CN114095450A - 有状态过滤系统和方法 - Google Patents
有状态过滤系统和方法 Download PDFInfo
- Publication number
- CN114095450A CN114095450A CN202110849743.6A CN202110849743A CN114095450A CN 114095450 A CN114095450 A CN 114095450A CN 202110849743 A CN202110849743 A CN 202110849743A CN 114095450 A CN114095450 A CN 114095450A
- Authority
- CN
- China
- Prior art keywords
- packet
- flow
- network element
- previously processed
- belongs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/44—Distributed routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种对分组进行过滤的方法,该方法包括接收多个分组,多个分组中的每个分组包括源地址,并且对于多个分组中的每一个分组,通过执行以下操作来处理该一个分组:修改一个分组的源地址以至少包括该一个分组所属于的流的标识符。还提供了相关的装置和方法。
Description
技术领域
本发明在其某些实施方式中涉及用于过滤分组的方法和系统。
背景技术
已经知道以高性能处理分组和/或帧的若干联网系统。
发明内容
本发明在其某些实施方式中寻求提供用于过滤分组的改进方法和系统。在示例性实施方式中,这样的方法和系统是“有状态的”;即,该方法和系统至少部分地基于先前处理的分组和/或帧来执行分组和/或帧的过滤。
联网设备领域的技术人员将理解,通常可能需要在“简单”和更高性能的联网设备之间进行选择,而不是“更智能”但性能较低的联网设备。在此类设备中可能有用的特性之一是能够保留有关流经设备的流的状态相关信息;这种状态相关信息将允许基于这些流的历史在设备中做出决定。在本发明的示例性实施方式中,为高性能设备提供了一种机制,从而允许向设备添加状态相关(“有状态”)能力。
术语“过滤器”,以其各种语法形式,在本文中用于指设备、系统或方法做出关于是否应将穿过该设备或系统或由该方法处理的分组丢弃的决定。为了描述和说明的简单起见,任何系统或设备在本文中都可以被称为“设备”。在示例性实施方式中参照过滤来描述本发明。
然而,本发明的发明人认识到,本发明的示例性实施方式不限于过滤。即使没有过滤发生,如本文所述,关于数据流的“学习”本身可能是有用的(在某些示例性实施方式中)。例如,并且在不限制前述一般性的情况下,获得关于有多少数据流穿过设备的信息可能是有用的。此外,在不限制前述内容的一般性的情况下,了解以下信息可能是有用的:哪些流穿过设备;哪些流不穿过设备。此类信息无论是准确获得还是近似获得(如下所述)都可能是有用的。
在示例性实施方式中,在过滤的情况下,提供了一种联网设备,其能够做出关于是否应该丢弃穿过该设备的分组的有状态决定。具体地,作为非限制性示例,来自特定流的第一分组将照常穿过设备。
在一个特定的非限制性示例中,特定流可能非常重要,因此可能具有两条不同的路径(例如,作为进一步的非限制性示例,与流相关联的一条卫星路径和一条陆线路径)。这是因为流的重要性;如果通过一条路径发送的分组没有到达,那么通过另一条路径发送的分组预计会到达。如本发明的示例性实施方式中所提供的,如果这样的分组经由第一路径到达,则将丢弃经由第二路径到达的随后的分组将是有帮助的。在某些示例性实施方式中,一旦流的分组经由第一路径到达,经由第二路径到达的整个流将被丢弃;如果使用老化技术来停止丢弃分组,并且该老化发生得足够快(例如,作为特定的非限制性示例,这个示例在各种特定实施方式中可能是可变的,几个10秒),则该方法可以成功地工作,以便不会丢弃更多所需的分组。
在一个特定的示例性实施方式中(并且如下面参照附图进一步描述的),安全机制(例如在现有联网设备中已知的安全机制)可用于实现上述流处理。作为非限制性示例,传入帧或分组的源地址可以由流标识符代替。然后可以使用安全机制查找流标识符。如果在安全查找中未找到流标识符,则将其视为尚未看到该流的分组的指示,并且该分组被正常处理。另一方面,如果在安全查找中找到流标识符,则这被视为已经看到该流的分组的指示,并且该分组被丢弃。如下文进一步描述,本发明的发明人相信所描述的安全查找的使用与本发明之前的本领域已知的“相反”,因此与本发明之前的本领域已知的非常不同。
因此根据本发明的示例性实施方式提供一种对分组进行过滤的方法,该方法包括接收多个分组,所述多个分组中的每个分组包括源地址,并且对于所述多个分组中的每一个分组,通过执行以下操作来处理所述一个分组:修改所述一个分组的源地址以至少包括所述一个分组所属于的流的标识符。
进一步根据本发明的示例性实施方式,处理一个分组还包括执行以下确定:至少部分地基于所述一个分组所属于的流的标识符,确定所述一个分组所属于的流的另一分组先前是否已被处理;基于所述一个分组所属于的流的另一分组先前已被处理,对所述一个分组进行操作,以及基于所述分组所属于的流的另一分组先前未被处理,传递所述一个分组以进行进一步处理。
更进一步地,根据本发明的示例性实施方式,对所述一个分组进行操作包括丢弃所述一个分组。
另外,根据本发明的示例性实施方式,对所述一个分组进行操作包括对所述一个分组进行计数。
此外,根据本发明的示例性实施方式,至少对所述一个分组的处理由网络元件执行。
进一步根据本发明的示例性实施方式,所述网络元件包括以下中的至少一项:网桥;路由器;和交换机。
更进一步地,根据本发明的示例性实施方式,网络元件包括网桥,并且至少对一个分组的处理由修改的网桥管道执行。
另外,根据本发明的示例性实施方式,传递所述一个分组以供进一步处理包括将所述一个分组传递到用于路由的路由器。
此外,根据本发明的示例性实施方式,所述一个分组所属于的流的标识符至少部分地基于所述一个分组的序列号。
进一步根据本发明的示例性实施方式,传递一个分组还包括学习所述一个分组所属于的流作为先前通过记录所述流处理的流。
更进一步地,根据本发明的示例性实施方式,所述确定包括至少部分地基于所述一个分组所属于的流是否是已经被学习为先前已经被处理的流的流。
另外,根据本发明的示例性实施方式,该方法还包括将所述至少一个流的记录移除为先前已被处理的流。
此外,根据本发明的示例性实施方式,自所述一个流已被记录为先前已被处理的流以来在经过一段时间后进行移除。
根据本发明的另一个示例性实施方式,还提供了一种用于对分组进行过滤的网络元件,该网络元件包括接收电路,其被配置为接收多个分组,所述多个分组中的每个分组包括源地址,以及分组处理电路,其被配置为对于所述多个分组中的每一个分组,通过执行以下操作来处理所述一个分组:修改所述一个分组的源地址以至少包括所述一个分组所属于的流的标识符。
进一步根据本发明的示例性实施方式,分组处理电路还被配置为通过执行以下操作来处理所述一个分组:至少部分地基于所述一个分组所属于的流的标识符,确定所述一个分组所属于的流的另一分组先前是否已被处理,基于所述一个分组所属于的流的另一分组先前已被处理,对所述一个分组进行操作,并基于所述分组所属于的流的另一分组先前未被处理,传递所述一个分组以进行进一步处理。
更进一步地,根据本发明的示例性实施方式,对所述一个分组进行操作包括丢弃所述一个分组。
另外,根据本发明的示例性实施方式,对所述一个分组进行操作包括对所述一个分组进行计数。
此外,根据本发明的示例性实施方式,所述网络元件包括以下中的至少一项:网桥;路由器;和交换机。
进一步根据本发明的示例性实施方式,网络元件包括网桥,并且至少对一个分组的处理由修改的网桥管道执行。
更进一步地,根据本发明的示例性实施方式,所述一个分组所属于的流的标识符至少部分地基于所述一个分组的序列号。
另外,根据本发明的示例性实施方式,传递一个分组还包括学习所述一个分组所属于的流作为先前通过记录所述流处理的流。
此外,根据本发明的示例性实施方式,所述确定包括至少部分地基于所述一个分组所属于的流是否是已经被学习为先前已经被处理的流的流。
进一步根据本发明的示例性实施方式,传递所述一个分组还包括将所述至少一个流的记录移除为先前已被处理的流。
更进一步地,根据本发明的示例性实施方式,自所述一个流已被记录为先前已被处理的流以来在经过一段时间后进行移除。
附图说明
本发明结合附图,从以下详细描述中将更全面地理解和领会本发明,其中:
图1A是根据本发明的示例性实施方式构造和操作的用于处理分组的系统的简化框图;
图1B是根据本发明的示例性实施方式的图1的系统的一部分的简化框图;
图2是图1A和图1B的系统中的分组处理的简化示例性框图;以及
图3是图1A和图1B的系统的示例性操作方法的简化流程图。
具体实施方式
现在参考图1A,其是根据本发明的示例性实施方式构造和操作的用于处理分组的系统的简化框图;以及参考图1B,其是根据本发明的示例性实施方式的图1A的系统的一部分的简化框图。
图1A的系统,一般用100表示,是用于处理分组或帧的系统;作为非限制性示例,该系统可以包括在交换机中。图1A的系统,一般用100表示,可以包括在适当的交换机、路由器或网络接口控制器(NIC)中。一般而言,交换机、路由器或NIC在本文中可被称为“网络元件”。作为非限制性示例,可从Mellanox Technologies Ltd.商购的可能是合适网络元件的系统包括:频谱系统,例如SN2700系统;和ConnectX-5系统。取决于所使用的特定术语,本领域技术人员可能将系统100(不包括下面讨论的可选路由器140)视为网桥。
图1A的系统的各种组件可以例如在专用集成电路(ASIC)中实现;为了确保足够的系统性能,这样的实现可能是可取的。在各种示例性实施方式中,图1A的系统的带宽和分组负载要求可能非常高(例如,作为非限制性示例,数据太比特和每秒数十亿个分组)。本发明的发明人相信ASIC实现将适合处理这样的负载;通常(作为非限制性示例)软件实现不会如此强大。类似地(参考下面关于老化的讨论),可能会处理10微秒数量级的系统反应时间,可能超过10秒的数千个流;这将是支持ASIC实现的另一个考虑因素。进一步的此类考虑(也参考以下讨论)包括:大量签名计算;处理表格,这可能有用地发生在ASIC的一个或多个静态随机存取存储器(SRAM)中;高性能缓冲;并且,在某些示例性实施方式中,提供多于两个或四个输入/输出端口(在本发明的发明人看来,两个或四个是本发明之前已知系统的多个更典型的)。
图1A的系统包括物理接收硬件(RX 5PHY)105,其接收输入(例如,作为非限制性示例,输入帧/分组145)。接收到的输入的数据部分(例如传入帧/分组145的数据部分)被在数据路径上传递,该数据路径包括缓冲器110。
通常并行地,接收到的输入的报头部分(例如输入帧/分组145的报头部分)被传递到报头路径。
报头路径包括处理引擎115;以及排队和调度单元125。处理引擎115和排队和调度单元125一起被配置为将分组/帧放入队列中,并调度分组/帧进行传输,如网桥和交换机领域中已知的。
一旦分组的数据部分和报头部分都被处理,报头部分和数据部分被发送到物理发送硬件(TX PHY)135,其执行分组/帧的物理传输。
