CN105684378A - 在网络安全装置中高效地复制分组 - Google Patents
在网络安全装置中高效地复制分组 Download PDFInfo
- Publication number
- CN105684378A CN105684378A CN201380079338.4A CN201380079338A CN105684378A CN 105684378 A CN105684378 A CN 105684378A CN 201380079338 A CN201380079338 A CN 201380079338A CN 105684378 A CN105684378 A CN 105684378A
- Authority
- CN
- China
- Prior art keywords
- core
- grouping
- group
- instruction
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络安全装置,使用交换机来在被配置用于快路径处理的核和被配置用于慢路径处理的核之间交换分组。交换机将分组复制以便递送到慢路径处理核,消除了对于快路径处理核的将处理器资源花费在分组复制上的需要。交换机可以在分组中使用IEEE?802.1ad?Q-in-Q?VLAN标签,以执行交换和分组复制。慢路径处理核也可以将分组经由交换机广播到其它慢路径处理核。
Description
技术领域
本文中描述的实施例在总体上涉及网络安全领域,并且具体涉及一种用于改善网络安全装置的能力以使其以高吞吐量执行并发处理的技术。
背景技术
网络安全设备保护网络免于不想要的网络通信量。这些设备起初是单处理器设备,但已利用了多处理器和多核处理器技术以允许对传入的分组进行并发处理。然而,在这样的网络安全设备中已出现了瓶颈,包括为了通过多处理器或多核进行处理而对传入的分组进行复制拷贝的高处理器成本。对分组进行拷贝是在计算上昂贵的操作,并且让一个处理器进行分组拷贝并将拷贝转发给若干个处理器或核的简单解决方案在高吞吐率下变得在计算上不可行。因此,网络安全设备已经无法达到期望的吞吐量和并发处理水平。
附图说明
图1是示出了根据现有技术的单处理器网络安全装置的一部分的方框图。
图2是示出了根据现有技术的多核网络安全装置的一部分的方框图。
图3是示出了根据一个实施例的多核网络安全装置的一部分的方框图。
图4是示出了根据一个实施例的用于在网络安全装置中复制分组的技术的流程图。
图5是示出了根据一个实施例的用于在网络安全装置中使用交换机来对分组进行路由的技术的流程图。
图6是示出了根据一个实施例的网络安全装置的方框图。
具体实施方式
在下面的说明书中出于解释目的陈述了大量特定细节,以提供对本发明的透彻理解。然而,对于本领域技术人员而言显而易见的是,可以在没有这些具体细节的情况下实践本发明。在其它实例中,结构和设备以方框图形式示出,是为了避免使本发明难以理解。对不带下标或后缀的数字的引用,应被理解为是对与所引用的数字相对应的下标或后缀的所有实例的引用。此外,在本公开中使用的语言在原则上是为可读性和教学的目的而选择的,而不是为描绘或界定本发明主题而选择的,诉诸于权利要求为确定这样的发明主题所必要的。在本说明书中对“一个实施例”或“一实施例”的引用意味着,结合实施例描述的特定特征、结构或特性是包括在本发明的至少一个实施例中的,而对“一个实施例”或“一实施例”的多个引用不应被理解为全都必须引用同一实施例。
如在本文中所用的,术语“计算机系统”可以意指用于执行被描述为在计算机系统上被执行的或由计算机系统执行的功能的单个计算机或一起工作的多个计算机。尽管如在本文中描述的,在多核处理器方面,其中多处理器功能是在单个集成电路管芯上可利用的或是在单个芯片封装中的多个管芯上可利用的,但在这里描述的技术和系统也可以在多处理器系统中实现,其中多个处理器中的每个分立地实现在不同的处理器封装上。出于本公开的目的,将“核”定义为这样的处理器:其或者被实现为多核处理器单元中的一个或者被实现为分立的处理器单元,无论是真实的还是虚拟的。
尽管在本文中总体上所描述的在物理网络安全装置中实现,但所描述的技术也可实现在虚拟网络安全装置中,其中多处理器技术可以是执行网络安全功能的多处理器虚拟机或多个虚拟机。类似地,交换功能可以由物理硬件交换机设备提供,或可以在虚拟交换机中执行。
在附图中,八核处理器被用作示例,但核(或处理器)的数量是示例性的且只是以举例的方式,并且网络安全功能可以用具有任何期望的数量的核的系统来实现。
如本文中所用的,术语“网络装置”可以指用于执行被描述为在网络安全装置上被执行的或由网络安全装置执行的功能的单个网络安全装置或一起工作的多个网络安全装置。可以使用任何期望的处理器技术或核技术。
本领域技术人员将会认识到,网络安全装置可以在计算机系统中实现,且也可以在必要时或根据需要包括计算机系统的其它元件,例如:存储器、输入设备例如键盘和鼠标,以及输出设备例如显示器,以及其它常见的部件例如在部件之间的链路。存储器可以包括易失性和非易失性的存储器设备,包括所有类型的允许存储指令的存储设备,所述指令当被执行时使得网络安全装置执行在本文中描述的各种技术的行为。因为这些常见的设备是本领域公知的,为清楚起见将它们从图上略去,且无需进一步描述。网络安全装置可以作为独立设备实施,或者可以通过嵌入在另一设备中来实施。尽管在本文中没有描述,可为网络安全装置提供用户接口或管理员接口以允许对网络安全装置进行配置。
此外,尽管在本文中总体上所描述的在物理网络安全装置中实现,但所描述的技术也可实现在虚拟网络安全装置中,其中多处理器技术可以是执行网络安全功能的一个多处理器虚拟机或多个虚拟机。类似地,交换功能可以由物理硬件交换机设备提供,或可以在虚拟交换机中执行。
如本文所使用的,术语“分组”和“帧”应被认为是可互换的。
在附图中,八核处理器和四个网络接口被用作示例,但核的数量和网络接口的数量是示例性的且只是以举例的方式,并且网络安全功能可以用具有任何期望数量的核和网络接口的系统来实现。
如图1中所示,根据现有技术的多千兆比特网络安全装置100的分组处理功能可被分成两个部分:快路径和慢路径。当从网络接口110接收到分组时,由网络安全装置100执行快路径操作120例如流表查找(flowtablelookup),以确定是否需要对分组的更详细的检查(慢路径处理130)。然后,将该分组经慢路径处理或不经慢路径处理而转发出。在如图1中所示的网络安全装置100中,单个核可以提供快路径处理和慢路径处理两者,或者可以将第一核用于执行快路径处理120,并且将第二核用于执行慢路径处理130。为了在如图1所示的安全装置100中实现高吞吐量,必须使用非常快的核,这提高了网络安全装置100的成本。而且即使用最快的核,单流路径(singleflowpath)仍然限制了通过网络安全装置100的可能的吞吐量。快路径过程通常是那些只考虑分组的非有效载荷部分的过程,而慢路径过程通常是那些除了考虑分组头部之外或者替代考虑分组头部而通过考虑分组的有效载荷来执行深度分组检查(deeppacketinspection)的过程。然而,如在本文中所用的,任何分组分析过程根据期望可以是快路径过程或慢路径过程,尽管通常快路径过程与慢路径过程相比在计算上是不那么资源密集的(且因此是更快的)。
利用多核处理器可以在多个核上实现快路径处理和慢路径处理,如在图2中的现有技术的网络安全装置200中所示。在此示例中,网络接口110与多核处理器210相通信,该多核处理器210使用基于流缓存的处理(flowcachebasedprocessing)来运用快路径处理,然后能够将慢路径处理切换给多核处理器230。尽管如图2中所示是在分立的多核处理器210和230中执行快路径处理和慢路径处理的,但实施方式可以将一个多核处理器中的一些核用于快路径处理,并且将同一个多核处理器中的其它核用于慢路径处理,例如深度分组检查。如图2中所示,所有的核210和230使用网络220形成L2或L3网络,以使得分组交换可以在处理器核之间进行。然而,虽然此实施方式能够在图1的网络安全装置之上赢得一些吞吐量改善,但因为多核处理器230中的慢路径处理能够在不同的核上同时地运行,对从网络接口110接收到的传入分组进行复制的开销要求在快路径处理核中的显著的处理功率,减慢了总体吞吐量并且为在多千兆比特网络安全装置中达到期望的吞吐量水平需要快的、昂贵的处理器。
当慢路径处理器核中的一个需要对分组进行一些处理、然后将该分组发送给其它慢路径处理器核以进行另外的处理时,图2的实施方式的低效率加剧。再一次,需要进行对分组的拷贝,每个慢路径核从原始慢路径核中接收需要进行一次分组拷贝。
如果在截然不同的处理器核上实施多个慢路径功能例如分组捕获和入侵防御,怎样才能让快路径核避免进行对分组的拷贝?在利用并行处理的同时,我们怎样才能避免分组拷贝?如果慢路径核需要将分组向一群其它慢路径核进行广播或多播,允许其它慢路径核在分组上并发地操作以最小化网络延迟,那么慢路径核怎样避免分组拷贝?下文描述了对这些和其它问题提供解决方案的各个实施例。
图3示出了根据一个实施例的网络安全装置的实施例。在此实施例中,快路径处理核210、慢路径处理核230以及网络端口110依然与图2中相同,但是替代将网络接口110连接到快路径核210并且使用L2或L3网络220来将快路径核210连接到慢路径核230的是,由交换机310来提供这些连接。可替代地,网络接口110可以连接到快路径核而不经过交换机310,而快路径核210和慢路径核230是经由交换机310连接的。虽然存在在核之间采用这样的交换路径的网络安全装置,但那些装置不提供下面描述的功能。采用不具有下面描述的功能的在核之间的交换路径的网络安全装置的示例,包括来自McAfee,Inc.的M系列和NS系列的网络安全平台。
本领域技术人员将会认识到,网络安全装置300可以在计算机系统中实现,且也可以在必要时或根据需要包括计算机系统的其它元件,例如:存储器、输入设备例如键盘和鼠标,以及输出设备例如显示器,以及其它常见的部件例如在部件之间的链路。这些常见部件可以根据需要被连接到如图3中所示的部件中的任一或全部。存储器可以包括易失性和非易失性的存储器设备,包括所有类型的允许存储数据和指令的存储设备,所述指令当被执行时使得网络安全装置300执行在本文中描述的各种技术的行为。网络安全装置可以作为独立设备实施,包括移动设备,或者可以通过嵌入在另一设备中来实施。尽管在本文中没有描述,可以为网络安全装置提供用户接口或管理员接口以允许对网络安全装置进行配置。在下文中在图6的讨论中描述了网络安全装置实施方式的一个示例。
如图3中所示,交换机310连接在网络接口110、快路径处理核210和慢路径处理核220之间。在一个实施例中,该交换机被配置为支持使用IEEE802.1ad网络标准(有时称为802.1QinQ)的Q-in-Q虚拟局域网(VLAN)。其它实施例可以支持允许交换机将分组发送到期望的慢路径核的任何其它网络协议,其中复制分组的是交换机310,而不是快路径核210或慢路径核230。
在图3所示的实施例中,在核210中完成的快路径处理可以确定应该在分组上执行哪些慢路径过程。慢路径核230可被预配置为将特定的慢路径核230分配给预先确定的慢路径过程。可替代地,慢路径核可被动态地分配到慢路径过程,这是取决于由网络安全装置300接收到的网络通信量。可以为相同的慢路径过程分配多个慢路径核,其中为较普遍采用的慢路径过程分配较多的核,而为相对不那么频繁采用的慢路径过程分配较少的核。例如,可以为互联网协议(IP)处理分配慢路径核230中的较多的核,而为数据丢失防护(DLP)处理分配较少的核。
慢路径核230重的每个都被指定了网络地址,如同快路径核210中的每个一样。交换机310可以被配置为将传入分组从网络接口路由到快路径核210中的一个。交换机310然后可以被配置为将分组从快路径核210路由到期望的慢路径核230。因为多个慢路径过程可以并发地执行,交换机310可以将相同的分组从快路径核210发送到多个慢路径核230,复制分组而无需要求由快路径核210执行分组复制。
在Q-in-QVLAN实施方式中的交换机310允许为每个连接到它的组件(网络接口110、慢路径核230和快路径核210)定义外部VLAN。外部VLAN仅用于内部交换的目的。相同的外部VLAN可被指定给多个连接到它的组件。例如,相同的外部VLAN可被指定给要对分组并发地进行处理的所有慢路径核。当交换机从网络接口接收到分组时,外部VLAN被插入;而当分组经由网络接口出离交换机时,外部VLAN被剥除。经由网络接口110到达的每个分组可能已经具有了在帧内的内部VLAN标签。每个VLAN标签包括VLAN标识符和类型数据。交换机310对经由网络接口110到达的每个分组附加独有的外部VLAN。
交换机310被编程为:使用存在于分组中的外部VLAN,在连接到该交换机的各个组件之间交换分组。因此,交换机310能够基于外部VLAN标识符对从网络接口接收到的分组进行交换,将所述分组发送到被配置为与所述VLAN标识符相关联的快路径核210。快路径核210在处理分组之后接下来可以将分组中的Q-in-QVLAN标签改变成为针对慢路径核的期望的集合而定义的VLAN标识符,然后将分组发送给交换机310。交换机310然后将分组递送到为该VLAN配置的所有慢路径核230。Q-in-QVLAN标签还包括VLAN标识符和类型数据,其中Q-in-QVLAN标签的VLAN标识符被交换机用来将分组交换到被配置为与Q-in-QVLAN标签的VLAN标识符相关联的慢路径核。
此外,一些实施方式可以允许慢路径核230执行与快路径核相同的技术,生成然后能够被广播到多个慢路径核230的分组,这是通过将Q-in-QVLAN标签插入到与该组慢路径核230相关联的分组中。
IEEE802.1ad网络标准允许在单个帧内插入多个VLAN标签,并且是对定义了在以太网帧中的VLAN标签的IEEE802.1Q网络标准的扩展。开发该网络标准是为了允许服务提供商的消费者在该服务提供商所提供的VLAN内部运行他们自己的VLAN。服务提供商然后可以为消费者配置单个VLAN(其可被消费者当作干线),其中在单个服务提供商VLAN上运载多个消费者VLAN。
虽然IEEE802.1ad在理论上允许在一个帧内的任意数量的VLAN标签,上面描述的交换技术的实施方式可以使用内部VLAN标签和外部VLAN标签来执行针对网络安全装置300所需的分组路由和复制。在一个实施方式中,帧被定义为广播帧,允许交换机310将帧递送到与外部VLAN标签相关联的多个慢路径核,自动地复制帧而不需要快路径核210来执行分组复制。
Q-in-QVLAN是经由交换机API和/或命令来配置的。创建VLAN是通过:提供标识符(比方说100),指定交换机310的哪些端口属于VLAN,并且由那些端口构成的子集应该被视为“外部”。当从外部端口接收到分组时,交换机310一旦接收分组就插入外部VLAN。例如,网络接口110中的每个可被配置有独有的VLAN并且被标记为“外部”。当接收到分组时,交换机310被编程以将指定给网络接口110的外部VLAN插入(这也暗示着该外部VLAN将会在出离时被剥除)。
交换机310的连接到快路径核230的端口也属于指定给网络接口110的外部VLAN。外部VLAN仅仅限定了接收机-发送机不需要属于该VLAN。因此,慢路径核230可以插入标识网络接口110的外部VLAN,以便于通过该网络接口110将该分组发送出系统之外。可以利用在如何交换分组上提供更大的控制的规则来对交换机310进行编程。在一个实施例中,使用这样的规则,能够将在网络接口110上接收的所有分组在快路径核210之间进行负载平衡。
规则也可用于将分组驱策到属于VLAN的组件的特定子集中,而不是发送到所有组件。例如,规则可以确保,即使快路径核210属于指定给网络接口110的所有外部VLAN,也不将由慢路径核230发送到网络接口110的分组广播到快路径核210,从而确保他们能够接收从外部世界进入系统的分组。
图4是示出了使用交换机通过在网络安全装置中高效地复制分组来减少分组处理开销的技术的实施例的流程图。在方框410,网络安全装置300接收到帧。在方框420,交换机310将帧交换到快路径核210以执行快路径处理。在方框430完成了快路径处理之后,在方框440关于分组是否期望任何慢路径处理做出决定。如果慢路径处理是期望的,那么在方框450,快路径核210将VLAN标签添加到分组中,并且将分组发送到交换机310。VLAN标签被配置为标识与要用于慢路径处理的核相关联的VLAN。慢路径核230中的任何或全部可以与VLAN相关联,包括执行不同的慢路径过程的核230。
然后交换机310使用由快路径核210插入的VLAN标签来在方框460将分组交换到与由该VLAN标签标识的VLAN相关联的(一个或多个)慢路径核。在一个实施例中,交换机310中的缓冲器可用于保持该分组以便发送到与该VLAN相关联的多个慢路径核。
在方框470,与VLAN相关联的(一个或多个)慢路径核然后对分组并发地执行它们的所配置的慢路径处理。
