技術領域

本發明涉及計算機網絡，更特別地，涉及用于在計算機網絡內過濾數據的技術。

背景技術

計算機網絡是交換數據并共享資源的互連計算裝置的集合。在分組網絡如互聯網中，計算裝置通過將數據分成稱為包（packet，分組）的小塊而對數據進行通信。包在網絡上從源裝置到目標裝置單獨進行路由。目標裝置從包中提取數據，并將數據匯編成其原始形式。

網絡內的特定裝置，例如，路由器，保持對網絡上的路線進行描述的路由信息。各個路線定義了網絡上兩個位置之間的路徑。根據路由信息，路由器可生成轉發信息，轉發信息由路由器用于通過網絡對包流進行中繼，更特別地，用于為各包流選擇選擇特定的下一中繼段（hop）。關于包的轉發，來自網絡路由器的“下一中繼段”一般指沿指定路線的相鄰裝置。常規路由器通常將轉發信息以一個或多個轉發表、二叉樹或類似數據結構的形式保持。接收到發來的包時，根據其中一個轉發表，路由器對包中的信息進行檢驗，以選擇包的下一中繼段。

路由器和其他網絡裝置，諸如防火墻、網關和交換機通常在處理包流時應用過濾器。例如，路由器可將各個包內的報頭信息與一組過濾規則（其指定“條件”或“標準”和一個或多個動作）相比較。過濾規則例如可指定特定源IP地址、目標IP地址和用于識別包的其他標準，以及對與指定標準匹配的包進行的一個或多個動作。具體地，路由器識別與過濾規則匹配的包，并根據包匹配的過濾規則對包進行一個或多個動作。這些動作可包括丟棄包、將包標記為較低優先級、統計與過濾規則匹配的包、復制包，以進行記錄或進一步分析等。例如，過濾器可安裝在路由器內，使路由器將裝置的源IP地址已識別為服務拒絕（DoS）來源的包丟棄。常規路由器一般根據接收包流的接口，即，以逐接口方式對包流應用過濾器。例如，路由器可對指定接口接收的各個包流應用接口專用過濾器。可替代地或者另外地，無論包來自哪個接口，路由器可對所有包流應用包過濾器。

發明內容

本文總體對過濾器標準編碼技術進行了說明。所述技術例如可減少將過濾器存儲在存儲器（例如，內容可尋址數據結構）內和提高性能所需的資源。在某些示例中，應用該技術，以對過濾器指定的端口范圍進行編碼。為了表示過濾器指定的端口范圍，本發明的技術可生成包括多個單元的編碼值。編碼值的第一單元可包括對頻繁出現的端口范圍進行識別的標識符。例如，本發明的技術可保持一組一個或多個頻繁出現的端口范圍，各個端口范圍都由唯一標識符識別。當對與頻繁出現的端口范圍匹配的端口范圍進行編碼時，本發明的技術可生成編碼值，編碼值存儲與第一單元中的端口范圍相關聯的標識符。這樣，單個編碼值可表示頻繁出現的端口范圍，從而減少表示端口范圍所需的編碼值的數量，并提高存儲效率。

本發明的技術進一步提供不與頻繁出現的端口范圍匹配的多個不同端口范圍的有效存儲。在某些示例中，過濾器指定的端口范圍可以不與頻繁出現的端口范圍匹配。在這些示例中，本發明的技術可存儲指定端口范圍，并進一步由索引值識別端口范圍。這樣，本發明的技術可動態學習沒有包括在一組頻繁出現的端口范圍中的端口范圍。編碼值的第二單元可存儲表示動態學習端口范圍的索引值，從而僅用一個或少量編碼值表示動態學習端口范圍。這樣，本發明的技術可有效地僅用一個或少量編碼值表示頻繁出現的動態學習端口范圍。通過用本發明的編碼技術表示端口范圍，在對不同簽約者的多個不同包流應用過濾器時，可有效使用存儲資源。

在一個示例中，一種方法包括由計算裝置生成表示指定端口范圍的編碼值，該編碼值包括存儲標識符的第一單元和存儲索引的第二單元，該標識符對最頻繁出現的端口范圍的關聯數據結構中存儲的頻繁出現的端口范圍進行識別，該索引表示指定至少一部分指定端口范圍的動態學習端口范圍，該動態學習端口范圍以動態學習端口范圍的樹形結構表示，并由索引識別；該方法還包括由計算裝置的轉發平面將與編碼值關聯的一個或多個過濾器應用至指定包括在指定端口范圍內的端口的包。

一個網絡裝置包括生成表示指定端口范圍的編碼值的編碼模塊，該編碼值包括存儲標識符的第一單元和存儲索引的第二單元，該標識符對最頻繁出現的端口范圍的關聯數據結構中存儲的頻繁出現的端口范圍進行識別，該索引表示指定至少一部分指定端口范圍的動態學習端口范圍，該動態學習端口范圍以動態學習端口范圍的樹形結構表示，并由索引識別。該網絡裝置還包括轉發平面，用于將與編碼值關聯的一個或多個過濾器應用至指定包括在指定端口范圍內的端口的包。