现在简要描述图1A的系统的示例性操作模式,具体参考图1B。图1B示出了图1A的处理引擎115的非限制性示例性实施方式。图1B的系统一般用150表示。图1B的系统在本文中也可称为“管道”。
接收输入帧/分组153(对应于图1A的输入帧/分组145);图1B的系统的另外的框涉及输入帧/分组153的一部分(在图1B的示例性实施方式的给定实现中可能是适当的或需要的任何部分)的处理。
在签名确定框155中,确定传入分组的签名;签名用作流标识符。签名的一些非限制性示例包括:
1.传入分组的以下字段的哈希:SIP(源IP);DIP(目的地IP);协议类型;SPORT(源端口)和DPORT(目的地端口)。这种哈希,如本领域公知的(例如,作为非限制性示例,CRC16)可用于将更大(更多位)值映射到更小(更少位)值;在这种情况下,较小的值可以包括MAC地址大小的值。可以理解的是,通常MAC地址的长度是48位;在某些示例性实施方式中,VLANID(通常为12位)或BridgeID(通常为16位)可以连接到MAC地址,产生更大的字段。或者,可以使用任何适当的哈希,包括专有哈希。
2.单独的SIP(在IPv4中是32位字段)。
3.SIP与SPORT联接。
4.整个分组的哈希。
5.SIP的哈希;DIP;协议类型;SPORT;DPORT;和序列号(例如,作为非限制性示例,TCP序列号)。包含序列号的选项可能有助于避免在哈希整个分组时可能产生的开销;在某些示例性实施方式中,整个分组的哈希和序列号都可能有助于过滤流中的单个分组。
地址替换框160使用签名确定框155确定的签名来替换报头中的地址,例如源MAC(SMAC)地址。通常,分组/帧处理不需要(在特定情况下)SMAC地址,因此可以覆盖SMAC地址而不会导致操作问题。特别地,本领域技术人员将理解,当可选路由器140存在于图1A的示例性实施方式中时,不需要执行否则将使用SMAC地址的功能,因为可以由路由器140执行替代功能。
应当理解,签名确定框155本身以及由此执行的操作可以包括本发明的示例性实施方式,即使没有图1A和图1B的系统的其他组件。
在框165中,使用安全机制(例如传统的网桥安全机制,但对签名进行操作,如地址替换框160中所替换的那样),用于查找以确定是否在系统150的安全列表(未示出)中找到了签名;并且在框170中发生学习机制,其中签名(如果在框165中未找到)被“学习”并添加到安全列表中。
可以理解,在本发明之前的技术中,安全机制用于允许在安全查找中找到的分组被发送,并且禁止在安全查找中未找到的分组被发送。在本发明的示例性实施方式中,应用安全机制,其实际上与本发明之前的本领域中已知的内容“相反”。如果在框165的安全机制查找15中找到传入帧/分组153的签名(如在框160中替换的),则这被视为传入帧/分组153所属于的流(或,在示例性实施方式中,传入帧/分组153的副本)先前已经穿过系统150的指示;在这种情况下,传入帧/分组153被丢弃(框180)。相比之下,如果在框165的安全机制查找中未找到传入帧/分组153(如框160中替换的)的签名,则这被视为传入帧/分组153所属于的流(或者,在示例性实施方式中,传入帧/分组153的副本)没有先前穿过系统150的指示;在这种情况下,传入的帧/分组被传递(可能通过额外的约定框,未示出)用于传输到物理传输框175(为了方便而示出,并且不一定实际上包括在系统150中)。
关于ASIC实现的上述讨论,特别是关于框170,在示例性实施方式中,框170可以在ASIC、用软件编程的常规处理器或任何适当组合中实现,而无需(在本发明的发明人看来)损害了图1A和图1B的系统的性能。
可以理解,为了避免通过丢弃所有相关帧/分组而永久“阻塞”给定流的情况,应向安全机制提供老化机制,以便在一定时间后安全条目应被抹去。
一般而言,在图1B中描绘的管线中,以下元件(在示例性实施方式中)不同于在管线中发现的元件或除了该元件之外的元件,其被(本发明的发明人)认为是在本发明之前已经存在:框155;框160;和框165。图1B中描绘的管线因此可以被称为“修改的管线”或“修改的网桥管线”。
现在另外参考图2,图2是图1A和图1B的系统中的分组处理的简化示例框图,有助于理解图1A和图1B的系统的操作。
图2描绘了通常接收的分组/帧200;这样的分组15包括源MAC(SMAC)地址205和目的地MAC(DMAC)地址210。诸如上面参考地址替换框160描述的操作215用签名220替换SMAC地址205,从而产生修改的分组250。
上面提到的签名通常是对分组的一部分进行数学运算的结果。这种运算的一个特定的非限制性示例是众所周知的CRC16函数的实现;本领域技术人员将理解可以使用其他适当的函数。
图1A和图1B的设备可以配置有链路聚合(LAG),其(在示例性实施方式中)包括分组类型可以从其到达图1A和图1B的系统(100、150)的所有端口,但预计这种类型的分组不会通过它离开所述设备。分组到达的端口通常称为“入口端口”,而分组离开的端口通常称为“出口端口”。一般而言,管理系统提供对于给定类型的分组哪些预期是入口端口以及哪些预期是出口端口的定义。一般而言,网桥领域的系统能够应用各种安全策略。作为非限制性示例,这种策略(基于SMAC或另一个源指示)通常是基于端口的。因此,第一端口上的传入分组不会被理解为与第二端口上的传入分组受相同的安全策略约束。使用LAG可以克服这种情况,为了这些目的,它允许将多个端口视为单个端口(单个LAG)。
在本描述中,所指的LAG类型是接收(RX LAG)。
总结以上讨论,图1A和图1B的设备在示例性实施方式中被配置为执行L2安全查找(其本身是众所周知的操作);在图1A和图1B的设备中,当安全查找发生时,安全查找发生在签名220(图2)上,这与此类已知操作不同。如果在L2安全查找中没有发现签名220,则不发生特殊处理,并且所讨论的帧/分组继续进行发送(图1B的TX PHY 175)。然而,如果在L2安全查找中发现签名220,则丢弃所讨论的帧/分组(图1B中的框180);因此,仅发送给定流的第一个帧/分组,丢弃其他帧/分组。
在给定量的时间“老化”发生后,20L2安全查找表中的旧条目将被删除。作为非限制性示例,时间量可以取决于L2安全表的大小和分组到达率。这种给定时间量(这将取决于图1A和图1B的系统的特定实现)的典型示例的范围可以从几十微秒到几毫秒,甚至更多。通常,给定的时间量将根据实际系统的特定特性而变化,例如网络速度、分组到达频率等;在实践中,网络管理员可能会决定给定的时间量,以实现所需的系统性能。注意,在本发明的发明人看来,提到的这种给定的时间量明显短于本领域已知的。通过非限制性示例,可以通过以下方式实现这种非常快速的老化:
1.将计时器与每个L2安全表条目相关联,并在计时器到期时清除条目(或简单地使该条目无效)。
2.对整个L2安全表进行时钟计时;当时钟计时时,每个条目的计数器(初始设置,例如,为零)增加(例如,加一);当给定条目的计数器超过阈值时,给定条目被清除或无效。
可以理解,一般而言,参考图1B的系统的以上描述,对于给定分组的安全性查找(框165)在对先前分组的学习查找(框170)已经完成之后发生可能是重要的。可以使用众所周知的机制(例如,当对先前分组的学习查找完成时发送ACK10,然后才允许对给定分组的安全查找完成)来实现此目的。
现在参考图3,其是图1A和图1B的系统的示例性操作方法的简化流程图。参考图1A、图1B和图2的以上描述将最好地理解图3的描述。
接收到的分组的签名(例如,由图1B的签名确定框155,如上所述)确定并写入到分组的SMAC字段(步骤302)。
发出基于签名的安全查找(步骤305)。如果在安全查找中发现签名(步骤310),则丢弃该分组(步骤315),并且继续处理下一个分组(步骤330)。相反,如果在安全查找中未找到签名,则对当前分组继续进行分组处理。如上所述,这种安全处理与本发明的发明人所相信的本领域公知的内容“相反”。
在步骤320中,发出学习查找,从而将当前分组的签名添加到在步骤305的安全查找中使用的安全表。而图3的流程图将步骤320描述为在步骤310之后发生,应当理解,(如上所述)步骤320在步骤305之前发生可能是有利的。
正常分组处理继续(步骤325),然后下一个分组被处理(步骤330)。
可以理解,如果需要,本发明的软件组件可以以ROM(只读存储器)形式实现。如果需要,软件组件通常可以使用传统技术在硬件中实现。还可以理解,软件组件可以被实例化,例如:作为计算机程序产品或在有形介质上。在某些情况下,可以将软件组件实例化为可由适当计算机解释的信号,尽管在本发明的某些实施方式中可能排除这种实例化。
应当理解,为了清楚起见,在单独实施方式的上下文中描述的本发明的各种特征也可以在单个实施方式中组合提供。相反,为了简洁起见,在单个实施方式的上下文中描述的本发明的各种特征也可以单独提供或以任何合适的子组合提供。
本领域技术人员将理解,本发明不限于上文具体示出和描述的内容。相反,本发明的范围由所附权利要求及其等效物限定。
Claims (24)
1.一种对分组进行过滤的方法,所述方法包括:
接收多个分组,所述多个分组中的每个分组包括源地址;以及
对于所述多个分组中的每一个分组,通过执行以下操作来处理所述一个分组:
修改所述一个分组的所述源地址以至少包括所述一个分组所属于的流的标识符。
2.根据权利要求1所述的方法,其中所述处理所述一个分组还包括执行以下操作:
至少部分地基于所述一个分组所属于的所述流的所述标识符,确定所述一个分组所属于的所述流的另一分组先前是否已被处理;
基于所述一个分组所属于的所述流的另一分组先前已被处理,对所述一个分组进行操作;以及
基于所述分组所属于的所述流的另一分组先前未被处理,传递所述一个分组以进行进一步处理。
3.根据权利要求2所述的方法,其中对所述一个分组进行操作包括丢弃所述一个分组。
4.根据权利要求2所述的方法,其中对所述一个分组进行操作包括对所述一个分组进行计数。
5.根据权利要求2所述的方法,其中至少对所述一个分组的处理由网络元件执行。
6.根据权利要求5所述的方法,其中所述网络元件包括以下中的至少一项:网桥;路由器;和交换机。
7.根据权利要求5所述的方法,其中:
所述网络元件包括网桥;并且
至少对所述一个分组的处理由修改的网桥管道执行。
8.根据权利要求2所述的方法,并且其中传递所述一个分组以供进一步处理包括将所述一个分组传递到用于路由的路由器。
9.根据权利要求1所述的方法,其中所述一个分组所属于的流的所述标识符至少部分地基于所述一个分组的序列号。
10.根据权利要求2所述的方法,其中传递所述一个分组还包括:
学习所述一个分组所属于的所述流作为先前通过记录所述流处理的流。
11.根据权利要求10所述的方法,并且其中所述确定包括至少部分地基于所述一个分组所属于的所述流是否是已经被学习为先前已经被处理的流的流。
12.根据权利要求10所述的方法,还包括将所述至少一个流的所述记录移除作为先前已被处理的流。
13.根据权利要求12所述的方法,其中自所述一个流已被记录为先前已被处理的流以来在经过一段时间后进行所述移除。
14.一种用于对分组进行过滤的网络元件,所述网络元件包括:
接收电路,所述接收电路被配置为接收多个分组,所述多个分组中的每个分组包括源地址;和
分组处理电路,所述分组处理电路被配置为对于所述多个分组中的每一个分组,通过执行以下操作来处理所述一个分组:
修改所述一个分组的所述源地址以至少包括所述一个分组所属于的流的标识符。