快路径核210或慢路径核230可以基于它们各自的快路径处理或慢路径处理来采取任何期望的行动,包括冲洗(flush)该分组。
图5是示出了其中慢路径核230可以经由交换机310发送分组到其它慢路径核的实施例的流程图。在该实施例中,一些慢路径核230可被配置为执行第一类型的慢路径过程,而其它慢路径核230可被配置为执行第二类型的慢路径过程,第二类型的慢路径过程是要在第一类型的慢路径过程之后执行。在方框510,慢路径核对分组执行已配置的第一类型慢路径过程。在方框520,对于是否由其它慢路径核230进行第二类型慢路径处理而做出确定。如果另外的慢路径处理是期望的,则慢路径核230可以将VLAN标签添加到分组中,类似于在将分组交换到慢路径核230之前由快路径核210添加VLAN标签的方式。由慢路径核230添加的新的VLAN标签代替由快路径核210插入的VLAN标签,在添加新的VLAN标签之前将该标签移除。然后向交换机310提供分组,并且在方框540将分组交换到被配置为执行第二类型慢路径处理的(一个或多个)慢路径核230。(一个或多个)慢路径核230利用在方框530由慢路径核添加的VLAN标签来接收交换分组,并且在方框550执行第二类型慢路径处理。对第一类型慢路径处理和第二类型慢路径处理的指定是任意的和示意性的,并且任意类型的过程可为第一类型慢路径处理或第二类型慢路径处理或两者。
通过使用交换机310的Q-in-QVLAN能力,可将交换机310用于在网络安全装置中复制分组,而不是在快路径核或慢路径核中消费处理器资源,从而允许用相同的硬件达到更高的吞吐量或以不那么昂贵的硬件达到相同的吞吐量。此技术允许对在网络安全装置300中使用的多核处理器的并发处理能力的更好的使用。
尽管上文是在Q-in-QVLAN能力方面描述的,但在其中传入分组将不包含现存的VLAN信息的场合,可以实施不支持Q-in-QVLAN能力的使用IEEE802.1QVLAN能力的实施例。
现在参见图6,示出的是根据本发明的一个实施例的网络安全装置实施例600的方框图。在图6中示出的是多处理器网络安全装置600,其包括第一处理元件670和第二处理元件680。
网络安全装置600被示出为交换互连系统,其中第一处理元件670和第二处理元件680经由交换互连650而被耦合。应当理解,在图6中所示的互连中的任何或全部,除了交换互连650以外,都可以被实施成多点总线而不是点对点互连。交换互连650可以包括缓存器和存储器,为清楚起见并未在图6中示出。
如图6中所示,处理元件670和680中的每个都可以是多核处理器,包括第一处理器核和第二处理器核(即,处理器核674a和674b,以及处理器核684a和684b)。这样的核674、674b、684a、684b可以被配置为以类似于上文关于图3而讨论的方式执行指令代码。在一个实施例中,快路径核210可根据处理元件670的处理器核而被配置,而慢路径核230可以根据处理元件680的处理器核而被配置。在可替代实施例中,快路径核210和慢路径核230可以根据任意处理元件的核而被配置,以使得快路径核和慢路径核被部署在同一个处理元件内。
每个处理元件670、680可以包括至少一个共享的高速缓存646。共享高速缓存646A、646B可以存储数据(例如指令),所述数据由处理器的一个或多个组件,例如核674a、674b和684a、684b,分别地利用。例如,共享高速缓存可以对存储在存储器632、634内的数据以本地方式进行高速缓存,以便由处理器的组件更快地访问。在一个或多个实施例中,共享缓存可以包括一个或多个中间级缓存,例如二级(L2)、三级(L3)、四级(L4)或其它级的高速缓存,最后一级高速缓存(LLC),和/或它们的组合。
虽然被示为仅具有两个处理元件670、680,但应当理解本发明的范围不限于此。在其它实施例中,一个或多个额外的处理元件可以存在于给定的处理器之内。可替代地,一个或多个处理元件670、680可以是不同于处理器的元件,例如加速器或现场可编程门阵列。例如,(一个或多个)另外的处理元件可以包括:与第一处理器670相同的(一个或多个)另外的处理器,与第一处理器670异构或不对称的(一个或多个)另外的处理器,加速器(例如,图形加速器或数字信号处理(DSP)单元),现场可编程门阵列,或任意其它处理元件。在连续的指标度量(包括架构、微架构、热力、功耗特性,等等)方面,在处理元件670、680之间能够存在多种不同。这些不同本身可以有效地表现为在处理元件670、680之间的不对称和异构性。对于至少一个实施例,各个处理元件670、680可以驻留在相同的管芯封装之内。
第一处理元件670还可以包括存储器控制器逻辑(MC)672,点对点(P-P)接口676以及交换机接口678。类似地,第二处理元件680可以包括MC682、P-P接口686以及交换机接口688。如图6中所示,MC的672和682将处理器耦合到各自的存储器,也即存储器632和存储器634,它们可以是主存储器的部分,以本地方式附接到各自的处理器。虽然MC逻辑672和682被示为集成到处理元件670、680之内,但对于可替代实施例,MC逻辑可以是在处理元件670、680的外部的(而不是集成在其内的)离散的逻辑。
第一处理元件670和第二处理元件680可以分别经由P-P互连676、686和684耦合到I/O子系统690。如图6中所示,I/O子系统690包括P-P接口694和698。此外,I/O子系统690包括接口692,用于将I/O子系统690与高性能图形引擎638相耦合。在一个实施例中,总线649可用于将图形引擎638耦合到I/O子系统690。可替代地,点对点互连639可以耦合这些组件。
反过来,可以将I/O子系统690经由接口696耦合到第一总线616。在一个实施例中,第一总线616可以是外围组件互连(PCI)总线,或一种例如PCI快速总线的总线,或另一种第三代I/O互连总线,尽管本发明的范围并不限于此。
如图6中所示,各种I/O设备614可以耦合到第一总线616,连同总线桥接器618一起——其可将第一总线616耦合到第二总线610。在一个实施例中,第二总线620可以是低引脚数(LPC)总线。各种设备可以耦合到第二总线620,包括例如:键盘/鼠标612,(一个或多个)通信设备626(其可以反过来与计算机网络603相通信,提供网络接口110),以及数据存储设备618例如磁盘驱动器或其它大容量存储设备,其在一个实施例中可以包括代码630。代码630可以包括指令,用于执行上面描述的一个或多个方法的实施例。此外,音频I/O624可以耦合到第二总线620。如上文所述,在可替代实施例中,通信设备626可以经由交换互连650而连接到处理元件670和680。
请注意其它实施例是可想到的。例如,取代图6的点对点架构,网络安全装置可以实施多点总线或另一种这样的通信拓扑结构。此外,可以替代地使用比图6中所示的更多或更少的集成芯片来划分图6的元件。
下文的示例属于进一步的实施例。
示例1是一种网络安全装置,包括:网络接口;第一核;第一组核(afirstpluralityofcores);交换机,连接到第一核以及第一组核;在其上存储有指令的机器可读介质,所述指令包括这样的指令——其当被所述网络安全装置执行时使得所述网络安全装置:在第一核中在由网络安全装置接收的分组上执行快路径处理;由第一核将第一虚拟局域网标签插入到分组中;基于第一虚拟局域网标签将分组交换到第一组核;以及在第一组核中并发地执行慢路径处理。
示例2包括示例1的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:通过网络接口接收分组;将第二虚拟局域网标签插入到分组中;并且基于第二虚拟局域网标签将分组交换到第一核。
示例3包括示例2的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:将第一核与由第二虚拟局域网标签所标识的第一虚拟局域网相关联。
示例4包括示例2-3中任一项的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:将交换机配置为基于第一虚拟局域网标签和第二虚拟局域网标签来交换分组。
示例5包括示例1的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:将第一虚拟局域网标签从分组移除;由第二核将第二虚拟局域网标签插入到分组中,其中第二核是第一组核中的一员,以及基于第二虚拟局域网标签将分组交换到第一组核中的一个或多个。
示例6包括示例1的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:将第一组核与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例7包括示例1-2和5-6中任一项的主题,其中存储在机器可读介质上的指令还包括这样的指令,其当被执行时使得所述网络安全装置:将交换机配置为基于第一虚拟局域网标签来交换分组。
示例8是一种网络安全装置,包括:第一核;第一组核;交换机,连接到所述第一核和所述第一组核;第一存储器,连接到所述第一核,在第一存储器上存储有指令,所述指令当被所述第一核的第一核执行时使得所述第一核:对分组执行快路径处理;以及将该分组发送到交换机,所述交换机被编址到所述第一组核中的子组;以及第二存储器,连接到所述第一组核,在第二存储器上存储有指令,所述指令当被所述第一组核中的所述子组执行时使得所述第一组核的所述子组:对分组并发地执行慢路径处理,其中所述交换机被配置为,复制从第一核接收到的分组,并且将所复制的分组发送到所述第一组核中的所述子组中的每个核。
示例9包括示例8的主题,其中所述交换机被配置为基于虚拟局域网标准来交换分组。
示例10包括示例9的主题,其中所述交换机基于由第一核插入到分组中的虚拟局域网标签将分组从第一核交换到第一组核中的所述子组。
示例11包括示例8-9中任一项的主题,还包括:网络接口,连接到第一核,被配置为接收分组。
示例12包括示例11的主题,其中网络接口经由交换机连接到第一核。
示例13包括示例12的主题,其中交换机被配置为将第一虚拟局域网标签插入到分组中、并且基于该第一虚拟局域网标签来交换分组,且其中第一核被配置为与由该第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例14包括示例8-9中任一项的主题,其中存储在第二存储器上的指令包括这样的指令——其当由所述第一组核中的第二核执行时使得所述第二核:将分组发送到交换机,所述交换机被编址到所述第一组核中的第二子组。
示例15包括示例14的主题,其中存储在第二存储器上的指令还包括这样的指令——其当由第二核执行时使得第二核:移除由第一核添加到分组中的虚拟局域网标签;并且将虚拟局域网标签插入到分组中。
示例16包括示例8-9中任一项的主题,其中交换机包括缓冲存储器,用于在将分组交换到第二组核中的所述子组的同时保持该分组。
示例17是在网络安全装置中处理分组的方法,包括:在网络接口处接收分组;由网络安全装置的第一核执行快路径处理;由该第一核确定慢路径处理应当由网络安全装置的一组核执行;将分组从第一核发送到网络安全装置的交换机;由该交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员;以及在所复制的分组上执行慢路径处理。
示例18包括示例17的主题,还包括:由执行慢路径处理的一组核中的第二核确定应当在分组上执行另外的慢路径处理;将该分组从第二核发送到交换机;由交换机复制分组,将所复制的分组中的每个发送到执行慢路径处理的所述一组核中的一员;以及对分组执行另外的慢路径处理。
示例19包括示例17的主题,还包括:将虚拟局域网标签插入到分组中,其中由交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的一组核中的一员包括:基于虚拟局域网标签将所复制的分组交换到所述一组核。
示例20包括示例17的主题,还包括:将第一核与第一虚拟局域网相关联;以及将所述一组核与第二虚拟局域网相关联。
示例21是在其上存储有指令的机器可读介质,所述指令包括这样的指令——其当被执行时使得网络安全装置执行示例17-20中任一项的方法。
示例22是其上存储有指令的非暂时性机器可读介质,所述指令包括这样的指令——其当被执行时使得网络安全装置:在第一核中在由网络安全装置接收到的分组上执行快路径处理;由第一核将第一虚拟局域网标签插入到分组中;基于第一虚拟局域网标签将分组交换到第一组核;以及在第一组核中并发地执行慢路径处理。
示例23包括示例22的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:通过网络安全装置的网络接口接收分组;将第二虚拟局域网标签插入到分组中;以及基于第二虚拟局域网标签将分组交换到第一核。
示例24包括示例23的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将第一核与由第二虚拟局域网标签所标识的第一虚拟局域网相关联。
示例25包括示例23-24中任一项的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于第一虚拟局域网标签和第二虚拟局域网标签来交换分组。
示例26包括示例22的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:从分组中移除第一虚拟局域网标签;由第二核将第二虚拟局域网标签插入到分组中,其中第二核是所述第一组核中的一员;以及基于第二虚拟局域网标签将分组交换到第二组核。
示例27包括示例22和26中任一项的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将所述第一组核与被第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例28包括示例22和26-27中任一项的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于第一虚拟局域网标签来交换分组。
示例29是网络安全装置,包括:第一核;网络接口,连接到第一核,被配置为接收分组;第一组核;交换机,连接到所述第一核和所述第一组核;第一存储器,连接到所述第一核,在所述第一存储器上存储有指令,所述指令当被所述第一核中的一个第一核执行时,使得该第一核:对分组执行快路径处理;并且将分组发送到交换机,该交换机被编址到所述第一组核中的一个子组;以及第二存储器,连接到所述第一组核,在所述第二存储器上存储有指令,所述指令当被所述第一组核中的所述子组执行时使得所述第一组核中的所述子组:对分组并发地执行慢路径处理,其中所述交换机被配置为,复制从第一核接收的分组,并且将所复制的分组发送到第一组核中的所述子组中的每个核,且其中所述交换机可选地包括缓冲存储器,用于在将分组交换到所述第一组核中的所述子组的同时保持该分组。
示例30包括示例29的主题,其中所述交换机基于由第一核插入到分组中的虚拟局域网标签,将分组从第一核交换到所述第一组核中的所述子组。
示例31包括示例29的主题,其中所述网络接口经由交换机连接到所述第一核,其中所述交换机被配置为将第一虚拟局域网标签插入到分组中、并且基于第一虚拟局域网标签来交换分组,并且其中所述第一核被配置为与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例32包括示例29-31中任一项的主题,其中存储在第二存储器上的指令包括这样的指令——其当被第一组核中的第二核执行时使得所述第二核:将分组发送到交换机,该交换机被编址到第一组核中的第二子组。
示例33包括示例29-32中任一项的主题,其中存储在第二存储器上的指令还包括这样的指令——其当被第二核执行时使得第二核:将由第一核添加到分组中的虚拟局域网标签移除;并且将虚拟局域网标签插入到分组中。
示例34是一种在网络安全装置中处理分组的方法,包括:在网络接口处接收分组;由网络安全装置的第一核执行快路径处理;由所述第一核确定慢路径处理应当由网络安全装置的一组核执行;将分组从第一核发送到网络安全装置的交换机;由该交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员;以及在所复制的分组上执行慢路径处理。
示例35包括示例34的主题,还包括:由执行慢路径处理的所述一组核中的第二核确定应当在分组上执行另外的慢路径处理,将该分组从第二核发送到交换机;由交换机复制分组,将所复制的分组中的每个发送到执行慢路径处理的所述一组核中的一员;以及对分组执行另外的慢路径处理。
示例36包括示例34-35中任一项的主题,还包括:将第一核与第一虚拟局域网相关联;以及将所述一组核与第二虚拟局域网相关联,将虚拟局域网标签插入到分组中,其中由交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员包括:基于虚拟局域网标签将所复制的分组交换到所述一组核。
示例37是其上存储有指令的非暂时性机器可读介质,所述指令包括这样的指令——其当被执行时使得网络安全装置:在第一核内在由网络安全装置接收的分组上执行快路径处理;由第一核将第一虚拟局域网标签插入到分组中;基于第一虚拟局域网标签将分组交换到第一组核;以及在第一组核内并发地执行慢路径处理。
示例38包括示例37的主题,其中在其上存储的指令还包括这样的指令——其当被执行时使得网络安全装置:由网络安全装置的网络接口接收分组;将第二虚拟局域网标签插入到分组中;以及基于第二虚拟局域网标签将分组交换到第一核。
示例39包括示例38的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将第一核与由第二虚拟局域网标签所标识的第一虚拟局域网相关联。
示例40包括示例38和39中任一项的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于所述第一虚拟局域网标签和所述第二虚拟局域网标签来交换分组。
示例41包括示例37的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:从分组中移除第一虚拟局域网标签;由第二核将第二虚拟局域网标签插入到分组中,其中第二核是第一组核中的一员;并且基于第二虚拟局域网标签将该分组交换到第二组核。
示例42包括示例37的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将第一组核与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例43包括示例37-38和41-42中任一项的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于第一虚拟局域网标签来交换分组。
示例44是一种网络安全装置,包括:第一核;第一组核;交换机,连接到所述第一核和所述第一组核;第一存储器,连接到所述第一核,在第一存储器上存储有指令,所述指令当被所述第一核中的一个第一核执行时使得该第一核:对分组执行快路径处理;并且将分组发送到交换机,该交换机被编址到所述第一组核中的一个子组;以及第二存储器,连接到所述第一组核,在所述第二存储器上存储有指令,所述指令当被所述第一组核中的所述子组执行时使得所述第一组核中的所述子组:对分组并发地执行慢路径处理,其中所述交换机被配置为,复制从第一核接收的分组,并且将所复制的分组发送到第一组核中的所述子组中的每个核。
示例45包括示例44的主题,其中所述交换机被配置为基于虚拟局域网标准来交换分组。
示例46包括示例45的主题,其中所述交换机基于由第一核插入到分组中的虚拟局域网标签将分组从第一核交换到第一组核中的所述子组。
示例47包括示例44-45中任一项的主题,还包括:网络接口,连接到第一核,被配置为接收所述分组。
示例48包括示例47的主题,其中网络接口经由交换机连接到第一核。
示例49包括示例48的主题,其中交换机被配置为将第一虚拟局域网标签插入到分组中、并且基于第一虚拟局域网标签来交换分组,且其中第一核被配置为与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例50包括示例44-45中任一项的主题,其中存储在第二存储器上的指令包括这样的指令——其当被第一组核中的第二核执行时使得第二核:将分组发送到交换机,所述交换机被编址到第一组核中的第二子组。
示例51包括示例50的主题,其中存储在第二存储器上的指令还包括这样的指令——其当被第二核执行时使得第二核:将由第一核添加到分组中的虚拟局域网标签移除;并且将虚拟局域网标签插入到分组中。
示例52包括示例44-45中任一项的主题,其中所述交换机包括缓冲存储器,用于在将分组交换到第一组核中的所述子组的同时保持该分组。
示例53是一种在网络安全装置中处理分组的方法,包括:在网络接口处接收分组;由网络安全装置的第一核执行快路径处理;由第一核确定慢路径处理应当由网络安全装置中的一组核执行;将分组从第一核发送到网络安全装置的交换机;由该交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员;以及在所复制的分组上执行慢路径处理。
示例54包括示例53的主题,还包括:由执行慢路径处理的所述一组核中的第二核确定另外的慢路径处理应当在分组上执行;将分组从第二核发送到交换机;由交换机复制分组,将所复制的分组中的每个发送到执行慢路径处理的所述一组核中的一员;以及对分组执行另外的慢路径处理。
示例55包括示例53的主题,还包括:将虚拟局域网标签插入到分组中,其中由交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员包括:基于虚拟局域网标签将所复制的分组交换到所述一组核。
示例56包括示例53的主题,还包括:将第一核与第一虚拟局域网相关联;以及将所述一组核与第二虚拟局域网相关联。
示例57是网络安全装置,包括用于执行如示例53-56中任一项的方法的单元。
示例58是其上存储有指令的非暂时性机器可读介质,所述指令包括这样的指令——其当被执行时使得网络安全装置:在第一核中在由网络安全装置接收的分组上执行快路径处理;由第一核将第一虚拟局域网标签插入到分组中;基于第一虚拟局域网标签,将分组交换到第一组核;以及在第一组核上并发地执行慢路径处理。
示例59包括示例58的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:通过网络安全装置的网络接口接收分组;将第二虚拟局域网标签插入到分组中;以及基于第二虚拟局域网标签,将分组交换到第一核。
示例60包括示例59的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将第一核与由第二虚拟局域网标签所标识的第一虚拟局域网相关联。
示例61包括示例59的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于第一虚拟局域网标签和第二虚拟局域网标签来交换分组。
示例62包括示例58的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:从分组中移除第一虚拟局域网标签;由第二核将第二虚拟局域网标签插入到分组中,其中第二核是所述第一组核中的一员;以及基于第二虚拟局域网标签将分组交换到第二组核。
示例63包括示例58的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将第一组核与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例64包括示例58的主题,其中存储在其上的指令还包括这样的指令——其当被执行时使得网络安全装置:将网络装置的交换机配置为基于第一虚拟局域网标签来交换分组。
示例65是网络安全装置,包括:第一核;第一组核;交换机,连接到第一核和第一组核;第一存储器,连接到第一核,在第一存储器上存储有指令——其当被所述第一核中的第一核执行时使得所述第一核:对分组执行快路径处理;并且将该分组发送到所述交换机,所述交换机被编址到第一组核中的一个子组;以及第二存储器,连接到所述第一组核,在所述第二存储器上存储有指令——其当被所述第一组核中的所述子组执行时使得所述第一组核中的所述子组:对分组并发地执行慢路径处理,其中所述交换机被配置为复制从第一核接收的分组,并且将所复制的分组发送到所述第一组核中的所述子组中的每个核。
示例66包括示例65的主题,其中所述交换机被配置为基于虚拟局域网标准来交换分组。
示例67包括示例66的主题,其中所述交换机基于由第一核插入到分组中的虚拟局域网标签将分组从第一核交换到第一组核中的所述子组。
示例68包括示例65的主题,还包括:网络接口,连接到第一核,被配置为接收所述分组。
示例69包括示例68的主题,其中所述网络接口经由所述交换机连接到第一核。
示例70包括示例69的主题,其中所述交换机被配置为将第一虚拟局域网标签插入到分组中、并且基于第一虚拟局域网标签来交换分组,且其中第一核被配置为与由第一虚拟局域网标签所标识的第一虚拟局域网相关联。
示例71包括示例65的主题,其中存储在第二存储器上的指令包括这样的指令——其当被第一组核中的第二核执行时使得所述第二核:将分组发送到交换机,该交换机被编址到第一组核中的第二子组。
示例72包括示例71的主题,其中存储在第二存储器上的指令还包括这样的指令——其当被第二核执行时使得所述第二核:将由第一核添加到分组的虚拟局域网标签移除;并且将虚拟局域网标签插入到分组中。
示例73包括示例65的主题,其中该交换机包括缓冲存储器,用于在将分组交换到第一组核中的所述子组的同时保持该分组。
示例74是一种在网络安全装置中处理分组的方法,包括:在网络接口处接收分组;由网络安全装置的第一核执行快路径处理;由第一核确定慢路径处理应当由网络安全装置中的一组核执行;将分组从第一核发送到网络安全装置的交换机;由该交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的所述一组核中的一员;以及在所复制的分组上执行慢路径处理。
示例75包括示例74的主题,还包括:由执行慢路径处理的所述一组核中的第二核确定应当在所述分组上执行另外的慢路径处理,将所述分组从第二核发送到交换机;由交换机复制分组,将所复制的分组中的每个发送到执行慢路径处理的所述一组核中的一员;以及对所述分组执行所述另外的慢路径处理。
示例76包括示例74的主题,还包括:将虚拟局域网标签插入到分组中,其中由交换机复制分组,将所复制的分组中的每个发送到用于慢路径处理的一组核中的一员包括:基于虚拟局域网标签将所复制的分组交换到所述一组核。
示例77包括示例74的主题,还包括:将第一核与第一虚拟局域网相关联;以及将所述一组核与第二虚拟局域网相关联。
应当理解,上述说明书旨在是说明性的,并不是限制性的。例如,上述实施例可以以彼此结合的方式使用。在本领域技术人员阅读了上述说明之后,许多其它实施例将显而易见的。因此,本发明的范围应当参照所附权利要求来限定,连同这些权利要求所赋予的等价物的全部范围。
Claims (21)
1.一种其上存储有指令的非暂时性机器可读介质,包括当被执行时使得网络安全装置进行以下操作的指令:
在第一核中对由所述网络安全装置所接收到的分组执行快路径处理;
由所述第一核将第一虚拟局域网标签插入到所述分组中;
基于所述第一虚拟局域网标签来将所述分组交换到第一组核;以及
在所述第一组核中并发地执行慢路径处理。
2.根据权利要求1所述的非暂时性机器可读介质,其中,存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
通过所述网络安全装置的网络接口来接收所述分组;
将第二虚拟局域网标签插入到所述分组中;以及
基于所述第二虚拟局域网标签将所述分组交换到所述第一核。
3.根据权利要求2所述的非暂时性机器可读介质,其中,存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
将所述第一核与由所述第二虚拟局域网标签所标识的第一虚拟局域网相关联。
4.根据权利要求2和3中任一项所述的非暂时性机器可读介质,其中,存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
将网络装置的交换机配置为基于所述第一虚拟局域网标签和所述第二虚拟局域网标签来对分组进行交换。
5.根据权利要求1所述的非暂时性机器可读介质,其中存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
从所述分组中移除所述第一虚拟局域网标签;
由第二核将第二虚拟局域网标签插入到所述分组中,其中,所述第二核是所述第一组核中的成员;以及
基于所述第二虚拟局域网标签来将所述分组交换到第二组核。
6.根据权利要求1所述的非暂时性机器可读介质,其中,存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
将所述第一组核与由所述第一虚拟局域网标签所标识的第一虚拟局域网相关联。
7.根据权利要求1-2和5-6中任一项所述的非暂时性机器可读介质,其中,存储在其上的所述指令还包括当被执行时使得所述网络安全装置进行以下操作的指令:
将网络装置的交换机配置为基于所述第一虚拟局域网标签来对分组进行交换。
8.一种网络安全装置,包括:
第一核;
第一组核;
交换机,其连接到所述第一核和所述第二组核;
第一存储器,其连接到所述第一核,在所述第一存储器上存储有指令,所述指令当被所述第一核执行时使得所述第一核进行以下操作:
对分组执行快路径处理;以及
将所述分组发送到所述交换机,所述交换机被编址到所述第一组核中的子组;以及
第二存储器,其连接到所述第一组核,在所述第二存储器上存储有指令,所述指令当被所述第一组核中的所述子组执行时使得所述第一组核中的所述子组进行以下操作:
并发地对所述分组执行慢路径处理,
其中,所述交换机被配置为,复制从所述第一核接收的所述分组,并且将所复制的分组发送到所述第一组核中的所述子组中的每个核。
9.根据权利要求8所述的网络安全装置,其中,所述交换机被配置为基于虚拟局域网标准来对分组进行交换。
10.根据权利要求9所述的网络安全装置,其中,所述交换机基于由所述第一核插入到所述分组中的虚拟局域网标签来将所述分组从所述第一核交换到所述第一组核中的所述子组。
11.根据权利要求8-9中任一项所述的网络安全装置,还包括:
网络接口,其连接到所述第一核,被配置为接收所述分组。
12.根据权利要求11所述的网络安全装置,其中,所述网络接口是经由所述交换机连接到所述第一核的。
13.根据权利要求12所述的网络安全装置,
其中,所述交换机被配置为,将第一虚拟局域网标签插入到所述分组中,并且基于所述第一虚拟局域网标签来对所述分组进行交换,并且
其中,所述第一核被配置为与由所述第一虚拟局域网标签所标识的第一虚拟局域网相关联。
14.根据权利要求8-9中任一项所述的网络安全装置,其中,存储在所述第二存储器上的所述指令包括当被所述第一组核中的第二核执行时使得所述第二核进行以下操作的指令:
将所述分组发送到所述交换机,所述交换机被编址到所述第一组核中的第二子组。
15.根据权利要求14所述的网络安全装置,其中,存储在所述第二存储器上的所述指令还包括当被所述第二核执行时使得所述第二核进行以下操作的指令:
将由所述第一核添加到所述分组中的虚拟局域网标签移除;以及
将虚拟局域网标签插入到所述分组中。
16.根据权利要求8-9中任一项所述的网络安全装置,其中,所述交换机包括缓冲存储器,所述缓冲存储器用于在将所述分组交换到所述第一组核中的所述子组的同时保持所述分组。
17.一种在网络安全装置中处理分组的方法,包括:
在网络接口处接收分组;
由所述网络安全装置的第一核来执行快路径处理;
由所述第一核确定慢路径处理应当由所述网络安全装置中的一组核执行;
将所述分组从所述第一核发送到所述网络安全装置的交换机;
由所述交换机复制所述分组,将所复制的分组中的每个分组发送到用于慢路径处理的所述一组核中的成员;以及
对所复制的分组执行慢路径处理。
18.根据权利要求17所述的方法,还包括:
由执行慢路径处理的所述一组核中的第二核确定另外的慢路径处理应当对所述分组执行;
将所述分组从所述第二核发送到所述交换机;
由所述交换机复制所述分组,将所复制的分组中的每个分组发送到执行慢路径处理的所述一组核中的成员;以及
对所述分组执行所述另外的慢路径处理。
19.根据权利要求17所述的方法,还包括:
将虚拟局域网标签插入到所述分组中,
其中,由所述交换机复制所述分组,将所复制的分组中的每个分组发送到用于慢路径处理的所述一组核中的成员包括:
基于所述虚拟局域网标签将所复制的分组交换到所述一组核。
20.根据权利要求17所述的方法,还包括:
将所述第一核与第一虚拟局域网相关联;以及
将所述一组核与第二虚拟局域网相关联。
21.一种网络安全装置,包括用于执行如权利要求17-20中任一项所述的方法的单元。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/063315 WO2015050552A1 (en) | 2013-10-03 | 2013-10-03 | Duplicating packets efficiently within a network security appliance |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105684378A true CN105684378A (zh) | 2016-06-15 |
Family
ID=52778067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380079338.4A Pending CN105684378A (zh) | 2013-10-03 | 2013-10-03 | 在网络安全装置中高效地复制分组 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9258273B2 (zh) |
| EP (1) | EP3053075A4 (zh) |
| CN (1) | CN105684378A (zh) |
| WO (1) | WO2015050552A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9413859B2 (en) * | 2014-01-17 | 2016-08-09 | Gigamon Inc. | Systems and methods for processing packets |
| CN112015346B (zh) * | 2020-08-28 | 2022-06-17 | 北京浪潮数据技术有限公司 | 一种存储控制器及其数据存储方法、装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126233A1 (en) * | 2001-07-06 | 2003-07-03 | Mark Bryers | Content service aggregation system |
| WO2005109788A2 (en) * | 2004-04-26 | 2005-11-17 | Cisco Technologies, Inc. | Programmable packet parsing processor |
| CN101827084A (zh) * | 2009-01-28 | 2010-09-08 | 丛林网络公司 | 网络设备的高效的应用程序识别 |
| CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6728249B2 (en) * | 1998-06-27 | 2004-04-27 | Intel Corporation | System and method for performing cut-through forwarding in an ATM network supporting LAN emulation |
| US8204082B2 (en) * | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
| US6985956B2 (en) * | 2000-11-02 | 2006-01-10 | Sun Microsystems, Inc. | Switching system |
| US7313614B2 (en) * | 2000-11-02 | 2007-12-25 | Sun Microsystems, Inc. | Switching system |
| US7363353B2 (en) * | 2001-07-06 | 2008-04-22 | Juniper Networks, Inc. | Content service aggregation device for a data center |
| US7187687B1 (en) * | 2002-05-06 | 2007-03-06 | Foundry Networks, Inc. | Pipeline method and system for switching packets |
| US7266117B1 (en) * | 2002-05-06 | 2007-09-04 | Foundry Networks, Inc. | System architecture for very fast ethernet blade |
| US7706363B1 (en) * | 2003-06-11 | 2010-04-27 | Radlan Computer Communications, Ltd | Method and apparatus for managing packets in a packet switched network |
| US7562389B1 (en) * | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
| US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
| US8059658B1 (en) * | 2005-12-23 | 2011-11-15 | Extreme Networks, Inc. | Method and system for automatic expansion and contraction of IP host forwarding database |
| US8064391B2 (en) * | 2006-08-22 | 2011-11-22 | Embarq Holdings Company, Llc | System and method for monitoring and optimizing network performance to a wireless device |
| US7729296B1 (en) * | 2007-09-07 | 2010-06-01 | Force 10 Networks, Inc. | Distributed BPDU processing for spanning tree protocols |
| US20090161569A1 (en) * | 2007-12-24 | 2009-06-25 | Andrew Corlett | System and method for facilitating carrier ethernet performance and quality measurements |
| US8335213B2 (en) * | 2008-09-11 | 2012-12-18 | Juniper Networks, Inc. | Methods and apparatus related to low latency within a data center |
| US8514854B2 (en) * | 2009-06-11 | 2013-08-20 | Brocade Communications Systems, Inc. | Virtual router redundancy for server virtualization |
| EP2355423A1 (en) * | 2010-01-29 | 2011-08-10 | Deutsche Telekom AG | System and method for routing data packets over an Internet Protocol network |
| US9344377B2 (en) * | 2010-04-30 | 2016-05-17 | Broadcom Corporation | Packet processing architecture |
| WO2012006190A1 (en) * | 2010-06-29 | 2012-01-12 | Huawei Technologies Co., Ltd. | Delegate gateways and proxy for target hosts in large layer 2 and address resolution with duplicated internet protocol addresses |
| US9083644B2 (en) * | 2012-02-14 | 2015-07-14 | International Business Machines Corporation | Packet routing for embedded applications sharing a single network interface over multiple virtual networks |
| US9148368B2 (en) * | 2012-02-14 | 2015-09-29 | International Business Machines Corporation | Packet routing with analysis assist for embedded applications sharing a single network interface over multiple virtual networks |
| US9059868B2 (en) * | 2012-06-28 | 2015-06-16 | Dell Products, Lp | System and method for associating VLANs with virtual switch ports |
| US9471537B2 (en) * | 2013-03-14 | 2016-10-18 | Altera Corporation | Hybrid programmable many-core device with on-chip interconnect |
| US9471388B2 (en) * | 2013-03-14 | 2016-10-18 | Altera Corporation | Mapping network applications to a hybrid programmable many-core device |
| US9350657B2 (en) * | 2013-07-08 | 2016-05-24 | Nicira, Inc. | Encapsulating data packets using an adaptive tunnelling protocol |
-
2013
- 2013-10-03 CN CN201380079338.4A patent/CN105684378A/zh active Pending
- 2013-10-03 WO PCT/US2013/063315 patent/WO2015050552A1/en active Application Filing
- 2013-10-03 EP EP13894997.9A patent/EP3053075A4/en not_active Withdrawn
- 2013-10-03 US US14/125,393 patent/US9258273B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126233A1 (en) * | 2001-07-06 | 2003-07-03 | Mark Bryers | Content service aggregation system |
| WO2005109788A2 (en) * | 2004-04-26 | 2005-11-17 | Cisco Technologies, Inc. | Programmable packet parsing processor |
| CN101827084A (zh) * | 2009-01-28 | 2010-09-08 | 丛林网络公司 | 网络设备的高效的应用程序识别 |
| CN103326884A (zh) * | 2013-05-30 | 2013-09-25 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| CHIUSSI F M等: "Scalable Electronic Packet Switches", 《IEEE》 * |
| 蒋汉平: "面向多核网络处理器软件框架的研究与实现", 《中国博士学位论文全文数据库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3053075A1 (en) | 2016-08-10 |
| WO2015050552A1 (en) | 2015-04-09 |
| EP3053075A4 (en) | 2017-06-14 |
| WO2015050552A4 (en) | 2015-06-25 |
| US20150101035A1 (en) | 2015-04-09 |
| US9258273B2 (en) | 2016-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105247821B (zh) | 用于利用自适应路由来控制资源利用的机制 | |
| US9785732B2 (en) | Verification low power collateral generation | |
| CN102334112B (zh) | 用于虚拟机网络的方法和系统 | |
| CN103125102B (zh) | 用于在中间件机器环境中提供基于无限带宽的以太网虚拟集线器可伸缩性的系统和方法 | |
| US9294354B2 (en) | Using multiple traffic profiles to design a network on chip | |
| US9319232B2 (en) | Integrated NoC for performing data communication and NoC functions | |
| US9253085B2 (en) | Hierarchical asymmetric mesh with virtual routers | |
| CN104247341B (zh) | 分布式交换机及其多播树层次结构的动态优化方法 | |
| CN102857494A (zh) | 通用网络接口控制器 | |
| US20170061041A1 (en) | Automatic performance characterization of a network-on-chip (noc) interconnect | |
| TWI586127B (zh) | 具有改良之故障處理之多片式網路流量管理設備及其方法 | |
| US20170063626A1 (en) | System and method for grouping of network on chip (noc) elements | |
| US10103992B1 (en) | Network traffic load balancing using rotating hash | |
| CN105684378A (zh) | 在网络安全装置中高效地复制分组 | |
| CN109218230A (zh) | 用于平衡跨多级网络交换机的输入端口的吞吐量的技术 | |
| Göhringer et al. | Heterogeneous and runtime parameterizable star-wheels network-on-chip | |
| Yu et al. | Flexible, highly scalable and cost-effective network structures for data centers | |
| US20180198682A1 (en) | Strategies for NoC Construction Using Machine Learning | |
| JP2018182648A (ja) | ネットワーク設計装置およびネットワーク設計方法 | |
| Zulkefli et al. | A efficacy of different buffer size on latency of network on chip (NoC) | |
| Concer et al. | aEqualized: A novel routing algorithm for the Spidergon Network On Chip | |
| Lokananta et al. | UTAR NoC: Adaptive Network on Chip architecture platform | |
| Pennefather et al. | Design of a Network Packet Processing platform' | |
| Zeru | Exploring InfiniBand Congestion Control in Mesh Topologies | |
| US9928204B2 (en) | Transaction expansion for NoC simulation and NoC design |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160615 |