[发明专利]一种分布式网络设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种分布式网络设备。

背景技术

随着网络规模的扩大和网络流量的增加，组网日益复杂化。对于网络的管理运营来说，既要提供高速网络，又要保证网络的安全，传统网络架构逐渐受到实际应用的严峻挑战。

在大型网络中，骨干链路要对报文的网络转发、网络应用处理和网络安全处理同时做出保障，每一项都要求有专门的设备或功能模块来实现。所谓网络转发覆盖通常是指网络中由路由表项、访问控制规则、报文过滤规则、ARP表项等组成的数据链路层及网络层报文的报文转发。此处网络应用是指针对网络中报文流量的应用处理，比如报文审计、网络地址转化NAT以及流量分析业务等。此处网络安全通常是指对网络流量的安全防护业务（也是一种广义的网络应用业务），包括入侵防御检测IPS、防病毒以及防范分布式拒绝服务攻击DDoS等。为了实现上述三重保障，现有技术中有三种典型的实现方案。

方案一：请参考图1，在最为传统的方式中，可以将各种功能的网络设备串接在网络中，以同时实现流量转发和信息安全。该方案中各种网络设备包括交换机、路由器；网络安全设备包括FW（防火墙）、IPS、UAG（统一审计网关）、ADX（应用交付网关）等。为实现对局域网与广域网间的流量作流量审计、安全防御、网络转发处理，该方案需要使报文流量经过依次流过路由器RT、UAG、IPS以及FW。如果特定的用户报文流量不需要或不允许作某种处理，则需要在对应功能所在的设备上，通过启用包过滤表项或其它类似方式，将特定用户的流量作旁路bypass处理。该方案中每个设备上都要管理人员进行配置，连线多而复杂，故障点多，易出错。为了防范单点故障，通常还需要应用VRRP等协议防护。在出现故障时，维护人员通常需要一台一台地连接访问，查找故障源，如果各设备的生产厂家不同，还需要组织各厂家技术人员联合处理，故障定位分析困难且步骤繁琐。此外该方案不仅提高了客户的采购成本和维护成本，还占用大量空间，消耗更多电力资源，是目前比较落后的一种实现方案。

方案二：请参考图2，为了简化部署，可以使用同时具有流量转发和安全保障功能的集中式设备，如UTM（统一威胁管理）。该方案的缺点是单台盒式设备硬件性能低，处理能力弱，各项安全业务和应用均无法做到高效率和高专业性，对网络负荷的承载力低，防御网络攻击的能力很弱，无法满足运营级用户或者企业级高端用户对安全和应用的需求。

方案三：请参考图3以及图4，在方案一和方案二的基础上，已有厂商推出框式松耦合设备，比如基于OAA开放应用平台的框式松耦合设备，该技术可以将各种类型的设备改造成对应的板卡，然后插入同一个机框的不同插槽中，通过内部连线实现板卡间报文流量转发。流量从某一业务板的接口流入，依次经过各块板卡，完成所有业务处理后从最后一块板卡的接口流出。流量在设备内部仍然是串行处理，对每块板卡来说，其它板卡和第一种方案中的其它设备没有区别。从物理上来看，方案三中的框式松耦合设备是一个设备，但事实上其只是所有板卡共用电源、共用机框。从网管系统上看，每块板卡仍然是一个独立的网络设备，均需要独立的管理IP地址和管理界面，各个设备独立存储和备份配置文件。这种技术方案除了配置复杂以外，还存在如下缺点：各业务板卡独立运行，相互只是简单串接在一起，逻辑上和第一种方案的组网方式没有区别，方案一的很多问题其同样继承。此外，由于物理形态上与方案一已经不同，方案三中每块板卡均需配置用于引流的静态路由或策略路由，这些都需要管理员手动来操作，板卡数量众多时难于维护。

发明内容

有鉴于此，本发明提供一种分布式网络设备，包括主控板卡、一个或多个业务板卡以及板间通道，其中主控板卡以及业务板卡均包括CPU，所述业务板卡还包括分流硬件以及与分流硬件相连的网口；其中：

所述主控板卡的CPU用于为各个业务板卡生成网络转发表项，并将该网络转发表项下发给各个业务板卡；根据管理侧下发的流量控制策略为各个业务板卡的分流硬件以及CPU下发相应的分流策略表项；

所述业务板卡的分流硬件用于将分流策略表项保存在自身的分流策略表中，并按照自身的分流策略表将网口进入的报文发送到相应的业务板卡的CPU；

所述业务板卡的CPU用于将分流策略表项保存在自身的分流策略表中，并根据自身的分流策略对报文进行应用处理以及网络转发处理。

相较于现有技术而言，本发明分布式网络设备不需要业务板卡配置用于引流的静态路由或策略路由，各个业务板卡不再需要通过动态路由协议等方式来学习转发表项，对于网络管理而言，更加简单，节约管理IP地址；在出现问题时，问题定位更加容易。