[发明专利]主连接表和辅连接表的使用

说明书

背景技术

用于网络服务或云服务的系统和过程可能需要处理数百万的连接和会话。通常，现有的解决方案不能满足这种规模的要求，因为状态信息本地地保持在电器的内存中。具体来说，现在市场上大部分网络产品具有连接上限或会话上限，该连接上限或会话上限由用于保持连接或会话的表的大小限制产生。一旦达到这些限制，网络产品将不能再接受新的连接。“拒绝服务”攻击可能通过用尽诸如防火墙的网络电器的连接表试图突破这些限制。例如，这种攻击可能形成数百万的部分连接以期填充网路设备的连接表并且防止启动合法通信。由于网络电器的限制以及对于降低对“拒绝服务”攻击的易损性的需求，网络解决方案通常需要配置更多的电器，这增加了系统复杂性和成本。增加的成本不但包括更多电器的资金成本，而且包括增加的管理成本和维护成本。

附图说明

图1A是采用主连接表和辅连接表的设备的框图。

图1B是包含使用可能在不同存储设备中的辅连接表的网络设备的系统的框图。

图2图示了在网络设备的一个实施方式中主连接表和辅连接表的逻辑关系。

图3图示了具有采用哈希表的主连接表和辅连接表的共享查找结构的逻辑关系。

图4示出了连接表条目的格式。

图5是将信息从主连接表移动至辅连接表以保持主连接表中的空间的过程的流程图。

图6是处理由采用主连接表和辅连接表的网络设备接收的数据包的过程的流程图。

图7是通过将主连接表中的一个或更多个条目卸载至辅连接表而在主连接表中腾出空间的过程的一个特定实施方式的流程图。

在不同图中使用相同的附图标记表示相似或相同的项目。

具体实施方式

例如在图1A中示出的网络设备100能够将老化的(aging)连接条目或会话条目以及这样的连接或会话的状态从网络设备100的内存104中的本地主连接表110卸载至可能存储在网络设备100中任何可用的存储器中或其它位置的辅连接表120。具体地，位于程序内存108中并且由网络设备100的处理器102执行的获得模块150可以将一个或更多个条目112卸载至辅连接表120以在主连接表110中为新条目112提供空间，并且有效地使连接表的大小可伸缩至任何期望的大小。通常，但并不总是，连接条目可以位于主连接表110和辅连接表120中的一个，但不是同时位于两者。如果卸载的连接试图建立通信，网络设备100能够查询辅连接表120，获取具有与连接相关联的状态信息的条目122，并且在主连接表110中重建合适的条目112。

设备100能够将连接或会话分类，例如，识别与会话/连接相关联或试图建立会话/连接的设备或应用程序，识别连接的使用，或确定连接或会话对延迟的灵敏度。另外，为了将对性能的负面影响降为最小，可以使用条目信息来选择用于卸载的特定条目112。例如，可以基于时期(age)、最后使用和相关联的应用程序来选择卸载的条目112，从而卸载最不可能被使用的连接或受影响最小的连接。在图1A的配置中，获得模块150可以实现这样的选择逻辑或任何期望的业务逻辑，并且采用连接分类来确定卸载至辅连接表122的连接或条目112。具体来说，在辅表120的条目122中检索连接信息或会话信息会导入延迟，并且检测连接的服务类型的能力对于优化性能是重要的。诸如打印、电子邮件和备份的服务是卸载连接条目112的好的候选，而诸如流媒体或网页浏览的其它服务则可能不是。表控制模块能够检测服务类型，并且或者自动控制或者允许管理员控制获得模块150能够推送至辅表120的老化服务。

图1B是提供采用主连接表110和辅连接表120的系统中的网络设备100的更多细节的框图。网络设备100例如可以是诸如防火墙、入侵防御系统、网络服务器、路由器的网络设备，或需要保持连接表的任何中间设备(middlebox)或诸如TCP/IP栈的类似结构。网络设备100可以被实现为电器，例如计算机电器或网络电器。电器通常是单独的且分离的硬件设备，该硬件设备被设计用来提供特定资源并且包含可能难于显著改变的组合软件。另选地，网络设备100可以实现在通用计算机中，例如，作为通用操作系统或软件应用程序的一部分。网络设备100的另一个另选实施方式可以是在虚拟环境中的软件服务，例如“云”。下文将集中描述一个实施方式，在该实施方式中设备100是防火墙电器。