INTRUSION DETECTION FOR VIRTUAL LAYER-2 SERVICES

The invention is directed to detecting an attempt of an intruder system to participate in a virtual Layer-2 service provided over a packet switching network. Embodiments of the invention monitor operational status of an interface port of a PE router to which a CE router is communicatively coupled for providing the virtual Layer-2 service, determine, consequent to a change in said status, whether information that should relate to the CE router has changed; and thereby, in the affirmative, interpret said change to indicate that an intruder system has attempted to participate in the virtual Layer-2 service. Advantageously, this capability is complementary to other security measures such as MAC filters and Anti- spoofing filters that depend on the content of data packets exchanged between the CE and PE routers and not on the operational status of communicative connections between them. L'invention porte sur la détection d'une tentative d'un système intrus à participer à un service de couche 2 virtuel fourni sur un dispositif de commutation de paquets. Les modes de réalisation de l'invention surveillent un état opérationnel d'un port d'interface d'un routeur PE auquel un routeur CE est couplé de manière communicative pour fournir le service de couche 2 virtuel, déterminent, à la suite d'un changement dudit état, si des informations qui devraient être liées au routeur CE ont changé; et ainsi, dans l'affirmative, interprètent ledit changement pour indiquer qu'un système intrus a essayé de participer au service de couche 2 virtuel. De manière avantageuse, cette capacité est complémentaire d'autres mesures de sécurité telles que des filtres MAC et des filtres anti-usurpation qui dépendent du contenu de paquets de données échangés entre les routeurs CE et PE et non de l'état opérationnel de connexions communicatives entre eux.