-
Diese
Erfindung bezieht sich auf Kommunikations- (IP-) Netzwerke und insbesondere
auf die Bereitstellung und Zustellung von Diensten unter Einschluss
von Daten- und Sprachdiensten für
Teilnehmer über
derartige Netzwerke.
-
Hintergrund
der Erfindung
-
Breitband-Netzwerke
werden zunehmend in weitem Umfang verwendet, um Kunden Dienste,
wie z. B. Video-, Daten- und Sprachdienste, zu liefern. Typischerweise
werden diese Dienste in Paketen in einer verbindungslosen Weise
unter Verwendung von beispielsweise dem Internet-Protokoll (IP)
transportiert. Die Routenführung
von Paketen innerhalb eines derartigen Netzwerkes wird aus Informationen bestimmt,
die in den Paket-Kopffeldern enthalten sind. Diese Dienste gehen
von Dienste-Anbietern aus, und ein typischer Teilnehmer hat Konten
bei einer Anzahl von diesen Dienste-Anbietern. Ein besonderes Problem
bei einer derartigen Anordnung besteht darin, wie jeder Teilnehmer
mit der Dienstgüte versorgt
werden kann, die er für
jeden speziellen Dienst benötigt
oder fordert. Dies kann äußerst schwierig
sein, weil die Prioritäts-Bits,
die in den Paket-Kopffeldern angeordnet werden und in einem Netzwerk
zur Identifikation der Dienstgüte,
die garantiert wurde, verwendet werden, bedeutungslos werden können, wenn
der Verkehr durch mehrere Knoten hindurchläuft. Es ist zu erkennen, dass
unterschiedliche Dienste unterschiedliche Dienstgüte-Anforderungen
haben, die von den hohen Dienstgüte-Forderungen
für Echtzeitdienste,
wie z. B. Sprache, bis zu den Anforderungen des besten Bemühens für bestimmte
Datendienste reichen. Um derartige Dienste zu tiefem, muss das Netzwerk
in der Lage sein, jede Dienste-Forderung
zu identifizieren und eine ausreichende Bandbreite bereitzustellen, die
diese Forderung erfüllt.
Dies ist bei vorhandenen Netzwerken nicht immer möglich.
-
Ein
weiteres Problem ist die Aufrechterhaltung der Sicherheit des Benutzerverkehrs
gegen mögliche
Mithörer,
um den Inhalt der übertragenen Information
zu schützen.
Dies kann ein kritischer Gesichtspunkt, beispielsweise für Finanzinstitutionen sein.
Derzeit kann dieser Schutz lediglich durch Verschlüsselung
bewirkt werden, doch kann diese sowohl nur kompliziert als auch
nur aufwändig
bereitzustellen sein. Zusätzlich
können
manche Formen der Verschlüsselungen
gesetzlichen Beschränkungen unterworfen
sein, wenn der Verkehr über
nationale Grenzen hinweg übertragen
wird.
-
Es
wird hier auf mein erteiltes US-Patent 6 507 577 sowie das US-Patent
6 522 627 verwiesen, die sich auf Verfahren und Vorrichtungen zur
Etikettvermittlung in verbindungslosen Netzwerken, beispielsweise
IP-Netzwerken beziehen.
-
Die
IETF-Internet-Entwurf draft-green-ss7-arch-frame-01.txt beschreibt
ein Architektur-Rahmenwerk zum Zusammenwirken zwischen der SS7-Signalisierung
und dem Internet. Es werden Rahmenbedingungen für Einwähl-Zugänge und Sprache-über-IP-
(VoIP-) Übergänge beschrieben.
-
Der
IETF-Internet-Entwurf mit der Bezeichnung draft-duffield-vpn-qos-framework-00.txt und IETF RFC
2547 beschreiben beide die Verwendung von MPLS im Zusammenhang mit
virtuellen privaten IP-Netzwerken (VPN's).
-
Zusammenfassung
der Erfindung
-
Es
ist ein Ziel der Erfindung, die vorstehenden Nachteile zu einem
Minimum zu machen oder zu beseitigen.
-
Ein
weiteres Ziel der Erfindung besteht in der Schaffung einer verbesserten
Anordnung und eines verbesserten Verfahrens zur Lieferung von Netzwerk-Diensten an einen
Teilnehmer.
-
Gemäß einem
ersten Gesichtspunkt der Erfindung wird eine Netzwerk-Anordnung
zur Lieferung von IP-Diensten an Teilnehmer geschaffen, wobei die Anordnung
ein Kern-Netzwerk, eine Vielzahl von Medien-Überleiteinrichtungen (Gateways),
die mit dem Netzwerk gekoppelt sind und jeweils eine Schnittstelle
für ein
oder mehrere Teilnehmer-Endgeräte
bereitstellen, und eine Vielzahl von Anruf-Servern (Call-Server) umfasst,
die dem Netzwerk zugeordnet sind und so ausgebildet sind, dass sie
Verbindungen zwischen Paaren von Überleiteinrichtungen herstellen,
dadurch gekennzeichnet, dass die Medien-Überleiteinrichtungen so angeordnet
sind, dass sie eine Etikettvermittlung ausführen, und dass die Vielzahl der
Anruf-Server so ausgebildet ist, dass sie die Verbindungen über das
Kern-Netzwerk über
darin ausgebildete Tunnels lenken, wobei die Tunnels ausschließlich für Verkehr
zwischen den Überleiteinrichtungen
reserviert sind, um eine Sicherheit dieses Verkehrs gegenüber dem
Zugriff durch Dritte zu schaffen und eine garantierte Dienstgüte bereitzustellen,
wobei jeder der Tunnels erste und zweite Tunnel-Abschnitte umfasst, die über einen
Netzwerk-Knoten zwischen diesen gekoppelt sind.
-
Gemäß einem
weiteren Gesichtspunkt der Erfindung wird ein Verfahren zur Lieferung
von IP-Diensten an Teilnehmer geschaffen, wobei das Verfahren Folgendes
umfasst: Bereitstellen einer Vielzahl von Medien-Überleiteinrichtungen,
die mit einem Kern-Netzwerk gekoppelt sind, wobei jede Überleiteinrichtung
eine Schnittstelle für
ein oder mehrere Teilnehmer-Endgeräte bereitstellt, Bereitstellen
einer Vielzahl von Anruf-Servern, die dem Netzwerk zugeordnet sind,
wobei die Anruf-Server Verbindungen zwischen Paaren der Überleiteinrichtungen
herstellen, gekennzeichnet durch: Anordnen der Medien-Überleiteinrichtungen
derart, dass sie eine Etikettvermittlung ausführen; Ausbilden einer Vielzahl
von Tunnels in dem Netzwerk, wobei die Tunnels ausschließlich für Verkehr
zwischen den Überleiteinrichtungen
reserviert sind, und Lenken von Verkehr für eine Verbindung über das
Netzwerk hinweg über
die Tunnels, um eine Sicherheit dieses Verkehrs gegen einen Zugriff
durch Dritte zu schaffen und um eine garantierte Dienstgüte bereitzustellen, wobei
jeder derartige Tunnel in Form von ersten und zweiten Tunnel-Abschnitten
vorgesehen ist, die über einen
Netzwerk-Knoten zwischen diesen gekoppelt sind.
-
Die
etikettvermittelte Medien-Überleiteinrichtung
(LSMG) ist an dem Kunden-Zugangspunkt
eines IP-Netzwerkes angeordnet, um die von dem IP-Netzwerk-Betreiber dem Teilnehmer
angebotenen Dienste zu verbessern. Insbesondere ermöglicht die Überleiteinrichtungs-Konstruktion
dem IP-Netzwerk-Betreiber Folgendes:
- • Den vollen
Bereich von PSTN/ISDN-Diensten sowie IP-abgeleitete Dienste anzubieten.
- • Eine
Dienstgüte
für den
Kunden gelieferte Dienste mit gewissen Garantien zu bieten, wie
sie derzeit auf PSTN/ISDN- oder ATM-Netzwerken geboten werden.
- • Eine
Sicherheit gegen das Abhören
oder ein böswilliges
Eindringen bei das Netzwerk verwendenden Kunden zu bieten, ohne
dass ein Rückgriff
auf aufwändige
und komplizierte Verschlüsselungen
erforderlich ist.
- • Die
Bereitstellung eines Extranet-Dienstes zwischen unterschiedlichen
Benutzern zu ermöglichen,
wobei eine Sicherheit gegen ein Abhören und böswilliges Eindringen von Dritten
aufrechterhalten wird, ohne dass auf eine Verschlüsselung zurückgegriffen
werden muss.
-
In
einer bevorzugten Ausführungsform
wird Verkehr über
das Netzwerk in ausschließlich
hierfür bestimmten
oder dedizierten Tunnels gelenkt, die für die ausschließliche Verwendung
der etikettvermittelten Medien-Überleiteinrichtungen
reserviert sind, so dass die Sicherheit des Benutzer-Verkehrs ohne
die Notwendigkeit einer Verschlüsselung
aufrecht erhalten wird. Die Anruf-Server kennen den derzeitigen Status
des Netzwerkes und die derzeitige Belegung jeder der Tunnel-Bandbreiten-Ressourcen.
Weil der Verkehr in einem Tunnel nur dann angenommen wird, wenn
Bandbreite in diesem Tunnel zur Verfügung steht, kann den Benutzern
eine sichere und sinnvolle Dienstgüte-Garantie gegeben werden.
-
Die
Tunnels können
auf einer permanenten Basis bereitgestellt werden, oder sie können auf
Anforderung ausgebildet werden.
-
Bei
einer bevorzugten Ausführungsform
wird das Lenken oder die Routenführung
von IP-Paketen durch Anhängen
von zwei Etiketten an jedes IP-Paket durchgeführt, wobei das erste Etikett
den zu verwendenden Tunnel identifiziert, und das zweite Etikett
die Ziel-Überleiteinrichtung
für dieses
Paket identifiziert.
-
Kurze Beschreibung
der Zeichnungen
-
Ausführungsformen
der Erfindung werden nunmehr unter Bezugnahme auf die beigefügten Zeichnungen
beschrieben, in denen:
-
1 eine
Steuerumgebung für
ein IP-Netzwerk zeigt, in dem Anruf-Server auf dem IP-Netzwerk installiert
sind, um vermittelte Dienste an Kunden anzubieten;
-
2 eine
Netzwerk-Anordnung gemäß einer
bevorzugten Ausführungsform
der Erfindung zeigt;
-
3 eine
Netzwerk-Anordnung gemäß einer
weiteren bevorzugten Ausführungsform
der Erfindung zeigt, die eine größere Netzwerk-Skalierung
ermöglicht;
-
4 das
Verfahren erläutert,
mit dem IP-Adressen innerhalb der Netzwerke nach den 2 und 3 verwaltet
werden;
-
5 die
Sicherheitsmechanismen erläutert,
die von den LSMG/MPLS-Netzwerken
nach den 2 und 3 bereitgestellt
werden;
-
6 die
funktionelle Architektur einer etikettvermittelten Medien-Überleiteinrichtung (LSMG-Knoten)
zeigt, die in den Netzwerken nach den 2 und 3 verwendet
wird;
-
7 die
Komponenten des Verkehrspfades oder eines Verkehrsmoduls des LSMG-Knotens
nach 6 zeigt;
-
8 die
Software-Komponenten erläutert, die
auf Servern eingesetzt sind, die den LSMG-Verkehrspfad steuern müssen; und
-
9 in
Form eines Beispiels eine Mitteilungs-Folge oder ein Ablaufdiagramm
zum Aufbau einer PSTN-Verbindung unter Verwendung der LSMG/MPLS/Anruf-Server-Architektur
in den Netzwerken nach den 2 und 3 zeigt.
-
Beschreibung
der bevorzugten Ausführungsform
-
Es
wird zunächst
auf die 1 Bezug genommen, die zu Erläuterungs-
und Vergleichszwecken eingeführt
wird und in schematischer Form ein Beispiel einer Steuerumgebung
für ein
IP-Netzwerk 10 zeigt, das Dienste von einem oder mehreren Dienste-Anbietern
an Teilnehmer liefert. Die Anordnung umfasst zwei Hauptkomponenten,
einen Anruf-Server 11 und eine Medien-Überleiteinrichtung oder ein
Gateway 12, wobei die letztere eine Schnittstelle zwischen
dem IP-Netzwerk 10 und
einem (nicht gezeigten) Kunden-Endgerät bildet. Der Anruf-Server kann beispielsweise
in einen H.323-Gatekeeper 13 eingebettet sein, wie dies
gezeigt ist, oder er kann eine unabhängige Einheit sein. Der Anruf-Server 11 soll
einen vollen Satz von PSTN- und ISDN-Diensten sowie IP-Multimedien-Dienste
bereitstellen. Die Medien-Überleiteinrichtung
ist somit der Zugangspunkt zwischen einem Netzwerk eines Kunden
und dem IP-Netzwerk 10 des Betreibers, der die Dienste
an den Kunden anbietet.
-
In
dem Netzwerk nach 1 wird ein Medien-Überleiteinrichtungs-Steuerprotokoll
(MGCP) verwendet, das es dem Anruf-Server 11 ermöglicht,
die Medien-Überleiteinrichtung 12 zu
steuern. Bei seiner derzeitigen Definition umfasst das MGCP zwei
Teile, einen Signalisierungsteil, um einfache Leitungs- oder Fernleitungs-Signalisierungssysteme
zu verwalten, und einen Verbindungs-Steuerteil, der in der Lage ist, Verbindungen
in IP-, ATM-, Frame Relay- oder anderen Netzwerken herzustellen.
-
Es
wird ein Signalisierungssystem zwischen den Anruf-Servern 11 verwendet,
das auf vorhandenen Signalisierungssystemen beruht, wie z. B. ISUP (ISDN-Benutzerteil). In
seiner einfachsten Form muss das Signalisierungssystem zwischen
den Anruf-Servern Folgendes übertragen:
- • Den
Informationsgehalt von vorhandenen ISUP-Mitteilungen.
- • Die
IP-Adressen der zwei Endpunkte.
- • Bandbreite
und Codierungsschemas für
Sprach- und Videodienste.
-
Die
vorstehenden Forderungen können
dadurch erzielt werden, dass beispielsweise H.245-Fähigkeits-Mitteilungen
in ISUP-Mitteilungen als Benutzer-zu-Benutzer-Informationselemente eingebettet werden.
Dies wird für
den Zweck der folgenden Beschreibung angenommen, doch ist es selbstverständlich,
dass das System mit irgendeinem Signalisierungssystem arbeiten wird,
das den gleichen Satz von Anforderungen erfüllt.
-
Das
System ist in der Lage, mit externen Endgeräten zu arbeiten, die Folgendes
umfassen können:
- • Einfache
Leitungen und Fernleitungen, die durch die MGCP-Signalisierung gesteuert
werden, die direkt mit einer Medien-Überleiteinrichtung verbunden
sein können,
oder die entfernt über
ein IP-Zugangs-Netzwerk mit einer Medien-Überleiteinrichtung verbunden
sein können.
- • Fernleitungen,
die direkt oder indirekt mit einer Medien-Überleiteinrichtung verbunden
und über eine
SS7-Signalisierung gesteuert werden, die direkt an den Anruf-Server
signalisiert wird.
- • H.323-Endgeräte, die
mit einer Medien-Überleiteinrichtung über ein
IP-Zugangs-Netzwerk
verbunden sind. Ein vollständig
ausgestatteter Anruf-Server
würde ein
Zusammenwirken und eine Dienste-Transparenz zwischen allen diesen
Endgeräte-Typen
ermöglichen.
-
2 zeigt
ein Beispiel eines Treiber-IP-Netzwerkes gemäß einer bevorzugten Ausführungsform
der Erfindung, das die allgemeine Steuerarchitektur nach 1 verwendet
und verbessert. Die in 2 gezeigten Medien-Überleiteinrichtungen
umfassen die etikettvermittelten Medien-Überleiteinrichtungen 22,
die weiter unten ausführlicher
beschrieben werden. Diese Überleiteinrichtungen 22 sind
mit MPLS-(Multiprotokoll-Etikettvermittlungs-)Randvermittlungen
oder Knoten 23 verbunden, die ihrerseits mit dem Kern-IP-Netzwerk 10 verbunden
sind. Es ist verständlich,
dass jeder Anruf-Server 11 eine Anzahl von etikettvermittelten
Medien-Überleiteinrichtungen 22 mit
Diensten versorgen kann. Das Kern-IP-Netzwerk 10 stellt MPLS-Tunnels 24 mit
garantierten Verkehrsvereinbarungen in einem vollständigen Maschenwerk
zwischen den MPLS-Rand-Knoten 23 bereit, die die etikettvermittelten
Medien-Überleiteinrichtungen 22 unterstützen. MPLS-Tunnels
werden auch als explizit routengeführte etikettvermittelte Pfade
(ERLSP) bezeichnet. Diese MPLS-Tunnels sind für den ausschließlichen
Gebrauch der LSMG's 22 reserviert. Benutzer-Endgeräte 25 können mit
den LSMG's 22 über einen
digitalen Teilnehmerleitungs-Zugangsmultiplexer (DSLAM) 27 gekoppelt
sein. Das Kern-IP-Netzwerk kann mit irgendeiner geeigneten Technologie
aufgebaut sein, das die Ausbildung von MPLS-Tunnels mit Vekehrsverträgen und
Garantien ermöglicht,
dass diese gegen den Zugriff oder das Eindringen von Dritten sicher
sind. ATM und native MPLS-Betriebsarten über Optiken sind bevorzugte Beispiele
von möglichen
IP-Kern-Netzwerk-Technologien, doch ist die Technik selbstverständlich nicht auf
diese speziellen Technologien beschränkt.
