|
|
Packet Classification Algorithms
Myška, Michal ; Kajan, Michal (referee) ; Puš, Viktor (advisor)
This bachelor's thesis deals with packet classification in computer networks. The theory describing a computer network and approach to the classification is explained in the introduction. Then, classification algorithm based on making decision tree is chosen. An important feature of this algorithm is the possibility of parameterization. The work analyzes the influence of various parameters on the creation of a decision tree. Selected classification algorithm is also compared with other classification algorithms from experimental library Netbench.
|
|
|
Packet Classification Algorithms
Foukal, Martin ; Kajan, Michal (referee) ; Puš, Viktor (advisor)
This work deals with the packet classification algorithms for traffic filtering in computer networks. It contains summary of different areas where packet classification is used. It describes various algorithms and their memory and speed characteristics. Then this work describes implementation of two chosen algorithms based on bit paralelism and bit vectors which were integrated into Netbench, framework for evaluation and experiments with packet processing algorithms. There are described memory requirements of both these algorithms which were tested for different sets of rules. These requirements are compared with other algorithms in Netbench.
|
|
|
Packet Classification Algorithms
Kolomazník, Ivo ; Kajan, Michal (referee) ; Puš, Viktor (advisor)
In the beginning of this bachelor's thesis, the packet filtering and a base of the packet classification are discussed. It studies several basic classification algorithms. In the second half of this work, the Distributed Crossproducting of Field Labels algorithm is shown in detail. Finally, the software implementation in Python is described and the evaluation containing the memory dependence on various rule sets is presented.
|
|
|
Packet Classification Algorithms
Puš, Viktor ; Lhotka,, Ladislav (referee) ; Dvořák, Václav (advisor)
Tato práce se zabývá klasifikací paketů v počítačových sítích. Klasifikace paketů je klíčovou úlohou mnoha síťových zařízení, především paketových filtrů - firewallů. Práce se tedy týká oblasti počítačové bezpečnosti. Práce je zaměřena na vysokorychlostní sítě s přenosovou rychlostí 100 Gb/s a více. V těchto případech nelze použít pro klasifikaci obecné procesory, které svým výkonem zdaleka nevyhovují požadavkům na rychlost. Proto se využívají specializované technické prostředky, především obvody ASIC a FPGA. Neméně důležitý je také samotný algoritmus klasifikace. Existuje mnoho algoritmů klasifikace paketů předpokládajících hardwarovou implementaci, přesto však tyto přístupy nejsou připraveny pro velmi rychlé sítě. Dizertační práce se proto zabývá návrhem nových algoritmů klasifikace paketů se zaměřením na vysokorychlostní implementaci ve specializovaném hardware. Je navržen algoritmus, který dělí problém klasifikace na jednodušší podproblémy. Prvním krokem je operace vyhledání nejdelšího shodného prefixu, používaná také při směrování paketů v IP sítích. Tato práce předpokládá využití některého existujícího přístupu, neboť již byly prezentovány algoritmy s dostatečnou rychlostí. Následujícím krokem je mapování nalezených prefixů na číslo pravidla. V této části práce přináší vylepšení využitím na míru vytvořené hashovací funkce. Díky použití hashovací funkce lze mapování provést v konstantním čase a využít při tom pouze jednu paměť s úzkým datovým rozhraním. Rychlost tohoto algoritmu lze určit analyticky a nezávisí na počtu pravidel ani na charakteru síťového provozu. S využitím dostupných součástek lze dosáhnout propustnosti 266 milionů paketů za sekundu. Následující tři algoritmy uvedené v této práci snižují paměťové nároky prvního algoritmu, aniž by ovlivňovaly rychlost. Druhý algoritmus snižuje velikost paměti o 11 % až 96 % v závislosti na sadě pravidel. Nevýhodu nízké stability odstraňuje třetí algoritmus, který v porovnání s prvním zmenšuje paměťové nároky o 31 % až 84 %. Čtvrtý algoritmus kombinuje třetí algoritmus se starším přístupem a díky využití několika technik zmenšuje paměťové nároky o 73 % až 99 %.
|
|
|
Software Model of a Firewall
Švec, Michal ; Tobola, Jiří (referee) ; Puš, Viktor (advisor)
This bachelor thesis deals with stateless packet filters and packet classification algorithms. The main task is to implement a software firewall and measure the speed of packet classification. The implemented classifier uses the Perfect Hash Classification Algorithm. The classifier is implemented in several versions. The C language is used for classifier implementation, Python language is used to create auxiliary data structures. The C language was chosen because of its speed.
|
|
|
Network Traffic Generator for Testing of Packet Classification Algorithms
Janeček, David ; Orsák, Michal (referee) ; Matoušek, Jiří (advisor)
Pokrok při zdokonalování klasifikačních algoritmů je zpomalován nedostatkem dat potřebných pro testování. Reálná data je obtížné získat z důvodu bezpečnosti a ochrany citlivých informací. Existují však generátory syntetických sad pravidel, jako například ClassBench-ng. K vyhodnocení správného fungování, propustnosti, spotřeby energie a dalších vlastností klasifikačních algoritmů je zapotřebí také vhodný síťový provoz. Tématem této práce je tvorba takového generátoru síťového provozu, který by umožnil testování těchto vlastností v kombinaci s IPv4, IPv6 a OpenFlow1.0 pravidly vygenerovanými ClassBench-ng. Práce se zabývá různými způsoby, jak toho dosáhnout, které vedly k vytvoření několika verzí generátoru. Vlastnosti jednotlivých verzí byly zkoumány řadou experimentů. Implementace byla provedena pomocí jazyku Python. Nejvýznamnějším výsledkem je generátor, který využívá principů několika zkoumaných přístupů k dosažení co nejlepších vlastností. Dalším přínosem je nástroj, který bylo nutné vytvořit pro analýzu užitých sad klasifikačních pravidel a vyhodnocení vlastností vygenerovaného síťového provozu.
|
|
|
Hardware acceleration of packet classification using TC Flower
Benc, Marek ; Fujcik, Lukáš (referee) ; Libich, Jiří (advisor)
Sdružení CESNET vyvíjí vysokorychlostní programovatelné síťové karty COMBO (aktuálně až s dvěma 100Gbps porty) zaměřené na analýzu a zpracování síťových dat. Karty obsahují FPGA čip, který dovoluje uživatelům přesně definovat způsob, jakým má být síťový provoz zpracován. Jedno z možných využití těchto karet je jako síťový přepínač pro virtuální stroje v data centru. Tato práce je zaměřená na implementaci podpory TC Flower offloadu pro karty COMBO (software a FPGA firmware). Jedná se o všeobecné rozhraní pro instalaci flow pravidel typu shoda+akce do SmartNICů, a dovoluje nám použít je pro správu síťového provozu mezi virtuálními stroji a vnějším světem. Cílem je úspora procesorových cyklů hostitelského stroje.
|
|
|
DPDK Accelerated Firewall
Holubář, Jiří ; Fukač, Tomáš (referee) ; Vrána, Roman (advisor)
Nowadays, when almost everyone uses the Internet, network traffic security must also be ensured. This is what firewall helps with. Some routes require higher bandwidth than others. This thesis explores possibilities of using the DPDK library when implementing the firewall in order to achieve the highest possible bandwidth.
|
|
|
Packet Processing Using DPDK Library
Procházka, Aleš ; Lichtner, Ondrej (referee) ; Grégr, Matěj (advisor)
This master thesis focuses on filtering and forwarding packets in high speed networks. Firstly the DPDK framework is introduced, which is used for fast packet processing. This project also introduces a design of application for high-speed packet filtering and design of tools for making it easier to work with that application. Subsequently, the implementation of this design is introduced and testing with comparison of results with a standard firewall
|
|
|
Packet Classification Algorithms
Puš, Viktor ; Lhotka,, Ladislav (referee) ; Dvořák, Václav (advisor)
Tato práce se zabývá klasifikací paketů v počítačových sítích. Klasifikace paketů je klíčovou úlohou mnoha síťových zařízení, především paketových filtrů - firewallů. Práce se tedy týká oblasti počítačové bezpečnosti. Práce je zaměřena na vysokorychlostní sítě s přenosovou rychlostí 100 Gb/s a více. V těchto případech nelze použít pro klasifikaci obecné procesory, které svým výkonem zdaleka nevyhovují požadavkům na rychlost. Proto se využívají specializované technické prostředky, především obvody ASIC a FPGA. Neméně důležitý je také samotný algoritmus klasifikace. Existuje mnoho algoritmů klasifikace paketů předpokládajících hardwarovou implementaci, přesto však tyto přístupy nejsou připraveny pro velmi rychlé sítě. Dizertační práce se proto zabývá návrhem nových algoritmů klasifikace paketů se zaměřením na vysokorychlostní implementaci ve specializovaném hardware. Je navržen algoritmus, který dělí problém klasifikace na jednodušší podproblémy. Prvním krokem je operace vyhledání nejdelšího shodného prefixu, používaná také při směrování paketů v IP sítích. Tato práce předpokládá využití některého existujícího přístupu, neboť již byly prezentovány algoritmy s dostatečnou rychlostí. Následujícím krokem je mapování nalezených prefixů na číslo pravidla. V této části práce přináší vylepšení využitím na míru vytvořené hashovací funkce. Díky použití hashovací funkce lze mapování provést v konstantním čase a využít při tom pouze jednu paměť s úzkým datovým rozhraním. Rychlost tohoto algoritmu lze určit analyticky a nezávisí na počtu pravidel ani na charakteru síťového provozu. S využitím dostupných součástek lze dosáhnout propustnosti 266 milionů paketů za sekundu. Následující tři algoritmy uvedené v této práci snižují paměťové nároky prvního algoritmu, aniž by ovlivňovaly rychlost. Druhý algoritmus snižuje velikost paměti o 11 % až 96 % v závislosti na sadě pravidel. Nevýhodu nízké stability odstraňuje třetí algoritmus, který v porovnání s prvním zmenšuje paměťové nároky o 31 % až 84 %. Čtvrtý algoritmus kombinuje třetí algoritmus se starším přístupem a díky využití několika technik zmenšuje paměťové nároky o 73 % až 99 %.
|
guest ::
