一種分布式網(wǎng)絡(luò)設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種分布式網(wǎng)絡(luò)設(shè)備。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)流量的增加��,組網(wǎng)日益復(fù)雜化�。對(duì)于網(wǎng)絡(luò)的管理運(yùn)營(yíng) 來(lái)說(shuō),既要提供高速網(wǎng)絡(luò)�,又要保證網(wǎng)絡(luò)的安全,傳統(tǒng)網(wǎng)絡(luò)架構(gòu)逐漸受到實(shí)際應(yīng)用的嚴(yán)峻挑 戰(zhàn)�����。
[0003] 在大型網(wǎng)絡(luò)中����,骨干鏈路要對(duì)報(bào)文的網(wǎng)絡(luò)轉(zhuǎn)發(fā)���、網(wǎng)絡(luò)應(yīng)用處理和網(wǎng)絡(luò)安全處理同 時(shí)做出保障���,每一項(xiàng)都要求有專口的設(shè)備或功能模塊來(lái)實(shí)現(xiàn)�。所謂網(wǎng)絡(luò)轉(zhuǎn)發(fā)覆蓋通常是指 網(wǎng)絡(luò)中由路由表項(xiàng)、訪問(wèn)控制規(guī)則�、報(bào)文過(guò)濾規(guī)則���、ARP表項(xiàng)等組成的數(shù)據(jù)鏈路層及網(wǎng)絡(luò)層 報(bào)文的報(bào)文轉(zhuǎn)發(fā)。此處網(wǎng)絡(luò)應(yīng)用是指針對(duì)網(wǎng)絡(luò)中報(bào)文流量的應(yīng)用處理�����,比如報(bào)文審計(jì)�、網(wǎng) 絡(luò)地址轉(zhuǎn)化NATW及流量分析業(yè)務(wù)等。此處網(wǎng)絡(luò)安全通常是指對(duì)網(wǎng)絡(luò)流量的安全防護(hù)業(yè)務(wù) (也是一種廣義的網(wǎng)絡(luò)應(yīng)用業(yè)務(wù))�,包括入侵防御檢測(cè)IPS、防病毒W(wǎng)及防范分布式拒絕服務(wù) 攻擊DDoS等���。為了實(shí)現(xiàn)上述H重保障����,現(xiàn)有技術(shù)中有H種典型的實(shí)現(xiàn)方案�����。
[0004] 方案一:請(qǐng)參考圖1�����,在最為傳統(tǒng)的方式中���,可W將各種功能的網(wǎng)絡(luò)設(shè)備串接在網(wǎng) 絡(luò)中����,W同時(shí)實(shí)現(xiàn)流量轉(zhuǎn)發(fā)和信息安全。該方案中各種網(wǎng)絡(luò)設(shè)備包括交換機(jī)�����、路由器���;網(wǎng)絡(luò) 安全設(shè)備包括FW(防火墻)���、IPS、UAG(統(tǒng)一審計(jì)網(wǎng)關(guān))��、ADX(應(yīng)用交付網(wǎng)關(guān))等����。為實(shí)現(xiàn)對(duì) 局域網(wǎng)與廣域網(wǎng)間的流量作流量審計(jì)���、安全防御�����、網(wǎng)絡(luò)轉(zhuǎn)發(fā)處理����,該方案需要使報(bào)文流量經(jīng) 過(guò)依次流過(guò)路由器RT、UAG�����、IPSW及FW�。如果特定的用戶報(bào)文流量不需要或不允許作某種 處理,則需要在對(duì)應(yīng)功能所在的設(shè)備上��,通過(guò)啟用包過(guò)濾表項(xiàng)或其它類似方式���,將特定用戶 的流量作旁路bypass處理����。該方案中每個(gè)設(shè)備上都要管理人員進(jìn)行配置�,連線多而復(fù)雜, 故障點(diǎn)多��,易出錯(cuò)�����。為了防范單點(diǎn)故障,通常還需要應(yīng)用VRRP等協(xié)議防護(hù)���。在出現(xiàn)故障時(shí)���, 維護(hù)人員通常需要一臺(tái)一臺(tái)地連接訪問(wèn),查找故障源��,如果各設(shè)備的生產(chǎn)廠家不同�����,還需要 組織各廠家技術(shù)人員聯(lián)合處理�,故障定位分析困難且步驟繁瑣。此外該方案不僅提高了客 戶的采購(gòu)成本和維護(hù)成本��,還占用大量空間�����,消耗更多電力資源�����,是目前比較落后的一種實(shí) 現(xiàn)方案��。
[0005] 方案二:請(qǐng)參考圖2,為了簡(jiǎn)化部署���,可W使用同時(shí)具有流量轉(zhuǎn)發(fā)和安全保障功能 的集中式設(shè)備�,如UTM(統(tǒng)一威脅管理)����。該方案的缺點(diǎn)是單臺(tái)盒式設(shè)備硬件性能低,處理能 力弱���,各項(xiàng)安全業(yè)務(wù)和應(yīng)用均無(wú)法做到高效率和高專業(yè)性�����,對(duì)網(wǎng)絡(luò)負(fù)荷的承載力低���,防御網(wǎng) 絡(luò)攻擊的能力很弱,無(wú)法滿足運(yùn)營(yíng)級(jí)用戶或者企業(yè)級(jí)高端用戶對(duì)安全和應(yīng)用的需求�����。
[0006] 方案H;請(qǐng)參考圖3W及圖4,在方案一和方案二的基礎(chǔ)上��,已有廠商推出框式松 禪合設(shè)備,比如基于0AA開(kāi)放應(yīng)用平臺(tái)的框式松禪合設(shè)備��,該技術(shù)可W將各種類型的設(shè)備 改造成對(duì)應(yīng)的板卡�,然后插入同一個(gè)機(jī)框的不同插槽中,通過(guò)內(nèi)部連線實(shí)現(xiàn)板卡間報(bào)文流 量轉(zhuǎn)發(fā)����。流量從某一業(yè)務(wù)板的接口流入,依次經(jīng)過(guò)各塊板卡��,完成所有業(yè)務(wù)處理后從最后一 塊板卡的接口流出�。流量在設(shè)備內(nèi)部仍然是串行處理,對(duì)每塊板卡來(lái)說(shuō)�,其它板卡和第一種 方案中的其它設(shè)備沒(méi)有區(qū)別。從物理上來(lái)看�����,方案H中的框式松禪合設(shè)備是一個(gè)設(shè)備�����,但事 實(shí)上其只是所有板卡共用電源����、共用機(jī)框。從網(wǎng)管系統(tǒng)上看,每塊板卡仍然是一個(gè)獨(dú)立的網(wǎng) 絡(luò)設(shè)備���,均需要獨(dú)立的管理IP地址和管理界面,各個(gè)設(shè)備獨(dú)立存儲(chǔ)和備份配置文件���。該種 技術(shù)方案除了配置復(fù)雜W外�,還存在如下缺點(diǎn):各業(yè)務(wù)板卡獨(dú)立運(yùn)行��,相互只是簡(jiǎn)單串接在 一起�,邏輯上和第一種方案的組網(wǎng)方式?jīng)]有區(qū)別,方案一的很多問(wèn)題其同樣繼承��。此外����,由 于物理形態(tài)上與方案一已經(jīng)不同,方案H中每塊板卡均需配置用于引流的靜態(tài)路由或策略 路由�����,該些都需要管理員手動(dòng)來(lái)操作��,板卡數(shù)量眾多時(shí)難于維護(hù)���。
【發(fā)明內(nèi)容】
[0007] 有鑒于此�����,本發(fā)明提供一種分布式網(wǎng)絡(luò)設(shè)備���,包括主控板卡���、一個(gè)或多個(gè)業(yè)務(wù)板卡 W及板間通道,其中主控板卡W及業(yè)務(wù)板卡均包括CPU,所述業(yè)務(wù)板卡還包括分流硬件W及 與分流硬件相連的網(wǎng)口�����;其中:
[0008] 所述主控板卡的CPU用于為各個(gè)業(yè)務(wù)板卡生成網(wǎng)絡(luò)轉(zhuǎn)發(fā)表項(xiàng)���,并將該網(wǎng)絡(luò)轉(zhuǎn)發(fā)表 項(xiàng)下發(fā)給各個(gè)業(yè)務(wù)板卡�;根據(jù)管理側(cè)下發(fā)的流量控制策略為各個(gè)業(yè)務(wù)板卡的分流硬件W及 CPU下發(fā)相應(yīng)的分流策略表項(xiàng)����;
[0009] 所述業(yè)務(wù)板卡的分流硬件用于將分流策略表項(xiàng)保存在自身的分流策略表中,并按 照自身的分流策略表將網(wǎng)口進(jìn)入的報(bào)文發(fā)送到相應(yīng)的業(yè)務(wù)板卡的CPU;
[0010] 所述業(yè)務(wù)板卡的CPU用于將分流策略表項(xiàng)保存在自身的分流策略表中��,并根據(jù)自 身的分流策略對(duì)報(bào)文進(jìn)行應(yīng)用處理W及網(wǎng)絡(luò)轉(zhuǎn)發(fā)處理���。
[0011] 相較于現(xiàn)有技術(shù)而言��,本發(fā)明分布式網(wǎng)絡(luò)設(shè)備不需要業(yè)務(wù)板卡配置用于引流的靜 態(tài)路由或策略路由��,各個(gè)業(yè)務(wù)板卡不再需要通過(guò)動(dòng)態(tài)路由協(xié)議等方式來(lái)學(xué)習(xí)轉(zhuǎn)發(fā)表項(xiàng)��,對(duì) 于網(wǎng)絡(luò)管理而言����,更加簡(jiǎn)單���,節(jié)約管理IP地址����;在出現(xiàn)問(wèn)題時(shí)�����,問(wèn)題定位更加容易��。
【附圖說(shuō)明】
[0012] 圖1是現(xiàn)有技術(shù)中方案一的組網(wǎng)示意圖�。
[0013]圖2是現(xiàn)有技術(shù)中方案二的組網(wǎng)示意圖。
[0014] 圖3是現(xiàn)有技術(shù)中方案H的組網(wǎng)示意圖���。
[0015]圖4是方案H中框式松禪合設(shè)備的架構(gòu)圖��。
[0016] 圖5是本發(fā)明一種實(shí)施方式中分布式網(wǎng)絡(luò)設(shè)備的架構(gòu)原理圖�。
[0017] 圖6是本發(fā)明一種實(shí)施方式中報(bào)文流量在內(nèi)部處理過(guò)程的示意圖。
[0018] 圖7是本發(fā)明另一種實(shí)施方式中報(bào)文流量在內(nèi)部處理過(guò)程的示意圖��。
【具體實(shí)施方式】
[0019] W下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����。
[0020] 本發(fā)明提出一種全新的分布式網(wǎng)絡(luò)設(shè)備來(lái)解決現(xiàn)有技術(shù)面臨的瓶頸���。請(qǐng)參考圖5�����, 在本發(fā)明的分布式網(wǎng)絡(luò)設(shè)備中�����,其包括主控板卡���、一種或多種類型的業(yè)務(wù)板卡W及交換板 卡;各個(gè)板卡通過(guò)內(nèi)部的交換網(wǎng)(Fabric)相連�����。其中交換板卡并不是必需的部件,當(dāng)網(wǎng)絡(luò) 設(shè)備有更多網(wǎng)絡(luò)接入需求時(shí)�����,可W引入交換板卡���。所述主控板卡W及業(yè)務(wù)板卡通常均包括 CPU���、內(nèi)存W及非易失性存儲(chǔ)器��。在本發(fā)明中�����,業(yè)務(wù)板卡還包括網(wǎng)絡(luò)接口(后續(xù)簡(jiǎn)稱"網(wǎng)口 ") W及與該網(wǎng)口相連的分流硬件�。分流硬件其主要的功能是將報(bào)文流量按照主控板卡指定的 規(guī)則分發(fā)到指定的業(yè)務(wù)板卡上處理。從成本上來(lái)考慮�,交換芯片就是一種比較理想的分流 硬件。交換芯片中最典型的莫過(guò)于W太網(wǎng)交換芯片�����,其成本相對(duì)低廉,除了支持ACL(訪問(wèn) 控制列表)該樣的分流功能����,還支持對(duì)報(bào)文進(jìn)行二層或H層轉(zhuǎn)發(fā);當(dāng)然本發(fā)明并不排除其他 的實(shí)現(xiàn)方式���,比如采用ASIC或者邏輯器件來(lái)實(shí)現(xiàn)��,該取決于開(kāi)發(fā)者對(duì)于分流靈活度��、效率 W及成本的綜合考慮�;W下僅僅W交換芯片實(shí)現(xiàn)為例來(lái)說(shuō)明����。
[0021] 在本發(fā)明中,主控板卡的CPU用于管理其他板卡�,比如對(duì)各個(gè)其他板卡進(jìn)行配置。 主控板卡的CPU還有一項(xiàng)重要的任務(wù)是通過(guò)各種網(wǎng)絡(luò)協(xié)議為各個(gè)業(yè)務(wù)板卡生成網(wǎng)絡(luò)轉(zhuǎn)發(fā) 表項(xiàng)�,比如說(shuō)通過(guò)0SPF協(xié)議