確定針對分組檢查設備處的數(shù)據(jù)單元的負載分配的制作方法
【專利說明】
【背景技術(shù)】
[0001]分組檢查設備可以被部署在網(wǎng)絡中以檢查通過網(wǎng)絡傳送的數(shù)據(jù)分組的內(nèi)容。當被用于應用網(wǎng)絡安全時,分組檢查技術(shù)在多個協(xié)議層處被采用以識別可疑或惡意分組。在其它示例中,分組檢查還可以被應用在其它領域中。隨著聯(lián)網(wǎng)技術(shù)的使用持續(xù)增長,分組檢查設備的性能被調(diào)節(jié)以提供檢查日益增加的網(wǎng)絡業(yè)務水平的能力。
【附圖說明】
[0002]關于以下附圖描述一些實施例:
圖1是依照一些實現(xiàn)的包括布置在堆疊中的分組檢查設備的示例布置的框圖;
圖2是依照一些實現(xiàn)的示例分組檢查設備的框圖;
圖3是根據(jù)一些實現(xiàn)的動態(tài)負載分配過程的流程圖;以及圖4是根據(jù)一些實現(xiàn)的再平衡過程的流程圖。
【具體實施方式】
[0003]為了增進系統(tǒng)執(zhí)行被傳送至網(wǎng)絡的數(shù)據(jù)分組的分組檢查的總體能力,可以在堆疊中布置多個分組檢查設備。分組檢查設備的堆疊可以是指分組檢查設備的任何集合,其中集合中的分組檢查設備是使用互連鏈路(例如高速互連鏈路)互連的。在一些示例中分組檢查設備的堆疊可以是指這樣的分組檢查設備的物理堆疊,其中可以將一個分組檢查設備物理地放置在另一分組檢查設備之上。在其它示例中,分組檢查設備的堆疊不必是一個在彼此頂上物理地堆疊的,而是可以被提供在允許分組檢查設備的互連的一個或多個外殼中。
[0004]在一些實現(xiàn)中,每一個分組檢查設備可以具有使用諸如以太網(wǎng)協(xié)議之類的任何合適網(wǎng)絡協(xié)議而連接到網(wǎng)絡的能力。在替換實現(xiàn)中,僅分組檢查設備的子集可以連接到網(wǎng)絡。
[0005]分組檢查可以涉及審查分組的內(nèi)容,其中所審查的內(nèi)容包括分組的有效載荷且可能包括分組的報頭?!胺纸M”可以是指用于在電子設備之間承載數(shù)據(jù)的任何類型的數(shù)據(jù)單元。作為示例,分組可以包括互聯(lián)網(wǎng)協(xié)議(IP)分組、以太網(wǎng)幀或任何其它類型的數(shù)據(jù)單元。
[0006]審查分組的內(nèi)容可以出于各種目的而執(zhí)行,包括安全目的(例如識別或阻擋未經(jīng)授權(quán)的入侵、檢測或阻擋諸如病毒或蠕蟲之類的惡意軟件、檢測或阻擋垃圾郵件、檢測協(xié)議非遵從、控制應用等等)。用于檢測協(xié)議非遵從的分組檢查試圖識別未遵照或遵從一個或多個標準的數(shù)據(jù)。用于控制應用的分組檢查可以涉及基于一個或多個準則而防止應用的執(zhí)行或允許應用的執(zhí)行。還可以出于其它目的而執(zhí)行分組檢查,諸如為了執(zhí)行數(shù)據(jù)挖掘(以分析分組的內(nèi)容來更好地理解通過網(wǎng)絡傳送的信息)、竊取(例如由政府機構(gòu)或企業(yè)竊取)內(nèi)容、審閱、系統(tǒng)監(jiān)視(例如,以確定在諸如網(wǎng)絡之類的系統(tǒng)中正在發(fā)生什么)等等。
[0007]分組檢查的示例類型是深層分組檢查(DPI),其審查多個協(xié)議層處的分組的內(nèi)容。由分組檢查執(zhí)行的分組檢查與分組的僅報頭的檢查相區(qū)別,后者典型地由交換機或路由器出于將分組路由至目的地的目的而完成。
[0008]為了避免在存在傳入業(yè)務時使堆疊中的特定分組檢查設備負擔過重,可以實現(xiàn)負載分配機制或技術(shù)以允許一些傳入分組從一個分組檢查設備分配到堆疊中的另一分組檢查設備。然而,與在堆疊中的分組檢查設備之間分組的分配相關聯(lián)的挑戰(zhàn)是:在堆疊的分組檢查設備之間分配的業(yè)務的量可能相對高。在裝備成本和部署成本方面,不得不增加堆疊的分組檢查設備之間的網(wǎng)絡連接性的帶寬以容納分組檢查設備之間相對高量的分配業(yè)務可能導致增加的成本。
[0009]另一問題涉及流親和性,其規(guī)定:給定業(yè)務流的分組要由相同分組檢查設備處置。在一些示例中,為了提供流親和性,可以在傳入分組中的某些信息上應用散列函數(shù)(或其它函數(shù)),其中信息可以包括協(xié)議、源地址和目的地地址。在分組的特定字段上應用散列函數(shù)產(chǎn)生映射到表的對應條目的散列值(或其它值),其中該條目包含涉及要檢查分組的特定分組檢查設備的值。在一些情況中,流親和性可能導致相對大數(shù)目的分組被從入口分組檢查設備轉(zhuǎn)發(fā)到另一分組檢查設備,這可能引起互連鏈路上的增加的業(yè)務。
[0010]而且,一些業(yè)務流可能消耗比其它業(yè)務流更多的資源,使得分組檢查設備之間的業(yè)務流的分組的均勻分配可能仍引起分組檢查設備上的不均勻負載。而且,在一些情況中,負載分配機制或技術(shù)可能假定:堆疊的分組檢查設備全部都具有在處理傳入業(yè)務方面相同的能力,這可能并不正確。
[0011]依照一些實現(xiàn),提供了允許堆疊的分組檢查設備之間的傳入分組的動態(tài)分配的技術(shù)或機制,其中該技術(shù)或機制采用有助于將給定分組保持在接收了該給定分組的入口分組檢查設備處的負載分配策略。在一些實現(xiàn)中,負載分配策略可以由堆疊中的主設備控制,在如何分配業(yè)務方面引導每一個堆疊成員。有助于將分組保持在接收了相應分組的入口分組檢查設備處的負載分配策略允許必須在堆疊的分組檢查設備之間分配的分組的量的減少。由此,分組檢查設備的堆疊可以是利用具有簡化的帶寬規(guī)范的互連鏈路設計和實現(xiàn)的,這可以允許堆疊被部署有更加成本高效的網(wǎng)絡連接性基礎設施且允許堆疊更好地縮放。
[0012]此外,分組檢查設備的堆疊處的傳入分組的動態(tài)分配可以基于涉及分組檢查設備和/或堆疊的互連鏈路的利用率的所監(jiān)視的度量。例如,隨著特定分組檢查設備的利用率逼近預定義閾值,附加的傳入分組可以被從該特定分組檢查設備重定向到堆疊的另一分組檢查設備。以此方式,負載分配策略試圖將傳入業(yè)務保持在入口分組檢查設備處,同時還允許當任何入口分組檢查設備具有逼近預定義閾值的利用率時在堆疊的其它成員處處理傳入分組的溢出容量。還可以考慮其它因素,如以下進一步解釋的那樣。依照一些實現(xiàn),可以改善分組檢查設備的堆疊的總體的總性能,并且可以減小分組檢查設備之間的相對低網(wǎng)絡連接性帶寬對性能的任何不利影響。
[0013]圖1是包括具有分組檢查設備106-1、106-2、106-3、……、106_/?的堆疊104的檢查系統(tǒng)102的示例布置的框圖,其中表示堆疊104中的分組檢查設備的數(shù)目。在一些示例中,可以僅存在兩個分組檢查設備,使得等于2,而在其它示例中,可以大于或等于3。
[0014]檢查系統(tǒng)102可以是入侵防護系統(tǒng),例如,用于保護內(nèi)部網(wǎng)絡106免受外部網(wǎng)絡108中的網(wǎng)絡設備的未經(jīng)授權(quán)的訪問。內(nèi)部網(wǎng)絡106可以是諸如與企業(yè)(例如商行、政府機構(gòu)、教育組織等)相關聯(lián)的網(wǎng)絡之類的企業(yè)網(wǎng)絡。作為另一示例,內(nèi)部網(wǎng)絡106可以是用戶的家庭網(wǎng)絡。作為另外的示例,內(nèi)部網(wǎng)絡106可以是因特網(wǎng)服務提供商的網(wǎng)絡。
[0015]處于內(nèi)部網(wǎng)絡106外的外部網(wǎng)絡108可以包括因特網(wǎng)或某其它網(wǎng)絡。
[0016]在其它示例中,檢查系統(tǒng)102可以用于其它目的,諸如以上進一步討論的那些目的。
[0017]檢查系統(tǒng)102的第一側(cè)耦合到外部網(wǎng)絡108的網(wǎng)絡鏈路110。網(wǎng)絡設備112通過網(wǎng)絡鏈路110耦合到檢查系統(tǒng)102。
[0018]檢查系統(tǒng)102的第二側(cè)耦合到內(nèi)部網(wǎng)絡106的網(wǎng)絡鏈路116。網(wǎng)絡設備114通過網(wǎng)絡鏈路116耦合到檢查系統(tǒng)102。網(wǎng)絡鏈路110或116可以是有線鏈路、無線鏈路或者有線和無線鏈路的組合。盡管在相應網(wǎng)絡108或106中描繪了僅一個網(wǎng)絡鏈路110或116,但是要指出的是,可以存在連接到檢查系統(tǒng)102的分組檢查設備106-1至106-/7的多個網(wǎng)絡鏈路。