JP2000295274A - パケット交換装置 - Google Patents
パケット交換装置Info
- Publication number
- JP2000295274A JP2000295274A JP9814099A JP9814099A JP2000295274A JP 2000295274 A JP2000295274 A JP 2000295274A JP 9814099 A JP9814099 A JP 9814099A JP 9814099 A JP9814099 A JP 9814099A JP 2000295274 A JP2000295274 A JP 2000295274A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- processing
- security
- microprocessor
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】 (修正有)
【課題】 ルーティング処理及びセキュリティ処理にお
けるマイクロプロセッサの負担を軽減して、パケット交
換処理の高速化を実現する。 【解決手段】 IP発信元アドレスとIP宛先アドレス
とをサーチキーとして、ルーティング処理の結果を登録
し、保持するIPフローテーブル17と、パケットを受
信した場合に、IP発信元アドレス及びIP宛先アドレ
スをサーチキーとしてIPフローテーブルを検索16
し、該当IPフローが登録されていた場合、マイクロプ
ロセッサ11によるルーティング処理へ移行することな
く、IPフローに示されるルーティング処理結果に基づ
いて、適切な出力ポートへ転送するパケット処理実行手
段14と、ネットワークインタフェースと接続され、受
け取ったパケットに対し下位レイヤの処理を実行し送出
する下位レイヤ処理手段20を備える。
けるマイクロプロセッサの負担を軽減して、パケット交
換処理の高速化を実現する。 【解決手段】 IP発信元アドレスとIP宛先アドレス
とをサーチキーとして、ルーティング処理の結果を登録
し、保持するIPフローテーブル17と、パケットを受
信した場合に、IP発信元アドレス及びIP宛先アドレ
スをサーチキーとしてIPフローテーブルを検索16
し、該当IPフローが登録されていた場合、マイクロプ
ロセッサ11によるルーティング処理へ移行することな
く、IPフローに示されるルーティング処理結果に基づ
いて、適切な出力ポートへ転送するパケット処理実行手
段14と、ネットワークインタフェースと接続され、受
け取ったパケットに対し下位レイヤの処理を実行し送出
する下位レイヤ処理手段20を備える。
Description
【0001】
【発明の属する技術分野】本発明は、パケット通信ネッ
トワークにおいて用いられるパケット交換装置に関し、
特にマイクロプロセッサの負担を軽減してルーティング
処理の高速化を図ったパケット交換装置に関する。
トワークにおいて用いられるパケット交換装置に関し、
特にマイクロプロセッサの負担を軽減してルーティング
処理の高速化を図ったパケット交換装置に関する。
【0002】
【従来の技術】インターネットに代表されるパケット通
信ネットワークでは、パケット単位でデータの伝送が行
われる。パケットにはデータの発信元や宛先のアドレス
等に関する情報を含むヘッダが付されており、ルータ等
のパケット交換装置が、当該ヘッダ部分のアドレス情報
に基づき、パケット単位で適切なネットワークへと転送
する。
信ネットワークでは、パケット単位でデータの伝送が行
われる。パケットにはデータの発信元や宛先のアドレス
等に関する情報を含むヘッダが付されており、ルータ等
のパケット交換装置が、当該ヘッダ部分のアドレス情報
に基づき、パケット単位で適切なネットワークへと転送
する。
【0003】従来、パケットのルーティング処理は、パ
ケット単位でのルーティング処理という仕組みのため、
ソフトウェアで実装されることが多かった。パケットの
ルーティング処理を実行する従来のパケット交換装置の
構成を図9に示す。図9に示すパケット交換装置は、デ
ータリンク層以下の処理をハードウェアで実行する下位
レイヤ処理部110と、マイクロプロセッサ101、マ
イクロプロセッサ101上のソフトウェアやルーティン
グ情報を格納するためのメインメモリ102、受信した
パケットを格納しておくパケットメモリ105、および
下位レイヤ処理部110とパケットメモリ105の間で
パケットデータを転送するためのDMAコントローラ1
12を備える。
ケット単位でのルーティング処理という仕組みのため、
ソフトウェアで実装されることが多かった。パケットの
ルーティング処理を実行する従来のパケット交換装置の
構成を図9に示す。図9に示すパケット交換装置は、デ
ータリンク層以下の処理をハードウェアで実行する下位
レイヤ処理部110と、マイクロプロセッサ101、マ
イクロプロセッサ101上のソフトウェアやルーティン
グ情報を格納するためのメインメモリ102、受信した
パケットを格納しておくパケットメモリ105、および
下位レイヤ処理部110とパケットメモリ105の間で
パケットデータを転送するためのDMAコントローラ1
12を備える。
【0004】図9に示すように構成された従来のルータ
においてパケットを受信すると、DMAコントローラ1
12が、一旦、受信した当該パケットを下位レイヤ処理
部110からパケットメモリ105に転送しておく。こ
の後、マイクロプロセッサ101が、プロセッサバス1
03を経由してパケットメモリ105上のパケットをメ
インメモリ102にコピーする。そして、ソフトウェア
制御によりルーティング処理を行い、当該処理によって
MACヘッダを付替えたパケットを、再びパケットメモ
リ105にコピーする。次に、DMAコントローラ11
2が、当該処理済パケットを出力物理ポートに接続する
下位レイヤ処理部110へと転送し、下位レイヤ処理部
110による処理の後にネットワークへと送信される。
においてパケットを受信すると、DMAコントローラ1
12が、一旦、受信した当該パケットを下位レイヤ処理
部110からパケットメモリ105に転送しておく。こ
の後、マイクロプロセッサ101が、プロセッサバス1
03を経由してパケットメモリ105上のパケットをメ
インメモリ102にコピーする。そして、ソフトウェア
制御によりルーティング処理を行い、当該処理によって
MACヘッダを付替えたパケットを、再びパケットメモ
リ105にコピーする。次に、DMAコントローラ11
2が、当該処理済パケットを出力物理ポートに接続する
下位レイヤ処理部110へと転送し、下位レイヤ処理部
110による処理の後にネットワークへと送信される。
【0005】以上のように、従来のパケット交換装置
は、全ての受信パケットに対するルーティング処理を、
ソフトウェア制御によりマイクロプロセッサ101が行
うため、ネットワーク速度はマイクロプロセッサ101
自身の性能に依存していた。
は、全ての受信パケットに対するルーティング処理を、
ソフトウェア制御によりマイクロプロセッサ101が行
うため、ネットワーク速度はマイクロプロセッサ101
自身の性能に依存していた。
【0006】ところで、パケット通信方式は、回線交換
方式に比べデータのセキュリティが弱いことが従来から
指摘されている。また、近年のインターネットの急激な
普及により、パケット通信におけるセキュリティ対策が
急務となった。そこで、ネットワークレイヤでのセキュ
リティ対策として、IPパケットデータを暗号化する方
式(IPsec)が標準化された。従来のパケット交換
装置においては、当該IPsecによるパケットデータ
の暗号化/復号化処理もマイクロプロセッサ101が全
て行っていた。
方式に比べデータのセキュリティが弱いことが従来から
指摘されている。また、近年のインターネットの急激な
普及により、パケット通信におけるセキュリティ対策が
急務となった。そこで、ネットワークレイヤでのセキュ
リティ対策として、IPパケットデータを暗号化する方
式(IPsec)が標準化された。従来のパケット交換
装置においては、当該IPsecによるパケットデータ
の暗号化/復号化処理もマイクロプロセッサ101が全
て行っていた。
【0007】
【発明が解決しようとする課題】上述したように、従来
のパケット交換装置は、全ての受信パケットに対するル
ーティング処理を、ソフトウェア制御によりマイクロプ
ロセッサが行っていたため、ネットワーク速度はマイク
ロプロセッサ自身の性能に依存していた。したがって、
通信トラヒックの増加やネットワーク速度の高速化の要
請に対して、マイクロプロセッサの性能による限界があ
るという欠点があった。
のパケット交換装置は、全ての受信パケットに対するル
ーティング処理を、ソフトウェア制御によりマイクロプ
ロセッサが行っていたため、ネットワーク速度はマイク
ロプロセッサ自身の性能に依存していた。したがって、
通信トラヒックの増加やネットワーク速度の高速化の要
請に対して、マイクロプロセッサの性能による限界があ
るという欠点があった。
【0008】図9に示したパケット交換装置において、
パケットメモリ105とメインメモリ102とを同一の
メモリ素子にて構成することにより、メモリ間のデータ
転送に要する時間を短縮することが可能である。しか
し、依然としてパケット毎の処理は全てマイクロプロセ
ッサの負荷となるため、処理の高速化に対してマイクロ
プロセッサの性能による限界があるという欠点は解決さ
れない。
パケットメモリ105とメインメモリ102とを同一の
メモリ素子にて構成することにより、メモリ間のデータ
転送に要する時間を短縮することが可能である。しか
し、依然としてパケット毎の処理は全てマイクロプロセ
ッサの負荷となるため、処理の高速化に対してマイクロ
プロセッサの性能による限界があるという欠点は解決さ
れない。
【0009】また、パケット通信におけるセキュリティ
を向上させるため、従来のパケット交換装置に、上述し
たIPsecによるパケットデータの暗号化/復号化処
理を実装する場合、当該処理を実行するためにマイクロ
プロセッサの能力を割かれるため、パケット交換装置に
おける全体的な処理性能が低下し、処理の高速化に対す
る限界をさらに引き下げるという欠点があった。
を向上させるため、従来のパケット交換装置に、上述し
たIPsecによるパケットデータの暗号化/復号化処
理を実装する場合、当該処理を実行するためにマイクロ
プロセッサの能力を割かれるため、パケット交換装置に
おける全体的な処理性能が低下し、処理の高速化に対す
る限界をさらに引き下げるという欠点があった。
【0010】具体的には、上記従来のパケット交換装置
に、IPsec処理を新たに追加した場合、パケットの
データスループットが約10分の1にまで低下する場合
があった。
に、IPsec処理を新たに追加した場合、パケットの
データスループットが約10分の1にまで低下する場合
があった。
【0011】本発明は、上記従来の欠点を解決し、ルー
ティング処理及びセキュリティ処理におけるマイクロプ
ロセッサの負担を軽減することにより、パケット交換処
理の高速化を実現するパケット交換装置を提供すること
にある。
ティング処理及びセキュリティ処理におけるマイクロプ
ロセッサの負担を軽減することにより、パケット交換処
理の高速化を実現するパケット交換装置を提供すること
にある。
【0012】
【課題を解決するための手段】上記の目的を達成する本
発明は、パケット通信ネットワークに用いられ、パケッ
ト単位でルーティング処理を実行しパケット転送を行う
パケット交換装置において、ソフトウェア制御により受
信パケットのルーティング処理を行うマイクロプロセッ
サと、前記マイクロプロセッサによりルーティング処理
がなされたパケットに関して、IP発信元アドレスとI
P宛先アドレスとをサーチキーとして、ルーティング処
理の結果を登録し、保持するIPフローテーブルと、パ
ケットを受信した場合に、該受信パケットのIP発信元
アドレス及びIP宛先アドレスをサーチキーとして前記
IPフローテーブルを検索し、検索の結果、該当するI
Pフローが登録されていた場合、前記マイクロプロセッ
サによるルーティング処理へ移行することなく、該IP
フローに示されるルーティング処理結果に基づいて、該
パケットを適切な出力ポートへ転送するパケット処理実
行手段と、ネットワークインタフェースと接続され、受
信したパケットに対して下位レイヤの処理を実行して前
記パケット手段に転送し、前記パケット手段から受け取
ったパケットに対して下位レイヤの処理を実行してネッ
トワークへ送出する下位レイヤ処理手段とを備えること
を特徴とする。
発明は、パケット通信ネットワークに用いられ、パケッ
ト単位でルーティング処理を実行しパケット転送を行う
パケット交換装置において、ソフトウェア制御により受
信パケットのルーティング処理を行うマイクロプロセッ
サと、前記マイクロプロセッサによりルーティング処理
がなされたパケットに関して、IP発信元アドレスとI
P宛先アドレスとをサーチキーとして、ルーティング処
理の結果を登録し、保持するIPフローテーブルと、パ
ケットを受信した場合に、該受信パケットのIP発信元
アドレス及びIP宛先アドレスをサーチキーとして前記
IPフローテーブルを検索し、検索の結果、該当するI
Pフローが登録されていた場合、前記マイクロプロセッ
サによるルーティング処理へ移行することなく、該IP
フローに示されるルーティング処理結果に基づいて、該
パケットを適切な出力ポートへ転送するパケット処理実
行手段と、ネットワークインタフェースと接続され、受
信したパケットに対して下位レイヤの処理を実行して前
記パケット手段に転送し、前記パケット手段から受け取
ったパケットに対して下位レイヤの処理を実行してネッ
トワークへ送出する下位レイヤ処理手段とを備えること
を特徴とする。
【0013】請求項2に記載の本発明のパケット交換装
置は、パケットの暗号化処理及び復号化処理を専用のハ
ードウェアによって行うセキュリティ処理手段をさらに
備え、前記マイクロプロセッサが、所定の規則に基づい
てパケットを暗号化または復号化すべきと判断した場合
に、セキュリティ情報として暗号化または復号化の処理
方式及び該処理に要する暗号鍵を決定して、前記セキュ
リティ処理手段に通知し、前記セキュリティ処理手段
が、前記マイクロプロセッサから受け取ったセキュリテ
ィ情報に基づいてパケットの暗号化処理または復号化処
理を実行することを特徴とする。
置は、パケットの暗号化処理及び復号化処理を専用のハ
ードウェアによって行うセキュリティ処理手段をさらに
備え、前記マイクロプロセッサが、所定の規則に基づい
てパケットを暗号化または復号化すべきと判断した場合
に、セキュリティ情報として暗号化または復号化の処理
方式及び該処理に要する暗号鍵を決定して、前記セキュ
リティ処理手段に通知し、前記セキュリティ処理手段
が、前記マイクロプロセッサから受け取ったセキュリテ
ィ情報に基づいてパケットの暗号化処理または復号化処
理を実行することを特徴とする。
【0014】請求項3に記載の本発明のパケット交換装
置は、前記IPフローテーブルが、前記ルーティング処
理の結果に加えて、前記マイクロプロセッサによって決
定された前記セキュリティ情報を登録し、前記パケット
処理実行手段が、前記受信パケットのIP発信元アドレ
ス及びIP宛先アドレスをサーチキーとして前記IPフ
ローテーブルを検索した結果、該当するIPフローが登
録されておりかつ該IPフローエントリに前記セキュリ
ティ情報が登録されていた場合に、前記マイクロプロセ
ッサによる前記セキュリティ情報の取得処理へ移行する
ことなく、該IPフローに示される前記セキュリティ情
報と共に前記受信パケットを前記セキュリティ処理手段
に送り、前記セキュリティ処理手段が、前記パケット処
理実行手段から受け取ったセキュリティ情報に基づいて
パケットの暗号化処理または復号化処理を実行すること
を特徴とする。
置は、前記IPフローテーブルが、前記ルーティング処
理の結果に加えて、前記マイクロプロセッサによって決
定された前記セキュリティ情報を登録し、前記パケット
処理実行手段が、前記受信パケットのIP発信元アドレ
ス及びIP宛先アドレスをサーチキーとして前記IPフ
ローテーブルを検索した結果、該当するIPフローが登
録されておりかつ該IPフローエントリに前記セキュリ
ティ情報が登録されていた場合に、前記マイクロプロセ
ッサによる前記セキュリティ情報の取得処理へ移行する
ことなく、該IPフローに示される前記セキュリティ情
報と共に前記受信パケットを前記セキュリティ処理手段
に送り、前記セキュリティ処理手段が、前記パケット処
理実行手段から受け取ったセキュリティ情報に基づいて
パケットの暗号化処理または復号化処理を実行すること
を特徴とする。
【0015】請求項4に記載の本発明のパケット交換装
置は、前記マイクロプロセッサと前記パケット処理実行
手段とがプロセッサバスを介して接続されており、前記
パケット処理実行手段と前記下位レイヤ処理手段とが所
定のスイッチファブリックを介して接続されており、か
つ前記セキュリティ処理手段が前記下位レイヤ処理手段
と同一のスイッチファブリックに接続されていることを
特徴とする。
置は、前記マイクロプロセッサと前記パケット処理実行
手段とがプロセッサバスを介して接続されており、前記
パケット処理実行手段と前記下位レイヤ処理手段とが所
定のスイッチファブリックを介して接続されており、か
つ前記セキュリティ処理手段が前記下位レイヤ処理手段
と同一のスイッチファブリックに接続されていることを
特徴とする。
【0016】請求項5に記載の本発明のパケット交換装
置は、前記パケット処理実行手段が、前記セキュリティ
処理手段により暗号化処理を施されるパケットを、該パ
ケットを転送先のパケット装置との間で用いられる通信
パケットでカプセル化することを特徴とする。
置は、前記パケット処理実行手段が、前記セキュリティ
処理手段により暗号化処理を施されるパケットを、該パ
ケットを転送先のパケット装置との間で用いられる通信
パケットでカプセル化することを特徴とする。
【0017】請求項6に記載の本発明のパケット交換装
置は、パケット通信ネットワークに用いられ、パケット
単位でルーティング処理を実行しパケット転送を行うパ
ケット交換装置において、ソフトウェア制御により受信
パケットのルーティング処理を行うマイクロプロセッサ
と、パケットの暗号化処理及び復号化処理を専用のハー
ドウェアによって行うセキュリティ処理手段と、ネット
ワークインタフェースと接続され、パケットの送受信を
行うと共に、受信したパケット及び送信するパケットに
対して下位レイヤの処理を実行する下位レイヤ処理手段
とを備え、前記マイクロプロセッサが、所定の規則に基
づいてパケットを暗号化または復号化すべきと判断した
場合に、セキュリティ情報として暗号化または復号化の
処理方式及び該処理に要する暗号鍵を決定して、前記セ
キュリティ処理手段に通知し、前記セキュリティ処理手
段が、前記マイクロプロセッサから受け取ったセキュリ
ティ情報に基づいてパケットの暗号化処理または復号化
処理を実行することを特徴とする。
置は、パケット通信ネットワークに用いられ、パケット
単位でルーティング処理を実行しパケット転送を行うパ
ケット交換装置において、ソフトウェア制御により受信
パケットのルーティング処理を行うマイクロプロセッサ
と、パケットの暗号化処理及び復号化処理を専用のハー
ドウェアによって行うセキュリティ処理手段と、ネット
ワークインタフェースと接続され、パケットの送受信を
行うと共に、受信したパケット及び送信するパケットに
対して下位レイヤの処理を実行する下位レイヤ処理手段
とを備え、前記マイクロプロセッサが、所定の規則に基
づいてパケットを暗号化または復号化すべきと判断した
場合に、セキュリティ情報として暗号化または復号化の
処理方式及び該処理に要する暗号鍵を決定して、前記セ
キュリティ処理手段に通知し、前記セキュリティ処理手
段が、前記マイクロプロセッサから受け取ったセキュリ
ティ情報に基づいてパケットの暗号化処理または復号化
処理を実行することを特徴とする。
【0018】請求項7に記載の本発明のパケット交換装
置は、前記マイクロプロセッサと前記下位レイヤ処理手
段とが所定のスイッチファブリックを介して接続されて
おり、かつ前記セキュリティ処理手段が前記下位レイヤ
処理手段と同一のスイッチファブリックに接続されてい
ることを特徴とする。
置は、前記マイクロプロセッサと前記下位レイヤ処理手
段とが所定のスイッチファブリックを介して接続されて
おり、かつ前記セキュリティ処理手段が前記下位レイヤ
処理手段と同一のスイッチファブリックに接続されてい
ることを特徴とする。
【0019】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して詳細に説明する。
て図面を参照して詳細に説明する。
【0020】図1は、本発明の一実施形態によるパケッ
ト交換装置の構成を示すブロック図である。図1を参照
すると、本実施形態のパケット交換装置は、マイクロプ
ロセッサ11と、メインメモリ12と、マイクロプロセ
ッサ11とメインメモリ12やその他の周辺処理部とを
接続するためのプロセッサバス13と、マイクロプロセ
ッサ11に代わってパケット処理を実行するためのパケ
ット処理部14、パケットメモリ15、サーチ処理部1
6及びIPフローテーブル17と、パケットの暗号化/
符号化処理を行うセキュリティ処理部19と、下位レイ
ヤ処理部20と、パケット処理部14とセキュリティ処
理部19と下位レイヤ処理部20とを相互に接続するた
めのスイッチファブリック18とを備える。なお、図1
には、本発明における特徴的な構成のみを記載し、他の
一般的な構成については記載を省略してある。
ト交換装置の構成を示すブロック図である。図1を参照
すると、本実施形態のパケット交換装置は、マイクロプ
ロセッサ11と、メインメモリ12と、マイクロプロセ
ッサ11とメインメモリ12やその他の周辺処理部とを
接続するためのプロセッサバス13と、マイクロプロセ
ッサ11に代わってパケット処理を実行するためのパケ
ット処理部14、パケットメモリ15、サーチ処理部1
6及びIPフローテーブル17と、パケットの暗号化/
符号化処理を行うセキュリティ処理部19と、下位レイ
ヤ処理部20と、パケット処理部14とセキュリティ処
理部19と下位レイヤ処理部20とを相互に接続するた
めのスイッチファブリック18とを備える。なお、図1
には、本発明における特徴的な構成のみを記載し、他の
一般的な構成については記載を省略してある。
【0021】上記構成において、マイクロプロセッサ1
1は、ソフトウェア制御によりパケット交換装置全体の
制御を行うと共に、受信パケットの転送先を決めるルー
ティング処理や、必要に応じてパケットデータに対する
暗号化または復号化の必要性を判断する処理を行う。
1は、ソフトウェア制御によりパケット交換装置全体の
制御を行うと共に、受信パケットの転送先を決めるルー
ティング処理や、必要に応じてパケットデータに対する
暗号化または復号化の必要性を判断する処理を行う。
【0022】メインメモリ12は、マイクロプロセッサ
11を制御するソフトウェアや、所定の処理を行う際に
当該処理に関わる各種データを格納する。
11を制御するソフトウェアや、所定の処理を行う際に
当該処理に関わる各種データを格納する。
【0023】パケット処理部14は、ネットワークイン
タフェースから受信したパケットに対して、IPヘッダ
処理や出力先ネットワークインタフェースへの転送処理
を行う。ここで、IPヘッダ処理とは、パケットに付加
されているヘッダからIP宛先アドレスやIP発信元ア
ドレスを抽出する処理、マイクロプロセッサ11による
ルーティング処理によって決定されたMACアドレスに
応じて新しいMACヘッダを生成する処理等を含む。
タフェースから受信したパケットに対して、IPヘッダ
処理や出力先ネットワークインタフェースへの転送処理
を行う。ここで、IPヘッダ処理とは、パケットに付加
されているヘッダからIP宛先アドレスやIP発信元ア
ドレスを抽出する処理、マイクロプロセッサ11による
ルーティング処理によって決定されたMACアドレスに
応じて新しいMACヘッダを生成する処理等を含む。
【0024】また、パケット処理部14は、パケットヘ
ッダから抽出したサーチキーによりサーチ処理部16を
制御してIPフローテーブル17を検索させたり、IP
フローテーブル17に新しいIPフローを仮登録させた
りする。また、サーチ処理部16によるIPフローテー
ブル17の検索結果に応じて、取得した出力物理ポート
やMACアドレスに基づき、該当パケットのIPヘッダ
処理を行う。
ッダから抽出したサーチキーによりサーチ処理部16を
制御してIPフローテーブル17を検索させたり、IP
フローテーブル17に新しいIPフローを仮登録させた
りする。また、サーチ処理部16によるIPフローテー
ブル17の検索結果に応じて、取得した出力物理ポート
やMACアドレスに基づき、該当パケットのIPヘッダ
処理を行う。
【0025】パケットメモリ15は、マイクロプロセッ
サ11やパケット処理部14による処理のために受信パ
ケットを一時的に格納する。また、マイクロプロセッサ
11がルーティング処理を行う際に処理結果を待つパケ
ットを登録するプロセッサ処理結果待ちキューを有す
る。
サ11やパケット処理部14による処理のために受信パ
ケットを一時的に格納する。また、マイクロプロセッサ
11がルーティング処理を行う際に処理結果を待つパケ
ットを登録するプロセッサ処理結果待ちキューを有す
る。
【0026】サーチ処理部16は、パケット処理部14
からの指示にしたがって、IPフローテーブル17を検
索し、登録されている該当パケットに関するルーティン
グ処理の結果をパケット処理部14に返す。また、パケ
ット処理部14からの指示に対応するIPフローエント
リが存在しない場合、当該指示に基づいてIPフローの
仮登録を行う。さらに、マイクロプロセッサ11による
ルーティング処理の結果を受け取って、仮登録のIPフ
ローエントリに格納し、当該IPフローを正式登録す
る。
からの指示にしたがって、IPフローテーブル17を検
索し、登録されている該当パケットに関するルーティン
グ処理の結果をパケット処理部14に返す。また、パケ
ット処理部14からの指示に対応するIPフローエント
リが存在しない場合、当該指示に基づいてIPフローの
仮登録を行う。さらに、マイクロプロセッサ11による
ルーティング処理の結果を受け取って、仮登録のIPフ
ローエントリに格納し、当該IPフローを正式登録す
る。
【0027】IPフローテーブル17は、IP発信元ア
ドレスとIP宛先アドレスとをサーチキーとして、マイ
クロプロセッサ11によるルーティング処理の結果であ
るIPフローを格納したテーブルである。図2にIPフ
ローテーブル17の例を示す。図2を参照すると、IP
フローテーブル17には、IPフローエントリごとに、
サーチキーであるIP発信元アドレス及びIP宛先アド
レスと、ルーティング処理の結果であるMAC発信元ア
ドレス、MAC宛先アドレス及び出力物理ポートのポー
ト番号とが登録されている。また、必要に応じて、後述
するセキュリティ情報が格納されている。
ドレスとIP宛先アドレスとをサーチキーとして、マイ
クロプロセッサ11によるルーティング処理の結果であ
るIPフローを格納したテーブルである。図2にIPフ
ローテーブル17の例を示す。図2を参照すると、IP
フローテーブル17には、IPフローエントリごとに、
サーチキーであるIP発信元アドレス及びIP宛先アド
レスと、ルーティング処理の結果であるMAC発信元ア
ドレス、MAC宛先アドレス及び出力物理ポートのポー
ト番号とが登録されている。また、必要に応じて、後述
するセキュリティ情報が格納されている。
【0028】スイッチファブリック18は、複数のネッ
トワークインタフェースと個別に接続された複数の下位
レイヤ処理部20と、パケット処理部14と、セキュリ
ティ処理部19とを相互に接続する。スイッチファブリ
ック18としては、接続された各ユニット間のデータ転
送時の調停機能やアドレッシング機能を持っていれば何
でも良く、単純なTri−stateバス、リングバ
ス、クロスバススイッチなど実現手段は問わない。ま
た、スイッチファブリック18の構成をトークンリング
バス構成としても良い。
トワークインタフェースと個別に接続された複数の下位
レイヤ処理部20と、パケット処理部14と、セキュリ
ティ処理部19とを相互に接続する。スイッチファブリ
ック18としては、接続された各ユニット間のデータ転
送時の調停機能やアドレッシング機能を持っていれば何
でも良く、単純なTri−stateバス、リングバ
ス、クロスバススイッチなど実現手段は問わない。ま
た、スイッチファブリック18の構成をトークンリング
バス構成としても良い。
【0029】セキュリティ処理部19は、マイクロプロ
セッサ11によるソフトウェア処理に基づき、必要に応
じて、パケット毎に暗号化/復号化処理を実行する。
セッサ11によるソフトウェア処理に基づき、必要に応
じて、パケット毎に暗号化/復号化処理を実行する。
【0030】下位レイヤ処理部20は、物理的なネット
ワークインタフェースと接続され、データリンク層(O
SI7レイヤモデルの第2層)以下の処理を実行し、ス
イッチファブリック18を介してパケット処理部14と
の間でパケットの送受信を行う。
ワークインタフェースと接続され、データリンク層(O
SI7レイヤモデルの第2層)以下の処理を実行し、ス
イッチファブリック18を介してパケット処理部14と
の間でパケットの送受信を行う。
【0031】以上、本実施形態の構成を説明したが、実
際には、本実施形態のパケット交換装置は上記各構成要
素の機能を実現する各種の回路にて構成され、例えば、
上記各構成要素を内包する半導体集積回路にて構成して
も良い。
際には、本実施形態のパケット交換装置は上記各構成要
素の機能を実現する各種の回路にて構成され、例えば、
上記各構成要素を内包する半導体集積回路にて構成して
も良い。
【0032】次に、図3乃至図7のフローチャートを参
照して本実施形態の動作について説明する。図3は、本
実施形態によるパケット処理の主要な流れを示すフロー
チャートである。図4は、マイクロプロセッサ11によ
るルーティング処理の流れを示すフローチャートであ
る。図5乃至図7は、セキュリティ処理を伴う場合の本
実施形態によるパケット処理の流れを示すフローチャー
トである。
照して本実施形態の動作について説明する。図3は、本
実施形態によるパケット処理の主要な流れを示すフロー
チャートである。図4は、マイクロプロセッサ11によ
るルーティング処理の流れを示すフローチャートであ
る。図5乃至図7は、セキュリティ処理を伴う場合の本
実施形態によるパケット処理の流れを示すフローチャー
トである。
【0033】本実施形態のパケット交換装置は、インタ
ーネットに代表されるパケット通信のネットワークレイ
ヤの処理を行う装置であるため、ネットワークインタフ
ェースより受信したパケットのヘッダを解析し、その宛
先アドレス(IP宛先アドレス)に基づくルーティング
処理を行い、その結果にしたがって出力先のネットワー
クインタフェースへパケットを転送する動作が基本とな
る。加えて、本実施形態では、受信パケットのルーティ
ング処理の際にIP宛先アドレスとIP発信元アドレス
に基づき、必要に応じて、パケット単位にデータの暗号
化/復号化等のセキュリティ処理を併せて実行する。し
たがって、以下の動作の説明では、先に通常のセキュリ
ティ処理を実施しない場合の動作について説明し、次に
セキュリティ処理を実行する場合の動作を説明する。
ーネットに代表されるパケット通信のネットワークレイ
ヤの処理を行う装置であるため、ネットワークインタフ
ェースより受信したパケットのヘッダを解析し、その宛
先アドレス(IP宛先アドレス)に基づくルーティング
処理を行い、その結果にしたがって出力先のネットワー
クインタフェースへパケットを転送する動作が基本とな
る。加えて、本実施形態では、受信パケットのルーティ
ング処理の際にIP宛先アドレスとIP発信元アドレス
に基づき、必要に応じて、パケット単位にデータの暗号
化/復号化等のセキュリティ処理を併せて実行する。し
たがって、以下の動作の説明では、先に通常のセキュリ
ティ処理を実施しない場合の動作について説明し、次に
セキュリティ処理を実行する場合の動作を説明する。
【0034】図3を参照すると、まず、パケット交換装
置の外部のネットワークと接続された下位レイヤ処理部
20に外部装置からパケットが到着すると(ステップ3
01)、当該下位レイヤ処理部20は、レイヤ2以下の
パケット処理、すなわちデータの同期確立、下位レイヤ
ヘッダ(MACヘッダ等)の検証、CRCの検算等を実
行する(ステップ302)。そして、下位レイヤの処理
を終えたパケットを、スイッチファブリック18を経由
してパケット処理部14へと転送する。
置の外部のネットワークと接続された下位レイヤ処理部
20に外部装置からパケットが到着すると(ステップ3
01)、当該下位レイヤ処理部20は、レイヤ2以下の
パケット処理、すなわちデータの同期確立、下位レイヤ
ヘッダ(MACヘッダ等)の検証、CRCの検算等を実
行する(ステップ302)。そして、下位レイヤの処理
を終えたパケットを、スイッチファブリック18を経由
してパケット処理部14へと転送する。
【0035】パケット処理部14は、転送された受信パ
ケットを受け取ると、まず当該パケットをパケットメモ
リ15に格納する。そして、当該パケットのパケットヘ
ッダからIP宛先アドレスやIP発信元アドレス等を抽
出し、これらからIPフローテーブル17を検索するた
めのサーチキーを作成する(ステップ303)。次に、
パケット処理部14は、作成したサーチキーをサーチ処
理部16へ送り、IPフローテーブル17の検索を指示
する。
ケットを受け取ると、まず当該パケットをパケットメモ
リ15に格納する。そして、当該パケットのパケットヘ
ッダからIP宛先アドレスやIP発信元アドレス等を抽
出し、これらからIPフローテーブル17を検索するた
めのサーチキーを作成する(ステップ303)。次に、
パケット処理部14は、作成したサーチキーをサーチ処
理部16へ送り、IPフローテーブル17の検索を指示
する。
【0036】サーチ処理部16は、パケット処理部14
から受け取ったサーチキーを用いてIPフローテーブル
17の検索を行い、その結果をパケット処理部14に通
知する(ステップ304)。サーチ処理部16による検
索の結果、IPフローテーブル17に受信したパケット
に相当するIPフローが登録されている場合、すなわ
ち、マイクロプロセッサ11により当該IPフローに対
応するパケットに対するルーティング処理が既に行われ
ていた場合は、パケット処理部14は、サーチ処理部1
6から検索結果(図2に示すIPフローテーブル17で
はMAC発信元アドレス、MAC宛先アドレス及び出力
物理ポートのポート番号)を受け取り、当該情報に基づ
いて当該パケットのヘッダ処理を行う(ステップ30
5、306)。そして、当該情報が示す出力物理ポート
に接続された下位レイヤ処理部20へ当該パケットを転
送する(ステップ307)。以上の動作により、当該パ
ケットに関しては、ソフトウェア制御によるマイクロプ
ロセッサ11のルーティング処理を行うことなく、パケ
ット処理部14が自律的にパケットの転送を実行するこ
とができる。
から受け取ったサーチキーを用いてIPフローテーブル
17の検索を行い、その結果をパケット処理部14に通
知する(ステップ304)。サーチ処理部16による検
索の結果、IPフローテーブル17に受信したパケット
に相当するIPフローが登録されている場合、すなわ
ち、マイクロプロセッサ11により当該IPフローに対
応するパケットに対するルーティング処理が既に行われ
ていた場合は、パケット処理部14は、サーチ処理部1
6から検索結果(図2に示すIPフローテーブル17で
はMAC発信元アドレス、MAC宛先アドレス及び出力
物理ポートのポート番号)を受け取り、当該情報に基づ
いて当該パケットのヘッダ処理を行う(ステップ30
5、306)。そして、当該情報が示す出力物理ポート
に接続された下位レイヤ処理部20へ当該パケットを転
送する(ステップ307)。以上の動作により、当該パ
ケットに関しては、ソフトウェア制御によるマイクロプ
ロセッサ11のルーティング処理を行うことなく、パケ
ット処理部14が自律的にパケットの転送を実行するこ
とができる。
【0037】下位レイヤ処理部20は、スイッチファブ
リック18を介してパケット処理部14からパケットを
受け取り、下位レイヤ固有の処理、すなわちパケット全
体のCRC演算、及び当該演算結果をパケットに付加す
る処理を行って(ステップ308)、自身が接続されて
いるネットワークインタフェースへ当該パケットを送出
する(ステップ309)。
リック18を介してパケット処理部14からパケットを
受け取り、下位レイヤ固有の処理、すなわちパケット全
体のCRC演算、及び当該演算結果をパケットに付加す
る処理を行って(ステップ308)、自身が接続されて
いるネットワークインタフェースへ当該パケットを送出
する(ステップ309)。
【0038】これに対し、サーチ処理部16による検索
の結果、IPフローテーブル17に受信したパケットに
相当するIPフローが登録されていない場合、パケット
処理部14は、サーチ処理部16に指示してIP宛先ア
ドレス及びIP発信元アドレスをサーチキーとする新し
いIPフローの仮登録を実行させる(ステップ305、
310)。これは、図2のIPフローテーブルにおい
て、サーチキーの項だけが存在するエントリに相当す
る。次に、パケット処理部14は、マイクロプロセッサ
11に対して割り込みを掛けて、マイクロプロセッサ1
1によるルーティング処理へ当該パケットを引き渡す
(ステップ311)。そして、当該パケットをパケット
メモリ15のプロセッサ処理結果待ちのキューに登録し
た後、パケット処理部14は、次のパケットの処理へと
移行する(ステップ312)。
の結果、IPフローテーブル17に受信したパケットに
相当するIPフローが登録されていない場合、パケット
処理部14は、サーチ処理部16に指示してIP宛先ア
ドレス及びIP発信元アドレスをサーチキーとする新し
いIPフローの仮登録を実行させる(ステップ305、
310)。これは、図2のIPフローテーブルにおい
て、サーチキーの項だけが存在するエントリに相当す
る。次に、パケット処理部14は、マイクロプロセッサ
11に対して割り込みを掛けて、マイクロプロセッサ1
1によるルーティング処理へ当該パケットを引き渡す
(ステップ311)。そして、当該パケットをパケット
メモリ15のプロセッサ処理結果待ちのキューに登録し
た後、パケット処理部14は、次のパケットの処理へと
移行する(ステップ312)。
【0039】この後、パケット処理部14は、新たに受
信したパケット処理の合間に、パケットメモリ15のプ
ロセッサ処理結果待ちキューのパケットを調べ、キュー
の先頭に置かれたパケットのサーチキーを作成し、サー
チ処理部16を制御してIPフローテーブル17の検索
を実行する(ステップ313)。後述するように、当該
パケットに対するマイクロプロセッサ11によるルーテ
ィング処理が完了したならば、該当するIPフローエン
トリは正式登録されており、検索結果としてMAC発信
元アドレス、MAC宛先アドレス及び出力物理ポートの
ポート番号が得られる(ステップ314)。そして、パ
ケット処理部14は、得られたMACアドレス及び出力
物理ポートのポート番号に基づいて当該パケットのヘッ
ダ処理を行う(ステップ315)。以下、パケットを下
位レイヤ処理部20へ転送し、下位レイヤ固有の処理の
後、ネットワークインタフェースへ送出する(ステップ
307、308、309)。
信したパケット処理の合間に、パケットメモリ15のプ
ロセッサ処理結果待ちキューのパケットを調べ、キュー
の先頭に置かれたパケットのサーチキーを作成し、サー
チ処理部16を制御してIPフローテーブル17の検索
を実行する(ステップ313)。後述するように、当該
パケットに対するマイクロプロセッサ11によるルーテ
ィング処理が完了したならば、該当するIPフローエン
トリは正式登録されており、検索結果としてMAC発信
元アドレス、MAC宛先アドレス及び出力物理ポートの
ポート番号が得られる(ステップ314)。そして、パ
ケット処理部14は、得られたMACアドレス及び出力
物理ポートのポート番号に基づいて当該パケットのヘッ
ダ処理を行う(ステップ315)。以下、パケットを下
位レイヤ処理部20へ転送し、下位レイヤ固有の処理の
後、ネットワークインタフェースへ送出する(ステップ
307、308、309)。
【0040】この後、同一のIP発信元アドレス及びI
P宛先アドレスを有するパケットを受信した場合は、対
応するIPフローがIPフローテーブル17に登録され
ているため、ステップ305、306及び307の処理
により、当該パケットに関して、ソフトウェア制御によ
るマイクロプロセッサ11のルーティング処理を行うこ
となく、パケット処理部14が自律的にパケットの転送
を実行できることとなる。
P宛先アドレスを有するパケットを受信した場合は、対
応するIPフローがIPフローテーブル17に登録され
ているため、ステップ305、306及び307の処理
により、当該パケットに関して、ソフトウェア制御によ
るマイクロプロセッサ11のルーティング処理を行うこ
となく、パケット処理部14が自律的にパケットの転送
を実行できることとなる。
【0041】次に、ステップ311により、マイクロプ
ロセッサ11によるルーティング処理へ当該パケットが
引き渡された場合のマイクロプロセッサ11の動作を説
明する。図4を参照すると、マイクロプロセッサ11
は、パケット処理部14からの割り込みに応じてルーテ
ィング処理を開始し、まず、プロセッサバス13及びパ
ケット処理部14を介してパケットメモリ15にアクセ
スする(ステップ401)。そして、パケットメモリ1
5のプロセッサ結果処理待ちキューから、登録されてい
るパケットのヘッダ部分のみを、メインメモリ12へコ
ピーする(ステップ402)。
ロセッサ11によるルーティング処理へ当該パケットが
引き渡された場合のマイクロプロセッサ11の動作を説
明する。図4を参照すると、マイクロプロセッサ11
は、パケット処理部14からの割り込みに応じてルーテ
ィング処理を開始し、まず、プロセッサバス13及びパ
ケット処理部14を介してパケットメモリ15にアクセ
スする(ステップ401)。そして、パケットメモリ1
5のプロセッサ結果処理待ちキューから、登録されてい
るパケットのヘッダ部分のみを、メインメモリ12へコ
ピーする(ステップ402)。
【0042】次に、マイクロプロセッサ11は、コピー
されたパケットヘッダ部のIP宛先アドレスをキーとし
て、メインメモリ12に予め格納されているIPルーテ
ィングテーブル及びARPキャッシュテーブルの検索を
実行する(ステップ403)。そして、パケットの転送
先となる出力物理ポート及びネクストホップのMACア
ドレスを決定する(ステップ404)。そして、これら
一連のルーティング処理結果を、プロセッサバス13及
びサーチ処理部16を介してIPフローテーブル17に
送り、仮登録済みのIPフローエントリの正式登録を行
う(ステップ405)。この動作は、図2に示すIPフ
ローテーブル17の該当エントリに、ルーティング結果
が追記されたことに相当する。
されたパケットヘッダ部のIP宛先アドレスをキーとし
て、メインメモリ12に予め格納されているIPルーテ
ィングテーブル及びARPキャッシュテーブルの検索を
実行する(ステップ403)。そして、パケットの転送
先となる出力物理ポート及びネクストホップのMACア
ドレスを決定する(ステップ404)。そして、これら
一連のルーティング処理結果を、プロセッサバス13及
びサーチ処理部16を介してIPフローテーブル17に
送り、仮登録済みのIPフローエントリの正式登録を行
う(ステップ405)。この動作は、図2に示すIPフ
ローテーブル17の該当エントリに、ルーティング結果
が追記されたことに相当する。
【0043】次に、パケット単位のセキュリティ処理を
伴う場合の本実施形態の動作について説明する。セキュ
リティ処理として、IETF(Internet En
gineering Task Force)で定めら
れたIPsecに対する処理を行う場合を例として説明
する。
伴う場合の本実施形態の動作について説明する。セキュ
リティ処理として、IETF(Internet En
gineering Task Force)で定めら
れたIPsecに対する処理を行う場合を例として説明
する。
【0044】IPsecをルータ等のパケット交換装置
に実装する場合、パケットを転送したい相手先ホストが
所属するネットワークに存在するパケット交換装置との
間で、パケットの暗号化方式や暗号鍵の情報を予め共有
し、そのパケットを当該パケット交換装置間どうしの通
信パケットでカプセル化する方法(トンネルモード)を
使用する。パケットの暗号化方式と暗号鍵の共有は通信
するホスト間で一意であり、したがってパケット交換装
置は、IP宛先アドレスとIP発信元アドレスから、当
該パケットに適用すべき暗号化方式と暗号鍵を決定でき
る。これらの共有情報は当該パケット交換装置どうしの
間で事前に、または必要に応じて確立する必要がある。
本実施形態では、共有情報の確立に付随する処理は全
て、ソフトウェア制御によりマイクロプロセッサ11が
処理する。IPsecトンネルモードによって処理され
たIPパケットの構成を図8に示す。
に実装する場合、パケットを転送したい相手先ホストが
所属するネットワークに存在するパケット交換装置との
間で、パケットの暗号化方式や暗号鍵の情報を予め共有
し、そのパケットを当該パケット交換装置間どうしの通
信パケットでカプセル化する方法(トンネルモード)を
使用する。パケットの暗号化方式と暗号鍵の共有は通信
するホスト間で一意であり、したがってパケット交換装
置は、IP宛先アドレスとIP発信元アドレスから、当
該パケットに適用すべき暗号化方式と暗号鍵を決定でき
る。これらの共有情報は当該パケット交換装置どうしの
間で事前に、または必要に応じて確立する必要がある。
本実施形態では、共有情報の確立に付随する処理は全
て、ソフトウェア制御によりマイクロプロセッサ11が
処理する。IPsecトンネルモードによって処理され
たIPパケットの構成を図8に示す。
【0045】本動作例において、パケット交換装置にパ
ケットが到着してからIPフローがIPフローテーブル
17に仮登録され、マイクロプロセッサ11によるルー
ティング処理へパケットが引き渡されるまでの処理は、
図3に示した通常の動作と同様である(ステップ301
〜305、310、311参照)。
ケットが到着してからIPフローがIPフローテーブル
17に仮登録され、マイクロプロセッサ11によるルー
ティング処理へパケットが引き渡されるまでの処理は、
図3に示した通常の動作と同様である(ステップ301
〜305、310、311参照)。
【0046】図5を参照すると、マイクロプロセッサ1
1は、パケット処理部14からの割り込みに応じてルー
ティング処理を開始し、まず、プロセッサバス13及び
パケット処理部14を介してパケットメモリ15にアク
セスする(ステップ501)。そして、パケットメモリ
15のプロセッサ結果処理待ちキューから、登録されて
いるパケットのヘッダ部分のみを、メインメモリ12へ
コピーする(ステップ502)。
1は、パケット処理部14からの割り込みに応じてルー
ティング処理を開始し、まず、プロセッサバス13及び
パケット処理部14を介してパケットメモリ15にアク
セスする(ステップ501)。そして、パケットメモリ
15のプロセッサ結果処理待ちキューから、登録されて
いるパケットのヘッダ部分のみを、メインメモリ12へ
コピーする(ステップ502)。
【0047】次に、マイクロプロセッサ11は、コピー
されたパケットヘッダ部のIP宛先アドレスを識別する
(ステップ503)。当該パケットが図8に示したよう
なIPsecヘッダを持つパケットであり、かつ当該I
Pアドレスが自装置(パケット交換装置)のIPアドレ
スであるならば、IPsecの復号化対象パケットとし
て認識する(ステップ504)。また、IPアドレスが
自装置のIPアドレスでないならば、IPsecの暗号
化対象パケットとして認識する(ステップ505)。
されたパケットヘッダ部のIP宛先アドレスを識別する
(ステップ503)。当該パケットが図8に示したよう
なIPsecヘッダを持つパケットであり、かつ当該I
Pアドレスが自装置(パケット交換装置)のIPアドレ
スであるならば、IPsecの復号化対象パケットとし
て認識する(ステップ504)。また、IPアドレスが
自装置のIPアドレスでないならば、IPsecの暗号
化対象パケットとして認識する(ステップ505)。
【0048】まず、図6を参照して、IPsec暗号化
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、パケットヘッダ部のI
P宛先アドレスをキーとして、メインメモリ12に予め
格納されているセキュリティ処理に関するテーブル(S
ecurity Policy DatabaseとS
ecurity Association Datab
ase)を検索して、当該パケットを暗号化する必要が
あるか否かを判断する(ステップ601)。暗号化する
必要がないと判断された場合、これ以降の動作は図4に
示した通常のルーティング処理と同一であり、ルーティ
ングテーブル、ARPキャッシュテーブルの検索、検索
結果のIPフローテーブル17への登録を実行する(ス
テップ403〜405参照)。
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、パケットヘッダ部のI
P宛先アドレスをキーとして、メインメモリ12に予め
格納されているセキュリティ処理に関するテーブル(S
ecurity Policy DatabaseとS
ecurity Association Datab
ase)を検索して、当該パケットを暗号化する必要が
あるか否かを判断する(ステップ601)。暗号化する
必要がないと判断された場合、これ以降の動作は図4に
示した通常のルーティング処理と同一であり、ルーティ
ングテーブル、ARPキャッシュテーブルの検索、検索
結果のIPフローテーブル17への登録を実行する(ス
テップ403〜405参照)。
【0049】パケットを暗号化する必要がある場合、マ
イクロプロセッサ11は、セキュリティ処理のテーブル
検索により得られた暗号化方式及び暗号鍵を含むセキュ
リティ情報、セキュリティ情報を識別するインデックス
(SPI)等と、カプセル化するIPパケットのIP宛
先アドレスおよびIP発信元アドレスとを、セキュリテ
ィ処理部19が接続された物理ポートを指すルーティン
グ情報と共に、サーチ処理部16を介してIPフローテ
ーブル17に送り、仮登録済みのIPフローエントリの
正式登録を行う(ステップ602)。この動作は、図2
に示すIPフローテーブル17の該当IPフローエント
リに、出力物理ポートと、セキュリティ情報を登録する
ことに相当する。
イクロプロセッサ11は、セキュリティ処理のテーブル
検索により得られた暗号化方式及び暗号鍵を含むセキュ
リティ情報、セキュリティ情報を識別するインデックス
(SPI)等と、カプセル化するIPパケットのIP宛
先アドレスおよびIP発信元アドレスとを、セキュリテ
ィ処理部19が接続された物理ポートを指すルーティン
グ情報と共に、サーチ処理部16を介してIPフローテ
ーブル17に送り、仮登録済みのIPフローエントリの
正式登録を行う(ステップ602)。この動作は、図2
に示すIPフローテーブル17の該当IPフローエント
リに、出力物理ポートと、セキュリティ情報を登録する
ことに相当する。
【0050】パケット処理部14は、当該IPフローに
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていることからIPsec暗号化対象パケットで
あると判断する。そして、当該パケットをIPフローテ
ーブル17に指定されたIP宛先アドレスとIP発信元
アドレスのパケットでカプセル化し、暗号化方式等のセ
キュリティ情報を当該カプセル化されたパケットに付加
した後、指定された転送先であるセキュリティ処理部1
9へ転送する(ステップ603)。
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていることからIPsec暗号化対象パケットで
あると判断する。そして、当該パケットをIPフローテ
ーブル17に指定されたIP宛先アドレスとIP発信元
アドレスのパケットでカプセル化し、暗号化方式等のセ
キュリティ情報を当該カプセル化されたパケットに付加
した後、指定された転送先であるセキュリティ処理部1
9へ転送する(ステップ603)。
【0051】セキュリティ処理部19は、受け取ったパ
ケットからセキュリティ情報を分離し、得られたセキュ
リティ情報に従って当該パケットをIPsec暗号化処
理した後、再びパケット処理部14へ転送する(ステッ
プ604)。
ケットからセキュリティ情報を分離し、得られたセキュ
リティ情報に従って当該パケットをIPsec暗号化処
理した後、再びパケット処理部14へ転送する(ステッ
プ604)。
【0052】パケット処理部14は、セキュリティ処理
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ605)。この際、パケ
ットは既に新しいIP宛先アドレスとIP発信元アドレ
スでカプセル化されているため、パケット処理部14
は、新しいIPフローとしてIPフローテーブル17へ
仮登録する。
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ605)。この際、パケ
ットは既に新しいIP宛先アドレスとIP発信元アドレ
スでカプセル化されているため、パケット処理部14
は、新しいIPフローとしてIPフローテーブル17へ
仮登録する。
【0053】この後、マイクロプロセッサ11がルーテ
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ606)。当該パケットに関しては、セキュリティ処
理が既に行われていることが判定可能であるため、セキ
ュリティ処理を再実行することはない。
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ606)。当該パケットに関しては、セキュリティ処
理が既に行われていることが判定可能であるため、セキ
ュリティ処理を再実行することはない。
【0054】以上の処理を経た暗号化処理済みのパケッ
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該暗号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて暗
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に暗号化処理
を実行できることとなる。
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該暗号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて暗
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に暗号化処理
を実行できることとなる。
【0055】次に、図7を参照して、IPsec復号化
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、当該パケットのIPs
ecヘッダからSPIを抽出し、これをキーとしてメイ
ンメモリ12のセキュリティ処理のテーブル(Secu
rity Association Databas
e)を検索し、該当する暗号化方式、暗号鍵を得る(ス
テップ701)。次に、マイクロプロセッサ11は、取
得した暗号化方式及び暗号鍵とセキュリティ処理部19
が接続された物理ポートとを、サーチ処理部16を介し
てIPフローテーブル17に送り、仮登録済みのIPフ
ローエントリの正式登録を行う(ステップ702)。
対象パケットに対する処理について説明する。この場
合、マイクロプロセッサ11は、当該パケットのIPs
ecヘッダからSPIを抽出し、これをキーとしてメイ
ンメモリ12のセキュリティ処理のテーブル(Secu
rity Association Databas
e)を検索し、該当する暗号化方式、暗号鍵を得る(ス
テップ701)。次に、マイクロプロセッサ11は、取
得した暗号化方式及び暗号鍵とセキュリティ処理部19
が接続された物理ポートとを、サーチ処理部16を介し
てIPフローテーブル17に送り、仮登録済みのIPフ
ローエントリの正式登録を行う(ステップ702)。
【0056】パケット処理部14は、当該IPフローに
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていること及びIP宛先アドレスが自装置宛であ
ることからIPsec復号化対象パケットであると判断
する。そして、当該パケットに対してIPフローテーブ
ル17で指定された暗号化方式等のセキュリティ情報を
付加した後、指定された転送先であるセキュリティ処理
部19へ転送する(ステップ703)。
属するパケットに関してサーチ処理部16によるIPフ
ローテーブル17の検索を行った際に、暗号化方式が指
定されていること及びIP宛先アドレスが自装置宛であ
ることからIPsec復号化対象パケットであると判断
する。そして、当該パケットに対してIPフローテーブ
ル17で指定された暗号化方式等のセキュリティ情報を
付加した後、指定された転送先であるセキュリティ処理
部19へ転送する(ステップ703)。
【0057】セキュリティ処理部19は、受け取ったパ
ケットからセキュリティ情報を分離し、得られた情報に
従って当該パケットをIPsec復号化処理し、カプセ
ル化されたパケットを分離した後、再びパケット処理部
14へ転送する(ステップ704)。
ケットからセキュリティ情報を分離し、得られた情報に
従って当該パケットをIPsec復号化処理し、カプセ
ル化されたパケットを分離した後、再びパケット処理部
14へ転送する(ステップ704)。
【0058】パケット処理部14は、セキュリティ処理
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ705)。この際、パケ
ットはオリジナルのIP宛先アドレスとIP発信元アド
レスを持つパケットに復号化されているため、パケット
処理部14は新しいIPフローとしてIPフローテーブ
ル17へ仮登録する。
部19から受け取ったパケットを、外部のネットワーク
インタフェースから入力されたパケットと特に区別せ
ず、通常のパケットの様に扱ってIPフローテーブル1
7の検索を実行する(ステップ705)。この際、パケ
ットはオリジナルのIP宛先アドレスとIP発信元アド
レスを持つパケットに復号化されているため、パケット
処理部14は新しいIPフローとしてIPフローテーブ
ル17へ仮登録する。
【0059】この後、マイクロプロセッサ11がルーテ
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ706)。ここで、当該パケットは、自装置のサブネ
ット内のホスト宛であると判定されるため、セキュリテ
ィ処理は実行されない。
ィング処理を行い、処理結果をIPフローテーブル17
へ送ってIPフローエントリの正式登録を行う(ステッ
プ706)。ここで、当該パケットは、自装置のサブネ
ット内のホスト宛であると判定されるため、セキュリテ
ィ処理は実行されない。
【0060】以上の処理を経た復号化処理済みのパケッ
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該復号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて復
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に復号化処理
を実行できることとなる。
トは、これ以降、通常のパケット同様に処理される(図
3、ステップ313〜315、ステップ307〜309
参照)。また、これ以降、当該復号化対象のパケットと
同一のサーチキー(IP発信元アドレス及びIP宛先ア
ドレス)を有するパケットを受信した場合は、対応する
IPフローがIPフローテーブル17に登録されている
ため、当該登録されているセキュリティ情報を用いて復
号化処理を行うことが可能である。したがって、通常の
パケットに対するルーティング処理の省略と同様に、マ
イクロプロセッサ11がセキュリティ情報を取得する処
理を行うことなく、パケットがパケット処理部14から
セキュリティ処理部19へ送られ、自律的に復号化処理
を実行できることとなる。
【0061】以上好ましい実施形態をあげて本発明を説
明したが、本発明は必ずしも上記実施形態に限定される
ものではない。
明したが、本発明は必ずしも上記実施形態に限定される
ものではない。
【0062】例えば、上記の実施形態では、IPsec
の暗号化対象パケットに関して、セキュリティ処理部1
9によりセキュリティ処理を行った後、当該パケットを
パケット処理部14へ戻し、パケット処理部14におい
て通常のパケットと同様に扱うことにより、当該パケッ
トを下位レイヤ処理部20へ転送しているが、このよう
な処理に替えて、以下に示す処理を行っても良い。すな
わち、パケット処理部14が、IPパケットのカプセル
化、MACヘッダの付加とセキュリティ情報を付加した
後、セキュリティ処理部19へと転送する際に、最終的
な出力物理ポートの情報も付加して送出する。セキュリ
ティ処理部19は、パケットと共に受信した出力物理ポ
ート情報やMACヘッダを保存しておき、パケットをI
Psec暗号化処理した後、パケット処理部14を経由
せずに、最終出力物理ポートと接続された下位レイヤ処
理部20へ直接転送する。
の暗号化対象パケットに関して、セキュリティ処理部1
9によりセキュリティ処理を行った後、当該パケットを
パケット処理部14へ戻し、パケット処理部14におい
て通常のパケットと同様に扱うことにより、当該パケッ
トを下位レイヤ処理部20へ転送しているが、このよう
な処理に替えて、以下に示す処理を行っても良い。すな
わち、パケット処理部14が、IPパケットのカプセル
化、MACヘッダの付加とセキュリティ情報を付加した
後、セキュリティ処理部19へと転送する際に、最終的
な出力物理ポートの情報も付加して送出する。セキュリ
ティ処理部19は、パケットと共に受信した出力物理ポ
ート情報やMACヘッダを保存しておき、パケットをI
Psec暗号化処理した後、パケット処理部14を経由
せずに、最終出力物理ポートと接続された下位レイヤ処
理部20へ直接転送する。
【0063】以上のような動作を行うためには、ソフト
ウェア制御によるマイクロプロセッサ11の処理におい
て、通常のルーティング処理と共にカプセル化するIP
パケットのIP宛先アドレスに基づくルーティング処理
も同時に実行し、その結果をIPフローテーブル17に
登録するように変更すれば良い。さらにパケット処理部
14とセキュリティ処理部19による処理も、上記動作
に併せて追加すれば簡単に実現できる。
ウェア制御によるマイクロプロセッサ11の処理におい
て、通常のルーティング処理と共にカプセル化するIP
パケットのIP宛先アドレスに基づくルーティング処理
も同時に実行し、その結果をIPフローテーブル17に
登録するように変更すれば良い。さらにパケット処理部
14とセキュリティ処理部19による処理も、上記動作
に併せて追加すれば簡単に実現できる。
【0064】以上のような動作変更を行うによって、I
Psecの暗号化対象パケットに対する図6に示した処
理と比較して、さらなるスループットの向上を図ること
ができる。
Psecの暗号化対象パケットに対する図6に示した処
理と比較して、さらなるスループットの向上を図ること
ができる。
【0065】また、上記実施形態では、マイクロプロセ
ッサ11が新しいIPフローに属するパケットのルーテ
ィング処理を行う際に、当該パケットのヘッダ部分をパ
ケットメモリ15の結果処理待ちキューからメインメモ
リ12へコピーしていたが、このような処理に替えて、
ヘッダ部分を示すパケットメモリ15のアドレスポイン
タを受け取って処理を行うことも可能である。すなわ
ち、パケット自体はパケットメモリ15に置かれたまま
であり、マイクロプロセッサ11は、当該パケットのヘ
ッダ部分を、プロセッサバス13及びパケット処理部1
4を介して直接読み出す。
ッサ11が新しいIPフローに属するパケットのルーテ
ィング処理を行う際に、当該パケットのヘッダ部分をパ
ケットメモリ15の結果処理待ちキューからメインメモ
リ12へコピーしていたが、このような処理に替えて、
ヘッダ部分を示すパケットメモリ15のアドレスポイン
タを受け取って処理を行うことも可能である。すなわ
ち、パケット自体はパケットメモリ15に置かれたまま
であり、マイクロプロセッサ11は、当該パケットのヘ
ッダ部分を、プロセッサバス13及びパケット処理部1
4を介して直接読み出す。
【0066】以上のような動作変更を行うことによっ
て、パケットデータの転送回数が最小限に抑えられ、処
理の高速化が期待できる。
て、パケットデータの転送回数が最小限に抑えられ、処
理の高速化が期待できる。
【0067】さらに、スイッチファブリック18として
クロスバスイッチを採用しても良い。上記実施形態にお
けるパケットのデータ転送は、基本的に、パケット処理
部14と各下位レイヤ処理部20またはセキュリティ処
理部19との間における1対1に限られる。しかし、上
述したようにセキュリティ処理部19と各下位レイヤ処
理部20との間におけるパケット転送が発生する動作を
行う場合は、クロスバスイッチの方がデータの衝突の頻
度が少なく、全体のスループット向上が可能となる。
クロスバスイッチを採用しても良い。上記実施形態にお
けるパケットのデータ転送は、基本的に、パケット処理
部14と各下位レイヤ処理部20またはセキュリティ処
理部19との間における1対1に限られる。しかし、上
述したようにセキュリティ処理部19と各下位レイヤ処
理部20との間におけるパケット転送が発生する動作を
行う場合は、クロスバスイッチの方がデータの衝突の頻
度が少なく、全体のスループット向上が可能となる。
【0068】
【発明の効果】以上説明したように、本発明のパケット
交換装置によれば、一度マイクロプロセッサによりルー
ティング処理が実行されたパケットと同一のIP発信元
アドレス及びIP宛先アドレスを有するパケットに関し
ては、マイクロプロセッサを用いたソフトウェア制御に
よるルーティング処理を行うことなくパケット交換処理
を実行することができる。そのため、IPパケットの転
送処理の高速化を図ることができるという効果がある。
交換装置によれば、一度マイクロプロセッサによりルー
ティング処理が実行されたパケットと同一のIP発信元
アドレス及びIP宛先アドレスを有するパケットに関し
ては、マイクロプロセッサを用いたソフトウェア制御に
よるルーティング処理を行うことなくパケット交換処理
を実行することができる。そのため、IPパケットの転
送処理の高速化を図ることができるという効果がある。
【0069】また、セキュリティのためのパケットデー
タの暗号化及び復号化処理を、マイクロプロセッサを用
いることなく、ハードウェアにて機械的に実行すること
により、セキュリティ処理の高速化を図ることができる
という効果がある。
タの暗号化及び復号化処理を、マイクロプロセッサを用
いることなく、ハードウェアにて機械的に実行すること
により、セキュリティ処理の高速化を図ることができる
という効果がある。
【0070】また、IPフローテーブルを用いてマイク
ロプロセッサのルーティング処理を行わないパケット転
送を実現する構成と、セキュリティ処理を実行するハー
ドウェアとを組み合わせることにより、従来のパケット
交換装置と比較して、ネットワークレイヤでのセキュリ
ティ処理を伴うパケット交換を、非常に高速に行うこと
ができる。
ロプロセッサのルーティング処理を行わないパケット転
送を実現する構成と、セキュリティ処理を実行するハー
ドウェアとを組み合わせることにより、従来のパケット
交換装置と比較して、ネットワークレイヤでのセキュリ
ティ処理を伴うパケット交換を、非常に高速に行うこと
ができる。
【0071】さらに、セキュリティ処理を行うハードウ
ェアをスイッチファブリックの一構成ユニットとするこ
とにより、セキュリティ処理の独立性を高めることがで
きる。これにより、パケット交換装置へのセキュリティ
処理機能の追加や、暗号方式の変更及び追加が容易とな
るため、パケット交換装置における装置構成の柔軟性及
び拡張性の向上を図ることができる。
ェアをスイッチファブリックの一構成ユニットとするこ
とにより、セキュリティ処理の独立性を高めることがで
きる。これにより、パケット交換装置へのセキュリティ
処理機能の追加や、暗号方式の変更及び追加が容易とな
るため、パケット交換装置における装置構成の柔軟性及
び拡張性の向上を図ることができる。
【図1】 本発明の一実施形態によるパケット交換装置
の構成を示すブロック図である。
の構成を示すブロック図である。
【図2】 本実施形態におけるIPフローテーブルの例
を示す図である。
を示す図である。
【図3】 本実施形態におけるパケット処理の主要な流
れを示すフローチャートである。
れを示すフローチャートである。
【図4】 本実施形態におけるマイクロプロセッサのル
ーティング処理の流れを示すフローチャートである。
ーティング処理の流れを示すフローチャートである。
【図5】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、マイ
クロプロセッサがパケットの種類を認識するまでの動作
を示す図である。
パケット処理の流れを示すフローチャートであり、マイ
クロプロセッサがパケットの種類を認識するまでの動作
を示す図である。
【図6】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、IP
sec暗号化対象パケットに対する処理を示す図であ
る。
パケット処理の流れを示すフローチャートであり、IP
sec暗号化対象パケットに対する処理を示す図であ
る。
【図7】 本実施形態におけるセキュリティ処理を伴う
パケット処理の流れを示すフローチャートであり、IP
sec復号化対象パケットに対する処理を示す図であ
る。
パケット処理の流れを示すフローチャートであり、IP
sec復号化対象パケットに対する処理を示す図であ
る。
【図8】 IPsecトンネルモードによって処理され
たIPパケットの構成を示す図である。
たIPパケットの構成を示す図である。
【図9】 従来のパケット交換装置の構成を示すブロッ
ク図である。
ク図である。
11 マイクロプロセッサ 12 メインメモリ 13 プロセッサバス 14 パケット処理部 15 パケットメモリ 16 サーチ処理部 17 IPフローテーブル 18 スイッチファブリック 19 セキュリティ処理部 20 下位レイヤ処理部
Claims (7)
- 【請求項1】 パケット通信ネットワークに用いられ、
パケット単位でルーティング処理を実行しパケット転送
を行うパケット交換装置において、 ソフトウェア制御により受信パケットのルーティング処
理を行うマイクロプロセッサと、 前記マイクロプロセッサによりルーティング処理がなさ
れたパケットに関して、IP発信元アドレスとIP宛先
アドレスとをサーチキーとして、ルーティング処理の結
果を登録し、保持するIPフローテーブルと、 パケットを受信した場合に、該受信パケットのIP発信
元アドレス及びIP宛先アドレスをサーチキーとして前
記IPフローテーブルを検索し、検索の結果、該当する
IPフローが登録されていた場合、前記マイクロプロセ
ッサによるルーティング処理へ移行することなく、該I
Pフローに示されるルーティング処理結果に基づいて、
該パケットを適切な出力ポートへ転送するパケット処理
実行手段と、 ネットワークインタフェースと接続され、受信したパケ
ットに対して下位レイヤの処理を実行して前記パケット
手段に転送し、前記パケット手段から受け取ったパケッ
トに対して下位レイヤの処理を実行してネットワークへ
送出する下位レイヤ処理手段とを備えることを特徴とす
るパケット交換装置。 - 【請求項2】 パケットの暗号化処理及び復号化処理を
専用のハードウェアによって行うセキュリティ処理手段
をさらに備え、 前記マイクロプロセッサが、所定の規則に基づいてパケ
ットを暗号化または復号化すべきと判断した場合に、セ
キュリティ情報として暗号化または復号化の処理方式及
び該処理に要する暗号鍵を決定して、前記セキュリティ
処理手段に通知し、 前記セキュリティ処理手段が、前記マイクロプロセッサ
から受け取ったセキュリティ情報に基づいてパケットの
暗号化処理または復号化処理を実行することを特徴とす
る請求項1に記載のパケット交換装置。 - 【請求項3】 前記IPフローテーブルが、前記ルーテ
ィング処理の結果に加えて、前記マイクロプロセッサに
よって決定された前記セキュリティ情報を登録し、 前記パケット処理実行手段が、前記受信パケットのIP
発信元アドレス及びIP宛先アドレスをサーチキーとし
て前記IPフローテーブルを検索した結果、該当するI
Pフローが登録されておりかつ該IPフローエントリに
前記セキュリティ情報が登録されていた場合に、前記マ
イクロプロセッサによる前記セキュリティ情報の取得処
理へ移行することなく、該IPフローに示される前記セ
キュリティ情報と共に前記受信パケットを前記セキュリ
ティ処理手段に送り、 前記セキュリティ処理手段が、前記パケット処理実行手
段から受け取ったセキュリティ情報に基づいてパケット
の暗号化処理または復号化処理を実行することを特徴と
する請求項2に記載のパケット交換装置。 - 【請求項4】 前記マイクロプロセッサと前記パケット
処理実行手段とがプロセッサバスを介して接続されてお
り、前記パケット処理実行手段と前記下位レイヤ処理手
段とが所定のスイッチファブリックを介して接続されて
おり、かつ前記セキュリティ処理手段が前記下位レイヤ
処理手段と同一のスイッチファブリックに接続されてい
ることを特徴とする請求項2または請求項3に記載のパ
ケット交換装置。 - 【請求項5】 前記パケット処理実行手段が、前記セキ
ュリティ処理手段により暗号化処理を施されるパケット
を、該パケットを転送先のパケット装置との間で用いら
れる通信パケットでカプセル化することを特徴とする請
求項2または請求項3に記載のパケット交換装置。 - 【請求項6】 パケット通信ネットワークに用いられ、
パケット単位でルーティング処理を実行しパケット転送
を行うパケット交換装置において、 ソフトウェア制御により受信パケットのルーティング処
理を行うマイクロプロセッサと、 パケットの暗号化処理及び復号化処理を専用のハードウ
ェアによって行うセキュリティ処理手段と、 ネットワークインタフェースと接続され、パケットの送
受信を行うと共に、受信したパケット及び送信するパケ
ットに対して下位レイヤの処理を実行する下位レイヤ処
理手段とを備え、 前記マイクロプロセッサが、所定の規則に基づいてパケ
ットを暗号化または復号化すべきと判断した場合に、セ
キュリティ情報として暗号化または復号化の処理方式及
び該処理に要する暗号鍵を決定して、前記セキュリティ
処理手段に通知し、 前記セキュリティ処理手段が、前記マイクロプロセッサ
から受け取ったセキュリティ情報に基づいてパケットの
暗号化処理または復号化処理を実行することを特徴とす
るパケット交換装置。 - 【請求項7】 前記マイクロプロセッサと前記下位レイ
ヤ処理手段とが所定のスイッチファブリックを介して接
続されており、かつ前記セキュリティ処理手段が前記下
位レイヤ処理手段と同一のスイッチファブリックに接続
されていることを特徴とする請求項6に記載のパケット
交換装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP9814099A JP2000295274A (ja) | 1999-04-05 | 1999-04-05 | パケット交換装置 |
US09/532,585 US6839346B1 (en) | 1999-04-05 | 2000-03-22 | Packet switching apparatus with high speed routing function |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP9814099A JP2000295274A (ja) | 1999-04-05 | 1999-04-05 | パケット交換装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2000295274A true JP2000295274A (ja) | 2000-10-20 |
Family
ID=14211927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP9814099A Pending JP2000295274A (ja) | 1999-04-05 | 1999-04-05 | パケット交換装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US6839346B1 (ja) |
JP (1) | JP2000295274A (ja) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006074780A (ja) * | 2004-09-02 | 2006-03-16 | Internatl Business Mach Corp <Ibm> | 待ち時間の少ないデータ暗号解除インターフェース |
JP2006180162A (ja) * | 2004-12-22 | 2006-07-06 | Nec Corp | パケット交換装置およびパケット交換方法 |
US7099324B2 (en) | 1999-12-08 | 2006-08-29 | Nec Corporation | System and method for processing packets |
US7221759B2 (en) | 2003-03-27 | 2007-05-22 | Eastman Kodak Company | Projector with enhanced security camcorder defeat |
JP2008086048A (ja) * | 2001-09-24 | 2008-04-10 | Ericsson Inc | パケット処理の装置と方法 |
CN100413283C (zh) * | 2004-09-21 | 2008-08-20 | 北京锐安科技有限公司 | 基于连接对的流量均衡处理方法与装置 |
JP2009217841A (ja) * | 2001-03-27 | 2009-09-24 | Fujitsu Ltd | パケット中継処理装置 |
US7693154B2 (en) | 2002-10-29 | 2010-04-06 | Fujitsu Limited | Transmitter and method of transmission |
WO2010103909A1 (ja) | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
WO2010116606A1 (ja) * | 2009-03-30 | 2010-10-14 | 日本電気株式会社 | 通信フロー制御システム、通信フロー制御方法及び通信フロー処理プログラム |
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
US10965644B2 (en) | 2017-06-23 | 2021-03-30 | Denso Corporation | Network switch |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7382736B2 (en) * | 1999-01-12 | 2008-06-03 | Mcdata Corporation | Method for scoring queued frames for selective transmission through a switch |
US7236490B2 (en) * | 2000-11-17 | 2007-06-26 | Foundry Networks, Inc. | Backplane interface adapter |
US7596139B2 (en) * | 2000-11-17 | 2009-09-29 | Foundry Networks, Inc. | Backplane interface adapter with error control and redundant fabric |
US7356030B2 (en) * | 2000-11-17 | 2008-04-08 | Foundry Networks, Inc. | Network switch cross point |
US7002980B1 (en) * | 2000-12-19 | 2006-02-21 | Chiaro Networks, Ltd. | System and method for router queue and congestion management |
KR20020055287A (ko) * | 2000-12-28 | 2002-07-08 | 구자홍 | 라우터 장치의 패킷 라우팅 방법 |
US7206283B2 (en) * | 2001-05-15 | 2007-04-17 | Foundry Networks, Inc. | High-performance network switch |
US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
US6950394B1 (en) * | 2001-09-07 | 2005-09-27 | Agilent Technologies, Inc. | Methods and systems to transfer information using an alternative routing associated with a communication network |
US8543681B2 (en) * | 2001-10-15 | 2013-09-24 | Volli Polymer Gmbh Llc | Network topology discovery systems and methods |
US8868715B2 (en) * | 2001-10-15 | 2014-10-21 | Volli Polymer Gmbh Llc | Report generation and visualization systems and methods and their use in testing frameworks for determining suitability of a network for target applications |
JP3885573B2 (ja) * | 2001-12-04 | 2007-02-21 | 株式会社日立製作所 | パケット処理方法および装置 |
KR100470915B1 (ko) * | 2001-12-28 | 2005-03-08 | 한국전자통신연구원 | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 |
US7246245B2 (en) * | 2002-01-10 | 2007-07-17 | Broadcom Corporation | System on a chip for network storage devices |
US20030196081A1 (en) * | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules |
US7187687B1 (en) * | 2002-05-06 | 2007-03-06 | Foundry Networks, Inc. | Pipeline method and system for switching packets |
US7266117B1 (en) | 2002-05-06 | 2007-09-04 | Foundry Networks, Inc. | System architecture for very fast ethernet blade |
US7468975B1 (en) * | 2002-05-06 | 2008-12-23 | Foundry Networks, Inc. | Flexible method for processing data packets in a network routing system for enhanced efficiency and monitoring capability |
US20120155466A1 (en) * | 2002-05-06 | 2012-06-21 | Ian Edward Davis | Method and apparatus for efficiently processing data packets in a computer network |
US7649885B1 (en) * | 2002-05-06 | 2010-01-19 | Foundry Networks, Inc. | Network routing system for enhanced efficiency and monitoring capability |
JP3789395B2 (ja) * | 2002-06-07 | 2006-06-21 | 富士通株式会社 | パケット処理装置 |
US7631107B2 (en) * | 2002-06-11 | 2009-12-08 | Pandya Ashish A | Runtime adaptable protocol processor |
AU2003251492A1 (en) | 2002-06-11 | 2003-12-22 | Ashish A. Pandya | High performance ip processor for tcp/ip, rdma and ip storage applications |
US7415723B2 (en) * | 2002-06-11 | 2008-08-19 | Pandya Ashish A | Distributed network security system and a hardware processor therefor |
US20040103086A1 (en) * | 2002-11-26 | 2004-05-27 | Bapiraju Vinnakota | Data structure traversal instructions for packet processing |
US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
US7587587B2 (en) | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
US6901072B1 (en) * | 2003-05-15 | 2005-05-31 | Foundry Networks, Inc. | System and method for high speed packet transmission implementing dual transmit and receive pipelines |
US7685254B2 (en) * | 2003-06-10 | 2010-03-23 | Pandya Ashish A | Runtime adaptable search processor |
CN100499451C (zh) * | 2003-08-26 | 2009-06-10 | 中兴通讯股份有限公司 | 网络通信安全处理器及其数据处理方法 |
US7817659B2 (en) | 2004-03-26 | 2010-10-19 | Foundry Networks, Llc | Method and apparatus for aggregating input data streams |
US8730961B1 (en) | 2004-04-26 | 2014-05-20 | Foundry Networks, Llc | System and method for optimizing router lookup |
US8036221B2 (en) * | 2004-06-14 | 2011-10-11 | Cisco Technology, Inc. | Method and system for dynamic secured group communication |
US7647492B2 (en) * | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
US8059562B2 (en) * | 2004-10-18 | 2011-11-15 | Nokia Corporation | Listener mechanism in a distributed network system |
US7657703B1 (en) | 2004-10-29 | 2010-02-02 | Foundry Networks, Inc. | Double density content addressable memory (CAM) lookup scheme |
US8448162B2 (en) | 2005-12-28 | 2013-05-21 | Foundry Networks, Llc | Hitless software upgrades |
US20070288690A1 (en) * | 2006-06-13 | 2007-12-13 | Foundry Networks, Inc. | High bandwidth, high capacity look-up table implementation in dynamic random access memory |
US7903654B2 (en) * | 2006-08-22 | 2011-03-08 | Foundry Networks, Llc | System and method for ECMP load sharing |
US8238255B2 (en) | 2006-11-22 | 2012-08-07 | Foundry Networks, Llc | Recovering from failures without impact on data traffic in a shared bus architecture |
US7996348B2 (en) | 2006-12-08 | 2011-08-09 | Pandya Ashish A | 100GBPS security and search architecture using programmable intelligent search memory (PRISM) that comprises one or more bit interval counters |
US9141557B2 (en) | 2006-12-08 | 2015-09-22 | Ashish A. Pandya | Dynamic random access memory (DRAM) that comprises a programmable intelligent search memory (PRISM) and a cryptography processing engine |
US8395996B2 (en) | 2007-01-11 | 2013-03-12 | Foundry Networks, Llc | Techniques for processing incoming failure detection protocol packets |
ES2345675T3 (es) * | 2007-05-11 | 2010-09-29 | Sca Hygiene Products Ab | Dispositivo de envasado y suministro para agrupar articulos de productos. |
US8271859B2 (en) * | 2007-07-18 | 2012-09-18 | Foundry Networks Llc | Segmented CRC design in high speed networks |
US8037399B2 (en) * | 2007-07-18 | 2011-10-11 | Foundry Networks, Llc | Techniques for segmented CRC design in high speed networks |
US8509236B2 (en) | 2007-09-26 | 2013-08-13 | Foundry Networks, Llc | Techniques for selecting paths and/or trunk ports for forwarding traffic flows |
US8190881B2 (en) | 2007-10-15 | 2012-05-29 | Foundry Networks Llc | Scalable distributed web-based authentication |
US8170043B2 (en) * | 2008-04-22 | 2012-05-01 | Airhop Communications, Inc. | System and method of communication protocols in communication systems |
US10805840B2 (en) | 2008-07-03 | 2020-10-13 | Silver Peak Systems, Inc. | Data transmission via a virtual wide area network overlay |
US10164861B2 (en) | 2015-12-28 | 2018-12-25 | Silver Peak Systems, Inc. | Dynamic monitoring and visualization for network health characteristics |
TW201029396A (en) * | 2009-01-21 | 2010-08-01 | Univ Nat Taiwan | Packet processing device and method |
US8090901B2 (en) | 2009-05-14 | 2012-01-03 | Brocade Communications Systems, Inc. | TCAM management approach that minimize movements |
US8599850B2 (en) | 2009-09-21 | 2013-12-03 | Brocade Communications Systems, Inc. | Provisioning single or multistage networks using ethernet service instances (ESIs) |
KR101503450B1 (ko) * | 2010-03-17 | 2015-03-18 | 닛본 덴끼 가부시끼가이샤 | 통신 시스템, 노드, 제어 서버 및 통신 방법 |
CA2851214A1 (en) * | 2011-10-05 | 2013-04-11 | Nec Corporation | Load reducing system and load reducing method |
US8767757B1 (en) | 2012-02-15 | 2014-07-01 | Applied Micro Circuits Corporation | Packet forwarding system and method using patricia trie configured hardware |
US9521219B2 (en) * | 2014-01-20 | 2016-12-13 | Echelon Corporation | Systems, methods, and apparatuses using common addressing |
US9948496B1 (en) | 2014-07-30 | 2018-04-17 | Silver Peak Systems, Inc. | Determining a transit appliance for data traffic to a software service |
US9875344B1 (en) | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
US9516065B2 (en) * | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
US9967056B1 (en) | 2016-08-19 | 2018-05-08 | Silver Peak Systems, Inc. | Forward packet recovery with constrained overhead |
US11044202B2 (en) | 2017-02-06 | 2021-06-22 | Silver Peak Systems, Inc. | Multi-level learning for predicting and classifying traffic flows from first packet data |
US10892978B2 (en) * | 2017-02-06 | 2021-01-12 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows from first packet data |
US10771394B2 (en) | 2017-02-06 | 2020-09-08 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows on a first packet from DNS data |
US11212210B2 (en) | 2017-09-21 | 2021-12-28 | Silver Peak Systems, Inc. | Selective route exporting using source type |
US10637721B2 (en) | 2018-03-12 | 2020-04-28 | Silver Peak Systems, Inc. | Detecting path break conditions while minimizing network overhead |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01152831A (ja) | 1987-12-10 | 1989-06-15 | Mitsubishi Electric Corp | 暗号通信処理装置 |
JPH09149023A (ja) | 1995-11-24 | 1997-06-06 | Matsushita Electric Ind Co Ltd | 情報通信処理装置および情報通信処理方法 |
JP3627384B2 (ja) * | 1996-01-17 | 2005-03-09 | 富士ゼロックス株式会社 | ソフトウェアの保護機能付き情報処理装置及びソフトウェアの保護機能付き情報処理方法 |
JP2982727B2 (ja) * | 1996-08-15 | 1999-11-29 | 日本電気株式会社 | 認証方法 |
JPH10303965A (ja) * | 1997-04-23 | 1998-11-13 | Nec Commun Syst Ltd | ルータ装置に於けるルーティング方式 |
US6032190A (en) * | 1997-10-03 | 2000-02-29 | Ascend Communications, Inc. | System and method for processing data packets |
US6223172B1 (en) * | 1997-10-31 | 2001-04-24 | Nortel Networks Limited | Address routing using address-sensitive mask decimation scheme |
US6295604B1 (en) * | 1998-05-26 | 2001-09-25 | Intel Corporation | Cryptographic packet processing unit |
JP4110671B2 (ja) * | 1999-05-27 | 2008-07-02 | 株式会社日立製作所 | データ転送装置 |
US6665297B1 (en) * | 1999-12-09 | 2003-12-16 | Mayan Networks Corporation | Network routing table |
-
1999
- 1999-04-05 JP JP9814099A patent/JP2000295274A/ja active Pending
-
2000
- 2000-03-22 US US09/532,585 patent/US6839346B1/en not_active Expired - Fee Related
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7099324B2 (en) | 1999-12-08 | 2006-08-29 | Nec Corporation | System and method for processing packets |
JP2009217841A (ja) * | 2001-03-27 | 2009-09-24 | Fujitsu Ltd | パケット中継処理装置 |
JP4686531B2 (ja) * | 2001-09-24 | 2011-05-25 | エリクソン インコーポレイテッド | パケット処理の装置と方法 |
JP2008086048A (ja) * | 2001-09-24 | 2008-04-10 | Ericsson Inc | パケット処理の装置と方法 |
US7693154B2 (en) | 2002-10-29 | 2010-04-06 | Fujitsu Limited | Transmitter and method of transmission |
US7221759B2 (en) | 2003-03-27 | 2007-05-22 | Eastman Kodak Company | Projector with enhanced security camcorder defeat |
JP2006074780A (ja) * | 2004-09-02 | 2006-03-16 | Internatl Business Mach Corp <Ibm> | 待ち時間の少ないデータ暗号解除インターフェース |
CN100413283C (zh) * | 2004-09-21 | 2008-08-20 | 北京锐安科技有限公司 | 基于连接对的流量均衡处理方法与装置 |
JP2006180162A (ja) * | 2004-12-22 | 2006-07-06 | Nec Corp | パケット交換装置およびパケット交換方法 |
WO2010103909A1 (ja) | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
US8605734B2 (en) | 2009-03-09 | 2013-12-10 | Nec Corporation | OpenFlow communication system and OpenFlow communication method |
WO2010116606A1 (ja) * | 2009-03-30 | 2010-10-14 | 日本電気株式会社 | 通信フロー制御システム、通信フロー制御方法及び通信フロー処理プログラム |
US9635119B2 (en) | 2009-03-30 | 2017-04-25 | Nec Corporation | Communication flow control system, communication flow control method, and communication flow processing program |
US10084714B2 (en) | 2009-03-30 | 2018-09-25 | Nec Corporation | Communication flow control system, communication flow control method, and communication flow processing program |
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
US10965644B2 (en) | 2017-06-23 | 2021-03-30 | Denso Corporation | Network switch |
Also Published As
Publication number | Publication date |
---|---|
US6839346B1 (en) | 2005-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2000295274A (ja) | パケット交換装置 | |
US6970446B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
US7587587B2 (en) | Data path security processing | |
EP1427164B1 (en) | Tagging mechanism for data path security processing | |
US7961733B2 (en) | Method and apparatus for performing network processing functions | |
US7924868B1 (en) | Internet protocol (IP) router residing in a processor chipset | |
US7634650B1 (en) | Virtualized shared security engine and creation of a protected zone | |
US7548532B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
US8094670B1 (en) | Method and apparatus for performing network processing functions | |
WO2015058698A1 (en) | Data forwarding | |
WO2015058699A1 (en) | Data forwarding | |
US7188250B1 (en) | Method and apparatus for performing network processing functions | |
KR100799305B1 (ko) | 다중 암호엔진을 사용하는 고성능 암호화 장치 | |
US11677727B2 (en) | Low-latency MACsec authentication | |
JP2004328359A (ja) | パケット処理装置 | |
JP2003069555A (ja) | 暗号装置および暗復号処理方法 | |
JP2003198530A (ja) | パケット通信装置及び暗号アルゴリズム設定方法 | |
JPS58170155A (ja) | パケツト通信方式 | |
JP2023502578A (ja) | ドメイン間トラフィックのグループベースのポリシー | |
Astarloa et al. | Secure ethernet point-to-point links for autonomous electronic ballot boxes |