CN106487784B - 一种会话迁移的方法、装置及防火墙 - Google Patents
一种会话迁移的方法、装置及防火墙 Download PDFInfo
- Publication number
- CN106487784B CN106487784B CN201610859955.1A CN201610859955A CN106487784B CN 106487784 B CN106487784 B CN 106487784B CN 201610859955 A CN201610859955 A CN 201610859955A CN 106487784 B CN106487784 B CN 106487784B
- Authority
- CN
- China
- Prior art keywords
- session
- core
- migration
- cpumin
- cpumax
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
- G06F9/4856—Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种会话迁移的方法、装置及防火墙,涉及计算机技术领域,主要解决由于CPU核上会话分布不均匀导致防火墙吞吐量性能低下的问题。本发明的方法包括:计算每个核上平均分配的会话个数SESSavg;获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;将CPUmax核上的会话迁移到CPUmin核上;根据迁移会话的属性信息生成所述迁移会话的filter结构信息;将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。本发明主要用于提高防火墙吞吐量性能。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种会话迁移的方法、装置及防火墙。
背景技术
防火墙作为中间转发设备,其处理数据流量的性能高低是一项重要的指标。随着中央处理器(Central Processing Unit,CPU)向多核方向发展,多核多线程设计也成为一种用于提高数据处理性能的实现方式。在防火墙处理数据流量时,都是以一条数据连接为单位的,包括正向和反向的数据流。该数据流的相关信息都会存储在一个会话(也称为session结构)中,便于查询相关信息进行快速处理转发。由于每个CPU核的处理能力有限,因此如何将会话均匀分布给每个CPU核是有效提高防火墙性能的前提。
在现有技术中,网卡硬件内部实现了RSS算法,该算法通过对数据流的固定元素(例如源ip,目的ip,源端口,目的端口)进行哈希计算,将数据流映射到网卡的队列上,由于网卡上的队列与CPU核一一对应,因此实现了将会话对应分布给CPU核的目的。但是,由于网络拓扑特殊或者人为设定的原因,无法保证所有的会话都能够被平均分配,此时就会造成会话较多的CPU核由于处理能力不足而导致丢包现象发生。因此,如何将会话均匀分配给各个CPU核成为提高防火墙处理性能时亟待解决的问题。
发明内容
有鉴于此,本发明提出了一种会话迁移的方法、装置及防火墙,主要目的在于解决由于现有技术无法保证CPU核上会话的均匀分布而导致防火墙吞吐量性能低下的问题。
依据本发明的第一个方面,本发明提供了一种会话迁移的方法,包括:
计算每个CPU核上平均分配的会话个数SESSavg;
获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;
将CPUmax核上的会话迁移到CPUmin核上;
根据迁移会话的属性信息生成所述迁移会话的filter结构信息;
将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
具体的,将CPUmax核上的会话迁移到CPUmin核上包括:
将迁移会话的CPU标识修改为CPUmin;
将迁移会话从CPUmax核的会话链表中删除,添加到CPUmin核的链表中,同时将所述CPUmax核的会话个数减1并将所述CPUmin的会话个数加1。
进一步地,在将CPUmax核上的会话迁移到CPUmin核上之前,所述方法还包括:
从CPUmax核的会话链表中随机选取会话作为迁移会话;
或者,从CPUmax核的会话链表的头部选取会话作为迁移会话;
或者,从CPUmax核的会话链表的尾部选取会话作为迁移会话。
进一步地,在将迁移会话的CPUmin核属性信息以及filter结构信息下发给所述迁移会话的数据流对应的网卡之前,所述方法还包括:
预先配置网卡的flow director条目,用于记录会话的filter结构信息;所述filter结构信息包括会话中的源ip、目的ip、源端口、目的端口以及协议类型。
进一步地,在将迁移会话的CPUmin核属性信息以及filter结构信息下发给所述迁移会话的数据流对应的网卡之后,所述方法还包括:
根据所述网卡当前具有的filter结构信息的序列号以序列号递增的方式为所述迁移会话的filter结构信息建立序列号。
进一步地,所述方法还包括:
当在CPU核上对连接超时的会话进行删除时,根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flow director条目删除。
依据本发明的第二个方面,本发明提供了一种会话迁移的装置,包括:
计算单元,用于计算每个CPU核上平均分配的会话个数SESSavg;
获取单元,用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;
迁移单元,用于将CPUmax核上的会话迁移到CPUmin核上;
下发单元,用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
具体的,所述迁移单元包括:
修改模块,用于将迁移会话的CPU标识修改为CPUmin;
迁移模块,用于将迁移会话从CPUmax核的会话链表中删除,添加到CPUmin核的链表中;
记录模块,用于在迁移模块将所述迁移会话迁移之后,将所述CPUmax核的会话个数减1并将所述CPUmin的会话个数加1。
进一步地,所述装置还包括:
选取单元,用于从CPUmax核的会话链表中随机选取会话作为迁移会话;
所述选取单元,还用于从CPUmax核的会话链表的头部选取会话作为迁移会话;
所述选取单元,还用于从CPUmax核的会话链表的尾部选取会话作为迁移会话。
进一步地,所述装置还包括:
配置单元,用于预先配置网卡的flow director条目,用于记录会话的filter结构信息;所述filter结构信息包括会话中的源ip、目的ip、源端口、目的端口以及协议类型。
进一步地,所述装置还包括:
编号单元,用于根据所述网卡当前具有的filter结构信息的序列号以序列号递增的方式为所述迁移会话的filter结构信息建立序列号。
进一步地,所述装置还包括:
删除单元,用于当在CPU核上对连接超时的会话进行删除时,根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flow director条目进行删除。
依据本发明的第三个方面,本发明提供了一种防火墙,所述防火墙包括:
如上述第二个方面所述的会话迁移的装置;
所述防火墙中的会话迁移的装置用于计算每个CPU核上平均分配的会话个数SESSavg;用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;用于将CPUmax核上的会话迁移到CPUmin核上;用于根据迁移会话的属性信息生成所述迁移会话的filter结构信息;用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
借由上述技术方案,本发明实施例提供的一种会话迁移的方法、装置及防火墙,能够在防火墙中通过计算每个CPU核上应该被平均分配的会话个数SESSavg,并在获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核后,将CPUmax核上的会话迁移到CPUmin核上;然后根据迁移会话的属性信息生成所述迁移会话的filter结构信息;最后将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。通过上述方式将防火墙中的会话进行迁移后,使得防火墙中每个CPU核都能负载均衡的处理数据,从而提高防火墙整体的吞吐量性能。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种会话迁移的方法的流程示意图;
图2示出了本发明实施例提供的一种会话迁移的装置的组成框图;
图3示出了本发明实施例提供的一种会话迁移的装置的组成框图;
图4示出了本发明实施例提供的一种防火墙的示意图。
具体实施方式
下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在现有的网卡硬件内部的算法通过哈希计算将数据流映射到网卡的队列上,基于网卡上的队列与CPU核一一对应的关系,实现将会话对应分布给CPU核的目的;但是由于网络拓扑特殊或者人为设定的原因,无法保证所有的会话都能够被平均分配,此时防火墙中CPU核由于处理能力不足而导致丢包现象发生,极大的降低了防火墙的吞吐量性能。
为了解决上述问题,本发明实施例提供了一种会话迁移的方法,主要是在防火墙中基于软件和硬件相结合的方式实现会话的动态迁移,保证会话的均衡分配,从而提高防火墙的吞吐量性能。现以其中的软件部分的方法进行说明,如图1所示,该方法包括:
101、计算每个CPU核上平均分配的会话个数SESSavg。
在企业日常的网络化办公中,无论是在内部网与外部网之间,还是专用网与公共网之间,都需要为交互的数据建立一个保护屏障。该保护屏障通常可以通过防火墙来实现。防火墙是一种常用的网关设备,其是由软件和硬件组合而成,计算机中流入和流出的数据流都要经过防火墙的处理,并由防火墙转发出去。一般情况下,防火墙区分数据流都是以一条数据连接为单位,包括正向和反向的数据流。该数据流的相关信息都会存储在一个称为会话(session)的结构上,便于查询相关信息进行快速处理转发。
因此,在防火墙处理数据流量时,如何将数据流量平均分配给每个CPU核处理,是达到防火墙吞吐量最大性能的关键。而本发明实施例为了避免现有的网卡硬件算法无法将会话均匀分配给各个CPU核的缺陷,故提出了一种在防火墙内部以软件和硬件相结合的方式对会话进行迁移。其中,软件部分首先需要执行步骤101计算每个CPU核上平均分配的会话个数SESSavg。计算公式为:SESSavg=SESStotal/CPUtotal其中,SESSavg是每个CPU核应该平均分配的会话的个数,SESStotal是当前防火墙中会话的总数,CPUtotal代表CPU核的总个数。计算SESSavg是在迁移之前进行的,目的在于确定最终经过会话迁移后每个CPU核上最理想状态下的会话个数。
102、获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核。
当通过步骤101确定了防火墙中每个CPU核上最理想状态下的会话个数之后,就需要确定最先对哪个CPU核上的会话进行迁移,以及迁移到哪个CPU核上。因此,首先需要统计每个CPU核上当前的会话个数,然后获取相对于SESSavg分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核。其中,具有会话个数最多的CPU核与其他CPU核相比,其处理能力相对不足;同样的,具有会话个数最少的CPU核与其他CPU核相比,其处理能力相对充足。因此首选的,可以将当前分配最多会话个数的CPU核上的会话优先迁移到当前分配最少会话个数的CPU核上。
103、将CPUmax核上的会话迁移到CPUmin核上。
当通过步骤102确定了最先对哪个CPU核上的会话进行迁移,以及迁移到哪个CPU核上之后,就需要执行步骤103将当前会话个数最多的CPU核上的会话迁移到当前会话个数最少的CPU核上。其中,CPU核上分配最多的会话个数记为SESSmax,CPU核上分配最少的会话个数记为SESSmin,具有SESSmax个会话的CPU核记为CPUmax核,具有SESSmin个会话的CPU核记为CPUmin核。
104、根据迁移会话的属性信息生成所述迁移会话的filter结构信息。
为了达到上述效果,本发明实施例在将CPUmax核上的会话迁移到的CPUmin核上之后,还需要将有关迁移会话的迁移信息下发给网卡。具体的,根据迁移会话的属性信息生成所述迁移会话的filter结构信息,其中迁移会话的属性信息具体可以为迁移会话中记录的源ip、目的ip、源端口、目的端口以及协议类型等。
105、将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
在本发明实施例中,通过filter结构信息可以对数据流进行过滤,也就是确定哪些数据流是对应迁移会话的数据流。此外,还需要根据迁移会话中记录的网卡ID,将迁移会话的CPUmin核属性信息以及filter结构信息下发给对应的网卡。由于所述网卡接收到迁移会话的CPUmin核属性信息以及filter结构信息,并且通过filter结构信息可以确定数据流对应的迁移会话所在的CPU核。因此,当网卡接收到数据流之后,就可以根据数据流报头中的五元组信息找到对应的filter结构信息及其对应的CPU核,从而直接通过网卡接收队列将数据流交给对应的CPU核进行处理,省去了网卡通过哈希算法将数据流映射到不同的CPU核上的复杂过程,同时也省去了软件倒核的资源开销(例如CPU1收到数据流,发现该数据流所属的会话属于CPU2,此时需要将CPU1接收到的数据流倒给CPU2,这种开销对防火墙性能影响较大)。
当通过步骤105将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡之后,并不能保证会话被平均分配,有可能导致CPU核上分配会话最多的个数以及分配最少的个数发生变化,或者具有最多会话个数的CPU核以及具有最少会话个数的CPU核发生变化,仅通过一次迁移往往无法实现将会话在各个CPU核上平均分配的目的。因此,在步骤105之后还需要跳转到步骤102重新获取最新的SESSmax及最新的SESSmin,并将最新的SESSmax对应的CPUmax核上的会话迁移到最新的SESSmin对应的CPUmin核上,循环执行步骤102-步骤105直至每个CPU核上分配的会话个数为SESSavg为止。
因此,当所述迁移会话对应的CPUmin核属性信息以及filter结构信息未成功的下发给所述迁移会话对应的网卡,则将迁移至CPUmin核上的会话回归至原来的CPUmax核上;当所述迁移会话对应的CPUmin核属性信息以及filter结构信息成功的下发给所述迁移会话对应的网卡,则重新获取最新的SESSmax及最新的SESSmin,并将最新的SESSmax对应的CPUmax核上的会话迁移到最新的SESSmin对应的CPUmin核上,循环执行直至每个CPU核上分配的会话个数为SESSavg为止。
需要说明的是,当通过公式SESSavg=SESStotal/CPUtotal得到的SESSavg中包含小数时,即平均分配的会话个数为非整数,则在获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核之后,需要计算CPUmax核上的会话个数与平均分配的会话个数SESSavg的差是否小于1,若小于1则无需将CPUmax核上的会话迁移到CPUmin核上;若大于1则将CPUmax核上的会话迁移到CPUmin核上。
本发明实施例提供的一种会话迁移的方法,能够在防火墙中通过计算每个CPU核上应该被平均分配的会话个数SESSavg,并获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核后,将CPUmax核上的会话迁移到CPUmin核上;然后根据迁移会话的属性信息生成所述迁移会话的filter结构信息;最后将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。通过上述方式将防火墙中的会话进行迁移后,使得防火墙中每个CPU核都能负载均衡的处理数据,从而提高防火墙整体的吞吐量性能。
进一步的,由于会话可以用来识别数据并保存数据的交互信息,根据会话可以获取数据的来源及去处。因此,在将CPUmax核上的会话迁移到CPUmin核上时,还需要进行下述操作。例如:将迁移会话的CPU标识修改为CPUmin,避免迁移会话所在的CPU核与其对应的会话中记录的CPU核不一致,导致后续根据迁移会话中记录的错误CPU标识将数据流导入至错误的CPU核而无法对数据流进行处理。此外,在将迁移会话从CPUmax核的会话链表中删除,并添加到CPUmin核的链表中之后,同时还需要对统计的CPU核上的会话个数进行整理,也就是将CPUmax核的会话个数减1并将CPUmin的会话个数加1。
以上是在CPU核上对会话进行迁移的实施方式,但是每次在将会话进行迁移之前,还需要选择将CPUmax核上的哪些会话作为迁移会话。由于从总体上来说,每个会话所对应的数据流量大小通常不会存在巨大的差异,因此,本发明实施例在从CPUmax核上选择要迁移的会话时,可以从CPUmax核的会话链表中随机选取会话作为迁移会话;或者,从CPUmax核的会话链表的头部选取会话作为迁移会话;或者,从CPUmax核的会话链表的尾部选取会话作为迁移会话。无论以上述哪种方式选择要迁移的会话,都可以每次选择一个会话进行迁移,每次选择一个会话进行迁移,可以不用考虑当一次迁移的会话过多时而导致迁移失衡的问题发生。当然,如果CPUmax核上的会话个数大大高于CPUmin核上的会话个数时,也可以一次选择多个会话进行迁移,通过这种方式可以提高会话的迁移效率。
以上是通过软件的方法在CPU核上进行会话的动态迁移,以使得防火墙中的所有会话能够均衡的分配给各个CPU核进行处理。这里需要说明的是,在触发会话的动态迁移时,可以预先在防火墙中设置一个线程进行处理,用于定时触发会话的动态迁移机制。当然,也可以人工操作触发会话的动态迁移机制。
这里需要说明的是,由于本发明实施例需要将迁移会话的filter结构信息下发给网卡硬件,因此在将迁移会话的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡之前,本发明实施例还需要预先配置网卡的flow director条目,以便记录迁移会话的filter结构信息。具体配置流程如下:1、配置FDIRCTRL寄存器的PBALLOC作用域,作用域为2bit,(00代表不开启、01代表申请2k-2个条目、10代表申请4k-2个条目、11代表申请8k-2个条目);2、轮询查看FDIRCTRL寄存器的INIT-Done作用域,如果被硬件设置为1时,说明功能开启,可以进行下一步配置(例如增加filter,删除filter);网卡初始化配置步骤完成。
将filter结构信息下发给对应的网卡是在每迁移一个会话时,就生成该迁移会话的filter结构信息并将其下发给对应的网卡上,因此网卡的flow director条目上会记录有大量的filter结构信息,为了便于查找和管理大量的filter结构信息,本发明实施例还需要为网卡上的filter结构信息进行编号,同一个网卡上的每个filter结构信息都具有唯一的序列号。由于在查找filter结构信息时还需要依靠对应的网卡ID,因此,在不同的网卡上的filter结构信息的序列号可以相同,只要保证同一个网卡上的filter结构信息不存在相同的序列号即可。基于上述原因,可选的在将迁移会话的CPUmin核属性信息以及filter结构信息下发给迁移会话对应的网卡之后,本发明实施例还可以根据所述网卡当前具有的filter结构信息的序列号,为新下发的filter结构信息进行编号。例如,可以以序列号递增的方式为下发的所述迁移会话的filter结构信息建立序列号。通过为filter结构信息建立序列号,能够快速查找相应的filter结构信息,便于对大量的filter结构信息进行管理。
通过上述实施例中的实施方式,可以在防火墙中将一个分配过多的CPU核上的会话动态的迁移到分配较少的CPU核上,并且结合网卡硬件的flow director特性,直接将迁移会话所对应的数据流直接分配给对应的CPU核,最终在防火墙中达到会话分配的均衡性。但是,每个会话都有自身的生命周期,当一个会话由于连接超时或者后续防火墙的防御检测而造成阻断时,该会话将会失效,此时需要将CPU核上的会话进行删除;同时,对于网卡上与CPU核上删除的会话相对应的filter结构信息而言,也同样需要进行删除。具体的,可以根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flowdirector条目删除。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种会话迁移的装置,如图2所示,该装置包括:计算单元21、获取单元22、迁移单元23、生成单元24以及下发单元25,其中,
计算单元21,用于计算每个CPU核上平均分配的会话个数SESSavg;计算公式为:SESSavg=SESStotal/CPUtotal其中,SESSavg是每个CPU核应该平均分配的会话的个数,SESStotal是当前防火墙中会话的总数,CPUtotal代表CPU核的总个数;
获取单元22,用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核。其中,具有会话个数最多的CPU核与其他CPU核相比,其处理能力相对不足;同样的,具有会话个数最少的CPU核与其他CPU核相比,其处理能力相对充足;首选的,可以将当前分配最多会话个数的CPU核上的会话优先迁移到当前分配最少会话个数的CPU核上;
迁移单元23,用于将CPUmax核上的会话迁移到CPUmin核上;
生成单元24,用于根据迁移会话的属性信息生成所述迁移会话的filter结构信息;
下发单元25,用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
进一步的,如图3所示,迁移单元23包括:
修改模块231,用于将迁移会话的CPU标识修改为CPUmin;避免迁移会话所在的CPU核与其对应的会话中记录的CPU核不一致,导致后续根据迁移会话中记录的错误CPU标识将数据流导入至错误的CPU核而无法对数据流进行处理;
迁移模块232,用于将迁移会话从CPUmax核的会话链表中删除,添加到CPUmin核的链表中;
记录模块233,用于在迁移模块232将所述迁移会话迁移之后,将所述CPUmax核的会话个数减1并将所述CPUmin的会话个数加1。
进一步的,如图3所示,所述装置还包括:
选取单元26,用于从CPUmax核的会话链表中随机选取会话作为迁移会话;
选取单元26还用于从CPUmax核的会话链表的头部选取会话作为迁移会话;
选取单元26还用于从CPUmax核的会话链表的尾部选取会话作为迁移会话。
无论以上述哪种方式选择要迁移的会话,都可以每次选择一个会话进行迁移,每次选择一个会话进行迁移,可以不用考虑当一次迁移的会话过多时而导致迁移失衡的问题发生。当然,如果CPUmax核上的会话个数大大高于CPUmin核上的会话个数时,也可以一次选择多个会话进行迁移,通过这种方式可以提高会话的迁移效率。
进一步的,由于本发明实施例需要将迁移会话的filter结构信息下发给网卡硬件,因此如图3所示,所述装置还包括:
配置单元27,用于预先配置网卡的flow director条目,用于记录会话的filter结构信息;所述filter结构信息包括会话中的源ip、目的ip、源端口、目的端口以及协议类型。
进一步的,由于网卡的flow director条目上会记录有大量的filter结构信息,为了便于查找和管理大量的filter结构信息,如图3所示,所述装置还包括:
编号单元28,用于根据所述网卡当前具有的filter结构信息的序列号以序列号递增的方式为所述迁移会话的filter结构信息建立序列号。
进一步的,由于每个会话都有自身的生命周期,当一个会话由于连接超时或者后续防火墙的防御检测而造成阻断时,该会话将会失效,因此在CPU核上将连接超时的会话进行删除时;还需要在网卡上将对应的filter结构信息也进行删除。因此如图3所示,所述装置还包括:
删除单元29,用于当在CPU核上对连接超时的会话进行删除时,根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flow director条目进行删除。
本发明实施例提供的一种会话迁移的装置,能够在防火墙中通过计算每个CPU核上应该被平均分配的会话个数SESSavg,并在获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核后,将CPUmax核上的会话迁移到CPUmin核上;然后根据迁移会话的属性信息生成所述迁移会话的filter结构信息;最后将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。通过上述方式将防火墙中的会话进行迁移后,使得防火墙中每个CPU核都能负载均衡的处理数据,从而提高防火墙整体的吞吐量性能。
此外,本发明实施例中的会话迁移的装置通过为网卡配置flowdirector条目,将与CPU核上的会话相对应的filter结构信息进行记录,使得防火墙中的所有会话在CPU核上均衡分配后,均衡分配的会话所对应的数据流可以直接通过网卡接收队列交给对应的CPU核进行处理,省去了网卡通过哈希算法将数据流映射到不同的CPU核上的复杂过程,同时也省去了软件倒核的资源开销(例如CPU1收到数据流,发现该数据流所属的会话属于CPU2,此时需要将CPU1接收到的数据流倒给CPU2,这种开销对防火墙性能影响较大)。
进一步的,作为对上述图1所示方法的实现,以及对图2和图3所示装置的应用,本发明实施例还提供了一种具有多个CPU核以及多个网卡的防火墙,其中网卡配置有flowdirector条目。如图4所示,所述防火墙还包括:如图2或图3所示的会话迁移的装置;
其中,所述防火墙中的会话迁移的装置用于计算每个CPU核上平均分配的会话个数SESSavg;用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;用于将CPUmax核上的会话迁移到CPUmin核上;用于根据迁移会话的属性信息生成所述迁移会话的filter结构信息;用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
同时,所述防火墙中的会话迁移的装置还用于将会话的CPU核属性及其filter结构信息下发给网卡,以便网卡接收到数据流之后,就可以根据数据流报头中的五元组信息找到对应的filter结构信息及其对应的CPU核,从而直接通过网卡接收队列将数据流交给对应的CPU核进行处理。
本发明实施例提供的一种防火墙,能够在防火墙中通过计算每个CPU核上应该被平均分配的会话个数SESSavg,并在统计当前每个CPU核上的会话个数后,将会话个数最多的CPUmax核上的会话迁移到会话个数最少的CPUmin核上;重复上述操作,直至每个CPU核上被分配了SESSavg个会话为止。通过上述方式将防火墙中的会话进行迁移后,使得防火墙中每个CPU核都能负载均衡的处理数据,从而提高防火墙整体的吞吐量性能。
此外,本发明实施例提供的防火墙通过为网卡配置flow director条目,将与CPU核上的会话相对应的filter结构信息进行记录,使得防火墙中的所有会话在CPU核上均衡分配后,均衡分配的会话所对应的数据流可以直接通过网卡接收队列交给对应的CPU核进行处理,省去了网卡通过哈希算法将数据流映射到不同的CPU核上的复杂过程,同时也省去了软件倒核的资源开销(例如CPU1收到数据流,发现该数据流所属的会话属于CPU2,此时需要将CPU1接收到的数据流倒给CPU2,这种开销对防火墙性能影响较大)。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (13)
1.一种会话迁移的方法,其特征在于,所述方法包括:
计算每个CPU核上平均分配的会话个数SESSavg;
获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;
将CPUmax核上的会话迁移到CPUmin核上;
根据迁移会话的属性信息生成所述迁移会话的filter结构信息;
将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
2.根据权利要求1所述的方法,其特征在于,将CPUmax核上的会话迁移到CPUmin核上包括:
将迁移会话的CPU标识修改为CPUmin;
将迁移会话从CPUmax核的会话链表中删除,添加到CPUmin核的链表中,同时将所述CPUmax核的会话个数减1并将所述CPUmin的会话个数加1。
3.根据权利要求1所述的方法,其特征在于,在将CPUmax核上的会话迁移到CPUmin核上之前,所述方法还包括:
从CPUmax核的会话链表中随机选取会话作为迁移会话;
或者,从CPUmax核的会话链表的头部选取会话作为迁移会话;
或者,从CPUmax核的会话链表的尾部选取会话作为迁移会话。
4.根据权利要求1所述的方法,其特征在于,在将迁移会话的CPUmin核属性信息以及filter结构信息下发给所述迁移会话的数据流对应的网卡之前,所述方法还包括:
预先配置网卡的flow director条目,用于记录会话的filter结构信息;所述filter结构信息包括会话中的源ip、目的ip、源端口、目的端口以及协议类型。
5.根据权利要求4所述的方法,其特征在于,在将迁移会话的CPUmin核属性信息以及filter结构信息下发给所述迁移会话的数据流对应的网卡之后,所述方法还包括:
根据所述网卡当前具有的filter结构信息的序列号以序列号递增的方式为所述迁移会话的filter结构信息建立序列号。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当在CPU核上对连接超时的会话进行删除时,根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flow director条目删除。
7.一种会话迁移的装置,其特征在于,所述装置包括:
计算单元,用于计算每个CPU核上平均分配的会话个数SESSavg;
获取单元,用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;
迁移单元,用于将CPUmax核上的会话迁移到CPUmin核上;
生成单元,用于根据迁移会话的属性信息生成所述迁移会话的filter结构信息;
下发单元,用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
8.根据权利要求7所述的装置,其特征在于,所述迁移单元包括:
修改模块,用于将迁移会话的CPU标识修改为CPUmin;
迁移模块,用于将迁移会话从CPUmax核的会话链表中删除,添加到CPUmin核的链表中;
记录模块,用于在迁移模块将所述迁移会话迁移之后,将所述CPUmax核的会话个数减1并将所述CPUmin的会话个数加1。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
选取单元,用于从CPUmax核的会话链表中随机选取会话作为迁移会话;
所述选取单元,还用于从CPUmax核的会话链表的头部选取会话作为迁移会话;
所述选取单元,还用于从CPUmax核的会话链表的尾部选取会话作为迁移会话。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
配置单元,用于预先配置网卡的flow director条目,用于记录会话的filter结构信息;所述filter结构信息包括会话中的源ip、目的ip、源端口、目的端口以及协议类型。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
编号单元,用于根据所述网卡当前具有的filter结构信息的序列号以序列号递增的方式为所述迁移会话的filter结构信息建立序列号。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
删除单元,用于当在CPU核上对连接超时的会话进行删除时,根据删除会话的源ip、目的ip、源端口、目的端口以及协议类型获取所述删除会话的数据流对应网卡上的待删除的filter结构信息,将待删除的filter结构信息对应的flow director条目进行删除。
13.一种防火墙,其特征在于,所述防火墙包括:
如权利要求7至权利要求12中任一项所述的装置;
所述防火墙中的会话迁移的装置用于计算每个CPU核上平均分配的会话个数SESSavg;用于获取分配最多的会话个数SESSmax的CPUmax核以及分配最少的会话个数SESSmin的CPUmin核;用于将CPUmax核上的会话迁移到CPUmin核上;用于根据迁移会话的属性信息生成所述迁移会话的filter结构信息;用于将所述迁移会话对应的CPUmin核属性信息以及filter结构信息下发给所述迁移会话对应的网卡,以便所述网卡将所述迁移会话的数据流分配到所述CPUmin核上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610859955.1A CN106487784B (zh) | 2016-09-28 | 2016-09-28 | 一种会话迁移的方法、装置及防火墙 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610859955.1A CN106487784B (zh) | 2016-09-28 | 2016-09-28 | 一种会话迁移的方法、装置及防火墙 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106487784A CN106487784A (zh) | 2017-03-08 |
CN106487784B true CN106487784B (zh) | 2019-06-25 |
Family
ID=58268150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610859955.1A Active CN106487784B (zh) | 2016-09-28 | 2016-09-28 | 一种会话迁移的方法、装置及防火墙 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106487784B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108023968A (zh) * | 2017-12-21 | 2018-05-11 | 东软集团股份有限公司 | 一种会话信息同步方法、装置及设备 |
CN110381032B (zh) * | 2019-06-24 | 2022-01-07 | 东软集团股份有限公司 | 一种多核系统中的会话表项处理方法、装置及相关产品 |
CN111865994B (zh) * | 2020-07-23 | 2022-08-02 | 江苏安超云软件有限公司 | 一种软硬件结合网关防火墙的构建方法及其网络防护方法 |
CN112671653B (zh) * | 2020-12-02 | 2022-07-01 | 国家计算机网络与信息安全管理中心 | 一种基于多核异构平台的cam表的操作方法 |
CN113438176B (zh) * | 2021-05-17 | 2022-08-23 | 翱捷科技股份有限公司 | 一种处理分片ip数据包的方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102455944A (zh) * | 2010-10-29 | 2012-05-16 | 迈普通信技术股份有限公司 | 多核负载均衡的方法以及处理器 |
CN103324531A (zh) * | 2013-06-09 | 2013-09-25 | 浪潮电子信息产业股份有限公司 | 一种基于格子Boltzmann理论CPU/MIC协同计算的大涡模拟方法 |
CN105354084A (zh) * | 2015-10-30 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种基于带宽调度的cpu任务迁移方法及系统 |
CN105373433A (zh) * | 2015-11-25 | 2016-03-02 | 浙江宇视科技有限公司 | 多核cpu负载均衡方法及装置 |
CN105677484A (zh) * | 2016-01-08 | 2016-06-15 | 国家计算机网络与信息安全管理中心 | 一种自动负载均衡的多核cpu实时数据处理方法 |
CN105786614A (zh) * | 2015-01-14 | 2016-07-20 | 联发科技股份有限公司 | 电子设备中处理器的负载计算方法和负载计算系统 |
-
2016
- 2016-09-28 CN CN201610859955.1A patent/CN106487784B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102455944A (zh) * | 2010-10-29 | 2012-05-16 | 迈普通信技术股份有限公司 | 多核负载均衡的方法以及处理器 |
CN103324531A (zh) * | 2013-06-09 | 2013-09-25 | 浪潮电子信息产业股份有限公司 | 一种基于格子Boltzmann理论CPU/MIC协同计算的大涡模拟方法 |
CN105786614A (zh) * | 2015-01-14 | 2016-07-20 | 联发科技股份有限公司 | 电子设备中处理器的负载计算方法和负载计算系统 |
CN105354084A (zh) * | 2015-10-30 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种基于带宽调度的cpu任务迁移方法及系统 |
CN105373433A (zh) * | 2015-11-25 | 2016-03-02 | 浙江宇视科技有限公司 | 多核cpu负载均衡方法及装置 |
CN105677484A (zh) * | 2016-01-08 | 2016-06-15 | 国家计算机网络与信息安全管理中心 | 一种自动负载均衡的多核cpu实时数据处理方法 |
Non-Patent Citations (1)
Title |
---|
Optimizing the live migration of virtual machine by CPU scheduling;Hai Jin;Wei Gao;Song Wu;Xuanhua Shi;Xiaoxin Wu;《Journal of Network and Computer Applications》;Elsevier Ltd;20110731;第34卷;1088-1096 |
Also Published As
Publication number | Publication date |
---|---|
CN106487784A (zh) | 2017-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106487784B (zh) | 一种会话迁移的方法、装置及防火墙 | |
CN104081348B (zh) | 通过在虚拟数据中心中最佳地放置vm而减少存储器使用的系统和方法 | |
CN109375872A (zh) | 数据访问请求的处理方法、装置和设备及存储介质 | |
CN102752198B (zh) | 多核报文转发方法、多核处理器及网络设备 | |
US9298849B2 (en) | Managing a template in an operator graph | |
US20180083839A1 (en) | Operator fusion management in a stream computing environment | |
US9374287B2 (en) | Managing processing branches in an operator graph | |
CN104094232A (zh) | 流式数据系统中的处理单元管理 | |
CN108306832A (zh) | 一种网络流量分流方法及装置 | |
Yuan et al. | On interference-aware provisioning for cloud-based big data processing | |
CN106294352A (zh) | 一种文件处理方法、装置和文件系统 | |
CN104484224B (zh) | 一种服务器进程控制方法、装置及系统 | |
WO2017107812A1 (zh) | 一种用户日志存储方法及设备 | |
US10802884B2 (en) | Efficient provisioning of an infrastructure based on different factors | |
US20140201348A1 (en) | Virtual appliance chaining and management | |
US20150081707A1 (en) | Managing a grouping window on an operator graph | |
CN108563697A (zh) | 一种数据处理方法、装置和存储介质 | |
CN107967164A (zh) | 一种虚拟机热迁移的方法及系统 | |
CN106406820B (zh) | 一种网络处理器微引擎的多发射指令并行处理方法及装置 | |
CN106649344A (zh) | 一种网络日志压缩方法和装置 | |
CN107204998A (zh) | 处理数据的方法和装置 | |
CN106453092B (zh) | 一种路由更新方法和装置 | |
CN105072078B (zh) | 一种云平台虚拟化流量的监控方法及装置 | |
US20140208261A1 (en) | Search engine optimization utilizing scrolling fixation | |
US9142047B2 (en) | Visualizing data transfers in distributed file system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |