JP2005130489A - ルータ用の改良型アクセス制御リスティング機構 - Google Patents

ルータ用の改良型アクセス制御リスティング機構 Download PDF

Info

Publication number
JP2005130489A
JP2005130489A JP2004290994A JP2004290994A JP2005130489A JP 2005130489 A JP2005130489 A JP 2005130489A JP 2004290994 A JP2004290994 A JP 2004290994A JP 2004290994 A JP2004290994 A JP 2004290994A JP 2005130489 A JP2005130489 A JP 2005130489A
Authority
JP
Japan
Prior art keywords
rules
interface
sets
packet
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004290994A
Other languages
English (en)
Other versions
JP2005130489A5 (ja
Inventor
Jason Sterne
ジエーソン・スターン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel CIT SA
Alcatel Lucent SAS
Original Assignee
Alcatel CIT SA
Alcatel SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel CIT SA, Alcatel SA filed Critical Alcatel CIT SA
Publication of JP2005130489A publication Critical patent/JP2005130489A/ja
Publication of JP2005130489A5 publication Critical patent/JP2005130489A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】データパケットルータ内のラインカード上のTCAM内でアクセス制御リスト(ACL)を維持する方法および装置であって、規則が着信データパケットに適用される方法および装置を提供すること。
【解決手段】各インターフェースは、複数のACLと関連付けることができ、複数のインターフェースは、単一の共用ACLと関連付けることができる。共用ACLは、複数のインターフェースに適用可能な規則を含む。他のACLは、特定のインターフェースに特有である。着信データパケットに適用する規則を探索するとき、フィルタは、データパケットがそれを介して到着したインターフェースに関連する特有のACLと共用ACLを共に探索する。共用ACLを使用して、共通規則の複製が削減され、それによってラインカード上に格納される全規則数が削減され、メモリ記憶空間が節約される。本発明は、ACL以外の規則の組にも適用可能である。
【選択図】 図1

Description

本発明は、遠隔通信システムにおけるルータインターフェースに関し、より詳細には、そのようなインターフェースに関連するアクセス制御リストに関する。
通信システムにおけるインターネットルータは、ラインカード上のインターフェースでインターネットプロトコル(IP)パケットを受信する。ルータは、いくつかのインターフェースを有することのできる多数のラインカードを含む。通常、各インターフェースは、ラインカード上の3進コンテンツアドレス指定可能メモリ(TCAM)内に格納された、関連するアクセス制御リスト(ACL)を有する。ACLは、望ましくないパケットをフィルタリングし、または計数や複写などのパケットに対する他のアクションを実施するためにIPパケットに適用すべき1組の規則である。各規則は、キーおよびアクションから構成される。IPパケットがインターフェースを介して到着したとき、ルータは、パケットから特有のフィールドを抽出してキーを形成し、合致するキーを有する規則を求めて、インターフェースに関連するACLを探索する。規則が見つかった場合、フィルタは、規則に関連するアクションをパケットに適用する。
各インターフェースは、同一の規則の組を有することができる。このことを利用して、構成およびトラブルシューティングを単純化し、また堅牢性を改善しているルータもある。規則の組はACL間で複写される。しかし、TCAMにロードされると、各インターフェースの各ACLの各規則が別々に格納およびアクセスされ、したがってTCAM記憶空間が節約されない。別のルータでは、さらに踏み込んで、2つ以上のインターフェース間で単一のACLを共用している。これにより、必要なTCAM記憶空間量が幾分削減されるが、このことが可能なのは、各インターフェースがすべてのインターフェースの規則を共通に有する場合だけである。
TCAMの記憶容量の向上は、アクセス速度の向上ほど迅速には進歩していない。TCAMに関連するスペースおよび電力上の制約、ならびにTCAMのコストのために、各ラインカード上のTCAMの数およびサイズを最小に保つことが好ましい。このことは、ある状況では難しいことがある。ルータはしばしば、数百のインターフェースおよび数百のACLをサポートし、広いTCAM記憶空間を必要とするからである。格納する合計規則数を最小限に抑えたラインインターフェースカードにより、より少数の、またはより小さいTCAMを使用することが可能となり、それによってスペースおよび電力が節約される。あるいは、そのようなカードは、同一のスペースおよび電力使用量に対してより多くの規則をサポートすることができる。
本発明の一態様によれば、データパケットルータ内の第1インターフェースに到着するデータパケットに適用すべき規則を決定する方法が提供される。少なくとも2つの組の規則が、第1インターフェースと関連付けられ、少なくとも1つの組の規則が、第2インターフェースとも関連付けられる1組の共用規則である。データパケットのキーが決定される。キーに合致する少なくとも1つの規則を求めて、その少なくとも2つの組の規則が探索される。
本発明の別の態様によれば、データパケットが第1インターフェースに到着するデータパケットルータでセキュリティを設ける方法が提供される。少なくとも2つの組の規則が第1インターフェースと関連付けられ、少なくとも1つの組の規則が、第2インターフェースとも関連付けられる1組の共用規則であり、その少なくとも2つの組の規則内の各規則が、関連するアクションを有する。データパケットのキーが決定される。キーに合致する少なくとも1つの規則を求めて、その少なくとも2つの組の規則が探索される。キーに合致する少なくとも1つの規則が見つかった場合、少なくとも1つの規則のそれぞれに関連するアクションがデータパケットに適用される。
本発明の方法を実施するラインカードが提供される。本発明の方法は、コンピュータ可読媒体上の命令として格納することもできる。
本発明の方法およびラインインターフェースカードにより、インターフェース間で規則を共用することが可能となると共に、依然として個々のインターフェースカードに特有の規則を使用することが可能である。規則を単に複写するのではなく、インターフェース間で規則を共用することにより、メモリ記憶空間(TCAMなど)が節約され、それによってラインカードのコストおよび電力消費が削減される。
本発明の機能および利点は、添付の図を参照しながら、以下の好ましい実施形態の詳細な説明を読むことによってより明らかとなるであろう。
添付の各図では、同様の機能が類似の符号を有することに留意されたい。
図1を参照すると、本発明の好ましい実施形態によるルータ10が示されている。ルータ10はラインカード12を含む。ラインカード12は、4つのインターフェース14、16、18、および20を含み、それらを介してインターネットプロトコル(IP)パケットが到着する。ラインカード12はまた、3進コンテンツアドレス指定可能メモリ(TCAM)24も含む。TCAMは、複数のアクセス制御リスト(ACL)を格納する。少なくとも1つのACLは特有の(specific)ACL26であり、少なくとも1つのACLは共用ACL28である。以下で説明するように、各インターフェースは少なくとも1つのACLと関連付けられる。
ラインカード12はまた、フィルタ34も含む。各IPパケットについて、フィルタ34は、IPパケットヘッダから指定のフィールドを抽出してキーを構築し、IPパケットから導出したキーに対応する規則を求めて、IPパケットがそれを介して到着したインターフェースに関連するACLを探索し、見つかった任意のそうした規則に関連するアクションを実施する。フィルタ34は、受信したIPパケットに対応する規則の位置を突き止めて適用するための命令を含み、好ましくは、プロセッサ上で動作するソフトウェアの形態である。より一般には、フィルタは、ソフトウェア、または集積回路内のハードウェアを含むプロセッサ内のハードウェアの任意の組合せの形態の命令を含むことができる。プロセッサは単一の装置である必要はなく、命令は、複数の装置内に位置することができる。ソフトウェアの形態では、命令はコンピュータ可読媒体上に格納することができる。
各特有のACL26は、単一のインターフェースと関連付けられ、各インターフェースは、対応する特有のACLと関連付けることができる。各特有のACLは、それが対応するインターフェースに特定の規則を含む。こうした規則は、パケット拒否、パケット受諾、パケット計数、パケット複写などの関連するアクションを含むことができる。各共用ACL28は、少なくとも2つのインターフェースと関連付けられ、各インターフェースは少なくとも1つの共用ACLと関連付けられる。各共用ACL28は、一部またはすべてのインターフェースが共通に有する規則を含む。図2を参照すると、インターフェースとACLの間の例示的関連付けが示されている。各インターフェースは、1つの関連する特有のACL26を有する。2つのインターフェース14および16は、1つの共用ACL28aと関連付けられ、すべての4つのインターフェースは、1つの共用ACL28bと関連付けられる。各特有のACL26は、対応するインターフェースを介して到着するIPパケットに適用することのできる規則を含む。共用ACL28aは、その2つの関連するインターフェース14および16のどちらかを介して到着するIPパケットに適用することのできる規則を含む。共用ACL28bは、インターフェースのいずれかを介して到着するIPパケットに適用することのできる規則を含む。
大部分のインターフェースは通常、そのインターフェースに特有の規則よりも多くの規則を、少なくとも1つの他のインターフェースと共通に有するので、大規模なスケーリングの利点を実現することができるのと同様に、TCAM記憶域の大幅な節約を実現することができる。例えば、各インターフェースが他のインターフェースと共通に75個の規則を有し、インターフェースに特有の25個の規則を有する場合を考慮し、100個のインターフェースが存在すると仮定する。各インターフェースがそれ自体の固有のACLを有する場合、それぞれ100個の規則がある100個のリスト、すなわち10,000個の規則に対するTCAM記憶域を設けなければならない。共用ACLを使用し、かつインターフェースに対する規則を複数のACLに格納することを可能にすることにより、設けなければならないTCAM記憶域は、75個の規則がある1つのリストと、25個の規則がある100個のリスト、すなわち合計で2575個の規則に対してだけとなる。
図1に戻ると、ルータ10はまた、複数の他のラインカード36も含む(その詳細は図1には図示せず)。こうした他のラインカード36はそれぞれ、複数のインターフェース、フィルタ、TCAM、および複数のACLを含めて、ラインカード12と類似している。しかし、ACLの数はラインカード間で異なる可能性がある。
図3を参照すると、本発明の一実施形態による、IPパケットに関する規則を取り出して適用する方法が示されている。ステップ50では、IPパケットが、インターフェース14、16、18、および20のうちの1つに到着する。IPパケットは、IPヘッダおよび伝送制御プロトコル(TCP)ヘッダを有する。ステップ52では、フィルタ34は、IPパケットのIPヘッダおよびTCPヘッダ内の情報から、IPパケットに関するキーを決定する。キーは、IPソースアドレス、IP宛先アドレス、ICMPタイプ/コード、プロトコル番号、TCP/UDPソースポート、およびTCP/UDP宛先ポートなどの情報から決定することができる。
フィルタ34は、どのACLを探索すべきかを決定するためのインターフェースルックアップテーブルを含む。ステップ54では、フィルタ34は、キーに合致する規則を求めて、インターフェースに関連するACL内を探索する。ステップ56で規則が見つかった場合、ステップ58で、フィルタは規則に関連するアクションをIPパケットに適用する。そのようなアクションの例には、パケット拒否、パケット受諾、パケット計数、およびパケット複写が含まれる。通常は、インターフェースに関連する少なくとも2つのACLが存在することになるが、1つのACLだけに関連するラインカード上のインターフェースが存在する可能性がある。ステップ56で規則が見つからなかった場合、または規則が見つかり、次いで規則に関連するアクションをステップ58で適用した後の場合に、ステップ60で、フィルタ34は、インターフェースに関連する別のACLが存在するか否かを判定する。ステップ60で、フィルタ34が、インターフェースに関連する別のACLが存在すると判定した場合、ステップ54で、フィルタ34は、キーに合致する規則を求めてACL内を探索する。ステップ60で、フィルタ34が、インターフェースに関連する別のACLが存在しないと判定した場合、フィルタは、インターフェースに関連する規則の探索を終了する。
フィルタ34は、インターフェースに関連するACLをどんな順序でも探索することができる。しかし、好ましい実施形態では、フィルタは、各インターフェースについての優先順位を維持する。この優先順位は、ユーザが構成することができる。
あらゆる共用規則を共用ACLに格納する必要はなく、異なる特有のACLに関して規則の重複が存在する可能性がある。しかし、これにより、使用されるTCAM記憶域の量が増大する。必要なTCAM記憶域の量を最小限に抑えるために、あらゆる共用規則を共用ACLに格納すべきである。
ラインカード12は、ACLのうち少なくとも1つをそれぞれ含む複数のTCAMを有することができる。
4つのインターフェース、1つのTCAM、2つの特有のACL、および4つの共用ACLを有するラインカードに関して本発明を説明した。より一般には、ラインカードは複数のインターフェースと、その少なくとも1つが共用ACLである少なくとも2つのACLとを有する。共用ACLは、すべてのインターフェース間で共用される規則を含むことができ、またはインターフェースのサブセット間だけで共用される規則を含むことができる。インターフェースは、任意の数の共用ACLと関連付けることができ、特有のACLと関連付けられる可能性があり、または関連付けられない可能性がある。しかし、少なくとも1つのインターフェースが、その少なくとも1つが共用ACLである少なくとも2つのACLに関連付けられる。このようにして、TCAM記憶空間を節約することができる。
各インターフェースに関連するACLの数に関する実際的な制限は、ACLアクセス時間である。ACLにアクセスするのにかかる時間は、パケットを処理するのに利用可能な時間よりも短くなければならない。例えば、OC−48ライン速度は、パケット処理速度約6.1Mpps(百万パケット/秒)を必要とする。毎秒6千万から1億ルックアップ程度の現在のTCAMアクセス速度では、各インターフェースに関連するACLの数は、約8に限定される。
IPパケット、ルータ、およびACLを参照しながら本発明を説明した。より一般には、本発明は、着信パケットに適用すべき規則を含むインターフェース特有の規則の組を含むどんなパケット交換機(イーサネット交換機、ATM交換機、IPv6交換機など)にも適用することができる。例えば、本発明は、レートリミッティング(rate−limiting)およびレートポリシング(rate−policing)、ポリシーベースの転送、優先順位割当て、分類などのより一般的な規則ベースのセキュリティ機能に適用することができる。受信したパケットに関するキーは、任意の様々なパケットヘッダ情報を使用して、フィルタで決定することができる。
提示した実施形態は単なる例であり、本発明の精神から逸脱することなく上述の実施形態に対する変形形態を作成できることを当業者は理解されよう。本発明の範囲は、もっぱら添付の特許請求の範囲によって定義される。
本発明の一実施形態によるルータを示すブロック図である。 図1のインターフェースカードとACLの間の例示的関連付けを示すブロック図である。 本発明の一実施形態による、図1のフィルタがACL内の規則にアクセスする方法を示す流れ図である。
符号の説明
10 ルータ
12、36 ラインカード
14、16、18、20 インターフェース
24 3進コンテンツアドレス指定可能メモリ(TCAM)
26 特有のACL
28、28a、28b 共用ACL
34 フィルタ

Claims (21)

  1. データパケットルータ内の第1インターフェースに到着するデータパケットに適用すべき規則を決定する方法であって、
    a.少なくとも2つの組の規則を第1インターフェースと関連付けるステップであって、少なくとも1つの組の規則が、第2インターフェースとも関連付けられる1組の共用規則であるステップと、
    b.データパケットのキーを決定するステップと、
    c.キーに合致する少なくとも1つの規則を求めて、少なくとも2つの組の規則を探索するステップとを含む方法。
  2. 少なくとも2つの組の規則を第1インターフェースと関連付けるステップが、少なくとも1つの組の規則を第1インターフェースだけと関連付けるステップを含む請求項1に記載の方法。
  3. データパケットがインターネットプロトコル(IP)パケットであり、インターフェースがルータ内に位置し、少なくとも2つの組の規則を第1インターフェースと関連付けるステップが、少なくとも2つのアクセス制御リスト(ACL)を第1インターフェースと関連付けるステップを含む請求項1に記載の方法。
  4. 各規則が、関連するアクションを有し、関連する各アクションが、パケット拒否、パケット許可、パケット計数、パケット複写のうちの1つである請求項3に記載の方法。
  5. キーが、IPパケットのヘッダ内に含まれる情報から決定される請求項3に記載の方法。
  6. キーを決定する情報が、IPソースアドレス、IP宛先アドレス、プロトコル番号、伝送制御プロトコル/ユーザデータグラムプロトコル(TCP/UDP)ソースポート、TCP/UDP宛先ポート、およびインターネット制御メッセージプロトコルコードのうち少なくとも1つを含む請求項5に記載の方法。
  7. 少なくとも2つの組の規則を探索するステップが、
    a.少なくとも2つの組の規則に関する優先順位を決定するステップと、
    b.優先順位に合致する順序で、キーに合致する規則を求めて少なくとも2つの組の規則内を探索するステップとを含む請求項1に記載の方法。
  8. データパケットが第1インターフェースに到着するデータパケットルータでセキュリティを設ける方法であって、
    a.少なくとも2つの組の規則を第1インターフェースと関連付けるステップであって、少なくとも1つの組の規則が、第2インターフェースとも関連付けられる1組の共用規則であり、少なくとも2つの組の規則内の各規則が、関連するアクションを有するステップと、
    b.データパケットのキーを決定するステップと、
    c.キーに合致する少なくとも1つの規則を求めて、少なくとも2つの組の規則を探索するステップと、
    d.キーに合致する少なくとも1つの規則が見つかった場合、少なくとも1つの規則のそれぞれに関連するアクションをデータパケットに適用するステップとを含む方法。
  9. 少なくとも2つの組の規則を第1インターフェースと関連付けるステップが、少なくとも1つの組の規則を第1インターフェースだけと関連付けるステップを含む請求項8に記載の方法。
  10. データパケットがインターネットプロトコル(IP)パケットであり、インターフェースがルータ内に位置し、少なくとも2つの組の規則を第1インターフェースと関連付けるステップが、少なくとも2つのアクセス制御リスト(ACL)を第1インターフェースと関連付けるステップを含む請求項8に記載の方法。
  11. 関連する各アクションが、パケット拒否、パケット許可、パケット計数、パケット複写のうちの1つである請求項10に記載の方法。
  12. キーが、IPパケットのヘッダ内に含まれる情報から決定される請求項10に記載の方法。
  13. キーを決定する情報が、IPソースアドレス、IP宛先アドレス、プロトコル番号、伝送制御プロトコル/ユーザデータグラムプロトコル(TCP/UDP)ソースポート、TCP/UDP宛先ポート、およびインターネット制御メッセージプロトコルコードのうち少なくとも1つを含む請求項12に記載の方法。
  14. 少なくとも2つの組の規則を探索するステップが、
    a.少なくとも2つの組の規則に関する優先順位を決定するステップと、
    b.優先順位に合致する順序で、キーに合致する規則を求めて少なくとも2つの組の規則内を探索するステップとを含む請求項8に記載の方法。
  15. a.第1インターフェースと、
    b.第2インターフェースと、
    c.少なくとも第1インターフェースと関連する第1の組の規則と、
    d.第1インターフェースおよび第2インターフェースと関連する第2の組の規則と、
    e.第1インターフェースに到着する個々のデータパケットに特有の少なくとも1つの規則を求めて、第1の組の規則および第2の組の規則を探索する手段とを備えるラインカード。
  16. 第1の組の規則および第2の組の規則がアクセス制御リスト(ACL)である請求項15に記載のラインカード。
  17. 第1の組の規則が第1インターフェースだけと関連付けられる請求項15に記載のラインカード。
  18. a.第3インターフェースと、
    b.第1インターフェースおよび第2インターフェースと関連する第3の組の規則とをさらに含み
    第1インターフェースに到着する個々のデータパケットに特有の少なくとも1つの規則を求めて探索する手段が、そのような規則を求めて第3の組の規則を探索することを含む請求項17に記載のラインカード。
  19. 優先順位に従って第1の組の規則および第2の組の規則を第1インターフェースに関連付ける手段をさらに備え、規則を求めて探索する手段が、優先順位で指定される順序で、第1の組の規則および第2の組の規則を探索することを含む請求項15に記載のラインカード。
  20. 請求項15に記載のラインカードを備えるパケット交換機。
  21. データパケットが第1インターフェースに到着するデータパケットルータでセキュリティを設けるための命令を含むコンピュータ可読媒体であって、
    a.少なくとも2つの組の規則を第1インターフェースと関連付ける命令であって、少なくとも1つの組の規則が、第2インターフェースとも関連付けられる1組の共用規則であり、少なくとも2つの組の規則内の各規則が、関連するアクションを有する命令と、
    b.データパケットのキーを決定する命令と、
    c.キーに合致する少なくとも1つの規則を求めて、少なくとも2つの組の規則を探索する命令と、
    d.キーに合致する少なくとも1つの規則が見つかった場合、少なくとも1つの規則のそれぞれに関連するアクションをデータパケットに適用する命令とを含む方法。
JP2004290994A 2003-10-07 2004-10-04 ルータ用の改良型アクセス制御リスティング機構 Pending JP2005130489A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/679,288 US7509674B2 (en) 2003-10-07 2003-10-07 Access control listing mechanism for routers

Publications (2)

Publication Number Publication Date
JP2005130489A true JP2005130489A (ja) 2005-05-19
JP2005130489A5 JP2005130489A5 (ja) 2007-11-15

Family

ID=34314086

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004290994A Pending JP2005130489A (ja) 2003-10-07 2004-10-04 ルータ用の改良型アクセス制御リスティング機構

Country Status (6)

Country Link
US (1) US7509674B2 (ja)
EP (1) EP1523138B1 (ja)
JP (1) JP2005130489A (ja)
CN (1) CN1606294B (ja)
AT (1) ATE386389T1 (ja)
DE (1) DE602004011721T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8223756B2 (en) 2006-08-04 2012-07-17 Fujitsu Limited Network device and computer product

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050172132A1 (en) 2004-01-30 2005-08-04 Chen Sherman (. Secure key authentication and ladder system
US9461825B2 (en) 2004-01-30 2016-10-04 Broadcom Corporation Method and system for preventing revocation denial of service attacks
US9094699B2 (en) * 2004-02-05 2015-07-28 Broadcom Corporation System and method for security key transmission with strong pairing to destination client
US7607166B2 (en) * 2004-07-12 2009-10-20 Cisco Technology, Inc. Secure manufacturing devices in a switched Ethernet network
US7546601B2 (en) * 2004-08-10 2009-06-09 International Business Machines Corporation Apparatus, system, and method for automatically discovering and grouping resources used by a business process
US7630955B2 (en) * 2004-08-10 2009-12-08 International Business Machines Corporation Apparatus, system, and method for analyzing the association of a resource to a business process
US7661135B2 (en) * 2004-08-10 2010-02-09 International Business Machines Corporation Apparatus, system, and method for gathering trace data indicative of resource activity
US7725708B2 (en) * 2004-10-07 2010-05-25 Genband Inc. Methods and systems for automatic denial of service protection in an IP device
US8407778B2 (en) 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
CN100433715C (zh) * 2005-08-19 2008-11-12 华为技术有限公司 给数据流提供不同的服务质量策略的方法
CN100433009C (zh) * 2005-11-24 2008-11-12 华为技术有限公司 静态范围匹配表的管理维护方法
CN100386762C (zh) * 2006-03-02 2008-05-07 华为技术有限公司 动态范围匹配表维护方法
US20070271362A1 (en) * 2006-05-18 2007-11-22 Yehuda Bamnolker Implementation of reflexive access control lists on distributed platforms
US7861291B2 (en) * 2006-06-02 2010-12-28 Freescale Semiconductor, Inc. System and method for implementing ACLs using standard LPM engine
US8700771B1 (en) * 2006-06-26 2014-04-15 Cisco Technology, Inc. System and method for caching access rights
CN101146027B (zh) * 2006-09-14 2010-08-18 中兴通讯股份有限公司 基于访问控制列表分类的方法
CN101068178B (zh) * 2007-06-08 2010-12-01 华为技术有限公司 使用、管理mac地址表的方法、系统、及搜索引擎
CN101355499B (zh) * 2008-09-02 2011-06-22 中兴通讯股份有限公司 一种访问控制列表业务处理装置及方法
US9894093B2 (en) 2009-04-21 2018-02-13 Bandura, Llc Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US8468220B2 (en) 2009-04-21 2013-06-18 Techguard Security Llc Methods of structuring data, pre-compiled exception list engines, and network appliances
US8488489B2 (en) * 2009-06-16 2013-07-16 Lsi Corporation Scalable packet-switch
US8700751B2 (en) * 2009-07-24 2014-04-15 Cisco Technology, Inc. Optimizing fibre channel zoneset configuration and activation
US8345688B2 (en) * 2010-02-23 2013-01-01 Google Inc. System and method for managing flow of packets
US8750144B1 (en) * 2010-10-20 2014-06-10 Google Inc. System and method for reducing required memory updates
CN102508813B (zh) * 2011-10-11 2013-07-31 盛科网络(苏州)有限公司 单接口芯片及应用该芯片实现芯片与多tcam之间数据传输的方法
US9130885B1 (en) * 2012-09-11 2015-09-08 Mellanox Technologies Ltd. End-to-end cache for network elements
US9411908B2 (en) * 2013-01-30 2016-08-09 Marvell Israel (M.I.S.L) Ltd. Architecture for TCAM sharing
US9529612B2 (en) 2013-03-18 2016-12-27 International Business Machines Corporation Scalable policy assignment in an edge virtual bridging (EVB) environment
US9535728B2 (en) 2013-03-18 2017-01-03 International Business Machines Corporation Scalable policy management in an edge virtual bridging (EVB) environment
CN105227463B (zh) * 2014-06-13 2018-09-04 杭州迪普科技股份有限公司 一种分布式设备中业务板间的通信方法
CN104092678B (zh) * 2014-07-02 2018-12-25 新华三技术有限公司 一种访问控制列表的配置方法和装置
US9584429B2 (en) 2014-07-21 2017-02-28 Mellanox Technologies Ltd. Credit based flow control for long-haul links
CN107800627B (zh) * 2016-09-06 2021-04-06 中兴通讯股份有限公司 三态内容寻址存储器tcam表的写入方法及装置
US10530712B2 (en) 2016-12-09 2020-01-07 Cisco Technology, Inc. Handling reflexive ACLs with virtual port-channel
US10397116B1 (en) * 2017-05-05 2019-08-27 Amazon Technologies, Inc. Access control based on range-matching
US11483313B2 (en) * 2018-06-28 2022-10-25 Intel Corporation Technologies for updating an access control list table without causing disruption
US10951549B2 (en) 2019-03-07 2021-03-16 Mellanox Technologies Tlv Ltd. Reusing switch ports for external buffer network
US11588821B1 (en) 2020-03-13 2023-02-21 Adtran, Inc. Systems and methods for access control list (ACL) filtering
CN111654491A (zh) * 2020-05-29 2020-09-11 新华三信息安全技术有限公司 一种acl共享方法、装置、设备及机器可读存储介质
US11658976B2 (en) * 2021-01-27 2023-05-23 Arista Networks, Inc. Captive portal redirection and network access restriction of device using a single access control list
US11558316B2 (en) 2021-02-15 2023-01-17 Mellanox Technologies, Ltd. Zero-copy buffering of traffic of long-haul links
US11973696B2 (en) 2022-01-31 2024-04-30 Mellanox Technologies, Ltd. Allocation of shared reserve memory to queues in a network device
US11979292B1 (en) * 2022-12-14 2024-05-07 Ca, Inc. Virtual network interface management for network functions using network definitions

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1051469A (ja) * 1996-08-02 1998-02-20 Nec Corp Atmスイッチ
JPH11308228A (ja) * 1998-04-20 1999-11-05 Nec Corp Atmネットワーク通信システムおよびそのアドレス情報記憶方法と記録媒体
JP2000244574A (ja) * 1999-02-24 2000-09-08 Hitachi Ltd ネットワーク中継装置及びネットワーク中継方法
JP2000349851A (ja) * 1999-06-02 2000-12-15 Fujitsu Ltd パケット転送装置
JP2001156831A (ja) * 1999-11-29 2001-06-08 Mitsubishi Electric Corp 電子メールシステム
JP2001184290A (ja) * 1999-12-27 2001-07-06 Nec Corp Ip網サービス管理のためのサービス指向dit構成を記録したコンピュータ読み取り可能な記録媒体

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6377577B1 (en) 1998-06-30 2002-04-23 Cisco Technology, Inc. Access control list processing in hardware
US6600744B1 (en) * 1999-03-23 2003-07-29 Alcatel Canada Inc. Method and apparatus for packet classification in a data communication system
US6535879B1 (en) * 2000-02-18 2003-03-18 Netscape Communications Corporation Access control via properties system
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US7028098B2 (en) * 2001-07-20 2006-04-11 Nokia, Inc. Selective routing of data flows using a TCAM
US20030067874A1 (en) 2001-10-10 2003-04-10 See Michael B. Central policy based traffic management
US7133914B1 (en) * 2001-10-31 2006-11-07 Cisco Technology, Inc. Statistics-preserving ACL flattening system and method
CN1414757A (zh) * 2002-05-08 2003-04-30 华为技术有限公司 自动按序配置访问控制列表规则的方法及其应用
US7225263B1 (en) * 2002-12-04 2007-05-29 Cisco Technology, Inc. Method and apparatus for retrieving access control information
US7366830B1 (en) * 2005-09-01 2008-04-29 Netlogic Microsystems, Inc. Row expansion reduction by inversion for range representation in ternary content addressable memories

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1051469A (ja) * 1996-08-02 1998-02-20 Nec Corp Atmスイッチ
JPH11308228A (ja) * 1998-04-20 1999-11-05 Nec Corp Atmネットワーク通信システムおよびそのアドレス情報記憶方法と記録媒体
JP2000244574A (ja) * 1999-02-24 2000-09-08 Hitachi Ltd ネットワーク中継装置及びネットワーク中継方法
JP2000349851A (ja) * 1999-06-02 2000-12-15 Fujitsu Ltd パケット転送装置
JP2001156831A (ja) * 1999-11-29 2001-06-08 Mitsubishi Electric Corp 電子メールシステム
JP2001184290A (ja) * 1999-12-27 2001-07-06 Nec Corp Ip網サービス管理のためのサービス指向dit構成を記録したコンピュータ読み取り可能な記録媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8223756B2 (en) 2006-08-04 2012-07-17 Fujitsu Limited Network device and computer product

Also Published As

Publication number Publication date
DE602004011721D1 (de) 2008-03-27
EP1523138A3 (en) 2005-04-20
US20050076138A1 (en) 2005-04-07
EP1523138B1 (en) 2008-02-13
EP1523138A2 (en) 2005-04-13
ATE386389T1 (de) 2008-03-15
CN1606294A (zh) 2005-04-13
US7509674B2 (en) 2009-03-24
CN1606294B (zh) 2012-04-04
DE602004011721T2 (de) 2009-02-19

Similar Documents

Publication Publication Date Title
US7509674B2 (en) Access control listing mechanism for routers
US6988106B2 (en) Strong and searching a hierarchy of items of particular use with IP security policies and security associations
US7525958B2 (en) Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing
EP1779605B1 (en) Forwarding database in a network switch device
US20080198853A1 (en) Apparatus for implementing actions based on packet classification and lookup results
US7149214B2 (en) Dynamic unknown L2 flooding control with MAC limits
US6886073B2 (en) Method and system for performing range rule testing in a ternary content addressable memory
US20070028039A1 (en) Controlling a searchable range within a network search engine
US6529897B1 (en) Method and system for testing filter rules using caching and a tree structure
JP2005130489A5 (ja)
US7624226B1 (en) Network search engine (NSE) and method for performing interval location using prefix matching
US7739445B1 (en) Circuit, apparatus, and method for extracting multiple matching entries from a content addressable memory (CAM) device
CN105760411B (zh) 混合通配符匹配表
CN110557335A (zh) 三态内容寻址存储器tcam表项处理方法及装置
EP2898640B1 (en) Ultra low latency multi-protocol network device
US20120134360A1 (en) Device and method for processing network packet
US7177313B2 (en) Method and system for converting ranges into overlapping prefixes for a longest prefix match
CN106487769A (zh) 一种访问控制列表acl的实现方法及装置
US20050262294A1 (en) Method for policy matching using a hybrid TCAM and memory-based scheme
JP2007166513A (ja) 通信処理装置及び通信処理方法
US7240149B1 (en) Multiple branch operations in an associative memory
US20090100219A1 (en) Method and apparatus for efficient cam lookup for internet protocol addresses
US7411956B2 (en) Methods and apparatus for routing packets
US11316828B2 (en) Networking sub-ranges
US7610440B2 (en) Content addressable memory with automated learning

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070928

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100212

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100513

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100831