Hardwarová akcelerace klasifikace paketů. Výzkumná skupina ANT at FIT: 10.května 2010

Tato práce vznikla za podpory projektu TeamIt, jenˇz je spolufinancován Evropským sociáln´ım fondem a ˇ e republiky prostˇrednictv´ım grantu ESF CZ.1.07/2.3.00/09.0067. státn´ım rozpoˇctem Cesk´

ń´ı konkurenceschopny ćh vy ´zkumny ćh ty ´m˚ Budova u pro IT

Výzkumná skupina ANT at FIT:

Hardwarová akcelerace klasifikace paket˚ u Technická zpráva 10.kvˇetna 2010

ˇ ÍCH TECHNOLOGIÍ VUT V BRNE ˇ FAKULTA INFORMACN Boˇzetˇechova 2, 612 66 Brno tel.: +420 541 141 144, +420 541 212 219, fax: +420 541 141 170, 270 http://www.fit.vutbr.cz, http://teamit.fit.vutbr.cz

´ Uvod

1

Klasifikace paket˚ u je u ´loha, na kterou lze pohl´ıˇzet jako na geometrický, anebo kombinatorický matematický problém. Zároveˇ n vˇsak praktické ˇreˇsen´ı této u ´lohy má velký dopad v mnoha aplikac´ıch poˇc´ıtaˇcových s´ıt´ı. V souˇcasnosti existuje mnoho pˇr´ıstup˚ u ke klasifikaci paket˚ u, avˇsak kaˇzdý z nich má nˇekteré nevýhody. Nˇekterá ˇreˇsen´ı jsou vhodná pouze pro softwarovou implementaci, novˇejˇs´ı práce vˇsak jiˇz pˇredpokládaj´ı vyuˇzit´ı specializovaných technických prostˇredk˚ u pro dosaˇzen´ı vysokého výkonu. Zat´ımco pouˇzit´ı software nebo hardware je sp´ıˇse implementaˇcn´ı otázkou, mnohem d˚ uleˇzitejˇs´ı je analýza algoritm˚ u z teoretického pohledu. Pˇri práci s klasifikaˇcn´ımi algoritmy je d˚ uleˇzitá pˇredevˇs´ım ˇcasová a prostorová sloˇzitost. Z d˚ uvod˚ u popsaných dále dˇel´ıme ˇcasovou sloˇzitost popsaných algoritm˚ u na sloˇzitost vyhledán´ı, a sloˇzitost vytvoˇren´ı datových struktur.

2

Teoretick´ y rozbor

2.1

Model klasifikace

Klasifikaˇcn´ı algoritmus má k dispozici mnoˇzinu pravidel uspoˇrádanou podle priority. Vstupem algoritmu jsou hodnoty z hlaviˇcky paketu. Klasifikaˇcn´ı algoritmus mus´ı provést hledán´ı, jehoˇz výsledkem je pravidlo, které odpov´ıdá danému paketu. Pokud paketu odpov´ıdá v´ıce pravidel, potom je z nich vybráno pravidlo s nejvyˇsˇs´ı prioritou. Výstupem klasifikace je ˇc´ıslo výsledného pravidla.

2.2

Klasifikaˇ cn´ı pravidla

Pravidlo pohl´ıˇz´ı na nˇekolik pol´ı z hlaviˇcky paketu a pro kaˇzdé pole urˇcuje podm´ınku. Podm´ınka m˚ uˇze být: • Rozsah: Je urˇcen souvislý rozsah hodnot, které vyhovuje pravidlu. Takové podm´ınky se pouˇz´ıvaj´ı napˇr´ıklad pro ˇc´ısla TCP/UDP port˚ u. • Prefix: Je zadáno pouze nˇekolik vyˇsˇs´ıch bit˚ u datového slova, niˇzˇs´ı bity mohou m´ıt libovolnou hodnotu. Takové podm´ınky se ˇcasto vyuˇz´ıvaj´ı pˇri definic´ıch skupiny IP adres. Potom prefix odpov´ıdá adrese s´ıtˇe, zat´ımco adresa poˇc´ıtaˇce je libovolná a podm´ınka tak vyhovuje IP adrese libovolného poˇc´ıtaˇce dané s´ıtˇe. Jde o speciáln´ı pˇr´ıpad rozsahu. • Hodnota: Pole mus´ı m´ıt pˇresnˇe definovanou hodnotu. Jde o speciáln´ı pˇr´ıpad prefixu nebo rozsahu. • Libovoln´ a: Pole m˚ uˇze m´ıt libovolnou hodnotu. Jde o speciáln´ı pˇr´ıpad prefixu nebo rozsahu. Aˇckoliv rozsah je nejobecnˇejˇs´ı podm´ınka, ˇcasto se podm´ınky reprezentuj´ı pomoc´ı prefix˚ u. Kaˇzdý rozsah lze pˇrevést na nˇekolik prefix˚ u, ilustrace je na obrázku 1. Poˇcet prefix˚ u, které mohou pˇri této operaci vzniknout, je v nejhorˇs´ım pˇr´ıpadˇe 2N − 2, kde N je poˇcet bit˚ u daného pole1 [6]. Pˇresnou hodnotu v podm´ınce pravidla lze chápat jako prefix maximáln´ı délky (ˇzádné bity nejsou volitelné). Podobnˇe podm´ınku povoluj´ıc´ı libovolnou hodnotu lze chápat jako prefix nulové délky (vˇsechny bity jsou volitelné). Pokud hodnoty pol´ı konkrétn´ıho paketu splˇ nuj´ı vˇsechny definované podm´ınky nˇejakého pravidla, vyhovuje paket danému pravidlu a tedy patˇr´ı do dané tˇr´ıdy. Takto by paket mohl zároveˇ n patˇrit do nˇekolika tˇr´ıd, proto pravidla definuj´ı nav´ıc prioritu. Potom je jako výsledek klasifikace vybráno platné pravidlo s nejvyˇsˇs´ı prioritou. Nyn´ı lze pravidlo definovat formálnˇe: Pravidlo je (n + 1)-tice R : (p, a1 , a2 , . . . , aN ), kde p ∈ N je priorita a ax jsou prefixy. N je poˇcet dimenz´ı. Znaˇ cen´ı: Je-li tˇreba pravidla ˇc´ıslovat, budeme pouˇz´ıvat doln´ı index (R1 , R2 , . . .). K oznaˇcen´ı priority a jednotlivých prefix˚ u daného pravidla pouˇzijeme teˇckovou notaci, takˇze prefix a1 pravidla R2 lze napsat jako R2 .a1 . 1 Nejhorˇ s´ım

pˇr´ıpadem je rozsah h1, 2N − 2i

1

Obrázek 1: Pˇrevod rozsahu h3, 9i na tˇri prefixy: 0011, 01**, 100*

Klasifik´ ator je mnoˇzina pravidel taková, ˇze kaˇzdá dvˇe pravidla maj´ı rozd´ılnou prioritu. K = {R; Ri .p = Rj .p ⇒ i = j}

(1)

Protoˇze priorita je pˇrirozené ˇc´ıslo a ˇzádná dvˇe pravidla v klasifikátoru nemaj´ı stejnou prioritu, existuje u ´plné uspoˇrádán´ı pravidel podle priority.

2.3

Geometrick´ y pohled na klasifikaci

Na klasifikaci lze pohl´ıˇzet jako na geometrický problém. Kaˇzdé pole, které klasifikujeme, definuje jednu dimenzi. Kaˇzdý paket je potom jeden bod ve v´ıcedimenzionáln´ım diskrétn´ım prostoru. Pravidla jsou body, nebo (protoˇze mohou definovat rozsahy) v´ıcerozmˇerné pravo´ uhlé objekty v tomto prostoru a mohou se ´ libovolnˇe pˇrekrývat. Ukolem klasifikaˇcn´ıho algoritmu je potom nalézt vˇsechny objekty, které obsahuj´ı zadaný bod, a vybrat z nich ten s nejvyˇsˇs´ı prioritou. Obrázek 2 ilustruje geometrický pohled na klasifikaci podle dvou pol´ı. V praxi se vˇsak pouˇz´ıvá v´ıce dimenz´ı, ˇcasto pˇet (zdrojová IP adresa, c´ılová IP adresa, zdrojový port, c´ılový port, protokol).

Obrázek 2: Ilustrace geometrického pohledu na klasifikaci podle dvou pol´ı. Zat´ımco dan´ y paket jednoznaˇcnˇe urˇcuje jeden bod v prostoru, pravidla mohou m´ıt podobu obdéln´ıku (obecnˇe v´ıcerozmˇerného kvádru), u ´seˇcky nebo bodu.

2.4

Kombinatorick´ y probl´ em na klasifikaci

Jiný pohled nám poskytuje u ´vaha nad systémem prefix˚ u v jednotlivých dimenz´ıch. Pokud z klasifikátoru vybereme vˇsechny prefixy v jedné dimenzi, dostaneme mnoˇzinu prefix˚ u, obecnˇe r˚ uzné délky. Takových mnoˇzin lze vytvoˇrit tolik, kolik je klasifikaˇcn´ıch pol´ı (dimenz´ı). Je zˇrejmé, ˇze nˇekteré prefixy mohou být celé obsaˇzeny v jiných, kratˇs´ıch prefixech. Jinými slovy, prefix a m˚ uˇze být speciáln´ım pˇr´ıpadem nˇekolika prefix˚ u A = {b, c, ...}, kde kaˇzdý prefix z A je kratˇs´ı neˇz prefix a, a ˇzádné dva prefixy z A nemaj´ı 2

stejnou délku. Naopak prefix c m˚ uˇze být obecnˇejˇs´ım pˇr´ıpadem nˇekolika prefix˚ u C = {a, b, ...}, kde kaˇzdý prefix z B je delˇs´ı neˇz prefix c. Prefixy z B mohou m´ıt stejnou délku. Na základˇe tohoto vztahu vzniká relace ˇcásteˇcného uspoˇrádán´ı, kterou lze pˇrehlednˇe vyjádˇrit stromovým diagramem (obr. 3). Doplnˇen´ım c

d

b

a

ˇ ri prefixy v relaci ˇcásteˇcného uspoˇrádán´ı. Prefix a je speciáln´ım pˇr´ıpadem prefix˚ Obrázek 3: Ctyˇ ub a c. Prefix c je obecnˇejˇs´ım pˇr´ıpadem vˇsech ostatn´ıch prefix˚ u. myˇslených prefix˚ u lze z´ıskat binárn´ı strom (obr. 4). Pro zobrazen´ı pravidla je nutné doplnit do obrázku * 1

0 0*

1*

0 1 101

Obrázek 4: Konkrétn´ı pˇr´ıklad prefix˚ u z pˇredchoz´ıho obrázku, doplnˇen´ y do podoby binárn´ıho stromu. Pouˇz´ıváme pˇr´ım´ y zápis binárn´ıch ˇc´ısel, hvˇezdiˇcka oznaˇcuje libovolné zbylé bity. binárn´ı stromy pro vˇsechny dimenze (obr. 5). Pravidlo je potom spojnice jdouc´ı právˇe jedn´ım uzlem v kaˇzdém binárn´ım stromˇe. Pro pˇrehlednost jsou v tab. 1 pravidla vypsána. Pole 1

Pole 2 R1 1 0

0

1

R2

0

0 0

1

R3

Obrázek 5: Dva binárn´ı stromy a tˇri pravidla R1, R2, R3. V této interpretaci problému je u ´kolem klasifikaˇcn´ıho algoritmu nejprve vyhledat odpov´ıdaj´ıc´ı prefixy ve vˇsech dimenz´ıch. V kaˇzdé dimenzi m˚ uˇze paketu odpov´ıdat hned nˇekolik prefix˚ u, výsledkem prvn´ıho kroku tedy nen´ı N prefix˚ u, ale N mnoˇzin prefix˚ u. V dalˇs´ım kroku je tˇreba vytvoˇrit kartézský souˇcin tˇechto mnoˇzin a zjistit, které prvky kartézského souˇcinu odpov´ıdaj´ı nˇekterému pravidlu. Prvky tohoto kartézského souˇcinu maj´ı totiˇz tvar pravidla (aˇz na chybˇej´ıc´ı prioritu). Výsledkem algoritmu bude pravidlo s nejvyˇsˇs´ı prioritou. 3

Pravidlo

Pole 1

Pole 2

R1

1*

*

R2

1*

00*

R3

101*

100*

Tabulka 1: Pravidla z obr. 5

2.5

Poˇ zadavky na klasifikaˇ cn´ı algoritmus

Klasifikaˇcn´ı algoritmus mus´ı splˇ novat jisté vlastnosti, aby byl vhodný pro praktické pouˇzit´ı v s´ıt’ových zaˇr´ızen´ıch: • Rychlost: Klasifikaˇcn´ı algoritmus mus´ı pracovat v reálném ˇcase, tak, aby nesniˇzoval pˇrenosovou rychlost s´ıtˇe. Nejhorˇs´ım pˇr´ıpadem je pˇrenos nejkratˇs´ıch paket˚ u, protoˇze v takové situaci se pˇrenáˇs´ı nejv´ıc paket˚ u za jednotku ˇcasu. Tabulka 2 ukazuje poˇcet pˇrenesených paket˚ u za sekundu pro typické pˇrenosové rychlosti souˇcasných nebo budouc´ıch s´ıt´ı. Pˇri výpoˇctu je uvaˇzována s´ıt’ typu Ethernet, kde má nejkratˇs´ı rámec (odpov´ıdá paketu na s´ıt’ové vrstvˇe) velikost 64 B, ale ke kaˇzdému rámci je nutno pˇripoˇc´ıst 8 B preambuli a 12 B mezirámcovou mezeru. Vˇetˇsina literatury uvád´ı sloˇzitost klasifikaˇcn´ıho algoritmu jako nejhorˇs´ı poˇcet pˇr´ıstup˚ u do pamˇeti. Taková metrika je nezávislá na pouˇzité technologii. Pochopitelnˇe existuj´ı i dalˇs´ı kritéria rychlosti, napˇr´ıklad reálná propustnost v paketech za sekundu, nebo latence výpoˇctu. • Pamˇ et’ov´ e poˇ zadavky: Velikost spotˇrebované pamˇeti je d˚ uleˇzitá, protoˇze ovlivˇ nuje cenu celého ˇ ˇreˇsen´ı. Casto se udává v bajtech na pravidlo. Velikost pamˇeti má také vliv na rychlost ˇreˇsen´ı. Obecnˇe totiˇz plat´ı, ˇze menˇs´ı pamˇeti jsou rychlejˇs´ı neˇz pamˇeti s vˇetˇs´ı kapacitou. Napˇr´ıklad pouˇzit´ı blokových pamˇet´ı uvnitˇr ˇcipu je rychlejˇs´ı neˇz vyuˇzit´ı extern´ı statické pamˇeti. • Plocha na ˇ cipu: V pˇr´ıpadˇe hardwarové implementace algoritmu je d˚ uleˇzitým ukazatelem zabraná plocha FPGA nebo ASIC ˇcipu. • Poˇ cet a vlastnosti pravidel: D˚ uleˇzitým parametrem ˇreˇsen´ı je také maximáln´ı poˇcet pravidel, která lze nahrát do systému. Kromˇe mnoˇzstv´ı pravidel je velice ˇzádouc´ı zkoumat jejich vlastnosti. Pˇredevˇs´ım je tˇreba se zamˇeˇrit na poˇcet unikátn´ıch hodnot pro jednotlivá pole v pravidlech. Ukazuje se, ˇze mnoˇzstv´ı unikátn´ıch prefix˚ u v jednotlivých pol´ıch je vˇetˇsinou mnohem niˇzˇs´ı neˇz poˇcet pravidel [16, 15]. Této skuteˇcnosti s výhodou vyuˇz´ıvaj´ı pokroˇcilé algoritmy klasifikace paket˚ u.

Rychlost s´ıtˇ e [Gbit/s]

Paketov´ a rychlost [paket˚ u/s]

Doba zpracov´ an´ı paketu [ns/paket]

1

1 488 095

672

10

14 880 952

67,2

40

59 523 809

16,8

100

148 809 523

6,72

Tabulka 2: Poˇcet pˇrenesen´ ych paket˚ u délky 64 B pro r˚ uzné s´ıt’ové rychlosti.

3

Souˇ casn´ e pˇ r´ıstupy ke klasifikaci paket˚ u

Pˇredchoz´ı kapitola uvedla problém klasifikace paket˚ u a vymezila podm´ınky, které mus´ı algoritmus ˇreˇs´ıc´ı popsaný problém splˇ novat. V této ˇcásti práce je uvedeno nˇekolik základn´ıch metod pro klasifikaci paket˚ u. 4

Prvn´ı dva uvedené algoritmy jsou pouze teoretickou moˇznost´ı, po nich následuj´ı jiˇz propracovanˇejˇs´ı metody. Jsou vybrány algoritmy urˇcuj´ıc´ı smˇery, kterými se nejˇcastˇeji inspiruj´ı dalˇs´ı navazuj´ıc´ı práce.

3.1

Naivn´ı pˇ r´ıstupy ke klasifikaci

Snad nejjednoduˇsˇs´ı pˇr´ıstup je lineárn´ı prohledán´ı mnoˇziny pravidel. Staˇc´ı uloˇzit vˇsechna pravidla do jedné tabulky a kaˇzdý paket postupnˇe porovnat se vˇsemi pravidly. Je zˇrejmé, ˇze takový algoritmus má lineárn´ı ˇcasovou sloˇzitost s poˇctem pravidel a je tedy nevhodný z pohledu rychlosti. Pokud by mnoˇzina pravidel obsahovala tis´ıc prvk˚ u, bylo by nutné udˇelat tis´ıc pˇr´ıstup˚ u do pamˇeti pro klasifikaci kaˇzdého paketu. Tento algoritmus má vˇsak nejmenˇs´ı nároky na pamˇet’. Opaˇcným extrémem je algoritmus, který vˇsechna rozhoduj´ıc´ı pole z hlaviˇcky paketu spoj´ı za sebe do jednoho datového slova a vzniklé slovo pak pouˇzije jako adresu do pamˇeti. Na dané adrese v pamˇeti je pak uloˇzeno pˇr´ımo ˇc´ıslo výsledného pravidla. Mus´ıme tak vlastnˇe m´ıt pamˇet’ s ˇc´ıslem pravidla pro kaˇzdý moˇzný paket. Pro klasifikaci paketu pak staˇc´ı jediný pˇr´ıstup do pamˇeti. Z toho d˚ uvodu je takový algoritmus teoreticky nejrychlejˇs´ı moˇzný. Jeho pouˇzit´ı je vˇsak nereálné z d˚ uvodu pamˇet’ové nároˇcnosti. Napˇr´ıklad: Spoj´ıme-li dvˇe IPv4 adresy, dvˇe ˇc´ısla port˚ u a jedno ˇc´ıslo protokolu do jednoho datového slova, dostaneme adresu ˇsirokou 2 · 32 + 2 · 16 + 8 = 104 bit˚ u. Pamˇet’ by tedy musela obsahovat 2104 poloˇzek, coˇz je za souˇcasného stavu poˇc´ıtaˇcové techniky prakticky nemoˇzné.

3.2

TCAM

Asociativn´ı pamˇet’ je zvláˇstn´ım typem pamˇeti, která podporuje vyhledáván´ı podle obsahu. Vstupem je hledané slovo a výstupem je adresa, na které se slovo nacház´ı. Pamˇet’ má u kaˇzdého slova komparátory, které vyhodnocuj´ı shodu hledaného slova s uloˇzeným. Ternárn´ı varianta asociativn´ıch pamˇet´ı (TCAM) pracuje kromˇe jedniˇcek a nul jeˇstˇe s tˇret´ım stavem, nazývaným don’t care a oznaˇcovaným X. Je-li v pamˇeti na nˇejaké bitové pozici tato hodnota, nen´ı pˇri vyhledáván´ı brán na daný bit zˇretel, takˇze m˚ uˇze být na vstupu nula nebo jedniˇcka a v obou pˇr´ıpadech se bit povaˇzuje za shodný. T´ım je pˇr´ımo podporováno hledán´ı prefix˚ u. Do horn´ı ˇcásti datového slova se uloˇz´ı poˇzadované bity, zat´ımco spodn´ı ˇcást slova se nastav´ı na don’t care. Pˇrevedeme-li rozsahy v definici pravidel na prefixy, m˚ uˇzeme do TCAM ukládat pˇr´ımo pravidla, a poté je vyhledávat jediným pˇr´ıstupem. Z uvedeného by se mohlo zdát, ˇze TCAM podporuje klasifikaci paket˚ u v konstantn´ı ˇcasové a lineárn´ı prostorové sloˇzitosti. Jednak nˇeco takového nen´ı z definice sloˇzitosti moˇzné (prostorová sloˇzitost nem˚ uˇze nikdy pˇresáhnout ˇcasovou), nav´ıc je nutné povaˇzovat paraleln´ı vyhledáván´ı v TCAM za v´ıcepáskový Turing˚ uv stroj (kaˇzdá páska pro jedno pravidlo). Ten po pˇreveden´ı na jednopáskový z´ıská lineárn´ı ˇcasovou i prostorovou sloˇzitost s poˇctem pravidel. TCAM maj´ı omezenou kapacitu, pomˇernˇe velký pˇr´ıkon a také vysokou poˇrizovac´ı cenu. I pˇres známé nevýhody jsou pamˇeti TCAM ˇcasto pouˇz´ıvány v komerˇcn´ıch zaˇr´ızen´ıch [12, 5]. Uvedené nevýhody zp˚ usobuj´ı, ˇze stále existuje snaha nacházet a zkoumat algoritmy, které pouˇz´ıvaj´ı pamˇeti s náhodným pˇr´ıstupem.

3.3

BitVector algoritmus

Algoritmus BitVector [8] pohl´ıˇz´ı na klasifikaci jako na geometrický problém. Algoritmus nejprve prom´ıtne v kaˇzdé dimenzi vˇsechny rozsahy na ˇc´ıselnou osu. T´ım na ose vznikne maximálnˇe 2n + 1 nepˇrekrývaj´ıc´ıch se interval˚ u, kde n je poˇcet r˚ uzných rozsah˚ u v této dimenzi. Kaˇzdému intervalu je pˇriˇrazen vektor, který obsahuje jeden bit pro kaˇzdé pravidlo klasifikátoru. Bity vektoru jsou nastaveny na jedniˇcku právˇe kdyˇz se v této dimenzi dané pravidlo pˇrekrývá s intervalem (obrázek 6). Klasifikace paket˚ u potom spoˇc´ıvá ve vyhledán´ı intervalu pro danou hodnotu pole paketu (lze provést binárn´ım hledán´ım – logaritmická ˇcasová sloˇzitost) ve vˇsech pol´ıch nezávisle. Pro kaˇzdé pole tak z´ıskáme jeden vektor. Pokud nad tˇemito vektory provedeme bitový souˇcin, z˚ ustanou ve výsledku jedniˇcky pouze pro ta pravidla, která byla splnˇena ve vˇsech dimenz´ıch. Struktura algoritmu je naznaˇcena na obrázku 7. Byly navrˇzeny nˇekteré u ´pravy tohoto algoritmu (napˇr´ıklad Aggregated Bit Vector [1], nebo BV-TCAM [13]), které dosahuj´ı lepˇs´ıch výsledk˚ u jak pamˇet’ové, tak ˇcasové nároˇcnosti.

5

Obrázek 6: V´ ypoˇcet vektor˚ u pro dvˇe dimenze. Tˇri pravidla vytvoˇrila 7 interval˚ u na vodorovné ose a 5 interval˚ u na svislé ose. Ke kaˇzdému intervalu je pˇriˇrazen vektor tˇr´ı bit˚ u, protoˇze klasifikátor obsahuje tˇri pravidla.

Obrázek 7: Schéma klasifikace algoritmem BitVector. Po vyhledán´ı intervalu v kaˇzdé dimenzi je proveden bitov´ y souˇcin vˇsech vektor˚ u a ve v´ ysledném vektoru je nalezeno pravidlo s nejvyˇsˇs´ı prioritou.

Nicménˇe právˇe poˇcet pˇr´ıstup˚ u do pamˇeti je slabinou algoritm˚ u zaloˇzených na Bit Vector. Pro vˇetˇs´ı poˇcet pravidel roste délka vektoru tak, ˇze je nutné pˇristoupit nˇekolikrát do pamˇeti pro naˇcten´ı celého vektoru. Tento fakt je pˇr´ıˇcinou niˇzˇs´ı rychlosti algoritmu.

3.4

RFC algoritmus

Recursive Flow Classification (popsaný v [6]) vycház´ı z naivn´ıho pˇr´ıstupu s velikou tabulkou pro vˇsechny moˇzné pakety. Rozd´ıl je v tom, ˇze RFC postupuje rekurzivnˇe. Pole z hlaviˇcky paketu jsou rozdˇelena na slova se vhodnou datovou ˇs´ıˇrkou (napˇr. 16 bit˚ u), a vzniklá slova jsou pouˇzita jako adresy do tabulek. Tabulky jsou pˇredvyplnˇeny hodnotami tak, aby pakety patˇr´ıc´ı do r˚ uzných pravidel dávaly odliˇsné hodnoty (rozklad na tˇr´ıdy ekvivalence). Nˇekolik výstup˚ u tˇechto tabulek je spojeno lineárn´ı kombinac´ı a pouˇzito jako adresa do dalˇs´ı tabulky.

6

Lineárn´ı kombinace je násoben´ı konstantou a souˇcet, pˇriˇcemˇz konstanty jsou voleny tak, aby pro r˚ uzné vstupy byl vˇzdy r˚ uzný výsledek. Napˇr´ıklad pro lineárn´ı kombinaci dvou hodnot je jedna hodnota nejprve vynásobena poˇctem prvk˚ u druhé mnoˇziny a potom jsou obˇe hodnoty seˇcteny. Takto je vybudována hierarchická struktura, která postupnˇe sniˇzuje poˇcet bit˚ u, kterými adresujeme, aˇz na konci je tabulka obsahuj´ıc´ı samotná pravidla. Schéma výpoˇctu je na obrázku 8. Tento algoritmus

Obrázek 8: Schéma klasifikace algoritmem RFC. Na prvn´ı u ´rovni jsou adresy do tabulek pˇr´ımo hodnoty pol´ı z hlaviˇcky paketu, dále jsou v´ ysledky kombinovány a pouˇzity jako adresy dalˇs´ıch tabulek. Posledn´ı tabulka obsahuje pravidla. poskytuje velice dobré výsledky z pohledu výkonnosti, ale jeho slabinou je pamˇet’ová nároˇcnost, která je mnohokrát vˇetˇs´ı neˇz u ostatn´ıch metod [12].

7

3.5

Rozhodovac´ı stromy

Hierarchical Intelligent Cuttings (Hi-Cuts) [6] je algoritmus vycházej´ıc´ı z geometrické reprezentace klasifikace. Spoˇc´ıvá v konstrukci rozhodovac´ıho stromu. Pˇri pr˚ uchodu stromem je v kaˇzdém uzlu prostor paket˚ u dˇelen rovnobˇeˇznými plochami na v´ıce oblast´ı. Dalˇs´ı postup stromem je zvolen takový, aby klasifikovaný paket leˇzel v dané oblasti. Takto je nakonec prostor omezen tak, ˇze dostáváme pouze oblast obsahuj´ıc´ı správná pravidla. Aby algoritmus ˇsetˇril pamˇet’, je nˇekolik posledn´ıch stupˇ n˚ u stromu nahrazeno lineárn´ım prohledán´ım. Pro konstrukci rozhodovac´ıho stromu je navrˇzena heuristika. Obrázek 9 ukazuje pˇr´ıklad jednoduchého rozhodovac´ıho stromu.

Obrázek 9: Rozhodovac´ı strom algoritmu Hi-Cuts. Uzly obsahuj´ı informaci o vˇetven´ı stromu (ve které dimenzi, na kolik ˇcást´ı) a ukazatele na následuj´ıc´ı uzly nebo listy. Listy obsahuj´ı nˇekolik pravidel.

Obrázek 10: Plocha rozdˇelená podle rozhodovac´ıho stromu z obrázku 9. Prvn´ı dˇelen´ı je ve vodorovné ose na ˇctyˇri ˇcásti, dále je jedna ˇcást rozdˇelena svisle na dvˇe ˇcásti. Nˇekterá pravidla mohou zasahovat do v´ıce ˇcást´ı, potom se objev´ı ve v´ıce listech stromu. Hypercuts [12] je modifikac´ı pˇredchoz´ıho algoritmu tak, aby bylo moˇzné v jednom uzlu stromu dˇelit 8

prostor podle v´ıce neˇz jedné dimenze. T´ım je dosaˇzeno menˇs´ı hloubky stromu a tedy urychlen´ı algoritmu. Experimentáln´ı výsledky ukazuj´ı také na menˇs´ı pamˇet’ovou nároˇcnost.

3.6

Algoritmy zaloˇ zen´ e na dekompozici probl´ emu

Dekompoziˇcn´ı algoritmy ˇreˇs´ı klasifikaci ve dvou základn´ıch kroc´ıch, které odpov´ıdaj´ı kombinatorickému pohledu na klasifikaci, uvedenému v ˇcásti 2.4. V prvn´ım kroku je vyhledán nejdelˇs´ı shodný prefix pro kaˇzdé pole. To znamená, ˇze ze vˇsech prefix˚ u pro jednotlivé pole daného klasifikátoru je nalezen ten nejspecifiˇctˇejˇs´ı, který odpov´ıdá hodnotˇe v hlaviˇcce konkrétn´ıho paketu. Protoˇze výsledky prvn´ıho kroku neidentifikuj´ı jednoznaˇcnˇe pravidlo, následuje proces hledán´ı odpov´ıdaj´ıc´ıho pravidla. Výsledkem druhého kroku je jiˇz ˇc´ıslo nalezeného pravidla. Ve druhém kroku je nutné vyˇreˇsit problém tzv. pseudopravidel. V této ˇcásti je nejprve vysvˇetleno nˇekolik souvisej´ıc´ıch pojm˚ u, a pak jsou uvedeny nˇekteré d˚ uleˇzité algoritmy ze této skupiny. Vyhled´ an´ı nejdelˇ s´ıho shodn´ eho prefixu Algoritmus vyhledán´ı nejdelˇs´ıho prefixu (Longest Prefix Match - LPM) má na vstupu mnoˇzinu prefix˚ u r˚ uzné délky a jednu konkrétn´ı hodnotu. Výstupem algoritmu je ze vˇsech prefix˚ u, které odpov´ıdaj´ı dané hodnotˇe ten nejdelˇs´ı, tedy nejspecifiˇctˇejˇs´ı. Klasický algoritmus vyhledán´ı nejdelˇs´ıho prefixu se nazývá trie z anglického retrieval, nˇekdy také oznaˇcovaný prefixový strom. Je zde vyuˇzita stromová datová struktura, která obsahuje uloˇzená slova pˇr´ımo ve své konstrukci. Kaˇzdý uzel stromu obsahuje dva (v pˇr´ıpadˇe binárn´ı trie) ukazatele na dalˇs´ı uzly. V pr˚ ubˇehu výpoˇctu se zpracovávaj´ı postupnˇe bity hledaného slova od nejvýznamnˇejˇs´ıho k nejménˇe významnému. V kaˇzdém kroku výpoˇctu se podle tohoto bitu rozhoduje, zda se bude postupovat levým nebo pravým podstromem. V kaˇzdém uzlu je oznaˇceno, zda zat´ım zpracované bity tvoˇr´ı platný prefix. Pokud ano, je zde také uloˇzeno ˇc´ıslo tohoto prefixu pro identifikaci. Pˇri pr˚ uchodu stromem je zapamatován posledn´ı platný prefix a na konci je pˇredán jako výsledek. Výpoˇcet je ukonˇcen, kdyˇz s danou hodnotou bitu jiˇz nen´ı moˇzné postupovat dále stromem (potˇrebný podstrom neexistuje), nebo jsou jiˇz zpracovány ˇ vˇsechny vstupn´ı bity. Casov´ a sloˇzitost vyhledán´ı je lineárn´ı s poˇctem bit˚ u datového slova. Jednoduchý pˇr´ıklad struktury trie je na obrázku 11.

Obrázek 11: Trie pro pˇetibitové pole. Jsou zde uloˇzeny 4 prefixy: 10*, 1010*, 10101, 111*. Existuje ˇrada modifikac´ı trie, základn´ı z nich je zvýˇsen´ı arity uzl˚ u. V kaˇzdém kroku se potom rozhoduje podle v´ıce neˇz jednoho bitu a uzel se m˚ uˇze tedy vˇetvit do v´ıce neˇz dvou podstrom˚ u.

9

Pseudopravidla Pojem pseudopravidlo, zavedený v [5], oznaˇcuje pravidla, která je nutné pˇridat do mnoˇziny pravidel tak, aby kaˇzdá platná kombinace výsledk˚ u LPM byla pokryta. Vznik pseudopravidel demonstrujme na pˇr´ıkladˇe klasifikace podle dvou pol´ı. Tabulka 3 obsahuje tˇri jednoduchá pravidla. Pravidlo

Pole 1

Pole 2

Pseudopravidlo

Pole 1

Pole 2

Pravidlo

R1

1*

*

P1

1*

100*

R1

R2

1*

00*

P2

101*

00*

R2

R3

101*

100*

P3

101*

*

R1

Tabulka 3: P˚ uvodn´ı pravidla

Tabulka 4: Pˇridaná pseudopravidla

Obrázek 12: Reprezentace pravidel a pseudopravidel (ˇcárkovanˇe) pomoc´ı dvou trie. Pseudopravidla jsou specifiˇctˇejˇs´ımi pˇr´ıpady pravidel. Na obrázku 12 jsou potom naznaˇceny trie pro LPM v obou dimenz´ıch. Vyplnˇené uzly znaˇc´ı platné prefixy. Barevnými ˇcarami jsou oznaˇceny kombinace vstup˚ u, které byly definovány v p˚ uvodn´ı mnoˇzinˇe ˇ arkovanˇe jsou vyznaˇcena pseudopravidla. Jde o doplnˇen´ı mnoˇziny pravidel tak, aby i specifiˇctˇejˇs´ı pravidel. C´ výsledky LPM mˇely smysl a bylo z nich moˇzné snadno urˇcit správné pravidlo. Tabulka 4 obsahuje pseudopravidla pro tento pˇr´ıklad. Na pseudopravidla lze pohl´ıˇzet také jako na zp˚ usob, jak se vyhnout vyhodnocován´ı kartézského souˇcinu popsanému v ˇcásti 2.4. D´ıky operaci LPM nemá vyhledán´ı v jednotlivých dimenz´ıch za výsledky mnoˇziny ˇ adný kartézský souˇcin tedy nevzniká. A d´ıky pˇridán´ı prefix˚ u, ale jen ty nejspecifiˇctˇejˇs´ı (tedy nejpˇresnˇejˇs´ı). Z´ pseudopravidel je kaˇzdá taková kombinace výsledk˚ u platná a odkazuje na správné ˇc´ıslo pravidla. Pˇ r´ıklad: Pokud by operace LPM vrátily výsledek (1*, 100*), potom správným výsledkem klasifikace je pravidlo R1, protoˇze 100* je speciáln´ı pˇr´ıpad obecnˇejˇs´ı hodnoty *. Nicménˇe v p˚ uvodn´ı mnoˇzinˇe pravidel se kombinace (1*, 100*) v˚ ubec nevyskytuje. Proto je nutné pˇridat pseudopravidlo P1, které uvedenou kombinaci oˇsetˇruje. Pseudopravidlo v sobˇe obsahuje informaci, ˇze správným výsledkem klasifikace je pravidlo R1. Generovaná pseudopravidla pˇripom´ınaj´ı kartézský souˇcin, jelikoˇz je nutné pro kaˇzdé pravidlo pokrýt vˇsechny specifiˇctˇejˇs´ı prefixy ve vˇsech pol´ıch. Vzhledem k charakteru kartézského souˇcinu m˚ uˇze r˚ ust poˇcet pseudopravidel exponenciálnˇe s poˇctem pravidel. V reálných klasifikátorech sice nemus´ı docházet k tak výraznému nár˚ ustu, ale pˇresto experimentáln´ı výsledky ukazuj´ı na ˇrádové zvˇetˇsen´ı potˇrebné pamˇeti [5].

10

Naivn´ı algoritmus kart´ ezsk´ eho souˇ cinu Pakety lze klasifikovat tak, ˇze se nejprve nalezne LPM pro kaˇzdé pole a výsledky se spoj´ı do jednoho datového slova [14]. Toto slovo je vstupem hashovac´ı funkce. Výstupem je potom adresa do tabulky, ve které jsou uloˇzena jak pravidla, tak pseudopravidla. Jsou-li vhodnˇe oˇsetˇreny kolize hashovac´ı funkce, je ˇcasová sloˇzitost takového dohledán´ı konstantn´ı. Nevýhodou popsaného algoritmu je pamˇet’ová nároˇcnost, protoˇze nár˚ ust poˇctu pseudopravidel m˚ uˇze být exponenciáln´ı. DCFL V Distributed Crossproducting of Field Labels [15] je operace LPM modifikována tak, aby výsledkem nebyl pouze jediný, nejdelˇs´ı prefix. Nam´ısto toho je výsledkem mnoˇzina vˇsech prefix˚ u, na které algoritmus po cestˇe stromem narazil (tedy obecnˇejˇs´ı prefixy). V dalˇs´ım kroku je nutné zkusit vˇsechny kombinace výsledk˚ u a zjistit, zda nˇekterá z nich odpov´ıdá nˇekterému pravidlu. Jak uˇz bylo uvedeno, taková operace je kartézský souˇcin nˇekolika mnoˇzin a má exponenciáln´ı ˇcasovou sloˇzitost. DCFL popsaný problém ˇreˇs´ı tak, ˇze kombinace prefix˚ u vyhodnocuje distribuovanˇe. Kartézský souˇcin se provád´ı vˇzdy pouze na dvou mnoˇzinách - zkoumá se, zda se v nˇekterém pravidle vyskytla kombinace daných dvou prefix˚ u. Pro dotazy jsou pouˇzita pole Bloomových filtr˚ u [2]. Z kartézského souˇcinu mohou být nˇekteré kombinace zam´ıtnuty, protoˇze neodpov´ıdaj´ı ˇzádnému pravidlu. Ostatn´ı, nezam´ıtnuté kombinace procházej´ı do dalˇs´ıch stupˇ n˚ u, které pracuj´ı na stejném principu. Takto je vytvoˇrena stromová struktura, naznaˇcená na obrázku 13. Výsledkem posledn´ıho stupnˇe je mnoˇzina pravidel odpov´ıdaj´ıc´ıch danému paketu.

Obrázek 13: Schéma algoritmu DCFL pro klasifikaci podle 4 pol´ı. Po vyhled´ an´ı vˇsech prefix˚ u pro kaˇzdé pole jsou zkoumány vˇsechny kombinace prefix˚ u. Ze schématu výpoˇctu je vidˇet, ˇze algoritmus je vhodný pro paraleln´ı provádˇen´ı, protoˇze jednotlivé operace LPM mohou bˇeˇzet paralelnˇe, podobnˇe jako vyhodnocován´ı kartézských souˇcin˚ u. Slabinou algoritmu je postupné vyhodnocován´ı kartézského souˇcinu. Jsou-li výsledky LPM napˇr. dvˇe mnoˇziny ˇctyˇrech prefix˚ u, potom kartézský souˇcin obsahuje 16 poloˇzek, pˇriˇcemˇz pro kaˇzdou z nich mus´ıme ovˇeˇrit jej´ı pˇr´ıtomnost v mnoˇzinˇe. I kdyˇz takové ovˇeˇrován´ı lze provádˇet s konstantn´ı ˇcasovou sloˇzitost´ı, je nutné znaˇcnˇe paraleln´ı vykonáván´ı nˇekolika tˇechto operac´ı naráz. Nav´ıc pouˇzit´ı Bloomových filtr˚ u pˇrináˇs´ı moˇznost chyby, kterou je nutné v pozdˇejˇs´ıch fáz´ıch výpoˇctu eliminovat. Pˇr´ıpadná analýza ˇcasové sloˇzitosti mus´ı poˇc´ıtat s nejhorˇs´ım pˇr´ıpadem ve vˇsech ˇcástech výpoˇctu, pˇriˇcemˇz nejhorˇs´ı pˇr´ıpad se m˚ uˇze znaˇcnˇe odliˇsovat od typického.

11

MSCA Velmi d˚ uleˇzitý Multi-Subset Crossproduct Algorithm, popsaný v [5], vycház´ı z pozorován´ı, ˇze mnoˇzinu pravidel lze rozdˇelit do nˇekolika podmnoˇzin tak, aby vznikalo pouze velmi málo pseudopravidel. Experimentáln´ı výsledky ukazuj´ı, ˇze poˇcet pravidel se d´ıky tomu zvˇetˇs´ı pouze 1,2 aˇz 2 krát. Je-li mnoˇzina pravidel rozdˇelena do v´ıce podmnoˇzin, je tˇreba pro kaˇzdou podmnoˇzinu provádˇet oddˇelené vyhledán´ı nejdelˇs´ıho shodného prefixu. Tomu se algoritmus vyhne tak, ˇze jako výsledek operace LPM uloˇz´ı výsledek pro kaˇzdou podmnoˇzinu. Také je nutné pro kaˇzdou podmnoˇzinu oddˇelenˇe provádˇet hashován´ı a pˇr´ıstup do pamˇeti, abychom zjistili, zda bylo nalezeno platné pravidlo. Tomu se vˇsak lze vyhnout pouˇzit´ım Bloomových filtr˚ u. Celé schéma výpoˇctu je na obrázku 14.

Obrázek 14: Schéma algoritmu zaloˇzeného na rozdˇelen´ı mnoˇziny pravidel do podmnoˇzin. (Zobrazena klasifikace podle dvou pol´ı, tˇri podmnoˇziny pravidel) Také algoritmus MSCA je, podobnˇe jako DCFL, velice výhodný z pohledu rychlosti i vyuˇzité pamˇeti. Za slabinu bychom zde mohli povaˇzovat vyuˇzit´ı Bloomových filtr˚ u, které pˇripouˇstˇej´ı chybu typu false positive, tedy chybná detekce pˇr´ıtomnosti slova v mnoˇzinˇe. Tyto chyby jsou sice následnˇe odstranˇeny kontrolou obsahu hlavn´ı pamˇeti, ale zp˚ usobuj´ı zvyˇsován´ı poˇctu pˇr´ıstup˚ u do pamˇeti, a tedy v nevýhodné situaci mohou degradovat výkon algoritmu. Tento algoritmus je vˇsak zaj´ımavý z toho d˚ uvodu, ˇze pˇrináˇs´ı dva zp˚ usoby, jak sniˇzovat mnoˇzstv´ı pseudopravidel. Prvn´ım zp˚ usobem je samotné rozdˇelen´ı klasifikátoru na podmnoˇziny. Druhou optimalizac´ı je pouˇzit´ı malé TCAM (ˇrádovˇe na jednotky ˇci des´ıtky pravidel), kam se uloˇz´ı ta pravidla, která zp˚ usobovala nejvˇetˇs´ı nár˚ ust poˇctu pseudopravidel. Pozorován´ım bylo totiˇz zjiˇstˇeno, ˇze nejvˇetˇs´ı poˇcet pseudopravidel je zp˚ usoben jenom malým mnoˇzstvým pravidel. Pokud se tedy nˇekolik tˇechto pravidel odstran´ı z klasifikátoru, a jejich vliv se zajist´ı jinak (napˇr. malou TCAM), poˇcet pseudopravidel je výraznˇe omezen. Nˇekteré zp˚ usoby identifikace pravidel, která generuj´ı nejv´ıce pseudopravidel, jsou popsány v [7]. PHCA Perfect Hashing Crossproduct Algorithm [10] se zamˇeˇruje na odstranˇen´ı nutnosti ukládat pseudopravidla, jak se to dˇeje v naivn´ım algoritmu kartézského souˇcinu a v MSCA. Schéma algoritmu je naznaˇceno na obr. 15. Pˇredem je zkonstruována hashovac´ı funkce na m´ıru tak, aby vˇsechny kombinace výsledk˚ u LPM mapovala pˇr´ımo na správné ˇc´ıslo pravidla. Je k tomu vyuˇzit algoritmus konstrukce perfektn´ı (tedy bezkolizn´ı) hashovac´ı funkce [3]. Jej´ı vyˇc´ıslen´ı spoˇc´ıvá ve vyˇc´ıslen´ı dvou r˚ uzných bˇeˇzných hashovac´ıch funkc´ı f 1 a f 2, dvou pˇr´ıstupech do tabulky, a jednom aritmetickém souˇctu. Tabulka je pˇredem vypoˇctena na základˇe kl´ıˇc˚ u a poˇzadovaných výsledk˚ u hashovac´ı funkce. Hashovac´ı funkce vˇsak v tomto pˇr´ıpadˇe zkonstruována zámˇernˇe tak, aby obsahovala velké mnoˇzstv´ı koliz´ı. To je z toho d˚ uvodu, ˇze poˇcet pseudopravidel je výraznˇe vyˇsˇs´ı neˇz poˇcet pravidel. Kolize hashovac´ı funkce tedy slouˇz´ı k tomu, aby se vˇsechna pseudopravidla mapovala právˇe na pravidlo kterému odpov´ıdaj´ı. Výjimkou jsou pakety neodpov´ıdaj´ıc´ı ˇzádnému pravidlu. Pro nˇe nen´ı výsledek hashovac´ı funkce oˇsetˇren, ale hashovac´ı funkce pˇresto vˇzdy vrát´ı nˇejaký výsledek, tedy vˇzdy oznaˇc´ı nˇekteré pravidlo. Tuto potenciáln´ı chybu lze odstranit prostým porovnán´ım paketu proti oznaˇcenému pravidlu. 12

Obrázek 15: Schéma algoritmu PHCA. Závˇereˇcné porovnán´ı paketu proti vybranému pravidlu nen´ı zobrazeno.

Dalˇ s´ı optimalizace Algoritmus popsaný v [11] se dále zabývá sniˇzován´ım poˇctu pseudopravidel. Vycház´ı z pozorován´ı, ˇze pravidla ˇcasto nedefinuj´ı podm´ınku pro vˇsechna pole z hlaviˇcky paketu. Pˇresnˇeji: Definuj´ı podm´ınku jako libovolnou hodnotu. Pseudopravidla takového pravidla potom mus´ı pokrýt vˇsechny specifické prefixy v daném poli. Situace pro dvˇe dimenze (zdrojovou a c´ılovou IP adresu) je naznaˇcena na obr. 16.

Obrázek 16: Vznik velkého mnoˇzstv´ı pseudopravidel z jednoho obecného pravidla Je navrˇzen zobecˇ nuj´ıc´ı výpoˇcetn´ı krok, jakýsi filtr, který zpracovává výsledky LPM. Tento krok je vloˇzen jako mezikrok do nˇekterého existuj´ıc´ıho algoritmu (obr. 17). Zobecˇ nuj´ıc´ı krok na základˇe definovaných zobecˇ nuj´ıc´ıch pravidel nahrazuje specifické výsledky hodnotou ANY. Tato hodnota reprezentuje libovolný prefix, je tedy nejobecnˇejˇs´ı a nejménˇe pˇresná. Nahrazen´ım docház´ı ke ztrátˇe urˇcité informace. Existuj´ı proto omezen´ı na to, kdy lze takové nahrazen´ı provést, aby bylo stále moˇzné paket správnˇe klasifikovat. Ve výsledku se na výstupu zobecˇ nuj´ıc´ıho kroku m˚ uˇze objevit ménˇe r˚ uzných kombinac´ı neˇz na vstupu, a t´ım docház´ı ke zmenˇsen´ı poˇctu pseudopravidel. Následuje krok který nˇejakým zp˚ usobem mapuje pseudopravidla na pravidla (PHCA, nebo jiný algoritmus). Protoˇze vˇsak na vstupu tohoto kroku je ménˇe moˇzných kombinac´ı neˇz bez pouˇzit´ı optimalizace, docház´ı v tomto kroku k u ´spoˇre pamˇeti.

13

Obrázek 17: Vloˇzen´ı zobecˇ nuj´ıc´ıho kroku do v´ ypoˇctu.

4

Shrnut´ı

V tomto technickém reportu byly pˇredstaveny nˇekteré základn´ı pˇr´ıstupy ke klasifikaci paket˚ u. Zkoumámeli vlastnosti uvedených algoritm˚ u, zjist´ıme ˇze algoritmy zaloˇzené na kartézském souˇcinu pol´ı (naivn´ı, DCFL, MSCA a PHCA) se nejv´ıce bl´ıˇz´ı ke konstantn´ı ˇcasové sloˇzitosti. Napˇr´ıklad algoritmus PHCA obsahuje tˇri základn´ı kroky: • Operace LPM. Je-li implementována jako stromový algoritmus podobný trie, má sloˇzitost lineárn´ı s poˇctem bit˚ u vstupn´ıho slova. Nicménˇe tento poˇcet je konstantn´ı a pˇredem známý, takˇze lze LPM povaˇzovat za operaci s konstantn´ı sloˇzitost´ı. Nav´ıc existuj´ı algoritmy (napˇr. [4]), které slibuj´ı skuteˇcnˇe konstantn´ı sloˇzitost operace LPM. • Zkonstruovaná hashovac´ı funkce. Jej´ı vyˇc´ıslen´ı je velice snadné, jde o vyˇc´ıslen´ı dvou bˇeˇzných hashovac´ıch funkc´ı, dva pˇr´ıstupy do pamˇeti, a prostý aritmetický souˇcet. Vˇsechny ˇcásti tohoto kroku maj´ı konstantn´ı ˇcasovou sloˇzitost. • Kontrola. V tomto kroku je nutné porovnat paket proti jednomu pravidlu. Jde o triviáln´ı operaci s konstantn´ı ˇcasovou sloˇzitost´ı. Protoˇze vˇsechny kroky algoritmu maj´ı konstantn´ı sloˇzitost, lze tvrdit ˇze algoritmus PHCA má konstantn´ı ˇcasovou sloˇzitost vyhledán´ı. Pro uloˇzen´ı vˇsech potˇrebných dat je vˇsak potˇreba pamˇet’, která roste exponenciálnˇe s poˇctem pravidel (pseudopravidla!). Abychom tedy dodrˇzeli definici sloˇzitosti, je nutné uvést, ˇze ˇcasová sloˇzitost vytvoˇren´ı potˇrebných datových struktur je exponenciáln´ı. Exponenciáln´ı prostorová sloˇzitost je hlavn´ı nevýhodou tˇechto algoritm˚ u. Bylo nav´ıc dokázáno, ˇze je-li ˇcasová sloˇzitost vyhledán´ı konstantn´ı, nem˚ uˇze být prostorová sloˇzitost niˇzˇs´ı neˇz exponenciáln´ı [9]. Protoˇze prostorová sloˇzitost má tyto své teoretické limity, zamˇeˇruje se výzkum na moˇznosti praktického sn´ıˇzen´ı potˇrebné pamˇeti. Jde o r˚ uzné optimalizace stávaj´ıc´ıch algoritm˚ u, zaloˇzené na zkoumán´ı struktury typických klasifikátor˚ u. Existuj´ıc´ı optimalizace algoritm˚ u jsou shrnuty v tabulce 5.

Reference [1] Florin Baboescu and George Varghese. Scalable packet classification. In SIGCOMM ’01: Proceedings of the 2001 conference on Applications, technologies, architectures, and protocols for computer communications, pages 199–210, New York, NY, USA, 2001. ACM. [2] Burton Bloom. Space/time trade-offs in hash coding with allowable errors. Communications of the ACM, 1970.

14

Optimalizace

Vliv na rychlost

Pˇ ridan´ e n´ aroky na pamˇ et’

Rozdˇelen´ı na podmnoˇziny

M˚ uˇze vy´ ustit v násobn´ y pˇr´ıstup do tabulky pravidel

Delˇs´ı v´ ysledky LPM, Bloomovy filtry pro kaˇzdou podmnoˇzinu

Malá TCAM

Vyhledán´ı v TCAM prob´ıhá paralelnˇe s hlavn´ım v´ ypoˇctem

TCAM na pravidla (dlouhé datové slovo)

Zobecˇ nuj´ıc´ı filtr

Vloˇzen´ y krok v pipeline

Nˇekolik mal´ ych CAM na porovnán´ı v´ ysledku LPM (krátké datové slovo)

Tabulka 5: Známé pˇr´ıstupy ke sniˇzován´ı velikosti potˇrebné pamˇeti klasifikaˇcn´ıch algoritm˚ u [3] Zbigniew J. Czech, George Havas, and Bohdan S. Majewski. An optimal algorithm for generating minimal perfect hash functions. Information Processing Letters, 43(5):257–264, 1992. [4] Sarang Dharmapurikar, Praveen Krishnamurthy, and David E. Taylor. Longest prefix matching using bloom filters. In SIGCOMM ’03: Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications, pages 201–212, New York, NY, USA, 2003. ACM. [5] Sarang Dharmapurikar, Haoyu Song, Jonathan Turner, and John Lockwood. Fast packet classification using bloom filters. In ANCS ’06: Proceedings of the 2006 ACM/IEEE symposium on Architecture for networking and communications systems, pages 61–70, New York, NY, USA, 2006. ACM. [6] Pankaj Gupta. Algorithms for Routing Lookups and Packet Classification. PhD thesis, Stanford University, 2000. [7] Michal Kajan. Optimalizace klasifikaˇcn´ıch algoritm˚ u zaloˇzených na kartézském souˇcinu. diplomová práce, FIT VUT, Brno, 2008. [8] T. V. Lakshman and D. Stiliadis. High-speed policy-based packet forwarding using efficient multidimensional range matching. SIGCOMM Comput. Commun. Rev., 28(4):203–214, 1998. [9] Mark H. Overmars and A. Frank van der Stappen. Range searching and point location among fat objects. J. Algorithms, 21(3):629–656, 1996. [10] Viktor Puˇs. Klasifikace paket˚ u s vyuˇzit´ım technologie fpga. diplomová práce, FIT VUT, Brno, 2007. [11] Viktor Puˇs, Jan Koˇrenek, and Juraj Blaho. Memory optimization for packet classification algorithms. In ANCS ’09: Proceedings of the 5th ACM/IEEE Symposium on Architectures for Networking and Communications Systems, New York, NY, USA, 2009. ACM. [12] Sumeet Singh, Florin Baboescu, George Varghese, and Jia Wang. Packet classification using multidimensional cutting. In SIGCOMM ’03: Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications, pages 213–224, New York, NY, USA, 2003. ACM. [13] Haoyu Song and John W. Lockwood. Efficient packet classification for network intrusion detection using fpga. In FPGA ’05: Proceedings of the 2005 ACM/SIGDA 13th international symposium on Field-programmable gate arrays, pages 238–245, New York, NY, USA, 2005. ACM. [14] V. Srinivasan, G. Varghese, S. Suri, and M. Waldvogel. Fast and scalable layer four switching. SIGCOMM Comput. Commun. Rev., 28(4):191–202, 1998.

15

[15] D. Taylor and J. Turner. Scalable packet classification using distributed crossproducting of field labels. In IEEE INFOCOM 2005, 24th Annual Joint Conference of the IEEE Computer and Communications Societies., pages 269–280, July 2005. [16] David E. Taylor. Survey and Taxonomy of Packet Classification Techniques. Washington University in Saint Louis, 2004.

16

Hardwarová akcelerace klasifikace paketů. Výzkumná skupina ANT at FIT: 10.května 2010

Recommend Documents