-
Eine
weitere etikettvermittelte Medien-Überleiteinrichtung 22a kann
einen Zugang an ein allgemeines vermitteltes Telefon-Netzwerk (GSTN) 29, beispielsweise
ein PSTN (öffentliches
Fernsprechwählnetz)
ergeben, um Sprachdienste an Teilnehmer-Endgeräte 25a, 25b über das
Netzwerk 10 zu liefern. Es ist verständlich, dass ein Endgerät beispielsweise
ein grundlegendes Sprach-Endgerät 25b oder
ein PC-Endgerät 25, 25a umfassen
kann, das einen weiten Bereich von Funktionalität bereitstellt.
-
Es
ist verständlich,
dass jeder Tunnel 24 durch das MPLS/ATM-Kern-Netzwerk nach 2 eine
Anzahl von Zwischen-MPLS-Knoten innerhalb des Kerns durchläuft. Aus
Gründen
der Klarheit wurden diese Zwischen-Knoten in 2 fortgelassen.
-
Wenn
ein Paar von Anruf-Servern 11, 11a, die auf LSMG's 22, 22a an
unterschiedlichen Stellen in dem Netzwerk arbeiten, eine Anrufsignalisierung, IP-Adressen- und Bandbreiten-Information
ausgetauscht hat und zum Aufbau einer Verbindung bereit ist, so
geben sie MGCP- (Medien-Überleiteinrichtungs-Steuerprotokoll-)
Verbindungs-Steuerbefehle an die zwei LSMG's 22, 22a ab. Diese
Verbindungs-Steuerbefehle geben Anweisungen zum Öffnen von IP-Strömen von
den Quellen, um zu den Zielen gelenkt zu werden. Es ist bei MPLS
möglich,
die IP-Pakete von
einer Quelle für
ein Ziel explizit über den
speziellen Tunnel zu lenken, der die Quellen- und Ziel-MPLS-Rand-Knoten
verbindet. Dies wird durch Anbringen von zwei Etiketten (Labels)
an dem IP-Paket erzielt, wobei das erste Etikett den zu verwendenden
Tunnel identifiziert, und das zweite Etikett die Ziel-LSMG auf den
Ziel-MPLS-Rand-Knoten identifiziert. Diese explizite Lenkung oder
Routenführung
kann auf eine Anzahl von Arten erzielt werden:
- • LSMG's können die
LSMG-IP-Adressen kennen und können
Informationen bezüglich
der LSMG-Knoten zu den Tunnel-Etiketten speichern.
- • MGCP-Tunnel-Betriebsarten
können
erweitert werden, um die explizite Routenführung in MPLS-Tunnels sowie
in L2TP- (Schicht-2-Tunnelungsprotokoll-) Tunnels zu steuern.
-
Weil
die Anruf-Server 11, 11a in der Lage sind, Verkehr
zu den Tunnels 4 mit Verkehrsverträgen zu erzwingen, sind die
Server in der Lage, eine explizite Bandbreitenabrechnung durchzuführen, weil
sie Bandbreiteninformation von dem Zwischen-Anruf-Server-Signalisierungssystem
für jeden der
Verkehrsströme
empfangen, die sie verwalten.
-
Wenn
eine Anforderung für
eine neue Anrufsitzung oder für
einen neuen Vekehrsstrom empfangen wird, ist es somit möglich, die
Anforderung zurückzuweisen
oder zu verweigern, wenn die entsprechende Tunnel-Bandbreite derzeit
durch vorhandenen Verkehr erschöpft
ist. Die Tunnel-Bandbreite kann auf der Grundlage traditioneller
Traffic-Engineering-Prinzipien bestimmt und das System entsprechend
einem Dienste-Grad und einer garantierten Dienstgüte dimensioniert
werden. Wenn ein Anruf akzeptiert wird, so wird ihm eine hohe Dienstgüte garantiert.
Wenn diese Dienstgüte
nicht garantiert werden kann, so wird der Anruf zurückgewiesen.
Die Wahrscheinlichkeit, dass ein Anruf zurückgewiesen wird, ist eine Funktion
des Dienstgrades, was ein Konstruktionsparameter ist, der die Verkehrs-Vorhersagen
zu der installierten Bandbreite in dem Tunnel in Beziehung setzt.
-
Telefonsysteme
erfahren gelegentlich Massen-Anruf-Ereignisse, in denen die Rate
der Anrufversuche das Zehnfache von dem erreichen kann, was für die Dimensionierung
der System-Ressourcen verwendet wurde. Es ist unter derartigen Umständen erforderlich,
den Pegel von erfolgreichen Verbindungsaufbau-Vorgängen
in dieser Umgebung aufrecht zu erhalten, weil dies dazu dient, die überschüssigen Anforderungen
abzubauen. Die Erfahrung hat gezeigt, dass wenn die Rate von erfolgreichen
Verbindungsaufbau-Vorgängen
nicht aufrecht erhalten wird, das Netzwerk in einem Zusammenbruch-Zustand über viele
Stunden bleiben kann, während
Benutzer kontinuierlich und wiederholt Anrufversuche machen, die
fehlschlagen. Bei einem LSMG/MPLS-Netzwerk ist der Anruf-Server
in der Lage, Anrufe zurückzuweisen,
ohne dass er irgendwelche Netzwerk-Ressourcen für diese fehlgeschlagenen Anrufe
einsetzen muss. Diese Betriebsart ermöglicht es, dass die Rate von
erfolgreichen Verbindungsaufbau-Vorgängen aufrecht erhalten wird
und ermöglicht
es, dass Massen-Anruf-Ereignisse dadurch kontrolliert werden, dass
der überschüssige Bedarf
abgeleitet wird.
-
3 zeigt
eine alternative Ausführungsform,
die eine Netzwerk-Architektur beinhaltet, innerhalb deren eine explizite
Routenführung
zwischen Rand-Knoten über
zwei Tunnels in Folge, beispielsweise 24a, 24b,
mit einem Zwischen-MPLS-Knoten 31 erzwungen
wird, der die Zweitunnel-Endpunkte miteinander verbindet. Innerhalb
der MPLS gibt es zwei Möglichkeiten
zur Steuerung der expliziten Routenführung:
- • Die Ursprungs-LSMG
kann einen Stapel von drei Etiketten bereitstellen, die jeweils
die zwei Tunnels und die Ziel-LSMG identifizieren. Das erste Etikett
wird beim Eintritt in den ersten Tunnel verbraucht, wird an jedem
(nicht gezeigten) Zwischen-MPLS-Knoten entlang des Tunnels 24 umgesetzt
und am vorletzten (nicht gezeigten) Zwischen-Knoten gelöscht, um
das zweite Tunnel-Etikett an dem Zwischen-Knoten 29 freizulegen.
