WO2025078600A1 - Methods for verifying, for managing, for controlling and for performing a verification of the accessibility of an equipment, and corresponding equipment, control server, network controller, relay entity and computer program - Google Patents
Methods for verifying, for managing, for controlling and for performing a verification of the accessibility of an equipment, and corresponding equipment, control server, network controller, relay entity and computer program Download PDFInfo
- Publication number
- WO2025078600A1 WO2025078600A1 PCT/EP2024/078682 EP2024078682W WO2025078600A1 WO 2025078600 A1 WO2025078600 A1 WO 2025078600A1 EP 2024078682 W EP2024078682 W EP 2024078682W WO 2025078600 A1 WO2025078600 A1 WO 2025078600A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- equipment
- network
- network slice
- verification
- verification message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Definitions
- a network slice can be defined as a logical or physical partition of the network, such as a virtual private network (VPN) deployed on fixed infrastructure, mobile infrastructure, or a combination of both.
- VPN virtual private network
- the characteristics of a network slice are mainly expressed in terms of capacity (bandwidth) and quality of service (e.g. latency or one-way transit time), or even security (e.g. preservation of the confidentiality of information transmitted within the VPN through the use of encryption techniques) and service functions (“Service Functions (SF)”).
- bandwidth bandwidth
- quality of service e.g. latency or one-way transit time
- security e.g. preservation of the confidentiality of information transmitted within the VPN through the use of encryption techniques
- service functions (“Service Functions (SF)”.
- traffic that can be routed within a network slice is subject to authorization (also called access control) to use the path(s) established within said slice.
- authorization is typically based on the application of traffic classification rules.
- These rules are generally applied by a node located at the edge of the network within which network slices have been deployed.
- Such an edge node is generally deployed in front of customer access (for example, an access router) or used to connect a network to other neighboring networks (for example, an edge router or edge node).
- an edge node may be located at the connection interface of a gateway that provides access to the Internet. This gateway is called a "Packet Gateway" for the most recent generations (4G, 5G) of mobile networks.
- traffic classification and admission control rules are applied at the edge of the network, in edge nodes (e.g., access router, border router).
- Applying traffic classification rules can be complex, as the level of granularity associated with the engineering and deployment of a network slice can be macroscopic (e.g., a network slice deployed to route traffic to the Internet), or microscopic (for example a network slice deployed for application traffic exchanged between two mobile devices).
- This granularity generates an overall complexity of network slice engineering, for example a difficulty in optimizing the use of resources implemented by a network slice, by a set of network slices, or by all network slices, or a difficulty in strictly guaranteeing the isolation of traffic routed within a network slice, or even a difficulty in strictly guaranteeing the level of quality or security associated with a network slice, or even the level of availability and resilience of a given network slice, etc.
- an ICMP Internet Control Message Protocol
- Echo Request Internet Control Message Protocol
- Ping Internet Control Message Protocol
- ICMP Internet Control Message Protocol
- ICMP Internet Control Message Protocol
- forward traffic the path taken by the data coming from the device
- return traffic the path taken by the data going to the device
- the "forward" traffic classification rules which allow, in particular, a path to be taken within a network slice, are unsuitable for processing "return” traffic, which is likely to take a different path if the routing is asymmetric.
- the return traffic may be routed within the same network slice as that used to route the “go” traffic, or within a different network slice but to which the equipment would also be connected.
- traffic classification rules may be ineffective if the data path crosses a network that does not have network slices, or does not support a specific type of network slice chosen to route the data.
- the invention proposes a solution seeking to meet this need, in the form of a method for verifying the accessibility of equipment for routing data to said equipment via at least one network slice, comprising:
- Such a method can in particular be implemented by the equipment whose reachability is to be verified for the routing of return traffic (i.e. to the equipment) via one or more network slices.
- the equipment receives information relating to at least one verification message from a control server (in English "Probing Server"), via a secure channel.
- a control server in English "Probing Server”
- Such a control server can in particular generate at least one verification message, on the basis of instructions or guidelines transmitted by the equipment to the control server as explained below, or well known to the control server.
- such a verification message corresponds to at least one action of "verifying the accessibility of the equipment via at least one network slice" to be executed.
- Receiving this information lets the equipment know that a process of verifying its reachability has been initiated.
- the equipment can verify the execution of said at least one action using said information. For example, if the equipment receives via at least one network slice a verification message corresponding to at least one action to be executed, it can verify whether the received verification message corresponds to the information relating to the verification message previously received via the secure channel. If this is the case, the accessibility of the equipment for routing data to the equipment via said at least one network slice is confirmed.
- the equipment does not receive a verification message for all or part of the network slices subject to the current verification, or receives a verification message via at least one network slice which does not correspond to the information relating to the verification message previously received via the secure channel, the accessibility of the equipment for routing data to the equipment via at least one network slice subject to the current verification is not confirmed.
- the method comprises the prior transmission by said equipment, via said secure channel, of instructions comprising at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed and possibly at least one of the following information:
- control server may test all network slices to which the equipment is connected or to which it is authorized to connect, by transmitting at least one verification message via each of these network slices.
- the identification information of a network segment makes it possible, for example, to test the reachability of the equipment only on a local network, by transmitting at least one verification message from at least one relay entity connected to the local network.
- they make it possible to test the reachability of the equipment on a wide area network, corresponding for example to a regional backbone network, by transmitting at least one verification message from at least one relay entity connected to the wide area network.
- the identification information of a network segment also makes it possible to test the reachability of the equipment according to networks implementing different digital communication techniques (Wi-Fi® or 5G for example).
- One or more relay entities can be selected to issue the verification messages, which can be issued concurrently or sequentially by these relay entities.
- the equipment selects a control server connected to the same network as the relay entity intended to transmit said at least one verification message.
- a control server connected to the same network as the relay entity intended to transmit said at least one verification message.
- at least one control server internal to the local network can be selected to test the reachability of the equipment on the local network.
- at least one control server external to the local network can be selected.
- the equipment does not need to know the identity of the relay entity directly. For example, the equipment uses information from the control server(s) to select an appropriate control server.
- a control server may in particular indicate the network to which a relay entity is connected by broadcasting information such as an autonomous system identifier ("Autonomous System Number"), network domain name, etc.
- the equipment may apply filters according to instructions allowing it to select an appropriate control server. These filters are applied by the equipment globally or by request. Such instructions may be communicated by indicating parameters that characterize the scope of the checks, for example "test local”, “test_peer” (test from one or all of the networks connected to the local network), “test_asn” (list of autonomous system identifiers), etc.
- a correlation can be made between the content of a verification message received by the equipment and the information relating to this verification message previously received by the equipment from said control server.
- the method comprises the transmission by said equipment of a response to said at least one verification message.
- a response may in particular be sent by the equipment when the verification message is a verification request.
- Such a response may be sent to the control server sending the verification message, or to the relay entity sending the verification message.
- information can be exchanged between the equipment and at least one control server.
- the method comprises the transmission, via the secure channel, of at least one descriptive information of said equipment belonging to the group comprising:
- the invention relates to equipment suitable for implementing the accessibility verification method described above.
- equipment may of course have the various characteristics relating to the accessibility verification method according to the invention, which may be combined or considered in isolation.
- the characteristics and advantages of this equipment are the same as those of the method and are not detailed further.
- the invention also relates to a method for managing the accessibility of equipment for routing data to said equipment, via at least one network slice, implemented by a control server, comprising:
- such instructions may be transmitted by the equipment, or known in advance to the control server.
- these instructions are used to construct at least one verification message.
- Verification messages may then be sent by the control server to the equipment, and/or by at least one relay entity to the equipment.
- separate verification messages may be generated for transmission by the same relay entity or separate relay entities.
- the method comprises the transmission, to the equipment, of said at least one verification message via at least one network slice or type of network slice to be tested.
- the control server can thus directly transmit one or more verification messages to the equipment (for example, one verification message per network slice to be tested).
- the equipment may respond to the verification message it receives from the control server, in particular if the verification message is a verification request.
- the process includes:
- control server transmits an error message to the equipment, the latter can restart the verification procedure to test its reachability via another network slice, for example.
- the method comprises:
- the control server can thus transmit one or more verification messages to the equipment via at least one relay entity (for example to test the reachability of the equipment on a network segment between the relay entity and the equipment).
- the equipment may respond to the verification message that it receives from a relay entity, in particular if the verification message is a verification request.
- the relay entity can transmit an error message to the control server.
- the latter can then relay said error message to the equipment, and the latter can restart the verification procedure to test its reachability via another relay entity, for example.
- the control server can thus transmit one or more verification messages to the equipment via at least one network controller and at least one relay entity (for example to test the reachability of the equipment on a network segment between the relay entity and the equipment).
- the process includes:
- the method implemented by the network controller comprises receiving, from said at least one selected relay entity, information relating to a response to said at least one verification message.
- the invention further relates to a method for carrying out a verification of the accessibility of equipment for the routing of data to said equipment, via at least one network slice, implemented by a relay entity, comprising: - receiving at least one verification message (or information relating to said at least one verification message) from a control server, or at least one verification message (or information relating to said at least one verification message) from a network controller of the network to which said relay entity is connected, said at least one verification message corresponding to at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed by said relay entity,
- the verification message sent by the relay entity can be constructed from information relating to said at least one verification message transmitted by the control server or the network controller.
- the process implemented by the relay entity includes:
- said at least one verification message according to the different methods belongs to the group comprising:
- the invention also relates to at least one computer program comprising instructions for implementing at least one of the methods described above, when this or these programs are executed by a processor, as well as at least one information medium readable by a computer comprising instructions of at least one computer program as mentioned above.
- the method according to the invention can be implemented in various ways, in particular in wired form or in software form.
- Figure 1 illustrates an example of a communication network composed of several sub-networks
- Figure 2 illustrates an example of aggregation of several services within the same network slice
- Figure 3 illustrates an example of deployment of several service instances
- Figure 4 represents a system in which the invention can be implemented
- Figure 5A illustrates the main steps of the methods according to a first embodiment of the invention
- Figure 5B illustrates the messages exchanged according to this first embodiment
- Figure 6A illustrates the main steps of the methods according to a second embodiment of the invention
- Figure 6B illustrates the messages exchanged according to this second embodiment
- Figure 7A illustrates the main steps of the methods according to a third embodiment of the invention
- Figure 7B illustrates the messages exchanged according to this third embodiment
- Figure 8 illustrates an example of implementation with a control server internal to the network to which the equipment is connected
- Figure 9 illustrates an example of implementation with a control
- a network slice can be associated with other network slices to provide value-added services.
- a service provider can rely on slices set up in different subnetworks to provide a service whose traffic is intended to be routed in the "global" network slice composed of slices deployed in the different subnetworks. This is called a "multi-domain slice” (or “stitched slices” or “hierarchical slices”).
- Such a network slice can indeed reflect a hierarchical structure.
- the SSP (Slice Service Provider) network 12 may be composed of several subnetworks 121, 122 and 123. Each subnetwork may support one or more network slices.
- the first subnetwork 121 supports four network slices
- the second subnetwork 122 supports three network slices
- the third subnetwork 123 supports four network slices.
- the first network slice SI. #1 161 of the communication network is for example composed of network slices SI. #3 deployed on subnetwork 121, SI. #2 deployed on subnetwork 122 and SI. #2 deployed on subnet 123.
- connection interfaces between adjacent slices (“Attachment Circuits” in English) are for example managed using the mechanisms described in the document “YANG Data Models for 'Attachment Circuits'-as-a-Service (ACaaS)” by M. Boucadair et al., version 6 published on May 3, 2023.
- each subnetwork may be associated with a distinct domain (e.g., a communications network may consist of an access network, a backhaul network, a core network, and a transit network).
- a distinct domain e.g., a communications network may consist of an access network, a backhaul network, a core network, and a transit network.
- Each of these domains supports network slices whose engineering and operation are characteristic of the domain (e.g., a slice deployed on a 5G mobile core network may use traffic processing and operation functions characteristic of a 5G mobile core network).
- Each domain access, backhaul, core, transit, etc.) may use different technologies to realize the network slices.
- the creation of a network slice that extends over several domains is not conditioned by the availability or activation of the same technologies used for the creation of the slices "local" to each domain.
- a first domain associated with the first subnet 121 sets up IPsec tunnels that are used to route traffic in the slices deployed in this domain, while a second domain associated with the second subnet 122 uses network-level virtual private network engineering ("Layer 3 VPN” or L3VPN) combined with traffic engineering mechanisms ("Traffic Engineering” or TE) to route traffic in the slices deployed in this domain, while a third domain associated with the third subnet 123 uses the resources of segment routing based on the IPv6 protocol (“Segment Routing IPv6" or SRv6) to route traffic in the slices deployed in this domain.
- Layer 3 VPN or L3VPN
- Traffic Engineering Traffic Engineering
- a third domain associated with the third subnet 123 uses the resources of segment routing based on the IPv6 protocol (“Segment Routing IPv6" or SRv6) to route traffic in the slices deployed in this domain.
- a network slice for example a 5G network slice in the case of a latest generation mobile network
- the association of a network slice, for example a 5G network slice in the case of a latest generation mobile network, with the network slices deployed in each of the segments / subnetworks composing the 5G mobile network is carried out in the control plane and at the edge of each of the RAN, CN and TN networks.
- the network slice deployed in the TN network is sometimes called "IETF Network Slice".
- no assumption is made as to the nature of the network slices deployed in a network, their number, and the "mapping" between network slices of neighboring domains (for example RAN and TN, TN and CN).
- a network slice may involve one or more service functions (or “Service Functions” in English, according to the terminology used by RFC7665 - “Service Function Chaining (SFC) Architecture” by J. Halpern et al. published in October 2015, or "Network Functions” such as gNB (“gNodeB”) or UPF ("User Plane Function”) according to the terminology used by 3GPP).
- SFC Service Function Chaining
- a single service function may be provided by one or more service instances.
- Figure 3 illustrates an example of deployment of service instances.
- a service instance may be hosted by the SSP (e.g., service instances 33 and 34) or within another infrastructure (e.g., service instance 35).
- service chains can be set up in order to facilitate the routing of traffic of different natures and having different profiles for the needs of creating a network slice or within a network slice.
- These service chains may notably use one or more service instances hosted by a first network.
- the chain SFC#1 is formed by the service instances 311, 312 and 313 hosted by the SSP.
- service chains may also use one or more service instances hosted by a second network.
- chain SFC#2 is formed by service instances 311, 312, and 313 hosted by the SSP and service instances 314 and 315 hosted by another network.
- a piece of equipment can be a user equipment (UE), a service instance, a CPE, a server, a router, etc.
- the equipment can be mobile, fixed, etc.
- Applications can be used to access a service from a device. These applications can request specific processing via APIs exposed by the device's operating system (OS).
- OS operating system
- the general principle of the invention is based on the exchange of messages between a device and at least one dedicated control server, so as to verify the accessibility of the device via at least one network slice, more precisely when the device is the recipient of the traffic.
- instructions or "control instructions” can be exchanged via a secure channel between the equipment and a dedicated control server.
- Such instructions include in particular at least one action of "verifying the accessibility of the equipment via at least one network slice” to be executed.
- the equipment can check whether there is a link between information relating to at least one verification message generated by the control server from the instructions, this information having been transmitted from the control server to the equipment via the secure channel, and the verification message(s) received by the equipment.
- Slicing and tracing over LArge scale Managed networks for A La carte Communications Such a procedure is hereinafter called “Slicing and tracing over LArge scale Managed networks for A La carte Communications”, or SALAMALEC, for large-scale reachability procedure via network slices.
- Figure 4 illustrates an exemplary system in which the invention may be implemented.
- the equipment is considered to be a user equipment UE 41 (“User Equipment” in English) connected to an SSP network 42 implementing network slices, for example two network slices SI. #1 421 and SI. #2 422 (“Slice” in English).
- UE 41 User Equipment
- SSP network 42 implementing network slices, for example two network slices SI. #1 421 and SI. #2 422 (“Slice” in English).
- Such a control server makes it possible in particular to assist the UE equipment 41 in the execution of the availability verification process by network slice, as explained below.
- a control server can select one or more relay entities intended to relay verification messages corresponding to at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed.
- At least one network controller 46 also called NC for “Network Controller”, can be deployed in the network to which the equipment is connected (SSP 42) or in a separate network. It can in particular control the network to which at least one relay entity is connected.
- the network controller 46 can control the border routers 441 and 442.
- At least one secure channel 50 is established between the equipment 41 and at least one control server.
- a control server may be connected to the network to which the equipment 41 is itself connected or be connected to a separate network.
- Such a channel is hereinafter called a SALAMALEC channel.
- the control server for example the SPS server 45, obtains (451) instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed.
- such instructions are known to the SPS server.
- the SPS server has information on the conditions of attachment of the equipment 41 to the different network slices because it is connected to the same network as the equipment.
- the equipment 41 can transmit (411) to the SPS server 45, via the secure SALAMALEC channel 50 between the equipment 41 and the SPS server 45, such instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed.
- the SPS server 45 receives the instructions transmitted via the secure channel 50 from the equipment 41.
- such instructions comprise at least one of the following information: network slice identification information for identifying at least one network slice or type of network slice to be tested for routing data to the equipment, network segment identification information for identifying at least one relay entity to be requested to test the routing of data to the equipment.
- a relay entity corresponds for example to an injection point, i.e. to a place where verification messages can be injected into the network, as described below.
- the SPS server 45 can then generate (452), from the instructions (received from the equipment 41 or previously known to the SPS server 45), at least one verification message corresponding to said at least one action to be executed. It is noted that different verification messages can be generated to test different network slices (or types of network slice) or different segments/relay entities.
- the SPS server 45 can then transmit (453) to the equipment 41, via the secure channel 50, information relating to said at least one verification message.
- information can be the verification message itself, or information making it possible to make the link with the verification message.
- the elements exchanged between the equipment 41 and the SPS server 45 are also called “Probing CTL”, or control instructions.
- the equipment 41 can send to the SPS server 45 a response to the verification message that it has received.
- Information relating to the response(s) received by the SPS server can be transmitted to the equipment via the secure channel 50, for example in a response message.
- the response message may include an error code if a transmission error occurs. detected or if no response is received by the SPS server after a predetermined time.
- the SPS server can transmit an error message to the equipment, and the latter can restart the verification procedure to test its reachability via another SPS for example.
- the equipment 41 does not receive the verification message (for example after a determined delay, typically after the expiration of a delay from the launch of the verification tests, of the order of 60 seconds for example), while it has received the information relating to said at least one verification message, this means that the equipment cannot be reached via the network slice(s) or type(s) of network slice tested.
- the equipment may, if necessary, trigger a procedure to notify its network provider of this reachability problem or reset its connection to the network slice tested in order to restore the service via one or more network slice(s) or type(s) of network slice.
- a secure channel 510 (respectively 520) is established between the equipment 41 and the control server 51 (respectively 52).
- the instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed, any identification information and the information relating to at least one verification message (“Probing CTL”), can be exchanged between the equipment 41 and the control server 51 via the secure channel 510, and between the equipment 41 and the control server 52 via the secure channel 520.
- the control instructions transmitted in the different secure channels can be different (for example to test different network slices).
- the SPS server 45 selects (454) at least one relay entity from instructions.
- a relay entity corresponds to an injection point of a verification message making it possible to verify the reachability of the equipment 41 on a segment located between the relay entity and the equipment 41.
- one or more relay entities can be used to verify the reachability of the equipment 41 on a local network, on a regional backbone network, etc.
- the selected relay entity is for example the border router 441 or all the border routers of a network.
- a channel 61 for example a secure channel, is established between the selected network controller (for example NC 46) and the SPS server 45, and a channel 62, for example a secure channel, is established between the selected network controller (for example NC 46) and the selected relay entity (for example BR 441).
- At least one verification message (or information relating to said at least one verification message) can then be transmitted (456') from the SPS server 45 to the network controller 46 via the channel 61.
- the latter can send said at least one verification message (or information relating to said at least one verification message) to the border router 441, via the channel 62.
- the verification message (or information relating to said at least one verification message) can thus be received (4411) by said border router 441 (i.e. by at least one relay entity).
- the border router 441 can then send (4412) the verification message (possibly after constructing said verification message from said information relating to said at least one verification message), for example an ICMP “Echo Request” request, an I0AM request, at least one UDP “Traceroute” packet, at least one LSP Ping packet, or at least one SFC Ping packet, to the equipment 41, via at least one network slice or a type of network slice to be tested for the routing of data from the border router 441 to the equipment 41.
- the verification message possibly after constructing said verification message from said information relating to said at least one verification message
- the equipment 41 via at least one network slice or a type of network slice to be tested for the routing of data from the border router 441 to the equipment 41.
- the equipment 41 can send to the relay entity 441 a response to the verification message that it has received.
- Information relating to the response received by the relay entity 441 can be transmitted to the network controller 46 via the channel 62.
- the information received by the network controller 46 can be transmitted to the SPS server 45 via the channel 61.
- the information received by the SPS server can be transmitted to the equipment 41 via the secure channel 50, for example in a response message.
- the response message can in particular include an error code if a transmission error is detected or if no response is received by the relay entity after a predetermined time.
- Figure 6B illustrates an example of messages exchanged between a device 41, at least one control server, for example the SPS server 45, at least one network controller, for example the network controller 46, and at least one relay entity, for example the border router 441.
- control server for example the SPS server 45
- network controller for example the network controller 46
- relay entity for example the border router 441.
- At least one verification message (or information relating to said at least one verification message) may then be transmitted (456") from the SPS server 45 to the border router 441 via channel 71.
- the equipment 41 does not receive the verification message (for example after a determined delay, typically after the expiry of a delay from the launch of the tests, of the order of 60 seconds for example), while it has received the information relating to said at least one verification message, this means that the equipment 41 cannot be reached from the relay entity via the network slice(s) or type(s) of network slice(s) tested.
- the instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed, any identification information and the information relating to at least one verification message (“Probing CTL”) can be exchanged between the equipment 41 and the SPS server 45 via the secure channel 50.
- the verification message(s) generated from these instructions can be transmitted to the border router 441 via the channel 71. It is noted that different verification messages can be generated for the same relay entity or for the different relay entities.
- the border router 441 can then perform the corresponding action(s), for example by sending one or more “Probing Messages” 72.
- the different secure channels implement a secure transport protocol such as the QUIC protocol (as described in the RFC 9000 standard).
- at least one secure channel can implement a secure application protocol such as the CoAP protocol (in English "Constrained Application Protocol”, as described in the RFC 7252 standard) on DTLS (in English "Datagram Transport Layer Security", as described in the RFC 9147 standard), or the PCP protocol (in English "Port Control Protocol”, as described in the RFC 6887 standard), etc.
- a verification message is for example a verification request encapsulated in a QUIC frame called "PROBING_REQUEST”.
- a response to this request can be encapsulated in a QUIC frame called "PROBING_REPLY”.
- the equipment for which the return traffic reachability is to be checked is considered to be a user equipment.
- such equipment may be a CPE, a service instance, a server, a router, etc.
- an SPS control server can be managed by a SALAMALEC Probing Provider (SPP).
- SPP SALAMALEC Probing Provider
- An SPP verification service provider can negotiate with an SSP of services based on network slices to activate the SALAMALEC procedure.
- a dedicated API can be used for this purpose, such as the "Network Exposure Function” (NEF) API.
- NEF Network Exposure Function
- This API allows, for example, to register a list of SPS servers authorized to contact a network controller (or NC, for example an SDN controller).
- NC for example an SDN controller
- Such a network controller can notably contact different relay entities to verify the reachability of a device for routing data via at least one network slice between the relay entity(ies) and the device.
- Such a relay entity therefore corresponds to a specific injection point, i.e. a place where verification messages can be injected into the network (for example to test all or part of the edge nodes of a local network, a regional network, or an interconnection link).
- Said API can also be used to communicate to the SPP provider descriptive information of at least one network controller, such as the reachability information of the network controller, in particular.
- the network controller can then be responsible for relaying the verification messages intended for the equipment to negotiated passage points (for example all or part of the ASBR type routers). For example, at least one IP address and authentication information of a network controller are exposed to the SPP provider. The latter provides this information to at least one SPS server.
- network identification information can be provided to at least one SPS server (for example, a network identifier NID or address ranges). In the following, it is assumed that the NID is used.
- an SPS server may interface directly with a relay entity.
- the device discovers one or more SPS servers.
- An SPS server can be announced using the DNS infrastructure, a web page, explicit configuration, etc.
- a SLICE_TYPE frame specifies the type(s) of network slices supported by a device or SPS server.
- the SLICE_TYPE frame can also be used to specify the type of network slices to be tested to verify the accessibility of a device. For example, a value of "0" indicates that the accessibility of the device can be tested for all types of network slices.
- a SLICEJD frame provides the identifier(s) of the network slices supported by a device or an SPS server.
- the SLICEJD frame can also be used to specify which network slices to test to verify the accessibility of a device. For example, the value "0" indicates that the accessibility of the device can be tested for all network slices known to the SPS server.
- COMO A COMO frame indicates whether the SPS server supports a collaborative mode (designated by COMO) with the network to which the equipment is connected; in other words, such a frame indicates that a procedure allowing the SPS server to control the injection points of verification messages has been implemented.
- PROBING_REQUEST A PROBING_REQUEST frame can contain a verification message. For example, a PROBING_REQUEST frame encapsulates a verification request (“Request”). This PROBING_QUEST frame can be decapsulated, and the verification request sent by a relay entity, for example (a router at the edge of the network).
- PROBING_REPLY A PROBING_REPLY frame can carry a response message. For example, a PROBING_REPLY frame encapsulates a response (“Reply”). This response can be encapsulated by a relay entity, for example.
- PROBING_REQUEST frame For example, the structure of a PROBING_REQUEST frame is as follows:
- Request_type (i) The type of the encapsulated probe request. For example, the following values can be defined: 0 (ICMP), 1 (UDP), 2 (IOAM), 3 (LSP Ping), ...
- the "Request_type (i)" information is optional, especially if a default type is defined (for example, all probe requests are of type ICMP "Echo Request").
- Network slice metadata includes information about network slices. These information can be used by a node to mark data packets, making it easier to classify a verification request to unambiguously associate it with a given slice.
- the description of the other fields is similar to that documented in the standards RFC 792 for ICMPv4 (“Internet Control Message Protocol”, J. Postel, September 1981) and RFC 4443 for ICMPv6 (“Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification”, A. Conta et al., March 2006).
- the verification request belongs to the group including:
- Such a verification request can also be used by the service provider using SSP network slices to enable it to verify the traffic classification rules it has implemented.
- a response message may be generated in response to a verification request.
- PROBING_REPLY Frame The structure of a PROBING_REPLY frame is for example as follows: PROBING_ REPLY Frame ⁇
- These messages also allow the equipment to obtain at least one descriptive information from the SPS server belonging to the group including:
- NID - at least one identifier of a network to which the SPS server is connected
- the equipment can check its reachability via a given network slice from a relay entity connected to the same network as that to which the equipment is connected, or connected to a different network, for example the Internet network.
- the device may optionally select the SPS server(s) to be used to test its reachability.
- the device may retain only the SPS servers internal to the network to which the device is connected, or only the SPS servers external to the network to which the device is connected, or even the SPS servers that support collaborative mode, as indicated in the COMO attribute. This selection may optionally be made by the device user, for example according to a selection confirmation request, according to a list of SPS servers to be checked using geographical indications, etc.
- the equipment can concurrently or sequentially request several SPS servers selected during the previous step.
- the equipment can then transmit to the SPS servers, via the various SALAMALEC channels, instructions comprising at least one action/command to be executed by the SPS server or by at least one relay entity (for example, generation of an ICMP “Echo Request” request, UDP “Traceroute” packets, LSP Ping packets, SFC Ping packets).
- instructions comprising at least one action/command to be executed by the SPS server or by at least one relay entity (for example, generation of an ICMP “Echo Request” request, UDP “Traceroute” packets, LSP Ping packets, SFC Ping packets).
- These instructions can also identify the network slice(s), or network slice type, to be tested.
- a device can request an SPS to perform checks for all or some of the available network slices. To do this, the device uses appropriate QUIC frames, such as SLICEJD and PROBING_REQUEST frames. Alternatively, no network slice is specified. In this case, the SPS can perform checks for all available network slices.
- the SPS server can in particular extract from these instructions the action(s)/command(s) to be executed to check the reachability of the equipment, network slice identification information making it possible to identify at least one network slice or a type of network slice to be tested, network segment identification information making it possible to identify at least one relay entity to be requested to test the data routing (for example the destination address corresponding to a relay entity to be requested).
- the SPS server can send at least one verification request (ICMP “Echo Request”, I0AM, etc.) to the equipment, generated from the instructions received from the equipment or according to logic specific to the SPS server.
- ICMP Echo Request
- I0AM I0AM
- Such a verification request is also called a “probing” request.
- the verification requests are constrained and must be issued from another injection point corresponding to a relay entity, according to instructions formulated by a device, its user or by an SSP.
- a relay entity can be identified by the SPS server from a destination address present in the instructions transmitted by the device.
- the SPS server may in particular generate one or more verification requests (“Request”) corresponding to one or more actions/commands to be executed.
- Such verification requests may be encapsulated in at least one PROBING_REQUEST frame.
- the SPS server may forward the PROBING_REQUEST frame(s) to at least one relay entity selected from the instructions, either directly or through a network controller.
- the SPS server may forward the PROBING_REQUEST frame(s) to the network controller connected to the same network as the device (e.g., identified by the same NID as the network to which the device is connected), or to the network controller of a network separate from the network to which the device is connected (e.g., identified by a different NID than the network to which the device is connected).
- One or more relay entities may be requested by the network controller to execute verification requests as instructed by an SPS server.
- a border router BR
- One or more relay entities may be requested by the network controller to execute verification requests as instructed by an SPS server.
- the SPS server can notify the equipment of the launch of the verification operations or the deadline for such a verification (e.g., deferred mode). To do this, the SPS server can in particular communicate to the equipment, via the secure channel, information relating to the verification requests that it has generated. A deadline can optionally be communicated to control the time beyond which the equipment terminates the verification step.
- the equipment may, if necessary, perform the necessary operations to enable the processing of received verification requests (for example, configure a firewall to accept the routing of PROBING_REQUEST frames or instantiate a state in a "Carrier-Grade NAT" CGN).
- the error message encapsulated in a PROBING_REPLY frame transmitted to the equipment allows the latter to detect and identify the reachability problem within a network slice.
- Figures 8 to 10 illustrate the execution of a SALAMALEC verification procedure according to these different embodiments.
- Applications can be used to access a service from a device. These applications can request, via APIs exposed by the device's operating system ("OS"), specific processing. For example, an application APP1 uses the device's API to check the device's reachability via a network slice Sl#1 and an application APP2 uses the device's API to check the device's reachability via a network slice Sl#2.
- OS operating system
- FIG. 9 illustrates an example where reachability via a network slice is not confirmed.
- the second border router 1042 may decapsulate the PROBING_REQUEST frame to extract the probe request.
- the second border router 1042 may then perform the action corresponding to the probe request, for example, by issuing an ICMP Echo Request.
- the device 101 receives the ICMP Echo Request via the border router BR 1041.
- the device 101 can compare the received ICMP Echo Request with the previously received information relating to the verification request. If this information is identical or correlated, the reachability of the device is confirmed via the tested network slice Sl#2 1022.
- the SALAMALEC procedure can be triggered from a device connected to the network via a CPE.
- the device can in this case instruct the CPE not to filter verification messages sent from an SPS server.
- the device can use a configuration interface of the CPE or invoke an ACL ("Access Control List") management protocol such as PCP or RESTCONF, as described in RFC8040 ("RESTCONF Protocol").
- control server is a dedicated server.
- SPS server can be embedded in a server that provides a service.
- the verification messages can then be encapsulated in the messages that are part of the service (i.e., service invocation messages such as http or SIP messages).
- such an entity comprises at least one memory 111 comprising a buffer memory, at least one processing unit 112, equipped for example with a programmable computing machine or a dedicated computing machine, for example a processor P, and controlled by the computer program 113, implementing steps of at least one method according to at least one embodiment of the invention.
- the code instructions of the computer program 113 are for example loaded into a RAM memory before being executed by the processor of the processing unit 112.
- the processor of the processing unit 112 implements steps of the method for executing a verification of the accessibility of a device for the routing of data to said device via at least one network slice, described previously, according to the instructions of the computer program 113, for:
- At least one verification message from a control server or from a network controller of the network to which said relay entity is connected, said at least one verification message corresponding to at least one action of verifying the accessibility of said equipment, via at least one network slice, to be executed by said relay entity, transmit, to said equipment, said at least one verification message.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
DESCRIPTION DESCRIPTION
TITRE : Procédés de vérification, de gestion, de contrôle, d'exécution d'une vérification de l'accessibilité d'un équipement, équipement, serveur de contrôle, contrôleur réseau, entité relais et programme d'ordinateur correspondants. TITLE: Methods for verifying, managing, controlling, and performing a verification of the accessibility of equipment, equipment, control server, network controller, relay entity, and corresponding computer program.
1. Domaine technique 1. Technical domain
Le domaine de l'invention est celui des communications au sein d'au moins un réseau de communication, et notamment le domaine des services IP à valeur ajoutée. The field of the invention is that of communications within at least one communications network, and in particular the field of value-added IP services.
Plus précisément, l'invention concerne l'acheminement de données à destination d'un équipement qui utilise les ressources de tranches réseau (« network slice » ou « slice » en anglais). More specifically, the invention relates to the routing of data to equipment which uses network slice resources.
En particulier, l'invention propose une solution pour vérifier l'accessibilité, encore appelée joignabilité, d'un équipement pour le trafic retour (c'est-à-dire le trafic à destination de l'équipement) via au moins une tranche réseau ou un type de tranche réseau. In particular, the invention proposes a solution for verifying the accessibility, also called reachability, of a device for return traffic (i.e. traffic to the device) via at least one network slice or one type of network slice.
2. Art antérieur 2. Prior art
Une tranche réseau peut être définie comme une partition logique ou physique du réseau, telle qu'un réseau privé virtuel (RPV, ou VPN pour « Virtual Private Network » en anglais) déployé sur une infrastructure fixe, mobile, ou une combinaison des deux. A network slice can be defined as a logical or physical partition of the network, such as a virtual private network (VPN) deployed on fixed infrastructure, mobile infrastructure, or a combination of both.
Les caractéristiques d'une tranche réseau sont principalement exprimées en termes de capacité (bande passante) et de qualité de service (par exemple latence ou temps de transit unidirectionnel), voire de sécurité (par exemple préservation de la confidentialité des informations transmises au sein du RPV moyennant l'utilisation de techniques de chiffrement) et de fonctions service (« Service Functions (SF) »). The characteristics of a network slice are mainly expressed in terms of capacity (bandwidth) and quality of service (e.g. latency or one-way transit time), or even security (e.g. preservation of the confidentiality of information transmitted within the VPN through the use of encryption techniques) and service functions (“Service Functions (SF)”).
A titre illustratif, l'organisme 3GPP a défini différents types de tranches réseau selon leurs caractéristiques, par exemple : un premier type de tranches réseau permettant d'offrir un service mobile large bande amélioré (« enhanced Mobile BroadBand » ou eMBB en anglais) ; un deuxième type de tranches réseau permettant d'offrir un service dans le cadre d'un déploiement (massif) de l'Internet des Objets (« massive Internet of Things » ou mloT en anglais) ; et un troisième type de tranches réseau permettant d'offrir un service de communication ultra fiable et à faible latence (« Ultra Reliable Low Latency Communications ou URLLC en anglais). For example, the 3GPP organization has defined different types of network slices according to their characteristics, for example: a first type of network slices allowing to offer an enhanced mobile broadband service ("enhanced Mobile BroadBand" or eMBB in English); a second type of network slices allowing to offer a service as part of a (massive) deployment of the Internet of Things ("massive Internet of Things" or mloT in English); and a third type of network slices allowing to offer an ultra-reliable and low-latency communication service ("Ultra Reliable Low Latency Communications" or URLLC in English).
Le choix de concevoir et de déployer un type de tranche réseau est conditionné par la nature du trafic caractéristique des applications ou services utilisés ou souscrits par un utilisateur. Par exemple, un service dit « immersif » qui exploite des techniques de réalité augmentée ou virtuelle est généralement très exigeant en termes de latence et de fiabilité des échanges de données : l'utilisation de tranches de type URLLC est donc privilégiée pour un service immersif de ce type lorsqu'il est déployé sur une infrastructure réseau mobile 5G. The choice of designing and deploying a type of network slice is conditioned by the nature of the traffic characteristic of the applications or services used or subscribed to by a user. For example, a so-called "immersive" service that uses augmented or virtual reality techniques is generally very demanding in terms of latency and reliability of data exchanges: the use of URLLC type slices is therefore preferred for an immersive service of this type when deployed on a 5G mobile network infrastructure.
Les caractéristiques d'une tranche réseau sont par exemple présentées dans le document « A Framework for Network Slices in Networks Built from IETF Technologies » de A. Farrel et al., version 25 publiée le 14 septembre 2023. The characteristics of a network slice are for example presented in the document “A Framework for Network Slices in Networks Built from IETF Technologies” by A. Farrel et al., version 25 published on September 14, 2023.
Un exemple d'utilisation de tranches réseau déployées dans une infrastructure mobile 5G est présenté dans le document « A Realization of IETF Network Slices for 5G Networks Using Current IP/MPLS Technologies » de K. G. Szarkowicz et al., version 9 publiée le 23 mai 2023. An example of using network slices deployed in a 5G mobile infrastructure is presented in the document “A Realization of IETF Network Slices for 5G Networks Using Current IP/MPLS Technologies” by K. G. Szarkowicz et al., version 9 published on May 23, 2023.
Classiquement, le trafic susceptible d'être acheminé au sein d'une tranche réseau fait l'objet d'une habilitation (aussi appelée contrôle d'accès) à emprunter le ou les chemins établis au sein de ladite tranche. Une telle habilitation repose typiquement sur l'application de règles de classification de trafic. Ces règles sont en général appliquées par un nœud situé en périphérie du réseau au sein duquel des tranches réseau ont été déployées. Un tel nœud de périphérie est généralement déployé en frontal des accès clients (il s'agit alors par exemple d'un routeur d'accès) ou bien utilisé pour connecter un réseau à d'autres réseaux voisins (il s'agit alors par exemple d'un routeur de bordure ou nœud de périphérie). Par exemple, un tel nœud de périphérie peut être situé à l'interface de raccordement d'une passerelle qui permet d'accéder au réseau Internet. Cette passerelle est désignée « Packet Gateway » pour les générations (4G, 5G) les plus récentes des réseaux mobiles. Dans ce cas, la fonction de classification de trafic peut être localisée à l'interface de raccordement d'une « Packet Gateway » au réseau Internet. Un nœud de périphérie peut également se situer à l'interface de raccordement d'un équipement mobile (ou « User Equipment » ou UE en anglais) au réseau d'accès radio (ou « Radio Access Network » ou RAN en anglais), de façon notamment à optimiser l'usage des ressources radio en fonction du type de la tranche réseau et du profil du trafic qu'elle est susceptible d'acheminer. Un profil de trafic est l'ensemble des caractéristiques propres au trafic. Ces caractéristiques peuvent refléter la sensibilité des applications à la latence, au délai de transit ou à la perte de paquets, mais également des pratiques d'usage, par exemple un trafic qui ne serait généré que sur une période donnée (tel qu'un trafic de gestion lié à l'exécution d'une opération de maintenance d'un équipement programmée pendant la nuit). Traditionally, traffic that can be routed within a network slice is subject to authorization (also called access control) to use the path(s) established within said slice. Such authorization is typically based on the application of traffic classification rules. These rules are generally applied by a node located at the edge of the network within which network slices have been deployed. Such an edge node is generally deployed in front of customer access (for example, an access router) or used to connect a network to other neighboring networks (for example, an edge router or edge node). For example, such an edge node may be located at the connection interface of a gateway that provides access to the Internet. This gateway is called a "Packet Gateway" for the most recent generations (4G, 5G) of mobile networks. In this case, the traffic classification function can be located at the connection interface of a "Packet Gateway" to the Internet network. An edge node can also be located at the connection interface of a mobile equipment (or "User Equipment" or UE in English) to the radio access network (or "Radio Access Network" or RAN in English), in particular so as to optimize the use of radio resources according to the type of the network slice and the profile of the traffic that it is likely to carry. A traffic profile is the set of characteristics specific to the traffic. These characteristics can reflect the sensitivity of applications to latency, transit delay or packet loss, but also usage practices, for example traffic that would only be generated over a given period (such as management traffic linked to the execution of a maintenance operation on equipment scheduled during the night).
En résumé, les règles de classification et de contrôle d'admission de trafic sont appliquées à la périphérie du réseau, dans les nœuds de périphérie (routeur d'accès, routeur de bordure par exemple). L'application des règles de classification de trafic peut être complexe, car le niveau de granularité associé à l'ingénierie et au déploiement d'une tranche réseau peut être macroscopique (par exemple une tranche réseau déployée pour acheminer le trafic à destination de l'Internet), ou bien microscopique (par exemple une tranche réseau déployée pour le trafic applicatif échangé entre deux équipements mobiles). In summary, traffic classification and admission control rules are applied at the edge of the network, in edge nodes (e.g., access router, border router). Applying traffic classification rules can be complex, as the level of granularity associated with the engineering and deployment of a network slice can be macroscopic (e.g., a network slice deployed to route traffic to the Internet), or microscopic (for example a network slice deployed for application traffic exchanged between two mobile devices).
Cette granularité génère une complexité globale de l'ingénierie des tranches réseau, par exemple une difficulté à optimiser l'usage des ressources mises en œuvre par une tranche réseau, par un ensemble de tranches réseau, ou par toutes les tranches réseau, ou une difficulté à garantir strictement l'isolation du trafic acheminé au sein d'une tranche réseau, ou encore une difficulté à garantir strictement le niveau de qualité ou de sécurité associé à une tranche réseau, voire le niveau de disponibilité et de résilience d'une tranche réseau donnée, etc. This granularity generates an overall complexity of network slice engineering, for example a difficulty in optimizing the use of resources implemented by a network slice, by a set of network slices, or by all network slices, or a difficulty in strictly guaranteeing the isolation of traffic routed within a network slice, or even a difficulty in strictly guaranteeing the level of quality or security associated with a network slice, or even the level of availability and resilience of a given network slice, etc.
En particulier, la complexité de la configuration et de l'application de règles de classification de trafic associées à la mise en place d'une tranche réseau donnée évolue avec la diversité des trafics, la richesse de l'organisation de la structure qui exploite la tranche réseau (par exemple un service de comptabilité, un service de R&D, un service de production) ou encore le mode d'usage de la tranche réseau (par exemple, gestion des surcharges de trafic lors des heures chargées, principes de répartition de la charge de trafic). Cette complexité peut notamment être aggravée par l'évolution des règles de classification de trafic au cours du temps (par exemple, dans le contexte du déploiement d'une tranche réseau pour la retransmission d'un événement sportif ou culturel, les règles de classification de trafic peuvent évoluer avec le nombre et le profil des utilisateurs de la tranche réseau). In particular, the complexity of configuring and applying traffic classification rules associated with the implementation of a given network slice evolves with the diversity of traffic, the richness of the organization of the structure that operates the network slice (for example, an accounting department, an R&D department, a production department) or the mode of use of the network slice (for example, management of traffic overloads during busy hours, principles of traffic load distribution). This complexity can be aggravated in particular by the evolution of traffic classification rules over time (for example, in the context of the deployment of a network slice for the retransmission of a sporting or cultural event, the traffic classification rules can evolve with the number and profile of users of the network slice).
En particulier, il existe des techniques permettant de vérifier la joignabilité (ou accessibilité) d'un équipement distant depuis un équipement connecté à un réseau, mais ces techniques ne garantissent pas que la requête et la réponse sont acheminées via une même tranche réseau. Par exemple, une requête ICMP (« Internet Control Message Protocol ») de type « Echo Request » (généralement appelée « Ping ») peut être envoyée par un équipement pour vérifier s'il peut se connecter à un site distant. En revanche, une telle requête ne permet pas de vérifier la joignabilité en sens retour, notamment si le chemin emprunté par les données en provenance de l'équipement (trafic « aller ») diffère du chemin emprunté par les données à destination de l'équipement (trafic « retour »). Une telle requête ICMP ne permet donc pas de déterminer le chemin emprunté par la réponse (ICMP « Echo Reply »). In particular, there are techniques for verifying the reachability (or accessibility) of a remote device from a device connected to a network, but these techniques do not guarantee that the request and the response are routed via the same network slice. For example, an ICMP ("Internet Control Message Protocol") request of the "Echo Request" type (generally called "Ping") can be sent by a device to check whether it can connect to a remote site. However, such a request does not allow the return reachability to be verified, in particular if the path taken by the data coming from the device ("forward" traffic) differs from the path taken by the data going to the device ("return" traffic). Such an ICMP request therefore does not allow the path taken by the response (ICMP "Echo Reply") to be determined.
A ce titre, les règles de classification du trafic « aller » qui permettent notamment d'emprunter un chemin au sein d'une tranche réseau, sont inadaptées au traitement du trafic « retour », qui est susceptible d'emprunter un chemin différent si le routage est asymétrique. En particulier, le trafic retour peut être acheminé au sein de la même tranche réseau que celle utilisée pour acheminer le trafic « aller », ou au sein d'une tranche réseau différente mais à laquelle l'équipement serait également connecté. As such, the "forward" traffic classification rules, which allow, in particular, a path to be taken within a network slice, are unsuitable for processing "return" traffic, which is likely to take a different path if the routing is asymmetric. In particular, the return traffic may be routed within the same network slice as that used to route the “go” traffic, or within a different network slice but to which the equipment would also be connected.
Le même problème concerne d'autres types de messages de vérification de connectivité (requête I0AM - en anglais « In-band Operations, Administration, and Maintenance », LSP Ping - en anglais « Label Switched Path », etc.). The same issue affects other types of connectivity check messages (I0AM request - In-band Operations, Administration, and Maintenance, LSP Ping - Label Switched Path, etc.).
De même, les règles de classification de trafic peuvent s'avérer inefficaces si le chemin emprunté par les données traverse un réseau qui ne comporte pas de tranches réseau, ou qui ne supporte pas un type spécifique de tranche réseau choisi pour acheminer les données. Similarly, traffic classification rules may be ineffective if the data path crosses a network that does not have network slices, or does not support a specific type of network slice chosen to route the data.
Il existe donc un besoin pour une nouvelle technique contrôlée par un équipement et cherchant à vérifier la joignabilité dudit équipement depuis un site distant, via un ou plusieurs réseaux qui supportent des tranches réseau, pour l'acheminement du trafic à destination de l'équipement. There is therefore a need for a new technique controlled by equipment and seeking to verify the reachability of said equipment from a remote site, via one or more networks which support network slices, for the routing of traffic to the equipment.
3. Exposé de l'invention 3. Statement of the invention
L'invention propose une solution cherchant à répondre à ce besoin, sous la forme d'un procédé de vérification de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement via au moins une tranche réseau, comprenant : The invention proposes a solution seeking to meet this need, in the form of a method for verifying the accessibility of equipment for routing data to said equipment via at least one network slice, comprising:
- la réception, via au moins un canal sécurisé entre l'équipement et au moins un serveur de contrôle, d'informations relatives à au moins un message de vérification correspondant à au moins une action de « vérification de l'accessibilité dudit équipement via au moins une tranche réseau » à exécuter, - the reception, via at least one secure channel between the equipment and at least one control server, of information relating to at least one verification message corresponding to at least one action of “verification of the accessibility of said equipment via at least one network slice” to be executed,
- la vérification de l'exécution de ladite au moins une action en utilisant lesdites informations.- verifying the execution of said at least one action using said information.
Un tel procédé peut notamment être mis en œuvre par l'équipement dont on souhaite vérifier la joignabilité pour l'acheminement du trafic retour (i.e. à destination de l'équipement) via une ou plusieurs tranches réseau. Such a method can in particular be implemented by the equipment whose reachability is to be verified for the routing of return traffic (i.e. to the equipment) via one or more network slices.
En particulier, selon ce procédé, l'équipement reçoit des informations relatives à au moins un message de vérification en provenance d'un serveur de contrôle (en anglais « Probing Server »), via un canal sécurisé. Un tel serveur de contrôle peut notamment générer au moins un message de vérification, sur la base d'instructions ou de consignes transmises par l'équipement vers le serveur de contrôle comme exposé ci-après, ou bien connues du serveur de contrôle. En particulier, un tel message de vérification correspond à au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter. In particular, according to this method, the equipment receives information relating to at least one verification message from a control server (in English "Probing Server"), via a secure channel. Such a control server can in particular generate at least one verification message, on the basis of instructions or guidelines transmitted by the equipment to the control server as explained below, or well known to the control server. In particular, such a verification message corresponds to at least one action of "verifying the accessibility of the equipment via at least one network slice" to be executed.
La réception de ces informations permet à l'équipement de savoir qu'un processus de vérification de sa joignabilité est lancé. Ainsi, l'équipement peut vérifier l'exécution de ladite au moins une action en utilisant lesdites informations. Par exemple, si l'équipement reçoit via au moins une tranche réseau un message de vérification correspondant à au moins une action à exécuter, il peut vérifier si le message de vérification reçu correspond aux informations relatives au message de vérification préalablement reçues via le canal sécurisé. Si tel est le cas, l'accessibilité de l'équipement pour l'acheminement de données vers l'équipement via ladite au moins une tranche réseau est confirmée. Receiving this information lets the equipment know that a process of verifying its reachability has been initiated. Thus, the equipment can verify the execution of said at least one action using said information. For example, if the equipment receives via at least one network slice a verification message corresponding to at least one action to be executed, it can verify whether the received verification message corresponds to the information relating to the verification message previously received via the secure channel. If this is the case, the accessibility of the equipment for routing data to the equipment via said at least one network slice is confirmed.
A l'inverse, si l'équipement ne reçoit pas de message de vérification pour tout ou partie des tranches réseau sujettes à la vérification en cours, ou reçoit un message de vérification via au moins une tranche réseau qui ne correspond pas aux informations relatives au message de vérification préalablement reçues via le canal sécurisé, l'accessibilité de l'équipement pour l'acheminement de données vers l'équipement via au moins une tranche réseau sujette à la vérification en cours n'est pas confirmée.Conversely, if the equipment does not receive a verification message for all or part of the network slices subject to the current verification, or receives a verification message via at least one network slice which does not correspond to the information relating to the verification message previously received via the secure channel, the accessibility of the equipment for routing data to the equipment via at least one network slice subject to the current verification is not confirmed.
Comme indiqué ci-dessus, selon un mode de réalisation particulier, le procédé comprend la transmission préalable par ledit équipement, via ledit canal sécurisé, d'instructions comprenant au moins une action de « vérification de l'accessibilité dudit équipement via au moins une tranche réseau » à exécuter et éventuellement au moins l'une des informations suivantes : As indicated above, according to a particular embodiment, the method comprises the prior transmission by said equipment, via said secure channel, of instructions comprising at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed and possibly at least one of the following information:
- des informations d'identification de tranche réseau permettant d'identifier au moins une tranche réseau ou un type de tranche réseau à tester pour l'acheminement de données à destination dudit équipement, - network slice identification information enabling at least one network slice or type of network slice to be tested for routing data to said equipment,
- des informations d'identification d'un segment réseau permettant d'identifier au moins une entité relais à solliciter pour tester l'acheminement de données à destination dudit équipement.- identification information of a network segment making it possible to identify at least one relay entity to be requested to test the routing of data to said equipment.
En particulier, si aucune information d'identification de tranches réseau n'est disponible, le serveur de contrôle peut tester toutes les tranches réseau auxquelles l'équipement est connecté ou auxquelles il est habilité à se connecter, en transmettant au moins un message de vérification via chacune de ces tranches réseau. In particular, if no network slice identification information is available, the control server may test all network slices to which the equipment is connected or to which it is authorized to connect, by transmitting at least one verification message via each of these network slices.
Dans un mode de réalisation particulier, les informations d'identification d'un segment réseau permettent par exemple de tester la joignabilité de l'équipement uniquement sur un réseau local, en transmettant au moins un message de vérification depuis au moins une entité relais connectée au réseau local. En variante, elles permettent de tester la joignabilité de l'équipement sur un réseau étendu, correspondant par exemple à un réseau dorsal régional, en transmettant au moins un message de vérification depuis au moins une entité relais connectée au réseau étendu. Les informations d'identification d'un segment réseau permettent encore de tester la joignabilité de l'équipement selon des réseaux mettant en œuvre des techniques de communication numérique différentes (Wi-Fi® ou 5G par exemple). Une ou plusieurs entités relais peuvent être sélectionnées pour émettre les messages de vérification, qui peuvent être émis concomitamment ou séquentiellement par ces entités relais.In a particular embodiment, the identification information of a network segment makes it possible, for example, to test the reachability of the equipment only on a local network, by transmitting at least one verification message from at least one relay entity connected to the local network. Alternatively, they make it possible to test the reachability of the equipment on a wide area network, corresponding for example to a regional backbone network, by transmitting at least one verification message from at least one relay entity connected to the wide area network. The identification information of a network segment also makes it possible to test the reachability of the equipment according to networks implementing different digital communication techniques (Wi-Fi® or 5G for example). One or more relay entities can be selected to issue the verification messages, which can be issued concurrently or sequentially by these relay entities.
Dans un mode de réalisation particulier, le procédé comprend une étape préalable de sélection dudit au moins un serveur de contrôle tenant compte d'une contrainte sur une entité relais destinée à émettre ledit au moins un message de vérification. In a particular embodiment, the method comprises a prior step of selecting said at least one control server taking into account a constraint on a relay entity intended to send said at least one verification message.
Par exemple, l'équipement sélectionne un serveur de contrôle connecté au même réseau que l'entité relais destinée à émettre ledit au moins un message de vérification. Ainsi, si l'équipement est connecté à un réseau local, on peut sélectionner au moins un serveur de contrôle interne au réseau local pour tester la joignabilité de l'équipement sur le réseau local. Pour tester la joignabilité de l'équipement sur un réseau étendu, on peut sélectionner au moins un serveur de contrôle externe au réseau local.For example, the equipment selects a control server connected to the same network as the relay entity intended to transmit said at least one verification message. Thus, if the equipment is connected to a local network, at least one control server internal to the local network can be selected to test the reachability of the equipment on the local network. To test the reachability of the equipment on a wide area network, at least one control server external to the local network can be selected.
On note que l'équipement n'a pas à connaître directement l'identité de l'entité relais. Par exemple, l'équipement utilise des informations provenant du ou des serveurs de contrôle pour sélectionner un serveur de contrôle adéquat. Note that the equipment does not need to know the identity of the relay entity directly. For example, the equipment uses information from the control server(s) to select an appropriate control server.
Un serveur de contrôle peut notamment indiquer le réseau auquel une entité relais est connectée en diffusant une information de type identifiant de système autonome (« Autonomous System Number »), nom de domaine du réseau, etc. L'équipement peut appliquer des filtres selon des consignes lui permettant de sélectionner un serveur de contrôle adéquat. Ces filtres sont appliqués par l'équipement globalement ou par requête. De telles consignes peuvent être communiquées en indiquant des paramètres qui caractérisent la portée des vérifications, par exemple « test ocal », « test_peer » (test depuis l'un ou l'ensemble des réseaux connectés au réseau local), « test_asn » (liste d'identifiants de systèmes autonomes), etc. A control server may in particular indicate the network to which a relay entity is connected by broadcasting information such as an autonomous system identifier ("Autonomous System Number"), network domain name, etc. The equipment may apply filters according to instructions allowing it to select an appropriate control server. These filters are applied by the equipment globally or by request. Such instructions may be communicated by indicating parameters that characterize the scope of the checks, for example "test local", "test_peer" (test from one or all of the networks connected to the local network), "test_asn" (list of autonomous system identifiers), etc.
Dans un mode de réalisation particulier, ledit procédé comprend la réception dudit au moins un message de vérification correspondant à ladite au moins une action à exécuter et ladite vérification met en œuvre une comparaison dudit au moins un message de vérification reçu avec lesdites informations relatives audit au moins un message de vérification correspondantes. In a particular embodiment, said method comprises receiving said at least one verification message corresponding to said at least one action to be executed and said verification implements a comparison of said at least one verification message received with said information relating to said at least one corresponding verification message.
Par exemple, une corrélation peut être effectuée entre le contenu d'un message de vérification reçu par l'équipement et les informations relatives à ce message de vérification préalablement reçues par l'équipement depuis ledit serveur de contrôle. For example, a correlation can be made between the content of a verification message received by the equipment and the information relating to this verification message previously received by the equipment from said control server.
Dans un mode de réalisation particulier, le procédé comprend la transmission par ledit équipement d'une réponse audit au moins un message de vérification. Une telle réponse peut notamment être émise par l'équipement lorsque le message de vérification est une requête de vérification. Une telle réponse peut être transmise au serveur de contrôle émetteur du message de vérification, ou à l'entité relais émettrice du message de vérification. Dans un mode de réalisation particulier, au cours d'une phase de découverte ou lors de la phase d'autorisation, des informations peuvent être échangées entre l'équipement et au moins un serveur de contrôle. In a particular embodiment, the method comprises the transmission by said equipment of a response to said at least one verification message. Such a response may in particular be sent by the equipment when the verification message is a verification request. Such a response may be sent to the control server sending the verification message, or to the relay entity sending the verification message. In a particular embodiment, during a discovery phase or during the authorization phase, information can be exchanged between the equipment and at least one control server.
Par exemple, le procédé comprend la transmission, via le canal sécurisé, d'au moins une information descriptive dudit équipement appartenant au groupe comprenant : For example, the method comprises the transmission, via the secure channel, of at least one descriptive information of said equipment belonging to the group comprising:
- au moins un type de tranche réseau supporté par ledit équipement, - at least one type of network slice supported by said equipment,
- au moins un identifiant d'une tranche réseau supportée par ledit équipement, - at least one identifier of a network slice supported by said equipment,
- au moins un identifiant d'un réseau auquel ledit équipement est connecté. - at least one identifier of a network to which said equipment is connected.
Le procédé peut comprendre, également ou en variante, la réception, via ledit canal sécurisé, d'au moins une information descriptive dudit serveur de contrôle appartenant au groupe comprenant :The method may also or alternatively comprise receiving, via said secure channel, at least one piece of descriptive information from said control server belonging to the group comprising:
- au moins un type de tranche réseau supporté par ledit serveur de contrôle, - at least one type of network slice supported by said control server,
- au moins un identifiant d'une tranche réseau supportée par ledit serveur de contrôle,- at least one identifier of a network slice supported by said control server,
- au moins un identifiant d'un réseau auquel ledit serveur de contrôle est connecté, - at least one identifier of a network to which said control server is connected,
- au moins un indicateur spécifiant si ledit serveur de contrôle supporte un mode collaboratif avec le réseau auquel est connecté l'équipement, - at least one indicator specifying whether said control server supports a collaborative mode with the network to which the equipment is connected,
- une liste d'identifiants de domaines réseau avec lesquels le serveur de contrôle supporte le mode collaboratif, et le stockage de ladite au moins une information descriptive dudit serveur de contrôle. - a list of network domain identifiers with which the control server supports collaborative mode, and the storage of said at least one descriptive information of said control server.
Dans un autre mode de réalisation, l'invention concerne un équipement adapté à mettre en œuvre le procédé de vérification de l'accessibilité décrit précédemment. Un tel équipement pourra bien sûr présenter les différentes caractéristiques relatives au procédé de vérification de l'accessibilité selon l'invention, qui peuvent être combinées ou considérées isolément. Ainsi, les caractéristiques et avantages de cet équipement sont les mêmes que ceux du procédé et ne sont pas détaillés plus amplement. In another embodiment, the invention relates to equipment suitable for implementing the accessibility verification method described above. Such equipment may of course have the various characteristics relating to the accessibility verification method according to the invention, which may be combined or considered in isolation. Thus, the characteristics and advantages of this equipment are the same as those of the method and are not detailed further.
Par exemple, un tel équipement est un équipement utilisateur, un CPE (« Customer Premises Equipment » en anglais), une instance de service, un routeur, un serveur, etc. For example, such equipment is a user equipment, a CPE (Customer Premises Equipment), a service instance, a router, a server, etc.
L'invention concerne également un procédé de gestion de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement, via au moins une tranche réseau, mis en œuvre par un serveur de contrôle, comprenant : The invention also relates to a method for managing the accessibility of equipment for routing data to said equipment, via at least one network slice, implemented by a control server, comprising:
- l'obtention d'instructions comprenant au moins une action de « vérification de l'accessibilité dudit équipement via au moins une tranche réseau » à exécuter, - obtaining instructions including at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed,
- la génération d'au moins un message de vérification à partir desdites instructions, - la transmission audit équipement, via un canal sécurisé entre l'équipement et ledit serveur de contrôle, d'informations relatives audit au moins un message de vérification. - the generation of at least one verification message from said instructions, - the transmission to said equipment, via a secure channel between the equipment and said control server, of information relating to said at least one verification message.
Comme indiqué précédemment, de telles instructions peuvent être transmises par l'équipement, ou connues au préalable du serveur de contrôle. As previously stated, such instructions may be transmitted by the equipment, or known in advance to the control server.
En particulier, ces instructions sont utilisées pour construire au moins un message de vérification. Des messages de vérification peuvent ensuite être émis par le serveur de contrôle à destination de l'équipement, et/ou par au moins une entité relais à destination de l'équipement. En particulier, des messages de vérification distincts peuvent être générés pour une transmission par une même entité relais ou des entités relais distinctes. In particular, these instructions are used to construct at least one verification message. Verification messages may then be sent by the control server to the equipment, and/or by at least one relay entity to the equipment. In particular, separate verification messages may be generated for transmission by the same relay entity or separate relay entities.
Selon un premier mode de réalisation (ne reposant ni sur la participation d'un contrôleur réseau, ni sur la participation d'une entité relais), le procédé comprend la transmission, vers l'équipement, dudit au moins un message de vérification via au moins une tranche réseau ou un type de tranche réseau à tester. According to a first embodiment (not relying on the participation of a network controller, nor on the participation of a relay entity), the method comprises the transmission, to the equipment, of said at least one verification message via at least one network slice or type of network slice to be tested.
Le serveur de contrôle peut ainsi transmettre directement un ou plusieurs messages de vérification à destination de l'équipement (par exemple un message de vérification par tranche réseau à tester).The control server can thus directly transmit one or more verification messages to the equipment (for example, one verification message per network slice to be tested).
En particulier, l'équipement peut répondre au message de vérification qu'il reçoit du serveur de contrôle, notamment si le message de vérification est une requête de vérification. In particular, the equipment may respond to the verification message it receives from the control server, in particular if the verification message is a verification request.
Dans ce cas, le procédé comprend : In this case, the process includes:
- la réception, en provenance dudit équipement, d'une réponse audit au moins un message de vérification, et - the receipt, from said equipment, of a response to said at least one verification message, and
- la transmission audit équipement, via le canal sécurisé entre ledit équipement et ledit serveur de contrôle, d'informations relatives à ladite réponse. - the transmission to said equipment, via the secure channel between said equipment and said control server, of information relating to said response.
Notamment, si le serveur de contrôle transmet un message d'erreur à l'équipement, celui-ci peut relancer la procédure de vérification pour tester sa joignabilité via une autre tranche réseau par exemple. In particular, if the control server transmits an error message to the equipment, the latter can restart the verification procedure to test its reachability via another network slice, for example.
Selon un deuxième mode de réalisation (ne reposant pas sur la participation d'un contrôleur réseau, mais reposant sur la participation d'au moins une entité relais), le procédé comprend : According to a second embodiment (not based on the participation of a network controller, but based on the participation of at least one relay entity), the method comprises:
- la sélection d'au moins une entité relais à partir des instructions, - the selection of at least one relay entity from the instructions,
- la transmission à ladite au moins une entité relais dudit au moins un message de vérification (ou éventuellement d'informations relatives audit au moins un message de vérification). - the transmission to said at least one relay entity of said at least one verification message (or possibly of information relating to said at least one verification message).
Le serveur de contrôle peut ainsi transmettre un ou plusieurs messages de vérification à destination de l'équipement par l'intermédiaire d'au moins une entité relais (par exemple pour tester la joignabilité de l'équipement sur un segment réseau entre l'entité relais et l'équipement). En particulier, l'équipement peut répondre au message de vérification qu'il reçoit d'une entité relais, notamment si le message de vérification est une requête de vérification. The control server can thus transmit one or more verification messages to the equipment via at least one relay entity (for example to test the reachability of the equipment on a network segment between the relay entity and the equipment). In particular, the equipment may respond to the verification message that it receives from a relay entity, in particular if the verification message is a verification request.
Dans ce cas, le procédé comprend : In this case, the process includes:
- la réception, en provenance de ladite au moins une entité relais, d'une réponse à au moins un message de vérification émis par ladite moins une entité relais, et - receiving, from said at least one relay entity, a response to at least one verification message sent by said at least one relay entity, and
- la transmission audit équipement, via ledit canal sécurisé entre ledit équipement et ledit serveur de contrôle, d'informations relatives à ladite réponse. - the transmission to said equipment, via said secure channel between said equipment and said control server, of information relating to said response.
A contrario, en l'absence de réception par l'entité relais d'une réponse de l'équipement à un message de vérification, ou sur réception par l'entité relais d'un code d'erreur suite à l'envoi d'un message de vérification, l'entité relais peut transmettre un message d'erreur au serveur de contrôle. Celui-ci peut alors relayer ledit message d'erreur vers l'équipement, et ce dernier peut relancer la procédure de vérification pour tester sa joignabilité via une autre entité relais par exemple. Conversely, if the relay entity does not receive a response from the equipment to a verification message, or if the relay entity receives an error code following the sending of a verification message, the relay entity can transmit an error message to the control server. The latter can then relay said error message to the equipment, and the latter can restart the verification procedure to test its reachability via another relay entity, for example.
Selon un troisième mode de réalisation (reposant sur la participation d'au moins un contrôleur réseau et d'au moins une entité relais), le procédé comprend : According to a third embodiment (based on the participation of at least one network controller and at least one relay entity), the method comprises:
- la sélection d'au moins une entité relais à partir desdites instructions, - the selection of at least one relay entity from said instructions,
- la sélection d'au moins un contrôleur réseau, tenant compte d'une contrainte sur ladite au moins une entité relais sélectionnée, - the selection of at least one network controller, taking into account a constraint on said at least one selected relay entity,
- la transmission, audit au moins un contrôleur réseau, dudit au moins un message de vérification (ou éventuellement d'informations relatives audit au moins un message de vérification). - the transmission, to said at least one network controller, of said at least one verification message (or possibly of information relating to said at least one verification message).
Par exemple, la contrainte sur ladite au moins une entité relais peut être déduite des instructions de vérification. For example, the constraint on said at least one relay entity can be inferred from the verification instructions.
Le serveur de contrôle peut ainsi transmettre un ou plusieurs messages de vérification à destination de l'équipement par l'intermédiaire d'au moins un contrôleur réseau et d'au moins une entité relais (par exemple pour tester la joignabilité de l'équipement sur un segment réseau entre l'entité relais et l'équipement). The control server can thus transmit one or more verification messages to the equipment via at least one network controller and at least one relay entity (for example to test the reachability of the equipment on a network segment between the relay entity and the equipment).
En particulier, l'équipement peut répondre au message de vérification qu'il reçoit d'une entité relais, notamment si le message de vérification est une requête de vérification. In particular, the equipment may respond to the verification message that it receives from a relay entity, in particular if the verification message is a verification request.
Dans ce cas, le procédé comprend : In this case, the process includes:
- la réception, en provenance dudit au moins un contrôleur réseau, d'une réponse à au moins un message de vérification émis par ladite moins une entité relais, et - receiving, from said at least one network controller, a response to at least one verification message sent by said at least one relay entity, and
- la transmission audit équipement, via ledit canal sécurisé entre ledit équipement et ledit serveur de contrôle, d'informations relatives à ladite réponse. Dans un autre mode de réalisation, l'invention concerne un serveur de contrôle (« Probing Server ») apte à mettre en œuvre le procédé de gestion de l'accessibilité décrit précédemment. Un tel serveur de contrôle pourra bien sûr présenter les différentes caractéristiques relatives au procédé de gestion de l'accessibilité selon l'invention, qui peuvent être combinées ou considérées isolément. Ainsi, les caractéristiques et avantages de ce serveur de contrôle sont les mêmes que ceux du procédé et ne sont pas détaillés plus amplement. - the transmission to said equipment, via said secure channel between said equipment and said control server, of information relating to said response. In another embodiment, the invention relates to a control server ("Probing Server") capable of implementing the accessibility management method described above. Such a control server may of course have the various characteristics relating to the accessibility management method according to the invention, which may be combined or considered in isolation. Thus, the characteristics and advantages of this control server are the same as those of the method and are not detailed further.
L'invention concerne par ailleurs un procédé de contrôle de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement, via au moins une tranche réseau, mis en œuvre par un contrôleur réseau, comprenant : The invention further relates to a method for controlling the accessibility of equipment for routing data to said equipment, via at least one network slice, implemented by a network controller, comprising:
- la réception d'au moins un message de vérification (ou d'informations relatives audit au moins un message de vérification) en provenance d'un serveur de contrôle, ledit message de vérification correspondant à au moins une action de « vérification de l'accessibilité dudit équipement via au moins une tranche réseau » à exécuter, - receiving at least one verification message (or information relating to said at least one verification message) from a control server, said verification message corresponding to at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed,
- la transmission à au moins une entité relais sélectionnée, dudit au moins un message de vérification (ou éventuellement d'informations relatives audit au moins un message de vérification).- the transmission to at least one selected relay entity of said at least one verification message (or possibly of information relating to said at least one verification message).
Selon ce mode de réalisation, le serveur de contrôle peut sélectionner une entité relais destinée à relayer au moins un message de vérification, et par suite un contrôleur du réseau auquel est connectée l'entité relais sélectionnée. According to this embodiment, the control server can select a relay entity intended to relay at least one verification message, and consequently a network controller to which the selected relay entity is connected.
En particulier, l'équipement peut répondre au message de vérification qu'il reçoit, notamment si le message de vérification est une requête de vérification. In particular, the equipment may respond to the verification message it receives, in particular if the verification message is a verification request.
Dans ce cas, le procédé mis en œuvre par le contrôleur réseau comprend la réception, en provenance de ladite au moins une entité relais sélectionnée, d'informations relatives à une réponse audit au moins un message de vérification. In this case, the method implemented by the network controller comprises receiving, from said at least one selected relay entity, information relating to a response to said at least one verification message.
Dans un autre mode de réalisation, l'invention concerne un contrôleur réseau (en anglais « Network Controller ») adapté à mettre en œuvre le procédé de contrôle de l'accessibilité décrit précédemment. Un tel contrôleur réseau peut présenter les différentes caractéristiques relatives au procédé de contrôle de l'accessibilité selon l'invention, qui peuvent être combinées ou considérées isolément. Ainsi, les caractéristiques et avantages de ce contrôleur réseau sont les mêmes que ceux du procédé et ne sont pas détaillés plus amplement. In another embodiment, the invention relates to a network controller adapted to implement the accessibility control method described above. Such a network controller may have the various characteristics relating to the accessibility control method according to the invention, which may be combined or considered in isolation. Thus, the characteristics and advantages of this network controller are the same as those of the method and are not detailed further.
L'invention concerne par ailleurs un procédé d'exécution d'une vérification de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement, via au moins une tranche réseau, mis en œuvre par une entité relais, comprenant : - la réception d'au moins un message de vérification (ou d'informations relatives audit au moins un message de vérification) en provenance d'un serveur de contrôle, ou d'au moins un message de vérification (ou d'informations relatives audit au moins un message de vérification) en provenance d'un contrôleur réseau du réseau auquel ladite entité relais est connectée, ledit au moins un message de vérification correspondant à au moins une action de « vérification de l'accessibilité dudit équipement via au moins une tranche réseau » à exécuter par ladite entité relais, The invention further relates to a method for carrying out a verification of the accessibility of equipment for the routing of data to said equipment, via at least one network slice, implemented by a relay entity, comprising: - receiving at least one verification message (or information relating to said at least one verification message) from a control server, or at least one verification message (or information relating to said at least one verification message) from a network controller of the network to which said relay entity is connected, said at least one verification message corresponding to at least one action of “verifying the accessibility of said equipment via at least one network slice” to be executed by said relay entity,
- la transmission, vers ledit équipement, dudit au moins un message de vérification. - the transmission, to said equipment, of said at least one verification message.
Notamment, le message de vérification émis par l'entité relais peut être construit à partir des informations relatives audit au moins un message de vérification transmises par le serveur de contrôle ou le contrôleur réseau. In particular, the verification message sent by the relay entity can be constructed from information relating to said at least one verification message transmitted by the control server or the network controller.
En particulier, l'équipement peut répondre à un message de vérification qu'il reçoit, notamment si le message de vérification est une requête de vérification. In particular, the equipment may respond to a verification message that it receives, in particular if the verification message is a verification request.
Dans ce cas, le procédé mis en œuvre par l'entité relais comprend : In this case, the process implemented by the relay entity includes:
- la réception d'une réponse audit au moins un message de vérification, - receipt of a response to at least one verification message,
- la transmission, audit serveur de contrôle ou audit contrôleur réseau, d'informations relatives à ladite réponse. - the transmission, to said control server or said network controller, of information relating to said response.
Dans un autre mode de réalisation, l'invention concerne une entité relais adaptée à mettre en œuvre le procédé d'exécution de la vérification de l'accessibilité décrit précédemment. Une telle entité relais pourra bien sûr présenter les différentes caractéristiques relatives au procédé d'exécution de la vérification de l'accessibilité selon l'invention, qui peuvent être combinées ou considérées isolément. Ainsi, les caractéristiques et avantages de cette entité relais sont les mêmes que ceux du procédé et ne sont pas détaillés plus amplement. In another embodiment, the invention relates to a relay entity adapted to implement the method for performing the accessibility verification described above. Such a relay entity may of course have the various characteristics relating to the method for performing the accessibility verification according to the invention, which may be combined or considered in isolation. Thus, the characteristics and advantages of this relay entity are the same as those of the method and are not detailed further.
Par exemple, une telle entité relais est un routeur de bordure. For example, such a relay entity is a border router.
Dans un mode de réalisation particulier, des canaux sécurisés sont établis entre deux entités (serveur de contrôle, contrôleur réseau et/ou entité relais). In a particular embodiment, secure channels are established between two entities (control server, network controller and/or relay entity).
Par exemple, les canaux sécurisés selon les différents procédés mettent en œuvre le protocole de transport sécurisé QUIC. For example, secure channels according to the various processes implement the QUIC secure transport protocol.
La mise en œuvre d'un canal sécurisé entre l'équipement et le serveur de contrôle, et éventuellement entre deux entités (serveur de contrôle, contrôleur réseau et/ou entité relais) contribue à assurer l'intégrité des données échangées via ce canal sécurisé. The implementation of a secure channel between the equipment and the control server, and possibly between two entities (control server, network controller and/or relay entity) helps to ensure the integrity of the data exchanged via this secure channel.
Dans un mode de réalisation particulier, ledit au moins un message de vérification selon les différents procédés appartient au groupe comprenant : In a particular embodiment, said at least one verification message according to the different methods belongs to the group comprising:
- une requête ICMP « Echo Request », une requête IOAM, - an ICMP “Echo Request”, an IOAM query,
- au moins un paquet UDP « Traceroute », - at least one UDP “Traceroute” packet,
- au moins un paquet LSP Ping, - at least one LSP Ping packet,
- au moins un paquet SFC Ping. - at least one SFC Ping packet.
Dans les différents modes de réalisation envisagés, au moins une desdites tranches réseau peut être composée d'au moins une tranche réseau locale déployée dans au moins un sous-réseau (par exemple dans un réseau d'accès, un réseau de collecte, un réseau cœur, et un réseau de transit). In the various embodiments envisaged, at least one of said network slices may be composed of at least one local network slice deployed in at least one subnetwork (for example in an access network, a collection network, a core network, and a transit network).
L'invention concerne encore au moins un programme d'ordinateur comportant des instructions pour la mise en œuvre d'au moins un des procédés décrits ci-dessus, lorsque ce ou ces programmes sont exécutés par un processeur, ainsi qu'au moins un support d'informations lisible par un ordinateur comportant des instructions d'au moins un programme d'ordinateur tel que mentionné ci-dessus.The invention also relates to at least one computer program comprising instructions for implementing at least one of the methods described above, when this or these programs are executed by a processor, as well as at least one information medium readable by a computer comprising instructions of at least one computer program as mentioned above.
Le procédé selon l'invention peut être mis en œuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle. The method according to the invention can be implemented in various ways, in particular in wired form or in software form.
4. Liste des figures 4. List of figures
D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation particulier, donné à titre d'exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : la figure 1 illustre un exemple de réseau de communication composé de plusieurs sous-réseaux ; la figure 2 illustre un exemple d'agrégation de plusieurs services au sein d'une même tranche réseau ; la figure 3 illustre un exemple de déploiement de plusieurs instances de service ; la figure 4 représente un système dans lequel l'invention peut être mise en œuvre ; la figure 5A illustre les principales étapes des procédés selon un premier mode de réalisation de l'invention ; la figure 5B illustre les messages échangés selon ce premier mode de réalisation ; la figure 6A illustre les principales étapes des procédés selon un deuxième mode de réalisation de l'invention ; la figure 6B illustre les messages échangés selon ce deuxième mode de réalisation ; la figure 7A illustre les principales étapes des procédés selon un troisième mode de réalisation de l'invention ; la figure 7B illustre les messages échangés selon ce troisième mode de réalisation ; la figure 8 illustre un exemple de mise en œuvre avec un serveur de contrôle interne au réseau auquel l'équipement est connecté ; la figure 9 illustre un exemple de mise en œuvre avec un serveur de contrôle externe au réseau auquel l'équipement est connecté ; la figure 10 illustre un exemple de mise en œuvre avec un contrôleur réseau ; la figure 11 présente la structure simplifiée des différentes entités selon un mode de réalisation particulier. Other characteristics and advantages of the invention will appear more clearly on reading the following description of a particular embodiment, given as an illustrative and non-limiting example, and the appended drawings, among which: Figure 1 illustrates an example of a communication network composed of several sub-networks; Figure 2 illustrates an example of aggregation of several services within the same network slice; Figure 3 illustrates an example of deployment of several service instances; Figure 4 represents a system in which the invention can be implemented; Figure 5A illustrates the main steps of the methods according to a first embodiment of the invention; Figure 5B illustrates the messages exchanged according to this first embodiment; Figure 6A illustrates the main steps of the methods according to a second embodiment of the invention; Figure 6B illustrates the messages exchanged according to this second embodiment; Figure 7A illustrates the main steps of the methods according to a third embodiment of the invention; Figure 7B illustrates the messages exchanged according to this third embodiment; Figure 8 illustrates an example of implementation with a control server internal to the network to which the equipment is connected; Figure 9 illustrates an example of implementation with a control server external to the network to which the equipment is connected; Figure 10 illustrates an example of implementation with a network controller; Figure 11 presents the simplified structure of the different entities according to a particular embodiment.
5. Description d'un mode de réalisation de l'invention 5. Description of an embodiment of the invention
5.1 Généralités 5.1 General
On considère un réseau de communication (composé éventuellement de plusieurs réseaux ou sous- réseaux) qui supporte des tranches réseau. Une tranche réseau peut être associée à d'autres tranches réseau pour fournir des services à valeur ajoutée. Par exemple, un fournisseur de service peut s'appuyer sur des tranches mises en place dans différents sous-réseaux pour fournir un service dont le trafic est destiné à être acheminé dans la tranche réseau « globale » composée des tranches déployées dans les différents sous-réseaux. On parle alors de « tranche multi-domaines » (ou « stitched slices » ou « hierarchical slices » en anglais). Une telle tranche réseau peut en effet refléter une structure hiérarchique. Consider a communications network (possibly composed of several networks or subnetworks) that supports network slices. A network slice can be associated with other network slices to provide value-added services. For example, a service provider can rely on slices set up in different subnetworks to provide a service whose traffic is intended to be routed in the "global" network slice composed of slices deployed in the different subnetworks. This is called a "multi-domain slice" (or "stitched slices" or "hierarchical slices"). Such a network slice can indeed reflect a hierarchical structure.
Par exemple, comme illustré par la figure 1, le réseau SSP (« Slice Service Provider » en anglais, ou fournisseur de services reposant sur des tranches réseau) 12 peut être composé de plusieurs sous- réseaux 121, 122 et 123. Chaque sous-réseau peut supporter une ou plusieurs tranches réseau. Par exemple, le premier sous-réseau 121 supporte quatre tranches réseau, le deuxième sous-réseau 122 supporte trois tranches réseau, et le troisième sous-réseau 123 supporte quatre tranches réseau. La première tranche réseau SI. #1 161 du réseau de communication est par exemple composée des tranches réseau SI. #3 déployée sur le sous-réseau 121, SI. #2 déployée sur le sous-réseau 122 et SI. #2 déployée sur le sous-réseau 123. Les interfaces de raccordement entre tranches adjacentes (« Attachment Circuits » en anglais) sont par exemple gérées en utilisant les mécanismes décrits dans le document « YANG Data Models for 'Attachment Circuits'-as-a-Service (ACaaS) » de M. Boucadair et al., version 6 publiée le 3 mai 2023. For example, as illustrated in Figure 1, the SSP (Slice Service Provider) network 12 may be composed of several subnetworks 121, 122 and 123. Each subnetwork may support one or more network slices. For example, the first subnetwork 121 supports four network slices, the second subnetwork 122 supports three network slices, and the third subnetwork 123 supports four network slices. The first network slice SI. #1 161 of the communication network is for example composed of network slices SI. #3 deployed on subnetwork 121, SI. #2 deployed on subnetwork 122 and SI. #2 deployed on subnet 123. The connection interfaces between adjacent slices (“Attachment Circuits” in English) are for example managed using the mechanisms described in the document “YANG Data Models for 'Attachment Circuits'-as-a-Service (ACaaS)” by M. Boucadair et al., version 6 published on May 3, 2023.
Par exemple, chaque sous-réseau peut être associé à un domaine distinct (par exemple, un réseau de communication peut être composé d'un réseau d'accès, d'un réseau de collecte, d'un réseau cœur et d'un réseau de transit). Chacun de ces domaines supporte des tranches réseau dont l'ingénierie et l'exploitation sont caractéristiques du domaine (par exemple, une tranche déployée sur un réseau cœur mobile 5G peut faire appel à des fonctions de traitement de trafic et d'exploitation caractéristiques d'un réseau cœur mobile 5G). Chaque domaine (accès, collecte, cœur, transit, etc.) peut exploiter différentes technologies pour la réalisation des tranches réseau. Ainsi, la réalisation d'une tranche réseau qui s'étend sur plusieurs domaines n'est pas conditionnée par la disponibilité ou l'activation des mêmes technologies utilisées pour la réalisation des tranches « locales » à chaque domaine. For example, each subnetwork may be associated with a distinct domain (e.g., a communications network may consist of an access network, a backhaul network, a core network, and a transit network). Each of these domains supports network slices whose engineering and operation are characteristic of the domain (e.g., a slice deployed on a 5G mobile core network may use traffic processing and operation functions characteristic of a 5G mobile core network). Each domain (access, backhaul, core, transit, etc.) may use different technologies to realize the network slices. Thus, the creation of a network slice that extends over several domains is not conditioned by the availability or activation of the same technologies used for the creation of the slices "local" to each domain.
Par exemple, en référence à la figure 1, un premier domaine associé au premier sous-réseau 121 met en place des tunnels IPsec qui sont exploités pour acheminer le trafic dans les tranches déployées dans ce domaine, alors qu'un deuxième domaine associé au deuxième sous-réseau 122 utilise une ingénierie de réseau privé virtuel de niveau réseau (« Layer 3 VPN » ou L3VPN en anglais) combiné avec des mécanismes d'ingénierie de trafic (« Traffic Engineering » ou TE en anglais) pour acheminer le trafic dans les tranches déployées dans ce domaine, tandis qu'un troisième domaine associé au troisième sous-réseau 123 utilise les ressources du routage par segments reposant sur le protocole IPv6 (« Segment Routing IPv6 » ou SRv6 en anglais) pour acheminer le trafic dans les tranches déployées dans ce domaine. For example, with reference to FIG. 1, a first domain associated with the first subnet 121 sets up IPsec tunnels that are used to route traffic in the slices deployed in this domain, while a second domain associated with the second subnet 122 uses network-level virtual private network engineering ("Layer 3 VPN" or L3VPN) combined with traffic engineering mechanisms ("Traffic Engineering" or TE) to route traffic in the slices deployed in this domain, while a third domain associated with the third subnet 123 uses the resources of segment routing based on the IPv6 protocol ("Segment Routing IPv6" or SRv6) to route traffic in the slices deployed in this domain.
Selon un autre exemple, une tranche réseau dans un réseau mobile (5G par exemple) peut reposer sur la mise en place de tranches réseau dans les différents sous-réseaux/segments suivants : réseau d'accès radio (« Radio Access Network » ou RAN), réseau cœur (« Core Network » ou CN) et réseau de transport (« Transport Network » ou TN). As another example, a network slice in a mobile network (e.g. 5G) may be based on the implementation of network slices in the following different subnetworks/segments: Radio Access Network (RAN), Core Network (CN) and Transport Network (TN).
L'association d'une tranche réseau, par exemple une tranche réseau 5G dans le cas d'un réseau mobile de dernière génération, aux tranches réseau déployées dans chacun des segments / sous-réseaux composant le réseau mobile 5G est réalisée dans le plan de contrôle et à la périphérie de chacun des réseaux RAN, CN et TN. La tranche réseau déployée dans le réseau TN est parfois appelée « IETF Network Slice ». The association of a network slice, for example a 5G network slice in the case of a latest generation mobile network, with the network slices deployed in each of the segments / subnetworks composing the 5G mobile network is carried out in the control plane and at the edge of each of the RAN, CN and TN networks. The network slice deployed in the TN network is sometimes called "IETF Network Slice".
Selon l'invention, aucune hypothèse n'est faite quant à la nature des tranches réseau déployées dans un réseau, leur nombre, et le « mapping » entre des tranches réseau de domaines voisins (par exemple RAN et TN, TN et CN). According to the invention, no assumption is made as to the nature of the network slices deployed in a network, their number, and the "mapping" between network slices of neighboring domains (for example RAN and TN, TN and CN).
Par exemple, les mécanismes décrits dans le document « A Realization of IETF Network Slices for 5G Networks Using Current IP/MPLS Technologies » précédemment cité sont mis en œuvre pour la réalisation des tranches réseau dans un réseau IP/MPLS (qui est un exemple de réseau de transport au sens du 3GPP). For example, the mechanisms described in the previously cited document “A Realization of IETF Network Slices for 5G Networks Using Current IP/MPLS Technologies” are implemented for the realization of network slices in an IP/MPLS network (which is an example of a transport network within the meaning of 3GPP).
On note par ailleurs qu'une même tranche réseau peut être utilisée pour agréger le trafic d'un ou plusieurs services. Ainsi, comme illustré par la figure 2, un premier service SI servi par une ou plusieurs instances de service 21 peut être fourni à un premier client UE1 via une tranche réseau SI. #3 du réseau SSP, un deuxième service S2 servi par une ou plusieurs instances de service 22 peut être fourni à un deuxième client UE2 via la même tranche réseau SI. #3 du réseau SSP, un troisième service S3 servi par une ou plusieurs instances de service 23 peut être fourni au deuxième client UE2 via la même tranche réseau SI. #3 du réseau SSP. It is further noted that the same network slice can be used to aggregate the traffic of one or more services. Thus, as illustrated in FIG. 2, a first service SI served by one or more service instances 21 can be provided to a first client UE1 via a network slice SI. #3 of the SSP network, a second service S2 served by one or more service instances 22 can be provided to a second client UE2 via the same network slice SI. #3 of the SSP network, a third service S3 served by one or more instances of service 23 can be provided to the second customer UE2 via the same network slice SI. #3 of the SSP network.
De plus, une tranche réseau peut impliquer une ou plusieurs fonctions service (ou « Service Functions » en anglais, selon la terminologie utilisée par le document RFC7665 - « Service Function Chaining (SFC) Architecture » de J. Halpern et al. publié en octobre 2015, ou « Network Functions » comme gNB (« gNodeB ») ou des fonctions UPF (« User Plane Function ») selon la terminologie utilisée par le 3GPP). Une même fonction service peut être fournie par une ou plusieurs instances de service. Additionally, a network slice may involve one or more service functions (or "Service Functions" in English, according to the terminology used by RFC7665 - "Service Function Chaining (SFC) Architecture" by J. Halpern et al. published in October 2015, or "Network Functions" such as gNB ("gNodeB") or UPF ("User Plane Function") according to the terminology used by 3GPP). A single service function may be provided by one or more service instances.
La figure 3 illustre un exemple de déploiement d'instances de service. En particulier, une instance de service peut être hébergée par le SSP (par exemple les instances de service 33 et 34) ou au sein d'une autre infrastructure (par exemple l'instance de service 35). Figure 3 illustrates an example of deployment of service instances. In particular, a service instance may be hosted by the SSP (e.g., service instances 33 and 34) or within another infrastructure (e.g., service instance 35).
Dans un mode de réalisation particulier, des chaînes de service (« Service Function Chain » ou SFC en anglais) peuvent être mises en place afin de faciliter l'acheminement de trafics de différentes natures et présentant des profils différents pour les besoins de la réalisation d'une tranche réseau ou au sein d'une tranche réseau. In a particular embodiment, service chains (SFC) can be set up in order to facilitate the routing of traffic of different natures and having different profiles for the needs of creating a network slice or within a network slice.
Ces chaînes de services peuvent notamment utiliser une ou plusieurs instances de service hébergées par un premier réseau. Par exemple, la chaîne SFC#1 est formée par les instances de service 311, 312 et 313 hébergées par le SSP. These service chains may notably use one or more service instances hosted by a first network. For example, the chain SFC#1 is formed by the service instances 311, 312 and 313 hosted by the SSP.
Ces chaînes de services peuvent également utiliser une ou plusieurs instances de services hébergées par un deuxième réseau. Par exemple, la chaîne SFC#2 est formée par les instances de service 311, 312 et 313 hébergées par le SSP et les instances de service 314 et 315 hébergées par un autre réseau.These service chains may also use one or more service instances hosted by a second network. For example, chain SFC#2 is formed by service instances 311, 312, and 313 hosted by the SSP and service instances 314 and 315 hosted by another network.
On considère par ailleurs un équipement, connecté à au moins un réseau. Un équipement peut être un équipement utilisateur (« User Equipment » en anglais), une instance de service, un CPE, un serveur, un routeur, etc. L'équipement peut être mobile, fixe, etc. We also consider a piece of equipment connected to at least one network. A piece of equipment can be a user equipment (UE), a service instance, a CPE, a server, a router, etc. The equipment can be mobile, fixed, etc.
Des applications (ou clients applicatifs) peuvent être utilisées pour accéder à un service depuis un équipement. Ces applications peuvent solliciter, via des API exposées par le système d'exploitation (« Operating System » ou OS en anglais) de l'équipement, des traitements spécifiques. Applications (or application clients) can be used to access a service from a device. These applications can request specific processing via APIs exposed by the device's operating system (OS).
5.2 Principe général 5.2 General principle
Le principe général de l'invention repose sur l'échange de messages entre un équipement et au moins un serveur de contrôle dédié, de façon à vérifier l'accessibilité de l'équipement via au moins une tranche réseau, plus précisément lorsque l'équipement est destinataire du trafic. The general principle of the invention is based on the exchange of messages between a device and at least one dedicated control server, so as to verify the accessibility of the device via at least one network slice, more precisely when the device is the recipient of the traffic.
Notamment, des instructions ou « consignes de contrôle » (en anglais « Probing CTL ») peuvent être échangées via un canal sécurisé entre l'équipement et un serveur de contrôle dédié. De telles instructions comprennent notamment au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter. Lorsque cette action est exécutée, l'équipement peut vérifier s'il existe un lien entre des informations relatives à au moins un message de vérification généré par le serveur de contrôle à partir des instructions, ces informations ayant été transmises du serveur de contrôle à l'équipement via le canal sécurisé, et le(s) message(s) de vérification reçu(s) par l'équipement. In particular, instructions or "control instructions" (in English "Probing CTL") can be exchanged via a secure channel between the equipment and a dedicated control server. Such instructions include in particular at least one action of "verifying the accessibility of the equipment via at least one network slice" to be executed. When this action is executed, the equipment can check whether there is a link between information relating to at least one verification message generated by the control server from the instructions, this information having been transmitted from the control server to the equipment via the secure channel, and the verification message(s) received by the equipment.
Une telle procédure est appelée ci-après « Slicing and trAcing over LArge scale Managed networks for A La cartE Communications », ou SALAMALEC, pour procédure de joigna bi lité à grande échelle via des tranches réseau. Such a procedure is hereinafter called “Slicing and tracing over LArge scale Managed networks for A La carte Communications”, or SALAMALEC, for large-scale reachability procedure via network slices.
La figure 4 illustre un exemple de système dans lequel l'invention peut être mise en œuvre. Figure 4 illustrates an exemplary system in which the invention may be implemented.
On considère par exemple que l'équipement est un équipement utilisateur UE 41 (« User Equipment » en anglais) connecté à un réseau SSP 42 mettant en œuvre des tranches réseau, par exemple deux tranches réseau SI. #1 421 et SI. #2 422 (« Slice » en anglais). For example, the equipment is considered to be a user equipment UE 41 (“User Equipment” in English) connected to an SSP network 42 implementing network slices, for example two network slices SI. #1 421 and SI. #2 422 (“Slice” in English).
L'équipement UE 41 peut éventuellement être connecté au réseau SSP 42 via un routeur intermédiaire, par exemple un CPE. The UE 41 equipment can optionally be connected to the SSP 42 network via an intermediate router, for example a CPE.
Le service peut être fourni par au moins une instance de service, par exemple par deux instances de services SFI #1 431 et SFI #2 432. Une instance de service peut être connectée au réseau 42 par l'intermédiaire d'un routeur de bordure du réseau. Par exemple, l'instance 431 est connectée au réseau 42 par l'intermédiaire du premier routeur de bordure BR 441 (« Border Router » en anglais), et la deuxième instance 432 est connectée au réseau 42 par l'intermédiaire du deuxième routeur de bordure BR 442. Les instances de service ne sont pas nécessairement directement connectées aux routeurs de bordure. Elles peuvent être hébergées par le réseau SSP 42 ou au sein d'un autre réseau. Au moins un serveur de contrôle 45, également appelé « Probing Server » ou SPS pour « SALAMALEC Probing Server », peut être déployé dans le réseau auquel est connecté l'équipement UE 41 (réseau SSP 42) ou dans un réseau distinct. Un tel serveur de contrôle permet notamment d'assister l'équipement UE 41 dans l'exécution du processus de vérification de disponibilité par tranche réseau, comme expliqué par la suite. Notamment, un tel serveur de contrôle peut sélectionner une ou plusieurs entités relais destinées à relayer des messages de vérification correspondant à au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter. Au moins un contrôleur réseau 46, également appelé NC pour « Network Controller », peut être déployé dans le réseau auquel est connecté l'équipement (SSP 42) ou dans un réseau distinct. Il peut notamment contrôler le réseau auquel au moins une entité relais est connectée. Par exemple, le contrôleur réseau 46 peut contrôler les routeurs de bordure 441 et 442. On présente désormais, en relation avec les figures 5A, 6A et 7 A, les principales étapes mises en œuvre par les différentes entités selon un mode de réalisation de l'invention. The service may be provided by at least one service instance, for example by two service instances SFI #1 431 and SFI #2 432. A service instance may be connected to the network 42 via a border router of the network. For example, the instance 431 is connected to the network 42 via the first border router BR 441 (“Border Router” in English), and the second instance 432 is connected to the network 42 via the second border router BR 442. The service instances are not necessarily directly connected to the border routers. They may be hosted by the SSP network 42 or within another network. At least one control server 45, also called “Probing Server” or SPS for “SALAMALEC Probing Server”, may be deployed in the network to which the UE equipment 41 is connected (SSP network 42) or in a separate network. Such a control server makes it possible in particular to assist the UE equipment 41 in the execution of the availability verification process by network slice, as explained below. In particular, such a control server can select one or more relay entities intended to relay verification messages corresponding to at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed. At least one network controller 46, also called NC for “Network Controller”, can be deployed in the network to which the equipment is connected (SSP 42) or in a separate network. It can in particular control the network to which at least one relay entity is connected. For example, the network controller 46 can control the border routers 441 and 442. We now present, in relation to figures 5A, 6A and 7A, the main steps implemented by the different entities according to an embodiment of the invention.
On cherche par exemple à vérifier l'accessibilité de l'équipement 41 pour l'acheminement de données à destination de cet équipement 41 via au moins une tranche réseau. For example, we seek to verify the accessibility of the equipment 41 for the routing of data to this equipment 41 via at least one network slice.
Au moins un canal sécurisé 50 est établi entre l'équipement 41 et au moins un serveur de contrôle. Un serveur de contrôle peut être connecté au réseau auquel l'équipement 41 est lui-même connecté ou être connecté à un réseau distinct. Un tel canal est appelé ci-après canal SALAMALEC. At least one secure channel 50 is established between the equipment 41 and at least one control server. A control server may be connected to the network to which the equipment 41 is itself connected or be connected to a separate network. Such a channel is hereinafter called a SALAMALEC channel.
Le serveur de contrôle, par exemple le serveur SPS 45, obtient (451) des instructions comprenant au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter. The control server, for example the SPS server 45, obtains (451) instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed.
Dans un mode de réalisation, de telles instructions sont connues du serveur SPS. Par exemple, le serveur SPS dispose d'informations sur les conditions d'attachement de l'équipement 41 aux différentes tranches réseau parce qu'il est connecté au même réseau que l'équipement. In one embodiment, such instructions are known to the SPS server. For example, the SPS server has information on the conditions of attachment of the equipment 41 to the different network slices because it is connected to the same network as the equipment.
En variante, l'équipement 41 peut transmettre (411) au serveur SPS 45, via le canal sécurisé SALAMALEC 50 entre l'équipement 41 et le serveur SPS 45, de telles instructions comprenant au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter. Dans ce cas, le serveur SPS 45 reçoit les instructions transmises via le canal sécurisé 50 en provenance de l'équipement 41. Alternatively, the equipment 41 can transmit (411) to the SPS server 45, via the secure SALAMALEC channel 50 between the equipment 41 and the SPS server 45, such instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed. In this case, the SPS server 45 receives the instructions transmitted via the secure channel 50 from the equipment 41.
Dans un mode de réalisation, de telles instructions comprennent au moins l'une des informations suivantes : des informations d'identification de tranche réseau permettant d'identifier au moins une tranche réseau ou un type de tranche réseau à tester pour l'acheminement de données vers l'équipement, des informations d'identification d'un segment réseau permettant d'identifier au moins une entité relais à solliciter pour tester l'acheminement de données vers l'équipement. Une telle entité relais correspond par exemple à un point d'injection, c'est-à-dire à un endroit où des messages de vérification peuvent être injectés dans le réseau, comme décrit par la suite. In one embodiment, such instructions comprise at least one of the following information: network slice identification information for identifying at least one network slice or type of network slice to be tested for routing data to the equipment, network segment identification information for identifying at least one relay entity to be requested to test the routing of data to the equipment. Such a relay entity corresponds for example to an injection point, i.e. to a place where verification messages can be injected into the network, as described below.
En particulier, si aucune information d'identification de tranche réseau n'est transmise, toutes les tranches réseau auxquelles l'équipement est connecté (ou tous les types de tranche réseau) peuvent être testé(e)s. In particular, if no network slice identification information is passed, all network slices to which the device is connected (or all network slice types) can be tested.
Le serveur SPS 45 peut alors générer (452), à partir des instructions (reçues de l'équipement 41 ou préalablement connues du serveur SPS 45), au moins un message de vérification correspondant à ladite au moins une action à exécuter. On note que différents messages de vérification peuvent être générés pour tester différentes tranches réseau (ou types de tranche réseau) ou différents segments/entités relais. The SPS server 45 can then generate (452), from the instructions (received from the equipment 41 or previously known to the SPS server 45), at least one verification message corresponding to said at least one action to be executed. It is noted that different verification messages can be generated to test different network slices (or types of network slice) or different segments/relay entities.
Le serveur SPS 45 peut ensuite transmettre (453) à l'équipement 41, via le canal sécurisé 50, des informations relatives audit au moins un message de vérification. De telles informations peuvent être le message de vérification lui-même, ou une information permettant de faire le lien avec le message de vérification. The SPS server 45 can then transmit (453) to the equipment 41, via the secure channel 50, information relating to said at least one verification message. Such information can be the verification message itself, or information making it possible to make the link with the verification message.
L'équipement peut ainsi recevoir (412), via le canal sécurisé 50, des informations relatives audit au moins un message de vérification, transmises par le serveur SPS 45. Le serveur SPS notifie ainsi l'équipement du lancement des opérations de vérification. Le cas échéant, le serveur SPS peut notifier l'équipement de l'échéance de l'exécution des tests (par ex. dans 30 secondes) ainsi que la fin des tests. The equipment can thus receive (412), via the secure channel 50, information relating to said at least one verification message, transmitted by the SPS server 45. The SPS server thus notifies the equipment of the launch of the verification operations. If necessary, the SPS server can notify the equipment of the deadline for the execution of the tests (e.g. in 30 seconds) as well as the end of the tests.
Les éléments échangés entre l'équipement 41 et le serveur SPS 45 (instructions comprenant la ou les actions à effectuer, éventuelles informations d'identification, informations relatives à au moins un message de vérification) sont également appelées « Probing CTL », ou consignes de contrôle. The elements exchanged between the equipment 41 and the SPS server 45 (instructions including the action(s) to be carried out, possible identification information, information relating to at least one verification message) are also called “Probing CTL”, or control instructions.
Ces étapes peuvent être réitérées avec différents SPS auxquels l'équipement est connecté. These steps can be repeated with different SPSs to which the equipment is connected.
Selon un premier mode de réalisation illustré par la figure 5A, on considère que le serveur SPS 45 peut directement envoyer un message de vérification, généré à partir des instructions, à destination de l'équipement 41. Pour ce faire, le serveur SPS 45 émet (456) le message de vérification, par exemple une requête ICMP « Echo Request », une requête I0AM, au moins un paquet UDP « Traceroute », au moins un paquet LSP Ping, ou au moins un paquet « SFC Ping » vers l'équipement 41, via au moins une tranche réseau ou un type de tranche réseau à tester pour l'acheminement de données à destination de l'équipement. Une telle transmission n'est pas effectuée via le canal sécurisé 50. According to a first embodiment illustrated by FIG. 5A, it is considered that the SPS server 45 can directly send a verification message, generated from the instructions, to the equipment 41. To do this, the SPS server 45 sends (456) the verification message, for example an ICMP “Echo Request” request, an I0AM request, at least one UDP “Traceroute” packet, at least one LSP Ping packet, or at least one “SFC Ping” packet to the equipment 41, via at least one network slice or a type of network slice to be tested for the routing of data to the equipment. Such a transmission is not carried out via the secure channel 50.
Si l'équipement 41 reçoit (413) le message de vérification, il peut vérifier (414) si le message de vérification qu'il reçoit est en adéquation (c'est-à-dire cohérent) avec les informations relatives audit au moins un message de vérification transmises via le canal sécurisé au cours de l'étape 453. Par exemple, une corrélation peut être effectuée entre le contenu d'un message de vérification reçu par l'équipement 41 et les informations relatives audit au moins un message de vérification reçues par l'équipement 41. Si tel est le cas, cela signifie que l'équipement est joignable via la ou les tranche(s)réseau ou type(s) de tranche réseau testé(e)(s). If the equipment 41 receives (413) the verification message, it can check (414) whether the verification message that it receives is consistent (i.e. coherent) with the information relating to said at least one verification message transmitted via the secure channel during step 453. For example, a correlation can be made between the content of a verification message received by the equipment 41 and the information relating to said at least one verification message received by the equipment 41. If this is the case, this means that the equipment can be reached via the network slice(s) or type(s) of network slice(s) tested.
Éventuellement, l'équipement 41 peut envoyer au serveur SPS 45 une réponse au message de vérification qu'il a reçu. Des informations relatives à la ou aux réponses reçues par le serveur SPS peuvent être transmises à l'équipement via le canal sécurisé 50, par exemple dans un message de réponse. Optionally, the equipment 41 can send to the SPS server 45 a response to the verification message that it has received. Information relating to the response(s) received by the SPS server can be transmitted to the equipment via the secure channel 50, for example in a response message.
Le message de réponse peut notamment comporter un code d'erreur si une erreur de transmission est détectée ou si aucune réponse n'est reçue par le serveur SPS au bout d'un temps prédéterminé. Ainsi, en l'absence de réception par le serveur SPS d'une réponse de l'équipement à un message de vérification, ou sur réception par le serveur SPS d'un code d'erreur suite à l'envoi d'un message de vérification, le serveur SPS peut transmettre un message d'erreur vers l'équipement, et ce dernier peut relancer la procédure de vérification pour tester sa joignabilité via un autre SPS par exemple. The response message may include an error code if a transmission error occurs. detected or if no response is received by the SPS server after a predetermined time. Thus, if the SPS server does not receive a response from the equipment to a verification message, or if the SPS server receives an error code following the sending of a verification message, the SPS server can transmit an error message to the equipment, and the latter can restart the verification procedure to test its reachability via another SPS for example.
51 l'équipement 41 ne reçoit pas le message de vérification (par exemple après un délai déterminé, typiquement après l'expiration d'un délai à compter du lancement des tests de vérification, de l'ordre de 60 secondes par exemple), alors qu'il a reçu les informations relatives audit au moins un message de vérification, cela signifie que l'équipement n'est pas joignable via la ou les tranche(s) réseau ou type(s) de tranche réseau testé(e)(s). L'équipement peut le cas échéant déclencher une procédure pour notifier son fournisseur de réseau de ce problème de joignabilité ou réinitialiser son raccordement à la tranche réseau testée afin de rétablir le service via une ou plusieurs tranche(s) réseau ou type(s) de tranche réseau. 51 the equipment 41 does not receive the verification message (for example after a determined delay, typically after the expiration of a delay from the launch of the verification tests, of the order of 60 seconds for example), while it has received the information relating to said at least one verification message, this means that the equipment cannot be reached via the network slice(s) or type(s) of network slice tested. The equipment may, if necessary, trigger a procedure to notify its network provider of this reachability problem or reset its connection to the network slice tested in order to restore the service via one or more network slice(s) or type(s) of network slice.
La figure 5B illustre un exemple de messages échangés entre un équipement 41 et deux serveurs de contrôle, par exemple un serveur 51 interne au réseau auquel l'équipement est connecté et un serveurFigure 5B illustrates an example of messages exchanged between a device 41 and two control servers, for example a server 51 internal to the network to which the device is connected and a server
52 externe au réseau auquel l'équipement est connecté. 52 external to the network to which the equipment is connected.
Un canal sécurisé 510 (respectivement 520) est établi entre l'équipement 41 et le serveur de contrôle 51 (respectivement 52). Les instructions comprenant au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter, les éventuelles informations d'identification et les informations relatives à au moins un message de vérification (« Probing CTL »), peuvent être échangées entre l'équipement 41 et le serveur de contrôle 51 via le canal sécurisé 510, et entre l'équipement 41 et le serveur de contrôle 52 via le canal sécurisé 520. Les consignes de contrôle transmises dans les différents canaux sécurisés peuvent être différentes (par exemple pour tester différentes tranches réseau). A secure channel 510 (respectively 520) is established between the equipment 41 and the control server 51 (respectively 52). The instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed, any identification information and the information relating to at least one verification message (“Probing CTL”), can be exchanged between the equipment 41 and the control server 51 via the secure channel 510, and between the equipment 41 and the control server 52 via the secure channel 520. The control instructions transmitted in the different secure channels can be different (for example to test different network slices).
Le serveur de contrôle 51, respectivement 52, peut alors exécuter la ou les actions correspondantes, par exemple en envoyant un ou plusieurs messages de vérification « Probing Messages » 511, respectivement 521. The control server 51, respectively 52, can then execute the corresponding action(s), for example by sending one or more verification messages “Probing Messages” 511, respectively 521.
Selon un deuxième mode de réalisation illustré par la figure 6A, on souhaite qu'au moins un message de vérification à destination de l'équipement, généré à partir des instructions, soit émis par une entité relais. According to a second embodiment illustrated by FIG. 6A, it is desired that at least one verification message intended for the equipment, generated from the instructions, be sent by a relay entity.
Les étapes 411 et 412 mises en œuvre par l'équipement 41, et 451 à 453 mises en œuvre par le serveur SPS 45 sont similaires à celles décrites en relation avec la figure 5A et ne sont pas répétées ici. Steps 411 and 412 implemented by the equipment 41, and 451 to 453 implemented by the SPS server 45 are similar to those described in relation to FIG. 5A and are not repeated here.
Selon ce mode de réalisation, le serveur SPS 45 sélectionne (454) au moins une entité relais à partir des instructions. Par exemple, une telle entité relais correspond à un point d'injection d'un message de vérification permettant de vérifier la joignabilité de l'équipement 41 sur un segment localisé entre l'entité relais et l'équipement 41. En particulier, une ou plusieurs entités relais peuvent être utilisées pour vérifier la joignabilité de l'équipement 41 sur un réseau local, sur un réseau dorsal régional, etc. Dans l'exemple illustré, l'entité relais sélectionnée est par exemple le routeur de bordure 441 ou tous les routeurs de bordure d'un réseau. According to this embodiment, the SPS server 45 selects (454) at least one relay entity from instructions. For example, such a relay entity corresponds to an injection point of a verification message making it possible to verify the reachability of the equipment 41 on a segment located between the relay entity and the equipment 41. In particular, one or more relay entities can be used to verify the reachability of the equipment 41 on a local network, on a regional backbone network, etc. In the example illustrated, the selected relay entity is for example the border router 441 or all the border routers of a network.
Un contrôleur réseau peut également être sélectionné (455) en tenant compte d'une contrainte sur l'entité relais sélectionnée. Par exemple, on sélectionne le contrôleur réseau du réseau auquel est connectée l'entité relais sélectionnée. A network controller may also be selected (455) by considering a constraint on the selected relay entity. For example, the network controller of the network to which the selected relay entity is connected is selected.
Dans l'exemple illustré, le contrôleur réseau sélectionné est par exemple le contrôleur réseau NC 46.In the illustrated example, the selected network controller is for example the NC 46 network controller.
Un canal 61, par exemple un canal sécurisé, est établi entre le contrôleur réseau sélectionné (par exemple NC 46) et le serveur SPS 45, et un canal 62, par exemple un canal sécurisé, est établi entre le contrôleur réseau sélectionné (par exemple NC 46) et l'entité relais sélectionnée (par exemple BR 441). Au moins un message de vérification (ou des informations relatives audit au moins un message de vérification) peut alors être transmis (456') du serveur SPS 45 au contrôleur réseau 46 via le canal 61. Une fois ledit au moins un message de vérification reçu (461) par le contrôleur réseau 46, ce dernier peut envoyer ledit au moins un message de vérification (ou des informations relatives audit au moins un message de vérification) au routeur de bordure 441, via le canal 62. A channel 61, for example a secure channel, is established between the selected network controller (for example NC 46) and the SPS server 45, and a channel 62, for example a secure channel, is established between the selected network controller (for example NC 46) and the selected relay entity (for example BR 441). At least one verification message (or information relating to said at least one verification message) can then be transmitted (456') from the SPS server 45 to the network controller 46 via the channel 61. Once said at least one verification message has been received (461) by the network controller 46, the latter can send said at least one verification message (or information relating to said at least one verification message) to the border router 441, via the channel 62.
Le message de vérification (ou des informations relatives audit au moins un message de vérification) peut ainsi être reçu (4411) par ledit routeur de bordure 441 (c'est-à-dire par au moins une entité relais). The verification message (or information relating to said at least one verification message) can thus be received (4411) by said border router 441 (i.e. by at least one relay entity).
Le routeur de bordure 441 peut alors émettre (4412) le message de vérification (éventuellement après construction dudit message de vérification à partir desdites informations relatives audit au moins un message de vérification), par exemple une requête ICMP « Echo Request », une requête I0AM, au moins un paquet UDP « Traceroute », au moins un paquet LSP Ping, ou au moins un paquet SFC Ping, vers l'équipement 41, via au moins une tranche réseau ou un type de tranche réseau à tester pour l'acheminement de données depuis le routeur de bordure 441 vers l'équipement 41. The border router 441 can then send (4412) the verification message (possibly after constructing said verification message from said information relating to said at least one verification message), for example an ICMP “Echo Request” request, an I0AM request, at least one UDP “Traceroute” packet, at least one LSP Ping packet, or at least one SFC Ping packet, to the equipment 41, via at least one network slice or a type of network slice to be tested for the routing of data from the border router 441 to the equipment 41.
Si l'équipement 41 reçoit (413') le message de vérification, il peut vérifier (414') si le contenu du message de vérification qu'il a reçu est en adéquation (c'est-à-dire cohérent) avec les informations relatives audit au moins un message de vérification transmises via le canal sécurisé 50 au cours de l'étape 453. Par exemple, une corrélation peut être effectuée entre le contenu du message de vérification reçu par l'équipement 41 et les informations relatives audit au moins un message de vérification reçues par l'équipement 41 depuis le serveur SPS 45. Si tel est le cas, cela signifie que l'équipement 41 est joignable depuis l'entité relais 441 via la ou les tranche(s)réseau ou type(s) de tranche réseau testé(e)(s). If the equipment 41 receives (413') the verification message, it can check (414') whether the content of the verification message that it has received is consistent (i.e. coherent) with the information relating to said at least one verification message transmitted via the secure channel 50 during step 453. For example, a correlation can be made between the content of the verification message received by the equipment 41 and the information relating to said at least one verification message received by the equipment 41 from the SPS server 45. If this is the case, this means that the equipment 41 can be reached from the relay entity 441 via the network slice(s) or type(s) of network slice tested.
Éventuellement, l'équipement 41 peut envoyer à l'entité relais 441 une réponse au message de vérification qu'il a reçu. Des informations relatives à la réponse reçue par l'entité relais 441 peuvent être transmises au contrôleur réseau 46 via le canal 62. Les informations reçues par le contrôleur réseau 46 peuvent être transmises au serveur SPS 45 via le canal 61. Les informations reçues par le serveur SPS peuvent être transmises à l'équipement 41 via le canal sécurisé 50, par exemple dans un message de réponse. Le message de réponse peut notamment comporter un code d'erreur si une erreur de transmission est détectée ou si aucune réponse n'est reçue par l'entité relais au bout d'un temps prédéterminé. Ainsi, en l'absence de réception par l'entité relais d'une réponse de l'équipement à un message de vérification, ou sur réception par l'entité relais d'un code d'erreur suite à l'envoi d'un message de vérification, l'entité relais peut transmettre un message d'erreur au serveur SPS 45, directement ou par l'intermédiaire du contrôleur réseau 46. Le serveur SPS 45 peut alors relayer ledit message d'erreur vers l'équipement, et ce dernier peut relancer la procédure de vérification pour tester sa joignabilité via un autre serveur SPS ou le même serveur SPS mais via une autre entité relais par exemple. Optionally, the equipment 41 can send to the relay entity 441 a response to the verification message that it has received. Information relating to the response received by the relay entity 441 can be transmitted to the network controller 46 via the channel 62. The information received by the network controller 46 can be transmitted to the SPS server 45 via the channel 61. The information received by the SPS server can be transmitted to the equipment 41 via the secure channel 50, for example in a response message. The response message can in particular include an error code if a transmission error is detected or if no response is received by the relay entity after a predetermined time. Thus, in the absence of reception by the relay entity of a response from the equipment to a verification message, or upon reception by the relay entity of an error code following the sending of a verification message, the relay entity can transmit an error message to the SPS server 45, directly or via the network controller 46. The SPS server 45 can then relay said error message to the equipment, and the latter can restart the verification procedure to test its reachability via another SPS server or the same SPS server but via another relay entity for example.
Si l'équipement 41 ne reçoit pas le message de vérification (par exemple après un délai déterminé, typiquement après l'expiration d'un délai à compter du lancement des tests de vérification, de l'ordre de 60 secondes par exemple), alors qu'il a reçu les informations relatives audit au moins un message de vérification, cela signifie que l'équipement 41 n'est pas joignable depuis l'entité relais 441 via la ou les tranche(s) réseau ou type(s) de tranche réseau testé(e)(s). A noter que si des messages de vérification ont été envoyés par le serveur SPS via tous les points d'interconnexion (routeurs ASBR (« Autonomous System Border Routers »), typiquement) d'un réseau, alors cela signifie que l'équipement 41 n'est pas joignable via la ou les tranche(s) réseau ou type(s) de tranche réseau testé(e)(s). If the equipment 41 does not receive the verification message (for example after a determined period, typically after the expiration of a period from the launch of the verification tests, of the order of 60 seconds for example), while it has received the information relating to said at least one verification message, this means that the equipment 41 cannot be reached from the relay entity 441 via the network slice(s) or type(s) of network slice tested. Note that if verification messages have been sent by the SPS server via all the interconnection points (ASBR routers (“Autonomous System Border Routers”), typically) of a network, then this means that the equipment 41 cannot be reached via the network slice(s) or type(s) of network slice tested.
La figure 6B illustre un exemple de messages échangés entre un équipement 41, au moins un serveur de contrôle, par exemple le serveur SPS 45, au moins un contrôleur du réseau, par exemple le contrôleur réseau 46, et au moins une entité relais, par exemple le routeur de bordure 441. Figure 6B illustrates an example of messages exchanged between a device 41, at least one control server, for example the SPS server 45, at least one network controller, for example the network controller 46, and at least one relay entity, for example the border router 441.
Comme indiqué précédemment, un canal sécurisé 50 est établi entre l'équipement 41 et le serveur SPS 45. Un canal 61, par exemple un canal sécurisé, est également établi entre le serveur SPS 45 et le contrôleur réseau 46. Enfin, un canal 62, par exemple un canal sécurisé, est établi entre le contrôleur réseau 46 et le routeur de bordure 441. As indicated previously, a secure channel 50 is established between the equipment 41 and the SPS server 45. A channel 61, for example a secure channel, is also established between the SPS server 45 and the network controller 46. Finally, a channel 62, for example a secure channel, is established between the network controller 46 and the border router 441.
Les instructions comprenant au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter, les éventuelles informations d'identification et les informations relatives à au moins un message de vérification (« Probing CTL ») peuvent être échangées entre l'équipement 41 et le serveur SPS 45 via le canal sécurisé 50. Le ou les messages de vérification générés à partir de ces instructions peuvent être transmis au contrôleur réseau 46 via le canal 61, puis au routeur de bordure 441 via le canal 62. On note que différents messages de vérification peuvent être générés pour les différentes entités relais. Instructions including at least one action of “checking the accessibility of the equipment via at least one network slice” to be executed, the possible identification information and the information relating to at least one verification message (“Probing CTL”) can be exchanged between the equipment 41 and the SPS server 45 via the secure channel 50. The verification message(s) generated from these instructions can be transmitted to the network controller 46 via the channel 61, then to the border router 441 via the channel 62. It is noted that different verification messages can be generated for the different relay entities.
Le routeur de bordure 441 peut alors exécuter la ou les actions correspondantes, par exemple en envoyant un ou plusieurs messages de vérification « Probing Messages » 63. The border router 441 can then perform the corresponding action(s), for example by sending one or more “Probing Messages” 63.
Selon un troisième mode de réalisation illustré par la figure 7A, on souhaite à nouveau qu'au moins un message de vérification à destination de l'équipement 41, généré à partir des instructions, soit émis par une entité relais. According to a third embodiment illustrated by FIG. 7A, it is again desired that at least one verification message intended for the equipment 41, generated from the instructions, be sent by a relay entity.
Les étapes 411 et 412 mises en œuvre par l'équipement, et 451 à 453 mises en œuvre par le serveur SPS 45 sont similaires à celles décrites en relation avec la figure 5A et ne sont pas répétées ici. Selon ce troisième mode de réalisation, un serveur de contrôle peut s'interfacer directement avec au moins une entité relais, sans passer par un contrôleur réseau. Steps 411 and 412 implemented by the equipment, and 451 to 453 implemented by the SPS server 45 are similar to those described in relation to FIG. 5A and are not repeated here. According to this third embodiment, a control server can interface directly with at least one relay entity, without going through a network controller.
Selon ce mode de réalisation, le serveur SPS 45 sélectionne (454') au moins une entité relais à partir des instructions. Dans l'exemple illustré, l'entité relais sélectionnée est par exemple le routeur de bordure 441. According to this embodiment, the SPS server 45 selects (454') at least one relay entity from the instructions. In the illustrated example, the selected relay entity is for example the border router 441.
Un canal 71, par exemple un canal sécurisé, est établi entre au moins une entité relais sélectionnée, par exemple le routeur de bordure 441, et le serveur SPS 45. A channel 71, for example a secure channel, is established between at least one selected relay entity, for example the border router 441, and the SPS server 45.
Au moins un message de vérification (ou des informations relatives audit au moins un message de vérification) peut alors être transmis (456") du serveur SPS 45 au routeur de bordure 441 via le canal 71. At least one verification message (or information relating to said at least one verification message) may then be transmitted (456") from the SPS server 45 to the border router 441 via channel 71.
Une fois le message de vérification reçu (4411') par le routeur de bordure 441 (c'est-à-dire par au moins une entité relais), le routeur de bordure 441 peut alors émettre (44121) le message de vérification (éventuellement construit à partir des informations relatives audit au moins un message de vérification), par exemple une requête ICMP « Echo Request », une requête I0AM, au moins un paquet UDP « Traceroute », au moins un paquet LSP Ping, ou au moins un paquet SFC Ping, vers l'équipement 41, via au moins une tranche réseau ou un type de tranche réseau à tester pour l'acheminement de données depuis le routeur de bordure 441 vers l'équipement 41. Once the verification message has been received (4411') by the border router 441 (i.e. by at least one relay entity), the border router 441 can then send (4412 1 ) the verification message (possibly constructed from information relating to said at least one verification message), for example an ICMP "Echo Request" request, an I0AM request, at least one UDP "Traceroute" packet, at least one LSP Ping packet, or at least one SFC Ping packet, to the equipment 41, via at least one network slice or type of network slice to be tested for the routing of data from the border router 441 to the equipment 41.
Si l'équipement 41 reçoit (413') le message de vérification, il peut vérifier (414") si le contenu dudit message de vérification qu'il reçoit est en adéquation (c'est-à-dire cohérent) avec les informations relatives audit au moins un message de vérification transmises via le canal sécurisé 50 au cours de l'étape 453. Comme déjà indiqué, une corrélation peut être effectuée entre le contenu du message de vérification reçu par l'équipement 41 et les informations relatives audit au moins un message de vérification reçues par l'équipement 41. Si tel est le cas, cela signifie que l'équipement est joignable depuis l'entité relais via la ou les tranche(s) réseau ou type(s) de tranche réseau testé(e)(s). If the equipment 41 receives (413') the verification message, it can check (414") whether the content of said verification message that it receives is consistent (i.e. coherent) with the information relating to said at least one verification message transmitted via the secure channel 50 during step 453. As already indicated, a correlation can be made between the content of the verification message received by the equipment 41 and the information relating to said at least one verification message received by the equipment 41. If this is the case, this means that the equipment can be reached from the relay entity via the network slice(s) or type(s) of network slice(s) tested.
Éventuellement, l'équipement 41 peut envoyer à l'entité relais une réponse au message de vérification qu'il a reçu. Des informations relatives à la réponse reçue par l'entité relais peuvent être transmises au serveur SPS 45 via le canal 71. Les informations reçues par le serveur SPS peuvent être transmises à l'équipement 41 via le canal sécurisé 50, par exemple dans un message de réponse. Optionally, the equipment 41 can send to the relay entity a response to the verification message that it has received. Information relating to the response received by the relay entity can be transmitted to the SPS server 45 via the channel 71. The information received by the SPS server can be transmitted to the equipment 41 via the secure channel 50, for example in a response message.
Le message de réponse peut notamment comporter un code d'erreur si une erreur de transmission est détectée ou si aucune réponse n'est reçue au bout d'un temps prédéterminé. Ainsi, en l'absence de réception par l'entité relais d'une réponse de l'équipement à un message de vérification, ou sur réception par l'entité relais d'un code d'erreur suite à l'envoi d'un message de vérification, l'entité relais peut transmettre un message d'erreur au serveur SPS 45. Le serveur SPS 45 peut alors relayer ledit message d'erreur vers l'équipement, et ce dernier peut relancer la procédure de vérification pour tester sa joignabilité via une autre entité relais ou via un autre serveur SPS par exemple. The response message may in particular include an error code if a transmission error is detected or if no response is received after a predetermined time. Thus, in the absence of reception by the relay entity of a response from the equipment to a verification message, or upon reception by the relay entity of an error code following the sending of a verification message, the relay entity may transmit an error message to the SPS server 45. The SPS server 45 may then relay said error message to the equipment, and the latter may restart the verification procedure to test its reachability via another relay entity or via another SPS server for example.
Si l'équipement 41 ne reçoit pas le message de vérification (par exemple après un délai déterminé, typiquement après l'expiration d'un délai à compter du lancement des tests, de l'ordre de 60 secondes par exemple), alors qu'il a reçu les informations relatives audit au moins un message de vérification, cela signifie que l'équipement 41 n'est pas joignable depuis l'entité relais via la ou lestranche(s) réseau ou type(s) de tranche réseau testé(e)(s). If the equipment 41 does not receive the verification message (for example after a determined delay, typically after the expiry of a delay from the launch of the tests, of the order of 60 seconds for example), while it has received the information relating to said at least one verification message, this means that the equipment 41 cannot be reached from the relay entity via the network slice(s) or type(s) of network slice(s) tested.
La figure 7B illustre un exemple de messages échangés entre un équipement 41, au moins un serveur de contrôle, par exemple le serveur SPS 45, et au moins une entité relais, par exemple le routeur de bordure 441. Figure 7B illustrates an example of messages exchanged between a device 41, at least one control server, for example the SPS server 45, and at least one relay entity, for example the border router 441.
Comme indiqué précédemment, un canal sécurisé 50 est établi entre l'équipement 41 et le serveur SPS 45. Un canal 71, par exemple un canal sécurisé, est également établi entre le serveur SPS 45 et le routeur de bordure 441. As previously indicated, a secure channel 50 is established between the equipment 41 and the SPS server 45. A channel 71, for example a secure channel, is also established between the SPS server 45 and the border router 441.
Les instructions comprenant au moins une action de « vérification de l'accessibilité de l'équipement via au moins une tranche réseau » à exécuter, les éventuelles informations d'identification et les informations relatives à au moins un message de vérification (« Probing CTL ») peuvent être échangées entre l'équipement 41 et le serveur SPS 45 via le canal sécurisé 50. Le ou les messages de vérification générés à partir de ces instructions peuvent être transmis au routeur de bordure 441 via le canal 71. On note que différents messages de vérification peuvent être générés pour une même entité relais ou pour les différentes entités relais. Le routeur de bordure 441 peut alors exécuter la ou les actions correspondantes, par exemple en envoyant un ou plusieurs messages de vérification « Probing Messages » 72. The instructions comprising at least one action of “verifying the accessibility of the equipment via at least one network slice” to be executed, any identification information and the information relating to at least one verification message (“Probing CTL”) can be exchanged between the equipment 41 and the SPS server 45 via the secure channel 50. The verification message(s) generated from these instructions can be transmitted to the border router 441 via the channel 71. It is noted that different verification messages can be generated for the same relay entity or for the different relay entities. The border router 441 can then perform the corresponding action(s), for example by sending one or more “Probing Messages” 72.
5.3 Exemple de mise en œuvre 5.3 Implementation example
On présente désormais un exemple de mise en œuvre de l'invention, selon lequel les différents canaux sécurisés mettent en œuvre un protocole de transport sécurisé comme le protocole QUIC (tel que décrit dans le standard RFC 9000). Dans d'autres exemples, au moins un canal sécurisé peut mettre en œuvre un protocole applicatif sécurisé tel que le protocole CoAP (en anglais « Constrained Application Protocol », tel que décrit dans le standard RFC 7252) sur DTLS (en anglais « Datagram Transport Layer Security », tel que décrit dans le standard RFC 9147), ou le protocole PCP (en anglais « Port Control Protocol », tel que décrit dans le standard RFC 6887), etc. An example of implementation of the invention is now presented, according to which the different secure channels implement a secure transport protocol such as the QUIC protocol (as described in the RFC 9000 standard). In other examples, at least one secure channel can implement a secure application protocol such as the CoAP protocol (in English "Constrained Application Protocol", as described in the RFC 7252 standard) on DTLS (in English "Datagram Transport Layer Security", as described in the RFC 9147 standard), or the PCP protocol (in English "Port Control Protocol", as described in the RFC 6887 standard), etc.
Selon l'exemple décrit ci-après, un message de vérification est par exemple une requête de vérification encapsulée dans une trame QUIC appelée « PROBING_REQUEST ». Une réponse à cette requête peut être encapsulée dans une trame QUIC appelée « PROBING_REPLY ». According to the example described below, a verification message is for example a verification request encapsulated in a QUIC frame called "PROBING_REQUEST". A response to this request can be encapsulated in a QUIC frame called "PROBING_REPLY".
5.3.1 Équipement 5.3.1 Equipment
Dans cet exemple, on considère que l'équipement pour lequel on souhaite vérifier la joignabilité du trafic retour est un équipement utilisateur. Dans d'autres modes de réalisation, un tel équipement peut être un CPE, une instance de service, un serveur, un routeur, etc. In this example, the equipment for which the return traffic reachability is to be checked is considered to be a user equipment. In other embodiments, such equipment may be a CPE, a service instance, a server, a router, etc.
L'équipement selon cet exemple de mise en œuvre est raccordé à au moins une tranche supportée par un réseau. Par exemple, l'équipement maintient au moins l'une des informations descriptives suivantes pour au moins l'une des tranches auxquelles il est connecté : un type de tranche réseau (« Slice Type » ou ST) : ce paramètre peut être choisi de façon à pouvoir être interprété de la même façon par les différents SSP qui fournissent ce type de tranche. Des types standardisés ou spécifiques (par exemple, selon des accords de gré-à-gré établis entre différents SSP) peuvent être envisagés. Par exemple, le paramètre ST peut être obtenu par un équipement lors de sa connexion à une tranche réseau fournie par un SSP ou par configuration (dans le cas où l'équipement est une instance de service, par exemple). Dans un mode de réalisation particulier, plusieurs types de tranches peuvent être associés à une même tranche réseau. Ceci est notamment utile lorsqu'une même tranche réseau est conçue pour agréger plusieurs tranches déployées dans différents sous-réseaux (« hierarchical slices »). un identifiant de tranche réseau (« Slice Identifier » ou SID). Ce paramètre peut être obtenu par un équipement lors de sa connexion à une tranche réseau fournie par un SSP ou par configuration (dans le cas où l'équipement est une instance de service, par exemple). un identifiant de réseau (« Network Identifier » ou NID). Ce paramètre peut être utilisé pour déterminer si deux entités sont connectées à un même réseau. Dans ce cas, il sera possible d'utiliser l'identifiant de tranche réseau SID pour marquer les paquets d'une connexion acheminée via la tranche réseau identifiée par le SID. Le NID peut aussi être utile dans certains cas pour faciliter la corrélation entre les SID des équipements source et destination. Par exemple, ce paramètre peut être obtenu par un équipement lors de sa connexion à une tranche réseau fournie par un SSP ou par configuration (dans le cas où l'équipement est une instance de service, par exemple). The equipment according to this exemplary implementation is connected to at least one slice supported by a network. For example, the equipment maintains at least one of the following descriptive information for at least one of the slices to which it is connected: a network slice type (“Slice Type” or ST): this parameter can be chosen so that it can be interpreted in the same way by the different SSPs that provide this type of slice. Standardized or specific types (for example, according to over-the-counter agreements established between different SSPs) can be envisaged. For example, the ST parameter can be obtained by an equipment when it connects to a network slice provided by an SSP or by configuration (in the case where the equipment is a service instance, for example). In a particular embodiment, several types of slices can be associated with the same network slice. This is particularly useful when the same network slice is designed to aggregate several slices deployed in different subnets (“hierarchical slices”). a network slice identifier (“Slice Identifier” or SID). This parameter can be obtained by a device when connecting to a network slice provided by an SSP or by configuration (in the case where the device is a service instance, for example). a network identifier ("Network Identifier" or NID). This parameter can be used to determine whether two entities are connected to the same network. In this case, it will be possible to use the network slice identifier (SID) to mark packets for a connection routed through the network slice identified by the SID. The NID can also be useful in certain cases to facilitate correlation between the SIDs of the source and destination devices. For example, this parameter can be obtained by a device when it connects to a network slice provided by an SSP or by configuration (in the case where the device is a service instance, for example).
5.3.2 Serveurs de contrôle 5.3.2 Control Servers
Afin de vérifier l'accessibilité d'un équipement via au moins une tranche réseau pour l'acheminement du trafic retour (c'est-à-dire à destination de l'équipement), au moins un serveur de contrôle SPS (« SALAMALEC Probing server ») dédié est déployé, dans le réseau auquel l'équipement est connecté ou dans un réseau distinct. In order to verify the accessibility of a device via at least one network slice for routing return traffic (i.e. to the device), at least one dedicated SPS control server (“SALAMALEC Probing server”) is deployed, in the network to which the device is connected or in a separate network.
On note qu'un serveur de contrôle SPS peut être géré par un fournisseur de services de vérification SALAMALEC (SPP, « SALAMALEC Probing Provider »). Note that an SPS control server can be managed by a SALAMALEC Probing Provider (SPP).
Un fournisseur de services de vérification SPP peut négocier avec un fournisseur SSP de services reposant sur des tranches réseau l'activation de la procédure SALAMALEC. Une API dédiée peut être utilisée à cet effet, comme l'API « Network Exposure Function » (NEF). Cette API permet par exemple d'enregistrer une liste de serveurs SPS habilités à contacter un contrôleur réseau (ou NC, par exemple un contrôleur SDN). Un tel contrôleur réseau peut notamment contacter différentes entités relais pour vérifier la joignabilité d'un équipement pour l'acheminement de données via au moins une tranche réseau entre la ou les entités relais et l'équipement. Une telle entité relais correspond donc à un point d'injection spécifique, c'est-à-dire à un endroit où des messages de vérification peuvent être injectés dans le réseau (par exemple pour tester tout ou partie des nœuds de périphérie d'un réseau local, d'un réseau régional, ou un lien d'interconnexion). An SPP verification service provider can negotiate with an SSP of services based on network slices to activate the SALAMALEC procedure. A dedicated API can be used for this purpose, such as the "Network Exposure Function" (NEF) API. This API allows, for example, to register a list of SPS servers authorized to contact a network controller (or NC, for example an SDN controller). Such a network controller can notably contact different relay entities to verify the reachability of a device for routing data via at least one network slice between the relay entity(ies) and the device. Such a relay entity therefore corresponds to a specific injection point, i.e. a place where verification messages can be injected into the network (for example to test all or part of the edge nodes of a local network, a regional network, or an interconnection link).
Ladite API peut aussi être utilisée pour communiquer au fournisseur SPP des informations descriptives d'au moins un contrôleur réseau, comme les informations de joignabilité du contrôleur réseau, notamment. Le contrôleur réseau peut alors se charger de relayer les messages de vérification destinés à l'équipement vers des points de passage négociés (par exemple tout ou partie des routeurs de type ASBR. Par exemple, au moins une adresse IP et des informations d'authentification d'un contrôleur réseau sont exposées au fournisseur SPP. Ce dernier fournit ces informations à au moins un serveur SPS. De même, des informations d'identification du réseau peuvent être fournis à au moins un serveur SPS (par exemple, un identifiant de réseau NID ou des plages d'adresses). Dans la suite, on suppose que le NID est utilisé. Dans une variante, un serveur SPS peut s'interfacer directement avec une entité relais. Said API can also be used to communicate to the SPP provider descriptive information of at least one network controller, such as the reachability information of the network controller, in particular. The network controller can then be responsible for relaying the verification messages intended for the equipment to negotiated passage points (for example all or part of the ASBR type routers). For example, at least one IP address and authentication information of a network controller are exposed to the SPP provider. The latter provides this information to at least one SPS server. Similarly, network identification information can be provided to at least one SPS server (for example, a network identifier NID or address ranges). In the following, it is assumed that the NID is used. Alternatively, an SPS server may interface directly with a relay entity.
5.3.3 Phase de découverte ou d'autorisation 5.3.3 Discovery or authorization phase
Au cours d'une première phase, l'équipement procède à la découverte d'un ou plusieurs serveurs SPS. Un serveur SPS peut être annoncé en utilisant l'infrastructure DNS, une page Web, une configuration explicite, etc. In the first phase, the device discovers one or more SPS servers. An SPS server can be announced using the DNS infrastructure, a web page, explicit configuration, etc.
Sur découverte d'un serveur SPS, l'équipement établit un canal SALAMALEC avec le serveur SPS, par exemple en utilisant une connexion QUIC. Comme indiqué, d'autres protocoles peuvent toutefois être envisagés pour l'établissement d'un canal sécurisé. Upon discovery of an SPS server, the device establishes a SALAMALEC channel with the SPS server, for example using a QUIC connection. As mentioned, however, other protocols can be considered for establishing a secure channel.
De nouvelles trames QUIC peuvent être définies pour échanger des consignes de contrôle (« Probing CTL ») entre l'équipement et au moins un serveur SPS. New QUIC frames can be defined to exchange control instructions (“Probing CTL”) between the equipment and at least one SPS server.
Par exemple, de telles trames sont : For example, such frames are:
SLICE_TYPE : une trame SLICE_TYPE renseigne le ou les types des tranches réseau supportées par un équipement ou un serveur SPS. La trame SLICE_TYPE peut aussi être utilisée pour imposer le type des tranches réseau à tester pour vérifier l'accessibilité d'un équipement. Par exemple, la valeur « 0 » indique qu'on peut tester l'accessibilité de l'équipement pour tous les types de tranche réseau. SLICE_TYPE: A SLICE_TYPE frame specifies the type(s) of network slices supported by a device or SPS server. The SLICE_TYPE frame can also be used to specify the type of network slices to be tested to verify the accessibility of a device. For example, a value of "0" indicates that the accessibility of the device can be tested for all types of network slices.
SLICEJD : une trame SLICEJD renseigne le ou les identifiants des tranches réseau supportées par un équipement ou un serveur SPS. La trame SLICEJD peut aussi être utilisée pour imposer les tranches réseau à tester pour vérifier l'accessibilité d'un équipement. Par exemple, la valeur « 0 » indique qu'on peut tester l'accessibilité de l'équipement pour toutes les tranches réseau connues du serveur SPS. SLICEJD: A SLICEJD frame provides the identifier(s) of the network slices supported by a device or an SPS server. The SLICEJD frame can also be used to specify which network slices to test to verify the accessibility of a device. For example, the value "0" indicates that the accessibility of the device can be tested for all network slices known to the SPS server.
NID : une trame NID renseigne le ou les identifiants des réseaux auxquels l'équipement ou le serveur SPS sont connectés. La trame NID peut aussi être utilisée pour imposer le réseau qui héberge les tranches réseau à tester pour vérifier l'accessibilité d'un équipement. NID: An NID frame provides the identifier(s) of the networks to which the equipment or SPS server is connected. The NID frame can also be used to specify the network hosting the network slices to be tested to verify the accessibility of a piece of equipment.
COMO : une trame COMO indique si le serveur SPS supporte un mode collaboratif (désigné par COMO) avec le réseau auquel est connecté l'équipement ; en d'autres termes, une telle trame indique qu'une procédure permettant au serveur SPS de contrôler les points d'injection des messages de vérification a été mise en place. COMO: A COMO frame indicates whether the SPS server supports a collaborative mode (designated by COMO) with the network to which the equipment is connected; in other words, such a frame indicates that a procedure allowing the SPS server to control the injection points of verification messages has been implemented.
PROBING_REQUEST : une trame PROBING_REQUEST peut comporter un message de vérification. Par exemple, une trame PROBING_REQUEST encapsule une requête de vérification (« Request »). Cette trame PROBING J QUEST peut être décapsulée, et la requête de vérification envoyée par une entité relais par exemple (routeur en périphérie du réseau). PROBING_REPLY : une trame PROBING_REPLY peut porter un message de réponse. Par exemple, une trame PROBING_REPLY encapsule une réponse (« Reply »). Cette réponse peut être encapsulée par une entité relais par exemple. PROBING_REQUEST: A PROBING_REQUEST frame can contain a verification message. For example, a PROBING_REQUEST frame encapsulates a verification request (“Request”). This PROBING_QUEST frame can be decapsulated, and the verification request sent by a relay entity, for example (a router at the edge of the network). PROBING_REPLY: A PROBING_REPLY frame can carry a response message. For example, For example, a PROBING_REPLY frame encapsulates a response (“Reply”). This response can be encapsulated by a relay entity, for example.
Par exemple, la structure d'une trame PROBING_REQUEST est la suivante : For example, the structure of a PROBING_REQUEST frame is as follows:
PROBING_REQUEST Frame { PROBING_REQUEST Frame {
Type (i), Type (i),
Request_type (i), Request_type (i),
Request, Request,
} avec : } with :
Type (i) : un identifiant unique de la trame PROBING_REQUEST. Type (i): A unique identifier of the PROBING_REQUEST frame.
Request_type (i) : le type de la requête de vérification encapsulée. Par exemple, les valeurs suivantes peuvent être définies : 0 (ICMP), 1 (UDP), 2 (IOAM), 3 (LSP Ping), ... L'information « Request_type (i) » est facultative, notamment si un type par défaut est défini (par exemple, toutes les requêtes de vérification sont de type ICMP « Echo Request »). Request_type (i): The type of the encapsulated probe request. For example, the following values can be defined: 0 (ICMP), 1 (UDP), 2 (IOAM), 3 (LSP Ping), ... The "Request_type (i)" information is optional, especially if a default type is defined (for example, all probe requests are of type ICMP "Echo Request").
Request : la requête de vérification correspondant à au moins une action à exécuter. Avantageusement, la requête de vérification indique également l'adresse destination d'au moins une entité relais à solliciter pour tester l'acheminement de données à destination dudit équipement et éventuellement un numéro de port. Un exemple de requête ICMPv6 est : (Dst@: 2001:db8 ::2 ICMPv6 126 Echo Request id=0xl234, seq=l, hop limit=64). Request: the verification request corresponding to at least one action to be executed. Advantageously, the verification request also indicates the destination address of at least one relay entity to be requested to test the routing of data to said equipment and possibly a port number. An example of an ICMPv6 request is: (Dst@: 2001:db8 ::2 ICMPv6 126 Echo Request id=0xl234, seq=l, hop limit=64).
Un exemple de format de trame « PROBING_REQUEST » qui encapsule une requête de type ICMP est fourni ci-après :
Les métadonnées associées aux tranches réseau, ou « slice metadata », comprennent des indications relatives aux tranches réseau. Ces indications peuvent notamment être utilisées par un nœud pour marquer des paquets de données. De cette façon, la classification de la requête de vérification pour l'associer à une tranche donnée de façon non ambiguë est simplifiée. La description des autres champs est similaire à celle documentée dans les standards RFC 792 pour ICMPv4 (« Internet Control Message Protocol », J. Postel, Septembre 1981) et RFC 4443 pour ICMPv6 (« Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification », A. Conta et al., mars 2006). Network slice metadata includes information about network slices. These information can be used by a node to mark data packets, making it easier to classify a verification request to unambiguously associate it with a given slice. The description of the other fields is similar to that documented in the standards RFC 792 for ICMPv4 (“Internet Control Message Protocol”, J. Postel, September 1981) and RFC 4443 for ICMPv6 (“Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification”, A. Conta et al., March 2006).
Un exemple de format de trame « PROBING_REQUEST » qui encapsule une requête de type I0AM est fourni ci-après :
La description des champs I0AM est identique à celle décrite dans les documents RFC 9452 (« Network Service Header (NSH) Encapsulation for In Situ OAM (I0AM) Data », F. Brockners et al., août 2023) et RFC 9197 (« Data Fields for In Situ Operations, Administration, and Maintenance (I0AM) », F. Brockners et al., mai 2022). The description of the I0AM fields is identical to that described in RFC 9452 (“Network Service Header (NSH) Encapsulation for In Situ OAM (I0AM) Data”, F. Brockners et al., August 2023) and RFC 9197 (“Data Fields for In Situ Operations, Administration, and Maintenance (I0AM)”, F. Brockners et al., May 2022).
La requête de vérification (« Request ») encapsulée dans une trame « PROBING_REQUEST » peut être un message ICMP (par exemple un message ICMP « Echo Request ») ou un tout autre message permettant de vérifier si les règles de classification de trafic à l'entrée du réseau sont convenablement configurées pour associer un trafic donné à une tranche. The verification request ("Request") encapsulated in a "PROBING_REQUEST" frame can be an ICMP message (for example an ICMP "Echo Request" message) or any other message allowing to verify if the traffic classification rules at the network ingress are correctly configured to associate a given traffic with a slice.
Par exemple, la requête de vérification appartient au groupe comprenant : For example, the verification request belongs to the group including:
- une requête ICMP « Echo Request », - an ICMP “Echo Request”,
- une requête I0AM, - an I0AM request,
- au moins un paquet UDP « Traceroute », - at least one UDP “Traceroute” packet,
- au moins un paquet LSP Ping, - at least one LSP Ping packet,
- au moins un paquet SFC Ping. - at least one SFC Ping packet.
Une telle requête de vérification peut également servir au fournisseur de services utilisant des tranches réseau SSP pour lui permettre de vérifier les règles de classification de trafic qu'il a mis en œuvre. Such a verification request can also be used by the service provider using SSP network slices to enable it to verify the traffic classification rules it has implemented.
Un message de réponse peut être généré en réponse à une requête de vérification. A response message may be generated in response to a verification request.
La structure d'une trame PROBING_REPLY est par exemple la suivante : PROBING_ REPLY Frame { The structure of a PROBING_REPLY frame is for example as follows: PROBING_ REPLY Frame {
Type (i), Type (i),
Request_type (i), Request_type (i),
Reply, Reply,
} avec : } with :
Type (i) et Request_type (i) comme définis précédemment relation avec la trame PROBING-REQUEST Type (i) and Request_type (i) as defined previously in relation to the PROBING-REQUEST frame
Reply : la réponse à la requête de vérification. Reply: the response to the verification request.
Ainsi, au cours de la phase d'autorisation, différents messages peuvent être échangés entre l'équipement et au moins un serveur SPS, sur le canal sécurisé établi entre l'équipement et le serveur SPS considéré. Ces messages permettent notamment au serveur SPS d'obtenir au moins une information descriptive de l'équipement appartenant au groupe comprenant : Thus, during the authorization phase, different messages can be exchanged between the equipment and at least one SPS server, on the secure channel established between the equipment and the SPS server in question. These messages allow in particular the SPS server to obtain at least one descriptive information of the equipment belonging to the group including:
- au moins un type de tranche réseau supporté par l'équipement (ST), - at least one type of network slice supported by the equipment (ST),
- au moins un identifiant d'une tranche réseau supportée par l'équipement (SID), - at least one identifier of a network slice supported by the equipment (SID),
- au moins un identifiant d'un réseau auquel l'équipement est connecté (NID). - at least one identifier of a network to which the equipment is connected (NID).
Ces messages permettent également à l'équipement d'obtenir au moins une information descriptive du serveur SPS appartenant au groupe comprenant : These messages also allow the equipment to obtain at least one descriptive information from the SPS server belonging to the group including:
- au moins un type de tranche réseau supporté par le serveur SPS (ST), - at least one type of network slice supported by the SPS server (ST),
- au moins un identifiant d'une tranche réseau supportée par le serveur SPS (SID), - at least one identifier of a network slice supported by the SPS server (SID),
- au moins un identifiant d'un réseau auquel le serveur SPS est connecté (NID), - at least one identifier of a network to which the SPS server is connected (NID),
- au moins un indicateur spécifiant si le serveur SPS supporte un mode collaboratif avec le réseau- at least one indicator specifying whether the SPS server supports a collaborative mode with the network
SSP (COMO), SSP (COMO),
- une liste d'identifiants de domaines réseau avec lesquels le serveur SPS supporte le mode collaboratif COMO. - a list of network domain identifiers with which the SPS server supports COMO collaborative mode.
A l'issue de ces échanges, l'équipement peut enregistrer les informations descriptives du ou des serveurs SPS. En particulier, l'identifiant de réseau permet à l'équipement d'identifier les serveurs SPS hébergés par le même réseau que celui auquel l'équipement est connecté. At the end of these exchanges, the equipment can record the descriptive information of the SPS server(s). In particular, the network identifier allows the equipment to identify the SPS servers hosted by the same network as the one to which the equipment is connected.
L'équipement peut alors clôturer la connexion sécurisée, en fermant le canal SALAMALEC. The equipment can then close the secure connection, by closing the SALAMALEC channel.
5.3.4 Vérification de la joignabilité 5.3.4 Verification of reachability
Au cours d'une deuxième phase, l'équipement peut vérifier sa joignabilité via une tranche réseau donnée depuis une entité relais connectée au même réseau que celui auquel est connecté l'équipement, ou connectée à un réseau différent, par exemple au réseau Internet. L'équipement peut éventuellement sélectionner le ou les serveurs SPS à solliciter pour tester sa joignabilité. Par exemple, l'équipement peut ne retenir que les serveurs SPS internes au réseau auquel est connecté l'équipement, ou uniquement les serveurs SPS externes au réseau auquel est connecté l'équipement, ou encore les serveurs SPS qui supportent le mode collaboratif, tel qu'indiqué dans l'attribut COMO. Cette sélection peut éventuellement être effectuée par l'utilisateur de l'équipement, par exemple selon une demande de confirmation de sélection, selon une liste de serveurs SPS à cocher moyennant des indications géographiques, etc. During a second phase, the equipment can check its reachability via a given network slice from a relay entity connected to the same network as that to which the equipment is connected, or connected to a different network, for example the Internet network. The device may optionally select the SPS server(s) to be used to test its reachability. For example, the device may retain only the SPS servers internal to the network to which the device is connected, or only the SPS servers external to the network to which the device is connected, or even the SPS servers that support collaborative mode, as indicated in the COMO attribute. This selection may optionally be made by the device user, for example according to a selection confirmation request, according to a list of SPS servers to be checked using geographical indications, etc.
On note que l'équipement peut solliciter concomitamment ou séquentiellement plusieurs serveurs SPS sélectionnés lors de l'étape précédente. Note that the equipment can concurrently or sequentially request several SPS servers selected during the previous step.
L'équipement peut alors établir un canal SALAMALEC avec chacun des serveurs SPS qu'il a sélectionnés (ou avec l'ensemble des serveurs SPS qu'il a découvert lors de la phase d'autorisation si l'équipement ne met pas en œuvre un procédé de sélection des serveurs SPS). The equipment can then establish a SALAMALEC channel with each of the SPS servers that it has selected (or with all of the SPS servers that it discovered during the authorization phase if the equipment does not implement a process for selecting SPS servers).
L'équipement peut alors transmettre aux serveurs SPS, via les différents canaux SALAMALEC, des instructions comprenant au moins une action/commande à exécuter par le serveur SPS ou par au moins une entité relais (par exemple, génération d'une requête ICMP « Echo Request », de paquets UDP « Traceroute », de paquets LSP Ping, de paquets SFC Ping). The equipment can then transmit to the SPS servers, via the various SALAMALEC channels, instructions comprising at least one action/command to be executed by the SPS server or by at least one relay entity (for example, generation of an ICMP “Echo Request” request, UDP “Traceroute” packets, LSP Ping packets, SFC Ping packets).
En variante, le serveur SPS dispose directement de ces instructions. Alternatively, the SPS server has these instructions directly available.
Ces instructions peuvent également identifier la ou les tranches réseau, ou type de tranche réseau, à tester. Par exemple, un équipement peut demander à un serveur SPS de procéder à des vérifications pour tout ou partie des tranches réseau disponibles. Pour ce faire, l'équipement utilise les trames QUIC idoines, par exemple les trames SLICEJD et PROBING_REQUEST. En variante, aucune tranche réseau n'est spécifiée. Dans ce cas, le serveur SPS peut procéder à des vérifications pour toutes les tranches réseau disponibles. These instructions can also identify the network slice(s), or network slice type, to be tested. For example, a device can request an SPS to perform checks for all or some of the available network slices. To do this, the device uses appropriate QUIC frames, such as SLICEJD and PROBING_REQUEST frames. Alternatively, no network slice is specified. In this case, the SPS can perform checks for all available network slices.
Le serveur SPS peut notamment extraire de ces instructions la ou les action(s)/commande(s) à exécuter pour vérifier la joignabilité de l'équipement, des informations d'identification de tranche réseau permettant d'identifier au moins une tranche réseau ou un type de tranche réseau à tester, des informations d'identification d'un segment réseau permettant d'identifier au moins une entité relais à solliciter pour tester l'acheminement de données (par exemple l'adresse destination correspondant à une entité relais à solliciter). The SPS server can in particular extract from these instructions the action(s)/command(s) to be executed to check the reachability of the equipment, network slice identification information making it possible to identify at least one network slice or a type of network slice to be tested, network segment identification information making it possible to identify at least one relay entity to be requested to test the data routing (for example the destination address corresponding to a relay entity to be requested).
Dans un premier mode de réalisation, correspondant à celui illustré par les figures 5A et 5B, on considère que les demandes de vérification peuvent être émises directement par le serveur SPS.In a first embodiment, corresponding to that illustrated by Figures 5A and 5B, it is considered that the verification requests can be issued directly by the SPS server.
Dans ce cas, le serveur SPS peut émettre au moins une requête de vérification (ICMP « Echo Request », I0AM, etc.) à destination de l'équipement, générée à partir des instructions reçues de l'équipement ou selon une logique propre au serveur SPS. Une telle requête de vérification est également appelée requête de « probing ». In this case, the SPS server can send at least one verification request (ICMP “Echo Request”, I0AM, etc.) to the equipment, generated from the instructions received from the equipment or according to logic specific to the SPS server. Such a verification request is also called a “probing” request.
La ou les réponses reçues par le serveur SPS peuvent être transmises à l'équipement dans un message de réponse (par exemple dans une trame PROBING_REPLY). The response(s) received by the SPS server can be transmitted to the equipment in a response message (for example in a PROBING_REPLY frame).
Dans un deuxième mode de réalisation, correspondant à celui illustré par les figures 6A et 6B, on considère que les demandes de vérification sont contraintes et doivent être émises depuis un autre point d'injection correspondant à une entité relais, selon des instructions formulées par un équipement, son utilisateur ou par un SSP. Par exemple, une telle entité relais peut être identifiée par le serveur SPS à partir d'une adresse destination présente dans les instructions transmises par l'équipement. In a second embodiment, corresponding to that illustrated by Figures 6A and 6B, it is considered that the verification requests are constrained and must be issued from another injection point corresponding to a relay entity, according to instructions formulated by a device, its user or by an SSP. For example, such a relay entity can be identified by the SPS server from a destination address present in the instructions transmitted by the device.
A réception des instructions, le serveur SPS peut notamment générer une ou plusieurs requêtes de vérification (« Request ») correspondant à une ou plusieurs actions/commandes à exécuter. De telles requêtes de vérification peuvent être encapsulées dans au moins une trame PROBING_REQUEST.Upon receipt of the instructions, the SPS server may in particular generate one or more verification requests (“Request”) corresponding to one or more actions/commands to be executed. Such verification requests may be encapsulated in at least one PROBING_REQUEST frame.
Le serveur SPS peut transmettre la ou les trames PROBING_REQUEST à au moins une entité relais sélectionnée à partir des instructions, soit directement soit par l'intermédiaire d'un contrôleur réseau. Par exemple, le serveur SPS peut transmettre la ou les trames PROBING_REQUEST au contrôleur réseau connecté au même réseau que celui auquel est connecté l'équipement (par exemple identifié par le même NID que celui du réseau auquel est connecté l'équipement), ou au contrôleur réseau d'un réseau distinct de celui auquel est connecté l'équipement (par exemple identifié par un NID différent de celui du réseau auquel est connecté l'équipement). The SPS server may forward the PROBING_REQUEST frame(s) to at least one relay entity selected from the instructions, either directly or through a network controller. For example, the SPS server may forward the PROBING_REQUEST frame(s) to the network controller connected to the same network as the device (e.g., identified by the same NID as the network to which the device is connected), or to the network controller of a network separate from the network to which the device is connected (e.g., identified by a different NID than the network to which the device is connected).
Si un contrôle réseau intervient, la ou les trames PROBING_REQUEST sont transmises via un canal sécurisé établi entre le serveur SPS et le contrôleur réseau. If a network check occurs, the PROBING_REQUEST frame(s) are transmitted via a secure channel established between the SPS server and the network controller.
Une ou plusieurs entités relais, par exemple un routeur en périphérie du réseau (Border Router ou BR), peuvent être sollicités par le contrôleur réseau pour exécuter les demandes de vérification selon les instructions d'un serveur SPS. One or more relay entities, for example a border router (BR), may be requested by the network controller to execute verification requests as instructed by an SPS server.
Ainsi, un contrôleur réseau recevant une trame PROBING_REQUEST peut faire suivre la trame PROBING_REQUEST à une ou plusieurs entités relais (par exemple identifiée(s) par l'adresse destination présente dans la requête de vérification « Request » de la trame PROBING_REQUEST). De tels échanges sont effectués sur un canal sécurisé établi entre le contrôleur réseau et l'entité relais.Thus, a network controller receiving a PROBING_REQUEST frame can forward the PROBING_REQUEST frame to one or more relay entities (for example, identified by the destination address present in the "Request" verification request of the PROBING_REQUEST frame). Such exchanges are carried out over a secure channel established between the network controller and the relay entity.
Une entité relais recevant une trame PROBING_REQUEST peut décapsuler la trame PROBING_REQUEST pour récupérer la requête de vérification « Request ». La requête de vérification peut ainsi être envoyée par l'entité relais (un routeur en périphérie du réseau par exemple). Une telle entité relais peut notamment utiliser sa propre adresse source pour émettre la ou les requêtes de vérification. A relay entity receiving a PROBING_REQUEST frame can decapsulate the PROBING_REQUEST frame to retrieve the verification request. The verification request can then be sent by the relay entity (a router at the edge of the network, for example). Such a relay entity can notably use its own source address to send the verification request(s). verification.
La ou les réponses reçues par l'entité relais peuvent être transmises au contrôleur réseau dans une trame PROBING_REPLY. Le contrôleur réseau peut faire suivre la trame PROBING_REPLY au serveur SPS, qui peut à son tour la faire suivre à l'équipement. The response(s) received by the relay entity can be forwarded to the network controller in a PROBING_REPLY frame. The network controller can forward the PROBING_REPLY frame to the SPS server, which can in turn forward it to the device.
Dans un troisième mode de réalisation, correspondant à celui illustré par les figures 7A et 7B, on considère également que les demandes de vérification sont contraintes et doivent être émises depuis un autre point d'injection correspondant à une entité relais. Selon ce mode de réalisation, le serveur SPS peut notamment générer une ou plusieurs requêtes de vérification (« Request ») et les encapsuler dans au moins une trame PROBING_REQUEST, pour transmission à une entité relais identifiée par exemple à partir de l'adresse destination présente dans la requête de vérification. Selon ce mode de réalisation, le serveur SPS peut communiquer directement avec les entités relais, sans nécessiter l'intervention d'un contrôleur réseau. In a third embodiment, corresponding to that illustrated by Figures 7A and 7B, it is also considered that the verification requests are constrained and must be issued from another injection point corresponding to a relay entity. According to this embodiment, the SPS server can in particular generate one or more verification requests (“Request”) and encapsulate them in at least one PROBING_REQUEST frame, for transmission to a relay entity identified for example from the destination address present in the verification request. According to this embodiment, the SPS server can communicate directly with the relay entities, without requiring the intervention of a network controller.
Dans ces différents modes de réalisation, le serveur SPS peut notifier l'équipement du lancement des opérations de vérification ou l'échéance d'une telle vérification (par ex. mode différé). Pour ce faire, le serveur SPS peut notamment communiquer à l'équipement, via le canal sécurisé, des informations relatives aux requêtes de vérification qu'il a générées. Une échéance peut éventuellement être communiquée pour contrôler le délai au-delà duquel l'équipement met fin à l'étape de vérification.In these different embodiments, the SPS server can notify the equipment of the launch of the verification operations or the deadline for such a verification (e.g., deferred mode). To do this, the SPS server can in particular communicate to the equipment, via the secure channel, information relating to the verification requests that it has generated. A deadline can optionally be communicated to control the time beyond which the equipment terminates the verification step.
L'équipement peut, le cas échéant, effectuer les opérations nécessaires pour permettre le traitement des requêtes de vérification reçues (par exemple configurer un pare-feu pour qu'il accepte l'acheminement des trames PROBING_REQUEST ou instancier un état dans un CGN « Carrier-Grade NAT »). The equipment may, if necessary, perform the necessary operations to enable the processing of received verification requests (for example, configure a firewall to accept the routing of PROBING_REQUEST frames or instantiate a state in a "Carrier-Grade NAT" CGN).
Si l'équipement reçoit des requêtes de vérification envoyées par le serveur SPS ou par une entité relais (par exemple s'il reçoit une requête de vérification ICMP « Echo Request » encapsulée dans une trame PROBING_REQUEST) et que ces requêtes de vérification correspondent aux informations reçues via le canal sécurisé établi entre le serveur SPS et l'équipement, ce dernier conclut que le chemin « retour » via une ou plusieurs tranches réseau est opérationnel. Le message de vérification peut inclure des indications sur le chemin emprunté par la réponse au sein de la tranche réseau (intra-tranche) si cette fonction a été activée par le serveur SPS. If the device receives verification requests sent by the SPS server or by a relay entity (for example, if it receives an ICMP Echo Request encapsulated in a PROBING_REQUEST frame) and these verification requests match the information received via the secure channel established between the SPS server and the device, the latter concludes that the return path via one or more network slices is operational. The verification message may include information on the path taken by the response within the network slice (intra-slice) if this function has been enabled by the SPS server.
Si aucune requête de vérification envoyée par le serveur SPS ou par une entité relais n'est reçue par l'équipement (par exemple si l'équipement ne reçoit pas la requête de vérification ICMP « Echo Request »), typiquement après expiration d'une échéance donnée, le serveur SPS peut communiquer à l'équipement le message d'erreur qu'il a reçu le cas échéant. Par exemple, le serveur SPS reçoit une réponse suite à la requête de vérification qu'il a émise. Une telle réponse peut être un message d'erreur ICMP qui est envoyé par un routeur sur le chemin de la requête. Le serveur SPS peut encapsuler la réponse reçue dans un message de réponse (trame PROBING_REPLY), et transmettre ce message de réponse à l'équipement. En variante, l'entité relais reçoit une réponse à la requête de vérification qu'elle a émise. L'entité relais peut encapsuler la réponse reçue dans un message de réponse (trame PROBING_REPLY), et transmettre le message de réponse au serveur SPS (directement ou par l'intermédiaire d'un contrôleur réseau) qui peut à son tour transmettre ce message de réponse à l'équipement. If no verification request sent by the SPS server or by a relay entity is received by the equipment (for example if the equipment does not receive the ICMP verification request "Echo Request"), typically after expiration of a given deadline, the SPS server can communicate to the equipment the error message that it received if any. For example, the SPS server receives a response following the verification request that it sent. Such a response can be a message ICMP error message that is sent by a router on the path of the request. The SPS server can encapsulate the received response in a response message (PROBING_REPLY frame), and transmit this response message to the device. Alternatively, the relay entity receives a response to the verification request that it has issued. The relay entity can encapsulate the received response in a response message (PROBING_REPLY frame), and transmit the response message to the SPS server (directly or via a network controller) which can in turn transmit this response message to the device.
En particulier, le message d'erreur encapsulé dans une trame PROBING_REPLY transmise à l'équipement permet à ce dernier de détecter et d'identifier le problème de joignabilité au sein d'une tranche réseau. In particular, the error message encapsulated in a PROBING_REPLY frame transmitted to the equipment allows the latter to detect and identify the reachability problem within a network slice.
A titre d'exemples, les figures 8 à 10 illustrent l'exécution d'une procédure de vérification SALAMALEC selon ces différents modes de réalisation. As examples, Figures 8 to 10 illustrate the execution of a SALAMALEC verification procedure according to these different embodiments.
Des applications (ou clients applicatifs) peuvent être utilisées pour accéder à un service depuis un équipement. Ces applications peuvent solliciter, via des API exposées par le système d'exploitation (« OS ») de l'équipement, des traitements spécifiques. Par exemple, une application APP1 utilise l'API de l'équipement pour vérifier la joignabilité de l'équipement via une tranche réseau Sl#l et une application APP2 utilise l'API de l'équipement pour vérifier la joignabilité de l'équipement via une tranche réseau Sl#2. Applications (or application clients) can be used to access a service from a device. These applications can request, via APIs exposed by the device's operating system ("OS"), specific processing. For example, an application APP1 uses the device's API to check the device's reachability via a network slice Sl#1 and an application APP2 uses the device's API to check the device's reachability via a network slice Sl#2.
Selon l'exemple illustré par la figure 8, on considère un serveur SPS 85 interne au réseau SSP 82 auquel un équipement 81 est connecté. L'équipement 81 sollicite le serveur SPS 85 pour qu'il exécute une procédure de vérification n'impliquant pas de contrôleur réseau. La figure 8 illustre un exemple où la joignabilité via une tranche du réseau est confirmée. According to the example illustrated by Figure 8, we consider an SPS server 85 internal to the SSP network 82 to which a device 81 is connected. The device 81 requests the SPS server 85 to execute a verification procedure not involving a network controller. Figure 8 illustrates an example where reachability via a network slice is confirmed.
Ainsi, l'équipement 81 envoie des instructions au serveur SPS 85. Celui-ci génère une requête de vérification et envoie à l'équipement 81 des informations relatives à la requête de vérification via un canal sécurisé (par exemple dans une trame PROBING_REQUEST encapsulant la requête de vérification). Le serveur SPS 85 exécute également l'action correspondant à la requête de vérification, par exemple en émettant une requête ICMP « Echo Request ». Selon l'exemple illustré, l'équipement 81 reçoit la requête ICMP « Echo Request » via le routeur de bordure BR 841. L'équipement 81 peut comparer la requête ICMP « Echo Request » reçue et les informations relatives à la requête de vérification. Si ces informations sont identiques ou liées, la joignabilité est confirmée via la tranche réseau Sl#l 821. Thus, the device 81 sends instructions to the SPS server 85. The latter generates a verification request and sends to the device 81 information relating to the verification request via a secure channel (for example in a PROBING_REQUEST frame encapsulating the verification request). The SPS server 85 also executes the action corresponding to the verification request, for example by sending an ICMP “Echo Request” request. According to the example illustrated, the device 81 receives the ICMP “Echo Request” request via the border router BR 841. The device 81 can compare the received ICMP “Echo Request” request and the information relating to the verification request. If this information is identical or related, the reachability is confirmed via the network slice Sl#l 821.
Selon l'exemple illustré par la figure 9, on considère un serveur SPS 95 externe au réseau SSP 92 auquel un équipement 91 est connecté. L'équipement 91 sollicite le serveur SPS 95 pour qu'il exécute une procédure de vérification n'impliquant pas de contrôleur réseau. La figure 9 illustre un exemple où la joignabilité via une tranche du réseau n'est pas confirmée. According to the example illustrated by figure 9, we consider an SPS server 95 external to the SSP network 92 to which a device 91 is connected. The device 91 requests the SPS server 95 to execute a verification procedure not involving a network controller. Figure 9 illustrates an example where reachability via a network slice is not confirmed.
Ainsi, l'équipement 91 envoie des instructions au serveur SPS 95, via un routeur de bordure 942. Le serveur SPS 95 génère une requête de vérification et envoie à l'équipement 91 des informations relatives à la requête de vérification via un canal sécurisé (par exemple dans une trame PROBING_REQUEST encapsulant la requête de vérification). Le serveur SPS 95 exécute également l'action correspondant à la requête de vérification, par exemple en émettant une requête ICMP « Echo Request ». Selon l'exemple illustré, l'équipement 91 ne reçoit pas la requête ICMP « Echo Request », alors qu'il s'attend à recevoir une telle requête, telle que spécifiée dans les informations relatives à la requête de vérification. La requête ICMP « Echo Request » est dans cet exemple filtrée par le routeur de bordure 942 et n'est pas transmise à l'équipement 91. L'échec de joignabilité est par exemple lié à l'inadéquation des règles de classification de trafic. Thus, the device 91 sends instructions to the SPS server 95, via a border router 942. The SPS server 95 generates a verification request and sends to the device 91 information relating to the verification request via a secure channel (for example in a PROBING_REQUEST frame encapsulating the verification request). The SPS server 95 also executes the action corresponding to the verification request, for example by sending an ICMP “Echo Request” request. According to the example illustrated, the device 91 does not receive the ICMP “Echo Request” request, while it expects to receive such a request, as specified in the information relating to the verification request. The ICMP “Echo Request” request is in this example filtered by the border router 942 and is not transmitted to the device 91. The failure of reachability is for example linked to the inadequacy of the traffic classification rules.
Selon l'exemple illustré par la figure 10, on considère un serveur SPS 105 interne au réseau SSP 102 auquel un équipement 101 est connecté. L'équipement 101 sollicite le serveur SPS 105 pour qu'il exécute une procédure de vérification impliquant un contrôleur réseau 106. La figure 10 illustre un exemple où la joignabilité via une tranche du réseau est confirmée depuis un ou plusieurs routeurs de bordure (par exemple un premier routeur de bordure 1041 et un deuxième routeur de bordure 1042). Ainsi, l'équipement 101 envoie des instructions au serveur SPS 105, via le premier routeur de bordure 1041. Le serveur SPS 105 génère une requête de vérification et envoie à l'équipement 101 des informations relatives à la requête de vérification (par exemple une trame PROBING_REQUEST encapsulant la requête de vérification). Le serveur SPS 105 envoie également la requête de vérification ou la trame PROBING_REQUEST au contrôleur réseau 106. Ce dernier l'envoie au deuxième routeur de bordure 1042. According to the example illustrated by Figure 10, we consider an SPS server 105 internal to the SSP network 102 to which a device 101 is connected. The device 101 requests the SPS server 105 to execute a verification procedure involving a network controller 106. Figure 10 illustrates an example where the reachability via a network slice is confirmed from one or more border routers (for example a first border router 1041 and a second border router 1042). Thus, the device 101 sends instructions to the SPS server 105, via the first border router 1041. The SPS server 105 generates a verification request and sends to the device 101 information relating to the verification request (for example a PROBING_REQUEST frame encapsulating the verification request). The SPS server 105 also sends the verification request or PROBING_REQUEST frame to the network controller 106. The latter sends it to the second border router 1042.
Le deuxième routeur de bordure 1042 peut décapsuler la trame PROBING_REQUEST pour extraire la requête de vérification. Le deuxième routeur de bordure 1042 peut alors exécuter l'action correspondant à la requête de vérification, par exemple en émettant une requête ICMP « Echo Request ». The second border router 1042 may decapsulate the PROBING_REQUEST frame to extract the probe request. The second border router 1042 may then perform the action corresponding to the probe request, for example, by issuing an ICMP Echo Request.
Selon l'exemple illustré, l'équipement 101 reçoit la requête ICMP « Echo Request » via le routeur de bordure BR 1041. L'équipement 101 peut comparer la requête ICMP « Echo Request » reçue avec les informations relatives à la requête de vérification préalablement reçues. Si ces informations sont identiques ou corrélées, la joignabilité de l'équipement est confirmée via la tranche réseau testée Sl#2 1022. According to the illustrated example, the device 101 receives the ICMP Echo Request via the border router BR 1041. The device 101 can compare the received ICMP Echo Request with the previously received information relating to the verification request. If this information is identical or correlated, the reachability of the device is confirmed via the tested network slice Sl#2 1022.
5.4 Variantes On a décrit ci-dessus différents exemples selon lesquels l'équipement est un équipement utilisateur. Dans d'autres modes de réalisation, mettant en œuvre des étapes similaires, l'équipement peut être un CPE, une instance de service, un serveur, un routeur, etc. 5.4 Variants Various examples have been described above in which the equipment is a user equipment. In other embodiments, implementing similar steps, the equipment may be a CPE, a service instance, a server, a router, etc.
En particulier, la procédure SALAMALEC peut être déclenchée depuis un équipement connecté au réseau via un CPE. Les mêmes étapes que celles décrites précédemment sont mises en place par l'équipement. Cependant, l'équipement peut dans ce cas instruire le CPE afin qu'il ne filtre pas les messages de vérification émis depuis un serveur SPS. Pour ce faire, l'équipement peut utiliser une interface de configuration du CPE ou invoquer un protocole de gestion des ACL (« Access Control List ») tel que PCP ou RESTCONF, tels que décrit dans les documents RFC8040 (« RESTCONF Protocol »,In particular, the SALAMALEC procedure can be triggered from a device connected to the network via a CPE. The same steps as those described previously are implemented by the device. However, the device can in this case instruct the CPE not to filter verification messages sent from an SPS server. To do this, the device can use a configuration interface of the CPE or invoke an ACL ("Access Control List") management protocol such as PCP or RESTCONF, as described in RFC8040 ("RESTCONF Protocol").
A. Bierman et al. Janvier 2017) ou RFC8519 (« YANG Data Model for Network Access Control Lists (ACLs) », M. Jethanandani et al., mars 2019). A. Bierman et al. January 2017) or RFC8519 (“YANG Data Model for Network Access Control Lists (ACLs)”, M. Jethanandani et al., March 2019).
On a également décrit le cas où un serveur de contrôle est un serveur dédié. En variante, le serveur SPS peut être embarqué dans un serveur qui fournit un service. Les messages de vérification peuvent alors être encapsulés dans les messages qui font partie du service (c'est-à-dire, les messages d'invocation du service tels que des messages http ou SIP). We have also described the case where a control server is a dedicated server. Alternatively, the SPS server can be embedded in a server that provides a service. The verification messages can then be encapsulated in the messages that are part of the service (i.e., service invocation messages such as http or SIP messages).
5.5 Structure simplifiée des entités correspondantes 5.5 Simplified structure of corresponding entities
On présente finalement, en relation avec la figure 11, les structures simplifiées d'une entité, par exemple un équipement, un serveur de contrôle, un contrôleur réseau, ou une entité relais selon un mode de réalisation de l'invention. Finally, in relation to Figure 11, we present the simplified structures of an entity, for example a piece of equipment, a control server, a network controller, or a relay entity according to an embodiment of the invention.
Comme illustré par la figure 11, une telle entité comprend au moins une mémoire 111 comprenant une mémoire tampon, au moins une unité de traitement 112, équipée par exemple d'une machine de calcul programmable ou d'une machine de calcul dédiée, par exemple un processeur P, et pilotée par le programme d'ordinateur 113, mettant en œuvre des étapes d'au moins un procédé selon au moins un mode de réalisation de l'invention. As illustrated by Figure 11, such an entity comprises at least one memory 111 comprising a buffer memory, at least one processing unit 112, equipped for example with a programmable computing machine or a dedicated computing machine, for example a processor P, and controlled by the computer program 113, implementing steps of at least one method according to at least one embodiment of the invention.
A l'initialisation, les instructions de code du programme d'ordinateur 113 sont par exemple chargées dans une mémoire RAM avant d'être exécutées par le processeur de l'unité de traitement 112. Upon initialization, the code instructions of the computer program 113 are for example loaded into a RAM memory before being executed by the processor of the processing unit 112.
Si l'entité est un équipement, le processeur de l'unité de traitement 112 met en œuvre des étapes du procédé de vérification de l'accessibilité de l'équipement pour l'acheminement de données à destination de l'équipement via au moins une tranche réseau, décrit précédemment, selon les instructions du programme d'ordinateur 113, pour : If the entity is a piece of equipment, the processor of the processing unit 112 implements steps of the method for verifying the accessibility of the equipment for routing data to the equipment via at least one network slice, described previously, according to the instructions of the computer program 113, for:
- recevoir, via au moins un canal sécurisé entre l'équipement et au moins un serveur de contrôle, des informations relatives à au moins un message de vérification correspondant à au moins une action de vérification de l'accessibilité dudit équipement via au moins une tranche réseau à exécuter, - vérifier l'exécution de ladite au moins une action en utilisant lesdites informations. - receive, via at least one secure channel between the equipment and at least one control server, information relating to at least one verification message corresponding to at least one action of verifying the accessibility of said equipment via at least one network slice to be executed, - verify the execution of said at least one action using said information.
Si l'entité est un serveur de contrôle, le processeur de l'unité de traitement 112 met en œuvre des étapes du procédé de gestion de l'accessibilité d'un équipement pour l'acheminement de données à destination de l'équipement via au moins une tranche réseau, décrit précédemment, selon les instructions du programme d'ordinateur 113, pour : If the entity is a control server, the processor of the processing unit 112 implements steps of the method for managing the accessibility of a device for routing data to the device via at least one network slice, described previously, according to the instructions of the computer program 113, for:
- obtenir des instructions comprenant au moins une action de vérification de l'accessibilité dudit équipement via au moins une tranche réseau à exécuter, - obtain instructions including at least one action of verifying the accessibility of said equipment via at least one network slice to be executed,
- générer au moins un message de vérification à partir desdites instructions, - generate at least one verification message from said instructions,
- transmettre audit équipement, via un canal sécurisé entre ledit équipement et ledit serveur de contrôle, des informations relatives audit au moins un message de vérification. - transmit to said equipment, via a secure channel between said equipment and said control server, information relating to said at least one verification message.
Si l'entité est un contrôleur réseau, le processeur de l'unité de traitement 112 met en œuvre des étapes du procédé de contrôle de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement, via au moins une tranche réseau, décrit précédemment, selon les instructions du programme d'ordinateur 113, pour : If the entity is a network controller, the processor of the processing unit 112 implements steps of the method for controlling the accessibility of a device for routing data to said device, via at least one network slice, described previously, according to the instructions of the computer program 113, for:
- recevoir au moins un message de vérification en provenance d'un serveur de contrôle, ledit au moins un message de vérification correspondant à au moins une action de vérification de l'accessibilité dudit équipement via au moins une tranche réseau à exécuter, - receive at least one verification message from a control server, said at least one verification message corresponding to at least one action of verifying the accessibility of said equipment via at least one network slice to be executed,
- transmettre à au moins une entité relais sélectionnée ledit au moins un message de vérification. Si l'entité est une entité relais, le processeur de l'unité de traitement 112 met en œuvre des étapes du procédé d'exécution d'une vérification de l'accessibilité d'un équipement pour l'acheminement de données à destination dudit équipement via au moins une tranche réseau, décrit précédemment, selon les instructions du programme d'ordinateur 113, pour : - transmitting to at least one selected relay entity said at least one verification message. If the entity is a relay entity, the processor of the processing unit 112 implements steps of the method for executing a verification of the accessibility of a device for the routing of data to said device via at least one network slice, described previously, according to the instructions of the computer program 113, for:
- recevoir au moins un message de vérification en provenance d'un serveur de contrôle ou en provenance d'un contrôleur réseau du réseau auquel ladite entité relais est connectée, ledit au moins un message de vérification correspondant à au moins une action de vérification de l'accessibilité dudit équipement, via au moins une tranche réseau, à exécuter par ladite entité relais, transmettre, vers ledit équipement, ledit au moins un message de vérification. - receive at least one verification message from a control server or from a network controller of the network to which said relay entity is connected, said at least one verification message corresponding to at least one action of verifying the accessibility of said equipment, via at least one network slice, to be executed by said relay entity, transmit, to said equipment, said at least one verification message.
Claims
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FRFR2310989 | 2023-10-12 | ||
| FR2310989A FR3154268A1 (en) | 2023-10-12 | 2023-10-12 | Methods for verifying, managing, controlling, and performing a verification of the accessibility of equipment, equipment, control server, network controller, relay entity, and corresponding computer program. |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2025078600A1 true WO2025078600A1 (en) | 2025-04-17 |
Family
ID=89321876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2024/078682 Pending WO2025078600A1 (en) | 2023-10-12 | 2024-10-11 | Methods for verifying, for managing, for controlling and for performing a verification of the accessibility of an equipment, and corresponding equipment, control server, network controller, relay entity and computer program |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR3154268A1 (en) |
| WO (1) | WO2025078600A1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190037409A1 (en) * | 2016-02-16 | 2019-01-31 | Idac Holdings, Inc. | Network slicing operation |
| US20200015154A1 (en) * | 2017-03-17 | 2020-01-09 | Huawei Technologies Co., Ltd. | Techniques for radio access network (ran) configuration in slice-based networks |
-
2023
- 2023-10-12 FR FR2310989A patent/FR3154268A1/en active Pending
-
2024
- 2024-10-11 WO PCT/EP2024/078682 patent/WO2025078600A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190037409A1 (en) * | 2016-02-16 | 2019-01-31 | Idac Holdings, Inc. | Network slicing operation |
| US20200015154A1 (en) * | 2017-03-17 | 2020-01-09 | Huawei Technologies Co., Ltd. | Techniques for radio access network (ran) configuration in slice-based networks |
Non-Patent Citations (10)
| Title |
|---|
| A. CONTA ET AL., INTERNET CONTROL MESSAGE PROTOCOL (ICMPV6) FOR THE INTERNET PROTOCOL VERSION 6 (IPV6) SPECIFICATION, March 2006 (2006-03-01) |
| A. FARREL ET AL., A FRAMEWORK FOR NETWORK SLICES IN NETWORKS BUILT FROM IETF TECHNOLOGIES, 14 September 2023 (2023-09-14) |
| BOUCADAIR ORANGE M: "An Overview of Network Slicing Efforts in The IETF draft-boucadair-teas-ietf-slicing-overview-03; draft-boucadair-teas-ietf-slicing-overview-03.txt", no. 3, 18 September 2023 (2023-09-18), pages 1 - 24, XP015162069, Retrieved from the Internet <URL:https://tools.ietf.org/html/draft-boucadair-teas-ietf-slicing-overview-03> [retrieved on 20230918] * |
| F. BROCKNERS ET AL., DATA FIELDS FOR IN SITU OPERATIONS, ADMINISTRATION, AND MAINTENANCE (IOAM, May 2022 (2022-05-01) |
| F. BROCKNERS ET AL., NETWORK SERVICE HEADER (NSH) ENCAPSULATION FOR IN SITU OAM (IOAM) DATA, August 2023 (2023-08-01) |
| J. HALPERN ET AL., SERVICE FUNCTION CHAINING (SFC) ARCHITECTURE, October 2015 (2015-10-01) |
| J. POSTEL, INTERNET CONTROL MESSAGE PROTOCOL, September 1981 (1981-09-01) |
| K. G. SZARKOWICZ ET AL., A REALIZATION OF IETF NETWORK SLICES FOR 5G NETWORKS USING CURRENT IP/MPLS TECHNOLOGIES, 23 May 2023 (2023-05-23) |
| M. BOUCADAIR ET AL., YANG DATA MODELS FOR 'ATTACHMENT CIRCUITS'-AS-A-SERVICE (ACAAS, 3 May 2023 (2023-05-03) |
| ROKUI NOKIA S HOMMA NTT D LOPEZ TELEFONICA I+D X DE FOY INTERDIGITAL INC L CONTRERAS-MURILLO J ORDONEZ-LUCENA TELEFONICA I+D P MAR: "5G Transport Slice Connectivity Interface; draft-rokui-5g-transport-slice-00.txt", 2 July 2019 (2019-07-02), pages 1 - 28, XP015133660, Retrieved from the Internet <URL:https://tools.ietf.org/html/draft-rokui-5g-transport-slice-00> [retrieved on 20190702] * |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3154268A1 (en) | 2025-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016128644A1 (en) | Method for selecting network connection hubs | |
| KR102397750B1 (en) | GTP tunnels to support anchorless backhaul | |
| US20200092400A1 (en) | Networking bonding by a mobile communication device | |
| FR3096533A1 (en) | Method for managing a communication between terminals in a communication network, and devices for implementing the method | |
| EP3682601B1 (en) | Data routing in a customer premises equipment using link aggregation | |
| EP3682600B1 (en) | Management of connection with other residential gateways of a residential gateway implementing link aggregation | |
| WO2025078600A1 (en) | Methods for verifying, for managing, for controlling and for performing a verification of the accessibility of an equipment, and corresponding equipment, control server, network controller, relay entity and computer program | |
| EP3235217B1 (en) | Method for data exchange between web browsers, and routing device, terminal, computer program and storage medium therefor | |
| EP4449678A1 (en) | Mechanisms for communication with a service accessible via a telecommunication network taking into account the mobility of services, users and equipment | |
| WO2025003098A1 (en) | Methods for accessing a service and for providing services, and corresponding terminal, service function instance and computer programs | |
| FR2849313A1 (en) | DEVICE FOR MONITORING TREATMENTS ASSOCIATED WITH FLOWS WITHIN A COMMUNICATIONS NETWORK | |
| WO2025003097A1 (en) | Methods for accessing a service, method for providing services, control method, management method, and corresponding terminal, service function instance, controller, border node and computer programs | |
| Li | Future internet services based on LIPS technology | |
| FR3157769A1 (en) | Method of accessing a service by a communication device via at least one communication network | |
| WO2025078594A1 (en) | Selection method for selecting network slices suitable for a service, management method for managing at least one network slice and comunication method, and entities configured to implement these methods | |
| FR3154269A1 (en) | Methods for routing data, configuring, allocating identifiers and accessing a service in a communications network implementing network slices, entities and corresponding computer programs. | |
| BE1023707B1 (en) | MULTI-PATH TCP IN HYBRID ACCESS NETWORKS | |
| WO2025104061A1 (en) | Method for controlling a communication during which data relating to a service are exchanged, and associated electronic devices | |
| FR3138254A1 (en) | Method for dynamic federation of a plurality of radiocommunication networks, computer program and associated network | |
| FR3154893A1 (en) | Methods and devices for configuring and using a network supporting network slices | |
| Phung | Enriching the internet control-plane for improved traffic engineering | |
| WO2025133031A1 (en) | Method for providing an application with access to a function of an operating system of a terminal | |
| EP4541048A1 (en) | Method for communication between a first device and a remote server, corresponding method for managing communications, first device, remote server and computer program | |
| EP4595404A1 (en) | Method for managing data traffic between a source entity and a recipient entity, and corresponding entity and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 24789877 Country of ref document: EP Kind code of ref document: A1 |