JP2000261487A - Device and system for packet filtering - Google Patents
Device and system for packet filteringInfo
- Publication number
- JP2000261487A JP2000261487A JP6408099A JP6408099A JP2000261487A JP 2000261487 A JP2000261487 A JP 2000261487A JP 6408099 A JP6408099 A JP 6408099A JP 6408099 A JP6408099 A JP 6408099A JP 2000261487 A JP2000261487 A JP 2000261487A
- Authority
- JP
- Japan
- Prior art keywords
- cache table
- filter
- packet
- filter cache
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、パケット通信シス
テムにおけるルータ,スイッチなどのフィルタリング装
置およびフィルタリング方法に関する。The present invention relates to a filtering device such as a router and a switch in a packet communication system and a filtering method.
【0002】[0002]
【従来の技術】パケット通信システムにおいて、MAC
(Media Access Control:メディア・アクセス制御)や
IP(Internet Protocol:インターネットプロトコ
ル)やプロトコル(protocol:通信規約)が異なるネッ
トワーク間でパケット通信を行うには、これらのパケッ
ト情報を経路情報ないしはフィルタ情報として、転送パ
ケットの回線を決定するフィルタリングが行われること
が知られている。2. Description of the Related Art In a packet communication system, MAC
In order to perform packet communication between networks having different (Media Access Control), IP (Internet Protocol) and protocols (protocol: communication protocol), these packet information is used as route information or filter information. It is known that filtering for determining a line of a transfer packet is performed.
【0003】MACとは、LANに必須な伝送制御技術
であって、構内ケーブルを複数ノードが円滑に共同利用
するためのアクセス制御をいう。また、プロトコルはノ
ード間の手順や約束事を意味し、TCP(Transmission
Control Protocol)下で具体的な通信を行うIPと区
分けした。MACには、送信元MACと宛先MACとが
あり、IPにも送信元IPと宛先IPとがある。[0003] The MAC is a transmission control technique essential for a LAN, and is an access control for a plurality of nodes to smoothly and jointly use a local cable. A protocol means a procedure or a contract between nodes, and is based on TCP (Transmission).
Control Protocol) and IP that performs specific communication. The MAC includes a source MAC and a destination MAC, and the IP also includes a source IP and a destination IP.
【0004】このようなフィルタリングは、従来、フィ
ルタ情報を含むフィルタリング規則をアクセスリストと
して構成し、受信したパケットにアクセスリストを適用
して行っている。そして、複数のアクセスリストを設定
した場合には、受信パケット毎にアクセスリストを1個
ずつ適用している。Conventionally, such filtering is performed by configuring a filtering rule including filter information as an access list and applying the access list to a received packet. When a plurality of access lists are set, one access list is applied to each received packet.
【0005】例えば、図8に示すように、n個のアクセ
スリストを設定した場合には、まず、入力パケットに対
して、宛先MACと送信元IPとをフィルタ情報とする
アクセスリスト1−1を適用する。その結果、アクセス
リスト1−1中の宛先MACおよび送信元IPが、入力
パケット中の宛先MACおよび送信元IPと一致すれ
ば、次に、入力パケット中のヘッダ情報により、入力パ
ケットの廃棄/転送を決定する。また、MACおよびI
Pと一致しなければ、宛先MACとプロトコルとをフィ
ルタ情報とするアクセスリスト1−2を適用し、アクセ
スリスト中の宛先MACとプロトコルが、入力パケット
中の宛先MACおよびプロトコルと一致すれば、次に、
入力パケット中のヘッダ情報により、入力パケットの廃
棄/転送を決定する。以下、同様に、このようなフィル
タリングをアクセスリスト1−nまで繰り返し行う。[0005] For example, as shown in FIG. 8, when n access lists are set, first, an access list 1-1 which uses destination MAC and transmission source IP as filter information is set for an input packet. Apply. As a result, if the destination MAC and the source IP in the access list 1-1 match the destination MAC and the source IP in the input packet, then the input packet is discarded / transferred by the header information in the input packet. To determine. MAC and I
If P does not match, the access list 1-2 using the destination MAC and protocol as filter information is applied. If the destination MAC and protocol in the access list match the destination MAC and protocol in the input packet, the next step is performed. To
The discard / transfer of the input packet is determined based on the header information in the input packet. Hereinafter, similarly, such filtering is repeatedly performed up to the access list 1-n.
【0006】[0006]
【発明が解決しようとする課題】しかしながら、上述し
た従来のパケットフィルタリングでは、複数のアクセス
リストを設定した場合には、受信したパケット毎にアク
セスリストを1個づつ順に適用しているため、n個のア
クセスリストを設定した場合、1パケット受信する度に
最大でn回のアクセスリスト適用をすることになり、パ
ケット転送性能が低下するという問題点がある。However, in the above-mentioned conventional packet filtering, when a plurality of access lists are set, the access lists are applied one by one for each received packet. When the access list is set, the access list is applied at most n times each time one packet is received, and there is a problem that the packet transfer performance is reduced.
【0007】そこで、本発明の目的は、アクセスリスト
適用後、その情報をフィルタ用キャッシュテーブルに登
録することにより、2パケット目以降の連続したパケッ
トのフィルタ適用を高速化したパケットフィルタリング
装置およびパケットフィタリング方法を提供することに
ある。[0007] Therefore, an object of the present invention is to provide a packet filtering apparatus and a packet filter that, after application of an access list, register the information in a filter cache table, thereby speeding up the application of a filter to successive packets subsequent to the second packet. It is to provide a ring method.
【0008】[0008]
【課題を解決するための手段】第1の本発明のパケット
フィルタリング装置は、アクセスリストから生成したフ
ィルタキャッシュテーブルキーに基づいて、1つ目の入
力パケットのパケット情報をフィルタキャッシュテーブ
ルに登録し、2つ目以降の入力パケットのパケット情報
については、前記フィルタキャッシュテーブルキーに基
づいて前記フィルタキャッシュテーブルを検索し、ヒッ
トすれば当該フィルタキャッシュテーブルの内容により
当該入力パケットの転送または廃棄を行い、一方、ミス
ヒットなら前記アクセスリストを順次に適用し、一致す
れば当該パケット情報の前記登録を行って、その内容に
より当該入力パケットの転送または廃棄を行うことを特
徴とする。According to a first aspect of the present invention, a packet filtering apparatus registers packet information of a first input packet in a filter cache table based on a filter cache table key generated from an access list. For the packet information of the second and subsequent input packets, the filter cache table is searched based on the filter cache table key, and if there is a hit, the input packet is transferred or discarded according to the contents of the filter cache table. In the case of a mishit, the access list is sequentially applied, and if they match, the registration of the packet information is performed, and the input packet is transferred or discarded according to the contents.
【0009】また、第2の本発明のパケットフィルタリ
ング装置は、特定パケットの通過を制限または許可する
ための条件(フィルタ情報)が設定された少なくとも1
つのアクセスリストと、特定の入力パケットのパケット
情報が登録される少なくとも1つのフィルタキャッシュ
テーブルと、前記アクセスリストに設定されたフィルタ
情報の内から前記フィルタキャッシュテーブルに登録す
るパラメータ(フィルタキャッシュテーブルキー)を生
成するフィルタキャッシュテーブルキー生成手段と、前
記アクセスリストのフィルタ情報と一致したパケット情
報を前記フィルタキャッシュテーブルキーに基づいて前
記フィルタキャッシュテーブルに登録するフィルタキャ
ッシュテーブル登録手段と、入力パケットのパケット情
報に対し、前記フィルタキャッシュテーブルキーに基づ
いて前記フィルタキャッシュテーブルを検索し、ヒット
すれば当該フィルタキャッシュテーブルの内容にしたが
って当該入力パケットの転送または廃棄を判定し、また
ヒットしなければ前記アクセスリストを適用するフィル
タキャッシュテーブル検索手段とを有することを特徴と
する。The packet filtering apparatus according to the second aspect of the present invention is configured such that at least one condition (filter information) for restricting or permitting the passage of a specific packet is set.
One access list, at least one filter cache table in which packet information of a specific input packet is registered, and a parameter (filter cache table key) to be registered in the filter cache table from the filter information set in the access list Filter cache table key generating means for generating the packet information of the input packet, filter packet table information registering means for registering packet information matching the filter information of the access list in the filter cache table based on the filter cache table key, In response to this, the filter cache table is searched based on the filter cache table key, and if there is a hit, the input packet is searched according to the contents of the filter cache table. Determining bets transfer or disposal, also characterized by having a filter cache table retrieving means for applying the access list to be hit.
【0010】さらに、本発明のパケットフィルタリング
装置の好ましい実施の形態は、前記フィルタキャッシュ
テーブルキーの生成は、前記アクセスリストのフィルタ
情報パラメータを論理和演算することにより求めること
を特徴とする。Further, in a preferred embodiment of the packet filtering apparatus according to the present invention, the generation of the filter cache table key is obtained by performing a logical OR operation on the filter information parameters of the access list.
【0011】さらに、本発明のパケットフィルタリング
方法は、特定パケットの通過を制限または許可するため
の条件(フィルタ情報)をアクセスリストに設定する手
順と、前記設定されたフィルタ情報の内からフィルタキ
ャッシュテーブルに登録するパラメータ(フィルタキャ
ッシュテーブルキー)を生成する手順と、パケットが入
力すると、前記のフィルタ情報と一致したパケット情報
を前記フィルタキャッシュテーブルキーに基づいて前記
フィルタキャッシュテーブルに登録する手順と、入力パ
ケットのパケット情報に対し、前記フィルタキャッシュ
テーブルキーに基づいて前記フィルタキャッシュテーブ
ルを検索し、ヒットすれば当該フィルタキャッシュテー
ブルの内容にしたがって当該入力パケットの転送または
廃棄を判定し、またヒットしなければ前記アクセスリス
トを適用する手順とを有することを特徴とする。The packet filtering method according to the present invention further comprises a step of setting a condition (filter information) for restricting or permitting the passage of a specific packet in an access list, and a step of setting a filter cache table from among the set filter information. Generating a parameter (filter cache table key) to be registered in the filter cache table, and registering packet information matching the filter information in the filter cache table based on the filter cache table key when a packet is input; For the packet information of the packet, the filter cache table is searched based on the filter cache table key, and if there is a hit, the transfer or discard of the input packet is determined according to the contents of the filter cache table. If hit and having a procedure for applying the access list.
【0012】[0012]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。Next, embodiments of the present invention will be described with reference to the drawings.
【0013】図1は、本発明のパケットフィルタリング
装置の実施の形態を示すブロック図であり、特定パケッ
トの通過を制限、あるいは許可するための条件を登録す
るn個のアクセスリスト1−1〜1−nが設定されたフ
ィルタリングテーブル1と、アクセスリストを適用した
パケット情報をフィルタキャッシュテーブル5に登録す
るフィルタキャッシュテーブル登録手段3と、フィルタ
キャッシュテーブル5に登録するパラメータ(フィルタ
キャッシュテーブルキー)を決めるフィルタキャッシュ
テーブルキー生成手段4と、フィルタキャッシュテーブ
ル5に従い入力パケットの転送または廃棄を判定するフ
ィルタキャッシュテーブル検索手段2と、フィルタキャ
ッシュテーブル5とを有する。FIG. 1 is a block diagram showing an embodiment of a packet filtering apparatus according to the present invention, wherein n access lists 1-1 to 1-1 for registering conditions for restricting or permitting a specific packet to pass therethrough. -N is set, a filter cache table registration unit 3 that registers packet information to which the access list is applied in the filter cache table 5, and a parameter (filter cache table key) to be registered in the filter cache table 5 are determined. It has a filter cache table key generation unit 4, a filter cache table search unit 2 that determines transfer or discard of an input packet according to the filter cache table 5, and a filter cache table 5.
【0014】アクセスリスト1−1〜1−nには、それ
ぞれフィルタ情報が含まれており、入力パケットは、こ
のフィルタ情報によりフィルタリングされるべきもので
ある。しかし、本発明では、1パケット目については、
上記のように、アクセスリスト1−1〜1−nが適用さ
れるが、2パケット目以降は、その前に、入力パケット
中のパケット情報について、フィルタキャッシュテーブ
ルキーによりフィルタキャッシュ検索手段2がフィルタ
キャッシュテーブル5を検索する。Each of the access lists 1-1 to 1-n includes filter information, and an input packet is to be filtered by the filter information. However, in the present invention, for the first packet,
As described above, the access lists 1-1 to 1-n are applied. However, before the second packet, the filter cache search unit 2 performs filtering on the packet information in the input packet using the filter cache table key. The cache table 5 is searched.
【0015】そして、ヒットすれば、ヒットしたエント
リの内容の指示基づき、入力パケットの転送あるいは廃
棄を行う。また、ヒットしなければ、アクセスリスト1
−1〜1−nを順番に適用し、通常のフィルタリング動
作を行う。これにより、連続した2パケット目以降のパ
ケットのフィルタリング処理を高速化することを可能と
する。If a hit occurs, the input packet is transferred or discarded based on the instruction of the contents of the hit entry. If there is no hit, access list 1
-1 to 1-n are applied in order, and a normal filtering operation is performed. As a result, it is possible to speed up the filtering process of the second and subsequent packets.
【0016】フィルタキャッシュテーブルキー生成手段
4は、アクセスリスト1−1〜1−nのフィルタ情報か
らフィルタキャッシュテーブルキーを生成する。フィル
タキャッシュテーブル登録手段3は、1つ目の入力パケ
ットについてアクセスリスト1−1〜1−nを適用後、
そのパケット情報を、フィルタキャッシュテーブルキー
をキーとしてフィルタキャッシュテーブル5に登録し、
上記の2つ目以降の入力パケットに対するフィルタキャ
ッシュテーブル5の検索に備える。The filter cache table key generating means 4 generates a filter cache table key from the filter information of the access lists 1-1 to 1-n. The filter cache table registration unit 3 applies the access lists 1-1 to 1-n for the first input packet,
The packet information is registered in the filter cache table 5 using the filter cache table key as a key,
In preparation for the search of the filter cache table 5 for the second and subsequent input packets.
【0017】次に、本パケットフィルタリング装置の実
施例について説明する。n=3の場合、つまり、3つの
アクセスリスト1−1,1−2,1−3を設定したとす
る。また、アクセスリスト1−1は宛先MACと送信元
IPとをフィルタ情報とし、アクセスリスト1―2は宛
先MACとプロトコルとをフィルタ情報とし、アクセス
リスト1―3は宛先IPとプロトコルとをフィルタ情報
とするものとする。Next, an embodiment of the present packet filtering apparatus will be described. It is assumed that n = 3, that is, three access lists 1-1, 1-2, and 1-3 have been set. The access list 1-1 uses the destination MAC and source IP as filter information, the access list 1-2 uses the destination MAC and protocol as filter information, and the access list 1-3 uses the destination IP and protocol as filter information. It is assumed that
【0018】図2は、n=3の場合について、フィルタ
キャッシュテーブルキー生成手段4によるフィルタキャ
ッシュテーブルキーの生成論理を示す表である。図2を
参照すると、フィルタキャッシュテーブルキーは、3つ
のアクセスリスト1−1,1−2,1−3の各フィルタ
情報を論理和することにより生成されることがわかる。
すなわち、アクセスリスト1−1,1−2,1−3のい
ずれかに含まれるフィルタ情報パラメータがフィルタキ
ャッシュテーブルキーを構成する。この例では、宛先M
AC,送信元IP,宛先IPおよびプロトコルがフィル
タキャッシュテーブルキーとなる。FIG. 2 is a table showing the generation logic of the filter cache table key by the filter cache table key generation means 4 when n = 3. Referring to FIG. 2, it can be seen that the filter cache table key is generated by ORing the respective pieces of filter information of the three access lists 1-1, 1-2, and 1-3.
That is, the filter information parameter included in any of the access lists 1-1, 1-2, and 1-3 constitutes a filter cache table key. In this example, the destination M
The AC, source IP, destination IP, and protocol are the filter cache table keys.
【0019】では、図3〜図7を参照して本パケットフ
ィルタリング装置の動作を説明する。Next, the operation of the present packet filtering apparatus will be described with reference to FIGS.
【0020】まず、フィルタキャッシュテーブルキー生
成手段4は、アクセスリスト1−1〜1−nで参照して
いるフィルタ情報パラメータのORをとり、それをフィ
ルタキャッシュテーブルキーとする。First, the filter cache table key generating means 4 performs an OR operation on the filter information parameters referred to in the access lists 1-1 to 1-n and uses the OR as a filter cache table key.
【0021】1つ目のパケットが入力した時点では、フ
ィルタキャッシュテーブル5は空である。そして、入力
パケットのフィルタキャッシュテーブルキーについての
パケット情報は、アクセスリスト1−1〜1−3の各フ
ィルタ情報と一致しないので、フィルタキャッシュテー
ブル登録手段3は、図3に示すように、フィルタキャッ
シュテーブルキーに基づき当該パケットのパケット情報
をフィルタキャッシュテーブル5に登録する。そして、
入力パケットは転送または廃棄される。When the first packet is input, the filter cache table 5 is empty. Since the packet information about the filter cache table key of the input packet does not match each filter information of the access lists 1-1 to 1-3, the filter cache table registration unit 3 sets the filter cache as shown in FIG. The packet information of the packet is registered in the filter cache table 5 based on the table key. And
Incoming packets are forwarded or discarded.
【0022】具体的には、アクセスリスト1―1におい
ては、フィルタ情報パラメータの送信元IPと入力パケ
ットの送信元IPとは同じくXであるが、宛先MACは
pとyで一致しない。アクセスリスト1−2では、宛先
MACはyで一致するが、プロトコルはγとαで一致し
ない。また、アクセスリスト1―3では、宛先IPはY
で一致するが、プロトコルはγとαで一致しない。この
結果、フィルタキャッシュテーブル5には、図3に示す
ように、フィルタキャッシュテーブルキーに基づき、パ
ケット情報の内の宛先MAC「y」,送信元IP
「X」,宛先IP「Y」,プロトコル「α」が登録され
ることになる。Specifically, in the access list 1-1, the source IP of the filter information parameter and the source IP of the input packet are the same X, but the destination MACs do not match p and y. In the access list 1-2, the destination MAC matches with y, but the protocol does not match with γ and α. In the access list 1-3, the destination IP is Y
, But the protocol does not match between γ and α. As a result, based on the filter cache table key, the destination MAC “y” and the source IP in the packet information are stored in the filter cache table 5 as shown in FIG.
“X”, destination IP “Y”, and protocol “α” are registered.
【0023】また、フィルタキャッシュテーブル5が空
で、アクセスリストのいずれかに一致した場合、例え
ば、図4に示すように、アクセスリスト1−2とフィル
タキャッシュテーブルキーに基づくパケット情報とが一
致した場合には、フィルタキャッシュテーブルキーに基
づき当該パケットの情報をフィルタキャッシュテーブル
5に登録する。When the filter cache table 5 is empty and matches one of the access lists, for example, as shown in FIG. 4, the access list 1-2 matches the packet information based on the filter cache table key. In this case, the information of the packet is registered in the filter cache table 5 based on the filter cache table key.
【0024】具体的には、入力パケットのパケット情報
は、アクセスリスト1−1には一致しないが、アクセス
リスト1−2とは一致するので、図4に示すように、フ
ィルタキャッシュテーブルキーに基づき、パケット情報
の内の宛先MAC「y」,送信元IP「A」,宛先IP
「Z」,プロトコル「γ」が登録されることになる。More specifically, the packet information of the input packet does not match the access list 1-1, but matches the access list 1-2. Therefore, as shown in FIG. , Destination MAC “y” in packet information, source IP “A”, destination IP
“Z” and protocol “γ” are registered.
【0025】次に、2つ目以降の入力パケットに付いて
は、アクセスリスト1−1〜1−3より前に、フィルタ
キャッシュテーブル5が適用される。すなわち、フィル
タキャッシュテーブル検索手段2は、パケット情報につ
いて、フィルタキャッシュキーに基づきフィルタキャッ
シュテーブル5を検索する。図5は、フィルタキャッシ
ュテーブル5が図4に示した登録内容の場合に、これと
一致するパケット情報を有するパケットが入力したとき
を示す。このように、フィルタキャッシュテーブル5の
登録内容に一致したパケットを受信した場合には、フィ
ルタキャッシュテーブル5の指示に基づき、そのパケッ
トを転送、あるいは廃棄する。Next, for the second and subsequent input packets, the filter cache table 5 is applied before the access lists 1-1 to 1-3. That is, the filter cache table search means 2 searches the filter cache table 5 for the packet information based on the filter cache key. FIG. 5 shows a case where a packet having packet information that matches the registered content of the filter cache table 5 shown in FIG. 4 is input. As described above, when a packet matching the registered contents of the filter cache table 5 is received, the packet is transferred or discarded based on the instruction of the filter cache table 5.
【0026】一方、フィルタキャッシュテーブル検索手
段2が、パケット情報について、フィルタキャッシュキ
ーに基づきフィルタキャッシュテーブル5を検索した
が、ヒットしなかった場合には、アクセスリスト1−1
〜1−3を順次に適用していく。そして、いずれかのア
クセスリスト、例えば図6に示すように、アクセスリス
ト1−1と一致したときは、フィルタキャッシュキーに
基づきパケット情報をフィルタキャッシュテーブル5に
登録する。On the other hand, the filter cache table search means 2 searches the filter cache table 5 for packet information on the basis of the filter cache key.
1-3 are sequentially applied. Then, when any one of the access lists, for example, as shown in FIG. 6, matches the access list 1-1, the packet information is registered in the filter cache table 5 based on the filter cache key.
【0027】このとき、図4あるいは図5に示したよう
に、既にフィルタキャッシュテーブル5が存在する状態
の場合には、新規にフィルタキャッシュテーブル5−1
を生成し、そのNextポインタに以前のフィルタキャッシ
ュテーブル5−2の先頭アドレスを設定する。 この
後、フィルタキャッシュテーブル5−1または5−2に
一致したパケットを受信した場合、そのテーブルの指示
に基づき、転送あるいは廃棄を行う。At this time, as shown in FIG. 4 or FIG. 5, if the filter cache table 5 already exists, the filter cache table 5-1 is newly added.
Is generated, and the leading address of the previous filter cache table 5-2 is set in the Next pointer. Thereafter, when a packet matching the filter cache table 5-1 or 5-2 is received, the packet is transferred or discarded based on the instruction in the table.
【0028】このように、複数のフィルタキャッシュテ
ーブルが存在するときには、次パケット以降は、最近参
照したフィルタキャッシュテーブルから検索し、それに
従い転送、廃棄を行うのが効率的である。図7は、この
様子を示す。図6で示したように、フィルタキャッシュ
テーブル5−1とこのテーブルからポイントされたフィ
ルタキャッシュテーブル5−2が存在するとき、入力パ
ケットはフィルタキャッシュテーブル5−1から検索さ
れるが、フィルタキャッシュテーブル5−2にヒットす
ると、次回からはフィルタキャッシュテーブル5−2か
ら検索されるのである。このようにするようにことで、
連続した同一フローパケットのフィルタリング能力の向
上を図ることができる。As described above, when there are a plurality of filter cache tables, it is efficient to retrieve the next referenced packet from the filter cache table that has been recently referred to, and to transfer and discard the packets in accordance with the search. FIG. 7 shows this state. As shown in FIG. 6, when the filter cache table 5-1 and the filter cache table 5-2 pointed to the table exist, the input packet is searched from the filter cache table 5-1. When hitting 5-2, the filter cache table 5-2 is searched next time. By doing this,
It is possible to improve the filtering ability of successive identical flow packets.
【0029】[0029]
【発明の効果】本発明では、上述のように、アクセスリ
ストと一致したパケット情報をフィルタキャッシュテー
ブルに登録して、次回以降の入力パケットに対しては、
まず、フィルタキャッシュテーブルを検索し、ヒットす
ればテーブルの内容にしたがって入力パケットを転送ま
たは廃棄するので、アクセスリストの登録数に関わら
ず、連続フローのフィルタリング高速化を図ることがで
きるという効果がある。特に、イントラネットのように
ランダム的なトラフィックが少なく、バースト的なトラ
フィックが多いネットワークでは、この効果は大きい。According to the present invention, as described above, packet information that matches the access list is registered in the filter cache table, and for the next and subsequent input packets,
First, the filter cache table is searched, and if a hit is found, the input packet is transferred or discarded according to the contents of the table. Therefore, regardless of the number of registered access lists, there is an effect that the filtering speed of the continuous flow can be increased. . In particular, this effect is significant in a network such as an intranet where random traffic is small and burst traffic is large.
【図1】 本発明のパケットフィルタリング装置の実施
の形態を示すブロック図。FIG. 1 is a block diagram showing an embodiment of a packet filtering device according to the present invention.
【図2】 本発明におけるフィルタキャッシュテーブル
キー生成論理を表示する図。FIG. 2 is a diagram showing a filter cache table key generation logic according to the present invention.
【図3】 フィルタキャッシュテーブルが空の場合で、
全てのアクセスリストに一致しなかった場合の様子を示
す図。FIG. 3 when the filter cache table is empty,
The figure which shows a mode when not matching all the access lists.
【図4】 フィルタキャッシュテーブルが空の場合で、
アクセスリスト1−2に一致した場合の様子を示す図。FIG. 4 shows a case where the filter cache table is empty.
The figure which shows a mode when it matches with the access list 1-2.
【図5】 フィルタキャッシュテーブルにヒットした場
合の様子を示す図。FIG. 5 is a diagram showing a state when a hit occurs in a filter cache table.
【図6】 フィルタキャッシュテーブルが1つ登録され
ていて、別のアクセスリストと一致した場合の様子を示
す図。FIG. 6 is a diagram showing a state in which one filter cache table is registered and matches with another access list.
【図7】 フィルタキャッシュテーブルが2つ登録され
ていて、そのいずれかにヒットした場合の様子を示す
図。FIG. 7 is a diagram showing a state in which two filter cache tables are registered and one of them is hit.
【図8】 従来のフィルタリング方式を示す図。FIG. 8 is a diagram showing a conventional filtering method.
1 フィルタリングテーブル 2 フィルタキャッシュテーブル検索手段 3 フィルタキャッシュテーブル登録手段 4 フィルタキャッシュテーブルキー生成手段 5 フィルタキャッシュテーブル 1−1 アクセスリスト 1−2 アクセスリスト 1−3 アクセスリスト 1−n アクセスリスト 5−1 フィルタキャッシュテーブル 5−2 フィルタキャッシュテーブル DESCRIPTION OF SYMBOLS 1 Filtering table 2 Filter cache table search means 3 Filter cache table registration means 4 Filter cache table key generation means 5 Filter cache table 1-1 Access list 1-2 Access list 1-3 Access list 1-n Access list 5-1 Filter Cache table 5-2 Filter cache table
Claims (5)
ャッシュテーブルキーに基づいて、1つ目の入力パケッ
トのパケット情報をフィルタキャッシュテーブルに登録
し、2つ目以降の入力パケットのパケット情報について
は、前記フィルタキャッシュテーブルキーに基づいて前
記フィルタキャッシュテーブルを検索し、ヒットすれば
当該フィルタキャッシュテーブルの内容により当該入力
パケットの転送または廃棄を行い、一方、ミスヒットな
ら前記アクセスリストを順次に適用し、一致すれば当該
パケット情報の前記登録を行って、その内容により当該
入力パケットの転送または廃棄を行うことを特徴とする
パケットフィルタリング装置。1. A packet information of a first input packet is registered in a filter cache table on the basis of a filter cache table key generated from an access list. The filter cache table is searched based on the cache table key. If a hit is found, the input packet is forwarded or discarded according to the contents of the filter cache table. For example, the packet filtering device performs the registration of the packet information and transfers or discards the input packet according to the contents.
るための条件(フィルタ情報)が設定された少なくとも
1つのアクセスリストと、 特定の入力パケットのパケット情報が登録される少なく
とも1つのフィルタキャッシュテーブルと、 前記アクセスリストに設定されたフィルタ情報の内から
前記フィルタキャッシュテーブルに登録するパラメータ
(フィルタキャッシュテーブルキー)を生成するフィル
タキャッシュテーブルキー生成手段と、 前記アクセスリストのフィルタ情報と一致したパケット
情報を前記フィルタキャッシュテーブルキーに基づいて
前記フィルタキャッシュテーブルに登録するフィルタキ
ャッシュテーブル登録手段と、 入力パケットのパケット情報に対し、前記フィルタキャ
ッシュテーブルキーに基づいて前記フィルタキャッシュ
テーブルを検索し、ヒットすれば当該フィルタキャッシ
ュテーブルの内容にしたがって当該入力パケットの転送
または廃棄を判定し、またヒットしなければ前記アクセ
スリストを適用するフィルタキャッシュテーブル検索手
段とを有することを特徴とするパケットフィルタリング
装置。2. An at least one access list in which a condition (filter information) for restricting or permitting passage of a specific packet is set, and at least one filter cache table in which packet information of a specific input packet is registered. Filter cache table key generation means for generating a parameter (filter cache table key) to be registered in the filter cache table from among the filter information set in the access list, and packet information matching the filter information of the access list. Filter cache table registration means for registering in the filter cache table based on the filter cache table key; and Filter cache table search means for determining whether to forward or discard the input packet according to the contents of the filter cache table if a hit is found, and a filter cache table search means for applying the access list if no hit is found. Characteristic packet filtering device.
生成は、前記アクセスリストのフィルタ情報パラメータ
を論理和演算することにより求めることを特徴とする請
求項1または請求項2記載のパケットフィルタリング装
置。3. The packet filtering apparatus according to claim 1, wherein the filter cache table key is generated by performing a logical sum operation on a filter information parameter of the access list.
存在するときには、次回以降は、ヒットしたフィルタキ
ャッシュテーブルから前記検索を行うことを特徴とする
請求項1ないし請求項3のいずれかに記載のパケットフ
ィルタリング装置。4. The packet filtering apparatus according to claim 1, wherein when a plurality of the filter cache tables exist, the search is performed from a hit filter cache table in the next and subsequent times. .
るための条件(フィルタ情報)をアクセスリストに設定
する手順と、 前記設定されたフィルタ情報の内からフィルタキャッシ
ュテーブルに登録するパラメータ(フィルタキャッシュ
テーブルキー)を生成する手順と、 パケットが入力すると、前記のフィルタ情報と一致した
パケット情報を前記フィルタキャッシュテーブルキーに
基づいて前記フィルタキャッシュテーブルに登録する手
順と、 入力パケットのパケット情報に対し、前記フィルタキャ
ッシュテーブルキーに基づいて前記フィルタキャッシュ
テーブルを検索し、ヒットすれば当該フィルタキャッシ
ュテーブルの内容にしたがって当該入力パケットの転送
または廃棄を判定し、またヒットしなければ前記アクセ
スリストを適用する手順とを有することを特徴とするパ
ケットフィルタリング方法。5. A procedure for setting a condition (filter information) for restricting or permitting passage of a specific packet in an access list, and a parameter (filter cache table) to be registered in a filter cache table from the set filter information Key), when a packet is input, a step of registering packet information that matches the filter information in the filter cache table based on the filter cache table key, and The filter cache table is searched based on the filter cache table key. If a hit is found, the transfer or discard of the input packet is determined according to the contents of the filter cache table. If no hit, the access list is applied. And a packet filtering method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6408099A JP2000261487A (en) | 1999-03-10 | 1999-03-10 | Device and system for packet filtering |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6408099A JP2000261487A (en) | 1999-03-10 | 1999-03-10 | Device and system for packet filtering |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000261487A true JP2000261487A (en) | 2000-09-22 |
Family
ID=13247763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6408099A Pending JP2000261487A (en) | 1999-03-10 | 1999-03-10 | Device and system for packet filtering |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000261487A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006295937A (en) * | 2005-04-12 | 2006-10-26 | Fujitsu Ltd | Frame filtering on switch input ports |
| US8194625B2 (en) | 2002-07-01 | 2012-06-05 | Buffalo Inc. | Wireless LAN device |
| US8451713B2 (en) | 2005-04-12 | 2013-05-28 | Fujitsu Limited | Special marker message for link aggregation marker protocol |
| US8595482B2 (en) | 2001-02-19 | 2013-11-26 | Fujitsu Limited | Packet filtering method for securing security in communications and packet communications system |
| CN115022920A (en) * | 2022-05-25 | 2022-09-06 | Oppo广东移动通信有限公司 | Message filter device and communication chip |
-
1999
- 1999-03-10 JP JP6408099A patent/JP2000261487A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8595482B2 (en) | 2001-02-19 | 2013-11-26 | Fujitsu Limited | Packet filtering method for securing security in communications and packet communications system |
| US8194625B2 (en) | 2002-07-01 | 2012-06-05 | Buffalo Inc. | Wireless LAN device |
| US8477753B2 (en) | 2002-07-01 | 2013-07-02 | Buffalo Inc. | Wireless LAN device |
| JP2006295937A (en) * | 2005-04-12 | 2006-10-26 | Fujitsu Ltd | Frame filtering on switch input ports |
| US8451713B2 (en) | 2005-04-12 | 2013-05-28 | Fujitsu Limited | Special marker message for link aggregation marker protocol |
| CN115022920A (en) * | 2022-05-25 | 2022-09-06 | Oppo广东移动通信有限公司 | Message filter device and communication chip |
| CN115022920B (en) * | 2022-05-25 | 2025-07-25 | Oppo广东移动通信有限公司 | Message filter device and communication chip |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1002402B1 (en) | Trunking support in a high performance network device | |
| US6678678B2 (en) | Method and apparatus for high speed table search | |
| US7395332B2 (en) | Method and apparatus for high-speed parsing of network messages | |
| US6874016B1 (en) | Information searching device | |
| US7245620B2 (en) | Method and apparatus for filtering packet data in a network device | |
| US7126948B2 (en) | Method and system for performing a hash transformation to generate a hash pointer for an address input by using rotation | |
| US7085271B2 (en) | Method and system for performing flow based hash transformation to generate hash pointers for a network device | |
| US20010037396A1 (en) | Stackable lookup engines | |
| US20080198853A1 (en) | Apparatus for implementing actions based on packet classification and lookup results | |
| US20050276230A1 (en) | Communication statistic information collection apparatus | |
| US20050094634A1 (en) | Dynamic unknown L2 flooding control with MAC limits | |
| JP2003516029A (en) | Method and apparatus for wire-rate IP multicast forwarding | |
| US7099336B2 (en) | Method and apparatus for filtering packets based on flows using address tables | |
| WO2004010336A1 (en) | Technique to improve network routing using best-match and exact-match techniques | |
| CN112600752A (en) | Chip implementation method of default policy routing, chip processing method and device of data message | |
| US7145911B2 (en) | Method and system for parallel hash transformation for an address input | |
| WO2022135274A1 (en) | Chip implementation method for routing extension, and chip processing method and apparatus for data packet | |
| US8730961B1 (en) | System and method for optimizing router lookup | |
| WO2024159962A1 (en) | Traffic mirroring method and apparatus for virtual instance, virtual machine platform, and storage medium | |
| JP2000261487A (en) | Device and system for packet filtering | |
| US20010015976A1 (en) | Table-type data retrieval mechanism, packet processing system using the same, and table-type data retrieval method for said packet processing system | |
| JP3570349B2 (en) | Routing device and virtual private network system used therefor | |
| US20040190506A1 (en) | Method and apparatus for performing complex pattern matching in a data stream within a computer network | |
| US8208482B2 (en) | Transmitting packets between packet controller and network processor | |
| JP3228249B2 (en) | Router device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20030513 |