的第一个报文就已经确定选路,之后所有报文其实都不需要再次选路,因此,过滤类虚拟设备102-1可以根据这个逻辑来过滤报文,从而只将新建报文送入第一物理处理设备11-1中进行选路,由于这个流量只占总流量的很小一部分,因此使得一个千兆的第一物理处理设备11-1甚至可以在万兆链路下正常工作,大大提高了第一物理处理设备11-1的处理效率,减轻了第一物理处理设备11-1的负担,并提高了用户体验度(因为第一物理处理设备11-1处理效率的提高,意味着用户上网速度的提高)。应用选路、应用防火墙、web防火墙、认证计费等都属于过滤数据类应用,因此分流虚拟设备101会将涉及此类应用的报文分流到过滤类虚拟设备102-1,过滤类虚拟设备102-1则会对所分流的报文进行过滤以得到需要第一物理处理设备11-1进行处理的报文,然后第一物理处理设备11-1会对过滤后的报文进行诸如选路、认证计费等处理。
[0020]所述负载均衡类虚拟设备102-2用于将被分流到该负载均衡类虚拟设备102-2的报文均衡分配给旁挂到该负载均衡类虚拟设备102-2上的多个第二物理处理设备11-2,并将经所述多个第二物理处理设备11-2处理后的报文转发给所述分流虚拟设备101。其中,负载均衡类虚拟设备102-2通过物理接口与多个第二物理处理设备11-2连接。
[0021]有些出口业务需要处理进出设备全部的流量。在网络升级、带宽扩大、用户增加的背景下,旧设备不再适合新的需求,产生设备交替。这本身是个很正常的过程,但是因为扩展迅速,设备替换变的非常频繁,甚至一年一次,可以说有较大的浪费。另外一种更极端的情况就是根本没有对应性能的产品,最终造成固网瓶颈并影响了业务发展。这种时候就需要负载均衡类虚拟设备102-2。
[0022]在一个负载均衡类虚拟设备102-2上旁挂多个同类型的第二物理处理设备11-2,负载均衡类虚拟设备102-2根据应用特性将各个会话均衡分配到同类型的多个第二物理处理设备11-2中,从而达到负载均衡的效果。这样,各个第二物理处理设备11-2分别处理一部分业务,互不依赖,互不影响,实现业务性能叠加的效果。因此,负载均衡类虚拟设备102-2能够扩大网络出口装置10的性能和容量,增强其稳定性。例如,网络地址转换(NAT)设备、网络(web)代理、认证设备、防火墙等的功能都可以用负载均衡类虚拟设备102-2来实现。以网络地址转换为例,负载均衡类虚拟设备102-2会将需要进行网络地址转换的报文均衡分配给多个第二物理处理设备11-2,各个第二物理处理设备11-2对所分配的报文进行网络地址转换并将网络地址转换后的报文发送给负载均衡类虚拟设备102-2。
[0023]所述镜像数据类虚拟设备102-3用于复制被分流到该镜像数据类虚拟设备102-3的报文,将所复制的报文发送给旁挂到该镜像数据类虚拟设备102-3上的第三物理处理设备11-3并将原报文返回给所述分流虚拟设备101。其中,镜像数据类虚拟设备102-3通过物理接口与第三物理处理设备11-3连接。
[0024]在仅需要利用数据报文做一些记录、统计、审计类工作但并不会对报文结构做任何改动、同时网络出口装置10也不需要等待这些报文返回的情况下,会用到镜像数据类虚拟设备102-3。例如,镜像数据类虚拟设备102-3可以在将分流的报文发往第三物理处理设备11-3以便第三物理处理设备11-3对这些报文进行诸如记录、统计、审计等处理的同时,镜像一个新的报文给分流虚拟设备101以便分流虚拟设备101进行接下来的分流从而后续业务(例如,应用选路)能够同时进行,而且发往第三物理处理设备11-3的报文无需返回。这样就可以减少业务对报文的影响,提高网络出口装置10的性能。例如,安全审计、powercache就是此类应用。
[0025]在根据本发明的优选实施方式中,所述分流虚拟设备101还可以对进入所述网络出口装置10的报文进行检测,若检测到进入的报文中存在异常,则所述分流虚拟设备101将异常报文牵引到安全防护设备12 (如图1和2所示),并依据所述预设分流规则和该报文的类型对经所述安全防护设备12进行安全防护处理后的报文进行分流。这样,就能够提高根据本发明的网络出口装置10的安全性和可靠性。
[0026]在根据本发明的又一优选实施方式中,在相应的物理处理设备(例如,第一物理处理设备11-1、第二物理处理设备11-2、第三物理处理设备11-3等)不可用的情况下,所述分流虚拟设备101可以自动放通需经该相应物理处理设备处理的报文。例如,分流虚拟设备101可以被配置成默认全部放通所有用户流量,待相应的物理处理设备恢复后,分流虚拟设备101再重新启用预设分流策略和规则。其中,相应物理处理设备不可用的情况可以包括:(1)相应的物理处理设备和根据本发明的网络出口装置10之间进行链路检测;(2)相应的物理处理设备升级(例如特征库升级或其他类型的升级)、割接、出现故障、或进行新品测试等。由于经过网络出口的大部分的用户流量都是合规和正常的,有意无意引发安全事件的用户流量只是很少的一部分,但现有技术中无论是全部出口业务功能都集中在一台出口核心路由器上的组网方式还是出口路由器、防火墙、流控、审计、计费认证等设备依次串联在出口的组网方式,从本质上看都是对出口的用户流量进行层层检测和分析,导致用户上网慢、体验度下降,出口区域的维护管理风险也较大。而根据本发明的网络出口装置10通过在相应的物理处理设备不可用的情况下自动放通需经该相应物理处理设备处理的报文,能够保证出口业务不中断,从而大大提高用户的上网速度,提高用户的体验度,降低出口区域的维护管理风险;而且,通过自动放通,在其中一台处理虚拟设备102(例如,过滤类虚拟设备102-1)出问题的情况下,整个出口业务的处理以及其他处理虚拟设备102上(例如,负载均衡类虚拟设备102-2)的业务均不会受到影响,从而保证了网络出口的可靠性。
[0027]在根据本发明的又一优选实施方式中,所述分流虚拟设备101还可以用于记录进入所述网络出口装置10的报文所经过的相关处理虚拟设备102以及相关物理处理设备11的处理结果。例如,分流虚拟设备101可以采用连接跟踪表来记录进入的报文所经过的相关处理虚拟设备102及相关物理处理设备11的处理结果。这样,能够便于后续进行查阅。
[0028]在根据本发明的又一优选实施方式中,所述分流虚拟设备101还可以用于将新进入所述网络出口装置10的报文与所记录的报文信息进行比对,若两者相同,则采用与该所记录的报文信息相对应的处理结果来处理该新进入的报文而不对该新进入的报文进行分流。例如,若之后的报文命中连接跟踪表中的记录,则分流虚拟设备101就可以不必采用预设分流规则对该命中的报文进行分流,而是可以直接采用连接跟踪表中所记录的处理结果来处理该命中的报文。这样,就大大减少了去往旁挂物理处理设备11的数据流量,减轻了旁挂物理处理设备11的负担,加快了报文处理速度,大大提高了根据本发明的网络出口装置10的性能。
[0029]根据本发明的网络出口装置10可以用在出口网络的核心汇聚设备上。
[0030]本发明还提供一种网络出口系统,如图1所示,该网络出口系统包括如上描述的网络出口装置10以及旁挂到所述处理虚拟设备102上的物理处理设备11。所述物理处理设备11用于对该物理处理设备11所旁挂的处理虚拟设备102发来的报文进行处理并将处理结果返回给该物理处理设备11所旁挂的处理虚拟设备102。
[0031]优选地,如图2所示,在根据本发明的网络出口系统中,所述至少一个处理虚拟设备102可以包括过滤类虚拟设备102-1、负载均衡类虚拟设备102-2和镜像数据类虚拟设备102-3中的至少一者(在图2中示出了这三个虚拟设备)。
[0032]以上已经结合图1和图2详细描述了根据本发明的网络出口装置10和相关的物理处理设备,此处不再赘述。
[0033]进一步