TWI495301B

TWI495301B - 控制封包的階層式速率限制

Info

Publication number: TWI495301B
Application number: TW099113558A
Authority: TW
Inventors: Anubhav Gupta; Arunkumar M Desigan; Arun Sharma; Mukund Srinivasan
Original assignee: Ericsson Telefon Ab L M
Priority date: 2009-04-29
Filing date: 2010-04-28
Publication date: 2015-08-01
Also published as: US20120195323A1; SG175020A1; US8576866B2; CN102415062B; US8249088B2; MX2011011296A; WO2010125447A1; US20100278191A1; TW201132057A; EP2425593A1; CN102415062A

Description

控制封包的階層式速率限制

本發明之實施例係關於網路處理之領域，且更特定言之，係關於在一網路元件之一線路卡上所接收之控制封包之階層式速率限制。

網路元件通常包含多個線路卡，該等線路卡在一或多個控制卡的引導下以高速執行封包轉遞/交換。該等控制卡執行發信號、路由(包含路由表之建立及/或管理)、連接建置、會期建置等。該等線路卡接收資料封包(通常以一高速轉遞/交換資料封包)及需要由該控制卡處理之控制封包。控制封包通常係關於發信號、路由更新、連接建置、會期建置等。

例如，在乙太網路點對點協定(PPPoE)的情形下，該等線路卡可自計算終端器件接收PPPoE主動發現請求(PADR)控制封包及PPPoE主動發現起始(PADI)控制封包。此等PADR及PADI封包必須經發送至該控制卡用以進一步處理。控制封包之其他實例包含動態主機組態協定(DHCP)封包、無用戶端IP服務(CLIPS)封包、IPv6之相鄰者發現封包、位址解析協定(ARP)封包。

通常，線路卡對該等線路卡之各者利用一粗控制封包速率限制機制以防止大量封包自該等線路卡發送至該控制卡。此等速率限制通常係按實際實體(physical entity)(例如，按卡、按埠等)或按協定而應用且應用至多個用戶或電腦終端站。通常，該等速率限制指示可發送至該線路卡之控制封包數量。若超過該速率限制，則通常在該等線路卡中丟棄該等控制封包。

因此，因為該等速率限制通常係按實際實體或協定而應用，所以發送引起超過該速率限制之過量控制封包的一單一電腦終端站可引起丟棄現有用戶之控制封包或導致未通過新用戶會期，這是因為此等控制封包將被丟棄。

在本發明之一實施例中，於一網路元件之一線路卡上使控制封包受到階層式速率限制。對該線路卡上之每個經接收控制封包，決定此控制封包之協定類型，基於該控制封包(以及在某些情況下係特定控制封包(例如，PPPoE主動發現請求(PADR)封包及PPPoE主動發現起始(PADI)封包))之協定類型提取該控制封包中之一組一或多個識別符鍵值，以及基於該組經提取識別符鍵值及該控制封包之經決定協定類型來執行一基於識別符鍵值之速率限制。未通過該基於識別符鍵值之速率限制的此等控制封包(例如，該協定之該組識別符鍵值之相應封包計數值超過一基於識別符鍵值之速率限制值的此等封包)被丟棄。通過該基於識別符鍵值之速率限制的此等控制封包係基於該等控制封包之協定類型(例如，按協定)而以一協定層級予以速率限制。通過該協定層級速率限制的此等控制封包經容許以引導至一控制卡用以進一步處理，而未通過該協定層級速率限制(例如，按協定之相應封包計數速率限制值超過該協定之一協定層級速率限制值的此等封包)的此等控制封包被丟棄。

在一些實施例中，該組識別符鍵值、該基於識別符鍵值之速率限制值及該協定層級速率限制值之一或多者可由該網路元件之一系統操作者組態，容許靈活之控制封包速率限制。因此，來自不同電腦終端站(及該等電腦終端站內之不同網路介面)之控制封包可個別地受到速率限制，同時維持每個線路卡之一總協定層級速率限制。因此，該階層式控制封包速率限制防止電腦終端站藉由控制每個電腦終端站處理所接受之控制封包之數量、同時容許接受合法之控制封包流量而執行拒絕服務攻擊。

在本發明之一實施例中，一網路元件之每個線路卡包含一封包剖析引擎，該封包剖析引擎用於剖析控制封包以決定該等控制封包之協定類型且基於該等控制封包之該經決定協定類型而在每個控制封包中提取一組一或多個識別符鍵值。每個線路卡亦包含多個第一層級執行單元，該等第一層級執行單元用於根據每個唯一協定類型之許多控制封包及在一第一時間間隔期間處理所接受之一組識別符鍵值而對按該組識別符鍵值之若干唯一識別符鍵值及協定類型所接收之控制封包執行一第一層級控制封包速率限制。該等第一層級執行單元丟棄未通過該第一層級控制封包速率限制之此等控制封包(例如，該組識別符鍵值及協定之相應封包計數值超過一基於識別符鍵值之速率限制值的此等封包)。每個線路卡亦包含一組一或多個第二層級執行單元，該等第二層級執行單元用於根據在一第二時間間隔期間處理所接受之每個唯一協定類型之許多控制封包而對通過按協定類型之該第一層級控制封包速率限制之此等封包執行一第二層級控制封包速率限制。該組第二層級執行單元丟棄未通過該第二層級控制封包速率限制之此等控制封包(例如，按協定之相應封包計數速率限制值超過該協定之一協定層級速率限制值的此等封包)。通過該第二層級控制封包速率限制之此等封包經容許以引導至該控制卡用以進一步處理。

在本發明之一實施例中，一種用於使控制封包受到速率限制之線路卡包含：多個網路處理單元(NPU)，每個網路處理單元具有一單獨記憶體域且與該線路卡之一或多個埠耦接；及一中央線路處理器。每個NPU接收包含控制封包及資料封包之封包以待處理。每個NPU包含一封包剖析引擎，該封包剖析引擎用於剖析控制封包以決定該等控制封包之一協定類型且基於該控制封包之該經決定協定類型而自每個控制封包提取一組一或多個識別符鍵值。每個NPU進一步包含多個第一層級執行單元，該等第一層級執行單元用於對按協定類型之每個唯一組經提取識別符鍵值執行一基於識別符鍵值之速率限制。該等第一層級執行單元丟棄未通過該基於識別符鍵值之速率限制的此等控制封包。每個NPU進一步包含一組一或多個第二層級執行單元，該等第二層級執行單元用於對通過該基於識別符鍵值之速率限制的此等封包之各者執行一基於協定之速率限制。該組第二層級執行單元丟棄未通過該基於協定之速率限制的此等控制封包且將肯定通過之此等控制封包連同與此等控制封包之各者相關聯之當前封包計數值發送至該線路卡之該中央線路處理器(例如，對於每個控制封包，一識別符鍵值控制封包計數值及一協定控制封包計數值)。該中央線路處理器彙總自該多個NPU接收具有按協定之相同組識別符鍵值的控制封包(例如，對於每個按協定之唯一組識別符鍵值，該中央線路處理器將自該等NPU接收之該等封包計數值相加)，及彙總自該多個NPU接收之按協定類型之控制封包(例如，對於每個按協定之控制封包，該中央線路處理器將自該等NPU接收之該等協定控制封包計數值相加)。該中央線路處理器根據此等按協定類型之唯一組識別符鍵值之經彙總封包計數值而對自該等NPU接收之每個按協定類型唯一組之識別符鍵值之控制封包執行一基於彙總識別符鍵值之速率限制。該中央線路處理器丟棄未通過該基於彙總識別符鍵值之速率限制之此等控制封包。該中央線路處理器根據此等唯一協定類型之經彙總封包計數值而對通過每個唯一協定類型之該基於彙總識別符鍵值之速率限制的此等控制封包執行一基於彙總協定之速率限制。該中央線路處理器丟棄未通過該基於經彙總協定之速率限制的此等控制封包。通過該基於彙總協定之速率限制的此等封包經容許以引導至該控制卡用以進一步處理。

可藉由參考用於說明本發明之實施例之以下描述及所附圖式而最佳地瞭解本發明。

在以下描述中，闡述許多特定細節。然而，應瞭解，在沒有此等特定細節的情況下可實踐本發明之實施例。在其他情形下，未詳細展示控制結構、閘層級電路及全軟體指令序列以便不會混淆本發明。在具有所包含之描述的情況下，一般技術者將可實施未經實驗之適當功能。

在本說明書中對「一項實施例」、「一實施例」、「一實例性實施例」等之引用指示所描述之實施例可包含一特定特徵、結構或特性，但每項實施例可能並不一定包含該特定特徵、結構或特性。此外，此等短語並不一定指同一實施例。再者，當結合一實施例描述一特定特徵、結構或特性時，據認它在影響結合不管是否明確描述之其他實施例之此特徵、結構或特性的認知中。

在以下描述及技術方案中，可使用術語「耦接」及「連接」連同它們之衍生詞。應瞭解，此等術語並不意為作為各自之同義詞。「耦接」係用於指示可能或不可能彼此直接實體或電氣接觸、彼此協作或相互作用的兩個或兩元件以上。「連接」係用於指示在彼此耦接之兩個或兩個以上元件之間之通信之建置。

該等圖中所示之技術可使用於一或多個電子器件(例如，一電腦終端站、一網路元件等)上儲存及執行之程式碼及資料而實施。此等電子器件使用諸如機器可讀儲存媒體(例如，磁碟；光碟；隨機存取記憶體；唯讀記憶體；快閃記憶體；相變記憶體)之機器可讀媒體及機器可讀通信媒體(例如，經傳播信號，諸如載波、紅外線信號、數位信號等之電學、光學、聲學或其他形式)來儲存及通信(內部地及/或經由一網路與其他電子器件通信)程式碼及資料。再者，此等電子器件通常包含：一組一或多個處理器，該等處理器耦接至一或多個其他元件(諸如，一儲存器件、一或多個使用者輸入/輸出器件(例如，一鍵盤、一觸控螢幕及/或一顯示器))；及一網路連接。該組處理器及其他組件之耦接通常係藉由一或多個匯流排及橋(亦稱為匯流排控制器)。儲存器件及攜帶網路流量之信號各自代表一或多個機器可讀儲存媒體及機器可讀通信媒體。因此，一給定電子器件之儲存器件通常儲存程式碼及/或資料以用於執行於該電子器件之該組一或多個處理器上。當然，本發明之一實施例之一或多個部分可使用軟體、韌體及/或硬體之不同組合而實施。

如本文中所使用，一網路元件(例如，一路由器、交換機、橋接器等)係一台包含硬體及軟體之網路設備，其通信地互連該網路上之其他設備(例如，其他網路元件、電腦終端站等)。一些網路元件係提供多個網路功能之支援(例如，路由、橋接、交換、層-2彙總及/或用戶管理)及/或提供多個應用程式服務之支援(例如，資料、語音及視訊)的「多服務網路元件」。用戶電腦終端站(例如，工作站、膝上型電腦，掌上型電腦，行動電話，智慧型電話，多媒體電話，攜帶式媒體播放器，GPS裝置，遊戲系統，視訊轉換器等)存取經由網際網路提供之內容/服務及/或提供於網際網路上所覆蓋之虛擬專用網路(VPN)上之內容/服務。該等內容及/或服務通常由屬於一服務或內容提供商之一或多個伺服器電腦終端站提供，且可包含公共網頁(免費內容、店面、搜尋服務等)、私人網頁(例如，提供電子郵件服務之用戶名稱/密碼存取之網頁等)、基於VPN之公司網頁等。通常，用戶電腦終端站係耦接(例如，經由耦接至一存取網路(有線或無線)之用戶終端設備(customer premise equipment))至邊緣網路元件，該等邊緣網路元件係耦接(例如，經由至其他邊緣網路元件之一或多個核心網路元件)至該等伺服器電腦終端站。

本發明描述一種用於控制封包之階層式速率限制的方法及裝置。在本發明之一實施例中，在一第一層級處，基於包含於控制封包中之一組一或多個識別符鍵值(例如，源MAC位址、源IP位址、GIADDR(閘道IP位址)等之一或多者)使該等控制封包受到速率限制。該等識別符鍵值速率限制值可由該網路元件之一系統操作者組態。丟棄未通過該基於識別符鍵值之速率限制的此等封包。(若當未超過佇列深度)將通過該基於識別符鍵值之速率限制的此等封包排入佇列，且在一第二層級處基於封包之協定而使此等封包受到速率限制。丟棄未通過該第二層級速率限制之彼等封包，而通過該第二層級速率限制之彼等封包經容許以發送至控制卡用於進一步處理。

在一實施例中，每個線路卡包含多個執行單元，該等執行單元各者處理控制封包且各者執行第一層級速率限制(例如，基於識別符鍵值之速率限制)。每個線路卡亦包含一組一或多個執行單元，該等執行單元執行第二層級速率限制(例如，基於協定之速率限制)。

在一實施例中，每個線路卡包含多個網路處理單元(NPU)及一中央線路處理器。該等NPU之各者包含：多個執行單元，該等執行單元各者處理控制封包且各者執行第一層級速率限制(例如，基於識別符鍵值之速率限制)；及一組一或多個執行單元，該等執行單元執行第二層級速率限制(例如，基於協定之速率限制)。通過該第二層級速率限制之彼等封包被發送至該中央線路處理器。該中央線路處理器基於識別符鍵值及協定而彙總該等控制封包及該等控制封包計數。該中央線路處理器基於該等識別符鍵值之彙總計數而執行一第三層級速率限制。丟棄未通過該第三層級速率限制之彼等控制封包，同時應用一第四層級速率限制於通過該第三層級速率限制之彼等封包上。該第四層級速率限制係基於該協定之該彙總封包計數。通過該第四層級速率限制之彼等封包經容許以發送至該控制卡用於進一步處理，而丟棄未通過該第四層級速率限制之彼等封包。

圖1說明一例示性網路，其包含一網路元件，該網路元件執行根據本發明之一實施例之控制封包之階層式速率限制。網路190包含電腦終端站105及110以及網路元件100。在一實施例中，該等電腦終端站105及110係分屬一不同終端使用者之用戶電腦終端站，該網路元件100則係一邊緣網路元件。雖然圖1中未說明，但是應瞭解，該等電腦終端站105及110可經由一或多個其他計算器件(例如，諸如一DSLAM、CMTS等之存取器件)而與該網路元件100連接。

該電腦終端站105經由連接120發送封包(包含資料封包及控制封包)至該網路元件100且接收自該網路元件100發送之封包。類似地，該電腦終端站110經由連接115發送封包(包含資料封包及控制封包)至該網路元件100且接收自該網路元件100發送之封包。

該網路元件100包含多個線路卡125，該等線路卡經由高速網格160與控制卡170耦接。該等線路卡125接收控制封包且將該等控制封包發送至該控制卡170用以進一步處理。該等線路卡125對接收之控制封包執行階層式速率限制(因此，該等線路卡125以多層級方式節流發送至該控制卡170之控制封包數目)。在一實施例中，該等線路卡125在一第一層級處執行一基於識別符鍵值之速率限制且在一第二層級處執行一基於協定之速率限制。

該等線路卡125各者包含一基於識別符鍵值之速率限制器模組140，該模組140基於與接收之控制封包相關聯之一組一或多個識別符鍵值而執行該基於識別符鍵值之速率限制。該組識別符鍵值對於不同協定可係不同的。一給定控制封包之該組識別符鍵值識別且分類該控制封包。舉例而言，該組識別符鍵值可與該網路元件100之一用戶相關聯。該組識別符鍵值可包含該等控制封包中之資訊(例如，源MAC位址、目標MAC位址、GIADDR等)及與對於該網路元件100本端重要之控制封包相關聯之資訊(例如，指派給接收該封包之電路的一本端識別符、接收該等控制封包之埠等)。在一些實施例中，系統操作者可定義識別符鍵值，基於識別符鍵值之速率限制係基於該等識別符鍵值。

該等線路卡125亦包含基於協定之速率限制器模組150，該模組150用於基於控制封包之協定類型及/或基於控制封包之類型而執行該基於協定之速率限制。舉例而言，該基於協定之速率限制器模組150可對在該線路卡上接收之所有DHCP封包執行速率限制。作為另一實例，該基於協定之速率限制器模組150可對特定類型之控制封包(諸如PPPoE主動發現請求(PADR)封包及PPPoE主動發現起始(PADI)封包)執行速率限制。在一實施例中，該基於協定之速率限制器模組150對通過基於識別符鍵值之速率限制的此等封包執行基於協定之速率限制。

該基於識別符鍵值之速率限制器模組140自基於識別符鍵值之速率限制值145檢索在基於識別符鍵值之速率限制中所使用之識別符鍵值速率限制。該基於協定之速率限制器模組150自協定層級速率限制值155檢索用於基於協定之速率限制之速率限制。

在一實施例中，該等速率限制值(例如，協定層級速率限制值155及識別符鍵值速率限制值145)可由該網路元件100之一系統操作者組態。舉例而言，該系統操作者可使用該控制卡170之命令列介面180以組態該等協定層級速率限制值155及該等基於識別符鍵值之速率限制值145。舉例而言，對於每個協定類型(以及在某些情況下為控制封包類型(例如，PADI或PADR))，該系統操作者可設定在一特定量時間(容許間隔)期間識別符鍵值所容許之控制封包數目。此外，該系統操作者可組態該容許間隔之時間量且可組態一丟棄間隔，該丟棄間隔指示未通過之控制封包將被丟棄直到下個容許間隔開始的時間量。另外，對於每個協定類型(以及在某些情況下為控制封包類型)，該系統操作者可設定在一特定容許間隔期間該協定(或控制封包類型)所容許之控制封包之總數目。此外，該系統操作者可組態該容許間隔之時間量且可組態該協定之一丟棄間隔之時間量。

如先前所描述，該等電腦終端站105及110分別經由連接120及115發送及接收控制封包。該等控制封包在本發明之不同實施例中可能係針對不同協定(例如，動態主機組態協定(DHCP)控制封包、乙太網路點對點協定(PPPoE)控制封包(例如，PADR封包、PADI封包)、位址剖析封包(ARP)、IPv6之相鄰者發現封包等)。容許發送至該控制卡170的控制封包將由該(該等)協定模組175之適當者處理。舉例而言，PPPoE控制封包可由該(該等)協定模組175之一PPPoE模組處理。

在一實施例中，對於PPPoE用戶，PADR及PADI封包個別地受到速率限制。雖然在一實施例中用於PADR及PADI封包之識別符鍵值係包含於該等封包中之源MAC位址，然而在其他實施例中該識別符鍵值係不同的(例如，基於源及目標MAC位址、目標MAC位址等)。對於ARP封包，該識別符鍵值係包含於該等ARP封包中之源MAC位址。對於DHCP控制封包，該識別符鍵值係源MAC位址以及視情況係包含於該等封包中之GIADDR。

如圖1中所說明，該等電腦終端站105及110正分別經由連接120及115傳送DHCP控制封包。然而應瞭解，該等電腦終端站105及110可分別經由連接120及115傳送不同控制封包。為了解釋之目的，該等連接120及115終止於該等線路卡125之同一卡上。該電腦終端站105正經由該連接120而以一特定持續時間內100個封包之一速率傳送具有一識別符鍵值MAC1之DHCP控制封包。該電腦終端站105正經由該連接120而以相同持續時間內3個封包之一速率傳送具有一識別符鍵值MAC2之DHCP控制封包。

該基於識別符鍵值之速率限制器模組140對控制封包(例如，自電腦終端站105及110接收之DHCP封包)應用一基於識別符鍵值之速率限制。該基於識別符鍵值之速率限制器模組140自該等基於識別符鍵值之速率限制值145檢索與該等識別符鍵值相關聯之速率限制值。舉例而言，基於封包之協定類型(例如，DHCP)，該等基於識別符鍵值之速率限制值145指示在該協定類型(例如，該等DHCP封包之每個不同源MAC位址及視情況GIADDR)之每個不同識別符鍵值之一容許間隔期間可接受之封包數目。如圖1中所說明，對於DHCP控制封包之每個唯一識別符鍵值，在該持續時間期間(例如，該等電腦終端站105及110正分別傳送100個DHCP封包及3個DHCP封包的相同時間週期)容許十個DHCP控制封包。因為該電腦終端站105在該時間週期內傳送100個DHCP封包，其超過識別符鍵值速率限制10，所以該基於識別符鍵值之速率限制器模組140接受此等DHCP封包之10個DHCP封包且丟棄90個DHCP封包。因為該電腦終端站110在該時間週期內傳送3個DHCP封包，其低於該識別符鍵值速率限制，所以該基於識別符鍵值之速率限制器模組140接受該等DHCP封包之全部。在一實施例中，接受該等控制封包包含使該等封包排入至一協定特定佇列或在某些情況下一控制封包類型特定佇列(例如，一DHCP控制封包佇列、一PADI佇列、一PADR佇列等)。

有時，在該等控制封包係基於該等識別符鍵值而受到速率限制之後，在一卡層級處，基於該等控制封包之協定或在某些情況下基於控制封包類型而由該基於卡層級之速率限制器模組150使已通過之此等封包受到速率限制。該基於卡層級之速率限制器模組150自該等卡層級速率限制值155檢索該等卡層級速率限制(按協定)。舉例而言，基於封包之協定類型(例如，DHCP)，該等卡層級速率限制值155指示可經許可至該控制卡170之該協定之控制封包之數目。如圖1中所說明，在該時間週期內可許可總共50個DHCP控制封包至該控制卡170。假設該等電腦終端站105及110係僅傳送DHCP控制封包至該等線路卡125之實體，該基於卡層級之速率限制器模組150許可10個具有識別符鍵值MAC1之DHCP控制封包(來自該電腦終端站105)及許可3個具有識別符鍵值MAC2之DHCP控制封包(來自該電腦終端站110)。

圖2說明根據本發明之一實施例之一網路元件100之該等線路卡125之一者之一更詳細圖。封包剖析引擎210剖析在該等線路卡125處接收之控制封包以提取封包中之資料且將該封包資料寫入至封包緩衝記憶體215中。基於提取之該資料，可決定控制封包之封包協定及類型。此外，亦指派一優先順序至該控制封包(例如，不同協定可具有不同優先順序)。基於指派至該控制封包之優先順序，使該控制封包排入至該等封包工作佇列212之一者。執行單元220(每個執行該基於識別符鍵值之速率限制器模組140之一執行個體)循環整個該等封包工作佇列212以處理擱置中之封包。

基於該封包之協定，該基於識別符鍵值之速率限制器模組140決定待在當產生一識別符鍵值(例如，PADI及PADR之源MAC位址欄位等)時使用的與該封包相關聯之一或多個參數。在一實施例中，基於識別符鍵值之速率限制設定檔260基於該控制封包之協定類型或控制封包類型儲存指示將使用該封包之哪些部分的一設定檔。該基於識別符鍵值之速率限制器模組140接著提取該封包之一或多個部分以提取一或多個識別符鍵值。再者，可使用該封包之本端屬性(local property)，產生該識別符鍵值(例如，識別該控制封包所屬之連接之唯一本端識別符(例如，槽/埠/通道/唯一識別符)等)。

該基於識別符鍵值之速率限制器模組140自識別符鍵值速率限制值145檢索與鍵值相關聯之速率限制值。在本發明之一實施例中，屬於相同協定(例如DHCP)或控制封包類型(例如，PADI或PADR)之所有鍵值具有相同速率限制值，而在其他實施例中每個唯一鍵值可係與一不同速率限制值相關聯。

在一實施例中，該基於識別符鍵值之速率限制器模組140應用一雜湊函數至該組一或多個經提取識別符鍵值以產生一索引鍵值至識別符鍵值節流桶225，以檢索與識別符鍵值節流有關的許多參數。在一實施例中，該識別符鍵值節流桶225係一雜湊表，該表係按經產生之鍵值編索引且包含與節流有關的許多參數(例如，封包之源MAC位址、(在該時間週期期間)已許可之封包數目、最後封包之時間戳記及容許鎖定/同步具有相同鍵值之多個封包之此等參數的一組屬性(attribute))。比較在該時間週期期間針對該識別符鍵值之已許可封包數目與針對該鍵值之速率限制值。若超過該速率限制值，或該封包之許可會導致超過該值，則該基於識別符鍵值之速率限制器模組140丟棄該控制封包。

然而，若未超過該速率限制值，則該基於識別符鍵值之速率限制器模組140基於該協定或控制封包類型(例如，用於DHCP控制封包、ARP控制封包、PADI封包、PADR封包及IPv6之相鄰者發現封包的一單獨佇列)而使該控制封包排入至該等基於協定之佇列245之一者中。該基於識別符鍵值之速率限制器模組140亦將該控制封包添加至該識別符鍵值節流桶(例如，更新許可之封包數目、更新時間戳記等)。

在一實施例中，若此等佇列之深度(當前排入佇列之封包數目)大於一臨限值，則該基於識別符鍵值之速率限制器模組240不會使控制封包排入至該等基於協定之佇列245。該等基於協定之佇列之各者可具有一不同深度臨限值。

執行單元230基於控制封包之協定或控制封包之類型而執行一第二層級速率限制(一基於協定之速率限制)。基於協定之速率限制器模組150自協定層級速率限制值155檢索與控制封包之協定或類型相關聯之速率限制值。控制封包之不同協定或不同類型可具有不同協定層級速率限制值。

該基於協定之速率限制器模組150基於控制封包之協定或控制封包類型而存取該協定層級節流桶255。該協定層級節流桶包含與該協定層級速率限制有關的許多參數(例如，(在該時間週期期間)許可之封包數目、最後封包之一時間戳記等)。分別比較在該時間週期期間針對該協定或控制封包類型之許可之封包數目與針對該協定或控制封包類型之速率限制值。該基於協定之速率限制器150丟棄當期許可之封包數目超過該速率限制值的此等封包(例如，自該等基於協定之佇列245移除此等封包)。對於通過該協定層級速率限制的此等封包，該基於協定之速率限制器150更新該協定層級節流桶255且引導此等封包至該控制卡用以進一步處理。

在一些實施例中，執行單元230在幕後工作且除了執行協定層級速率限制以外亦執行其它工作。舉例而言，如圖2中所說明，該執行單元230亦執行一老化模組250以自該識別符鍵值節流桶225及視情況自該協定層級節流桶255移除且管理過時項目。在一實施例中，基於一老化計時器之過期而觸發該老化模組250以執行。另外，如圖2中所說明，該執行單元230執行基於識別符鍵值之速率限制模組240，類似於由該等執行單元220所執行之基於識別符鍵值之速率限制器模組140。

因為有多個執行單元220，所以存在多個執行單元可幾乎同時試圖對同一鍵值執行基於識別符鍵值之速率限制的可能，這在決定是否接受一封包時可導致一執行單元使用過時資訊。在一實施例中，當該等執行單元220之一者針對一識別符鍵值開始基於識別符鍵值之速率限制時，該執行單元設定一旗標以將當前正對該識別符鍵值執行基於識別符鍵值之速率限制指示給其他執行單元。若在設定該旗標的同時該等執行單元220之一不同者接收具有該識別符鍵值之一控制封包，則該執行單元220不執行基於識別符鍵值之速率限制且將未執行該基於識別符鍵值之速率限制告知給該執行單元230。在一實施例中，該等執行單元220之該不同者使該控制封包排入至該等基於協定之佇列245之適當者中。有時，在接收此一指示之後，該執行單元230之該基於識別符鍵值之速率限制模組240以與以上描述類似之方式執行該基於識別符鍵值之速率限制。

在一實施例中，該執行單元230可週期性地執行該基於識別符鍵值之速率限制模組240以驗證該等執行單元220之效能且可決定丟棄由該等執行單元220所接受之一封包。

圖3為說明根據本發明之一實施例之階層式控制封包速率限制之例示性操作的一流程圖。將參考圖2之例示性實施例描述圖3之操作。然而應瞭解，可藉由除參考圖2所討論之實施例外的本發明之實施例而執行圖3之操作，且參考圖2所討論之實施例可執行不同於參考圖3所討論之實施例的操作。

在方塊310處，該等線路卡125之一者接收一控制封包。流程移至方塊315，此處在該線路卡上之該封包剖析引擎210剖析所接收之控制封包且將封包資料寫入至該封包緩衝記憶體215中。流程接著移至方塊320，此處基於該封包之優先順序而使該封包排入至多個封包工作佇列212之一者中。流程自方塊320移至方塊325。

在方塊325處，該等執行單元220之一者自該等封包工作佇列212選擇該控制封包以開始處理。流程接著移至方塊330，此處基於該封包緩衝記憶體中之資訊決定協定。若該協定包含個別受到速率限制之多個類型控制封包(例如，PADI及PADR封包)，則亦決定控制封包之類型。在一實施例中，一協定識別符係與控制封包相關聯，該協定識別符識別該封包之該協定類型及/或該控制封包類型。

流程接著移至方塊335，此處該基於識別符鍵值之速率限制器模組140決定包含於該封包中之該組一或多個鍵值識別符以基於該封包之協定或控制封包類型提取且提取此等識別符。舉例而言，若該控制封包係一DHCP封包，則自該封包提取源MAC位址及視情況GIADDR。作為另一實例，若該控制封包係一PADI或PADR封包，則自該封包提取源MAC位址。當然，應瞭解，系統操作者可組態將用於該等控制封包之不同識別符鍵值。流程自方塊335移至方塊340。

在方塊340處，該基於識別符鍵值之速率限制模組340應用一雜湊函數至該等經提取鍵值識別符以產生一鍵值索引至該識別符鍵值節流桶225中。流程自方塊340移至方塊345。在方塊345處，該基於識別符鍵值之速率限制模組340使用經產生之鍵值索引來存取該識別符鍵值節流桶且檢索與該鍵值索引相關聯之速率計數器，其包含在當前時間間隔內已接受之與該鍵值相關聯之封包數目。此外，該基於識別符鍵值之速率限制模組140存取識別符鍵值速率限制值145且檢索該識別符鍵值之鍵值識別符速率限制臨限值。流程自方塊345移至方塊355。

在方塊355處，該基於識別符鍵值之速率限制器模組140決定該控制封包至與該鍵值索引相關聯之速率計數器之值的添加是否超過該鍵值識別符速率限制臨限值。若超過該鍵值識別符速率限制臨限值，則流程移至丟棄該封包的方塊360。否則流程移至方塊365，此處該鍵值排入至該等基於協定之佇列245之適當者中。

在一實施例中，在使該封包排入至該等基於協定之佇列245之一者中之前，該基於識別符鍵值之速率限制器模組140檢查該佇列之佇列深度。若該封包之添加引起該佇列深度超過一佇列深度臨限值，則該基於識別符鍵值之速率限制器模組140將丟棄該封包。

流程自方塊365移至方塊370。在方塊370處，該基於協定之速率限制器模組150存取協定層級速率限制值155且檢索該封包之協定類型或該控制封包類型之協定層級速率限制值。此外，該基於協定之速率限制器模組150存取協定層級節流桶255且檢索與控制封包之協定或類型相關聯之速率計數器。流程自方塊370移至方塊375。

在方塊375處，該基於協定之速率限制器模組150決定該控制封包至該協定層級速率計數器之值的添加是否超過與該協定類型或該控制封包類型相關聯之該卡層級速率限制值。若超過該協定層級速率限制，則流程移至丟棄該封包的方塊380。否則，流程移至方塊385，此處該基於協定之速率限制器模組150引導該封包至該控制卡。此外，該基於協定之速率限制器模組150更新該協定層級節流桶255以反映發送至該控制卡之該封包。

因此，可以一階層式方式使控制封包受到速率限制以提供一細微且靈活之控制封包速率限制。在一些實施例中，系統操作者可組態速率限制之細微度以及用於識別該等控制封包之該(該等)鍵值。此外，在一些實施例中，可基於協定(例如，DHCP)及/或基於特定類型之控制封包(例如，PADR及PADI封包)使控制封包受到速率限制。因為速率限制係靈活的且可執行於不同層級處(包含一控制封包識別符層級及一協定層級)，所以來自不同電腦終端站(及一計算終端站內之不同網路介面)之控制封包可個別地受到速率限制，同時保持每個線路卡之總協定控制封包速率限制。因此，該階層式控制封包速率限制防止電腦終端站藉由傳送大量控制封包至該網路元件、同時容許接受合法控制封包流量而執行拒絕服務攻擊。

在一些實施例中，該網路元件中之線路卡包含多個網路處理單元(NPU)，每個網路處理單元可個別執行基於識別符鍵值之速率限制及基於協定之速率限制。圖4說明具有多個網路處理單元之線路卡，該等網路處理單元執行根據本發明之一實施例之控制封包之階層式速率限制。

如圖4中所說明，該等線路卡460之各者包含NPU 405A及405B。應瞭解，NPU之數目係例示性的，線路卡在本發明之實施例中可包含不同數目之NPU。該等NPU 405A及405B係與中央線路處理器410耦接。在一實施例中，該等NPU 405A及405B係與該線路卡之不同埠相關聯。該等NPU 405A及405B各者接收控制封包且個別執行基於識別符鍵值之速率限制及基於協定之速率限制。因此，該等NPU 405A及405B不會共用一記憶體域且並不知道另一者所處理之事項。因此，不同NPU實際上同時處理同一協定及識別符鍵值之控制封包是有可能的。如圖4中所說明，該NPU 405A對具有一識別符鍵值MAC1、MAC2及MAC3之相同協定(例如，DHCP)分別執行識別符鍵值速率限制415、420及425。該NPU 405B對具有一識別符鍵值MAC4及MAC1之相同協定(例如，DHCP)分別執行基於識別符鍵值之速率限制430及435。因此，該NPU 405A對具有一識別符鍵值MAC1之一DHCP封包執行基於識別符鍵值之速率限制415，且該NPU 405B對具有相同識別符鍵值MAC1之一DHCP封包執行基於識別符鍵值之速率限制435。

該NPU 405A接著應用基於協定之速率限制440至通過該等基於識別符鍵值之速率限制415、420及425的此等封包。如圖4中所說明具有一識別符MAC1之DHCP封包已通過該基於識別符鍵值之速率限制415，且具有一識別符MAC3之DHCP封包已通過該基於識別符鍵值之速率限制425。具有一識別符MAC2之DHCP封包未通過該基於識別符鍵值之速率限制420。類似地，該NPU 405B應用基於協定之速率限制445至通過該等基於識別符鍵值之速率限制430及435的此等封包。如所說明，具有識別符MAC4及MAC1之DHCP封包分別已通過基於識別符鍵值之速率限制430及435。

該NPU 405A將通過基於協定之速率限制440之此等封包發送至該中央線路處理器410用以進一步處理。如所說明，具有識別符MAC1及MAC3之DHCP封包通過該基於協定之速率限制440且被發送至該中央線路處理器410用以進一步處理。類似地，該NPU 405B將通過基於協定之速率限制445之此等封包發送至該中央線路處理器410用以進一步處理。該等NPU 405A及405B亦將具有該等封包之協定識別符連同當前速率計數器(識別符鍵值速率計數器及協定速率計數器)一起發送。如所說明，具有一識別符MAC1之DHCP封包已通過基於協定之速率限制445，而具有一識別符MAC4之DHCP封包未通過且不會被發送至該中央線路處理器410。

該中央線路處理器410彙總來自接收自該等NPU 405A及405B之封包之相同協定及識別符鍵值的此等封包。舉例而言，該中央線路處理器410將自該等NPU 405A及405B接收之相同識別符鍵值及協定的識別符鍵值速率計數器之值相加。類似地，該中央線路處理器410將自該等NPU 405A及405B接收之具有相同協定識別符之控制封包之協定速率計數器之值相加。以舉例的方式，該中央線路處理器410彙總自該等NPU 405A及405B接收之具有識別符MAC1之DHCP封包之識別符鍵值速率計數器。基於該等識別符鍵值速率計數器之彙總值，執行基於識別符鍵值之速率限制450。接著藉由協定限制455而使通過該基於識別符鍵值之限制450的此等封包受到速率限制，該協定限制係基於該等協定速率計數器之彙總值。通過該協定限制455之此等封包接著經容許以發送至該控制卡用以進一步處理。

在一實施例中，該等NPU之各者執行與參考圖2及3所描述類似的操作，而例外係，不是發送通過階層式速率限制之控制封包至該控制卡除外，而是將此等控制封包發送至該中央線路處理器用以進一步彙總及速率限制。在此一實施例中，該等NPU之各者包含：多個執行單元，其等用於執行基於識別符鍵值之速率限制；及一組一或多個執行單元，其等用於執行基於協定之速率限制。舉例而言，圖5說明包含多個網路處理單元之線路卡之一者的更詳細圖，該等網路處理單元執行根據本發明之一實施例之階層式速率限制。如圖5中所說明，該等NPU 405A及405B分別包含基於識別符鍵值之速率限制器模組540A及540B以及基於協定之速率限制器模組550A及550B。雖然為了簡潔起見而未說明，但是應瞭解，對於該等NPU 405A及405B之各者，多個執行單元執行該等基於識別符鍵值之速率限制器模組540A及540B之一執行個體，以及一組一或多個執行單元執行該等基於協定之速率限制器模組550A及550B。

在一實施例中，該等基於識別符鍵值之速率限制器模組540A及540B類似於圖1中所說明之基於識別符鍵值之速率限制器模組140而執行，且該等基於協定之速率限制器模組550A及550B類似於該基於卡層級之限制器模組150而執行，而例外係，不是通過該基於協定之速率限制的此等封包被發送至該中央線路處理器410，而是替代經容許以發送至該控制卡。

來自該等NPU 405A及405B之通過該基於協定之速率限制的此等封包連同一協定識別符及相關聯之封包計數器(例如，當前識別符鍵值封包計數值及當前協定封包計數值)一起被發送至該中央線路處理器410。該中央線路處理器410基於識別符鍵值而彙總自該等不同NPU 405A及405B接收之控制封包，且應用一基於彙總識別符鍵值之速率限制及一基於彙總協定之速率限制至此等控制封包。舉例而言，彙總器模組530彙總接收之控制封包之每個不同識別符鍵值之識別符鍵值封包計數值，及彙總接收之控制封包之協定封包計數值。該彙總器模組530適當地更新該等識別符鍵值速率計數器570及協定速率計數器580(例如，利用一經更新之封包計數)。

有時，在利用其他類似封包彙總一封包之後，該基於彙總識別符鍵值之速率限制器模組560存取識別符鍵值速率限制值575且檢索與該封包之識別符鍵值相關聯之速率限制值。比較該經檢索之速率限制值與該識別符鍵值之經彙總之封包計數。丟棄彙總封包計數值大於其相關聯速率限制值的此等封包。接著基於協定或控制封包類型而使通過該基於彙總識別符鍵值之速率限制的此等封包受到速率限制。

該基於彙總協定層級之速率限制器565存取協定速率限制值585且檢索與該控制封包之協定或控制封包類型相關聯之速率限制值。比較該經檢索之速率限制值與該協定或控制封包類型之經彙總之封包計數。丟棄彙總封包計數值超過其相關聯速率限制值的此等封包。通過該基於彙總協定之速率限制的此等封包接著經容許以發送至該控制卡用以進一步處理。

圖6為說明根據本發明之一實施例在具有多個網路處理單元之線路卡中之階層式速率限制之例示性操作的一流程圖。將參考圖5之例示性實施例描述圖6之操作。然而應瞭解，可藉由除參考圖5所討論之實施例外的本發明之實施例而執行圖6之操作，且參考圖5所討論之實施例可執行不同於參考圖6所討論之實施例的操作。

如圖6中所說明，操作之流程開始於方塊375處，如參考圖3所描述。根據一實施例，由該等NPU 405A及405B之一者執行參考圖3所描述之操作(例如，參考方塊310-370所描述之操作)。舉例而言，在方塊310處，該等NPU 405A及405B之一者接收一控制封包。為了解釋之目的，參考圖6所描述之操作假設該NPU 405A已接收一控制封包。

在方塊375處，該基於協定之速率限制模組550A決定該控制封包至該基於協定之速率計數器之值的添加是否超過與該所接收封包之該協定類型或該控制封包類型相關聯之該基於協定之速率限制。若超過協定速率限制值，則流程移至丟棄該封包的方塊380，否則流程移至方塊610。

在方塊610處，該NPU 405A將該控制封包連同該控制封包之鍵值識別符、該控制封包之協定識別符及與該控制封包相關聯之當前封包計數值(例如，當前鍵值識別符封包計數值及當前協定封包計數值)一起發送至該中央線路處理器410。流程自方塊610移至方塊615。

在方塊615處，該中央線路處理器410彙總與所接收控制封包相關聯之封包計數值。舉例而言，該彙總器模組530藉由將彼等封包計數值添加至儲存於識別符鍵值速率計數器570及協定速率計數器580中之值而彙總與所接收控制封包相關聯之封包計數值。該彙總器模組530亦可更新在該識別符鍵值速率計數器570及該協定速率計數器580中之該封包之一時間戳記。當然，應瞭解，若所接收控制封包係利用識別符鍵值或協定接收之第一封包，該彙總器模組530可在該識別符鍵值速率計數器570及該協定速率計數器580中建立該封包之項目。

流程自方塊615移至方塊620，此處該基於彙總識別符鍵值之速率限制器模組560存取識別符鍵值速率限制值575且檢索與該封包之識別符鍵值相關聯之識別符鍵值速率限制值。另外，該基於彙總識別符鍵值之速率限制器模組560存取識別符鍵值速率計數器570且檢索在該時間週期期間許可之具有該識別符鍵值的封包數目。流程自方塊620移至方塊625，此處該基於彙總識別符鍵值之速率限制器模組560決定經彙總封包計數值是否超過該基於識別符鍵值之速率限制。若該計數超過該速率限制，則流程移至丟棄該封包的方塊630，否則流程移至開始一基於協定之速率限制的方塊635。

在方塊635處，該基於彙總協定之速率限制器模組565存取協定速率限制值585且檢索與該控制封包相關聯之協定速率限制值(例如，基於利用該控制封包傳送之協定識別符)。此外，該基於彙總協定之速率限制器模組565存取協定速率計數器580且檢索許可之具有該控制封包之該協定識別符的封包數目。流程自方塊635移至方塊640，此處該基於彙總協定之速率限制器模組565決定該協定識別符之經彙總封包計數值是否超過該協定識別符之協定速率限制值。若該計數超過該速率限制，則流程移至丟棄該封包的方塊630。然而，若該計數不超過該速率限制，則流程移至方塊640，此處該封包經引導至該控制卡用以進一步處理。

因此在一些實施例中，該等線路卡執行多層級階層式控制封包速率限制。然而應瞭解，在一些實施例中，省略該等控制封包速率限制層級之一或多者。舉例而言，在該等線路卡包含多個網路處理單元及一中央線路處理器的情形下，在一實施例中，僅在該網路處理單元處應用速率限制(因此，在此一實施例中，該等網路處理單元不執行控制封包速率限制)。作為另一實例，在一些實施例中，省略基於協定之速率限制。

在一些實施例中，除了基於識別符鍵值之速率限制及基於協定之速率限制以外，亦基於每秒事件數目而使控制封包受到速率限制。以舉例的方式，一事件係在該線路卡上之一控制封包之接收而不顧及協定。舉例而言，在基於識別符鍵值之速率限制之前，當接收一控制封包時，該線路卡決定該控制封包是否通過每秒事件速率限制。若該封包通過該每秒事件速率限制，則接著執行基於識別符鍵值之速率限制。若該封包未通過該每秒事件速率限制，則該線路卡將丟棄該封包。在一實施例中，每秒事件速率限制係電路特定的(即，對每個不同電路分別應用每秒事件速率限制)。

雖然已經描述關於基於鍵值識別符及基於協定類型之控制封包速率限制的實施例，但是在其他實施例中，可以不同細微度(例如，按埠、按VLAN/ATM-PVC、按用戶等)進一步限制控制封包。此外，在一些實施例中，替代基於封包中之鍵值識別符及基於控制封包之協定類型使控制封包受到速率限制，以不同細微度(例如，按埠、按VLAN/ATM-PVC、按用戶等)限制該等控制封包。

雖然已經描述關於基於一類別識別符鍵值(例如，同樣藉由具有相同識別符鍵值速率限制值處理具有相同協定之唯一識別符鍵值的控制封包)使控制封包受到速率限制的實施例，但是在其他實施例中，識別符鍵值速率限制值可係個別識別符鍵值特定的。另外，在一些實施例中，該等識別符鍵值速率限制值係動態的且對於單個識別符鍵值取決於接收之控制封包的歷史而改變(例如，回應於針對該識別符鍵值異常地偵測到大量控制封包(並且因此偵測到一可能的拒絕服務攻擊)，可降低該識別符鍵值之速率限制值)。

雖然該等圖中之流程圖展示由本發明之某些實施例執行之操作的一特定順序，但是應瞭解，此順序係例示性的(例如，替代性實施例可以一不同順序執行該等操作、組合某些操作、重疊某些操作等)。

雖然在若干實施例的方面已描述本發明，但是熟習此項技術者應認識到，本發明並不限於所描述之實施例，且在不偏離所附申請專利範圍之精神及範圍下可利用修飾及替代實踐本發明。因此該描述應視為說明性而不是限制性。

100．．．網路元件

105．．．電腦終端站

110．．．電腦終端站

115．．．連接

120．．．連接

125．．．線路卡

140．．．基於識別符鍵值之速率限制器模組

145．．．識別符鍵值速率限制值

150．．．基於協定之速率限制器模組

155．．．協定層級速率限制值

160．．．網格

170．．．控制卡

175．．．協定模組

180．．．命令列介面

190．．．網路

210．．．封包剖析引擎

212．．．封包工作佇列

215．．．封包緩衝記憶體

220．．．執行單元

225．．．識別符鍵值節流桶

230．．．執行單元

240．．．基於識別符鍵值之速率限制模組

245．．．基於協定之佇列

250．．．老化模組

255．．．協定層級節流桶

260．．．基於識別符鍵值之速率限制設定檔

405A．．．網路處理單元

405B．．．網路處理單元

410．．．中央線路處理器

415．．．基於識別符鍵值之速率限制

420．．．基於識別符鍵值之速率限制

425．．．基於識別符鍵值之速率限制

430．．．基於識別符鍵值之速率限制

435．．．基於識別符鍵值之速率限制

440．．．基於協定之速率限制

445．．．基於協定之速率限制

450．．．基於識別符鍵值之速率限制

455．．．基於協定之速率限制

460．．．線路卡

530．．．彙總器模組

540A．．．基於識別符鍵值之速率限制器模組

540B．．．基於識別符鍵值之速率限制器模組

550A．．．基於協定之速率限制器模組

550B．．．基於協定之速率限制器模組

560．．．基於彙總識別符鍵值之速率限制器模組

565．．．基於彙總協定之速率限制器模組

570．．．識別符鍵值速率計數器

575．．．識別符鍵值速率限制值

580．．．協定速率計數器

585．．．協定速率限制值

圖1說明一例示性網路，其包含一網路元件，該網路元件執行根據本發明之一實施例之控制封包之階層式速率限制；

圖2說明根據本發明之一實施例說明於圖1中之一網路元件之一例示性線路卡；

圖3為說明根據本發明之一實施例之階層式控制封包速率限制之例示性操作的一流程圖；

圖4說明一具有多個網路處理單元之線路卡，該等網路處理單元執行根據本發明之一實施例之控制封包之階層式速率限制；

圖5說明包含多個網路處理單元之一例示性線路卡，該等網路處理單元執行根據本發明之一實施例之控制封包之階層式速率限制；及

圖6為說明根據本發明之一實施例在具有多個網路處理單元之線路卡中之階層式速率限制之例示性操作的一流程圖。