TW202236826A - 在網路交換器中進行封包過濾的方法以及相關過濾器 - Google Patents

在網路交換器中進行封包過濾的方法以及相關過濾器 Download PDF

Info

Publication number
TW202236826A
TW202236826A TW110108432A TW110108432A TW202236826A TW 202236826 A TW202236826 A TW 202236826A TW 110108432 A TW110108432 A TW 110108432A TW 110108432 A TW110108432 A TW 110108432A TW 202236826 A TW202236826 A TW 202236826A
Authority
TW
Taiwan
Prior art keywords
address
access control
circuit
control list
routing
Prior art date
Application number
TW110108432A
Other languages
English (en)
Other versions
TWI763360B (zh
Inventor
鄭凱文
王思翰
葉文煌
游惟閎
Original Assignee
瑞昱半導體股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 瑞昱半導體股份有限公司 filed Critical 瑞昱半導體股份有限公司
Priority to TW110108432A priority Critical patent/TWI763360B/zh
Priority to DE102022101550.5A priority patent/DE102022101550A1/de
Priority to US17/674,823 priority patent/US11991080B2/en
Application granted granted Critical
Publication of TWI763360B publication Critical patent/TWI763360B/zh
Publication of TW202236826A publication Critical patent/TW202236826A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/20Hop count for routing purposes, e.g. TTL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/741Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種在一網路交換器中進行封包過濾的方法,該方法包含:利用一存取控制列表電路對接收封包進行過濾,其中該存取控制列表電路根據一存取控制列表比對接收封包的標頭資訊來進行過濾,該存取控制列表具有至少一項目,且該項目中針對IP位址的規則資訊僅包含IP位址的部分內容;以及利用一路由電路對通過該存取控制列表電路的封包再次進行過濾,其中該路由電路根據一路由表比對通過該存取控制列表電路的封包的標頭資訊,來進行過濾,其中該路由表具有至少一項目,且該項目中針對IP位址的規則資訊包含IP位址的完整內容。

Description

在網路交換器中進行封包過濾的方法以及相關過濾器
本發明係關於網路交換器,由一種在網路交換器中,透過存取控制列表電路以及路由電路的協同運作來進行封包過濾的方法以及相關的過濾器。
在乙太網路通訊系統中,網絡交換器是一種透過封包交換,接收和轉發資料到目標設備,從而連接網絡系統上的裝置的硬體。網路交換器可以根據管理者策略,對封包進行過濾,從而實現防火牆、白名單或黑名單等網路安全防護機制。
一般來說,乙太網路交換器中包含有存取控制列表。基於管理策略,存取控制列表的項目會定義出具體規則資訊,允許或禁止特定的封包透過交換器轉發,從而實現封包過濾。為了提高封包交換的速度,存取控制列表的功能通常由硬體電路來實現,其中包含了紀錄存取控制列表的記憶體以及將封包標頭(packet header)資訊與存取控制列表的項目進行比對的比較電路。因此,若需提高存取控制列表的可設置性,則必須擴充相關的硬體電路。
另一方面,隨著網路世代的演進,IPv6協議逐漸普及,雖然解決了IP位址不足的問題,但也對網路設備帶來衝擊,舉例來說,前述主動存控制列表的欄位需求會因為IPv6協議中較長的IP位址而顯著增加。在一般情形下,存取控制列表的一個項目可能需要佔用40多個位元組的記憶體空間,如此一來,對於乙太網路交換器的硬體成本以及電路面積是相當大的負擔。
有鑑於此,本發明提供一種在網路交換器中進行封包過濾的方法。其中,本發明係透過存取控制列表電路,以及路由電路的共同運作,從而實現網路交換器的封包過濾功能。在本發明之中,存取控制列表電路會根據源IP位址的一部份以及/或目的IP位址的一部份進行過濾,而路由電路則會根據完整的來源IP位址以及/或完整的目的IP位址的進行過濾。進一步來說,在進行封包過濾的過程中,存取控制列表的項目中,僅僅會會記載來源IP位址以及/或目的IP位址的部分內容,而路由電路中的路由表則會紀錄來源IP位址以及目的IP位址的完整內容,透過這樣的設計方式,本發明可以有效降低對於存取控制列表電路的硬體需求。
本發明之一實施例一種在一網路交換器中進行封包過濾的方法,該方法包含:利用一存取控制列表電路對接收封包進行過濾,其中該存取控制列表電路根據一存取控制列表比對接收封包的標頭資訊來進行過濾,該存取控制列表具有至少一項目,且該項目中針對IP位址的規則資訊僅包含IP位址的部分內容,且該IP位址的部分內容與其他存取控制列表中的IP位址的部分內容不重複;以及利用一路由電路對通過該存取控制列表電路的封包再次進行過濾,其中該路由電路根據一路由表比對通過該存取控制列表電路的封包的標頭資訊,來進行過濾,其中該路由表具有至少一項目,且該項目中針對IP位址的規則資訊包含IP位址的完整內容。
本發明之一實施例提供一種在一網路交換器中實現的一過濾器,該過濾器包含:一存取控制列表電路與一路由電路。該存取控制列表電路用以對接收封包進行過濾,其中該存取控制列表電路根據一存取控制列表比對接收封包的標頭資訊來進行過濾,該存取控制列表具有至少一項目,且該項目中針對IP位址的規則資訊僅包含IP位址的部分內容,且該IP位址的部分內容與其他存取控制列表中的IP位址的部分內容不重複。該路由電路用以對通過該存取控制列表電路的封包再次進行過濾,其中該路由電路根據一路由表比對通過該存取控制列表電路的封包的標頭資訊,來進行過濾,其中該路由表具有至少一項目,且該項目中針對IP位址的規則資訊包含IP位址的完整內容。
在以下內文中,描述了許多具體細節以提供閱讀者對本發明實施例的透徹理解。然而,本領域的技術人士將能理解,如何在缺少一個或多個具體細節的情況下,或者利用其他方法或元件或材料等來實現本發明。在其他情況下,眾所皆知的結構、材料或操作不會被示出或詳細描述,從而避免模糊本發明的核心概念。
說明書中提到的「一實施例」意味著該實施例所描述的特定特徵、結構或特性可能被包含於本發明的至少一個實施例中。因此,本說明書中各處出現的「在一實施例中」不一定意味著同一個實施例。此外,前述的特定特徵、結構或特性可以以任何合適的形式在一個或多個實施例中結合。
請參考第1圖,該圖繪示本發明實施例之一過濾器的架構圖。如圖所示,過濾器100係由網路交換器10的多個硬體元件所實現,並且用在網路交換器10之中,用以針對網路交換器所接收到的封包進行過濾。其中,過濾器100包含有存取控制列表電路110以及路由電路120。存取控制列表電路110包含一比較電路112以及一儲存單元113。儲存裝置113中儲存有一存取控制列表111,該列表具有複數個項目EA1~ EAN,項目內容係由管理者策略所決定,該些項目EA1~ EAN中之每一者都記載了特定的規則資訊,例如可以通過過濾器100的封包,或者是不能通過過濾器100的封包所具備的特徵,這些特徵如第2A圖所示,包含(但不限定於):來源IP位址(source IP address)、目的IP位址(source IP address)、來源埠號(source port number)、目的埠號(destination port number)、來源/目的媒體存取控制位址(Media Access Control Address)、乙太網路類型(Ethernet Type)中的一個或多個。存取控制列表電路110會根據項目EA1~ EAN中紀錄的規則資訊,以及封包標頭紀錄的資訊,透過比較電路112進行比對,從而判斷一個封包是否可以通過存取控制列表電路110的篩選,而符合規則資訊的封包就會被進一步傳送給路由電路120,不符合規則資訊的封包就會被丟棄。在存取控制列表電路110的存取控制列表111中,針對來源IP位址與目的IP位址的規則資訊中,僅記錄了來源IP位址與目的IP位址的部分內容。另外,應該注意的是,存取控制列表111中關於IP位址的部分內容與存取控制列表電路110中其他存取控制列表的IP位址的部分內容不重複。
進一步來說,若網路交換器10是一個遵循IPv6協議的網路設備,則其所收到的封包的標頭資訊中關於來源IP位址與目的IP位址也符合IPv6協議,可能具有128位元長。而存取控制列表111紀錄的關於來源IP位址與目的IP位址的規則資訊中,不會包含完整的128位元,而僅僅是128位元中一部份。換言之,當一個封包的來源IP位址以及/或目的IP位址符合存取控制列表111中的規則資訊,仍有可能在下一個階段中,無法通過路由電路120所進行的篩選。另外,應當注意的是,第2A圖所示的存取控制列表111的項目內容並非發明限制,在本發明不同實施例中,存取控制列表111的一個項目的規則資訊可能包含有更多或更少的封包特徵。
再者,路由電路120包含有一儲存單元123,儲存單元123中存取有一路由表121。在實現過濾器110的封包過濾操作時,路由表121的項目EB1~ EBK可能如第2B圖所示,記載來源IP位址、目的IP位址、來源埠號、目的埠號等封包特徵中的至少一者或多個。路由電路120會將封包標頭資訊與路由表121中的項目EB1~ EBK進行比對,從而判斷一個封包是否可以通過過濾器100,符合項目EB1~ EBK的內容的封包就會通過進入到下一層(L3),等候網路交換器10的其他部分進行封包轉發,不符合項目內容的封包就會被丟棄。在本發明中,路由表121中針對來源IP位址與目的IP位址的項目中,記錄了來源IP位址與目的IP位址的完整內容。在IPv6的例子中,路油表121紀錄的關於來源IP位址與目的IP位址的規則資訊中,有完整的128位元資訊。另外,應當注意的是,第2B圖所示的路由表121的項目內容並非發明限制,在本發明不同實施例中,路由表121的一個項目的規則資訊可能包含有更多或更少的封包特徵。
由於路由電路120同時也作為網路交換器10的路由引擎,而封包過濾屬於L2行為,因此路由電路120會在進行封包過濾操作時,關閉部分屬於L3行為的功能,使得路由電路120在進行封包過濾時,不會對封包標頭進行任何可能的修改操作,其中,這些被禁止的修改操作包含:替換來源位址(Source Address Replacement)、虛擬區域網路ID修改(Virtual LAN ID Replacement)以及減少封包存活時間(Hop limit)等;以上所述的功能,在路由電路120進行封包過濾操作時會被關閉,直到路由電路120進行封包路由時,才會被開啟。
在一實施例中,路由電路120在進行封包過濾操作時,除了會進行基於路由表121的項目比對標頭資訊,從而判斷丟棄或轉發封包之外,還可能會進行其他驗證/檢查操作,例如,IP標頭驗證(IP header validation)、MAC/IP位址校驗(MAC/IP address checksum),例如:校驗位址不一致(mismatch address)、零位址(zero address)以及IP等級(IP Class)等,或者是進行單播逆向路徑轉發(Unicast Reverse Path Forwarding)檢查。一般來說,這些驗證/檢查操作若透過存取控制列表電路110來實現,則會增加存取控制列表電路110的硬體需求,然而路由電路120本身就具備實行上述驗證/檢查操作的電路元件,因此,本發明的過濾器100可以在不增加存取控制列表電路110的硬體需求的前提下,提供IP標頭驗證、MAC/IP位址校驗以及進行單播逆向路徑轉發檢查等功能。
在本發明中,存取控制列表電路110與路由電路120的硬體必須實現在網路交換器10的不同硬體階段中,如此才能確保存取控制列表電路110與路由電路120兩者的協同運作可以完好地實現過濾器100,若兩者實現在同一個硬體階段中,則可能會發生硬體資源衝突的問題。請參考第3圖所示硬體階段示意圖。如圖所示,本發明的網路交換器10可以將封包解析相關的處理電路設置於第1階硬體S1中、將存取控制列表電路110設置於第2階硬體S2中、將虛擬區域網路相關的處理電路設置於第3階硬體S3中,以及將路由電路120設置於第4階硬體S4中。請注意,上述的說明僅為本發明的一個範例,在本發明其他實施例中,網路交換器10的硬體階段數目可能更多或更少,並且網路交換器10中的電路單元的設置方式也不同於圖示的範例。
第4圖繪示了上述實施例中,利用存取控制列表電路110以及路由電路120的協同運作來實現封包過濾的方法的簡化流程圖,該流程包含以下步驟:
步驟210:利用存取控制列表電路對接收封包進行過濾,其中存取控制列表電路根據存取控制列表比對接收封包的標頭資訊來進行過濾,存取控制列表具有至少一項目,且項目中針對IP位址的規則資訊僅包含IP位址的部分內容,且該IP位址的部分內容與其他存取控制列表中的IP位址的部分內容不重複;以及
步驟220:利用路由電路對通過存取控制列表電路的封包再次進行過濾,其中路由電路根據路由表比對通過存取控制列表電路的封包的標頭資訊,來進行過濾,其中路由表具有至少一項目,且項目中針對IP位址的資訊包含IP位址的完整內容。
由於上述步驟的原理以及操作細節已經在先前的實施例中明確解釋,在此不另做說明,值得注意的是,在本發明其他實施例中,可以透過加入基於該領域已知技巧的其他額外步驟,來提升技術整體效果。
總結來說,本發明在不增加存取控制列表電路的硬體需求的前提下,擴充了過濾器的功能/可設置性,讓網路交換器的防火牆、黑/白名單等功能更為強大,並且,本發明的封包過濾操作的一部分是由網路交換器中的路由電路來實現,這讓本發明在進行封包過濾操作時,也能一併進行包含:IP標頭驗證、MAC/IP位址校驗,以及單播逆向路徑轉發等驗證/檢查操作,這是傳統的存取控制列表電路所無法達到的效果。因此,本發明顯著地提升了網路交換器的安全防護功能。
本發明之實施例可使用硬體、軟體、韌體以及其相關結合來完成。藉由適當之一指令執行系統,可使用儲存於一記憶體中之軟體或韌體來實作本發明的實施例。就硬體而言,則是可應用下列任一技術或其相關結合來完成:具有可根據資料信號執行邏輯功能之邏輯閘的一個別運算邏輯、具有合適的組合邏輯閘之一特定應用積體電路(application specific integrated circuit, ASIC)、可程式閘陣列(programmable gate array, PGA)或一現場可程式閘陣列(field programmable gate array, FPGA)等。
說明書內的流程圖中的流程和方塊示出了基於本發明的各種實施例的系統、方法和電腦軟體產品所能實現的架構,功能和操作。在這方面,流程圖或功能方塊圖中的每個方塊可以代表程式碼的模組,區段或者是部分,其包括用於實現指定的邏輯功能的一個或多個可執行指令。另外,功能方塊圖以及/或流程圖中的每個方塊,以及方塊的組合,基本上可以由執行指定功能或動作的專用硬體系統來實現,或專用硬體和電腦程式指令的組合來實現。這些電腦程式指令還可以存儲在電腦可讀媒體中,該媒體可以使電腦或其他可編程數據處理裝置以特定方式工作,使得存儲在電腦可讀媒體中的指令,實現流程圖以及/或功能方塊圖中的方塊所指定的功能/動作。 以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
10:網路交換器 100:過濾器 110:存取控制列表電路 111:存取控制列表 112:比較電路 113:儲存單元 120:路由電路 121:路由表 123:儲存單元 EA1~EAN、EB1~EBK:表項目 S1~S4:硬體階段 210~220:步驟
第1圖為本發明之一實施例的過濾器的架構圖。 第2A圖與第2B圖分別為本發明實施例中之存取控制列表以及路由表的項目內容示意圖。 第3圖為本發明之一實施例的網路交換器的硬體階段示意圖。 第4圖為本發明之一實施例的過濾器的流程圖。
10:網路交換器
100:過濾器
110:存取控制列表電路
111:存取控制列表
112:比較電路
113:儲存單元
120:路由電路
121:路由表
123:儲存單元
EA1~EAN、EB1~EBK:表項目

Claims (10)

  1. 一種在一網路交換器中進行封包過濾的方法,包含: 利用一存取控制列表電路對接收封包進行過濾,其中該存取控制列表電路根據一存取控制列表比對接收封包的標頭資訊來進行過濾,該存取控制列表具有至少一項目,且該項目中針對IP位址的規則資訊僅包含IP位址的部分內容,且該IP位址的部分內容與其他存取控制列表中的IP位址的部分內容不重複;以及 利用一路由電路對通過該存取控制列表電路的封包再次進行過濾,其中該路由電路根據一路由表比對通過該存取控制列表電路的封包的標頭資訊,來進行過濾,其中該路由表具有至少一項目,且該項目中針對IP位址的規則資訊包含IP位址的完整內容。
  2. 如請求項1所述的方法,其中該存取控制列表電路與該路由電路分別設置於該網路交換器的不同硬體階段。
  3. 如請求項1所述的方法,其中該存取控制列表的項目中的規則資訊還包含來源IP位址(source IP address)的一部分、部分目的IP位址(source IP address) 的一部分、來源埠號(source port number)、目的埠號(destination port number)、媒體存取控制位址(Media Access Control Address)、乙太網路類型(Ethernet Type)等封包特徵中之至少一者。
  4. 如請求項1所述的方法,其中該路由表的項目中的規則資訊還包含完整來源IP位址、完整目的IP位址、來源埠號、目的埠號等封包特徵中之至少一者。
  5. 如請求項1所述的方法,其中利用該路由電路對該進行過濾的步驟包含: 在該路由電路進行封包過濾時,不利用該路由電路對通過該存取控制列表電路的封包的標頭資訊進行一修改操作,其中該修改操作包含:替換來源位址(Source Address Replacement)、虛擬區域網路ID修改(Virtual LAN ID Replacement)以及減少封包存活時間(Hop limit)。
  6. 如請求項1所述的方法,其中利用該路由電路對該進行過濾的步驟包含: 在該路由電路進行封包過濾時,利用該路由電路對通過該存取控制列表電路的封包進行一驗證/檢查操作,其中該驗證/檢查操作包含IP標頭驗證(IP header validation)、MAC/IP位址校驗(MAC/IP address checksum),以及單播逆向路徑轉發(Unicast Reverse Path Forwarding)等驗證/檢查操作中之至少一者。
  7. 如請求項1所述的方法,其中該網路交換器為遵循IPv6協議的網路設備,並且該IP位址為IPv6格式。
  8. 一種在一網路交換器中實現的一過濾器,包含: 一存取控制列表電路,用以對接收封包進行過濾,其中該存取控制列表電路根據一存取控制列表比對接收封包的標頭資訊來進行過濾,該存取控制列表具有至少一項目,且該項目中針對IP位址的規則資訊僅包含IP位址的部分內容,且該IP位址的部分內容與其他存取控制列表中的IP位址的部分內容不重複;以及 一路由電路,用以對通過該存取控制列表電路的封包再次進行過濾,其中該路由電路根據一路由表比對通過該存取控制列表電路的封包的標頭資訊,來進行過濾,其中該路由表具有至少一項目,且該項目中針對IP位址的規則資訊包含IP位址的完整內容。
  9. 如請求項8所述的過濾器,其中該存取控制列表電路與該路由電路分別設置於該網路交換器的不同硬體階段。
  10. 如請求項1所述的過濾器,其中該路由表的項目中的規則資訊還包含完整來源IP位址、完整目的IP位址、來源埠號、目的埠號等封包特徵中之至少一者。
TW110108432A 2021-03-10 2021-03-10 在網路交換器中進行封包過濾的方法以及相關過濾器 TWI763360B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW110108432A TWI763360B (zh) 2021-03-10 2021-03-10 在網路交換器中進行封包過濾的方法以及相關過濾器
DE102022101550.5A DE102022101550A1 (de) 2021-03-10 2022-01-24 Verfahren eines Filterns von Paketen in einem Netzwerk-Switch und zugehöriger Filter
US17/674,823 US11991080B2 (en) 2021-03-10 2022-02-17 Method of filtering packets in network switch and related filter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110108432A TWI763360B (zh) 2021-03-10 2021-03-10 在網路交換器中進行封包過濾的方法以及相關過濾器

Publications (2)

Publication Number Publication Date
TWI763360B TWI763360B (zh) 2022-05-01
TW202236826A true TW202236826A (zh) 2022-09-16

Family

ID=82594073

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110108432A TWI763360B (zh) 2021-03-10 2021-03-10 在網路交換器中進行封包過濾的方法以及相關過濾器

Country Status (3)

Country Link
US (1) US11991080B2 (zh)
DE (1) DE102022101550A1 (zh)
TW (1) TWI763360B (zh)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083924A1 (en) * 2005-10-08 2007-04-12 Lu Hongqian K System and method for multi-stage packet filtering on a networked-enabled device
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US20090097418A1 (en) * 2007-10-11 2009-04-16 Alterpoint, Inc. System and method for network service path analysis
US8161155B2 (en) * 2008-09-29 2012-04-17 At&T Intellectual Property I, L.P. Filtering unwanted data traffic via a per-customer blacklist
US20170163670A1 (en) * 2014-04-30 2017-06-08 Hewlett Packard Enterprise Development Lp Packet logging
US9590906B2 (en) * 2014-09-24 2017-03-07 Cisco Technology, Inc. Network resource sharing for routing and forwarding information
US10027576B2 (en) * 2016-05-23 2018-07-17 Juniper Networks, Inc. Method, system, and apparatus for proxying intra-subnet traffic across multiple interfaces within networks
US11496438B1 (en) * 2017-02-07 2022-11-08 F5, Inc. Methods for improved network security using asymmetric traffic delivery and devices thereof
US11411922B2 (en) * 2019-04-02 2022-08-09 Bright Data Ltd. System and method for managing non-direct URL fetching service
US11646998B2 (en) * 2020-05-22 2023-05-09 Arista Networks, Inc. Network address translation with filters using hierarchical rules
US20230208874A1 (en) * 2021-12-28 2023-06-29 Centurylink Intellectual Property Llc Systems and methods for suppressing denial of service attacks

Also Published As

Publication number Publication date
US11991080B2 (en) 2024-05-21
TWI763360B (zh) 2022-05-01
US20220294733A1 (en) 2022-09-15
DE102022101550A1 (de) 2022-09-15

Similar Documents

Publication Publication Date Title
US11893409B2 (en) Securing a managed forwarding element that operates within a data compute node
EP1832037B1 (en) Template access control lists
US6625150B1 (en) Policy engine architecture
US8024799B2 (en) Apparatus and method for facilitating network security with granular traffic modifications
EP1915671B1 (en) Apparatus and method for facilitating network security
US8296846B2 (en) Apparatus and method for associating categorization information with network traffic to facilitate application level processing
US7890991B2 (en) Apparatus and method for providing security and monitoring in a networking architecture
US10708231B2 (en) Using headerspace analysis to identify unneeded distributed firewall rules
US10397116B1 (en) Access control based on range-matching
Weaver et al. The shunt: an FPGA-based accelerator for network intrusion prevention
US8346918B2 (en) Apparatus and method for biased and weighted sampling of network traffic to facilitate network monitoring
US20070056028A1 (en) Apparatus and method for selective mirroring
WO2007134023A2 (en) Portable firewall
US10348603B1 (en) Adaptive forwarding tables
US10798062B1 (en) Apparatus, system, and method for applying firewall rules on packets in kernel space on network devices
Schwabe et al. Using MAC addresses as efficient routing labels in data centers
JP5661764B2 (ja) ネットワークトラフィックの転送、分類および監視を向上させる装置および方法
JP4340653B2 (ja) 通信処理装置及び通信処理方法
US10785152B2 (en) Network switch device for routing network traffic through an inline tool
US8122189B1 (en) Methods for logically combining range representation values in a content addressable memory
US10419357B1 (en) Systems and methods for supporting path maximum transmission unit discovery by maintaining metadata integrity across proprietary and native network stacks within network devices
US10341259B1 (en) Packet forwarding using programmable feature prioritization
US8964748B2 (en) Methods, systems, and computer readable media for performing flow compilation packet processing
TWI763360B (zh) 在網路交換器中進行封包過濾的方法以及相關過濾器
CN115150107A (zh) 在网络交换器中进行分组过滤的方法以及相关过滤器