背景技術

用于網絡服務或云服務的系統和過程可能需要處理數百萬的連接和會話。通常，現有的解決方案不能滿足這種規模的要求，因為狀態信息本地地保持在電器的內存中。具體來說，現在市場上大部分網絡產品具有連接上限或會話上限，該連接上限或會話上限由用于保持連接或會話的表的大小限制產生。一旦達到這些限制，網絡產品將不能再接受新的連接。“拒絕服務”攻擊可能通過用盡諸如防火墻的網絡電器的連接表試圖突破這些限制。例如，這種攻擊可能形成數百萬的部分連接以期填充網路設備的連接表并且防止啟動合法通信。由于網絡電器的限制以及對于降低對“拒絕服務”攻擊的易損性的需求，網絡解決方案通常需要配置更多的電器，這增加了系統復雜性和成本。增加的成本不但包括更多電器的資金成本，而且包括增加的管理成本和維護成本。

附圖說明

圖1A是采用主連接表和輔連接表的設備的框圖。

圖1B是包含使用可能在不同存儲設備中的輔連接表的網絡設備的系統的框圖。

圖2圖示了在網絡設備的一個實施方式中主連接表和輔連接表的邏輯關系。

圖3圖示了具有采用哈希表的主連接表和輔連接表的共享查找結構的邏輯關系。

圖4示出了連接表條目的格式。

圖5是將信息從主連接表移動至輔連接表以保持主連接表中的空間的過程的流程圖。

圖6是處理由采用主連接表和輔連接表的網絡設備接收的數據包的過程的流程圖。

圖7是通過將主連接表中的一個或更多個條目卸載至輔連接表而在主連接表中騰出空間的過程的一個特定實施方式的流程圖。

在不同圖中使用相同的附圖標記表示相似或相同的項目。

具體實施方式

例如在圖1A中示出的網絡設備100能夠將老化的(aging)連接條目或會話條目以及這樣的連接或會話的狀態從網絡設備100的內存104中的本地主連接表110卸載至可能存儲在網絡設備100中任何可用的存儲器中或其它位置的輔連接表120。具體地，位于程序內存108中并且由網絡設備100的處理器102執行的獲得模塊150可以將一個或更多個條目112卸載至輔連接表120以在主連接表110中為新條目112提供空間，并且有效地使連接表的大小可伸縮至任何期望的大小。通常，但并不總是，連接條目可以位于主連接表110和輔連接表120中的一個，但不是同時位于兩者。如果卸載的連接試圖建立通信，網絡設備100能夠查詢輔連接表120，獲取具有與連接相關聯的狀態信息的條目122，并且在主連接表110中重建合適的條目112。

設備100能夠將連接或會話分類，例如，識別與會話/連接相關聯或試圖建立會話/連接的設備或應用程序，識別連接的使用，或確定連接或會話對延遲的靈敏度。另外，為了將對性能的負面影響降為最小，可以使用條目信息來選擇用于卸載的特定條目112。例如，可以基于時期(age)、最后使用和相關聯的應用程序來選擇卸載的條目112，從而卸載最不可能被使用的連接或受影響最小的連接。在圖1A的配置中，獲得模塊150可以實現這樣的選擇邏輯或任何期望的業務邏輯，并且采用連接分類來確定卸載至輔連接表122的連接或條目112。具體來說，在輔表120的條目122中檢索連接信息或會話信息會導入延遲，并且檢測連接的服務類型的能力對于優化性能是重要的。諸如打印、電子郵件和備份的服務是卸載連接條目112的好的候選，而諸如流媒體或網頁瀏覽的其它服務則可能不是。表控制模塊能夠檢測服務類型，并且或者自動控制或者允許管理員控制獲得模塊150能夠推送至輔表120的老化服務。

圖1B是提供采用主連接表110和輔連接表120的系統中的網絡設備100的更多細節的框圖。網絡設備100例如可以是諸如防火墻、入侵防御系統、網絡服務器、路由器的網絡設備，或需要保持連接表的任何中間設備(middlebox)或諸如TCP/IP棧的類似結構。網絡設備100可以被實現為電器，例如計算機電器或網絡電器。電器通常是單獨的且分離的硬件設備，該硬件設備被設計用來提供特定資源并且包含可能難于顯著改變的組合軟件。另選地，網絡設備100可以實現在通用計算機中，例如，作為通用操作系統或軟件應用程序的一部分。網絡設備100的另一個另選實施方式可以是在虛擬環境中的軟件服務，例如“云”。下文將集中描述一個實施方式，在該實施方式中設備100是防火墻電器。