Dieser Prozess wird dann wiederholt, um das Etikett für die Ziel-LSMG
an dem Ziel-MPLS-Knoten freizulegen.
- • Die
Ursprungs-LSMG kann ein Etikett für jede Ziel-LSMG haben. Der
erste MPLS-Knoten ist so konfiguriert, dass er diesen Verkehr über den
ersten Tunnel lenkt, so dass er ein zweites Etikett für diesen
Tunnel hinzufügt.
Dieses zweite Etikett wird vor dem Erreichen des Zwischen-Knotens entfernt,
der den Schnittpunkt zwischen den zwei Tunnels bildet. Dieser Zwischen-Knoten
ist ebenfalls so konfiguriert, dass er den Verkehr über den zweiten
Tunnel lenkt und ein weiteres Etikett hinzufügt. Durch einen wiederholten
Prozess erreicht das Paket mit dem Ziel-LSMG-Etikett den korrekten
Ziel-MPLS-Knoten und wird zu der LSMG gelenkt.
-
4 zeigt
ein Beispiel eines Schemas für eine
IP-Adressenzuteilung innerhalb der LSMG-Netzwerke nach den 2 und 3.
Die LSMG's 22 haben
interne Endpunkte an das MGCP-Steuerprotokoll, wobei diese Endpunkte
jeweilige IP-Adressen
haben. Kunden, die PPP- (Punkt-zu-Punkt-Protokoll-) Zugangsverbindungsstrecken
verwenden, arbeiten normalerweise mit dynamischen IP-Adressen. Bei Verbindung
mit einer LSMG werden die LSMG-Adressen den PPP-Endgeräten zugeordnet. Wenn eine LSMG 22 mit
einem Standort-Netzwerk 41, typischerweise über einen L2TP-Tunnel 24 verbunden
ist, so ordnet das Standort-Netzwerk
IP-Adressen den Benutzer jeder PPP-Sitzung zu, die auf den L2TP-Tunnel multiplexiert
wird.
-
Wenn
ein Dienst von einem Standort-Netzwerk über ein LSMG-Netzwerk für einen über PPP angeschlossenen
Benutzer bereitgestellt wird, so:
- • ist der
Benutzer für
das Internet über
die IP-Adresse bekannt, die von dem Standort-Netzwerk zugeordnet
wird, so dass irgendwelche Pakete, die an den Benutzer gesandt werden,
an die Firewall des Standort-Netzwerkes gelenkt werden,
- • wird
die zugeordnete Adresse an der LSMG, die den Standort-Zugang bereitstellt,
in eine LSMG IP-Adresse umgesetzt,
- • liefert
die LSMG, die den Zugang für
den über PPP
angeschlossenen Klienten bereitstellt, dem Klienten eine ihrer IP-Adressen,
- • werden
vermittelte IP-Verbindungen unter Verwendung des MGCP hergestellt,
um die IP-Adressen der zwei internen LSMG-Adressen zu verbinden,
die außerdem
Ende-zu-Ende-Verbindungen als Ergebnis der Zugangs-Zuordnungen sind.
-
Kleine/mittlere
Unternehmen 43 können
als Host-Knoten wirken oder LSMG-IP-Adressen verwenden. Host-Knoten, die
beispielsweise mit dem Standort-Netzwerk verbunden sind, verwenden
ihre eigenen IP-Adressen auf Zugangs-Verbindungsstrecken. Die LSMG ergibt
eine IP-Adressenumsetzung.
-
5 zeigt
eine Anzahl von Sicherheitsmaßnahmen,
die in eine LSMG eingebaut sind. Für einen virtuellen privaten
Intranet- (VPI-) Betrieb wird ein Tunnel zwischen dem VPI und der
LSMG aufgebaut. Die Routenführung
an der Schicht 3 verwendet VPI-Adressen für den Zugang
an den Tunnel. Es wird angenommen, dass die VPI-Realisierung auf der Schicht-2-Abtrennung
beruht. Die LSMG stellt eine Extranet-Anwendungs-Proxy-Funktion bereit. Für RTP- (Echtzeitprotokoll-)
Ströme
beruht dies auf der IP/UDP/RTP-Kopffeld-Kompression innerhalb des Sitzungs-Kontextes.
Dies bedingt eine RTP-Multiplexierung oder L2TP zwischen LSMG's. Anruf-Server und
LSMG's kündigen sich
selbst nicht mit ihren IP-Adressen an, so dass Schicht-3-Etikett-vermittelte Router
keine Möglichkeit
zur Gewinnung von Routen für
diese Einheiten haben. Diese Beschränkung kann auf eine Anzahl
von Arten erzielt werden:
- • LSMG's können
in einem vollständigen
Maschenwerk mit anderen LSMG's
in MPLS-Tunnels verbunden werden, die innerhalb der MPLS-Tunnels
verschachtelt sind, die die Rand-MPLS-Vermittlungen miteinander
verbinden. Dies bedeutet, dass LSMG's nur Informationen bezüglich von ERLSP's austauschen müssen, und
nicht die, die sich auf die allgemeine Routenführung bezieht. Wie dies weiter
oben erwähnt
wurde, werden LSMG-Adressen nicht für die Schicht-3-Routenführung angekündigt. MGCP-Mitteilungen
werden als Tunnel-Etiketten für
eine explizite Routenführung
interpretiert. Anruf-Server sind in ähnlicher Weise gesichert.
- • Die
LSMG's können Etiketten
verwenden, die vorher von einem Verwaltungssystem zugeordnet werden
und direkt an alle LSMG's
geliefert werden. Die MPLS-Rand-Knoten können dann eine Richtlinien-Steuerung
verwenden, um sicherzustellen, dass der Etikett-Austausch seine
Domäne nicht
verlässt.
-
MPLS-Knoten,
LSMG's und Anruf-Server verwenden
alle eine IP-sec-Authentifikation
an allen Steuer- und Signalisierungsschnittstellen, um sicherzustellen,
dass unberechtigte oder böswillige
Benutzer nicht in der Lage sind, diese Knoten als Punkt des Eindringens
zu verwenden.
-
Beim
Zusammenwirken einer LSMG mit einem virtuellen privaten Intranet
(VPI) kann ein MPLS-Tunnel zum nächstgelegenen
VPI-Zugangspunkt konfiguriert werden, und ein VPI-Adressenraum wird
den LSMG-Benutzern zugeteilt. Die Routenführung in dem Intranet wird
durch den passenden Tunnel bewirkt, auf den ein Zugriff von seinem VPI-Ende
aus erfolgt. Es wird angenommen, dass das VPI eine Form einer Schicht-2-Trennung
zwischen VPI-Instanzen verwendet, wie z. B. virtuelle Router-Teilnetze,
die durch ATM-VC's
getrennt sind, so dass keine zwei VPI's den gleichen ATM VC gemeinsam nutzen.
-
Die
LSMG führt
eine Anwendungs-Proxy-Firewall-Funktion für die Endbenutzer-Netzwerke aus. Das
heißt,
dass die LSMG prüft,
dass das Benutzer-Verhalten innerhalb des Kontextes der Sitzung,
wie sie aufgebaut ist, gültig
ist. Als Beispiel wäre
es theoretisch möglich,
dass ein Benutzer das Öffnen
eines logischen Sprachkanals aushandelt, stattdessen jedoch böswillig
einen Datenkanal öffnet. Die
Verwendung der IP/UDP/RTP-Kopffeld-Kompression an einer Ende-zu-Ende-PPP-Sitzung würde irgendeinen
derartigen böswilligen
Datenkanal korrumpieren, wodurch effektiv eine derartige unberechtigte
Verwendung verhindert wird.
-
6 zeigt
die logische Architektur der etikettvermittelten Medien-Überleiteinrichtung oder Gateway
(LSMG). Jedem einzelnen Kunden wird über die Überleiteinrichtung seine eigene
private Schicht-3-Routenführungs-Umgebung
bereitgestellt. Die Routenführung
ist zwischen Benutzer-Ports, Netzwerk-Port, Anruf-Server-Ports und
virtuellen privaten Netzwerk-Ports möglich. Jeder Port ist mit einer
Proxy-Server-Funktion versehen, die als ein Relais-Punkt für Benutzerpakete
wirkt. Jede Schicht-3-Umgebung ist vollständig eingekapselt, und die
Kommunikation zwischen Benutzern ist lediglich über externe Ports unter Verwendung
der vorstehend beschriebenen Sicherheitsmechanismen möglich. Die
Proxy-Funktionen führen
eine Umsetzung zwischen internen und externen IP-Adressen aus. Jeder Proxy liefert eine
Funktion bezüglich
des Endpunktes zur Verfügung,
dem er zugeordnet ist, so dass:
- • Ein Kunden-Proxy 61 die
PPP-Sitzung steuert, an der der Endbenutzer beteiligt ist.
- • Ein
Dienste-Proxy 62 verwaltet die Zuordnung eines Endbenutzers
zu einem Server. Beispielsweise würde eine Registrierungs-Zulassungs- und
Status- (RAS-) Mitteilung von H.323, die einen Gatekeeper anfordert,
empfangen und an eine Anzahl von verfügbaren Gatekeepern weitergeleitet.
Der Dienste-Proxy ist für
eine Auswahl aus den antwortenden Stellen verantwortlich und liefert
eine Durchschalteverbindung zu dem Endbenutzer.
- • Ein
Netzwerk-Proxy 63 versorgt den Endpunkt mit RTP-Multiplexierungsoder
L2TP-Tunnelungs-Funktionen.
- • Ein
Routenführungs-Proxy 64 ergibt
Netzwerk-Adressen-Umsetzungen und andere Funktionen, die mit dem
Zugang an ein öffentliches
oder privates oder virtuelles privates IP-Netzwerk verbunden sind.
-
Eine
physikalische LSMG-Realisierung umfasst zwei Teile, ein Verkehrsmodul
(7) und einen Server (8) wobei
der letztere Dienste für eine
Gruppe von Verkehrsmodulen bereitstellt. Es ist zu erkennen, dass
ein gemeinsam genutzter Server an der gleichen Stelle wie eine Gruppe
von LSMG's angeordnet
sein kann oder dass er über
das Netzwerk verteilt sein kann.
-
Die
Realisierung der Proxy-Funktionen ist in zwei Teile aufgeteilt.
Die eingekapselte Schicht-3 wird durch ein System von IP-Durchschaltefunktionen
verwirklicht, die explizit Quellen- und Ziel-IP-Adressen und Port-Nummern
aufzeichnen. Wenn ein Paket für
eine aufgebaute Durchschaltung empfangen wird, wird dieses Paket
direkt von dem Verkehrsmodul HW mit Leitungsgeschwindigkeit weitergeleitet.
Pakete ohne eine Durchschaltung werden an den LSMG SW für eine Analyse
weitergeleitet, um die zugehörige
Proxy-Funktion zu identifizieren. Dies endet dann an einer Durchschaltung,
um die Weiterleitung der Sitzungs-Medienkomponenten zu ermöglichen.
-
Proxies
setzen IP-Adressen zwischen dem externen Netzwerk und der eingekapselten
Schicht-3 um. EL3-Adressen sind Teil des LSMG-Adressenraumes, der
dynamisch für
Sitzungsdienste zugeteilt wird.
-
7 zeigt
ein Beispiel einer Realisierung eines Verkehrsmoduls der LSMG nach 6 unter der
Annahme eines Betriebs in einer IP-über-ATM-Umgebung. Der Verkehrspfad
für aufgebaute
IP-Verbindungen und aufgebaute PPP-Sitzungen wird von dem Verkehrsmodul
unabhängig von
dem zentralisierten LSMG-Server abgewickelt. Das Verkehrsmodul umfasst
drei Teilmodule, nämlich einen
Prozessor 71 für
eingebettete Software, ein ATM-Modul 72 für externe
Verbindungsfähigkeiten und
ein LSMG-spezifisches Modul 73, das eine Hardware-Unterstützung ergibt,
um es dem Verkehrsmodul zu ermöglichen,
mit der Leitungsgeschwindigkeit zu arbeiten. Ein Verkehrsmodul arbeitet
auf einer IP-Durchschalte-Basis.
Wenn Kunden-Server-Beziehungen aufgebaut wurden, so werden diese
durchgeschaltet. Dies wird dadurch erzielt, dass Quellen- und Ziel-IP-Adressen und Port-Nummern
in einem Assoziativ-Speicher (CAM) gespeichert werden. Wenn ein
IP-Paket ankommt, so wird der Assoziativ-Speicher mit dessen Quellen-
und Ziel-IP-Adressen adressiert. Wenn diese Adressen in dem Speicher
vorhanden sind, so ist das Verkehrsmodul in der Lage, die entsprechende
IP-Adressen-Umsetzung, die
IP/PPP/L2TP-Formatierung und die MPLS-Etikettvermittlung zu extrahieren,
so dass die Paket-Weiterleitung vollständig innerhalb der Hardware des
Verkehrsmoduls enthalten ist. Die LSMG-Hardware ist somit ein mit äußerst vielen
Merkmalen versehener IP-Paketprozessor, der in der Lage ist, IP-Adressen-Umsetzungen,
die IP/PPP/L2TP-über-ATM-Formatierung
und MPLS-Etiketten
zu verarbeiten und außerdem
den Assoziativ-Speicher zur Aufzeichnung von IP-Durchschalte-Adressenpaaren
bereitzustellen.
-
Der
Verkehrspfad für
aufgebaute IP-Verbindungen und aufgebaute PPP-Sitzungen wird von dem
Verkehrsmodul unabhängig
von einem zentralisierten INAS-Server abgewickelt.
-
8 zeigt
die entsprechende logische Architektur des LSMG-Servers. Diese umfasst
Folgendes:
- • Software 801 zum
Konfigurieren von PPP-Sitzungen und L2TP-Tunnels.
- • Software 802 zur
Weiterführung
von Sitzungen bis zu dem Punkt, an dem ein Durchschalten in den
Verkehrsmodulen ausgebildet werden kann.
- • Software 803 zum
Steuern interner Einrichtungen des Verkehrsmoduls, wie z. B.:
• einer Tunnel-Vermittlung
zwischen L2TP-Tunnels, um Ende-zu-Ende-PPP-Sitzungen zu ermöglichen, die durch RADIUS-
oder Diameter-Server
gesteuert werden.
• einer
RTP-Multiplexierung, die zur effizienten Kommunikation zwischen
Medien-Überleiteinrichtungen
verwendet werden kann.
• einer
Etikett-Verwaltung zur Durchsetzung expliziter Routenführungsmechanismen.
- • Eine
OS- (Betriebssystem-) und Kommunikationsplattform 804.
-
Es
sei in Form eines Beispiels die Betriebsweise des Systems für H.323-Klienten-Endgeräte betrachtet:
- • Wenn
eine PPP-Sitzung zwischen dem Benutzer-Endgerät und der LSMG geschaffen wird,
so wird eine Verbindung mit einer LSM IP-Adresse entweder durch
Ausbreiten dieser Adresse als eine dynamische Adresse an das Endgerät oder durch
Bereitstellen einer Umsetzung zwischen der gelieferten Adresse und
einer beliebigen internen LSMG-Adresse hergestellt.
- • Wenn
die H.323-Klienten-Anwendung gestartet wird, sendet sie eine Rundsende-Registrierungs-Zulassungs-
und Status- (RAS-) Mitteilung, die nach einem Gatekeeper sucht.
Das LSMG-Verkehrsmodul hat keine Durchschaltung für dieses
Paket, so dass es das Paket zu seinem Server weiterleitet. Der Server
erkennt, dass dies eine RAS-Mitteilung ist, so dass er die Mitteilung als
eine Punkt-zu-Mehrpunkt-Sendung an die Gatekeeper-Server wiederholt.
Ein oder mehrere Gatekeeper antworten auf die Rundsende-Mitteilung
mit einer IP-Adressen-Port-Identität an den LSMG-Server. Der LSMG-Server
wählt eines
der Angebote der Gatekeeper aus und baut eine Durchschaltung in
dem LSMG-Verkehrsmodul auf.
- • Das
Kunden-Endgerät
sendet eine RAS-Mitteilung an ihren Gatekeeper und fordert die Erlaubnis
zur Durchführung
eines Anrufs an. Die Genehmigung wird unter Einschluss eines IP-Adressen-Ports
für die
Anruf-Signalisierung
zurückgeliefert.
Das Kunden-Endgerät
sendet dann eine Anruf-Signalisierungs-Mitteilung an ihren Gatekeeper,
doch kann die IP-Adresse
für die
Anruf-Signalsierung von der verschieden sein, die für die RAS-Mitteilungen
verwendet wurde. Wenn dies der Fall ist, so wird die Anruf-Signalisierungs-Mitteilung
abgefangen und an den LSMG-Server gesandt. Der LSMG-Server erkennt,
dass dies eine H.323-Anruf-Signalisierung
ist, um auf diese Weise das Durchschalten und die Weiterleitung
der Mitteilung zu ermöglichen.
- • Unter
der Annahme, dass die H.245-Mitteilungen in den Anruf-Signalisierungs-Mitteilungen
für einen
schnellen Verbindungsaufbau eingebettet sind, so empfängt der
Gatekeeper/Anruf-Server genügend
Information, um zu bestimmen, dass eine Durchgangsverbindung erforderlich
ist. Die Verbindung zwischen den zwei Endgeräten wird dann durch Folgendes
aufgebaut:
- • Aufbau
einer Durchschaltung in den LSMG-Verkehrsmodulen an jedem Ende.
- • Liefern
der IP/PPP/L2TP-Formatierungsinformation.
- • Bereitstellen
von MPLS-Etiketten für
die Routenführung
von Paketen Ende-zu-Ende.
-
Dies
wird durch eine Kombination von MGCP-Steuerbefehlen (erzeuge Verbindung,
modifiziere Verbindung) und Richtlinien-Information erreicht, die der
LSMG von ihrem Verwaltungssystem geliefert werden, um es ihr zu
ermöglichen,
die MGCP-Befehle korreld zu interpretieren. Das Einschalten der Sprache-
oder anderer Medienströme
ist unabhängig von
diesem Operationen und wird beispielsweise durch offene logische
H.245-Verbindungsbefehle erzielt, die von dem Gatekeeper an das
Kunden-Endgerät
gesandt werden. Die LSMG-Operationen
garantieren, dass die Sprachpakete Ende-zu-Ende mit vollen Dienstgüte- (QoS-)
Garantien fließen.
-
9 zeigt
die Betriebsweise des Systems für
einen einfachen PSTN-Anruf, beispielsweise um Sprache-über-IP-Dienste
bereitzustellen. Normale Telefon- apparate 81 sind über jeweilige
Multiplexer 82a, 82b und ein IP-Zugangssystem
mit einer LSMG 83a, 83b an jedem Ende des Betreiber-IP-Netzwerkes
verbunden. Die schematische Darstellung nach 9 zeigt
eine Mitteilungsfolge zur Herstellung eines erfolgreichen Verbindungsaufbaus
zwischen den zwei Endgeräten
(es sei bemerkt, dass obwohl die MGCP-Mitteilungen alle bestätigt werden,
diese Bestätigungen
aus Gründen
der Klarheit in 9 nicht gezeigt sind):
- 1. Wenn die Anruferleitung in den Aushängezustand
geht, sendet das zugehörige
Telefon-Multiplexersystem 82a eine MGCP-Benachrichtigung (MTFY)
mit Endpunkt- und Aushänge-Parametern.
Der Telefonie-Multiplexer 82a liefert dann autonom einen
Wählton
an den anrufenden Teilnehmer und beendet diesen Wählton bei
Empfang der ersten Wählziffer,
die von dem anrufenden Teilnehmer empfangen wird.
- 2. Der Anruf-Server 11a antwortet mit einer MGCP-Benachrichtigungs-Anforderungs-Mitteilung (RQNT)
mit einer Ziffern-Umsetzung zum Definieren des Verfahrens zum Sammeln
der gewählten Ziffern.
- 3. Der Telefon-Multiplexer 82a sendet die gewählte Nummer,
NTFY (gewählte
Nr.). An diesem Punkt öffnet
der Telefonie-Multiplexer Sende- und Empfangs-Ports für Sprachverkehr.
- 4. Der Anruf-Server 11a identifiziert den am fernen
Ende angeordneten Anruf-Server 11b aus
der gewählten
Nummer und sendet eine Anfangs-Adressen-Mitteilung (IAM). Diese Mitteilung enthält beispielsweise
eine H.245-Mitteilung, die eine G711-Codierung mit 64 kb/s und die
Quellen-LSMG-IP-Adresse definiert.
- 5. Der Anruf-Server 11b am fernen Ende sendet eine
RQNT (Benachrichtigungs-Anforderungs-Mitteilung)
mit Endpunkt- und Anrufton-Parametern.
- 6. Der Anruf-Server 11b am fernen Ende liefert eine
Adresse-Vollständig-Mitteilung
an den Anruf-Server 11a am nahen Ende mit einer G711-Codierung,
64 kb/s und der Ziel-LSMG-IP-Adresse zurück.
- 7. Der Anruf-Server 11b am fernen Ende sendet eine
MGCP-Verbindungserzeugungs-Befehl (CRCX) an den Telefon-Multiplexer 82b am
fernen Ende, wodurch Sende- und Empfangspfade geöffnet werden und die Rücklieferung
des Ruftons angefordert wird.
- 8. Der Anruf-Server 11b am fernen Ende sendet einen
CRCX-Befehl an seine LSMG, wodurch Sende- und Empfangspfade geöffnet werden.
- 9. Der Anruf-Server 11a am nahen Ende sendet eine CRCX-Mitteilung
an seine LSMG 82a, wodurch lediglich ein Empfangspfad geöffnet wird. Der
Anruf-Urheber kann
nunmehr den Rufton hören.
- 10. Zu irgendeinem Zeitpunkt wird der Hörer am angerufenen Telefon 81b abgehoben,
und eine NTFY-Mitteilung wird an den Anruf-Server 11b am fernen
Ende gesandt.
- 11. Der Anruf-Server 11b am fernen Ende liefert eine
Antwort-Mitteilung (ANM) an den Anruf-Server 11a am nahen
Ende zurück.
- 12. Der Anruf-Server 11a am nahen Ende sendet einen
MGCP-Verbindungsmodifikations-Befehl an seine LSMG 22a,
um diese in die Sende/Empfangs-Betriebsart
zu setzen. Der Anruf befindet sich nunmehr in der Unterhaltungsphase.
-
Wenn
der Anruf beendet wurde, kann eine Auslöse-Mitteilung von jedem Ende
aus gesandt werden. Diese Auslöse-Mitteilung
wird als eine MGCP-Benachrichtigungs-Mitteilung an den entsprechenden Anruf-Server 11a (11b)
weitergeleitet, wobei dieser Anruf-Server dann eine ISUP-Auslöse-Mitteilung
an den Anruf-Server 11b (11a) an dem fernen Ende
sendet. Die Verbindungen werden unter Verwendung von MGCP-Auslöse-Verbindungsbefehlen ausgelöst, und
der Anruf wird in der normalen Weise mit der Ausnahme beendet, dass
MGCP-Mitteilungen zur Kommunikation mit der LSMG verwendet werden,
anstelle von proprietären
Mitteilungen an die eingebetteten Peripheriegeräte des Systems.
-
Es
ist verständlich,
dass obwohl in der vorstehenden Beschreibung in Form eines Beispiels speziell
auf die Verwendung der H.323- und H.245-Protokolle Bezug genommen
wurde, die hier beschriebenen Techniken in keiner Weise auf die Verwendung
mit diesen speziellen Protokollen beschränkt sind, sondern eine allgemeinere
Anwendung aufweisen.