米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 松下電器産業株式会社

発明の名称 ネットワーク処理装置
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2007−5910(P2007−5910A)
公開日 平成19年1月11日(2007.1.11)
出願番号 特願2005−180880(P2005−180880)
出願日 平成17年6月21日(2005.6.21)
代理人 【識別番号】100115107
【弁理士】
【氏名又は名称】高松 猛
発明者 松浦 健夫
要約 課題
メモリの使用効率を低下させずに少ないメモリ量でパケットフィルタ機能を実現可能なネットワーク処理装置を提供する。

解決手段
比較データ参照メモリ103にIPアドレス等のパラメータの比較データを情報単位で同一列に並べて格納する。ネットワークI/F101がパケットを受信すると、パラメータ抽出部102がヘッダ情報を参照しパラメータを抽出する。次に、比較用参照データを比較データ参照メモリ103より読み出して、パケットのパラメータとの一致比較を行い、一致符号出力部106は、一致したエントリに該当する符号を出力し保持する。フィルタリング規則判定部108は、保持された各パラメータに該当する符号の集合より、フィルタリング規則参照テーブル部107に合致するフィルタリング規則の検索を行う。一致すれば、一致比較結果を出力する。
特許請求の範囲
【請求項1】
到着パケットに含まれるIPアドレス等のパラメータと比較するための比較データを同一列に並べるエントリとし、前記比較データのエントリ先頭位置が前記パラメータの種別毎に同一行に並んだ形式で保持する比較データ参照メモリへのアクセス制御を行うアクセス制御手段と、
前記比較データ参照メモリ上における、前記パラメータの種別毎のエントリ先頭位置を示す先頭アドレスを保持する先頭アドレス保持手段と、
前記先頭アドレスが示す位置より前記比較データを読み出し、読み出した前記比較データと前記到着パケットより取り出したパラメータとの一致比較を行うデータ一致比較手段と、
前記データ一致比較手段における比較結果を出力する比較結果出力手段と、
前記比較結果出力手段から出力された比較結果の集合により表されるフィルタリング規則により、前記到着パケットの処理を判定するフィルタリング規則判定手段と、を備えるネットワーク処理装置。
【請求項2】
前記比較データ参照メモリより読み出したデータのうち有効なエントリを示す情報を保持する有効エントリ保持手段を備える請求項1記載のネットワーク処理装置。
【請求項3】
前記データ一致比較手段は、マスク情報を用いて前記エントリの一部をマスクして一致比較を行う請求項1または2記載のネットワーク処理装置。
【請求項4】
前記データ一致比較手段は、データの範囲を指定して一致比較を行う請求項1または2記載のネットワーク処理装置。
【請求項5】
前記比較結果出力手段は、一致したエントリに対応する符号または一致したエントリを格納しているアドレスを、比較結果として出力する請求項1乃至請求項4のいずれか一項に記載のネットワーク処理装置。
発明の詳細な説明
【技術分野】
【0001】
本発明は、インターネットなどのネットワークインタフェースを通じてパケットを受信処理する装置において、あらかじめ定めた条件を満たすパケットを転送あるいは廃棄するといったパケットフィルタ機能を備えるネットワーク処理装置に関する。
【背景技術】
【0002】
ネットワーク機器において、受信パケットヘッダの情報がある一定の条件を満足したときパケットを転送あるいは廃棄するパケットフィルタ機能が必要とされている。
【0003】
従来のネットワーク処理装置は、パケットフィルタ条件を構成する各種情報の種別毎に該当情報を格納するエントリを備え、各エントリに格納された情報と入力パケットが有する該当種別の情報が一致する情報を保持しているエントリが存在するときに、この一致したエントリのアドレスを出力する第1の内容検索型メモリ(Content Addressable Memory : CAMとも記す)と、各種情報の集合からなるパケットフィルタ条件の代わりに、第1の内容検索型メモリの一致エントリアドレスの集合をパケットフィルタ条件として記憶し、複数の第1の内容検索型メモリからそれぞれ出力された一致エントリアドレスの集合がパケットフィルタ条件と一致したとき、一致信号を出力する第2の内容検索型メモリとすることでパケットフィルタとして動作する。
【0004】
このように、第1の内容検索型メモリによってパケットフィルタ条件を構成する各種情報の種別毎で検索を行い、第2の内容検索型メモリによって第1の内容検索型メモリからの一致エントリアドレスの集合がパケットフィルタ条件と一致するか否かを判定することにより、入力パケットの属性を判断することでパケットフィルタ動作が可能である。また、第1の内容検索型メモリの各々は同一の情報を重複して格納する必要が無く、フィルタリング装置を1つの内容検索型メモリで実現する場合に比べて、メモリ量を削減できる(例えば、特許文献1参照)。
【0005】
図12は、特許文献1に記載された従来のネットワーク処理装置の構成を示すものである。図12において、個別情報判定CAM501a〜501cが種別情報のエントリを検索して一致したエントリの格納アドレスを種別毎に出力し、出力した格納アドレスがレジスタ502に記憶され、フィルタ条件判定CAM503が、各種別情報の格納アドレスの集合を用いてフィルタリング条件の一致判定を行うようにしていた。
【特許文献1】特開2000−151627号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
前記従来のネットワーク処理装置は、受信パケットの種別毎に内容検索型メモリ(CAM)を設けており、CAMのサイズを種別毎に取り得る最大値としておく必要があった。しかしながら、実際には、全ての種別にわたって最大値に相当するサイズが必要となる可能性は極めて低いので、使用効率が低下し大きなメモリが必要になるという事情を有していた。
【0007】
本発明は、上記従来の事情に鑑みてなされたものであって、メモリの使用効率を低下させずに少ないメモリ量でパケットフィルタ機能を実現可能なネットワーク処理装置を提供することを目的としている。
【課題を解決するための手段】
【0008】
本発明のネットワーク処理装置は、到着パケットに含まれるIPアドレス等のパラメータと比較するための比較データを同一列に並べるエントリとし、前記比較データのエントリ先頭位置が前記パラメータの種別毎に同一行に並んだ形式で保持する比較データ参照メモリへのアクセス制御を行うアクセス制御手段と、前記比較データ参照メモリ上における、前記パラメータの種別毎のエントリ先頭位置を示す先頭アドレスを保持する先頭アドレス保持手段と、前記先頭アドレスが示す位置より前記比較データを読み出し、読み出した前記比較データと前記到着パケットより取り出したパラメータとの一致比較を行うデータ一致比較手段と、前記データ一致比較手段における比較結果を出力する比較結果出力手段と、前記比較結果出力手段から出力された比較結果の集合により表されるフィルタリング規則により、前記到着パケットの処理を判定するフィルタリング規則判定手段と、を備える。
【0009】
上記構成によれば、複数のパラメータ種別の比較データを比較データ参照メモリの同一行に配置して未使用領域を比較データの保持に活用することができるため、メモリの使用効率を向上し、メモリ量を削減することができる。
【0010】
また、本発明のネットワーク処理装置は、前記比較データ参照メモリより読み出したデータのうち有効なエントリを示す情報を保持する有効エントリ保持手段を備える。
【0011】
上記構成によれば、種別が異なる複数のパラメータの比較データとして同一の値が設定されていたとしても、有効エントリ保持手段が出力する有効エントリ情報により、必要なパラメータの比較データのみを比較対象とすることができるため、複数の異なるパラメータの比較データの値が同一の値を取っても一致比較を行うことができる。
【0012】
また、本発明のネットワーク処理装置は、前記データ一致比較手段が、マスク情報を用いて前記エントリの一部をマスクして一致比較を行うものである。
【0013】
上記構成によれば、例えば、IPアドレスのネットワークアドレス部分のみについて一致比較を行うことができ、エントリ数を削減し、比較に要する時間を短縮することができる。
【0014】
また、本発明のネットワーク処理装置は、前記データ一致比較手段が、データの範囲を指定して一致比較を行うものである。
【0015】
上記構成によれば、ポート番号等の範囲指定比較を行うことができ、最小値と最大値のみをテーブルに設定すればよいため、テーブルのエントリ数を節約することができる。
【0016】
さらに、本発明のネットワーク処理装置は、前記比較結果出力手段が、一致したエントリに対応する符号または一致したエントリを格納しているアドレスを、比較結果として出力するものである。
【発明の効果】
【0017】
本発明によれば、複数のパラメータ種別の比較データを比較データ参照メモリの同一行に配置して未使用領域を比較データの保持に活用することができるため、メモリの使用効率を向上し、メモリ量を削減することができる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の実施の形態にかかるネットワーク処理装置について、図面を参照しながら説明する。
【0019】
(実施の形態1)
図13は、本発明の実施の形態1におけるネットワーク処理装置を含むネットワークシステムの構成図である。本発明の実施の形態1におけるネットワーク処理装置1300は、ネットワークインタフェース1301よりパケットを入力し、パケットを分類して受信フレーム廃棄手段1302に対して一致比較結果を出力し、一致比較結果が廃棄指示を示す内容である場合、受信フレーム廃棄手段1302が受信フレームを廃棄して後段のアプリケーション処理装置1303に到達しないようにする。
【0020】
図1は、本発明の実施の形態1におけるネットワーク処理装置の構成図である。図1において、ネットワーク処理装置は、接続しているインターネット等のネットワークよりパケットを受信するネットワークインタフェース(ネットワークI/Fとも記す)101と、受信したパケットよりパラメータを抽出し、パラメータとパラメータ種別とパラメータサイズを出力するパラメータ抽出部102と、を備え、パラメータ比較部として、一致比較用に参照するための比較データを格納している比較データ参照メモリ103と、パラメータ抽出部102より受信したパラメータ種別に対応する比較データ集合の先頭位置情報を出力する先頭アドレス保持部104と、比較データ参照メモリ103より読み出した1行のデータのうち、パラメータ抽出部102より受信したパラメータ種別に対応する比較データエントリの位置を示す有効エントリ情報を保持する有効エントリ保持部105と、CPU及びデータ一致比較部107と比較データ参照メモリ103との間のアクセスを制御するアクセス制御部106と、受信したパケットより抽出したIPv4(Internet Protocol Version 4)アドレス等のパラメータと比較データ参照メモリ103より読み出した比較データエントリのバイト単位での一致比較を行うデータ一致比較部107と、データ一致比較部107のバイト単位の比較結果がパラメータ全てにわたって一致である場合に、一致したエントリに対応する符号を出力する一致符号出力部108と、を備え、各パラメータ値を変換した符号の集合を用いて表されるフィルタリング規則を保持するフィルタリング規則参照テーブル部109と、フィルタリング規則参照テーブル部109を参照することにより受信パケットを転送または廃棄するかを判定し、判定結果としてフィルタリングを実施することを意味する一致信号あるいは一致比較結果を出力するフィルタリング規則判定部110と、を備える。
【0021】
以上のように構成されたネットワーク処理装置について、図2及び図3を用いてその動作を説明する。図2は、本発明の実施の形態1におけるネットワーク処理装置の概略動作を示す流れ図である。図3は、本発明の実施の形態1におけるネットワーク処理装置のパラメータ比較動作を示す流れ図である。
【0022】
図2において、ネットワークI/F101がネットワークよりパケットを受信したかどうかを判定し(S201)、受信していない場合(S201のN)はパケット受信判定に戻る。一方、受信する(S201のY)と、パラメータ抽出部102は、受信パケットのヘッダ情報を参照して順番にパラメータを抽出し、宛先MACアドレスやIPv6(Internet Protocol Version 6)アドレス等のパラメータ種別を判定して出力し、パラメータのサイズを出力する(S202)。
【0023】
次に、パラメータ比較部は、受信パケットのヘッダ情報より抽出されたパラメータ、パラメータ種別、パラメータサイズを用いて、比較データ参照メモリ103が格納しているデータと一致比較を行い、パラメータの値を一致エントリに該当する一致符号に変換し(S203)、フィルタリング規則判定部110に出力する(S204)。パラメータ比較部の動作の詳細については図3で説明する。
【0024】
フィルタリング規則判定部110は、パラメータ比較部の一致符号出力部108より一致符号を受信すると、該当するパラメータについてフィルタリング規則参照テーブル部109の検索を行い、検索結果を保持する(S205)。そして、パラメータが最後のパラメータであるかどうかを判定する(S206)。最後のパラメータでない場合にはS202に戻り(S206のN)、最後のパラメータである場合には(S206のY)検索したフィルタリング規則に該当する一致比較結果を出力し、処理を終了する(S207)。
【0025】
図3において、パラメータ比較部の動作の詳細について説明する。データ一致比較部107は、比較データ参照メモリ103のデータ読出し行を示すオフセット値を0に初期化する(S301)。先頭アドレス保持部104は、受信パケットのパラメータ種別より、比較データ参照メモリ103における同一種別のデータの先頭格納位置情報を出力する(S302)。
【0026】
アクセス制御部106は、データの先頭格納アドレスにオフセットを加算した位置において比較用参照データを比較データ参照メモリ103より1行単位で読み出す(S303)。また、アクセス制御部106は、比較データ参照メモリ103より読み出したデータのうち、有効エントリ保持部105が示す位置のデータを取り出してデータ一致比較部107に出力する(S304)。
【0027】
データ一致比較部107は、アクセス制御部106より受信した比較データエントリと受信したパケットのパラメータとのバイト単位での一致比較を行う(S305)。データ一致比較部107は、オフセット値を1増加する(S306)。そして、パラメータサイズよりパラメータの最後のバイトデータであるかどうかを確認する(S307)。最後のバイトデータでなければ(S307のN)、S303に戻り、最後のバイトデータであれば(S307のY)、一致符号出力部106が、パラメータの全バイトにわたる一致比較結果について全一致したエントリに該当する符号を出力し保持する(S308)。
【0028】
図4は、本実施の形態のネットワーク処理装置における比較データ参照メモリ103上のデータ配置例と一致比較動作を示す図である。
【0029】
図4において、比較データ参照メモリ103上にIPv4アドレスとIPv6アドレスと宛先ポート番号が配置されている場合を例に示す。メモリ幅は4バイトであり、IPv4アドレスとIPv6アドレスと宛先ポート番号のそれぞれのエントリ数(保持数)は2である。IPv4アドレスとIPv6アドレスと宛先ポート番号を図に示すようにメモリの列方向に並べて設定する。比較データ参照メモリ103の比較データを設定するための領域は、どのパラメータ(例えば送信元ポート番号や宛先ポート番号等)が使用してもよい。図に示すように、IPv4アドレスとIPv6アドレスを同一行に並べて配置することにより、メモリの未使用領域を減らし、メモリの使用効率を向上させることができる。
【0030】
未使用領域が減る仕組みについては図6を参照して詳細に後述するが、同一行に配置しない場合、メモリの幅より少ないエントリ数となるパラメータの比較用データの隣の領域は使用されないため未使用領域となる。一方、同一行に配置する場合、メモリの幅より少ないエントリ数となるパラメータの比較用データの隣の領域に、別のパラメータの比較用データを配置するため、元々使用されていないメモリの領域を使用するようになり、未使用領域が減ることになる。
【0031】
パケットが到着するとパケットのヘッダ又はペイロードの情報(図の例ではIPv6アドレスの1バイト目)を取り出し、到着パケットのパラメータと同じ種類の情報のメモリ上の格納先頭位置を示す先頭アドレスよりデータ一致比較部107が持つオフセットn(図の例の場合IPv6アドレスの1バイト目であるのでオフセット0)の位置のデータをメモリより読み出し、読み出したデータのうち、情報種別毎に設けられた有効エントリレジスタ(図の例の場合IPv6アドレス用の有効エントリレジスタ)が示す位置のデータを取り出して(図の例の場合、右側の2バイト分のデータ)、受信パケットのヘッダ又はペイロードの情報(図の例の場合IPv6アドレスの1バイト目)とバイト単位での一致比較を行う。各パラメータの全バイトについて一致比較結果が全一致となるエントリに該当する符号を出力する。
【0032】
図5は、パラメータ比較とフィルタリング規則検索の一連の動作を説明するための図である。宛先MACアドレス(以下、DMAC)を例に取り説明する。図の4011〜4016はDMACの6バイトのそれぞれについて、1、2,3,4の4つのエントリを示している。4017は、各エントリのパラメータ比較結果を表している。比較データ参照メモリ103に格納されているDMACの比較データエントリを1行単位で読み出してバイト単位で到着パケットのDMACと6バイトにわたって順に一致比較する。4つのエントリ1、2,3,4についてバイト毎に一致/不一致結果を表している。DMACの全バイトの一致比較完了後、6バイト分全て一致しているエントリに該当する符号として3(4017の上から3つ目)を出力する。一致符号3を用いて、フィルタリング規則参照テーブル109の検索を行い、該当するフィルタリング規則を検索する。図5ではDMACの場合について示したが、この一致比較を全パラメータ種別について行い、合致するフィルタリング規則を最終的に一致検索する。
【0033】
図6は、本実施の形態のネットワーク処理装置における比較データ参照メモリ103の効果を示す図である。
【0034】
図6において、比較データ参照メモリ103上に宛先MACアドレスと宛先IPv4アドレスとIPv6アドレスとProtocol番号とNext Headerと宛先ポート番号が配置されている場合を例に示す。単純にパラメータをメモリに配置しようとすると、図の左側に示すようになる。メモリの横幅がパラメータ中の最大エントリ数となるように配置するため、エントリ数が最大値より小さいパラメータを格納している部分に未使用領域が発生する。このような未使用領域を低減するために、図の右側に示すように異なるパラメータを横に並べて配置できるようにする。図の右側のようにパラメータを配置することにより、左側のメモリ量が30×4=120バイト必要であったところが、右側のメモリ量が18×4=72バイトに低減されている。
【0035】
すなわち、左側の図では、宛先MACアドレス[1,1]より宛先ポート番号[2,1]までのバイト数30と、メモリ幅4が必要であるが、右側の図では、宛先MACアドレス[1,1]よりNext Header[1,1]までのバイト数18と、メモリ幅4で済む。したがって、左側の図では、120バイト分の領域が(未使用領域も含めて)占有されるのに対して、右側の図では、72バイト分の領域が占有されるだけで済む。
【0036】
かかる構成によれば、パケット情報種別毎に個別に内容検索型メモリを設ける方式に比較して、複数の異なるパラメータ種別の比較データを比較データ参照メモリの同一行に配置することにより、従来の未使用領域を比較データの保持に活用することができるため、メモリの使用効率を向上し、メモリ量を削減できる。
【0037】
また、本実施の形態のネットワーク処理装置は、前記比較データ参照メモリ103より読み出したデータのうち有効なエントリを示す有効エントリ保持部105を備え、複数の異なるパラメータの比較データを比較データ参照メモリの未使用領域に詰めて配置することにより、複数の異なるパラメータの比較データとして同一の値が設定されていたとしても、有効エントリ保持手段が出力する有効エントリにより必要なパラメータの比較データのみを比較対象とすることができ、複数の異なるパラメータの比較データの値が同一の値を取っても一致比較を行うことができる。
【0038】
なお、本実施の形態において、一致比較を行うパラメータがIPv6アドレスの場合で説明したが、本発明はこれに限定されることなく、IPv4アドレスであっても、あるいは、送信元MACアドレスや、Ethernet Typeなどでもよい。
【0039】
また、一致符号出力部108が符号を出力する代わりに、一致したエントリのアドレスを出力してもよい。また、パラメータ情報がヘッダ情報に限定されることなく、受信パケットのデータ本体であるペイロードから取り出される情報であってもよい。
【0040】
(実施の形態2)
図7は、本発明の実施の形態2におけるネットワーク処理装置の構成図である。図7において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0041】
図7において、マスク情報参照テーブル部711は、IPアドレス等の情報の一部をマスクして一致比較を行う、すなわち、情報の一部のビットもしくはバイトについてのみ一致比較を行うために使用するマスク情報を格納する。データ一致比較部707は、IPアドレス等の受信パケットの情報のうち、マスク情報が指定するビットもしくはバイトの部分を一致比較の対象から除外した上で、残りの部分のデータを用いて一致比較を行う。
【0042】
図8は、本発明の実施の形態2におけるネットワーク処理装置のパラメータ比較の動作を説明する流れ図である。
【0043】
図8において、パラメータ比較部の動作の詳細について説明する。データ一致比較部107は、比較データ参照メモリ103のデータ読出し行を示すオフセット値を0に初期化する(S801)。先頭アドレス保持部104は、受信パケットのパラメータ種別より、比較データ参照メモリ103における同一種別のデータの先頭格納位置情報を出力する(S802)。アクセス制御部106は、データの先頭格納アドレスにオフセットを加算した位置において比較用参照データを比較データ参照メモリ103より1行単位で読み出す(S803)。また、アクセス制御部106は、比較データ参照メモリ103より読み出したデータのうち、有効エントリ保持部105が示す位置のデータを取り出してデータ一致比較部107に出力する(S804)。データ一致比較部107は、マスク情報をマスク情報参照テーブル711より読み出して、アクセス制御部106より受信した比較データエントリと受信したパケットのパラメータとのバイト単位でのマスク情報を用いた一致比較を行う(S805)。データ一致比較部107は、オフセット値を1増加する(S806)。そして、パラメータサイズ情報よりパラメータの最後のバイトデータであるかどうかを確認する(S807)。最後のバイトデータでなければ(S807のN)、S803に戻り、最後のバイトデータであれば(S807のY)、一致符号出力部106が、パラメータの全バイトに渡る一致比較結果について全一致したエントリに該当する符号を出力し保持する(S808)。
【0044】
図9は、本実施の形態のネットワーク処理装置における比較データ参照メモリ103及びマスク情報参照テーブル711上のデータ配置例と一致比較動作を示す図である。
【0045】
図9において、比較データ参照メモリ103上にIPv4アドレスとIPv6アドレスと宛先ポート番号が、マスク情報参照テーブル711上にIPv4アドレスとIPv6アドレスのマスク情報が配置されている場合を例に示す。メモリ幅は4バイトであり、IPv4アドレスとIPv6アドレスと宛先ポート番号のそれぞれのエントリ数は2である。IPv4アドレスとIPv6アドレスと宛先ポート番号を図に示すようにメモリの列方向に並べて設定する。比較データ参照メモリ103の比較データを設定するための領域は、どのパラメータ(例えば送信元ポート番号や宛先ポート番号等)が使用してもよい。図に示すように、IPv4アドレスとIPv6アドレスを同一行に並べて配置することにより、メモリの未使用領域を減らし、メモリの使用効率を向上させることができる。
【0046】
パケットが到着するとパケットのヘッダ又はペイロードの情報(図の例ではIPv6アドレスの1バイト目)を取り出し、到着パケットのヘッダ又はペイロードの情報と同じ種類の情報のメモリ上の格納先頭位置を示す先頭アドレスよりデータ一致比較部107が持つオフセットn(図の例の場合IPv6アドレスの1バイト目であるのでオフセット0)の位置のデータを比較データ参照メモリ103及びマスク情報参照テーブル711より読み出す。そして、読み出したデータのうち、情報種別毎に設けられた有効エントリレジスタ(図の例の場合IPv6アドレス用の有効エントリレジスタ)が示す位置のデータを取り出して(図の例の場合、右側の2バイト分)、受信パケットのヘッダ又はペイロードの情報(図の例の場合IPv6アドレスの1バイト目)とマスク情報を用いた一致比較を行い、一致エントリに該当する符号を出力する。
【0047】
かかる構成によれば、データ一致比較手段507がマスク情報を用いて固定長データの一部をマスクし、一致比較を行うことにより、例えば、IPアドレスのネットワークアドレス部分のみについて一致比較を行うことができ、比較に要する時間を短縮することができる。
【0048】
(実施の形態3)
図10は、本発明の実施の形態3におけるネットワーク処理装置の構成図である。図10において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0049】
図10において、範囲指定情報参照テーブル1011は、例えば、受信パケットを構成するレイヤの第4層で規定されるポート番号等の情報が、指定した最小値及び最大値の間に含まれているかどうかを比較し判定するために使用する範囲指定情報を格納する。データ一致比較部1007は、ポート番号等の受信パケットの情報が、範囲指定情報が指定する最小値と最大値の間に含まれるかどうかを比較し判定する。
【0050】
図11は、本発明の実施の形態3におけるネットワーク処理装置のパラメータ比較の動作を説明する流れ図である。
【0051】
図11において、パラメータ比較部の動作の詳細について説明する。比較データ参照メモリ103のデータ読出し行を示すオフセット値を0に初期化する(S1101)。先頭アドレス保持部104は、受信パケットのヘッダ情報の種別より、比較データ参照メモリ103における同一種別のデータの先頭格納位置情報を出力する(S1102)。アクセス制御部106は、データの先頭格納アドレスにオフセットを加算した位置において比較用参照データを比較データ参照メモリ103より1行単位で読み出す(S1103)。また、アクセス制御部106は、比較データ参照メモリ103より読み出したデータのうち、有効エントリ保持部105が示す位置の比較データエントリを取り出して一致比較部1007に出力する(S1104)。データ一致比較部1007は、範囲指定情報として最小値及び最大値を分割した値を範囲指定情報参照テーブル部1011より読み出し、これらのデータについて最小値及び最大値との一致比較を行なう。最小値より大きく最大値より小さければ、指定された範囲内にあると判定する。最小値より小さいかもしくは最大値より大きければ、指定された範囲外にあると判定する。最小値と最大値のいずれかに一致した場合は、次の下位の分割データまで指定範囲内にあるかどうかの判断を保留し(S1105)、オフセット値を1増加する(S1106)。そして、パラメータサイズ情報よりパラメータの最後のバイトデータであるかどうかを確認する(S1107)。最後のバイトデータでなければ(S1107のN)、S1103に戻り、最後のバイトデータであれば(S1107のY)、一致符号出力部106が、パラメータの全バイトにわたる一致比較結果について全一致したエントリに該当する符号を出力し保持する(S1108)。
【0052】
かかる構成によれば、データ一致比較手段707がデータの範囲を指定して比較することにより、ポート番号等の範囲指定比較を行うことができ、最小値と最大値のみをテーブルに設定すればよいため、テーブルのエントリ数を節約できる。なお、範囲指定により比較対象となるパラメータとしてはポート番号に限らずIPv4アドレス等でもよい。
【0053】
本実施の形態のネットワーク処理装置は、ネットワーク端末装置やネットワーク中継装置として応用可能である。また、本発明のネットワーク処理装置は、集積回路を用いて実現してもよい。
【産業上の利用可能性】
【0054】
本発明は、複数のパラメータ種別の比較データを比較データ参照メモリの同一行に配置して未使用領域を比較データの保持に活用することができるため、メモリの使用効率を向上し、メモリ量を削減することができる効果を有し、インターネットなどのネットワークインタフェースを通じてパケットを受信処理する装置において、あらかじめ定めた条件を満たすパケットを転送あるいは廃棄するといったパケットフィルタ機能を備えるネットワーク処理装置等に有用である。
【図面の簡単な説明】
【0055】
【図1】本発明の実施の形態1におけるネットワーク処理装置の構成図
【図2】本発明の実施の形態1におけるネットワーク処理装置の全体の動作を示す流れ図
【図3】本発明の実施の形態1におけるネットワーク処理装置のパラメータ比較動作を示す流れ図
【図4】本発明の実施の形態1におけるネットワーク処理装置におけるフィルタリング動作を示す図
【図5】本発明の実施の形態1におけるパラメータ比較とフィルタリング規則検索の一連の動作を説明するための図
【図6】本発明の実施の形態1におけるネットワーク処理装置の比較参照テーブル部の構成を示す図
【図7】本発明の実施の形態2におけるネットワーク処理装置の構成図
【図8】本発明の実施の形態2におけるネットワーク処理装置のパラメータ比較動作を示す流れ図
【図9】本発明の実施の形態2におけるネットワーク処理装置の比較データ参照メモリ103及びマスク情報参照テーブル711上のデータ配置例と一致比較動作を示す図
【図10】本発明の実施の形態3におけるネットワーク処理装置の構成図
【図11】本発明の実施の形態3におけるネットワーク処理装置のパラメータ比較動作を示す流れ図
【図12】従来のネットワーク処理装置の構成図
【図13】本発明の実施の形態1におけるネットワーク処理装置を含むネットワークシステムの構成図
【符号の説明】
【0056】
101 ネットワークインタフェース(ネットワークI/F)
102 パラメータ抽出部
103 比較データ参照メモリ
104 先頭アドレス保持部
105 有効エントリ保持部
106 アクセス制御部
107、607、807 データ一致比較部
108 一致符号出力部
109 フィルタリング規則参照テーブル部
110 フィルタリング規則判定部
711 マスク情報参照テーブル部
1011 範囲指定情報参照テーブル部
4011〜4016 DMACの6バイトのそれぞれについての、1、2,3,4の4つのエントリ
4017 各エントリのパラメータ比較結果
1300 本発明の実施の形態1におけるネットワーク処理装置
1301 ネットワークインタフェース
1302 受信フレーム廃棄手段
1303 アプリケーション処理装置




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013