JP3779709B2 - Policy control circuit - Google Patents
Policy control circuit Download PDFInfo
- Publication number
- JP3779709B2 JP3779709B2 JP2003346523A JP2003346523A JP3779709B2 JP 3779709 B2 JP3779709 B2 JP 3779709B2 JP 2003346523 A JP2003346523 A JP 2003346523A JP 2003346523 A JP2003346523 A JP 2003346523A JP 3779709 B2 JP3779709 B2 JP 3779709B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- packet
- information
- dna
- control circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ルータなどのパケット転送装置に利用する。特に、パケット転送処理のポリシ制御技術に関する。 The present invention is used for a packet transfer apparatus such as a router. In particular, it relates to a policy control technique for packet transfer processing.
従来のポリシ制御チップの構成と動作を図8〜図10に示す。図8はポリシ処理チップの構成を示す図である。図9はネットワーク内の同チップの配置箇所を示す図である。図10は各配置箇所の必要とされる機能例を示す図である。 The configuration and operation of a conventional policy control chip are shown in FIGS. FIG. 8 is a diagram showing the configuration of the policy processing chip. FIG. 9 is a diagram showing the location of the chip in the network. FIG. 10 is a diagram illustrating an example of a function required for each arrangement place.
図9に示すように、大きく分類して、ネットワークの中で4箇所にポリシ制御チップを適用する。
(1)VPN(Virtual Private Network)の入口:VPNは特定のユーザ間で定義されたものであり、事前に許可されたSA(Source
Address)/DA(Destination Address)のペア以外のパケットは通過させない。しかし、それ以外に関しては、比較的VPNの運用ポリシに基づき設定される。
(2)中継ルータ:中継ルータは高速なフォワーディングのみを行い、特別な場合を除き、他のフィールドをみることはない。
(3)エッジルータ:エッジルータは、ポリシ制御上最も重要な役割を担う。エッジでは、TOS(Type of Service)をベースとして優先制御や禁止されているプロトコルタイプ(例えばUDP(User Datagram
Protocol)パケットの禁止)のフィルタリングを行う。エッジルータの上り(端末からネットワーク)に関しては、レート制御や禁止プロトコルの網内への流入をくいとめるためのフィルタを、エッジルータの下り(ネットワークから端末)に関しては、ユーザへの攻撃や影響を抑えるためのフィルタリングが重要である。
(4)サーバ入口:サーバへの下りは特にDoSやハッカによる攻撃が多い。そのためファイヤーウォールとして、許されているポート番号やプロトコルタイプ等、また、レートに関しても詳細にフィルタリングする。
(1) VPN (Virtual Private Network) entrance: A VPN is defined between specific users, and is a pre-authorized SA (Source
Packets other than (Address) / DA (Destination Address) pair are not allowed to pass. However, the rest are set based on the VPN operation policy.
(2) Relay router: The relay router only performs high-speed forwarding, and does not see other fields except in special cases.
(3) Edge router: The edge router plays the most important role in policy control. At the edge, priority control and prohibited protocol types based on TOS (Type of Service) (for example, UDP (User Datagram
Protocol) (Prohibition of packets). For the upstream of the edge router (from the terminal to the network), a filter to stop the flow of rate control and prohibited protocols into the network is suppressed. Filtering for is important.
(4) Server entrance: Downward to the server is particularly attacked by DoS or hackers. For this reason, as a firewall, the port number and protocol type allowed, and the rate are filtered in detail.
図10は、以上の説明を図にしている。ポリシ制御チップは、それぞれの機能をすべて作り込んでおき、必要に応じて用いるという手段が考えられる。もしくは、複数種類のポリシ制御チップを作り、それぞれ別のチップを必要な場所に適用するという方法もある。しかし、前者の場合は高価なチップを開発し、その一部の機能しか用いていないという問題があり、後者の場合はLSIの品種が増えて経済性の問題がある。 FIG. 10 illustrates the above description. For the policy control chip, it is conceivable to create all the functions and use them as necessary. Alternatively, there is a method of creating a plurality of types of policy control chips and applying different chips to necessary places. However, in the former case, there is a problem that an expensive chip is developed and only a part of the functions are used, and in the latter case, there is an increase in the number of LSIs and there is a problem of economy.
本発明は、このような背景に行われたものであって、経済性に優れ、フレキシブルなポリシ制御を実現できるポリシ制御回路を提供することを目的とする。 An object of the present invention is to provide a policy control circuit that has been implemented in such a background and is excellent in economy and capable of realizing flexible policy control.
本発明のポリシ制御回路は、リコンフィギュレーション可能なDAP/DNA(Data
Application Processor/Distributed Network Architecture)チップ上に、ポリシ制御に必要ないくつかの機能ブロックを設計しておき、必要な機能ブロックのみをコンフィギュレーションして実装し、その基本部と応用部とを定義し、基本部から応用部にはビット情報でヘッダやプロトコルタイプ等の情報を渡し、応用部からはカウント指示や廃棄指示等ポリシにあった命令が渡されることを最も主要な特徴とする。
The policy control circuit of the present invention is a reconfigurable DAP / DNA (Data
Several functional blocks necessary for policy control are designed on the (Application Processor / Distributed Network Architecture) chip, only the necessary functional blocks are configured and implemented, and the basic part and application part are defined. The main feature is that information such as a header and protocol type is passed from the basic unit to the application unit as bit information, and an instruction according to a policy such as a count instruction or a discard instruction is passed from the application unit.
すなわち、本発明は、IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路であって、本発明の特徴とするところは、IPパケットからヘッダの情報を抽出する手段と、このヘッダの情報から所定ビットの切り出しを行う手段と、この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段とを備えた基本部と、1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースとを備えた応用部とを備えたところにある。 That is, the present invention is a policy control circuit for determining a policy relating to processing of an IP packet based on header information of the IP packet, and the present invention is characterized by means for extracting header information from the IP packet. A means for extracting predetermined bits from the header information, an application unit interface for transferring the information on the predetermined bits to the policy analysis means for processing the IP packet, and the IP based on the analysis result of the policy analysis means. A basic unit including means for controlling packet transfer, one or more policy analysis means for performing one or more different policy analyzes based on the information of the predetermined bits, and a policy analysis result by the policy analysis means And an application unit having a basic unit interface for transferring to the controlling means.
このように、基本部と応用部とがそれぞれ独立していることから、基本部はそのままにして応用部だけを変更することにより多種多様な用途に適用させることができる。 As described above, since the basic unit and the application unit are independent of each other, the basic unit can be applied to various uses by changing only the application unit without changing the basic unit.
前記基本部インタフェースおよび前記応用部インタフェースには、前記基本部インタフェースと前記応用部インタフェースとの間にパケットを送受信する手段をそれぞれ備え、この送受信する手段は、前記基本部から前記応用部に向かう前記パケットに前記所定ビットの情報および当該IPパケットの処理の種別を特定する識別情報を搭載する手段と、前記応用部から前記基本部に向かう前記パケットに当該IPパケットの処理の種別を特定する識別情報および前記ポリシ解析結果を搭載する手段とを備えることができる。 The basic unit interface and the application unit interface each include means for transmitting and receiving packets between the basic unit interface and the application unit interface, and the means for transmitting and receiving is directed from the basic unit to the application unit. Means for mounting the information of the predetermined bit in the packet and identification information for specifying the type of processing of the IP packet; and identification information for specifying the type of processing of the IP packet in the packet going from the application unit to the basic unit And means for mounting the policy analysis result.
これにより、応用部に複数のポリシ解析手段を有する場合に、基本部からのパケットをこれらのポリシ解析手段に振り分けることができるため、基本部と応用部との間の通信処理を簡単化することができる。 As a result, when the application unit has a plurality of policy analysis units, packets from the basic unit can be distributed to these policy analysis units, so that the communication processing between the basic unit and the application unit is simplified. Can do.
また、本発明のポリシ制御回路をDAP/DNA(Data Application
Processor/Distributed Network Architecture)型コンフィギュラブルプロセッサ上に実装するときには、例えば、前記応用部は、DAPに実装され、前記基本部は、DNAに実装される。あるいは、DAP/DNA型コンフィギュラブルプロセッサ上で、前記応用部は、DNAおよびDAP上に実装され、前記基本部は、DNA上に実装されることもできる。
In addition, the policy control circuit of the present invention is connected to DAP / DNA (Data Application
When mounted on a (Processor / Distributed Network Architecture) type configurable processor, for example, the application section is mounted on DAP and the basic section is mounted on DNA. Alternatively, on the DAP / DNA type configurable processor, the application unit may be mounted on DNA and DAP, and the basic unit may be mounted on DNA.
ここで、DAP/DNA型コンフィギュラブルプロセッサについて簡単に説明すると、DAP/DNAは、主に2つの部分から成る。1つは、RISC型CPUコアのDAPであり、もう1つは、「エレメント」と呼ぶ演算器がマトリクス状に並んだデータ処理部のDNAである。DAP/DNAは、アプリケーション開発時のシミュレーションさえ通過すれば、実チップでの実行が完全に保証されることを特徴とし、FPGAやDSP向けの開発で見られるようなコードの最適化や開発工程の後戻りなどは原則として発生しない(例えば、非特許文献1〜3参照)。
Here, the DAP / DNA type configurable processor will be briefly described. The DAP / DNA is mainly composed of two parts. One is a DAP of a RISC type CPU core, and the other is DNA of a data processing unit in which arithmetic units called “elements” are arranged in a matrix. DAP / DNA is characterized in that execution on an actual chip is completely guaranteed if it passes simulation at the time of application development. Code optimization and development process as seen in development for FPGA and DSP In principle, no backtracking occurs (for example, see Non-Patent
これにより、応用部の機能を変更または追加する場合には、容易にこの作業を行うことができる。 Thereby, when changing or adding the function of an application part, this operation | work can be performed easily.
本発明の他の観点は、互いに異なる機能を有するネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に本発明のポリシ制御回路の前記基本部および前記応用部を実装するポリシ制御回路の実装方法であって、本発明の特徴とするところは、前記応用部の前記ポリシ解析手段を、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析手段に限定して実装するところにある。 Another aspect of the present invention is a policy control circuit in which the basic part and the application part of the policy control circuit of the present invention are mounted on a DAP / DNA type configurable processor provided in a network configuration device having different functions. The present invention is characterized in that the policy analysis means of the application unit is limited to policy analysis means determined to be indispensable in the network configuration device.
これにより、チップにそれぞれの機能をすべて作り込んでおき、必要に応じて用いるという従来方法、もしくは、複数種類のポリシ制御チップを作り、それぞれ別のチップを必要な場所に適用するという従来方法における高価なチップ開発、もしくは、LSIの品種が増えるなどの問題を回避することができる。 In this way, in the conventional method in which all the functions are built into the chip and used as needed, or in the conventional method in which a plurality of types of policy control chips are created and different chips are applied to the necessary places. Problems such as expensive chip development or an increase in the variety of LSIs can be avoided.
本発明によれば、経済性に優れ、フレキシブルなポリシ制御を実現できる。 According to the present invention, it is possible to realize a policy control that is economical and flexible.
本発明実施例のポリシ制御回路の構成を図1ないし図3を参照して説明する。図1は本実施例のポリシ制御回路の全体構成図である。図2は本実施例のポリシ制御回路の基本部の構成図である。図3は本実施例のポリシ制御回路の応用部の構成図である。 The configuration of the policy control circuit according to the embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of the policy control circuit of this embodiment. FIG. 2 is a block diagram of the basic part of the policy control circuit of this embodiment. FIG. 3 is a configuration diagram of an application unit of the policy control circuit of this embodiment.
本発明実施例は、IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路であって、本実施例の特徴とするところは、図1および図2に示すように、IPパケットからヘッダの情報を抽出するヘッダ抽出部1と、このヘッダの情報から所定ビットの切り出しを行うビットセレクト部2と、この所定ビットの情報を当該IPパケットの処理に関するポリシ解析CPU4−2〜4−iに転送する応用部インタフェース3と、このポリシ解析CPU4−2〜4−iの解析結果に基づき当該IPパケットの転送を制御するデータ処理CPU6とを備えた基本部20と、図1および図3に示すように、1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上のポリシ解析CPU4−2〜4−iと、このポリシ解析CPU4−2〜4−iによるポリシ解析結果をデータ処理CPU6に転送する基本部インタフェース5とを備えた応用部21とを備えたところにある。
The embodiment of the present invention is a policy control circuit for determining a policy relating to processing of an IP packet based on the information of the header of the IP packet. The feature of this embodiment is as shown in FIG. 1 and FIG. A
図4はA−インタフェース情報例を示す図である。基本部インタフェース5および応用部インタフェース3には、基本部インタフェース5と応用部インタフェース3との間にパケットを送受信する手段をそれぞれ備え、この送受信する手段は、図4に示すように、基本部20から応用部21に向かう前記パケットに前記所定ビットの情報である抽出ビット10および当該IPパケットの処理の種別を特定する処理ID11を搭載する手段と、応用部21から基本部20に向かう前記パケットに当該IPパケットの処理の種別を特定する結果ID13および前記ポリシ解析結果としてのデータ14を搭載する手段とを備える。
FIG. 4 is a diagram showing an example of A-interface information. The
なお、基本部20から応用部21に向かう前記パケットの抽出ビット10および処理ID11によってポリシ解析CPU4−2〜4−iのいずれかに前記パケットが転送されるが、データ12には、必要に応じて添付データなどを書き込むことができる。
The packet is transferred to any one of the policy analysis CPUs 4-2 to 4-i by the extracted
図5はDAP/DNAチップの構成例を示す図である。図6および図7はDAP/DNAチップ上の基本部および応用部の実装例を示す図である。本実施例のポリシ制御回路は、図5に示すDAP/DNA型コンフィギュラブルプロセッサ上で、図6に示すように、応用部21は、DAPに実装され、基本部20は、DNAに実装される。あるいは、DAP/DNA型コンフィギュラブルプロセッサ上で、図7に示すように、応用部21は、DNAおよびDAP上に実装され、基本部20は、DNA上に実装される。
FIG. 5 is a diagram showing a configuration example of a DAP / DNA chip. 6 and 7 are diagrams showing an example of mounting the basic part and the application part on the DAP / DNA chip. The policy control circuit of the present embodiment is implemented on the DAP / DNA type configurable processor shown in FIG. 5, and as shown in FIG. 6, the
また、図9に示したように、互いに異なる機能を有するVPNの入口、中継ルータ、エッジルータ、サーバ入口などのネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に本実施例のポリシ制御回路の基本部20および応用部21を実装する際には、応用部21のポリシ解析CPU4−2〜4−iを、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析CPUに限定して実装する。
Further, as shown in FIG. 9, the present embodiment is implemented on a DAP / DNA type configurable processor provided in a network component such as a VPN entrance, a relay router, an edge router, or a server entrance having different functions. When the
以下では、本実施例をさらに詳細に説明する。 Hereinafter, this embodiment will be described in more detail.
(実施例1)
実施例1のポリシ制御回路は、リコンフィギュレーションが原則的にされない汎用的かつ固定的な基本部20と、必要な機能や変更を必要とする機能ブロックを入れる応用部21とからなる。基本部20と応用部21は、A−インタフェースで接続される。また、基本部20から、例では、OpSやディスプレイへのアラームの表示や外部RAMへのアクセスができる。応用部21は、リコンフィギュレーション可能であり、必要な機能を必要なだけ実現する。
Example 1
The policy control circuit according to the first embodiment includes a general-purpose and fixed
図2に基本部20の構成例を示す。データの内、IPパケットのヘッダ部分がヘッダ抽出部1でコピーされる。ビットセレクト部2はIPヘッダ内の、例えば、SA、DA等のビットを切り出す。データ処理CPU6は、主にデータの振り分けを行う。ここで述べるCPUは簡易な構造のものであり、振り分けだけを行い、ワイヤーロジックを実現することも可能である。
FIG. 2 shows a configuration example of the
このCPUで応用部21に転送するデータのA−インタフェース上のフォーマットへ加工する。例えば、DAをベースにフォワーディングのポートをたずねたり、SA/DAペアをベースにVPNで許可されているかをたずねたりするときに、この回路が使われている。
This CPU processes the data to be transferred to the
図3は、応用部21のブロック図である。基本部20から渡されたデータをもとに、例えば、DAをベースにフォワーディング処理CPU4−1に宛先のポートをたずねる。フォワーディング処理CPU4−1では、宛先のポートをつけて基本部インタフェース5へ返信する。また、例えば、DAをベースにポリシ解析CPU(#1)4−1にたずねると、当該DAは、優先であれば、優先という情報と一緒に返信されるシステムである。
FIG. 3 is a block diagram of the
このポリシ解析CPU(#1)〜(#i)は、解析の内容も数もリコンフィギュアブルであり、必要な数だけ必要な機能を配置することができる。個々のCPUも比較的簡易なものであり、簡単なものは比較器とレジスタで実現できる。 The policy analysis CPUs (# 1) to (#i) are reconfigurable in both contents and number of analysis, and necessary functions can be arranged as many as necessary. Each CPU is also relatively simple, and a simple one can be realized by a comparator and a register.
図4に、A−インタフェースの情報例を示す。A−インタフェースは簡易パケットのフォーマットをしており、基本部20から応用部21へは抽出ビット10および処理ID11およびデータ12で構成されており、例えば、DA、閾値越え処理要求(輻輳制御)、ネットワークの混雑状態のように通知する。特定DAへのレートをコントロールする場合等に用いることが考えられる。
FIG. 4 shows an example of information on the A-interface. The A-interface has a simple packet format, and consists of an
一方、応用部21から基本部20へは、結果ID13とデータ14がついており、例は図中に示したように、出力ポートの解析なら、出力ポート番号、優先か否か、廃棄の要否、カウント値等を受け渡す。
On the other hand, a
以上のように、機能は応用部21のポリシ解析CPU4−2〜4−iのコンフィグレーションによって実現できる。
As described above, the function can be realized by the configuration of the policy analysis CPUs 4-2 to 4-i of the
(実施例2)
図5に、アイピーフレックス社のDAP/DNA回路の構成を示す(例えば、非特許文献1〜3参照)。DAP/DNAは、主に2つの部分から成る。1つは、RISC型32ビットCPUコアのDAPであり、もう1つは、「エレメント」と呼ぶ演算器がマトリクス状に148個並んだデータ処理部のDNAである。DAP/DNAは、アプリケーション開発時のシミュレーションさえ通過すれば、実チップでの実行が完全に保証されることを特徴とし、FPGAやDSP向けの開発で見られるようなコードの最適化や開発工程の後戻りなどは原則として発生しない。
(Example 2)
FIG. 5 shows the configuration of a DAP / DNA circuit manufactured by IPFlex (for example, see
実施例2では、図6に示すように、DNAマトリックス上で基本部20を実現し、基本部20はデータのワイヤスピード(例えば2.4Gb/s)で動作している。応用部21は、DAPのソフトウェアで実現され、複雑なポリシ制御を可能としている。
In the second embodiment, as shown in FIG. 6, the
(実施例3)
実施例3を図7に示す。応用部21のうち、フォワーディングや単純なフィルタリングはDNA部で実現し、複雑なアタックの解析をDNAとDAPとで分担することができる。できるだけDNA上で実現することにより、ハードウェアの性能を引き出すことができる。もちろん、全ての機能をDNA上で実現することも可能な場合がある。
Example 3
Example 3 is shown in FIG. In the
本発明は、DAP/DNAのリコンフィギュアブル性を利用し、ポリシ制御方法を基本部と応用部とに分担していることを特徴とし、ネットワーク内の自由な箇所に必要な機能だけを実現することができ、経済性が優れている。また、ファイヤーウォール等は、攻撃の変化に追従できないが、本発明の方式であれば、それに対応することが可能であり、高性能でフレキシブルなポリシ制御回路を実現できる。 The present invention is characterized in that the policy control method is divided into a basic part and an application part using the reconfigurable nature of DAP / DNA, and only necessary functions are realized in a free place in the network. Can be economical. In addition, although a firewall or the like cannot follow changes in attacks, the method according to the present invention can cope with it, and a high-performance and flexible policy control circuit can be realized.
1 ヘッダ抽出部
2 ビットセレクト部
3 応用部インタフェース
4−1 フォワーディング処理CPU
4−2〜4−i ポリシ解析CPU
5 基本部インタフェース
6 データ処理CPU
7 ヘッダ処理部
8 アクセス制御部
9 カウンタ
10 抽出ビット
11 処理ID
12、14 データ
13 結果ID
20 基本部
21 応用部
DESCRIPTION OF
4-2-4-i Policy analysis CPU
5 Basic part interface 6 Data processing CPU
7 Header processing part 8
12, 14
20
Claims (6)
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え、
前記基本部インタフェースおよび前記応用部インタフェースには、前記基本部インタフェースと前記応用部インタフェースとの間にパケットを送受信する手段をそれぞれ備え、
この送受信する手段は、
前記基本部から前記応用部に向かう前記パケットに前記所定ビットの情報および当該IPパケットの処理の種別を特定する識別情報を搭載する手段と、
前記応用部から前記基本部に向かう前記パケットに当該IPパケットの処理の種別を特定する識別情報および前記ポリシ解析結果を搭載する手段と
を備えた
ことを特徴とするポリシ制御回路。 In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
A basic unit comprising: means for controlling transfer of the IP packet based on the analysis result of the policy analysis means;
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
An application unit including a basic unit interface for transferring a policy analysis result by the policy analysis unit to the control unit ;
The basic unit interface and the application unit interface each include means for transmitting and receiving packets between the basic unit interface and the application unit interface,
This means for sending and receiving
Means for mounting the information of the predetermined bit and identification information for specifying the type of processing of the IP packet in the packet going from the basic unit to the application unit;
Means for mounting identification information for identifying the type of processing of the IP packet and the policy analysis result on the packet from the application unit to the basic unit;
Policy control circuit comprising the.
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え、
DAP/DNA(Data Application
Processor/Distributed Network
Architecture)型コンフィギュラブルプロセッサ上で、
前記応用部は、DAPに実装され、
前記基本部は、DNAに実装された
ことを特徴とするポリシ制御回路。 In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
Means for controlling forwarding of the IP packet based on the analysis result of the policy analysis means;
A basic part with
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
A basic interface for transferring a policy analysis result by the policy analysis means to the control means;
Application section with
With
DAP / DNA (Data Application
Processor / Distributed Network
Architecture) on a configurable processor
The application unit is implemented in DAP,
The basic part was implemented in DNA
A policy control circuit.
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え、
DAP/DNA型コンフィギュラブルプロセッサ上で、
前記応用部は、DNAおよびDAP上に実装され、
前記基本部は、DNA上に実装された
ことを特徴とするポリシ制御回路。 In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
Means for controlling forwarding of the IP packet based on the analysis result of the policy analysis means;
A basic part with
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
A basic interface for transferring a policy analysis result by the policy analysis means to the control means;
Application section with
With
On the DAP / DNA type configurable processor,
The application unit is implemented on DNA and DAP,
The basic part was mounted on DNA
A policy control circuit.
Processor/Distributed Network
Architecture)型コンフィギュラブルプロセッサ上で、
前記応用部は、DAPに実装され、
前記基本部は、DNAに実装された
請求項1記載のポリシ制御回路。 DAP / DNA (Data Application
Processor / Distributed Network
Architecture) on a configurable processor
The application unit is implemented in DAP,
The basic unit, policy control circuit according to claim 1 Symbol placement mounted on DNA.
前記応用部は、DNAおよびDAP上に実装され、
前記基本部は、DNA上に実装された
請求項1記載のポリシ制御回路。 On the DAP / DNA type configurable processor,
The application unit is implemented on DNA and DAP,
The basic part was mounted on DNA
The policy control circuit according to claim 1 .
前記応用部の前記ポリシ解析手段を、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析手段に限定して実装する
ことを特徴とするポリシ制御回路の実装方法。 6. A policy control circuit for mounting the basic part and the application part of the policy control circuit according to claim 1 on a DAP / DNA type configurable processor provided in a network configuration apparatus having different functions. Implementation method,
The policy analysis means of the application unit is limited to policy analysis means determined to be indispensable in the network configuration device.
And a policy control circuit mounting method .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003346523A JP3779709B2 (en) | 2003-10-06 | 2003-10-06 | Policy control circuit |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003346523A JP3779709B2 (en) | 2003-10-06 | 2003-10-06 | Policy control circuit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005117209A JP2005117209A (en) | 2005-04-28 |
| JP3779709B2 true JP3779709B2 (en) | 2006-05-31 |
Family
ID=34539415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003346523A Expired - Fee Related JP3779709B2 (en) | 2003-10-06 | 2003-10-06 | Policy control circuit |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3779709B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4588560B2 (en) * | 2005-07-04 | 2010-12-01 | 三菱電機株式会社 | Table device and address search device using the same |
| US20110085443A1 (en) * | 2008-06-03 | 2011-04-14 | Hitachi. Ltd. | Packet Analysis Apparatus |
-
2003
- 2003-10-06 JP JP2003346523A patent/JP3779709B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005117209A (en) | 2005-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309605B (en) | In-band network telemetry system and method | |
| US8176300B2 (en) | Method and apparatus for content based searching | |
| Allen et al. | IBM PowerNP network processor: Hardware, software, and applications | |
| CN103415836B (en) | The network processing unit of expedited data Packet analyzing and method | |
| US8819217B2 (en) | Intelligent graph walking | |
| US6678746B1 (en) | Processing network packets | |
| CA2619772C (en) | Apparatus and method for facilitating network security | |
| EP1392035A2 (en) | Packet filtering method | |
| CN109314664B (en) | Zombie main control machine discovery equipment and method | |
| JP2009523275A (en) | Runtime adaptive search processor | |
| CN106487719A (en) | The system and method making network function externalizing via packet relaying | |
| CN107147588B (en) | Flow guiding method and device | |
| CN107612843A (en) | A method to prevent cloud platform IP and MAC forgery | |
| CN105939284A (en) | Message control strategy matching method and device | |
| JP3779709B2 (en) | Policy control circuit | |
| CN107623629A (en) | A kind of restoring method and equipment for flowing forward-path | |
| US20140092900A1 (en) | Methods and apparatuses to split incoming data into sub-channels to allow parallel processing | |
| Martinek et al. | Netcope: Platform for rapid development of network applications | |
| CN105025004B (en) | A kind of double stack IPSec VPN devices | |
| CN105610639A (en) | Total log grabbing method and device | |
| CN118656208A (en) | Task acceleration method based on DPU chip, DPU chip, electronic device and computer storage medium | |
| CN119768784A (en) | Multi-tenant aware data processing unit | |
| Sismis et al. | Analysis of TLS prefiltering for IDS acceleration | |
| JP7571881B2 (en) | Communication data identification device and method | |
| CN116405235B (en) | Two-way encryption/decryption device for carrying out and overlaying operations. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051213 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060228 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060302 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090310 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100310 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110310 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |