[发明专利]网络设备中的会话创建方法及会话创建装置

说明书

技术领域

本发明涉及一种网络设备中的会话创建方法及会话创建装置，更详细地说，涉及利用会话模板来创建会话的网络设备中的会话创建方法及会话创建装置。

背景技术

随着网络应用迅猛发展，对网络设备的网速的需求也是越来越高。网络安全设备部署在网关的边界，在网络中起到阀门的作用，其新建连接的速率直接影响到整个网络拓扑的吞吐量。

通常，使用指标新建连接速率(CPS：Connections Per Second)来衡量网络安全设备的性能，该指标主要体现了设备对于连接请求的实时反应能力，当设备可以更快的处理连接请求，而且可以更快传输数据的话,网络中的并发连接数会减小，从而设备压力也会减小，用户感受到的性能也就越好。

在当前X86体系的网络安全产品中，基本都采用基于会话连接表的方法处理网络流量，其中，在会话表建立后，后续的数据包将通过查找对应的会话表项,并利用会话表项信息快速处理或转发。

图1是表示在网络设备中利用现有的会话创建方法创建会话并转发数据包的流程图。如图1所示，首先，网络设备（例如网卡等）接收要转发的数据包（步骤1010），接着对该数据包进行合法性检查（步骤1020）。然后，通过提取该数据包中的各种信息，构成用于在会话表中查找对应的会话的会话键值，再根据该会话键值在会话表中查找对应的会话（步骤1030）。然后，判断在该会话表中是否存在与该会话键值对应的会话（步骤1040），如果该会话表中存在对应的会话，则不需要进行会话创建过程；否则，如果该会话表中不存在对应的会话，则进行通常的会话创建工作（步骤1050）来创建会话。

通常的会话创建过程如图2所示，包括如下步骤：IP MAC地址邦定（步骤2010），地址黑名单过滤（步骤2010），攻击防御处理（步骤2030），二层或三层转发判断（步骤2050），判断为二层转发时的CAM表查询（步骤2060）及IP包过滤（步骤2070），判断为三层转发时的目的地址转化DNAT（步骤2080）、路由查找（步骤2090）、IP包过滤（步骤2100）以及源头地址转化SNAT（步骤2110），应用控制（步骤2120）和深度检测（步骤2130）等步骤。在此示出的通常的会话创建过程仅是公知技术的一个示例而已，也可以采用其它现有的会话创建方法。

接着，检测网络拓扑是否发生变化（步骤1060），再进行NAT转化及QOS控制（步骤1070）等工作之后，通过网络设备发送数据包。

在如上所述的会话创建过程中执行的各个步骤的功能逻辑复杂、耗时较长，会极大影响设备的新建连接速率。而且，随着网络安全类产品向应用层延伸，在如图2所示的会话创建过程中还会添加越来越多的功能模块，导致创建会话的时间越来越长，对网络设备的转发性能的影响非常大。

因此，需要一种能够极大地缩短创建会话所需的时间，从而提高转发性能的网络设备。

发明内容

本发明是鉴于上述现有技术中存在的问题而做出，其目的在于提供一种基于会话模板的会话创建方法，能够极大地缩短创建会话所需的时间，提高网络设备的数据包转发性能。

为了实现上述目的，本发明涉及的一种网络设备中的会话创建方法，其包括以下步骤：基于接收到的数据包，分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值；判断是否存在与上述模板键值对应的会话模板；如果存在与上述模板键值对应的会话模板，则利用上述会话模板创建会话；否则，直接利用所述会话键值进行会话查找，如查找不到则进行会话创建，并且依据所创建的上述会话创建新的会话模板。

此外，还可以包括以下步骤：在判断是否存在与上述模板键值对应的会话模板之前，根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类，然后在查找出的上述会话模板分类中，判断是否存在与上述模板键值对应的会话模板；在依据上述会话创建新的会话模板之后，根据当前的网络配置条件将上述会话模板分类。

此外，还可以包括以下步骤：随时监测上述网络配置条件是否发生变化，如果发生变化且影响与其对应的会话模板的正确性，则删除对应的全部会话模板。

此外，还可以是，所述会话模板中至少包括包含模板键值、网络配置条件、模板信息以及模板限制信息。其中，也可以是，上述模板键值包含来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息中的一种以上；上述网络配置信息包含配置的访问策略、应用控制规则中的一种以上。