專利名稱:將分組重定向至網(wǎng)絡(luò)交換機(jī)中的入侵防卸服務(wù)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及對交換網(wǎng)絡(luò)中的數(shù)據(jù)分組的端口重定向(port redirection)。更具體地,本發(fā)明的實施例有選擇地將數(shù)據(jù)分組重定向至交 換設(shè)備的與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的重定向端口。
背景技術(shù):
惡意軟件的數(shù)量和種類對交換聯(lián)網(wǎng)系統(tǒng)構(gòu)成了越來越大的威脅。通過 能夠收集并評估進(jìn)入網(wǎng)絡(luò)流量上的數(shù)據(jù)以修改交換行為的智能網(wǎng)絡(luò)交換機(jī) 增強(qiáng)了對交換聯(lián)網(wǎng)系統(tǒng)的保護(hù)。還通過補(bǔ)充支持(leverage)諸如入侵防御 系統(tǒng)("IPS")之類的外部網(wǎng)絡(luò)服務(wù)來向網(wǎng)絡(luò)交換機(jī)提供安全性和/或其 它服務(wù)而無需網(wǎng)絡(luò)流量流物理地在線,來進(jìn)一步增強(qiáng)智能交換的益處。 "IPS"在網(wǎng)絡(luò)領(lǐng)域被理解為是指可以行使訪問控制來保護(hù)設(shè)備不受安全 威脅的機(jī)構(gòu)。
網(wǎng)絡(luò)交換機(jī)和/或其它網(wǎng)絡(luò)交換設(shè)備可以基于一種或多種網(wǎng)絡(luò)狀況來不 同地對網(wǎng)絡(luò)流量進(jìn)行過濾、重定向、阻止和/或轉(zhuǎn)發(fā)。例如,交換機(jī)可被配 置為將特定數(shù)據(jù)分組重定向至諸如IPS之類的外部網(wǎng)絡(luò)服務(wù)以供檢視,重 定向是基于數(shù)據(jù)分組的流量類型的(例如,數(shù)據(jù)分組的郵件消息服務(wù))。 在進(jìn)行了滿意的檢視之后,該外部服務(wù)可以將經(jīng)重定向的數(shù)據(jù)分組返回到 交換機(jī),以便繼續(xù)將經(jīng)檢視的數(shù)據(jù)分組發(fā)送到其最初的所希望目的地。
將數(shù)據(jù)分組重定向至"線路插件"(bump-in-the-wire)網(wǎng)絡(luò)服務(wù)可能 是復(fù)雜的,其中,將使一個或多個數(shù)據(jù)分組從交換設(shè)備"涌溢" (flood)。如這里所使用的,使數(shù)據(jù)分組從交換機(jī)涌溢一般是指在缺少對 數(shù)據(jù)分組應(yīng)當(dāng)在特定的一個或多個網(wǎng)絡(luò)路徑上被發(fā)送的指示的情況下,與 之不同地在許多網(wǎng)絡(luò)路徑上發(fā)送該數(shù)據(jù)分組。數(shù)據(jù)鏈路層上的媒體訪問控 制(MAC)廣播以及網(wǎng)絡(luò)層上的因特網(wǎng)協(xié)議(IP)多播正是可以如何使網(wǎng)絡(luò)流量從交換設(shè)備涌溢的兩個示例。
先前經(jīng)重定向的數(shù)據(jù)分組的涌溢可能導(dǎo)致對數(shù)據(jù)分組的拷貝進(jìn)行不正 確地發(fā)送。例如,如果經(jīng)重定向的數(shù)據(jù)分組在從IPS被返回交換機(jī)之后將 從交換機(jī)涌溢,則被返回的數(shù)據(jù)分組可能沿著交換設(shè)備最初用來接收該數(shù) 據(jù)分組的網(wǎng)絡(luò)路徑被不正確地發(fā)送回去。替代地或者另外地,被返回的數(shù) 據(jù)分組可能被錯誤地發(fā)送回將其返回的同 一 網(wǎng)絡(luò)服務(wù),這造成了網(wǎng)絡(luò)中的 數(shù)據(jù)分組環(huán)路。網(wǎng)絡(luò)環(huán)路以及對數(shù)據(jù)分組的其它不正確發(fā)送導(dǎo)致了較長的 發(fā)送時間以及降低的網(wǎng)絡(luò)性能。涌溢的流量的問題至今一直在妨礙數(shù)據(jù)鏈 路層將數(shù)據(jù)分組重定向到交換設(shè)備的端口的實現(xiàn),該交換設(shè)備與對交換設(shè) 備接收的數(shù)據(jù)分組進(jìn)行分析的網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)。
在附圖的各個圖中,本發(fā)明的各個實施例是以示例的方式而非限制的 方式被圖示出的,并且在附圖中
圖1是圖示出根據(jù)本發(fā)明一個實施例其中的交換設(shè)備可以執(zhí)行對數(shù)據(jù) 分組的端口重定向的系統(tǒng)的框圖。
圖2是圖示出根據(jù)本發(fā)明一個實施例能夠執(zhí)行對數(shù)據(jù)分組的端口重定 向的交換機(jī)的各機(jī)構(gòu)的框圖。
圖3是圖示出根據(jù)本發(fā)明一個實施例能夠被重定向的數(shù)據(jù)分組的內(nèi)容 的分組示圖。
圖4A是圖示出根據(jù)本發(fā)明一個實施例的端口重定向方法的流程圖。
圖4B是圖示出根據(jù)本發(fā)明另一實施例的端口重定向方法的流程圖。
具體實施例方式
圖1圖示出了根據(jù)本發(fā)明一個實施例的系統(tǒng)100,其中,交換設(shè)備 110可以選擇性地重定向數(shù)據(jù)分組。系統(tǒng)100可以表示多種"線路插件" 配置中的任一個,其中,來自接收到的網(wǎng)絡(luò)流量的數(shù)據(jù)分組至少可以臨時 地被選擇性地重定向到與外部網(wǎng)絡(luò)服務(wù)120相關(guān)聯(lián)的交換設(shè)備110的端 口。網(wǎng)絡(luò)130和140分別表示交換設(shè)備IIO從其接收數(shù)據(jù)分組的源網(wǎng)絡(luò)以及交換設(shè)備110選擇性地向其發(fā)送接收到的數(shù)據(jù)分組的目的地網(wǎng)絡(luò)。網(wǎng)絡(luò) 130和140被示為不同的網(wǎng)絡(luò),以有助于說明根據(jù)本發(fā)明一個實施例,交 換設(shè)備110可以如何重定向接收到的數(shù)據(jù)分組。相關(guān)領(lǐng)域的技術(shù)人員將明
白,交換設(shè)備110還可以將網(wǎng)絡(luò)流量從網(wǎng)絡(luò)140發(fā)送和/或選擇性地重定向 到網(wǎng)絡(luò)130。網(wǎng)絡(luò)領(lǐng)域的技術(shù)人員還將明白,網(wǎng)絡(luò)130和140可以表示交 換設(shè)備IIO所屬的較大單個網(wǎng)絡(luò)(未示出)的任意部分。例如,網(wǎng)絡(luò) 130、 140還可以經(jīng)由一個或多個其它網(wǎng)絡(luò)路徑(未示出)連接到另外的設(shè) 備、網(wǎng)絡(luò)和/或彼此相連。
網(wǎng)絡(luò)交換機(jī)110表示具有網(wǎng)絡(luò)交換能力的任何網(wǎng)絡(luò)設(shè)備。例如,交換 設(shè)備110可以包括交換諸如由開放系統(tǒng)互連(OSI)第2層(L2)表示的 層之類的數(shù)據(jù)鏈路層中的數(shù)據(jù)分組的機(jī)構(gòu)。在一些實施例中,交換設(shè)備 110可以包括至少部分地基于網(wǎng)絡(luò)狀況來交換數(shù)據(jù)分組的智能交換機(jī)構(gòu)。 交換設(shè)備110可以是簡單的L2網(wǎng)絡(luò)交換機(jī),或者可以是可包括另外的路 由能力或其它聯(lián)網(wǎng)能力的多種其它設(shè)備中的任一個。例如,交換設(shè)備110 可以是多層交換機(jī)(MLS)、混合OSI L2/L3交換路由器,或者具有交換 能力的其它網(wǎng)絡(luò)設(shè)備。為了簡練,這里參考"交換機(jī)"來描述本發(fā)明的實 施例。相關(guān)領(lǐng)域的技術(shù)人員將會理解,對與本發(fā)明實施例有關(guān)的交換機(jī)的 引用可以擴(kuò)展為更一般地應(yīng)用于上述類型的交換設(shè)備。
交換設(shè)備IIO還連接到網(wǎng)絡(luò)服務(wù)120。網(wǎng)絡(luò)服務(wù)120可以是至少部分 地基于對交換設(shè)備110接收到的一個或多個數(shù)據(jù)分組進(jìn)行分析的多種安全 性服務(wù)或其它服務(wù)中的任一種。網(wǎng)絡(luò)服務(wù)120可以包括硬件、軟件、(一 個或多個)虛擬機(jī)和/或用于分析交換設(shè)備IIO接收到的一個或多個數(shù)據(jù)分 組的其它裝置的任意組合。對一個或多個數(shù)據(jù)分組的分析例如可以包括對 各個數(shù)據(jù)分組的內(nèi)容的分析和/或隨著時間的過去對經(jīng)重定向的網(wǎng)絡(luò)流量的 統(tǒng)計分析。在一個實施例中,網(wǎng)絡(luò)服務(wù)120可以提供入侵防御服務(wù)(IPS) 來檢測在交換設(shè)備110的網(wǎng)絡(luò)流量中發(fā)現(xiàn)的安全威脅。由網(wǎng)絡(luò)服務(wù)120提 供的分析例如可以在實現(xiàn)針對網(wǎng)絡(luò)流量的服務(wù)質(zhì)量(QoS)時被參考。例 如,網(wǎng)絡(luò)服務(wù)120可以用來支持由交換機(jī)110中的機(jī)構(gòu)實現(xiàn)的服務(wù)質(zhì)量。 為了簡練,這里將參考"IPS"來討論本發(fā)明的實施例。相關(guān)領(lǐng)域的技術(shù)人員將會理解,對與本發(fā)明實施例有關(guān)的IPS的引用可以擴(kuò)展為更一般地 應(yīng)用于上述類型的網(wǎng)絡(luò)服務(wù)。
應(yīng)當(dāng)注意,交換設(shè)備110和網(wǎng)絡(luò)服務(wù)120僅可以表示系統(tǒng)100中的多
種"線路插件"配置中的一種。例如,交換設(shè)備110可以由以與網(wǎng)絡(luò)服務(wù) 120的配置類似的配置耦合到的交換設(shè)備110的一個或多個其它網(wǎng)絡(luò)服務(wù)
(未示出)支持。此外,網(wǎng)絡(luò)服務(wù)120還可以被配置為用于在其它網(wǎng)絡(luò)設(shè) 備中承載的網(wǎng)絡(luò)流量的"線路插件"。為了簡練起見,這里的本發(fā)明的討 論將限于圖l所示的示例性系統(tǒng)IOO的各種變體,盡管這些討論可以被擴(kuò) 展為一般性地應(yīng)用于對給定交換設(shè)備接收到的數(shù)據(jù)分組進(jìn)行分析的任何給 定"線路插件"網(wǎng)絡(luò)服務(wù)。
本發(fā)明的實施例選擇性地執(zhí)行將數(shù)據(jù)分組在數(shù)據(jù)鏈路層重定向到與 IPS相關(guān)聯(lián)的端口。為了清楚起見,"重定向數(shù)據(jù)分組"在此是指至少臨 時地在不同網(wǎng)絡(luò)路徑上發(fā)送數(shù)據(jù)分組,而不是在打算向其發(fā)送數(shù)據(jù)分組的 一個或多個目的路徑中的任一路徑上引導(dǎo)數(shù)據(jù)分組。換言之,如果數(shù)據(jù)分 組從未在不同的非目的路徑上被"重定向"過,則可以認(rèn)為將該數(shù)據(jù)分組
"引導(dǎo)"至目的路徑。數(shù)據(jù)分組可以被描述為"將被引導(dǎo)"至目的路徑的 數(shù)據(jù)分組,即使交換設(shè)備110最終可能確定數(shù)據(jù)分組改為被重定向至另一 路徑。類似地,數(shù)據(jù)分組例如可以被描述為"將被重定向"至重定向端口 的數(shù)據(jù)分組,即使交換設(shè)備110最終可能確定數(shù)據(jù)分組改為被引導(dǎo)至目的 路徑。
在交換設(shè)備IIO選擇性地將數(shù)據(jù)分組重定向至交換設(shè)備110的特定端 口的范圍內(nèi),數(shù)據(jù)鏈路層重定向在此可以替代地被稱為"端口重定向"。 在105處,交換機(jī)110從網(wǎng)絡(luò)130接收數(shù)據(jù)分組,該數(shù)據(jù)分組將被引導(dǎo)至 網(wǎng)絡(luò)140中的一個或多個目的地。數(shù)據(jù)分組可以從交換設(shè)備110被引導(dǎo)至 網(wǎng)絡(luò)140,其中,在沒有首先將數(shù)據(jù)分組重定向至網(wǎng)絡(luò)服務(wù)的情況下,交 換設(shè)備110將數(shù)據(jù)分組直接交換到交換設(shè)備110中與網(wǎng)絡(luò)140中的該數(shù)據(jù) 分組的一個或多個目的地相關(guān)聯(lián)的端口 。
替代地,在115處,數(shù)據(jù)分組可以從交換設(shè)備110被重定向至網(wǎng)絡(luò)服 務(wù)120,其中,交換設(shè)備110的交換機(jī)構(gòu)將數(shù)據(jù)分組交換到與網(wǎng)絡(luò)服務(wù)
ii120相關(guān)聯(lián)的交換設(shè)備IIO的重定向端口,而不是將數(shù)據(jù)分組引導(dǎo)至網(wǎng)絡(luò)
140。如這里所討論的,對數(shù)據(jù)分組的這種重定向115至少部分地可以基于網(wǎng)絡(luò)狀況。在數(shù)據(jù)分組從交換設(shè)備IIO被重定向至與網(wǎng)絡(luò)服務(wù)120相關(guān)聯(lián)的重定向端口的情況中,可以由網(wǎng)絡(luò)服務(wù)120執(zhí)行對被重定向的數(shù)據(jù)分組的分析。至少部分地基于所執(zhí)行的分析的結(jié)果,在125處,被重定向的數(shù)據(jù)分組可從網(wǎng)絡(luò)服務(wù)120被返回到交換設(shè)備110。在本發(fā)明的一個實施例中,任何被返回的數(shù)據(jù)分組都可以從交換設(shè)備IIO被發(fā)送到網(wǎng)絡(luò)140中的一個或多個目的地中的至少一個目的地。在圖1中,通信135—般表示將數(shù)據(jù)分組轉(zhuǎn)發(fā)到網(wǎng)絡(luò)140。例如,通信135可以表示(1)將接收到的數(shù)據(jù)分組從交換設(shè)備110引導(dǎo)至網(wǎng)絡(luò)140,或者(2)將被返回的數(shù)據(jù)分組從交換設(shè)備110發(fā)送到網(wǎng)絡(luò)140。
為了將網(wǎng)絡(luò)流量重定向到網(wǎng)絡(luò)服務(wù)120,交換設(shè)備110可以包括與網(wǎng)絡(luò)服務(wù)120相關(guān)聯(lián)的、在這里被稱為重定向端口的至少一個端口。通信115和125可以發(fā)生在交換設(shè)備的單個重定向端口上,或者可以分別發(fā)生在與網(wǎng)絡(luò)服務(wù)120相關(guān)聯(lián)的分離的出口重定向端口以及入口重定向端口上。在本發(fā)明的一個實施例中,交換設(shè)備110是否將接收到的數(shù)據(jù)分組重定向到重定向端口是至少部分地基于網(wǎng)絡(luò)狀況的。換言之,網(wǎng)絡(luò)狀況的存在可以向交換設(shè)備110指示接收到的數(shù)據(jù)分組與交換設(shè)備110的重定向端口相關(guān)聯(lián),進(jìn)而與網(wǎng)絡(luò)服務(wù)120相關(guān)聯(lián)。
在一個實施例中,網(wǎng)絡(luò)狀況可以是數(shù)據(jù)分組本身的狀況。例如,網(wǎng)絡(luò)狀況可以是數(shù)據(jù)分組表示的流量類型。數(shù)據(jù)分組的這種流量類型可以由包含在數(shù)據(jù)分組本身中的信息來指示。例如,數(shù)據(jù)分組的流量類型可以基于這樣的信息,該信息包括但不限于數(shù)據(jù)分組的網(wǎng)絡(luò)源標(biāo)識符、數(shù)據(jù)分組的網(wǎng)絡(luò)目的地標(biāo)識符、數(shù)據(jù)分組的協(xié)議類型、數(shù)據(jù)分組的服務(wù)類型和/或與數(shù)據(jù)分組相關(guān)聯(lián)的應(yīng)用。流量類型可以由數(shù)據(jù)分組中的數(shù)據(jù)鏈路層信息、網(wǎng)絡(luò)層信息和/或其它OSI層信息來指示。替代地或者另外,數(shù)據(jù)分組的流量類型可以包括與數(shù)據(jù)分組在網(wǎng)絡(luò)中的通信有關(guān)的信息。例如,數(shù)據(jù)分組的流量類型可以不同地基于這樣的信息,該信息包括但不限于接收到數(shù)據(jù)分組的端口、接收數(shù)據(jù)分組的時間和/或?qū)?shù)據(jù)分組的接收導(dǎo)致超過了某個閾值的指示。為了說明的目的,這里將在如下示例性情況中進(jìn)行本發(fā)明的描述用于數(shù)據(jù)分組重定向的網(wǎng)絡(luò)狀況是數(shù)據(jù)分組本身的流量類型。將會明白,可以將這些描述擴(kuò)展為指其它類型的網(wǎng)絡(luò)狀況。
在網(wǎng)絡(luò)狀況使得數(shù)據(jù)分組被重定向115至網(wǎng)絡(luò)服務(wù)120的情況下,可以執(zhí)行對數(shù)據(jù)分組的分析,來作為網(wǎng)絡(luò)服務(wù)120提供的服務(wù)的一部分。至
少部分地基于分析結(jié)果,經(jīng)重定向的數(shù)據(jù)分組可能被網(wǎng)絡(luò)服務(wù)120丟棄(未示出)。替代地,在125處,至少部分地基于分析結(jié)果,數(shù)據(jù)分組可以被返回到交換設(shè)備110。在數(shù)據(jù)分組被返回的情況中,交換設(shè)備110可以對被返回的數(shù)據(jù)分組執(zhí)行任何另外的分析或其它操作。此后,交換設(shè)備110可以丟棄被返回的數(shù)據(jù)分組(未示出),或者在135處將被返回的數(shù)據(jù)分組轉(zhuǎn)發(fā)到網(wǎng)絡(luò)140中的一個或多個目的地。
圖2圖示出了實現(xiàn)本發(fā)明一個實施例的配置200。為了說明的目的,配置200示出了圖1的那些特征之外的另外的特征。應(yīng)當(dāng)注意,本發(fā)明的其它實施例可以包括作為對圖2的配置的替代的配置或者除了圖2的配置以外,還包括另外的配置。本發(fā)明的一個實施例可由如下交換設(shè)備來實現(xiàn),該交換設(shè)備可以選擇性地重定向網(wǎng)絡(luò)流量以供一個或多個安全服務(wù)進(jìn)行檢視,其中,重定向是基于某一列網(wǎng)絡(luò)特性標(biāo)識符的。在一個實施例中,可以根據(jù)一個或多個策略的集合來對該列網(wǎng)絡(luò)標(biāo)識符進(jìn)行修改。與圖1的系統(tǒng)100中的交換設(shè)備110相似,配置200中的交換機(jī)201可以選擇性地將來自接收到的網(wǎng)絡(luò)流量的數(shù)據(jù)分組重定向至與IPS 211相關(guān)聯(lián)的端口。在本發(fā)明的一個實施例中,交換機(jī)201可以包括處理器230以實現(xiàn)用于數(shù)據(jù)分組的選擇性端口重定向的邏輯的至少一部分。例如,處理器230可以包括可能已在其上存儲有一個或多個指令的機(jī)器可讀存儲器231,當(dāng)該一個或多個指令由處理器230運(yùn)行時,使得處理器230執(zhí)行如下的至少一部分將數(shù)據(jù)分組選擇性地端口重定向到交換機(jī)201上的與IPS 211相關(guān)聯(lián)的端口。替代地或者另外,交換機(jī)201可以利用硬件來實現(xiàn)對數(shù)據(jù)分組進(jìn)行選擇性端口重定向的至少一部分。
根據(jù)配置200,交換機(jī)201可以(例如,經(jīng)由端口、總線連接或其它接口)在流處置器(flow handler) 202處接收流量220,流處置器202標(biāo)識先前已被IPS 211分析并確定為對網(wǎng)絡(luò)是安全的流。流處置器202例如
還可以包括判斷是否使數(shù)據(jù)分組從交換機(jī)201涌溢的機(jī)構(gòu)。替代地,可由與流處置器202分開的、交換機(jī)201的專用組件(未示出)來進(jìn)行這種判斷。來自這種流的數(shù)據(jù)分組不再被中斷而直接被轉(zhuǎn)發(fā)通過交換機(jī)201。除此以外,任何其它數(shù)據(jù)分組222可以被發(fā)送到流量選擇器208。流量選擇器208可以判斷網(wǎng)絡(luò)狀況是否指示了接收到的數(shù)據(jù)分組與交換設(shè)備的重定向端口相關(guān)聯(lián)(例如,將流量運(yùn)載至交換設(shè)備的重定向端口)。根據(jù)本發(fā)明的特定實施例,流量選擇器208還可以判斷數(shù)據(jù)分組是否是將從交換設(shè)備涌溢的數(shù)據(jù)分組。在一個實施例中,流量選擇器208可以標(biāo)識用于重定向到交換機(jī)201上的與IPS 211相關(guān)聯(lián)的端口的數(shù)據(jù)分組222的流量類型。在一個示例中,可以以流為單位或以服務(wù)(例如,電子郵件、web、SQL、 FTP等)為單位來進(jìn)行對將被重定向的流量類型的標(biāo)識。
至少部分地基于被指示為與IPS 211所關(guān)聯(lián)的端口具有關(guān)聯(lián)性的流量類型的數(shù)據(jù)分組222,數(shù)據(jù)分組可以被重定向至所述"重定向端口"。流量選擇器208被示為在交換機(jī)201中對數(shù)據(jù)分組進(jìn)行重定向223。替代地,可以由交換機(jī)201中與流量選擇器208中的判斷網(wǎng)絡(luò)狀況是否指示接收到的數(shù)據(jù)分組與重定向端口相關(guān)聯(lián)的機(jī)構(gòu)相分離的專用交換機(jī)構(gòu)(未示出)來執(zhí)行這種重定向223。
IPS例如可以經(jīng)由同軸線纜、雙絞線對線纜、并行總線、串行總線等中的任一種來接收被重定向的數(shù)據(jù)223。流量選擇器208可以包括具有條目的表209,條目標(biāo)識了已被標(biāo)記用于進(jìn)一步的分組檢視的流和/或服務(wù)。在此情況中,與表209中的條目相匹配的服務(wù)所關(guān)聯(lián)的數(shù)據(jù)分組可以被重定向至與IPS21相關(guān)聯(lián)的交換機(jī)201上的端口。在一個實施例中,表209在內(nèi)容可尋址存儲器(CAM)中實現(xiàn)。在另一實施例中,將三重CAM亦即TCAM用來實現(xiàn)該表。
IPS211可以分析被重定向的流量223以判斷特定流是好的(例如,安全、不是威脅等)還是壞的(例如,病毒、蠕蟲、拒絕服務(wù)(DoS)攻擊等)。例如,IPS設(shè)備可能判斷出特定流(例如,流A)是好的流。來自好的流224的數(shù)據(jù)分組可以被返回分組轉(zhuǎn)發(fā)器232,分組轉(zhuǎn)發(fā)器232可以對被返回的數(shù)據(jù)分組執(zhí)行進(jìn)一步的分析和/或其它操作。在任何另外的分析或其它操作之后,分組轉(zhuǎn)發(fā)器232可以丟棄被返回的數(shù)據(jù)分組或者將被返
回的數(shù)據(jù)分組作為交換機(jī)201的外出網(wǎng)絡(luò)流量225發(fā)送。IPS 211可以將標(biāo)識流A為好的流的通知發(fā)送給流處置器202。交換機(jī)201可以將流A的流標(biāo)識符存儲在存儲器231中。因此,當(dāng)流A的流標(biāo)識符被存儲在存儲器中之后,與流A相關(guān)聯(lián)的任何后續(xù)接收到的分組就可以在流處置器202中生成與存儲器231中的流A標(biāo)識符的匹配,這可以使得交換機(jī)201將流A分組轉(zhuǎn)發(fā)(221處)通過交換機(jī)201 (225處),而不將它們傳遞經(jīng)過流量選擇器208或者將它們重定向至IPS 211 。
對于從流處置器202被傳遞到流量選擇器208的數(shù)據(jù),表209用來標(biāo)識該數(shù)據(jù)的服務(wù)和/或流,并且將它們與己被標(biāo)記用于漏洞檢視(vulnerability inspection)的服務(wù)禾卩/或流相比較。表209中的條目可以基
于當(dāng)前的總體交換機(jī)流量狀況而被動態(tài)地/自動地更新。總體交換機(jī)流量狀況可由感測器210來檢測。在一個實施例中,交換機(jī)201可以包括監(jiān)視從流處置器202傳遞到流量選擇器208的流量的第一感測器210,以及監(jiān)視流量選擇器208與IPS 211之間的流量的第二感測器210。在其它實施例中,交換機(jī)201可以包括在交換機(jī)201內(nèi)的各個位置處監(jiān)視流量并檢測狀況的一個或多個感測器的任意組合。
感測器210可以收集各種分組統(tǒng)計信息,例如,針對一個或多個流的累積分組計數(shù)、 一時間間隔中的分組計數(shù)的改變或差值(delta)、兩個累積分組計數(shù)的比率,和/或一時間間隔中兩個不同分組計數(shù)的改變或差值的比率??紤]到服務(wù)(例如,電子郵件、SQL、 FTP等)通常利用標(biāo)準(zhǔn)端口號來通信,因此,感測器還可以基于服務(wù)類型來跟蹤分組計數(shù)、變化的流量速率以及各比率。感測器210還可以收集與流相關(guān)聯(lián)的反向/外出流量的統(tǒng)計信息。例如,在一個實施例中,感測器跟蹤針對特定流接收的進(jìn)入傳輸控制協(xié)議(TCP)同步(SYN)分組的數(shù)目。同時,感測器還可以跟蹤與該流相關(guān)聯(lián)的外出TCPSYN確認(rèn)(SYN-ACK)分組的數(shù)目。
感測器210可以將檢測到的狀況報告給選擇管理器206。選擇管理器206包括一個或多個策略207的集合。策略207的這種集合可以被實現(xiàn)為策略數(shù)據(jù)庫。利用策略207的集合中的規(guī)則和/或閾值來分析檢測到的狀況(例如,流量中的尖峰信號、流量擁塞等),以判斷與檢測到的狀況相關(guān)聯(lián)的服務(wù)或流是否具有由IPS 211進(jìn)行進(jìn)一步檢視的正當(dāng)理由。在一個實
施例中,感測器210可能檢測到進(jìn)入交換機(jī)201的電子郵件流量的反常增加。如果該反常觸發(fā)了策略207集合中的一個策略的規(guī)則或者超過了閾值,則選擇管理器206可以自動更新表209以包括該電子郵件流量。因此,由流量選擇器208接收到的任何后續(xù)電子郵件流量都可以被重定向至IPS211供漏洞檢測。在另一實施例中,感測器210可以檢測因IPS 211的有限帶寬引起的經(jīng)重定向的流量223中的擁塞。在此情況中,選擇管理器206可以通過按照需要移除一個或多個服務(wù)來自動地修改表209,以減少流向IPS 211的經(jīng)重定向的流量223。
為了允許動態(tài)更新流量選擇策略207而無需手動配置和/或中斷交換機(jī)201的工作,本發(fā)明的實施例可以包括異常接收機(jī)205,來接收并處理異常檢測信息以供交換機(jī)201使用。如這里所使用的,"異常檢測"被理解為是指網(wǎng)絡(luò)領(lǐng)域公知的、被執(zhí)行來確定對網(wǎng)絡(luò)的潛在安全危險的多種分析方法中的任一種。例如可以從對單個數(shù)據(jù)分組的內(nèi)容的分析中和/或從隨著時間的過去對跨越多個數(shù)據(jù)分組、流、服務(wù)等的模式(pattern)分析中生成異常檢測信息。例如,在異常接收機(jī)205處接收到的類型的異常檢測信息可以包括但不限于惡意軟件描述、基于簽名的入侵檢測數(shù)據(jù)、基于簡檔(profile)的入侵檢測數(shù)據(jù)、流量模式匹配數(shù)據(jù)、有狀態(tài)(stateful)流量模式匹配數(shù)據(jù)、基于協(xié)議解碼的分析數(shù)據(jù)、基于啟發(fā)式的分析數(shù)據(jù)等。
在各個實施例中,例如在異常接收機(jī)205處接收到的異常檢測信息可以用來生成將被傳輸?shù)教幹镁W(wǎng)絡(luò)流量中的數(shù)據(jù)的機(jī)構(gòu)(例如,流量選擇器208、安全規(guī)則引擎203和/或IPS 211)的動作。在圖2的示例中,選擇管理器206可以基于接收到的異常檢測信息來生成多種這樣的動作和/或可以基于其執(zhí)行所述動作的各種相對應(yīng)條件中的任一個。可以用來確定是否可以采取數(shù)據(jù)處置動作和/或可以如何采取數(shù)據(jù)處置動作的條件的一個示例是給定警戒水平的狀態(tài)。例如,諸如流量選擇器208之類的交換機(jī)201中的機(jī)構(gòu)之一可以存儲或以其他方式訪問指示了對配置200的至少一部分的現(xiàn)有安全威脅的警戒水平(未示出)。當(dāng)確定在處置接收到的流量222時要
采取的動作時,流量選擇器208可以將該警戒水平與選擇管理器206所提供的條件相比較??梢詫⑦@種動作和/或條件例如經(jīng)由連接231和/或連接230選擇性地傳輸?shù)教幹镁W(wǎng)絡(luò)流量中的數(shù)據(jù)的機(jī)構(gòu)。連接231例如可以是同軸線纜、雙絞線對線纜、并行總線、串行總線等中的任一種。
將在異常接收機(jī)205中接收的異常檢測信息可以起源于多種源中的任一種,在圖2中通過圖示說明的方式示出了精選的源。首先,圖2示出了IPS 211,其將異常檢測信息提供給異常接收機(jī)205-在此情況中,經(jīng)由連接231提供給選擇管理器206。其次,交換機(jī)201被示為包括耦合到流處置器202的安全規(guī)則引擎203,其可以將異常檢測信息提供給異常接收機(jī)205-在此情況中,經(jīng)由連接230提供給選擇管理器206。安全規(guī)則引擎203例如可以是這樣的模塊,該模塊分析流量220,并且通過基于所述流量分析導(dǎo)出和/或?qū)嵭幸唤M安全規(guī)則204,來在流處置器202處提供第一級威脅檢測和減緩。這種安全規(guī)則引擎203的一個示例是Extreme Networks CLEAR-Flow安全規(guī)則引擎,其可以基于網(wǎng)絡(luò)流量分析以及諸如規(guī)則204之類的安全規(guī)則來判斷是否過濾、重定向、阻止和/或轉(zhuǎn)發(fā)服務(wù)和/或流。此外,諸如CLEAR-Flow安全規(guī)則引擎之類的安全規(guī)則引擎203還可以將從這種網(wǎng)絡(luò)流量分析中得到的任何異常檢測信息中繼到異常接收機(jī)205。再次,由交換機(jī)201內(nèi)的各個感測器210提供的信息可以由異常接收機(jī)205接收。未在圖2中示出的異常檢測信息的其它源可以包括在交換機(jī)201外部的、對網(wǎng)絡(luò)流量進(jìn)行操作的安全檢測和/或減緩代理。
異常檢測信息的源可以通過多種手段與異常接收機(jī)205通信,這些手段包括但不限于由異常接收機(jī)205進(jìn)行的輪詢(poll)、由異常檢測信息的源發(fā)送識別出的中斷,和/或經(jīng)協(xié)定的數(shù)據(jù)通信協(xié)議。在異常接收機(jī)205接收異常檢測信息之后,異常檢測信息可以被處理并被傳輸?shù)竭x擇管理器206以用于更新策略207和/或表209。在本發(fā)明的一個實施例中,可以動態(tài)地更新策略207而無需重啟交換機(jī)201中的數(shù)據(jù)處理系統(tǒng)的某部分。這例如可以通過將選擇管理器206的至少一些功能實現(xiàn)為模塊式操作系統(tǒng)的一個或多個獨(dú)立組件來實現(xiàn)。通過利用模塊式操作系統(tǒng)或類似技術(shù)
17來隔離配置200的某些組件的運(yùn)行時間操作,可以實時地更新這些組件而
不用中斷交換機(jī)201對接收到的網(wǎng)絡(luò)流量220的處置。這種模塊式方法的一個示例是將選擇管理器的至少一部分實現(xiàn)為Extreme Networks ExtremeXOS 模塊式操作系統(tǒng)中的模塊。
雖然并非配置200中的所有特征都可能不需要實施本發(fā)明的某些實施例,然而,上面討論的特征說明了可以用來確定由交換機(jī)201對數(shù)據(jù)分組進(jìn)行端口重定向的各種各樣的網(wǎng)絡(luò)狀況。例如,雖然在OSI第2層上實現(xiàn)端口重定向,但是可以由與包含在經(jīng)重定向的數(shù)據(jù)分組中的任何OSI第2層數(shù)據(jù)不相關(guān)的網(wǎng)絡(luò)信息來指示端口重定向所基于的網(wǎng)絡(luò)狀況。
在處理數(shù)據(jù)分組的過程中,交換機(jī)201可能能夠存儲和/或更新對數(shù)據(jù)分組將被發(fā)送至何處的當(dāng)前指示,該指示至少部分地基于交換機(jī)201迄今為止執(zhí)行的對數(shù)據(jù)分組的處理。在最簡單的情況中,當(dāng)數(shù)據(jù)分組到達(dá)交換機(jī)201時,存儲器231包括與數(shù)據(jù)分組相關(guān)聯(lián)的數(shù)據(jù)塊。例如在流處置器202對數(shù)據(jù)分組進(jìn)行處理之后,對數(shù)據(jù)分組將被發(fā)送到何處的第一指示可以被寫入存儲器231中。存儲器231中的這種當(dāng)前指示例如可以包括單個端口標(biāo)識符或者諸如位映射(bitmap)之類的端口標(biāo)簽索引(PTI),其中,每個所設(shè)置的"位"表示交換機(jī)201上的端口,該端口在當(dāng)前被認(rèn)為是數(shù)據(jù)分組將被發(fā)送去往的端口。在一個實施例中,所存儲的對數(shù)據(jù)分組將被發(fā)送到何處的指示例如可以基于數(shù)據(jù)分組的MAC DA或IP DA。
由于數(shù)據(jù)分組可能被不同地引導(dǎo)至流量選擇器208、 IPS 211和/或分組轉(zhuǎn)發(fā)器232,因此,例如當(dāng)存儲器231中的數(shù)據(jù)被對數(shù)據(jù)分組將被發(fā)送到何處的更新的"當(dāng)前"指示改寫或者更新的"當(dāng)前"指示被添加到存儲器231中的數(shù)據(jù)中時,對數(shù)據(jù)分組將被發(fā)送到何處的"當(dāng)前"指示就變成了 "先前"指示。在一個實施例中,交換機(jī)201可以存儲對數(shù)據(jù)分組將被發(fā)送到何處的新的當(dāng)前指示,以及一個或多個較舊的指示。最終,可以在數(shù)據(jù)分組從交換機(jī)201被發(fā)送之前,從存儲器231讀出對數(shù)據(jù)分組將被發(fā)送到何處的最近的指示,以確定該數(shù)據(jù)分組的最終的一個或多個目的地端□。
在本發(fā)明的各個其它實施例中,交換機(jī)201中的各個組件可以以各種方式支持對數(shù)據(jù)分組將被發(fā)送到何處的一個或多個指示的存儲。例如,流
處置器202、流量選擇器208和/或分組轉(zhuǎn)發(fā)器232中的一個或多個可以各自維護(hù)它們自身的數(shù)據(jù)結(jié)構(gòu),以便以各種方式存儲、跟蹤和或提供對數(shù)據(jù)分組將(或者已經(jīng))被發(fā)送到何處的一個或多個指示。為了實施本發(fā)明的一個實施例的目的,所存儲的對數(shù)據(jù)分組將被發(fā)送到何處的指示可以容易地被取回,這使得交換機(jī)201可以更快地實現(xiàn)端口重定向方法,如這里所討論的。
圖3圖示出了根據(jù)本發(fā)明的一個實施例可以被重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的端口的數(shù)據(jù)分組300的示例性結(jié)構(gòu)。數(shù)據(jù)分組300的確切內(nèi)容和/或結(jié)構(gòu)可能根據(jù)用來發(fā)送和/或封裝這里的數(shù)據(jù)的特定協(xié)議而變化。數(shù)據(jù)分組可以包括數(shù)據(jù)的有效載荷340,該數(shù)據(jù)的有效載荷340將從網(wǎng)絡(luò)源被傳輸?shù)揭粋€或多個網(wǎng)絡(luò)目的地。在有效載荷340被發(fā)送經(jīng)過網(wǎng)絡(luò)的過程中,其可以被一個或多個頭部封裝。例如,數(shù)據(jù)分組300可以包括媒體訪問控制(MAC)頭部310,例如遵循電氣電子工程師協(xié)議(IEEE) 802.3的頭部,該頭部可以包括指示數(shù)據(jù)分組來自的源的MAC地址的MAC源地址311、指示數(shù)據(jù)分組將被發(fā)送去往的至少一個目的地的MAC目的地地址312、指示數(shù)據(jù)分組所屬的虛擬局域網(wǎng)(VLAN)的VLAN標(biāo)簽313、以及指示有效載荷340的長度或協(xié)議類型中的至少一個的長度/類型字段314。數(shù)據(jù)分組300還可以包括因特網(wǎng)協(xié)議(IP)頭部,該頭部可以包括指示數(shù)據(jù)分組來自的源的IP地址的IP源地址321、指示數(shù)據(jù)分組將被發(fā)送去往的至少一個目的地的IP目的地地址322、指示數(shù)據(jù)分組為特定數(shù)據(jù)報的一個片段的標(biāo)識字段323、指示所請求的用于處置數(shù)據(jù)分組的參數(shù)的服務(wù)類型(TOS)字段324、指示數(shù)據(jù)報的壽命的存活時間(TTL)字段325,以及指示IP分組頭部320的特定格式的版本字段326。
MAC頭部310以及IP頭部320中的各個字段的每個都是數(shù)據(jù)分組300的流量類型的一個示例,其可以判斷數(shù)據(jù)分組300是否將被重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的交換機(jī)中的重定向端口 。在本發(fā)明的各個實施例中,替代地或者另外,可以至少部分地基于數(shù)據(jù)分組300的其它頭部330中的一個或多個字段、有效載荷340中的信息和/或諸如由感測器210檢測到的那些狀況之類的總體的交換機(jī)流量狀況,來將數(shù)據(jù)分組300重定向至重定 向端口。
為了說明的目的,這里將參考配置200來描述對數(shù)據(jù)分組300的重定 向。然而,將會明白,在本發(fā)明的不同實施例中,配置200可以重定向其 它類型的數(shù)據(jù)分組,并且替代地,可以根據(jù)由除配置200之外的配置實現(xiàn) 的本發(fā)明的各個實施例來重定向數(shù)據(jù)分組300。在此說明性情況中,數(shù)據(jù) 分組300在交換機(jī)201中被接收,并被發(fā)送到流量選擇器208,用于判斷 網(wǎng)絡(luò)狀況是否指示了數(shù)據(jù)分組300與IPS 211所關(guān)聯(lián)的交換機(jī)201的重定 向端口相關(guān)聯(lián)。根據(jù)本發(fā)明的一個實施例,將數(shù)據(jù)分組300從交換機(jī)201 重定向至與IPS 211相關(guān)聯(lián)的端口還至少部分地基于數(shù)據(jù)分組是否是將從 交換機(jī)201涌溢的數(shù)據(jù)分組。
如這里所使用的,使數(shù)據(jù)分組從交換機(jī)涌溢一般是指在缺少對數(shù)據(jù) 分組應(yīng)當(dāng)被發(fā)送到特定的一個或多個網(wǎng)絡(luò)路徑的指示的情況下,與之不同 地將數(shù)據(jù)分組發(fā)送到許多網(wǎng)絡(luò)路徑。對于數(shù)據(jù)鏈路層上的交換,使數(shù)據(jù)分
組從交換設(shè)備涌溢更具體地指在缺少對數(shù)據(jù)分組應(yīng)當(dāng)被發(fā)送到交換設(shè)備
的一個或多個特定端口的指示的情況下,與之不同地將數(shù)據(jù)分組發(fā)送到交 換設(shè)備的多個可能的端口。為了簡練和清楚起見,將參考數(shù)據(jù)鏈路層涌溢 來討論數(shù)據(jù)分組涌溢。網(wǎng)絡(luò)領(lǐng)域的技術(shù)人員將會明白,這里對本發(fā)明實施 例的描述中的涌溢的引用可以被擴(kuò)展為包括其它類型的數(shù)據(jù)涌溢,例如網(wǎng) 絡(luò)層IP多播。
在MAC目的地地址(DA) 312為廣播MAC DA的情況中,可以使數(shù) 據(jù)分組300從交換機(jī)201涌溢,廣播MAC DA通常指示數(shù)據(jù)分組將從交換 機(jī)201的所有端口被廣播。替代地,在MAC DA 312為交換機(jī)201不知道 的MAC地址的情況中,可以使數(shù)據(jù)分組300從交換機(jī)201涌溢。例如當(dāng) 交換機(jī)201試圖在轉(zhuǎn)發(fā)數(shù)據(jù)庫(FDB)中查找MAC DA 312以確定與 MACDA312相關(guān)聯(lián)的端口時,這種情況可能發(fā)生。在FDB査找結(jié)果為未 査到的情況中,在缺少對數(shù)據(jù)分組300應(yīng)當(dāng)被發(fā)送到特定端口的指示的情 況下,與之不同地交換機(jī)201可以在某些境況中使數(shù)據(jù)分組300涌溢到交 換機(jī)201的一個或多個端口。IPS 211將經(jīng)重定向的數(shù)據(jù)分組返回交換機(jī)201的這種可能性可能引起 諸如數(shù)據(jù)分組在不正確端口上被發(fā)送的問題和/或數(shù)據(jù)分組環(huán)路的問題。這
在將從交換機(jī)201涌溢的數(shù)據(jù)分組的情況中尤其為真。因此,在對數(shù)據(jù)分 組300進(jìn)行選擇性重定向時,本發(fā)明的實施例包括對數(shù)據(jù)分組300是否是 將從交換機(jī)201涌溢的這些潛在的問題數(shù)據(jù)分組之一進(jìn)行評估。下面將討 論這種評估如何可以被包括作為端口重定向的一部分的示例。
在本發(fā)明的不同實施例中,采取了另外的措施來確保數(shù)據(jù)分組在網(wǎng)絡(luò) 中通過交換機(jī)201被可靠地發(fā)送。例如,可以將把流量運(yùn)載到IPS 211的 重定向端口與數(shù)據(jù)分組從交換設(shè)備201的任何涌溢隔離。當(dāng)數(shù)據(jù)分組300 被確定為與交換機(jī)201的重定向端口不相關(guān)聯(lián),而是,數(shù)據(jù)分組300是將 從交換機(jī)201涌溢的數(shù)據(jù)分組時,這防止了將數(shù)據(jù)分組300不慎地重定向 至IPS211。如果允許重定向端口運(yùn)載涌溢的流量,則IPS211不必發(fā)送尚 未被標(biāo)識為需要分析的流量或者已被標(biāo)識為不需要分析的流量。對重定向 端口的隔離例如可以包括從運(yùn)載(或者以其他方式支持)特定虛擬局域 網(wǎng)(VLAN)流量的一組端口中排除重定向端口。
另外地或者替代地,交換機(jī)201可以被配置為使得不對如下重定向端 口執(zhí)行MAC學(xué)習(xí),該重定向端口將被返回的流量從IPS 211運(yùn)載回交換機(jī) 201。 MAC學(xué)習(xí)使得交換機(jī)201將數(shù)據(jù)分組的特定源MAC地址與接收該 數(shù)據(jù)分組的、交換機(jī)的端口相關(guān)聯(lián)。只要應(yīng)當(dāng)將MAC源地址311與數(shù)據(jù) 分組300最初來自的地方,即運(yùn)載流量220的端口,而非從IPS 211返回 數(shù)據(jù)分組的重定向端口相關(guān)聯(lián),就應(yīng)當(dāng)針對該返回重定向端口關(guān)閉MAC 學(xué)習(xí),以防止MAC移動-對與給定MAC源地址相關(guān)聯(lián)的端口的不希望的 重新學(xué)習(xí)。用于關(guān)閉對網(wǎng)絡(luò)端口的MAC學(xué)習(xí)的交換機(jī)配置的各種公知方 法可從商業(yè)渠道獲得,因此,除了描述本發(fā)明的實施例的操作的需要之 外,在此不進(jìn)行詳細(xì)描述。
圖4A圖示出了根據(jù)本發(fā)明一個實施例用于選擇性地執(zhí)行將數(shù)據(jù)分組 端口重定向至網(wǎng)絡(luò)服務(wù)的方法400。該方法例如可以由圖2所示的交換機(jī) 201中的流量選擇器208來執(zhí)行。方法400在405中開始,其中,交換設(shè) 備作好了執(zhí)行將數(shù)據(jù)分組重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的端口的準(zhǔn)備。在
21410中,數(shù)據(jù)分組被交換設(shè)備接收,該數(shù)據(jù)分組將被引導(dǎo)至網(wǎng)絡(luò)中的一個 或多個目的地。接收到數(shù)據(jù)分組后,在415中,判斷是否將使接收到的數(shù) 據(jù)分組從交換設(shè)備涌溢。如前面所討論的,這種涌溢例如可以由數(shù)據(jù)分組
的廣播MAC DA來指示或者通過對數(shù)據(jù)分組的MAC DA的FDB査找的結(jié) 里^主古5ii龍ife^
^Tv乂;; /|、_& h ,j ' o
對于IP多播數(shù)據(jù)分組的情況,判斷數(shù)據(jù)分組是否將從交換設(shè)備涌溢可
以通過判斷數(shù)據(jù)分組是否包括多播IP DA來指示,多播IP DA例如是在因 特網(wǎng)編號分配管理機(jī)構(gòu)(IANA)的Albanna, Z., Almeroth, K., Meyer, D.和 M. Schipper的2001年8月的請求注釋(RFC) 3171,當(dāng)前最佳實施(BCP) 51中的"IANA Guidelines for IPv4 Multicast Address Assignments"中描述
的多播IP DA。這可以通過例如將條目添加到流量選擇器ACL中以在重定 向端口上捕獲任何多播流量來實現(xiàn)。例如,ACL條目可以被設(shè)置為對具有 224.0.0.0 IP DA的流量進(jìn)行響應(yīng),以便捕獲IP多播流量。
如果將使數(shù)據(jù)分組涌溢,則在420中,使數(shù)據(jù)分組從交換設(shè)備涌溢, 而沒有預(yù)先將數(shù)據(jù)分組重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的重定向端口。在一個 實施例中,420中的數(shù)據(jù)分組從交換設(shè)備涌溢不包括在重定向端口上發(fā)送 數(shù)據(jù)分組。如果不使數(shù)據(jù)分組從交換設(shè)備涌溢,則在425中,判斷是否發(fā) 生了流量選擇器匹配,例如數(shù)據(jù)分組的流量類型(或類似網(wǎng)絡(luò)狀況)是否 指示了數(shù)據(jù)分組與交換設(shè)備的重定向端口相關(guān)聯(lián)。如果存在流量選擇器匹 配,則在435中,將數(shù)據(jù)分組重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的重定向端口。 如果不存在流量選擇器匹配,則在430中,將數(shù)據(jù)分組從交換設(shè)備轉(zhuǎn)發(fā) (在此情況中,引導(dǎo))至數(shù)據(jù)分組的一個或多個目的地,而沒有首先將數(shù) 據(jù)分組重定向到網(wǎng)絡(luò)服務(wù)供進(jìn)一步分析。雖然流量選擇器208例如可以包 括執(zhí)行方法400的所有歩驟的邏輯,然而,在替代實施例中,可以與判斷 是否存在流量選擇器匹配的機(jī)構(gòu)相分離地來實現(xiàn)判斷數(shù)據(jù)分組是否將從交 換設(shè)備涌溢的機(jī)構(gòu)。
圖4B圖示出了根據(jù)本發(fā)明另一實施例用于選擇性地執(zhí)行將數(shù)據(jù)分組 端口重定向至網(wǎng)絡(luò)服務(wù)的方法450。該方法例如可以由圖2所示的配置 200中的交換機(jī)201執(zhí)行。方法450在455中開始,其中,交換設(shè)備作好了執(zhí)行將數(shù)據(jù)分組重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的端口的準(zhǔn)備。在460中, 數(shù)據(jù)分組由交換設(shè)備接收,該數(shù)據(jù)分組將被引導(dǎo)至網(wǎng)絡(luò)中的一個或多個目
的地。接收到數(shù)據(jù)分組后,在465中,判斷是否發(fā)生了流量選擇器匹配,
例如,數(shù)據(jù)分組的流量類型(或類似網(wǎng)絡(luò)狀況)是否指示了數(shù)據(jù)分組與交
換設(shè)備的重定向端口相關(guān)聯(lián)。如果不存在流量選擇器匹配,則在470中將 數(shù)據(jù)分組從交換設(shè)備引導(dǎo)至數(shù)據(jù)分組的一個或多個目的地,而沒有首先將 數(shù)據(jù)分組重定向至網(wǎng)絡(luò)服務(wù)供進(jìn)一步分析。
如果存在流量選擇器匹配,則在475中判斷接收到的數(shù)據(jù)分組是否將 從交換設(shè)備涌溢。如前面所討論的,這種涌溢可由數(shù)據(jù)分組的廣播MAC DA來指示,或者例如通過對數(shù)據(jù)分組的MAC DA的FDB查找的結(jié)果為 未査到來指示。如果將使數(shù)據(jù)分組涌溢,則在485中使數(shù)據(jù)分組從交換設(shè) 備涌溢,而沒有預(yù)先將數(shù)據(jù)分組重定向至與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的重定向端 口。在一個實施例中,485中數(shù)據(jù)分組從交換設(shè)備涌溢不包括在重定向端 口上發(fā)送數(shù)據(jù)分組。如果不使數(shù)據(jù)分組從交換設(shè)備涌溢,則在480中將數(shù) 據(jù)分組重定向至網(wǎng)絡(luò)服務(wù)供進(jìn)一步分析。與方法400 —樣,可以與判斷是 否存在流量選擇器匹配的機(jī)構(gòu)一起或相分離地來實現(xiàn)判斷數(shù)據(jù)分組是否將 從交換設(shè)備涌溢的機(jī)構(gòu)。
取決于本發(fā)明實施例的特定實施方式,并且取決于被選擇性地重定向 的特定數(shù)據(jù)分組,當(dāng)數(shù)據(jù)分組被交換設(shè)備處理時,本發(fā)明特定實施例可以 存儲任意數(shù)目的對數(shù)據(jù)分組將被發(fā)送到何處的不同指示。例如,在460中 接收數(shù)據(jù)分組之后,可以存儲指示該數(shù)據(jù)分組將被發(fā)送到與數(shù)據(jù)分組的 MAC DA相關(guān)聯(lián)的一個或多個端口的PTI。然而,在465中判定存在流量 選擇器匹配之后,可以存儲指示數(shù)據(jù)分組將被發(fā)送到重定向端口的另一 PTI。最后,在475中對將使數(shù)據(jù)分組從交換設(shè)備涌溢的判定可能導(dǎo)致需 要再次存儲PTI,此時PTI指示數(shù)據(jù)分組將從交換設(shè)備涌溢。
在最簡單的情況中,本發(fā)明的實施例可以簡單地再次査看數(shù)據(jù)分組的 MACDA。然而,這可能導(dǎo)致對數(shù)據(jù)分組的浪費(fèi)性重定向,以及例如重復(fù) 的耗費(fèi)資源的FDB查找。在本發(fā)明的另一實施例中,可以從先前存儲的指 示之一中取回對數(shù)據(jù)分組的一個或多個目的地端口的正確指示。例如,在475中對將使數(shù)據(jù)分組從交換設(shè)備涌溢的判定可以引起對存
儲在序列控制表(SCT)中的特定指令的觸發(fā)。這些SCT指令例如可以存 儲在存儲器231中供處理器230執(zhí)行。在本發(fā)明的一個實施例中,SCT指 令取回先前存儲的、對數(shù)據(jù)分組將被涌溢去往的交換設(shè)備的那些端口的某 個指示。在一個實施例中,SCT指令的執(zhí)行使得取回了基于數(shù)據(jù)分組的 MAC DA或IP DA的對數(shù)據(jù)分組將被發(fā)送到何處的指示。被取回的該指示 隨后可以取代對數(shù)據(jù)分組將被發(fā)送到何處的最近指示,并且確定數(shù)據(jù)分組 從交換設(shè)備的實際發(fā)送。
這里描述了用于在交換設(shè)備中重定向數(shù)據(jù)分組的技術(shù)和體系結(jié)構(gòu)。在 描述中,為了說明的目的,闡述了多個具體細(xì)節(jié)以提供對本發(fā)明的透徹理 解。然而,本領(lǐng)域技術(shù)人員將清楚,可以不用這些具體細(xì)節(jié)來實施本發(fā)
明。在其它實例中,以框圖形式示出了結(jié)構(gòu)和設(shè)備以避免模糊描述。
在說明書中,對"一個實施例"或"實施例"的引用是指結(jié)合實施例 描述的特定特征、結(jié)構(gòu)或特性包括在本發(fā)明的至少一個實施例中。出現(xiàn)在 說明書中各個位置處的短語"在一個實施例中"不一定都指同一實施例。
下面的詳細(xì)描述的某些部分是根據(jù)對計算機(jī)存儲器內(nèi)的數(shù)據(jù)比特進(jìn)行 的操作的算法和符號表示來呈現(xiàn)的。這些算法的描述和表示是網(wǎng)絡(luò)領(lǐng)域的 技術(shù)人員用來最有效地向本領(lǐng)域技術(shù)人員傳達(dá)他們工作的實質(zhì)的手段。算 法在此并且通常被認(rèn)為是產(chǎn)生所希望結(jié)果的自洽的(self-consistent)步驟 序列。步驟是需要對物理參量進(jìn)行物理操縱的那些步驟。通常,盡管不是 必然的,這些參量采取能夠被存儲、傳送、組合、比較以及以其它方式被 操縱的電信號或磁信號的形式。主要為了慣常使用的原因,已證明將這些 信號稱為比特、值、元素、符號、字符、項、數(shù)字等有時候是方便的。
然而,應(yīng)當(dāng)記住,所有的這些以及類似術(shù)語將與適當(dāng)?shù)奈锢韰⒘肯嚓P(guān) 聯(lián),并且僅僅是應(yīng)用于這些參量的便利標(biāo)記。除非特別指出,否則如從下 面的討論將清楚的,將會理解,在整個描述中,使用諸如"處理"或"運(yùn) 算"或"計算"或"判斷"或"顯示"之類的術(shù)語的討論是指計算機(jī)系統(tǒng) 或類似電子計算設(shè)備的動作和處理,這些動作和處理操縱表示為計算機(jī)系 統(tǒng)的寄存器和存儲器內(nèi)的物理(電)參量的數(shù)據(jù),并將其變換為類似地表
24示為計算機(jī)系統(tǒng)的存儲器或寄存器或者其它這種信息存儲、傳輸或顯示設(shè) 備內(nèi)的物理參量的其它數(shù)據(jù)。
本發(fā)明的實施例還與執(zhí)行這里的操作的裝置有關(guān)。該裝置可以專門地 被構(gòu)建用于所需要的目的,或者可以包括由存儲在計算機(jī)中的計算機(jī)程序 選擇性地激活或重新配置的通用計算機(jī)。這種計算機(jī)程序可以被存儲在計 算機(jī)可讀存儲介質(zhì)中,計算機(jī)可讀存儲介質(zhì)例如是但不限于包括軟盤、光
盤、CD-ROM以及磁光盤在內(nèi)的任何類型的盤、只讀存儲器(ROM)、 隨機(jī)存取存儲器(RAM) 、 EPROM、 EEPROM、磁卡或光學(xué)卡,或者適 合于存儲電子指令并且每個都耦合到計算機(jī)系統(tǒng)總線的任何類型的介質(zhì)。
這里呈現(xiàn)的算法和顯示并不固有地與任何特定計算機(jī)或其它裝置有 關(guān)??梢愿鶕?jù)這里的教導(dǎo)將各種通用系統(tǒng)與程序一起使用,或者可以證 明,構(gòu)建執(zhí)行所需方法步驟的更專用裝置是便利的。將從下面的描述中清 楚用于各種各樣的這些系統(tǒng)的所需結(jié)構(gòu)。另外,本發(fā)明未參考任何特定編 程語言來進(jìn)行描述。將會理解,可以將各種編程語音用來實現(xiàn)這里所述的 本發(fā)明的教導(dǎo)。
權(quán)利要求
1.一種方法,包括在網(wǎng)絡(luò)中的交換設(shè)備處接收數(shù)據(jù)分組,所述數(shù)據(jù)分組將被引導(dǎo)至所述網(wǎng)絡(luò)中的一個或多個目的地;判斷所述網(wǎng)絡(luò)的狀況是否指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),其中,所述重定向端口與被配置為基于對經(jīng)重定向的數(shù)據(jù)分組的分析來將所述經(jīng)重定向的數(shù)據(jù)分組返回所述交換設(shè)備的網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián);判斷所述數(shù)據(jù)分組是否將從所述交換設(shè)備涌溢;以及如果所述網(wǎng)絡(luò)的狀況指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),以及如果所述數(shù)據(jù)分組不從所述交換設(shè)備涌溢,則將接收到的數(shù)據(jù)分組重定向至所述交換設(shè)備的重定向端口。
2. 如權(quán)利要求1所述的方法,其中,所述網(wǎng)絡(luò)的狀況包括所述接收到 的數(shù)據(jù)分組的流量類型。
3. 如權(quán)利要求1所述的方法,其中,判斷所述數(shù)據(jù)分組是否將從所述 交換設(shè)備涌溢包括如下步驟中的至少一個步驟判斷所述接收到的數(shù)據(jù)分組是否包括廣播媒體訪問控制(MAC)目的 地地址,以及判斷所述接收到的數(shù)據(jù)分組是否包括與轉(zhuǎn)發(fā)數(shù)據(jù)庫中的任何條目都不 相對應(yīng)的媒體訪問控制(MAC)目的地地址。
4. 如權(quán)利要求1所述的方法,其中,判斷所述數(shù)據(jù)分組是否將從交換 機(jī)涌溢包括判斷所述接收到的數(shù)據(jù)分組是否包括因特網(wǎng)協(xié)議(IP)多播 目的地地址。
5. 如權(quán)利要求1所述的方法,其中,所述接收到的數(shù)據(jù)分組將從交換 機(jī)涌溢,所述方法還包括使所述接收到的數(shù)據(jù)分組從交換設(shè)備涌溢,而沒有將所述接收到的數(shù) 據(jù)分組發(fā)送到所述交換設(shè)備的任何重定向端口 。
6. 如權(quán)利要求5所述的方法,其中,使所述接收到的數(shù)據(jù)分組從交換設(shè)備涌溢,而沒有將所述接收到的數(shù)據(jù)分組發(fā)送到所述交換設(shè)備的任何重 定向端口包括將所述交換設(shè)備的重定向端口與數(shù)據(jù)分組從所述交換設(shè)備 的任何涌溢相隔離。
7. 如權(quán)利要求6所述的方法,其中,將所述交換設(shè)備的重定向端口與 數(shù)據(jù)分組從所述交換設(shè)備的任何涌溢相隔離包括從支持虛擬局域網(wǎng)(VLAN)的一組端口中排除所述交換設(shè)備的重定向端口。
8. 如權(quán)利要求5所述的方法,其中,所述網(wǎng)絡(luò)的狀況指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到的數(shù)據(jù)分組從所述交換設(shè)備涌溢包括利用對使數(shù)據(jù)分組涌溢至所述交換設(shè)備的 至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交換設(shè)備的重定向端口的指示。
9. 如權(quán)利要求8所述的方法,其中,利用對使數(shù)據(jù)分組涌溢至所述交換設(shè)備的至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交換設(shè)備的重定向端口的指示包括執(zhí)行存儲在序列控制表(SCT)中的一個或多個命令以取回所述交換設(shè)備的所述至少一個其它端口的標(biāo)識符。
10. 如權(quán)利要求5所述的方法,其中,所述網(wǎng)絡(luò)的狀況指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到的數(shù)據(jù)分組從所述交換設(shè)備涌溢包括實行針對所述交換設(shè)備的重定向端口的訪問控制列表的規(guī)則,所述規(guī)則防止將具有因特網(wǎng)協(xié)議(IP)多播目的地 地址的任何數(shù)據(jù)分組重定向至所述交換設(shè)備的重定向端口 。
11. 一種存儲有指令集的機(jī)器可讀介質(zhì),所述指令集在被一個或多個處理器執(zhí)行時,使得所述一個或多個處理器執(zhí)行包括如下步驟的方法在網(wǎng)絡(luò)中的交換設(shè)備處接收數(shù)據(jù)分組,所述數(shù)據(jù)分組將被引導(dǎo)至所述 網(wǎng)絡(luò)中的一個或多個目的地;判斷所述網(wǎng)絡(luò)的狀況是否指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重 定向端口相關(guān)聯(lián),其中,所述重定向端口與被配置為基于對經(jīng)重定向的數(shù) 據(jù)分組的分析結(jié)果來將所述經(jīng)重定向的數(shù)據(jù)分組返回所述交換設(shè)備的網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián);判斷所述數(shù)據(jù)分組是否將從所述交換設(shè)備涌溢;以及如果所述網(wǎng)絡(luò)的狀況指示接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向 端口相關(guān)聯(lián),以及如果所述數(shù)據(jù)分組不從所述交換設(shè)備涌溢,則將接收到 的數(shù)據(jù)分組重定向至所述交換設(shè)備的重定向端口 。
12. 如權(quán)利要求11所述的機(jī)器可讀介質(zhì),其中,所述網(wǎng)絡(luò)的狀況包括 所述接收到的數(shù)據(jù)分組的流量類型。
13. 如權(quán)利要求11所述的機(jī)器可讀介質(zhì),其中,判斷所述數(shù)據(jù)分組是 否將從所述交換設(shè)備涌溢包括如下步驟中的至少一個步驟判斷所述接收到的數(shù)據(jù)分組是否包括廣播媒體訪問控制(MAC)目的 地地址,判斷所述接收到的數(shù)據(jù)分組是否包括與轉(zhuǎn)發(fā)數(shù)據(jù)庫中的任何條目都不相對應(yīng)的媒體訪問控制(MAC)目的地地址,以及判斷所述接收到的數(shù)據(jù)分組是否包括因特網(wǎng)協(xié)議(IP)多播目的地地址。
14. 如權(quán)利要求11所述的機(jī)器可讀介質(zhì),其中,所述接收到的數(shù)據(jù)分組將從交換機(jī)涌溢,所述方法還包括使所述接收到的數(shù)據(jù)分組從交換設(shè)備涌溢,而沒有將所述接收到的數(shù) 據(jù)分組發(fā)送到所述交換設(shè)備的任何重定向端口。
15. 如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,使所述接收到的數(shù)據(jù)分組從交換設(shè)備涌溢,而沒有將所述接收到的數(shù)據(jù)分組發(fā)送到所述交換設(shè)備的任何重定向端口包括從支持虛擬局域網(wǎng)(VLAN)的一組端口中排除所述交換設(shè)備的重定向端口。
16. 如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述網(wǎng)絡(luò)的狀況指示 接收到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到的數(shù)據(jù)分組從所述交換設(shè)備涌溢包括利用對使數(shù)據(jù)分組涌溢至所述交換設(shè)備的至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交 換設(shè)備的重定向端口的指示。
17. —種交換設(shè)備,包括重定向端口,所述重定向端口與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián),所述網(wǎng)絡(luò)服務(wù)被配 置為基于對經(jīng)重定向的數(shù)據(jù)分組的分析來將所述經(jīng)重定向的數(shù)據(jù)分組返回所述交換設(shè)備;流處置器,所述流處置器判斷數(shù)據(jù)分組是否將從所述交換設(shè)備涌溢; 流量選擇器,所述流量選擇器判斷網(wǎng)絡(luò)的狀況是否指示所述數(shù)據(jù)分組與所述重定向端口相關(guān)聯(lián);以及交換機(jī)構(gòu),所述交換機(jī)構(gòu)在所述網(wǎng)絡(luò)的狀況指示所述數(shù)據(jù)分組與所述重定向端口相關(guān)聯(lián)時,并且在所述數(shù)據(jù)分組不從所述交換設(shè)備涌溢時,將所述數(shù)據(jù)分組重定向至所述重定向端口 。
18. 如權(quán)利要求17所述的交換設(shè)備,其中,所述網(wǎng)絡(luò)的狀況包括所述 數(shù)據(jù)分組的流量類型。
19. 如權(quán)利要求17所述的交換設(shè)備,其中,判斷數(shù)據(jù)分組是否將從所 述交換設(shè)備涌溢包括如下步驟中的至少一個步驟判斷接收到的數(shù)據(jù)分組是否包括廣播媒體訪問控制(MAC)目的地地址,判斷接收到的數(shù)據(jù)分組是否包括與轉(zhuǎn)發(fā)數(shù)據(jù)庫中的任何條目都不相對 應(yīng)的媒體訪問控制(MAC)目的地地址,以及判斷接收到的數(shù)據(jù)分組是否包括因特網(wǎng)協(xié)議(IP)多播目的地地址。
20. 如權(quán)利要求17所述的交換設(shè)備,其中,所述數(shù)據(jù)分組將從交換機(jī) 涌溢,所述交換機(jī)構(gòu)還使接收到的數(shù)據(jù)分組從所述交換設(shè)備涌溢,而沒有 將所述數(shù)據(jù)分組發(fā)送到所述重定向端口 。
21. 如權(quán)利要求20所述的交換設(shè)備,其中,使接收到的數(shù)據(jù)分組從所 述交換設(shè)備涌溢,而沒有將所述接收到的數(shù)據(jù)分組發(fā)送到所述重定向端口 包括從支持虛擬局域網(wǎng)(VLAN)的一組端口中排除所述重定向端口。
22. 如權(quán)利要求20所述的交換設(shè)備,其中,所述網(wǎng)絡(luò)的狀況指示接收 到的數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到 的數(shù)據(jù)分組從所述交換設(shè)備涌溢包括利用對使數(shù)據(jù)分組涌溢至所述交換 設(shè)備的至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交換設(shè) 備的重定向端口的指示。
23. —種系統(tǒng),包括 交換設(shè)備,具有重定向端口,以及交換機(jī)構(gòu),所述交換機(jī)構(gòu)在網(wǎng)絡(luò)的狀況指示數(shù)據(jù)分組與所述重定 向端口相關(guān)聯(lián)時,以及在所述數(shù)據(jù)分組不從所述交換設(shè)備涌溢時,將所述 數(shù)據(jù)分組重定向至所述重定向端口 ;網(wǎng)絡(luò)服務(wù),所述網(wǎng)絡(luò)服務(wù)從所述交換設(shè)備的重定向端口接收經(jīng)重定向 的數(shù)據(jù)分組,所述網(wǎng)絡(luò)服務(wù)還基于對所述經(jīng)重定向的數(shù)據(jù)分組的分析來將所述經(jīng)重定向的數(shù)據(jù)分組返回所述交換設(shè)備;以及串行總線,所述串行總線將所述交換設(shè)備耦合到所述網(wǎng)絡(luò)服務(wù)。
24. 如權(quán)利要求23所述的系統(tǒng),其中,所述網(wǎng)絡(luò)的狀況包括所述數(shù)據(jù) 分組的流量類型。
25. 如權(quán)利要求23所述的系統(tǒng),其中,所述數(shù)據(jù)分組不從所述交換設(shè) 備涌溢,除非所述數(shù)據(jù)分組包括廣播媒體訪問控制(MAC)目的地地址, 所述數(shù)據(jù)分組包括與所述交換設(shè)備的轉(zhuǎn)發(fā)數(shù)據(jù)庫中的任何條目都不相 對應(yīng)的媒體訪問控制(MAC)目的地地址,或者所述數(shù)據(jù)分組包括因特網(wǎng)協(xié)議(IP)多播目的地地址。
26. 如權(quán)利要求23所述的系統(tǒng),其中,所述數(shù)據(jù)分組將從交換機(jī)涌 溢,所述交換機(jī)構(gòu)還使接收到的數(shù)據(jù)分組從所述交換設(shè)備涌溢,而沒有將 所述數(shù)據(jù)分組發(fā)送到所述重定向端口 。
27. 如權(quán)利要求26所述的系統(tǒng),其中,使接收到的數(shù)據(jù)分組從所述交 換設(shè)備涌溢,而沒有將所述接收到的數(shù)據(jù)分組發(fā)送到所述重定向端口包 括從支持虛擬局域網(wǎng)(VLAN)的一組端口中排除所述重定向端口。
28. 如權(quán)利要求26所述的系統(tǒng),其中,所述網(wǎng)絡(luò)的狀況指示接收到的 數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到的數(shù) 據(jù)分組從所述交換設(shè)備涌溢包括利用對使數(shù)據(jù)分組涌溢至所述交換設(shè)備 的至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交換設(shè)備的 重定向端口的指示。
29. 如權(quán)利要求28所述的系統(tǒng),其中,利用對使數(shù)據(jù)分組涌溢至所述 交換設(shè)備的至少一個其它端口的指示來取代對使數(shù)據(jù)分組被發(fā)送到所述交換設(shè)備的重定向端口的指示包括執(zhí)行存儲在序列控制表(SCT)中的一 個或多個命令以取回所述交換設(shè)備的所述至少一個其它端口的標(biāo)識符。
30.如權(quán)利要求26所述的系統(tǒng),其中,所述網(wǎng)絡(luò)的狀況指示接收到的 數(shù)據(jù)分組與所述交換設(shè)備的重定向端口相關(guān)聯(lián),并且其中,使接收到的數(shù) 據(jù)分組從所述交換設(shè)備涌溢包括實行針對所述交換設(shè)備的重定向端口的 訪問控制列表的規(guī)則,所述規(guī)則防止將具有因特網(wǎng)協(xié)議(IP)多播目的地 地址的任何數(shù)據(jù)分組重定向至所述交換設(shè)備的重定向端口。
全文摘要
一種方法和系統(tǒng)用于選擇性地將數(shù)據(jù)分組重定向至交換設(shè)備(201)上的與相對應(yīng)的網(wǎng)絡(luò)服務(wù)(211)相關(guān)聯(lián)的端口。在一個實施例中,數(shù)據(jù)分組被重定向至入侵防御服務(wù)IPS(211)以供對數(shù)據(jù)分組進(jìn)行安全分析。在另一實施例中,交換設(shè)備至少部分地基于數(shù)據(jù)分組是否將從交換設(shè)備涌溢來執(zhí)行對數(shù)據(jù)分組的數(shù)據(jù)鏈路層重定向。
文檔編號H04L29/06GK101690101SQ200880022594
公開日2010年3月31日 申請日期2008年6月25日 優(yōu)先權(quán)日2007年6月29日
發(fā)明者拉姆·克里斯南, 拉胡爾·S·卡斯拉里卡爾 申請人:極進(jìn)網(wǎng)絡(luò)有限公司