CN101800707A - 建立流转发表项的方法及数据通信设备 - Google Patents
建立流转发表项的方法及数据通信设备 Download PDFInfo
- Publication number
- CN101800707A CN101800707A CN201010155663A CN201010155663A CN101800707A CN 101800707 A CN101800707 A CN 101800707A CN 201010155663 A CN201010155663 A CN 201010155663A CN 201010155663 A CN201010155663 A CN 201010155663A CN 101800707 A CN101800707 A CN 101800707A
- Authority
- CN
- China
- Prior art keywords
- message
- stream
- list item
- forwarding list
- described message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明实施例提供一种建立流转发表项的方法及数据通信设备,该方法包括:数据通信设备接收报文;对接收到的报文进行统计,以获取报文对应的流的统计值;统计值包括报文数或者字节数;判断流的统计值是否超过预设的门限值;若判断结果为超过预设的门限值,则数据通信设备为报文对应的流建立流转发表项,并根据流转发表项对报文对应的流的后续报文进行流转发。通过本发明实施例,可减少流表的流转发表项数量以及存储空间,简化流表的维护;并且不容易遭到拒绝服务攻击,安全性高。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种建立流转发表项的方法及数据通信设备。
背景技术
在数据通信中,数据通信设备对报文的处理通常可以分为报文转发和流转发。与报文转发相比,流转发的后续转发只需要对流表进行一次查找,可减少查表次数;并且流转发采用精确匹配查找,可降低转发时延。其中,流表中可包括多个流转发表项,流转发表项通常包含了数据通信设备对流的处理信息。
目前,在数据通信设备中,建立流转发表项的方法采用如下方式:数据通信设备接收报文后,判断该报文对应的流是否存在流转发表项,如果存在流转发表项,则根据流转发表项转发该报文;如果不存在流转发表项,则为该报文对应的流建立流转发表项,并转发该报文。
但是在实现本发明的过程中,发明人发现现有技术中需要为所有没有对应的流转发表项的报文建立对应的流转发表项,导致流表的流转发表项数量巨大,存储空间大,流表维护复杂;并且数据通信设备容易遭到拒绝服务(DOS,Denial of Service)攻击,安全性差。
发明内容
本发明实施例提供一种建立流转发表项的方法及数据通信设备,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及需要的存储空间,简化流表的维护;并且不容易遭到拒绝服务攻击,安全性高。
本发明实施例一方面提供了一种建立流转发表项的方法,该方法包括:数据通信设备接收报文;对接收到的报文进行统计,以获取报文对应的流的统计值;统计值包括报文数或者字节数;判断流的统计值是否超过预设的门限值;若判断结果为超过预设的门限值,则数据通信设备为报文对应的流建立流转发表项,并根据流转发表项对报文对应的流的后续报文进行流转发。
本发明实施例另一方面提供了一种数据通信设备,该数据通信设备包括:
报文接收单元,用于接收报文;
统计单元,用于对报文接收单元接收到的报文进行统计,以获取报文对应的流的统计值;统计值包括报文数或者字节数;
第一判断单元,用于判断报文对应的流的统计值是否超过预设的门限值;
表项建立单元,用于在第一判断单元的判断结果为超过预设的门限值时,为报文对应的流建立流转发表项;
第一转发单元,用于在第一判断单元的判断结果为超过预设的门限值时,根据表项建立单元建立的流转发表项对报文对应的流的后续报文进行流转发。
本发明实施例的有益效果在于,通过对接收到的报文进行统计,获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及需要的存储空间,简化流表的维护;并且不容易遭到拒绝服务攻击,安全性高。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1是本发明实施例1的建立流转发表项的方法的流程图;
图2是本发明实施例2的流转发的流程图;
图3是本发明实施例3的数据通信设备的构成图;
图4是本发明实施例4的数据通信设备的构成图;
图5是本发明实施例5的数据通信设备的实例图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例作进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
实施例1
本发明实施例提供一种建立流转发表项的方法,如图1所示,该方法包括:
步骤101,数据通信设备接收报文。
步骤102,数据通信设备对接收到的报文进行统计,以获取报文对应的流的统计值;该统计值包括报文数或者字节数。
步骤103,数据通信设备判断流的统计值是否超过预设的门限值,若判断结果为超过预设的门限值,则执行步骤104,若判断结果为未超过预设的门限值,则执行步骤105。
步骤104,数据通信设备为该报文对应的流建立流转发表项,根据流转发表项对该报文对应的流的后续报文进行流转发。
步骤105,数据通信设备根据路由表对该报文进行报文转发。
在本实施例中,数据通信设备可为路由器、或者交换机,但不限于此,还可为其他数据通信设备。
在本实施例中,报文可为IPv4报文,也可为IPv6报文;数据通信设备在接收到报文后,可通过该报文的源IP地址、目的IP地址等元组信息对接收到的报文进行统计,以获取报文对应的流的统计值,该统计值包括报文数或者字节数。
在本实施例中,数据通信设备还可预先设置流对应的报文数的门限值、或者流对应的字节数的门限值。这样,数据通信设备可判断该报文对应的流的统计值是否超过预设的门限值;在判断结果为超过预设的门限值时,为该报文对应的流建立流转发表项。
例如,数据通信设备可预先设置流对应的报文数的门限值为5。在数据转发过程中,数据通信设备接收到一个IPv4报文后,可先通过该报文的5元组信息确定该报文对应的流,该五元组信息包括:源IP地址、目的IP地址、协议号、源端口号、目的端口号;如果统计出该报文为对应的流的第6个报文,则可得到该报文对应的流的统计值为6;该统计值6超过预设的门限值5,因此,数据通信设备为该报文对应的流建立流转发表项。
或者,数据通信设备可预先设置流对应的字节数的门限值为1000。在数据转发过程中,数据通信设备接收到一个IPv6报文后,可先通过该报文的3元组信息确定该报文对应的流,该3元组信息包括:源IP地址、目的IP地址、流标签;如果统计出接收该报文之前,该对应的流共接收到998字节,该报文为40字节,接收到该报文后对应的流共接收到1038字节,则可得到该报文对应的流的统计值为1038;该统计值1038超过预设的门限值1000,因此,数据通信设备为该报文对应的流建立流转发表项。
以上实例仅为示意性说明,但不限于此,可根据实际情况确定具体的实施方式。
在本实施例中,通过上述步骤可极大地减少流表的流转发表项数量以及存储空间,简化流表的维护。以下以报文平均大小为500字节、每个流平均包括20个报文、端口为10Gbps为例进行说明;在这种情况下,端口的流刷新速率为:10G/500/8/20=130k/s,按照15秒/周期的老化时间计算,现有技术中大概需要2M的流转发表项;而采用上述的技术方案,数据通信设备在报文对应的流的统计值超过预设的门限值时,才为该报文对应的流建立流转发表项,可将流表中的流转发表项减少至5%甚至更低。
此外,通过上述的技术方案,还不容易遭到拒绝服务攻击,安全性高。以传输控制协议同步洪水攻击(TCP SYN flood,Transmission ControlProtocol SYN flood)为例,该攻击仅发送TCP SYN报文,一个流只有一个报文;在现有技术中,对TCP SYN flood攻击发送的每个TCP SYN报文建立对应的流转发表项,会导致流表存储空间不够,无法进行正常的流转发;而采用上述的技术方案,数据通信设备在报文对应的流的统计值超过预设的门限值时,才为该报文对应的流建立流转发表项,对于TCP SYN flood攻击发送的TCPSYN报文,并不会建立对应的流转发表项。
由上述实施例可知,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及存储空间,简化流表的维护;并且不容易遭到拒绝服务攻击,安全性高。
实施例2
本发明实施例提供一种建立流转发表项的方法,如图2所示,该方法包括:
步骤201,数据通信设备接收报文。
步骤202,数据通信设备判断接收的报文是否符合预设的分类规则;若判断结果为不符合预设的分类规则,则执行步骤203;若判断结果为符合预设的分类规则,则执行步骤209。
在本实施例中,协议交互过程中有些报文数量很少,不需要对这类报文进行流处理,数据通信设备可预先设置报文的分类规则。例如,域名系统(DNS,Domain Name System)协议报文或者因特网信息控制协议(ICMP,InternetControl Message Protocol)报文的交互过程比较简单,一个流基本只有一个报文,不需要对这些报文进行流处理。因此,可预先设置分类规则为:报文是否为DNS协议报文、或者报文是否为ICMP报文。但不限于此,可根据实际情况确定具体的分类规则。
在本实施例中,数据通信设备可在报文符合分类规则时,根据路由表直接进行报文转发;这样,可以不对数量很少、没有必要进行流转发的报文进行流转发处理,减少后续流转发处理的性能开销。
步骤203,数据通信设备判断报文是否存在对应的流转发表项;若判断结果为不存在对应的流转发表项,则执行步骤204;否则执行步骤210。
在本实施例中,可根据报文中的字段,例如IPv4报文的5元组在流表中进行精确匹配查找。查找过程可采用现有技术,此处不再赘述。
步骤204,数据通信设备对报文进行采样以确定对报文进行统计。
在本实施例中,数据通信设备可通过采样的方式确定是否对报文进行统计;可按字节采样,即根据经过数据通信设备的字节进行采样;或者按报文采样,即根据经过数据通信设备的报文进行采样。
例如,在通过20∶1的报文采样率进行采样时,若报文为经过的第20个报文,则数据通信设备确定对该报文进行统计;或者,在通过10000∶1的字节采样率进行采样时,若经过的字节为第10000个字节,则确定对该字节对应的报文进行统计。但不限于此,还可根据实际情况确定具体的实施方式,例如还可以采用随机数来进行采样。
在本实施例中,通过采样等方式确定是否对报文进行统计,可减轻数据通信设备的性能压力,避免由于内存访问瓶颈的限制,而导致数据通信设备难以实现高性能统计的问题。
此外,本步骤并不限于在步骤203之后执行,还可在步骤201或者步骤202之后执行,可根据实际情况确定具体的实施方式。
步骤205,数据通信设备根据报文的元组信息计算哈希值,该元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口,或者包括源IP地址、目的IP地址、流标签。
在本实施例中,数据通信设备可提取IPv4报文的5元组信息,该元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口;或者提取IPv6报文的3元组信息,该元组信息包括源IP地址、目的IP地址、流标签;然后计算哈希(Hash)值,以根据哈希值进行统计;Hash算法可以使用现有技术,如循环冗余校验(CRC,Cyclic Redundancy Check)、异或(XOR)等算法。
此外,本步骤并不限于在步骤204之后执行,还可在步骤201、步骤202或者步骤203之后执行,可根据实际情况确定具体的实施方式。
步骤206,数据通信设备对报文进行统计,以获取报文对应的流的统计值;该统计值包括报文数或者字节数。
在本实施例中,数据通信设备还可根据步骤205所获得的哈希值对报文进行统计,以获取报文对应的流的统计值。
例如,可将哈希值作为内存的地址,数据通信设备读取该内存地址对报文进行统计,并可把统计后的结果写入该内存地址。这样,可方便进行统计。
步骤207,数据通信设备判断流的统计值是否超过预设的门限值;若判断结果为超过预设的门限值,则执行步骤208;否则执行步骤209。
步骤208,数据通信设备为该报文对应的流建立流转发表项,以使数据通信设备根据流转发表项对该报文对应的流的后续报文进行流转发。
步骤209,数据通信设备根据路由表对所述报文进行报文转发。
在本实施例中,数据通信设备根据路由表对报文进行报文转发,可以包括查找路由表确定下一跳信息、修改报文、发送报文至出端口等。上述过程可采用现有技术,此处不再赘述。
步骤210,数据通信设备根据流转发表项对报文进行流转发。
在本实施例中,数据通信设备根据流转发表项对报文进行流转发,可以包括修改报文、发送报文至出端口等。可采用现有技术,此处不再赘述。
由上述实施例可知,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及存储空间,简化流表的维护;对符合分类规则的报文直接进行报文转发,性价比高;并且不容易遭到拒绝服务攻击,安全性高。
实施例3
本发明实施例提供一种数据通信设备,如图3所示,该数据通信设备包括:报文接收单元301、统计单元302、第一判断单元303、表项建立单元304和第一转发单元305;其中,
报文接收单元301用于接收报文;
统计单元302用于对报文接收单元301接收到的报文进行统计,以获取该报文对应的流的统计值;该统计值包括报文数或者字节数;
第一判断单元303用于判断该报文对应的流的统计值是否超过预设的门限值;
表项建立单元304用于在第一判断单元303的判断结果为超过预设的门限值时,为该报文对应的流建立流转发表项;
第一转发单元305用于在第一判断单元303的判断结果为超过预设的门限值时,根据表项建立单元304建立的流转发表项对报文对应的流的后续报文进行流转发。
在本实施例中,数据通信设备可为路由器、或者交换机,但不限于此,还可为其他数据通信设备。
在本实施例中,该数据通信设备的工作流程可如实施例1所述,此处不再赘述。
由上述实施例可知,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及存储空间,简化流表的维护;并且不容易遭到拒绝服务攻击,安全性高。
实施例4
本发明实施例提供一种数据通信设备,如图4所示,该数据通信设备包括:报文接收单元401、统计单元402、第一判断单元403、表项建立单元404和第一转发单元405;如实施例3所述,此处不再赘述。
如图4所示,该数据通信设备还可包括:第二判断单元406;其中,
第二判断单元406用于判断报文接收单元401接收到的报文是否存在对应的流转发表项;
第一转发单元405还用于在第二判断单元406的判断结果为存在对应的流转发表项时,根据该流转发表项对该报文进行流转发;
统计单元402还用于在第二判断单元406的判断结果为不存在对应的流转发表项时,对该报文进行统计,以获取该报文对应的流的统计值。
如图4所示,该数据通信设备还可包括:第三判断单元407和第二转发单元408;其中,
第三判断单元407用于判断报文接收单元401接收的报文是否符合预设的分类规则;
第二转发单元408用于在第三判断单元407的判断结果为符合预设的分类规则时,根据路由表对该报文进行报文转发;
第二判断单元406还用于第三判断单元407的判断结果为不符合预设的分类规则时,判断该报文是否存在对应的流转发表项。
如图4所示,该数据通信设备还可包括:计算单元409;
计算单元409用于根据报文的元组信息计算哈希值,该元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口,或者包括源IP地址、目的IP地址、流标签;
统计单元402还用于根据该哈希值对该报文进行统计,以获取该报文对应的流的统计值。
如图4所示,该数据通信设备还可包括:确定单元410;
确定单元410用于对报文进行采样以确定对报文进行统计;
统计单元402还用于在确定单元410确定对报文进行统计时,对该报文进行统计,以获取该报文对应的流的统计值。
在本实施例中,该数据通信设备的工作流程可如实施例2所述,此处不再赘述。
由上述实施例可知,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及存储空间,简化流表的维护;对符合分类规则的报文直接进行报文转发,性价比高;并且不容易遭到拒绝服务攻击,安全性高。
实施例5
本发明实施例提供一种数据通信设备,以下在实施例4的基础上,进一步通过实例、结合图5对该数据通信设备进行详细说明。
如图5所示,该数据通信设备可以包括:报文接收模块500、流分类模块501、流查找模块502、大流识别模块503、报文转发模块504、流维护模块505、流转发模块506。上述模块可通过结合实施例4中的各个单元实现;
其中,报文接收模块500可通过报文接收单元401实现;流分类模块501可通过第三判断单元407实现;流查找模块502可通过第二判断单元406实现;大流识别模块503可用于判断报文对应的流是否为大流,其中,大流可为对应的报文数量或者字节数比较多的流,大流识别模块503可通过统计单元402、第一判断单元403以及计算单元409、确定单元410实现;报文转发模块504可通过第二转发单元408实现;流维护模块505可通过表项建立单元404实现;流转发模块506可通过第一转发单元405实现。
此外,如图5所示,该数据通信设备还可包括流量管理模块507以及流表508。
在本实施例中,报文接收模块500接收报文后,将接收到的报文发送给流分类模块501;流分类模块501可用于判断接收到的报文是否符合预设的分类规则,若该报文符合分类规则,例如该报文为DNS报文,则将该报文发送至报文转发模块504,由报文转发模块504根据路由表转发该报文。判断是否符合分类规则的过程可如实施例2中步骤202所述,此处不再赘述。
若该报文不符合分类规则,流分类模块501将该报文发送至流查找模块502;流查找模块502接收到该报文后,判断流表508中是否存在该报文对应的流转发表项,如果有对应的流转发表项,则将该报文发送至流转发模块506,由流转发模块506根据流表508中的对应的流转发表项进行流转发;如果没有对应的流转发表项,则将该报文发送至大流识别模块503。
大流识别模块503在接收到流查找模块502发送的报文后,判断该报文对应的流是否为大流,其中,大流可为对应的报文数量或者字节数比较多的流,例如,对应的报文数量超过5个的流可为大流;判断方式可如实施例1中步骤102和步骤103,或者实施例2中的步骤204至步骤207所述,此处不再赘述;并将该报文发送给报文转发模块504进行转发;若为大流,则通过流维护模块505在流表508中建立该报文对应的流的流转发表项。
在本实施例中,报文经过报文转发模块504或者流转发模块506处理后,还可通过流量管理模块507进行流量整型、队列调度,这样,可提供更好的服务质量(QoS,Quality of Service)保证。
在本实施例中,报文可为IPv4报文,也可为IPv6报文。
在本实施例中,上述各个模块不限于在某种特定的处理器或者装置上实现,可以在普通的中央处理器(CPU)、网络处理器(NP,Network Processor)上实施、专用集成电路(ASIC,Application Specific Integrated Circuits)、现场可编程门阵列(FPGA,Field Programmable Gate Arrays)上实施。
由上述实施例可知,通过对接收到的报文进行统计,以获取报文对应的流的统计值;在报文对应的流的统计值超过预设的门限值时,为报文对应的流建立流转发表项。这样,可减少流表的流转发表项数量以及存储空间,简化流表的维护;对符合分类规则的报文直接进行报文转发,性价比高;并且不容易遭到拒绝服务攻击,安全性高。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种建立流转发表项的方法,其特征在于,所述方法包括:
数据通信设备接收报文;
所述数据通信设备对接收到的所述报文进行统计,以获取所述报文对应的流的统计值,所述统计值包括报文数或者字节数;
判断所述报文对应的流的统计值是否超过预设的门限值;
若判断结果为超过预设的门限值,则所述数据通信设备为所述报文对应的流建立流转发表项,并根据所述流转发表项对所述报文对应的流的后续报文进行流转发。
2.根据权利要求1所述的方法,其特征在于,在对接收到的报文进行统计,以获取所述报文对应的流的统计值之前,所述方法还包括:
判断所述报文是否存在对应的流转发表项;
当判断结果为不存在对应的流转发表项时,对所述报文进行统计,以获取所述报文对应的流的统计值;
当判断结果为存在对应的流转发表项时,根据所述流转发表项对所述报文进行流转发。
3.根据权利要求2所述的方法,其特征在于,在判断所述报文是否存在对应的流转发表项之前,所述方法包括:
判断所述报文是否符合预设的分类规则;
当判断结果为不符合预设的分类规则时,判断所述报文是否存在对应的流转发表项;
当判断结果为符合预设的分类规则时,根据路由表对所述报文进行报文转发。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,在对接收到的所述报文进行统计,以获取所述报文对应的流的统计值之前,所述方法还包括:
根据所述报文的元组信息计算哈希值,所述元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口,或者包括源IP地址、目的IP地址、流标签;
所述对所述报文进行统计,具体包括:根据所述哈希值对所述报文进行统计,以获取所述报文对应的流的统计值。
5.根据权利要求1至3中任意一项所述的方法,其特征在于,在对接收到的所述报文进行统计,以获取所述报文对应的流的统计值之前,所述方法包括:
对报文进行采样以确定对所述报文进行统计。
6.一种数据通信设备,其特征在于,所述数据通信设备包括:
报文接收单元,用于接收报文;
统计单元,用于对所述报文接收单元接收到的报文进行统计,以获取所述报文对应的流的统计值,所述统计值包括报文数或者字节数;
第一判断单元,用于判断所述报文对应的流的统计值是否超过预设的门限值;
表项建立单元,用于在所述第一判断单元的判断结果为超过预设的门限值时,为所述报文对应的流建立流转发表项;
第一转发单元,用于在所述第一判断单元的判断结果为超过预设的门限值时,根据所述表项建立单元建立的流转发表项对所述报文对应的流的后续报文进行流转发。
7.根据权利要求6所述的数据通信设备,其特征在于,所述数据通信设备包括:
第二判断单元,用于判断所述报文接收单元接收到的报文是否存在对应的流转发表项;
所述第一转发单元还用于在所述第二判断单元的判断结果为存在对应的流转发表项时,根据所述流转发表项对所述报文进行流转发;
所述统计单元还用于在所述第二判断单元的判断结果为不存在对应的流转发表项时,对所述报文进行统计,以获取所述报文对应的流的统计值。
8.根据权利要求7所述的数据通信设备,其特征在于,所述数据通信设备包括:
第三判断单元,用于判断所述报文接收单元接收的报文是否符合预设的分类规则;
第二转发单元,用于在所述第三判断单元的判断结果为符合预设的分类规则时,根据路由表对所述报文进行报文转发;
所述第二判断单元还用于当所述第三判断单元的判断结果为不符合预设的分类规则时,判断所述报文是否存在对应的流转发表项。
9.根据权利要求6至8中任意一项所述的数据通信设备,其特征在于,所述数据通信设备还包括:
计算单元,用于根据所述报文的元组信息计算哈希值,所述元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口,或者包括源IP地址、目的IP地址、流标签;
所述统计单元还用于根据所述哈希值对所述报文进行统计,以获取所述报文对应的流的统计值。
10.根据权利要求6至8中任意一项所述的数据通信设备,其特征在于,所述数据通信设备包括:
确定单元,用于对报文进行采样以确定对所述报文进行统计;
所述统计单元还用于在所述确定单元确定对所述报文进行统计时,对所述报文进行统计,以获取所述报文对应的流的统计值。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101556632A CN101800707B (zh) | 2010-04-22 | 2010-04-22 | 建立流转发表项的方法及数据通信设备 |
PCT/CN2011/072256 WO2011131076A1 (zh) | 2010-04-22 | 2011-03-29 | 建立流转发表项的方法及数据通信设备 |
EP20110771529 EP2549694B1 (en) | 2010-04-22 | 2011-03-29 | Method and data communication device for building a flow forwarding table item |
US13/655,990 US8761178B2 (en) | 2010-04-22 | 2012-10-19 | Method for creating stream forwarding entry, and data communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101556632A CN101800707B (zh) | 2010-04-22 | 2010-04-22 | 建立流转发表项的方法及数据通信设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101800707A true CN101800707A (zh) | 2010-08-11 |
CN101800707B CN101800707B (zh) | 2011-12-28 |
Family
ID=42596209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101556632A Active CN101800707B (zh) | 2010-04-22 | 2010-04-22 | 建立流转发表项的方法及数据通信设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8761178B2 (zh) |
EP (1) | EP2549694B1 (zh) |
CN (1) | CN101800707B (zh) |
WO (1) | WO2011131076A1 (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
CN102263664A (zh) * | 2011-08-11 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 一种会话流处理方法及装置 |
CN102647347A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 实现基于连接的流量的处理方法及系统 |
CN102882790A (zh) * | 2012-10-12 | 2013-01-16 | 北京锐安科技有限公司 | 一种IPv6实时数据流处理方法 |
CN104113482A (zh) * | 2014-07-23 | 2014-10-22 | 华为技术有限公司 | 流表更新的方法、装置和系统 |
CN104539490A (zh) * | 2015-01-28 | 2015-04-22 | 盛科网络(苏州)有限公司 | 基于交换芯片实现报文高速统计的方法及装置 |
CN104717102A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 流量统计方法、装置以及nat网关设备 |
CN104734905A (zh) * | 2013-12-24 | 2015-06-24 | 华为技术有限公司 | 检测数据流的方法及装置 |
CN106487790A (zh) * | 2016-10-09 | 2017-03-08 | 广东睿江云计算股份有限公司 | 一种ack flood攻击的清洗方法及系统 |
WO2021104393A1 (zh) * | 2019-11-27 | 2021-06-03 | 深圳市中兴微电子技术有限公司 | 多规则流分类的实现方法、设备和存储介质 |
CN113938400A (zh) * | 2021-08-27 | 2022-01-14 | 曙光网络科技有限公司 | 流表管理和维护的方法、设备以及存储介质 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103476062B (zh) | 2012-06-06 | 2015-05-27 | 华为技术有限公司 | 一种数据流调度的方法、设备和系统 |
US9705747B1 (en) | 2012-12-04 | 2017-07-11 | Qualcomm Incorporated | Distributed path selection in hybrid networks |
US9184998B2 (en) * | 2013-03-14 | 2015-11-10 | Qualcomm Incorporated | Distributed path update in hybrid networks |
US9336287B2 (en) * | 2013-09-26 | 2016-05-10 | SecurityDo Corp. | System and method for merging network events and security events via superimposing data |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6934293B1 (en) * | 1998-12-02 | 2005-08-23 | Cisco Technology, Inc. | Port aggregation load balancing |
CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
CN101262435A (zh) * | 2008-04-16 | 2008-09-10 | 华为技术有限公司 | 一种流转发表项的回收方法和装置 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6801502B1 (en) * | 1999-05-07 | 2004-10-05 | At&T Corp. | Method and apparatus for load-sensitive routing of long-lived packet flows |
US6754662B1 (en) * | 2000-08-01 | 2004-06-22 | Nortel Networks Limited | Method and apparatus for fast and consistent packet classification via efficient hash-caching |
US7251215B1 (en) * | 2002-08-26 | 2007-07-31 | Juniper Networks, Inc. | Adaptive network router |
SE525800C2 (sv) | 2002-10-30 | 2005-04-26 | Packetfront Sweden Ab | Anordning och router i ett bredbandsnät som arbetar genom överföring av paketflöden, med ett av en central processorenhet omkopplat mjukvaruflöde och ett hårdvaruomkopplat accelerarat flöde |
US7483374B2 (en) | 2003-08-05 | 2009-01-27 | Scalent Systems, Inc. | Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing |
US7321565B2 (en) * | 2003-08-29 | 2008-01-22 | Ineoquest Technologies | System and method for analyzing the performance of multiple transportation streams of streaming media in packet-based networks |
CN100420197C (zh) * | 2004-05-13 | 2008-09-17 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
US20060239196A1 (en) * | 2005-04-25 | 2006-10-26 | Sanjay Khanna | System and method for performing load balancing across a plurality of servers |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
CN100558044C (zh) * | 2005-12-22 | 2009-11-04 | 华为技术有限公司 | 监测网元间网络性能的方法、设备及系统 |
US20070171825A1 (en) | 2006-01-20 | 2007-07-26 | Anagran, Inc. | System, method, and computer program product for IP flow routing |
US8457007B2 (en) * | 2006-02-24 | 2013-06-04 | Marvell World Trade Ltd. | Global switch resource manager |
CN101127691A (zh) | 2006-08-17 | 2008-02-20 | 王玉鹏 | 一种在网络处理器上实现的基于流的策略路由的方法 |
CN101136851A (zh) | 2007-09-29 | 2008-03-05 | 华为技术有限公司 | 一种流转发方法及设备 |
CN101321088A (zh) * | 2008-07-18 | 2008-12-10 | 北京星网锐捷网络技术有限公司 | 一种统计ip数据流信息的方法及装置 |
CN101364999B (zh) * | 2008-09-18 | 2012-07-04 | 华为技术有限公司 | 一种基于流的服务质量处理的方法、设备及系统 |
US8134927B2 (en) * | 2009-07-31 | 2012-03-13 | Ixia | Apparatus and methods for capturing data packets from a network |
CN101635676B (zh) * | 2009-08-31 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种报文处理方法和一种网络设备 |
EP2482497B1 (en) * | 2009-09-21 | 2013-12-04 | Huawei Technologies Co., Ltd. | Data forwarding method, data processing method, system and device thereof |
CN101800707B (zh) * | 2010-04-22 | 2011-12-28 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
-
2010
- 2010-04-22 CN CN2010101556632A patent/CN101800707B/zh active Active
-
2011
- 2011-03-29 EP EP20110771529 patent/EP2549694B1/en active Active
- 2011-03-29 WO PCT/CN2011/072256 patent/WO2011131076A1/zh active Application Filing
-
2012
- 2012-10-19 US US13/655,990 patent/US8761178B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6934293B1 (en) * | 1998-12-02 | 2005-08-23 | Cisco Technology, Inc. | Port aggregation load balancing |
CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
CN101262435A (zh) * | 2008-04-16 | 2008-09-10 | 华为技术有限公司 | 一种流转发表项的回收方法和装置 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8761178B2 (en) | 2010-04-22 | 2014-06-24 | Huawei Technologies Co., Ltd. | Method for creating stream forwarding entry, and data communication device |
WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
CN102263664A (zh) * | 2011-08-11 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 一种会话流处理方法及装置 |
CN102647347B (zh) * | 2012-03-30 | 2016-07-13 | 汉柏科技有限公司 | 实现基于连接的流量的处理方法及系统 |
CN102647347A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 实现基于连接的流量的处理方法及系统 |
CN102882790A (zh) * | 2012-10-12 | 2013-01-16 | 北京锐安科技有限公司 | 一种IPv6实时数据流处理方法 |
CN104717102B (zh) * | 2013-12-12 | 2018-06-05 | 华为技术有限公司 | 流量统计方法、装置以及nat网关设备 |
CN104717102A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 流量统计方法、装置以及nat网关设备 |
CN104734905A (zh) * | 2013-12-24 | 2015-06-24 | 华为技术有限公司 | 检测数据流的方法及装置 |
CN104734905B (zh) * | 2013-12-24 | 2018-05-11 | 华为技术有限公司 | 检测数据流的方法及装置 |
CN104113482A (zh) * | 2014-07-23 | 2014-10-22 | 华为技术有限公司 | 流表更新的方法、装置和系统 |
CN104539490A (zh) * | 2015-01-28 | 2015-04-22 | 盛科网络(苏州)有限公司 | 基于交换芯片实现报文高速统计的方法及装置 |
CN106487790A (zh) * | 2016-10-09 | 2017-03-08 | 广东睿江云计算股份有限公司 | 一种ack flood攻击的清洗方法及系统 |
CN106487790B (zh) * | 2016-10-09 | 2020-01-31 | 广东睿江云计算股份有限公司 | 一种ack flood攻击的清洗方法及系统 |
WO2021104393A1 (zh) * | 2019-11-27 | 2021-06-03 | 深圳市中兴微电子技术有限公司 | 多规则流分类的实现方法、设备和存储介质 |
CN113938400A (zh) * | 2021-08-27 | 2022-01-14 | 曙光网络科技有限公司 | 流表管理和维护的方法、设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US8761178B2 (en) | 2014-06-24 |
EP2549694A4 (en) | 2013-01-23 |
CN101800707B (zh) | 2011-12-28 |
EP2549694B1 (en) | 2015-05-06 |
WO2011131076A1 (zh) | 2011-10-27 |
EP2549694A1 (en) | 2013-01-23 |
US20130044753A1 (en) | 2013-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101800707B (zh) | 建立流转发表项的方法及数据通信设备 | |
US10735379B2 (en) | Hybrid hardware-software distributed threat analysis | |
EP3420487B1 (en) | Hybrid hardware-software distributed threat analysis | |
Geravand et al. | Bloom filter applications in network security: A state-of-the-art survey | |
US7623466B2 (en) | Symmetric connection detection | |
JP4759389B2 (ja) | パケット通信装置 | |
US9270643B2 (en) | State-transition based network intrusion detection | |
US8239565B2 (en) | Flow record restriction apparatus and the method | |
US11316889B2 (en) | Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
CN101247353A (zh) | 流老化方法及网络设备 | |
Xie et al. | A table overflow LDoS attack defending mechanism in software-defined networks | |
AlSabeh et al. | P4ddpi: Securing p4-programmable data plane networks via dns deep packet inspection | |
CN114830113A (zh) | 保护有状态连接管理器中资源分配的系统和方法 | |
CN107196879B (zh) | Udp报文的处理方法、装置以及网络转发装置 | |
Krishnan et al. | Mechanisms for optimizing link aggregation group (LAG) and equal-cost multipath (ECMP) component link utilization in networks | |
Kostopoulos et al. | A privacy-preserving schema for the detection and collaborative mitigation of DNS water torture attacks in cloud infrastructures | |
Ahad et al. | DPIDNS: A Deep Packet Inspection Based IPS for Security Of P4 Network Data Plane | |
CN111327590A (zh) | 一种攻击处理方法及装置 | |
KR20090012561A (ko) | 플로우별 통계 분석을 통한 송신단에서 양방향 디디오에스방어 시스템 및 방법 | |
Moon et al. | A Multi-resolution Port Scan Detection Technique for High-speed Networks. | |
Zhao et al. | A high-speed network data acquisition system based on big data platform | |
Himanshu et al. | A Network Segmentation Architecture for Flow Aggregation and DDoS Mitigation in SDN Using RAPID Flow Rules | |
Hao et al. | Research and Implementation of an Anti-replay Method based on WIA-PA network | |
Traboulsi et al. | An efficient hardware architecture for packet re-sequencing in network processors mpsocs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |