CN104704788A - 确定针对分组检查设备处的数据单元的负载分配 - Google Patents
确定针对分组检查设备处的数据单元的负载分配 Download PDFInfo
- Publication number
- CN104704788A CN104704788A CN201280076386.3A CN201280076386A CN104704788A CN 104704788 A CN104704788 A CN 104704788A CN 201280076386 A CN201280076386 A CN 201280076386A CN 104704788 A CN104704788 A CN 104704788A
- Authority
- CN
- China
- Prior art keywords
- checkout facility
- grouping
- specific cluster
- load
- data cell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0882—Utilisation of link capacity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Abstract
确定针对由作为分组检查设备的集合的一部分的特定分组检查设备接收的数据单元的负载分配,其中集合中的分组检查设备审查对应的所接收的数据单元的内容。对于由特定分组检查设备接收的对应数据单元,所确定的负载分配有助于将对应数据单元保持在特定分组检查设备处。基于关于至少特定分组检查设备的利用率的度量信息,动态修改负载分配。
Description
背景技术
分组检查设备可以被部署在网络中以检查通过网络传送的数据分组的内容。当被用于应用网络安全时,分组检查技术在多个协议层处被采用以识别可疑或恶意分组。在其它示例中,分组检查还可以被应用在其它领域中。随着联网技术的使用持续增长,分组检查设备的性能被调节以提供检查日益增加的网络业务水平的能力。
附图说明
关于以下附图描述一些实施例:
图1是依照一些实现的包括布置在堆叠中的分组检查设备的示例布置的框图;
图2是依照一些实现的示例分组检查设备的框图;
图3是根据一些实现的动态负载分配过程的流程图;以及
图4是根据一些实现的再平衡过程的流程图。
具体实施方式
为了增进系统执行被传送至网络的数据分组的分组检查的总体能力,可以在堆叠中布置多个分组检查设备。分组检查设备的堆叠可以是指分组检查设备的任何集合,其中集合中的分组检查设备是使用互连链路(例如高速互连链路)互连的。在一些示例中分组检查设备的堆叠可以是指这样的分组检查设备的物理堆叠,其中可以将一个分组检查设备物理地放置在另一分组检查设备之上。在其它示例中,分组检查设备的堆叠不必是一个在彼此顶上物理地堆叠的,而是可以被提供在允许分组检查设备的互连的一个或多个外壳中。
在一些实现中,每一个分组检查设备可以具有使用诸如以太网协议之类的任何合适网络协议而连接到网络的能力。在替换实现中,仅分组检查设备的子集可以连接到网络。
分组检查可以涉及审查分组的内容,其中所审查的内容包括分组的有效载荷且可能包括分组的报头。“分组”可以是指用于在电子设备之间承载数据的任何类型的数据单元。作为示例,分组可以包括互联网协议(IP)分组、以太网帧或任何其它类型的数据单元。
审查分组的内容可以出于各种目的而执行,包括安全目的(例如识别或阻挡未经授权的入侵、检测或阻挡诸如病毒或蠕虫之类的恶意软件、检测或阻挡垃圾邮件、检测协议非遵从、控制应用等等)。用于检测协议非遵从的分组检查试图识别未遵照或遵从一个或多个标准的数据。用于控制应用的分组检查可以涉及基于一个或多个准则而防止应用的执行或允许应用的执行。还可以出于其它目的而执行分组检查,诸如为了执行数据挖掘(以分析分组的内容来更好地理解通过网络传送的信息)、窃取(例如由政府机构或企业窃取)内容、审阅、系统监视(例如,以确定在诸如网络之类的系统中正在发生什么)等等。
分组检查的示例类型是深层分组检查(DPI),其审查多个协议层处的分组的内容。由分组检查执行的分组检查与分组的仅报头的检查相区别,后者典型地由交换机或路由器出于将分组路由至目的地的目的而完成。
为了避免在存在传入业务时使堆叠中的特定分组检查设备负担过重,可以实现负载分配机制或技术以允许一些传入分组从一个分组检查设备分配到堆叠中的另一分组检查设备。然而,与在堆叠中的分组检查设备之间分组的分配相关联的挑战是:在堆叠的分组检查设备之间分配的业务的量可能相对高。在装备成本和部署成本方面,不得不增加堆叠的分组检查设备之间的网络连接性的带宽以容纳分组检查设备之间相对高量的分配业务可能导致增加的成本。
另一问题涉及流亲和性,其规定:给定业务流的分组要由相同分组检查设备处置。在一些示例中,为了提供流亲和性,可以在传入分组中的某些信息上应用散列函数(或其它函数),其中信息可以包括协议、源地址和目的地地址。在分组的特定字段上应用散列函数产生映射到表的对应条目的散列值(或其它值),其中该条目包含涉及要检查分组的特定分组检查设备的值。在一些情况中,流亲和性可能导致相对大数目的分组被从入口分组检查设备转发到另一分组检查设备,这可能引起互连链路上的增加的业务。
而且,一些业务流可能消耗比其它业务流更多的资源,使得分组检查设备之间的业务流的分组的均匀分配可能仍引起分组检查设备上的不均匀负载。而且,在一些情况中,负载分配机制或技术可能假定:堆叠的分组检查设备全部都具有在处理传入业务方面相同的能力,这可能并不正确。
依照一些实现,提供了允许堆叠的分组检查设备之间的传入分组的动态分配的技术或机制,其中该技术或机制采用有助于将给定分组保持在接收了该给定分组的入口分组检查设备处的负载分配策略。在一些实现中,负载分配策略可以由堆叠中的主设备控制,在如何分配业务方面引导每一个堆叠成员。有助于将分组保持在接收了相应分组的入口分组检查设备处的负载分配策略允许必须在堆叠的分组检查设备之间分配的分组的量的减少。由此,分组检查设备的堆叠可以是利用具有简化的带宽规范的互连链路设计和实现的,这可以允许堆叠被部署有更加成本高效的网络连接性基础设施且允许堆叠更好地缩放。
此外,分组检查设备的堆叠处的传入分组的动态分配可以基于涉及分组检查设备和/或堆叠的互连链路的利用率的所监视的度量。例如,随着特定分组检查设备的利用率逼近预定义阈值,附加的传入分组可以被从该特定分组检查设备重定向到堆叠的另一分组检查设备。以此方式,负载分配策略试图将传入业务保持在入口分组检查设备处,同时还允许当任何入口分组检查设备具有逼近预定义阈值的利用率时在堆叠的其它成员处处理传入分组的溢出容量。还可以考虑其它因素,如以下进一步解释的那样。依照一些实现,可以改善分组检查设备的堆叠的总体的总性能,并且可以减小分组检查设备之间的相对低网络连接性带宽对性能的任何不利影响。
图1是包括具有分组检查设备106-1、106-2、106-3、……、106-n的堆叠104的检查系统102的示例布置的框图,其中n表示堆叠104中的分组检查设备的数目。在一些示例中,可以仅存在两个分组检查设备,使得n等于2,而在其它示例中,n可以大于或等于3。
检查系统102可以是入侵防护系统,例如,用于保护内部网络106免受外部网络108中的网络设备的未经授权的访问。内部网络106可以是诸如与企业(例如商行、政府机构、教育组织等)相关联的网络之类的企业网络。作为另一示例,内部网络106可以是用户的家庭网络。作为另外的示例,内部网络106可以是因特网服务提供商的网络。
处于内部网络106外的外部网络108可以包括因特网或某其它网络。
在其它示例中,检查系统102可以用于其它目的,诸如以上进一步讨论的那些目的。
检查系统102的第一侧耦合到外部网络108的网络链路110。网络设备112通过网络链路110耦合到检查系统102。
检查系统102的第二侧耦合到内部网络106的网络链路116。网络设备114通过网络链路116耦合到检查系统102。网络链路110或116可以是有线链路、无线链路或者有线和无线链路的组合。尽管在相应网络108或106中描绘了仅一个网络链路110或116,但是要指出的是,可以存在连接到检查系统102的分组检查设备106-1至106-n的多个网络链路。
尽管在相应网络108或106中的每一个中描绘了仅一个网络设备112或114,但是要指出的是,在相应网络中可以存在附加网络设备。外部网络108中的(源)网络设备112能够发送以内部网络106中的目的地(例如网络设备114)为目标的分组。在其中检查系统102是入侵防护系统或被用于审阅的示例中,分组检查设备106-1至106-n中的一个或多个能够审查从(一个或多个)网络链路110接收的传入分组以确定是否允许分组前进至内部网络106。在其它示例中,检查系统102允许分组在外部网络108与内部网络106之间自由通过,除了在这样的其它示例中分组检查设备可以用于诸如数据挖掘、窃取等等之类的其它目的。
如图1中进一步描绘的,分组检查设备106-1至106-n通过各种互连链路而互连,该各种互连链路包括分组检查设备106-1和106-2之间的互连链路118-1、分组检查设备106-2和106-3之间的互连链路118-2等等。互连链路118-n将分组检查设备106-n连接到分组检查设备106-1。图1中描绘的连接拓扑是环形拓扑,其中分组检查设备可以被视为连接成环。通过使用环形拓扑,每一个分组检查设备可以利用仅两个互连端口出于将堆叠104的分组检查设备与彼此互连的目的而实现。在替换实现中,每一个分组检查设备可以直接连接到其它PID中的每一个,从而形成互连链路的网格(与环形拓扑相对)。
依照一些实现,检查系统102包括能够管理负载分配策略的主设备。主设备可以是分组检查设备106-1至106-n中的一个。可替换地,主设备可以是与分组检查设备106-1至106-n不同的控制器。在一些示例中,主设备可以是在堆叠104的分组检查设备之间的选举过程中动态选择的。
在一些实现中,主设备的责任包括基于各种所监视的度量确定堆叠104的分组检查设备之间的传入分组的负载分配,所述各种所监视的度量包括涉及性能的度量、涉及净空的度量(例如基于分组检查设备处的现有负载的每一个分组检查设备的可用容量)、涉及分组检查设备之间的互连链路(118-1至118-n)的利用率的度量和/或其它度量。
可由分组检查设备测量的涉及性能的度量的示例可以包括以下各项中的一个或某种组合:用于测量分组检查设备中的拥塞的量的拥塞度量、用于测量经过分组检查设备的处理速度的吞吐量度量、或另一度量。涉及互连链路的利用率的度量的示例可以包括互连链路的所消耗的带宽、互连链路的拥塞状态(例如拥塞、未拥塞等)等等。
尽管以上列出了一些示例度量,但是要指出的是,在其它实现中,可以采用其它或附加类型的度量。更一般地,可使用的度量包括与分组检查设备的可用处理能力或操作相关联的度量,或者与连接到分组检查设备的互连链路的状态或操作相关联的度量。
各种度量可以由对应分组检查设备来监视和收集。分组检查设备可以周期性地或响应于另一事件(例如故障状况、过度加载状况等)向主设备发送所监视的度量。
基于所监视的度量,主设备可以确定针对堆叠104中的每一个分组检查设备的适当负载分配。所监视的度量允许主设备确定分组检查设备和/或互连链路的利用率是否在预定义阈值内。在一些另外的实现中,涉及分组检查设备的利用率的阈值可以基于互连链路的利用率而变化。例如,随着互连链路的利用率逼近某个阈值,则涉及分组检查设备的利用率的阈值可以增加以有助于将所接收的分组保持在分组检查设备处。
在另外的实现中,可被主设备考虑的另一因素是涉及资源划分的因素。例如,分组的给定业务流可以指定:向该给定业务流分派至少预定义量的资源。在这种情况中,主设备可以划分资源,使得至少预定义量的资源被分派到该给定业务流。
由主设备针对堆叠104的每一个分组检查设备确定的负载分配可以被表示在负载分配数据结构中,诸如可以被表示在可存储在对应分组检查设备处的负载分配表中。根据由主设备确定的负载分配,主设备可以更新堆叠104的分组检查设备处的负载分配表以实现要由堆叠104处理的传入分组的目标分配。要指出的是,分组检查设备中的不同分组检查设备中的负载分配表可以不同。主设备可以对相应负载分配表的内容进行单独编程。
入口分组检查设备(其接收传入分组)使用其相应负载分配表来确定传入分组被定向到哪里(传入分组由入口分组检查设备本地处理,或者传入分组通过一个或多个互连链路而被分配到堆叠104中的另一分组检查设备)。
在一些实现中,主设备还可以负责其它任务。例如,主设备可以负责管理新分组检查设备到堆叠104的添加或者分组检查设备从堆叠104的移除。作为另外的示例,主设备可以发起再平衡过程以使业务流被重定向到不同的分组检查设备,如以下结合图4进一步讨论的那样。
图2图示了示例分组检查设备106,其包括交换机202和检查模块204。交换器202或检查模块204可以被实现为集成电路或者被实现为在处理电路上可执行的机器可读指令。交换机202从入口网络端口206接收分组。入口网络端口206连接到网络链路,诸如图1中的外部网络106的网络链路110。分组检查设备106还具有出口网络端口208以向诸如图1中的内部网络106中的116之类的目的地网络链路发送分组。在其它示例中,取代提供分离的入口和出口网络端口,可以使用双向网络端口。要指出的是,在其它实现中可以存在入口和出口网络端口206和208的多个集合。
交换机202还连接到入口堆叠端口210和出口堆叠端口212。入口堆叠端口210被交换机202用于通过诸如图1中的118-1至118-n中的一个之类的互连链路从另一分组检查设备接收分组。出口堆叠端口212被交换机202用于通过对应互连链路向另一分组检查设备发送分组。在其它示例中,取代提供分离的入口和出口堆叠端口,可以使用双向堆叠端口。
依照一些实现,交换机202做出其下述确定:通过入口网络端口206(例如从图1的外部网络110)接收的传入分组要如何通过使用负载分配表214加以处理,所述负载分配表214可以存储在分组检查设备106的存储介质216中。将传入分组中的信息映射到负载分配表214的条目。负载分配表214的所映射的条目的内容允许交换机202确定要在哪里处理传入分组。被映射到负载分配表214的条目的传入分组的信息可以包括以下各项:协议(例如IP协议)、源地址(例如源IP地址)和目的地地址(例如目的地IP地址)。在一些示例中,可以在分组信息上应用散列函数(或其它类型的函数),并且产生映射到负载分配表214的多个条目之一的输出值(例如散列值或其它值)。来自函数的不同输出值映射到负载分配表214的不同条目。
在一些示例中,负载分配表214的每一个条目具有与传入分组要被路由到的堆叠的多个分组检查设备之一相对应的对应目的地标识符。堆叠104(图1)中的不同分组检查设备106-1至106-n可以与相应目的地标识符相关联。在一些示例中,目的地标识符可以具有端口号的形式,其中不同端口号可以对应于不同分组检查设备。取决于包含在负载分配表214的所映射的条目中的目的地标识符,将传入分组转发到由相应目的地标识符标识的分组检查设备。
在其它示例中,取代使用负载分配表214,可以采用包含允许交换机202向堆叠104中的分组检查设备中的所选分组检查设备分配传入分组的信息的其它类型的负载分配数据结构。
如果负载分配表214的所映射的条目指示传入分组(在给定分组检查设备106的入口网络端口206处接收)要由给定分组检查设备106本地审查,则向检查模块204提供传入分组以执行传入分组的内容的对应审查。在审查之后,如果分组满足作为检查主题的一个或多个准则,则检查模块204可以通知交换机202向出口网络端口208转发传入分组以向目的地网络设备传输。
另一方面,如果负载分配表214的所映射的条目指示传入分组要由另一分组检查设备106审查,则通过出口堆叠端口212向另一分组检查设备发送传入分组。
如图2中进一步描绘的,分组检查设备106还包括度量测量模块220,以测量如上讨论的各种度量。所收集的度量可以作为度量222存储在存储介质223中,以传送到主设备。度量测量模块220可以被实现为集成电路或在处理电路上可执行的机器可读指令。
分组检查设备106还具有负载分配控制器218,其可以被实现为集成电路或在处理电路上可执行的机器可读指令。如果分组检查设备106是主设备,则负载分配控制器218执行涉及负载分配的主设备的任务,如上讨论的那样。如果分组检查设备106是非主设备(也称为“参与者设备”),则参与者设备的负载分配控制器218与主设备的负载分配控制器218交互以允许做出负载分配确定。例如,参与者设备的负载分配控制器218可以向主设备发送所收集的度量(222)。此外,参与者设备的负载分配控制器218可以从主设备的负载分配控制器218接收涉及更新负载分配表214的消息传递。
给定分组检查设备106的负载分配表214可以基于堆叠104中的改变状况而动态更新。如上指出的,主设备监视与相应堆叠成员和/或互连链路相关联的度量以确定主设备是否应当改变如堆叠中的分组检查设备的负载分配表中所反映的当前负载分配。
如上指出的,主设备所采用的负载分配策略有助于将传入分组保持在入口分组检查设备处,使得在入口分组检查设备处检查传入分组。这样的策略可以被视为“贪婪负载分配策略”,因为入口分组检查设备往往保持传入分组以用于本地检查。这样的贪婪策略的使用可能导致堆叠互连链路(图1的118-1至118-n)之上的减少的业务。在一些实现中,贪婪负载分配策略可以是通过对本地分组检查设备的负载分配表中的更大数目的条目进行编程以包括本地分组检查设备的目的地标识符来提供的。
在一些实现中,主设备还试图优化负载分配,同时对分组分配设备的负载分配表214做出最小数目的改变。优化负载分配同时减少负载分配表214被改变的次数的这种方法允许负载分配是“棘手的”。然而,如果检测到某些状况,诸如紧急状况或故障状况,则可以无视对可对负载分配表214做出的改变的数目的指定约束。
在一些示例中,特定分组检查设备可以请求业务被重定向到该特定分组检查设备,但并不自主地决定将其业务定向到另一分组检查设备。
在一些示例中,可以仅重分配给定分组一次。换言之,特定分组检查设备应当尝试处理从另一分组检查设备负载平衡(分配)到该特定分组检查设备的分组。该特定分组检查设备不应当将分组重定向到另一分组检查设备。
图3是根据一些实现的动态负载分配过程300的流程图。图3的动态负载分配过程300可以由主设备执行,其可以是分组检查设备106之一。更具体地,依照一些示例,动态负载分配过程300可以由主设备中的负载分配控制器218(图2)执行。
主设备确定(在302处)针对由作为分组检查设备的堆叠的一部分的特定分组检查设备106接收的分组的初始负载分配。主设备对该特定分组检查设备的负载分配表214进行编程以反映该初始负载分配。如上所指出的,初始负载分配有助于将由该特定分组检查设备接收的传入分组保持在该特定分组检查设备处以供其检查模块204检查。
在稍后时间处,主设备能够基于关于至少该特定分组检查设备和/或(一个或多个)互连链路的利用率的度量信息来动态修改(在304处)负载分配(通过修改该特定分组检查设备中的负载分配表214的内容)。该特定分组检查设备的负载分配表214的修改可以响应于某预定义事件。例如,如果从分组检查设备的一个或多个分组检查设备接收的度量指示具体分组检查设备已经达到其中拥塞即将发生或者正在发生的状态(该具体分组检查设备的利用率已经落至预定义规范外),则主设备可以采取对负载进行再平衡的动作,这可以通过更新(一个或多个)相应分组检查设备中的(一个或多个)相应负载分配表214而完成。类似地,如果度量指示具体互连链路的利用率已经落至预定义阈值(基于来自参与者设备的测量通知)外,则主设备也可以采取对负载进行重分配的动作。
图4是根据一些实现的再平衡过程的流程图。再平衡过程是响应于再平衡事件而执行的,所述再平衡事件可以是各种类型的事件中的任一个。在一些示例中,再平衡事件可以包括内务处理事件、紧急事件和用户请求事件。再平衡过程可以由主设备和一个或多个参与者设备执行,并且更具体地,由主设备和参与者设备中的负载分配控制器218执行。
内务处理事件可以包括计时器事件。计时器事件在计时器到期时被触发。计时器的重复到期对应于计时器事件的周期性发生。另一内务处理事件涉及在分组检查设备或互连链路的利用率已经或者正在达到某个水平时触发的事件(例如,分组检查设备或互连链路被过度加载)。
紧急事件涉及被视为如此严重以至于应当执行迅速动作的状况。紧急事件的示例包括响应于分组检查设备或互连链路的检测到的失效或其它故障而触发的事件。
用户请求事件由诸如管理员之类的用户触发。用户可以使用用户接口来请求要执行分组检查设备的堆叠的负载的再平衡。
主设备接收(在402处)再平衡事件。响应于该再平衡事件,主设备向堆叠中的要将其业务重定向到另一分组检查设备的参与者设备发布(在404处)再平衡消息。响应于再平衡消息,参与者设备通过向主设备返回(在406处)肯定应答消息来对再平衡消息的接收进行肯定应答。
每一个参与者设备然后发起将相关业务流重定向到(一个或多个)目标分组检查设备的过程。“业务流”可以包括与至少一对网络设备之间的特定通信相关联的一个或多个分组。业务流重定向可以通过每一个参与者设备识别(在408处)要重定向的每一个业务流而完成。每一个参与者设备然后向对应目标分组检查设备(要向其重定向所识别的业务流)传递(在410处)每一个所识别的业务流的状态信息。状态信息可以包括标识信息和涉及所重定向的业务流的其它信息。状态信息还可以指定要关于所重定向的业务流采取的动作(例如阻挡业务流、减低业务流的速率或信任业务流)。在一些示例中,状态信息的传递允许目标分组检查设备意识到攻击或其它事件正在发生,使得目标分组检查设备可以在业务流已经被重定向之后采取适当的动作。在已经识别了每一个业务流并且已经向(一个或多个)目标分组检查设备传递了对应状态信息之后,相应参与者设备可以向主设备通知(在412处)对应业务流重定向已经被完成。
作为响应,主设备可以向已经向主设备通知流重定向已经被完成的参与者设备发布(在414处)负载分配表更新。这使得对应参与者设备中的对应负载分配表214被更新(在416处)。
负载分配表214的更新将使得每一个对应分组检查设备自动向相应目标分组检查设备转发适当的传入分组。
前文已经指示:在一些示例中,各种模块可以被实现为机器可读指令。这些机器可读指令被加载以在处理电路上执行。处理电路可以包括微处理器、微控制器、处理器模块或子系统、可编程集成电路、可编程门阵列、另一控制或计算设备或任何前述各项中的多个。
数据和指令存储在相应存储设备中,所述存储设备被实现为一个或多个非暂时性计算机可读或机器可读存储介质。存储介质包括不同形式的存储器,其包括诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦除和可编程只读存储器(EPROM)、电可擦除和可编程只读存储器(EEPROM)和闪速存储器之类的半导体存储器设备;诸如固定盘、软盘和可移除盘之类的磁盘;包括磁带的其它磁性介质;诸如压缩盘(CD)或数字视频盘(DVD)之类的光学介质;或其它类型的存储设备。要指出的是,以上讨论的指令可以被提供在一个计算机可读或机器可读存储介质上,或者可替换地,可以被提供在分布于具有可能多个节点的大型系统中的多个计算机可读或机器可读存储介质上。这样的一个或多个计算机可读或机器可读存储介质被视为制品(或制造品)的一部分。制品或制造品可以是指任何经制造的单个组件或多个组件。一个或多个存储介质可以位于运行机器可读指令的机器中,或者位于可通过网络从其下载机器可读指令以用于执行的远程站点处。
在前面的描述中,阐述了许多细节以提供本文所公开的主题的理解。然而,可以在没有这些细节中的一些或全部的情况下实践实现。其它实现可以包括从以上讨论的细节的修改和变型。意图在于随附权利要求覆盖这样的修改和变型。
Claims (15)
1.一种方法,包括:
由控制器确定针对由作为分组检查设备的集合的一部分的特定分组检查设备接收的数据单元的负载分配,其中所述集合中的分组检查设备审查对应的所接收的数据单元的内容,并且其中,对于由所述特定分组检查设备接收的对应数据单元,所确定的负载分配有助于将对应数据单元保持在所述特定分组检查设备处;以及
基于关于至少所述特定分组检查设备的利用率的度量信息,由所述控制器动态修改负载分配。
2.权利要求1的方法,还包括:
每一个分组检查设备审查相应数据单元的内容。
3.权利要求1的方法,其中负载分配由所述特定分组检查设备中的负载分配数据结构表示,并且其中确定负载分配和修改负载分配涉及更新负载分配数据结构的内容。
4.权利要求3的方法,其中负载分配数据结构具有多个条目,其中每一个条目包含对应于分组检查设备之一的目的地标识符。
5.权利要求4的方法,还包括:
由所述特定分组检查设备接收传入数据单元;
由所述特定分组检查设备将传入数据单元映射到负载分配数据接口的给定条目;以及
将传入数据单元定向到由给定条目中的目的地标识符指定的分组检查设备。
6.权利要求5的方法,其中映射包括对传入数据单元的地址应用函数以产生映射到给定条目的输出值。
7.权利要求1的方法,其中修改响应于指示数据单元应当被从所述特定分组检查设备重定向到另一分组检查设备的事件。
8.权利要求1的方法,还包括:
由所述控制器从所述集合的分组检查设备接收度量信息,其中度量信息是从涉及分组检查设备的性能的度量、涉及分组检查设备的可用容量的度量和涉及分组检查设备之间的互连链路的利用率的度量当中选择的。
9.一种特定分组检查设备,包括:
存储介质,存储包含涉及跨堆叠的分组检查设备的负载分配的信息的数据结构,其中数据结构中的信息是响应于关于分组检查设备的利用率的度量信息、基于来自堆叠中的主设备的输入而动态可修改的,并且其中涉及负载分配的信息有助于将传入数据单元保持在所述特定分组检查设备处;
交换机,基于数据结构确定所接收的数据单元是要由所述特定分组检查设备处理还是要由堆叠中的不同的分组检查设备处理;以及
检查模块,基于由所述交换机进行的所接收的数据单元要由所述特定分组检查设备处理的确定来审查所接收的数据单元的内容。
10.权利要求9的特定分组检查设备,其中数据结构是具有多个条目的表,其中每一个条目包含对应于分组检查设备中的相应分组检查设备的目的地标识符,并且其中所述交换机将所接收的数据单元映射到表的条目中的给定一个条目。
11.权利要求10的特定分组检查设备,其中所述交换机对所接收的数据单元的地址应用函数,以产生映射到给定条目的输出值。
12.权利要求9的特定分组检查设备,还包括:度量测量模块,测量被提供给主设备以使主设备动态修改数据结构中的信息的度量。
13.权利要求12的特定分组检查设备,其中度量信息是从涉及所述特定分组检查设备的性能的度量、涉及所述特定分组检查设备的可用容量的度量和涉及所述特定分组检查设备与另一分组检查设备之间的互连链路的利用率的度量当中选择的。
14.权利要求9的特定分组检查设备,其中所述交换机接收已经被从堆叠的另一分组检查设备重定向到所述特定分组检查设备的第二数据单元,并且其中所述交换机使第二数据单元被检查模块处理并防止第二数据单元到堆叠的另外分组检查设备的进一步重定向。
15.一种系统,包括:
关于彼此通过互连链路而互连的分组检查设备的堆叠,其中堆叠中的分组检查设备审查对应的所接收的数据单元的内容,其中堆叠的分组检查设备从分组检查设备当中选择主设备,并且其中所述主设备:
确定针对由堆叠的特定分组检查设备接收的传入数据单元的负载分配,其中所确定的负载分配有助于将传入数据单元保持在所述特定分组检查设备处;以及
基于关于至少所述特定分组检查设备的利用率的度量信息,动态修改负载分配。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/055333 WO2014042645A1 (en) | 2012-09-14 | 2012-09-14 | Determining a load distribution for data units at a packet inspection device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104704788A true CN104704788A (zh) | 2015-06-10 |
Family
ID=50278567
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076386.3A Pending CN104704788A (zh) | 2012-09-14 | 2012-09-14 | 确定针对分组检查设备处的数据单元的负载分配 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9515934B2 (zh) |
| EP (1) | EP2896158A4 (zh) |
| JP (1) | JP2015534348A (zh) |
| CN (1) | CN104704788A (zh) |
| WO (1) | WO2014042645A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US9225625B1 (en) * | 2015-03-26 | 2015-12-29 | Linkedin Corporation | Detecting and alerting performance degradation during features ramp-up |
| US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
| US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
| US11005746B1 (en) * | 2019-12-16 | 2021-05-11 | Dell Products L.P. | Stack group merging system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007116350A (ja) * | 2005-10-19 | 2007-05-10 | Mitsubishi Electric Corp | 負荷分散装置 |
| US20110099631A1 (en) * | 2009-10-28 | 2011-04-28 | Willebeek-Lemair Marc | Distributed Packet Flow Inspection and Processing |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1131135A (ja) * | 1997-07-11 | 1999-02-02 | Nec Corp | クライアント・サーバネットワークシステム |
| JP3369445B2 (ja) | 1997-09-22 | 2003-01-20 | 富士通株式会社 | ネットワークサービスサーバ負荷調整装置、方法および記録媒体 |
| US6473424B1 (en) | 1998-12-02 | 2002-10-29 | Cisco Technology, Inc. | Port aggregation load balancing |
| JP3908548B2 (ja) * | 2002-01-31 | 2007-04-25 | Necエンジニアリング株式会社 | ユーザデータ負荷試験装置 |
| KR100604638B1 (ko) * | 2002-11-01 | 2006-07-28 | 한국전자통신연구원 | 계층 분석 기반의 침입 탐지 시스템 및 그 방법 |
| US7613201B1 (en) | 2003-04-18 | 2009-11-03 | Rmi Corporation | Stacked network switch using resilient packet ring communication protocol |
| US7684390B2 (en) | 2004-12-30 | 2010-03-23 | Intel Corporation | Integrated circuit capable of transmitting probe packets across a stack of switches |
| WO2006093929A2 (en) | 2005-02-28 | 2006-09-08 | Blade Network Technologies, Inc. | Blade server system with rack-switch |
| JP4680866B2 (ja) * | 2006-10-31 | 2011-05-11 | 株式会社日立製作所 | ゲートウェイ負荷分散機能を備えたパケット転送装置 |
| JP2008167305A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | パケット並列処理装置およびパケット並列処理方法 |
| US8307440B1 (en) * | 2007-08-03 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | Non-blocking shared state in an intrusion-prevention system |
| US8000244B1 (en) * | 2007-08-03 | 2011-08-16 | Hewlett-Packard Development Company, L.P. | Shared rate limiters using floating buckets |
| JP4703634B2 (ja) * | 2007-12-05 | 2011-06-15 | セイコープレシジョン株式会社 | 負荷分散装置 |
| JP4984169B2 (ja) * | 2008-03-28 | 2012-07-25 | 富士通株式会社 | 負荷分散プログラム、負荷分散方法、負荷分散装置およびそれを含むシステム |
| US9148358B2 (en) | 2009-10-05 | 2015-09-29 | Vss Monitoring, Inc. | Method, apparatus and system for filtering captured network traffic |
| US8526435B2 (en) * | 2010-03-19 | 2013-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | Packet node for applying service path routing at the MAC layer |
| US8243598B2 (en) | 2010-04-26 | 2012-08-14 | International Business Machines Corporation | Load-balancing via modulus distribution and TCP flow redirection due to server overload |
| US8391174B2 (en) * | 2010-07-13 | 2013-03-05 | Hewlett-Packard Development Company, L.P. | Data packet routing |
| US20120047573A1 (en) * | 2010-08-17 | 2012-02-23 | Richard Jeremy Duncan | Methods and apparatus for detecting invalid ipv6 packets |
| US8738757B2 (en) * | 2011-01-10 | 2014-05-27 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for variable-size table construction applied to a table-lookup approach for load-spreading in forwarding data in a network |
| JP5742549B2 (ja) * | 2011-07-28 | 2015-07-01 | 富士通株式会社 | パケットキャプチャ処理方法及び装置 |
| US8553552B2 (en) * | 2012-02-08 | 2013-10-08 | Radisys Corporation | Stateless load balancer in a multi-node system for transparent processing with packet preservation |
-
2012
- 2012-09-14 WO PCT/US2012/055333 patent/WO2014042645A1/en active Application Filing
- 2012-09-14 EP EP12884359.6A patent/EP2896158A4/en not_active Withdrawn
- 2012-09-14 US US14/428,038 patent/US9515934B2/en active Active
- 2012-09-14 CN CN201280076386.3A patent/CN104704788A/zh active Pending
- 2012-09-14 JP JP2015531896A patent/JP2015534348A/ja active Pending
-
2016
- 2016-10-31 US US15/338,939 patent/US9935883B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007116350A (ja) * | 2005-10-19 | 2007-05-10 | Mitsubishi Electric Corp | 負荷分散装置 |
| US20110099631A1 (en) * | 2009-10-28 | 2011-04-28 | Willebeek-Lemair Marc | Distributed Packet Flow Inspection and Processing |
Non-Patent Citations (1)
| Title |
|---|
| VICTOR HEORHIADI等: "Balancing Computation-Communication Tradeoffs in Scaling Network-Wide Intrusion Detection Systems", 《COMPUTER SCIENCE PAPERS UNIVERSITY OF NORTH CAROLINA AT CHAPEL HILL》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014042645A1 (en) | 2014-03-20 |
| US9935883B2 (en) | 2018-04-03 |
| JP2015534348A (ja) | 2015-11-26 |
| US20170048149A1 (en) | 2017-02-16 |
| US20150271076A1 (en) | 2015-09-24 |
| EP2896158A4 (en) | 2016-04-13 |
| US9515934B2 (en) | 2016-12-06 |
| EP2896158A1 (en) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | BalanceFlow: Controller load balancing for OpenFlow networks | |
| US9294304B2 (en) | Host network accelerator for data center overlay network | |
| CN102055667B (zh) | 用于实现网络规则的方法和设备 | |
| US9703743B2 (en) | PCIe-based host network accelerators (HNAS) for data center overlay network | |
| US9935883B2 (en) | Determining a load distribution for data units at a packet inspection device | |
| EP2928134A2 (en) | High-performance, scalable and drop-free data center switch fabric | |
| Killi et al. | Towards improving resilience of controller placement with minimum backup capacity in software defined networks | |
| CN102792644B (zh) | 用于路由分组的系统和方法 | |
| US20150334024A1 (en) | Controlling Data Rates of Data Flows Based on Information Indicating Congestion | |
| US9979656B2 (en) | Methods, systems, and computer readable media for implementing load balancer traffic policies | |
| US9602331B2 (en) | Shared interface among multiple compute units | |
| US9485191B2 (en) | Flow-control within a high-performance, scalable and drop-free data center switch fabric | |
| US11444840B2 (en) | Virtualized networking application and infrastructure | |
| Zahavi et al. | Links as a service (LaaS) Guaranteed tenant isolation in the shared cloud | |
| JP5497541B2 (ja) | 通信制御装置およびシェイピング装置 | |
| CN104461727A (zh) | 内存模组访问方法及装置 | |
| KR101841026B1 (ko) | 최적 경로 설정을 위한 서비스 기능 체이닝 네트워크 시스템 | |
| Iqbal et al. | Minimize the delays in software defined network switch controller communication | |
| Xue et al. | On table resource virtualization and network slicing in programmable data plane | |
| CN112702311B (zh) | 一种基于端口的报文过滤方法和装置 | |
| Jiang et al. | ORP: An online rule placement scheme to optimize the traffic overhead for data center networks | |
| US10243838B1 (en) | Interleaving members for proportionate network traffic distribution | |
| RU2625046C2 (ru) | Способ многопоточной защиты сетевого трафика и система для его осуществления | |
| Cui et al. | Enforcing network policy in heterogeneous network function box environment | |
| CN106982169A (zh) | 报文转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150610 |