專利名稱:網(wǎng)絡(luò)中的阻塞訪問(wèn)列表id和匹配聲明的自動(dòng)發(fā)現(xiàn)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及網(wǎng)絡(luò)中的阻塞訪問(wèn)控制列表(ACL)標(biāo)識(shí)和匹配聲明 (match statement)的自動(dòng)發(fā)現(xiàn)。
背景技術(shù):
在傳統(tǒng)網(wǎng)絡(luò)中,當(dāng)分組由于訪問(wèn)列表拒絕而在網(wǎng)絡(luò)中的某處被丟棄 時(shí),可能很難發(fā)現(xiàn)阻塞所述分組的特定路由器。此外,可能很難確定阻塞 所述分組的ACL中的訪問(wèn)控制列表(ACL)號(hào)和/或匹配聲明。因此,對(duì) 于系統(tǒng)管理員而言,ACL管理會(huì)變成代價(jià)相對(duì)高的任務(wù)。
傳統(tǒng)的用于處理網(wǎng)絡(luò)中被丟棄的分組的方法包括(i)用來(lái)確認(rèn)分組 是否被阻塞的遠(yuǎn)程乒(remoteping) ; (ii)源路由器中的遠(yuǎn)程登錄,以及 用于返回對(duì)分組進(jìn)行阻塞的中間路由器而非ACL標(biāo)識(shí)和匹配聲明的乒/跟 蹤路由實(shí)用程序(utilities)的使用;(iii)可以返回對(duì)分組進(jìn)行阻塞的路 由器而非ACL標(biāo)識(shí)和匹配聲明的網(wǎng)際協(xié)議(IP)服務(wù)水平協(xié)議(SLA)操 作(例如,用戶數(shù)據(jù)報(bào)協(xié)議(UDP));以及(iv)直到ACL邏輯能夠被 建立到網(wǎng)絡(luò)管理系統(tǒng)(NMS)中才會(huì)返回確切的匹配聲明的ACL管理信 息庫(kù)(MIB)的使用。
圖1示出在網(wǎng)絡(luò)中穿越的被丟棄分組的示例。
圖2示出網(wǎng)絡(luò)中的探測(cè)(probe)分組路徑的示例。
圖3示出網(wǎng)絡(luò)設(shè)備內(nèi)的探測(cè)分組處理的示例。
圖4示出用于網(wǎng)絡(luò)設(shè)備內(nèi)的探測(cè)分組處理的示例概要流程。
圖5示出用于網(wǎng)絡(luò)設(shè)備內(nèi)的探測(cè)分組處理的示例詳細(xì)流程。
具體實(shí)施方式
概覽
在一個(gè)實(shí)施例中, 一種方法可以包括(i)在網(wǎng)絡(luò)設(shè)備中接收進(jìn)入 的探測(cè)分組;(ii)對(duì)進(jìn)入的探測(cè)分組去除封裝以提供分組內(nèi)容部分和丟
棄結(jié)果部分;(iii)對(duì)照本地訪問(wèn)控制列表(ACL)對(duì)分組內(nèi)容部分進(jìn)行 檢測(cè)以確定本地丟棄結(jié)果;以及(iv)插入本地丟棄結(jié)果并且對(duì)出去的探 測(cè)分組進(jìn)行封裝。
在一個(gè)實(shí)施例中, 一種裝置可以包括(i)分組修改器,其用于接 收進(jìn)入的探測(cè)分組,并且用于從進(jìn)入的探測(cè)分組中獲取分組內(nèi)容部分和丟 棄結(jié)果部分;(ii)訪問(wèn)控制列表(ACL)檢測(cè)器,其用于從分組修改器 接收分組內(nèi)容部分,并且用于確定ACL丟棄情況(condition)是否存 在;以及(iii)結(jié)果更新器,其用于接收來(lái)自ACL檢測(cè)器的輸出和來(lái)自 分組修改器的丟棄結(jié)果部分,并且用于提供出去的探測(cè)分組。
示例實(shí)施例
現(xiàn)在參見(jiàn)圖1,在網(wǎng)絡(luò)中穿越的被丟棄分組的示例被示出并由總參考 標(biāo)號(hào)100指示。進(jìn)入的分組可以在路由器102處被接收到,并且被傳遞給 路由器104。然后,路由器104可以將該分組傳遞給路由器106,以去到 預(yù)期的目的地路由器108。然而,由于訪問(wèn)控制列表(ACL)阻塞,分組 可能在路由器106處被丟棄,并且不能到達(dá)路由器108。此外,進(jìn)入的分 組的發(fā)送器可能不知道或者不能夠容易地確定分組事實(shí)上已被路由器106 丟棄了,和/或?yàn)槭裁幢宦酚善?06丟棄了。
在具體實(shí)施例中,可以使用感興趣的分組(即,探測(cè)分組或發(fā)現(xiàn)分 組)來(lái)檢測(cè)網(wǎng)絡(luò)以發(fā)現(xiàn)可能正阻塞分組的路由器以及引起該阻塞的ACL 標(biāo)識(shí)(ID)和確切的匹配聲明。此外,具體實(shí)施例還可以用于等價(jià)多路徑 (ECMP)網(wǎng)絡(luò)中的ACL發(fā)現(xiàn),有效地為網(wǎng)絡(luò)中的許多或所有ECMP檢 測(cè)ACL。該方法與傳統(tǒng)的方法相反,其中,可以應(yīng)用每目的地的負(fù)荷均 衡,因此乒或跟蹤路由可以只采用所有ECMP中的一條路徑。
現(xiàn)在參考圖2,網(wǎng)絡(luò)中的探測(cè)分組路徑示例被示出并且由總參考標(biāo)號(hào) 200指示。在該具體示例中,檢測(cè)分組或探測(cè)分組可以在路由器202處被接收到,并且之后被沿途傳遞給路由器204、路由器206并且到達(dá)目的地 路由器208。探測(cè)分組210可以包括原始的進(jìn)入的分組內(nèi)容212以及分組 丟棄或丟棄結(jié)果信息214。利用探測(cè)分組210,可以確定哪個(gè)路由器(例 如,路由器206)對(duì)丟棄或阻塞原始的分組負(fù)責(zé)。
在具體實(shí)施例中,網(wǎng)絡(luò)中的許多或所有路由器可以被配置為運(yùn)行用于 ACL發(fā)現(xiàn)的代理。網(wǎng)際操作系統(tǒng)(IOS)中的代碼可以允許利用特定分組
(例如,探測(cè)分組)來(lái)檢測(cè)訪問(wèn)列表。此外,應(yīng)用程序編程接口 (API) 可以判定分組是否與本地ACL相匹配,但是該API可能無(wú)法確定該ACL 中的哪個(gè)具體聲明正在阻塞。
應(yīng)答器可以是路由器或還可以負(fù)責(zé)其它任務(wù)的其它網(wǎng)絡(luò)設(shè)備中的代 理。例如,該功能可以被插入到IP服務(wù)水平協(xié)議(SLA)應(yīng)答器中,SLA 應(yīng)答器可以負(fù)責(zé)執(zhí)行跨網(wǎng)絡(luò)元件的主動(dòng)測(cè)量。在具體實(shí)施例中,這樣的應(yīng) 答器可以存在于網(wǎng)絡(luò)中的許多或全部路由器上。
給定源和目的地,可以產(chǎn)生用于該特定分組的IP頭??商鎿Q地,感 興趣的應(yīng)用的頭也可以被復(fù)制。這樣的頭可以封裝到供發(fā)現(xiàn)使用的用戶數(shù) 據(jù)報(bào)協(xié)議(UDP)分組(例如,探測(cè)分組)中,該分組可以在路徑中的每 一跳被發(fā)送給應(yīng)答器,用于對(duì)照本地定義的ACL的評(píng)估。
現(xiàn)在參考圖3,網(wǎng)絡(luò)設(shè)備內(nèi)探測(cè)分組處理的示例被示出并且由總參考 標(biāo)號(hào)300指示。進(jìn)入的探測(cè)分組302-1可以包括分組內(nèi)容部分304和丟棄 結(jié)果部分306-1。例如,分組內(nèi)容部分304可以表示諸如分組頭之類的分 組的一部分,但是不可以包括整個(gè)分組。然而,某些實(shí)施例可以使用整個(gè) 分組或者某些其它的分組部分作為分組內(nèi)容部分304。可以在分組修改器 308中接收進(jìn)入的探測(cè)分組302-1。分組修改器本質(zhì)上可以分離出分組內(nèi)容 部分(例如,304)和丟棄結(jié)果部分(例如,306-1)。
可以由本地ACL檢測(cè)器塊310接收分組內(nèi)容部分。本地ACL檢測(cè)器 可以判定本地ACL是否將阻塞該分組內(nèi)容部分。結(jié)果更新器312可以接 收來(lái)自本地ACL檢測(cè)器310的輸出以及丟棄結(jié)果部分306-1。然后,結(jié)果 更新器可以重新封裝出去的探測(cè)分組302-0,出去的探測(cè)分組302-O可以 包括原始的分組內(nèi)容304和更新后的丟棄結(jié)果部分306-0。如果不存在影響分組內(nèi)容304的本地ACL,則丟棄結(jié)果部分306-1和306-O本質(zhì)上可以 是相同的。此外,結(jié)果更新器312可以對(duì)出去的探測(cè)分組302-O提供認(rèn)證 和/或加密。
在具體實(shí)施例中,感興趣的分組被使用UDP封裝在控制頭中,逐跳 地從源發(fā)送到目的地。(例如,與IP SLA應(yīng)答器類似的)應(yīng)答器可以存 在于該路徑中的每一個(gè)路由器上。應(yīng)答器可以被配置為(i)接收該分
組;(ii)去除外部封裝;(iii)對(duì)照本地ACL進(jìn)行檢測(cè);以及(iv)將
結(jié)果插入分組有效載荷中。
現(xiàn)在參考圖4,用于網(wǎng)絡(luò)設(shè)備(包括應(yīng)答器)內(nèi)的探測(cè)分組處理的示 例概要流程被示出并且由總參考標(biāo)號(hào)400指示。該流程可以開(kāi)始
(402),并且可以在網(wǎng)絡(luò)設(shè)備中接收封裝后的探測(cè)分組(404)。然后, 可以修改該探測(cè)分組以去除外部封裝(406)。接著,可以對(duì)照本地ACL 對(duì)分組內(nèi)容進(jìn)行檢測(cè)(408)。接著,結(jié)果可以被插入到有效載荷中,分 組的重新封裝可以進(jìn)行,并且出去的分組可以發(fā)送到下一跳(410),完 成該流程(412)。
現(xiàn)在參考圖5,用于網(wǎng)絡(luò)設(shè)備內(nèi)的探測(cè)分組處理的示例詳細(xì)流程被示 出并且由總參考標(biāo)號(hào)500指示。在具體實(shí)施例中,每個(gè)中間路由器處的應(yīng) 答器可以執(zhí)行以下任務(wù)。該流程可以開(kāi)始(502),并且可以去除進(jìn)入的 探測(cè)分組或ACL發(fā)現(xiàn)分組的封裝以取得IP頭信息,并且可以獲得入口接 口 (504)。
如果入口接口包括輸入ACL (506),則可以對(duì)頭進(jìn)行評(píng)估以判定是 否傳遞(即,確定"匹配狀況")(508)。如果分組被ACL阻塞 (510),則可以標(biāo)注(note) ACL ID和相關(guān)聯(lián)的匹配聲明以增強(qiáng) (augment)結(jié)果信息(512)。然后,該流程可以進(jìn)行到利用IP頭和結(jié) 果信息來(lái)重新封裝進(jìn)入的探測(cè)分組(520),并且該流程結(jié)束(522)。
如果不存在關(guān)于輸入的ACL (506),或者存在關(guān)于輸入的ACL但 是不存在輸入阻塞(510),則通過(guò)査找網(wǎng)絡(luò)設(shè)備的路由表可以找到任何 輸出接口 (514)。例如,在ECMP網(wǎng)絡(luò)中可能存在多于一個(gè)的輸出接 口,并且可能存在應(yīng)用于每個(gè)這樣的接口的不同ACL。另一方面,例如,如果目的地是本地的(例如,在當(dāng)前的網(wǎng)絡(luò)設(shè)備中),則該目的地已 到達(dá),并且探測(cè)分組和適當(dāng)?shù)挠行лd荷信息可以一起被返回給發(fā)送器。
如果網(wǎng)絡(luò)設(shè)備包括具有輸出ACL的出口接口 (516),則頭可以被評(píng) 估以判定是否有ACL會(huì)丟棄該分組(518)。如果一個(gè)或多個(gè)這樣的 ACL可能丟棄該分組(518),則結(jié)果信息可以被利用ACL ID和匹配聲 明來(lái)增強(qiáng)(512)。之后,該流程可以進(jìn)行到利用IP頭和結(jié)果信息對(duì)進(jìn)入 的探測(cè)分組進(jìn)行重新封裝(502),并且該流程可以結(jié)束(522)。此外, 以這種方式,(例如,通過(guò)使用迭代過(guò)程)可以對(duì)ECMP網(wǎng)絡(luò)的每個(gè)接 口的所有ACL進(jìn)行評(píng)估。
在對(duì)結(jié)果進(jìn)行增強(qiáng)時(shí)(512),可以利用在之前的步驟中收集的信 息,例如,ACL ID和確切的匹配聲明,來(lái)增強(qiáng)發(fā)現(xiàn)分組或探測(cè)分組。還 可以包括該特定路由器的入口接口的IP地址,以用于稍后的路由器的標(biāo) 識(shí)。然后,該信息可以直接發(fā)送給發(fā)送器(例如,源路由器)以用于進(jìn)一 步的分析,或者,探測(cè)分組可以沿著預(yù)期的路徑被轉(zhuǎn)發(fā)。
如果在當(dāng)前的路由器或網(wǎng)絡(luò)設(shè)備上沒(méi)有找到阻塞ACL,則分組可以 被再次通過(guò)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)封裝,并且探測(cè)分組可以被發(fā)送給下 一跳應(yīng)答器。例如,對(duì)于多個(gè)ECMP網(wǎng)絡(luò),復(fù)制的分組可以被發(fā)送給網(wǎng) 絡(luò)中每個(gè)ECMP的下一跳。
在具體實(shí)施例中,可以對(duì)算法進(jìn)行最優(yōu)化,使得一旦發(fā)現(xiàn)一個(gè)阻塞 ACL,就將路由器、ACL ID和匹配聲明返回給發(fā)送器。,可以在ACL校 正之后執(zhí)行迭代檢測(cè)以發(fā)現(xiàn)阻塞感興趣分組的多個(gè)ACL或多個(gè)匹配聲 明??商鎿Q地,可以對(duì)具體實(shí)施例進(jìn)行最優(yōu)化以便一次報(bào)告所有的ACL 和所有的匹配聲明。在這樣的實(shí)施例中,結(jié)果信息可以被轉(zhuǎn)發(fā)給預(yù)期的目 的地路由器,以用于隨后返回給源路由器或發(fā)送器。
另外,基于時(shí)間的訪問(wèn)列表可以根據(jù)ACL發(fā)現(xiàn)可以被執(zhí)行的時(shí)間來(lái) 處理,從而也可以在具體實(shí)施例中得到支持。此外,也可以考慮用于訪問(wèn) 控制目的之外的目的(例如,用于流量成形、速率限制、策略路由)的訪 問(wèn)列表。在具體實(shí)施例中,與QoS錯(cuò)誤配置相反,可能危害網(wǎng)絡(luò)訪問(wèn)的 阻塞訪問(wèn)列表也可以被估計(jì)。具體實(shí)施例還可以應(yīng)用于各種其它層次,從媒體訪問(wèn)控制(MAC) 地址匹配、統(tǒng)一資源定位符(URL)匹配(例如,基于網(wǎng)絡(luò)的應(yīng)用識(shí)別 (NBAR)),到任何有效載荷匹配不等。具體實(shí)施例可以不限于僅層 3,這是因?yàn)榉纸M頭加上一些隨后的有效載荷字節(jié)可以轉(zhuǎn)發(fā)到路徑中的每 一跳使得所有當(dāng)前和將來(lái)的ACL類型都可以被檢查到。
在具體實(shí)施例中,可以利用感興趣分組(例如,探測(cè)分組)檢測(cè)網(wǎng)絡(luò) 來(lái)發(fā)現(xiàn)阻塞分組的路由器、ACLID和確切的匹配聲明。例如,分組頭可 以沿路徑發(fā)送給每個(gè)應(yīng)答器,并且適于用在諸如IP SLA協(xié)議之類的特定 協(xié)議中。
具體實(shí)施例可以包括對(duì)感興趣分組所采用的路徑各處的ACL進(jìn)行檢 測(cè)。并且,由于確切的分組頭加上一些隨后的有效載荷字節(jié)可以按需要沿 路徑被發(fā)送到每一個(gè)應(yīng)答器,因此可以考慮所有的訪問(wèn)列表。此外,具體 實(shí)施例還可以支持ECMP網(wǎng)絡(luò)。此外,具體實(shí)施例中的探測(cè)分組可以被 認(rèn)證并且/或者被加密以防止攻擊者制定(map out) ACL。例如,可以對(duì) 出去的探測(cè)分組進(jìn)行加密,而對(duì)進(jìn)入的和出去的探測(cè)分組進(jìn)行認(rèn)證。
盡管已經(jīng)針對(duì)說(shuō)明書(shū)的具體實(shí)施例描述了說(shuō)明書(shū),但是這些具體實(shí)施 例僅僅是示例性的而非限制性的。例如,在具體實(shí)施例中可以采用其它類 型的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理、協(xié)議、和/或分組結(jié)構(gòu)。
任何合適的編程語(yǔ)言都可用來(lái)實(shí)現(xiàn)具體實(shí)施例的例程,所述編程語(yǔ)言 包括C、 C++、 Java、匯編語(yǔ)言等。可以采用不同的編程技術(shù),例如面向 過(guò)程的或者面向?qū)ο蟮?。所述例程可以在單個(gè)處理設(shè)備上或者在多處理器 上執(zhí)行。雖然以特定的順序給出了步驟、操作或者計(jì)算,但是所述順序在 不同的具體實(shí)施例中是可以改變的。在一些具體實(shí)施例中,在本說(shuō)明書(shū)中 被示為有序的多個(gè)步驟可以被同時(shí)執(zhí)行。這里描述的操作順序可以被另一 進(jìn)程中斷、掛起或者以其他方式控制,所述另一個(gè)進(jìn)程例如是操作系統(tǒng)、 內(nèi)核等。所述例程可以在操作系統(tǒng)環(huán)境中運(yùn)行,或者作為占用系統(tǒng)處理的 全部或者主要部分的獨(dú)立例程運(yùn)行。可以以硬件、軟件或兩者的組合的形 式執(zhí)行功能。除非另有說(shuō)明,功能也可以全部或者部分手動(dòng)執(zhí)行。
在此處的說(shuō)明書(shū)中,提供了例如組件和/或方法的示例之類的大量特定細(xì)節(jié),以提供對(duì)具體實(shí)施例的全面理解。然而,本領(lǐng)域技術(shù)人員將認(rèn)識(shí) 到,在沒(méi)有這些特定細(xì)節(jié)中的一個(gè)或者多個(gè)、或者利用其他裝置、系統(tǒng)、 配件、方法、組件、材料、部件和/或類似物的情況下,具體實(shí)施例也可以 實(shí)現(xiàn)。在其他情況下,已知的結(jié)構(gòu)、材料或者操作沒(méi)有特別示出或者詳細(xì) 描述以避免混淆具體實(shí)施例多個(gè)方面。
為了具體實(shí)施例的目的,"計(jì)算機(jī)可讀介質(zhì)"可以是包含、存儲(chǔ)、傳 輸、傳播、或者傳送程序,以由指令執(zhí)行系統(tǒng)、裝置、系統(tǒng)或者設(shè)備使 用,或者結(jié)合指令執(zhí)行系統(tǒng)、裝置、系統(tǒng)或者設(shè)備使用的任何介質(zhì)。僅作 為示例而非限制,計(jì)算機(jī)可讀介質(zhì)可以是電子的、磁的、光的、電磁的、 紅外的或者半導(dǎo)體系統(tǒng)、裝置、系統(tǒng)、設(shè)備、傳播介質(zhì)或計(jì)算機(jī)存儲(chǔ)器。
具體實(shí)施例可以以軟件或者硬件或者兩者的組合中的控制邏輯的形式 實(shí)現(xiàn)。當(dāng)由一個(gè)或者多個(gè)處理器執(zhí)行時(shí),所述控制邏輯可以是可運(yùn)行來(lái)執(zhí) 行具體實(shí)施例中所描述的操作的。
"處理器"或"處理"包括處理數(shù)據(jù)、信號(hào)或者其他信息的任何人、 硬件和/或軟件系統(tǒng)、機(jī)制或者組件。處理器可以包括具有通用中央處理單 元、多處理單元、用于實(shí)現(xiàn)功能的專用電路的系統(tǒng)或者其他系統(tǒng)。處理無(wú) 需受限于地理位置或者具有時(shí)間限制。例如,處理器可以"實(shí)時(shí)地"、
"離線地"、以"批處理方式"等執(zhí)行其功能。處理的多個(gè)部分可以在不 同的時(shí)刻和不同的位置由不同的(或相同的)處理系統(tǒng)執(zhí)行。
在整個(gè)說(shuō)明書(shū)中,提到"一個(gè)實(shí)施例"、"實(shí)施例"、"特定實(shí)施 例"或者"具體實(shí)施例"是指至少一個(gè)實(shí)施例而不必是所有實(shí)施例中包括 結(jié)合該特定實(shí)施例描述的特定特征、結(jié)構(gòu)或特性。因此,在整個(gè)本說(shuō)明書(shū) 中的各個(gè)位置處相應(yīng)出現(xiàn)的短語(yǔ)"在具體實(shí)施例中"、"在實(shí)施例中"或
"在特定實(shí)施例中"不一定是指同一實(shí)施例。此外,任何特定實(shí)施例的具 體的特征、結(jié)構(gòu)或者特性可以與一個(gè)或多個(gè)其他具體實(shí)施例以任何合適的 方式組合。應(yīng)當(dāng)理解,考慮本申請(qǐng)的教導(dǎo),在本申請(qǐng)描述并示出的具體實(shí) 施例的其他變動(dòng)和修改也是可以的,并且應(yīng)當(dāng)被認(rèn)為是本發(fā)明的精神和范 圍的一部分。
具體實(shí)施例可以通過(guò)使用編程的通用數(shù)字計(jì)算機(jī),通過(guò)使用專用集成電路、可編程邏輯器件、現(xiàn)場(chǎng)可編程門陣列、光的、化學(xué)的、生物的、量 子的或者納米工程系統(tǒng)、組件和機(jī)制等等來(lái)實(shí)現(xiàn)。 一般而言,具體實(shí)施例 的功能可以用本領(lǐng)域已知的任意手段來(lái)實(shí)現(xiàn)。可以使用分布式的聯(lián)網(wǎng)系 統(tǒng)、組件和/或電路。數(shù)據(jù)的通信或者傳送可以是有線的、無(wú)線的或者通過(guò) 其他手段的。
將意識(shí)到,當(dāng)按照具體應(yīng)用有用時(shí),附圖中示出的一個(gè)或多個(gè)元件也 可以用更加分離或者更加集成的方式實(shí)現(xiàn),或者在某些情況下甚至被刪除 或者使得不可工作。實(shí)現(xiàn)可以被存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)中以允許計(jì)算機(jī)執(zhí) 行上述任何方法的程序或者代碼也在本發(fā)明的精神和范圍內(nèi)。
另外,附圖中的任何信號(hào)箭頭應(yīng)當(dāng)僅被認(rèn)為是示例性的,而非限制性 的,除非另外專門說(shuō)明。此外,除非另外說(shuō)明,這里使用的術(shù)語(yǔ)"或"一 般意思是"和域"。組件或者步驟的組合也被認(rèn)為是已提到的,其中,術(shù) 語(yǔ)被預(yù)見(jiàn)為是提供了分離或者組合的能力。
如此處的說(shuō)明書(shū)和下面的權(quán)利要求書(shū)中所使用的,"一"、"一個(gè)" 和"所述"包括復(fù)數(shù)引用,除非上下文清楚地表明不是這樣。此外,如此 處的說(shuō)明書(shū)和下面的權(quán)利要求書(shū)中所使用的,"在……中"的意思包括 "在……中"和"在……上",除非上下文清楚地表明不是這樣。
前面對(duì)說(shuō)明性具體實(shí)施例的描述,包括在摘要中所描述的,不是要窮 舉或者將本發(fā)明限制為這里所公開(kāi)的準(zhǔn)確的形式。盡管這里僅僅是為了說(shuō) 明目的描述本發(fā)明的特定具體實(shí)施例和示例,但是本領(lǐng)域技術(shù)人員將認(rèn)識(shí) 到并理解,在本發(fā)明的精神和范圍內(nèi)可以有各種等同修改。如上所述,這 些修改可以根據(jù)前面對(duì)說(shuō)明性具體實(shí)施例的描述而對(duì)本發(fā)明作出,并且要 被包括在本發(fā)明的精神和范圍內(nèi)。
因此,盡管在這里已參考本發(fā)明的具體實(shí)施例描述了本發(fā)明,但是各 種修改、改變和替換也在前面的公開(kāi)中,并且將意識(shí)到,在某些情況下, 在不脫離之前所闡述的本發(fā)明的范圍和精神的前提下,將采用具體實(shí)施例 的某些特征,而不相應(yīng)地使用其他特征。因此,可以做出許多修改來(lái)使特 定情況或材料適應(yīng)本發(fā)明的實(shí)質(zhì)范圍和精神。本發(fā)明不打算受限于在所附 權(quán)利要求書(shū)中使用的特定術(shù)語(yǔ)和/或作為被考慮為實(shí)現(xiàn)本發(fā)明的最佳模式來(lái)公開(kāi)的具體實(shí)施例,而是本發(fā)明將包括落在所附權(quán)利要求書(shū)的范圍內(nèi)的任 意的和所有具體實(shí)施例以及等同物。
權(quán)利要求
1.一種方法,包括在網(wǎng)絡(luò)設(shè)備中接收進(jìn)入的探測(cè)分組;去除所述進(jìn)入的探測(cè)分組的封裝,以提供分組內(nèi)容部分和丟棄結(jié)果部分;對(duì)照本地訪問(wèn)控制列表ACL對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè)以確定本地丟棄結(jié)果;以及插入所述本地丟棄結(jié)果并且對(duì)出去的探測(cè)分組進(jìn)行封裝。
2. 根據(jù)權(quán)利要求1所述的方法,還包括對(duì)所述進(jìn)入的探測(cè)分組進(jìn)行認(rèn)證。
3. 根據(jù)權(quán)利要求1所述的方法,還包括對(duì)所述出去的探測(cè)分組進(jìn)行加密。
4. 根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè) 包括判定是否存在關(guān)于所述網(wǎng)絡(luò)設(shè)備的入口接口的ACL。
5. 根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè) 包括判定是否存在關(guān)于所述網(wǎng)絡(luò)設(shè)備的出口接口的ACL。
6. 根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè) 包括確定匹配狀況。
7. 根據(jù)權(quán)利要求1所述的方法,其中,插入所述本地丟棄結(jié)果包括 當(dāng)阻塞情況被檢測(cè)到時(shí),利用ACL標(biāo)識(shí)和匹配聲明來(lái)增強(qiáng)所述丟棄結(jié)果 部分。
8. 根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè) 包括判定是否有任何輸出ACL會(huì)丟棄所述分組內(nèi)容部分。
9. 根據(jù)權(quán)利要求1所述的方法,還包括將所述出去的探測(cè)分組返回給 源路由器。
10. 根據(jù)權(quán)利要求1所述的方法,其中,所述出去的探測(cè)分組和進(jìn)入 的探測(cè)分組中的每一個(gè)被使用用戶數(shù)據(jù)報(bào)協(xié)議UDP封裝。
11. 一種裝置,包括分組修改器,所述分組修改器被配置為接收進(jìn)入的探測(cè)分組,并且從 所述進(jìn)入的探測(cè)分組獲取分組內(nèi)容部分和丟棄結(jié)果部分;訪問(wèn)控制列表ACL檢測(cè)器,所述訪問(wèn)控制列表檢測(cè)器被配置為從所 述分組修改器接收所述分組內(nèi)容部分,并且判定是否存在ACL丟棄情 況;以及結(jié)果更新器,所述結(jié)果更新器被配置為接收來(lái)自所述ACL檢測(cè)器的 輸出和來(lái)自所述分組修改器的丟棄結(jié)果部分,并且提供出去的探測(cè)分組。
12. 根據(jù)權(quán)利要求11所述的裝置,其中,所述出去的探測(cè)分組包括所 述分組內(nèi)容部分以及所述ACL丟棄情況存在時(shí)的對(duì)所述丟棄結(jié)果部分的 更新。
13. 根據(jù)權(quán)利要求11所述的裝置,其中,所述分組修改器被配置為去 除所述進(jìn)入的探測(cè)分組的封裝。
14. 根據(jù)權(quán)利要求11所述的裝置,其中,所述結(jié)果更新器被配置為重 新封裝所述出去的探測(cè)分組。
15. 根據(jù)權(quán)利要求ll所述的裝置,其中,所述丟棄結(jié)果部分包括ACL 標(biāo)識(shí)和匹配聲明。
16. 根據(jù)權(quán)利要求11所述的裝置,其中,所述ACL丟棄情況包括入 口接口或出口接口阻塞。
17. 根據(jù)權(quán)利要求11所述的裝置,其中,所述結(jié)果更新器被配置為對(duì) 所述出去的探測(cè)分組提供加密。
18. 根據(jù)權(quán)利要求11所述的裝置,其中,所述出去的探測(cè)分組被配置 為被返回給源路由器。
19. 根據(jù)權(quán)利要求11所述的裝置,被配置用于等價(jià)多路徑ECMP網(wǎng)絡(luò)。
20. 根據(jù)權(quán)利要求11所述的裝置,其中,所述進(jìn)入的探測(cè)分組和所述 出去的探測(cè)分組中的每一個(gè)被使用用戶數(shù)據(jù)報(bào)協(xié)議UDP來(lái)封裝。
21. —種用于發(fā)現(xiàn)阻塞訪問(wèn)控制列表ACL的裝置,包括 用于在網(wǎng)絡(luò)設(shè)備中接收封裝后的探測(cè)分組的裝置; 用于去除接收到的分組的封裝以提供分組內(nèi)容部分和丟棄結(jié)果部分的裝置;用于對(duì)照ACL對(duì)所述分組內(nèi)容部分進(jìn)行檢測(cè)以確定本地丟棄結(jié)果的 裝置;以及用于將所述本地丟棄結(jié)果插入重新封裝后的探測(cè)分組的裝置。
全文摘要
在一個(gè)實(shí)施例中,一種方法可以包括(i)在網(wǎng)絡(luò)設(shè)備中接收進(jìn)入的探測(cè)分組;(ii)去除進(jìn)入的探測(cè)分組的封裝以提供分組內(nèi)容部分和丟棄結(jié)果部分;(iii)對(duì)照本地訪問(wèn)控制列表(ACL)檢測(cè)分組內(nèi)容部分以確定本地丟棄結(jié)果;以及(iv)插入本地丟棄結(jié)果并且封裝出去的探測(cè)分組。
文檔編號(hào)H04L12/26GK101606357SQ200880004671
公開(kāi)日2009年12月16日 申請(qǐng)日期2008年2月5日 優(yōu)先權(quán)日2007年2月14日
發(fā)明者以馬利·泰憧, 班諾特·克萊斯 申請(qǐng)人:思科技術(shù)公司