[发明专利]集管理方案

说明书

技术领域

本发明涉及计算机网络，更特别地，涉及用于在计算机网络内过滤数据的技术。

背景技术

计算机网络是交换数据并共享资源的互连计算装置的集合。在分组网络如互联网中，计算装置通过将数据分成称为包（packet，分组）的小块而对数据进行通信。包在网络上从源装置到目标装置单独进行路由。目标装置从包中提取数据，并将数据汇编成其原始形式。将数据分成包使源装置仅对可能在传送期间丢失的单个包进行重新发送。

网络内的特定装置，例如，路由器，保持对网络上的路线进行描述的路由信息。每个路线定义了网络上两个位置之间的路径。根据路由信息，路由器可生成转发信息，转发信息由路由器用于通过网络对包流进行中继，更特别地，用于将包流中继到下一中继段（hop）。关于包的转发，来自网络路由器的“下一中继段”一般指沿指定路线的相邻装置。常规路由器通常将转发信息以一个或多个转发表的形式保持。接收到发来的包时，路由器对包中的信息进行检验，以识别包的目标。路由器基于目标根据其中一个转发表对包进行转发。

路由器可进一步通过路由器将包过滤器（filter）应用在包流上。例如，路由器可将包内的报头信息与一组过滤规则（有时称为“条件”）相比较。过滤规则可指定（例如）特定源IP地址、目标IP地址和用于过滤包的其他标准。具体地，路由器识别来自符合过滤规则的包流的包，并根据包符合的过滤规则对包进行关联动作。该动作可包括丢弃包、将包标记为较低优先级、对符合过滤规则的包进行计数等。例如，路由器可通过应用丢弃符合过滤规则的任何包的对于源IP地址的过滤规则，丢弃具有发送拒绝服务（DoS）攻击的装置的源IP地址的包。常规路由器一般根据接收包流的接口，即，以逐接口方式对包流应用过滤器。例如，路由器可对指定接口接收的每个包流应用接口专用过滤器。可替代地，路由器可对所有包流应用一个包过滤器，而不管包来自哪个接口。

发明内容

本发明总体涉及用于选择性地应用和重用存储于路由器内的过滤器的技术。路由器例如可通过多个接口接收来自接入网络的包，并对包应用一个或多个过滤器。每个过滤器可对路由器根据包的内容对包进行分类的方式进行定义。在某些示例中，多个过滤器可应用在包的流（一系列包）上。在某些环境中，路由器可对来自几百万用户的流量进行管理和路由。在这些示例中，每个用户可与过滤器组（过滤器集）关联。根据提供给不同用户的不同服务，例如，带宽、服务质量等，不同过滤器组可应用给来自不同用户的包。由于用户数量增加，路由器必须管理和应用的过滤器的数量也可能会大大增加。由于硬件中仅有有限量的过滤资源可用，实施各个用户流量所需的过滤器并不实际。为了降低存储和处理需求，本发明的各个方面提供了共享过滤器组，以将冗余过滤器存储最小化的技术。例如，如果另一个用户使用的硬件中存在相同过滤器组，路由器可不存储用户所需的过滤器组。可替代地，路由器可重用现有过滤器组，如果需要，甚至可向现有组内添加额外过滤器。这样，路由器存储的过滤器的数量可通过共享过滤器而减少。另外，本发明的技术提供了利用多个数据结构管理共享过滤器超集和子集之间关系的集管理方案。本发明的这种技术可使路由器快速识别过滤器组，同时降低了路由器的处理和存储需求。

在一个示例中，一种方法包括由计算装置从第一用户接收网络接入请求。该方法还包括由计算装置选择与包流相关联的候选规则组，其中，该候选规则组包括计算装置上的现有规则组的一个或多个当前使用规则，该一个或多个当前使用规则当前安装于计算装置的转发平面内，并由计算装置的转发平面应用到与第二用户相关联的网络流量上。该方法还包括由计算装置安装新规则组，该新规则组包括现有规则组的一个或多个当前使用规则，以及与第一用户相关联且并非当前安装于计算装置的转发平面内的一个或多个新规则。该方法还包括由计算装置将新规则组的各规则应用到与第一用户相关联的网络流量上。

在另一个示例中，一种网络装置包括一个或多个网络接口，用于从第一用户接收网络接入请求。该网络装置还包括检测第一包流的管理模块，其中管理模块选择与包流相关联的候选规则组，其中，候选规则组包括计算装置上的现有规则组的一个或多个当前使用规则，该一个或多个当前使用规则当前安装于计算装置的转发平面内，并由计算装置的转发平面应用到与第二用户相关联的网络流量上。管理模块还安装新规则组，该新规则组包括现有规则组的一个或多个当前使用规则，以及与第一用户相关联且并非当前安装于计算装置的转发平面内的一个或多个新规则。管理模块还将新规则组的各规则应用到与第一用户相关联的网络流量上。