虛擬專用網絡(vpn)知曉的客戶前提設備(cpe)邊緣路由器的制作方法

專利名稱：虛擬專用網絡(vpn)知曉的客戶前提設備(cpe)邊緣路由器的制作方法
技術領域：
本發明涉及到通信網絡，特別涉及到在諸如因特網等公共通信網絡中對拒絕服務攻擊的預防。本發明具體涉及到通過將一個虛擬專用網絡(VPN)內部對站點業務的接入容量的分配和/或優先化與另一VPN或公共網絡中對站點的接入容量的分配和/或優先化分開而在具有共享的網絡基礎結構的通信網絡中預防拒絕服務攻擊的方法、系統和設備。
對于網絡服務提供者，在網絡設計和管理中考慮的關鍵是在源發自VPN客戶站點的業務和源發自VPN外部(例如是來自因特網或其它VPN)的業務之間適當地分配接入容量和網絡資源。這種考慮相對于其預訂中包括請求網絡服務提供者提供最小通信帶寬或保證特殊服務質量(Quality of Service)(Qos)的服務級別協議(Service Level Agreement)(SLA)的那些VPN客戶的業務特別重要。這種服務提供需要網絡服務提供者提供的網絡結構和協議能夠實現規定的QoS，并且確保有足夠的接入容量和網絡資源用來與其它VPN站點進行通信，這些通信與不屬于該VPN一部分的那些主機的通信分開。
在因特網協議(IP)網絡中，為獲得QoS并實現能夠與面向連接的網絡服務例如話音或異步傳輸方式(ATM)相媲美的準入控制，有一種直接方案是模仿相同的信令資源保留的逐段切換范例(hop-by-hop switching paradigm)用于要求QoS的IP分組的信息流。事實上，由因特網工程任務組(Internet Engineering TaskForce)(IETF)為綜合服務(Integrated Services)(Intserv)制訂的IP信令標準恰恰適用于這種方案。按照IETF，RFC 1633[R.Branden等人的“Integrated Servicesin the Internet Architecturean Overview(因特網體系結構中的綜合服務概述)”1994年6月]中所述，Intserv是一種按信息流的IP QoS結構，允許應用程序在傳送服務的多個控制類別當中為其數據分組進行選擇。為了支持這一能力，Intserv允許在分組信息流的發射機一端的應用程序使用IETF RFC2205[R.Branden等人的“Resource ReSerVation Protocol(RSVP)-Version 1 FunctionalSpecification”1997年9月]所規定的公知的資源保留協議(Resource ReSer VationProtocol)(RSVP)沿著到分組信息流的接收機的路徑從所有網絡元件請求按規定的容量類別提供所需的QoS級別。在從一個上游節點接收到一個請求資源保留的RSVP PATH消息和一個確認資源保留的RSVP RESV消息之后，沿著該路徑的個別網絡元件采取措施來控制提供給信息流內分組的QoS和容量。


圖1表示利用常規的Intserv方案來執行準入控制的示意圖。如圖1所示，一個示例的IP網絡10包括N個相同的節點(例如是服務提供者邊界路由器)12，各自具有L條容量為X的鏈路連接到L個不同客戶的客戶前提設備(Customer PremisesEquipment)(CPE)14。在一種按信息流的面向連接的方案中，各個節點12要確保從起源到目的地的任何一條網絡路徑的鏈路都不會過載。從接入容量來看，按信息流的方案能夠直接限制各個入口接入鏈路上的輸入信息流，使所有信息流容量的總和不會超過任一出口接入鏈路(例如是節點12a的鏈路1)的容量X。類似的方案可用于連接IP網絡10內沒有圖示出的核心路由器的鏈路。
盡管概念上非常簡單，圖1中所示的準入控制技術存在許多缺點。最主要的是采用RSVP的Intserv準入控制的可伸縮性有限，因為在服務提供者的邊界和核心路由器中需要有處理密集信令(processing-intensive signaling)RSVP。特別地，RSVP需要端對端信令來請求處在發射機和接收機之間的每個網絡元件的適當的資源分配，需要入口節點12b-12d的策略查詢以確定哪些信息流可以準入并相應地管轄有關業務，以及許多其他的信號交換消息。因此，Intserv RSVP信令所需的處理可以和電話或ATM信令的處理相比較，并且在各個邊界或核心IP路由器內部需要有高性能(也就是昂貴的)處理器部件來處理這種信令所需的大量處理工作。RSVP信令是一種軟狀態，意味著對信令處理頻繁刷新(默認為每30秒一次)，因為跨越IP網絡的正向路徑有可能改變，因而必須周期性地通知有關一個信息流所需的關于QoS和容量的信息。這種所謂的軟狀態操作模式對路由器產生的額外處理負荷甚至比ATM交換的負荷還要大。另外，如果一個邊界路由器的處理器因大量的無效RSVP請求而發生過載，處理器有可能崩潰，從而會造成處理器出故障的這一路由器所處理的所有客戶的所有信息流的服務中斷。
認識到與采用常規Intserv RSVP信令來實現準入控制有關的這些問題，IETF發布了在RFC 2475[S.Blake等人，“An Architecture for Differentiated Services”1998年12月]中定義的區別服務(Diffrentiated Services)(Diffsrv或DS)協議。Diffserv是一種通過在每個IP-層分組標題的一個DS字段(例如是IPv4服務類型(TOS)字節或IPv6業務類別字節)內傳輸一個集合業務分類來實現可伸縮性的IP QoS結構。DS字段的前六位對一個Diffserv碼點(DSCP)編碼，該Dffserv碼點在一個Diffserv域內為在每個節點的分組沿著其路徑請求一個規定類別的服務或按段行為(Per HopBehavior)(PHB)。
在一個Diffserv域內，按照服務供應政策將網絡資源分配給分組流的集合(aggregate)，服務供應政策管理在進入Diffserv域時的DSCP標記和業務調節以及Diffserv域內的業務傳送。僅僅需要在Difserv網絡邊界上采取標記(即分類)和調節操作。因此，在發射機和接收機之間并不需要用端對端信令來建立具有特定QoS的信息流，只需要對各個IP分組的標題進行檢查和/或做標記，Diffserv就能用一個入口邊界路由器為集合的信息流提供QoS。
盡管Diffserv標準能用易于由硬件執行的簡單的按分組的標記操作替代Intserv的密集處理信令，從而解決Intserv可伸縮性的限制，但Diffserv協議的實施仍存在不同類型的問題。特別是由于Diffserv允許主機對服務類別做標記，如果有許多主機用設置在高優先權的DS字段向這種鏈路傳送分組，Diffserv網絡客戶鏈接就會受到拒絕服務(DoS)攻擊。應該注意到，一組主機會通過設置DSCP直接地或通過向一個特定的DSCP提交了由某些其它路由器或設備來分類的業務而間接地超過Diffserv服務類別的預訂容量。在Diffserv中，一個IP網絡只能通過在入口路由器上采取策略來保護自身的資源，以確保各個客戶接口不會超過各個Diffserv服務類別的預訂容量。然而這樣做不能防止DoS攻擊。
圖2表示在執行常規Diffserv協議的一個例示IP網絡10′中的DOS攻擊情況。在圖2中，許多入口節點(例如是入口邊界路由器)12b′-12d′，每個節點接納(admit)以一個出口節點(例如是出口邊界路由器)12a′的單一鏈路為目標的業務。盡管各個入口節點12′管轄(police)輸入分組以確保客戶不會超過其在各個DSCP上的預訂資源，被允許的信息流的集合還是會超過節點12a′的出口鏈路1的容量X，導致由這一鏈路分發給客戶站點的服務被拒絕。
從Intserv和Diffserv標準的常規實施所附帶的限制來看，本發明認識到，提供這樣一種能夠支持一種通信協議的數據通信方法、系統和設備會是有效和理想的，與常規的Intserv方案不同，它具有高度的可伸縮性并且還能防范常規Diffserv和其它網絡易受影響的DoS攻擊。
按照本發明的網絡結構包括支持一個或多個基于網絡的虛擬專用網絡(VPN)的一個通信網絡。通信網絡包括多個邊界路由器(boundary router)，它們由接入鏈路連接到屬于一個或多個VPN的CPE邊緣路由器(edge router)。為了防止來自客戶VPN外部的業務(例如是來自其它VPN或整個因特網的業務)損害到提供給來自客戶VPN內部的業務的QoS，本發明通過接入鏈路優先化或接入鏈路容量分配在各個客戶的接入鏈路上給予VPN內業務比VPN外業務更高的優先權，使得VPN外業務不能干擾VPN內業務。按這種方式給予VPN內業務優于VPN外業務的優先權需要網絡元件和協議的專門配置，包括采用層2交換和多路復用在物理接入鏈路和接入網絡上在VPN內業務與VPN外業務之間的劃分，以及在VPN邊界路由器和CPE邊緣路由器上為實現VPN內業務與VPN外業務之間的邏輯業務隔離的路由協議的配置。按照這種方式來配置接入網絡、VPN邊界路由器和CPE邊緣路由器以及邊緣和邊界路由器的路由協議，就能實現DoS攻擊預防的高級服務。
根據以下的詳細說明就能理解本發明的其它目的、特征和優點。
在附帶的權利要求書中描述了體現本發明的獨特特征。然而，結合附圖閱讀以下對最佳實施例的詳細描述有助于深入理解本發明及其應用的最佳模式、進一步的目的和優點，在附圖中圖1表示采用RSVP執行按信息流的QoS的一種常規的綜合服務(Intserv)網絡；圖2表示一種常規的區別服務(Diffserv)網絡，利用在各個分組標題中的DSCP標記在集合的業務流上實現QoS，因而易受到拒絕服務(DoS)攻擊；圖3表示按照本發明最佳實施例的一例通信網絡，是通過參照虛擬專用網絡(VPN)中的成員資格對接入容量的分配和/或優先化進行劃分來抵抗DoS攻擊；圖4表示提供一種基于CPE的VPN方案來解決DoS攻擊問題的一例網絡結構；圖5是一種可以在圖4和7所示的網絡結構內采用的QoS-知曉(QoS-aware)的CPE邊緣路由器的細節框圖；圖6A是一種可以在圖4和7所示的網絡結構內采用的沒有VPN功能的QoS-知曉的邊界路由器的細節框圖；圖6B是一種可以在圖4所示的網絡結構內采用的具有VPN功能的QoS-知曉的邊界路由器的細節框圖；圖7表示為解決DoS攻擊問題提供了一種基于網絡的VpN解決方案的一例網絡結構；以及圖8是一種可以在圖7所示的網絡結構內采用的QoS-知曉的VPN邊界路由器的細節框圖。
仍然參照附圖，特別是圖3，圖中表示按照本發明的一例網絡結構20的高級框圖，提供一種可伸縮的方法，在為選定業務提供QoS的同時保護虛擬專用網絡(VPN)客戶的接入和中繼網絡鏈路不受DoS攻擊。與圖2中現有技術的網絡類似，圖3的網絡結構20包括具有N個服務提供者邊界路由器(BR)22的一個Diffserv網絡21，路由器各自有L個接入鏈路。網絡結構20的不同之處是Dffserv網絡21支持多個VPN范例，在圖中表示了其中兩個，表示成在各自用字母a到d表示的四個站點的每一個處連接到用于第一網絡服務客戶24的CPE邊緣路由器(ER)和用于第二網絡服務客戶25的一個ER的邊界路由器22的接入鏈路。各個CPE ER為客戶的局域網(LAN)提供網絡服務。服務提供者基于網絡的VPN能支持比圖中所示兩個多得多的客戶。
在圖3所示的一例通信方案中，連接到CPE邊緣路由器24b-24d的第一VPN客戶的LAN內部的主機、連接到CPE邊緣路由器25a-25d的第二VPN客戶的LAN內部的主機、以及連接到與邊界路由器22a-22d鏈接的其它沒有圖示的CPE邊緣路由器的站點有可能全都以連接到第一VPN客戶CPE邊緣路由器24a的LAN為目標發送分組信息流。如果采用參照圖2所述的現有技術的常規Diffserv網絡，連接到CPE邊緣路由器24a的邊界路由器22a的外來接入鏈路1就容易因這些信息流的匯聚而崩潰，導致DoS。然而，按照本發明，圖3的Dffserv網絡21通過將VPN內業務引向邊界路由器22a的物理接入鏈路1上的第一邏輯端口27，并將來自其它VPN或其它站點的業務引向邊界路由器22a的物理接入鏈路1上的第二邏輯端口28，能防止來自VPN外部的站點的DoS攻擊。
為了防止來自有關客戶團體以外的業務(例如是來自其它VPN或整個因特網的業務)損害到為來自有關客戶團體內部的業務(例如是來自同一工商企業中其它主機的業務)提供的QoS，本發明使VPN內業務有比VPN外業務更高的優先權，或是這樣來分配接入鏈路容量，使VPN外業務不能干擾VPN內業務。換句話說，如下文所述，各個邊界路由器22將在各自的客戶接入鏈路上的優先權給予源發自客戶VPN內部的業務，此處將一個VPN定義為由共享網絡基礎結構來連接的節點的一個集合，其中的網絡資源和/或通信是根據節點集合的成員資格來劃分的。按這種方式給予VPN內業務優于VPN外業務的優先權要求網絡元件和協議的專門配置，包括采用層2多路復用在VPN內業務與VPN外業務之間的物理接入的劃分和路由協議的配置以實現邏輯業務隔離。總之，如下面詳細描述的，由CPE邊緣路由器、接入網絡、基于網絡的VPN邊界路由器以及邊緣和邊界路由器中采用的路由協議的配置共同實現預防DoS攻擊的高級服務。相比之下，常規的Diffserv和CPE邊緣路由器的基于IPsec的IP VPN方案不能分隔以同一VPN內的站點為目標的業務(即VPN內業務)和從因特網的其它區域發送的業務(即VPN外業務)。
參見圖4-8，圖3中所示的總體網絡結構20可以分為至少兩類方案。特別是按照本發明的網絡可以被實現為一種基于CPE的VPN方案，如下文參照圖4-6所述，或是一種基于網絡的VPN方案，如下文參照圖7-8所述。
首先參見圖4，圖中表示的一例網絡結構30是采用基于CPE的VPN來抵御DoS攻擊。所示的網絡結構包括一個Diffserv允許的IP VPN網絡44、一個盡力工作(besteffort)IP公共網絡46、以及多個客戶局域網(LAN)32。客戶局域網LAN32各自包括一個或多個主機48，可以作為在網絡44和46之一或雙方上執行分組通信的發射機和/或接收機。按照圖4所示的實施方案是假設客戶LAN32a和32b屬于同一個有關團體(即VPN)，例如是一個工商企業。
各個客戶LAN32被各自的CPE邊緣路由器34和物理接入鏈路35連接到各個接入網絡(例如是一個L2接入網絡)38。接入網絡38a和38b各自具有對Diffserv允許的IPVPN網絡44的邊界路由器(BR)40的第一L2接入邏輯連接，和對盡力工作IP公共網絡46的邊界路由器(BR)42的第二L2接入邏輯連接。如圖4所示，用不同線型表示VPN內和VPN外業務，VPN-知曉的CPE邊緣路由器34a和34b僅僅通過Diffserv允許的IP VPN網絡44傳遞具有屬于該IP VPN的IP地址前綴的那些分組，而通過盡力工作IP公共網絡46傳遞所有其他業務。為了增強客戶LAN32的安全性，CPE邊緣路由器34a和34b通過各自的防火墻36a和36b與盡力工作IP公共網絡46往復傳送所有業務。
在圖4所示的網絡結構中，源發自IP VPN外部的DoS攻擊被邊界路由器40a-40b和42a-42b的配置阻止，以便適當地利用接入網絡38a和38b的兩個邏輯連接對VPN內業務給予優先權。例如在第一種配置中，給對Diffserv允許的IP VPN網絡44的L2接入邏輯連接分配比對盡力工作IP公共網絡46的L2接入邏輯連接更高的優先權。支持接入鏈路35的這種優先化的L2接入網絡包括Ethernet(例如是采用Ethernet優先權)、ATM(例如是采用ATM服務類別)和各種幀中繼(FR)網絡方案。這些方案都是現有技術中公知的技術。按照這種配置，Diffserv允許的IP VPN網絡44的各個邊界路由器40將分組對其與接入網絡38的邏輯連接的傳輸速率修整(shape)到低于該接入鏈路傳輸速率的一個值，以防止對盡力工作IP公共網絡46的L2接入邏輯連接的資源缺乏。或者，按照第二種配置，可以單獨配置邊界路由器40a-40b和42a-42b，將以各個L2接入網絡邏輯連接為目標的業務修整到規定的速率，使這些速率的總和小于或等于鏈接CPE邊緣路由器34和接入網絡38的物理接入媒介的傳輸容量。無論是以上哪一種配置，邊界路由器40和42都根據分組的DSCP標記來執行調度和優先化，并且修整到分配給該IP VPN業務的接入網絡連接的容量。
正如本領域的技術人員所知，選擇哪一種配置來實施是設計選擇中考慮的問題，因為每個配置都各有優、缺點。例如，按照第一種配置，網絡44和46之間在接入網絡配置上的配合比較容易。然而，如果接入網絡38僅僅實施嚴格的優先權，則來自Diffserv允許的IP VPN網絡44的IP VPN業務就會造成在IP公共網絡46上通信的盡力工作業務資源缺乏。第二種配置是通過為每種類型的網絡接入(即VPN內和VPN外)分配一部分接入鏈路容量來解決這一問題。然而，如果邊界路由器40和42按照第二種配置來修整業務，網絡44和46之一中的未用的接入容量就不能供另一個網絡用來接入。也就是說，由于修整是在邊界路由器40和42上單獨進行的，只可能進行非任務守恒(non-work-conserving)的調度。
參見圖5，圖中表示了可在圖4中所示的網絡結構內使用的一種QoS-知曉的CPE邊緣路由器34的細節框圖。如圖所示，CPE邊緣路由器34包括許多LAN端口60，為相應的許多客戶LAN32提供連接。例如在圖5中，LAN端口60a被連接到一個客戶LAN32，客戶LAN32包括各自被分配有32-位IP地址“a.b.c.d.，”、“a.b.c.e.，”和“a.b.c.f.”的許多主機48。
每個LAN端口還被耦合到一種轉送功能62，該功能在LAN端口60與駐留在一或多個廣域網(WAN)物理端口64(圖中僅表示了一個)上的一個或多個邏輯端口(LP)66之間轉送分組。各自包括一個層-2子接口的LP 66例如可以被實現為一個以太網虛擬LAN(VLAN)、FR數據鏈路連接標識器(DLCI)、ATM虛擬信道連接(VCC)或運行在一種時分多路復用(TDM)信道上的點對點協議(PPP)/高級數據鏈路控制(HDLC)。WAN物理端口64采用一個調度器68將來自邏輯端口64的分組多路復用到接入網絡38的傳輸介質上，并利用轉送功能70將從接入網絡38接收到的分組轉送到各個邏輯端口。
若是CPE邊緣路由器34的一個LAN端口60從一個客戶LAN32接收分組，該分組首先要通過一個分類器80，它參照分類表82確定CPE邊緣路由器34應該如何處理各個分組。如圖5所示，分類表82可以有許多索引，包括源地址(SA)和目的地址(DA)、源端口(SP)和目的端口(DP)、協議類型(PT)、DSCP、或是來自分組鏈路、網絡或轉送層標題的其他字段。根據一個分組對這些索引中一個或多個的值，分類表72獲得用來處理該分組的那一CPE邊緣路由器34內部的管轄器(policer)(P)、標記器(M)、目的地LP和目的地LP隊列(Q)等值。按照本發明的替換實施例，可以用轉送功能62代替分類器80執行對目的地-LP和目的地LP隊列入口的查找。
如圖所示，可以利用一個前綴或范圍或是空值(用“-”表示)完全規定或是部分規定分類表82內的表入口值。例如，利用32-位IP地址完全規定LAN32的主機48的SA，利用識別特定IP網絡的24-位IP地址前綴規定若干個目的地主機的DA，而許多索引值和一個管轄值是空值。總之，可以對不同分類的分組信息流規定相同的管轄器、標記器和/或修整值，對于Intserv信息流的這些值是從RSVP RESV消息中提取的。例如，分類表82規定了管轄器P1和標記器M1要處理來自任何標記有DSCP“101”的SA的分組和具有標記有DSCP“010”的一個SA“a.b.c.e”的分組。然而，分類表82是通過為VPN內具有DA的業務(即VPN內業務)和地址為因特網內別處的主機的業務(即VPN外業務)規定不同的目的地LP值來區分具有不同分類的信息流。因此，由于IP地址前綴“r.s.t，”“w.x.y，”和“l.m.n”全都與網絡32屬于同一VPN，與這些DA相匹配的業務通過LP-166a被傳送到Diffserv允許的IPVPN網絡44上的同一VPN內的其他站點，而所有其他業務通過LP-2 66b被傳送到盡力工作IP公共網絡46。
可以通過靜態配置或通過路由協議動態地確定分組所要轉送到的邏輯端口66和LP隊列。無論哪種情況，如果一個CPE路由器34為同一目的地IP地址安裝有兩種路由，則VPN路由都應該比因特網路由優先。可以以多種途徑獲得這種優先權，包括(1)使用內部網關協議(IGP)(即OSPF和IS-IS)來安裝VPN路由，并使用EBGP或靜態路由來安裝因特網路由，或是(2)使用EBGP來安裝VPN路由和因特網路由，對VPN路由給予較高的本地優先權。
在分類之后，按照分類表82所示用管轄器P0、P1和標記器M0、M1、M2對分組執行適當的管轄和標記，然后按照查詢表的規定由轉送功能62交換到各自的邏輯端口66a或66b。在規定的邏輯端口66內，將分組引向由分類表82規定的LP隊列Q0-Q02。LP隊列Q0-Q2根據有效緩沖容量或門限執行準入控制，例如隨機早期檢測(RED)。調度器90然后按照選定的調度算法服務于LP隊列Q0-Q2，例如先進先出(FIFO)、優先權、加權循環法(WRR)、加權公平排隊(WFQ)或按類別排隊(CBQ)。例如，在圖示的實施例中，LP-2 66a的調度器90根據與各個LP隊列i有關的加權wi和邏輯端口2的總體WFQ調度器速率r2實施WFQ，從而將業務調整到速率r2。最后，如上所述，用物理WAN端口64的調度器68服務于各種邏輯端口66，用以控制對接入網絡38的傳輸速率。
CPE邊緣路由器34在WAN物理端口64上從接入網絡38接收分組，然后按照在將其映射到邏輯端口時接入網絡38的配置所示利用轉送功能70將分組轉送到合適的邏輯端口66a或66b。在各個邏輯端口66上，分組通過一個分類器100，它通常會采用上面討論的同一個索引集合內的一個或多個索引來訪問分類表102。在一個典型的實施方案中，分類器100的查找結果比分類器80的結果要簡單，因為不需要頻繁地管轄和做標記。因此，在本實施例中，分組被轉送功能62從邏輯端口66的分類器100直接轉送到根據分組的DSCP查找的表中指定的LAN端口60a的特定隊列Q0-Q2。如上所述，LAN端口60a的隊列Q0-Q2是由實施WFQ并且將分組發送到客戶LAN32的調度器102服務的。
參見圖6A，圖中表示例如可以用在圖4的網絡結構中作為邊界路由器42的沒有VPN功能的一種QoS-知曉的邊界路由器的細節框圖。如圖所示，圖6A的邊界路由器42包括多個物理端口116、利用用于輸入分組的轉送功能112和用于輸出分組的調度器114耦合到接入網絡38的多個邏輯端口110、以及在邏輯端口110和物理端口116之間轉送分組的轉送功能118。多個物理端口116的實施方案允許對網絡核心路由器的容錯連接，而連接到接入網絡38的多個邏輯端口的實施方案允許用一個邏輯端口(即LP-1 110a)作為Diffserv-允許的邏輯端口和用一個第二邏輯端口(即LP-2 110b)作為盡力工作邏輯端口的配置。
這樣，對于從接入網絡38通過邊界路由器42的LP-2 110b到網絡核心的業務通信，LP-2 110b的分類器124按照分類表126將所有分組引向標記器MO。標記器MO用DSCP000對在LP-2 110b接收的所有分組重新做標記，從而識別出作為盡力工作業務的分組。反之，LP-1 110a的分類器120利用分類表122將已經在一個可信CPE(例如是由服務提供者管理的CPE邊緣路由器34)上接收到DSCP標記的那些輸入分組映射到PHY-1 116a上的隊列Q0-Q2，這些隊列各自關聯到不同的QoS級別。由于分組已經由可信CPE進行了多字段分類、標記和修整，邊界路由器42不需要對分組重新做標記。然而，如果發送CPE邊緣路由器不是一個可信CPE，邊界路由器42就仍然需要重新標記和管轄LP-1 110a上接收的分組。
在分類(以及在LP-2 110b接收業務的情況下的標記)之后，轉送功能118將業務轉送到合適的物理端口116或邏輯端口110。與圖5中利用分類器執行全部轉送查找的邊緣路由器34不同，邊界路由器42采用另一種設計方案，其中，由轉送功能118按分組的DA訪問一個轉送表128，從而確定輸出端口，在本例中也就是LP-1110a、LP-2 110b或PHY-1 116a。對于非VPN路由器的情況，由通用IP路由協議(例如是邊界網關協議(BGP))或靜態配置(例如是24位IP地址前綴“d.e.f.”與LP-2110b的關系)填寫轉送表128。另一種實施方案是可以在轉送功能62中集中設置IP查找轉送功能。圖6所示的實施例中假設邊界路由器42為網絡核心傳送的所有業務范圍僅僅是針對連接到核心路由器的一個物理端口116。在其他實施例中當然有可能在各個物理端口116上平衡業務負荷。另外，所述設計方案也可以直接擴展到省略核心路由器或是對一個或多個核心路由器采用一個或多個邏輯端口的方案。
對于通過邊界路由器42發送到接入網絡38的業務，分類器132利用分組的DSCP訪問分類表134，以便按照分組的DSCP所指示的QoS將各個分組引向隊列Q0-Q-2中一個合適的隊列。對于購買了Diffserv允許的邏輯端口110的客戶，能夠獲得理想的QoS，因為源CPE已經用適當的DSCP值管轄和標記了信息流。盡管盡力工作客戶能夠接收更高質量業務，預防這種單向區別服務需要明顯增加分類器的復雜性，并且包括通過路由協議向一個服務提供者網絡中的每個邊緣路由器分配QoS信息。
參見圖6B，圖中表示一種QoS-知曉的VPN邊界路由器40的細節框圖，可供在圖4所示的網絡結構中提供Diffserv-允許和DoS-保護的VPN服務。如圖所示，邊界路由器40包括用來連接到Diffserv-允許的IP VPN網絡44的核心路由器的多個物理端口226、由用于輸入分組的轉送功能220和用于輸出分組的調度器222連接到一個接入網絡38的多個Diffserv-允許的邏輯端口224、以及用來在邏輯端口224和物理端口226之間轉送分組的一個轉送功能228。
邊界路由器40上的各個Diffserv-允許的邏輯端口224各自被用作多個VPN中的一個。例如，Diffserv-允許的邏輯端口LP-A 224a被用作屬于VPN A的一個客戶站點，它包括具有24位IP地址前綴“a.b.c.”和“a.b.d.”的客戶站點。同樣，Diffserv-允許的邏輯端口LP-B 224b被用作屬于VPN B的一個客戶站點，它包括具有24位IP地址前綴“b.c.d”和“b.c.e”的兩個客戶站點。Diffserv-允許的邏輯端口224不能作為屬于盡力工作IP公共網絡46的站點，因為這種業務是經由邊界路由器42的，如圖4所示。
在圖6B中還可以看出，邊界路由器40中各個面向核心的物理端口226被邏輯劃分成實現為邏輯隧道(tunnel)240的多個子接口。正如本領域的技術人員所知，可以利用各種各樣的技術來實現隧道，包括IP-over-IP隧道、通用路由包裝(Generic Routing Encapsulation)(GRE)隧道、按隧道模式工作的IPsec、一組堆棧的多協議標簽交換(MPLS)標簽、層2隧道協議(L2TP)或空值隧道。這種隧道與邏輯端口的區別在于多個VPN的路由信息可以按嵌套方式與一個隧道相關聯。例如，在IETF RFC 2547[E.Rosen等人的“BGP/MPLS VPNs”1999年3月]中所述的邊界網關協議(BGP)/MPLS VPNs中，由最高級MPLS標簽確定目的地邊界路由器，而最低級標簽確定目的地VPN。
在操作中，各個Diffserv-允許的邏輯端口224上的分類器230參照各自的分類表232按照分組的DSCP值對從接入網絡38通過邊界路由器40流向Diffserv允許的IP VPN網絡44的網絡核心的分組進行分類。如圖所示，利用DSCP作為索引來訪問分類表232a和232b，為各個分組確定在物理端口PHY-1 226a上的隊列Q0-Q2中的一個適當的隊列。同樣參照分類表254由分類器250對物理端口226所接收的分組進行分類，為一個邏輯端口224上的各個分組確定隊列Q0-Q2中的一個適當的隊列。在分類(并按照LP-B224b所示做可選的(重新)標記)之后，轉送功能228參照各自與一個相應的VPN相聯系的VPN轉送表234a-234n在邏輯端口224和物理端口226之間交換分組。這樣，例如，VPN轉送表234a為VPN A提供轉送路由，而VPN轉送表234b為VPN B提供轉送路由。
利用源端口和DA作為索引來訪問VPN轉送表234。例如在轉送表234a所表示的一例網絡配置中，用具有24位IP地址前綴“a.b.d.”的DA尋址的VPN A內的業務途經TNL-1 240a，并且在TNL-1 240b接收的業務被引向LP-A 224a。在VPN路由表234b中，可以看到在TNL-2 240b和LP-B 224b之間具有相同的路由。如上所述，可以用靜態配置或是利用路由協議動態地填寫VPN轉送表234。
在轉送功能178的處理之后，各個分組按照其DSCP值被指向輸出端口隊列。例如，標記有與DSCP101有關的QoS類別的分組被安置在Q2，標有與DSCP 010有關的QoS類別的分組被安置在Q1，而標有DSCP 000的業務被安置在Q0。然后由調度器236和252調度從隊列Q0-Q2的分組的輸出而實現要求的QoS。
參見圖7，圖中所示的一例網絡結構150所提供的基于網絡的VPN能夠解決DoS攻擊問題。在圖7中采用相同的標號和業務符號來識別與圖4中所示網絡結構30的特征相對應的特征。
圖7所示的網絡結構150和圖4的網絡結構30一樣包括一個Diffserv-允許的IPVPN網絡44、一個盡力工作IP公共網絡46以及多個客戶局域網(LAN)32。如上所述，客戶LAN 32a和32b屬于同一VPN，且各自包括一個或多個可以作為分組的發射機和/或接收機的主機48。各個客戶LAN32由一個CPE邊緣路由器34和一個物理接入鏈路153連接到各自的接入網絡(例如是L2或L3接入網絡)154。與圖4中對QoS和盡力工作業務具有單獨的邏輯連接的接入網絡38不同，接入網絡154僅僅連接到Diffserv-允許的IP VPN網絡44的邊界路由器156，這種網絡對盡力工作IP公共網絡46的邊界路由器42具有單獨的邏輯連接。因此，面向網絡44的VPN內業務和面向網絡46的VPN外業務都會通過邊界路由器156進行路由選擇，這樣就能有利于在兩類業務之間保證任務守恒的調度。然而，其結果是，邊界路由器156的復雜性會增大，因為各個邊界路由器156必須為各個連接的客戶提供單獨的轉送表以及客戶之間可以共享的一個全面的因特網轉送表。
參見圖8，圖中表示一個QoS-知曉的VPN邊界路由器的細節框圖，其中管轄器、修整器、調度器、邏輯端口接入網絡連接以及轉送表被配置為在圖7所示的網絡結構內提供Diffserv-允許的和DoS-保護的VPN服務。如圖所示，邊界路由器156包括連接到網絡核心路由器的多個物理端口176、由用于輸入分組的轉送功能170和用于輸出分組的調度器172連接到接入網絡154的多個Diffserv-允許的邏輯端口174以及在邏輯端口174和物理端口176之間轉送分組的轉送功能178。
由于各個CPE邊緣路由器34僅僅經由一單個接入鏈路通過接入網絡154連接到一個邊界路由器156，所以各個網絡客戶站點在邊界路由器156上接受一對Diffserv-允許的邏輯端口174的服務，一個用于VPN內業務，一個用于VPN外業務。例如，Diffserv-允許的邏輯端口LP-A1 174a和LP-A2 174服務于屬于VPN A的單個客戶站點，VPN A包括具有24-位IP地址前綴“a.b.c”和“a.b.d”的至少兩個客戶站點。在圖示的實施例中，LP-A1 174a為跨越Diffserv-允許的IP VPN網絡44與屬于VPN A的站點相互通信的QoS業務提供接入，而LP-A2 174b為與盡力工作IP公共網絡46來往的盡力工作業務提供接入。
如圖8進一步所示，邊界路由器156中各個面向核心的物理端口176被邏輯劃分成實現為邏輯隧道180的多個子接口。正如本領域的技術人員所知，可以采用各種各樣的技術來實現隧道，包括IP-over-IP隧道，通用路由包裝(GRE)隧道、按隧道模式工作的IPsec、一組堆棧的多協議標簽交換(MPLS)標簽或空值隧道。這種隧道與邏輯端口的區別在于多個VPN的路由信息可以按嵌套方式與一個隧道相關聯。例如，在IETF RFC 2547中所述的邊界網關協議(BGP)/MPLS VPNs中，由最高級MPLS標簽確定目的地邊界路由器，而最低級標簽確定目的地VPN。
在操作中，各個Diffserv-允許的邏輯端口174上的分類器182參照各自的分類表190按照分組的DSCP值對從接入網絡154通過邊界路由器156流向網絡核心的分組進行分類。如圖所示，利用DSCP作為索引來訪問分類表190a和190b，為各個分組確定在物理端口PHY-1 176a上的隊列Q0-Q2中的一個適當的隊列。同樣參照分類表192由分類器198對物理端口176所接收的分組進行分類，為一個邏輯端口174上的各個分組確定隊列Q0-Q2中的一個適當的隊列。在分類(并如在LP-A2 174b所示進行了可選的(重新)標記)之后，轉送功能178參照各自與一個相應的VPN和共享的因特網轉送表195相聯系的VPN轉送表194a-194n在邏輯端口174和物理端口176之間交換分組。例如，轉送表194a包含為VPN A提供轉送路由的入口，而因特網轉送表195包含為規定以LP-A2或INL-2(即，為因特網接入配置的邏輯接口)作為來源的分組提供轉送路由的入口。
利用源端口和DA作為索引訪問轉送表194。例如，在用轉送表194a代表的例示網絡配置中，以具有24位IP地址前綴“a.b.d”的DA尋址的VPN內業務途經TNL-1180a，而VPN外(即因特網)業務途經TNL-2 180b(它可以是空值隧道)。轉送表194a進一步指示將通過TNL-1 180a接收的VPN內業務引向LP-A1 174a，而通過隧道TNL-2 180b從因特網到達的以具有24位IP地址前綴“a.b.c”的DA尋址的所有其它業務被傳送至LP-A2 174b。以邊界路由器156上的其它端口為目的地的業務(即具有本地DA的業務)被傳送到邊界路由器156的其它端口(如LP-x所示)。換句話說，轉送表194a中標記有“本地”的入口規定了不同于分配給被分配給邊界路由器156上的接口的VPN的那些地址前綴(例如a.b.c/24)。
在轉送功能178的處理之后，分組被各自引向對應其DSCP值的輸出端口隊列。例如，標記有與DSCP 101有關的QoS類別的分組被安置在Q2，標記有與DSCP010有關的QoS類別的分組被安置在Q1，而標記有DSCP 000的盡力工作業務被安置在Q0。然后由調度器196從隊列Q0-Q2中調度輸出的分組，以實現要求的QoS。
如上所述，本發明提供了一種改進的網絡結構，用于為VPN內業務提供QoS，并保護這種信息流不受源發自VPN外部的DoS攻擊。本發明采用基于網絡的VPN服務和一種盡力工作因特網服務為選定的信息流提供DoS保護的QoS，用具有適當配置的路由協議的L2接入網絡將盡力工作因特網服務連接到一個CPE邊緣路由器。處在邊緣并且由基于網絡的VPN核心來處理的Diffserv標記為選定的信息流提供QoS，同時在邏輯上劃分VPN內業務和VPN外業務，以防因源發自客戶的VPN外部的業務超過了站點的接入容量對一個VPN網絡客戶站點形成DoS。若是按照IETF RFC 2998[Y.Bemet等人的“A Framework for Integrated Services Operationover Diffserv Networks”2000年11月]所述采用在CPE邊緣路由器和/或QoS-知曉的邊界路由器上實施的Intserv管轄控制，還能進一步保護源發自客戶的VPN內部的業務。
在基于CPE和基于網絡的實施方案中可以實現本發明的網絡結構。基于CPE的方案便于配置成鏈接CPE邊緣路由器和服務提供者邊界路由器的接入網絡，并且便于實現提供給VPN站點的QoS，而無需在整個服務提供者網絡中實施Diffserv。基于網絡的結構能有效地提供允許VPN外業務利用分配給VPN內業務的額外的接入容量的任務守恒的調度。
盡管以上討論了本發明的各種實施例，應該能夠理解它們僅僅是用來舉例而并非限制。因此，本發明的范圍應該不僅限于上述的實施例，而是應該僅僅受下面的權利要求書及其等效物的限制。例如，盡管本發明是參照其最佳實施例來描述的，在其中是在一個Diffserv網絡內部實施基于網絡的VPN，還應該能夠理解，本發明不僅限于采用Diffaerv網絡，還可以換成其他基于網絡的VPN，按照RFC2547中的指導，它可以利用BGP/MPLS來實施，或是按照RFC2917[K.Muthukrishnan等人的“A Core MPLS IP VPN Architecture”2000年9月]中的指導，利用虛擬路由器來實施。另外，盡管在圖3、4和7中表示了從各個CPE邊緣路由器利用一個接入鏈路到一個VPN網絡和一個盡力工作網絡的連接，應該容易理解，為了冗余，可以用多個接入鏈路將CPE邊緣路由器連接到一個或多個接入網絡，為各個VPN的一個或多個邊界路由器和盡力工作網絡提供邏輯連接。在這種“雙重引導”方案中，通過在服務提供者邊界路由器中安裝靜態路由，或是利用路由協議(例如是EBGP)來動態配置服務提供者邊界路由器，無論是在主要/備用還是負荷均分結構中都能實現多接入鏈路。這樣做要求CPE邊緣路由器實現對VPN和因特網接入地址空間的多個轉送表和路由協議的單獨的范例。這種CPE邊緣路由器的實施類似于圖8和有關的章節中所述的方案，對因特網路由僅采用一單個VPN表和一單個表。
權利要求
1.一種虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，包括至少一個客戶網絡端口，具有用于屬于一個VPN的客戶網絡的連接；至少一個物理端口，在所述物理端口上駐留了至少第一和第二邏輯端口，所述物理端口具有一個物理端口調度器，所述物理端口調度器調度分組從所述第一和第二邏輯端口到一個物理接入鏈路上的傳輸，其中，所述物理端口調度器通過以下的(1)與(2)之一來確保來自所述第一邏輯端口的輸出業務對所述物理接入鏈路的接入(1)來自所述第一和第二邏輯端口的輸出業務之間的接入鏈路容量分配；和(2)使來自所述第一邏輯端口的輸出業務相對來自所述第二邏輯端口的輸出業務的接入鏈路優先化；以及一個轉送功能，僅僅將被識別為要傳送到屬于VPN的目的地主機的VPN內業務的分組轉送到所述第一邏輯端口，并將其他分組轉送到所述第二邏輯端口。
2.按照權利要求1的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中所述客戶網絡端口進一步包括多個標記器，每個標記器用多個服務標記中的對應一個服務標記對分組進行標記，每個服務標記指定多個服務質量中的一個不同的服務質量；至少所述第一邏輯端口包括多個隊列和一個邏輯端口調度器，每個隊列與所述多個服務質量中的對應一個服務質量相聯系，所述邏輯端口調度器調度來自所述多個隊列的分組的傳輸；以及所述轉送功能根據由所述多個標記器對所述分組進行的標記將分組放置在所述多個隊列中的特定隊列中。
3.按照權利要求2的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中，所述多個標記器中的每一個標記器通過在每個被標記的分組的因特網協議標題中設置一個區別服務碼點(DSCP)來標記分組。
4.按照權利要求1的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中所述客戶網絡端口包括多個隊列和一個客戶網絡端口調度器，每個隊列與用于去往所述客戶網絡的輸出分組的所述多個服務質量中的對應一個服務質量相聯系，所述客戶網絡端口調度器調度來自所述多個隊列的分組的傳輸；以及所述轉送功能根據所述分組的標記將在所述多個邏輯端口上接收的分組放置在所述多個隊列中的特定隊列中。
5.按照權利要求1的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中，所述客戶網絡端口包括一個分類器，所述分類器至少部分地根據一個源地址和一個部分目的地地址將至少一些分組分類為VPN內業務。
6.按照權利要求5的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中，所述分類器至少部分地根據一個發射機主機的標記對至少一些分組分類。
7.按照權利要求5的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，所述至少一個客戶網絡端口進一步包括至少一個管轄器，其中，所述分類器向所述至少一個管轄器發送分組，以便根據所述分組的分類進行管轄。
8.按照權利要求5的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，所述分類器具有一個相關分類表，所述相關分類表將分組標題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯系。
9.按照權利要求1的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中，所述物理端口調度器將接入鏈路容量的第一部分分配給來自所述第一邏輯端口的輸出業務，并將接入鏈路容量的第二部分分配給來自所述第二邏輯端口的輸出業務。
10.按照權利要求1的虛擬專用網絡(VPN)-知曉的CPE邊緣路由器，其中，所述物理端口調度器將比來自所述第二邏輯端口的輸出業務更高的接入鏈路優先權給予來自所述第一邏輯端口的輸出業務。
11.一種網絡接入系統，用于與實現基于網絡的虛擬專用網絡(VPN)和盡力工作網絡的因特網協議(IP)網絡基礎結構一起使用，所述網絡接入系統包括一個VPN-知曉的客戶前提設備(CPE)邊緣路由器，一個接入網絡，至少支持CPE邊緣路由器和基于網絡的VPN之間的第一邏輯連接和CPE邊緣路由器和盡力工作網絡之間的第二邏輯連接；其中，所述VPN-知曉的CPE邊緣路由器包括具有用于屬于VPN的客戶網絡的連接的至少一個客戶網絡端口；至少一個物理端口，在所述物理端口上駐留了至少第一和第二邏輯端口，所述物理端口具有一個物理端口調度器，所述物理端口調度器通過所述第一邏輯連接從所述第一邏輯端口發送輸出分組以及通過所述第二邏輯連接從所述第二邏輯端口發送輸出分組，其中，所述物理端口調度器通過以下的(1)與(2)之一來確保來自所述第一邏輯端口的輸出業務對所述物理接入鏈路的接入(1)來自所述第一和第二邏輯端口的輸出業務之間的接入鏈路容量分配；和(2)使來自所述第一邏輯端口的輸出業務相對來自所述第二邏輯端口的輸出業務的接入鏈路優先化；以及一個轉送功能，被配置為僅僅將被識別為要傳送到一個屬于VPN的目的地主機的VPN內業務的分組轉送到所述第一邏輯端口，并將其他分組轉送到所述第二邏輯端口。
12.按照權利要求11的網絡接入系統，其中所述客戶網絡端口進一步包括多個標記器，每個標記器用多個服務標記中的對應一個服務標記對分組進行標記，每個服務標記指定多個服務質量中的一個不同的服務質量；至少所述第一邏輯端口包括多個隊列和一個邏輯端口調度器，每個所述隊列與所述多個服務質量中的對應一個服務質量相聯系，所述邏輯端口調度器調度來自所述多個隊列的分組的傳輸；以及所述轉送功能根據由所述多個標記器對所述分組的標記將分組放置在所述多個隊列中的特定隊列中。
13.按照權利要求12的網絡接入系統，其中，所述多個標記器中的每一個標記器通過在每個被標記的分組的因特網協議標題中設置一個區別服務碼點(DSCP)來標記分組。
14.按照權利要求11的網絡接入系統，其中所述客戶網絡端口包括多個隊列和一個客戶網絡端口調度器，每個所述隊列與用于去往所述客戶網絡的輸出分組的所述多個服務質量中的對應一個服務質量相聯系，所述客戶網絡端口調度器調度來自所述多個隊列的分組的傳輸；以及所述轉送功能根據所述分組的標記將在所述多個邏輯端口上接收的分組放置在所述多個隊列中的特定隊列中。
15.按照權利要求11的網絡接入系統，其中，所述客戶網絡端口包括一個分類器，所述分類器至少部分地根據一個源地址和一個部分目的地地址將至少一些分組分類為VPN內業務。
16.按照權利要求15的網絡接入系統，其中，所述分類器至少部分地根據一個發射機主機的標記對至少一些分組分類。
17.按照權利要求15的網絡接入系統，所述至少一個客戶網絡端口進一步包括至少一個管轄器，其中，所述分類器向所述至少一個管轄器發送分組，以便根據所述分組的分類進行管轄。
18.按照權利要求15的網絡接入系統，所述分類器具有一個將分組標題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯系的相關分類表。
19.按照權利要求11的網絡接入系統，其中，所述物理端口調度器將接入鏈路容量的第一部分分配給來自所述第一邏輯端口的輸出業務，并將接入鏈路容量的第二部分分配給來自所述第二邏輯端口的輸出業務。
20.按照權利要求11的網絡接入系統，其中，所述物理端口調度器將比來自所述第二邏輯端口的輸出業務更高的接入鏈路優先權給予來自所述第一邏輯端口的輸出業務。
21.按照權利要求11的網絡接入系統，其中，所述接入網絡包括利用異步傳送模式、以太網和幀中繼之一實現的一個L2接入網絡。
22.按照權利要求11的網絡接入系統，進一步包括實現一個基于網絡的虛擬專用網絡(VPN)和一個盡力工作網絡的因特網協議(IP)網絡基礎結構。
23.按照權利要求22的網絡接入系統，其中，所述基于網絡的VPN是在一個區別服務域中實現的。
24.一種從一個發射機主機向一個接收機主機傳送數據分組的方法，所述方法包括在連接到一個接入網絡的接入鏈路的物理端口上提供至少第一和第二邏輯端口；在具有用于屬于一個VPN的客戶網絡的連接的客戶網絡端口上，接收一個或多個分組信息流；將所述一個或多個分組信息流中的分組識別為要被傳送到一個屬于VPN的目的地主機的VPN內業務或識別為VPN外業務；僅僅將被識別為VPN內業務的分組轉送到物理端口上的第一邏輯端口，并將被識別為VPN外業務的分組轉送到所述第二邏輯端口；以及通過以下的(1)與(2)之一來保護來自所述第一邏輯端口的輸出業務對接入鏈路的接入(1)來自所述第一和第二邏輯端口的輸出業務之間的接入鏈路容量分配；和(2)使來自所述第一邏輯端口的輸出業務相對來自所述第二邏輯端口的輸出業務的接入鏈路優先化。
25.按照權利要求24的方法，其中所述方法進一步包括在所述客戶網絡端口上用多個服務標記中的對應一個服務標記對分組進行標記，每個服務標記指定多個服務質量中的一個不同的服務質量；所述轉送步驟包括根據所述分組的標記將分組放置在所述第一邏輯端口上的多個隊列中的特定隊列中；以及，所述方法進一步包括調度分組從所述多個隊列的傳輸，以實現所述多個服務質量。
26.按照權利要求25的方法，其中，所述標記包括在每個被標記的分組的因特網協議標題中設置一個區別服務碼點(DSCP)。
27.按照權利要求24的方法，其中所述轉送步驟包括將在所述多個邏輯端口上接收的分組放置在所述客戶網絡端口上的多個隊列中的特定隊列中，每個所述隊列與用于去往所述客戶網絡的輸出分組的所述多個服務質量中的對應一個服務質量相聯系，所述放置是根據所述分組的標記執行的；以及所述方法進一步包括調度分組從所述多個隊列的傳輸，以實現所述多個服務質量。
28.按照權利要求24的方法，進一步包括在所述客戶網絡端口上至少部分地根據一個源地址和一個部分目的地地址將至少一些分組分類為VPN內業務。
29.按照權利要求28的方法，進一步包括至少部分地根據一個發射機主機的標記對至少一些分組分類。
30.按照權利要求28的方法，在所述客戶網絡端口上根據所述分組的分類來管轄分組。
31.按照權利要求28的方法，其中，所述分類包括通過參考一個將分組標題字段的特定值與所述第一和第二邏輯端口中的特定端口相聯系的分類表選擇所述第一和第二邏輯端口之一作為一個分組的輸出端口。
32.按照權利要求24的方法，其中，保護來自所述第一邏輯端口的輸出業務對接入鏈路的接入包括將接入鏈路容量的第一部分分配給來自所述第一邏輯端口的輸出業務，并將接入鏈路容量的第二部分分配給來自所述第二邏輯端口的輸出業務。
33.按照權利要求24的方法，其中，保護來自所述第一邏輯端口的輸出業務對接入鏈路的接入包括將比來自所述第二邏輯端口的輸出業務更高的接入鏈路優先權給予來自所述第一邏輯端口的輸出業務。
全文摘要
一種網絡結構包括支持一個或多個基于網絡的虛擬專用網絡(VPN)(32a，32b)的通信網絡。通信網絡包括利用接入鏈路(35a，35b)連接到屬于一個或多個VPN(32a，32b)的CPE邊緣路由器(34a，34b)的多個邊界路由器(40a，40b，42a，42b)。為了防止來自客戶的VPN以外的業務(例如，大部分來自其它VPN或因特網的業務)損害到提供給來自客戶的VPN(32a，32b)內部的業務的QoS，本發明通過接入鏈路優先化或接入鏈路容量分配在各個客戶的接入鏈路上給予VPN內業務比VPN外業務更高的優先權，使得VPN外業務不能干擾VPN內業務。通過配置接入網絡(38a，38b)、VPN邊界路由器(40a，40b，42a，42b)和CPE邊緣路由器(42a，42b)以及邊緣和邊界路由器的路由協議，就能提供預防DoS(拒絕服務)攻擊的高級服務。
文檔編號H04M3/46GK1502195SQ02806821
公開日2004年6月2日 申請日期2002年3月20日 優先權日2001年3月20日
發明者D·E·麥克戴桑, D E 麥克戴桑 申請人:全球通訊公司