双控网架构的制作方法

专利名称：双控网架构的制作方法
技术领域：
本发明涉及一种电子通信网络，尤其涉及在分组交换网络中执行接入控制、攻击控制(attack control)以及应用控制的技术。
背景技术：
基于网际协议(IP)的电子通信网络已经普遍存在。最近二十年信息技术(IT)产业的主要焦点已经转移到“随时、随地”的IP网络连接，而且已经在很大程度上解决了该问题。个体现在可以使用连接到公用网络和专用网络的组合的多种设备相互通信，并使用在私人企业、政府机构、公共空间(例如咖啡店和机场)、甚至私人住所内部和它们之间的应用。公司管理人员现在可以在餐厅使用手持设备将电子邮件信息无线地可靠发送至教师，其中该教师使用台式计算机通过几乎环绕世界的有线电话线连接到国际互联网络(Internet)。
换言之，实际上，如今任何IP使能设备可以随时与任何其它IP使能设备通信。通过改进形成IP网络“连接面”(connectivity plane)的传统的路由器和交换机，可以提高IP连接的适应性、可靠性和速度。这种“IP连接”网络已经巨大地推动了全世界的工业生产力。
由于已经基本上解决了IP连接的问题，所以企业网络产业如今面对重要的拐点。如今一些IP网络不仅包括交换机和路由器，还包括点解决方案应用(point solution appliance)(有时称为“线缆内的块(Bump in the Wire)”)主机，随着时间的过去，该主机被加入网络中，试图执行交换机和路由器本身不负责执行的功能。在其它情况下，这些附加的功能已经被“拴合”(boltedon)到交换机和路由器本身。无论作为独立应用或是作为“拴合”应用安装，这些附加的控制功能已经被例如作为网络接入防火墙使用，以执行入侵检测和防护，并增强基于策略应用的带宽控制。尽管这些控制功能对其自身预期的目的而言常较好地工作，但是，他们的引入(无论以点解决应用的形式还是交换机和路由器的拴合功能的形式)导致高成本、难以管理网络环境。
而由这种增加的控制功能不适当地导致的问题正在范围和复杂度上增长。作为IP网络的最大的优点之一的开放性现在正将企业网络暴露于固定的基础设施和信息安全的威胁。这些威胁能导致灾难性的商业停工期(businessdowntime)以及甚至侵犯隐私引起的法律责任。
而且，尽管IP网络最初只传送数据业务，但是越来越依赖于这种网络也传送关键任务商业应用、语音和视频业务。每一种这些种类的业务都具有其自己的性能要求。将这些多种业务结合到单一的IP网络中正在导致应用性能问题，即连接面(例如交换机和路由器)没有被设计为满足要求。例如，传统的连接网络被设计成提供这些新商业关键功能所需的服务质量(QoS)、验证、加密、以及威胁管理。作为例子，传统的连接网络通常缺乏在相同网络上面对突然出现的数据业务的情况下维持语音业务所需的高QoS的能力。
此外，网络停工期的成本已经大幅上升。当企业仅在数据业务上依赖于他们的IP网络时，当只有企业活动的一小部分需要这样的数据业务时，电子邮件服务器宕机一小时的成本相对较低。现在，语音、数据、视频、应用以及其它业务结合到相同的网络，而且现在比例越来越大的商业功能依赖于这样的业务，从而使网络停工期的成本显著增高。实际上，当网络停止、商业停止时，导致丧失生产力、丧失收入，并引起用户不满。
企业管理者理解上述事实。从技术观点来看，首席信息官(CIO)们知道当前的连接网络不能解决安全和应用性能问题。而从财务观点来看，首席财务官(CFO)们所关心的是通过执行“叉车式升级”(用新硬件代替整个连接面)来解决这些问题太昂贵了。最后，从整个企业观点来看，首席执行官(CEO)们不能忍受网络停工期的安全风险，而要求可预见的、稳定的应用性能。
更详细地考虑传统连接网络的某些问题。裸(Bare)IP网络通常不执行任何种类的“接入控制”(控制能接入网络的用户和设备)。通常，接入控制策略基于用户和/或传输业务的设备的身份来定义允许哪个业务到网络上。这个问题的一个解决方案是用防火墙建立网络“周界”，以定义哪个用户和设备在“内部”因而许可该用户或设备接入网络，哪个用户和设备在“外部”因而禁止该用户或设备接入网络。当所有用户从物理上位于网络内并有线连接到该网络的固定设备(例如台式机)接入该网络时，清晰网络周界的概念是可行的。然而，现在用户使用有线和无线连接，从各种设备(包括便携式计算机、手机以及掌上电脑)，从企业的物理所在地的内部和外部的各种地点接入网络。因此，周界变得模糊，从而限制了以具有清晰内-外区别为前提的防火墙以及其它系统的可用性。
裸IP网络也不执行任何种类的“攻击控制”(保护网络不受病毒、蠕虫以及其它恶意的网络行为的影响)。通常，攻击控制策略定义用于识别恶意业务的标准，并对这种恶意业务采取行动(例如将其从网络中排除)。如今的网络经常处于直接和间接的攻击之下。而且，攻击不断发展，经常使以前的防卫过时。而且，由于在网络中自动搜索攻击弱点的攻击监视(turnkey)工具的实用性的增加，如今经常比过去更快地发现和利用网络弱点。
由于储存在现代信息网上的信息量的增加，如今成功攻击的典型成本比过去高。使用相同的网络连接更多数目和更多种类设备，导致传统接入控制机制的问题，也刺激网络用户存储愈来愈多的高价值(high-value)信息。任何试图在台式机、便携式计算机、掌上电脑以及手机上存储相同数据的备份以及同步所有的设备的数据的人，认识到在网络边缘存储数据可能是低效的。这导致数据朝集中存储处反向移动。尽管这种集中可以导致效率增加，但是也成为在网络上的高价值目标攻击的诱因。
而且，裸IP网络不执行任何一种“应用控制”。通常，应用控制政策基于传送业务的应用定义网络内的业务是被如何处理的。传统的路由器和交换机传递包，而不知道发送或接收这些包的应用。然而，现代IP网络背景中，应用控制是关键，其中在现代IP网络背景中，应用被合并到单一IP基础设施中，任务关键数据应用和非关键应用为了网络带宽相互竞争。
例如，电话网络传统上是与数据网络物理分离的网络。当电话网络与数据网络合并时，企业在成本和配置新语音业务的能力上获得巨大的优势。但是他们这么作也冒着将电话通讯(其为可用性期望非常高的应用)暴露于IP环境的危险中的风险。如上所述，结果是网际协议语音技术(VoIP)趋向于在低负载的用户网络中运行良好(直至业务猛增或网络遭到攻击)。挑战是使电话通讯具有IP网络的优点而不牺牲服务质量。
由于消耗带宽的点对点应用(例如BitTorrent，Kazaa，Gnutella)的出现，也增加了非收益性的网络业务。而且，当新设备连接到网络时，带宽增加，因而故障设备使网络充满垃圾业务的概率增加。传统的连接网络不区分由不同应用传递的包或发送至不同应用的包，因此，无能力处理这些问题。
简言之，需要改进的技术来执行网络接入控制、攻击控制以及应用控制。

发明内容
本发明的一个实施例旨在提供一种电子通信网络中的合并控制的方法，所述方法包括如下步骤(A)在所述电子通信网络中部署至少一个控制节点，其中所述至少一个控制节点包括用于检查所述至少一个控制节点接收的包的装置；以及(B)在将所述至少一个控制节点接收的包发送到所述电子通信网络中的任何其它节点之前，配置所述至少一个控制节点对所述包执行网络业务控制功能。例如，所述网络业务控制功能可以包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
本发明的另一个实施例旨在提供另外一种用于电子通信网络的方法，所述方法包括如下步骤(A)在所述电子通信网络中的控制节点接收包；以及(B)在所述控制节点，对所述控制节点接收的包执行网络业务控制功能，而不将所述包发送到所述电子通信网络中的任何其它节点。例如，所述网络业务控制功能可以包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
本发明的另一个实施例旨在提供另一种电子通信网络，其包括第一节点和控制节点。所述控制节点包括用于检查所述控制节点接收的网络业务的装置；以及用于在将所述控制节点接收的所述网络业务发送到所述第一节点之前对所述网络业务执行网络业务控制功能的装置。例如，所述网络业务控制功能可以包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
本发明的又一实施例旨在提供一种网络控制设备，其适于安装电子通信网络中，所述电子通信网络包括由至少一个网络互连设备通信连接的多个网络节点。所述网络控制设备在单一装配中包括(a)输入/输出装置，用于将所述网络控制设备通信连接到所述电子通信网络(b)电源装置，用于为所述网络控制设备提供电源；以及(c)逻辑处理电路，能够配置为对通过所述输入/输出装置流入所述网络控制设备的业务执行网络业务控制功能。例如，所述网络业务控制功能可以包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
本发明的再一实施例旨在提供一种电子通信网络，其包括由至少一个网络互连设备通信连接的多个网络节点；至少一个控制节点；以及用于对所接收的网络业务执行多个网络业务控制功能的装置。其中，每个控制节点包括用于从所述至少一个网络互连设备接收网络业务的装置；以及用于检查所接收的网络业务的装置。例如，所述多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。在整个所述电子通信网络中所述至少一个控制节点基本上单独地执行所述多个网络业务控制功能。
本发明的另一个实施例旨在提供一种电子通信网络，其包括连接面，包括至少一个网络互连设备；以及控制面，包括至少一个控制节点。所述电子通信网络配置为在所述控制面对从所述至少一个网络互连设备流入所述控制面的网络业务基本上单独地执行多个网络业务控制功能。例如，所述多个网络业务控制功能可以包括网络接入控制，应用业务控制和攻击控制中的至少两个。
本发明的另一个实施例旨在提供一种用于电子通信网络的方法。所述电子通信网络包括连接面。所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；以及(B)配置所述控制面对所述控制面接收的网络业务，执行多个网络业务控制功能。例如，所述多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。例如，步骤(A)和步骤(B)可以在不修改所述连接面的情况下执行；在不禁用所述连接面中的网络互连设备的情况下执行；以及包括配置所述连接面中的网络互连设备的子集不执行所述多个网络业务控制功能。
本发明的又一实施例旨在提供一种用于电子通信网络的方法。所述电子通信网络包括配置为执行第一多个网络业务控制功能的连接面。所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；(B)配置所述控制面对所述控制面接收的网络业务执行第二多个网络业务控制功能；(C)配置所述连接面不执行所述第二多个网络业务控制功能。例如，所述第二多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。
本发明的另一个实施例旨在提供一种用于电子通信网络的方法。所述电子通信网络包括连接面。所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；以及(B)配置所述控制面在整个所述电子通信网络中对所述控制面接收的网络业务基本上单独地执行多个网络业务控制功能。例如，所述多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。
本发明的另一个实施例旨在提供一种用于电子通信网络的方法。所述电子通信网络包括连接面和控制面。所述方法包括如下步骤(A)在所述电子通信网络中建立与所述控制面的安全管理连接；(B)通过所述安全管理连接，配置所述控制面在整个所述电子通信网络中对所述控制面接收的网络业务基本上单独地执行多个网络业务控制功能。例如，所述多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。
从以下的描述和权利要求中，本发明的各个方案和实施例的其它特点和优点将更为清楚。


图1A为示出现有技术电子通信网络的高层功能框图；图1B为示出根据本发明一个实施例的电子通信网络的高层功能框图；图1C为示出根据本发明一个实施例的用控制面执行网络业务控制功能的示意图；图1D为示出了根据本发明一个实施例的控制面的示意图；图2为示出根据本发明的一个实施例在图1A的电子通信网络中用于合并控制的方法流程图；图3为示出根据本发明的一个实施例利用控制面执行网络业务控制功能的方法流程图；
图4为示出根据本发明的一个实施例配置控制面以执行网络业务控制功能的方法流程图；以及图5为示出根据本发明的一个实施例通过安全管理连接来配置控制面的方法流程图。
具体实施例方式
请参考图1A，其示出现有技术电子通信网络100a的高层(high-level)功能框图。网络100a包括连接面110a和应用面130。连接面110a和应用面(application plane)130可以是本领域技术人员公知的各种类型。例如，连接面110a可以包括传统路由器112和交换机114(例如第2层和/或第3层交换机)。例如，应用面130可以包括网络(web)、电子邮件和语音应用。
更具体地，在图1A所示的例子中，应用面130包括两个客户端132a和132b以及两个服务器134a和134b。客户端132a是电子邮件客户端，其处理电子邮件数据136a，而客户端132b是语音应用，其处理语音数据136b。类似地，服务器134a是电子邮件服务器，其服务于电子邮件数据138a，而服务器134b是语音服务器，其服务于语音数据138b。
连接面110a包括三个交换机114a、114b和114c(这里统称为交换机114)，包括核心交换机114a、服务交换机114b以及客户交换机114c。客户交换机114c连接到客户端132a和132b。客户端132a通过客户交换机114c发送和接收电子邮件业务，而客户端132b通过客户交换机114c发送和接收语音业务。所示的客户交换机114c具有“拴合”到交换机114c的IEEE 802.1X接入控制功能116b。IEEE 802.1X是提供基于端口的网络接入控制标准，其要求在被允许接入网络之前，客户端进行自我认证。因此，客户交换机114c能够对通过交换机114c的业务进行接入控制。
服务交换机114b连接到服务器134a和134b。服务器134a通过服务交换机114b发送和接收电子邮件业务，而服务器134b通过服务交换机114b发送和接收语音业务。所示的服务交换机114b具有“拴合”到交换机114b的QoS和负载均衡功能。因此，服务交换机114b能够对通过交换机114b的业务进行QoS和负载均衡(应用控制的例子)。
在图1A所示的例子中，路由器112也执行针对从互联网102引入的业务的防火墙功能。而且，所示的路由器112具有“拴合”到路由器112的包状态检查功能116a。因此，路由器112能够对网络100a和互联网102之间传递的业务进行包状态检查，以执行一种攻击控制。
核心交换机114a连接在客户交换机114c、服务交换机114b以及路由器112之间。核心交换机114a用作用以调整客户交换机114c、服务交换机114b以及路由器112中的通信的互连点。
如上所述，尽管就其自身预期的目的而言，通过拴合方式实现的控制功能116a-116c可以相对运行良好，但是通常它们显著增加了网络100a的成本以及管理网络100a的难度。本发明的各实施例通过在独立控制面120中实现部分或全部控制功能，解决这些和其它问题。
例如，参考图1B，其示出本发明一个实施例的电子通信网络100b的高层功能框图。在某些方面网络100b与图1A所示的网络100a相似。例如，网络100b包括连接面110b和应用面130。此外，网络100b还包括控制面120，其逻辑上插入图1A的连接面110a和应用面130之间。控制面120可以被安装在连接面110a和应用面130之间，而不需要对连接面110a或应用面130作重大调整。
控制面120可以基本上或全部合并网络100b的控制功能，包括(在安装控制面120之前)由图1A的网络100a中的连接面110a执行的控制功能。例如，控制面120包括控制节点180a-180c，其中每一个控制节点可以执行接入控制、攻击控制以及应用控制的任意结合。在图1B所示的具体实例中，控制节点180a包括执行接入和攻击控制的子系统122a，控制节点180b包括执行接入和应用控制的子系统122b，控制节点180c包括执行接入、攻击和应用控制的子系统122c。尽管为了示例，图1B示出了三个控制节点180a-180c，但是，控制面120可以包括任何数量的控制节点。
相应地，这些控制功能中的一部分已经从连接面110a移除，以形成连接面110b。具体地，接入控制功能(在图1A中以IEEE 802.1X在接入控制子系统116b中实现)已经从客户交换机114c移除，QoS功能已经从子系统116c移除，以产生子系统116c’，其只执行负载均衡。
换言之，某些控制功能已经从拴合到连接面110a中的交换机114a-c以及路由器112移至控制面120中的控制节点180a-180c。图1B的已经移至控制面120的具体控制功能只是例子，并不构成本发明的限制。相反，控制功能的任意结合可以在控制面120中实现和/或被从连接面110a移除。在一个实施例中，基本上所有控制功能从连接面110a移除，并在控制面120中实现，从而，基本上将控制功能合并到控制面120中。
例如，参考图2，其示出用于在图1A的电子通信网络100a中合并控制的方法200的流程图。在步骤202，在图1A的网络100a中部署控制面120，从而产生图1B的网络100b。控制面120可以包括至少一个控制节点(例如，控制节点180a-180c中的任一个或多个)，所述控制节点包括用于检查由所述控制节点接收到的包的装置。
在步骤204，控制面120被配置为在将包发送到网络100b中的任何其它节点之前对通过控制节点180a-180c接收到的包执行网络业务控制功能。这里将配置控制面120执行的网络业务控制功能组称为“配置的网络业务控制功能”。配置的网络业务控制功能可以包括接入控制、攻击控制以及应用控制的任意组合。
例如，控制面120可以被配置(在步骤204中)为在网络100b内基本上单独地执行网络业务控制功能。例如，连接面110b可以包括一个或多个网络互连设备(例如路由器112和交换机114a-114c中的一个或多个)，所述网络互连设备在图1A的网络100a中被配置为执行配置的网络业务控制功能。而当部署控制面120时，步骤204可以包括在连接面110b中将所述网络互连设备配置为不执行配置的网络业务控制功能。
一旦控制面120被配置到网络100b中，控制面120可以执行其已经被配置为执行的网络业务控制功能。例如，参考图1C，其为示出利用控制面120对控制面120接收的包188a-188b执行配置的网络业务控制功能的示意图。
图1C示出与图1B基本相同的网络100b，不同之处在于要素116a，116c’和122a-122c已经被省略以简化附图，以及示出了一控制节点180a的内部子系统182a、184a和186a。尽管其它控制节点180b和180c可以包括与控制节点180a类似的子系统，但为了简化视图在图1C中没有示出这些子系统。
更具体地，控制节点180a-180c可以包括接收子系统(例如接收子系统182a)，用于从网络互连设备(例如连接面110中的路由器112和交换机114)接收网络业务；检查子系统(例如检查子系统184a)，用于检查接收到的网络业务；以及网络业务控制子系统(例如网络业务控制子系统186a)，用于对接收到的网络业务执行多个网络业务控制功能。网络业务控制子系统186a可以实现如图1B所示的部分或者全部接入和攻击控制子系统122a。
在图2的步骤206中，控制面120接收包。例如，该包可以由控制面120中的控制节点180a-180c之一接收。例如，该包可以是从网络100b外部接收到的包188a，或者从网络100b内部接收到的包188b。例如，当用户使用电子邮件客户端132a收发电子邮件时，包188a可以是由客户端132a接收到的电子邮件包，而包188b可以是由客户端132a发送的电子邮件包。将在此使用标号188通称包188a和188b。
在如图1C所示的实施例中，所有进入包和出去包由控制节点180a-180c之一处理。例如，包188a是从路由器112端的因特网102接收到的，其将该包传送至控制节点180b。包188b由客户端132a传送至客户交换机114c，客户交换机114c进而将包188b传送至控制节点180a。所有其它进入包和出去包同样通过控制节点180a-180c指引。
回到图2，在步骤208，控制面120对包188执行配置的网络业务控制功能。例如，控制面120可以对包188执行配置的网络业务控制功能，而不将包188传送至网络100b内部或外部的任何其它节点。例如，控制面120可以使用控制节点180a-180c之一，单独执行对包188的接入、攻击和/或应用控制。例如，如果通过控制节点180a发送包188，控制面120可以使用控制节点180a的接入和攻击控制子系统122a单独执行对包188的接入和攻击控制。
然后，在步骤210，控制面120可以转发(forward)包188，其中为本实例的目的假定在步骤208中执行的网络业务控制功能均没有指示不应该这样转发包188。例如，在包188a的情况下，控制节点180b可以转发包188a至核心交换机114a。类似地，在包188b的情况下，控制节点180a可以转发包188b至核心交换机114a。这样，在控制面120已经对包188执行配置的网络业务控制功能以后，包188只是被转发至其它节点。
参考图3，其示出了根据本发明一个实施例的控制面120执行网络业务控制功能(例如配置的网络业务控制功能)可以使用的方法的流程图。在步骤302，控制面120接收包188。例如，可以通过控制节点180a的接收子系统182a接收包188。
在步骤304，控制面120将包188中的信息与预定过滤器相比。例如，可以由控制节点180a的检查子系统184a执行过滤器比较。在步骤306，控制面120基于在步骤304中执行的比较，确定采取哪个(哪些)操作。例如，可以通过控制节点180a的业务控制子系统186a做出确定。
在步骤308，如果在步骤306中确定对包188执行接入控制，则在步骤310控制面120对包188执行接入控制。例如，可以由控制节点180a的业务控制子系统186a执行接入控制。例如，接入控制包括根据哪个设备正试图连接到网络100b、该设备的健康状况、哪个用户正在使用该设备、该用户具有什么接入权限，授权、审核和取消到网络100b的接入和对连接到网络100b的资源的访问。如以下将详细描述的，控制面120可以提供统一和一致的框架来授权或撤销通过所有客户端(无论有线、无线、本地或远程，需要或不需要客户代理软件)的接入。到网络100b的接入和/或对特定资源(例如服务器，应用，文件)的访问可以可选地被审核、加密，或需要2要素验证。
在步骤312，如果在执行接入控制之后，不需要对包188执行另外的处理，该方法结束，包188不被转发到网络100b中的任何其它节点，该方法在步骤328等待下一个包。可能不需要另外的处理的一种情况是其中包188不能满足接入控制要求。或者，例如，将不能满足接入控制要求的包限制到网络100b的子集中，例如访问者的虚拟局域网(VLAN)。如果没有满足接入控制要求，也可以采取其它操作。例如，从未验证用户和/或设备来的包可以被隔离，并可以向系统管理员提供未验证接入的通知。
参考图1D，其示出控制面120的一个实施例的示意图。在图1D示出的实施例中，控制面120中的控制节点180a-180c可以用3Com网络控制点(NCP)实现。为了便于显示，在图1D中省略应用面130。
在图1D所示的实施例中，用户104通过设备106发送进入包188a。如上所述，包188a由路由器112接收，路由器112可以在转发(局部净化(cleansed)版本的)包188a至控制节点180a之前，对包188a执行网络防火墙功能。控制节点180b对包188a执行配置的网络业务控制功能，并产生包188b的修改版本188c，并将其传送到核心交换机114a。修改的包188c可以与原始的包188a相同或不同。
如图1D的例子所示，控制节点180a可以在网络100b中的战略点部署为线缆内的块。例如，这些点包括分布层和后广域网路由器。如果传统的分布式交换机或路由器被放到适当位置，控制节点180a可以部署为独立装置。或者，例如，控制节点180a可以集成到能够容纳连接及控制面刀片(controlplane blade)的底盘中。在上述两种情况下，控制节点180a可以相对于连接面110b的架构保留线缆内的块。如此，控制节点180可以被绕过，连接面110b将继续运行(虽然没有控制节点180a提供的服务)。
回到步骤310中执行的接入控制，控制节点180a可以用于为本地和远程用户提供统一接入控制。例如，用户104可以通过WAN连接到控制节点180a，控制节点180a在图1D的实施例中位于网络100b的逻辑边缘。例如，用户104和设备106可以使用有线或无线的以太网端口，连接到控制节点180a。在步骤310，控制节点180a在将包188a传送至连接面110b之前对包188a执行接入控制，以使在修改的包188c满足接入控制要求的情况下修改的包188c只被转发到连接面110b。例如，控制节点180a可以使用接入策略162a执行接入控制，所述接入策略162a由可访问控制面120中的所有控制节点180a-180c的中央策略管理器160保持。接入策略162a可以包括基于用户身份、设备状态、注册位置、日期时间以及其它分类标准审核和控制对网络100b的接入的策略，从而提供统一的接入安全。
接入策略162a可以通过识别每个请求网络接入的端点、检验设备106的健康状况，执行接入控制，然后，如果不符合策略，将其隔离。例如，接入策略162a可以拒绝没有激活个人防火墙、缺乏最新的防病毒更新、或具有当前恶意程序的用户/设备的接入。当检测到不符合策略状态时，隔离过程可以通知终端用户104和/或设备106其已被隔离，并可以将设备106重新定位到能够自我纠错的位置。一旦设备106是“健康的”，控制节点180a可以通过任何数目的确定的用户验证/识别管理机制识别用户104，然后，使用中央策略管理器160确定终端用户104具有权限访问哪个网络目的地和应用。可以以个体、组、部门或整个组织级设置接入控制策略162a，以提供例如以一种方式对待侵害CEO、以另一种方式对待侵害财务部门的能力。
如果接入控制成功，并且如果在步骤306中确定对包188执行攻击控制(参见步骤314)，则在步骤316控制面120对包188执行攻击控制。例如，攻击控制可以通过控制节点180a的业务控制子系统186a执行。
如果在执行攻击控制之后，不需要对包188进行另外的处理(参见步骤318)，则该方法结束，包188不被转发至网络100b中的任何其它节点，并且该方法在步骤328等待下一个包。一个不需要另外的处理的情况是包188不满足攻击控制要求。或者，例如，在这种情况下该方法可以执行其它操作，例如向用户104发送警告。
通常，术语“攻击控制”在这里指从网络100b移除恶意程序和其它有害的业务。例如，攻击控制包括(1)攻击，例如DDoS(分布式拒绝服务)、漏洞(例如蠕虫)、利用(exploits)(例如病毒，木马，后门)和恶意程序的检测和阻断，异常行为的感知和保护；以及(2)数据窃取/破坏，例如基于策略的接入控制。
攻击控制可以以多种方式中的任一种方式执行。例如，在图1D的实施例中，控制节点180a可以使用中央策略管理器160上的攻击策略162b执行攻击控制。例如，这样的策略162b可以包括用于执行深层包检查以识别指示可能威胁的模式的策略。可以为识别的应用和用户应用一个或多个过滤器。接着，基于应用过滤器的结果，可以应用适当的策略驱动操作。例如，可以基于应用过滤器的结果隔离包188。过滤器的结果也可以用于执行应用控制。例如，可以基于应用过滤器的结果为包188分配优先权。
攻击控制可以包括将网络100b分割为分离的“安全区域”。使用该方法，由于控制节点180a阻断攻击的进一步传播，任何攻击，例如受感染便携式电脑上的蠕虫，只允许在其发生的分离区域中传播。根据用户部署的偏好，区域可以像各接入端口一样密布。
如果攻击控制成功，并且如果在步骤306中确定将对包188执行应用控制(参见步骤320)，则在步骤322控制面120对包188执行应用控制。例如，攻击控制可以由控制节点180a的业务控制子系统186a执行。
例如，应用控制可以包括(1)关键任务应用(例如，SAP，Oracle，备份(Backup))、实时应用(例如，VoIP，视频)、尽力服务应用(例如，网页浏览)以及低优先权应用(例如，P2P)的自动发现和QoS处理；(2)业务可视化；(3)应用执行监视与报警；以及(4)应用的指纹识别。例如，应用控制可以用于确保关键商业应用具有的优先级高于次重要应用，例如通过为例如语音和视频这样的延迟敏感应用提供较高的优先权(或通过为这种应用预留带宽)，使收听的和观看的质量不受影响。例如，应用控制可以为不可识别或密集带宽的点对点应用提供低优先级。
应用控制可以为在网络应用层上运行的应用提供可见性，然后根据商业策略按优先顺序排列并优化业务。深层包检查可以用于连续监控网络业务，从而允许用户看到在他们的网络上运行的应用以及终端目录系统，并增强按照公司策略检测非法服务器和阻断到这些非法服务器的接入的能力。
可以利用与用于实现攻击控制的技术相类似的技术实现应用控制。例如，攻击策略162b可以定义识别攻击(例如，冲击波蠕虫)的过滤器，并对相应的数据流采取行动(阻断攻击)。通过使用应用策略162c定义所使用的用以识别和分类应用的过滤器，随后按优先顺序排列并优化相应的数据流，应用控制可以扩充上述能力。例如，应用策略162c可以定义识别语音应用的过滤器，用802.1p和/或差别服务位(DiffServ bits)将包标记为关键任务，并对网页目标进行前向缓存(forward-cache)从而为远程用户创建次秒级应用响应时间。然后，可以用连接面110b增强由应用策略162c指定的QoS优先权。
将关键任务业务标记高优先权QoS标签也为防止零时差(zero-day)攻击提供了重要保护。零时差攻击利用以前未知的软件漏洞。由于该漏洞未被知晓，所以应用策略162a不可能识别该利用，而因为该漏洞未被知晓，因此控制节点180a可以将业务归类为限速(rate-shaped)尽力服务级。由于将关键任务业务标记为更高优先权QoS，连接面110b将自动优先处理比尽力服务业务更优先的关键任务业务。在很多情况下，这能够阻止零时差蠕虫(利用未知漏洞的蠕虫)影响关键任务应用，例如工资管理、电子商务和VoIP。这种攻击控制的方法在安全市场特别有用，并证明了通过利用攻击和应用控制能力的策略在单节点中处理数据流分类和增强的协同作用。
在步骤324，该方法基于对包188执行应用控制的结果，确定是否应该丢弃包188。例如，如果包188不能满足一个或多个接入控制和攻击控制的要求，该方法可以确定丢弃包188。如果该方法确定丢弃包188，则该方法结束，不将包188转发到网络100b中的任何其它节点，该方法在步骤328等待下一个包。否则，处理包的控制节点转发包188(参见步骤326)。例如，在由控制节点180b接收到包188a的情况下，如果包188a满足应用于该包的所有配置的控制功能，则控制节点180b将包188a转发至核心交换机114a。
尽管图3所示的实施例示出全部执行接入控制(参见步骤310)、攻击控制(参见步骤316)和应用控制(参见步骤322)这三个控制的实例，但是这并不是本发明所必须的。如上所述，可以执行接入、攻击和应用控制的任意组合。通常，如果包188满足所有配置的网络业务控制功能的要求，则在步骤326只转发包188。
而接入、攻击和应用控制的各种组合可以提供协同的效果。例如，接入控制和攻击控制可以协同工作，以不仅在网络的入口而且在设备的网络连接期间保护网络。接入控制和应用控制可以互锁以将接入控制延伸到基于用户特权和服务级许可的特定应用。这些机制可以合力使得攻击过滤器部署与特定应用相协调，从而确保最大攻击控制性能和最小误判风险。这种协同控制不仅在直观上看来比较合理，更进一步讲，它还显著降低了网络控制复杂性以及总体拥有成本。
作为另外的例子，通过应用控制收集的详细目录数据提供网络资源数据库，该数据库可以用于帮助定义接入策略。由于将在连接面内给予未分类的攻击业务默认(尽力服务)优先权，所以关键任务和实时业务的优先权使网络对零时差攻击具有复原力。
如上所述，控制面120可以基本上单独在网络100b内执行配置的网络功能。例如，连接面110可以包括由至少一个网络互连设备(例如，至少一个路由器和/或第2/3层交换机)通信连接的多个网络节点。
多个网络业务控制功能可以包括接入控制、应用控制和攻击控制中的至少两个。网络100b可以被配置为利用网络节点180a-180c基本上单独对从连接面110流向控制面120的网络业务执行配置的网络业务控制功能。例如，连接面110可以缺少用于执行配置的网络业务控制功能的组成部分。或者，例如，连接面110可以包括能够执行配置的网络业务控制功能的组成部分但是所有或基本所有这些组成部分可以被配置为不执行配置的网络业务控制功能，而选择使用控制面120提供的一个通用方法。
可以在网络100a中部署(安装)控制面120(图1A)，从而产生网络100b(图1B)，而无需修改连接面110和无需禁用连接面110中的网络互连设备(例如，路由器112和交换机114)。相似地，可以在网络100a中部署控制面120，而无需调整应用面130(例如，不调整在应用面130中执行的应用132a-132b和134a-134b中的任何应用)。
然而，当在网络100a中部署(安装)控制面120时，连接面110中的网络互连设备的至少一部分可以被配置为不执行配置的网络业务控制功能。以这种方式部署控制面120的一个优点是在对网络100b的破坏最小的情况下使控制面120在网络100b中基本上单独执行配置的网络业务控制功能。
可以用多种方式划分控制面120和连接面110之间的执行网络业务控制功能的责任。例如，参考图4，其示出在本发明的一个实施例中为了实施图2的步骤204(配置控制面120以执行配置的网络业务控制功能)而执行的方法的流程图。在步骤402，基于由连接面110接收到的网络业务，配置连接面110执行接入控制、攻击控制和应用控制的第一子集。在步骤404，可以在网络100a中安装控制面120，并配置控制面120对由控制面120接收到的网络业务执行接入控制、攻击控制和应用控制的第二子集。上述第一和第二子集被选择为相互排斥的，因而连接面110不被配置为执行网络业务控制功能的第二子集。结果，连接面110和控制面120对他们接收的网络业务，执行互斥的网络业务控制功能。
可以在任意单位级别细分连接面110和控制面120之间的“工作分配”。例如，控制面120可以排除连接面110而基本单独执行接入、攻击和应用控制中的任意一个。然而，或者，控制面120可以执行接入控制的一部分，而连接面110执行接入控制的另外部分。例如，在图1B所示的实施例中，控制面120执行QoS过滤(应用控制的一部分)，而在连接面110中的服务交换机114b执行负载均衡(应用控制的另一部分)。
而且，例如，可以仅在网络100b的子集中部署控制面120。例如，可以将网络100b划分成不同区域，并可以在这些区域中的一些区域中部署控制面120，而不在其它区域中部署控制面120。没有在其中部署控制面120的区域可以保持不变。例如，控制面120可以在其中部署控制面120的区域内基本上单独执行配置的网络控制功能，而不在网络100b的其它区域内执行配置的网络控制功能。
如图5的方法500所示，控制面120也可以用于配置安全管理连接。例如，在步骤502，可以在网络100b中的终端节点(例如设备106)和控制面120中的控制节点180a-180c中的一个节点之间建立安全管理连接。在步骤504，终端节点可以通过安全管理连接来配置控制面120，以对由控制面120接收到的网络业务在整个网络100b中基本单独执行多个网络业务控制功能。例如，所述多个网络业务控制功能可以包括网络接入控制、应用业务控制和攻击控制中的至少两个。与上述的其它例子一样，可以配置控制面120，而无需修改连接面110和无需禁用连接面110中的网络互连设备。
控制面120可以提供控制台，通过该控制台，终端节点的用户104可以配置控制面120。用户104也可以用控制台监控接入，可视化业务流，并接收攻击和异常行为报警。
再次参考图1D，可以提供动态智能更新子系统170，其包括更新的接入过滤器172a、攻击过滤器172b和应用过滤器172c。更新子系统170可以用最新的过滤器172a-172c更新中央策略管理器160。例如，可以用3Com公司的智能网络控制(INC)架构实施更新子系统170。更新子系统170可以响应新的更新的可用性或响应从网络管理员发出的请求，随时(例如根据预定时间表)执行更新。例如，更新子系统170可以使用3Com数字疫苗(DigitalVaccine)更新技术更新在更新子系统170中的过滤器172a-c。从而，控制面120可以适应商业策略中的变化，并自动保护防范动态演进设备、用户、威胁和应用管理环境。
本发明的实施例具有例如如下的多种优点。如以上关于图1A的描述，现有的企业网络包括依靠连接面110的应用面130。在这种环境中，为连接面110提供的关于其业务通过连接面110的应用的信息很少。应用面130中的应用只“看到”UDP或TCP套接字(socket)。连接面110只“看到”具有源地址和目的地址的包，而没有关于发送/接收这些包的应用的信息。
该网络架构的第一显著弱点是网络100a是一种以同等的优先权转移或发送所有包的尽力服务环境。这使得将服务的不同级别与不同应用的业务相关联难于或不可能实现，尽管希望如此。尽管存在服务质量(QoS)机制，但是由于应用这些机制的复杂性以及缺乏确保QoS标志的可信赖性的机制，很少用这些机制。例如，当缺乏安全管理连接时，如果设备通过非安全连接提供QoS标志，则QoS标志不可信赖。
图1A所示的网络架构的第二显著弱点是它几乎不能为网络管理员提供对在他们的网络上运行的应用可视性。这使得难以甚至不可能执行如业务可视化这样的应用控制功能。
通过引入控制面120能够减小或除去这些和其它弱点，控制面120在功能上(而不是物理上)插入应用面130和连接面110之间，以无缝覆盖方式移交。控制面120可以自动对业务分类，并在将业务传递到连接面110时增强对其适当的商业策略。
可以在连接面110和应用面130之间部署控制面120，无需对连接面110中的路由器112和交换机114、或对应用面130中的应用进行任何调整。可以使用在任何连接面110顶部部署为“线缆内的块”的节点实现控制面120，不管节点的品牌、制造年代(vintage)或这两者的混合。由此，如果绕开控制面120，基础IP连接面110可以起作用并保持原样。
因此，在不干扰现有的交换机114和路由器112的连接面110、不改变应用130、也不需另外的叉车式升级和替换现有的网络投资的情况下，于此公开的双控网架构可实现其目标。
而且，双控网架构不需要用单片电路(monolithic)网络设计方法来满足演进网络的需要，该方法经常有供应商倡议，但违反合理的工程设计原则，并导致供应商锁闭和抑制创新。双控网架构以开放式生态系统方法为特征，该方法能够繁荣业界最佳组合(best ofbreed)安全和应用控制创新，从而以低成本和低复杂性实现更高的客户价值。
利用能够容纳第三方应用的可扩展开放平台，可以实现控制面120。例如，可扩展开放平台可以容纳第三方客户端健康状况、ID管理、内容安全或入侵防护解决方案。这些功能可以集成到NCP的架构中。与被迫进入供应商控制的解决方案环境中相反，这种开放性允许企业用户自由利用业界最佳组合接入、攻击和应用控制，或者其它控制功能。基于创新、市场细分需要以及竞争压力，服务提供者可以创建定制的应用和管理支持，从而能够传递独特的差别化服务。
双控网络架构能够高度可视化和控制正在使用网络的用户、正在接入网络的设备、网络上所有业务的种类和健康状况，并具有结合确定的商业优先权和策略按优先顺序排列业务的能力。
双控网络架构为企业网络工作者提供对进入网络的每个用户和每一设备的完全控制，从而，显著降低网络、资源或信息被窃取、破坏或滥用的风险。与设备类型、本地或远程接入位置、有线或无线接入协议无关，该接入控制沿所有形式的接入以共同的、成本有效的方式传递。而且，一旦设备和用户连接到网络，就连续监视每个业务流以防范恶意的和有害的业务，该恶意的和有害的业务通过行业领先的基于IPS的攻击控制被有效滤除。
对于完全安全的网络，信息技术(IT)能够将所有注意力转向增值工作上，该增值工作确保关键任务应用在商业驱动、策略增强优先级和优化的情况下被处理。随着语音、数据和视频完全集中到单一IP基础设施中，可以实现大量通信和极大进步，从而将企业生产力和用户满意度推向新的水平；但是，如果不能以适当延迟处理语音，不能加速至关重要的供应链和制造控制交易，以及移动、分布全球的工人的和企业外部网合作伙伴的应用响应时间差，则上述一切都是徒劳。双控网应用控制通过执行分类和加强企业策略的困难和动态的工作、以及优化每个业务流以使连接面110能够做它做的最好的工作(将包从一位置移动到另一位置)，来满足这些需要。
双控网架构的这些和其它特征可以提供底线商业利益。例如，双控网架构通过使系统不停运行、交易持续进行、保持公司名誉完好以及使企业保持符合调整的需求，可以促进商业连续性。
通过提供更好的网络和应用性能，利用自动化的处理减轻IT人员的压力，并用先进的集中的应用提高效率，双控网架构可以促进提高生产力。
双控网架构可以减少资金和运行费用。由于通过增加的控制提高了网络效率，所以可以降低资金支出。例如，应用控制保护关键任务业务，减少网络过度设计(over-engineering)、集中，并滤除恶意、欺诈业务。由于减少了管理分散数据、语音和视频网络，调查攻击，攻击后清除，点对点(ad hoc)修补以及普通反作用行为所需要的资源，所以减少了运作费用。
因为双控网架构的实施例可以被部署为与现有网络重叠，而不需要叉车式升级，所以双控网架构的实施例易于部署。因此，由于控制面120的部署不影响现有的连接面110，企业组织可以发现双控网的实施例的采用是无缝的、成本有效和低风险的。
应当理解的是，尽管以上根据具体实施例描述本发明，但是，前述的实施例只是示例，并不限制或界定本发明的范围。各种其它实施例，包括但不限于以下实施例，也在权利要求的范围内。例如，于此描述的要素和部件可以进一步划分成另外的部件，或连接在一起形成用于执行相同功能的较少的部件。
在于此描述的某些实施例中，要求配置的网络控制功能包括接入控制。然而，这不是本发明的所有实施例的要求。在本发明的某些实施例中，配置的网络控制功能可以包括接入控制、攻击控制和应用控制中的任意一个或任意结合。
可以用多种方式实现控制面120。例如，控制面120可以包括一个或多个网络控制设备，其中，每一个网络控制设备适于安装在电子通信网络中，该电子通信网络包括通过至少一个网络互连设备(例如路由器或第2/3层交换机)通信连接的多个网络节点。在单一装配(unitary assemblage)中，网络控制设备可以包括输入/输出装置，用于通信连接网络控制设备和电子通信网络；电源装置，用于为网络控制设备提供电源；以及逻辑处理电路，能够配置为对通过输入/输出装置流入网络控制设备的业务执行网络业务控制功能。其中，所述网络业务控制功能包括网络接入控制和(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
例如，上述技术可以硬件、软件、固件或它们的任意组合实施。上述技术可以在可编程计算机上执行的一个或多个计算机程序实施，所述可编程计算机包括处理器、处理器可读的存储介质(例如，包括易失性的和非易失性的存储器和/或存储元件)、至少一个输入设备以及至少一个输出装置。程序代码可以被应用于利用输入设备输入的输入数据，以执行上述功能并产生输出。该输出可被提供至一个或多个输出装置。
落入下述权利要求的范围内的各计算机程序可以任何编程语言实施，例如汇编语言、机器语言、高级程序编程语言或面向对象编程语言。例如，编程语言可以是编译或解释性编程语言。
这种计算机程序都可以计算机程序产品实现，该计算机程序产品以机器可读存储设备具体实施，以通过计算机处理器执行。本发明的方法步骤可以由计算机处理器执行在计算机可读介质上具体实施的程序以通过对输入数据处理和产生输出执行本发明的功能而执行。例如，适当的处理器包括通用和专用目的的微处理器。通常来说，处理器从只读存储器和/或随机存取存储器接收指令和数据。适于具体实施计算机程序指令的存储设备包括例如所有形式的非易失存储器，例如半导体存储器件，包括EPROM、EEPROM和闪存器件；磁盘，例如，内置硬盘和可移动磁盘；磁光盘；和CD-ROM。前述的任意一种存储设备可以增加专门设计的ASIC(专用集成电路)或FPGA(现场可编成门阵列)或被合并到专门设计的ASIC或FPGA中。计算机通常也能从诸如内置磁盘(未示出)或可移动磁盘的存储介质接收程序和数据。这些要素也将在传统台式或工作站计算机，以及适于执行实施这里所述的方法的计算机程序的其它计算机中出现，这些要素可结合任何数字打印引擎或标记引擎、监视器或能够在纸、胶卷、显示屏或其它输出介质上产生彩色或灰度像素的其它光栅输出装置使用。
权利要求
1.一种电子通信网络中的合并控制的方法，所述方法包括如下步骤(A)在所述电子通信网络中部署至少一个控制节点，其中所述至少一个控制节点包括用于检查所述至少一个控制节点接收的包的装置；以及(B)在将所述至少一个控制节点接收的包发送到所述电子通信网络中的任何其它节点之前，配置所述至少一个控制节点对所述包执行网络业务控制功能，其中所述网络业务控制功能包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
2.根据权利要求1所述的方法，其中，步骤(B)包括如下步骤配置所述电子通信网络在所述至少一个控制节点中基本上单独地执行所述网络业务控制功能。
3.根据权利要求2所述的方法，其中，所述电子通信网络包括不被配置为执行所述网络业务控制功能的至少一个网络互连设备。
4.根据权利要求3所述的方法，其中，所述至少一个网络互连设备包括至少一个第2层交换机。
5.根据权利要求3所述的方法，其中，所述至少一个网络互连设备包括至少一个第3层交换机。
6.根据权利要求3所述的方法，其中，所述至少一个网络互连设备包括至少一个路由器。
7.根据权利要求1所述的方法，其中，所述网络接入控制包括控制设备到所述电子通信网络的初始连接，如果所述设备进行未被授权的行为，则撤销所述设备到所述电子通信网络的接入。
8.一种用于电子通信网络的方法，所述方法包括如下步骤(A)在所述电子通信网络中的控制节点接收包；以及(B)在所述控制节点，对所述控制节点接收的包执行网络业务控制功能，而不将所述包发送到所述电子通信网络中的任何其它节点，其中所述网络业务控制功能包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
9.根据权利要求8所述的方法，还包括如下步骤(C)在步骤(B)之后，将所述包发送到所述电子通信网络中的另一节点。
10.一种电子通信网络，包括第一节点；以及控制节点，其包括用于检查所述控制节点接收的网络业务的装置；以及用于在将所述控制节点接收的所述网络业务发送到所述第一节点之前对所述网络业务执行网络业务控制功能的装置，其中所述网络业务控制功能包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
11.根据权利要求10所述的电子通信网络，其中，用于执行所述网络业务控制功能的所述装置包括用于在不将所述网络业务发送到所述电子通信网络中的任何其它节点的情况下执行所述网络业务控制功能的装置。
12.根据权利要求11所述的电子通信网络，还包括用于在用于执行所述网络业务控制功能的所述装置执行所述网络业务控制功能之后将所述网络业务发送到所述第一节点的装置。
13.一种网络控制设备，其适于安装在电子通信网络中，所述电子通信网络包括由至少一个网络互连设备通信连接的多个网络节点，所述网络控制设备在单一装配中包括(a)输入/输出装置，用于将所述网络控制设备通信连接到所述电子通信网络(b)电源装置，用于为所述网络控制设备提供电源；以及(c)逻辑处理电路，能够配置为对通过所述输入/输出装置流入所述网络控制设备的业务执行网络业务控制功能，其中所述网络业务控制功能包括网络接入控制以及(1)应用业务控制、(2)攻击控制或(3)应用业务控制和攻击控制。
14.根据权利要求13所述的网络控制设备，其中，所述逻辑处理电路包括用于在不将所述业务发送到所述电子通信网络中的任何其它设备的情况下对所述业务执行所述网络业务控制功能的装置。
15.根据权利要求14所述的网络控制设备，还包括用于在所述逻辑处理电路对所述业务执行所述网络业务控制功能之后将所述业务发送到所述电子通信网络中的其它节点的装置。
16.一种电子通信网络，包括由至少一个网络互连设备通信连接的多个网络节点；至少一个控制节点，其中每个控制节点均包括用于从所述至少一个网络互连设备接收网络业务的装置；以及用于检查所接收的网络业务的装置；以及用于对所接收的网络业务执行多个网络业务控制功能的装置，所述多个网络业务控制功能包括网络接入控制、应用业务控制和攻击控制中的至少两个，其中，在整个所述电子通信网络中由所述至少一个控制节点基本上单独地执行所述多个网络业务控制功能。
17.根据权利要求16所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个第2层交换机。
18.根据权利要求16所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个第3层交换机。
19.根据权利要求16所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个路由器。
20.根据权利要求16所述的电子通信网络，其中，所述网络接入控制包括控制设备到所述电子通信网络的初始连接，如果所述设备进行未被授权的行为，则撤销所述设备到所述电子通信网络的接入。
21.一种电子通信网络，包括连接面，包括至少一个网络互连设备；以及控制面，包括至少一个控制节点；其中，所述电子通信网络配置为在所述控制面对从所述至少一个网络互连设备流入所述控制面的网络业务基本上单独地执行多个网络业务控制功能，所述多个网络业务控制功能包括网络接入控制，应用业务控制和攻击控制中的至少两个。
22.根据权利要求21所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个第2层交换机。
23.根据权利要求21所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个第3层交换机。
24.根据权利要求21所述的电子通信网络，其中，所述至少一个网络互连设备包括至少一个路由器。
25.一种用于电子通信网络的方法，所述电子通信网络包括连接面，所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；(B)配置所述控制面对所述控制面接收的网络业务执行多个网络业务控制功能，所述多个网络业务控制功能包括网络接入控制、应用业务控制和攻击控制中的至少两个；其中步骤(A)和步骤(B)在不修改所述连接面的情况下执行；在不禁用所述连接面中的网络互连设备的情况下执行；以及包括配置所述连接面中的网络互连设备的子集不执行所述多个网络业务控制功能。
26.根据权利要求25所述的方法，其中所述电子通信网络还包括应用面，以及其中步骤(A)和(B)在不修改所述应用面的情况下执行。
27.一种用于电子通信网络的方法，所述电子通信网络包括配置为执行第一多个网络业务控制功能的连接面，所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；(B)配置所述控制面对所述控制面接收的网络业务执行第二多个网络业务控制功能，其中所述第二多个网络业务控制功能包括网络接入控制、应用业务控制和攻击控制中的至少两个；以及(C)配置所述连接面不执行所述第二多个网络业务控制功能。
28.根据权利要求27所述的方法，其中所述电子通信网络还包括应用面，以及其中步骤(A)和(B)在不修改所述应用面的情况下执行。
29.一种用于电子通信网络的方法，所述电子通信网络包括连接面，所述方法包括如下步骤(A)在所述电子通信网络中安装控制面；以及(B)配置所述控制面在整个所述电子通信网络中对所述控制面接收的网络业务基本上单独地执行多个网络业务控制功能，所述多个网络业务控制功能包括网络接入控制、应用业务控制和攻击控制中的至少两个。
30.根据权利要求29所述的方法，其中，步骤(B)包括在不修改连接面的情况下配置所述控制面。
31.根据权利要求29所述的方法，其中，步骤(B)包括在不禁用所述连接面中的网络互连设备的情况下配置所述控制面。
32.根据权利要求29所述的方法，其中，步骤(B)包括配置所述连接面中的网络互连设备的子集不执行所述多个网络业务控制功能。
33.一种用于电子通信网络的方法，所述电子通信网络包括连接面和控制面，所述方法包括如下步骤(A)在所述电子通信网络中建立与所述控制面的安全管理连接；(B)通过所述安全管理连接，配置所述控制面在整个所述电子通信网络中对所述控制面接收的网络业务基本上单独地执行多个网络业务控制功能，所述多个网络业务控制功能包括网络接入控制、应用业务控制和攻击控制中的至少两个。
34.根据权利要求33所述的方法，其中，步骤(B)包括在不修改连接面的情况下配置所述控制面。
35.根据权利要求33所述的方法，其中，步骤(B)包括在不禁用所述连接面中的网络互连设备的情况下配置所述控制面。
全文摘要
本发明涉及双控网架构。采用双控网架构的一种电子通信网络包括连接面和控制面，所述控制面包括用于检查由所述控制面接收的包的至少一个控制节点。所述控制面配置为在将所述包发送到电子通信网络中的任何其它节点之前对所述至少一个控制节点接收的所述包执行网络业务控制功能。所述网络业务控制功能包括接入控制、攻击控制和应用控制中的一个或多个。
文档编号H04Q11/00GK101018200SQ20071000817
公开日2007年8月15日 申请日期2007年1月26日 优先权日2006年2月10日
发明者马克·威尔比克-勒迈尔, 布赖恩·C.·史密斯 申请人:3柯姆公司