CN1606294A - 改进的用于路由器的访问控制列表机制 - Google Patents
改进的用于路由器的访问控制列表机制 Download PDFInfo
- Publication number
- CN1606294A CN1606294A CNA2004100959096A CN200410095909A CN1606294A CN 1606294 A CN1606294 A CN 1606294A CN A2004100959096 A CNA2004100959096 A CN A2004100959096A CN 200410095909 A CN200410095909 A CN 200410095909A CN 1606294 A CN1606294 A CN 1606294A
- Authority
- CN
- China
- Prior art keywords
- rule
- interface
- group
- packet
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/60—Router architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
提供了一种用于维护数据分组路由器中线路卡上TCAM内的访问控制列表(ACL)的方法和设备,将规则应用于进入的数据分组。每个接口可以与多个ACL相关,多个接口可以与单个共享ACL相关。共享ACL包括可应用于超过一个接口的规则。其他ACL是特定用于特定接口的。当查找规则以应用于进入的数据分组时,滤波器查找与数据分组到达的接口相关的特定ACL和共享ACL。利用共享ACL,减少了共有规则的复制,从而减少存储在线路卡上的规则的总数,并节省了存储器存储空间。本发明还适用于除了ACL的规则组。
Description
技术领域
本发明涉及通信系统中的路由器接口,尤其涉及与这种接口相关的访问控制列表。
背景技术
通信系统中的网际路由器在线路卡上的接口接收网际协议(IP)分组。一个路由器包括许多线路卡,每一个线路卡可以有多个接口。典型地,每一个接口都有一个存储在三态内容寻址存储器(TCAM)内的线路卡上的相关访问控制列表(ACL)。ACL是一组应用于IP分组的规则,以便过滤不想要的分组,或者执行其他有关分组的操作,诸如计数或者复制。每个规则包括一个密钥和一个操作。当一个IP分组经由一个接口到达时,路由器从该分组中提取特定字段,以形成一个密钥,并且查找与接口相关的ACL以获得具有匹配密钥的规则。如果找到规则,则滤波器将与该规则相关的操作应用到该分组。
接口可以有相同的规则组。一些路由器利用这一点来简化配置和故障诊断,并且提高稳定性。规则组可在ACL之间复制。然而,一旦ACL被装载入TCAM,每个接口的每个ACL的每个规则就分别被存储和访问。因此,没有节省TCAM存储空间。其他的路由器有一定改进,是在两个或者多个接口之间共享一个单独的ACL。虽然这有些减少所需TCAM存储空间量,但这也只在接口共有所有规则的情况下才是可能的。
TCAM存储容量的提高没有访问速率的提高发展得快。由于与TCAM相关的空间和功率限制以及TCAM的成本,因此将每个线路卡上的TCAM的数量和尺寸保持在最小值是更好的。在一些情况下,这可能是困难的,因为路由器通常支持数百个接口以及数百个ACL,需要大的TCAM存储空间。最小化存储的规则总数的线路接口卡允许使用更少或者更小的TCAM,从而节省了空间和功率。可选择地,对于相同的空间和功率使用,这种卡能够支持更多的规则。
发明内容
根据本发明的一个方面,提供了一种方法,用于确定在数据分组路由器的第一接口到达的数据分组上应用的规则。至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享规则组。确定所述数据分组的密钥。查找所述至少两组规则,以获得至少一个匹配所述密钥的规则。
根据本发明的另一个方面,提供了一种方法,用于在数据分组路由器中提供安全,其中在所述数据分组路由器,数据分组到达第一接口。至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享规则组,所述至少两组规则中的每一个规则都有一个相关的操作。确定所述数据分组的密钥。查找所述至少两组规则,以获得至少一个匹配所述密钥的规则。如果找到至少一个匹配所述密钥的规则,则将与所述至少一个规则的每一个规则相关的操作应用到所述数据分组。
提供一种用于实现本发明方法的线路卡。本发明的方法还可以作为指令存储在计算机可读介质中。
本发明的方法和线路接口卡允许在接口之间共享规则,同时还允许使用单个接口卡的特定规则。通过在接口之间共享规则而不仅是复制规则,节省了存储器的存储空间(如TCAM),从而减少了线路卡的成本和功率消耗。
附图说明
通过以下结合附图的优选实施例的详细描述,本发明的特征和优点将变得更加清楚,其中:
图1是根据本发明的一个实施例的路由器的框图;
图2是图1中接口卡和ACL之间的关系举例的框图;
图3是根据本发明的一个实施例的方法流程图,其中图1的滤波器采用该方法访问ACL内的规则。
应当注意到,在附图中,同样的特征具省相同的标记。
具体实施方式
参考图1,图中示出了根据本发明的优选实施例的路由器10。路由器10包括线路卡12。线路卡12包括四个网际协议(IP)分组可到达的接口14,16,18和20。线路卡12还包括三态内容寻址存储器(TCAM)24。该TCAM存储多个访问控制列表(ACL)。至少一个ACL是特定ACL 26,至少一个ACL是共享ACL 28。每个接口与至少一个ACL相关,如下所述。
线路卡12还包括滤波器34。对于每个IP分组,滤波器34从IP分组包头中提取特定字段以构造密钥,在与IP分组到达的接口相关的ACL中查找与从IP分组中获得的密钥相对应的规则,并执行与任何找到的规则相关的操作。滤波器34包括用于定位和应用与收到的IP分组对应的规则的指令,并且优选地,指令采用在处理器上运行的软件的形式。更一般地,滤波器可以包括采用处理器内的软件或者硬件的任意组合形式的指令,该处理器包括集成电路内的硬件。处理器不需要是单个设备,但是指令最好位于多于一个的设备上。如果采用软件的形式,指令可以存储在计算机可读介质上。
每个特定ACL 26与单独一个接口相关,并且每个接口可以与对应的特定ACL相关。每个特定ACL包括其对应的接口特有的规则。这些规则可以包括相关的操作,诸如分组拒绝,分组接受,分组计数和分组复制。每个共享ACL 28与至少两个接口相关,并且每个接口与至少一个共享ACL相关。每个共享ACL 28包括一些或者所有接口共有的规则。参考图2,示出了接口和ACL之间的关系举例。每个接口具有一个相关的特定ACL 26。两个接口14和16与一个共享ACL 28a相关,并且所有四个接口与一个共享ACL 28b相关。每个特定ACL 26包括可以应用于在对应接口到达的IP分组的规则。共享ACL 28a包括可以应用于在相关的两个接口14和16中的任意一个到达的IP分组的规则。共享ACL 28b包括可以应用于在任意一个接口到达的IP分组的规则。
典型地,由于多数接口具有的与至少一个其他接口共有的规则比特定用于该接口的规则多,因此可以实现TCAM存储量的有效节省,也能实现扩大缩放(scaling)效益。例如,考虑每个接口75个和其他接口共有的规则,并有25个特定用于该接口的规则的情况,并且假定有100个接口。如果每个接口有自己唯一的ACL,则必须提供可存储100个具有100个规则的表,或者10000个规则的TCAM存储量。通过利用共享ACL,并且通过允许用于一个接口的规则可以存储在超过一个的ACL中,TCAM存储量可以为只有一个具有75个规则的表和100个具有25个规则的表,或者全部2575个规则。
返回图1,路由器10还包括多个其他的线路卡36,其细节在图1中未示出。每一个线路卡36都类似于线路卡12,包括多个接口,滤波器,TCAM和多个ACL,尽管线路卡之间的ACL的数量可以不同。
参考图3,图中示出了根据本发明的一个实施例的恢复和应用用于IP分组的规则的方法。在步骤50,一个IP分组到达接口14,16,18和20中的一个。该IP分组具有IP包头和传输控制协议(TCP)报头。在步骤52,滤波器34从IP分组的IP包头和TCP报头内的信息中确定用于该分组的密钥。密钥可以从诸如IP源地址,IP目的地址,ICMP类型/代码,协议数量,TCP/UDP源端口以及TCP/UDP目的端口这样的信息中确定。
滤波器34包括接口查询表,用于确定哪个ACL或者哪些ACL将被查找。在步骤54,滤波器34在与接口相关的ACL内查找匹配该密钥的规则。如果在步骤56找到一个规则,则在步骤58,滤波器将与该规则相关的操作应用到该IP分组。这样的操作例子包括分组拒绝,接受分组,计数分组和复制分组。典型地,有至少两个与该接口相关的ACL,尽管在线路卡上可以有多个只与一个ACL相关的接口。如果在步骤56没有找到一个规则,或者如果找到规则,而一旦与该规则相关的操作已经在步骤58被应用了,那么在步骤60,滤波器34确定是否存在另一个与该接口相关的ACL。如果在步骤60,滤波器34确定另一个与该接口相关的ACL存在,则返回步骤54,滤波器34在该ACL内查找匹配该密钥的规则。如果在步骤60,滤波器34确定另一个与该接口相关的ACL不存在,则滤波器已经完成了查找与接口相关的规则的工作。
滤波器34可以以任意顺序查找与一个接口相关的ACL。然而,在优选实施例中,滤波器保持每个接口的优先顺序不变。该优先顺序可以由用户来配置。
不是每一个共享规则都需要存储在共享ACL中,可以在不同的特定ACL上有规则的副本。然而,这将增加使用的TCAM存储量。为了最小化所需的TCAM存储量,每个共享规则应当存储在共享ACL中。
线路卡12可以具有多个TCAM,每个TCAM都包括至少一个ACL。
本发明已经就具有四个接口,一个TCAM,两个特定ACL和四个共享ACL的线路卡进行了描述。更一般地,线路卡具有多个接口和至少两个ACL,其中至少一个ACL是共享ACL。共享ACL或者包括在所有接口之间共享的规则,或者包括仅在接口的一个子集之间共享的规则。接口可以与任何数量的共享ACL相关,并且可以与或者不与一个特定ACL相关。然而,至少一个接口与至少两个ACL相关,其中至少一个ACL是共享ACL。这样,就节省了TCAM存储空间。
对与每个接口相关的ACL的数量的实际限制是ACL访问时间。访问ACL所花费的时间必须少于处理一个分组可用的时间。例如,OC-48线路速率需要大约6.1Mpps(每秒百万个分组)的分组处理速率。当前TCAM访问速率在每秒60到100百万次查询的水平,因此,与每个接口相关的ACL的数量限制在8左右。
本发明已经就IP分组,路由器和ACL进行了描述。更一般地,本发明可以应用于任何分组交换机(诸如以太网交换机,ATM交换机或者Ipv6交换机),其包括接口特定规则组,该规则组包含在进入的分组上应用的规则。例如,本发明可以应用于更普通的基于规则的安全功能,诸如速率限制(rate-limiting)和速率管制(rate-policing),基于策略的转送,优先权分配和分类。用于收到的分组的密钥可以通过滤波器利用分组包头信息的任意变化来确定。
此处所介绍的实施例仅是示范性的,本领域的技术人员会理解可以不脱离本发明的精神,对上述实施例进行变化。本发明的范围完全由所附的权利要求来限定。
Claims (21)
1.一种用于确定在数据分组路由器的第一接口到达的数据分组上应用的规则的方法,包括以下步骤:
a.将至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享规则组;
b.确定所述数据分组的密钥;以及
c.查找所述至少两组规则,以获得至少一个匹配所述密钥的规则。
2.根据权利要求1所述的方法,其中所述将至少两组规则与所述第一接口相关的步骤包括将至少一组规则单独与所述第一接口相关。
3.根据权利要求1所述的方法,其中所述数据分组是网际协议(IP)分组,所述接口位于路由器内,所述将至少两组规则与所述第一接口相关的步骤包括将至少两个访问控制列表(ACL)与所述第一接口相关。
4.根据权利要求3所述的方法,其中每一个规则有一个相关的操作,每一个相关的操作是分组拒绝,分组允许,分组计数和分组复制中的一个。
5.根据权利要求3所述的方法,其中所述密钥从包含在所述IP分组包头内的信息中确定。
6.根据权利要求5所述的方法,其中确定所述密钥的信息包括IP源地址,IP目的地址,协议数量,传输控制协议/用户数据报文协议(TCP/UDP)源端口,TCP/UDP目的端口和网间控制报文协议代码中的至少一个。
7.根据权利要求1所述的方法,其中所述查找所述至少两组规则的步骤包括以下步骤:
a.确定所述至少两组规则的优先顺序;以及
b.按照与所述优先顺序一致的顺序,在所述至少两组规则中查找匹配所述密钥的规则。
8.一种在数据分组路由器中提供安全的方法,其中数据分组到达所述数据分组路由器的第一接口,所述方法包括以下步骤:
a.将至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享规则组,所述至少两组规则中的每一个规则都有一个相关的操作;
b.确定所述数据分组的密钥;
c.查找所述至少两组规则,以获得至少一个匹配所述密钥的规则;以及
d.如果找到至少一个匹配所述密钥的规则,则将与所述至少一个规则的每一个规则相关的操作应用到所述数据分组。
9.根据权利要求8所述的方法,其中所述将至少两组规则与所述第一接口相关的步骤包括将至少一组规则单独与所述第一接口相关。
10.根据权利要求8所述的方法,其中所述数据分组是网际协议(IP)分组,所述接口位于路由器内,所述将至少两组规则与所述第一接口相关的步骤包括将至少两个访问控制列表(ACL)与所述第一接口相关。
11.根据权利要求10所述的方法,其中每一个相关的操作是分组拒绝,分组允许,分组计数和分组复制中的一个。
12.根据权利要求10所述的方法,其中所述密钥从包含在IP分组包头内的信息中确定。
13.根据权利要求12所述的方法,其中确定所述密钥的信息包括IP源地址,IP目的地址,协议数量,传输控制协议/用户数据报文协议(TCP/UDP)源端口,TCP/UDP目的端口和网间控制报文协议代码中的至少一个。
14.根据权利要求8所述的方法,其中所述查找所述至少两组规则的步骤包括以下步骤:
a.确定所述至少两组规则的优先顺序;以及
b.按照与所述优选顺序一致的顺序,在所述至少两组规则中查找匹配所述密钥的规则。
15.一种线路卡,包括:
a.第一接口;
b.第二接口;
c.至少与所述第一接口相关的第一组规则;
d.与所述第一接口和所述第二接口相关的第二组规则;
e.用于查找所述第一组规则和所述第二组规则,以获得至少一个特定用于到达所述第一接口的单个数据分组的规则的装置。
16.根据权利要求15所述的线路卡,其中所述第一组规则和所述第二组规则是访问控制列表(ACL)。
17.根据权利要求15所述的线路卡,其中所述第一组规则仅与所述第一接口相关。
18.根据权利要求17所述的线路卡,进一步包括:
a.第三接口;以及
b.与所述第一接口和所述第二接口相关的第三组规则;其中,用于查找至少一个特定用于到达所述第一接口的单个数据分组的规则的装置进一步包括查找所述第三组规则,以获得这样一个规则。
19.根据权利要求15所述的线路卡,进一步包括用于根据优先顺序将所述第一组规则和所述第二组规则与所述第一接口相关的装置,其中用于查找规则的装置包括按照优先顺序规定的顺序查找所述第一组规则和所述第二组规则。
20.一种分组交换机,包括权利要求15所述的线路卡。
21.一种包括用于在数据分组路由器中提供安全的指令的计算机可读介质,其中数据分组到达所述数据分组路由器的第一接口,该方法包括:
a.用于将至少两组规则与所述第一接口相关的指令,其中至少一组规则是还与第二接口相关的共享规则组,所述至少两组规则的每一个规则都有一个相关的操作;
b.用于确定所述数据分组的密钥的指令;
c.用于查找所述至少两组规则,以获得至少一个匹配所述密钥的规则的指令;以及
d.用于在找到至少一个匹配所述密钥的规则时,将与所述至少一个规则的每一个规则相关的操作应用到所述数据分组的指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/679,288 | 2003-10-07 | ||
| US10/679,288 US7509674B2 (en) | 2003-10-07 | 2003-10-07 | Access control listing mechanism for routers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1606294A true CN1606294A (zh) | 2005-04-13 |
| CN1606294B CN1606294B (zh) | 2012-04-04 |
Family
ID=34314086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100959096A Expired - Fee Related CN1606294B (zh) | 2003-10-07 | 2004-10-08 | 改进的用于路由器的访问控制列表机制 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7509674B2 (zh) |
| EP (1) | EP1523138B1 (zh) |
| JP (1) | JP2005130489A (zh) |
| CN (1) | CN1606294B (zh) |
| AT (1) | ATE386389T1 (zh) |
| DE (1) | DE602004011721T2 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146027B (zh) * | 2006-09-14 | 2010-08-18 | 中兴通讯股份有限公司 | 基于访问控制列表分类的方法 |
| CN101068178B (zh) * | 2007-06-08 | 2010-12-01 | 华为技术有限公司 | 使用、管理mac地址表的方法、系统、及搜索引擎 |
| CN102508813A (zh) * | 2011-10-11 | 2012-06-20 | 盛科网络(苏州)有限公司 | 单接口芯片及应用该芯片实现芯片与多tcam之间数据传输的方法 |
| CN103970829A (zh) * | 2013-01-30 | 2014-08-06 | 马维尔以色列(M.I.S.L.)有限公司 | 用于tcam共享的架构 |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| CN105227463A (zh) * | 2014-06-13 | 2016-01-06 | 杭州迪普科技有限公司 | 一种分布式设备中业务板间的通信方法 |
| WO2018045862A1 (zh) * | 2016-09-06 | 2018-03-15 | 中兴通讯股份有限公司 | 三态内容寻址存储器tcam表的写入方法及装置 |
| CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9461825B2 (en) | 2004-01-30 | 2016-10-04 | Broadcom Corporation | Method and system for preventing revocation denial of service attacks |
| US20050172132A1 (en) | 2004-01-30 | 2005-08-04 | Chen Sherman (. | Secure key authentication and ladder system |
| US9094699B2 (en) * | 2004-02-05 | 2015-07-28 | Broadcom Corporation | System and method for security key transmission with strong pairing to destination client |
| US7607166B2 (en) * | 2004-07-12 | 2009-10-20 | Cisco Technology, Inc. | Secure manufacturing devices in a switched Ethernet network |
| US7546601B2 (en) * | 2004-08-10 | 2009-06-09 | International Business Machines Corporation | Apparatus, system, and method for automatically discovering and grouping resources used by a business process |
| US7661135B2 (en) * | 2004-08-10 | 2010-02-09 | International Business Machines Corporation | Apparatus, system, and method for gathering trace data indicative of resource activity |
| US7630955B2 (en) * | 2004-08-10 | 2009-12-08 | International Business Machines Corporation | Apparatus, system, and method for analyzing the association of a resource to a business process |
| US7725708B2 (en) * | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| US8407778B2 (en) | 2005-08-11 | 2013-03-26 | International Business Machines Corporation | Apparatus and methods for processing filter rules |
| CN100433715C (zh) * | 2005-08-19 | 2008-11-12 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
| CN100433009C (zh) * | 2005-11-24 | 2008-11-12 | 华为技术有限公司 | 静态范围匹配表的管理维护方法 |
| CN100386762C (zh) * | 2006-03-02 | 2008-05-07 | 华为技术有限公司 | 动态范围匹配表维护方法 |
| US20070271362A1 (en) * | 2006-05-18 | 2007-11-22 | Yehuda Bamnolker | Implementation of reflexive access control lists on distributed platforms |
| US7861291B2 (en) * | 2006-06-02 | 2010-12-28 | Freescale Semiconductor, Inc. | System and method for implementing ACLs using standard LPM engine |
| US8700771B1 (en) * | 2006-06-26 | 2014-04-15 | Cisco Technology, Inc. | System and method for caching access rights |
| JP4791285B2 (ja) | 2006-08-04 | 2011-10-12 | 富士通株式会社 | ネットワーク装置およびフィルタリングプログラム |
| CN101355499B (zh) * | 2008-09-02 | 2011-06-22 | 中兴通讯股份有限公司 | 一种访问控制列表业务处理装置及方法 |
| US9894093B2 (en) | 2009-04-21 | 2018-02-13 | Bandura, Llc | Structuring data and pre-compiled exception list engines and internet protocol threat prevention |
| US8468220B2 (en) * | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
| US8488489B2 (en) * | 2009-06-16 | 2013-07-16 | Lsi Corporation | Scalable packet-switch |
| US8700751B2 (en) * | 2009-07-24 | 2014-04-15 | Cisco Technology, Inc. | Optimizing fibre channel zoneset configuration and activation |
| US8345688B2 (en) * | 2010-02-23 | 2013-01-01 | Google Inc. | System and method for managing flow of packets |
| US8750144B1 (en) * | 2010-10-20 | 2014-06-10 | Google Inc. | System and method for reducing required memory updates |
| US9130885B1 (en) * | 2012-09-11 | 2015-09-08 | Mellanox Technologies Ltd. | End-to-end cache for network elements |
| US9529612B2 (en) | 2013-03-18 | 2016-12-27 | International Business Machines Corporation | Scalable policy assignment in an edge virtual bridging (EVB) environment |
| US9535728B2 (en) | 2013-03-18 | 2017-01-03 | International Business Machines Corporation | Scalable policy management in an edge virtual bridging (EVB) environment |
| US9584429B2 (en) | 2014-07-21 | 2017-02-28 | Mellanox Technologies Ltd. | Credit based flow control for long-haul links |
| US10530712B2 (en) | 2016-12-09 | 2020-01-07 | Cisco Technology, Inc. | Handling reflexive ACLs with virtual port-channel |
| US10397116B1 (en) * | 2017-05-05 | 2019-08-27 | Amazon Technologies, Inc. | Access control based on range-matching |
| US11483313B2 (en) * | 2018-06-28 | 2022-10-25 | Intel Corporation | Technologies for updating an access control list table without causing disruption |
| US10951549B2 (en) | 2019-03-07 | 2021-03-16 | Mellanox Technologies Tlv Ltd. | Reusing switch ports for external buffer network |
| US11588821B1 (en) | 2020-03-13 | 2023-02-21 | Adtran, Inc. | Systems and methods for access control list (ACL) filtering |
| US11658976B2 (en) * | 2021-01-27 | 2023-05-23 | Arista Networks, Inc. | Captive portal redirection and network access restriction of device using a single access control list |
| US11558316B2 (en) | 2021-02-15 | 2023-01-17 | Mellanox Technologies, Ltd. | Zero-copy buffering of traffic of long-haul links |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1051469A (ja) * | 1996-08-02 | 1998-02-20 | Nec Corp | Atmスイッチ |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| JPH11308228A (ja) * | 1998-04-20 | 1999-11-05 | Nec Corp | Atmネットワーク通信システムおよびそのアドレス情報記憶方法と記録媒体 |
| US6377577B1 (en) | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
| JP4182180B2 (ja) * | 1999-02-24 | 2008-11-19 | 株式会社日立製作所 | ネットワーク中継装置及びネットワーク中継方法 |
| US6600744B1 (en) * | 1999-03-23 | 2003-07-29 | Alcatel Canada Inc. | Method and apparatus for packet classification in a data communication system |
| JP3403971B2 (ja) * | 1999-06-02 | 2003-05-06 | 富士通株式会社 | パケット転送装置 |
| JP2001156831A (ja) * | 1999-11-29 | 2001-06-08 | Mitsubishi Electric Corp | 電子メールシステム |
| JP3569912B2 (ja) * | 1999-12-27 | 2004-09-29 | 日本電気株式会社 | Ip網サービス管理のためのサービス指向dit構成を記録したコンピュータ読み取り可能な記録媒体 |
| US6535879B1 (en) * | 2000-02-18 | 2003-03-18 | Netscape Communications Corporation | Access control via properties system |
| US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
| US7028098B2 (en) * | 2001-07-20 | 2006-04-11 | Nokia, Inc. | Selective routing of data flows using a TCAM |
| US20030067874A1 (en) | 2001-10-10 | 2003-04-10 | See Michael B. | Central policy based traffic management |
| US7133914B1 (en) * | 2001-10-31 | 2006-11-07 | Cisco Technology, Inc. | Statistics-preserving ACL flattening system and method |
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
| US7225263B1 (en) * | 2002-12-04 | 2007-05-29 | Cisco Technology, Inc. | Method and apparatus for retrieving access control information |
| US7366830B1 (en) * | 2005-09-01 | 2008-04-29 | Netlogic Microsystems, Inc. | Row expansion reduction by inversion for range representation in ternary content addressable memories |
-
2003
- 2003-10-07 US US10/679,288 patent/US7509674B2/en active Active
-
2004
- 2004-10-04 JP JP2004290994A patent/JP2005130489A/ja active Pending
- 2004-10-04 DE DE602004011721T patent/DE602004011721T2/de active Active
- 2004-10-04 AT AT04300647T patent/ATE386389T1/de not_active IP Right Cessation
- 2004-10-04 EP EP04300647A patent/EP1523138B1/en not_active Not-in-force
- 2004-10-08 CN CN2004100959096A patent/CN1606294B/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146027B (zh) * | 2006-09-14 | 2010-08-18 | 中兴通讯股份有限公司 | 基于访问控制列表分类的方法 |
| CN101068178B (zh) * | 2007-06-08 | 2010-12-01 | 华为技术有限公司 | 使用、管理mac地址表的方法、系统、及搜索引擎 |
| CN102508813A (zh) * | 2011-10-11 | 2012-06-20 | 盛科网络(苏州)有限公司 | 单接口芯片及应用该芯片实现芯片与多tcam之间数据传输的方法 |
| CN102508813B (zh) * | 2011-10-11 | 2013-07-31 | 盛科网络(苏州)有限公司 | 单接口芯片及应用该芯片实现芯片与多tcam之间数据传输的方法 |
| CN103970829A (zh) * | 2013-01-30 | 2014-08-06 | 马维尔以色列(M.I.S.L.)有限公司 | 用于tcam共享的架构 |
| CN103970829B (zh) * | 2013-01-30 | 2018-09-14 | 马维尔以色列(M.I.S.L.)有限公司 | 用于tcam共享的架构 |
| CN105227463A (zh) * | 2014-06-13 | 2016-01-06 | 杭州迪普科技有限公司 | 一种分布式设备中业务板间的通信方法 |
| CN105227463B (zh) * | 2014-06-13 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种分布式设备中业务板间的通信方法 |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| CN104092678B (zh) * | 2014-07-02 | 2018-12-25 | 新华三技术有限公司 | 一种访问控制列表的配置方法和装置 |
| WO2018045862A1 (zh) * | 2016-09-06 | 2018-03-15 | 中兴通讯股份有限公司 | 三态内容寻址存储器tcam表的写入方法及装置 |
| CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1523138A3 (en) | 2005-04-20 |
| EP1523138B1 (en) | 2008-02-13 |
| DE602004011721D1 (de) | 2008-03-27 |
| EP1523138A2 (en) | 2005-04-13 |
| ATE386389T1 (de) | 2008-03-15 |
| CN1606294B (zh) | 2012-04-04 |
| DE602004011721T2 (de) | 2009-02-19 |
| US20050076138A1 (en) | 2005-04-07 |
| US7509674B2 (en) | 2009-03-24 |
| JP2005130489A (ja) | 2005-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1606294A (zh) | 改进的用于路由器的访问控制列表机制 | |
| EP1649389B1 (en) | Internet protocol security matching values in an associative memory | |
| EP0551243B1 (en) | Address recognition engine | |
| TW412693B (en) | System and method for locating a route in a route table using hashing and compressed radix tree searching | |
| EP0992056B1 (en) | Search engine architecture for a high performance multi-layer switch element | |
| US7941390B2 (en) | System for managing multi-field classification rules relating to ingress contexts and egress contexts | |
| US7840696B2 (en) | Apparatus and method for classifier identification | |
| US6886073B2 (en) | Method and system for performing range rule testing in a ternary content addressable memory | |
| US7382777B2 (en) | Method for implementing actions based on packet classification and lookup results | |
| US7480299B2 (en) | Rules engine for access control lists in network units | |
| EP2892203A1 (en) | Methods of structuring data, pre-compiled exception list engines, and network appliances | |
| CN1482548A (zh) | 对多重搜索实行的过滤器规则进行划分的方法和系统 | |
| CN1493132A (zh) | 基于交换的网络处理器 | |
| CN104426909A (zh) | 为具有高级特征的正则表达式图样生成非确定有限自动机(nfa)图形 | |
| CN1333617A (zh) | 基于mac地址的通信限制方法 | |
| CN109639694A (zh) | 一种基于规则树检索的防火墙数据包匹配算法 | |
| US6987683B2 (en) | Magnitude comparator based content addressable memory for search and sorting | |
| CN111988231B (zh) | 一种掩码五元组规则匹配的方法及装置 | |
| US7739445B1 (en) | Circuit, apparatus, and method for extracting multiple matching entries from a content addressable memory (CAM) device | |
| CN101465807B (zh) | 一种数据流控制方法和装置 | |
| US6687715B2 (en) | Parallel lookups that keep order | |
| US7177313B2 (en) | Method and system for converting ranges into overlapping prefixes for a longest prefix match | |
| US20050262294A1 (en) | Method for policy matching using a hybrid TCAM and memory-based scheme | |
| JP3837670B2 (ja) | データ中継装置、連想メモリデバイス、および連想メモリデバイス利用情報検索方法 | |
| JP2003298613A (ja) | アドレス検索方法及びこれを用いる検索システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120404 Termination date: 20211008 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |