專利名稱:分布式外部網(wǎng)關(guān)協(xié)議的制作方法
背景因特網(wǎng)是自治系統(tǒng)集合的實(shí)施例,所述自治系統(tǒng)定義不同機(jī)構(gòu)的管理權(quán)限和路由策略��。自治系統(tǒng)在它們的界限內(nèi)運(yùn)行內(nèi)部網(wǎng)管協(xié)議����,并且通過外部網(wǎng)關(guān)協(xié)議互連。在這里網(wǎng)關(guān)被定義為允許其他設(shè)備獲得到網(wǎng)絡(luò)的入口的任何實(shí)體�。界限可以是由策略或者企業(yè)定義的域(domain)或其他子網(wǎng)絡(luò)。以實(shí)施例的方式�,內(nèi)部網(wǎng)關(guān)協(xié)議的實(shí)施例可以包括開放最短路徑優(yōu)先(OSPF)、內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)和增強(qiáng)的內(nèi)部網(wǎng)關(guān)協(xié)議(EIGP)��。外部網(wǎng)關(guān)協(xié)議可以包括邊界網(wǎng)關(guān)協(xié)議(BGP)�。
引入BGP是因?yàn)?���,典型地,?nèi)部協(xié)議不會超越特定企業(yè)�����。邊界網(wǎng)關(guān)與其他邊界網(wǎng)關(guān)互換網(wǎng)絡(luò)可達(dá)性信息����,并且使用BGP來進(jìn)行此操作。關(guān)于域內(nèi)自治系統(tǒng)的此可達(dá)性信息允許邊界網(wǎng)關(guān)構(gòu)造自治系統(tǒng)連通性圖,根據(jù)所述自治系統(tǒng)連通性圖�,可以修剪路由環(huán)路(routing loop),并且允許實(shí)施一些系統(tǒng)級別的策略決定����。BGP管理這些通信操作,并且運(yùn)行在互換信息的兩個網(wǎng)關(guān)之間的可靠傳送協(xié)議(例如傳輸控制協(xié)議(TCP))上����。
一般來說,初始的信息互換包括兩個設(shè)備互換整個路由表�,通過發(fā)送用于修改所述路由表的周期性的更新來添加或刪除表項(xiàng)(entry)。當(dāng)前實(shí)現(xiàn)BGP的主要問題是面對沉重的路由擾動(routing churn)時的可擴(kuò)展性(scalabilty)��。在紅色代碼1(Code Red 1)���、紅色代碼2(Code Red 2)和尼姆達(dá)(Nimda)蠕蟲攻擊期間�,這些更新消息會從通常所見的平均200萬條增加到超過667萬條��。當(dāng)前所采用的由每個設(shè)備中的中央處理器處理所有BGP功能性的BGP軟件會導(dǎo)致處理器不堪重負(fù)����,并且會導(dǎo)致BGP會話(session)重置。此外�����,指示哪些設(shè)備仍然在操作的TCP KEEPALIVE消息會未被傳遞,這也導(dǎo)致BGP會話被重置����。
除了這些問題,BGP網(wǎng)關(guān)在安全方面還易受攻擊���,例如被稱作TCP SYN攻擊的假的TCP SYN消息���、宣告非法或無效的下一跳的被篡改的BGP UPDATE消息等等。這些類型的攻擊之所以成功�����,是因?yàn)锽GP設(shè)備的集中式體系結(jié)構(gòu)要求這些消息由中央處理器處理����,所述處理器迅速地被淹沒����、拒絕處理來自其他設(shè)備的合法請求。
附圖簡要說明通過參考附圖來閱讀本公開可以最好地理解本發(fā)明的實(shí)施方案��,其中
圖1示出兩個域之間的邊界網(wǎng)關(guān)的實(shí)施例。
圖2示出具有分布式體系結(jié)構(gòu)的邊界網(wǎng)關(guān)設(shè)備的實(shí)施方案�。
圖3示出處理BGP流量的方法的實(shí)施方案的流程圖。
