分布式分组流检查和处理的制作方法
【技术领域】
[0001]本发明针对跨分组处理设备的网络分组处理负荷的分布,特别地,其中,通过采用用于控制或以其他方式影响冗余过滤操作的装置跨分组过滤设备来分布所述负荷。
【背景技术】
[0002]企业将网络技术用于进行业务、商业管理、学术研究、机构管理和类似任务是普遍的。网络技术一特别是数字分组交换网络技术一使得能够在本地和广域企业网内以及本地和广域企业网之外实现信息(诸如文档、数值数据、图像、视频、音频和多媒体信息)、资源(诸如服务器、个人计算机、数据储存器和安全设备)和应用(诸如文字处理、记帐、金融、数据库、电子数据表、呈现、电子邮件、通信、网络管理和安全应用)的广泛共享和通信。
[0003]虽然分组交换网络在拓扑结构、尺寸和配置方面相当大地改变,但是基本上,所有此类网络不变地包括至少两个“节点”,其被可通信地链接(通过有线或无线连接)以使得能够在其之间传输数字分组封装数据。节点一如本领域的技术人员所已知的一包括台式计算机、膝上型计算机、工作站、用户终端、主机计算机、服务器、网络附加存储、网络打印机和用于所述数字分组封装数据的其它目的地、起源或终点。
[0004]联网设备一在本领域中有时称为“中间系统”或“互通单元” 一一般(如果不是不变地)也存在于分组交换网络中。与节点相对照,这些主要用于对网络节点之间的数据业务进行管理、调节、成形或其他方式的调解。交换机、网关和路由器例如在网络内的节点之间引导分组业务以及将业务引导到网络中和引导到网络外。同样地,某些网络安全设备一作为所谓的“混合”联网设备运行一通过对数据分组或数据分组流进行过滤、隔离、标记和/或其他方式的调节来调解进入网络中或网络内的分组业务。
[0005]在常见的入侵预防系统(IPS)部署中,可以将多个IPS单元遍布于网络中以基于包括组织网络拓扑结构和关键资产位置的若干因素来保护网络并将网络分段。例如,典型的是将IPS放置在(一个或多个)WAN接入点处以及数据中心的前面和网络的不同段之间以创建独立的安全区。照此,流可以在其穿过网络时通过多个IPS。在每个IPS处,可能由过滤器的相同集合或子集来检查相同的流,从而招致没有附加价值的重复处理循环。
[0006]因此,需要用于避免分组交换网络中的冗余分组检查的技术。
【发明内容】
[0007]响应于上述需要,本发明的实施例提供了用于跨一组分组处理设备分布网络处理负荷的技术,其中,所述方法采用用于消除或以其他方式控制冗余分组处理操作的装置。
[0008]为此目的,本发明的实施例提供了一种包括至少两个分组处理设备的网络,其中(a)所述分组处理设备中的第一分组处理设备能够处理从中流过的数据分组;(b)所述分组处理设备中的第二分组处理设备也能够处理从中流过的数据分组;以及(c)所述第一分组处理设备能够在它对所述数据分组的所述处理期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个分组处理操作。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行分组处理,则所述第一分组处理设备可以拒绝对所述数据分组执行分组处理。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行分组处理,则所述第一分组处理设备可以对所述数据分组执行分组处理。
[0009]在一个优选实施例中,本发明设法影响所谓的网络入侵预防系统(IPS)中的冗余,所述网络入侵预防系统特别地包括遍及网络分布的一组直列式(in-line)分组过滤器设备。依照本实施例,本发明的网络包括至少两个分组处理设备,其中:(a)所述分组处理设备中的第一分组处理设备能够检查并过滤从中流过的数据分组,通过执行来自过滤器组的一个或多个过滤器来实现所述过滤;(b)所述分组处理设备中的第二分组处理设备也能够检查并过滤从中流过的数据分组,也通过执行来自所述过滤器组的一个或多个过滤器来实现所述过滤;以及(c)所述第一分组处理设备能够在它对所述数据分组的所述检查期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个过滤器。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行特定的过滤器,则所述第一分组处理设备可以拒绝将该特定过滤器应用于所述数据分组。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行特定的过滤器,则所述第一分组处理设备可以将该特定过滤器应用于所述数据分组。
[0010]一类实施方式将识别已被应用于检查分组的过滤器组的唯一标识符编码。下游IPS使用此字段来避免重复相同的过滤器检查。所述唯一标识符可以被写入分组的字段中。通过写入分组字段中,IPS系统实际上对分组字段进行重新定义、重新确定其目的或劫持分组字段。可以使用的某些字段是IP选项字段;diffserv位;或VLAN/MPLS标记。
[0011]第二实施方式利用网络拓扑结构的知识和该拓扑结构中的其它IPS的放置。集中式或分布式方法可以利用拓扑结构信息来防止冗余处理并可能跨不止一个IPS散布处理负荷。在集中式或分布式方法中,可以从层2或层3拓扑结构相关协议消息中的信息或从其它信令协议获悉该拓扑结构。在集中式方法中,一个设备获得拓扑结构信息、该拓扑结构中的IPS的放置,并将工作负荷划分信息或指令分配给每个IPS。在分布式方法中,每个IPS获得拓扑结构信息、该拓扑结构中的此IPS和可能的其它IPS的放置,并且每个IPS判定将对每个分组进行什么处理。该判定可以基于已经进行了什么先前IPS处理、此IPS的工作负荷和可以由此IPS与分组的目的地之间的已知拓扑结构中的其它IPS进行什么处理。
[0012]本发明的实施例的一个优点是其使得能够跨一组分组处理设备分布网络处理负荷以消除、控制或以其他方式影响冗余分组处理操作。
[0013]本发明的实施例的另一优点是其跨一组分组过滤设备分布网络分组过滤负荷以消除、控制或以其他方式影响(完全地或部分地)所述分组过滤设备组当中的冗余过滤操作。
[0014]本发明的实施例的另一优点是其通过与分组或分组流通过所述分组过滤设备同时地在分组或分组流中插入并检测唯一标识符来分布网络分组过滤负荷。所述唯一标识符的存在或不存在指示所述分组流的先前通过所述过滤设备中的一个。
[0015]本发明的实施例的另一优点是其使用共享网络拓扑结构信息来分布网络分组过滤负荷,所述共享网络拓扑结构信息被宿存在所述网络中以使得能够被所述分组过滤设备组中的每一个访问(完全或受限的)。
[0016]通过结合附图进行的以下详细说明,本发明的实施例的这些及其它特征和优点将变得对于本领域普通技术人员来说显而易见。
【附图说明】
[0017]图1A示意性地举例说明包括多个分组处理设备141、142、143、144和145的网络100,所述分组处理设备依照本发明被配置为分布分组处理功能。
[0018]图1B示意性地举例说明用于映射拓扑结构信息和分组处理信息的有用分组处理设备中的某些说明性数据结构。
[0019]图2示意性地举例说明实施本发明的模式,其中,与其它分组处理功能(例如,IPS相关分组处理240)串行地执行在先处理检测220。
[0020]图3提供举例说明可在本发明的执行中采用的逻辑的流程图。
[0021]图4示意性地举例说明实施本发明的另一模式,其中,在先处理检测420a、420b被集成到其它分组处理功能中(例如,IPS相关分组处理400的状态和过滤器功能411、422)。
【具体实施方式】
[0022]本发明设法广泛地在本文给出的权利要求的范围内涵盖用于跨一组分组处理设备来分布网络处理负荷的所有产品、系统和方法,其中,所述产品、系统和方法采用用于消除、减少、控制或以其他方式影响冗余分组处理操作的装置或步骤。在图1A至4中给出了此类产品、系统和方法一包括其组成部