JP2003198608A - Packet transfer system, and retrieving method and updating method of policy table - Google Patents
Packet transfer system, and retrieving method and updating method of policy tableInfo
- Publication number
- JP2003198608A JP2003198608A JP2001391563A JP2001391563A JP2003198608A JP 2003198608 A JP2003198608 A JP 2003198608A JP 2001391563 A JP2001391563 A JP 2001391563A JP 2001391563 A JP2001391563 A JP 2001391563A JP 2003198608 A JP2003198608 A JP 2003198608A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- packet
- input
- address
- pointer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、パケット転送装
置、ポリシーテーブルの検索方法及び更新方法に係り、
特に、IPパケットに代表されるパケットの通信ネット
ワークに適用されるネットワーク間接続装置であるパケ
ット転送装置、パケット転送装置がパケット識別の際に
使用するポリシーテーブルの検索方法及び更新方法に関
する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a packet transfer device, a policy table search method and a policy table update method,
In particular, the present invention relates to a packet transfer device which is an inter-network connection device applied to a communication network of packets represented by IP packets, and a search method and an update method of a policy table used by the packet transfer device for packet identification.
【0002】[0002]
【従来の技術】近年爆発的な発展を遂げているインター
ネットは、基本的に、IPをベースとした多数のネット
ワークをネットワーク間接続装置であるパケット転送装
置(以下、ルータという)で接続したものである。ルー
タは、ネットワーク間のパケットの授受を制御する機能
を担っており、その基本機能は、受け取ったパケットの
宛先を抽出及び認識し、宛先あるい宛先に近いネットワ
ークにそのパケットを転送するというものである。2. Description of the Related Art The Internet, which has been explosively developed in recent years, basically consists of a number of IP-based networks connected by packet transfer devices (hereinafter referred to as routers) which are inter-network connection devices. is there. The router has a function of controlling the exchange of packets between networks, and its basic function is to extract and recognize the destination of the received packet, and transfer the packet to the network that is close to the destination or the destination. is there.
【0003】そして、インターネットが発展し、そこに
様々な人間がアクセスし様々なサービスが展開されるよ
うになると、ネットワーク上を流れるパケットをきめ細
かく識別してそのパケットの加工を含む様々な処理を行
いたいというニーズが現れてきている。例えば、いわゆ
るファイアーウォールにおいて、セキュリティ上の要求
からインターネットに直接アクセスすることができる内
部ネットワーク上のホストを制限するため、パケットの
発信元を認識して通過の可否を決定する、あるいは、イ
ンターネット上での情報提供サービスにおいて、パケッ
ト量に応じて課金を行うためにパケットの宛先を識別し
て課金カウンターを増加させる等のニーズである。When the Internet develops and various people access it to develop various services, packets flowing on the network are finely identified and various processes including processing of the packets are performed. The need for want is emerging. For example, in a so-called firewall, in order to limit the hosts on the internal network that can directly access the Internet from security requirements, the source of the packet is recognized to determine whether to pass or the Internet In the information providing service, there is a need to identify the packet destination and increase the charging counter in order to charge according to the packet amount.
【0004】前述したような機能は、独立した製品やサ
ービスを提供するサーバそのものに実装されることもあ
るが、もともと類似した機能を持ちネットワーク上で前
述のようなサービスを行うために適した場所に配置され
ることの多いルータにそのような機能の実装が行われる
場合が多い。このような機能が実装されたルータとし
て、例えば、Cisco 社製のルータが知られている。この
Cisco 社製のルータに搭載されている制御ソフトウエア
のIOSは、前述したようなセキュリティ上のニーズに
答えるために柔軟なパケット転送条件の設定を提供する
アクセスリストという機能を有している。The above-mentioned function may be implemented in the server itself which provides independent products and services, but originally has a similar function and is suitable for performing the above-mentioned service on the network. In many cases, such a function is implemented in a router that is often placed in the. As a router having such a function, for example, a router manufactured by Cisco is known. this
IOS, which is the control software installed in the router manufactured by Cisco, has a function called an access list that provides flexible packet transfer condition settings to meet the above security needs.
【0005】前述したルータに関する技術は、Cisco IO
S Security Configuration Guide,Release 12.1に開示
されており、この文献によれば、認識すべきパケットの
特徴(プロトコル、宛先ネットワーク、宛先ホスト、送
信元ネットワーク、送信元ホスト、ポート番号)と、ヒ
ットした場合の処理(そのパケットを通過させるか否
か)の2つを指定する項目を優先順位の順に並べたアク
セスリストと呼ばれる表を作成し、この表をルータが持
つインターフェースのいづれかに適応させることにより
前述した機能を実現するというものである。そして、こ
の従来技術は、アクセスリストが適用されたインターフ
ェースをパケットが通過しようとすると、ルータがその
パケットから認識すべき特徴を抽出し、適用されたアク
セスリストの最も優先順位の高い項目から低い項目へと
探索を進め、通過パケットの特徴と指定した特徴とが一
致した最初の項目の処理が行われ、次に通過しようとす
るパケットに対して同じことを繰り返し、一致した項目
よりも優先順位の低い項目を無視するというものであ
る。The above-mentioned router technology is based on Cisco IO
It is disclosed in S Security Configuration Guide, Release 12.1, and according to this document, the characteristics of the packet to be recognized (protocol, destination network, destination host, source network, source host, port number) and if there is a hit By creating a table called an access list in which items that specify two types of processing (whether or not to pass the packet) are arranged in order of priority, and adapting this table to any of the interfaces that the router has, It is to realize the function. Then, when a packet tries to pass through an interface to which an access list is applied, this conventional technique extracts features that the router should recognize from the packet, and the items from the highest priority item to the lowest priority item of the applied access list are extracted. The first item in which the characteristics of the passing packet and the specified characteristic match is processed, and the same is repeated for the packet to be passed next, and the priority is given to the matching item. Ignore low items.
【0006】前述したような優先順位を利用したパケッ
ト識別機能の実装は、Cisco IOSのアクセスリストの
みならず、いわゆるファイアーウォールの機能を提供す
る様々な機器及びソフトウエアにおいて採用されてい
る。また、これらで提供される処理は、主にパケットの
入出力を制御するいわゆるアクセス制御であることが多
いが、項目に一致した場合の処理にさまざまなものを指
定することができるようにすることにより、課金処理等
の広い用途に応用することが可能であると考えられる。The implementation of the packet identification function using the priority order as described above is adopted not only in the access list of Cisco IOS, but also in various devices and software which provide a so-called firewall function. Also, the processing provided by these is often so-called access control that mainly controls the input / output of packets, but it is necessary to be able to specify various processing when the items match. Therefore, it can be applied to a wide range of purposes such as billing processing.
【0007】以下に説明する本出願の明細書において、
説明の都合のため、識別されるパケットの特徴を識別
子、識別子が一致した場合に行われる処理をアクショ
ン、両者と優先順位とを組み合わせた項目をポリシーと
呼び、ポリシーが優先順位に従って並んだ表をポリシー
テーブルと呼ぶことにする。また、パケットから抽出し
た識別子とポリシーの識別子とが一致することをヒット
するということとする。In the specification of the present application described below,
For convenience of explanation, the characteristics of the packet to be identified are called identifiers, the processing performed when the identifiers match is called an action, and the item that combines both with the priority is called a policy. We will call it the policy table. In addition, a match between the identifier extracted from the packet and the policy identifier is regarded as a hit.
【0008】[0008]
【発明が解決しようとする課題】前述した従来技術は、
前述したような構造のポリシーテーブルがルータのイン
タフェースメモリ上にそのまま展開された場合、新たな
ポリシーをテーブル内に追加する処理を行う際に次のよ
うな問題を生じる。DISCLOSURE OF THE INVENTION Problems to be Solved by the Invention
When the policy table having the above-described structure is directly expanded on the interface memory of the router, the following problem occurs when performing the process of adding a new policy in the table.
【0009】すなわち、前述の従来技術は、各ポリシー
を優先順位順にメモリ上に並べているいるため、任意の
優先順位を持った新たなポリシーを追加しようとする
と、より優先順位の小さいポリシーを全て1つずつ移動
しなければならず、この処理を行う間、ポリシーテーブ
ルの一貫性を保つことができなくなるため、通常の検索
処理を停止しておかなければならず、特に、ポリシーの
数が多い場合に深刻な処理能力の低下をもたらすという
問題点を有している。That is, in the above-mentioned prior art, since the policies are arranged in the memory in the order of priority, if a new policy having an arbitrary priority is added, all policies having a lower priority are set to 1. Since the policy table cannot be kept consistent during this process, it is necessary to stop the normal search process, especially when there are many policies. However, there is a problem that the processing capacity is seriously deteriorated.
【0010】本発明の目的は、前述した従来技術の問題
点を解決し、ポリシーテーブルに新たなポリシーを追加
する際、あるいは、既存のポリシーを削除するに、検索
不能となる期間を生じさせることなく、処理能力を低下
させることのないパケット転送装置、ポリシーテーブル
の検索方法及び更新方法を提供することにある。An object of the present invention is to solve the above-mentioned problems of the prior art and to cause a period in which search is impossible when adding a new policy to a policy table or deleting an existing policy. Another object of the present invention is to provide a packet transfer device, a policy table search method, and a policy table update method that do not reduce processing capacity.
【0011】[0011]
【課題を解決するための手段】本発明によれば前記目的
は、1または複数の入出力回線に接続され各入力から入
力されたパケットを識別し該当する出力回線に出力する
パケット転送装置において、各パケットを識別するため
のポリシーテーブルを備え、該ポリシーテーブルを1ま
たは複数のポリシーを格納して構成し、各ポリシーを、
優先順位と、パケットを識別するための識別子と、識別
されたパケットに対して行う処理動作と、次に検索対象
となるポリシーの先頭アドレスを示す次ポリシーポイン
タとにより構成し、また、最初に検索を行うポリシーの
先頭アドレスを格納した先頭ポリシーポインタレジスタ
を備えることにより達成される。According to the present invention, the above object is to provide a packet transfer apparatus which is connected to one or a plurality of input / output lines, identifies a packet input from each input, and outputs the packet to a corresponding output line. A policy table for identifying each packet is provided, the policy table is configured by storing one or more policies, and each policy is
It consists of a priority, an identifier for identifying a packet, a processing operation to be performed on the identified packet, and a next policy pointer indicating the start address of the policy to be searched next. This is achieved by providing a head policy pointer register that stores the head address of the policy for performing.
【0012】また、前記目的は、前記ポリシーテーブル
に新たなポリシーを追加する場合、そのポリシー自身を
ポリシーテーブル内の任意の空き領域に書き込み、次ポ
リシーポインタの格納領域にそのポリシーの次に検索さ
れるべきポリシーの先頭アドレスを格納し、新たに追加
したポリシーの直前に検索されるべきポリシーの次ポリ
シーポインタを、追加した新たなポリシーの先頭アドレ
スに変更することにより達成される。[0012] Further, the purpose is to, when a new policy is added to the policy table, write the policy itself in an arbitrary free area in the policy table, and retrieve it next to the policy in the storage area of the next policy pointer. This is accomplished by storing the start address of the policy to be added and changing the next policy pointer of the policy to be searched immediately before the newly added policy to the start address of the added new policy.
【0013】[0013]
【発明の実施の形態】以下、本発明によるパケット転送
装置、ポリシーテーブルの検索方法及び更新方法の一実
施形態を図面により説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of a packet transfer device, a policy table search method, and an update method according to the present invention will be described below with reference to the drawings.
【0014】図6は本発明の一実施形態によるパケット
転送装置の構成例を示すブロック図、図7はパケット処
理部の構成を示すブロック図、図8はパケットのヘッダ
の構成を説明する図であり、まず、図6〜図8を参照し
て本発明によるポリシーテーブルを適用するパケット転
送装置の一例について説明する。図6、図7において、
100はパケット転送装置、102−1〜102−Xは
回線インタフェース部、103はスイッチ部、104は
制御部、101−1−1〜101−1−M1 、……、1
01−X−1〜101−X−MX は入出力回線、111
−1〜111−Xは物理終端部、112、112−1〜
112−Xはパケット処理部、113−1〜113−X
は入出力制御部、121A、121Bはヘッダ抽出部、
122A、122Bはポリシー検索部、123A、12
3Bはルーティング処理部、124A、124Bはパケ
ット処理実行部、141A、141Bはポリシーテーブ
ルメモリ、142A、142Bはルーティングテーブル
メモリ、143A、143BはFIFOメモリ、144
A、144Bは管理テーブルである。FIG. 6 is a block diagram showing a configuration example of a packet transfer device according to an embodiment of the present invention, FIG. 7 is a block diagram showing a configuration of a packet processing unit, and FIG. 8 is a diagram explaining a configuration of a packet header. Then, first, an example of a packet transfer apparatus to which the policy table according to the present invention is applied will be described with reference to FIGS. 6 to 8. 6 and 7,
100 is a packet transfer device, 102-1 to 102-X are line interface units, 103 is a switch unit, 104 is a control unit, 101-1-1 to 101-1-M 1 , ..., 1
01-X-1~101-X- M X is input and output lines, 111
-1 to 111-X are physical terminators, 112, 112-1 to
112-X is a packet processing unit, 113-1 to 113-X
Is an input / output control unit, 121A and 121B are header extraction units,
122A and 122B are policy search units and 123A and 12
3B is a routing processing unit, 124A and 124B are packet processing executing units, 141A and 141B are policy table memories, 142A and 142B are routing table memories, and 143A and 143B are FIFO memories and 144.
A and 144B are management tables.
【0015】本発明の実施形態によるパケット転送装置
100は、図6に示すように、複数本の入出力回線10
1−1−1〜101−1−M1 、……、101−X−1
〜101−X−MX に接続され、1または複数の入出力
回線を収容するX個の回線インタフェース部102−1
〜101−Xと、各回線インタフェース部102−1〜
101−Xから入力されるパケットをそれぞれ該当する
回線インタフェース部102−1〜101−Xへ転送す
るスイッチ部103と、各パケットに関するルーティン
グプロトコル処理やルーティング情報の管理、装置全体
の制御を行う制御部104とから構成される。そして、
各回線インタフェース部102−1〜101−Xは、入
力回線101−1−1〜101−1−M1 、……、10
1−X−1〜101−X−MX から入力される信号を終
端しパケットを抽出する物理終端部111−1〜111
−Xと、各パケットを識別しパケット計数や廃棄処理等
を行うパケット処理部112−1〜112−Xと、スイ
ッチ部103との間でパケットの入出力を制御する入出
力制御部113−1〜113−Xとから構成されてい
る。また、図6には示していない本発明によるポリシー
テーブルは、制御部104より各回線インタフェース部
102−1〜102−X)に与えられるポリシー情報を
基にメモリ上に展開され、パケット処理部112−1〜
112−Xで使用される。The packet transfer apparatus 100 according to the embodiment of the present invention, as shown in FIG. 6, has a plurality of input / output lines 10.
1-1-1 to 101-1-M 1 , ..., 101-X-1
To 101-X-M X, and X line interface units 102-1 for accommodating one or a plurality of input / output lines
˜101-X and each line interface section 102-1˜
A switch unit 103 that transfers packets input from 101-X to the corresponding line interface units 102-1 to 101-X, and a control unit that performs routing protocol processing and management of routing information regarding each packet, and controls the entire device. And 104. And
Each of the line interface units 102-1 to 101-X has an input line 101-1-1 to 101-1-M 1 , ..., 10
1-X-1 to 101-X-M X physical terminators 111-1 to 111 for terminating signals input and extracting packets
-X, a packet processing unit 112-1 to 112-X that identifies each packet and performs packet counting and discard processing, and an input / output control unit 113-1 that controls the input / output of the packet between the switch unit 103. .About.113-X. Further, the policy table according to the present invention, which is not shown in FIG. 6, is expanded in the memory based on the policy information given from the control unit 104 to the respective line interface units 102-1 to 102-X), and the packet processing unit 112. -1-
Used in 112-X.
【0016】パケット処理部112は、図7に示すよう
に、ライン131A及び131Bを介して物理終端部1
11−1〜111−Xと、ライン132A及び132B
を介して入出力制御部113−1〜113−Xと、ライ
ン135を介して制御部104とそれぞれ接続されてい
る。The packet processing unit 112, as shown in FIG. 7, receives the physical terminating unit 1 via lines 131A and 131B.
11-1 to 111-X and lines 132A and 132B
The input / output control units 113-1 to 113-X are connected to the control unit 104 via a line 135.
【0017】そして、パケット処理部112は、ライン
131Aあるいは132Bを介して入力されたパケット
からヘッダを抽出するヘッダ抽出部121A及び121
B、複数のポリシーを含むポリシーテーブル141A及
び141B、ヘッダ抽出部121A及び121Bより抽
出されたヘッダ情報に基づいてポリシーテーブル141
A及び141Bを検索し、検索結果(廃棄指示、統計情
報カウント、QoSマッピング等)をパケット処理実行
部124A及び124Bに通知するポリシー検索部12
2A及び122B、各パケットに対応する出力回線ある
いはアドレスを指示するルーティングテーブル142A
及び142B、ヘッダ抽出部121A及び121Bより
抽出されたヘッダ情報に基づいてルーティングテーブル
142A及び142Bを検索し、検索結果(出力回線番
号等)をパケット処理実行部124A及び124Bに通
知するルーティング処理部123A及び123B、パケ
ットを一時的に格納するFIFOメモリ143A及び1
43B、パケット通過数や廃棄パケット数等を格納する
管理テーブル144A及び144B、ポリシー検索部1
22Aあるいは122Bからの検索結果に基づいてパケ
ットの廃棄やパケット数カウント等を行い、FIFOメ
モリ143Aあるいは143Bよりパケットを読み出
し、ルーティング処理部123Aあるいは123Bから
の検索結果に基づいて出力回線番号あるいはアドレスを
ヘッダに挿入してライン132Aあるいは132Bへパ
ケットを出力するパケット処理実行部124A及び12
4Bを含んで構成されている。Then, the packet processing section 112 extracts headers from the packet input via the line 131A or 132B.
B, the policy tables 141A and 141B including a plurality of policies, and the policy table 141 based on the header information extracted by the header extraction units 121A and 121B.
The policy search unit 12 that searches A and 141B and notifies the packet processing execution units 124A and 124B of the search results (discard instruction, statistical information count, QoS mapping, etc.).
2A and 122B, a routing table 142A that indicates an output line or address corresponding to each packet
And 142B and the header extraction units 121A and 121B, the routing tables 142A and 142B are searched based on the header information extracted, and the routing processing unit 123A that notifies the packet processing execution units 124A and 124B of the search results (such as output line numbers). And 123B, FIFO memories 143A and 1 for temporarily storing packets
43B, management tables 144A and 144B that store the number of passed packets, the number of discarded packets, and the like, the policy search unit 1
The packet is discarded or the number of packets is counted based on the search result from 22A or 122B, the packet is read from the FIFO memory 143A or 143B, and the output line number or address is obtained based on the search result from the routing processing unit 123A or 123B. Packet processing execution units 124A and 12 for inserting the header and outputting the packet to the line 132A or 132B
4B is included.
【0018】ポリシーテーブル141A、141B及び
ルーティングテーブル142A、142Bに格納されて
いるエントリは、制御部104よりライン135を介し
て通知される情報に従ってルーティング処理部123
A、123B及びポリシー検索部142A、142Bに
より設定され、管理テーブル144A、144Bの情報
は、例えば定期的に制御部104よりライン135を介
して読み出される。The entries stored in the policy tables 141A and 141B and the routing tables 142A and 142B are stored in the routing processing unit 123 according to the information notified from the control unit 104 via the line 135.
The information of the management tables 144A and 144B, which are set by the A and 123B and the policy search units 142A and 142B, are periodically read from the control unit 104 via the line 135, for example.
【0019】前述したような構成を備えるパケット処理
部112において、物理処理部111からライン131
Aを介して送られてきたパケットは、FIFOメモリ1
43Aに一時的に格納され、ヘッダ抽出部121Aによ
りヘッダが抽出される。パケット処理部112に送られ
てくるパケットは、図8にパケット50として示すよう
に、付加ヘッダ51、MACヘッダ52、IPヘッダ5
3の3種類のヘッダを持ち、このヘッダに続くIPデー
タ54を持って構成される。IPデータ54の後にフレ
ームチェックシーケンス(FCS)が付与される場合も
ある。In the packet processing unit 112 having the above-mentioned configuration, the line 131 from the physical processing unit 111.
Packets sent via A are stored in the FIFO memory 1
The header is temporarily stored in 43A, and the header is extracted by the header extracting unit 121A. The packet sent to the packet processing unit 112 has an additional header 51, a MAC header 52, and an IP header 5 as shown as a packet 50 in FIG.
It has 3 types of headers of 3 and IP data 54 following this header. A frame check sequence (FCS) may be added after the IP data 54.
【0020】付加ヘッダ51は、出力回線番号51−
1、QoSクラス51−2、入力回線番号51−3を含
み、MACヘッダ52は、宛先MACアドレス52−
1、送信元MACアドレス52−2、プロトコルタイプ
52−3、そしてVLAN(Virtual LAN)サポート
時にはVLANID52−4及びプライオリティビット
52−5を含み、IPヘッダ53は、サービスタイプ
(TOS)53−1、全長53−2、プロトコル番号5
3−3、送信元IPアドレス53−4、宛先IPアドレ
ス53−5等を含んで構成されている。前述において、
付加ヘッダ51内の入力回線番号51−1は、物理終端
部111により挿入される。The additional header 51 is an output line number 51-
1, the QoS class 51-2, the input line number 51-3, the MAC header 52 is the destination MAC address 52-
1, a source MAC address 52-2, a protocol type 52-3, and a VLAN ID 52-4 and a priority bit 52-5 when a VLAN (Virtual LAN) is supported, and the IP header 53 includes a service type (TOS) 53-1. Length 53-2, protocol number 5
3-3, a source IP address 53-4, a destination IP address 53-5 and the like. In the above,
The input line number 51-1 in the additional header 51 is inserted by the physical terminating unit 111.
【0021】ルーティング処理部123A、ポリシー検
索部122Aのそれぞれは、ヘッダ抽出部121Aによ
り抽出されたヘッダ51、52、53のうち全てあるい
は一部の情報を識別子dp として、ルーティングテーブ
ル142A、ポリシーテーブル141Aを検索して、そ
れぞれの検索結果をパケット処理実行部124Aに通知
する。パケット処理実行部124Aは、ポリシー検索部
122Aの検索結果によりパケットの廃棄指示が出た場
合、FIFOメモリ143Aに一時的に格納していたパ
ケットを廃棄し、廃棄パケット数をカウントアップして
管理テーブル144Aに格納する。また、パケット処理
実行部124Aは、パケットの廃棄指示が出ていなかっ
た場合、FIFOメモリ143Aよりそのパケットを読
み出しながら、ルーティング処理部123Aから通知さ
れる出力回線番号を付加ヘッダ51内の出力回線番号5
1−1の領域に付与し、ポリシー検索部122Aより通
知されたQoSマッピング方法に従ってQoSクラス5
1−2の領域に値をマッピングして、ライン132Aへ
パケットを送り出す。前述で付与された出力回線番号5
1−1及びQoSクラス51−2は、入出力制御部11
3においてパケットの出力制御に使用される。また、パ
ケット処理実行部124Aは、ポリシー検索部122A
から通知された計数処理方法に従ってパケット数をカウ
ントアップして管理テーブル144Aに格納する。The routing processing section 123A and the policy searching section 122A respectively use the routing table 142A and the policy table with all or part of the headers 51, 52 and 53 extracted by the header extracting section 121A as identifiers d p. 141A is searched, and the respective search results are notified to the packet processing execution unit 124A. When a packet discard instruction is issued based on the search result of the policy search unit 122A, the packet processing execution unit 124A discards the packet temporarily stored in the FIFO memory 143A, counts up the number of discarded packets, and increments the management table. It is stored in 144A. When the packet discard instruction has not been issued, the packet processing execution unit 124A reads the packet from the FIFO memory 143A and outputs the output line number notified from the routing processing unit 123A as the output line number in the additional header 51. 5
QoS class 5 according to the QoS mapping method given to the area 1-1 and notified from the policy search unit 122A.
The value is mapped in the area 1-2, and the packet is transmitted to the line 132A. Output line number 5 given above
1-1 and the QoS class 51-2, the input / output control unit 11
3 is used for output control of packets. In addition, the packet processing execution unit 124A has a policy search unit 122A.
The number of packets is counted up in accordance with the counting processing method notified from and stored in the management table 144A.
【0022】入出力制御部113よりスイッチ103に
出力され、入出力制御部113に到着したパケットは、
ライン132Bを介してパケット処理部112に入力さ
れると、一時的にFIFOメモリ143Bに格納され、
ヘッダ抽出部121Bによりヘッダが抽出される。The packet output from the input / output control unit 113 to the switch 103 and arriving at the input / output control unit 113 is
When input to the packet processing unit 112 via the line 132B, it is temporarily stored in the FIFO memory 143B,
The header is extracted by the header extraction unit 121B.
【0023】ルーティング処理部123B、ポリシー検
索部122Bのそれぞれは、ヘッダ抽出部121Bによ
り抽出されたヘッダ51、52、53のうち全てあるい
は一部の情報を識別子dp′ として、ルーティングテー
ブル142B、ポリシーテーブル141Bを検索して、
それぞれの検索結果をパケット処理実行部124Bに通
知する。パケット処理実行部124Bは、ポリシー検索
部122Bの検索結果によりパケットの廃棄指示が出た
場合、FIFOメモリ143Bに一時的に格納していた
パケットを廃棄し、廃棄パケット数をカウントアップし
て管理テーブル144Bに格納する。また、パケット処
理実行部124Aは、パケットの廃棄指示が出ていなか
った場合、FIFOメモリ143Bよりそのパケットを
読み出しながら、ルーティング処理部123Bから通知
される宛先MACアドレス及び送信元MACアドレスを
MACヘッダ52内の宛先MACアドレス52−1の領
域及び送信元MACアドレス52−2の領域に付与し、
ライン132Aへパケットを送り出す。入力回線番号5
1−3は、物理処理部111においてパケットを各回線
に振り分ける際に使用される。また、パケット処理実行
部124Aは、ポリシー検索部122Bから通知された
計数処理方法に従ってパケット数をカウントアップして
管理テーブル144Bに格納する。Each of the routing processing unit 123B and the policy searching unit 122B uses the routing table 142B and the policy, with all or part of the information of the headers 51, 52 and 53 extracted by the header extracting unit 121B as the identifier d p ′. Search table 141B,
The search result of each is notified to the packet processing execution unit 124B. When a packet discard instruction is issued according to the search result of the policy search unit 122B, the packet processing execution unit 124B discards the packet temporarily stored in the FIFO memory 143B, counts up the number of discarded packets, and increments the management table. It is stored in 144B. When the packet discard instruction has not been issued, the packet processing execution unit 124A reads the packet from the FIFO memory 143B, and at the same time, outputs the destination MAC address and the source MAC address notified from the routing processing unit 123B to the MAC header 52. In the area of the destination MAC address 52-1 and the area of the source MAC address 52-2,
Send the packet out to line 132A. Input line number 5
1-3 are used when the physical processing unit 111 distributes packets to each line. Further, the packet processing execution unit 124A counts up the number of packets according to the counting processing method notified from the policy search unit 122B, and stores it in the management table 144B.
【0024】図1は本発明の実施形態により使用される
ポリシーテーブルの構成を示す図であり、次に、これに
ついて説明する。FIG. 1 is a diagram showing the configuration of a policy table used in the embodiment of the present invention, which will be described below.
【0025】図1に示すポリシーテーブル1は、図7に
おけるポリシーテーブル141A及び141Bに適用さ
れるもので、n個のポリシーを含んでポリシーテーブル
1の転送部メモリー上に格納される。ポリシーテーブル
1内に格納される優先順位P(1)〜P(N)を持つ各
ポリシーは、各ポリシーが格納されているアドレスAD
(1)〜AD(N)を格納する格納アドレス11の領
域、優先順位P(1)〜P(N)を格納する優先順位番
号12の領域、パケットから抽出された識別子d p と比
較される識別子D(1)〜D(N)を格納する識別子1
3の領域、識別子dp と識別子D(1)〜D(N)とが
一致した場合にそれぞれ実行されるアクションAC
(1)〜AC(N)を格納するアクション14の領域、
次に比較試行されるポリシーの格納アドレスを示す次ポ
リシーポインタNPP(1)〜NPP(N)を格納する
次ポリシーポインタ15の領域から構成されている。格
納アドレス11は、説明のために便宜上示した各ポリシ
ーが格納されているアドレスAD(1)〜AD(N)で
あり、実際にメモリ上にアドレスが格納されていること
を示しているものではない。The policy table 1 shown in FIG. 1 is shown in FIG.
Applied to policy tables 141A and 141B in
Policy table containing n policies
1 is stored in the transfer unit memory. Policy table
Each with priority P (1) to P (N) stored in 1
The policy is the address AD where each policy is stored.
(1) to the area of the storage address 11 that stores AD (N)
Area, priority number that stores priority P (1) to P (N)
No. 12 area, identifier d extracted from the packet p And ratio
Identifier 1 that stores the compared identifiers D (1) to D (N)
Area 3, identifier dp And the identifiers D (1) to D (N)
Action AC to be executed if they match
(1) to the area of action 14 that stores AC (N),
The next port that indicates the storage address of the policy to be compared next.
Store the receipt pointers NPP (1) to NPP (N)
It is composed of the area of the next policy pointer 15. Case
The delivery address 11 corresponds to each policy shown for convenience of explanation.
Is stored at addresses AD (1) to AD (N)
Yes, the address is actually stored in memory
Does not indicate.
【0026】図2は1つのパケットに対して実際にポリ
シーテーブル1が検索試行される場合の動作を説明する
図であり、次に、図2を参照して、ポリシーテーブル1
を検索していく動作を説明する。FIG. 2 is a diagram for explaining the operation when the policy table 1 is actually tried to be searched for one packet. Next, referring to FIG. 2, the policy table 1 will be described.
The operation of searching for will be described.
【0027】ポリシーテーブル1の検索が開始される
と、ポリシー検索部は、まず、最も高い優先順位を持つ
ポリシーを格納しているアドレスを示す検索開始ポイン
タレジスタSSPR2の内容を読み出し、そのアドレス
が示すポリシーについて、パケットから抽出された識別
子dp と識別子13の領域に含まれる識別子D(M)と
を比較し、一致していればアクション14の領域に格納
されているアクションAC(M)を読み出してそれが指
示する処理をパケット処理実行部に行わせ、検索の処理
を終了する。一方、識別子が一致しなかった場合、ポリ
シー検索部は、次ポリシーポインタ格納領域に格納され
ている次ポリシーポインタNPP(M)を読み出し、そ
のポインタの指示するアドレスに格納されているポリシ
ーより検索処理を再開する。前述の動作は、最低の優先
順位=P(L)を持つポリシーまで行われる。多くの場
合、最も低い優先順位=P(L)を持つポリシーに含ま
れる識別子D(L)は、全てのパケットに一致するよう
に指定されており、最も優先順位の低いポリシーに含ま
れる次ポリシーポインタNPP(L)の内容は、アドレ
スではなく検索処理の終了を示す特殊な値(=終了符
号)となっている。When the search of the policy table 1 is started, the policy search unit first reads the contents of the search start pointer register SSPR2 indicating the address storing the policy having the highest priority, and the address indicates Regarding the policy, the identifier d p extracted from the packet is compared with the identifier D (M) included in the area of the identifier 13, and if they match, the action AC (M) stored in the area of the action 14 is read. Then, the packet processing execution unit is caused to perform the processing instructed by the processing, and the search processing is terminated. On the other hand, when the identifiers do not match, the policy search unit reads the next policy pointer NPP (M) stored in the next policy pointer storage area, and performs the search processing from the policy stored in the address designated by the pointer. To resume. The above operation is performed up to the policy having the lowest priority = P (L). In many cases, the identifier D (L) included in the policy with the lowest priority = P (L) is specified to match all packets, and the next policy included in the policy with the lowest priority is designated. The content of the pointer NPP (L) is not an address but a special value (= end code) indicating the end of the search process.
【0028】図2に示す例において、パケットから抽出
された宛先ネットワークアドレス10.0.0.0を識
別子dp として想定し、テーブル内優先順位は数の少な
い方が高いものとする。この場合、前述した処理を続
け、ポリシー21の検索処理が不一致で終了したとする
と、その後、ポリシー21の次ポリシーポインタ15の
領域に含まれる次ポリシーアドレスAD(b)のポリシ
ー22の処理に移る。ポリシー22の識別子D(b)の
内容は192.168.24.0であり、パケットから
抽出された識別子dp とは不一致であるのでポリシー2
2のアクションAC(b)は無視され、次ポリシーポイ
ンタNPP(b)が読み出される。NPP(b)はポリ
シー23の格納アドレスAD(c)を示しているので、
次にポリシー23の検索処理が行われる。ポリシー23
に含まれる識別子D(c)(=10.0.0.0)はパ
ケットから抽出された識別子dp と一致するので、ポリ
シー23のアクションAC(c)(=廃棄)が実行さ
れ、検索処理を終了する。In the example shown in FIG. 2, it is assumed that the destination network address 10.0.0.0 extracted from the packet is the identifier d p , and the smaller the number of priorities in the table, the higher the priority. In this case, if the search process of the policy 21 is ended due to a mismatch, the process described above is continued, and then the process of the policy 22 of the next policy address AD (b) included in the area of the next policy pointer 15 of the policy 21 is performed. . The content of the identifier D (b) of the policy 22 is 192.168.24.0, which does not match the identifier d p extracted from the packet.
The second action AC (b) is ignored, and the next policy pointer NPP (b) is read. Since NPP (b) indicates the storage address AD (c) of the policy 23,
Next, the policy 23 search processing is performed. Policy 23
Since the identifier D (c) (= 10.0.0.0) included in the packet matches the identifier d p extracted from the packet, the action AC (c) (= discard) of the policy 23 is executed and the search processing is performed. To finish.
【0029】次に、ポリシーテーブルに新しいポリシー
を追加する、あるいは、ポリシーを削除するポリシーテ
ーブルの更新方法について図面により説明する。Next, a method of updating the policy table for adding a new policy to the policy table or deleting a policy will be described with reference to the drawings.
【0030】図3は更新前のポリシーテーブル及び空き
アドレス管理テーブルの構成を示す図、図4は図3に示
すテーブルに新しいポリシーを追加する処理を終了した
後のポリシーテーブル及び空きアドレス管理テーブルの
構成を示す図、図5は図3に示すテーブルにから1つの
ポリシーを削除する処理を終了した後のポリシーテーブ
ル及び空きアドレス管理テーブルの構成を示す図であ
る。FIG. 3 is a diagram showing the structure of the policy table and the free address management table before the update, and FIG. 4 is the policy table and the free address management table after the process of adding a new policy to the table shown in FIG. 3 is completed. FIG. 5 is a diagram showing the configuration, and FIG. 5 is a diagram showing the configurations of the policy table and the vacant address management table after the process of deleting one policy from the table shown in FIG. 3 is completed.
【0031】本発明の実施形態は、ポリシーテーブルに
加えて、ポリシーテーブルを管理するための空きアドレ
ス管理テーブル3を利用する。この空きアドレス管理テ
ーブル3には、N個の無効アドレスポインタが含まれて
おり、各無効アドレスポインタNAA(1)〜NAA
(N)は、ポリシーテーブル用に用意されたメモリー空
間のうち使用されていないアドレスを1つずつ含んでい
る。新たなポリシーをポリシーテーブル1に追加する場
合、空きアドレス管理テーブル3のN個目の無効アドレ
スポインタNAA(N)から追加するポインタを書き込
むアドレスを読み出し、Nの値を1つ減じる。逆に、任
意のポリシーがポリシーテーブル1から削除された場
合、Nを1つ増加させた後NAA(N)に削除するポリ
シーの格納されていたアドレスを格納する。In addition to the policy table, the embodiment of the present invention utilizes the free address management table 3 for managing the policy table. This free address management table 3 includes N invalid address pointers, and each invalid address pointer NAA (1) to NAA.
(N) includes one unused address in the memory space prepared for the policy table. When adding a new policy to the policy table 1, the address to which the pointer to be added is read is read from the Nth invalid address pointer NAA (N) of the free address management table 3, and the value of N is decremented by one. On the contrary, when an arbitrary policy is deleted from the policy table 1, the address in which the policy to be deleted is stored is stored in NAA (N) after incrementing N by one.
【0032】いま、図3に示すポリシーテーブルに優先
順位P(d)(=1020)の新たなポリシーを追加す
るものとする。この場合、まず、空きアドレステーブル
3のN個目の無効アドレスポインタNAA(N)が示す
ポリシーテーブル1内のアドレスに、図4に示すよう
に、追加するポリシーとしてポリシー24を追加する。
その際、追加するポリシーが持つ3の要素、すなわち、
優先順位P(d)を優先順位12の領域に、識別子D
(d)を識別子13の領域に、アクションAC(d)を
アクション14の領域に書き込む。その後、ポリシーテ
ーブルを最も優先順位の高いポリシーから順に走査して
ゆき、追加するポリシーの直前に検索されるべきプライ
オリティーを持つポリシー、この場合ポリシー22と、
直後に検索されるべきプライオリティーを持つポリシ
ー、この場合ポリシー23を探し出す。ポリシーテーブ
ル1の優先順位12の領域に格納されている各ポリシー
の優先順位を示す値は、図3に示す例のように、隣接す
る優先順位の間に別のポリシーを挿入することが可能な
ように飛び飛びの値が設定されている。次に、ポリシー
24の次ポリシーポインタ15の領域に次に検索される
べきポリシー23のアドレスAD(c)を次ポリシーポ
インタNPP(d)として書きこむ。最後に、直前に検
索されるべきポリシー22の次ポリシーポインタNPP
(b)の内容をポリシー24の格納アドレスAD(d)
に書き換える。Now, it is assumed that a new policy of priority P (d) (= 1020) is added to the policy table shown in FIG. In this case, first, as shown in FIG. 4, the policy 24 is added as an additional policy to the address in the policy table 1 indicated by the Nth invalid address pointer NAA (N) of the empty address table 3.
At that time, the three elements of the policy to be added, that is,
The priority order P (d) is assigned to the area of the priority order 12 and the identifier D
(D) is written in the area of the identifier 13, and action AC (d) is written in the area of the action 14. After that, the policy table is sequentially scanned from the highest priority policy, and the policy having the priority to be searched immediately before the policy to be added, in this case, the policy 22,
Immediately after, a policy having priority to be searched, in this case, the policy 23 is searched. The value indicating the priority order of each policy stored in the area of the priority order 12 of the policy table 1 can insert another policy between adjacent priority orders as in the example shown in FIG. Different values are set. Next, the address AD (c) of the policy 23 to be searched next is written in the area of the next policy pointer 15 of the policy 24 as the next policy pointer NPP (d). Finally, the next policy pointer NPP of the policy 22 to be searched immediately before
The content of (b) is the storage address AD (d) of the policy 24.
Rewrite
【0033】前述した処理により、新たなポリシーを追
加する更新作業が終了する。作業の終了した状態を図4
に示している。前述したような一連の更新作業の間、ポ
リシーテーブル1が検索作業に支障の出るような矛盾を
含む瞬間がなく、このため、本発明の実施形態は、ポリ
シーテーブルの更新作業の間もパケットから抽出された
識別子dp の検索作業を中断する必要をなくすことがで
きる。また、最も高い優先順位P(M)を持つポリシー
よりもさらに優先順位の高いポリシーを追加する場合も
ほぼ同様の手順によりポリシーテーブルの更新を行うこ
とができるが、この場合、追加するポリシーの直前に検
索されるべきポリシーの次ポリシーポインタを書き換え
る代わりに、検索開始ポインタレジスタ2の内容を追加
したポリシーのアドレスに書き換えればよい。By the above-mentioned processing, the update work for adding a new policy is completed. Figure 4 shows the completed work
Is shown in. During the series of updating operations as described above, there is no moment when the policy table 1 contains a contradiction that hinders the searching operation. Therefore, according to the embodiment of the present invention, the packet is transmitted during the updating operation of the policy table. It is possible to eliminate the need to interrupt the search operation of the extracted identifier d p . Further, when adding a policy having a higher priority than the policy having the highest priority P (M), the policy table can be updated by almost the same procedure, but in this case, immediately before the policy to be added is added. Instead of rewriting the next policy pointer of the policy to be searched for, the content of the search start pointer register 2 may be rewritten to the address of the added policy.
【0034】次に、図3に示すポリシーテーブル1から
ポリシー22を削除する場合の処理動作について説明す
る。この場合、図5に示すように、ポリシー22の直前
に検索されるポリシー21の次ポリシーポインタNPP
(a)の内容を、ポリシー22の次に検索されるポリシ
ー23のアドレスAD(c)とすればよく、これによ
り、ポリシー22を削除した後のポリシーテーブル1と
空きアドレス管理テーブル3は、図5に示すように更新
される。そして、ポリシー22のアドレスが空きアドレ
ス管理テーブル3に追加されている。この場合も、前述
したような一連の更新作業の間、ポリシーテーブル1が
検索作業に支障の出るような矛盾を含む瞬間がなく、こ
のため、本発明の実施形態は、ポリシーテーブルの更新
作業の間もパケットから抽出された識別子dp の検索作
業を中断する必要をなくすことができる。また、最も優
先順位の低いポリシーを削除する場合もほぼ同様の手順
によりポリシーテーブルの更新を行うことができるが、
この場合、削除されるポリシーの直前に検索されていた
ポリシーの次ポリシーポインタを終了符号に書き換えれ
ばよい。Next, the processing operation for deleting the policy 22 from the policy table 1 shown in FIG. 3 will be described. In this case, as shown in FIG. 5, the next policy pointer NPP of the policy 21 searched immediately before the policy 22.
The content of (a) may be the address AD (c) of the policy 23 searched next to the policy 22, whereby the policy table 1 and the free address management table 3 after the policy 22 is deleted are shown in FIG. 5 is updated. Then, the address of the policy 22 is added to the free address management table 3. Also in this case, during the series of updating operations as described above, there is no moment when the policy table 1 contains a contradiction that hinders the searching operation. Therefore, according to the embodiment of the present invention, the updating operation of the policy table is performed. In the meantime, it is possible to eliminate the need to interrupt the search operation of the identifier d p extracted from the packet. Also, when deleting the policy with the lowest priority, you can update the policy table by almost the same procedure,
In this case, the next policy pointer of the policy searched immediately before the policy to be deleted may be rewritten to the end code.
【0035】前述した本発明の実施形態によれば、ポリ
シーテーブルをメモリ上に展開する際に、ポリシーテー
ブル内の各ポリシー毎に、そのポリシーの検索終了後に
次に検索するべきポリシーのアドレスを示す次ポリシー
ポインタを備えることにより、新たなポリシーの追加、
既存ポリシーの削除等のポリシーテーブルの更新作業を
ポリシーの検索不能期間を作ることなく行うことがで
き、パケット転送装置の処理能力を低下させることを防
止することができる。According to the above-described embodiment of the present invention, when the policy table is expanded in the memory, for each policy in the policy table, the address of the policy to be searched next after the completion of the search of the policy is indicated. Adding a new policy by providing a next policy pointer,
It is possible to update the policy table, such as deleting an existing policy, without creating a policy non-searchable period, and it is possible to prevent a reduction in the processing capability of the packet transfer device.
【0036】[0036]
【発明の効果】以上説明したように本発明によれば、ポ
リシーテーブルの更新作業をポリシーの検索不能期間を
作ることなく行うことができ、パケット転送装置の処理
能力を低下させることを防止することができる。As described above, according to the present invention, the update work of the policy table can be performed without creating the policy unsearchable period, and it is possible to prevent the processing capacity of the packet transfer device from being lowered. You can
【図1】本発明の実施形態により使用されるポリシーテ
ーブルの構成を示す図である。FIG. 1 is a diagram showing a configuration of a policy table used according to an embodiment of the present invention.
【図2】1つのパケットに対して実際にポリシーテーブ
ル1が検索試行される場合の動作を説明する図である。FIG. 2 is a diagram for explaining an operation when an attempt is made to actually search the policy table 1 for one packet.
【図3】更新前のポリシーテーブル及び空きアドレス管
理テーブルの構成を示す図である。FIG. 3 is a diagram showing configurations of a policy table and an empty address management table before updating.
【図4】図3に示すテーブルに新しいポリシーを追加す
る処理を終了した後のポリシーテーブル及び空きアドレ
ス管理テーブルの構成を示す図である。FIG. 4 is a diagram showing configurations of a policy table and a free address management table after the process of adding a new policy to the table shown in FIG. 3 is completed.
【図5】図3に示すテーブルにから1つのポリシーを削
除する処理を終了した後のポリシーテーブル及び空きア
ドレス管理テーブルの構成を示す図である。5 is a diagram showing configurations of a policy table and a free address management table after the process of deleting one policy from the table shown in FIG. 3 is completed.
【図6】本発明の一実施形態によるパケット転送装置の
構成例を示すブロック図である。FIG. 6 is a block diagram showing a configuration example of a packet transfer device according to an embodiment of the present invention.
【図7】パケット処理部の構成を示すブロック図であ
る。FIG. 7 is a block diagram showing a configuration of a packet processing unit.
【図8】パケットのヘッダの構成を説明する図である。FIG. 8 is a diagram illustrating the configuration of a packet header.
100 パケット転送装置 102−1〜102−X 回線インタフェース部 103 スイッチ部 104 制御部 101-1-1〜101-1-M1、101-X-1〜101-X-MX 入出力回線 111−1〜111−X 物理終端部 112、112−1〜112−X パケット処理部 113−1〜113−X 入出力制御部 121A、121B ヘッダ抽出部 122A、122B ポリシー検索部 123A、123B ルーティング処理部 124A、124B パケット処理実行部 141A、141B ポリシーテーブルメモリ 142A、142B ルーティングテーブルメモリ 143A、143B FIFOメモリ 144A、144B 管理テーブル100 packet transfer device 102-1 to 102-X line interface unit 103 switch unit 104 control unit 101-1-1 to 101-1-M 1 , 101-X- 1 to 101-XM X input / output line 111-1 to 111-X Physical termination unit 112, 112-1 to 112-X Packet processing unit 113-1 to 113-X Input / output control unit 121A, 121B Header extraction unit 122A, 122B Policy search unit 123A, 123B Routing processing unit 124A, 124B Packet processing execution units 141A and 141B Policy table memories 142A and 142B Routing table memories 143A and 143B FIFO memories 144A and 144B Management table
───────────────────────────────────────────────────── フロントページの続き (72)発明者 牧本 明生 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 高橋 正美 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 安西 健 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 (72)発明者 宇賀 雅則 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 重谷 昌昭 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 塩本 公平 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HB16 HC01 HD03 KA02 KX12 KX24 LC13 MA04 5K033 AA08 CB08 CB17 DA06 DB12 DB16 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Akio Makimoto 216 Totsuka Town, Totsuka Ward, Yokohama City, Kanagawa Prefecture Ceremony Company Hitachi Ltd. Communication Division (72) Inventor Masami Takahashi 216 Totsuka Town, Totsuka Ward, Yokohama City, Kanagawa Prefecture Ceremony Company Hitachi Ltd. Communication Division (72) Inventor Ken Anzai 216 Totsuka Town, Totsuka Ward, Yokohama City, Kanagawa Prefecture Ceremony Company Hitachi Ltd. Communication Division (72) Inventor Masanori Uga 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Masaaki Shigetani 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Kohei Shiomoto 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F term (reference) 5K030 GA15 HA08 HB16 HC01 HD03 KA02 KX12 KX24 LC13 MA04 5K033 AA08 CB08 CB17 DA06 DB12 DB16
Claims (6)
入力から入力されたパケットを識別し該当する出力回線
に出力するパケット転送装置において、各パケットを識
別するためのポリシーテーブルを備え、該ポリシーテー
ブルは、1または複数のポリシーを格納し、各ポリシー
は、優先順位と、パケットを識別するための識別子と、
識別されたパケットに対して行う処理動作と、次に検索
対象となるポリシーの先頭アドレスを示す次ポリシーポ
インタとにより構成されることを特徴とするパケット転
送装置。1. A packet transfer device which is connected to one or a plurality of input / output lines and identifies a packet input from each input and outputs the packet to a corresponding output line, comprising a policy table for identifying each packet, The policy table stores one or a plurality of policies, and each policy has a priority and an identifier for identifying a packet.
A packet transfer device comprising: a processing operation to be performed on the identified packet; and a next policy pointer that indicates a start address of a policy to be searched next.
入力から入力されたパケットを識別し該当する出力回線
に出力するパケット転送装置において、1または複数の
ポリシーを格納し、各パケットを識別してそのパケット
に対する処理を実行するためのポリシーテーブルと、最
初に検索を行うポリシーの先頭アドレスを格納した先頭
ポリシーポインタレジスタとを備えることを特徴とする
パケット転送装置。2. A packet transfer device that is connected to one or more input / output lines and identifies a packet input from each input and outputs the packet to a corresponding output line, storing one or more policies and identifying each packet. Then, the packet transfer apparatus is provided with a policy table for executing processing for the packet and a head policy pointer register storing a head address of a policy to be searched first.
入力から入力されたパケットを識別し該当する出力回線
に出力するパケット転送装置における1または複数のポ
リシーを格納し、各パケットを識別してそのパケットに
対する処理を実行するためのポリシーテーブルの検索方
法において、最初に検索を行うポリシーの先頭アドレス
を格納した先頭ポリシーポインタレジスタの示すアドレ
スのポリシーから検索を始め、任意のポリシーの検索が
終了した後に、そのポリシーの次ポリシーポインタが示
すアドレスに格納されているポリシーの検索を行うこと
を特徴とするポリシーテーブルの検索方法。3. One or a plurality of policies in a packet transfer device which is connected to one or a plurality of input / output lines and which is input from each input is identified and output to a corresponding output line is stored, and each packet is identified. In the search method of the policy table for executing the process for that packet, the search starts from the policy at the address indicated by the first policy pointer register that stores the first address of the policy to be searched first, and the search for any policy ends. Then, the policy stored in the address indicated by the next policy pointer of the policy is searched, and the policy table is searched.
入力から入力されたパケットを識別し該当する出力回線
に出力するパケット転送装置における1または複数のポ
リシーを格納し、各パケットを識別してそのパケットに
対する処理を実行するためのポリシーテーブルの更新方
法において、前記ポリシーテーブルに新たなポリシーを
追加する場合、そのポリシー自身をポリシーテーブル内
の任意の空き領域に書き込み、次ポリシーポインタの格
納領域にそのポリシーの次に検索されるべきポリシーの
先頭アドレスを格納することを特徴とするポリシーテー
ブルの更新方法。4. One or a plurality of policies in a packet transfer device connected to one or a plurality of input / output lines to identify a packet input from each input and output to a corresponding output line are stored, and each packet is identified. When a new policy is added to the policy table in the method of updating the policy table for executing the processing for the packet, the policy itself is written in an arbitrary free area in the policy table, and the storage area for the next policy pointer is stored. A method of updating a policy table, characterized in that the start address of a policy to be searched next to that policy is stored in.
域に新たなポリシーを書き込んだとき、新たに追加した
ポリシーの直前に検索されるべきポリシーの次ポリシー
ポインタを、追加した新たなポリシーの先頭アドレスに
変更することを特徴とする請求項4記載のポリシーテー
ブルの更新方法。5. When writing a new policy to an arbitrary free area in the policy table, the next policy pointer of the policy to be searched immediately before the newly added policy is set to the start address of the added new policy. The method of updating a policy table according to claim 4, wherein the policy table is updated.
入力から入力されたパケットを識別し該当する出力回線
に出力するパケット転送装置における1または複数のポ
リシーを格納し、各パケットを識別してそのパケットに
対する処理を実行するためのポリシーテーブルの更新方
法において、前記ポリシーテーブルからポリシーを削除
する場合、削除するポリシーの直前に検索されるポリシ
ーの次ポリシーポインタを、削除するポリシーの次ポリ
シーポインタの示すアドレスに変更することを特徴とす
るポリシーテーブルの更新方法。6. One or a plurality of policies in a packet transfer device connected to one or a plurality of input / output lines to identify a packet input from each input and output to a corresponding output line are stored, and each packet is identified. In the method of updating the policy table for executing the processing for the packet, when deleting the policy from the policy table, the next policy pointer of the policy searched immediately before the policy to be deleted is the next policy pointer of the policy to be deleted. The method of updating the policy table is characterized by changing to the address indicated by.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001391563A JP2003198608A (en) | 2001-12-25 | 2001-12-25 | Packet transfer system, and retrieving method and updating method of policy table |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001391563A JP2003198608A (en) | 2001-12-25 | 2001-12-25 | Packet transfer system, and retrieving method and updating method of policy table |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003198608A true JP2003198608A (en) | 2003-07-11 |
Family
ID=27599118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001391563A Pending JP2003198608A (en) | 2001-12-25 | 2001-12-25 | Packet transfer system, and retrieving method and updating method of policy table |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003198608A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2005034446A1 (en) * | 2003-10-03 | 2006-12-14 | 富士通株式会社 | Policy rule application network system |
| WO2009036667A1 (en) * | 2007-09-17 | 2009-03-26 | Zte Corporation | A short-period service configuration table updating device and its mobile multimedia broadcasting terminal |
-
2001
- 2001-12-25 JP JP2001391563A patent/JP2003198608A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2005034446A1 (en) * | 2003-10-03 | 2006-12-14 | 富士通株式会社 | Policy rule application network system |
| WO2009036667A1 (en) * | 2007-09-17 | 2009-03-26 | Zte Corporation | A short-period service configuration table updating device and its mobile multimedia broadcasting terminal |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4542539B2 (en) | Route lookup engine | |
| JP4685254B2 (en) | Priority remapping for data communication switches | |
| US5684954A (en) | Method and apparatus for providing connection identifier by concatenating CAM's addresses at which containing matched protocol information extracted from multiple protocol header | |
| US6650639B2 (en) | Secure fast packet switch having improved memory utilization | |
| JP2642062B2 (en) | Packet switching network and method | |
| US8151339B2 (en) | Method and apparatus for implementing filter rules in a network element | |
| JP4004389B2 (en) | Buffer memory management method and system | |
| US20080198853A1 (en) | Apparatus for implementing actions based on packet classification and lookup results | |
| EP1635519A1 (en) | Optimization of routing database in a network processor | |
| JPH0685870A (en) | Interface system for high-speed data service, terminal adaptor as well as system and method for retrieval of specific entry | |
| CN102427428A (en) | Stream identifying method and device based on multi-domain longest match | |
| JP2002044126A (en) | Packet transmission method and unit | |
| JP2002176431A (en) | Packet transfer unit and transfer information management method used for it, and its transfer information retrieval method | |
| US5802064A (en) | Protocol header alignment | |
| CN108540387A (en) | Method for network access control and device | |
| JP4120356B2 (en) | Extended VLAN tag SWAP method | |
| JP2002374251A (en) | Network monitoring system, data amount count method used for the same, and program thereof | |
| US6680916B2 (en) | Method for using a balanced tree as a base for a routing table | |
| EP1798900A1 (en) | Access multiplexer | |
| US7590112B2 (en) | Packet forwarding apparatus of high speed routing system and routing lookup method using the same | |
| JP3228249B2 (en) | Router device | |
| JP2003198608A (en) | Packet transfer system, and retrieving method and updating method of policy table | |
| EP1798901A1 (en) | Access multiplexer | |
| TWI281804B (en) | Packet forwarding method and system | |
| JP2003218907A (en) | Processor with reduced memory requirements for high- speed routing and switching of packets |