分布式網(wǎng)絡防火墻以及基于流的轉發(fā)系統(tǒng)的制作方法
【專利摘要】一種由具有多個應用處理單元的網(wǎng)絡裝置執(zhí)行的方法���,包括:在網(wǎng)絡裝置接收第一數(shù)據(jù)包���;基于關于第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值;以及使用所計算的第一值來識別網(wǎng)絡裝置中的多個應用處理單元的第一應用處理單元����。網(wǎng)絡裝置包括:彼此通信連接的多個處理單元;其中多個處理單元的第一處理單元用于:基于關于第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值���;以及使用所計算的第一值來識別多個處理單元的第二處理單元��。
【專利說明】分布式網(wǎng)絡防火墻以及基于流的轉發(fā)系統(tǒng)
【技術領域】
[0001]本申請主要涉及網(wǎng)絡安全裝置�����,比如防火墻和安全設備��,更具體地���,涉及具有用于監(jiān)控網(wǎng)絡的多個應用處理卡的網(wǎng)絡安全裝置�。
【背景技術】
[0002]網(wǎng)絡裝置����,比如高端分布式安全網(wǎng)關,用于保護網(wǎng)絡免受各種攻擊�,進行入侵檢測和預防,從而提供高性能數(shù)據(jù)包路由�,以及其他應用服務。在某些情況下�,此網(wǎng)絡裝置可以包括用于執(zhí)行不同數(shù)據(jù)包處理功能的多個處理單元。這些處理單元可以由中心CPU管理�,該中心CPU托管用于存儲所有多個處理單元的所有信息的中心數(shù)據(jù)庫。
[0003]本申請的發(fā)明人考慮使用具有使用分布式數(shù)據(jù)庫的網(wǎng)絡裝置���,而不是使用具有中心數(shù)據(jù)庫的網(wǎng)絡裝置����,來處理數(shù)據(jù)包可能是期望的�。
【發(fā)明內容】
[0004]一種由具有多個應用處理單元的網(wǎng)絡裝置執(zhí)行的方法,包括:在網(wǎng)絡裝置接收第一數(shù)據(jù)包��;基于關于第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值��;以及使用所計算的第一值來識別網(wǎng)絡裝置中的多個應用處理單元的第一應用處理單元����。借助非限制性實例,網(wǎng)絡裝置可以是防火墻�����、網(wǎng)絡安全網(wǎng)關或其他安全設備的任意一個��。
[0005]可選地��,一個或多個信息可以包括源IP地址�、目的地IP地址、源端口標識符�����、目的地端口標識符、以及協(xié)議信息的一個或組合����。
[0006]可選地,網(wǎng)絡裝置可以包括多個應用處理卡��,多個應用處理單元可以是應用處理卡的一部分�����。
[0007]可選地�����,應用處理單元中的至少兩個可以用于執(zhí)行各自不同的數(shù)據(jù)包處理功能����。
[0008]可選地,所述方法可以進一步包括至少部分基于關于第一數(shù)據(jù)包的一組信息來從所識別的第一應用處理單元檢索數(shù)據(jù)�,這組信息是用于計算第一值的一個或多個信息的超集。
[0009]可選地�����,用于檢索數(shù)據(jù)的這組信息可以包括源IP地址、目的地IP地址�、源端口、目的地端口�����、以及協(xié)議信息����,并且其中用于識別第一應用處理單元的一個或多個信息可以包括這組信息的子集�����。
[0010]可選地����,從所識別的第一應用處理單元檢索數(shù)據(jù)的動作可以包括從與第一應用處理單元相關聯(lián)的第一本地數(shù)據(jù)庫檢索數(shù)據(jù)。
[0011]可選地��,所述方法可以進一步包括從所識別的第一應用處理單元接收數(shù)據(jù)�����,其中接收數(shù)據(jù)的動作可以由網(wǎng)絡裝置中的多個應用處理單元的與使用所計算的第一值識別的第一應用處理單元不同的第二應用處理單元執(zhí)行。
[0012]可選地�,應用處理單元可以具有與應用處理單元相關聯(lián)的各本地數(shù)據(jù)庫,并且所述方法可以進一步包括將關于第一數(shù)據(jù)包的數(shù)據(jù)存儲在本地數(shù)據(jù)庫的與所識別的第一應用處理單元相關聯(lián)的一個本地數(shù)據(jù)庫處���。[0013]可選地�,本地數(shù)據(jù)庫中的至少一個可以不具有數(shù)據(jù)副本�����。
[0014]可選地�����,所述方法可以進一步包括:在網(wǎng)絡裝置接收第二數(shù)據(jù)包���;基于關于第二數(shù)據(jù)包的一個或多個信息來計算第二值����;以及使用所計算的第二值來識別多個應用處理單元的第二應用處理單元���。
[0015]可選地��,所述方法可以進一步包括:檢索存儲在與所識別的應用處理單元相關聯(lián)的本地數(shù)據(jù)庫中的數(shù)據(jù)�;以及至少部分基于檢索的數(shù)據(jù)來創(chuàng)建表示數(shù)據(jù)包處理計劃的數(shù)據(jù)包處理會話。
[0016]可選地�,數(shù)據(jù)包處理會話可以由應用處理單元中的一個創(chuàng)建。
[0017]可選地�����,網(wǎng)絡裝置還可以包括多個I/O卡���,并且所述方法可以進一步包括將數(shù)據(jù)包處理會話存儲在I/o卡的接收第一數(shù)據(jù)包的一個的第一本地數(shù)據(jù)庫中���。
[0018]可選地���,數(shù)據(jù)包處理會話還可以存儲在I/O卡的輸出第一數(shù)據(jù)包的另一個的第二本地數(shù)據(jù)庫中��。
[0019]可選地��,網(wǎng)絡裝置可以用于在慢通道配置或快通道配置中執(zhí)行數(shù)據(jù)包處理�����,在慢通道配置中處理第一數(shù)據(jù)包的同時可以執(zhí)行計算第一值的動作和使用所計算的第一值來識別第一應用處理單元的動作��。
[0020]一種網(wǎng)絡裝置包括:彼此通信連接的多個處理單元����;其中多個處理單元的第一處理單元用于:基于關于第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值;以及使用所計算的第一值來識別多個處理單元的第二處理單元�����。
[0021]可選地���,一個或多個信息可以包括源IP地址����、目的地IP地址�����、源端口標識符�����、目的地端口標識符�����、以及協(xié)議信息的一個或組合�。
[0022]可選地���,所述網(wǎng)絡裝置可以進一步包括多個應用處理卡,多個應用處理單元可以是應用處理卡的一部分��。
[0023]可選地�,應用處理單元中的至少兩個可以用于執(zhí)行各自不同的數(shù)據(jù)包處理功能。
[0024]可選地����,第一處理單元可以用于至少部分基于關于第一數(shù)據(jù)包的一組信息來從所識別的第一應用處理單元檢索數(shù)據(jù),這組信息是用于計算用于識別第二應用處理單元的第一值的一個或多個信息的超集�。
[0025]可選地,用于檢索數(shù)據(jù)的這組信息可以包括源IP地址�����、目的地IP地址����、源端口�����、目的地端口�、以及協(xié)議信息�,并且其中用于識別第二應用處理單元的一個或多個信息可以包括這組信息的子集�����。
[0026]可選地�����,第一處理單元可以用于通過從與第二應用處理單元相關聯(lián)的本地數(shù)據(jù)庫檢索數(shù)據(jù)來從所識別的第二應用處理單元檢索數(shù)據(jù)�����。
[0027]可選地����,所述網(wǎng)絡裝置可以進一步包括與處理單元相關聯(lián)的各本地數(shù)據(jù)庫,其中本地數(shù)據(jù)庫中的與所識別的第二應用處理單元相關聯(lián)的這個本地數(shù)據(jù)庫用于存儲關于第一數(shù)據(jù)包的數(shù)據(jù)���。
[0028]可選地�����,本地數(shù)據(jù)庫中的至少一個可以不具有數(shù)據(jù)副本�。
[0029]可選地����,第一處理單元可以用于:基于關于第二數(shù)據(jù)包的一個或多個信息來計算第二值���;以及使用所計算的第二值來識別多個應用處理單元的第三應用處理單元。
[0030]可選地��,第一處理單元可以用于:檢索存儲在與所識別的應用處理單元相關聯(lián)的本地數(shù)據(jù)庫中的數(shù)據(jù)���;以及至少部分基于檢索的數(shù)據(jù)來創(chuàng)建表示數(shù)據(jù)包處理計劃的數(shù)據(jù)包處理會話��。
[0031 ] 可選地�����,所述網(wǎng)絡裝置可以進一步包括多個I/O卡�,其中第一數(shù)據(jù)包在I/O卡的第一 I/o卡處接收��,并在I/O卡的第二 I/O卡處輸出�����,并且其中數(shù)據(jù)包處理會話存儲在I/O卡中的接收第一數(shù)據(jù)包的第一 I/o卡中�,以及I/O卡的輸出第一數(shù)據(jù)包的第二 I/O卡中��。
[0032]可選地,網(wǎng)絡裝置可以用于在慢通道配置或快通道配置中執(zhí)行數(shù)據(jù)包處理��,第一處理單元可以用于在慢通道配置中處理第一數(shù)據(jù)包的同時執(zhí)行計算第一值的動作和使用所計算的第一值來識別第二處理單元的動作��。
[0033]可選地����,第一處理單元可以包括第一應用處理單元,第二處理單元可以包括第二應用處理單元���。
[0034]可選地����,第一處理單元可以包括I/O卡中的網(wǎng)絡處理單元��,第二處理單元可以包括應用處理卡中的應用處理單元��。
[0035]根據(jù)實施例的以下詳細描述����,其他和進一步方面和特征將變得顯而易見。
【專利附圖】
【附圖說明】
[0036]附圖示出了設計和實施例的實用性����,其中類似元件用共同參考編號表示�。這些附圖不一定按比例繪制�����。為了更好的了解獲得上述及其他優(yōu)點和目的的方式����,將呈現(xiàn)實施例的更具體的描述,在附圖中示出了所述實施例����。這些附圖只描述了典型的實施例,并因此不被視為限制該范圍�。
[0037]圖1示出了根據(jù)某些實施例的網(wǎng)絡裝置;
[0038]圖2示出了圖1的網(wǎng)絡裝置����,特別示出了在慢通道配置中處理數(shù)據(jù)包的網(wǎng)絡裝置;
[0039]圖3示出了圖1的網(wǎng)絡裝置����,特別示出了在快通道配置中處理數(shù)據(jù)包的網(wǎng)絡裝置;
[0040]圖4示出了根據(jù)某些實施例的數(shù)據(jù)包處理的方法��;
[0041]圖5示出了圖1的網(wǎng)絡裝置的分布式數(shù)據(jù)庫配置�����;
[0042]圖6示出了與分布式數(shù)據(jù)庫配置對照的中心數(shù)據(jù)庫配置���;
[0043]圖7示出了與分布式數(shù)據(jù)庫配置對照的全同步數(shù)據(jù)庫配置�;
[0044]圖8示出了分布式數(shù)據(jù)庫中的數(shù)據(jù)包處理的實例�;
[0045]圖9示出了可以在圖1的網(wǎng)絡裝置中實現(xiàn)的處理器間通信系統(tǒng);以及
[0046]圖10示出了計算機系統(tǒng)的實例�,本文描述的實施例可以利用該計算機系統(tǒng)來實現(xiàn)。
【具體實施方式】
[0047]下文將參照圖形描述各種實施例���。應注意的是����,圖形不按比例繪制并且類似結構或功能的元件在所有圖形中用類似參考編號表示����。還應注意的是,圖形僅旨在有利于描述實施例���。圖形不用作詳盡描述本發(fā)明或限制本發(fā)明的范圍���。另外��,所示的實施例不必具有所示的所有方面或優(yōu)點���。即使未如此示出,或未如此明確地所述���,結合具體實施例描述的方面或優(yōu)點不一定局限于此實施例且可以在任意其他實施例中實施�。
[0048]圖1示出了根據(jù)某些實施例的網(wǎng)絡裝置10���。網(wǎng)絡裝置10包括多個I/O卡12a����、多個應用處理卡14a, 14b�、以及稱合I/O卡12a和應用處理卡14a, 14b的交換機架構16。每個I/O卡12包括用于接收數(shù)據(jù)包���、傳輸數(shù)據(jù)包��、或接收并傳輸數(shù)據(jù)包的多個網(wǎng)絡端口 18�����。在某些實施例中����,每個I/O卡12可以是IOOG I/O卡���。每個I/O卡12還包括一個或多個網(wǎng)絡處理單元20�。網(wǎng)絡處理單元20經(jīng)由交換機與網(wǎng)絡端口 18通信耦合�。可選擇地���,交換機是可選的���,I/O卡12可以不包括交換機。在這些情況下�����,網(wǎng)絡端口 18直接與網(wǎng)絡處理單元20連接��。雖然每個I/O卡12被示出具有兩個網(wǎng)絡處理單元20�,但是應理解,I/O卡12只可以具有一個網(wǎng)絡處理單元20�����,或兩個以上網(wǎng)絡處理單元20。在某些實施例中��,網(wǎng)絡處理單元20可以使用處理器���,比如網(wǎng)絡處理器����、FPGA�����、ASIC���、通用處理器等來實現(xiàn)�����。同樣�����,在某些實施例中����,網(wǎng)絡處理單元20可以包括硬件、軟件或這兩者的組合�。
[0049]如圖中所示,每個應用處理卡14都包括多個應用處理單元30���。每個應用處理單元30都用于執(zhí)行一個或多個網(wǎng)絡處理功能,比如防火墻功能��、網(wǎng)絡安全監(jiān)控(比如入侵檢測)��、和/或網(wǎng)絡安全防范�,包括但不限于入侵防護、反病毒��、URL阻塞�、QoS等。應用處理卡14可以用于執(zhí)行一個或多個數(shù)據(jù)包處理功能���,包括但不限于負載平衡等�����。雖然每個應用處理卡14都被示出具有三個應用處理單元30�,但在其他實施例中,應用處理卡14可以具有三個以下(例如一個)應用處理單元30�,或三個以上應用處理單元30。在某些實施例中���,應用處理單元30可以使用處理器��,比如FPGA���、ASIC、通用處理器等來實現(xiàn)��。同樣���,在某些實施例中��,應用處理單元30可以包括硬件�、軟件或這兩者的組合����。同樣,在某些實施例中����,不同應用處理單元30可以用于執(zhí)行不同任務��。在某些實施例中����,每個應用處理卡14都可以包括多核CPU����。同樣,在某些實施例中���,應用處理卡14中的不同應用處理單元可以使用各自不同的CPU來實現(xiàn)。
[0050]在某些實施例中�,網(wǎng)絡裝置10的所有組件都可以容納在外殼中,或者可以彼此實體連接在結構或建筑中��,使得網(wǎng)絡裝置10可以在地理位置被部署成單個單元�。在一個實現(xiàn)中,網(wǎng)絡裝置10可以包括具有用于可拆卸地與多個I/O卡12耦合的多個插槽����,以及用于可拆卸地與多個應用處理卡14耦合的多個插槽的底架。在其他實施例中����,網(wǎng)絡裝置10的一個或多個組件可以通過網(wǎng)絡(例如�����,因特網(wǎng))與網(wǎng)絡裝置10的剩余部分通信耦合���。在這些情況下,網(wǎng)絡裝置10的組件可以部署在不同地理位置���。
[0051]網(wǎng)絡裝置10用于在至少兩個配置(即�����,慢通道配置及快通道配置)中處理數(shù)據(jù)包����。圖2示出了慢通道配置中通過網(wǎng)絡裝置10處理數(shù)據(jù)包���。首先���,數(shù)據(jù)包在I/O卡中的一個(I/O卡12a)的端口 18之一處接收,將數(shù)據(jù)包傳遞至電路(其可以是交換機或導體)����,如箭頭200a所表示的���。然后將數(shù)據(jù)包傳遞至I/O卡12a的網(wǎng)絡處理單元20,如箭頭200b所表示的�����。網(wǎng)絡處理單元20查找其本地數(shù)據(jù)庫以查看是否事先為數(shù)據(jù)包建立會話�����。在某些實施例中�,可以使用關于數(shù)據(jù)包的一個或多個信息來執(zhí)行散列處理,并且散列值可以用于查找對應會話�。如果不存在先前會話,則網(wǎng)絡處理單元20向下游傳遞數(shù)據(jù)包以便在慢通道配置中進行處理��。
[0052]如圖中所示,數(shù)據(jù)包由網(wǎng)絡處理單元20傳遞至交換機架構16,如箭頭200c所表示的����,然后交換機架構16將數(shù)據(jù)包傳遞至應用處理卡14中的一個(應用處理卡14a)�,如箭頭200d所表示的。將數(shù)據(jù)包傳遞至應用處理卡14a中的電路(其可以是交換機或導體)�����,該電路然后將數(shù)據(jù)包傳遞至應用處理卡14a中的應用處理單元30中的一個,如箭頭200e所表示的�。在某些實施例中,接收數(shù)據(jù)包的I/O卡12a可以使用關于數(shù)據(jù)包的一個或多個信息來計算散列值����,并使用散列值來識別應用處理單元30以傳輸數(shù)據(jù)包�。在一個實現(xiàn)中,關于數(shù)據(jù)包的一個或多個信息可以是包括源IP地址��、目的地IP地址、源端口�、目的地端口以及協(xié)議信息的5元組。在其他實施例中�����,關于數(shù)據(jù)包的一個或多個信息可以是上述信息的子集����,或者可以具有其他類型的信息。
[0053]在應用處理單元30接收數(shù)據(jù)包之后�,應用處理單元30可以執(zhí)行會話查找以查看是否可以針對數(shù)據(jù)包找到會話。如果不存在找到的會話��,則應用處理單元30處理數(shù)據(jù)包(例如,執(zhí)行策略查找�����、反病毒檢查和/或任意其他網(wǎng)絡安全檢查等)����,并創(chuàng)建會話202。在某些實施例中�,可以基于策略、ALG���、NAT等來執(zhí)行會話的創(chuàng)建��。
[0054]在創(chuàng)建會話202之后���,應用處理單元30然后將數(shù)據(jù)包傳遞至交換機架構16,如箭頭200f所表示的�。交換機架構16然后將數(shù)據(jù)包傳遞至另一 I/O卡12b,如箭頭200g所表示的���。I/O卡12b然后在I/O卡12處將數(shù)據(jù)包傳遞至網(wǎng)絡端口 18以便在I/O卡12b處從網(wǎng)絡端口 18輸出,如箭頭200h所表示的�����。
[0055]在某些實施例中,創(chuàng)建的會話202可以表示數(shù)據(jù)包處理計劃��。例如��,在某些實施例中�,會話202可以具有用于表示用于處理屬于相同會話的數(shù)據(jù)包的不同參數(shù)的數(shù)據(jù)結構。會話202中的信息可以由一個或多個應用處理卡14(例如����,由相同應用處理卡14中的一個或多個應用處理單元30,或由不同應用處理卡14中的應用處理單元30)確定�����。
[0056]在所示的實施例中�����,創(chuàng)建的會話202可以由應用處理卡14a傳輸至接收數(shù)據(jù)包的I/O卡12a���,使得會話202可以存儲在I/O卡12a的本地數(shù)據(jù)庫(例如���,與對應網(wǎng)絡處理單元20相關聯(lián)的本地數(shù)據(jù)庫)處���。創(chuàng)建的會話202還可以由應用處理卡14a傳輸至輸出數(shù)據(jù)包的I/O卡12b,其中數(shù)據(jù)包可以存儲在I/O卡12b的本地數(shù)據(jù)庫(例如���,與I/O卡12b中的對應網(wǎng)絡處理單元20相關聯(lián)的本地數(shù)據(jù)庫)處��。會話存儲在I/O卡12a和I/O卡12b處��,使得當數(shù)據(jù)包來自任意一個方向(例如��,在I/O卡12b處接收以便在I/O卡12a處輸出�����,或在I/O卡12a處接收以便在I/O卡12b處輸出)時�,會話信息在I/O卡12a處或在I/O卡12b處不管怎樣都可用�。如圖中所示,創(chuàng)建的會話202還可以由應用處理卡14a傳輸至另一應用處理卡(例如��,通過交換機架構16)以便存儲在其他應用處理卡14b的數(shù)據(jù)庫中�����。例如���,應用處理卡14a可以基于I/O卡中使用的散列信息(例如�����,5元組)來識別應用處理卡14b�����。在某些實施例中�,創(chuàng)建的會話202可以與值相關聯(lián)�,這個值可以使用關于數(shù)據(jù)包的信息來確定,其中這個值稍后可以被用作查找會話202的索引��。例如����,在某些實施例中,從數(shù)據(jù)包獲得的5元組(例如�����,源IP地址���、目的地IP地址�����、源端口����、目的地端口、協(xié)議信息)可以用于確定值�����,比如散列值�����,然后可以存儲創(chuàng)建的會話202����,與散列值相關聯(lián)。
[0057]在創(chuàng)建會話202之后���,下次當網(wǎng)絡裝置10接收屬于相同會話的數(shù)據(jù)包時��,數(shù)據(jù)包可以在快通道中進行處理��。圖3示出了在快通道配置中通過網(wǎng)絡裝置10處理數(shù)據(jù)包�����。首先����,數(shù)據(jù)包在I/O卡12中的一個(I/O卡12a)處的端口 18之一處接收��,并將數(shù)據(jù)包傳遞至電路(其可以是交換機或導體)����,如箭頭200a所表示的。然后將數(shù)據(jù)包傳遞至I/O卡12a中的網(wǎng)絡處理單元20��,如箭頭200b所表示的����。網(wǎng)絡處理單元20查找I/O卡12a的本地數(shù)據(jù)庫以查看是否事先為數(shù)據(jù)包建立會話。如果不存在先前的會話����,則網(wǎng)絡處理單元20向下游傳遞數(shù)據(jù)包以便在慢通道配置中進行處理,如參照圖2所討論的�。在圖3中所示的所示實例中,存在所創(chuàng)建的先前會話202���。因此���,代替經(jīng)由交換機架構16將數(shù)據(jù)包傳遞至應用處理卡14�����,在這種情況下����,數(shù)據(jù)包根據(jù)由事先存儲在I/O卡12a的本地數(shù)據(jù)庫處的會話202規(guī)定的數(shù)據(jù)包處理計劃由I/o卡12a處的一個或多個網(wǎng)絡處理單元20處理�。然后將數(shù)據(jù)包傳遞至交換機架構16 (如箭頭200c所表示的),該交換機架構16然后將數(shù)據(jù)包傳遞至I/O卡12b���,如箭頭200i所表示的�。數(shù)據(jù)包然后在I/O卡12b處從端口 18輸出���,如箭頭200 j所表示的��。如圖中所示����,在快通道配置中,數(shù)據(jù)包不必經(jīng)受應用處理卡14進行的處理以建立新會話��,因此���,快通道配置的處理速度比慢通道配置的處理速度快�����。
[0058]在某些情況下��,數(shù)據(jù)包在I/O卡12b處可以從端口 18接收,并沿相反的方向在快通道配置中從圖3中所示的方向在I/O卡12a處的端口處傳輸����。在這些情況下,因為會話202還存儲在I/O卡12b的本地數(shù)據(jù)庫中�,所以I/O卡12b處的網(wǎng)絡處理單元20可以查找I/O卡12b的本地數(shù)據(jù)庫以查看是否事先為數(shù)據(jù)包建立會話。因此���,數(shù)據(jù)包根據(jù)由事先存儲在I/O卡12b的本地數(shù)據(jù)庫處的會話202規(guī)定的數(shù)據(jù)包處理計劃由I/O卡12b處的一個或多個網(wǎng)絡處理單元20處理�����。然后將數(shù)據(jù)包傳遞至交換機架構16��,該交換機架構16然后將數(shù)據(jù)包傳遞至I/O卡12a以便從I/O卡12a處的端口中輸出�����。在其他實施例中���,會話可以由I/O卡12a處理��。在這些情況下��,I/O卡12b處的網(wǎng)絡端口 18將數(shù)據(jù)包轉發(fā)至I/O卡12a以便進行處理�����。
[0059]在某些情況下��,當I/O卡12a接收新數(shù)據(jù)包時��,可能會漏掉I/O卡12a處的會話202���。在這些情況下,通過交換機架構16將數(shù)據(jù)包傳遞至應用處理卡14a處的應用處理單元30中的一個(例如���,基于從關于新數(shù)據(jù)包的(例如在新數(shù)據(jù)包中的)一個或多個信息確定的散列值)�。應用處理單元30可以確定存在會話,因為其存儲在與應用處理單元30相關聯(lián)的本地數(shù)據(jù)庫中�。在這些情況下,數(shù)據(jù)包仍然可以根據(jù)快通道配置進行處理���。具體地���,數(shù)據(jù)包根據(jù)事先創(chuàng)建的會話202進行處理,并通過交換機架構16從應用處理卡14a傳遞至I/O卡12b以便輸出數(shù)據(jù)包�����,而不創(chuàng)建新會話���。應用處理卡14a還可以將會話202副本發(fā)送回I/O卡12a以存儲在與I/O卡12a相關聯(lián)的本地數(shù)據(jù)庫處,使得I/O卡12a中的網(wǎng)絡處理單元20可以在將來訪問事先漏掉的會話202�����。
[0060]同樣��,在某些情況下����,會話202可以規(guī)定數(shù)據(jù)包由一個或多個應用處理單元30處理。在這些情況下,可以將數(shù)據(jù)包傳遞至一個或多個應用處理單元30以便進行快通道處理����。例如,在某些實施例中�,接收數(shù)據(jù)包的I/O卡12a可以執(zhí)行會話查找。I/O卡12a可以發(fā)現(xiàn)數(shù)據(jù)包的會話�,其中會話202規(guī)定數(shù)據(jù)包由某個應用處理單元30處理。然后根據(jù)會話202將數(shù)據(jù)包與會話ID —起轉發(fā)至包括應用處理單元30的應用處理卡14���。當應用處理單元30接收數(shù)據(jù)包和會話ID時��,應用處理單元30通過會話ID來驗證會話�����。如果發(fā)現(xiàn)會話����,則應用處理單元30根據(jù)會話來處理數(shù)據(jù)包��。在處理數(shù)據(jù)包之后����,應用處理單元30將數(shù)據(jù)包傳遞至I/O卡12b以便輸出數(shù)據(jù)包�。
[0061]如上述實例中所示,創(chuàng)建會話202是有利的���,因為會話202包含要對具體數(shù)據(jù)包做什么的所有信息�。當數(shù)據(jù)包在慢通道配置中處理時���,網(wǎng)絡裝置10收集需要對數(shù)據(jù)包做什么的信息����。網(wǎng)絡裝置10建立會話202 (包含在數(shù)據(jù)包上需要做什么的信息)�。這樣,未來數(shù)據(jù)包不需要經(jīng)受慢通道處理�,網(wǎng)絡裝置10可以查找會話以處理快通道配置中的未來數(shù)據(jù)包。
[0062]正如所討論的�,在慢通道數(shù)據(jù)包處理配置期間,創(chuàng)建會話202����。在處理中����,可以確定不同網(wǎng)絡參數(shù)?�?梢源嬖诒硎静煌W(wǎng)絡參數(shù)的不同類型的RT0。借助非限制性實例��,不同RTO類型可以分別表示流會話���、VPN SA���、應用層網(wǎng)關(ALG)門、錐形網(wǎng)絡地址轉換(NAT)映射���、AD計數(shù)�、syn攻擊計數(shù)��、具有通配符的門����、IP作用進入等。[0063]在某些實施例中��,RTO可以以分布的方式存儲在不同的應用處理單元30的不同本地數(shù)據(jù)庫處�。在這個配置中,每個應用處理單元30具有本地數(shù)據(jù)庫���,該本地數(shù)據(jù)庫可以是假設全局數(shù)據(jù)庫的子集�����。在分布式數(shù)據(jù)庫配置中�����,因為不存在管理所有信息的中心管理��,所以需要特殊技術來識別與某個應用處理單元30相關聯(lián)的本地數(shù)據(jù)庫以便存儲���,檢索并對存儲在其中的信息起作用�����。圖4示出了處理數(shù)據(jù)包以識別分布式數(shù)據(jù)庫配置中的應用處理單元30的方法400�。首先�����,數(shù)據(jù)包由網(wǎng)絡裝置10接收(項目402)��。接下來�,基于關于數(shù)據(jù)包的一個或多個信息使用數(shù)學算法(例如�,散列算法)來計算散列值(項目404)����。在某些實施例中���,計算散列值可以由應用處理單元30中的一個�,或網(wǎng)絡處理單元20中的一個����,或者兩者執(zhí)行。借助非限制性實例�����,關于數(shù)據(jù)包的一個或多個信息可以是源IP地址�����、目的地IP地址��、源端口�、目的地端口以及協(xié)議信息中的一個或組合。在獲得散列值之后��,散列值可以用于識別應用處理單元30 (項目406)���。例如�����,在某些實施例中��,散列值本身可以是應用處理單元30的識別����。在其他實施例中,散列值可以被用作查找應用處理單元30的對應識別的索引��。在所示的實施例中����,散列值用于存儲和/或查找存儲在與網(wǎng)絡裝置10相關聯(lián)的分布式數(shù)據(jù)庫系統(tǒng)中(例如,以識別存儲某個信息的應用處理單元30)���。因此��,散列值不同于會話查找散列值����。
[0064]在某些實施例中,在應用處理單元30已經(jīng)在分布式數(shù)據(jù)庫系統(tǒng)中進行識別之后����,所識別的應用處理單元30 (例如�����,其對應本地數(shù)據(jù)庫)然后可以用于存儲關于數(shù)據(jù)包的信息�。在其他實施例中,在已經(jīng)識別應用處理單元30之后�,可以檢索已經(jīng)存儲在應用處理單元30的對應數(shù)據(jù)庫中的信息。在進一步實施例中����,在已經(jīng)識別應用處理單元30之后,可以操作(例如��,更新�����、刪除等)存儲在應用處理單元30的對應本地數(shù)據(jù)庫中的信息����。
[0065]應注意的是,因為每個應用處理單元30都具有與此相關聯(lián)的對應本地數(shù)據(jù)庫,所以可以通過確定應用處理單元30的識別�����、與應用處理單元30相關聯(lián)的本地數(shù)據(jù)庫的識別(其可以相同或不同)來完成識別應用處理單元30的動作���。在某些實施例中���,與對應應用處理單元30相關聯(lián)的本地數(shù)據(jù)庫可以被視為應用處理單元30的一部分。
[0066]在分布式數(shù)據(jù)庫配置中�,每個RTO都只存儲在對應的一個應用處理單元30的本地RTO數(shù)據(jù)庫中,該應用處理單元可以使用散列值���,如圖5中所示的散列值來進行唯一識別�����。在其他實施例中��,每個RTO都可以存儲在數(shù)個本地RTO數(shù)據(jù)庫中(例如�,出于冗余目的)�����,但數(shù)量小于整個網(wǎng)絡裝置10的RTO數(shù)據(jù)庫的總數(shù),使得系統(tǒng)仍然可以被視為分布式數(shù)據(jù)庫系統(tǒng)�����,而不是全同步數(shù)據(jù)庫系統(tǒng)�。
[0067]在圖5中所示的分布式數(shù)據(jù)庫系統(tǒng)中,一個應用處理單元30 (在該實例中為“APP-P-3”)可以通過首先識別要從中檢索信息的數(shù)據(jù)庫來從另一應用處理單元30 (在該實例中為“APP-P-2”)的本地數(shù)據(jù)庫檢索信息��。這可以通過基于密鑰��,如參照圖4的方法所討論的密鑰�,使用散列算法來計算散列值而完成�����。例如���,散列算法可以使用密鑰中的值的子集�����,或密鑰中的所有值來計算散列值�����。散列值然后可以用于識別要從中檢索信息的數(shù)據(jù)庫��。在某些實施例中�����,散列值本身是數(shù)據(jù)庫的識別�����。在其他實施例中����,散列值可以是可用于查找數(shù)據(jù)庫的識別的索引(比如,通過查找表)��。因為應用處理單元30具有與此相關聯(lián)的對應本地數(shù)據(jù)庫��,所以數(shù)據(jù)庫的識別可以通過識別應用處理單元30來完成��,反之亦然��。在這些情況下���,散列值可以表示數(shù)據(jù)庫的識別��,和對應應用處理單元30的識別����。因此,在該說明書中�,數(shù)據(jù)庫的識別和應用處理單元30的識別可以相同,引用應用處理單元的識別可以指與應用處理單元對應的數(shù)據(jù)庫的識別���,反之亦然�����。
[0068]在識別要從中檢索信息的數(shù)據(jù)庫之后,密鑰然后可用于從數(shù)據(jù)庫檢索信息���。在某些實施例中�����,密鑰的一部分可以用于計算散列值以識別數(shù)據(jù)庫/應用處理單元30��,全密鑰用于從數(shù)據(jù)庫查找所需的信息(例如�����,全密鑰可以直接被用作索引���,或可以進行散列處理以獲得散列值�,該散列值然后被用作索引)����。
[0069]在某些實施例中,用于網(wǎng)絡裝置10的分布式數(shù)據(jù)庫操作的上述密鑰可以使用包括(I)源IP地址�、(2 )目的地IP地址、(3 )源端口����、( 4)目的地端口以及(5 )協(xié)議信息的5元組進行構建。5元組中的任意信息可以具有固定值��、一系列值����、或“通配符”標識符。在某些實施例中�,如果所有5元組都是固定的,則5元組被用作密鑰�。此密鑰可以用于查找關于會話、VPN SA等的信息���。在其他實施例中�����,如果5元組中的值的子集是固定的�����,則只有5元組中的固定值(或固定值的子集)可以被用作密鑰�����。例如����,如果目的地IP地址是固定的�����,則目的地IP地址可以被用作密鑰���。此密鑰可以用于查找關于錐形NAT�����、ALG門����、基于目的地IP的會話限制等的信息。在另一實例中�����,如果源IP地址是固定的����,則源IP地址被用作密鑰。此密鑰可以用于查找關于錐形NAT����、ALG門、基于源IP的會話限制等的信息�����。在其他實施例中��,在罕見的情況下�����,密鑰可以不包含固定值(例如,5元組的每一個是一系列值或是通配符值)��。在這些情況下��,信息可以完全填充至所有本地RTO數(shù)據(jù)庫(如全同步數(shù)據(jù)庫配置中的信息)�。
[0070]如上述實施例中所示,網(wǎng)絡裝置10的分布式數(shù)據(jù)庫配置是有利的��,因為其能力可以與應用處理單元30的數(shù)量一起線性擴展����。同樣,數(shù)據(jù)庫操作開銷保持不變�,同時應用處理單元30的數(shù)量可以增加。此外����,與中心數(shù)據(jù)庫配置(其中所有信息存儲在一個中心數(shù)據(jù)庫如圖6中所示的中心數(shù)據(jù)庫中)和全同步數(shù)據(jù)庫配置(其中每個RTO數(shù)據(jù)庫都具有相同信息的副本,使得信息可以在每個應用處理單元30如圖7中所示的應用處理單元30處進行本地檢索)相比���,此分布式數(shù)據(jù)庫可能需要較少的資源來進行維護和同步。這是因為在網(wǎng)絡裝置10中�����,RTO信息由各應用處理單元30局部存儲并管理。因此�����,與中心CPU記錄所有應用處理單元中的所有信息以了解整個系統(tǒng)�����,并相應在網(wǎng)絡裝置10中分配工作的中心數(shù)據(jù)庫不同�,不需要任何中心管理。同樣����,網(wǎng)絡裝置10的分布式數(shù)據(jù)庫配置是有利的,因為即使應用處理單元30向下�����,網(wǎng)絡裝置10也仍然可以是功能性的�,原因是其他應用處理單元30可以繼續(xù)基于先前描述的分布式數(shù)據(jù)庫配置來執(zhí)行數(shù)據(jù)庫處理。這與中心數(shù)據(jù)庫配置形成對比��,在該配置中如果中心CPU向下�,則整個系統(tǒng)變得是非功能性的。
[0071]在分布式數(shù)據(jù)庫配置中,因為不存在管理一切的中心CPU�,并且因為網(wǎng)絡信息分別存儲在各應用處理單元30的不同本地數(shù)據(jù)庫處,所以網(wǎng)絡裝置10用于從不同本地數(shù)據(jù)庫查找網(wǎng)絡信息(例如��,網(wǎng)絡參數(shù))���。例如���,在某些實施例中,當數(shù)據(jù)包由網(wǎng)絡裝置10接收時�����,對從數(shù)據(jù)包獲得的5元組進行散列處理以獲得散列值����。散列值用于識別包含所需的網(wǎng)絡信息的本地數(shù)據(jù)庫。然后向托管所識別的(基于散列值)本地數(shù)據(jù)庫以獲取所需的網(wǎng)絡信息的應用處理單元30發(fā)送詢問(例如通過應用處理單元30或網(wǎng)絡處理單元20)�。借助非限制性實例,網(wǎng)絡信息可以是計數(shù)��、映射��、會話計數(shù)�����、會話限制等�����。例如�,對于會話設置,詢問可以請求當前會話的計數(shù)�����。如果由數(shù)據(jù)庫返回的當前會話的計數(shù)小于規(guī)定的最大值��,則應用處理單元30可以為數(shù)據(jù)包設置會話���。同樣��,在某些實施例中�,會話計數(shù)可以在對應本地數(shù)據(jù)庫中更新��。[0072]圖8示出了涉及ALG門(例如����,F(xiàn)TP)插入的分布式數(shù)據(jù)庫配置中的RTO數(shù)據(jù)庫操作的實例���。最初,不為具體的數(shù)據(jù)庫設置門����。作為慢通道處理的一部分,可以確定需要創(chuàng)建門�����。在某些實施例中����,門可以由應用處理單元30中的一個(在該實例中為“APP-P-3”)創(chuàng)建。同樣����,在某些實施例中,I/O卡可以使用5元組密鑰(例如�,密鑰本身,或其散列值)來識別應用處理單元30�����。在所示的實例中�,創(chuàng)建的門可以與由創(chuàng)建門的數(shù)據(jù)包得出的5元組密鑰相關聯(lián)�����。5 元組密鑰可以具有格式:[dst-1p, *, dst-port, src-port, protocol],其中 “dst-1p”表示目的地IP地址,“dst-port”表示目的地端口�����,“src-port”表示源端口����,表示通配符。5元組密鑰表示創(chuàng)建門的唯一門ID��。接下來�����,5元組密鑰(“dst-1p”)的一部分用于計算散列值以識別與存儲創(chuàng)建門的應用處理單元30中的一個相關聯(lián)的本地RTO數(shù)據(jù)庫��。在某些實施例中�,計算散列值可以由APP-P-3執(zhí)行。在實例中���,所計算的散列值可以表示另一應用處理單元30 (在該實例中為“APP-P-2”)的識別�。在這些情況下,將門與全局唯一門一起從APP-P-3發(fā)送至APP-P-2以存儲在APP-P-2的本地數(shù)據(jù)庫處���。
[0073]在某些實施例中�����,當新數(shù)據(jù)包出現(xiàn)時�,網(wǎng)絡裝置10可以在由新數(shù)據(jù)包的APP-P-2托管的數(shù)據(jù)庫中檢索門信息���。例如����,在某些實施例中����,當新數(shù)據(jù)包由網(wǎng)絡裝置10接收時,網(wǎng)絡裝置10不可能發(fā)現(xiàn)數(shù)據(jù)包的會話��。網(wǎng)絡裝置10然后可以確定是否存在為數(shù)據(jù)包創(chuàng)建的門�。如果存在門,則網(wǎng)絡裝置10可以創(chuàng)建會話����。應用處理單元30 (例如�,APP-P-3)可以使用密鑰的“dst-1p”部分(根據(jù)處理新接收的數(shù)據(jù)包確定的)來計算散列值����。散列值然后用于識別在此處存儲有門信息的數(shù)據(jù)庫。在該實例中�,所識別的數(shù)據(jù)庫是與應用處理單元30 “APP-P-2”相關聯(lián)的本地數(shù)據(jù)庫。應用處理單元30 “APP-P-3”然后可以將檢索消息與5元組密鑰一起發(fā)送至APP-P-2����。當APP-P-2從APP-P-3接收詢問以及5元組密鑰時�,APP-P-2使用5元組密鑰查找其RTO數(shù)據(jù)庫以查看是否存在匹配。如果存在����,則APP-P-2可以將門信息發(fā)送會APP-P-3,并且APP-P-3可以為數(shù)據(jù)包創(chuàng)建會話�。
[0074]同樣,在某些實施例中���,可以操作存儲在與應用處理單元30中的一個相關聯(lián)的本地數(shù)據(jù)庫處的門信息(例如���,該門信息可以被更新、刪除等)���。例如����,在某些實施例中,應用處理單元30 (例如���,APP-P-3)可以使用密鑰的“dst-1p”部分來計算散列值�。散列值然后用于識別存儲有門信息的數(shù)據(jù)庫����。在該實例中,所識別的數(shù)據(jù)庫是與應用處理單元30“ APP-P-2”相關聯(lián)的本地數(shù)據(jù)庫��。應用處理單元30“APP-P-3”然后將操作消息(例如���,更新或刪除消息)與門ID (其是全密鑰)一起發(fā)送至APP-P-2���。當APP-P-2從APP-P-3接收門ID時,APP-P-2查找其RTO數(shù)據(jù)庫以查看是否存在匹配�����。如果存在,則APP-P-2可以執(zhí)行請求的操作�,在完成操作之后可以將確認消息發(fā)送回APP-P-3。
[0075]應注意的是�,RTO信息不限于先前實例中描述的門信息,并且可以存在其他類型的RTO信息��。例如��,RTO信息可以包括關于流會話的信息�����,在此情況下���,5元組可以被用作密鑰(例如,在散列操作中)以識別具有流會話信息的數(shù)據(jù)庫/對應應用處理單元30�。
[0076]在另一實例中,RTO信息可以包括關于VPN SA的信息�����,在此情況下����,5元組可以被用作密鑰(例如,在散列操作中)以識別具有VPN SA信息的數(shù)據(jù)庫/對應應用處理單元30����。在其他實施例中�,源IP地址和/或目的地IP地址可以被用作散列密鑰來定位應用處理單元以執(zhí)行RTO查找����。
[0077]在另一實例中,RTO信息可以包括關于全門的信息�,在此情況下,5元組可以被用作密鑰(例如����,在散列操作中)以識別具有全門信息的數(shù)據(jù)庫/對應應用處理單元30。[0078]在另一實例中�,RTO信息可以包括關于會話限制(其是基于源IP的或者是基于目的地IP的)的信息,在此情況下����,5元組中的源IP地址或目的地IP地址可以用于(例如,在散列操作中)識別具有會話限制信息的數(shù)據(jù)庫/對應應用處理單元30����。
[0079]在另一實例中,RTO信息可以包括關于AD計數(shù)的信息��,在此情況下,5元組中的源IP地址或目的地IP地址可以用于(例如����,在散列操作中)識別具有AD計數(shù)信息的數(shù)據(jù)庫/對應應用處理單元30。
[0080]在又一實例中����,RTO信息可以包括關于syn攻擊(比如syn攻擊計數(shù))的信息,在此情況下���,5元組中的源IP地址或目的地IP地址可以用于(例如���,在散列操作中)識別具有syn攻擊信息的數(shù)據(jù)庫/對應應用處理單元30。
[0081]在另一實例中�����,RTO信息可以包括關于錐形NAT的信息(例如����,映射信息)���。在這些情況下�����,可以具有兩個RTO條目�����,一個用于正向映射��,另一個用于反向映射���。原始源IP地址可以被用作密鑰(例如�����,在第一散列操作中)以識別具有正向映射信息的數(shù)據(jù)庫/對應應用處理單元30����,“NATed”源IP地址可以被用作密鑰(例如��,在第二散列操作中)以識別具有反向映射信息的數(shù)據(jù)庫/對應應用處理單元30�����。
[0082]在某些實施例中�����,除了會話RTO和SA RTO之外,具有相同目的地IP地址或源IP地址的所有RTO可以存儲在相同本地RTO數(shù)據(jù)庫中�。同樣,在某些實施例中��,對于具有固定目的地IP地址和源IP地址的給定數(shù)據(jù)包�����,兩個RTO數(shù)據(jù)庫詢問可以由應用處理單元30發(fā)出以檢索數(shù)據(jù)包的所有相關RT0����。例如,可以向通過對密鑰中的目的地IP地址進行散列處理識別的應用處理單元30 (例如�����,APP-P-1)發(fā)出一個詢問�����,并且可以向通過對密鑰中的源IP地址進行散列處理識別的另一個應用處理單元30 (例如�����,APP-P-2)發(fā)出另一個詢問��。
[0083]如上述所討論和所示的���,網(wǎng)絡裝置10中的一個或多個網(wǎng)絡處理單元20和一個或多個應用處理單元30用于彼此通過交換機架構16通信����。在某些實施例中��,網(wǎng)絡裝置10的交換機架構16可以包括用于使所有網(wǎng)絡處理單元20和應用處理單元30互連的邏輯總線�����。在某些實施例中�����,網(wǎng)絡裝置10可以使用協(xié)議(例如�,處理器間通信協(xié)議(IPCP),其是提供機構以在兩個點之間傳遞消息的傳輸層協(xié)議)來支持該互連(圖9)����。協(xié)議可以支持P2P通信、P2MP通信�、廣播����、同步通信��、異步通信���、可靠通信�����、不可靠通信的一個或組合��。
[0084]計算機系統(tǒng)架構
[0085]如上所述��,網(wǎng)絡裝置10包括一個或多個應用處理卡14中的多個應用處理單元30��。在其他實施例中����,應用處理單元30或應用處理卡14可以使用計算機系統(tǒng)來實現(xiàn)�����。圖10是示出了計算機系統(tǒng)1200的實施例的框圖���,本文描述的實施例可以在其上實現(xiàn)�����。例如�����,在某些實施例中�,計算機系統(tǒng)1200可以用于實現(xiàn)本文描述的應用處理卡14的一個或多個功能�����,或應用處理單元30的一個或多個功能�。計算機系統(tǒng)1200包括用于傳送信息的總線1202或其他通信機構,以及與總線1202耦合用于處理信息的處理器1204�。處理器1204可以用于執(zhí)行本文描述的各種功能。例如�,在某些實施例中,處理器1204可以從用戶接收輸入以配置網(wǎng)絡組件(例如��,組件380 )��。
[0086]計算機系統(tǒng)1200還包括主存儲器1206���,比如隨機存取存儲器(RAM)或與總線1202耦合以存儲信息和要由處理器1204執(zhí)行的指令的其他動態(tài)存儲設備����。在執(zhí)行要由處理器1204執(zhí)行的指令期間,主存儲器1206還可以用于存儲臨時變量或其他中間信息�。計算機系統(tǒng)1200進一步包括只讀存儲器(ROM) 1208或與總線1202耦合以存儲處理器1204的靜態(tài)信息和指令的其他靜態(tài)存儲設備。設置數(shù)據(jù)存儲設備1210�����,比如磁盤或光盤���,并耦合至存儲信息和指令的總線1202��。
[0087]計算機系統(tǒng)1200可以經(jīng)由總線1202與顯示器1212�����,比如陰極射線管(CRT)或IXD監(jiān)視器耦合���,以便向用戶顯示信息。包括字母數(shù)字和其他鍵的輸入設備1214與總線1202耦合以向處理器1204傳送信息和命令選擇����。另一類型的用戶輸入設備是向處理器1204傳送方向信息和命令選擇并控制顯示器1212上的光標運動的光標控制裝置1216�,比如鼠標��、軌跡球或光標方向鍵�����。該輸入設備在兩個軸�����,即第一軸(例如�,X)和第二軸(例如�,y)上通常具有兩個自由度,從而允許設備指定面內的位置�。
[0088]計算機系統(tǒng)1200可以用于根據(jù)本文描述的實施例執(zhí)行各種功能。根據(jù)一個實施例���,此用途由計算機系統(tǒng)1200響應于處理器1204執(zhí)行包含在主存儲器1206中的一個或多個指令的一個或多個序列來提供���。可以將這些指令從另一個計算機可讀介質讀入主存儲器1206��,比如存儲設備1210。執(zhí)行主存儲器1206中包含的指令序列使處理器1204執(zhí)行本文描述的處理步驟�。多處理布置中的一個或多個處理器還可以用于執(zhí)行主存儲器1206中包含的指令序列。在可選實施例中�����,硬接線電路可以用來代替軟件指令或結合軟件指令使用以實現(xiàn)本文描述的實施例的特征�。因此,本文描述的實施例不限于硬件電路和軟件的任意特定組合�����。
[0089]如本文所使用的術語“計算機可讀介質”指的是參與向處理器1204提供指令以便執(zhí)行的任意介質���。此介質可以呈現(xiàn)許多形式�����,包括但不限于非易失性介質�����、易失性介質以及傳輸介質���。非易失性介質例如包括光盤或磁盤,比如存儲設備1210。非易失性介質可以被視為非瞬態(tài)介質的實例�。易失性介質包括動態(tài)存儲器,比如主存儲器1206��。易失性介質可以被視為非瞬態(tài)介質的另一實例�����。傳輸介質包括同軸電纜��、銅線以及光纖�����,包括具有總線1202的電線���。傳輸介質還可以呈現(xiàn)聲波或光波的形式,比如在無線電波和紅外線數(shù)據(jù)通信期間產生的聲波或光波的形式���。
[0090]計算機可讀介質的共同形式例如包括軟盤����、伸縮盤���、硬盤���、磁帶�����、或任意其他磁性介質���、CD-ROM、任意其他光學介質���、穿孔卡�、紙帶�����、具有孔圖案的任意其他實體介質�����、RAM���、PROM�����、EPROM����、FLASH-EPR0M、任意其他存儲芯片或墨盒���、如下文描述的載波�、或計算機可從中讀取的任意其他介質�。
[0091]各種形式的計算機可讀介質可以涉及將一個或多個指令的一個或多個序列輸送至處理器1204以便執(zhí)行。例如����,指令最初可以由遠程計算機的磁盤攜帶��。遠程計算機可以將指令加載到動態(tài)存儲器中并使用調制解調器在電話線上發(fā)送指令�。計算機系統(tǒng)1200本地的調制解調器可以在電話線上接收數(shù)據(jù)并使用紅外線發(fā)射器來將數(shù)據(jù)轉換為紅外線信號。與總線1202耦合的紅外線檢測器可以接收紅外線信號中攜帶的數(shù)據(jù)并將數(shù)據(jù)置于總線1202上����。總線1202將數(shù)據(jù)輸送至主存儲器1206����,處理器1204從該主存儲器1206接收并執(zhí)行指令�����。在由處理器1204執(zhí)行之前或之后���,由主存儲器1206接收的指令可選可以存儲在存儲設備1210上。
[0092]計算機系統(tǒng)1200還包括與總線1202耦合的通信接口 1218����。通信接口 1218向與局部網(wǎng)絡1222連接的網(wǎng)絡鏈路1220提供雙向數(shù)據(jù)通信耦合。例如��,通信接口 1218可以是集成服務數(shù)字網(wǎng)絡(ISDN)卡或調制解調器以向對應類型的電話線提供數(shù)據(jù)通信連接����。再如,通信接口 1218可以是局域網(wǎng)(LAN)卡以向兼容的LAN提供數(shù)據(jù)通信連接��。還可以實現(xiàn)無線鏈路�����。在任意此實現(xiàn)中����,通信接口 1218發(fā)送并接收攜帶表示各種類型的信息的數(shù)據(jù)流的電信號��、電磁信號或光學信號����。
[0093]網(wǎng)絡鏈路1220通常向其他設備提供通過一個或多個網(wǎng)絡的數(shù)據(jù)通信����。例如,網(wǎng)絡鏈路1220可以向主機1224或裝備1226比如輻射束源或與輻射束源操作耦合的交換機��,提供通過局部網(wǎng)絡1222的連接����。在網(wǎng)絡鏈路1220上傳輸?shù)臄?shù)據(jù)流可以包括電信號、電磁信號或光信號��。通過各種網(wǎng)絡的信號以及網(wǎng)絡鏈路1220上并通過至并自計算機系統(tǒng)1200輸送數(shù)據(jù)的通信接口 1218的信號是傳輸信息的載波的示例性形式�。計算機系統(tǒng)1200可以通過網(wǎng)絡�、網(wǎng)絡鏈路1220以及通信接口 1218發(fā)送消息并接收數(shù)據(jù),包括程序代碼�。
[0094]應注意的是,當“數(shù)據(jù)包”在本申請中進行描述時����,應理解其可以指從節(jié)點傳輸?shù)脑紨?shù)據(jù)包���,或其副本。
[0095]應注意的是�,術語“第一”、“第二”等用于指不同的事物��,且不一定指事物的次序����。
[0096]雖然已經(jīng)示出并描述具體實施例,但應理解這些實施例非旨在限制要求保護的發(fā)明�,對本領域技術人員來說顯而易見的是,在不背離要求保護的本發(fā)明的精神和范圍的情況下可以作出各種改變和修改�。本說明書和附圖相應地被認為是說明性的而不是限制意義上的。要求保護的發(fā)明旨在涵蓋替代�����、修改和等同物�����。
【權利要求】
1.一種由具有多個應用處理單元的網(wǎng)絡裝置執(zhí)行的方法�,包括: 在網(wǎng)絡裝置接收第一數(shù)據(jù)包���; 基于關于所述第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值;以及 使用所計算的第一值識別所述網(wǎng)絡裝置中的多個應用處理單元的第一應用處理單元�。
2.根據(jù)權利要求1所述的方法,其中�,所述一個或多個信息包括源IP地址、目的地IP地址��、源端口標識符����、目的地端口標識符、以及協(xié)議信息的一個或組合��。
3.根據(jù)權利要求1所述的方法����,其中,所述網(wǎng)絡裝置包括多個應用處理卡�,所述多個應用處理單元是所述應用處理卡的一部分。
4.根據(jù)權利要求1所述的方法���,其中,所述應用處理單元中的至少兩個用于執(zhí)行各自不同的數(shù)據(jù)包處理功能����。
5.根據(jù)權利要求1所述的方法��,還包括:至少部分基于關于第一數(shù)據(jù)包的一組信息從所識別的第一應用處理單元檢索數(shù)據(jù)����,所述組信息是用于計算所述第一值的一個或多個信息的超集��。
6.根據(jù)權利要求5所述的方法���,其中���,用于檢索數(shù)據(jù)的所述組信息包括源IP地址、目的地IP地址��、源端口���、目的地端口�、以及協(xié)議信息���,并且其中用于識別所述第一應用處理單元的一個或多個信息包括所述組信息的子集��。
7.根據(jù)權利要求5所述的方法�����,其中�����,從所識別的第一應用處理單元檢索數(shù)據(jù)的動作包括從與所述第一應用處理單元相關聯(lián)的第一本地數(shù)據(jù)庫檢索數(shù)據(jù)���。
8.根據(jù)權利要求1所述的方法�����,還包括:從所識別的第一應用處理單元接收數(shù)據(jù)�����,其中接收數(shù)據(jù)的動作由所述網(wǎng)絡裝置中的多個應用處理單元的與使用所計算的第一值識別的第一應用處理單元不同的第二應用處理單元執(zhí)行���。
9.根據(jù)權利要求1所述的方法,其中���,所述應用處理單元具有與所述應用處理單元相關聯(lián)的各本地數(shù)據(jù)庫�����,并且所述方法還包括將關于所述第一數(shù)據(jù)包的數(shù)據(jù)存儲在本地數(shù)據(jù)庫的與所識別的第一應用處理單元相關聯(lián)的一個本地數(shù)據(jù)庫處�。
10.根據(jù)權利要求9所述的方法���,其中��,所述本地數(shù)據(jù)庫中的至少一個不具有所述數(shù)據(jù)的副本���。
11.根據(jù)權利要求1所述的方法,還包括: 在網(wǎng)絡裝置接收第二數(shù)據(jù)包�����; 基于關于所述第二數(shù)據(jù)包的一個或多個信息來計算第二值�;以及 使用所計算的第二值來識別多個應用處理單元的第二應用處理單元。
12.根據(jù)權利要求1所述的方法����,還包括: 檢索存儲在與所識別的應用處理單元相關聯(lián)的本地數(shù)據(jù)庫中的數(shù)據(jù);以及 至少部分基于檢索的數(shù)據(jù)來創(chuàng)建表示數(shù)據(jù)包處理計劃的數(shù)據(jù)包處理會話�。
13.根據(jù)權利要求12所述的方法,其中�����,所述數(shù)據(jù)包處理會話由應用處理單元中的一個創(chuàng)建。
14.根據(jù)權利要求13所述的方法����,其中,所述網(wǎng)絡裝置還包括多個I/O卡�,并且所述方法還包括:將所述數(shù)據(jù)包處理會話存儲在所述I/O卡的接收所述第一數(shù)據(jù)包的一個的第一本地數(shù)據(jù)庫中。
15.根據(jù)權利要求14所述的方法����,其中,所述數(shù)據(jù)包處理會話還存儲在I/O卡的輸出第一數(shù)據(jù)包的另一個的第二本地數(shù)據(jù)庫中����。
16.根據(jù)權利要求14所述的方法,其中��,所述網(wǎng)絡裝置用于在慢通道配置或快通道配置中執(zhí)行數(shù)據(jù)包處理��,在所述慢通道配置中處理所述第一數(shù)據(jù)包的同時執(zhí)行計算第一值的動作和使用所計算的第一值來識別所述第一應用處理單元的動作�����。
17.一種網(wǎng)絡裝置��,包括: 彼此通信連接的多個處理單元; 其中所述多個處理單元的第一處理單元用于: 基于關于第一數(shù)據(jù)包的一個或多個信息使用數(shù)學算法來計算第一值�;以及 使用所計算的第一值來識別所述多個處理單元的第二處理單元。
18.根據(jù)權利要求17所述的網(wǎng)絡裝置�����,其中���,所述一個或多個信息包括源IP地址、目的地IP地址��、源端口標識符�����、目的地端口標識符����、以及協(xié)議信息的一個或組合。
19.根據(jù)權利要求17所述的網(wǎng)絡裝置�,還包括多個應用處理卡,所述多個應用處理單元是所述應用處理卡的一部分����。
20.根據(jù)權利要求17所述的網(wǎng)絡裝置���,其中,所述應用處理單元中的至少兩個用于執(zhí)行各自不同的數(shù)據(jù)包處理功能����。
21.根據(jù)權利要求17所述的網(wǎng)絡裝 置,其中��,所述第一處理單元用于至少部分基于關于第一數(shù)據(jù)包的一組信息來從所識別的第一應用處理單元檢索數(shù)據(jù)����,所述組信息是用于計算用于識別第二應用處理單元的第一值的一個或多個信息的超集。
22.根據(jù)權利要求21所述的網(wǎng)絡裝置�,其中,用于檢索數(shù)據(jù)的所述組信息包括源IP地址����、目的地IP地址、源端口�、目的地端口、以及協(xié)議信息�,并且其中用于識別所述第二應用處理單元的一個或多個信息包括所述組信息的子集。
23.根據(jù)權利要求21所述的網(wǎng)絡裝置��,其中�����,所述第一處理單元用于通過從與第二應用處理單元相關聯(lián)的本地數(shù)據(jù)庫檢索數(shù)據(jù)來從所識別的第二應用處理單元檢索數(shù)據(jù)。
24.根據(jù)權利要求17所述的網(wǎng)絡裝置���,還包括與所述處理單元相關聯(lián)的各本地數(shù)據(jù)庫����,其中所述本地數(shù)據(jù)庫中的與所識別的第二應用處理單元相關聯(lián)的本地數(shù)據(jù)庫用于存儲關于所述第一數(shù)據(jù)包的數(shù)據(jù)�。
25.根據(jù)權利要求24所述的網(wǎng)絡裝置,其中�����,所述本地數(shù)據(jù)庫中的至少一個不具有所述數(shù)據(jù)的副本�����。
26.根據(jù)權利要求17所述的網(wǎng)絡裝置��,其中第一處理單元用于: 基于關于第二數(shù)據(jù)包的一個或多個信息來計算第二值�;以及 使用所計算的第二值來識別所述多個應用處理單元的第三應用處理單元��。
27.根據(jù)權利要求17所述的網(wǎng)絡裝置�����,其中第一處理單元用于: 檢索存儲在與所識別的應用處理單元相關聯(lián)的本地數(shù)據(jù)庫中的數(shù)據(jù);以及 至少部分基于檢索的數(shù)據(jù)來創(chuàng)建表示數(shù)據(jù)包處理計劃的數(shù)據(jù)包處理會話���。
28.根據(jù)權利要求27所述的網(wǎng)絡裝置��,還包括多個I/O卡��,其中�,所述第一數(shù)據(jù)包在所述多個I/O卡的第一 I/O卡處接收���,并在所述多個I/O卡的第二 I/O卡處輸出����,并且其中所述數(shù)據(jù)包處理會話存儲在所述多個I/O卡中的接收所述第一數(shù)據(jù)包的第一 I/O卡中��,以及所述多個I/O卡的輸出所述第一數(shù)據(jù)包的第二 I/O卡中����。
29.根據(jù)權利要求17所述的網(wǎng)絡裝置,其中�,所述網(wǎng)絡裝置用于在慢通道配置或快通道配置中執(zhí)行數(shù)據(jù)包處理,所述第一處理單元用于在所述慢通道配置中處理所述第一數(shù)據(jù)包的同時執(zhí)行計算所述第一值的動作和使用所計算的第一值來識別所述第二處理單元的動作����。
30.根據(jù)權利要求17所述的網(wǎng)絡裝置����,其中�,所述第一處理單元包括第一應用處理單元,所述第二處理單元包括第二應用處理單元����。
31.根據(jù)權利要求17所述的網(wǎng)絡裝置,其中�,所述第一處理單元包括I/O卡中的網(wǎng)絡處理單元,所述第二處理單元包括所述應用處理卡中的應用處理單元�。
【文檔編號】H04L29/06GK103905433SQ201410092922
【公開日】2014年7月2日 申請日期:2014年3月13日 優(yōu)先權日:2013年3月15日
【發(fā)明者】蔣東毅, 尚進, 於大維, 林蔡宗, 謝軍, 張曄 申請人:山石網(wǎng)科通信技術有限公司