JP2003198607A - パケット転送装置及びポリシーテーブルの検索方法 - Google Patents

パケット転送装置及びポリシーテーブルの検索方法

Info

Publication number
JP2003198607A
JP2003198607A JP2001391555A JP2001391555A JP2003198607A JP 2003198607 A JP2003198607 A JP 2003198607A JP 2001391555 A JP2001391555 A JP 2001391555A JP 2001391555 A JP2001391555 A JP 2001391555A JP 2003198607 A JP2003198607 A JP 2003198607A
Authority
JP
Japan
Prior art keywords
policy
packet
input
search
policies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001391555A
Other languages
English (en)
Inventor
Ko Nakayama
香 中山
Akio Makimoto
明生 牧本
Masami Takahashi
正美 高橋
Koichi Ryu
浩一 龍
Takeshi Anzai
健 安西
Masaaki Omotani
昌昭 重谷
Masanori Uga
雅則 宇賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Nippon Telegraph and Telephone Corp
Original Assignee
Hitachi Ltd
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Nippon Telegraph and Telephone Corp filed Critical Hitachi Ltd
Priority to JP2001391555A priority Critical patent/JP2003198607A/ja
Publication of JP2003198607A publication Critical patent/JP2003198607A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 インタフェースメモリー上に展開されたポリ
シーテーブルを、複数のポリシーにヒットできるテーブ
ル構成とし、2つ以上のポリシーにヒットするパケット
に対してそれらの各ポリシーを実行する。 【解決手段】 ポリシーテーブル1は、最も優先順位の
高いポリシーから順位の低いポリシーまでが順番にメモ
リー上に展開されている。各ポリシーは、メモリー上
で、ポリシー番号を格納する領域11、パケットから抽
出された識別子と比較される識別子を格納する領域1
2、パケットから抽出された識別子と識別子領域の識別
子とが一致した場合にそれぞれ実行されるアクションを
格納する領域13、比較によりヒットした場合に、次に
比較試行されるポリシー番号を示す次ポリシー番号を格
納する領域14から構成されている。ポリシーヒット
後、設定された次ポリシー番号が示すポリシーより検索
を再開する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、パケット転送装置
及びポリシーテーブル検索方法に係り、特に、IPパケ
ットに代表されるパケットの通信ネットワークに適用さ
れるネットワーク間接続装置であるパケット転送装置及
びパケット転送装置がパケット識別の際に使用するポリ
シーテーブルの検索方法に関する。
【0002】
【従来の技術】近年爆発的な発展を遂げているインター
ネットは、基本的に、IPをベースとした多数のネット
ワークをネットワーク間接続装置であるパケット転送装
置(以下、ルータという)で接続したものである。ルー
タは、ネットワーク間のパケットの授受を制御する機能
を担っており、その基本機能は、受け取ったパケットの
宛先を抽出及び認識し、宛先あるい宛先に近いネットワ
ークにそのパケットを転送するというものである。
【0003】そして、インターネットが発展し、そこに
様々な人間がアクセスし様々なサービスが展開されるよ
うになると、ネットワーク上を流れるパケットをきめ細
かく識別してそのパケットの加工を含む様々な処理を行
いたいというニーズが現れてきている。例えば、いわゆ
るファイアーウォールにおいて、セキュリティ上の要求
からインターネットに直接アクセスすることができる内
部ネットワーク上のホストを制限するため、パケットの
発信元を認識して通過の可否を決定する、あるいは、イ
ンターネット上での情報提供サービスにおいて、パケッ
ト量に応じて課金を行うためにパケットの宛先を識別し
て課金カウンターを増加させる等のニーズである。
【0004】前述したような機能は、独立した製品やサ
ービスを提供するサーバそのものに実装されることもあ
るが、もともと類似した機能を持ちネットワーク上で前
述のようなサービスを行うために適した場所に配置され
ることの多いルータにそのような機能の実装が行われる
場合が多い。このような機能が実装されたルータとし
て、例えば、Cisco 社製のルータが知られている。この
Cisco 社製のルータに搭載されている制御ソフトウエア
のIOSは、前述したようなセキュリティ上のニーズに
答えるために柔軟なパケット転送条件の設定を提供する
アクセスリストという機能を有している。
【0005】前述したルータに関する技術は、Cisco IO
S Security Configuration Guide,Release 12.1に開示
されており、この文献によれば、認識すべきパケットの
特徴(プロトコル、宛先ネットワーク、宛先ホスト、送
信元ネットワーク、送信元ホスト、ポート番号)と、ヒ
ットした場合の処理(そのパケットを通過させるか否
か)の2つを指定する項目を優先順位の順に並べたアク
セスリストと呼ばれる表を作成し、この表をルータが持
つインターフェースのいづれかに適応させることにより
前述した機能を実現するというものである。そして、こ
の従来技術は、アクセスリストが適用されたインターフ
ェースをパケットが通過しようとすると、ルータがその
パケットから認識すべき特徴を抽出し、適用されたアク
セスリストの最も優先順位の高い項目から低い項目へと
探索を進め、通過パケットの特徴と指定した特徴とが一
致した最初の項目の処理が行われ、次に通過しようとす
るパケットに対して同じことを繰り返し、一致した項目
よりも優先順位の低い項目を無視するというものであ
る。
【0006】前述したような優先順位を利用したパケッ
ト識別機能の実装は、Cisco IOSのアクセスリストの
みならず、いわゆるファイアーウォールの機能を提供す
る様々な機器及びソフトウエアにおいて採用されてい
る。また、これらで提供される処理は、主にパケットの
入出力を制御するいわゆるアクセス制御であることが多
いが、項目に一致した場合の処理にさまざまなものを指
定することができるようにすることにより、課金処理等
の広い用途に応用することが可能であると考えられる。
【0007】以下に説明する本出願の明細書において、
説明の都合のため、識別されるパケットの特徴を識別
子、識別子が一致した場合に行われる処理をアクショ
ン、両者と優先順位とを組み合わせた項目をポリシーと
呼び、ポリシーが優先順位に従って並んだ表をポリシー
テーブルと呼ぶことにする。また、パケットから抽出し
た識別子とポリシーの識別子とが一致することをヒット
するということとする。
【0008】
【発明が解決しようとする課題】前述した従来技術は、
前述したような構造のポリシーテーブルがルータのイン
タフェースメモリ上にそのまま展開された場合、複数の
ポリシーに対して処理を行う必要のあるパケットを処理
する際に次のような問題を生じる。
【0009】すなわち、前述の従来技術は、例えば、
(1)全UDPをQoS=3へマッピング、(2)宛先
アドレス=10.10.10.1であり、かつ、送信元
アドレス=20.20.20.1のパケットを計数す
る、という2つのポリシーにヒットするパケットが到着
した場合、ポリシーテーブル内のどちらか優先度の高い
順番にエントリされたポリシーにヒットすると、もう一
方の優先度の低い順番にエントリされたポリシーが無視
されてしまって実行することができないという問題点を
有している。
【0010】本発明の目的は、前述した従来技術の問題
点を解決し、インタフェースメモリー上に展開されたポ
リシーテーブルを、複数のポリシーにヒットできる構成
のテーブル構成としたパケット転送装置及びそのポリシ
ーテーブル検索方法を提供することにある。
【0011】
【課題を解決するための手段】本発明によれば前記目的
は、1または複数の入出力回線に接続され各入力から入
力されたパケットを識別し該当する出力回線に出力する
パケット転送装置において、各パケットを識別するため
のポリシーテーブルを備え、該ポリシーテーブルを、1
または複数のポリシーを格納して構成し、各ポリシー
を、優先順位と、パケットを識別するための識別子と、
識別されたパケットに対して行う処理動作と、次に検索
対象となるポリシーを示す次ポリシー番号とにより構成
することにより、また、ポリシーテーブルを、複数のポ
リシー群に分類された複数のポリシーを格納して構成
し、各ポリシーを、優先順位と、パケットを識別するた
めの識別子と、識別されたパケットに対して行う処理動
作と、処理を実行した後次に検索を再開すべきポリシー
群の内の1つのポリシーを示す次ポリシー番号とにより
構成することにより達成される。
【0012】また、前記目的は、前記ポリシーテーブル
の検索方法において、優先順位の高いポリシーから検索
を実施し、ポリシーがヒットしなかった場合、次の優先
順位のポリシーより検索を再開し、ポリシーがヒットし
て処理を実行した後、各ポリシー毎に設定されている次
ポリシー番号の示すポリシーより検索を再開することに
より、あるいは、次のポリシー群の先頭のポリシーから
検索を再開することにより達成される。
【0013】
【発明の実施の形態】以下、本発明によるパケット転送
装置及びそのポリシーテーブル検索方法の一実施形態を
図面により説明する。
【0014】図5は本発明の一実施形態によるパケット
転送装置の構成例を示すブロック図、図6はパケット処
理部の構成を示すブロック図、図7はパケットのヘッダ
の構成を説明する図であり、まず、図5〜図7を参照し
て本発明によるポリシーテーブルを適用するパケット転
送装置の一例について説明する。図5、図6において、
100はパケット転送装置、102−1〜102−Xは
回線インタフェース部、103はスイッチ部、104は
制御部、101−1−1〜101−1−M1 、……、1
01−X−1〜101−X−MX は入出力回線、111
−1〜111−Xは物理終端部、112、112−1〜
112−Xはパケット処理部、113−1〜113−X
は入出力制御部、121A、121Bはヘッダ抽出部、
122A、122Bはポリシー検索部、123A、12
3Bはルーティング処理部、124A、124Bはパケ
ット処理実行部、141A、141Bはポリシーテーブ
ルメモリ、142A、142Bはルーティングテーブル
メモリ、143A、143BはFIFOメモリ、144
A、144Bは管理テーブルである。
【0015】本発明の実施形態によるパケット転送装置
100は、図5に示すように、複数本の入出力回線10
1−1−1〜101−1−M1 、……、101−X−1
〜101−X−MX に接続され、1または複数の入出力
回線を収容するX個の回線インタフェース部102−1
〜102−Xと、各回線インタフェース部102−1〜
102−Xから入力されるパケットをそれぞれ該当する
回線インタフェース部102−1〜102−Xへ転送す
るスイッチ部103と、各パケットに関するルーティン
グプロトコル処理やルーティング情報の管理、装置全体
の制御を行う制御部104とから構成される。そして、
各回線インタフェース部102−1〜102−Xは、入
力回線101−1−1〜101−1−M1 、……、10
1−X−1〜101−X−MX から入力される信号を終
端しパケットを抽出する物理終端部111−1〜111
−Xと、各パケットを識別しパケット計数や廃棄処理等
を行うパケット処理部112−1〜112−Xと、スイ
ッチ部103との間でパケットの入出力を制御する入出
力制御部113−1〜113−Xとから構成されてい
る。また、図5には示していない本発明によるポリシー
テーブルは、制御部104より各回線インタフェース部
102−1〜102−X)に与えられるポリシー情報を
基にメモリ上に展開され、パケット処理部112−1〜
112−Xで使用される。
【0016】パケット処理部112は、図6に示すよう
に、ライン131A及び131Bを介して物理終端部1
11−1〜111−Xと、ライン132A及び132B
を介して入出力制御部113−1〜113−Xと、ライ
ン135を介して制御部104とそれぞれ接続されてい
る。
【0017】そして、パケット処理部112は、ライン
131Aあるいは132Bを介して入力されたパケット
からヘッダを抽出するヘッダ抽出部121A及び121
B、複数のポリシーを含むポリシーテーブル141A及
び141B、ヘッダ抽出部121A及び121Bより抽
出されたヘッダ情報に基づいてポリシーテーブル141
A及び141Bを検索し、検索結果(廃棄指示、統計情
報カウント、QoSマッピング等)をパケット処理実行
部124A及び124Bに通知するポリシー検索部12
2A及び122B、各パケットに対応する出力回線ある
いはアドレスを指示するルーティングテーブル142A
及び142B、ヘッダ抽出部121A及び121Bより
抽出されたヘッダ情報に基づいてルーティングテーブル
142A及び142Bを検索し、検索結果(出力回線番
号等)をパケット処理実行部124A及び124Bに通
知するルーティング処理部123A及び123B、パケ
ットを一時的に格納するFIFOメモリ143A及び1
43B、パケット通過数や廃棄パケット数等を格納する
管理テーブル144A及び144B、ポリシー検索部1
22Aあるいは122Bからの検索結果に基づいてパケ
ットの廃棄やパケット数カウント等を行い、FIFOメ
モリ143Aあるいは143Bよりパケットを読み出
し、ルーティング処理部123Aあるいは123Bから
の検索結果に基づいて出力回線番号あるいはアドレスを
ヘッダに挿入してライン132Aあるいは132Bへパ
ケットを出力するパケット処理実行部124A及び12
4Bを含んで構成されている。
【0018】ポリシーテーブル141A、141B及び
ルーティングテーブル142A、142Bに格納されて
いるエントリは、制御部104よりライン135を介し
て設定され、管理テーブル144A、144Bの情報
は、例えば定期的に制御部104よりライン135を介
して読み出される。
【0019】前述したような構成を備えるパケット処理
部112において、物理処理部111からライン131
Aを介して送られてきたパケットは、FIFOメモリ1
43Aに一時的に格納され、ヘッダ抽出部121Aによ
りヘッダが抽出される。パケット処理部112に送られ
てくるパケットは、図7にパケット50として示すよう
に、付加ヘッダ51、MACヘッダ52、IPヘッダ5
3の3種類のヘッダを持ち、このヘッダに続くIPデー
タ54を持って構成される。IPデータ54の後にフレ
ームチェックシーケンス(FCS)が付与される場合も
ある。
【0020】付加ヘッダ51は、出力回線番号51−
1、QoSクラス51−2、入力回線番号51−3を含
み、MACヘッダ52は、宛先MACアドレス52−
1、送信元MACアドレス52−2、プロトコルタイプ
52−3、そしてVLAN(Virtual LAN)サポート
時にはVLANID52−4及びプライオリティビット
52−5を含み、IPヘッダ53は、サービスタイプ
(TOS)53−1、全長53−2、プロトコル番号5
3−3、送信元IPアドレス53−4、宛先IPアドレ
ス53−5等を含んで構成されている。前述において、
付加ヘッダ51内の入力回線番号51−1は、物理終端
部111により挿入される。
【0021】ルーティング処理部123A、ポリシー検
索部122Aのそれぞれは、ヘッダ抽出部121Aによ
り抽出されたヘッダ51、52、53のうち全てあるい
は一部の情報を識別子dp として、ルーティングテーブ
ル142A、ポリシーテーブル141Aを検索して、そ
れぞれの検索結果をパケット処理実行部124Aに通知
する。パケット処理実行部124Aは、ポリシー検索部
122Aの検索結果によりパケットの廃棄指示が出た場
合、FIFOメモリ143Aに一時的に格納していたパ
ケットを廃棄し、廃棄パケット数をカウントアップして
管理テーブル144Aに格納する。また、パケット処理
実行部124Aは、パケットの廃棄指示が出ていなかっ
た場合、FIFOメモリ143Aよりそのパケットを読
み出しながら、ルーティング処理部123Aから通知さ
れる出力回線番号を付加ヘッダ51内の出力回線番号5
1−1の領域に付与し、ポリシー検索部122Aより通
知されたQoSマッピング方法に従ってQoSクラス5
1−2の領域に値をマッピングして、ライン132Aへ
パケットを送り出す。前述で付与された出力回線番号5
1−1及びQoSクラス51−2は、入出力制御部11
3においてパケットの出力制御に使用される。また、パ
ケット処理実行部124Aは、ポリシー検索部122A
から通知された計数処理方法に従ってパケット数をカウ
ントアップして管理テーブル144Aに格納する。
【0022】入出力制御部113よりスイッチ103に
出力され、入出力制御部113に到着したパケットは、
ライン132Bを介してパケット処理部112に入力さ
れると、一時的にFIFOメモリ143Bに格納され、
ヘッダ抽出部121Bによりヘッダが抽出される。
【0023】ルーティング処理部123B、ポリシー検
索部122Bのそれぞれは、ヘッダ抽出部121Bによ
り抽出されたヘッダ51、52、53のうち全てあるい
は一部の情報を識別子dp′ として、ルーティングテー
ブル142B、ポリシーテーブル141Bを検索して、
それぞれの検索結果をパケット処理実行部124Bに通
知する。パケット処理実行部124Bは、ポリシー検索
部122Bの検索結果によりパケットの廃棄指示が出た
場合、FIFOメモリ143Bに一時的に格納していた
パケットを廃棄し、廃棄パケット数をカウントアップし
て管理テーブル144Bに格納する。また、パケット処
理実行部124Bは、パケットの廃棄指示が出ていなか
った場合、FIFOメモリ143Bよりそのパケットを
読み出しながら、ルーティング処理部123Bから通知
される宛先MACアドレス及び送信元MACアドレスを
MACヘッダ52内の宛先MACアドレス52−1の領
域及び送信元MACアドレス52−2の領域に付与し、
ライン131Bへパケットを送り出す。入力回線番号5
1−3は、物理処理部111においてパケットを各回線
に振り分ける際に使用される。また、パケット処理実行
部124Bは、ポリシー検索部122Bから通知された
計数処理方法に従ってパケット数をカウントアップして
管理テーブル144Bに格納する。
【0024】図1は本発明の実施形態により使用される
ポリシーテーブルの構成を示す図であり、次に、これに
ついて説明する。
【0025】図1に示すポリシーテーブル1は、図6に
おけるポリシーテーブル141A及び141Bに適用さ
れるもので、n個のポリシーを含んでポリシーテーブル
1の転送部メモリー上に格納される。そして、ポリシー
テーブル1は、最も優先順位の高いポリシー〔ポリシー
番号=PNO(1)〕から最も優先順位の低いポリシー
〔ポリシー番号=PNO(n)〕までが順番にメモリー
上に展開されている。ポリシー番号=PNO(1)〜P
NO(n)の各ポリシーは、メモリー上で、ポリシー番
号PNO(1)〜PNO(n)を格納するポリシー番号
11の領域、パケットから抽出された識別子dp と比較
される識別子D(1)〜D(n)を格納する識別子12
の領域、識別子dp と識別子D(1)〜D(n)とが一
致した場合にそれぞれ実行されるアクションA(1)〜
A(n)を格納するアクション13の領域、比較により
ヒットした場合に、次に比較試行されるポリシー番号を
示す次ポリシー番号NPNO(1)〜NPNO(n)を
格納する次ポリシー番号14の領域から構成されてい
る。ポリシー番号PNO(1)〜PNO(n)は、ポリ
シーテーブル1のメモリアドレスを直接示す場合、また
は、メモリアドレスの一部分を示す場合もある。
【0026】図2は1つのパケットに対して実際にポリ
シーテーブル1が検索試行される場合の動作を説明する
図であり、次に、図2を参照して、ポリシーテーブル1
を検索していく動作を説明する。
【0027】ポリシーテーブル1の検索が開始される
と、ポリシー検索部は、まず、ポリシー番号=PNO
(1)のポリシーについて、パケットから抽出された識
別子dpと識別子11の領域に含まれる識別子D(1)
とを比較し、一致していればアクション13の領域に格
納されているアクションA(1)を読み出してそれが指
示する処理をパケット処理実行部に行わせ、処理終了
後、次ポリシー番号14の領域に格納されている次ポリ
シー番号NPNO(1)を読み出し、その番号の示すポ
リシーより検索の試行を再開する。一方、識別子が一致
しなかった場合、ポリシー検索部は、次ポリシー番号1
4の領域に格納されている次ポリシー番号を無視し、ポ
リシーテーブルの次にエントリされているポリシー番号
=PNO(2)のポリシーより検索の試行を再開する。
【0028】ポリシー検索部は、前述した動作をポリシ
ー番号=PNO(n)まで行う。多くの場合、一番優先
順位の低いポリシー番号=PNO(n)のポリシーに含
まれる識別子D(n)は、全てのパケットに一致するよ
うに指定されており、また、次ポリシー番号NPNO
(n)には存在しないポリシー番号が設定されている。
また、その他のポリシー〔PNO(1)〜PNO(n−
1)〕に含まれる次ポリシー番号〔NPNO(1)〜P
NO(n−1)〕についても、存在しないポリシー番号
が設定されている場合があるが、それらのポリシーにヒ
ットした場合、アクションを実行後、検索の試行を終了
することとなる。
【0029】図2に示す例において、パケットから抽出
された識別子dp が、UDP、送信元アドレス(SA)
=1、宛先アドレス(DA)=2を含むものとする。こ
の場合、前述した処理続けて、ポリシー番号=PNO
(a)のポリシーについて、識別子12の領域に含まれ
る識別子D(a)(=UDP)が識別子dp と一致した
ので、アクション13の領域に格納されているアクショ
ンA(a)(=QoSを3にマッピング)が実行され
る。そして、次ポリシー番号NPNO(a)(=PNO
(b)を読み出し、その番号〔ポリシー番号=PNO
(b)〕のポリシーに対する試行が再開される。そし
て、さらに進んで、ポリシー番号=PNO(c)のポリ
シーについて、識別子Dc〔=送信元アドレス(SA)
=1〕が識別子d p と一致したのでアクションA(c)
(=計数)が実行される。そして、次ポリシー番号NP
NO(c)(=PNO(d))が読み出され、その番号
〔ポリシー番号=PNO(d)〕のポリシーに対する試
行を再開される。
【0030】前述したような動作を続け、ポリシー番号
=PNO(n)までの検索試行が終了すれば、次のパケ
ットに対する処理が開始される。本発明の実施形態は、
図1に説明したような構成を持つポリシーテーブルを検
索していくことにより、1つのパケットに対し、2つ以
上のポリシーを実行することが可能となる。
【0031】なお、前述した図1、図2により説明した
例は、アクション実行後検索試行を再開するポリシー番
号を、次ポリシー番号14の領域に格納される次ポリシ
ー番号により指定するとしているが、この領域を使わず
に(テーブルに次ポリシー番号14の領域を設けず
に)、アクション実行後次にエントリされているポリシ
ーより検索の試行を再開するようにしてもよく、これに
よっても、2つ以上のポリシーを実行することが可能で
ある。但し、この場合、検索の試行は、必ずテーブルエ
ントリー数分(n回)行われることとなる。
【0032】図3は本発明の実施形態により使用される
ポリシーテーブルの他の構成を示す図であり、次に、こ
れについて説明する。
【0033】図3に示すポリシーテーブル2は、複数の
ポリシーがm個のポリシー群(PGNO1〜PGNO
m)に分類され、各ポリシー群が1つまたは優先度順に
展開される複数のポリシーにより構成される。各ポリシ
ーは、メモリ上で次の5つの部分からなる。すなわち、
各ポリシーは、分類されたポリシー群番号(PGNO1
〜PGNOm)を格納するポリシー群番号21の領域、
各ポリシー群に属するポリシーのポリシー番号〔PNO
1(1)〜PNO1(n1 )、…、PNOm(1)〜P
NOm(nm )〕を格納するポリシー番号22の領域、
パケットから抽出された識別子dp と比較される識別子
D1(1)〜D1(n1 )、…、Dm(1)〜Dm(n
m )を格納する識別子23の領域、識別子dp と識別子
D1(1)〜D1(n1 )、…、Dm(1)〜Dm(n
m )とが一致した場合にそれぞれ実行されるアクション
A1(1)〜A1(n1 )、…、Am(1)〜Am(n
m )を格納するアクション24の領域、次に検索試行さ
れるポリシー番号を示す次ポリシー番号NPNO1
(1)〜NPNO1(n1 )、…、NPNOm(1)〜
NPNOm(nm )を格納する次ポリシー番号25の領
域から構成される。ポリシー群番号PGNO1〜PGN
Om及びポリシー番号PNO1(1)〜PNO1(n
1 )、…、PNOm(1)〜PNOm(nm )は、この
ポリシーテーブル2のメモリアドレスを直接示す場合、
または、メモリアドレスの一部分を示す場合がある。
【0034】図4は1つのパケットに対して実際にポリ
シーテーブル2が検索試行される場合の動作を説明する
図であり、次に、図4を参照して、ポリシーテーブル2
を検索していく動作を説明する。図4に示すポリシーテ
ーブル2において、ポリシー群番号=PGNO1には廃
棄に関するポリシーが、ポリシー群番号=PGNO2に
はQoSマッピングに関するポリシーが、ポリシー群番
号=PGNOmには計数に関するポリシーが、それぞれ
分類されエントリされている。
【0035】ポリシーテーブル2の検索が開始される
と、ポリシー検索部は、まず、ポリシー番号=PNO1
(1)のポリシーについて、パケットから抽出された識
別子d p と識別子23の領域に含まれる識別子D1
(1)とを比較し、一致していればアクション24の領
域に格納されているアクションA1(1)を読み出して
それが指示する処理をパケット処理実行部に行わせ、処
理終了後、次ポリシー番号領域25に格納されている次
ポリシー番号NPNO1(1)を読み出し、その番号の
示すポリシーより検索試行を再開する。次ポリシー番号
25の領域に格納される次ポリシー番号は、同一群内の
ポリシー番号であっても、次のポリシー群内のポリシー
番号であってもよく、次のポリシー群内のポリシー番号
である場合のポリシー番号は、次のポリシー群の先頭の
ポリシー番号であってもよい。一方、識別子が一致しな
かった場合、ポリシー検索部は、次ポリシー番号25の
領域に格納されている次ポリシー番号を無視し、ポリシ
ーテーブルの次にエントリされているポリシー番号=P
NO1(2)のポリシーより検索の試行を再開する。
【0036】ポリシー検索部は、前述の動作をポリシー
番号=PNOm(nm )まで行う。一番優先順位の低い
ポリシー番号=PNOm(nm )のポリシーに含まれる
次ポリシー番号NPNOm(nm )には存在しないポリ
シー番号が格納されている。また、その他のポリシー
〔PNO1(1)〜PNOm(nm −1)〕に含まれる
次ポリシー番号(NPNO1(1)〜PNOn(nm
1)についても、存在しないポリシー番号を示す場合が
あるが、それらのポリシーにヒットした場合、アクショ
ンを実行後、検索試行を終了することとなる。
【0037】図4に示した例は、パケットから抽出され
た識別子dp が、UDP、送信元アドレス(SA)=1
を含むものを想定している。この場合、識別子dp はポ
リシー群番号=PGNO1にエントリされるポリシーに
含まれる識別子には一致せず、次のポリシー群番号=P
GNO2にエントリされているポリシーのうち優先順位
が2番目に高いポリシー〔PNO2(2)〕に含まれる
識別子D2(2)(=UDP)がdp と一致するのでア
クション領域24よりアクションA2(2)(=QoS
を3にマッピング)を読み出し処理(QoSを3にマッ
ピング)を実行させる。そして、次ポリシー番号領域2
5に格納されている次ポリシー番号NPNO2(2)
〔=PNOm(1)〕を読み出し、それの示すポリシー
番号〔PNOm(1)〕より検索試行を再開する。前述
した動作を続け、ポリシー番号PNOm(nm )に含ま
れる識別子Dm(nm )〔=送信元アドレス(SA)=
1〕が識別子dp と一致するため、アクション24の領
域からアクションAm(nm)(=計数)を読み出して
処理(計数)を実行させ、テーブルエントリの最終ポリ
シーまで検索を行い検索試行を終了する。本発明の実施
形態は、このようにして、1つのパケットに対して複数
のポリシーを実行することが可能となる。
【0038】なお、前述した図3及び図4ににより説明
した例は、アクション実行後の検索試行を再開するポリ
シーを、次ポリシー番号25の領域に格納される次ポリ
シー番号により指定するとしたが、同一ポリシー群内で
2つ以上のポリシーを実行する必要のない場合、次ポリ
シー番号25の領域を使わずに(テーブル内にこの領域
を設けずに)、アクション実行後、次のポリシー群にエ
ントリされているポリシーから検索試行を再開すること
により、ポリシー群の異なる2つ以上のポリシーを実行
することが可能である。また、次ポリシー番号領域25
を、次に検索試行するポリシー群番号を指定する次ポリ
シー群番号領域として使用するようにすることもでき、
これによっても、ポリシー群の異なる2つ以上のポリシ
ーを実行することが可能となる。
【0039】前述した本発明の実施形態によれば、ポリ
シーテーブルをメモリ上に展開する際に、各ポリシー毎
にそのポリシーがヒットした後、次に検索すべきポリシ
ーを指定する次ポリシー番号を備えることにより、2つ
以上のポリシーにヒットするパケットに対してそれらの
各ポリシーを実行することが可能になる。
【0040】また、本発明の実施形態によれば、ポリシ
ーテーブルをメモリ上に展開する際に、各ポリシーを複
数のポリシー群に分類し、各ポリシー毎にそのポリシー
がヒットした後次に検索すべきポリシー群の先頭ポリシ
ーを指定する次ポリシー番号を備えることにより、2つ
以上の異なるポリシー群に属するポリシーにヒットする
パケットに対して各ポリシーを実行することが可能にな
る。
【0041】
【発明の効果】以上説明したように本発明によれば、イ
ンタフェースメモリー上に展開されたポリシーテーブル
を、複数のポリシーにヒットできるテーブル構成とした
ことにより、2つ以上のポリシーにヒットするパケット
に対してそれらの各ポリシーを実行することができる。
【図面の簡単な説明】
【図1】本発明の実施形態により使用されるポリシーテ
ーブルの構成を示す図である。
【図2】1つのパケットに対して図1に示すポリシーテ
ーブルが実際に検索試行される場合の動作を説明する図
である。
【図3】本発明の実施形態により使用されるポリシーテ
ーブルの他の構成を示す図である。
【図4】1つのパケットに対して図3に示すポリシーテ
ーブルが実際に検索試行される場合の動作を説明する図
である。
【図5】本発明の一実施形態によるパケット転送装置の
構成例を示すブロック図である。
【図6】パケット処理部の構成を示すブロック図であ
る。
【図7】パケットのヘッダの構成を説明する図である。
【符号の説明】
1、2 ポリシーテーブル 11、22 ポリシー番号 12、23 識別子 13、24 アクション 14、25 次ポリシー番号 21 ポリシー群番号 100 パケット転送装置 102−1〜102−X 回線インタフェース部 103 スイッチ部 104 制御部 101-1-1〜101-1-M1、101-X-1〜101-X-MX 入出力回線 111−1〜111−X 物理終端部 112、112−1〜112−X パケット処理部 113−1〜113−X 入出力制御部 121A、121B ヘッダ抽出部 122A、122B ポリシー検索部 123A、123B ルーティング処理部 124A、124B パケット処理実行部 135 ライン 141A、141B ポリシーテーブルメモリ 142A、142B ルーティングテーブルメモリ 143A、143B FIFOメモリ 144A、144B 管理テーブル
───────────────────────────────────────────────────── フロントページの続き (72)発明者 牧本 明生 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 高橋 正美 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 龍 浩一 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 安西 健 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 重谷 昌昭 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 宇賀 雅則 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HB17 HC01 HD03 KX12 KX24 LA00 LC13 MA04 5K033 AA08 CB08 CB17 CC02 DA06 DB16

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置において、各パケットを識
    別するためのポリシーテーブルを備え、該ポリシーテー
    ブルは、1または複数のポリシーを格納し、各ポリシー
    は、優先順位と、パケットを識別するための識別子と、
    識別されたパケットに対して行う処理動作と、次に検索
    対象となるポリシーを示す次ポリシー番号とにより構成
    されることを特徴とするパケット転送装置。
  2. 【請求項2】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置において、各パケットを識
    別するためのポリシーテーブルを備え、該ポリシーテー
    ブルは、複数のポリシー群に分類された複数のポリシー
    を格納し、各ポリシーは、優先順位と、パケットを識別
    するための識別子と、識別されたパケットに対して行う
    処理動作と、処理を実行した後次に検索を再開すべきポ
    リシー群の内の1つのポリシーを示す次ポリシー番号と
    により構成されることを特徴とするパケット転送装置。
  3. 【請求項3】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置における1または複数のポ
    リシーを格納し、各パケットを識別してそのパケットに
    対する処理を実行するために使用するポリシーテーブル
    の検索方法において、優先順位の高いポリシーから検索
    を実施し、ポリシーがヒットしなかった場合、次の優先
    順位のポリシーより検索を再開することを特徴とするポ
    リシーテーブルの検索方法。
  4. 【請求項4】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置における1または複数のポ
    リシーを格納し、各パケットを識別してそのパケットに
    対する処理を実行するために使用するポリシーテーブル
    の検索方法において、優先順位の高いポリシーから検索
    を実施し、ポリシーがヒットして処理を実行した後、各
    ポリシー毎に設定されている次ポリシー番号の示すポリ
    シーより検索を再開することを特徴とするポリシーテー
    ブルの検索方法。
  5. 【請求項5】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置における各入力パケットを
    識別し処理を実行するために使用される複数のポリシー
    群に分類された複数のポリシーより構成されるポリシー
    テーブルの検索方法において、優先順位の高いポリシー
    から検索を実施し、ポリシーがヒットして処理を実行し
    た後、次のポリシー群の先頭のポリシーから検索を再開
    することを特徴とするポリシーテーブルの検索方法。
  6. 【請求項6】 1または複数の入出力回線に接続され各
    入力から入力されたパケットを識別し該当する出力回線
    に出力するパケット転送装置における各入力パケットを
    識別し処理を実行するために使用される複数のポリシー
    群に分類された複数のポリシーより構成されるポリシー
    テーブルの検索方法において、優先順位の高いポリシー
    から検索を実施し、ポリシーがヒットして処理を実行し
    た後、そのポリシーに設定された次ポリシー番号の示す
    ポリシーから検索を再開することを特徴とするポリシー
    テーブルの検索方法。
JP2001391555A 2001-12-25 2001-12-25 パケット転送装置及びポリシーテーブルの検索方法 Pending JP2003198607A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001391555A JP2003198607A (ja) 2001-12-25 2001-12-25 パケット転送装置及びポリシーテーブルの検索方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001391555A JP2003198607A (ja) 2001-12-25 2001-12-25 パケット転送装置及びポリシーテーブルの検索方法

Publications (1)

Publication Number Publication Date
JP2003198607A true JP2003198607A (ja) 2003-07-11

Family

ID=27599112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001391555A Pending JP2003198607A (ja) 2001-12-25 2001-12-25 パケット転送装置及びポリシーテーブルの検索方法

Country Status (1)

Country Link
JP (1) JP2003198607A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260880A (ja) * 2008-04-21 2009-11-05 Fujitsu Ltd パケット転送制御装置およびパケット転送制御方法
WO2013180207A1 (ja) * 2012-05-31 2013-12-05 日本電気株式会社 制御装置、通信システム、スイッチ制御方法及びプログラム
JP2023516555A (ja) * 2020-03-02 2023-04-20 シスコ テクノロジー,インコーポレイテッド ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260880A (ja) * 2008-04-21 2009-11-05 Fujitsu Ltd パケット転送制御装置およびパケット転送制御方法
WO2013180207A1 (ja) * 2012-05-31 2013-12-05 日本電気株式会社 制御装置、通信システム、スイッチ制御方法及びプログラム
JPWO2013180207A1 (ja) * 2012-05-31 2016-01-21 日本電気株式会社 制御装置、通信システム、スイッチ制御方法及びプログラム
US9967177B2 (en) 2012-05-31 2018-05-08 Nec Corporation Control apparatus, communication system, switch control method and program
JP2023516555A (ja) * 2020-03-02 2023-04-20 シスコ テクノロジー,インコーポレイテッド ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法
JP7516530B2 (ja) 2020-03-02 2024-07-16 シスコ テクノロジー,インコーポレイテッド ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法

Similar Documents

Publication Publication Date Title
US7382777B2 (en) Method for implementing actions based on packet classification and lookup results
US8611350B2 (en) Apparatus and method for layer-2 to 7 search engine for high speed network application
US6904057B2 (en) Method and apparatus for providing multi-protocol, multi-stage, real-time frame classification
US7869411B2 (en) Compact packet operation device and method
US6147995A (en) Method for establishing restricted broadcast groups in a switched network
EP1158729B1 (en) Stackable lookup engines
US7355970B2 (en) Method and apparatus for enabling access on a network switch
US7801139B2 (en) Method and apparatus for filtering packet data in a network device
EP1506646B1 (en) Method and apparatus to improve network routing
US20020010869A1 (en) MAC address-based communication restricting method
US20070008962A1 (en) Packet classification using encoded addresses
US20070258462A1 (en) Network Node Unit And Method For Forwarding Data Packets
US20070150614A1 (en) Method and apparatus for implementing filter rules in a network element
JP2000156708A (ja) ネットワ―ク・スイッチング装置
WO2001041364A2 (en) Method and apparatus for ip multicasting
WO2017181757A1 (zh) 报文转发方法及装置
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
JP2002314571A (ja) スイッチングノードのための分類およびタグ付け規則
US7035934B1 (en) System and method for improving traffic analysis and network modeling
EP1798900A1 (en) Access multiplexer
US7352748B1 (en) Updating of routing data in a network element
WO2005036834A1 (ja) 統計情報採取方法及び装置
JP2003198607A (ja) パケット転送装置及びポリシーテーブルの検索方法
EP2773072A1 (en) Control apparatus, communication system, virtual network management method, and program
US7746865B2 (en) Maskable content addressable memory