在网络安全装置中高效地复制分组制造方法及图纸

一种网络安全装置，使用交换机来在被配置用于快路径处理的核和被配置用于慢路径处理的核之间交换分组。交换机将分组复制以便递送到慢路径处理核，消除了对于快路径处理核的将处理器资源花费在分组复制上的需要。交换机可以在分组中使用IEEE 802.1ad Q-in-Q VLAN标签，以执行交换和分组复制。慢路径处理核也可以将分组经由交换机广播到其它慢路径处理核。

【技术实现步骤摘要】
【国外来华专利技术】
本文中描述的实施例在总体上涉及网络安全领域，并且具体涉及一种用于改善网络安全装置的能力以使其以高吞吐量执行并发处理的技术。
技术介绍
网络安全设备保护网络免于不想要的网络通信量。这些设备起初是单处理器设备，但已利用了多处理器和多核处理器技术以允许对传入的分组进行并发处理。然而，在这样的网络安全设备中已出现了瓶颈，包括为了通过多处理器或多核进行处理而对传入的分组进行复制拷贝的高处理器成本。对分组进行拷贝是在计算上昂贵的操作，并且让一个处理器进行分组拷贝并将拷贝转发给若干个处理器或核的简单解决方案在高吞吐率下变得在计算上不可行。因此，网络安全设备已经无法达到期望的吞吐量和并发处理水平。附图说明图1是示出了根据现有技术的单处理器网络安全装置的一部分的方框图。图2是示出了根据现有技术的多核网络安全装置的一部分的方框图。图3是示出了根据一个实施例的多核网络安全装置的一部分的方框图。图4是示出了根据一个实施例的用于在网络安全装置中复制分组的技术的流程图。图5是示出了根据一个实施例的用于在网络安全装置中使用交换机来对分组进行路由的技术的流程图。图6是示出了根据一个实施例的网络安全装置的方框图。具体实施方式在下面的说明书中出于解释目的陈述了大量特定细节，以提供对本发明的透彻理解。然而，对于本领域技术人员而言显而易见的是，可以在没有这些具体细节的情况下实践本专利技术。在其它实例中，结构和设备以方框图形式示出，是为了避免使本专利技术难以理解。对不带下标或后缀的数字的引用，应被理解为是对与所引用的数字相对应的下标或后缀的所有实例的引用。此外，在本公开中使用的语言在原则上是为可读性和教学的目的而选择的，而不是为描绘或界定本专利技术主题而选择的，诉诸于权利要求为确定这样的专利技术主题所必要的。在本说明书中对“一个实施例”或“一实施例”的引用意味着，结合实施例描述的特定特征、结构或特性是包括在本专利技术的至少一个实施例中的，而对“一个实施例”或“一实施例”的多个引用不应被理解为全都必须引用同一实施例。如在本文中所用的，术语“计算机系统”可以意指用于执行被描述为在计算机系统上被执行的或由计算机系统执行的功能的单个计算机或一起工作的多个计算机。尽管如在本文中描述的，在多核处理器方面，其中多处理器功能是在单个集成电路管芯上可利用的或是在单个芯片封装中的多个管芯上可利用的，但在这里描述的技术和系统也可以在多处理器系统中实现，其中多个处理器中的每个分立地实现在不同的处理器封装上。出于本公开的目的，将“核”定义为这样的处理器：其或者被实现为多核处理器单元中的一个或者被实现为分立的处理器单元，无论是真实的还是虚拟的。尽管在本文中总体上所描述的在物理网络安全装置中实现，但所描述的技术也可实现在虚拟网络安全装置中，其中多处理器技术可以是执行网络安全功能的多处理器虚拟机或多个虚拟机。类似地，交换功能可以由物理硬件交换机设备提供，或可以在虚拟交换机中执行。在附图中，八核处理器被用作示例，但核(或处理器)的数量是示例性的且只是以举例的方式，并且网络安全功能可以用具有任何期望的数量的核的系统来实现。如本文中所用的，术语“网络装置”可以指用于执行被描述为在网络安全装置上被执行的或由网络安全装置执行的功能的单个网络安全装置或一起工作的多个网络安全装置。可以使用任何期望的处理器技术或核技术。本领域技术人员将会认识到，网络安全装置可以在计算机系统中实现，且也可以在必要时或根据需要包括计算机系统的其它元件，例如：存储器、输入设备例如键盘和鼠标，以及输出设备例如显示器，以及其它常见的部件例如在部件之间的链路。存储器可以包括易失性和非易失性的存储器设备，包括所有类型的允许存储指令的存储设备，所述指令当被执行时使得网络安全装置执行在本文中描述的各种技术的行为。因为这些常见的设备是本领域公知的，为清楚起见将它们从图上略去，且无需进一步描述。网络安全装置可以作为独立设备实施，或者可以通过嵌入在另一设备中来实施。尽管在本文中没有描述，可为网络安全装置提供用户接口或管理员接口以允许对网络安全装置进行配置。此外，尽管在本文中总体上所描述的在物理网络安全装置中实现，但所描述的技术也可实现在虚拟网络安全装置中，其中多处理器技术可以是执行网络安全功能的一个多处理器虚拟机或多个虚拟机。类似地，交换功能可以由物理硬件交换机设备提供，或可以在虚拟交换机中执行。如本文所使用的，术语“分组”和“帧”应被认为是可互换的。在附图中，八核处理器和四个网络接口被用作示例，但核的数量和网络接口的数量是示例性的且只是以举例的方式，并且网络安全功能可以用具有任何期望数量的核和网络接口的系统来实现。如图1中所示，根据现有技术的多千兆比特网络安全装置100的分组处理功能可被分成两个部分：快路径和慢路径。当从网络接口110接收到分组时，由网络安全装置100执行快路径操作120例如流表查找(flowtablelookup)，以确定是否需要对分组的更详细的检查(慢路径处理130)。然后，将该分组经慢路径处理或不经慢路径处理而转发出。在如图1中所示的网络安全装置100中，单个核可以提供快路径处理和慢路径处理两者，或者可以将第一核用于执行快路径处理120，并且将第二核用于执行慢路径处理130。为了在如图1所示的安全装置100中实现高吞吐量，必须使用非常快的核，这提高了网络安全装置100的成本。而且即使用最快的核，单流路径(singleflowpath)仍然限制了通过网络安全装置100的可能的吞吐量。快路径过程通常是那些只考虑分组的非有效载荷部分的过程，而慢路径过程通常是那些除了考虑分组头部之外或者替代考虑分组头部而通过考虑分组的有效载荷来执行深度分组检查(deeppacketinspection)的过程。然而，如在本文中所用的，任何分组分析过程根据期望可以是快路径过程或慢路径过程，尽管通常快路径过程与慢路径过程相比在计算上是不那么资源密集的(且因此是更快的)。利用多核处理器可以在多个核上实现快路径处理和慢路径处理，如在图2中的现有技术的网络安全装置200中所示。在此示例中，网络接口110与多核处理器210相通信，该多核处理器210使用基于流缓存的处理(flowcachebasedprocessing)来运用快路径处理，然后能够将慢路径处理切换给多核处理器230。尽管如图2中所示是在分立的多核处理器21本文档来自技高网...

【技术保护点】
一种其上存储有指令的非暂时性机器可读介质，包括当被执行时使得网络安全装置进行以下操作的指令：在第一核中对由所述网络安全装置所接收到的分组执行快路径处理；由所述第一核将第一虚拟局域网标签插入到所述分组中；基于所述第一虚拟局域网标签来将所述分组交换到第一组核；以及在所述第一组核中并发地执行慢路径处理。

【技术特征摘要】
【国外来华专利技术】1.一种其上存储有指令的非暂时性机器可读介质，包括当被执行时使
得网络安全装置进行以下操作的指令：
在第一核中对由所述网络安全装置所接收到的分组执行快路径处理；
由所述第一核将第一虚拟局域网标签插入到所述分组中；
基于所述第一虚拟局域网标签来将所述分组交换到第一组核；以及
在所述第一组核中并发地执行慢路径处理。
2.根据权利要求1所述的非暂时性机器可读介质，其中，存储在其上
的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指
令：
通过所述网络安全装置的网络接口来接收所述分组；
将第二虚拟局域网标签插入到所述分组中；以及
基于所述第二虚拟局域网标签将所述分组交换到所述第一核。
3.根据权利要求2所述的非暂时性机器可读介质，其中，存储在其上
的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指
令：
将所述第一核与由所述第二虚拟局域网标签所标识的第一虚拟局域网
相关联。
4.根据权利要求2和3中任一项所述的非暂时性机器可读介质，其中，
存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下
操作的指令：
将网络装置的交换机配置为基于所述第一虚拟局域网标签和所述第二
虚拟局域网标签来对分组进行交换。
5.根据权利要求1所述的非暂时性机器可读介质，其中存储在其上的
所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令：
从所述分组中移除所述第一虚拟局域网标签；
由第二核将第二虚拟局域网标签插入到所述分组中，其中，所述第二
核是所述第一组核中的成员；以及
基于所述第二虚拟局域网标签来将所述分组交换到第二组核。
6.根据权利要求1所述的非暂时性机器可读介质，其中，存储在其上
的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指
令：
将所述第一组核与由所述第一虚拟局域网标签所标识的第一虚拟局
域网相关联。
7.根据权利要求1-2和5-6中任一项所述的非暂时性机器可读介质，
其中，存储在其上的所述指令还包括当被执行时使得所述网络安全装置进
行以下操作的指令：
将网络装置的交换机配置为基于所述第一虚拟局域网标签来对分组进
行交换。
8.一种网络安全装置，包括：
第一核；
第一组核；
交换机，其连接到所述第一核和所述第二组核；
第一存储器，其连接到所述第一核，在所述第一存储器上存储有指令，
所述指令当被所述第一核执行时使得所述第一核进行以下操作：
对分组执行快路径处理；以及
将所述分组发送到所述交换机，所述交换机被编址到所述第一
组核中的子组；以及
第二存储器，其连接到所述第一组核，在所述第二存储器上存储有指
令，所述指令当被所述第一组核中的所述子组执行时使得所述第一组核中
的所述子组进行以下操作：
并发地对所述分组执行慢路径处理，
其中，所述交换机被配置为，复制从所述第一核接收的所述分组，并
且将所复制的分组发送到所述第一组核中的所述子组中的每个核。
9.根据权利要求8所述的网络安全装置，其中，所述交换机...

【专利技术属性】
技术研发人员：S·苏布拉马尼安，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US