技術領域

本發明涉及計算機網絡，更特別地，涉及用于在計算機網絡內過濾數據的技術。

背景技術

計算機網絡是交換數據并共享資源的互連計算裝置的集合。在分組網絡如互聯網中，計算裝置通過將數據分成稱為包（packet，分組）的小塊而對數據進行通信。包在網絡上從源裝置到目標裝置單獨進行路由。目標裝置從包中提取數據，并將數據匯編成其原始形式。將數據分成包使源裝置僅對可能在傳送期間丟失的單個包進行重新發送。

網絡內的特定裝置，例如，路由器，保持對網絡上的路線進行描述的路由信息。每個路線定義了網絡上兩個位置之間的路徑。根據路由信息，路由器可生成轉發信息，轉發信息由路由器用于通過網絡對包流進行中繼，更特別地，用于將包流中繼到下一中繼段（hop）。關于包的轉發，來自網絡路由器的“下一中繼段”一般指沿指定路線的相鄰裝置。常規路由器通常將轉發信息以一個或多個轉發表的形式保持。接收到發來的包時，路由器對包中的信息進行檢驗，以識別包的目標。路由器基于目標根據其中一個轉發表對包進行轉發。

路由器可進一步通過路由器將包過濾器（filter）應用在包流上。例如，路由器可將包內的報頭信息與一組過濾規則（有時稱為“條件”）相比較。過濾規則可指定（例如）特定源IP地址、目標IP地址和用于過濾包的其他標準。具體地，路由器識別來自符合過濾規則的包流的包，并根據包符合的過濾規則對包進行關聯動作。該動作可包括丟棄包、將包標記為較低優先級、對符合過濾規則的包進行計數等。例如，路由器可通過應用丟棄符合過濾規則的任何包的對于源IP地址的過濾規則，丟棄具有發送拒絕服務（DoS）攻擊的裝置的源IP地址的包。常規路由器一般根據接收包流的接口，即，以逐接口方式對包流應用過濾器。例如，路由器可對指定接口接收的每個包流應用接口專用過濾器。可替代地，路由器可對所有包流應用一個包過濾器，而不管包來自哪個接口。

發明內容

本發明總體涉及用于選擇性地應用和重用存儲于路由器內的過濾器的技術。路由器例如可通過多個接口接收來自接入網絡的包，并對包應用一個或多個過濾器。每個過濾器可對路由器根據包的內容對包進行分類的方式進行定義。在某些示例中，多個過濾器可應用在包的流（一系列包）上。在某些環境中，路由器可對來自幾百萬用戶的流量進行管理和路由。在這些示例中，每個用戶可與過濾器組（過濾器集）關聯。根據提供給不同用戶的不同服務，例如，帶寬、服務質量等，不同過濾器組可應用給來自不同用戶的包。由于用戶數量增加，路由器必須管理和應用的過濾器的數量也可能會大大增加。由于硬件中僅有有限量的過濾資源可用，實施各個用戶流量所需的過濾器并不實際。為了降低存儲和處理需求，本發明的各個方面提供了共享過濾器組，以將冗余過濾器存儲最小化的技術。例如，如果另一個用戶使用的硬件中存在相同過濾器組，路由器可不存儲用戶所需的過濾器組。可替代地，路由器可重用現有過濾器組，如果需要，甚至可向現有組內添加額外過濾器。這樣，路由器存儲的過濾器的數量可通過共享過濾器而減少。另外，本發明的技術提供了利用多個數據結構管理共享過濾器超集和子集之間關系的集管理方案。本發明的這種技術可使路由器快速識別過濾器組，同時降低了路由器的處理和存儲需求。

在一個示例中，一種方法包括由計算裝置從第一用戶接收網絡接入請求。該方法還包括由計算裝置選擇與包流相關聯的候選規則組，其中，該候選規則組包括計算裝置上的現有規則組的一個或多個當前使用規則，該一個或多個當前使用規則當前安裝于計算裝置的轉發平面內，并由計算裝置的轉發平面應用到與第二用戶相關聯的網絡流量上。該方法還包括由計算裝置安裝新規則組，該新規則組包括現有規則組的一個或多個當前使用規則，以及與第一用戶相關聯且并非當前安裝于計算裝置的轉發平面內的一個或多個新規則。該方法還包括由計算裝置將新規則組的各規則應用到與第一用戶相關聯的網絡流量上。

在另一個示例中，一種網絡裝置包括一個或多個網絡接口，用于從第一用戶接收網絡接入請求。該網絡裝置還包括檢測第一包流的管理模塊，其中管理模塊選擇與包流相關聯的候選規則組，其中，候選規則組包括計算裝置上的現有規則組的一個或多個當前使用規則，該一個或多個當前使用規則當前安裝于計算裝置的轉發平面內，并由計算裝置的轉發平面應用到與第二用戶相關聯的網絡流量上。管理模塊還安裝新規則組，該新規則組包括現有規則組的一個或多個當前使用規則，以及與第一用戶相關聯且并非當前安裝于計算裝置的轉發平面內的一個或多個新規則。管理模塊還將新規則組的各規則應用到與第一用戶相關聯的網絡流量上。