JP2023036647A - パケット処理方法及び装置、及び、関連するデバイス - Google Patents

パケット処理方法及び装置、及び、関連するデバイス Download PDF

Info

Publication number
JP2023036647A
JP2023036647A JP2022196008A JP2022196008A JP2023036647A JP 2023036647 A JP2023036647 A JP 2023036647A JP 2022196008 A JP2022196008 A JP 2022196008A JP 2022196008 A JP2022196008 A JP 2022196008A JP 2023036647 A JP2023036647 A JP 2023036647A
Authority
JP
Japan
Prior art keywords
address
packet
autonomous domain
flow filtering
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022196008A
Other languages
English (en)
Inventor
ウー,ホーン
Hong Wu
ジュウ,ジエンボー
Jianbo Zhu
ツァオ,ゥルイチーン
Ruiqing Cao
リー,ジェンビン
Zhenbin Li
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2023036647A publication Critical patent/JP2023036647A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/44Distributed routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】パケット処理方法及び装置及び記憶媒体を提供する。【解決手段】方法は、第1のデバイスが、フローフィルタリングルールを生成するステップを含む。フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む。方法はまた、第1のデバイスが、第2のデバイスに、フローフィルタリングルールを送信するステップを含む。動作項目は、動作項目が示すパケット処理モードに基づいて一致項目と一致するパケットを処理するように第2のデバイスに指示するために使用される。【選択図】図5

Description

[関連出願への相互参照]
この出願は、2018年8月30日付で中国国家知的財産管理局に出願された"パケット処理方法及び装置、及び、関連するデバイス"と題する中国特許出願第号に基づく優先権を主張し、その内容は、その全体が参照により本明細書に組み込まれる。
[技術分野]
この出願は、ネットワーク通信の分野に関し、特に、パケット処理方法及び装置、及び関連するデバイスに関する。
ネットワーク通信プロセスにおいて、パケットは、ルータ又はスイッチ等の転送デバイスによって転送されてもよい。例えば、ルータがパケットを受信した後に、そのルータは、ソースインターネットプロトコル(Internet Protocol, IP)アドレス及び宛先IPアドレス等のそのパケットに関する情報に基づいて、ルーティング及び転送テーブル(forwarding information base, FIB)を検索して、そのパケットに対応する次のホップ情報を決定し、そして、他のルータ、端末、又はサーバ等の対応するネットワークデバイスにそのパケットを転送してもよい。一方で、転送デバイスは、ネットワークリソースに依存して、パケット転送を実行する。ネットワークリソースは、例えば、転送デバイスの帯域幅、バッファスペース、及び処理能力を含む。必要とされるネットワークリソースが現時点で利用可能なネットワークリソースを超えているときに、ネットワーク輻輳が生起する場合がある。したがって、転送デバイスのフローは、ネットワーク輻輳を回避するように制御されてもよい。
フロー制御を実装するために、制御デバイスは、転送デバイスのフローを分析して、フローフィルタリングルールを取得し、そして、その次に、転送デバイスにフローフィルタリングルールを配信してもよい。転送デバイスは、フローフィルタリングルールにしたがってパケットを処理し、例えば、パケットをリダイレクトし又はパケットを廃棄して、フロー制御を実装する。従来の方式においては、制御デバイスは、通信のために転送デバイスを使用するネットワークデバイスの各々の対のために1つのフローフィルタリングルールを構成する。大きな数のネットワークデバイスが存在するときには、大きな数のフローフィルタリングルールが構成され、それによって、制御デバイスから転送デバイスへのフローフィルタリングルールの配信のために、より多くのネットワークリソースを占有する必要があり、さらに、転送デバイスは、また、大きな数の記憶リソースを占有する。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、大きな数のフローフィルタリングルールの配信のために大量のネットワークリソースを占有するという問題を解決する。
この出願のある1つの実施形態は、パケット処理方法を提供し、当該方法は、第1のデバイスに適用され、特に、以下のステップを含む。前記第1のデバイスは、最初に、フローフィルタリングルールを生成し、そして、その次に、第2のデバイスに前記フローフィルタリングルールを送信し、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される。第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを設定してもよい。第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよい。
すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスは集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。例えば、一致項目の中のIPアドレスが、受信したパケットのソースIPアドレスであるときに、自律ドメインは、受信したパケットの宛先アドレスに対応するデバイスが属している自律ドメインであり、それによって、その自律ドメインの中の複数のネットワークデバイスのすべてについて1つのフィルタリングルールのみを生成する必要があるにすぎない。もはや、その自律ドメインの中の各々のデバイスについて、個別のフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースを減少させる。
選択的に、IPアドレスは、パケットのソースIPアドレスであってもよい。それに対応して、自律ドメイン識別子は、そのパケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。代替的に、IPアドレスは、パケットの宛先IPアドレスであってもよい。それに対応して、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。自律ドメイン識別子は、複数の異なる自律ドメインを区別するのに使用される。例えば、チャイナテレコムの自律ドメイン識別子は、AS1000であってもよく、チャイナモバイルの自律ドメイン識別子は、AS2000であってもよい。
選択的に、自律ドメイン識別子は、第2のデバイスが属している自律ドメインの識別子である。ソースIPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合に、フローフィルタリングルールが生成されるときは、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、ソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。宛先IPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合には、また、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。
この出願のある1つの実施形態は、さらに、パケット処理方法を提供し、当該方法は、第2のデバイスに適用され、特に、以下のステップを含む。前記第2のデバイスが、第1のデバイスが送信するフローフィルタリングルールを受信するステップであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ステップと、前記第2のデバイスが、パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するステップであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、ステップと、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスが、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するステップと、を含む。
この出願の実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスが集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。例えば、一致項目の中のIPアドレスが、受信したパケットの宛先IPアドレスであるときに、その自律ドメインは、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインであり、それによって、自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフィルタリングルールのみを生成する必要があるにすぎない。もはや、その自律ドメインの中の各々のデバイスについて、個別のフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、第2のデバイスの中に格納されているフィルタリングルールの数を大幅に減少させ、それにより、第2のデバイスの記憶リソースを節約する。
選択的に、第1のアドレスは、パケットの宛先IPアドレスであってもよく、それに対応して、第2のアドレスは、パケットのソースIPアドレスである。代替的に、第1のアドレスは、パケットのソースIPアドレスであってもよく、それに対応して、第2のアドレスは、パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
パケットの破棄は、パケットが転送されず、そのパケットが削除されるということを意味する。パケットのリダイレクトは、パケットに対応する次のホップの情報を変更して、パケットの転送経路及びネットワークにおける制御フローを変更するということを意味する。パケットにマークを付けることは、フロー統計情報の収集等のその後の処理のためにパケットに印をつけるということを意味する。
選択的に、当該方法は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するステップをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応する。アクセス制御リストは、一般的に、小さな数の文字を格納することが可能であるので、文字の数が小さな自律ドメインインデックスは、自律ドメイン識別子の代わりに、アクセス制御リストの中に格納され、自律ドメインインデックスと自律ドメイン識別子との間のマッピング関係を確立することが可能であり、それによって、自律ドメイン識別子に基づいて、以降に自律ドメインインデックスを発見することが可能である。
その次に、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスが、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理する前記ステップは、
前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記第2のデバイスが、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するステップを含む。
この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第1のデバイスの中で使用され、
フローフィルタリングルールを生成するように構成されるルール生成ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ルール生成ユニットと、
第2のデバイスに前記フローフィルタリングルールを送信するように構成されるルール送信ユニットであって、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される、ルール送信ユニットと、を含む。
選択的に、前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記自律ドメイン識別子は、前記第2のデバイスが属している自律ドメインの識別子である。
この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第2のデバイスの中で使用され、
第1のデバイスが送信するフローフィルタリングルールを受信するように構成されるルール受信ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ルール受信ユニットと、
パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するように構成されるパケット受信ユニットであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、パケット受信ユニットと、
前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するように構成されるパケット処理ユニットと、を含む。
選択的に、前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである。
選択的に、前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
選択的に、当該装置は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するように構成されるリスト生成ユニットをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応し、
前記パケット処理ユニットは、特に、前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するように構成される。
この出願のある1つの実施形態は、さらに、パケット処理デバイスを提供し、当該デバイスは、第1のデバイスであり、前記第1のデバイスは、記憶ユニット、処理ユニット、及び通信ユニットを含み、
前記記憶ユニットは、命令を格納するように構成され、
前記処理ユニットは、前記記憶ユニットの中の前記命令を実行して、前記第1のデバイスに適用される上記のパケット処理方法を実行するように構成され、
前記通信ユニットは、第2のデバイスと通信するように構成される。
この出願のある1つの実施形態は、さらに、パケット処理デバイスを提供し、当該デバイスは、第2のデバイスであり、前記第2のデバイスは、記憶ユニット、処理ユニット、及び通信ユニットを含み、
前記記憶ユニットは、命令を格納するように構成され、
前記処理ユニットは、前記記憶ユニットの中の前記命令を実行して、前記第2のデバイスに適用される上記のパケット処理方法を実行するように構成され、
前記通信ユニットは、第1のデバイスと通信するように構成される。
この出願のある1つの実施形態は、さらに、コンピュータ読み取り可能な記憶媒体を提供し、当該コンピュータ読み取り可能な記憶媒体は、命令を格納し、そして、前記命令がコンピュータによって実行されるときに、前記コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、命令を含むコンピュータプログラム製品を提供し、当該コンピュータプログラム製品が、コンピュータによって実行されるときに、前記コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、パケット処理システムを提供し、当該パケット処理システムは、上記の第1のデバイス及び第2のデバイスを含む。
この出願のある1つの実施形態にしたがった転送デバイスの概略的な図である。 この出願のある1つの実施形態にしたがったフロー制御システムの概略的な図である。 この出願のある1つの実施形態にしたがったパケット処理システムの構造的なブロック図である。 この出願のある1つの実施形態にしたがったパケット処理方法のフローチャートである。 この出願のある1つの実施形態にしたがった他のパケット処理方法のフローチャートである。 この出願のある1つの実施形態にしたがったパケットの概略的な図である。 従来技術におけるルーティング及び転送エントリの概略的な図である。 この出願のある1つの実施形態にしたがったルーティング及び転送エントリの概略的な図である。 この出願のある1つの実施形態にしたがったアクセス制御エントリの概略的な図である。 この出願のある1つの実施形態にしたがったパケット処理装置の構造的なブロック図である。 この出願のある1つの実施形態にしたがった他のパケット処理装置の構造的なブロック図である。 この出願のある1つの実施形態にしたがったパケット処理デバイスのハードウェアアーキテクチャの図である。 この出願のある1つの実施形態にしたがった他のパケット処理デバイスのハードウェアアーキテクチャの図である。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、各々の転送デバイスが大きな数のフローフィルタリングルールを配信するという問題を解決するとともに、ネットワークリソースの浪費を減少させる。
この出願の明細書、特許請求の範囲、及び添付の図面において、(存在する場合には)"第1の"、"第2の"、"第3の"、及び"第4の"等の語は、複数の同様の対象物を判別することを意図しているが、必ずしも、ある特定の順番又は順序を示すものではない。そのような方法で表現されるデータは、適切な状況においては、交換可能となっており、それによって、本明細書において説明されている本発明の複数の実施形態は、本明細書において図示され又は説明されている順番以外の順番で実装されてもよいということを理解すべきである。加えて、"含む"及び"包含する"の語、及びあらゆる他の派生語は、例えば、ステップ又はユニットのリストを含むプロセス、方法、システム、製品、又はデバイスは、必ずしも、明確に列挙されているステップ又はユニットに限定されないが、明示的には列挙されていないか又はそれらのプロセス、方法、システム、製品、又はデバイスに固有ではない他のステップ又はユニットを含んでもよい、といったように、非排他的な包含を対象とすることを意味する。
従来の技術においては、パケットは転送デバイスによって転送されてもよい。パケットを受信した後に、転送デバイスは、ルーティング及び転送テーブルに基づいて、パケットに対応する次のホップの情報を決定し、そして、他の対応するネットワークデバイスにパケットを転送してもよい。例えば、図1を参照すると、第1のユーザ101及び第2のユーザ102は、転送デバイス103にパケットを送信してもよく、転送デバイス103は、第1のデバイス104、第2のデバイス105、第3のデバイス106、及び第4のデバイス107に、受信したパケットを転送する。第1のデバイス104のアドレスは、第1のアドレスであり、第2のデバイス105のアドレスは、第2のアドレスであり、第3のデバイス106のアドレスは、第3のアドレスであり、第4のデバイス107のアドレスは、第4のアドレスである。
しかしながら、転送デバイスは、転送デバイスの帯域幅、バッファスペース、及び処理能力等のパケット転送のためのネットワークリソースに依存する。必要とされるネットワークリソースが現時点で利用可能なネットワークリソースを超える場合に、ネットワーク輻輳が生起する場合がある。例えば、不正なユーザは、クライアント又はサーバを使用することによって、分散型サービス妨害(distributed denial of service, DDOS)による攻撃を開始することが可能である、すなわち、複数のコンピュータを攻撃プラットフォームとして組み合わせて、1つ又は複数のターゲットに対してDDOS攻撃を開始し、それによって、ネットワークは輻輳し、ターゲットデバイスに対する通常のサービス動作に影響を与え、攻撃目的を達成する。
ネットワークが輻輳するのを効果的に防止するために、転送デバイスに対して、フロー制御を実行してもよい。具体的には、転送デバイスのフローを分析して、フローフィルタリングルールを取得してもよく、フローフィルタリングルールは、転送デバイスに対して発行される。転送デバイスは、フローフィルタリングルールにしたがってパケットを処理し、例えば、パケットをリダイレクトし又は廃棄して、フロー制御を実装する。
例えば、図2は、この出願のある1つの実施形態にしたがったフロー制御システムの概略的な図である。転送デバイス103のフローは、制御デバイス108によって分析されて、フローフィルタリングルールを取得してもよく、フローフィルタリングルールは、転送デバイス103に対して発行される。転送デバイス103は、フローフィルタリングルールにしたがって、受信したパケットを処理してもよい。
しかしながら、一般的に、あるネットワークの中には大きな数のネットワークデバイスが存在する。したがって、転送デバイスを通じて通信を実行する複数のネットワークデバイスの各々の対について、1つのフローフィルタリングルールを構成する必要がある。大きな数のネットワークデバイスが存在するときに、大きな数のフローフィルタリングルールが構成され、そして、各々の転送デバイスについてフロー制御を実装することが可能であるように、生成された大きな数のフローフィルタリングルールが、各々の転送デバイスに配信される。結果として、大きな数のネットワークリソースが占有される。
例えば、図2を参照すると、第1のユーザ101は、転送デバイス103を介して第1のデバイス104にパケットを送信することが可能であり、それに対して、1つのフローフィルタリングルールを構成してもよく、例えば、そのフィルタリングルールの中の一致項目は、第1のユーザのIPアドレス及び第1のIPアドレスを含む。第2のユーザ102は、転送デバイス103を介して第1のデバイス104にパケットを送信することが可能であり、それに対応して、1つのフローフィルタリングルールを構成してもよく、例えば、そのフィルタリングルールの中の一致項目は、第2のユーザのIPアドレス及び第1のIPアドレスを含む。したがって、図2に示されている2つのユーザ及び4つのIPアドレスについて、8つのフローフィルタリングルールを構成する必要がある。同様に、mのユーザがソースIPアドレスを有するとともに、n個のIPアドレスにアクセスし、そして、ネットワークが宛先IPアドレスを有する場合に、n個のIPアドレスにアクセスするmのユーザのフローを制御するために、m個のソースIPアドレス及びn個の宛先IPアドレスに基づいて、m×n個のフローフィルタリングルールを生成する必要がある。それらのm×nのフローフィルタリングルールは、各々の転送デバイスに分配され、それによって、転送デバイスは、受信したパケットに対して対応する処理を実行することが可能である。フィルタリングルール分配プロセスは、大きな数のネットワークリソースを占有し、大きな数の記憶リソースが、これらのフィルタリングルールを格納するために転送デバイスによって占有される。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、大きな数のフローフィルタリングルールが生成され及び配信されるために、ネットワークリソースが浪費されるという技術的問題を解決する。具体的には、第1のデバイスは、フローフィルタリングルールを生成し、第2のデバイスにそのフローフィルタリングルールを送信する。フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律システム(autonomous system, AS)識別子(identifier, ID)を含み、動作項目は、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理するように第2のデバイスに指示するのに使用される。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスを集約し、自律ドメイン識別子に基づいて、フローフィルタリングルールを生成する。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて1つのフローフィルタリングルールのみを生成する必要があり、もはや、従来技術におけるように自律ドメインの中の各々のネットワークデバイスについて1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、また、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースの数を減少させる。
図3は、この出願のある1つの実施形態にしたがったシステムのフレームワークの概略的な図である。システムは、第1のデバイス100、第2のデバイス200、送信デバイス300、及び受信デバイス400を含む。第1のデバイス100は、第2のデバイス200に接続され、送信デバイス300及び受信デバイス400の双方は、第2のデバイス200に接続される。
第1のデバイス100は、ソフトウェア定義ネットワーク(software defined network, SDN)の中のコントローラであってもよく、或いは、ネットワーク管理デバイス、サーバ、端末、又はルータ等の他のデバイスであってもよく、サーバは、例えば、ボーダーゲートウェイプロトコル(border gateway protocol, BGP)フロー仕様サーバ(flow specification server)である。第1のデバイス100は、フローフィルタリングルールを生成するように構成され、フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律ドメイン識別子を含み、フローフィルタリングルールの中の動作項目は、動作項目が示すパケット処理モードにしたがって、一致項目に対応するパケットを処理するように第2のデバイスに指示するのに使用されてもよい。
第2のデバイス200は、ルータ又はスイッチ等の転送デバイスであってもよく、送信デバイス300から受信デバイス400に受信パケットを送信するように構成される。送信デバイス300及び受信デバイス400の各々は、端末、サーバ、又はユーザに接続されるデバイスであってもよい。
第2のデバイス200は、第1のデバイス100が送信するフローフィルタリングルールを受信する。送信デバイス300が送信するパケットを受信した後に、第2のデバイス200は、そのパケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、ルーティング及び転送エントリは、自律ドメイン識別子を含む。パケットの第1のアドレスがフローフィルタリングルールの中のIPアドレスと一致し、ルーティング及び転送エントリの中の自律ドメイン識別子が、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、第2のデバイス200は、動作項目が示すパケット処理モードに基づいてパケットを処理する。
第1のアドレスは、パケットの宛先IPアドレスであってもよく、第2のアドレスは、パケットのソースIPアドレスであってもよい。代替的に、第1のアドレスは、パケットのソースIPアドレスであり、第2のアドレスは、パケットの宛先IPアドレスである。
例えば、フローフィルタリングルールの中の一致項目は、ソースIPアドレスIP-1、及び、宛先IPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子AS1000を含み、一致項目に対応する動作項目は、破棄することである。第2のデバイス200が、ソースIPアドレスがIP-1であり且つ宛先IPアドレスがIP-2であるパケットM1を受信する場合に、第2のデバイス200は、宛先IPアドレスに基づいて、ルーティング及び転送テーブルを探索して、宛先IPアドレスに対応するルーティング及び転送エントリを取得してもよく、ルーティング及び転送エントリは、宛先IPアドレスIP-2及び宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を含む。宛先IPアドレスIP-2に対応する自律ドメイン識別子が、AS1000であり、且つ、パケットM1のソースIPアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、且つ、双方ともIP-1であることから、そのパケットは、フローフィルタリングルールの中の一致項目と一致していると考えられ、第2のデバイス200は、対応する動作項目が示すパケット処理モードに基づいて、パケットM1を破棄してもよい。
理解を容易にするために、以下でこの出願のそれらの複数の実施形態を詳細に説明する。
図4は、この出願のある1つの実施形態にしたがったパケット処理方法のフローチャートである。その方法は、第1のデバイスに適用されてもよく、以下のステップを含む。
S101. フローフィルタリングルールを生成する。
第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを設定してもよい。
フローフィルタリングルールは、マッチングをとりそしてパケットを処理するように第2のデバイスに指示するのに使用されるルールであり、一致項目及び動作項目を含んでもよい。一致項目は、IPアドレス及び自律ドメイン識別子を含んでもよい。具体的には、IPアドレスがパケットのソースIPアドレスである場合には、自律ドメイン識別子は、パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子であり、又は、IPアドレスがパケットの宛先IPアドレスである場合には、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子である。自律ドメイン識別子は、複数の異なる自律ドメインを判別するのに使用される。例えば、チャイナテレコムの自律ドメイン識別子は、AS1000であってもよく、チャイナモバイルの自律ドメイン識別子は、AS2000であってもよい。
第1のデバイスがフローフィルタリングルールを生成することを可能とするために、第1のデバイスは、第2のデバイスが受信するパケットに関する情報を取得してもよく、そのパケット情報は、パケットのソースIPアドレス及び宛先IPアドレスを含む。加えて、第1のデバイスは、ソースIPアドレス又は宛先IPアドレスに対応する自律ドメイン識別子を取得する必要がある。ソースIPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合に、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、そのソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。宛先IPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合には、また、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。すなわち、この場合には、一致項目の中の自律ドメイン識別子は、第2のデバイスが属している自律ドメインの自律ドメイン識別子である。一方で、第2のデバイスが、ソースIPアドレスに対応するデバイスが属している自律ドメイン又は宛先IPアドレスに対応するデバイスが属している自律ドメインとは無関係である場合には、例えば、ソースIPアドレス又は宛先IPアドレスに基づいて、第1のデバイスにおいて、対応する自律ドメイン識別子を直接的に構成する必要があるといったように、他の方法を使用して、自律ドメイン識別子を取得する必要がある。
この出願のこの実施形態においては、生成されるフローフィルタリングルールの数を減少させるという目的は、自律ドメイン識別子に基づくソースIPアドレス又は宛先IPアドレスのクラスタリングによって達成される。
例えば、mのユーザがn個のIPアドレスにアクセスする場合に、従来技術においては、m×n個のフローフィルタリングルールを生成して、フロー制御を実装する必要がある。これに対して、n個のIPアドレスが同じ自律ドメインに属し、n個のIPアドレスの自律ドメイン識別子がAである場合には、m×1個のフローフィルタリングルールを生成する必要があり、各々のフローフィルタリングルールの中の一致項目は、自律ドメイン識別子A及びそれらのmのユーザのうちの1つのユーザのIPアドレスを含み、それにより、フローフィルタリングルールの数を効果的に減少させる。
図2を参照すると、第1のIPアドレス104及び第2のIPアドレス105が、第1の自律ドメインに属している場合に、一致項目は、第1のユーザ101のIPアドレス及び第1の自律ドメインの識別子を含んでもよく、一致項目は、転送デバイス103を介して第1のIPアドレス104及び/又は第2のIPアドレス105にアクセスすることによって、第1のユーザ101が生成するパケットのマッチングをとるのに使用されてもよい。第3のIPアドレス106及び第4のIPアドレス107が、第2の自律ドメインに属している場合に、一致項目は、第1のユーザ101のIPアドレス及び第2の自律ドメインの識別子を含んでもよく、一致項目は、転送デバイス103を介して第3のIPアドレス106及び/又は第4のIPアドレス107にアクセスすることによって、第1のユーザ101が生成するパケットのマッチングをとるのに使用される。したがって、第1の自律ドメインにアクセスする2つのユーザについて、2つのフローフィルタリングルールを生成してもよく、第2の自律ドメインにアクセスする2つのユーザについて、2つのフローフィルタリングルールを生成してもよい。
同様に、mのユーザが同じ自律ドメインに属し、且つ、それらの自律ドメイン識別子がBである場合には、1×n個のフローフィルタリングルールを生成してもよく、各々のフローフィルタリングルールの中の一致項目は、自律ドメイン識別子B及びn個のIPアドレスのうちの1つを含む。また、従来技術と比較して、フローフィルタリングルールの数を効果的に減少させることが可能である。
さらに、IPアドレス及び自律ドメイン識別子のほかに、一致項目は、また、IPプロトコル、ソースポート、宛先ポート、インターネット制御メッセージプロトコル(internet control message protocol, ICMP)タイプ、ICMPコード、伝送制御プロトコル(transmission control protocol, TCP)フラグ、パケット長、及び差分サービスコードポイント(differentiated services code point, DSCP)のうちの1つ又は複数等のパケットに関する他の情報も含んでもよい。
フローフィルタリングルールの中の動作項目は、一致項目に対応し、動作項目が示すパケット処理モードに基づいて、一致項目に一致するパケットを処理することを指示するのに使用される。動作項目は、パケットの破棄、パケットのリダイレクト、及びパケットにマークを付けることを含んでもよい。パケットの破棄は、パケットが転送されず、そのパケットが削除されるということを意味する。パケットのリダイレクトは、パケットに対応する次のホップの情報を変更して、そのパケットの転送経路を変更し、そして、ネットワークにおけるフローを制御するということを意味する。パケットにマークを付けることは、フロー統計情報の収集等のその後の処理のためにパケットに印をつけるということを意味する。
S102. 第2のデバイスにフローフィルタリングルールを送信する。
第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよい。第1のデバイスは、第2のデバイスに、一致項目及び動作項目を有するフローフィルタリングルールを送信してもよく、それによって、第2のデバイスは、そのパケットに対してマッチングを実行する。パケットが一致項目と一致するときは、第2のデバイスは、その一致項目に対応する動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。
生成されるフローフィルタリングルールの数が比較的小さいので、第1のデバイスは、第2のデバイスに小さな数のフローフィルタリングルールを送信し、それにより、ネットワークリソースを節約するとともに、第2のデバイスの記憶リソースを節約する。
この出願のこの実施形態によって提供されるパケット処理方法においては、第1のデバイスは、最初に、フローフィルタリングルールを生成し、その次に、第2のデバイスにフローフィルタリングルールを送信し、フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律ドメイン識別子を含み、動作項目は、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理するように第2のデバイスに指示するのに使用される。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスが集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフローフィルタリングルールを生成する必要があるのみであり、従来技術の場合のように、もはや、自律ドメインの中の複数のネットワークデバイスの各々について、1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、また、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースの数を減少させる。
図5は、この出願のある1つの実施形態にしたがった他のパケット処理方法のフローチャートである。その方法は、第2のデバイスに適用されてもよく、以下のステップを含む。
S201. 第1のデバイスが送信するフローフィルタリングルールを受信する。
上記で説明されているように、第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよく、第2のデバイスは、第1のデバイスが送信するフローフィルタリングルールを受信してもよい。第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを使用してもよい。
第2のデバイスが受信するフローフィルタリングルールは、一致項目及び動作項目を含んでもよく、一致項目は、IPアドレス及び自律ドメイン識別子を含んでもよい。具体的には、IPアドレスは、パケットのソースIPアドレスであってもよく、自律ドメイン識別子は、パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。代替的に、IPアドレスは、パケットの宛先IPアドレスであってもよく、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子であってもよい。
第1のデバイスは、比較的小さな数のフローフィルタリングルールを生成するので、第2のデバイスは、比較的小さな数のフローフィルタリングルールを受信する。例えば、フロー制御は、mのユーザがn個のIPアドレスにアクセスするときに実行され、mのユーザが同じ自律ドメインに属している場合に、第2のデバイスは、1×n個のフローフィルタリングルールを受信し、n個のIPアドレスが同じ自律ドメインに属している場合に、第2のデバイスは、m×1個のフローフィルタリングルールを受信する。
もちろん、一致項目は、また、IPプロトコル、ソースポート、宛先ポート、ICMPタイプ、ICMPコード、TCPフラグ、パケット長、及びDSCPのうちの1つ又は複数等のパケットに関する他の情報を含んでもよい。フローフィルタリングルールの中の動作項目は、一致項目に対応し、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理することを指示するのに使用される。動作項目は、パケットの破棄、パケットのリダイレクト、パケットにマークを付けることを含んでもよい。
S202. パケットを受信し、そして、パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定する。
図6に示されているように、第2のデバイスが受信するパケットは、ソースIPアドレス201、宛先IPアドレス202、及びデータ203を含む。ソースIPアドレス201は、パケットを生成するネットワークデバイスのアドレスであり、宛先IPアドレス202は、パケットを受信することが予想されるネットワークデバイスのアドレスである。通常、第2のデバイスは、パケットを転送する必要があるが、パケットに対してフロー制御を実行するときは、そのパケットに対して他の処理を実行する必要がある。
第2のデバイスの中にルーティング及び転送テーブルを格納してもよく、そのルーティング及び転送テーブルは、複数のルーティング及び転送エントリを含む。各々のルーティング及び転送エントリは、それに対応して、パケットの転送情報を格納する。図7は、パケットのソースIPアドレス301、パケットの宛先IPアドレス302、及び次のホップの情報303を含む従来技術におけるルーティング及び転送エントリの概略的な図である。したがって、第2のデバイスは、ソースIPアドレス及び宛先IPアドレス等のパケットに関する情報に基づいて、ルーティング及び転送テーブルを探索して、そのパケットに対応する次のホップの情報を決定し、そして、その次のホップの情報に基づいて、そのパケットを転送してもよい。
この出願のこの実施形態においては、ルーティング及び転送テーブルに自律ドメイン識別子を追加してもよい。具体的には、ソースIPアドレスが属している自律ドメインの識別子を追加してもよく、又は、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を追加してもよく、又は、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子及び宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子の双方を追加してもよい。図8は、この出願のある1つの実施形態にしたがったルーティング及び転送エントリの概略的な図であり、図8は、ソースIPアドレス301、ソースAS-ID304、宛先IPアドレス302、宛先AS-ID305、及びパケットの次のホップの情報303を含み、ソースAS-ID304は、ソースIPアドレス301が属している自律ドメインの識別子であり、宛先AS-ID305は、宛先IPアドレス302が属している自律ドメインの識別子である。
ルーティング及び転送エントリの中に、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子及び/又は宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を構成してもよい。
第2のデバイスが内部ゲートウェイプロトコルデバイス又はボーダーゲートウェイプロトコルデバイスである場合には、一般的に、第2のデバイスは、1つ又は複数の自律ドメイン識別子を格納する。具体的には、第2のデバイスが内部ゲートウェイプロトコルデバイスであり、ソースIPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスの中に格納されている自律ドメイン識別子は、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子であり、又は、第2のデバイスが内部ゲートウェイプロトコルデバイスであり、宛先IPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスの中に格納されている自律ドメイン識別子は、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。第2のデバイスがボーダーゲートウェイプロトコルデバイスである場合、すなわち、第2のデバイスがソースIPアドレスに対応するネットワークデバイスと同じ自律ドメインに属し、且つ、宛先IPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスは、少なくとも2つの自律ドメイン識別子を格納する。したがって、ソースIPアドレス及び宛先IPアドレスに基づいて、ルーティング及び転送テーブルに追加する自律ドメイン識別子を取得する必要がある。
パケットを受信した後に、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、そのエントリは、少なくとも第1のアドレス及び第1のアドレスが属している自律ドメインの識別子を含む。第1のアドレスは、パケットのソースIPアドレスであってもよく、第2のアドレスは、パケットの宛先IPアドレスであってもよい。それに対応して、第1のアドレスは、パケットの宛先IPアドレスであってもよく、第2のアドレスは、パケットのソースIPアドレスであってもよい。
S203. パケットの第2のアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、ルーティング及び転送エントリの中の自律ドメイン識別子が、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。
上記の説明から、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定することが可能であり、そのエントリは、第1のアドレス及びその第1のアドレスが属している自律ドメインの識別子、すなわち、第1のAS-IDを含むということを理解することが可能である。その次に、第2のデバイスは、パケットの第2のアドレスと第1のAS-IDとフローフィルタリングルールの中の一致項目との間でマッチングを実行してもよい。具体的には、第2のデバイスは、パケットの第2のアドレスがフローフィルタリングルールの中のIPアドレスと同じであるか否か、及び、第1のAS-IDがフローフィルタリングルールの中の自律ドメイン識別子と同じであるか否かを決定してもよい。パケットの第2のアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、且つ、第1のAS-IDがフローフィルタリングルールの中の自律ドメイン識別子と同じである場合には、そのパケットは、フローフィルタリングルールの一致項目と一致すると考えられる。この場合には、動作項目が示すパケット処理モードに基づいて、そのパケットを処理してもよい。動作項目は、パケットの破棄、パケットのリダイレクト、パケットにマークを付けること、を含んでもよい
例えば、フローフィルタリングルールの中の一致項目は、ソースIPアドレスIP-1、及び、宛先IPアドレスに対応するデバイスが属している自律ドメイン識別子AS1000を含んでもよく、一致項目に対応する動作項目は、破棄されてもよい。第2のデバイスが受信したパケットのソースIPアドレス及び宛先IPアドレスが、それぞれ、IP-1及びIP-2である場合には、宛先IPアドレスに基づいてルーティング及び転送テーブルを探索することによって、宛先IPアドレスに対応するルーティング及び転送エントリを取得することが可能であり、ルーティング及び転送エントリは、宛先IPアドレスIP-2、及び、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を含む、すなわち、第1のAS-IDは、AS1000である。したがって、パケットのソースIPアドレスは、フローフィルタリングルールの中のIPアドレスと同じであるということを決定することが可能である。加えて、ルーティング及び転送エントリに基づいて取得した第1のAS-IDが、フローフィルタリングルールの中の自律ドメイン識別子と同じである場合に、そのパケットが、フローフィルタリングルールの中の一致項目と一致し、そのパケットが、対応する動作項目が示すパケット処理モードに基づいて処理されると考えることが可能である。具体的には、パケットは、破棄されてもよい。
同様に、フローフィルタリングルールの中の一致項目は、宛先IPアドレスIP-2、及び、ソースIPアドレスに対応するデバイスが属している自律ドメイン識別子AS2000を含んでもよく、一致項目に対応する動作項目は、パケットのリダイレクトであってもよい。第2のデバイスが受信するパケットのソースIPアドレス及び宛先IPアドレスが、それぞれ、IP-1及びIP-2である場合に、フローフィルタリングルールのマッチングの原理にしたがって、ソースIPアドレスが第1のアドレスであり、宛先IPアドレスが第2のアドレスであるということを決定することが可能である。ソースIPアドレスに基づいてルーティング及び転送テーブルを探索することによって、ソースIPアドレスに対応するルーティング及び転送エントリを取得することが可能である。ルーティング及び転送エントリは、ソースIPアドレスIP-1、及び、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子を含む、すなわち、第1のAS-IDは、AS2000である。したがって、パケットの宛先IPアドレスは、フローフィルタリングルールのIPアドレスと同じであるということを決定することが可能である。加えて、ルーティング及び転送エントリに基づいて取得される第1のAS-IDが、フローフィルタリングルールの中の自律ドメイン識別子と同じである場合には、そのパケットが、フローフィルタリングルールの中の一致項目と一致し、そのパケットが、対応する動作項目が示すパケット処理モードに基づいて処理されると考えることが可能である。具体的には、パケットは、リダイレクトされてもよい。
フローフィルタリングルールに基づいてフロー制御を容易にするために、この出願のこの実施形態においては、フローフィルタリングルールにしたがって、アクセス制御リスト(access control list, ACL)を生成することが可能であり、アクセス制御リストは、一致項目及び動作項目を含んでもよい。図9は、この出願のある1つの実施形態にしたがったアクセス制御エントリの概略的な図である。一致項目は、IPアドレス401及び自律ドメインインデックス402を含んでもよく、それらのIPアドレス401及び自律ドメインインデックス402は、それぞれ、フローフィルタリングルールの中のIPアドレス及び自律ドメイン識別子に対応する。自律ドメインインデックスは、フローフィルタリングルールの中の自律ドメイン識別子に対応する。実際の適用の場合には、フローフィルタリングルールの中の自律ドメイン識別子と自律ドメインインデックスとの間のマッピング関係を確立してもよく、マッピング関係を満足するときに、両者は一致していると考えられる。自律ドメイン識別子及び自律ドメインインデックスは、同じであっても、異なっていてもよい。
したがって、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、そのエントリは、第1のアドレス、及び、第1のアドレスが属している自律ドメインの識別子、すなわち、第1のAS-IDを含む。その次に、第2のデバイスは、パケットの第2のアドレスとアクセス制御リストの中のIPアドレスとの間でマッチングを実行し、第1のAS-IDとアクセス制御リストの中の自律ドメインインデックスとの間でマッチングを実行してもよい。具体的には、第2のデバイスは、パケットの第2のアドレスが、アクセス制御リストの中のIPアドレスと同じであるか否か、及び、第1のAS-IDが、アクセス制御リストの中の自律ドメインインデックスと一致するか否かを決定してもよい。パケットの第2のアドレスが、アクセス制御リストの中のIPアドレスと同じであり、且つ、第1のAS-IDが、アクセス制御リストの中の自律ドメインインデックスと一致する場合には、そのパケットは、アクセス制御リストの中の一致項目と一致していると考えられる。この場合には、動作項目が示すパケット処理モードに基づいて、そのパケットを処理してもよい。
この出願のこの実施形態によって提供される他のパケット処理方法においては、第2のデバイスは、第1のデバイスが送信するフローフィルタリングルールを受信し、その一致項目は、IPアドレス及び自律ドメイン識別子を含む。自律ドメイン識別子は、複数の異なる自律ドメインを判別するのに使用されてもよく、1つの自律ドメインは、複数のネットワークデバイスに関する情報に対応する複数のネットワークデバイスを含んでもよい。第2のデバイスは、パケットを受信し、そのパケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定し、ルーティング及び転送エントリは、自律ドメイン識別子を含み、パケットの第2のアドレスは、フローフィルタリングルールの中のIPアドレスと同じであり、ルーティング及び転送エントリの中の自律ドメイン識別子は、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、第2のデバイスは、動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスは集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールを生成する。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフローフィルタリングルールのみを生成する必要があり、従来の技術におけるように、もはや、自律ドメインの中の複数のネットワークデバイスの各々について、1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させ、第1のデバイスは、比較的小さな数のフローフィルタリングルールに基づいて、受信したパケットに対してマッチングを実行し、そして、マッチングをとったパケットを処理することが可能であり、それにより、ネットワークリソースを節約する。
図10を参照すると、この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第1のデバイスの中で使用される。前記第1のデバイスは、図4又は図5に示されている実施形態における第1のデバイスの機能を実装してもよい。前記第1のデバイスは、ルール生成ユニット101及びルール送信ユニット102を含む。前記ルール生成ユニット101は、図4に示されている実施形態においてステップS101を実行するように構成され、前記ルール送信ユニット102は、図4に示されている実施形態においてステップS102を実行するように構成される。具体的には、
前記ルール生成ユニット101は、フローフィルタリングルールを生成するように構成され、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、
前記ルール送信ユニット102は、第2のデバイスに前記フローフィルタリングルールを送信するように構成され、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される。
選択的に、前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記自律ドメイン識別子は、前記第2のデバイスが属している自律ドメインの識別子である。
図11を参照すると、この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第2のデバイスの中で使用される。前記第2のデバイスは、図4又は図5に示されている実施形態における第2のデバイスの機能を実装してもよい。前記第2のデバイスは、ルール受信ユニット201、パケット受信ユニット202、及びパケット処理ユニット203を含む。前記ルール受信ユニット201は、図5に示されている実施形態におけるステップS201を実行するように構成され、前記パケット受信ユニット202は、図5に示されている実施形態におけるステップS202を実行するように構成され、前記パケット処理ユニット203は、図5に示されている実施形態におけるステップS203を実行するように構成される。具体的には、
前記ルール受信ユニット201は、第1のデバイスが送信するフローフィルタリングルールを受信するように構成され、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、
前記パケット受信ユニット202は、パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するように構成され、前記ルーティング及び転送エントリは、自律ドメイン識別子を含み、
前記パケット処理ユニット203は、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するように構成される。
選択的に、前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである。
選択的に、前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
選択的に、当該装置は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するように構成されるリスト生成ユニットをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応する。
前記パケット処理ユニットは、特に、前記第2のデバイスが、前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するように構成される。
図12を参照すると、この出願のある1つの実施形態は、さらに、第1のパケット処理デバイス300を提供し、そのデバイスは、第1のデバイスである。デバイス300は、図4又は図5に示されている実施形態における第1のデバイスの機能を実装してもよい。そのデバイスは、記憶ユニット301、処理ユニット302、及び通信ユニット303を含む。
前記記憶ユニット301は、命令を格納するように構成される。
前記処理ユニット302は、前記記憶ユニット301の中の前記命令を実行して、図4又は図5に示されている実施形態における第1のデバイスに適用される上記のパケット処理方法を実行するように構成される。
前記通信ユニット303は、第2のデバイスと通信するように構成される。
記憶ユニット301、処理ユニット302、及び通信ユニット303は、バス304を使用することによって相互に接続される。バス304は、周辺機器構成要素相互接続(peripheral component interconnect, 略称:PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, 略称:EISA)バス等であってもよい。バスは、アドレスバス、データバス、及び制御バス等に分類されてもよい。表現を容易にするために、1つのみの太線を使用して、図12におけるバスを表現するが、このことは、1つのみのバスが存在する、又は、1つのタイプのバスのみが存在するということを意味するものではない。
図13を参照すると、この出願のある1つの実施形態は、さらに、第2のパケット処理デバイス400を提供する。そのデバイス400は、図4又は図5に示されている実施形態における第2のデバイスの機能を実装してもよく、そのデバイスは、第2のデバイスである。第2のデバイスは、記憶ユニット401、処理ユニット402、及び通信ユニット403を含む。
前記記憶ユニット401は、命令を格納するように構成される。
前記処理ユニット402は、前記記憶ユニット401の中の前記命令を実行して、図4又は図5に示されている実施形態における第2のデバイスに適用される上記のパケット処理方法を実行するように構成される。
前記通信ユニット403は、第1のデバイスと通信するように構成される。
記憶ユニット401、処理ユニット402、及び通信ユニット403は、バス404を使用することによって相互に接続される。バス404は、周辺機器構成要素相互接続(peripheral component interconnect, 略称:PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, 略称:EISA)バス等であってもよい。バスは、アドレスバス、データバス、及び制御バス等に分類されてもよい。表現を容易にするために、1つのみの太線を使用して、図13におけるバスを表現するが、このことは、1つのみのバスが存在する、又は、1つのタイプのバスのみが存在するということを意味するものではない。
記憶ユニット301及び記憶ユニット401の各々は、ランダムアクセスメモリ(random-access memory, RAM)、フラッシュメモリ(flash)、読み取り専用メモリ(read only memory, ROM)、消去可能な且つプログラム可能な読み取り専用メモリ(erasable programmable read only memory, EPROM)、電気的に消去可能な且つプログラム可能な読み取り専用メモリ(electrically erasable programmable read only memory, EEPROM)、レジスタ(register)、ハードディスク、取り外し可能なハードディスク、CD-ROM、又は当業者に知られているいずれかの他の形態の記憶媒体であってもよい。
処理ユニット302及び処理ユニット402の各々は、中央処理ユニット(central processing unit, CPU)、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application-specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)、又は、他のプログラム可能な論理デバイス、トランジスタ論理デバイス、ハードウェア構成要素、又はそれらのいずれかの組み合わせであってもよい。処理ユニットは、この出願によって開示されている内容を参照して説明されているさまざまな例示的な論理ブロック、モジュール、及び回路を実装し又は実行することが可能である。代替的に、プロセッサは、例えば、1つ又は複数のマイクロプロセッサの組み合わせ或いはDSP及びマイクロプロセッサの組み合わせ等の計算機能を実装するプロセッサの組み合わせであってもよい。
通信ユニット303及び通信ユニット403の各々は、例えば、インターフェイスカードであってもよく、或いは、イーサネット(ethernet)インターフェイス又は非同期転送モード(asynchronous transfer mode, ATM)インターフェイスであってもよい。
本発明のある1つの実施形態は、パケット処理システムを提供し、そのシステムは、上記の方法の実施形態におけるパケット処理方法を実装するように構成される。そのシステムは、図10に示されている実施形態における第1のデバイス及び図11に示されている実施形態における第2のデバイスを含むか、或いは、そのシステムは、図12に示されている実施形態における第1のデバイス及び図13に示されている実施形態における第2のデバイスを含む。
この出願のある1つの実施形態は、さらに、コンピュータ読み取り可能な記憶媒体を提供し、そのコンピュータ読み取り可能な記憶媒体は、命令を含み、命令がコンピュータによって実行されるときに、そのコンピュータは、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、命令を含むコンピュータプログラム製品を提供し、そのコンピュータプログラム製品が、コンピュータによって実行されるときに、コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
利便性及び説明の簡単さの目的で、上記のシステム、装置、及びユニットの詳細な動作プロセスについては、上記の方法の実施形態における対応するプロセスを参照すべきであるということを当業者は明確に理解することが可能である。本明細書においては、詳細は繰り返しては説明されない。
この出願によって提供される複数の実施形態のうちのいくつかにおいては、他の方式によって、開示されているシステム、装置、及び方法を実装することが可能であるということを理解すべきである。例えば、説明されている装置の実施形態は、ある1つの例であるにすぎない。例えば、ユニットの分割は、論理的な機能の分割であるにすぎず、実際の実装の際には他の分割方式が存在してもよい。例えば、複数のユニット又は複数の構成要素を組み合わせ又は一体化して、他のシステムとしてもよく、或いは、複数の特徴のうちのいくつかを無視し又は実行しなくてもよい。加えて、いくつかのインターフェイスによって、示され又は説明されている相互の結合、直接的な結合、又は通信接続を実装してもよい。電気的な形態、機械的な形態、又は他の形態によって、複数の装置又は複数のユニットの間の非直接的な結合又は通信接続を実装してもよい。
個別の部分として説明されているユニットは、物理的に分離されていてもよく、又は、物理的に分離されていなくてもよく、複数のユニットとして示される部品は、複数の物理的なユニットであってもよく、又は、複数の物理的なユニットでなくてもよく、すなわち、1つの場所に位置していてもよく、又は複数のネットワークユニットに分散されていてもよい。実際の要件に基づいて、ユニットの一部又はすべてを選択して、それらの複数の実施形態の解決方法の目的を達成してもよい。
加えて、この出願のそれらの複数の実施形態における複数の機能ユニットを一体化して、1つの処理ユニットとしてもよく、或いは、それらの複数のユニットの各々は、物理的に単独で存在してもよく、又は、2つ又はそれ以上のユニットを一体化して、1つのユニットとしてもよい。上記の一体化されたユニットは、ハードウェアの形態で実装されてもよく、又は、ソフトウェア機能ユニットの形態で実装されてもよい。
一体化されたユニットが、ソフトウェア機能ユニットの形態で実装され、独立した製品として販売され又は使用されるときに、その一体化されたユニットは、コンピュータ読み取り可能な記憶媒体の中に格納されてもよい。そのような理解に基づいて、この出願の複数の技術的解決方法は、本質的に、或いは、先行技術に対して寄与する部分、又は、それらの複数の技術的解決方法のすべて又は一部は、ソフトウェア製品の形態で実装されてもよい。コンピュータソフトウェア製品は、記憶媒体の中に格納され、複数の命令を含み、それらの複数の命令は、この出願のそれらの複数の実施形態において説明される方法の複数のステップのうちのすべて又は一部を実行するように、(パーソナルコンピュータ、サーバ、又はネットワークデバイス等であってもよい)コンピュータデバイスに指示する。上記の記憶媒体は、USBフラッシュドライブ、取り外し可能なハードディスク、読み取り専用メモリ(ROM, Read-Only Memory)、ランダムアクセスメモリ(RAM, Random Access Memory)、磁気ディスク、又は光ディスク等のプログラムコードを格納することが可能であるいずれかの媒体を含む。
当業者は、上記の1つ又は複数の例において、ハードウェア、ソフトウェア、ファームウェア、又はそれらのいずれかの組み合わせによって、本発明によって説明される複数の機能を実装してもよいということを認識するはずである。本発明がソフトウェアによって実装されるときに、上記の機能は、コンピュータ読み取り可能な媒体の中に格納されてもよく、又は、コンピュータ読み取り可能な媒体の中の1つ又は複数の命令又はコードとして送信されてもよい。コンピュータ読み取り可能媒体は、コンピュータ記憶媒体及び通信媒体を含み、通信媒体は、一方の場所から他方の場所へとコンピュータプログラムを送信することを可能とするいずれかの媒体を含み、記憶媒体は、汎用コンピュータ又は専用コンピュータにアクセス可能ないずれかの利用可能な媒体であってもよい。
上記の複数の具体的な実装において、本発明の目的、技術的解決方法、及び有益な効果をさらに詳細に説明している。上記の説明は、本発明の特定の実装であるにすぎないということを理解すべきである。
結論として、上記の複数の実施形態は、この出願の複数の技術的解決方法を説明することを意図しているにすぎず、この出願を限定することを意図するものではない。この出願は、上記の複数の実施形態を参照して詳細に説明されているが、当業者は、上記の複数の実施形態において説明されている技術的解決方法をさらに修正することが可能であり、又は、それらの複数の技術的特徴のうちのいくつかの技術的特徴を同等に置き換えることが可能であるということを理解するはずである。一方で、これらの修正又は置換は、対応する技術的解決策の本質を、この出願の複数の実施形態における複数の技術的解決方法の範囲から離れるようにさせるものではない。
[関連出願への相互参照]
この出願は、2018年8月30日付で中国国家知的財産管理局に出願された"パケット処理方法及び装置、及び、関連するデバイス"と題する中国特許出願第201811004608.6号に基づく優先権を主張し、その内容は、その全体が参照により本明細書に組み込まれる。
[技術分野]
この出願は、ネットワーク通信の分野に関し、特に、パケット処理方法及び装置、及び関連するデバイスに関する。
ネットワーク通信プロセスにおいて、パケットは、ルータ又はスイッチ等の転送デバイスによって転送されてもよい。例えば、ルータがパケットを受信した後に、そのルータは、ソースインターネットプロトコル(Internet Protocol, IP)アドレス及び宛先IPアドレス等のそのパケットに関する情報に基づいて、ルーティング及び転送テーブル(forwarding information base, FIB)を検索して、そのパケットに対応する次のホップ情報を決定し、そして、他のルータ、端末、又はサーバ等の対応するネットワークデバイスにそのパケットを転送してもよい。一方で、転送デバイスは、ネットワークリソースに依存して、パケット転送を実行する。ネットワークリソースは、例えば、転送デバイスの帯域幅、バッファスペース、及び処理能力を含む。必要とされるネットワークリソースが現時点で利用可能なネットワークリソースを超えているときに、ネットワーク輻輳が生起する場合がある。したがって、転送デバイスのフローは、ネットワーク輻輳を回避するように制御されてもよい。
フロー制御を実装するために、制御デバイスは、転送デバイスのフローを分析して、フローフィルタリングルールを取得し、そして、その次に、転送デバイスにフローフィルタリングルールを配信してもよい。転送デバイスは、フローフィルタリングルールにしたがってパケットを処理し、例えば、パケットをリダイレクトし又はパケットを廃棄して、フロー制御を実装する。従来の方式においては、制御デバイスは、通信のために転送デバイスを使用するネットワークデバイスの各々の対のために1つのフローフィルタリングルールを構成する。大きな数のネットワークデバイスが存在するときには、大きな数のフローフィルタリングルールが構成され、それによって、制御デバイスから転送デバイスへのフローフィルタリングルールの配信のために、より多くのネットワークリソースを占有する必要があり、さらに、転送デバイスは、また、大きな数の記憶リソースを占有する。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、大きな数のフローフィルタリングルールの配信のために大量のネットワークリソースを占有するという問題を解決する。
この出願のある1つの実施形態は、パケット処理方法を提供し、当該方法は、第1のデバイスに適用され、特に、以下のステップを含む。前記第1のデバイスは、最初に、フローフィルタリングルールを生成し、そして、その次に、第2のデバイスに前記フローフィルタリングルールを送信し、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される。第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを設定してもよい。第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよい。
すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスは集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。例えば、一致項目の中のIPアドレスが、受信したパケットのソースIPアドレスであるときに、自律ドメインは、受信したパケットの宛先アドレスに対応するデバイスが属している自律ドメインであり、それによって、その自律ドメインの中の複数のネットワークデバイスのすべてについて1つのフィルタリングルールのみを生成する必要があるにすぎない。もはや、その自律ドメインの中の各々のデバイスについて、個別のフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースを減少させる。
選択的に、IPアドレスは、パケットのソースIPアドレスであってもよい。それに対応して、自律ドメイン識別子は、そのパケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。代替的に、IPアドレスは、パケットの宛先IPアドレスであってもよい。それに対応して、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。自律ドメイン識別子は、複数の異なる自律ドメインを区別するのに使用される。例えば、チャイナテレコムの自律ドメイン識別子は、AS1000であってもよく、チャイナモバイルの自律ドメイン識別子は、AS2000であってもよい。
選択的に、自律ドメイン識別子は、第2のデバイスが属している自律ドメインの識別子である。ソースIPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合に、フローフィルタリングルールが生成されるときは、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、ソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。宛先IPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合には、また、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。
この出願のある1つの実施形態は、さらに、パケット処理方法を提供し、当該方法は、第2のデバイスに適用され、特に、以下のステップを含む。前記第2のデバイスが、第1のデバイスが送信するフローフィルタリングルールを受信するステップであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ステップと、前記第2のデバイスが、パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するステップであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、ステップと、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスが、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するステップと、を含む。
この出願の実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスが集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。例えば、一致項目の中のIPアドレスが、受信したパケットの宛先IPアドレスであるときに、その自律ドメインは、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインであり、それによって、自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフィルタリングルールのみを生成する必要があるにすぎない。もはや、その自律ドメインの中の各々のデバイスについて、個別のフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、第2のデバイスの中に格納されているフィルタリングルールの数を大幅に減少させ、それにより、第2のデバイスの記憶リソースを節約する。
選択的に、第1のアドレスは、パケットの宛先IPアドレスであってもよく、それに対応して、第2のアドレスは、パケットのソースIPアドレスである。代替的に、第1のアドレスは、パケットのソースIPアドレスであってもよく、それに対応して、第2のアドレスは、パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
パケットの破棄は、パケットが転送されず、そのパケットが削除されるということを意味する。パケットのリダイレクトは、パケットに対応する次のホップの情報を変更して、パケットの転送経路及びネットワークにおける制御フローを変更するということを意味する。パケットにマークを付けることは、フロー統計情報の収集等のその後の処理のためにパケットに印をつけるということを意味する。
選択的に、当該方法は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するステップをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応する。アクセス制御リストは、一般的に、小さな数の文字を格納することが可能であるので、文字の数が小さな自律ドメインインデックスは、自律ドメイン識別子の代わりに、アクセス制御リストの中に格納され、自律ドメインインデックスと自律ドメイン識別子との間のマッピング関係を確立することが可能であり、それによって、自律ドメイン識別子に基づいて、以降に自律ドメインインデックスを発見することが可能である。
その次に、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスが、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理する前記ステップは、
前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記第2のデバイスが、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するステップを含む。
この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第1のデバイスの中で使用され、
フローフィルタリングルールを生成するように構成されるルール生成ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ルール生成ユニットと、
第2のデバイスに前記フローフィルタリングルールを送信するように構成されるルール送信ユニットであって、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される、ルール送信ユニットと、を含む。
選択的に、前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記自律ドメイン識別子は、前記第2のデバイスが属している自律ドメインの識別子である。
この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第2のデバイスの中で使用され、
第1のデバイスが送信するフローフィルタリングルールを受信するように構成されるルール受信ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含む、ルール受信ユニットと、
パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するように構成されるパケット受信ユニットであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、パケット受信ユニットと、
前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するように構成されるパケット処理ユニットと、を含む。
選択的に、前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである。
選択的に、前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
選択的に、当該装置は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するように構成されるリスト生成ユニットをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応し、
前記パケット処理ユニットは、特に、前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するように構成される。
この出願のある1つの実施形態は、さらに、パケット処理デバイスを提供し、当該デバイスは、第1のデバイスであり、前記第1のデバイスは、記憶ユニット、処理ユニット、及び通信ユニットを含み、
前記記憶ユニットは、命令を格納するように構成され、
前記処理ユニットは、前記記憶ユニットの中の前記命令を実行して、前記第1のデバイスに適用される上記のパケット処理方法を実行するように構成され、
前記通信ユニットは、第2のデバイスと通信するように構成される。
この出願のある1つの実施形態は、さらに、パケット処理デバイスを提供し、当該デバイスは、第2のデバイスであり、前記第2のデバイスは、記憶ユニット、処理ユニット、及び通信ユニットを含み、
前記記憶ユニットは、命令を格納するように構成され、
前記処理ユニットは、前記記憶ユニットの中の前記命令を実行して、前記第2のデバイスに適用される上記のパケット処理方法を実行するように構成され、
前記通信ユニットは、第1のデバイスと通信するように構成される。
この出願のある1つの実施形態は、さらに、コンピュータ読み取り可能な記憶媒体を提供し、当該コンピュータ読み取り可能な記憶媒体は、命令を格納し、そして、前記命令がコンピュータによって実行されるときに、前記コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、命令を含むコンピュータプログラム製品を提供し、当該コンピュータプログラム製品が、コンピュータによって実行されるときに、前記コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、パケット処理システムを提供し、当該パケット処理システムは、上記の第1のデバイス及び第2のデバイスを含む。
この出願のある1つの実施形態にしたがった転送デバイスの概略的な図である。 この出願のある1つの実施形態にしたがったフロー制御システムの概略的な図である。 この出願のある1つの実施形態にしたがったパケット処理システムの構造的なブロック図である。 この出願のある1つの実施形態にしたがったパケット処理方法のフローチャートである。 この出願のある1つの実施形態にしたがった他のパケット処理方法のフローチャートである。 この出願のある1つの実施形態にしたがったパケットの概略的な図である。 従来技術におけるルーティング及び転送エントリの概略的な図である。 この出願のある1つの実施形態にしたがったルーティング及び転送エントリの概略的な図である。 この出願のある1つの実施形態にしたがったアクセス制御エントリの概略的な図である。 この出願のある1つの実施形態にしたがったパケット処理装置の構造的なブロック図である。 この出願のある1つの実施形態にしたがった他のパケット処理装置の構造的なブロック図である。 この出願のある1つの実施形態にしたがったパケット処理デバイスのハードウェアアーキテクチャの図である。 この出願のある1つの実施形態にしたがった他のパケット処理デバイスのハードウェアアーキテクチャの図である。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、各々の転送デバイスが大きな数のフローフィルタリングルールを配信するという問題を解決するとともに、ネットワークリソースの浪費を減少させる。
この出願の明細書、特許請求の範囲、及び添付の図面において、(存在する場合には)"第1の"、"第2の"、"第3の"、及び"第4の"等の語は、複数の同様の対象物を判別することを意図しているが、必ずしも、ある特定の順番又は順序を示すものではない。そのような方法で表現されるデータは、適切な状況においては、交換可能となっており、それによって、本明細書において説明されている本発明の複数の実施形態は、本明細書において図示され又は説明されている順番以外の順番で実装されてもよいということを理解すべきである。加えて、"含む"及び"包含する"の語、及びあらゆる他の派生語は、例えば、ステップ又はユニットのリストを含むプロセス、方法、システム、製品、又はデバイスは、必ずしも、明確に列挙されているステップ又はユニットに限定されないが、明示的には列挙されていないか又はそれらのプロセス、方法、システム、製品、又はデバイスに固有ではない他のステップ又はユニットを含んでもよい、といったように、非排他的な包含を対象とすることを意味する。
従来の技術においては、パケットは転送デバイスによって転送されてもよい。パケットを受信した後に、転送デバイスは、ルーティング及び転送テーブルに基づいて、パケットに対応する次のホップの情報を決定し、そして、他の対応するネットワークデバイスにパケットを転送してもよい。例えば、図1を参照すると、第1のユーザ101及び第2のユーザ102は、転送デバイス103にパケットを送信してもよく、転送デバイス103は、第1のデバイス104、第2のデバイス105、第3のデバイス106、及び第4のデバイス107に、受信したパケットを転送する。第1のデバイス104のアドレスは、第1のアドレスであり、第2のデバイス105のアドレスは、第2のアドレスであり、第3のデバイス106のアドレスは、第3のアドレスであり、第4のデバイス107のアドレスは、第4のアドレスである。
しかしながら、転送デバイスは、転送デバイスの帯域幅、バッファスペース、及び処理能力等のパケット転送のためのネットワークリソースに依存する。必要とされるネットワークリソースが現時点で利用可能なネットワークリソースを超える場合に、ネットワーク輻輳が生起する場合がある。例えば、不正なユーザは、クライアント又はサーバを使用することによって、分散型サービス妨害(distributed denial of service, DDOS)による攻撃を開始することが可能である、すなわち、複数のコンピュータを攻撃プラットフォームとして組み合わせて、1つ又は複数のターゲットに対してDDOS攻撃を開始し、それによって、ネットワークは輻輳し、ターゲットデバイスに対する通常のサービス動作に影響を与え、攻撃目的を達成する。
ネットワークが輻輳するのを効果的に防止するために、転送デバイスに対して、フロー制御を実行してもよい。具体的には、転送デバイスのフローを分析して、フローフィルタリングルールを取得してもよく、フローフィルタリングルールは、転送デバイスに対して発行される。転送デバイスは、フローフィルタリングルールにしたがってパケットを処理し、例えば、パケットをリダイレクトし又は廃棄して、フロー制御を実装する。
例えば、図2は、この出願のある1つの実施形態にしたがったフロー制御システムの概略的な図である。転送デバイス103のフローは、制御デバイス108によって分析されて、フローフィルタリングルールを取得してもよく、フローフィルタリングルールは、転送デバイス103に対して発行される。転送デバイス103は、フローフィルタリングルールにしたがって、受信したパケットを処理してもよい。
しかしながら、一般的に、あるネットワークの中には大きな数のネットワークデバイスが存在する。したがって、転送デバイスを通じて通信を実行する複数のネットワークデバイスの各々の対について、1つのフローフィルタリングルールを構成する必要がある。大きな数のネットワークデバイスが存在するときに、大きな数のフローフィルタリングルールが構成され、そして、各々の転送デバイスについてフロー制御を実装することが可能であるように、生成された大きな数のフローフィルタリングルールが、各々の転送デバイスに配信される。結果として、大きな数のネットワークリソースが占有される。
例えば、図2を参照すると、第1のユーザ101は、転送デバイス103を介して第1のデバイス104にパケットを送信することが可能であり、それに対して、1つのフローフィルタリングルールを構成してもよく、例えば、そのフィルタリングルールの中の一致項目は、第1のユーザのIPアドレス及び第1のIPアドレスを含む。第2のユーザ102は、転送デバイス103を介して第1のデバイス104にパケットを送信することが可能であり、それに対応して、1つのフローフィルタリングルールを構成してもよく、例えば、そのフィルタリングルールの中の一致項目は、第2のユーザのIPアドレス及び第1のIPアドレスを含む。したがって、図2に示されている2つのユーザ及び4つのIPアドレスについて、8つのフローフィルタリングルールを構成する必要がある。同様に、mのユーザがソースIPアドレスを有するとともに、n個のIPアドレスにアクセスし、そして、ネットワークが宛先IPアドレスを有する場合に、n個のIPアドレスにアクセスするmのユーザのフローを制御するために、m個のソースIPアドレス及びn個の宛先IPアドレスに基づいて、m×n個のフローフィルタリングルールを生成する必要がある。それらのm×nのフローフィルタリングルールは、各々の転送デバイスに分配され、それによって、転送デバイスは、受信したパケットに対して対応する処理を実行することが可能である。フィルタリングルール分配プロセスは、大きな数のネットワークリソースを占有し、大きな数の記憶リソースが、これらのフィルタリングルールを格納するために転送デバイスによって占有される。
この出願の複数の実施形態は、パケット処理方法及び装置、及び、関連するデバイスを提供して、大きな数のフローフィルタリングルールが生成され及び配信されるために、ネットワークリソースが浪費されるという技術的問題を解決する。具体的には、第1のデバイスは、フローフィルタリングルールを生成し、第2のデバイスにそのフローフィルタリングルールを送信する。フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律システム(autonomous system, AS)識別子(identifier, ID)を含み、動作項目は、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理するように第2のデバイスに指示するのに使用される。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスを集約し、自律ドメイン識別子に基づいて、フローフィルタリングルールを生成する。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて1つのフローフィルタリングルールのみを生成する必要があり、もはや、従来技術におけるように自律ドメインの中の各々のネットワークデバイスについて1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、また、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースの数を減少させる。
図3は、この出願のある1つの実施形態にしたがったシステムのフレームワークの概略的な図である。システムは、第1のデバイス100、第2のデバイス200、送信デバイス300、及び受信デバイス400を含む。第1のデバイス100は、第2のデバイス200に接続され、送信デバイス300及び受信デバイス400の双方は、第2のデバイス200に接続される。
第1のデバイス100は、ソフトウェア定義ネットワーク(software defined network, SDN)の中のコントローラであってもよく、或いは、ネットワーク管理デバイス、サーバ、端末、又はルータ等の他のデバイスであってもよく、サーバは、例えば、ボーダーゲートウェイプロトコル(border gateway protocol, BGP)フロー仕様サーバ(flow specification server)である。第1のデバイス100は、フローフィルタリングルールを生成するように構成され、フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律ドメイン識別子を含み、フローフィルタリングルールの中の動作項目は、動作項目が示すパケット処理モードにしたがって、一致項目に対応するパケットを処理するように第2のデバイスに指示するのに使用されてもよい。
第2のデバイス200は、ルータ又はスイッチ等の転送デバイスであってもよく、送信デバイス300から受信デバイス400に受信パケットを送信するように構成される。送信デバイス300及び受信デバイス400の各々は、端末、サーバ、又はユーザに接続されるデバイスであってもよい。
第2のデバイス200は、第1のデバイス100が送信するフローフィルタリングルールを受信する。送信デバイス300が送信するパケットを受信した後に、第2のデバイス200は、そのパケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、ルーティング及び転送エントリは、自律ドメイン識別子を含む。パケットの第1のアドレスがフローフィルタリングルールの中のIPアドレスと一致し、ルーティング及び転送エントリの中の自律ドメイン識別子が、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、第2のデバイス200は、動作項目が示すパケット処理モードに基づいてパケットを処理する。
第1のアドレスは、パケットの宛先IPアドレスであってもよく、第2のアドレスは、パケットのソースIPアドレスであってもよい。代替的に、第1のアドレスは、パケットのソースIPアドレスであり、第2のアドレスは、パケットの宛先IPアドレスである。
例えば、フローフィルタリングルールの中の一致項目は、ソースIPアドレスIP-1、及び、宛先IPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子AS1000を含み、一致項目に対応する動作項目は、破棄することである。第2のデバイス200が、ソースIPアドレスがIP-1であり且つ宛先IPアドレスがIP-2であるパケットM1を受信する場合に、第2のデバイス200は、宛先IPアドレスに基づいて、ルーティング及び転送テーブルを探索して、宛先IPアドレスに対応するルーティング及び転送エントリを取得してもよく、ルーティング及び転送エントリは、宛先IPアドレスIP-2及び宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を含む。宛先IPアドレスIP-2に対応する自律ドメイン識別子が、AS1000であり、且つ、パケットM1のソースIPアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、且つ、双方ともIP-1であることから、そのパケットは、フローフィルタリングルールの中の一致項目と一致していると考えられ、第2のデバイス200は、対応する動作項目が示すパケット処理モードに基づいて、パケットM1を破棄してもよい。
理解を容易にするために、以下でこの出願のそれらの複数の実施形態を詳細に説明する。
図4は、この出願のある1つの実施形態にしたがったパケット処理方法のフローチャートである。その方法は、第1のデバイスに適用されてもよく、以下のステップを含む。
S101. フローフィルタリングルールを生成する。
第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを設定してもよい。
フローフィルタリングルールは、マッチングをとりそしてパケットを処理するように第2のデバイスに指示するのに使用されるルールであり、一致項目及び動作項目を含んでもよい。一致項目は、IPアドレス及び自律ドメイン識別子を含んでもよい。具体的には、IPアドレスがパケットのソースIPアドレスである場合には、自律ドメイン識別子は、パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子であり、又は、IPアドレスがパケットの宛先IPアドレスである場合には、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子である。自律ドメイン識別子は、複数の異なる自律ドメインを判別するのに使用される。例えば、チャイナテレコムの自律ドメイン識別子は、AS1000であってもよく、チャイナモバイルの自律ドメイン識別子は、AS2000であってもよい。
第1のデバイスがフローフィルタリングルールを生成することを可能とするために、第1のデバイスは、第2のデバイスが受信するパケットに関する情報を取得してもよく、そのパケット情報は、パケットのソースIPアドレス及び宛先IPアドレスを含む。加えて、第1のデバイスは、ソースIPアドレス又は宛先IPアドレスに対応する自律ドメイン識別子を取得する必要がある。ソースIPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合に、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、そのソースIPアドレスに対応するデバイスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。宛先IPアドレスに対応する第2のデバイス及びネットワークデバイスが、同じ自律ドメインに属している場合には、また、第2のデバイスが属している自律ドメインの自律ドメイン識別子を取得することによって、宛先IPアドレスが属している自律ドメインの自律ドメイン識別子を取得することが可能である。すなわち、この場合には、一致項目の中の自律ドメイン識別子は、第2のデバイスが属している自律ドメインの自律ドメイン識別子である。一方で、第2のデバイスが、ソースIPアドレスに対応するデバイスが属している自律ドメイン又は宛先IPアドレスに対応するデバイスが属している自律ドメインとは無関係である場合には、例えば、ソースIPアドレス又は宛先IPアドレスに基づいて、第1のデバイスにおいて、対応する自律ドメイン識別子を直接的に構成する必要があるといったように、他の方法を使用して、自律ドメイン識別子を取得する必要がある。
この出願のこの実施形態においては、生成されるフローフィルタリングルールの数を減少させるという目的は、自律ドメイン識別子に基づくソースIPアドレス又は宛先IPアドレスのクラスタリングによって達成される。
例えば、mのユーザがn個のIPアドレスにアクセスする場合に、従来技術においては、m×n個のフローフィルタリングルールを生成して、フロー制御を実装する必要がある。これに対して、n個のIPアドレスが同じ自律ドメインに属し、n個のIPアドレスの自律ドメイン識別子がAである場合には、m×1個のフローフィルタリングルールを生成する必要があり、各々のフローフィルタリングルールの中の一致項目は、自律ドメイン識別子A及びそれらのmのユーザのうちの1つのユーザのIPアドレスを含み、それにより、フローフィルタリングルールの数を効果的に減少させる。
図2を参照すると、第1のIPアドレス104及び第2のIPアドレス105が、第1の自律ドメインに属している場合に、一致項目は、第1のユーザ101のIPアドレス及び第1の自律ドメインの識別子を含んでもよく、一致項目は、転送デバイス103を介して第1のIPアドレス104及び/又は第2のIPアドレス105にアクセスすることによって、第1のユーザ101が生成するパケットのマッチングをとるのに使用されてもよい。第3のIPアドレス106及び第4のIPアドレス107が、第2の自律ドメインに属している場合に、一致項目は、第1のユーザ101のIPアドレス及び第2の自律ドメインの識別子を含んでもよく、一致項目は、転送デバイス103を介して第3のIPアドレス106及び/又は第4のIPアドレス107にアクセスすることによって、第1のユーザ101が生成するパケットのマッチングをとるのに使用される。したがって、第1の自律ドメインにアクセスする2つのユーザについて、2つのフローフィルタリングルールを生成してもよく、第2の自律ドメインにアクセスする2つのユーザについて、2つのフローフィルタリングルールを生成してもよい。
同様に、mのユーザが同じ自律ドメインに属し、且つ、それらの自律ドメイン識別子がBである場合には、1×n個のフローフィルタリングルールを生成してもよく、各々のフローフィルタリングルールの中の一致項目は、自律ドメイン識別子B及びn個のIPアドレスのうちの1つを含む。また、従来技術と比較して、フローフィルタリングルールの数を効果的に減少させることが可能である。
さらに、IPアドレス及び自律ドメイン識別子のほかに、一致項目は、また、IPプロトコル、ソースポート、宛先ポート、インターネット制御メッセージプロトコル(internet control message protocol, ICMP)タイプ、ICMPコード、伝送制御プロトコル(transmission control protocol, TCP)フラグ、パケット長、及び差分サービスコードポイント(differentiated services code point, DSCP)のうちの1つ又は複数等のパケットに関する他の情報も含んでもよい。
フローフィルタリングルールの中の動作項目は、一致項目に対応し、動作項目が示すパケット処理モードに基づいて、一致項目に一致するパケットを処理するように第2のデバイスに指示するのに使用される。動作項目は、パケットの破棄、パケットのリダイレクト、及びパケットにマークを付けることを含んでもよい。パケットの破棄は、パケットが転送されず、そのパケットが削除されるということを意味する。パケットのリダイレクトは、パケットに対応する次のホップの情報を変更して、そのパケットの転送経路を変更し、そして、ネットワークにおけるフローを制御するということを意味する。パケットにマークを付けることは、フロー統計情報の収集等のその後の処理のためにパケットに印をつけるということを意味する。
S102. 第2のデバイスにフローフィルタリングルールを送信する。
第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよい。第1のデバイスは、第2のデバイスに、一致項目及び動作項目を有するフローフィルタリングルールを送信してもよく、それによって、第2のデバイスは、そのパケットに対してマッチングを実行する。パケットが一致項目と一致するときは、第2のデバイスは、その一致項目に対応する動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。
生成されるフローフィルタリングルールの数が比較的小さいので、第1のデバイスは、第2のデバイスに小さな数のフローフィルタリングルールを送信し、それにより、ネットワークリソースを節約するとともに、第2のデバイスの記憶リソースを節約する。
この出願のこの実施形態によって提供されるパケット処理方法においては、第1のデバイスは、最初に、フローフィルタリングルールを生成し、その次に、第2のデバイスにフローフィルタリングルールを送信し、フローフィルタリングルールは、一致項目及び動作項目を含み、一致項目は、IPアドレス及び自律ドメイン識別子を含み、動作項目は、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理するように第2のデバイスに指示するのに使用される。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスが集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールが生成される。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフローフィルタリングルールを生成する必要があるのみであり、従来技術の場合のように、もはや、自律ドメインの中の複数のネットワークデバイスの各々について、1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させるとともに、また、第2のデバイスにフローフィルタリングルールを配信するのに必要となるネットワークリソースの数を減少させる。
図5は、この出願のある1つの実施形態にしたがった他のパケット処理方法のフローチャートである。その方法は、第2のデバイスに適用されてもよく、以下のステップを含む。
S201. 第1のデバイスが送信するフローフィルタリングルールを受信する。
上記で説明されているように、第2のデバイスは、ルータ、スイッチ、ブリッジ、又はゲートウェイ等の転送デバイスであってもよく、第2のデバイスは、第1のデバイスが送信するフローフィルタリングルールを受信してもよい。第1のデバイスは、フローフィルタリングルールを生成し及び配信するための制御デバイスであってもよく、サーバ、端末、又はルータ等であってもよい。具体的には、第1のデバイスとしてボーダーゲートウェイプロトコルフロー仕様サーバを使用してもよい。
第2のデバイスが受信するフローフィルタリングルールは、一致項目及び動作項目を含んでもよく、一致項目は、IPアドレス及び自律ドメイン識別子を含んでもよい。具体的には、IPアドレスは、パケットのソースIPアドレスであってもよく、自律ドメイン識別子は、パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。代替的に、IPアドレスは、パケットの宛先IPアドレスであってもよく、自律ドメイン識別子は、パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子であってもよい。
第1のデバイスは、比較的小さな数のフローフィルタリングルールを生成するので、第2のデバイスは、比較的小さな数のフローフィルタリングルールを受信する。例えば、フロー制御は、mのユーザがn個のIPアドレスにアクセスするときに実行され、mのユーザが同じ自律ドメインに属している場合に、第2のデバイスは、1×n個のフローフィルタリングルールを受信し、n個のIPアドレスが同じ自律ドメインに属している場合に、第2のデバイスは、m×1個のフローフィルタリングルールを受信する。
もちろん、一致項目は、また、IPプロトコル、ソースポート、宛先ポート、ICMPタイプ、ICMPコード、TCPフラグ、パケット長、及びDSCPのうちの1つ又は複数等のパケットに関する他の情報を含んでもよい。フローフィルタリングルールの中の動作項目は、一致項目に対応し、動作項目が示すパケット処理モードに基づいて、一致項目と一致するパケットを処理することを指示するのに使用される。動作項目は、パケットの破棄、パケットのリダイレクト、パケットにマークを付けることを含んでもよい。
S202. パケットを受信し、そして、パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定する。
図6に示されているように、第2のデバイスが受信するパケットは、ソースIPアドレス201、宛先IPアドレス202、及びデータ203を含む。ソースIPアドレス201は、パケットを生成するネットワークデバイスのアドレスであり、宛先IPアドレス202は、パケットを受信することが予想されるネットワークデバイスのアドレスである。通常、第2のデバイスは、パケットを転送する必要があるが、パケットに対してフロー制御を実行するときは、そのパケットに対して他の処理を実行する必要がある。
第2のデバイスの中にルーティング及び転送テーブルを格納してもよく、そのルーティング及び転送テーブルは、複数のルーティング及び転送エントリを含む。各々のルーティング及び転送エントリは、それに対応して、パケットの転送情報を格納する。図7は、パケットのソースIPアドレス301、パケットの宛先IPアドレス302、及び次のホップの情報303を含む従来技術におけるルーティング及び転送エントリの概略的な図である。したがって、第2のデバイスは、ソースIPアドレス及び宛先IPアドレス等のパケットに関する情報に基づいて、ルーティング及び転送テーブルを探索して、そのパケットに対応する次のホップの情報を決定し、そして、その次のホップの情報に基づいて、そのパケットを転送してもよい。
この出願のこの実施形態においては、ルーティング及び転送テーブルに自律ドメイン識別子を追加してもよい。具体的には、ソースIPアドレスが属している自律ドメインの識別子を追加してもよく、又は、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を追加してもよく、又は、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子及び宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子の双方を追加してもよい。図8は、この出願のある1つの実施形態にしたがったルーティング及び転送エントリの概略的な図であり、図8は、ソースIPアドレス301、ソースAS-ID304、宛先IPアドレス302、宛先AS-ID305、及びパケットの次のホップの情報303を含み、ソースAS-ID304は、ソースIPアドレス301が属している自律ドメインの識別子であり、宛先AS-ID305は、宛先IPアドレス302が属している自律ドメインの識別子である。
ルーティング及び転送エントリの中に、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子及び/又は宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を構成してもよい。
第2のデバイスが内部ゲートウェイプロトコルデバイス又はボーダーゲートウェイプロトコルデバイスである場合には、一般的に、第2のデバイスは、1つ又は複数の自律ドメイン識別子を格納する。具体的には、第2のデバイスが内部ゲートウェイプロトコルデバイスであり、ソースIPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスの中に格納されている自律ドメイン識別子は、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子であり、又は、第2のデバイスが内部ゲートウェイプロトコルデバイスであり、宛先IPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスの中に格納されている自律ドメイン識別子は、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。第2のデバイスがボーダーゲートウェイプロトコルデバイスである場合、すなわち、第2のデバイスがソースIPアドレスに対応するネットワークデバイスと同じ自律ドメインに属し、且つ、宛先IPアドレスに対応するネットワークデバイスと同じ自律ドメインに属している場合には、第2のデバイスは、少なくとも2つの自律ドメイン識別子を格納する。したがって、ソースIPアドレス及び宛先IPアドレスに基づいて、ルーティング及び転送テーブルに追加する自律ドメイン識別子を取得する必要がある。
パケットを受信した後に、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、そのエントリは、少なくとも第1のアドレス及び第1のアドレスが属している自律ドメインの識別子を含む。第1のアドレスは、パケットのソースIPアドレスであってもよく、第2のアドレスは、パケットの宛先IPアドレスであってもよい。それに対応して、第1のアドレスは、パケットの宛先IPアドレスであってもよく、第2のアドレスは、パケットのソースIPアドレスであってもよい。
S203. パケットの第2のアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、ルーティング及び転送エントリの中の自律ドメイン識別子が、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。
上記の説明から、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定することが可能であり、そのエントリは、第1のアドレス及びその第1のアドレスが属している自律ドメインの識別子、すなわち、第1のAS-IDを含むということを理解することが可能である。その次に、第2のデバイスは、パケットの第2のアドレスと第1のAS-IDとフローフィルタリングルールの中の一致項目との間でマッチングを実行してもよい。具体的には、第2のデバイスは、パケットの第2のアドレスがフローフィルタリングルールの中のIPアドレスと同じであるか否か、及び、第1のAS-IDがフローフィルタリングルールの中の自律ドメイン識別子と同じであるか否かを決定してもよい。パケットの第2のアドレスが、フローフィルタリングルールの中のIPアドレスと同じであり、且つ、第1のAS-IDがフローフィルタリングルールの中の自律ドメイン識別子と同じである場合には、そのパケットは、フローフィルタリングルールの一致項目と一致すると考えられる。この場合には、動作項目が示すパケット処理モードに基づいて、そのパケットを処理してもよい。動作項目は、パケットの破棄、パケットのリダイレクト、パケットにマークを付けること、を含んでもよい
例えば、フローフィルタリングルールの中の一致項目は、ソースIPアドレスIP-1、及び、宛先IPアドレスに対応するデバイスが属している自律ドメイン識別子AS1000を含んでもよく、一致項目に対応する動作項目は、破棄されてもよい。第2のデバイスが受信したパケットのソースIPアドレス及び宛先IPアドレスが、それぞれ、IP-1及びIP-2である場合には、宛先IPアドレスに基づいてルーティング及び転送テーブルを探索することによって、宛先IPアドレスに対応するルーティング及び転送エントリを取得することが可能であり、ルーティング及び転送エントリは、宛先IPアドレスIP-2、及び、宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子を含む、すなわち、第1のAS-IDは、AS1000である。したがって、パケットのソースIPアドレスは、フローフィルタリングルールの中のIPアドレスと同じであるということを決定することが可能である。加えて、ルーティング及び転送エントリに基づいて取得した第1のAS-IDが、フローフィルタリングルールの中の自律ドメイン識別子と同じである場合に、そのパケットが、フローフィルタリングルールの中の一致項目と一致し、そのパケットが、対応する動作項目が示すパケット処理モードに基づいて処理されると考えることが可能である。具体的には、パケットは、破棄されてもよい。
同様に、フローフィルタリングルールの中の一致項目は、宛先IPアドレスIP-2、及び、ソースIPアドレスに対応するデバイスが属している自律ドメイン識別子AS2000を含んでもよく、一致項目に対応する動作項目は、パケットのリダイレクトであってもよい。第2のデバイスが受信するパケットのソースIPアドレス及び宛先IPアドレスが、それぞれ、IP-1及びIP-2である場合に、フローフィルタリングルールのマッチングの原理にしたがって、ソースIPアドレスが第1のアドレスであり、宛先IPアドレスが第2のアドレスであるということを決定することが可能である。ソースIPアドレスに基づいてルーティング及び転送テーブルを探索することによって、ソースIPアドレスに対応するルーティング及び転送エントリを取得することが可能である。ルーティング及び転送エントリは、ソースIPアドレスIP-1、及び、ソースIPアドレスに対応するデバイスが属している自律ドメインの識別子を含む、すなわち、第1のAS-IDは、AS2000である。したがって、パケットの宛先IPアドレスは、フローフィルタリングルールのIPアドレスと同じであるということを決定することが可能である。加えて、ルーティング及び転送エントリに基づいて取得される第1のAS-IDが、フローフィルタリングルールの中の自律ドメイン識別子と同じである場合には、そのパケットが、フローフィルタリングルールの中の一致項目と一致し、そのパケットが、対応する動作項目が示すパケット処理モードに基づいて処理されると考えることが可能である。具体的には、パケットは、リダイレクトされてもよい。
フローフィルタリングルールに基づいてフロー制御を容易にするために、この出願のこの実施形態においては、フローフィルタリングルールにしたがって、アクセス制御リスト(access control list, ACL)を生成することが可能であり、アクセス制御リストは、一致項目及び動作項目を含んでもよい。図9は、この出願のある1つの実施形態にしたがったアクセス制御エントリの概略的な図である。一致項目は、IPアドレス401及び自律ドメインインデックス402を含んでもよく、それらのIPアドレス401及び自律ドメインインデックス402は、それぞれ、フローフィルタリングルールの中のIPアドレス及び自律ドメイン識別子に対応する。自律ドメインインデックスは、フローフィルタリングルールの中の自律ドメイン識別子に対応する。実際の適用の場合には、フローフィルタリングルールの中の自律ドメイン識別子と自律ドメインインデックスとの間のマッピング関係を確立してもよく、マッピング関係を満足するときに、両者は一致していると考えられる。自律ドメイン識別子及び自律ドメインインデックスは、同じであっても、異なっていてもよい。
したがって、第2のデバイスは、パケットの第1のアドレスに基づいて、ルーティング及び転送エントリを決定してもよく、そのエントリは、第1のアドレス、及び、第1のアドレスが属している自律ドメインの識別子、すなわち、第1のAS-IDを含む。その次に、第2のデバイスは、パケットの第2のアドレスとアクセス制御リストの中のIPアドレスとの間でマッチングを実行し、第1のAS-IDとアクセス制御リストの中の自律ドメインインデックスとの間でマッチングを実行してもよい。具体的には、第2のデバイスは、パケットの第2のアドレスが、アクセス制御リストの中のIPアドレスと同じであるか否か、及び、第1のAS-IDが、アクセス制御リストの中の自律ドメインインデックスと一致するか否かを決定してもよい。パケットの第2のアドレスが、アクセス制御リストの中のIPアドレスと同じであり、且つ、第1のAS-IDが、アクセス制御リストの中の自律ドメインインデックスと一致する場合には、そのパケットは、アクセス制御リストの中の一致項目と一致していると考えられる。この場合には、動作項目が示すパケット処理モードに基づいて、そのパケットを処理してもよい。
この出願のこの実施形態によって提供される他のパケット処理方法においては、第2のデバイスは、第1のデバイスが送信するフローフィルタリングルールを受信し、その一致項目は、IPアドレス及び自律ドメイン識別子を含む。自律ドメイン識別子は、複数の異なる自律ドメインを判別するのに使用されてもよく、1つの自律ドメインは、複数のネットワークデバイスに関する情報に対応する複数のネットワークデバイスを含んでもよい。第2のデバイスは、パケットを受信し、そのパケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定し、ルーティング及び転送エントリは、自律ドメイン識別子を含み、パケットの第2のアドレスは、フローフィルタリングルールの中のIPアドレスと同じであり、ルーティング及び転送エントリの中の自律ドメイン識別子は、フローフィルタリングルールの中の自律ドメイン識別子と同じであるということを決定するときに、第2のデバイスは、動作項目が示すパケット処理モードに基づいて、そのパケットを処理する。すなわち、この出願のこの実施形態においては、自律ドメイン識別子に対応する自律ドメインの中のネットワークデバイスのIPアドレスは集約され、自律ドメイン識別子に基づいて、フローフィルタリングルールを生成する。このように、一致項目の中のIPアドレスに対応するネットワークデバイスと通信する自律ドメインの中の複数のネットワークデバイスのすべてについて、1つのフローフィルタリングルールのみを生成する必要があり、従来の技術におけるように、もはや、自律ドメインの中の複数のネットワークデバイスの各々について、1つのフローフィルタリングルールを生成する必要はなく、それによって、生成されるフローフィルタリングルールの数を減少させ、第1のデバイスは、比較的小さな数のフローフィルタリングルールに基づいて、受信したパケットに対してマッチングを実行し、そして、マッチングをとったパケットを処理することが可能であり、それにより、ネットワークリソースを節約する。
図10を参照すると、この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第1のデバイスの中で使用される。前記第1のデバイスは、図4又は図5に示されている実施形態における第1のデバイスの機能を実装してもよい。前記第1のデバイスは、ルール生成ユニット101及びルール送信ユニット102を含む。前記ルール生成ユニット101は、図4に示されている実施形態においてステップS101を実行するように構成され、前記ルール送信ユニット102は、図4に示されている実施形態においてステップS102を実行するように構成される。具体的には、
前記ルール生成ユニット101は、フローフィルタリングルールを生成するように構成され、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、
前記ルール送信ユニット102は、第2のデバイスに前記フローフィルタリングルールを送信するように構成され、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される。
選択的に、前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属している自律ドメインの識別子である。
選択的に、前記自律ドメイン識別子は、前記第2のデバイスが属している自律ドメインの識別子である。
図11を参照すると、この出願のある1つの実施形態は、さらに、パケット処理装置を提供し、当該装置は、第2のデバイスの中で使用される。前記第2のデバイスは、図4又は図5に示されている実施形態における第2のデバイスの機能を実装してもよい。前記第2のデバイスは、ルール受信ユニット201、パケット受信ユニット202、及びパケット処理ユニット203を含む。前記ルール受信ユニット201は、図5に示されている実施形態におけるステップS201を実行するように構成され、前記パケット受信ユニット202は、図5に示されている実施形態におけるステップS202を実行するように構成され、前記パケット処理ユニット203は、図5に示されている実施形態におけるステップS203を実行するように構成される。具体的には、
前記ルール受信ユニット201は、第1のデバイスが送信するフローフィルタリングルールを受信するように構成され、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコルIPアドレス及び自律ドメイン識別子を含み、
前記パケット受信ユニット202は、パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するように構成され、前記ルーティング及び転送エントリは、自律ドメイン識別子を含み、
前記パケット処理ユニット203は、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するように構成される。
選択的に、前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである。
選択的に、前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである。
選択的に、前記動作項目が示す前記パケット処理モードは、
前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
のうちの1つ又は複数を含む。
選択的に、当該装置は、
前記フローフィルタリングルールにしたがってアクセス制御リストを生成するように構成されるリスト生成ユニットをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応する。
前記パケット処理ユニットは、特に、前記第2のデバイスが、前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するように構成される。
図12を参照すると、この出願のある1つの実施形態は、さらに、第1のパケット処理デバイス300を提供し、そのデバイスは、第1のデバイスである。デバイス300は、図4又は図5に示されている実施形態における第1のデバイスの機能を実装してもよい。そのデバイスは、記憶ユニット301、処理ユニット302、及び通信ユニット303を含む。
前記記憶ユニット301は、命令を格納するように構成される。
前記処理ユニット302は、前記記憶ユニット301の中の前記命令を実行して、図4又は図5に示されている実施形態における第1のデバイスに適用される上記のパケット処理方法を実行するように構成される。
前記通信ユニット303は、第2のデバイスと通信するように構成される。
記憶ユニット301、処理ユニット302、及び通信ユニット303は、バス304を使用することによって相互に接続される。バス304は、周辺機器構成要素相互接続(peripheral component interconnect, 略称:PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, 略称:EISA)バス等であってもよい。バスは、アドレスバス、データバス、及び制御バス等に分類されてもよい。表現を容易にするために、1つのみの太線を使用して、図12におけるバスを表現するが、このことは、1つのみのバスが存在する、又は、1つのタイプのバスのみが存在するということを意味するものではない。
図13を参照すると、この出願のある1つの実施形態は、さらに、第2のパケット処理デバイス400を提供する。そのデバイス400は、図4又は図5に示されている実施形態における第2のデバイスの機能を実装してもよく、そのデバイスは、第2のデバイスである。第2のデバイスは、記憶ユニット401、処理ユニット402、及び通信ユニット403を含む。
前記記憶ユニット401は、命令を格納するように構成される。
前記処理ユニット402は、前記記憶ユニット401の中の前記命令を実行して、図4又は図5に示されている実施形態における第2のデバイスに適用される上記のパケット処理方法を実行するように構成される。
前記通信ユニット403は、第1のデバイスと通信するように構成される。
記憶ユニット401、処理ユニット402、及び通信ユニット403は、バス404を使用することによって相互に接続される。バス404は、周辺機器構成要素相互接続(peripheral component interconnect, 略称:PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, 略称:EISA)バス等であってもよい。バスは、アドレスバス、データバス、及び制御バス等に分類されてもよい。表現を容易にするために、1つのみの太線を使用して、図13におけるバスを表現するが、このことは、1つのみのバスが存在する、又は、1つのタイプのバスのみが存在するということを意味するものではない。
記憶ユニット301及び記憶ユニット401の各々は、ランダムアクセスメモリ(random-access memory, RAM)、フラッシュメモリ(flash)、読み取り専用メモリ(read only memory, ROM)、消去可能な且つプログラム可能な読み取り専用メモリ(erasable programmable read only memory, EPROM)、電気的に消去可能な且つプログラム可能な読み取り専用メモリ(electrically erasable programmable read only memory, EEPROM)、レジスタ(register)、ハードディスク、取り外し可能なハードディスク、CD-ROM、又は当業者に知られているいずれかの他の形態の記憶媒体であってもよい。
処理ユニット302及び処理ユニット402の各々は、中央処理ユニット(central processing unit, CPU)、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application-specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)、又は、他のプログラム可能な論理デバイス、トランジスタ論理デバイス、ハードウェア構成要素、又はそれらのいずれかの組み合わせであってもよい。処理ユニットは、この出願によって開示されている内容を参照して説明されているさまざまな例示的な論理ブロック、モジュール、及び回路を実装し又は実行することが可能である。代替的に、プロセッサは、例えば、1つ又は複数のマイクロプロセッサの組み合わせ或いはDSP及びマイクロプロセッサの組み合わせ等の計算機能を実装するプロセッサの組み合わせであってもよい。
通信ユニット303及び通信ユニット403の各々は、例えば、インターフェイスカードであってもよく、或いは、イーサネット(ethernet)インターフェイス又は非同期転送モード(asynchronous transfer mode, ATM)インターフェイスであってもよい。
本発明のある1つの実施形態は、パケット処理システムを提供し、そのシステムは、上記の方法の実施形態におけるパケット処理方法を実装するように構成される。そのシステムは、図10に示されている実施形態における第1のデバイス及び図11に示されている実施形態における第2のデバイスを含むか、或いは、そのシステムは、図12に示されている実施形態における第1のデバイス及び図13に示されている実施形態における第2のデバイスを含む。
この出願のある1つの実施形態は、さらに、コンピュータ読み取り可能な記憶媒体を提供し、そのコンピュータ読み取り可能な記憶媒体は、命令を含み、命令がコンピュータによって実行されるときに、そのコンピュータは、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
この出願のある1つの実施形態は、さらに、命令を含むコンピュータプログラム製品を提供し、そのコンピュータプログラム製品が、コンピュータによって実行されるときに、コンピュータが、第1のデバイスに適用される上記のパケット処理方法及び/又は第2のデバイスに適用される上記のパケット処理方法を実行することを可能とする。
利便性及び説明の簡単さの目的で、上記のシステム、装置、及びユニットの詳細な動作プロセスについては、上記の方法の実施形態における対応するプロセスを参照すべきであるということを当業者は明確に理解することが可能である。本明細書においては、詳細は繰り返しては説明されない。
この出願によって提供される複数の実施形態のうちのいくつかにおいては、他の方式によって、開示されているシステム、装置、及び方法を実装することが可能であるということを理解すべきである。例えば、説明されている装置の実施形態は、ある1つの例であるにすぎない。例えば、ユニットの分割は、論理的な機能の分割であるにすぎず、実際の実装の際には他の分割方式が存在してもよい。例えば、複数のユニット又は複数の構成要素を組み合わせ又は一体化して、他のシステムとしてもよく、或いは、複数の特徴のうちのいくつかを無視し又は実行しなくてもよい。加えて、いくつかのインターフェイスによって、示され又は説明されている相互の結合、直接的な結合、又は通信接続を実装してもよい。電気的な形態、機械的な形態、又は他の形態によって、複数の装置又は複数のユニットの間の非直接的な結合又は通信接続を実装してもよい。
個別の部分として説明されているユニットは、物理的に分離されていてもよく、又は、物理的に分離されていなくてもよく、複数のユニットとして示される部品は、複数の物理的なユニットであってもよく、又は、複数の物理的なユニットでなくてもよく、すなわち、1つの場所に位置していてもよく、又は複数のネットワークユニットに分散されていてもよい。実際の要件に基づいて、ユニットの一部又はすべてを選択して、それらの複数の実施形態の解決方法の目的を達成してもよい。
加えて、この出願のそれらの複数の実施形態における複数の機能ユニットを一体化して、1つの処理ユニットとしてもよく、或いは、それらの複数のユニットの各々は、物理的に単独で存在してもよく、又は、2つ又はそれ以上のユニットを一体化して、1つのユニットとしてもよい。上記の一体化されたユニットは、ハードウェアの形態で実装されてもよく、又は、ソフトウェア機能ユニットの形態で実装されてもよい。
一体化されたユニットが、ソフトウェア機能ユニットの形態で実装され、独立した製品として販売され又は使用されるときに、その一体化されたユニットは、コンピュータ読み取り可能な記憶媒体の中に格納されてもよい。そのような理解に基づいて、この出願の複数の技術的解決方法は、本質的に、或いは、先行技術に対して寄与する部分、又は、それらの複数の技術的解決方法のすべて又は一部は、ソフトウェア製品の形態で実装されてもよい。コンピュータソフトウェア製品は、記憶媒体の中に格納され、複数の命令を含み、それらの複数の命令は、この出願のそれらの複数の実施形態において説明される方法の複数のステップのうちのすべて又は一部を実行するように、(パーソナルコンピュータ、サーバ、又はネットワークデバイス等であってもよい)コンピュータデバイスに指示する。上記の記憶媒体は、USBフラッシュドライブ、取り外し可能なハードディスク、読み取り専用メモリ(ROM, Read-Only Memory)、ランダムアクセスメモリ(RAM, Random Access Memory)、磁気ディスク、又は光ディスク等のプログラムコードを格納することが可能であるいずれかの媒体を含む。
当業者は、上記の1つ又は複数の例において、ハードウェア、ソフトウェア、ファームウェア、又はそれらのいずれかの組み合わせによって、本発明によって説明される複数の機能を実装してもよいということを認識するはずである。本発明がソフトウェアによって実装されるときに、上記の機能は、コンピュータ読み取り可能な媒体の中に格納されてもよく、又は、コンピュータ読み取り可能な媒体の中の1つ又は複数の命令又はコードとして送信されてもよい。コンピュータ読み取り可能媒体は、コンピュータ記憶媒体及び通信媒体を含み、通信媒体は、一方の場所から他方の場所へとコンピュータプログラムを送信することを可能とするいずれかの媒体を含み、記憶媒体は、汎用コンピュータ又は専用コンピュータにアクセス可能ないずれかの利用可能な媒体であってもよい。
上記の複数の具体的な実装において、本発明の目的、技術的解決方法、及び有益な効果をさらに詳細に説明している。上記の説明は、本発明の特定の実装であるにすぎないということを理解すべきである。
結論として、上記の複数の実施形態は、この出願の複数の技術的解決方法を説明することを意図しているにすぎず、この出願を限定することを意図するものではない。この出願は、上記の複数の実施形態を参照して詳細に説明されているが、当業者は、上記の複数の実施形態において説明されている技術的解決方法をさらに修正することが可能であり、又は、それらの複数の技術的特徴のうちのいくつかの技術的特徴を同等に置き換えることが可能であるということを理解するはずである。一方で、これらの修正又は置換は、対応する技術的解決策の本質を、この出願の複数の実施形態における複数の技術的解決方法の範囲から離れるようにさせるものではない。

Claims (21)

  1. パケット処理方法であって、
    第1のデバイスによって、フローフィルタリングルールを生成するステップであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコル(IP)アドレス及び自律ドメイン識別子を含む、ステップと、
    前記第1のデバイスによって第2のデバイスに、前記フローフィルタリングルールを送信するステップであって、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される、ステップと、を含む、
    方法。
  2. 前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属する自律ドメインの識別子である、請求項1に記載の方法。
  3. 前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属する自律ドメインの識別子である、請求項1に記載の方法。
  4. 前記自律ドメイン識別子は、前記第2のデバイスが属する自律ドメインの識別子である、請求項1乃至3のうちのいずれか1項に記載の方法。
  5. パケット処理方法であって、
    第2のデバイスによって、第1のデバイスが送信するフローフィルタリングルールを受信するステップであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコル(IP)アドレス及び自律ドメイン識別子を含む、ステップと、
    前記第2のデバイスによってパケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するステップであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、ステップと、
    前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスによって、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するステップと、を含む、
    方法。
  6. 前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである、請求項5に記載の方法。
  7. 前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである、請求項5に記載の方法。
  8. 前記動作項目が示す前記パケット処理モードは、
    前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
    のうちの1つ又は複数を含む、請求項5乃至7のうちのいずれか1項に記載の方法。
  9. 当該方法は、
    前記フローフィルタリングルールにしたがってアクセス制御リストを生成するステップをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応し、
    前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記第2のデバイスによって、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理する前記ステップは、
    前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記第2のデバイスによって、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するステップを含む、請求項5に記載の方法。
  10. パケット処理装置であって、当該パケット処理装置は、第1のデバイスの中で使用され、
    フローフィルタリングルールを生成するように構成されるルール生成ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコル(IP)アドレス及び自律ドメイン識別子を含む、ルール生成ユニットと、
    第2のデバイスに前記フローフィルタリングルールを送信するように構成されるルール送信ユニットであって、前記動作項目は、前記動作項目が示すパケット処理モードに基づいて前記一致項目と一致するパケットを処理するように前記第2のデバイスに指示するのに使用される、ルール送信ユニットと、を含む、
    装置。
  11. 前記IPアドレスは、前記パケットのソースIPアドレスであり、前記自律ドメイン識別子は、前記パケットの宛先IPアドレスに対応するデバイスが属する自律ドメインの識別子である、請求項10に記載の装置。
  12. 前記IPアドレスは、前記パケットの宛先IPアドレスであり、前記自律ドメイン識別子は、前記パケットのソースIPアドレスに対応するデバイスが属する自律ドメインの識別子である、請求項10に記載の装置。
  13. 前記自律ドメイン識別子は、前記第2のデバイスが属する自律ドメインの識別子である、請求項10乃至12のうちのいずれか1項に記載の装置。
  14. パケット処理装置であって、当該パケット処理装置は、第2のデバイスの中で使用され、
    第1のデバイスが送信するフローフィルタリングルールを受信するように構成されるルール受信ユニットであって、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコル(IP)アドレス及び自律ドメイン識別子を含む、ルール受信ユニットと、
    パケットを受信し、そして、前記パケットの中の第1のアドレスに基づいて、ルーティング及び転送エントリを決定するように構成されるパケット受信ユニットであって、前記ルーティング及び転送エントリは、自律ドメイン識別子を含む、パケット受信ユニットと、
    前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理するように構成されるパケット処理ユニットと、を含む、
    装置。
  15. 前記第1のアドレスは、前記パケットの宛先IPアドレスであり、前記第2のアドレスは、前記パケットのソースIPアドレスである、請求項14に記載の装置。
  16. 前記第1のアドレスは、前記パケットのソースIPアドレスであり、前記第2のアドレスは、前記パケットの宛先IPアドレスである、請求項14に記載の装置。
  17. 前記動作項目が示す前記パケット処理モードは、
    前記パケットの破棄、前記パケットのリダイレクト、及び前記パケットにマークを付けること、
    のうちの1つ又は複数を含む、請求項14乃至16のうちのいずれか1項に記載の装置。
  18. 当該装置は、
    前記フローフィルタリングルールにしたがってアクセス制御リストを生成するように構成されるリスト生成ユニットをさらに含み、前記アクセス制御リストは、前記IPアドレス、自律ドメインインデックス、及び前記動作項目を格納し、前記自律ドメインインデックスは、前記自律ドメイン識別子に対応し、
    前記パケット処理ユニットは、前記第2のデバイスが、前記パケットの前記第2のアドレスが、前記アクセス制御リストの中の前記IPアドレスと同じであり、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記アクセス制御リストの中の前記自律ドメインインデックスと一致するということを決定するときに、前記アクセス制御リストの中に格納されている前記動作項目が示す前記パケット処理モードに基づいて、前記パケットを処理するように構成される、請求項14に記載の装置。
  19. 第1のデバイス及び第2のデバイスを含むパケット処理システムであって、
    前記第1のデバイスは、フローフィルタリングルールを生成し、そして、前記第2のデバイスに前記フローフィルタリングルールを送信するように構成され、前記フローフィルタリングルールは、一致項目及び動作項目を含み、前記一致項目は、インターネットプロトコル(IP)アドレス及び自律ドメイン識別子を含み、前記自律ドメイン識別子は、該自律ドメイン識別子に基づいてソースIPアドレス又は宛先IPアドレスのクラスタリングを実行して、フローフィルタリングルールの数を減少させるのに使用され、
    前記第2のデバイスは、前記第1のデバイスが送信する前記フローフィルタリングルールを受信し、パケットを受信し、前記パケットの中の第1のアドレスに基づいて、自律ドメイン識別子を含むルーティング及び転送エントリを決定し、そして、前記パケットの第2のアドレスが、前記フローフィルタリングルールの中の前記IPアドレスと一致し、前記ルーティング及び転送エントリの中の前記自律ドメイン識別子が、前記フローフィルタリングルールの中の前記自律ドメイン識別子と同じであるということを決定するときに、前記動作項目が示すパケット処理モードに基づいて、前記パケットを処理する、ように構成される、
    パケット処理システム。
  20. 命令を含むコンピュータ読み取り可能な記憶媒体であって、前記命令がコンピュータによって実行されるときに、前記コンピュータが、請求項1乃至4のうちのいずれか1項に記載の方法を実行することを可能とする、コンピュータ読み取り可能な記憶媒体。
  21. 命令を含むコンピュータ読み取り可能な記憶媒体であって、前記命令がコンピュータによって実行されるときに、前記コンピュータが、請求項5乃至9のうちのいずれか1項に記載の方法を実行することを可能とする、コンピュータ読み取り可能な記憶媒体。
JP2022196008A 2018-08-30 2022-12-08 パケット処理方法及び装置、及び、関連するデバイス Pending JP2023036647A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN201811004608.6 2018-08-30
CN201811004608.6A CN110808913B (zh) 2018-08-30 2018-08-30 报文处理的方法、装置及相关设备
JP2021510854A JP7193619B2 (ja) 2018-08-30 2019-08-27 パケット処理方法及び装置、及び、関連するデバイス
PCT/CN2019/102899 WO2020043107A1 (zh) 2018-08-30 2019-08-27 报文处理的方法、装置及相关设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2021510854A Division JP7193619B2 (ja) 2018-08-30 2019-08-27 パケット処理方法及び装置、及び、関連するデバイス

Publications (1)

Publication Number Publication Date
JP2023036647A true JP2023036647A (ja) 2023-03-14

Family

ID=69487226

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021510854A Active JP7193619B2 (ja) 2018-08-30 2019-08-27 パケット処理方法及び装置、及び、関連するデバイス
JP2022196008A Pending JP2023036647A (ja) 2018-08-30 2022-12-08 パケット処理方法及び装置、及び、関連するデバイス

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2021510854A Active JP7193619B2 (ja) 2018-08-30 2019-08-27 パケット処理方法及び装置、及び、関連するデバイス

Country Status (8)

Country Link
US (2) US11575606B2 (ja)
EP (1) EP3832963A4 (ja)
JP (2) JP7193619B2 (ja)
KR (2) KR102536676B1 (ja)
CN (3) CN112910792B (ja)
BR (1) BR112021003695A2 (ja)
MX (1) MX2021002287A (ja)
WO (1) WO2020043107A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872861B (zh) * 2020-06-30 2023-07-18 华为技术有限公司 一种生成表项的方法、发送报文的方法及设备
WO2022044232A1 (ja) 2020-08-27 2022-03-03 日本電信電話株式会社 ゲートウェイ装置、ネットワーク制御装置、方法、プログラム及びシステム
CN114143257B (zh) * 2020-09-03 2023-04-28 华为技术有限公司 一种生成表项的方法、发送报文的方法、设备及系统
CN114257544A (zh) * 2020-09-22 2022-03-29 华为技术有限公司 一种流量处理方法、装置和网络设备
CN112866208B (zh) * 2020-12-31 2022-11-08 迈普通信技术股份有限公司 表项配置方法、报文处理方法、装置、设备及存储介质
CN112929376A (zh) * 2021-02-10 2021-06-08 恒安嘉新(北京)科技股份公司 一种流量数据的处理方法、装置、计算机设备和存储介质
CN113904798B (zh) * 2021-08-27 2024-03-22 长沙星融元数据技术有限公司 Ip报文的多元组过滤方法、系统、设备及存储介质
CN114221781A (zh) * 2021-11-05 2022-03-22 网络通信与安全紫金山实验室 流量过滤方法与系统、电子设备及存储介质
CN114143254A (zh) * 2021-11-30 2022-03-04 锐捷网络股份有限公司 报文转发方法、装置、电子设备及计算机可读存储介质
CN114374622B (zh) * 2021-12-31 2023-12-19 恒安嘉新(北京)科技股份公司 一种基于融合分流设备的分流方法及融合分流设备
WO2024082081A1 (zh) * 2022-10-17 2024-04-25 新华三技术有限公司 一种报文处理方法及装置
CN117439953B (zh) * 2023-12-20 2024-03-26 珠海星云智联科技有限公司 等价成本多路径选择系统、方法、设备、集群以及介质

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US6914886B2 (en) * 2001-05-03 2005-07-05 Radware Ltd. Controlling traffic on links between autonomous systems
JP4319925B2 (ja) 2004-03-02 2009-08-26 株式会社日立製作所 ストレージネットワークシステムの制御方法及びストレージネットワークシステム
CN1697443B (zh) * 2004-05-11 2010-06-02 华为技术有限公司 一种控制动态数据流的方法
WO2008114007A1 (en) * 2007-03-22 2008-09-25 British Telecommunications Public Limited Company Data communication method and apparatus
CN101159636A (zh) * 2007-11-23 2008-04-09 中国电信股份有限公司 一种非法接入的检测系统和方法
JP5122399B2 (ja) 2008-04-24 2013-01-16 シャープ株式会社 中継装置、および通信制御装置
US10200251B2 (en) * 2009-06-11 2019-02-05 Talari Networks, Inc. Methods and apparatus for accessing selectable application processing of data packets in an adaptive private network
US8281397B2 (en) 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
CN101917434B (zh) * 2010-08-18 2013-04-10 清华大学 域内ip源地址验证的方法
CN103036733B (zh) * 2011-10-09 2016-07-06 上海市南电信服务中心有限公司 非常规网络接入行为的监测系统及监测方法
US8925079B2 (en) 2011-11-14 2014-12-30 Telcordia Technologies, Inc. Method, apparatus and program for detecting spoofed network traffic
US10305937B2 (en) * 2012-08-02 2019-05-28 CellSec, Inc. Dividing a data processing device into separate security domains
US9647985B2 (en) * 2013-05-23 2017-05-09 Check Point Software Technologies Ltd Location-aware rate-limiting method for mitigation of denial-of-service attacks
US9590901B2 (en) * 2014-03-14 2017-03-07 Nicira, Inc. Route advertisement by managed gateways
US9413783B1 (en) * 2014-06-02 2016-08-09 Amazon Technologies, Inc. Network interface with on-board packet processing
CN105871576A (zh) * 2015-01-21 2016-08-17 杭州华三通信技术有限公司 基于sdn的策略管理方法及装置
CN104796348B (zh) * 2015-04-03 2018-02-13 华为技术有限公司 基于sdn的idc网络出口流量均衡调整方法、设备及系统
US10348684B2 (en) * 2016-09-01 2019-07-09 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices
CN106254152B (zh) * 2016-09-19 2019-11-08 新华三技术有限公司 一种流量控制策略处理方法和装置
CN107846341B (zh) * 2016-09-20 2021-02-12 华为技术有限公司 调度报文的方法、相关装置和系统
CN106341423B (zh) * 2016-10-26 2019-12-06 新华三技术有限公司 一种报文处理方法和装置
CN106657161B (zh) * 2017-02-28 2020-10-09 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置

Also Published As

Publication number Publication date
KR102586898B1 (ko) 2023-10-11
JP2021535678A (ja) 2021-12-16
CN113285882A (zh) 2021-08-20
US20210184974A1 (en) 2021-06-17
KR102536676B1 (ko) 2023-05-26
CN110808913B (zh) 2021-02-23
CN112910792A (zh) 2021-06-04
JP7193619B2 (ja) 2022-12-20
EP3832963A4 (en) 2021-10-27
BR112021003695A2 (pt) 2021-05-18
CN110808913A (zh) 2020-02-18
US11575606B2 (en) 2023-02-07
US20230179523A1 (en) 2023-06-08
MX2021002287A (es) 2021-07-15
CN112910792B (zh) 2023-06-20
KR20210038686A (ko) 2021-04-07
EP3832963A1 (en) 2021-06-09
KR20230079462A (ko) 2023-06-07
WO2020043107A1 (zh) 2020-03-05
CN113285882B (zh) 2024-01-09

Similar Documents

Publication Publication Date Title
JP7193619B2 (ja) パケット処理方法及び装置、及び、関連するデバイス
US8630294B1 (en) Dynamic bypass mechanism to alleviate bloom filter bank contention
US10375193B2 (en) Source IP address transparency systems and methods
JP2023075157A (ja) パケット処理方法および装置、デバイス、ならびにシステム
JP6248929B2 (ja) 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
US9807016B1 (en) Reducing service disruption using multiple virtual IP addresses for a service load balancer
JP7216120B2 (ja) Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス
US10715430B2 (en) Data flow redirection method and system, network device, and control device
US20160380899A1 (en) Method and apparatus for dynamic traffic control in sdn environment
US20170237691A1 (en) Apparatus and method for supporting multiple virtual switch instances on a network switch
TWI281804B (en) Packet forwarding method and system
CN116319535A (zh) 路径切换方法、装置、网络设备、以及网络系统
CN115865802B (zh) 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质
EP4075741A1 (en) Method and apparatus for acquiring forwarding information
US10715440B1 (en) Distributed next hop resolution

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230106

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240430