15.根据权利要求14所述的网络元件,并且其中所述分组处理电路还被配置为通过执行以下操作来处理所述一个分组:
至少部分地基于所述一个分组所属于的所述流的所述标识符,确定所述一个分组所属于的所述流的另一分组先前是否已被处理;
基于所述一个分组所属于的所述流的另一分组先前已被处理,对所述一个分组进行操作;和
基于所述分组所属于的所述流的另一分组先前未被处理,传递所述一个分组以进行进一步处理。
16.根据权利要求15所述的网络元件,并且其中对所述一个分组进行操作包括丢弃所述一个分组。
17.根据权利要求15所述的网络元件,其中对所述一个分组进行操作包括对所述一个分组进行计数。
18.根据权利要求15所述的网络元件,其中所述网络元件包括以下中的至少一项:网桥;路由器;和交换机。
19.根据权利要求15所述的网络元件,其中:
所述网络元件包括网桥;和
至少对所述一个分组的处理由修改的网桥管道执行。
20.根据权利要求14所述的网络元件,其中所述一个分组所属于的所述流的所述标识符至少部分地基于所述一个分组的序列号。
21.根据权利要求15所述的网络元件,其中传递所述一个分组还包括:
学习所述一个分组所属于的所述流作为先前通过记录所述流处理的流。
22.根据权利要求21所述的网络元件,并且其中所述确定包括至少部分地基于所述一个分组所属于的所述流是否是已经被学习为先前已经被处理的流的流。
23.根据权利要求21所述的网络元件,并且其中传递所述一个分组还包括将所述至少一个流的所述记录移除作为先前已被处理的流。
24.根据权利要求23所述的网络元件,并且其中自所述一个流已被记录为先前已被处理的流以来在经过一段时间后进行所述移除。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/945,886 US12132656B2 (en) | 2020-08-02 | 2020-08-02 | Stateful filtering systems and methods |
| US16/945,886 | 2020-08-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095450A true CN114095450A (zh) | 2022-02-25 |
| CN114095450B CN114095450B (zh) | 2024-07-05 |
Family
ID=77155566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110849743.6A Active CN114095450B (zh) | 2020-08-02 | 2021-07-27 | 有状态过滤系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US12132656B2 (zh) |
| EP (1) | EP3952251A1 (zh) |
| CN (1) | CN114095450B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3154155A1 (en) * | 2021-03-23 | 2022-09-23 | Evertz Microsystems Inc. | A system and method for routing a serial digital interface (sdi) signal |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1406351A (zh) * | 2000-03-02 | 2003-03-26 | 查克波特软件技术有限公司 | 快速分组过滤与处理系统、装置及方法 |
| US20080037427A1 (en) * | 2006-05-24 | 2008-02-14 | Kist Alexander A | Estimating bandwidth |
| US20100002703A1 (en) * | 2007-03-20 | 2010-01-07 | Hiroyuki Kogata | Packet Relay Device And Method For Transferring Packet Therein |
| US20100097931A1 (en) * | 2008-10-21 | 2010-04-22 | Shakeel Mustafa | Management of packet flow in a network |
| US20110134791A1 (en) * | 2009-12-03 | 2011-06-09 | Verizon Patent And Licensing Inc. | Bidirectional forwarding detection (bfd) protocol extension for detecting random traffic dropping |
| US20110255540A1 (en) * | 2010-04-20 | 2011-10-20 | Tal Mizrahi | System and Method for Adapting a Packet Processing Pipeline |
| CN102652445A (zh) * | 2009-12-09 | 2012-08-29 | 皇家飞利浦电子股份有限公司 | 基于代理冗余的无线通信方法 |
| US20140036679A1 (en) * | 2012-08-06 | 2014-02-06 | Qualcomm Incorporated | Method to drop packets selectively in packet data networks |
| US20150117455A1 (en) * | 2013-10-28 | 2015-04-30 | Broadcom Corporation | Scalable and predictive packet processing |
| US20160021014A1 (en) * | 2014-07-21 | 2016-01-21 | Cisco Technology, Inc. | Lightweight flow reporting in constrained networks |
| CN105723654A (zh) * | 2013-11-14 | 2016-06-29 | 思科技术公司 | Clos类网络中的优化多播路由 |
| US20160205072A1 (en) * | 2013-12-12 | 2016-07-14 | Nec Europe Ltd. | Method and system for analyzing a data flow |
| WO2016151311A1 (en) * | 2015-03-25 | 2016-09-29 | Telesoft Technologies Ltd | Methods and apparatus for processing data in a network |
| US20160308770A1 (en) * | 2013-12-24 | 2016-10-20 | Huawei Technologies Co., Ltd. | Packet Processing Method, Node, and System |
| CN110099006A (zh) * | 2018-01-30 | 2019-08-06 | 马维尔以色列(M.I.S.L.)有限公司 | 用于有状态的分组处理的系统和方法 |
| CN110557342A (zh) * | 2018-05-31 | 2019-12-10 | 瞻博网络公司 | 用于分析和减轻丢弃的分组的设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
| DE102004018830A1 (de) * | 2004-04-19 | 2005-11-03 | Siemens Ag | Netz-Ausgangs-bezogenes Policing |
| US7933268B1 (en) * | 2006-03-14 | 2011-04-26 | Marvell Israel (M.I.S.L.) Ltd. | IP multicast forwarding in MAC bridges |
| WO2008148099A1 (en) * | 2007-05-25 | 2008-12-04 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (dos) attacks |
| US8155003B2 (en) * | 2009-10-23 | 2012-04-10 | Cisco Technology, Inc. | Aggregate policing applying max-min fairness for each data source based on probabilistic filtering |
| US9998359B2 (en) * | 2013-12-18 | 2018-06-12 | Mellanox Technologies, Ltd. | Simultaneous operation of remote management and link aggregation |
| CN106068629B (zh) * | 2014-03-04 | 2019-07-19 | 马维尔以色列(M.I.S.L.)有限公司 | 分组交换系统中的分布式计数器和计量器 |
| US10205662B2 (en) * | 2014-07-11 | 2019-02-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Prefix distribution-based table performance optimization in SDN |
| US9716653B2 (en) * | 2014-11-18 | 2017-07-25 | Hauwei Technologies Co., Ltd. | System and method for flow-based addressing in a mobile environment |
| CN106209648B (zh) * | 2015-05-04 | 2019-06-14 | 新华三技术有限公司 | 跨虚拟可扩展局域网的组播数据报文转发方法和设备 |
| US10367728B2 (en) * | 2015-07-15 | 2019-07-30 | Netsia, Inc. | Methods for forwarding rule hopping based secure communications |
| US9948556B2 (en) * | 2015-08-25 | 2018-04-17 | Google Llc | Systems and methods for externalizing network functions via packet trunking |
| EP3424163B1 (en) * | 2016-02-29 | 2022-08-31 | Telefonaktiebolaget LM Ericsson (PUBL) | Enhancement of relay arq in mmw network |
| US10511508B2 (en) * | 2016-05-05 | 2019-12-17 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Network packet forwarding systems and methods to push packet pre-processing tasks to network tap devices |
| US10966070B2 (en) * | 2017-01-30 | 2021-03-30 | Veniam, Inc. | Systems and methods for managing data with heterogeneous multi-paths and multi-networks in an internet of moving things |
-
2020
- 2020-08-02 US US16/945,886 patent/US12132656B2/en active Active
-
2021
- 2021-07-27 CN CN202110849743.6A patent/CN114095450B/zh active Active
- 2021-07-29 EP EP21188580.1A patent/EP3952251A1/en active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1406351A (zh) * | 2000-03-02 | 2003-03-26 | 查克波特软件技术有限公司 | 快速分组过滤与处理系统、装置及方法 |
| US20080037427A1 (en) * | 2006-05-24 | 2008-02-14 | Kist Alexander A | Estimating bandwidth |
| US20100002703A1 (en) * | 2007-03-20 | 2010-01-07 | Hiroyuki Kogata | Packet Relay Device And Method For Transferring Packet Therein |
| US20100097931A1 (en) * | 2008-10-21 | 2010-04-22 | Shakeel Mustafa | Management of packet flow in a network |
| US20110134791A1 (en) * | 2009-12-03 | 2011-06-09 | Verizon Patent And Licensing Inc. | Bidirectional forwarding detection (bfd) protocol extension for detecting random traffic dropping |
| CN102652445A (zh) * | 2009-12-09 | 2012-08-29 | 皇家飞利浦电子股份有限公司 | 基于代理冗余的无线通信方法 |
| US20110255540A1 (en) * | 2010-04-20 | 2011-10-20 | Tal Mizrahi | System and Method for Adapting a Packet Processing Pipeline |
| US20140036679A1 (en) * | 2012-08-06 | 2014-02-06 | Qualcomm Incorporated | Method to drop packets selectively in packet data networks |
| US20150117455A1 (en) * | 2013-10-28 | 2015-04-30 | Broadcom Corporation | Scalable and predictive packet processing |
| CN105723654A (zh) * | 2013-11-14 | 2016-06-29 | 思科技术公司 | Clos类网络中的优化多播路由 |
| US20160205072A1 (en) * | 2013-12-12 | 2016-07-14 | Nec Europe Ltd. | Method and system for analyzing a data flow |
| US20160308770A1 (en) * | 2013-12-24 | 2016-10-20 | Huawei Technologies Co., Ltd. | Packet Processing Method, Node, and System |
| US20160021014A1 (en) * | 2014-07-21 | 2016-01-21 | Cisco Technology, Inc. | Lightweight flow reporting in constrained networks |
| WO2016151311A1 (en) * | 2015-03-25 | 2016-09-29 | Telesoft Technologies Ltd | Methods and apparatus for processing data in a network |
| CN110099006A (zh) * | 2018-01-30 | 2019-08-06 | 马维尔以色列(M.I.S.L.)有限公司 | 用于有状态的分组处理的系统和方法 |
| CN110557342A (zh) * | 2018-05-31 | 2019-12-10 | 瞻博网络公司 | 用于分析和减轻丢弃的分组的设备 |
Non-Patent Citations (2)
| Title |
|---|
| SUNG-HO YOON: "Signature maintenance for Internet application traffic identification using header signatures", 《2012 IEEE NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》, 7 June 2012 (2012-06-07) * |
| 吴建平;任罡;李星;: "IPv6网络自治系统间源地址验证技术研究", 中国科技论文在线, no. 10, 15 October 2007 (2007-10-15) * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3952251A1 (en) | 2022-02-09 |
| CN114095450B (zh) | 2024-07-05 |
| US12132656B2 (en) | 2024-10-29 |
| US20220038372A1 (en) | 2022-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111788803B (zh) | 网络中的流管理 | |
| US20240098042A1 (en) | Egress packet processing using a modified packet header separate from a stored payload | |
| US9769074B2 (en) | Network per-flow rate limiting | |
| EP3709584B1 (en) | Mirroring dropped packets | |
| US7215637B1 (en) | Systems and methods for processing packets | |
| US10084716B2 (en) | Flexible application of congestion control measures | |
| US9237110B2 (en) | Dynamic maximum transmission unit size adaption | |
| US8472444B2 (en) | Method and apparatus for handling traffic in a data communication network | |
| US9876612B1 (en) | Data bandwidth overhead reduction in a protocol based communication over a wide area network (WAN) | |
| US8353003B2 (en) | System and method for controlling a flow of data a network interface controller to a host processor | |
| CN111669336B (zh) | 用于无损以太网的低成本拥塞隔离 | |
| US10554556B2 (en) | Network element with congestion-aware match tables | |
| JP5661764B2 (ja) | ネットワークトラフィックの転送、分類および監視を向上させる装置および方法 | |
| CN114095450B (zh) | 有状态过滤系统和方法 | |
| US20150319098A1 (en) | Methods and apparatuses for implementing network packet brokers and taps | |
| US8351341B1 (en) | Filtering to protect class of service | |
| US12261780B2 (en) | Systems and methods for automatically adjusting a time-based anti-replay window size | |
| Shimonishi et al. | Off-the-path flow handling mechanism forhigh-speed and programmable traffic management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220309 Address after: Yoknam, Israel Applicant after: Mellanox Technologies, Ltd. Address before: Israel Lai Ananna Applicant before: Mellanox Technologies TLV Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |