前端系統和前端處理方法

2023-10-08 21:18:09 2

專利名稱：前端系統和前端處理方法
技術領域：
本發明涉及前端系統，更具體地涉及其中含有多個中繼設備的前端系統。
背景技術：
在某些在例如公司等的組織機構中的網絡系統中，執行路由以識別OSI參考模型的網絡層(第三層)或者更多層的數據，並基於所述數據控制數據包的目的地。在前述網絡系統中存在的交換機被細分，以用於OSI參考模型支持的各個層。作為主要的分類，有用於讀取網絡層(第三層)數據的L3交換機(層3交換機)，有用於讀取傳輸層(第四層)數據的L4交換機(層4交換機)，和用於讀取應用層(第七層)數據的L7交換機(層7交換機)。L7交換機可被稱為應用交換機。L3交換機是一種網絡設備，其為LAN(區域網)中的核心設備，其中由路由器所有·的數據包的傳輸功能被作成了硬體，並且其速度更高了。L3交換機由傳統交換機的L2交換機(層2交換機)進化而來。L2交換機為基於MAC地址(媒體訪問控制地址)中繼LAN幀的設備。相反地，L3交換機同時包括用於基於IP位址(網際協議地址)確定中繼地址的路由器功能。簡而言之，L3交換機是一個將L2交換機和路由器集成在單一單元中的設備。L4交換機識別傳輸層(第四層)級別的協議，例如TCP (傳輸控制協議)、UDP (用戶數據包協議)等，並執行布置、誤差校正和經網絡層(第三層)傳輸的數據的再傳輸請求，並確保數據傳輸的安全穩定性。L7交換機可識別應用層級別的協議，例如HTTP (超文本傳輸協議)，FTP (文件傳輸協議)等，並基於數據包的特定通信內容控制目的地。而且，在與L7交換機所在的相同的應用層(第七層)，可以使用帶寬控制設備來執行數據包的帶寬控制。而且，在應用層級別，可能通過使用防火牆(FW)限制數據包的通過，並通過使用負載均衡器(LB :負載均衡設備)執行負載均衡，並執行冗餘處理。但是，在公司等組織的傳統網絡配置中，需要專用設備如帶寬控制設備、防火牆(Fff)和負載均衡器(LB)。而且，在路由器從網際網路接收數據包的時間點到數據包到達終端的時間點之間的時間段中，這些專用設備以一步一步的方式，執行用於確保QoS(服務質量)的帶寬控制、經防火牆(FW)的入侵防護以及負載均衡。例如，如圖I所示，在傳統的網絡配置中，路由器接收來自網際網路(L3)的數據包，傳輸所述數據包到帶寬控制設備(L7)，並根據由帶寬控制設備執行的帶寬控制傳輸所述數據包到第一 L3交換機；第一 L3交換機傳輸數據包到防火牆(FW) (L7)，並且如果防火牆(Fff)允許進入時傳輸數據包到第二 L3交換機(L3)。第二 L3交換機傳輸數據包到負載均衡器(LB) (L7)並根據由所述負載均衡器(LB)執行的負載均衡傳輸所述數據包到L2交換機(L2);並且所述L2交換機傳輸所述數據包到在其管理下的終端。因為這種原因，即使在數據包由L3交換機所接收的場合，因為帶寬控制、入侵保護和負載均衡被執行，因此需要參考L7數據並每次都訪問L7交換機。因此，由於數據複製等導致的協議開銷經常出現。
順便說一下，非專利文獻I中揭示關於防火牆(FW)的現有技術。而且，非專利文獻2中揭示關於負載均衡器(LB)的現有技術。引用列表非專利文獻[非專利文獻 I] 「Delegating Network Security With More Information」 JadNaous, Ryan Stutsman, David Mazieres, Nick McKeown, Nickolai Zeldovichhttp://www. scs. Stanford, edu/ stutsman/papers/wren27-naous. pdf[非專利文獻 2] 「Plug-n-Serve Load-Balancing Web Traffic usingOpenFlow，，Nikhil Handigol, Srinivasan Seetharaman, Mario Flajslik, Nick McKeown, Ramesh Johari.http : / / conferences, sigcomm. org / sigomm / 2009 / demos/sigcomm-pd-2009-final26. pdf[非專利文獻3] 「The OpenFlow Switch Consortium」[非專利文獻 4] 「OpenFlow Switch Specification Version I.0.0(WireProtocol 0x01)12 月 31，2009」http://www. openflowswitch. org/documents/openflow-spec-vl. 0. 0. pdf

發明內容
本發明的目的是提供一種如圖2所示的前端系統，該系統通過靠近到外部網絡的網關的交換機提供前端處理器(FEP)，整合了 L7(層7)處理，其中該前端處理器具有識別L7(層7)級別協議的防火牆(FW)和負載均衡器(LB)。本發明的一種前端系統包括交換機，其配置為中繼數據包；控制器，其配置為通過控制所述交換機確定新通信路由；前端處理器，其配置為通過所述交換機被連接到所述控制器。所述前端處理器包括分配器、防火牆和負載均衡器。分配器收集所述數據包，通過從所述收集的數據包組中僅抽取需要的信息來準備對應於層7級別協議的查詢數據包，並基於應用策略對所述查詢數據包執行策略檢測，並傳輸所述查詢數據包到目的地。所述防火牆識別層7級別協議，並確定所述查詢數據包是否被允許通過。所述負載均衡器識別層7級別協議，基於網絡的負載狀態執行對所述查詢數據包的負載均衡，並且如果所述查詢數據包是第一查詢數據包並核實該查詢數據包的路由，則通過所述交換機傳輸所述查詢數據包到所述控制器。本發明的一種前端處理方法，包括通過中繼數據包的交換機連接前端處理器到控制器，其中所述控制器通過控制所述交換機確定新通信路由；由所述前端處理器上的分配器收集所述數據包，並通過從所收集的數據包組中僅抽取需要的信息來創建對應於層7級別協議的查詢數據包；由所述前端處理器上的識別層7級別協議的防火牆確定所述查詢數據包是否被允許通過；由所述前端處理器上的識別層7級別協議的負載均衡器基於網絡的負載狀態執行對所述查詢數據包的負載均衡，並且如果所述查詢數據包是第一查詢數據包並核實所述查詢數據包的路由時，通過所述交換機傳輸所述查詢數據包到所述控制器；並且由所述前端處理器上的分配器基於應用策略執行對於所述查詢數據包的策略檢查，並傳輸所述查詢數據包到目的地。通過實現統一的L7(層7)處理，可以提高端到端的性能，並且可以按照各種策略靈活地建立網絡。


圖I是示出了傳統網絡系統(其布置有專用裝置)的配置的視圖。圖2是示出了根據本發明的網絡系統的配置的視圖。圖3是示出了本發明的前端系統的基本配置的視圖。
圖4A是具有防火牆FW(L4)和負載均衡器LB(L4)的情況(例子I)下的網絡系統的配置的視圖。圖4B是示出了在具有FW(L4)和LB (L4)的情況下(例子I)的網絡系統中的各個設備的數據包流和操作的數據流視圖。圖4C是示出了在具有FW(L4)和LB (L4)的情況下(例子I)的前端系統的基本配置的視圖。圖5A是在具有FW(L7)和LB (L7)的情況下(例子2)的網絡系統的配置的視圖。圖5B是示出了在具有FW(L7)和LB (L7)的情況下(例子2)的網絡系統中的各個設備的數據包流和操作的數據流視圖。圖5C是示出了在具有FW(L7)和LB (L7)的情況下(例子2)的前端系統的基本配置的視圖。圖6A是示出了在具有FW(L7)和LB (L4)的情況下(例子3)的網絡系統的配置的視圖。圖6B是示出了在具有FW(L7)和LB (L4)的情況下(例子3)的網絡系統中的各個設備的數據包流和操作的數據流視圖。圖6C是示出了在具有FW(L7)和LB (L4)的情況下(例子3)的前端系統的基本配置的視圖。圖7A是示出了在具有FW(L4)和LB (L7)的情況下(例子4)的網絡系統的配置的視圖。圖7B是示出了在具有FW(L4)和LB (L4)的情況下(例子4)的網絡系統中的各個設備的數據包流和操作的數據流視圖。圖7C是示出了在具有FW(L4)和LB (L7)的情況下(例子4)的前端系統的基本配置的視圖。圖8是示出了結合FW功能和LB功能的圖的視圖。圖9是示出了策略資料庫的圖的視圖。圖10是示出了流表格的圖的視圖。圖11是示出了查詢數據包的圖的視圖。圖12是示出了通過前端處理器進行均衡處理的圖的視圖。
具體實施例方式示例性實施例
下面將參照附圖描述本發明的示例性實施例。基本配置如圖3所示，本發明的前端系統包括交換機10、控制器20和前端處理器(FEP) 30。交換機10包括埠 11、防火牆(FW) 12和負載均衡器(LB) 13。埠 11包括流表格111。控制器20包括作業系統(OS) 21、防火牆22和負載均衡器(LB) 23。作業系統21 (OS)包括策略資料庫211。前端處理器(FEP) 30包括分配器31、防火牆(FW) 32和負載均衡器(LB) 33。分配器31包括應用策略311。防火牆(FW) 32包括流表格321。負載均衡器(LB) 33包括流表格331、伺服器信息332和會話保持信息333。同時，防火牆(FW) 12和防火牆(FW) 22可以類似於防火牆(FW) 32進行配置。即防火牆(FW) 12和防火牆(FW) 22可以具有對應於流表格321的信息。而且，負載均衡器(LB) 13和負載均衡器(LB) 23可以類似於負載均衡器(LB) 33進行配置。即負載均衡器(LB) 13和負載均衡器(LB) 23也可以具有對應於流表格331的信息、伺服器信息332和會話保持信息333。配置的詳細描述交換機10、控制器20和前端處理器(FEP) 30的各個數量可以是複數的。這裡，通過交換機10，控制器20和前端處理器(FEP)30連接。同時，控制器20和 前端處理器(FEP) 30可以是集成的。當控制器20和前端控制器(FEP) 30集成在一起時，控制器20和前端處理器(FEP) 30可以不用通過交換機10而進行相互間的直接通信。埠 11被連接到控制器20和前端處理器(FEP)30。而且，埠 11通過例如網際網路等的外部網絡，連接到外部的通信設備。這裡，埠 11在所述外部通信設備、控制器20和前端處理器(FEP) 30之間傳輸數據。防火牆(FW) 12、防火牆(FW) 22和防火牆(FW) 32中的每一個具有監控流經與外界之間的邊際的數據、並檢測和阻塞非法訪問以防止第三方通過外部網絡入侵系統，偷看、篡改或者破壞數據、程序等的功能。負載均衡器(LB) 13、負載均衡器(LB) 23和負載均衡器(LB) 33中的每一個具有集成地管理(集中地管理)來自外部網絡的請求,並分散和傳輸所述請求到各個具有相同功能的多個伺服器中的功能。同時地，作為對由負載均衡器(LB)執行的負載均衡的平行處理，可以使用入侵防止系統(IPS)來防止對伺服器或者網絡的非法入侵。當控制器20接收數據包時，作業系統(OS) 21根據整個網絡的拓撲信息，向例如防火牆(FW)、負載均衡器(LB)等的功能模塊提示接收到所述數據包。分配器31分配FEP的計算能力到一個可執行進程、任務等。這裡，分配器31基於所接收的數據包準備查詢數據包。而且，分配器31查詢其自己的FEP以及其它FEP的負載狀態，針對負載相對低的FEP啟動例如防火牆(FW)、負載均衡器(LB)等的功能模塊，並分配已準備的查詢數據包。而且，分配器31從例如防火牆(FW)、負載均衡器(LB)等的功能模塊接收查詢數據包，並執行對所述查詢數據包的策略檢查，並在沒有問題時傳輸所述查詢數據包到目的地。
流條目，其定義了將被執行到符合預定的匹配條件(規則)的數據包上的預定處理(動作)，註冊在流表格111、流表格321和流表格331中。遵循上述規則的數據包組(數據包序列)被稱為流。所述流的規則通過目的地地址、源地址、目的地埠號和源埠號中的任一或者全部的各種組合來定義，其中所述目的地地址、源地址、目的地埠號和源埠號被包括在數據包的各個協議結構的頭區域中，這一點是明顯的。附帶地，上述地址假定是包括MAC地址(媒體訪問控制地址)和IP位址(網際協議地址)的。而且，除了上述的以夕卜，入埠的信息也可以被使用為流的規則。當存在於相同的前端處理器(FEP)30時，流表格321和流表格331可以是相同的。所述流表格的詳細內容在非專利文獻3和非專利文獻4中描述了。策略資料庫211保存整個網絡的拓撲信息。應用策略311為各個交換機或者節點保存拓撲信息。應用策略311根據策略數據 庫211中的拓撲信息而設置。伺服器信息332保存有關於不同通信設備的信息，所述不同通信設備作為數據包或者查詢數據包的目的地，並且也作為連接建立的目標。這裡伺服器信息332保存了伺服器的IP位址，其中該伺服器通過網絡等提供了預定的服務。會話保持消息333保存有關於會話的信息，其中所述會話是在位於通過前端處理器(FEP)30的路由的兩端的兩個通信設備之間或者在前端處理器(FEP) 30和其它通信設備之間建立的連接中的會話。所述會話標明了在計算機系統或者網絡通信中從連接/登錄的時刻到斷開連接/退出的時刻的時間段中一系列操作或者通信。基本流程在前端處理器(FEP)30中的分配器31從交換機10接收數據包。之後，分配器31基於所接收到的數據包準備查詢數據包，並傳輸所準備的查詢數據包到防火牆(FW) 32和負載均衡器(LB) 33中的至少一個。當從分配器31或者負載均衡器(LB) 33接收到查詢數據包，防火牆(FW) 32參考流表格321，並檢查在流表格321中是否登記有對應於所述查詢數據包的流表項。如果對應於所述查詢數據包的流表項已被登記在流表格321中，防火牆(FW) 32基於所述流表項判斷是否通過所述查詢數據包。如果通過所述查詢數據包，防火牆(FW) 32傳輸查詢數據包到分配器31或者負載均衡器(LB) 33。如果不通過所述查詢數據包，防火牆(FW) 32丟棄所述查詢數據包。而且，如果對應於查詢數據包的流表項沒有登記在所述流表格321中，防火牆(FW) 32判斷所述查詢數據包是第一個(第一)查詢數據包，並使所述查詢數據包通過並傳輸到分配器31或者負載均衡器(LB)33。當從分配器31或者防火牆(FW) 32接收到查詢數據包，負載均衡器(LB) 33參考流表格331，並檢查對應於所述查詢數據包的流表項是否已被登記在流表格331中。如果對應於所述查詢數據包的流表項已被登記在流表格331中，負載均衡器(LB) 33基於所述流表項執行對所述查詢數據包的負載均衡，並傳輸到分配器31。如果對應於查詢數據包的流表項沒有登記到流表格331中，負載均衡器(LB) 33判斷所述查詢數據包是第一查詢數據包，並通過交換機10傳輸所述查詢數據包到控制器20。附帶地，所述第一查詢數據包標明了以前沒有處理過的未知的查詢數據包。當接收普通的數據包或者查詢數據包時，交換機10的埠 11參考流表格111並檢查對應於所接收的數據包的流表項是否被登記在了流表格111中。如果對應於所接收的數據包的流表項被登記在了流表格111中，埠 11基於在流表格111中的用於數據包的流表項處理所述數據包。而且，如果符合的數據包沒有登記在流表格111中，埠 11發送一次數據包到控制器20。埠 11 一次發送到控制器20的未知數據包的內容可以被事先登記為流表格111中的流表項。這裡，當從前端處理器(FEP) 30接收查詢數據包時，埠 11參考流表項111並檢測對應於查詢數據包的流表項是否被登記在流表格111中。查詢數據包是第一查詢數據包，並且對應於所述查詢數據包的流表項沒有被登記在流表格111中。因此，埠 11傳輸查詢數據包到控制器20。當在控制器20中的負載均衡器(LB) 23通過交換機10從前端處理器(FEP) 30接收查詢數據包時，在控制器20中的負載均衡器(LB) 23傳輸所述查詢數據包到防火牆(FW) 22和負載均衡器(LB) 23並處理該數據包。而且，負載均衡器(LB) 23基於負載均衡器(LB) 23的處理結果，在埠 11的流表格111、負載均衡器(LB)33的流表格331、防火牆(FW)32的流表格321中新登記對應於查詢數據包的流表項。例如，負載均衡器(LB) 23傳輸控制命令到交換機10和前端處理器(FEP) 30，其中所述控制命令指示出在各個流表格中新登記對應於查詢數據包的流表項。作為這種控制命令的一個例子，考慮「FlowMod 「」消息，其是一個 來自控制器等的OpenFlow協議消息,並用於在交換機的流表格中登記表項。附加地，在防火牆(FW) 32的流表格321中，負載均衡器(LB) 23可以被設計為通過負載均衡器(LB) 33間接地登記流表項，而不是直接登記流表項。如果流表格321和流表格331相同就沒有問題。而且，在流登記後立刻(或者流登記的同時)，負載均衡器(LB) 23通過交換機10返回查詢數據包到負載均衡器(LB) 33。當在前端處理器(FEP) 30中的負載均衡器33通過交換機10接收到來自控制器20的查詢數據包時，在前端處理器(FEP) 30中的負載均衡器33參考流表格331並檢查對應於查詢數據包的流表項是否被登記在流表格331中。這裡，因為在控制器20中的負載均衡器(LB) 23已經在流表格331中登記了對應於查詢數據包的流表項，負載均衡器(LB) 33傳輸查詢數據包到分配器31。在這時，查詢數據包可以被設計為穿過防火牆(FW)32。分配器31基於應用策略311執行對於上述查詢數據包的策略檢查。接著，如果沒有問題則分配器31傳輸所述查詢數據包到目的地。[查詢數據包的路由I:FW功能和LB功能的單獨處理]。將描述防火牆功能(FW功能)和負載均衡功能(LB功能)被單獨使用(在平行的處理中)的情形。在這種情形下，分配器31單獨地傳輸查詢數據包到防火牆(FW)32和負載均衡器(LB) 23，並單獨地從其各個中接收其結果。因為這個原因，查詢數據包的路由有兩種「分配器31->防火牆(FW) 32->分配器31」和「分配器31->負載均衡器(LB)23(->控制器20->負載均衡器(LB)33 :在不一致的情形下)_>分配器31」。對於查詢數據包穿過這兩種路由的順序，這兩種中的任一個可以是優先的或者這兩種可以是同時的。附帶地，當防火牆(FW) 32丟棄了查詢數據包時，利用例如「來自防火牆(FW) 32的丟棄通知」，「從防火牆(FW) 32沒有回答」等的消息，分配器31理解了該情況，則這一步的處理和之後的處理不被執行。[查詢數據包的路由2=Fff功能和LB功能的連續處理]。將描述防火牆功能(FW功能)和負載均衡功能(LB功能)被連續使用(在順序處理中)的情形。在這種情形下，分配器31傳輸查詢數據包到防火牆(FW)32和負載均衡器(LB)23中的任一個，接收到數據的那個在進行處理之後傳輸查詢數據包到另外的一個(剩餘的那個)，所述另外的一個(剩餘的那個)在處理之後傳輸查詢數據包到分配器31。因為這個原因，所述查詢數據包的路由表示為「分配器31->防火牆(FW) 32->負載均衡器(LB) 23(- >控制器20- >負載均衡器(LB) 23 :在不一致的情況下)_ >分配器31」或者「分配器31- >負載均衡器(LB) 23(- >控制器20- >負載均衡器(LB) 23 :在不一致的情況下)_>防火牆(FW) 32->分配器31」。[另一流程的例子基本流程的改變]。附帶地，上述介紹描述一個例子，其中分配器31在準備了查詢數據包之後發送查詢數據包到防火牆(FW) 32和負載均衡器(LB) 23，並在接收到應答之後執行策略檢查，接著傳輸到目的地。但是，實際上分配器31可以設計為在準備所述查詢數據包之後立即執行策略檢查，並接著傳輸所述查詢數據包到防火牆(FW) 32和負載均衡器(LB) 23。在這種情況下，防火牆(FW) 32和負載均衡器(LB) 23中的一個傳輸所述查詢數據包到目的地。 硬體例子作為交換機10 —個例子，考慮例如路由器、交換集線器、網關、代理等的中繼設備。作為交換機10，可以使用多層交換機。而且，作為控制器20和前端處理器(FEP) 30的一個例子，考慮例如PC (個人電腦)、電器、工作站、主機、超級計算機等的計算設備。交換機10、控制器20和前端處理器(FEP) 30中的每一個具有通信功能。作為獲得通信功能的硬體的一個例子，考慮例如NIC(網絡接口卡)等的網絡適配器、例如天線等的通信設備、例如連接埠(連接器)等的通信埠。而且，作為連接各個設備的網絡的例子，考慮網際網路、LAN(區域網)、無線LAN、WAN(廣域網)、主幹網、有線電視(CATV)線、固定電話網絡、行動電話網絡、WiMAXdEEE 802. 16a)、3G(第三代)、租用線、IrDA (紅外數據組織)、藍牙(註冊商標)、串行連接線、數據總線等。附加地，交換機10、控制器20和前端處理器(FEP)30中的每一個可以是建立在物理機上的虛擬機(VM)。埠 11、防火牆(FW) 12、負載均衡器(LB) 13、作業系統(0S)21、防火牆(FW) 22、負載均衡器(LB) 23、分配器31、防火牆(FW) 32和負載均衡器(LB) 33中的每一個通過使用基於程序運行並執行預定的流程的處理器以及用於保存所述程序和各種數據的存儲器來獲取。作為上述處理器的一個例子，考慮CPU (中央處理單元)、微處理器、微控制器或具有特定功能的半導體集成電路(IC)等。作為上述存儲器的一個例子，考慮例如RAM(隨機存取存儲器)、R0M(只讀存儲器)、EEPR0M(電可擦除可編程只讀存儲器)、快閃記憶體等的半導體存儲設備，或輔助存儲器，例如HDD (硬碟驅動器)、SSD (固態硬碟)等，或例如DVD (數位化通用盤)等的可移動盤，或例如SD存儲卡(安全數字存儲卡)等的存儲媒介。附帶地，上述處理器和上述存儲器可以集成在一起。例如，在最近幾年，一種一體化晶片微計算機等已經被改進。因此，考慮一個例子，該例子中安裝在交換機10、控制器20和前端處理器(FEP) 30的每一個中的單片微計算機包括有處理器和存儲器。
但是，實際的應用場景並不限於那些例子。例子參見圖4A到圖7C，將描述本發明的在不同環境中的例子。這裡，本發明的前端系統包括交換機(核心SW) 10-1、交換機(內嵌SW) 10-2、交換機(邊緣SW) 10-3、控制器20、前端處理器(FEP) 30、客戶端100和伺服器200。交換機(核心SW) 10-1、交換機(內嵌SW) 10-2、交換機(邊緣SW) 10-3中的每一個是交換機10的一種。交換機(核心SW) 10-1、交換機(內嵌SW) 10-2、交換機(邊緣SW) 10-3相互連接。交換機(核心SW) 10-1通過例如網際網路等的外部網絡而連接到客戶端100。交 換機(內嵌SW) 10-2連接到控制器20和前端處理器(FEP) 30。交換機(邊緣SW) 10-3連接到伺服器200。在這時，交換機(核心SW) 10-1、交換機(內嵌SW) 10-2、交換機(邊緣SW) 10-3可以集成在一起。附帶地，較佳地前端處理器(FEP) 30被布置的位置靠近(希望是正好圍繞)外部網絡和控制器20的入口。但是，這不是基本的。即，前端處理器(FEP) 30較佳地是布置為儘可能地靠近交換機(核心SW) 10-1和控制器20這兩個。因此，進一步較佳地是控制器20和前端處理器(FEP) 30集成在一起。在下面的描述中，FW(L4)指明了在L4(層4)級別上防火牆被驅動的環境。LB(L4)指明了在L4(層4)級別上負載均衡器(LB)被驅動的環境。FW(L7)指明了在L7(層7)級別上防火牆(FW)被驅動的環境。LB(L7)指明了在L7(層7)級別上負載均衡器(LB)被驅動的環境。防火牆(FW)和負載均衡器(LB)在L4 (層4)級別上對普通數據包進行處理，並在L7(層7)級別上對查詢數據包進行處理。例子I :防火牆(L4)和負載均衡器(L4)的例子參見圖4A到圖4C，於下將對防火牆(L4)和負載均衡器(L4)的例子進行描述。當防火牆(FW)和負載均衡器(LB)在L4(層4)級別都被驅動時，防火牆(FW)和負載均衡器(LB)在交換機10-1 (核心SW)上被驅動。在這種場合，到前端處理器(FEP)的數據包傳輸不需要了。(I)第一數據包交換機(核心SW) 10-1在通過網絡從客戶端100接收數據包時，如果數據包是第一數據包，就通過交換機10-2(內嵌SW)傳輸數據包到控制器20。在該數據包中，目的地地址(dst)是一個虛擬IP位址(VIP)，源地址(src)是客戶端100的IP位址(clIP)。(2)規則準備控制器20在從交換機(核心sw) 10-1接收數據包時，參考策略資料庫211，並基於虛擬IP位址(VIP)決定需要的處理(L7級別處理的必要性等)，並準備一個對應於數據包的流表項，以寫入到流表格111中。接著，控制器20傳輸控制命令，該命令指令向流表格111新登記一個對應於數據包的流表項。之後或者是同時地，控制器20通過交換機(內嵌Sff) 10-2返回數據包到交換機(核心SW) 10-1。(3)防火牆(L4)，負載均衡器(L4)基於從控制器20來的控制命令，交換機(核心SW) 10-1更新流表格111。而且，交換機(核心SW) 10-1在接收從控制器20返回的數據包或者接收與前述返回的數據包有相同規則的數據包(在更新流表格111後)時，發送該數據包到防火牆(FW) 12和負載均衡器(LB) 13。防火牆12 (Fff)識別L4級別的協議，參考數據包的IP頭和TCP頭，並判斷所述數據包是否被允許通過。負載均衡器(LB) 13識別L4級別的協議，並基於虛擬IP位址(VIP)確定真實的IP位址(伺服器200的IP位址)。在這時，負載均衡器(LB) 13可以查詢負載狀態並確定對應於虛擬IP位址(VIP)的真實IP位址(伺服器200的IP位址)。(4)3WHS (用於伺服器)當數據包沒有被防火牆(FW) 12丟棄，並被負載均衡器(LB) 13分類到伺服器200中時，交換機(核心SW) 10-1通過交換機(邊緣SW) 10-3傳輸數據包到伺服器200。在這時，交換機(核心SW) 10-1和伺服器200基於3WHS (3次握手)流程通過傳輸和接收數據包(包括上述數據包)三次，建立起連接。(5)數據通信 之後，當交換機(核心SW) 10-1接收到具有相同規則數據包時，交換機(核心Sff) 10-1通過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸數據包到伺服器200。例子2 :防火牆(L7)，負載均衡器(L7)的例子參見圖5A到圖5C，於下將對防火牆(L7)和負載均衡器(L7)的例子進行描述。當防火牆(FW)和負載均衡器(LB)在L7 (層7)級別都被驅動時，防火牆(FW)和負載均衡器(LB)在控制器上被驅動。在這種場合，所述前端處理器(FEP)終結TCP會話。而且，前端處理器(FEP)建立到客戶端100側和伺服器側200這兩者的連接。(I)第一數據包交換機(核心SW) 10-1在通過網絡從客戶端100接收數據包時，如果數據包是第一數據包，就通過交換機(內嵌SW) 10-2傳輸數據包到控制器20。在該數據包中，目的地地址(dst)是一個虛擬IP位址(VIP)，源地址(src)是客戶端100的IP位址(cl IP)。(2)規則準備控制器20在從交換機(核心SW) 10-1接收數據包時，參考策略資料庫211，並基於虛擬IP位址(VIP)決定需要的處理(L7級別處理的必要性等)，並準備一個對應於數據包的流表項，以寫入到流表格111中。接著，控制器20傳輸控制命令，該命令指令向流表格111新登記一個對應於數據包的流表項。之後或者是同時地，控制器20通過交換機(內嵌Sff) 10-2返回數據包到交換機(核心SW) 10-1。(3)3WHS(用於 FEP)交換機(核心SW) 10-1基於來自控制器20的控制指令更新流表格111。而且，交換機(核心SW) 10-1通過交換機(內嵌SW) 10-2傳輸所述返回的數據包到前端處理器(FEP)30。之後，交換機(核心SW)10-1接收具有與所述返回數據包相同的規則的數據包時，交換機(核心SW) 10-1通過交換機(內嵌SW) 10-2傳輸數據包到前端處理器(FEP) 30，類似於處理所述返回數據包那樣。這時，交換機(核心SW) 10-1和前端處理器(FEP) 30基於3WHS(3次握手)流程通過傳輸和接收數據包三次建立起連接。(4)數據傳輸在建立起客戶端100和前端處理器(FEP) 30之間的連接之後，前端處理器(FEP) 30終結TCP會話並接收數據包。(5)查詢數據包準備
前端處理器(FEP) 30從所接收的數據包準備查詢數據包。在這時，當所述準備的查詢數據包是第一數據包時，前端處理器(FEP) 30傳輸所述查詢數據包到控制器20。(6)防火牆(L7)，負載均衡器(L7)當控制器20接收查詢數據包時，控制器20傳輸查詢數據包到防火牆(FW) 22和負載均衡器(LB) 23。防火牆(FW) 22識別L7級別的協議，參考查詢數據包的IP包頭和TCP包頭，並判斷查詢數據包是否被準許通過。負載均衡器23 (LB)識別L7級別的協議，並基於虛擬IP位址(VIP)決定真實IP位址(伺服器200的IP位址)。在這時，負載均衡器(LB) 23可以查詢負載狀態並確定對應於虛擬IP位址(VIP)的真實IP位址(伺服器200的IP位址)。(7)第一查詢數據包設置登記當所述查詢數據包沒有被防火牆(FW) 22丟棄並被負載均衡器(LB) 23分發到其為 對應於虛擬IP位址(VIP)的目的地的伺服器200時，控制器20返回查詢數據包到前端處理器(FEP) 30。在這時，控制器20準備對應於查詢數據包的流表項，以寫入到流表格321和流表格331中。接著，控制器20發送控制命令，其中該控制命令指令向流表格321和流表格331新登記對應於查詢數據包的流表項。前端處理器(FEP) 30基於所述來自控制器20的控制命令，更新流表格321和流表格331。(8)3WHS (用於伺服器)而且，前端處理器(FEP) 30通過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸返回的查詢數據包到伺服器200。在這時，前端處理器(FEP) 30和伺服器200基於3WHS (3次握手)流程，通過三次查詢數據包的傳輸和接收建立連接。(9)數據傳輸之後，前端處理器(FEP)30在準備具有相同規則的查詢數據包時，通過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸該查詢數據包到伺服器200。例子3 Fff (L7)，LB (L4)的例子參見圖6A到圖6C，於下將對防火牆(L7)和負載均衡器(L4)的例子進行描述。當防火牆(FW)在L7 (層7)級別被驅動，且負載均衡器(LB)在L4 (層4)級別被驅動時，防火牆(FW)在控制器上被驅動，負載均衡器(LB)在交換機(核心SW) 10-1上被驅動。在這種場合，所述前端處理器(FEP)不終結TCP會話。而且，儘管在客戶端100和伺服器200之間建立了連接，數據包穿過前端處理器(FEP)。(I)第一數據包交換機(核心SW) 10-1在通過網絡從客戶端100接收數據包時，如果數據包是第一數據包，就通過交換機(內嵌SW) 10-2傳輸數據包到控制器20。在該數據包中，目的地地址(dst)是一個虛擬IP位址(VIP)，源地址(src)是客戶端100的IP位址(cl IP)。(2)規則準備控制器20在從交換機(核心SW) 10-1接收數據包時，參考策略資料庫211，並基於虛擬IP位址(VIP)決定需要的處理(L7級別處理的必要性等)，並準備一個對應於數據包的流表項，以寫入到流表格111中。接著，控制器20傳輸控制命令，該命令指令向流表格111新登記一個對應於數據包的流表項。之後或者是同時地，控制器20通過交換機(內嵌Sff) 10-2返回數據包到交換機(核心SW) 10-1。
(3)負載均衡器(L4)交換機(核心SW) 10-1基於來自控制器20的控制命令更新流表格111。而且，交換機(核心SW) 10-1接收從控制器20返回的數據包或者接收與前述返回的數據包有相同規則的數據包(在更新所述流表格111之後)時，交換機(核心SW) 10-1發送數據包到負載均衡器(LB) 13。負載均衡器(LB) 13識別L4級別的協議，基於虛擬IP位址(VIP)決定真實IP位址(伺服器200的IP位址)，並改變所述數據包的路由為經過前端處理器(FEP) 30的路由。例如，在LB(L4)的例子中，基於用戶設置指定的算法(輪叫、最小響應時間等)，確定分散目標的伺服器(多個伺服器中的一個)，並且設置客戶端和FEP之間的路徑以及FEP和伺服器之間的路徑(流表項)。在這時，負載均衡器(LB) 13可以查詢負載狀態並決定對應於虛擬IP位址(VIP)的真實IP位址(伺服器200的IP位址)。(4)3WHS (用於伺服器)交換機(核心SW) 10-1通過交換機(內嵌SW) 10-2、前端處理器(FEP) 30和交換機 (邊緣SW) 10-3傳輸數據包到伺服器200，並傳輸來自伺服器200的應答到客戶端100。而且，交換機(核心SW) 10-1通過交換機(內嵌SW) 10-2、前端處理器(FEP) 30和交換機(邊緣SW) 10-3傳輸具有相同規則的數據包到伺服器200。在這時，交換機(核心SW) 10-1基於3WHS (3次握手)的流程中繼所述數據包，並通過在客戶端100和伺服器200之間執行三次數據包，其中包括第一數據包，的傳輸和接收，建立在客戶端100和伺服器200之間的連接。(5)數據傳輸前端處理器(FEP) 30在建立在客戶端100和伺服器200之間的連接時，接收穿過前端處理器(FEP) 30的數據包。(6)查詢數據包的準備前端處理器(FEP) 30從所述接收的數據包中準備查詢數據包。在這時，當所準備的查詢數據包是第一數據包時，前端處理器(FEP) 30發送所述查詢數據包到控制器20。(7)Fff(L7)當接收查詢數據包時，控制器20傳輸所述查詢數據包到防火牆(FW) 22。防火牆(Fff) 22識別L7級別的協議，並參考所述查詢數據包的IP包頭和TCP包頭，並判斷所述查詢數據包是否被允許通過。(8)第一查詢數據包設置登記當所述查詢數據包沒有被防火牆(FW) 22丟棄時，控制器20返回所述查詢數據包到前端處理器(FEP)30。在這時，控制器20準備對應於查詢數據包的流表項，以寫入到流表格321和流表格331。接著，控制器20發送控制命令，其中該控制命令指令向流表格321和流表格331新登記對應於查詢數據包的流表項。前端處理器(FEP) 30基於所述來自控制器20的控制命令，更新流表格321和流表格331。(9)數據通信而且，前端處理器(FEP) 30通過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸從控制器20返回的查詢數據包和帶有相同規則的查詢數據包到伺服器200。附帶地，從伺服器200來的應答可以不經前端處理器(FEP) 30而傳輸。例子4 :防火牆(L4)，負載均衡器(L7)的例子參見圖7A到圖7C，於下將對防火牆(L4)和負載均衡器(L7)的例子進行描述。
當防火牆(FW)在L4(層4)級別被驅動，且負載均衡器(LB)在L7 (層7)級別被驅動時，防火牆(FW)和負載均衡器(LB)在控制器上被驅動。在這種場合，所述前端處理器(FEP)終結TCP會話。而且，前端處理器(FEP)建立到客戶端100側和伺服器200側這兩個的連接。附帶地，實際上防火牆(FW)可以在交換機(核心SW) 10-1上被驅動。這種情況下的操作等於在例子I中的防火牆(FW)的操作。(I)第一數據包交換機(核心SW) 10-1在通過網絡從客戶端100接收數據包時，如果數據包是第一數據包，就通過交換機(內嵌SW) 10-2傳輸數據包到控制器20。在該數據包中，目的地地址(dst)是一個虛擬IP位址(VIP)，源地址(src)是客戶端100的IP位址(cl IP)。(2)防火牆(L4)控制器20在從交換機(核心SW) 10-1接收數據包時，傳輸所述數據包到防火牆(Fff) 22。防火牆(FW) 22識別L4級別的協議，並參考所述數據包的IP包頭和TCP包頭，並判斷所述數據包是否被允許通過。(3)規則準備在數據包沒有被防火牆(FW) 22丟棄時，控制器20參考策略資料庫211，並基於虛擬IP位址(VIP)決定需要的處理(L7級別處理的必要性等)，並準備一個對應於數據包的流表項，以寫入到流表格111中。控制器20傳輸控制命令，該命令指令向流表格111新登記一個對應於數據包的流表項。之後或者是同時地，控制器20通過交換機(內嵌SW) 10-2返回數據包到交換機(核心SW) 10-1。而且，當數據包被防火牆(FW) 22丟棄時，控制器20傳輸控制命令，其中該控制命令指令向流表格111新登記流表項以丟棄帶有與所述數據包具有相同規則的數據包。附帶地，用以丟棄與所述第一數據包具有相同規則的數據包的流表項被登記在流表格111中時，交換機(核心SW) 10-1丟棄所有的具有相同規則的後續數據包而不轉發。也就是說，其上和其後的流程不會被執行。(4)3WHS(用於 FEP)基於從控制器20來的控制命令，交換機(核心SW) 10-1更新流表格111。之後，交換機(核心SW) 10-1經過交換機(內嵌SW) 10-2和控制器20傳輸所述返回的數據包到前端處理器(FEP) 30，並傳輸來自前端處理器(FEP) 30的應答到客戶端100。而且，交換機(核心SW) 10-1在接收帶有相同規則的數據包時，相似地經交換機(內嵌SW) 10-2傳輸到前端處理器(FEP) 30。在這時，交換機(核心SW) 10-1和前端處理器30 (FEP)基於3WHS (3次握手)流程通過執行三次數據包的發送和接收來建立連接。(5)數據傳輸在建立客戶端100和前端處理器(FEP) 30之間的連接之後，前端處理器(FEP) 30終結TCP會話並接收數據包。(6)查詢數據包準備前端處理器(FEP) 30從所接收的數據包中準備查詢數據包，並發送所述查詢數據包到控制器20。(7)負載均衡器(L7)當接收查詢數據包時，控制器20傳輸所述查詢數據包到負載均衡器23 (LB)。負載均衡器(LB) 23識別L7級別的協議，並基於虛擬IP位址(VIP)確定真實IP位址(伺服器200的IP位址)。在這時，負載均衡器(LB) 23可以查詢負載狀態並確定對應於虛擬IP位址(VIP)的真實IP位址(伺服器200的IP位址)。當所述查詢數據包被負載均衡器(LB)分發到其為對應於虛擬IP位址(VIP)的目的地的伺服器200時，控制器20返回查詢數據包到前端處理器(FEP) 30。(8)第一數據包設置登記在這時，控制器20準備對應於所述查詢數據包的流表項，以寫入到流表格321和流表格331中。接著，控制器20發送控制命令，其中該命令指令向流表格321和流表格331新登記一個對應於查詢數據包的流表項。前端處理器(FEP) 30基於來自控制器20的控制命令更新流表格321和流表格331。(9)3WHS (用於伺服器)而且，在流表項中登記所述返回的查詢數據包後，前端處理器(FEP)30經過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸返回的查詢數據包到伺服器200。在這時， 前端處理器(FEP) 30和伺服器200基於3WHS(3次握手)流程通過數據包三次的發送和接收建立起連接。(10)數據傳輸之後，在前端處理器(FEP) 30準備帶有相同規則的查詢數據包時，前端處理器(FEP) 30經過交換機(內嵌SW) 10-2和交換機(邊緣SW) 10-3傳輸所述查詢數據包到伺服器 200。防火牆功能和負載均衡器功能的結合參見圖8，於下將進行防火牆(FW)功能和負載均衡器(LB)功能的結合的描述。在一個應用策略中，當防火牆(FW)、負載均衡器(LB)或者這兩者都在L4(層4)級別被驅動時，它們可以在交換機10上被處理。當負載均衡器(LB)在L7 (層7)級別上被驅動時，TCP會話被設計為在前端處理器(FEP)處終結。這是為了準備查詢數據包，並執行對查詢數據包的負載均衡。當防火牆(FW)在L7(層7)級別上被驅動時，除去上述的情形，數據包被設計為通過前端處理器(FEP)。這是因為查詢數據包需要被準備。在這時，當負載均衡器(LB)在L4(層4)級別上被驅動時，負載均衡器(LB)功能可以在交換機10中處理。附帶地，作為替代，控制器20可以執行在交換機10上的處理。〈數據圖〉於下將描述在本發明中使用的數據圖。[策略資料庫拓撲信息圖]圖9是保存在策略資料庫211中的拓撲信息的圖。拓撲信息具有目的地地址、協議、埠號和各種應用信息。所述目的地地址是一個傳輸目的地(目的地)的IP位址。所述協議是指明了協議分類(例如[http]，[https]，[FTP]等)的信息。所述埠號是在IP位址之下提供的副(附加的)地址，例如[80]、[443]等。所述各種應用信息是指明了防火牆(FW)功能、負載均衡器(LB)功能、這些被驅動的結構(層)是否是L4(層4)級別或者L7(層7)級別的信
肩、O在控制器20中的作業系統(OS) 21在接收數據包時參考策略資料庫211，並通知在合適的結構中的合適的防火牆(FW)功能和負載均衡器(LB)功能。流表格10是流表格的圖，例如流表格111、流表格321和流表格331等。流表格具有處理標記，⑴傳輸源IP，⑵傳輸源埠，⑶目的地IP，⑷目的地埠，和(5)淨負載和(6)動作。這裡，⑴傳輸源IP到(5)淨負載都是使用為流規則的項目。所述處理標記是指示了(I)傳輸源IP到(5)淨負載中哪一個被稱為流規則的標記。也就是說，設置用於處理標記的項目被用作流規則。至於⑴傳輸源IP，⑵傳輸源埠，⑶目的地IP，⑷目的地埠，它們的描述被省略。
這裡，(5)淨負載對應於所接收數據的用戶數據部分。例如，(5)淨負載保存「URL(統一資源定位器)」、「Cookie信息」、「腳本」等的各個信息的一部分或者所有。此外，(6)動作指明了當所有的設置用於處理標記的項目(處理標記的條件)滿足時，在所接收數據包上執行的處理。例如，諸如「通過」、「丟棄」等的處理設置用於(6)動作。交換機10、控制器20和前端處理器(FEP) 30針對設置用於處理標記的項目(處理標記的條件)，參考所接收數據包的包頭信息的合適欄位。如果與登記在流表格中的信息相匹配(相符)，它們執行針對對應於處理標記的(6)動作而設置的處理。作為處理的最高級別，如果與⑴傳輸源IP到(5)淨負載中所有都匹配，交換機10、控制器20和前端處理器(FEP) 30允許數據包的傳輸。作為處理的最低級別，如果與⑴傳輸源IP到(5)淨負載中的任何都不匹配，交換機10、控制器20和前端處理器(FEP) 30無條件地丟棄數據包。查詢數據包的11是查詢數據包的圖。作為一實際的傳送圖，通常的數據包具有IP包頭、TCP包頭和淨負載。在當前的網絡系統中，長數據被劃分成多個數據包並被傳輸，其中各個數據包具有預定的數據長度。這些按照預定數據長度劃分的數據被存儲在淨負載中。也就是說，這些數據包中，數據包的數量等於被劃分數據的數量。存儲在數據包組的淨負載中的整個數據變成一個消息。而且，屬於數據包組的數據包具有相同的傳輸源和目的地。因此，所有的存儲在IP包頭和TCP包頭中的信息變得相同。查詢數據包具有IP信息、TCP信息和淨負載。僅僅是需要的信息，例如IP位址、埠號等(其是從通常數據包的IP包頭和TCP包頭中提取出來的信息)，被存儲在IP信息和TCP信息中。而且，僅僅從被劃分數據恢復的消息中提取的需要信息被保存在淨負載中。例如，在web訪問中，URL由一種信息、伺服器名、埠號、文件夾名、文件名、Cookie信息等所構成。接著，URL被以預定的數據長度劃分，並被存儲在通常的數據包中。僅僅當需要在URL中的cookie信息時，僅cookie信息被從URL中提取出來並存儲在所述查詢數據包的淨負載中，其中所述URL是曾經從數據包組中恢復來的。負載均衡的圖 於下將描述在本發明中執行的負載均衡的圖。
[在FEP和FEP之間的負載均衡]圖12是在FEP和FEP之間的負載均衡的圖。這裡，顯示了三個前端處理器(FEP)。單個的前端處理器(FEP)包括分配器負載均衡器(分配器LB)、分配器、防火牆(FW)和負載均衡器(LB)。但是，真實的情況不限於那些例子。分配器負載均衡器(分配器LB)查看各個FEP的分配器的負載狀態，執行負載均衡，並分配處理到合適FEP的分配器。分配器負載均衡器(分配器LB)可以使其自己FEP的或者其它FEP的負載均衡器(LB)。附帶地，在圖12中，前端處理器(FEP)包括分配器負載均衡器(分配器LB)。實際上，分配器負載均衡器(分配器LB)可以是如圖3所示的交換機10的負載均衡器(LB) 13或者控制器20的負載均衡器(LB) 23。 分配器、防火牆(FW)和負載均衡器(LB)分別與於圖3所示的分配器31、防火牆(Fff) 32和負載均衡器(LB) 33相同。分配器查看在各個FEP中的防火牆(FW)和負載均衡器(LB)的負載狀態，執行負載均衡，並分配處理到合適FEP的防火牆(FW)或負載均衡器(LB)。附帶地，分配器不是查看防火牆(FW)或者負載均衡器(LB)中的單元而是查看各個FEP的硬體單元中的負載狀態，並啟動在相對低負載的FEP中的必需的功能性模塊，例如防火牆(FW)、負載均衡器(LB)等。[控制器和FEP之間的負載均衡]附帶地，在上面提及的示範性實施例和各個例子中，傳輸第一查詢數據包到控制器20的前端控制器(FEP) 30和接收來自控制器20的應答的前端控制器(FEP) 30不是一直都相同的。這是因為有可能不同於傳輸源的FEP的FEP被選中作為接下來被控制器20中的負載均衡器(LB) 23所使用的FEP。儘管參考示範性實施例對本發明進行了特定的展示和描述，本發明並不限於這些示範性實施例。本領域的普通技術人員應該理解的是在不脫離由權利要求所定義的本發明的精神和範圍情況下，可以做出各種形式和細節上的改變。本申請基於並主張日本專利申請No. 2010-017960的優先權權益，並且日本專利申請No. 2010-017960的揭示通過引用整體地被合併於此。
權利要求
1.一種如端系統，包括 交換機，其配置為中繼數據包； 控制器，其配置為通過控制所述交換機確定新通信路由； 前端處理器，其配置為通過所述交換機連接到所述控制器，其中所述前端處理器包括 分配器，其配置為收集所述數據包，通過從收集的數據包組中僅抽取需要的信息來準備對應於層7級別協議的查詢數據包，基於應用策略對所述查詢數據包執行策略檢測，並傳輸所述查詢數據包到目的地； 防火牆，其配置為識別層7級別協議，並確定所述查詢數據包是否被允許通過；以及負載均衡器，其被配置為識別層7級別協議，基於網絡的負載狀態執行對所述查詢數據包的負載均衡，如果所述查詢數據包是第一查詢數據包並且核實該查詢數據包的路由，則通過所述交換機傳輸所述查詢數據包到所述控制器。
2.依據權利要求I所述的前端系統，其中所述分配器查詢在包括所述前端處理器的多個前端處理器中的每一個中的硬體單元的負載狀態，執行啟動在最優前端處理器上的所述防火牆和所述負載均衡器的處理，並傳輸所述查詢數據包到所述防火牆和所述負載均衡器。
3.依據權利要求I或2所述的前端系統，其中所述控制器從所述前端處理器接收所述查詢數據包，查詢在包括所述前端處理器的多個前端處理器中的每一個中的硬體單元的負載狀態，並返回所述查詢數據包到最優前端處理器。
4.依據權利要求I到3中任一權利要求所述的前端系統，其中所述交換機包括埠，其配置為當所述數據包是第一數據包時傳輸所述數據包到所述控制器，核實用於所述數據包的規則和動作，並基於所述用於所述數據包的規則和動作傳輸所述數據包；L4防火牆，其配置為識別層4級別協議，並確定所述數據包是否被允許通過；以及L4負載均衡器，其配置為識別層4級別協議，並基於網絡的負載狀態執行對所述數據包的負載均衡； 其中所述交換機驅動所述L4防火牆和所述L4負載均衡器，確定所述數據包是否被允許通過，執行對所述數據包的負載均衡，而不傳輸所述數據包到所述前端處理器，以使得所述前端處理器上的處理變得不需要。
5.依據權利要求I到3中任一權利要求所述的前端系統，其中所述前端處理器通過所述交換機終結TCP (傳輸控制協議)會話，收集所述數據包，通過從收集的數據包組中僅抽取需要的信息來準備所述查詢數據包，並傳輸所述查詢數據包到所述控制器；以及 其中所述控制器包括 作業系統，其配置為從所述交換機接收所述數據包，參考整個網絡的拓撲信息確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作； L7防火牆，其配置為識別層7級別協議，並確定所述查詢數據包是否被允許通過；以及L7負載均衡器，其配置為識別層7級別協議，並基於網絡的負載狀態執行對於所述查詢數據包的負載均衡。
6.依據權利要求I到3中任一權利要求所述的前端系統，其中所述交換機包括 埠，其配置為當所述數據包是第一數據包時傳輸所述數據包到所述控制器，核實用於所述數據包的規則和動作，並基於所述用於所述數據包的規則和動作傳輸所述數據包；以及 L4負載均衡器，其配置為識別層4級別協議，並基於網絡的負載狀態執行對所述數據包的負載均衡； 其中所述控制器包括 作業系統，其配置為從所述交換機接收所述數據包，參考整個網絡的拓撲信息確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作； L7防火牆，其配置為識別層7級別協議，並確定所述查詢數據包是否被允許通過； 其中所述交換機驅動所述L4負載均衡器，將所述數據包的路由改變為通過所述前端處理器的路由，並傳輸所述數據包到所述前端處理器；以及 其中所述控制器從所述前端處理器接收所述查詢數據包，驅動所述L7防火牆，並確定所述查詢數據包是否被允許通過。
7.依據權利要求I到3中任一權利要求所述的前端系統，其中所述控制器包括 L4防火牆，其配置為識別層4級別協議，從所述交換機接收所述數據包，確定所述數據包是否被允許通過；並且在所述數據包的通過被限制時丟棄所述數據包，並將丟棄具有與所述數據包相同規則的數據包的指令通知到所述交換機； 作業系統，其配置為參考整個網絡的拓撲信息，接收來自所述L4防火牆的數據包，接收來自所述交換機的數據包，確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作；以及 L7負載均衡器，其配置為識別層7級別協議，接收來自所述前端處理器的所述查詢數據包，並執行對所述查詢數據包的負載均衡； 其中所述前端處理器通過所述交換機終結TCP (傳輸控制協議)會話，收集所述數據包,通過從收集的數據包組中僅抽取需要的信息來準備所述查詢數據包,並傳輸所述查詢數據包到所述控制器。
8.一種計算機器，其用作依據權利要求I到3中的任一權利要求所述的前端系統中的交換機、控制器和前端處理器中的至少一種。
9.一種前端處理方法,包括 通過中繼數據包的交換機連接前端處理器到控制器，其中所述控制器通過控制所述交換機確定新通信路由； 由所述前端處理器上的分配器收集所述數據包，並通過從收集的數據包組中僅抽取需要的信息來準備對應於層7級別協議的查詢數據包； 由在所述前端處理器上的識別層7級別協議的防火牆確定所述查詢數據包是否被允許通過； 由在所述前端處理器上的識別層7級別協議的負載均衡器基於網絡的負載狀態執行對所述查詢數據包的負載均衡，並且如果所述查詢數據包是第一查詢數據包並且核實所述查詢數據包的路由時，通過所述交換機傳輸所述查詢數據包到所述控制器；以及 由所述前端處理器上的分配器基於應用策略執行對於所述查詢數據包的策略檢查，並傳輸所述查詢數據包到目的地。
10.依據權利要求9所述的前端處理方法，進一步包括由所述前端處理器上的分配器查詢在包括所述前端處理器的多個前端處理器中的每一個中的硬體單元的負載狀態，執行啟動在最優前端處理器上的所述防火牆和所述負載均衡器的操作，並傳輸所述查詢數據包到所述防火牆和所述負載均衡器。
11.依據權利要求9或10所述的前端處理方法，進一步包括 由所述控制器接收來自所述前端處理器的所述查詢數據包，查詢在包括所述前端處理器的多個前端處理器中的每一個中的硬體單元的負載狀態，並返回所述查詢數據包到最優的前端處理器。
12.依據權利要求9到11中的任一權利要求所述的前端處理方法，進一步包括 由所述交換機在所述數據包是第一數據包時傳輸所述數據包到所述控制器，檢查用於所述數據包的規則和動作，並基於所述用於所述數據包的規則和動作傳輸所述數據包； 由在所述交換機上的識別層4級別協議的L4防火牆確定所述數據包是否被允許通過； 由識別層4級別協議的L4負載均衡器基於網絡的負載狀態執行對於所述數據包的負載均衡；並且 由所述交換機驅動所述L4防火牆和所述L4負載均衡器，確定所述數據包是否被允許通過，並執行對所述數據包的負載均衡，而不傳輸所述數據包到所述前端處理器，以使得所述前端處理器上的處理變得不需要。
13.依據權利要求9到11中的任一權利要求所述的前端處理方法，進一步包括 由所述控制器上的作業系統從所述交換機接收所述數據包，參考整個網絡的拓撲信息確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作； 由所述前端處理器通過所述交換機終結TCP (傳輸控制協議)會話，收集所述數據包，通過從收集的數據包組中僅抽取需要的信息來準備所述查詢數據包,並傳輸所述查詢數據包到所述控制器；以及 由在所述控制器上的識別層7級別協議的L 7防火牆確定所述查詢數據包是否被允許通過；和 由在所述控制器上的識別層7級別協議的L7負載均衡器基於網絡的負載狀態執行對所述查詢數據包的負載均衡。
14.依據權利要求9到11中的任一權利要求所述的前端處理方法，進一步包括 由所述交換機在所述數據包是第一數據包時傳輸所述數據包到所述控制器，檢查用於所述數據包的規則和動作，並基於所述用於數據包的規則和動作傳輸所述數據包； 由所述控制器的作業系統從所述交換機接收所述數據包，參考整個網絡的拓撲信息確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作； 由在所述交換機上的識別層4級別的協議的L4負載均衡器基於網絡的負載狀態執行對於所述數據包的負載均衡； 由所述交換機驅動所述L4負載均衡器，將所述數據包的路由改變為通過所述前端處理器的路由，並發送所述數據包到所述前端處理器； 由所述控制器接收來自所述前端處理器的所述查詢數據包；和由在所述控制器上的識別層7級別協議的L7防火牆確定所述查詢數據包是否被允許通過。
15.依據權利要求9到11中的任一權利要求所述的前端處理方法，進一步包括 由在所述控制器上的識別層4級別協議的L4防火牆從所述交換機接收數據包，確定所述數據包是否被允許通過，並在所述數據包被限制時丟棄所述數據包，並將丟棄具有與所述數據包相同規則的數據包的指令通知到所述交換機； 由所述控制器的作業系統參考整個網絡的拓撲信息，從所述L4防火牆接收所述數據包，並從所述交換機接收所述數據包，確定用於所述數據包的規則和動作，並向所述交換機通知所述確定的規則和動作；以及 由所述前端處理器通過所述交換機終結TCP (傳輸控制協議)會話，收集所述數據包，通過從收集的數據包組中僅抽取需要的信息來準備所述查詢數據包,並傳輸所述查詢數據包到所述控制器；以及 由在所述控制器上的識別層7級別協議的L7負載均衡器從所述前端處理器接收所述查詢數據包，並執行對所述查詢數據包的負載均衡。
16.一種記錄介質，其記錄有用於在計算機器上執行依據權利要求9到11中任一權利要求的前端處理方法的程序，其中所述計算機器作為交換機、控制器和前端處理器中的至少一個而工作。
全文摘要
在前端系統中，其中具有多個中繼設備，可以改進端到端的性能，並且可以針對每個策略建立靈活的網絡。具體地說，通過靠近通向外部網絡的網關的交換機提供前端處理器，其中所述前端處理器具有識別L7(層7)級別協議的防火牆(FW)和負載均衡器(LB)，整合了L7(層7)處理。
文檔編號H04L12/56GK102763382SQ20118000773
公開日2012年10月31日 申請日期2011年1月21日 優先權日2010年1月29日
發明者中島剛 申請人:日本電氣株式會社