專利名稱:控制分組的分級速率限制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例涉及網(wǎng)絡(luò)處理領(lǐng)域����;并且更具體地說�,涉及網(wǎng)絡(luò)元件的線路卡上收到的控制分組的分級速率限制。
背景技術(shù):
網(wǎng)絡(luò)元件一般包括在一個或多個控制卡的引導(dǎo)下高速執(zhí)行分組轉(zhuǎn)發(fā)/交換的多個線路卡�����??刂瓶▓?zhí)行信令、路由選擇(包括路由選擇表的創(chuàng)建和/或管理)��、連接設(shè)置�����、會話設(shè)置等�����。線路卡接收數(shù)據(jù)分組(一般是以高速轉(zhuǎn)發(fā)/交換的)和需要由控制卡處理的控制分組?�?刂品纸M一般涉及信令�、路由選擇更新、連接設(shè)置���、會話設(shè)置等����。例如��,在PPPoE (以太網(wǎng)上點到點協(xié)議)的情況下�,線路卡能夠從計算端裝置接收 PPPoE主動發(fā)現(xiàn)請求(PADR)控制分組和PPPoE主動發(fā)現(xiàn)啟動(PADI)控制分組。這些PADR 和PADI分組必須發(fā)送到控制卡以做進(jìn)一步處理�����?���?刂品纸M的其它示例包括DHCP (動態(tài)主機配置協(xié)議)分組、CLIPS (無客戶端IP服務(wù))分組��、IPv6的近鄰發(fā)現(xiàn)�����、ARP (地址解析協(xié)議) 分組。通常�����,線路卡采用每個線路卡上的粗控制分組速率限制機制以防止大量的分組從線路卡發(fā)送到控制卡���。這些速率限制一般按物理實體(例如,按卡��、按端口等)或按協(xié)議來應(yīng)用��,并且應(yīng)用到多個訂戶或計算機終端站�。一般情況下,速率限制指示可被發(fā)送到線路卡的控制分組的數(shù)量�����。如果高于速率限制�����,則一般在線路卡中丟棄控制分組���。因此�����,由于速率限制一般按物理實體或協(xié)議來應(yīng)用�,傳送過量控制分組而導(dǎo)致超出速率限制的單個計算機終端站能夠造成現(xiàn)有訂戶的控制分組被丟棄,或者由于那些控制分組將被丟棄而導(dǎo)致新訂戶會話失敗�����。
發(fā)明內(nèi)容
在本發(fā)明的一個實施例中��,控制分組在網(wǎng)絡(luò)元件的線路卡上受到分級速率限制�����。 對于線路卡上的每個接收控制分組���,確定該控制分組的協(xié)議類型����,基于控制分組的協(xié)議類型��,提取該控制分組(并且在一些情況下特定的控制分組(例如�����,PADR(PPPoE主動發(fā)現(xiàn)請求)分組和PADI (PPPoE主動發(fā)現(xiàn)啟動)分組))中一個或多個標(biāo)識符關(guān)鍵字的集合,并且基于提取的標(biāo)識符關(guān)鍵字的集合和控制分組的確定的協(xié)議類型����,執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制。未通過基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組(例如���,對于該協(xié)議的標(biāo)識符關(guān)鍵字的該集合的其對應(yīng)分組計數(shù)值超出基于標(biāo)識符關(guān)鍵字的速率限制值的那些分組) 被丟棄���。基于控制分組的協(xié)議類型��,通過基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組在協(xié)議級別受到速率限制(例如��,按協(xié)議)�����。通過協(xié)議級別速率限制的那些控制分組可被引導(dǎo)到控制卡以做進(jìn)一步處理����,而未通過協(xié)議級別速率限制的那些控制分組(例如����,按協(xié)議其對應(yīng)分組計數(shù)速率限制值超出該協(xié)議的協(xié)議級別速率限制值的那些分組)被丟棄���。
7
在一些實施例中,標(biāo)識符關(guān)鍵字的集合��、基于標(biāo)識符關(guān)鍵字的速率限制值和協(xié)議級別速率限制值中的一項或多項可由網(wǎng)絡(luò)元件的系統(tǒng)操作員來配置�����,從而允許靈活的控制分組速率限制�����。因此����,來自不同計算機終端站(和計算機終端站內(nèi)的不同網(wǎng)絡(luò)接口)的控制分組能夠單獨受到速率限制,同時保持每個線路卡的總體協(xié)議級別速率限制����。因此,分級控制分組速率限制通過控制對于每個計算機終端站的為處理而接受的控制分組的量��,同時允許接受合理的控制分組業(yè)務(wù)�����,防止計算機終端站執(zhí)行服務(wù)拒絕攻擊。在本發(fā)明的一個實施例中���,網(wǎng)絡(luò)元件的每個線路卡包括分組解析引擎����,以解析控制分組����,確定控制分組的協(xié)議類型,并基于控制分組的確定的協(xié)議類型��,在每個控制分組中提取一個或多個標(biāo)識符關(guān)鍵字的集合����。每個線路卡還包括多個第一級別執(zhí)行單元���,以根據(jù)在第一時間間隔上為處理而接受的每個獨特協(xié)議類型和標(biāo)識符關(guān)鍵字集合的控制分組的數(shù)量��,按協(xié)議類型和標(biāo)識符關(guān)鍵字集合的獨特關(guān)鍵字在接收的控制分組上執(zhí)行第一級別的控制分組速率限制���。第一執(zhí)行單元丟棄未通過第一級別的控制分組速率限制的那些控制分組(例如���,對于標(biāo)識符關(guān)鍵字集合和協(xié)議的其對應(yīng)分組計數(shù)值超出基于標(biāo)識符關(guān)鍵字的速率限制值的那些分組)。每個線路卡還包括一個或多個第二執(zhí)行單元的集合��,以根據(jù)在第二時間間隔上為處理而接受的每個獨特協(xié)議類型的控制分組的數(shù)量�,按協(xié)議類型在通過第一級別的控制分組速率限制的那些控制分組上執(zhí)行第二級別的控制分組速率限制。第二級別執(zhí)行單元集丟棄未通過第二級別的控制分組速率限制的那些控制分組(例如�����,按協(xié)議其對應(yīng)分組計數(shù)速率限制值超出該協(xié)議的協(xié)議級別速率限制值的那些分組)���。通過第二級別的控制分組速率限制的那些控制分組可被引導(dǎo)到控制卡以做進(jìn)一步處理���。在本發(fā)明的一個實施例中,用于速率限制控制分組的線路卡包括多個網(wǎng)絡(luò)處理單元(NPU)和中央線路處理器�,每個NPU具有單獨的存儲器域,并且與線路卡的一個或多個端口耦合��。每個NPU接收分組以進(jìn)行處理����,包括控制分組和數(shù)據(jù)分組。每個NPU包括分組解析引擎以解析控制分組,確定每個控制分組的協(xié)議類型��,并基于該控制分組的確定的協(xié)議類型����,從每個控制分組提取一個或多個標(biāo)識符關(guān)鍵字的集合。每個NPU還包括多個第一級別執(zhí)行單元以便按協(xié)議類型為提取的標(biāo)識符關(guān)鍵字的每個獨特集合執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制�。第一級別執(zhí)行單元將丟棄未通過基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組。每個NPU還包括一個或多個第二級別執(zhí)行單元的集合�����,以在通過基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組的每個分組上執(zhí)行基于協(xié)議的速率限制����。第二級別執(zhí)行單元的集合丟棄未通過基于協(xié)議的速率限制的那些控制分組,并將確實通過的那些控制分組和與那些控制分組的每個分組相關(guān)聯(lián)的當(dāng)前分組計數(shù)值(例如�����,對于每個控制分組�,標(biāo)識符關(guān)鍵字控制分組計數(shù)值和協(xié)議控制分組計數(shù)值)一起發(fā)送到線路卡的中央線路處理器。中央線路處理器按協(xié)議聚合從多個NPU接收的具有相同標(biāo)識符關(guān)鍵字集合的控制分組(例如�, 對于按協(xié)議的標(biāo)識符關(guān)鍵字的每個獨特集合���,中央線路處理器將從NPU接收的分組計數(shù)值相加)��,并且按協(xié)議類型聚合從多個NPU接收的控制分組(例如�����,對于按協(xié)議的每個控制分組��,中央線路處理器將從NPU收到的協(xié)議控制分組計數(shù)值相加)�����。根據(jù)按協(xié)議類型的標(biāo)識符關(guān)鍵字的那些獨特集合的聚合分組計數(shù)值��,中央線路處理器按協(xié)議類型為標(biāo)識符關(guān)鍵字的每個獨特集合在從NPU收到的控制分組上執(zhí)行基于聚合標(biāo)識符關(guān)鍵字的速率限制�����。中央線路處理器丟棄未通過基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些控制分組���。根據(jù)那些獨特協(xié)議類型的聚合分組計數(shù)值��,中央線路處理器為每個獨特協(xié)議類型對于通過基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些控制分組執(zhí)行基于聚合協(xié)議的速率限制�����。中央線路處理器丟棄未通過基于聚合協(xié)議的速率限制的那些控制分組�。通過基于聚合協(xié)議的速率限制的那些控制分組可被引導(dǎo)到控制卡以做進(jìn)一步處理。
通過參照下面的描述和用于示出本發(fā)明實施例的附圖�,可最好地理解本發(fā)明。在圖中圖1示出包括根據(jù)本發(fā)明的一個實施例的執(zhí)行控制分組的分級速率控制的網(wǎng)絡(luò)元件的一示范網(wǎng)絡(luò)���;圖2示出根據(jù)本發(fā)明的一個實施例的圖1所示網(wǎng)絡(luò)元件的示范線路卡����;圖3是示出根據(jù)本發(fā)明的一個實施例的用于分級控制分組速率限制的示范操作的流程圖��;圖4示出根據(jù)本發(fā)明的一個實施例的帶有為控制分組執(zhí)行分級速率限制的多個網(wǎng)絡(luò)處理單元的線路卡���;圖5示出根據(jù)本發(fā)明的一個實施例的包括為控制分組執(zhí)行分級速率限制的多個網(wǎng)絡(luò)處理單元的示范線路卡�����;以及圖6是示出根據(jù)本發(fā)明的一個實施例的在帶有多個網(wǎng)絡(luò)處理單元的線路卡中用于分級速率限制的示范操作的流程圖����。
具體實施例方式在下面的描述中�����,陳述了許多特定細(xì)節(jié)。然而����,將理解��,實踐本發(fā)明的實施例可無需這些特定細(xì)節(jié)����。其它情況下,控制結(jié)構(gòu)��、門級電路和全軟件指令序列未詳細(xì)示出以免混淆本發(fā)明��。通過包括的描述��,本領(lǐng)域的技術(shù)人員將能夠在不進(jìn)行不當(dāng)實驗的情況下實現(xiàn)適當(dāng)?shù)墓δ苄?�。說明書中對“ 一個實施例”��、“一實施例”�����、“ 一示例實施例”等的引用指所述實施例可包括特定特征��、結(jié)構(gòu)或特性,但每個實施例可不一定包括該特定特征��、結(jié)構(gòu)或特性���。另外�����, 此類短語不一定指相同實施例����。此外�,結(jié)合實施例描述某個特定特征、結(jié)構(gòu)或特性時��,認(rèn)為結(jié)合無論是否明確描述的其它實施例來實現(xiàn)此類特征�����、結(jié)構(gòu)或特性在本領(lǐng)域技術(shù)人員的認(rèn)知之內(nèi)�。在下面的描述和權(quán)利要求中,可使用術(shù)語“耦合”和“連接”及其衍生詞�����。應(yīng)理解, 這些術(shù)語無意作為彼此的同義詞��?!榜詈稀庇糜谥甘究上嗷ブ苯游锢砘螂娊佑|或不直接物理或電接觸的兩個或更多元件相互協(xié)作或交互?����!斑B接”用于指示相互耦合的兩個或更多元件之間通信的建立�����。圖中所示技術(shù)能夠使用一個或多個電子裝置(例如�����,計算機終端站�����、網(wǎng)絡(luò)元件等) 上存儲和執(zhí)行的代碼和數(shù)據(jù)來實現(xiàn)�����。此類計算裝置使用機器可讀媒體存儲和傳遞(在內(nèi)部和/或通過網(wǎng)絡(luò)與其它電子裝置)代碼和數(shù)據(jù)���,機器可讀媒體例如有機器可讀存儲媒體 (例如�����,磁盤��、光盤��、隨機存取存儲器�、只讀存儲器���、閃速存儲器裝置�����、相變存儲器)和機器可讀通信媒體(例如���,電、光�、聲或其它形式的傳播信號-如載波、紅外信號�、數(shù)字信號等)。另外,此類電子裝置一般情況下包括耦合到諸如存儲裝置�����、一個或多個用戶輸入/輸出裝置(例如���,鍵盤����、觸摸屏和/或顯示器)和網(wǎng)絡(luò)連接等一個或多個其它組件的一個或多個處理器的集合��。處理器的集合與其它組件的耦合一般情況下是通過一個或多個總線和橋接器 (也稱為總線控制器)����。存儲裝置和攜帶網(wǎng)絡(luò)業(yè)務(wù)的信號分別表示一個或多個機器可讀存儲媒體和機器可讀通信媒體���。因此���,給定電子裝置的存儲裝置一般情況下存儲代碼和/或數(shù)據(jù)以便在該電子裝置的一個或多個處理器的集合上執(zhí)行。當(dāng)然���,本發(fā)明的實施例的一個或多個部分可使用軟件����、固件和/或硬件的不同組合來實現(xiàn)。在本文中使用時�,網(wǎng)絡(luò)元件(例如,路由器��、交換器���、橋接器等)是一件連網(wǎng)設(shè)備�, 包括在通信上與網(wǎng)絡(luò)上的其它設(shè)備(例如�,其它網(wǎng)絡(luò)元件、計算機終端站等)互連的硬件和軟件�����。一些網(wǎng)絡(luò)元件是“多服務(wù)網(wǎng)絡(luò)元件”��,其為多個網(wǎng)絡(luò)功能提供支持(例如�,路由選擇、 橋接����、交換、第2層聚合和/或訂戶管理)和/或為多個應(yīng)用服務(wù)(例如�����,數(shù)據(jù)、話音和視頻) 提供支持����。訂戶計算機終端站(例如,工作站����、膝上型計算機、掌上計算機�、移動電話、智能電話�����、多媒體電話����、便攜式媒體播放器����、GPS單元、游戲系統(tǒng)��、機頂盒等)訪問通過因特網(wǎng)提供的內(nèi)容/服務(wù)和/或因特網(wǎng)上重疊的虛擬專用網(wǎng)(VPN)上提供的內(nèi)容/服務(wù)。內(nèi)容和/ 或服務(wù)一般由屬于服務(wù)或內(nèi)容提供商的一個或多個服務(wù)器計算機終端站來提供��,并且可包括公共網(wǎng)頁(免費內(nèi)容��、店面���、搜索服務(wù)等)�����、私人網(wǎng)頁(例如�����,提供電子郵件服務(wù)的用戶名 /密碼訪問的網(wǎng)頁等)�、VPN上的企業(yè)網(wǎng)絡(luò)等�。一般情況下,訂戶計算機終端站耦合(例如�, 通過耦合到接入網(wǎng)絡(luò)(以有線或無線方式)的客戶場所設(shè)備)到邊緣網(wǎng)絡(luò)元件,邊緣網(wǎng)絡(luò)元件耦合到(例如通過一個或多個核心網(wǎng)絡(luò)元件到其它邊緣網(wǎng)絡(luò)元件)服務(wù)器計算機終端站���。描述了用于控制分組的分級速率限制的方法和設(shè)備����。在本發(fā)明的一個實施例中, 基于控制分組中包括的一個或多個標(biāo)識符關(guān)鍵字的集合(例如�,源MAC地址、源IP地址����、 GIADDR(網(wǎng)關(guān)IP地址)等的一個或多個),控制分組受到第一級別的速率限制��。標(biāo)識符關(guān)鍵字速率限制值可由網(wǎng)絡(luò)元件的系統(tǒng)操作員來配置���。未通過基于標(biāo)識符關(guān)鍵字的速率限制的那些分組被丟棄�����。通過基于標(biāo)識符關(guān)鍵字的速率限制的那些分組被排隊(如果隊列深度尚未被超出)���,并且基于分組的協(xié)議,那些分組受到第二級別的速率限制����。未通過第二級別速率限制的那些分組被丟棄����,而通過第二級別速率限制的那些分組可被發(fā)送到控制卡以做進(jìn)一步處理���。在一個實施例中,每個線路卡包括多個執(zhí)行單元�,每個執(zhí)行單元處理控制分組,并且每個執(zhí)行單元執(zhí)行第一級別速率限制(例如�,基于標(biāo)識符關(guān)鍵字的速率限制)。每個線路卡還包括執(zhí)行第二級別速率限制(例如��,基于協(xié)議的速率限制)的一個或多個執(zhí)行單元的集合
在一個實施例中�����,每個線路卡包括多個網(wǎng)絡(luò)處理單元(NPU)和中央線路處理器�。 每個NPU包括多個執(zhí)行單元,每個執(zhí)行單元處理控制分組����,并且每個執(zhí)行單元執(zhí)行第一級別速率限制(基于標(biāo)識符關(guān)鍵字的速率限制),并且包括執(zhí)行第二級別速率限制(例如���,基于協(xié)議的速率限制)的一個或多個執(zhí)行單元的集合�。通過第二級別速率限制的那些分組被發(fā)送到中央線路處理器��。中央線路處理器基于標(biāo)識符關(guān)鍵字和協(xié)議來聚合控制分組和控制分組計數(shù)����。中央線路處理器基于標(biāo)識符關(guān)鍵字的聚合計數(shù)�����,執(zhí)行第三級別速率限制���。未通過第三級別速率限制的那些控制分組被丟棄,而第四級別速率限制應(yīng)用到通過第三級別速率限制的那些分組���。第四級別速率限制基于協(xié)議的聚合分組計數(shù)����。通過第四級別速率限制的那些分組可被發(fā)送到控制卡以做進(jìn)一步處理���,而未通過第四級別速率限制的那些分組被丟棄�����。圖1示出包括根據(jù)本發(fā)明的一個實施例的執(zhí)行控制分組的分級速率控制的網(wǎng)絡(luò)元件的一示范網(wǎng)絡(luò)����。網(wǎng)絡(luò)190包括計算機終端站105和110及網(wǎng)絡(luò)元件100����。在一個實施例中,計算機終端站105和110是不同最終用戶的訂戶計算機終端站�,并且網(wǎng)絡(luò)元件100是邊緣網(wǎng)絡(luò)元件。雖然在圖1中未示出����,但應(yīng)理解,計算機終端站105和110可通過一個或多個其它計算裝置(例如��,諸如DSLAM��、CMTS等的接入裝置)與網(wǎng)絡(luò)100連接���。計算機終端站105將分組(包括數(shù)據(jù)分組和控制分組)傳送到網(wǎng)絡(luò)元件100�,并在連接120上接收從網(wǎng)絡(luò)元件100傳送的分組����。類似地,計算機終端站110將分組(包括數(shù)據(jù)分組和控制分組)傳送到網(wǎng)絡(luò)元件100�,并在連接115上接收從網(wǎng)絡(luò)元件100傳送的分組。網(wǎng)絡(luò)元件100包括通過高速網(wǎng)狀網(wǎng)絡(luò)160與控制卡170耦合的多個線路卡125�����。 線路卡125接收控制分組,并將控制分組發(fā)送到控制卡170以做進(jìn)一步處理�。線路卡125 在它收到的控制分組上執(zhí)行分級速率限制(因此,線路卡125在多個級別調(diào)節(jié)發(fā)送到控制卡170的控制分組的數(shù)量)�。在一個實施例中,線路卡125在第一級別執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制和在第二級別執(zhí)行協(xié)議級別速率限制����。線路卡125各自包括基于標(biāo)識符關(guān)鍵字的速率限制器模塊140,該模塊基于與它接收的控制分組相關(guān)聯(lián)的一個或多個標(biāo)識符關(guān)鍵字的集合���,執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制�。標(biāo)識符關(guān)鍵字的集合能夠?qū)Σ煌瑓f(xié)議是不同的�。給定控制分組的標(biāo)識符關(guān)鍵字集合識別和分類該控制分組。例如�,標(biāo)識符關(guān)鍵字集合可與網(wǎng)絡(luò)元件100的訂戶相關(guān)聯(lián)。標(biāo)識符關(guān)鍵字集合能夠包括控制分組中的信息(例如����,源MAC地址、目的地MAC地址����、GIADDR等) 和與控制分組相關(guān)聯(lián)的對網(wǎng)絡(luò)元件100具有本地重要性的信息(例如,指派到在其上收到分組的電路、在其上收到控制分組的端口等的本地標(biāo)識符)�。在一些實施例中,系統(tǒng)操作員可定義基于標(biāo)識符關(guān)鍵字的速率限制所基于的標(biāo)識符關(guān)鍵字�����。線路卡125還包括基于協(xié)議的速率限制器模塊150�,以便基于控制分組的協(xié)議類型和/或控制分組的類型����,執(zhí)行基于協(xié)議的速率限制。例如�,基于協(xié)議的速率限制器模塊 150能夠為線路卡上收到的所有DHCP分組執(zhí)行速率限制。又如���,基于協(xié)議的速率限制器模塊150能夠為諸如PADR(PPPoE主動發(fā)現(xiàn)請求)分組和PADI (PPPoE主動發(fā)現(xiàn)啟動)分組等特定類型的控制分組來執(zhí)行速率限制���。在一個實施例中,基于協(xié)議的速率限制器模塊150 在通過基于標(biāo)識符關(guān)鍵字的速率限制的那些分組上執(zhí)行基于協(xié)議的速率限制�。基于標(biāo)識符關(guān)鍵字的速率限制器模塊140從基于標(biāo)識符關(guān)鍵字的速率限制值145 來檢索基于標(biāo)識符關(guān)鍵字的速率限制中使用的標(biāo)識符關(guān)鍵字速率限制�����。基于協(xié)議的速率限制器模塊150從協(xié)議級別速率限制值155來檢索用于基于協(xié)議的速率限制的速率限制�。在一個實施例中,速率限制值(例如���,協(xié)議級別速率限制值155和標(biāo)識符關(guān)鍵字速率限制值145)可由網(wǎng)絡(luò)元件100的系統(tǒng)操作員來配置��。例如����,系統(tǒng)操作員能夠使用控制卡 170的命令行接口 180來配置協(xié)議級別速率限制值155和基于標(biāo)識符關(guān)鍵字的速率限制值 145�����。例如�,對于每個協(xié)議類型(以及在一些情況下的控制分組類型(例如,PADI或PADR))�, 系統(tǒng)操作員能夠設(shè)置在指定量的時間(允許間隔)上對于標(biāo)識符關(guān)鍵字所允許的控制分組的數(shù)量。另外����,系統(tǒng)操作員能夠配置允許間隔的時間量,并且能夠配置指示在下一允許間隔
11開始前未通過的控制分組將被丟棄的時間量的丟棄間隔�。另外,對于每個協(xié)議類型(以及在一些情況下的控制分組類型)�����,系統(tǒng)操作員能夠設(shè)置在指定允許間隔上對于該協(xié)議(或控制分組類型)所允許的控制分組的總數(shù)。另外�,系統(tǒng)操作員能夠配置允許間隔的時間量, 并且能夠配置協(xié)議的丟棄間隔的時間量�����。如前面所述���,計算機終端站105和110分別在連接120和115上傳送和接收控制分組?���?刂品纸M可在本發(fā)明的不同實施例中用于不同協(xié)議(例如,DHCP(動態(tài)主機配置協(xié)議) 控制分組����、PPPoE(以太網(wǎng)上點到點協(xié)議)控制分組(例如,PADR分組��、PADI分組)���、ARP(地址解析分組)�、IPv6近鄰發(fā)現(xiàn)分組等等)。被允許發(fā)送到控制卡170的控制分組將由協(xié)議模塊175中的適當(dāng)協(xié)議模塊來處理�。例如,PPPoE控制分組將由協(xié)議模塊175的PPPoE模塊來處理�。在一個實施例中,對于PPPoE訂戶���,PADR和PADI分組分別受到速率限制�。雖然在一個實施例中�,用于PADR和PADI分組的標(biāo)識符關(guān)鍵字是分組中包括的源MAC地址,但在其它實施例中�,標(biāo)識符關(guān)鍵字是不同的(例如,基于源和目的地MAC地址��、目的地MAC地址等)����。對于ARP分組,標(biāo)識符關(guān)鍵字是ARP分組中包括的源MAC地址���。對于DHCP控制分組�����, 標(biāo)識符關(guān)鍵字是源MAC地址��,并且可選的是分組中包括的GIADDR�。如圖1所示,計算機終端站105和110分別在連接120和115上傳送DHCP控制分組�����。然而�,應(yīng)理解,計算機終端站105和110能夠分別在連接120和115上傳送不同控制分組����。為了解釋的目的��,連接120和115在線路卡125中的相同卡上終止���。計算機終端站 105正在以特定時間期上100個分組的速率在連接120上傳送帶有MACl的標(biāo)識符關(guān)鍵字的 DHCP控制分組�。計算機終端站105正在以該相同時間期上3個分組的速率在連接125上傳送帶有MAC2的標(biāo)識符關(guān)鍵字的DHCP控制分組����。基于標(biāo)識符關(guān)鍵字的速率限制器模塊140在控制分組(例如�,從計算機終端站105 和110收到的DHCP分組)上應(yīng)用基于標(biāo)識符關(guān)鍵字的速率限制?����;跇?biāo)識符關(guān)鍵字的速率限制器模塊140從基于標(biāo)識符關(guān)鍵字的速率限制值145來檢索與標(biāo)識符關(guān)鍵字相關(guān)聯(lián)的速率限制值。例如��,基于分組的協(xié)議類型(例如��,DHCP)����,基于標(biāo)識符關(guān)鍵字的速率限制值 145指示對于該協(xié)議類型的每個不同標(biāo)識符關(guān)鍵字(例如,每個不同的源MAC地址和可選的 DHCP分組的GIADDR)在允許間隔上能夠被接受的分組數(shù)量���。如圖1所示�,對于用于DCHP控制分組的每個獨特標(biāo)識符關(guān)鍵字����,在該時間期(例如,計算機終端站105和110分別正在傳送100個DHCP分組和3個DHCP分組的相同時間期)上�,允許10個DHCP控制分組。由于計算機終端站105在該時間期上傳送100個DHCP分組����,這超出了標(biāo)識符關(guān)鍵字速率限制10, 因此��,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140接受10個DCHP分組,并且丟棄那些DHCP 分組中的90個分組�。由于計算機終端站110在該時間期上傳送3個DHCP分組,這低于標(biāo)識符關(guān)鍵字速率限制�����,因此�����,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140接受所有三個DHCP 分組�����。在一個實施例中�����,接受控制分組包括將分組排隊到協(xié)議特定的隊列�����,或者在一些情況下����,排隊到控制分組特定的隊列(例如,DHCP控制分組隊列��、PADI隊列��、PADR隊列等)��。在控制分組受到基于標(biāo)識符關(guān)鍵字的速率限制后的某個時間�,基于控制分組的協(xié)議或一些情況下控制分組類型,已通過的那些分組受到基于卡級別的速率限制器模塊150 在卡級別的速率限制��?��;诳墑e的速率限制器模塊150從卡級別速率限制值155來檢索卡級別速率限制(按協(xié)議)�。例如����,基于分組的協(xié)議類型(例如,DHCP)�,卡級別速率限制值巧5指示能夠容許到控制卡170的該協(xié)議的控制分組的數(shù)量。如圖1所示���,在該時間期上能夠容許總共50個DHCP控制分組到控制卡170�。假設(shè)計算機終端站105和110是僅有的傳送DHCP控制分組到線路卡125的實體�,基于卡級別的速率限制器模塊150容許帶有MACl 的標(biāo)識符關(guān)鍵字的10個DHCP控制分組(來自計算機終端站106)和容許帶有MAC2的標(biāo)識符關(guān)鍵字的3個DHCP控制分組(來自計算機終端站110)�����。圖2示出根據(jù)本發(fā)明的一個實施例的網(wǎng)絡(luò)元件100的線路卡125之一的更詳細(xì)視圖����。分組解析引擎210解析在線路卡125收到的控制分組以提取分組中的數(shù)據(jù)����,并將分組數(shù)據(jù)寫入分組緩沖器存儲器215中?;谔崛〉臄?shù)據(jù),能夠確定控制分組的分組協(xié)議和類型��。另外��,還指派優(yōu)先級到控制分組(例如��,不同協(xié)議可具有不同優(yōu)先級)�����?����;谥概傻娇刂品纸M的優(yōu)先級�,將控制分組排隊到分組工作隊列212之一。執(zhí)行單元220各自執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制器模塊140的一實例��,貫穿于分組工作隊列212進(jìn)行循環(huán)以使待定分組得以處理�����?��;诜纸M協(xié)議����,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140確定在生成標(biāo)識符關(guān)鍵字時要使用的與分組相關(guān)聯(lián)的一個或多個參數(shù)(例如���,對于PADI和PADR分組的源MAC地址字段等)��。在一個實施例中�,基于標(biāo)識符關(guān)鍵字的速率限制簡檔260存儲基于控制分組的控制分組類型或協(xié)議類型而指示分組的哪些部分要使用的簡檔����。基于標(biāo)識符關(guān)鍵字的速率限制器模塊140隨后提取分組的所述一個或多個部分以提取一個或多個標(biāo)識符關(guān)鍵字。另外����,在生成標(biāo)識符關(guān)鍵字中可使用分組的本地屬性(例如,識別控制分組所屬連接的獨特本地標(biāo)識符(例如�,時隙/端口 /信道/獨特標(biāo)識符)等)?���;跇?biāo)識符關(guān)鍵字的速率限制器模塊140從標(biāo)識符關(guān)鍵字速率限制值145來檢索與關(guān)鍵字相關(guān)聯(lián)的速率限制值。在本發(fā)明的一個實施例中��,屬于相同協(xié)議(例如�,DHCP)或控制分組類型(例如,PADI或PADR)的所有關(guān)鍵字具有相同的速率限制值��,而在其它實施例中��,每個獨特的關(guān)鍵字能夠與不同的速率限制值相關(guān)聯(lián)�����。在一個實施例中����,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140應(yīng)用哈希函數(shù)到一個或多個提取的標(biāo)識符關(guān)鍵字的集合以生成某個關(guān)鍵字,該關(guān)鍵字到標(biāo)識符關(guān)鍵字節(jié)流桶 (throttling bucket) 225中進(jìn)行索引以檢索與標(biāo)識符關(guān)鍵字節(jié)流有關(guān)的多個參數(shù)����。在一個實施例中,標(biāo)識符關(guān)鍵字節(jié)流桶225是哈希表��,該表通過生成的關(guān)鍵字來索引���,并且包括與節(jié)流有關(guān)的多個參數(shù)(例如�,分組的源MAC地址����、已經(jīng)容許的分組數(shù)量(在該時間期期間)、最后分組的時間戳及允許為具有相同關(guān)鍵字的多個分組鎖定/同步這些參數(shù)的屬性集合)��。比較在該時間期期間已經(jīng)對于該標(biāo)識符關(guān)鍵字所容許的分組的數(shù)量和對于該關(guān)鍵字的速率限制值���。如果速率限制值被超出�,或者分組的容許將造成該值被超出�����,則基于標(biāo)識符關(guān)鍵字的速率限制器模塊140丟棄該控制分組����。然而�����,如果速率限制值未被超出���,則基于協(xié)議或控制分組類型,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140將控制分組排隊到基于協(xié)議的隊列245之一中(例如���,用于DHCP控制分組���、ARP控制分組、PADI分組�����、PADR分組及IPv6近鄰發(fā)現(xiàn)分組的單獨隊列)�����?;跇?biāo)識符關(guān)鍵字的速率限制器模塊140還將控制分組添加到標(biāo)識符關(guān)鍵字節(jié)流桶(例如,更新容許的分組數(shù)量�����,更新時間戳等)。在一個實施例中��,如果那些隊列的深度(當(dāng)前排隊的分組的數(shù)量)大于閾值,則基于標(biāo)識符關(guān)鍵字的速率限制模塊240不將控制分組排隊到基于協(xié)議的隊列M5。每個基于協(xié)議的隊列能夠具有不同的深度閾值��。執(zhí)行單元230基于控制分組的協(xié)議或控制分組的類型而執(zhí)行第二級別的速率限制(基于協(xié)議的速率限制)���?����;趨f(xié)議的速率限制器模塊150從協(xié)議級別速率限制值155 來檢索與控制分組的協(xié)議或類型相關(guān)聯(lián)的速率限制值���。控制分組的不同協(xié)議或不同類型能夠具有不同的協(xié)議級別速率限制值�。基于協(xié)議的速率限制器模塊150基于控制分組的協(xié)議或控制分組類型來訪問協(xié)議級別節(jié)流桶255�����。協(xié)議級別節(jié)流桶包括與協(xié)議級別速率限制有關(guān)的多個參數(shù)(例如�����,容許的分組數(shù)量(在該時間期期間)、最后分組的時間戳等)��。分別比較在該時間期期間對于該協(xié)議或控制分組類型所容許的分組的數(shù)量和對于該協(xié)議或控制分組類型的速率限制值���?���;趨f(xié)議的速率限制器150丟棄其當(dāng)前容許的分組數(shù)量超出速率限制值的那些分組(例如�����, 從基于協(xié)議的隊列245中刪除那些分組)���。對于通過協(xié)議級別速率限制的那些分組����,基于協(xié)議的速率限制器150更新協(xié)議級別節(jié)流桶255�����,并將那些分組引導(dǎo)到控制卡以做進(jìn)一步處理���。在一些實施例中���,執(zhí)行單元230在后臺工作���,并且執(zhí)行除協(xié)議級別速率限制外的工作。例如����,如圖2所示����,執(zhí)行單元230還執(zhí)行老化器模塊250以從標(biāo)識符關(guān)鍵字節(jié)流桶 225及可選的協(xié)議級別節(jié)流桶255刪除和管理過時的條目。在一個實施例中��,基于老化器計時器的到期來觸發(fā)執(zhí)行老化器模塊250�����。另外�����,如圖2所示����,執(zhí)行單元230執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制模塊對0�����,該模塊類似于由執(zhí)行單元220執(zhí)行的基于標(biāo)識符關(guān)鍵字的速率限制器模塊140���。由于有多個執(zhí)行單元220,因此����,有可能多個執(zhí)行單元會嘗試在大約相同的時間執(zhí)行相同關(guān)鍵字上的基于標(biāo)識符關(guān)鍵字的速率限制,這能夠?qū)е聢?zhí)行單元在確定是否接受分組時使用過時的信息��。在一個實施例中�,在執(zhí)行單元220之一開始對于某個標(biāo)識符關(guān)鍵字的基于標(biāo)識符關(guān)鍵字的速率限制時,該執(zhí)行單元設(shè)置標(biāo)志以向其它執(zhí)行單元指示它當(dāng)前在該標(biāo)識符關(guān)鍵字上執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制���。如果執(zhí)行單元220中的一個不同單元在該標(biāo)志已設(shè)置時接收帶有該標(biāo)識符關(guān)鍵字的控制分組��,則該執(zhí)行單元220不執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制����,并且通知執(zhí)行單元230基于標(biāo)識符關(guān)鍵字的速率限制尚未執(zhí)行。在一個實施例中��,執(zhí)行單元220中的該不同單元將該控制分組排隊到基于協(xié)議的隊列 245中的一個適當(dāng)隊列中�����。在接收此類指示后某個時間���,執(zhí)行單元230的基于標(biāo)識符關(guān)鍵字的速率限制模塊MO以如上所述類似的方式來執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制���。在一個實施例中,執(zhí)行單元230可定期執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制模塊 240以驗證執(zhí)行單元220的性能�����,并且可確定丟棄執(zhí)行單元220接受的分組����。圖3是示出根據(jù)本發(fā)明的一個實施例的用于分級控制分組速率限制的示范操作的流程圖��。圖3的操作將參照圖2的示范實施例進(jìn)行描述�。然而,應(yīng)理解�����,圖3的操作能夠由與參照圖2論述的那些實施例不同的本發(fā)明的其它實施例來執(zhí)行,并且參照圖2論述的實施例能夠執(zhí)行與參照圖3所述那些操作不同的操作�����。在框310�����,線路卡125之一接收控制分組��。流程轉(zhuǎn)到框315�����,在該框中���,該線路卡上的分組解析引擎210解析收到的控制分組并將分組數(shù)據(jù)寫入分組緩沖器存儲器215中�����。流程隨后轉(zhuǎn)到框320�,在該框中�����,基于分組的優(yōu)先級,分組被排隊到多個分組工作隊列212之一中�����。流程從框320轉(zhuǎn)到框325�����。
14
在框325�����,執(zhí)行單元220之一從分組工作隊列212來選擇控制分組以開始處理����。流程隨后轉(zhuǎn)到框330,在該框中�����,基于分組緩沖器存儲器中的信息來確定協(xié)議��。如果協(xié)議包括分別受速率限制的控制分組的多個類型(例如���,PADI和PADR分組)����,則還確定控制分組的類型�。在一個實施例中,協(xié)議標(biāo)識符與控制分組相關(guān)聯(lián)���,其識別分組的協(xié)議類型和/或控制分組類型��。流程隨后轉(zhuǎn)到框335���,在該框中,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140基于分組的控制分組的類型或協(xié)議來確定分組中包括的要提取的一個或多個關(guān)鍵字標(biāo)識符的集合����,并且提取那些標(biāo)識符。例如�����,如果控制分組是DHCP分組����,則從該分組提取源MAC地址和可選的GIADDR���。又如,如果控制分組是PADI或PADR分組����,則從該分組提取源MAC地址。當(dāng)然����,應(yīng)理解,系統(tǒng)操作員可配置不同的標(biāo)識符關(guān)鍵字以用于控制分組��。流程從框335轉(zhuǎn)到框 340����。在框340,基于標(biāo)識符關(guān)鍵字的速率限制模塊340將哈希函數(shù)應(yīng)用到提取的關(guān)鍵字標(biāo)識符以生成關(guān)鍵字索引��,該關(guān)鍵字索引到標(biāo)識符關(guān)鍵字節(jié)流桶225中進(jìn)行索引�。流程從框340轉(zhuǎn)到框345。在框345�����,基于標(biāo)識符關(guān)鍵字的速率限制模塊340使用生成的關(guān)鍵字索引來訪問標(biāo)識符關(guān)鍵字節(jié)流桶��,并且檢索與該關(guān)鍵字索引相關(guān)聯(lián)的速率計數(shù)器��,其包括與該關(guān)鍵字相關(guān)聯(lián)的在當(dāng)前時間間隔中已接受的分組的數(shù)量�����。另外�,基于標(biāo)識符關(guān)鍵字的速率限制模塊140訪問標(biāo)識符關(guān)鍵字速率限制值145,并且檢索對于該標(biāo)識符關(guān)鍵字的關(guān)鍵字標(biāo)識符速率限制閾值���。流程從框345轉(zhuǎn)到框355����。在框355�,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140確定將控制分組加到與關(guān)鍵字索引相關(guān)聯(lián)的速率計數(shù)器的值是否超出關(guān)鍵字標(biāo)識符速率限制閾值。