Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3779709B2 - Policy control circuit - Google Patents
[go: Go Back, main page]

JP3779709B2 - Policy control circuit - Google Patents

Policy control circuit Download PDF

Info

Publication number
JP3779709B2
JP3779709B2 JP2003346523A JP2003346523A JP3779709B2 JP 3779709 B2 JP3779709 B2 JP 3779709B2 JP 2003346523 A JP2003346523 A JP 2003346523A JP 2003346523 A JP2003346523 A JP 2003346523A JP 3779709 B2 JP3779709 B2 JP 3779709B2
Authority
JP
Japan
Prior art keywords
policy
packet
information
dna
control circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003346523A
Other languages
Japanese (ja)
Other versions
JP2005117209A (en
Inventor
直明 山中
公平 塩本
勝 片山
雅則 宇賀
研也 高島
靖明 中西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003346523A priority Critical patent/JP3779709B2/en
Publication of JP2005117209A publication Critical patent/JP2005117209A/en
Application granted granted Critical
Publication of JP3779709B2 publication Critical patent/JP3779709B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ルータなどのパケット転送装置に利用する。特に、パケット転送処理のポリシ制御技術に関する。   The present invention is used for a packet transfer apparatus such as a router. In particular, it relates to a policy control technique for packet transfer processing.

従来のポリシ制御チップの構成と動作を図8〜図10に示す。図8はポリシ処理チップの構成を示す図である。図9はネットワーク内の同チップの配置箇所を示す図である。図10は各配置箇所の必要とされる機能例を示す図である。   The configuration and operation of a conventional policy control chip are shown in FIGS. FIG. 8 is a diagram showing the configuration of the policy processing chip. FIG. 9 is a diagram showing the location of the chip in the network. FIG. 10 is a diagram illustrating an example of a function required for each arrangement place.

図9に示すように、大きく分類して、ネットワークの中で4箇所にポリシ制御チップを適用する。
(1)VPN(Virtual Private Network)の入口:VPNは特定のユーザ間で定義されたものであり、事前に許可されたSA(Source
Address)/DA(Destination Address)のペア以外のパケットは通過させない。しかし、それ以外に関しては、比較的VPNの運用ポリシに基づき設定される。
(2)中継ルータ:中継ルータは高速なフォワーディングのみを行い、特別な場合を除き、他のフィールドをみることはない。
(3)エッジルータ:エッジルータは、ポリシ制御上最も重要な役割を担う。エッジでは、TOS(Type of Service)をベースとして優先制御や禁止されているプロトコルタイプ(例えばUDP(User Datagram
Protocol)パケットの禁止)のフィルタリングを行う。エッジルータの上り(端末からネットワーク)に関しては、レート制御や禁止プロトコルの網内への流入をくいとめるためのフィルタを、エッジルータの下り(ネットワークから端末)に関しては、ユーザへの攻撃や影響を抑えるためのフィルタリングが重要である。
(4)サーバ入口:サーバへの下りは特にDoSやハッカによる攻撃が多い。そのためファイヤーウォールとして、許されているポート番号やプロトコルタイプ等、また、レートに関しても詳細にフィルタリングする。
日経エレクトロニクス、2003年1月6日、pp.111−122、「10nsで演算器間の構成を書き換えるダイナミック・リコンフィギュアブル技術を開発」 日経エレクトロニクス、2002年11月18日、pp.59−66、「ソフトの発想が仮想回路を生む、ハードが瞬時に七変化」 日経エレクトロニクス、2002年7月29日、pp.114−123、「回路なんて誰でも作れる、脱ハードウェア指向へ」
As shown in FIG. 9, the policy control chip is applied to four locations in the network.
(1) VPN (Virtual Private Network) entrance: A VPN is defined between specific users, and is a pre-authorized SA (Source
Packets other than (Address) / DA (Destination Address) pair are not allowed to pass. However, the rest are set based on the VPN operation policy.
(2) Relay router: The relay router only performs high-speed forwarding, and does not see other fields except in special cases.
(3) Edge router: The edge router plays the most important role in policy control. At the edge, priority control and prohibited protocol types based on TOS (Type of Service) (for example, UDP (User Datagram
Protocol) (Prohibition of packets). For the upstream of the edge router (from the terminal to the network), a filter to stop the flow of rate control and prohibited protocols into the network is suppressed. Filtering for is important.
(4) Server entrance: Downward to the server is particularly attacked by DoS or hackers. For this reason, as a firewall, the port number and protocol type allowed, and the rate are filtered in detail.
Nikkei Electronics, January 6, 2003, pp. 111-122, "Development of dynamic reconfigurable technology to rewrite the configuration between arithmetic units in 10ns" Nikkei Electronics, November 18, 2002, pp. 59-66, “The idea of software creates a virtual circuit, the hardware changes seven times instantly” Nikkei Electronics, 29 July 2002, pp. 114-123, “Everyone can make a circuit, to be hardware-free”

図10は、以上の説明を図にしている。ポリシ制御チップは、それぞれの機能をすべて作り込んでおき、必要に応じて用いるという手段が考えられる。もしくは、複数種類のポリシ制御チップを作り、それぞれ別のチップを必要な場所に適用するという方法もある。しかし、前者の場合は高価なチップを開発し、その一部の機能しか用いていないという問題があり、後者の場合はLSIの品種が増えて経済性の問題がある。   FIG. 10 illustrates the above description. For the policy control chip, it is conceivable to create all the functions and use them as necessary. Alternatively, there is a method of creating a plurality of types of policy control chips and applying different chips to necessary places. However, in the former case, there is a problem that an expensive chip is developed and only a part of the functions are used, and in the latter case, there is an increase in the number of LSIs and there is a problem of economy.

本発明は、このような背景に行われたものであって、経済性に優れ、フレキシブルなポリシ制御を実現できるポリシ制御回路を提供することを目的とする。   An object of the present invention is to provide a policy control circuit that has been implemented in such a background and is excellent in economy and capable of realizing flexible policy control.

本発明のポリシ制御回路は、リコンフィギュレーション可能なDAP/DNA(Data
Application Processor/Distributed Network Architecture)チップ上に、ポリシ制御に必要ないくつかの機能ブロックを設計しておき、必要な機能ブロックのみをコンフィギュレーションして実装し、その基本部と応用部とを定義し、基本部から応用部にはビット情報でヘッダやプロトコルタイプ等の情報を渡し、応用部からはカウント指示や廃棄指示等ポリシにあった命令が渡されることを最も主要な特徴とする。
The policy control circuit of the present invention is a reconfigurable DAP / DNA (Data
Several functional blocks necessary for policy control are designed on the (Application Processor / Distributed Network Architecture) chip, only the necessary functional blocks are configured and implemented, and the basic part and application part are defined. The main feature is that information such as a header and protocol type is passed from the basic unit to the application unit as bit information, and an instruction according to a policy such as a count instruction or a discard instruction is passed from the application unit.

すなわち、本発明は、IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路であって、本発明の特徴とするところは、IPパケットからヘッダの情報を抽出する手段と、このヘッダの情報から所定ビットの切り出しを行う手段と、この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段とを備えた基本部と、1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースとを備えた応用部とを備えたところにある。   That is, the present invention is a policy control circuit for determining a policy relating to processing of an IP packet based on header information of the IP packet, and the present invention is characterized by means for extracting header information from the IP packet. A means for extracting predetermined bits from the header information, an application unit interface for transferring the information on the predetermined bits to the policy analysis means for processing the IP packet, and the IP based on the analysis result of the policy analysis means. A basic unit including means for controlling packet transfer, one or more policy analysis means for performing one or more different policy analyzes based on the information of the predetermined bits, and a policy analysis result by the policy analysis means And an application unit having a basic unit interface for transferring to the controlling means.

このように、基本部と応用部とがそれぞれ独立していることから、基本部はそのままにして応用部だけを変更することにより多種多様な用途に適用させることができる。   As described above, since the basic unit and the application unit are independent of each other, the basic unit can be applied to various uses by changing only the application unit without changing the basic unit.

前記基本部インタフェースおよび前記応用部インタフェースには、前記基本部インタフェースと前記応用部インタフェースとの間にパケットを送受信する手段をそれぞれ備え、この送受信する手段は、前記基本部から前記応用部に向かう前記パケットに前記所定ビットの情報および当該IPパケットの処理の種別を特定する識別情報を搭載する手段と、前記応用部から前記基本部に向かう前記パケットに当該IPパケットの処理の種別を特定する識別情報および前記ポリシ解析結果を搭載する手段とを備えることができる。   The basic unit interface and the application unit interface each include means for transmitting and receiving packets between the basic unit interface and the application unit interface, and the means for transmitting and receiving is directed from the basic unit to the application unit. Means for mounting the information of the predetermined bit in the packet and identification information for specifying the type of processing of the IP packet; and identification information for specifying the type of processing of the IP packet in the packet going from the application unit to the basic unit And means for mounting the policy analysis result.

これにより、応用部に複数のポリシ解析手段を有する場合に、基本部からのパケットをこれらのポリシ解析手段に振り分けることができるため、基本部と応用部との間の通信処理を簡単化することができる。   As a result, when the application unit has a plurality of policy analysis units, packets from the basic unit can be distributed to these policy analysis units, so that the communication processing between the basic unit and the application unit is simplified. Can do.

また、本発明のポリシ制御回路をDAP/DNA(Data Application
Processor/Distributed Network Architecture)型コンフィギュラブルプロセッサ上に実装するときには、例えば、前記応用部は、DAPに実装され、前記基本部は、DNAに実装される。あるいは、DAP/DNA型コンフィギュラブルプロセッサ上で、前記応用部は、DNAおよびDAP上に実装され、前記基本部は、DNA上に実装されることもできる。
In addition, the policy control circuit of the present invention is connected to DAP / DNA (Data Application
When mounted on a (Processor / Distributed Network Architecture) type configurable processor, for example, the application section is mounted on DAP and the basic section is mounted on DNA. Alternatively, on the DAP / DNA type configurable processor, the application unit may be mounted on DNA and DAP, and the basic unit may be mounted on DNA.

ここで、DAP/DNA型コンフィギュラブルプロセッサについて簡単に説明すると、DAP/DNAは、主に2つの部分から成る。1つは、RISC型CPUコアのDAPであり、もう1つは、「エレメント」と呼ぶ演算器がマトリクス状に並んだデータ処理部のDNAである。DAP/DNAは、アプリケーション開発時のシミュレーションさえ通過すれば、実チップでの実行が完全に保証されることを特徴とし、FPGAやDSP向けの開発で見られるようなコードの最適化や開発工程の後戻りなどは原則として発生しない(例えば、非特許文献1〜3参照)。   Here, the DAP / DNA type configurable processor will be briefly described. The DAP / DNA is mainly composed of two parts. One is a DAP of a RISC type CPU core, and the other is DNA of a data processing unit in which arithmetic units called “elements” are arranged in a matrix. DAP / DNA is characterized in that execution on an actual chip is completely guaranteed if it passes simulation at the time of application development. Code optimization and development process as seen in development for FPGA and DSP In principle, no backtracking occurs (for example, see Non-Patent Documents 1 to 3).

これにより、応用部の機能を変更または追加する場合には、容易にこの作業を行うことができる。   Thereby, when changing or adding the function of an application part, this operation | work can be performed easily.

本発明の他の観点は、互いに異なる機能を有するネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に本発明のポリシ制御回路の前記基本部および前記応用部を実装するポリシ制御回路の実装方法であって、本発明の特徴とするところは、前記応用部の前記ポリシ解析手段を、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析手段に限定して実装するところにある。   Another aspect of the present invention is a policy control circuit in which the basic part and the application part of the policy control circuit of the present invention are mounted on a DAP / DNA type configurable processor provided in a network configuration device having different functions. The present invention is characterized in that the policy analysis means of the application unit is limited to policy analysis means determined to be indispensable in the network configuration device.

これにより、チップにそれぞれの機能をすべて作り込んでおき、必要に応じて用いるという従来方法、もしくは、複数種類のポリシ制御チップを作り、それぞれ別のチップを必要な場所に適用するという従来方法における高価なチップ開発、もしくは、LSIの品種が増えるなどの問題を回避することができる。   In this way, in the conventional method in which all the functions are built into the chip and used as needed, or in the conventional method in which a plurality of types of policy control chips are created and different chips are applied to the necessary places. Problems such as expensive chip development or an increase in the variety of LSIs can be avoided.

本発明によれば、経済性に優れ、フレキシブルなポリシ制御を実現できる。   According to the present invention, it is possible to realize a policy control that is economical and flexible.

本発明実施例のポリシ制御回路の構成を図1ないし図3を参照して説明する。図1は本実施例のポリシ制御回路の全体構成図である。図2は本実施例のポリシ制御回路の基本部の構成図である。図3は本実施例のポリシ制御回路の応用部の構成図である。   The configuration of the policy control circuit according to the embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of the policy control circuit of this embodiment. FIG. 2 is a block diagram of the basic part of the policy control circuit of this embodiment. FIG. 3 is a configuration diagram of an application unit of the policy control circuit of this embodiment.

本発明実施例は、IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路であって、本実施例の特徴とするところは、図1および図2に示すように、IPパケットからヘッダの情報を抽出するヘッダ抽出部1と、このヘッダの情報から所定ビットの切り出しを行うビットセレクト部2と、この所定ビットの情報を当該IPパケットの処理に関するポリシ解析CPU4−2〜4−iに転送する応用部インタフェース3と、このポリシ解析CPU4−2〜4−iの解析結果に基づき当該IPパケットの転送を制御するデータ処理CPU6とを備えた基本部20と、図1および図3に示すように、1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上のポリシ解析CPU4−2〜4−iと、このポリシ解析CPU4−2〜4−iによるポリシ解析結果をデータ処理CPU6に転送する基本部インタフェース5とを備えた応用部21とを備えたところにある。   The embodiment of the present invention is a policy control circuit for determining a policy relating to processing of an IP packet based on the information of the header of the IP packet. The feature of this embodiment is as shown in FIG. 1 and FIG. A header extraction unit 1 that extracts header information from the IP packet, a bit selection unit 2 that extracts a predetermined bit from the header information, and a policy analysis CPU 4-2 regarding the processing of the IP packet. 1 to the basic unit 20 including the application unit interface 3 for transferring to 4-i and the data processing CPU 6 for controlling the transfer of the IP packet based on the analysis result of the policy analysis CPUs 4-2 to 4-i; As shown in FIG. 3, one or more policy analysis CPUs 4 each perform one or more different policy analyzes based on the information of the predetermined bits. And 2 to 4-i, it is in place and a application unit 21 that includes a base unit interface 5 for transferring policy analysis result to the data processing CPU6 by the policy analysis CPU4-2~4-i.

図4はA−インタフェース情報例を示す図である。基本部インタフェース5および応用部インタフェース3には、基本部インタフェース5と応用部インタフェース3との間にパケットを送受信する手段をそれぞれ備え、この送受信する手段は、図4に示すように、基本部20から応用部21に向かう前記パケットに前記所定ビットの情報である抽出ビット10および当該IPパケットの処理の種別を特定する処理ID11を搭載する手段と、応用部21から基本部20に向かう前記パケットに当該IPパケットの処理の種別を特定する結果ID13および前記ポリシ解析結果としてのデータ14を搭載する手段とを備える。   FIG. 4 is a diagram showing an example of A-interface information. The basic unit interface 5 and the application unit interface 3 are respectively provided with means for transmitting and receiving packets between the basic unit interface 5 and the application unit interface 3, and the means for transmitting and receiving the basic unit 20 as shown in FIG. Means for mounting the extracted bit 10 which is information of the predetermined bit and a processing ID 11 for specifying the type of processing of the IP packet in the packet going from the application unit 21 to the application unit 21; And a means for mounting a result ID 13 for specifying the type of processing of the IP packet and data 14 as the policy analysis result.

なお、基本部20から応用部21に向かう前記パケットの抽出ビット10および処理ID11によってポリシ解析CPU4−2〜4−iのいずれかに前記パケットが転送されるが、データ12には、必要に応じて添付データなどを書き込むことができる。   The packet is transferred to any one of the policy analysis CPUs 4-2 to 4-i by the extracted bit 10 and the processing ID 11 of the packet from the basic unit 20 to the application unit 21. You can write attached data.

図5はDAP/DNAチップの構成例を示す図である。図6および図7はDAP/DNAチップ上の基本部および応用部の実装例を示す図である。本実施例のポリシ制御回路は、図5に示すDAP/DNA型コンフィギュラブルプロセッサ上で、図6に示すように、応用部21は、DAPに実装され、基本部20は、DNAに実装される。あるいは、DAP/DNA型コンフィギュラブルプロセッサ上で、図7に示すように、応用部21は、DNAおよびDAP上に実装され、基本部20は、DNA上に実装される。   FIG. 5 is a diagram showing a configuration example of a DAP / DNA chip. 6 and 7 are diagrams showing an example of mounting the basic part and the application part on the DAP / DNA chip. The policy control circuit of the present embodiment is implemented on the DAP / DNA type configurable processor shown in FIG. 5, and as shown in FIG. 6, the application unit 21 is mounted on the DAP and the basic unit 20 is mounted on the DNA. The Alternatively, on the DAP / DNA type configurable processor, as shown in FIG. 7, the application unit 21 is mounted on DNA and DAP, and the basic unit 20 is mounted on DNA.

また、図9に示したように、互いに異なる機能を有するVPNの入口、中継ルータ、エッジルータ、サーバ入口などのネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に本実施例のポリシ制御回路の基本部20および応用部21を実装する際には、応用部21のポリシ解析CPU4−2〜4−iを、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析CPUに限定して実装する。   Further, as shown in FIG. 9, the present embodiment is implemented on a DAP / DNA type configurable processor provided in a network component such as a VPN entrance, a relay router, an edge router, or a server entrance having different functions. When the basic unit 20 and the application unit 21 of the policy control circuit are mounted, the policy analysis CPUs 4-2 to 4-i of the application unit 21 are limited to policy analysis CPUs that are determined to be indispensable in the network configuration device. And implement.

以下では、本実施例をさらに詳細に説明する。   Hereinafter, this embodiment will be described in more detail.

(実施例1)
実施例1のポリシ制御回路は、リコンフィギュレーションが原則的にされない汎用的かつ固定的な基本部20と、必要な機能や変更を必要とする機能ブロックを入れる応用部21とからなる。基本部20と応用部21は、A−インタフェースで接続される。また、基本部20から、例では、OpSやディスプレイへのアラームの表示や外部RAMへのアクセスができる。応用部21は、リコンフィギュレーション可能であり、必要な機能を必要なだけ実現する。
Example 1
The policy control circuit according to the first embodiment includes a general-purpose and fixed basic unit 20 that is not reconfigured in principle, and an application unit 21 that stores a function block that requires a necessary function or change. The basic unit 20 and the application unit 21 are connected by an A-interface. Further, from the basic unit 20, in the example, an alarm can be displayed on the OpS or the display, and the external RAM can be accessed. The application unit 21 can be reconfigured and realizes necessary functions as much as necessary.

図2に基本部20の構成例を示す。データの内、IPパケットのヘッダ部分がヘッダ抽出部1でコピーされる。ビットセレクト部2はIPヘッダ内の、例えば、SA、DA等のビットを切り出す。データ処理CPU6は、主にデータの振り分けを行う。ここで述べるCPUは簡易な構造のものであり、振り分けだけを行い、ワイヤーロジックを実現することも可能である。   FIG. 2 shows a configuration example of the basic unit 20. Among the data, the header portion of the IP packet is copied by the header extraction unit 1. The bit select unit 2 cuts out bits such as SA and DA in the IP header. The data processing CPU 6 mainly distributes data. The CPU described here has a simple structure, and it is also possible to realize wire logic by performing only distribution.

このCPUで応用部21に転送するデータのA−インタフェース上のフォーマットへ加工する。例えば、DAをベースにフォワーディングのポートをたずねたり、SA/DAペアをベースにVPNで許可されているかをたずねたりするときに、この回路が使われている。   This CPU processes the data to be transferred to the application unit 21 into a format on the A-interface. For example, this circuit is used when asking the forwarding port based on DA or asking whether it is permitted by VPN based on SA / DA pair.

図3は、応用部21のブロック図である。基本部20から渡されたデータをもとに、例えば、DAをベースにフォワーディング処理CPU4−1に宛先のポートをたずねる。フォワーディング処理CPU4−1では、宛先のポートをつけて基本部インタフェース5へ返信する。また、例えば、DAをベースにポリシ解析CPU(#1)4−1にたずねると、当該DAは、優先であれば、優先という情報と一緒に返信されるシステムである。   FIG. 3 is a block diagram of the application unit 21. Based on the data passed from the basic unit 20, for example, the forwarding port CPU 4-1 is inquired of the destination port based on DA. In the forwarding processing CPU 4-1, the destination port is attached and returned to the basic unit interface 5. Further, for example, when the policy analysis CPU (# 1) 4-1 is asked based on the DA, if the DA is a priority, the DA is returned together with the priority information.

このポリシ解析CPU(#1)〜(#i)は、解析の内容も数もリコンフィギュアブルであり、必要な数だけ必要な機能を配置することができる。個々のCPUも比較的簡易なものであり、簡単なものは比較器とレジスタで実現できる。   The policy analysis CPUs (# 1) to (#i) are reconfigurable in both contents and number of analysis, and necessary functions can be arranged as many as necessary. Each CPU is also relatively simple, and a simple one can be realized by a comparator and a register.

図4に、A−インタフェースの情報例を示す。A−インタフェースは簡易パケットのフォーマットをしており、基本部20から応用部21へは抽出ビット10および処理ID11およびデータ12で構成されており、例えば、DA、閾値越え処理要求(輻輳制御)、ネットワークの混雑状態のように通知する。特定DAへのレートをコントロールする場合等に用いることが考えられる。   FIG. 4 shows an example of information on the A-interface. The A-interface has a simple packet format, and consists of an extraction bit 10 and a processing ID 11 and data 12 from the basic unit 20 to the application unit 21. For example, DA, threshold exceeding processing request (congestion control), Notify like network congestion. It may be used when controlling the rate to a specific DA.

一方、応用部21から基本部20へは、結果ID13とデータ14がついており、例は図中に示したように、出力ポートの解析なら、出力ポート番号、優先か否か、廃棄の要否、カウント値等を受け渡す。   On the other hand, a result ID 13 and data 14 are attached from the application unit 21 to the basic unit 20, and as shown in the figure, for example, in the case of an output port analysis, the output port number, whether priority is given, whether discarding is required , Pass the count value, etc.

以上のように、機能は応用部21のポリシ解析CPU4−2〜4−iのコンフィグレーションによって実現できる。   As described above, the function can be realized by the configuration of the policy analysis CPUs 4-2 to 4-i of the application unit 21.

(実施例2)
図5に、アイピーフレックス社のDAP/DNA回路の構成を示す(例えば、非特許文献1〜3参照)。DAP/DNAは、主に2つの部分から成る。1つは、RISC型32ビットCPUコアのDAPであり、もう1つは、「エレメント」と呼ぶ演算器がマトリクス状に148個並んだデータ処理部のDNAである。DAP/DNAは、アプリケーション開発時のシミュレーションさえ通過すれば、実チップでの実行が完全に保証されることを特徴とし、FPGAやDSP向けの開発で見られるようなコードの最適化や開発工程の後戻りなどは原則として発生しない。
(Example 2)
FIG. 5 shows the configuration of a DAP / DNA circuit manufactured by IPFlex (for example, see Non-Patent Documents 1 to 3). DAP / DNA mainly consists of two parts. One is the DAP of the RISC type 32-bit CPU core, and the other is the DNA of the data processing unit in which 148 arithmetic units called “elements” are arranged in a matrix. DAP / DNA is characterized in that execution on an actual chip is completely guaranteed if it passes simulation at the time of application development. Code optimization and development process as seen in development for FPGA and DSP In principle, no backtracking occurs.

実施例2では、図6に示すように、DNAマトリックス上で基本部20を実現し、基本部20はデータのワイヤスピード(例えば2.4Gb/s)で動作している。応用部21は、DAPのソフトウェアで実現され、複雑なポリシ制御を可能としている。   In the second embodiment, as shown in FIG. 6, the basic unit 20 is realized on the DNA matrix, and the basic unit 20 operates at a data wire speed (for example, 2.4 Gb / s). The application unit 21 is realized by DAP software, and enables complex policy control.

(実施例3)
実施例3を図7に示す。応用部21のうち、フォワーディングや単純なフィルタリングはDNA部で実現し、複雑なアタックの解析をDNAとDAPとで分担することができる。できるだけDNA上で実現することにより、ハードウェアの性能を引き出すことができる。もちろん、全ての機能をDNA上で実現することも可能な場合がある。
Example 3
Example 3 is shown in FIG. In the application unit 21, forwarding and simple filtering can be realized by the DNA unit, and a complex attack analysis can be shared between the DNA and the DAP. By realizing it on DNA as much as possible, the performance of hardware can be extracted. Of course, all functions may be realized on DNA.

本発明は、DAP/DNAのリコンフィギュアブル性を利用し、ポリシ制御方法を基本部と応用部とに分担していることを特徴とし、ネットワーク内の自由な箇所に必要な機能だけを実現することができ、経済性が優れている。また、ファイヤーウォール等は、攻撃の変化に追従できないが、本発明の方式であれば、それに対応することが可能であり、高性能でフレキシブルなポリシ制御回路を実現できる。   The present invention is characterized in that the policy control method is divided into a basic part and an application part using the reconfigurable nature of DAP / DNA, and only necessary functions are realized in a free place in the network. Can be economical. In addition, although a firewall or the like cannot follow changes in attacks, the method according to the present invention can cope with it, and a high-performance and flexible policy control circuit can be realized.

本実施例のポリシ制御回路の全体構成図。The whole block diagram of the policy control circuit of a present Example. 本実施例のポリシ制御回路の基本部の構成図。The block diagram of the basic part of the policy control circuit of a present Example. 本実施例のポリシ制御回路の応用部の構成図。The block diagram of the application part of the policy control circuit of a present Example. 本実施例のA−インタフェースの情報例を示す図。The figure which shows the example of information of A-interface of a present Example. DAP/DNAの構成図。The block diagram of DAP / DNA. 実施例2のDAP/DNAへの基本部および応用部の実装を説明するための図。The figure for demonstrating mounting of the fundamental part and application part to DAP / DNA of Example 2. FIG. 実施例3のDAP/DNAへの基本部および応用部の実装を説明するための図。The figure for demonstrating mounting of the fundamental part and application part to DAP / DNA of Example 3. FIG. 従来のパケットポリシ処理を説明するための図。The figure for demonstrating the conventional packet policy process. ネットワーク構成とポリシ処理の必要な箇所を示す図。The figure which shows a network structure and the location which needs policy processing. ポリシ処理チップの動作例を示す図。The figure which shows the operation example of a policy processing chip.

符号の説明Explanation of symbols

1 ヘッダ抽出部
2 ビットセレクト部
3 応用部インタフェース
4−1 フォワーディング処理CPU
4−2〜4−i ポリシ解析CPU
5 基本部インタフェース
6 データ処理CPU
7 ヘッダ処理部
8 アクセス制御部
9 カウンタ
10 抽出ビット
11 処理ID
12、14 データ
13 結果ID
20 基本部
21 応用部
DESCRIPTION OF SYMBOLS 1 Header extraction part 2 Bit selection part 3 Application part interface 4-1 Forwarding processing CPU
4-2-4-i Policy analysis CPU
5 Basic part interface 6 Data processing CPU
7 Header processing part 8 Access control part 9 Counter 10 Extraction bit 11 Process ID
12, 14 Data 13 Result ID
20 Basic part 21 Application part

Claims (6)

IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路において、
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え
前記基本部インタフェースおよび前記応用部インタフェースには、前記基本部インタフェースと前記応用部インタフェースとの間にパケットを送受信する手段をそれぞれ備え、
この送受信する手段は、
前記基本部から前記応用部に向かう前記パケットに前記所定ビットの情報および当該IPパケットの処理の種別を特定する識別情報を搭載する手段と、
前記応用部から前記基本部に向かう前記パケットに当該IPパケットの処理の種別を特定する識別情報および前記ポリシ解析結果を搭載する手段と
を備えた
ことを特徴とするポリシ制御回路。
In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
A basic unit comprising: means for controlling transfer of the IP packet based on the analysis result of the policy analysis means;
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
An application unit including a basic unit interface for transferring a policy analysis result by the policy analysis unit to the control unit ;
The basic unit interface and the application unit interface each include means for transmitting and receiving packets between the basic unit interface and the application unit interface,
This means for sending and receiving
Means for mounting the information of the predetermined bit and identification information for specifying the type of processing of the IP packet in the packet going from the basic unit to the application unit;
Means for mounting identification information for identifying the type of processing of the IP packet and the policy analysis result on the packet from the application unit to the basic unit;
Policy control circuit comprising the.
IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路において、
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え、
DAP/DNA(Data Application
Processor/Distributed Network
Architecture)型コンフィギュラブルプロセッサ上で、
前記応用部は、DAPに実装され、
前記基本部は、DNAに実装された
ことを特徴とするポリシ制御回路。
In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
Means for controlling forwarding of the IP packet based on the analysis result of the policy analysis means;
A basic part with
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
A basic interface for transferring a policy analysis result by the policy analysis means to the control means;
Application section with
With
DAP / DNA (Data Application
Processor / Distributed Network
Architecture) on a configurable processor
The application unit is implemented in DAP,
The basic part was implemented in DNA
A policy control circuit.
IPパケットのヘッダの情報に基づき当該IPパケットの処理に関するポリシを決定するポリシ制御回路において、
IPパケットからヘッダの情報を抽出する手段と、
このヘッダの情報から所定ビットの切り出しを行う手段と、
この所定ビットの情報を当該IPパケットの処理に関するポリシ解析手段に転送する応用部インタフェースと、
このポリシ解析手段の解析結果に基づき当該IPパケットの転送を制御する手段と
を備えた基本部と、
1以上の異なるポリシ解析を前記所定ビットの情報に基づきそれぞれ行う1以上の前記ポリシ解析手段と、
このポリシ解析手段によるポリシ解析結果を前記制御する手段に転送する基本部インタフェースと
を備えた応用部と
を備え、
DAP/DNA型コンフィギュラブルプロセッサ上で、
前記応用部は、DNAおよびDAP上に実装され、
前記基本部は、DNA上に実装された
ことを特徴とするポリシ制御回路。
In a policy control circuit for determining a policy regarding processing of the IP packet based on information of the header of the IP packet,
Means for extracting header information from the IP packet;
Means for extracting predetermined bits from the information of the header;
An application unit interface for transferring the information of the predetermined bit to the policy analysis means relating to the processing of the IP packet;
Means for controlling forwarding of the IP packet based on the analysis result of the policy analysis means;
A basic part with
One or more policy analysis means for respectively performing one or more different policy analyzes based on the information of the predetermined bits;
A basic interface for transferring a policy analysis result by the policy analysis means to the control means;
Application section with
With
On the DAP / DNA type configurable processor,
The application unit is implemented on DNA and DAP,
The basic part was mounted on DNA
A policy control circuit.
DAP/DNA(Data Application
Processor/Distributed Network
Architecture)型コンフィギュラブルプロセッサ上で、
前記応用部は、DAPに実装され、
前記基本部は、DNAに実装された
請求項1記載のポリシ制御回路。
DAP / DNA (Data Application
Processor / Distributed Network
Architecture) on a configurable processor
The application unit is implemented in DAP,
The basic unit, policy control circuit according to claim 1 Symbol placement mounted on DNA.
DAP/DNA型コンフィギュラブルプロセッサ上で、
前記応用部は、DNAおよびDAP上に実装され、
前記基本部は、DNA上に実装された
請求項1記載のポリシ制御回路
On the DAP / DNA type configurable processor,
The application unit is implemented on DNA and DAP,
The basic part was mounted on DNA
The policy control circuit according to claim 1 .
互いに異なる機能を有するネットワーク構成装置に設けられたDAP/DNA型コンフィギュラブルプロセッサ上に請求項1ないし5のいずれかに記載のポリシ制御回路の前記基本部および前記応用部を実装するポリシ制御回路の実装方法であって、
前記応用部の前記ポリシ解析手段を、前記ネットワーク構成装置において必要不可欠と判断されるポリシ解析手段に限定して実装する
ことを特徴とするポリシ制御回路の実装方法
6. A policy control circuit for mounting the basic part and the application part of the policy control circuit according to claim 1 on a DAP / DNA type configurable processor provided in a network configuration apparatus having different functions. Implementation method,
The policy analysis means of the application unit is limited to policy analysis means determined to be indispensable in the network configuration device.
And a policy control circuit mounting method .
JP2003346523A 2003-10-06 2003-10-06 Policy control circuit Expired - Fee Related JP3779709B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003346523A JP3779709B2 (en) 2003-10-06 2003-10-06 Policy control circuit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003346523A JP3779709B2 (en) 2003-10-06 2003-10-06 Policy control circuit

Publications (2)

Publication Number Publication Date
JP2005117209A JP2005117209A (en) 2005-04-28
JP3779709B2 true JP3779709B2 (en) 2006-05-31

Family

ID=34539415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003346523A Expired - Fee Related JP3779709B2 (en) 2003-10-06 2003-10-06 Policy control circuit

Country Status (1)

Country Link
JP (1) JP3779709B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4588560B2 (en) * 2005-07-04 2010-12-01 三菱電機株式会社 Table device and address search device using the same
US20110085443A1 (en) * 2008-06-03 2011-04-14 Hitachi. Ltd. Packet Analysis Apparatus

Also Published As

Publication number Publication date
JP2005117209A (en) 2005-04-28

Similar Documents

Publication Publication Date Title
CN109309605B (en) In-band network telemetry system and method
US8176300B2 (en) Method and apparatus for content based searching
Allen et al. IBM PowerNP network processor: Hardware, software, and applications
CN103415836B (en) The network processing unit of expedited data Packet analyzing and method
US8819217B2 (en) Intelligent graph walking
US6678746B1 (en) Processing network packets
CA2619772C (en) Apparatus and method for facilitating network security
EP1392035A2 (en) Packet filtering method
CN109314664B (en) Zombie main control machine discovery equipment and method
JP2009523275A (en) Runtime adaptive search processor
CN106487719A (en) The system and method making network function externalizing via packet relaying
CN107147588B (en) Flow guiding method and device
CN107612843A (en) A method to prevent cloud platform IP and MAC forgery
CN105939284A (en) Message control strategy matching method and device
JP3779709B2 (en) Policy control circuit
CN107623629A (en) A kind of restoring method and equipment for flowing forward-path
US20140092900A1 (en) Methods and apparatuses to split incoming data into sub-channels to allow parallel processing
Martinek et al. Netcope: Platform for rapid development of network applications
CN105025004B (en) A kind of double stack IPSec VPN devices
CN105610639A (en) Total log grabbing method and device
CN118656208A (en) Task acceleration method based on DPU chip, DPU chip, electronic device and computer storage medium
CN119768784A (en) Multi-tenant aware data processing unit
Sismis et al. Analysis of TLS prefiltering for IDS acceleration
JP7571881B2 (en) Communication data identification device and method
CN116405235B (en) Two-way encryption/decryption device for carrying out and overlaying operations.

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060228

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060302

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090310

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100310

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110310

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees