專利名稱:優(yōu)化加密廣域網(wǎng)絡(luò)通信的制作方法
優(yōu)化加密廣域網(wǎng)絡(luò)通信 背景 經(jīng)營分公司的組織中的信息技術(shù)("IT")管理必須適應(yīng)類局部型應(yīng)用性能和可管 理性與部署成本之間經(jīng)常沖突的需求。為減少所有權(quán)的總成本("TCO"),存在其中將分公 司服務(wù)器合并,且將服務(wù)和應(yīng)用程序從LAN(局域網(wǎng))推送到被主存在來自一般位于企業(yè)的 總部位置的中樞的WAN(廣域網(wǎng))之間的趨勢(shì)。雖然此類分支和中樞體系結(jié)構(gòu)可以提供巨 大的成本效益,但是對(duì)WAN資源的依賴可能通常導(dǎo)致耗盡的帶寬和增加的最終用戶等待時(shí) 間。這通常導(dǎo)致在分公司的用戶體驗(yàn)的質(zhì)量與總公司的用戶體驗(yàn)的質(zhì)量相比之下的減少, 以及分公司中的生產(chǎn)力的總體損失。 對(duì)該問題的一個(gè)解決方案是增加更多廣域帶寬,且歷史上數(shù)據(jù)服務(wù)一般消耗企業(yè) IT預(yù)算的大部分。然而,帶寬的增量式增加可帶來不成比例的價(jià)格增加以及諸如網(wǎng)絡(luò)延遲 等限制因素,且應(yīng)用程序行為可能限制性能和帶寬投資的回報(bào)兩者。 WAN加速度解決方案顯示了設(shè)法通過最大化WAN利用(這通??梢匝舆t或消除購 買額外WAN帶寬的需要)來利用由集中式服務(wù)器提供的成本優(yōu)勢(shì)而不損失性能。盡管WAN 加速解決方案可提供顯著的效益并通常提供良好的投資回報(bào),但是當(dāng)前WAN加速解決方案 與諸如IPsec(網(wǎng)際協(xié)議安全)和SMB(服務(wù)器消息塊)等簽署啟用分支客戶機(jī)與中樞處 的服務(wù)器之間的安全通信的端對(duì)端數(shù)據(jù)完整性協(xié)議不兼容。雖然某些當(dāng)前解決方案使用 SSL(安全套接字層)加密來提供端對(duì)端的安全性,但是這些解決方案依賴于將私鑰部署在 中間設(shè)備,這可增加網(wǎng)絡(luò)對(duì)被稱為"中間人"攻擊的攻擊的易受攻擊性。
提供本背景來介紹以下概述和詳細(xì)描述的簡要上下文。本背景不旨在幫助確定所 要求保護(hù)的主題的范圍,也不旨在被看作將所要求保護(hù)的主題限于解決以上所提出的問題 或缺點(diǎn)中的任一個(gè)或全部的實(shí)現(xiàn)。
概述 在WAN上流動(dòng)的加密通信的優(yōu)化由其中WAN壓縮分布在中樞(hub)和分支網(wǎng)絡(luò)的 子網(wǎng)中的端點(diǎn)(即,客戶機(jī)器或服務(wù)器)與該子網(wǎng)中的WAN壓縮服務(wù)器之間的安排提供。在 一個(gè)或多個(gè)端點(diǎn)中的每一個(gè)上運(yùn)行的WAN壓縮的客戶端部分與由子網(wǎng)中的端點(diǎn)見到的數(shù) 據(jù)的可隨意處置本地高速緩存接口,其用于使用基于庫(dictionary)的壓縮技術(shù)來壓縮 和解壓縮通信。子網(wǎng)中的本地WAN壓縮服務(wù)器存儲(chǔ)在子網(wǎng)中所見到的所有WAN通信的共享 中央數(shù)據(jù)庫,它用于填充端點(diǎn)中的可隨意處置本地?cái)?shù)據(jù)高速緩存。 在說明性示例中,在出站通信被加密之前端點(diǎn)截取出站通信。使用依賴于在子網(wǎng) 中的端點(diǎn)處本地高速緩存的庫的基于庫的壓縮,或通過使用從存儲(chǔ)在本地WAN壓縮服務(wù)器 上的中央數(shù)據(jù)庫下載的庫來執(zhí)行WAN優(yōu)化。 一旦被優(yōu)化,通信被向下傳給TCP/IP (傳輸控 制協(xié)議/網(wǎng)際協(xié)議)棧,并在通過WAN鏈接將該通信發(fā)送到中樞和分支網(wǎng)絡(luò)的遠(yuǎn)程子網(wǎng)之 前使用IPsec來加密該通信。遠(yuǎn)程子網(wǎng)處的端點(diǎn)解密該通信,并隨后使用本地高速緩存的 庫,或通過使用從遠(yuǎn)程子網(wǎng)上的中央WAN壓縮服務(wù)器下載的庫來解壓縮該通信。
有利地,用于優(yōu)化加密WAN通信的本安排增加了 WAN利用率以顯著地改善分支子 網(wǎng)處的用戶體驗(yàn)的質(zhì)量,同時(shí)通過IPsec加密來維護(hù)端對(duì)端的安全性并降低成本。此外,此
4類性能、安全性、以及成本減少是在不使用額外中間設(shè)備以及私鑰的情況下達(dá)成的,以避免 中間人易受攻擊性。 提供本概述是為了以簡化的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概 念。本概述不旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于幫助確定 所要求保護(hù)的主題的范圍。
附圖描述
圖1示出在每一子網(wǎng)中使用WAN壓縮服務(wù)器的說明性中樞和分支網(wǎng)絡(luò); 圖2示出其中使用位于網(wǎng)絡(luò)中的每一端點(diǎn)處的軟件來實(shí)現(xiàn)WAN壓縮的說明性中樞
和分支網(wǎng)絡(luò); 圖3示出其中使用分布式體系結(jié)構(gòu)來實(shí)現(xiàn)WAN壓縮的說明性中樞和分支網(wǎng)絡(luò); 圖4示出在WAN壓縮服務(wù)器中實(shí)現(xiàn)的一組說明性組件; 圖5示出在中樞和分支網(wǎng)絡(luò)中的端點(diǎn)處實(shí)現(xiàn)的一組說明性組件; 圖6示出用于截取端點(diǎn)處的通信的第一說明性體系結(jié)構(gòu); 圖7示出用于截取端點(diǎn)處的通信的第二說明性體系結(jié)構(gòu);以及 圖8是用于在中樞和分支網(wǎng)絡(luò)中實(shí)現(xiàn)WAN壓縮的說明性方法的流程圖。 各附圖中的相同的附圖標(biāo)記指示相同的元素。 詳細(xì)描述 圖1示出其中分支105通過WAN鏈接116耦合到中樞112的說明性中樞和分支網(wǎng) 絡(luò)100。使用術(shù)語"分支"來描述任何大小的組織的遠(yuǎn)程位置,該遠(yuǎn)程位置連接到由例如作 為總公司或總部的一部分的"中樞"提供的資源的集合。分支105包括耦合到路由器1201 的多個(gè)客戶機(jī)器1181 、2……N,它們將通信置于WAN鏈接116上并從分支105與中樞112之 間的雙向鏈接中取得通信。客戶機(jī)器118—般運(yùn)行諸如文字處理、電子郵件、電子表格等商 業(yè)和生產(chǎn)應(yīng)用程序。 在中樞112處配置多個(gè)服務(wù)器1241、2……N以向分支105中的客戶機(jī)器118提供 服務(wù)。此類服務(wù)一般包括由文件服務(wù)器1241、郵件服務(wù)器1242以及web服務(wù)器124N提供 的那些服務(wù)。然而,要強(qiáng)調(diào)的是,這些服務(wù)器僅為說明性的,且服務(wù)器的實(shí)際數(shù)量和配置可 與所示的不同且一般將依賴于具體分支_中樞部署的需求。將服務(wù)器基礎(chǔ)結(jié)構(gòu)合并到中樞 112中通常允許所有維護(hù)、故障診斷、安全策略執(zhí)行、備份以及審計(jì)被中央地執(zhí)行,這可顯著 地降低大多數(shù)企業(yè)的TOC。 WAN鏈接116可在私有網(wǎng)絡(luò)和/或諸如因特網(wǎng)等公共網(wǎng)絡(luò)的部分上操作。WAN 116 是一般用于支持遠(yuǎn)程分支操作的許多當(dāng)前WAN的代表。典型的WAN問題包括高網(wǎng)絡(luò)延遲、 帶寬上的限制、以及分組丟失。此類限制可約束分支生產(chǎn)力。此外,在網(wǎng)絡(luò)100中操作的許 多商業(yè)或生產(chǎn)應(yīng)用程序是為LAN環(huán)境而開發(fā)的且未被特別地進(jìn)行WAN優(yōu)化。結(jié)果,認(rèn)識(shí)到, 優(yōu)化有限的可用WAN帶寬的利用率可顯著地對(duì)分支105中更好的用戶體驗(yàn)作出貢獻(xiàn)。優(yōu) 化WAN通信向用戶提供快速和響應(yīng)網(wǎng)絡(luò)的觀感以及更透明、更無縫、且類LAN的分支的總體 驗(yàn)。此外,許多企業(yè)將從因減少通過WAN鏈接116的通信而導(dǎo)致的降低的操作成本中獲益。
WAN壓縮服務(wù)器1261和1262按對(duì)稱配置位于網(wǎng)絡(luò)100的相應(yīng)子網(wǎng)(即,分支105 和中樞112)中。WAN壓縮服務(wù)器126位于WAN鏈接116的相對(duì)端的直接通信路徑中,且耦 合到路由器120。
在此說明性示例中,WAN壓縮服務(wù)器126用于通過優(yōu)化在鏈接上流動(dòng)的通信來克 服WAN鏈接116中的某些限制。此類優(yōu)化通常使用諸如無狀態(tài)與有狀態(tài)數(shù)據(jù)壓縮、高速緩 存、協(xié)議專用優(yōu)化、數(shù)據(jù)預(yù)取、基于策略的路由、服務(wù)質(zhì)量("QoS")技術(shù)等各種技術(shù)來實(shí)現(xiàn)。
數(shù)據(jù)壓縮算法通常標(biāo)識(shí)隨時(shí)間頻繁重復(fù)的相對(duì)較短的字節(jié)序列。這些序列被較短 的代碼段替換以減少在WAN鏈接上被傳輸?shù)臄?shù)據(jù)的大小。數(shù)據(jù)壓縮可使用包括諸如公知的 LZW(Lempel-Ziv-Welch)技術(shù)等無狀態(tài)壓縮以及諸如基于庫的壓縮等有狀態(tài)壓縮的各種方 法或算法來實(shí)現(xiàn)。庫壓縮依賴于在外部庫中存儲(chǔ)經(jīng)過壓縮引擎的所有數(shù)據(jù)。除了存儲(chǔ)數(shù) 據(jù)之外,壓縮引擎標(biāo)識(shí)已經(jīng)見過的數(shù)據(jù)并使用一小得多的對(duì)庫中的索引的引用來替換該數(shù) 據(jù),從而允許了該數(shù)據(jù)的后續(xù)解壓縮。 高速緩存需要WAN壓縮服務(wù)器126通過觀察所有請(qǐng)求并保存響應(yīng)的副本來模擬應(yīng) 用服務(wù)器。如果從客戶機(jī)器118作出對(duì)同一文件的另一請(qǐng)求,則WAN壓縮服務(wù)器126用作 代理,且在向該服務(wù)器確認(rèn)文件未被更改后,可從其高速緩存提供文件。
基于策略的路由一般用于實(shí)現(xiàn)按應(yīng)用程序、按用戶、或根據(jù)通信的特征(例如,來 源和/或目的地地址)來分類通信并對(duì)通信區(qū)分優(yōu)先級(jí)的服務(wù)質(zhì)量技術(shù)。與排隊(duì)結(jié)合,基于 策略的路由可分配可用WAN帶寬以確保與某些應(yīng)用程序相關(guān)聯(lián)的通信不中斷企業(yè)重要的 通信。優(yōu)化可使用例如使用基于策略的QoS以用特定的區(qū)分服務(wù)代碼點(diǎn)(Differentiated Services Code Point, "DSCP")值來標(biāo)記出站通信而實(shí)現(xiàn)。具有DSCP能力的路由器讀取 DSCP值并將通信轉(zhuǎn)發(fā)到到基于優(yōu)先級(jí)被服務(wù)的特定隊(duì)列(例如,高優(yōu)先級(jí)隊(duì)列、最大努力、 次于最大努力等)中。 所利用的具體技術(shù)可隨著部署變化,但大多數(shù)類型的壓縮服務(wù)器一般利用各種形 式的數(shù)據(jù)壓縮。然而,被加密的數(shù)據(jù)通常被壓縮算法視作隨機(jī)數(shù)據(jù),這使得加密的數(shù)據(jù)基本 上不可能被壓縮。 因?yàn)榧用芡ㄐ挪贿m于壓縮,所以可在沒有加速加密通信情況下安排圖1所示的中 樞和分支安排,這將導(dǎo)致重大的性能損失。或者,可加速但不加密通信,這可能引起重大的 安全易受攻擊性。 另一替換是在分支和中樞兩者處利用中間設(shè)備或服務(wù)器,這些中間設(shè)備或服務(wù)器 終止SSL(安全套接字層)通信并隨后解密、存儲(chǔ)數(shù)據(jù)的分段以供將來引用,并對(duì)其重新加 密。將之后通過這些設(shè)備的通信與這些分段相比較。當(dāng)正在發(fā)送的數(shù)據(jù)與分段匹配時(shí),這 些設(shè)備發(fā)送緊湊引用而不是較長的完整分段,從而減少了必須跨越WAN鏈接的通信量。在 某些情況下,設(shè)備使用服務(wù)器的私鑰來解密在WAN鏈接上使用的會(huì)話密鑰。
雖然SSL的使用可為分支與中樞之間的通信提供合乎需要的端對(duì)端安全性,但是 中間設(shè)備有所不足。通常以不加密的形式來存儲(chǔ)被存儲(chǔ)的分段,這可能帶來某些安全易受 攻擊性。此外,通過將私鑰置于中間設(shè)備上,存在安全漏洞可能被打開并以中間人攻擊通過 設(shè)備來訪問安全漏洞的增加的風(fēng)險(xiǎn)。 圖2示出其中使用位于網(wǎng)絡(luò)中的客戶機(jī)器218和服務(wù)器224(被稱為"端點(diǎn)")中 的每一個(gè)處的軟件20612..,來實(shí)現(xiàn)1顏壓縮的說明性中樞和分支網(wǎng)絡(luò)。在此說明性安排中,
從WAN鏈接216上的通信路徑中移除WAN壓縮服務(wù)器。代替地,每一端點(diǎn)處的通信在被移 交給TCP/IP棧之前被壓縮、加密(例如,使用IPsec)、且由路由器220放置到WAN鏈接216 上。在接收端點(diǎn)處,該通信被解密、解壓并遞送到合適的進(jìn)程或應(yīng)用程序。因此,受IPsec
6保護(hù)的通信如參考標(biāo)號(hào)230所示地遍歷各端點(diǎn)之間的WAN鏈接216(雖然說明性地在端點(diǎn) 218,與224之間示出安全通信,但是應(yīng)該注意,此類通信通常可在分支205中的任何端點(diǎn)與 中樞212中的任何端點(diǎn)之間流動(dòng))。 雖然將WAN壓縮移動(dòng)到端點(diǎn)為通信提供了端對(duì)端的安全性,但是丟失了由如圖1 所示的WAN壓縮服務(wù)器提供的一個(gè)主要優(yōu)勢(shì)。具體而言,數(shù)據(jù)減少和高速緩存不能在子網(wǎng) 基礎(chǔ)上來執(zhí)行且相反限于在特定端點(diǎn)處見到的通信。此外,被高速緩存的數(shù)據(jù)的大小即使 在單個(gè)機(jī)器的范圍內(nèi)時(shí)也可對(duì)可用資源造成顯著的影響,尤其當(dāng)客戶機(jī)器218可能在處理 器功率、存儲(chǔ)器、以及存儲(chǔ)方面受限。 分別在圖1和圖2中示出的并在相關(guān)文本中描述的WAN壓縮服務(wù)器和在端點(diǎn)處執(zhí) 行的WAN壓縮的限制被圖3-8中示出并在相關(guān)文本中描述的用于優(yōu)化加密WAN通信的本安 排克服。 圖3示出其中使用分布式體系結(jié)構(gòu)來實(shí)現(xiàn)WAN壓縮的說明性中樞和分支網(wǎng)絡(luò)300 。 在分支305和中樞312中分別使用WAN壓縮服務(wù)器326工和3262。如圖4所示,每一 WAN壓 縮服務(wù)器326被安排成將之前見到的通信的共享中央數(shù)據(jù)庫405存儲(chǔ)在子網(wǎng)中作為對(duì)其進(jìn) 行索引以支持基于庫的壓縮的庫。要強(qiáng)調(diào)的是,雖然在此示例中使用基于庫的壓縮,但是用 于優(yōu)化加密WAN通信的本安排不限于基于庫的壓縮,且可使用可能是滿足具體實(shí)現(xiàn)的要求 所需的其它壓縮技術(shù)。如參考標(biāo)號(hào)416所示,還安排WAN壓縮服務(wù)器326執(zhí)行用于經(jīng)由路 由器32(^和3202 (圖3)的穿過WAN鏈接316的非加密通信的常規(guī)WAN優(yōu)化。
再次參考圖3,WAN壓縮的客戶端部分(如參考標(biāo)號(hào)306u…w)也被包括在網(wǎng)絡(luò)300 中的端點(diǎn)(即,客戶機(jī)器318u,.,和服務(wù)器324u..,)中的一個(gè)或多個(gè)上,以使得通信在被加 密并通過WAN鏈接316發(fā)送之前被截取并壓縮。在此說明性示例中,使用如參考標(biāo)號(hào)330 所示的IPsec來加密通信。 圖5示出在網(wǎng)絡(luò)中的端點(diǎn)處實(shí)現(xiàn)的一組說明性組件。圖5所示的端點(diǎn)是客戶機(jī)器 318,然而要強(qiáng)調(diào)的是,類似的組件通常以對(duì)稱的形式在網(wǎng)絡(luò)300中的相對(duì)子網(wǎng)中的端點(diǎn)處 實(shí)現(xiàn)。如圖所示,客戶端部分316工與數(shù)據(jù)庫高速緩存505和通信截取功能513進(jìn)行接口。
根據(jù)被制定來限制客戶機(jī)器的資源不被過量使用的可能性的高速緩存策略將由 端點(diǎn)見到的通信存儲(chǔ)在可隨意處置本地高速緩存505中。如下文所述,高速緩存505在執(zhí) 行基于庫的壓縮和解壓縮時(shí)由端點(diǎn)使用,且可在必要時(shí)使用來自中央數(shù)據(jù)庫405(圖4)的 庫對(duì)高速緩存505進(jìn)行補(bǔ)充和更新。 利用通信截取功能513來截取穿過WAN鏈接316往來于中樞312的通信,以使得 客戶端部分3061可壓縮出站通信并解壓縮到端點(diǎn)的入站通信。從而安排通信截取功能513 與端點(diǎn)上的TCP/IP棧520進(jìn)行接口 。 TCP/IP棧520進(jìn)而與IPsec驅(qū)動(dòng)器526進(jìn)行接口 , 該IPsec驅(qū)動(dòng)器526經(jīng)由路由器320通過WAN鏈接316發(fā)送并接收受IPsec保護(hù)的IP分 組532。 可依賴于由特定端點(diǎn)利用的操作系統(tǒng)("OS")來不同地實(shí)現(xiàn)通信截取功能513。 例如,如圖6所示,對(duì)在各個(gè)客戶機(jī)器318和服務(wù)器324上使用微軟Windows XP⑧.和 Windows Server 2003的端點(diǎn)而言,這些端點(diǎn)利用傳輸驅(qū)動(dòng)器接口 605 ( "TDI"),該傳輸 驅(qū)動(dòng)器接口是用于與TCP/IP棧520中的網(wǎng)絡(luò)傳輸協(xié)議通信的通用接口 。 TCP/IP棧520包 括傳輸層612,該傳輸層包含TCP和UDP (用戶數(shù)據(jù)報(bào)協(xié)議)的實(shí)現(xiàn)以及發(fā)送不需要TCP或UDP頭部的原始IP分組的機(jī)制。TCP/IP棧520還包括包含諸如IPv4或IPv6等網(wǎng)際協(xié)議 的實(shí)現(xiàn)的網(wǎng)絡(luò)層616。成幀(framing)層619包含構(gòu)成IPv4或IPv6分組的模塊。
圖7示出例如被使用微軟Windows VistaTM或微軟Windows Server 2008 (之 前以其代號(hào)"Longhorn"為人所知)操作系統(tǒng)的端點(diǎn)利用的通信截取功能的替換說明性實(shí) 現(xiàn)。此處,安排TCP/IP棧520展示允許WAN壓縮的客戶端部分306訪問傳輸層612和網(wǎng)絡(luò) 層616兩者處的分組處理路徑的窗口過濾平臺(tái)("WFP")調(diào)出API 710(應(yīng)用程序編程接 口)。然而,注意,此TDI也由Windows Vista和Windows Server 2008支持以維護(hù)對(duì)基于 TDI的客戶機(jī)和進(jìn)程的向后兼容性。 圖8是用于在圖3所示的中樞和分支網(wǎng)絡(luò)300中實(shí)現(xiàn)本分布式WAN壓縮的說明性 方法800的流程圖。該方法在框805處開始。在框810,啟動(dòng)端點(diǎn)(即,客戶機(jī)器318或服 務(wù)器324)上的WAN壓縮的客戶端部分306??蛻舳瞬糠?06通過在子網(wǎng)(即,分支305或 中樞312)內(nèi)廣播或通過在端點(diǎn)中預(yù)先配置WAN壓縮服務(wù)器的名稱來執(zhí)行該子網(wǎng)中的本地 WAN壓縮服務(wù)器326的發(fā)現(xiàn)。 在框815,一旦與本地WAN壓縮服務(wù)器326的連接成功建立,端點(diǎn)即下載已知對(duì)等 體(即,網(wǎng)絡(luò)中也運(yùn)行WAN壓縮的客戶端部分306的實(shí)例的其它端點(diǎn))的列表。該端點(diǎn)還 下載最近在每一對(duì)等體見到的數(shù)據(jù)的簽名。 在框820,該端點(diǎn)隨后確定源自該端點(diǎn)的通信是否將被加密。在此說明性示例中, 利用了IPsec。因此,可通過檢查IPsec策略來完成判定。或者,可檢查并分析網(wǎng)絡(luò)數(shù)據(jù)。 在兩種情況下,判定步驟的目標(biāo)都是標(biāo)識(shí)通過WAN鏈接316從本地子網(wǎng)出發(fā)的一個(gè)或多個(gè) 加密流。 在框825,如果流的目的地是一未知遠(yuǎn)程端點(diǎn),則例如使用保留的TCP/UDP端口或 通過用于方便端點(diǎn)發(fā)現(xiàn)的其它方法的使用來啟動(dòng)自動(dòng)發(fā)現(xiàn)例程。如果發(fā)現(xiàn)遠(yuǎn)程端點(diǎn)包括 WAN壓縮的客戶端部分306,則向本地WAN壓縮服務(wù)器326回報(bào)遠(yuǎn)程端點(diǎn)的地址。以一種對(duì) 稱的方式,向遠(yuǎn)程WAN壓縮服務(wù)器326報(bào)告啟動(dòng)自動(dòng)發(fā)現(xiàn)例程的端點(diǎn)的地址。
在框830,使用各種替換技術(shù)之一來將壓縮應(yīng)用到通信。此類技術(shù)包括例如應(yīng)用于 一分組或一組分組的LZW壓縮、或基于庫的壓縮等。還可使用例如常規(guī)代理方法或使用諸 如搜集/分散等集體操作來將壓縮應(yīng)用到相同TCP流上的分組。 如框830A-F所示,壓縮步驟包括考慮到多個(gè)考量的子步驟。在框830A,端點(diǎn)被配 置成記住當(dāng)前被其以及子網(wǎng)中的其它對(duì)等體見到的數(shù)據(jù)。將該數(shù)據(jù)本地高速緩存在通信數(shù) 據(jù)庫高速緩存505 (圖5)中并周期性地將其連同伴隨框815的文本所述的簽名一起上傳到 本地WAN壓縮服務(wù)器326處的中央通信數(shù)據(jù)庫(例如,圖4中的數(shù)據(jù)庫405)。
在框830B,使用現(xiàn)有的本地高速緩存的庫(例如,在端點(diǎn)對(duì)等體中的每一個(gè)處的 圖5中的高速緩存505中的那些)來壓縮正從該端點(diǎn)發(fā)送的通信。使用從子網(wǎng)中的本地 WAN壓縮服務(wù)器326下載的當(dāng)前簽名來確定執(zhí)行壓縮的最佳庫集合。將立即使用被本地高 速緩存的庫來執(zhí)行壓縮。如果在子網(wǎng)中沒有足夠的本地高速緩存的庫,則端點(diǎn)可下載中央 庫的合適部分(例如,從圖4中的中央數(shù)據(jù)庫405)。每一端點(diǎn)還可被配置成處置來自其高 速緩存中的那些庫,例如在等于某預(yù)先確定的閾值的一段時(shí)間中不被使用的庫,或使用其 它處置準(zhǔn)則或方法。 在框830C,使用子網(wǎng)中的端點(diǎn)對(duì)等體中的現(xiàn)有高速緩存庫來解壓縮從遠(yuǎn)程端點(diǎn)接
8收到的通信。從WAN壓縮服務(wù)器326下載在接收端點(diǎn)中的本地高速緩存505(圖5)中不可 用的、由遠(yuǎn)程端點(diǎn)使用來壓縮通信的庫。將這些被下載的庫高速緩存在端點(diǎn)庫高速緩存505 中以供可能的將來使用。執(zhí)行該壓縮的端點(diǎn)可被進(jìn)一步配置成向執(zhí)行解壓縮的端點(diǎn)提供提 示以允許此端點(diǎn)預(yù)取執(zhí)行該解壓縮所需的合適庫。 在框830D,子網(wǎng)中的端點(diǎn)中的一個(gè)或多個(gè)將根據(jù)本地WAN壓縮服務(wù)器326周期性 地刷新簽名和已知對(duì)等體的當(dāng)前列表。這通常通過下載使用所存儲(chǔ)的簽名和對(duì)等體列表 與被刷新的列表之間的增量的形式的改變來達(dá)成。在框830E,端點(diǎn)中的一個(gè)或多個(gè)將周期 性地將其庫從本地高速緩存505 (圖5)上傳到本地WAN壓縮服務(wù)器326中的中央數(shù)據(jù)庫 405 (圖4)。 在框830F,每一子網(wǎng)中的WAN壓縮服務(wù)器326通過WAN鏈接316彼此通信,以在來 自其相應(yīng)的中央通信數(shù)據(jù)庫的數(shù)據(jù)變得過時(shí)同步這些數(shù)據(jù)的清除。此外,如上所述,WAN壓 縮服務(wù)器326可使用例如常規(guī)IP隧道(t皿neling)技術(shù)來執(zhí)行WAN壓縮和非加密通信的 優(yōu)化。該說明性方法800在框835處結(jié)束。 盡管用結(jié)構(gòu)特征和/或方法動(dòng)作專用的語言描述了本主題,但可以理解,所附權(quán) 利要求書中定義的主題不必限于上述特定特征或動(dòng)作。相反,上述具體特征和動(dòng)作是作為 實(shí)現(xiàn)權(quán)利要求的示例形式公開的。
權(quán)利要求
一種由分支和中樞網(wǎng)絡(luò)(300)的子網(wǎng)(305)中的網(wǎng)絡(luò)端點(diǎn)(318)執(zhí)行的用于優(yōu)化WAN鏈接(316)上的通信的方法,所述方法包括以下步驟在預(yù)定被加密為安全流的出站通信被加密之前截取所述出站通信;使用在所述網(wǎng)絡(luò)端點(diǎn)處高速緩存的數(shù)據(jù)來壓縮所述被截取的通信,所述數(shù)據(jù)包括庫數(shù)據(jù)或是代表之前在所述子網(wǎng)中觀察到的通信的通信數(shù)據(jù)中的至少一個(gè);以及與位于所述子網(wǎng)(305)上的中央服務(wù)器(326)通信以接收對(duì)所述數(shù)據(jù)的更新。
2. 如權(quán)利要求l所述的方法,其特征在于,其中所述中央服務(wù)器(126)是WAN壓縮服務(wù) 器而所述端點(diǎn)(318)是分支和中樞網(wǎng)絡(luò)(300)的分支(305)子網(wǎng)中的客戶機(jī)計(jì)算機(jī),或是 分支和中樞網(wǎng)絡(luò)(300)的中樞(312)子網(wǎng)中的服務(wù)器(324)。
3. 如權(quán)利要求1所述的方法,其特征在于,其中使用無狀態(tài)壓縮或有狀態(tài)壓縮之一來 執(zhí)行所述壓縮。
4. 如權(quán)利要求l所述的方法,其特征在于,還包括在所述端點(diǎn)(318)中的本地高速緩存 (505)中保留所截取的通信的步驟。
5. 如權(quán)利要求4所述的方法,其特征在于,還包括將所保留的通信的簽名上傳到所述 中央服務(wù)器(326)的步驟。
6. 如權(quán)利要求1所述的方法,其特征在于,還包括在所述通信通過所述WAN鏈接(316) 被傳輸之前加密所述壓縮通信的步驟。
7. 如權(quán)利要求l所述的方法,其特征在于,其中通過TCP/IP棧(520)來執(zhí)行所述截取。
8. 如權(quán)利要求6所述的方法,其特征在于,其中使用IPsec來執(zhí)行所述加密。
9. 如權(quán)利要求l所述的方法,其特征在于,其中所述更新包括指示由所述子網(wǎng)(305)中 的所述端點(diǎn)(318)的一個(gè)或多個(gè)對(duì)等體觀察到的通信的簽名。
10. 如權(quán)利要求1所述的方法,其特征在于,其中所述更新包括存儲(chǔ)在所述中央服務(wù)器 (326)處的庫數(shù)據(jù)或數(shù)據(jù)簽名。
11. 如權(quán)利要求l所述的方法,其特征在于,其中之前在所述子網(wǎng)(305)中被觀察到的 所述通信是由所述端點(diǎn)(318)的對(duì)等體或由所述中央服務(wù)器(318)觀察到的。
12. 如權(quán)利要求l所述的方法,其特征在于,還包括使用在所述網(wǎng)絡(luò)端點(diǎn)(318)處高 速緩存的數(shù)據(jù)來解壓縮入站通信的步驟,所述數(shù)據(jù)包括庫數(shù)據(jù)或是表示之前在所述子網(wǎng)(305) 中觀察到的通信的通信數(shù)據(jù)中的至少一個(gè)。
13. 如權(quán)利要求12所述的方法,其特征在于,其中所述遠(yuǎn)程子網(wǎng)(312)中的遠(yuǎn)程端點(diǎn)(306) 向所述網(wǎng)絡(luò)端點(diǎn)(318)發(fā)送提示,所述提示被安排成指示要預(yù)取的庫數(shù)據(jù),所述庫數(shù) 據(jù)可用于解壓縮所述入站通信。
14. 一種用于在服務(wù)器(326》與端點(diǎn)(318)之間分發(fā)WAN優(yōu)化的方法,所述服務(wù)器 (326》和端點(diǎn)(318)位于中樞和分支網(wǎng)絡(luò)(300)的子網(wǎng)(305)中,所述方法包括以下步驟在所述服務(wù)器(326》上的通信數(shù)據(jù)庫(405)中存儲(chǔ)指示觀察到的流入和流出所述子 網(wǎng)(305)的通信的數(shù)據(jù);在所述服務(wù)器(326》上的中央庫存儲(chǔ)中存儲(chǔ)可由所述端點(diǎn)(318)用來相應(yīng)地壓縮并 解壓縮流出和流入所述子網(wǎng)(305)的通信的庫;以及從所述通信數(shù)據(jù)庫(405)或中央庫存儲(chǔ)中的一個(gè)向所述端點(diǎn)(318)發(fā)送數(shù)據(jù),所述端 點(diǎn)(318)被安排成在出站通信被加密之前壓縮所述出站通信并進(jìn)一步在入站通信被解密之后解壓縮所述入站通信。
15. 如權(quán)利要求14所述的方法,其特征在于,還包括創(chuàng)建用于非加密通信的到遠(yuǎn)程服 務(wù)器(3262)的隧道的步驟。
16. 如權(quán)利要求14所述的方法,其特征在于,其中所述發(fā)送響應(yīng)于來自所述端點(diǎn)(318) 的請(qǐng)求執(zhí)行,或作為從所述服務(wù)器(326》到所述端點(diǎn)(318)的更新而被執(zhí)行。
17. —種由包括中樞和分支網(wǎng)絡(luò)(300)的子網(wǎng)(305)中的端點(diǎn)(318)和中央服務(wù)器 (326)的設(shè)備執(zhí)行的、優(yōu)化所述中樞(312)與分支(305)之間的WAN鏈接(316)的性能的方 法,所述方法包括以下步驟在所述中央服務(wù)器(326)上的數(shù)據(jù)庫(405)中存儲(chǔ)表示流入和流出所述子網(wǎng)(305)的 通信數(shù)據(jù);在所述端點(diǎn)(318)處的高速緩存(505)中高速緩存通信數(shù)據(jù),所述被高速緩存的通信 數(shù)據(jù)是存儲(chǔ)在所述數(shù)據(jù)庫(405)中的通信數(shù)據(jù)的子集;周期性地使用來自所述數(shù)據(jù)庫(405)的通信數(shù)據(jù)來刷新所述高速緩存(505)中的所述 通信數(shù)據(jù);以及使用所述被高速緩存的通信數(shù)據(jù)(505)來分別優(yōu)化所述端點(diǎn)(318)處的出站和入站通 信的壓縮和解壓縮。
18. 如權(quán)利要求17所述的方法,其特征在于,還包括將可用于分別壓縮和解壓縮所述 端點(diǎn)(318)處的出站和入站通信的一個(gè)或多個(gè)庫存儲(chǔ)在中央服務(wù)器(326)上的庫存儲(chǔ)中, 將所述庫的子集高速緩存在所述端點(diǎn)(318)中的庫高速緩存中,以及使用所述被高速緩存 的庫的子集來分別優(yōu)化所述端點(diǎn)(318)處的出站與入站通信的壓縮和解壓縮的步驟。
19. 如權(quán)利要求18所述的方法,其特征在于,還包括周期性地使用來自所述庫存儲(chǔ)的庫來刷新所述被高速緩存的庫的子集的步驟。
20. 如權(quán)利要求18所述的方法,其特征在于,還包括周期性地掃除所述被高速緩存的庫的子集中的庫的步驟,所述被掃除的庫在滿足預(yù)先確定的閾值的一段時(shí)間內(nèi)未被使用。
全文摘要
在WAN(316)上流動(dòng)的加密通信的優(yōu)化由其中WAN(316)壓縮分布在中樞和分支網(wǎng)絡(luò)(300)的子網(wǎng)(305)中的端點(diǎn)(318)(即,客戶機(jī)器或服務(wù)器)與該子網(wǎng)中的WAN壓縮服務(wù)器(326)之間的安排提供。在一個(gè)或多個(gè)端點(diǎn)(318)中的每一個(gè)上運(yùn)行的WAN壓縮(306)的客戶端部分與由子網(wǎng)(305)中的端點(diǎn)(318)見到的數(shù)據(jù)的可隨意處置本地高速緩存(505)接口,其用于使用基于庫的壓縮技術(shù)來壓縮和解壓縮通信。子網(wǎng)(305)中的本地WAN壓縮服務(wù)器(326)存儲(chǔ)子網(wǎng)(305)中所有WAN通信的共享中央數(shù)據(jù)庫(405),它用于填充端點(diǎn)(318)中的本地可隨意處置高速緩存(505)。
文檔編號(hào)H04L12/28GK101755418SQ200880025106
公開日2010年6月23日 申請(qǐng)日期2008年7月17日 優(yōu)先權(quán)日2007年7月17日
發(fā)明者D·博爾多, J·平克頓, M·斯捷平, S·科爾維爾 申請(qǐng)人:微軟公司