KR20230079462A - 패킷 처리 방법 및 장치, 및 관련 디바이스들 - Google Patents

패킷 처리 방법 및 장치, 및 관련 디바이스들 Download PDF

Info

Publication number
KR20230079462A
KR20230079462A KR1020237017259A KR20237017259A KR20230079462A KR 20230079462 A KR20230079462 A KR 20230079462A KR 1020237017259 A KR1020237017259 A KR 1020237017259A KR 20237017259 A KR20237017259 A KR 20237017259A KR 20230079462 A KR20230079462 A KR 20230079462A
Authority
KR
South Korea
Prior art keywords
address
packet
autonomous domain
identifier
domain identifier
Prior art date
Application number
KR1020237017259A
Other languages
English (en)
Other versions
KR102586898B1 (ko
Inventor
훙 우
젠보 주
루이칭 차오
전빈 리
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20230079462A publication Critical patent/KR20230079462A/ko
Application granted granted Critical
Publication of KR102586898B1 publication Critical patent/KR102586898B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/44Distributed routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 출원의 실시예들은 다수의 흐름 필터링 규칙의 전달로 인해 많은 네트워크 리소스가 점유된다는 문제점을 해결하기 위한 패킷 처리 방법 및 장치, 및 관련 디바이스를 개시한다. 본 방법은: 제1 디바이스가 흐름 필터링 규칙을 생성하는 단계- 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함함 -; 및 제1 디바이스가 흐름 필터링 규칙을 제2 디바이스에 전송하는 단계- 액션 항목은 제2 디바이스에게, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용됨 -를 포함한다.

Description

패킷 처리 방법 및 장치, 및 관련 디바이스들{MESSAGE PROCESSING METHOD AND APPARATUS, AND RELEVANT DEVICES}
본 출원은 네트워크 통신 분야에 관한 것으로, 특히, 패킷 처리 방법 및 장치, 및 관련 디바이스에 관한 것이다.
네트워크 통신 프로세스에서, 패킷은 라우터 또는 스위치와 같은 포워딩 디바이스에 의해 포워딩될 수 있다. 예를 들어, 라우터가 패킷을 수신한 후에, 라우터는 소스 인터넷 프로토콜(Internet Protocol, IP) 어드레스 및 목적지 IP 어드레스와 같은 패킷에 관한 정보에 기초하여 라우팅 및 포워딩 테이블(forwarding information base, FIB)을 검색하여, 패킷에 대응하는 다음-홉 정보를 결정하고, 패킷을 다른 라우터, 단말기, 또는 서버와 같은 대응하는 네트워크 디바이스에 포워딩할 수 있다. 그러나, 포워딩 디바이스는 패킷 포워딩을 위해 네트워크 리소스들에 의존한다. 네트워크 리소스들은, 예를 들어, 포워딩 디바이스의 대역폭, 버퍼 공간, 및 처리 능력을 포함한다. 필요한 네트워크 리소스들이 현재 이용 가능한 네트워크 리소스들을 초과할 때, 네트워크 혼잡이 발생할 수 있다. 따라서, 포워딩 디바이스의 흐름은 네트워크 혼잡을 회피하도록 제어될 수 있다.
흐름 제어를 구현하기 위해, 제어 디바이스는 포워딩 디바이스의 흐름을 분석하여 흐름 필터링 규칙을 획득하고나서, 흐름 필터링 규칙을 포워딩 디바이스에 전달할 수 있다. 포워딩 디바이스는 흐름 필터링 규칙에 따라 패킷을 처리하는데, 예를 들어, 패킷을 재지향 또는 폐기하여, 흐름 제어를 구현한다. 종래의 방식으로, 제어 디바이스는 통신을 위해 포워딩 디바이스를 사용하는 네트워크 디바이스들의 각각의 쌍에 대해 하나의 흐름 필터링 규칙을 구성한다. 다수의 네트워크 디바이스가 존재할 때, 다수의 흐름 필터링 규칙이 구성되어, 제어 디바이스로부터 포워딩 디바이스로 흐름 필터링 규칙을 전달하기 위해 더 많은 네트워크 리소스들이 점유될 필요가 있고, 추가로 포워딩 디바이스도 다수의 저장 리소스를 점유하게 된다.
본 출원의 실시예들은 다수의 흐름 필터링 규칙의 전달로 인해 많은 네트워크 리소스가 점유된다는 문제점을 해결하기 위한 패킷 처리 방법 및 장치, 및 관련 디바이스를 제공한다.
본 출원의 실시예는 패킷 처리 방법을 제공하고, 이러한 방법은 제1 디바이스에 적용되고, 구체적으로 다음의 단계들: 제1 디바이스가 먼저 흐름 필터링 규칙을 생성하는 단계, 및 그 후 흐름 필터링 규칙을 제2 디바이스에 전송하는 단계를 포함하고, 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함하고, 액션 항목은 제2 디바이스에게 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용된다. 제1 디바이스는 흐름 필터링 규칙을 생성 및 전달하기 위한 제어 디바이스일 수 있고, 서버, 단말기, 라우터 등일 수 있다. 구체적으로, 경계 게이트웨이 프로토콜 흐름 사양 서버가 제1 디바이스로서 설정될 수 있다. 제2 디바이스는 라우터, 스위치, 브리지, 또는 게이트웨이와 같은 포워딩 디바이스일 수 있다.
즉, 본 출원의 이 실시예에서, 자율 도메인 식별자에 대응하는 자율 도메인에서의 네트워크 디바이스들의 IP 어드레스들이 집계되고, 자율 도메인 식별자에 기초하여 흐름 필터링 규칙이 생성된다. 예를 들어, 매칭 항목에서의 IP 어드레스가 수신된 패킷의 소스 IP 어드레스일 때, 자율 도메인은 수신된 패킷의 목적지 어드레스에 대응하는 디바이스가 속하는 자율 도메인이므로, 자율 도메인에서의 모든 네트워크 디바이스에 대해 하나의 필터링 규칙만이 생성될 필요가 있다. 자율 도메인에서의 각각의 디바이스마다 개별 필터링 규칙이 더 이상 생성될 필요가 없어서, 생성되는 흐름 필터링 규칙들의 수량이 감소되고, 흐름 필터링 규칙들을 제2 디바이스에 전달하는데 필요한 네트워크 리소스들이 감소되게 된다.
선택적으로, IP 어드레스는 패킷의 소스 IP 어드레스일 수 있다. 이에 대응하여, 자율 도메인 식별자는 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다. 대안적으로, IP 어드레스는 패킷의 목적지 IP 어드레스일 수 있다. 이에 대응하여, 자율 도메인 식별자는 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다. 상이한 자율 도메인들을 구별하기 위해 자율 도메인 식별자들이 사용된다. 예를 들어, 중국 텔레콤(China Telecom)의 자율 도메인 식별자는 AS1000일 수 있고, 중국 모바일의 자율 도메인 식별자는 AS2000일 수 있다.
선택적으로, 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 식별자이다. 제2 디바이스와 소스 IP 어드레스에 대응하는 네트워크 디바이스가 동일한 자율 도메인에 속하면, 흐름 필터링 규칙이 생성될 때, 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 자율 도메인 식별자를 획득함으로써 획득될 수 있다. 제2 디바이스와 목적지 IP 어드레스에 대응하는 네트워크 디바이스가 동일한 자율 도메인에 속하면, 목적지 IP 어드레스가 속하는 자율 도메인의 자율 도메인 식별자도 제2 디바이스가 속하는 자율 도메인의 자율 도메인 식별자를 획득함으로써 획득될 수 있다.
본 출원의 실시예는 패킷 처리 방법을 추가로 제공하고, 이러한 방법은 제2 디바이스에 적용되고, 구체적으로, 다음 단계들: 제2 디바이스가 제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신하는 단계- 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함함 -; 제2 디바이스가 패킷을 수신하고, 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하는 단계- 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함함 -; 및 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 매칭되고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다고 결정될 때, 제2 디바이스가 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하는 단계를 포함한다.
본 출원의 이 실시예에서, 자율 도메인 식별자에 대응하는 자율 도메인에서의 네트워크 디바이스들의 IP 어드레스들이 집계되고, 자율 도메인 식별자에 기초하여 흐름 필터링 규칙이 생성된다. 예를 들어, 매칭 항목에서의 IP 어드레스가 수신된 패킷의 목적지 IP 어드레스일 때, 자율 도메인은 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인이므로, 자율 도메인에서의 모든 네트워크 디바이스들에 대해 하나의 필터링 규칙만이 생성될 필요가 있다. 자율 도메인에서의 각각의 디바이스마다 개별 필터링 규칙이 더 이상 생성될 필요가 없어서, 생성되는 흐름 필터링 규칙들의 수량이 감소되고, 제2 디바이스에 저장되는 필터링 규칙들의 수량이 크게 감소됨으로써, 제2 디바이스의 저장 리소스들을 절약한다.
선택적으로, 제1 어드레스는 패킷의 목적지 IP 어드레스일 수 있고, 이에 대응하여, 제2 어드레스는 패킷의 소스 IP 어드레스이다. 대안적으로, 제1 어드레스는 패킷의 소스 IP 어드레스일 수 있고, 이에 대응하여, 제2 어드레스는 패킷의 목적지 IP 어드레스이다.
선택적으로, 액션 항목에 의해 표시된 패킷 처리 모드는 다음 처리 모드들:
패킷을 폐기하는 모드, 패킷을 재지향시키는 모드, 및 패킷을 마킹하는 모드 중 하나 이상을 포함한다.
패킷을 폐기한다는 것은 패킷이 포워딩되지 않고 패킷이 삭제된다는 것을 의미한다. 패킷의 재지향은 패킷에 대응하는 다음-홉 정보가 변경되어, 패킷의 포워딩 경로를 변경하고 네트워크에서의 흐름을 제어하는 것을 의미한다. 패킷을 마킹한다는 것은 흐름 통계 수집과 같은 후속 처리를 위해 패킷이 마킹된다는 것을 의미한다.
선택적으로, 본 방법은:
흐름 필터링 규칙에 따라 액세스 제어 리스트를 생성하는 단계를 추가로 포함하고, 액세스 제어 리스트는 IP 어드레스, 자율 도메인 인덱스, 및 액션 항목을 저장하고, 자율 도메인 인덱스는 자율 도메인 식별자에 대응한다. 액세스 제어 리스트는 일반적으로 소량의 문자를 저장할 수 있기 때문에, 소량의 문자를 갖는 자율 도메인 인덱스가 자율 도메인 식별자 대신에 액세스 제어 리스트에 저장되고, 자율 도메인 인덱스와 자율 도메인 식별자 사이의 매핑 관계가 확립될 수 있어서, 자율 도메인 인덱스가 후속하여 자율 도메인 식별자에 기초하여 발견될 수 있다.
그 후, 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 매칭되고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다고 결정될 때, 제2 디바이스가 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하는 것은:
패킷의 제2 어드레스가 액세스 제어 리스트 내의 IP 어드레스와 동일하고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는 것으로 결정할 때, 제2 디바이스가 액세스 제어 리스트에 저장된 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하는 것을 포함한다.
본 출원의 실시예는 패킷 처리 장치를 추가로 제공하고, 이러한 장치는 제1 디바이스에서 사용되고,
흐름 필터링 규칙을 생성하도록 구성된 규칙 생성 유닛- 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함함 -; 및
흐름 필터링 규칙을 제2 디바이스에 전송하도록 구성된 규칙 전송 유닛- 액션 항목은 제2 디바이스에게, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용됨 -을 포함한다.
선택적으로, IP 어드레스는 패킷의 소스 IP 어드레스이고, 자율 도메인 식별자는 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다.
선택적으로, IP 어드레스는 패킷의 목적지 IP 어드레스이고, 자율 도메인 식별자는 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다.
선택적으로, 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 식별자이다.
본 출원의 실시예는 패킷 처리 장치를 추가로 제공하고, 이러한 장치는 제2 디바이스에서 사용되고,
제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신하도록 구성된 규칙 수신 유닛- 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함함 -;
패킷을 수신하고, 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하도록 구성된 패킷 수신 유닛- 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함함 -; 및
패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 매칭되고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다고 결정될 때, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하도록 구성된 패킷 처리 유닛을 포함한다.
선택적으로, 제1 어드레스는 패킷의 목적지 IP 어드레스이고, 제2 어드레스는 패킷의 소스 IP 어드레스이다.
선택적으로, 제1 어드레스는 패킷의 소스 IP 어드레스이고, 제2 어드레스는 패킷의 목적지 IP 어드레스이다.
선택적으로, 액션 항목에 의해 표시된 패킷 처리 모드는 다음 처리 모드들:
패킷을 폐기하는 모드, 패킷을 재지향시키는 모드, 및 패킷을 마킹하는 모드 중 하나 이상을 포함한다.
선택적으로, 본 장치는:
흐름 필터링 규칙에 따라 액세스 제어 리스트를 생성하도록 구성된 리스트 생성 유닛- 액세스 제어 리스트는 IP 어드레스, 자율 도메인 인덱스, 및 액션 항목을 저장하고, 자율 도메인 인덱스는 자율 도메인 식별자에 대응함 -을 추가로 포함하고,
패킷 처리 유닛은 구체적으로: 패킷의 제2 어드레스가 액세스 제어 리스트 내의 IP 어드레스와 동일하고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는 것으로 결정될 때, 액세스 제어 리스트에 저장된 액션 항목에 의해 표시된 상기 패킷 처리 모드에 기초하여 패킷을 처리하도록 구성된다.
본 출원의 실시예는 패킷 처리 디바이스를 추가로 제공하고, 이러한 디바이스는 제1 디바이스이고, 제1 디바이스는 저장 유닛, 처리 유닛, 및 통신 유닛을 포함하고;
저장 유닛은 명령어를 저장하도록 구성되고;
처리 유닛은 저장 유닛 내의 명령어를 실행하여, 제1 디바이스에 적용되는 전술한 패킷 처리 방법을 수행하도록 구성되고;
통신 유닛은 제2 디바이스와 통신하도록 구성된다.
본 출원의 실시예는 패킷 처리 디바이스를 추가로 제공하고, 이러한 디바이스는 제2 디바이스이고, 제2 디바이스는 저장 유닛, 처리 유닛, 및 통신 유닛을 포함하고;
저장 유닛은 명령어를 저장하도록 구성되고;
처리 유닛은 저장 유닛 내의 명령어를 실행하여, 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행하도록 구성되고;
통신 유닛은 제1 디바이스와 통신하도록 구성된다.
본 출원의 실시예는 컴퓨터 판독가능 저장 매체를 추가로 제공하고, 여기서 컴퓨터 판독가능 저장 매체는 명령어를 저장하고, 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 디바이스에 적용되는 전술한 패킷 처리 방법 및/또는 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행할 수 있게 된다.
본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 추가로 제공하고, 여기서 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 디바이스에 적용되는 전술한 패킷 처리 방법 및/또는 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행할 수 있게 된다.
본 출원의 실시예는 패킷 처리 시스템을 추가로 제공하고, 여기서 시스템은 전술한 제1 디바이스 및 제2 디바이스를 포함한다.
도 1은 본 출원의 실시예에 따른 포워딩 디바이스의 개략도이고;
도 2는 본 출원의 실시예에 따른 흐름 제어 시스템의 개략도이고;
도 3은 본 출원의 실시예에 따른 패킷 처리 시스템의 구조 블록도이고;
도 4는 본 출원의 실시예에 따른 패킷 처리 방법의 흐름도이고;
도 5는 본 출원의 실시예에 따른 다른 패킷 처리 방법의 흐름도이고;
도 6은 본 출원의 실시예에 따른 패킷의 개략도이고;
도 7은 종래 기술의 라우팅 및 포워딩 엔트리의 개략도이고;
도 8은 본 출원의 실시예에 따른 라우팅 및 포워딩 엔트리의 개략도이고;
도 9는 본 출원의 실시예에 따른 액세스 제어 엔트리의 개략도이고;
도 10은 본 출원의 실시예에 따른 패킷 처리 장치의 구조 블록도이고;
도 11은 본 출원의 실시예에 따른 다른 패킷 처리 장치의 구조 블록도이고;
도 12는 본 출원의 실시예에 따른 패킷 처리 디바이스의 하드웨어 아키텍처의 도면이고;
도 13은 본 출원의 실시예에 따른 다른 패킷 처리 디바이스의 하드웨어 아키텍처의 도면이다.
본 출원의 실시예들은 패킷 처리 방법 및 장치, 및 관련 디바이스를 제공하여, 각각의 포워딩 디바이스가 다수의 흐름 필터링 규칙을 전달하는 문제점을 해결하고 네트워크 리소스들의 낭비를 감소시킨다.
본 출원의 명세서, 청구범위, 및 첨부 도면들에서, "제1", "제2", "제3", "제4" 등(존재한다면)의 용어들은 유사한 대상들을 구별하고자 하는 것이지, 반드시 특정 순서 또는 시퀀스를 표시하는 것은 아니다. 이러한 방식으로 칭해지는 데이터는 본 명세서에 설명되는 본 발명의 실시예들이 본 명세서에 예시되거나 설명되는 순서와 다른 순서로 구현될 수 있도록 적절한 상황들에서 교환 가능하다는 점이 이해되어야 한다. 게다가, "포함하다", "구비하다"라는 용어들 및 임의의 다른 변형들은 비배타적인 포함을 커버하고자 하는 것이며, 예를 들어, 단계들 또는 유닛들의 리스트를 포함하는 프로세스, 방법, 시스템, 제품, 또는 디바이스는 반드시 그러한 명확하게 열거된 단계들 또는 유닛들로 제한되는 것은 아니고, 명시적으로 열거되지 않은 또는 그러한 프로세스, 방법, 시스템, 제품, 또는 디바이스에 고유한 다른 단계들 또는 유닛들을 포함할 수 있다.
종래의 기술에서, 패킷은 포워딩 디바이스에 의해 포워딩될 수 있다. 패킷을 수신한 후에, 포워딩 디바이스는 라우팅 및 포워딩 테이블에 기초하여 패킷에 대응하는 다음-홉 정보를 결정하고, 패킷을 다른 대응하는 네트워크 디바이스에 포워딩할 수 있다. 예를 들어, 도 1을 참조하면, 제1 사용자(101)와 제2 사용자(102)는 패킷을 포워딩 디바이스(103)에 전송할 수 있고, 포워딩 디바이스(103)는 수신된 패킷을 제1 디바이스(104), 제2 디바이스(105), 제3 디바이스(106), 및 제4 디바이스(107)에 포워딩한다. 제1 디바이스(104)의 어드레스는 제1 어드레스이고, 제2 디바이스(105)의 어드레스는 제2 어드레스이고, 제3 디바이스(106)의 어드레스는 제3 어드레스이고, 제4 디바이스(107)의 어드레스는 제4 어드레스이다.
그러나, 포워딩 디바이스는 포워딩 디바이스의 대역폭, 버퍼 공간, 및 처리 능력과 같은, 패킷 포워딩을 위한 네트워크 리소스들에 의존한다. 필요한 네트워크 리소스들이 현재 이용 가능한 네트워크 리소스들을 초과하는 경우, 네트워크 혼잡이 발생할 수 있다. 예를 들어, 불법 사용자는 분산 서비스 거부(distributed denial of service, DDOS)의 클라이언트 또는 서버를 사용하여 공격을 시작할 수 있는데; 즉, 복수의 컴퓨터는 하나 이상의 타겟에 대해 DDOS 공격을 시작하기 위한 공격 플랫폼으로서 결합되어, 네트워크가 혼잡하게 되고, 타겟 디바이스 상의 정상적인 서비스 동작에 영향을 줌으로써, 공격 목적을 달성한다.
네트워크가 혼잡해지는 것을 효과적으로 방지하기 위해, 흐름 제어는 포워딩 디바이스 상에서 수행될 수 있다. 구체적으로, 포워딩 디바이스의 흐름을 분석하여 흐름 필터링 규칙을 획득할 수 있고, 흐름 필터링 규칙이 포워딩 디바이스에 대해 발행된다. 포워딩 디바이스는 흐름 필터링 규칙에 따라 패킷을 처리하는데, 예를 들어, 패킷을 재지향 또는 폐기하여, 흐름 제어를 구현한다.
예를 들어, 도 2는 본 출원의 실시예에 따른 흐름 제어 시스템의 개략도이다. 포워딩 디바이스(103)의 흐름은 제어 디바이스(108)에 의해 분석되어 흐름 필터링 규칙을 획득할 수 있고, 흐름 필터링 규칙은 포워딩 디바이스(103)에 발행된다. 포워딩 디바이스(103)는 흐름 필터링 규칙에 따라 수신된 패킷을 처리할 수 있다.
그러나, 일반적으로, 네트워크 내에는 다수의 네트워크 디바이스가 존재한다. 따라서, 포워딩 디바이스를 통해 통신을 수행하는 네트워크 디바이스들의 각각의 쌍에 대해 하나의 흐름 필터링 규칙이 구성될 필요가 있다. 다수의 네트워크 디바이스가 존재할 때, 다수의 흐름 필터링 규칙이 구성되고, 생성되는 다수의 흐름 필터링 규칙이 각각의 포워딩 디바이스에 전달되어, 각각의 포워딩 디바이스에 대해 흐름 제어가 구현될 수 있게 된다. 결과적으로, 다수의 네트워크 리소스가 점유된다.
예를 들어, 도 2를 참조하면, 제1 사용자(101)는 포워딩 디바이스(103)를 통해 패킷을 제1 디바이스(104)에 전송할 수 있고, 이에 대응하여 하나의 흐름 필터링 규칙을 구성할 수 있는데; 예를 들어, 필터링 규칙에서의 매칭 항목은 제1 사용자의 IP 어드레스와 제1 IP 어드레스를 포함한다. 제2 사용자(102)는 포워딩 디바이스(103)를 통해 패킷을 제1 디바이스(104)에 전송할 수 있고, 이에 대응하여 하나의 흐름 필터링 규칙을 구성할 수 있는데; 예를 들어, 필터링 규칙에서의 매칭 항목은 제2 사용자의 IP 어드레스와 제1 IP 어드레스를 포함한다. 따라서, 도 2에 도시된 2명의 사용자와 4개의 IP 어드레스에 대해 8개의 흐름 필터링 규칙이 구성될 필요가 있다. 마찬가지로, m명의 사용자가 소스 IP 어드레스들을 갖고 n개의 IP 어드레스에 액세스하고, 네트워크가 목적지 IP 어드레스를 가지고, n개의 IP 어드레스에 액세스하는 m명의 사용자의 흐름을 제어하는 경우, m개의 소스 IP 어드레스 및 n개의 목적지 IP 어드레스에 기초하여 mxn개의 흐름 필터링 규칙이 생성될 필요가 있다. mxn개의 흐름 필터링 규칙은 각각의 포워딩 디바이스에 분산되어, 포워딩 디바이스가 수신된 패킷에 대해 대응하는 처리를 수행할 수 있게 한다. 필터링 규칙 분산 프로세스는 다수의 네트워크 리소스를 점유하고, 다수의 저장 리소스들이 이러한 필터링 규칙들을 저장하기 위해 포워딩 디바이스에 의해 점유된다.
본 출원의 실시예들은, 다수의 흐름 필터링 규칙이 생성되고 전달되기 때문에 네트워크 리소스들이 낭비되는 기술적 문제점을 해결하기 위해, 패킷 처리 방법 및 장치, 및 관련 디바이스를 제공한다. 구체적으로, 제1 디바이스는 흐름 필터링 규칙을 생성하고, 그 흐름 필터링 규칙을 제2 디바이스에 전송한다. 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 IP 어드레스와 자율 시스템(autonomous system, AS) 식별자(identifier, ID)를 포함하고, 액션 항목은 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭되는 패킷을 처리하도록 제2 디바이스에게 지시하는데 사용된다. 즉, 본 출원의 이 실시예에서, 자율 도메인 식별자에 대응하는 자율 도메인에서의 네트워크 디바이스들의 IP 어드레스들이 집계되고, 자율 도메인 식별자에 기초하여 흐름 필터링 규칙이 생성된다. 이러한 방식으로, 매칭 항목에서의 IP 어드레스에 대응하는 네트워크 디바이스와 통신하는 자율 도메인에서의 모든 네트워크 디바이스에 대해 하나의 흐름 필터링 규칙만이 생성될 필요가 있고, 종래의 기술에서와 같이 자율 도메인에서의 각각의 네트워크 디바이스마다 하나의 흐름 필터링 규칙이 더 이상 생성될 필요가 없어서, 생성되는 흐름 필터링 규칙들의 수량이 감소되고, 흐름 필터링 규칙들을 제2 디바이스에 전달하는데 필요한 네트워크 리소스들의 수량이 또한 감소된다.
도 3은 본 출원의 실시예에 따른 시스템의 프레임워크의 개략도이다. 시스템은 제1 디바이스(100), 제2 디바이스(200), 전송 디바이스(300), 및 수신 디바이스(400)를 포함한다. 제1 디바이스(100)는 제2 디바이스(200)에 접속되고, 전송 디바이스(300)와 수신 디바이스(400) 둘 다는 제2 디바이스(200)에 접속된다.
제1 디바이스(100)는 소프트웨어 정의 네트워크(software defined network, SDN) 내의 제어기, 또는 네트워크 관리 디바이스, 서버, 단말기, 또는 라우터와 같은 다른 디바이스일 수 있으며, 여기서 서버는, 예를 들어, 경계 게이트웨이 프로토콜(border gateway protocol, BGP) 흐름 사양 서버(flow specification server)이다. 제1 디바이스(100)는 흐름 필터링 규칙을 생성하도록 구성되고, 여기서 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 IP 어드레스와 자율 도메인 식별자를 포함하고, 흐름 필터링 규칙 내의 액션 항목은 액션 항목에 의해 표시된 패킷 처리 모드에 따라 매칭 항목에 대응하는 패킷을 처리하도록 제2 디바이스에게 지시하는데 사용될 수 있다.
제2 디바이스(200)는 라우터 또는 스위치와 같은 포워딩 디바이스일 수 있고, 전송 디바이스(300)로부터 수신 디바이스(400)로 수신된 패킷을 전송하도록 구성된다. 전송 디바이스(300)와 수신 디바이스(400)는 각각 단말기, 서버, 또는 사용자에 접속된 디바이스일 수 있다.
제2 디바이스(200)는 제1 디바이스(100)에 의해 전송된 흐름 필터링 규칙을 수신한다. 전송 디바이스(300)에 의해 전송된 패킷을 수신한 후에, 제2 디바이스(200)는 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정할 수 있고, 여기서 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함한다. 패킷의 제1 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 매칭되고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다고 결정될 때, 제2 디바이스(200)는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리한다.
제1 어드레스는 패킷의 목적지 IP 어드레스일 수 있고, 제2 어드레스는 패킷의 소스 IP 어드레스일 수 있다. 대안적으로, 제1 어드레스는 패킷의 소스 IP 어드레스이고, 제2 어드레스는 패킷의 목적지 IP 어드레스이다.
예를 들어, 흐름 필터링 규칙에서의 매칭 항목은 소스 IP 어드레스 IP-1와 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 자율 도메인 식별자 AS1000를 포함할 수 있고, 매칭 항목에 대응하는 액션 항목은 폐기될 수 있다. 제2 디바이스(200)가 소스 IP 어드레스가 IP-1이고 목적지 IP 어드레스가 IP-2인 패킷 M1을 수신하면, 제2 디바이스(200)는 목적지 IP 어드레스에 기초하여 라우팅 및 포워딩 테이블을 검색하여 목적지 IP 어드레스에 대응하는 라우팅 및 포워딩 엔트리를 획득할 수 있고, 여기서 라우팅 및 포워딩 엔트리는 목적지 IP 어드레스 IP-2와 목적지 IP 어드레스가 속하는 자율 도메인의 자율 도메인 식별자를 포함한다. 목적지 IP 어드레스 IP-2에 대응하는 자율 도메인 식별자가 AS1000일 때, 그리고 패킷 M1의 소스 IP 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하고 둘 다 IP-1이기 때문에, 패킷이 흐름 필터링 규칙에서의 매칭 항목과 매칭하는 것으로 간주될 수 있고, 제2 디바이스(200)는 대응하는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷 M1을 폐기할 수 있다.
이해의 용이함을 위해, 본 출원의 실시예들이 아래에 상세히 설명된다.
도 4는 본 출원의 실시예에 따른 패킷 처리 방법의 흐름도이다. 본 방법은 제1 디바이스에 적용될 수 있고, 다음의 단계들을 포함한다:
S101. 흐름 필터링 규칙을 생성한다.
제1 디바이스는 흐름 필터링 규칙을 생성 및 전달하기 위한 제어 디바이스일 수 있고, 서버, 단말기, 라우터 등일 수 있다. 구체적으로, 경계 게이트웨이 프로토콜 흐름 사양 서버가 제1 디바이스로서 설정될 수 있다.
흐름 필터링 규칙은 제2 디바이스에게 패킷을 매칭 및 처리하도록 지시하는데 사용되는 규칙이고, 매칭 항목과 액션 항목을 포함할 수 있다. 매칭 항목은 IP 어드레스와 자율 도메인 식별자를 포함할 수 있다. 구체적으로, IP 어드레스가 패킷의 소스 IP 어드레스인 경우, 자율 도메인 식별자는 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 자율 도메인 식별자이거나; 또는 IP 어드레스가 패킷의 목적지 IP 어드레스인 경우, 자율 도메인 식별자는 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 자율 도메인 식별자이다. 상이한 자율 도메인들을 구별하기 위해 자율 도메인 식별자들이 사용된다. 예를 들어, 중국 텔레콤(China Telecom)의 자율 도메인 식별자는 AS1000일 수 있고, 중국 모바일의 자율 도메인 식별자는 AS2000일 수 있다.
제1 디바이스가 흐름 필터링 규칙을 생성할 수 있게 하기 위해, 제1 디바이스는 제2 디바이스에 의해 수신되는 패킷에 관한 정보를 획득할 수 있고, 여기서 패킷 정보는 패킷의 소스 IP 어드레스 및 목적지 IP 어드레스를 포함한다. 또한, 제1 디바이스는 소스 IP 어드레스 또는 목적지 IP 어드레스에 대응하는 자율 도메인 식별자를 획득할 필요가 있다. 제2 디바이스와 소스 IP 어드레스에 대응하는 네트워크 디바이스가 동일한 자율 도메인에 속하면, 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 자율 도메인 식별자를 획득함으로써 획득될 수 있다. 제2 디바이스와 목적지 IP 어드레스에 대응하는 네트워크 디바이스가 동일한 자율 도메인에 속하면, 목적지 IP 어드레스가 속하는 자율 도메인의 자율 도메인 식별자도 제2 디바이스가 속하는 자율 도메인의 자율 도메인 식별자를 획득함으로써 획득될 수 있다. 즉, 이 경우, 매칭 항목 내의 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 자율 도메인 식별자이다. 그러나, 제2 디바이스가 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인 또는 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인과 독립적이면, 자율 도메인 식별자는 다른 방법을 사용하여 획득될 필요가 있는데; 예를 들어, 대응하는 자율 도메인 식별자는 소스 IP 어드레스 또는 목적지 IP 어드레스에 기초하여 제1 디바이스에서 직접 구성될 필요가 있다.
본 출원의 이 실시예에서, 생성되는 흐름 필터링 규칙들의 수량을 감소시키는 목적은 자율 도메인 식별자에 기초하여 소스 IP 어드레스들 또는 목적지 IP 어드레스들의 클러스터링을 통해 달성된다.
예를 들어, m명의 사용자가 n개의 IP 어드레스에 액세스할 때, 종래 기술에서는, 흐름 제어를 구현하기 위해 mxn개의 흐름 필터링 규칙이 생성될 필요가 있다. 그러나, n개의 IP 어드레스가 동일한 자율 도메인에 속하고 n개의 IP 어드레스의 자율 도메인 식별자가 A인 경우, mx1개의 흐름 필터링 규칙이 생성될 필요가 있고, 각각의 흐름 필터링 규칙에서의 매칭 항목은 자율 도메인 식별자 A와 사용자들 중 한명의 IP 어드레스를 포함하고, 그렇게 함으로써 흐름 필터링 규칙들의 수량을 효과적으로 감소시킨다.
도 2를 참조하면, 제1 IP 어드레스(104)와 제2 IP 어드레스(105)가 제1 자율 도메인에 속하면, 매칭 항목은 제1 사용자(101)의 IP 어드레스와 제1 자율 도메인의 식별자를 포함할 수 있고, 매칭 항목은 포워딩 디바이스(103)를 통해 제1 IP 어드레스(104) 및/또는 제2 IP 어드레스(105)에 액세스함으로써 제1 사용자(101)에 의해 생성되는 패킷을 매칭하는데 사용될 수 있다. 제3 IP 어드레스(106)와 제4 IP 어드레스(107)가 제2 자율 도메인에 속하면, 매칭 항목은 제1 사용자(101)의 IP 어드레스와 제2 자율 도메인의 식별자를 포함할 수 있고, 매칭 항목은 포워딩 디바이스(103)를 통해 제3 IP 어드레스(106) 및/또는 제4 IP 어드레스(107)에 액세스함으로써 제1 사용자(101)에 의해 생성되는 패킷을 매칭하는데 사용된다. 따라서, 제1 자율 도메인에 액세스하는 2명의 사용자에 대해 2개의 흐름 필터링 규칙이 생성될 수 있고, 제2 자율 도메인에 액세스하는 2명의 사용자에 대해 2개의 흐름 필터링 규칙이 생성될 수 있다.
마찬가지로, m명의 사용자가 동일한 자율 도메인에 속하고 그들의 자율 도메인 식별자가 B이면, 1xn개의 흐름 필터링 규칙이 생성될 수 있고, 각각의 흐름 필터링 규칙에서의 매칭 항목은 자율 도메인 식별자 B와 n개의 IP 어드레스 중 하나를 포함한다. 흐름 필터링 규칙들의 수량은 또한 종래 기술과 비교하여 효과적으로 감소될 수 있다.
또한, IP 어드레스와 자율 도메인 식별자 이외에, 매칭 항목은 또한 IP 프로토콜, 소스 포트, 목적지 포트, 인터넷 제어 메시지 프로토콜(internet control message protocol, ICMP) 타입, ICMP 코드, 송신 제어 프로토콜(transmission control protocol, TCP) 플래그, 패킷 길이, 및 차별화된 서비스 코드 포인트(differentiated services code point, DSCP) 중 하나 이상과 같은, 패킷에 관한 다른 정보를 포함할 수 있다.
흐름 필터링 규칙에서의 액션 항목은 매칭 항목에 대응하고, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭하는 패킷을 처리하도록 지시하는데 사용된다. 액션 항목은 패킷을 폐기하는 것, 패킷을 재지향시키는 것, 및 패킷을 마킹하는 것을 포함할 수 있다. 패킷을 폐기한다는 것은 패킷이 포워딩되지 않고 패킷이 삭제된다는 것을 의미한다. 패킷의 재지향은 패킷에 대응하는 다음-홉 정보가 변경되어, 패킷의 포워딩 경로를 변경하고 네트워크에서의 흐름을 제어하는 것을 의미한다. 패킷을 마킹한다는 것은 흐름 통계 수집과 같은 후속 처리를 위해 패킷이 마킹된다는 것을 의미한다.
S102. 흐름 필터링 규칙을 제2 디바이스에게 전송한다
제2 디바이스는 라우터, 스위치, 브리지, 또는 게이트웨이와 같은 포워딩 디바이스일 수 있다. 제1 디바이스는 제2 디바이스가 패킷에 대해 매칭을 수행하도록, 매칭 항목과 액션 항목을 갖는 흐름 필터링 규칙을 제2 디바이스에 전송할 수 있다. 패킷이 매칭 항목에 매칭될 때, 제2 디바이스는 매칭 항목에 대응하는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리한다.
비교적 적은 수량의 흐름 필터링 규칙이 생성되기 때문에, 제1 디바이스는 적은 수량의 흐름 필터링 규칙을 제2 디바이스에 전송하고, 그에 의해 네트워크 리소스들을 절약하고 제2 디바이스의 저장 리소스들을 절약한다.
본 출원의 이러한 실시예에서 제공되는 패킷 처리 방법에서, 제1 디바이스는 먼저 흐름 필터링 규칙을 생성하고나서, 그 흐름 필터링 규칙을 제2 디바이스에 전송하고, 여기서 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 IP 어드레스와 자율 도메인 식별자를 포함하고, 액션 항목은 액션 항목에 의해 표시되는 패킷 처리 모드에 기초하여, 매칭 항목에 매칭하는 패킷을 처리하도록 제2 디바이스에게 지시하는데 사용된다. 즉, 본 출원의 이 실시예에서, 자율 도메인 식별자에 대응하는 자율 도메인에서의 네트워크 디바이스들의 IP 어드레스들이 집계되고, 자율 도메인 식별자에 기초하여 흐름 필터링 규칙이 생성된다. 이러한 방식으로, 매칭 항목에서의 IP 어드레스에 대응하는 네트워크 디바이스와 통신하는 자율 도메인에서의 모든 네트워크 디바이스에 대해 하나의 흐름 필터링 규칙만이 생성될 필요가 있고, 종래의 기술에서와 같이 자율 도메인에서의 각각의 네트워크 디바이스마다 하나의 흐름 필터링 규칙이 더 이상 생성될 필요가 없어서, 생성되는 흐름 필터링 규칙들의 수량이 감소되고, 흐름 필터링 규칙들을 제2 디바이스에 전달하는데 필요한 네트워크 리소스들의 수량이 또한 감소된다.
도 5는 본 출원의 실시예에 따른 다른 패킷 처리 방법의 흐름도이다. 본 방법은 제2 디바이스에 적용될 수 있고, 다음의 단계들을 포함한다:
S201. 제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신한다.
전술한 바와 같이, 제2 디바이스는 라우터, 스위치, 브리지, 또는 게이트웨이와 같은 포워딩 디바이스일 수 있고; 제2 디바이스는 제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신할 수 있다. 제1 디바이스는 흐름 필터링 규칙을 생성 및 전달하기 위한 제어 디바이스일 수 있고, 서버, 단말기, 라우터 등일 수 있다. 구체적으로, 경계 게이트웨이 프로토콜 흐름 사양 서버가 제1 디바이스로서 사용될 수 있다.
제2 디바이스에 의해 수신된 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함할 수 있고, 여기서 매칭 항목은 IP 어드레스와 자율 도메인 식별자를 포함할 수 있다. 구체적으로, IP 어드레스는 패킷의 소스 IP 어드레스일 수 있고, 자율 도메인 식별자는 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다. 대안적으로, IP 어드레스는 패킷의 목적지 IP 어드레스일 수 있고, 자율 도메인 식별자는 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다.
제1 디바이스가 비교적 적은 수량의 흐름 필터링 규칙을 생성하기 때문에, 제2 디바이스는 비교적 적은 수량의 흐름 필터링 규칙을 수신한다. 예를 들어, m명의 사용자가 n개의 IP 어드레스에 액세스할 때 흐름 제어가 수행되는데; m명의 사용자가 동일한 자율 도메인에 속하면, 제2 디바이스는 1xn개의 흐름 필터링 규칙을 수신하고; 마찬가지로, n개의 IP 어드레스가 동일한 자율 도메인에 속하면, 제2 디바이스는 mx1개의 흐름 필터링 규칙을 수신한다.
물론, 매칭 항목은 또한 IP 프로토콜, 소스 포트, 목적지 포트, ICMP 타입, ICMP 코드, TCP 플래그, 패킷 길이, 및 DSCP 중 하나 이상과 같은 패킷에 관한 다른 정보를 포함할 수 있다. 흐름 필터링 규칙에서의 액션 항목은 매칭 항목에 대응하고, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭하는 패킷을 처리하도록 지시하는데 사용된다. 액션 항목은 패킷을 폐기하는 것, 패킷을 재지향시키는 것, 및 패킷을 마킹하는 것을 포함할 수 있다.
S202. 패킷을 수신하고, 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정한다.
도 6에 도시된 바와 같이, 제2 디바이스에 의해 수신된 패킷은 소스 IP 어드레스(201), 목적지 IP 어드레스(202), 및 데이터(203)를 포함한다. 소스 IP 어드레스(201)는 패킷을 생성하는 네트워크 디바이스의 어드레스이고, 목적지 IP 어드레스(202)는 패킷을 수신할 것으로 예상되는 네트워크 디바이스의 어드레스이다. 보통, 제2 디바이스는 패킷을 포워드할 필요가 있지만, 패킷에 대해 흐름 제어가 수행될 때, 패킷에 대해 다른 처리가 수행될 필요가 있다.
라우팅 및 포워딩 테이블은 제2 디바이스에 저장될 수 있고, 라우팅 및 포워딩 테이블은 복수의 라우팅 및 포워딩 엔트리를 포함한다. 각각의 라우팅 및 포워딩 엔트리는 이에 대응하여 패킷의 포워딩 정보를 저장한다. 도 7은 패킷의 소스 IP 어드레스(301), 패킷의 목적지 IP 어드레스(302), 및 다음-홉 정보(303)를 포함하는, 종래 기술에서의 라우팅 및 포워딩 엔트리의 개략도이다. 따라서, 제2 디바이스는 소스 IP 어드레스와 목적지 IP 어드레스와 같은 패킷에 관한 정보에 기초하여 라우팅 및 포워딩 테이블을 검색하여, 패킷에 대응하는 다음-홉 정보를 결정하고, 다음-홉 정보에 기초하여 패킷을 포워딩할 수 있다.
본 출원의 이 실시예에서, 자율 도메인 식별자가 라우팅 및 포워딩 테이블에 추가될 수 있다. 구체적으로, 소스 IP 어드레스가 속하는 자율 도메인의 식별자가 추가될 수 있거나, 또는 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자가 추가될 수 있거나, 또는 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자와 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자 양쪽 모두가 추가될 수 있다. 도 8은 패킷의 소스 IP 어드레스(301), 소스 AS-ID(304), 목적지 IP 어드레스(302), 목적지 AS-ID(305), 및 다음-홉 정보(303)를 포함하는, 본 출원의 실시예에 따른 라우팅 및 포워딩 엔트리의 개략도이며, 여기서 소스 AS-ID(304)는 소스 IP 어드레스(301)가 속하는 자율 도메인의 식별자이고, 목적지 AS-ID(305)는 목적지 IP 어드레스(302)가 속하는 자율 도메인의 식별자이다.
라우팅 및 포워딩 엔트리에서, 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자 및/또는 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자가 구성될 수 있다.
제2 디바이스가 내부 게이트웨이 프로토콜 디바이스 또는 경계 게이트웨이 프로토콜 디바이스이면, 일반적으로, 제2 디바이스는 하나 이상의 자율 도메인 식별자를 저장한다. 구체적으로, 제2 디바이스가 내부 게이트웨이 프로토콜 디바이스이고 소스 IP 어드레스에 대응하는 네트워크 디바이스와 동일한 자율 도메인에 속하면, 제2 디바이스에 저장되는 자율 도메인 식별자는 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이거나; 또는, 제2 디바이스가 내부 게이트웨이 프로토콜 디바이스이고 목적지 IP 어드레스에 대응하는 네트워크 디바이스와 동일한 자율 도메인에 속하면, 제2 디바이스에 저장되는 자율 도메인 식별자는 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다. 제2 디바이스가 경계 게이트웨이 프로토콜 디바이스이면, 즉, 제2 디바이스가 소스 IP 어드레스에 대응하는 네트워크 디바이스와 동일한 자율 도메인에 속하고, 또한 목적지 IP 어드레스에 대응하는 네트워크 디바이스와 동일한 자율 도메인에 속하면, 제2 디바이스는 적어도 2개의 자율 도메인 식별자를 저장한다. 따라서, 라우팅 및 포워딩 테이블에 추가될 자율 도메인 식별자는 소스 IP 어드레스 및 목적지 IP 어드레스에 기초하여 획득될 필요가 있다.
패킷을 수신한 후에, 제2 디바이스는 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정할 수 있고, 엔트리는 적어도 제1 어드레스와 제1 어드레스가 속하는 자율 도메인의 식별자를 포함한다. 제1 어드레스는 패킷의 소스 IP 어드레스일 수 있고, 제2 어드레스는 패킷의 목적지 IP 어드레스일 수 있다. 이에 대응하여, 제1 어드레스는 패킷의 목적지 IP 어드레스일 수 있고, 제2 어드레스는 패킷의 소스 IP 어드레스일 수 있다.
S203. 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일한 것으로 결정될 때, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리한다.
전술한 설명으로부터, 제2 디바이스는 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정할 수 있고, 엔트리는 제1 어드레스와 제1 어드레스가 속하는 자율 도메인의 식별자, 즉 제1 AS-ID를 포함한다는 것을 알 수 있다. 그 후, 제2 디바이스는 패킷의 제2 어드레스와 제1 AS-ID 양쪽 모두와 흐름 필터링 규칙에서의 매칭 항목 사이의 매칭을 수행할 수 있다. 구체적으로, 제2 디바이스는 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일한지와 제1 AS-ID가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일한지를 결정할 수 있다. 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하고, 제1 AS-ID가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일한 경우, 패킷이 흐름 필터링 규칙에서의 매칭 항목과 매칭된다고 간주된다. 이 경우, 패킷은 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 처리될 수 있다. 액션 항목은 패킷을 폐기하는 것, 패킷을 재지향시키는 것, 및 패킷을 마킹하는 것을 포함할 수 있다.
예를 들어, 흐름 필터링 규칙에서의 매칭 항목은 소스 IP 어드레스 IP-1와 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인 식별자 AS1000를 포함할 수 있고, 매칭 항목에 대응하는 액션 항목은 폐기될 수 있다. 제2 디바이스에 의해 수신된 패킷의 소스 IP 어드레스 및 목적지 IP 어드레스가 각각 IP-1 및 IP-2인 경우, 목적지 IP 어드레스에 대응하는 라우팅 및 포워딩 엔트리는 목적지 IP 어드레스에 기초하여 라우팅 및 포워딩 테이블을 검색함으로써 획득될 수 있고, 여기서 라우팅 및 포워딩 엔트리는 목적지 IP 어드레스 IP-2와 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자를 포함하는데, 즉, 제1 AS-ID는 AS1000이다. 따라서, 패킷의 소스 IP 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하다고 결정될 수 있다. 또한, 라우팅 및 포워딩 엔트리에 기초하여 획득된 제1 AS-ID가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다면, 패킷은 흐름 필터링 규칙에서의 매칭 항목과 매칭되고, 패킷은 대응하는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 처리된다고 간주될 수 있다. 구체적으로, 패킷은 폐기될 수 있다.
마찬가지로, 흐름 필터링 규칙에서의 매칭 항목은 목적지 IP 어드레스 IP-2와 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인 식별자 AS2000를 포함할 수 있고, 매칭 항목에 대응하는 액션 항목은 재지향될 수 있다. 흐름 필터링 규칙의 매칭 원리에 따라, 제2 디바이스에 의해 수신되는 패킷의 소스 IP 어드레스 및 목적지 IP 어드레스가 각각 IP-1 및 IP-2인 경우, 소스 IP 어드레스는 제1 어드레스이고 목적지 IP 어드레스는 제2 어드레스라고 결정될 수 있다. 소스 IP 어드레스에 대응하는 라우팅 및 포워딩 엔트리는 소스 IP 어드레스에 기초하여 라우팅 및 포워딩 테이블을 검색함으로써 획득될 수 있다. 라우팅 및 포워딩 엔트리는 소스 IP 어드레스 IP-1와 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자를 포함하는데, 즉, 제1 AS-ID는 AS2000이다. 따라서, 패킷의 목적지 IP 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하다고 결정될 수 있다. 또한, 라우팅 및 포워딩 엔트리에 기초하여 획득된 제1 AS-ID가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다면, 패킷은 흐름 필터링 규칙에서의 매칭 항목과 매칭되고, 패킷은 대응하는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 처리된다고 간주될 수 있다. 구체적으로, 패킷은 재지향될 수 있다.
흐름 필터링 규칙에 기초한 흐름 제어를 용이하게 하기 위해, 본 출원의 이 실시예에서는, 흐름 필터링 규칙에 따라 액세스 제어 리스트(access control list, ACL)가 생성될 수 있고, 액세스 제어 리스트는 매칭 항목과 액션 항목을 포함할 수 있다. 도 9는 본 출원의 실시예에 따른 액세스 제어 엔트리의 개략도이다. 매칭 항목은 IP 어드레스(401) 및 자율 도메인 인덱스(402)를 포함할 수 있으며, 이들은 흐름 필터링 규칙에서의 IP 어드레스 및 자율 도메인 식별자에 각각 대응한다. 자율 도메인 인덱스는 흐름 필터링 규칙에서의 자율 도메인 식별자에 대응한다. 실제 응용에서, 흐름 필터링 규칙에서의 자율 도메인 식별자와 자율 도메인 인덱스 사이의 매핑 관계가 확립될 수 있고, 매핑 관계가 충족될 때, 이 둘은 매칭되는 것으로 간주된다. 자율 도메인 식별자와 자율 도메인 인덱스는 동일하거나 상이할 수 있다.
따라서, 제2 디바이스는 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정할 수 있고, 엔트리는 제1 어드레스와 제1 어드레스가 속하는 자율 도메인의 식별자, 즉, 제1 AS-ID를 포함한다. 그 후, 제2 디바이스는 패킷의 제2 어드레스와 액세스 제어 리스트 내의 IP 어드레스 사이의 매칭을 수행하고 제1 AS-ID와 액세스 제어 리스트 내의 자율 도메인 인덱스 사이의 매칭을 수행할 수 있다. 구체적으로, 제2 디바이스는 패킷의 제2 어드레스가 액세스 제어 리스트 내의 IP 어드레스와 동일한지와 제1 AS-ID가 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는지를 결정할 수 있다. 패킷의 제2 어드레스가 액세스 제어 리스트 내의 IP 어드레스와 동일하고 제1 AS-ID가 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는 경우, 패킷은 액세스 제어 리스트 내의 매칭 항목과 매칭되는 것으로 간주된다. 이 경우, 패킷은 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 처리될 수 있다.
본 출원의 이러한 실시예에서 제공되는 다른 패킷 처리 방법에서, 제2 디바이스는 제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신하는데, 여기서 매칭 항목은 IP 어드레스와 자율 도메인 식별자를 포함한다. 상이한 자율 도메인들을 구별하기 위해 자율 도메인 식별자들이 사용될 수 있고, 하나의 자율 도메인은 복수의 네트워크 디바이스에 관한 정보에 대응하는 복수의 네트워크 디바이스를 포함할 수 있다. 제2 디바이스는 패킷을 수신하고, 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하고, 여기서 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함하고; 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 동일하고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일한 것으로 결정될 때, 제2 디바이스는 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리한다. 즉, 본 출원의 이 실시예에서, 자율 도메인 식별자에 대응하는 자율 도메인에서의 네트워크 디바이스들의 IP 어드레스들이 집계되고, 자율 도메인 식별자에 기초하여 흐름 필터링 규칙이 생성된다. 이러한 방식으로, 매칭 항목에서의 IP 어드레스에 대응하는 네트워크 디바이스와 통신하는 자율 도메인에서의 모든 네트워크 디바이스에 대해 하나의 흐름 필터링 규칙만이 생성될 필요가 있고, 종래의 기술에서와 같이 자율 도메인에서의 각각의 네트워크 디바이스마다 하나의 흐름 필터링 규칙이 더 이상 생성될 필요가 없어서, 생성되는 흐름 필터링 규칙들의 수량이 감소되고, 제1 디바이스는 비교적 적은 수량의 흐름 필터링 규칙에 기초하여 수신된 패킷들에 대해 매칭을 수행하고 매칭된 패킷들을 처리할 수 있고, 그렇게 함으로써 네트워크 리소스들을 절약한다.
도 10을 참조하면, 본 출원의 실시예는 패킷 처리 장치를 추가로 제공하고, 이 장치는 제1 디바이스에서 사용된다. 제1 디바이스는 도 4 또는 도 5에 도시된 실시예에서 제1 디바이스의 기능을 구현할 수 있다. 제1 디바이스는 규칙 생성 유닛(101)과 규칙 전송 유닛(102)을 포함한다. 규칙 생성 유닛(101)은 도 4에 도시된 실시예에서의 단계 S101을 수행하도록 구성되고, 규칙 전송 유닛(102)은 도 4에 도시된 실시예에서의 단계 S102를 수행하도록 구성된다. 구체적으로,
규칙 생성 유닛(101)은 흐름 필터링 규칙을 생성하도록 구성되고, 여기서 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함하고;
규칙 전송 유닛(102)은 흐름 필터링 규칙을 제2 디바이스에 전송하도록 구성되고, 여기서 액션 항목은 제2 디바이스에게, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용된다.
선택적으로, IP 어드레스는 패킷의 소스 IP 어드레스이고, 자율 도메인 식별자는 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다.
선택적으로, IP 어드레스는 패킷의 목적지 IP 어드레스이고, 자율 도메인 식별자는 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자이다.
선택적으로, 자율 도메인 식별자는 제2 디바이스가 속하는 자율 도메인의 식별자이다.
도 11을 참조하면, 본 출원의 실시예는 패킷 처리 장치를 추가로 제공하고, 이 장치는 제2 디바이스에서 사용된다. 제2 디바이스는 도 4 또는 도 5에 도시된 실시예에서 제2 디바이스의 기능을 구현할 수 있다. 제2 디바이스는 규칙 수신 유닛(201), 패킷 수신 유닛(202), 및 패킷 처리 유닛(203)을 포함한다. 규칙 수신 유닛(201)은 도 5에 도시된 실시예에서의 단계 S201을 수행하도록 구성되고, 패킷 수신 유닛(202)은 도 5에 도시된 실시예에서의 단계 S202를 수행하도록 구성되고, 패킷 처리 유닛(203)은 도 5에 도시된 실시예에서의 단계 S203을 수행하도록 구성된다. 구체적으로,
규칙 수신 유닛(201)은 제1 디바이스에 의해 전송된 흐름 필터링 규칙을 수신하도록 구성되는데, 여기서 흐름 필터링 규칙은 매칭 항목과 액션 항목을 포함하고, 매칭 항목은 인터넷 프로토콜 IP 어드레스와 자율 도메인 식별자를 포함하고;
패킷 수신 유닛(202)은: 패킷을 수신하고, 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하도록 구성되는데, 여기서 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함하고;
패킷 처리 유닛(203)은: 패킷의 제2 어드레스가 흐름 필터링 규칙에서의 IP 어드레스와 매칭되고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 흐름 필터링 규칙에서의 자율 도메인 식별자와 동일하다고 결정될 때, 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하도록 구성된다.
선택적으로, 제1 어드레스는 패킷의 목적지 IP 어드레스이고, 제2 어드레스는 패킷의 소스 IP 어드레스이다.
선택적으로, 제1 어드레스는 패킷의 소스 IP 어드레스이고, 제2 어드레스는 패킷의 목적지 IP 어드레스이다.
선택적으로, 액션 항목에 의해 표시된 패킷 처리 모드는 다음 처리 모드들:
패킷을 폐기하는 모드, 패킷을 재지향시키는 모드, 및 패킷을 마킹하는 모드 중 하나 이상을 포함한다.
선택적으로, 본 장치는:
흐름 필터링 규칙에 따라 액세스 제어 리스트를 생성하도록 구성된 리스트 생성 유닛을 추가로 포함하고, 여기서 액세스 제어 리스트는 IP 어드레스, 자율 도메인 인덱스, 및 액션 항목을 저장하고, 자율 도메인 인덱스는 자율 도메인 식별자에 대응한다.
패킷 처리 유닛은 구체적으로: 제2 디바이스가 패킷의 제2 어드레스가 액세스 제어 리스트 내의 IP 어드레스와 동일하고 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는 것으로 결정할 때, 액세스 제어 리스트에 저장된 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 패킷을 처리하도록 구성된다.
도 12를 참조하면, 본 출원의 실시예는 제1 패킷 처리 디바이스(300)를 추가로 제공하고, 여기서 디바이스는 제1 디바이스이다. 디바이스(300)는 도 4 또는 도 5에 도시된 실시예에서 제1 디바이스의 기능을 구현할 수 있다. 디바이스는 저장 유닛(301), 처리 유닛(302), 및 통신 유닛(303)을 포함한다.
저장 유닛(301)은 명령어를 저장하도록 구성된다.
처리 유닛(302)은 저장 유닛(301) 내의 명령어를 실행하여, 도 4 또는 도 5에 도시된 실시예에서 제1 디바이스에 적용되는 전술한 패킷 처리 방법을 수행하도록 구성된다.
통신 유닛(303)은 제2 디바이스와 통신하도록 구성된다.
저장 유닛(301), 처리 유닛(302), 및 통신 유닛(303)은 버스(304)를 사용하여 상호 접속된다. 버스(304)는 주변 컴포넌트 인터커넥트(peripheral component interconnect, 줄여서 PCI) 버스, 확장된 산업 표준 아키텍처(extended industry standard architecture, 줄여서 EISA) 버스 등일 수 있다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 표현의 용이함을 위해, 단지 하나의 굵은 라인이 도 12에서 버스를 나타내기 위해 사용되지만, 이것은 단지 하나의 버스 또는 단지 하나의 타입의 버스만이 있다는 것을 의미하지는 않는다.
도 13을 참조하면, 본 출원의 실시예는 제2 패킷 처리 디바이스(400)를 추가로 제공한다. 디바이스(400)는 도 4 또는 도 5에 도시된 실시예에서 제2 디바이스의 기능을 구현할 수 있고, 디바이스는 제2 디바이스이다. 제2 디바이스는 저장 유닛(401), 처리 유닛(402), 및 통신 유닛(403)을 포함한다.
저장 유닛(401)은 명령어를 저장하도록 구성된다.
처리 유닛(402)은 저장 유닛(401) 내의 명령어를 실행하여, 도 4 또는 도 5에 도시된 실시예에서 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행하도록 구성된다.
통신 유닛(403)은 제1 디바이스와 통신하도록 구성된다.
저장 유닛(401), 처리 유닛(402), 및 통신 유닛(403)은 버스(404)를 사용하여 상호 접속된다. 버스(404)는 주변 컴포넌트 인터커넥트(peripheral component interconnect, 줄여서 PCI) 버스, 확장된 산업 표준 아키텍처(extended industry standard architecture, 줄여서 EISA) 버스 등일 수 있다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 표현의 용이함을 위해, 단지 하나의 굵은 라인이 도 13에서 버스를 나타내기 위해 사용되지만, 이것은 단지 하나의 버스 또는 단지 하나의 타입의 버스만이 있다는 것을 의미하지는 않는다.
저장 유닛(301)과 저장 유닛(401)은 각각 랜덤 액세스 메모리(random-access memory, RAM), 플래시 메모리(flash), 판독 전용 메모리(read only memory, ROM), 소거가능 프로그램가능 판독 전용 메모리(erasable programmable read only memory, EPROM), 전기적으로 소거가능 프로그램가능 판독 전용 메모리(electrically erasable programmable read only memory, EEPROM), 레지스터(register), 하드 디스크, 이동식 하드 디스크, CD-ROM, 또는 본 기술분야의 통상의 기술자에게 알려진 임의의 다른 형태의 저장 매체일 수 있다.
처리 유닛(302)과 처리 유닛(402)은 각각 중앙 처리 유닛(central processing unit, CPU), 범용 프로세서, 디지털 신호 프로세서(digital signal processor, DSP), 주문형 집적 회로(application-specific integrated circuit, ASIC), 필드 프로그램가능 게이트 어레이(field programmable gate array, FPGA) 또는 또 다른 프로그램가능 로직 디바이스, 트랜지스터 로직 디바이스, 하드웨어 컴포넌트, 또는 이들의 임의의 조합일 수 있다. 처리 유닛은 본 출원에 개시된 내용을 참조하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 및 회로들을 구현하거나 실행할 수 있다. 대안적으로, 프로세서는 컴퓨팅 기능을 구현하는 프로세서들의 조합, 예를 들어, 하나 이상의 마이크로프로세서의 조합 또는 DSP 및 마이크로프로세서의 조합일 수 있다.
통신 유닛(303)과 통신 유닛(403)은 각각 예를 들어, 인터페이스 카드일 수 있거나, 이더넷(ethernet) 인터페이스 또는 비동기 송신 모드(asynchronous transfer mode, ATM) 인터페이스일 수 있다.
본 발명의 실시예는 패킷 처리 시스템을 제공하고, 여기서 시스템은 전술한 방법 실시예들에서의 패킷 처리 방법을 구현하도록 구성된다. 시스템은 도 10에 도시된 실시예에서의 제1 디바이스 및 도 11에 도시된 실시예에서의 제2 디바이스를 포함하거나, 시스템은 도 12에 도시된 실시예에서의 제1 디바이스 및 도 13에 도시된 실시예에서의 제2 디바이스를 포함한다.
본 출원의 실시예는 컴퓨터 판독가능 저장 매체를 추가로 제공하고, 여기서 컴퓨터 판독가능 저장 매체는 명령어를 포함하고, 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 디바이스에 적용되는 전술한 패킷 처리 방법 및/또는 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행할 수 있게 된다.
본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 추가로 제공하고, 여기서 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 디바이스에 적용되는 전술한 패킷 처리 방법 및/또는 제2 디바이스에 적용되는 전술한 패킷 처리 방법을 수행할 수 있게 된다.
전술한 시스템, 장치, 및 유닛의 상세한 동작 프로세스에 대해, 편리하고 간단한 설명을 위해, 전술한 방법 실시예들에서의 대응하는 프로세스를 참조하는 것이 본 기술분야의 통상의 기술자에 의해 명확하게 이해될 수 있다. 세부사항들은 여기에서 다시 설명하지 않는다.
본 출원에 제공된 몇가지 실시예에서, 개시된 시스템, 장치 및 방법은 다른 방식으로 구현될 수 있다는 것을 이해해야 한다. 예를 들어, 설명된 장치 실시예는 단지 예이다. 예를 들어, 유닛 분할은 단지 논리적 기능 분할이고, 실제 구현에서는 다른 분할 방식이 있을 수 있다. 예를 들어, 복수의 유닛 또는 컴포넌트가 결합되거나 다른 시스템에 통합되거나, 일부 특징이 무시되거나 수행되지 않을 수 있다. 또한, 표시되거나 논의된 상호 결합 또는 직접적 결합 또는 통신 접속은 소정의 인터페이스를 통해 구현될 수도 있다. 장치들 또는 유닛들 간의 간접 결합들 또는 통신 접속들은 전기, 기계 또는 다른 형태로 구현될 수 있다.
개별 부분들로서 설명된 유닛들은 물리적으로 분리되거나 분리되지 않을 수 있으며, 유닛들로서 표시된 부분들은 물리적 유닛들이거나 아닐 수 있고, 즉, 하나의 위치에 위치될 수 있거나, 또는 복수의 네트워크 유닛 상에 분산될 수 있다. 유닛들의 일부 또는 전부는 실시예들의 해결책들의 목적들을 달성하기 위해 실제 요건들에 기초하여 선택될 수 있다.
또한, 본 출원의 실시예들의 기능 유닛들은 하나의 처리 유닛 내로 통합될 수 있거나, 유닛들 각각은 단독으로 물리적으로 존재할 수 있고, 또는 2개 이상의 유닛들이 하나의 유닛 내로 통합된다. 전술한 통합된 유닛은 하드웨어의 형태로 구현될 수 있거나, 소프트웨어 기능 유닛의 형태로 구현될 수 있다.
통합된 유닛이 소프트웨어 기능 유닛의 형태로 구현되고 독립적인 제품으로서 판매되거나 또는 사용될 때, 통합된 유닛은 컴퓨터 판독가능 저장 매체에 저장될 수 있다. 이러한 이해에 기초하여, 본질적으로 본 출원의 기술적 해결책들, 또는 종래 기술에 기여하는 부분, 또는 기술적 해결책들의 전부 또는 일부는 소프트웨어 제품의 형태로 구현될 수 있다. 컴퓨터 소프트웨어 제품은 저장 매체에 저장되고 컴퓨터 디바이스(개인용 컴퓨터, 서버, 네트워크 디바이스 등일 수 있음)에게 본 출원의 실시예들에서 설명되는 방법들의 단계들의 전부 또는 일부를 수행하라고 지시하는 수개의 명령어를 포함한다. 전술한 저장 매체는 USB 플래시 드라이브, 이동식 하드 디스크, 판독 전용 메모리(ROM, Read-Only Memory), 랜덤 액세스 메모리(RAM, Random Access Memory), 자기 디스크, 또는 광학 디스크 등의, 프로그램 코드를 저장할 수 있는 임의의 매체를 포함한다.
본 기술분야의 통상의 기술자는 전술한 하나 이상의 예에서, 본 발명에서 설명된 기능들이 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 조합에 의해 구현될 수 있다는 것을 알아야 한다. 본 발명이 소프트웨어로 구현될 때, 전술한 기능들은 컴퓨터 판독가능 매체에 저장되거나 컴퓨터 판독가능 매체 내에 하나 이상의 명령어 또는 코드로서 송신될 수 있다. 컴퓨터 판독가능 매체는 컴퓨터 저장 매체와 통신 매체를 포함하며, 여기서 통신 매체는 컴퓨터 프로그램이 한 장소에서 다른 장소로 송신될 수 있게 하는 임의의 매체를 포함하고, 저장 매체는 범용 또는 전용 컴퓨터가 액세스할 수 있는 임의의 이용 가능한 매체일 수 있다.
전술한 구체적 구현들에서, 본 발명의 목적들, 기술적 해결책들, 및 유익한 효과들이 상세히 추가로 설명된다. 전술한 설명들은 단지 본 발명의 특정 구현들이라는 점이 이해되어야 한다.
결론적으로, 전술한 실시예들은, 본 출원을 제한하기 위해서가 아니라, 단지 본 출원의 기술적 해결책들을 설명하기 위해 의도된 것이다. 본 출원이 전술한 실시예들을 참조하여 상세히 설명되었지만, 본 기술분야의 통상의 기술자는 전술한 실시예들에서 설명된 기술적 해결책들이 여전히 수정될 수 있거나, 그의 일부 기술적 특징이 동등하게 대체될 수 있다는 것을 이해해야 한다. 그러나, 이러한 수정들 또는 대체들은 대응하는 기술적 해결책들의 본질을 본 출원의 실시예들에서의 기술적 해결책들의 범위로부터 벗어나게 하지 않는다.

Claims (19)

  1. 패킷 처리 방법으로서,
    제1 디바이스에 의해, 경계 게이트웨이 프로토콜 흐름 사양(Border Gateway Protocol flow specification; BGP FS) 정책을 생성하는 단계- 상기 BGP FS 정책은 매칭 항목과 액션 항목을 포함하고, 상기 매칭 항목은 인터넷 프로토콜(IP) 어드레스와 자율 도메인 식별자를 포함함 -; 및
    상기 제1 디바이스에 의해, 상기 BGP FS 정책을 제2 디바이스에 전송하는 단계- 상기 액션 항목은 상기 제2 디바이스에게 상기 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 상기 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용됨 -를 포함하는 패킷 처리 방법.
  2. 제1항에 있어서,
    상기 IP 어드레스는 상기 패킷의 소스 IP 어드레스이고, 상기 자율 도메인 식별자는 상기 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 방법.
  3. 제1항에 있어서,
    상기 IP 어드레스는 상기 패킷의 목적지 IP 어드레스이고, 상기 자율 도메인 식별자는 상기 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 자율 도메인 식별자는 상기 제2 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 방법.
  5. 패킷 처리 방법으로서,
    제2 디바이스에 의해, 제1 디바이스에 의해 전송된 경계 게이트웨이 프로토콜 흐름 사양(Border Gateway Protocol flow specification; BGP FS) 정책을 수신하는 단계- 상기 BGP FS 정책은 매칭 항목과 액션 항목을 포함하고, 상기 매칭 항목은 인터넷 프로토콜(IP) 어드레스와 자율 도메인 식별자를 포함함 -;
    상기 제2 디바이스에 의해, 패킷을 수신하고, 상기 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하는 단계- 상기 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함함 -; 및
    상기 패킷의 제2 어드레스가 상기 BGP FS 정책에서의 IP 어드레스와 매칭되고 상기 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 상기 BGP FS 정책에서의 자율 도메인 식별자와 동일하다고 결정될 때, 상기 제2 디바이스에 의해, 상기 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 상기 패킷을 처리하는 단계를 포함하는 패킷 처리 방법.
  6. 제5항에 있어서,
    상기 제1 어드레스는 상기 패킷의 목적지 IP 어드레스이고, 상기 제2 어드레스는 상기 패킷의 소스 IP 어드레스인 패킷 처리 방법.
  7. 제5항에 있어서,
    상기 제1 어드레스는 상기 패킷의 소스 IP 어드레스이고, 상기 제2 어드레스는 상기 패킷의 목적지 IP 어드레스인 패킷 처리 방법.
  8. 제5항 내지 제7항 중 어느 한 항에 있어서,
    상기 액션 항목에 의해 표시된 상기 패킷 처리 모드는 다음 처리 모드들:
    상기 패킷을 폐기하는 모드, 상기 패킷을 재지향시키는 모드, 및 상기 패킷을 마킹하는 모드 중 하나 이상을 포함하는 패킷 처리 방법.
  9. 제5항에 있어서,
    상기 방법은:
    상기 BGP FS 정책에 따라 액세스 제어 리스트를 생성하는 단계- 상기 액세스 제어 리스트는 상기 IP 어드레스, 자율 도메인 인덱스, 및 상기 액션 항목을 저장하고, 상기 자율 도메인 인덱스는 상기 자율 도메인 식별자에 대응함 -를 추가로 포함하고;
    상기 패킷의 제2 어드레스가 상기 BGP FS 정책에서의 IP 어드레스와 매칭되고 상기 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 상기 BGP FS 정책에서의 자율 도메인 식별자와 동일하다고 결정될 때, 상기 제2 디바이스에 의해, 상기 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 상기 패킷을 처리하는 단계는:
    상기 패킷의 상기 제2 어드레스가 상기 액세스 제어 리스트 내의 상기 IP 어드레스와 동일하고 상기 라우팅 및 포워딩 엔트리에서의 상기 자율 도메인 식별자가 상기 액세스 제어 리스트 내의 상기 자율 도메인 인덱스와 매칭되는 것으로 결정될 때, 상기 제2 디바이스에 의해, 상기 액세스 제어 리스트에 저장된 액션 항목에 의해 표시된 상기 패킷 처리 모드에 기초하여 상기 패킷을 처리하는 단계를 포함하는 패킷 처리 방법.
  10. 패킷 처리 장치로서,
    상기 장치는 제1 디바이스에서 사용되고,
    경계 게이트웨이 프로토콜 흐름 사양(Border Gateway Protocol flow specification; BGP FS) 정책을 생성하도록 구성된 규칙 생성 유닛- 상기 BGP FS 정책은 매칭 항목과 액션 항목을 포함하고, 상기 매칭 항목은 인터넷 프로토콜(IP) 어드레스와 자율 도메인 식별자를 포함함 -; 및
    상기 BGP FS 정책을 제2 디바이스에 전송하도록 구성된 규칙 전송 유닛- 상기 액션 항목은 상기 제2 디바이스에게, 상기 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여, 상기 매칭 항목에 매칭되는 패킷을 처리하도록 지시하는데 사용됨 -을 포함하는 패킷 처리 장치.
  11. 제10항에 있어서,
    상기 IP 어드레스는 상기 패킷의 소스 IP 어드레스이고, 상기 자율 도메인 식별자는 상기 패킷의 목적지 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 장치.
  12. 제10항에 있어서,
    상기 IP 어드레스는 상기 패킷의 목적지 IP 어드레스이고, 상기 자율 도메인 식별자는 상기 패킷의 소스 IP 어드레스에 대응하는 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 장치.
  13. 제10항 내지 제12항 중 어느 한 항에 있어서,
    상기 자율 도메인 식별자는 상기 제2 디바이스가 속하는 자율 도메인의 식별자인 패킷 처리 장치.
  14. 패킷 처리 장치로서,
    상기 장치는 제2 디바이스에서 사용되고,
    제1 디바이스에 의해 전송된 경계 게이트웨이 프로토콜 흐름 사양(Border Gateway Protocol flow specification; BGP FS) 정책을 수신하도록 구성된 규칙 수신 유닛- 상기 BGP FS 정책은 매칭 항목과 액션 항목을 포함하고, 상기 매칭 항목은 인터넷 프로토콜(IP) 어드레스와 자율 도메인 식별자를 포함함 -;
    패킷을 수신하고, 상기 패킷의 제1 어드레스에 기초하여 라우팅 및 포워딩 엔트리를 결정하도록 구성된 패킷 수신 유닛- 상기 라우팅 및 포워딩 엔트리는 자율 도메인 식별자를 포함함 -; 및
    상기 패킷의 제2 어드레스가 상기 BGP FS 정책에서의 IP 어드레스와 매칭되고 상기 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 상기 BGP FS 정책에서의 자율 도메인 식별자와 동일하다고 결정될 때, 상기 액션 항목에 의해 표시된 패킷 처리 모드에 기초하여 상기 패킷을 처리하도록 구성된 패킷 처리 유닛을 포함하는 패킷 처리 장치.
  15. 제14항에 있어서,
    상기 제1 어드레스는 상기 패킷의 목적지 IP 어드레스이고, 상기 제2 어드레스는 상기 패킷의 소스 IP 어드레스인 패킷 처리 장치.
  16. 제14항에 있어서,
    상기 제1 어드레스는 상기 패킷의 소스 IP 어드레스이고, 상기 제2 어드레스는 상기 패킷의 목적지 IP 어드레스인 패킷 처리 장치.
  17. 제14항 내지 제16항 중 어느 한 항에 있어서,
    상기 액션 항목에 의해 표시된 상기 패킷 처리 모드는 다음 처리 모드들:
    상기 패킷을 폐기하는 모드, 상기 패킷을 재지향시키는 모드, 및 상기 패킷을 마킹하는 모드 중 하나 이상을 포함하는 패킷 처리 장치.
  18. 제14항에 있어서,
    상기 장치는:
    상기 BGP FS 정책에 따라 액세스 제어 리스트를 생성하도록 구성된 리스트 생성 유닛- 상기 액세스 제어 리스트는 상기 IP 어드레스, 자율 도메인 인덱스, 및 상기 액션 항목을 저장하고, 상기 자율 도메인 인덱스는 상기 자율 도메인 식별자에 대응함 -을 추가로 포함하고,
    상기 패킷 처리 유닛은 구체적으로: 상기 제2 디바이스가 상기 패킷의 제2 어드레스가 상기 액세스 제어 리스트 내의 IP 어드레스와 동일하고 상기 라우팅 및 포워딩 엔트리에서의 자율 도메인 식별자가 상기 액세스 제어 리스트 내의 자율 도메인 인덱스와 매칭되는 것으로 결정할 때, 상기 액세스 제어 리스트에 저장된 액션 항목에 의해 표시된 상기 패킷 처리 모드에 기초하여 상기 패킷을 처리하도록 구성되는 패킷 처리 장치.
  19. 명령어를 포함하는 컴퓨터 판독가능 저장 매체로서,
    상기 명령어가 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제1항 내지 제3항, 제5항 내지 제7항, 및 제9항 중 어느 한 항에 따른 방법을 수행할 수 있게 되는 컴퓨터 판독가능 저장 매체.
KR1020237017259A 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들 KR102586898B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN201811004608.6 2018-08-30
CN201811004608.6A CN110808913B (zh) 2018-08-30 2018-08-30 报文处理的方法、装置及相关设备
KR1020217008398A KR102536676B1 (ko) 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들
PCT/CN2019/102899 WO2020043107A1 (zh) 2018-08-30 2019-08-27 报文处理的方法、装置及相关设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020217008398A Division KR102536676B1 (ko) 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들

Publications (2)

Publication Number Publication Date
KR20230079462A true KR20230079462A (ko) 2023-06-07
KR102586898B1 KR102586898B1 (ko) 2023-10-11

Family

ID=69487226

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020217008398A KR102536676B1 (ko) 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들
KR1020237017259A KR102586898B1 (ko) 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020217008398A KR102536676B1 (ko) 2018-08-30 2019-08-27 패킷 처리 방법 및 장치, 및 관련 디바이스들

Country Status (8)

Country Link
US (2) US11575606B2 (ko)
EP (1) EP3832963A4 (ko)
JP (2) JP7193619B2 (ko)
KR (2) KR102536676B1 (ko)
CN (3) CN112910792B (ko)
BR (1) BR112021003695A2 (ko)
MX (1) MX2021002287A (ko)
WO (1) WO2020043107A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872861B (zh) * 2020-06-30 2023-07-18 华为技术有限公司 一种生成表项的方法、发送报文的方法及设备
WO2022044232A1 (ja) 2020-08-27 2022-03-03 日本電信電話株式会社 ゲートウェイ装置、ネットワーク制御装置、方法、プログラム及びシステム
CN114143257B (zh) * 2020-09-03 2023-04-28 华为技术有限公司 一种生成表项的方法、发送报文的方法、设备及系统
CN114257544A (zh) * 2020-09-22 2022-03-29 华为技术有限公司 一种流量处理方法、装置和网络设备
CN112866208B (zh) * 2020-12-31 2022-11-08 迈普通信技术股份有限公司 表项配置方法、报文处理方法、装置、设备及存储介质
CN112929376A (zh) * 2021-02-10 2021-06-08 恒安嘉新(北京)科技股份公司 一种流量数据的处理方法、装置、计算机设备和存储介质
CN113904798B (zh) * 2021-08-27 2024-03-22 长沙星融元数据技术有限公司 Ip报文的多元组过滤方法、系统、设备及存储介质
CN114221781A (zh) * 2021-11-05 2022-03-22 网络通信与安全紫金山实验室 流量过滤方法与系统、电子设备及存储介质
CN114143254A (zh) * 2021-11-30 2022-03-04 锐捷网络股份有限公司 报文转发方法、装置、电子设备及计算机可读存储介质
CN114374622B (zh) * 2021-12-31 2023-12-19 恒安嘉新(北京)科技股份公司 一种基于融合分流设备的分流方法及融合分流设备
WO2024082081A1 (zh) * 2022-10-17 2024-04-25 新华三技术有限公司 一种报文处理方法及装置
CN117439953B (zh) * 2023-12-20 2024-03-26 珠海星云智联科技有限公司 等价成本多路径选择系统、方法、设备、集群以及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140351878A1 (en) * 2013-05-23 2014-11-27 Check Point Software Technologies Ltd. Location-aware rate-limiting method for mitigation of denial-of-service attacks
US20180063084A1 (en) * 2016-09-01 2018-03-01 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US6914886B2 (en) * 2001-05-03 2005-07-05 Radware Ltd. Controlling traffic on links between autonomous systems
JP4319925B2 (ja) 2004-03-02 2009-08-26 株式会社日立製作所 ストレージネットワークシステムの制御方法及びストレージネットワークシステム
CN1697443B (zh) * 2004-05-11 2010-06-02 华为技术有限公司 一种控制动态数据流的方法
WO2008114007A1 (en) * 2007-03-22 2008-09-25 British Telecommunications Public Limited Company Data communication method and apparatus
CN101159636A (zh) * 2007-11-23 2008-04-09 中国电信股份有限公司 一种非法接入的检测系统和方法
JP5122399B2 (ja) 2008-04-24 2013-01-16 シャープ株式会社 中継装置、および通信制御装置
US10200251B2 (en) * 2009-06-11 2019-02-05 Talari Networks, Inc. Methods and apparatus for accessing selectable application processing of data packets in an adaptive private network
US8281397B2 (en) 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
CN101917434B (zh) * 2010-08-18 2013-04-10 清华大学 域内ip源地址验证的方法
CN103036733B (zh) * 2011-10-09 2016-07-06 上海市南电信服务中心有限公司 非常规网络接入行为的监测系统及监测方法
US8925079B2 (en) 2011-11-14 2014-12-30 Telcordia Technologies, Inc. Method, apparatus and program for detecting spoofed network traffic
US10305937B2 (en) * 2012-08-02 2019-05-28 CellSec, Inc. Dividing a data processing device into separate security domains
US9590901B2 (en) * 2014-03-14 2017-03-07 Nicira, Inc. Route advertisement by managed gateways
US9413783B1 (en) * 2014-06-02 2016-08-09 Amazon Technologies, Inc. Network interface with on-board packet processing
CN105871576A (zh) * 2015-01-21 2016-08-17 杭州华三通信技术有限公司 基于sdn的策略管理方法及装置
CN104796348B (zh) * 2015-04-03 2018-02-13 华为技术有限公司 基于sdn的idc网络出口流量均衡调整方法、设备及系统
CN106254152B (zh) * 2016-09-19 2019-11-08 新华三技术有限公司 一种流量控制策略处理方法和装置
CN107846341B (zh) * 2016-09-20 2021-02-12 华为技术有限公司 调度报文的方法、相关装置和系统
CN106341423B (zh) * 2016-10-26 2019-12-06 新华三技术有限公司 一种报文处理方法和装置
CN106657161B (zh) * 2017-02-28 2020-10-09 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140351878A1 (en) * 2013-05-23 2014-11-27 Check Point Software Technologies Ltd. Location-aware rate-limiting method for mitigation of denial-of-service attacks
US20180063084A1 (en) * 2016-09-01 2018-03-01 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices

Also Published As

Publication number Publication date
KR102586898B1 (ko) 2023-10-11
JP2021535678A (ja) 2021-12-16
CN113285882A (zh) 2021-08-20
US20210184974A1 (en) 2021-06-17
KR102536676B1 (ko) 2023-05-26
CN110808913B (zh) 2021-02-23
CN112910792A (zh) 2021-06-04
JP7193619B2 (ja) 2022-12-20
EP3832963A4 (en) 2021-10-27
BR112021003695A2 (pt) 2021-05-18
CN110808913A (zh) 2020-02-18
US11575606B2 (en) 2023-02-07
US20230179523A1 (en) 2023-06-08
MX2021002287A (es) 2021-07-15
CN112910792B (zh) 2023-06-20
KR20210038686A (ko) 2021-04-07
EP3832963A1 (en) 2021-06-09
WO2020043107A1 (zh) 2020-03-05
CN113285882B (zh) 2024-01-09
JP2023036647A (ja) 2023-03-14

Similar Documents

Publication Publication Date Title
KR102536676B1 (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
EP3226508B1 (en) Attack packet processing method, apparatus, and system
CN107241186B (zh) 网络设备和用于网络通信的方法
EP3866414A1 (en) Message processing method, apparatus, device and system
US8630294B1 (en) Dynamic bypass mechanism to alleviate bloom filter bank contention
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
EP3076612B1 (en) Packet processing methods and nodes
EP2731314A1 (en) Cloud service packet redirection method and system, and cloud gateway
US9807016B1 (en) Reducing service disruption using multiple virtual IP addresses for a service load balancer
US20160150043A1 (en) Source ip address transparency systems and methods
JP6248929B2 (ja) 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
JP7216120B2 (ja) Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス
US20160380899A1 (en) Method and apparatus for dynamic traffic control in sdn environment
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
JP2015231131A (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
WO2021023141A1 (zh) 一种路由表项获得方法、装置及设备
TWI281804B (en) Packet forwarding method and system
CN115865802B (zh) 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质
KR20180015959A (ko) 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법
Wang et al. Achieving a scalable and secure software defined network by identifiers separating and mapping
KR20160116624A (ko) 서비스 체이닝 가능한 오픈플로우 스위치 제어 방법 및 그 제어기

Legal Events

Date Code Title Description
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant