CN105765935A - 在无线通信网络中加虚拟防火墙的方法和装置 - Google Patents
在无线通信网络中加虚拟防火墙的方法和装置 Download PDFInfo
- Publication number
- CN105765935A CN105765935A CN201480058378.5A CN201480058378A CN105765935A CN 105765935 A CN105765935 A CN 105765935A CN 201480058378 A CN201480058378 A CN 201480058378A CN 105765935 A CN105765935 A CN 105765935A
- Authority
- CN
- China
- Prior art keywords
- ran node
- virtual firewall
- association
- node
- wireless device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
该公开提供对于管理无线通信网络中的虚拟防火墙的装置和方法的示例细节,该无线通信网络包括核心网络(CN)和关联的无线电接入网络(RAN)。虚拟防火墙处理对于网络所支持的相应无线设备的业务。例如,与指定无线设备关联的虚拟防火墙在支持设备的RAN节点处维持在RAN中,并且响应于检测到牵涉设备的切换事件而从该RAN节点迁移。有利地,迁移可以是“水平的”,其中关联虚拟防火墙在RAN中的节点之间移动,或可以是“垂直的”,其中关联虚拟防火墙从RAN移到CN。
Description
技术领域
本发明大体上涉及无线通信网络,并且特别涉及在这样的网络中加虚拟防火墙。
背景技术
无线设备提供到它们用户的永远在线连接以及广泛的业务可用性。消费者和生活方式应用从实施银行交易、预订餐厅、web浏览和一般电子内容消费方面使得这样的设备成为日常生活的一体化部分。遗憾地是,它们的使用普遍程度和范围使得无线设备对各种电子入侵(包括计算机病毒、恶意软件等)成为越来越有吸引力的目标。因此,在无线设备上实现某一形式的防火墙变得越来越常见。
在这里,术语“防火墙”具有计算机领域内通常所理解的含义并且泛指在硬件和/或软件中实现并且配置成基于分析通过防火墙的网络业务来检测可疑或未经授权活动的网络安全机制。简单的防火墙采用无状态方式操作并且评估个别业务包而不考虑它们相应的包流或连接。更先进的防火墙称为“有状态”防火墙并且该类型的防火墙基于检测到新的连接并且使对于个别连接的包信息累积来分析网络业务。防火墙还可在应用级操作,其中利用对应用行为和协议的了解来检测可疑或未经授权的活动。
在指定无线设备的上下文中,它的防火墙基于分析在设备与支持的无线通信网络之间来回的业务而在设备与其他设备或***之间建立安全边界。在这里,将意识到该业务大体上是关于无线通信网络的直通业务,其中加防火墙的设备作为一个端点并且外部网络中的某一设备或***作为另一端点。
尽管一些类型的无线设备可具有足够的计算资源来支持这样的防火墙的本地实现,这样的资源在其他类型的无线设备中十分有限。资源约束随着防火墙先进程度的增加而变得更加严重。例如,先进的有状态防火墙可比使用简单的无状态包过滤的防火墙消耗明显更多的存储器和计算周期。
发明内容
该公开提供对于管理无线通信网络中的虚拟防火墙的装置和方法的示例细节,该无线通信网络包括核心网络(CN)和关联的无线电接入网络(RAN)。虚拟防火墙处理网络所支持的相应无线设备的业务。例如,与指定无线设备关联的虚拟防火墙在支持设备的RAN节点处维持在RAN中,并且响应于检测到牵涉设备的切换事件从该RAN节点迁移。有利地,迁移可以是“水平的”,其中关联的虚拟防火墙在RAN中的节点之间移动,或可以是“垂直的”,其中关联的虚拟防火墙从RAN移到CN。
在一个示例中,第一控制节点为在无线通信网络中的操作而配置并且更特定地配置成执行虚拟防火墙管理的方法。根据一个实施例的方法包括检测牵涉无线设备从网络中的第一RAN节点到网络中的第二RAN节点的切换的切换事件,其中关联的虚拟防火墙对于无线设备维持在第一RAN节点处。此外,响应于检测到切换事件,方法包括发起关联的虚拟防火墙从第一RAN节点的迁移。该迁移是关联虚拟防火墙到第二RAN节点的水平迁移,或是关联虚拟防火墙到CN内的垂直迁移。
第一控制节点包括用于与第一RAN节点通信的通信接口,并且包括处理电路,其操作地与该通信接口关联并且配置成实现上文的方法或其变化。处理电路包括例如固定处理电路、编程处理电路或其某一组合,并且根据至少一个实施例,第一控制节点是服务网关或其他包路由器,其提供用于在RAN节点与CN之间运送用户业务的接口。
在另一个方面中,虚拟防火墙管理的方法在第一RAN节点处执行并且包括对该第一RAN节点所服务的无线设备维持关联的虚拟防火墙,以及从网络中的控制节点接收要迁移关联虚拟防火墙的转移发起信令。方法进一步包括根据转移发起信令来转移关联的虚拟防火墙,其中迁移是水平或垂直的。
第一RAN节点包括通信接口和关联的处理电路,其配置成执行上文的方法或其变化。处理电路包括固定或编程电路或其某一组合。
在对应示例中,虚拟防火墙管理的方法在第二RAN节点处执行,并且包括从第一RAN节点或从CN中的关联控制节点接收对于无线设备的关联虚拟防火墙,以及在第二RAN节点处激活关联的虚拟防火墙,用于根据关联的虚拟防火墙处理对于无线设备的业务。方法进一步包括将所述激活的指示发送到第一RAN节点,或到关联的控制节点。如与第一RAN节点一样,第二RAN节点包括通信接口和关联的处理电路,其配置成执行方法或其变化。
当然,本发明不限于上文的特征和优势。实际上,在阅读下列详细描述以及回顾附图时,本领域内技术人员将认识到额外特征和优势。
附图说明
图1是包括根据本文的虚拟防火墙管理教导配置的一个或多个节点的无线通信网络的一个实施例的框图。
图2是图示作为示例核心网络(CN)控制节点的服务网关和作为示例RAN节点的eNodeB的示例实施例的框图。
图3是图示如在本文教导的对于CN控制节点的虚拟防火墙管理的方法的一个实施例的逻辑流程图。
图4是图示如在本文教导的对于RAN节点(其例如在切换事件中充当源节点)的虚拟防火墙管理的方法的一个实施例的逻辑流程图。
图5是图示如在本文教导的对于RAN节点(其例如在切换事件中充当目标节点)的虚拟防火墙管理的方法的一个实施例的逻辑流程图。
图6和7A/7B是图示在如本文教导的虚拟防火墙迁移的上下文中的相关网络节点和示例业务流的框图。
具体实施方式
图1图示根据示例实施例的无线通信网络10。该网络10基于使任意数量的无线设备12通信耦合于一个或多个外部网络14(例如互联网或其他包数据网络)来对它们提供通信服务。为便于论述仅示出一个这样的设备12。
描绘的网络10包括无线电接入网络或RAN16,和核心网络或CN18。RAN16包括许多RAN节点20,其提供使设备12连接到网络10的空中接口。每个RAN节点20在一个或多个小区22内提供无线服务并且该图图示在对应小区22-1中提供服务的RAN节点20-1、在对应小区22-2中提供服务的RAN节点20-2和在对应小区22-3中提供服务的RAN节点20-3。小区22可具有相同大小或不同大小并且可完全或部分彼此重叠,并且任意指定RAN节点20可使用不同的空中接口资源来服务于超过一个小区22。
在一个示例中,RAN16设置为同构网络,其具有提供宏覆盖层的宏覆盖RAN节点20。在另一个实施例中,RAN16设置为异构网络,其具有宏覆盖和微覆盖RAN节点20的混合,例如其中微覆盖RAN节点20在小区22内提供热点覆盖区域,或另外用于填充覆盖间隙、扩大覆盖区域等。
在任意情况下,看到每个RAN节点20包括数据中心24或与之关联,该数据中心24在图中表示为“DC24-1”、“DC24-2”和“DC24-3”。作为非限制性示例,每个数据中心24可理解为“微云”,其意指每个对于它相应的RAN节点20和RAN节点20所支持的设备12服务于小的计算云。从而,通过非限制性示例,每个数据中心24包括计算机***,例如具有中央处理器和存储器并且执行计算机程序的服务器计算机,该计算机程序提供用于支持或增强提供给设备12的通信服务的一个或多个功能。
为了该公开的目的,数据中心24对相应RAN节点20所服务的个别设备12实现虚拟防火墙26。如这里使用的术语“虚拟”表示对于指定设备12的防火墙未在设备本身上物理实现而相反在数据中心24的处理资源中实现这一事实。在更详细示例中,“虚拟防火墙”可以理解为完全在虚拟化环境内运行的防火墙服务,但其可以提供与物理网络防火墙或防火墙服务器具常规提供的相同的包过滤和监测。
有利地,根据本文的教导,作为设备移动性的功能,网络10“管理”这些虚拟防火墙。这样的管理包括使对于指定设备12的虚拟防火墙26从一个RAN节点20迁移到另一个RAN节点20,例如在设备12在RAN节点20之间的切换中,或使对于指定设备12的虚拟防火墙26从RAN16迁移到CN18内。在一些实施例中,虚拟防火墙12是“有状态的”并且在这样的实施例中,对于指定设备12的关联虚拟防火墙26的迁移意指在迁移中包括状态信息。
为了支持垂直迁移示例,CN18可包括一个或多个数据中心24-通过示例示出为图1中的数据中心24-4、24-5和24-6。更详细地,CN18包括一个或多个实体,其对在网络10内移动的设备12执行整体移动性管理,示出为移动性管理实体或MME30。CN18进一步包括维持例如对于验证、计费等订户信息的实体,示出为归属订户服务器或HSS32。此外,CN18包括一个或多个实体,其提供接口以用于在CN18与RAN16之间运送用户业务-即,对于设备12中的个别设备的业务-的接口,在这里示出为服务网关或SGW24。进而,每个SGW34耦合于整体包网关或PGW36,其朝外部网络14提供包接口-图中的“SGi”。
技术人员将认识到来自图1的某些架构和符号细节基于对于长期演进LTE和LTE高级网络的第三代合作伙伴计划3GPP的标准化工作而与网络一致。特别地,RAN16图示为演进通用地面无线电接入网络或E-UTRAN,并且CN18图示为演进分组核心或EPC。
在RAN16的E-UTRAN实施例中,RAN节点20大体上是eNodeB。可参考文献3GPPTS23.002来综览3GPP网络元件,如在EPC和较早的遗留CN中使用的。对于在E-UTRAN接入的上下文中的EPC细节,可参考3GPPTS23.401。当然,图1仅仅是示例并且本文的教导不限于LTE和LTE高级网络,而能适用于其他类型的网络,例如GSM和W-CDMA网络。
实际上,在一般意义上,预期在网络10中(例如,在CN18中)中实现一个或多个控制节点38来提供本文预期的虚拟防火墙管理操作中的至少一些。在图1的LTE上下文中,预期的控制节点38在SGW34中实现或与之同定位-例如,控制节点38-1与SGW34-1关联并且控制节点38-2与SGW34-2关联。在至少一个实施例中,指定SGW34处的控制节点38可以理解为全部与SGW34集成,使得虚拟防火墙管理可以理解为SGW34的常规包路由和管理功能性的扩展。一般,控制节点38根据需要集成、同定位或另外被更改来适应实现它们所采用的网络类型的架构和功能细节。
图2图示对于第一控制节点38-1和第一RAN节点20-1的示例实施例。与第一控制节点38-1关联的数据中心24包括微云服务器40,其配置成管理并且应用虚拟防火墙到对于指定设备12的用户业务,例如在第一控制节点38-1的控制下进行。相似地,与第一RAN节点20-1关联的数据中心24包括微云服务器40,其配置成管理并且应用虚拟防火墙到对于指定无线设备12的用户业务。
第一控制节点38-1为网络10内的虚拟防火墙管理而配置并且包括为与第一RAN节点20-1通信而配置的通信接口50并且进一步包括操作地与该通信接口50关联的处理电路52。
处理电路52配置成检测牵涉设备12从第一RAN节点20-1到第二RAN节点20-1的切换的切换事件,其中关联的虚拟防火墙26对于设备12维持在第一RAN节点20-1处。对应地,处理电路52进一步配置成发起关联的虚拟防火墙26从第一RAN节点20-1的迁移,该迁移是关联虚拟防火墙26到第二RAN节点20-2的水平迁移,或是关联虚拟防火墙26到CN18内的垂直迁移。
在示例配置中,处理电路52配置成基于评估以下中的至少一个而在关联虚拟防火墙26的水平迁移或垂直迁移之间选择:对于设备12的移动性数据,和对于设备12的位点数据。在这里,“移动性数据”广泛地包含任一个或多个参数、指标或值。例如,移动性数据可包括切换指示或报告或对切换的请求或用于触发切换的基础测量报告。移动性数据还可包括对于设备12的速度和/或轨迹信息、对于设备12的切换统计信息等。
在至少一个实施例中,处理电路52配置成执行下列操作中的至少一个:如果移动性数据指示对于设备12的在定义阈值以上的切换速率或频率或指示在定义阈值以上的设备12的速度,则选择关联虚拟防火墙26的垂直迁移;并且如果位点数据对应于网络10配置成选择垂直迁移所在的服务区域则选择关联虚拟防火墙26的垂直迁移。
如果选择关联虚拟防火墙26的垂直迁移而不是水平迁移,处理电路52在一个或多个实施例中配置成迟些确定是否将关联虚拟防火墙26迁回RAN16。例如,它可基于评估以下中的至少一个来做出该较迟决定:对于设备12的后续移动性数据,和对于设备12的后续位点数据。这样的操作代表试图在虚拟防火墙26尽可能接近网络边缘的放置-即,在RAN节点级-相对于期望避免使虚拟防火墙26从一个RAN节点20到下一个的迅速或重复移动的无效或不可行之间的平衡。
在一些实施例中,第一控制节点38-1是CN18中的第一SGW34-1,并且为将业务传输到由第一RAN节点20-1服务的至少那些设备12和从至少那些设备12传输业务而配置。对于第一和第二RAN节点20-1和20-2都与第一SGW34-1关联的情况,处理电路52在示例配置中通过朝第一RAN节点20-1发送指示关联虚拟防火墙26要转移到第二RAN节点20-2的控制信令而发起关联虚拟防火墙26的水平迁移。在这样的实例中,处理电路52还可配置成使牵涉设备12的后切换业务暂时遂穿通过第一SGW34-1和第一RAN节点20-1,用于经由如在第一SGW34-1或第一RAN节点20-1处保留的关联虚拟防火墙26的副本来处理后切换业务,直到检测到关联的虚拟防火墙26已经对设备12在第二RAN节点20-2处激活。
相反,如果第一RAN节点20-1与第一SGW34-1关联并且第二RAN节点20-2与作为网络10中的第二控制节点38-2操作的第二SGW34-2关联,处理电路52可配置成通过朝第一RAN节点20-1发送指示关联的虚拟防火墙26要转移到第一SGW34-1的控制信令来发起水平迁移,并且然后将关联的虚拟防火墙26从第一SGW34-1转移到第二SGW34-2。在这样的情况下,处理电路52还可配置成将牵涉设备12的后切换业务暂时遂穿通过第一SGW34-1和第一RAN节点20-1,用于经由如在第一SGW34-1或第一RAN节点20-1处保留的关联虚拟防火墙26的副本来处理后切换业务,直到检测到关联的虚拟防火墙26已经对设备12在第二RAN节点20-2处激活。
尽管应理解实现细节在不偏离本文教导的防火墙管理操作的情况下改变,在示例情况下,控制节点38-1是第一SGW34-1,或至少从功能上集成在第一SGW34-1内。从而,通信接口50可包括许多通信接口,其中的一些可共享某些物理连接,但可使用不同协议。例如,通信接口50包括RAN接口54、PGW接口56和SGW间接口58,用于与其他控制节点38/SGW34通信。RAN接口54可包括对于用户业务和对于虚拟防火墙管理信令的不同接口或协议栈。还将意识到控制节点38-1和/或SGW34-1包括到它的关联数据中心24的逻辑和/或物理接口。
图3图示在一个或多个实施例中如由第一控制节点38-1执行的虚拟防火墙管理的总体方法。在图2中示出的数据和程序存储器54可存储计算机程序60,其在由处理电路52执行时使处理电路52配置成执行方法300。在这样的实施例中,处理电路52包括一个或多个微处理器、DSP、FPGA、ASIC或基于它们对计算机程序60的执行而配置或另外专门更改的其他数字处理电路。
方法300包括检测牵涉设备12从网络10中的第一RAN节点20-1到网络10中的第二RAN节点20-2的切换的切换事件,其中关联虚拟防火墙26对于设备12维持在第一RAN节点20-1处。该检测步骤可以理解为监测(框302、304)牵涉在第一RAN节点20-1处具有关联虚拟防火墙的设备12的切换事件。在这里,可注意不是第一RAN节点20-1服务的所有设备12都一定具有关联的虚拟防火墙26,或至少不一定使它们的关联虚拟防火墙26维持在第一RAN节点20处。
方法300进一步包括响应于检测步骤-来自框304的YES(是)-发起(框306)关联虚拟防火墙26从第一RAN节点20-1的迁移。如指出的,迁移是关联虚拟防火墙26到第二RAN节点20-2的水平迁移,或关联虚拟防火墙26到CN18内的垂直迁移-例如,到与第一SGW34-1关联的数据中心24。同样如指出的,关于是选择水平还是垂直迁移的确定可基于切换事件中所牵涉的设备12的移动性数据。另外或备选地,可响应于在第二RAN节点20-2处缺乏可用资源这一指示来选择垂直迁移。
转回图2,示例第一RAN节点20-1包括为与网络10中的控制节点38和与第一RAN节点20-1所服务的无线设备12通信而配置的通信接口70,和处理电路72,其操作地与通信接口70关联并且配置成:维持对于无线设备12的关联虚拟防火墙26,并且从控制节点38接收指示要迁移关联虚拟防火墙26的转移发起信令。处理电路72进一步配置成根据转移发起信令来转移关联的虚拟防火墙26。发起的转移是关联虚拟防火墙26到第二RAN节点20-2的水平迁移,或关联虚拟防火墙26到CN18的垂直迁移。
在上文描述的RAN节点20-1的上下文中,“维持”关联的虚拟防火墙26可包括RAN节点20-1主动跟踪包并且更新防火墙状态信息,或可简单地包括RAN节点20-1将指示关联防火墙26应被激活或另外维持和应用的信令发送到它关联的数据中心24。这样的信令可由第一RAN节点20-1本地生成(例如,自发),或可从控制节点38经过这样的信令,或其至少由向第一RAN节点20-1发送信令的控制节点38发起。例如,它可以是第一RAN节点20-1在之前的切换事件中更早接收关联的虚拟防火墙26,或控制节点38另外更早将关联的虚拟防火墙26转移到第一RAN节点20-1以作为对于设备12的呼叫设置连接信令的部分。
通信接口70可包括许多通信接口,其中的一些可共享某些物理连接,但其可使用不同协议。例如,通信接口70包括用于与控制节点38-1通信的控制节点接口74。就控制节点38-1在SGW34-1内集成来看,该接口可至少关于某些物理连接细节而与第一RAN节点20-1中包括但未在图2中明确示出的SGW接口共享。然而,如指出的,在一个或多个实施例中,虚拟防火墙管理信令使用专用协议,其与用于在RAN节点20和它们的相应SGW34之间运送用户业务的信令协议分开。
通信接口70可进一步包括对于移动性相关信令的MME接口76,其包括例如接收对于指定设备12的移动性相关信息。通信接口70还可包括基站间(BS间)接口78,用于与其他RAN节点20通信,例如用于使用户业务遂穿到另一个RAN节点20以及使用户业务从另一个RAN节点20遂穿、使虚拟防火墙26迁移、交换加载和/或资源可用性信息(尤其关于虚拟防火墙迁移)等。再进一步地,通信接口70大体上将包括无线电接口80,用于提供使无线设备12连接到网络10的空中接口。
处理电路72可包括一个或多个微处理器、DSP、FPGA、ASIC和/或其他数字处理电路。在至少一个实施例中,包括处理电路72的数字处理电路配置成基于存储在数据和程序存储器82(其被包含或与处理电路72关联)中的计算机程序指令的执行来进行如本文教导的对于RAN节点20的虚拟防火墙管理。在图示的示例中,处理电路72配置成至少部分基于它对计算机程序84的执行来进行虚拟防火墙管理,该计算机程序84包括计算机程序指令,其在由处理电路72执行时使处理电路72配置成实施图4的方法400或该方法的变化。
方法400包括维持(框402)对于设备12的关联虚拟防火墙26。如这里使用的“维持”可意指第一RAN节点20-1的处理电路72内的处理逻辑进行所有维护-包括对于有状态防火墙实现的状态更新-或可意指RAN节点20关于在关联数据中心24中进行的防火墙相关操作维持感知和/或监管作用。从而,“维持”步骤可意指但并未要求第一RAN节点20-1操作以响应于对于关联设备12活跃的任意业务流使防火墙状态信息保持更新。
方法400进一步包括从网络10中的控制节点38接收(框404)指示要迁移关联虚拟防火墙26的转移发起信令,并且根据该转移发起信令转移(框406)关联的虚拟防火墙26。例如,信令可指示迁移是水平的并且可将第二RAN节点20-2标识为迁移的目标,或目标RAN节点20可已经被第一RAN节点20-1从切换相关移动性信息获悉。
在示例配置中,根据转移发起信令转移关联的虚拟防火墙26包括根据关联虚拟防火墙26的当时存在的状态来转移关联虚拟防火墙26的副本。在相同或在另一个配置中,方法包括对牵涉设备12、在第二RAN节点20-2与CN18之间遂穿通过第一RAN节点20-1的后切换业务应用关联的虚拟防火墙26。即,尽管关联的虚拟防火墙26被迁移,第一RAN节点20-1保留关联虚拟防火墙26的副本并持续应用它,至少直到接收关联虚拟防火墙26对设备12在第二RAN节点20-2处激活这一指示。一般,虚拟防火墙26的迁移或“转移”可以包括向第二RAN节点20-2发送虚拟防火墙26的图像文件并且指示第二RAN节点20-2例示虚拟机来运行虚拟防火墙26的副本。
图5图示目标RAN节点20(例如在前面的示例中是第二RAN节点20-2)处的对应方法500。指定RAN节点20在指定迁移事件中可充当第一RAN节点20-1-即,充当虚拟防火墙26的“转让方”-并且在另一个迁移事件中可充当第二RAN节点20-2-即,充当虚拟防火墙26的“受让方”或接收方。
方法500包括从第一RAN节点20-1或从CN18中的关联控制节点38接收(框502)对于设备12的关联虚拟防火墙26、激活(框504)第二RAN节点20-2处的关联虚拟防火墙用于根据关联的虚拟防火墙26来处理对于设备12的业务以及将激活的指示发送(框506)到第一RAN节点20-1或到关联的控制节点38。在示例情景中,接收关联的虚拟防火墙26连同将设备12从第一RAN节点20-1切换到第二RAN节点20-2。在这里,方法500在一个或多个实施例中包括经由第一RAN节点20-1在设备12与CN18之间交换后切换业务,至少直到执行方法500中的激活和发送步骤。
后切换业务可使用遂穿机制路由或另外***纵通过第一RAN节点20-1。在网络10中的该级别,这样的操纵大体上不是基于IP的路由,而相反是在控制节点38的控制下或SGW34对来自控制节点38的信令作出响应的情况下完成的业务的命令式遂穿或节点间转移。
此外,应注意“激活”第二RAN节点20-2处的关联虚拟防火墙26可包括第二RAN节点20-2与它的关联数据中心24通信-例如,向数据中心24提供关联的虚拟防火墙26或代表它的特点的参数,并且指示数据中心24应使虚拟防火墙26初始化或另外激活虚拟防火墙26以用于处理到/来自关联设备12的业务。沿着同样的思路,第二RAN节点20-2可放弃在它的位点处使用关联的虚拟防火墙26并且持续使业务遂穿通过第一RAN节点20-1以用于防火墙处理直到它从它的关联数据中心24接收它准备使用关联防火墙26的本地副本开始防火墙处理的指示,或直到控制节点38或其他网络实体命令它停止遂穿。
图6图示对于设备12从RAN节点20-1切换到RAN节点20-2并且关联的虚拟防火墙26从第一RAN节点20-1水平迁移到第二RAN节点20-2的情景的示例遂穿情况。图中标记为“1”的业务流的跟踪代表通过网络10的业务流,如在设备12与外部网络14中的实体之间、在切换到RAN节点20-2之前。图中标记为“2”的业务流的跟踪代表在设备12从第一RAN节点20-1切换到第二RAN节点20-3期间的业务流。图中标记为“3”的业务流的跟踪代表通过网络10的业务流,如在设备12与外部网络14中的实体之间、在完成切换并且结束任何遂穿后。更特定地,根据本文的教导,业务从第二RAN节点20-2遂穿通过第一RAN节点20-1可贯彻切换并且直到第二RAN节点20-2指示或另外确定关联的虚拟防火墙26在第二RAN节点20-2处激活。
图7A示出牵涉水平迁移和关联遂穿的相似切换事件。然而,在图7A中,第一和第二RAN节点20-1和20-2在第一和第二SGW34-1和34-2下操作,该第一和第二SGW34-1和34-2进而与相应的控制节点38-1和38-2一起操作。图7B与图7A的不同之处在于迁移是垂直的,而不是水平的。特别地,看到关联的虚拟防火墙26从第一RAN节点20-1迁移到SGW34-2/控制节点38-2,其与第二RAN节点20-2关联。
一般,对于设备12在相同SGW34下操作的两个RAN节点20之间的切换,网络10中的责任控制节点38指示源RAN节点20对于水平迁移使关联的虚拟防火墙26迁移到目标RAN节点20,或对于垂直迁移,使关联的虚拟防火墙26迁移到CN18内,例如到关联的SGW34,或控制节点38,或PGW36或其他CN实体。
在与控制虚拟防火墙26的迁移关联中,控制节点38可配置成生成并且发送控制消息,其包括以下中的任一个或多个:发起迁移的控制消息;识别迁移类型的控制消息;规定迁移目标的迁移消息;在等待在迁移目标处的虚拟防火墙激活的指示时命令、控制或避免后切换遂穿的控制消息;以及输送、修改、激活目标虚拟防火墙26或使其无效的控制消息。
如指出的,控制节点38在一些实施例中配置成基于关联设备12的移动性-例如,基于设备12的速度-决定虚拟防火墙26的指定迁移应是水平还是垂直的。更一般地,控制节点38在一个或多个实施例中基于以下中的任一个或多个而在水平和垂直迁移之间作出抉择:设备12的移动性;在水平迁移中将成为目标的RAN节点处的资源使用(例如,从可用资源或计算成本方面);和在垂直迁移中将成为目标的CN节点处的资源使用(例如,从可用资源或计算成本方面)。此外,除其关于控制信令传送的配置外,控制节点38还可配置成从指定迁移事件中所牵涉的其他节点中的任何节点接收相关信令、握手等。
显而易见,具有在前面的描述和关联图中呈现的教导的权益的本领域技术人员将想到公开的发明的修改和其他实施例。因此,要理解本发明不限于公开的特定实施例并且修改和其他实施例意在包括在该公开的范围内。尽管在本文可采用特定术语,它们仅仅在一般和描述性意义上使用并且不是为了限制目的。
Claims (26)
1.一种在无线通信网络(10)中的第一控制节点(38-1)处执行的虚拟防火墙管理的方法(300),所述无线通信网络(10)包括核心网络CN(18)和关联的无线电接入网络RAN(16),所述方法包括:
检测(302,304)牵涉无线设备(12)从所述网络(10)中的第一RAN节点(20-1)到所述网络(10)中的第二RAN节点(20-2)的切换的切换事件,其中关联的虚拟防火墙(26)对所述无线设备(12)在所述第一RAN节点(20-1)处维持;以及
响应于所述检测,发起(306)所述关联的虚拟防火墙(26)从所述第一RAN节点(20-1)的迁移,所述迁移是所述关联的虚拟防火墙(26)到所述第二RAN节点(20-2)的水平迁移,或是所述关联的虚拟防火墙(26)到所述CN(18)内的垂直迁移。
2.如权利要求1所述的方法(300),其进一步包括基于评估对于所述无线设备(12)的移动性数据和对于所述无线设备(12)的位点数据中的至少一个而在所述关联虚拟防火墙(26)的水平迁移或垂直迁移之间选择。
3.如权利要求2所述的方法(300),其中所述方法(300)包括以下中的至少一个:
如果所述移动性数据指示对于所述无线设备(12)的在定义阈值以上的切换速率或频率,或指示在定义阈值以上的无线设备(12)的速度,则选择所述关联虚拟防火墙(26)的垂直迁移;以及
如果所述位点数据对应于所述网络(10)配置成选择垂直迁移所在的服务区域,则选择所述关联虚拟防火墙(26)的垂直迁移。
4.如权利要求2或3所述的方法(300),其进一步包括:如果选择所述关联虚拟防火墙(26)的垂直迁移,则基于对于所述无线设备(12)的后续移动性数据和对于所述无线设备(12)的后续位点数据中的至少一个,迟些确定是否使所述关联的虚拟防火墙(26)迁回所述RAN(16)。
5.如权利要求1-4中任一项所述的方法(300),其进一步包括基于评估所述第二RAN节点(20-2)处的资源可用性的指示而在所述关联的虚拟防火墙(26)的水平迁移或垂直迁移之间选择。
6.如权利要求1-5中任一项所述的方法(300),其中所述第一控制节点(38-1)是所述CN(18)中的第一服务网关SGW(34-1),并且配置用于使业务传输到至少被所述第一RAN节点(20-1)支持的无线设备(12)和传输来自所述无线设备(12)的业务。
7.如权利要求6所述的方法(300),其中如果所述第一和第二RAN节点(20)都与所述第一SGW(34-1)关联,对所述关联的虚拟防火墙(26)发起水平迁移包括朝所述第一RAN节点(20-1)发送指示所述关联的虚拟防火墙(26)要转移到所述第二RAN节点(20-2)的控制信令。
8.如权利要求7所述的方法(300),其进一步包括直到检测到已对所述无线设备(12)在所述第二RAN节点(20-2)处激活所述关联的虚拟防火墙(26),才使牵涉所述无线设备(12)的后切换业务暂时遂穿通过所述第一RAN节点(20-1),以用于经由如在所述第一RAN节点(20-1)处保留的关联虚拟防火墙(26)的副本来处理所述后切换业务。
9.如权利要求1-6中任一项所述的方法(300),其中如果所述第一RAN节点(20-1)与所述第一SGW(34-1)关联并且所述第二RAN节点(20-2)与作为所述网络(10)中的第二控制节点(38-2)的第二SGW(34-2)关联,发起所述关联虚拟防火墙(26)的水平迁移包括朝所述第一RAN节点(20-1)发送指示所述关联的虚拟防火墙(26)要转移到所述第一SGW(34-1)的控制信令,并且然后将所述关联的虚拟防火墙(26)从所述第一SGW(34-1)转移到所述第二SGW(34-2)。
10.如权利要求9所述的方法(300),其进一步包括直到检测到所述关联的虚拟防火墙(26)已对所述无线设备(12)在所述第二RAN节点(20-2)处激活,才使牵涉所述无线设备(12)的后切换业务暂时遂穿通过所述第一SGW(34-1)和所述第一RAN节点(20-1),用于经由如在所述第一SGW(34-1)或所述第一RAN节点(20-1)处保留的关联虚拟防火墙(26)的副本来处理所述后切换业务。
11.如权利要求1所述的方法(300),基于以下中的一个或多个决定是发起作为水平迁移还是作为垂直迁移的迁移:所述无线设备(12)的移动性;将在所述水平迁移中成为目标的RAN节点处的资源使用;和将在所述垂直方向成为目标的CN节点处的资源使用。
12.一种为在无线通信网络(10)中的虚拟防火墙管理而配置的第一控制节点(38-1),所述无线通信网络(10)包括核心网络CN(18)和关联的无线电接入网络RAN(16),所述第一控制节点包括:
通信接口(50),其为与所述网络(10)中的第一RAN节点(20-1)通信而配置;
处理电路(52),其操作地与所述通信接口(50)关联并且配置成:
检测牵涉无线设备(12)从所述网络(10)中的第一RAN节点(20-1)到所述网络(10)中的第二RAN节点(20-2)的切换的切换事件,其中关联的虚拟防火墙(26)对于所述无线设备(12)在所述第一RAN节点(20-1)处维持;以及
响应于所述检测,发起所述关联的虚拟防火墙(26)从所述第一RAN节点(20-1)的迁移,所述迁移是所述关联的虚拟防火墙(26)到所述第二RAN节点(20-2)的水平迁移,或是所述关联的虚拟防火墙(26)到所述CN(18)内的垂直迁移。
13.如权利要求12所述的第一控制节点(38-1),其中所述处理电路(52)配置成基于评估以下中的至少一个而在所述关联的虚拟防火墙(26)的水平迁移或垂直迁移之间选择:对于所述无线设备(12)的移动性数据和对于所述无线设备(12)的位点数据。
14.如权利要求13所述的第一控制节点(38-1),其中所述处理电路(52)配置成执行下列操作中的至少一个:
如果所述移动性数据指示对于所述无线设备(12)的在定义阈值以上的切换速率或频率或指示在定义阈值以上的无线设备(12)的速度,则选择所述关联虚拟防火墙(26)的垂直迁移;以及
如果所述位点数据对应于所述网络(10)配置成选择垂直迁移所在的服务区域,则选择所述关联虚拟防火墙(26)的垂直迁移。
15.如权利要求13或14所述的第一控制节点(38-1),其中如果选择所述关联虚拟防火墙(26)的垂直迁移,则所述处理电路(52)配置成基于评估以下中的至少一个而迟些确定是否使所述关联虚拟防火墙(26)迁回所述RAN(16):对于所述无线设备(12)的后续移动性数据和对于所述无线设备(12)的后续位点数据。
16.如权利要求12-15中任一项所述的第一控制节点(38-1),其中所述第一控制节点(38-1)是所述CN(18)中的第一服务网关SGW(34-1),并且为将业务转移到至少被所述第一RAN节点(20-1)支持的无线设备(12)和从所述无线设备(12)转移业务而配置。
17.如权利要求16所述的第一控制节点(38-1),其中如果所述第一和第二RAN节点(20)都与所述第一SGW(34-1)关联,所述关联虚拟防火墙(26)的水平迁移由所述处理电路(52)通过朝所述第一RAN节点(20-1)发送指示所述关联虚拟防火墙(26)要转移到所述第二RAN节点(20-2)的控制信令而发起。
18.如权利要求16所述的第一控制节点(38-1),其中所述处理电路(52)配置成使牵涉所述无线设备(12)的后切换业务暂时遂穿通过所述第一SGW(34-1)和所述第一RAN节点(20-1),用于经由如在所述第一SGW(34-1)或所述第一RAN节点(20-1)处保留的所述关联虚拟防火墙(26)的副本来处理所述后切换业务,直到检测到所述关联虚拟防火墙(26)已经对于所述无线设备(12)在所述第二RAN节点(20-2)处激活。
19.如权利要求12-16中任一项所述的第一控制节点(38-1),其中对于水平迁移,如果所述第一RAN节点(20-1)与所述第一SGW(34-1)关联并且所述第二RAN节点(20-2)与作为所述网络(10)中的第二控制节点(38-2)的第二SGW(34-2)关联,所述处理电路(52)配置成通过朝所述第一RAN节点(20-1)发送指示所述关联虚拟防火墙(26)要转移到所述第一SGW(34-1)的控制信令来发起所述水平迁移,并且然后将所述关联虚拟防火墙(26)从所述第一SGW(34-1)转移到所述第二SGW(34-2)。
20.如权利要求19所述的第一控制节点(38-1),其中所述处理电路(52)配置成使牵涉所述无线设备(12)的后切换业务暂时遂穿通过所述第一SGW(34-1)和所述第一RAN节点(20-1),用于经由如在所述第一SGW(34-1)或所述第一RAN节点(20-1)处保留的所述关联虚拟防火墙(26)的副本来处理所述后切换业务,直到检测到所述关联的虚拟防火墙(26)已经对所述无线设备(12)在所述第二RAN节点(20-2)处激活。
21.一种在无线通信网络(10)的RAN(16)中操作的第一无线电接入网络RAN节点(20-1)处执行的虚拟防火墙管理的方法(400),所述无线通信网络(10)进一步包括关联的核心网络CN(18),所述方法包括:
维持对于由所述第一RAN节点(20-1)服务的无线设备(12)的关联虚拟防火墙(26);
从所述网络(10)中的控制节点(38)接收指示所述关联虚拟防火墙(26)要迁移的转移发起信令,所述迁移是水平到所述网络(10)中的第二RAN节点(20-2)或垂直到所述CN(18);以及
根据所述转移发起信令来转移所述关联虚拟防火墙(26)。
22.如权利要求21所述的方法(400),其中根据所述转移发起信令转移所述关联虚拟防火墙(26)包括根据所述关联虚拟防火墙(26)的当时存在状态来转移所述关联虚拟防火墙(26)的副本。
23.如权利要求21或22所述的方法(400),其进一步包括持续将所述关联虚拟防火墙(26)应用于牵涉所述无线设备(12)、在所述第二RAN节点(20-2)与所述CN(18)之间遂穿通过所述第一RAN节点(20-1)的后切换业务,至少直到接收对所述无线设备(12)在所述第二RAN节点(20-2)处激活所述关联虚拟防火墙(26)的指示。
24.一种第一无线电接入网络RAN节点(20-1),其为无线通信网络(10)中的虚拟防火墙管理而配置,所述无线通信网络(10)进一步包括关联的核心网络CN(18),所述第一RAN节点(20-1)包括:
通信接口(70),其为与所述网络(10)中的控制节点(38)和与所述第一RAN节点(20-1)所服务的无线设备(12)通信而配置;
处理电路(72),其操作地与所述通信接口(70)关联并且配置成:
维持对于所述无线设备(12)的关联虚拟防火墙(26);
从所述网络(10)中的控制节点(38)接收指示所述关联虚拟防火墙(26)要迁移的转移发起信令,所述迁移是水平到所述网络(10)中的第二RAN节点(20-2)或垂直到所述CN(18);以及
根据所述转移发起信令来转移所述关联虚拟防火墙(26)。
25.一种在无线通信网络(10)的RAN(16)中操作的第二无线电接入网络RAN节点(20-2)处执行的虚拟防火墙管理的方法(500),所述无线通信网络(10)进一步包括关联的核心网络CN(18),所述方法包括:
从第一RAN节点(20-1)或从所述CN(18)中的关联控制节点(38)接收(502)对于无线设备(12)的关联虚拟防火墙(26);
在所述第二RAN节点(20-2)处激活(504)所述关联虚拟防火墙(26)用于根据所述关联虚拟防火墙(26)来处理对于所述无线设备(12)的业务;以及
将所述激活的指示发送(506)到所述第一RAN节点(20-1)或到所述关联控制节点(38)。
26.如权利要求25所述的方法(500),其中接收所述关联虚拟防火墙(26)连同使所述无线设备(12)从所述第一RAN节点(20-1)切换到所述第二RAN节点(20-2),并且其中所述方法包括经由所述第一RAN节点(20-1)在所述无线设备(12)与所述CN(18)之间交换后切换业务,至少直到执行所述激活和发送步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/974,637 US9882874B2 (en) | 2013-08-23 | 2013-08-23 | Method and apparatus for virtual firewall migration in a wireless communication network |
US13/974637 | 2013-08-23 | ||
PCT/IB2014/064011 WO2015025295A1 (en) | 2013-08-23 | 2014-08-21 | Method and apparatus for virtual firewalling in a wireless communication network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105765935A true CN105765935A (zh) | 2016-07-13 |
CN105765935B CN105765935B (zh) | 2019-09-24 |
Family
ID=51842696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480058378.5A Active CN105765935B (zh) | 2013-08-23 | 2014-08-21 | 在无线通信网络中加虚拟防火墙的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9882874B2 (zh) |
EP (1) | EP3036882B1 (zh) |
CN (1) | CN105765935B (zh) |
WO (1) | WO2015025295A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9635580B2 (en) * | 2013-10-08 | 2017-04-25 | Alef Mobitech Inc. | Systems and methods for providing mobility aspects to applications in the cloud |
US9998954B2 (en) * | 2014-12-19 | 2018-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for relocating packet processing functions |
US11138035B1 (en) | 2018-09-21 | 2021-10-05 | Amazon Technologies, Inc. | Messaging between device groups using a logical group address in an access network |
US11323919B1 (en) * | 2018-09-21 | 2022-05-03 | Amazon Technologies, Inc. | Edge computing for mobile devices that migrate in an access network |
US11252192B1 (en) * | 2018-09-28 | 2022-02-15 | Palo Alto Networks, Inc. | Dynamic security scaling |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1971101A1 (en) * | 2007-03-12 | 2008-09-17 | Siemens Networks GmbH & Co. KG | A method , a device for configuring at least one firewall and a system comprising such device |
US20090249438A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Moving security for virtual machines |
CN101621503A (zh) * | 2008-06-30 | 2010-01-06 | 中华电信股份有限公司 | 应用于虚拟专用网络架构下的身份识别***与方法 |
CN101800959A (zh) * | 2009-02-05 | 2010-08-11 | 宏碁股份有限公司 | 无线网络***及无线网络上的网络连接方法 |
WO2012010209A1 (en) * | 2010-07-22 | 2012-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Node selection in a packet core network |
WO2013010585A1 (en) * | 2011-07-20 | 2013-01-24 | Nokia Siemens Networks Oy | Logical rules based domain name server setup |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204266A1 (en) * | 2006-02-28 | 2007-08-30 | International Business Machines Corporation | Systems and methods for dynamically managing virtual machines |
JP5538544B2 (ja) * | 2009-08-25 | 2014-07-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モビリティアンカーの移転 |
EP2572526A1 (en) * | 2010-05-19 | 2013-03-27 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for managing communications of a physical network entity |
US20120173757A1 (en) * | 2011-01-05 | 2012-07-05 | International Business Machines Corporation | Routing optimization for virtual machine migration between geographically remote data centers |
JP5863771B2 (ja) | 2011-03-28 | 2016-02-17 | 日本電気株式会社 | 仮想マシン管理システム、及び仮想マシン管理方法 |
US8516241B2 (en) | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
WO2013170045A2 (en) * | 2012-05-09 | 2013-11-14 | Interdigital Patent Holdings, Inc. | Flexible network sharing |
-
2013
- 2013-08-23 US US13/974,637 patent/US9882874B2/en active Active
-
2014
- 2014-08-21 WO PCT/IB2014/064011 patent/WO2015025295A1/en active Application Filing
- 2014-08-21 CN CN201480058378.5A patent/CN105765935B/zh active Active
- 2014-08-21 EP EP14790719.0A patent/EP3036882B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1971101A1 (en) * | 2007-03-12 | 2008-09-17 | Siemens Networks GmbH & Co. KG | A method , a device for configuring at least one firewall and a system comprising such device |
US20090249438A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Moving security for virtual machines |
CN101621503A (zh) * | 2008-06-30 | 2010-01-06 | 中华电信股份有限公司 | 应用于虚拟专用网络架构下的身份识别***与方法 |
CN101800959A (zh) * | 2009-02-05 | 2010-08-11 | 宏碁股份有限公司 | 无线网络***及无线网络上的网络连接方法 |
WO2012010209A1 (en) * | 2010-07-22 | 2012-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Node selection in a packet core network |
WO2013010585A1 (en) * | 2011-07-20 | 2013-01-24 | Nokia Siemens Networks Oy | Logical rules based domain name server setup |
Also Published As
Publication number | Publication date |
---|---|
US20150058966A1 (en) | 2015-02-26 |
EP3036882B1 (en) | 2017-06-07 |
CN105765935B (zh) | 2019-09-24 |
EP3036882A1 (en) | 2016-06-29 |
US9882874B2 (en) | 2018-01-30 |
WO2015025295A1 (en) | 2015-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220345420A1 (en) | Scalable edge computing | |
US10805268B2 (en) | Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud | |
EP3759870B1 (en) | Network slicing with smart contracts | |
EP3334100B1 (en) | Method and apparatus for acquiring service chain information in cloud computing system | |
EP4243466A2 (en) | Shared pdu session establishment and binding | |
CN107005431B (zh) | 更改基于服务的数据平面配置的***和方法 | |
WO2021017381A1 (en) | Systems and methods for supporting traffic steering through a service function chain | |
US9652277B2 (en) | Scalable network function virtualization | |
US10075827B1 (en) | System and method for machine to machine subscriber information and retrieval protection | |
CN108886697A (zh) | 使用软件定义联网(sdn)控制器向已切换用户设备(ue)进行服务递送 | |
CN104584484A (zh) | 提供基于策略的数据中心网络自动化的***和方法 | |
CN105765935A (zh) | 在无线通信网络中加虚拟防火墙的方法和装置 | |
CN105791175A (zh) | 软件定义网络中控制传输资源的方法及设备 | |
CN107251486A (zh) | 一种扩展联动的方法、装置及*** | |
CN109155939A (zh) | 一种负载迁移方法、装置及*** | |
US20230020059A1 (en) | Managing physical resources for virtual network functions | |
US20220225321A1 (en) | Dynamic Hierarchical Reserved Resource Allocation | |
WO2014202151A1 (en) | Selection of virtual machines or virtualized network entities | |
KR101975291B1 (ko) | 서비스 레이어에서의 리소스 링크 관리 | |
US20190386895A1 (en) | East-west traffic monitoring solutions for the microservice virtualized data center lan | |
WO2016153997A1 (en) | Methods to support message routing at service layer | |
EP4250802A1 (en) | Optimizing physical cell id assignment in a wireless communication network | |
CN108780391A (zh) | 网络服务组件访问上下文数据的方法、装置及*** | |
US11973688B2 (en) | Control apparatus, network control method and program | |
EP4228180A1 (en) | Apparatus, methods, and computer programs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |