CN1606294B - 改进的用于路由器的访问控制列表机制 - Google Patents
改进的用于路由器的访问控制列表机制 Download PDFInfo
- Publication number
- CN1606294B CN1606294B CN2004100959096A CN200410095909A CN1606294B CN 1606294 B CN1606294 B CN 1606294B CN 2004100959096 A CN2004100959096 A CN 2004100959096A CN 200410095909 A CN200410095909 A CN 200410095909A CN 1606294 B CN1606294 B CN 1606294B
- Authority
- CN
- China
- Prior art keywords
- interface
- access control
- rule
- key
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/60—Router architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于维护数据分组路由器中线路卡上TCAM内的访问控制列表(ACL)的方法和设备,将规则应用于进入的数据分组。每个接口可以与多个ACL相关,多个接口可以与单个共享ACL相关。共享ACL包括可应用于超过一个接口的规则。其他ACL是特定用于特定接口的。当查找期则以应用于进入的数据分组时,滤波器查找与数据分组到达的接口相关的特定ACL和共享ACL。利用共享ACL,减少了共有规则的复制,从而减少存储在线路卡上的规则的总数,并节省了存储器存储空间。本发明还适用于除了ACL的规则组。
Description
技术领域
本发明涉及通信系统中的路由器接口,尤其涉及与这种接口相关的访问控制列表。
背景技术
通信系统中的网际路由器在线路卡上的接口接收网际协议(IP)分组。一个路由器包括许多线路卡,每一个线路卡可以有多个接口。典型地,每一个接口都有一个存储在三态内容寻址存储器(TCAM)内的线路卡上的相关访问控制列表(ACL)。ACL是一组应用于IP分组的规则,以便过滤不想要的分组,或者执行其他有关分组的操作,诸如计数或者复制。每个规则包括一个密钥和一个操作。当一个IP分组经由一个接口到达时,路由器从该分组中提取特定字段,以形成一个密钥,并且查找与接口相关的ACL以获得具有匹配密钥的规则。如果找到规则,则滤波器将与该规则相关的操作应用到该分组。
接口可以有相同的规则组。一些路由器利用这一点来简化配置和故障诊断,并且提高稳定性。规则组可在ACL之间复制。然而,一旦ACL被装载入TCAM,每个接口的每个ACL的每个规则就分别被存储和访问。因此,没有节省TCAM存储空间。其他的路由器有一定改进,是在两个或者多个接口之间共享一个单独的ACL。虽然这有些减少所需TCAM存储空间量,但这也只在接口共有所有规则的情况下才是可能的。
TCAM存储容量的提高没有访问速率的提高发展得快。由于与TCAM相关的空间和功率限制以及TCAM的成本,因此将每个线路卡上的TCAM的数量和尺寸保持在最小值是更好的。在一些情况下,这可能是困难的,因为路由器通常支持数百个接口以及数百个ACL,需要大的TCAM存储空间。最小化存储的规则总数的线路接口卡允许使用更少或者更小的TCAM,从而节省了空间和功率。可选择地,对于相同的空间和功率使用,这种卡能够支持更多的规则。
发明内容
根据本发明的一个方面,提供了一种方法,用于确定在数据分组路由器的第一接口到达的数据分组上应用的规则。至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享规则组。确定所述数据分组的密钥。查找所述至少两组规则,以获得至少一个匹配所述密钥的规则。
根据本发明的另一个方面,提供了一种方法,用于在数据分组路由器中提供安全,其中在所述数据分组路由器,数据分组到达第一接口。至少两组规则与所述第一接口相关,其中至少一组规则是还与第二接口相关的共享有规则组,所述至少两组规则中的每一个规则都有一个相关的操作。确定所述数据分组的密钥。查找所述至少两组规则,以获得至少一个匹配所述密钥的规则。如果找到至少一个匹配所述密钥的规则,则将与所述至少一个规则的每一个规则相关的操作应用到所述数据分组。
提供一种用于实现本发明方法的线路卡。本发明的方法还可以作为指令存储在计算机可读介质中。
本发明的方法和线路接口卡允许在接口之间共享规则,同时还允许使用单个接口卡的特定规则。通过在接口之间共享规则而不仅是复制规则,节省了存储器的存储空间(如TCAM),从而减少了线路卡的成本和功率消耗。
附图说明
通过以下结合附图的优选实施例的详细描述,本发明的特征和优点将变得更加清楚,其中:
图1是根据本发明的一个实施例的路由器的框图;
图2是图1中接口卡和ACL之间的关系举例的框图;
图3是根据本发明的一个实施例的方法流程图,其中图1的滤波器采用该方法访问ACL内的规则。
应当注意到,在附图中,同样的特征具有相同的标记。
具体实施方式
参考图1,图中示出了根据本发明的优选实施例的路由器10。路由器10包括线路卡12。线路卡12包括四个网际协议(IP)分组到达的接口14,16,18和20。线路卡12还包括三态内容寻址存储器(TCAM)24。该TCAM存储多个访问控制列表(ACL)。至少一个ACL是特定ACL26,至少一个ACL是共享ACL28。每个接口与至少一个ACL相关,如下所述。
线路卡12还包括滤波器34。对于每个IP分组,滤波器34从IP分组包头中提取特定字段以构造密钥,在与IP分组到达的接口相关的ACL中查找与从IP分组中获得的密钥相对应的规则,并执行与任何找到的规则相关的操作。滤波器34包括用于定位和应用与收到的IP分组对应的规则的指令,并且优选地,指令采用在处理器上运行的软件的形式。更一般地,滤波器可以包括采用处理器内的软件或者硬件的任意组合形式的指令,该处理器包括集成电路内的硬件。处理器不需要是单个设备,但是指令最好位于多于一个的设备上。如果采用软件的形式,指令可以存储在计算机可读介质上。
每个特定ACL26与单独一个接口相关,并且每个接口可以与对应的特定ACL相关。每个特定ACL包括其对应的接口特有的规则。这些规则可以包括相关的操作,诸如分组拒绝,分组接受,分组计数和分组复制。每个共享ACL28与至少两个接口相关,并且每个接口与至少一个共享ACL相关。每个共享ACL28包括一些或者所有接口共有的规则。参考图2,示出了接口和ACL之间的关系举例。每个接口具有一个相关的特定ACL26。两个接口14和16与一个共享ACL28a相关,并且所有四个接口与一个共享ACL28b相关。每个特定ACL26包括可以应用于在对应接口到达的IP分组的规则。共享ACL28a包括可以应用于在相关的两个接口14和16中的任意一个到达的IP分组的规则。共享ACL28b包括可以应用于在任意一个接口到达的IP分组的规则。
典型地,由于多数接口具有的与至少一个其他接口共有的规则比特定用于该接口的规则多,因此可以实现TCAM存储量的有效节省,也能实现扩大缩放(scaling)效益。例如,考虑每个接口75个和其他接口共有的规则,并有25个特定用于该接口的规则的情况,并且假定有100个接口。如果每个接口有自己唯一的ACL,则必须提供可存储100个具有100个规则的表,或者10000个规则的TCAM存储量。通过利用共享ACL,并且通过允许用于一个接口的规则可以存储在超过一个的ACL中,TCAM存储量可以为只有一个具有75个规则的表和100个具有25个规则的表,或者全部2575个规则。
返回图1,路由器10还包括多个其他的线路卡36,其细节在图1中未示出。每一个线路卡36都类似于线路卡12,包括多个接口,滤波器,TCAM和多个ACL,尽管线路卡之间的ACL的数量可以不同。
参考图3,图中示出了根据本发明的一个实施例的恢复和应用用于IP分组的规则的方法。在步骤50,一个IP分组到达接口14,16,18和20中的一个。该IP分组具有IP包头和传输控制协议(TCP)报头。在步骤52,滤波器34从IP分组的IP包头和TCP报头内的信息中确定用于该分组的密钥。密钥可以从诸如IP源地址,IP目的地址,ICMP类型/代码,协议数量,TCP/UDP源端口以及TCP/UDP目的端口这样的信息中确定。
滤波器34包括接口查询表,用于确定哪个ACL或者哪些ACL将被查找。在步骤54,滤波器34在与接口相关的ACL内查找匹配该密钥的规则。如果在步骤56找到一个规则,则在步骤58,滤波器将与该规则相关的操作应用到该IP分组。这样的操作例子包括分组拒绝,接受分组,计数分组和复制分组。典型地,有至少两个与该接口相关的ACL,尽管在线路卡上可以有多个只与一个ACL相关的接口。如果在步骤56没有找到一个规则,或者如果找到规则,而一旦与该规则相关的操作已经在步骤58被应用了,那么在步骤60,滤波器34确定是否存在另一个与该接口相关的ACL。如果在步骤60,滤波器34确定另一个与该接口相关的ACL存在,则返回步骤54,滤波器34在该ACL内查找匹配该密钥的规则。如果在步骤60,滤波器34确定另一个与该接口相关的ACL不存在,则滤波器已经完成了查找与接口相关的规则的工作。
滤波器34可以以任意顺序查找与一个接口相关的ACL。然而,在优选实施例中,滤波器保持每个接口的优先顺序不变。该优先顺序可以由用户来配置。
不是每一个共享规则都需要存储在共享ACL中,可以在不同的特定ACL上有规则的副本。然而,这将增加使用的TCAM存储量。为了最小化所需的TCAM存储量,每个共享规则应当存储在共享ACL中。
线路卡12可以具有多个TCAM,每个TCAM都包括至少一个ACL。
本发明已经就具有四个接口,一个TCAM,两个特定ACL和四个共享ACL的线路卡进行了描述。更一般地,线路卡具有多个接口和至少两个ACL,其中至少一个ACL是共享ACL。共享ACL或者包括在所有接口之间共享的规则,或者包括仅在接口的一个子集之间共享的规则。接口可以与任何数量的共享ACL相关,并且可以与或者不与一个特定ACL相关。然而,至少一个接口与至少两个ACL相关,其中至少一个ACL是共享ACL。这样,就节省了TCAM存储空间。
对与每个接口相关的ACL的数量的实际限制是ACL访问时间。访问ACL所花费的时间必须少于处理一个分组可用的时间。例如,OC-48线路速率需要大约6.1Mpps(每秒百万个分组)的分组处理速率。当前TCAM访问速率在每秒60到100百万次查询的水平,因此,与每个接口相关的ACL的数量限制在8左右。
本发明已经就IP分组,路由器和ACL进行了描述。更一般地,本发明可以应用于任何分组交换机(诸如以太网交换机,ATM交换机或者Ipv6交换机),其包括接口特定规则组,该规则组包含在进入的分组上应用的规则。例如,本发明可以应用于更普通的基于规则的安全功能,诸如速率限制(rate-limiting)和速率管制(rate-policing),基于策略的转送,优先权分配和分类。用于收到的分组的密钥可以通过滤波器利用分组包头信息的任意变化来确定。
此处所介绍的实施例仅是示范性的,本领域的技术人员会理解可以不脱离本发明的精神,对上述实施例进行变化。本发明的范围完全由所附的权利要求来限定。
Claims (13)
1.一种控制通过线路卡的多个接口(14-20)到达路由器(10)的分组的访问的方法,其中所述线路卡改进用于存储访问控制规则的存储空间的使用,所述方法括:
a.在所述线路卡上存储至少两个访问控制列表,其中共享访问控制列表(28)具有应用于所述多个接口(14-20)的规则,特定访问控制列表(26)具有所述多个接口中的单个接口(14)特有的规则;
b.将所述共享访问控制列表与所述多个接口相关,将所述特定访问控制列表与所述单个接口(14)相关;
c.对于到达所述单个接口(14)的呼入数据分组确定(52)密钥;
d.基于所述密钥在所述特定访问控制列表(26)和所述共享访问控制列表(28)中识别(56)应用于所述分组的规则,并根据所述规则处理(58)所述分组。
2.根据权利要求1所述的方法,其中,所述数据分组是网际协议IP分组。
3.根据权利要求1所述的方法,其中,每一个规则有一个相关的操作,每一个相关的操作是分组拒绝、分组允许、分组计数和分组复制中的一个。
4.根据权利要求2所述的方法,其中,每一个规则有一个相关的操作,每一个相关的操作是分组拒绝、分组允许、分组计数和分组复制中的一个。
5.根据权利要求2所述的方法,其中,所述密钥从包含在所述IP分组包头内的信息中确定。
6.根据权利要求3所述的方法,其中,所述密钥从包含在所述数据分组包头内的信息中确定。
7.根据权利要求4所述的方法,其中,所述密钥从包含在所述IP分组包头内的信息中确定。
8.根据权利要求5所述的方法,其中确定所述密钥的信息包括IP源地址、IP目的地址、协议数量、传输控制协议/用户数据报文协议TCP/UDP源端口、TCP/UDP目的端口、网间控制报文协议代码中的至少一个。
9.根据权利要求7所述的方法,其中确定所述密钥的信息包括IP源地址、IP目的地址、协议数量、传输控制协议/用户数据报文协议TCP/UDP源端口、TCP/UDP目的端口、网间控制报文协议代码中的至少一个。
10.根据权利要求1至9任意一项所述的方法,还包括:
确定所述共享访问控制列表(28)和所述特定访问控制列表(26)的优先顺序;以及
按照根据所述优先顺序建立的顺序,执行所述步骤d。
11.一种用于路由器(10)的线路卡(12),包括:
多个接口(14-20),其中每个接口用于接收多个呼入数据分组;
多个特定访问控制列表(26),用于存储每个接口特有的规则,每个特定访问控制列表(26)单独地与所述多个接口中的一个相关;
共享访问控制列表(28),用于存储应用于所述多个接口(14-20)的规则,所述共享访问控制列表(28)与所述多个接口(14-20)相关;以及
滤波器(34),用于对到达所述多个接口中的某个接口的数据分组确定密钥,基于所述密钥在与所述数据分组到达的接口相关的所述共享访问控制列表(28)和所述特定访问控制列表(26)中查找与所述密钥匹配的规则,并根据在所述共享访问控制列表和所述特定访问控制列表中找到的所述规则,处理所述分组。
12.根据权利要求11所述的线路卡,还包括:用于根据优先顺序将所述共享访问控制列表和所述特定访问控制列表与所述多个接口相关的装置,其中,所述滤波器(34)按照所述优先顺序规定的顺序查找所述共享访问控制列表和所述特定访问控制列表。
13.一种分组交换机(10),包括根据权利要求11或12的线路卡(12)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/679,288 US7509674B2 (en) | 2003-10-07 | 2003-10-07 | Access control listing mechanism for routers |
| US10/679,288 | 2003-10-07 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1606294A CN1606294A (zh) | 2005-04-13 |
| CN1606294B true CN1606294B (zh) | 2012-04-04 |
Family
ID=34314086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100959096A Expired - Fee Related CN1606294B (zh) | 2003-10-07 | 2004-10-08 | 改进的用于路由器的访问控制列表机制 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7509674B2 (zh) |
| EP (1) | EP1523138B1 (zh) |
| JP (1) | JP2005130489A (zh) |
| CN (1) | CN1606294B (zh) |
| AT (1) | ATE386389T1 (zh) |
| DE (1) | DE602004011721T2 (zh) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050172132A1 (en) | 2004-01-30 | 2005-08-04 | Chen Sherman (. | Secure key authentication and ladder system |
| US9461825B2 (en) | 2004-01-30 | 2016-10-04 | Broadcom Corporation | Method and system for preventing revocation denial of service attacks |
| US9094699B2 (en) * | 2004-02-05 | 2015-07-28 | Broadcom Corporation | System and method for security key transmission with strong pairing to destination client |
| US7607166B2 (en) * | 2004-07-12 | 2009-10-20 | Cisco Technology, Inc. | Secure manufacturing devices in a switched Ethernet network |
| US7661135B2 (en) * | 2004-08-10 | 2010-02-09 | International Business Machines Corporation | Apparatus, system, and method for gathering trace data indicative of resource activity |
| US7546601B2 (en) * | 2004-08-10 | 2009-06-09 | International Business Machines Corporation | Apparatus, system, and method for automatically discovering and grouping resources used by a business process |
| US7630955B2 (en) * | 2004-08-10 | 2009-12-08 | International Business Machines Corporation | Apparatus, system, and method for analyzing the association of a resource to a business process |
| US7725708B2 (en) * | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| US8407778B2 (en) | 2005-08-11 | 2013-03-26 | International Business Machines Corporation | Apparatus and methods for processing filter rules |
| CN100433715C (zh) * | 2005-08-19 | 2008-11-12 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
| CN100433009C (zh) * | 2005-11-24 | 2008-11-12 | 华为技术有限公司 | 静态范围匹配表的管理维护方法 |
| CN100386762C (zh) * | 2006-03-02 | 2008-05-07 | 华为技术有限公司 | 动态范围匹配表维护方法 |
| US20070271362A1 (en) * | 2006-05-18 | 2007-11-22 | Yehuda Bamnolker | Implementation of reflexive access control lists on distributed platforms |
| US7861291B2 (en) * | 2006-06-02 | 2010-12-28 | Freescale Semiconductor, Inc. | System and method for implementing ACLs using standard LPM engine |
| US8700771B1 (en) * | 2006-06-26 | 2014-04-15 | Cisco Technology, Inc. | System and method for caching access rights |
| JP4791285B2 (ja) | 2006-08-04 | 2011-10-12 | 富士通株式会社 | ネットワーク装置およびフィルタリングプログラム |
| CN101146027B (zh) * | 2006-09-14 | 2010-08-18 | 中兴通讯股份有限公司 | 基于访问控制列表分类的方法 |
| CN101068178B (zh) * | 2007-06-08 | 2010-12-01 | 华为技术有限公司 | 使用、管理mac地址表的方法、系统、及搜索引擎 |
| CN101355499B (zh) * | 2008-09-02 | 2011-06-22 | 中兴通讯股份有限公司 | 一种访问控制列表业务处理装置及方法 |
| US8468220B2 (en) * | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
| US9894093B2 (en) | 2009-04-21 | 2018-02-13 | Bandura, Llc | Structuring data and pre-compiled exception list engines and internet protocol threat prevention |
| US8488489B2 (en) * | 2009-06-16 | 2013-07-16 | Lsi Corporation | Scalable packet-switch |
| US8700751B2 (en) * | 2009-07-24 | 2014-04-15 | Cisco Technology, Inc. | Optimizing fibre channel zoneset configuration and activation |
| US8345688B2 (en) * | 2010-02-23 | 2013-01-01 | Google Inc. | System and method for managing flow of packets |
| US8750144B1 (en) * | 2010-10-20 | 2014-06-10 | Google Inc. | System and method for reducing required memory updates |
| CN102508813B (zh) * | 2011-10-11 | 2013-07-31 | 盛科网络(苏州)有限公司 | 单接口芯片及应用该芯片实现芯片与多tcam之间数据传输的方法 |
| US9130885B1 (en) * | 2012-09-11 | 2015-09-08 | Mellanox Technologies Ltd. | End-to-end cache for network elements |
| US9411908B2 (en) * | 2013-01-30 | 2016-08-09 | Marvell Israel (M.I.S.L) Ltd. | Architecture for TCAM sharing |
| US9529612B2 (en) | 2013-03-18 | 2016-12-27 | International Business Machines Corporation | Scalable policy assignment in an edge virtual bridging (EVB) environment |
| US9535728B2 (en) | 2013-03-18 | 2017-01-03 | International Business Machines Corporation | Scalable policy management in an edge virtual bridging (EVB) environment |
| CN105227463B (zh) * | 2014-06-13 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种分布式设备中业务板间的通信方法 |
| CN104092678B (zh) * | 2014-07-02 | 2018-12-25 | 新华三技术有限公司 | 一种访问控制列表的配置方法和装置 |
| US9584429B2 (en) | 2014-07-21 | 2017-02-28 | Mellanox Technologies Ltd. | Credit based flow control for long-haul links |
| CN107800627B (zh) * | 2016-09-06 | 2021-04-06 | 中兴通讯股份有限公司 | 三态内容寻址存储器tcam表的写入方法及装置 |
| US10530712B2 (en) | 2016-12-09 | 2020-01-07 | Cisco Technology, Inc. | Handling reflexive ACLs with virtual port-channel |
| US10397116B1 (en) * | 2017-05-05 | 2019-08-27 | Amazon Technologies, Inc. | Access control based on range-matching |
| US11483313B2 (en) * | 2018-06-28 | 2022-10-25 | Intel Corporation | Technologies for updating an access control list table without causing disruption |
| US10951549B2 (en) | 2019-03-07 | 2021-03-16 | Mellanox Technologies Tlv Ltd. | Reusing switch ports for external buffer network |
| US11588821B1 (en) | 2020-03-13 | 2023-02-21 | Adtran, Inc. | Systems and methods for access control list (ACL) filtering |
| CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
| US11658976B2 (en) * | 2021-01-27 | 2023-05-23 | Arista Networks, Inc. | Captive portal redirection and network access restriction of device using a single access control list |
| US11558316B2 (en) | 2021-02-15 | 2023-01-17 | Mellanox Technologies, Ltd. | Zero-copy buffering of traffic of long-haul links |
| US11973696B2 (en) | 2022-01-31 | 2024-04-30 | Mellanox Technologies, Ltd. | Allocation of shared reserve memory to queues in a network device |
| US11979292B1 (en) * | 2022-12-14 | 2024-05-07 | Ca, Inc. | Virtual network interface management for network functions using network definitions |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
| US6535879B1 (en) * | 2000-02-18 | 2003-03-18 | Netscape Communications Corporation | Access control via properties system |
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
| US6600744B1 (en) * | 1999-03-23 | 2003-07-29 | Alcatel Canada Inc. | Method and apparatus for packet classification in a data communication system |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1051469A (ja) * | 1996-08-02 | 1998-02-20 | Nec Corp | Atmスイッチ |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| JPH11308228A (ja) * | 1998-04-20 | 1999-11-05 | Nec Corp | Atmネットワーク通信システムおよびそのアドレス情報記憶方法と記録媒体 |
| JP4182180B2 (ja) * | 1999-02-24 | 2008-11-19 | 株式会社日立製作所 | ネットワーク中継装置及びネットワーク中継方法 |
| JP3403971B2 (ja) * | 1999-06-02 | 2003-05-06 | 富士通株式会社 | パケット転送装置 |
| JP2001156831A (ja) * | 1999-11-29 | 2001-06-08 | Mitsubishi Electric Corp | 電子メールシステム |
| JP3569912B2 (ja) * | 1999-12-27 | 2004-09-29 | 日本電気株式会社 | Ip網サービス管理のためのサービス指向dit構成を記録したコンピュータ読み取り可能な記録媒体 |
| US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
| US7028098B2 (en) * | 2001-07-20 | 2006-04-11 | Nokia, Inc. | Selective routing of data flows using a TCAM |
| US20030067874A1 (en) * | 2001-10-10 | 2003-04-10 | See Michael B. | Central policy based traffic management |
| US7133914B1 (en) * | 2001-10-31 | 2006-11-07 | Cisco Technology, Inc. | Statistics-preserving ACL flattening system and method |
| US7225263B1 (en) * | 2002-12-04 | 2007-05-29 | Cisco Technology, Inc. | Method and apparatus for retrieving access control information |
| US7366830B1 (en) * | 2005-09-01 | 2008-04-29 | Netlogic Microsystems, Inc. | Row expansion reduction by inversion for range representation in ternary content addressable memories |
-
2003
- 2003-10-07 US US10/679,288 patent/US7509674B2/en active Active
-
2004
- 2004-10-04 JP JP2004290994A patent/JP2005130489A/ja active Pending
- 2004-10-04 DE DE602004011721T patent/DE602004011721T2/de active Active
- 2004-10-04 EP EP04300647A patent/EP1523138B1/en not_active Not-in-force
- 2004-10-04 AT AT04300647T patent/ATE386389T1/de not_active IP Right Cessation
- 2004-10-08 CN CN2004100959096A patent/CN1606294B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
| US6600744B1 (en) * | 1999-03-23 | 2003-07-29 | Alcatel Canada Inc. | Method and apparatus for packet classification in a data communication system |
| US6535879B1 (en) * | 2000-02-18 | 2003-03-18 | Netscape Communications Corporation | Access control via properties system |
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE386389T1 (de) | 2008-03-15 |
| EP1523138B1 (en) | 2008-02-13 |
| DE602004011721D1 (de) | 2008-03-27 |
| EP1523138A2 (en) | 2005-04-13 |
| CN1606294A (zh) | 2005-04-13 |
| US20050076138A1 (en) | 2005-04-07 |
| JP2005130489A (ja) | 2005-05-19 |
| US7509674B2 (en) | 2009-03-24 |
| EP1523138A3 (en) | 2005-04-20 |
| DE602004011721T2 (de) | 2009-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1606294B (zh) | 改进的用于路由器的访问控制列表机制 | |
| US20080198853A1 (en) | Apparatus for implementing actions based on packet classification and lookup results | |
| US7782859B2 (en) | Enhanced packet classification | |
| US7567561B2 (en) | Packet communication node apparatus with extension modules | |
| CN101141304B (zh) | Acl规则的管理方法和设备 | |
| US20010021189A1 (en) | Packet exchange and router and input packet processing method thereof | |
| US20120127997A1 (en) | Method for optimizing a network prefix-list search | |
| US20040052254A1 (en) | Distributed lookup based on packet contents | |
| AU2004260370A1 (en) | Internet protocol security matching values in an associative memory | |
| CN105760411B (zh) | 混合通配符匹配表 | |
| CN101175081A (zh) | 过滤分组的方法和设备 | |
| US7107352B2 (en) | Virtual egress packet classification at ingress | |
| US7697526B2 (en) | Packet filtering based on port bit map | |
| CN101465807B (zh) | 一种数据流控制方法和装置 | |
| GB2420043A (en) | Packet forwarding rules engine with access control list table and extension rule table | |
| EP2383945B1 (en) | Transmission information transfer apparatus and its method | |
| US6687715B2 (en) | Parallel lookups that keep order | |
| US7177313B2 (en) | Method and system for converting ranges into overlapping prefixes for a longest prefix match | |
| EP1351468B1 (en) | Method for network packet filtering based on a conditional expression table | |
| EP1777889A1 (en) | Method of processing information packets and telecommunication apparatus using the same | |
| GB2319149A (en) | Address look-up for communications network bridges | |
| CN101964759B (zh) | 支持多用户的高速报文分流方法 | |
| CN1965542A (zh) | 处理分组标头 | |
| CN106603468A (zh) | 数据报文处理方法及装置 | |
| JP2005072783A (ja) | 情報処理内容決定方法及び同方法を適用した情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120404 Termination date: 20211008 |