A network architecture includes a communication network that supports one
or more network-based Virtual Private Networks (VPNs). The communication
network includes a plurality of boundary routers that are connected by
access links to CPE edge routers belonging to the one or more VPNs. To
prevent traffic from outside a customer's VPN (e.g., traffic from other
VPNs or the Internet at large) from degrading the QoS provided to traffic
from within the customer's VPN, the present invention gives precedence to
intra-VPN traffic over extra-VPN traffic on each customer's access link
through access link prioritization or access link capacity allocation,
such that extra-VPN traffic cannot interfere with inter-VPN traffic.
Granting precedence to intra-VPN traffic over extra-VPN traffic in this
manner entails partitioning between intra-VPN and extra-VPN traffic on the
physical access link using layer 2 multiplexing and configuration of
routing protocols to achieve logical traffic separation between intra-VPN
traffic and extra-VPN traffic at the VPN boundary routers and CPE edge
routers. By configuring the access networks, the VPN boundary routers and
CPE edge routers, and the routing protocols of the edge and boundary
routers in this manner, the high-level service of DoS attack prevention is
achieved.
Uma arquitetura de rede inclui uma rede de comunicação que suporte aquele ou mais rede-baseiem redes confidenciais virtuais (VPNs). A rede de comunicação inclui um plurality dos routers do limite que são conectados pelas ligações do acesso aos routers da borda de CPE que pertencem a o um ou mais VPNs. Para impedir o tráfego fora de VPN de um cliente (por exemplo, tráfego do outro VPNs ou o Internet em grande) de degradar o QoS fornecido ao tráfego dentro de VPN do cliente, a invenção atual dá a precedência ao tráfego extra-VPN do excesso intra-VPN-VPN do tráfego na ligação do acesso de cada cliente com o prioritization da ligação do acesso ou o alocamento da capacidade da ligação do acesso, tal que o tráfego extra-VPN não pode interferir com o tráfego inter-VPN-VPN. Conceder a precedência ao tráfego extra-VPN do excesso intra-VPN-VPN do tráfego nesta maneira envolve dividir entre o tráfego intra-VPN-VPN e extra-VPN na ligação física do acesso usando a camada multiplexing de 2 e configuração de protocolos do roteamento para conseguir a separação lógica do tráfego entre o tráfego intra-VPN-VPN e o tráfego extra-VPN nos routers dos routers do limite de VPN e da borda de CPE. Configurarando as redes de acesso, os routers do limite de VPN e os CPE afíam routers, e os protocolos do roteamento dos routers da borda e do limite nesta maneira, o serviço high-level da prevenção do ataque do DoS são conseguidos.
