DE69925380T2 - Vorrichtung und verfahren zur verarbeitung einer paketsequenz - Google Patents

Vorrichtung und verfahren zur verarbeitung einer paketsequenz Download PDF

Info

Publication number
DE69925380T2
DE69925380T2 DE69925380T DE69925380T DE69925380T2 DE 69925380 T2 DE69925380 T2 DE 69925380T2 DE 69925380 T DE69925380 T DE 69925380T DE 69925380 T DE69925380 T DE 69925380T DE 69925380 T2 DE69925380 T2 DE 69925380T2
Authority
DE
Germany
Prior art keywords
processing
packet
label
elementary
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69925380T
Other languages
English (en)
Other versions
DE69925380D1 (de
Inventor
Olivier Hersent
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NETCT X CAEN
Netcentrex
Original Assignee
NETCT X CAEN
Netcentrex
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NETCT X CAEN, Netcentrex filed Critical NETCT X CAEN
Application granted granted Critical
Publication of DE69925380D1 publication Critical patent/DE69925380D1/de
Publication of DE69925380T2 publication Critical patent/DE69925380T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/34Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers

Description

  • Die vorliegende Erfindung bezieht sich auf Netze mit paketweiser Datenübertragung. Sie betrifft insbesondere, aber nicht ausschließlich, gemeinsam genutzte Netze, die gemäß dem Internet-Protokoll (IP) arbeiten.
  • Die Erfindung kann auf der Ebene der externen Schnittstellen von Netzroutern eingesetzt werden, um Analysen und Verarbeitungen an Datenflüssen durchzuführen, die durch diese Schnittstellen gehen.
  • Als „Polizei"-Funktionen werden hier verschiedene Verarbeitungs- oder Prüfungsvorgänge bezeichnet, die auf der Ebene einer derartigen Schnittstelle an diese durchfließenden Datenflüssen durchgeführt werden. Als nicht einschränkend zu verstehende Beispiele können das Zählen der zwischen einer gegebenen Quellenadresse und einer gegebenen Zieladresse ausgetauschten Pakete, die Zuordnung von Prioritäten zu bestimmten Paketen, Adressumsetzungen, die selektive Zerstörung bestimmter Pakete, usw. erwähnt werden.
  • Diese Polizei-Funktionen können in einen Vertragsrahmen zwischen einem Teilnehmer und einem Netzverwalter eingetragen werden. Dies kann zum Beispiel bei die Durchsatzkontrolle, die Zugriffsgenehmigungen zu bestimmten mit dem Netz verbundenen Websites, die Anwendung von Reservierungsprotokollen wie RSVP, usw. betreffenden Funktionen der Fall sein. Sie können auch im Rahmen der internen Organisation eines öffentlichen oder privaten Netzes liegen, zum Beispiel, um bestimmte Zugänge zu prüfen.
  • Die heutigen Router bieten einen Satz von Konfigurationsbefehlen, die es ermöglichen, solche Polizei-Funktionen anzuwenden. So wird ein sich auf bestimmte Felder im Kopf der Pakete beziehendes Filter definiert, um den oder die betroffenen Flüsse zu identifizieren, wobei das Filter einer besonderen Funktion zugeordnet ist, die an den entsprechenden Paketen ausgeführt wird. Diese Filter oder „Access List" weisen gewisse Inflexibilitäten auf. So ist es nicht möglich, zwei Filter miteinander zu verketten von denen eines eine Sortierung an den vom ersten ausgewählten Pakten spezifiziert. Diese Filter sind nach einem sequentiellen Modell konstruiert: Das erste Filter, das für ein gegebenes Paket geeignet ist, wird verwendet, und die folgenden Filter, die ebenfalls geeignet sein könnten, werden ausgeschlossen. Es ist also unmöglich, mehrere einem gleichen Fluss zugeordnete Regeln und Verarbeitungen anzuwenden (zum Beispiel, um alle gemäß dem TCP-Protokoll an einem Port x gesendeten Pakete zu zählen und alle TCP-Flüsse zu einem gegebenen Server zu zählen, einschließlich derjenigen, die zum Port x gehen).
  • Um bestimmte dieser Einschränkungen zu umgehen, wurden Befehle definiert, die mehrere zusammengehörende Aktionen durchführen. Diese Lösungen bieten aber nur eine relative Flexibilität und verkomplizieren insbesondere die Konfigurationssprache der Router erheblich. Es fehlt auch ein homogener Rahmen, um die zukünftigen Erweiterungen der zu gewährleistenden Polizei-Funktionen zu managen.
  • Die Druckschrift US 5 835 726 beschreibt ein System, um Pakete in einem Fluss zu sortieren und so Pakete in einem Informatiknetz selektiv zu verändern.
  • Das Dokument „A Firewall Overview", von Ted Coty, CONNECTIONS, Vol. 9, Nr. 7, 1. Juli 1995, Seiten 20–23, XP000564023, erwähnt eine Filterungsoperation von Paketen, die es ermöglicht, ein Paket in Abhängigkeit von der Ziel-/Quellenadresse oder der Port-Nummer zu blockieren oder nicht.
  • Es ist ein Ziel der vorliegenden Erfindung, einen Verarbeitungsmodus von Folgen von Informationspaketen anzugeben, der eine große Konfigurationsflexibilität bietet, ohne die Komplexität der Konfigurationsschnittstelle merklich zu erhöhen.
  • Die Erfindung schlägt eine Vorrichtung zur Verarbeitung einer Folge von Informationspaketen vor, die einen als Stapelspeicher organisierten Paketspeicher, in dem die Pakete der Folge in Zuordnung zu Verarbeitungs-Kennsätzen eingeordnet sind, eine Gruppe von Verarbeitungsmodulen und Überwachungsmittel aufweist, die den jedem aus dem Paketspeicher entnommenen Paket zugeordneten Verarbeitungs-Kennsatz empfangen und eines der Verarbeitungsmodule aktivieren, das in Abhängigkeit vom empfangenen Kennsatz ausgewählt wird, wobei das aktivierte Modul eine Elementarverarbeitung des entnommenen Pakets gewährleistet. Die von mindestens einem der Verarbeitungsmodule gewährleistete Elementarverarbeitung enthält die Zuordnung des entnommenen Pakets zu einem Kennsatz, der entsprechend einer Kennsatz-Übersetzungstabelle verändert wurde, wobei das verarbeitete Paket anschließend in Verbindung mit dem veränderten Kennsatz erneut im Paketspeicher eingeordnet wird.
  • Die Vorrichtung ermöglicht es, Polizei-Funktionen gemäß einem willkürlichen Graph von Elementarverarbeitungen zu verketten, die auf Datenflüsse einwirken, die von den Verarbeitungs-Kennsätzen identifiziert werden. Dies führt zu einem flexiblen Rahmen zum Managen der Konfiguration der Schnittstelle und der möglichen Protokoll-Erweiterungen.
  • Die Leistungsfähigkeit der Vorrichtung ist unabhängig von der Anzahl der Verkettungen von Elementarverarbeitungen, die an den durch die Schnittstelle gehenden Flüssen durchgeführt werden können und proportional zur komplexesten dieser Verkettungen. Dagegen verbraucht die verwendete Technik mehr Speicherplatz als eine übliche sequentielle Implementierung.
  • Ein weiterer Aspekt der vorliegenden Erfindung bezieht sich auf ein Verfahren zur Verarbeitung einer Folge von Informationspaketen, bei dem die Pakete der Folge in einem als Stapelspeicher organisierten Paketspeicher in Zuordnung zu Verarbeitungs-Kennsätzen eingeordnet werden, der jedem aus dem Paketspeicher entnommenen Paket zugeordnete Verarbeitungs-Kennsatz untersucht wird, um einen in Abhängigkeit vom empfangenen Kennsatz aus einer Gruppe von Verarbeitungsmodulen ausgewählten Verarbeitungsmodul zu aktivieren, wobei der aktivierte Modul eine Elementarverarbeitung des entnommenen Pakets gewährleistet. Die von mindestens einem der Verarbeitungsmodule gewährleistete Elementarverarbeitung enthält das Zuordnen des entnommenen Pakets zu einem entsprechend einer Kennsatz-Übersetzungstabelle veränderten Kennsatz, wobei das verarbeitete Paket anschließend in Verbindung mit dem veränderten Kennsatz erneut im Paketspeicher eingeordnet wird.
  • Weitere Besonderheiten und Vorteile der vorliegenden Erfindung gehen aus der nachfolgenden Beschreibung von nicht einschränkend zu verstehenden Ausführungsbeispielen unter Bezugnahme auf die beiliegenden Zeichnungen hervor.
  • Es zeigen:
  • 1 ein Schaltbild eines Netzes, in dem die Erfindung eingesetzt werden kann;
  • 2 ein Funktionsschaltbild eines Zugangsrouters einer privaten Anlage dieses Netzes;
  • 3 ein Funktionsschaltbild einer Flussverarbeitungsvorrichtung, die Teil einer Schnittstelle des Routers der 2 ist; und
  • 4 einen Graph von Elementarverarbeitungen, die von der Vorrichtung der 3 gewährleistet werden.
  • 1 zeigt ein gemeinsames Weitverkehrsnetz (WAN) 10, das eine gewisse Anzahl von miteinander verbundenen Routern und Switche 11, 12 aufweist. Hier wird der Fall betrachtet, in dem das gemeinsame Netz 10 gemäß dem IP-Protokoll arbeitet. Eine bestimmte Anzahl der Router sind Konzentrationsrouter 12, mit denen private Anlagen 13 verbunden sind.
  • Eine private Teilnehmeranlage 13 ist typischerweise mit dem gemeinsamen Netz 10 mittels eines Zugangsrouters 15 verbunden, von dem eine der Schnittstellen 16 mit einer Leitung 17 zur Übertragung vom und zum Konzentrationsrouter 12 verbunden ist. Der Zugangsrouter 15 kann mit anderen Routern der privaten Anlage 13 oder mit Servern oder Terminals 18 dieser Anlage mittels weiterer Schnittstellen verbunden sein, die nicht in 1 dargestellt sind.
  • 2 zeigt ein Beispiel einer Architektur des Zugangsrouters 15. Die externe Schnittstelle 16 sowie die Schnittstellen 20, 21 mit dem Rest der privaten Anlage 13 sind mit dem Kern des Routers verbunden, der aus einer Paketweiterleitungsmaschine 22 („Packet Forwarding Engine") besteht. Die Weiterleitungsmaschine 22 befördert die Pakete auf der Basis der Adressen- und Portfelder, die in den Köpfen der Pakete gemäß dem IP-Protokoll und seinen möglichen Erweiterungen (TCP, UDP, etc.) enthalten sind, unter Zuhilfenahme von Routingtabellen von einer Schnittstelle zur anderen.
  • Manche der Schnittstellen des Zugangsrouters 15 sind nur in einer oder in beiden Übertragungsrichtungen mit Verarbeitungsvorrichtungen, oder Flussprozessoren, 24, 25 versehen, die Polizei-Funktionen gewährleisten. Im illustrierenden Beispiel der 2 gehört die Vorrichtung 24 zur externen Schnittstelle 16 in ausgehender Richtung, und die Vorrichtung 25 gehört zu einer anderen Schnittstelle 20 in eingehender Richtung.
  • Der Zugangsrouter wird von einer Steuerungseinheit 26 überwacht, die aus einem Mikrocomputer oder einer Workstation bestehen kann, die eine Routing-Software ausführt, die insbesondere dazu dient, die Routingtabelle der Weiterleitungsmaschine 22 und die Flussprozessoren 24, 25 zu konfigurieren und mit ihnen Prüf- oder Protokollinformationen auszutauschen. Diese Befehle und Austauschvorgänge erfolgen über eine geeignete Anwendungsprogrammierungsschnittstelle (API).
  • Die meisten existierenden Paket-Routing- und Weiterleitungs-Softwareprogramme sind frei verfügbar in Unix-Umgebungen, aber ihre Leistungsfähigkeit ist üblicherweise aufgrund der häufigen Unterbrechungen des Betriebssystems begrenzt. Es ist sehr viel schneller, ein Echtzeit-Betriebssystem wie VxWorks zu verwenden, aber dies verkompliziert die Implementation der Routing-Software.
  • Es ist die Aufgabe der Flussprozessoren 24, 25, das Nicht-Echtzeit-Betriebssystem (wie Unix), auf dessen Basis die Steuerungseinheit 26 arbeitet, bei den komplexen Tasks der Manipulation der Flüsse zu unterstützen, die Echtzeit-Leistungen erfordern (Weiterleitung, Filterung, Verschlüsselung, etc.). Diese Prozessoren verwenden eine gewisse Anzahl von Werkzeugen zur Manipulation der Flüsse, die entsprechend jeder beliebigen Kombination dynamisch verbunden sein können, um die geforderten Prozesse auszuführen. Diese Konfiguration kann über das Betriebssystem Unix durch Aufrufen der API-Funktionen durchgeführt werden, was die Einrichtung neuer Funktionalitäten durch den Programmierer wesentlich vereinfacht.
  • Wie schematisch in 1 dargestellt, besteht eine der vom Flussprozessor 24 der externen Schnittstelle 16 des Zugangsrouters 15 durchgeführten Prozesse darin, jedes Paket zu einem Konzentrationsrouter 12 zu senden, wobei er dem Paket eine numerische Signatur hinzugefügt (Block 40). Diese Signatur bezeugt, dass die fraglichen Pakete den anderen Flussprüfungsoperationen (Block 39) unterzogen wurden, die vom Prozessor 24 durchgeführt werden.
  • Die entsprechende Schnittstelle 28 des Konzentrationsrouters 12 weist einen Modul zur Analyse der über die Leitung 17 empfangenen Pakete auf, um sich vom Vorhandensein der Signatur zu überzeugen.
  • Diese Signaturtechnik ermöglicht es vorteilhafterweise, die Flussprüfungsoperationen zu dezentralisieren, die für die Vertragsbeziehungen zwischen dem Verwalter des Konzentrationsrouters 12, der den Anschlussdienst zum gemeinsamen Netz 10 liefert, und den Teilnehmern notwendig sind, deren Anlagen 13 mit diesem Konzentrationsrouter 12 verbunden sind. In herkömmlichen Ausführungsformen werden diese Flussprüfungsoperationen auf der Ebene des Konzentrationsrouters durchgeführt. Daraus entsteht eine beträchtliche Komplexität des Konzentrationsrouters, wenn er mit einer größeren Anzahl von privaten Anlagen verbunden ist, und ein Mangel an Flexibilität für die Teilnehmer, wenn Änderungen erforderlich sind.
  • Die Tatsache, dass diese Flussprüfungsoperationen in Höhe der Zugangsrouter 15 durchgeführt werden, bringt in dieser Hinsicht eine große Flexibilität. Die Signatur der Pakete garantiert dann dem Dienstanbieter, dass die Leitung 17 ihm keine gültigen Pakete schickt, die außerhalb des Vertragsrahmens mit dem Teilnehmer liegen. Wenn ein solches Paket ankommen würde, würde es die Schnittstelle 28 des Konzentrationsrouters 12 einfach eliminieren, nachdem sie die Abwesenheit der entsprechenden Signatur festgestellt hat.
  • Es können verschiedene herkömmliche Methoden verwendet werden, um die Signatur der Pakete auf der Basis eines den Routern 12 und 15 gemeinsamen Geheimnisses zu konstruieren und zu analysieren. Die Signatur kann insbesondere die Form eines Codeworts haben, das zum Inhalt des Pakets hinzugefügt und auf der Basis des ganzen oder eines Teils dieses Inhalts und eines geheimen Schlüssels berechnet wird, wobei die Berechnung mit Hilfe einer Funktion durchgeführt wird, die äußerst schwierig invertierbar ist, um den Geheimschlüssel wiederzugewinnen. Man kann so eine Technik des Zerhackens des Inhalts oder nur eines Teils des Inhalts des Pakets verwenden, zum Beispiel ein MD5-Zerhacken (siehe R. Rivest, RFC 1231, „The MD5 Message Digest Algorithm").
  • Man kann auch eine Chiffriermethode verwenden, um die Signatur der Pakete zu bilden. Der Inhalt des Pakets wird dann mit Hilfe eines privaten Schlüssels chiffriert, wobei die Schnittstelle 28 des Konzentrationsrouters die entsprechende Dechiffrierung mit Hilfe eines öffentlichen oder privaten Schlüssels gewährleistet. Die nicht chiffrierten oder mit einem falschen Schlüssel chiffrierten Pakete werden dann auf der Ebene der Schnittstelle 28 zerstört.
  • Optional kann man vorsehen, dass die Schnittstelle 28 des Konzentrationsrouters ebenfalls die Pakete signiert, die sie auf der Leitung 17 sendet, und dass die Schnittstelle 16 des Zugangsrouters diese Signatur überprüft, um die Gültigkeit der empfangenen Pakete zu sicherzustellen.
  • 3 zeigt die Organisation eines Flussprozessors 24 oder 25 einer Schnittstelle des Zugangsrouters 15.
  • Der Flussprozessor empfängt eine Folge von eingehenden Paketen 30, die je einen Kopf 31 entsprechend dem IP-Protokoll aufweisen, und liefert eine Folge von ausgehenden Paketen 32 mit einem Kopf 33, nachdem er bestimmte Elementarverarbeitungen durchgeführt hat, deren Art von den betreffenden Datenflüssen abhängt.
  • Die eingehenden Pakete 30 werden in einem Paketspeicher 35 eingeordnet, der als Stapelspeicher vom Typ First-In-First-Out (FIFO) organisiert ist. Jedes Paket wird an den Speicher 35 mit einem Verarbeitungs-Kennsatz 36 geliefert. Der Verarbeitungs-Kennsatz hat zu Anfang einen bestimmten Wert (0 im dargestellten Beispiel) für die eingehenden Pakete 30.
  • Der Flussprozessor wird von einer Einheit 37 überwacht, die mit einer Tabelle 38 zusammenwirkt, die es ermöglicht, jedem Wert des Verarbeitungs-Kennsatzes einen besonderen Verarbeitungsmodul zuzuordnen. Im in 3 dargestellten, vereinfachten Beispiel weist der Flussprozessor eine Gruppe von fünf Verarbeitungsmodulen M1–M5 auf, die Elementarverarbeitungen unterschiedlicher Art durchführen.
  • Nach der Ausführung einer Elementarverarbeitung fragt die Überwachungseinheit 37 den Paketspeicher 35 ab. Wenn dieser nicht leer ist, wird gemäß der FIFO-Organisation ein Paket daraus entnommen. Die Überwachungseinheit 37 fragt die Tabelle 38 ab, um zu bestimmen, welches Verarbeitungsmodul dem Kennsatz dieses Pakets entspricht. Die Einheit 37 aktiviert dann das betreffende Modul, damit dieses die entsprechende Elementarverarbeitung durchführt. In manchen Fällen kann diese Elementarverarbeitung eine Veränderung des Paketinhalts nach sich ziehen, insbesondere seines Kopfs.
  • Es ist klar, dass die „Entnahme" des Pakets, auf die Bezug genommen wird, eine Entnahme aus dem FIFO-Speicher im logischen Sinn ist. Das Paket wird nicht unbedingt aus dem Speicher entfernt. Die Adressen der Pakete im Speicher 35 können üblicherweise mittels Pointern verwaltet werden, um die FIFO-Organisation zu berücksichtigen. Der aktivierte Verarbeitungsmodul kann einfach über die Adresse des laufenden Pakets verfügen, um die Lesevorgänge, Analysen, Veränderungen oder Unterdrückungen durchzuführen, die ggf. erforderlich sind.
  • Das erste Verarbeitungsmodul M1, dem der Ursprungs-Kennsatz 0 zugeordnet ist, ist ein Filtermodul, das die Adressen- und/oder Protokolldefinitions- und/oder Portfelder des IP-Kopfes der Pakete analysiert. Mit Hilfe einer Zuordnungstabelle T1 liefert der Filtermodul M1 einen zweiten Verarbeitungs-Kennsatz, der eine Verkettung von Elementarverarbeitungen identifiziert, die anschließend am Paket durchgeführt werden müssen. Nachdem der zweite Verarbeitungs-Kennsatz für das aus dem Speicher 35 entnommene Paket bestimmt wurde, speichert das Filtermodul M1 das Paket mit dem zweiten Verarbeitungs-Kennsatz erneut im Speicher 35. Die folgende Elementarverarbeitung wird dann in dem Moment durchgeführt, in dem das Paket erneut aus dem Speicher entnommen wird.
  • Das Modul M2 ist ein Modul, um Pakete, die zu bestimmten Flüssen gehören, zu zählen. Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird dieser Modul M2 für die Verarbeitungs-Kennsätze 2 und 4 aufgerufen. Wenn er ein Paket verarbeitet, inkrementiert das Modul M2 einen Zähler mit der Anzahl von Bytes des Pakets, oder anderenfalls mit dem Wert 1 im Fall eines Paketzählers. Der Zähler kann gesichert sein, insbesondere, wenn er zur Fakturierung an den Teilnehmer durch den Verwalter des Netzes 10 dient. Bei einem gesicherten Zähler werden beim Zugangsanbieter regelmäßig Übertragungskredite angefordert, wobei die relevanten Pakete zerstört werden, wenn der Kredit erschöpft ist.
  • Das Modul M3 der 3 ist ein Prioritätsmanagementmodul. Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird dieser Modul M3 für den Verarbeitungs-Kennsatz 3 aufgerufen. Das Modul M3 bearbeitet das Feld TOS („Type Of Service") des IP-Kopfes der Pakete. Der TOS wird im Netz zur Verwaltung der Weiterleitungsprioritäten verwendet, um auf bestimmten Verbindungen eine bestimmte Dienstqualität zu liefern. Das Feld TOS kann gemäß vorher gespeicherten Tabellen verändert werden. Diese Tabellen können unter der Kontrolle des Zugangsanbieters definiert werden, um zu verhindern, dass Pakete in ungeeigneter Weise mit einer hohen Priorität übertragen werden, wodurch das Netz gestört werden könnte.
  • Die zuletzt an einem Paket des Speichers 35 durchgeführte Elementarverarbeitung ist entweder seine Zerstörung (Modul M4 aktiviert durch den Kennsatz 8), oder seine Rückführung zum Ausgang des Flussprozessors (Modul M5 aktiviert durch den Kennsatz 5 oder 9). Der Modul M4 kann verwendet werden, um Pakete zu zerstören, die ein bestimmtes Ziel und/oder einen bestimmten Ursprung haben.
  • Die Module M2 und M3, die nicht die für ein Paket vorzunehmenden Verarbeitungen beenden (außer im Fall der Zerstörung), arbeiten je mit einer Kennsatz-Übersetzungstabelle T2, T3. Diese Übersetzungstabelle bezeichnet für den aus dem Speicher 35 mit dem laufenden Paket entnommenen Verarbeitungs-Kennsatz einen anderen Verarbeitungs-Kennsatz, der die folgende zu gewährleistende Elementarverarbeitung bezeichnet. Die von diesem Modul M2 oder M3 gewährleistete Elementarverarbeitung endet durch die Zuordnung des Pakets zu diesem anderen Verarbeitungs-Kennsatz und die Wiedereinspeisung des so verarbeiteten Pakets in den Speicher 35.
  • So kann man sehr unterschiedliche Verarbeitungskombinationen an den verschiedenen den Prozessor durchfließenden Datenflüssen durchführen.
  • 4 zeigt ein vereinfachtes Beispiel, das den in 3 dargestellten Tabellen 38, T1–T3 entspricht. Das eingehende Paket 30, das dem ersten Kennsatz 0 zugeordnet ist, wird zunächst der vom Modul M1 durchgeführten Filterung unterzogen.
  • In einem besonders betrachteten Fall zählt der Flussprozessor 24 die von einer Quellenadresse AS1 zu einer Zieladresse AD1 und einem Port P1 gesendeten Pakete und verändert das Feld TOS dieser Pakete, ehe er sie über die Leitung 17 ausliefert, was dem oberen Zweig des Graphs der 4 entspricht. Darüber hinaus zählt der Flussprozessor 24 die von einer Quellenadresse AS2 zu einem Port P2 kommenden Pakete, ehe er sie zerstört, was dem unteren Zweig der 4 entspricht. Die anderen Pakete werden einfach an die Leitung 17 geliefert. Der Vorgabewert (9) des Verarbeitungs-Kennsatzes, der vom Modul M1 zurückgeschickt wird, bezeichnet also einfach den Ausgangsmodul M5. Wenn der Modul M1 im aus dem Speicher 35 entnommenen Paket die Kombination AS1, AD1, P1 in den zutreffenden Adressen- und Portfeldern erfasst, schickt er das Paket mit dem Verarbeitungs-Kennsatz 2 zurück. Wenn die Werte AS2, P2 in den Adressen- und Portfeldern erfasst werden, ist es der Kennsatz 4, der mit dem Paket zurückgeschickt wird.
  • Diese Kennsätze 2 und 4 entsprechen beide dem Zählmodul M2. Der Kennsatz zeigt für diesen Modul auch die Speicheradresse des Zählers an, der inkrementiert werden muss. Die Tabelle T2, mit der das Modul M2 arbeitet, ermöglicht es am Ende der Verarbeitung, die Rückkehr zum nächsten zu aktivierenden Modul durchzuführen (M3 bezeichnet mit Kennsatz 3 die Pakete, deren TOS verändert werden muss, M4 bezeichnet mit Kennsatz 8 die zu zerstörenden Pakete).
  • Der Modul M3 empfängt Pakete mit dem Verarbeitungs-Kennsatz 3 und schickt sie mit dem Kennsatz 9 zurück, nachdem er die erforderliche Veränderung des Felds TOS durchgeführt hat.
  • Ausgehend von diesem vereinfachten Beispiel sieht man, dass der Flussprozessor es ermöglicht, ausgehend von der Identifikation eines Flusses durch den Filtermodul M1, verschiedene Kombinationen von Elementarverarbeitungen auf relativ einfache und schnelle Weise durchzuführen.
  • Ein Hauptvorteil dieser Vorgehensweise ist die Flexibilität der Konfigurationsoperationen des Flussprozessors. Die Tabellen 38, T1–T3, die einen beliebigen Graph von Elementarverarbeitungen definieren, wie derjenige, der in 4 dargestellt ist, können relativ einfach und mit einem geringen Echtzeitzwang mittels der Managementeinheit 36 über die API konstruiert werden. Gleiches gilt für die Informationen, die es den Modulen M1–M5 erlauben, ihre Elementarverarbeitungen durchzuführen (Beschreibung der durch den Modul M2 durchzuführenden Zählvorgänge, Art der Änderung der Felder TOS durch den Modul M3, ...).
  • In der Praxis kann der Flussprozessor verschiedene andere Verarbeitungsmodule als diejenigen aufweisen, die als Beispiel in den 3 und 4 dargestellt sind, je nach den Bedürfnissen der besonderen Anlage (zum Beispiel Managementmodul der Ausgangswarteschlangen, Adressumsetzungsmodul, ...).
  • Die oben beschriebene Signaturfunktion der gesendeten Pakete kann Teil der Elementarverarbeitung sein, die vom Ausgangsmodul M5 gewährleistet wird. In einer typischen Ausführung des Zugangsrouters ist der Flussprozessor 24 in einer integrierten Schaltung für eine spezifische Anwendung (ASIC) enthalten, die um einen Mikrocontrollerkern herum organisiert ist. Diese Ausführung ermöglicht es, dass es keinerlei physikalischen Zugang zwischen den Flussprüfungsmodulen 39 (zumindest denen, die die Beziehungen zwischen dem Teilnehmer und dem Verwalter des Netzes 10 betreffen) und dem Modul M5 gibt, der die Signatur der Pakete übernimmt, entsprechend dem Block 40 der 1. Dies verbessert die Sicherheit der Verbindung aus der Sicht des Netzverwalters.

Claims (5)

  1. Vorrichtung zur Verarbeitung einer Folge von Informationspaketen, dadurch gekennzeichnet, dass sie einen als Stapelspeicher organisierten Paketspeicher (35), in dem die Pakete (30) der Folge in Zuordnung zu Verarbeitungs-Kennsätzen (36) eingeordnet sind, eine Gruppe von Verarbeitungsmodulen (M1–M5) und Überwachungsmittel (37) aufweist, die den jedem aus dem Paketspeicher entnommenen Paket zugeordneten Verarbeitungs-Kennsatz empfangen und eines der Verarbeitungsmodule aktivieren, der in Abhängigkeit vom empfangenen Kennsatz ausgewählt wird, wobei der aktivierte Modul eine Elementarverarbeitung des entnommenen Pakets gewährleistet, und dass die von mindestens einem der Verarbeitungsmodule (M2, M3) gewährleistete Elementarverarbeitung die Zuordnung des entnommenen Pakets zu einem Kennsatz enthält, der entsprechend einer Kennsatz-Übersetzungstabelle (T2, T3) verändert wurde, wobei das verarbeitete Paket anschließend in Verbindung mit dem veränderten Kennsatz erneut im Paketspeicher (35) eingeordnet wird.
  2. Vorrichtung nach Anspruch 1, bei der zu Beginn jedem Paket (30) der Folge ein erster Verarbeitungs-Kennsatz zugeordnet ist, bei der die Überwachungsmittel (37) einen Filtermodul (M1), der Teil der Gruppe von Verarbeitungsmodulen ist, als Reaktion auf dem Empfang des ersten Verarbeitungs-Kennsatzes aktivieren, und bei der die vom Filtermodul gewährleistete Elementarverarbeitung eine Analyse eines Vorspanns des entnommenen Pakets und die Zuordnung des Pakets zu einem zweiten Verarbeitungs-Kennsatz enthält, der vom Ergebnis der Analyse abhängt.
  3. Vorrichtung nach Anspruch 1 oder 2, bei der die Gruppe von Verarbeitungsmodulen einen Ausgangsmodul (M5) aufweist, der das entnommene Paket zu einem Ausgang der Vorrichtung mit einer Signatur überträgt, die auf einem gemeinsamen Geheimnis mit einem Konzentrationsrouter (12) eines Telekommunikationsnetzes (10) beruht und die authentifiziert, dass das Paket den von der Vorrichtung (24) durchgeführten Verarbeitungen unterzogen wurde.
  4. Verfahren zur Verarbeitung einer Folge von Informationspaketen, dadurch gekennzeichnet, dass die Pakete (30) der Folge in einem als Stapelspeicher organisierten Paketspeicher (35) in Zuordnung zu Verarbeitungs-Kennsätzen (36) eingeordnet werden, dass der jedem aus dem Paketspeicher entnommenen Paket zugeordnete Verarbeitungs-Kennsatz untersucht wird, um einen in Abhängigkeit vom empfangenen Kennsatz aus einer Gruppe von Verarbeitungsmodulen (M1–M5) ausgewählten Verarbeitungsmodul zu aktivieren, wobei der aktivierte Modul eine Elementarverarbeitung des entnommenen Pakets gewährleistet, und dass die von mindestens einem der Verarbeitungsmodule (M2, M3) gewährleistete Elementarverarbeitung das Zuordnen des entnommenen Pakets zu einem entsprechend einer Kennsatz-Übersetzungstabelle (T2, T3) veränderten Kennsatz enthält, wobei das verarbeitete Paket anschließend in Verbindung mit dem veränderten Kennsatz erneut im Paketspeicher eingeordnet wird.
  5. Verfahren nach Anspruch 4, bei dem jedes Paket, nachdem es verschiedenen Elementarverarbeitungen unterzogen wurde, mit einer Signatur geliefert wird, die auf einem gemeinsamen Geheimnis mit einem Konzentrationsrouter (12) eines Telekommunikationsnetzes (10) beruht und die authentifiziert, dass das Paket den Elementarverarbeitungen unterzogen wurde.
DE69925380T 1998-12-14 1999-12-10 Vorrichtung und verfahren zur verarbeitung einer paketsequenz Expired - Lifetime DE69925380T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9815757A FR2787267B1 (fr) 1998-12-14 1998-12-14 Dispositif et procede de traitement d'une sequence de paquets d'information
FR9815757 1998-12-14
PCT/FR1999/003099 WO2000036779A2 (fr) 1998-12-14 1999-12-10 Dispositf et procede de traitement d'une sequence de paquets d'information

Publications (2)

Publication Number Publication Date
DE69925380D1 DE69925380D1 (de) 2005-06-23
DE69925380T2 true DE69925380T2 (de) 2006-05-04

Family

ID=9533939

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69925380T Expired - Lifetime DE69925380T2 (de) 1998-12-14 1999-12-10 Vorrichtung und verfahren zur verarbeitung einer paketsequenz

Country Status (8)

Country Link
US (1) US6925507B1 (de)
EP (1) EP1142182B1 (de)
AT (1) ATE296002T1 (de)
CA (1) CA2357909A1 (de)
DE (1) DE69925380T2 (de)
ES (1) ES2243085T3 (de)
FR (1) FR2787267B1 (de)
WO (1) WO2000036779A2 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738379B1 (en) * 2000-03-30 2004-05-18 Telefonaktiebolaget Lm Ericsson (Publ) Method of preserving data packet sequencing
US7305649B2 (en) * 2005-04-20 2007-12-04 Motorola, Inc. Automatic generation of a streaming processor circuit
US20060265485A1 (en) * 2005-05-17 2006-11-23 Chai Sek M Method and apparatus for controlling data transfer in a processing system
US7603492B2 (en) * 2005-09-20 2009-10-13 Motorola, Inc. Automatic generation of streaming data interface circuit
US20080120497A1 (en) * 2006-11-20 2008-05-22 Motorola, Inc. Automated configuration of a processing system using decoupled memory access and computation
DE102008001548B4 (de) * 2008-05-05 2017-03-02 Robert Bosch Gmbh Teilnehmerknoten eines Kommunikationssystems, Kommunikationssystem und Verfahren zum Übertragen einer Nachricht in dem Kommunikationssystem
US8649378B2 (en) * 2008-05-22 2014-02-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for controlling the routing of data packets
US8059547B2 (en) * 2008-12-08 2011-11-15 Advantest Corporation Test apparatus and test method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69330904T2 (de) * 1992-12-04 2002-06-20 At & T Corp Paketnetz-Schnittstelle
SE515422C2 (sv) * 1993-03-10 2001-07-30 Ericsson Telefon Ab L M Etiketthantering i paketnät
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US6104716A (en) 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
JP3098996B2 (ja) * 1999-03-03 2000-10-16 株式会社神戸製鋼所 パケット通信装置

Also Published As

Publication number Publication date
ES2243085T3 (es) 2005-11-16
US6925507B1 (en) 2005-08-02
EP1142182A2 (de) 2001-10-10
FR2787267B1 (fr) 2001-02-16
EP1142182B1 (de) 2005-05-18
WO2000036779A3 (fr) 2001-01-04
WO2000036779A2 (fr) 2000-06-22
FR2787267A1 (fr) 2000-06-16
ATE296002T1 (de) 2005-06-15
CA2357909A1 (fr) 2000-06-22
DE69925380D1 (de) 2005-06-23

Similar Documents

Publication Publication Date Title
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE602005006070T2 (de) Interner Lastausgleich in einem Datenschalter mit verteiltem Netzwerkprozess
DE69926109T2 (de) Paketversendegerät mit einer Flussnachweistabelle
DE10296945B4 (de) System und Verfahren zum differenzierten Warteschlangenbilden in einem Routing-System
DE60029879T2 (de) System zur mehrschichtigen Bereitstellung in Computernetzwerken
DE60024228T2 (de) Dynamische zuweisung verkehrsklassen an einer prioritätswarteschlange in einer paketbeförderungsvorrichtung
DE60102367T2 (de) Netzoptimierungsmethode
DE60300333T2 (de) Verfahren und Vorrichtung für ein flexibles Rahmenverarbeitungs und Klassifikationssystem
DE10100842B4 (de) Kommunikationsvorrichtung mit Mehrschichten-Klassenidentifikation und Prioritätssteuerung
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE60121755T2 (de) Ipsec-verarbeitung
DE10297269T5 (de) Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache
DE69926599T2 (de) Verfahren und Vorrichtung zur Reglementierung des Datenverkehrs
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
EP1133112B1 (de) Verfahren zum Verteilen einer Datenverkehrslast eines Kommunikationsnetzes und Kommunikationsnetz zur Realisierung des Verfahrens
DE69925380T2 (de) Vorrichtung und verfahren zur verarbeitung einer paketsequenz
DE60109038T2 (de) Zugangskontrolleinrichtung zwischen atm-netzen
DE102016222740A1 (de) Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
DE112019002585T5 (de) Datenebene mit heavy-hitter-detektor
DE602005006127T2 (de) Sicheres Kommunikationsverfahren- und gerät zur Verarbeitung von SEND-Datenpaketen
DE69925381T2 (de) Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz
DE102011080676A1 (de) Konfiguration eines Kommunikationsnetzwerks

Legal Events

Date Code Title Description
8364 No opposition during term of opposition