CN101606357B - 网络中的阻塞访问列表id和匹配声明的自动发现 - Google Patents
网络中的阻塞访问列表id和匹配声明的自动发现 Download PDFInfo
- Publication number
- CN101606357B CN101606357B CN2008800046718A CN200880004671A CN101606357B CN 101606357 B CN101606357 B CN 101606357B CN 2008800046718 A CN2008800046718 A CN 2008800046718A CN 200880004671 A CN200880004671 A CN 200880004671A CN 101606357 B CN101606357 B CN 101606357B
- Authority
- CN
- China
- Prior art keywords
- acl
- result
- grouping
- packet content
- abandons
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
Abstract
在一个实施例中,一种方法可以包括:(i)在网络设备中接收进入的探测分组;(ii)去除进入的探测分组的封装以提供分组内容部分和丢弃结果部分;(iii)对照本地访问控制列表(ACL)检测分组内容部分以确定本地丢弃结果;以及(iv)插入本地丢弃结果并且封装出去的探测分组。
Description
技术领域
本发明一般涉及网络中的阻塞访问控制列表(ACL)标识和匹配声明(match statement)的自动发现。
背景技术
在传统网络中,当分组由于访问列表拒绝而在网络中的某处被丢弃时,可能很难发现阻塞所述分组的特定路由器。此外,可能很难确定阻塞所述分组的ACL中的访问控制列表(ACL)号和/或匹配声明。因此,对于系统管理员而言,ACL管理会变成代价相对高的任务。
传统的用于处理网络中被丢弃的分组的方法包括:(i)用来确认分组是否被阻塞的远程乒(remote ping);(ii)源路由器中的远程登录,以及用于返回对分组进行阻塞的中间路由器而非ACL标识和匹配声明的乒/跟踪路由实用程序(utilities)的使用;(iii)可以返回对分组进行阻塞的路由器而非ACL标识和匹配声明的网际协议(IP)服务水平协议(SLA)操作(例如,用户数据报协议(UDP));以及(iv)直到ACL逻辑能够被建立到网络管理系统(NMS)中才会返回确切的匹配声明的ACL管理信息库(MIB)的使用。
附图说明
图1示出在网络中穿越的被丢弃分组的示例。
图2示出网络中的探测(probe)分组路径的示例。
图3示出网络设备内的探测分组处理的示例。
图4示出用于网络设备内的探测分组处理的示例概要流程。
图5示出朋于网络设备内的探测分组处理的示例详细流程。
具体实施方式
【概览】
在一个实施例中,一种方法可以包括:(i)在网络设备中接收进入的探测分组;(ii)对进入的探测分组去除封装以提供分组内容部分和丢弃结果部分;(iii)对照本地访问控制列表(ACL)对分组内容部分进行检测以确定本地丢弃结果;以及(iv)插入本地丢弃结果并且对出去的探测分组进行封装。
在一个实施例中,一种装置可以包括:(i)分组修改器,其用于接收进入的探测分组,并且用于从进入的探测分组中获取分组内容部分和丢弃结果部分;(ii)访问控制列表(ACL)检测器,其用于从分组修改器接收分组内容部分,并且用于确定ACL丢弃情况(condition)是否存在;以及(iii)结果更新器,其用于接收来自ACL检测器的输出和来自分组修改器的丢弃结果部分,并且用于提供出去的探测分组。
【示例实施例】
现在参见图1,在网络中穿越的被丢弃分组的示例被示出并由总参考标号100指示。进入的分组可以在路由器102处被接收到,并且被传递给路由器104。然后,路由器104可以将该分组传递给路由器106,以去到预期的目的地路由器108。然而,由于访问控制列表(ACL)阻塞,分组可能在路由器106处被丢弃,并且不能到达路由器108。此外,进入的分组的发送器可能不知道或者不能够容易地确定分组事实上已被路由器106丢弃了,和/或为什么被路由器106丢弃了。
在具体实施例中,可以使用感兴趣的分组(即,探测分组或发现分组)来检测网络以发现可能正阻塞分组的路由器以及引起该阻塞的ACL标识(ID)和确切的匹配声明。此外,具体实施例还可以用于等价多路径(ECMP)网络中的ACL发现,有效地为网络中的许多或所有ECMP检测ACL。该方法与传统的方法相反,其中,可以应用每目的地的负荷均衡,因此乒或跟踪路由可以只采用所有ECMP中的一条路径。
现在参考图2,网络中的探测分组路径示例被示出并且由总参考标号200指示。在该具体示例中,检测分组或探测分组可以在路由器202处被接收到,并且之后被沿途传递给路由器204、路由器206并且到达目的地路由器208。探测分组210可以包括原始的进入的分组内容212以及分组丢弃或丢弃结果信息214。利用探测分组210,可以确定哪个路由器(例如,路由器206)对丢弃或阻塞原始的分组负责。
在具体实施例中,网络中的许多或所有路由器可以被配置为运行用于ACL发现的代理。网际操作系统(IOS)中的代码可以允许利用特定分组(例如,探测分组)来检测访问列表。此外,应用程序编程接口(API)可以判定分组是否与本地ACL相匹配,但是该API可能无法确定该ACL中的哪个具体声明正在阻塞。
应答器可以是路由器或还可以负责其它任务的其它网络设备中的代理。例如,该功能可以被插入到IP服务水平协议(SLA)应答器中,SLA应答器可以负责执行跨网络元件的主动测量。在具体实施例中,这样的应答器可以存在于网络中的许多或全部路由器上。
给定源和目的地,可以产生用于该特定分组的IP头。可替换地,感兴趣的应用的头也可以被复制。这样的头可以封装到供发现使用的用户数据报协议(UDP)分组(例如,探测分组)中,该分组可以在路径中的每一跳被发送给应答器,用于对照本地定义的ACL的评估。
现在参考图3,网络设备内探测分组处理的示例被示出并且由总参考标号300指示。进入的探测分组302-I可以包括分组内容部分304和丢弃结果部分306-I。例如,分组内容部分304可以表示诸如分组头之类的分组的一部分,但是不可以包括整个分组。然而,某些实施例可以使用整个分组或者某些其它的分组部分作为分组内容部分304。可以在分组修改器308中接收进入的探测分组302-I。分组修改器本质上可以分离出分组内容部分(例如,304)和丢弃结果部分(例如,306-I)。
可以由本地ACL检测器块310接收分组内容部分。本地ACL检测器可以判定本地ACL是否将阻塞该分组内容部分。结果更新器312可以接收来自本地ACL检测器310的输出以及丢弃结果部分306-I。然后,结果更新器可以重新封装出去的探测分组302-O,出去的探测分组302-O可以包括原始的分组内容304和更新后的丢弃结果部分306-O。如果不存在影响分组内容304的本地ACL,则丢弃结果部分306-I和306-O本质上可以是相同的。此外,结果更新器312可以对出去的探测分组302-O提供认证和/或加密。
在具体实施例中,感兴趣的分组被使用UDP封装在控制头中,逐跳地从源发送到目的地。(例如,与IP SLA应答器类似的)应答器可以存在于该路径中的每一个路由器上。应答器可以被配置为:(i)接收该分组;(ii)去除外部封装;(iii)对照本地ACL进行检测;以及(iv)将结果插入分组有效载荷中。
现在参考图4,用于网络设备(包括应答器)内的探测分组处理的示例概要流程被示出并且由总参考标号400指示。该流程可以开始(402),并且可以在网络设备中接收封装后的探测分组(404)。然后,可以修改该探测分组以去除外部封装(406)。接着,可以对照本地ACL对分组内容进行检测(408)。接着,结果可以被插入到有效载荷中,分组的重新封装可以进行,并且出去的分组可以发送到下一跳(410),完成该流程(412)。
现在参考图5,用于网络设备内的探测分组处理的示例详细流程被示出并且由总参考标号500指示。在具体实施例中,每个中间路由器处的应答器可以执行以下任务。该流程可以开始(502),并且可以去除进入的探测分组或ACL发现分组的封装以取得IP头信息,并且可以获得入口接口(504)。
如果入口接口包括输入ACL(506),则可以对头进行评估以判定是否传递(即,确定“匹配状况”)(508)。如果分组被ACL阻塞(510),则可以标注(note)ACL ID和相关联的匹配声明以增强(augment)结果信息(512)。然后,该流程可以进行到利用IP头和结果信息来重新封装进入的探测分组(520),并且该流程结束(522)。
如果不存在关于输入的ACL(506),或者存在关于输入的ACL但是不存在输入阻塞(510),则通过查找网络设备的路由表可以找到任何输出接口(514)。例如,在ECMP网络中可能存在多于一个的输出接口,并且可能存在应用于每个这样的接口的不同ACL。另一方面,例如,如果目的地是本地的(例如,在当前的网络设备中),则该目的地已到达,并且探测分组和适当的有效载荷信息可以一起被返回给发送器。
如果网络设备包括具有输出ACL的出口接口(516),则头可以被评估以判定是否有ACL会丢弃该分组(518)。如果一个或多个这样的ACL可能丢弃该分组(518),则结果信息可以被利用ACL ID和匹配声明来增强(512)。之后,该流程可以进行到利用IP头和结果信息对进入的探测分组进行重新封装(502),并且该流程可以结束(522)。此外,以这种方式,(例如,通过使用迭代过程)可以对ECMP网络的每个接口的所有ACL进行评估。
在对结果进行增强时(512),可以利用在之前的步骤中收集的信息,例如,ACL ID和确切的匹配声明,来增强发现分组或探测分组。还可以包括该特定路由器的入口接口的IP地址,以用于稍后的路由器的标识。然后,该信息可以直接发送给发送器(例如,源路由器)以用于进一步的分析,或者,探测分组可以沿着预期的路径被转发。
如果在当前的路由器或网络设备上没有找到阻塞ACL,则分组可以被再次通过用户数据报协议(UDP)封装,并且探测分组可以被发送给下一跳应答器。例如,对于多个ECMP网络,复制的分组可以被发送给网络中每个ECMP的下一跳。
在具体实施例中,可以对算法进行最优化,使得一旦发现一个阻塞ACL,就将路由器、ACL ID和匹配声明返回给发送器。,可以在ACL校正之后执行迭代检测以发现阻塞感兴趣分组的多个ACL或多个匹配声明。可替换地,可以对具体实施例进行最优化以便一次报告所有的ACL和所有的匹配声明。在这样的实施例中,结果信息可以被转发给预期的目的地路由器,以用于随后返回给源路由器或发送器。
另外,基于时间的访问列表可以根据ACL发现可以被执行的时间来处理,从而也可以在具体实施例中得到支持。此外,也可以考虑用于访问控制目的之外的目的(例如,用于流量成形、速率限制、策略路由)的访问列表。在具体实施例中,与QoS错误配置相反,可能危害网络访问的阻塞访问列表也可以被估计。
具体实施例还可以应用于各种其它层次,从媒体访问控制(MAC)地址匹配、统一资源定位符(URL)匹配(例如,基于网络的应用识别(NBAR)),到任何有效载荷匹配不等。具体实施例可以不限于仅层3,这是因为分组头加上一些随后的有效载荷字节可以转发到路径中的每一跳使得所有当前和将来的ACL类型都可以被检查到。
在具体实施例中,可以利用感兴趣分组(例如,探测分组)检测网络来发现阻塞分组的路由器、ACL ID和确切的匹配声明。例如,分组头可以沿路径发送给每个应答器,并且适于用在诸如IP SLA协议之类的特定协议中。
具体实施例可以包括对感兴趣分组所采用的路径各处的ACL进行检测。并且,由于确切的分组头加上一些随后的有效载荷字节可以按需要沿路径被发送到每一个应答器,因此可以考虑所有的访问列表。此外,具体实施例还可以支持ECMP网络。此外,具体实施例中的探测分组可以被认证并且/或者被加密以防止攻击者制定(map out)ACL。例如,可以对出去的探测分组进行加密,而对进入的和出去的探测分组进行认证。
尽管已经针对说明书的具体实施例描述了说明书,但是这些具体实施例仅仅是示例性的而非限制性的。例如,在具体实施例中可以采用其它类型的网络设备、网络管理、协议、和/或分组结构。
任何合适的编程语言都可用来实现具体实施例的例程,所述编程语言包括:C、C++、Java、汇编语言等。可以采用不同的编程技术,例如面向过程的或者面向对象的。所述例程可以在单个处理设备上或者在多处理器上执行。虽然以特定的顺序给出了步骤、操作或者计算,但是所述顺序在不同的具体实施例中是可以改变的。在一些具体实施例中,在本说明书中被示为有序的多个步骤可以被同时执行。这里描述的操作顺序可以被另一进程中断、挂起或者以其他方式控制,所述另一个进程例如是操作系统、内核等。所述例程可以在操作系统环境中运行,或者作为占用系统处理的全部或者主要部分的独立例程运行。可以以硬件、软件或两者的组合的形式执行功能。除非另有说明,功能也可以全部或者部分手动执行。
在此处的说明书中,提供了例如组件和/或方法的示例之类的大量特定细节,以提供对具体实施例的全面理解。然而,本领域技术人员将认识到,在没有这些特定细节中的一个或者多个、或者利用其他装置、系统、配件、方法、组件、材料、部件和/或类似物的情况下,具体实施例也可以实现。在其他情况下,已知的结构、材料或者操作没有特别示出或者详细描述以避免混淆具体实施例多个方面。
为了具体实施例的目的,“计算机可读介质”可以是包含、存储、传输、传播、或者传送程序,以由指令执行系统、装置、系统或者设备使用,或者结合指令执行系统、装置、系统或者设备使用的任何介质。仅作为示例而非限制,计算机可读介质可以是电子的、磁的、光的、电磁的、红外的或者半导体系统、装置、系统、设备、传播介质或计算机存储器。
具体实施例可以以软件或者硬件或者两者的组合中的控制逻辑的形式实现。当由一个或者多个处理器执行时,所述控制逻辑可以是可运行来执行具体实施例中所描述的操作的。
“处理器”或“处理”包括处理数据、信号或者其他信息的任何人、硬件和/或软件系统、机制或者组件。处理器可以包括具有通用中央处理单元、多处理单元、用于实现功能的专用电路的系统或者其他系统。处理无需受限于地理位置或者具有时间限制。例如,处理器可以“实时地”、“离线地”、以“批处理方式”等执行其功能。处理的多个部分可以在不同的时刻和不同的位置由不同的(或相同的)处理系统执行。
在整个说明书中,提到“一个实施例”、“实施例”、“特定实施例”或者“具体实施例”是指至少一个实施例而不必是所有实施例中包括结合该特定实施例描述的特定特征、结构或特性。因此,在整个本说明书中的各个位置处相应出现的短语“在具体实施例中”、“在实施例中”或“在特定实施例中”不一定是指同一实施例。此外,任何特定实施例的具体的特征、结构或者特性可以与一个或多个其他具体实施例以任何合适的方式组合。应当理解,考虑本申请的教导,在本申请描述并示出的具体实施例的其他变动和修改也是可以的,并且应当被认为是本发明的精神和范围的一部分。
具体实施例可以通过使用编程的通用数字计算机,通过使用专用集成电路、可编程逻辑器件、现场可编程门阵列、光的、化学的、生物的、量子的或者纳米工程系统、组件和机制等等来实现。一般而言,具体实施例的功能可以用本领域已知的任意手段来实现。可以使用分布式的联网系统、组件和/或电路。数据的通信或者传送可以是有线的、无线的或者通过其他手段的。
将意识到,当按照具体应用有用时,附图中示出的一个或多个元件也可以用更加分离或者更加集成的方式实现,或者在某些情况下甚至被删除或者使得不可工作。实现可以被存储到计算机可读介质中以允许计算机执行上述任何方法的程序或者代码也在本发明的精神和范围内。
另外,附图中的任何信号箭头应当仅被认为是示例性的,而非限制性的,除非另外专门说明。此外,除非另外说明,这里使用的术语“或”一般意思是“和/或”。组件或者步骤的组合也被认为是已提到的,其中,术语被预见为是提供了分离或者组合的能力。
如此处的说明书和下面的权利要求书中所使用的,“一”、“一个”和“所述”包括复数引用,除非上下文清楚地表明不是这样。此外,如此处的说明书和下面的权利要求书中所使用的,“在……中”的意思包括“在……中”和“在……上”,除非上下文清楚地表明不是这样。
前面对说明性具体实施例的描述,包括在摘要中所描述的,不是要穷举或者将本发明限制为这里所公开的准确的形式。尽管这里仅仅是为了说明目的描述本发明的特定具体实施例和示例,但是本领域技术人员将认识到并理解,在本发明的精神和范围内可以有各种等同修改。如上所述,这些修改可以根据前面对说明性具体实施例的描述而对本发明作出,并且要被包括在本发明的精神和范围内。
因此,尽管在这里已参考本发明的具体实施例描述了本发明,但是各种修改、改变和替换也在前面的公开中,并且将意识到,在某些情况下,在不脱离之前所阐述的本发明的范围和精神的前提下,将采用具体实施例的某些特征,而不相应地使用其他特征。因此,可以做出许多修改来使特定情况或材料适应本发明的实质范围和精神。本发明不打算受限于在所附权利要求书中使用的特定术语和/或作为被考虑为实现本发明的最佳模式来公开的具体实施例,而是本发明将包括落在所附权利要求书的范围内的任意的和所有具体实施例以及等同物。
Claims (21)
1.一种用于发现阻塞访问控制列表ACL的方法,包括:
在网络设备中接收进入的探测分组,所述进入的探测分组包括分组内容部分和丢弃结果部分;
去除所述进入的探测分组的封装,以提供所述分组内容部分和所述丢弃结果部分;
对照本地访问控制列表ACL对所述分组内容部分进行检测以确定本地丢弃结果,其中如果所述检测表明所述分组内容部分将被所述本地访问控制列表ACL阻塞,则所述本地丢弃结果包括所述本地访问控制列表ACL的标识以及相关联的匹配声明;
通过利用所述本地丢弃结果增强所述丢弃结果部分来更新所述丢弃结果部分;以及
封装出出去的探测分组以使所述出去的探测分组包括所述分组内容部分和更新后的丢弃结果部分。
2.根据权利要求1所述的方法,还包括对所述进入的探测分组进行认证。
3.根据权利要求1所述的方法,还包括对所述出去的探测分组进行加密。
4.根据权利要求1所述的方法,其中,对所述分组内容部分进行检测包括判定是否存在关于所述网络设备的入口接口的ACL。
5.根据权利要求1所述的方法,其中,对所述分组内容部分进行检测包括判定是否存在关于所述网络设备的出口接口的ACL。
6.根据权利要求1所述的方法,其中,对所述分组内容部分进行检测包括确定匹配状况。
7.根据权利要求1所述的方法,其中,更新所述丢弃结果部分包括:当阻塞情况被检测到时,利用所述本地丢弃结果中所包括的所述本地访问控制列表ACL的标识和所述匹配声明来增强所述丢弃结果部分。
8.根据权利要求1所述的方法,其中,对所述分组内容部分进行检测包括判定是否有任何输出ACL会丢弃所述分组内容部分。
9.根据权利要求1所述的方法,还包括将所述出去的探测分组返回给源路由器。
10.根据权利要求1所述的方法,其中,所述出去的探测分组和进入的探测分组中的每一个被使用用户数据报协议UDP封装。
11.一种用于发现阻塞访问控制列表ACL的装置,包括:
分组修改器,所述分组修改器被配置为接收包括分组内容部分和丢弃结果部分的进入的探测分组,并且从所述进入的探测分组获取所述分组内容部分和所述丢弃结果部分;
访问控制列表ACL检测器,所述访问控制列表检测器被配置为从所述分组修改器接收所述分组内容部分,并且判定是否存在ACL丢弃情况,其中,如果存在ACL丢弃情况,则来自所述ACL检测器的输出包括所述ACL的标识以及相关联的匹配声明;以及
结果更新器,所述结果更新器被配置为接收来自所述ACL检测器的输出和来自所述分组修改器的所述丢弃结果部分,通过利用来自所述ACL检测器的输出增强所述丢弃结果部分来更新所述丢弃结果部分,并且提供出去的探测分组,所述出去的探测分组包括所述分组内容部分和更新后的丢弃结果部分。
12.根据权利要求11所述的装置,其中,所述结果更新器还被配置为,如果存在ACL丢弃情况,则利用来自所述ACL检测器的输出中所包括的所述ACL的标识和所述匹配声明来增强所述丢弃结果部分。
13.根据权利要求11所述的装置,其中,所述分组修改器被配置为去除所述进入的探测分组的封装。
14.根据权利要求11所述的装置,其中,所述结果更新器被配置为重新封装所述出去的探测分组。
15.根据权利要求11所述的装置,其中,所述装置还被配置为从路由表找到输出接口。
16.根据权利要求11所述的装置,其中,所述ACL丢弃情况包括入口接口或出口接口阻塞。
17.根据权利要求11所述的装置,其中,所述结果更新器被配置为对所述出去的探测分组提供加密。
18.根据权利要求11所述的装置,其中,所述出去的探测分组被配置为被返回给源路由器。
19.根据权利要求11所述的装置,被配置用于等价多路径ECMP网络。
20.根据权利要求11所述的装置,其中,所述进入的探测分组和所述出去的探测分组中的每一个被使用用户数据报协议UDP来封装。
21.一种用于发现阻塞访问控制列表ACL的装置,包括:
用于在网络设备中接收封装后的探测分组的装置,所述探测分组包括分组内容部分和丢弃结果部分;
用于去除接收到的分组的封装以提供所述分组内容部分和所述丢弃结果部分的装置;
用于对照ACL对所述分组内容部分进行检测以确定本地丢弃结果的装置,其中如果所述检测表明所述分组内容部分将被所述ACL阻塞,则所述本地丢弃结果包括所述ACL的标识以及相关联的匹配声明;
用于通过利用所述本地丢弃结果增强所述丢弃结果部分来更新所述丢弃结果部分的装置;以及
用于封装出重新封装后的探测分组以使所述重新封装后的探测分组包括所述分组内容部分和更新后的丢弃结果部分的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/706,087 | 2007-02-14 | ||
US11/706,087 US7817571B2 (en) | 2007-02-14 | 2007-02-14 | Automatic discovery of blocking access-list ID and match statements in a network |
PCT/US2008/052971 WO2008100729A2 (en) | 2007-02-14 | 2008-02-05 | Automatic discovery of blocking access-list id and match statements in a network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101606357A CN101606357A (zh) | 2009-12-16 |
CN101606357B true CN101606357B (zh) | 2013-03-27 |
Family
ID=39685714
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008800046718A Active CN101606357B (zh) | 2007-02-14 | 2008-02-05 | 网络中的阻塞访问列表id和匹配声明的自动发现 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7817571B2 (zh) |
EP (1) | EP2127220B1 (zh) |
CN (1) | CN101606357B (zh) |
AT (1) | ATE504999T1 (zh) |
DE (1) | DE602008006048D1 (zh) |
WO (1) | WO2008100729A2 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8385207B2 (en) * | 2008-05-27 | 2013-02-26 | International Business Machines Corporation | Method and apparatus for end-to-end network congestion management |
US8149721B2 (en) * | 2008-12-08 | 2012-04-03 | Advantest Corporation | Test apparatus and test method |
EP2410698B1 (en) * | 2010-07-19 | 2014-05-07 | Alcatel Lucent | A method for routing and associated routing device and destination device |
US9264320B1 (en) | 2014-06-17 | 2016-02-16 | Ca, Inc. | Efficient network monitoring |
US9985861B2 (en) * | 2014-10-13 | 2018-05-29 | Cisco Technology, Inc. | SGT feature trace using netflow |
US11283696B2 (en) | 2014-11-19 | 2022-03-22 | British Telecommunications Public Limited Company | Diagnostic testing in networks |
US10505899B1 (en) * | 2017-08-14 | 2019-12-10 | Juniper Networks, Inc | Apparatus, system, and method for applying firewall rules on packets in kernel space on network devices |
US10868748B1 (en) * | 2018-09-27 | 2020-12-15 | Amazon Technologies, Inc. | Testing forwarding states on multiple pipelines of a network device |
US11539668B2 (en) * | 2020-06-03 | 2022-12-27 | Juniper Networks, Inc. | Selective transport layer security encryption |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5935268A (en) * | 1997-06-03 | 1999-08-10 | Bay Networks, Inc. | Method and apparatus for generating an error detection code for a modified data packet derived from an original data packet |
US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6662223B1 (en) * | 1999-07-01 | 2003-12-09 | Cisco Technology, Inc. | Protocol to coordinate network end points to measure network latency |
US7336660B2 (en) | 2002-05-31 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for processing packets based on information extracted from the packets and context indications such as but not limited to input interface characteristics |
US7346706B2 (en) * | 2003-05-02 | 2008-03-18 | Alcatel | Equivalent multiple path traffic distribution in communications networks |
US7304996B1 (en) * | 2004-03-30 | 2007-12-04 | Extreme Networks, Inc. | System and method for assembling a data packet |
GB2422507A (en) | 2005-01-21 | 2006-07-26 | 3Com Corp | An intrusion detection system using a plurality of finite state machines |
US7389377B2 (en) | 2005-06-22 | 2008-06-17 | Netlogic Microsystems, Inc. | Access control list processor |
US20070055789A1 (en) * | 2005-09-08 | 2007-03-08 | Benoit Claise | Method and apparatus for managing routing of data elements |
-
2007
- 2007-02-14 US US11/706,087 patent/US7817571B2/en not_active Expired - Fee Related
-
2008
- 2008-02-05 EP EP08728973A patent/EP2127220B1/en active Active
- 2008-02-05 DE DE602008006048T patent/DE602008006048D1/de active Active
- 2008-02-05 AT AT08728973T patent/ATE504999T1/de not_active IP Right Cessation
- 2008-02-05 CN CN2008800046718A patent/CN101606357B/zh active Active
- 2008-02-05 WO PCT/US2008/052971 patent/WO2008100729A2/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5935268A (en) * | 1997-06-03 | 1999-08-10 | Bay Networks, Inc. | Method and apparatus for generating an error detection code for a modified data packet derived from an original data packet |
US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
Also Published As
Publication number | Publication date |
---|---|
US20080192641A1 (en) | 2008-08-14 |
DE602008006048D1 (de) | 2011-05-19 |
EP2127220A2 (en) | 2009-12-02 |
US7817571B2 (en) | 2010-10-19 |
CN101606357A (zh) | 2009-12-16 |
ATE504999T1 (de) | 2011-04-15 |
WO2008100729A2 (en) | 2008-08-21 |
WO2008100729A3 (en) | 2008-11-13 |
EP2127220B1 (en) | 2011-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101606357B (zh) | 网络中的阻塞访问列表id和匹配声明的自动发现 | |
CN111193666B (zh) | 使用自适应机器学习探测预测应用体验质量度量 | |
JP4759389B2 (ja) | パケット通信装置 | |
CN106105115B (zh) | 用于由服务节点始发的服务链的方法、介质、及装置 | |
JP4906504B2 (ja) | インテリジェント統合ネットワークセキュリティ装置 | |
EP1746768A2 (en) | Method and apparatus for data network sampling | |
CN106105165A (zh) | 具有网络地址转换检测的动态服务链 | |
CN105765946A (zh) | 支持数据网络中的服务链接的方法和系统 | |
Frolov et al. | Detecting Probe-resistant Proxies. | |
EP1744515B1 (en) | Method, cluster system and computer-readable medium for distributing data packets | |
Shi et al. | Protocol-independent identification of encrypted video traffic sources using traffic analysis | |
US7283475B2 (en) | Fractal dimension analysis for data stream isolation | |
FR3071118A1 (fr) | Dispositif electronique et procede de reception de donnees via un reseau de communication rebonde, systeme de communication et programme d'ordinateur associes | |
Lin et al. | Setting malicious flow entries against SDN operations: attacks and countermeasures | |
WO2012077308A1 (en) | Communication path verification system, path verification device, communication path verification method, and path verification program | |
JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
Musa | Network Security and Cryptography | |
CN104753726A (zh) | 一种串行数据流的审计控制方法及系统 | |
EP3637645B1 (fr) | Dispositif électronique et procédé de réception de données via un réseau de communication redondé, système de communication et programme d'ordinateur associés | |
US10659353B2 (en) | Dynamic scriptable routing | |
Singh | Implementing Cisco Networking Solutions: Configure, implement, and manage complex network designs | |
CN110611637B (zh) | 基于vpn流量牵引的在线网络威胁检测方法及系统 | |
RU2568784C1 (ru) | Способ управления потоками данных распределенных информационных систем | |
Chen et al. | vHSFC: Generic and Agile Verification of Service Function Chain with parallel VNFs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |