JP2002281071A - Router device and ip filtering processing method to be used for the same device and its program - Google Patents
Router device and ip filtering processing method to be used for the same device and its programInfo
- Publication number
- JP2002281071A JP2002281071A JP2001079651A JP2001079651A JP2002281071A JP 2002281071 A JP2002281071 A JP 2002281071A JP 2001079651 A JP2001079651 A JP 2001079651A JP 2001079651 A JP2001079651 A JP 2001079651A JP 2002281071 A JP2002281071 A JP 2002281071A
- Authority
- JP
- Japan
- Prior art keywords
- search
- packet
- machine
- filtering
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はルータ装置及びそれ
に用いるIPフィルタリング処理方法並びにそのプログ
ラムに関し、特にルータ装置等に実装されているIP
(InternetProtocol)フィルタリング
機能に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a router, an IP filtering method used therefor, and a program therefor, and more particularly to an IP implemented in a router or the like.
(Internet Protocol) This relates to a filtering function.
【0002】[0002]
【従来の技術】近年、インタネットが広がる一方、不正
アクセス対策等のセキュリティに関するニーズが高まっ
ている。このセキュリティに関してはルータ等に実装さ
れているIPフィルタリング機能が有効な手段である。2. Description of the Related Art In recent years, with the spread of the Internet, needs for security such as measures against unauthorized access have been increasing. For this security, an IP filtering function implemented in a router or the like is an effective means.
【0003】しかしながら、IPフィルタリング機能
は、一般に、発信元IPアドレス及び宛先IPアドレス
各々のIPアドレスそのものの条件比較、あるいはIP
サブネットベースでの条件比較(IPサブネットマスク
で論理積を取った結果の比較)を必要とし、それに加え
てTCP(Transmission Contoro
l Protocol)ポート番号での比較[ftp
(file transfer protocol)プ
ロトコルのパケットは通すが、telnetプロトコル
のパケットは通さない等]も要求される。[0003] However, the IP filtering function generally performs a condition comparison of the IP address itself of each of a source IP address and a destination IP address, or an IP filtering function.
Subnet-based condition comparison (comparison of the result of logical AND with the IP subnet mask) is required, and in addition, TCP (Transmission Control)
l Protocol) Comparison by port number [ftp
(File transfer protocol), but not the telnet protocol).
【0004】[0004]
【発明が解決しようとする課題】上述した従来のIPフ
ィルタリング機能では、上記のようなフィルタ条件を複
数設定することも要求されるので、ルータ装置にとって
はオーバヘッド増の要因になる。In the above-described conventional IP filtering function, it is also required to set a plurality of filter conditions as described above, which causes an increase in overhead for the router device.
【0005】特に、複数にフラグメントされたパケット
をフィルタリング処理する際には、フラグメントされた
パケット各々に対してフィルタリングを実施するため、
各パケットに対してそれぞれ伝送遅延が発生し、フラグ
メントされていないパケットのフィルタリングと比較し
てスループットがより低下してしまうという問題があ
る。[0005] In particular, when filtering a plurality of fragmented packets, filtering is performed on each of the fragmented packets.
There is a problem that transmission delay occurs for each packet, and the throughput is further reduced as compared with filtering of unfragmented packets.
【0006】そこで、本発明の目的は上記の問題点を解
消し、伝送遅延を抑えることができ、フィルタ時のスル
ープット低下幅を少なくすることができるとともに、オ
ーバヘッドを軽減することができるルータ装置及びそれ
に用いるIPフィルタリング処理方法並びにそのプログ
ラムを提供することにある。Accordingly, an object of the present invention is to solve the above-mentioned problems, to suppress transmission delay, to reduce the decrease in throughput during filtering, and to reduce the overhead. An object of the present invention is to provide an IP filtering processing method and a program therefor.
【0007】[0007]
【課題を解決するための手段】本発明によるルータ装置
は、一定のアドレス空間を持つメモリデバイスであるサ
ーチマシンを含み、複数にフラグメントされたパケット
に対してフィルタリング処理を行うルータ装置であっ
て、前記フィルタリング処理を行う際にフラグメント先
頭のパケットのフィルタ結果を前記サーチマシンに登録
する登録手段を備え、後続のフラグメントパケットに対
して前記フィルタリング処理を行う際に前記サーチマシ
ンの検索結果からフィルタ結果を得るよう構成してい
る。A router device according to the present invention includes a search machine which is a memory device having a fixed address space, and performs a filtering process on a plurality of fragmented packets. A registration unit that registers a filter result of a packet at the head of the fragment in the search machine when performing the filtering process; and performs a filter result from a search result of the search machine when performing the filtering process on a subsequent fragment packet. It is configured to obtain.
【0008】本発明によるIPフィルタリング処理方法
は、一定のアドレス空間を持つメモリデバイスであるサ
ーチマシンを含み、複数にフラグメントされたパケット
に対してフィルタリング処理を行うルータ装置のIPフ
ィルタリング処理方法であって、前記フィルタリング処
理を行う際にフラグメント先頭のパケットのフィルタ結
果を前記サーチマシンに登録するステップと、後続のフ
ラグメントパケットに対して前記フィルタリング処理を
行う際に前記サーチマシンの検索結果からフィルタ結果
を得るステップとを備えている。An IP filtering processing method according to the present invention is an IP filtering processing method for a router device that includes a search machine which is a memory device having a fixed address space and performs a filtering process on a plurality of fragmented packets. Registering a filter result of a packet at the head of a fragment in the search machine when performing the filtering process, and obtaining a filter result from a search result of the search machine when performing the filtering process on a subsequent fragment packet. And steps.
【0009】本発明によるIPフィルタリング処理方法
のプログラムは、一定のアドレス空間を持つメモリデバ
イスであるサーチマシンを含み、複数にフラグメントさ
れたパケットに対してフィルタリング処理を行うルータ
装置のIPフィルタリング処理方法のプログラムであっ
て、コンピュータに、前記フィルタリング処理を行う際
にフラグメント先頭のパケットのフィルタ結果を前記サ
ーチマシンに登録する処理と、後続のフラグメントパケ
ットに対して前記フィルタリング処理を行う際に前記サ
ーチマシンの検索結果からフィルタ結果を得る処理とを
実行させている。A program for an IP filtering processing method according to the present invention includes a search machine, which is a memory device having a fixed address space, and performs an IP filtering processing method for a router device that performs filtering processing on a plurality of fragmented packets. A program that registers, in the computer, a filter result of a packet at the head of a fragment when performing the filtering process in the search machine; and a computer that executes the filtering process when performing the filtering process on a subsequent fragment packet. And a process of obtaining a filter result from the search result.
【0010】すなわち、本発明のIPフィルタリング処
理方法は、複数にフラグメントされたパケットをフィル
タリング処理する際にフラグメント先頭のパケットのフ
ィルタ結果を送信元IPアドレスとID(識別情報)値
とをキーにしてサーチマシンに登録し、後続フラグメン
トパケットのフィルタリングの際にサーチマシンの検索
結果からフィルタ結果を得ている。That is, according to the IP filtering method of the present invention, when filtering a plurality of fragmented packets, the filtering result of the packet at the head of the fragment is determined by using the source IP address and the ID (identification information) value as keys. It is registered in the search machine and obtains the filter result from the search result of the search machine when filtering the subsequent fragment packet.
【0011】上記のように、複数にフラグメントされた
パケットをフィルタリング処理する際に、先頭のパケッ
トのフィルタ結果をサーチマシンに保持することによっ
て、先頭以降のパケットに対してはサーチマシンの検索
結果からパケット廃棄/転送の判断を行うことが可能と
なるので、伝送遅延を抑えることが可能となり、フィル
タ時のスループット低下幅を少なくすることが可能とな
る。また、ソフトウェア処理を少なくすることによっ
て、オーバヘッドを軽減することが可能となる。[0011] As described above, when filtering a plurality of fragmented packets, the filter result of the first packet is stored in the search machine, so that the packets subsequent to the first packet are retrieved from the search result of the search machine. Since it is possible to determine whether to discard or transfer the packet, it is possible to suppress the transmission delay, and it is possible to reduce the decrease in the throughput during filtering. Also, by reducing software processing, overhead can be reduced.
【0012】[0012]
【発明の実施の形態】次に、本発明の一実施例について
図面を参照して説明する。図1は本発明の一実施例によ
るルータ装置の構成を示すブロック図である。図1にお
いて、ルータ装置1はCPU(中央処理装置)11と、
ラインインタフェース12,15と、RAM(Rand
om Access Memory)13と、サーチマ
シン14と、CPU11で実行されるプログラムを格納
する記録媒体16とからなり、ネットワーク2,3から
送られてきたインタネットプロトコル(IP:Inte
rnet Protocol)パケットをルーティング
する。Next, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a router device according to one embodiment of the present invention. In FIG. 1, a router device 1 includes a CPU (central processing unit) 11 and
Line interfaces 12 and 15 and RAM (Rand)
om Access Memory (13), a search machine (14), and a recording medium (16) for storing a program to be executed by the CPU (11).
rnet Protocol) route the packet.
【0013】CPU11はバス100を介してRAM1
3及びサーチマシン14に対して読出し/書込み(RE
AD/WRITE)アクセスが可能であり、またライン
インタフェース12に対してはバス100を介してデー
タの送信受信を指示することができ、ラインインタフェ
ース15に対しても、ラインインタフェース12と同様
に、データの送信受信を指示することができるものとす
る。CPU11はIPフィルタリング処理を行うための
フィルタリング論理111を備えている。The CPU 11 is connected to the RAM 1 via a bus 100.
3 and the search machine 14 (RE / RE)
AD / WRITE) access, and can instruct the line interface 12 to transmit and receive data via the bus 100. The data can be transmitted to the line interface 15 similarly to the line interface 12. Can be instructed to transmit and receive. The CPU 11 has a filtering logic 111 for performing an IP filtering process.
【0014】サーチマシン14はCAM(Conten
ts Addressable Memory)及び一
般的なロジックIC(集積回路)から構成され、一定の
アドレス空間を持つメモリデバイスであって、コマンド
領域141と結果領域142と複数のエントリ143と
を含んでいる。The search machine 14 uses a CAM (Conten
ts Addressable Memory) and a general logic IC (integrated circuit). The memory device has a fixed address space. The memory device includes a command area 141, a result area 142, and a plurality of entries 143.
【0015】サーチマシン14は1エントリに対して4
8ビット(bit)の検索キー及び付帯情報1バイトの
登録が可能であり、CPU11からの48ビットの検索
指示がコマンド領域141(サーチマシン内の物理アド
レスを「0」とする)に対してサーチキーを書込むこと
で行われ、フルマッチ検索した結果、一致したエントリ
の付帯情報1バイトを結果領域142(サーチマシン内
の物理アドレスを「8」とする)へ出力するものとす
る。The search machine 14 has four entries for one entry.
A search key of 8 bits (bit) and one byte of supplementary information can be registered, and a 48-bit search instruction from the CPU 11 searches the command area 141 (the physical address in the search machine is set to “0”). This is performed by writing a key. As a result of the full match search, one byte of additional information of the matched entry is output to the result area 142 (the physical address in the search machine is set to “8”).
【0016】図2はIPパケットのフォーマットを示す
図である。図2において、IPパケットはVER(バー
ジョン)、HL(インタネットヘッダ長)、TOS(サ
ービスタイプ)、TL(トータル長)、ID(識別
子)、FL(Frag:フラグ)、FO(Fragme
nt Offset:フラグメントオフセット)、TT
L(生存時間)、PROT(プロトコルタイプ)、HC
(ヘッダチェックサム)、SOURCE(送信元アドレ
ス)、DEST(宛先アドレス)、データグラムから構
成されている。FIG. 2 is a diagram showing the format of an IP packet. In FIG. 2, IP packets are VER (version), HL (Internet header length), TOS (service type), TL (total length), ID (identifier), FL (Frag: flag), and FO (Fragme).
nt Offset: fragment offset), TT
L (survival time), PROT (protocol type), HC
(Header checksum), SOURCE (source address), DEST (destination address), and datagram.
【0017】図3は図1のサーチマシン14で用いられ
るサーチキー及び付帯情報のフォーマットを示す図であ
り、図4は図1のサーチマシン14の結果領域142の
読出しフォーマットを示す図である。FIG. 3 is a diagram showing a format of a search key and additional information used in the search machine 14 of FIG. 1, and FIG. 4 is a diagram showing a read format of the result area 142 of the search machine 14 of FIG.
【0018】図5は図1のフィルタリング論理111の
動作を示すフローチャートである。これら図1〜図5を
参照して本発明の一実施例によるルータ装置1の動作に
ついて説明する。尚、フィルタリング論理111の動作
はCPU11が記録媒体16に格納されたプログラムを
実行することで実現される。FIG. 5 is a flowchart illustrating the operation of the filtering logic 111 of FIG. The operation of the router device 1 according to one embodiment of the present invention will be described with reference to FIGS. Note that the operation of the filtering logic 111 is realized by the CPU 11 executing a program stored in the recording medium 16.
【0019】以下の説明では、最初にネットワーク2か
らネットワーク3に対して図2に示すフォーマットでか
つIPパケットとしてフラグメントされてはいるが、先
頭のIPパケットデータが送られてきたものとする。In the following description, it is assumed that the first IP packet data is transmitted from the network 2 to the network 3 in the format shown in FIG. 2 and is fragmented as an IP packet.
【0020】先頭のパケットのIPヘッダの内容は、 VER=4 HL=5 TOS=30(Hex) TL=144(Hex) ID=9010(Hex) FL=001(Binary) FO=00(Hex) PROT=08(Hex) SOURCE=01010101(Hex) DEST=01010201(Hex) となっている。The contents of the IP header of the first packet are as follows: VER = 4 HL = 5 TOS = 30 (Hex) TL = 144 (Hex) ID = 9010 (Hex) FL = 001 (Binary) FO = 00 (Hex) PROT = 08 (Hex) SOURCE = 001010101 (Hex) DEST = 011010201 (Hex).
【0021】フィルタリング論理111はIPヘッダ中
のFOが「0」の場合に先頭パケットと判定し(図5ス
テップS1)、当該パケットがフラグメントされたパケ
ットかを判定する(図5ステップS2)。When the FO in the IP header is "0", the filtering logic 111 determines that the packet is the first packet (step S1 in FIG. 5), and determines whether the packet is a fragmented packet (step S2 in FIG. 5).
【0022】その時、フィルタリング論理111はIP
ヘッダ中のFL中のMF(MoreFragment)
ビットが「OFF」の場合にフラグメントパケットでは
ないので、通常のフィルタリング処理を行い(図5ステ
ップS3)、処理を終了する。しかながら、この場合に
はMF=1になるので、通常のフィルタリング処理を実
行した後に(図5ステップS4)、サーチマシン14へ
のエントリ登録を行う。At that time, the filtering logic 111
MF (More Fragment) in FL in header
If the bit is "OFF", the packet is not a fragment packet, so that a normal filtering process is performed (step S3 in FIG. 5), and the process ends. However, in this case, since MF = 1, the entry is registered in the search machine 14 after performing the normal filtering process (step S4 in FIG. 5).
【0023】フィルタリング論理111はサーチマシン
14へエントリ登録を行う際に、当該パケットの廃棄/
転送を付帯情報として区別する必要があるので、まずそ
の判定を行う(図5ステップS5)。When registering an entry in the search machine 14, the filtering logic 111 discards / discards the packet.
Since it is necessary to distinguish the transfer as additional information, the determination is first made (step S5 in FIG. 5).
【0024】フィルタリング論理111は転送と判定す
ると、送信元IPアドレス[01010101(He
x)]+ID[9010(Hex)]+付帯情報01h
をエントリ143に登録する(図5ステップS7)。When the filtering logic 111 determines that the packet is to be transferred, the source IP address [01010101 (He
x)] + ID [9010 (Hex)] + Additional information 01h
Is registered in the entry 143 (step S7 in FIG. 5).
【0025】また、フィルタリング論理111は廃棄と
判定すると、送信元IPアドレス[01010101
(Hex)]+ID[9010(Hex)]+付帯情報
00hをエントリ143に登録する(図5ステップS
6)。When the filtering logic 111 determines that the packet is to be discarded, the source IP address [01010101]
(Hex)] + ID [9010 (Hex)] + Additional information 00h is registered in the entry 143 (step S in FIG. 5).
6).
【0026】この場合、IPアドレス+ID値がサーチ
キーになる。この時のサーチキー及び付帯情報のフォー
マットを図3に示す。本実施例ではサーチマシン14が
64ビットのデータバス幅を持つものとしている。In this case, the IP address + ID value becomes a search key. FIG. 3 shows the format of the search key and the supplementary information at this time. In this embodiment, the search machine 14 has a data bus width of 64 bits.
【0027】尚、ID値とは送信元アドレスを有する送
信元が宛先及びIPデータグラム毎に設定するもので、
フラグメントされたパケット間で同一であり、フラグメ
ントパケットを受け取った宛先ではID値と送信元アド
レスとを基に、分割(フラグメント)されたパケットを
組み立てる。The ID value is set by the source having the source address for each destination and each IP datagram.
Packets that are the same among the fragmented packets are assembled at the destination receiving the fragmented packet based on the ID value and the source address.
【0028】次に、ネットワーク2からネットワーク3
に対して、図2に示すフォーマットでかつIPパケット
としてフラグメントされており、2番目のIPパケット
データが送られてきたものとして説明する。Next, from the network 2 to the network 3
In the following description, it is assumed that the packet is fragmented as an IP packet in the format shown in FIG. 2 and the second IP packet data is transmitted.
【0029】2番目のパケットのIPヘッダの内容は、 VER=4 HL=5 TOS=30(Hex) TL=144(Hex) ID=9010(Hex) FL=001(Binary) FO=28(Hex) PROT=08(Hex) SOURCE=01010101(Hex) DEST=01010201(Hex) となっている。The contents of the IP header of the second packet are as follows: VER = 4 HL = 5 TOS = 30 (Hex) TL = 144 (Hex) ID = 9010 (Hex) FL = 001 (Binary) FO = 28 (Hex) PROT = 08 (Hex) SOURCE = 001010101 (Hex) DEST = 001010201 (Hex).
【0030】フィルタリング論理111はIPヘッダ中
のFOが「0」以外の場合にフラグメント途中のパケッ
トと判定する(図5ステップS1)。この時、フィルタ
リング論理111はIPヘッダの中から送信元IPアド
レス及びID値を取り出し、サーチマシン14に検索を
要求する(図5ステップS8)。具体的には、図3に示
すフォーマットのサーチキーをコマンド領域141に書
込む(WRITE)。When the FO in the IP header is other than "0", the filtering logic 111 determines that the packet is in the middle of a fragment (step S1 in FIG. 5). At this time, the filtering logic 111 extracts the source IP address and the ID value from the IP header, and requests the search machine 14 to search (step S8 in FIG. 5). Specifically, a search key having the format shown in FIG. 3 is written in the command area 141 (WRITE).
【0031】次に、フィルタリング論理111は検索結
果を引き取り、パケットの廃棄/転送の判定を行う(図
5ステップS9)。具体的には、結果領域142へリー
ドアクセスし、付帯情報の内容にしたがって廃棄/転送
の判定を行う。この時の結果領域142の読出しフォー
マットを図4に示す。Next, the filtering logic 111 receives the search result and determines whether to discard or transfer the packet (step S9 in FIG. 5). Specifically, read access is made to the result area 142, and discard / transfer is determined according to the contents of the accompanying information. FIG. 4 shows a read format of the result area 142 at this time.
【0032】読出し結果は上記のステップS6で付帯情
報として「00h」が登録されていれば検索結果の付帯
情報が「00」となり、上記のステップS7で付帯情報
として「01h」が登録されていれば検索結果の付帯情
報が「01」になる。As for the read result, if "00h" is registered as supplementary information in step S6, the supplementary information of the search result becomes "00", and "01h" is registered as supplementary information in step S7. For example, the supplementary information of the search result is “01”.
【0033】フィルタリング論理111はこの検索結果
に基づき、パケット転送の場合に転送を指示し(図5ス
テップS10)、パケット廃棄の場合に廃棄を指示する
(図5ステップS11)。Based on the search result, the filtering logic 111 instructs transfer in the case of packet transfer (step S10 in FIG. 5), and instructs discard in the case of packet discard (step S11 in FIG. 5).
【0034】このように、複数にフラグメントされたパ
ケットをフィルタリング処理する際に、先頭のパケット
のフィルタ結果をサーチマシンに保持することによっ
て、先頭以降のパケットに対してはサーチマシンの検索
結果からパケット廃棄/転送の判断を行うことができる
ので、伝送遅延を抑えることができ、フィルタ時のスル
ープット低下幅を少なくすることができる。また、ソフ
トウェア処理を少なくすることによって、オーバヘッド
を軽減することができる。As described above, when filtering a plurality of fragmented packets, the filter result of the first packet is stored in the search machine, so that the packets subsequent to the first packet are not included in the search result of the search machine. Since discard / transfer can be determined, the transmission delay can be suppressed, and the decrease in throughput during filtering can be reduced. Also, overhead can be reduced by reducing software processing.
【0035】尚、本実施例ではIPフィルタ結果を保持
する際にサーチマシン14というハードウェア的な手段
を用いているが、HASH法等のソフトウェア的な検索
手段を用いても、それなりに効果が得られる。しかしな
がら、ソフトウェア的な検索手段よりもハードウェア的
な検索手段の方が性能面で優れているので、より効果が
大きい。In this embodiment, hardware means such as the search machine 14 is used to hold the IP filter result. However, even if software-based search means such as the HASH method is used, the effect can be obtained. can get. However, hardware-based search means are more effective than software-based search means because they are superior in terms of performance.
【0036】[0036]
【発明の効果】以上説明したように本発明によれば、一
定のアドレス空間を持つメモリデバイスであるサーチマ
シンを含み、複数にフラグメントされたパケットに対し
てフィルタリング処理を行うルータ装置において、フィ
ルタリング処理を行う際にフラグメント先頭のパケット
のフィルタ結果をサーチマシンに登録し、後続のフラグ
メントパケットに対してフィルタリング処理を行う際に
サーチマシンの検索結果からフィルタ結果を得ることに
よって、伝送遅延を抑えることができ、フィルタ時のス
ループット低下幅を少なくすることができるとともに、
オーバヘッドを軽減することができるという効果があ
る。As described above, according to the present invention, a filtering device including a search machine which is a memory device having a fixed address space and performing a filtering process on a plurality of fragmented packets is provided. By registering the filter result of the packet at the head of the fragment in the search machine when performing the search, and obtaining the filter result from the search result of the search machine when performing the filtering process on the subsequent fragment packet, transmission delay can be suppressed. It is possible to reduce the decrease in throughput when filtering,
There is an effect that overhead can be reduced.
【図1】本発明の一実施例によるルータ装置の構成を示
すブロック図である。FIG. 1 is a block diagram showing a configuration of a router device according to one embodiment of the present invention.
【図2】IPパケットのフォーマットを示す図である。FIG. 2 is a diagram showing a format of an IP packet.
【図3】図1のサーチマシンで用いられるサーチキー及
び付帯情報のフォーマットを示す図である。FIG. 3 is a diagram showing a format of a search key and additional information used in the search machine of FIG. 1;
【図4】図1のサーチマシンの結果領域の読出しフォー
マットを示す図である。FIG. 4 is a diagram showing a read format of a result area of the search machine of FIG. 1;
【図5】図1のフィルタリング論理の動作を示すフロー
チャートである。FIG. 5 is a flowchart illustrating the operation of the filtering logic of FIG.
1 ルータ装置 2,3 ネットワーク 11 CPU 12,15 ラインインタフェース 13 RAM 14 サーチマシン 141 コマンド領域 142 結果領域 143 エントリ Reference Signs List 1 router device 2, 3 network 11 CPU 12, 15 line interface 13 RAM 14 search machine 141 command area 142 result area 143 entry
Claims (13)
スであるサーチマシンを含み、複数にフラグメントされ
たパケットに対してフィルタリング処理を行うルータ装
置であって、前記フィルタリング処理を行う際にフラグ
メント先頭のパケットのフィルタ結果を前記サーチマシ
ンに登録する登録手段を有し、後続のフラグメントパケ
ットに対して前記フィルタリング処理を行う際に前記サ
ーチマシンの検索結果からフィルタ結果を得るよう構成
したことを特徴とするルータ装置。1. A router device including a search machine, which is a memory device having a fixed address space, and performing a filtering process on a plurality of fragmented packets. A router configured to register the filter result of the search machine in the search machine, and configured to obtain a filter result from a search result of the search machine when performing the filtering process on a subsequent fragment packet. apparatus.
IP(Internet Protocol)アドレス
と識別子とをサーチキーにして前記フィルタ結果を前記
サーチマシンに登録するよう構成したことを特徴とする
請求項1記載のルータ装置。2. The apparatus according to claim 1, wherein the registering means registers the filter result in the search machine using a source IP (Internet Protocol) address and an identifier of the packet as a search key. The router device as described.
トリの登録可能とし、1サーチエントリに前記サーチキ
ーと付帯情報とを登録して前記サーチキーによる検索を
行うよう構成したことを特徴とする請求項2記載のルー
タ装置。3. The search machine according to claim 1, wherein a plurality of search entries can be registered, and the search key and the supplementary information are registered in one search entry to perform a search using the search key. Item 3. The router device according to item 2.
よる検索で前記サーチエントリが見つかった時に前記付
帯情報の値を返却するよう構成したことを特徴とする請
求項3記載のルータ装置。4. The router device according to claim 3, wherein the search machine is configured to return the value of the incidental information when the search entry is found by the search using the search key.
先頭のパケットに対する通常のフィルタリング処理の結
果である廃棄/転送の動作情報を付帯情報として前記転
送元IPアドレスと前記識別子とに基づいて登録するよ
う構成したことを特徴とする請求項2から請求項4のい
ずれか記載のルータ装置。5. The search machine is configured to register operation information of discard / transfer, which is a result of normal filtering processing on the packet at the head of the fragment, as supplementary information based on the transfer source IP address and the identifier. The router device according to any one of claims 2 to 4, wherein:
該パケットの前記転送元IPアドレスと識別子とに基づ
いた前記サーチマシンの検索結果から当該パケットの廃
棄/転送を決定するフィルタリング手段を含むことを特
徴とする請求項2から請求項5のいずれか記載のルータ
装置。6. A filtering means for a packet in the middle of a fragment, which determines filtering / discarding of the packet from a search result of the search machine based on the source IP address and identifier of the packet. The router device according to any one of claims 2 to 5, wherein
スであるサーチマシンを含み、複数にフラグメントされ
たパケットに対してフィルタリング処理を行うルータ装
置のIPフィルタリング処理方法であって、前記フィル
タリング処理を行う際にフラグメント先頭のパケットの
フィルタ結果を前記サーチマシンに登録するステップ
と、後続のフラグメントパケットに対して前記フィルタ
リング処理を行う際に前記サーチマシンの検索結果から
フィルタ結果を得るステップとを有することを特徴とす
るIPフィルタリング処理方法。7. An IP filtering processing method for a router device including a search machine which is a memory device having a fixed address space and performing a filtering process on a plurality of fragmented packets, wherein the filtering process is performed. Registering the filter result of the packet at the head of the fragment in the search machine, and obtaining the filter result from the search result of the search machine when performing the filtering process on the subsequent fragment packet. IP filtering processing method.
登録するステップは、前記パケットの送信元IP(In
ternet Protocol)アドレスと識別子と
をサーチキーにして前記フィルタ結果を前記サーチマシ
ンに登録するようにしたことを特徴とする請求項7記載
のIPフィルタリング処理方法。8. The method according to claim 8, wherein the step of registering the filter result in the search machine includes:
8. The IP filtering processing method according to claim 7, wherein the filter result is registered in the search machine by using an address and an identifier as a search key.
トリの登録可能とし、1サーチエントリに前記サーチキ
ーと付帯情報とを登録して前記サーチキーによる検索を
行うようにしたことを特徴とする請求項8記載のIPフ
ィルタリング処理方法。9. The search machine according to claim 1, wherein a plurality of search entries can be registered, and the search key and supplementary information are registered in one search entry, and a search is performed using the search key. Item 10. The IP filtering processing method according to Item 8.
による検索で前記サーチエントリが見つかった時に前記
付帯情報の値を返却するようにしたことを特徴とする請
求項9記載のIPフィルタリング処理方法。10. The IP filtering processing method according to claim 9, wherein the search machine returns the value of the incidental information when the search entry is found by the search using the search key.
ト先頭のパケットに対する通常のフィルタリング処理の
結果である廃棄/転送の動作情報を付帯情報として前記
転送元IPアドレスと前記識別子とに基づいて登録する
ようにしたことを特徴とする請求項8から請求項10の
いずれか記載のIPフィルタリング処理方法。11. The search machine may register discard / transfer operation information, which is a result of a normal filtering process on the packet at the head of the fragment, as supplementary information based on the transfer source IP address and the identifier. The IP filtering processing method according to any one of claims 8 to 10, wherein:
当該パケットの前記転送元IPアドレスと識別子とに基
づいた前記サーチマシンの検索結果から当該パケットの
廃棄/転送を決定するステップを含むことを特徴とする
請求項8から請求項11のいずれか記載のIPフィルタ
リング処理方法。12. The method according to claim 1, further comprising the step of determining a discard / forward of the packet based on a search result of the search machine based on the source IP address and the identifier of the packet in the middle of the fragment. The IP filtering processing method according to claim 8.
イスであるサーチマシンを含み、複数にフラグメントさ
れたパケットに対してフィルタリング処理を行うルータ
装置のIPフィルタリング処理方法のプログラムであっ
て、コンピュータに、前記フィルタリング処理を行う際
にフラグメント先頭のパケットのフィルタ結果を前記サ
ーチマシンに登録する処理と、後続のフラグメントパケ
ットに対して前記フィルタリング処理を行う際に前記サ
ーチマシンの検索結果からフィルタ結果を得る処理とを
実行させるためのプログラム。13. A program for an IP filtering processing method of a router device, which includes a search machine which is a memory device having a fixed address space, and performs a filtering process on a plurality of fragmented packets. A process of registering a filter result of a fragment head packet in the search machine when performing a filtering process, and a process of obtaining a filter result from a search result of the search machine when performing the filtering process on a subsequent fragment packet. A program for executing
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001079651A JP2002281071A (en) | 2001-03-21 | 2001-03-21 | Router device and ip filtering processing method to be used for the same device and its program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001079651A JP2002281071A (en) | 2001-03-21 | 2001-03-21 | Router device and ip filtering processing method to be used for the same device and its program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002281071A true JP2002281071A (en) | 2002-09-27 |
Family
ID=18936057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001079651A Pending JP2002281071A (en) | 2001-03-21 | 2001-03-21 | Router device and ip filtering processing method to be used for the same device and its program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002281071A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008505561A (en) * | 2004-06-29 | 2008-02-21 | クゥアルコム・インコーポレイテッド | Filtering and routing of fragmented datagrams in data networks |
| WO2018173799A1 (en) * | 2017-03-24 | 2018-09-27 | 住友電気工業株式会社 | Switch device, communication control method, and communication control program |
-
2001
- 2001-03-21 JP JP2001079651A patent/JP2002281071A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008505561A (en) * | 2004-06-29 | 2008-02-21 | クゥアルコム・インコーポレイテッド | Filtering and routing of fragmented datagrams in data networks |
| JP2011066903A (en) * | 2004-06-29 | 2011-03-31 | Qualcomm Inc | Filtering and routing of fragmented datagrams in data network |
| JP4685868B2 (en) * | 2004-06-29 | 2011-05-18 | クゥアルコム・インコーポレイテッド | Filtering and routing of fragmented datagrams in data networks |
| WO2018173799A1 (en) * | 2017-03-24 | 2018-09-27 | 住友電気工業株式会社 | Switch device, communication control method, and communication control program |
| JP2018164164A (en) * | 2017-03-24 | 2018-10-18 | 住友電気工業株式会社 | Switch device, communication control method, and communication control program |
| CN111373699A (en) * | 2017-03-24 | 2020-07-03 | 住友电气工业株式会社 | Switching device, communication control method, and communication control program |
| US11637803B2 (en) | 2017-03-24 | 2023-04-25 | Sumitomo Electric Industries, Ltd. | Switch device and communication control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8190767B1 (en) | Data structures and state tracking for network protocol processing | |
| US6650642B1 (en) | Network relaying apparatus and network relaying method capable of high-speed routing and packet transfer | |
| JP4685254B2 (en) | Priority remapping for data communication switches | |
| US8059680B2 (en) | Offload system, method, and computer program product for processing network communications associated with a plurality of ports | |
| US7480299B2 (en) | Rules engine for access control lists in network units | |
| US7913294B1 (en) | Network protocol processing for filtering packets | |
| US20030185220A1 (en) | Dynamically loading parsing capabilities | |
| US7974209B1 (en) | Packet processing with re-insertion into network interface circuitry | |
| US20100128729A1 (en) | Packet forwarding device with packet filter | |
| US7599364B2 (en) | Configurable network connection address forming hardware | |
| JP2000332817A (en) | Packet processing unit | |
| US10757230B2 (en) | Efficient parsing of extended packet headers | |
| KR100798926B1 (en) | Apparatus and method for forwarding packet in packet switch system | |
| US7359983B1 (en) | Fragment processing utilizing cross-linked tables | |
| JP2001251351A (en) | Input packet processing system for packet switch | |
| JP4340653B2 (en) | Communication processing apparatus and communication processing method | |
| US7969977B2 (en) | Processing apparatus and method for processing IP packets | |
| KR102337513B1 (en) | Method of forming a hash input from packet contents and an apparatus thereof | |
| US7359380B1 (en) | Network protocol processing for routing and bridging | |
| EP1526699B1 (en) | Method and system for accelerated packet processing | |
| EP1345361B1 (en) | Multilevel parser for conditional flow detection in a network device | |
| JP4263718B2 (en) | Communication processing apparatus and communication processing method | |
| US8151320B2 (en) | Remote access system, method and program | |
| US6671277B1 (en) | Network relaying apparatus and network relaying method capable of high quality transfer of packets under stable service quality control | |
| JP2002281071A (en) | Router device and ip filtering processing method to be used for the same device and its program |