◆“连接表维护”是网络设备处理网络连接的关键环节
在网络中,任何用户的计算机想要与其它计算机进行通信,必须依靠网络设备进行数据包的转发。其中,某些安全类网络设备(例如防火墙、安全网关、应用控制网关等)为了实现对数据包进行追踪和管理,首先需要具备对数据包中连接信息的记录和处理能力。
网络设备对数据包的处理是在协议栈中完成的。所谓“协议栈”,是根据OSI体系模型划分的各层协议的总和,它形象的反映了数据在网络中的传输过程。而在协议栈对数据包进行处理的过程中,首先要做的就是对网络连接进行记录和跟踪维护,以便能够将数据包和所属连接关联起来,实现对数据包的控制,这一阶段称为“连接表维护”,之后才对数据包进行路由转发、封装、解封装等“后继处理”。
顾名思义,“连接表维护”就是记录连接的状态信息,其中最主要记录内容是连接的五元组信息,即源IP、目的IP、源端口、目的端口、协议类型。无论TCP还是UDP,只要数据包的五元组信息一致,就被认为属于同一连接。如果缺少了这一连接维护的过程,网络设备将无法获知如何将数据包进行转发,网络中的计算机终端也必然无法正常通信。
◆无效连接大量侵占连接表资源,导致网络设备连接数指标形同虚设
当前各种网络设备进行连接信息的维护时,使用的是单级表结构。当一个数据包传送过来后,首先会在该表中进行查询,以判断该连接是否已经存在。如果存在,则更新该连接的统计及状态信息,否则将创建代表这一新连接的表项。如图1所示:
图1 |
然而,随着P2P应用大量出现,传统网络模型被极大地改变了。P2P应用中不存在服务器与客户端的区分,每个安装了P2P软件的计算机将被视为对等体,并以点对点的方式实现数据的分布式下载。由于P2P软件采用广播方式发起连接,因此会毫无目的的发送大量试探性连接,以最大限度的获取对等体计算机的响应。
这些试探性连接虽然包含的数据量很少,但数量庞大,而且其中绝大部分连接无法获得对等体计算机的响应,成为无效连接。然而网络设备在进行“连接表维护”的过程中,会不加区分的为其分配新的表项,而不判定连接的有效性,造成这些无效连接在连接表中占据了相当大的比例。连接表规模增大的同时,网络设备必须花费更多的性能开销进行连接表的查找和维护,造成系统资源严重浪费。而且任何设备所能支持的总连接数都有一定的规模,这些无效连接的存在,使连接表无法接纳新建有效连接的可能性增大,进而造成设备所支持的最大用户数降低。
◆网康“动态连接清洗”专利技术的特性及优势
网康科技独有的“动态连接清洗技术”很好的解决了上述问题,该技术能够高效分检并清理网络设备中存在的大量无效连接,保障连接资源的有效回收。目前,这技术已申请相关专利,并在ITM系列智能流控以及ICG系列互联网控制网关产品中得到了成功应用,极大的提高了产品对高并发连接的处理能力。
网康 “动态连接清洗技术”提供了一种全新的网络连接处理机制,能够根据连接的有效性进行二级分类。对于“已确认连接”,将直接进行后续操作;对于“未确认连接”,系统将周期性进行连接有效性的检查,其中有效连接将被归入“已确认连接”,而无效连接将被动态清理出连接表。
该技术不但可以将无效连接进行隔离,缩小各级连接表的规模和清理范围,提高连接表的有效性,而且加快了连接表的查找速度,降低了设备的性能开销,最终实现了对无效网络连接进行高效的动态清洗。如下图2所示:
图2 |
结语
综上所述,网康科技通过“动态连接清洗”专利技术的开发和应用,为合理释放无效网络连接,保障系统在大流量、高连接环境下的处理性能等方面,提供了有效的解决途径。