如果關(guān)鍵字標(biāo)識符速率限制閾值將被超出����,則流程轉(zhuǎn)到框360,在該框中丟棄分組��。否則���,流程轉(zhuǎn)到框365��,在該框中�,將關(guān)鍵字排隊到基于協(xié)議的隊列245中的一個適當(dāng)隊列中。在一個實施例中����,在將分組排隊到基于協(xié)議的隊列245之一中前,基于標(biāo)識符關(guān)鍵字的速率限制器模塊140檢查該隊列的隊列深度���。如果分組的添加將使得隊列深度超出隊列深度閾值�,則基于標(biāo)識符關(guān)鍵字的速率限制器模塊140將丟棄該分組����。流程從框365轉(zhuǎn)到框370。在框370���,基于協(xié)議的速率限制器模塊150訪問協(xié)議級別速率限制值155���,并且檢索對于分組的協(xié)議類型或控制分組類型的協(xié)議級別速率限制值。 另外��,基于協(xié)議的速率限制器模塊150訪問協(xié)議級別節(jié)流桶255���,并檢索與控制分組的類型或協(xié)議相關(guān)聯(lián)的速率計數(shù)器��。流程從框370轉(zhuǎn)到框375����。在框375�,基于協(xié)議的速率限制器模塊150確定將控制分組加到協(xié)議級別速率計數(shù)器的值是否超出與協(xié)議類型或控制分組類型相關(guān)聯(lián)的卡級別速率限制值。如果協(xié)議級別速率限制已被超出��,則流程轉(zhuǎn)到框380�����,在該框中丟棄分組�����。否則���,流程轉(zhuǎn)到框385��,在該框中����,基于協(xié)議的速率限制器模塊150將分組引導(dǎo)到控制卡�。另外��,基于協(xié)議的速率限制器模塊150更新協(xié)議級別節(jié)流桶255以反映正在發(fā)送到控制卡的分組���。因此,控制分組能夠以分級方式受到速率限制��,以提供粒度和靈活的控制分組速率限制�����。在一些實施例中����,系統(tǒng)操作員能夠配置速率限制的粒度和用于識別控制分組的關(guān)鍵字。另外���,在一些實施例中���,控制分組能夠基于協(xié)議(例如,DHCP)和/或基于特定類型的控制分組(例如��,PADR和PADI分組)受到速率限制�����。由于速率限制是靈活的,并且能夠在包括控制分組識別級別和協(xié)議級別的不同級別來執(zhí)行�����,因此���,來自不同計算機終端站(和計算終端站內(nèi)不同網(wǎng)絡(luò)接口)的控制分組能夠單獨受到速率限制,同時保持每個線路卡的總體協(xié)議控制分組速率限制�����。因此�,分級控制分組速率限制通過傳送大量的控制分組到網(wǎng)絡(luò)元件、同時允許接受合理的控制分組業(yè)務(wù)�����,防止計算機終端站執(zhí)行服務(wù)拒絕攻擊����。在一些實施例中,網(wǎng)絡(luò)元件中的線路卡包括多個網(wǎng)絡(luò)處理單元(NPU)��,每個單元能夠單獨執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制和基于協(xié)議的速率限制。圖4示出根據(jù)本發(fā)明的一個實施例的帶有用于為控制分組執(zhí)行分級速率限制的多個網(wǎng)絡(luò)處理單元的線路卡����。如圖4所示,每個線路卡460包括NPU 405A和405B��。應(yīng)理解����,NPU的數(shù)量是示范性的,因為線路卡可在本發(fā)明的實施例中包括不同數(shù)量的NPU���。NPU 405A和405B耦合到中央線路處理器410��。在一個實施例中����,NPU 405A和405B與線路卡的不同端口相關(guān)聯(lián)�。NPU 405A和405B各自接收控制分組,并單獨執(zhí)行標(biāo)識符關(guān)鍵字速率限制和基于協(xié)議的限制���。 因此���,NPU 405A-405B不共享存儲器域,并且未獨自知道另一個NPU處理什么。因此���,不同 NPU可能會在大致相同時間處理對于相同協(xié)議和標(biāo)識符關(guān)鍵字的控制分組�。如圖4所示�����, NPU405A分別通過MAC1�、MAC2和MAC3的標(biāo)識符關(guān)鍵字,為相同協(xié)議(例如�,DHCP)執(zhí)行標(biāo)識符關(guān)鍵字速率限制415�����、420和425��。NPU405B分別通過MAC4和MACl的標(biāo)識符關(guān)鍵字為該相同協(xié)議(例如����,DHCP)執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制430和435。因此���,NPU405A通過 MACl的標(biāo)識符關(guān)鍵字為DHCP分組執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制415�,并且NPU 405B 通過MACl的相同標(biāo)識符關(guān)鍵字為DHCP分組執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制435。NPU 405A隨后將基于協(xié)議的速率限制440應(yīng)用到通過基于標(biāo)識符關(guān)鍵字的速率限制415�����、420和425的那些分組�。如圖4所示,帶有MACl的標(biāo)識符的DHCP分組通過了基于標(biāo)識符關(guān)鍵字的速率限制415���,并且?guī)в蠱AC3的標(biāo)識符的DHCP分組通過了基于標(biāo)識符關(guān)鍵字的速率限制425�。帶有MAC2的標(biāo)識符的DHCP分組未通過基于標(biāo)識符關(guān)鍵字的速率限制420����。類似地,NPU 405B將基于協(xié)議的速率限制445應(yīng)用到通過基于標(biāo)識符關(guān)鍵字的速率限制430和435的那些分組�。如圖所示,帶有標(biāo)識符MAC4和MACl的DHCP分組分別通過了基于標(biāo)識符關(guān)鍵字的速率限制430和435���。NPU 405A將通過基于協(xié)議的速率限制440的那些分組發(fā)送到中央線路處理器410 以做進(jìn)一步處理�。如圖所示���,帶有標(biāo)識符MACl和MAC3的DHCP分組通過基于協(xié)議的速率限制440����,并且被發(fā)送到中央線路處理器410以做進(jìn)一步處理。類似地���,NPU 405B將通過基于協(xié)議的速率限制445的那些分組發(fā)送到中央線路處理器410以做進(jìn)一步處理���。NPU 405A 和405B還將協(xié)議標(biāo)識符和分組及當(dāng)前速率計數(shù)器(標(biāo)識符關(guān)鍵字速率計數(shù)器和協(xié)議速率計數(shù)器)一起發(fā)送。如圖所示���,帶有MACl的標(biāo)識符的DHCP分組通過了基于協(xié)議的速率限制445��,但帶有MAC4的標(biāo)識符的DHCP分組未通過���,并且不發(fā)送到中央線路處理器410。中央處理器410為它從NPU 405A和405B接收的那些分組聚合來自相同協(xié)議和標(biāo)識符關(guān)鍵字的那些分組�����。例如��,中央線路處理器410為從NPU 405A和405B收到的相同標(biāo)識符關(guān)鍵字和協(xié)議增加標(biāo)識符關(guān)鍵字速率計數(shù)器的值����。類似地�����,中央線路處理器410為從 NPU 405A和405B收到的具有相同協(xié)議標(biāo)識符的那些分組增加協(xié)議速率計數(shù)器的值。作為示例��,中央線路處理器410為從NPU 405A和405B收到的具有MACl的標(biāo)識符的DHCP分組聚合標(biāo)識符關(guān)鍵字速率計數(shù)器�����?���;跇?biāo)識符關(guān)鍵字速率計數(shù)器的聚合值,執(zhí)行基于標(biāo)識符關(guān)鍵字的限制450��。通過基于標(biāo)識符關(guān)鍵字的速率限制450的那些分組隨后受到基于協(xié)議速率計數(shù)器的聚合值的協(xié)議限制455的速率限制�����。通過協(xié)議限制455的那些控制分組隨后可被發(fā)送到控制卡以做進(jìn)一步處理���。在一個實施例中���,每個NPU執(zhí)行如參照圖2和3所述的類似操作,不同之處是不將通過分級速率限制的那些控制分組發(fā)送到控制卡���,而是將那些控制分組發(fā)送到中央線路處理器以做進(jìn)一步的聚合和速率限制�����。在此類實施例中���,每個NPU包括多個執(zhí)行單元以執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制�,并且包括一個或多個執(zhí)行單元的集合以執(zhí)行基于協(xié)議的速率限制���。例如���,圖5示出根據(jù)本發(fā)明的一個實施例的包括執(zhí)行分級速率限制的多個網(wǎng)絡(luò)處理單元的線路卡之一的更詳細(xì)視圖。如圖5所示����,NPU 405A和405B分別包括基于標(biāo)識符關(guān)鍵字的速率限制器模塊^OA和MOB和基于協(xié)議的速率限制器模塊550A和550B。雖然為了簡明的緣故而未示出����,但應(yīng)理解����,對于NPU 405A和405B的每個����,多個執(zhí)行單元執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制器模塊MOA和MOB的實例��,并且一個或多個執(zhí)行單元的集合執(zhí)行基于協(xié)議的速率限制模塊^OA和550B��。在一個實施例中��,基于標(biāo)識符關(guān)鍵字的限制器模塊MOA和MOB類似于圖1所示的基于標(biāo)識符關(guān)鍵字的限制器模塊140而執(zhí)行���,并且基于協(xié)議的速率限制器模塊^OA和550B類似于基于卡級別的限制器模塊150而執(zhí)行�����,不同之處在于通過基于協(xié)議的速率限制的分組被發(fā)送到中央線路處理器410而不是被允許發(fā)送到控制卡��。通過來自NPU 405A和405B的每個的基于協(xié)議的速率限制的那些分組和協(xié)議標(biāo)識符及相關(guān)聯(lián)的分組計數(shù)器(例如�,當(dāng)前標(biāo)識符關(guān)鍵字分組計數(shù)值和當(dāng)前協(xié)議分組計數(shù)值) 一起被發(fā)送到中央線路處理器410����。中央線路處理器410基于標(biāo)識符關(guān)鍵字和協(xié)議聚合從不同NPU405A和405B收到的控制分組,并且將基于聚合標(biāo)識符關(guān)鍵字的速率限制和基于聚合協(xié)議的速率限制應(yīng)用到那些控制分組���。例如����,聚合器模塊530聚合它接收的控制分組的每個不同標(biāo)識符關(guān)鍵字的標(biāo)識符關(guān)鍵字分組計數(shù)值,并且聚合它接收的控制分組的協(xié)議分組計數(shù)值�����。聚合器模塊530適當(dāng)?shù)馗聵?biāo)識符關(guān)鍵字速率計數(shù)器570和協(xié)議速率計數(shù)器 580 (例如��,通過更新的分組計數(shù))�。在某個分組與其它類似分組聚合后某個時間,基于聚合標(biāo)識符關(guān)鍵字的速率限制器模塊560訪問標(biāo)識符關(guān)鍵字速率限制值570�����,并且檢索與該分組的標(biāo)識符關(guān)鍵字相關(guān)聯(lián)的速率限制值���。比較檢索到的速率限制值和對于該標(biāo)識符關(guān)鍵字的聚合分組計數(shù)����。其聚合分組計數(shù)值大于其相關(guān)聯(lián)速率限制值的那些分組被丟棄�����。通過基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些分組隨后受到基于其協(xié)議或控制分組類型的速率限制��?;诰酆蠀f(xié)議級別的速率限制器565訪問協(xié)議速率限制值585,并且檢索與控制分組的控制分組類型或協(xié)議相關(guān)聯(lián)的速率限制值����。比較檢索到的速率限制值和對于該協(xié)議或控制分組類型的聚合分組計數(shù)。其聚合分組計數(shù)值超出其相關(guān)聯(lián)速率限制值的那些分組被丟棄��。隨后��,允許通過基于聚合協(xié)議的速率限制的那些控制分組被發(fā)送到控制卡以做進(jìn)一步處理��。圖6是示出根據(jù)本發(fā)明的一個實施例的帶有多個網(wǎng)絡(luò)處理單元的線路卡中用于分級速率限制的示范操作的流程圖��。圖6的操作將參照圖5的示范實施例進(jìn)行描述���。然而���, 應(yīng)理解,圖6的操作能夠由與參照圖5論述的那些實施例不同的本發(fā)明的其它實施例來執(zhí)行����,并且參照圖5論述的實施例能夠執(zhí)行與參照圖6所述那些操作不同的操作。如圖6所示,操作的流程如參照圖3所述在框375開始�����。根據(jù)一個實施例�,參照圖 3所述的操作(例如,參照框310-370所述的操作)由NPU 405A和405B之一來執(zhí)行��。例
17如����,在框310,NPU 405A和405B之一接收控制分組���。為了解釋的目的��,參照圖6所述的操作假設(shè)NPU405A已收到控制分組��。在框375�����,基于協(xié)議的速率限制模塊550A確定將控制分組加到基于協(xié)議的速率計數(shù)器的值是否超出與接收分組的控制分組類型或協(xié)議類型相關(guān)聯(lián)的基于協(xié)議的速率限制���。 如果協(xié)議速率限制值被超出�,則流程轉(zhuǎn)到框380���,在該框中丟棄分組,否則流程轉(zhuǎn)到框610����。在框610,NPU 405A將控制分組以及控制分組的關(guān)鍵字標(biāo)識符����、控制分組的協(xié)議標(biāo)識符及與控制分組相關(guān)聯(lián)的當(dāng)前分組計數(shù)值(例如,當(dāng)前關(guān)鍵字標(biāo)識符分組計數(shù)值和當(dāng)前協(xié)議分組計數(shù)值)一起發(fā)送到中央線路處理器410���。流程從框610轉(zhuǎn)到框615�。在框615�����,中央線路處理器410聚合與接收的控制分組相關(guān)聯(lián)的分組計數(shù)值�。例如,聚合器模塊530通過將與接收的控制分組相關(guān)聯(lián)的分組計數(shù)值加到標(biāo)識符關(guān)鍵字速率計數(shù)器570和協(xié)議速率計數(shù)器580中存儲的值來聚合那些值���。聚合器模塊530還可更新標(biāo)識符關(guān)鍵字速率計數(shù)器570和協(xié)議速率計數(shù)器580中的分組的時間戳��。當(dāng)然���,應(yīng)理解��,如果接收的控制分組是接收的帶有該標(biāo)識符關(guān)鍵字或協(xié)議的第一分組���,則聚合器模塊530能夠在標(biāo)識符關(guān)鍵字速率計數(shù)器570和協(xié)議速率計數(shù)器580中創(chuàng)建該分組的條目。流程從框615轉(zhuǎn)到框620����,在該框中,基于聚合標(biāo)識符關(guān)鍵字的速率限制器模塊 560訪問標(biāo)識符關(guān)鍵字速率限制值575���,并檢索與分組的標(biāo)識符關(guān)鍵字相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制值�。此外��,基于聚合標(biāo)識符關(guān)鍵字的速率限制器模塊560訪問標(biāo)識符關(guān)鍵字速率計數(shù)器570���,并且檢索在該時間期上容許的帶有該標(biāo)識符關(guān)鍵字的分組的數(shù)量�����。流程從框620轉(zhuǎn)到框625��,在該框中���,基于聚合標(biāo)識符關(guān)鍵字的速率限制器模塊560確定聚合的分組計數(shù)值是否超出基于標(biāo)識符關(guān)鍵字的速率限制��。如果計數(shù)超出速率限制��,則流程轉(zhuǎn)到框 630,在該框丟棄分組���,否則���,流程轉(zhuǎn)到框635,在該框中開始基于協(xié)議的速率限制���。在框635��,基于聚合協(xié)議的速率限制器模塊565訪問協(xié)議速率限制值585���,并且檢索與控制分組相關(guān)聯(lián)的協(xié)議速率限制值(例如,基于與控制分組一起傳送的協(xié)議標(biāo)識符)�����。 另外,基于聚合協(xié)議的速率限制器模塊565訪問協(xié)議速率計數(shù)器580�����,并且檢索容許的具有控制分組的協(xié)議標(biāo)識符的分組的數(shù)量�。流程從框635轉(zhuǎn)到框640,在該框中��,基于聚合協(xié)議的速率限制器模塊565確定對于該協(xié)議標(biāo)識符的聚合的分組計數(shù)值是否超出對于該協(xié)議標(biāo)識符的協(xié)議速率限制值����。如果計數(shù)超出速率限制,則流程轉(zhuǎn)到框630����,在該框中丟棄分組。 然而���,如果計數(shù)未超出速率限制���,則流程轉(zhuǎn)到框640,在該框中����,分組被引導(dǎo)到控制卡以做進(jìn)一步處理�。因此��,在一些實施例中���,線路卡執(zhí)行多個分級級別的控制分組速率限制�。然而����,應(yīng)理解,在一些實施例中�,一個或多個級別的控制分組速率限制被忽略���。例如�,在線路卡包括多個網(wǎng)絡(luò)處理單元和中央線路處理器的情況下����,在一個實施例中,只在網(wǎng)絡(luò)處理單元應(yīng)用速率限制(因此�,在此類實施例中,網(wǎng)絡(luò)處理單元不執(zhí)行控制分組速率限制)���。作為另一個示例�,在一些實施例中,忽略基于協(xié)議的速率限制��。在一些實施例中�����,除了基于標(biāo)識符關(guān)鍵字的速率限制和基于協(xié)議的速率限制外����, 控制分組受到基于每秒事件的數(shù)量的速率限制。作為示例�����,事件是線路卡上控制分組的接收�����,而與協(xié)議無關(guān)��。例如�����,在接收控制分組時基于標(biāo)識符關(guān)鍵字的速率限制之前����,線路卡確定控制分組是否通過每秒事件的速率限制�����。如果分組通過每秒事件的速率限制���,則執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制。如果分組未通過每秒事件的速率限制���,則線路卡將丟棄分組�。在一個實施例中�,每秒事件的速率限制對電路是特定的(即,每秒事件的速率限制單獨應(yīng)用于每個不同電路)����。雖然實施例已相對于基于關(guān)鍵字標(biāo)識符和基于協(xié)議類型的控制分組速率限制進(jìn)行了描述��,但在其它實施例中�����,控制分組可還在不同粒度(例如����,按端口��、按VLAN/ATM-PVC�、 按訂戶等)受到限制�。另外,在一些實施例中�,控制分組在不同粒度(例如,按端口�����、按VLAN/ ATM-PVC����、按訂戶等)受到限制,而不是基于分組中的關(guān)鍵字標(biāo)識符和基于控制分組的協(xié)議類型對控制分組進(jìn)行速率限制�。雖然實施例已基于標(biāo)識符關(guān)鍵字的類別相對于速率限制控制分組進(jìn)行了描述 (例如,通過具有相同的標(biāo)識符關(guān)鍵字速率限制值��,等同地對待帶有相同協(xié)議的獨特標(biāo)識符關(guān)鍵字的控制分組)�,但在一些實施例中,標(biāo)識符關(guān)鍵字速率限制值能夠?qū)Ω鱾€標(biāo)識符關(guān)鍵字是特定的���。另外���,在一些實施例中����,標(biāo)識符關(guān)鍵字速率限制值是動態(tài)的�����,并且能夠根據(jù)接收的控制分組的歷史對于各個標(biāo)識符關(guān)鍵字進(jìn)行更改(例如�����,響應(yīng)檢測到對于該標(biāo)識符關(guān)鍵字的異常大量的控制分組(并因此是可能的服務(wù)拒絕攻擊)�����,能夠降低對于該標(biāo)識符關(guān)鍵字的速率限制值)�。雖然圖中的流程圖示出本發(fā)明的某些實施例執(zhí)行的操作的特定順序,但應(yīng)理解�����, 此類順序是示范性的(例如�����,備選實施例可以在不同的順序中執(zhí)行操作�����,組合某些操作���,重疊某些操作等)���。雖然本發(fā)明已根據(jù)幾個實施例描述,但本領(lǐng)域的技術(shù)人員將認(rèn)識到本發(fā)明不限于所述實施例�,通過隨附權(quán)利要求的精神和范圍內(nèi)的修改和變化,能夠?qū)嵺`本發(fā)明�。描述因此要視為是說明性的而不是限制性的。
19
權(quán)利要求
1.一種在網(wǎng)絡(luò)元件的線路卡上執(zhí)行的用于速率限制控制分組的方法��,包括 在所述線路卡接收多個控制分組����;對于每個接收的控制分組,執(zhí)行以下步驟 確定該控制分組的協(xié)議類型�����,基于該控制分組的所確定的協(xié)議類型,在該控制分組中提取一個或多個標(biāo)識符關(guān)鍵字的集合��,基于提取的標(biāo)識符關(guān)鍵字的所述集合和該控制分組的所確定的協(xié)議類型��,在該控制分組上執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制��;丟棄所接收的控制分組中未通過所述基于標(biāo)識符關(guān)鍵字的速率限制的那些分組����;以及對于所接收的控制分組中通過所述基于標(biāo)識符關(guān)鍵字的速率限制的那些分組的每個, 基于該分組的所確定的協(xié)議類型來執(zhí)行協(xié)議級別速率限制�。
2.如權(quán)利要求1所述的方法,其中對于確定為PPPoE(以太網(wǎng)上點到點協(xié)議)控制分組的那些控制分組���,還確定所述PPPoE控制分組是PPPoE主動發(fā)現(xiàn)請求(PADR)還是PPPoE 主動發(fā)現(xiàn)啟動(PADI)控制分組���,其中所述基于標(biāo)識符關(guān)鍵字的速率限制分別為PADR控制分組和PADI控制分組來執(zhí)行。
3.如權(quán)利要求1所述的方法��,其中所述控制分組的至少一些是DHCP(動態(tài)主機配置協(xié)議)分組����,并且用于那些控制分組的每個分組的標(biāo)識符關(guān)鍵字的集合包括源MAC(媒體接入控制)地址、源IP(因特網(wǎng)協(xié)議)地址����、VLAN(虛擬局域網(wǎng))標(biāo)識符、ATM(異步傳輸模式) PVC(永久性虛擬電路)標(biāo)識符�、GIADDR(網(wǎng)關(guān)IP地址)及端口標(biāo)識符中的一項或多項。
4.如權(quán)利要求1所述的方法�����,其中所述控制分組的至少一些是ARP(地址解析協(xié)議)控制分組����,并且用于那些控制分組的每個分組的標(biāo)識符關(guān)鍵字的集合包括源MAC(媒體接入控制)地址。
5.如權(quán)利要求1所述的方法���,其中所述基于標(biāo)識符關(guān)鍵字的速率限制包括對于每個控制分組的以下步驟檢索與從該控制分組所提取的標(biāo)識符關(guān)鍵字的集合相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制計數(shù)器��;檢索與該控制分組的所確定的協(xié)議類型相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制閾值�; 比較所檢索的速率限制計數(shù)器和所述速率限制閾值��,其中如果未超出所述速率限制閾值則所述控制分組通過所述基于標(biāo)識符關(guān)鍵字的速率限制���,并且如果超出所述速率限制閾值則未通過所述基于標(biāo)識符關(guān)鍵字的速率限制�。
6.如權(quán)利要求5所述的方法�����,還包括其中基于所確定的協(xié)議類型的協(xié)議級別速率限制包括對于通過所述基于標(biāo)識符關(guān)鍵字的速率限制的每個控制分組的以下步驟檢索與所述控制分組的所確定的協(xié)議類型相關(guān)聯(lián)的協(xié)議級別速率限制計數(shù)器, 檢索與所述控制分組的所確定的協(xié)議類型相關(guān)聯(lián)的協(xié)議級別速率限制閾值����,以及比較所檢索的協(xié)議級別速率限制計數(shù)器和所述協(xié)議級別速率限制閾值;以及丟棄其速率限制計數(shù)器超出對應(yīng)的協(xié)議級別速率限制閾值的那些控制分組�。
7.如權(quán)利要求1所述的方法,還包括其中所述線路卡包括與所述線路卡的多個端口的不同端口耦合的多個連網(wǎng)處理單元(NPU)��,其中所述多個控制分組的不同分組在所述多個NPU的不同NPU被接收���,其中所述NPU 的每個執(zhí)行基于標(biāo)識符關(guān)鍵字的控制分組速率限制和基于協(xié)議的控制分組速率限制�����,其中對于通過所述控制分組級別速率限制的所接收的控制分組的每個��,執(zhí)行以下步驟將該控制分組與關(guān)聯(lián)于該控制分組的協(xié)議分組計數(shù)值����、標(biāo)識符關(guān)鍵字分組計數(shù)值���、協(xié)議標(biāo)識符�、標(biāo)識符關(guān)鍵字的集合一起發(fā)送到所述線路卡上的中央線路處理器;聚合對于具有協(xié)議標(biāo)識符和標(biāo)識符關(guān)鍵字的相同集合的那些控制分組的標(biāo)識符關(guān)鍵字分組計數(shù)值�����;聚合對于具有相同協(xié)議標(biāo)識符的那些控制分組的協(xié)議分組計數(shù)值���; 對于所述中央線路處理器上接收的每個分組控制分組,執(zhí)行以下步驟 檢索與所述控制分組對應(yīng)的聚合標(biāo)識符關(guān)鍵字分組計數(shù)值����;基于與所述控制分組相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字的集合和協(xié)議標(biāo)識符,檢索與所述控制分組相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制閾值�;通過比較與所述控制分組對應(yīng)的聚合標(biāo)識符關(guān)鍵字分組計數(shù)值和與所述控制分組相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制閾值,執(zhí)行基于聚合標(biāo)識符關(guān)鍵字的速率限制����,其中如果未超出所述標(biāo)識符關(guān)鍵字速率限制閾值則所述控制分組通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制,并且其中如果超出所述標(biāo)識符關(guān)鍵字速率限制閾值則所述控制分組未通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制�;以及丟棄未通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些控制分組。
8.如權(quán)利要求7所述的方法�,還包括對于通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制的每個控制分組,執(zhí)行以下步驟 檢索與該控制分組對應(yīng)的聚合協(xié)議分組計數(shù)值�����,基于與該控制分組相關(guān)聯(lián)的協(xié)議標(biāo)識符,檢索對于該控制分組的協(xié)議速率限制閾值���, 通過比較與該控制分組對應(yīng)的聚合協(xié)議分組計數(shù)值和對于該控制分組的協(xié)議速率限制閾值��,執(zhí)行基于聚合協(xié)議的速率限制�����,其中如果所述聚合協(xié)議分組計數(shù)值未超出所述協(xié)議速率限制閾值則該控制分組通過所述基于聚合協(xié)議的速率限制�,并且其中如果所述聚合協(xié)議分組計數(shù)值超出所述協(xié)議速率限制閾值則該控制分組未通過所述基于聚合協(xié)議的速率限制���;丟棄未通過所述基于聚合協(xié)議的速率限制的那些控制分組�;以及將通過所述基于聚合協(xié)議的速率限制的那些控制分組引導(dǎo)到所述控制卡����。
9.一種用于速率限制控制分組的線路卡,包括分組解析引擎�����,解析控制分組以確定所述控制分組的協(xié)議類型��,并基于所述控制分組的所確定的協(xié)議類型,在每個控制分組中提取一個或多個標(biāo)識符關(guān)鍵字的集合����;多個第一執(zhí)行單元,各自根據(jù)在第一時間間隔上為處理而接受的每個獨特協(xié)議類型的和標(biāo)識符關(guān)鍵字的集合的控制分組的數(shù)量����,按協(xié)議類型和標(biāo)識符關(guān)鍵字的集合的獨特關(guān)鍵字各自在所述控制分組上執(zhí)行第一級別的控制分組速率限制,其中所述第一執(zhí)行單元的每個單元要丟棄未通過所述第一級別的控制分組速率限制的那些控制分組�;以及一個或多個第二執(zhí)行單元的集合���,根據(jù)在第二時間間隔上為處理而接受的每個獨特協(xié)議類型的控制分組的數(shù)量����,按協(xié)議類型在通過所述第一級別的控制分組速率限制的那些控制分組上執(zhí)行第二級別的控制分組速率限制�����,其中第二執(zhí)行單元的所述集合的每個單元要丟棄未通過所述第二級別的控制分組速率限制的那些控制分組����。
10.如權(quán)利要求9所述的線路卡,還包括存儲器��,存儲速率限制值和分組計數(shù)值��,其中所述速率限制值包括標(biāo)識符關(guān)鍵字速率限制值和協(xié)議級別速率限制值,其中所述分組計數(shù)值包括以下項對于按協(xié)議類型的標(biāo)識符關(guān)鍵字的每個獨特集合�,指示在所述第一間隔上為處理而接受的具有協(xié)議類型和標(biāo)識符關(guān)鍵字的該集合的關(guān)聯(lián)的分組的數(shù)量的分組計數(shù)值,以及對于每個協(xié)議類型��,指示為處理而接受的具有該協(xié)議類型的分組的數(shù)量的分組計數(shù)值�����。
11.如權(quán)利要求9所述的線路卡����,其中所述第二執(zhí)行單元的所述集合的每個單元還要將通過所述第二級別的控制分組速率限制的那些控制分組發(fā)送到與所述線路卡耦合的控制卡。
12.如權(quán)利要求9所述的線路卡����,其中所述多個執(zhí)行單元要對于是PADR(PPPoE主動發(fā)現(xiàn)請求)分組和PADI (PPPoE主動發(fā)現(xiàn)啟動)分組的那些分組分別執(zhí)行所述第一級別的控制分組速率限制,其中對于PADR分組和PADI分組的第一級別的控制分組速率限制中使用的標(biāo)識符關(guān)鍵字的集合包括源MAC地址���、VLAN(虛擬局域網(wǎng))標(biāo)識符及端口標(biāo)識符中的一項或多項����。
13.如權(quán)利要求9所述的線路卡�,其中所述控制分組包括DHCP(動態(tài)主機配置協(xié)議)控制分組,以及其中用于所述DHCP控制分組的每個分組的標(biāo)識符關(guān)鍵字的集合包括該DCHP 控制分組中包括的源MAC地址、該DHCP控制分組中的源IP (因特網(wǎng)協(xié)議)地址���、該DHCP控制分組中的VLAN (虛擬局域網(wǎng))標(biāo)識符���、該DHCP控制分組中的ATM (異步傳輸模式)PVC (永久性虛擬電路)標(biāo)識符、該DHCP控制分組中的GIADDR(網(wǎng)關(guān)IP地址)以及其上接收所述 DHCP控制分組的端口標(biāo)識符中的一項或多項���。
14.一種執(zhí)行分級控制分組速率限制的網(wǎng)絡(luò)元件����,包括 控制卡�����,包括����,一個或多個協(xié)議模塊的集合�����,處理從多個線路卡接收的控制分組����;以及所述多個線路卡��,與所述控制卡耦合��,每個線路卡包括�,分組解析引擎��,接收和解析控制分組��,并將分組數(shù)據(jù)寫入該線路卡的緩沖器存儲器中���, 所述分組數(shù)據(jù)包括與所述控制分組的每個控制分組相關(guān)聯(lián)的一個或多個標(biāo)識符關(guān)鍵字的皇A 朱η j基于標(biāo)識符關(guān)鍵字的速率限制器模塊����,按那些控制分組的標(biāo)識符關(guān)鍵字的集合���,在所述控制分組上執(zhí)行基于標(biāo)識符關(guān)鍵字速率的限制���,其中所述基于標(biāo)識符關(guān)鍵字的速率限制器模塊要為每個控制分組執(zhí)行以下操作,比較與該分組的標(biāo)識符關(guān)鍵字的集合相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字分組計數(shù)值和與標(biāo)識符關(guān)鍵字的該集合相關(guān)聯(lián)的標(biāo)識符關(guān)鍵字速率限制值��,其中所述標(biāo)識符關(guān)鍵字分組計數(shù)值表示在第一時間間隔中為處理而接受的具有標(biāo)識符關(guān)鍵字的所述集合的控制分組的數(shù)量��,如果所述標(biāo)識符關(guān)鍵字分組計數(shù)值對于該第一時間間隔超出所述標(biāo)識符關(guān)鍵字速率限制值,則丟棄該控制分組����;基于協(xié)議的速率限制器模塊,在其相關(guān)聯(lián)標(biāo)識符關(guān)鍵字分組計數(shù)值未超出其相關(guān)聯(lián)標(biāo)識符關(guān)鍵字速率限制值的那些控制分組上執(zhí)行基于協(xié)議的速率限制�����,其中所述基于協(xié)議的速率限制器模塊要為那些控制分組的每個控制分組執(zhí)行以下步驟比較與該控制分組的協(xié)議類型相關(guān)聯(lián)的協(xié)議分組計數(shù)值和與該協(xié)議類型相關(guān)聯(lián)的協(xié)議速率限制值���,其中所述協(xié)議分組計數(shù)值表示在第二時間間隔中為處理而接受的具有該協(xié)議類型的控制分組的數(shù)量����,如果所述協(xié)議分組計數(shù)值對于該第二時間間隔超出所述協(xié)議速率限制值�,則丟棄該控制分組,以及如果所述協(xié)議分組計數(shù)值對于該給定時間期未超出所述協(xié)議速率限制值��,則將該控制分組發(fā)送到所述控制卡���。
15.如權(quán)利要求14所述的網(wǎng)絡(luò)元件,其中所述控制卡還包括命令行接口模塊以從所述網(wǎng)絡(luò)元件的系統(tǒng)操作員接收所述標(biāo)識符關(guān)鍵字速率限制值和所述協(xié)議速率限制值�����,以及還接收所述第一時間間隔的時間量和所述第二時間間隔的時間量。
16.如權(quán)利要求14所述的網(wǎng)絡(luò)元件�,其中所述基于標(biāo)識符關(guān)鍵字的速率限制器模塊要對于是PADR (PPPoE主動發(fā)現(xiàn)請求)分組和PADI (PPPoE主動發(fā)現(xiàn)啟動)分組的那些分組分別執(zhí)行所述基于標(biāo)識符關(guān)鍵字速率的限制,其中對于PADR分組和PADI分組的基于標(biāo)識符關(guān)鍵字的速率限制中使用的標(biāo)識符關(guān)鍵字的集合包括源MAC地址�����、VLAN(虛擬局域網(wǎng))標(biāo)識符及端口標(biāo)識符中的一項或多項����。
17.如權(quán)利要求14所述的網(wǎng)絡(luò)元件,其中所述控制分組包括DHCP(動態(tài)主機配置協(xié)議)控制分組����,以及其中用于所述DHCP控制分組的每個控制分組的標(biāo)識符關(guān)鍵字的集合包括該DCHP控制分組中包括的源MAC地址、該DHCP控制分組中的源IP (因特網(wǎng)協(xié)議)地址��、 該DHCP控制分組中的VLAN(虛擬局域網(wǎng))標(biāo)識符����、該DHCP控制分組中的ATM(異步傳輸模式)PVC(永久性虛擬電路)標(biāo)識符、該DHCP控制分組中的GIADDR(網(wǎng)關(guān)IP地址)以及其上接收所述DHCP控制分組的端口標(biāo)識符中的一項或多項�����。
18.一種用于速率限制控制分組的線路卡�����,包括多個網(wǎng)絡(luò)處理單元(NPU),每個NPU具有單獨的存儲器域�����,其中每個NPU與所述線路卡的一個或多個端口耦合�����,并且每個NPU包括以下項分組解析引擎��,解析控制分組以確定每個控制分組的協(xié)議類型���,并基于該控制分組的所確定的協(xié)議類型����,從每個控制分組提取一個或多個標(biāo)識符關(guān)鍵字的集合��,多個第一級別執(zhí)行單元��,按協(xié)議類型為提取的標(biāo)識符關(guān)鍵字的每個獨特集合執(zhí)行基于標(biāo)識符關(guān)鍵字的速率限制�,其中所述第一級別執(zhí)行單元的每個單元要丟棄未通過所述基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組�����,一個或多個第二級別執(zhí)行單元的集合,與所述多個第一級別執(zhí)行單元耦合�����,第二級別執(zhí)行單元的所述集合執(zhí)行以下操作對于每個協(xié)議類型的通過所述基于標(biāo)識符關(guān)鍵字的速率限制的那些控制分組的每個控制分組的基于協(xié)議的速率限制��,丟棄未通過所述基于協(xié)議的速率限制的那些控制分組�,以及將通過所述基于協(xié)議的速率限制的那些控制分組的每個控制分組發(fā)送到所述線路卡的中央線路處理器;所述中央線路處理器����,與所述多個NPU耦合,所述中央線路處理器執(zhí)行以下操作 聚合從所述多個NPU接收的具有標(biāo)識符關(guān)鍵字的相同集合的那些控制分組���,聚合從所述多個NPU接收的具有相同協(xié)議類型的那些控制分組���, 按協(xié)議類型為標(biāo)識符關(guān)鍵字的每個獨特集合在從所述多個NPU接收的控制分組上執(zhí)行基于聚合標(biāo)識符關(guān)鍵字的速率限制,丟棄未通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些控制分組��, 為每個獨特協(xié)議類型對于通過所述基于聚合標(biāo)識符關(guān)鍵字的速率限制的那些控制分組的每個控制分組執(zhí)行基于聚合協(xié)議的速率限制���,丟棄未通過所述基于聚合協(xié)議的速率限制的那些控制分組��,以及將通過所述基于聚合協(xié)議的速率限制的那些分組發(fā)送到與所述線路卡耦合的控制卡�。
19.如權(quán)利要求18的線路卡,其中所述控制分組包括PADR(PPPoE主動發(fā)現(xiàn)請求)分組和PADI (PPPoE主動發(fā)現(xiàn)啟動)分組�,以及其中所述PADR分組和PADI分組分別受到速率限制。
20.如權(quán)利要求18所述的線路卡�����,其中所述控制分組包括DHCP(動態(tài)主機配置協(xié)議) 控制分組��,以及其中用于所述DHCP控制分組的每個分組的標(biāo)識符關(guān)鍵字的集合包括該 DCHP控制分組中包括的源MAC地址�����、該DHCP控制分組中的源IP(因特網(wǎng)協(xié)議)地址����、該 DHCP控制分組中的VLAN (虛擬局域網(wǎng))標(biāo)識符、該DHCP控制分組中的ATM (異步傳輸模式) PVC(永久性虛擬電路)標(biāo)識符����、該DHCP控制分組中的GIADDR(網(wǎng)關(guān)IP地址)以及其上接收所述DHCP控制分組的端口標(biāo)識符。
全文摘要
線路卡接收控制分組���,并執(zhí)行在這些控制分組上的分級速率限制�����。從控制分組中提取標(biāo)識符關(guān)鍵字集合�,并且確定那些控制分組的協(xié)議��。在第一級別��,控制分組按協(xié)議按標(biāo)識符關(guān)鍵字的獨特集合受到速率限制�。丟棄未通過第一速率限制級別的那些分組。通過第一速率限制級別的那些分組按協(xié)議類型在第二級別受到速率限制��。未通過第二級別速率限制的那些分組被丟棄���,而通過第二級別速率限制的那些分組被發(fā)送到控制卡以做進(jìn)一步處理��。
文檔編號H04L29/06GK102415062SQ201080019467
公開日2012年4月11日 申請日期2010年4月29日 優(yōu)先權(quán)日2009年4月29日
發(fā)明者A·古普塔, A·德西根, A·沙馬, M·斯里尼瓦桑 申請人:瑞典愛立信有限公司