CN101321163A - 融合多层并行处理的网络接入设备一体化硬件实现方法 - Google Patents
融合多层并行处理的网络接入设备一体化硬件实现方法 Download PDFInfo
- Publication number
- CN101321163A CN101321163A CNA2008100229513A CN200810022951A CN101321163A CN 101321163 A CN101321163 A CN 101321163A CN A2008100229513 A CNA2008100229513 A CN A2008100229513A CN 200810022951 A CN200810022951 A CN 200810022951A CN 101321163 A CN101321163 A CN 101321163A
- Authority
- CN
- China
- Prior art keywords
- layer
- packet
- result
- layers
- preliminary treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种融合多层并行处理的网络接入设备一体化硬件实现方法,包括合路输入、分层预处理、分层结果融合和分路输出四个处理模块,合路输入模块将接入设备多个端口输入的数据包进行合路,然后单路输入至分层预处理模块;分层预处理模块将输入数据包按照TCP/IP网络五层协议模型的包结构进行解包操作,包分解后所得的各个字段按照所属层次被对应的2层、3层、3-4层和5层预处理通道取走;分层结果融合模块接收上述4通道分层并行预处理的处理结果,对所有通道的预处理结果进行融合;分路输出模块将输入的数据包按照其目的输出接口进行分路,并将该包输出到对应的出口上。本发明提供了一种支持二层交换、三层路由和多层次网络安全功能的一体化电路实现方法。
Description
技术领域
本发明涉及网络通信、网络安全和组网技术领域,特别涉及一种网络接入的融合方法及设备。
背景技术
随着Internet的高速发展,越来越多的个人和企业加入其中,随之而来的网络安全问题也越来越受重视。目前,网络威胁呈现两个主要的特点:
1)网络带宽越来越大,光纤传输能力正在沿着每7个月传输带宽增大2倍的超摩尔定律速度发展,现在企业级接入带宽已经达到了千兆级。快速增长的网络带宽为网络威胁提供了更多的空间。
2)近年来,网络威胁的种类越来越多,覆盖了互联网协议的各个层次。在链路层、网络层上常见的威胁有地址欺骗、拒绝服务等,在传输层上除了常见的拒绝服务之外还存在端口扫描等,而在应用层上则存在病毒、木马、信息窃听与篡改等。
相对于网络威胁的迅速发展,传统网络安全设备已经无法满足要求。具体分析,传统的网络安全设备主要存在以下两个缺点:性能低和功能单一。
传统的防火墙一般是基于单一通用CPU或者基于网络处理器(NP,Network Processor)实现。采用CPU实现时,所有的安全业务都在一个CPU上完成,整体的处理能力通常低于百兆。采用NP实现需要专用的开发工具和特别的开发库支持以及特有的编程模型,性能和稳定性都无法保障。此外,传统的设备功能单一,需要购买多台网络设备才能完成接入功能,这其中包括防火墙、路由器和交换机等。
发明内容
本发明的目的在于克服上述不足,将传统上分离实现的二层交换机(数据链路层交换设备),三层路由器(网络层转发设备)和更高层的防火墙(传输层,应用层接入控制设备),采用分层并行预处理、分层结果融合的方法一体化实现于单个芯片中,一方面能够实现单次解包操作完成所有处理,极大的提高性能,可支持千兆速率接入,另一方面,基于该芯片能够可迅速形成一体化网络接入设备,实现单台设备完成网络接入功能,降低用户成本和设备维护难度。
本发明的目的是这样实现的:一种融合多层并行处理的网络接入设备一体化硬件实现方法,所述方法包括合路输入、分层预处理、分层结果融合和分路输出四个主要处理模块,四个模块依次串行完成,其中,
所述合路输入模块将接入设备多个端口输入的数据包进行合路,然后单路输入至分层预处理模块,这样可实现所有端口输入数据单通路处理,节省大量硬件资源;
所述分层预处理模块首先将输入数据包按照TCP/IP网络五层协议模型的包结构进行解包操作,包分解后所得的各个字段按照所属层次被对应的2层、3层、3-4层和5层预处理通道取走,实现4通道分层并行预处理,分别完成交换、路由、安全访问控制和应用层控制功能;
所述分层结果融合模块接收上述4通道分层并行预处理的处理结果,对所有通道的预处理结果进行融合,得出该数据包的最终处理结果——上交、拒绝、二层交换、三层转发和四层策略转发;
所述分路输出模块将输入的数据包按照其目的输出接口进行分路,并将该包输出到对应的出口上。
进一步,所述分层预处理模块包括四个并行的预处理通道,分别是数据链路层预处理通道(2层预处理通道),网络层预处理通道(3层预处理通道,完成路由预处理功能),网络层、传输层合并预处理通道(3-4层预处理通道,完成主要的安全过滤预处理功能)和应用层预处理通道(5层预处理通道,完成应用层过滤预处理功能)。四个通道并行实现,可实现数据包输入后的四通道并行处理,极大地提高性能。
数据链路层预处理通道(2层预处理通道)完成交换机主要处理功能,查找目的MAC表决定报文出口。包括:
1)二层数据域提取。从输入数据包中提取出数据链路层的头部各个数据域,包括源MAC、目的MAC和协议类型等。
2)报文分拣。包括根据目的MAC地址判断报文的层次(是二层交换报文还是需要三层转发报文);根据协议类型判断该包是协议报文(需上交CPU的协议栈),还是普通数据包(正常转发)。
3)目的MAC查表。根据目的MAC查找该目的MAC对应的出接口。
4)查表结果判断。包括根据查表结果判断报文的入虚拟局域网(VirtualLocal Area Network,VLAN)和出VLAN是否一致;根据报文中源MAC地址和目的MAC地址所在的端口是否相同决定是否丢弃该报文。
5)出口标签粘贴及输出。将目的MAC查表结果的出接口以标签形式粘贴在数据包的头部,并输出。
网络层预处理通道(3层预处理通道)完成路由器主要处理功能,查找路由表决定报文出口。包括:
1)三层数据域提取。从输入数据包中提取出网络层头部的各个数据域,所提取的数据域是IP首部的基本头(20字节)和选项(如果有的话),包括版本号、首部长度、服务类型、协议、源IP地址和目的IP地址等。
2)IP头部域检查及更新。对网络层各个数据域进行正确性和合法性检查,检查的结果包括将数据包丢弃、上交CPU或者正常转发,同时将数据包的存活时间(Time To Live,TTL)域减1。
3)路由查表。根据目的IP地址查找路由器表,得出下一跳出接口。
4)出口标签粘贴及输出。将路由查表结果的下一跳出接口以标签形式粘贴在数据包三层头部,并输出。
网络层、传输层合并预处理通道(3-4层预处理通道)完成防火墙主要功能,包括安全过滤和网络地址翻译(Network Address Translation,NAT)。具体包括:
1)3-4层数据域提取。从输入数据包中提取出网络层和传输层头部的数据域,其中,网络层提取的数据域包括源IP地址,目的IP地址,协议类型(IP层),传输层提取的数据域包括源端口,目的端口等。
2)状态过滤。根据五元组信息(源IP地址、目的IP地址、源端口、目的端口和协议类型)查找硬件状态表表项,看是否存在该连接,如果有,确定连接的状态(包括允许、丢弃和上交CPU等)。
3)目的地址转换(DNAT)。查找硬件NAT表,并将数据包中原来的目的IP地址替换为查表结果中的IP地址。
4)策略路由。根据查DNAT表命中的目的IP地址查找策略路由表,得出下一跳出接口。
5)规则过滤。查找硬件规则表,根据所定义的过滤规则过滤信息包,包括允许数据包通过,拒绝数据包通过,丢弃等。
6)源地址转换(SNAT)。查找硬件NAT表,并将数据包中原来的源IP地址替换为查表结果中的IP地址。
应用层预处理通道(5层预处理通道)完成防火墙上层安全过滤功能,例如HTTP的URL过滤等,具体包括:
1)五层数据域提取。从输入数据中提取出应用层数据,即数据包的数据部分。
2)模式匹配。根据内容过滤的规则(例如HTTP的URL,EMAIL的收件人、发件人名单等),将提取出的五层数据进行对应模式匹配。
3)匹配结果输出。将各种模式匹配的结果组合后输出,包括HTTP的URL,EMAIL的收、发件人等模式匹配的结果。
分层结果融合模块用来接收分层预处理模块的四个并行的预处理通道2层、3层、3-4层和5层预处理通道的处理结果,对所有通道的预处理结果进行融合,得出该数据包的最终处理结果。
具体的预处理结果融合方法如下:
1)需丢弃的数据包。若分层预处理中任一层的处理结果为丢弃,则该包最终的处理结果为丢弃。
2)上交CPU的数据包。若分层预处理任一层的处理结果为非丢弃,且分层预处理任一层的处理结果为上交CPU,则该包需要上交CPU。
3)转发的数据包。若分层预处理任一层的处理结果为非丢弃且非上交CPU,并且数据包2层预处理判断为二层内交换的数据包,则直接按照二层的目的MAC地址查表所得的出接口进行转发。若判断结果为非二层交换数据包,且策略路由查表命中,则按照三至四层预处理的策略路由查表所得出接口转发;若判断结果为非二层交换数据包,且策略路由查表未命中,则按照三层预处理路由查表的所得的出接口转发。
所述分路输出模块将输入的数据包按照其目的输出接口进行分路,并将该包输出到对应的出口线路上。
本发明的有益效果:
提供了一种支持二层交换、三层路由和多层次网络安全功能的一体化电路实现方法,只需一次解包操作便可实现所有接入功能,大大加快了处理速度,可实现吉比特级速率支持。该方法适合芯片实现,以该芯片为核心可迅速形成一体化网络接入设备,实现交换、路由器和防火墙功能的三合一,降低了设备成本,简化了网络设备的管理和维护,提供了简单、高速、灵活的网络接入。
附图说明
图1为互联网协议模型的结构示意框图。
图2为本发明的流程框图。
图3为合路输入模块实现原理框图。
图4为分路输出模块实现原理框图。
具体实施方式
为网络互联而开发的最重要协议是众所周知的TCP/IP互联网协议(TCP/IP Internet Protocols),TCP/IP网络协议模型(也称为互联网分层模型)分为五层,由上至下分别是:应用层、传输层、网络层、链路层和物理层,如图1所示。
企业级接入网是网络的基本单元,近年来发展迅速,为社会发展做出了巨大贡献。本发明公布了一种支持二层交换、三层路由和多层次网络安全功能的一体化电路实现方法,适合于芯片实现,以该芯片为核心可迅速实现交换、路由器和防火墙功能的三合一,能够为企业级用户提供高性能、高安全、低成本、易维护的一体化接入设备。
下面以接入设备千兆接口输入数据包输入为例,详述该方法流程。
该方法包括四个依次串行连接的处理模块,分别是合路输入模块(100),分层预处理模块(200),分层结果融合模块(300)和分路输出模块(400),如图2所示。相应的,该方法处理流程包括四个步骤:
步骤1:数据包输入后,首先进入合路输入处理模块(100),由该模块将外部N个端口(N根据具体接入设备而定)输入的数据包分路进行缓存,然后调度合成一路,如图3所示。这样,所有端口输入数据可利用单通路完成处理,节省大量硬件资源。
步骤2:分层预处理模块200从数据包入缓存模块100中取出完整的数据包,完成2层交换、3层路由和更上层的安全监控等预处理功能,并将各层预处理结果(包括各层的正常转发、上交CPU和丢弃结果,还包括下一跳出口结果)交给分层结果融合模块(300)。
步骤3:分层结果融合模块(300)接收分层预处理结果,并根据各种预处理结果进行综合判断,生成数据包的最终硬件处理结果,包括:
1)需丢弃的数据包。若分层预处理中任一层的处理结果为丢弃,则该包最终的处理结果为丢弃。
2)上交CPU的数据包。若分层预处理任一层的处理结果为非丢弃,且分层预处理任一层的处理结果为上交CPU,则该包需要上交CPU。
3)转发的数据包。若分层预处理任一层的处理结果为非丢弃且非上交CPU,并且数据包2层预处理判断为二层内交换的数据包,则直接按照二层的目的MAC地址查表所得的出接口进行转发。若判断结果为非二层交换数据包,且策略路由查表命中,则按照三至四层预处理的策略路由查表所得出接口转发;若判断结果为非二层交换数据包,且策略路由查表未命中,则按照三层预处理路由查表的所得的出接口转发。
对需要转发的数据包,将最终的出接口粘贴在数据包头部,封装输出给分路输出模块。
步骤4:对步骤3中处理结果为需要转发的数据包,由分路输出模块按照其出接口输出到对应的出口线路上。具体实现的原理如图4所示。
进一步的,步骤2中包括四个并行的预处理通道,如图2所示,分别是,
211-215为数据包的二层预处理通道,完成链路层数据处理,实现交换机主要功能;
221-224为数据包的三层预处理通道,完成网络层数据处理,实现路由器主要功能;
231-236为数据包的三至四层预处理通道,完成数据包的安全监控,实现防火墙的状态过滤和NAT功能;
241-243为数据包的五层预处理通道,实现防火墙的应用层过滤功能。
其中,所对应的二层预处理流程(211-215)具体为:
211:二层数据域提取。数据包输入后,首先从中提取出数据链路层的头部各个数据域,包括源MAC、目的MAC和协议类型;
212:报文分拣。包括根据步骤211中所提取的目的MAC地址判断报文的层次(是二层交换报文还是需要三层转发报文);根据协议类型判断该包是否为协议报文(需上交CPU的协议栈),还是普通数据包(正常转发);
213:目的MAC查表。根据步骤212的处理结果判断是否进行目的MAC查表,若该数据包是二层交换报文,且非协议报文,则根据目的MAC查找出接口;
214:查表结果判断。根据步骤213的结果做进一步判断,包括根据目的MAC查表结果判断报文的入VLAN和出VLAN是否一致,根据报文中源MAC地址和目的MAC地址所在的端口是否相同决定是否丢弃该报文,若入VLAN和出VLAN一致且源MAC和目的MAC所在接口不相同,则将查表结果递交215;
215:出口标签粘贴及输出。接收214查表结果,并将结果的出接口以标签形式粘贴在数据包的二层头部,随同该层内各个步骤的预处理结果一并输出至分层结果融合模块(300)。
其中,所对应的三层预处理流程(221-224)具体为:
221:三层数据域提取。数据包输入后,首先从中提取出网络层头部的各个数据域,提取数据是IP首部的基本头(20字节)和选项(如果有的话),包括版本号、首部长度、服务类型、协议、源IP地址和目的IP地址等;
222:IP头部域检查及更新。对步骤221中所提取的各个数据域的正确性和合法性进行检查,得出检查的结果,包括:丢弃(版本号错误的数据包,校验和错误的数据包等),上交CPU(路由查表未能命中的数据包),正常转发。同时将数据包的TTL域减1;
223:路由查表。对步骤222输入的数据包,根据其目的IP地址查找路由表,若查表命中,则将得下一跳出接口结果送交224;
224:出口标签粘贴及输出。接收223的查表结果,将结果的出接口以标签形式粘贴在数据包三层头部,随同该层内各个步骤的预处理结果一并输出至分层结果融合模块(300)。
其中,所对应的三至四层预处理流程(231-235)具体为:
231:三至四层数据域提取。从输入数据包中提取出网络层和传输层头部,包括三层中的源IP地址,目的IP地址,协议(IP层)和四层中的TCP头部和UDP头部,数据域包括源端口号和目的端口号等;
232:状态过滤。根据步骤221中所提取的五元组信息(源地址、目的地址、源端口、目的端口和协议类型)查找硬件状态表,看是否查表命中,如果命中,表明输入五元组对应连接已经存在,读出该连接的状态(包括允许通过、丢弃和上交CPU等);
233:目的地址转换(DNAT)。对步骤232中允许通过的数据包,查找硬件NAT表,根据查表结果将数据包中的目的IP替换为新的目的IP地址;
234:策略路由。根据步骤233中的查表结果——新的目的IP地址查找策略路由表,若查表命中,则将得下一跳出接口结果送交235;
235:规则过滤。对步骤232中未能查表命中的数据包,在完成步骤232后,需查找硬件规则表,得出该包的规则表结果,包括允许通过、丢弃和上交CPU等;
236:源地址转换(SNAT)。对步骤232或者235允许通过的数据包,查找硬件NAT表,根据查表结果替换数据包的源IP地址。最后将该层内各个步骤的预处理结果输出至分层结果融合模块(300)。
其中,所对应的五层预处理流程(241-243)具体为:
241:五层数据域提取。从输入数据中提取出应用层数据,即数据包的数据部分;
242:模式匹配。根据内容过滤的规则(例如HTTP的URL,EMAIL的收件人、发件人名单等),将241提取出的五层数据进行对应模式匹配,具体模式匹配的方法很多,例如常见的Bloom_filter方法等;
243:匹配结果输出。将各种模式匹配的结果组合后输出,包括HTTP的URL,EMAIL的收、发件人等模式匹配的结果。最后将该层内各个步骤的预处理结果输出至分层结果融合模块(300)。
上述方法可利用FPGA或者ASIC实现,当所述接入设备非千兆接口时,上述方法的原理和流程不变,仅需根据具体接口类型提取相应的数据链路层、网络层、传输层和应用层的数据,按照上述方法实现一体化处理。
Claims (4)
1、一种融合多层并行处理的网络接入设备一体化硬件实现方法,其特征在于所述方法包括合路输入、分层预处理、分层结果融合和分路输出四个处理模块,四个模块依次串行完成,其中,
所述合路输入模块将接入设备多个端口输入的数据包进行合路,然后单路输入至分层预处理模块;
所述分层预处理模块首先将输入数据包按照TCP/IP网络五层协议模型的包结构进行解包操作,包分解后所得的各个字段按照所属层次被对应的2层、3层、3-4层和5层预处理通道取走,实现4通道分层并行预处理,分别完成交换、路由、安全访问控制和应用层控制功能;
所述分层结果融合模块接收上述4通道分层并行预处理的处理结果,对所有通道的预处理结果进行融合,得出该数据包的最终处理结果——上交、拒绝、二层交换、三层转发和四层策略转发。
所述分路输出模块将输入的数据包按照其目的输出接口进行分路,并将该包输出到对应的出口上。
2、根据权利要求1所述的一种融合多层并行处理的网络接入设备一体化硬件实现方法,其特征在于:所述分层预处理模块包括四个并行的预处理通道,分别是2层、3层、3-4层和5层预处理通道,该2层、3层、3-4层和5层预处理通道分别对应数据链路层预处理通道,网络层预处理通道,网络层、传输层合并预处理通道和应用层预处理通道,四个通道并行实现,实现数据包输入后的四通道并行处理。
3、根据权利要求2所述的一种融合多层并行处理的网络接入设备一体化硬件实现方法,其特征在于:
所述数据链路层预处理通道包括:
1)二层数据域提取
从输入数据包中提取出数据链路层的头部各个数据域,包括源MAC、目的MAC和协议类型,
2)报文分拣
包括根据目的MAC地址判断报文的层次,根据协议类型判断该包是协议报文,还是普通数据包,
3)目的MAC查表
根据目的MAC查找该目的MAC对应的出接口,
4)查表结果判断
包括根据查表结果判断报文的入虚拟局域网和出VLAN是否一致,根据报文中源MAC地址和目的MAC地址所在的端口是否相同决定是否丢弃该报文,
5)出口标签粘贴及输出
将目的MAC查表结果的出接口以标签形式粘贴在数据包的头部,并输出;
所述网络层预处理通道包括:
1)三层数据域提取
从输入数据包中提取出网络层头部的各个数据域,所提取的数据域是IP首部的基本头,如果有选项的话还有选项,包括版本号、首部长度、服务类型、协议、源IP地址和目的IP地址,
2)IP头部域检查及更新
对网络层各个数据域进行正确性和合法性检查,检查的结果包括将数据包丢弃、上交CPU或者正常转发,同时将数据包的存活时间域减1,
3)路由查表
根据目的IP地址查找路由器表,得出下一跳出接口,
4)出口标签粘贴及输出
将路由查表结果的下一跳出接口以标签形式粘贴在数据包三层头部,并输出;
所述网络层、传输层合并预处理通道包括:
1)3-4层数据域提取
从输入数据包中提取出网络层和传输层头部的数据域,其中,网络层提取的数据域包括源IP地址,目的IP地址,协议类型,传输层提取的数据域包括源端口,目的端口,
2)状态过滤
根据源IP地址、目的IP地址、源端口、目的端口和协议类型查找硬件状态表表项,看是否存在该连接,如果有,确定连接的状态,连接状态包括允许、丢弃和上交CPU,
3)目的地址转换
查找硬件NAT表,并将数据包中原来的目的IP地址替换为查表结果中的IP地址,
4)策略路由
根据查DNAT表命中的目的IP地址查找策略路由表,得出下一跳出接口,
5)规则过滤
查找硬件规则表,根据所定义的过滤规则过滤信息包,包括允许数据包通过,拒绝数据包通过和丢弃,
6)源地址转换
查找硬件NAT表,并将数据包中原来的源IP地址替换为查表结果中的IP地址;
所述应用层预处理通道包括:
1)五层数据域提取
从输入数据中提取出应用层数据,即数据包的数据部分,
2)模式匹配
根据内容过滤的规则,将提取出的五层数据进行对应模式匹配,
3)匹配结果输出
将各种模式匹配的结果组合后输出。
4、根据权利要求1、2或3所述的一种融合多层并行处理的网络接入设备一体化硬件实现方法,其特征在于:所述分层结果融合模块的预处理结果融合方法如下:
1)需丢弃的数据包
若分层预处理中任一层的处理结果为丢弃,则该包最终的处理结果为丢弃;
2)上交CPU的数据包
若分层预处理任一层的处理结果为非丢弃,且分层预处理任一层的处理结果为上交CPU,则该包需要上交CPU;
3)转发的数据包
若分层预处理任一层的处理结果为非丢弃且非上交CPU,并且数据包2层预处理判断为二层内交换的数据包,则直接按照二层的目的MAC地址查表所得的出接口进行转发,若判断结果为非二层交换数据包,且策略路由查表命中,则按照三至四层预处理的策略路由查表所得出接口转发;若判断结果为非二层交换数据包,且策略路由查表未命中,则按照三层预处理路由查表的所得的出接口转发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100229513A CN101321163B (zh) | 2008-07-03 | 2008-07-03 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100229513A CN101321163B (zh) | 2008-07-03 | 2008-07-03 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101321163A true CN101321163A (zh) | 2008-12-10 |
CN101321163B CN101321163B (zh) | 2010-12-29 |
Family
ID=40180987
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100229513A Expired - Fee Related CN101321163B (zh) | 2008-07-03 | 2008-07-03 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101321163B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227752A (zh) * | 2013-05-14 | 2013-07-31 | 盛科网络(苏州)有限公司 | 以太网交换芯片中策略路由的实现方法和装置 |
CN103701670A (zh) * | 2013-12-30 | 2014-04-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据包负载的处理方法和装置 |
CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104410588A (zh) * | 2014-10-22 | 2015-03-11 | 福建星网锐捷网络有限公司 | 在路由器设备上实现虚拟交换的方法和路由器设备 |
CN104519028A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种网络接入设备多线操作一体化系统 |
CN104780103A (zh) * | 2015-04-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 报文转发方法及装置 |
CN109446677A (zh) * | 2018-11-02 | 2019-03-08 | 南京贝伦思网络科技股份有限公司 | 基于网络芯片的通用平台及其搭建方法 |
CN109981549A (zh) * | 2017-12-28 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种安全防护系统、方法及介质 |
CN111797371A (zh) * | 2020-06-16 | 2020-10-20 | 北京京投信安科技发展有限公司 | 一种交换机加密系统 |
CN112585915A (zh) * | 2019-07-30 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 控制网络系统中数据传输的装置和方法 |
CN114598616A (zh) * | 2022-05-09 | 2022-06-07 | 上海飞旗网络技术股份有限公司 | 一种解决实时海量数据的高效模式匹配方法 |
CN115396388A (zh) * | 2022-08-15 | 2022-11-25 | 成都北中网芯科技有限公司 | 一种高效的基于np的网络处理装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2935676Y (zh) * | 2006-05-11 | 2007-08-15 | 彭卫 | 数字家庭智能盒 |
-
2008
- 2008-07-03 CN CN2008100229513A patent/CN101321163B/zh not_active Expired - Fee Related
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
CN103227752A (zh) * | 2013-05-14 | 2013-07-31 | 盛科网络(苏州)有限公司 | 以太网交换芯片中策略路由的实现方法和装置 |
CN104519028A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种网络接入设备多线操作一体化系统 |
CN103701670B (zh) * | 2013-12-30 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据包负载的处理方法和装置 |
CN103701670A (zh) * | 2013-12-30 | 2014-04-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据包负载的处理方法和装置 |
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104283882B (zh) * | 2014-10-11 | 2018-01-12 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104410588A (zh) * | 2014-10-22 | 2015-03-11 | 福建星网锐捷网络有限公司 | 在路由器设备上实现虚拟交换的方法和路由器设备 |
CN104780103A (zh) * | 2015-04-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 报文转发方法及装置 |
CN104780103B (zh) * | 2015-04-14 | 2018-05-08 | 新华三技术有限公司 | 报文转发方法及装置 |
CN109981549A (zh) * | 2017-12-28 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种安全防护系统、方法及介质 |
CN109446677A (zh) * | 2018-11-02 | 2019-03-08 | 南京贝伦思网络科技股份有限公司 | 基于网络芯片的通用平台及其搭建方法 |
CN112585915A (zh) * | 2019-07-30 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 控制网络系统中数据传输的装置和方法 |
CN112585915B (zh) * | 2019-07-30 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 控制网络系统中数据传输的装置和方法 |
CN111797371A (zh) * | 2020-06-16 | 2020-10-20 | 北京京投信安科技发展有限公司 | 一种交换机加密系统 |
CN114598616A (zh) * | 2022-05-09 | 2022-06-07 | 上海飞旗网络技术股份有限公司 | 一种解决实时海量数据的高效模式匹配方法 |
CN115396388A (zh) * | 2022-08-15 | 2022-11-25 | 成都北中网芯科技有限公司 | 一种高效的基于np的网络处理装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101321163B (zh) | 2010-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101321163B (zh) | 融合多层并行处理的网络接入设备一体化硬件实现方法 | |
CN105743793B (zh) | 用于网络设备组件的比特索引显式复制(bier)转发 | |
CN102656850B (zh) | 用于处理多个数据的方法和用于交换通信分组的交换设备 | |
CN103999431B (zh) | 软件定义的网络中灵活的并且可扩展的流处理系统 | |
CN105554065B (zh) | 处理报文的方法、转换单元和应用单元 | |
US20110170553A1 (en) | Method of data delivery across a network fabric in a router or ethernet bridge | |
CN104348716B (zh) | 一种报文处理方法及设备 | |
CN102857425B (zh) | 通过trill的fcoe | |
CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
CN103875214B (zh) | 用于以太网网络的具有安全检测的智能phy | |
CN104662862B (zh) | 可扩展低延迟多协议网络设备 | |
CN101047714B (zh) | 一种处理网络数据的方法及系统 | |
CN106961445A (zh) | 基于fpga硬件并行流水线的报文解析方法及其装置 | |
US20120236857A1 (en) | Multicast address learning in an input/output adapter of a network processor | |
CN107070674A (zh) | 第三方控制的数据包转发路径的网络装置数据平面沙盒 | |
CN108307434A (zh) | 用于流控制的方法和设备 | |
CN101141390A (zh) | 一种新型自定义以太网带外数据包过滤的方法及装置 | |
US20120076153A1 (en) | Statistics module for network processors in virtual local area networks | |
CN103368777B (zh) | 一种数据包处理板及处理方法 | |
CN108833305B (zh) | 主机的虚拟网络装置 | |
EP2680536A1 (en) | Methods and apparatus for providing services in a distributed switch | |
WO2010108768A1 (en) | Steering data communications packets for multiple data processing applications | |
Schuehler et al. | Architecture for a hardware based, TCP/IP content scanning system [intrusion detection system applications] | |
CN106850547A (zh) | 一种基于http协议的数据还原方法及系统 | |
CN103685041B (zh) | 一种基于比特粒度可编程的路由器及路由方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101229 Termination date: 20140703 |
|
EXPY | Termination of patent right or utility model |