【技术实现步骤摘要】
改进冗余网络安全设备的可用性和性能的智能流状态同步
§
1.
技术介绍
§
1.1
[0001]本说明书涉及通信网络和安全。更具体地,本说明书涉及向通信网络提供安全。
[0002]§
1.2背景信息
[0003]当前网络安全设备通常通过处理接收到的互联网协议(IP)分组来提供各种状态性网络安全服务(例如层3至层7(L3至L7))。当前网络安全设备用于监测网络业务并且将其分类为合法的或可疑的。可疑业务可以被丢弃和/或阻止,和/或应用其他安全处理。在典型的L3网络拓扑中,安全设备经由动态路由协议(例如BGP)连接至邻居路由器。
[0004]为了增加网络安全服务的弹性、可用性以及性能,需要将多个安全设备分组在一起,使得一个或多个备份安全设备可以在主要安全设备因某些原因而出现故障或停机(例如重启)的情况下提供冗余。还可能需要多个安全设备通过并行操作来共享提供安全服务的工作负载。
[0005]图1图示了示例网络拓扑100,其中N个安全设备(SD)110的池或组为上游路由器120(例如连接至公共网络125或公共网络125的一部分的Rl和R2)和下游路由器130(例如连接至内部网络135或内部网络135的一部分的R3和R4)提供安全。安全设备、上游路由器和/或下游路由器可以经由协议(诸如边界网关协议(BGP)130)共享控制信息。上游路由器120中的每个上游路由器可以使用等价多路径(ECMP)140来提供至安全设备110的池的转发。例如,路由器实现基于分组的转发。在选择ECMP下一跳时, ...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:a)至少一个上游路由器;b)至少一个下游路由器;以及c)第一多个(N个)安全设备,被布置在所述至少一个上游路由器与所述至少一个下游路由器之间,所述第一多个安全设备中的每个安全设备为所述至少一个上游路由器与所述至少一个下游路由器之间的多个双向流提供双向安全服务,其中用于生成一致性哈希环的一致性哈希环算法用于将所述多个双向流中的每个双向流分配给(1)所述第一多个安全设备中的主要安全设备和(2)充当(多个)备份安全设备的所述第一多个安全设备中的一个或多个(M个)安全设备的集合,其中M+1小于N,并且其中针对所述多个双向流中的每个双向流,所述第一多个安全设备中的所述主要安全设备和M个备份安全设备的集合使双向流状态信息彼此同步,但不使所述双向流状态信息与所述N个安全设备中的所有安全设备同步。2.根据权利要求1所述的系统,其中针对所述多个双向流中的每个双向流,所述第一多个安全设备中的所述主要安全设备和M个备份安全设备的集合仅使所述双向流状态信息彼此同步,但不使所述双向流状态信息与所述N个安全设备中的任何其他安全设备同步。3.根据权利要求1所述的系统,其中针对所述多个双向流中的每个双向流,所述M个备份安全设备是所述一致性哈希环上的所述主要安全设备之后的M个下一个唯一安全设备。4.根据权利要求3所述的系统,其中针对所述多个双向流中的每个双向流,所述M个备份安全设备是按顺时针方向的所述一致性哈希环上的所述主要安全设备之后的所述M个下一个唯一安全设备。5.根据权利要求1所述的系统,其中在被分配给给定双向流的主要安全设备出现故障时,所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给所述M个备份安全设备中的下一个可用备份安全设备,所述下一个可用备份安全设备被分配给所述一致性哈希环上的所述给定双向流。6.根据权利要求5所述的系统,其中在被分配给所述给定双向流的所述主要安全设备恢复时,响应于所述恢复,所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给被分配给所述给定双向流的所述主要安全设备。7.根据权利要求1所述的系统,其中M大于1,并且其中在(1)被分配给给定双向流的主要安全设备和(2)被分配给所述给定双向流的所述一致性哈希环上的所述M个备份安全设备中的下一个备份安全设备两者出现故障时,所述至少一个上游路由器和所述至少一个下游路由器将属于所述给定双向流的任何分组转发给所述一致性哈希环上的、被分配给所述给定双向流的所述M个备份安全设备中的下一个可用备份安全设备。8.一种用于在至少一个上游路由器与至少一个下游路由器之间使用的安全系统,所述安全系统包括:第一多个(N个)安全设备,被布置在所述至少一个上游路由器与所述至少一个下游路由器之间,所述第一多个安全设备中的每个安全设备被配置成为所述至少一个上游路由器与所述至少一个下游路由器之间的多个双向流提供双向安全服务,其中针对所述多个双向流中的每个双向流,(1)所述第一多个安全设备中的一个安全
设备使用用于生成一致性哈希环的一致性哈希环算法而作为主要安全设备被分配给所述双向流,并且(2)所述第一多个安全设备中的一个或多个(M个)安全设备的集合使用所述一致性哈希环算法而作为(多个)备份安全设备被分配给所述双向流,其中M+1小于N,所述第一多个安全设备中的每个安全设备被配置有状态同步过程,其中针对所述多个双向流中的每个双向流,被分配给所述双向流的所述主要安全设备和被分配给所述双向流的M个备份安全设备的集合使双向流状态信息彼此同步,但不使双向流状态信息与所述N个安全设备中的所有安全设备同步。9.根据权利要求8所述的安全系统,其中针对所述多个流中的每个流,被分配给所述双向流的所述主要安全设备和被分配给所述双向流的M个备份安全设备的集合仅使所述双向流状态信息彼此同步,但不使所述双向流状态信息与所述N个安全设备中的任何其他安全设备同步。10.根据权利要求8所述的安全系统,其中针对所述多个双向流中的每个双向流,被分配给所述双向流的所述M个备份安全设备是所述一致性哈希环上的被分配给所述双向流的所述主要安全设备之后的M个下一个唯一安全设备。11.根据权利要求10所述的安全系统,其中针对所述多个双向流中的每个双向流,被分配给所述双向流的所述M个备份安全设备是所述一致性哈希环上按顺时针方向的被分配给所述双向流的所述主要安全设备之后的M个下一个唯一安全设备。12.根据权利要求8所述的安全系统,其中在被分配给给定双向流的主要安全设备出现故障时,所述至少一个上游路由...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。