专利名称:用于提供分组数据业务的方法和系统的制作方法
技术领域:
本发明涉及数据通信,更具体地,涉及在数据网中用于处理数据分组的系统和方法。
背景技术:
用于访问因特网、万维网(World Wide Web)和/或其它类型的分组数据网(例如,商业网或私有网)的技术的使用在快速地不断增长。诸如无线电话、无线个人数字助理(PDA)和具有无线网能力的笔记本电脑那样的无线移动设备的出现给这样的设备的用户提供了从任何处于实现接入的无线电覆盖范围内的位置接入数据网的能力。这样的接入可以通过使用诸如移动因特网协议(移动IP)那样的协议被提供。移动IP功能可以根据码分多址(CDMA)2000标准被实施,该CDMA2000标准在电信工业协会(“TIA”)标准IS95A和IS95B中更详细地描述,在此以引用的方式将这两个标准整体包含进来。CDMA也在国际电信联盟(“ITU”)IMT-2000系列标准中描述,这个系列标准整体地在此引用以供参考。CDMA还在TIA IS-2000系列标准中描述,在此以引用的方式将这系列标准整体包含进来。IS-2000系列标准通常被称为CDMA2000。
这样的用于接入数据网的技术的使用的快速增长推动了网络系统的发展,给这样的数据业务提供不断增长的带宽。另外,与实施和维护这样的网络(例如,移动IP网络)有关的升高的基础结构和运行成本推动了可被用在多个应用中和/或同时提供多种功能的网络设备和系统/平台的开发。例如,同一网络平台可以在移动IP网络中提供分组数据服务节点(PDSN)功能和/或家乡代理(HA)功能。PDSN和HA服务在CDMA2000标准中详细地描述,所以这里不再详细描述。
用于提供网络数据业务的一个这样的平台是所谓的基于中间板的平台。在基于中间板的方法中,多个网络接口卡(NIC)(也可以称为线路卡)与中间板相耦合。每个NIC然后经由中间板与一个或多个网络接入卡(NAC)(也称为应用卡)相耦合。在这样的系统中,NIC提供到数据网的连通性,NAC对被传送到系统的数据分组执行网络服务(例如,PDSN或HA服务)。
这样的中间板系统典型地还包括用于系统管理的低速信令总线。这个总线可被称为系统管理总线或系统控制总线,这些术语在本公开内容中被互换使用。在这样的方法中,单个平台上的各个网络设备(例如,NIC和NAC的相应组合)基本上互相独立地运行,在它们之间很少有或没有交互。在这样的实施方案中,每个NIC和NAC组合实际上作为一个单独的设备来工作。因此,这样的方法典型地对于每个NIC和NAC组合使用一个网络地址和一根网线。并行工作的、基本上独立的NIC和NAC组合的使用是增加进出网络平台的总可用数据带宽的一种方式。
然而,中间板方法具有某些缺点。例如,因为平台上每个NIC和NAC组合基本上独立地工作,所以每个NIC和NAC组合被分配给单独的地址(本例中的IP地址)并且被连接到单独的网线。因此,在这样的系统中,有大量故障点,它们会降低系统的可靠性。而且,如果在中间板系统中的一个设备(例如,NIC或NAC)发生故障,则被发送到与有故障设备有关的IP地址的所有数据业务量都有可能丢失。这样的方法也没有充分利用现在在单个网络连接中可用的数据带宽的增加。
此外,因为在中间板系统中的每个NIC和NAC组合在单独的IP地址上工作,所以对于每个组合必须预先确定网络数据业务的类型。例如,如果特定的IP地址被指定用来提供PDSN服务,则通过该IP地址工作的NIC和NAC组合必须提供PDSN服务,否则网络将不能正常工作。因此,不从服务中去除网络平台并重新配置每个NIC和NAC组合所提供的服务的类型,NIC和NAC组合一般就不能被用来提供其它功能(例如,HA功能)。因此,还没有容易地实现在这样的中间板系统中的硬件冗余性。
发明内容
公开了在数据网中用于处理数据分组的方法和系统。示例性的方法包括以分布式方式处理数据分组。
示例性的方法包括在被包括在网络平台/系统中的分组交换设备或分组交换卡上接收数据分组。分组交换卡可以直接接收数据分组(例如,经由被包括在分组交换设备中的网络接口)。替换地,被包括在网络平台中的第一分组处理卡(用作线路卡)可以接收数据分组。在这种情形下,第一分组处理设备然后把数据分组传送到分组交换设备,分组处理设备(或卡)也可以称为无线应用卡,这些术语在本公开内容中可以互换地使用。这样的分组处理设备可以通过使用硬件、软件和/或固件的组合或使用任何其它适当的方法被实施。在用于提供PDSN和/或HA服务的示例性网络平台中,包括多个分组处理卡,并经由高速背板与分组交换卡相耦合。
在接收数据分组后,分组交换卡确定在网络平台中用于处理数据分组的第二分组处理设备(假设数据分组由第一分组处理设备接收)。这个确定是根据所接收的分组的类型作出的。例如,如果接收的分组是加密的分组,则分组交换机可以对加密的数据分组的头部的预定数目的数据位执行哈希函数,并根据哈希函数的结果确定第二分组处理设备(例如,通过参考查找表)。替换地,对于加密分组,该确定可以根据在加密的数据分组头部中的预定字段中的数据位而作出。
