專利名稱:一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是指一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法。
背景技術(shù):
通常,內(nèi)部網(wǎng)絡(luò)通過三層設(shè)備,比如路由器與其它的網(wǎng)絡(luò)進(jìn)行相連。對于采用互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò),通過IP地址來標(biāo)識網(wǎng)絡(luò)中的每個節(jié)點,當(dāng)一臺主機需要與另一臺主機通訊時,會在數(shù)據(jù)報文中填入目的主機的IP地址和自己的IP地址。如果是在以太網(wǎng)上發(fā)送,還要填寫源主機的硬件地址和目的主機的硬件地址,然后在網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)報文。
在IP協(xié)議下,當(dāng)一臺主機需要訪問外部網(wǎng)絡(luò)時,首先需要知道網(wǎng)關(guān)的IP地址,這個網(wǎng)關(guān)地址通常靜態(tài)配置或者通過其它協(xié)議獲得;然后通過地址解析協(xié)議(ARP)的處理獲取該網(wǎng)關(guān)IP地址對應(yīng)的硬件地址;主機發(fā)送一份稱做ARP請求的以太網(wǎng)報文給以太網(wǎng)上的所有主機,包括用作網(wǎng)關(guān)的路由器。這個過程稱為ARP廣播,其目的就是向別的主機詢問這個IP地址對應(yīng)的硬件地址。目的主機,即網(wǎng)關(guān)收到ARP請求報文后,如果識別出請求的硬件地址相對應(yīng)的IP地址是自己的IP地址,就發(fā)送一個ARP應(yīng)答報文給網(wǎng)關(guān),該應(yīng)答報文中包含目的主機自己的IP地址和硬件地址。原來發(fā)送ARP請求的主機收到該應(yīng)答報文后,就將該網(wǎng)關(guān)對應(yīng)的硬件地址保存到自己的ARP表中。找到了網(wǎng)關(guān)的硬件地址,以后需要向外部網(wǎng)絡(luò)發(fā)送報文時就可以通過該網(wǎng)關(guān)發(fā)送。
主機ARP表中的表項通常需要比較長的時間才會超時,即長時間沒有使用就會被自動刪除。下次有數(shù)據(jù)需要發(fā)送到網(wǎng)關(guān)時,就必須重新進(jìn)行上述硬件地址的解析過程。
出于安全的目的,通常需要對網(wǎng)絡(luò)用戶進(jìn)行安全訪問控制。允許合法的用戶通過網(wǎng)關(guān)訪問外部網(wǎng)絡(luò),限制其它用戶通過網(wǎng)關(guān)訪問外部網(wǎng)絡(luò)。下面介紹目前普遍采用的兩種方法一種方法是在網(wǎng)關(guān)上通過使用IP防火墻來限制一部分主機訪問外部網(wǎng)絡(luò)。首先,在網(wǎng)關(guān)上配置IP的訪問列表,在列表中規(guī)定哪些主機對應(yīng)的IP地址不能訪問外部網(wǎng)絡(luò),哪些可以。這樣,在網(wǎng)關(guān)轉(zhuǎn)發(fā)IP數(shù)據(jù)報文時,可以根據(jù)報文的源IP地址來判斷是哪臺主機發(fā)送的報文,如果IP訪問列表中規(guī)定此源IP地址的報文可以通過,則進(jìn)行正常的轉(zhuǎn)發(fā);如果IP訪問列表中規(guī)定此源IP地址的報文不可以通過,則丟棄這個報文,從而達(dá)到安全訪問控制的目的。
這種方式有兩個缺點1)在進(jìn)行IP轉(zhuǎn)發(fā)過程中,需要分析每個轉(zhuǎn)發(fā)的報文,判斷報文的源IP地址是否允許通過,當(dāng)網(wǎng)絡(luò)流量比較大時,會嚴(yán)重影響網(wǎng)關(guān)的轉(zhuǎn)發(fā)效率。
2)這種基于源IP地址的安全訪問控制方法是基于主機和IP地址是唯一對應(yīng)的。限制了報文的源IP地址,就限制了對應(yīng)的主機。但是,用戶只要在主機上對IP地址進(jìn)行手工的設(shè)置,就完全可以偽裝成合法的IP地址,使數(shù)據(jù)通過網(wǎng)關(guān)進(jìn)行通訊。由此可以看出,這種方式的安全性太低。
另一種方法是在網(wǎng)關(guān)上使用基于硬件地址的防火墻來實現(xiàn)限制一部分主機訪問外部網(wǎng)絡(luò)。該方法是在路由器上配置基于硬件地址的訪問列表,在列表中規(guī)定哪些主機對應(yīng)的硬件地址不能訪問外部網(wǎng)絡(luò),哪些可以。這樣,在路由器接收到數(shù)據(jù)報文時,首先分析數(shù)據(jù)報文的硬件地址信息。根據(jù)報文的源硬件地址來判斷是哪臺主機發(fā)送的報文,如果硬件地址訪問列表中規(guī)定此源硬件地址的報文可以通過,則進(jìn)行正常的轉(zhuǎn)發(fā);如果硬件訪問列表中規(guī)定此源硬件地址的報文不可以通過,則丟棄這個報文,從而達(dá)到安全訪問控制的目的。
這種方法的缺點是在路由器接收報文的過程中,需要分析每個接收到的數(shù)據(jù)報文,判斷報文的源主機硬件地址是否允許通過,當(dāng)網(wǎng)絡(luò)流量比較大時,會嚴(yán)重影響路由器的轉(zhuǎn)發(fā)效率。特別是對于中低端路由器,這種方式對CPU造成很大的處理負(fù)擔(dān),會影響路由器上其它上層業(yè)務(wù)的運行效率。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法,使網(wǎng)關(guān)的防火墻功能基于硬件地址實現(xiàn),在充分保證網(wǎng)絡(luò)安全的同時,盡可能減少網(wǎng)關(guān)的分析步驟,從而減少網(wǎng)關(guān)CPU的負(fù)擔(dān),提高網(wǎng)關(guān)的轉(zhuǎn)發(fā)效率。
為達(dá)到上述目的本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法,網(wǎng)段內(nèi)部的節(jié)點通過該節(jié)點所對應(yīng)的網(wǎng)關(guān)與外部網(wǎng)絡(luò)進(jìn)行通訊,該方法至少包括以下步驟a)在網(wǎng)關(guān)中設(shè)置安全控制數(shù)據(jù);b)步驟a)所述網(wǎng)關(guān)將從所接收地址解析協(xié)議(ARP)報文中獲取的發(fā)送節(jié)點硬件地址與所設(shè)置的安全控制數(shù)據(jù)進(jìn)行比較,判斷當(dāng)前發(fā)送節(jié)點的硬件地址是否為允許與外部網(wǎng)絡(luò)通訊的節(jié)點硬件地址,如果是,則進(jìn)入步驟c),否則,丟棄該報文;c)判斷當(dāng)前處理的ARP報文的類型,如果當(dāng)前處理的ARP報文是ARP請求報文,則網(wǎng)關(guān)保存該節(jié)點的硬件地址,并發(fā)送一份包含該網(wǎng)關(guān)自己IP地址和自己硬件地址的ARP應(yīng)答報文;如果當(dāng)前處理的ARP報文是ARP應(yīng)答報文,則保存報文中的節(jié)點硬件地址。
該方法所述安全控制數(shù)據(jù)中包括禁止與外部網(wǎng)絡(luò)通訊的節(jié)點的硬件地址。
該方法所述的節(jié)點是主機。
通過上述方案可以看出本發(fā)明實現(xiàn)了對主機的訪問控制,通過在網(wǎng)關(guān)上的配置安全訪問策略,達(dá)到限制某些主機訪問外部網(wǎng)絡(luò)的目的。本發(fā)明的安全控制是建立在對主機硬件地址分析的基礎(chǔ)上,可以有效增強安全性,避免主機偽裝。同時,本發(fā)明安全控制中所使用的分析方法只需要處理網(wǎng)絡(luò)中少量ARP報文,而不必分析每一個接收到的數(shù)據(jù)報文,從而最大限度的降低安全策略功能對CPU的負(fù)擔(dān),幾乎不影響網(wǎng)關(guān)的轉(zhuǎn)發(fā)效率。
圖1為本發(fā)明方法網(wǎng)關(guān)對ARP報文的處理流程。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明。
在運行IP協(xié)議的以太網(wǎng)上,當(dāng)一個節(jié)點需要與另一節(jié)點進(jìn)行通訊時,必須首先通過ARP解析過程解析得到各自IP地址對應(yīng)的硬件地址,然后才能進(jìn)行正常的數(shù)據(jù)通訊,這個機制是IP協(xié)議的一個基本特征。如果兩個節(jié)點不在同一網(wǎng)段,則兩節(jié)點之間的數(shù)據(jù)通訊需要通過其所在局域網(wǎng)的網(wǎng)關(guān)轉(zhuǎn)發(fā),這樣,需要通訊的兩個節(jié)點也必須首先進(jìn)行ARP解析過程,以使雙方都能得到對方的IP地址對應(yīng)的硬件地址。從而可以看出只要在網(wǎng)關(guān)上對ARP的應(yīng)答和請求做嚴(yán)格限制,就會間接的控制了不同網(wǎng)段的節(jié)點之間通過IP協(xié)議進(jìn)行數(shù)據(jù)通訊。
因此,本發(fā)明的思路是網(wǎng)關(guān)只分析它所收到的ARP報文,根據(jù)預(yù)先設(shè)置的安全訪問策略,通過判斷發(fā)送該ARP報文的節(jié)點硬件地址來決定如何處理該ARP報文。
針對上述思路,本發(fā)明提出了以下的技術(shù)方案預(yù)先設(shè)置安全訪問策略,即在網(wǎng)關(guān)中設(shè)置安全控制數(shù)據(jù),說明局域網(wǎng)中哪些節(jié)點允許與外部網(wǎng)絡(luò)通訊,哪些節(jié)點不允許與外部網(wǎng)絡(luò)通訊。
其具體執(zhí)行過程可參見圖1所示網(wǎng)關(guān)只對接收到的ARP報文進(jìn)行分析,取出ARP報文的發(fā)送節(jié)點的硬件地址,與設(shè)置的安全控制數(shù)據(jù)作比較。判斷當(dāng)前的節(jié)點硬件地址是否為允許與外部網(wǎng)絡(luò)通訊的節(jié)點硬件地址,如果是,則作正常處理,即如果當(dāng)前處理的ARP報文是ARP請求報文,則保存該報文中的節(jié)點硬件地址到網(wǎng)關(guān)的ARP表中,并發(fā)送一份包含該網(wǎng)關(guān)自己IP地址和自己硬件地址的ARP應(yīng)答報文;如果當(dāng)前處理的ARP報文是ARP應(yīng)答報文,則保存該報文中的節(jié)點硬件地址到網(wǎng)關(guān)的ARP表中。否則,丟棄該報文結(jié)束。
基于上述處理,對于以后發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)報文,網(wǎng)關(guān)就可以不對其進(jìn)行有關(guān)安全性的處理,因為對安全訪問策略允許訪問外部網(wǎng)絡(luò)的節(jié)點,它與網(wǎng)關(guān)之間可以順利地通過ARP解析得到對方的硬件地址,從而可以進(jìn)行正常的數(shù)據(jù)報文交互;而對于安全訪問策略不允許訪問外部網(wǎng)絡(luò)的節(jié)點,由于雙方無法通過ARP解析得到對方的硬件地址,則無法進(jìn)行數(shù)據(jù)報文交互。
通常,網(wǎng)絡(luò)中通信的節(jié)點多為主機,下面就以局域網(wǎng)內(nèi)外兩個主機間的通信為例對本發(fā)明方法進(jìn)行詳細(xì)描述首先,配置局域網(wǎng)內(nèi)部的安全訪問策略,即根據(jù)用戶需求在網(wǎng)關(guān)中配置安全控制數(shù)據(jù),列出禁止與外部網(wǎng)絡(luò)通訊的內(nèi)部主機所對應(yīng)的硬件地址名單,并保存起來。如果網(wǎng)關(guān)是路由器則可將安全控制數(shù)據(jù)保存在閃存中,如果網(wǎng)關(guān)是一臺主機則可將其保存在硬盤里。當(dāng)然也可以將允許與外部網(wǎng)絡(luò)通訊的內(nèi)部主機的硬件地址作為安全控制數(shù)據(jù)保存起來。
網(wǎng)關(guān)對ARP報文的處理一般會遇到兩種情況一種是局域網(wǎng)或網(wǎng)段內(nèi)部主機向局域網(wǎng)外部的主機發(fā)送報文,此時網(wǎng)關(guān)處理的通常是由內(nèi)部主機發(fā)送的ARP請求報文;另一種是局域網(wǎng)外部主機向局域網(wǎng)內(nèi)部主機發(fā)送報文,此時網(wǎng)關(guān)通常會處理內(nèi)部主機發(fā)送的ARP應(yīng)答報文。
當(dāng)一臺主機需要與其所在局域網(wǎng)或網(wǎng)段外部的一臺目的主機通訊時,如果只知道其所在網(wǎng)段網(wǎng)關(guān)的IP地址,則會通過廣播發(fā)送一份ARP請求報文給網(wǎng)段內(nèi)部的所有節(jié)點,詢問這個IP地址對應(yīng)網(wǎng)關(guān)的硬件地址。如果該網(wǎng)段內(nèi)部上其它節(jié)點收到這個ARP請求報文,經(jīng)識別該報文所請求的目的IP地址不是自己的IP地址,則將該報文丟棄,不會進(jìn)行處理。當(dāng)網(wǎng)關(guān)收到該ARP請求報文,并識別出所請求的IP地址是自己的IP地址時,首先對ARP請求報文中的信息進(jìn)行分析,取出ARP請求報文發(fā)送主機的硬件地址與所設(shè)置的安全控制數(shù)據(jù)作比較,看該硬件地址是否在禁止與外部網(wǎng)絡(luò)通訊的硬件地址名單中,如果不在,則說明該硬件地址對應(yīng)的主機為允許訪問外部網(wǎng)絡(luò)的主機,并作正常處理,即保存該發(fā)送ARP請求報文主機的硬件地址到自己的ARP表中,發(fā)送一份包含自己的IP地址和自己的硬件地址的ARP應(yīng)答報文到ARP請求報文發(fā)送主機。發(fā)送ARP請求的主機收到這個應(yīng)答報文后將報文中該網(wǎng)關(guān)所對應(yīng)的硬件地址存入到ARP表中。如果發(fā)送ARP請求報文的主機對應(yīng)的硬件地址在禁止與外部網(wǎng)絡(luò)通訊的硬件地址名單中,則說明安全訪問策略不允許此硬件地址對應(yīng)的主機訪問外部網(wǎng)絡(luò),則將該報文丟棄,不對其處理。
如果當(dāng)前主機為策略允許訪問外部網(wǎng)絡(luò)的主機,則當(dāng)前主機會在之后所要發(fā)送數(shù)據(jù)報文中加上該網(wǎng)關(guān)的硬件地址和目的外部主機的IP地址后發(fā)送,網(wǎng)關(guān)收到該報文后即可不進(jìn)行額外的處理直接轉(zhuǎn)發(fā)至目的外部主機。
如果當(dāng)前主機為策略不允許訪問外部網(wǎng)絡(luò)的主機,則由于沒有收到網(wǎng)關(guān)的ARP應(yīng)答報文,就無法知道網(wǎng)關(guān)的硬件地址,而無法進(jìn)一步通過網(wǎng)關(guān)向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)報文。
當(dāng)局域網(wǎng)或網(wǎng)段外部某臺主機向內(nèi)部的某臺目的主機通訊時,其所發(fā)送的數(shù)據(jù)報文也會通過目的主機所在網(wǎng)段的網(wǎng)關(guān)轉(zhuǎn)發(fā),目的主機所在網(wǎng)關(guān)收到這份數(shù)據(jù)報文后,對該數(shù)據(jù)報文進(jìn)行分析,在自己的ARP表中查找當(dāng)前數(shù)據(jù)報文中目的主機的IP地址所對應(yīng)的硬件地址,如果找到,則將當(dāng)前數(shù)據(jù)報文按硬件地址轉(zhuǎn)發(fā)到目的主機,否則,進(jìn)行ARP解析過程,即以廣播的形式向網(wǎng)段內(nèi)部發(fā)送一份ARP請求報文,如果某個主機收到這份ARP請求報文,識別出所請求的IP地址是自己的IP地址,則會保存網(wǎng)關(guān)地址到自己的ARP表中,同時發(fā)送一份包含自己IP地址和硬件地址的應(yīng)答報文。網(wǎng)關(guān)收到這份應(yīng)答報文后,進(jìn)行分析,取出該ARP應(yīng)答報文的發(fā)送主機的硬件地址,與所設(shè)置的安全訪問策略作比較,如果策略允許此硬件地址對應(yīng)的主機訪問外部網(wǎng)絡(luò),則將該報文中的硬件地址保存到自己的ARP表中,以后從外部網(wǎng)絡(luò)發(fā)往內(nèi)部主機的數(shù)據(jù)報文就可以通過網(wǎng)關(guān)在該數(shù)據(jù)報文加上該內(nèi)部主機的硬件地址轉(zhuǎn)發(fā)到允許訪問的內(nèi)部主機上;否則,丟棄該ARP應(yīng)答報文,不進(jìn)行處理,從而網(wǎng)關(guān)沒有解析到內(nèi)部目的主機對應(yīng)的硬件地址,因此不能轉(zhuǎn)發(fā)外部主機訪問該目的主機的數(shù)據(jù)報文,于是丟棄該數(shù)據(jù)報文,最終限制了外部到內(nèi)部主機的訪問。
根據(jù)現(xiàn)有技術(shù)ARP協(xié)議中有關(guān)ARP表老化機制的規(guī)定,如果某個硬件地址在一段時間內(nèi)沒有使用過,則該硬件地址會被自動刪除。那么,要想防止表項的老化,網(wǎng)段內(nèi)部的主機就需要每隔十幾秒鐘對網(wǎng)段內(nèi)部廣播一次ARP報文請求,由網(wǎng)關(guān)對該報文進(jìn)行ARP解析處理,使請求主機與網(wǎng)關(guān)雙方獲取對方的硬件地址,對自身的ARP表進(jìn)行更新。
本發(fā)明正是利用了上述ARP表老化及防止老化的機制,對ARP表中的硬件地址進(jìn)行實時刷新當(dāng)網(wǎng)關(guān)改變了安全訪問策略,允許某臺被安全訪問策略禁止的主機訪問外部網(wǎng)絡(luò)時,該網(wǎng)關(guān)先將該主機的硬件地址從禁止與外部網(wǎng)絡(luò)通訊的硬件地址名單中刪除;然后,在該主機下一次廣播ARP請求報文時,網(wǎng)關(guān)判斷出該ARP請求報文中的硬件地址為允許訪問外部網(wǎng)絡(luò)的硬件地址,則會按正常步驟進(jìn)行ARP解析過程的操作,使雙方的ARP表中都保存有對方的硬件地址并進(jìn)行數(shù)據(jù)報文的正常交互。之后,主機就通過防止老化的處理過程來維持自身硬件地址在網(wǎng)關(guān)中的有效性。
同樣,如果網(wǎng)關(guān)改變了安全訪問策略,將原來允許訪問外部網(wǎng)絡(luò)的某臺主機改變?yōu)榻蛊湓L問外部網(wǎng)絡(luò),則該網(wǎng)關(guān)先將該主機的硬件地址加入禁止與外部網(wǎng)絡(luò)通訊的硬件地址名單中;然后,在該主機下一次廣播ARP請求報文時,網(wǎng)關(guān)經(jīng)判斷該報文是從不允許訪問外部網(wǎng)絡(luò)的硬件地址發(fā)出的,則不會提供發(fā)送ARP應(yīng)答報文給請求主機。如此,利用ARP表的老化機制,該主機的ARP程序會在一段時間后自動將ARP表中網(wǎng)關(guān)的IP地址和其硬件地址的對應(yīng)關(guān)系項刪除,那么該主機也就無法與外部網(wǎng)絡(luò)進(jìn)行通訊。
本發(fā)明方案中,網(wǎng)關(guān)直接對內(nèi)部主機的硬件地址建立安全訪問策略,保證了局域網(wǎng)與外部網(wǎng)絡(luò)通訊的安全性。網(wǎng)關(guān)可以隨時對各主機的安全訪問權(quán)限進(jìn)行設(shè)定或更改,提高了系統(tǒng)的靈活性,與此同時網(wǎng)關(guān)無需對接收到的每個報文的源主機硬件地址進(jìn)行分析,只需處理網(wǎng)絡(luò)中的ARP請求報文,從而最大限度地降低了安全策略功能對網(wǎng)關(guān)CPU的負(fù)擔(dān),提高了網(wǎng)關(guān)的轉(zhuǎn)發(fā)效率。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法,其特征在于,網(wǎng)段內(nèi)部的節(jié)點通過該節(jié)點所對應(yīng)的網(wǎng)關(guān)與外部網(wǎng)絡(luò)進(jìn)行通訊,該方法至少包括以下步驟a)在網(wǎng)關(guān)中設(shè)置安全控制數(shù)據(jù);b)步驟a)所述網(wǎng)關(guān)將從所接收地址解析協(xié)議(ARP)報文中獲取的發(fā)送節(jié)點硬件地址與所設(shè)置的安全控制數(shù)據(jù)進(jìn)行比較,判斷當(dāng)前發(fā)送節(jié)點的硬件地址是否為允許與外部網(wǎng)絡(luò)通訊的節(jié)點硬件地址,如果是,則進(jìn)入步驟c),否則,丟棄該報文;c)判斷當(dāng)前處理的ARP報文的類型,如果當(dāng)前處理的ARP報文是ARP請求報文,則網(wǎng)關(guān)保存該節(jié)點的硬件地址,并發(fā)送一份包含該網(wǎng)關(guān)自己IP地址和自己硬件地址的ARP應(yīng)答報文;如果當(dāng)前處理的ARP報文是ARP應(yīng)答報文,則保存報文中的節(jié)點硬件地址。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述安全控制數(shù)據(jù)中包括禁止與外部網(wǎng)絡(luò)通訊的節(jié)點的硬件地址。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的節(jié)點是主機。
全文摘要
本發(fā)明公開了一種針對互聯(lián)網(wǎng)協(xié)議的安全訪問控制方法,至少包括以下步驟在網(wǎng)關(guān)中設(shè)置安全控制數(shù)據(jù);網(wǎng)關(guān)將接收到的ARP報文中含有的發(fā)送節(jié)點硬件地址與安全控制數(shù)據(jù)比較,判斷當(dāng)前發(fā)送節(jié)點的硬件地址是否為允許與外部網(wǎng)絡(luò)通訊的節(jié)點硬件地址,如果是,則作正常處理,否則,丟棄該報文;其中,所述的正常處理是指如果當(dāng)前處理的ARP報文是ARP請求報文,則網(wǎng)關(guān)保存該節(jié)點的硬件地址,并發(fā)送一份包含該網(wǎng)關(guān)自己IP地址和自己硬件地址的ARP應(yīng)答報文;如果當(dāng)前處理的ARP報文是ARP應(yīng)答報文,則保存報文中的節(jié)點硬件地址。本發(fā)明方法在充分保證網(wǎng)絡(luò)安全的同時,減少了網(wǎng)關(guān)分析步驟,從而減少網(wǎng)關(guān)CPU的負(fù)擔(dān),提高網(wǎng)關(guān)的轉(zhuǎn)發(fā)效率。
文檔編號H04L12/66GK1534933SQ0312142
公開日2004年10月6日 申請日期2003年3月28日 優(yōu)先權(quán)日2003年3月28日
發(fā)明者楊磊, 葛長忠, 楊 磊 申請人:華為技術(shù)有限公司