JP2000513165A - 通信デバイスに使用するポリシーのキャッシュ方法及び装置 - Google Patents
通信デバイスに使用するポリシーのキャッシュ方法及び装置Info
- Publication number
- JP2000513165A JP2000513165A JP10503170A JP50317098A JP2000513165A JP 2000513165 A JP2000513165 A JP 2000513165A JP 10503170 A JP10503170 A JP 10503170A JP 50317098 A JP50317098 A JP 50317098A JP 2000513165 A JP2000513165 A JP 2000513165A
- Authority
- JP
- Japan
- Prior art keywords
- pdu
- policy
- network
- stream
- pdus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/04—Selecting arrangements for multiplex systems for time-division multiplexing
- H04Q11/0428—Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
- H04Q11/0478—Provisions for broadband connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5619—Network Node Interface, e.g. tandem connections, transit switching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5625—Operations, administration and maintenance [OAM]
- H04L2012/5626—Network management, e.g. Intelligent nets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5629—Admission control
- H04L2012/563—Signalling, e.g. protocols, reference model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
Abstract
(57)【要約】
通信デバイスに使用するポリシーキャッシング方法(400)。通信デバイスが、いずれの複数のポリシーからのプロトコルデータ単位(PDU)ネットワークポリシーのインスタンスが関連受信PDU(406)の1つの内容に基づいて関連受信PDUに適用されるべきかを判定する。次に、PDUポリシーのインスタンスを特定するポリシー認識情報が将来のため関連受信PDU(410)の他方に保存される(408)。さらに、このポリシーキャッシング方法を実行する通信デバイスが提供される。
Description
【発明の詳細な説明】
通信デバイスに使用するポリシーのキャッシュ方法及び装置
政府のライセンスの権利
米国政府は、本発明における支払い済みライセンス及び特許所有者を必要とす
る限定された環境において、9800 Savage Road,Fort George G.Meada,MD 20755
のMaryland Procurement Officeにより認可された契約書第MDA904−94
−C−F059号の条項によって規定されるような合理的な条件で他者にライセ
ンスを与える権利を有する。
発明の属する技術分野
本発明はデータ通信に関し、さらに詳細にはデータ通信に関するポリシー管理
に関するものである。
発明の背景
データ通信ネットワークにおいて、プロトコルデータ単位(即ち、音声、ビデ
オ、又はデータ情報を含むデータパケット、セル、又はフレーム)のルート割り
当て、ブリッジ、交換、濾過、及び監査機能はネットワークポリシーにより正確
に取扱われる。
ネットワークポリシーがデータ通信ネットワーク内で動作する方法をより良く
理解するには類推が有用である。多くの点で、データ通信ネットワークはデータ
通信ネットワーク内で転送されるプロトコルデータ単位に相当する書簡又は荷物
などの郵便物の品々を扱う郵便配達システムに類似している。郵便配達システム
では、郵便物の品々は便配達システムに多様な方法で入力される。一旦、郵便配
達システム内に入ると、郵便物の品々のすべては収集され、かつ郵便物の品々が
さらなる処理のため仕分けされる近隣の作業を行う施設へ輸送される。
郵便物の各品が特有の配達アドレスを有しているが、郵便物の品々の殆どが自
動的に短かいジップコード又はルート割り当てコードのある別の形式によって仕
分けさる。ジップコードのない書簡は手作業で仕分けしかつ処理しなけれ
ばならない。一旦郵便物が宛先によって仕分けされると、付加的な中間処理施設
により郵便物の品々の宛先により表示された現地に到達するまでのルートが割り
当てられる。郵便物の品々を仕分けしかつ配達するこれらの手順のすべてが規則
及び手順によって管理される。
正確な宛先への郵便物のルート割り当てのため郵便物の品々の処理に加えて、
郵便物の品々が多数の他の処理ステップを通して進められる。例えば、郵便物の
品が国外へ出る場合には、ポリシーは各国の税関業務を通して進められなければ
ならない。国営郵便配達システムが郵便物の品を配達するのに使用され、その後
、ある国営郵便配達システムから別の国の郵便配達システムへ転送されなければ
ならない。しかしながら、私設郵便配達システムでは、この転送ステップは必要
でないはずである。郵便物の品々はモニターされ又は濾過して郵便物の詐欺的違
反又は危険物質の出荷のような物品の除去も行なわれる。これらの業務のすべて
は規則及び手順により説明されたポリシーによって管理もされる。
データパケットはデータ通信ネットワークにおいて郵便物の品々が郵便配達シ
ステムで配達されるのに類似の方法で操作される。例えば、データパケットは装
置の多くの異なる形式により発生し、通信ネットワークに配置される。代表的に
は、データパケットはローカルブリッジ又はルーターなどの転送装置に集中され
、その後、寸法及び宛先に従って、他のより大型又は小型のブリッジ、又はルー
ターである宛先の装置に接続されている一種類又は多種類の媒体形式(例えば、
光ファイバー)によって宛先に送られる。その後、これらの宛先装置はデータパ
ケットをその終端エンドポイント(即ち、最終利用者)へ引き渡す。経路に沿っ
て、データ通信ネットワークはデータパケットについてポリシー確認(濾過及び
監査/モニター機能)を行う。これらのルート割り当て、ブリッジ、交換、濾過
及び監査機能もシステム管理者などによって設定された規則及び手順により説明
されたポリシーによって管理される。一般に、これらの規則及び手順は通信ネッ
トワークポリシーとして知られている。
通信ネットワークの規模が大型になり、複雑性及び速度が増大するにつれて、
ネットワークは処理プロトコルデータ単位(PDU)のためのネットワークポ
リシーを効率的な方法で設定しかつ維持するのが次第に必須になる。代表的には
、ネットワークポリシーの実施は通信デバイスによって行なわれる。デバイスは
デバイス内にプログラムされたネットワークポリシーに基づいてPDUの処置を
判定する。
丁度、郵便配達システムがかって配達しなければならない郵便物量の増大を経
験したように、通信引渡しシステムのこの新規形式と共に経験を積むにつれ、か
つますますアプリケーションが増すにつれてコンピュータ/データ通信ネットワ
ークによって転送されるPDU量が増え続ける。さらに、急速に変化する技術が
比較的経費のかからないコンピュータ通信ネットワークの根底をなすデータ伝送
資源を形成してきた。例えば、光ファイバーは1秒当たりギガビット範囲のデー
タ転送速度を提供する。
効率的、低費用である高速ネットワークであって、かつネットワークポリシー
実施によって、これらのポリシーを実施するデバイスのポリシースループットへ
の影響が僅少であるこれらの高速ネットワークのネットワークポリシーを実施す
る方法が必要となっている。本発明はこの及び他の問題の解決策を提供しかつ従
来技術を超える別の利点を提供する。
発明の概要
本発明は、高データスループット速度で関連PDUのグループからの1つのP
DUを分析することによりポリシーを実施する問題をアドレス指定してPDUに
対するネットワークポリシーを判定し、ポリシーの当該部分をキャッシュメモリ
に格納し、かつキャッシュされたポリシーを他の関連ポリシーへ適用する機構を
キャッシュするネットワークポリシーを提供する。
本発明の第1の特徴によれば、通信デバイスに使用するポリシーをキャッシュ
する方法が提供される。例えば、通信デバイスはデータネットワーク、コンピュ
ータ、モニター、交換装置、ルーター、ブリッジ、又はファイアウオールであっ
てよい。この方法は1個又は複数の処理において実行される別の処理ステップと
直列の装置で実行されるステップによって実行される。関連受信PDUに適用さ
れるべき複数のポリシーからのプロトコルデータ単位(PDU)ネットワークポ
リシーのインスタンスは関連受信PDUのある内容に基づいて実
行される。例えば、PDUが受信されると、その該ポリシーが確認される。この
ポリシーは非常に広範かつ複雑であり、そのためかなりの分析が必要となる。こ
の受信PDUが何回も生ずると予想されるポリシーのインスタンスと考えられる
場合には、それはキャッシュ動作の候補となる。このようなポリシーの例は濾過
(例えば、PDUを進める、又は進めない)及び又は監査(例えば、PDUの複
写を第3者へ送信する)そのいずれかである。ネットワークポリシーのこの分析
は受信された第1PDU上で行なわれるのが好ましい。続いて、PDUポリシー
のインスタンスを特定するポリシー認識情報が将来のため関連受信PDUの他方
に保存される。
一旦、ポリシーがキャッシュされたら、複数のポリシーからのPDUポリシー
のインスタンスが関連受信PDUの別のPDUへキャッシュされたポリシー認識
情報の効用に基づいて適用されるのが好ましい。さらに、ネットワークポリシー
のインスタンスは関連受信PDUを濾過するか又は監査することにより実行され
る。
その動作は、PDUのストリームが通信リンクから受信される。PDUストリ
ームからのPDUの部分集合が選択規準に基づいて関連受信PDUとしてまとめ
られるのが好ましい。この選択規準は多くの形式を取りうる。例えば、関連受信
PDUはパケット又は複数のパケットの非同期転送モード(ATM)セルであっ
てよい。あるいは又、関連受信PDUは回路番号、通信インターフェースに関す
るソース又は宛先アドレス、ソース又は宛先ポート、ネットワークプロトコル、
又はいずれかのPDUフィールドの他の内容などの同一分類フィールドを有する
PDUのストリームからのPDUであってよい。
本発明のこの第1特徴はデータ通信リンクに結合される通信デバイスに使用す
るポリシーキャッシュとしても実装可能である。ポリシーキャッシュは例外プロ
セッサーを有しており、該プロセッサーは関連受信PDUのある内容に基づいて
関連受信PDUに適用されるべき複数のポリシーからのPDUネットワークポリ
シーのインスタンスを判定する。キャッシュされたインスタンス分類子は例外プ
ロセッサーに作動可能に結合されて関連受信PDUの他方のPDUに適用される
べきPDUポリシーのインスタンスを識別するポリシー識別情報
をキャッシュする。
インスタンスポリシーキャッシュは好ましくは例外プロセッサーに作動可能に
結合されて関連受信PDUの他方のPDUに適用されるべきPDUポリシーのイ
ンスタンスをキャッシュする。
このポリシーキャッシュはデータストリームプロセッサーも含む通信デバイス
に内蔵されるのが好ましい。データストリームプロセッサーは複数のポリシーか
らのPDUポリシーのインスタンスを関連受信PDUの他方のPDUにキャッシ
ュされたポリシー識別情報を使用することにより適用してインスタンスポリシー
キャッシュからのPDUポリシーのキャッシュされたインスタンスを検索する。
本発明を特徴付ける利点と同時にこれらの及び種々の他の特徴は次の詳細な説
明の読解及び添付図面の点検により明らかになろう。
図面の簡単な説明
第1図は、キャッシュされたポリシーを持つ本発明による好適実施例の通信デ
バイスを示すブロックダイアグラムである。
第2図と第3図とは、各種通信回路網技術内での本発明による第1図の好適実
施例の通信デバイスを示すブロックダイアグラムである。
第4図は、本発明によるポリシーキャッシュの好適実施例の各ステップの詳細
を示すストリーム図である。
発明の詳細な説明
第1図に示す好適実施例通信デバイスを例示的形式で非同期送信モード(ATM)
通信を参照して記述する。ATM通信の技術的利点と機能とに関する一般議論は、
例えば、McDysan,David E.and Spohn,Darren L.の”ATM:Theory and Applica
tion”.MCGreaw-Hill,Inc.1995に示されている。しかし、当業者ならここに
述べられた原理は情報をPDUとして通信するいずれのデータ通信システムにも適
用出来ることを認めるであろう。
通信デバイス100は典型的にはポイント・ツー・ポイント接続のためタイミン
グとキャリアとを備えた物理媒体に接続される。ATM環境においては、これらの
接続は交換機をともにフックするためまたは公衆ネットワークと私設ネット
ワークまたは顧客構内装置との間のサービスを提供するるために用いられる。
本通信デバイス100は好適には物理媒体用終端点であり、送信元に通信線品質
に関して通知するのに必要な通信線状況についてを除いてどの物理的レイヤー管
理をも実行しない。代替実施例においては、物理的レイヤー管理が通信デバイス
100に組み込まれ、この場合これは、ネットワーク・ポリシーと両立するその他
のネットワーク機能(例えば、交換、ルート作成、ブリッジング)を果たすこと
があり、通信デバイス100がそれを実施する。
ATMシグナリングにおいては、箇々のPDU上で濾過とロギングが可能である。送
信元と送信先との間の経路に一台だけこれらのデバイス100があるときは、出来
得ることのすべては接続の濾過とロギングである。これは重要な機能であるが回
路網全体のプライバシイまたは公衆回路網への認証インターフェイスは提供しな
い。
ATMシグナリングは他のレベルのコントロールを提供する。ATM接続が完了した
後、情報はPDU内容を制御するPDU濾過・ハードウエアの使用に供せられる。これ
により送信元と送信先アドレスに基づいてIP PDUフィルタを設計するのに完全な
融通性が出来る。図がこの説明に役立つだろう。あるIPアドレスにはATMアドレ
スの限定された組からしかアクセス出来ないときは、PDUがATM送信元アドレスの
正しい組からでないVCを渡って来たときこのIPアドレスは無効に出来る。
好適実施例においては、ATM接続は有効または無効送信元と、送信先とATMアド
レスの対になったリストとに対してチェックされ、許されるとき、接続が完了す
る。接続の完了未了に関わりなく、監査目的の接続の試みは記録される。
ATM対が(明示的または暗示的に)通信が許されていると定義されると、パーP
DUポリシーもまた確立される。サービスの要求クラス(COS)もまた公認されポリ
シー目標に合わせるため多分変更され得る。
接続が完了すると、この情報はPDUフィルタに通知される。
ATM接続に適用され得るいくつかのポリシー・ルールには下記が含まれる。
1.許可/不許可
2.AAL型(シグナリングとエンフォーシングの双方において、実際のデータ
ストリームはATM適合レイヤー(AAL)を含むので)
3.サービスのクラス(帯域幅、バースト性、など)
4.PDU内容
接続が許可され交信がパケット化されていないときは(即ちVidec)内容の濾
過が出来なくとも許される(AAL型濾過とセルレート実施はそれでも可能)。
仮想回路を通過するATMセルはフィルタとロギング・エンジン(即ち通信デバ
イス100)により処理される。公衆ネットワークの両側にフィルタ装置があると
、プライバシイと認証が出来る。
セルがフィルタ境界を横切ろうとすると、仮想回路識別子(VCI)がチェックさ
れてこのセルにオープンVCがあることを確認する。さらに、セルが到着する速度
がチェックされてランナウエイ(脱落)が無いことを確認する。セルが非オープ
ンVCに対するものであったりその許可範囲を超えているときは、PDUは記録され
および/または落とされる。これは遠隔側にフィルタが有っても無くても真であ
り、また交換仮想チャンネル(SVC)でも恒久仮想チャンネル(FVC)でも真である。
脱落セルストリームは重大な脅威である。公衆ネットワーク内でのサービス・
アタック拒絶は逃れられない。セルストリームが狂乱して公衆ネットワーク内で
利用出来る容量を一杯にすると、公衆ネットワーク内のサービスを拒絶するのが
一つの事柄である。ここで扱う問題は、これよりもっと重大である。脱落セルス
トリームがコンパートメントに入るのを許されると、公衆ネットワーク交信に含
まれないノード・ツー・ノード交信がサービスを拒絶されることがある。少しで
もこの可能性があればこのアタックは監査して止めねばならぬ。
運営方法はセル・アドレスを表で探すかハッシュすることである。表登録には
VCに対して実行する「プログラム」を含んでいる。VCはATM内でタイプAAL 1,2
,3,4または5であり得る。VCがAAL5またはAAL3/4であると宣言されたときは
、更に内容についてフィルタされる。
ATM回路監視(および回路暗号化の可能性)に加え、回路網ポリシー実施の一
部として、交信が(AAL5のように)パケージ化されているときは、PDU内容に関
するポリシーが実施出来る。このポリシーは簡単にも複雑にも出来る。フィ
ルタ出来る情報には下記が含まれる。
1.ネットワークプロトコル(例えばIP)
2.送信元アドレス
3.送信先アドレス
4.セキュリティ・オプション(例えば、DNSIX、RIPSO(RFC 1108)、CIPSO)
5.転送プロトコル(例えばTCP、UDP)
6.Syn、Fin フラッグ(TCPのみ)
7.送信元ポート、または
8.送信先ポート
この濾過は二つ以上のこれらのフィールドの組合せをも含むことがある。濾過は
定められた値との比較または値が可能な値の範囲内にあることのチェックによる
ことが出来る。
運営方法はプロトコルと、アドレスと、ポートとのあらゆる組合せがキイであ
るということである。このタプル(セッションと呼ぶ)は単一のTCPまたはUDPセ
ッションか、ユーザーか、アプリケーションか、サービスかをあらわす。セッシ
ョンは記録されPDU統計はセッションが生きている時間だけ保存される。
最初に起こった接続タプル(セッション)をルールの完全なセットに対してフ
ィルタするのは比較的長期の時間を掛けて(ミリ秒で)達成される。新しいセッ
ションが起こると、TCP接続要求または全く初めてのまたは少なくとも通信デバ
イス100が設置されて以来最初のUDP要求をあらわす。いずれの場合も、この遅れ
は最初のパケットに関してのみで正常の再転送時間より永いとは思われない。
最初のメッセージをチェックした後、通信デバイスポリシーキャッシュが必要
な情報とともにロードされるので、さらにPDUが到着したとき、それらはサイド
トラックされないで効率的な方法で送られる。このように、引き続くパケットの
ATMセルはマイクロ秒の程度で遅れる。
IPフラグメント(断片)は最初のパケットの完全濾過(IPとTCPまたはUDP)と
残りのパケットのIPレイヤーデータだけの引き続く濾過とを通じてサポートされ
る。これはすべての「最初の」パケットが完全に解析されることを確実に
し、それらが無効と見出されると破棄される。ストリームの残りのパケットは通
信デバイス100の通過を許されるが、送信先はIPセグメントからパケットを再組
立することは出来ない。
再度第1図を参照すると、通信デバイス100の好適実施例の特定の動作がここ
に示されている。
ATM環境において、通信デバイス100はセル毎のベースで働く。任意のセルが保
証する遅れは小さい。ソフトウエアまたはハードウエアの各動作は、1セルタイ
ム未満で完了する設計となっている。唯一の例外はエラー取り扱いである。動作
を1セルタイム未満に保つことにより、通信デバイス100が要するセル・バッフ
ァ容量は極めて小さい。
通信デバイス100が、データストリーム102をATM通信リンクから直接受ける装
置の一部であるとき、私設ネットワークからの入力セルは先ずデータストリーム
プロセッサ104内の同期光ネットワーク(SONET)フレーマでATMセルストリーム
に処理される。いずれのヘッダ・エラー・コントロール(HEC)エラーもフレー
マが気付いて、可能なら修正する。フレーマはまた入力セルとエラーらしいセル
との全数を提供する。
ATMヘッダとペイロード・アソシエーションとはフレーマの後に起こる。ATMヘ
ッダと、SNAPヘッダと、IPヘッダとが識別されて独特のワードがユーザー定義の
ヘッダ内に置かれる。ユーザー定義ヘッダは各セルの前に付加した4バイトから
8バイトの間の長さのフィールドになる。ユーザー定義ヘッダはセル情報と、ク
リプト・アドレシングと、ATMヘッダ・アソシエーションと、IPアソシエーショ
ンとを含む。これらの機能は現場でプログラム出来るゲートアレー(FPGA)のみま
たはATMセルフレーミング用に普通に入手出来るATMチップとの組合せで実現出来
る。
セルはユーザー定義ヘッダとともに次いでセル処理機能(即ちネットワークア
セスメントおよび実施オペレーション)が実行出来るように送られる。典型的に
は、これらのオペレーションの全部は二つのデータストリーム、通信デバイスを
通じて一つはアップストリームに向かい他はダウンストリームに向かうデータス
トリーム、の上で同時に実行される。第1図は、これら二つのデータ
ストリームのうち一つを扱う機能的ブロックを示す。機能的ブロックは二つのデ
ータストリームの他に関する作用にも複製出来る。本発明のある実施例では、こ
れらの機能ブロックの一つ以上が実際は両データストリーム上でオペレーション
を実行する構成部品が共有する一つの物理的デバイスであることが可能である。
例えば、一般ポリシー114は両データストリーム上で働く他の構成部品からアク
セス可能のメモリ内に記憶出来る。
通信デバイス100内のネットワークポリシーアセスメントおよび実施の機能は
ポリシー・キャッシュの利用を通じて行われる。キャッシュは、PDUに加えられ
る端末から端末への転送時間の公称遅延を持つPDU(即ちATM環境内のセル)に高
速のオペレーションが実行出来るようにする。
ポリシー・キャッシュは、関連受信PDUの少なくとも最初のPDUの内容に基づい
て関連受信PDUに適用出来そうな幾つかのポリシーからPDUネットワークポリシー
のインスタンスを決定する例外処理器112を含む。一般ポリシー記憶機構114が動
作的に例外処理器112に接続されておりこれは、関連受信PDUに適用出来そうなPD
Uネットワークポリシーのインスタンスに関して例外処理器112が一般ポリシー記
憶機構114を検索出来るようにネットワークポリシーを記憶する。
代替実施例においては、最初の受信PDU以外のPDUまたは一個より多いPDUが例
外処理器112により処理され、ポリシーを決める。これは関連受信PDUからその他
の受信PDUを例外処理器112が処理すべきPDUが例外処理器112に提供されるまでメ
モリ装置の中にバッファしておくことにより達成される。
関連受信PDUはパケットの非同期転送モード(ATM)セルまたは数多くのパケット
である。代わりに、関連受信PDUは、回路番号、送信元または送信先アドレス、
通信インターフェイス上の送信元または送信先ポート、ネットワークプロトコル
、セキュリティ・オプション、任意のPDUフィールド内のその他の内容のような
、類似の分類フィールドまたは選択基準を有する入力PDU102のストリームからの
PDUである。データストリームプロセッサ104は好適にはATM通信リンクからPDU10
2のストリームを受信する受信装置を含む。この受信装置は上述のような選択基
準に基づいてPDU102のストリームから関連受信PDUとしてPDUのサブセットをまと
めて組分けする。
ポリシーキャッシュ例外処理器112は、関連受信PDU以外のPDUに適用されるPDU
ポリシーのインスタンスを識別するポリシー識別情報をキャッシュするキャッシ
ュド・インスタンス分類器108に動作的に結合されている。関連受信PDU以外のPD
Uに適用されるPDUポリシーのインスタンスをキャッシュするインスタンス・ポリ
シー・キャッシュ110もまた例外処理器112に結合されている。
この型のポリシーキャッシュの利点の一つは、PDUがATMセルであって関連受信
PDUが特定のパケットのセルであるとき、ポリシーキャッシュはセル・レベルの
みで動作することである。言い換えると例外処理器112とキャッシュド・インス
タンス分類器108とはセル毎のベースで、セルを特定のATMパケットに再組立する
ことなく、オペレーションを実行することである。
関連受信PDUに関してPDUポリシーのインスタンスが一旦決定されると、データ
ストリームプロセッサ104が、キャッシュド・インスタンス分類器108内のキャッ
シュド・ポリシー識別情報を利用してインスタンス・ポリシー・キャッシュ110
からPDUポリシーのキャッシュされたインスタンスを取り出すことにより、複数
のポリシーからのPDUポリシーのインスタンスを関連受信PDU以外のPDUに適用す
る。
好適実施例においては、キャッシュド・インスタンス分類器108はコンテント
・アドレッサブル・メモリ(CAM)を含む。データストリームプロセッサ104がATM
フィールド値(即ちユーザー定義ヘッダ)を関連受信PDU以外からCAMに提供し逆
にCAMから関連受信PDU以外のためのポリシー識別情報を受け取る。
完全搬送水準3(OC-3)速度またはSONETネットワークの高い通信リンクを維持
する速度を得るためハードウエアCAMが使用される。好適には市販のAAM99C10A-7
0 48ビットCAMが使用される。このCAMはマッチ位置を決定するのにオプションの
リードの付いた48ビットマッチを備えている。この特性はCAM幅の拡張に用いら
れる。三個のCAM(CAM1,CAM2、CAM3)が128ビットの幅を提供する。このCAMは7
0ナノ秒(ns)の最小書き込みサイクル時間を有している。
データストリームの例:表1:マッチデータ、表2:CAMデータに示したデータ
がCAMにより発生される。
表1:別紙
表2:別紙
CAMはセルに4バイトをプリペンドする。出来上がったセルは長さ56バイトとなる
。HECバイトは入力セルストリームから剥ぎ取られる。4バイトヘッダには最終CA
Mルックアップ・アドレスを含む。
カムはデータストリームプロセッサ104が維持する。CAM内の多重マッチはエラ
ー状態として扱われさらに処理するためデータストリームプロセッサ104に送ら
れる。
通信デバイス100はセルが処理されている間セルを保持するため一時記憶装置
を必要とする。深さ単一セルの先入れ先出し(FIFO)バッファを用いるのが好適で
ある。FIFOはセルをヘッダ/トレーラが形成されるまで保持する。データは次い
で(アペンド/プリペンドされて)セルストリームに行く。セルヘッダの後に、
セルが転送される。代替実施例においては、データがトレーラー内に止まるとき
は一時記憶は不要だろう。両方の実施の利点と欠点との詳細は表3にある。
表3:別紙
CAM1は仮想経路識別子/仮想チャンネル識別子(VPI/VCI)ルックアップ情報を
含む。入力セルはCAMデータと比較される。マッチの結果CAIM位置がセルにアペ
ンドされる。ミスがあるとOXFFがセルにアペンドされる。CAM1の中のマスクビッ
トは比較長さを48ビットから24VPI/PCIビットに短縮するのに用いられる。CAM1
の例を表4に示す。
CAM2/CAM3はIPマッチデータを含む。照合フィールドはプロトタイプ(8)と、送
信元アドレス(32)と、送信先アドレス(32)である。マッチの結果CAM3のアドレス
がセルにアペンドされる。ミスがあるとOXFFがセルにアペンドされる。
CAM2/CAM3内のマスクビットは使用しない。これらは非アクティブに設定される
。比較フィールドは全48ビットである。CAM2/CAM3の例を表5に示す。
表4:別紙
表5:別紙
CAMアクセスはワード(32)境界上にマスクをつけて並べる。表6にア
ドレスマスクを示す。
表6:別紙
LO ロックアウトビット:アクセス中に設定すると特定のCAMへの次の
アクセスがアトミックになる。このアドレスビットにローへの読み取りまたは書
き込みはアクセス終了時に送信元を解放する。CAM登録更新のときこの特徴を使
う必要がある。これはアドレス構築のときに起こり得る無効比較に関する問題を
無くする。
CN CAM番号:CAM2=10,CAM1=01、CAM3=00
CM CAMコマンド:CAMコマンド・モード、このアドレスビットを設定してアク
セスすると(読み取り/書き込み)ワードがCAMコマンドになる。このアドレス
ビットをクリヤしてアクセスすると(読み取り/書き込み)ワードがCAMデータ
になる。CAMデータはワードの下位2バイトに書き込む。上位2バイトは未使用
である。インターフェイスは表7に示すように半ワード・インターフェイスのみ
である。
表7:別紙
制御レジスタは初期化中のCAM/RAM仕切りの定義に用い、マッチ/フル・フラ
ッグとマスク比較レジスタとを有効化する。マスクレジスタもまた定義される。
CAMの制御レジスタは次の表8のようにプログラムしなければならない。
表8:別紙
CAMのマスクレジスタ1は次の表9のようにプログラムしなければなら
ない。
表9:別紙
CAMを確実に正しく動作させるには独特の一連の指示を必要とする。CAM
の初期化と各CAMの更新シーケンスの後、セレクト・パーシステント・ソース(SP
S)とセレクト・パーシステント・デスティネーション(SPD)を次のように設定す
る。SPSレジスタのSSSフィールドには「Memory at Highest-priority Match」(
最高優先度マッチのメモリ)またはOx005を設定しなければならない。SPDレジス
タのdddフィールドには「Comparand Register Masked by MR1」(比較レジスタ
はMR1がマスク)またはOx0140を設定しなければならない。
CAM登録は二つの方法を使って更新出来る。第一の方法は、ハードウエア・ロ
ックアウトで、HBS(12)イコールhi(=1)を用いる。現在の比較シーケンス終了
後CAMの比較サイクルを一時停止するのに「LO」ロックアウト・ビットを用いる
。比較サイクルを開始するには、最新アクセスがlo(=0)に設定されたHBS(12)
を有する。
第二の方法は、バリディティ・ビットで、有効ビットを偽(=0)に設定するのに
SPDのvvvフィールドを用いる。これはこの登録に関する比較シーケンスを無効に
する。CAMOの有効ビットを最後に設定せねばならない。
この例を表10と表11に示す。
表10:別紙
表11:別紙
代替実施例においては、キャッシュド・インスタンス分類器108がデータスト
リームプロセッサ104により提供される関連受信PDU以外からのフィールド値にハ
ッシュ機能を実行するハッシュ機構を含む。キャッシュド・インスタンス分類器
108は関連受信PDU以外用のポリシー識別情報をハッシング・テーブルから選択す
るのにハッシュ機能の結果を用い次いで選んだポリシー識別情報をデータストリ
ームプロセッサ104に提供する。
別の代替実施例においては、キャッシュド・インスタンス分類器108がルック
アップ・テーブル機構を含む。データストリームプロセッサ104は関連受信PDU以
外からのフィールド値をルックアップテーブルへのインデクスとして用いインデ
クスが指し示すルックアップ・テーブル内の関連受信PDU以外用のポリシー識別
情報を引き出す。
動作に当たって、データストリームプロセッサ104は各PDUからのフィールド値
を用いてインスタンス・ポリシー・キャッシュ110からのPDUポリシーのキャッシ
ュされたインスタンスに関してポリシー・キャッシュを各PDUについてチェック
する。キャッシュされたPDUポリシーのインスタンスは、フィールド値がキャッ
シュド・ポリシー識別情報に相当したとき引き出される。その結果、データスト
リームプロセッサ104は各PDU用のキャッシュされたPDUポリシーのインスタンス
をチェックして、インスタンス・ポリシー・キャッシュ110内にキャッシュされ
たPDUポリシーのインスタンスが見出されないときはPDUポリシ
ーのインスタンスを例外処理器112から得る。
データストリームプロセッサ104はまた、PDUのストリームをPDUのポリシー実
施のストリームにフィルタまたはオーディットすることによりネットワークポリ
シーのインスタンスを実行する実施機構を含むのが好適である。送信装置が実施
機構に動作的に結合されPDUのポリシー実施のストリームを通信デバイス100の外
にPDU106の出力データストリームとして送り出す。
前に指摘したように、通信デバイス100はアップストリーム向けのデータスト
リームまたはダウンストリーム向けの別のデータストリームの上で働くもっと複
雑な装置の一部に出来る。このような場合、データストリームプロセッサはアッ
プストリーム通信リンクからPDUの第一のストリームを受ける第一受信装置とダ
ウンストリーム通信リンクからPDUの第二のストリームを受ける第二受信装置と
を含むのが好適である。PDUの第一と第二とのストリームのうち一つだけが操作
を実行すべき関連受信PDUを含が、しかし、通信デバイス100内の他の成分は関連
受信PDUの別の組の上に同様のポリシー・オペレーションを実行することがある
。データストリームプロセッサ104はまた、PDUの第一または第二のストリームの
一つをPDUのポリシー実施のストリームにフィルタまたはオーディットすること
によりネットワークポリシーのインスタンスを実行する実施機構を含むのが好適
である。ネットワークポリシーのインスタンスはアップストリームとダウンスト
リームとの通信リンク内で実施される。
ここで第2図を参照すると、通信デバイス100は物理的媒体管理機能(例えばA
TM通信に用いられるときの同期光ネットワーク(SONET))の分離を可能にする利
点を有する。これによりまたポリシー(例えば濾過)の確認および/またはATM
シグナリングと同時に箇々のセルからPDUを再組立することなく仮想回路ペイロ
ード上でインターネット・プロトコル(IP)と送信制御プロトコル(TCP)とユーザ
ーデータストリームプロトコル(UDP)のオーディットの確認が出来る。データネ
ットワーク内でこのデバイスが働く方法を下記に記述する。
本通信デバイス100が通信リンクの両端にあると(例えば仮想回路(VC))、本
デバイス100は追加の能力を提供出来る。例えば、ATMシグナリング中のサイト認
証および信頼の置けぬネットワークを通過するときの限定された形でのデー
タのためのプライバシイを提供出来ることがある。信頼の置けぬネットワークと
は公衆または私設のネットワークであって通信デバイス100が実施するネットワ
ークポリシーの影響下にないものである。反対に信用の置けるネットワークは、
次のようなものである。
第一の構成においては、第2図に示すように、通信デバイス100は他のセキュ
リティ装置の知識なしに単一終結フィルタ装置として使える。本通信デバイス10
0は信頼出来るネットワーク122上のローカルホスト120のために防衛の「第一線
」を提供出来、ホスト126を含む信頼の置けぬネットワーク124に対しアップスト
リームに向かう出力データストリーム106とそこからダウンストリームに向かう
入力データストリーム102の上の未認証交信を制御し監査する。通信デバイス100
はATM、IP、その他のプロトコル、またはPDU内のセキュリティ・レベルに基づい
てデータ通信交信をフィルタおよび/または監査する。
第二の構成においては、第3図に示すように、通信デバイス100はローカルネ
ットワーク132内のホスト130とリモートネットワーク136内のホスト138との間の
送信元または送信先のアドレスに基づいてある限られた認証と濾過とを提供出来
る。本構成ではネットワークポリシーに関する認証と濾過とは限られている、デ
ータ交信が信頼の置けぬネットワーク(例えば公衆ネットワーク134)を通過し
ているからであるが、これは通信デバイス100により穴埋めされネットワークポ
リシーが実施出来る。本構成は公衆ネットワーク134の上を流れるデータを保護
出来ないし、このデータが公衆ネットワーク134内でローカルネットワーク132と
リモートネットワーク136との間で働くATM VCに挿入されなかったと認証するこ
とも出来ない。
第二の構成が公衆ネットワーク134と、通信デバイス100と同じネットワークポ
リシーで実施されたリモートネットワーク136との間に加えられると、さらに強
いネットワークポリシーが実施出来る。この場合、ATMシグナリングのプライバ
シイと認証と同じくローカルネットワーク132とローカルネットワーク136との間
のデータ交信のATMVCもまた提供出来る。本構成は公衆ネットワーク134上を流れ
るデータを保護出来、またATMセルストリームレベル暗号化を使用しているとき
はこのデータは公衆ネットワーク134内でVCに挿入されたもの
でないと認証出来る。代わりに、セルストリーム暗号化はATMシグナリング・コ
ードを走らせるマネージメント・プロセッサ内で達成出来る。交信が二つの私設
ネットワーク132と136との間を流れるときは、創設通りと認証出来、秘密は守ら
れる。これはロ一カルネットワーク132のような、ある交信は認証済み私設ネッ
トワーク136からで、ある交信は未認証134からの、混合ネットワークにおいては
、通信デバイス100が同一物理媒体を超えて通信する両データ交信型をフィルタ
出来ることを意味する。
あるネットワーク構成においては、通信デバイス100をネットワーク内のデー
タ交信監視用に信頼出来るネットワークと信頼の置けぬネットワークとの間の境
界以外の場所で使用出来る。一群の通信デバイス100は互いに協同してネットワ
ーク全体のポリシー実施のため働ける(例えば、特定の内容についてのセルスト
リームの監視または特定の送信先ポートまたはアドレスへのアクセスの禁止)。
本発明は第4図を参照して要約出来る。これは、通信リンク(例えばデータネ
ットワークまたはバス)に接続された通信デバイスで使用するためのネットワー
クポリシー・キャッシング法の好適実施例のストリーム図である。本方法は、一
個以上のプロセッサが実行出来る一連の別個の処理ステップ400-414においてデ
バイス実施のステップにより実行される。
PDUのストリームは通信リンクから402で受ける。PDUのストリームからのPDUの
サブセットは選択基準に基づいて関連受信PDUとして404でまとめて組分けされる
。この選択基準は多くの形態を取る。例えば、関連受信PDUはパケットの非同期
転送モード(ATM)セルかまたは数多くのパケットである。代わりに、関連受信PDU
は、回線番号、送信元または送信先のアドレス、通信インターフェイス上の送信
元または送信先のポート、転送プロトコル、セキュリティ・オプション、または
PDUフィールド内のその他の内容のような、類似の分類フィールドを持つPDUのス
トリームからのPDUである。
プロトコル・データ・単位(PDU)ネットワークポリシーのインスタンスは、関
連受信PDUに適用出来る幾つかのポリシーから関連受信PDUの一つの内容(例えば
、関連受信PDUの第一PDU)に基づいて406で決定する。続いて、関連受信PDU
以外のPDUに適用されるPDUポリシーを識別するポリシー識別情報が408でキャッ
シュされる。幾つかのポリシーからのこのPDUポリシーのインスタンスは410で関
連受信PDUの別のPDUにキャッシュド・ポリシー識別情報の使用に基づいて適用さ
れる。続いて、ネットワークポリシーのインスタンスがPDUのストリームの濾過
または監査により412で実行出来る。
本発明をある程度の特殊性を持って記述し図示したが、実施例の本開示は例示
のみにより行われたことおよび部品とステップとの数多くの配置および組合せが
当業者により請求したような本発明の精神と範囲とを逸脱することなく容易にお
こなわれることは理解されよう。例えば、通信デバイスは、データネットワーク
装置、コンピュータ、監視装置、交換機、ルーター、ブリッジ、および/または
防火壁のような他のデータ通信関連活動を実行する装置と、請求したような本発
明の精神と範囲とを逸脱することなく、分離したり統合したり出来る。
本発明を非同期転送モード(ATM)ネットワークの一部である通信リンクを参照
して記述したが、この型の通信リンクに限定されるものでないことは当業者によ
り認識されよう。例えば、同期光ネットワーク(SONET)、ファイバー分散データ
交換(FDDI)ネットワーク、フレーム・リレーネットワーク、イーサネット、100-
Mbpsイーサネット、ギガバイトイーサネット、高性能並列インターフェイス(HIP
PI)、フィブロチャンネル、交換マルチメガバイト・データサービス(SMDSO)、X.
25ネットワーク、統合サービスデジタル網(ISDN)、トークン・リング、公衆交換
電話網(PSTN)、ケーブルモデモネットワーク、直列インターフェイス、並列イン
ターフェイス、コンピュータ・バス、または類似のものはすべて本発明の精神と
範囲とを逸脱することなく本発明を実施出来る型の通信リンクである。
同様に、通信リンクは多数の異なるネットワークシグナリング・プロトコルと
ともに本発明の精神と範囲とを逸脱することなく利用出来る。例えば、転送制御
プロトコル/インターネット・プロトコル(TCP/IP)、アップルトーク、DECネッ
ト、システム・ネットワーク・アーキテクチャ(SNA)、私設ネットワークインタ
ーフェイス(PNNI)、ユーザー・ネットワーク・インターフェイス(UNI)、
非同期転送モードネットワークシグナリング用単純プロトコル(SPANS)、中間ロ
ーカル・マネージメント・インターフェイス(ILMI)、および類似のものはすべて
利用出来るネットワーク・シグナリング・プロトコルである。
【手続補正書】特許法第184条の8第1項
【提出日】平成10年9月29日(1998.9.29)
【補正内容】
請求の範囲
1.関連受信PDUのある内容に基づいて関連受信PDUに適用され
るべき複数のポリシーからのプロトコルデータ単位(PDU)ネットワークポリ
シーのインスタンスを判定するステップであって、
関連受信PDUがPDUストリームの部分集合であり、かつ全前記PDUスト
リームにわたって分散されるステップと;
関連受信PDUの他方のPDUに適用されるべきPDUポリシーのインスタン
スを識別するポリシー識別情報をキャッシュするステップと;を含む通信デバイ
スに使用するポリシーをキャッシュする方法。
2.キャッシュされたポリシー認識情報の利用に基づいて複数のポリ
シーから関連受信PDUの別のPDUへPDUポリシーのインスタンスを適用す
るステップをさらに含む請求の範囲1に記載のポリシーキャッシング方法。
3.前記判定ステップが通信デバイスにより受信された関連受信PD
Uの第1PDUの内容に基づいてPDUポリシーのインスタンスの識別を含む請
求の範囲1に記載のポリシーキャッシング方法。
4.関連受信PDUを含む通信リンクからのPDUストリームを受信
するステップをさらに含む請求の範囲1に記載のポリシーキャッシング方法。
5.前記通信リンクが非同期転送モード(ATM)ネットワーク、同
期光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FDD
I)ネットワーク、フレームリレーネットワーク、イーサネット、100−Mb
psイーサネット、ギガビットイーサネット、高性能並列インターフェース(H
IPPT)、光ファイバーチャネル、交換多重メガビットデータサービス(SM
DS)、X.25ネットワーク、総合デイジタル通信サービスネットワーク(I
SDN)、トークンリング、公衆交換電話機回路網(PSTN)、ケーブルモデ
ムネットワーク、直列インターフェース、並列インターフェース、及びコンピュ
ータバス;から成るグループから選択される請求の範囲4に記載のポリシーキャ
ッシング方法。
6.通信リンクが伝送制御プロトコル/インターネットプロトコル(
TCP/IP)、アップルトーク、DECネット、システムネットワークア
ーキテクチャ(SNA)、専用ネットワークノードインターフェース(PNNI
)、ユーザ網インターフェース(UNI)、非同期転送モードネットワーク信号
方式(SPANS)用単純プロトコル、中間ローカルマネージメントインターフ
ェース(ILMI)、及び操作管理保全(OAM)インターフェース;から選択
されたネットワーク信号方式プロトコルを利用する請求の範囲4に記載のポリシ
ーキャッシング方法。
7.(a)セルのストリームを含むPDUストリーム及び特定パケット
のセルを含む関連受信PDUと;
(b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ
ームと;
(c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを
含む関連受信PDUと;
(d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受
信PDUと;
(e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信
PDUと;
(f)通信インターフェース上の同一ソースポートを有するPDUストリームか
らのPDUを含む関連受信PDUと;
(g)通信インターフェース上の同一宛先ポートを有するPDUストリームから
のPDUを含む関連受信PDUと;
(h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含
む関連受信PDUと;
(i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受
信PDUと;
(j)同一機密オプションを有するPDUストリームからのPDUを含む関連受
信PDUと;
(k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの
PDUを含む関連受信PDUと;から成るグループから選択された選択規準に基
づいて関連受信PDUとしてPDUストリームからのPDUの部分集合をま
とめるステップをさらに含む請求の範囲4に記載のポリシーキャッシング方法。
8.PDUストリームを濾過して除去するか又は監査することにより
ネットワークポリシーのインスタンスを実行するステップをさらに含む請求の範
囲4に記載のポリシーキャッシング方法。
9.通信デバイスがデータネットワーク装置、コンピュータ、モニタ
ー、スイッチ、ルータ、ブリッジ、及びファイアウオールから成るグループから
選択される請求の範囲1に記載のポリシーキャッシング方法。
10.各PDUがセルを含み、かつポリシーキャッシング方法がセル
ベースによるセルに関する通信デバイスによってセルを特定パケットの中に再組
立てすることなく実行されるように関連受信PDUが特定パケットのセルを含む
請求の範囲1に記載のポリシーキャッシング方法。
11.(a)通信リンクからのPDUストリームを受信するステップと
;
(b)選択された選択規準に基づいて関連受信PDUとしてPDUストリームか
らの部分集合をまとめるステップと;
(c)関連受信PDUの1つの内容に基づいて関連受信PDUに適用されるべき
複数のポリシーからのプロトコルデータ単位(PDU)ネットワークポリシーの
インスタンスを判定するステップと;
(d)関連受信PDUの他方のPDUに適用されるべきPDUポリシーのインス
タンスを識別するポリシー識別情報をキャッシュするステップと;
(e)キャッシュされたポリシー認識情報の効用に基づいて複数のポリシーから
関連受信PDUの別のPDUへPDUポリシーのインスタンスを適用するステッ
プと;
(f)PDUストリームを濾過して除去するか又は監査することによりネットワ
ークポリシーのインスタンスを実行するステップと;を含む通信デバイスに使用
するポリシーキャッシング方法。
12.判定ステップが通信デバイスにより受信された関連受信PDU
の第1PDUの内容に基づいてPDUポリシーのインスタンスの識別を含む請求
の範囲11に記載のポリシーキャッシング方法。
13.通信リンクが非同期転送モード(ATM)ネットワーク、同期
光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FDDI
)ネットワーク、フレームリレーネットワーク、イーサネット、100−Mbp
sイーサネット、ギガビットイーサネット、高性能並列インターフェース(HI
PPT)、光ファイバーチャネル、交換多重メガビットデータサービス(SMD
S)、X.25ネットワーク、トークンリング、公衆交換電話機回路網(PST
N)、ケーブルモデムネットワーク、直列インターフェース、並列インターフェ
ース、及びコンピュータバス;から成るグループから選択される請求の範囲11
に記載のポリシーキャッシング方法。
14.通信リンクが伝送制御プロトコル/インタネットプロトコル(
TCP/IP)、アップルトーク、DECネット、システムネットワークアーキ
テクチャ(SNA)、専用ネットワークノードインターフェース(PNNI)、
ユーザ網インターフェース(UNI)、非同期転送モードネットワーク信号方式
(SPANS)用単純プロトコル、中間ローカルマネージメントインターフェー
ス(ILMI)、及び操作管理保全(OAM)インターフェース;から選択され
たネットワーク信号方式プロトコルを利用する請求の範囲11に記載のポリシー
キャッシング方法。
15.グループステップの選択規準が
(a)セルのストリームを含むPDUストリーム及び特定パケットのセルを含む
関連受信PDUと;
(b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ
ームと;
(c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを
含む関連受信PDUと;
(d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受
信PDUと;
(e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信
PDUと;
(f)通信インターフエース上の同一ソースポートを有するPDUストリームか
らのPDUを含む関連受信PDUと;
(g)通信インターフェース上の同一行先ポートを有するPDUストリームから
のPDUを含む関連受信PDUと;
(h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含
む関連受信PDUと;
(i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受
信PDUと;
(j)同一機密オプションを有するPDUストリームからのPDUを含む関連受
信PDUと;
(k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの
PDUを含む関連受信PDUと;から成るグループから選択される請求の範囲1
1に記載のポリシーキャッシング方法。
16.前記通信デバイスがデータネットワーク、コンピュータ、モニ
ター、スイッチ、ルータ、ブリッジ、及びファイアウオールから成るグループか
ら選択される請求の範囲11に記載のポリシーキャッシング方法。
17.各PDUがセルを含み、かつ関連受信PDUが特定パケットの
セルをポリシーをキャッシュする方法がセルごとに通信デバイスによってセルを
特定パケットの中に再組立てすることなく実行される請求の範囲11に記載のポ
リシーキャッシング方法。
18.(a)関連受信PDUの1つの内容に基づいて関連受信PDUに
適用されるべき複数のポリシーからのプロトコルデータ単位(PDU)ネットワ
ークポリシーのインスタンスを判定する手段であって、
関連受信PDUがPDUストリームの部分集合であり、かつ全前記PDUスト
リームにわたって分散される例外処理手段と;
(b)例外処理手段に作動可能に結合された、関連受信PDUの他方のPDUに
適用されるべきPDUポリシーのインスタンスを識別するポリシー識別情報をキ
ャッシュするキャッシュするためのキャッシュドインスタンス分類手段と;を含
む通信デバイスに使用するポリシーキャッシュ。
19.例外処理手段に作動可能に結合された、関連受信PDUの他
方に適用されるべきPDUポリシーのインスタンスをキャッシュするインスタン
スポリシーキャッシュ手段をさらに含む請求の範囲18に記載のポリシーキャッ
シュ。
20.例外処理手段が通信デバイスにより受信された関連受信PDU
の第1PDUの内容に基づいてPDUポリシーのインスタンスを判定する手段を
含む請求の範囲18に記載のポリシーキャッシュ。
21.各PDUがセルを含み、かつ関連受信PDUが特定パケットの
セルを含み、その結果、例外処理手段及びキャッシュされたインスタンス分類手
段がセルベースによるセルに関する動作によってセルを特定パケットの中に再組
立てすることなく実行されることを特徴とする請求の範囲11に記載のポリシー
キャッシング方法。
22.請求の範囲第19項に記載のポリシーキャッシュを有しかつ、
ポリシーキャッシュに作動可能に結合された、複数のポリシーからのPDUポリ
シーのインスタンスを関連受信PDUの他方のPDUにキャッシュされたポリシ
ー識別情報を使用することにより適用してインスタンスポリシーキャッシュ手段
からのPDUポリシーのキャッシュされたインスタンスを検索するデータストリ
ーム処理手段をさらに含む通信デバイス。
23.キャッシュされたインスタンス分類手段が連想記憶装置(CA
M)を含み、その結果、データストリーム処理手段が関連受信PDUの他方から
のフィールド値をCAMに設け、かつ関連受信PDUの他方のポリシー認識情報
を後にCAMから受信する請求の範囲22に記載の通信デバイス。
24.キャッシュされたインスタンス分類手段がデータストリーム処
理手段によって設けられた関連受信PDUの他方からのフィールド値上でハッシ
ング機能を実行し、ハッシィング機能の結果を使用してハッシングテーブルから
の関連受信PDUの他方のポリシー認識情報を選択し、かつ選択されたポリシー
認識情報をデータストリーム処理手段へ提供するハッシュ機構を含む請求の範囲
22に記載の通信デバイス。
25.キャッシュされたインスタンス分類手段が参照用テーブル機構
を有し、その結果、データストリーム処理手段が参照用テーブル機構に対す
る索引として複数の関連受信PDUの他方からのフィールド値を使用しかつ索引
によって指定された参照用テーブル機構の関連受信PDUの他方のためポリシー
認識情報を検索する請求の範囲22に記載の通信デバイス。
26.データストリーム処理手段が各PDUからのフィールド値を使
用する手段を有して各PDUのためのインスタンスポリシーキャッシュ手段及び
PDUポリシーのキャッシュされたインスタンスを検索する手段からのPDUポ
リシーのキャッシュされたインスタンスのためのポリシーキャッシュを確認し、
その結果、データストリーム処理手段はフィールド値がキャッシュされたポリシ
ー認識情報に対応する場合、各PDUに対してPDUポリシーのキャッシュされ
たインスタンスを確認し、かつPDUポリシーのキャッシュされたインスタンス
がインスタンスポリシーキャッシュ手段の中に見出されない場合、例外処理手段
からのPDUポリシーのインスタンスを得る手段を含む請求の範囲第22項に記
載の通信デバイス。
27.データストリーム処理手段が通信リンクからのPDUのストリ
ームを受信し、PDUストリームが関連受信PDUを含む受信装置を含む請求の
範囲22に記載の通信デバイス。
28.データストリーム処理手段がネットワークポリシーのインスタ
ンスをPDUストリームを濾過してPDUのポリシー実施されたストリームの中
に除去するか又は監査することにより実行する実施手段をさらに含む請求の範囲
27に記載の通信デバイス。
29.データストリーム処理手段が実施手段に作動可能に結合された
、PDUのポリシー実施ストリームを通信デバイスからPDUの出力データスト
リームとして送信する送信手段をさらに含む請求の範囲28に記載の通信デバイ
ス。
30.データストリーム処理手段がPDUの第1ストリームを上流の
通信リンクから受信する第1受信装置及びPDUの第2ストリームを下流の通信
リンクから受信する第2受信装置とを含み、PDUの第1ストリーム及び第2ス
トリームの1つの装置だけがネットワークポリシーが判定されるべき関連受信P
DUを含み、データストリーム処理手段がPDUの第1ストリーム及
び第2ストリームの1つをPDUストリームを濾過してPDUのポリシー実施さ
れたストリームの中に除去するか又は監査することによりネットワークポリシー
のインスタンスを実行する実施手段をさらに有し、その結果、ネットワークポリ
シーのインスタンスが上流及び下流の通信リンクで実施される請求の範囲27に
記載の通信デバイス。
31.通信リンクが非同期転送モード(ATM)ネットワーク、同期
光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FDDI
)ネットワーク、フレームリレーネットワーク、イーサネット、100−Mbp
sイーサネット、ギガビットイーサネット、高性能並列インターフェース(HI
PPT)、光ファイバーチャネル、交換多重メガビットデータサービス(SMD
S)、X.25ネットワーク、総合デイジタル通信サービスネットワーク(IS
DN)、トークンリング、公衆交換電話機回路網(PSTN)、ケーブルモデム
ネットワーク、直列インターフェース、並列インターフェース、及びコンピュー
タバス;から成るグループから選択される請求の範囲27に記載の通信デバイス
。
32.通信リンクが伝送制御プロトコル/インタネットプロトコル(
TCP/IP)、アップルトーク、DECネット、システムネットワークアーキ
テクチャ(SNA)、専用ネットワークノードインターフェース(PNNI)、
ユーザ網インターフェース(UNI)、非同期転送モードネットワーク信号方式
(SPANS)用単純プロトコル、中間ローカルマネージメントインターフェー
ス(ILMI)、及び操作管理保全(OAM)インターフェース;から選択され
たネットワーク信号方式プロトコルを利用する請求の範囲27に記載の通信デバ
イス。
33.ユニットを受け取るデータストリーム処理手段が;
(a)セルのストリームを含むPDUストリーム及び特定パケットのセルを含む
関連受信PDUと;
(b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ
ームと;
(c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを
含む関連受信PDUと;
(d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受
信PDUと;
(e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信
PDUと;
(f)通信インターフェース上の同一ソースポートを有するPDUストリームか
らのPDUを含む関連受信PDUと;
(g)通信インターフェース上の行先ソースポートを有するPDUストリームか
らのPDUを含む関連受信PDUと;
(h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含
む関連受信PDUと;
(i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受
信PDUと;
(j)同一機密オプションを有するPDUストリームからのPDUを含む関連受
信PDUと;
(k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの
PDUを含む関連受信PDUと;から成るグループから選択された選択規準に基
づいて関連受信PDUとしてPDUストリームからのPDUの部分集合をまとめ
る手段を含む請求の範囲27に記載のポリシーキャッシング方法。
34.例外処理手段が関連受信PDUに適用可能なPDUネットワー
クポリシーのインスタンスの汎用ポリシー記憶機構を照会できるように、例外処
理手段に作動可能に結合された、複数のネットワークポリシーを記憶する汎用ポ
リシー記憶機構をさらに含む請求の範囲22に記載のポリシーキャッシング方法
。
35.通信デバイスがデータネットワーク装置、コンピュータ、モニ
ター、スイッチ、ルータ、ブリッジ、及びファイアウオールから成るグループか
ら選択される請求の範囲22に記載の通信デバイス。
Claims (1)
- 【特許請求の範囲】 1.複数の関連受信PDUの1つのある内容に基づいて関連受信PD Uに適用されるべき複数のポリシーからのプロトコルデータ単位(PDU)ネッ トワークポリシーのインスタンスを判定するステップと; 複数の関連受信PDUの他のPDUに適用されるべきPDUポリシーのインス タンスを識別するポリシー識別情報をキャッシュするステップと; を含む通信デバイスに使用するポリシーキャッシング方法。 2.キャッシュされたポリシー認識情報の利用に基づいて複数のポリ シーから関連受信PDUの別のPDUへPDUポリシーのインスタンスを適用す るステップをさらに含む請求の範囲1に記載のポリシーキャッシング方法。 3.前記判定ステップが通信デバイスにより受信された関連受信PD Uの第1PDUの内容に基づいてPDUポリシーのインスタンスの識別を含む請 求の範囲1に記載のポリシーキャッシング方法。 4.関連受信PDUを含む通信リンクからのPDUストリームを受信 するステップをさらに含む請求の範囲1に記載のポリシーキャッシング方法。 5.前記通信リンクが非同期転送モード(ATM)ネットワーク、同 期光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FDD I)ネットワーク、フレームリレーネットワーク、イーサネット、100−Mb psイーサネット、ギガビットイーサネット、高性能並列インターフェース(H IPPT)、光ファイバーチャネル、交換多重メガビットデータサービス(SM DS)、X.25ネットワーク、総合デイジタル通信サービスネットワーク(I SDN)、トークンリング、公衆交換電話機回路網(PSTN)、ケーブルモデ ムネットワーク、直列インターフェース、並列インターフェース、及びコンピュ ータバス;から成るグループから選択される請求の範囲4に記載のポリシーキャ ッシング方法。 6.通信リンクが伝送制御プロトコル/インターネットプロトコル( TCP/IP)、アップルトーク、DECネット、システムネットワークアーキ テクチャ(SNA)、専用ネットワークノードインターフェース(PNNI)、 ユーザ網インターフェース(UNI)、非同期転送モードネットワーク 信号方式(SPANS)用単純プロトコル、中間ローカルマネージメントインタ ーフェース(ILMI)、及び操作管理保全(OAM)インターフェース;から 選択されたネットワーク信号方式プロトコルを利用する請求の範囲4に記載のポ リシーキャッシング方法。 7.(a)セルのストリームを含むPDUストリーム及び特定パケット のセルを含む関連受信PDUと; (b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ ームと; (c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを 含む関連受信PDUと; (d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受 信PDUと; (e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信 PDUと; (f)通信インターフェース上の同一ソースポートを有するPDUストリームか らのPDUを含む関連受信PDUと; (g)通信インターフェース上の同一宛先ポートを有するPDUストリームから のPDUを含む関連受信PDUと; (h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含 む関連受信PDUと; (i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受 信PDUと; (j)同一機密オプションを有するPDUストリームからのPDUを含む関連受 信PDUと; (k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの PDUを含む関連受信PDUと;から成るグループから選択された選択規準に基 づいて関連受信PDUとしてPDUストリームからのPDUの部分集合をまとめ るステップをさらに含む請求の範囲4に記載のポリシーキャッシング方法。 8.PDUストリームを濾過して除去するか又は監査することによ りネットワークポリシーのインスタンスを実行するステップをさらに含む請求の 範囲4に記載のポリシーキャッシング方法。 9.通信デバイスがデータネットワーク装置、コンピュータ、モニタ ー、スイッチ、ルータ、ブリッジ、及びから成るグループから選択される請求の 範囲1に記載のポリシーキャッシング方法。 10.各PDUがセルを含み、かつポリシーキャッシング方法がセル ベースによるセルに関する通信デバイスによってセルを特定パケットの中に再組 立てすることなく実行されるように関連受信PDUが特定パケットのセルを含む 請求の範囲1に記載のポリシーキャッシング方法。 11.(a)通信リンクからのPDUストリームを受信するステップと ; (b)選択された選択規準に基づいて関連受信PDUとしてPDUストリームか らの部分集合をまとめるステップと; (c)関連受信PDUの1つの内容に基づいて関連受信PDUに適用されるべき 複数のポリシーからのプロトコルデータ単位(PDU)ネットワークポリシーの インスタンスを判定するステップと; (d)関連受信PDUの他方のPDUに適用されるべきPDUポリシーのインス タンスを識別するポリシー識別情報をキャッシュするステップと; (e)キャッシュされたポリシー認識情報の効用に基づいて複数のポリシーから 関連受信PDUの別のPDUへPDUポリシーのインスタンスを適用するステッ プと; (f)PDUストリームを濾過して除去するか又は監査することによりネットワ ークポリシーのインスタンスを実行するステップと;を含む通信デバイスに使用 するポリシーキャッシング方法。 12.判定ステップが通信デバイスにより受信された関連受信PDU の第IPDUの内容に基づいてPDUポリシーのインスタンスの識別を含む請求 の範囲11に記載のポリシーキャッシング方法。 13.通信リンクが非同期転送モード(ATM)ネットワーク、同期 光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FD DI)ネットワーク、フレームリレーネットワーク、イーサネット、100−M bpsイーサネット、ギガビットイーサネット、高性能並列インターフェース( HIPPT)、光ファイバーチャネル、交換多重メガビットデータサービス(S MDS)、X.25ネットワーク、総合デイジタル通信サービスネットワーク( ISDN)、トークンリング、公衆交換電話機回路網(PSTN)、ケーブルモ デムネットワーク、直列インターフェース、並列インターフェース、及びコンピ ュータバス;から成るグループから選択される請求の範囲11に記載のポリシー キャッシング方法。 14.通信リンクが伝送制御プロトコル/インタネットプロトコル( TCP/IP)、アップルトーク、DECネット、システムネットワークアーキ テクチャ(SNA)、専用ネットワークノードインターフェース(PNNI)、 ユーザ網インターフェース(UNI)、非同期転送モードネットワーク信号方式 (SPANS)用単純プロトコル、中間ローカルマネージメントインターフェー ス(ILMI)、及び操作管理保全(OAM)インターフェース;から選択され たネットワーク信号方式プロトコルを利用する請求の範囲11に記載のポリシー キャッシング方法。 15.グループステップの選択規準が (a)セルのストリームを含むPDUストリーム及び特定パケットのセルを含む 関連受信PDUと; (b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ ームと; (c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを 含む関連受信PDUと; (d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受 信PDUと; (e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信 PDUと; (f)通信インターフェース上の同一ソースポートを有するPDUストリームか らのPDUを含む関連受信PDUと; (g)通信インターフェース上の同一行先ポートを有するPDUストリームから のPDUを含む関連受信PDUと; (h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含 む関連受信PDUと; (i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受 信PDUと; (j)同一機密オプションを有するPDUストリームからのPDUを含む関連受 信PDUと; (k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの PDUを含む関連受信PDUと;から成るグループから選択される請求の範囲1 1に記載のポリシーキャッシング方法。 16.前記通信デバイスがデータネットワーク、コンピュータ、モニ ター、スイッチ、ルータ、ブリッジ、及びファイアウオールから成るグループか ら選択される請求の範囲11に記載のポリシーキャッシング方法。 17.各PDUがセルを含み、かつ関連受信PDUが特定パケットの セルを含み、その結果、ポリシーをキャッシュする方法がセルベースによるセル に関する通信デバイスによってセルを特定パケットの中に再組立てすることなく 実行される請求の範囲11に記載のポリシーキャッシング方法。 18.(a)関連受信PDUのある内容に基づいて関連受信PDUに適 用されるべき複数のポリシーからのプロトコルデータ単位(PDU)ネットワー クポリシーのインスタンスを判定する例外処理手段と; (b)例外処理手段に作動可能に結合された、関連受信PDUの他方のPDUに 適用されるべきPDUポリシーのインスタンスを識別するポリシー識別情報をキ ャッシュするキャッシュされたインスタンス分類手段と;を含む通信デバイスに 使用するポリシーキャッシュ。 19.例外処理手段に作動可能に結合された、関連受信PDUの他方 に適用されるべきPDUポリシーのインスタンスをキャッシュするインスタンス ポリシーキャッシュ手段をさらに含む請求の範囲18に記載のポリシーキャッシ ュ。 20.例外処理手段が通信デバイスにより受信された関連受信PDU の第1PDUの内容に基づいてPDUポリシーのインスタンスを判定する手段を 含む請求の範囲18に記載のポリシーキャッシュ。 21.各PDUがセルを含み、かつ関連受信PDUが特定パケットの セルを含み、その結果、例外処理手段及びキャッシュされたインスタンス分類手 段がセルベースによるセルに関する動作によってセルを特定パケットの中に再組 立てすることなく実行されることを特徴とする請求の範囲11に記載のポリシー キャッシング方法。 22.請求の範囲第19項に記載のポリシーキャッシュを有しかつ、 ポリシーキャッシュに作動可能に結合された、複数のポリシーからのPDUポリ シーのインスタンスを関連受信PDUの他方のPDUにキャッシュされたポリシ ー識別情報を使用することにより適用してインスタンスポリシーキャッシュ手段 からのPDUポリシーのキャッシュされたインスタンスを検索するデータストリ ーム処理手段をさらに含む通信デバイス。 23.キャッシュされたインスタンス分類手段が連想記憶装置(CA M)を含み、その結果、データストリーム処理手段が関連受信PDUの他方から のフィールド値をCAMに設け、かつ関連受信PDUの他方のポリシー認識情報 を後にCAMから受信する請求の範囲22に記載の通信デバイス。 24.キャッシュされたインスタンス分類手段がデータストリーム処 理手段によって設けられた関連受信PDUの他方からのフィールド値上でハッシ ング機能を実行し、ハッシィング機能の結果を使用してハッシングテーブルから の関連受信PDUの他方のポリシー認識情報を選択し、かつ選択されたポリシー 認識情報をデータストリーム処理手段へ提供するハッシュ機構を含む請求の範囲 22に記載の通信デバイス。 25.キャッシュされたインスタンス分類手段が参照用テーブル機構 を有し、その結果、データストリーム処理手段が参照用テーブル機構に対する索 引として複数の関連受信PDUの他方からのフィールド値を使用しかつ索引によ って指定された参照用テーブル機構の関連受信PDUの他方のためポリシー認識 情報を検索する請求の範囲22に記載の通信デバイス。 26.データストリーム処理手段が各PDUからのフィールド値を使 用する手段を有して各PDUのためのインスタンスポリシーキャッシュ手段及び PDUポリシーのキャッシュされたインスタンスを検索する手段からのPDUポ リシーのキャッシュされたインスタンスのためのポリシーキャッシュを確認し、 その結果、データストリーム処理手段はフィールド値がキャッシュされたポリシ ー認識情報に対応する場合、各PDUに対してPDUポリシーのキャッシュされ たインスタンスを確認し、かつPDUポリシーのキャッシュされたインスタンス がインスタンスポリシーキャッシュ手段の中に見出されない場合、例外処理手段 からのPDUポリシーのインスタンスを得る手段を含む請求の範囲第22項に記 載の通信デバイス。 27.データストリーム処理手段が通信リンクからのPDUのストリ ームを受信し、PDUストリームが関連受信PDUを含む受信装置を含む請求の 範囲22に記載の通信デバイス。 28.データストリーム処理手段がネットワークポリシーのインスタ ンスをPDUストリームを濾過してPDUのポリシー実施されたストリームの中 に除去するか又は監査することにより実行する実施手段をさらに含む請求の範囲 27に記載の通信デバイス。 29.データストリーム処理手段が実施手段に作動可能に結合された 、PDUのポリシー実施ストリームを通信デバイスからPDUの出力データスト リームとして送信する送信手段をさらに含む請求の範囲28に記載の通信デバイ ス。 30.データストリーム処理手段がPDUの第1ストリームを上流の 通信リンクから受信する第1受信装置及びPDUの第2ストリームを下流の通信 リンクから受信する第2受信装置とを含み、PDUの第1ストリーム及び第2ス トリームの1つの装置だけがネットワークポリシーが判定されるべき関連受信P DUを含み、データストリーム処理手段がPDUの第1ストリーム及び第2スト リームの1つをPDUストリームを濾過してPDUのポリシー実施されたストリ ームの中に除去するか又は監査することによりネットワークポリシーのインスタ ンスを実行する実施手段をさらに有し、その結果、ネットワー クポリシーのインスタンスが上流及び下流の通信リンクで実施される請求の範囲 27に記載の通信デバイス。 31.通信リンクが非同期転送モード(ATM)ネットワーク、同期 光学式ネットワーク(SONET)、光ファイバー分散型データ交換(FDDI )ネットワーク、フレームリレーネットワーク、イーサネット、100−Mbp sイーサネット、ギガビットイーサネット、高性能並列インターフェース(HI PPT)、光ファイバーチャネル、交換多重メガビットデータサービス(SMD S)、X.25ネットワーク、総合デイジタル通信サービスネットワーク(IS DN)、トークンリング、公衆交換電話機回路網(PSTN)、ケーブルモデム ネットワーク、直列インターフェース、並列インターフェース、及びコンピュー タバス;から成るグループから選択される請求の範囲27に記載の通信デバイス 。 32.通信リンクが伝送制御プロトコル/インタネットプロトコル( TCP/IP)、アップルトーク、DECネット、システムネットワークアーキ テクチャ(SNA)、専用ネットワークノードインターフェース(PNNI)、 ユーザ網インターフェース(UNI)、非同期転送モードネットワーク信号方式 (SPANS)用単純プロトコル、中間ローカルマネージメントインターフェー ス(ILMI)、及び操作管理保全(OAM)インターフェース;から選択され たネットワーク信号方式プロトコルを利用する請求の範囲27に記載の通信デバ イス。 33.ユニットを受け取るデータストリーム処理手段が; (a)セルのストリームを含むPDUストリーム及び特定パケットのセルを含む 関連受信PDUと; (b)同一回路番号を有するPDUストリームからのPDUを含むPDUストリ ームと; (c)フレームに直列なパケットを含むPDUストリーム及び多数のパケットを 含む関連受信PDUと; (d)同一ソースアドレスを有するPDUストリームからのPDUを含む関連受 信PDUと; (e)同一行先アドレスを有するPDUストリームからのPDUを含む関連受信 PDUと; (f)通信インターフェース上の同一ソースポートを有するPDUストリームか らのPDUを含む関連受信PDUと; (g)通信インターフェース上の同一行先ポートを有するPDUストリームから のPDUを含む関連受信PDUと; (h)同一ネットワークプロトコルを有するPDUストリームからのPDUを含 む関連受信PDUと; (i)同一移送プロトコルを有するPDUストリームからのPDUを含む関連受 信PDUと; (j)同一機密オプションを有するPDUストリームからのPDUを含む関連受 信PDUと; (k)いずれかのPDUフィールドの同一内容を有するPDUストリームからの PDUを含む関連受信PDUと;から成るグループから選択された選択規準に基 づいて関連受信PDUとしてPDUストリームからのPDUの部分集合をまとめ る手段を含む請求の範囲27に記載のポリシーキャッシング方法。 34.例外処理手段が関連受信PDUに適用可能なPDUネットワー クポリシーのインスタンスの汎用ポリシー記憶機構を照会できるように、例外処 理手段に作動可能に結合された、複数のネットワークポリシーを記憶する汎用ポ リシー記憶機構をさらに含む請求の範囲22に記載のポリシーキャッシング方法 。 35.通信デバイスがデータネットワーク装置、コンピュータ、モニ ター、スイッチ、ルータ、ブリッジ、及びファイアウオールから成るグループか ら選択される請求の範囲22に記載の通信デバイス。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/666,638 US5842040A (en) | 1996-06-18 | 1996-06-18 | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US666,638 | 1996-06-18 | ||
PCT/US1997/010332 WO1997049038A1 (en) | 1996-06-18 | 1997-06-18 | Policy caching method and apparatus for use in a communication device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2000513165A true JP2000513165A (ja) | 2000-10-03 |
Family
ID=24674843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP10503170A Ceased JP2000513165A (ja) | 1996-06-18 | 1997-06-18 | 通信デバイスに使用するポリシーのキャッシュ方法及び装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US5842040A (ja) |
EP (1) | EP1012726B1 (ja) |
JP (1) | JP2000513165A (ja) |
AU (1) | AU714870B2 (ja) |
CA (1) | CA2258010C (ja) |
DE (1) | DE69730452T2 (ja) |
WO (1) | WO1997049038A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004524754A (ja) * | 2001-03-19 | 2004-08-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | キャッシュ入力の選択方法および装置 |
Families Citing this family (235)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7937312B1 (en) | 1995-04-26 | 2011-05-03 | Ebay Inc. | Facilitating electronic commerce transactions through binding offers |
US7702540B1 (en) * | 1995-04-26 | 2010-04-20 | Ebay Inc. | Computer-implement method and system for conducting auctions on the internet |
US7647243B2 (en) | 1995-11-07 | 2010-01-12 | Ebay Inc. | Electronic marketplace system and method for creation of a two-tiered pricing scheme |
US6091725A (en) | 1995-12-29 | 2000-07-18 | Cisco Systems, Inc. | Method for traffic management, traffic prioritization, access control, and packet forwarding in a datagram computer network |
US6243667B1 (en) * | 1996-05-28 | 2001-06-05 | Cisco Systems, Inc. | Network flow switching and flow data export |
US7462746B2 (en) * | 1996-06-28 | 2008-12-09 | University Of Southern California | Amino polyols and amino sugars |
JP3039385B2 (ja) * | 1996-07-17 | 2000-05-08 | 日本電気株式会社 | Atm通信装置 |
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US6791947B2 (en) | 1996-12-16 | 2004-09-14 | Juniper Networks | In-line packet processing |
US5983270A (en) * | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
CA2217275C (en) * | 1997-10-03 | 2005-08-16 | Newbridge Networks Corporation | Multiple internetworking realms within an internetworking device |
US6330610B1 (en) * | 1997-12-04 | 2001-12-11 | Eric E. Docter | Multi-stage data filtering system employing multiple filtering criteria |
US6324685B1 (en) | 1998-03-18 | 2001-11-27 | Becomm Corporation | Applet server that provides applets in various forms |
US6725378B1 (en) | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
DE19820525A1 (de) * | 1998-05-08 | 1999-11-11 | Alcatel Sa | Verfahren, Softwaremodul, Schnittstelleneinrichtung, Endgerät und Server zur Weiterleitungskontrolle von Paketen abgeschlossener Paketsequenzen paketvermittelter Netzwerke |
US6658002B1 (en) | 1998-06-30 | 2003-12-02 | Cisco Technology, Inc. | Logical operation unit for packet processing |
US7073196B1 (en) | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
US6615358B1 (en) | 1998-08-07 | 2003-09-02 | Patrick W. Dowd | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network |
AU1321700A (en) * | 1998-10-23 | 2000-05-15 | University Of Southern California | Combinatorial approach to chiral reagents or catalysts having amine or amino alcohol ligands |
US6167445A (en) | 1998-10-26 | 2000-12-26 | Cisco Technology, Inc. | Method and apparatus for defining and implementing high-level quality of service policies in computer networks |
US6286052B1 (en) | 1998-12-04 | 2001-09-04 | Cisco Technology, Inc. | Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows |
US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US6826616B2 (en) * | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
AU765914B2 (en) * | 1998-10-30 | 2003-10-02 | Virnetx Inc. | An agile network protocol for secure communications with assured system availability |
US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
CA2317460C (en) * | 1998-12-03 | 2008-07-08 | Nortel Networks Corporation | Providing desired service policies to subscribers accessing internet |
US6272540B1 (en) * | 1998-12-31 | 2001-08-07 | Intel Corporation | Arrangement and method for providing flexible management of a network |
US6701432B1 (en) * | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US6484212B1 (en) | 1999-04-20 | 2002-11-19 | At&T Corp. | Proxy apparatus and method for streaming media information |
US6651103B1 (en) | 1999-04-20 | 2003-11-18 | At&T Corp. | Proxy apparatus and method for streaming media information and for increasing the quality of stored media information |
US6539427B1 (en) | 1999-06-29 | 2003-03-25 | Cisco Technology, Inc. | Dynamically adaptive network element in a feedback-based data network |
US6584502B1 (en) | 1999-06-29 | 2003-06-24 | Cisco Technology, Inc. | Technique for providing automatic event notification of changing network conditions to network elements in an adaptive, feedback-based data network |
US6765864B1 (en) | 1999-06-29 | 2004-07-20 | Cisco Technology, Inc. | Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network |
US6577597B1 (en) | 1999-06-29 | 2003-06-10 | Cisco Technology, Inc. | Dynamic adjustment of network elements using a feedback-based adaptive technique |
US6505244B1 (en) * | 1999-06-29 | 2003-01-07 | Cisco Technology Inc. | Policy engine which supports application specific plug-ins for enforcing policies in a feedback-based, adaptive data network |
US6560610B1 (en) | 1999-08-10 | 2003-05-06 | Washington University | Data structure using a tree bitmap and method for rapid classification of data in a database |
US6598034B1 (en) * | 1999-09-21 | 2003-07-22 | Infineon Technologies North America Corp. | Rule based IP data processing |
JP2003512799A (ja) * | 1999-10-20 | 2003-04-02 | アルカテル・インターネツトワーキング・インコーポレイテツド | データ通信スイッチのためのオンスイッチポリシールールキャッシング |
AU3528600A (en) * | 1999-10-21 | 2001-04-30 | Navlet.Com, Inc. | Context-sensitive switching in a computer network environment |
US6856967B1 (en) | 1999-10-21 | 2005-02-15 | Mercexchange, Llc | Generating and navigating streaming dynamic pricing information |
US7389251B1 (en) | 1999-10-21 | 2008-06-17 | Mercexchange, Llc | Computer-implemented method for managing dynamic pricing information |
US6526474B1 (en) | 1999-10-25 | 2003-02-25 | Cisco Technology, Inc. | Content addressable memory (CAM) with accesses to multiple CAM arrays used to generate result for various matching sizes |
US6671727B1 (en) | 1999-12-20 | 2003-12-30 | Lsi Logic Corporation | Methodology for providing persistent target identification in a fibre channel environment |
US6629163B1 (en) | 1999-12-29 | 2003-09-30 | Implicit Networks, Inc. | Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components |
US6539483B1 (en) | 2000-01-12 | 2003-03-25 | International Business Machines Corporation | System and method for generation VPN network policies |
US8090856B1 (en) * | 2000-01-31 | 2012-01-03 | Telecommunication Systems, Inc. | Intelligent messaging network server interconnection |
US7003571B1 (en) * | 2000-01-31 | 2006-02-21 | Telecommunication Systems Corporation Of Maryland | System and method for re-directing requests from browsers for communication over non-IP based networks |
US7689696B2 (en) * | 2000-01-31 | 2010-03-30 | Telecommunication Systems, Inc. | System and method for re-directing requests from browsers for communications over non-IP based networks |
AU3846801A (en) | 2000-02-16 | 2001-08-27 | Brigham & Womens Hospital | Aspirin-triggered lipid mediators |
US6629156B1 (en) * | 2000-03-02 | 2003-09-30 | Lsi Logic Corporation | Fibre Channel service parameter cache |
US6854063B1 (en) | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6654342B1 (en) | 2000-03-07 | 2003-11-25 | Cisco Technology, Inc. | Accumulating and distributing flow control information via update messages and piggybacked flow control information in other messages in a packet switching system |
US6747972B1 (en) | 2000-03-07 | 2004-06-08 | Cisco Technology, Inc. | Method and apparatus for reducing the required size of sequence numbers used in resequencing packets |
US6757284B1 (en) | 2000-03-07 | 2004-06-29 | Cisco Technology, Inc. | Method and apparatus for pipeline sorting of ordered streams of data items |
US6674721B1 (en) | 2000-03-07 | 2004-01-06 | Cisco Technology, Inc. | Method and apparatus for scheduling packets being sent from a component of a packet switching system |
US6990063B1 (en) | 2000-03-07 | 2006-01-24 | Cisco Technology, Inc. | Distributing fault indications and maintaining and using a data structure indicating faults to route traffic in a packet switching system |
US6907041B1 (en) | 2000-03-07 | 2005-06-14 | Cisco Technology, Inc. | Communications interconnection network with distributed resequencing |
US6728211B1 (en) | 2000-03-07 | 2004-04-27 | Cisco Technology, Inc. | Method and apparatus for delaying packets being sent from a component of a packet switching system |
US6735173B1 (en) | 2000-03-07 | 2004-05-11 | Cisco Technology, Inc. | Method and apparatus for accumulating and distributing data items within a packet switching system |
US6788689B1 (en) | 2000-03-07 | 2004-09-07 | Cisco Technology, Inc. | Route scheduling of packet streams to achieve bounded delay in a packet switching system |
US20050195743A1 (en) * | 2000-04-03 | 2005-09-08 | P-Cube Ltd. | Real time charging of pre-paid accounts |
US6831893B1 (en) * | 2000-04-03 | 2004-12-14 | P-Cube, Ltd. | Apparatus and method for wire-speed classification and pre-processing of data packets in a full duplex network |
US7436830B2 (en) | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
US6904014B1 (en) | 2000-04-27 | 2005-06-07 | Cisco Technology, Inc. | Method and apparatus for performing high-speed traffic shaping |
US7343622B1 (en) * | 2000-04-27 | 2008-03-11 | Raytheon Company | Multi-level secure multi-processor computer architecture |
US6252872B1 (en) | 2000-05-24 | 2001-06-26 | Advanced Micro Devices, Inc. | Data packet filter using contents addressable memory (CAM) and method |
US6658458B1 (en) | 2000-06-22 | 2003-12-02 | Cisco Technology, Inc. | Cascading associative memory arrangement |
US7051078B1 (en) | 2000-07-10 | 2006-05-23 | Cisco Technology, Inc. | Hierarchical associative memory-based classification system |
FR2812491B1 (fr) * | 2000-07-25 | 2003-01-10 | France Telecom | Dispositif de controle d'acces entre des reseaux atm |
US6816492B1 (en) | 2000-07-31 | 2004-11-09 | Cisco Technology, Inc. | Resequencing packets at output ports without errors using packet timestamps and timestamp floors |
US7088720B1 (en) * | 2000-08-07 | 2006-08-08 | Sbc Technology Resources, Inc. | Multiservice use of network connection capability under user-to-network interface signaling |
US7307993B2 (en) * | 2000-08-08 | 2007-12-11 | At&T Labs, Inc. | Controller based call control for ATM SVC signaling |
US6725326B1 (en) | 2000-08-15 | 2004-04-20 | Cisco Technology, Inc. | Techniques for efficient memory management for longest prefix match problems |
US6769132B1 (en) * | 2000-09-12 | 2004-07-27 | Arris International, Inc. | Signal splitter matrix for a cable modem termination system |
US7012889B1 (en) | 2000-11-02 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for controlling input rates within a packet switching system |
US7106693B1 (en) | 2000-11-02 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for pacing the flow of information sent from a device |
US20020124061A1 (en) * | 2000-11-27 | 2002-09-05 | Paul Mossman | Configuration system and method |
US8180870B1 (en) * | 2000-11-28 | 2012-05-15 | Verizon Business Global Llc | Programmable access device for a distributed network access system |
US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
US8185615B1 (en) | 2000-11-28 | 2012-05-22 | Verizon Business Global Llc | Message, control and reporting interface for a distributed network access system |
US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
US7249170B2 (en) | 2000-12-06 | 2007-07-24 | Intelliden | System and method for configuration, management and monitoring of network resources |
US20020069271A1 (en) * | 2000-12-06 | 2002-06-06 | Glen Tindal | Event manager for network operating system |
US6978301B2 (en) | 2000-12-06 | 2005-12-20 | Intelliden | System and method for configuring a network device |
US8219662B2 (en) | 2000-12-06 | 2012-07-10 | International Business Machines Corporation | Redirecting data generated by network devices |
US7218632B1 (en) | 2000-12-06 | 2007-05-15 | Cisco Technology, Inc. | Packet processing engine architecture |
US7054946B2 (en) * | 2000-12-06 | 2006-05-30 | Intelliden | Dynamic configuration of network devices to enable data transfers |
US6967926B1 (en) | 2000-12-31 | 2005-11-22 | Cisco Technology, Inc. | Method and apparatus for using barrier phases to limit packet disorder in a packet switching system |
GB2371705B (en) * | 2001-01-30 | 2003-04-23 | 3Com Corp | Network switch with mutually coupled look-up engine and network processor |
US6934760B1 (en) | 2001-02-04 | 2005-08-23 | Cisco Technology, Inc. | Method and apparatus for resequencing of packets into an original ordering using multiple resequencing components |
US6832261B1 (en) | 2001-02-04 | 2004-12-14 | Cisco Technology, Inc. | Method and apparatus for distributed resequencing and reassembly of subdivided packets |
US7092393B1 (en) | 2001-02-04 | 2006-08-15 | Cisco Technology, Inc. | Method and apparatus for distributed reassembly of subdivided packets using multiple reassembly components |
US7027397B1 (en) | 2001-02-15 | 2006-04-11 | Cisco Technology, Inc. | Method and apparatus for accumulating and distributing traffic and flow control information in a packet switching system |
US6738779B1 (en) * | 2001-02-21 | 2004-05-18 | Telecom Italia S.P.A. | Apparatus for and method of multiple parallel string searching |
US6606681B1 (en) | 2001-02-23 | 2003-08-12 | Cisco Systems, Inc. | Optimized content addressable memory (CAM) |
US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US7599351B2 (en) * | 2001-03-20 | 2009-10-06 | Verizon Business Global Llc | Recursive query for communications network data |
US20030115480A1 (en) * | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
WO2002076029A1 (en) * | 2001-03-20 | 2002-09-26 | Worldcom, Inc. | System, method and apparatus that isolate virtual private network (vpn) and best effort traffic to resist denial of service attacks |
US7150037B2 (en) | 2001-03-21 | 2006-12-12 | Intelliden, Inc. | Network configuration manager |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US6862281B1 (en) | 2001-05-10 | 2005-03-01 | Cisco Technology, Inc. | L4 lookup implementation using efficient CAM organization |
US7002965B1 (en) | 2001-05-21 | 2006-02-21 | Cisco Technology, Inc. | Method and apparatus for using ternary and binary content-addressable memory stages to classify packets |
US7269139B1 (en) | 2001-06-27 | 2007-09-11 | Cisco Technology, Inc. | Method and apparatus for an adaptive rate control mechanism reactive to flow control messages in a packet switching system |
US7016305B1 (en) | 2001-06-27 | 2006-03-21 | Cisco Technology, Inc | Method and apparatus for distributing information within a packet switching system |
US7133409B1 (en) | 2001-07-19 | 2006-11-07 | Richard Willardson | Programmable packet filtering in a prioritized chain |
US7136386B2 (en) * | 2001-07-19 | 2006-11-14 | Sbc Technology Resources, Inc. | Virtual private network over asynchronous transfer mode |
US6732228B1 (en) * | 2001-07-19 | 2004-05-04 | Network Elements, Inc. | Multi-protocol data classification using on-chip CAM |
US7260673B1 (en) * | 2001-07-20 | 2007-08-21 | Cisco Technology, Inc. | Method and apparatus for verifying the integrity of a content-addressable memory result |
US7187678B2 (en) | 2001-08-13 | 2007-03-06 | At&T Labs, Inc. | Authentication for use of high speed network resources |
US7065086B2 (en) * | 2001-08-16 | 2006-06-20 | International Business Machines Corporation | Method and system for efficient layer 3-layer 7 routing of internet protocol (“IP”) fragments |
US8296400B2 (en) | 2001-08-29 | 2012-10-23 | International Business Machines Corporation | System and method for generating a configuration schema |
US7200548B2 (en) * | 2001-08-29 | 2007-04-03 | Intelliden | System and method for modeling a network device's configuration |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7065083B1 (en) | 2001-10-04 | 2006-06-20 | Cisco Technology, Inc. | Method and apparatus for dynamically generating lookup words for content-addressable memories |
US6775737B1 (en) | 2001-10-09 | 2004-08-10 | Cisco Technology, Inc. | Method and apparatus for allocating and using range identifiers as input values to content-addressable memories |
US7065562B2 (en) * | 2001-11-26 | 2006-06-20 | Intelliden, Inc. | System and method for generating a representation of a configuration schema |
US7042886B2 (en) | 2001-12-06 | 2006-05-09 | P-Cube Ltd. | Apparatus, method, and computer program for wire-speed classification and pre-processing of data packets in an ATM network |
US6715029B1 (en) | 2002-01-07 | 2004-03-30 | Cisco Technology, Inc. | Method and apparatus for possibly decreasing the number of associative memory entries by supplementing an associative memory result with discriminator bits from an original set of information |
US6961808B1 (en) | 2002-01-08 | 2005-11-01 | Cisco Technology, Inc. | Method and apparatus for implementing and using multiple virtual portions of physical associative memories |
US6970971B1 (en) * | 2002-01-08 | 2005-11-29 | Cisco Technology, Inc. | Method and apparatus for mapping prefixes and values of a hierarchical space to other representations |
US7613200B1 (en) | 2002-01-15 | 2009-11-03 | Cisco Technology, Inc. | Method and apparatus using a random indication to map items to paths and to recirculate or delay the sending of a particular item when a destination over its mapped path is unreachable |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
AU2003216285A1 (en) * | 2002-02-14 | 2003-09-04 | The Trustees Of Columbia University In The City Of New York | System and methods for protecting network sites from denial of service attacks |
US6871262B1 (en) | 2002-02-14 | 2005-03-22 | Cisco Technology, Inc. | Method and apparatus for matching a string with multiple lookups using a single associative memory |
US6871265B1 (en) | 2002-02-20 | 2005-03-22 | Cisco Technology, Inc. | Method and apparatus for maintaining netflow statistics using an associative memory to identify and maintain netflows |
US7193996B2 (en) * | 2002-02-28 | 2007-03-20 | Acme Packet, Inc. | System and method for determining a source of an internet protocol packet |
US6927294B1 (en) | 2002-03-08 | 2005-08-09 | University Of Southern California | Nitrogen-containing heterocycles |
US7902257B2 (en) | 2002-04-01 | 2011-03-08 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid |
US6946542B2 (en) * | 2002-04-01 | 2005-09-20 | University Of Southern California | Amino amides, peptides and peptidomimetics |
US7582785B2 (en) * | 2002-04-01 | 2009-09-01 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid derivatives |
US8481772B2 (en) | 2002-04-01 | 2013-07-09 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid derivatives |
ES2527753T3 (es) | 2002-04-01 | 2015-01-29 | University Of Southern California | Eicosanoides trihidroxi poliinsaturados |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US7254632B2 (en) * | 2002-04-26 | 2007-08-07 | P-Cube Ltd. | Apparatus and method for pattern matching in text based protocol |
US7075940B1 (en) | 2002-05-06 | 2006-07-11 | Cisco Technology, Inc. | Method and apparatus for generating and using dynamic mappings between sets of entities such as between output queues and ports in a communications system |
US6959329B2 (en) * | 2002-05-15 | 2005-10-25 | Intelliden | System and method for transforming configuration commands |
US7336660B2 (en) * | 2002-05-31 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for processing packets based on information extracted from the packets and context indications such as but not limited to input interface characteristics |
US7299317B1 (en) | 2002-06-08 | 2007-11-20 | Cisco Technology, Inc. | Assigning prefixes to associative memory classes based on a value of a last bit of each prefix and their use including but not limited to locating a prefix and for maintaining a Patricia tree data structure |
US7558775B1 (en) | 2002-06-08 | 2009-07-07 | Cisco Technology, Inc. | Methods and apparatus for maintaining sets of ranges typically using an associative memory and for using these ranges to identify a matching range based on a query point or query range and to maintain sorted elements for use such as in providing priority queue operations |
US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
US20040003067A1 (en) * | 2002-06-27 | 2004-01-01 | Daniel Ferrin | System and method for enabling a user interface with GUI meta data |
US7464145B2 (en) | 2002-07-11 | 2008-12-09 | Intelliden, Inc. | Repository-independent system and method for asset management and reconciliation |
US7313667B1 (en) | 2002-08-05 | 2007-12-25 | Cisco Technology, Inc. | Methods and apparatus for mapping fields of entries into new values and combining these mapped values into mapped entries for use in lookup operations such as for packet processing |
US7461158B2 (en) | 2002-08-07 | 2008-12-02 | Intelliden, Inc. | System and method for controlling access rights to network resources |
US7366893B2 (en) * | 2002-08-07 | 2008-04-29 | Intelliden, Inc. | Method and apparatus for protecting a network from attack |
US7177978B2 (en) * | 2002-08-10 | 2007-02-13 | Cisco Technology, Inc. | Generating and merging lookup results to apply multiple features |
US7689485B2 (en) * | 2002-08-10 | 2010-03-30 | Cisco Technology, Inc. | Generating accounting data based on access control list entries |
US7103708B2 (en) * | 2002-08-10 | 2006-09-05 | Cisco Technology, Inc. | Performing lookup operations using associative memories optionally including modifying a search key in generating a lookup word and possibly forcing a no-hit indication in response to matching a particular entry |
US7065609B2 (en) * | 2002-08-10 | 2006-06-20 | Cisco Technology, Inc. | Performing lookup operations using associative memories optionally including selectively determining which associative memory blocks to use in identifying a result and possibly propagating error indications |
US7028136B1 (en) | 2002-08-10 | 2006-04-11 | Cisco Technology, Inc. | Managing idle time and performing lookup operations to adapt to refresh requirements or operational rates of the particular associative memory or other devices used to implement the system |
CN100421106C (zh) * | 2002-08-10 | 2008-09-24 | 思科技术公司 | 具有增强能力的关联存储器 |
US7082492B2 (en) * | 2002-08-10 | 2006-07-25 | Cisco Technology, Inc. | Associative memory entries with force no-hit and priority indications of particular use in implementing policy maps in communication devices |
US7349382B2 (en) * | 2002-08-10 | 2008-03-25 | Cisco Technology, Inc. | Reverse path forwarding protection of packets using automated population of access control lists based on a forwarding information base |
US7441074B1 (en) | 2002-08-10 | 2008-10-21 | Cisco Technology, Inc. | Methods and apparatus for distributing entries among lookup units and selectively enabling less than all of the lookup units when performing a lookup operation |
US7759395B2 (en) * | 2002-08-12 | 2010-07-20 | The Brigham And Women's Hospital, Inc. | Use of docosatrienes, resolvins and their stable analogs in the treatment of airway diseases and asthma |
ES2700133T3 (es) * | 2002-08-12 | 2019-02-14 | Brigham & Womens Hospital | Resolvinas: modelos biológicos para intervenciones terapéuticas |
US7304999B2 (en) * | 2002-08-24 | 2007-12-04 | Cisco Technology Inc. | Methods and apparatus for processing packets including distributing packets across multiple packet processing engines and gathering the processed packets from the processing engines |
US7404015B2 (en) * | 2002-08-24 | 2008-07-22 | Cisco Technology, Inc. | Methods and apparatus for processing packets including accessing one or more resources shared among processing engines |
US7558847B2 (en) * | 2002-09-13 | 2009-07-07 | Intelliden, Inc. | System and method for mapping between and controlling different device abstractions |
US7051259B1 (en) | 2002-10-08 | 2006-05-23 | Cisco Technology, Inc. | Methods and apparatus for communicating time and latency sensitive information |
US7610440B2 (en) * | 2002-10-23 | 2009-10-27 | Husby Donald E | Content addressable memory with automated learning |
US6717946B1 (en) | 2002-10-31 | 2004-04-06 | Cisco Technology Inc. | Methods and apparatus for mapping ranges of values into unique values of particular use for range matching operations using an associative memory |
US7701953B2 (en) * | 2002-11-04 | 2010-04-20 | At&T Intellectual Property I, L.P. | Client server SVC-based DSL service |
US7602788B2 (en) | 2002-11-04 | 2009-10-13 | At&T Intellectual Property I, L.P. | Peer to peer SVC-based DSL service |
US7024515B1 (en) | 2002-11-15 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for performing continue actions using an associative memory which might be particularly useful for implementing access control list and quality of service features |
US7313093B1 (en) | 2002-11-26 | 2007-12-25 | Cisco Technology, Inc. | Methods and apparatus for selectively discarding packets during overload conditions |
US20040117488A1 (en) * | 2002-12-12 | 2004-06-17 | Mcnamee Kevin | Dynamic callback packet filtering gateway |
US7496035B1 (en) | 2003-01-31 | 2009-02-24 | Cisco Technology, Inc. | Methods and apparatus for defining flow types and instances thereof such as for identifying packets corresponding to instances of the flow types |
US7382785B2 (en) * | 2003-02-21 | 2008-06-03 | At&T Knowledge Ventures, L.P. | Extended virtual user-to-network interface with ATM network |
WO2004078143A2 (en) * | 2003-03-05 | 2004-09-16 | The Brigham And Women's Hospital Inc. | Methods for identification and uses of anti-inflammatory receptors for eicosapentaenoic acid analogs |
US7325002B2 (en) | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US20050010485A1 (en) * | 2003-07-11 | 2005-01-13 | Quadratic Systems Corporation | Integrated system and method for selectively populating and managing multiple, site-specific, interactive, user stations |
US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
US7571242B2 (en) * | 2003-10-24 | 2009-08-04 | Alcatel Lucent | Method for accelerated packet processing |
US7305519B1 (en) | 2004-03-29 | 2007-12-04 | Cisco Technology, Inc. | Error protection for associative memory entries and lookup operations performed thereon |
US7290083B2 (en) * | 2004-06-29 | 2007-10-30 | Cisco Technology, Inc. | Error protection for lookup operations in content-addressable memory entries |
US7599361B2 (en) * | 2004-07-02 | 2009-10-06 | P-Cube Ltd. | Wire-speed packet management in a multi-pipeline network processor |
GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
GB2418999A (en) * | 2004-09-09 | 2006-04-12 | Surfcontrol Plc | Categorizing uniform resource locators |
GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
GB2418108B (en) | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
US9197857B2 (en) | 2004-09-24 | 2015-11-24 | Cisco Technology, Inc. | IP-based stream splicing with content-specific splice points |
US8966551B2 (en) | 2007-11-01 | 2015-02-24 | Cisco Technology, Inc. | Locating points of interest using references to media frames within a packet flow |
US20060082581A1 (en) | 2004-10-14 | 2006-04-20 | Microsoft Corporation | Encoding for remoting graphics to decoder device |
US7852342B2 (en) * | 2004-10-14 | 2010-12-14 | Microsoft Corporation | Remote client graphics rendering |
US20060126520A1 (en) * | 2004-12-15 | 2006-06-15 | Cisco Technology, Inc. | Tape acceleration |
US7350131B2 (en) * | 2005-01-22 | 2008-03-25 | Cisco Technology, Inc. | Error protecting groups of data words |
US7551617B2 (en) | 2005-02-08 | 2009-06-23 | Cisco Technology, Inc. | Multi-threaded packet processing architecture with global packet memory, packet recirculation, and coprocessor |
US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
US7594258B2 (en) * | 2005-06-27 | 2009-09-22 | Yahoo! Inc. | Access control systems and methods using visibility tokens with automatic propagation |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US8069270B1 (en) * | 2005-09-06 | 2011-11-29 | Cisco Technology, Inc. | Accelerated tape backup restoration |
US7609280B2 (en) * | 2005-09-07 | 2009-10-27 | Microsoft Corporation | High level graphics stream |
US8527563B2 (en) * | 2005-09-12 | 2013-09-03 | Microsoft Corporation | Remoting redirection layer for graphics device interface |
WO2007035655A2 (en) | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
WO2007041440A2 (en) * | 2005-10-03 | 2007-04-12 | The Brigham And Women's Hospital, Inc. | Anti-inflammatory actions of neuroprotectin d1/protectin d1 and its natural stereoisomers |
US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
US7739426B1 (en) | 2005-10-31 | 2010-06-15 | Cisco Technology, Inc. | Descriptor transfer logic |
US8636986B2 (en) * | 2005-11-18 | 2014-01-28 | The Forsyth Institute | Treatment and prevention of bone loss using resolvins |
US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US20080052284A1 (en) * | 2006-08-05 | 2008-02-28 | Terry Stokes | System and Method for the Capture and Archival of Electronic Communications |
US7689889B2 (en) * | 2006-08-24 | 2010-03-30 | Cisco Technology, Inc. | Content addressable memory entry coding for error detection and correction |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
US7953895B1 (en) | 2007-03-07 | 2011-05-31 | Juniper Networks, Inc. | Application identification |
US8023419B2 (en) | 2007-05-14 | 2011-09-20 | Cisco Technology, Inc. | Remote monitoring of real-time internet protocol media streams |
US7936695B2 (en) * | 2007-05-14 | 2011-05-03 | Cisco Technology, Inc. | Tunneling reports for real-time internet protocol media streams |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US7835406B2 (en) * | 2007-06-18 | 2010-11-16 | Cisco Technology, Inc. | Surrogate stream for monitoring realtime media |
US7817546B2 (en) | 2007-07-06 | 2010-10-19 | Cisco Technology, Inc. | Quasi RTP metrics for non-RTP media flows |
US7996520B2 (en) | 2007-09-19 | 2011-08-09 | Cisco Technology, Inc. | Behavioral classification of communication sessions using active session initiation |
US8464074B1 (en) | 2008-05-30 | 2013-06-11 | Cisco Technology, Inc. | Storage media encryption with write acceleration |
US9378282B2 (en) | 2008-06-30 | 2016-06-28 | Raytheon Company | System and method for dynamic and real-time categorization of webpages |
EP2443580A1 (en) | 2009-05-26 | 2012-04-25 | Websense, Inc. | Systems and methods for efficeint detection of fingerprinted data and information |
US10290052B1 (en) | 2009-08-28 | 2019-05-14 | Jpmorgan Chase Bank, N.A. | ATM exception processing system and method |
US8301982B2 (en) | 2009-11-18 | 2012-10-30 | Cisco Technology, Inc. | RTP-based loss recovery and quality monitoring for non-IP and raw-IP MPEG transport flows |
US8533780B2 (en) * | 2009-12-22 | 2013-09-10 | Cisco Technology, Inc. | Dynamic content-based routing |
US8819714B2 (en) | 2010-05-19 | 2014-08-26 | Cisco Technology, Inc. | Ratings and quality measurements for digital broadcast viewers |
US9455892B2 (en) | 2010-10-29 | 2016-09-27 | Symantec Corporation | Data loss monitoring of partial data streams |
US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
JP6108968B2 (ja) * | 2013-06-06 | 2017-04-05 | 株式会社ソニー・インタラクティブエンタテインメント | 通信処理装置および通信処理方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5479155A (en) * | 1988-12-05 | 1995-12-26 | Prince Corporation | Vehicle accessory trainable transmitter |
US5347642A (en) * | 1989-11-30 | 1994-09-13 | Nec Electronics Inc. | Cache memory management unit |
US5291442A (en) * | 1990-10-31 | 1994-03-01 | International Business Machines Corporation | Method and apparatus for dynamic cache line sectoring in multiprocessor systems |
US5280480A (en) * | 1991-02-21 | 1994-01-18 | International Business Machines Corporation | Source routing transparent bridge |
US5325504A (en) * | 1991-08-30 | 1994-06-28 | Compaq Computer Corporation | Method and apparatus for incorporating cache line replacement and cache write policy information into tag directories in a cache system |
US5394408A (en) * | 1992-02-10 | 1995-02-28 | Nec Corporation | Policing control apparatus |
US5418922A (en) * | 1992-04-30 | 1995-05-23 | International Business Machines Corporation | History table for set prediction for accessing a set associative cache |
US5444491A (en) * | 1993-02-26 | 1995-08-22 | Massachusetts Institute Of Technology | Television system with multiple transmission formats |
US5557747A (en) * | 1993-06-22 | 1996-09-17 | Rogers; Lawrence D. | Network policy implementation system for performing network control operations in response to changes in network state |
CA2128673C (en) * | 1993-09-08 | 1997-02-04 | Naser Saleh Barghouti | Open process control system |
US5442624A (en) * | 1993-10-29 | 1995-08-15 | At&T Corp. | Dynamic access control for an ATM network |
US5546549A (en) * | 1994-06-01 | 1996-08-13 | International Business Machines Corporation | Multi-path channel (MPC) interface with user transparent, unbalanced, dynamically alterable computer input/output channels |
US5644751A (en) * | 1994-10-03 | 1997-07-01 | International Business Machines Corporation | Distributed file system (DFS) cache management based on file access characteristics |
US5533033A (en) * | 1994-12-19 | 1996-07-02 | The United States Of America As Represented By The Director, National Security Agency | Device for and method of correcting errors in formatted modem transmissions |
US5566170A (en) * | 1994-12-29 | 1996-10-15 | Storage Technology Corporation | Method and apparatus for accelerated packet forwarding |
US5625622A (en) * | 1995-12-27 | 1997-04-29 | Lucent Technologies Inc. | Apparatus and method for a generalized leaky bucket |
-
1996
- 1996-06-18 US US08/666,638 patent/US5842040A/en not_active Expired - Fee Related
-
1997
- 1997-06-18 AU AU34879/97A patent/AU714870B2/en not_active Ceased
- 1997-06-18 DE DE69730452T patent/DE69730452T2/de not_active Expired - Fee Related
- 1997-06-18 EP EP97931177A patent/EP1012726B1/en not_active Expired - Lifetime
- 1997-06-18 WO PCT/US1997/010332 patent/WO1997049038A1/en active IP Right Grant
- 1997-06-18 JP JP10503170A patent/JP2000513165A/ja not_active Ceased
- 1997-06-18 CA CA002258010A patent/CA2258010C/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004524754A (ja) * | 2001-03-19 | 2004-08-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | キャッシュ入力の選択方法および装置 |
US7146478B2 (en) | 2001-03-19 | 2006-12-05 | International Business Machines Corporation | Cache entry selection method and apparatus |
Also Published As
Publication number | Publication date |
---|---|
AU714870B2 (en) | 2000-01-13 |
EP1012726A1 (en) | 2000-06-28 |
CA2258010A1 (en) | 1997-12-24 |
EP1012726A4 (en) | 2000-06-28 |
EP1012726B1 (en) | 2004-08-25 |
DE69730452D1 (de) | 2004-09-30 |
AU3487997A (en) | 1998-01-07 |
CA2258010C (en) | 2001-08-28 |
WO1997049038A1 (en) | 1997-12-24 |
US5842040A (en) | 1998-11-24 |
DE69730452T2 (de) | 2005-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5842040A (en) | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units | |
Xu et al. | Design and evaluation of a High-Performance ATM firewall switch and its applications | |
US9258228B2 (en) | Filtering and route lookup in a switching device | |
US9407605B2 (en) | Routing a packet by a device | |
US6141755A (en) | Firewall security apparatus for high-speed circuit switched networks | |
US6741595B2 (en) | Device for enabling trap and trace of internet protocol communications | |
US6185214B1 (en) | Use of code vectors for frame forwarding in a bridge/router | |
US7688727B1 (en) | Filtering and route lookup in a switching device | |
US7031316B2 (en) | Content processor | |
JP3993092B2 (ja) | サービス拒否攻撃を防ぐための方法 | |
Weaver et al. | The shunt: an FPGA-based accelerator for network intrusion prevention | |
JP2004503986A (ja) | コンテンツ・アウェアネットワーク装置 | |
US7002974B1 (en) | Learning state machine for use in internet protocol networks | |
Haixin et al. | Policy based access control framework for large networks | |
Harbaum et al. | Layer 4+ switching with QoS support for RTP and HTTP | |
Xu et al. | Design of a high-performance ATM firewall | |
WO2002080417A1 (en) | Learning state machine for use in networks | |
Hughes | A high speed firewall architecture for ATM/OC-3C | |
Rohrbeck et al. | The Secure Access Node Project: A Hardware-Based Large-Scale Security Solution for Access Networks | |
Xu | Security mechanisms in high-speed networks | |
Paul et al. | Design and Implementation of a Full Bandwidth ATM Firewall |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040614 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060523 |
|
A313 | Final decision of rejection without a dissenting response from the applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A313 Effective date: 20061010 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061114 |