圖4示出初始化BGP設(shè)備中的控制卡的方法的實(shí)施方案的流程圖��。
圖5示出初始化BGP設(shè)備中的卸載卡的方法的實(shí)施方案的流程圖��。
實(shí)施方案的詳細(xì)描述圖1示出兩個域之間的邊界網(wǎng)關(guān)的實(shí)施例�。這些網(wǎng)關(guān)提供所述域到其他域的連接,與也被稱為網(wǎng)關(guān)對等體(gateway peer)的其他邊界網(wǎng)關(guān)的通信��。這些網(wǎng)關(guān)對等體通過外部網(wǎng)關(guān)協(xié)議(例如邊界網(wǎng)關(guān)協(xié)議)通信���。雖然這里使用的實(shí)施例可以基于BGP��,但是也可應(yīng)用于運(yùn)行在可靠傳送協(xié)議上的任何外部網(wǎng)關(guān)協(xié)議���。可靠傳送協(xié)議��,例如傳輸控制協(xié)議(TCP)�,具有檢驗(yàn)與驗(yàn)證數(shù)據(jù)傳輸、消除對更新分片(fragmentation)的需要����、重傳確認(rèn)以及排序的機(jī)制���。除了外部網(wǎng)關(guān)協(xié)議使用的認(rèn)證機(jī)制之外,還可以使用傳送協(xié)議使用的任何認(rèn)證方案���。
網(wǎng)關(guān)10和12互換消息�,以打開并證實(shí)連接參數(shù)����。當(dāng)路由表變化時,發(fā)送增加的更新�����。外部網(wǎng)關(guān)協(xié)議可能不要求周期性刷新整個路由表��。在連接期間�,使用此協(xié)議進(jìn)行通信的設(shè)備必須維持所有它的對等設(shè)備的當(dāng)前版本。KeepAlive消息和更新被周期性地發(fā)送��,以確保連接的活性(liveness)和路由表的準(zhǔn)確性�。
典型地����,更新被用來在兩個邊界網(wǎng)關(guān)之間互換路由信息����,并且宣告新的路由或者修改/刪除之前宣告的路由�。當(dāng)前,這些更新由網(wǎng)關(guān)上的中央處理器處理�����。在攻擊期間�����,例如尼姆達(dá)�����、紅色代碼1和紅色代碼2蠕蟲攻擊��,邊界網(wǎng)關(guān)會被更新信息流量淹沒并且不能處理它們���。這導(dǎo)致‘會話重置’或連接被關(guān)閉���,所述‘會話重置’或連接被關(guān)閉通常發(fā)生在邊界網(wǎng)關(guān)遭遇差錯條件時。此外�����,所有更新所要求的高級別處理會導(dǎo)致處理器不能發(fā)送出KeepAlive消息。缺少KeepAlive消息會導(dǎo)致連接計(jì)時器超時��。結(jié)果�����,其他設(shè)備會關(guān)閉到?jīng)]有在傳輸KeepAlive的被覆沒的設(shè)備的連接��。隨后��,如果合法用戶試圖訪問不再‘彼此對話’的設(shè)備�����,所有這些連接的關(guān)閉導(dǎo)致‘拒絕服務(wù)’����。
其他脆弱性存在于邊界網(wǎng)關(guān)的當(dāng)前實(shí)現(xiàn)中。例如����,在TCP中,通過在目的主機(jī)處接收的TCP SYN消息(同步或開始)打開會話���。典型地����,目的主機(jī)發(fā)送SYN ACK或確認(rèn)消息到源主機(jī)����。此外,目的主機(jī)在預(yù)先確定的時間段內(nèi)打開有限大小的隊(duì)列��,以記住等待被完成的連接���。一旦接收到確認(rèn)SYN ACK的ACK消息�����,連接被建立�����。等待完成的連接的隊(duì)列一般非常迅速地清空�,因?yàn)锳CK消息通常以毫秒級速度被接收���,同時隊(duì)列上的定時器可以被設(shè)置為立即到期(expire in a minute)�����。這順序有時被稱為‘TCP三次握手’����。
在TCP SYN攻擊下,目的主機(jī)被具有無效地址的TCP SYN消息覆沒�。無效地址是這樣的地址,所述地址不具有任何與它相關(guān)聯(lián)的設(shè)備�����。目的主機(jī)向假的或非法的地址發(fā)送出SYN ACK消息��,并且打開連接隊(duì)列���。因?yàn)樵吹刂肥菬o效的���,所以連接隊(duì)列在定時器的整個時間段內(nèi)保持打開。如果發(fā)送足夠多無效的TCP SYN消息����,則處理器被淹沒在管理連接隊(duì)列的操作中,并且再一次拒絕為合法用戶服務(wù)。
其他類型的攻擊包括惡意形成的分組(packet)和被篡改的更新消息�,所述被篡改的更新消息宣告到有效目的地或目的地組的無效或非法的下一跳。在這里的上下文中����,惡意形成的分組是針對協(xié)議惡意形成的分組��。通過計(jì)算校驗(yàn)和而捕捉到一些惡意形成的分組���,所述計(jì)算校驗(yàn)和的操作不捕捉針對協(xié)議惡意形成的分組�。非法的下一跳是這樣的下一跳���,其中的地址上有人非法嘗試獲得對分組中數(shù)據(jù)進(jìn)行非法訪問�����,即‘剽竊’流量���。可以通過用于識別惡意形成的分組的分組過濾器���、用于識別假地址的地址過濾器等來避免或處理所有這些攻擊����。但是,這些過濾器要求在攻擊期間變得缺乏的處理周期與資源��。
本發(fā)明的實(shí)施方案提出使分組處理任務(wù)中的很多任務(wù)能夠被卸載到線路卡(line card)上的網(wǎng)絡(luò)體系結(jié)構(gòu)��。此外�,用于連接的狀態(tài)機(jī)的維護(hù)以及策略決定可以從中央處理器中移出并被分布在幾個線路處理器(line processor)之間。這樣的設(shè)備的實(shí)施例在圖2中示出�����。
圖2的網(wǎng)絡(luò)設(shè)備或部件(element)可以是物理設(shè)備���,或者是由網(wǎng)絡(luò)連接的背板(backplane)所連接的設(shè)備集合��。在上面討論的上下文中��,此設(shè)備是運(yùn)行外部網(wǎng)關(guān)協(xié)議(例如BGP)的網(wǎng)關(guān)����。設(shè)備10具有控制卡20�,所述控制卡20具有中央處理器22和用于儲存所述設(shè)備和它的對等設(shè)備的路由表的儲存設(shè)備24。中央處理器極可能是通用處理器����,例如Pentium或更高級的IntelArchitecture(LA)處理器�����?��?刂瓶?0通過合適的端口或接口26經(jīng)由背板36進(jìn)行通信?�?刂瓶ㄍㄟ^背板36被連接到多個線路卡��,例如30���。極可能存在幾個線路卡,只使用一個僅僅是為了方便討論��。線路卡30具有處理器32和端口34����,所述端口34允許它通過可靠傳送協(xié)議終止進(jìn)入設(shè)備的通信。線路處理器是網(wǎng)絡(luò)使能的(network-enabled)為操控網(wǎng)絡(luò)流量而優(yōu)化的處理器����,例如IntelIXP處理器(英特爾交換處理器)。網(wǎng)絡(luò)化的處理器具有通用處理器和至少一個微引擎,例如可以使用于分組處理的精簡指令集計(jì)算機(jī)(RSIC)處理器��。
流入數(shù)據(jù)由幾個線路卡處理和操控�,所述幾個線路卡都具有網(wǎng)絡(luò)化的處理器。這允許處理是分布式的����,并且避免中央處理器或任何線路處理器過載。流入數(shù)據(jù)在線路卡處被接收�����,并且只有有效的更新數(shù)據(jù)被發(fā)送到控制卡�。然后,控制卡執(zhí)行所有中央?yún)f(xié)議處理�����,例如維護(hù)路由表和各個線路卡的配置信息���。
響應(yīng)于流入消息或其他事件�����,例如路由表變化��、加密與解密分組�、緩存路由表的本地拷貝、過濾惡意形成的���、非法的與無效的分組以及解析與驗(yàn)證流入分組��,線路卡還操控流出消息的生成�。此外�����,確定發(fā)送什么消息到哪些對等體的輸出策略引擎和維護(hù)所有連接的狀態(tài)的BGP狀態(tài)機(jī)可以被卸載到線路卡�����。所有這些功能被稱為執(zhí)行外部網(wǎng)關(guān)協(xié)議或邊界網(wǎng)關(guān)協(xié)議BGP功能����。已經(jīng)被卸載的協(xié)議部分被稱為卸載部分�����,并且由控制處理器保留的部分被稱為控制部分�����。處理任務(wù)的分布允許線路卡在流入流量被發(fā)送到中央處理器之前對流入流量進(jìn)行篩選。此過程的實(shí)施例在圖3的流程圖中示出�����。
在40處����,穿過可靠傳送連接的流量在線路卡處被接收,因?yàn)楝F(xiàn)在線路卡是此連接的終點(diǎn)�����。在42處�����,檢查消息以確定它們是否是有效的�����。如果它們不是有效的���,則在50處它們不被處理�����,被丟棄�����,或者以其他方式被處理����,并且不被發(fā)送到控制處理器。如果分組是有效的���,則在44處�����,線路卡解析分組并且提取信息����,例如更新�����。然后�����,在46處有效數(shù)據(jù)被傳輸?shù)娇刂瓶?���。?8處,任何到對等的網(wǎng)關(guān)的流出消息(例如路由表中的變化����、策略狀態(tài)中的變化等等)被傳輸。
可以以幾種方式操控關(guān)于哪些線路卡正在哪些分組上執(zhí)行怎樣的處理的跟蹤�。使能(enable)此分布處理的體系結(jié)構(gòu)可以被稱為分布式控制平面體系結(jié)構(gòu)(DCPA)。這在同時待審查專利申請��、2003年11月14日提交的美國專利申請No.10/XXX,XXX“DistributedControl Plane Architecture for Network Elements(用于網(wǎng)絡(luò)部件的分布式控制平面體系結(jié)構(gòu))”中進(jìn)行更詳細(xì)的討論�。DCPA通過DCPA基礎(chǔ)模塊來示例,所述DCPA基礎(chǔ)模塊包括控制卡或線路卡所需要的邏輯���,以發(fā)現(xiàn)存在于系統(tǒng)中的控制卡或線路卡����,建立與它們的連接性�����,并互換關(guān)于它們能力的信息。在圖2中�,DIM既在控制卡上執(zhí)行又在線路卡上執(zhí)行。這種體系結(jié)構(gòu)的使用允許發(fā)生處理的分布���。
此外����,虛擬接口可以用來接收流入分組并確定分組應(yīng)該被路由到哪個實(shí)體���。這樣的接口的實(shí)施例在同時待審查的專利申請���、2003年11月14日提交的美國專利申請No.10/XXX,XXX“Implementation Of Control Plane Protocol And Networking Stacks In ADistributed Network Device(分布式網(wǎng)絡(luò)設(shè)備中控制平面協(xié)議與網(wǎng)絡(luò)棧的實(shí)現(xiàn))”中示出。對諸如這些的體系結(jié)構(gòu)和接口的使用允許了分布處理����,以保持協(xié)調(diào)。
這可以在圖4和5中示出的初始化控制卡與線路卡的方法的實(shí)施方案中看見�。在圖4中,線路卡準(zhǔn)備操控分布式BGP處理���。在60處,線路卡初始化�,例如‘引導(dǎo)(booting up)�?��!缓?���,在62處����,線路卡向中央登記點(diǎn)(例如DCPA的DIM)登記它本身。這允許設(shè)備跟蹤線路卡的能力和它的可獲得的處理資源��,以及向線路卡提供用于識別它可能對哪些事件有興趣的方法���。
在64處��,線路卡確定控制卡是否已經(jīng)登記����。當(dāng)控制卡已經(jīng)登記時(線路卡將極可能已經(jīng)登記)�,在66處兩個實(shí)體建立控制連接。在68處線路卡傳輸關(guān)于在它上面它具有哪些接口的資源數(shù)據(jù)����,并且在70處傳輸它的處理資源�����。然后��,在70處控制卡向線路卡提供配置信息�。在72處�����,線路卡建立與其他邊界網(wǎng)關(guān)的對等連接�,并且開始接受和處理分組。然后����,在74處線路卡執(zhí)行上面提及的BGP功能,并且在76處按照需要將有效數(shù)據(jù)傳輸?shù)娇刂瓶?�。重?fù)最后的這兩步處理直到關(guān)閉設(shè)備���。
處理的另一方面�,控制卡為根據(jù)例如圖5中所示出的過程的分布式處理作準(zhǔn)備���?���?刂瓶ㄔ?0處初始化�,并且在82處向諸如DIM的中央登記器登記。如果線路卡還沒有被登記���,則控制卡一直等待直到它們被登記�。一旦控制卡和線路卡已經(jīng)登記���,則在86處它們發(fā)現(xiàn)對方并建立控制連接�����。然后�,在88處控制卡提供例如BGP路由表的配置信息���,以及策略數(shù)據(jù)���,以允許線路卡作出關(guān)于消息需要被傳輸哪些對等體的輸出策略決定。這有效地將上面提及的BGP功能卸載給線路卡�,留下中央處理器在90處執(zhí)行中央BGP功能���。
必須注意到,已經(jīng)存在其上包括具有處理器的控制卡和線路卡的網(wǎng)絡(luò)設(shè)備�����。將這些機(jī)器轉(zhuǎn)換為分布式BGP網(wǎng)關(guān)將是升級指導(dǎo)機(jī)器操作的軟件指令的問題����。在這種情況下,本發(fā)明的實(shí)施方案可以被實(shí)現(xiàn)為機(jī)器可讀指令的制品�����,當(dāng)執(zhí)行所述指令時�����,導(dǎo)致機(jī)器執(zhí)行本發(fā)明的方法和處理�����。
例如��,正在TCP上運(yùn)行BGP并且包括具有必要能力的線路處理器的現(xiàn)有的邊界網(wǎng)關(guān)可以成為實(shí)現(xiàn)分布式BGP的邊界網(wǎng)關(guān)��。所有將需要的是升級網(wǎng)關(guān)的操作軟件。
因此���,盡管到此已經(jīng)描述了用于運(yùn)行在可靠傳送協(xié)議上的分布式外部網(wǎng)關(guān)協(xié)議的方法和裝置的特定實(shí)施方案����,但是這樣具體的參考不想要被視為對本發(fā)明的范圍的限制��,除非在所附權(quán)利要求書中闡述的本發(fā)明的范圍的程度上�����。
權(quán)利要求
1.一種系統(tǒng)�����,包括控制卡�����,所述控制卡包括控制處理器��,所述控制處理器執(zhí)行外部網(wǎng)關(guān)協(xié)議的控制部分���;以及外部網(wǎng)關(guān)路由和設(shè)備的路由表���;線路卡,所述線路卡包括線路處理器�,所述線路處理器執(zhí)行外部網(wǎng)關(guān)協(xié)議的卸載部分;以及通信端口���,所述通信端口允許終止至少一條通信鏈路�;以及背板���,所述背板允許所述控制卡和所述線路卡進(jìn)行通信���。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,所述控制處理器還包括通用處理器����。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,所述控制處理器還包括英特爾體系結(jié)構(gòu)處理器�����。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備�,所述線路處理器還包括網(wǎng)絡(luò)使能的處理器。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備�,所述線路處理器還包括英特爾IXP處理器�����。
6.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備�����,所述背板還包括物理背板連接�����。
7.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,所述背板還包括網(wǎng)絡(luò)���。
8.一種處理外部網(wǎng)關(guān)協(xié)議分組的方法����,所述方法包括在線路卡處接收流入分組�����;確定所述分組是否有效��;解析所述分組以提取協(xié)議數(shù)據(jù)�;將任何控制相關(guān)數(shù)據(jù)傳輸?shù)娇刂瓶?���;以及生成用于對等網(wǎng)關(guān)的消息流量���。
9.如權(quán)利要求8所述的方法����,在線路卡處接收流入分組的操作還包括通過傳輸控制協(xié)議接收分組�。
10.如權(quán)利要求8所述的方法,確定所述分組是否有效的操作還包括確定所述分組是否是惡意形成的分組�����。
11.如權(quán)利要求8所述的方法��,確定所述分組是否有效的操作還包括向所述分組應(yīng)用分組過濾器���。
12.如權(quán)利要求8所述的方法�����,確定所述分組是否有效的操作還包括向所述分組應(yīng)用地址過濾器����。
13.如權(quán)利要求8所述的方法,將任何控制相關(guān)數(shù)據(jù)傳輸?shù)娇刂瓶ǖ牟僮鬟€包括傳輸與來自網(wǎng)關(guān)對等體的與有效更新有關(guān)的數(shù)據(jù)��。
14.如權(quán)利要求8所述的方法���,解析所述分組以提取協(xié)議數(shù)據(jù)的操作還包括解密已加密分組�。
15.如權(quán)利要求8所述的方法���,生成用于對等網(wǎng)關(guān)的消息流量的操作還包括生成所述流入分組所需要的響應(yīng)���。
16.如權(quán)利要求8所述的方法,生成用于對等網(wǎng)關(guān)的消息流量的操作還包括宣告到對等網(wǎng)關(guān)的路由�。
17.如權(quán)利要求8所述的方法,生成用于對等網(wǎng)關(guān)的消息流量的操作還包括為要求加密的對等網(wǎng)關(guān)加密消息���。
18.一種建立分布式外部網(wǎng)關(guān)協(xié)議的卸載部分的方法,所述方法包括初始化線路卡��;向中央登記點(diǎn)登記要由所述線路卡執(zhí)行的協(xié)議的卸載部分���;建立與控制卡的控制連接�;將數(shù)據(jù)資源數(shù)據(jù)傳輸?shù)剿隹刂瓶?����;接收來自所述控制卡的配置信息;建立與外部網(wǎng)關(guān)對等體的連接�����;在所述線路卡處執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能���;以及僅將有效邊界網(wǎng)關(guān)協(xié)議數(shù)據(jù)傳輸?shù)剿隹刂瓶ā?br>
19.如權(quán)利要求18所述的方法��,登記卸載部分的操作還包括向分布式控制平面體系結(jié)構(gòu)基礎(chǔ)模塊登記����。
20.如權(quán)利要求18所述的方法�����,執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能的操作還包括解析并驗(yàn)證流入分組����。
21.如權(quán)利要求18所述的方法,執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能的操作還包括過濾來自對等網(wǎng)關(guān)的所有惡意形成的��、非法的和重復(fù)的更新消息。
22.如權(quán)利要求18所述的方法���,執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能的操作還包括緩存從所述控制卡接收的路由表��。
23.如權(quán)利要求18所述的方法�����,執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能的操作還包括運(yùn)行針對每個對等網(wǎng)關(guān)的輸出策略���。
24.如權(quán)利要求18所述的方法,執(zhí)行邊界網(wǎng)關(guān)協(xié)議功能的操作還包括必要時加密和解密分組��。
25.一種建立分布式外部網(wǎng)關(guān)協(xié)議的控制部分的方法��,所述方法包括初始化控制卡����;向中央登記點(diǎn)登記要由所述控制卡執(zhí)行的協(xié)議的控制部分;建立與執(zhí)行所述協(xié)議的卸載部分的線路卡的控制連接����;配置所述線路卡����;以及執(zhí)行中央邊界網(wǎng)關(guān)協(xié)議功能��。
26.如權(quán)利要求25所述的方法�����,配置所述線路卡的操作還包括向每個線路卡提供路由表和策略數(shù)據(jù)�����。
27.如權(quán)利要求25所述的方法�,登記要被執(zhí)行的協(xié)議的控制部分的操作還包括向分布式控制平面體系結(jié)構(gòu)基礎(chǔ)模塊登記所述控制部分�。
28.如權(quán)利要求25所述的方法,執(zhí)行中央邊界網(wǎng)關(guān)協(xié)議功能的操作還包括處理來自所述線路卡的有效更新并按照需要調(diào)整所述路由表����。
29.如權(quán)利要求25所述的方法,執(zhí)行中央邊界網(wǎng)關(guān)協(xié)議功能的操作還包括必要時向每個線路卡提供已更新的路由表�。
30.一種包括指令的機(jī)器可讀代碼的制品,當(dāng)執(zhí)行所述指令時���,導(dǎo)致所述機(jī)器在線路卡處接收流入分組�����;確定所述分組是否有效�;解析所述分組以提取協(xié)議數(shù)據(jù);將任何控制相關(guān)數(shù)據(jù)傳輸?shù)娇刂瓶?����;以及生成用于對等網(wǎng)關(guān)的消息流量�����。
31.如權(quán)利要求30所述的制品�����,導(dǎo)致所述機(jī)器在線路卡處接收流入分組的所述指令進(jìn)一步導(dǎo)致所述機(jī)器通過傳輸控制協(xié)議接收分組����。
32.如權(quán)利要求30所述的制品,導(dǎo)致所述機(jī)器確定所述分組是否有效的所述指令進(jìn)一步導(dǎo)致所述機(jī)器確定所述分組是否是惡意形成的分組�。
33.如權(quán)利要求30所述的制品,導(dǎo)致所述機(jī)器確定所述分組是否有效的所述指令進(jìn)一步導(dǎo)致所述機(jī)器向所述分組應(yīng)用分組過濾器���。
34.如權(quán)利要求30所述的制品����,導(dǎo)致所述機(jī)器確定所述分組是否有效的所述指令進(jìn)一步導(dǎo)致所述機(jī)器向所述分組應(yīng)用地址過濾器�。
全文摘要
邊界網(wǎng)關(guān)(10)具有控制卡(20)和至少一個線路卡(30)?��?刂瓶?20)具有控制處理器(22)以及外部網(wǎng)關(guān)路由和設(shè)備的路由表(24)�����,所述控制處理器(22)執(zhí)行外部網(wǎng)關(guān)協(xié)議的控制部分�����。線路卡(30)具有線路處理器(32)和通信端口(34)�����,所述線路處理器用于執(zhí)行外部網(wǎng)關(guān)協(xié)議的卸載部分���,所述通信端口用于允許終止至少一條通信鏈路。背板(36)允許控制卡(20)與線路卡(30)進(jìn)行通信����。
文檔編號H04L12/56GK1918856SQ200480039691
公開日2007年2月21日 申請日期2004年11月3日 優(yōu)先權(quán)日2003年11月3日
發(fā)明者拉金德拉·亞瓦特卡, 桑杰伊·巴克希 申請人:英特爾公司