CN1489336A - 一种网络过滤处理器 - Google Patents
一种网络过滤处理器 Download PDFInfo
- Publication number
- CN1489336A CN1489336A CNA031172369A CN03117236A CN1489336A CN 1489336 A CN1489336 A CN 1489336A CN A031172369 A CNA031172369 A CN A031172369A CN 03117236 A CN03117236 A CN 03117236A CN 1489336 A CN1489336 A CN 1489336A
- Authority
- CN
- China
- Prior art keywords
- network
- key
- filtering processor
- network management
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明旨在针对目前没有一种能满足高速度高带宽要求、能提供强大灵活网络管理功能的网络过滤处理器,尤其是没有一种能满足越来越多的用户管理特性的适合在局域网交换机芯片中使用的网络处理器的缺陷,提供一种能够解决上述问题,能满足中国市场需要和安全需求的网络过滤处理器。本发明采用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网2-3层高性能交换机芯片的安全智能结构SS-NFP来实现网络过滤功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性。
Description
技术领域
本发明涉及一种网络过滤处理器,具体的说是一种可内置于局域网络交换机***芯片,方便地实现复杂的用户管理功能并能提供很高带宽的宽带网络过滤处理器。
背景技术
新的接入网应用要求局域网交换机具有越来越多的用户管理特性。传统的交换机没有网络过滤器的功能,而国内也没有自主知识产权的网络过滤器。国外先进的网络交换机的网络过滤器使用BINARYSEARCH算法,这种算法每查找一个网络管理表的实体,需要的查找次数为Log2(M).[M为网络管理表实体的个数],导致速度慢,管理的网络管理表的实体少。所以这种办法不能满足高速度高带宽的要求,未能提供强大灵活的网络管理,不能满足中国市场的需要和安全的需求。更没有一种能满足越来越多的用户管理特性的适合在网络交换机芯片(LAN SWITH)中使用的网络处理器。而现在的网络交换机需要对交换的数据提供灵活多元化的管理。
发明内容
本发明旨在针对目前没有一种能满足高速度高带宽要求、能提供强大灵活网络管理功能的网络过滤处理器,尤其是没有一种能满足越来越多的用户管理特性的适合在局域网交换机芯片(LAN SWITCH)中使用的网络处理器的缺陷,提供一种能够解决上述问题,能满足中国市场需要和安全需求的网络过滤处理器。
为解决上述技术问题,本发明采用的技术方案如下:
一种网络过滤处理器,其特征在于:该过滤处理器为一个采用能迅速查找表的DP-HASHING算法的中央集中处理单元SS-NFP(以下简称SS-NFP),该SS-NFP为支持多用户的内嵌以太网交换机的安全智能结构,当数据包到达的时候,从包截取数据找到匹配的网络管理表实体,进行对数据包的各种操作。
本发明SS-NFP使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后使用智能域掩码从数据包中选出需要长度的数据,把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙(KEY)。双并行的8组把两个KEY送入到使用DP-HASHING算法的DP-HASHING引擎,得到网络管理表实体地址。
8K网络管理表被划分成8块,每块深度为1K。网络管理表实体地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。
本发明上述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU、镜像、丢弃、传送、转发或改变优先级处理,并根据***需求发往CPU。
本发明在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。
本发明的有益效果体现在:
常用的HASHING算法有Additive,Rotating,One-at-a-Time,Pearson,CRC,Generalized,Universal,Zobrist,MD4等。这些HASHING算法的冲突概率和利用率在20%左右,资源浪费严重,而发明采用的DP-HASING的冲突概率和资源利用率在70%左右。正因如此,本网络过滤器利用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网交换机的安全智能结构来实现本网络过滤器的功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性;
SS-NFP能够实现的管理用户数目是可以扩展的。当前的产品提供的安全规则表rule table的深度是8192。SS-NFP可以支持倒高达4.4GB/S的带宽,可以支持高达24个高速以太网端口和2个千兆端口。本发明是一种适合在LAN SWITH芯片中使用的网络处理器,避免了使用昂贵数据内容寻址内存(CAM);它能通过高密度普通内存实现,支持对很宽的数据进行比较,能够使用很少的资源达到很高的运行速度,它的先进特点是具有高达4.4GB/S的处理能力。
附图说明
图1为本发明数据的结构图
图2为本发明中央集中处理单元SS-NFP的结构框图
图3常用HASHING算法和本DP-HASHING算法冲突对比
具体实施方式
如图1图2,本发明采用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网2-3层高性能交换机芯片的安全智能结构SS-NFP来实现网络过滤功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性。
本发明SS-NFP从到达数据包中截取80字节的分析数据P_DATA(以下简称P_DATA),同时送入辅助数据A-DATA(以下简称A-DATA)。
首先使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后SS-NFP使用智能域掩码从数据包中选出需要长度的数据,具体做法是把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙(KEY)。双并行的8组把两个KEY送入到DP-HASHING引擎(使用DP-HASHING算法),得到网络管理表实体地址,8K网络管理表被划分成8块,每块深度为1K。(目的是解决HASHING之后地址的冲突问题。)地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。
本发明上述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU,镜像,丢弃,传送、转发或改变优先级处理,并根据***需求发往CPU。本发明在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。
本发明SS-NFP同时支持所有的24百兆和2个千兆网络端口。
本发明所采用的DH-HASHING生成多项式为:
x^32+x^26+x^23+x^20+x^10+x^7+x^4+x^1+1.(试验所得,由HASHING冲突的概率测试所得如图3)
本发明采用的DH-HASHING算法把128位网络管理表实体匹配钥匙压缩映射到10位地址空间。即把128位的匹配钥匙转换成10位的地址,目的是在10位地址尽可能的平均分配在10位的地址空间上,使网络过滤器能够迅速查找表。
本发明所采用的DP-HASHING算法在芯片硬件的实现上,需要在一个硬件周期里完成DP-HASHING。
Claims (7)
1、一种网络过滤处理器,其特征在于:该过滤处理器为一个采用能迅速查找表的DP-HASHING算法的中央集中处理单元SS-NFP,该SS-NFP为支持多用户的内嵌以太网交换机的安全智能结构,当数据包到达的时候,从包截取数据找到匹配的网络管理表实体,进行对数据包的各种操作。
2、根据权利要求1所述的一种网络过滤处理器,其特征在于:SS-NFP使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后使用智能域掩码从数据包中选出需要长度的数据,把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙KEY,双并行的8组把两个KEY送入到使用DP-HASHING算法的DP-HASHING引擎,得到网络管理表实体地址。
3、根据权利要求1或2所述的一种网络过滤处理器,其特征在于:8K网络管理表被划分成8块,每块深度为1K。网络管理表实体地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。
4、根据权利要求3所述的一种网络过滤处理器,其特征在于:所述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU、镜像、丢弃、传送、转发或改变优先级处理,并根据***需求发往CPU。
5、根据权利要求4所述的一种网络过滤处理器,其特征在于:在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。
6、根据权利要求1或2所述的一种网络过滤处理器,其特征在于:所采用的DH-HASHING算法生成多项式为:
x^32+x^26+x^23+x^20+x^10+x^7+x^4+x^1+1.
7、根据权利要求6所述的一种网络过滤处理器,其特征在于:采用的DH-HASHING算法把128位网络管理表实体匹配钥匙压缩映射到10位地址空间,即把128位的匹配钥匙转换成10位的地址,目的是在10位地址尽可能的平均分配在10位的地址空间上,使网络过滤器能够迅速查找表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03117236 CN1238996C (zh) | 2003-01-27 | 2003-01-27 | 一种网络过滤处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03117236 CN1238996C (zh) | 2003-01-27 | 2003-01-27 | 一种网络过滤处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1489336A true CN1489336A (zh) | 2004-04-14 |
| CN1238996C CN1238996C (zh) | 2006-01-25 |
Family
ID=34152678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03117236 Expired - Fee Related CN1238996C (zh) | 2003-01-27 | 2003-01-27 | 一种网络过滤处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1238996C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123750B (zh) * | 2006-03-29 | 2011-11-09 | 捷讯研究有限公司 | 便于推送内容的后台处理的装置和相关方法 |
| CN101483512B (zh) * | 2009-02-10 | 2012-05-23 | 中兴通讯股份有限公司 | 报文过滤方法及装置 |
| US8274690B2 (en) | 2006-03-29 | 2012-09-25 | Research In Motion Limited | Apparatus, and associated method, for facilitating background processing of push content |
| CN108664518A (zh) * | 2017-03-31 | 2018-10-16 | 深圳市中兴微电子技术有限公司 | 一种实现查表处理的方法及装置 |
| CN109088894A (zh) * | 2018-10-25 | 2018-12-25 | 新华三技术有限公司合肥分公司 | Acl下发方法及网络设备 |
-
2003
- 2003-01-27 CN CN 03117236 patent/CN1238996C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123750B (zh) * | 2006-03-29 | 2011-11-09 | 捷讯研究有限公司 | 便于推送内容的后台处理的装置和相关方法 |
| US8274690B2 (en) | 2006-03-29 | 2012-09-25 | Research In Motion Limited | Apparatus, and associated method, for facilitating background processing of push content |
| US8670144B2 (en) | 2006-03-29 | 2014-03-11 | Blackberry Limited | Apparatus, and associated method, for facilitating background processing of push content |
| CN101483512B (zh) * | 2009-02-10 | 2012-05-23 | 中兴通讯股份有限公司 | 报文过滤方法及装置 |
| CN108664518A (zh) * | 2017-03-31 | 2018-10-16 | 深圳市中兴微电子技术有限公司 | 一种实现查表处理的方法及装置 |
| CN108664518B (zh) * | 2017-03-31 | 2021-12-07 | 深圳市中兴微电子技术有限公司 | 一种实现查表处理的方法及装置 |
| CN109088894A (zh) * | 2018-10-25 | 2018-12-25 | 新华三技术有限公司合肥分公司 | Acl下发方法及网络设备 |
| CN109088894B (zh) * | 2018-10-25 | 2021-04-06 | 新华三技术有限公司合肥分公司 | Acl下发方法及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1238996C (zh) | 2006-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190058661A1 (en) | Storing keys with variable sizes in a multi-bank database | |
| Chiueh et al. | Cache memory design for network processors | |
| US7606236B2 (en) | Forwarding information base lookup method | |
| Yu et al. | Efficient multimatch packet classification and lookup with TCAM | |
| Waldvogel et al. | Scalable high-speed prefix matching | |
| EP1419621A1 (en) | Methods and systems for fast packet forwarding | |
| WO2006099186A2 (en) | Information retrieval architecture for packet classification | |
| CN101242362A (zh) | 查找键值生成装置及方法 | |
| Dai et al. | Towards line-speed and accurate on-line popularity monitoring on NDN routers | |
| WO2014169690A1 (zh) | 一种地址映射处理的方法、装置 | |
| CN106713144A (zh) | 一种报文出口信息的读写方法及转发引擎 | |
| Panigrahy et al. | Sorting and searching using ternary CAMs | |
| CN1238996C (zh) | 一种网络过滤处理器 | |
| CN113315705A (zh) | 基于单次哈希布隆过滤器的Flexible IP寻址方法及装置 | |
| CA2303118A1 (en) | Method and system for fast routing lookups | |
| Shen et al. | Optimizing multi-dimensional packet classification for multi-core systems | |
| US7114016B2 (en) | Page-aware descriptor management | |
| EP1955493B1 (en) | A method for processing atm cells and a device having atm cell processing capabilites | |
| Tzeng | Routing table partitioning for speedy packet lookups in scalable routers | |
| Pao et al. | Enhanced prefix inclusion coding filter-encoding algorithm for packet classification with ternary content addressable memory | |
| Vijay et al. | Implementation of memory-efficient linear pipelined IPv6 lookup and its significance in smart cities | |
| Hanna et al. | Progressive hashing for packet processing using set associative memory | |
| Ke et al. | The analysis and design of fast route lookup algorithms for high performance router | |
| Chen et al. | ANTI: An Adaptive Network Traffic Indexing Algorithm for High-Speed Networks | |
| Zhang et al. | Efficient searching with a tcam-based parallel architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |