JP2007267051A - パケット受信回路 - Google Patents

パケット受信回路 Download PDF

Info

Publication number
JP2007267051A
JP2007267051A JP2006089703A JP2006089703A JP2007267051A JP 2007267051 A JP2007267051 A JP 2007267051A JP 2006089703 A JP2006089703 A JP 2006089703A JP 2006089703 A JP2006089703 A JP 2006089703A JP 2007267051 A JP2007267051 A JP 2007267051A
Authority
JP
Japan
Prior art keywords
packet
fragment
circuit
reassembly
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006089703A
Other languages
English (en)
Inventor
Toshiki Komori
敏樹 小森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Engineering Ltd
Original Assignee
NEC Engineering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Engineering Ltd filed Critical NEC Engineering Ltd
Priority to JP2006089703A priority Critical patent/JP2007267051A/ja
Publication of JP2007267051A publication Critical patent/JP2007267051A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】異常に大量のFragmentパケットに基づくメモリの枯渇とバックプレッシャを回避する。
【解決手段】Fragmentパケットのリアセンブル処理回路2の前段にセレクタ1を設け、Non-Fragmentパケットはリアセンブル処理回路をバイパスすることで、リアセンブル処理回路2のメモリ枯渇による影響を受けずに受信動作が行える。また、リアセンブル処理回路2のセグメント管理テーブルに受信パケットカウンタを備え、更に閾値レジスタを設けて、閾値を超えるパケットは不正攻撃パタンと判定して廃棄する。セレクタ1はパケット多重化回路3からのバックプレッシャのみをパケット発信元へ出力する。
【選択図】図1

Description

本発明は、パケット受信回路、特に、交換器・レイヤ3スイッチ、ルータなどの通信装置における大量のフラグメント(Fragment)パケットによる攻撃を防御するパケット受信回路に関する。
通信経路間で転送されるパケット長が、ある通信経路間で規定されているパケット長より長い場合、複数のパケットに分割される。この分割されたFragmentパケットは、組み立て機能(リアセンブル機能)を実装している、交換機,レイヤ2,3スイッチ,ルータなどの通信装置におけるリアセンブル処理回路で元のパケットに組み立てられる。
図8は、このようなリアセンブル処理のイメージを示す(文献公知発明に係るものではない)。到着したFragmentパケットは、IP-Fragmentの場合、IPヘッダのMF(More Fragment)ビットが「0」の場合のFO(Fragment Offset)情報でリアセンブル後のパケット長を決定し、そのパケット長分のデータの到着管理を行っている。図8では、Fragmentパケットに対するFO情報「a」によって、そのFragmentパケットの格納位置が指定され、その格納位置からパケット長のデータが未到着セグメントに宛がわれることを示している。
図9は上記のようなリアセンブル処理を行う従来のリアセンブル処理回路の詳細を示す。この回路では、到着したパケットはリアセンブルメモリ7に格納され、その管理がセグメント管理テーブル6によってセグメント毎に行なわれる。セグメント管理テーブル6では、IP-Fragmentパケットの場合、送信元IPアドレス(IP-SA),宛先IPアドレス(IP-DA)およびID(IP-ID)によって、リアセンブルすべきFragmentパケット(同一セグメントのパケット)であることを区別し、到着管理(到着または未到着の管理)とリアセンブルメモリ6に格納したパケットのポインタを管理する。図9では、セグメントαのパケットa,bと、セグメントβのパケットc,d,eがリアセンブルメモリ7に格納されている状態下において、セグメントβのパケットfを受信し、リアセンブルメモリ7に格納しようとしている状態を示している。
セグメント管理テーブル6にて、全てのFragmentパケットが揃ったと判断された場合、パケットはリアセンブル完了として出力される。一方、Fragmentパケットの一部が中継経路の途中で消失した場合の対策として、タイマー監視機能を設け、タイムアウト処理を行うことで、同一セグメント内のパケットを廃棄することで、リアセンブルメモリ7内のFragmentパケットの滞留を防いでいる。
また、パケット受付け時にパケットを構成するセル数だけカウント数を上昇させるカウンタ装置を設け、パケットの先頭のセルが到着した際、カウント数と当該パケット構成するセル数の和がバッファの閾値以下の場合は当該パケットを受け付けてバッファに転送し、カウント数と当該パケット構成するセル数の和がバッファの閾値を超えた場合には当該パケットの受付を拒否し、先頭セルおよび当該パケットを構成する後続セルを全ては廃棄し、カウント数を変化させないようにした技術が知られている(例えば、特許文献1参照)。
特開平09-214501号公報(第1頁、図3)
しかしながら、上述した従来技術(図8,図9)では、同一セグメントに属するFragmentパケットの数に規定は設けられておらず、また、Fragment Offsetが同じパケットについても制限は設けられていないため、Fragment Offsetを操作して、全Packetが揃わないようにパケットを送信するような攻撃パタンでは、タイマーでタイムアウトされるまでは、パケットを受信し続けてしまいリアセンブルメモリが枯渇する。または、不正な攻撃パタンによってリアセンブルメモリが枯渇する場合であっても、バックプレッシャが作動し正常パケットの受信動作に支障をきたすという問題点がある。
図10は、Fragment Offsetが同じ値のパケットを受信し続けている例を示す。タイムアウト値を短縮すると、正常処理も廃棄対象となる可能性が出てくるため、タイムアウト間隔の短縮は解決法とはできない。一方、同一セグメント内に限らず、通信経路の途中で、Fragmentパケットの一部が消失するようなケースが連続で発生した場合も、攻撃パタンでは無いにせよ、タイムアウト処理が実行されるまでは、リアセンブルメモリ内にパケットを滞留するためメモリ枯渇の要因となる。通信経路では殆どの場合において、FragmentパケットよりもFragmentされてないパケット(Non-Fragmentパケット)の割合が高いが、上記のケースの場合、Non-Fragmentパケットの受信動作も停止してしまう。
また、特許文献1記載の技術では、FragmentパケットとNon-Fragmentパケットの別を問わず、一律にセルの受付と受付拒否を行なうため、不正なフラグメントパケットの大量送信による攻撃によって、Non-Fragmentパケットが不当に受付拒否されてしまうという問題点がある。
そこで、本発明の目的は、Fragmentパケットの大量送信による攻撃によって引き起こされるメモリ枯渇や正常パケットの受信処理の妨害を回避することができるパケット受信回路を提供することにある。
本発明のパケット受信回路は、受信するパケットがFragmentパケットか否かの判定処理を行うFragmentセレクタ回路(図1の1)と、判定処理の結果によりFragmentパケットと判定されたパケットがFragmentセレクタ回路から送付されると、リアセンブルメモリに格納し、全パケットの到着を待って元のパケットにリアセンブルするリアセンブル処理回路(図1の2)と、判定処理の結果によりNon-Fragmentパケットと判定されたパケットがFragmentセレクタ回路からリアセンブル処理回路をバイパスして送付されると、リアセンブル処理回路から送付されるFragmentパケットとNon-Fragmentパケットの入力に対する送信調停処理を行い、後段のモジュールにパケットを出力するパケット多重回路(図1の3)を有することを特徴とする。
また、Fragmentセレクタ回路(図1の1)は、パケット多重回路を経由して後段モジュールからのバックプレッシャ信号を受けるとパケット発信元へ出力し、リアセンブル処理回路(図1の2)はバックプレッシャ信号をFragmentセレクタ回路へ出力しないことを特徴とする。
すなわち、リアセンブル処理回路(図1の2)の前段にFragmentセレクタ回路(図1の1)を設けて、FragmentパケットとNon-Fragmentパケットを分離し、Fragmentパケットのみをリアセンブル処理回路へ入力させると共に、バックプレッシャのパケット発信元への接続をNon-Fragmentパケットからのもののみとするのである。
具体的には、Fragmentセレクタ回路(図1の1)は、受信されたパケットをそのまま逐次入力するヘッダ解析用バッファ(図2の4)と、ヘッダ解析用バッファに入力されたパケットのIPヘッダ情報を解析し、DFレコードがFragmentを禁止し、またはMFレコードが次パケットの不存在を示し、かつFOレコードが先頭パケットであることを示している場合はNon-Fragmentパケットと判定してパケット多重化回路へ、その他の場合はFragmentパケットと判定してリアセンブル処理回路へそれぞれ送付する送信先セレクタ回路(図2の5)を備える。
また、リアセンブル処理回路(図1の2)は、Fragmentセレクタ回路から入力されたFragmentパケットを格納するリアセンブルメモリ(図4の7)と、リアセンブルメモリに格納されたFragmentパケットの属するセグメント毎に、格納されたFragmentパケットの数をカウントするパケットカウンタが設けられたセグメント管理テーブル(図4の6)と、カウンタのカウント値に対する閾値が設定される閾値レジスタ(図4の8)を備え、カウント値が閾値を超えると、リアセンブルメモリに格納されている当該セグメントのFragmentパケットを廃棄すると共に、セグメント管理テーブルのレコードも抹消する。
本発明の第1の効果は、Fragmentセレクタ回路を設けて、受信したパケットをFragmentパケットとNon-Fragmentパケットに分離し、Fragmentパケットのみをリアセンブル処理回路へ送付することとしたため、ネットワーク内でFragmentパケットよりも大多数の割合を占めるNon-Fragmentパケットの入力によってリアセンブルメモリが枯渇するのを回避することができるということである。
本発明の第2の効果は、Fragmentパケットを処理するリアセンブル処理回路からはバックプレッシャ信号を出力しないこととしたため、リアセンブル処理回路内で、攻撃やエラーによって欠如したパケットが大量に溜まるといった理由でメモリが枯渇した場合でも、受信処理が制限される範囲をFragmentパケットに制限できるため、Fragmentパケットを利用した攻撃の影響を受けることなく受信可能になるということである。
本発明の第3の効果は、セグメント管理テーブルにパケットカウンタを設けて同一セグメントとして受信したパケット数を把握し、パケットカウンタのカウント値に対する閾値を設定する構成としたため、閾値により攻撃パケットか否かの判断基準を設け、これを超えたセグメントはセグメント管理テーブルとリアセンブルメモリから削除して同一セグメントにリアセンブル処理が実行できないようにして、Fragmentパケットを連続で送信する攻撃を防ぎ後段モジュールからのバックプレッシャ信号の頻度を低減することが可能になるということである。
[構成の説明]
次に、本発明の実施の形態について図面を参照して詳細に説明する。図1は、本発明のパケット受信回路のブロック図を示す。このパケット受信回路は、Fragmentセレクタ回路1,リアセンブル処理回路2およびパケット多重回路3で構成されている。
Fragmentセレクタ回路1は、Fragmentパケットか否かの判定処理を行う。その結果、Fragmentパケットと判定されたパケットは後段のリアセンブル処理回路2に送付され、リアセンブル処理回路2にて、Fragmentパケットのリアセンブル処理を行う。すなわち、Fragmentパケットはリアセンブルメモリに格納され、全パケットの到着を待って、元のパケットにリアセンブル後、パケット多重回路3に送付される。
一方、Non-Fragmentパケットと判定されたパケットは、リアセンブル処理回路2をバイパスし、パケット多重回路3に送付される。パケット多重回路3は、FragmentパケットとNon-Fragmentパケットの入力に対する送信調停処理を行い、後段のモジュールにパケットを出力する。後段のモジュールは、パケットの受信が集中して処理が追いつかなくなると、パケット多重回路3へバックプレッシャ(back pressure)信号を出力する
バックプレッシャ信号はFragmentセレクタ回路1とリアセンブル処理回路2に入力し、Fragmentセレクタ回路1はバックプレッシャ信号をパケットの送信元へ転送することによってパケットの送信を中止させる。一方、リアセンブル処理回路2はバックプレッシャ信号を出力することはない。これはリアセンブルメモリが枯渇した場合であっても同様である。
図2は、Fragmentセレクタ回路1の詳細を示す。Fragmentセレクタ回路1はヘッダ解析用バッファ4と送信先セレクタ回路5を備える。ヘッダ解析用バッファ4は受信されたパケットをそのまま逐次入力する。これは、Fragmentパケットか否かを判断する識別子が、パケットの先頭にあるとは限らないからであり、IP-Fragmentの場合は、IPヘッダ内に該当する情報が格納されているため、送信先が確定するまでの間、IPヘッダを読み込んでヘッダ解析用バッファ4に滞留しておく必要があるからである。
Fragmentパケットか否かの判定は、IP-Fragmentの場合は、具体的にはIPヘッダのDFレコード(Don’t Fragment),MFレコード(More Fragment)およびFOレコード(Fragment Offset)により行う。その判定処理のフローチャートを図3に示す。判定結果は送信先セレクタ回路5に入力し、送信先セレクタ回路5は、Fragmentパケットならリアセンブル処理回路2、Non-Fragmentパケットならパケット多重化回路3へパケットを送付する。
IPヘッダの内のDFレコードはFragmentの許否を表示し、DFレコードの値が「0」なら許可、「1」なら禁止を示す。また、MFレコードは後続のパケットの存否を表示し、MFレコードの値が「0」なら不存在、「1」なら存在を示す。また、FOレコードはパケットのセグメントにおける位置を表示し、FOレコードの値が「0」なら先頭のパケット、「1」なら後続のパケットを示す。
図3において、先ず、DFレコードの値が「1」ならNon-Fragmentパケットと判定される(図3のステップS1)。DFレコードの値が「0」なら、更にMFレコードの値とFOレコードの値が問われ、共に「0」ならNon-Fragmentパケット、いずれかが「1」ならFragmentパケットと判定される(図3のステップS2)。共に「0」ということは、先頭パケット、かつ最終パケットであることを意味し、これはNon-Fragmentパケットということになるからである。
図4は、リアセンブル処理回路2の詳細を示す。この回路は、セグメント管理テーブル6,リアセンブルメモリ7および閾値レジスタ8を備える。リアセンブルメモリ7は、Fragmentセレクタ回路1から入力されたFragmentパケットを格納し、その管理がセグメント管理テーブル6によってセグメント毎に行なわれる。すなわち、Fragmentセレクタ回路1を設けたことによって、Non-Fragmentパケットはリアセンブル処理回路2をバイパスしてパケット多重化回路3に送付されるので、リアセンブルメモリ7が格納されることはない。これにより、リアセンブルメモリ7の枯渇を低減することができる。
セグメント管理テーブル6は、リアセンブルメモリ7に格納されたパケットの属するセグメント毎に、送信元IPアドレス(IP-SA),宛先IPアドレス(IP-DA),ID(IP-ID),パケット到着管理,パケット格納先ポインタ管理およびパケットカウンタのフィールドから成るレコードを有する。パケット到着管理とは、セグメントが到着しているか未到着であるかの管理であり、パケットカウンタはFragmentパケットの到着毎にカウントアップする。
閾値レジスタ8はパケットカウンタに対する所定の閾値を保持する。閾値は任意の値に設定可能であり、図4では「4」とされている。全セグメントのパケットカウンタは閾値レジスタ8に設定される閾値に服する。すなわち、いずれのセグメントにおいても、パケットカウンタのカウント値が閾値を超えると同一セグメントとしてリアセンブル中であるFragmentパケットを廃棄する。また、当該セグメントのレコードも抹消する。これにより、異常に細切れな不正Fragmentパケットに基づいて加速されるリアセンブルメモリ7の枯渇と、パケット多重回路3への不正Fragmentパケットの送付、ひいては後段モジュールからのバックプレッシャ信号の発生を回避することができる。
閾値の現実的な設定値の例としては、IP-Fragmentの場合、FOが8Byte単位なので、最大パケット長が1514Byteの環境では、制御ヘッダを除いた最大実データ長が1460Byteとなり、1460/8=182.5 → 183という値が設定される。
送信元IPアドレス(IP-SA),宛先IPアドレス(IP-DA)およびID(IP-ID)によって、リアセンブルすべきFragmentパケット(同一セグメントのパケット)であることを区別し、到着管理とリアセンブルメモリ7に格納したパケットのポインタを管理する。図4では、セグメントαのパケットa,bと、セグメントβのパケットc,d,eがリアセンブルメモリ6に格納されている状態を示している。従って、セグメントαのカウント値は「2」、セグメントβのカウント値は「3」であるため、閾値レジスタ6の閾値「4」を超えておらず、まだ廃棄されることはない。セグメント管理テーブル6にて、全てのFragmentパケットが揃ったと判断された場合、パケットはリアセンブル完了としてパケット多重回路3へ出力される。
図5は、図4に示したような状態下において、セグメントβに属するFragmentパケットfを受信し、リアセンブルメモリ7に格納しようとしている状態を示す。Fragmentパケットfを受信すると、セグメント管理テーブルのセグメントβのパケットカウンタをカウントアップし、リアセンブルメモリ7にFragmentパケットfを格納する。ここで、閾値レジスタ8に設定されている閾値「4」と同値になったため、セグメント管理テーブルのセグメントβに対するレコードと、該当するリアセンブルメモリ7内のFragmentパケットc〜fを削除する。削除後の状態を図6に示す。
図7は、図1の内でバックプレッシャ信号の伝達ルートを強調して示す。後段モジュールからのバックプレッシャ信号はリアセンブル処理回路2にも入力されるが、そこからFragmentセレクタ回路1へは出力されない。また、リアセンブルメモリ枯渇時であってもリアセンブル処理回路2がバックプレッシャ信号を出力することはない。すなわち、Fragmentセレクタ回路1は、後段モジュールからパケット多重化回路3を経由するバックプレッシャ信号のみを受け入れた出力する。これによって、リアセンブルメモリ枯渇時にもFragmentセレクタ回路1自体にバックプレッシャ信号が入力されないため、Non-Fragmentパケットに関しては受信動作が可能である。
なお、以上の説明では、Fragmentパケットのリアセンブル処理を回路にて実現することを前提として記述しているが、ソフトウェアで制御するようにしてもよい。
また、IP-Fragmentに限らず、再構築を必要とするデータと再構築を必要としないデータが混在されて入力する制御装置や、悪意のあるユーザーに再構築を必要とするデータを入力される虞のある通信装置などにも本発明を適用することが可能である。
本発明のパケット受信回路のブロック図 Fragmentセレクタ回路1の詳細図 Fragmentセレクタ回路におけるFragmentパケット判定処理のフローチャート リアセンブル処理回路2の詳細図 リアセンブル処理回路2におけるパケットカウント追加の状態を示す図 図5の状態からセグメントβを削除した後の状態を示す図 図1の内でバックプレッシャ信号の伝達ルートを強調して示下図 一般的なリアセンブル処理のイメージを示す図 従来のリアセンブル処理回路の詳細図 Fragment Offsetが同じ値のパケットを受信し続けている例を示す図
符号の説明
1 Fragmentセレクタ回路
2 リアセンブル処理回路
3 パケット多重化回路
4 ヘッダ解析用バッファ
5 送信先セレクタ回路
6 セグメント管理テーブル
7 リアセンブルメモリ
8 閾値レジスタ


Claims (4)

  1. 受信するパケットがFragmentパケットか否かの判定処理を行うFragmentセレクタ回路と、
    前記判定処理の結果によりFragmentパケットと判定されたパケットが前記Fragmentセレクタ回路から送付されると、リアセンブルメモリに格納し、全パケットの到着を待って元のパケットにリアセンブルするリアセンブル処理回路と、
    前記判定処理の結果によりNon-Fragmentパケットと判定されたパケットが前記Fragmentセレクタ回路から前記リアセンブル処理回路をバイパスして送付されると、前記リアセンブル処理回路から送付されるFragmentパケットとNon-Fragmentパケットの入力に対する送信調停処理を行い、後段のモジュールにパケットを出力するパケット多重回路を有することを特徴とするパケット受信回路。
  2. 前記Fragmentセレクタ回路は、前記パケット多重回路を経由して前記後段モジュールからのバックプレッシャ信号を受けるとパケット発信元へ出力し、前記リアセンブル処理回路はバックプレッシャ信号を前記Fragmentセレクタ回路へ出力しないことを特徴とする請求項1記載のパケット受信回路。
  3. 前記Fragmentセレクタ回路は、
    受信されたパケットをそのまま逐次入力するヘッダ解析用バッファと、
    前記ヘッダ解析用バッファに入力されたパケットのIPヘッダ情報を解析し、DFレコードがFragmentを禁止し、またはMFレコードが次パケットの不存在を示し、かつFOレコードが先頭パケットであることを示している場合はNon-Fragmentパケットと判定して前記パケット多重化回路3へ、その他の場合はFragmentパケットと判定して前記リアセンブル処理回路へそれぞれ送付する送信先セレクタ回路を備えることを特徴とする請求項1または請求項2記載のパケット受信回路。
  4. 前記リアセンブル処理回路は、
    前記Fragmentセレクタ回路から入力されたFragmentパケットを格納するリアセンブルメモリと、
    前記リアセンブルメモリに格納されたFragmentパケットの属するセグメント毎に、格納されたFragmentパケットの数をカウントするパケットカウンタが設けられたセグメント管理テーブルと、
    前記カウンタのカウント値に対する閾値が設定される閾値レジスタを備え、
    前記カウント値が前記閾値を超えると、前記リアセンブルメモリに格納されている当該セグメントのFragmentパケットを廃棄すると共に、前記セグメント管理テーブルのレコードも抹消することを特徴とする請求項1ないし請求項3のいずれかに記載のパケット受信回路。
JP2006089703A 2006-03-29 2006-03-29 パケット受信回路 Pending JP2007267051A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006089703A JP2007267051A (ja) 2006-03-29 2006-03-29 パケット受信回路

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006089703A JP2007267051A (ja) 2006-03-29 2006-03-29 パケット受信回路

Publications (1)

Publication Number Publication Date
JP2007267051A true JP2007267051A (ja) 2007-10-11

Family

ID=38639591

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006089703A Pending JP2007267051A (ja) 2006-03-29 2006-03-29 パケット受信回路

Country Status (1)

Country Link
JP (1) JP2007267051A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008136176A (ja) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品
JP2010045767A (ja) * 2008-07-18 2010-02-25 Canon Inc ネットワーク処理装置及びその処理方法
JP2013150259A (ja) * 2012-01-23 2013-08-01 Fujitsu Telecom Networks Ltd フレーム伝送システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008136176A (ja) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品
JP2010045767A (ja) * 2008-07-18 2010-02-25 Canon Inc ネットワーク処理装置及びその処理方法
JP2013150259A (ja) * 2012-01-23 2013-08-01 Fujitsu Telecom Networks Ltd フレーム伝送システム
US9124499B2 (en) 2012-01-23 2015-09-01 Fujitsu Telecom Networks Limited Frame transmission system

Similar Documents

Publication Publication Date Title
US7620693B1 (en) System and method for tracking infiniband RDMA read responses
US7609636B1 (en) System and method for infiniband receive flow control with combined buffering of virtual lanes and queue pairs
US7991007B2 (en) Method and apparatus for hardware packets reassembly in constrained networks
US8665875B2 (en) Pipelined packet switching and queuing architecture
US7327749B1 (en) Combined buffering of infiniband virtual lanes and queue pairs
CN102047618B (zh) 网络处理器单元和用于网络处理器单元的方法
JP5497564B2 (ja) セッションアクティブチェッカを有する並列パケットプロセッサ
US7843816B1 (en) Systems and methods for limiting low priority traffic from blocking high priority traffic
US6731644B1 (en) Flexible DMA engine for packet header modification
US6778546B1 (en) High-speed hardware implementation of MDRR algorithm over a large number of queues
US6721316B1 (en) Flexible engine and data structure for packet header processing
US6813243B1 (en) High-speed hardware implementation of red congestion control algorithm
CN101291194B (zh) 报文保序的方法和系统
US7486689B1 (en) System and method for mapping InfiniBand communications to an external port, with combined buffering of virtual lanes and queue pairs
US8462804B2 (en) Self-cleaning mechanism for error recovery
JP5932409B2 (ja) Tcp接続を検査するためのメタデータキャプチャ
US20090185582A1 (en) Unified data packet for encapsulating data packets having diverse formats
US7200105B1 (en) Systems and methods for point of ingress traceback of a network attack
US7342934B1 (en) System and method for interleaving infiniband sends and RDMA read responses in a single receive queue
US20040131069A1 (en) Virtual output queue (VoQ) management method and apparatus
JP2007267051A (ja) パケット受信回路
EP1177658B1 (en) Communications network
CN1692609B (zh) 以太网(r)中的帧转发方法及节点
US10742602B2 (en) Intrusion prevention
US7337371B2 (en) Method and apparatus to handle parity errors in flow control channels