技術領域

本公開涉及利用有狀態服務的網絡環境，并具體涉及防火墻。

背景技術

現代網絡在網絡環境中部署多個防火墻。在部署多個防火墻時，進程需要處理其中數據流起始于一個防火墻，但是隨后通過另一個防火墻發送或接收消息的情形。一些實現中使用了簇的解決方案，其中簇中的所有防火墻與簇主同步，而簇主相應地同步于它的簇成員。這允許所有的防火墻接收由簇中的每一個其他防火墻所處理的每個流的流狀態。

作為示例，在部署有每一個直連于因特網的雙數據中心時，所有的防火墻與簇主同步。就執行必須的同步所需的帶寬而言，這樣的系統費用很高。具體的，對網絡中的每一個新的流都需要同步，在每秒多達百萬計的流的真實世界部署中，這是很繁瑣的。當部署跨越三個或更多站點時，利用三個或更多防火墻，這一問題被顯著地放大。

附圖說明

圖1示出了示例性計算機網絡，其中防火墻利用映射目錄以實現多防火墻環境中網絡流量的重定向。

圖2示出了示例性計算機網絡，其中防火墻利用映射目錄以實現多防火墻環境中網絡流量的重定向。

圖3示出了多防火墻環境中對消息的重定向和針對網絡流量的防火墻策略的應用的示例。

圖4示出了多防火墻環境中對消息的重定向和針對網絡流量的防火墻策略的應用的另一示例。

圖5示出了多防火墻環境中對網絡流量的防火墻策略的另一示例應用。

圖6示出了多防火墻環境中對消息的重定向和對網絡流量的防火墻策略的應用的另一示例。

圖7示出了多防火墻環境中對消息的重定向和對網絡流量的防火墻策略的應用的另一示例。

圖8示出了多防火墻環境中對消息的重定向和對網絡流量的防火墻策略的應用的進一步示例。

圖9示出了多防火墻環境中對網絡流量的防火墻策略的另一示例應用。

圖10示出了多防火墻環境中對消息的重定向和對網絡流量的防火墻策略的應用的進一步示例。

圖11是示出了用于登記網絡設備-端點映射、重定向消息、以及對網絡流量應用有狀態服務的示例步驟的流程圖。

圖12是示出了用于重定向消息以及對網絡流量應用網絡策略的示例步驟的流程圖。

圖13示出了示例性的映射目錄。

圖14是被配置為執行消息的重定向和對網絡流量的有狀態服務的應用的網絡設備的示例性框圖。

具體實施方式

概述

這里提出了用于分布于任何數目的站點的任何數目的網絡設備之間的重定向的技術。在第一網絡設備處從網絡端點接收流的第一消息。端點和第一網絡設備之間的關系被登記在將端點映射到網絡設備的目錄中。流的狀態被存儲于第一網絡設備處。在第二網絡設備處接收針對該流的第二消息，該第二消息指示第一端點。確定第二網絡設備未存儲該流的流狀態。查詢被執行以接收指示該端點和第一網絡設備之間的關系的信息。所接收的信息被存儲在第二網絡設備處的緩存中。根據所存儲的信息對第二消息 應用服務。

示例性實施例

圖1中所描述的為用于多防火墻環境中的網絡流量的智能重定向的網絡環境100。盡管當前示例針對多防火墻環境，但這里的技術可被應用于采用了有狀態服務(stateful service)的其他網絡環境，例如實現多負載均衡器的環境、實現廣域網(WAN)優化的設備、提供網絡地址轉換服務的設備、和提供入侵檢測的設備?？梢栽陂_放式系統互聯模型(OSI)的第四層提供上述服務。另外的示例可以包括由諸如會話邊界控制器之類在OSI模型的更高層運行的設備提供的服務。

與局域網(LAN)相連的是諸如虛擬機(VM)102之類的內部端點。盡管在圖1中作為具體示例使用了虛擬機102，但諸如客戶端和服務器之類的其它端點可以處于類似環境，并且通過與這里呈現的用于虛擬機類似的方式處理它們的流量。因此，一般地，虛擬機能夠被視為網絡端點的一個示例，但是術語“端點”意指包括物理設備(客戶端或服務器)以及虛擬設備(例如虛擬機)。與LAN 101相連的還有被配置為執行網絡流量的智能重定向的防火墻103a和103b，且其中的每個防火墻包括緩存104a，b。緩存104a，b存儲轉發信息，其將在下文參考圖2-8而被詳細解釋。此外，防火墻103a，b包括流狀態表108a，b，該流狀態表包含被相應防火墻處理的流的流狀態。