确定针对由作为分组检查设备的集合的一部分的特定分组检查设备接收的数据单元的负载分配,其中集合中的分组检查设备审查对应的所接收的数据单元的内容。对于由特定分组检查设备接收的对应数据单元,所确定的负载分配有助于将对应数据单元保持在特定分组检查设备处。基于关于至少特定分组检查设备的利用率的度量信息,动态修改负载分配。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
分组检查设备可以被部署在网络中以检查通过网络传送的数据分组的内容。当被用于应用网络安全时,分组检查技术在多个协议层处被采用以识别可疑或恶意分组。在其它示例中,分组检查还可以被应用在其它领域中。随着联网技术的使用持续增长,分组检查设备的性能被调节以提供检查日益增加的网络业务水平的能力。附图说明关于以下附图描述一些实施例:图1是依照一些实现的包括布置在堆叠中的分组检查设备的示例布置的框图;图2是依照一些实现的示例分组检查设备的框图;图3是根据一些实现的动态负载分配过程的流程图;以及图4是根据一些实现的再平衡过程的流程图。具体实施方式为了增进系统执行被传送至网络的数据分组的分组检查的总体能力,可以在堆叠中布置多个分组检查设备。分组检查设备的堆叠可以是指分组检查设备的任何集合,其中集合中的分组检查设备是使用互连链路(例如高速互连链路)互连的。在一些示例中分组检查设备的堆叠可以是指这样的分组检查设备的物理堆叠,其中可以将一个分组检查设备物理地放置在另一分组检查设备之上。在其它示例中,分组检查设备的堆叠不必是一个在彼此顶上物理地堆叠的,而是可以被提供在允许分组检查设备的互连的一个或多个外壳中。在一些实现中,每一个分组检查设备可以具有使用诸如以太网协议之类的任何合适网络协议而连接到网络的能力。在替换实现中,仅分组检查设备的子集可以连接到网络。分组检查可以涉及审查分组的内容,其中所审查的内容包括分组的有效载荷且可能包括分组的报头。“分组”可以是指用于在电子设备之间承载数据的任何类型的数据单元。作为示例,分组可以包括互联网协议(IP)分组、以太网帧或任何其它类型的数据单元。审查分组的内容可以出于各种目的而执行,包括安全目的(例如识别或阻挡未经授权的入侵、检测或阻挡诸如病毒或蠕虫之类的恶意软件、检测或阻挡垃圾邮件、检测协议非遵从、控制应用等等)。用于检测协议非遵从的分组检查试图识别未遵照或遵从一个或多个标准的数据。用于控制应用的分组检查可以涉及基于一个或多个准则而防止应用的执行或允许应用的执行。还可以出于其它目的而执行分组检查,诸如为了执行数据挖掘(以分析分组的内容来更好地理解通过网络传送的信息)、窃取(例如由政府机构或企业窃取)内容、审阅、系统监视(例如,以确定在诸如网络之类的系统中正在发生什么)等等。分组检查的示例类型是深层分组检查(DPI),其审查多个协议层处的分组的内容。由分组检查执行的分组检查与分组的仅报头的检查相区别,后者典型地由交换机或路由器出于将分组路由至目的地的目的而完成。为了避免在存在传入业务时使堆叠中的特定分组检查设备负担过重,可以实现负载分配机制或技术以允许一些传入分组从一个分组检查设备分配到堆叠中的另一分组检查设备。然而,与在堆叠中的分组检查设备之间分组的分配相关联的挑战是:在堆叠的分组检查设备之间分配的业务的量可能相对高。在装备成本和部署成本方面,不得不增加堆叠的分组检查设备之间的网络连接性的带宽以容纳分组检查设备之间相对高量的分配业务可能导致增加的成本。另一问题涉及流亲和性,其规定:给定业务流的分组要由相同分组检查设备处置。在一些示例中,为了提供流亲和性,可以在传入分组中的某些信息上应用散列函数(或其它函数),其中信息可以包括协议、源地址和目的地地址。在分组的特定字段上应用散列函数产生映射到表的对应条目的散列值(或其它值),其中该条目包含涉及要检查分组的特定分组检查设备的值。在一些情况中,流亲和性可能导致相对大数目的分组被从入口分组检查设备转发到另一分组检查设备,这可能引起互连链路上的增加的业务。而且,一些业务流可能消耗比其它业务流更多的资源,使得分组检查设备之间的业务流的分组的均匀分配可能仍引起分组检查设备上的不均匀负载。而且,在一些情况中,负载分配机制或技术可能假定:堆叠的分组检查设备全部都具有在处理传入业务方面相同的能力,这可能并不正确。依照一些实现,提供了允许堆叠的分组检查设备之间的传入分组的动态分配的技术或机制,其中该技术或机制采用有助于将给定分组保持在接收了该给定分组的入口分组检查设备处的负载分配策略。在一些实现中,负载分配策略可以由堆叠中的主设备控制,在如何分配业务方面引导每一个堆叠成员。有助于将分组保持在接收了相应分组的入口分组检查设备处的负载分配策略允许必须在堆叠的分组检查设备之间分配的分组的量的减少。由此,分组检查设备的堆叠可以是利用具有简化的带宽规范的互连链路设计和实现的,这可以允许堆叠被部署有更加成本高效的网络连接性基础设施且允许堆叠更好地缩放。此外,分组检查设备的堆叠处的传入分组的动态分配可以基于涉及分组检查设备和/或堆叠的互连链路的利用率的所监视的度量。例如,随着特定分组检查设备的利用率逼近预定义阈值,附加的传入分组可以被从该特定分组检查设备重定向到堆叠的另一分组检查设备。以此方式,负载分配策略试图将传入业务保持在入口分组检查设备处,同时还允许当任何入口分组检查设备具有逼近预定义阈值的利用率时在堆叠的其它成员处处理传入分组的溢出容量。还可以考虑其它因素,如以下进一步解释的那样。依照一些实现,可以改善分组检查设备的堆叠的总体的总性能,并且可以减小分组检查设备之间的相对低网络连接性带宽对性能的任何不利影响。图1是包括具有分组检查设备106-1、106-2、106-3、……、106-n的堆叠104的检查系统102的示例布置的框图,其中n表示堆叠104中的分组检查设备的数目。在一些示例中,可以仅存在两个分组检查设备,使得n等于2,而在其它示例中,n可以大于或等于3。检查系统102可以是入侵防护系统,例如,用于保护内部网络106免受外部网络108中的网络设备的未经授权的访问。内部网络106可以是诸如与企业(例如商行、政府机构、教育组织等)相关联的网络之类的企业网络。作为另一示例,内部网络106可以是用户的家庭网络。作为另外的示例,内部网络106可以是因特网服务提供商的网络。处于内部网络106外的外部网络108可以包括因特网或某其它网络。在其它示例中,检查系统102可以用于其它目的,诸如以上进一步讨论的那些目的。检查系统102的第一侧耦合到外部网络108的网络链路110。网络设备112通过网络链路110耦合到检查系统102。检查系统102的第二侧耦合到内部网络106的网络链路116。网络设备114通过网络链路116耦合到检查系统102。网络链路110或116可以是有线链路、无线链路或者有线和无线链路的组合。尽管在相应网络108或106中描绘了仅一个网络链路110或116,但是要指出的是,可以存在连接到检查系统102的分组检查设备106-1至106-n的多个网络链路。尽管在相应网络108或106中的每一个中描绘了仅一个网络设备112或114,但是要指出的是,在相应网络中可以存在附加网络设备。外部网络108中的(源)网络设备112能够发送以内部网络106中的目的地(例如网络设备114)为目标的分组。在其中检查系统102是入侵防护系统或被用于审阅的示例中,分组本文档来自技高网...
【技术保护点】
一种方法,包括:由控制器确定针对由作为分组检查设备的集合的一部分的特定分组检查设备接收的数据单元的负载分配,其中所述集合中的分组检查设备审查对应的所接收的数据单元的内容,并且其中,对于由所述特定分组检查设备接收的对应数据单元,所确定的负载分配有助于将对应数据单元保持在所述特定分组检查设备处;以及基于关于至少所述特定分组检查设备的利用率的度量信息,由所述控制器动态修改负载分配。
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:
由控制器确定针对由作为分组检查设备的集合的一部分的特定分组检查设备接收的数据单元的负载分配,其中所述集合中的分组检查设备审查对应的所接收的数据单元的内容,并且其中,对于由所述特定分组检查设备接收的对应数据单元,所确定的负载分配有助于将对应数据单元保持在所述特定分组检查设备处;以及
基于关于至少所述特定分组检查设备的利用率的度量信息,由所述控制器动态修改负载分配。
2.权利要求1的方法,还包括:
每一个分组检查设备审查相应数据单元的内容。
3.权利要求1的方法,其中负载分配由所述特定分组检查设备中的负载分配数据结构表示,并且其中确定负载分配和修改负载分配涉及更新负载分配数据结构的内容。
4.权利要求3的方法,其中负载分配数据结构具有多个条目,其中每一个条目包含对应于分组检查设备之一的目的地标识符。
5.权利要求4的方法,还包括:
由所述特定分组检查设备接收传入数据单元;
由所述特定分组检查设备将传入数据单元映射到负载分配数据接口的给定条目;以及
将传入数据单元定向到由给定条目中的目的地标识符指定的分组检查设备。
6.权利要求5的方法,其中映射包括对传入数据单元的地址应用函数以产生映射到给定条目的输出值。
7.权利要求1的方法,其中修改响应于指示数据单元应当被从所述特定分组检查设备重定向到另一分组检查设备的事件。
8.权利要求1的方法,还包括:
由所述控制器从所述集合的分组检查设备接收度量信息,其中度量信息是从涉及分组检查设备的性能的度量、涉及分组检查设备的可用容量的度量和涉及分组检查设备之间的互连链路的利用率的度量当中选择的。
9.一种特定分组检查设备,包括:
存储介质,存储包含涉及跨堆叠的分组检查设备的负载分配的信息的数据结构,其中数据结构中的信息是响应于关于分组检查设备的利用率的度量信息、基于来自堆叠中的主设备的输入而动态可修改的,并且其中涉及...
【专利技术属性】
技术研发人员:JM罗勒特,DE弗勒里,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。