Code Review / vpp.git / blob
? search:
summary | shortlog | log | commit | commitdiff | review | tree
history | raw | HEAD
ipsec: Record the number of packets lost from an SA
[vpp.git] / src / vnet / ipsec / ipsec_sa.h
1 /*
2  * Copyright (c) 2015 Cisco and/or its affiliates.
3  * Licensed under the Apache License, Version 2.0 (the "License");
4  * you may not use this file except in compliance with the License.
5  * You may obtain a copy of the License at:
6  *
7  *     http://www.apache.org/licenses/LICENSE-2.0
8  *
9  * Unless required by applicable law or agreed to in writing, software
10  * distributed under the License is distributed on an "AS IS" BASIS,
11  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
12  * See the License for the specific language governing permissions and
13  * limitations under the License.
14  */
15 #ifndef __IPSEC_SPD_SA_H__
16 #define __IPSEC_SPD_SA_H__
17
18 #include <vlib/vlib.h>
19 #include <vnet/crypto/crypto.h>
20 #include <vnet/ip/ip.h>
21 #include <vnet/fib/fib_node.h>
22 #include <vnet/tunnel/tunnel.h>
23
24 #define foreach_ipsec_crypto_alg    \
25   _ (0, NONE, "none")               \
26   _ (1, AES_CBC_128, "aes-cbc-128") \
27   _ (2, AES_CBC_192, "aes-cbc-192") \
28   _ (3, AES_CBC_256, "aes-cbc-256") \
29   _ (4, AES_CTR_128, "aes-ctr-128") \
30   _ (5, AES_CTR_192, "aes-ctr-192") \
31   _ (6, AES_CTR_256, "aes-ctr-256") \
32   _ (7, AES_GCM_128, "aes-gcm-128") \
33   _ (8, AES_GCM_192, "aes-gcm-192") \
34   _ (9, AES_GCM_256, "aes-gcm-256") \
35   _ (10, DES_CBC, "des-cbc")        \
36   _ (11, 3DES_CBC, "3des-cbc")
37
38 typedef enum
39 {
40 #define _(v, f, s) IPSEC_CRYPTO_ALG_##f = v,
41   foreach_ipsec_crypto_alg
42 #undef _
43     IPSEC_CRYPTO_N_ALG,
44 } __clib_packed ipsec_crypto_alg_t;
45
46 #define IPSEC_CRYPTO_ALG_IS_GCM(_alg)                     \
47   (((_alg == IPSEC_CRYPTO_ALG_AES_GCM_128) ||             \
48     (_alg == IPSEC_CRYPTO_ALG_AES_GCM_192) ||             \
49     (_alg == IPSEC_CRYPTO_ALG_AES_GCM_256)))
50
51 #define IPSEC_CRYPTO_ALG_IS_CTR(_alg)                                         \
52   (((_alg == IPSEC_CRYPTO_ALG_AES_CTR_128) ||                                 \
53     (_alg == IPSEC_CRYPTO_ALG_AES_CTR_192) ||                                 \
54     (_alg == IPSEC_CRYPTO_ALG_AES_CTR_256)))
55
56 #define foreach_ipsec_integ_alg                                            \
57   _ (0, NONE, "none")                                                      \
58   _ (1, MD5_96, "md5-96")           /* RFC2403 */                          \
59   _ (2, SHA1_96, "sha1-96")         /* RFC2404 */                          \
60   _ (3, SHA_256_96, "sha-256-96")   /* draft-ietf-ipsec-ciph-sha-256-00 */ \
61   _ (4, SHA_256_128, "sha-256-128") /* RFC4868 */                          \
62   _ (5, SHA_384_192, "sha-384-192") /* RFC4868 */                          \
63   _ (6, SHA_512_256, "sha-512-256")     /* RFC4868 */
64
65 typedef enum
66 {
67 #define _(v, f, s) IPSEC_INTEG_ALG_##f = v,
68   foreach_ipsec_integ_alg
69 #undef _
70     IPSEC_INTEG_N_ALG,
71 } __clib_packed ipsec_integ_alg_t;
72
73 typedef enum
74 {
75   IPSEC_PROTOCOL_AH = 0,
76   IPSEC_PROTOCOL_ESP = 1
77 } __clib_packed ipsec_protocol_t;
78
79 #define IPSEC_KEY_MAX_LEN 128
80 typedef struct ipsec_key_t_
81 {
82   u8 len;
83   u8 data[IPSEC_KEY_MAX_LEN];
84 } ipsec_key_t;
85
86 /*
87  * Enable extended sequence numbers
88  * Enable Anti-replay
89  * IPsec tunnel mode if non-zero, else transport mode
90  * IPsec tunnel mode is IPv6 if non-zero,
91  * else IPv4 tunnel only valid if is_tunnel is non-zero
92  * enable UDP encapsulation for NAT traversal
93  */
94 #define foreach_ipsec_sa_flags                                                \
95   _ (0, NONE, "none")                                                         \
96   _ (1, USE_ESN, "esn")                                                       \
97   _ (2, USE_ANTI_REPLAY, "anti-replay")                                       \
98   _ (4, IS_TUNNEL, "tunnel")                                                  \
99   _ (8, IS_TUNNEL_V6, "tunnel-v6")                                            \
100   _ (16, UDP_ENCAP, "udp-encap")                                              \
101   _ (32, IS_PROTECT, "Protect")                                               \
102   _ (64, IS_INBOUND, "inbound")                                               \
103   _ (128, IS_AEAD, "aead")                                                    \
104   _ (256, IS_CTR, "ctr")                                                      \
105   _ (512, IS_ASYNC, "async")
106
107 typedef enum ipsec_sad_flags_t_
108 {
109 #define _(v, f, s) IPSEC_SA_FLAG_##f = v,
110   foreach_ipsec_sa_flags
111 #undef _
112 } __clib_packed ipsec_sa_flags_t;
113
114 STATIC_ASSERT (sizeof (ipsec_sa_flags_t) == 2, "IPSEC SA flags != 2 byte");
115
116 typedef struct
117 {
118   CLIB_CACHE_LINE_ALIGN_MARK (cacheline0);
119
120   /* flags */
121   ipsec_sa_flags_t flags;
122
123   u8 crypto_iv_size;
124   u8 esp_block_align;
125   u8 integ_icv_size;
126
127   u8 __pad1[3];
128
129   u32 thread_index;
130
131   u32 spi;
132   u32 seq;
133   u32 seq_hi;
134   u64 replay_window;
135   u64 ctr_iv_counter;
136   dpo_id_t dpo;
137
138   vnet_crypto_key_index_t crypto_key_index;
139   vnet_crypto_key_index_t integ_key_index;
140
141   /* Union data shared by sync and async ops, updated when mode is
142    * changed. */
143   union
144   {
145     struct
146     {
147       vnet_crypto_op_id_t crypto_enc_op_id:16;
148       vnet_crypto_op_id_t crypto_dec_op_id:16;
149       vnet_crypto_op_id_t integ_op_id:16;
150     };
151
152     struct
153     {
154       vnet_crypto_async_op_id_t crypto_async_enc_op_id:16;
155       vnet_crypto_async_op_id_t crypto_async_dec_op_id:16;
156       vnet_crypto_key_index_t linked_key_index;
157     };
158
159     u64 crypto_op_data;
160   };
161
162   CLIB_CACHE_LINE_ALIGN_MARK (cacheline1);
163
164   union
165   {
166     ip4_header_t ip4_hdr;
167     ip6_header_t ip6_hdr;
168   };
169   udp_header_t udp_hdr;
170
171   /* Salt used in CTR modes (incl. GCM) - stored in network byte order */
172   u32 salt;
173
174   ipsec_protocol_t protocol;
175   tunnel_encap_decap_flags_t tunnel_flags;
176   u8 __pad[2];
177
178   /* data accessed by dataplane code should be above this comment */
179     CLIB_CACHE_LINE_ALIGN_MARK (cacheline2);
180
181   /* Elements with u64 size multiples */
182   union
183   {
184     struct
185     {
186       vnet_crypto_op_id_t crypto_enc_op_id:16;
187       vnet_crypto_op_id_t crypto_dec_op_id:16;
188       vnet_crypto_op_id_t integ_op_id:16;
189     };
190     u64 data;
191   } sync_op_data;
192
193   union
194   {
195     struct
196     {
197       vnet_crypto_async_op_id_t crypto_async_enc_op_id:16;
198       vnet_crypto_async_op_id_t crypto_async_dec_op_id:16;
199       vnet_crypto_key_index_t linked_key_index;
200     };
201     u64 data;
202   } async_op_data;
203
204   tunnel_t tunnel;
205
206   fib_node_t node;
207
208   /* elements with u32 size */
209   u32 id;
210   u32 stat_index;
211   vnet_crypto_alg_t integ_calg;
212   vnet_crypto_alg_t crypto_calg;
213
214   /* else u8 packed */
215   ipsec_crypto_alg_t crypto_alg;
216   ipsec_integ_alg_t integ_alg;
217
218   ipsec_key_t integ_key;
219   ipsec_key_t crypto_key;
220 } ipsec_sa_t;
221
222 STATIC_ASSERT_OFFSET_OF (ipsec_sa_t, cacheline1, CLIB_CACHE_LINE_BYTES);
223 STATIC_ASSERT_OFFSET_OF (ipsec_sa_t, cacheline2, 2 * CLIB_CACHE_LINE_BYTES);
224
225 /**
226  * Pool of IPSec SAs
227  */
228 extern ipsec_sa_t *ipsec_sa_pool;
229
230 /*
231  * Ensure that the IPsec data does not overlap with the IP data in
232  * the buffer meta data
233  */
234 STATIC_ASSERT (STRUCT_OFFSET_OF (vnet_buffer_opaque_t, ipsec.sad_index) ==
235                  STRUCT_OFFSET_OF (vnet_buffer_opaque_t, ip.save_protocol),
236                "IPSec data is overlapping with IP data");
237
238 #define _(a,v,s)                                                        \
239   always_inline int                                                     \
240   ipsec_sa_is_set_##v (const ipsec_sa_t *sa) {                          \
241     return (sa->flags & IPSEC_SA_FLAG_##v);                             \
242   }
243 foreach_ipsec_sa_flags
244 #undef _
245 #define _(a,v,s)                                                        \
246   always_inline int                                                     \
247   ipsec_sa_set_##v (ipsec_sa_t *sa) {                                   \
248     return (sa->flags |= IPSEC_SA_FLAG_##v);                            \
249   }
250   foreach_ipsec_sa_flags
251 #undef _
252 #define _(a,v,s)                                                        \
253   always_inline int                                                     \
254   ipsec_sa_unset_##v (ipsec_sa_t *sa) {                                 \
255     return (sa->flags &= ~IPSEC_SA_FLAG_##v);                           \
256   }
257   foreach_ipsec_sa_flags
258 #undef _
259 /**
260  * @brief
261  * SA packet & bytes counters
262  */
263 extern vlib_combined_counter_main_t ipsec_sa_counters;
264 extern vlib_simple_counter_main_t ipsec_sa_lost_counters;
265
266 extern void ipsec_mk_key (ipsec_key_t * key, const u8 * data, u8 len);
267
268 extern int
269 ipsec_sa_add_and_lock (u32 id, u32 spi, ipsec_protocol_t proto,
270                        ipsec_crypto_alg_t crypto_alg, const ipsec_key_t *ck,
271                        ipsec_integ_alg_t integ_alg, const ipsec_key_t *ik,
272                        ipsec_sa_flags_t flags, u32 salt, u16 src_port,
273                        u16 dst_port, const tunnel_t *tun, u32 *sa_out_index);
274 extern index_t ipsec_sa_find_and_lock (u32 id);
275 extern int ipsec_sa_unlock_id (u32 id);
276 extern void ipsec_sa_unlock (index_t sai);
277 extern void ipsec_sa_lock (index_t sai);
278 extern void ipsec_sa_clear (index_t sai);
279 extern void ipsec_sa_set_crypto_alg (ipsec_sa_t * sa,
280                                      ipsec_crypto_alg_t crypto_alg);
281 extern void ipsec_sa_set_integ_alg (ipsec_sa_t * sa,
282                                     ipsec_integ_alg_t integ_alg);
283
284 typedef walk_rc_t (*ipsec_sa_walk_cb_t) (ipsec_sa_t * sa, void *ctx);
285 extern void ipsec_sa_walk (ipsec_sa_walk_cb_t cd, void *ctx);
286
287 extern u8 *format_ipsec_replay_window (u8 *s, va_list *args);
288 extern u8 *format_ipsec_crypto_alg (u8 * s, va_list * args);
289 extern u8 *format_ipsec_integ_alg (u8 * s, va_list * args);
290 extern u8 *format_ipsec_sa (u8 * s, va_list * args);
291 extern u8 *format_ipsec_key (u8 * s, va_list * args);
292 extern uword unformat_ipsec_crypto_alg (unformat_input_t * input,
293                                         va_list * args);
294 extern uword unformat_ipsec_integ_alg (unformat_input_t * input,
295                                        va_list * args);
296 extern uword unformat_ipsec_key (unformat_input_t * input, va_list * args);
297
298 #define IPSEC_UDP_PORT_NONE ((u16)~0)
299
300 /*
301  * Anti Replay definitions
302  */
303
304 #define IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE (64)
305 #define IPSEC_SA_ANTI_REPLAY_WINDOW_MAX_INDEX (IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE-1)
306
307 /*
308  * sequence number less than the lower bound are outside of the window
309  * From RFC4303 Appendix A:
310  *  Bl = Tl - W + 1
311  */
312 #define IPSEC_SA_ANTI_REPLAY_WINDOW_LOWER_BOUND(_tl) (_tl - IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE + 1)
313
314 always_inline int
315 ipsec_sa_anti_replay_check (const ipsec_sa_t *sa, u32 seq)
316 {
317   if (ipsec_sa_is_set_USE_ANTI_REPLAY (sa) &&
318       sa->replay_window & (1ULL << (sa->seq - seq)))
319     return 1;
320   else
321     return 0;
322 }
323
324 /*
325  * Anti replay check.
326  *  inputs need to be in host byte order.
327  *
328  * The function runs in two contexts. pre and post decrypt.
329  * Pre-decrypt it:
330  *  1 - determines if a packet is a replay - a simple check in the window
331  *  2 - returns the hi-seq number that should be used to decrypt.
332  * post-decrypt:
333  *  Checks whether the packet is a replay or falls out of window
334  *
335  * This funcion should be called even without anti-replay enabled to ensure
336  * the high sequence number is set.
337  */
338 always_inline int
339 ipsec_sa_anti_replay_and_sn_advance (const ipsec_sa_t *sa, u32 seq,
340                                      u32 hi_seq_used, bool post_decrypt,
341                                      u32 *hi_seq_req)
342 {
343   ASSERT ((post_decrypt == false) == (hi_seq_req != 0));
344
345   if (!ipsec_sa_is_set_USE_ESN (sa))
346     {
347       if (hi_seq_req)
348         /* no ESN, therefore the hi-seq is always 0 */
349         *hi_seq_req = 0;
350
351       if (!ipsec_sa_is_set_USE_ANTI_REPLAY (sa))
352         return 0;
353
354       if (PREDICT_TRUE (seq > sa->seq))
355         return 0;
356
357       u32 diff = sa->seq - seq;
358
359       if (IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE > diff)
360         return ((sa->replay_window & (1ULL << diff)) ? 1 : 0);
361       else
362         return 1;
363
364       return 0;
365     }
366
367   if (!ipsec_sa_is_set_USE_ANTI_REPLAY (sa))
368     {
369       /* there's no AR configured for this SA, but in order
370        * to know whether a packet has wrapped the hi ESN we need
371        * to know whether it is out of window. if we use the default
372        * lower bound then we are effectively forcing AR because
373        * out of window packets will get the increased hi seq number
374        * and will thus fail to decrypt. IOW we need a window to know
375        * if the SN has wrapped, but we don't want a window to check for
376        * anti replay. to resolve the contradiction we use a huge window.
377        * if the packet is not within 2^30 of the current SN, we'll consider
378        * it a wrap.
379        */
380       if (hi_seq_req)
381         {
382           if (seq >= sa->seq)
383             /* The packet's sequence number is larger that the SA's.
384              * that can't be a warp - unless we lost more than
385              * 2^32 packets ... how could we know? */
386             *hi_seq_req = sa->seq_hi;
387           else
388             {
389               /* The packet's SN is less than the SAs, so either the SN has
390                * wrapped or the SN is just old. */
391               if (sa->seq - seq > (1 << 30))
392                 /* It's really really really old => it wrapped */
393                 *hi_seq_req = sa->seq_hi + 1;
394               else
395                 *hi_seq_req = sa->seq_hi;
396             }
397         }
398       /*
399        * else
400        *   this is post-decrpyt and since it decrypted we accept it
401        */
402       return 0;
403     }
404   if (PREDICT_TRUE (sa->seq >= (IPSEC_SA_ANTI_REPLAY_WINDOW_MAX_INDEX)))
405     {
406       /*
407        * the last sequence number VPP recieved is more than one
408        * window size greater than zero.
409        * Case A from RFC4303 Appendix A.
410        */
411       if (seq < IPSEC_SA_ANTI_REPLAY_WINDOW_LOWER_BOUND (sa->seq))
412         {
413           /*
414            * the received sequence number is lower than the lower bound
415            * of the window, this could mean either a replay packet or that
416            * the high sequence number has wrapped. if it decrypts corrently
417            * then it's the latter.
418            */
419           if (post_decrypt)
420             {
421               if (hi_seq_used == sa->seq_hi)
422                 /* the high sequence number used to succesfully decrypt this
423                  * packet is the same as the last-sequnence number of the SA.
424                  * that means this packet did not cause a wrap.
425                  * this packet is thus out of window and should be dropped */
426                 return 1;
427               else
428                 /* The packet decrypted with a different high sequence number
429                  * to the SA, that means it is the wrap packet and should be
430                  * accepted */
431                 return 0;
432             }
433           else
434             {
435               /* pre-decrypt it might be the might that casues a wrap, we
436                * need to decrpyt to find out */
437               if (hi_seq_req)
438                 *hi_seq_req = sa->seq_hi + 1;
439               return 0;
440             }
441         }
442       else
443         {
444           /*
445            * the recieved sequence number greater than the low
446            * end of the window.
447            */
448           if (hi_seq_req)
449             *hi_seq_req = sa->seq_hi;
450           if (seq <= sa->seq)
451             /*
452              * The recieved seq number is within bounds of the window
453              * check if it's a duplicate
454              */
455             return (ipsec_sa_anti_replay_check (sa, seq));
456           else
457             /*
458              * The received sequence number is greater than the window
459              * upper bound. this packet will move the window along, assuming
460              * it decrypts correctly.
461              */
462             return 0;
463         }
464     }
465   else
466     {
467       /*
468        * the last sequence number VPP recieved is within one window
469        * size of zero, i.e. 0 < TL < WINDOW_SIZE, the lower bound is thus a
470        * large sequence number.
471        * Note that the check below uses unsiged integer arthimetic, so the
472        * RHS will be a larger number.
473        * Case B from RFC4303 Appendix A.
474        */
475       if (seq < IPSEC_SA_ANTI_REPLAY_WINDOW_LOWER_BOUND (sa->seq))
476         {
477           /*
478            * the sequence number is less than the lower bound.
479            */
480           if (seq <= sa->seq)
481             {
482               /*
483                * the packet is within the window upper bound.
484                * check for duplicates.
485                */
486               if (hi_seq_req)
487                 *hi_seq_req = sa->seq_hi;
488               return (ipsec_sa_anti_replay_check (sa, seq));
489             }
490           else
491             {
492               /*
493                * the packet is less the window lower bound or greater than
494                * the higher bound, depending on how you look at it...
495                * We're assuming, given that the last sequence number received,
496                * TL < WINDOW_SIZE, that a largeer seq num is more likely to be
497                * a packet that moves the window forward, than a packet that has
498                * wrapped the high sequence again. If it were the latter then
499                * we've lost close to 2^32 packets.
500                */
501               if (hi_seq_req)
502                 *hi_seq_req = sa->seq_hi;
503               return 0;
504             }
505         }
506       else
507         {
508           /*
509            * the packet seq number is between the lower bound (a large nubmer)
510            * and MAX_SEQ_NUM. This is in the window since the window upper bound
511            * tl > 0.
512            * However, since TL is the other side of 0 to the received
513            * packet, the SA has moved on to a higher sequence number.
514            */
515           if (hi_seq_req)
516             *hi_seq_req = sa->seq_hi - 1;
517           return (ipsec_sa_anti_replay_check (sa, seq));
518         }
519     }
520
521   /* unhandled case */
522   ASSERT (0);
523   return 0;
524 }
525
526 always_inline u32
527 ipsec_sa_anti_replay_window_shift (ipsec_sa_t *sa, u32 inc)
528 {
529   u32 n_lost = 0;
530
531   if (inc < IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE)
532     {
533       if (sa->seq > IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE)
534         {
535           /*
536            * count how many holes there are in the portion
537            * of the window that we will right shift of the end
538            * as a result of this increments
539            */
540           u64 mask = (((u64) 1 << inc) - 1) << (BITS (u64) - inc);
541           u64 old = sa->replay_window & mask;
542           /* the number of packets we saw in this section of the window */
543           u64 seen = count_set_bits (old);
544
545           /*
546            * the number we missed is the size of the window section
547            * minus the number we saw.
548            */
549           n_lost = inc - seen;
550         }
551       sa->replay_window = ((sa->replay_window) << inc) | 1;
552     }
553   else
554     {
555       /* holes in the replay window are lost packets */
556       n_lost = BITS (u64) - count_set_bits (sa->replay_window);
557
558       /* any sequence numbers that now fall outside the window
559        * are forever lost */
560       n_lost += inc - IPSEC_SA_ANTI_REPLAY_WINDOW_SIZE;
561
562       sa->replay_window = 1;
563     }
564
565   return (n_lost);
566 }
567
568 /*
569  * Anti replay window advance
570  *  inputs need to be in host byte order.
571  * This function both advances the anti-replay window and the sequence number
572  * We always need to move on the SN but the window updates are only needed
573  * if AR is on.
574  * However, updating the window is trivial, so we do it anyway to save
575  * the branch cost.
576  */
577 always_inline u64
578 ipsec_sa_anti_replay_advance (ipsec_sa_t *sa, u32 thread_index, u32 seq,
579                               u32 hi_seq)
580 {
581   u64 n_lost = 0;
582   u32 pos;
583
584   if (ipsec_sa_is_set_USE_ESN (sa))
585     {
586       int wrap = hi_seq - sa->seq_hi;
587
588       if (wrap == 0 && seq > sa->seq)
589         {
590           pos = seq - sa->seq;
591           n_lost = ipsec_sa_anti_replay_window_shift (sa, pos);
592           sa->seq = seq;
593         }
594       else if (wrap > 0)
595         {
596           pos = ~seq + sa->seq + 1;
597           n_lost = ipsec_sa_anti_replay_window_shift (sa, pos);
598           sa->seq = seq;
599           sa->seq_hi = hi_seq;
600         }
601       else if (wrap < 0)
602         {
603           pos = ~seq + sa->seq + 1;
604           sa->replay_window |= (1ULL << pos);
605         }
606       else
607         {
608           pos = sa->seq - seq;
609           sa->replay_window |= (1ULL << pos);
610         }
611     }
612   else
613     {
614       if (seq > sa->seq)
615         {
616           pos = seq - sa->seq;
617           n_lost = ipsec_sa_anti_replay_window_shift (sa, pos);
618           sa->seq = seq;
619         }
620       else
621         {
622           pos = sa->seq - seq;
623           sa->replay_window |= (1ULL << pos);
624         }
625     }
626
627   return n_lost;
628 }
629
630
631 /*
632  * Makes choice for thread_id should be assigned.
633  *  if input ~0, gets random worker_id based on unix_time_now_nsec
634 */
635 always_inline u32
636 ipsec_sa_assign_thread (u32 thread_id)
637 {
638   return ((thread_id) ? thread_id
639           : (unix_time_now_nsec () % vlib_num_workers ()) + 1);
640 }
641
642 always_inline ipsec_sa_t *
643 ipsec_sa_get (u32 sa_index)
644 {
645   return (pool_elt_at_index (ipsec_sa_pool, sa_index));
646 }
647
648 #endif /* __IPSEC_SPD_SA_H__ */
649
650 /*
651  * fd.io coding-style-patch-verification: ON
652  *
653  * Local Variables:
654  * eval: (c-set-style "gnu")
655  * End:
656  */
Vector Packet Processing