[发明专利]传送数据包的网络装置、网络装置集群和方法

说明书

技术领域

本发明涉及一种网络系统，特别是涉及一种传送数据包的网络装置、网络装置集群和方法。

背景技术

计算机系统或网络中的防火墙用于阻止未经授权的访问及允许授权的通信。在计算机网络中，负载均衡是一种为两个或多个防火墙分配工作量的技术，以增加资源利用率、提高吞吐量及降低响应时间等。负载均衡的服务可由专用硬件设备，如负载均衡器或路由器提供。

图1所示为现有技术中的网络系统100。网络系统100包括耦合于防火墙106和108的负载均衡器102和104。负载均衡器102或104可均衡防火墙106和108之间的通信流量以避免一个防火墙通过过多的流量。然而，负载均衡器102和104会增加网络系统100的成本。此外，防火墙106或108可包括状态表，用于支持基于状态的功能。状态表存储了已经建立的通信会话(existingcommunication session)，例如：因特网110与局域网(local areanetwork，LAN)122和124之间的会话。如果通过检索状态表判定接收到的数据包属于一个已经建立的通信会话，防火墙106或108可允许该数据包通过。负载均衡器102或104对每一个接收到的数据包执行负载均衡算法，并决定是将该数据包分配给防火墙106还是分配给防火墙108。因此，同一通信会话的数据包可被分配给不同的防火墙，从而降低了网络系统100的效率。

图2所示为现有技术中的另一网络系统200。网络系统200包括可支持虚拟路由器冗余协议(virtual router redundancyprotocol，VRRP)的路由器210和212。路由器210和212可对防火墙206和208进行负载均衡。路由器210和212需要根据用户的设置来配置相关的网关地址。由此，一个路由器可传送数据包到一个指定的防火墙。例如，路由器210可被配置以传送数据包到防火墙206，且路由器212可被配置以传送数据包到防火墙208。一旦网关地址被设定，数据包的传输路径就被固定下来。也就是说，路由器可能需要重新配置以改变数据包的传输路径。因此，防火墙206和208的负载均衡缺乏灵活性。此外，如果网络系统中没有此类路由器，则无法进行负载均衡。

发明内容

本发明要解决的技术问题在于提供一种传送数据包的网络装置、网络装置集群和方法，以提高网络系统的效率。

为解决上述技术问题，本发明提供了一种网络装置集群，用于将通信会话的多个数据包传送给网络节点。网络装置集群包括：主单元和次单元。主单元耦合于次单元。主单元用于接收包括第一数据包和多个后续数据包的多个数据包，且根据第一数据包产生表示该通信会话的会话数据集，并根据第一数据包产生表示第一数据包是分配给主单元还是次单元的均衡数据集，再根据会话数据集判定后续数据包属于通信会话。网络装置集群根据均衡数据集将后续数据包从主单元传送到网络节点。

本发明所述的网络装置集群，所述网络装置集群通过将所述多个数据包的源网络地址改为所述主单元的网络地址，并将所述多个数据包的目的网络地址改为所述次单元的网络地址以将所述多个数据包传送到所述次单元。

本发明所述的网络装置集群，所述次单元包括：会话模块，用于当所述均衡数据集表示所述第一数据包是被分配给所述次单元时接收所述多个数据包；及耦合于所述会话模块的防火墙模块，用于根据多个过滤规则过滤所述第一数据包，如果根据所述过滤规则判定所述第一数据包是授权数据包，则将所述多个数据包从所述次单元传送到所述网络节点。

本发明所述的网络装置集群，所述次单元包括：会话模块，用于当所述均衡数据集表示所述第一数据包是被分配给所述次单元时接收所述多个数据包；及耦合于所述会话模块的防火墙模块，用于根据多个过滤规则过滤所述多个数据包，并当根据所述过滤规则判定所述通信会话是非授权会话时，丢弃所述多个数据包。

本发明所述的网络装置集群，所述次单元包括：内容分析模块，用于当所述均衡数据集表示所述第一数据包是被分配给所述次单元时，关联所述多个数据包以分析所述通信会话的内容。

本发明所述的网络装置集群，所述主单元包括：内容分析模块，用于当所述均衡数据集表示所述第一数据包是被分配给所述主单元时，关联所述多个数据包以分析所述通信会话的内容。

本发明所述的网络装置集群，所述主单元包括防火墙模块，用于根据多个过滤规则过滤所述第一数据包，其中，当根据所述过滤规则判定所述第一数据包是授权数据包时，所述主单元产生所述会话数据集和所述均衡数据集。