如果分组是明码数据分组(未加密),则分组交换机检查分组的头部,以确定哪个分组处理卡负责处理分组。这可以通过被包括在分组的头部中的通信会话标识符(例如,原先发送分组的设备的IP地址)被确定。
所述方法然后包括把数据分组从分组交换卡传送到第二分组处理设备,并通过第二分组处理设备处理数据分组。对于加密的分组,处理包括解密分组,而对于明码数据分组,处理包括对分组执行网络服务(例如,PDSN或HA服务)。第二分组处理设备然后把处理后的分组传回分组交换卡。将会认识到,也可以提供其它类型的网络服务。例如,网络服务例如可包括虚拟私有联网(VPN)服务。
在分组交换卡接收处理后的数据分组后,可以以与上述类似的方式完成分组的进一步的处理。例如,如果分组原先被加密(并且明码数据分组被返还给分组交换机),则分组交换机可以确定用于对明码数据分组执行网络服务的第三分组处理设备。替换地,分组交换机可以确定用于加密处理后的分组(例如,已对其执行网络服务的分组)的分组处理设备。分组交换机然后把数据分组传送到适当的分组处理设备,供进一步处理。
一旦在网络平台上完成分组的所有处理,分组就以它的最后形式(例如,加密的或未加密的)被传送到分组交换机。分组交换机然后把分组经由它的网络接口或经由分组处理卡之一(例如初始地接收分组的分组处理卡)传送到它的下一个目的地(如在分组的头部中指示的)。
将会理解,任意数目的方法可用于在网络平台内传送数据分组。例如,可以使用多协议标签交换(MPLS)协议在分组交换卡与分组处理卡之间传送数据分组。MPLS协议在因特网工程任务组(IETF)的征求意见稿(RFC)3031中更详细地描述,该内容整体地在此引用进来。当然,也存在许多用于在网络平台内传送分组的其它技术。例如,可以使用用户数据报协议(UDP)头部。作为另一个替换例,可以使用诸如通用路由封装(GRE)或IP-in-IP那样的打包技术。这样的技术是已知的,这里不作详细讨论。
用于实施上述的示例性方法(和用于处理数据分组和提供网络服务的其它方法)的网络平台/系统包括多个分组处理卡。多个分组处理卡的至少一个分组处理卡包括用于处理(解密)加密的分组的解密器。这样的解密器可以用硬件设备、软件和/或固件实施。替换地,解密器可以通过使用任何其它适当的技术被实施。
网络平台还包括分组交换卡。分组交换卡工作时经由高速背板与多个分组处理卡相耦合。分组交换卡和分组处理卡例如根据MPLS协议经由高速背板在它们之间传送数据分组。分组交换卡和分组处理卡全都包括可编程控制器。这些控制器包括指令,这些指令在被执行时共同提供实施上述的方法(或任何其它适当的、用于提供网络服务的方法)。
通过在适当时结合附图阅读以下的详细说明,本领域技术人员将明白这些和其它方面。而且,应当理解,在本文中提到的实施例仅仅是例子,而不打算限制所要求保护的本发明的范围。
这里通过参考附图描述本发明的示例性实施例,其中图1是可以利用如图2-6所示的系统和方法的通信网络的图;图2A和2B是显示用于在移动IP网中提供分组数据服务节点和/或家乡代理服务的基于背板的网络平台的两个图;图3是图2A和2B所示的平台的分组处理卡(例如,无线应用卡)的框图;图4是图2A和2B所示的平台的分组交换卡的框图;图5A-5D是在图2A和2B的平台的不同处理阶段的数据分组;以及图6是显示可以由图2A和2B的平台实施的、用于提供网络数据服务的方法的流程图。
具体实施例方式
用于提供网络数据业务的网络平台和方法的实施例通常结合无线通信系统和分组数据网来讨论。然而,将会看到,本发明不限于这一方面,本发明的实施例可以被实施在任意数目类型的通信系统中,诸如有线局域网和有线广域网以及任何其它类型的适当的数据和/或通信网。在大多数电信和数据应用中,还将会看到,这里描述的各种实施例的许多单元是可被实施为硬件、固件和/或软件或者使用任何其它适当的技术来实施的功能实体。另外,在本公开内容中描述的许多单元可以被实施为分立元件或者与其它元件相结合地,以任何适当的组合方式以及在任何适当的位置来实施。
公开内容的组织本公开内容被组织为如下。首先,参照图1描述其中可以利用用于提供各种网络服务的基于背板的网络平台的数据网。图1的网络包括按照CDMA2000标准实施移动IP协议的无线数据网。第二,参照图2-4描述基于背板的网络平台。网络平台可被用于图1的系统,例如在数据网中提供分组数据服务节点和/或家乡代理服务。第三,参照图5A-5C描述各种数据分组结构。图5A-5D所示的分组数据结构代表在图2A和2B所示的系统的不同处理阶段的单个数据分组。第四,参照图6描述诸如在图2A和2B的网络平台上处理数据分组的示例性方法。
数据通信网图1显示被用于分组数据通信的数据通信网100。在网络100中,移动台110是无线设备,诸如无线电话、无线个人数字助理(PDA)、具有无线能力的计算机、或可以结合用于数据通信的无线通信网一起使用的任何其它适当的设备。
移动台110通过空中接口115与无线电网络通信。无线电网络包括收发信基站(BTS)120,它使用射频信号通过空中接口115直接与客户站110通信。移动台110可以使用各种不同的协议与BTS 120通信。例如,这样的通信可以使用CDMA2000标准完成。也可以使用其它无线协议。例如,移动台110和BTS 120可以使用宽带CDMA(WCDMA)、时分同步CDMA(TD-CDMA)、高级移动电话服务(AMPS)、数字AMPS(D-AMPS)、通用移动电信系统(UMTS)、全球移动通信系统(GSM)、IS-136、时分多址(TDMA)、IEEE 802.11、蓝牙(例如,802.15.1)、MMDS、DECT、集成数字增强网络(IDEN)、通用分组无线电业务(GPRS)或其它协议进行通信。
BTS 120与基站控制器(BSC)125相耦合。BSC 125又与无线接入网/分组控制功能设备130相耦合,该设备130又与分组数据服务节点(PDSN)135相耦合。PDSN 135然后连接到分组数据网140,诸如公共因特网。这些组件和它们的操作都在CDMA标准中更详细地描述,为简要起见这里不作详细描述。
使用这种连通性,移动台110于是能够与分组数据网140上的设备以及和分组网络140耦合的设备进行通信,所述设备例如是家乡代理145、Web服务器155和私有网150。例如,Web服务器155为移动台110提供到万维网的接入。
图1的数据网还包括与分组网140相耦合的远程认证拨号用户服务(RADIUS)服务器147。正如已知的,RADIUS服务器147(例如,与PDSN 135或HA 145合作)对用户进行认证,授权接入到私有网和收集用于记帐和收费(诸如用户接入时间和费用)的信息。在TIAIS-835-C标准中更详细地描述了RADIUS服务器和它们在实施移动IP和CDMA标准的数据网中的作用。
在数据网100中的数据通信可以使用保密或非保密通信会话完成。当数据通信使用保密通信会话完成时,数据分组以加密格式发送。例如,作为保密通信会话的一部分被发送的数据分组可以根据因特网保密(IPSEC)协议被加密。IPSEC协议在IETF的征求意见稿(RFC)2401、2402和2406中更详细地描述,这些内容在此以引用的方式被全部包含进来。当然,也可以使用其它加密协议。这样的协议包括数据加密标准(DES)和Triple DES(3DES)。然而,对于本公开内容,保密通信会话将结合IPSEC协议来描述。
加密数据分组和明码(clear)数据分组在网络100中都是根据IP标准、以太网标准(IEEE 802.3)、移动IP标准和/或用于数据分组通信的任何其它适当的标准来传送。网络服务由网络100的各种平台提供,例如PDSN 135、HA 145和Web服务器155。然而,对于本公开内容,用于提供网络服务的网络平台和方法将总地结合PDSN 135和HA 145进行讨论。当然,诸如VPN服务那样的其它类型的网络服务可以以与这里公开的实施例相同的方式被提供。
基于背板的网络平台图2-4显示被用来在诸如图1所示的网络100那样的遵从移动IP的数据通信网中提供PDSN和/或HA服务的基于背板的网络平台200。平台200可被用来实施图1的PDSN 135和/或图1的HA 145。由于基于背板的设计,平台200能够同时提供PDSN和HA服务。在这样的应用中,使用第一IP地址来提供PDSN服务,使用第二IP地址来提供HA服务。
1.综述基于背板的网络平台可以克服现有的网络平台的至少某些缺点,诸如中间板的设计。例如,虽然基于中间板的设计包括在平台上的各个NIC与NAC组合之间的相对低速的背板,但该低速背板仅被用于系统配置和/或管理。在这样的系统中,不从平台上的一个网络设备向另一个设备传送分组数据。因此,每个网络设备(例如,网络接口卡或网络接入卡)以唯一的IP地址和分开的网线工作,这正如以上讨论的,是不希望的。
相反,基于背板的系统/平台典型地包括高速背板,用于把分组数据从一个分组处理卡传送到同一个平台上的另一个分组处理卡。一个这样的网络设备是从UTStarcom,Inc.,1275 Harbor Parkway,Alameda,California 94502可得到的Total Control 2000(TC2K)。基于背板的设计允许在TC2K系统中所有的分组数据业务量聚集到单个IP地址上。
具体地,TC2K基于背板的系统包括多个无线应用卡(分组处理卡),经由高速背板与分组交换卡耦合。分组交换卡在TC2K系统中执行分组路由和转发功能。因为分组交换卡能够把分组路由到各个无线应用卡,所以TC2K系统能够把该系统的所有数据业务量聚集到单个网络地址(例如,本例中的IP地址)或减小数目的IP地址上,这取决于具体的实施方案。所以,在TC2K系统中所有的应用卡可以使用同一个IP地址或者少于系统中的无线应用卡总数的IP地址来工作。分组交换机根据每个分组的内容把分组路由到各个无线应用卡进行处理。
例如,可以根据被包括在每个分组的头部中的通信会话标识符(例如,分组的源IP地址)对分组进行路由。在确定了来自分组的通信会话标识符后,分组交换机确定负责处理与该特定的通信会话有关的分组的无线应用卡。例如通过将来自分组的通信系统标识符与关联通信会话标识符和无线应用卡的表进行比较,分组交换机就可以做出这种确定。
此外,数据联网硬件(例如,路由器、服务器等等)方面的改进导致在单个网络连接上的可用数据带宽的相应增加。在单根网线上每秒1吉比特的网络速度(1G比特=1×109比特)当前很容易得到,每秒10G比特的网络速度也正变得更加容易得到。在单个网络连接上的可用数据带宽的这样的增加允许实施单IP地址(或比起系统中的应用卡总数更少的IP地址)的系统(例如TC2K)对于每个IP地址采用单根网线,这些系统比起以前的中间板系统具有更大的数据带宽。然而,如果作为用于提供PDSN服务的NIC来使用的应用卡发生故障,则与冗余的网线连接的第二应用卡可以替代它被启动,因此避免网络服务丢失。
基于背板的系统(例如,TC2K系统)可以在同一个平台上实施多种网络服务(例如,PDSN和HA功能),其中对每种功能使用单个网络地址来提供每种功能。这样的方法允许多个(例如,冗余)设备(例如能够实施PDSN和HA功能的分组处理卡)与每个网络地址相关联。在这样的实施方案中,如果一个设备发生故障,则另一个(冗余)设备可以近似无缝地取代它的位置,并继续提供网络服务,而从用户方面没有感知到任何服务中断。
实施单IP地址方法的基于背板的网络平台代表了对以前的方法的改进,以前的方法例如使用分别具有唯一的IP地址和单独的网络连接的多个网络设备(例如,PDSN或HA设备)。具体地,例如,单IP方法允许网络连接/网线的数目减少以及硬件冗余性的使用,这导致减少数目的可能的故障点和网络可靠性的相应改进。
2.体系结构图2A和2B显示基于背板的网络平台/系统200的两个不同的代表。图2A显示用于提供PDSN和/或HA服务的基于背板的网络平台200的示例性机箱布局。平台200基本上类似于UTStarcom TC2K无线网平台。对于本讨论,用于提供网络服务的系统和方法总地结合TC2K系统(例如,图2A和2B所示的体系结构)进行讨论。当然,其它系统体系结构也是可能的。
平台200包括支架控制器卡210。虽然平台200被显示为只有单个支架控制器210,但将会看到,在平台200中还可以实施额外的支架控制器卡。例如,UTStarcom TC2K平台包括两个支架控制器。支架控制器提供平台200的硬件管理,以及提供在平台200的组件之间的低速以太网连通性(例如,100Mbps)。例如,支架控制器识别卡(例如,分组交换卡或分组处理卡)何时被插入到平台200中或从平台200卸下,由此在相应的卡槽上加上电源或去除电源。这个功能允许分组处理卡和分组交换卡进行“热切换”(例如,在系统工作的同时进行拆卸和替换)。
平台200还包括系统管理器卡230。就像支架控制器卡210一样,平台200被显示为具有单个系统管理器卡230。然而,额外的系统管理器卡可被包括在平台200中,诸如用于冗余的目的。系统管理器卡230与系统管理总线(图2A上未示出)相耦合,并且提供对平台200的组件的配置。例如,系统管理器230被用来确定平台200要提供的服务的类型。通过使用系统管理器230,平台200被配置成提供HA服务、PDSN服务或它们二者。在UTStarcom TC2K平台上,使用简单网络管理协议(在IETF的RFC 1157中详细地描述)以及UTStarcom定义的私有通信机制在100Mbps数据总线(系统管理总线)上完成系统管理。RFC 1157整体地在此引用进来。
平台200还包括分组交换卡220。就像支架控制器卡210和系统管理器230一样,平台200被显示为具有单个分组交换卡220,用于说明目的。将会看到,额外的冗余分组交换卡可被包括在平台200中。TC2K系统典型地包括两个分组交换卡。
分组交换卡220用作在平台200上数据分组的分布点。由分组交换卡220接收的分组然后被路由或转发到目的地(例如,进行处理或从平台200送出)。对于在平台200上被处理的分组,分组交换卡220将检查每个分组,并根据该检查结果把各个分组传送到多个接入网关(AGW)卡240、245和250(分组处理设备/卡或无线应用卡)中的相应AGW卡。如图2A的虚线所示,平台200可包含其它AGW卡。特定的分组被路由到的AGW卡取决于分组的类型和/或被包含在分组头部中的信息,例如被包含在因特网协议分组的第2层到第7层头部的一个或多个中的信息。
图2B以框图形式显示平台200。在图2B上,平台200还包括高速背板270和系统管理总线280(替换地,系统控制总线)。如图2B所示,分组交换卡220和AGW卡240、245和250被耦合到背板270。在TC2K平台上,分组交换卡220与高速背板270的组合被称为媒体数据总线(MDB)。MDB能够处理在分组交换卡220与AGW卡240-250之间的吉比特以太网通信。由平台220处理的分组经由MDB来传送。
在图2B上,支架控制器卡210和系统管理器卡230与系统管理总线280(它也可以称为系统控制总线)相耦合,而管理总线280又与AGW卡240-250相耦合。正如以上讨论的,支架控制器卡210实施对平台200的硬件管理功能,并提供在平台200的组件之间的低速以太网连通性(例如,100Mbps)。正如以上讨论的,系统管理器230根据平台要提供的服务经由管理总线280配置平台200。
