改进冗余网络安全设备的可用性和性能的智能流状态同步制造技术

本公开的实施例涉及改进冗余网络安全设备的可用性和性能的智能流状态同步。描述了用于在至少一个上游路由器与至少一个下游路由器之间使用的示例安全系统。安全设备的组或池可以被用于向上游路由器与下游路由器之间的双向分组流提供状态性安全。双向流的分组基于一致性哈希环过程而被转发给特定安全设备。针对给定流，双向状态信息在一些但并非全部安全设备之间同步。这种双向流状态信息被共享的安全设备使用相同的一致性哈希环过程来确定。全设备使用相同的一致性哈希环过程来确定。全设备使用相同的一致性哈希环过程来确定。

【技术实现步骤摘要】
改进冗余网络安全设备的可用性和性能的智能流状态同步
§
1.
技术介绍

§
1.1

[0001]本说明书涉及通信网络和安全。更具体地，本说明书涉及向通信网络提供安全。
[0002]§
1.2背景信息
[0003]当前网络安全设备通常通过处理接收到的互联网协议(IP)分组来提供各种状态性网络安全服务(例如层3至层7(L3至L7))。当前网络安全设备用于监测网络业务并且将其分类为合法的或可疑的。可疑业务可以被丢弃和/或阻止，和/或应用其他安全处理。在典型的L3网络拓扑中，安全设备经由动态路由协议(例如BGP)连接至邻居路由器。
[0004]为了增加网络安全服务的弹性、可用性以及性能，需要将多个安全设备分组在一起，使得一个或多个备份安全设备可以在主要安全设备因某些原因而出现故障或停机(例如重启)的情况下提供冗余。还可能需要多个安全设备通过并行操作来共享提供安全服务的工作负载。
[0005]图1图示了示例网络拓扑100，其中N个安全设备(SD)110的池或组为上游路由器120(例如连接至公共网络125或公共网络125的一部分的Rl和R2)和下游路由器130(例如连接至内部网络135或内部网络135的一部分的R3和R4)提供安全。安全设备、上游路由器和/或下游路由器可以经由协议(诸如边界网关协议(BGP)130)共享控制信息。上游路由器120中的每个上游路由器可以使用等价多路径(ECMP)140来提供至安全设备110的池的转发。例如，路由器实现基于分组的转发。在选择ECMP下一跳时，路由器可以使用各种不同的算法。一个这种算法是哈希算法，其输入或密钥包括从IP分组的报头中提取的信息(例如源IP地址和/或目的地IP地址)。类似地，下游路由器130中的每个下游路由器可以使用ECMP 150来提供至安全设备110的池的转发。
[0006]从概念上讲，该提供安全设备的池的策略看起来很有前景。然而，遗憾地是，当冗余安全设备的数量变大时(假设将提供“状态性”安全)，其具有缩放问题。如果这些安全设备将提供状态性安全，那么缩放问题源于在安全设备之间需要进行流状态同步。更具体地，路由器通常将冗余安全设备视为ECMP下一跳。也就是说，路由器通常使用ECMP路径选择算法(例如使用以分组的IP地址作为输入提供的哈希函数)将IP分组映射至安全设备。路由器使用映射结果来选择安全设备作为IP分组的下一跳，并且将其发送给所选择的安全设备。
[0007]实际上，安全设备可以停止服务(例如“停机”)并且稍后恢复(例如“联机”)。在安全设备停机时安全设备的潜在变化将使路由器更改IP分组流与其安全设备的下一跳之间的映射。在不知道上游路由器和/或下游路由器的这种映射变化的结果的情况下，组中的安全设备将假设映射将随机改变的最坏情况场景。因此，在该最坏情况假设下，每个安全设备将需要由其同级设备中的任何同级设备和所有同级设备进行备份。也就是说，在该最坏情况假设下，每个安全设备将使其流状态信息与组中的所有同级安全设备同步。流状态信息的该同步量将使安全设备花费过多的带宽来将状态发送给每个同级安全设备(和接收)状态并分派大量存储器以将所有同级安全设备接收到的状态的副本存储在组中，尤其是在N
变大的情况。该问题使得按比例增加冗余安全设备的数量在技术上和经济上是不切实际的。
[0008]鉴于前述内容，提供具有高弹性、可用性以及性能的安全服务将是有用的。在避免缩放问题的同时为此提供许多冗余安全设备将是有用的。
[0009]一些安全设备应用双向规则，且因此，在上游方向和下游方向两者上追踪关于数据业务的信息。因此，提供状态性的双向安全将是有用的。
§
2.
技术实现思路

[0010]根据本说明书的示例实施例解决了提供许多冗余安全设备，同时避免缩放问题的挑战。根据本说明书的示例实施例可以通过基于一致性哈希环过程将双向流的分组转发给特定安全设备来实现。针对给定流，双向状态信息在一些但并非全部安全设备之间同步。这种双向流状态信息被共享的安全设备使用相同的一致性哈希环过程来确定。
[0011]在一个示例实施例中，提供了一种用于在至少一个上游路由器与至少一个下游路由器之间使用的安全系统。这种安全系统包括：第一多个(N个)安全设备，被布置在至少一个上游路由器与至少一个下游路由器之间，第一多个安全设备中的每个安全设备被配置成为至少一个上游路由器与至少一个下游路由器之间的多个双向流提供双向安全服务。针对多个双向流中的每个双向流，(1)使用用于生成一致性哈希环的一致性哈希环算法将第一多个安全设备中的一个安全设备作为主要安全设备分配给双向流，并且(2)使用一致性哈希环算法将第一多个安全设备中的一个或多个(M个，其中M至少为1)安全设备的集合作为(多个)备份安全设备分配给双向流，其中M+1小于N。第一多个安全设备中的每个安全设备被配置有状态同步过程，其中针对多个双向流中的每个双向流，被分配给双向流的主要安全设备和被分配给双向流的M个备份安全设备的集合使双向流状态信息彼此同步，但不使双向流状态信息与N个安全设备中的所有安全设备同步。
[0012]在一些此类安全系统中，针对多个流中的每个流，被分配给双向流的主要安全设备和被分配给双向流的M个备份安全设备的集合仅使双向流状态信息彼此同步，但不使双向流状态信息与N个安全设备中的任何其他安全设备同步。
[0013]在一些此类安全系统中，针对多个双向流中的每个双向流，被分配给双向流的M个备份安全设备是一致性哈希环上(例如按顺时针方向)的被分配给双向流的主要安全设备之后的M个下一个唯一安全设备。
[0014]在一些此类安全系统中，在被分配给给定双向流的主要安全设备出现故障时，至少一个上游路由器和至少一个下游路由器将属于给定双向流的任何分组转发给M个备份安全设备中的下一个可用(例如UP)备份安全设备，该下一个可用备份安全设备被分配给一致性哈希环上的给定双向流。在一些此类安全系统中，在被分配给给定双向流的主要安全设备恢复时，响应于恢复，至少一个上游路由器和至少一个下游路由器将属于给定双向流的任何分组转发给被分配给给定双向流的主要安全设备。
[0015]在一些此类安全系统中，如果M大于1，那么在(1)被分配给给定双向流的主要安全设备和(2)被分配给给定双向流的一致性哈希环上的M个备份安全设备中的下一个备份安全设备两者出现故障时，至少一个上游路由器和至少一个下游路由器将属于给定双向流的任何分组转发给被分配给一致性哈希环上的给定双向流的M个备份安全设备中的下一个可
用备份安全设备。
§
3.附图说明
[0016]图1图示了安全设备的池或组为上游路由器和下游路由器提供安全的示例网络拓扑。
[0017]图2图示了一致性哈希环上的分组流和安全设备的分配。
[0018]图3图示了分组流与其一致性哈希环上的主要安全设备和N个备份安全设备的关联。
[0019]图4A和图4B是分别由上游路由器或下游路由器和安全设备执行的示例方法的流程本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统，包括：a)至少一个上游路由器；b)至少一个下游路由器；以及c)第一多个(N个)安全设备，被布置在所述至少一个上游路由器与所述至少一个下游路由器之间，所述第一多个安全设备中的每个安全设备为所述至少一个上游路由器与所述至少一个下游路由器之间的多个双向流提供双向安全服务，其中用于生成一致性哈希环的一致性哈希环算法用于将所述多个双向流中的每个双向流分配给(1)所述第一多个安全设备中的主要安全设备和(2)充当(多个)备份安全设备的所述第一多个安全设备中的一个或多个(M个)安全设备的集合，其中M+1小于N，并且其中针对所述多个双向流中的每个双向流，所述第一多个安全设备中的所述主要安全设备和M个备份安全设备的集合使双向流状态信息彼此同步，但不使所述双向流状态信息与所述N个安全设备中的所有安全设备同步。2.根据权利要求1所述的系统，其中针对所述多个双向流中的每个双向流，所述第一多个安全设备中的所述主要安全设备和M个备份安全设备的集合仅使所述双向流状态信息彼此同步，但不使所述双向流状态信息与所述N个安全设备中的任何其他安全设备同步。3.根据权利要求1所述的系统，其中针对所述多个双向流中的每个双向流，所述M个备份安全设备是所述一致性哈希环上的所述主要安全设备之后的M个下一个唯一安全设备。4.根据权利要求3所述的系统，其中针对所述多个双向流中的每个双向流，所述M个备份安全设备是按顺时针方向的所述一致性哈希环上的所述主要安全设备之后的所述M个下一个唯一安全设备。5.根据权利要求1所述的系统，其中在被分配给给定双向流的主要安全设备出现故障时，所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给所述M个备份安全设备中的下一个可用备份安全设备，所述下一个可用备份安全设备被分配给所述一致性哈希环上的所述给定双向流。6.根据权利要求5所述的系统，其中在被分配给所述给定双向流的所述主要安全设备恢复时，响应于所述恢复，所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给被分配给所述给定双向流的所述主要安全设备。7.根据权利要求1所述的系统，其中M大于1，并且其中在(1)被分配给给定双向流的主要安全设备和(2)被分配给所述给定双向流的所述一致性哈希环上的所述M个备份安全设备中的下一个备份安全设备两者出现故障时，所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给所述一致性哈希环上的、被分配给所述给定双向流的所述M个备份安全设备中的下一个可用备份安全设备。8.一种用于在至少一个上游路由器与至少一个下游路由器之间使用的安全系统，所述安全系统包括：第一多个(N个)安全设备，被布置在所述至少一个上游路由器与所述至少一个下游路由器之间，所述第一多个安全设备中的每个安全设备被配置成为所述至少一个上游路由器与所述至少一个下游路由器之间的多个双向流提供双向安全服务，其中针对所述多个双向流中的每个双向流，(1)所述第一多个安全设备中的一个安全
设备使用用于生成一致性哈希环的一致性哈希环算法而作为主要安全设备被分配给所述双向流，并且(2)所述第一多个安全设备中的一个或多个(M个)安全设备的集合使用所述一致性哈希环算法而作为(多个)备份安全设备被分配给所述双向流，其中M+1小于N，所述第一多个安全设备中的每个安全设备被配置有状态同步过程，其中针对所述多个双向流中的每个双向流，被分配给所述双向流的所述主要安全设备和被分配给所述双向流的M个备份安全设备的集合使双向流状态信息彼此同步，但不使双向流状态信息与所述N个安全设备中的所有安全设备同步。9.根据权利要求8所述的安全系统，其中针对所述多个流中的每个流，被分配给所述双向流的所述主要安全设备和被分配给所述双向流的M个备份安全设备的集合仅使所述双向流状态信息彼此同步，但不使所述双向流状态信息与所述N个安全设备中的任何其他安全设备同步。10.根据权利要求8所述的安全系统，其中针对所述多个双向流中的每个双向流，被分配给所述双向流的所述M个备份安全设备是所述一致性哈希环上的被分配给所述双向流的所述主要安全设备之后的M个下一个唯一安全设备。11.根据权利要求10所述的安全系统，其中针对所述多个双向流中的每个双向流，被分配给所述双向流的所述M个备份安全设备是所述一致性哈希环上按顺时针方向的被分配给所述双向流的所述主要安全设备之后的M个下一个唯一安全设备。12.根据权利要求8所述的安全系统，其中在被分配给给定双向流的主要安全设备出现故障时，所述至少一个上游路由...

【专利技术属性】
技术研发人员：吉伟民，J，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：