BR112021003695A2 - método e aparelho de processamento de pacote, e dispositivo relacionado - Google Patents

método e aparelho de processamento de pacote, e dispositivo relacionado Download PDF

Info

Publication number
BR112021003695A2
BR112021003695A2 BR112021003695-4A BR112021003695A BR112021003695A2 BR 112021003695 A2 BR112021003695 A2 BR 112021003695A2 BR 112021003695 A BR112021003695 A BR 112021003695A BR 112021003695 A2 BR112021003695 A2 BR 112021003695A2
Authority
BR
Brazil
Prior art keywords
address
packet
autonomous domain
filtering rule
flow filtering
Prior art date
Application number
BR112021003695-4A
Other languages
English (en)
Inventor
Hong Wu
Jianbo Zhu
Ruiqing Cao
Zhenbin Li
Original Assignee
Huawei Technologies Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd. filed Critical Huawei Technologies Co., Ltd.
Publication of BR112021003695A2 publication Critical patent/BR112021003695A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/44Distributed routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A presente invenção refere-se a um método de processamento de pacote e aparelho, e um dispositivo relacionado, para solucionar um problema que muitos recursos de rede são ocupados devido à entrega de uma grande quantidade de regras de filtragem de fluxo. O método inclui: um primeiro dispositivo gera uma regra de filtragem de fluxo, onde a regra de filtragem de fluxo inclui um item de correspondência e um item de ação, e o item de correspondência inclui um endereço de Protocolo de Internet IP e um identificador de domínio autônomo; e o primeiro dispositivo envia a regra de filtragem de fluxo a um segundo dispositivo, onde o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência.

Description

Relatório Descritivo da Patente de Invenção para "MÉTODO E DISPOSITIVO DE PROCESSAMENTO DE PACOTE, E DISPOSITI- VOS ASSOCIADOS". Campo técnico
[0001] Esse pedido refere-se ao campo de comunicações de rede e, em particular, a um método de processamento de pacote e disposi- tivo, e um dispositivo associado. Antecedentes
[0002] Em um processo de comunicação de rede, um pacote pode ser encaminhado por um dispositivo de encaminhamento, como um ro- teador ou interruptor. Por exemplo, depois que um roteador recebe um pacote, o roteador pode pesquisar uma tabela de roteamento e encami- nhamento (base de informações de encaminhamento, FIB) com base nas informações sobre o pacote, como um endereço de protocolo de Internet de origem (Internet Protocol, IP) e um IP de destino endereço, para determinar a informação do próximo salto correspondente ao pa- cote e encaminhar o pacote para um dispositivo de rede correspon- dente, como outro roteador, um terminal ou um servidor. No entanto, o dispositivo de encaminhamento depende de recursos de rede para o encaminhamento de pacotes. Os recursos de rede incluem, por exem- plo, uma largura de banda, um espaço de buffer e uma capacidade de processamento do dispositivo de encaminhamento. Quando os recursos de rede necessários excedem os recursos de rede disponíveis atual- mente, pode ocorrer congestionamento da rede. Portanto, o fluxo do dispositivo de encaminhamento pode ser controlado para evitar o con- gestionamento da rede.
[0003] Para implementar o controle de fluxo, o dispositivo de con- trole pode analisar o fluxo do dispositivo de encaminhamento para obter uma regra de filtragem de fluxo, e então entregar a regra de filtragem de fluxo ao dispositivo de encaminhamento. O dispositivo de encaminha- mento processa o pacote de acordo com a regra de filtragem de fluxo, por exemplo, redireciona ou descarta o pacote para, assim, implementar o controle de fluxo. Em uma forma convencional, o dispositivo de con- trole configura uma regra de filtragem de fluxo para cada par de dispo- sitivos de rede que usa o dispositivo de encaminhamento para comuni- cação. Quando houver uma grande quantidade de dispositivos de rede, uma grande quantidade de regras de filtragem de fluxo é configurada, de modo que mais recursos de rede precisam ser ocupados para entre- gar a regra de filtragem de fluxo do dispositivo de controle ao dispositivo de encaminhamento, e ainda o dispositivo de encaminhamento ainda ocupa uma grande quantidade de recursos de armazenamento. Sumário
[0004] Modalidades deste pedido fornecem um método de proces- samento de pacote e dispositivo, e um dispositivo associado, para solu- cionar um problema que muitos recursos de rede são ocupados devido à entrega de uma grande quantidade de regras de filtragem de fluxo.
[0005] Uma modalidade deste pedido fornece um método de pro- cessamento de pacote, onde o método é aplicado a um primeiro dispo- sitivo e, especificamente, inclui as seguintes etapas: o primeiro disposi- tivo primeiro gera uma regra de filtragem de fluxo e, então, a regra de filtragem de fluxo a um segundo dispositivo, onde a regra de filtragem de fluxo inclui um item de correspondência e um item de ação, o item de correspondência inclui um endereço de Protocolo de Internet IP e um identificador de domínio autônomo, e o item de ação é usado para ins- truir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote cor- respondente ao item de correspondência. O primeiro dispositivo pode ser um dispositivo de controle para gerar e entregar uma regra de filtra-
gem de fluxo, e pode ser um servidor, um terminal, um roteador, ou si- milares. Especificamente, um servidor de especificação de fluxo Border Gateway Protocol pode ser definido como o primeiro dispositivo. O se- gundo dispositivo pode ser um dispositivo de encaminhamento, como um roteador, um interruptor, uma ponte, ou um gateway.
[0006] Isto é, nesta modalidade deste pedido, endereços |P de dis- positivos de rede em um domínio autônomo correspondente a um iden- tificador de domínio autônomo são agregados, e uma regra de filtragem de fluxo é gerada com base no identificador de domínio autônomo. Por exemplo, quando o endereço IP no item de correspondência é um en- dereço IP de origem de um pacote recebido, o domínio autônomo é um domínio autônomo ao qual um dispositivo correspondente a um ende- reço de destino do pacote recebido pertence, de modo que apenas uma regra de filtragem precisa ser gerada para todos os dispositivos de rede no domínio autônomo. Uma regra de filtragem separada não precisa mais ser gerada para cada dispositivo no domínio autônomo, de modo que a quantidade de regras de filtragem de fluxo gerada seja reduzida, e recursos de rede necessários para entregar as regras de filtragem de fluxo ao segundo dispositivo são reduzidos.
[0007] Opcionalmente, o endereço IP pode ser um endereço |P de origem do pacote. Correspondentemente, o identificador de domínio au- tônomo é um identificador de um domínio autônomo ao qual um dispo- sitivo correspondente a um endereço IP de destino do pacote pertence. De modo alternativo, o endereço |P pode ser um endereço IP de destino do pacote. Correspondentemente, o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo cor- respondente a um endereço IP de origem do pacote pertence. Identifi- cadores de domínio autônomo são usados para distinguir entre diferen- tes domínios autônomos. Por exemplo, um identificador de domínio au-
tônomo da China Telecom pode ser AS1000, e um identificador de do- mínio autônomo da China Mobile pode ser AS2000.
[0008] Opcionalmente, o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual o segundo dispositivo pertence. Se o segundo dispositivo e um dispositivo de rede correspon- dente a um endereço |P de origem pertencerem ao mesmo domínio au- tônomo, quando uma regra de filtragem de fluxo é gerada, um identifi- cador de domínio autônomo de um domínio autônomo ao qual o dispo- sitivo correspondente ao endereço |P de origem pertence pode ser ob- tido obtendo um identificador de domínio autônomo de um domínio au- tônomo ao qual o segundo dispositivo pertence. Se o segundo disposi- tivo e um dispositivo de rede correspondente a um endereço |P de des- tino pertencerem ao mesmo domínio autônomo, um identificador de do- mínio autônomo de um domínio autônomo ao qual o endereço |P de destino pertence pode ainda ser obtido obtendo um identificador de do- mínio autônomo de um domínio autônomo ao qual o segundo dispositivo pertence.
[0009] Uma modalidade deste pedido ainda fornece um método de processamento de pacote, onde o método é aplicado a um segundo dis- positivo e, especificamente, inclui as seguintes etapas: o segundo dis- positivo recebe uma regra de filtragem de fluxo enviada por um primeiro dispositivo, onde a regra de filtragem de fluxo inclui um item de corres- pondência e um item de ação, e o item de correspondência inclui um endereço de Protocolo de Internet IP e um identificador de domínio au- tônomo; o segundo dispositivo recebe um pacote, e determina uma en- trada de roteamento e encaminhamento com base em um primeiro en- dereço no pacote, onde a entrada de roteamento e encaminhamento inclui um identificador de domínio autônomo; e ao determinar que um segundo endereço do pacote corresponde ao endereço |P na regra de filtragem de fluxo e ao identificador de domínio autônomo na entrada de roteamento e encaminhamento for o mesmo que o identificador de do- mínio autônomo na regra de filtragem de fluxo, o segundo dispositivo processa o pacote com base em um modo de processamento de pacote indicado pelo item de ação.
[0010] Nesta modalidade deste pedido, endereços IP de dispositi- vos de rede em um domínio autônomo correspondente a um identifica- dor de domínio autônomo são agregados, e uma regra de filtragem de fluxo é gerada com base no identificador de domínio autônomo. Por exemplo, quando o endereço IP no item de correspondência é um en- dereço |P de destino do pacote recebido, o domínio autônomo é um do- mínio autônomo ao qual um dispositivo correspondente a um endereço IP de origem do pacote pertence, de modo que apenas uma regra de filtragem precisa ser gerada para todos os dispositivos de rede no do- mínio autônomo. Uma regra de filtragem separada não precisa mais ser gerada para cada dispositivo no domínio autônomo, de modo que a quantidade de regras de filtragem de fluxo gerada seja reduzida, e a quantidade de regras de filtragem armazenada no segundo dispositivo é muito reduzida, assim economizando recursos de armazenamento do segundo dispositivo.
[0011] Opcionalmente, o primeiro endereço pode ser o endereço IP de destino do pacote, e correspondentemente, o segundo endereço é o endereço |P de origem do pacote. De modo alternativo, o primeiro en- dereço pode ser o endereço |P de origem do pacote, e correspondente- mente, o segundo endereço é o endereço |P de destino do pacote.
[0012] Opcionalmente, o modo de processamento de pacote indi- cado pelo item de ação inclui um ou mais dos seguintes modos de pro- cessamento: descartar o pacote, redirecionar o pacote, e marcar o pacote.
[0013] Descartar o pacote significa que o pacote não é encami- nhado, e o pacote é removido. Redirecionar o pacote significa que a informação de próximo salto correspondente ao pacote é mudada para, assim, mudar um caminho de encaminhamento do pacote e fluxo de controle em uma rede. Marcar um pacote significa que o pacote é mar- cado para processamento subsequente, como coleta de estatística de fluxo.
[0014] Opcionalmente, o método ainda inclui: gerar uma lista de controle de acesso de acordo com a regra de filtragem de fluxo, onde a lista de controle de acesso armazena o endereço IP, um índice de domínio autônomo, e o item de ação, e o Índice de domínio autônomo corresponde ao identificador de domínio autônomo. Porque a lista de controle de acesso é geralmente capaz de armazenar uma pequena quantidade de caracteres, um índice de domí- nio autônomo com uma pequena quantidade de caracteres é armaze- nada na lista de controle de acesso no lugar do identificador de domínio autônomo, e uma relação de mapeamento entre o índice de domínio autônomo e o identificador de domínio autônomo pode ser estabelecida, de modo que o índice de domínio autônomo possa ser subsequente- mente encontrado com base no identificador de domínio autônomo.
[0015] Então, ao determinar que que um segundo endereço do pa- cote corresponde ao endereço |P na regra de filtragem de fluxo e o iden- tificador de domínio autônomo na entrada de roteamento e encaminha- mento for o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, o segundo dispositivo processa o pacote com base no modo de processamento de pacote indicado pelo item de ação in- clua: ao determinar que o segundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e o identifica- dor de domínio autônomo na entrada de roteamento e encaminhamento corresponde ao índice de domínio autônomo na lista de controle de acesso, o segundo dispositivo processa o pacote com base no modo de processamento de pacote indicado pelo item de ação armazenada na lista de controle de acesso.
[0016] Uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dispositivo é usado em um pri- meiro dispositivo, e inclui: uma unidade de geração de regra, configurada para gerar uma regra de filtragem de fluxo, onde a regra de filtragem de fluxo inclui um item de correspondência e um item de ação, e o item de correspon- dência inclui um endereço de Protocolo de Internet IP e um identificador de domínio autônomo; e uma unidade de envio de regra, configurada para enviar a regra de filtragem de fluxo a um segundo dispositivo, onde o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência.
[0017] Opcionalmente, o endereço IP é um endereço IP de origem do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um en- dereço |P de destino do pacote pertence.
[0018] Opcionalmente, o endereço |P é um endereço |P de destino do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um en- dereço |P de origem do pacote pertence.
[0019] Opcionalmente, o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual o segundo dispositivo pertence.
[0020] Uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dispositivo é usado em um se- gundo dispositivo, e inclui:
uma unidade de recebimento de regra, configurada para re- ceber uma regra de filtragem de fluxo enviada por um primeiro disposi- tivo, onde a regra de filtragem de fluxo inclui um item de correspondên- cia e um item de ação, e o item de correspondência inclui um endereço de Protocolo de Internet IP e um identificador de domínio autônomo; uma unidade de recebimento de pacote, configurada para re- ceber um pacote, e determinar uma entrada de roteamento e encami- nhamento com base em um primeiro endereço no pacote, onde a en- trada de roteamento e encaminhamento inclui um identificador de domí- nio autônomo; e uma unidade de processamento de pacote, configurada para: quando for determinado que um segundo endereço do pacote cor- responde ao endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encaminhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, processar o pacote com base no modo de processamento de pacote indicado pelo item de ação.
[0021] Opcionalmente, o primeiro endereço é um endereço |P de destino do pacote, e o segundo endereço é um endereço |P de origem do pacote.
[0022] Opcionalmente, o primeiro endereço é um endereço |P de origem do pacote, e o segundo endereço é um endereço |P de destino do pacote.
[0023] Opcionalmente, o modo de processamento de pacote indi- cado pelo item de ação inclui um ou mais dos seguintes modos de pro- cessamento: descartar o pacote, redirecionar o pacote, e marcar o pacote.
[0024] Opcionalmente, o dispositivo ainda inclui: uma unidade de geração de lista, configurada para gerar uma lista de controle de acesso de acordo com a regra de filtragem de fluxo, onde a lista de controle de acesso armazena o endereço |P, um Índice de domínio autônomo, e o item de ação, e o índice de domínio autônomo corresponde ao identificador de domínio autônomo; e a unidade de processamento de pacote é especificamente configurada para: ao determinar que o segundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e o identifica- dor de domínio autônomo na entrada de roteamento e encaminhamento corresponde ao índice de domínio autônomo na lista de controle de acesso, processar o pacote com base no modo de processamento de pacote indicado pelo item de ação armazenada na lista de controle de acesso.
[0025] Uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dispositivo é um primeiro disposi- tivo, e o primeiro dispositivo inclui uma unidade de armazenamento, uma unidade de processamento, e uma unidade de comunicação; a unidade de armazenamento é configurada para armazenar uma instrução; a unidade de processamento é configurada para executar a instrução na unidade de armazenamento para, assim, realizar o método supracitado de processamento de pacote aplicado ao primeiro disposi- tivo; e a unidade de comunicação é configurada para se comunicar com um segundo dispositivo.
[0026] Uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dispositivo é um segundo disposi- tivo, e o segundo dispositivo inclui uma unidade de armazenamento, uma unidade de processamento, e uma unidade de comunicação; a unidade de armazenamento é configurada para armazenar uma instrução; a unidade de processamento é configurada para executar a instrução na unidade de armazenamento para, assim, realizar o método supracitado de processamento de pacote aplicado ao segundo disposi- tivo; e a unidade de comunicação é configurada para se comunicar com um primeiro dispositivo.
[0027] Uma modalidade deste pedido ainda fornece um meio de ar- mazenamento legível por computador, onde o meio de armazenamento legível por computador armazena uma instrução, e quando a instrução é executada em um computador, o computador é permitido realizar o método supracitado de processamento de pacote aplicado ao primeiro dispositivo e/ou o método supracitado de processamento de pacote apli- cado ao segundo dispositivo.
[0028] Uma modalidade deste pedido ainda fornece um produto de programa de computador incluindo uma instrução, onde quando o pro- duto de programa de computador executa em um computador, o com- putador é permitido realizar o método supracitado de processamento de pacote aplicado ao primeiro dispositivo e/ou o método supracitado de processamento de pacote aplicado ao segundo dispositivo.
[0029] Uma modalidade deste pedido ainda fornece um sistema de processamento de pacote, onde o sistema inclui o primeiro dispositivo e o segundo dispositivo supracitados. Breve descrição dos desenhos
[0030] A Figura 1 é um diagrama esquemático de um dispositivo de encaminhamento de acordo com uma modalidade deste pedido;
[0031] a Figura 2 é um diagrama esquemático de um sistema de controle de fluxo de acordo com uma modalidade deste pedido;
[0032] a Figura 3 é um diagrama em blocos estrutural de um sis- tema de processamento de pacote de acordo com uma modalidade deste pedido;
[0033] a Figura 4 é um fluxograma de um método de processamento de pacote de acordo com uma modalidade deste pedido;
[0034] a Figura 5 é um fluxograma de outro método de processa- mento de pacote de acordo com uma modalidade deste pedido;
[0035] a Figura 6 é um diagrama esquemático de um pacote de acordo com uma modalidade deste pedido;
[0036] a Figura 7 é um diagrama esquemático de uma entrada de roteamento e encaminhamento na técnica anterior;
[0037] a Figura 8 é um diagrama esquemático de uma entrada de roteamento e encaminhamento de acordo com uma modalidade deste pedido;
[0038] a Figura 9 é um diagrama esquemático de uma entrada de controle de acesso de acordo com uma modalidade deste pedido;
[0039] a Figura 10 é um diagrama em blocos estrutural de um dis- positivo de processamento de pacote de acordo com uma modalidade deste pedido;
[0040] a Figura 11 é um diagrama em blocos estrutural de outro dis- positivo de processamento de pacote de acordo com uma modalidade deste pedido;
[0041] a Figura 12 é um diagrama de uma arquitetura de hardware de um dispositivo de processamento de pacote de acordo com uma mo- dalidade deste pedido; e
[0042] a Figura 13 é um diagrama de a arquitetura de hardware de outro dispositivo de processamento de pacote de acordo com uma mo- dalidade deste pedido. Descrição das modalidades
[0043] Modalidades deste pedido fornecem um método de proces- samento de pacote e dispositivo, e um dispositivo associado para, as- sim, solucionar o problema que cada dispositivo de encaminhamento entrega uma grande quantidade de regras de filtragem de fluxo e redu- zem o desperdício de recursos de rede.
[0044] No relatório descritivo, nas reivindicações e nos desenhos anexos deste pedido, os termos "primeiro", "segundo", "terceiro", "quarto" e assim por diante (se existentes) destinam-se a distinguir entre objetos semelhantes, mas não indicam necessariamente uma ordem ou se- quência específica. Deve ser entendido que os dados designados dessa forma são intercambiáveis em circunstâncias adequadas, de modo que as modalidades da presente invenção aqui descritas podem ser imple- mentadas em ordens diferentes da ordem ilustrada ou descrita neste documento. Além disso, os termos "incluir", "conter" e quaisquer outras variantes significam cobrir a inclusão não exclusiva, por exemplo, um processo, método, sistema, produto ou dispositivo que inclui uma lista de etapas ou unidades não é necessariamente limitado a essas etapas ou unidades claramente listadas, mas podem incluir outras etapas ou unidades não explicitamente listadas ou inerentes ao processo, método, sistema, produto ou dispositivo.
[0045] Em uma tecnologia convencional, um pacote pode ser enca- minhado por um dispositivo de encaminhamento. Após receber o pa- cote, o dispositivo de encaminhamento pode determinar a informação de próximo salto correspondente ao pacote com base em uma tabela de roteamento e encaminhamento, e encaminhar o pacote a outro dis- positivo de rede correspondente. Por exemplo, com referência à Figura 1, um primeiro usuário 101 e um segundo usuário 102 podem enviar um pacote a um dispositivo de encaminhamento 103, e o dispositivo de en- caminhamento 103 encaminha o pacote recebido a um primeiro dispo- sitivo 104, um segundo dispositivo 105, um terceiro dispositivo 106, e um quarto dispositivo 107. Um endereço do primeiro dispositivo 104 é um primeiro endereço, um endereço do segundo dispositivo 105 é um segundo endereço, um endereço do terceiro dispositivo 106 é um ter- ceiro endereço, e um endereço do quarto dispositivo 107 é um quarto endereço.
[0046] No entanto, o dispositivo de encaminhamento depende de recursos de rede para o encaminhamento de pacotes, como a largura de banda, o espaço do buffer e a capacidade de processamento do dis- positivo de encaminhamento. Se os recursos de rede necessários exce- derem os recursos de rede disponíveis no momento, pode ocorrer con- gestionamento da rede. Por exemplo, um usuário ilegal pode lançar um ataque usando clientes ou servidores de negação de serviço distribuída (distributed denial of service, DDOS); ou seja, uma pluralidade de com- putadores são combinados como uma plataforma de ataque para lançar um ataque DDOS em um ou mais alvos, de modo que uma rede fique congestionada e a operação normal do serviço em um dispositivo alvo seja afetada, alcançando assim um propósito de ataque.
[0047] Para efetivamente impedir a rede de ser congestionada, o controle de fluxo pode ser realizado no dispositivo de encaminhamento. Especificamente, o fluxo do dispositivo de encaminhamento pode ser analisado para obter uma regra de filtragem de fluxo, e uma regra de filtragem de fluxo é emitido para o dispositivo de encaminhamento. O dispositivo de encaminhamento processa um pacote de acordo com a regra de filtragem de fluxo, por exemplo, redireciona ou descarta o pa- cote para, assim, implementar o controle de fluxo.
[0048] Por exemplo, a Figura 2 é um diagrama esquemático de um sistema de controle de fluxo de acordo com uma modalidade deste pe- dido. O fluxo de um dispositivo de encaminhamento 103 pode ser ana- lisado por um dispositivo de controle 108 para obter uma regra de filtra- gem de fluxo, e uma regra de filtragem de fluxo é emitido ao dispositivo de encaminhamento 103. O dispositivo de encaminhamento 103 pode processar um pacote recebido de acordo com a regra de filtragem de fluxo.
[0049] Entretanto, geralmente, há uma grande quantidade de dispo- sitivos de rede em uma rede. Portanto, uma regra de filtragem de fluxo precisa ser configurada para cada par de dispositivos de rede que rea- liza a comunicação através de um dispositivo de encaminhamento. Quando há uma grande quantidade de dispositivos de rede, uma grande quantidade de regras de filtragem de fluxo é configurada, e uma grande quantidade de regras de filtragem de fluxo gerada é entregue a cada dispositivo de encaminhamento, de modo que o controle de fluxo possa ser implementado para cada dispositivo de encaminhamento. Conse- quentemente, uma grande quantidade de recursos de rede é ocupada.
[0050] Por exemplo, com referência à Figura 2, o primeiro usuário 101 pode enviar um pacote ao primeiro dispositivo 104 através do dis- positivo de encaminhamento 103, e pode correspondentemente confi- gurar uma regra de filtragem de fluxo; por exemplo, um item de corres- pondência na regra de filtragem inclui um endereço IP do primeiro usu- ário e um primeiro endereço IP. O segundo usuário 102 pode enviar um pacote ao primeiro dispositivo 104 através do dispositivo de encaminha- mento 103, e pode correspondentemente configurar uma regra de filtra- gem de fluxo; por exemplo, um item de correspondência na regra de filtragem inclui um endereço IP do segundo usuário e do primeiro ende- reço IP. Portanto, oito regras de filtragem de fluxo precisam ser configu- radas para os usuários e quatro endereços IP mostrados na Figura 2. Do mesmo modo, se m usuários têm endereços |P de origem e acessam n endereços |P, e a rede tem um endereço |P de destino, ao fluxo de controle dos m usuários acessando os n endereços |P, m x n regras de filtragem de fluxo precisam ser geradas com base nos m endereços IP de origem e os n endereços |P de destino. As m x n regras de filtragem de fluxo são distribuídas a cada dispositivo de encaminhamento, de modo que o dispositivo de encaminhamento possa realizar o processa- mento correspondente no pacote recebido. O processo de distribuição de regra de filtragem ocupa uma grande quantidade de recursos de rede, e uma grande quantidade de recursos de armazenamento é ocu- pada pelo dispositivo de encaminhamento para armazenar essas regras de filtragem.
[0051] As modalidades deste pedido fornecem um método de pro- cessamento de pacote e dispositivo, e um dispositivo associado para, assim, solucionar o problema técnico que os recursos de rede são des- perdiçados porque uma grande quantidade de regras de filtragem de fluxo é gerada e entregue. Especificamente, o primeiro dispositivo gera uma regra de filtragem de fluxo, e envia a regra de filtragem de fluxo ao segundo dispositivo. A regra de filtragem de fluxo inclui um item de cor- respondência e um item de ação, o item de correspondência inclui um endereço |P e um sistema autônomo (autonomous system, AS) identifi- cador (identifier, ID), e o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência. Isto é, nesta modalidade deste pedido, ende- reços IP de dispositivos de rede em um domínio autônomo correspon- dente ao identificador de domínio autônomo são agregados, e uma re- gra de filtragem de fluxo é gerada com base no identificador de domínio autônomo. Dessa forma, apenas uma regra de filtragem de fluxo precisa ser gerada para todos os dispositivos de rede no domínio autônomo que se comunicam com um dispositivo de rede correspondente ao endereço IP no item de correspondência, e uma regra de filtragem de fluxo não precisa mais ser gerada para cada dispositivo de rede no domínio autô- nomo como na tecnologia convencional, de modo que a quantidade de regras de filtragem de fluxo gerada seja reduzida, e a quantidade de recursos de rede necessários para entregar as regras de filtragem de fluxo ao segundo dispositivo seja ainda reduzida.
[0052] A Figura 3 é um diagrama esquemático de uma estrutura de um sistema de acordo com uma modalidade deste pedido. O sistema inclui um primeiro dispositivo 100, um segundo dispositivo 200, um dis- positivo de envio 300, e um dispositivo de recebimento 400. O primeiro dispositivo 100 é conectado ao segundo dispositivo 200, e ambos o dis- positivo de envio 300 e o dispositivo de recebimento 400 são conecta- dos ao segundo dispositivo 200.
[0053] O O primeiro dispositivo 100 pode ser um controlador em uma rede definida por software (software defined network, SDN) ou ou- tro dispositivo, como um dispositivo de gerenciamento de rede, um ser- vidor, um terminal ou um roteador, onde o servidor está, por exemplo, um servidor de especificação de fluxo (flow specification server) de Bor- der Gateway Protocol (border gateway protocol, BGP). O primeiro dis- positivo 100 é configurado para gerar uma regra de filtragem de fluxo, onde a regra de filtragem de fluxo inclui um item de correspondência e um item de ação, o item de correspondência inclui um endereço IP e um identificador de domínio autônomo, e o item de ação na regra de filtra- gem de fluxo pode ser usado para instruir o segundo dispositivo para processar um pacote correspondente ao item de correspondência de acordo com um modo de processamento de pacote indicado pelo item de ação.
[0054] O segundo dispositivo 200 pode ser um dispositivo de enca- minhamento, como um roteador ou um interruptor, e é configurado para enviar um pacote recebido do dispositivo de envio 300 ao dispositivo de recebimento 400. O dispositivo de envio 300 e o dispositivo de recebi- mento 400 podem ser um terminal, um servidor, ou um dispositivo co- nectado a um usuário.
[0055] O segundo dispositivo 200 recebe a regra de filtragem de fluxo enviada pelo primeiro dispositivo 100. Após receber o pacote envi- ada pelo dispositivo de envio 300, o segundo dispositivo 200 pode de- terminar uma entrada de roteamento e encaminhamento com base no primeiro endereço no pacote, onde a entrada de roteamento e encami- nhamento inclui um identificador de domínio autônomo. Quando é de- terminado que um primeiro endereço do pacote corresponde ao ende- reço IP na regra de filtragem de fluxo e o identificador de domínio autô- nomo na entrada de roteamento e encaminhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, o se- gundo dispositivo 200 processa o pacote com base no modo de proces- samento de pacote indicado pelo item de ação.
[0056] O primeiro endereço pode ser um endereço IP de destino do pacote, e o segundo endereço pode ser um endereço IP de origem do pacote. De modo alternativo, o primeiro endereço é um endereço |P de origem do pacote, e o segundo endereço é um endereço |P de destino do pacote.
[0057] Por exemplo, um item de correspondência na regra de filtra- gem de fluxo pode incluir um endereço IP de origem IP-1 e um identifi- cador de domínio autônomo AS1000 de um domínio autônomo ao qual um dispositivo correspondente a um endereço |P de destino pertence, e um item de ação correspondente ao item de correspondência pode ser descartado. Se o segundo dispositivo 200 receber um pacote M1 cujo endereço IP de origem for IP-1 e cujo endereço |P de destino for IP-2, o segundo dispositivo 200 pode buscar a tabela de roteamento e encami- nhamento com base no endereço |P de destino para obter uma entrada de roteamento e encaminhamento correspondente ao endereço |P de destino, onde a entrada de roteamento e encaminhamento inclui o en- dereço IP de destino IP-2 e um identificador de domínio autônomo de um domínio autônomo ao qual o endereço IP de destino pertence. Quando o identificador de domínio autônomo correspondente ao ende- reço |P de destino IP-2 é AS1000, e porque o endereço |P de origem do pacote M1 é o mesmo que o endereço |P na regra de filtragem de fluxo e ambos são IP-1, pode ser considerado que o pacote corresponde ao item de correspondência na regra de filtragem de fluxo, e o segundo dispositivo 200 pode descartar o pacote M1 com base no modo de pro- cessamento de pacote indicado pelo item de ação correspondente.
[0058] Para facilitar o entendimento, as modalidades deste pedido são descritas em detalhes abaixo.
[0059] A Figura 4 é um fluxograma de um método de processa- mento de pacote de acordo com uma modalidade deste pedido. O mé- todo pode ser aplicado a um primeiro dispositivo, e inclui as seguintes etapas: S101. Gerar uma regra de filtragem de fluxo.
[0060] O primeiro dispositivo pode ser um dispositivo de controle para gerar e entregar uma regra de filtragem de fluxo, e pode ser um servidor, um terminal, um roteador, ou similares. Especificamente, um servidor de especificação de fluxo de Border Gateway Protocol pode ser definido como o primeiro dispositivo.
[0061] A regra de filtragem de fluxo é uma regra usada para instruir o segundo dispositivo para corresponder e processar um pacote, e pode incluir um item de correspondência e um item de ação. O item de cor- respondência pode incluir um endereço IP e um identificador de domínio autônomo. Especificamente, se o endereço IP for um endereço |P de origem do pacote, o identificador de domínio autônomo é um identifica- dor de domínio autônomo de um domínio autônomo ao qual um dispo- sitivo correspondente a um endereço IP de destino do pacote pertence; ou se o endereço |P for um endereço IP de destino do pacote, o identi- ficador de domínio autônomo é um identificador de domínio autônomo de um domínio autônomo ao qual um dispositivo correspondente a um endereço |P de origem do pacote pertence. Identificadores de domínio autônomo são usados para distinguir entre diferentes domínios autôno- mos. Por exemplo, um identificador de domínio autônomo de China Te- lecom pode ser AS1000, e um identificador de domínio autônomo de
China Mobile pode ser AS2000.
[0062] Para permitir que o primeiro dispositivo gere uma regra de filtragem de fluxo, o primeiro dispositivo pode obter a informação sobre um pacote recebido pelo segundo dispositivo, onde a informação de pa- cote inclui um endereço IP de origem e um endereço IP de destino de um pacote. Além disso, o primeiro dispositivo precisa obter um identifi- cador de domínio autônomo correspondente ao endereço |P de origem ou ao endereço |P de destino. Se o segundo dispositivo e um dispositivo de rede correspondente a um endereço |P de origem pertencerem ao mesmo domínio autônomo, um identificador de domínio autônomo de um domínio autônomo ao qual o dispositivo correspondente ao ende- reço |P de origem pertence pode ser obtido obtendo um identificador de domínio autônomo de um domínio autônomo ao qual o segundo dispo- sitivo pertence. Se o segundo dispositivo e um dispositivo de rede cor- respondente a um endereço |P de destino pertencerem ao mesmo do- mínio autônomo, um identificador de domínio autônomo de um domínio autônomo ao qual o endereço IP de destino pertence pode ainda ser obtido obtendo um identificador de domínio autônomo de um domínio autônomo ao qual o segundo dispositivo pertence. Isto é, neste caso, o identificador de domínio autônomo no item de correspondência é o iden- tificador de domínio autônomo do domínio autônomo ao qual o segundo dispositivo pertence. Entretanto, se o segundo dispositivo for indepen- dente do domínio autônomo ao qual o dispositivo correspondente ao endereço |P de origem pertence ou o domínio autônomo ao qual o dis- positivo correspondente ao endereço |P de destino pertence, o identifi- cador de domínio autônomo precisa ser obtido usando outro método; por exemplo, o identificador de domínio autônomo correspondente pre- cisa ser diretamente configurado no primeiro dispositivo com base no endereço IP de origem ou o endereço |P de destino.
[0063] Nesta modalidade deste pedido, a finalidade de reduzir a quantidade de regras de filtragem de fluxo gerada é alcançada através do agrupamento de endereços |P de origem ou endereços IP de destino com base no identificador de domínio autônomo.
[0064] Por exemplo, quando m usuários acessam n endereços |P, na técnica anterior, m x n regras de filtragem de fluxo precisam ser ge- radas para implementar o controle de fluxo. Entretanto, se n endereços IP pertencerem ao mesmo domínio autônomo e o identificador de domí- nio autônomo de n endereços IP for A, m x 1 regras de filtragem de fluxo precisam ser geradas, e o item de correspondência em cada regra de filtragem de fluxo inclui o identificador de domínio autônomo A e um en- dereço |P de uma dos usuários, assim efetivamente reduzindo a quan- tidade de regras de filtragem de fluxo.
[0065] Com referência à Figura 2, se o primeiro endereço IP 104 e o segundo endereço IP 105 pertencerem a um primeiro domínio autô- nomo, um termo de correspondência pode incluir um endereço IP do primeiro usuário 101 e um identificador do primeiro domínio autônomo, e o termo de correspondência pode ser usado para corresponder a um pacote gerado pelo primeiro usuário 101 acessando o primeiro endereço IP 104 e/ou o segundo endereço IP 105 através do dispositivo de enca- minhamento 103. Se o terceiro endereço IP 106 e o quarto endereço |P 107 pertencerem a um segundo domínio autônomo, um termo de cor- respondência pode incluir um endereço IP do primeiro usuário 101 e um identificador do segundo domínio autônomo, e o termo de correspon- dência é usado para corresponder um pacote gerado pelo primeiro usu- ário 101 acessando o terceiro endereço IP 106 e/ou o quarto endereço IP 107 através do dispositivo de encaminhamento 103. Portanto, duas regras de filtragem de fluxo podem ser geradas para dois usuários aces- sando o primeiro domínio autônomo, e duas regras de filtragem de fluxo podem ser geradas para dois usuários acessando o segundo domínio autônomo.
[0066] Do mesmo modo, se m usuários pertencerem ao mesmo do- mínio autônomo e seus identificadores de domínio autônomo forem B, 1xn regras de filtragem de fluxo podem ser geradas, e um item de correspondência em cada regra de filtragem de fluxo inclui o identifica- dor de domínio autônomo B e um dos n endereços IP. A quantidade de regras de filtragem de fluxo pode ainda ser efetivamente reduzida con- forme comparado com a técnica anterior.
[0067] Ainda, além do endereço IP e do identificador de domínio au- tônomo, um item de correspondência pode ainda incluir outra informa- ção sobre o pacote, como um ou mais dentre um protocolo IP, uma porta de origem, uma porta de destino, um tipo de protocolo de mensagem de controle de internet (internet control message protocol, ICMP), um có- digo de ICMP, um sinalizador de protocolo de controle de transmissão (transmission control protocol, TCP), um comprimento de pacote e um ponto de código de serviços (differentiated services code point, DSCP).
[0068] Um item de ação na regra de filtragem de fluxo corresponde ao item de correspondência, e é usado para instruir para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência. O item de ação pode incluir descartar o pacote, redirecionar o pacote, e marcar o pacote. Descartar o pacote significa que o pacote não é encaminhado, e o pacote é removido. Redirecionar o pacote significa que a informação de próximo salto correspondente ao pacote é mudada para, assim, mu- dar um caminho de encaminhamento do pacote e fluxo de controle em uma rede. Marcar um pacote significa que o pacote é marcado para pro- cessamento subsequente, como coleta de estatística de fluxo.
S102. Enviar a regra de filtragem de fluxo ao segundo dispo- sitivo.
[0069] O segundo dispositivo pode ser um dispositivo de encami-
nhamento, como um roteador, um interruptor, uma ponte, ou um gate- way. O primeiro dispositivo pode enviar uma regra de filtragem de fluxo com um item de correspondência e um item de ação ao segundo dispo- sitivo, de modo que o segundo dispositivo realize a correspondência no pacote. Quando o pacote corresponde ao item de correspondência, o segundo dispositivo processa o pacote com base no modo de proces- samento de pacote indicado pelo item de ação correspondente ao item de correspondência.
[0070] Porque uma pequena quantidade relativa de regras de filtra- gem de fluxo é gerada, o primeiro dispositivo envia uma pequena quan- tidade de regras de filtragem de fluxo ao segundo dispositivo, assim economizando recursos de rede e economizando recursos de armaze- namento do segundo dispositivo.
[0071] Em um método de processamento de pacote fornecido nesta modalidade deste pedido, o primeiro dispositivo primeiro gera uma regra de filtragem de fluxo e, então, a regra de filtragem de fluxo ao segundo dispositivo, onde a regra de filtragem de fluxo inclui um item de corres- pondência e um item de ação, o item de correspondência inclui um en- dereço |P e um identificador de domínio autônomo, e o item de ação é usado para instruir o segundo dispositivo para processar, com base no modo de processamento de pacote indicado pelo item de ação, o pacote correspondente ao item de correspondência. Isto é, nesta modalidade deste pedido, endereços IP de dispositivos de rede em um domínio au- tônomo correspondente ao identificador de domínio autônomo são agre- gados, e uma regra de filtragem de fluxo é gerada com base no identifi- cador de domínio autônomo. Dessa forma, apenas uma regra de filtra- gem de fluxo precisa ser gerada para todos os dispositivos de rede no domínio autônomo que se comunicam com um dispositivo de rede cor- respondente ao endereço IP no item de correspondência, e uma regra de filtragem de fluxo não precisa mais ser gerada para cada dispositivo de rede no domínio autônomo como na tecnologia convencional, de modo que a quantidade de regras de filtragem de fluxo gerada seja re- duzida, e a quantidade de recursos de rede necessários para entregar as regras de filtragem de fluxo ao segundo dispositivo seja ainda redu- zida.
[0072] A Figura 5 é um fluxograma de outro método de processa- mento de pacote de acordo com uma modalidade deste pedido. O mé- todo pode ser aplicado a um segundo dispositivo, e inclui as seguintes etapas: S201. Receber uma regra de filtragem de fluxo enviada por um primeiro dispositivo.
[0073] Conforme previamente descrito, o segundo dispositivo pode ser um dispositivo de encaminhamento, como um roteador, um interrup- tor, uma ponte, ou um gateway; e o segundo dispositivo pode receber uma regra de filtragem de fluxo enviada por um primeiro dispositivo. O primeiro dispositivo pode ser um dispositivo de controle para gerar e entregar uma regra de filtragem de fluxo, e pode ser um servidor, um terminal, um roteador, ou similares. Especificamente, um servidor de es- pecificação de fluxo de Border Gateway Protocol pode ser usado como o primeiro dispositivo.
[0074] A regra de filtragem de fluxo recebida pelo segundo disposi- tivo pode incluir um termo de correspondência e um termo de ação, onde o termo de correspondência pode incluir um endereço |P e um identificador de domínio autônomo. Especificamente, o endereço |P pode ser um endereço |P de origem do pacote, e o identificador de do- mínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um endereço IP de destino do pacote per- tence. De modo alternativo, o endereço IP pode ser um endereço |P de destino do pacote, e o identificador de domínio autônomo é um identifi- cador de um domínio autônomo ao qual um dispositivo correspondente a um endereço |P de origem do pacote pertence.
[0075] Porque o primeiro dispositivo gera uma quantidade relativa- mente pequena de regras de filtragem de fluxo, o segundo dispositivo recebe uma quantidade relativamente pequena de regras de filtragem de fluxo. Por exemplo, o controle de fluxo é realizado quando m usuários acessam n endereços |P; se os m usuários pertencerem ao mesmo do- mínio autônomo, o segundo dispositivo recebe 1 x n regras de filtragem de fluxo; do mesmo modo, se os n endereços |P pertencerem ao mesmo domínio autônomo, o segundo dispositivo recebe m x 1 regras de filtra- gem de fluxo.
[0076] Certamente, o item de correspondência pode ainda incluir outra informação sobre o pacote, como um ou mais dentre um protocolo IP, uma porta de origem, uma porta de destino, um tipo ICMP, um código ICMP, uma bandeira TCP, um comprimento do pacote e um DSCP. Um item de ação na regra de filtragem de fluxo corresponde ao item de cor- respondência, e é usado para instruir para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pa- cote correspondente ao item de correspondência. O item de ação pode incluir descartar o pacote, redirecionar o pacote, e marcar o pacote.
[0077] S202. Receber um pacote, e determinar uma entrada de ro- teamento e encaminhamento com base em um primeiro endereço no pacote.
[0078] Conforme mostrado na Figura 6, o pacote recebido pelo se- gundo dispositivo inclui um endereço IP de origem 201, um endereço IP de destino 202, e dados 203. O endereço |P de origem 201 é um ende- reço do dispositivo de rede que gera o pacote, e o endereço |P de des- tino 202 é um endereço do dispositivo de rede que é esperado receber o pacote. Normalmente, o segundo dispositivo precisa encaminhar o pa- cote, mas quando controle de fluxo é realizado no pacote, outro proces- samento precisa ser realizado no pacote.
[0079] Uma tabela de roteamento e encaminhamento pode ser ar- mazenada no segundo dispositivo, e a tabela de roteamento e encami- nhamento inclui uma pluralidade de entradas de roteamento e encami- nhamento. Cada entrada de roteamento e encaminhamento correspon- dentemente armazena informação de encaminhamento de um pacote. A Figura 7 é um diagrama esquemático de uma entrada de roteamento e encaminhamento na técnica anterior, incluindo um endereço |P de ori- gem 301 de um pacote, um endereço |P de destino 302 do pacote, e a informação de próximo salto 303. Portanto, o segundo dispositivo pode buscar a tabela de roteamento e encaminhamento com base na infor- mação sobre o pacote, como o endereço |P de origem e o endereço |P de destino, para determinar a informação de próximo salto correspon- dente ao pacote, e encaminhar o pacote com base na informação de próximo salto.
[0080] Nesta modalidade deste pedido, um identificador de domínio autônomo pode ser adicionado à tabela de roteamento e encaminha- mento. Especificamente, um identificador de um domínio autônomo ao qual o endereço |P de origem pertence pode ser adicionado, ou um iden- tificador de um domínio autônomo ao qual um dispositivo correspon- dente ao endereço IP de destino pertence pode ser adicionado, ou am- bos o identificador do domínio autônomo ao qual o dispositivo corres- pondente ao endereço |P de origem pertence e o identificador do domí- nio autônomo ao qual o dispositivo correspondente ao endereço IP de destino pertence pode ser adicionado. A Figura 8 é um diagrama esque- mático de a entrada de roteamento e encaminhamento de acordo com uma modalidade deste pedido, incluindo um endereço |P de origem 301, um AS-ID de origem 304, um endereço IP de destino 302, um AS-ID de destino 305, e a informação de próximo salto 303 de um pacote, onde o AS-ID de origem 304 é um identificador de um domínio autônomo ao qual o endereço IP de origem 301 pertence, e o AS-ID de destino 305 é um identificador de um domínio autônomo ao qual o endereço |P de destino 302 pertence.
[0081] O identificador do domínio autônomo ao qual o dispositivo correspondente ao endereço IP de origem pertence e/ou o identificador do domínio autônomo ao qual o dispositivo correspondente ao endereço IP de destino pertence em uma entrada de roteamento e encaminha- mento podem ser configurados.
[0082] Se o segundo dispositivo for um dispositivo de Protocolo de Gateway Interior ou um dispositivo de Protocolo de Gateway Exterior, geralmente, o segundo dispositivo armazena um ou mais identificadores de domínio autônomo. Especificamente, se o segundo dispositivo for um dispositivo de Protocolo de Gateway Interior e pertencer ao mesmo do- mínio autônomo como o dispositivo de rede correspondente ao ende- reço |P de origem, um identificador de domínio autônomo armazenado no segundo dispositivo é um identificador do domínio autônomo ao qual o dispositivo correspondente ao endereço IP de origem pertence; ou se o segundo dispositivo for um dispositivo de Protocolo de Gateway Inte- rior e pertencer ao mesmo domínio autônomo que o dispositivo de rede correspondente ao endereço |P de destino, um identificador de domínio autônomo armazenado no segundo dispositivo é um identificador do do- mínio autônomo ao qual o dispositivo correspondente ao endereço IP de destino pertence. Se o segundo dispositivo for um dispositivo de Pro- tocolo de Gateway Exterior, isto é, o segundo dispositivo pertencer ao mesmo domínio autônomo que o dispositivo de rede correspondente ao endereço |P de origem, e ainda pertencer ao mesmo domínio autônomo que o dispositivo de rede correspondente ao endereço IP de destino, o segundo dispositivo armazena pelo menos dois identificadores de do- mínio autônomo. Portanto, o identificador de domínio autônomo a ser adicionado à tabela de roteamento e encaminhamento precisa ser ob- tido com base no endereço IP de origem e o endereço |P de destino.
[0083] Após receber o pacote, o segundo dispositivo pode determi- nar uma entrada de roteamento e encaminhamento com base no pri- meiro endereço do pacote, e a entrada inclui pelo menos o primeiro en- dereço e o identificador do domínio autônomo ao qual o primeiro ende- reço pertence. O primeiro endereço pode ser o endereço |P de origem do pacote, e um segundo endereço pode ser o endereço |P de destino do pacote. Correspondentemente, o primeiro endereço pode ser o en- dereço IP de destino do pacote, e o segundo endereço pode ser o en- dereço |P de origem do pacote.
[0084] S203. Quando é determinado que o segundo endereço do pacote é o mesmo que o endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encami- nhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, processar o pacote com base no modo de proces- samento de pacote indicado pelo item de ação.
[0085] Pode ser aprendido a partir da descrição supracitada que o segundo dispositivo pode determinar uma entrada de roteamento e en- caminhamento com base no primeiro endereço do pacote, e a entrada inclui o primeiro endereço e o identificador do domínio autônomo ao qual o primeiro endereço pertence, isto é, o primeiro AS-ID. Então, o segundo dispositivo pode realizar a correspondência entre ambos o segundo en- dereço do pacote e o primeiro AS-ID e o item de correspondência na regra de filtragem de fluxo. Especificamente, o segundo dispositivo pode determinar se o segundo endereço do pacote for o mesmo que o ende- reço IP na regra de filtragem de fluxo, e se o primeiro AS-ID for o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo. Se o segundo endereço do pacote for o mesmo que o endereço |P na regra de filtragem de fluxo, e o primeiro AS-ID for o mesmo que o iden- tificador de domínio autônomo na regra de filtragem de fluxo, é conside- rado que o pacote corresponde ao item de correspondência na regra de filtragem de fluxo. Neste caso, o pacote pode ser processado com base no modo de processamento de pacote indicado pelo item de ação. O item de ação pode incluir descartar o pacote, redirecionar o pacote, e marcar o pacote.
[0086] Por exemplo, o item de correspondência na regra de filtra- gem de fluxo pode incluir um endereço IP de origem IP-1 e um identifi- cador de domínio autônomo AS 1000 ao qual um dispositivo correspon- dente a um endereço |P de destino pertence, e um item de ação corres- pondente ao item de correspondência pode ser descartar. Se o ende- reço |P de origem e o endereço IP de destino do pacote recebido pelo segundo dispositivo são IP-1 e IP-2, respectivamente, uma entrada de roteamento e encaminhamento correspondente ao endereço |P de des- tino pode ser obtida buscando a tabela de roteamento e encaminha- mento com base no endereço IP de destino, onde a entrada de rotea- mento e encaminhamento inclui o endereço IP de destino IP-2 e o iden- tificador do domínio autônomo ao qual o dispositivo correspondente ao endereço |P de destino pertence, isto é, o primeiro AS-ID é AS1000. Portanto, pode ser determinado que o endereço |P de origem do pacote é o mesmo que o endereço |P na regra de filtragem de fluxo. Além disso, se o primeiro AS-ID obtido com base na entrada de roteamento e enca- minhamento for o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, pode ser considerado que o pacote corres- ponde ao item de correspondência na regra de filtragem de fluxo, e o pacote é processado com base no modo de processamento de pacote indicado pelo item de ação correspondente. Especificamente, o pacote pode ser descartado.
[0087] Do mesmo modo, o item de correspondência na regra de fil- tragem de fluxo pode incluir o endereço IP de destino IP-2 e o identifi- cador de domínio autônomo AS2000 ao qual o dispositivo correspon-
dente ao endereço |P de origem pertence, e o item de ação correspon- dente ao item de correspondência pode ser redirecionar. Se o endereço IP de origem e o endereço IP de destino do pacote recebido pelo se- gundo dispositivo são IP-1 e IP-2, respectivamente, de acordo com o princípio correspondente da regra de filtragem de fluxo, pode ser deter- minado que o endereço |P de origem é o primeiro endereço e o ende- reço IP de destino é o segundo endereço. Uma entrada de roteamento e encaminhamento correspondente ao endereço IP de origem pode ser obtida bsucando a tabela de roteamento e encaminhamento com base no endereço |P de origem. A entrada de roteamento e encaminhamento inclui o endereço |P de origem IP-1 e um identificador do domínio autô- nomo ao qual o dispositivo correspondente ao endereço |P de origem pertence, isto é, o primeiro AS-ID é AS2000. Portanto, pode ser deter- minado que o endereço IP de destino do pacote é o mesmo que o en- dereço |P na regra de filtragem de fluxo. Além disso, se o primeiro AS- ID obtido com base na entrada de roteamento e encaminhamento for o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, pode ser considerado que o pacote corresponde ao item de correspondência na regra de filtragem de fluxo, e o pacote é processado com base no modo de processamento de pacote indicado pelo item de ação correspondente. Especificamente, o pacote pode ser redirecio- nado.
[0088] Para facilitar o controle de fluxo com base em uma regra de filtragem de fluxo, nesta modalidade deste pedido, uma lista de controle de acesso (access control list, ACL) pode ser gerada de acordo com a regra de filtragem de fluxo, e a lista de controle de acesso pode incluir um item de correspondência e um item de ação. A Figura 9 é um dia- grama esquemático de uma entrada de controle de acesso de acordo com uma modalidade deste pedido. Um item de correspondência pode incluir um endereço IP 401 e um índice de domínio autônomo 402, que correspondem a um endereço |P e um identificador de domínio autô- nomo em uma regra de filtragem de fluxo, respectivamente. O índice de domínio autônomo corresponde ao identificador de domínio autônomo na regra de filtragem de fluxo. No pedido real, uma relação de mapea- mento entre um identificador de domínio autônomo e um índice de do- mínio autônomo em uma regra de filtragem de fluxo pode ser estabele- cida, e quando a relação de mapeamento é atendida, as duas são con- sideradas estar correspondentes. O identificador de domínio autônomo e o Índice de domínio autônomo podem ser os mesmos ou diferentes.
[0089] Portanto, o segundo dispositivo pode determinar a entrada de roteamento e encaminhamento com base no primeiro endereço do pacote, e a entrada inclui o primeiro endereço e o identificador do domí- nio autônomo ao qual o primeiro endereço pertence, isto é, o primeiro AS-ID. Então, o segundo dispositivo pode realizar correspondente entre o segundo endereço do pacote e o endereço |P na lista de controle de acesso e realizar correspondente entre o primeiro AS-ID e o índice de domínio autônomo na lista de controle de acesso. Especificamente, o segundo dispositivo pode determinar se o segundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e se o primeiro AS-ID corresponde ao índice de domínio autônomo na lista de controle de acesso. Se o segundo endereço do pacote é o mesmo que o endereço IP na lista de controle de acesso e o primeiro AS-ID corres- ponde ao índice de domínio autônomo na lista de controle de acesso, é considerado que o pacote corresponde ao item de correspondência na lista de controle de acesso. Neste caso, o pacote pode ser processado com base no modo de processamento de pacote indicado pelo item de ação.
[0090] No outro método de processamento de pacote fornecido nesta modalidade deste pedido, o segundo dispositivo recebe a regra de filtragem de fluxo enviada pelo primeiro dispositivo, onde o item de correspondência inclui um endereço IP e um identificador de domínio autônomo. Identificadores de domínio autônomo podem ser usados para distinguir entre diferentes domínios autônomos, e uma domínio au- tônomo pode incluir uma pluralidade de dispositivos de rede, que cor- respondem a informação sobre a pluralidade de dispositivos de rede. O segundo dispositivo recebe o pacote, determina uma entrada de rotea- mento e encaminhamento com base no primeiro endereço no pacote, onde a entrada de roteamento e encaminhamento inclui um identificador de domínio autônomo; e ao determinar que o segundo endereço do pa- cote é o mesmo que o endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encami- nhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, o segundo dispositivo processa o pacote com base no modo de processamento de pacote indicado pelo item de ação. Isto é, nesta modalidade deste pedido, endereços |P de dispositivos de rede em um domínio autônomo correspondente ao identificador de domínio autônomo são agregados, e uma regra de filtragem de fluxo é gerada com base no identificador de domínio autônomo. Dessa forma, apenas uma regra de filtragem de fluxo precisa ser gerada para todos os dispo- sitivos de rede no domínio autônomo que se comunicam com um dispo- sitivo de rede correspondente ao endereço IP no item de correspondên- cia, e uma regra de filtragem de fluxo não precisa mais ser gerada para cada dispositivo de rede no domínio autônomo como na tecnologia con- vencional, de modo que a quantidade de regras de filtragem de fluxo gerada seja reduzida, e o primeiro dispositivo possa realizar a corres- pondência nos pacotes recebidos com base em uma quantidade relati- vamente pequena de regras de filtragem de fluxo e processar os paco- tes combinados, assim economizando os recursos de rede.
[0091] Com referência à Figura 10, uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dis- positivo é usado em um primeiro dispositivo. O primeiro dispositivo pode implementar uma função do primeiro dispositivo na modalidade mos- trada na Figura 4 ou A Figura 5. O primeiro dispositivo inclui uma uni- dade de geração de regra 101 e uma unidade de envio de regra 102. A unidade de geração de regra 101 é configurada para realizar a etapa S101 na modalidade mostrada na Figura 4, e a unidade de envio de regra 102 é configurada para realizar a etapa S102 na modalidade mos- trada na Figura 4. Especificamente, a unidade de geração de regra 101 é configurada para gerar uma regra de filtragem de fluxo, onde a regra de filtragem de fluxo inclui um item de correspondência e um item de ação, e o item de correspon- dência inclui um endereço de Protocolo de Internet IP e um identificador de domínio autônomo; e a unidade de envio de regra 102 é configurada para enviar a regra de filtragem de fluxo a um segundo dispositivo, onde o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência.
[0092] Opcionalmente, o endereço IP é um endereço IP de origem do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um en- dereço |P de destino do pacote pertence.
[0093] Opcionalmente, o endereço |P é um endereço |P de destino do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um en- dereço |P de origem do pacote pertence.
[0094] Opcionalmente, o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual o segundo dispositivo pertence.
[0100] Com referência à Figura 11, uma modalidade deste pedido ainda fornece um dispositivo de processamento de pacote, onde o dis- positivo é usado em um segundo dispositivo. O segundo dispositivo pode implementar uma função do segundo dispositivo na modalidade mostrada na Figura 4 ou na Figura 5. O segundo dispositivo inclui uma unidade de recebimento de regra 201, uma unidade de recebimento de pacote 202, e uma unidade de processamento de pacote 203. A unidade de recebimento de regra 201 é configurada para realizar a etapa S201 na modalidade mostrada na Figura 5, a unidade de recebimento de pa- cote 202 é configurada para realizar a etapa S202 na modalidade mos- trada na Figura 5, e a unidade de processamento de pacote 203 é con- figurada para realizar a etapa S203 na modalidade mostrada na Figura
5. Especificamente, a unidade de recebimento de regra 201 é configurada para receber uma regra de filtragem de fluxo enviada por um primeiro dispo- sitivo, onde a regra de filtragem de fluxo inclui um item de correspon- dência e um item de ação, e o item de correspondência inclui um ende- reço de Protocolo de Internet IP e um identificador de domínio autô- nomo; a unidade de recebimento de pacote 202 é configurada para: receber um pacote, e determinar uma entrada de roteamento e encami- nhamento com base em um primeiro endereço no pacote, onde a en- trada de roteamento e encaminhamento inclui um identificador de domí- nio autônomo; e a unidade de processamento de pacote 203 é configurada para: quando for determinado que um segundo endereço do pacote cor- responde ao endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encaminhamento for o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, processar o pacote com base em um modo de processamento de pacote indicado pelo item de ação.
[0101] Opcionalmente, o primeiro endereço é um endereço |P de destino do pacote, e o segundo endereço é um endereço |P de origem do pacote.
[0102] Opcionalmente, o primeiro endereço é um endereço |P de origem do pacote, e o segundo endereço é um endereço |P de destino do pacote.
[0103] Opcionalmente, o modo de processamento de pacote indi- cado pelo item de ação inclui um ou mais dos seguintes modos de pro- cessamento: descartar o pacote, redirecionar o pacote, e marcar o pacote.
[0104] Opcionalmente, o dispositivo ainda inclui: uma unidade de geração de lista, configurada para gerar uma lista de controle de acesso de acordo com a regra de filtragem de fluxo, onde a lista de controle de acesso armazena o endereço |P, um Índice de domínio autônomo, e o item de ação, e o índice de domínio autônomo corresponde ao identificador de domínio autônomo.
[0105] A unidade de processamento de pacote é especificamente configurada para: quando o segundo dispositivo determina que o se- gundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e o identificador de domínio autônomo na entrada de roteamento e encaminhamento corresponde ao índice de domínio autônomo na lista de controle de acesso, processar o pacote com base no modo de processamento de pacote indicado pelo item de ação ar- mazenada na lista de controle de acesso.
[0106] Com referência à Figura 12, uma modalidade deste pedido ainda fornece um primeiro dispositivo de processamento de pacote 300, onde o dispositivo é um primeiro dispositivo. O dispositivo 300 pode im- plementar uma função do primeiro dispositivo na modalidade mostrada na Figura 4 ou na Figura 5. O dispositivo inclui uma unidade de arma- zenamento 301, uma unidade de processamento 302, e uma unidade de comunicação 303.
[0107] A unidade de armazenamento 301 é configurada para arma- zenar uma instrução.
[0108] A unidade de processamento 302 é configurada para execu- tar a instrução na unidade de armazenamento 301, para realizar o mé- todo supracitado de processamento de pacote aplicado ao primeiro dis- positivo na modalidade mostrada na Figura 4 ou na Figura 5.
[0109] A unidade de comunicação 303 é configurada para se comu- nicar com um segundo dispositivo.
[0110] A unidade de armazenamento 301, a unidade de processa- mento 302, e a unidade de comunicação 303 são mutualmente conec- tadas usando um barramento 304. O barramento 304 pode ser um bar- ramento de interconexão de componente periférico (peripheral compo- nent interconnect, PCI para abreviar), um barramento de arquitetura pa- drão de indústria estendida (extended industry standard architecture, EISA para abreviar) ou semelhante. O barramento pode ser classificado em um barramento de endereço, um barramento de dados, um barra- mento de controle e semelhantes. Para facilidade de representação, apenas uma linha grossa é usada para representar o barramento na Figura 12, mas isso não significa que haja apenas um barramento ou apenas um tipo de barramento.
[0111] Com referência à Figura 13, uma modalidade deste pedido ainda fornece um segundo dispositivo de processamento de pacote 400. O dispositivo 400 pode implementar uma função do segundo dispositivo na modalidade mostrada na Figura 4 ou na Figura 5 e o dispositivo é um segundo dispositivo. O segundo dispositivo inclui uma unidade de arma- zenamento 401, uma unidade de processamento 402, e uma unidade de comunicação 403.
[0112] A unidade de armazenamento 401 é configurada para arma- zenar uma instrução.
[0113] A unidade de processamento 402 é configurada para execu- tar a instrução na unidade de armazenamento 401, para realizar o mé- todo supracitado de processamento de pacote aplicado ao segundo dis- positivo na modalidade mostrada na Figura 4 ou na Figura 5.
[0114] A unidade de comunicação 403 é configurada para se comu- nicar com um primeiro dispositivo.
[0115] A unidade de armazenamento 401, a unidade de processa- mento 402 e a unidade de comunicações 403 são mutuamente conec- tadas usando um barramento 404. O barramento 404 pode ser um bar- ramento de interconexão de componente periférico (peripheral compo- nent interconnect, PCI para abreviar), uma arquitetura padrão de indús- tria estendida (extended industry standard architecture, EISA ou seme- lhante. O barramento pode ser classificado em um barramento de en- dereço, um barramento de dados, um barramento de controle e seme- lhantes. Para facilidade de representação, apenas uma linha grossa é usada para representar o barramento na FIG. 13, mas isso não significa que haja apenas um barramento ou apenas um tipo de barramento.
[0116] A unidade de armazenamento 301 e a unidade de armaze- namento 401 podem ser, cada uma, uma memória de acesso aleatório (random-access memory, RAM), uma memória flash (flash), uma me- mória apenas de leitura (read only memory, ROM), uma memória de leitura programável apagável apenas memória (erasable programmable read only memory, EPROM), uma memória somente leitura programá- vel apagável eletricamente (electrically erasable programmable read only memory, EEPROM), um registro (register), um disco rígido, um disco rígido removível, um CD-ROM , ou qualquer outra forma de meio de armazenamento conhecida por um especialista na técnica.
[0117] A unidade de processamento 302 e a unidade de processa- mento 402 podem ser, cada uma, uma unidade de processamento cen- tral (central processing unit, CPU), um processador de uso geral, um processador de sinal digital (digital signal processor, DSP), um circuito integrado específico de aplicativo (application-specific integrated circuit, ASIC), uma matriz de portas programáveis em campo (field programma- ble gate array, FPGA) ou outro dispositivo lógico programável, um dis- positivo lógico de transistor, um componente de hardware ou qualquer combinação dos mesmos. A unidade de processamento pode imple- mentar ou executar vários blocos lógicos, módulos e circuitos de exem- plo descritos com referência ao conteúdo divulgado neste pedido. Alter- nativamente, o processador pode ser uma combinação de processado- res que implementam uma função de computação, por exemplo, uma combinação de um ou mais microprocessadores ou uma combinação de um DSP e um microprocessador.
[0118] A unidade de comunicação 303 e a unidade de comunicação 403 podem ser, por exemplo, uma placa de interface, ou pode ser uma interface ethernet (ethernet) ou uma interface de modo de transferência assíncrona (asynchronous transfer mode, ATM).
[0119] Uma modalidade da presente invenção fornece um sistema de processamento de pacote, onde o sistema é configurado para imple- mentar o método de processamento de pacote nas modalidades de mé- todo supracitadas. O sistema inclui o primeiro dispositivo na modalidade mostrada na Figura 10 e o segundo dispositivo na modalidade mostrada na Figura 11, ou o sistema inclui o primeiro dispositivo na modalidade mostrada na Figura 12 e o segundo dispositivo na modalidade mostrada na Figura 13.
[0120] Uma modalidade deste pedido ainda fornece um meio de ar- mazenamento legível por computador, onde o meio de armazenamento legível por computador inclui uma instrução, e quando a instrução é exe- cutada em um computador, o computador é permitido realizar o método supracitado de processamento de pacote aplicado ao primeiro disposi- tivo e/ou o método supracitado de processamento de pacote aplicado ao segundo dispositivo.
[0121] Uma modalidade deste pedido ainda fornece um produto de programa de computador incluindo uma instrução, onde quando o pro- duto de programa de computador executa em um computador, o com- putador é permitido realizar o método supracitado de processamento de pacote aplicado ao primeiro dispositivo e/ou o método supracitado de processamento de pacote aplicado ao segundo dispositivo.
[0122] Pode ser claramente entendido por um versado na técnica que, para fins de descrição conveniente e breve, para um processo de trabalho detalhado do sistema, dispositivo e unidade anteriores, con- sulte um processo correspondente nas modalidades de método anteri- ores. Os detalhes não são descritos aqui novamente.
[0123] Nas várias modalidades fornecidas neste pedido, deve ser entendido que o sistema, dispositivo e método divulgados podem ser implementados de outras maneiras. Por exemplo, a modalidade de dispositivo descrita é apenas um exemplo. Por exemplo, a divisão de unidades é meramente uma divisão de função lógica e pode haver outra maneira de divisão na implementação real. Por exemplo, uma plurali- dade de unidades ou componentes pode ser combinada ou integrada em outro sistema, ou alguns recursos podem ser ignorados ou não executados. Além disso, os acoplamentos mútuos ou acoplamentos diretos ou conexões de comunicação exibidos ou discutidos podem ser implementados por meio de algumas interfaces. Os acoplamentos indi- retos ou conexões de comunicação entre os dispositivos ou unidades podem ser implementados em formas elétricas, mecânicas ou outras.
[0124] As unidades descritas como partes separadas podem ou não ser fisicamente separadas, e as partes exibidas como unidades podem ou não ser unidades físicas, isto é, podem estar localizadas em uma posição ou podem ser distribuídas em uma pluralidade de unidades de rede. Algumas ou todas as unidades podem ser selecionadas com base nos requisitos reais para atingir os objetivos das soluções das modali- dades.
[0125] Além disso, as unidades funcionais nas modalidades deste pedido podem ser integradas em uma unidade de processamento, ou cada uma das unidades pode existir sozinha fisicamente, ou duas ou mais unidades são integradas em uma unidade. A unidade integrada anterior pode ser implementada na forma de hardware ou pode ser im- plementada na forma de uma unidade funcional de software.
[0126] Quando a unidade integrada é implementada na forma de uma unidade funcional de software e vendida ou usada como um pro- duto independente, a unidade integrada pode ser armazenada em um meio de armazenamento legível por computador. Com base em tal en- tendimento, as soluções técnicas desta aplicação essencialmente, ou a parte que contribui para a técnica anterior, ou todas ou algumas das soluções técnicas podem ser implementadas na forma de um produto de software. O produto de software de computador é armazenado em um meio de armazenamento e inclui várias instruções para instruir um dispositivo de computador (que pode ser um computador pessoal, um servidor, um dispositivo de rede ou semelhante) para executar todas ou algumas das etapas dos métodos descritos nas modalidades deste pe- dido. O meio de armazenamento anterior inclui qualquer meio que possa armazenar o código do programa, como uma unidade flash USB, um disco rígido removível, uma memória somente leitura (ROM, Read-Only Memory), uma memória de acesso aleatório (RAM, Random Access Me- mory), um disco magnético ou um disco óptico.
[0127] Uma pessoa versada na técnica deve estar ciente de que no anterior um ou mais exemplos, as funções descritas na presente inven- ção podem ser implementadas por hardware, software, firmware ou qualquer combinação dos mesmos. Quando a presente invenção é im- plementada por software, as funções anteriores podem ser armazena- das em um meio legível por computador ou transmitidas como uma ou mais instruções ou código no meio legível por computador. O meio legí- vel por computador inclui um meio de armazenamento de computador e um meio de comunicação, onde o meio de comunicação inclui qualquer meio que permite que um programa de computador seja transmitido de um lugar para outro, e o meio de armazenamento pode ser qualquer meio disponível acessível a um computador dedicado ou de finalidade geral.
[0128] Nas implementações específicas anteriores, os objetivos, so- luções técnicas e efeitos benéficos da presente invenção são descritos em mais detalhes. Deve ser entendido que as descrições anteriores são apenas implementações específicas da presente invenção.
Em conclusão, as modalidades anteriores destinam-se ape- nas a descrever as soluções técnicas deste pedido, mas não para limitar este pedido. Embora este pedido seja descrito em detalhes com refe- rência às modalidades anteriores, um versado na técnica deve entender que as soluções técnicas descritas nas modalidades anteriores ainda podem ser modificadas, ou algumas características técnicas das mes- mas podem ser substituídas de forma equivalente. No entanto, essas modificações ou substituições não fazem com que a essência das solu- ções técnicas correspondentes se afaste do escopo das soluções técni- cas nas modalidades deste pedido.

Claims (19)

REIVINDICAÇÕES
1. Método de processamento de pacote, caracterizado pelo fato de que compreende: gerar, por um primeiro dispositivo, uma regra de filtragem de fluxo, a regra de filtragem de fluxo compreende um item de correspon- dência e um item de ação, e o item de correspondência compreende um endereço de Protocolo de Internet (IP) e um identificador de domínio autônomo; e enviar, pelo primeiro dispositivo, a regra de filtragem de fluxo a um segundo dispositivo, em que o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de pro- cessamento de pacote indicado pelo item de ação, um pacote corres- pondente ao item de correspondência.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o endereço |P é um endereço IP de origem do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um endereço |P de destino do pacote pertence.
3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o endereço |P é um endereço |P de destino do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um endereço |P de origem do pacote pertence.
4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que o identificador de domínio autô- nomo é um identificador de um domínio autônomo ao qual o segundo dispositivo pertence.
5. Método de processamento de pacote, caracterizado pelo fato de que compreende: receber, por um segundo dispositivo, uma regra de filtragem de fluxo enviada por um primeiro dispositivo, em que a regra de filtragem de fluxo compreende um item de correspondência e um item de ação, e o item de correspondência compreende um endereço de Protocolo de Internet (IP) e um identificador de domínio autônomo; receber, pelo segundo dispositivo, um pacote, e determinar uma entrada de roteamento e encaminhamento com base em um pri- meiro endereço no pacote, em que a entrada de roteamento e encami- nhamento compreende um identificador de domínio autônomo; e ao determinar que um segundo endereço do pacote corres- ponde ao endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encaminhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, processar, pelo segundo dispositivo, o pacote com base em um modo de processamento de pacote indicado pelo item de ação.
6. Método, de acordo com a reivindicação 5, caracterizado pelo fato de que o primeiro endereço é um endereço IP de destino do pacote, e o segundo endereço é um endereço IP de origem do pacote.
7. Método, de acordo com a reivindicação 5, caracterizado pelo fato de que o primeiro endereço é um endereço |P de origem do pacote, e o segundo endereço é um endereço IP de destino do pacote.
8. Método, de acordo com qualquer uma das reivindicações a 7, caracterizado pelo fato de que o modo de processamento de pa- cote indicado pelo item de ação compreende um ou mais dos seguintes modos de processamento: descartar o pacote, redirecionar o pacote, e marcar o pacote.
9. Método, de acordo com a reivindicação 5, caracterizado pelo fato de que compreende ainda: gerar uma lista de controle de acesso de acordo com a regra de filtragem de fluxo, em que a lista de controle de acesso armazena o endereço IP, um índice de domínio autônomo, e o item de ação, e o
Índice de domínio autônomo corresponde ao identificador de domínio autônomo; e o processamento, pelo segundo dispositivo ao determinar que um segundo endereço do pacote corresponde ao endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encaminhamento é o mesmo que o identifica- dor de domínio autônomo na regra de filtragem de fluxo, o pacote com base em um modo de processamento de pacote indicado pelo item de ação compreende: ao determinar que o segundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e o identifica- dor de domínio autônomo na entrada de roteamento e encaminhamento corresponde ao índice de domínio autônomo na lista de controle de acesso, processar, pelo segundo dispositivo, o pacote com base no modo de processamento de pacote indicado pelo item de ação armaze- nado na lista de controle de acesso.
10. Dispositivo de processamento de pacote, caracterizado pelo fato de que é usado em um primeiro dispositivo e compreende: uma unidade de geração de regra, configurada para gerar uma regra de filtragem de fluxo, em que a regra de filtragem de fluxo compreende um item de correspondência e um item de ação, e o item de correspondência compreende um endereço de Protocolo de Internet (IP) e um identificador de domínio autônomo; e uma unidade de envio de regra, configurada para enviar a regra de filtragem de fluxo a um segundo dispositivo, em que o item de ação é usado para instruir o segundo dispositivo para processar, com base em um modo de processamento de pacote indicado pelo item de ação, um pacote correspondente ao item de correspondência.
11. Dispositivo, de acordo com a reivindicação 10, caracteri- zado pelo fato de que o endereço |P é um endereço |P de origem do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um ende- reço IP de destino do pacote pertence.
12. Dispositivo, de acordo com a reivindicação 10, caracteri- zado pelo fato de que o endereço IP é um endereço IP de destino do pacote, e o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual um dispositivo correspondente a um ende- reço IP de origem do pacote pertence.
13. Dispositivo, de acordo com qualquer uma das reivindica- ções 10 a 12, caracterizado pelo fato de que o identificador de domínio autônomo é um identificador de um domínio autônomo ao qual o se- gundo dispositivo pertence.
14. Dispositivo de processamento de pacote, caracterizado pelo fato de que é usado em um segundo dispositivo e compreende: uma unidade de recebimento de regra, configurada para re- ceber uma regra de filtragem de fluxo enviada por um primeiro disposi- tivo, em que a regra de filtragem de fluxo compreende um item de cor- respondência e um item de ação, e o item de correspondência compre- ende um endereço de Protocolo de Internet (IP) e um identificador de domínio autônomo; uma unidade de recebimento de pacote, configurada para: receber um pacote, e determinar uma entrada de roteamento e encami- nhamento com base em um primeiro endereço no pacote, em que a en- trada de roteamento e encaminhamento compreende um identificador de domínio autônomo; e uma unidade de processamento de pacote, configurada para: quando for determinado que um segundo endereço do pacote cor- responde ao endereço |P na regra de filtragem de fluxo e o identificador de domínio autônomo na entrada de roteamento e encaminhamento é o mesmo que o identificador de domínio autônomo na regra de filtragem de fluxo, processar o pacote com base em um modo de processamento de pacote indicado pelo item de ação.
15. Dispositivo, de acordo com a reivindicação 14, caracteri- zado pelo fato de que o primeiro endereço é um endereço IP de destino do pacote, e o segundo endereço é um endereço IP de origem do pa- cote.
16. Dispositivo, de acordo com a reivindicação 14, caracteri- zado pelo fato de que o primeiro endereço é um endereço IP de origem do pacote, e o segundo endereço é um endereço |P de destino do pa- cote.
17. Dispositivo, de acordo com qualquer uma das reivindica- ções 14 a 16, caracterizado pelo fato de que o modo de processamento de pacote indicado pelo item de ação compreende um ou mais dos se- guintes modos de processamento: descartar o pacote, redirecionar o pacote, e marcar o pacote.
18. Dispositivo, de acordo com a reivindicação 14, caracteri- zado pelo fato de que compreende ainda: uma unidade de geração de lista, configurada para gerar uma lista de controle de acesso de acordo com a regra de filtragem de fluxo, em que a lista de controle de acesso armazena o endereço |P, um Índice de domínio autônomo, e o item de ação, e o índice de domínio autônomo corresponde ao identificador de domínio autônomo, em que a unidade de processamento de pacote é especificamente configurada para: quando o segundo dispositivo determinar que o se- gundo endereço do pacote é o mesmo que o endereço |P na lista de controle de acesso e o identificador de domínio autônomo na entrada de roteamento e encaminhamento corresponde ao índice de domínio autônomo na lista de controle de acesso, processar o pacote com base no modo de processamento de pacote indicado pelo item de ação ar- mazenado na lista de controle de acesso.
19. Meio de armazenamento legível por computador, carac- terizado pelo fato de que compreende uma instrução, em que quando a instrução é executada em um computador, o computador é permitido realizar o método, como definido em qualquer uma das reivindicações 1 ao.
BR112021003695-4A 2018-08-30 2019-08-27 método e aparelho de processamento de pacote, e dispositivo relacionado BR112021003695A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201811004608.6 2018-08-30
CN201811004608.6A CN110808913B (zh) 2018-08-30 2018-08-30 报文处理的方法、装置及相关设备
PCT/CN2019/102899 WO2020043107A1 (zh) 2018-08-30 2019-08-27 报文处理的方法、装置及相关设备

Publications (1)

Publication Number Publication Date
BR112021003695A2 true BR112021003695A2 (pt) 2021-05-18

Family

ID=69487226

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112021003695-4A BR112021003695A2 (pt) 2018-08-30 2019-08-27 método e aparelho de processamento de pacote, e dispositivo relacionado

Country Status (8)

Country Link
US (2) US11575606B2 (pt)
EP (1) EP3832963A4 (pt)
JP (2) JP7193619B2 (pt)
KR (2) KR102536676B1 (pt)
CN (3) CN113285882B (pt)
BR (1) BR112021003695A2 (pt)
MX (1) MX2021002287A (pt)
WO (1) WO2020043107A1 (pt)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187635B (zh) * 2019-07-01 2023-02-03 中兴通讯股份有限公司 报文转发方法及装置
CN113872861B (zh) * 2020-06-30 2023-07-18 华为技术有限公司 一种生成表项的方法、发送报文的方法及设备
US20230319698A1 (en) * 2020-08-27 2023-10-05 Nippon Telegraph And Telephone Corporation Gateway apparatus, network control apparatus, method, program and system
CN114143257B (zh) * 2020-09-03 2023-04-28 华为技术有限公司 一种生成表项的方法、发送报文的方法、设备及系统
CN114257544A (zh) 2020-09-22 2022-03-29 华为技术有限公司 一种流量处理方法、装置和网络设备
WO2022061561A1 (zh) * 2020-09-23 2022-03-31 华为技术有限公司 一种报文传输方法及装置
CN112866208B (zh) * 2020-12-31 2022-11-08 迈普通信技术股份有限公司 表项配置方法、报文处理方法、装置、设备及存储介质
CN112929376A (zh) * 2021-02-10 2021-06-08 恒安嘉新(北京)科技股份公司 一种流量数据的处理方法、装置、计算机设备和存储介质
CN113904798B (zh) * 2021-08-27 2024-03-22 长沙星融元数据技术有限公司 Ip报文的多元组过滤方法、系统、设备及存储介质
CN114221781A (zh) * 2021-11-05 2022-03-22 网络通信与安全紫金山实验室 流量过滤方法与系统、电子设备及存储介质
CN114143254A (zh) * 2021-11-30 2022-03-04 锐捷网络股份有限公司 报文转发方法、装置、电子设备及计算机可读存储介质
CN114374622B (zh) * 2021-12-31 2023-12-19 恒安嘉新(北京)科技股份公司 一种基于融合分流设备的分流方法及融合分流设备
WO2024082081A1 (zh) * 2022-10-17 2024-04-25 新华三技术有限公司 一种报文处理方法及装置
CN117439953B (zh) * 2023-12-20 2024-03-26 珠海星云智联科技有限公司 等价成本多路径选择系统、方法、设备、集群以及介质

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US6914886B2 (en) * 2001-05-03 2005-07-05 Radware Ltd. Controlling traffic on links between autonomous systems
JP4319925B2 (ja) 2004-03-02 2009-08-26 株式会社日立製作所 ストレージネットワークシステムの制御方法及びストレージネットワークシステム
CN1697443B (zh) * 2004-05-11 2010-06-02 华为技术有限公司 一种控制动态数据流的方法
CA2615659A1 (en) * 2005-07-22 2007-05-10 Yogesh Chunilal Rathod Universal knowledge management and desktop search system
WO2008114007A1 (en) * 2007-03-22 2008-09-25 British Telecommunications Public Limited Company Data communication method and apparatus
CN101159636A (zh) * 2007-11-23 2008-04-09 中国电信股份有限公司 一种非法接入的检测系统和方法
JP5122399B2 (ja) * 2008-04-24 2013-01-16 シャープ株式会社 中継装置、および通信制御装置
US10447543B2 (en) * 2009-06-11 2019-10-15 Talari Networks Incorporated Adaptive private network (APN) bandwith enhancements
US8281397B2 (en) 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
CN101917434B (zh) * 2010-08-18 2013-04-10 清华大学 域内ip源地址验证的方法
CN103036733B (zh) * 2011-10-09 2016-07-06 上海市南电信服务中心有限公司 非常规网络接入行为的监测系统及监测方法
US8925079B2 (en) 2011-11-14 2014-12-30 Telcordia Technologies, Inc. Method, apparatus and program for detecting spoofed network traffic
US10305937B2 (en) * 2012-08-02 2019-05-28 CellSec, Inc. Dividing a data processing device into separate security domains
US9647985B2 (en) * 2013-05-23 2017-05-09 Check Point Software Technologies Ltd Location-aware rate-limiting method for mitigation of denial-of-service attacks
US9590901B2 (en) * 2014-03-14 2017-03-07 Nicira, Inc. Route advertisement by managed gateways
US9413783B1 (en) * 2014-06-02 2016-08-09 Amazon Technologies, Inc. Network interface with on-board packet processing
CN105871576A (zh) * 2015-01-21 2016-08-17 杭州华三通信技术有限公司 基于sdn的策略管理方法及装置
CN104796348B (zh) 2015-04-03 2018-02-13 华为技术有限公司 基于sdn的idc网络出口流量均衡调整方法、设备及系统
US10348684B2 (en) 2016-09-01 2019-07-09 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices
CN106254152B (zh) * 2016-09-19 2019-11-08 新华三技术有限公司 一种流量控制策略处理方法和装置
CN107846341B (zh) * 2016-09-20 2021-02-12 华为技术有限公司 调度报文的方法、相关装置和系统
CN106341423B (zh) * 2016-10-26 2019-12-06 新华三技术有限公司 一种报文处理方法和装置
CN106506274B (zh) * 2016-11-08 2020-12-15 东北大学秦皇岛分校 一种可动态扩展的高效单包溯源方法
CN106657161B (zh) * 2017-02-28 2020-10-09 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置
EP4009719B1 (en) * 2017-05-03 2023-01-25 Sony Group Corporation Efficient utilization of ssbs in new radio systems

Also Published As

Publication number Publication date
JP7193619B2 (ja) 2022-12-20
KR102586898B1 (ko) 2023-10-11
EP3832963A1 (en) 2021-06-09
CN113285882A (zh) 2021-08-20
JP2021535678A (ja) 2021-12-16
WO2020043107A1 (zh) 2020-03-05
US11575606B2 (en) 2023-02-07
MX2021002287A (es) 2021-07-15
KR20230079462A (ko) 2023-06-07
JP2023036647A (ja) 2023-03-14
JP7532484B2 (ja) 2024-08-13
CN112910792B (zh) 2023-06-20
EP3832963A4 (en) 2021-10-27
CN113285882B (zh) 2024-01-09
KR102536676B1 (ko) 2023-05-26
CN112910792A (zh) 2021-06-04
KR20210038686A (ko) 2021-04-07
US20210184974A1 (en) 2021-06-17
CN110808913B (zh) 2021-02-23
US12015556B2 (en) 2024-06-18
US20230179523A1 (en) 2023-06-08
CN110808913A (zh) 2020-02-18

Similar Documents

Publication Publication Date Title
BR112021003695A2 (pt) método e aparelho de processamento de pacote, e dispositivo relacionado
US10623309B1 (en) Rule processing of packets
US10534601B1 (en) In-service software upgrade of virtual router with reduced packet loss
US10382331B1 (en) Packet segmentation offload for virtual networks
ES2833402T3 (es) Método, aparato y sistema de procesamiento de paquete de datos de ataque
JP5648926B2 (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
US8630294B1 (en) Dynamic bypass mechanism to alleviate bloom filter bank contention
US9807016B1 (en) Reducing service disruption using multiple virtual IP addresses for a service load balancer
JP7216120B2 (ja) Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス
US11165693B2 (en) Packet forwarding
JP6248929B2 (ja) 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
WO2016108140A1 (en) Ccn fragmentation gateway
US10181031B2 (en) Control device, control system, control method, and control program
BR102018004533A2 (pt) método a ser implementado em um elemento de rede para gerenciar instâncias de funções de rede e elemento de rede correspondente
CN109756412B (zh) 一种数据报文转发方法以及设备
US20170237691A1 (en) Apparatus and method for supporting multiple virtual switch instances on a network switch
CN115865802A (zh) 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质
Efraim et al. Using SR-IOV offloads with Open-vSwitch and similar applications
Lesokhin et al. Flow-based tunneling for SR-IOV using switchdev API
BR112017011050B1 (pt) Método e sistema de rede para implementar transparência de endereço de ip de fonte em uma rede de comunicação