3.接入网关卡(分组处理卡)图3更详细地显示平台200的AGW卡240。如图3所示,AGW卡240被耦合到高速背板270和管理总线280,正如以前讨论的。AGW卡240包括与高速背板270相耦合的第2层(L2)以太网交换机300。L2交换机300(经由背板270)接收从分组交换卡220传送到AGW卡240的分组数据。另外,L2交换机300把从AGW卡240发送到分组交换卡220的分组数据传送到高速背板270上。该通信是根据任何数目的各种数据通信协议例如以太网标准完成的。当AGW卡240被配置成在网络与分组交换卡之间传送数据时,可以认为它起到NIC的作用。
正如以上讨论的,在平台200上数据分组的处理以分布方式完成。例如,分组交换机220发送数据分组到平台200中专用于提供某些网络服务的AGW卡。例如,分组交换机220发送加密的分组到平台200上的、包括解密器但不用于执行另一项功能例如用作NIC的AGW卡。当加密的分组在AGW卡240的L2交换机300处被接收时,L2交换机300根据加密分组的头部信息传送该分组到控制器310。作为例子,分组交换卡220修改加密分组的以太网头部(例如,通过插入MPLS头部),以指示AGW卡240是加密分组的预计目的地。
对于明码数据分组,分组交换机220确定平台200中负责处理分组的AGW卡。例如,分组交换机220可以检查数据分组的头部,并(例如,根据分组的源IP地址)确定该分组是平台200为其提供PSDN服务的通信会话的一部分。基于通信会话标识符(例如,源IP地址),分组交换卡把分组转发到负责为该特定的通信会话提供PDSN服务的AGW卡。
一旦在AGW卡240处接收到分组,基于分组的头部,L2交换机300把分组转发到控制器310。控制器310然后检查分组,并确定应当执行的适当的处理。例如,如果分组是加密的分组(例如,根据在以太网头部中的MPLS标签信息和/或ESP头部和序号),则控制器310把加密的分组转发到IPSEC硬件设备320。IPSEC硬件设备320使用在加密分组的ESP头部中指示的保密关联(例如,根据IPSEC协议)解密分组的加密的有效载荷,从而产生明码数据分组。IPSEC硬件设备320然后把明码数据分组返还到控制器310。控制器310修改明码数据分组的MPLS头部,以指示分组交换卡220是明码数据分组的目的地。此外,控制器310也可以把某些IPSEC有关的信息包括在修改的头部中,诸如解密的分组的序号(例如,在作为以太网头部的一部分的MPLS标签中)。控制器310然后把明码数据分组发送到L2交换机300。L2交换机300然后经由高速背板270把明码数据分组传送到分组交换卡220。
如果分组是要由AGW卡240处理的明码数据分组(例如,PDSN处理或HA处理),则L2交换机300检查明码数据分组的以太网头部,并确定AGW卡240是目的地。替换地,在平台200中的另一个AGW卡可以接收明码数据分组进行处理。AGW卡240的L2交换机300然后把明码数据分组发送到控制器310,它处理分组(例如,执行点对点协议处理,如在IETF的RFC 1661、1662中描述的,或通用路由包装协议处理,例如在IETF的RFC 2784中描述的),以产生处理后的分组。控制器310然后把处理后的分组发送到L2交换机300,经由背板270传送到分组交换机220。用于提供网络服务(例如,PDSN服务、HA服务、解密和/或加密)的AGW卡被认为起到NAC的作用。
AGW卡240还包括以太网端口330。以太网端口330可以耦合到外部网线,以允许AGW卡240提供平台200的数据入口和出口。在这种情形下,AGW卡240将用作线路卡(NIC),在平台200上不能提供任何解密或分组处理服务。在这种情形下,L2交换机300用高速背板270有效地旁路以太网端口330。如上所述,在平台200上所有的AGW卡(分组处理卡)可以通过使用单IP(网络)地址工作,每个AGW卡负责处理与特定的、相应的一个或多个通信会话有关的明码数据分组。
AGW卡240还包括与控制器310相耦合的分组缓冲器340。分组缓冲器340被用来在这些分组无次序地到达AGW卡240的情形下缓冲AGW卡240上的明码数据分组。明码数据分组可能无次序地到达,因为多个AGW卡被用来解密与同一个通信会话有关的加密分组,以及取决于这些AGW卡的每一个的加载,它们可以不同于它们的原先次序被发送到AGW卡240。在这样的情况下,缓冲器340保持分组直至出现连续的一列分组为止。控制器310然后重新排序分组,并按顺序处理它们。
将会看到,平台200的AGW卡(例如,AGW卡240)可以以多种方式工作。具体地,AGW卡可以仅仅用作NIC,仅仅用作NAC,或用作同一个系统中的NIC和NAC。具体地,可以由AGW卡240从数据网接收数据分组。该分组然后被发送到分组交换卡220。分组交换卡220然后可以把分组发送回AGW卡240,进行PDSN或HA处理。AGW卡240然后把处理后的分组发送回分组交换机220。分组交换机220然后可以把分组发送回AGW卡240,以从平台200向外送出(例如,经由网络传送到目的地)。在这种情形下,AGW卡240在提供网络服务时同时用作NIC和NAC。这样的用于分组处理设备的方法可以称为虚拟NIC/NAC实施方案。
4.分组交换卡图4更详细地显示平台200的分组交换卡220。如图4所示,分组交换卡220经由交换机结构400与高速背板270相耦合。如前所述,分组交换卡220经由MDB(包括分组交换卡220和背板270)与(向和从)平台200的AGW卡传送分组数据。可以在分组交换卡中使用以任何适当的方式排列的一个或多个L2交换机组件来实施交换机结构400。交换机结构400经由MDB通信,在平台200上接收和发送分组数据。
分组交换卡220还包括可编程控制器420。控制器420可以取任何适当的指令处理设备的形式,例如但不限于微控制器、微处理器或网络处理器。控制器420对于由分组交换卡220接收的数据分组(加密的和解密的)作出路由和转发决定。
分组交换卡220还包括网络接口430(例如,以太网端口或光学数据端口),可以用作平台200的分组数据入口/出口。替换地,通过用作NIC的一个或多个AGW卡实现平台200的数据入口/出口,正如以上讨论的。在任一种情形下,对于系统200,进入平台200的数据分组被路由到分组交换卡220。一旦数据分组被分组交换卡220接收,该分组就被控制器420检查,它确定路由分组到平台200的哪个AGW卡进行处理。
当加密的数据分组(本例中,遵从IPSEC的分组)到达分组交换卡220时(或者经由网络接口430,或者经由背板270从AGW卡而来),由分组交换卡220(例如,由控制器420)检查分组头部。根据该检查结果,控制器420根据ESP头部的存在与否确定分组是进入的IPSEC分组。控制器420然后确定发送遵从IPSEC的分组到哪个AGW卡。该确定以决定性方式完成,例如使用ESP头部的预定数目的比特来计算哈希(hash)函数。作为哈希函数的一个例子,使用一个质数来确定ESP头部的预定数目的比特的模数。根据这个哈希函数的结果,控制器把遵从IPSEC的分组发送到与结果预关联的AGW卡。使用决定性方法来确定把遵从IPSEC的分组发送到哪个AGW卡是希望的。具体地,这样的决定性方法保证任何复制的IPSEC分组被发送到同一个AGW卡,以使得这些复制的分组由AGW卡根据用于处置复制分组的IETF的RFC 2406来处置。
当将IPSEC加密分组发送到适当的AGW卡时,分组交换卡220把专有头部插入到分组头部中,以指示它是分组的源以及相应的AGW卡是目的地。正如以上讨论的,这个头部可以是MPLS头部或根据任何其它适当的协议(例如UDP、GRE或IP-in-IP等许多其它协议)的另一个头部。在AGW卡解密遵从IPSEC的分组后,解密的分组被返回到分组交换卡220(经由MDB)作为明码数据分组。
当明码数据分组在分组交换卡220处被接收时(例如,从网络或在由AGW卡解密后),分组交换机220检查明码数据分组的头部(例如,使用控制器420),例如确定与明码数据分组有关的通信会话的通信会话标识符。控制器420然后对于所确定的通信会话确定平台200的哪个AGW卡负责处理分组。该确定可以通过查询把平台200正在服务的通信会话与负责这些会话的相应AGW卡关联起来的表而作出。这样的表例如可以存储和保存在控制器420中。替换地,通信会话与它们的相关AGW卡的列表可以存储在分组交换卡220的单独的组件中,例如与控制器420相耦合的存储装置(未示出)。将会看到,在明码数据分组的头部中的其它信息可被用来确定哪个AGW卡负责处理分组。在确定哪个AGW卡负责处理明码数据分组后,分组交换机220把明码数据分组转发到那个AGW卡进行处理(例如,HA或PDSN处理),此后,负责处理分组的AGW卡把分组返还到分组交换卡220。然后可以以类似的方式执行其它分组处理。
一旦分组处理完成,分组交换机220就接收完成的分组(加密的或解密的)。基于对完成的分组的头部的检查,分组交换机220确定分组处理已完成,并剥离在处理期间插入的任何剩余的MPLS头部和/或标签。分组交换机220然后适当地修改以太网头部,并把分组(加密的或解密的)路由到在头部中指示的目的地地址(例如,取决于具体的实施例,经由分组交换卡220的网络接口或经由AGW卡)。
在处理期间的数据分组形式从以上说明将会看到,在平台200处理期间(或在实施分布式分组解密技术的任何平台中),数据分组呈现各种不同的形式。图5A-5D显示对于由平台200处理的分组的某些示例性分组结构。
图5A显示根据以太网标准的明码数据分组500。分组500是作为非保密通信会话的一部分的、在网络100中由平台(例如,HA 145)接收的分组的例子。分组500包括以太网头部501、IP头部502和有效载荷504。在接收分组500后,分组交换机220把MPLS头部512插入到分组500中,产生分组510。分组510然后诸如以上述的方式被路由到AGW卡进行处理。分组500的其它部分在分组510中保持为相同的。
在AGW卡完成数据分组510的处理后,它把处理后的分组(未示出)发回到分组交换卡220,然后分组交换卡220剥离任何剩余的专有(例如,本例中的MPLS)头部,产生最后的分组520。最后的分组520包括以太网头部501、IP头部502和处理后的有效载荷522。最后的分组520然后根据以太网头部501和/或IP头部523被路由到目的地设备(或下一个目的地设备)。替换地,最后的分组可以由平台200的AGW卡重新加密,并以加密的形式发送到它的下一个目的地。
图5D显示IPSEC加密分组530,该分组是由平台200从图1的数据网100中接收的,例如在HA 145处从私有网150接收的。分组530还代表在处理后由平台传送到目的地的完成的加密分组。加密分组530包括以太网头部531和外IP头部532,它们指示分组的源和加密分组的目的地(在本例中,平台200,至少作为中间目的地)。按照IPSEC协议,加密分组530还包括遵从IPSEC的ESP头部534(它包含序号)、加密的有效载荷536和ESP尾部538。分组交换机220然后把MPLS头部插入到分组530中,并把加密分组路由到AGW卡,例如以上述的方式进行解密。在解密后,分组被发往进行解密的AGW卡以基本上与上述的分组510相同的方式返还明码数据分组。平台200然后对分组执行任意其它网络服务(例如,PDSN或HA服务),之后把分组的最后版本传送到它的目的地。
用于处理加密数据分组的方法图6显示用于提供网络服务,例如加密、解密、PDSN和/或HA服务的方法600。方法600可以使用上述技术在平台200上实施。方法600包括在方块610,在分组交换卡处接收数据分组。数据分组在包括分组交换卡和第一分组处理卡的网络平台(例如,TC2K平台)上经由第一分组处理卡(例如,用作NIC的AGW卡)和高速总线被接收。
在方块615,方法600包括确定用于处理分组的第二分组处理卡。在加密分组的情形下,可以以上面讨论的方式使用哈希函数。在方块620,加密分组然后被转发到第二分组处理卡,在方块625,加密分组由第二分组处理设备解密,产生明码数据分组。在明码数据分组的情形下,分组交换机在方块615确定与分组相关的通信会话,并在方块620把分组传送到负责为该通信会话提供网络服务的AGW卡。
在处理(例如,解密或执行PDSN或HA服务)后,在方块630第二分组处理卡把数据分组传送回分组交换卡。在方块635,分组交换卡然后确定是否要执行其它处理,例如对于原先加密的分组执行PDSN或HA服务或加密原先是明码数据分组的分组。如果要提供其它服务,则分组交换机确定用于以上述方式处理分组(例如,执行PDSN或HA服务或加密分组)的第三分组处理卡,并在方块640把数据分组传送到第三分组处理卡。此时,AGW卡用作NAC。第三分组处理卡然后在方块645处理分组(例如,执行HA服务、PDSN服务或加密),产生处理后的分组。
在方块650,第三分组处理设备把处理后的分组传送回分组交换机。在方块655,分组交换机经由第一分组处理设备把处理后的分组传送到目的地设备。
结论这里描述了各种方案和实施例。然而,将会看到,本领域技术人员将理解可以对于这些方案和实施例作出改变和修改,而不背离由权利要求书限定的本发明的真实范围和精神。
权利要求
1.一种用于处理被包括在在数据网中传送的分组数据业务流中的数据分组的平台,该平台包括背板,用于在所述平台内路由数据分组;与所述背板耦合的分组交换卡,该分组交换卡把所述分组数据业务流聚集到所述平台中;以及与所述背板耦合的多个应用卡,多个应用卡中的每一个选择性地用作网络接口卡和网络接入卡中的至少一个,其中,所述多个应用卡中的至少第一应用卡用作网络接口卡,第一应用卡把所述分组数据业务流的至少一部分从网络传送到所述分组交换卡。
2.权利要求1的平台,其中,所述多个应用卡中的每一个应用卡包括提供以下功能的服务逻辑分组数据服务节点功能;和家乡代理功能。
3.权利要求1的平台,其中每个应用卡包括与所述数据网耦合的数据端口;与所述数据端口和所述背板耦合的数据交换机;以及与所述数据交换机耦合的控制器,其中所述数据交换机选择性地在以下组件之间路由数据分组所述数据端口和所述背板;所述控制器和高速背板;以及所述数据端口和所述控制器。
4.权利要求3的平台,其中所述数据端口包括以太网数据端口。
5.权利要求3的平台,其中所述数据交换机包括第2层以太网协议交换机。
6.权利要求3的平台,其中所述控制器包括微处理器。
7.权利要求3的平台,还包括与所述数据交换机耦合的系统管理总线,其中所述数据交换机选择性地路由系统管理数据到所述控制器以及路由来自所述控制器的系统管理数据。
8.权利要求1的平台,其中所述分组交换卡包括与所述背板耦合的数据端口;与所述背板耦合的数据交换机;以及与所述数据交换机耦合的可编程控制器。
9.权利要求8的平台,其中所述数据交换机包括第2层以太网协议交换机。
10.权利要求8的平台,其中所述分组数据交换机包括多个互连的第2层以太网协议交换机。
11.权利要求8的平台,其中所述可编程控制器包括微处理器。
12.权利要求8的平台,其中所述可编程控制器包括网络处理器。
13.在用于处理数据网中的数据分组的平台中,该平台包括背板、与背板耦合的多个分组处理设备以及与背板耦合的分组交换卡,一种处理数据分组的方法包括在所述多个分组处理设备中的第一分组处理设备处接收来自数据网的数据分组;将所述数据分组从第一分组处理设备经由背板传送到分组交换卡;利用分组交换卡,确定用于处理所述数据分组的第二分组处理设备;将所述数据分组从分组交换卡经由背板传送到第二分组处理设备;在第二分组处理设备上执行服务逻辑,由所述数据分组产生处理后的分组;以及将处理后的分组从第二分组处理设备经由背板传回分组交换卡。
14.权利要求13的方法,还包括将处理后的分组从分组交换卡传送到第一分组处理设备;以及将处理后的分组从第一分组处理设备经由网络传送到目的地网络地址。
15.权利要求13的方法,还包括将处理后的分组从分组交换卡传送到第三分组处理设备;以及将处理后的分组从第三分组处理设备经由网络传送到网络目的地地址。
16.权利要求13的方法,其中在第二分组处理设备上执行服务逻辑包括对数据分组执行家乡代理服务。
17.权利要求13的方法,其中在第二分组处理设备上执行服务逻辑包括对数据分组执行分组数据服务节点服务。
18.权利要求13的方法,还包括利用分组交换卡,确定用于进一步处理所述处理后的分组的第三分组处理设备;将所述处理后的分组从分组交换卡经由背板传送到第三分组处理设备;在第三分组处理设备上执行服务逻辑,以进一步处理所述处理后的分组,产生进一步处理后的分组;以及把进一步处理后的分组传回分组交换卡。
19.权利要求18的方法,还包括将进一步处理后的分组从分组交换卡传送到第一分组处理设备;以及将进一步处理后的分组从第一分组处理设备经由网络传送到目的地网络地址。
20.权利要求18的方法,还包括将进一步处理后的分组从分组交换卡传送到第三分组处理设备;以及将进一步处理后的分组从第三分组处理设备经由网络传送到网络目的地地址。
21.权利要求18的方法,其中执行服务逻辑以处理数据分组包括执行家乡代理服务和分组数据服务节点服务之一。
22.权利要求21的方法,其中执行服务逻辑以进一步处理所述处理后的分组包括执行加密或虚拟私有网服务之一。
23.权利要求18的方法,其中执行服务逻辑以处理数据分组包括解密数据分组。
24.权利要求23的方法,其中执行服务逻辑以进一步处理所述处理后的分组包括执行家乡代理服务和分组数据服务节点服务之一。
25.一种用于处理数据分组的网络平台,包括多个分组处理设备;分组交换卡,有效地与多个分组处理设备耦合;以及背板,用于在分组交换卡与所述多个分组处理设备之间传送数据分组;其中,所述分组交换卡与所述多个分组处理设备包括机器可执行指令,这些指令在被执行时共同提供在所述多个分组处理设备中的第一分组处理设备处接收来自数据网的数据分组;将所述数据分组从第一分组处理设备经由背板传送到分组交换卡;利用分组交换卡,确定用于处理所述数据分组的第二分组处理设备;将所述数据分组从分组交换卡经由背板传送到第二分组处理设备;在第二分组处理设备上执行服务逻辑,由所述数据分组产生处理后的分组;以及将处理后的分组从第二分组处理设备经由背板传回分组交换卡。
26.权利要求25的平台,其中所述指令在被执行时还用于将处理后的分组从分组交换卡传送到第一分组处理设备;以及将处理后的分组从第一分组处理设备经由网络传送到目的地地址。
27.权利要求25的平台,其中所述指令在被执行时还用于将处理后的分组从分组交换卡传送到第三分组处理设备;以及将处理后的分组从第三分组处理设备经由网络传送到目的地地址。
28.权利要求25的方法,其中所述指令在被执行时还用于利用分组交换卡,确定用于进一步处理所述处理后的分组的第三分组处理设备;将所述处理后的分组从分组交换卡经由背板传送到第三分组处理设备;在第三分组处理设备上执行服务逻辑,以进一步处理所述处理后的分组,产生进一步处理后的分组;以及把进一步处理后的分组从第三分组处理设备传回分组交换卡。
全文摘要
公开了一种用于处理被包括在数据网中传送的分组数据业务流中的数据分组的平台(200)。平台(200)包括背板(270),用于在平台(200)内路由数据分组。平台(200)还包括与背板(270)耦合的分组交换卡(220)。分组交换卡(270)把分组数据业务流聚集到平台(200)中。平台(200)还包括与背板(270)耦合的多个应用卡(240,245,250),多个应用卡(240,245,250)中的每个应用卡选择性地用作网络接口卡和网络接入卡中的至少一个。多个应用卡(240,245,250)的至少一个应用卡用作网络接口卡,第一应用卡把分组数据业务流的至少一部分从网络传送到分组交换卡(220)。
文档编号G01R31/08GK101095312SQ200580045312
公开日2007年12月26日 申请日期2005年11月10日 优先权日2004年12月3日
发明者阿布希舍克·沙尔玛, 阿鲁·亚历克斯, 萨德海尔·库纳斯 申请人:Ut斯达康公司