CN104169878B

CN104169878B - 可升级的虚拟设备云

Info

Publication number: CN104169878B
Application number: CN201380014161.XA
Authority: CN
Inventors: K·G·坎博; N·马克杰; V·潘德伊; 吕达人
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2012-03-16
Filing date: 2013-03-01
Publication date: 2017-02-22
Anticipated expiration: 2033-03-01
Also published as: GB2513519A; US20130247168A1; US20150200951A1; GB2513519B; DE112013000731T5; WO2013136213A1; CN104169878A; US9736163B2; US20130242999A1; GB201415161D0; US9009831B2; US8789164B2; DE112013000731B4

Abstract

一种用于提供可升级虚拟设备云(SVAC)服务的方法包括利用至少一个交换分布式线卡(DLC)接收具有导向SVAC的多个分组的输入数据流、确定分组满足访问控制列表(ACL)的条件、基于被满足的ACL的条件指定目的端口来发送分组、把分组分段成信元，其中指定的目的端口存储在信元的信元头中、经至少一个交换机架构控制器(SFC)把信元发送到目的端口、在设备DLC的架构接口接收信元、把信元重组成第二分组、利用设备DLC在第二分组上执行一个或多个服务、及把第二分组发送到其所期望的端口。

Description

可升级的虚拟设备云

技术领域

本发明涉及数据中心基础设施，更具体地，本发明涉及用于在数据中心中使用的设备云。

背景技术

尽管对数据中心基础设施的弹性需要已经争论了很长时间，并且业界已经想出多个如何使数据中心更加灵活的有竞争力的构思，但是，很少有强调云就绪数据中心的虚拟化安全方面，例如，防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)以及服务方面，例如，加速器、虚拟专用网络(VPN)终端。利用服务器虚拟化与分布式应用体系结构，跨多个应用和客户端共享基础设施正变得越来越普遍，并且最近的趋势表明随着应用变得越来越分布，服务器对服务器的通信(在数据中心中称为东西向业务)很有可能呈指数增长。而且，利用覆盖网络，例如，虚拟可扩展局域网(VXLAN)和虚拟机(VM)的移动性，用于保护数据中心的防火墙配置变得越来越难以创建和管理，例如，由按照传统的方法只允许某些类型的网络业务在数据中心内进入或离开的防火墙隔开的非军事区(DMZ)。

发明内容

在一种实施例中，一种系统，包括可升级虚拟设备云(SVAC)，所述可升级虚拟设备云(SAVC)包括至少一个分布式线卡(DLC)、与所述至少一个DLC通信的至少一个交换机架构耦合器(SFC)、以及与所述至少一个DLC通信的至少一个控制器。所述至少一个DLC中的一个或多个是设备DLC、所述至少一个SFC中的一个或多个是中央SFC、以及所述SVAC对其外部的装置表现为向业务流应用各种服务的单一设备装置。

在另一种实施例中，一种用于提供SVAC服务的方法，包括利用至少一个交换DLC接收具有导向SVAC的多个分组的输入数据流、确定分组满足访问控制列表(ACL)的条件、基于被满足的ACL的条件指定目的端口来发送分组、把分组分段成至少一个信元，其中所指定的目的端口存储在所述至少一个信元的信元头中、经至少一个SFC把所述至少一个信元发送到目的端口、在对应于所述目的端口的设备DLC的架构接口接收所述至少一个信元、把所述至少一个信元重组成第二分组、利用设备DLC在第二分组上执行一个或多个服务、以及把第二分组发送到其所期望的端口。

在还有的另一种实施例中，一种用于提供SVAC服务的方法，包括：从一个或多个SFC接收多个信元，其中一个或多个服务已经被请求在所述多个信元上执行、利用设备DLC的本地网络交换机把所述多个信元重组成一个或多个分组、利用设备DLC在所述一个或多个分组上执行一个或多个所请求的服务、利用设备DLC的本地网络交换机把所述一个或多个分组分段成信元，其中设备DLC的分组交换块未从设备DLC的本地处理器中接收到的分组中得出源或目的地址、以及利用设备DCL的本地网络交换机把所述一个或多个分组发送到所述一个或多个SFC。

根据另一种实施例，一种用于提供SVAC服务的方法，包括：在交换DLC接收多个分组，其中一个或多个服务已经被请求在所述多个分组上执行、利用至少一个ACL分析所述多个分组以确定要在所述多个分组的一个或多个部分上执行的一个或多个服务、确定与一个或多个设备DLC关联的至少一个目的端口，其中所述一个或多个设备DLC中的每一个都适于向所述一个或多个分组提供所确定的一个或多个服务、把所述一个或多个分组分段成多个信元、以及经一个或多个SFC把所述多个信元发送到所确定的至少一个目的端口。

本发明的其它方面与实施例将从以下具体描述中变得显而易见，当结合附图考虑时，以下具体描述通过示例说明了本发明的原理。

附图说明

图1根据一种实施例说明了网络体系结构。

图2根据一种实施例示出了可以与图1的服务器和/或客户端关联的代表性硬件环境。

图3是根据一种实施例的虚拟化数据中心的简化图。

图4是根据一种实施例的具有虚拟设备云的虚拟化数据中心的简化图。

图5根据一种实施例示出了虚拟设备云的简化图。

图6根据一种实施例展示了虚拟设备云基础设施。

图7根据一种实施例描绘了分布式线卡(DLC)控制面。

图8是根据一种实施例的方法的流程图。

图9根据一种实施例示出了虚拟设备云基础设施在数据面中的全线速配置及相应的控制器连接性。

图10是根据一种实施例的方法的流程图。

图11是根据一种实施例的方法的流程图。

具体实施方式

以下描述是为了说明本发明的通用原理而不是要限定本文所要求保护的发明性概念。另外，本文所述的特定特征可以结合其它所述特征在各种可能的组合与置换中的每一种当中使用。

除非在本文中专门定义，否则所有术语都要赋予其最广泛可能的解释，包括从本说明书表明的意义以及本领域技术人员所理解的和/或在词典、论文等中定义的意义。

还必须指出，如在本说明书和所附权利要求中所使用的，除非另外规定，否则单数形式“一”、“一个”和“这个”包括复数的所指对象。

在一种方法中，当网络设备和服务以降低数据中心安全性与服务加速的管理复杂性的方式被虚拟化时，云就绪数据中心会是真正地灵活的。

在一种通用的实施例中，一种系统，包括可升级虚拟设备云(SVAC)，其包括至少一个分布式线卡(DLC)、与所述至少一个DLC通信的至少一个交换机架构耦合器(SFC)、以及与所述至少一个DLC通信的至少一个控制器。所述至少一个DLC中的一个或多个是设备DLC、所述至少一个SFC中的一个或多个是中央SFC、以及所述SVAC对其外部的装置表现为向业务流应用各种服务的单一设备装置。

在另一种通用的实施例中，一种用于提供SVAC服务的方法，包括：利用至少一个交换DLC接收具有导向SVAC的多个分组的输入数据流、确定分组满足访问控制列表(ACL)的条件、基于被满足的ACL的条件指定目的端口来发送分组、把分组分段成至少一个信元，其中所指定的目的端口存储在所述至少一个信元的信元头中、经至少一个SFC把所述至少一个信元发送到目的端口、在对应于所述目的端口的设备DLC的架构接口接收所述至少一个信元、把所述至少一个信元重组成第二分组、利用设备DLC在所述第二分组上执行一个或多个服务、以及把所述第二分组发送到其所期望的端口。

在还有的另一种通用的实施例中，一种用于提供SVAC服务的方法，包括：从一个或多个SFC接收多个信元，其中一个或多个服务已经被请求在所述多个信元上执行、利用设备DLC的本地网络交换机把所述多个信元重组成一个或多个分组、利用设备DLC在所述一个或多个分组上执行一个或多个所请求的服务、利用设备DLC的本地网络交换机把所述一个或多个分组分段成信元，其中设备DLC的分组交换块未从设备DLC的本地处理器中收到的分组中得到源或目的地址、以及利用设备DCL的本地网络交换机把所述一个或多个分组发送到一个或多个SFC。

根据另一种通用的实施例，一种用于提供SVAC服务的方法，包括：在交换DLC接收多个分组，其中一个或多个服务已经被请求在所述多个分组上执行、利用至少一个ACL分析所述多个分组以确定要在所述多个分组的一个或多个部分上执行的一个或多个服务、确定与一个或多个设备DLC关联的至少一个目的端口，其中所述一个或多个设备DLC中的每一个都适于向所述一个或多个分组提供所确定的一个或多个服务、把所述一个或多个分组分段成多个信元、以及经一个或多个SFC把所述多个信元发送到所确定的至少一个目的端口。

所属技术领域的技术人员知道，本发明的各个方面可以实现为系统、方法或计算机程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“逻辑”、“电路”、“模块”或“系统”。此外，本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式，所述计算机可读介质中包含计算机可读的程序代码。

可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者非暂时性计算机可读存储介质。非暂时性计算机可读存储介质例如可以是但不限于，电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。非暂时性计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑盘只读存储器(CD-ROM)、蓝光光盘只读存储器(BD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，非暂时性计算机可读存储介质可以是任何能够包含或存储程序或应用的有形介质，所述程序或应用可以被指令执行系统、装置、或者设备使用或者与其结合使用。

计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是非暂时性计算机可读存储介质以外的任何计算机可读介质，所述计算机可读介质可以发送、传播或者传输程序以被指令执行系统、装置或者设备使用或者与其结合使用，诸如具有一条或多条电线的电连接、光纤等。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等，还包括传统的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机或服务器的情形中，远程计算机或服务器可以通过任意种类的网络，包括局域网(LAN)、存储区域网(SAN)、和/或广域网(WAN)连接到用户计算机，或者，可以利用例如互联网服务提供商(ISP)来通过互联网连接到外部计算机。

本文将参照根据本发明各种实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都能够可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的手段。

也可以把这些计算机程序指令存储在计算机可读介质中，这些指令可以使计算机、其它可编程数据处理装置、或其它设备以特定方式工作，从而，存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。

也可以把这些计算机程序指令加载到计算机、其它可编程数据处理装置或者其它设备上，使得一系列操作步骤在计算机、其它可编程装置或者其它设备上执行，产生一种计算机实现的过程，使得在所述计算机或者其它可编程装置上执行的指令提供用于实现在所述流程图和/或框图中的一个或多个方框中所指定的功能/动作的过程。

图1根据一种实施例说明了网络体系架构100。如图1所示，提供了多个远程网络102，包括第一远程网络104和第二远程网络106。网关101可以耦合在远程网络102和近端网络108之间。在所给出的网络体系架构100的背景下，网络104、106每个都可以采取包括但不限于LAN、诸如互联网的WAN、公共交换电话网络(PSTN)、内部电话网等的任何形式。

在使用当中，网关101充当从远程网络102到近端网络108的进入点。因此，网关101可以充当能够指引到达网关101的给定数据分组的路由器，以及装备在为给定分组提供进出网关101的实际路径的交换机。

另外还包括的是耦合到近端网络108并且可以经网关101从远程网络102访问的至少一个数据服务器114。应当指出，数据服务器114可以包括任何类型的计算装置/群件。耦合到每个数据服务器114的是多个用户装置116。这种用户装置116可以包括台式计算机、膝上型计算机、手持式计算机、打印机和/或任何其它类型包含逻辑的装置。应当指出，在某些实施例中，用户装置111还可以直接耦合到任何网络。

外围设备120或者一系列外围设备120，例如，传真机、打印机、扫描仪、硬盘驱动器、联网的和/或本地的存储单元或系统等，可以耦合到网络104、106、108中的一个或多个。应当指出，数据库和/或附加的组件可以与耦合到网络104、106、108的任何类型的网络元件一起使用或者被集成到其中。在本描述的背景下，网络元件可以指网络的任何组件。

根据某些方法，本文所描述的方法和系统可以与虚拟系统和/或模拟一个或多个其它系统的系统一起实现和/或在其上实现，诸如模拟IBM z/OS环境的UNIX系统、虚拟托管MICROSOFT WINDOWS环境的UNIX系统、模拟IBM z/OS环境的MICROSOFT WINDOWS系统等。在某些实施例中，这种虚拟化和/或模拟可以通过VMWARE软件的使用来增强。

在更多的方法中，一个或多个网络104、106、108可以表示通常称为“云”的系统的集群。在云计算中，诸如处理能力、外围设备、软件、数据、服务器等共享的资源以按需关系提供给云中的任何系统，从而允许服务跨许多计算系统的访问和分布。如本领域已知的，云计算通常涉及云中所运行的系统之间的互联网连接，但是也可以使用连接系统的其它技术。

图2根据一种实施例示出了与图1的用户装置116和/或服务器114关联的代表性硬件环境。图2说明了具有诸如微处理器的中央处理单元(CPU)210以及经一条或多条总线212互连的多个其它单元的工作站的典型硬件配置，其中根据若干个实施例，总线212可以是诸如本地总线、并行总线、串行总线等不同类型的总线。

图2中所示的工作站包括随机存取存储器(RAM)214、只读存储器(ROM)216、用于把诸如盘存储单元220的外围设备连接到一条或多条总线212的I/O适配器218、用于把键盘224、鼠标226、扬声器228、麦克风232和/或诸如触摸屏、数码相机(未示出)等的其它用户接口装置连接到一条或多条总线212的用户接口适配器222、用于把工作站连接到通信网络235(例如，数据处理网络)的通信适配器234以及用于把一条或多条总线212连接到显示设备238的显示器适配器236。

工作站可以在其上驻留操作系统，诸如MICROSOFT WINDOWS操作系统(OS)、MACOS、UNIX OS等。应当认识到，优选实施例还可以在除所提到的那些之外的平台和操作系统上实现。优选实施例可以伴随着面向对象的编程方法用JAVA、XML、C和/或C++语言或者其它编程语言编写。可以使用越来越多地用于开发复杂应用的面向对象的编程(OOP)。

现在参考图3，其根据一种实施例示出了覆盖网络300的概念图。为了虚拟化网络服务，除简单地在装置之间提供架构路径(连接性)之外，设备云还可以被虚拟化。在一种方法中，覆盖网络300在物理(真实)网络基础设施302内包括一个或多个虚拟网络304、306。如本领域技术人员将知道的，网络基础设施302可以包括任何组件、硬件、软件和/或通常与网络基础设施关联和/或在其中使用的功能，其包括但不限于，交换机、连接器、电线、电路、电缆、服务器、主机、存储介质、操作系统、应用、端口、I/O等。

每个虚拟网络304、306都可以包括任意数量的虚拟机(VM)308、310。在一种实施例中，虚拟网络A 304包括一个或多个VM 308，并且虚拟网络B 306包括一个或多个VM 310。如图3中所示，VM 308、310不被虚拟网络304、306所共享，而是在任意给定的时间都专门包括在仅仅一个虚拟网络304、306中。

现在参考图4，其根据一种实施例示出了具有虚拟设备402、404的虚拟化数据中心400的概念图。云就绪数据中心400的关键特征之一是在提供高可用性(HA)、高可靠性及优良的可服务性的动态服务环境中物理资源的高利用率。为了提供这些特征，数据中心400可以设计成使得它可以向外扩展(scaled-out)(随着时间推移做得更大)并且使得软件抽象层具有多租户管理能力。当然，如本领域技术人员在阅读本描述时将理解的，可以使用根据各种实施例非常类似于上述技术的其它方法实现这些特点。

根据一种实施例，支持虚拟设备云的硬件基础设施允许向外扩展的解决方案，例如，向外扩展的解决方案而不是按比例放大(scale-up)的解决方案。在一种方法中，为了使其发生，创建了硬件基础设施平台，其中可以用最小的开销把新的服务硬件添加到现有的基础设施，使得得到增加容量构建的益处。这种系统，当从整体上看时，像具有应用了多个系列化服务的单一设备装置。

现在参考图5，根据一种实施例示出了系统500，其包括防火墙服务502、入侵防御系统(IPS)和入侵检测系统(IDS)504、以及服务器负载平衡服务506。在许多方法中，系统500包括控制以上定义的服务的管理逻辑508，连同系统500上运行的任何其它逻辑。管理逻辑508还处理输入数据分组和输出数据分组，而不管是用什么分组传输协议，例如，以太网、以太网上外围组件互连快递(PCIe)、以太网光纤通道(FC)(FCoE)等。

在一种方法中，可以分析输入数据分组以确定系统500在处理输入数据分组的过程中可以执行的一个或多个服务。而且，系统可以执行的服务定义输入数据分组在由可升级虚拟设备云处理数据分组的过程中将遍历的全部或者部分处理途径。

例如，在其中某种服务只由设备的子集来执行的一种实施例中，需要那些服务的数据分组必须到达所述设备子集中的一个设备，以便接收感兴趣的服务。因此，在一种实施例中，至少部分处理途径将在所述设备子集中的一个设备处包括“停止(stop)”，部分地定义处理途径。在更限制的方法中，全部处理途径可以根据数据分组的服务请求来定义。

根据一种实施例，系统500可以由与设备分布式线卡(DLC)互连的信元交换域可升级架构组件来构建。

现在参考图6，根据一种实施例示出了设备云600的组件互连性610的概览。控制器交换机602是设备云600的域的主控制器。因为不必要在设备云600中含有控制器交换机602，因此，根据各种实施例，可能没有出现控制器交换机602、可能有控制器交换机602以及且在设备云600的域中可能没有使用其它的控制器、或者在设备云600中可能有多个控制器。如本领域技术人员将知道的，在备选的实施例中，可以使用一个或多个外部服务器(未示出)作为其它的控制器。来自域外面的业务(要发送的数据/请求/警报等)通过交换DLC或上行链路交换机DLC 604进入设备云600。根据各种实施例，可能没有上行链路交换机DLC604或者有一个或多个上行链路交换机DLC 604。

如本领域技术人员将理解的，基于所涉及的特定业务流视情况而定，控制器交换机602负责确定用于特定业务流(穿过域的数据/请求/警告等的移动)的服务并且通过一系列设备606把它重定向。

在一种方法中，如图6中所示，设备云600也包括任意数量(N-1)的架构连接608，其通过连接性610可以对设备云600的域的所有其它组件可见。所述多个架构连接608(如利用省略号指示的)创建了一个单一的、大的、平的业务管理域。在一种实施例中，设备云600中的每个交换机都是信元交换机并且通过连接包括设备DLC的所有类型的DLC帮助把一个大的虚拟交换机创建成单一的信元域。根据各种实施例，在设备云600中可以使用许多不同类型的交换机，诸如传统的交换机612、控制器交换机602、上行链路交换机DLC 604、设备DLC606等。

在一种实施例中，如利用省略号指示的，设备云600可以包括多个设备DLC 606，每个设备DLC 606都适于执行一个或多个服务，以便把业务输入到设备云600。

在还有的实施例中，可能有多个设备DLC 606，每个都执行相同的服务(诸如VPN服务)，连同执行另一种服务(诸如防火墙服务)的其它多个设备DLC 606。当业务通过设备云600路由以在其上执行服务时，为了平衡设备云600中的每个设备DLC 606的处理负载，可能有负载均衡功能，其确定向执行特定服务的多个设备DLC 606中的哪一个发送业务。

如本领域技术人员将理解的，在各种实施例中，设备云600可以不包括交换机612或者包括一个或多个交换机612、可能是不同的类型、用于不同的目的、来自不同的制造商，等等。

在一种实施例中，设备云600的拓扑结构是信元交换CLOS，其在设备云600上提供任何链路/装置的高可用性。如本领域技术人员将理解的，连接性细节和横截面带宽可以定制实现并且最好基于特定应用来确定。

从联网的角度来看，设备云600的全部域从外面可能看起来像单一的、巨大的设备，其中多个服务被应用到业务流。根据一种实施例，拓扑结构的基架是如前所述的信元交换接口，其去除了无限循环的可能并且它通过为单个目的地在多条链路上传播信元有效地使用了可用的基架带宽。可以在设备云600的域中添加/去除个别的设备云DLC 606，而不用中断其它的服务、装置等。

根据一种实施例，可以把最多大约800个(任意类型的)DLC耦合到由多个架构连接608构成的中央架构。在一个例子中，这允许大约32,768个以太网端口在设备云600的单个域中。在还有的实施例中，利用本文根据各种实施例描述的体系结构，大约2.5毫秒或更少的固定延迟连同一个业务管理域中可能的大量以太网端口一起是可能的。在一个例子中，设备云600可以被设想成具有超过32,768个较小设备的单一、巨大的设备。这里，一个设备对应于一个以太网端口。

如本领域技术人员将知道的，根据各种实施例，设备DLC 606可以包括和/或提供任意类型的服务或应用，诸如防火墙服务、入侵防御系统(IPS)服务、入侵检测系统(IDS)、IPS/IDS服务、服务器负载平衡服务、LAN优化服务、VPN服务、视频优化服务、网络地址转换(NAT)服务、加密服务、解密服务等，还包括许多其它的可能性。

此外，在一种方法中，多个设备DLC 606可以执行同一服务。

而且，在一些方法中，服务可以在可升级虚拟设备云(SVAC)600中的数据上执行。特别地，如本领域普通技术人员在阅读本描述时将理解的，服务可以在数据业务、分组、信元等上执行。另外还有，如本领域普通技术人员将理解的，当服务在特定量的数据“上执行”时，所述服务可被直接地应用到该特定量的数据、并且附加地和/或作为替代可以在与该量的数据相关联的其它数据上执行、可以如所要求的在其它数据上执行(无论是否与该量的数据相关联)，以便在该量的数据上启用服务执行。本质上，在一些方法中，在一定量数据上执行的服务指示响应于针对给定服务的所述量的数据请求和/或结合针对给定服务的所述量的数据请求来执行所述服务。

因此，在一些实施例中，除了把多个以太网端口集成到设备云600中，数据中心的全部需求和优势也集成到设备云600中。因此，如果发起新的、超低延迟、平的数据中心，则利用虚拟化设备云600会有所帮助，因为大多数虚拟化的数据中心，尤其基于管理程序的服务器，运行多个VM。通过具有“平的交换机”体系结构，多个VM可以容易地且有效地跨体系结构移动数据。通常，对于VM来说，很难跨层3-域、在一个子网到另一个子网之间、互联网协议(IP)子网到IP子网等移动。但是，在非常大的层2-域中，如果其体系结构类似于大的、平的交换机，那么在VM会在尝试跨体系结构移动数据时得到帮助。

现在参考图7，根据一种实施例示出了与处理器联合体702通信的DLC控制面700。在一种方法中，处理器联合体702相对于DLC控制面700是本地放置的。此外，处理器联合体702可以包括任意适当的处理器，诸如CPU、专用集成电路(ASIC)、微处理器、集成电路(IC)、现场可编程门阵列(FPGA)等。而且，处理器联合体702与DLC控制面700交换一个或多个配置和/或状态消息(信元)。如本领域普通技术人员将理解的，DLC控制面700和处理器联合体702之间的连接可以包括任何适当的连接，根据各种实施例，包括诸如以太网电缆、内部铜线、PCI连接、总线连接等的物理连接。在操作中，DLC控制面700可以为SVAC运行各种设备和/或应用服务，诸如防火墙服务、IDS、IPS、和/或其它VPN服务等。

在备选的实施例中，处理器联合体702可以位于远程，但是仍然与DLC控制面700进行通信。

处理器联合体702是DLC控制面700上的本地控制处理器，其管理所有的本地装置，包括I/O交换机704、以太网交换机710、设备协处理器联合体708、以及DLC控制面700上的其它本地装置(未示出)。以太网管理端口706由处理器联合体702使用，以为各种目的进行带外通信，其目的包括但不限于，远程登录(telnet)、文件传输、网络管理等。通信经连接718发生，连接718可以包括铜、光、或一些其它适当的链路，并且可以遵循标准的以太网协议，诸如串行千兆媒体独立接口(SGMII)。

根据一些实施例，以太网交换机710可以适于执行以太网分组处理功能、业务管理、把分组分段成信元、和/或通过架构接口传输和接收信元。在另一种实施例中，以太网交换机710可以包括交换ASIC，诸如BROADCOM公司的BCM88650，或如本领域已知的一些其它适当的交换处理器。

在一种实施例中，设备协处理器联合体708可以包括以下的一个或多个：CAVIUMNETWORKS OCTEON处理器联合体、NetLogic MICROSYSTEMS XLR处理器联合体、和/或LSILOGIC TARARI联合体，还包括如本领域已知的其它适当的处理器联合体。

处理器联合体702也连接到I/O交换机704，其可以是PCI交换机、Infiniband交换机等。处理器联合体702经链路716连接到I/O交换机704，其中链路716可以包括一个或多个(诸如一对)PCIe总线、Infiniband总线等。I/O交换机704通过PCIe、Infiniband等在处理器联合体702和以太网交换机710及设备协处理器联合体708之间交换I/O事务。I/O交换机704经连接714连接到以太网交换机710，其中连接714可以是PCIe总线，还包括本领域已知的其它可能性。

根据一种实施例，依次地，I/O交换机704可以经连接714、724与一个或多个交换装置708、710通信。根据各种方法，尽管连接714、724可以包括任意适当的连接类型，但是每个以太网交换机710或设备协处理器联合体708优选地经PCIe总线连接与I/O交换机704通信。

而且，每个连接714都可以连接到位于每个以太网交换机710上的一对PCIe端口710a。在各种方法中，在其中的一种方法中，以太网交换机的PCIe端口710a可以是第二代PCIe端口。当然，在其它的实施例中，如本领域技术人员将理解的，可以使用任意适当的端口作为PCIe端口710a。此外，提供足够的加速度以执行诸如防火墙、IPS、IDS、VPN、加密等应用服务的任意处理器联合体都适于在示例DLC控制面700中使用。

在一种实施例中，DLC可以包括耦合到多个端口的接口块，所述多个端口适于耦合到一个或多个外围装置口。而且，接口块可以包括适于为其每一通道(lane)提供直接存储器访问(DMA)和/或在多个交换端口和多个端口之间交换的逻辑。而且，DLC可以包括适于耦合到一个或多个外围装置的多个交换端口；适于在多个交换端口和多个端口之间交换的交换逻辑；耦合到接口块的本地处理器。而且，外部主机可以耦合到DLC的多个端口中的至少一个，其中外部主机包括直通适配器并且配置成执行管理面功能和至少部分地为DLC执行控制面的功能。

而且，在一种实施例中，管理面的功能可以包括以下至少一个：通过远程登录的命令行接口(CLI)操作；简单网络管理协议(SNMP)代理操作；web服务器操作；远程登录服务器/客户端操作；和/或简单文件传输协议(TFTP)服务器/客户端操作，还包括如本领域技术人员在阅读本描述时将理解的其它可能性。

在另一种实施例中，控制面的功能可以包括至少一个：处理控制分组；运行交换协议；及运行平台软件，还包括如本领域技术人员在阅读本描述时将理解的其它可能性。

在还有的另一种实施例中，外部主机可以配置成编程SFC的交换逻辑，以处理连接到多个端口的主机、连接到多个交换端口的主机、和/或连接到第一端口的第一主机和连接到第二端口的第二主机中的每一个之间的通信。

而且，在还有的另一种实施例中，外部主机也可以和/或备选地配置成经由DLC通过直接存储器访问(DMA)支持的任意通信协议通信。而且，在一种特定的方法中，外部主机可以包括经端口耦合到DLC的直通适配器。

在其它实施例中，具体而言，DLC的特征可以在于多个端口可以是外围组件互连快递(PCIe)端口，接口块可以是PCIe接口块，多个交换端口可以是多个交换以太网端口，外部主机可以包括经PCIe端口耦合到DLC的直通PCIe适配器，外围装置可以包括一个或多个外部的PCIe装置，并且PCIe接口块的通道可以是PCIe通道。当然，如本领域普通技术人员在阅读本描述时将理解的，可以利用其它的DLC配置，而不是上述连接类型，或者与上述连接类型组合，诸如FC连接、ECoE连接等。

在一种方法中，FPGA可以包括用于在本地处理器和外部PCIe装置之间接口的逻辑；动态地从外围装置给本地处理器分配存储器；从本地处理器接收分组；把分组分成信元；把信元经接口块传输到外围装置；为信元提供优先级；把信元组装成分组；动态地为分组分配存储器；和/或分析介质访问控制(MAC)协议。

在另一种实施例中，SFC可以适于跨单一信元交换域交换信元，并且可以包括适于耦合到一个或多个外围装置的多个架构端口；适于在多个架构端口和多个端口之间交换的交换逻辑；耦合到接口块的本地处理器；耦合到本地处理器的FPGA；配置成在本地处理器和外部PCIe装置之间接口的逻辑；配置成动态地从外围装置给本地处理器分配存储器的逻辑；配置成从本地处理器接收分组的逻辑；配置成把分组分成信元的逻辑；配置成经接口块把信元传输到外围装置的逻辑；配置成为信元提供优先级的逻辑；配置成把信元组装成分组的逻辑；配置成为分组动态地分配存储器的逻辑；以及配置成分析MAC协议的逻辑。当然，本领域技术人员可以设想用于交换信元的其它机制，并且那些机制可以在SFC中根据各种其它实施例加以利用。

在一种方法中，信元可以包括配置信息与状态信息中的至少一个。

现在参考图8，其根据一种实施例示出了方法800的流程图。在各种实施例中，方法800可以按照本发明在图1-7和9中所描绘的任意一种环境中以及其它的环境中执行。当然，如本领域技术人员在阅读本描述时将理解的，在方法800中可以包括比在图8中具体描述的那些操作更多或者更少的操作。

方法800的步骤中的每一步都可以由操作环境的任意适当的组件来执行。例如，在一种实施例中，在一些方法中，方法800可以部分地或全部地由控制器和/或业务管理器之一或者两者来执行。

如图8中所示，在一种方法中，方法800可以以操作802开始，其中利用至少一个交换DLC接收包括导向SVAC的多个分组的输入数据业务。输入数据业务可以通过诸如以太网或一些其它通信协议到达交换DLC的网络接口。

在操作804中，确定分组是否满足ACL的条件。在一种方法中，条件可以是所述分组导向特定的端口、发自特定的端口、包括某些数据、是某个大小、或者如本领域技术人员将知道的任意其它条件。

在不太具体的例子中，可以分析输入数据业务以确定要在多个分组上执行的一个或多个服务，分析可能是利用至少一个ACL执行的，所述至少一个ACL把数据业务流的指定特征与输入数据业务流进行匹配。

在一种方法中，所匹配的特征可以是所述分组导向特定的端口、发自特定的端口、分组的大小、或任意其它可以识别的特征。当然，在更多的方法中，如本领域技术人员在阅读本描述时将理解的，可以使用被配置成确定任何类型信息的分析技术。在一些方法中，操作804可以利用诸如交换ASIC、本地CPU等的交换DLC的处理器执行。

然后，方法800可以继续操作806，其基于被满足的ACL的条件指定目的端口来发送分组。例如，如果条件满足，则分组可以导向特定设备DLC以接收预定的服务。在一些方法中，操作806可以利用交换DLC的交换ASIC、本地CPU等来执行。

根据一种方法，每个ACL都可以被编程(例如由用户)，使得某些业务流将被ACL捕获，以便这些业务流接收某种预定的服务，其中服务是通过基于由交换DLC指定的目的端口所规定的一个或多个设备DLC提供。

在操作808中，(输入数据业务的)分组被分段成至少一个信元(并且一般地被分段成多个信元，因为信元通常具有比分组小的尺寸)。指定的目的端口存储在所述至少一个信元的信元头中(对于多个信元，目的端口存储在每个信元的信元头中，使得每个信元都导向所述目的端口)。在一些方法中，操作808可以利用交换DLC的交换ASIC、本地CPU等来执行。

如图8所示，方法800可以继续操作810，其中所述至少一个信元经至少一个SFC发送到目的端口。根据还有的另一种方法，所述至少一个交换DLC选择设备DLC的物理端口来发送所述至少一个信元，以便平衡跨所有设备DLC的处理负载。在还有的方法中，当选择端口来发送所述至少一个信元时，可以确保跨所有设备DLC和/或每个服务供应商联合体的负载平衡，以便在其上接收服务。在一些方法中，操作810可以利用交换DLC的交换ASIC、本地CPU等来执行。

在一种实施例中，设备DLC的物理端口可以从包括多个设备DLC端口的链路聚合组(LAG)中选择。

在操作812中，在对应于目的端口的设备DLC的架构接口接收所述至少一个信元。如前所述，可能有对应于目的端口的多于一个的设备DLC，每个设备DLC都能够以相同的方式，例如执行同一服务，来服务所述分组。

在操作814中，根据一种实施例，所述至少一个信元被重组成第二分组。考虑到原分组被分段成至少一个信元用于跨架构传输，第二分组可以与原分组一模一样，或本质上与原分组相同，至少尽可能相同。在一些方法中，操作814可以利用设备DLC的交换ASIC来执行。

在一种方法中，第二分组可以对应于来自输入数据业务的分组，例如，它可以包括相同的信息、数据等。

在操作816中，利用设备DLC在第二分组上执行一个或多个服务。在另一种方法中，可以使用其它服务装置，诸如其它设备DLC和/或设备协处理器联合体。在这种方法中，设备DLC经设备DLC的端口块把第二分组或其一部分转发到设备协处理器联合体中的许多服务处理器中的一个的端口。在一些方法中，操作816可以利用设备DLC的本地CPU来执行。

如本领域技术人员在阅读本描述时将理解的，在第二分组上可以执行任何的服务，包括但不限于那些在本文具体描述的服务。

在操作818中，如本领域技术人员在阅读本描述时将理解的，第二分组被分段成一个或多个信元，这些信元一起构成第二分组。在一些方法中，操作818可以利用设备DLC的交换ASIC来执行。

在操作820中，在通过设备DLC的交换ASIC执行查找操作之后，第二分组被发送到其所期望的端口(如原先在分组的报头中所规定的)。在一种实施例中，这可以包括把第二分组从SVAC中输出，例如，在一种方法中输出到网络，在另一种方法中输出到计算机可读介质，在还有的另一种方法中输出到缓冲区，或者如本领域普通技术人员在阅读本描述时将理解的，输出到任意其它适当的输出。

在一种实施例中，这可以包括在第二分组上提供服务之后、在把多个信元经至少一个SFC导向至少一个交换DLC之前，把第二分组分段成多个信元。然后，交换DLC可以把所述多个信元重组成第三分组，用于导向其所期望的端口(该端口可以对应于SVAC上或SVAC外部的装置)。

在还有的实施例中，第二分组可以经其上它被发送到设备DLC的同一端口发送回交换DLC。

在一种实施例中，方法800还可以包括当把一个或多个附加的设备DLC连接到至少一个SFC时，自动地把所述一个或多个附加的设备DLC合并到SVAC中，当把所述一个或多个设备DLC从至少一个SFC断开时，自动地从SVAC中去除一个或多个设备DLC，当合并一个或多个附加的设备DLC时，增加SVAC的处理能力，以及当去除一个或多个设备DLC时，减少SVAC的处理能力。

现在参考图9，其根据一种实施例示出了在如本文所述的控制器之间具有连接的一个示例性系统900。系统900可以包括多个交换机架构控制器(SFC)902_a-902_n，多个交换分布式线卡(DLC)910_a，以及多个设备DLC 910_n。设备云通过使多个设备DLC 910_n直接连接到SFC 902_a-902_n构成。通过交换DLC 910_a接收数以亿计的网络数据分组或控制协议数据单元(PDU)920，例如来自各种网络端口以及至少一个控制器918的PDU。根据各种方法，SFC902_a-902_n可以经多个连接916与DLC 902_a-902_n通信。此外，DLC 902_a-902_n可以经多个连接922与控制器918通信。根据各种实施例，在一种方法中，连接916可以是12个链路的捆绑，每个链路都具有10G到11G的带宽。该捆绑可以使用标准连接器形状系数。多个连接922可以包括任意适当的连接，诸如PCIe、千兆以太网、XAUI，等等。

控制器918可以能够控制SVAC和/或由此管理数据的处理。在一种实施例中，例如，控制器918可以配置有能够接收输入数据业务、控制PDU业务、以及为除了所述设备DLC之外的整个云的控制面处理所有分组的逻辑。

在各种实施例中，每个SFC 902_a-902_n都可以如下所述地进一步描述。首先，每个SFC 902_a-902_n都可以包括多个模块板904、906、908。在一种实施例中，根据阅读本描述的技术人员的理解，模块板904、906、908可以包括任意适当的模块板。再次参考图9，SFC 902_a-902_n可以包括经连接928与模块板904、906、908中的每一个通信的多个端口(或接口)926。而且，端口926可以能够经连接916与诸如DLC 910_a-910_n相接。如图9中所示，每个SFC 902_a-902_n都包括32个这种端口926，但是当然，其它实施例可以为每个SFC 902_a-902_n包括更多或更少的端口，诸如8、16、64、128个等。在一种特定的实施例中，例如，SFC 902_a-902_n包括256个端口926。在任何事件中，每个SFC/DLC都分别包括至少n个端口/接口，其中n是在系统900中包括的DLC的数量。

此外，DLC 910_a-910_n可以如下进一步特征化。每个DLC(在一些方法中，除了最后的DLC 910_n，其在紧接着的后面被描述)都可以包括多个交换联合体912、914，在一种实施例中，诸如多个BROADCOM公司的BCM88650交换机。在一种方法中，交换联合体可以是以太网交换联合体。特别地，交换联合体912、914可以本质上类似于以上参考图7描述的以太网交换机710，但是，如阅读本描述的技术人员将理解的，如图9中所示，在示例性控制器连接系统900中可以包括其它以太网交换机联合体配置。除了交换联合体912、914之外，每个DLC910_a-910_n都包括多个接口924，其中接口924能够促进在DLC 910_a-910_n与任何连接的外围装置或组件之间的通信，在一些方法中，外围装置或组件诸如但不限于一个或多个SFC902_a-902_n。在一种实施例中，每个交换联合体912、914都可以经独立的连接932与接口924中的每一个进行通信。因此，根据一种实施例，每个交换联合体912、914都可以包括n个连接932，每一个连接用于DLC 910_a-910_n中的n个接口924中的一个。

还有，由DLC 910_n表示的在任意给定的DLC系列中的最终DLC可以具有在该系列中与其它DLC 910_a-910_n-1不同的独特属性。特别地，根据一种方法，其中DLC 910_a-910_n-1包括一对交换联合体912、914，而最终的DLC 910_n可以备选地包括经单个连接932与DLC接口924中的每一个通信的单一交换联合体912以及经连接932与交换联合体912通信的网络处理单元(NPU)联合体930。在操作中，如本领域普通技术人员在阅读本描述时将理解的，NPU联合体930可以提供虚拟设备和/或应用服务，诸如防火墙服务、IPS、IDS、VPN、加密等。

在一种实施例中，连接916可以建立在SFC 902_a-902_n中的接口924和DLC 910_a-910_n中的端口926之间。而且，在一种方法中，接口924可以是SERDES接口，并且每个连接916都可以特征化为在DLC 910_a-910_n-1中包括大约12个SERDES接口，而在DLC 910_n中，每个连接916可以特征化为包括大约6个SERDES接口。

值得注意的是，SFC 902_a-902_n中的每一个都经单一连接916与DLC 910_a-910_n中的每一个进行通信。在所有的SFC和DLC之间的连接性可以根据本领域已知的任何连接体系结构完成。例如，如图9中所示，SFC端口926和DLC接口924之间的连接性根据以下关系完成，

SFC_(S,p)←→DLC_(D,i)；其中S＝i并且p＝D，

其中S表示在SFC系列902_a-902_n中SFC的位置，D表示在DLC系列910_a-910_n中DLC的位置，p表示在给定的SFC内的端口位置，i表示在给定DLC内的接口位置，以及←→表示这两者之间的连接。

换句话说，第一SFC 902_i的第一端口926经连接916与第一DLC 910_i的第一接口924通信。类似地，第一SFC 902_i[SFC(1,2)]的第二端口926经连接916与第二DLC 910_a+1[DLC(2,1)]的第一接口924通信。这种连接性模式继续，直到达到第一SFC902_a的最后一个(第n个)端口926，其与最后一个(第n个)DLC 910_n的第一接口924通信。该对的第二连接遵循相反的模式，其中最后一个(第n个)SFC 902_n的最后一个(n^th)端口926与最后一个(第n个)DLC910_n的最后一个(第n个)接口924通信。而且，最后一个(第n个)SFC 902_n的倒数第二个(第n-1个)端口926与倒数第二个DLC 910_n-1的最后一个(第n个)接口924通信。这种连接性模式继续，直到到达第一SFC 902_a的最后一个(第n个)端口926，其与最后一个DLC 910_n的第一(第a个)接口924进行通信。

而且，在各种实施例中，控制器918可以是位于网络服务器上的虚拟机(VM)、或如本领域普通技术人员在阅读本描述时将理解的，可以采用任意适当的控制器。

而且，在图9中所示的系统900包括多个SFC 902_a-902_n和多个DLC 910_a-910_n；具体而言，系统900绘出了两个SFC和三个DLC。但是，作为系统900在SVAC中使用的一个特征，在系统900中包含的SFC、交换DLC及设备DLC的数量可以进行升级以实现虚拟设备云性能特性，如所特别期望的。在图9中，可升级特征包括SFC的数量和DLC的数量，以及在每个SFC和/或DLC上包括的端口(或接口)数量，如由图9中所示的省略号所指示的。

在一种方法中，系统900能够无缝地向外扩展，以把系统的能力调整到满足处理需要。特别地，所述系统可以配置成当把一个或多个附加的外围装置连接到可升级虚拟设备云的装置时，自动地把所述一个或多个附加的外围装置合并到可升级的虚拟设备云，并且还配置成当把一个或多个外围装置从可升级虚拟设备云的装置断开时，把所述一个或多个外围装置从可升级虚拟设备云中去除。

因此，在一种实施例中，无缝的可升级性可以在一些方法中通过当合并一个或多个附加的外围装置时，自动地增加可升级虚拟设备云的处理能力，或者相反地，当去除一个或多个外围装置时，自动地减少可升级虚拟设备云的计算能力来完成。

在一种实施例中，系统900包括SVAC，其包括至少一个DLC910_a-910_n、与所述至少一个DLC通信的至少一个SFC 902_a-902_n、以及与所述至少一个DLC通信的至少一个控制器918。所述至少一个DLC中的一个或多个是设备DLC，所述至少一个SFC中的一个或多个是中央SFC，并且SVAC对SVAC外部的装置表现为向业务流应用各种服务的单一设备装置。

在一些还有的实施例中，所述一个或多个设备DLC可以适于从SAVC中去除或添加到SVAC中，而不用中断SVAC的操作，所述至少一个DLC中的全部都可以连接到所述至少一个中央SFC，以构成单一的、大的信元交换域，所述至少一个DLC中的一个或多个可以是交换DLC，所述一个或多个设备DLC和所述一个或多个交换DLC连接到所述至少一个中央SFC，和/或所述一个或多个设备DLC适于向在所述一个或多个交换DLC上接收的所有分组提供各种深度分组检测服务。

在更多的实施例中，所述一个或多个交换DLC可以适于在每个交换接口上应用ACL来把某些接收到的分组导到所述一个或多个设备DLC，用于执行深度分组检测服务，所述一个或多个设备DLC可以适于从SVAC中去除或添加到SVAC，而不用中断深度分组检测服务，所述服务通过在所有一个或多个设备DLC之间使所述一个或多个交换DLC在所有执行了深度分组检测服务的分组上执行负载平衡完成，和/或设备DLC或交换DLC从SVAC中的去除或者添加可以(优选地立即)被指示给其余的设备DLC和交换DLC，其中一个或多个设备DLC从SVAC中的去除被指示给每个交换DLC，其中响应于一个或多个设备DLC的去除指示，每个交换DLC都适于停止把分组转发到与去除的设备DLC关联的一个或多个端口，并且适于在其余的设备DLC之间对其上执行深度分组检测服务的分组进行负载平衡。同样，在一些方法中，一个或多个设备DLC的添加被指示给每个交换DLC，其中响应于一个或多个设备DLC的添加指示，每个交换DLC都适于对其上执行深度分组检测服务的分组进行负载平衡，所述分组横跨包括所述一个或多个附加的设备DLC的所有设备DLC，和/或具有在其上执行深度分组检测服务的分组的类型可以通过在所述一个或多个交换DLC上规定不同类型的ACL来改变。ACL可以用于捕获需要在其上执行类似服务的某种业务流，然后指定该业务流可以被发送到的目的端口，以接收类似的服务(其可以在路由中包括一个或多个设备DLC)。

在更多的方法中，一个或多个设备DLC中的每一个都可以适于提供各种深度分组检测服务，包括：防火墙服务、入侵防御服务(IPS)、入侵检测服务(IDS)、服务器负载平衡服务、虚拟专用网(VPN)服务、视频优化服务、和/或广域网(WAN)优化服务。

在一些实施例中，所述至少一个控制器可以与所述至少一个SFC通信，和/或所述至少一个DLC可以与至少一个外围装置通信。而且，所述至少一个控制器可以把配置信息和状态信息传递给DLC和SFC中的至少一个。

在附加的方法中，SVAC可以配置成当把一个或多个附加的设备DLC连接到一个或多个SFC时，自动地把所述一个或多个附加的设备DLC合并到系统中，并且当把一个或多个DLC从一个或多个SFC断开时自动地把所述一个或多个DLC从系统中去除。同样，在一种实施例中，把一个或多个附加的设备DLC合并到SVAC中可以增加对所述SVAC可用的处理能力，并且从SVAC中去除一个或多个附加的设备DLC可以减少对所述SVAC可用的处理能力。

现在参考图10，其根据一种实施例示出了方法1000的流程图。在各种实施例中，方法1000可以根据本发明在图1-7和9中描绘的任何环境中以及其它的环境中执行。当然，如本领域技术人员在阅读本描述时将理解的，在方法1000中可以包括比在图10中具体描述的操作更多或更少的操作。

方法1000的步骤中的每一步都可以由操作环境中的任意适当的组件来执行。例如，在一种实施例中，方法1000可以部分地或全部地由设备DLC来执行。

如图10中所示，在一种方法中，方法1000可以以操作1002开始，其中从一个或多个SFC接收多个信元，其中已经请求了一个或多个服务要在所述多个信元上执行。

在操作1004中，利用设备DLC的本地网络交换机把所述多个信元重组成一个或多个分组。

在操作1006中，利用设备DLC在所述一个或多个分组上执行一个或多个请求的服务。

在操作1008中，利用设备DLC的本地网络交换机或一些其它适当的装置把所述一个或多个分组分段成信元。

在操作1010中，利用设备DLC的本地网络交换机把所述一个或多个分组发送到所述一个或多个SFC。

现在参考图11，其根据一种实施例，示出了用于提供SVAC服务的方法1100的流程图。在各种实施例中，方法1100可以根据本发明在图1-7和9中描绘的任何一种环境以及其它的环境中执行。当然，如本领域技术人员在阅读本描述时将理解的，在方法1100中可以包括比在图11中具体描述的操作更多或更少的操作。

方法1100的步骤中的每一步都可以由操作环境中的任意适当的组件来执行。例如，在一种实施例中，方法1100可以部分地或全部地由交换DLC来执行。

如图11中所示，在一种方法中，方法1100可以以操作1102开始，其中在交换DLC接收多个分组。已经请求了一个或多个服务要在所述多个分组上执行。

在操作1104中，利用至少一个ACL分析所述多个分组，以确定要在所述多个分组的一个或多个部分上执行的一个或多个服务。ACL基于在多个部分上执行的服务之间的不同来捕获输入业务流的多个部分。当然，在更多的方法中，如本领域技术人员在阅读本描述时将理解的，可以使用配置为确定任意类型信息的任何分析技术。

在操作1106中，确定与一个或多个设备DLC关联的至少一个目的端口，其中所述一个或多个设备DLC中的每一个都适于向所述一个或多个分组提供所确定的一个或多个服务。此外，基于要执行的一个或多个服务，为每个信元确定设备DLC的至少一个目的端口。

根据一种实施例，可能存在情况，其中设备DLC的分组交换块(其可以在本地网络交换机中)未从在设备DLC的本地处理器接收到的分组中得到源或目的地址。

在操作1108，所述一个或多个分组被分段成多个信元。根据还有的另一种实施例，确定要把信元发送到哪个目的端口，以便平衡每个设备DLC的处理负载。

在操作1110中，多个信元经一个或多个SFC被发送到所确定的至少一个目的端口。在一些方法中，操作1110可以利用一个或多个交换DLC的网络交换机来执行。

根据各种实施例，多个分组的分析可以利用交换DLC来执行，基于要在一个或多个分组上执行的服务，每个ACL可以捕获一个或多个分组，每个ACL可以平衡一个或多个设备DLC的处理负载，其中ACL把分组发送到所述一个或多个设备DLC用于在其上执行服务，交换DLC的本地网络交换机可以把一个或多个分组分段成多个信元，和/或确定至少一个目的端口可以包括确定哪些设备DLC适于提供一个或多个所确定的服务。

SVAC提供了优于用于提供虚拟服务的传统技术和系统的几个优点。特别地，它提供的一个优点是实现与操作的低成本，因为这种方法采用较小的装置，而不是传统系统中普遍的大的、昂贵的装置。

而且，SVAC基础设施利用“即付即用”的方法提供了灵活性，其中随着网络需求的出现，可以添加更多的设备来满足需求。类似地，在网络需求被去除或闲置的地方，可以去除设备和/或把设备用于其它的任务。因此，在系统管理上只有极小的成本负担，因为不是在设备上进行很大的投资，而是可以简单地随着需求持续地添加设备。

而且，根据各种实施例，现在所描述的SVAC系统提供了关于可以提供哪些服务的灵活性。而许多传统的方法在例如，防火墙盒、IDS盒或IPS盒等中提供单一服务，如技术人员将理解的，现在所描述的系统可以提供由特定个体或用户所期望的任何和/或所有服务。

虽然以上已经描述了各种实施例，但是应当理解，它们仅仅是作为例子给出的，而不是限制。因此，本发明的实施例的广度和范围不应当受以上描述的任何示例性实施例限制，而是应当只能根据以下权利要求及其等价物来定义。

Claims

1.一种用于提供SVAC服务的系统，包括：

可升级虚拟设备云(SVAC)，所述可升级虚拟设备云包括：

至少一个分布式线卡(DLC)；

与所述至少一个DLC通信的至少一个交换机架构耦合器(SFC)；以及

与所述至少一个DLC通信的至少一个控制器，

其中所述至少一个DLC中的一个或多个是设备DLC，

其中所述至少一个DLC中的一个或多个是交换DLC，

其中所述至少一个SFC中的一个或多个是中央SFC，

其中所述一个或多个交换DLC适于在每个交换接口上应用访问控制列表(ACL)，以把某些接收到的分组导向到所述一个或多个设备DLC，用于执行深度分组检测服务，以及

其中所述SVAC对所述SVAC外部的装置表现为向业务流应用各种服务的单一设备装置。

2.如权利要求1所述的系统，其中一个或多个设备DLC适于从SVAC中去除或添加到SVAC中，而不用中断所述SVAC的操作。

3.如权利要求1或权利要求2所述的系统，其中所述至少一个DLC中的全部都连接到至少一个中央SFC，以构成单一的大信元交换域。

4.如权利要求1所述的系统，其中一个或多个设备DLC与一个或多个交换DLC连接到至少一个中央SFC，并且其中所述一个或多个设备DLC适于向在所述一个或多个交换DLC上接收到的所有分组提供各种深度分组检测服务。

5.如权利要求1所述的系统，其中所述一个或多个设备DLC适于从SVAC中去除或添加到SVAC中，而不用中断深度分组检测服务，其中深度分组检测服务是在所有所述一个或多个设备DLC之间，通过使所述一个或多个交换DLC在其上执行深度分组检测服务的所有分组上执行负载平衡来实现的。

6.如权利要求1所述的系统，其中设备DLC或交换DLC从SVAC中的去除或者添加被立即指示给其余的设备DLC和交换DLC。

7.如权利要求6所述的系统，其中一个或多个设备DLC从SVAC中的去除被指示给每个交换DLC，其中响应于一个或多个设备DLC的去除的指示，每个交换DLC都适于停止把分组转发到与去除的设备DLC关联的一个或多个端口，并且适于在其余的设备DLC之间对其上执行深度分组检测服务的分组进行负载平衡。

8.如权利要求6所述的系统，其中一个或多个设备DLC的添加被指示给每个交换DLC，其中响应于一个或多个设备DLC的添加的指示，每个交换DLC都适于对其上执行深度分组检测服务的分组进行负载平衡，所述分组横跨包括一个或多个附加的设备DLC的所有设备DLC。

9.如权利要求1所述的系统，其中其上执行深度分组检测服务的分组的类型通过在所述一个或多个交换DLC上规定不同类型的ACL来改变。

10.如权利要求1所述的系统，其中所述一个或多个设备DLC中的每一个都适于提供各种深度分组检测服务，包括：

防火墙服务；

入侵防御服务(IPS)；

入侵检测服务(IDS)；

服务器负载平衡服务；

虚拟专用网(VPN)服务；

视频优化服务；以及

广域网(WAN)优化服务。

11.如权利要求1所述的系统，其中所述至少一个控制器与所述至少一个SFC通信，并且其中所述至少一个DLC与至少一个外围装置通信。

12.如权利要求1所述的系统，其中所述至少一个控制器把配置信息和状态信息传递给DLC和SFC中的至少一个。

13.如权利要求1所述的系统，其中SVAC配置成：

当把一个或多个附加的设备DLC连接到所述一个或多个SFC时，自动地把所述一个或多个附加的设备DLC合并到系统中；以及

当把一个或多个DLC从所述一个或多个SFC断开时，自动地把所述一个或多个DLC从系统中去除。

14.如权利要求13所述的系统，其中把一个或多个附加的设备DLC合并到SVAC中增加了对SVAC可用的处理能力，以及

其中把所述一个或多个附加的设备DLC从SVAC中去除减少了对SVAC可用的处理能力。

15.如前面权利要求1所述的系统，其中所述至少一个DLC包括：

适于耦合到一个或多个外围装置的多个交换端口；

适于在所述多个交换端口和多个端口之间交换的交换逻辑；

耦合到接口块的本地处理器；以及

所述系统还包括：

经直通适配器耦合到所述DLC的多个端口中的至少一个的外部主机，所述外部主机被配置成执行管理面的功能并且至少部分地为DLC执行控制面的功能，

其中管理面的功能包括以下至少一个：

通过远程登录的命令行接口(CLI)操作；

简单网络管理协议(SNMP)代理操作；

web服务器操作；

远程登录服务器/客户端操作；以及

TFTP服务器/客户端操作；以及

其中控制面的功能包括以下至少一个：

处理控制分组；

运行交换协议；以及

运行平台软件，

其中所述外部主机配置成编程SFC的交换逻辑，以处理连接到多个端口的主机、连接到多个交换端口的主机、以及连接到第一端口的第一主机和连接到第二端口的第二主机之间的通信，以及

其中所述外部主机配置成经由DLC通过直接存储器访问(DMA)支持的任意通信协议进行通信。

16.如权利要求15所述的系统，其中DLC的多个端口是外围组件互连快递(PCIe)端口，

其中接口块是PCIe接口块，

其中多个交换端口是多个交换以太网端口，

其中外部主机包括经PCIe端口耦合到DLC的直通PCIe适配器，

其中外围装置包括一个或多个外部PCIe装置，以及

其中PCIe接口块的通道是PCIe通道。

17.如前面权利要求1所述的系统，其中所述至少一个SFC包括：

适于耦合到一个或多个外围装置的多个架构端口；

适于在所述多个架构端口和多个端口之间交换的交换逻辑；

耦合到接口块的本地处理器；

现场可编程门阵列(FPGA)，所述FPGA包括：

耦合到本地处理器的FPGA处理器；

配置成在本地处理器和外部PCIe装置之间接口联接的逻辑；

配置成从外围装置给本地处理器动态地分配存储器的逻辑；

配置成从本地处理器接收分组的逻辑；

配置成把分组分成信元的逻辑；

配置成把信元经接口块传输到外围装置的逻辑；

配置成为信元提供优先级的逻辑；

配置成把信元组装成分组的逻辑；

配置成为分组动态地分配存储器的逻辑；以及

配置成分析介质访问控制(MAC)协议的逻辑。

18.如权利要求17所述的系统，其中所述信元包括配置信息与状态信息中的至少一个。