JP2000295274A - パケット交換装置 - Google Patents

パケット交換装置

Info

Publication number
JP2000295274A
JP2000295274A JP9814099A JP9814099A JP2000295274A JP 2000295274 A JP2000295274 A JP 2000295274A JP 9814099 A JP9814099 A JP 9814099A JP 9814099 A JP9814099 A JP 9814099A JP 2000295274 A JP2000295274 A JP 2000295274A
Authority
JP
Japan
Prior art keywords
packet
processing
security
microprocessor
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9814099A
Other languages
English (en)
Inventor
Jun Kametani
潤 亀谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP9814099A priority Critical patent/JP2000295274A/ja
Priority to US09/532,585 priority patent/US6839346B1/en
Publication of JP2000295274A publication Critical patent/JP2000295274A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 ルーティング処理及びセキュリティ処理にお
けるマイクロプロセッサの負担を軽減して、パケット交
換処理の高速化を実現する。 【解決手段】 IP発信元アドレスとIP宛先アドレス
とをサーチキーとして、ルーティング処理の結果を登録
し、保持するIPフローテーブル17と、パケットを受
信した場合に、IP発信元アドレス及びIP宛先アドレ
スをサーチキーとしてIPフローテーブルを検索16
し、該当IPフローが登録されていた場合、マイクロプ
ロセッサ11によるルーティング処理へ移行することな
く、IPフローに示されるルーティング処理結果に基づ
いて、適切な出力ポートへ転送するパケット処理実行手
段14と、ネットワークインタフェースと接続され、受
け取ったパケットに対し下位レイヤの処理を実行し送出
する下位レイヤ処理手段20を備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、パケット通信ネッ
トワークにおいて用いられるパケット交換装置に関し、
特にマイクロプロセッサの負担を軽減してルーティング
処理の高速化を図ったパケット交換装置に関する。
【0002】
【従来の技術】インターネットに代表されるパケット通
信ネットワークでは、パケット単位でデータの伝送が行
われる。パケットにはデータの発信元や宛先のアドレス
等に関する情報を含むヘッダが付されており、ルータ等
のパケット交換装置が、当該ヘッダ部分のアドレス情報
に基づき、パケット単位で適切なネットワークへと転送
する。
【0003】従来、パケットのルーティング処理は、パ
ケット単位でのルーティング処理という仕組みのため、
ソフトウェアで実装されることが多かった。パケットの
ルーティング処理を実行する従来のパケット交換装置の
構成を図9に示す。図9に示すパケット交換装置は、デ
ータリンク層以下の処理をハードウェアで実行する下位
レイヤ処理部110と、マイクロプロセッサ101、マ
イクロプロセッサ101上のソフトウェアやルーティン
グ情報を格納するためのメインメモリ102、受信した
パケットを格納しておくパケットメモリ105、および
下位レイヤ処理部110とパケットメモリ105の間で
パケットデータを転送するためのDMAコントローラ1
12を備える。
【0004】図9に示すように構成された従来のルータ
においてパケットを受信すると、DMAコントローラ1
12が、一旦、受信した当該パケットを下位レイヤ処理
部110からパケットメモリ105に転送しておく。こ
の後、マイクロプロセッサ101が、プロセッサバス1
03を経由してパケットメモリ105上のパケットをメ
インメモリ102にコピーする。そして、ソフトウェア
制御によりルーティング処理を行い、当該処理によって
MACヘッダを付替えたパケットを、再びパケットメモ
リ105にコピーする。次に、DMAコントローラ11
2が、当該処理済パケットを出力物理ポートに接続する
下位レイヤ処理部110へと転送し、下位レイヤ処理部
110による処理の後にネットワークへと送信される。
【0005】以上のように、従来のパケット交換装置
は、全ての受信パケットに対するルーティング処理を、
ソフトウェア制御によりマイクロプロセッサ101が行
うため、ネットワーク速度はマイクロプロセッサ101
自身の性能に依存していた。
【0006】ところで、パケット通信方式は、回線交換
方式に比べデータのセキュリティが弱いことが従来から
指摘されている。また、近年のインターネットの急激な
普及により、パケット通信におけるセキュリティ対策が
急務となった。そこで、ネットワークレイヤでのセキュ
リティ対策として、IPパケットデータを暗号化する方
式(IPsec)が標準化された。従来のパケット交換
装置においては、当該IPsecによるパケットデータ
の暗号化/復号化処理もマイクロプロセッサ101が全
て行っていた。
【0007】
【発明が解決しようとする課題】上述したように、従来
のパケット交換装置は、全ての受信パケットに対するル
ーティング処理を、ソフトウェア制御によりマイクロプ
ロセッサが行っていたため、ネットワーク速度はマイク
ロプロセッサ自身の性能に依存していた。したがって、
通信トラヒックの増加やネットワーク速度の高速化の要
請に対して、マイクロプロセッサの性能による限界があ
るという欠点があった。
【0008】図9に示したパケット交換装置において、
パケットメモリ105とメインメモリ102とを同一の
メモリ素子にて構成することにより、メモリ間のデータ
転送に要する時間を短縮することが可能である。しか
し、依然としてパケット毎の処理は全てマイクロプロセ
ッサの負荷となるため、処理の高速化に対してマイクロ
プロセッサの性能による限界があるという欠点は解決さ
れない。
【0009】また、パケット通信におけるセキュリティ
を向上させるため、従来のパケット交換装置に、上述し
たIPsecによるパケットデータの暗号化/復号化処
理を実装する場合、当該処理を実行するためにマイクロ
プロセッサの能力を割かれるため、パケット交換装置に
おける全体的な処理性能が低下し、処理の高速化に対す
る限界をさらに引き下げるという欠点があった。
【0010】具体的には、上記従来のパケット交換装置
に、IPsec処理を新たに追加した場合、パケットの
データスループットが約10分の1にまで低下する場合
があった。
【0011】本発明は、上記従来の欠点を解決し、ルー
ティング処理及びセキュリティ処理におけるマイクロプ
ロセッサの負担を軽減することにより、パケット交換処
理の高速化を実現するパケット交換装置を提供すること
にある。
【0012】
【課題を解決するための手段】上記の目的を達成する本
発明は、パケット通信ネットワークに用いられ、パケッ
ト単位でルーティング処理を実行しパケット転送を行う
パケット交換装置において、ソフトウェア制御により受
信パケットのルーティング処理を行うマイクロプロセッ
サと、前記マイクロプロセッサによりルーティング処理
がなされたパケットに関して、IP発信元アドレスとI
P宛先アドレスとをサーチキーとして、ルーティング処
理の結果を登録し、保持するIPフローテーブルと、パ
ケットを受信した場合に、該受信パケットのIP発信元
アドレス及びIP宛先アドレスをサーチキーとして前記
IPフローテーブルを検索し、検索の結果、該当するI
Pフローが登録されていた場合、前記マイクロプロセッ
サによるルーティング処理へ移行することなく、該IP
フローに示されるルーティング処理結果に基づいて、該
パケットを適切な出力ポートへ転送するパケット処理実
行手段と、ネットワークインタフェースと接続され、受
信したパケットに対して下位レイヤの処理を実行して前
記パケット手段に転送し、前記パケット手段から受け取
ったパケットに対して下位レイヤの処理を実行してネッ
トワークへ送出する下位レイヤ処理手段とを備えること
を特徴とする。
【0013】請求項2に記載の本発明のパケット交換装
置は、パケットの暗号化処理及び復号化処理を専用のハ
ードウェアによって行うセキュリティ処理手段をさらに
備え、前記マイクロプロセッサが、所定の規則に基づい
てパケットを暗号化または復号化すべきと判断した場合
に、セキュリティ情報として暗号化または復号化の処理
方式及び該処理に要する暗号鍵を決定して、前記セキュ
リティ処理手段に通知し、前記セキュリティ処理手段
が、前記マイクロプロセッサから受け取ったセキュリテ
ィ情報に基づいてパケットの暗号化処理または復号化処
理を実行することを特徴とする。
【0014】請求項3に記載の本発明のパケット交換装
置は、前記IPフローテーブルが、前記ルーティング処
理の結果に加えて、前記マイクロプロセッサによって決
定された前記セキュリティ情報を登録し、前記パケット
処理実行手段が、前記受信パケットのIP発信元アドレ
ス及びIP宛先アドレスをサーチキーとして前記IPフ
ローテーブルを検索した結果、該当するIPフローが登
録されておりかつ該IPフローエントリに前記セキュリ
ティ情報が登録されていた場合に、前記マイクロプロセ
ッサによる前記セキュリティ情報の取得処理へ移行する
ことなく、該IPフローに示される前記セキュリティ情
報と共に前記受信パケットを前記セキュリティ処理手段
に送り、前記セキュリティ処理手段が、前記パケット処
理実行手段から受け取ったセキュリティ情報に基づいて
パケットの暗号化処理または復号化処理を実行すること
を特徴とする。
【0015】請求項4に記載の本発明のパケット交換装
置は、前記マイクロプロセッサと前記パケット処理実行
手段とがプロセッサバスを介して接続されており、前記
パケット処理実行手段と前記下位レイヤ処理手段とが所
定のスイッチファブリックを介して接続されており、か
つ前記セキュリティ処理手段が前記下位レイヤ処理手段
と同一のスイッチファブリックに接続されていることを
特徴とする。
【0016】請求項5に記載の本発明のパケット交換装
置は、前記パケット処理実行手段が、前記セキュリティ
処理手段により暗号化処理を施されるパケットを、該パ
ケットを転送先のパケット装置との間で用いられる通信
パケットでカプセル化することを特徴とする。
【0017】請求項6に記載の本発明のパケット交換装
置は、パケット通信ネットワークに用いられ、パケット
単位でルーティング処理を実行しパケット転送を行うパ
ケット交換装置において、ソフトウェア制御により受信
パケットのルーティング処理を行うマイクロプロセッサ
と、パケットの暗号化処理及び復号化処理を専用のハー
ドウェアによって行うセキュリティ処理手段と、ネット
ワークインタフェースと接続され、パケットの送受信を
行うと共に、受信したパケット及び送信するパケットに
対して下位レイヤの処理を実行する下位レイヤ処理手段
とを備え、前記マイクロプロセッサが、所定の規則に基
づいてパケットを暗号化または復号化すべきと判断した
場合に、セキュリティ情報として暗号化または復号化の
処理方式及び該処理に要する暗号鍵を決定して、前記セ
キュリティ処理手段に通知し、前記セキュリティ処理手
段が、前記マイクロプロセッサから受け取ったセキュリ
ティ情報に基づいてパケットの暗号化処理または復号化
処理を実行することを特徴とする。
【0018】請求項7に記載の本発明のパケット交換装
置は、前記マイクロプロセッサと前記下位レイヤ処理手
段とが所定のスイッチファブリックを介して接続されて
おり、かつ前記セキュリティ処理手段が前記下位レイヤ
処理手段と同一のスイッチファブリックに接続されてい
ることを特徴とする。
【0019】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して詳細に説明する。
【0020】図1は、本発明の一実施形態によるパケッ
ト交換装置の構成を示すブロック図である。図1を参照
すると、本実施形態のパケット交換装置は、マイクロプ
ロセッサ11と、メインメモリ12と、マイクロプロセ
ッサ11とメインメモリ12やその他の周辺処理部とを
接続するためのプロセッサバス13と、マイクロプロセ
ッサ11に代わってパケット処理を実行するためのパケ
ット処理部14、パケットメモリ15、サーチ処理部1
6及びIPフローテーブル17と、パケットの暗号化/
符号化処理を行うセキュリティ処理部19と、下位レイ
ヤ処理部20と、パケット処理部14とセキュリティ処
理部19と下位レイヤ処理部20とを相互に接続するた
めのスイッチファブリック18とを備える。なお、図1
には、本発明における特徴的な構成のみを記載し、他の
一般的な構成については記載を省略してある。
【0021】上記構成において、マイクロプロセッサ1
1は、ソフトウェア制御によりパケット交換装置全体の
制御を行うと共に、受信パケットの転送先を決めるルー
ティング処理や、必要に応じてパケットデータに対する
暗号化または復号化の必要性を判断する処理を行う。
【0022】メインメモリ12は、マイクロプロセッサ
11を制御するソフトウェアや、所定の処理を行う際に
当該処理に関わる各種データを格納する。
【0023】パケット処理部14は、ネットワークイン
タフェースから受信したパケットに対して、IPヘッダ
処理や出力先ネットワークインタフェースへの転送処理
を行う。ここで、IPヘッダ処理とは、パケットに付加
されているヘッダからIP宛先アドレスやIP発信元ア
ドレスを抽出する処理、マイクロプロセッサ11による
ルーティング処理によって決定されたMACアドレスに
応じて新しいMACヘッダを生成する処理等を含む。
【0024】また、パケット処理部14は、パケットヘ
ッダから抽出したサーチキーによりサーチ処理部16を
制御してIPフローテーブル17を検索させたり、IP
フローテーブル17に新しいIPフローを仮登録させた
りする。また、サーチ処理部16によるIPフローテー
ブル17の検索結果に応じて、取得した出力物理ポート
やMACアドレスに基づき、該当パケットのIPヘッダ
処理を行う。
【0025】パケットメモリ15は、マイクロプロセッ
サ11やパケット処理部14による処理のために受信パ
ケットを一時的に格納する。また、マイクロプロセッサ
11がルーティング処理を行う際に処理結果を待つパケ
ットを登録するプロセッサ処理結果待ちキューを有す
る。
【0026】サーチ処理部16は、パケット処理部14
からの指示にしたがって、IPフローテーブル17を検
索し、登録されている該当パケットに関するルーティン
グ処理の結果をパケット処理部14に返す。また、パケ
ット処理部14からの指示に対応するIPフローエント
リが存在しない場合、当該指示に基づいてIPフローの
仮登録を行う。さらに、マイクロプロセッサ11による
ルーティング処理の結果を受け取って、仮登録のIPフ
ローエントリに格納し、当該IPフローを正式登録す
る。
【0027】IPフローテーブル17は、IP発信元ア
ドレスとIP宛先アドレスとをサーチキーとして、マイ
クロプロセッサ11によるルーティング処理の結果であ
るIPフローを格納したテーブルである。図2にIPフ
ローテーブル17の例を示す。図2を参照すると、IP
フローテーブル17には、IPフローエントリごとに、
サーチキーであるIP発信元アドレス及びIP宛先アド
レスと、ルーティング処理の結果であるMAC発信元ア
ドレス、MAC宛先アドレス及び出力物理ポートのポー
ト番号とが登録されている。また、必要に応じて、後述
するセキュリティ情報が格納されている。
【0028】スイッチファブリック18は、複数のネッ
トワークインタフェースと個別に接続された複数の下位
レイヤ処理部20と、パケット処理部14と、セキュリ
ティ処理部19とを相互に接続する。スイッチファブリ
ック18としては、接続された各ユニット間のデータ転
送時の調停機能やアドレッシング機能を持っていれば何
でも良く、単純なTri−stateバス、リングバ
ス、クロスバススイッチなど実現手段は問わない。ま
た、スイッチファブリック18の構成をトークンリング
バス構成としても良い。
【0029】セキュリティ処理部19は、マイクロプロ
セッサ11によるソフトウェア処理に基づき、必要に応
じて、パケット毎に暗号化/復号化処理を実行する。
【0030】下位レイヤ処理部20は、物理的なネット
ワークインタフェースと接続され、データリンク層(O
SI7レイヤモデルの第2層)以下の処理を実行し、ス
イッチファブリック18を介してパケット処理部14と
の間でパケットの送受信を行う。
【0031】以上、本実施形態の構成を説明したが、実
際には、本実施形態のパケット交換装置は上記各構成要
素の機能を実現する各種の回路にて構成され、例えば、
上記各構成要素を内包する半導体集積回路にて構成して
も良い。
【0032】次に、図3乃至図7のフローチャートを参
照して本実施形態の動作について説明する。図3は、本
実施形態によるパケット処理の主要な流れを示すフロー
チャートである。図4は、マイクロプロセッサ11によ
るルーティング処理の流れを示すフローチャートであ
る。図5乃至図7は、セキュリティ処理を伴う場合の本
実施形態によるパケット処理の流れを示すフローチャー
トである。
【0033】本実施形態のパケット交換装置は、インタ
ーネットに代表されるパケット通信のネットワークレイ
ヤの処理を行う装置であるため、ネットワークインタフ
ェースより受信したパケットのヘッダを解析し、その宛
先アドレス(IP宛先アドレス)に基づくルーティング
処理を行い、その結果にしたがって出力先のネットワー
クインタフェースへパケットを転送する動作が基本とな
る。加えて、本実施形態では、受信パケットのルーティ
ング処理の際にIP宛先アドレスとIP発信元アドレス
に基づき、必要に応じて、パケット単位にデータの暗号
化/復号化等のセキュリティ処理を併せて実行する。し
たがって、以下の動作の説明では、先に通常のセキュリ
ティ処理を実施しない場合の動作について説明し、次に
セキュリティ処理を実行する場合の動作を説明する。
【0034】図3を参照すると、まず、パケット交換装
置の外部のネットワークと接続された下位レイヤ処理部
20に外部装置からパケットが到着すると(ステップ3
01)、当該下位レイヤ処理部20は、レイヤ2以下の
パケット処理、すなわちデータの同期確立、下位レイヤ
ヘッダ(MACヘッダ等)の検証、CRCの検算等を実
行する(ステップ302)。そして、下位レイヤの処理
を終えたパケットを、スイッチファブリック18を経由
してパケット処理部14へと転送する。
【0035】パケット処理部14は、転送された受信パ
ケットを受け取ると、まず当該パケットをパケットメモ
リ15に格納する。そして、当該パケットのパケットヘ
ッダからIP宛先アドレスやIP発信元アドレス等を抽
出し、これらからIPフローテーブル17を検索するた
めのサーチキーを作成する(ステップ303)。次に、
パケット処理部14は、作成したサーチキーをサーチ処
理部16へ送り、IPフローテーブル17の検索を指示
する。
【0036】サーチ処理部16は、パケット処理部14
から受け取ったサーチキーを用いてIPフローテーブル
17の検索を行い、その結果をパケット処理部14に通
知する(ステップ304)。サーチ処理部16による検
索の結果、IPフローテーブル17に受信したパケット
に相当するIPフローが登録されている場合、すなわ
ち、マイクロプロセッサ11により当該IPフローに対
応するパケットに対するルーティング処理が既に行われ
ていた場合は、パケット処理部14は、サーチ処理部1
6から検索結果(図2に示すIPフローテーブル17で
はMAC発信元アドレス、MAC宛先アドレス及び出力
物理ポートのポート番号)を受け取り、当該情報に基づ
いて当該パケットのヘッダ処理を行う(ステップ30
5、306)。そして、当該情報が示す出力物理ポート
に接続された下位レイヤ処理部20へ当該パケットを転
送する(ステップ307)。以上の動作により、当該パ
ケットに関しては、ソフトウェア制御によるマイクロプ
ロセッサ11のルーティング処理を行うことなく、パケ
ット処理部14が自律的にパケットの転送を実行するこ
とができる。
【0037】下位レイヤ処理部20は、スイッチファブ
リック18を介してパケット処理部14からパケットを
受け取り、下位レイヤ固有の処理、すなわちパケット全
体のCRC演算、及び当該演算結果をパケットに付加す
る処理を行って(ステップ308)、自身が接続されて
いるネットワークインタフェースへ当該パケットを送出
する(ステップ309)。
【0038】これに対し、サーチ処理部16による検索
の結果、IPフローテーブル17に受信したパケットに
相当するIPフローが登録されていない場合、パケット
処理部14は、サーチ処理部16に指示してIP宛先ア
ドレス及びIP発信元アドレスをサーチキーとする新し
いIPフローの仮登録を実行させる(ステップ305、
310)。これは、図2のIPフローテーブルにおい
て、サーチキーの項だけが存在するエントリに相当す
る。次に、パケット処理部14は、マイクロプロセッサ
11に対して割り込みを掛けて、マイクロプロセッサ1
1によるルーティング処理へ当該パケットを引き渡す
(ステップ311)。そして、当該パケットをパケット
メモリ15のプロセッサ処理結果待ちのキューに登録し
た後、パケット処理部14は、次のパケットの処理へと
移行する(ステップ312)。
【0039】この後、パケット処理部14は、新たに受
信したパケット処理の合間に、パケットメモリ15のプ
ロセッサ処理結果待ちキューのパケットを調べ、キュー
の先頭に置かれたパケットのサーチキーを作成し、サー
チ処理部16を制御してIPフローテーブル17の検索
を実行する(ステップ313)。後述するように、当該
パケットに対するマイクロプロセッサ11によるルーテ
ィング処理が完了したならば、該当するIPフローエン
トリは正式登録されており、検索結果としてMAC発信
元アドレス、MAC宛先アドレス及び出力物理ポートの
ポート番号が得られる(ステップ314)。そして、パ
ケット処理部14は、得られたMACアドレス及び出力
物理ポートのポート番号に基づいて当該パケットのヘッ
ダ処理を行う(ステップ315)。以下、パケットを下
位レイヤ処理部20へ転送し、下位レイヤ固有の処理の
後、ネットワークインタフェースへ送出する(ステップ
307、308、309)。
【0040】この後、同一のIP発信元アドレス及びI
P宛先アドレスを有するパケットを受信した場合は、対
応するIPフローがIPフローテーブル17に登録され
ているため、ステップ305、306及び307の処理
により、当該パケットに関して、ソフトウェア制御によ
るマイクロプロセッサ11のルーティング処理を行うこ
となく、パケット処理部14が自律的にパケットの転送
を実行できることとなる。
【0041】次に、ステップ311により、マイクロプ
ロセッサ11によるルーティング処理へ当該パケットが
引き渡された場合のマイクロプロセッサ11の動作を説
明する。図4を参照すると、マイクロプロセッサ11
は、パケット処理部14からの割り込みに応じてルーテ
ィング処理を開始し、まず、プロセッサバス13及びパ
ケット処理部14を介してパケットメモリ15にアクセ
スする(ステップ401)。そして、パケットメモリ1
5のプロセッサ結果処理待ちキューから、登録されてい
るパケットのヘッダ部分のみを、メインメモリ12へコ
ピーする(ステップ402)。
【0042】次に、マイクロプロセッサ11は、コピー
されたパケットヘッダ部のIP宛先アドレスをキーとし
て、メインメモリ12に予め格納されているIPルーテ
ィングテーブル及びARPキャッシュテーブルの検索を
実行する(ステップ403)。そして、パケットの転送
先となる出力物理ポート及びネクストホップのMACア
ドレスを決定する(ステップ404)。そして、これら
一連のルーティング処理結果を、プロセッサバス13及
びサーチ処理部16を介してIPフローテーブル17に
送り、仮登録済みのIPフローエントリの正式登録を行
う(ステップ405)。この動作は、図2に示すIPフ
ローテーブル17の該当エントリに、ルーティング結果
が追記されたことに相当する。
【0043】次に、パケット単位のセキュリティ処理を
伴う場合の本実施形態の動作について説明する。セキュ
リティ処理として、IETF(Internet En
gineering Task Force)で定めら
れたIPsecに対する処理を行う場合を例として説明
する。
【0044】IPsecをルータ等のパケット交換装置
に実装する場合、パケットを転送したい相手先ホストが
所属するネットワークに存在するパケット交換装置との
間で、パケットの暗号化方式や暗号鍵の情報を予め共有
し、そのパケットを当該パケット交換装置間どうしの通
信パケットでカプセル化する方法(トンネルモード)を
使用する。パケットの暗号化方式と暗号鍵の共有は通信
するホスト間で一意であり、したがってパケット交換装
置は、IP宛先アドレスとIP発信元アドレスから、当
該パケットに適用すべき暗号化方式と暗号鍵を決定でき
る。これらの共有情報は当該パケット交換装置どうしの
間で事前に、または必要に応じて確立する必要がある。
本実施形態では、共有情報の確立に付随する処理は全
て、ソフトウェア制御によりマイクロプロセッサ11が
処理する。IPsecトンネルモードによって処理され
たIPパケットの構成を図8に示す。
【0045】本動作例において、パケット交換装置にパ
ケットが到着してからIPフローがIPフローテーブル
17に仮登録され、マイクロプロセッサ11によるルー
ティング処理へパケットが引き渡されるまでの処理は、
図3に示した通常の動作と同様である(ステップ301
〜305、310、311参照)。
【0046】図5を参照すると、マイクロプロセッサ1
1は、パケット処理部14からの割り込みに応じてルー
ティング処理を開始し、まず、プロセッサバス13及び
パケット処理部14を介してパケットメモリ15にアク
セスする(ステップ501)。そして、パケットメモリ
15のプロセッサ結果処理待ちキューから、登録されて
いるパケットのヘッダ部分のみを、メインメモリ12へ
コピーする(ステップ502)。
【0047】次に、マイクロプロセッサ11は、コピー
されたパケットヘッダ部のIP宛先アドレスを識別する
(ステップ503)。当該パケットが図8に示したよう
なIPsecヘッダを持つパケットであり、かつ当該I
Pアドレスが自装置(パケット交換装置)のIPアドレ
スであるならば、IPsecの復号化対象パケットとし
て認識する(ステップ504)。また、IPアドレスが
自装置のIPアドレスでないならば、IPsecの暗号
化対象パケットとして認識する(ステップ505)。
【0048】まず、図6を参照して、IPsec暗号化
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、パケットヘッダ部のI
P宛先アドレスをキーとして、メインメモリ12に予め
格納されているセキュリティ処理に関するテーブル(S
ecurity Policy DatabaseとS
ecurity Association Datab
ase)を検索して、当該パケットを暗号化する必要が
あるか否かを判断する(ステップ601)。暗号化する
必要がないと判断された場合、これ以降の動作は図4に
示した通常のルーティング処理と同一であり、ルーティ
ングテーブル、ARPキャッシュテーブルの検索、検索
結果のIPフローテーブル17への登録を実行する(ス
テップ403〜405参照)。
【0049】パケットを暗号化する必要がある場合、マ
イクロプロセッサ11は、セキュリティ処理のテーブル
検索により得られた暗号化方式及び暗号鍵を含むセキュ
リティ情報、セキュリティ情報を識別するインデックス
(SPI)等と、カプセル化するIPパケットのIP宛
先アドレスおよびIP発信元アドレスとを、セキュリテ
ィ処理部19が接続された物理ポートを指すルーティン
グ情報と共に、サーチ処理部16を介してIPフローテ
ーブル17に送り、仮登録済みのIPフローエントリの
正式登録を行う(ステップ602)。この動作は、図2
に示すIPフローテーブル17の該当IPフローエント
リに、出力物理ポートと、セキュリティ情報を登録する
ことに相当する。
【0050】パケット処理部14は、当該IPフローに
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていることからIPsec暗号化対象パケットで
あると判断する。そして、当該パケットをIPフローテ
ーブル17に指定されたIP宛先アドレスとIP発信元
アドレスのパケットでカプセル化し、暗号化方式等のセ
キュリティ情報を当該カプセル化されたパケットに付加
した後、指定された転送先であるセキュリティ処理部1
9へ転送する(ステップ603)。
【0051】セキュリティ処理部19は、受け取ったパ
ケットからセキュリティ情報を分離し、得られたセキュ
リティ情報に従って当該パケットをIPsec暗号化処
理した後、再びパケット処理部14へ転送する(ステッ
プ604)。
【0052】パケット処理部14は、セキュリティ処理
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ605)。この際、パケ
ットは既に新しいIP宛先アドレスとIP発信元アドレ
スでカプセル化されているため、パケット処理部14
は、新しいIPフローとしてIPフローテーブル17へ
仮登録する。
【0053】この後、マイクロプロセッサ11がルーテ
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ606)。当該パケットに関しては、セキュリティ処
理が既に行われていることが判定可能であるため、セキ
ュリティ処理を再実行することはない。
【0054】以上の処理を経た暗号化処理済みのパケッ
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該暗号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて暗
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に暗号化処理
を実行できることとなる。
【0055】次に、図7を参照して、IPsec復号化
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、当該パケットのIPs
ecヘッダからSPIを抽出し、これをキーとしてメイ
ンメモリ12のセキュリティ処理のテーブル(Secu
rity Association Databas
e)を検索し、該当する暗号化方式、暗号鍵を得る(ス
テップ701)。次に、マイクロプロセッサ11は、取
得した暗号化方式及び暗号鍵とセキュリティ処理部19
が接続された物理ポートとを、サーチ処理部16を介し
てIPフローテーブル17に送り、仮登録済みのIPフ
ローエントリの正式登録を行う(ステップ702)。
【0056】パケット処理部14は、当該IPフローに
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていること及びIP宛先アドレスが自装置宛であ
ることからIPsec復号化対象パケットであると判断
する。そして、当該パケットに対してIPフローテーブ
ル17で指定された暗号化方式等のセキュリティ情報を
付加した後、指定された転送先であるセキュリティ処理
部19へ転送する(ステップ703)。
【0057】セキュリティ処理部19は、受け取ったパ
ケットからセキュリティ情報を分離し、得られた情報に
従って当該パケットをIPsec復号化処理し、カプセ
ル化されたパケットを分離した後、再びパケット処理部
14へ転送する(ステップ704)。
【0058】パケット処理部14は、セキュリティ処理
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ705)。この際、パケ
ットはオリジナルのIP宛先アドレスとIP発信元アド
レスを持つパケットに復号化されているため、パケット
処理部14は新しいIPフローとしてIPフローテーブ
ル17へ仮登録する。
【0059】この後、マイクロプロセッサ11がルーテ
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ706)。ここで、当該パケットは、自装置のサブネ
ット内のホスト宛であると判定されるため、セキュリテ
ィ処理は実行されない。
【0060】以上の処理を経た復号化処理済みのパケッ
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該復号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて復
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に復号化処理
を実行できることとなる。
【0061】以上好ましい実施形態をあげて本発明を説
明したが、本発明は必ずしも上記実施形態に限定される
ものではない。
【0062】例えば、上記の実施形態では、IPsec
の暗号化対象パケットに関して、セキュリティ処理部1
9によりセキュリティ処理を行った後、当該パケットを
パケット処理部14へ戻し、パケット処理部14におい
て通常のパケットと同様に扱うことにより、当該パケッ
トを下位レイヤ処理部20へ転送しているが、このよう
な処理に替えて、以下に示す処理を行っても良い。すな
わち、パケット処理部14が、IPパケットのカプセル
化、MACヘッダの付加とセキュリティ情報を付加した
後、セキュリティ処理部19へと転送する際に、最終的
な出力物理ポートの情報も付加して送出する。セキュリ
ティ処理部19は、パケットと共に受信した出力物理ポ
ート情報やMACヘッダを保存しておき、パケットをI
Psec暗号化処理した後、パケット処理部14を経由
せずに、最終出力物理ポートと接続された下位レイヤ処
理部20へ直接転送する。
【0063】以上のような動作を行うためには、ソフト
ウェア制御によるマイクロプロセッサ11の処理におい
て、通常のルーティング処理と共にカプセル化するIP
パケットのIP宛先アドレスに基づくルーティング処理
も同時に実行し、その結果をIPフローテーブル17に
登録するように変更すれば良い。さらにパケット処理部
14とセキュリティ処理部19による処理も、上記動作
に併せて追加すれば簡単に実現できる。
【0064】以上のような動作変更を行うによって、I
Psecの暗号化対象パケットに対する図6に示した処
理と比較して、さらなるスループットの向上を図ること
ができる。
【0065】また、上記実施形態では、マイクロプロセ
ッサ11が新しいIPフローに属するパケットのルーテ
ィング処理を行う際に、当該パケットのヘッダ部分をパ
ケットメモリ15の結果処理待ちキューからメインメモ
リ12へコピーしていたが、このような処理に替えて、
ヘッダ部分を示すパケットメモリ15のアドレスポイン
タを受け取って処理を行うことも可能である。すなわ
ち、パケット自体はパケットメモリ15に置かれたまま
であり、マイクロプロセッサ11は、当該パケットのヘ
ッダ部分を、プロセッサバス13及びパケット処理部1
4を介して直接読み出す。
【0066】以上のような動作変更を行うことによっ
て、パケットデータの転送回数が最小限に抑えられ、処
理の高速化が期待できる。
【0067】さらに、スイッチファブリック18として
クロスバスイッチを採用しても良い。上記実施形態にお
けるパケットのデータ転送は、基本的に、パケット処理
部14と各下位レイヤ処理部20またはセキュリティ処
理部19との間における1対1に限られる。しかし、上
述したようにセキュリティ処理部19と各下位レイヤ処
理部20との間におけるパケット転送が発生する動作を
行う場合は、クロスバスイッチの方がデータの衝突の頻
度が少なく、全体のスループット向上が可能となる。
【0068】
【発明の効果】以上説明したように、本発明のパケット
交換装置によれば、一度マイクロプロセッサによりルー
ティング処理が実行されたパケットと同一のIP発信元
アドレス及びIP宛先アドレスを有するパケットに関し
ては、マイクロプロセッサを用いたソフトウェア制御に
よるルーティング処理を行うことなくパケット交換処理
を実行することができる。そのため、IPパケットの転
送処理の高速化を図ることができるという効果がある。
【0069】また、セキュリティのためのパケットデー
タの暗号化及び復号化処理を、マイクロプロセッサを用
いることなく、ハードウェアにて機械的に実行すること
により、セキュリティ処理の高速化を図ることができる
という効果がある。
【0070】また、IPフローテーブルを用いてマイク
ロプロセッサのルーティング処理を行わないパケット転
送を実現する構成と、セキュリティ処理を実行するハー
ドウェアとを組み合わせることにより、従来のパケット
交換装置と比較して、ネットワークレイヤでのセキュリ
ティ処理を伴うパケット交換を、非常に高速に行うこと
ができる。
【0071】さらに、セキュリティ処理を行うハードウ
ェアをスイッチファブリックの一構成ユニットとするこ
とにより、セキュリティ処理の独立性を高めることがで
きる。これにより、パケット交換装置へのセキュリティ
処理機能の追加や、暗号方式の変更及び追加が容易とな
るため、パケット交換装置における装置構成の柔軟性及
び拡張性の向上を図ることができる。
【図面の簡単な説明】
【図1】 本発明の一実施形態によるパケット交換装置
の構成を示すブロック図である。
【図2】 本実施形態におけるIPフローテーブルの例
を示す図である。
【図3】 本実施形態におけるパケット処理の主要な流
れを示すフローチャートである。
【図4】 本実施形態におけるマイクロプロセッサのル
ーティング処理の流れを示すフローチャートである。
【図5】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、マイ
クロプロセッサがパケットの種類を認識するまでの動作
を示す図である。
【図6】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、IP
sec暗号化対象パケットに対する処理を示す図であ
る。
【図7】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、IP
sec復号化対象パケットに対する処理を示す図であ
る。
【図8】 IPsecトンネルモードによって処理され
たIPパケットの構成を示す図である。
【図9】 従来のパケット交換装置の構成を示すブロッ
ク図である。
【符号の説明】
11 マイクロプロセッサ 12 メインメモリ 13 プロセッサバス 14 パケット処理部 15 パケットメモリ 16 サーチ処理部 17 IPフローテーブル 18 スイッチファブリック 19 セキュリティ処理部 20 下位レイヤ処理部

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 パケット通信ネットワークに用いられ、
    パケット単位でルーティング処理を実行しパケット転送
    を行うパケット交換装置において、 ソフトウェア制御により受信パケットのルーティング処
    理を行うマイクロプロセッサと、 前記マイクロプロセッサによりルーティング処理がなさ
    れたパケットに関して、IP発信元アドレスとIP宛先
    アドレスとをサーチキーとして、ルーティング処理の結
    果を登録し、保持するIPフローテーブルと、 パケットを受信した場合に、該受信パケットのIP発信
    元アドレス及びIP宛先アドレスをサーチキーとして前
    記IPフローテーブルを検索し、検索の結果、該当する
    IPフローが登録されていた場合、前記マイクロプロセ
    ッサによるルーティング処理へ移行することなく、該I
    Pフローに示されるルーティング処理結果に基づいて、
    該パケットを適切な出力ポートへ転送するパケット処理
    実行手段と、 ネットワークインタフェースと接続され、受信したパケ
    ットに対して下位レイヤの処理を実行して前記パケット
    手段に転送し、前記パケット手段から受け取ったパケッ
    トに対して下位レイヤの処理を実行してネットワークへ
    送出する下位レイヤ処理手段とを備えることを特徴とす
    るパケット交換装置。
  2. 【請求項2】 パケットの暗号化処理及び復号化処理を
    専用のハードウェアによって行うセキュリティ処理手段
    をさらに備え、 前記マイクロプロセッサが、所定の規則に基づいてパケ
    ットを暗号化または復号化すべきと判断した場合に、セ
    キュリティ情報として暗号化または復号化の処理方式及
    び該処理に要する暗号鍵を決定して、前記セキュリティ
    処理手段に通知し、 前記セキュリティ処理手段が、前記マイクロプロセッサ
    から受け取ったセキュリティ情報に基づいてパケットの
    暗号化処理または復号化処理を実行することを特徴とす
    る請求項1に記載のパケット交換装置。
  3. 【請求項3】 前記IPフローテーブルが、前記ルーテ
    ィング処理の結果に加えて、前記マイクロプロセッサに
    よって決定された前記セキュリティ情報を登録し、 前記パケット処理実行手段が、前記受信パケットのIP
    発信元アドレス及びIP宛先アドレスをサーチキーとし
    て前記IPフローテーブルを検索した結果、該当するI
    Pフローが登録されておりかつ該IPフローエントリに
    前記セキュリティ情報が登録されていた場合に、前記マ
    イクロプロセッサによる前記セキュリティ情報の取得処
    理へ移行することなく、該IPフローに示される前記セ
    キュリティ情報と共に前記受信パケットを前記セキュリ
    ティ処理手段に送り、 前記セキュリティ処理手段が、前記パケット処理実行手
    段から受け取ったセキュリティ情報に基づいてパケット
    の暗号化処理または復号化処理を実行することを特徴と
    する請求項2に記載のパケット交換装置。
  4. 【請求項4】 前記マイクロプロセッサと前記パケット
    処理実行手段とがプロセッサバスを介して接続されてお
    り、前記パケット処理実行手段と前記下位レイヤ処理手
    段とが所定のスイッチファブリックを介して接続されて
    おり、かつ前記セキュリティ処理手段が前記下位レイヤ
    処理手段と同一のスイッチファブリックに接続されてい
    ることを特徴とする請求項2または請求項3に記載のパ
    ケット交換装置。
  5. 【請求項5】 前記パケット処理実行手段が、前記セキ
    ュリティ処理手段により暗号化処理を施されるパケット
    を、該パケットを転送先のパケット装置との間で用いら
    れる通信パケットでカプセル化することを特徴とする請
    求項2または請求項3に記載のパケット交換装置。
  6. 【請求項6】 パケット通信ネットワークに用いられ、
    パケット単位でルーティング処理を実行しパケット転送
    を行うパケット交換装置において、 ソフトウェア制御により受信パケットのルーティング処
    理を行うマイクロプロセッサと、 パケットの暗号化処理及び復号化処理を専用のハードウ
    ェアによって行うセキュリティ処理手段と、 ネットワークインタフェースと接続され、パケットの送
    受信を行うと共に、受信したパケット及び送信するパケ
    ットに対して下位レイヤの処理を実行する下位レイヤ処
    理手段とを備え、 前記マイクロプロセッサが、所定の規則に基づいてパケ
    ットを暗号化または復号化すべきと判断した場合に、セ
    キュリティ情報として暗号化または復号化の処理方式及
    び該処理に要する暗号鍵を決定して、前記セキュリティ
    処理手段に通知し、 前記セキュリティ処理手段が、前記マイクロプロセッサ
    から受け取ったセキュリティ情報に基づいてパケットの
    暗号化処理または復号化処理を実行することを特徴とす
    るパケット交換装置。
  7. 【請求項7】 前記マイクロプロセッサと前記下位レイ
    ヤ処理手段とが所定のスイッチファブリックを介して接
    続されており、かつ前記セキュリティ処理手段が前記下
    位レイヤ処理手段と同一のスイッチファブリックに接続
    されていることを特徴とする請求項6に記載のパケット
    交換装置。
JP9814099A 1999-04-05 1999-04-05 パケット交換装置 Pending JP2000295274A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP9814099A JP2000295274A (ja) 1999-04-05 1999-04-05 パケット交換装置
US09/532,585 US6839346B1 (en) 1999-04-05 2000-03-22 Packet switching apparatus with high speed routing function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP9814099A JP2000295274A (ja) 1999-04-05 1999-04-05 パケット交換装置

Publications (1)

Publication Number Publication Date
JP2000295274A true JP2000295274A (ja) 2000-10-20

Family

ID=14211927

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9814099A Pending JP2000295274A (ja) 1999-04-05 1999-04-05 パケット交換装置

Country Status (2)

Country Link
US (1) US6839346B1 (ja)
JP (1) JP2000295274A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006074780A (ja) * 2004-09-02 2006-03-16 Internatl Business Mach Corp <Ibm> 待ち時間の少ないデータ暗号解除インターフェース
JP2006180162A (ja) * 2004-12-22 2006-07-06 Nec Corp パケット交換装置およびパケット交換方法
US7099324B2 (en) 1999-12-08 2006-08-29 Nec Corporation System and method for processing packets
US7221759B2 (en) 2003-03-27 2007-05-22 Eastman Kodak Company Projector with enhanced security camcorder defeat
JP2008086048A (ja) * 2001-09-24 2008-04-10 Ericsson Inc パケット処理の装置と方法
CN100413283C (zh) * 2004-09-21 2008-08-20 北京锐安科技有限公司 基于连接对的流量均衡处理方法与装置
JP2009217841A (ja) * 2001-03-27 2009-09-24 Fujitsu Ltd パケット中継処理装置
US7693154B2 (en) 2002-10-29 2010-04-06 Fujitsu Limited Transmitter and method of transmission
WO2010103909A1 (ja) 2009-03-09 2010-09-16 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
WO2010116606A1 (ja) * 2009-03-30 2010-10-14 日本電気株式会社 通信フロー制御システム、通信フロー制御方法及び通信フロー処理プログラム
WO2013150925A1 (ja) 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法
US10965644B2 (en) 2017-06-23 2021-03-30 Denso Corporation Network switch

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7382736B2 (en) * 1999-01-12 2008-06-03 Mcdata Corporation Method for scoring queued frames for selective transmission through a switch
US7236490B2 (en) * 2000-11-17 2007-06-26 Foundry Networks, Inc. Backplane interface adapter
US7596139B2 (en) * 2000-11-17 2009-09-29 Foundry Networks, Inc. Backplane interface adapter with error control and redundant fabric
US7356030B2 (en) * 2000-11-17 2008-04-08 Foundry Networks, Inc. Network switch cross point
US7002980B1 (en) * 2000-12-19 2006-02-21 Chiaro Networks, Ltd. System and method for router queue and congestion management
KR20020055287A (ko) * 2000-12-28 2002-07-08 구자홍 라우터 장치의 패킷 라우팅 방법
US7206283B2 (en) * 2001-05-15 2007-04-17 Foundry Networks, Inc. High-performance network switch
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US6950394B1 (en) * 2001-09-07 2005-09-27 Agilent Technologies, Inc. Methods and systems to transfer information using an alternative routing associated with a communication network
US8543681B2 (en) * 2001-10-15 2013-09-24 Volli Polymer Gmbh Llc Network topology discovery systems and methods
US8868715B2 (en) * 2001-10-15 2014-10-21 Volli Polymer Gmbh Llc Report generation and visualization systems and methods and their use in testing frameworks for determining suitability of a network for target applications
JP3885573B2 (ja) * 2001-12-04 2007-02-21 株式会社日立製作所 パケット処理方法および装置
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
US7246245B2 (en) * 2002-01-10 2007-07-17 Broadcom Corporation System on a chip for network storage devices
US20030196081A1 (en) * 2002-04-11 2003-10-16 Raymond Savarda Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules
US7187687B1 (en) * 2002-05-06 2007-03-06 Foundry Networks, Inc. Pipeline method and system for switching packets
US7266117B1 (en) 2002-05-06 2007-09-04 Foundry Networks, Inc. System architecture for very fast ethernet blade
US7468975B1 (en) * 2002-05-06 2008-12-23 Foundry Networks, Inc. Flexible method for processing data packets in a network routing system for enhanced efficiency and monitoring capability
US20120155466A1 (en) * 2002-05-06 2012-06-21 Ian Edward Davis Method and apparatus for efficiently processing data packets in a computer network
US7649885B1 (en) * 2002-05-06 2010-01-19 Foundry Networks, Inc. Network routing system for enhanced efficiency and monitoring capability
JP3789395B2 (ja) * 2002-06-07 2006-06-21 富士通株式会社 パケット処理装置
US7631107B2 (en) * 2002-06-11 2009-12-08 Pandya Ashish A Runtime adaptable protocol processor
AU2003251492A1 (en) 2002-06-11 2003-12-22 Ashish A. Pandya High performance ip processor for tcp/ip, rdma and ip storage applications
US7415723B2 (en) * 2002-06-11 2008-08-19 Pandya Ashish A Distributed network security system and a hardware processor therefor
US20040103086A1 (en) * 2002-11-26 2004-05-27 Bapiraju Vinnakota Data structure traversal instructions for packet processing
US9015467B2 (en) * 2002-12-05 2015-04-21 Broadcom Corporation Tagging mechanism for data path security processing
US7587587B2 (en) 2002-12-05 2009-09-08 Broadcom Corporation Data path security processing
US6901072B1 (en) * 2003-05-15 2005-05-31 Foundry Networks, Inc. System and method for high speed packet transmission implementing dual transmit and receive pipelines
US7685254B2 (en) * 2003-06-10 2010-03-23 Pandya Ashish A Runtime adaptable search processor
CN100499451C (zh) * 2003-08-26 2009-06-10 中兴通讯股份有限公司 网络通信安全处理器及其数据处理方法
US7817659B2 (en) 2004-03-26 2010-10-19 Foundry Networks, Llc Method and apparatus for aggregating input data streams
US8730961B1 (en) 2004-04-26 2014-05-20 Foundry Networks, Llc System and method for optimizing router lookup
US8036221B2 (en) * 2004-06-14 2011-10-11 Cisco Technology, Inc. Method and system for dynamic secured group communication
US7647492B2 (en) * 2004-09-15 2010-01-12 Check Point Software Technologies Inc. Architecture for routing and IPSec integration
US8059562B2 (en) * 2004-10-18 2011-11-15 Nokia Corporation Listener mechanism in a distributed network system
US7657703B1 (en) 2004-10-29 2010-02-02 Foundry Networks, Inc. Double density content addressable memory (CAM) lookup scheme
US8448162B2 (en) 2005-12-28 2013-05-21 Foundry Networks, Llc Hitless software upgrades
US20070288690A1 (en) * 2006-06-13 2007-12-13 Foundry Networks, Inc. High bandwidth, high capacity look-up table implementation in dynamic random access memory
US7903654B2 (en) * 2006-08-22 2011-03-08 Foundry Networks, Llc System and method for ECMP load sharing
US8238255B2 (en) 2006-11-22 2012-08-07 Foundry Networks, Llc Recovering from failures without impact on data traffic in a shared bus architecture
US7996348B2 (en) 2006-12-08 2011-08-09 Pandya Ashish A 100GBPS security and search architecture using programmable intelligent search memory (PRISM) that comprises one or more bit interval counters
US9141557B2 (en) 2006-12-08 2015-09-22 Ashish A. Pandya Dynamic random access memory (DRAM) that comprises a programmable intelligent search memory (PRISM) and a cryptography processing engine
US8395996B2 (en) 2007-01-11 2013-03-12 Foundry Networks, Llc Techniques for processing incoming failure detection protocol packets
ES2345675T3 (es) * 2007-05-11 2010-09-29 Sca Hygiene Products Ab Dispositivo de envasado y suministro para agrupar articulos de productos.
US8271859B2 (en) * 2007-07-18 2012-09-18 Foundry Networks Llc Segmented CRC design in high speed networks
US8037399B2 (en) * 2007-07-18 2011-10-11 Foundry Networks, Llc Techniques for segmented CRC design in high speed networks
US8509236B2 (en) 2007-09-26 2013-08-13 Foundry Networks, Llc Techniques for selecting paths and/or trunk ports for forwarding traffic flows
US8190881B2 (en) 2007-10-15 2012-05-29 Foundry Networks Llc Scalable distributed web-based authentication
US8170043B2 (en) * 2008-04-22 2012-05-01 Airhop Communications, Inc. System and method of communication protocols in communication systems
US10805840B2 (en) 2008-07-03 2020-10-13 Silver Peak Systems, Inc. Data transmission via a virtual wide area network overlay
US10164861B2 (en) 2015-12-28 2018-12-25 Silver Peak Systems, Inc. Dynamic monitoring and visualization for network health characteristics
TW201029396A (en) * 2009-01-21 2010-08-01 Univ Nat Taiwan Packet processing device and method
US8090901B2 (en) 2009-05-14 2012-01-03 Brocade Communications Systems, Inc. TCAM management approach that minimize movements
US8599850B2 (en) 2009-09-21 2013-12-03 Brocade Communications Systems, Inc. Provisioning single or multistage networks using ethernet service instances (ESIs)
KR101503450B1 (ko) * 2010-03-17 2015-03-18 닛본 덴끼 가부시끼가이샤 통신 시스템, 노드, 제어 서버 및 통신 방법
CA2851214A1 (en) * 2011-10-05 2013-04-11 Nec Corporation Load reducing system and load reducing method
US8767757B1 (en) 2012-02-15 2014-07-01 Applied Micro Circuits Corporation Packet forwarding system and method using patricia trie configured hardware
US9521219B2 (en) * 2014-01-20 2016-12-13 Echelon Corporation Systems, methods, and apparatuses using common addressing
US9948496B1 (en) 2014-07-30 2018-04-17 Silver Peak Systems, Inc. Determining a transit appliance for data traffic to a software service
US9875344B1 (en) 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
US9516065B2 (en) * 2014-12-23 2016-12-06 Freescale Semiconductor, Inc. Secure communication device and method
US9967056B1 (en) 2016-08-19 2018-05-08 Silver Peak Systems, Inc. Forward packet recovery with constrained overhead
US11044202B2 (en) 2017-02-06 2021-06-22 Silver Peak Systems, Inc. Multi-level learning for predicting and classifying traffic flows from first packet data
US10892978B2 (en) * 2017-02-06 2021-01-12 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows from first packet data
US10771394B2 (en) 2017-02-06 2020-09-08 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows on a first packet from DNS data
US11212210B2 (en) 2017-09-21 2021-12-28 Silver Peak Systems, Inc. Selective route exporting using source type
US10637721B2 (en) 2018-03-12 2020-04-28 Silver Peak Systems, Inc. Detecting path break conditions while minimizing network overhead

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01152831A (ja) 1987-12-10 1989-06-15 Mitsubishi Electric Corp 暗号通信処理装置
JPH09149023A (ja) 1995-11-24 1997-06-06 Matsushita Electric Ind Co Ltd 情報通信処理装置および情報通信処理方法
JP3627384B2 (ja) * 1996-01-17 2005-03-09 富士ゼロックス株式会社 ソフトウェアの保護機能付き情報処理装置及びソフトウェアの保護機能付き情報処理方法
JP2982727B2 (ja) * 1996-08-15 1999-11-29 日本電気株式会社 認証方法
JPH10303965A (ja) * 1997-04-23 1998-11-13 Nec Commun Syst Ltd ルータ装置に於けるルーティング方式
US6032190A (en) * 1997-10-03 2000-02-29 Ascend Communications, Inc. System and method for processing data packets
US6223172B1 (en) * 1997-10-31 2001-04-24 Nortel Networks Limited Address routing using address-sensitive mask decimation scheme
US6295604B1 (en) * 1998-05-26 2001-09-25 Intel Corporation Cryptographic packet processing unit
JP4110671B2 (ja) * 1999-05-27 2008-07-02 株式会社日立製作所 データ転送装置
US6665297B1 (en) * 1999-12-09 2003-12-16 Mayan Networks Corporation Network routing table

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099324B2 (en) 1999-12-08 2006-08-29 Nec Corporation System and method for processing packets
JP2009217841A (ja) * 2001-03-27 2009-09-24 Fujitsu Ltd パケット中継処理装置
JP4686531B2 (ja) * 2001-09-24 2011-05-25 エリクソン インコーポレイテッド パケット処理の装置と方法
JP2008086048A (ja) * 2001-09-24 2008-04-10 Ericsson Inc パケット処理の装置と方法
US7693154B2 (en) 2002-10-29 2010-04-06 Fujitsu Limited Transmitter and method of transmission
US7221759B2 (en) 2003-03-27 2007-05-22 Eastman Kodak Company Projector with enhanced security camcorder defeat
JP2006074780A (ja) * 2004-09-02 2006-03-16 Internatl Business Mach Corp <Ibm> 待ち時間の少ないデータ暗号解除インターフェース
CN100413283C (zh) * 2004-09-21 2008-08-20 北京锐安科技有限公司 基于连接对的流量均衡处理方法与装置
JP2006180162A (ja) * 2004-12-22 2006-07-06 Nec Corp パケット交換装置およびパケット交換方法
WO2010103909A1 (ja) 2009-03-09 2010-09-16 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
US8605734B2 (en) 2009-03-09 2013-12-10 Nec Corporation OpenFlow communication system and OpenFlow communication method
WO2010116606A1 (ja) * 2009-03-30 2010-10-14 日本電気株式会社 通信フロー制御システム、通信フロー制御方法及び通信フロー処理プログラム
US9635119B2 (en) 2009-03-30 2017-04-25 Nec Corporation Communication flow control system, communication flow control method, and communication flow processing program
US10084714B2 (en) 2009-03-30 2018-09-25 Nec Corporation Communication flow control system, communication flow control method, and communication flow processing program
WO2013150925A1 (ja) 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法
US10965644B2 (en) 2017-06-23 2021-03-30 Denso Corporation Network switch

Also Published As

Publication number Publication date
US6839346B1 (en) 2005-01-04

Similar Documents

Publication Publication Date Title
JP2000295274A (ja) パケット交換装置
US6970446B2 (en) Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network
US7587587B2 (en) Data path security processing
EP1427164B1 (en) Tagging mechanism for data path security processing
US7961733B2 (en) Method and apparatus for performing network processing functions
US7924868B1 (en) Internet protocol (IP) router residing in a processor chipset
US7634650B1 (en) Virtualized shared security engine and creation of a protected zone
US7548532B2 (en) Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network
US8094670B1 (en) Method and apparatus for performing network processing functions
WO2015058698A1 (en) Data forwarding
WO2015058699A1 (en) Data forwarding
US7188250B1 (en) Method and apparatus for performing network processing functions
KR100799305B1 (ko) 다중 암호엔진을 사용하는 고성능 암호화 장치
US11677727B2 (en) Low-latency MACsec authentication
JP2004328359A (ja) パケット処理装置
JP2003069555A (ja) 暗号装置および暗復号処理方法
JP2003198530A (ja) パケット通信装置及び暗号アルゴリズム設定方法
JPS58170155A (ja) パケツト通信方式
JP2023502578A (ja) ドメイン間トラフィックのグループベースのポリシー
Astarloa et al. Secure ethernet point-to-point links for autonomous electronic ballot boxes