CN104769912A - 用于数据流处理的方法和装置 - Google Patents
用于数据流处理的方法和装置 Download PDFInfo
- Publication number
- CN104769912A CN104769912A CN201380057816.1A CN201380057816A CN104769912A CN 104769912 A CN104769912 A CN 104769912A CN 201380057816 A CN201380057816 A CN 201380057816A CN 104769912 A CN104769912 A CN 104769912A
- Authority
- CN
- China
- Prior art keywords
- port
- authority
- polyplant
- stream label
- source apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000005111 flow chemistry technique Methods 0.000 title 1
- 238000004891 communication Methods 0.000 claims abstract description 14
- 238000013507 mapping Methods 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 5
- 238000007789 sealing Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims 2
- 230000000052 comparative effect Effects 0.000 claims 1
- 238000004220 aggregation Methods 0.000 abstract 4
- 230000002776 aggregation Effects 0.000 abstract 4
- 238000007726 management method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 16
- 230000015654 memory Effects 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 4
- 239000004744 fabric Substances 0.000 description 4
- 238000012797 qualification Methods 0.000 description 4
- 239000000565 sealant Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 229910003460 diamond Inorganic materials 0.000 description 1
- 239000010432 diamond Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0026—PCI express
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
描述了一种用于管理网络环境中的数据交换的系统和方法。在源装置(112-1)处将流标签指派给数据包。该流标签包含对应于聚合装置(200)处的端口(端口2)的端口标识。目的地装置(112-2)与聚合装置处的该端口通信。在聚合装置处认证数据包。根据在已认证数据包的流标签中的端口标识经由聚合装置将数据包从源装置输出到目的地装置。
Description
发明背景
技术领域
本发明一般来说是关于数据网络,并且更明确来说是关于用于控制数据网络装置之间的数据流的系统和方法。
现有技术
例如数据中心的大型网络环境可提供因特网和企业内部网服务来支持业务和组织机构。典型数据中心可收容各种类型的电子设备,例如计算机、域名系统(DNS)服务器、网络交换机、路由器、数据存储装置等等。数据中心可具有数百或数千个例如服务器节点的已互连主机装置,这些主机装置经由包括交换机、路由器等的交换架构而彼此间通信及与外部装置通信。在主机装置与网络交换机之间的数据交换中,主机装置例如在以太网帧中将目的地媒体存取控制(MAC)地址与数据有效负载传输到交换机。交换机转而解码MAC地址以确定数据有效负载的预期目的地。常规网络交换机通常配置有内容可寻址存储器(CAM)表,该CAM表包含例如目的地装置MAC地址和交换机端口信息的帧转发信息,该帧转发信息用于将数据输出到目的地装置。
发明内容
根据方面,提供了一种用于管理网络环境中的数据交换的方法。将流标签传输到源装置。该流标签包含对应于聚合装置处的端口的端口标识。从源装置接收包含流标签的数据包。在聚合装置处认证数据包。根据在已认证数据包的流标签中的端口标识来输出该已认证数据包。
根据另一方面,提供了一种用于处理数据包的方法。源装置接收在聚合装置处产生的流标签和凭据。该流标签包含路由数据。将包含流标签和对应的数据单元的数据包从源装置输出到聚合装置。
根据另一方面,提供了数据网络,其包括源装置、目的地装置和聚合装置。源装置在数据传送操作中将流标签指派给数据包。目的地装置在数据传送操作中接收数据包。聚合装置具有第一端口和第二端口,源装置与该第一端口通信且目的地装置与该第二端口通信。聚合装置包含包管理装置,该包管理装置处理流标签中的路由数据并验证密封流标签的凭据。流标签中的路由数据包含对应于第二端口的端口标识。聚合装置根据流标签中的端口标识将数据包从源装置传送到目的地装置。
根据另一方面,提供了聚合装置,其包括:与源装置通信的第一端口;与目的地装置通信的第二端口;和包括映射表的包管理装置。映射表包含第一端口与源装置之间的第一映射和第二端口与目的地装置之间的第二映射。包管理装置从源装置接收数据单元并根据与该数据单元一起提供的关于第二端口的信息将数据路由到目的地装置。
根据另一方面,提供了计算机程序产品,其包括计算机可读存储介质,该计算机可读存储介质中体现有计算机可读程序代码。计算机可读程序代码包括经配置以在源装置处将流标签指派给数据包的计算机可读程序代码。流标签包含对应于聚合装置处的端口的端口标识。目的地装置与聚合装置处的端口通信。计算机可读程序代码还包括经配置以在聚合装置处认证数据包的计算机可读程序代码和经配置以根据已认证数据包中的端口标识经由聚合装置将数据包从源装置输出到目的地装置的计算机可读程序代码。
附图简述
可通过结合附图参考以下描述来更好地理解本发明的以上及另外的优点,其中相同的数字是指示各图中相同的结构元件和特征。图式未必按比例绘制,而是着重于说明本发明的原理。
图1是计算环境的框图,可在该计算环境中实践本发明的概念的实施例;
图2是根据实施例的图1的聚合系统的包管理装置的框图;
图3是根据实施例的用于管理网络环境中的数据交换的方法的流程图;
图4是根据另一实施例的用于管理网络环境中的数据交换的方法的流程图;
图5是根据实施例的用于认证包的方法的流程图;
图6是根据实施例的说明包的内容的图,该包是从服务器节点输出到聚合装置;和
图7是根据实施例的说明验证过程的详细框图。
具体实施方式
在以下描述中,虽然陈述了特定细节,但本领域普通技术人员应了解,可在没有至少一些这些细节的情况下实践本系统和方法。在一些例子中,没有详细描述已知的特征或过程以免混淆本发明。
常规服务器节点将数据包传输到网络交换机,网络交换机根据与该数据包一起提供的源MAC地址和目的地MAC地址将数据包转发到其目的地装置。但是,对交换机的CAM表的管理需要一组逻辑密集型步骤,这些步骤包含MAC地址查找或相关解码功能、MAC地址-端口映射等等。这种代价高昂的处理在虚拟网络配置中可被放大,其中针对到达网络交换机的每个连接提供了虚拟机(VM),且其中每一VM需要一个或多个MAC地址。
本发明的概念的一些特征可包含用于达成下列目标的方法:有效控制在例如数据中心的网络环境中在与聚合装置通信的一个或多个服务器节点之间进行交换的数据包、帧、信元或其它固定量或可变量的数据的路由;和实施关于数据传送的安全性相关性质(例如,源MAC地址验证、虚拟局域网(VLAN)成员资格和目的地MAC地址筛选)。聚合装置从源装置接收经由聚合装置将数据包路由到目的地装置的请求。聚合装置产生流标签,该流标签包含被映射到目的地装置的MAC地址的端口标识符等等。聚合装置还可产生可用于密封流标签的凭据。流标签是由源装置接收的,并存储在流标签高速缓存中。除凭据之外,流标签还可包含交换机端口号或其它路由信息,聚合装置使用这些信息而不是MAC地址将数据路由到目的地装置。在随后进行的数据交换期间,聚合装置将从源装置接收到的包导引到对应于流标签中的端口号或相关标识符的端口。聚合装置使用来自接收到的流标签的端口号等等来路由数据,而不是使用MAC地址来路由数据。因此,MAC地址查找是不必要的。这准许在聚合装置处的软件中而不是以硬件密集型CAM表执行解码功能等等,由此减少一般在处理MAC地址时需要的硬件操作。
本发明的概念的相关、额外或备选特征还可降低使MAC地址遭受欺骗(spoofing)等等的风险,在虚拟化应用中尤为如此。这可以通过聚合装置在将包路由到目的地装置之前验证与流标签一起接收的凭据来实现,该凭据密封流标签内容。可以通过在聚合装置处重新计算凭据并将其与接收到的凭据做比较来验证凭据。
图1是计算环境10的框图,可在该计算环境中实践本发明的概念的实施例。计算环境10可包含数据网络,其中在网络的元件之间交换数据。计算环境10包含多个服务器节点112-1至112-N(一般指示为112),其中N是大于0的整数。服务器节点112各自通过高速外围组件互连(PCIe)连接器等等而耦合到聚合装置200,以与聚合装置200建立通信路径116。服务器节点112可包括通过PCIe接口等等而附接到聚合装置200的单套接字服务器或相关微处理器装置。可构建和布置其它低功率主机装置以与聚合装置200通信。可将服务器节点112构建和布置为处理器群集或其它熟知的布置。一或多个服务器节点112可为虚拟化的或非虚拟化的。
服务器节点112包含例如NIC的一或多个网络接口。虚拟化服务器节点和/或聚合装置200可包含多个虚拟网络接口卡(vNIC)。
服务器节点112包含处理器102,该处理器可包含一个或多个微处理器、中心处理单元(CPU)、图形处理单元(GPU)、数字信号处理器(DSP)、专用集成电路(ASIC)、存储器控制器、多核心处理器或其它类型的数据处理装置,或这些和其它装置的部分以及组合。
服务器节点112还包含存储器(未示出)。存储器可为非易失性或易失性存储器,例如DRAM或静态RAM(SRAM)。存储在存储器104处的有操作系统、一个或多个应用程序或由处理器102执行的其它软件程序的程序代码。节点接口122、装置驱动器124、流标签高速缓存126和网络堆栈128中的一些或全部也存储在存储器104处。
节点接口122可包含PCIe端口或相关网络连接器,并与装置驱动器124通信以与聚合装置200建立通信路径116。
流标签高速缓存126存储MAC地址-路由信息映射数据。路由信息可包含对应于目的地装置的外出端口或其它标识符。在实施例中,流标签高速缓存126将例如{目的地MAC地址、VLAN标签(如果存在)}的元组映射到可变长度流标签。举例来说,流标签高速缓存126可将服务器节点112-2的MAC地址与聚合装置200处的端口2映射。流标签可插入到标头中,该标头是与以太网帧或例如信元、包等等的其它数据单元一起传输到聚合装置200的。
驱动器124也被称作主机驱动器,其可管理流标签高速缓存126。在实施例中,驱动器124包含虚拟队列接口132,该虚拟队列接口与受聚合装置200处的vNIC支持的虚拟队列(或虚拟队列218)通信。
网络堆栈128可包含用于网络通信的多层软件堆栈。网络堆栈128可包含传输控制协议(TCP)、用户数据报协议(UDP)或因特网协议(IP)套件中所包含的相关协议。网络堆栈128可包含例如遵守开放系统互连(OSI)模型的其它网络、传送和/或链路层或其它抽象层。举例来说,网络堆栈128的链路层可附加源和目的地MAC地址,从而允许将数据包导引到服务器节点112-1上的特定网络接口(例如,接口122)。
如上描述,服务器节点112-1可为虚拟化的。虚拟化服务器节点112-1可包含一个或多个虚拟机(未示出)或来宾、虚拟机监控程序和/或其它虚拟化元件,从而准许服务器节点112-1共享硬件(例如,物理NIC 242和/或BIOS、HBA或与聚合装置200通信的其它硬件装置)。
聚合装置200可耦合在服务器节点112与一个或多个网络接口卡(NIC)242或相关网络适配器之间,使得服务器节点112可与一个或多个远程电子装置152通信。聚合装置200可用作可组织成群集的服务器节点112的连接结构,从而代替常规服务器机架中所用的一些或所有传统以太网交换要求。
聚合装置200可包含交换结构202、输入/输出(I/O)处理器204、包管理装置210、多个端口1-N和对应的多个端口处理器216-1至216-N,其中N是大于1的整数。
端口1-N可为输入端口和/或输出端口。端口处理器216可提供与服务器节点112形成通信路径116的PCIe链路等等。端口处理器216可包含传输和/或接收控制逻辑以及用于处理从服务器节点112传入的包的解码逻辑。
交换结构202提供服务器节点112之间的数据平面互连,从而在服务器节点112和/或一个或多个远程电子装置152之间交换数据,这(这些)远程电子装置经由一个或多个NIC 242而与聚合系统200通信。
I/O处理器204处理在聚合系统200与服务器节点112和/或远程计算装置252之间传送的数据。I/O处理器204可监督在服务器节点112和/或一个或多个远程计算装置152之间的数据包传送。在实施例中,I/O处理器204包含用于在服务器节点112和/或远程电子装置152之间交换数据的网络处理器。在另一实施例中,I/O处理器204包含多路复用器和其它逻辑,以用于根据例如可提供有多个vNIC的控制平面处理器(未示出)来执行到交换结构202的数据传送和始于交换结构202的数据传送。这时,I/O处理器204可充当用于将数据传输到(例如)在两个或两个以上服务器节点112之间或在服务器节点112与远程计算装置152之间的聚合装置200中和从该聚合装置200当中传输数据的暂存区。
图2是根据实施例的图1的聚合系统的包管理装置210的框图。包管理装置210包含映射表222、配置管理模块224、凭据处理引擎226、凭据验证模块228和轮转密钥选择器232。
映射表222包含在与聚合装置200通信的源服务器节点的MAC地址与聚合系统端口1-N之间的一组映射。映射表222可为软件应用程序的一部分,该软件应用程序跟踪并管理与聚合装置200通信的服务器节点112和/或其它装置的MAC地址以及这些服务器节点112和/或其它装置所在的端口。举例来说,参照图2,分别被指派给服务器节点212A和212B的MAC地址可各自与交换机端口1-N中的一个交换端口相关联,从而比起硬件密集型CAM表需要更少的处理。
配置管理模块224可检测关于MAC地址的配置变化。举例来说,配置管理模块224可检测装置已变更到聚合装置200处的不同端口的情况。这时,例如外部控制器的管理装置可用装置的MAC地址与该新端口之间的映射来更新映射表222。
凭据处理引擎226产生凭据,这些凭据可用于在聚合装置200与服务器节点112之间的交换中保护例如端口号等等的路由信息。这可以例如通过密封数据包的元件(例如,流标签和例如MAC地址的标头信息)的凭据来实现。凭据处理引擎226可逐个虚拟机或逐个端口地产生凭据。可通过主机驱动器124来维持凭据的高速缓存。可由凭据处理引擎226通过计算流标签和相关标头信息的单向散列(例如:{每端口种子、端口号、链路号、虚拟队列标签})来构建凭据。凭据处理引擎226可基于虚拟队列(VQ)标签、VLAN成员资格和/或当前有效密钥或者用于轮转凭据(以使得可不止一次使用凭据)的凭据的端口种子或轮转值来指派一个或多个凭据。
凭据验证模块228对照在聚合装置200的进入端口处所产生或重新计算的副本来认证流标签数据可验证与流标签一起接收的凭据。一旦凭据得到验证,便可将流标签内容用于将包路由到适当目的地虚拟队列218。
如本文中描述,可在聚合装置200处重复利用凭据。轮转密钥选择器232可按预定方式重复利用凭据,并可维持这些凭据的状态。这可以通过例如每VQ密钥(per-VQ key)的密钥来实现,轮转密钥选择器232周期性地轮转该密钥以防止或以别的方式降低未授权主机或其它窥探装置暗中破坏凭据的风险。
图3是根据实施例的用于管理网络环境中的数据交换的方法300的流程图。在描述方法300时,参照图1和图2的元件。
在块302处,创建流标签高速缓存映射。该流标签高速缓存映射可包含服务器节点MAC地址与聚合装置200处的装置端口之间的映射。举例来说,参照图1,高速缓存126处的流标签高速缓存映射可包含服务器节点112-1的MAC地址与聚合装置200的端口1之间的第一映射,以及服务器节点112-2的MAC地址与聚合装置的端口2之间的第二映射。流标签高速缓存映射可由在聚合装置200处所收集的关于MAC地址-端口映射(例如,耦合到聚合装置200的新装置)的数据填充。
在决策菱形304处,确定源节点驱动器(例如,服务器节点112-1的驱动器124)是否可识别目的地MAC地址(例如,目的地服务器节点112-2的MAC地址)与外出端口标识(ID)(例如,与目的地服务器112-2通信的端口2)之间的映射。如果源驱动器124确定目的地服务器节点112-2的MAC地址与聚合装置200处的和目的地服务器节点112-2通信的端口(即,端口2)之间的映射,那么方法300进入块312,其中聚合装置200根据目的地服务器节点112-2的端口ID(即,端口2)而不是目的地MAC地址来处理从源服务器节点112-1发送到目的地服务器节点112-2的包。
如果源驱动器124没有识别目的地服务器节点112-2的MAC地址与目的地端口(即,端口2)之间的映射,那么方法300进入块306,其中目的地MAC地址被转发到包管理装置210。
在块308处,包管理装置210可将对应于接收到的目的地MAC地址的端口号或相关标识符发送到源服务器节点112-1。端口号优选地是关于具有目的地MAC地址的目的地服务器节点112-2进行通信所在的外出端口。端口号或相关标识符可为在包管理装置处产生的流标签的一部分,该流标签响应于请求而发送到源服务器节点112-1。流标签可存储在流标签高速缓存126处。
在块310处,源服务器节点112-1将包含流标签的数据包输出到聚合装置200以路由到其目的地。数据包可为以太网包等等。
在块312处,聚合装置200根据目的地服务器节点112-2的端口号或相关标识符(即,端口2)来处理从源服务器节点112-1发送到目的地服务器节点112-2的数据包。由于路由是根据端口号进行的,所以比起其中根据MAC地址来进行路由的配置需要更少的处理。
图4是根据另一实施例的用于管理电子通信环境中的数据交换的方法400的流程图。在描述方法400时,参照图1到图3的元件。
在块402处,检测配置变化。配置变化可包含服务器节点112变更到不同端口。服务器节点112或外部装置152可被重新配置有不同MAC地址,或MAC地址可重定位到不同服务器节点112或外部装置152。这时,源服务器节点112-1处的高速缓存126可具有涉及被映射到聚合装置200的端口2的MAC地址的条目。但是,聚合装置200(更明确来说包管理装置210的配置管理器228)可检测到不同MAC地址与端口2通信或存储在高速缓存126处的MAC地址已变更到不同MAC地址。在另一示例中,聚合装置200检测到服务器节点112处的虚拟机被指派了不同MAC地址。
在块404处,包管理装置210将请求发送到源服务器节点112-1。该请求可包含向源服务器节点112-1指示目的地MAC地址与端口2的先前映射不再有效的无效请求。在另一实施例中,该请求包含对源服务器节点112-1的更新请求。源服务器节点112-1擦除流标签高速缓存126中的先前映射信息并处理新的映射信息。因此,可由包管理装置210发送使流标签高速缓存126处的先前映射无效的请求,或备选地,可将指示符发送到源服务器节点112-1以执行映射的无效化和随后更新。
在块406处,更新流标签高速缓存126以包含反映在块402处检测到的配置变化的MAC地址-端口映射信息。该MAC地址-端口映射信息是从包管理装置210的映射表222提供的。
图5是根据实施例的用于验证包数据的方法500的流程图。在描述方法500时,参照图1到图4的元件。可应用方法500来解决安全性相关问题(举例来说,例如虚拟化服务器节点的来宾驱动器中的MAC地址的路由信息可被获取以用于欺骗或易于用于其它未授权或非法用途的问题),例如以防止他人规避访问服务器节点来获取数据。
在块502处,源服务器节点112-1可将路由请求消息发送到聚合装置200。该路由请求消息可包含针对目的地MAC地址或其它路由数据的请求。
在块504处,聚合装置200的包管理装置210可响应于块502处所做的请求发送路由数据。在实施例中,聚合装置200根据映射表222处的映射信息与流标签一起发送凭据而不是发送所请求的目的地MAC地址。
聚合装置200还可以将凭据和/或例如VLAN成员资格数据的其他信息与路由数据一起发送到进行请求的源服务器节点112-1。可由凭据处理引擎226创建凭据。可通过计算流标签数据和/或包标头信息的单向散列(例如,每端口种子、端口号、链路号、虚拟队列标识符或标签,和/或可如下文所述用于重复利用凭据的产生标识)来构建凭据。在实施例中,针对服务器节点112的每个虚拟机创建凭据。在另一实施例中,针对服务器节点112或其它电子装置所耦合的每个端口1-N来创建凭据。凭据处理引擎226可基于下文关于图7所描述的虚拟队列标签、源的VLAN成员资格和/或当前有效密钥来指派凭据。
在块506处,服务器节点112传输包含流标签的包或相关数据单元。流标签可包含关于目的地端口的数据、VLAN数据和/或例如本文中描述的其它路由数据。流标签可包含在块504处所描述的由聚合装置200提供的凭据和/或产生标识或阶段标识(phase identification)。具备该流标签的包可为以太网包等等。
在块508处,包管理装置210验证与流标签一起接收的凭据。凭据验证模块228可对照在进入端口处产生的副本(例如通过重新计算凭据,例如,执行单向散列)来验证接收到的凭据。在实施例中,凭据验证模块228与聚合装置200处的一个或多个虚拟队列通信,这(这些)虚拟队列允许来宾将指向数据缓冲器的描述符发送到服务器节点112,并允许服务器节点112将描述符释放回到来宾以供再使用。这时,可与进行请求的服务器节点虚拟机的NIC建立流路径以经由聚合装置200来移动流标签和包。
在块510处,一旦完成验证,便可将例如聚合装置外出端口号的流标签内容用于将包路由到其目的地。包可被路由到聚合装置200处的目的地虚拟队列218例如以达成数据缓冲。在其它实施例中,包被直接路由到外出端口1-N以输出到目的地服务器节点112或远程装置。
图6是根据实施例的说明从服务器节点112输出到聚合装置200的包600的内容的图。
数据单元600可为包、帧、信元等等。数据单元600包含流标签602、标头604和数据有效负载606。流标签602可与根据本文中的实施例所描述的那些流标签相同或相似。标头604可为以太网标头等等,且可包含前同步码、源MAC地址、目的地MAC地址、VLAN ID和/或以太网类型字段。
流标签602可包含端口ID字段、凭据字段和/或产生ID字段。端口ID字段可包含目的地端口号。端口ID字段中的端口号可用于将网络包604路由到目的地装置。凭据字段可包含凭据,该凭据是由聚合装置200产生并在例如根据本文中描述的方法所进行的数据交换期间被提供到服务器节点112-1。
产生ID字段可包含产生标识或端口种子,该产生标识或端口种子可用于防止窥探者随时间的过去收集会削弱散列的信息。产生ID准许聚合装置200维持所产生的凭据的状态,且准许例如通过跟踪凭据来周期性地重复利用这些凭据。
图7是根据实施例的说明包验证流程的详细框图。在描述包验证流程时,参照图1到图6的元件,特别是参照在图5的块508处所描述的凭据验证步骤。
服务器节点112将包702等等传输到聚合装置200。包702包含流标签712、以太网标头714和有效负载716。流标签712可与图6处所描述的流标签602相似。在其它实施例中,如图7中所示,流标签712包含密钥选择字段722、凭据字段724和VQ_DestTag字段726。
密钥选择字段722包含由轮转密钥选择器704用于选择有效加密密钥(密钥0、密钥1)的密钥选择值,该密钥选择值也被称为产生标识(ID)。可在产生凭据时使用所选择的加密密钥734,该凭据在验证过程期间与流标签712中的凭据724做比较。密钥(密钥0、密钥1)可存储在聚合装置200处,并且凭据处理引擎226可按预定方式(例如,每4秒)轮转这些密钥,以便降低例如窥探者的未授权方暗中破坏用于产生和验证凭据的机制的风险。
根据本文中描述的实施例,可产生凭据724并将其插入在流标签712中(例如,由凭据处理引擎226产生)。凭据724是由凭据验证模块228部分地通过凭据处理引擎226使用从传入的包702接收到的数据740(例如,以太网标头714的VLAN成员资格标识(VLAN_ID)730)重新计算凭据来验证的。
VQ_DestTag 726是关于虚拟队列,该虚拟队列识别用于接收包数据的目的地装置。可通过解码MMIO邮箱写地址和关于将包数据存储在聚合装置200处的缓冲器等等中以由目的地装置接收的数据来创建VQ_DestTag 726。
以太网标头714可包含为本领域普通技术人员所熟知的一个或多个字段,例如,前同步码、源MAC地址、目的地MAC地址、VLANID和以太网类型字段。
在包验证操作期间,凭据验证模块228产生与包702的凭据724做比较的凭据。VQ_DestTag 726和以太网标头714的VLAN ID可与VQ_SrcTag和从轮转密钥选择器232输出的密钥(密钥0、密钥1)组合以产生凭据,该凭据可与接收到的流标签702中的凭据724做比较以产生验证结果。如果验证失败,那么可将包丢掉,并可创建该结果的日志。如果验证通过,那么包处理器可处理接收到的数据。
如本领域技术人员将了解,本发明的方面可体现为系统、方法或计算机程序产品。因此,本发明的方面可采用完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合在本文中可全部被通称为“电路”、“模块”或“系统”的软件与硬件方面的实施例的形式。此外,本发明的方面可采用体现于一或多个计算机可读介质中的计算机程序产品的形式,这(这些)计算机可读介质上体现有计算机可读程序代码。
可利用一个或多个计算机可读介质的任何组合。计算机可读介质可为计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可为例如(但不限于)电子、磁性、光学、电磁、红外线或半导体系统、设备或装置,或前述系统、设备或装置的任何合适组合。计算机可读存储介质的更多特定示例(非详尽性列表)将包含以下各项:具有一个或多个导线的电连接件、便携式计算机软磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存存储器)、光纤、便携式压缩光盘只读存储器(CD-ROM)、光学存储装置、磁性存储装置,或前述各者的任何合适组合。在这个文件的上下文中,计算机可读存储介质可为可含有或存储供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置而使用的程序的任何有形介质。
计算机可读信号介质可包含所传播的数据信号,该所传播之数据信号具有体现于其中(例如,在基带中或作为载波的一部分)的计算机可读程序代码。此传播信号可采用多种形式中的任何形式,这些形式包含(但不限于)电磁、光学或其任何合适组合。计算机可读信号介质可为不是计算机可读存储介质并可传达、传播或传送供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置使用的程序的任何计算机可读介质。可使用任何适当介质来传输体现于计算机可读介质上的程序代码,任何适当介质包含(但不限于)无线、有线线路、光纤缆线、RF等,或前述各者的任何合适组合。
可用一种或多种编程语言的任何组合来编写用于实施本发明的方面的操作的计算机程序代码,这(这些)编程语言包含例如Java、Smalltalk、C++等等的面向对象的编程语言和例如"C"编程语言或相似编程语言的常规程序性编程语言。程序代码可完全在用户计算机上执行、部分地在用户计算机上执行、作为独立软件包、部分地在用户计算机上且部分地在远程计算机上执行或完全在远程计算机或服务器上执行。在完全在远程计算机或服务器上执行的情况下,远程计算机可经由任何类型的网络而连接到用户计算机,任何类型的网络包含局域网(LAN)或广域网(WAN),或可连接到外部计算机(例如,使用因特网服务提供商经由因特网)。
本文中参照根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述了本发明的方面。应理解,流程图说明和/或框图的每个块以及流程图说明和/或框图中的块的组合可通过计算机程序指令来实施。可向通用计算机、专用计算机或其它可编程数据处理设备的处理器提供这些计算机程序指令以产生机器,使得经由计算机或其它可编程数据处理设备的处理器所执行的这些指令产生用于实施一个或多个流程图和/或框图块中指定的功能/动作的装置。
这些计算机程序指令还可存储在计算机可读介质中并可指导计算机、其它可编程数据处理设备或其它装置以特定方式起作用,使得存储在计算机可读介质中的指令产生包含指令的制品,这些指令实施一个或多个流程图和/或框图块中指定的功能/动作。还可将计算机程序指令加载到计算机、其它可编程数据处理设备或其它装置上以使得在计算机、其它可编程设备或其它装置上执行一系列操作步骤以产生计算机实施过程,进而使得在计算机或其他可编程设备上执行的指令提供用于实施一个或多个流程图和/或框图块中指定的功能/动作的过程。
图中的流程图和框图说明根据本发明的各种实施例的系统、方法和计算机程序产品的可能实施方案的架构、功能性和操作。在这方面,流程图或框图中的每个块可表示代码的模块、段或一部分,该代码模块、段或一部分包括用于实施指定的逻辑功能的一个或多个可执行指令。还应注意,在一些备选实施方案中,块中所注明的功能可不按图中注明的次序发生。举例来说,取决于所涉及的功能性,连续示出的两个块实际上可实质上同时执行,或这些块有时可按颠倒的次序执行。还应注意,框图和/或流程图说明的每个块以及框图和/或流程图说明中的块的组合可通过执行指定功能或动作的专用基于硬件的系统或者专用硬件与计算机指令的组合来实施。
虽然已参考特定实施例示出和描述了本发明,但本领域技术人员应理解,在不脱离本发明的精神和范围的情况下,可在其中进行形式和细节方面的各种变化。
Claims (31)
1.一种用于管理网络环境中的数据交换的方法,其包括:
将流标签传输到源装置,所述流标签包含对应于聚合装置处的端口的端口标识;
从所述源装置接收包含所述流标签的数据包;
在所述聚合装置处认证所述数据包;和
根据在所述已认证数据包的所述流标签中的所述端口标识来输出所述已认证数据包。
2.根据权利要求1所述的方法,其中所述已认证数据包被输出到与所述聚合装置处的所述端口通信的目的地装置,且其中所述端口标识被映射到所述目的地装置的MAC地址。
3.根据权利要求1所述的方法,其中所述源装置包含服务器节点。
4.根据权利要求1所述的方法,其还包括:
将针对所述端口标识的请求从所述源装置发送到所述聚合装置,所述请求包含目的地装置的MAC地址;
由所述聚合装置根据所述聚合装置处的映射表条目将所述端口标识发送到所述源装置,所述映射表条目使所述接收到的MAC地址与所述端口标识相关联。
5.根据权利要求4所述的方法,其还包括:
在所述聚合装置处产生所述流标签;
将包含所述端口标识的所述流标签转发到所述源装置;
将所述流标签存储在所述源装置处。
6.根据权利要求1所述的方法,其还包括:
检测配置变化;
将请求从所述聚合装置发送到所述源装置,所述请求包含关于所述配置变化的数据;和
响应于包含关于所述配置变化的所述数据的所述请求来更新流标签高速缓存。
7.根据权利要求1所述的方法,其中验证所述流标签包括:
将路由请求消息从所述源装置发送到所述聚合装置;
从所述聚合装置接收密封所述流标签的凭据;
将所述流标签和所述数据包从所述源装置传输到所述聚合装置,所述流标签包含路由数据和所述凭据;和
在所述聚合装置处验证所述凭据。
8.根据权利要求7所述的方法,其中所述流标签包括产生ID,所述产生ID对应于在所述聚合装置处产生的多个凭据当中的所述凭据。
9.根据权利要求7所述的方法,其中验证所述凭据包括:
在所述聚合装置处产生所述凭据;
将从所述源装置发送的所述凭据与在所述聚合装置处重新计算的凭据做比较;和
响应于比较结果来处理所述数据包。
10.根据权利要求9所述的方法,其还包括:
响应于确定从所述源装置发送的所述凭据是无效的,丢弃所述数据包并创建所述验证结果的日志。
11.根据权利要求9所述的方法,其还包括:
提供来自所述聚合装置处的轮转密钥选择器的密钥;和
使用所述密钥以从所述聚合装置处的多个已产生凭据中选择所述凭据。
12.根据权利要求1所述的方法,其还包括:
维持所述源装置处的流标签高速缓存,所述流标签高速缓存包含流标签,所述流标签包含关于装置MAC地址与端口标识之间的映射的信息。
13.一种用于处理数据包的方法,其包括:
在源装置处接收在聚合装置处产生的流标签和凭据,所述流标签包含路由数据;和
将包含所述流标签和对应的数据单元的数据包从所述源装置输出到聚合装置。
14.根据权利要求13所述的方法,其中所述流标签中的所述路由数据包含聚合装置端口标识,所述聚合装置端口标识对应于目的地装置的MAC地址。
15.根据权利要求13所述的方法,其中所述流标签包括产生ID,所述产生ID对应于在所述聚合装置处产生的多个凭据当中的所述凭据。
16.根据权利要求13所述的方法,其还包括:
响应于确定从所述源装置发送的所述凭据的无效性,创建验证结果的日志。
17.根据权利要求13所述的方法,其还包括:
提供来自所述聚合装置处的轮转密钥选择器的密钥;和
使用所述密钥以从所述聚合装置处的多个已产生凭据中选择所述凭据。
18.根据权利要求13所述的方法,其还包括:
通过在所述聚合装置处验证所述凭据来认证所述数据包;
响应于验证所述凭据而根据所述流标签中的所述路由数据来处理所述数据单元。
18.一种数据网络,其包括:
源装置,其在数据传送操作中将流标签指派给数据包;
目的地装置,其在所述数据传送操作中接收所述数据包;和
聚合装置,其具有第一端口和第二端口,所述源装置与所述第一端口通信且所述目的地装置与所述第二端口通信,其中所述聚合装置包含包管理装置,所述包管理装置处理所述流标签中的路由数据并验证密封所述流标签的凭据,所述流标签中的所述路由数据包含对应于所述第二端口的端口标识,且其中所述聚合装置根据所述流标签中的所述端口标识将所述数据包从所述源装置传送到所述目的地装置。
19.根据权利要求18所述的数据网络,其中所述源装置包括包含多个条目的流标签高速缓存,第一条目包含所述源装置的MAC地址与对应于所述第一端口的端口标识之间的映射;和第二条目包含所述目的地装置的MAC地址与对应于所述第二端口的所述端口标识之间的映射。
20.根据权利要求18所述的数据网络,其中所述包管理装置包括映射表,所述映射表响应于从所述源装置发送的请求来提供所述目的地装置的所述MAC地址与对应于所述第二端口的所述端口标识之间的所述映射。
21.根据权利要求20所述的数据网络,其中所述包管理装置包括检测端口配置变化的配置管理模块,且其中响应于所述端口配置变化来更新所述映射表。
22.根据权利要求18所述的数据网络,其中所述包管理装置包括产生所述凭据的凭据处理引擎。
23.根据权利要求22所述的数据网络,其中所述包管理装置包括凭据验证模块,所述凭据验证模块验证从所述源装置接收的所述凭据。
24.根据权利要求22所述的数据网络,其中所述包管理装置包括轮转密钥选择器,所述轮转密钥选择器提供用于从多个凭据中选择所述凭据的密钥。
25.一种聚合装置,其包括:
与源装置通信的第一端口;
与目的地装置通信的第二端口;和
包括映射表的包管理装置,所述映射表包含所述第一端口与所述源装置之间的第一映射和所述第二端口与所述目的地装置之间的第二映射,其中所述包管理装置从所述源装置接收数据单元并根据与所述数据单元一起提供的关于所述第二端口的信息将所述数据路由到所述目的地装置。
26.根据权利要求25所述的聚合装置,其中所述包管理装置包括检测端口配置变化的配置管理模块,且其中响应于所述端口配置变化来更新所述映射表。
27.根据权利要求26所述的聚合装置,其中所述包管理装置包括凭据处理引擎,所述凭据处理引擎产生用于认证所述单元的凭据。
28.根据权利要求27所述的聚合装置,其中所述包管理装置包括凭据验证模块,所述凭据验证模块使用所述已产生凭据来验证与所述流标签一起从所述源装置接收的凭据。
29.根据权利要求27所述的聚合装置,其中所述包管理装置包括轮转密钥选择器,所述轮转密钥选择器提供用于产生所述凭据的密钥。
30.一种计算机程序产品,其包括:
计算机可读存储介质,其中体现有计算机可读程序代码,所述计算机可读程序代码包括:
经配置以在源装置处将流标签指派给数据包的计算机可读程序代码,所述流标签包含对应于聚合装置处的端口的端口标识,其中目的地装置与所述聚合装置处的所述端口通信;
经配置以在所述聚合装置处认证所述数据包的计算机可读程序代码;和
经配置以根据在所述已认证数据包的所述流标签中的所述端口标识经由所述聚合装置将所述数据包从所述源装置输出到所述目的地装置的计算机可读程序代码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/675,401 | 2012-11-13 | ||
| US13/675,401 US8875256B2 (en) | 2012-11-13 | 2012-11-13 | Data flow processing in a network environment |
| PCT/US2013/069572 WO2014078271A1 (en) | 2012-11-13 | 2013-11-12 | Method and device for data flow processing |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104769912A true CN104769912A (zh) | 2015-07-08 |
| CN104769912B CN104769912B (zh) | 2018-10-02 |
Family
ID=49679637
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380057816.1A Active CN104769912B (zh) | 2012-11-13 | 2013-11-12 | 用于数据流处理的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8875256B2 (zh) |
| EP (1) | EP2920940B1 (zh) |
| JP (1) | JP2016502795A (zh) |
| KR (1) | KR101688984B1 (zh) |
| CN (1) | CN104769912B (zh) |
| WO (1) | WO2014078271A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110691074A (zh) * | 2019-09-20 | 2020-01-14 | 西安瑞思凯微电子科技有限公司 | 一种IPv6数据加密方法、IPv6数据解密方法 |
| CN113312656A (zh) * | 2021-07-29 | 2021-08-27 | 阿里云计算有限公司 | 数据轮转方法、装置、设备及系统 |
| CN113382024A (zh) * | 2021-08-12 | 2021-09-10 | 阿里云计算有限公司 | 凭据的轮转方法、计算设备及存储介质 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374305B2 (en) * | 2013-10-24 | 2016-06-21 | Dell Products L.P. | Packet transfer system |
| US9672512B1 (en) | 2014-01-02 | 2017-06-06 | Sprint Communications Company L.P. | Processor routing number for mobile communication service provider billing |
| WO2016209426A1 (en) * | 2015-06-26 | 2016-12-29 | Mcafee, Inc. | Systems and methods for routing data using software-defined networks |
| US10187218B2 (en) * | 2015-09-15 | 2019-01-22 | Google Llc | Systems and methods for processing packets in a computer network |
| US9606959B1 (en) | 2015-11-12 | 2017-03-28 | International Business Machines Corporation | Indicating a sending buffer and receiving buffer in a message to use to validate the message in the receiving buffer |
| US10454930B2 (en) | 2017-07-14 | 2019-10-22 | EMC IP Holding Company LLC | System and method for local data IP based network security for preventing data breach attempts in a multi-tenant protection storage deployment |
| US10146953B1 (en) * | 2017-07-14 | 2018-12-04 | EMC IP Holding Company LLC | System and method for physical data packets isolation for different tenants in a multi-tenant protection storage environment |
| US20190109789A1 (en) * | 2018-12-06 | 2019-04-11 | Intel Corporation | Infrastructure and components to provide a reduced latency network with checkpoints |
| US11477048B2 (en) * | 2021-01-15 | 2022-10-18 | BlackBear (Taiwan) Industrial Networking Security Ltd. | Communication method for one-way transmission based on VLAN ID and switch device using the same |
| KR102345866B1 (ko) * | 2021-05-13 | 2022-01-03 | 주식회사 엠엘소프트 | 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법 |
| KR102309116B1 (ko) * | 2021-09-07 | 2021-10-08 | 프라이빗테크놀로지 주식회사 | 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6823453B1 (en) * | 2000-10-06 | 2004-11-23 | Hewlett-Packard Development Company, L.P. | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks |
| CN1759574A (zh) * | 2003-01-27 | 2006-04-12 | Raza微电子公司 | 在异构网络中分类和重定向数据分组的方法和设备 |
| US20120284712A1 (en) * | 2011-05-04 | 2012-11-08 | Chitti Nimmagadda | Systems and methods for sr-iov pass-thru via an intermediary device |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5291482A (en) | 1992-07-24 | 1994-03-01 | At&T Bell Laboratories | High bandwidth packet switch |
| JP2570963B2 (ja) * | 1993-05-31 | 1997-01-16 | 日本電気株式会社 | パケット網における中継経路情報を用いたシグナリング方式 |
| US6031842A (en) | 1996-09-11 | 2000-02-29 | Mcdata Corporation | Low latency shared memory switch architecture |
| US6370605B1 (en) | 1999-03-04 | 2002-04-09 | Sun Microsystems, Inc. | Switch based scalable performance storage architecture |
| US6850987B1 (en) | 1999-06-01 | 2005-02-01 | Fastforward Networks, Inc. | System for multipoint infrastructure transport in a computer network |
| US6785892B1 (en) | 2000-06-23 | 2004-08-31 | Unisys | Communications between partitioned host processors and management processor |
| US6754785B2 (en) | 2000-12-01 | 2004-06-22 | Yan Chiew Chow | Switched multi-channel network interfaces and real-time streaming backup |
| US6795886B1 (en) | 2000-12-22 | 2004-09-21 | Ncr Corporation | Interconnect switch method and apparatus |
| US7154885B2 (en) | 2001-12-31 | 2006-12-26 | Stmicroelectronics Ltd. | Apparatus for switching data in high-speed networks and method of operation |
| US7421532B2 (en) | 2003-11-18 | 2008-09-02 | Topside Research, Llc | Switching with transparent and non-transparent ports |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US8095600B2 (en) | 2004-10-22 | 2012-01-10 | Microsoft Corporation | Inter-proximity communication within a rendezvous federation |
| US7694167B2 (en) | 2004-10-22 | 2010-04-06 | Microsoft Corporation | Maintaining routing consistency within a rendezvous federation |
| US7480303B1 (en) | 2005-05-16 | 2009-01-20 | Pericom Semiconductor Corp. | Pseudo-ethernet switch without ethernet media-access-controllers (MAC's) that copies ethernet context registers between PCI-express ports |
| US7568074B1 (en) | 2005-10-25 | 2009-07-28 | Xilinx, Inc. | Time based data storage for shared network memory switch |
| EP1977571A2 (en) | 2006-01-12 | 2008-10-08 | Broadcom Israel R&D | Method and system for protocol offload and direct i/o with i/o sharing in a virtualized network environment |
| US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| JP2007328461A (ja) | 2006-06-06 | 2007-12-20 | Matsushita Electric Ind Co Ltd | 非対称マルチプロセッサ |
| WO2007144702A1 (en) | 2006-06-13 | 2007-12-21 | Freescale Semiconductor, Inc. | Method for processing information fragments and a device having information fragment processing capabilities |
| US8140719B2 (en) | 2007-06-21 | 2012-03-20 | Sea Micro, Inc. | Dis-aggregated and distributed data-center architecture using a direct interconnect fabric |
| US7925802B2 (en) | 2007-06-21 | 2011-04-12 | Seamicro Corp. | Hardware-based virtualization of BIOS, disks, network-interfaces, and consoles using a direct interconnect fabric |
| US9239666B2 (en) | 2007-09-12 | 2016-01-19 | Citrix Systems, Inc. | Methods and systems for maintaining desktop environments providing integrated access to remote and local resources |
| JP5096905B2 (ja) | 2007-12-20 | 2012-12-12 | 株式会社日立製作所 | サーバ装置及びそのリンク回復処理方法 |
| US8249072B2 (en) | 2009-03-12 | 2012-08-21 | Oracle America, Inc. | Scalable interface for connecting multiple computer systems which performs parallel MPI header matching |
| WO2010002411A1 (en) | 2008-07-03 | 2010-01-07 | Hewlett-Packard Development Company, L.P. | Memory server |
| KR101539297B1 (ko) | 2009-01-05 | 2015-07-24 | 삼성전자주식회사 | 반도체 장치, 이를 포함하는 반도체 시스템, 및 반도체 장치의 전압 공급방법 |
| US8732258B2 (en) * | 2009-03-20 | 2014-05-20 | Oracle America, Inc. | Method and system for transporting telemetry data across a network |
| US7913027B2 (en) | 2009-04-07 | 2011-03-22 | Lsi Corporation | Configurable storage array controller |
| US8352669B2 (en) | 2009-04-27 | 2013-01-08 | Lsi Corporation | Buffered crossbar switch system |
| EP2441217A1 (en) * | 2009-06-09 | 2012-04-18 | Telefonaktiebolaget LM Ericsson (publ) | Packet routing in a network |
| TW201115458A (en) | 2009-10-29 | 2011-05-01 | Ralink Technology Corp | Buffer space allocation method and related packet switch |
| US8463934B2 (en) | 2009-11-05 | 2013-06-11 | Rj Intellectual Properties, Llc | Unified system area network and switch |
| AU2011228096B2 (en) * | 2010-03-17 | 2015-12-03 | Nec Corporation | Communication system, node, control server, communication method and program |
| JP2011234063A (ja) * | 2010-04-27 | 2011-11-17 | Fujitsu Ltd | 中継装置、及び、転送方法 |
| KR101509145B1 (ko) | 2011-03-03 | 2015-04-07 | 가부시키가이샤 무라타 세이사쿠쇼 | 적층 세라믹 콘덴서 |
| US8989009B2 (en) * | 2011-04-29 | 2015-03-24 | Futurewei Technologies, Inc. | Port and priority based flow control mechanism for lossless ethernet |
| US8490113B2 (en) | 2011-06-24 | 2013-07-16 | International Business Machines Corporation | Messaging in a parallel computer using remote direct memory access (‘RDMA’) |
| US9137173B2 (en) | 2012-06-19 | 2015-09-15 | Advanced Micro Devices, Inc. | Devices and methods for interconnecting server nodes |
| US8930595B2 (en) | 2012-06-21 | 2015-01-06 | Advanced Micro Devices, Inc. | Memory switch for interconnecting server nodes |
-
2012
- 2012-11-13 US US13/675,401 patent/US8875256B2/en active Active
-
2013
- 2013-11-12 CN CN201380057816.1A patent/CN104769912B/zh active Active
- 2013-11-12 WO PCT/US2013/069572 patent/WO2014078271A1/en active Application Filing
- 2013-11-12 EP EP13798469.6A patent/EP2920940B1/en active Active
- 2013-11-12 KR KR1020157011759A patent/KR101688984B1/ko active IP Right Grant
- 2013-11-12 JP JP2015541998A patent/JP2016502795A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6823453B1 (en) * | 2000-10-06 | 2004-11-23 | Hewlett-Packard Development Company, L.P. | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks |
| CN1759574A (zh) * | 2003-01-27 | 2006-04-12 | Raza微电子公司 | 在异构网络中分类和重定向数据分组的方法和设备 |
| US20120284712A1 (en) * | 2011-05-04 | 2012-11-08 | Chitti Nimmagadda | Systems and methods for sr-iov pass-thru via an intermediary device |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110691074A (zh) * | 2019-09-20 | 2020-01-14 | 西安瑞思凯微电子科技有限公司 | 一种IPv6数据加密方法、IPv6数据解密方法 |
| CN113312656A (zh) * | 2021-07-29 | 2021-08-27 | 阿里云计算有限公司 | 数据轮转方法、装置、设备及系统 |
| WO2023005804A1 (zh) * | 2021-07-29 | 2023-02-02 | 阿里云计算有限公司 | 数据轮转方法、装置、设备及系统 |
| CN113382024A (zh) * | 2021-08-12 | 2021-09-10 | 阿里云计算有限公司 | 凭据的轮转方法、计算设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2920940B1 (en) | 2018-12-26 |
| CN104769912B (zh) | 2018-10-02 |
| KR20150082282A (ko) | 2015-07-15 |
| EP2920940A1 (en) | 2015-09-23 |
| JP2016502795A (ja) | 2016-01-28 |
| KR101688984B1 (ko) | 2016-12-22 |
| WO2014078271A1 (en) | 2014-05-22 |
| US8875256B2 (en) | 2014-10-28 |
| US20140137215A1 (en) | 2014-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104769912A (zh) | 用于数据流处理的方法和装置 | |
| US10949379B2 (en) | Network traffic routing in distributed computing systems | |
| CN104685500B (zh) | 在覆盖网络中应用安全性策略的方法和系统 | |
| CN104685507B (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
| US20190124096A1 (en) | Channel data encapsulation system and method for use with client-server data channels | |
| US10171362B1 (en) | System and method for minimizing disruption from failed service nodes | |
| US8856518B2 (en) | Secure and efficient offloading of network policies to network interface cards | |
| US10749805B2 (en) | Statistical collection in a network switch natively configured as a load balancer | |
| CN108293021A (zh) | 边缘网关处的动态数据通路 | |
| US20180287942A1 (en) | Forwarding Data Packets | |
| US10091112B1 (en) | Highly-scalable virtual IP addresses in a load balancing switch | |
| US20220353339A1 (en) | Efficient flow management utilizing control packets | |
| US20210328977A1 (en) | Authentication for logical overlay network traffic | |
| CN103812777B (zh) | 覆盖虚拟化网络中的高效数据传输方法和系统 | |
| US20190289035A1 (en) | Identifying communication paths between servers for securing network communications | |
| US20200021528A1 (en) | Tcam-based load balancing on a switch | |
| US20220345422A1 (en) | Adjustable bit mask for high-speed native load balancing on a switch | |
| US20200351286A1 (en) | Configuring an island virtual switch for provisioning of network security services | |
| CN105991438A (zh) | 基于虚拟二层网络中数据包的处理方法和装置 | |
| US9219696B2 (en) | Increased efficiency of data payloads to data arrays accessed through registers in a distributed virtual bridge | |
| US20140068088A1 (en) | Systems and methods for processing media access control (mac) addresses | |
| WO2023107191A1 (en) | Secure encrypted communication mechanism | |
| US9985894B1 (en) | Exclude filter for load balancing switch | |
| US11722525B2 (en) | IPsec processing of packets in SoCs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |