-
Die
vorliegende Erfindung bezieht sich auf Netze mit paketweiser Datenübertragung.
Sie betrifft insbesondere, aber nicht ausschließlich, gemeinsam genutzte Netze,
die gemäß dem Internet-Protokoll (IP)
arbeiten.
-
Die
Erfindung wird im Rahmen der vertraglichen Beziehungen zwischen
einem Zugangsanbieter zum gemeinsam genutzten Netz und seinen Kunden eingesetzt.
Der Anbieter verfügt
für den
Anschluss der Anlagen seiner Kunden über einen oder mehrere Konzentrationsrouter
des gemeinsam genutzten Netzes. Übertragungsleitungen
verbinden diesen Konzentrationsrouter mit den Zugangsschnittstellen
der Anlagen der Kunden, die Schnittenstellen von Zugangsroutern
privater Netze sein können.
-
Als „Polizei"-Funktionen werden
hier verschiedene Verarbeitungs- oder Prüfungsvorgänge bezeichnet, die auf der
Ebene einer derartigen Schnittstelle an diesen durchfließenden Datenflüssen durchgeführt werden.
Als nicht einschränkend
zu verstehende Beispiele können
das Zählen
der zwischen einer gegebenen Quellenadresse und einer gegebenen
Zieladresse ausgetauschten Pakete, die Zuordnung von Prioritäten zu bestimmten
Paketen, Adressumsetzungen, die selektive Zerstörung bestimmter Pakete usw.
erwähnt
werden.
-
Diese
Polizei-Funktionen können
in einen Vertragsrahmen zwischen einem Teilnehmer (Kunde) und einem
Netzverwalter (Dienstanbieter) eingetragen werden. Dies kann zum
Beispiel bei die Fakturierung, die Durchsatzkontrolle, die Zugriffsgenehmigungen
zu bestimmten mit dem Netz verbundenen Websites, die Anwendung von
Reservierungsprotokollen wie RSVP, usw. betreffenden Funktionen
der Fall sein. Sie können
auch im Rahmen der internen Organisation eines öffentlichen oder privaten Netzes liegen,
zum Beispiel, um bestimmte Zugänge
zu prüfen.
-
Üblicherweise
werden die Polizei-Funktionen, die dem Vertragsrahmen zwischen dem
Zugangsanbieter und seine Kunden unterliegen, auf der Ebene der
Anschluss-Schnittstellen
des Konzentrationsrouters eingesetzt. Dieser Router enthält Softwareprogramme
zur Prüfung
der Datenflüsse,
die über
seine verschiedenen Schnittstellen zirkulieren. Die Pakete mit bestimmten
Adressen oder Ports der Herkunft oder des Ziels werden gezählt, gefiltert,
neu angeordnet ..., je nach dem angebotenen Dienst. Aufgrund der
hohen Anzahl von Anlagen, die mit dem Konzentrationsrouter verbunden
sein können,
und der Vielfalt von Diensten, die an diese Anlagen geliefert werden
können,
können
die verschiedenen anzuwendenden Flussprüfungen die Komplexität des Routers
beträchtlich
erhöhen.
Dieser Nachteil ist umso bedeutender, als immer unterschiedlichere Verarbeitungen
von den Kunden angefordert werden oder für die neuen Reservierungsprotokolle
erforderlich sind.
-
Andererseits
ist diese Organisation aus Sicht des Kunden nicht flexibel, der
manche Eigenschaften des ihm angebotenen Dienstes weiterentwickeln möchte. Hierzu
muss er sich an seinen Anbieter wenden, damit dieser die erforderlichen Änderungen
auf der Ebene seines Konzentrationsrouters durchführt.
-
Das
Dokument „Router
Encryption Made Easy – The
Hard Way", A. Cray,
DATA COMMUNICATIONS, Vol. 26, Nr. 2, 1. Februar 1997, Seite 36, 38
XP000 659573 ISSN: 0363-6399 beschreibt einen Router, der es ermöglicht,
IP-Pakete selektiv zu chiffrieren.
-
Die
Druckschrift
GB 2 323 757 beschreibt
ein Protokoll des gesicherten Tunnelns, das die Kommunikation über eine
oder mehrere Firewalls mit Hilfe von dedizierten Servern oder Proxies
ermöglicht.
-
Das
Dokument „Security", L. Bruno, DATA COMMUNICATIONS,
Vol. 27, Nr. 1, 1. Januar 1998, Seite 88, 90 XP 000733531, ISSN:
0363-6399 beschreibt ein System, das die Chiffrierung von Daten ermöglicht,
die zwischen Netz-Gateways übertragen werden.
-
Das
Dokument „Locking
Down Intranets From Afar – For
Less", J. Makris,
DATA COMMUNICATIONS, Vol. 27, Nr. 11, 11. August 1998, Seiten 25,
26, XP000782253, ISSN: 0363-6399 beschreibt eine Architektur, die
sich auf mehrere Firewalls stützt, um
gesicherte Tunnel einzusetzen.
-
Ein
Ziel der vorliegenden Erfindung ist es, einen Betriebsmodus des
Netzes vorzuschlagen, der die Berücksichtigung einer großen Vielfalt
von Flussprüfungen
ohne übermäßige Erhöhung der
Komplexität
der Konzentrationsrouter erlaubt und eine relative Konfigurations-Flexibilität aufweist.
-
Die
Erfindung schlägt
ein Verfahren zum Transport von Paketen zwischen einer Zugangsschnittstelle
einer Teilnehmeranlage und einem Konzentrationsrouter eines gemeinsam
genutzten Netzes vor, bei dem die Zugangsschnittstelle im Rahmen eines
Vertrags zwischen dem Teilnehmer und einem Steuerprogramm-Verwalter
des gemeinsam genutzten Netzes Prüfoperationen an zum Konzentrationsrouter übertragenen
Paketflüssen
durchführt.
Nach der Durchführung
der Prüfoperationen
an einem zu sendenden Paket sendet die Zugangsschnittstelle dieses
Paket mit einer Signatur zum Konzentrationsrouter, die auf einem
gemeinsamen Geheimnis mit dem Konzentrationsrouter beruht und authentifiziert, dass
das Paket den Prüfoperationen
unterzogen wurde.
-
Vorzugsweise
werden der Erhalt der Signatur und zumindest bestimmte der Prüfoperationen
innerhalb der gleichen integrierten Schaltung durchgeführt, ohne
physischen Zugriff direkt vor dem Erhalt der Signatur.
-
Die
Flussprüfungen
gemäß dem Vertragsrahmen
zwischen dem Netzverwalter und dem Teilnehmer sind dezentralisiert,
wodurch vermieden wird, dass der Konzentrationsrouter die ganze
Vielfalt der von den verschiedenen Abonnements geforderten Operationen übernehmen
muss. Der Mechanismus der Signatur der Pakete garantiert dem Netzverwalter,
dass der Teilnehmer, der in seinen Räumen über den Schnittstellenzugang
verfügt,
ihm keine Pakete sendet, die keinen Flussprüfungsoperationen unterzogen
wurden, d.h. die die Polizei- und Fakturierungsfunktionen umgangen
haben.
-
Das
Verfahren führt
zu einer verteilten Architektur des Zugangs und der Konzentration,
die gut geeignet ist, um die Zunahme des Verkehrs und der Vielfalt
an Diensten zu berücksichtigen,
die die zukünftigen
Anwendungen nach sich ziehen werden.
-
Der
Teilnehmer profitiert außerdem
von einer größeren Flexibilität, um die
Eigenschaften seines Abonnements dynamisch definieren zu können. Es genügt, dass
er auf der Ebene der Zugangsschnittstelle eingreift, über die
er verfügt.
Andererseits kann er die Polizei-Funktionen, die dem Vertragsrahmen mit
dem Zugangsanbieter unterliegen, auf der gleichen Plattform wie
die anderen Polizei-Funktionen definieren,
die er für
die interne Organisation seiner Anlage verwendet, was seine Organisation
vereinfacht.
-
Ein
weiterer Aspekt der vorliegenden Erfindung bezieht sich auf eine
Zugangsschnittstelle, um einen Zugangsrouter einer Teilnehmeranlage
mit einem Konzentrationsrouter eines gemeinsam genutzten Netzes
zu verbinden, die Mittel zur Prüfung
der im Rahmen eines Vertrags zwischen dem Teilnehmer und einem Verwalter
des gemeinsam genutzten Netzes zum Konzentrationsrouter gesendeten
Paketflüsse
und Signaturmittel aufweist, die die von den Mitteln zur Prüfung des
Paketflusses gelieferten Pakete empfangen und signierte Pakete erzeugen,
die zum Konzentrationsrouter gesendet werden, wobei jedes signierte
Paket eine Signatur aufweist, die auf einem gemeinsamen Geheimnis
mit dem Konzentrationsrouter beruht und authentifiziert, dass das
Paket den Flussprüfmitteln
unterzogen wurde.
-
Weitere
Besonderheiten und Vorteile der vorliegenden Erfindung gehen aus
der nachfolgenden Beschreibung von nicht einschränkend zu verstehenden Ausführungsbeispielen
unter Bezugnahme auf die beiliegenden Zeichnungen hervor. Es zeigen:
-
1 ein
Schaltbild eines Netzes, in dem die Erfindung eingesetzt werden
kann;
-
2 ein
Funktionsschaltbild eines Zugangsrouters einer privaten Anlage ddieses
Netzes;
-
3 ein
Funktionsschaltbild einer Flussverarbeitungsvorrichtung, die Teil
einer Schnittstelle des Routers der 2 ist; und
-
4 einen
Graph von Elementarverarbeitungen, die von der Vorrichtung der 3 gewährleistet
werden.
-
1 zeigt
ein gemeinsames Weitverkehrsnetz (WAN) 10, das eine gewisse
Anzahl von miteinander verbundenen Routern und Switches 11, 12 aufweist.
Hier wird der Fall betrachtet, in dem das gemeinsame Netz 10 gemäß dem IP-Protokoll
arbeitet. Eine bestimmte Anzahl der Router sind Konzentrationsrouter 12,
mit denen private Anlagen 13 verbunden sind.
-
Eine
private Teilnehmeranlage 13 ist typischerweise mit dem
gemeinsamen Netz 10 mittels eines Zugangsrouters 15 verbunden,
von dem eine der Schnittstellen 16 mit einer Leitung 17 zur Übertragung
vom und zum Konzentrationsrouter 12 verbunden ist. Der
Zugangsrouter 15 kann mit anderen Routern der privaten
Anlage 13 oder mit Servern oder Terminals 18 dieser
Anlage mittels weiterer Schnittstellen verbunden sein, die nicht
in 1 dargestellt sind.
-
2 zeigt
ein Beispiel einer Architektur des Zugangsrouters 15. Die
externe Schnittstelle 16 sowie die Schnittstellen 20, 21 mit
dem Rest der privaten Anlage 13 sind mit dem Kern des Routers
verbunden, der aus einer Paketweiterleitungsmaschine 22 („Packet
Forwarding Engine")
besteht. Die Weiterleitungsmaschine 22 befördert die
Pakete auf der Basis der Adressen- und Portfelder, die in den Köpfen der Pakete
gemäß dem IP-Protokoll
und seinen möglichen
Erweiterungen (TCP, UDP etc.) enthalten sind, unter Zuhilfenahme
von Routingtabellen von einer Schnittstelle zur anderen.
-
Manche
der Schnittstellen des Zugangsrouters 15 sind nur in einer
oder in beiden Übertragungsrichtungen
mit Verarbeitungsvorrichtungen, oder Flussprozessoren, 24, 25 versehen,
die Polizei-Funktionen gewährleisten.
Im illustrierenden Beispiel der 2 gehört die Vorrichtung 24 zur
externen Schnittstelle 16 in ausgehender Richtung, und die
Vorrichtung 25 gehört
zu einer anderen Schnittstelle 20 in eingehender Richtung.
-
Der
Zugangsrouter wird von einer Steuerungseinheit 26 überwacht,
die aus einem Mikrocomputer oder einer Workstation bestehen kann,
die eine Routing-Software ausführt,
die insbesondere dazu dient, die Routingtabelle der Weiterleitungsmaschine 22 und
die Flussprozessoren 24, 25 zu konfigurieren und
mit ihnen Prüf-
oder Protokollinformationen auszutauschen. Diese Befehle und Austauschvorgänge erfolgen über eine
geeignete Anwendungsprogrammierungs-Schnittstelle (API).
-
Die
meisten existierenden Paket-Routing- und Weiterleitungs-Softwareprogramme
sind frei verfügbar
in Unix-Umgebungen, aber ihre Leistungsfähigkeit ist üblicherweise
aufgrund der häufigen
Unterbrechungen des Betriebssystems begrenzt. Es ist sehr viel schneller,
ein Echtzeit-Betriebssystem wie VxWorks zu verwenden, aber dies
verkompliziert die Implementation der Routing-Software.
-
Es
ist die Aufgabe der Flussprozessoren 24, 25, das
Nicht-Echtzeit-Betriebssystem (wie Unix), auf dessen Basis die Steuerungseinheit 26 arbeitet,
bei den komplexen Prozessen der Manipulation der Flüsse zu unterstützen, die
Echtzeit-Leistungen erfordern (Weiterleitung, Filterung, Chiffrierung
etc.). Diese Prozessoren verwenden eine gewisse Anzahl von Werkzeugen
zur Manipulation der Flüsse,
die entsprechend jeder beliebigen Kombination dynamisch verbunden
sein können,
um die geforderte Task auszuführen.
Diese Konfiguration kann über das
Betriebssystem Unix durch Aufrufen der API-Funktionen durchgeführt werden,
was das Einsetzen neuer Funktionalitäten durch den Programmierer
wesentlich vereinfacht.
-
Wie
schematisch in 1 dargestellt, besteht eine
der vom Flussprozessor 24 der externen Schnittstelle 16 des
Zugangsrouters 15 durchgeführten Prozesse darin, jedes
Paket zu einem Konzentrationsrouter 12 zu senden, wobei
er dem Paket eine numerische Signatur hinzugefügt (Block 40). Diese Signatur
bezeugt, dass die fraglichen Pakete den anderen Flussprüfungsoperationen
(Block 39) unterzogen wurden, die vom Prozessor 24 durchgeführt werden.
-
Die
entsprechende Schnittstelle 28 des Konzentrationsrouters 12 weist
einen Modul zur Analyse der über
die Leitung 17 empfangenen Pakete auf, um sich vom Vorhandensein
der Signatur zu überzeugen.
-
Diese
Signaturtechnik ermöglicht
es vorteilhafterweise, die Flussprüfungsoperationen zu dezentralisieren,
die für
die Vertragsbeziehungen zwischen dem Verwalter des Konzentrationsrouters 12,
der den Anschlussdienst zum gemeinsamen Netz 10 liefert,
und den Teilnehmern notwendig sind, deren Anlagen 13 mit
diesem Konzentrationsrouter 12 verbunden sind. In den herkömmlichen
Ausführungsformen werden
diese Flussprüfungsoperationen
auf der Ebene des Konzentrationsrouters durchgeführt. Daraus entsteht eine beträchtliche
Komplexität
des Konzentrationsrouters, wenn er mit einer größeren Anzahl von privaten Anlagen
verbunden ist, und ein Mangel an Flexibilität für die Teilnehmer, wenn Änderungen erforderlich
sind.
-
Die
Tatsache, dass diese Flussprüfungsoperationen
in Höhe
der Zugangsrouter 15 durchgeführt werden, bringt in dieser
Hinsicht eine große
Flexibilität.
Die Signatur der Pakete garantiert dann dem Dienstanbieter, dass
die Leitung 17 ihm keine gültigen Pakete schickt, die
außerhalb
des Vertragsrahmens mit dem Teilnehmer liegen. Wenn ein solches Paket
ankommen würde,
würde es
die Schnittstelle 28 des Konzentrationsrouters 12 einfach
eliminieren, nachdem sie die Abwesenheit der entsprechenden Signatur
festgestellt hat.
-
Es
können
verschiedene herkömmliche
Methoden verwendet werden, um die Signatur der Pakete auf der Basis
eines den Routern 12 und 15 gemeinsamen Geheimnisses
zu konstruieren und zu analysieren. Die Signatur kann insbesondere
die Form eines Codeworts haben, das zum Inhalt des Pakets hinzugefügt und auf
der Basis des ganzen oder eines Teils dieses Inhalts und eines geheimen Schlüssels berechnet
wird, wobei die Berechnung mit Hilfe einer Funktion durchgeführt wird,
die äußerst schwierig
invertierbar ist, um den Geheimschlüssel wiederzugewinnen. Man
kann so eine Technik des Zerhackens des Inhalts oder nur eines Teils
des Inhalts des Pakets verwenden, zum Beispiel ein MD5-Zerhacken
(siehe R. Rivest, RFC 1231, „The
MD5 Message Digest Algorithm").
-
Man
kann auch eine Chiffriermethode verwenden, um die Signatur der Pakete
zu bilden. Der Inhalt des Pakets wird dann mit Hilfe eines privaten Schlüssels chiffriert,
wobei die Schnittstelle 28 des Konzentrationsrouters die
entsprechende Dechiffrierung mit Hilfe eines öffentlichen oder privaten Schlüssels gewährleistet.
Die nicht chiffrierten oder mit einem falschen Schlüssel chiffrierten
Pakete werden dann auf der Ebene der Schnittstelle 28 zerstört.
-
Optional
kann man vorsehen, dass die Schnittstelle 28 des Konzentrationsrouters
ebenfalls die Pakete signiert, die sie auf der Leitung 17 sendet, und
dass die Schnittstelle 16 des Zugangsrouters diese Signatur überprüft, um die
Gültigkeit
der empfangenen Pakete sicherzustellen.
-
3 zeigt
die Organisation eines Flussprozessors 24 oder 25 einer
Schnittstelle des Zugangsrouters 15.
-
Der
Flussprozessor empfängt
eine Folge von eingehenden Paketen 30, die je einen Kopf 31 entsprechend
dem IP-Protokoll aufweisen, und liefert eine Folge von ausgehenden
Paketen 32 mit einem Kopf 33, nachdem er bestimmte
Elementarverarbeitungen durchgeführt
hat, deren Art von den betreffenden Datenflüssen abhängt.
-
Die
eingehenden Pakete 30 werden in einem Paketspeicher 35 eingeordnet,
der als Stapelspeicher vom Typ First-In-First-Out (FIFO) organisiert
ist. Jedes Paket wird an den Speicher 35 mit einem Verarbeitungs-Kennsatz 36 geliefert.
Der Verarbeitungs-Kennsatz
hat zu Anfang einen bestimmten Wert (0 im dargestellten Beispiel)
für die
eingehenden Pakete 30.
-
Der
Flussprozessor wird von einer Einheit 37 überwacht,
die mit einer Tabelle 38 zusammenwirkt, die es ermöglicht,
jedem Wert des Verarbeitungs-Kennsatzes einen besonderen Verarbeitungsmodul
zuzuordnen. Im in 3 dargestellten, vereinfachten
Beispiel weist der Flussprozessor eine Gruppe von fünf Verarbeitungsmodulen
M1–M5
auf, die Elementarverarbeitungen unterschiedlicher Art durchführen.
-
Nach
der Ausführung
einer Elementarverarbeitung fragt die Überwachungseinheit 37 den
Paketspeicher 35 ab. Wenn dieser nicht leer ist, wird gemäß der FIFO-Organisation ein
Paket daraus entnommen. Die Überwachungseinheit 37 fragt
die Tabelle 38 ab, um zu bestimmen, welches Verarbeitungsmodul
dem Kennsatz dieses Pakets entspricht. Die Einheit 37 aktiviert
dann das betreffende Modul, damit dieses entsprechende Elementarverarbeitung durchführt. In
manchen Fällen
kann diese Elementarverarbeitung eine Veränderung des Paketinhalts nach
sich ziehen, insbesondere seines Kopfes.
-
Es
ist klar, dass die „Entnahme" des Pakets, auf
die Bezug genommen wird, eine Entnahme aus dem FIFO-Speicher im
logischen Sinn ist. Das Paket wird nicht unbedingt aus dem Speicher
entfernt. Die Adressen der Pakete im Speicher 35 können üblicherweise
mittels Pointern verwaltet werden, um die FIFO-Organisation zu berücksichtigen.
Der aktivierte Verarbeitungsmodul kann einfach über die Adresse des laufenden
Pakets verfügen,
um die Lesevorgänge,
Analysen, Veränderungen
oder Unterdrückungen durchzuführen, die
ggf. erforderlich sind.
-
Der
erste Verarbeitungsmodul M1, dem der Ursprungs-Kennsatz 0 zugeordnet
ist, ist ein Filtermodul, das die Adressen- und/oder Protokolldefinitions-
und/oder Portfelder des IP-Kopfes der Pakete analysiert. Mit Hilfe
einer Zuordnungstabelle T1 liefert der Filtermodul M1 einen zweiten
Verarbeitungs-Kennsatz, der eine Verkettung von Elementarverarbeitungen
identifiziert, die anschließend
am Paket durchgeführt
werden müssen.
Nachdem der zweite Verarbeitungs-Kennsatz für das aus dem Speicher 35 entnommene
Paket bestimmt wurde, speichert das Filtermodul M1 das Paket mit
dem zweiten Verarbeitungs-Kennsatz erneut im Speicher 35.
Die folgende Elementarverarbeitung wird dann in dem Moment durchgeführt, in
dem das Paket erneut aus dem Speicher entnommen wird.
-
Das
Modul M2 ist ein Modul, um Pakete, die zu bestimmten Flüssen gehören, zu
zählen.
Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird dieser
Modul M2 für
die Verarbeitungs-Kennsätze
2 und 4 aufgerufen. Wenn er ein Paket verarbeitet, inkrementiert
das Modul M2 einen Zähler
mit der Anzahl von Bytes des Pakets, oder andernfalls mit dem Wert
1 im Fall eines Paketzählers.
Der Zähler
kann gesichert sein, insbesondere, wenn er zur Fakturierung an den
Teilnehmer durch den Verwalter des Netzes 10 dient. Bei
einem gesicherten Zähler
werden beim Zugangsanbieter regelmäßig Übertragungskredite angefordert,
wobei die relevanten Pakete zerstört werden, wenn der Kredit
erschöpft
ist.
-
Das
Modul M3 der 3 ist ein Prioritätenverwaltungsmodul.
Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird
dieser Modul M3 für
den Verarbeitungs-Kennsatz
3 aufgerufen. Das Modul M3 bearbeitet das Feld TOS („Type Of
Service") des IP-Kopfes
der Pakete. Der TOS wird im Netz zur Verwaltung der Weiterleitungsprioritäten verwendet,
um auf bestimmten Verbindungen eine bestimmte Dienstqualität zu liefern.
Das Feld TOS kann gemäß vorher
gespeicherten Tabellen verändert
werden. Diese Tabellen können
unter der Kontrolle des Zugangsanbieters definiert werden, um zu
verhindern, dass Pakete in ungeeigneter Weise mit einer hohen Priorität übertragen
werden, wodurch das Netz gestört
werden könnte.
-
Die
zuletzt an einem Paket des Speichers 35 durchgeführte Elementarverarbeitung
ist entweder seine Zerstörung
(Modul M4 aktiviert durch den Kennsatz 8), oder seine Rückführung zum
Ausgang des Flussprozessors (Modul M5 aktiviert durch den Kennsatz
5 oder 9). Das Modul M4 kann verwendet werden, um Pakete zu zerstören, die
ein bestimmtes Ziel und/oder einen bestimmten Ursprung haben.
-
Die
Module M2 und M3, die nicht die für ein Paket zu gewährleistenden
Verarbeitungen beenden (außer
im Fall der Zerstörung),
arbeiten je mit einer Kennsatz-Übersetzungstabelle
T2, T3. Diese Übersetzungstabelle
bezeichnet für
den aus dem Speicher 35 mit dem laufenden Paket entnommenen
Verarbeitungs-Kennsatz
einen anderen Verarbeitungs-Kennsatz, der die folgende zu gewährleistende Elementarverarbeitung
bezeichnet. Die von diesem Modul M2 oder M3 gewährleistete Elementarverarbeitung
endet durch die Zuordnung des Pakets zu diesem anderen Verarbeitungs-Kennsatz
und die Wiedereinspeisung des so verarbeiteten Pakets in den Speicher 35.
-
So
kann man sehr unterschiedliche Verarbeitungskombinationen an den
verschiedenen den Prozessor durchfließenden Datenflüssen durchführen.
-
4 zeigt
ein vereinfachtes Beispiel, das den in 3 dargestellten
Tabellen 38, T1–T3
entspricht. Das eingehende Paket 30, das dem ersten Kennsatz
0 zugeordnet ist, wird zunächst
der vom Modul M1 durchgeführten
Filterung unterzogen.
-
Im
einem besonders betrachteten Fall zählt der Flussprozessor 24 die
von einer Quellenadresse AS1 zu einer Zieladresse AD1 und einem
Port P1 gesendeten Pakete und verändert das Feld TOS dieser Pakete,
ehe er sie über
die Leitung 17 ausliefert, was dem oberen Zweig des Graphs
der 4 entspricht. Darüber hinaus zählt der
Flussprozessor 24 die von einer Quellenadresse AS2 zu einem
Port P2 kommenden Pakete, ehe er sie zerstört, was dem unteren Zweig der 4 entspricht.
Die anderen Pakete werden einfach an die Leitung 17 geliefert.
Der Vorgabewert (9) des Verarbeitungs-Kennsatzes, der vom Modul
M1 zurückgeschickt
wird, bezeichnet also einfach den Ausgangsmodul M5. Wenn der Modul
M1 im aus dem Speicher 35 entnommenen Paket die Kombination
AS1, AD1, P1 in den zutreffenden Adressen- und Portfeldern erfasst,
schickt er das Paket mit dem Verarbeitungs-Kennsatz 2 zurück. Wenn
die Werte AS2, P2 in den Adressen- und Portfeldern erfasst werden, ist
es der Kennsatz 4, der mit dem Paket zurückgeschickt wird.
-
Diese
Kennsätze
2 und 4 entsprechen beide dem Zählmodul
M2. Der Kennsatz zeigt für
diesen Modul auch die Speicheradresse des Zählers an, der inkrementiert
werden muss. Die Tabelle T2, mit der das Modul M2 arbeitet, ermöglicht es
am Ende der Verarbeitung, die Rückkehr
zum nächsten
zu aktivierenden Modul durchzuführen
(M3 bezeichnet mit Kennsatz 3 die Pakete, deren TOS verändert werden muss,
M4 bezeichnet mit Kennsatz 8 die zu zerstörenden Pakete).
-
Der
Modul M3 empfängt
Pakete mit dem Verarbeitungs-Kennsatz 3 und schickt sie mit dem Kennsatz
9 zurück,
nachdem er die erforderliche Veränderung
des Felds TOS durchgeführt
hat.
-
Ausgehend
von diesem vereinfachten Beispiel sieht man, dass der Flussprozessor
es ermöglicht,
ausgehend von der Identifikation eines Flusses durch den Filtermodul
M1, verschiedene Kombinationen von Elementarverarbeitungen auf relativ
einfache und schnelle Weise durchzuführen.
-
Ein
Hauptvorteil dieser Vorgehensweise ist die Flexibilität der Konfigurationsoperationen
des Flussprozessors. Die Tabellen 38, T1–T3, die
einen beliebigen Graph von Elementarverarbeitungen definieren, wie
derjenige, der in 4 dargestellt ist, können relativ
einfach und mit einem geringen Echtzeitzwang mittels der Verwaltungseinheit 36 über die API
konstruiert werden. Gleiches gilt für die Informationen, die es
den Modulen M1–M5
erlauben, ihre Elementarverarbeitungen durchzuführen (Beschreibung der durch
den Modul M2 durchzuführenden Zählvorgänge, Art
der Änderung
der Felder TOS durch den Modul M3, ... ).
-
In
der Praxis kann der Flussprozessor verschiedene andere Verarbeitungsmodule
als diejenigen aufweisen, die als Beispiel in den 3 und 4 dargestellt
sind, je nach den Bedürfnissen
der besonderen Anlage (zum Beispiel Verwaltungsmodul der Ausgangswarteschlangen,
Adressumsetzungsmodul, ...).
-
Die
oben beschriebene Signaturfunktion der gesendeten Pakete kann Teil
der Elementarverarbeitung sein, die vom Ausgangsmodul M5 gewährleistet wird.
In einer typischen Ausführung
des Zugangsrouters ist der Flussprozessor 24 in einer integrierten Schaltung
für eine
spezifische Anwendung (ASIC) enthalten, die um einen Mikrocontrollerkern
herum organisiert ist. Diese Ausführung ermöglicht es, dass es keinerlei
physikalischen Zugang zwischen den Flussprüfungsmodulen 39 (zumindest
denen, die die Beziehungen zwischen dem Teilnehmer und dem Verwalter
des Netzes 10 betreffen) und dem Modul M5 gibt, der die
Signatur der Pakete übernimmt,
entsprechend dem Block 40 der 1. Dies
verbessert die Sicherheit der Verbindung aus der Sicht des Netzverwalters.