CN111819829A - 用于检查的网络通信的选择性端口镜像和带内传输 - Google Patents
用于检查的网络通信的选择性端口镜像和带内传输 Download PDFInfo
- Publication number
- CN111819829A CN111819829A CN201980015964.4A CN201980015964A CN111819829A CN 111819829 A CN111819829 A CN 111819829A CN 201980015964 A CN201980015964 A CN 201980015964A CN 111819829 A CN111819829 A CN 111819829A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- vlan
- network packet
- analyzer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000007689 inspection Methods 0.000 claims abstract description 26
- 230000006855 networking Effects 0.000 claims description 26
- 238000004458 analytical method Methods 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 36
- 238000012544 monitoring process Methods 0.000 abstract description 9
- 230000009471 action Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012384 transportation and delivery Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000002372 labelling Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 239000003990 capacitor Substances 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
- H04L12/4679—Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及监测软件定义网络(SDN)中的通信设备和通信链路的系统和方法。网络分组可以被标注或标记,以便路由到分组分析器。可以将VLAN位掩码添加到分组中,以标识分组用于检查,并且可选地,提供标识交换机和/或来源端口的来源信息。可以利用端口镜像和/或将网络分组最终路由到它们的原始目的地可以确保网络流量不被中断。在一个示例中,匹配规则可以使用VLAN位掩码的最高有效位来标识预期用于分组分析器的分组,而不考虑原始分组路由指令和/或分组内容。
Description
技术领域
本公开涉及用于在软件定义网络(“SDN”)中管理网络安全性的系统和方法。更特别地,但不排他地,本申请中公开的技术允许系统对分组(packet)进行标记(tag)(或“标注(color)”)以用于检查,并向分组分析器提供分组来源信息。
附图简述
本文中的书面公开内容描述了非限制性且非穷举的说明性实施例。本公开参考在下述附图中描绘的某些这样的说明性实施例。
图1图示了电力传输和配电系统的简化的单线图的示例,其中多个通信设备促进软件定义网络(“SDN”)中的通信。
图2图示了根据一个实施例的SDN架构的概念表示的示例。
图3图示了简化过程的示例,通过该过程,SDN用VLAN对分组进行标记(或“标注”),以指示该分组应该被发送到分组分析器和/或提供来源信息。
图4图示了SDN架构的概念表示的另一个示例。
图5图示了SDN架构的概念表示,包括配置应用、控制面(control plane)、数据面(data plane)、多个数据消耗者/产生者设备以及选择性启用的端口镜像(portmirroring)功能。
图6图示了用于通过SDN处理分组以进行DPI分组分析的方法的示例的流程图。
图7图示了用于通过SDN处理分组的方法的示例的流程图,该SDN被配置成用于使用端口镜像进行分组分析。
详细描述
各种各样的商业和工业机构利用软件定义网络(“SDN”)。本文描述的系统和方法可以用于各种各样的应用,并且不限于任何特定的行业。本文提供的一些具体示例涉及纳入了SDN联网技术的电力传输和配电系统。
例如,现代配电和传输系统纳入了各种通信技术,以监测并保护系统。系统可以利用通信装备以促进对电力系统上的状况进行监测并实现控制动作以维持电力系统的稳定性的各种设备之间的数据交换。通信网络携带用于对电力系统状况进行适当评估并用于基于这些状况实现控制动作有用的信息。通常希望监测和/或控制系统快速响应电力传输和配电系统中的状况改变。相应地,经由通信网络传输的消息在具体的时间帧内被路由到它们的目的地可能是有用的。
在各种实施例中,控制器可用于配置联网设备、建立网络流并监测网络状况。SDN联网技术为电力系统提供了各种优势。例如,SDN联网技术允许可快速配置的默认拒绝(deny-by-default)安全性、更好的延迟控制、对称传输能力、冗余和故障转移计划等。
SDN支持程序化的改变控制平台,其允许将整个通信网络作为单一资产进行管理,这简化了对网络的理解,并能够对网络进行持续监测。在SDN中,决定将流量路由到哪里的系统(即,控制面)与执行流量在网络中的转发的系统(即,数据面)可以是不同的。
控制面可以被修改以通过通信网络创建具体的数据流来实现网络资源的最佳或目标使用。“流条目(flow entry)”用于指控制数据流的一组或多组参数。“数据流”或简称为“流”用于指网络中任何类型的数据转移,诸如从特定源发送到特定单播、任播或多播目的地的一组或一系列IP分组。数据流条目可以准许基于各种标准的具体网络路径,这些标准为网络运营商提供显著和精确的控制。相比之下,在大型传统网络中,尝试使网络发现路径与应用期望的数据路径匹配可能是涉及改变许多设备中的配置的具有挑战性的任务。为了解决这个问题,很多设备上使用的管理接口和特征组都不是标准化的。
在电力传输和配电系统的背景下管理传统网络的明显的复杂性是由于每个网络设备(例如,交换机或路由器)具有集成的控制逻辑和数据转发逻辑的事实。例如,在传统的网络路由器中,诸如路由信息协议(RIP)或开放式最短路径优先(OSPF)的路由协议构成确定应该如何转发分组的控制逻辑。路由表标识网络路径,以根据路由协议的规定在网络内转发分组。类似地,在诸如网桥(或网络交换机)的2层设备(Layer 2device)中,配置参数和/或生成树算法(STA)提供确定分组路径的控制逻辑。因此,传统网络中的控制面分布在交换结构(网络或联网设备)中。因此,改变网络的转发行为包括单独改变许多(可能是所有)联网设备的配置,而不是通过集中的控制面以编程方式改变。
在许多SDN实施例中,SDN控制器实施网络控制面并确定分组(或帧)应该如何在网络中流动(或转发)。SDN控制器通过设定联网设备的转发表和/或其他配置设置将该信息传送给数据面中的联网设备。相应地,SDN实现了对网络的集中化配置和管理。SDN中的数据面包括分组转发设备,该分组转发设备具有通信接口,以从控制器接收转发信息。
区分并转发分组的一种方法包括VLAN标记。虚拟局域网络(VLAN)可以在具有共享拓扑的网络中隔离流量。分组可以有VLAN ID或标记来指示该分组应该转发到哪里。除了简化网络的管理之外,SDN架构也实现了监测和故障排除特征,这些功能有利于在配电系统中使用。
在一些实施例中,系统可以利用各种SDN特征来监测网络中的物理和/或逻辑通信链路。逻辑通信链路可以包含用于在通信主机之间建立连接的任何数量的物理链路和转发元件。用于创建实现逻辑通信链路的特定通信路径的物理链路和转发元件可以基于网络中的状况进行调整和改变。
在以太网中,网络运营商可能需要深入了解网络流量。网络可以通过入侵检测系统(IDS)和/或深度分组检查(DPI)系统来路由流量。端口镜像可以将网络流量定向到IDS或DPI系统,其中网络交换机复制通过交换机端口的分组,并将复制的分组发送到IDS或DPI系统。匹配系统可以基于匹配规则标识用于检查的分组。联网设备(例如,网络交换机)可以对匹配的分组进行“标记”或“标注”,以标识它用于路由到IDS或DPI系统进行分析。可以使用多种匹配算法中的任何算法,并且可以根据所需的网络安全级别而变化。标识用于检查的分组的匹配算法被广泛理解,并且适用于与本文描述的系统和方法结合使用。分组检查器可以是基于处理器的设备,独立于联网设备或作为联网设备的一部分集成,以实现标识分组用于经由IDS或DPI系统进行分组检查的匹配算法。然而,为了不模糊本文阐述的系统和方法的描述,这种匹配算法的细节在本公开中被省略。一旦分组被“匹配”用于进一步检查或分析,本文描述的系统和方法允许动态端口镜像和/或路由到IDS或DPI系统。
各种通信设备可以利用本文描述的各种实施例。如本文使用的术语“通信设备”包括能够在数据通信网络中接受和转发数据流量的任何设备。除了接受和转发数据流量的功能之外,通信设备还可以执行各种各样的其他功能,并且范围可以从简单的设备到复杂的设备。
适用于本文所描述的系统和方法的通信设备的具体示例包括但不限于交换机、集线器、中继器、网关、路由器、网桥、调制解调器、无线接入点和线路驱动器。如本文所使用的,术语“通信设备”在上下文允许的情况下,还可以包括各种各样的混合联网设备,诸如多层交换机、协议转换器、终端适配器、桥接路由器、代理服务器、防火墙设备、网络地址译码器(network address translators)、多路复用器、网络接口控制器等。因此,虽然在本文使用网络交换机作为示例描述了系统和方法的许多原理,但是应当理解,这些原理可以适用于许多其他联网设备类型。
通过参照附图能够进一步理解本公开的实施例,其中通篇相似的部分由相似的数字标记。如在本文中的附图中一般性地描述和示出的,所公开实施例的部件可以以各种不同的配置来布置和设计。因此,本公开的系统和方法的实施例的以下详细的描述不旨在限制本公开所要求保护的范围,而是仅代表本公开的可能实施例。此外,除非另有说明,否则方法的步骤不一定需要按照任何特定的顺序或甚至依次序地执行,这些步骤也不需要仅执行一次。
所描述的实施例的几个方面可作为软件模块或部件来实现。如本文中所使用的,软件模块或部件可包括任何类型的计算机指令或计算机可执行代码,这些指令或代码位于存储器设备内和/或作为电子信号通过系统总线或者有线或无线网络传输。例如,软件模块或部件可包括计算机指令的一个或更多个物理块或逻辑块,其可被组织为例程、程序、对象、部件、数据结构等,其执行一个或更多个任务或实现特定的抽象数据类型。
在某些实施例中,特定的软件模块或部件可包括被存储在存储器设备的不同位置中的不同指令,其共同实现模块的所描述的功能。事实上,模块或部件可包括单一指令或许多指令,并且可以分布在几个不同的代码段上、分布在不同的程序之间以及跨几个存储器设备分布。一些实施例可在分布式计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,软件模块或部件可位于本地存储器存储设备和/或远程存储器存储设备中。另外,在数据库记录中绑定或呈现在一起的数据可驻留在相同的存储器设备中或跨几个存储器设备驻留,并且可以跨网络在数据库中的记录字段中链接在一起。
实施例可作为计算机程序产品来被提供,包括具有在其上所存储的指令的非暂态计算机和/或机器可读介质,该指令可用于对计算机(或另一电子设备)进行编程以执行本文中所描述的过程。例如,非暂态计算机可读介质可存储指令,当该指令由计算机系统的处理器执行时,使处理器执行本文中所公开的某些方法。非暂态计算机可读介质可包括但不限于硬盘、软盘、光盘、CD-ROM、DVD-ROM、ROM、RAM、EPROM、EEPROM、磁卡或光卡、固态存储器设备、或适用于存储电子器件和/或处理器可执行指令的其他类型的机器可读介质。
图1图示了电力传输和配电系统100的简化的单线图的实施例的示例,其中多个通信设备可以促进软件定义网络中的通信。电力输送系统100可以被配置成生成、传输电能,并将电能分配给负载。电力输送系统可包括装备,诸如电力发电机(例如,发电机110、112、114和116)、电力变压器(例如,变压器117、120、122、130、142、144和150)、电力传输和输送线(例如,线124、134和158)、电路断路器(例如,断路器152、160、176)、总线(例如,总线118、126、132和148)、负载(例如,负载140和138)等等。各种其他类型的装备也可被包括在电力输送系统100中,诸如电压调节器、电容器组以及各种其他类型的装备。
变电站(substation)119可以包括发电机114(其可以是分布式发电机),该发电机114可以通过升压变压器(step-up transformer)117连接到总线126。降压变压器(step-down transformer)130将总线126连接到配电总线132。各种配电线136和134可以连接到配电总线132。配电线136可以通向变电站141,并且IED 106可以监测和/或控制配电线106。例如,IED 106可以选择性地打开和闭合断路器152。配电线136A可以给负载140馈电。附加的降压变压器144被示出经由配电线136与配电总线132通信,并可用于逐步降低由负载140消耗的电压。
配电线134可以通向变电站151,并向总线148输送电力。总线148也可经由变压器150接收来自分布式发电机116的电力。配电线158可以将电力从总线148输送到负载138,并且可以包括另一个降压变压器142。电路断路器160可以选择性地将总线148连接到配电线134。IED 108可以监测和/或控制电路断路器160以及配电线158。
中央监测系统172和智能电子设备(IED)(诸如IED 104、106、108、115和170)可以监测、控制、自动操作和/或保护电力输送系统100。通常,发电和传输系统可以利用IED进行装备的保护、控制、自动操作和/或监测。例如,系统可以使用IED监测许多类型的装备,包括输电线、配电线、电流互感器、总线、交换机、电路断路器、自动开关(recloser)、变压器、自耦变压器、抽头变换器(tap changer)、电压调节器、电容器组、发电机、电动机、泵、压缩机、阀以及各种其他类型的受监测装备。
如本文所使用的,IED(如IED 104、106、108、115和170)可指监测、控制、自动操作和/或保护系统100内的受监测装备的任何基于微处理器的设备。例如,这样的设备可包括远程终端单元、差动继电器(differential relay)、距离继电器、方向继电器、馈电继电器、过电流继电器、电压调节器控件、电压继电器、断路器故障继电器、发电机继电器、电动机继电器、自动化控制器、间隔控制器(bay controller)、计量器、自动开关控件(reclosercontrols)、通信处理器、计算平台、可编程逻辑控制器(PLC)、可编程自动化控制器、输入和输出模块等等。术语IED可用于描述单个IED或包括多个IED的系统。
公共时间信号可分配在整个系统100中。利用公共或通用的时间源可确保IED具有可用于生成时间同步数据(如同步相量)的同步时间信号。在各个实施例中,IED 104、106、108、115和170可接收公共时间信号168。时间信号可使用网络162或使用公共的时间源(诸如全球导航卫星系统(“GNSS”)等)而被分配在系统100中。
根据各个实施例,中央监测系统172可包括多种类型的系统中的一个或更多个。例如,中央监测系统172可以包括监控与数据采集(SCADA)系统和/或广域控制与态势感知(WACSA)系统。中央IED 170可以与各个IED 104、106、108和115进行通信。IED 104、106、108和115可以远离中央IED 170,并且可以通过各种介质进行通信,诸如来自IED 106的直接通信或通过通信网络162进行通信。根据各个实施例,某些IED可以与其他IED直接进行通信(例如,IED 104与中央IED 170直接进行通信),或者可以经由网络162进行通信(例如,IED108经由通信网络162与中央IED 170进行通信)。
包括但不限于多路复用器、路由器、集线器、网关、防火墙和交换机的联网设备可用于促进网络162。在一些实施例中,IED和网络设备可包括物理上不同的设备。在其他实施例中,IED和网络设备可以是复合设备,或者可被配置成用多种方式来执行重叠的功能。IED和网络设备可包括多功能硬件(例如,处理器、计算机可读存储介质、通信接口等),其可被利用以执行关于系统100内的装备的操作和/或网络通信的各种任务。
SDN控制器180可以被配置成与网络162中的装备对接以创建促进各个IED 170、115和108、监测系统172、和/或其他联网的设备之间的通信的SDN。在各个实施例中,SDN控制器180可以被配置成设置用于控制网络162中的数据流的流条目。
在各个实施例中,SDN控制器可以实现被配置成允许动态端口镜像的SDN应用。在各个实施例中,系统(或用户)可以利用SDN应用来选择性地镜像来自一个或更多个联网设备的一个或更多个流。在一些实施例中,SDN应用使得多个联网设备上的端口之一充当“嗅探端口(sniffing port)”,该“嗅探端口”仅用于将被标记或标注以供检查的分组转发到分组分析器设备,诸如IDS或DPI系统。
图2图示了SDN架构的概念表示的示例,该SDN架构包括多个配置应用、控制面、数据面、多个数据消耗者/产生者设备、以及包括分组处理信息和数据分组内容的数据分组的高级图。应用202a、202b和202c表示用于配置控制面204内(或实施控制面204)的控制器206的各种应用中的任何应用。这些应用可以被定制以满足各种系统需求。
路径214可用于在数据面220和控制面204之间传递信息。在一些实施例中,路径214可以使用例如开放流协议(OpenFlow protocol)。开放流协议通过配置交换机的行为的方式来操作和控制分组如何被转发,在图2中通过流条目208、210和212来表示。路径214因此可以将流量导向预期的联网设备,诸如数据面220上的联网设备222和224。对流条目212的详细查看图示了流条目212包括匹配字段216和分组处理信息218。
分组处理信息218可以包括但不限于:分组优先级、计量信息、分组指令以及分组或流超时指令。匹配字段216可以与分组信息进行比较,并随后用于将分组过滤成对应的流。匹配字段可以包括但不限于:入口端口号;以太网源、目的地和类型;IP源、目的地和协议;源端口;目的地端口;以及VLAN标识(VLAN ID)。可选的匹配字段可用于匹配数据分组的VLAN ID。
可以用标识分组的来源(origin)、分组进入网络的点和/或分组已经穿过的网络路径的信息来对分组进行标记或“标注”。可以使用各种方法和技术来进行标记,包括使用被推送到分组上的包含源信息的VLAN ID。SDN上被配置成向分组分析器发送流量的每个软件定义交换机都可以通过将VLAN ID推送到分组上来“标记”该分组。如果存在现有的VLANID,则可以将第二VLAN ID添加到(例如,推送到)分组,该第二VLAN ID包括标识分组的来源和/或目的地信息的信息。
例如,可以使用已知的位掩码模式的组合来生成由SDN中的交换机添加的VLANID。例如,第一位掩码模式可以用于指示网络分组应该由分组分析器进行分析。SDN中的交换机上的端口可以通过唯一的位掩码模式来标识。VLAN ID可以被构造成包含关于分组的源的信息以及转发信息。可以有多种方法将VLAN与对应的交换机和端口进行匹配,包括但不限于,使用组合位掩码的结构来标识端口以及带有交换机列表和对应VLAN的查找表。位掩码中的一个位(例如,位掩码中的最高有效位或最高位(highest order bit))可以标识要进行检查并要发送到分组分析器230的分组。在一些实施例中,VLAN值中的最高位用于防止分组根据原始指令被路由。可以由位掩码提供另外的分组区分。例如,可以使用具体的位掩码或基本掩码来指定用于端口镜像和/或用于转发到DPI系统的分组。
数据面220包括彼此通信的联网设备222和224。在各个实施例中,联网设备222和224可以实施为交换机、多路复用器以及其他类型的通信设备。通信链路可以实施为以太网、光纤和/或其他形式的数据通信信道。数据消耗/产生设备226和228可以表示电力传输和配电系统内的产生或消耗数据的各种设备。
例如,数据消耗/产生设备可以实施为被配置成监测电力传输线的一对传输线继电器。传输线继电器可以监测流过传输线的电力的各个方面(例如,电压测量结果、电流测量结果、相位测量结果、同步相量等),并且可以传送测量结果以实现对传输线的保护策略。传输线继电器之间的流量可以使用由控制器实现的多个数据流来路由通过数据面220。数据消耗/产生设备226和228可以实施为多种设备中的任何设备。
图3图示了简化过程的示例,通过该过程,SDN用VLAN标记一个分组,以指示该分组应当被发送到分组分析器。网络设备可以接收原始数据分组302。原始数据分组302包括分组信息(例如,有效载荷)。原始数据分组302可以包括也可以不包括VLAN ID 304。初始分组分析系统可以确定该分组应该被进一步检查。位掩码310可用于生成新的VLAN ID 316。新的VLAN ID 316可用于对该分组进行标记或“标注”,以指示该分组应当被路由到分组分析器。
如前所述,原始数据分组302可以具有或不具有将保持完整的现有VLAN ID 304。作为具体示例,网络管理员可以选择位掩码0x800或100000000000来指示分组应当被发送到分组分析器。最高有效位(位12)为高(1),其指示分组应被路由到分组分析器。另一个位掩码,诸如000000001010,可以指示特定网络交换机上的第10个端口最初接收到了分组。当这两个位掩码经由例如“或(OR)”门与分组信息逻辑地组合时,可以使用写动作将新的VLANID 316推送到分组上。新的VLAN ID 316标识用于转发到分组分析器的分组,并且还提供具体的来源信息。在该实施例中,掩码中的最高位被SDN用来标识分组要被发送到分组分析器,而不管分组中的其他位和/或现有的VLAN ID 304。实际上,基于与预期路由和/或来源相关的一个或更多个位掩码的新VLAN ID 316被添加到原始数据分组302。新的数据分组350包括分组信息306、原始VLAN ID 304和新的VLAN ID 316。在一些实施例中,不同的位掩码可以用于不同的目的。例如,第一位掩码值可以用于路由到DPI系统,第二位掩码值可以用于端口镜像,而第三位掩码值可以用于另一种类型的分组检查。
如前所述,位掩码还可以提供来源信息。被标识用于进一步检查的分组可以在交换机5的端口3上被接收。作为具体示例,通过将标识交换机的二进制值移位6位,可以将交换机标识编码在VLAN ID的第7-11位中。交换机5的二进制值是101。该值左移6位,使得最低有效位在第7位上,并与原始位掩码进行“或”运算,得到二进制值100101000000。最后6位可以被保留来编码分组的端口标识信息。由于端口3的二进制值是000011,位掩码的逻辑“或”值变为100101000011。位掩码的最高有效位指示分组应当被发送到分组分析器。第7-11位对分组所源自于的交换机的标识信息进行编码。第1-6位对分组所源自于的端口的标识信息进行编码。这些位掩码的组合用于生成新的VLAN ID 316,然后该新的VLAN ID 316被推送到原始数据分组302上以形成新的数据分组350。
应当理解,根据网络的需要,位掩码中的位数可以更大或更小。上面的示例允许标识多达32个联网设备(第7-11位)和每个联网设备上的多达64个端口(第1-6位)。在其他实施例中,可能希望对分组所源自于的每个网络设备的整个序列号或mac地址进行编码。标准协议可以限制VLAN ID中的可用位的总数。然而,本文中公开的概念可以被修改和/或扩展以符合多种协议和用例中的任意协议和用例。
在一些实施例中,可以分配额外的位来编码分组是否已经被镜像或从其预期的目的地重新路由。由于原始分组被路由到其原始的预期目的地,镜像分组在检查后可以被丢弃。一旦分组检查完成,为检查而重新路由的分组可以被转发到其原始目的地。这样的分组可以被检查,然后返回到交换机和/或来源的端口,在这个点处,新的VLAN ID被去除,并且分组被转发到其原始的预期目的地。
在一些实施例中,系统可以不需要标识交换机和/或来源端口。在这样的实施例中,可以将较少的位分配给位掩码。例如,如果网络中只有25个联网设备,并且端口标识信息不是必需的,那么位掩码可以只包括6位——一个最高有效位指示分组应该被发送到分组分析器,并且5个额外的位用于编码分组所源自于的交换机的标识信息。
上面的示例仅仅表示众多可能的编码组合中的一些,这些编码组合用于标记或标注分组以进一步分析和提供一些来源信息。基于系统的目标,可以使用可替代的标记或标注方法。
图4图示了SDN架构的概念表示的示例。所图示的实施例包括配置应用、控制面、数据面、多个数据消耗者/产生者设备、以及高级图VLAN分组分段和路由。一旦分组被标识作为应当被发送到分组分析器的分组,VLAN值可以被分配给该分组,以将该分组路由到分组分析器422。也可以包括网络分组路由规范。例如,VLAN值可以指示分组应该通过指定的嗅探端口被路由,和/或可以为要被路由到分组分析器422的分组指定特定的流量流。
初始步骤可以包括确定分组是否满足要被发送到分组分析器422的匹配标准(例如,确定VLAN ID的最高有效位是否是1)。如果分组满足匹配标准,该匹配规则的动作可以是将分组发送到分组分析器422,而不是将其发送到原始目的地。不具有满足匹配规则的VLAN ID(例如,最高有效位不是1)的分组可以被路由到它们的原始目的地(例如,数据消耗/产生设备414、416、418和420之一)。
在一些实施例中,分组检查可以是单向功能,其中分组被检查并丢弃。端口镜像可用于确保这种检查不会导致数据面通信的分组丢失。其他形式的分组检查可以是双向的,并且导致分组在检查之后返回到它们的来源和/或路由到它们的预期目的地。例如,当在网络上配置了IDS时,发送到IDS的分组可以是来自具体联网设备上具体端口的分组的副本(例如,通过端口镜像实现)。复制的分组典型地在分析后被丢弃。
相比之下,DPI系统可能打算在检查后将分组发送回其源。当然,如果该分组被标识为不期望的,则该分组可以被丢弃和/或可以采取其他保护性动作。否则,如果DPI系统确定该分组在网络上是允许的,则该分组可以被发送回来源的交换机,并返回到其原始的预期目的地。将分组从分组分析器422发送回来源入口交换机(例如,410)的动作可以经由与典型的流匹配规则方向相反的一组流匹配规则来实现。分组路由的下一个步骤是通过数据面408发回。当分组回到其来源时,可以从分组移除分组分析VLAN ID,并且分组可以被正常处理。为了促进该动作,被标记为要发送到深度分组分析器的分组的典型流可以在表2中,或者可以稍后,使得匹配的写动作可以是发送分组用于进一步处理。
图5图示了SDN架构500的概念表示的另一个示例,该SDN架构500包括控制面504、数据面508、多个数据消耗者/产生者设备528-540、以及选择性启用的端口镜像功能。分组可以经由数据面508内的一个或更多个网络设备(510、512和/或514)从一个数据产生设备528-540传递到另一个数据消耗设备528-540。分组可以进入SDN的数据面508。数据面508可以包含多个网络设备510-514。每个网络设备可以具有指定的路由路径516-520。根据本文所描述的系统和方法,选择性端口镜像可以通过编程方式为SDN内的一个或更多个(或所有)端口启用。因此,可以选择性地使每个联网设备能够通过路径522-526将它们的流量镜像到分组分析器534。选择性的流量镜像允许从单个端口对单个流的流量进行动态粒度数据收集。这一过程可以在不中断正常网络流的情况下远程地按需完成。
分组路由的细节可以取决于网络管理员的需要。如果使用专用端口来确定应当进一步分析哪些分组,则该“嗅探”端口上的传入流量可以被路由到分组分析器。如果其他流量共享该嗅探端口,则接收交换机可以有一个匹配规则,该匹配规则使用位掩码来标识被标记要进行检查的分组,这些分组应该被路由到分组分析器。利用SDN,网络设备510-514可以使用第一个最高有效位来确定分组是否需要被发送到分组分析器。该匹配过程可以包括速率限制特征,该速率限制特征限制被发送到分组分析器的流量总量。例如,如果分析器被流量淹没,一些最初指定给分组分析器的分组可以简单地被丢弃。
图6图示了用于通过SDN来处理分组的方法的示例的流程图,该SDN被配置用于分组分析。在604,在网络上接收入口分组。在606,系统的部件(诸如联网设备)可以确定分组是否满足用于分组分析的匹配标准。如果分组没有被标识用于传输到分组分析器,则在607,该分组可以根据现有指令被路由。然后,在604,方法可以通过接收另一个入口分组而再次开始。
然而,如果分组满足匹配标准,则在608,可以创建VLAN ID。VLAN ID的最高有效位可以“标记”或“标注”分组,以便由随后的联网设备自动路由到分组分析器。VLAN ID的其他位可用于标识数据分组的来源信息(例如,交换机和/或端口标识信息)。在610,VLAN ID被添加到数据分组(和任何现有的VLAN标记),以在611将分组路由到分组分析器。
在一些实施例中,在612,分组可以通过任意数量的联网设备和/或专用端口被路由到分组分析器。沿途的每个联网设备可以使用匹配规则来确定该分组是打算给分组分析器的,而不考虑原始分组路由指令。例如,后续联网设备可以确定VLAN ID的最高有效位是1,因此自动将分组路由到分组分析器,而无需进一步分析或检查。然后,在613,分组分析器可以分析分组。在一些实施例中,系统然后可以在614确定分组是否需要被发送回其来源。如果不需要,则可以在618丢弃该分组。如果它确实需要被发回,则分组可以在615被路由回其来源。在616,系统可以从分组去除“标记”或“标注”,然后在607,根据分组的原始指令来路由分组。在一些实施例中,在618,可以简单地丢弃该分组,而不需要确定该分组是否应当被发送回去的步骤。
