[发明专利]使用PCAP型过滤器和硬件辅助的PATRICIA树的无损实时线速率过滤的方法和设备

说明书

技术领域

本发明涉及使用PCAP型过滤器和硬件辅助的PATRICIA树的无损实时线速率过滤（line-rate filtering）。

背景技术

封包捕获（PCAP）过滤器一般在封包数据网络中使用以提取用户感兴趣的实时数据业务的部分来用于进一步检查。该过滤器类型由于其在过滤器规格方面的灵活性而在许多情况下是优选的。PCAP过滤器的典型的实现是将表达式变换成某种形式的伯克莱封包过滤器（BPF）。但是，当监控约10Gbps或更大的高带宽网络时，几乎不可能在不随机丢弃匹配过滤器的封包的情况下应用BPF。

发明内容

现今存在专门的处理器，其允许应用程序使用硬件辅助的Patricia树来执行线速率过滤。该处理器自身的结构保证能以线速率搜索Patricia树。但是，PCAP型过滤器不能没有修改地插入到Patricia中。在此公开的方法和系统解释了如何将PCAP型过滤器变换成能被插入到Patricia树中的形式。这允许专门的硬件，例如来自EZchip Technologies的处理器的NP-X线，以高达40Gbps的速率来执行无损过滤。

在一个实施例中，对用于类似PCAP过滤器的过滤器表达式进行解析并变换成析取范式（DNF）。在DNF中过滤器的每一个合取子句能被插入到Patricia树中。但是，硬件辅助的Patricia树具有某些必须考虑的限制。第一，能以线速率搜索这些树的处理器通常不进行任意类型的重新装配。因此用于过滤的字段通常位于OSI模型的层2至层4。当能根据在下层中的信息获得来自上层的信息时，则存在例外，例如一些L7协议使用已知的传输地址。在该情况下，上述L7协议可用于过滤，因为其能从层3和4中的传输信息导出。第二，树的条目（entry）必须预先定义，因此该过滤器不能应用于封包中的任意随机的字节。第三，树的关键码（key）具有有限的大小（在处理器的NPX线的情况下为38字节）。第四，当匹配多个条目的搜索被执行时，这些树返回第一匹配，换句话说，它们不支持重叠的过滤器，克服第三和第四限制要求过滤器表达式的特殊的操纵并限制能被插入到树中的过滤器的数量。

附图说明

已由此概括地描述了本发明，现在将参考附图，其中：

图1是说明在通信网络中用于捕获和过滤封包的系统的高层（high-level）框图。

图2是过滤器的以二叉树形式的示范性表示。

图3说明了用于使用解析器判定表来生成过滤器树的过程。

具体实施方式

现在将在下文中参考附图更加充分地描述本发明。但是，本发明可通过许多不同的形式实施并且不应当解释为限于在此阐明的实施例。恰恰相反，提供这些实施例以使该公开深入和完整，并且将向本领域技术人员充分地传达本发明的范围。本领域技术人员能使用本发明的各种实施例。

图1是说明在通信网络中用于捕获和过滤封包的系统的高层框图。网络节点101和102经由接口103耦合。网络业务，例如数据封包，通过接口103在节点101和102之间传送。过滤器104被动地从接口103捕获数据封包并且将封包传送到监控设备105。监控设备105例如可与协议分析器、网络监控器、封包嗅探器、或网络测试器相联系。该捕获到的数据封包可以向用户显示和/或用于网络故障检修、协议分析、或软件开发。

过滤器104可以是处理器，例如是来自EZchip Technologies的处理器的NP-X线。用户可以定义用于识别承载在接口103上的数据封包的过滤器表达式，其中该数据封包应当向监控设备105提供。该过滤器表达式可以包含若干数据封包参数，例如源/目的地地址和/或端口、虚拟局域网（VLAN）标识符、和/或IP协议、版本或服务类型（TOS）。使用关系操作符和/或逻辑操作符可将这些参数与变量相比较。但是，过滤器104的实际的能力可能不匹配在该过滤器表达式中所要求的元素。例如，过滤器104可能被设计来使用特定的关系或逻辑操作符组。该过滤器表达式必须修改以移除任意的不能由过滤器104处理的关系或逻辑操作符。