CN115150107A - 在网络交换器中进行分组过滤的方法以及相关过滤器 - Google Patents
在网络交换器中进行分组过滤的方法以及相关过滤器 Download PDFInfo
- Publication number
- CN115150107A CN115150107A CN202110281073.2A CN202110281073A CN115150107A CN 115150107 A CN115150107 A CN 115150107A CN 202110281073 A CN202110281073 A CN 202110281073A CN 115150107 A CN115150107 A CN 115150107A
- Authority
- CN
- China
- Prior art keywords
- address
- access control
- control list
- circuit
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims 3
- 230000006870 function Effects 0.000 description 13
- 238000012795 verification Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
一种在网络交换器中进行分组过滤的方法,该方法包含:利用访问控制列表电路对接收分组进行过滤,其中该访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,该访问控制列表具有至少一个项目,且该项目中针对IP地址的规则信息仅包含IP地址的部分内容;以及利用路由电路对通过该访问控制列表电路的分组再次进行过滤,其中该路由电路根据路由表比对通过该访问控制列表电路的分组的头部信息,来进行过滤,其中该路由表具有至少一个项目,且该项目中针对IP地址的规则信息包含IP地址的完整内容。
Description
技术领域
本发明是关于网络交换器,由一种在网络交换器中,经由访问控制列表电路以及路由电路的协同运作来进行分组过滤的方法以及相关的过滤器。
背景技术
在以太网络通信系统中,网络交换器是一种通过分组交换,接收和转发数据到目标设备,从而连接网络系统上的装置的硬件。网络交换器可以根据管理者策略,对分组进行过滤,从而实现防火墙、白名单或黑名单等网络安全防护机制。
一般来说,以太网络交换器中包含有访问控制列表。基于管理策略,访问控制列表的项目会定义出具体规则信息,允许或禁止特定的分组通过交换器转发,从而实现分组过滤。为了提高分组交换的速度,访问控制列表的功能通常由硬件电路来实现,其中包含了记录访问控制列表的存储器以及将分组头部信息与访问控制列表的项目进行比对的比较电路。因此,若需提高访问控制列表的可设置性,则必须扩充相关的硬件电路。
另一方面,随着网络世代的演进,IPv6协议逐渐普及,虽然解决了IP地址不足的问题,但也对网络设备带来冲击,举例来说,前述主动访问控制列表的字段需求会因为IPv6协议中较长的IP地址而显著增加。在一般情形下,访问控制列表的一个项目可能需要占用40多个字节的存储器空间,如此一来,对于以太网络交换器的硬件成本以及电路面积是相当大的负担。
发明内容
有鉴于此,本发明提供一种在网络交换器中进行分组过滤的方法。其中,本发明是经由访问控制列表电路,以及路由电路的共同运作,从而实现网络交换器的分组过滤功能。在本发明之中,访问控制列表电路会根据源IP地址的一部份以及/或目的IP地址的一部份进行过滤,而路由电路则会根据完整的源IP地址以及/或完整的目的IP地址进行过滤。进一步来说,在进行分组过滤的过程中,访问控制列表的项目中,仅仅会会记载源IP地址以及/或目的IP地址的部分内容,而路由电路中的路由表则会记录源IP地址以及目的IP地址的完整内容,经由这样的设计方式,本发明可以有效降低对于访问控制列表电路的硬件需求。
本发明的一个实施例提供一种在网络交换器中进行分组过滤的方法,该方法包含:利用访问控制列表电路对接收分组进行过滤,其中该访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,该访问控制列表具有至少一个项目,且该项目中针对IP地址的规则信息仅包含IP地址的部分内容,且该IP地址的部分内容与其他访问控制列表中的IP地址的部分内容不重复;以及利用路由电路对通过该访问控制列表电路的分组再次进行过滤,其中该路由电路根据路由表比对通过该访问控制列表电路的分组的头部信息,来进行过滤,其中该路由表具有至少一个项目,且该项目中针对IP地址的规则信息包含IP地址的完整内容。
本发明的一个实施例提供一种在网络交换器中实现的过滤器,该过滤器包含:访问控制列表电路与路由电路。该访问控制列表电路用以对接收分组进行过滤,其中该访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,该访问控制列表具有至少一个项目,且该项目中针对IP地址的规则信息仅包含IP地址的部分内容,且该IP地址的部分内容与其他访问控制列表中的IP地址的部分内容不重复。该路由电路用以对通过该访问控制列表电路的分组再次进行过滤,其中该路由电路根据路由表比对通过该访问控制列表电路的分组的头部信息,来进行过滤,其中该路由表具有至少一个项目,且该项目中针对IP地址的规则信息包含IP地址的完整内容。
附图说明
图1为本发明的一个实施例的过滤器的架构图。
图2A与图2B分别为本发明实施例中之访问控制列表以及路由表的项目内容示意图。
图3为本发明的一个实施例的网络交换器的硬件阶段示意图。
图4为本发明的一个实施例的过滤器的流程图。
具体实施方式
在以下内文中,描述了许多具体细节以提供阅读者对本发明实施例的透彻理解。然而,本领域的普通技术人员将能理解,如何在缺少一个或多个具体细节的情况下,或者利用其他方法或元件或材料等来实现本发明。在其他情况下,众所皆知的结构、材料或操作不会被示出或详细描述,从而避免模糊本发明的核心概念。
说明书中提到的「一个实施例」意味着该实施例所描述的特定特征、结构或特性可能被包含于本发明的至少一个实施例中。因此,本说明书中各处出现的「在一个实施例中」不一定意味着同一个实施例。此外,前述的特定特征、结构或特性可以以任何合适的形式在一个或多个实施例中结合。
请参考图1,该图示出本发明实施例的一个过滤器的架构图。如图所示,过滤器100是由网络交换器10的多个硬件元件所实现,并且用在网络交换器10之中,用以针对网络交换器所接收到的分组进行过滤。其中,过滤器100包含有访问控制列表电路110以及路由电路120。访问控制列表电路110包含比较电路112以及储存单元113。储存装置113中储存有访问控制列表111,该列表具有多个项目EA1~EAN,项目内容由管理者策略所决定,该些项目EA1~EAN中的每一个都记载了特定的规则信息,例如可以通过过滤器100的分组,或者是不能通过过滤器100的分组所具备的特征,这些特征如图2A所示,包含(但不限定于):源IP地址、目的IP地址、源端口号、目的端口号、源/目的媒体访问控制地址、以太网络类型中的一个或多个。访问控制列表电路110会根据项目EA1~EAN中记录的规则信息,以及分组头部记录的信息,经由比较电路112进行比对,从而判断一个分组是否可以通过访问控制列表电路110的筛选,而符合规则信息的分组就会被进一步传送给路由电路120,不符合规则信息的分组就会被丢弃。在访问控制列表电路110的访问控制列表111中,针对源IP地址与目的IP地址的规则信息中,仅记录了源IP地址与目的IP地址的部分内容。另外,应该注意的是,访问控制列表111中关于IP地址的部分内容与访问控制列表电路110中其他访问控制列表的IP地址的部分内容不重复。
进一步来说,若网络交换器10是一个遵循IPv6协议的网络设备,则其所收到的分组的头部信息中关于源IP地址与目的IP地址也符合IPv6协议,可能具有128位长。而访问控制列表111记录的关于源IP地址与目的IP地址的规则信息中,不会包含完整的128位,而仅仅是128位中一部份。换言之,当一个分组的源IP地址以及/或目的IP地址符合访问控制列表111中的规则信息,仍有可能在下一个阶段中,无法通过路由电路120所进行的筛选。另外,应当注意的是,图2A所示的访问控制列表111的项目内容并非发明限制,在本发明不同实施例中,访问控制列表111的一个项目的规则信息可能包含有更多或更少的分组特征。
再者,路由电路120包含有储存单元123,储存单元123中访问有路由表121。在实现过滤器110的分组过滤操作时,路由表121的项目EB1~EBK可能如图2B所示,记载源IP地址、目的IP地址、源端口号、目的端口号等分组特征中的至少一个或多个。路由电路120会将分组头部信息与路由表121中的项目EB1~EBK进行比对,从而判断一个分组是否可以通过过滤器100,符合项目EB1~EBK的内容的分组就会通过进入到下一层(L3),等候网络交换器10的其他部分进行分组转发,不符合项目内容的分组就会被丢弃。在本发明中,路由表121中针对源IP地址与目的IP地址的项目中,记录了源IP地址与目的IP地址的完整内容。在IPv6的例子中,路油表121记录的关于源IP地址与目的IP地址的规则信息中,有完整的128位信息。另外,应当注意的是,图2B所示的路由表121的项目内容并非发明限制,在本发明不同实施例中,路由表121的一个项目的规则信息可能包含有更多或更少的分组特征。
由于路由电路120同时也作为网络交换器10的路由引擎,而分组过滤属于L2行为,因此路由电路120会在进行分组过滤操作时,关闭部分属于L3行为的功能,使得路由电路120在进行分组过滤时,不会对分组头部进行任何可能的修改操作,其中,这些被禁止的修改操作包含:替换源地址(Source Address Replacement)、虚拟局域网络ID修改(VirtualLAN ID Replacement)以及减少分组跳数限制(Hop limit)等;以上所述的功能,在路由电路120进行分组过滤操作时会被关闭,直到路由电路120进行分组路由时,才会被开启。
在一个实施例中,路由电路120在进行分组过滤操作时,除了会进行基于路由表121的项目比对头部信息,从而判断丢弃或转发分组之外,还可能会进行其他验证/检查操作,例如,IP头部验证、MAC/IP地址校验,例如:校验地址不一致、零地址以及IP等级(IPClass)等,或者是进行单播逆向路径转发检查。一般来说,这些验证/检查操作若经由访问控制列表电路110来实现,则会增加访问控制列表电路110的硬件需求,然而路由电路120本身就具备实行上述验证/检查操作的电路元件,因此,本发明的过滤器100可以在不增加访问控制列表电路110的硬件需求的前提下,提供IP头部验证、MAC/IP地址校验以及进行单播逆向路径转发检查等功能。
在本发明中,访问控制列表电路110与路由电路120的硬件必须实现在网络交换器10的不同硬件阶段中,如此才能确保访问控制列表电路110与路由电路120两者的协同运作可以完好地实现过滤器100,若两者实现在同一个硬件阶段中,则可能会发生硬件资源冲突的问题。请参考图3所示硬件阶段示意图。如图所示,本发明的网络交换器10可以将分组解析相关的处理电路设置于第1阶硬件S1中、将访问控制列表电路110设置于第2阶硬件S2中、将虚拟局域网络相关的处理电路设置于第3阶硬件S3中,以及将路由电路120设置于第4阶硬件S4中。请注意,上述的说明仅为本发明的一个示例,在本发明其他实施例中,网络交换器10的硬件阶段数目可能更多或更少,并且网络交换器10中的电路单元的设置方式也不同于图示的示例。
图4示出了上述实施例中,利用访问控制列表电路110以及路由电路120的协同运作来实现分组过滤的方法的简化流程图,该流程包含以下步骤:
步骤210:利用访问控制列表电路对接收分组进行过滤,其中访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,访问控制列表具有至少一个项目,且项目中针对IP地址的规则信息仅包含IP地址的部分内容,且该IP地址的部分内容与其他访问控制列表中的IP地址的部分内容不重复;以及
步骤220:利用路由电路对通过访问控制列表电路的分组再次进行过滤,其中路由电路根据路由表比对通过访问控制列表电路的分组的头部信息,来进行过滤,其中路由表具有至少一个项目,且项目中针对IP地址的信息包含IP地址的完整内容。
由于上述步骤的原理以及操作细节已经在先前的实施例中明确解释,在此不另做说明,值得注意的是,在本发明其他实施例中,可以经由加入基于该领域已知技巧的其他额外步骤,来提升技术整体效果。
总结来说,本发明在不增加访问控制列表电路的硬件需求的前提下,扩充了过滤器的功能/可设置性,让网络交换器的防火墙、黑/白名单等功能更为强大,并且,本发明的分组过滤操作的一部分是由网络交换器中的路由电路来实现,这让本发明在进行分组过滤操作时,也能一并进行包含:IP头部验证、MAC/IP地址校验,以及单播逆向路径转发等验证/检查操作,这是传统的访问控制列表电路所无法达到的效果。因此,本发明显著地提升了网络交换器的安全防护功能。
本发明之实施例可使用硬件、软件、固件以及其相关结合来完成。藉由适当的指令执行系统,可使用储存于存储器中的软件或固件来实施本发明的实施例。就硬件而言,则是可应用下列任一技术或其相关结合来完成:具有可根据数据信号执行逻辑功能的逻辑门的个别运算逻辑、具有合适的组合逻辑门的专用集成电路(application specificintegrated circuit,ASIC)、可编程门阵列(programmable gate array,PGA)或一现场可编程门阵列(field programmable gate array,FPGA)等。
说明书内的流程图中的流程和方块示出了基于本发明的各种实施例的系统、方法和计算机软件产品所能实现的架构,功能和操作。在这方面,流程图或功能方块图中的每个方块可以代表程序码的模块,区段或者是部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。另外,功能方块图以及/或流程图中的每个方块,以及方块的组合,基本上可以由执行指定功能或动作的专用硬件系统来实现,或专用硬件和计算机程序指令的组合来实现。这些计算机程序指令还可以存储在计算机可读介质中,该介质可以使计算机或其他可编程数据处理装置以特定方式工作,使得存储在计算机可读介质中的指令,实现流程图以及/或功能方块图中的方块所指定的功能/动作。
以上所述仅为本发明之较佳实施例,凡依本发明申请专利范围所做之均等变化与修饰,皆应属本发明之涵盖范围。
附图标记说明
10 网络交换器
100 过滤器
110 访问控制列表电路
111 访问控制列表
112 比较电路
113 储存单元
120 路由电路
121 路由表
123 储存单元
EA1~EAN、EB1~EBK 表项目
S1~S4 硬件阶段
210~220 步骤。
Claims (10)
1.一种在网络交换器中进行分组过滤的方法,包含:
利用访问控制列表电路对接收分组进行过滤,其中该访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,该访问控制列表具有至少一个项目,且该项目中针对IP地址的规则信息仅包含IP地址的部分内容,且该IP地址的部分内容与其他访问控制列表中的IP地址的部分内容不重复;以及
利用路由电路对通过该访问控制列表电路的分组再次进行过滤,其中该路由电路根据路由表比对通过该访问控制列表电路的分组的头部信息,来进行过滤,其中该路由表具有至少一个项目,且该项目中针对IP地址的规则信息包含IP地址的完整内容。
2.如权利要求1所述的方法,其中该访问控制列表电路与该路由电路分别设置于该网络交换器的不同硬件阶段。
3.如权利要求1所述的方法,其中该访问控制列表的项目中的规则信息还包含源IP地址的一部分、部分目的IP地址的一部分、源端口号、目的端口号、媒体访问控制地址、以太网络类型中的至少一个。
4.如权利要求1所述的方法,其中该路由表的项目中的规则信息还包含完整源IP地址、完整目的IP地址、源端口号、目的端口号中的至少一个。
5.如权利要求1所述的方法,其中利用该路由电路进行过滤的步骤包含:
在该路由电路进行分组过滤时,不利用该路由电路对通过该访问控制列表电路的分组的头部信息进行修改操作,其中该修改操作包含:替换源地址、虚拟局域网络ID修改以及减少分组跳数限制。
6.如权利要求1所述的方法,其中利用该路由电路进行过滤的步骤包含:
在该路由电路进行分组过滤时,利用该路由电路对通过该访问控制列表电路的分组进行验证/检查操作,其中该验证/检查操作包含IP头部验证、MAC/IP地址校验,以及单播逆向路径转发中的至少一个。
7.如权利要求1所述的方法,其中该网络交换器为遵循IPv6协议的网络设备,并且该IP地址为IPv6格式。
8.一种在网络交换器中实现的过滤器,包含:
访问控制列表电路,用以对接收分组进行过滤,其中该访问控制列表电路根据访问控制列表比对接收分组的头部信息来进行过滤,该访问控制列表具有至少一个项目,且该项目中针对IP地址的规则信息仅包含IP地址的部分内容,且该IP地址的部分内容与其他访问控制列表中的IP地址的部分内容不重复;以及
路由电路,用以对通过该访问控制列表电路的分组再次进行过滤,其中该路由电路根据路由表比对通过该访问控制列表电路的分组的头部信息,来进行过滤,其中该路由表具有至少一个项目,且该项目中针对IP地址的规则信息包含IP地址的完整内容。
9.如权利要求8所述的过滤器,其中该访问控制列表电路与该路由电路分别设置于该网络交换器的不同硬件阶段。
10.如权利要求1所述的过滤器,其中该路由表的项目中的规则信息还包含完整源IP地址、完整目的IP地址、源端口号、目的端口号中的至少一个。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110281073.2A CN115150107A (zh) | 2021-03-16 | 2021-03-16 | 在网络交换器中进行分组过滤的方法以及相关过滤器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110281073.2A CN115150107A (zh) | 2021-03-16 | 2021-03-16 | 在网络交换器中进行分组过滤的方法以及相关过滤器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115150107A true CN115150107A (zh) | 2022-10-04 |
Family
ID=83404480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110281073.2A Pending CN115150107A (zh) | 2021-03-16 | 2021-03-16 | 在网络交换器中进行分组过滤的方法以及相关过滤器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150107A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5790554A (en) * | 1995-10-04 | 1998-08-04 | Bay Networks, Inc. | Method and apparatus for processing data packets in a network |
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
US20100082811A1 (en) * | 2008-09-29 | 2010-04-01 | Van Der Merwe Jacobus Erasmus | Filtering unwanted data traffic via a per-customer blacklist |
US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
CN111064668A (zh) * | 2018-10-17 | 2020-04-24 | 华为技术有限公司 | 路由表项的生成方法、装置及相关设备 |
US10917385B1 (en) * | 2017-11-30 | 2021-02-09 | Juniper Networks, Inc. | Sharing matching filters among interfaces of a network device |
-
2021
- 2021-03-16 CN CN202110281073.2A patent/CN115150107A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5790554A (en) * | 1995-10-04 | 1998-08-04 | Bay Networks, Inc. | Method and apparatus for processing data packets in a network |
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
US20100082811A1 (en) * | 2008-09-29 | 2010-04-01 | Van Der Merwe Jacobus Erasmus | Filtering unwanted data traffic via a per-customer blacklist |
US10917385B1 (en) * | 2017-11-30 | 2021-02-09 | Juniper Networks, Inc. | Sharing matching filters among interfaces of a network device |
CN111064668A (zh) * | 2018-10-17 | 2020-04-24 | 华为技术有限公司 | 路由表项的生成方法、装置及相关设备 |
Non-Patent Citations (1)
Title |
---|
毛毛;: "一种IPv4/IPv6双协议栈下数据包的过滤方法", 中国水运(下半月), no. 03 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11893409B2 (en) | Securing a managed forwarding element that operates within a data compute node | |
EP1832037B1 (en) | Template access control lists | |
US10757005B2 (en) | Execution of packet-specified actions at forwarding element | |
US9270704B2 (en) | Modeling network devices for behavior analysis | |
US6625150B1 (en) | Policy engine architecture | |
CN1855873B (zh) | 用于实现高可用性虚拟局域网的方法和系统 | |
US7827402B2 (en) | Method and apparatus for ingress filtering using security group information | |
US6542508B1 (en) | Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor | |
US7953088B2 (en) | Method and apparatus for packet classification and rewriting | |
US10397116B1 (en) | Access control based on range-matching | |
US10348603B1 (en) | Adaptive forwarding tables | |
WO2007134023A2 (en) | Portable firewall | |
JP2013051729A (ja) | 仮想ルータ機能を提供する方法 | |
Schwabe et al. | Using MAC addresses as efficient routing labels in data centers | |
WO2017209973A1 (en) | System and method for a fallback access control list port configuration | |
US6337862B1 (en) | Network switch with truncated trie look-up facility | |
US10341259B1 (en) | Packet forwarding using programmable feature prioritization | |
CN116566752B (zh) | 安全引流系统、云主机及安全引流方法 | |
CN115150107A (zh) | 在网络交换器中进行分组过滤的方法以及相关过滤器 | |
TWI763360B (zh) | 在網路交換器中進行封包過濾的方法以及相關過濾器 | |
US20210344704A1 (en) | Network Defense Method and Security Detection Device | |
US8499026B2 (en) | Distributed packet processing system for high-speed networks and distributed packet processing method using thereof | |
CN114301680B (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
US11316828B2 (en) | Networking sub-ranges | |
CN112565167A (zh) | 一种访问控制列表acl的检测方法及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |