通过采用用于消除、控制或以其他方式影响冗余分组处理操作的装置来改善一组分组处理设备当中的网络处理负荷的分布。在一个实施例中,存在至少两个分组处理设备,二者都能够处理从中流过的数据分组,诸如依照来自过滤器组的一个或多个过滤器来检查、检测并过滤数据分组。通过给分组处理设备中的任一者或两者提供或使得其具有如下能力来控制冗余:所述分组处理设备在其对所述数据分组的所述检查期间检测到例如先前已由另一分组处理设备对所述数据分组执行一个或多个过滤器且然后不对所述数据分组执行先前执行的过滤器。
【技术实现步骤摘要】
本专利技术针对跨分组处理设备的网络分组处理负荷的分布,特别地,其中,通过采用用于控制或以其他方式影响冗余过滤操作的装置跨分组过滤设备来分布所述负荷。
技术介绍
企业将网络技术用于进行业务、商业管理、学术研究、机构管理和类似任务是普遍的。网络技术一特别是数字分组交换网络技术一使得能够在本地和广域企业网内以及本地和广域企业网之外实现信息(诸如文档、数值数据、图像、视频、音频和多媒体信息)、资源(诸如服务器、个人计算机、数据储存器和安全设备)和应用(诸如文字处理、记帐、金融、数据库、电子数据表、呈现、电子邮件、通信、网络管理和安全应用)的广泛共享和通信。虽然分组交换网络在拓扑结构、尺寸和配置方面相当大地改变,但是基本上,所有此类网络不变地包括至少两个“节点”,其被可通信地链接(通过有线或无线连接)以使得能够在其之间传输数字分组封装数据。节点一如本领域的技术人员所已知的一包括台式计算机、膝上型计算机、工作站、用户终端、主机计算机、服务器、网络附加存储、网络打印机和用于所述数字分组封装数据的其它目的地、起源或终点。联网设备一在本领域中有时称为“中间系统”或“互通单元” 一一般(如果不是不变地)也存在于分组交换网络中。与节点相对照,这些主要用于对网络节点之间的数据业务进行管理、调节、成形或其他方式的调解。交换机、网关和路由器例如在网络内的节点之间引导分组业务以及将业务引导到网络中和引导到网络外。同样地,某些网络安全设备一作为所谓的“混合”联网设备运行一通过对数据分组或数据分组流进行过滤、隔离、标记和/或其他方式的调节来调解进入网络中或网络内的分组业务。在常见的入侵预防系统(IPS)部署中,可以将多个IPS单元遍布于网络中以基于包括组织网络拓扑结构和关键资产位置的若干因素来保护网络并将网络分段。例如,典型的是将IPS放置在(一个或多个)WAN接入点处以及数据中心的前面和网络的不同段之间以创建独立的安全区。照此,流可以在其穿过网络时通过多个IPS。在每个IPS处,可能由过滤器的相同集合或子集来检查相同的流,从而招致没有附加价值的重复处理循环。因此,需要用于避免分组交换网络中的冗余分组检查的技术。
技术实现思路
响应于上述需要,本专利技术的实施例提供了用于跨一组分组处理设备分布网络处理负荷的技术,其中,所述方法采用用于消除或以其他方式控制冗余分组处理操作的装置。为此目的,本专利技术的实施例提供了一种包括至少两个分组处理设备的网络,其中(a)所述分组处理设备中的第一分组处理设备能够处理从中流过的数据分组;(b)所述分组处理设备中的第二分组处理设备也能够处理从中流过的数据分组;以及(c)所述第一分组处理设备能够在它对所述数据分组的所述处理期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个分组处理操作。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行分组处理,则所述第一分组处理设备可以拒绝对所述数据分组执行分组处理。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行分组处理,则所述第一分组处理设备可以对所述数据分组执行分组处理。在一个优选实施例中,本专利技术设法影响所谓的网络入侵预防系统(IPS)中的冗余,所述网络入侵预防系统特别地包括遍及网络分布的一组直列式(in-line)分组过滤器设备。依照本实施例,本专利技术的网络包括至少两个分组处理设备,其中:(a)所述分组处理设备中的第一分组处理设备能够检查并过滤从中流过的数据分组,通过执行来自过滤器组的一个或多个过滤器来实现所述过滤;(b)所述分组处理设备中的第二分组处理设备也能够检查并过滤从中流过的数据分组,也通过执行来自所述过滤器组的一个或多个过滤器来实现所述过滤;以及(c)所述第一分组处理设备能够在它对所述数据分组的所述检查期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个过滤器。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行特定的过滤器,则所述第一分组处理设备可以拒绝将该特定过滤器应用于所述数据分组。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行特定的过滤器,则所述第一分组处理设备可以将该特定过滤器应用于所述数据分组。一类实施方式将识别已被应用于检查分组的过滤器组的唯一标识符编码。下游IPS使用此字段来避免重复相同的过滤器检查。所述唯一标识符可以被写入分组的字段中。通过写入分组字段中,IPS系统实际上对分组字段进行重新定义、重新确定其目的或劫持分组字段。可以使用的某些字段是IP选项字段;diffserv位;或VLAN/MPLS标记。第二实施方式利用网络拓扑结构的知识和该拓扑结构中的其它IPS的放置。集中式或分布式方法可以利用拓扑结构信息来防止冗余处理并可能跨不止一个IPS散布处理负荷。在集中式或分布式方法中,可以从层2或层3拓扑结构相关协议消息中的信息或从其它信令协议获悉该拓扑结构。在集中式方法中,一个设备获得拓扑结构信息、该拓扑结构中的IPS的放置,并将工作负荷划分信息或指令分配给每个IPS。在分布式方法中,每个IPS获得拓扑结构信息、该拓扑结构中的此IPS和可能的其它IPS的放置,并且每个IPS判定将对每个分组进行什么处理。该判定可以基于已经进行了什么先前IPS处理、此IPS的工作负荷和可以由此IPS与分组的目的地之间的已知拓扑结构中的其它IPS进行什么处理。本专利技术的实施例的一个优点是其使得能够跨一组分组处理设备分布网络处理负荷以消除、控制或以其他方式影响冗余分组处理操作。本专利技术的实施例的另一优点是其跨一组分组过滤设备分布网络分组过滤负荷以消除、控制或以其他方式影响(完全地或部分地)所述分组过滤设备组当中的冗余过滤操作。本专利技术的实施例的另一优点是其通过与分组或分组流通过所述分组过滤设备同时地在分组或分组流中插入并检测唯一标识符来分布网络分组过滤负荷。所述唯一标识符的存在或不存在指示所述分组流的先前通过所述过滤设备中的一个。本专利技术的实施例的另一优点是其使用共享网络拓扑结构信息来分布网络分组过滤负荷,所述共享网络拓扑结构信息被宿存在所述网络中以使得能够被所述分组过滤设备组中的每一个访问(完全或受限的)。通过结合附图进行的以下详细说明,本专利技术的实施例的这些及其它特征和优点将变得对于本领域普通技术人员来说显而易见。【附图说明】图1A示意性地举例说明包括多个分组处理设备141、142、143、144和145的网络100,所述分组处理设备依照本专利技术被配置为分布分组处理功能。图1B示意性地举例说明用于映射拓扑结构信息和分组处理信息的有用分组处理设备中的某些说明性数据结构。图2示意性地举例说明实施本专利技术的模式,其中,与其它分组处理功能(例如,IPS相关分组处理240)串行地执行在先处理检测220。图3提供举例说明可在本专利技术的执行中采用的逻辑的流程图。图4示意性地举例说明实施本专利技术的另一模式,其中,在先处理检测420a、420b被集成到其它分组处理功能中(例如,IPS相关分组处理400的状态和过滤器功能411、422)。【具体实施方式】本专利技术设法广泛地在本文给出的权利要求的范围内涵盖用于跨一组分组处理设备来分布网络处理负荷的所有本文档来自技高网...
【技术保护点】
一种在网络中执行的方法,所述网络包括:多个节点,其被可通信地链接以使得能够沿着它们之间的数据分组传输路径来传输数据分组;以及与所述数据分组传输路径直列式地设置的至少两个分组处理设备,所述方法包括:(a)所述分组处理设备中的第一分组处理设备能够检查并过滤从中流过的数据分组,通过执行来自过滤器组的一个或多个过滤器来实现所述过滤;(b)所述分组处理设备中的第二分组处理设备也能够检查并过滤从中流过的数据分组,也通过执行来自所述过滤器组的一个或多个过滤器来实现所述过滤;以及(c)所述第一分组处理设备能够在其对所述数据分组的所述检查期间检测先前已由所述第二分组处理设备对所述数据分组执行一个或多个过滤器,所述方法还包括:确定所述第一分组处理设备是否正在使用标记信息或拓扑结构信息来确定应对接收到的分组进行什么处理,如果所述第一分组处理设备处于使用标记信息的模式,则检查所接收分组的一个或多个字段以确定对该分组是否执行处理,响应于对该分组执行处理,确定已对该分组执行哪种处理,并且确定对该接收到的分组是否执行处理,响应于对该接收到分组执行处理确定已经由所述第一分组处理设备对接收到的分组执行哪种处理;以及如果所述第一分组处理设备处于使用拓扑结构信息的模式,则检查所述分组的一个或多个分组地址字段并且分组寻址信息被与拓扑结构信息一起用来确定对该分组是否执行处理,响应于对该分组执行处理,确定已对分组执行哪种处理,并且确定对该接收到的分组是否执行处理,响应于对该接收到分组执行处理,确定应由所述第一分组处理设备对所接收到的分组执行哪种处理。...
【技术特征摘要】
【专利技术属性】
技术研发人员:马克·维勒比克勒迈尔,布赖恩·C·史密斯,
申请(专利权)人:惠普公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。