图7图示了用于通过SDN处理分组的方法的示例的流程图,该SDN被配置成用于使用端口镜像进行分组分析。在704,系统可以接收分组。在706,系统可以确定接收到的分组是否应该被复制(镜像)并进一步分析。如果不需要进一步分析,则不对该分组进行镜像,而是在708,根据现有的原始路由指令简单地路由该分组。然而,如果分组需要进一步分析,则在710,该分组可以被镜像。在708,原始分组可以被路由到其原始的预期目的地。在712,可以创建镜像VLAN ID,该镜像VLAN ID将分组标识为镜像分组,标识该分组用于路由到IPS或DPI系统,和/或标识分组最初被接收的交换机和/或端口。在714,VLAN ID被推送到镜像分组上,并且在716,镜像分组被路由到镜像目的地(例如,IPS或DPI系统)。在分析之后,镜像分组可以被丢弃。
本文公开的方法包括用于执行所描述的方法的一个或更多个步骤或动作。方法的步骤和/或动作可以彼此互换。换句话说,除非实施例的恰当操作要求步骤或动作的具体顺序,否则可以修改具体的步骤和/或动作的顺序和/或使用,和/或可以省略步骤或动作。
在一些情况下,众所周知的特征、结构或操作没有被详细示出或描述。此外,所描述的特征、结构或操作可以以任何合适的方式组合在一个或更多个实施例中。还将容易理解的是,如在本文中的附图中一般性地描述和图示的实施例的部件可以以各种不同的配置来布置和设计。因此,设想了实施例的所有可行的排列和组合。
所描述实施例的几个方面可以使用硬件、固件和/或软件模块或部件来实现。如本文中所使用的,模块或部件可以包括各种硬件部件、固件代码、和/或任何类型的计算机指令或计算机可执行代码,这些指令或代码位于存储器设备内和/或作为暂态或非暂态电子信号通过系统总线,或者有线或无线网络传输。本文中所描述的许多实施例以框图形式和/或使用逻辑符号示出。应当理解,每个示出和描述的实施例的各个元件可以使用FPGA、定制的专用集成电路(ASIC)和/或作为硬件/软件组合来实现。
在上述描述中,为了简化本公开的目的,有时在单一实施例、附图或其描述中将各种特征分组在一起。然而,本公开的这个方法不应被解释为反映以下意图:任何权利要求需要比在该权利要求中明确陈述的特征更多的特征。相反,如所附权利要求所反映的,创造性方面在于比任意单一前述公开实施例的所有特征更少的特征的组合。因此,权利要求特此被明确纳入该详细描述中,其中每个权利要求独立地作为单独的实施例。本公开也包括独立权利要求及其从属权利要求的所有排列和组合。
Claims (20)
1.一种在软件定义网络中经由网络分组的带内传输进行分组分析的方法,包括:
经由软件定义网络(SDN)内的第一联网设备接收网络分组;
经由所述第一联网设备标识所述网络分组用于转发给连接到所述SDN的分组分析器;
将所述网络分组的VLAN ID写入所述网络分组,从而标识所述网络分组用于由所述分组分析器分析;
将所述网络分组转发至所述SDN内的多个后续联网设备中的第一个;
由所述多个后续联网设备中的每一个读取所述网络分组的VLAN ID,所述VLAN ID标识所述网络分组用于由所述分组分析器分析;以及
由所述多个后续联网设备中的一个将所述网络分组转发到所述分组分析器进行分析。
2.根据权利要求1所述的方法,其中,标识所述网络分组用于由所述分组分析器分析的所述VLAN ID还标识所述第一联网设备。
3.根据权利要求1所述的方法,其中,标识所述网络分组用于由所述分组分析器分析的所述VLAN ID还标识:(i)所述第一联网设备,以及(ii)所述第一联网设备上的多个端口中的哪一个接收到所述网络分组。
4.根据权利要求1所述的方法,其中,所述VLAN ID的至少一个位被保留用于标识所述网络分组,以转发给所述分组分析器。
5.根据权利要求4所述的方法,其中,所述网络分组包括现有的VLAN标记,并且其中,将所述VLAN ID写入所述网络分组包括将包括所述VLAN ID的另一个VLAN标记推送到所述网络分组上,而不修改所述现有的VLAN标记。
6.根据权利要求1所述的方法,其中,所述分组分析器包括深度分组检查(DPI)系统。
7.根据权利要求1所述的方法,其中,所述分组分析器包括入侵检测系统(IDS)。
8.根据权利要求1所述的方法,还包括:
经由所述分组分析器检查所述网络分组。
9.根据权利要求8所述的方法,还包括:在经过所述分组分析器的检查之后丢弃所述网络分组。
10.根据权利要求8所述的方法,还包括:
在经过所述分组分析器的检查之后,转发所述网络分组到所述SDN中的原始预期设备。
11.根据权利要求10所述的方法,还包括:
移除标识所述网络分组用于由所述分组分析器分析的所述VLAN ID。
12.根据权利要求1所述的方法,其中,所述SDN包括基于以太网的SDN。
13.根据权利要求1所述的方法,其中,转发所述网络分组到所述SDN内的所述多个后续联网设备中的第一个包括将所述网络分组从所述第一联网设备的专用嗅探端口传出到所述多个后续联网设备中的第一个。
14.根据权利要求1所述的方法,还包括在写入所述VLAN ID之前,镜像由所述第一联网设备接收的网络分组。
15.根据权利要求14所述的方法,还包括转发所镜像的分组到所述网络分组的原始预期目的地。
16.一种软件定义网络,包括:
软件定义网络(SDN)控制器,其用于在经由网络连接到分组分析器的多个联网设备中的每一个上选择性地实现分组分析流规则;
所述多个联网设备中的第一联网设备,其用于接收网络分组并标识所述网络分组用于经由所述分组分析器进行检查;
位写入器,其用于将VLAN ID写入所述网络分组,从而标识所述网络分组用于经由所述分组分析器进行检查;以及
所述第一联网设备的分组转发模块,其用于经由网络中的所述多个联网设备中的至少一些将所标记的网络分组转发到所述分组分析器。
17.根据权利要求16所述的软件定义网络,其中,能够选择性地实现的所述分组分析流规则允许对所述多个联网设备的至少一个上的任一端口进行选择性端口镜像。
18.根据权利要求16所述的软件定义网络,其中,网络分组包括现有的VLAN标记,并且其中,所述位写入器被配置成通过将包括所述VLAN ID的附加VLAN标记推送到所述网络分组上来写入标识所述网络分组以进行检查的所述VLAN ID,而不修改所述现有的VLAN标记。
19.根据权利要求16所述的软件定义网络,其中,所述VLAN ID包括标识接收到所述网络分组的至少所述第一联网设备的信息。
20.根据权利要求16所述的软件定义网络,其中,所述位写入器被配置成通过将包含所述VLAN ID的VLAN标记推送到所述网络分组上来写入标识所述网络分组以进行检查的所述VLAN ID。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/909,393 US10785189B2 (en) | 2018-03-01 | 2018-03-01 | Selective port mirroring and in-band transport of network communications for inspection |
| US15/909,393 | 2018-03-01 | ||
| PCT/US2019/016875 WO2019168640A1 (en) | 2018-03-01 | 2019-02-06 | Selective port mirroring and in-band transport of network communications for inspection |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111819829A true CN111819829A (zh) | 2020-10-23 |
Family
ID=67767463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980015964.4A Pending CN111819829A (zh) | 2018-03-01 | 2019-02-06 | 用于检查的网络通信的选择性端口镜像和带内传输 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10785189B2 (zh) |
| EP (1) | EP3759895A1 (zh) |
| CN (1) | CN111819829A (zh) |
| WO (1) | WO2019168640A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7104317B2 (ja) * | 2018-08-09 | 2022-07-21 | 富士通株式会社 | ミラーパケット転送プログラム及びミラーパケット転送方法 |
| US10778610B2 (en) * | 2018-11-06 | 2020-09-15 | Mellanox Technologies Tlv Ltd. | Deduplication of mirror traffic in analyzer aggregation network |
| US11606335B2 (en) * | 2019-05-02 | 2023-03-14 | Dell Products L.P. | Systems and methods for hierarchical access control across devices in a network environment |
| US11502767B2 (en) * | 2019-08-16 | 2022-11-15 | Arista Networks, Inc. | VLAN-aware clock synchronization |
| US11165685B2 (en) * | 2019-12-20 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Multipoint redundant network device path planning for programmable networks |
| US20220069619A1 (en) * | 2020-09-01 | 2022-03-03 | Schweitzer Engineering Laboratories, Inc. | Media access control security (macsec) application cryptographic fingerprinting |
| US11750502B2 (en) | 2021-09-01 | 2023-09-05 | Schweitzer Engineering Laboratories, Inc. | Detection of in-band software defined network controllers using parallel redundancy protocol |
| US11336564B1 (en) | 2021-09-01 | 2022-05-17 | Schweitzer Engineering Laboratories, Inc. | Detection of active hosts using parallel redundancy protocol in software defined networks |
| US11838174B2 (en) | 2022-02-24 | 2023-12-05 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover handling |
| US11848860B2 (en) | 2022-02-24 | 2023-12-19 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover turnaround overlap handling |
| US12395419B2 (en) | 2022-04-26 | 2025-08-19 | Schweitzer Engineering Laboratories, Inc. | Programmable network detection of network loops |
| KR102691664B1 (ko) * | 2022-09-26 | 2024-08-07 | (주) 시스메이트 | 패킷 심층정보를 이용한 패킷 처리장치 및 그 방법 |
| US12445236B2 (en) | 2023-08-01 | 2025-10-14 | Schweitzer Engineering Laboratories, Inc. | Parallel redundancy protocol error detection |
| EP4557686A1 (en) * | 2023-11-14 | 2025-05-21 | Nxp B.V. | A system of network switches |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6798775B1 (en) * | 1999-06-10 | 2004-09-28 | Cisco Technology, Inc. | Virtual LANs over a DLSw network |
| CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的系统、方法和节点 |
| EP2580894A1 (en) * | 2010-06-08 | 2013-04-17 | Brocade Communications Systems, Inc. | Methods and apparatuses for processing and/or forwarding packets |
| CN105051688A (zh) * | 2013-03-15 | 2015-11-11 | 思科技术公司 | 经扩展的标记联网 |
| US20160344640A1 (en) * | 2014-02-04 | 2016-11-24 | Nokia Solutions And Networks Oy | Service scaling in communications |
| CN106899458A (zh) * | 2017-03-28 | 2017-06-27 | 重庆邮电大学 | 一种基于sdn的流量录播系统 |
| CN107431657A (zh) * | 2015-03-31 | 2017-12-01 | 瑞典爱立信有限公司 | 用于流分析的分组标记的方法 |
| CN107735986A (zh) * | 2015-07-20 | 2018-02-23 | 施瓦哲工程实验有限公司 | 模拟、可视化和搜索在软件定义网络中的流量 |
Family Cites Families (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050192008A1 (en) | 1999-03-31 | 2005-09-01 | Nimesh Desai | System and method for selective information exchange |
| US6747957B1 (en) | 2000-04-28 | 2004-06-08 | Cisco Technology, Inc. | Network availability monitor |
| US9444785B2 (en) | 2000-06-23 | 2016-09-13 | Cloudshield Technologies, Inc. | Transparent provisioning of network access to an application |
| US7165175B1 (en) | 2000-09-06 | 2007-01-16 | Widevine Technologies, Inc. | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
| US7218632B1 (en) | 2000-12-06 | 2007-05-15 | Cisco Technology, Inc. | Packet processing engine architecture |
| US7158486B2 (en) | 2001-03-12 | 2007-01-02 | Opcoast Llc | Method and system for fast computation of routes under multiple network states with communication continuation |
| US7561517B2 (en) | 2001-11-02 | 2009-07-14 | Internap Network Services Corporation | Passive route control of data networks |
| US20030112821A1 (en) | 2001-12-14 | 2003-06-19 | Samsung Electronics Co., Ltd. | System and method for increasing a data transmission rate in mobile wireless communication channels |
| US7200545B2 (en) | 2001-12-28 | 2007-04-03 | Testout Corporation | System and method for simulating computer network devices for competency training and testing simulations |
| FR2838008B1 (fr) | 2002-04-02 | 2004-08-27 | Cit Alcatel | Systeme de telecommunication, notamment de type ip, et equipements pour un tel systeme |
| US7706363B1 (en) * | 2003-06-11 | 2010-04-27 | Radlan Computer Communications, Ltd | Method and apparatus for managing packets in a packet switched network |
| US7852829B2 (en) | 2003-06-19 | 2010-12-14 | Polytechnic University | Packet reassembly and deadlock avoidance for use in a packet switch |
| US7436789B2 (en) | 2003-10-09 | 2008-10-14 | Sarnoff Corporation | Ad Hoc wireless node and network |
| US20050154535A1 (en) | 2004-01-09 | 2005-07-14 | Genstruct, Inc. | Method, system and apparatus for assembling and using biological knowledge |
| US7760719B2 (en) * | 2004-06-30 | 2010-07-20 | Conexant Systems, Inc. | Combined pipelined classification and address search method and apparatus for switching environments |
| DE602004023338D1 (de) * | 2004-12-21 | 2009-11-05 | Ericsson Telefon Ab L M | Anordnung und verfahren in bezug auf den fluss von paketen in kommunikationssystemen |
| US8255681B2 (en) * | 2005-03-10 | 2012-08-28 | Ibahn General Holdings Corporation | Security for mobile devices in a wireless network |
| US20080005558A1 (en) | 2006-06-29 | 2008-01-03 | Battelle Memorial Institute | Methods and apparatuses for authentication and validation of computer-processable communications |
| US9003292B2 (en) | 2006-07-06 | 2015-04-07 | LiveAction, Inc. | System and method for network topology and flow visualization |
| US8130793B2 (en) | 2006-08-22 | 2012-03-06 | Embarq Holdings Company, Llc | System and method for enabling reciprocal billing for different types of communications over a packet network |
| US7872982B2 (en) | 2006-10-02 | 2011-01-18 | International Business Machines Corporation | Implementing an error log analysis model to facilitate faster problem isolation and repair |
| US7813281B2 (en) | 2007-04-19 | 2010-10-12 | Opnet Technologies, Inc. | Interactive MPLS traffic engineering |
| US8509613B2 (en) | 2008-04-14 | 2013-08-13 | Korea Advanced Institute Of Science And Technology | Monitoring of optical transmission systems based on cross-correlation operation |
| EP2129028B1 (en) | 2008-05-06 | 2012-10-17 | Alcatel Lucent | Recovery of transmission errorrs |
| GB2462406B (en) | 2008-06-09 | 2011-02-23 | Gnodal Ltd | Method of data delivery across a network |
| US7872983B2 (en) | 2008-09-08 | 2011-01-18 | At&T Intellectual Property I, L.P. | Reliability metrics in an IP network |
| US8548171B2 (en) | 2009-02-27 | 2013-10-01 | Cisco Technology, Inc. | Pair-wise keying for tunneled virtual private networks |
| US8126804B2 (en) | 2009-03-23 | 2012-02-28 | Battelle Memorial Institute | Decision support systems and methods for complex networks |
| US20110087771A1 (en) * | 2009-10-05 | 2011-04-14 | Vss Monitoring, Inc. | Method, apparatus and system for a layer of stacked network captured traffic distribution devices |
| US8780911B2 (en) * | 2009-10-08 | 2014-07-15 | Force10 Networks, Inc. | Link aggregation based on port and protocol combination |
| CN102859508B (zh) | 2009-11-04 | 2015-11-25 | 沙特阿拉伯石油公司 | 具有分层过程自动化现场网络集的自适应混合无线和有线过程控制系统 |
| US8964528B2 (en) * | 2010-07-06 | 2015-02-24 | Nicira, Inc. | Method and apparatus for robust packet distribution among hierarchical managed switching elements |
| KR101493312B1 (ko) | 2010-10-29 | 2015-02-13 | 노키아 솔루션스 앤드 네트웍스 게엠베하 운트 코. 카게 | 가상 네트워크들에서의 신뢰성 및 이용가능성 셋팅을 위한 제어 메커니즘 |
| US8588088B2 (en) * | 2010-11-01 | 2013-11-19 | Alcatel Lucent | Content based VLAN classification and framework for ethernet network to support content based bridging |
| US8800044B2 (en) | 2011-03-23 | 2014-08-05 | Architelos, Inc. | Storing and accessing threat information for use in predictive modeling in a network security service |
| US9301026B2 (en) | 2011-11-01 | 2016-03-29 | Plexxi Inc. | Affinity modeling in a data center network |
| US9350671B2 (en) | 2012-03-22 | 2016-05-24 | Futurewei Technologies, Inc. | Supporting software defined networking with application layer traffic optimization |
| US8891360B2 (en) | 2012-05-04 | 2014-11-18 | Infinera Corporation | Optimal segment identification for shared mesh protection |
| US9100289B2 (en) | 2012-11-02 | 2015-08-04 | Juniper Networks, Inc. | Creating searchable and global database of user visible process traces |
| US9769049B2 (en) | 2012-07-27 | 2017-09-19 | Gigamon Inc. | Monitoring virtualized network |
| US9178807B1 (en) * | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| US9021092B2 (en) | 2012-10-19 | 2015-04-28 | Shadow Networks, Inc. | Network infrastructure obfuscation |
| US20140112130A1 (en) | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Method for setting packet forwarding rule and control apparatus using the method |
| US9258218B2 (en) | 2012-11-30 | 2016-02-09 | Alcatel Lucent | Software-defined network overlay |
| US9203761B2 (en) | 2012-12-12 | 2015-12-01 | Taqua Wbh, Llc | Systems and methods optimizing backhaul transport |
| US9252972B1 (en) * | 2012-12-20 | 2016-02-02 | Juniper Networks, Inc. | Policy control using software defined network (SDN) protocol |
| US9077618B2 (en) | 2012-12-22 | 2015-07-07 | Alcatel Lucent | Service level mirroring in ethernet network |
| WO2014120214A1 (en) | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Network switch simulation |
| KR102087226B1 (ko) | 2013-02-14 | 2020-03-10 | 삼성전자주식회사 | 다수의 사업자 지원을 위한 sdn 기반의 네트워크 공유 방법 |
| US9195855B2 (en) | 2013-02-22 | 2015-11-24 | International Business Machines Corporation | Data processing lock signal transmission |
| US9270618B2 (en) | 2013-02-28 | 2016-02-23 | International Business Machines Corporation | Source routing with fabric switches in an ethernet fabric network |
| US9282164B2 (en) * | 2013-03-15 | 2016-03-08 | Cisco Technology, Inc. | Application hints for network action |
| WO2014143025A1 (en) | 2013-03-15 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Secure path determination between devices |
| US9356871B2 (en) | 2013-03-15 | 2016-05-31 | Cisco Technology, Inc. | Programmable management engine for networks |
| US9692775B2 (en) | 2013-04-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system to dynamically detect traffic anomalies in a network |
| EP2800304A1 (en) | 2013-04-30 | 2014-11-05 | Telefonaktiebolaget L M Ericsson (Publ) | Technique for configuring a Software-Defined Network |
| WO2014205119A1 (en) | 2013-06-18 | 2014-12-24 | The Regents Of The University Of Colorado, A Body Corporate | Software-defined energy communication networks |
| KR102065075B1 (ko) | 2013-06-24 | 2020-01-10 | 한국전자통신연구원 | 소프트웨어 정의 네트워킹 기반 네트워크 제어 방법 및 이를 수행하는 장치 |
| CN105518756A (zh) | 2013-09-10 | 2016-04-20 | 瑞典爱立信有限公司 | 用于支持事件的监督的方法和监视中心 |
| US9461922B2 (en) | 2013-09-13 | 2016-10-04 | Aol Inc. | Systems and methods for distributing network traffic between servers based on elements in client packets |
| CN105745886B (zh) * | 2013-09-23 | 2019-06-04 | 迈克菲有限公司 | 在两个实体之间提供快速路径 |
| US9330156B2 (en) | 2013-10-18 | 2016-05-03 | Cisco Technology, Inc. | System and method for software defined network aware data replication |
| KR20150051107A (ko) | 2013-11-01 | 2015-05-11 | 주식회사 케이티 | 신속한 경로 설정 및 장애 복구 방법 |
| US9590892B2 (en) | 2013-12-02 | 2017-03-07 | University Of Ontario Institute Of Technology | Proactive controller for failure resiliency in communication networks |
| US9286171B2 (en) | 2013-12-12 | 2016-03-15 | International Business Machines Corporation | Priming failover of stateful offload adapters |
| US9432255B1 (en) | 2014-01-15 | 2016-08-30 | Google Inc. | Systems and methods for controlling network device temporarily absent from control panel |
| US9729949B2 (en) | 2014-04-23 | 2017-08-08 | Alcatel Lucent | Dynamic local decision control in software defined networking-based environment |
| US9237129B2 (en) | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| US9680588B2 (en) | 2014-06-11 | 2017-06-13 | Ciena Corporation | OTN switching systems and methods using an SDN controller and match/action rules |
| WO2015198316A1 (en) * | 2014-06-23 | 2015-12-30 | Yissum Research Development Company Of The Hebrew University Of Jerusalem Ltd. | Method and system for providing deep packet inspection as a service |
| WO2016012051A1 (en) * | 2014-07-25 | 2016-01-28 | Telefonaktiebolaget L M Ericsson (Publ) | Packet processing in an openflow switch |
| US9432380B2 (en) | 2014-09-22 | 2016-08-30 | Empire Technology Development Llc | Network control security |
| US10375043B2 (en) | 2014-10-28 | 2019-08-06 | International Business Machines Corporation | End-to-end encryption in a software defined network |
| US9742807B2 (en) | 2014-11-19 | 2017-08-22 | At&T Intellectual Property I, L.P. | Security enhancements for a software-defined network with network functions virtualization |
| US9445279B2 (en) | 2014-12-05 | 2016-09-13 | Huawei Technologies Co., Ltd. | Systems and methods for placing virtual serving gateways for mobility management |
| US9781042B2 (en) | 2014-12-29 | 2017-10-03 | Empire Technology Development Llc | Network controller security monitor |
| US10148496B2 (en) | 2015-05-05 | 2018-12-04 | Citrix Systems, Inc. | Systems and methods for configuring a device via a software-defined networking controller |
| US9473396B1 (en) * | 2015-05-06 | 2016-10-18 | Freescale Semiconductor, Inc. | System for steering data packets in communication network |
| US10425285B2 (en) | 2015-05-21 | 2019-09-24 | Centurylink Intellectual Property Llc | Automatic noise profile generation |
| US9923779B2 (en) | 2015-07-20 | 2018-03-20 | Schweitzer Engineering Laboratories, Inc. | Configuration of a software defined network |
| US10659314B2 (en) | 2015-07-20 | 2020-05-19 | Schweitzer Engineering Laboratories, Inc. | Communication host profiles |
| US20170026292A1 (en) | 2015-07-20 | 2017-01-26 | Schweitzer Engineering Laboratories, Inc. | Communication link failure detection in a software defined network |
| US9866483B2 (en) | 2015-07-20 | 2018-01-09 | Schweitzer Engineering Laboratories, Inc. | Routing of traffic in network through automatically generated and physically distinct communication paths |
| US9900206B2 (en) | 2015-07-20 | 2018-02-20 | Schweitzer Engineering Laboratories, Inc. | Communication device with persistent configuration and verification |
| US9686125B2 (en) | 2015-07-20 | 2017-06-20 | Schwetizer Engineering Laboratories, Inc. | Network reliability assessment |
| US10341311B2 (en) | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
| US9948556B2 (en) | 2015-08-25 | 2018-04-17 | Google Llc | Systems and methods for externalizing network functions via packet trunking |
| US10038627B2 (en) * | 2016-05-31 | 2018-07-31 | Brocade Communications Systems LLC | Selective rule management based on traffic visibility in a tunnel |
| JP6599819B2 (ja) * | 2016-06-02 | 2019-10-30 | アラクサラネットワークス株式会社 | パケット中継装置 |
| US10129186B2 (en) * | 2016-12-07 | 2018-11-13 | Nicira, Inc. | Service function chain (SFC) data communications with SFC data in virtual local area network identifier (VLAN ID) data fields |
| US20180331946A1 (en) * | 2017-05-09 | 2018-11-15 | vIPtela Inc. | Routing network traffic based on performance |
-
2018
- 2018-03-01 US US15/909,393 patent/US10785189B2/en active Active
-
2019
- 2019-02-06 EP EP19761077.7A patent/EP3759895A1/en not_active Withdrawn
- 2019-02-06 CN CN201980015964.4A patent/CN111819829A/zh active Pending
- 2019-02-06 WO PCT/US2019/016875 patent/WO2019168640A1/en not_active Ceased
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6798775B1 (en) * | 1999-06-10 | 2004-09-28 | Cisco Technology, Inc. | Virtual LANs over a DLSw network |
| EP2580894A1 (en) * | 2010-06-08 | 2013-04-17 | Brocade Communications Systems, Inc. | Methods and apparatuses for processing and/or forwarding packets |
| CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的系统、方法和节点 |
| CN105051688A (zh) * | 2013-03-15 | 2015-11-11 | 思科技术公司 | 经扩展的标记联网 |
| US20160344640A1 (en) * | 2014-02-04 | 2016-11-24 | Nokia Solutions And Networks Oy | Service scaling in communications |
| CN107431657A (zh) * | 2015-03-31 | 2017-12-01 | 瑞典爱立信有限公司 | 用于流分析的分组标记的方法 |
| CN107735986A (zh) * | 2015-07-20 | 2018-02-23 | 施瓦哲工程实验有限公司 | 模拟、可视化和搜索在软件定义网络中的流量 |
| CN106899458A (zh) * | 2017-03-28 | 2017-06-27 | 重庆邮电大学 | 一种基于sdn的流量录播系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190273717A1 (en) | 2019-09-05 |
| EP3759895A1 (en) | 2021-01-06 |
| WO2019168640A1 (en) | 2019-09-06 |
| US10785189B2 (en) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111819829A (zh) | 用于检查的网络通信的选择性端口镜像和带内传输 | |
| US9923779B2 (en) | Configuration of a software defined network | |
| US10298498B2 (en) | Routing of traffic in network through automatically generated and physically distinct communication paths | |
| US10659314B2 (en) | Communication host profiles | |
| US9900206B2 (en) | Communication device with persistent configuration and verification | |
| US8363659B2 (en) | Configuration of a process control system | |
| US11165685B2 (en) | Multipoint redundant network device path planning for programmable networks | |
| CN103026664B (zh) | 确定过程控制系统的基于交换的通信网络的vlan-id的方法、系统和配置工具 | |
| EP3326329A1 (en) | Simulating, visualizing, and searching traffic in a software defined network | |
| US11336564B1 (en) | Detection of active hosts using parallel redundancy protocol in software defined networks | |
| US20230061491A1 (en) | Improving efficiency and fault tolerance in a software defined network using parallel redundancy protocol | |
| US9696696B2 (en) | Substation automation system with dynamic multicast filter | |
| US12160363B2 (en) | Incorporation of parallel redundancy protocol in a software defined network | |
| Yang et al. | Improve protection communications network reliability through software-defined process bus | |
| US11418432B1 (en) | Automated communication flow discovery and configuration in a software defined network | |
| US20230061215A1 (en) | Detection of parallel redundancy protocol traffic in software defined networks | |
| WO2019168624A1 (en) | Traffic activity-based signaling to adjust forwarding behavior of packets | |
| US11431605B2 (en) | Communication system tester and related methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201023 |