TW201132058A - Method for optimizing a route cache - Google Patents

Description

201132058 六、發明說明： 【發明所屬之技術區域】 本發明是關於一種防止伺服器受攻擊的方法，該攻擊係 以大量項目滿溢（fl〇〇d )伺服器的路由快取來操作。 【先前技術】 當透過網際網路協定（IP)網路傳送封包時，不同的封 包所採取的路由通常會加到稱為轉送資訊庫（F〇rwardi叩 Inf〇rmation Base，FIB )的資料庫中。Πβ也稱為路由表。路 由表指示如何正確轉送封包，以使其到達正確的目的地。一 些作業系統，包括Linux，支持多種FIB。有些fib可以與 不同的網路介面相關聯。FIB規則資料庫包含指示當處理特 定的ip封包應使用的規則。當處理傳入、傳出、或轉送封包 時’作業系統不僅要追蹤應使用哪些FIB，而且要決定應採 用何種路徑、何種功能順序來處理封包、應該把封包送 個鄰點等等。作業系統還對封包的來源和目的地〜立址執行 :些=以阻正服務攻擊的拒絕。為了提高封包處理性 匕，㊉見的做法是，料幾個追料近相的封包流及复θ 如何處理的快取。這有助於分攤對屬於-封包流的潛在二 ^進行每—封包驗證和内部封包處理路徑的高成本。針: =目的’封包流可為複數個具有相同的 ρ 目的地位址、傳入/傳出介面、以及服務1ρ T〇S)標記的封包。 yP6'〇f-Service, 201132058

Linn

勺IP堆疊器使用三個不同的快取：路由快取、鄰 點快取、以A 更體標頭快取。他們都皆為一般性目的地快取 中的專門換 、取。目的地快取存有關於目的地位址和功能的的 、α ，’、形式是獨立於協定的。鄰點快取存有一給定節點的 所有鄰點的] A ±i w U位址和MAC位址之間的映射。給定節點的鄰 點（也稱為「铋卜r .. . . 、 鎚上」（on-hnk )節點）是指從給定節點可本 地到達的節St . , , ^ ，例如透過乙太網路。從給定節點可能無法本 地到達=即點相對於給定節點可以稱為「離鍵」節點。針對 IPV4協疋’鄰點快取也稱為位址解析協S ( ARP )表。在硬 Λ、取存有MAC層標頭及用於操控標頭的功能。路由 快取存有關於IP封包特徵的資訊、用來操控它們的功能、以 及關於應該收到符合封包之鄰點的資訊。 路由快取通常實現為在機器啟動時初始化的散列表。散 列桶的數目是在啟動時根據系統中記憶體的容量自動/ 7路由快取-儲存的最大數量項目可由作㈣統參= :::疊器所處理的所有封包中，通常會為每 的IPv4來源位址和目的地位址 曰。、古. σ建立一個路由快取項 。延個可以被用來作為攻擊 位址來值接拼勺r 门里攻擊者可使用隨機來源 m at木得达封包給受宝. 廡… “者攻擊者甚至不需要接收任何回 心在受害人處理封包時，它碡 丁匕繼續以它希望再利用沾R十 滿路由快取，但由於在的員目充 不會重用那些項目。在數十萬封包以内，特的匕 可被充滿，且性能可明顯下降。 “者的路由快取 201132058

本發明的實施例可透過改變路由快取的使用方式來移除 這種攻擊向量D 【發明内容】 本發明之一實施例可改變用於管理路由快取的流程。至 少-網路介面可被識別為「前端介面」。所有來自本地（鏈 上）節點（例如鄰近節點）抵達於前端介面的訊務可以被視 為正巾處理此種鏈上封包可造成具有本地目的地位址的獨 特路由快取項目。^而，對於來自遠端（離鏈）來源要到特 定IP位址的封包，可使用單_、共享的路由快取項目。在這 個項目中的來源位址攔可以刪除，因為它不會被用於來自任 何來源的訊務。類似地，對於所有透過前端介面往離鍵目的 地的封包，可建立和使用另—單—共享的路由快取項目。這 個項目中的目的地位址欄可以删除，因為它不會被用於前往 任何目的地的訊務。 所有從伺服到離鏈目的地的封包可經由單一路由。如 同當傳送封包到離鏈目的地時一般只需要從路由快取取得 路由位址的資訊’單一的路由快取項目可用於所有往離鏈目 的地的訊務。當使用某些使得路由雜έ 于給田益群組由郎點看來像是單 一路由器的協定（包括虛擬路由器冗餘協定（virtualRouter

Redundancy Protocol，VRRP)或 cisc。沾 ± 址， 4 lsc〇的主機備援路由器協 定（H〇StStandbyR〇UterProtocol，HSRp))來實現路由冗餘 時也是這種情況。當使用多個路由器時，針 、 ^對於冗餘或其他方 201132058 面而言，仍然可能使用路由快取最佳化 於二個的共享項目或嵌入額外資訊於共 ’但可能需要使用 享項目中。 多 .類似地，如同所自離鏈來源的訊務一般是依賴路由 快取的相同資訊，單-快取項目可用於所有來自、離㈣源的 訊務。 來自新的遠端ip位址的請求將不會於路由快取中建立新 的項目，這樣一來’當健器自A量的來源、ιρ位址接收請求 時，不管這些請求是合法的或欺騙的’都可防止路由快取的 的滿溢。 本發明之上述和其他特徵優點在音 TT κ U乜貫施方式和隨附圖式 的說明下將更顯而易見。 【實施方式】 本發明的實施例是關於一種用於管理伺服器（7ιι)或路 由器（771)上的路由快取的方法，其於當大量的網路封包 從具有不同IP位址的大量離鏈網路節點傳送到伺服器時，可 防止路由快取（11 0 )被大量項目瑪溢。 在本發明的一實施例中，伺服器（711)係以至少—實體 網路"面（712) ϋ接到乙太網路鏈結（7〇1 )。此乙太網路 可j接到數個節點’包括其他電腦和路由器（771)，以使飼 艮器可以透過乙太網路直接與其通訊而不需路由器的幫 忙。，些節點稱為㈣器的鄰點或鏈上節點。其他節點稱為 鏈或點。從圖7中節點1 ( 711 )的觀點來看，透過網路介 201132058 面1(773)存取的節點# α " )、卽點3(731)和路由器（771) 疋鏈上卽點，因為它們 們了以透過乙太網路鏈結（701 )直接 存取。節點 4 ( 741 )、5 f i )(751)和6 (761)是離鏈節點，因 為它們只能透過路由器（771)存取。 伺服益包含使其能夠與鏈上節點（π!、叫和離鏈節 點（741、751、761)通訊的網際網路協定（ιρ)堆疊器。π 位=(713)被指派給至少—實體網路介面（川）。當與鍵 上節點通訊時’封包（120、13〇)透過乙太網路（701)鏈 結直接傳送到目的地節點。當與離鏈節點通訊時，封包是傳 送到鏈上路由器（771)，鏈上路由器（771)將封包轉送到 最終目的地。 快取（11 00 )，其包含由伺服器所使 113 0、π 4 0 )以判定如何處理符合 伺服器維護一個路由 用之項目（111〇、1120、 特定項目（1110)的IP封包（12〇)。 在路由快取中的項目（1110)包含與識別符合封包有關 的資料及如何處理它們的指令。封包通常是以來源IP位址 (121 ^目的地IP位址（122)、實體網路介面（712)的指 標（pointer)來識別。因此路由快取將包含來源位址（mi) 和目的地位址（1112 )。對於來自離鏈節點或前往離鏈節點的 封包’項目通常會包含用來識別轉送目的地⑺14)的路由 器IP位址°快取項目可以包含更多用於識別目的和用於處理 目的的詳細資訊。 '在某二It况下，對不同協定的封包應該有不同的處理方 式因此可犯疋一協定—項目。也可以差別化服務代瑪點 8 201132058 (Differentiated Services Code Point，DSCP)來區分。在一 實施例中’具有較高優先DSCP的封包可轉送到路由器，而 具有較低優先DSCP的封包可轉送到第二路由器。 路由快取通常包含與基座（socket)狀態有關的資訊。如 此處使用的，「基座」可為資訊在網路中傳輸之來處或去處 的獨特識別。例如，參見RFC 147。如果該項目涉及傳輸控 制協定（TCP)的通訊，它可能包含與基座連接狀態有關的 資訊。 來源和目的地IP位址通常表示„>封包的來源和目的地節 點的IP位址。網路介面的指標識別與該項目有關的網路介 面。路由器的IP位址通常是指負責處理符合該項目之訊務的 路由器》 在本發明的一實施例中，相關於伺服器與鄰點之間的訊 :的項目冑包含來源和目的地IP位址。在相關於自飼服器至 節點的訊務中所使用的項目係以飼服器的IP位址作為來源 IP'址’並以節點的IP位址作為目的地IP位址。對於相關 於自節點至伺服器的訊務的項目’這些位址是對調的。 當伺服器需要處理封包時’可能會在路由快取中尋找一 個符合相關的封包屬性的項目。 在-實施例中，這種查找工作係透過根據至少封包來源 位址和封包目的地位址以計算散列值來執行。散列值也可根 據其他屬性，包括協定類型、服務類型、差別化服務代碼點 或4何其他封包屬性。然後搜尋路由快取以尋找符合散列值 9 201132058 根據本發明的一實施例，相關於飼服器與離鏈節點之間 的訊務的項目可以來源1P位址或目的地ΠΜ立址建立，但不 能兩者。特別是，在相㈣自離鏈節點至健器的訊務中所 使用的項目（U40)可以包含與實體網路介面的ιρ位址相同 的目的地位址，曰；^幻人士 4 t七 仁不包含有效的來源IP位址。另一方面，相 關於走另一個方向r ό s 自伺服杰至離鏈目的地）.的訊務中所使 用的項目（U30)可以包含與實體網路介面的1?位址相同的 來源位址，但不包含有效的目的地IP位址。單-項目（U40) ::於自數個不同的離鏈節點流至飼服器的訊務，而另一個 =一項目（H30)可用於自伺服器流至數個不同 的訊務。 ^ 前述方式是可能的，因為在很多飼服器上，可用類似方 =理所有要從特定的實體網路介面傳送到離鏈節點的封 y因此使用路由快取中的單_、共同的項目來儲存與處理 :些'包有關的資訊是足夠的。類似地，可用類似方式處理 4離鏈㉝點到特定的實體網路介面的封包。在本發明的一實 施例中’與離鏈封包相關的所有項目係以兩個共享項目所取 代 用於傳出訊務’一用於傳入訊務。 取決於路由快取的結構’缺少來源或目的地^位址可以 不同的方式來表示。在一實施例中，可使用數值〇表示缺少 :ϊρ位址（〇〇.〇.〇)。在另一實施例中，可使用旗標表示缺 二此位址。換句話說’該項目不必與—個特定離鏈節點绑在 -起’且熟習本技術領域者會明白’這可以本發明所涵蓋的 數種方法來實現。上面列出的例子僅用於說明，而非詳盡無 10 201132058

以類似的方式處理所有的離鏈訊務是不適當的。有些訊 務可能具有較高的優先順序，因此應被導向到個別的路由 器。在另一實施例中，相關於不同協定的訊務應有不同的路 t選擇。網域名稱系統（D〇main Name System，DNS)伺服 器通常接收和回應透過使用者資料協定（User Datagram Protocol，UDP )的請求，使用一路由器處理所有透過此協定 的訊務’而另-路由器4理所有透過其他協《的訊務可能是 適當的做法。 在本發明-實施例中，可以有多個與傳出離鏈訊務有關 的共享路由快取項目及多個與傳入離鏈訊務有關的共享路 由快取項目。每個傳出項目可以用於不同的協定，因此含有 不同的參數用於符合的封包及不同的參數用於處理封包。所 有與-肖定介面上的傳出訊務有關的$目將符合以實體介 面的IP位址為來源位址的封包，但不會包含目的地位址。每 個項目將符合與不同的協定有關的封包。 有报多指示哪些封包符合—特定共享項目的方式。 本技術領域者將明白本發明將不僅㈣上面討論的參數… 也不是僅限於使用必須精確符合每個封包的 '组固定： 數。使用包括簡單邏輯功能的更複雜規則是可能的。/ 如同處理從键上節點收到的封包，在處理從離鍵 :封包時’伺服器將在路由快取中尋找符合各個封 關屬性的項目。 相 在-實施例中’這種查找工作是透過根據至少封包來源、 201132058 位址和封包目的地位址而計算散列值來執行。如同在路由快 取中沒有付合封包來源位址的項目的情況，在計算散列值 來源位址可以位1 〇.〇·〇』取代，然後在路由快取中搜尋 具有符合散列值的項目。當相關項目不包含位址0 0 0 0時， 散列可根據-組不同的參數或一組動態的參數，否則搜尋必 須以另一種方式執行。 I在一實施例中，伺服器將偵測到封包是自離鏈節點所收 且在路由快取中搜尋符合項目時’將調用特殊的搜尋程 序°例如’如果具—組給定參數的封包是在低網路擁塞的時 段處理的，封包會符合第一個路由快取項目。另一方面，如 果封包是在高網路擁塞的時段處理的，封包會符合第二個、 不同的路由快取項目。任何適當的外部或其他資料（如地理 :置、時間、其他封包的處理歷史等）都可以用來選擇一個 付合的路由快取項目。 本發明將保護伺服器，可防止駭客傳送來自大量IP位址 协_长4防止.骇客傳运大量的爲造離鏈IP位址的請求。由 h 乃…、使用正吊快取方法於鏈上位址，當自大量鏈上 位址收到大量請求時，快· Μ & 既取滿溢仍然是可能的。鏈上IP位址 的數目會被節點所屬 于、.周路的大小所限制。當本發明是實 &於終止節點時 女盤去 、 限制… 到路由快取中的項目數量將被 、料的大小的倍數。通常情況下是子網路的兩倍大 小。骇客可以利用此漏洞來 n來偽4大®的鏈上位址。根據本發 月的貫施例，為了防止卜 偽 擊’可以實施的措施是，在具 。鏈上位址的封包導致有Jg曰诸士 + 項目建立在路由快取之前時，即 12 201132058 丢棄該封包。 中，操控共享項目所處理之訊務的路 ，以確認在它轉送到伺服器之前不包 在另一實施例中，執行此種確認的功 在本發明的實施例 由器可以檢查每個封包 含偽造的鏈上IP位址。 能可以實施於伺服器上 θ本發明一實施例中，在實體介面上收到的—些封包並 非疋要达在伺服器本身，而是應該被轉送到另一個節點。例 如當本發明是實施於路由器上時。 操控離鏈節點與鏈上節點之間的訊務的路由器可以接收 數個不同目的地ΙΡ位址和數個不同來源ιρ位址的封包。以 =似的方式處理所有這些封包或這些封包的子集可能是適 當的。一個共享項目可以用來符合所有或部分這些封包。 古在本發明一實施例中，所有以類似方式處理的封包不共 享來源位址或目的地位址。因此，共享項目的符合準: 包括檢查封包來源或目的地ΙΡ位址是否符合特定的位址" 在本發明的另一實施例中，在路由器處路由快取中的項 目包含封包下-中繼段的來源或目的地位址，而不是 的地。這使得根據其來源或目的地位址而非其他參夺人 路由快取項目成為可能。 付。 在本發明一實施例中，路由器以至少一實體網 接到第一網路鏈結。此乙太網路鏈处 |面4 括盆μ “ ⑽-了連接到數個節點， 括八他路由¥和電腦，使得路由器可以透過乙 這些節點通訊。該路由器還連接到第二網路鏈 直接與 鏈結也可連接到數個節點，包括其他路由器—網路 电駟。也可有 201132058 可為乙太網路鏈結、訊框電 (Token Ring )鏈結或其他 —類型。路由器可以透過這 夕於兩個的網路鍵結。網路鍵社 驛（Frame Relay)鏈結、訊標琴 類型的網路鏈結。鏈結不必是同 些鏈結在OSI第2層定址主機。 路由器能夠透過第一網路鍵蛀 „ _ ,. τ β、 哪'°自弟一即點接收IP封包並 透過第二網路鏈結將所接收 ㈣收之封包轉送到第二節點。第一和 第二網路鏈結可能是相同的鏈結。 在本發明之一實施例中，，々丄。 由器是連接到第一網路鏈 結’其係乙太網路鏈結（稱A 士 、 稱為本地鏈結）和訊框電驛鏈結（稱 為網際網路鏈結）。 路由器包含網際網路協定（Ip)堆疊器，其允許路由琴 能夠與鏈上和離鏈節點通訊。1?位址係指派給至少一實體網 路介面。當傳送封包到對本地鏈結而言為鏈上的節點或自對 本地鏈結而言為鏈上的節點接收封包時，封包是透過乙太網 路鏈結直接傳送到目的地節點。#與離鏈節點通訊時，封勺 是傳送到對網路鏈結而言為鏈上的節點。這個節點可為最： 目的地或另一個將封包轉送向最終目的地的路由器。 路由ϋ維護-個路由快取，其包含路由器㊉以判定 處理符合特定項目之IP封包的項目。 可 封包通常是以來源IP 4立址、目的地IP位址、來源實體乡 路介面的指標和目的地實體網路介面的指標來識別。..周 、在某些情況下，對不同協定的封包應該有不同的處理 式，因此可能是一協定一項目。也可以差別化服務代石^ (Differentiated Services Code P〇int, Dscp)來區分。’、、點 〇在〜 14 201132058 實施例中’具有較高優先咖的封包可 具有較低優先DSCP的封包可轉送到第二 由扣。而 可以不同的優先順序來處理不同D 益。路由器也 个’]DSCP的封包。在一實施例 ，所有具-特定的DSCP的封包會被保留直 先順序DSCP的封包等待被轉送。 在-實施例中’路由器維護與兩個網路節點之間的基座 (一狀態有關的資訊。如果路由快取項目涉及傳輸控 制協定（TCP )的通訊，它可能包 工 資訊。 匕3與基座連接狀態有關的 來源和目的地ΠΜ立址通常表示㈣包的來源和目的地節 點的ΠΜ立址。當本發明是實現於路由器上時，對於許多封包 二沒有-個位址將符合指派給路由器上的實體介面的位 人:來源和目的地網路介面的指標識別與該項目有關的網路 在本發明的-實施例中，相關於網路鏈結（網路節點） /達之I點與本地鏈結（本地節點）可料之節點之間的 :務的項目將包含來源和目的地1p位址。在相關於自網路至 =的訊務中所使用的項目係以網路節點的Ip位址作為來 ，'、p位址’並以本地節點的.IP位址作為目的地巧位址。對 於相關於自本地節點至網路節點的訊務的項目，這 b 對調的。 一疋 當路由器需要處理封包時’可能會在路由快取中尋找— 固符合相關的封包屬性的項目。 在-實施例中，這種查找工料透過根據至少封包來源 15 201132058 位址和封包目的地位址以計算 據其他屬性，包括協… 束執仃。散列值也可根 …甘 型、服務類型、差別化服務代妈點 的項目。 …路由决取以尋找符合散列值 根據本發明的一實施例， 關罔路即點與本地節點之 間的矾務的項目不能以來源Ιρ A x 9的地IP位址建立。 特別是，在相關於自網路節 項目可不包含位2 的訊務中所使用的 … 來原?位址及目的地IP位址，但其標記為以 使該項目只用於來自網路介 A j峪"面並具一特定範圍内的目的地 位址的訊務。另—方面， 相關於走另一個方向（自本地節點 至網路節點）的訊務中所使用 ” τ尸叮使用的項目可標記為以使該項目σ 用於來自本地介面並且一# 卫/、特疋範圍内的目的地位址的訊 務。使用轉送位址於一拉宁4、 0 、特疋封匕以決定使用何種共享項目也 疋可能的。單一項目可用於自數個不同的網路節點流至數個 不同的本地節點的訊務，而另-個單-項目可用於自數個不 冋的本地㈣流至數個不同的網路節點的訊務。 、前述方式疋m因為在很多伺服器上，可用類似方 式處理所有要從特定的實體網路介面傳送到網路節點的封 包’因此使用路由供敌φ 、取中的早一、共同的項目來儲存與處理 這些封包有關的資号（早g & Μ Κ疋足夠的。在本發明的一實施例中，盥 網路封包相關的所有項目係、以兩個共享項目所取代，一用於 源自網路節點而要值矣 & 要得V至本地郎點的訊務，一源自本地節點 而要傳送至網路節點的訊務。 取决於路由快取的結構’缺少來源及目的地Ρ位址可以 16 201132058 不同的方式來表示。在一實施例中，可使用數值〇表示缺少 的IP位址（〇.〇·〇.〇)。在另一實施例中，可使用旗標表示缺 夕此位址。換句話說’該項目不必與一個特定離鏈節點綁在 起，且热習本技術領域者會明白，這可以本發明所涵蓋的 數種方法來實現。上面列出的例子僅用於說明，而非詳盡無 遺。 田本I明疋實現於路由器上時，可能有需要使用較識別 封包的某些屬性符合某些預定值更為複雜的封包符合方 法。指示哪些封包符合-特定共享項目的方法有报多。：習 本技術領域者將明白本發明將不僅限於上面討論的參數。、在 實施例中，可使用外在因素來判定哪些封包符合一項目。 例如，符合可根據網路的狀態或ιρ位址的地理位置來判定 本發明之一實施例將負載平衡器之路由快取最佳化。 載平衡器可以把收到的封包轉送到數個處理節點的其中 個。負載平衡器可以使用一個或多個共享項目於所有送往 來自一特定處理節點的訊務。 或 雖然已參照範例實施例描述本發明，熟f本技術領域者 會明白’在沒有偏離本發明範圍的情況下，可作出多種修 ^並可取代其元件。此外，在㈣離其基本範圍 :情況下，可作出許多修改，以使特定的情況或材料適於本 發明之教示。因此，本發明不僅限於用於實施本發明之最佳 :唯-實施例，本發明將包括所有落入後附請求項之範圍内 的實施例。此外，在圖式和發明說明中，已揭露本發明 例實施例，雖然可能使用到特定的術語，除非另有說明，盆 17 201132058 僅作為通用及描述目的而非用於限制，而使本發明之範圍不 會如此受限。此外，所使用之Γ第一」、「第二」的用語並不 表示任何順序或重要性，而是以第一、第二等用語來區分元 件。此外，所使用之「一」、「一個」的用語並不表示限制數 量’而是表示所指示項目存在至少一個。 【圖式簡單說明】 請參照範例圖式’其中在隨附圖式中係以相似標號來表 示相似元件： 圖1描述兩個透過路由器通訊的網路節點，繪示第一電 腦上路由快取中的相關項目，其係實施正常的路由快取。 圖2描述兩個透過路由器通訊的網路節點，繪示第一電 腦上路由快取中的相關項目，其係實施本發明之—實施例以 最佳化路由快取。 圖3描述兩個透過路由器通訊的網路節點，繪示路由器 上路由快取中的相關項目，其係實施本發明之一實施例以最 佳化路由快取。 圖4繪示自實施正常的路由快取之網路節點上 取中得到之擷取資料。 圖5繪示自實施本發明之一實施例以最佳化路由快取之 、周路即點上之路由快取中得到之擷取資料。 圖6繪示自實施本發明之一實施例以最佳化路由 5¾. i ^ ^ ^ 上之路由快取中得到之擷取資料。 18 201132058 圖7繪示透過不同的鏈結所連接的網路節言 3和路由器的網路介面1都連接到相同的鍵結 - 的觀點而言皆為鍵上節點。 圖8繪示透過路由器從節點1傳送到節點 在節點1的封包相關的路由快取項目。沒有節 發明。所顯示的路由快取項目係於其被建立日」 圖9繪示透過路由器從節點2傳送到節點 在節點1的封包相關的路由快取項目。沒有節 發明。所顯示的路由快取項目係於其被建立日: 圖10繪示透過路由器從節點1傳送到節點 在節點1的封包相關的路由快取項目。節點^ 明之一實施例。由於封包傳輸的結果並未建 目’只有共享的項目是相關並繪示出來的。 圖11繪示透過路由器從節點2傳送到節點 在節點1的封包相關的路由快取項目。節點】 明之一實施例。由於封包傳輸的結果並未建 目/、有共旱的項目是相關並繪示出來的。 【主要元件符號說明】 12 0封包 121來源π>位址 122目的地ip位址 1 3 0封包 7 〇 1乙太網路 761節點 771鏈上路由器 7 7 3網路介面1 110 0路由快取 1110項目 ;。節點1、2、 ，並且從彼此 2的封包及與 點正在實施本 -〇 1的封包及與 點正在實施本 ί· ° 2的封包及與 正在貫施本發 立路由快取項 ί的封包及與 正在實施本發 立路由快取項 19 201132058 7 11管理伺服器 1111來源位址 712實體網路介面 111 2目的地位址 713 IP位址 111 4轉送目的地 721鏈上節點 1120項目 73 1鏈上節點 1 1 3 0項目 741節點 751節點 11 4 0項目 20

Claims (1)

1. 201132058 七、申請專利範圍： 1一種傳送具有—封包來源位址及—封包目的地位址的 -網路封包的方法，包括以下步驟： 、路由快取，包括複數個項目’該些項目包含至少 目來源位址、—頂曰曰从i上/ ……的地位址、及至-網路介面之-項目 參考， 指定該網路介面作為—前端介面； 將°亥網路介面與一前端介面IP位址相關聯； 建立離鏈目的地項目（〇ff_linkdestinati〇n_ent…於 該路由快取令，該路由快取包含一項目來源位址及一轉送位 址違項目來源位址與該前端介面ιρ位址相同，其中該離鍵 目的地項目不包括該封包目的地位址； 疋該封包目的地位址是否為一離鏈位址； 、1疋該封包目的地位址為一離鏈位址，則在該路由 、”、出有與該封包來源位址相同之來源位址並具有 該轉送位址的該離鏈目的地項目；及 透過該前端介面將該封包傳送到該轉送位址。 2 ·如請求項 1 a s 、 方法，其中在該路由快取中找出該離鏈 來源項目之步驟包括以下步驟： 根據至少該封包來源位址，計算-搜尋散列值，·及 相⑽路t决取中找出一項目，該項目包含與該搜尋散列值 相冋的一散列值。 21 I： 201132058 3 ·如請求項 目服務類型識別 符，在該路由快 以下步驟： …之方法，其中該離鏈目的地項目包含—項 ^邊網路封包包含—封包服務類型識別 取中找出該離鏈來源項目之步驟進一步包括 確保該項目 相同。 務類型識別符與該封包服務類型識別符 4.如請求項1 边― 法，其中該離鏈目的地項目包含一項 二=符’該網路封包包含-封包協定識別符，在該: ’、取中，出該離鍵來源項目之步驟進—步包括以下步驟： 確保忒項目協定識別符與該封包協定識別符相同。 5 ·如請求項丨夕士 、 4 ，/、中該離鏈目的地項目包含一項 差別化服務代碼點，該網路封包包含—封包差別化服務代 碼點纟4路由快取中找出該離鏈來源項目之步驟進一步包 括以下步驟： 確保“項目差別化服務代碼點與該封包差別化服務代 碼點相同。 6.如叫求項丨之方法，其中該網路封包源於一基座 (socket)’該基座具有一相關聯基座連接狀態並由一作業系 統控制； 判定該基座連接狀態沒有在該路由快取中；及 22 201132058 從δ亥作業系統請求該基座的連接狀態。 7. 如請求項6之方法，其中該基座形成一 TCP連接。 8. 一種接收具有一封包來源位址及一封包目的地位址的 —網路封包的方法，包括以下步驟： —路由快取，包括複數個項目，該些項目包含至少一項 目來源位址、一項目目的地位址、及至一實體網路介面之一 項目參考； 才B定該實體網路介面作為一前端介面； 將該實體網路介面與一前端介面ip位址相關聯； 建立一離鏈來源項目（0ff_link source_entry )於該路由 ^取中’ 5玄路由快取包含一項目目的地位址，該項目目的地 位址與該前端介面ip位址相同，其中該離鏈來源項目不包括 該封包來源位址； 岁1J定該封包來源位址是否為一離鏈位址； 果判疋邊封包來源位址為一離鏈位址，則在該路由快 取中找出具有與該封包目的地位址相同之目的地位址的該 離鏈來源項目；及 " 將該封包轉送到一本地基座。 9·如請求項8之方法，其中在該路由快取中找出該離鍵 源項目之步驟包括以下步驟： 根據至少該封包目的地位址，計算一搜尋散列值；及 23 201132058 在路由快取中 相同的一散列值。 找出一項目，該項目包含與 該搜尋散列值 10.如請求項8之 服務類型識別符，$ - 3離鏈來源、項目包含一項目 括以 在該路由快取中找:：封包包含一封包服務類型識別符， 下步驟： 出該離鏈來源項目之步驟進一步包 相同 破保該項目服務類型識別符與該封包 服務類型識別符 11·如睛求項8之古、t 方法，其中該離鏈來源項目包含一@ 協定識別符，該網路6 ^ i严項 封包協定識料，在㈣ 决取：找出該離鏈來源項目之步驟進一步包括以下步驟. 確保該項目協定識別符與該封包協定識別符相同。 12.如請求項8之方法甘丄 I方去，其中該離鏈來源項目包含— 差別化服務代碼點，該網 點力包包含—封包差別化服務代' 點’在該路由快取巾抖ψ 中找出該離鏈來源項目之步驟 以下步驟： ’ 確保該項目差另丨丨>f|-日β &、 碼點相同。 服務代碼點與該封包差別化服務. 13.如請求項8之方法， /、中該網路封包源於一基 socket)’該基座具有一如 土 ^相關聯基座連接狀態並由一作業 24 201132058 統控制； 判定該基座連接狀態沒有在該路由快取中；及 從該作業系統請求該基座的連接狀態。 14.如請求項13之方法，其中該基座形成一 Tcp連接。 15.—種轉送具有一封包來源位址及一封包目的地位址 的一網路封包的方法，包括以下步驟： 處理 址、 —路由快取，包括複數個項目，該些項目包含關於如何 一封包的資訊’其中至少一項目包含至少—項目來源位 -項目目的地位址、及至一實體網路介面之—項目參考； 建立一離鏈來源項目於該路由快取中，其中該離鏈來源 項目不包括該封包來源位址，該離鏈來源項目不包括該封包 目的地位址； 判定該封包來源位址是否為一離鏈位址； 果判疋該封包來源位址為一離鏈位址，則在該路由快 取中找出該離鏈來源項目；及 轉送該封包到該封包目的地位址。 16.如請求項15之方法，其中建立—離鏈來源項目於該 :由快取中之步驟進一步包括以下步驟：標記該項目，使其 -用於封包目的位址是—鏈上位址（。卜咖add㈣s )的封 包，及 、在U路由陕取中找出該離鏈來源項目之步騍包括 25 201132058 位址 以下步驟：判定該封包目的位址是-鏈上 •如明求項1 5之方法，其中該離鏈來源項目勺人 目服務類型讅力丨哎# A 匕s —項 外士 別符，遠網路封包包含一封包服務類型辦別 付，在該路由快取中找出該離鍵來源項目之步 二 以下步驟： 峰―步包括 相同殘保該項目服務類型識別符與該封包服務類型識別符 18·如請求項15之方法，其中該離鏈來源項 目協定識別符’該網路封包包含—封包協定識別符，在該: 由快取中找出該離鏈來源項目之步驟進一步包括以下步驟. 確保該項目協定識別符與該封包協定識別符相同。 A如睛求項15之方法’其中該離鏈來源項目包含一項 目差別化服務代碼點，該網路 3封包差別化服務代 碼點纟該路由快取中找出該離鏈來源項目之㈣進 括以下步驟： 7保該項目差別化服務代碼點與該封包差別 碼點相同。 20.如月求項15之方法，其中該網路封包源於一基座 (抓⑻，該基座以―相„基㈣接 統控制； M T 26 201132058 判定該基座連接狀態沒有在該路由快取中；及 從該作業系統請求該基座的連接狀態。 — 2丨·如請求項20之方法，其中該基座形成一 TCP連接。 22.轉送具有一封包來源位址及一封包目的地位址的— 網路封包的方法，包括以下步驟： 一路由快取，包括複數個項目，該些項目包含關於如何 處理一封包的資訊，其中至少一項目包含至少一項目來源位 址、—項目目的地位址、及至一實體網路介面之一項目參考； 建立一離鏈目的地項目於該路由快取中，其中該離鏈來 源項目不包括該封包目的地位址，該離鏈目的地項目不包括 該封包目的地位址； 判定該封包目的地位址是否為一離鏈位址； 如果判定該封包目的地位址為一離鏈位址，則在該路由 快取中找出該離鏈目的地項目；及 轉送該封包到該封包目的地位址。 • 23.如請求項22之方法，其中建立一離鏈來源項目於該 路由快取中之步驟進一步包括以下步驟：標記該項目，使其 只用於封包來源位址是一鏈上位址（〇n_Hnk adless )的封 包；及 /、中在§亥路由快取中找出該離鏈來源項目之步驟包括 以下步驟：確認該封包來源位址是一鏈上位址。 27 201132058 24·如請求項22 項目服務類型識 之方法’其中該離鏈目的地項目包含一 符，在該路由快取 I’周路封包包含-封包服務類型識別 以下步驟： #出該離鏈來源項目之步驟進—步包括 確保該項目服# & 相同。 ；員型識別符與該封包服務類型識別符 2 5 ·如請求項1 之方法，其中該離鏈目的地項目包含„ 目協定識別符，該網路封包包含一封包協定識別符二: 由快p找出該離鏈來源項目之步驟進—步包括以下步驟： 亥項目協定識別符與該封包協定識別符相同。 26.如清求項i之方法，其中該離鏈目的地項目包含一項 彳服務代碼點’該網路封包包含—封包差別化服務代 碼點，在該路由快取中找出該離鏈來源項目之㈣進_步包 括以下步驟： 確保該項目差別化服務代碼點與該封包差別化服務代 碼點相同。 27·如請求項丨之方法，其中該網路封包源於一基座 (socket )，該基座具有一相關聯基座連接狀態並由一作業系 統控制； 判定ΐ寒基座連接狀態沒有在該路由快取中；及 28 201132058 & °亥作業系統請求該基座的連接狀態。 28.如睛求項6之方法，其中該基座形成一 Tcp連接。 種轉送具有一封包來源位址及-封包目的地位址 的一網路封包的 止 方法，其係使用具有複數個項目之一 取，該些項目包含 峪由快 員目來源位址、一項目目的地位 址、至一來源實體人 l位 I體網路”面之一項目參考 體網％介面之—項夂考， 目的地貫 只S夢哼，包括以下步驟： 建立一第—共享項目於該路由快取 包含至一來源實體網路介面之-項目參考：二一共：項目 -位址是否與該項目符合，其中該第一共享及的地 包目的地位址且不包括. 、不匕括一封 个包括一封包來源位址； 在一貫體網路介面上接# 4人 包；及 1面上接收包含—目的地ΠΜ立址之—封 在該路由快取中找出—項目，該項目 該來源實體網路介面的— 收該封包之 7曰手号’並包Λ _ 位址符合該項目的資料。 3不的地IP 29