡(luò)信
息流過(guò)濾的規(guī)范和網(wǎng)絡(luò)用戶的標(biāo)識(shí)符���。所述信息流接入提供商可以包括連
接建立邏輯,響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與所述信息流接入提供商之間
建立管理網(wǎng)絡(luò)連接�����;信息流接收電路�,通過(guò)所述LAN接收網(wǎng)絡(luò)信息流;過(guò) 濾確定邏輯�,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾;信息流修改邏輯�����,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾,則修改所 述網(wǎng)絡(luò)信息流以生成修改后的網(wǎng)絡(luò)信息流�����;以及信息流發(fā)送邏輯�,如果所述 網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾,則在所建立的連接上通過(guò)所述 LAN向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流�����。
在本發(fā)明的另一個(gè)實(shí)施例中�����,提供一種用于控制局域網(wǎng)(LAN)信息流 的系統(tǒng)����,包括信息流接入提供商;網(wǎng)絡(luò)用戶��,包括管理連接請(qǐng)求邏輯��, 通過(guò)所述LAN發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求��,所述請(qǐng)求包括信息流篩選的規(guī)范。 所述信息流接入提供商可以包括連接建立邏輯����,響應(yīng)于所述請(qǐng)求在所述網(wǎng) 絡(luò)用戶與信息流接入提供商之間建立僅傳送式(transmit-only)管理網(wǎng)絡(luò)連接; 通過(guò)所述管理網(wǎng)絡(luò)連接從所述網(wǎng)絡(luò)用戶接收網(wǎng)絡(luò)信息流的電路�;信息流篩選 邏輯,確定所述網(wǎng)絡(luò)信息流是否滿足所述信息流篩選的規(guī)范�����;以及信息流發(fā) 送邏輯����,如果所述網(wǎng)絡(luò)信息流滿足所述信息流篩選的規(guī)范���,則向所述網(wǎng)絡(luò)發(fā) 送所述網(wǎng)絡(luò)信息流��。
在本發(fā)明的另一個(gè)實(shí)施例中���,提供一種用于局域網(wǎng)的方法,所述局域網(wǎng) 包括具有局域網(wǎng)接口的端節(jié)點(diǎn)�。所述方法包括如下步驟(A)通過(guò)第一信 息流接入提供商將所述端節(jié)點(diǎn)登記為第一網(wǎng)絡(luò)用戶,包括向所述第一網(wǎng)絡(luò)用 戶分配第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符�;(B)通過(guò)所述局域網(wǎng)在所述第一網(wǎng)絡(luò)用戶 與所述第一信息流接入提供商之間建立第一管理網(wǎng)絡(luò)連接�;(C)在所述第 一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)���,通過(guò)所述第一管理連接從所述第一網(wǎng)絡(luò)用戶向所述 第一信息流接入提供商發(fā)送第一管理信息流�����,其中所述第一管理信息流包括 所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符�;(D)在所述第一信息流接入提供商處�,修改 所述第一管理信息流以生成第一修改后的信息流;(E)在所述第一信息流 接入提供商處��,向所述LAN傳送所述第一修改后的信息流�����;以及(F)在所 述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)��,使用所述局域網(wǎng)接口從所述端節(jié)點(diǎn)向所述LAN 傳送第一未管理信息流��,其中所述第一未管理信息流不包括所述第一網(wǎng)絡(luò)用 戶的標(biāo)識(shí)符���。
在本發(fā)明的另一個(gè)實(shí)施例中�,提供一種用于局域網(wǎng)的方法�����,所述局域網(wǎng) 包括具有局域網(wǎng)接口的端節(jié)點(diǎn)。所述方法包括如下步驟(A)通過(guò)第一信 息流接入提供商將所述端節(jié)點(diǎn)登記為第一網(wǎng)絡(luò)用戶����,包括向所述第一網(wǎng)絡(luò)用 戶分配第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符;(B)通過(guò)所述局域網(wǎng)在所述第一網(wǎng)絡(luò)用戶與所述第一信息流接入提供商之間建立第一管理網(wǎng)絡(luò)連接�����;(C)在所述第 一信息流接入提供商處�����,當(dāng)所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)(1)在所述第
一信息流接入提供商處通過(guò)所述LAN接收第一網(wǎng)絡(luò)信息流����;(2)確定所述
第一網(wǎng)絡(luò)信息流是否滿足與所述第一管理網(wǎng)絡(luò)連接關(guān)聯(lián)的第一網(wǎng)絡(luò)信息流
過(guò)濾�����;(3)如果所述第一網(wǎng)絡(luò)信息流滿足所述第一網(wǎng)絡(luò)信息流過(guò)濾�,則(a) 修改所述第一管理信息流以生成包括所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符的第一修 改后的信息流�����,和(b)在所述第一管理網(wǎng)絡(luò)連接上通過(guò)所述LAN向所述端 節(jié)點(diǎn)發(fā)送所述第一修改后的信息流��;以及(D)在所述第一管理網(wǎng)絡(luò)連接活 動(dòng)時(shí)����,使用所述局域網(wǎng)接口通過(guò)所述LAN向所述端節(jié)點(diǎn)發(fā)送第一未管理信 息流,其中所述第一未管理信息流不包括所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符����。
在本發(fā)明的另一個(gè)實(shí)施例中,提供一種用于局域網(wǎng)的方法��,所述局域網(wǎng) 包括具有局域網(wǎng)接口的端節(jié)點(diǎn)����。所述方法包括如下步驟(A)在網(wǎng)絡(luò)協(xié)調(diào) 器處,通過(guò)所述LAN向信息流接入提供商發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求�;(B)在 所述信息流接入提供商處,通過(guò)所述局域網(wǎng)在所述信息流接入提供商與所述 網(wǎng)絡(luò)協(xié)調(diào)器之間建立管理網(wǎng)絡(luò)連接���;(C)使用所述局域網(wǎng)接口從所述端節(jié) 點(diǎn)向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送第一未管理網(wǎng)絡(luò)信息流�;(D)在所述網(wǎng)絡(luò)協(xié)調(diào)器 處(1)接收所述第一未管理網(wǎng)絡(luò)信息流�;以及(2)修改所述第一未管理 信息流,以生成包括所述端節(jié)點(diǎn)的標(biāo)識(shí)符的第一管理網(wǎng)絡(luò)信息流;以及(3) 通過(guò)所述第一管理網(wǎng)絡(luò)連接向所述第一信息流接入提供商傳送所述第一管 理網(wǎng)絡(luò)信息流��;(E)在所述第一信息流接入提供商處����,修改所述第一管理 信息流以生成第一修改后的信息流;(F)在所述第一信息流接入提供商處����, 向所述LAN傳送所述第一修改后的信息流;以及(G)在所述第一管理網(wǎng)絡(luò) 連接活動(dòng)時(shí)��,通過(guò)使用所述局域網(wǎng)接口從所述端節(jié)點(diǎn)向所述LAN傳送第二 未管理信息流����,其中所述第二未管理信息流不識(shí)別所述端節(jié)點(diǎn)。
在本發(fā)明的另一個(gè)實(shí)施例中���,提供一種用于局域網(wǎng)的方法,所述局域網(wǎng) 包括具有局域網(wǎng)接口的端節(jié)點(diǎn)�。所述方法包括如下步驟(A)在網(wǎng)絡(luò)協(xié)調(diào) 器處,通過(guò)所述LAN向信息流接入提供商發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求���;(B)在 所述信息流接入提供商處����,通過(guò)所述局域網(wǎng)在所述信息流接入提供商與所述 網(wǎng)絡(luò)協(xié)調(diào)器之間建立管理網(wǎng)絡(luò)連接;(C)在所述信息流接入提供商處(1) 通過(guò)所述LAN接收第一未管理網(wǎng)絡(luò)信息流���;(2)修改所述第一未管理網(wǎng)絡(luò)信息流�����,以生成包括所述端節(jié)點(diǎn)的標(biāo)識(shí)符的第一管理網(wǎng)絡(luò)信息流�����;以及(3) 通過(guò)所述管理網(wǎng)絡(luò)連接向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第一管理網(wǎng)絡(luò)信息流����;
(D)在所述網(wǎng)絡(luò)協(xié)調(diào)器處(1)接收所述第一網(wǎng)絡(luò)信息流����;(2)修改所 述第一管理網(wǎng)絡(luò)信息流,以生成不包括所述端節(jié)點(diǎn)的標(biāo)識(shí)符的第二管理網(wǎng)絡(luò) 信息流���;以及(3)通過(guò)所述LAN向所述節(jié)點(diǎn)發(fā)送所述第二未管理網(wǎng)絡(luò)信息 流��。
在本發(fā)明的另一個(gè)實(shí)施例中��,提供一種用于控制對(duì)局域網(wǎng)(LAN)的接 入的系統(tǒng)���。所述系統(tǒng)包括信息流接入提供商�;網(wǎng)絡(luò)協(xié)調(diào)器��,包括登記請(qǐng) 求邏輯�����,通過(guò)所述LAN發(fā)送請(qǐng)求�����,以通過(guò)所述信息流接入提供商登記網(wǎng)絡(luò) 用戶�����;管理連接請(qǐng)求邏輯���,通過(guò)所述LAN發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求�,所述請(qǐng) 求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范��;網(wǎng)絡(luò)接入邏輯�����,確定第一端節(jié)點(diǎn)是否被授權(quán) 以接入所述LAN�。所述信息流接入提供商包括登記邏輯,通過(guò)所述信息流 接入提供商登記網(wǎng)絡(luò)用戶�;連接建立邏輯,在所述網(wǎng)絡(luò)用戶與所述信息流接 入提供商之間建立所述管理網(wǎng)絡(luò)連接��;信息流接收電路�,通過(guò)所述LAN接 收網(wǎng)絡(luò)信息流;過(guò)濾確定邏輯���,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò) 信息流過(guò)濾����;信息流發(fā)送邏輯����,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息 流過(guò)濾,則在所述管理網(wǎng)絡(luò)連接上向所述網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流���。所 述網(wǎng)絡(luò)協(xié)調(diào)器還包括接收信息流轉(zhuǎn)發(fā)邏輯�����,如果確定所述第一端節(jié)點(diǎn)被授 權(quán)以接入所述LAN�,則向所述第一端節(jié)點(diǎn)轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)信息流。
在本發(fā)明的另一個(gè)實(shí)施例中���,提供一種用于監(jiān)控局域網(wǎng)(LAN)中的網(wǎng) 絡(luò)信息流的系統(tǒng)����。所述系統(tǒng)包括第一信息流接入提供商��;網(wǎng)絡(luò)用戶�,包括 網(wǎng)絡(luò)監(jiān)控邏輯;第一管理連接請(qǐng)求邏輯���,通過(guò)所述LAN發(fā)送用于第一僅計(jì) 數(shù)式管理網(wǎng)絡(luò)連接的第一請(qǐng)求�,所述第一請(qǐng)求包括第一網(wǎng)絡(luò)信息流過(guò)濾的第 一規(guī)范���。所述第一信息流接入提供商包括第一連接建立邏輯�����,響應(yīng)于所述 第一請(qǐng)求在所述網(wǎng)絡(luò)監(jiān)控邏輯與所述第一信息流接入提供商之間建立所述 第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接�;第一信息流接收電路���,通過(guò)所述LAN接收第 一網(wǎng)絡(luò)信息流�����;第一信息流計(jì)數(shù)發(fā)送邏輯����,通過(guò)所述第一僅計(jì)數(shù)式管理網(wǎng)絡(luò) 連接向所述網(wǎng)絡(luò)監(jiān)控邏輯發(fā)送滿足所述第一指定網(wǎng)絡(luò)信息流過(guò)濾的第一網(wǎng) 絡(luò)信息流的第一量的第一指示�����。
在本發(fā)明的另一個(gè)實(shí)施例中���,提供一種用于均衡局域網(wǎng)(LAN)中的網(wǎng)
19絡(luò)信息流負(fù)載的系統(tǒng)���。所述系統(tǒng)包括第一網(wǎng)絡(luò)用戶;第二網(wǎng)絡(luò)用戶��;信息 流接入提供商�����;網(wǎng)絡(luò)協(xié)調(diào)器�����;第一連接建立邏輯,在所述第一網(wǎng)絡(luò)用戶與所 述信息流接入提供商之間建立第一管理網(wǎng)絡(luò)連接���,其中所述第一管理網(wǎng)絡(luò)連 接與第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)�����;第二連接建立邏輯�,在所述第二網(wǎng)絡(luò)用戶與 所述信息流接入提供商之間建立第二管理網(wǎng)絡(luò)連接�����,其中所述第二管理網(wǎng)絡(luò) 連接與第二網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)�;第三連接建立邏輯,在所述網(wǎng)絡(luò)協(xié)調(diào)器與 所述信息流接入提供商之間建立第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接���,其中所述第一 僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接與所述第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)���;第四連接建立邏 輯,在所述網(wǎng)絡(luò)協(xié)調(diào)器與所述信息流接入提供商之間建立第二僅計(jì)數(shù)式管理 網(wǎng)絡(luò)連接��,其中所述第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接與第二網(wǎng)絡(luò)信息流過(guò)濾關(guān) 聯(lián)。所述第一信息流接入提供商包括信息流接收電路����,通過(guò)所述LAN接 收網(wǎng)絡(luò)信息流;第一過(guò)濾邏輯����,確定所述網(wǎng)絡(luò)信息流是否滿足所述第一網(wǎng)絡(luò) 信息流過(guò)濾��,以及如果所述網(wǎng)絡(luò)信息流滿足所述第一網(wǎng)絡(luò)信息流過(guò)濾�����,則增 加與所述第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)的第一計(jì)數(shù)����;通過(guò)所述第一僅計(jì)數(shù)式連接 向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第一計(jì)數(shù)的指示;以及通過(guò)所述第一管理網(wǎng)絡(luò)連 接向所述第一網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流���;以及第二過(guò)濾邏輯����,確定所述 網(wǎng)絡(luò)信息流是否滿足所述第二網(wǎng)絡(luò)信息流過(guò)濾�,以及如果所述網(wǎng)絡(luò)信息流滿 足所述第二網(wǎng)絡(luò)信息流過(guò)濾,則增加與所述第二網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)的第二 計(jì)數(shù)�����;通過(guò)所述第一僅計(jì)數(shù)式連接向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第一計(jì)數(shù)的指 示;以及通過(guò)所述第二管理網(wǎng)絡(luò)連接向所述第二網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息 流��。
在本發(fā)明的另一個(gè)實(shí)施例中�,提供一種用于將無(wú)線端節(jié)點(diǎn)無(wú)線地連接至 局域網(wǎng)(LAN)的系統(tǒng),所述無(wú)線端節(jié)點(diǎn)具有第一IP地址����。所述系統(tǒng)包括 第一信息流接入提供商,位于所述LAN的第一子網(wǎng)中����;第二信息流接入提
供商,位于所述LAN的第二子網(wǎng)中���;移動(dòng)功能��,包括網(wǎng)絡(luò)用戶登記邏輯�����,
通過(guò)所述第一信息流接入提供商將所述無(wú)線端節(jié)點(diǎn)登記為網(wǎng)絡(luò)用戶�;以及第 一管理連接請(qǐng)求邏輯,通過(guò)所述LAN發(fā)送第一管理網(wǎng)絡(luò)連接請(qǐng)求���,所述第
一請(qǐng)求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范���。所述第一信息流接入提供商包括第一
連接建立邏輯,在所述第一信息流接入提供商與所述網(wǎng)絡(luò)用戶之間建立所述
第一請(qǐng)求管理網(wǎng)絡(luò)連接����;信息流接收電路,通過(guò)所述LAN接收網(wǎng)絡(luò)信息流��;過(guò)濾確定邏輯�,確定所述網(wǎng)絡(luò)信息流是否滿足所指示的網(wǎng)絡(luò)信息流過(guò)濾�;以 及信息流發(fā)送邏輯,如果所述網(wǎng)絡(luò)信息流滿足所指示的阿絡(luò)信息流過(guò)濾�����,則 在所建立的連接上向所述網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流����。所述移動(dòng)功能還包
括第二管理連接請(qǐng)求邏輯,響應(yīng)于所述端節(jié)點(diǎn)的IP地址的改變�����,通過(guò)所述 LAN向第二 IP地址發(fā)送第二管理網(wǎng)絡(luò)連接請(qǐng)求;以及其中所述第二信息流 接入提供商包括第二連接建立邏輯��,在所述第二信息流接入提供商與所述
網(wǎng)絡(luò)用戶之間建立所述第二請(qǐng)求管理網(wǎng)絡(luò)連接�����。
根據(jù)以下說(shuō)明書(shū)和權(quán)利要求書(shū)����,本發(fā)明的各個(gè)方案和實(shí)施例的其它特點(diǎn) 和優(yōu)點(diǎn)將變得清楚。
圖l是原始以太網(wǎng)物理拓?fù)洌?br>
圖2是以太網(wǎng)結(jié)構(gòu)布線拓?fù)洌?br>
圖3A是具有VLAN的以太網(wǎng)結(jié)構(gòu)布線拓?fù)洌?br>
圖3B是具有ONC和TAP的邏輯星型拓?fù)洌?br>
圖3C是中央化的TAP資源���;
圖3D是在端節(jié)點(diǎn)不支持ONC時(shí)NAC的使用案例���; 圖3E是在端節(jié)點(diǎn)支持ONC時(shí)NAC的使用案例; 圖3F是利用ONC的網(wǎng)絡(luò)監(jiān)控使用案例�����; 圖3G是利用ONC的負(fù)載均衡器使用案例���; 圖3H是利用ONC的移動(dòng)性使用案例����; 圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的電子通信網(wǎng)絡(luò)的示圖; 圖5A-圖5C是根據(jù)本發(fā)明一個(gè)實(shí)施例的方法的流程圖���,該方法用于登 記具有TAP的應(yīng)用以及用于在圖4的電子通信網(wǎng)絡(luò)中配置接收和傳送式
ONC;
圖6A-圖6C這個(gè)示圖示出在端節(jié)點(diǎn)和TAP之間建立的ONC;在端節(jié)點(diǎn) 和具有作為中間件的NC的TAP之間建立的ONC;以及在TAP和通過(guò)NC 分配的端節(jié)點(diǎn)之間的ONC;
圖7是根據(jù)本發(fā)明一個(gè)實(shí)施例的具有網(wǎng)絡(luò)協(xié)調(diào)器(NC)功能的電子通信 網(wǎng)絡(luò)的示圖��;圖8A-圖8E是根據(jù)本發(fā)明一個(gè)實(shí)施例的方法的流程圖��,通過(guò)將NC用作 中間件�,該方法用于登記具有TAP的應(yīng)用以及用于在圖7的電子通信網(wǎng)絡(luò)中 配置接收和傳送式ONC;
圖9是根據(jù)本發(fā)明一個(gè)實(shí)施例的具有網(wǎng)絡(luò)協(xié)調(diào)器(NC)功能的電子通信 網(wǎng)絡(luò)的示圖10A-圖10D是根據(jù)本發(fā)明一個(gè)實(shí)施例的方法的流程圖�,通過(guò)將NC 用作中間件,該方法用于登記具有TAP的應(yīng)用以及用于在圖9的電子通信網(wǎng) 絡(luò)中對(duì)NR分配接收和傳送式ONC�����。
具體實(shí)施例方式
由于現(xiàn)有技術(shù)的各種限制�����,需要進(jìn)一步分離端節(jié)點(diǎn)的物理網(wǎng)絡(luò)連接點(diǎn)和 邏輯連接點(diǎn)�����,通過(guò)提供新型網(wǎng)絡(luò)連接并卸載信息流選擇和信息流安全檢査任 務(wù)����,在端節(jié)點(diǎn)連接上提供更多控制,并簡(jiǎn)化網(wǎng)絡(luò)連接應(yīng)用和服務(wù)實(shí)現(xiàn)方案的 配置與實(shí)現(xiàn)����。
如今,網(wǎng)絡(luò)連接應(yīng)用或服務(wù)的實(shí)施者需要理解���、建立和檢測(cè)網(wǎng)絡(luò)特定的 功能����,以按照所需任務(wù)與網(wǎng)絡(luò)進(jìn)行接口連接��,從而實(shí)現(xiàn)應(yīng)用功能或提供服務(wù)�����。 這里公開(kāi)的開(kāi)放式網(wǎng)絡(luò)連接(ONC)的實(shí)施例不僅提供將(decouple)物理 網(wǎng)絡(luò)連接從邏輯連接的分離�,它們還提供簡(jiǎn)化接口 (所述簡(jiǎn)化接口隱藏了各 個(gè)網(wǎng)絡(luò)特定運(yùn)行的實(shí)施細(xì)節(jié))。這里公開(kāi)的開(kāi)放式網(wǎng)絡(luò)連接的實(shí)施例提供獨(dú) 特的性能(capability):能被控制����、檢査和凈化的開(kāi)放式網(wǎng)絡(luò)連接;將過(guò)濾 和擦除網(wǎng)絡(luò)功能的沉重負(fù)擔(dān)留給開(kāi)放式網(wǎng)絡(luò)適配器�,且將端節(jié)點(diǎn)的物理連接 點(diǎn)針對(duì)開(kāi)放式網(wǎng)絡(luò)連接提供的邏輯連接點(diǎn)而分離(decouple)�。
參照?qǐng)D1�����,其示出了使用2個(gè)同軸電纜110和111構(gòu)建的早期以太網(wǎng)LAN 實(shí)現(xiàn)方案��。對(duì)每個(gè)同軸電纜分派所有的附接在電纜110上的物理接頭120-122 以及附接在電纜111上的物理接頭150-152�����。為簡(jiǎn)化示圖而僅示出少量的附 接件�����,但是大部分早期的實(shí)現(xiàn)方案都具有許多附接件�,其最多指定1024個(gè) 附接件。每個(gè)接頭均連接端節(jié)點(diǎn)或路由器接口����。物理接頭120-122分別連接 端節(jié)點(diǎn)130�、端節(jié)點(diǎn)131以及路由器140的子網(wǎng)2鏈路141。物理接頭150-152 分別連接端節(jié)點(diǎn)160�、端節(jié)點(diǎn)161以及路由器140的接子網(wǎng)1鏈路142。這 些網(wǎng)絡(luò)段沒(méi)有提供控制����,并且與LAN段連接的所有端節(jié)點(diǎn)共享穿過(guò)同軸電
22纜的10兆位帶寬��。與電纜連接的所有端節(jié)點(diǎn)均暴露至該段上的所有信息流
(traffic)�。路由器140控制兩個(gè)子網(wǎng)之間的信息流��,但在每個(gè)子網(wǎng)中不存 在信息流控制����。
參照?qǐng)D2,其示出了以太網(wǎng)LAN的演進(jìn)中的下一步����,其中引入了結(jié)構(gòu)化 布線。圖2示出了分成三個(gè)LAN子部分201-203的LAN 200��。每個(gè)LAN子 部分表示IP子網(wǎng)���。多端口互連設(shè)備220-222創(chuàng)建星型拓?fù)?���,其中每個(gè)端節(jié)點(diǎn) 210-215具有與多端口互連設(shè)備(集線器)連接的鏈路(輻射軸)����。多端口 互連設(shè)備首先用作層1的互連(中繼器)設(shè)備��,然后是層2的互連(橋)設(shè) 備�����。這種實(shí)現(xiàn)方案允許在每個(gè)連接處增加控制�。層2設(shè)備具有比早期的層1 設(shè)備更多的控制����。以物理分離的子部分201-203構(gòu)建局域網(wǎng),并且這些子部 分通過(guò)層3設(shè)備(路由器)240互連����。在正TF指定的互聯(lián)網(wǎng)協(xié)議(IP)中, 這些LAN子部分被稱為子網(wǎng)���。
引入虛擬局域網(wǎng)(VLAN)作為將邏輯拓?fù)?子網(wǎng))從物理拓?fù)?LAN 子部分)分離的機(jī)制��。VLAN提供了新的拓?fù)淇刂品椒?��,其能夠?qū)⒍斯?jié)點(diǎn)或 信息流類型分配給獨(dú)立于LAN中的物理位置之外的邏輯拓?fù)浜托畔⒘鲗傩浴?這些分配由網(wǎng)絡(luò)管理策略控制,并提供從物理配置(deployment)到邏輯(虛 擬)LAN子部分(VLANs)分配的第一分離�。
參照?qǐng)D3A�����,將LAN 300分成2個(gè)邏輯組VLAN2 302和VLAN3 301以 及一個(gè)物理組子網(wǎng)1 (即子網(wǎng)303)。從圖3A可以看出���,端節(jié)點(diǎn)310-313 沒(méi)有按它們的物理位置或者它們與哪些層2的交換機(jī)連接來(lái)分組��。這樣的邏 輯拓?fù)淇梢耘c按早期方式以物理位置分組的端節(jié)點(diǎn)314和315共存�。3個(gè)組 301-303通過(guò)路由器(層3交換機(jī))340互連��。由于不必基于物理位置來(lái)分組�����, 所以路由器340不能夠從一個(gè)組相對(duì)另一個(gè)組區(qū)分來(lái)自這些組的信息流是由 哪一條物理鏈路接收的���。甚至���,路由器340必須在接收到的封包(packet) 上使用VLAN標(biāo)記,以確定是哪個(gè)組發(fā)送的該封包����。此外,路由器340必須 標(biāo)記其發(fā)送的封包,以保證它們被作為所述VLAN的成員的端節(jié)點(diǎn)接收���?����??之��,由于不能依靠物理分離來(lái)驗(yàn)證信息流從其中哪個(gè)VLAN發(fā)出�����,所以要對(duì) 信息流進(jìn)行標(biāo)記�,以識(shí)別發(fā)送者的VLAN��。端節(jié)點(diǎn)了解它們是哪個(gè)VLAN的 成員���,并且對(duì)于帶有表示所述端節(jié)點(diǎn)不是該VLAN的成員的標(biāo)記的信息流��, 端節(jié)點(diǎn)將忽略這樣的信息流�����。
23參照?qǐng)D3B��,示出的LAN 350包含以特定物理拓?fù)浠ミB的各種物理網(wǎng)絡(luò) 組件��。如以下將詳細(xì)描述的���,所述LAN組件包括有效創(chuàng)建邏輯網(wǎng)絡(luò)360的 某些功能,所述邏輯網(wǎng)絡(luò)360具有獨(dú)立于物理網(wǎng)絡(luò)350的拓?fù)渲獾耐負(fù)洹?更具體地���,LAN 350包含端節(jié)點(diǎn)351和352�����,它們都物理連接至分布式交換 機(jī)353 �����。具有IPS模塊的LAN交換機(jī)354包含實(shí)現(xiàn)信息流接入提供商(TAP) 364功能的硬件和軟件����。物理LAN 350還包含2個(gè)服務(wù)器358和359�,所述 服務(wù)器358和359物理地連接到具有IPS模塊的服務(wù)器交換機(jī)356,所述具 有IPS模塊的服務(wù)器交換機(jī)356包含實(shí)現(xiàn)TAP 366的功能的硬件和軟件。
所得到的邏輯拓?fù)?60包含網(wǎng)絡(luò)用戶(NR) 361��,其對(duì)應(yīng)于物理端節(jié)點(diǎn) 351�。網(wǎng)絡(luò)用戶(NR) 361是在端節(jié)點(diǎn)351通過(guò)TAP 364登記時(shí)創(chuàng)建的邏輯 實(shí)體,且是在具有IPS模塊的LAN交換機(jī)354中實(shí)現(xiàn)的邏輯實(shí)體。在NR 361 與TAP 364之間建立開(kāi)放式網(wǎng)絡(luò)連接ONC 371 ���。同樣�,在NR 362與TAP 364 之間建立ONC 372����。所示出的ONC為雙向的,但這些ONCs也可建立為傳 送和接收分開(kāi)的ONC�。在邏輯拓?fù)?60中由ONCs 371和372 (輻射軸)和 TAP 364 (集線器)來(lái)創(chuàng)建星型結(jié)構(gòu),其提供了以下這兩者����,既提供了網(wǎng)絡(luò) 中的控制點(diǎn),又提供了以下的端節(jié)點(diǎn)351和352:在網(wǎng)絡(luò)中���,這些端節(jié)點(diǎn)351 和352的網(wǎng)絡(luò)連接點(diǎn)與它們?cè)诜植际浇粨Q機(jī)353中的物理連接點(diǎn)的物理位置 不同�。因此而形成管理良好的邏輯拓?fù)?60���,其可以檢查信息流并將所有信 息流與其發(fā)送者關(guān)聯(lián)�,且提供與物理網(wǎng)絡(luò)拓?fù)渲械奈恢貌煌木W(wǎng)絡(luò)連接點(diǎn)��。
此外��,在邏輯拓?fù)?60中,還發(fā)現(xiàn)分別通過(guò)ONCs 379和378連接至TAP 366的RNs 369和368��。在這種情況下����,由網(wǎng)絡(luò)協(xié)調(diào)器(NC)365代表NRs 369 和368來(lái)建立ONC s379和378。此外��,NC 365在TAP 366與NC 365之間 建立ONCs 389和388�,其中ONC 389是ONC 379的僅計(jì)數(shù)式版本 (counter-only version) ����, ONC 388是ONC 378的僅計(jì)數(shù)式版本。此外�����,在 TAP 364與TAP 366之間還建立有TAP至TAP的連接(TTC) 375�����。 TAP至 TAP的連接(TTC)將于隨后做更詳細(xì)描述�。
在邏輯拓?fù)?60中,與ONC相關(guān)的所有信息流都是在LAN 350上承載 的受控信息流�,在所述LAN350上���,所述受控信息流可以與受控較少的信息 流共存。這樣就允許實(shí)現(xiàn)以下的平滑遷移(migration)�,所述遷移是從使用 傳統(tǒng)技術(shù)(所述傳統(tǒng)技術(shù)例如為交換機(jī)控制參數(shù)和內(nèi)嵌式IPS設(shè)備)控制的網(wǎng)絡(luò)到完全控制的邏輯拓?fù)?在此檢査所有信息流并且將其與登記的網(wǎng)絡(luò)用 戶關(guān)聯(lián))。這種遷移通過(guò)網(wǎng)絡(luò)協(xié)調(diào)器(NC)功能來(lái)實(shí)現(xiàn)�����,其中所述網(wǎng)絡(luò)協(xié)調(diào)
器(NC)起到對(duì)傳下來(lái)的封包(legacypacket)進(jìn)行處理和控制資源的作用���。 NC可代表端節(jié)點(diǎn)來(lái)建立管理邏輯連接��,或可檢査由端節(jié)點(diǎn)發(fā)送的ONC
請(qǐng)求�����。它的這個(gè)功能可以調(diào)節(jié)(leveraged)��,因此而 -提供網(wǎng)絡(luò)警衛(wèi)從而控制對(duì)網(wǎng)絡(luò)的接入����; -對(duì)于不支持ONC的端節(jié)點(diǎn)提供管理邏輯連接��; -將網(wǎng)絡(luò)信息流負(fù)載均衡至2個(gè)或更多個(gè)端節(jié)點(diǎn)或服務(wù)器��; -將存在于網(wǎng)絡(luò)中一個(gè)或多個(gè)物理位置上的網(wǎng)絡(luò)提供給端節(jié)點(diǎn)或服務(wù)器; -提供用戶駐地網(wǎng)(customer premise network)接入����,以通過(guò)廣域網(wǎng)而接
入至廣域網(wǎng)和/或廣域網(wǎng)上的其它用戶駐地網(wǎng);
-提供網(wǎng)絡(luò)應(yīng)用配置�����、升級(jí)����、可用性和重新配置����; -為網(wǎng)絡(luò)提供人機(jī)接口 (human interface); NC功能可以實(shí)現(xiàn)于
-諸如以太網(wǎng)交換機(jī)、智能網(wǎng)絡(luò)插座�����、或無(wú)線接入點(diǎn)等網(wǎng)絡(luò)邊緣設(shè)備中�;
-負(fù)載均衡器件中;
-移動(dòng)器件中���;
-由網(wǎng)絡(luò)服務(wù)提供商提供的用戶駐地邊緣設(shè)備中�; -網(wǎng)絡(luò)應(yīng)用管理控制臺(tái)器件中; -網(wǎng)絡(luò)自助服務(wù)終端(network kiosk)中���。 隨后將更詳細(xì)討論這些多種實(shí)現(xiàn)情形�����。
可以對(duì)由TAP提供的諸如服務(wù)器負(fù)載均衡和信息流安全篩選等信息流 控制和操縱功能進(jìn)行集中化�����;使用封包檢測(cè)并過(guò)濾硬件和軟件資源����;降低實(shí) 現(xiàn)成本�。圖3C中示出這種集中化,其中通過(guò)在邏輯控制拓?fù)?80中提供TAP 功能385�,從而在物理LAN拓?fù)?卯中,所有控制資源在具有IPS模塊的 LAN交換機(jī)395中得以集中化���。這樣就使得大型集中化信息流控制實(shí)現(xiàn)方案 成為可能��,相比于配置有多個(gè)內(nèi)嵌式IPS設(shè)備("線纜中的塊(bump in the wire)")的現(xiàn)有實(shí)現(xiàn)方案而言����,這種大型集中化信息流控制實(shí)現(xiàn)方案簡(jiǎn)化 了物理安全、管理����、冗余度等工作,且降低了成本�����。
將ONC用于許多不同的網(wǎng)絡(luò)功能��,不僅提供將物理網(wǎng)絡(luò)連接從邏輯連
25接中的分離���,還提供以下的平滑遷移�����,所述遷移是從使用傳統(tǒng)的分離集
(disjoint set)技術(shù)(所述傳統(tǒng)技術(shù)例如為交換機(jī)控制參數(shù)和內(nèi)嵌式IPS設(shè)備) 控制的網(wǎng)絡(luò)到完全控制的邏輯拓?fù)?在此檢查所有信息流并且將其與登記的 網(wǎng)絡(luò)用戶關(guān)聯(lián))。在將信息流遷移至具有己知登記源的統(tǒng)一管理的信息流時(shí)���, 為了示出單個(gè)靈活機(jī)制如何實(shí)現(xiàn)各種網(wǎng)絡(luò)功能��,下面將描述一組使用ONC 實(shí)現(xiàn)各種網(wǎng)絡(luò)功能的案例��。
網(wǎng)絡(luò)接入控制(NAC)是LAN演進(jìn)中的一步�,其對(duì)允許端節(jié)點(diǎn)接入的 VLAN或多個(gè)VLAN進(jìn)行控制。將要對(duì)端節(jié)點(diǎn)進(jìn)行認(rèn)證����,以檢驗(yàn)端節(jié)點(diǎn)的身 份(identity);可選地進(jìn)行端節(jié)點(diǎn)的姿態(tài)(posture)檢査,以檢驗(yàn)端節(jié)點(diǎn)軟 件沒(méi)有呈現(xiàn)威脅性�����;以及基于該信息將端節(jié)點(diǎn)分配給一個(gè)或多個(gè)VLAN或拒 絕將端節(jié)點(diǎn)接入網(wǎng)絡(luò)�。NAC實(shí)現(xiàn)方案通常包含以下的認(rèn)證信息和相關(guān)策略 其表示允許端節(jié)點(diǎn)接入網(wǎng)絡(luò)的哪個(gè)部分和/或哪些網(wǎng)絡(luò)可用資源。將策略信息 存儲(chǔ)在NAC策略服務(wù)器上���,并由執(zhí)行點(diǎn)來(lái)利用這些信息���,所述執(zhí)行點(diǎn)被用 作在網(wǎng)絡(luò)邊緣控制端節(jié)點(diǎn)接入的網(wǎng)絡(luò)警衛(wèi)(見(jiàn)2007年7月27日遞交的、名 稱為"Dynamic Network Access Control Method and Apparatus"的美國(guó)專禾U申 請(qǐng)No. 11/829,462)����。
參照?qǐng)D3D和圖3E,其描述了利用ONC作為其實(shí)現(xiàn)技術(shù)的2個(gè)NACs 使用案例。與現(xiàn)有的NAC的實(shí)現(xiàn)方案一樣����,由于可能由端節(jié)點(diǎn)、執(zhí)行點(diǎn)、 和安全策略服務(wù)器提供或可能并非由它們提供的各種功能�,所以會(huì)遇到各種 情形。端節(jié)點(diǎn)可能支持也可能不支持認(rèn)證功能�����、VLAN標(biāo)記����、加密、姿態(tài)檢 査功能或ONC��。執(zhí)行點(diǎn)可通過(guò)邊緣以太網(wǎng)LAN交換機(jī)�����、無(wú)線接入點(diǎn)或交換 機(jī)�����、內(nèi)嵌式IPS (inline IPS)或其它網(wǎng)絡(luò)附接設(shè)備來(lái)實(shí)現(xiàn)��,并且可能提供或 可能不提供認(rèn)證協(xié)議��、安全數(shù)據(jù)庫(kù)接入方法�、VLAN標(biāo)記、加密�����、姿態(tài)檢查 功能或ONC����。安全數(shù)據(jù)和接入?yún)f(xié)議以及策略的實(shí)現(xiàn)方案可能不同。
在NAC實(shí)現(xiàn)方案中實(shí)現(xiàn)ONC���,就使得網(wǎng)絡(luò)管理員和設(shè)計(jì)者能夠得到一 種方法�,其在澄清端節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)可用資源的接入之后組織和管理網(wǎng)絡(luò) 接入�����。如果端節(jié)點(diǎn)沒(méi)有實(shí)現(xiàn)ONC�,則NC可代表端節(jié)點(diǎn)來(lái)建立ONC。
現(xiàn)在參照?qǐng)D3D�, NC 342可以在執(zhí)行點(diǎn)(例如該實(shí)例中的LAN交換機(jī) 332或另一未示出的實(shí)例中的安全服務(wù)器)中實(shí)現(xiàn)。位于端節(jié)點(diǎn)331和網(wǎng)絡(luò) 之間的路徑中的執(zhí)行點(diǎn)332可以代表端節(jié)點(diǎn)331在TAP 346和NC 342 (其自身)之間建立傳送343和接收344的ONC��,并且不需要了解端節(jié)點(diǎn)以及 諸如VLAN標(biāo)記�、加密和封包等NC功能。使用ONC請(qǐng)求的配置參數(shù)來(lái)建 立ONC����。 一旦建立ONC����,則信息流使用一個(gè)或多個(gè)所建立的ONC 343從端 節(jié)點(diǎn)331向?qū)崿F(xiàn)NC 342功能的LAN交換機(jī)332流動(dòng)����,然后向?qū)崿F(xiàn)于具有IPS 模塊的LAN交換機(jī)336中的TAP 346流動(dòng)。
在接收方向���,信息流使用一個(gè)或多個(gè)所建立的ONC 344從實(shí)現(xiàn)于具有 IPS模塊的LAN交換機(jī)336中的TAP 346向?qū)崿F(xiàn)于LAN交換機(jī)332中的NC 342流動(dòng)��,然后從實(shí)現(xiàn)于LAN交換機(jī)332中的NC 342向端節(jié)點(diǎn)331流動(dòng)�����。 NC342會(huì)將自身登記為代表端節(jié)點(diǎn)331的網(wǎng)絡(luò)用戶(NR) ����。 NC 342能基于 所經(jīng)過(guò)的ONC而告知TAP346哪個(gè)端節(jié)點(diǎn)將利用ONC����。這樣,即使端節(jié)點(diǎn) 不直接支持ONC�,所有ONC信息流也能與端節(jié)點(diǎn)關(guān)聯(lián)��。
現(xiàn)在參照?qǐng)D3E,在授權(quán)端節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)接入之后�,NC349可通過(guò)NAC 服務(wù)器339實(shí)現(xiàn),并代表端節(jié)點(diǎn)331建立傳送345和接收347的ONC���。如 果端節(jié)點(diǎn)331支持ONC����,則NC 339可以向端節(jié)點(diǎn)分配傳送345和接收347的 ONC�����。否則�����,NC 349可以在不了解端節(jié)點(diǎn)的情況下建立使用VLAN的或無(wú) 封包的傳送345和接收347的ONC���。 NC 349可配置邊緣交換機(jī)332����,以增 加和剝?nèi)?strip) VLAN標(biāo)記或讀取和利用邊緣交換機(jī)332的現(xiàn)有的VLAN 配置�����,其中所述現(xiàn)有的VLAN配置與傳送345和接收347的ONC的配置參 數(shù)相結(jié)合。如果端節(jié)點(diǎn)332支持ONC��,則其將登記為NR341���。否則����,NC 349 將基于所經(jīng)過(guò)的ONC而告知TAP 346哪個(gè)端節(jié)點(diǎn)將利用ONC��。
在為所有授權(quán)信息流建立傳送345和接收347的ONCs之后��,對(duì)非管理 /非授權(quán)信息流的管理和識(shí)別就得以簡(jiǎn)化�����。此外�,還可以根據(jù)不同商業(yè)需求來(lái) 進(jìn)行信息流篩選的集中化、管理和擴(kuò)展���。這從計(jì)劃�����、錄入��、控制����、帳單方面 提供了網(wǎng)絡(luò)用途的更多內(nèi)容(awareness)�����。此外����,由于對(duì)ONC的授權(quán)使得 可以對(duì)它們進(jìn)行分配、計(jì)數(shù)和預(yù)算����,所以可以對(duì)服務(wù)等級(jí)(CoS)進(jìn)行分配 和管理,同時(shí)所有非授權(quán)ONC (非-ONC)可能具有帶寬和CoS的限制�����。
參照?qǐng)D3F�����,示出網(wǎng)絡(luò)監(jiān)控器使用案例,在此處網(wǎng)絡(luò)監(jiān)控應(yīng)用運(yùn)行于端節(jié) 點(diǎn)N69上��。該應(yīng)用通過(guò)TAP N72登記為網(wǎng)絡(luò)用戶(NR) N79��。 TAP功能 (function) N72運(yùn)行于具有IPS功能的邊緣交換機(jī)N62上��。NRN79從TAP N72請(qǐng)求僅計(jì)數(shù)式ONCN71���。這就使得該應(yīng)用能夠監(jiān)控以下的信息流其中所述信息流具有在與ONC請(qǐng)求關(guān)聯(lián)的過(guò)濾參數(shù)中限定的特定特征���。作為請(qǐng) 求結(jié)果,在運(yùn)行于邊緣交換機(jī)N62上的TAP N72與作為運(yùn)行于端節(jié)點(diǎn)N69 上的網(wǎng)絡(luò)監(jiān)控應(yīng)用的NR N79之間建立僅計(jì)數(shù)接收式ONC N71�����??筛鶕?jù)NR N79與TAP N72之間的不同過(guò)濾標(biāo)準(zhǔn)來(lái)請(qǐng)求和建立多個(gè)ONC。當(dāng)在NR與 TAP之間建立多個(gè)僅計(jì)數(shù)式ONC時(shí)��,可以將得到的計(jì)數(shù)封包在一起�,以通 過(guò)降低向NR傳送計(jì)數(shù)所需的網(wǎng)絡(luò)負(fù)載來(lái)提高網(wǎng)絡(luò)效率。如何封包信息是由 實(shí)現(xiàn)方案指定的�����,但是其應(yīng)該會(huì)包含NR標(biāo)識(shí)、ONC標(biāo)識(shí)和計(jì)數(shù)更新信息���。
網(wǎng)絡(luò)監(jiān)控應(yīng)用還可以通過(guò)網(wǎng)絡(luò)中的其它TAP來(lái)進(jìn)行登記����,以獲得具有網(wǎng) 絡(luò)信息流可見(jiàn)性的其它點(diǎn)��。在網(wǎng)絡(luò)中�����,NR用戶ID可以與TAP共享���,或者 每個(gè)TAP可以管理其自身的NR識(shí)別碼。 一旦對(duì)NR分配了NR標(biāo)識(shí)��,則當(dāng) 其通過(guò)其它TAP進(jìn)行登記時(shí)就可以使用該標(biāo)識(shí)�。TAP在接收到具有所提供 的NR標(biāo)識(shí)的登記請(qǐng)求時(shí),可通過(guò)檢查整個(gè)網(wǎng)絡(luò)范圍的NR標(biāo)識(shí)數(shù)據(jù)庫(kù)來(lái)査 看該NRID是否被授權(quán)����,如果該ID已被授權(quán),則TAP將接受該NR的登記 請(qǐng)求����。此夕卜���,NR還可以從TAP請(qǐng)求網(wǎng)絡(luò)中關(guān)于其它TAP的信息。NR可以 使用該信息而與網(wǎng)絡(luò)中的其它TAP進(jìn)行其它連接���。如圖3F所示���,NR79使 用單個(gè)NR標(biāo)識(shí)并通過(guò)TAPs N74、 N76和N78分別建立僅計(jì)數(shù)接收式ONCs N73����、 N75和N77。
如果網(wǎng)絡(luò)監(jiān)控應(yīng)用需要更多詳細(xì)的信息流數(shù)據(jù)����,則可改變僅計(jì)數(shù)式ONC 或可建立新的ONC,以向NRN79發(fā)送所有封包或部分封包�,以用于進(jìn)一步 的檢査或顯示。這個(gè)關(guān)于更詳細(xì)信息的請(qǐng)求可以響應(yīng)于在僅計(jì)數(shù)式ONC中 接收的計(jì)數(shù)��,其表示需要進(jìn)一步分析的可能的網(wǎng)絡(luò)事件����。所得到的邏輯拓?fù)?被示出為N70�����,其包括NRN79����、 TAPsN72���、 N74���、 N76、 N78以及已建立的 ONCsN71��、 N73��、 N75���、 N77。這個(gè)邏輯拓?fù)銷(xiāo)70利用物理拓?fù)銷(xiāo)60來(lái)承載 信息流�����。使用普通方法來(lái)實(shí)現(xiàn)各種網(wǎng)絡(luò)相關(guān)的任務(wù)(例如這個(gè)網(wǎng)絡(luò)監(jiān)控任務(wù) 以及在本說(shuō)明書(shū)中公開(kāi)的其它使用案例)的優(yōu)點(diǎn)是這樣會(huì)得到普通邏輯拓 撲。通過(guò)將網(wǎng)絡(luò)信息流和信息流控制方法轉(zhuǎn)為使用這種基于普通ONC的邏 輯拓?fù)?����,網(wǎng)絡(luò)管理和控制任務(wù)得以簡(jiǎn)化���。
參照?qǐng)D3G�����,示出網(wǎng)絡(luò)負(fù)載均衡器使用案例�,其中在端節(jié)點(diǎn)N49上運(yùn)行 網(wǎng)絡(luò)負(fù)載均衡控制平面應(yīng)用��。這個(gè)負(fù)載均衡應(yīng)用負(fù)責(zé)控制分配給每個(gè)服務(wù)器 N42和N44的網(wǎng)絡(luò)信息流負(fù)載��。所述負(fù)載均衡應(yīng)用通過(guò)為服務(wù)器N42和N44
28配置ONC而用作網(wǎng)絡(luò)協(xié)調(diào)器(NC)N39����。如果服務(wù)器不支持ONC,則NC N39 可將服務(wù)器登記為代表服務(wù)器N42和N44的網(wǎng)絡(luò)用戶(NR) N32和N34; 此外�,所述服務(wù)器的每一個(gè)均請(qǐng)求通過(guò)TAP進(jìn)行登記。在圖3G中所示的實(shí) 例中��,服務(wù)器N42和N44分別被登記為網(wǎng)絡(luò)用戶(NR) N32和N34��。
通過(guò)在TAP N38與作為網(wǎng)絡(luò)用戶N32和N34的服務(wù)器N42和N44之間 建立接收式ONC,負(fù)載均衡應(yīng)用對(duì)針對(duì)服務(wù)器的信息流負(fù)載進(jìn)行控制��。所述 負(fù)載根據(jù)在ONC請(qǐng)求中指定的信息流過(guò)濾來(lái)進(jìn)行分派��。負(fù)載均衡應(yīng)用N49 配置負(fù)載均衡過(guò)濾的初始集(initial set)��,并通過(guò)利用與服務(wù)器相同的過(guò)濾 參數(shù)建立ONC的僅計(jì)數(shù)式版本來(lái)監(jiān)控負(fù)載分派��。這就使得負(fù)載均衡應(yīng)用能 夠監(jiān)控向服務(wù)器發(fā)送的實(shí)際負(fù)載���。然后��,負(fù)載均衡應(yīng)用可調(diào)節(jié)過(guò)濾參數(shù)以改 變負(fù)載均衡分配����。
通過(guò)配置服務(wù)器的VLAN和/或網(wǎng)絡(luò)地址以及配置接收式ONC的地址參 數(shù)�,可將信息流引向適當(dāng)?shù)姆?wù)器,而不需要在服務(wù)器上額外配置軟件�����。所 述信息流將會(huì)通過(guò)TAP利用所需的定址和/或VLAN標(biāo)記來(lái)識(shí)別和修改�,并 將其引向所分配的服務(wù)器�。服務(wù)器將接收和處理信息流��,而不需要了解負(fù)載 均衡運(yùn)行�。如果服務(wù)器支持ONC����,則可通過(guò)TAP實(shí)現(xiàn)其它類型的信息流修 改,例如對(duì)于更加安全的實(shí)現(xiàn)方案的加密�。
圖3G示出具有2個(gè)TAPs N38和N36的冗余配置。負(fù)載均衡應(yīng)用可以 將第二個(gè)TAP設(shè)為不活動(dòng)的后備��,或可將TAPs配置在負(fù)載共享配置中����。與 單個(gè)TAP實(shí)現(xiàn)方案一樣,負(fù)載均衡應(yīng)用請(qǐng)求通過(guò)指定過(guò)濾標(biāo)準(zhǔn)來(lái)建立ONC�����, 并且還為負(fù)載均衡應(yīng)用建立僅計(jì)數(shù)式ONC版本以監(jiān)控信息流負(fù)載�。負(fù)載均 衡應(yīng)用可重新配置ONC,以通過(guò)對(duì)發(fā)生故障的或超負(fù)荷的設(shè)備周?chē)男畔⒘?進(jìn)行重定向來(lái)提供高其可用性�。
還可以通過(guò)ONC實(shí)現(xiàn)方案來(lái)提高安全等級(jí),并以更高的效率來(lái)提供高 的安全等級(jí)���?����?蔀镺NC配置適用于服務(wù)器的硬件和軟件的信息流安全篩選��。 配置用于保護(hù)使用中的特定服務(wù)器的安全過(guò)濾器�����,從而不將時(shí)間浪費(fèi)在尋找 為其它硬件和軟件的實(shí)現(xiàn)方案設(shè)計(jì)的安全風(fēng)險(xiǎn)上�,并且不會(huì)損害使用中的服 務(wù)器。此外�,與先前使用的案例一樣,通過(guò)將網(wǎng)絡(luò)信息流和信息流控制方法 轉(zhuǎn)成這種基于普通ONC的邏輯拓?fù)?,網(wǎng)絡(luò)管理和控制任務(wù)得以簡(jiǎn)化。
參照?qǐng)D3H�,其描述了網(wǎng)絡(luò)移動(dòng)性使用案例,其中網(wǎng)絡(luò)移動(dòng)性控制平面
29應(yīng)用是運(yùn)行于移動(dòng)性服務(wù)設(shè)備N(xiāo)89上�����。移動(dòng)服務(wù)輔助無(wú)線端節(jié)點(diǎn)來(lái)進(jìn)行移動(dòng) 網(wǎng)絡(luò)連接���。移動(dòng)服務(wù)器件結(jié)合無(wú)線接入點(diǎn)(APs)或無(wú)線交換機(jī)來(lái)工作。移 動(dòng)性服務(wù)功能也可以在無(wú)線交換機(jī)中實(shí)現(xiàn)�����,以取代此實(shí)例中所示的單獨(dú)器 件。移動(dòng)服務(wù)還可以結(jié)合網(wǎng)絡(luò)接入控制(NAC)功能來(lái)工作�����,以在允許對(duì)網(wǎng) 絡(luò)的任意接入之前進(jìn)行無(wú)線端節(jié)點(diǎn)的認(rèn)證并能夠?qū)o(wú)線端節(jié)點(diǎn)進(jìn)行姿態(tài)檢 査����。
當(dāng)無(wú)線端節(jié)點(diǎn)(例如N81A)與無(wú)線APN83關(guān)聯(lián)時(shí),APN83或無(wú)線交 換機(jī)N87通報(bào)新連接的無(wú)線端節(jié)點(diǎn)的移動(dòng)性服務(wù)功能或NAC功能之一�。如 果移動(dòng)服務(wù)器件N89結(jié)合NAC功能來(lái)工作,則NAC功能(未示出)在授 權(quán)無(wú)線端節(jié)點(diǎn)接入LAN時(shí)將警告移動(dòng)服務(wù)器件N89�����。用作網(wǎng)絡(luò)協(xié)調(diào)器N99 的移動(dòng)服務(wù)器件N89將使用授權(quán)給端節(jié)點(diǎn)的網(wǎng)絡(luò)接入信息�����,并通過(guò)TAP N97 將該無(wú)線端節(jié)點(diǎn)登記為網(wǎng)絡(luò)用戶N91A���。通過(guò)IPS N87在無(wú)線交換機(jī)中實(shí)現(xiàn) TAP N97����。如果無(wú)線端節(jié)點(diǎn)不支持ONC,則NC N99將使用分配給自身的 NRID來(lái)設(shè)立代表該無(wú)線端節(jié)點(diǎn)的ONC��,從而為該無(wú)線端節(jié)點(diǎn)提供移動(dòng)網(wǎng)絡(luò) 連接�。
在這個(gè)實(shí)例中,無(wú)線端節(jié)點(diǎn)N81A不支持ONC�����,所以用作NRN91A的 NC N99建立接收式ONC N92���,所述ONC N92用于將發(fā)送到無(wú)線端節(jié)點(diǎn)的 地址的所有信息流以及其他的多點(diǎn)傳送和廣播封包引導(dǎo)到移動(dòng)服務(wù)器件 N89��。此外�,用作NRN91A的NCN99建立傳送式ONCN93�,其允許移動(dòng) 服務(wù)器件N89對(duì)向無(wú)線端節(jié)點(diǎn)發(fā)送的所有信息流進(jìn)行中繼,但所述信息流通 過(guò)ONC N92來(lái)重定向并返回?zé)o線端節(jié)點(diǎn)��。直到將無(wú)線端節(jié)點(diǎn)移動(dòng)到不同的 子網(wǎng)為止����,這個(gè)信息流重定向都不是絕對(duì)必要的,所以直到將無(wú)線端節(jié)點(diǎn)移 動(dòng)到不同的子網(wǎng)之前���,都可以請(qǐng)求TAP將接收式ONC直接連接至傳送式 ONCo
接收式ONC到傳送式ONC的直接連接將信息流帶入邏輯管理網(wǎng)絡(luò)拓 撲�,其因此而提供這個(gè)邏輯拓?fù)涞膬?yōu)點(diǎn),這些優(yōu)點(diǎn)例如為對(duì)信息流的控制和 詳査以及對(duì)于網(wǎng)絡(luò)管理而言至關(guān)重要的可見(jiàn)性和可描述性����。直接連接的RX 和TX ONC的這種結(jié)構(gòu)提供了將信息流從物理平面N80的不同管理方式下的 信息流遷移到邏輯控制平面拓?fù)銷(xiāo)卯中的機(jī)制���,而不會(huì)發(fā)生信息流重定向的 低效率���。通過(guò)在RX ONC請(qǐng)求的ONC接收參數(shù)部分中指定TX ONC,將RXONC直接連接至TXONC���。所得到的"回路(loopback) " ONC組合具有提 供由傳送式ONC中指定的信息流安全詳査篩選���、信息流統(tǒng)計(jì)以及在邏輯控 制平面N90中信息流的可見(jiàn)性和可描述性的凈效應(yīng)(net effect)。這些信息 流統(tǒng)計(jì)可由用作僅計(jì)數(shù)接收式ONC(未示出)的NC N99來(lái)使用���,其中NC N99 在提供移動(dòng)網(wǎng)絡(luò)連接中輔助跟蹤接收式ONC N92�����。
在建立并直接連接ONCsN92和N93之后��,無(wú)線端節(jié)點(diǎn)移動(dòng)至客戶所在 地中的LAN中的不同子網(wǎng)��,或移動(dòng)到客戶所在地以外��,并從LAN無(wú)線鏈路 改變?yōu)閃AN無(wú)線連接���,其中這個(gè)無(wú)線WAN鏈路也位于不同子網(wǎng)中�����。如果 無(wú)線端節(jié)點(diǎn)與不同子網(wǎng)中的AP N85重新關(guān)聯(lián)��,則無(wú)線交換機(jī)通報(bào)移動(dòng)性服 務(wù)功能���。移動(dòng)性服務(wù)功能可能再次需要具有NAC功能,以澄清網(wǎng)絡(luò)接入并 對(duì)無(wú)線節(jié)點(diǎn)進(jìn)行鑒別(authenticate)����。移動(dòng)性服務(wù)功能使用來(lái)自無(wú)線交換機(jī) 或NAC功能的信息,以識(shí)別這個(gè)無(wú)線端節(jié)點(diǎn)是否為先前與AP N83關(guān)聯(lián)的無(wú) 線端節(jié)點(diǎn)N81A�。移動(dòng)性服務(wù)采取動(dòng)作,通過(guò)使用先前在APN83的子網(wǎng)中 分配的IP地址向無(wú)線端節(jié)點(diǎn)N81A提供連接��。
首先����,移動(dòng)性服務(wù)通過(guò)TAPN98登記為NRN91A���,其由TAPN97根據(jù) 先前所述的NC N99的請(qǐng)求分配給無(wú)線端節(jié)點(diǎn)N81A。如在先前示例性網(wǎng)絡(luò) 監(jiān)控使用案例的實(shí)例中�����,NR ID可以在網(wǎng)絡(luò)中的TAPs之間進(jìn)行協(xié)調(diào) (coordinated)���,或者每個(gè)TAP可以將其自身的ID分配給請(qǐng)求NR。如果 TAP分配了自身的ID,則在請(qǐng)求中提供的推薦(suggested) ID將被拒絕�����, 并且將分配另一ID��。然后���,移動(dòng)性服務(wù)N89將從TAP98請(qǐng)求接收式ONC��, 在與AP N85關(guān)聯(lián)的新子網(wǎng)中對(duì)所有這樣的信息流進(jìn)行重定向以通過(guò)ONC N94將其發(fā)送至移動(dòng)性服務(wù)����,其中所述信息流是流向或來(lái)自無(wú)線端節(jié)點(diǎn)的新 分配網(wǎng)絡(luò)地址。在修改將要定址到無(wú)線端節(jié)點(diǎn)的新網(wǎng)絡(luò)地址的信息流之后��, 移動(dòng)性服務(wù)請(qǐng)求傳送式ONC��,以使得移動(dòng)性服務(wù)能夠?qū)腛NC N92接收的 信息流(其已發(fā)送到無(wú)線端節(jié)點(diǎn)的舊網(wǎng)絡(luò)地址)傳送到無(wú)線端節(jié)點(diǎn)的新子網(wǎng)����。 使用新網(wǎng)絡(luò)地址作為源地址,通過(guò)TAP N98接收從無(wú)線端節(jié)點(diǎn)N81A發(fā)送的 信息流�����,并經(jīng)由ONC N94將信息流重定向到移動(dòng)性服務(wù)N89��。與NR ID N91A 關(guān)聯(lián)的重定向信息流通過(guò)移動(dòng)性服務(wù)N89得以接收�,修改所述信息流以具有 無(wú)線端節(jié)點(diǎn)的舊網(wǎng)絡(luò)地址的源地址,并在ONC N93上將所述信息流發(fā)送到 無(wú)線端節(jié)點(diǎn)的舊子網(wǎng)中的TAPN97���。這個(gè)信息流重定向可暫時(shí)平滑化(smooth)從一個(gè)子網(wǎng)向另一個(gè)子網(wǎng)的 轉(zhuǎn)換�����。移動(dòng)性服務(wù)N89可基于無(wú)線端節(jié)點(diǎn)或基于配置命令對(duì)活動(dòng)的通信的跟 蹤來(lái)決定停止舊網(wǎng)絡(luò)地址的支持���。如果移動(dòng)性服務(wù)N89決定停止支持�,則將 拆除ONCN92和N93��,并可能在ONC N94和N95之間配置定向連接��,消除 信息流重定向�,同時(shí)保持邏輯控制平面拓?fù)渲械臒o(wú)線信息流。其另一個(gè)運(yùn)行 模式是使得無(wú)線端節(jié)點(diǎn)在連接至LAN時(shí)保持原始網(wǎng)絡(luò)分配地址�。
如果無(wú)線端節(jié)點(diǎn)離開(kāi)客戶所在地并連接至無(wú)線WAN連接,則移動(dòng)性服 務(wù)N89需要獲得用于表示無(wú)線端節(jié)點(diǎn)的新WAN分配網(wǎng)絡(luò)地址的警報(bào)�。這個(gè) 通報(bào)可以來(lái)自于無(wú)線WAN連接的服務(wù)提供商,或來(lái)自于無(wú)線端節(jié)點(diǎn)�����。然后����, 移動(dòng)性服務(wù)N89將通過(guò)TAP N96為發(fā)送到新WAN分配網(wǎng)絡(luò)地址和來(lái)自新 WAN分配網(wǎng)絡(luò)地址的信息流建立接收和傳送式ONC (未示出)��。與先前的 實(shí)例一樣�,移動(dòng)性服務(wù)N89將重定向和修改到達(dá)舊子網(wǎng)的信息流,以使得 WAN分配網(wǎng)絡(luò)地址的轉(zhuǎn)換平滑化�。
與先前的使用案例一樣,網(wǎng)絡(luò)管理和控制任務(wù)通過(guò)將網(wǎng)絡(luò)信息流和信息 流控制方法轉(zhuǎn)向這個(gè)基于普通ONC的邏輯拓?fù)涠靡院?jiǎn)化��。并如直接連接 的接收和傳送式ONC所示的那樣,可將信息流遷移至邏輯控制平面��,而不 需要信息流重定向�。ONC執(zhí)行的任務(wù)越多,遷移到邏輯控制平面的信息流越 多����,被簡(jiǎn)化的任務(wù)管理(例如對(duì)信息流的控制和詳査以及對(duì)于網(wǎng)絡(luò)管理而言 至關(guān)重要的可見(jiàn)性和可描述性)就越多。
服務(wù)提供商(WAN)拓?fù)淅肙NCs來(lái)將客戶所在地或公共位置上的客 戶進(jìn)行連接�����,并使用內(nèi)部網(wǎng)絡(luò)連接(INC)進(jìn)行TAP至TAP連接�。INCs (與 ONCs類似)可指定怎樣和通過(guò)使用什么技術(shù)使得所述連接建立在以連接對(duì) 連接(connection by connection )的基石出上。
參照?qǐng)D4��,示出根據(jù)本發(fā)明一個(gè)實(shí)施例的電子通信網(wǎng)絡(luò)400的示圖�。所 述網(wǎng)絡(luò)400包括數(shù)據(jù)平面信息流接入提供商(TAP)子系統(tǒng)410和控制/應(yīng)用 /服務(wù)平面子系統(tǒng)401。例如���,與這一術(shù)語(yǔ)用在以上引用的題為"Bi-Planar Network Architecture"禾口 "Network Traffic Redirection in Bi國(guó)Planar Networks" 的專利申請(qǐng)中的缺陷一樣��,TAP子系統(tǒng)410可實(shí)現(xiàn)為"連通性/數(shù)據(jù)平面" 中多個(gè)連通性子系統(tǒng)之一�����。例如�����,TAP子系統(tǒng)410可實(shí)現(xiàn)為交換機(jī)或路由器����。 類似地,正如這一術(shù)語(yǔ)用在以上引用的題為"Bi-Planar Network Architecture"
32的專利申請(qǐng)中的情形一樣����,控制/應(yīng)用服務(wù)子系統(tǒng)401例如可實(shí)現(xiàn)為"控制/ 應(yīng)用/服務(wù)平面"中的多個(gè)控制/應(yīng)用/服務(wù)子系統(tǒng)之一。
通常����,控制/應(yīng)用/服務(wù)子系統(tǒng)401的應(yīng)用請(qǐng)求通過(guò)TAP子系統(tǒng)410對(duì)其 進(jìn)行登記���。響應(yīng)于該請(qǐng)求����,TAP子系統(tǒng)通過(guò)TAP子系統(tǒng)410登記該應(yīng)用���, 并為該應(yīng)用分配網(wǎng)絡(luò)用戶ID���。該應(yīng)用根據(jù)與登記請(qǐng)求一起發(fā)送的參數(shù)來(lái)請(qǐng)求 配置接收式ONC���,其中使用提供的點(diǎn)對(duì)點(diǎn)連接參數(shù)將指定網(wǎng)絡(luò)信息流重定向 至控制子系統(tǒng)150。更具體地����,TAP子系統(tǒng)410包括裝置4U,用于從應(yīng) 用1 402接收登記請(qǐng)求421 �,用于響應(yīng)于該登記請(qǐng)求421通過(guò)TAP子系統(tǒng)410 登記應(yīng)用402,以及用于確認(rèn)該登記420;裝置413,用于從應(yīng)用1 402接收 ONC接收請(qǐng)求440;裝置412��,用于響應(yīng)于接收式ONC請(qǐng)求440經(jīng)由點(diǎn)對(duì) 點(diǎn)連接431將網(wǎng)絡(luò)信息流436重定向至應(yīng)用402;以及裝置413����,用于通過(guò) ONC接收確認(rèn)444來(lái)確認(rèn)接收式ONC請(qǐng)求442;網(wǎng)絡(luò)信息流432重定向裝 置,用于響應(yīng)于傳送式ONC請(qǐng)求442而經(jīng)由點(diǎn)對(duì)點(diǎn)連接將網(wǎng)絡(luò)信息流432 從應(yīng)用402重定向至TAP子系統(tǒng)410的網(wǎng)絡(luò)�����,并位于網(wǎng)絡(luò)上TAP子系統(tǒng)436 的物理網(wǎng)絡(luò)附接點(diǎn)處�;以及裝置413,用于通過(guò)ONC的發(fā)送確認(rèn)445來(lái)確認(rèn) 傳送式ONC請(qǐng)求442���。
參照?qǐng)D5A�����,示出根據(jù)本發(fā)明一個(gè)實(shí)施例的方法500的流程圖�,該方法 500由圖4的電子通信網(wǎng)絡(luò)400所使用?���?刂?應(yīng)用/服務(wù)子系統(tǒng)400包括在控 制/應(yīng)用/服務(wù)子系統(tǒng)401上執(zhí)行的應(yīng)用402—404。應(yīng)用402—404例如可提供 網(wǎng)絡(luò)控制功能(例如接入控制��、攻擊(attack)控制和應(yīng)用控制)�����;以及提供 諸如網(wǎng)絡(luò)監(jiān)控等應(yīng)用或諸如web服務(wù)器等服務(wù)��。盡管作為實(shí)例在圖4中示出 3個(gè)應(yīng)用402—404�����,但這些應(yīng)用也可以為任意數(shù)目���。
例如通過(guò)將登記請(qǐng)求421發(fā)送至TAP子系統(tǒng)410,控制/應(yīng)用/服務(wù)子系 統(tǒng)401中諸如應(yīng)用1 402等應(yīng)用請(qǐng)求通過(guò)TAP子系統(tǒng)410對(duì)其進(jìn)行登記�,如 步驟501�。更具體地��,在控制/應(yīng)用/服務(wù)子系統(tǒng)401上執(zhí)行的應(yīng)用402—404 之一可發(fā)送請(qǐng)求421 �,以通過(guò)TAP子系統(tǒng)410將自身登記為網(wǎng)絡(luò)用戶(NR)。 為了方便以下的討論�����,假設(shè)應(yīng)用l 402發(fā)送的是請(qǐng)求421���。更一般而言�,盡 管以下討論所涉及的控制/應(yīng)用/服務(wù)子系統(tǒng)401是與TAP子系統(tǒng)410進(jìn)行通 信�����,但所述通信也可通過(guò)應(yīng)用402_404中的任意一個(gè)來(lái)執(zhí)行�����。
例如�����,響應(yīng)于在電子通信網(wǎng)絡(luò)系統(tǒng)400中被配置至控制/應(yīng)用/服務(wù)子系統(tǒng)401的應(yīng)用,可通過(guò)應(yīng)用402來(lái)傳送登記請(qǐng)求421��。在提交登記請(qǐng)求421 之前�����,可能會(huì)需要對(duì)應(yīng)用1 402自身進(jìn)行認(rèn)證��。
響應(yīng)于登記請(qǐng)求421 ��, TAP子系統(tǒng)410通過(guò)TAP子系統(tǒng)410來(lái)登記應(yīng)用 1 402���,如步驟502�����。作為登記的一部分�����,TAP子系統(tǒng)410例如可存儲(chǔ)用于描 述在TAP子系統(tǒng)410中的應(yīng)用1 402的登記信息417���。例如,TAP子系統(tǒng)410 可生成并在登記信息417中存儲(chǔ)用于應(yīng)用1 402的唯一標(biāo)識(shí)符418��。
TAP子系統(tǒng)410確認(rèn)應(yīng)用1 402已通過(guò)TAP子系統(tǒng)410進(jìn)行登記�,如步 驟503。 TAP子系統(tǒng)410例如可通過(guò)向應(yīng)用1 402發(fā)送確認(rèn)消息420來(lái)執(zhí)行 所述確認(rèn)���。作為所述確認(rèn)的一部分�,TAP子系統(tǒng)410可向應(yīng)用1 402傳送關(guān) 于連通性子系統(tǒng)110的功能的信息�。這個(gè)信息例如可包括在登記確認(rèn)信息420 中。該信息例如可表示TAP子系統(tǒng)410支持哪個(gè)ONC運(yùn)行模式和支持哪 個(gè)點(diǎn)對(duì)點(diǎn)封包和/或加密方案��;TAP子系統(tǒng)410是否支持"拒絕"模式(其 中過(guò)濾封包會(huì)被丟棄而不是被重定向)���;TAP子系統(tǒng)410是否支持"允許" 模式(其中在不采用過(guò)濾規(guī)則的情況下轉(zhuǎn)發(fā)所有封包)��;TAP子系統(tǒng)410支 持哪個(gè)分類字段(例如物理端口�����、 MAC地址�����、協(xié)議(例如IP�、 IPX) ��、 IP 頭字段和通配符、TCP/UDP端口和范圍�����、信息流速率�����、日期/時(shí)間���、不同字 段的組合)��;TAP子系統(tǒng)410是否支持IPv4����、 IPv6或這兩者�;以及可以在 TAP子系統(tǒng)410中配置的信息流過(guò)濾規(guī)則的總數(shù)。
應(yīng)用1 402從所接收的確認(rèn)消息中接收登記確認(rèn)消息并記錄信息�。所述 信息包括唯一的網(wǎng)絡(luò)用戶(NR)的標(biāo)識(shí)(ID)和關(guān)于TAP及其功能的可選 信息,例如信息流定向模式�、點(diǎn)對(duì)點(diǎn)配置選項(xiàng)和信息流篩選功能,如步驟504��。
應(yīng)用1 402請(qǐng)求配置接收式ONC����,從而例如通過(guò)向TAP子系統(tǒng)410傳 送配置接收式ONC請(qǐng)求440來(lái)將網(wǎng)絡(luò)信息流436從TAP子系統(tǒng)410重定向 到應(yīng)用1 402�����,如步驟505。配置接收式ONC請(qǐng)求440可包括ONC RX參數(shù) 441��,所述ONCRX參數(shù)441用于確定將哪個(gè)信息流重定向到應(yīng)用1 402; 如何在TAP和應(yīng)用之間建立點(diǎn)對(duì)點(diǎn)連接�;以及請(qǐng)求哪個(gè)等級(jí)(level)的信息 流掃描以去除具有潛在危險(xiǎn)的信息流。ONCRX參數(shù)441可以通過(guò)多種方式 中的任意一種來(lái)限定�����。例如��,ONCRX參數(shù)441可包括一個(gè)或多個(gè)規(guī)則�。每 個(gè)這樣的規(guī)則例如可指定以下標(biāo)準(zhǔn)中的任意一個(gè)或多個(gè)物理端口序號(hào)(或 物理端口序號(hào)的范圍)、MAC地址����、VLAN、協(xié)議���、IP頭源地址(或通配符)��、IP頭目的地址(或通配符)�、TCP端口 (或TCP端口的范圍)、UDP 端口 (或UDP端口的范圍)����、信息流速率、以及應(yīng)該采用規(guī)則的日期/時(shí)間 (開(kāi)始��、結(jié)束或范圍)��。ONCRX參數(shù)441可包括任意數(shù)目的規(guī)則�。
ONC RX參數(shù)441中的每個(gè)規(guī)則可指定對(duì)于滿足規(guī)則的信息流所采取的 動(dòng)作。這些動(dòng)作例如可包括在IP地址模式下轉(zhuǎn)發(fā)信息流�;在重定向模式下 轉(zhuǎn)發(fā)信息流;在復(fù)制和轉(zhuǎn)發(fā)模式下轉(zhuǎn)發(fā)信息流�;僅發(fā)送計(jì)數(shù)累加而不發(fā)送信 息流本身;僅發(fā)送開(kāi)始n字節(jié)封包�����;允許模式�����;拒絕模式���;以及速率模式����。 ONC RX參數(shù)441的記錄可存儲(chǔ)在與TAP子系統(tǒng)410相關(guān)的登記信息417 中,從而TAP子系統(tǒng)410隨后可使用ONCRX參數(shù)441�����,以確定是否將信息 流436重定向到應(yīng)用1 402���。
ONC參數(shù)還可包括端節(jié)點(diǎn)希望TAP在接收信息流上執(zhí)行的安全過(guò)濾。 對(duì)所述過(guò)濾的描述可包含由TAP提供的過(guò)濾的一個(gè)或多個(gè)名稱�,或包含TAP 沒(méi)有提供、但該TAP可在其安裝經(jīng)由過(guò)濾更新加載的新過(guò)濾時(shí)安裝的所有過(guò) 濾描述��。
ONC參數(shù)還可包括在將信息流從TAP轉(zhuǎn)發(fā)至請(qǐng)求網(wǎng)絡(luò)用戶之前描述如 何修改所述信息流的參數(shù)��。傳送描述符(descriptor)包含以下參數(shù)表示將 要用在封包上的定址的參數(shù)���、是否和如何對(duì)封包進(jìn)行封裝的參數(shù)�、以及是否 和如何加密封包的一部分或全部的參數(shù)�、哪個(gè)參數(shù)指示了 TAP如何向NR傳 遞封包。
TAP子系統(tǒng)410接收所述接收式ONC請(qǐng)求����,并檢查所請(qǐng)求的配置參數(shù) 441以確認(rèn)其是否可完成該請(qǐng)求����,如步驟507��。如果TAP不能完成接收式ONC 的配置請(qǐng)求���,則它會(huì)建立響應(yīng)消息444以表示請(qǐng)求不能被完成��,并且可選地 推薦可選參數(shù)446���,如步驟508。如果TAP可完成接收式ONC的配置請(qǐng)求�����, 則它建立響應(yīng)消息444以表示已配置所述請(qǐng)求�����,如步驟509��。將所建立的接 收式ONC配置的響應(yīng)消息444發(fā)送至應(yīng)用1 402�,如步驟510����。 TAP子系統(tǒng) 410例如可通過(guò)將ONC接收響應(yīng)消息444與可選的替代(alternative)參數(shù) 446 —起傳送至應(yīng)用1 402來(lái)執(zhí)行所述響應(yīng)�����。
應(yīng)用1 402接收所述接收式ONC響應(yīng)消息444����,如步驟512,并檢査是 否根據(jù)請(qǐng)求對(duì)所請(qǐng)求的接收式ONC進(jìn)行了配置�����,如步驟513�����。如果拒絕了接 收式ONC��,則應(yīng)用1檢查T(mén)AP是否推薦了替代用ONC的配置參數(shù)����,如步驟516�����。如果推薦了替代用ONC的配置參數(shù)并且所述應(yīng)用也找到了滿足其需求 的替代,則應(yīng)用1利用替代參數(shù)推薦來(lái)建立新的接收式ONC請(qǐng)求消息�,如 步驟517,否則應(yīng)用1可選擇不使用替代推薦參數(shù)����,并跳過(guò)對(duì)接收式ONC的 配置,如果是這樣����,應(yīng)用1可移動(dòng)至步驟524。在任意一種情況下���,如果配 置或拒絕了所述接收式ONC��,則應(yīng)用1可選擇通過(guò)建立和向TAP傳送一傳 送式ONC請(qǐng)求消息442��,還請(qǐng)求配置傳送式ONC�����,如步驟514��。
配置傳送式ONC請(qǐng)求442可包括ONC TX參數(shù)443��,其用于確定如何 在TAP和應(yīng)用之間建立點(diǎn)對(duì)點(diǎn)連接�;以及確定請(qǐng)求哪個(gè)等級(jí)的信息流掃描以 去除具有潛在危險(xiǎn)的信息流。與ONC RX參數(shù)一樣�,ONC TX參數(shù)443可以 通過(guò)多種方式中的任意一種來(lái)限定。
TAP子系統(tǒng)410接收所述傳送式ONC請(qǐng)求����,并檢查所請(qǐng)求的配置參數(shù) 443以確定其是否能完成該請(qǐng)求,如步驟519�。如果TAP不能完成傳送式ONC 配置請(qǐng)求,則它建立用于表示不能完成請(qǐng)求響應(yīng)消息445�,并且可選地推薦 替代參數(shù)447,如步驟521�����。如果TAP可完成接收式ONC配置請(qǐng)求�����,則它 建立用于表示已配置該請(qǐng)求的響應(yīng)消息445�,如步驟520����。將所建立的傳送 式ONC配置響應(yīng)消息445發(fā)送至應(yīng)用1 402�����,如步驟522�。 TAP子系統(tǒng)410 例如可通過(guò)將ONC傳送響應(yīng)消息445與可選替代參數(shù)447 —起傳送至應(yīng)用1 402來(lái)執(zhí)行響應(yīng)���。
應(yīng)用1 402接收所述傳送式ONC響應(yīng)消息445����,如步驟526��,并檢查是 否根據(jù)請(qǐng)求對(duì)所請(qǐng)求的傳送式ONC進(jìn)行配置�,如步驟527。如果傳送式ONC 請(qǐng)求被拒絕���,則應(yīng)用l檢査TAP是否推薦了替代用ONC配置參數(shù)�����,如步驟 528�����。如果推薦了替代用ONC配置參數(shù)并且所述應(yīng)用也找到了滿足其需求的 替代�,則應(yīng)用1利用替代參數(shù)推薦來(lái)建立新的傳送式ONC請(qǐng)求消息,如步 驟529�����,否則應(yīng)用1可選擇不使用替代推薦參數(shù)并以未完成而結(jié)束����,如步驟 532。
現(xiàn)在參照?qǐng)D6a�����、圖6b和圖6c�,示出接收或傳送式ONC能怎樣配置的3 個(gè)不同實(shí)例。在圖6a中���,可通過(guò)端節(jié)點(diǎn)的請(qǐng)求來(lái)配置ONC��。所得到的ONC 建立在TAP和端節(jié)點(diǎn)之間��。在端節(jié)點(diǎn)處,應(yīng)用可登記為網(wǎng)絡(luò)用戶(NR)并 在該應(yīng)用和TAP之間配置接收式或傳送式或這兩者的ONC���。盡管圖6a中沒(méi) 有示出�,在端節(jié)點(diǎn)上運(yùn)行的多個(gè)應(yīng)用的每一個(gè)均可在每個(gè)應(yīng)用和TAP之間配置接收式或傳送式或這兩者的ONC。如果一個(gè)端節(jié)點(diǎn)由在該端節(jié)點(diǎn)上運(yùn)行的 多個(gè)應(yīng)用共享���,在該端節(jié)點(diǎn)的協(xié)議棧(stack)中�,該端節(jié)點(diǎn)可選擇實(shí)現(xiàn)對(duì)開(kāi) 放式網(wǎng)絡(luò)連接的支持��。這樣就允許無(wú)須改變應(yīng)用而配置ONC����。圖6a示出在 端節(jié)點(diǎn)的協(xié)議棧處,協(xié)議?;騾f(xié)議棧中的層可登記為網(wǎng)絡(luò)用戶(NR),并在 協(xié)議棧和TAP之間配置接收式或傳送式或這兩者的ONC��。端節(jié)點(diǎn)中的NIC 可以是登記為網(wǎng)絡(luò)用戶(NR)并在NIC和TAP之間配置接收式ONC或傳 送式ONC或這兩者的實(shí)體�。通過(guò)NIC實(shí)現(xiàn)ONCs,允許無(wú)須改變應(yīng)用而配 置ONCs��,所述ONC配置也會(huì)出現(xiàn)在用于改進(jìn)安全的端節(jié)點(diǎn)運(yùn)行系統(tǒng)以外�。 例如,其可以在嵌入防火墻NIC中實(shí)現(xiàn)����,并卸載對(duì)TAP設(shè)備的信息流掃描�����。
圖6B示出在端節(jié)點(diǎn)和TAP之間配置的ONC��,所述ONC以網(wǎng)絡(luò)協(xié)調(diào)器 (NC)作為中間件(intermediary)����。在這個(gè)運(yùn)行模式下�����,對(duì)所述接收和傳 送式ONC請(qǐng)求進(jìn)行以下處理通過(guò)NC來(lái)攔截����;通過(guò)向端節(jié)點(diǎn)返回響應(yīng)來(lái) 檢查、可能的修改���、可能的拒絕�����;或可能被轉(zhuǎn)發(fā)至TAP����。從TAP返回且去 往端節(jié)點(diǎn)的響應(yīng)也被攔截檢査����,并轉(zhuǎn)發(fā)回端節(jié)點(diǎn)。以下結(jié)合對(duì)圖7和圖8^ 圖8E的描述來(lái)介紹這個(gè)運(yùn)行模式的更多細(xì)節(jié)����。與圖6a中所示的運(yùn)行的先前 模式一樣,所述ONCs可以建立于在端節(jié)點(diǎn)上運(yùn)行的一個(gè)或多個(gè)應(yīng)用�、端節(jié) 點(diǎn)中的協(xié)議棧或安裝在端節(jié)點(diǎn)中的NIC之間�����。
圖6C示出在端節(jié)點(diǎn)和TAP之間配置的ONC���,所述ONC以網(wǎng)絡(luò)協(xié)調(diào)器 (NC)作為宿主(master)�����,其中ONCs被分配給端節(jié)點(diǎn)����。所述端節(jié)點(diǎn)可以 了解或可以不了解所配置的ONCs�����。以下將結(jié)合對(duì)圖9和圖10A-圖10E的說(shuō) 明來(lái)描述這個(gè)運(yùn)行模式的更多細(xì)節(jié),而使用ONC的服務(wù)器負(fù)載均衡器實(shí)現(xiàn) 方案是在之前結(jié)合圖3G的說(shuō)明來(lái)描述的�����。與圖6a和圖6b中所示的運(yùn)行的 先前模式一樣�����,所述ONCs也可以建立與在端節(jié)點(diǎn)上運(yùn)行的一個(gè)或多個(gè)應(yīng)用�、 端節(jié)點(diǎn)中的協(xié)議棧或安裝在端節(jié)點(diǎn)中的NIC之間��。
參照?qǐng)D8A���,示出根據(jù)本發(fā)明一個(gè)實(shí)施例的方法800的流程圖�,該方法 800用于圖7的電子通信網(wǎng)絡(luò)700����。控制/應(yīng)用/服務(wù)子系統(tǒng)700包括在控制/ 應(yīng)用/服務(wù)子系統(tǒng)701上執(zhí)行的應(yīng)用702—704�����。所述應(yīng)用702—704例如可提 供網(wǎng)絡(luò)控制功能(例如接入控制、攻擊控制和應(yīng)用控制)��;并提供諸如網(wǎng)絡(luò) 監(jiān)控等應(yīng)用或諸如web服務(wù)器等服務(wù)��。盡管作為實(shí)例在圖7中示出3個(gè)應(yīng)用 702—704�,但所述應(yīng)用也可以為任意數(shù)目���。例如通過(guò)將登記請(qǐng)求721a傳送至TAP子系統(tǒng)710,控制/應(yīng)用/服務(wù)子系 統(tǒng)701中諸如應(yīng)用1 702等應(yīng)用請(qǐng)求通過(guò)TAP子系統(tǒng)710對(duì)其進(jìn)行登記�����,如 步驟801�����。更具體地�����,在控制/應(yīng)用/服務(wù)子系統(tǒng)701上執(zhí)行的應(yīng)用702 — 704 之一可傳送請(qǐng)求721a���,以通過(guò)TAP子系統(tǒng)710登記其自身。為了方便以下 的討論��,假設(shè)應(yīng)用1 702傳送的是請(qǐng)求721a。更一般而言���,盡管以下討論所 涉及的控制/應(yīng)用/服務(wù)子系統(tǒng)701是與TAP子系統(tǒng)710進(jìn)行通信��,但是所述 通信也可通過(guò)應(yīng)用702—704中的任意一個(gè)來(lái)執(zhí)行����。
例如�����,可響應(yīng)于在電子通信網(wǎng)絡(luò)系統(tǒng)700中被配置至控制/應(yīng)用/服務(wù)子 系統(tǒng)701的應(yīng)用�,通過(guò)應(yīng)用1 702傳送該登記請(qǐng)求721a。在提交登記請(qǐng)求721a 之前�����,可能會(huì)需要對(duì)應(yīng)用1 702自身的認(rèn)證�。
網(wǎng)絡(luò)協(xié)調(diào)器750 (NC)攔截登記請(qǐng)求;檢査其內(nèi)容��;記錄關(guān)于應(yīng)用1的 信息���;可選地對(duì)請(qǐng)求實(shí)體進(jìn)行認(rèn)證和姿態(tài)檢査���;可選地檢查T(mén)AP登記���;準(zhǔn)備 能潛在地修改的請(qǐng)求721b(所述請(qǐng)求721b被定址到原始請(qǐng)求中的TAP或被 定址到由NC選擇的TAP),如步驟802��。 NC可根據(jù)其正在執(zhí)行的網(wǎng)絡(luò)接入 策略來(lái)決定拒絕或接受登記請(qǐng)求��,如步驟803�。如果NC拒絕登記請(qǐng)求�,則 它將發(fā)送用于表示拒絕的登記確認(rèn)消息720a,如步驟804���。否則���,NC將登 記請(qǐng)求721b轉(zhuǎn)發(fā)至TAP710,如步驟805���。
響應(yīng)于登記請(qǐng)求721b�, TAP子系統(tǒng)710通過(guò)TAP子系統(tǒng)710登記應(yīng)用 1 702�,如步驟806。作為登記的一部分,TAP子系統(tǒng)710例如可在登記子系 統(tǒng)711中存儲(chǔ)用于描述應(yīng)用1 702的登記信息���。例如���,TAP子系統(tǒng)710可生 成并在登記信息中存儲(chǔ)給予應(yīng)用1 702的唯一標(biāo)識(shí)符。
TAP子系統(tǒng)710確認(rèn)已通過(guò)TAP子系統(tǒng)710登記了應(yīng)用1 702���,如步驟 806�。 TAP子系統(tǒng)710例如可通過(guò)向應(yīng)用1 702發(fā)送確認(rèn)消息720b來(lái)執(zhí)行該 確認(rèn)�。如之前對(duì)圖6和圖7A-圖7C的描述文本所述,作為所述確認(rèn)的一部 分�����,TAP子系統(tǒng)710可向應(yīng)用1 702發(fā)送關(guān)于連通性(TAP)子系統(tǒng)710的 功能的信息�。
網(wǎng)絡(luò)協(xié)調(diào)器750 (NC)攔截登記確認(rèn)消息720b;檢査其內(nèi)容;記錄關(guān)于 應(yīng)用1 702的信息����;并將登記確認(rèn)消息720a轉(zhuǎn)發(fā)至應(yīng)用1 702,如步驟808���。 應(yīng)用1 702接收登記確認(rèn)消息720a并記錄接收消息的信息����。這個(gè)信息包括唯 一網(wǎng)絡(luò)用戶(NR)標(biāo)識(shí)(ID)和關(guān)于TAP及其功能的可選信息,例如信息流定向模式����、點(diǎn)對(duì)點(diǎn)配置選項(xiàng)(option)和信息流篩選功能,如步驟809�����。
例如通過(guò)向TAP子系統(tǒng)710傳送配置接收式ONC請(qǐng)求740a�����,應(yīng)用1 702 請(qǐng)求配置接收式ONC�����,從而將網(wǎng)絡(luò)信息流736從TAP子系統(tǒng)710重定向到 應(yīng)用1 702�,如步驟811��。如之前的實(shí)例所述����,配置接收式ONC請(qǐng)求740a 可包括ONC RX參數(shù)741a�����,其用于確定哪個(gè)信息流被重定向到應(yīng)用1 402; 如何在TAP和應(yīng)用之間建立點(diǎn)對(duì)點(diǎn)連接�;以及請(qǐng)求哪個(gè)等級(jí)的信息流掃描以 去除具有潛在危險(xiǎn)的信息流���。
網(wǎng)絡(luò)協(xié)調(diào)器(NC) 750攔截接收式ONC請(qǐng)求740a;檢査其內(nèi)容����;記錄 關(guān)于應(yīng)用和ONC的信息����;可選地對(duì)策略進(jìn)行檢査,以驗(yàn)證ONC對(duì)于請(qǐng)求實(shí) 體是否是允許的�;可選地檢查T(mén)AP登記;準(zhǔn)備能潛在地修改的ONC請(qǐng)求(該 請(qǐng)求被定址到原始請(qǐng)求中的TAP或被定址到由NC選擇的TAP)���,如步驟 812���。 NC可根據(jù)其正在執(zhí)行的網(wǎng)絡(luò)接入策略來(lái)決定拒絕或接受所述接收式 ONC請(qǐng)求,或者NC可具有其將會(huì)推薦的優(yōu)選配置���,以代替所請(qǐng)求的配置����, 如步驟814。 NC發(fā)送ONC接收響應(yīng)消息744a�,該消息744a表示用于配置 一個(gè)請(qǐng)求接收式ONC的拒絕或推薦替代參數(shù),如步驟814��。
作為對(duì)拒絕請(qǐng)求的取代����,NC可選擇代表請(qǐng)求者來(lái)修改接收式ONC請(qǐng)求 的配置參數(shù),并且NC可將該請(qǐng)求發(fā)送至與原始請(qǐng)求中指定的TAP不同的 TAP��。這個(gè)特征允許端節(jié)點(diǎn)指定剩下的TAP的標(biāo)識(shí)符而無(wú)須了解它們應(yīng)該與 哪個(gè)TAP連接���,該標(biāo)識(shí)符用于表示在這個(gè)示例性應(yīng)用1中NC應(yīng)該從這個(gè)網(wǎng) 絡(luò)用戶中挑選適當(dāng)?shù)腡AP以用于該請(qǐng)求�����。如果NC拒絕接收式ONC請(qǐng)求, 則其轉(zhuǎn)發(fā)接收式ONC請(qǐng)求消息740b����,其中所述消息與它從應(yīng)用l 702接收 的接收式ONC請(qǐng)求消息740a不同,如步驟815�����。
TAP子系統(tǒng)710接收所述接收式ONC請(qǐng)求,并檢査所請(qǐng)求的配置參數(shù)�, 以確定其是否能完成該請(qǐng)求,如步驟817�。如果TAP不能完成接收式ONC 配置請(qǐng)求,則它建立用于表示不能完成該請(qǐng)求的響應(yīng)消息744b���,并且可選地 推薦替代參數(shù)����,如步驟818����。如果TAP能完成接收式ONC配置請(qǐng)求,則它 建立用于表示已配置該請(qǐng)求的響應(yīng)消息744b�����,如步驟819����。將所建立的接收 式ONC配置響應(yīng)消息744b發(fā)送至應(yīng)用1 702,如步驟822����。 TAP子系統(tǒng)710 例如可通過(guò)將ONC接收響應(yīng)消息744b與可選的替代參數(shù)一起傳送至應(yīng)用1 702來(lái)執(zhí)行所述響應(yīng)��。
39網(wǎng)絡(luò)協(xié)調(diào)器(NC) 750攔截接收式ONC響應(yīng)744b;檢查其內(nèi)容�����;記錄 關(guān)于應(yīng)用1和ONC的信息��;將消息轉(zhuǎn)發(fā)至應(yīng)用1 744a��,如步驟823���。
應(yīng)用1 702接收所述接收式ONC響應(yīng)消息744a,如步驟824��,并檢査是 否根據(jù)請(qǐng)求對(duì)所請(qǐng)求的接收式ONC進(jìn)行了配置�����,如步驟825���。如果拒絕了接 收式ONC,則應(yīng)用1檢査TAP是否推薦了替代用ONC的配置參數(shù)�,如步驟 827��。如果推薦了替代用ONC的配置參數(shù)并且所述應(yīng)用隨后也找到了滿足其 需求的替代選擇參數(shù)���,則應(yīng)用1利用替代參數(shù)推薦來(lái)建立新的接收式ONC 請(qǐng)求消息,如步驟828�,否則應(yīng)用1可選擇不使用替代推薦參數(shù),并跳過(guò)配 置接收式ONC����,如果是這樣,該應(yīng)用1可移動(dòng)至步驟826�����。在任意一種情況 下�,如果配置或拒絕了接收式ONC,則應(yīng)用1可選擇通過(guò)建立和向TAP傳 送一傳送式ONC請(qǐng)求消息742a����,還請(qǐng)求配置傳送式ONC,如步驟826�。
網(wǎng)絡(luò)協(xié)調(diào)器(NC) 750攔截傳送式ONC請(qǐng)求742a;檢査其內(nèi)容;記錄 關(guān)于應(yīng)用和ONC的信息����;可選地對(duì)策略進(jìn)行檢査�����,以驗(yàn)證ONC對(duì)于請(qǐng)求實(shí) 體是否是允許的��;可選地檢査TAP登記��;準(zhǔn)備能潛在地修改的ONC請(qǐng)求(該 請(qǐng)求被定址到原始請(qǐng)求中的TAP或被定址到由NC選擇的TAP)��,如步驟 832��。
NC可根據(jù)其正在執(zhí)行的網(wǎng)絡(luò)接入策略來(lái)決定拒絕或接受所述接收式 ONC請(qǐng)求����,如步驟833����,或者所述NC可以其將要推薦的優(yōu)選配置來(lái)取代所 請(qǐng)求的配置,如步驟834����。所述NC發(fā)送ONC傳送響應(yīng)消息745a,所述消 息745a表示用于配置一個(gè)請(qǐng)求接收式ONC的拒絕或推薦替代參數(shù)�����。
作為對(duì)拒絕請(qǐng)求的替代,NC可代表請(qǐng)求者來(lái)選擇修改傳送式ONC請(qǐng)求 的配置參數(shù)��,并且NC可將該請(qǐng)求發(fā)送至與原始請(qǐng)求中指定的TAP不同的 TAP�。這個(gè)特征允許端節(jié)點(diǎn)無(wú)須了解它們應(yīng)該與哪個(gè)TAP連接而指定剩下的: TAP的標(biāo)識(shí)符����,所述標(biāo)識(shí)符用于表示在這個(gè)示例性應(yīng)用1 702中NC應(yīng)該從 這個(gè)網(wǎng)絡(luò)用戶挑選適當(dāng)?shù)腡AP以用于該請(qǐng)求。如果NC拒絕該傳送式ONC 請(qǐng)求����,則其轉(zhuǎn)發(fā)該傳送式ONC請(qǐng)求消息742b,其中所述消息742b可與從應(yīng) 用1 702接收的接收式ONC請(qǐng)求消息742a不同��,如步驟835�。
TAP子系統(tǒng)710接收所述傳送式ONC請(qǐng)求,并檢査所請(qǐng)求的配置參數(shù)����, 以確定其是否能完成該請(qǐng)求,如步驟837����。如果TAP不能完成傳送式ONC 配置請(qǐng)求,則它建立用于表示不能完成請(qǐng)求的響應(yīng)消息745b并且可選地推薦替代參數(shù),如步驟838�。如果TAP可完成傳送式ONC配置請(qǐng)求,則它建 立用于表示已配置該請(qǐng)求的響應(yīng)消息745b��,如步驟839���。將所建立的傳送式 ONC配置響應(yīng)消息745b發(fā)送至應(yīng)用1 702����,如步驟842���。 TAP子系統(tǒng)710例 如可通過(guò)將ONC接收響應(yīng)消息745b與可選替代參數(shù)一起傳送至應(yīng)用1 702 來(lái)執(zhí)行響應(yīng)���。
網(wǎng)絡(luò)協(xié)調(diào)器(NC) 750攔截傳送式ONC響應(yīng)745b;檢查其內(nèi)容;記錄 關(guān)于應(yīng)用1和ONC的信息����;將消息745a轉(zhuǎn)發(fā)至應(yīng)用1,如步驟843��。應(yīng)用1 702接收所述傳送式ONC響應(yīng)消息745a�,如步驟844,并檢査是否根據(jù)請(qǐng)求 對(duì)所請(qǐng)求的傳送式ONC進(jìn)行了配置���,如步驟845��。如果拒絕了傳送式ONC 請(qǐng)求�,則應(yīng)用1檢查T(mén)AP是否推薦了替代用ONC的配置參數(shù),如步驟847��。 如果推薦了替代用ONC的配置參數(shù)并且所述應(yīng)用隨后也找到了滿足其需求 的替代推薦參數(shù)���,則應(yīng)用1利用替代參數(shù)推薦建立新的傳送式ONC請(qǐng)求消 息,如步驟848���,否則應(yīng)用1可選擇不使用替代推薦參數(shù)并且以未成功完成 而結(jié)束��,如步驟850����。
參照?qǐng)D10A�,示出根據(jù)本發(fā)明一個(gè)實(shí)施例的方法1000的流程圖,所述 方法1000用于圖9的電子通信網(wǎng)絡(luò)900�����?��?刂?應(yīng)用/服務(wù)子系統(tǒng)900包括在 控制/應(yīng)用/服務(wù)子系統(tǒng)901上執(zhí)行的應(yīng)用902—904��。所述應(yīng)用902—卯4提供 web服務(wù)器功能�����。盡管作為實(shí)例在圖9中示出3個(gè)應(yīng)用902_904����,但所述應(yīng) 用也可以為任意數(shù)目。
在步驟1001����,網(wǎng)絡(luò)協(xié)調(diào)器(NC) 950通過(guò)使用發(fā)現(xiàn)探測(cè)消息、信息流偵 聽(tīng)來(lái)發(fā)現(xiàn)可用服務(wù)器�����,或配置web服務(wù)器列表���,使這個(gè)NC負(fù)責(zé)控制信息流 負(fù)載均衡���。NC 950例如通過(guò)向TAP子系統(tǒng)910傳送登記請(qǐng)求921a來(lái)請(qǐng)求通 過(guò)TAP子系統(tǒng)910對(duì)其登記,如步驟1002����。如果web服務(wù)器支持ONC�,則 這些服務(wù)器還登記它們自身(未示出)��,但是并不要求web服務(wù)器支持ONC����。
登記請(qǐng)求921a例如可響應(yīng)于電子通信網(wǎng)絡(luò)系統(tǒng)900中配置的web服務(wù) 器而通過(guò)NC傳送。在提交登記請(qǐng)求921a之前����,可能會(huì)需要NC 950通過(guò)TAP 子系統(tǒng)910認(rèn)證其自身�����。
響應(yīng)于登記請(qǐng)求921a����, TAP子系統(tǒng)910通過(guò)TAP子系統(tǒng)910登記NC 950,如步驟1003。作為所述登記的一部分�����,TAP子系統(tǒng)910例如可在登記 子系統(tǒng)911中存儲(chǔ)用于描述NC 950的登記信息��。例如,TAP子系統(tǒng)910可生成并在登記信息中存儲(chǔ)用于NC 950的唯一標(biāo)識(shí)符�����。
TAP子系統(tǒng)910確認(rèn)已通過(guò)TAP子系統(tǒng)910登記了 NC 950����,如步驟 1005。 TAP子系統(tǒng)910例如可通過(guò)向NC 950發(fā)送確認(rèn)消息920a來(lái)執(zhí)行所述 確認(rèn)�����。作為所述確認(rèn)的一部分��,TAP子系統(tǒng)910可向NC 950發(fā)送關(guān)于連通 性(TAP)子系統(tǒng)710的功能的信息�,如上所述。
網(wǎng)絡(luò)協(xié)調(diào)器NC950接收登記確認(rèn)消息920a���,并記錄在所接收的消息中 找到的信息���。這個(gè)信息包括唯一的網(wǎng)絡(luò)用戶(NR)的標(biāo)識(shí)(ID)和關(guān)于TAP 及其功能的可選信息,例如信息流定向模式�、點(diǎn)對(duì)點(diǎn)配置選項(xiàng)和信息流篩選 功能,如步驟1006����。
如果NC 950已經(jīng)被認(rèn)證并通過(guò)TAP 910登記����,則它現(xiàn)在會(huì)發(fā)出一個(gè)或 多個(gè)請(qǐng)求�����,以通過(guò)TAP 910登記web服務(wù)器1 902和web服務(wù)器2 903 ����,如 步驟1007。這可通過(guò)列出將要登記的網(wǎng)絡(luò)用戶的單個(gè)消息或通過(guò)每個(gè)網(wǎng)絡(luò)用 戶的獨(dú)立請(qǐng)求來(lái)完成(類似于921a��,但未示出)�����。請(qǐng)求消息包含NC 950的 NRID�, NC950作為經(jīng)授權(quán)的實(shí)體��,其不僅具有作為網(wǎng)絡(luò)用戶的特權(quán)����,而且 還具有阻止代表自身的其它實(shí)體的特權(quán)���。
在步驟1008, TAP 910接收由NC 950發(fā)送的一個(gè)或多個(gè)登記請(qǐng)求消息���, 并通過(guò)為web服務(wù)器1和web服務(wù)器2的每一個(gè)分配一個(gè)NR ID且在登記 系統(tǒng)911中記錄這個(gè)信息來(lái)登記web服務(wù)器1和web服務(wù)器2���。 NC 950是 經(jīng)授權(quán)的實(shí)體的事實(shí),表示其代表web服務(wù)器1和web服務(wù)器2登記它們���。 登記系統(tǒng)存儲(chǔ)關(guān)于實(shí)體(所述實(shí)體負(fù)責(zé)尋源(sourcing)或積存(sinking) 網(wǎng)絡(luò)信息流)和可能的經(jīng)授權(quán)的實(shí)體(所述經(jīng)授權(quán)的實(shí)體代表支持或不支持 ONC的其它實(shí)體來(lái)采取動(dòng)作)的信息�。這個(gè)信息庫(kù)(repository)用于檢査 和管理例如圖3G中的示例性項(xiàng)目N30的邏輯管理信息流平面�����。
通過(guò)響應(yīng)于一個(gè)或多個(gè)登記請(qǐng)求來(lái)傳送一個(gè)或多個(gè)登記確認(rèn)消息(類似 于920a,但是未知)��,TAP子系統(tǒng)910可執(zhí)行所述確認(rèn)����。所述一個(gè)或多個(gè)消 息包含給web服務(wù)器1 902和web服務(wù)器2 903分配的NR ID、以及關(guān)于TAP 子系統(tǒng)910的可能的其它信息�,如步驟1009。
在步驟1010, NC 950接收一個(gè)或多個(gè)登記響應(yīng)消息��,并將給web服務(wù) 器1和web服務(wù)器2分配的NR ID記錄到負(fù)載均衡系統(tǒng)952中��,并在步驟 1012檢査web服務(wù)器1和web服務(wù)器2是否支持ONC��。如果web服務(wù)器1
42和web服務(wù)器2支持ONC��,在步驟1013�����, NC 950例如可通過(guò)構(gòu)建登記分配 消息920b和920c并向web服務(wù)器1 902和web服務(wù)器2 903發(fā)送這些消息�, 從而通報(bào)web服務(wù)器1和web服務(wù)器2以下可能的信息關(guān)于它們已經(jīng)被登 記、其所分配的NRID是什么����、以及關(guān)于它們被登記至哪個(gè)TAP。如果web 服務(wù)器1和web服務(wù)器2不支持ONC�����,則跳過(guò)登記分配步驟����,直接進(jìn)行步 驟1016。在步驟1014��, web服務(wù)器1 902和web服務(wù)器2卯3接收登記分配 消息920b和920c,并記錄它們所分配的NRID����。在步驟1015, web服務(wù)器 1 902和web服務(wù)器2 903通過(guò)向NR 950發(fā)送登記消息921b和921c來(lái)響應(yīng)����。
NC950構(gòu)建用于每個(gè)web服務(wù)器的接收請(qǐng)求ONC消息(實(shí)例940a), 所述接收請(qǐng)求ONC消息指定包含在ONC RX參數(shù)中的接收過(guò)濾標(biāo)準(zhǔn)(案例 941a)���。構(gòu)建該過(guò)濾標(biāo)準(zhǔn)�����,從而網(wǎng)絡(luò)信息流將在web服務(wù)器之間達(dá)到均衡����, 信息流篩選的等級(jí)也可以在ONCRX參數(shù)中指定(實(shí)例941a)��,以保護(hù)web 服務(wù)器提供的特定服務(wù)���。在步驟1016��,針對(duì)為web服務(wù)器構(gòu)建的每個(gè)接收 式ONC,構(gòu)建另一個(gè)接收式ONC作為接至NC950的僅計(jì)數(shù)式ONC�,從而 使得NC 950能夠監(jiān)控web服務(wù)器1 902和web服務(wù)器2 903上的負(fù)載。
在步驟1017����, TAP910檢查是否可配置具有參數(shù)(實(shí)例941a)的接收式 ONC請(qǐng)求(實(shí)例940a),記錄關(guān)于所配置的ONC的信息�����,在ONC配置系 統(tǒng)913中留意(note)在僅計(jì)數(shù)式ONC和web服務(wù)器ONCs之間的連接�。 如果TAP 910可配置ONC RX請(qǐng)求,在步驟1022�,它組構(gòu)確認(rèn)接收響應(yīng)消 息(實(shí)例944a),并在步驟1023配置信息流系統(tǒng)��,以對(duì)滿足接收請(qǐng)求參數(shù) 的信息流進(jìn)行重定向和計(jì)數(shù)����。
如果TAP 910不能配置ONCRX請(qǐng)求,在步驟1021�����,它構(gòu)建拒絕接收 響應(yīng)消息(實(shí)例944a)��。在步驟1024�,向NC 950發(fā)送確認(rèn)或拒絕接收響應(yīng)。 在步驟1025���,網(wǎng)絡(luò)協(xié)調(diào)器950接收所述接收式ONC響應(yīng)�����,檢査其內(nèi)容�,記 錄關(guān)于負(fù)載均衡系統(tǒng)952中的ONCs的信息�����。如果web服務(wù)器支持ONC并 且ONC接收請(qǐng)求被確認(rèn)�����,在步驟1027�����, NC 950組構(gòu)ONC分配消息(實(shí)例 940b)�����。在步驟1028, web服務(wù)器可接收所述ONC接收分配消息�,記錄關(guān) 于ONC的信息以及發(fā)送所述ONC接收分配響應(yīng)(案例944b)。
可選地(圖10中未示出)�,如果NC950期望管理由web服務(wù)器發(fā)送的 信息流,則它將通過(guò)TAP 910建立傳送式ONC�����。通過(guò)代表web服務(wù)器組構(gòu)和發(fā)送ONCs傳送請(qǐng)求消息(實(shí)例942a)至TAP 950來(lái)建立這些ONCs��。 TAP 910將接收所述ONC傳送請(qǐng)求消息��,通過(guò)記錄系統(tǒng)911來(lái)記錄它們�,并通過(guò) ONC傳送響應(yīng)消息(實(shí)例945a)來(lái)響應(yīng)。如果web服務(wù)器支持ONCs����,則 NC 950將通報(bào)web服務(wù)器以下內(nèi)容所述傳送式ONC通過(guò)發(fā)送ONC傳送 分配消息(實(shí)例942b)而建立。Web服務(wù)器將接收所述ONC傳送分配消息���, 記錄關(guān)于ONC的信息���,并向NC 950發(fā)回ONC傳送分配響應(yīng)(實(shí)例945b)。
在端節(jié)點(diǎn)��、網(wǎng)絡(luò)協(xié)調(diào)器和TAPs之間可使用各種協(xié)議;TAP可使用簡(jiǎn)單 的請(qǐng)求響應(yīng)協(xié)議(例如SNMP)來(lái)請(qǐng)求接收和傳送式ONCs; TAP可具有web 服務(wù)服務(wù)器接口���,并可使用SOAP來(lái)配置ONCs;或者可使用如本說(shuō)明書(shū)描 述的任意其它可配置ONC的的協(xié)議。
無(wú)論使用哪個(gè)協(xié)議來(lái)執(zhí)行NR登記���、ONC配置或信息流重定向以作為 ONC配置的結(jié)果����,以下將描述可能在具體協(xié)議消息的實(shí)現(xiàn)方案中出現(xiàn)的信 息��。對(duì)于每個(gè)實(shí)現(xiàn)方案而言����,其并非都需要如下討論的所有信息字段。
那些請(qǐng)求作為被登記的NR的應(yīng)用或端節(jié)點(diǎn)必須提供某種形式的標(biāo)識(shí)��。 可能的標(biāo)識(shí)形式可以從48位MAC地址到信用卡號(hào)����、護(hù)照號(hào)、URL����。這里提 供的標(biāo)識(shí)的重要特征是網(wǎng)絡(luò)信息流的源(TXONC)和庫(kù)(sink) (RXONC) 可以與可確認(rèn)的實(shí)體(例如人�����、機(jī)器���、公司、或任意其它形式的責(zé)任實(shí)體) 關(guān)聯(lián)�����。其它信息還可以出現(xiàn)于用來(lái)描述NR (例如它是什么��,它在哪里�,以 及它的功能是什么)的登記請(qǐng)求中。如上所述�����,由于NR已經(jīng)從這個(gè)TAP或 另一個(gè)TAP接收到這個(gè)NRID�����,因此該NRID可以作為推薦而被提供給TAP�。
如果登記請(qǐng)求被授權(quán),則登記確認(rèn)消息必須提供NRID。登記確認(rèn)消息 必須還包含該登記是否已被授權(quán)的指示�����?��?赏ㄟ^(guò)TAP提供其它信息�����,并提供 從登記請(qǐng)求消息復(fù)制的信息?���?梢栽诘怯洿_認(rèn)消息中提供關(guān)于這個(gè)TAP和其 它TAP的信息。所提供的關(guān)于TAP的信息可表示TAP ID�、 TAP位置和TAP 的功能、以及由TAP支持加載的當(dāng)前負(fù)載�。在確認(rèn)消息中報(bào)告的TAP功能 可描述其過(guò)濾、封包重定向模式����、封包修改模式、以及加密支持����。對(duì)于NR 定位其它TAP并確定通過(guò)TAPs是否能滿足所需的ONCs而言��,這個(gè)信息是 很有用的��。
解除登記(deregistration)請(qǐng)求消息必須至少包含從邏輯拓?fù)浞蛛x的NR ID����。解除登記請(qǐng)求消息可以可選地包含以下信息例如用于分離的原因�、NR
44期望重新連接的位置、以及關(guān)于正被分離的ONC的使用的信息�。
接收式ONC請(qǐng)求消息必須至少提供請(qǐng)求者的NR ID和信息流重定向指 令。所述NRID是在通過(guò)這個(gè)TAP對(duì)其進(jìn)行登記時(shí)提供的ID��。信息流重定 向指令可采用從選擇TAP中的缺省配置到指定復(fù)雜的信息流選擇標(biāo)準(zhǔn)的各 種形式�����。此外��,可指定如何從TAP向NR發(fā)送重定向的信息流���,其可包括以 下項(xiàng)目例如用于封包���、標(biāo)記或加密的封包變換指令;針對(duì)安全威脅而用于 掃描重定向信息流的信息流詳査指令;以及是否應(yīng)該取代對(duì)實(shí)際信息流的重 定向而發(fā)送的信息流表示的全部�、部分或其它形式(例如計(jì)數(shù))。
接收式ONC請(qǐng)求消息可包含對(duì)于TAP的信息流錄入指令����,所述信息流 錄入指令可以在稍后匯集起來(lái)以跟蹤與這個(gè)ONC關(guān)聯(lián)的信息流。接收式 ONC請(qǐng)求消息還可包含這個(gè)RX ONC將要直接連接至TX ONC的指示����,并 且如果指示的是直接連接,則包含這個(gè)RX ONC直接與哪個(gè)TX ONC連接的 確認(rèn)��。如果每個(gè)NR允許多個(gè)TXONCs,則必須提供TXONCID��,否則NR ID可以對(duì)TX ONC進(jìn)行識(shí)別��。
ONC接收響應(yīng)消息必須包含所請(qǐng)求的RX ONC是否己經(jīng)被授權(quán)的指示��。 如果TAP允許每個(gè)NR有超過(guò)一個(gè)的RX ONC���,則ONC接收響應(yīng)消息必須 還包含ONC的標(biāo)識(shí)符(即ONC ID) 。 NR或NC可使用這個(gè)ONC ID�,以將 重定向的信息流與產(chǎn)生信息流重定向的ONC關(guān)聯(lián)。在響應(yīng)消息中��,TAP還 可以從ONC接收請(qǐng)求復(fù)制信息。
傳送式ONC請(qǐng)求消息必須至少提供請(qǐng)求者的NR ID��。還可以在傳送式 ONC請(qǐng)求消息中提供如下內(nèi)容如RX ONC中所述的關(guān)于如何從NR向TAP 發(fā)送信息流�����、信息流修改��、信息流優(yōu)先級(jí)���、以及信息流詳查的信息�。傳送式 ONC請(qǐng)求消息可包含對(duì)于TAP的信息流錄入指令����,所述錄入指令能夠在稍 后匯集起來(lái)以跟蹤與這個(gè)ONC關(guān)聯(lián)的信息流。此外�����,還可以在傳送式ONC 請(qǐng)求消息中提供關(guān)于這個(gè)TX ONC和一個(gè)RX ONC之間的直接連接的信息�。
傳送式ONC響應(yīng)消息必須包含所請(qǐng)求的TX ONC是否已被授權(quán)的指示。 如果TAP允許每個(gè)NR有多個(gè)TX ONCs��,則ONC傳送響應(yīng)消息必須還包含 ONC的標(biāo)識(shí)符(即ONCE))�����。這個(gè)ONC ID可由NR或NC用于將信息流 與這個(gè)信息流的源頭的ONC關(guān)聯(lián)。在響應(yīng)消息中���,TAP還可以從ONC傳送 請(qǐng)求復(fù)制信息��。
權(quán)利要求
1.一種用于控制局域網(wǎng)信息流的系統(tǒng)�,所述系統(tǒng)包括信息流接入提供商�;網(wǎng)絡(luò)用戶,包括管理連接請(qǐng)求邏輯��,通過(guò)所述局域網(wǎng)發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求����,所述請(qǐng)求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范;連接建立邏輯����,響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與所述信息流接入提供商之間建立管理網(wǎng)絡(luò)連接���;以及其中所述信息流接入提供商包括信息流接收電路���,通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流�;過(guò)濾確定邏輯���,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾��;信息流修改邏輯��,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾����,則修改所述網(wǎng)絡(luò)信息流以生成修改后的網(wǎng)絡(luò)信息流���;以及信息流發(fā)送邏輯�����,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾��,則在所建立的連接上通過(guò)所述局域網(wǎng)向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流���。
2. 如權(quán)利要求1所述的系統(tǒng)其中所述請(qǐng)求還包括網(wǎng)絡(luò)信息流安全篩選的的特定等級(jí)的規(guī)范; 其中所述信息流接入提供商還包括安全篩選邏輯���,以確定所述網(wǎng)絡(luò)信息流是否滿足所述網(wǎng)絡(luò)信息流安全篩選的特定等級(jí)�;以及其中所述信息流發(fā)送邏輯包括如下邏輯只有在所述網(wǎng)絡(luò)信息流滿足所述網(wǎng)絡(luò)信息流安全篩選的特定等級(jí)時(shí),才在所建立的連接上通過(guò)局域網(wǎng)向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流�。
3. 如權(quán)利要求1所述的系統(tǒng),其中所述信息流修改邏輯包括如下邏輯 根據(jù)與所述管理網(wǎng)絡(luò)連接關(guān)聯(lián)的管理連接傳送描述符來(lái)修改所述網(wǎng)絡(luò)'信息流�����,以生成所述修改后的網(wǎng)絡(luò)信息流�����。
4. 如權(quán)利要求3所述的系統(tǒng)��,其中所述管理連接請(qǐng)求邏輯包括如下邏 輯在所述請(qǐng)求中發(fā)送所述管理連接傳送描述符���。
5. 如權(quán)利要求3所述的系統(tǒng)����,其中所述信息流接入提供商還包括如下邏輯將所述管理連接傳送描述符與所述連接關(guān)聯(lián)��。
6. 如權(quán)利要求1所述的系統(tǒng)����,其中所述管理網(wǎng)絡(luò)連接包括僅接收式連接�。
7. —種用于控制局域網(wǎng)信息流的方法����,包括如下步驟-(A) 通過(guò)所述局域網(wǎng)從網(wǎng)絡(luò)用戶接收管理網(wǎng)絡(luò)連接請(qǐng)求�����,所述請(qǐng)求包括 網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范���;(B) 響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與信息流接入提供商之間建立管理 網(wǎng)絡(luò)連接���;以及(C) 在所述網(wǎng)絡(luò)接入提供商處(1) 通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流;(2) 確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾��;和(3) 如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾�,則修改所述 網(wǎng)絡(luò)信息流以生成修改后的網(wǎng)絡(luò)信息流;以及(4) 如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾����,則在所建立 的連接上通過(guò)所述局域網(wǎng)向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流。
8. —種用于控制局域網(wǎng)信息流的系統(tǒng)�,包括 信息流接入提供商;網(wǎng)絡(luò)協(xié)調(diào)器����,包括如下邏輯通過(guò)所述局域網(wǎng)向所述信息流接入提供商 發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求���,所述請(qǐng)求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范和網(wǎng)絡(luò)用戶的 標(biāo)識(shí)符;其中所述信息流接入提供商包括連接建立邏輯��,響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與所述信息流接入提供商之間建立管理網(wǎng)絡(luò)連接�;信息流接收電路,通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流�����; 過(guò)濾確定邏輯��,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾��;信息流修改邏輯���,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò) 濾��,則修改所述網(wǎng)絡(luò)信息流以生成修改后的網(wǎng)絡(luò)信息流�����;以及信息流發(fā)送邏輯����,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò) 濾����,則在所建立的連接上通過(guò)所述局域網(wǎng)向所述網(wǎng)絡(luò)用戶發(fā)送所述修改后的網(wǎng)絡(luò)信息流。
9. 如權(quán)利要求8所述的系統(tǒng)���,其中所述信息流修改邏輯包括如下邏輯 根據(jù)與所述管理網(wǎng)絡(luò)連接關(guān)聯(lián)的管理連接傳送描述符來(lái)修改所述網(wǎng)絡(luò)信息流��,以生成所述修改后的網(wǎng)絡(luò)信息流��。
10. 如權(quán)利要求9所述的系統(tǒng)����,其中所述管理連接請(qǐng)求邏輯包括如下邏輯在所述請(qǐng)求中發(fā)送所述管理連接傳送描述符�����。
11. 如權(quán)利要求9所述的系統(tǒng)�����,其中所述信息流接入提供商還包括如下 邏輯將所述管理連接傳送描述符與所述連接關(guān)聯(lián)�����。
12. —種用于控制局域網(wǎng)信息流的系統(tǒng),包括 信息流接入提供商���;網(wǎng)絡(luò)用戶��,包括管理連接請(qǐng)求邏輯���,通過(guò)所述局域網(wǎng)發(fā)送管理網(wǎng)絡(luò)連 接請(qǐng)求,所述請(qǐng)求包括信息流篩選的規(guī)范��; 其中所述信息流接入提供商包括連接建立邏輯�,響應(yīng)于所述請(qǐng)求在所述網(wǎng)絡(luò)用戶與信息流接入提供 商之間建立僅傳送式管理網(wǎng)絡(luò)連接;通過(guò)所述管理網(wǎng)絡(luò)連接從所述網(wǎng)絡(luò)用戶接收網(wǎng)絡(luò)信息流的電路����; 信息流篩選邏輯,確定所述網(wǎng)絡(luò)信息流是否滿足所述信息流篩選的 規(guī)范�����;以及信息流發(fā)送邏輯�,如果所述網(wǎng)絡(luò)信息流滿足所述信息流篩選規(guī)范, 則向所述網(wǎng)絡(luò)發(fā)送所述網(wǎng)絡(luò)信息流��。
13. —種用于局域網(wǎng)的方法,所述局域網(wǎng)包括具有局域網(wǎng)接口的端節(jié)點(diǎn)��, 所述方法包括如下步驟(A) 通過(guò)第一信息流接入提供商將所述端節(jié)點(diǎn)登記為第一網(wǎng)絡(luò)用戶�����,包 括向所述第一 網(wǎng)絡(luò)用戶分配第一 網(wǎng)絡(luò)用戶的標(biāo)識(shí)符�;(B) 通過(guò)所述局域網(wǎng)在所述第一網(wǎng)絡(luò)用戶與所述第一信息流接入提供商 之間建立第一管理網(wǎng)絡(luò)連接����;(C) 在所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí),通過(guò)所述第一管理連接從所述第 一網(wǎng)絡(luò)用戶向所述第一信息流接入提供商發(fā)送第一管理信息流�����,其中所述第 一管理信息流包括所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符����;(D) 在所述第一信息流接入提供商處,修改所述第一管理信息流以生成第一修改后的信息流���;(E) 在所述第一信息流接入提供商處���,向所述局域網(wǎng)發(fā)送所述第一修改 后的信息流;以及(F) 在所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí),使用所述局域網(wǎng)接口從所述端節(jié) 點(diǎn)向所述局域網(wǎng)發(fā)送第一未管理信息流�����,其中所述第一未管理信息流不包括 所述第一 網(wǎng)絡(luò)用戶的標(biāo)識(shí)符��。
14. 如權(quán)利要求13所述的方法���,還包括如下步驟(G) 通過(guò)第二信息流接入提供商將所述端節(jié)點(diǎn)登記為第二網(wǎng)絡(luò)用戶�����,包 括向所述第二網(wǎng)絡(luò)用戶分配第二網(wǎng)絡(luò)用戶的標(biāo)識(shí)符���;.(H) 通過(guò)所述局域網(wǎng)在所述第二網(wǎng)絡(luò)用戶與所述第二信息流接入提供商 之間建立第二管理網(wǎng)絡(luò)連接;(I) 在所述第一管理網(wǎng)絡(luò)連接和第二管理網(wǎng)絡(luò)連接活動(dòng)時(shí)�����,通過(guò)所述第 二管理連接從所述第二網(wǎng)絡(luò)用戶向所述第二信息流接入提供商發(fā)送第二管 理信息流���,其中所述第二管理信息流包括所述第二網(wǎng)絡(luò)用戶的標(biāo)識(shí)符���。
15. —種用于局域網(wǎng)的方法���,所述局域網(wǎng)包括具有局域網(wǎng)接口的端節(jié)點(diǎn), 所述方法包括如下步驟(A) 通過(guò)第一信息流接入提供商將所述端節(jié)點(diǎn)登記為第一網(wǎng)絡(luò)用戶��,包 括向所述第一 網(wǎng)絡(luò)用戶分配第一 網(wǎng)絡(luò)用戶的標(biāo)識(shí)符�����;(B) 通過(guò)所述局域網(wǎng)在所述第一網(wǎng)絡(luò)用戶與所述第一信息流接入提供商 之間建立第一管理網(wǎng)絡(luò)連接�����;(C) 在所述第一信息流接入提供商處���,當(dāng)所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)(1) 在所述第一信息流接入提供商處通過(guò)所述局域網(wǎng)接收第一網(wǎng)絡(luò)信息流;(2) 確定所述第一網(wǎng)絡(luò)信息流是否滿足與所述第一管理網(wǎng)絡(luò)連接關(guān) 聯(lián)的第一網(wǎng)絡(luò)信息流過(guò)濾���;(3) 如果所述第一網(wǎng)絡(luò)信息流滿足所述第一網(wǎng)絡(luò)信息流過(guò)濾���,貝IJ-(a)修改所述第一管理信息流以生成包括所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符的第一修改后的信息流,和(b)在所述第一管理網(wǎng)絡(luò)連接上通過(guò)所述局域網(wǎng)向 所述端節(jié)點(diǎn)發(fā)送所述第一修改后的信息流��;以及(D) 在所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)����,使用所述局域網(wǎng)接口通過(guò)所述局域網(wǎng)向所述端節(jié)點(diǎn)發(fā)送第一未管理信息流����,其中所述第一未管理信息流不包 括所述第一網(wǎng)絡(luò)用戶的標(biāo)識(shí)符����。
16. 如權(quán)利要求15所述的方法,還包括如下步驟-(E) 通過(guò)第二信息流接入提供商將所述端節(jié)點(diǎn)登記為第二網(wǎng)絡(luò)用戶����,包 括向所述第二網(wǎng)絡(luò)用戶分配第二網(wǎng)絡(luò)用戶的標(biāo)識(shí)符;(F) 通過(guò)所述局域網(wǎng)在所述第二網(wǎng)絡(luò)用戶與所述第二信息流接入提供商 之間建立第二管理網(wǎng)絡(luò)連接�;以及(G) 在所述第二信息流接入提供商處,當(dāng)所述第一管理網(wǎng)絡(luò)連接和第二 管理網(wǎng)絡(luò)連接活動(dòng)時(shí)(1) 在所述第二信息流接入提供商處通過(guò)所述局域網(wǎng)接收第二網(wǎng)絡(luò)信息流����;(2) 確定所述第二網(wǎng)絡(luò)信息流是否滿足與所述第二管理網(wǎng)絡(luò)連接關(guān) 聯(lián)的第二網(wǎng)絡(luò)信息流過(guò)濾;(3) 如果所述第二網(wǎng)絡(luò)信息流滿足所述第二網(wǎng)絡(luò)信息流過(guò)濾����,貝廿 (a)修改所述第二管理信息流以生成包括所述第二網(wǎng)絡(luò)用戶的標(biāo)識(shí)符的第二修改后的信息流,和(b)在所述第二管理網(wǎng)絡(luò)連接上通過(guò)所述局域網(wǎng)向 所述端節(jié)點(diǎn)發(fā)送所述第二修改后的信息流���。
17. —種用于局域網(wǎng)的方法�,所述局域網(wǎng)包括具有局域網(wǎng)接口的端節(jié)點(diǎn), 所述方法包括如下步驟(A) 在網(wǎng)絡(luò)協(xié)調(diào)器處���,通過(guò)所述局域網(wǎng)向信息流接入提供商發(fā)送管理網(wǎng) 絡(luò)連接請(qǐng)求��;(B) 在所述信息流接入提供商處���,通過(guò)所述局域網(wǎng)在所述信息流接入提 供商與所述網(wǎng)絡(luò)協(xié)調(diào)器之間建立管理網(wǎng)絡(luò)連接;(C) 使用所述局域網(wǎng)接口從所述端節(jié)點(diǎn)向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送第一未管 理網(wǎng)絡(luò)信息流�����;(D) 在所述網(wǎng)絡(luò)協(xié)調(diào)器處(1) 接收所述第一未管理網(wǎng)絡(luò)信息流���;以及(2) 修改所述第一未管理信息流,以生成包括所述端節(jié)點(diǎn)的標(biāo)識(shí)符 的第一管理網(wǎng)絡(luò)信息流�;以及(3) 通過(guò)所述第一管理網(wǎng)絡(luò)連接向所述第一信息流接入提供商發(fā)送所述第一管理網(wǎng)絡(luò)信息流;(E) 在所述第一信息流接入提供商處��,修改所述第一管理信息流以生成 第一修改后的信息流�;(F) 在所述第一信息流接入提供商處,向所述局域網(wǎng)發(fā)送所述第一修改 后的信息流���;以及(G) 在所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)����,使用所述局域網(wǎng)接口從所述端節(jié) 點(diǎn)向所述局域網(wǎng)發(fā)送第二未管理信息流,其中所述第二未管理信息流不識(shí)別 所述端節(jié)點(diǎn)�����。
18. —種用于局域網(wǎng)的方法���,所述局域網(wǎng)包括具有局域網(wǎng)接口的端節(jié)點(diǎn)�, 所述方法包括如下步驟(A) 在網(wǎng)絡(luò)協(xié)調(diào)器處����,通過(guò)所述局域網(wǎng)向信息流接入提供商發(fā)送管理網(wǎng) 絡(luò)連接請(qǐng)求;(B) 在所述信息流接入提供商處����,通過(guò)所述局域網(wǎng)在所述信息流接入提 供商與所述網(wǎng)絡(luò)協(xié)調(diào)器之間建立管理網(wǎng)絡(luò)連接;(C) 在所述信息流接入提供商處(1) 通過(guò)所述局域網(wǎng)接收第一未管理網(wǎng)絡(luò)信息流���;(2) 修改所述第一未管理網(wǎng)絡(luò)信息流���,以生成包括所述端節(jié)點(diǎn)的標(biāo) 識(shí)符的第一管理網(wǎng)絡(luò)信息流;以及(3) 通過(guò)所述管理網(wǎng)絡(luò)連接向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第一管理網(wǎng) 絡(luò)信息流�;(D) 在所述網(wǎng)絡(luò)協(xié)調(diào)器處(1) 接收所述第一網(wǎng)絡(luò)信息流�;(2) 修改所述第一管理網(wǎng)絡(luò)信息流��,以生成不包括所述端節(jié)點(diǎn)的標(biāo) 識(shí)符的第二管理網(wǎng)絡(luò)信息流�����;以及(3) 通過(guò)所述局域網(wǎng)向所述端節(jié)點(diǎn)發(fā)送所述第二未管理網(wǎng)絡(luò)信息流��。
19. 一種用于控制對(duì)局域網(wǎng)的接入的系統(tǒng)�,所述系統(tǒng)包括 信息流接入提供商;網(wǎng)絡(luò)協(xié)調(diào)器��,包括登記請(qǐng)求邏輯��,通過(guò)所述局域網(wǎng)發(fā)送請(qǐng)求���,以通過(guò)所述信息流接入提供商登記網(wǎng)絡(luò)用戶�����;管理連接請(qǐng)求邏輯,通過(guò)所述局域網(wǎng)發(fā)送管理網(wǎng)絡(luò)連接請(qǐng)求��,所述請(qǐng)求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范�;網(wǎng)絡(luò)接入邏輯����,確定第一端節(jié)點(diǎn)是否被授權(quán)以接入所述局域網(wǎng)�����; 其中所述信息流接入提供商包括登記邏輯����,通過(guò)所述信息流接入提供商登記網(wǎng)絡(luò)用戶; 連接建立邏輯����,在所述網(wǎng)絡(luò)用戶與所述信息流接入提供商之間建立所述管理網(wǎng)絡(luò)連接;信息流接收電路�����,通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流�����; 過(guò)濾確定邏輯��,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流過(guò)濾;以及信息流發(fā)送邏輯�����,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò) 濾����,則通過(guò)所述管理網(wǎng)絡(luò)連接向所述網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流;以及 其中所述網(wǎng)絡(luò)協(xié)調(diào)器還包括接收信息流轉(zhuǎn)發(fā)邏輯��,如果確定所述第一端節(jié)點(diǎn)被授權(quán)以接入所述 局域網(wǎng)���,則向所述第一端節(jié)點(diǎn)轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)信息流�����。
20. 如權(quán)利要求19所述的系統(tǒng)�,其中所述網(wǎng)絡(luò)協(xié)調(diào)器還包括 發(fā)送信息流轉(zhuǎn)發(fā)邏輯�,從所述端節(jié)點(diǎn)接收網(wǎng)絡(luò)信息流,并通過(guò)所述管理網(wǎng)絡(luò)連接向所述信息流接入提供商發(fā)送所述網(wǎng)絡(luò)信息流�����。
21. 如權(quán)利要求19所述的系統(tǒng)����,其中所述登記請(qǐng)求邏輯包括如下邏輯 通過(guò)所述局域網(wǎng)發(fā)送請(qǐng)求以通過(guò)所述信息流接入提供商將所述網(wǎng)絡(luò)協(xié)調(diào)器 登記為所述網(wǎng)絡(luò)用戶。
22. 如權(quán)利要求19所述的系統(tǒng)����,其中所述登記請(qǐng)求邏輯包括如下邏輯 通過(guò)所述局域網(wǎng)發(fā)送請(qǐng)求以通過(guò)所述信息流接入提供商將第二端節(jié)點(diǎn)登記 為網(wǎng)絡(luò)寄存器。
23. —種用于監(jiān)控局域網(wǎng)中的網(wǎng)絡(luò)信息流的系統(tǒng)���,所述系統(tǒng)包括 第一信息流接入提供商�;網(wǎng)絡(luò)用戶��,包括 網(wǎng)絡(luò)監(jiān)控邏輯�;第一管理連接請(qǐng)求邏輯,通過(guò)所述局域網(wǎng)發(fā)送用于第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接的第一請(qǐng)求����,所述第一請(qǐng)求包括第一網(wǎng)絡(luò)信息流過(guò)濾的第一規(guī)范;其中所述第一信息流接入提供商包括第一連接建立邏輯���,響應(yīng)于所述第一請(qǐng)求在所述網(wǎng)絡(luò)監(jiān)控邏輯與所 述第一信息流接入提供商之間建立所述第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接�����;第一信息流接收電路����,通過(guò)所述局域網(wǎng)接收第一網(wǎng)絡(luò)信息流; 第一信息流計(jì)數(shù)發(fā)送邏輯��,通過(guò)所述第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接向 所述網(wǎng)絡(luò)監(jiān)控邏輯發(fā)送滿足第一指定網(wǎng)絡(luò)信息流過(guò)濾的第一網(wǎng)絡(luò)信息流的 第一量的第一指示�����。
24. 如權(quán)利要求23所述的系統(tǒng)�,其中所述網(wǎng)絡(luò)用戶還包括第二管理連 接請(qǐng)求邏輯,通過(guò)所述局域網(wǎng)發(fā)送用于第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接的第二請(qǐng) 求��,所述第二請(qǐng)求包括第二網(wǎng)絡(luò)信息流過(guò)濾的第二規(guī)范�����;以及其中所述系統(tǒng)還包括第二信息流接入提供商���,所述第二信息流接入提 供商包括-第二連接建立邏輯�����,響應(yīng)于所述第二請(qǐng)求以及在所述第一管理網(wǎng)絡(luò)連接活動(dòng)時(shí)�����,在所述網(wǎng)絡(luò)監(jiān)控邏輯與所述第二信息流接入提供商之間建立所述第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接�����;第二信息流接收電路��,通過(guò)所述局域網(wǎng)接收第二網(wǎng)絡(luò)信息流��; 第二信息流計(jì)數(shù)發(fā)送邏輯����,通過(guò)所述第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接向所述網(wǎng)絡(luò)監(jiān)控邏輯發(fā)送滿足所述第二指定網(wǎng)絡(luò)信息流過(guò)濾的第二網(wǎng)絡(luò)信息流的第二量的第二指示����。
25. 如權(quán)利要求23所述的系統(tǒng),還包括 計(jì)數(shù)閾值邏輯���,確定所述第一量是否超過(guò)預(yù)定閾值���;以及 連接修改裝置,如果確定已超過(guò)所述預(yù)定閾值�,則將所述第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接改變?yōu)椴东@連接。
26. —種用于在局域網(wǎng)中均衡網(wǎng)絡(luò)信息流負(fù)載的系統(tǒng)���,所述系統(tǒng)包括 第一網(wǎng)絡(luò)用戶�����;第二網(wǎng)絡(luò)用戶��;信息流接入提供商���; 網(wǎng)絡(luò)協(xié)調(diào)器�����;第一連接建立邏輯�,在所述第一網(wǎng)絡(luò)用戶與所述信息流接入提供商之間 建立第一管理網(wǎng)絡(luò)連接�����,其中所述第一管理網(wǎng)絡(luò)連接與第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)��;第二連接建立邏輯��,在所述第二網(wǎng)絡(luò)用戶與所述信息流接入提供商之間 建立第二管理網(wǎng)絡(luò)連接�,其中所述第二管理網(wǎng)絡(luò)連接與第二網(wǎng)絡(luò)信息流過(guò)濾 關(guān)聯(lián);第三連接建立邏輯���,在所述網(wǎng)絡(luò)協(xié)調(diào)器與所述信息流接入提供商之間建 立第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接����,其中所述第一僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接與所述 第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián);第四連接建立邏輯�,在所述網(wǎng)絡(luò)協(xié)調(diào)器與所述信息流接入提供商之間建 立第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接,其中所述第二僅計(jì)數(shù)式管理網(wǎng)絡(luò)連接與第二 網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)����;其中所述第一信息流接入提供商包括信息流接收電路��,通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流�; 第一過(guò)濾邏輯,確定所述網(wǎng)絡(luò)信息流是否滿足所述第一網(wǎng)絡(luò)信息流 過(guò)濾����,以及如果所述網(wǎng)絡(luò)信息流滿足所述第一網(wǎng)絡(luò)信息流過(guò)濾,貝U: 增加與所述第一網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)的第一計(jì)數(shù)����; 通過(guò)所述第一僅計(jì)數(shù)式連接向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第一 計(jì)數(shù)的指示;以及通過(guò)所述第一管理網(wǎng)絡(luò)連接向所述第一網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng) 絡(luò)信息流����;以及第二過(guò)濾邏輯���,確定所述網(wǎng)絡(luò)信息流是否滿足所述第二網(wǎng)絡(luò)信息流 過(guò)濾,以及如果所述網(wǎng)絡(luò)信息流滿足所述第二網(wǎng)絡(luò)信息流過(guò)濾�,貝寸 增加與所述第二網(wǎng)絡(luò)信息流過(guò)濾關(guān)聯(lián)的第二計(jì)數(shù); 通過(guò)所述第二僅計(jì)數(shù)式連接向所述網(wǎng)絡(luò)協(xié)調(diào)器發(fā)送所述第二 計(jì)數(shù)的指示��;以及通過(guò)所述第二管理網(wǎng)絡(luò)連接向所述第二網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流�。
27.如權(quán)利要求26所述的系統(tǒng),還包括基于所述第一計(jì)數(shù)和第二計(jì)數(shù)修改所述第一網(wǎng)絡(luò)信息流過(guò)濾和第二網(wǎng)絡(luò)信息流過(guò)濾的裝置���。
28. —種用于將無(wú)線端節(jié)點(diǎn)無(wú)線地連接至局域網(wǎng)的系統(tǒng)���,所述無(wú)線端節(jié)點(diǎn)具有第一IP地址,所述系統(tǒng)包括第一信息流接入提供商��,位于所述局域網(wǎng)的第一子網(wǎng)中��; 第二信息流接入提供商�����,位于所述局域網(wǎng)的第二子網(wǎng)中����; 移動(dòng)功能��,包括網(wǎng)絡(luò)用戶登記邏輯��,通過(guò)所述第一信息流接入提供商將所述無(wú)線端節(jié)點(diǎn)登記為網(wǎng)絡(luò)用戶����;以及第一管理連接請(qǐng)求邏輯���,通過(guò)所述局域網(wǎng)發(fā)送第一管理網(wǎng)絡(luò)連接請(qǐng) 求����,所述第一請(qǐng)求包括網(wǎng)絡(luò)信息流過(guò)濾的規(guī)范����; 其中所述第一信息流接入提供商包括-第一連接建立邏輯���,在所述第一信息流接入提供商與所述網(wǎng)絡(luò)用戶 之間建立所述第一請(qǐng)求管理網(wǎng)絡(luò)連接����;信息流接收電路�,通過(guò)所述局域網(wǎng)接收網(wǎng)絡(luò)信息流;過(guò)濾確定邏輯�����,確定所述網(wǎng)絡(luò)信息流是否滿足所指定的網(wǎng)絡(luò)信息流 過(guò)濾;以及信息流發(fā)送邏輯��,如果所述網(wǎng)絡(luò)信息流滿足所指定的網(wǎng)絡(luò)信息流過(guò) 濾�����,則在所建立的連接上向所述網(wǎng)絡(luò)用戶發(fā)送所述網(wǎng)絡(luò)信息流�; 其中所述移動(dòng)功能還包括第二管理連接請(qǐng)求邏輯,響應(yīng)于所述端節(jié)點(diǎn)的IP地址的改變��,通過(guò) 所述局域網(wǎng)向第二IP地址發(fā)送第二管理網(wǎng)絡(luò)連接請(qǐng)求���;以及 其中所述第二信息流接入提供商包括第二連接建立邏輯�,在所述第二信息流接入提供商與所述網(wǎng)絡(luò)用戶 之間建立所述第二請(qǐng)求管理網(wǎng)絡(luò)連接�。
29. 如權(quán)利要求28所述的系統(tǒng),其中所述移動(dòng)功能還包括-信息流轉(zhuǎn)發(fā)邏輯�����,通過(guò)所述第二請(qǐng)求管理網(wǎng)絡(luò)連接��,接收被定址到所述第一 IP地址的網(wǎng)絡(luò)信息流并向所述第二 IP處的端節(jié)點(diǎn)發(fā)送所接收的網(wǎng)絡(luò)信 息流。
30. 如權(quán)利要求28所述的系統(tǒng)����,其中所述移動(dòng)功能還包括 信息流轉(zhuǎn)發(fā)邏輯,接收從所述第二 IP地址處的端節(jié)點(diǎn)發(fā)送的網(wǎng)絡(luò)信息流��,將所接收的網(wǎng)絡(luò)信息流的源地址修改為所述第一IP地址�����,以及將修改后 的網(wǎng)絡(luò)信息流轉(zhuǎn)發(fā)至其指定的目的地�。
全文摘要
本發(fā)明公開(kāi)一種開(kāi)放式網(wǎng)絡(luò)連接系統(tǒng)及方法,在電子通信網(wǎng)絡(luò)中配置一個(gè)或多個(gè)邏輯網(wǎng)絡(luò)連接點(diǎn)�����。在電子通信網(wǎng)絡(luò)中����,經(jīng)由一個(gè)或多個(gè)連通性平面設(shè)備和網(wǎng)絡(luò)連接應(yīng)用����、服務(wù)、或控制平面功能之間的接口來(lái)配置邏輯網(wǎng)絡(luò)連接���。所述網(wǎng)絡(luò)連接應(yīng)用���、服務(wù)�����、或控制平面功能將其自身登記為邏輯網(wǎng)絡(luò)用戶(NR)��,其在連接平面中具有在網(wǎng)絡(luò)用戶和另一邏輯網(wǎng)絡(luò)連接點(diǎn)之間提供邏輯網(wǎng)絡(luò)連接的功能���。
文檔編號(hào)H04L12/56GK101582822SQ200910139369
公開(kāi)日2009年11月18日 申請(qǐng)日期2009年5月13日 優(yōu)先權(quán)日2008年5月14日
發(fā)明者詹姆士·S·希思科克 申請(qǐng)人:3柯姆公司