本发明专利技术提供一种分布式网络设备,包括主控板卡、业务板卡以及板间通道,其中主控板卡的CPU用于为各个业务板卡生成网络转发表项,并将该网络转发表项下发给各个业务板卡;根据管理侧下发的流量控制策略为各个业务板卡的分流硬件以及CPU下发相应的分流策略表项;业务板卡的分流硬件用于将分流策略表项保存在自身的分流策略表中,并按照自身的分流策略表将网口进入的报文发送到相应的业务板卡的CPU;所述业务板卡的CPU用于将分流策略表项保存在自身的分流策略表中,并根据自身的分流策略对报文进行应用处理以及网络转发处理。本发明专利技术分布式网络设备避免了需要配置引流的静态路由或策略路由的问题;管理也更加简单,还可节约管理IP地址。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种分布式网络设备。
技术介绍
随着网络规模的扩大和网络流量的增加,组网日益复杂化。对于网络的管理运营 来说,既要提供高速网络,又要保证网络的安全,传统网络架构逐渐受到实际应用的严峻挑 战。 在大型网络中,骨干链路要对报文的网络转发、网络应用处理和网络安全处理同 时做出保障,每一项都要求有专口的设备或功能模块来实现。所谓网络转发覆盖通常是指 网络中由路由表项、访问控制规则、报文过滤规则、ARP表项等组成的数据链路层及网络层 报文的报文转发。此处网络应用是指针对网络中报文流量的应用处理,比如报文审计、网 络地址转化NATW及流量分析业务等。此处网络安全通常是指对网络流量的安全防护业务 (也是一种广义的网络应用业务),包括入侵防御检测IPS、防病毒W及防范分布式拒绝服务 攻击DDoS等。为了实现上述H重保障,现有技术中有H种典型的实现方案。 方案一:请参考图1,在最为传统的方式中,可W将各种功能的网络设备串接在网 络中,W同时实现流量转发和信息安全。该方案中各种网络设备包括交换机、路由器;网络 安全设备包括FW(防火墙)、IPS、UAG(统一审计网关)、ADX(应用交付网关)等。为实现对 局域网与广域网间的流量作流量审计、安全防御、网络转发处理,该方案需要使报文流量经 过依次流过路由器RT、UAG、IPSW及FW。如果特定的用户报文流量不需要或不允许作某种 处理,则需要在对应功能所在的设备上,通过启用包过滤表项或其它类似方式,将特定用户 的流量作旁路bypass处理。该方案中每个设备上都要管理人员进行配置,连线多而复杂, 故障点多,易出错。为了防范单点故障,通常还需要应用VRRP等协议防护。在出现故障时, 维护人员通常需要一台一台地连接访问,查找故障源,如果各设备的生产厂家不同,还需要 组织各厂家技术人员联合处理,故障定位分析困难且步骤繁琐。此外该方案不仅提高了客 户的采购成本和维护成本,还占用大量空间,消耗更多电力资源,是目前比较落后的一种实 现方案。 方案二:请参考图2,为了简化部署,可W使用同时具有流量转发和安全保障功能 的集中式设备,如UTM(统一威胁管理)。该方案的缺点是单台盒式设备硬件性能低,处理能 力弱,各项安全业务和应用均无法做到高效率和高专业性,对网络负荷的承载力低,防御网 络攻击的能力很弱,无法满足运营级用户或者企业级高端用户对安全和应用的需求。 方案H;请参考图3W及图4,在方案一和方案二的基础上,已有厂商推出框式松 禪合设备,比如基于0AA开放应用平台的框式松禪合设备,该技术可W将各种类型的设备 改造成对应的板卡,然后插入同一个机框的不同插槽中,通过内部连线实现板卡间报文流 量转发。流量从某一业务板的接口流入,依次经过各块板卡,完成所有业务处理后从最后一 块板卡的接口流出。流量在设备内部仍然是串行处理,对每块板卡来说,其它板卡和第一种 方案中的其它设备没有区别。从物理上来看,方案H中的框式松禪合设备是一个设备,但事 实上其只是所有板卡共用电源、共用机框。从网管系统上看,每块板卡仍然是一个独立的网 络设备,均需要独立的管理IP地址和管理界面,各个设备独立存储和备份配置文件。该种 技术方案除了配置复杂W外,还存在如下缺点:各业务板卡独立运行,相互只是简单串接在 一起,逻辑上和第一种方案的组网方式没有区别,方案一的很多问题其同样继承。此外,由 于物理形态上与方案一已经不同,方案H中每块板卡均需配置用于引流的静态路由或策略 路由,该些都需要管理员手动来操作,板卡数量众多时难于维护。
技术实现思路
有鉴于此,本专利技术提供一种分布式网络设备,包括主控板卡、一个或多个业务板卡 W及板间通道,其中主控板卡W及业务板卡均包括CPU,所述业务板卡还包括分流硬件W及 与分流硬件相连的网口;其中: 所述主控板卡的CPU用于为各个业务板卡生成网络转发表项,并将该网络转发表 项下发给各个业务板卡;根据管理侧下发的流量控制策略为各个业务板卡的分流硬件W及 CPU下发相应的分流策略表项; 所述业务板卡的分流硬件用于将分流策略表项保存在自身的分流策略表中,并按 照自身的分流策略表将网口进入的报文发送到相应的业务板卡的CPU; 所述业务板卡的CPU用于将分流策略表项保存在自身的分流策略表中,并根据自 身的分流策略对报文进行应用处理W及网络转发处理。 相较于现有技术而言,本专利技术分布式网络设备不需要业务板卡配置用于引流的静 态路由或策略路由,各个业务板卡不再需要通过动态路由协议等方式来学习转发表项,对 于网络管理而言,更加简单,节约管理IP地址;在出现问题时,问题定位更加容易。【附图说明】 图1是现有技术中方案一的组网示意图。图2是现有技术中方案二的组网示意图。 图3是现有技术中方案H的组网示意图。图4是方案H中框式松禪合设备的架构图。 图5是本专利技术一种实施方式中分布式网络设备的架构原理图。 图6是本专利技术一种实施方式中报文流量在内部处理过程的示意图。 图7是本专利技术另一种实施方式中报文流量在内部处理过程的示意图。【具体实施方式】 W下结合附图对本专利技术进行详细描述。 本专利技术提出一种全新的分布式网络设备来解决现有技术面临的瓶颈。请参考图5, 在本专利技术的分布式网络设备中,其包括主控板卡、一种或多种类型的业务板卡W及交换板 卡;各个板卡通过内部的交换网(Fabric)相连。其中交换板卡并不是必需的部件,当网络 设备有更多网络接入需求时,可W引入交换板卡。所述主控板卡W及业务板卡通常均包括 CPU、内存W及非易失性存储器。在本专利技术中,业务板卡还包括网络接口(后续简称"网口 ") W及与该网口相连的分流硬件。分流硬件其主要的功能是将报文流量按照主控板卡指定的 规则分发到指定的业务板卡上处理。从成本上来考虑,交换芯片就是一种比较理想的分流 硬件。交换芯片中最典型的莫过于W太网交换芯片,其成本相对低廉,除了支持ACL(访问 控制列表)该样的分流功能,还支持对报文进行二层或H层转发;当然本专利技术并不排除其他 的实现方式,比如采用ASIC或者逻辑器件来实现,该取决于开发者对于分流灵活度、效率 W及成本的综合考虑;W下仅仅W交换芯片实现为例来说明。 在本专利技术中,主控板卡的CPU用于管理其他板卡,比如对各个其他板卡进行配置。 主控板卡的CPU还有一项重要的任务是通过各种网络协议为各个业务板卡生成网络转发 表项,比如说通过0SPF协议当前第1页1 2 本文档来自技高网...
【技术保护点】
一种分布式网络设备,包括主控板卡、一个或多个业务板卡以及板间通道,其中主控板卡以及业务板卡均包括CPU,所述业务板卡还包括分流硬件以及与分流硬件相连的网口;其特征在于:所述主控板卡的CPU用于为各个业务板卡生成网络转发表项,并将该网络转发表项下发给各个业务板卡;根据管理侧下发的流量控制策略为各个业务板卡的分流硬件以及CPU下发相应的分流策略表项;所述业务板卡的分流硬件用于将分流策略表项保存在自身的分流策略表中,并按照自身的分流策略表将网口进入的报文发送到相应的业务板卡的CPU;所述业务板卡的CPU用于将分流策略表项保存在自身的分流策略表中,并根据自身的分流策略表对报文进行应用处理以及根据网络转发表项对报文网络转发处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:符志清,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。