用于有狀態(tài)服務的應用的網(wǎng)絡流量的重定向的制作方法
【技術領域】
[0001]本公開涉及利用有狀態(tài)服務的網(wǎng)絡環(huán)境��,并具體涉及防火墻�����。
【背景技術】
[0002]現(xiàn)代網(wǎng)絡在網(wǎng)絡環(huán)境中部署多個防火墻���。在部署多個防火墻時�,進程需要處理其中數(shù)據(jù)流起始于一個防火墻����,但是隨后通過另一個防火墻發(fā)送或接收消息的情形。一些實現(xiàn)中使用了簇的解決方案�,其中簇中的所有防火墻與簇主同步,而簇主相應地同步于它的簇成員���。這允許所有的防火墻接收由簇中的每一個其他防火墻所處理的每個流的流狀態(tài)。
[0003]作為示例���,在部署有每一個直連于因特網(wǎng)的雙數(shù)據(jù)中心時���,所有的防火墻與簇主同步���。就執(zhí)行必須的同步所需的帶寬而言,這樣的系統(tǒng)費用很高�。具體的,對網(wǎng)絡中的每一個新的流都需要同步���,在每秒多達百萬計的流的真實世界部署中�,這是很繁瑣的��。當部署跨越三個或更多站點時�����,利用三個或更多防火墻�����,這一問題被顯著地放大��。
【附圖說明】
[0004]圖1示出了示例性計算機網(wǎng)絡����,其中防火墻利用映射目錄以實現(xiàn)多防火墻環(huán)境中網(wǎng)絡流量的重定向����。
[0005]圖2示出了示例性計算機網(wǎng)絡��,其中防火墻利用映射目錄以實現(xiàn)多防火墻環(huán)境中網(wǎng)絡流量的重定向�。
[0006]圖3示出了多防火墻環(huán)境中對消息的重定向和針對網(wǎng)絡流量的防火墻策略的應用的示例。
[0007]圖4示出了多防火墻環(huán)境中對消息的重定向和針對網(wǎng)絡流量的防火墻策略的應用的另一不例����。
[0008]圖5示出了多防火墻環(huán)境中對網(wǎng)絡流量的防火墻策略的另一示例應用。
[0009]圖6示出了多防火墻環(huán)境中對消息的重定向和對網(wǎng)絡流量的防火墻策略的應用的另一不例�。
[0010]圖7示出了多防火墻環(huán)境中對消息的重定向和對網(wǎng)絡流量的防火墻策略的應用的另一不例。
[0011]圖8示出了多防火墻環(huán)境中對消息的重定向和對網(wǎng)絡流量的防火墻策略的應用的進一步示例����。
[0012]圖9示出了多防火墻環(huán)境中對網(wǎng)絡流量的防火墻策略的另一示例應用。
[0013]圖10示出了多防火墻環(huán)境中對消息的重定向和對網(wǎng)絡流量的防火墻策略的應用的進一步示例�����。
[0014]圖11是示出了用于登記網(wǎng)絡設備-端點映射����、重定向消息、以及對網(wǎng)絡流量應用有狀態(tài)服務的示例步驟的流程圖���。
[0015]圖12是示出了用于重定向消息以及對網(wǎng)絡流量應用網(wǎng)絡策略的示例步驟的流程圖��。
[0016]圖13示出了示例性的映射目錄�����。
[0017]圖14是被配置為執(zhí)行消息的重定向和對網(wǎng)絡流量的有狀態(tài)服務的應用的網(wǎng)絡設備的示例性框圖���。
【具體實施方式】
[0018]攝述
[0019]這里提出了用于分布于任何數(shù)目的站點的任何數(shù)目的網(wǎng)絡設備之間的重定向的技術。在第一網(wǎng)絡設備處從網(wǎng)絡端點接收流的第一消息��。端點和第一網(wǎng)絡設備之間的關系被登記在將端點映射到網(wǎng)絡設備的目錄中�。流的狀態(tài)被存儲于第一網(wǎng)絡設備處。在第二網(wǎng)絡設備處接收針對該流的第二消息��,該第二消息指示第一端點����。確定第二網(wǎng)絡設備未存儲該流的流狀態(tài)。查詢被執(zhí)行以接收指示該端點和第一網(wǎng)絡設備之間的關系的信息���。所接收的信息被存儲在第二網(wǎng)絡設備處的緩存中����。根據(jù)所存儲的信息對第二消息應用服務。
[0020]示例件實施例
[0021]圖1中所描述的為用于多防火墻環(huán)境中的網(wǎng)絡流量的智能重定向的網(wǎng)絡環(huán)境100��。盡管當前示例針對多防火墻環(huán)境�����,但這里的技術可被應用于采用了有狀態(tài)服務(stateful service)的其他網(wǎng)絡環(huán)境�����,例如實現(xiàn)多負載均衡器的環(huán)境����、實現(xiàn)廣域網(wǎng)(WAN)優(yōu)化的設備、提供網(wǎng)絡地址轉(zhuǎn)換服務的設備�、和提供入侵檢測的設備?��?梢栽陂_放式系統(tǒng)互聯(lián)模型(OSI)的第四層提供上述服務���。另外的示例可以包括由諸如會話邊界控制器之類在OSI模型的更高層運行的設備提供的服務。
[0022]與局域網(wǎng)(LAN)相連的是諸如虛擬機(VM) 102之類的內(nèi)部端點。盡管在圖1中作為具體示例使用了虛擬機102����,但諸如客戶端和服務器之類的其它端點可以處于類似環(huán)境,并且通過與這里呈現(xiàn)的用于虛擬機類似的方式處理它們的流量���。因此,一般地�,虛擬機能夠被視為網(wǎng)絡端點的一個示例,但是術語“端點”意指包括物理設備(客戶端或服務器)以及虛擬設備(例如虛擬機)���。與LAN 101相連的還有被配置為執(zhí)行網(wǎng)絡流量的智能重定向的防火墻103a和103b�����,且其中的每個防火墻包括緩存104a���,b?緩存104a,b存儲轉(zhuǎn)發(fā)信息�,其將在下文參考圖2-8而被詳細解釋。此外��,防火墻103a����,b包括流狀態(tài)表108a���,b,該流狀態(tài)表包含被相應防火墻處理的流的流狀態(tài)�。
[0023]防火墻103a,b的每一個與因特網(wǎng)協(xié)議(IP)網(wǎng)絡104相連��,根據(jù)圖1��,該因特網(wǎng)協(xié)議網(wǎng)絡為防火墻103a���,b外部的網(wǎng)絡����。與IP網(wǎng)絡105相連的為諸如服務器106之類的外部端點�����。
[0024]圖1還示出了映射目錄107����,其中防火墻103a,b登記指示了哪些端點通過特定防火墻發(fā)送消息的信息���。換言之�,可以利用目錄107存儲將特定端點映射到特定防火墻的信息。具體的����,防火墻103a,b能夠在映射目錄107中映射與網(wǎng)絡端點的當前關系���。作為示例���,如以下將被更詳細描述的��,目錄107被用于映射防火墻103a和虛擬機102之間的關系�。具體的,目錄107中的條目指示虛擬機102通過防火墻103a發(fā)送消息���。雖然目錄107被示出處于防火墻103a��,b的外部并通過IP網(wǎng)絡105與其余網(wǎng)絡節(jié)點連接�����,但只要目錄能夠與防火墻103a��,b通信��,目錄107可以位于任何網(wǎng)絡節(jié)點處��。實際上�,目錄107位于防火墻103a,b內(nèi)部���,并且通過LAN 101與防火墻103a����,b通信可能是有利的��。
[0025]如圖1中所描述的��,虛擬機102發(fā)送同步(SYN)消息130 (諸如根據(jù)傳輸控制協(xié)議(TCP)的SYN數(shù)據(jù)包)以建立虛擬機102和服務器106之間的通信會話����。將所述通信會話稱為“流UFlow I)”。最初��,防火墻103a檢驗以驗證是否防火墻103a已經(jīng)保持了流I的流狀態(tài)�����。可以在防火墻103a內(nèi)的流狀態(tài)表108a中包含流狀態(tài)��??蛇x的,因為消息130為SYN消息���,防火墻103b可以假設在流狀態(tài)表108a中當前不存在流I的流狀態(tài)��。
[0026]在這種情形下�,虛擬機102和隨同的SYN消息130對防火墻103a是新的����。相應的���,防火墻103a發(fā)送消息111以確定是否另一防火墻(諸如防火墻103b)已經(jīng)發(fā)現(xiàn)虛擬機102���。換言之,防火墻103a利用目錄107來確定是否虛擬機102之前被映射到另一防火墻�。在這種情形下,目錄107以消息112為響應�,指示目錄107不知道虛擬機102。相應的��,防火墻103a向目錄107發(fā)送登記防火墻103a和虛擬機102之間的關系的消息113。
[0027]消息113包含足夠的信息以識別虛擬機102和防火墻103a����。作為示例,消息113可以包括防火墻103a和虛擬機102的LAN地址的內(nèi)部前綴�,因為前綴足以在內(nèi)部網(wǎng)絡上識別這些網(wǎng)絡實體。當然��,可以使用其余識別信息��,或網(wǎng)絡實體的其余地址�����。隨著在目錄107內(nèi)登記虛擬機102和防火墻103a的關系�����,其余防火墻能夠確定虛擬機102之前被映射到防火墻103a�,并還確定防火墻103a保持了數(shù)據(jù)流I的流狀態(tài)。
[0028]最終���,防火墻103a在流狀態(tài)表108a中創(chuàng)建條目110來維護流I的流狀態(tài)����。
[0029]根據(jù)具體的實現(xiàn)方式,基于從諸如服務器106之類的外部節(jié)點發(fā)送的SYN消息來在目錄107中登記條目可能不是有利的��。如果不存在這樣的安全性顧慮�,或者其余考慮優(yōu)先于這樣的顧慮,可以基于從外部端點發(fā)送的SYN消息來進行在目錄107的登記�。
[0030]現(xiàn)在轉(zhuǎn)到圖2,移動了虛擬機102���,以致從虛擬機102發(fā)送的消息現(xiàn)在在防火墻103b處接收����,而非防火墻103a��。這一改變可以是虛擬機102的物理移動����、虛擬化服務器的利用、或諸如網(wǎng)絡負載均衡的其余顧慮而導致的結(jié)果��。當虛擬機102發(fā)送SYN消息220以啟動一個新的流(被稱為流2)時�,防火墻103b立即確定其是否在流狀態(tài)表108b中包含用于虛擬機102的流狀態(tài)��。因為虛擬機剛被移動��,在防火墻103b中當前不存在用于虛擬機102的流狀態(tài),在緩存104b中也不存在另一防火墻之前已登記虛擬機102的指示�。可選的��,因為消息230為SYN消息�,防火墻103b可以僅確定該數(shù)據(jù)流為新的流,并且因此當前未被防火墻103b或任何其余防火墻處理���。
[0031]防火墻103b向目錄107發(fā)送查詢211以確定是否虛擬機102之前已經(jīng)被登記��。這一點很重要����,因為即使消息230發(fā)起了新的流(流2)�����,但來