技術領域

本發明涉及一種網絡設備中的會話創建方法及會話創建裝置，更詳細地說，涉及利用會話模板來創建會話的網絡設備中的會話創建方法及會話創建裝置。

背景技術

隨著網絡應用迅猛發展，對網絡設備的網速的需求也是越來越高。網絡安全設備部署在網關的邊界，在網絡中起到閥門的作用，其新建連接的速率直接影響到整個網絡拓撲的吞吐量。

通常，使用指標新建連接速率(CPS：Connections?Per?Second)來衡量網絡安全設備的性能，該指標主要體現了設備對于連接請求的實時反應能力，當設備可以更快的處理連接請求，而且可以更快傳輸數據的話,網絡中的并發連接數會減小，從而設備壓力也會減小，用戶感受到的性能也就越好。

在當前X86體系的網絡安全產品中，基本都采用基于會話連接表的方法處理網絡流量，其中，在會話表建立后，后續的數據包將通過查找對應的會話表項,并利用會話表項信息快速處理或轉發。

圖1是表示在網絡設備中利用現有的會話創建方法創建會話并轉發數據包的流程圖。如圖1所示，首先，網絡設備（例如網卡等）接收要轉發的數據包（步驟1010），接著對該數據包進行合法性檢查（步驟1020）。然后，通過提取該數據包中的各種信息，構成用于在會話表中查找對應的會話的會話鍵值，再根據該會話鍵值在會話表中查找對應的會話（步驟1030）。然后，判斷在該會話表中是否存在與該會話鍵值對應的會話（步驟1040），如果該會話表中存在對應的會話，則不需要進行會話創建過程；否則，如果該會話表中不存在對應的會話，則進行通常的會話創建工作（步驟1050）來創建會話。

通常的會話創建過程如圖2所示，包括如下步驟：IP?MAC地址邦定（步驟2010），地址黑名單過濾（步驟2010），攻擊防御處理（步驟2030），二層或三層轉發判斷（步驟2050），判斷為二層轉發時的CAM表查詢（步驟2060）及IP包過濾（步驟2070），判斷為三層轉發時的目的地址轉化DNAT（步驟2080）、路由查找（步驟2090）、IP包過濾（步驟2100）以及源頭地址轉化SNAT（步驟2110），應用控制（步驟2120）和深度檢測（步驟2130）等步驟。在此示出的通常的會話創建過程僅是公知技術的一個示例而已，也可以采用其它現有的會話創建方法。

接著，檢測網絡拓撲是否發生變化（步驟1060），再進行NAT轉化及QOS控制（步驟1070）等工作之后，通過網絡設備發送數據包。

在如上所述的會話創建過程中執行的各個步驟的功能邏輯復雜、耗時較長，會極大影響設備的新建連接速率。而且，隨著網絡安全類產品向應用層延伸，在如圖2所示的會話創建過程中還會添加越來越多的功能模塊，導致創建會話的時間越來越長，對網絡設備的轉發性能的影響非常大。

因此，需要一種能夠極大地縮短創建會話所需的時間，從而提高轉發性能的網絡設備。

發明內容

本發明是鑒于上述現有技術中存在的問題而做出，其目的在于提供一種基于會話模板的會話創建方法，能夠極大地縮短創建會話所需的時間，提高網絡設備的數據包轉發性能。

為了實現上述目的，本發明涉及的一種網絡設備中的會話創建方法，其包括以下步驟：基于接收到的數據包，分別構成用于查找會話表中會話的會話鍵值和與所述會話表對應會話模板集合中會話模板的模板鍵值；判斷是否存在與上述模板鍵值對應的會話模板；如果存在與上述模板鍵值對應的會話模板，則利用上述會話模板創建會話；否則，直接利用所述會話鍵值進行會話查找，如查找不到則進行會話創建，并且依據所創建的上述會話創建新的會話模板。

此外，還可以包括以下步驟：在判斷是否存在與上述模板鍵值對應的會話模板之前，根據當前的網絡配置條件查找與該網絡配置條件對應的會話模板分類，然后在查找出的上述會話模板分類中，判斷是否存在與上述模板鍵值對應的會話模板；在依據上述會話創建新的會話模板之后，根據當前的網絡配置條件將上述會話模板分類。

此外，還可以包括以下步驟：隨時監測上述網絡配置條件是否發生變化，如果發生變化且影響與其對應的會話模板的正確性，則刪除對應的全部會話模板。

此外，還可以是，所述會話模板中至少包括包含模板鍵值、網絡配置條件、模板信息以及模板限制信息。其中，也可以是，上述模板鍵值包含來源IP地址和端口、目的IP地址和端口、協議信息以及虛擬設備信息中的一種以上；上述網絡配置信息包含配置的訪問策略、應用控制規則中的一種以上。