將分組重定向至網絡交換機中的入侵防卸服務的方法和系統的製作方法

2023-07-25 10:03:06 1

專利名稱：將分組重定向至網絡交換機中的入侵防卸服務的方法和系統的製作方法
技術領域：
本發明一般涉及對交換網絡中的數據分組的埠重定向(port redirection)。更具體地，本發明的實施例有選擇地將數據分組重定向至交 換設備的與網絡服務相關聯的重定向埠。
背景技術：
惡意軟體的數量和種類對交換聯網系統構成了越來越大的威脅。通過 能夠收集並評估進入網絡流量上的數據以修改交換行為的智能網絡交換機 增強了對交換聯網系統的保護。還通過補充支持(leverage)諸如入侵防禦 系統("IPS")之類的外部網絡服務來向網絡交換機提供安全性和/或其 它服務而無需網絡流量流物理地在線，來進一步增強智能交換的益處。 "IPS"在網絡領域被理解為是指可以行使訪問控制來保護設備不受安全 威脅的機構。
網絡交換機和/或其它網絡交換設備可以基於一種或多種網絡狀況來不 同地對網絡流量進行過濾、重定向、阻止和/或轉發。例如，交換機可被配 置為將特定數據分組重定向至諸如IPS之類的外部網絡服務以供檢視，重 定向是基於數據分組的流量類型的(例如，數據分組的郵件消息服務)。 在進行了滿意的檢視之後，該外部服務可以將經重定向的數據分組返回到 交換機，以便繼續將經檢視的數據分組發送到其最初的所希望目的地。
將數據分組重定向至"線路插件"(bump-in-the-wire)網絡服務可能 是複雜的，其中，將使一個或多個數據分組從交換設備"湧溢" (flood)。如這裡所使用的，使數據分組從交換機湧溢一般是指在缺少對 數據分組應當在特定的一個或多個網絡路徑上被發送的指示的情況下，與 之不同地在許多網絡路徑上發送該數據分組。數據鏈路層上的媒體訪問控 制(MAC)廣播以及網絡層上的網際網路協議(IP)多播正是可以如何使網絡流量從交換設備湧溢的兩個示例。
先前經重定向的數據分組的湧溢可能導致對數據分組的拷貝進行不正 確地發送。例如，如果經重定向的數據分組在從IPS被返回交換機之後將 從交換機湧溢，則被返回的數據分組可能沿著交換設備最初用來接收該數 據分組的網絡路徑被不正確地發送回去。替代地或者另外地，被返回的數 據分組可能被錯誤地發送回將其返回的同 一 網絡服務，這造成了網絡中的 數據分組環路。網絡環路以及對數據分組的其它不正確發送導致了較長的 發送時間以及降低的網絡性能。湧溢的流量的問題至今一直在妨礙數據鏈 路層將數據分組重定向到交換設備的埠的實現，該交換設備與對交換設 備接收的數據分組進行分析的網絡服務相關聯。


在附圖的各個圖中，本發明的各個實施例是以示例的方式而非限制的 方式被圖示出的，並且在附圖中
圖1是圖示出根據本發明一個實施例其中的交換設備可以執行對數據 分組的埠重定向的系統的框圖。
圖2是圖示出根據本發明一個實施例能夠執行對數據分組的埠重定 向的交換機的各機構的框圖。
圖3是圖示出根據本發明一個實施例能夠被重定向的數據分組的內容 的分組示圖。
圖4A是圖示出根據本發明一個實施例的埠重定向方法的流程圖。
圖4B是圖示出根據本發明另一實施例的埠重定向方法的流程圖。
具體實施例方式
圖1圖示出了根據本發明一個實施例的系統100，其中，交換設備 110可以選擇性地重定向數據分組。系統100可以表示多種"線路插件" 配置中的任一個，其中，來自接收到的網絡流量的數據分組至少可以臨時 地被選擇性地重定向到與外部網絡服務120相關聯的交換設備110的端 口。網絡130和140分別表示交換設備IIO從其接收數據分組的源網絡以及交換設備110選擇性地向其發送接收到的數據分組的目的地網絡。網絡 130和140被示為不同的網絡，以有助於說明根據本發明一個實施例，交 換設備110可以如何重定向接收到的數據分組。相關領域的技術人員將明
白，交換設備110還可以將網絡流量從網絡140發送和/或選擇性地重定向 到網絡130。網絡領域的技術人員還將明白，網絡130和140可以表示交 換設備IIO所屬的較大單個網絡(未示出)的任意部分。例如，網絡 130、 140還可以經由一個或多個其它網絡路徑(未示出)連接到另外的設 備、網絡和/或彼此相連。
網絡交換機110表示具有網絡交換能力的任何網絡設備。例如，交換 設備110可以包括交換諸如由開放系統互連(OSI)第2層(L2)表示的 層之類的數據鏈路層中的數據分組的機構。在一些實施例中，交換設備 110可以包括至少部分地基於網絡狀況來交換數據分組的智能交換機構。 交換設備110可以是簡單的L2網絡交換機，或者可以是可包括另外的路 由能力或其它聯網能力的多種其它設備中的任一個。例如，交換設備110 可以是多層交換機(MLS)、混合OSI L2/L3交換路由器，或者具有交換 能力的其它網絡設備。為了簡練，這裡參考"交換機"來描述本發明的實 施例。相關領域的技術人員將會理解，對與本發明實施例有關的交換機的 引用可以擴展為更一般地應用於上述類型的交換設備。
交換設備IIO還連接到網絡服務120。網絡服務120可以是至少部分 地基於對交換設備110接收到的一個或多個數據分組進行分析的多種安全 性服務或其它服務中的任一種。網絡服務120可以包括硬體、軟體、(一 個或多個)虛擬機和/或用於分析交換設備IIO接收到的一個或多個數據分 組的其它裝置的任意組合。對一個或多個數據分組的分析例如可以包括對 各個數據分組的內容的分析和/或隨著時間的過去對經重定向的網絡流量的 統計分析。在一個實施例中，網絡服務120可以提供入侵防禦服務(IPS) 來檢測在交換設備110的網絡流量中發現的安全威脅。由網絡服務120提 供的分析例如可以在實現針對網絡流量的服務質量(QoS)時被參考。例 如，網絡服務120可以用來支持由交換機110中的機構實現的服務質量。 為了簡練，這裡將參考"IPS"來討論本發明的實施例。相關領域的技術人員將會理解，對與本發明實施例有關的IPS的引用可以擴展為更一般地 應用於上述類型的網絡服務。
應當注意，交換設備110和網絡服務120僅可以表示系統100中的多
種"線路插件"配置中的一種。例如，交換設備110可以由以與網絡服務 120的配置類似的配置耦合到的交換設備110的一個或多個其它網絡服務
(未示出)支持。此外，網絡服務120還可以被配置為用於在其它網絡設 備中承載的網絡流量的"線路插件"。為了簡練起見，這裡的本發明的討 論將限於圖l所示的示例性系統IOO的各種變體，儘管這些討論可以被擴 展為一般性地應用於對給定交換設備接收到的數據分組進行分析的任何給 定"線路插件"網絡服務。
本發明的實施例選擇性地執行將數據分組在數據鏈路層重定向到與 IPS相關聯的埠。為了清楚起見，"重定向數據分組"在此是指至少臨 時地在不同網絡路徑上發送數據分組，而不是在打算向其發送數據分組的 一個或多個目的路徑中的任一路徑上引導數據分組。換言之，如果數據分 組從未在不同的非目的路徑上被"重定向"過，則可以認為將該數據分組
"引導"至目的路徑。數據分組可以被描述為"將被引導"至目的路徑的 數據分組，即使交換設備110最終可能確定數據分組改為被重定向至另一 路徑。類似地，數據分組例如可以被描述為"將被重定向"至重定向埠 的數據分組，即使交換設備110最終可能確定數據分組改為被引導至目的 路徑。
在交換設備IIO選擇性地將數據分組重定向至交換設備110的特定端 口的範圍內，數據鏈路層重定向在此可以替代地被稱為"埠重定向"。 在105處，交換機110從網絡130接收數據分組，該數據分組將被引導至 網絡140中的一個或多個目的地。數據分組可以從交換設備110被引導至 網絡140，其中，在沒有首先將數據分組重定向至網絡服務的情況下，交 換設備110將數據分組直接交換到交換設備110中與網絡140中的該數據 分組的一個或多個目的地相關聯的埠 。
替代地，在115處，數據分組可以從交換設備110被重定向至網絡服 務120，其中，交換設備110的交換機構將數據分組交換到與網絡服務
ii120相關聯的交換設備IIO的重定向埠，而不是將數據分組引導至網絡
140。如這裡所討論的，對數據分組的這種重定向115至少部分地可以基於網絡狀況。在數據分組從交換設備IIO被重定向至與網絡服務120相關聯的重定向埠的情況中，可以由網絡服務120執行對被重定向的數據分組的分析。至少部分地基於所執行的分析的結果，在125處，被重定向的數據分組可從網絡服務120被返回到交換設備110。在本發明的一個實施例中，任何被返回的數據分組都可以從交換設備IIO被發送到網絡140中的一個或多個目的地中的至少一個目的地。在圖1中，通信135—般表示將數據分組轉發到網絡140。例如，通信135可以表示(1)將接收到的數據分組從交換設備110引導至網絡140，或者(2)將被返回的數據分組從交換設備110發送到網絡140。
為了將網絡流量重定向到網絡服務120，交換設備110可以包括與網絡服務120相關聯的、在這裡被稱為重定向埠的至少一個埠。通信115和125可以發生在交換設備的單個重定向埠上，或者可以分別發生在與網絡服務120相關聯的分離的出口重定向埠以及入口重定向埠上。在本發明的一個實施例中，交換設備110是否將接收到的數據分組重定向到重定向埠是至少部分地基於網絡狀況的。換言之，網絡狀況的存在可以向交換設備110指示接收到的數據分組與交換設備110的重定向埠相關聯，進而與網絡服務120相關聯。
在一個實施例中，網絡狀況可以是數據分組本身的狀況。例如，網絡狀況可以是數據分組表示的流量類型。數據分組的這種流量類型可以由包含在數據分組本身中的信息來指示。例如，數據分組的流量類型可以基於這樣的信息，該信息包括但不限於數據分組的網絡源標識符、數據分組的網絡目的地標識符、數據分組的協議類型、數據分組的服務類型和/或與數據分組相關聯的應用。流量類型可以由數據分組中的數據鏈路層信息、網絡層信息和/或其它OSI層信息來指示。替代地或者另外，數據分組的流量類型可以包括與數據分組在網絡中的通信有關的信息。例如，數據分組的流量類型可以不同地基於這樣的信息，該信息包括但不限於接收到數據分組的埠、接收數據分組的時間和/或對數據分組的接收導致超過了某個閾值的指示。為了說明的目的，這裡將在如下示例性情況中進行本發明的描述用於數據分組重定向的網絡狀況是數據分組本身的流量類型。將會明白，可以將這些描述擴展為指其它類型的網絡狀況。
在網絡狀況使得數據分組被重定向115至網絡服務120的情況下，可以執行對數據分組的分析，來作為網絡服務120提供的服務的一部分。至
少部分地基於分析結果，經重定向的數據分組可能被網絡服務120丟棄(未示出)。替代地，在125處，至少部分地基於分析結果，數據分組可以被返回到交換設備110。在數據分組被返回的情況中，交換設備110可以對被返回的數據分組執行任何另外的分析或其它操作。此後，交換設備110可以丟棄被返回的數據分組(未示出)，或者在135處將被返回的數據分組轉發到網絡140中的一個或多個目的地。
圖2圖示出了實現本發明一個實施例的配置200。為了說明的目的，配置200示出了圖1的那些特徵之外的另外的特徵。應當注意，本發明的其它實施例可以包括作為對圖2的配置的替代的配置或者除了圖2的配置以外，還包括另外的配置。本發明的一個實施例可由如下交換設備來實現，該交換設備可以選擇性地重定向網絡流量以供一個或多個安全服務進行檢視，其中，重定向是基於某一列網絡特性標識符的。在一個實施例中，可以根據一個或多個策略的集合來對該列網絡標識符進行修改。與圖1的系統100中的交換設備110相似，配置200中的交換機201可以選擇性地將來自接收到的網絡流量的數據分組重定向至與IPS 211相關聯的埠。在本發明的一個實施例中，交換機201可以包括處理器230以實現用於數據分組的選擇性埠重定向的邏輯的至少一部分。例如，處理器230可以包括可能已在其上存儲有一個或多個指令的機器可讀存儲器231，當該一個或多個指令由處理器230運行時，使得處理器230執行如下的至少一部分將數據分組選擇性地埠重定向到交換機201上的與IPS 211相關聯的埠。替代地或者另外，交換機201可以利用硬體來實現對數據分組進行選擇性埠重定向的至少一部分。
根據配置200，交換機201可以(例如，經由埠、總線連接或其它接口)在流處置器(flow handler) 202處接收流量220，流處置器202標識先前已被IPS 211分析並確定為對網絡是安全的流。流處置器202例如
還可以包括判斷是否使數據分組從交換機201湧溢的機構。替代地，可由與流處置器202分開的、交換機201的專用組件(未示出)來進行這種判斷。來自這種流的數據分組不再被中斷而直接被轉發通過交換機201。除此以外，任何其它數據分組222可以被發送到流量選擇器208。流量選擇器208可以判斷網絡狀況是否指示了接收到的數據分組與交換設備的重定向埠相關聯(例如，將流量運載至交換設備的重定向埠)。根據本發明的特定實施例，流量選擇器208還可以判斷數據分組是否是將從交換設備湧溢的數據分組。在一個實施例中，流量選擇器208可以標識用於重定向到交換機201上的與IPS 211相關聯的埠的數據分組222的流量類型。在一個示例中，可以以流為單位或以服務(例如，電子郵件、web、SQL、 FTP等)為單位來進行對將被重定向的流量類型的標識。
至少部分地基於被指示為與IPS 211所關聯的埠具有關聯性的流量類型的數據分組222，數據分組可以被重定向至所述"重定向埠"。流量選擇器208被示為在交換機201中對數據分組進行重定向223。替代地，可以由交換機201中與流量選擇器208中的判斷網絡狀況是否指示接收到的數據分組與重定向埠相關聯的機構相分離的專用交換機構(未示出)來執行這種重定向223。
IPS例如可以經由同軸線纜、雙絞線對線纜、並行總線、串行總線等中的任一種來接收被重定向的數據223。流量選擇器208可以包括具有條目的表209，條目標識了已被標記用於進一步的分組檢視的流和/或服務。在此情況中，與表209中的條目相匹配的服務所關聯的數據分組可以被重定向至與IPS21相關聯的交換機201上的埠。在一個實施例中，表209在內容可尋址存儲器(CAM)中實現。在另一實施例中，將三重CAM亦即TCAM用來實現該表。
IPS211可以分析被重定向的流量223以判斷特定流是好的(例如，安全、不是威脅等)還是壞的(例如，病毒、蠕蟲、拒絕服務(DoS)攻擊等)。例如，IPS設備可能判斷出特定流(例如，流A)是好的流。來自好的流224的數據分組可以被返回分組轉發器232，分組轉發器232可以對被返回的數據分組執行進一步的分析和/或其它操作。在任何另外的分析或其它操作之後，分組轉發器232可以丟棄被返回的數據分組或者將被返
回的數據分組作為交換機201的外出網絡流量225發送。IPS 211可以將標識流A為好的流的通知發送給流處置器202。交換機201可以將流A的流標識符存儲在存儲器231中。因此，當流A的流標識符被存儲在存儲器中之後，與流A相關聯的任何後續接收到的分組就可以在流處置器202中生成與存儲器231中的流A標識符的匹配，這可以使得交換機201將流A分組轉發(221處)通過交換機201 (225處)，而不將它們傳遞經過流量選擇器208或者將它們重定向至IPS 211 。
對於從流處置器202被傳遞到流量選擇器208的數據，表209用來標識該數據的服務和/或流，並且將它們與己被標記用於漏洞檢視(vulnerability inspection)的服務禾卩/或流相比較。表209中的條目可以基
於當前的總體交換機流量狀況而被動態地/自動地更新。總體交換機流量狀況可由感測器210來檢測。在一個實施例中，交換機201可以包括監視從流處置器202傳遞到流量選擇器208的流量的第一感測器210，以及監視流量選擇器208與IPS 211之間的流量的第二感測器210。在其它實施例中，交換機201可以包括在交換機201內的各個位置處監視流量並檢測狀況的一個或多個感測器的任意組合。
感測器210可以收集各種分組統計信息，例如，針對一個或多個流的累積分組計數、 一時間間隔中的分組計數的改變或差值(delta)、兩個累積分組計數的比率，和/或一時間間隔中兩個不同分組計數的改變或差值的比率。考慮到服務(例如，電子郵件、SQL、 FTP等)通常利用標準埠號來通信，因此，感測器還可以基於服務類型來跟蹤分組計數、變化的流量速率以及各比率。感測器210還可以收集與流相關聯的反向/外出流量的統計信息。例如，在一個實施例中，感測器跟蹤針對特定流接收的進入傳輸控制協議(TCP)同步(SYN)分組的數目。同時，感測器還可以跟蹤與該流相關聯的外出TCPSYN確認(SYN-ACK)分組的數目。
感測器210可以將檢測到的狀況報告給選擇管理器206。選擇管理器206包括一個或多個策略207的集合。策略207的這種集合可以被實現為策略資料庫。利用策略207的集合中的規則和/或閾值來分析檢測到的狀況(例如，流量中的尖峰信號、流量擁塞等)，以判斷與檢測到的狀況相關聯的服務或流是否具有由IPS 211進行進一步檢視的正當理由。在一個實
施例中，感測器210可能檢測到進入交換機201的電子郵件流量的反常增加。如果該反常觸發了策略207集合中的一個策略的規則或者超過了閾值，則選擇管理器206可以自動更新表209以包括該電子郵件流量。因此，由流量選擇器208接收到的任何後續電子郵件流量都可以被重定向至IPS211供漏洞檢測。在另一實施例中，感測器210可以檢測因IPS 211的有限帶寬引起的經重定向的流量223中的擁塞。在此情況中，選擇管理器206可以通過按照需要移除一個或多個服務來自動地修改表209，以減少流向IPS 211的經重定向的流量223。
為了允許動態更新流量選擇策略207而無需手動配置和/或中斷交換機201的工作，本發明的實施例可以包括異常接收機205，來接收並處理異常檢測信息以供交換機201使用。如這裡所使用的，"異常檢測"被理解為是指網絡領域公知的、被執行來確定對網絡的潛在安全危險的多種分析方法中的任一種。例如可以從對單個數據分組的內容的分析中和/或從隨著時間的過去對跨越多個數據分組、流、服務等的模式(pattern)分析中生成異常檢測信息。例如，在異常接收機205處接收到的類型的異常檢測信息可以包括但不限於惡意軟體描述、基於籤名的入侵檢測數據、基於簡檔(profile)的入侵檢測數據、流量模式匹配數據、有狀態(stateful)流量模式匹配數據、基於協議解碼的分析數據、基於啟發式的分析數據等。
在各個實施例中，例如在異常接收機205處接收到的異常檢測信息可以用來生成將被傳輸到處置網絡流量中的數據的機構(例如，流量選擇器208、安全規則引擎203和/或IPS 211)的動作。在圖2的示例中，選擇管理器206可以基於接收到的異常檢測信息來生成多種這樣的動作和/或可以基於其執行所述動作的各種相對應條件中的任一個。可以用來確定是否可以採取數據處置動作和/或可以如何採取數據處置動作的條件的一個示例是給定警戒水平的狀態。例如，諸如流量選擇器208之類的交換機201中的機構之一可以存儲或以其他方式訪問指示了對配置200的至少一部分的現有安全威脅的警戒水平(未示出)。當確定在處置接收到的流量222時要
採取的動作時，流量選擇器208可以將該警戒水平與選擇管理器206所提供的條件相比較。可以將這種動作和/或條件例如經由連接231和/或連接230選擇性地傳輸到處置網絡流量中的數據的機構。連接231例如可以是同軸線纜、雙絞線對線纜、並行總線、串行總線等中的任一種。
將在異常接收機205中接收的異常檢測信息可以起源於多種源中的任一種，在圖2中通過圖示說明的方式示出了精選的源。首先，圖2示出了IPS 211，其將異常檢測信息提供給異常接收機205-在此情況中，經由連接231提供給選擇管理器206。其次，交換機201被示為包括耦合到流處置器202的安全規則引擎203，其可以將異常檢測信息提供給異常接收機205-在此情況中，經由連接230提供給選擇管理器206。安全規則引擎203例如可以是這樣的模塊，該模塊分析流量220，並且通過基於所述流量分析導出和/或實行一組安全規則204，來在流處置器202處提供第一級威脅檢測和減緩。這種安全規則引擎203的一個示例是Extreme Networks CLEAR-Flow安全規則引擎，其可以基於網絡流量分析以及諸如規則204之類的安全規則來判斷是否過濾、重定向、阻止和/或轉發服務和/或流。此外，諸如CLEAR-Flow安全規則引擎之類的安全規則引擎203還可以將從這種網絡流量分析中得到的任何異常檢測信息中繼到異常接收機205。再次，由交換機201內的各個感測器210提供的信息可以由異常接收機205接收。未在圖2中示出的異常檢測信息的其它源可以包括在交換機201外部的、對網絡流量進行操作的安全檢測和/或減緩代理。
異常檢測信息的源可以通過多種手段與異常接收機205通信，這些手段包括但不限於由異常接收機205進行的輪詢(poll)、由異常檢測信息的源發送識別出的中斷，和/或經協定的數據通信協議。在異常接收機205接收異常檢測信息之後，異常檢測信息可以被處理並被傳輸到選擇管理器206以用於更新策略207和/或表209。在本發明的一個實施例中，可以動態地更新策略207而無需重啟交換機201中的數據處理系統的某部分。這例如可以通過將選擇管理器206的至少一些功能實現為模塊式作業系統的一個或多個獨立組件來實現。通過利用模塊式作業系統或類似技術
17來隔離配置200的某些組件的運行時間操作，可以實時地更新這些組件而
不用中斷交換機201對接收到的網絡流量220的處置。這種模塊式方法的一個示例是將選擇管理器的至少一部分實現為Extreme Networks ExtremeXOS 模塊式作業系統中的模塊。
雖然並非配置200中的所有特徵都可能不需要實施本發明的某些實施例，然而，上面討論的特徵說明了可以用來確定由交換機201對數據分組進行埠重定向的各種各樣的網絡狀況。例如，雖然在OSI第2層上實現埠重定向，但是可以由與包含在經重定向的數據分組中的任何OSI第2層數據不相關的網絡信息來指示埠重定向所基於的網絡狀況。
在處理數據分組的過程中，交換機201可能能夠存儲和/或更新對數據分組將被發送至何處的當前指示，該指示至少部分地基於交換機201迄今為止執行的對數據分組的處理。在最簡單的情況中，當數據分組到達交換機201時，存儲器231包括與數據分組相關聯的數據塊。例如在流處置器202對數據分組進行處理之後，對數據分組將被發送到何處的第一指示可以被寫入存儲器231中。存儲器231中的這種當前指示例如可以包括單個埠標識符或者諸如位映射(bitmap)之類的埠標籤索引(PTI)，其中，每個所設置的"位"表示交換機201上的埠，該埠在當前被認為是數據分組將被發送去往的埠。在一個實施例中，所存儲的對數據分組將被發送到何處的指示例如可以基於數據分組的MAC DA或IP DA。
由於數據分組可能被不同地引導至流量選擇器208、 IPS 211和/或分組轉發器232，因此，例如當存儲器231中的數據被對數據分組將被發送到何處的更新的"當前"指示改寫或者更新的"當前"指示被添加到存儲器231中的數據中時，對數據分組將被發送到何處的"當前"指示就變成了 "先前"指示。在一個實施例中，交換機201可以存儲對數據分組將被發送到何處的新的當前指示，以及一個或多個較舊的指示。最終，可以在數據分組從交換機201被發送之前，從存儲器231讀出對數據分組將被發送到何處的最近的指示，以確定該數據分組的最終的一個或多個目的地端□。
在本發明的各個其它實施例中，交換機201中的各個組件可以以各種方式支持對數據分組將被發送到何處的一個或多個指示的存儲。例如，流
處置器202、流量選擇器208和/或分組轉發器232中的一個或多個可以各自維護它們自身的數據結構，以便以各種方式存儲、跟蹤和或提供對數據分組將(或者已經)被發送到何處的一個或多個指示。為了實施本發明的一個實施例的目的，所存儲的對數據分組將被發送到何處的指示可以容易地被取回，這使得交換機201可以更快地實現埠重定向方法，如這裡所討論的。
圖3圖示出了根據本發明的一個實施例可以被重定向至與網絡服務相關聯的埠的數據分組300的示例性結構。數據分組300的確切內容和/或結構可能根據用來發送和/或封裝這裡的數據的特定協議而變化。數據分組可以包括數據的有效載荷340，該數據的有效載荷340將從網絡源被傳輸到一個或多個網絡目的地。在有效載荷340被發送經過網絡的過程中，其可以被一個或多個頭部封裝。例如，數據分組300可以包括媒體訪問控制(MAC)頭部310，例如遵循電氣電子工程師協議(IEEE) 802.3的頭部，該頭部可以包括指示數據分組來自的源的MAC地址的MAC源地址311、指示數據分組將被發送去往的至少一個目的地的MAC目的地地址312、指示數據分組所屬的虛擬區域網(VLAN)的VLAN標籤313、以及指示有效載荷340的長度或協議類型中的至少一個的長度/類型欄位314。數據分組300還可以包括網際網路協議(IP)頭部，該頭部可以包括指示數據分組來自的源的IP位址的IP源地址321、指示數據分組將被發送去往的至少一個目的地的IP目的地地址322、指示數據分組為特定數據報的一個片段的標識欄位323、指示所請求的用於處置數據分組的參數的服務類型(TOS)欄位324、指示數據報的壽命的存活時間(TTL)欄位325，以及指示IP分組頭部320的特定格式的版本欄位326。
MAC頭部310以及IP頭部320中的各個欄位的每個都是數據分組300的流量類型的一個示例，其可以判斷數據分組300是否將被重定向至與網絡服務相關聯的交換機中的重定向埠 。在本發明的各個實施例中，替代地或者另外，可以至少部分地基於數據分組300的其它頭部330中的一個或多個欄位、有效載荷340中的信息和/或諸如由感測器210檢測到的那些狀況之類的總體的交換機流量狀況，來將數據分組300重定向至重定 向埠。
為了說明的目的，這裡將參考配置200來描述對數據分組300的重定 向。然而，將會明白，在本發明的不同實施例中，配置200可以重定向其 它類型的數據分組，並且替代地，可以根據由除配置200之外的配置實現 的本發明的各個實施例來重定向數據分組300。在此說明性情況中，數據 分組300在交換機201中被接收，並被發送到流量選擇器208，用於判斷 網絡狀況是否指示了數據分組300與IPS 211所關聯的交換機201的重定 向埠相關聯。根據本發明的一個實施例，將數據分組300從交換機201 重定向至與IPS 211相關聯的埠還至少部分地基於數據分組是否是將從 交換機201湧溢的數據分組。
如這裡所使用的，使數據分組從交換機湧溢一般是指在缺少對數據 分組應當被發送到特定的一個或多個網絡路徑的指示的情況下，與之不同 地將數據分組發送到許多網絡路徑。對於數據鏈路層上的交換，使數據分
組從交換設備湧溢更具體地指在缺少對數據分組應當被發送到交換設備
的一個或多個特定埠的指示的情況下，與之不同地將數據分組發送到交 換設備的多個可能的埠。為了簡練和清楚起見，將參考數據鏈路層湧溢 來討論數據分組湧溢。網絡領域的技術人員將會明白，這裡對本發明實施 例的描述中的湧溢的引用可以被擴展為包括其它類型的數據湧溢，例如網 絡層IP多播。
在MAC目的地地址(DA) 312為廣播MAC DA的情況中，可以使數 據分組300從交換機201湧溢，廣播MAC DA通常指示數據分組將從交換 機201的所有埠被廣播。替代地，在MAC DA 312為交換機201不知道 的MAC地址的情況中，可以使數據分組300從交換機201湧溢。例如當 交換機201試圖在轉發資料庫(FDB)中查找MAC DA 312以確定與 MACDA312相關聯的埠時，這種情況可能發生。在FDB査找結果為未 査到的情況中，在缺少對數據分組300應當被發送到特定埠的指示的情 況下，與之不同地交換機201可以在某些境況中使數據分組300湧溢到交 換機201的一個或多個埠。IPS 211將經重定向的數據分組返回交換機201的這種可能性可能引起 諸如數據分組在不正確埠上被發送的問題和/或數據分組環路的問題。這
在將從交換機201湧溢的數據分組的情況中尤其為真。因此，在對數據分 組300進行選擇性重定向時，本發明的實施例包括對數據分組300是否是 將從交換機201湧溢的這些潛在的問題數據分組之一進行評估。下面將討 論這種評估如何可以被包括作為埠重定向的一部分的示例。
在本發明的不同實施例中，採取了另外的措施來確保數據分組在網絡 中通過交換機201被可靠地發送。例如，可以將把流量運載到IPS 211的 重定向埠與數據分組從交換設備201的任何湧溢隔離。當數據分組300 被確定為與交換機201的重定向埠不相關聯，而是，數據分組300是將 從交換機201湧溢的數據分組時，這防止了將數據分組300不慎地重定向 至IPS211。如果允許重定向埠運載湧溢的流量，則IPS211不必發送尚 未被標識為需要分析的流量或者已被標識為不需要分析的流量。對重定向 埠的隔離例如可以包括從運載(或者以其他方式支持)特定虛擬局域 網(VLAN)流量的一組埠中排除重定向埠。
另外地或者替代地，交換機201可以被配置為使得不對如下重定向端 口執行MAC學習，該重定向埠將被返回的流量從IPS 211運載回交換機 201。 MAC學習使得交換機201將數據分組的特定源MAC地址與接收該 數據分組的、交換機的埠相關聯。只要應當將MAC源地址311與數據 分組300最初來自的地方，即運載流量220的埠，而非從IPS 211返回 數據分組的重定向埠相關聯，就應當針對該返回重定向埠關閉MAC 學習，以防止MAC移動-對與給定MAC源地址相關聯的埠的不希望的 重新學習。用於關閉對網絡埠的MAC學習的交換機配置的各種公知方 法可從商業渠道獲得，因此，除了描述本發明的實施例的操作的需要之 外，在此不進行詳細描述。
圖4A圖示出了根據本發明一個實施例用於選擇性地執行將數據分組 埠重定向至網絡服務的方法400。該方法例如可以由圖2所示的交換機 201中的流量選擇器208來執行。方法400在405中開始，其中，交換設 備作好了執行將數據分組重定向至與網絡服務相關聯的埠的準備。在
21410中，數據分組被交換設備接收，該數據分組將被引導至網絡中的一個 或多個目的地。接收到數據分組後，在415中，判斷是否將使接收到的數 據分組從交換設備湧溢。如前面所討論的，這種湧溢例如可以由數據分組
的廣播MAC DA來指示或者通過對數據分組的MAC DA的FDB査找的結 裡^主古5ii龍ife^
^Tv乂；； /|、_& h ,j ' o
對於IP多播數據分組的情況，判斷數據分組是否將從交換設備湧溢可
以通過判斷數據分組是否包括多播IP DA來指示，多播IP DA例如是在因 特網編號分配管理機構(IANA)的Albanna, Z., Almeroth， K., Meyer， D.和 M. Schipper的2001年8月的請求注釋(RFC) 3171，當前最佳實施(BCP) 51中的"IANA Guidelines for IPv4 Multicast Address Assignments"中描述
的多播IP DA。這可以通過例如將條目添加到流量選擇器ACL中以在重定 向埠上捕獲任何多播流量來實現。例如，ACL條目可以被設置為對具有 224.0.0.0 IP DA的流量進行響應，以便捕獲IP多播流量。
如果將使數據分組湧溢，則在420中，使數據分組從交換設備湧溢， 而沒有預先將數據分組重定向至與網絡服務相關聯的重定向埠。在一個 實施例中，420中的數據分組從交換設備湧溢不包括在重定向埠上發送 數據分組。如果不使數據分組從交換設備湧溢，則在425中，判斷是否發 生了流量選擇器匹配，例如數據分組的流量類型(或類似網絡狀況)是否 指示了數據分組與交換設備的重定向埠相關聯。如果存在流量選擇器匹 配，則在435中，將數據分組重定向至與網絡服務相關聯的重定向埠。 如果不存在流量選擇器匹配，則在430中，將數據分組從交換設備轉發 (在此情況中，引導)至數據分組的一個或多個目的地，而沒有首先將數 據分組重定向到網絡服務供進一步分析。雖然流量選擇器208例如可以包 括執行方法400的所有歩驟的邏輯，然而，在替代實施例中，可以與判斷 是否存在流量選擇器匹配的機構相分離地來實現判斷數據分組是否將從交 換設備湧溢的機構。
圖4B圖示出了根據本發明另一實施例用於選擇性地執行將數據分組 埠重定向至網絡服務的方法450。該方法例如可以由圖2所示的配置 200中的交換機201執行。方法450在455中開始，其中，交換設備作好了執行將數據分組重定向至與網絡服務相關聯的埠的準備。在460中， 數據分組由交換設備接收，該數據分組將被引導至網絡中的一個或多個目
的地。接收到數據分組後，在465中，判斷是否發生了流量選擇器匹配，
例如，數據分組的流量類型(或類似網絡狀況)是否指示了數據分組與交
換設備的重定向埠相關聯。如果不存在流量選擇器匹配，則在470中將 數據分組從交換設備引導至數據分組的一個或多個目的地，而沒有首先將 數據分組重定向至網絡服務供進一步分析。
如果存在流量選擇器匹配，則在475中判斷接收到的數據分組是否將 從交換設備湧溢。如前面所討論的，這種湧溢可由數據分組的廣播MAC DA來指示，或者例如通過對數據分組的MAC DA的FDB查找的結果為 未査到來指示。如果將使數據分組湧溢，則在485中使數據分組從交換設 備湧溢，而沒有預先將數據分組重定向至與網絡服務相關聯的重定向端 口。在一個實施例中，485中數據分組從交換設備湧溢不包括在重定向端 口上發送數據分組。如果不使數據分組從交換設備湧溢，則在480中將數 據分組重定向至網絡服務供進一步分析。與方法400 —樣，可以與判斷是 否存在流量選擇器匹配的機構一起或相分離地來實現判斷數據分組是否將 從交換設備湧溢的機構。
取決於本發明實施例的特定實施方式，並且取決於被選擇性地重定向 的特定數據分組，當數據分組被交換設備處理時，本發明特定實施例可以 存儲任意數目的對數據分組將被發送到何處的不同指示。例如，在460中 接收數據分組之後，可以存儲指示該數據分組將被發送到與數據分組的 MAC DA相關聯的一個或多個埠的PTI。然而，在465中判定存在流量 選擇器匹配之後，可以存儲指示數據分組將被發送到重定向埠的另一 PTI。最後，在475中對將使數據分組從交換設備湧溢的判定可能導致需 要再次存儲PTI，此時PTI指示數據分組將從交換設備湧溢。
在最簡單的情況中，本發明的實施例可以簡單地再次査看數據分組的 MACDA。然而，這可能導致對數據分組的浪費性重定向，以及例如重複 的耗費資源的FDB查找。在本發明的另一實施例中，可以從先前存儲的指 示之一中取回對數據分組的一個或多個目的地埠的正確指示。例如，在475中對將使數據分組從交換設備湧溢的判定可以引起對存
儲在序列控制表(SCT)中的特定指令的觸發。這些SCT指令例如可以存 儲在存儲器231中供處理器230執行。在本發明的一個實施例中，SCT指 令取回先前存儲的、對數據分組將被湧溢去往的交換設備的那些埠的某 個指示。在一個實施例中，SCT指令的執行使得取回了基於數據分組的 MAC DA或IP DA的對數據分組將被發送到何處的指示。被取回的該指示 隨後可以取代對數據分組將被發送到何處的最近指示，並且確定數據分組 從交換設備的實際發送。
這裡描述了用於在交換設備中重定向數據分組的技術和體系結構。在 描述中，為了說明的目的，闡述了多個具體細節以提供對本發明的透徹理 解。然而，本領域技術人員將清楚，可以不用這些具體細節來實施本發
明。在其它實例中，以框圖形式示出了結構和設備以避免模糊描述。
在說明書中，對"一個實施例"或"實施例"的引用是指結合實施例 描述的特定特徵、結構或特性包括在本發明的至少一個實施例中。出現在 說明書中各個位置處的短語"在一個實施例中"不一定都指同一實施例。
下面的詳細描述的某些部分是根據對計算機存儲器內的數據比特進行 的操作的算法和符號表示來呈現的。這些算法的描述和表示是網絡領域的 技術人員用來最有效地向本領域技術人員傳達他們工作的實質的手段。算 法在此並且通常被認為是產生所希望結果的自洽的(self-consistent)步驟 序列。步驟是需要對物理參量進行物理操縱的那些步驟。通常，儘管不是 必然的，這些參量採取能夠被存儲、傳送、組合、比較以及以其它方式被 操縱的電信號或磁信號的形式。主要為了慣常使用的原因，已證明將這些 信號稱為比特、值、元素、符號、字符、項、數字等有時候是方便的。
然而，應當記住，所有的這些以及類似術語將與適當的物理參量相關 聯，並且僅僅是應用於這些參量的便利標記。除非特別指出，否則如從下 面的討論將清楚的，將會理解，在整個描述中，使用諸如"處理"或"運 算"或"計算"或"判斷"或"顯示"之類的術語的討論是指計算機系統 或類似電子計算設備的動作和處理，這些動作和處理操縱表示為計算機系 統的寄存器和存儲器內的物理(電)參量的數據，並將其變換為類似地表
24示為計算機系統的存儲器或寄存器或者其它這種信息存儲、傳輸或顯示設 備內的物理參量的其它數據。
本發明的實施例還與執行這裡的操作的裝置有關。該裝置可以專門地 被構建用於所需要的目的，或者可以包括由存儲在計算機中的電腦程式 選擇性地激活或重新配置的通用計算機。這種電腦程式可以被存儲在計 算機可讀存儲介質中，計算機可讀存儲介質例如是但不限於包括軟盤、光
盤、CD-ROM以及磁光碟在內的任何類型的盤、只讀存儲器(ROM)、 隨機存取存儲器(RAM) 、 EPROM、 EEPROM、磁卡或光學卡，或者適 合於存儲電子指令並且每個都耦合到計算機系統總線的任何類型的介質。
這裡呈現的算法和顯示並不固有地與任何特定計算機或其它裝置有 關。可以根據這裡的教導將各種通用系統與程序一起使用，或者可以證 明，構建執行所需方法步驟的更專用裝置是便利的。將從下面的描述中清 楚用於各種各樣的這些系統的所需結構。另外，本發明未參考任何特定編 程語言來進行描述。將會理解，可以將各種編程語音用來實現這裡所述的 本發明的教導。
權利要求
1.一種方法，包括在網絡中的交換設備處接收數據分組，所述數據分組將被引導至所述網絡中的一個或多個目的地；判斷所述網絡的狀況是否指示接收到的數據分組與所述交換設備的重定向埠相關聯，其中，所述重定向埠與被配置為基於對經重定向的數據分組的分析來將所述經重定向的數據分組返回所述交換設備的網絡服務相關聯；判斷所述數據分組是否將從所述交換設備湧溢；以及如果所述網絡的狀況指示接收到的數據分組與所述交換設備的重定向埠相關聯，以及如果所述數據分組不從所述交換設備湧溢，則將接收到的數據分組重定向至所述交換設備的重定向埠。
2. 如權利要求1所述的方法，其中，所述網絡的狀況包括所述接收到 的數據分組的流量類型。
3. 如權利要求1所述的方法，其中，判斷所述數據分組是否將從所述 交換設備湧溢包括如下步驟中的至少一個步驟判斷所述接收到的數據分組是否包括廣播媒體訪問控制(MAC)目的 地地址，以及判斷所述接收到的數據分組是否包括與轉發資料庫中的任何條目都不 相對應的媒體訪問控制(MAC)目的地地址。
4. 如權利要求1所述的方法，其中，判斷所述數據分組是否將從交換 機湧溢包括判斷所述接收到的數據分組是否包括網際網路協議(IP)多播 目的地地址。
5. 如權利要求1所述的方法，其中，所述接收到的數據分組將從交換 機湧溢，所述方法還包括使所述接收到的數據分組從交換設備湧溢，而沒有將所述接收到的數 據分組發送到所述交換設備的任何重定向埠 。
6. 如權利要求5所述的方法，其中，使所述接收到的數據分組從交換設備湧溢，而沒有將所述接收到的數據分組發送到所述交換設備的任何重 定向埠包括將所述交換設備的重定向埠與數據分組從所述交換設備 的任何湧溢相隔離。
7. 如權利要求6所述的方法，其中，將所述交換設備的重定向埠與 數據分組從所述交換設備的任何湧溢相隔離包括從支持虛擬區域網(VLAN)的一組埠中排除所述交換設備的重定向埠。
8. 如權利要求5所述的方法，其中，所述網絡的狀況指示接收到的數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到的數據分組從所述交換設備湧溢包括利用對使數據分組湧溢至所述交換設備的 至少一個其它埠的指示來取代對使數據分組被發送到所述交換設備的重定向埠的指示。
9. 如權利要求8所述的方法，其中，利用對使數據分組湧溢至所述交換設備的至少一個其它埠的指示來取代對使數據分組被發送到所述交換設備的重定向埠的指示包括執行存儲在序列控制表(SCT)中的一個或多個命令以取回所述交換設備的所述至少一個其它埠的標識符。
10. 如權利要求5所述的方法，其中，所述網絡的狀況指示接收到的數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到的數據分組從所述交換設備湧溢包括實行針對所述交換設備的重定向埠的訪問控制列表的規則，所述規則防止將具有網際網路協議(IP)多播目的地 地址的任何數據分組重定向至所述交換設備的重定向埠 。
11. 一種存儲有指令集的機器可讀介質，所述指令集在被一個或多個處理器執行時，使得所述一個或多個處理器執行包括如下步驟的方法在網絡中的交換設備處接收數據分組，所述數據分組將被引導至所述 網絡中的一個或多個目的地；判斷所述網絡的狀況是否指示接收到的數據分組與所述交換設備的重 定向埠相關聯，其中，所述重定向埠與被配置為基於對經重定向的數 據分組的分析結果來將所述經重定向的數據分組返回所述交換設備的網絡服務相關聯；判斷所述數據分組是否將從所述交換設備湧溢；以及如果所述網絡的狀況指示接收到的數據分組與所述交換設備的重定向 埠相關聯，以及如果所述數據分組不從所述交換設備湧溢，則將接收到 的數據分組重定向至所述交換設備的重定向埠 。
12. 如權利要求11所述的機器可讀介質，其中，所述網絡的狀況包括 所述接收到的數據分組的流量類型。
13. 如權利要求11所述的機器可讀介質，其中，判斷所述數據分組是 否將從所述交換設備湧溢包括如下步驟中的至少一個步驟判斷所述接收到的數據分組是否包括廣播媒體訪問控制(MAC)目的 地地址，判斷所述接收到的數據分組是否包括與轉發資料庫中的任何條目都不相對應的媒體訪問控制(MAC)目的地地址，以及判斷所述接收到的數據分組是否包括網際網路協議(IP)多播目的地地址。
14. 如權利要求11所述的機器可讀介質，其中，所述接收到的數據分組將從交換機湧溢，所述方法還包括使所述接收到的數據分組從交換設備湧溢，而沒有將所述接收到的數 據分組發送到所述交換設備的任何重定向埠。
15. 如權利要求14所述的機器可讀介質，其中，使所述接收到的數據分組從交換設備湧溢，而沒有將所述接收到的數據分組發送到所述交換設備的任何重定向埠包括從支持虛擬區域網(VLAN)的一組埠中排除所述交換設備的重定向埠。
16. 如權利要求14所述的機器可讀介質，其中，所述網絡的狀況指示 接收到的數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到的數據分組從所述交換設備湧溢包括利用對使數據分組湧溢至所述交換設備的至少一個其它埠的指示來取代對使數據分組被發送到所述交 換設備的重定向埠的指示。
17. —種交換設備，包括重定向埠，所述重定向埠與網絡服務相關聯，所述網絡服務被配 置為基於對經重定向的數據分組的分析來將所述經重定向的數據分組返回所述交換設備；流處置器，所述流處置器判斷數據分組是否將從所述交換設備湧溢； 流量選擇器，所述流量選擇器判斷網絡的狀況是否指示所述數據分組與所述重定向埠相關聯；以及交換機構，所述交換機構在所述網絡的狀況指示所述數據分組與所述重定向埠相關聯時，並且在所述數據分組不從所述交換設備湧溢時，將所述數據分組重定向至所述重定向埠 。
18. 如權利要求17所述的交換設備，其中，所述網絡的狀況包括所述 數據分組的流量類型。
19. 如權利要求17所述的交換設備，其中，判斷數據分組是否將從所 述交換設備湧溢包括如下步驟中的至少一個步驟判斷接收到的數據分組是否包括廣播媒體訪問控制(MAC)目的地地址，判斷接收到的數據分組是否包括與轉發資料庫中的任何條目都不相對 應的媒體訪問控制(MAC)目的地地址，以及判斷接收到的數據分組是否包括網際網路協議(IP)多播目的地地址。
20. 如權利要求17所述的交換設備，其中，所述數據分組將從交換機 湧溢，所述交換機構還使接收到的數據分組從所述交換設備湧溢，而沒有 將所述數據分組發送到所述重定向埠 。
21. 如權利要求20所述的交換設備，其中，使接收到的數據分組從所 述交換設備湧溢，而沒有將所述接收到的數據分組發送到所述重定向埠 包括從支持虛擬區域網(VLAN)的一組埠中排除所述重定向埠。
22. 如權利要求20所述的交換設備，其中，所述網絡的狀況指示接收 到的數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到 的數據分組從所述交換設備湧溢包括利用對使數據分組湧溢至所述交換 設備的至少一個其它埠的指示來取代對使數據分組被發送到所述交換設 備的重定向埠的指示。
23. —種系統，包括 交換設備，具有重定向埠，以及交換機構，所述交換機構在網絡的狀況指示數據分組與所述重定 向埠相關聯時，以及在所述數據分組不從所述交換設備湧溢時，將所述 數據分組重定向至所述重定向埠 ；網絡服務，所述網絡服務從所述交換設備的重定向埠接收經重定向 的數據分組，所述網絡服務還基於對所述經重定向的數據分組的分析來將所述經重定向的數據分組返回所述交換設備；以及串行總線，所述串行總線將所述交換設備耦合到所述網絡服務。
24. 如權利要求23所述的系統，其中，所述網絡的狀況包括所述數據 分組的流量類型。
25. 如權利要求23所述的系統，其中，所述數據分組不從所述交換設 備湧溢，除非所述數據分組包括廣播媒體訪問控制(MAC)目的地地址， 所述數據分組包括與所述交換設備的轉發資料庫中的任何條目都不相 對應的媒體訪問控制(MAC)目的地地址，或者所述數據分組包括網際網路協議(IP)多播目的地地址。
26. 如權利要求23所述的系統，其中，所述數據分組將從交換機湧 溢，所述交換機構還使接收到的數據分組從所述交換設備湧溢，而沒有將 所述數據分組發送到所述重定向埠 。
27. 如權利要求26所述的系統，其中，使接收到的數據分組從所述交 換設備湧溢，而沒有將所述接收到的數據分組發送到所述重定向埠包 括從支持虛擬區域網(VLAN)的一組埠中排除所述重定向埠。
28. 如權利要求26所述的系統，其中，所述網絡的狀況指示接收到的 數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到的數 據分組從所述交換設備湧溢包括利用對使數據分組湧溢至所述交換設備 的至少一個其它埠的指示來取代對使數據分組被發送到所述交換設備的 重定向埠的指示。
29. 如權利要求28所述的系統，其中，利用對使數據分組湧溢至所述 交換設備的至少一個其它埠的指示來取代對使數據分組被發送到所述交換設備的重定向埠的指示包括執行存儲在序列控制表(SCT)中的一 個或多個命令以取回所述交換設備的所述至少一個其它埠的標識符。
30.如權利要求26所述的系統，其中，所述網絡的狀況指示接收到的 數據分組與所述交換設備的重定向埠相關聯，並且其中，使接收到的數 據分組從所述交換設備湧溢包括實行針對所述交換設備的重定向埠的 訪問控制列表的規則，所述規則防止將具有網際網路協議(IP)多播目的地 地址的任何數據分組重定向至所述交換設備的重定向埠。
全文摘要
一種方法和系統用於選擇性地將數據分組重定向至交換設備(201)上的與相對應的網絡服務(211)相關聯的埠。在一個實施例中，數據分組被重定向至入侵防禦服務IPS(211)以供對數據分組進行安全分析。在另一實施例中，交換設備至少部分地基於數據分組是否將從交換設備湧溢來執行對數據分組的數據鏈路層重定向。
文檔編號H04L29/06GK101690101SQ200880022594
公開日2010年3月31日 申請日期2008年6月25日 優先權日2007年6月29日
發明者拉姆·克裡斯南, 拉胡爾·S·卡斯拉裡卡爾 申請人:極進網絡有限公司