JP2005117209A - ポリシ制御回路 - Google Patents
ポリシ制御回路 Download PDFInfo
- Publication number
- JP2005117209A JP2005117209A JP2003346523A JP2003346523A JP2005117209A JP 2005117209 A JP2005117209 A JP 2005117209A JP 2003346523 A JP2003346523 A JP 2003346523A JP 2003346523 A JP2003346523 A JP 2003346523A JP 2005117209 A JP2005117209 A JP 2005117209A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- control circuit
- packet
- application unit
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】 リコンフィギュレーション可能なDAP/DNAチップ上に、ポリシ制御に必要ないくつかの機能ブロックを設計しておき、必要な機能ブロックのみをコンフィギュレーションして実装し、その基本部と応用部とを定義し、基本部から応用部にはビット情報でヘッダやプロトコルタイプ等の情報を渡し、応用部からはカウント指示や廃棄指示等ポリシにあった命令が渡される。
【選択図】 図1
Description
(1)VPN(Virtual Private Network)の入口:VPNは特定のユーザ間で定義されたものであり、事前に許可されたSA(Source
Address)/DA(Destination Address)のペア以外のパケットは通過させない。しかし、それ以外に関しては、比較的VPNの運用ポリシに基づき設定される。
(2)中継ルータ:中継ルータは高速なフォワーディングのみを行い、特別な場合を除き、他のフィールドをみることはない。
(3)エッジルータ:エッジルータは、ポリシ制御上最も重要な役割を担う。エッジでは、TOS(Type of Service)をベースとして優先制御や禁止されているプロトコルタイプ(例えばUDP(User Datagram
Protocol)パケットの禁止)のフィルタリングを行う。エッジルータの上り(端末からネットワーク)に関しては、レート制御や禁止プロトコルの網内への流入をくいとめるためのフィルタを、エッジルータの下り(ネットワークから端末)に関しては、ユーザへの攻撃や影響を抑えるためのフィルタリングが重要である。
(4)サーバ入口:サーバへの下りは特にDoSやハッカによる攻撃が多い。そのためファイヤーウォールとして、許されているポート番号やプロトコルタイプ等、また、レートに関しても詳細にフィルタリングする。
日経エレクトロニクス、2003年1月6日、pp.111−122、「10nsで演算器間の構成を書き換えるダイナミック・リコンフィギュアブル技術を開発」 日経エレクトロニクス、2002年11月18日、pp.59−66、「ソフトの発想が仮想回路を生む、ハードが瞬時に七変化」 日経エレクトロニクス、2002年7月29日、pp.114−123、「回路なんて誰でも作れる、脱ハードウェア指向へ」
Application Processor/Distributed Network Architecture)チップ上に、ポリシ制御に必要ないくつかの機能ブロックを設計しておき、必要な機能ブロックのみをコンフィギュレーションして実装し、その基本部と応用部とを定義し、基本部から応用部にはビット情報でヘッダやプロトコルタイプ等の情報を渡し、応用部からはカウント指示や廃棄指示等ポリシにあった命令が渡されることを最も主要な特徴とする。
Processor/Distributed Network Architecture)型コンフィギュラブルプロセッサ上に実装するときには、例えば、前記応用部は、DAPに実装され、前記基本部は、DNAに実装される。あるいは、DAP/DNA型コンフィギュラブルプロセッサ上で、前記応用部は、DNAおよびDAP上に実装され、前記基本部は、DNA上に実装されることもできる。
実施例1のポリシ制御回路は、リコンフィギュレーションが原則的にされない汎用的かつ固定的な基本部20と、必要な機能や変更を必要とする機能ブロックを入れる応用部21とからなる。基本部20と応用部21は、A−インタフェースで接続される。また、基本部20から、例では、OpSやディスプレイへのアラームの表示や外部RAMへのアクセスができる。応用部21は、リコンフィギュレーション可能であり、必要な機能を必要なだけ実現する。
図5に、アイピーフレックス社のDAP/DNA回路の構成を示す(例えば、非特許文献1〜3参照)。DAP/DNAは、主に2つの部分から成る。1つは、RISC型32ビットCPUコアのDAPであり、もう1つは、「エレメント」と呼ぶ演算器がマトリクス状に148個並んだデータ処理部のDNAである。DAP/DNAは、アプリケーション開発時のシミュレーションさえ通過すれば、実チップでの実行が完全に保証されることを特徴とし、FPGAやDSP向けの開発で見られるようなコードの最適化や開発工程の後戻りなどは原則として発生しない。
実施例3を図7に示す。応用部21のうち、フォワーディングや単純なフィルタリングはDNA部で実現し、複雑なアタックの解析をDNAとDAPとで分担することができる。できるだけDNA上で実現することにより、ハードウェアの性能を引き出すことができる。もちろん、全ての機能をDNA上で実現することも可能な場合がある。
2 ビットセレクト部
3 応用部インタフェース
4−1 フォワーディング処理CPU
4−2〜4−i ポリシ解析CPU
5 基本部インタフェース
6 データ処理CPU
7 ヘッダ処理部
8 アクセス制御部
9 カウンタ
10 抽出ビット
11 処理ID
12、14 データ
13 結果ID
20 基本部
21 応用部
Claims (5)
- IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路において、
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備えたことを特徴とするポリシ制御回路。 - 前記基本部インタフェースおよび前記応用部インタフェースには、前記基本部インタフェースと前記応用部インタフェースとの間にパケットを送受信する手段をそれぞれ備え、
この送受信する手段は、
前記基本部から前記応用部に向かう前記パケットに前記所定ビットの情報および当該IPパケットの処理の種別を特定する識別情報を搭載する手段と、
前記応用部から前記基本部に向かう前記パケットに当該IPパケットの処理の種別を特定する識別情報および前記ポリシ解析結果を搭載する手段と
を備えた請求項1記載のポリシ制御回路。 - DAP/DNA(Data Application
Processor/Distributed Network Architecture)型コンフィギュラブルプロセッサ上で、
前記応用部は、DAPに実装され、
前記基本部は、DNAに実装された
請求項1または2記載のポリシ制御回路。 - DAP/DNA型コンフィギュラブルプロセッサ上で、
前記応用部は、DNAおよびDAP上に実装され、
前記基本部は、DNA上に実装された
請求項1または2記載のポリシ制御回路。 - 互いに異なる機能を有するネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に請求項1ないし4のいずれかに記載のポリシ制御回路の前記基本部および前記応用部を実装するポリシ制御回路の実装方法であって、
前記応用部の前記ポリシ解析手段を、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析手段に限定して実装する
ことを特徴とするポリシ制御回路の実装方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003346523A JP3779709B2 (ja) | 2003-10-06 | 2003-10-06 | ポリシ制御回路 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003346523A JP3779709B2 (ja) | 2003-10-06 | 2003-10-06 | ポリシ制御回路 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005117209A true JP2005117209A (ja) | 2005-04-28 |
JP3779709B2 JP3779709B2 (ja) | 2006-05-31 |
Family
ID=34539415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003346523A Expired - Fee Related JP3779709B2 (ja) | 2003-10-06 | 2003-10-06 | ポリシ制御回路 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3779709B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013856A (ja) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | テーブル装置及びこれを用いたアドレス検索装置 |
WO2009148021A1 (ja) * | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
-
2003
- 2003-10-06 JP JP2003346523A patent/JP3779709B2/ja not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013856A (ja) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | テーブル装置及びこれを用いたアドレス検索装置 |
JP4588560B2 (ja) * | 2005-07-04 | 2010-12-01 | 三菱電機株式会社 | テーブル装置及びこれを用いたアドレス検索装置 |
WO2009148021A1 (ja) * | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
JP5211162B2 (ja) * | 2008-06-03 | 2013-06-12 | 株式会社日立製作所 | 情報処理装置および情報処理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP3779709B2 (ja) | 2006-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11706151B2 (en) | Application-level network queueing | |
US8176300B2 (en) | Method and apparatus for content based searching | |
US6678746B1 (en) | Processing network packets | |
JP6605514B2 (ja) | 金融ネットワーク | |
US9985977B2 (en) | Direct cache access for network input/output devices | |
US20230185732A1 (en) | Transparent encryption | |
US20140092900A1 (en) | Methods and apparatuses to split incoming data into sub-channels to allow parallel processing | |
JP3779709B2 (ja) | ポリシ制御回路 | |
Martinek et al. | Netcope: Platform for rapid development of network applications | |
CN115033407B (zh) | 一种适用于云计算的采集识别流量的系统和方法 | |
Döring et al. | SmartNICs: Current trends in research and industry | |
CN114268595B (zh) | 一种采用双cpu架构的交换机及报文处理方法 | |
EP3053075A1 (en) | Duplicating packets efficiently within a network security appliance | |
WO2022269786A1 (ja) | 通信データ識別装置およびその方法 | |
JP2006238161A (ja) | パケット交換装置及びパケットの処理方法 | |
Hlavatý | Network Interface Controller Offloading in Linux | |
SE520393C2 (sv) | Metod för kommunikation genom brandvägg | |
JP2000278347A (ja) | 通信装置 | |
Huckerby-Brown et al. | Technology to the Rescue | |
Michalski | Analysis of Time Reaction During Different Approaches to Command Handling in NetFPGA Hardware | |
Sivaraman et al. | NSF Workshop Report on Programmable Networks | |
CN115361181A (zh) | 一种使用dpdk和密码卡实现高性能链路加密的方法 | |
Latifi et al. | Increasing the efficiency of IDS systems by hardware implementation of packet capturing | |
CN116405235A (zh) | 用于承载操作和叠加操作的双向加密/解密设备 | |
CN116915667A (zh) | 网络流量采集方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051213 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060228 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060302 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090310 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100310 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110310 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |