CN104322010A - 用于比较配置文件和生成校正命令的***和方法 - Google Patents
用于比较配置文件和生成校正命令的***和方法 Download PDFInfo
- Publication number
- CN104322010A CN104322010A CN201380023870.4A CN201380023870A CN104322010A CN 104322010 A CN104322010 A CN 104322010A CN 201380023870 A CN201380023870 A CN 201380023870A CN 104322010 A CN104322010 A CN 104322010A
- Authority
- CN
- China
- Prior art keywords
- equipment
- order
- certain embodiments
- configuration
- subset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000015654 memory Effects 0.000 claims abstract description 125
- 230000004044 response Effects 0.000 claims description 53
- 230000001360 synchronised effect Effects 0.000 claims description 51
- 230000008878 coupling Effects 0.000 claims description 15
- 238000010168 coupling process Methods 0.000 claims description 15
- 238000005859 coupling reaction Methods 0.000 claims description 15
- 238000011068 loading method Methods 0.000 claims description 9
- 230000013011 mating Effects 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 139
- 239000003795 chemical substances by application Substances 0.000 description 96
- 238000004891 communication Methods 0.000 description 57
- 230000008569 process Effects 0.000 description 56
- 238000012546 transfer Methods 0.000 description 50
- 230000005540 biological transmission Effects 0.000 description 45
- 238000004364 calculation method Methods 0.000 description 43
- 230000006870 function Effects 0.000 description 41
- 238000005259 measurement Methods 0.000 description 34
- 238000012545 processing Methods 0.000 description 30
- 238000007906 compression Methods 0.000 description 22
- 230000006835 compression Effects 0.000 description 22
- 230000000875 corresponding effect Effects 0.000 description 22
- 238000007726 management method Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 14
- 239000000203 mixture Substances 0.000 description 14
- 230000008859 change Effects 0.000 description 13
- 238000013461 design Methods 0.000 description 12
- 239000008186 active pharmaceutical agent Substances 0.000 description 11
- 230000036541 health Effects 0.000 description 11
- 230000001133 acceleration Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 8
- 238000000429 assembly Methods 0.000 description 6
- 230000000712 assembly Effects 0.000 description 6
- 238000009434 installation Methods 0.000 description 5
- 238000005457 optimization Methods 0.000 description 5
- 230000003139 buffering effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 241000721662 Juniperus Species 0.000 description 2
- 241000277275 Oncorhynchus mykiss Species 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241000501754 Astronotus ocellatus Species 0.000 description 1
- 102100031184 C-Maf-inducing protein Human genes 0.000 description 1
- 108020004705 Codon Proteins 0.000 description 1
- 101000993081 Homo sapiens C-Maf-inducing protein Proteins 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000002203 pretreatment Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0846—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on copy from other elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开涉及将目标装置的目标配置文件与源装置的源配置文件同步的***和方法。第一装置的解析器可将来自源装置的源配置文件的命令分组为命令的子集。命令子集中的每个子集可包括由共同属性唯一标识的命令。第一装置的配置器可将来自目标配置文件的命令加载到存储器中,该命令具有第一标识属性。配置器可将具有与第一标识属性相匹配的共同标识属性的命令子集加载到存储器中。配置器可将命令与加载的子集中的每个命令进行比较。配置器可以为目标装置生成命令,以将目标配置文件的部分与源配置文件同步。
Description
本专利文件公开的部分包含受版权保护的内容。由于其出现在美国专利与商标局的文件或记录中,因此版权所有者对任何人对专利文件或专利公开的拓制没有异议,但除此之外保留所有版权。
相关申请
本申请要求在2012年3月7日提交的申请号为13/414105、名称为“Systems and Methods For Comparing Configuration Files and GeneratingCorrective Commands”的美国专利申请的优先权,该美国专利申请通过引用被全部包含于此,以用于各种目的。
技术领域
本申请总的涉及数据通信网络。本申请尤其涉及用于在多个站点设备之间自动地同步全局服务器负载平衡配置的***和方法。
背景技术
应用传送控制器可充当在客户机和服务器之间的中间装置。应用传送控制器可具有用于控制或管理在客户机和服务器之间的网络流量的多个特征。可由管理员配置这些特征。随着应用传送控制器的支持特征的数量的增长,管理员执行或负责更多的配置。随着在更多、更大且不同的环境下部署应用传送控制器,对应用传送控制器的使用及其配置变得更加复杂。在很多企业基础架构中,可部署多个控制器来处理不同的功能。这些控制器中的每一个可具有管理员维护的不同配置。这些应用传送控制器的管理员可能受到在任何一个或多个环境下配置或维护这些控制器的配置的挑战。
发明内容
本解决方案允许用另一配置来更新或者同步网络设备的配置,该另一配置可来自于另一网络设备。使用同步,可确定在两个或更多设备之间的配置上的不同,并且可以将对配置的改变自动地分布和应用在一个或多个设备上。在一些实施例中,配置更新可用于多站点部署和同步。一些配置可包括许多命令行或配置语句,使得需要大量存储器来更新这些配置,或者将它们与另一配置同步。本解决方案提供了相对可伸缩的方法,其有效利用了存储器。
在一个方面,本公开涉及一种将目标装置的目标配置文件与源装置的源配置文件同步的方法。第一装置的解析器可以将来自源装置的源配置文件的多个命令分组为命令子集,命令子集中的每个子集可包括由共同属性唯一标识的命令。第一装置的配置器可将来自目标装置的目标配置文件的命令加载到存储器中,该命令具有第一标识属性。配置器可将命令子集中具有与第一标识属性相匹配的共同标识属性的一个命令子集加载到存储器中。配置器可将来自目标配置文件的命令与加载的命令子集中的每个命令进行比较。配置器可生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步。
解析器可将命令子集写入索引文件,每个命令子集由对应的标识属性进行索引。配置器可以通过匹配第一标识属性和索引的属性,来定位索引文件中的命令子集。配置器可将来自目标配置文件的命令识别为包括未被比较来用于和源配置文件同步的命令。配置器可将该命令加载到存储器中,而不将来自目标配置文件的其他命令加载到存储器中。配置器可将命令子集加载到存储器中,而不将其他子集加载到存储器中。配置器可以通过比较相应命令的每个变元来将来自目标配置的命令与子集中的每个命令进行匹配。
配置器可响应于生成用于在目标装置上执行的一个或多个命令,来删除或标记索引列表中的命令子集。配置器可响应于生成用于在目标装置上执行的一个或多个命令,从所述存储器中移除(i)来自目标配置文件的命令和(ii)命令子集。在一些场景下,目标装置可包括第一装置。
在另一个方面,本公开涉及一种将目标装置的目标配置文件与源装置的源配置文件同步的***。第一装置的解析器可将来自源装置的源配置文件的多个命令分组为命令子集。命令子集中的每个子集可包括由共同属性唯一标识的命令。第一装置的配置器可将来自目标装置的目标配置文件的命令加载到存储器中,该命令具有第一标识属性。配置器可将命令子集中具有与第一标识属性相匹配的共同标识属性的一个命令子集加载到存储器中。配置器可将来自目标配置文件的命令与加载的命令子集中的每个命令进行比较。配置器可生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步。
解析器可将命令子集写入索引文件,每个命令子集由对应的标识属性进行索引。配置器可通过匹配第一标识属性和索引的属性,来定位索引文件中的命令子集。配置器可识别来自目标配置文件的、还没有被比较以与源配置文件同步的命令。配置器可将命令加载到存储器中,而不将来自目标配置文件的其他命令加载到存储器中。配置器可将来自源配置文件的命令子集加载到存储器中,而不将其他子集加载到存储器中。配置器可以通过比较相应命令的每个变元来将来自目标配置的命令与子集中的每个命令进行匹配。
配置器可响应于生成用于在目标装置上执行的一个或多个命令,来删除或标记索引列表中对应的条目。这些条目可与加载的命令子集相对应。这些条目可包括用于标识命令子集的信息,例如op、ot、startPoint、endPoint和isProcessed标志。配置器可响应于生成用于在目标装置上执行的一个或多个命令,从所述存储器中移除(i)来自目标配置文件的命令和(ii)命令子集。在一些场景下,目标装置可包括第一装置。
在附图和下面的描述中将详细阐述此处所述的方法和***的各种实施例的细节。
附图说明
通过参考下述结合附图的描述,本发明的前述和其它目的、方面、特征和优点将会更加明显并更易于理解,其中:
图1A是客户机经由设备访问服务器的网络环境的实施例的框图;
图1B是经由设备从服务器传送计算环境到客户机的环境的实施例的框图;
图1C是经由多个设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1D是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1E和1F是计算装置的实施例的框图;
图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的又一个实施例的框图;
图3是用于经由设备与服务器通信的客户机的实施例的框图;
图4A是设备的多站点部署的环境的实施例的框图;
图4B是用于多站点部署的支持可批处理(batchable)和层次配置的设备的实施例的框图;
图4C是在多站点部署的一个实施例中的配置和通信的另一个实施例的实施例的框图;
图4D是在使用可批处理和层次配置的多站点部署的实施例中的配置和通信的实施例的实施例的框图;
图4E是用于经由可批处理和层次配置来配置多站点部署的设备的方法步骤的实施例的流程图;
图5A是用于在设备之间同步配置的设备的实施例的框图;
图5B是用于在设备之间同步配置的方法步骤的实施例的流程图;
图6A和6B是用于将目标装置的目标配置文件与源装置的源配置文件同步的方法步骤的一个实施例的流程图;以及
图6C是用于将目标装置的目标配置文件与源装置的源配置文件同步的方法步骤的另一个实施例的流程图。
从下面结合附图所提出的详细描述,此处所述方法和***的特征和优点将更明显,其中,相同的参考标记在全文中表示相应的元素。在附图中,同样的附图标记通常表示相同的、功能上相似的和/或结构上相似的元素。
具体实施方式
为了阅读下文各种实施例的描述,下述对于说明书的部分以及它们各自内容的描述是有用的:
-A部分描述可用于实施本文描述的实施例的网络环境和计算环境;
-B部分描述用于将计算环境传送到远程用户的***和方法的实施例;
-C部分描述用于加速客户机和服务器之间的通信的***和方法的实施例;
-D部分描述用于提供在多个站点之间的全局服务器负载平衡(GSLB)可批处理和层次配置的***和方法;
-E部分描述用于提供在多个设备之间的全局服务器负载平衡(GSLB)配置的自动同步的***和方法;以及
-F部分描述将目标装置的目标配置文件与源装置的源配置文件同步的***和方法。
A.网络和计算环境
在讨论设备和/或客户机的***和方法的实施例的细节之前,讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括经由一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n(同样总的称为服务器106,或远程机器106)通信的一个或多个客户机102a-102n(同样总的称为本地机器102,或客户机102)。在一些实施例中,客户机102通过设备200与服务器106通信。
虽然图1A示出了在客户机102和服务器106之间的网络104和网络104’,客户机102和服务器106可以位于同一个的网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或104’可为局域网(LAN)例如公司内网,城域网(MAN),或者广域网(WAN)例如因特网或万维网。在一个实施例中,网络104可为专用网络并且网络104’可为公网。在一些实施例中,网络104可为专用网并且网络104’可为公网。在又一个实施例中,网络104和104’可都为专用网。在一些实施例中,客户机102可位于公司企业的分支机构中,通过网络104上的WAN连接与位于公司数据中心的服务器106通信。
网络104和/或104’可以是任何类型和/或形式的网络,并且可包括任何下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光纤网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。
如图1A所示,设备200被显示在网络104和104’之间,设备200也可被称为接口单元200或者网关200。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可以位于网络104’上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可在网络104上部署。在一些实施例中,多个设备200可部署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其他实施例中,设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。
在一些实施例中,设备200包括由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司制造的被称为Citrix NetScaler设备的任何网络设备。在其他实施例中,设备200包括由位于华盛顿州西雅图的F5 Networks公司制造的被称为WebAccelerator和BigIP的任何一个产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper Networks公司制造的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSLVPN系列设备中的任何一个。在又一个实施例中,设备200包括由位于加利福尼亚州San Jose的Cisco Systems公司制造的任何应用加速和/或安全相关的设备和/或软件,例如Cisco ACE应用控制引擎模块服务(ApplicationControl Engine Module service)软件和网络模块以及Cisco AVS系列应用速度***(Application Velocity System)。
在一个实施例中,***可包括多个逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中,服务器106可为地理上分散的。在一些情况中,群38可以作为单个实体被管理。在其他实施例中,服务器群38包括多个服务器群38。在一个实施例中,服务器群代表一个或多个客户机102执行一个或多个应用程序。
在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作***平台(例如,由华盛顿州Redmond的Microsoft公司制造的WINDOWS NT)操作,而一个或多个其它服务器106可根据另一类型的操作***平台(例如,Unix或Linux)操作。每个群38的服务器106不需要与同一群38内的另一个服务器106物理上接近。因此,被逻辑分组为群38的服务器106组可使用广域网(WAN)连接或城域网(MAN)连接互联。例如,群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果使用局域网(LAN)连接或一些直连形式来连接服务器106,则可增加群38中的服务器106间的数据传送速度。
服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户机102也可称为客户端节点或端点。在一些实施例中,客户机102可以有作为客户机节点寻求访问服务器上的应用的能力,也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。
在一些实施例中,客户机102与服务器106通信。在一个实施例中,客户机102与群38中的服务器106的其中一个直接通信。在又一个实施例中,客户机102执行程序邻近应用(program neighborhood application)以与群38内的服务器106通信。在又一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户机102通过网络104与群38中的服务器106通信。通过网络104,客户机102例如可以请求执行群38中的服务器106a-106n寄载的各种应用,并接收应用执行结果的输出进行显示。在一些实施例中,只有主节点提供识别和提供与寄载所请求的应用的服务器106’相关的地址信息所需的功能。
在一个实施例中,服务器106提供web服务器的功能。在又一个实施例中,服务器106a接收来自客户机102的请求,将该请求转发到第二服务器106b,并使用来自服务器106b对该请求的响应来对客户机102的请求进行响应。在又一个实施例中,服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口将对请求的响应提供给客户机102。在一个实施例中,客户机102直接与服务器106通信以访问所识别的应用。在又一个实施例中,客户机102接收由执行服务器106上所识别的应用而产生的诸如显示数据的应用输出数据。
现参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200’部署在第二网络104’上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200’。在又一个实施例中,第一设备200和第二设备200’被部署在同一个网络104或网络104上。例如,第一设备200可以被部署用于第一服务器群38,而第二设备200可以被部署用于第二服务器群38’。在另一个实例中,第一设备200可以被部署在第一分支机构,而第二设备200’被部署在第二分支机构’。在一些实施例中,第一设备200和第二设备200’彼此协同或联合工作,以加速客户机和服务器之间的网络流量或应用和数据的传送。
现参考图1C,描述了网络环境的又一个实施例,在该网络环境中,将设备200和一个或多个其它类型的设备部署在一起,例如,部署在一个或多个WAN优化设备205,205’之间。例如,第一WAN优化设备205显示在网络104和104’之间,而第二WAN优化设备205’可以部署在设备200和一个或多个服务器106之间。例如,公司可以在分支机构部署第一WAN优化设备205,而在数据中心部署第二WAN优化设备205’。在一些实施例中,设备205可以位于网络104’上。在其他实施例中,设备205’可以位于网络104上。在一些实施例中,设备205’可以位于网络104’或网络104"上。在一个实施例中,设备205和205’在同一个网络上。在又一个实施例中,设备205和205’在不同的网络上。在另一个实例中,第一WAN优化设备205可以被部署用于第一服务器群38,而第二WAN优化设备205’可以被部署用于第二服务器群38’。
在一个实施例中,设备205是用于加速、优化或者以其他方式改善任何类型和形式的网络流量(例如去往和/或来自WAN连接的流量)的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能增强代理。在其他实施例中,设备205是任何类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205是由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为WANScaler的产品实施例中的任何一种。在其他实施例中,设备205包括由位于华盛顿州Seattle的F5 Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任何一种。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper NetWorks公司出品的WX和WXC WAN加速装置平台中的任何一种。在一些实施例中,设备205包括由加利福尼亚州San Francisco的Riverbed Technology公司出品的虹鳟(steelhead)系列WAN优化设备中的任何一种。在其他实施例中,设备205包括由位于新泽西州Roseland的Expand Networks公司出品的WAN相关装置中的任何一种。在一个实施例中,设备205包括由位于加利福尼亚州Cupertino的Packeteer公司出品的任何一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州San Jose的Cisco Systems公司出品的任何WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。
在一个实施例中,设备205为分支机构或远程办公室提供应用和数据加速服务。在一个实施例中,设备205包括广域文件服务(WAFS)的优化。在又一个实施例中,设备205加速文件的传送,例如经由通用互联网文件***(CIFS)协议。在其他实施例中,设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中,设备205在任何级别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN连接上的应用和数据的传送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其他实施例中,设备205提供对于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。
在又一个实施例中,设备205将任何类型和形式的数据或信息编码成网络分组的定制的或标准的TCP和/或IP的报头字段或可选字段,以将其存在、功能或能力通告给另一个设备205’。在又一个实施例中,设备205’可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205’进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205’所使用的一个或多个参数。
在一些实施例中,设备200保存在设备205和205’之间传达的TCP和/或IP报头和/或可选字段中编码的任何信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205’的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任何编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205’。
现参考图1D,描述了用于传送和/或操作客户机102上的计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户机102传送计算环境或应用和/或数据文件的应用传送***190。总的来说,客户机10通过网络104、104’和设备200与服务器106通信。例如,客户机102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服务器106传送计算环境15、应用和/或数据文件。
在一些实施例中,设备200加速计算环境15或者其任何部分到客户机102的传送。在一个实施例中,设备200通过应用传送***190加速计算环境15的传送。例如,可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构)的流应用(streaming application)及该应用可处理的数据文件的传送。在又一个实施例中,设备200加速客户机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务器106到客户机102的任何传输层有效载荷的加速技术,例如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩和5)高速缓存。在一些实施例中,设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其他实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在又一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSL VPN连接。在又一些实施例中,设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任一验证和授权策略,应用传送管理***190提供将计算环境传送到远程的或者另外的用户的桌面的应用传送技术。使用这些技术,远程用户可以从任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送***190可驻留在服务器106上或在其上执行。在又一个实施例中,应用传送***190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中,应用传送***190可在服务器群38内执行。在一个实施例中,执行应用传送***190的服务器106也可存储或提供应用和数据文件。在又一个实施例中,一个或多个服务器106的第一组可执行应用传送***190,而不同的服务器106n可存储或提供应用和数据文件。在一些实施例中,应用传送***190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中,应用传送***190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。
客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。客户机102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以将来自客户机102的请求转发到服务器106。例如,客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求,应用传送***190和/或服务器106可以传送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以把应用作为应用流来传输,以在客户机102上的计算环境15中操作。
在一些实施例中,应用传送***190包括Citrix Systems有限公司的Citrix Access SuiteTM的任一部分(例如MetaFrame或Citrix PresentationServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,应用传送***190可以通过远程显示协议或者以其它方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客户机102或者用户。在又一个实施例中,应用传送***190可以通过应用流来传送一个或者多个应用到客户机或者用户。
在一个实施例中,应用传送***190包括策略引擎195,其用于控制和管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中,策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户机102,例如执行方法。在一些实施例中,应用传送***190提供多个传送技术,从中选择应用执行的方法,例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。
在一个实施例中,客户机102请求应用程序的执行并且包括服务器106的应用传送***190选择执行应用程序的方法。在一些实施例中,服务器106从客户机102接收证书。在又一个实施例中,服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送***190列举对于客户机102可用的多个应用程序。应用传送***190接收执行所列举的应用的请求。应用传送***190选择预定数量的方法之一来执行所列举的应用,例如响应策略引擎的策略。应用传送***190可以选择执行应用的方法,使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送***190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中,应用传送***190可以选择执行应用的方法,以通过网络104流式传输应用到客户机102。
客户机102可以执行、操作或者以其它方式提供应用,所述应用可为任何类型和/或形式的软件、程序或者可执行指令,例如任何类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦客户端计算客户机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任何其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户机102,所述瘦-客户端或远程显示协议例如由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的独立计算架构(ICA)协议或由位于华盛顿州Redmond的微软公司出品的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户机、FTP客户机、Oscar客户机或Telnet客户机。在其他实施例中,应用包括和VoIP通信相关的任何类型的软件,例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任一应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群38可运行一个或多个应用,例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群38作为一个应用来执行Citrix Systems有限公司的CitrixAccess SuiteTM的任一部分(例如MetaFrame或Citrix Presentation ServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,该应用是位于佛罗里达州Fort Lauderdale的Citrix Systems有限公司开发的ICA客户机。在其他实施例中,该应用包括由位于华盛顿州Redmond的Microsoft公司开发的远程桌面(RDP)客户机。另外,服务器106可以运行一个应用,例如,其可以是提供电子邮件服务的应用服务器,例如由位于华盛顿州Redmond的Microsoft公司制造的Microsoft Exchange,web或Internet服务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任一类型的所寄载的服务或产品,例如位于加利福尼亚州Santa Barbara的Citrix Online Division公司提供的GoToMeetingTM,位于加利福尼亚州Santa Clara的WebEx有限公司提供的WebExTM,或者位于华盛顿州Redmond的Microsoft公司提供的Microsoft Office Live Meeting。
仍参考图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器106A可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控服务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其组合。在一些实施例中,监控代理197包括诸如Visual Basic脚本或Javascript任何类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任何应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中,监控代理197的安装和操作不需要用于该应用或装置的任何设备。
在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其他实施例中,监控代理197基于检测到任何类型和形式的事件来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中,监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中,监控代理197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例中,监控代理197在检测到事件时发送信息给监控服务198。
在一些实施例中,监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中,监控服务198和/或监控代理197执行诸如TCP或UDP连接的任何传输层连接的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中,监控服务198和/或监控代理197监控和测量带宽利用。
在其他实施例中,监控服务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控服务198执行应用的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197执行到应用的任何会话或连接的监控和性能测量。在一个实施例中,监控服务198和/或监控代理197监控和测量浏览器的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中,监控服务198和/或监控代理197监控和测量IP电话(VoIP)应用或会话的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的实施例中,监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(Software-As-A-Service,SaaS)传送模型的性能。
在一些实施例中,监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其他实施例中,监控服务198和/或监控代理197监控和测量应用层堆栈的任何部分,例如任何.NET或J2EE调用。在一个实施例中,监控服务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何方法、函数或应用编程接口(API)调用。
在一个实施例中,监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中,监控服务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量客户机/服务器应用的性能。
在一个实施例中,监控服务198和/或监控代理197被设计和构建成为应用传送***190提供应用性能管理。例如,监控服务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器(Citrix Presentation Server)传送应用的性能。在该实例中,监控服务198和/或监控代理197监控单独的ICA会话。监控服务198和/或监控代理197可以测量总的以及每次的会话***资源使用,以及应用和连网性能。监控服务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(active server)。在一些实施例中,监控服务198和/或监控代理197监控在应用传送***190和应用和/或数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。
在一些实施例中,监控服务198和/或监控代理197测量和监控对于应用传送***190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其他实施例中,监控服务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/或每个进程的应用传送***190的CPU使用。在又一个实施例中,监控服务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用传送***所需的时间。在一个实施例中,监控服务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送***190的持续时间。在一些实施例中,监控服务198和/或监控代理197测量和监控应用、服务器或应用传送***会话的有效和无效的会话计数。在又一个实施例中,监控服务198和/或监控代理197测量和监控用户会话等待时间。
在另外的实施例中,监控服务198和/或监控代理197测量和监控任何类型和形式的服务器指标。在一个实施例中,监控服务198和/或监控代理197测量和监控与***内存、CPU使用和盘存储器有关的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控和页错误有关的指标,诸如每秒页错误。在其他实施例中,监控服务198和/或监控代理197测量和监控往返时间的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。
在一些实施例中,监控服务198和监控代理198包括由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为EdgeSight的任何一种产品实施例。在又一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州Palo Alto的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州San Francisco的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任何部分。在其他实施例中,性能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC软件公司出品的诸如BMC性能管理器和巡逻产品(BMC PerformanceManager and Patrol products)的商业服务管理产品的任何部分。
客户机102、服务器106和设备200可以被部署为和/或执行在任何类型和形式的计算装置上,诸如能够在任何类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或者设备。图1E和1F描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E和1F所示,每个计算装置100包括中央处理单元101和主存储器单元122。如图1E所示,计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选元件,例如一个或多个输入/输出装置130a-130b(总的使用附图标记130表示),以及与中央处理单元101通信的高速缓存存储器140。
中央处理单元101是响应并处理从主存储器单元122取出的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由加利福尼亚州Mountain View的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州SantaClara的Transmeta公司制造的微处理器单元;由纽约州White Plains的International Business Machines公司制造的RS/6000处理器;或者由加利福尼亚州Sunnyvale的Advanced Micro Devices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任何一种,或者能够如此处所述方式运行的任何其它处理器。
主存储器单元122可以是能够存储数据并允许微处理器101直接访问任何存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM(BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM(FPM DRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDO RAM)、扩展数据输出DRAM(EDO DRAM)、突发式扩展数据输出DRAM(BEDO DRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDEC SRAM、PC100 SDRAM、双数据速率SDRAM(DDRSDRAM)、增强型SRAM(ESDRAM)、同步链路DRAM(SLDRAM)、直接内存总线DRAM(DRDRAM)或铁电RAM(FRAM)。主存储器122可以基于上述存储芯片的任何一种,或者能够如此处所述方式运行的任何其它可用存储芯片。在图1E中所示的实施例中,处理器101通过***总线150(在下面进行更详细的描述)与主存储器122进行通信。图1E描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如,在图1F中,主存储器122可以是DRDRAM。
图1F描述了在其中主处理器101通过第二总线与高速缓存存储器140直接通信的实施例,第二总线有时也称为后端总线。其他实施例中,主处理器101使用***总线150和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图1F中所示的实施例中,处理器101通过本地***总线150与多个I/O装置130进行通信。可以使用各种不同的总线将中央处理单元101连接到任何I/O装置130,所述总线包括VESA VL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器124的实施例,处理器101可以使用高级图形端口(AGP)与显示器124通信。图1F说明了主处理器101通过超传输(HyperTransport)、快速I/O或者InfiniBand直接与I/O装置130通信的计算机100的一个实施例。图1F还描述了在其中混合本地总线和直接通信的实施例:处理器101使用本地互连总线与I/O装置130b进行通信,同时直接与I/O装置130a进行通信。
计算装置100可以支持任何适当的安装装置116,例如用于接纳诸如3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任何客户机代理120或其部分的软件和程序的任何其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列,用于存储操作***和其它相关软件,以及用于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者,可以使用安装装置116的任何一种作为存储装置128。此外,操作***和软件可从例如可引导CD的可引导介质运行,诸如一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix.net作为GNU/Linux一个分发版获得。
此外,计算装置100可以包括通过多种连接接口到局域网(LAN)、广域网(WAN)或因特网的网络接口118,所述多种连接包括但不限于标准电话线路、LAN或WAN链路(例如802.11,T1,T3、56kb、X.25)、宽带连接(如ISDN、帧中继、ATM)、无线连接、或上述任何或所有连接的一些组合。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置100接口到能够通信并执行这里所说明的操作的任何类型的网络的任何其它设备。计算装置100中可以包括各种I/O装置130a-130n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1E所示,I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或多个I/O装置,例如键盘126和指示装置127(如鼠标或光笔)。此外,I/O装置还可以为计算装置100提供存储装置128和/或安装介质116。在其他实施例中,计算装置100可以提供USB连接以接纳手持USB存储装置,例如由位于美国加利福尼亚州Los Alamitos的Twintech Industry有限公司生产的USB闪存驱动系列装置。
在一些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置各自可以是相同或不同的类型和/或形式。因而,任何一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如,计算装置100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置124a-124n接口、通信、连接或以其他方式使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置124a-124n接口。在其他实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个连接。在一些实施例中,计算装置100的操作***的任一部分都可以被配置用于使用多个显示器124a-124n。在其他实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,诸如例如通过网络与计算装置100连接的计算装置100a和100b。这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置100的第二显示装置124a的任一类型的软件。本领域的普通技术人员应认识和理解可以将计算装置100配置成具有多个显示装置124a-124n的各种方法和实施例。
在另外的实施例中,I/O装置130可以是***总线150和外部通信总线之间的桥170,所述外部通信总线例如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI总线。
图1E和1F中描述的那类计算装置100通常在控制任务的调度和对***资源的访问的操作***的控制下操作。计算装置100可以运行任何操作***,如Windows操作***,不同发行版本的Unix和Linux操作***,用于Macintosh计算机的任何版本的MAC任何嵌入式操作***,任何实时操作***,任何开源操作***,任何专有操作***,任何用于移动计算装置的操作***,或者任何其它能够在计算装置上运行并完成这里所述操作的操作***。典型的操作***包括:WINDOWS 3.x、WINDOWS 95、WINDOWS 98、WINDOWS 2000、WINDOWS NT 3.51、WINDOWS NT 4.0、WINDOWS CE和WINDOWS XP,所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS;由位于纽约州Armonk的国际商业机器公司出品的OS/2;以及由位于犹他州Salt Lake City的Caldera公司发布的可***的Linux操作***或者任何类型和/或形式的Unix操作***,以及其它。
在其他的实施例中,计算装置100可以有符合该装置的不同的处理器、操作***和输入设备。例如,在一个实施例中,计算机100是由Palm公司出品的Treo180、270、1060、600或650智能电话。在该实施例中,Treo智能电话在PalmOS操作***的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任何工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。
B.设备架构
图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅用于示例,并不意于作为限制性的架构。如图2所示,设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。
硬件层206提供硬件元件,在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,就设备200而言,这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262,用于存储软件和数据的存储器264,用于通过网络传输和接收数据的网络端口266,以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1E和1F所述的任一处理器101。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262’。在其他实施例中,处理器262或者262’包括多核处理器。
虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如安全套接字协议层(SSL)或者传输层安全(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。
虽然图2中设备200的硬件层206包括了某些元件,但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1E和1F示出和讨论的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备,并且拥有与此相关的任何硬件和/或软件元件。
设备200的操作***分配、管理或另外分离可用的***存储器到内核空间204和用户空间204。在示例的软件架构200中,操作***可以是任何类型和/或形式的Unix操作***,尽管本发明并未这样限制。这样,设备200可以运行任何操作***,如任何版本的Windows操作***、不同版本的Unix和Linux操作***、用于Macintosh计算机的任何版本的Mac任何的嵌入式操作***、任何的网络操作***、任何的实时操作***、任何的开放源操作***、任何的专用操作***、用于移动计算装置或网络装置的任何操作***、或者能够运行在设备200上并执行此处所描述的操作的任何其它操作***。
保留内核空间204用于运行内核230,内核230包括任何设备驱动器,内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作***的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程,高速缓存管理器232有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作***的实施例。
在一个实施例中,设备200包括一个网络堆栈267,例如基于TCP/IP的堆栈,用于与客户机102和/或服务器106通信。在一个实施例中,使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户机102的TCP连接,并建立客户机102使用的到服务器106的第二传输层连接,例如,终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或267’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈267’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络分组,并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中,网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器243,其中网络分组由设备200传输。
如图2A所示,内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、240、234、236和238在设备200的操作***的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能,从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如,在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何组件或进程232、240、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。
在一些实施例中,组件232、240、234、236和238的任何部分可在内核空间204中运行或操作,而这些组件232、240、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问,例如,包括来自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例中,可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络流量或分组。在其他实施例中,任何组件或进程232、240、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中,当使用内核级数据结构时,组件232、240、234、236和238在内核模式204中运行,而在又一个实施例中,当使用内核级数据结构时,组件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传递到第二内核级数据结构,或任何期望的用户级数据结构。
高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式(例如标记语言)的数据,或者通过任何协议的通信的任何类型的数据。在一些实施例中,高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据,其中相对于读高速缓存存储器元件,需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中,通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作,因此而减少了访问时间。在一些实施例中,高速缓存元件可以包括设备200的存储器264中的数据对象。在其他实施例中,高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在又一个实施例中,高速缓存元件可以包括设备200的任一类型和形式的存储元件,诸如硬盘的一部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。
另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可作为在内核空间204中执行的程序、服务、进程或任务而操作,并且在其他实施例中,在用户空间202中执行。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或任何其他类型的集成电路,例如现场可编程门阵列(FPGA),可编程逻辑设备(PLD),或者专用集成电路(ASIC)。
策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236,在一些实施例中,也访问存储器以支持数据结构,例如备份表或hash表,以启用用户选择的高速缓存策略决定。在其他实施例中,除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其他实施例此处进一步描述。
加密引擎234包括用于操控诸如SSL或TLS的任何安全相关协议或其中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200传输的网络分组,或其任何部分。加密引擎234也可代表客户机102a-102n、服务器106a-106n或设备200来设置或建立SSL或TLS连接。因此,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其他实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用互联网文件***(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及互联网协议电话(VoIP)协议。在其他实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如设计用于设备200到设备200通信的任何协议。在又一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任何通信的任何载荷或任何通信,例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议(TCP spoofing protocol)。
同样的,多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户机访问应用的性能,所述桌面客户机例如Micosoft Outlook和非web瘦客户机,诸如由像Oracle、SAP和Siebel的通用企业应用所启动的任何客户机,所述移动客户机例如掌上电脑。在一些实施例中,通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成,多协议压缩引擎238可以压缩TCP/IP协议携带的任何协议,例如任何应用层协议。
高速层2-7集成分组引擎240,通常也称为分组处理引擎,或分组引擎,负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎240可包括用于在例如接收网络分组和传输网络分组的处理期间排队一个或多个网络分组的缓冲器。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234以执行分组的SSL处理,配置策略引擎236以执行涉及流量管理的功能,例如请求级内容切换以及请求级高速缓存重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入处理,例如,接收或者输出(即传输)网络分组。在一些实施例中,高速层2-7集成分组引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔或发生。在许多实施例中,分组处理定时器242以毫秒级操作,例如100ms、50ms、或25ms。例如,在一些实例中,分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理网络分组,而在其他实施例中,使高速层2-7集成分组引擎240以5ms时间间隔处理网络分组,并且在进一步的实施例中,短到3、2或1ms时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此,响应于分组处理定时器242和/或分组引擎240,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,在由分组处理定时器242提供的时间间隔粒度,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,例如,时间间隔少于或等于10ms。例如,在一个实施例中,高速缓存管理器232可响应于高速层2-7集成分组引擎240和/或分组处理定时器242来执行任何高速缓存的对象的终止。在又一个实施例中,高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级,例如每10ms。
与内核空间204不同,用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作***的存储区域或部分。用户模式应用不能直接访问内核空间204而使用服务调用以访问内核服务。如图2所示,设备200的用户空间202包括图形用户接口(GUI)210、命令行接口(CLI)212、壳服务(shell service)214、健康监控程序216以及守护(daemon)服务218。GUI 210和CLI212提供***管理员或其他用户可与之交互并控制设备200操作的装置,例如通过设备200的操作***。GUI210和CLI 212可包括运行在用户空间202或内核框架204中的代码。GUI210可以是任何类型或形式的图形用户接口,可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。CLI 212可为任何类型和形式的命令行或基于文本的接口,例如通过操作***提供的命令行。例如,CLI 212可包括壳,该壳是使用户与操作***相互作用的工具。在一些实施例中,可通过bash、csh、tcsh或者ksh类型的壳提供CLI 212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过GUI 210和/或CLI 212的与设备200或者操作***的交互。
健康监控程序216用于监控、检查、报告并确保网络***正常运行,以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络流量。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接:加密引擎234,高速缓存管理器232,策略引擎236,多协议压缩逻辑238,分组引擎240,守护服务218以及壳服务214。因此,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在又一个实施例中,健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。
守护服务218是连续运行或在背景中运行的程序,并且处理设备200接收的周期***请求。在一些实施例中,守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的***范围功能,例如网络控制,或者执行任何需要的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其他实施例中,一个或多个守护服务218运行在内核空间。
现参考图2B,描述了设备200的又一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个:用于一个或多个客户机102以及一个或多个服务器106之间的通信的SSL VPN连通280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer 275、vS 275、VIP服务器或者仅是VIP 275a-275n(此处也称为vServer 275)。vServer275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。
vServer 275可以包括软件、硬件或者软件和硬件的任何组合。vServer275可包括在设备200中的用户模式202、内核模式204或者其任何组合中运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vServer275包括任何逻辑、功能、规则或者操作,以执行此处所述技术的任何实施例,诸如SSL VPN 280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer 275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270是守护进程或者网络驱动器,用于监听、接收和/或发送应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。
在一些实施例中,vServer 275应用策略引擎236的一个或者多个策略到客户机102和服务器106之间的网络通信。在一个实施例中,该策略与vServer275相关。在又一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer 275a-275n,和通过设备200通信的任何用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任何内容应用该策略的条件,通信的内容诸如互联网协议地址、端口、协议类型、分组中的头部或者字段、或者通信的上下文,诸如用户、用户组、vServer 275、传输层连接、和/或客户机102或者服务器106的标识或者属性。
在其他实施例中,设备200与策略引擎236通信或接口,以便确定远程用户或远程客户机102的验证和/或授权,以访问来自服务器106的计算环境15、应用和/或数据文件。在又一个实施例中,设备200与策略引擎236通信或交互,以便确定远程用户或远程客户机102的验证和/或授权,使得应用传送***190传送一个或多个计算环境15、应用和/或数据文件。在又一个实施例中,设备200基于策略引擎236对远程用户或远程客户机102的验证和/或授权建立VPN或SSL VPN连接。一个实施例中,设备200基于策略引擎236的策略控制网络流量以及通信会话。例如,基于策略引擎236,设备200可控制对计算环境15、应用或数据文件的访问。
在一些实施例中,vServer 275与客户机102经客户机代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer 275监听和接收来自客户机102的通信。在其他实施例中,vServer 275与客户机服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer 275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在又一个实施例中,vServer 275将到客户机102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer 275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。
在一些实施例中,设备200提供客户机102和服务器106之间的SSL VPN连接280。例如,第一网络102上的客户机102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其他实施例中,客户机102位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户机代理102的所拦截的通信,解密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的,设备200为两个网络104、104’之间的客户机102提供端到端安全传输层连接。
在一个实施例中,设备200寄载虚拟专用网络104上的客户机102的内部网互联网协议或者IntranetIP 282地址。客户机102具有本地网络标识符,诸如第一网络104上的互联网协议(IP)地址和/或主机名称。当经设备200连接到第二网络104’时,设备200在第二网络104’上为客户机102建立、分配或者以其它方式提供IntranetIP,其是诸如IP地址和/或主机名称的网络标识符。使用为客户机的所建立的IntranetIP 282,设备200在第二或专用网104’上监听并接收指向该客户机102的任何通信。在一个实施例中,设备200在第二专用网络104上用作或者代表客户机102。例如,在又一个实施例中,vServer 275监听和响应到客户机102的IntranetIP 282的通信。在一些实施例中,如果第二网络104’上的计算装置100发送请求,设备200如同客户机102一样来处理该请求。例如,设备200可以响应对客户机IntranetIP 282的查验。在又一个实施例中,设备可以与请求和客户机IntranetIP 282连接的第二网络104上的计算装置100建立连接,诸如TCP或者UDP连接。
在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理负载。该技术此处称为“连接池”。
在一些实施例中,为了经池化的传输层连接无缝拼接从客户机102到服务器106的通信,设备200通过在传输层协议级修改序列号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议相互作用。例如,在到来分组(即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址,而目的地址被从设备200的网络地址改变为请求的客户机102的网络地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以计及这些转换。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中,设备200根据层4或应用层请求数据来分布流量并将客户机请求定向到服务器106。在一个实施例中,尽管网络分组的网络层或者层2识别目的服务器106,但设备200通过承载为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中,如果设备200探测到某个服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户机请求指向或者分发到另一个服务器106。
在一些实施例中,设备200用作域名服务(DNS)解析器或者以其它方式为来自客户机102的DNS请求提供解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。在一个实施例中,设备200以设备200的IP地址或其所寄载的IP地址来响应客户机的DNS请求。在此实施例中,客户机102把用于域名的网络通信发送到设备200。在又一个实施例中,设备200以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户机的DNS请求。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒绝服务(DoS)攻击。在其他实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个脆弱点:1)缓冲区泄出,2)CGI-BIN参数操纵,3)表单/隐藏字段操纵,4)强制浏览,5)cookie或会话中毒,6)被破坏的访问控制列表(ACLs)或弱密码,7)跨站脚本处理(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息泄露,11)对加密的不安全使用,12)服务器错误配置,13)后门和调试选项,14)网站涂改,15)平台或操作***弱点,和16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙290以检查或分析网络通信的形式来提供HTML格式字段的保护:1)返回所需的字段,2)不允许附加字段,3)只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及5)格式字段最大长度强制。在一些实施例中,应用防火墙290确保cookie不被修改。在其他实施例中,应用防火墙290通过执行合法的URL来防御强制浏览。
在其他实施例中,应用防火墙290保护在网络通信中包含的任何机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用***、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现,在一个实施例中,应用防火墙290可以对网络通信采取策略行动,诸如阻止发送网络通信。在又一个实施例中,应用防火墙290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密信息。
仍参考图2B,设备200可以包括如上面结合图1D所讨论的性能监控代理197。在一个实施例中,设备200从如图1D中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于传送给与设备200通信的任何客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其他实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在又一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备200发送监控代理197到第二设备200’或设备205。
在其他实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers 275A-275N的性能与操作。在又一个实施例中,监控代理197测量和监控设备200的任何传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任何用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSL VPN会话的任何虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的内存、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技术288的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其他实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。
C.客户机代理
现参考图3,描述客户机代理120的实施例。客户机102包括客户机代理120,用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户机102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作***,以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一,诸如web浏览器,也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户机代理120,或其中任何部分。客户机代理120包括拦截机制或者***350,用于从网络堆栈310拦截来自一个或者多个应用的网络通信。
客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式***互联(OSI)通信模型的任何网络层。这样,网络堆栈310可包括用于任何以下OSI模型层的任何类型和形式的协议:1)物理链路层;2)数据链路层;3)网络层;4)传输层;5)会话层);6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在互联网协议(IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在以太网协议上承载TCP/IP协议,以太网协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE802.3覆盖的这些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE 802.11和/或移动互联网协议。
考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用因特网文件***(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及互联网协议电话(VoIP)协议。在又一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),例如TCP-Vegas协议的拥塞预测协议,以及TCP欺骗协议。在其他实施例中,网络堆栈310可使用诸如基于IP的UDP的任何类型和形式的用户数据报协议(UDP),例如用于语音通信或实时数据通信。
另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作***的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中,网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其他实施例中,设计并构建加速程序302以与网络堆栈310协同操作或工作,上述网络堆栈310由客户机102的操作***安装或以其它方式提供。
网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中,与网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制,事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中,数据结构包括在网络堆栈310的协议层处理的网络分组的一部分,例如传输层的网络分组。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作***的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任何数据结构。
此外,网络堆栈310的一些部分可在内核模式302执行或操作,例如,数据链路或网络层,而其他部分在用户模式303执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问,而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任何层。在其他实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任何层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分,位于任何一个或多个网络层,处于用户模式203、内核模式202,或其组合,或在网络层的任何部分或者到网络层的接口点,或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。
***350可以包括软件、硬件、或者软件和硬件的任何组合。在一个实施例中,***350在网络堆栈310的任一点拦截网络通信,并且重定向或者发送网络通信到由***350或者客户机代理120所期望的、管理的或者控制的目的地。例如,***350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104上发送。在一些实施例中,***350包括含有诸如被构建和设计来与网络堆栈310对接并一同工作的网络驱动器的驱动器的任一类型的***350。在一些实施例中,客户机代理120和/或***350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,***350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中,***350连接到诸如传输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层,例如,应用协议层。在一个实施例中,***350可以包括遵守网络驱动器接口规范(NDIS)的驱动器,或者NDIS驱动器。在又一个实施例中,***350可以包括微型过滤器或者微端口驱动器。在一个实施例中,***350或其部分在内核模式202中操作。在又一个实施例中,***350或其部分在用户模式203中操作。在一些实施例中,***350的一部分在内核模式202中操作,而***350的另一部分在用户模式203中操作。在其他实施例中,客户机代理120在用户模式203操作,但通过***350连接到内核模式驱动器、进程、服务、任务或者操作***的部分,诸如以获取内核级数据结构225。在其他实施例中,***350为用户模式应用或者程序,诸如应用。
在一个实施例中,***350拦截任何的传输层连接请求。在这些实施例中,***350执行传输层应用编程接口(API)调用以设置目的地信息,诸如到期望位置的目的地IP地址和/或端口用于定位。以此方式,***350拦截并重定向传输层连接到由***350或客户机代理120控制或管理的IP地址和端口。在一个实施例中,***350把连接的目的地信息设置为客户机代理120监听的客户机102的本地IP地址和端口。例如,客户机代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户机代理120随后将重定向的传输层通信传送到设备200。
在一些实施例中,***350拦截域名服务(DNS)请求。在一个实施例中,客户机代理120和/或***350解析DNS请求。在又一个实施例中,***发送所拦截的DNS请求到设备200以进行DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器106来解析DNS请求。
在又一个实施例中,客户机代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的***350。在一些实施例中,第一代理120拦截网络层请求,诸如因特网控制消息协议(ICMP)请求(例如,查验和跟踪路由)。在其他实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。
客户机代理120和/或***350可以以对网络堆栈310的任何其它协议层透明的方式在协议层操作或与之对接。例如,在一个实施例中,***350可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用***350。这样,客户机代理120和/或***350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。
此外,客户机代理120和/或***可以以对任何应用、客户机102的用户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或***350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中,客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或***350的存在、执行或者操作。同样,在一些实施例中,相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由***350连接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户机代理120和/或***350。
客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中,客户机代理120包括由佛罗里达州FortLauderdale的Citrix Systems Inc.开发的独立计算架构(ICA)客户机或其任一部分,并且也指ICA客户机。在一些实施例中,客户机代理120包括应用流客户机306,用于从服务器106流式传输应用到客户机102。在一些实施例中,客户机代理120包括加速程序302,用于加速客户机102和服务器106之间的通信。在又一个实施例中,客户机代理120包括收集代理304,用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。
在一些实施例中,加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序,以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106的访问,诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技术:1)多协议压缩,2)传输控制协议池,3)传输控制协议多路复用,4)传输控制协议缓冲,以及5)通过高速缓存管理器的高速缓存。另外,加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。
流客户机306包括应用、程序、进程、服务、任务或者可执行指令,所述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文件到流客户机306,用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在又一个实施例中,客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户机306可以为可执行程序。在一些实施例中,流客户机306可以能够启动另一个可执行程序。
收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户机102的信息。在一些实施例中,设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其他实施例中,收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供到网络104的客户机连接的访问、验证和授权控制。
在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户机的一个或者多个属性或者特征。例如,收集代理304可以识别和确定任何一个或多个以下的客户机侧属性:1)操作***和/或操作***的版本,2)操作***的服务包,3)运行的服务,4)运行的进程,和5)文件。收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或版本:1)防病毒软件;2)个人防火墙软件;3)防垃圾邮件软件,和4)互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一个或多个属性或特性的一个或多个策略。
在一些实施例中,客户机代理120包括如结合图1D和2B所讨论的监控代理197。监控代理197可以是诸如Visual Basic或Java脚本的任何类型和形式的脚本。在一个实施例中,监控代理197监控和测量客户机代理120的任何部分的性能。例如,在一些实施例中,监控代理197监控和测量加速程序302的性能。在又一个实施例中,监控代理197监控和测量流客户机306的性能。在其他实施例中,监控代理197监控和测量收集代理304的性能。在又一个实施例中,监控代理197监控和测量***350的性能。在一些实施例中,监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的任何资源。
监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例中,监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中,监控代理197监控和测量经由客户机代理120传送的任何应用的性能。在其他实施例中,监控代理197测量和监控应用的最终用户响应时间,例如基于web的响应时间或HTTP响应时间。监控代理197可以监控和测量ICA或RDP客户机的性能。在又一个实施例中,监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中,监控代理197测量和监控ICA或RDP会话。在一个实施例中,监控代理197测量和监控设备200在加速传送应用和/或数据到客户机102的过程中的性能。
在一些实施例中,仍参考图3,第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分,诸如***350。在一个实施例中,第一程序322包括插件组件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括由web浏览器应用载入和运行的ActiveX控件,例如在存储器空间或应用的上下文中。在又一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实施例中,第一程序322是用于在客户机102的操作***上安装如网络驱动的程序的安装程序或即插即用管理器。
D.GSLB可批处理和层次站点配置
现参考图4A,描述了设备的多站点部署的环境的实施例。简要概括,该部署可包括多个站点,如站点A、站点B、站点C、站点D、站点和站点F。每个站点可包括一个或多个设备200A-200F。客户机102可经由任何一个或多个设备访问任何一个或多个服务器或与任何一个或多个服务器通信。这些设备中的每一个可提供任何类型和形式的服务、控制或管理客户机对一个或多个服务器106A-106N的访问。任何设备可经由一个或多个网络104-104’与任何其他设备或者客户机通信。
在图4A的示例实施例的进一步的细节中,站点A包括管理多个服务器(服务器Svr-A1到服务器Svr-A2)的设备200A。站点B包括管理多个服务器(服务器Svr-B1到服务器Svr-B2)的设备200B。站点C包括管理多个服务器(服务器Svr-C1到服务器Svr-C2)的设备200C。站点D包括管理多个服务器(服务器Svr-D1到服务器Svr-D2)的设备200D。站点E包括管理多个服务器(服务器Svr-E1到服务器Svr-E2)的设备200E,以及站点F包括管理多个服务器(服务器Svr-F1到服务器Svr-F2)的设备200F。
在一些实施例中,图4的多站点部署可代表全局服务器负载平衡(GSLB)部署。一个或多个设备可被配置或者设计和构造为提供全局服务器负载平衡,并且有时被称为GSLB或GSLB设备。GSLB设备可被设计和配置为接收来自客户机的DNS请求并且将该请求的域名解析为在任何站点A-F处的所选择的设备200A-200F的互联网协议地址。在处理DNS请求时,GSLB设备可使用任何类型和形式的负载平衡方案,以选择期望的站点和/或设备,用以处理或负责客户机请求。例如,站点A设备200A和站点B设备200B可被配置为GSLB设备,其负载平衡在站点C、D、E和F之间的客户机和客户机请求,并且在一些实施例中,也涉及设备200A和200B。
环境的任何站点和设备可被布置、配置或部署成任何类型和形式的层次、或父、子和/或对等关系。任何一个设备或站点可以是另一设备或站点的对等体。例如,设备200A可以是设备200B的对等体,以提供GSLB域解析服务。任何一个设备或站点可以是另一设备或站点的父节点。例如,站点A处的设备200A可以是站点D的设备200D的父站点或设备。任何一个设备或站点可以是另一设备或站点的子节点。例如,站点F处的设备200F可以站点B和设备B的子节点。
可与任何其他设备相同地或不同地配置每个设备。在一些实施例中,可以相同地配置提供GSLB域名服务的多个设备。在其他实施例中,可以不同地配置提供GSLB域名服务的多个设备。站点可具有多个设备,其中可相同或不同地配置每个设备。可与在另一站点处的设备相同或不同地配置在一个站点处的设备。考虑到先前结合图2B描述的设备的功能,一个设备可被配置为提供加速和内容交换,而另一个设备可被配置为提供AppFw和SSL VPN功能。设备可被配置为提供本文(例如结合图2A和2B)描述的设备的任何一个实施例的功能。在一些实施例中,可部署异构设备。例如,第一设备可被提供为第一制造者的产品,并且第二设备可被提供为第二制造者的产品。在其他实施例中,可部署同构设备,其中由相同的制造者提供设备的任何版本。在一些实施例中,可部署异构和同构设备的任何组合。
现参考图4B,描述了提供多站点部署中设备的可批处理和/或层次配置的设备的实施例。简要概括,设备200A可包括vServer 275的任何实施例。设备和/或vServer可被配置为提供用于多站点部署的GSLB服务,例如经由一个或多个网络104负载平衡站点B和站点C。设备可包括配置器410。配置器410可以进一步包括主/从标识415、站点层次配置420和分发器(distributor)425。经由配置器410,可根据主/从标识符415将设备标识为主节点。设备200A可被配置为具有站点层次配置420,其包括(例如图4A中)多站点部署中所有节点的标识和配置。可经由分发器425将该站点层次配置420分发、应用或发布到其他设备。
在进一步的细节中,配置器410可包括用于配置vServer 275的任何类型和形式的功能、操作或逻辑。配置器410可包括软件、硬件或者软件和硬件的任何组合。配置器310可包括应用、程序、库、脚本、进程、服务、任务、线程或可执行指令的集合。配置器可包括任何类型和形式的用户接口。在一个实施例中,配置器410包括命令行接口。在另一个实施例中,配置器410包括图形用户接口。在一些实施例中,配置器410包括图形用户接口和命令行接口。例如,配置器410可包括结合图2B描述的设备的实施例的CLI212和/或GUI 210。在一些实施例中,配置器是vServer 275的部分。在其他实施例中,配置器与vServer 275相接或通信。
配置器410可配置本文描述的设备的任何实施例的任何特征、操作或功能。配置器410可建立和/或配置设备的一个或多个vServers 275。配置器410可识别每个vServer管理的服务器和服务。在一些实施例中,配置器410将vServer建立和配置为提供GSLB负载平衡的GSLB vServer。配置器410可将经由其他设备提供的服务识别为GSLB服务器的远程服务。在其他实施例中,配置器410将vServer建立和配置为诸如用于站点处的服务器的负载平衡vServer。配置器410可识别在设备上由设备管理的服务器的服务。
配置器410可以为多设备或者多站点部署配置站点层次420。站点层次420例如对于GSLB标识在多站点部署中站点和/或站点设备之间的关系。例如,配置器410可标识哪个设备(有时称作节点)是父、子和/或对等节点。在一些实施例中,用户经由配置器将设备标识为父站点。在一些实施例中,用户配置和标识多个父站点。在一些实施例中,用户将一个或多个对等节点标识和配置为站点的层次的顶部。用户还可以标识和配置这些顶部对等节点的子节点,其反过来可能是其他设备的父节点。在一个实施例中,用户将一个或多个设备标识和配置成任何一个或多个父节点的子节点。在这些实施例的一些中,用户将子节点标识和配置成其他子节点的父亲。在一些实施例中,在顶层节点下的一个或多个父节点也可以是对等节点。在另一个实施例中,一个或多个子节点也可以是对等节点。
可使用任何类型和形式的命令、指令或数据来定义、指定或配置站点层次420。这些命令、指令或数据可采用设备和/或vServer可读、可访问或以其他方式理解的形式。在一些实施例中,站点层次420包括一组配置命令。在一些实施例中,站点层次420可包括文本指令和数据。例如,在一个实施例中,站点层次420是文件。在一些实施例中,站点层次430包括将由设备的用户接口(如CLI)处理的命令行命令或指令的列表。在另一个实施例中,站点层次420包括一个或多个脚本或可执行文件。在一些实施例中,站点层次420涉及或包括对任何一个或多个文件的引用。在多个实施例中,站点层次420包括一个或多个应用编程接口(API)调用。站点层次420可批处理,因为可在多个设备上执行、运行或建立单个配置或文件。
配置器410可包括用于将设备或vServer标识为主节点或从节点的任何类型和形式的机制415。主标识符415可包括用于提供主节点标识的任何配置数据、设置、标志或参数。在一些实施例中,用户可设置标志或参数来将节点标识为主节点或从节点。例如,在一个实施例中,用户可选择GUI的用户接口元素来将设备标识为主节点。在另一个实施例中,用户可经由CLI在命令行命令上传送参数、值或设置标志,以将节点标识为主节点。在其他实施例中,站点层次430包括将节点设置为主节点的数据或配置命令。在一些实施例中,如果设备没被标识为主节点,那么默认且不需要特定标识,该设备可以是从节点。在另一个实施例中,可将用户选择来为多站点部署执行配置的设备看作主节点。在一些实施例中,任何对等GSLB节点可以是主节点。在另一个实施例中,多个节点可以是主节点。在一些情况下,一个节点可以是另一个节点的备份主节点。
分发器425可包括任何逻辑、操作或功能,以公布、分发或以其他方式向设备提供配置。在一些实施例中,分发器包括在设备之间的或者在另一计算装置和设备之间的任何类型和形式的通信接口。在一些实施例中,分发器可将配置文件下载、上传或通过文件传输传输到设备。在其他实施例中,分发器可将配置通过电子邮件传输到计算装置或设备。在一些实施例中,分发器执行从一个设备到另一个设备的远程过程调用(如远程shell调用)以分发配置。在另一个实施例中,分发器可将配置写到任何类型和形式的计算机可读介质。在另一个实施例中,可经由设备支持的连接和协议分发配置,如下文描述的度量交换协议(MEP)。分发器可经由诸如安全SSH、安全复制SCP或安全文件传输协议(SFTP)的安全调用、命令或连接来分发配置。
接口435可包括任何逻辑、操作或功能,以接收和应用配置信息。在一些实施例中,接口可经由文件接收任何配置。在另一个实施例中,接口可经由度量交换连接来接收配置。在一些实施例中,接口可使用上文中结合分发器描述的任何接口机制来接收由分发器分发的配置。在一个实施例中,接口可经由任何类型和形式的远程命令、程序或API调用来接收或应用配置。接口可经由安全调用、命令或连接(例如安全SSH、安全复制SCP或安全文件传输协议(SFTP))将配置应用于设备。在一些实施例中,接口可经由图形用户接口或命令行接口接收和应用来自用户的配置。在一些实施例中,接口独立于分发器并且与分发器不同。在其他实施例中,接口和分发器组合在同一单元、逻辑或功能内。
设备可与另一设备经由任何类型和形式的协议通信。在一些实施例中并且如图4B所示,设备使用任何形式的度量交换协议(MEP)进行通信,该MEP诸如是由美国佛罗里达州劳德代尔堡的Citrix System有限公司制造的NetScaler设备提供的MEP协议。度量交换协议可以是任何传输层协议、任何表示层协议或者任何应用层协议。在一个实施例中,设备使用简单网络管理协议(SNMP)进行通信。在另一个实施例中,设备使用公共管理信息协议(CIMP)。这些协议中的任何一个可由设备用于通信、交换或提供关于设备或其任何组件的配置、性能和/或操作的任何类型和形式的信息、数据、度量和/或统计。在一些实施例中,具有较低互联网协议地址的设备启动连接或做出连接请求。在其他实施例中,具有较高互联网协议地址的设备启动连接或做出连接请求。在另一个实施例中,先被标识的设备或者被标识为父亲的设备启动连接或者做出连接请求。在一个实施例中,被标识为孩子的设备启动或做出连接请求。
现参考图4C,描述了多设备和多站点部署的实施例。简要概括,该多站点配置基于所有站点和设备之间的对等关系。站点A和设备200A是站点B-F处每个设备的对等节点。同样地,站点B、C、D和F中的每个站点是其他站点的对等节点。每个站点处的每个设备具有独立和不同的配置420A-N。基于该配置和对等关系,每个设备建立并且具有与每个对等设备的度量交换连接。在一种类型的层次和配置的该实施例中,所有设备与每个其他设备通信并且需要被配置为与每个其他设备通信。
在图4C的示例性实施例中,每个设备具有独立的配置。举例来说,下表示出了配置或者配置的部分,以在多站点部署的层次中标识每个站点和节点。下述添加命令具有语法:
add gslb<site identifier><internet protocol address>
该命令添加站点到gslb配置,并且通过站点标识符和互联网协议地址标识该站点。可使用任何类型和形式的站点标识符,包括任何基于文本、数字或字母数字的字符。IP地址可以是经由该部署的网络可用的期望或支持的IP地址。
上述配置列举了采用用于诸如NetScaler设备的设备的示例性实施例的格式的一组配置命令。可使用任何其他类型和格式的命令或指令。在一些实施例中,如每个站点特定配置420A-420F所指出的,每个站点可能仅具有整个拓扑或GSLB层次的部分或有限视图。
现参考图4D,描述了多站点部署的另一个实施例。在该实施例中,集中式或单个配置420用于配置每个设备的站点层次。采用这种方式,每个设备可利用单个配置420来标识和了解站点层次。简要概括,图4D的站点层次包括参与GSLB的三个对等站点A、B和C。站点D、E和F包括充当对等节点中的一个的子节点的站点。
对于图4D中描述的拓扑,站点层次配置可使用选项来定义称为“父站点”的站点。父站点为子节点标识已建立站点(父节点)的站点标识符。使用该选项,可创建跨所有站点可批处理的配置。
每个设备200A-200F可基于站点层次配置420执行和配置一个或多个vServer。尽管以称作父站点(parentSite)的格式和参数进行了描述,但其他实施例可使用标识子节点的参数选项(如-childSite)或者标识对等节点的参数选项(如-peerSite)。
使用这些选项来将站点层次的节点标识为对等体、孩子和/或父亲,同样的配置提供在站点之间的逻辑关系,并且向所有设备提供完整的GSLB站点拓扑。使用这种类型的站点层次配置,每个站点知道与哪些其他站点连接。在一些实施例中,该站点层次配置标识设备经由连接的网络可达的紧邻的站点(immediate site)。在一些实施例中,这一类型的站点层次配置标识用于经由度量交换连接接收的度量或统计(如特定GSLB服务的统计)的那些设备或站点。在一些实施例中,使用可批处理的这一类型的站点层次配置,可能不存在由管理员作出的对部署的配置的改变。就是说,在一些实施例中,将相同的GSLB站点层次配置应用到拓扑中的所有设备。
如图4D所示,已经减少了在设备之间的连接数量。使用标识整个GSLB拓扑的站点层次配置420,每个站点和设备都知道全部站点拓扑。使用该信息,设备可确定与其他设备的期望或优化的度量交换连接。例如,在一些实施例中,子站点的设备仅连接到父站点的设备。在一些实施例中,父站点连接到作为父亲的对等体并且连接到任何直接的子节点。
在一些实施例中,子站点执行到父站点的度量交换连接。例如,在站点E处的设备200E可经由到站点A的设备200A的父站点的连接来提供统计。设备200A的GSLB vServer可使用这些统计来执行站点之间的负载平衡。在一些实施例中,子站点不连接到另一个子站点。例如,设备200E可以不连接到设备200D。在一个实施例中,子站点不接受来自非父站点的任何连接。例如,如果设备200D尝试连接到设备200E,则设备200E可拒绝、丢弃或以其他方式不接受该连接请求。在一些实施例中,子站点仅接收来自直接的父站点的连接。在其他实施例中,子站点接收来自另一个子站点、对等站点或非直接的父站点的连接。
对于GSLB负载平衡,可交换对等节点的统计。例如,在图4D中,站点的设备200A和站点B的设备200B以及站点C的设备200C中的每一个都具有到彼此的度量交换连接。对于对等体的子站点上的服务的统计,父站点提供该信息。例如,设备200A获得来自子站点设备200D和设备200E的统计。设备200A与设备200B和200C交换来自设备200D和200E的统计。同样地,设备200C获得来自设备200F的统计,并且将这些统计提供给设备200B和200A。如果站点或设备不标识父站点,则在一些实施例中,该设备将所有站点标识为对等体并且连接到这些站点中的每一个。如果没有站点被配置为具有父站点,那么所有站点被看作对等体并且每个站点具有到其他站点的度量交换连接。
在一些实施例中,层次可具有任意数量的级别。在其他实施例中,可将层次限制为预定数量的级别。在一个实施例中,可将站点层次限制为总共32个站点参与GSLB。通过示例性的实施例,下文是在层次中的特定层或级别处的站点的特征。
GSLB站点(如父站点)配置的实施例:
LB站点(如子节点)配置的实施例
尽管在GSLB的上下文中有时将站点层次称作GSLB站点层次,但不管是不是GSLB上下文/环境,本文描述的***和方法的多个实施例应用于多站点或多设备部署。
现参考图4E,描述了经由可批处理配置将站点层次部署到多设备部署中的每个设备的方法的实施例。简要概括,在步骤480,在标识为主节点的设备上配置或提供GSLB站点配置。在步骤482,多个站点中的每个设备接收GSLB站点层次配置的副本。在步骤484,每个设备应用GSLB站点层次配置并且在配置中标识自己。在步骤486,每个设备标识来自GSLB站点层次配置的对等体信息,并且在步骤488,每个设备标识来自GSLB站点层次配置的父亲和孩子信息。在步骤490,设备响应于配置建立度量交换连接。
在进一步的细节中,在步骤480,用户可以在多站点部署的任何设备上配置任何类型和形式的站点层次,如GSLB站点层次。用户可使用对等站点、父站点和/或子站点中的一个或多个的任何组合来为GSLB站点层次定义或指定任何拓扑。在一些实施例中,用户定义具有单个顶部节点的站点层次。在其他实施例中,用户定义在层次顶部处具有多个对等节点的站点层次。用户可在站点层次中指定任意数量级别的父和子节点。每个对等节点可以是任意数量的站点的父亲。作为顶层节点的孩子的每个站点,还可以是具有任意数量的孩子的父节点,并且每个孩子还可以是任意数量的进一步的孩子节点的父亲。
诸如管理员的用户可将任何站点的任何设备标识为主节点,以用于配置站点层次。在一些实施例中,用户将顶部节点标识为主节点。在另一个实施例中,用户将作为父站点的孩子的设备标识为主节点。在一些实施例中,用户将多个设备标识为主节点。在一些情况下,设备被指定为备份主节点。在一些实施例中,用户经由设备的配置来指定该设备是主节点。在另一个实施例中,设备被认为是主节点是因为用户在该设备上配置站点层次。
在步骤482,站点层次中的任何其他设备可接收来自用户、主节点或者来自另一个设备的站点层次的副本。在一些实施例中,用户或设备可向多站点部署中的其他设备中的每一个分发主节点的站点层次420。在一些实施例中,用户经由计算机可读介质将站点层次的电子或计算机可读副本从一个设备传送到另一个设备。在一个实施例中,用户经由该设备上的配置(例如经由设备的CLI或GUI)配置任何其他设备。在另一个实施例中,用户或主节点经由分发器425公布或分发站点层次。在一些实施例中,用户或主节点经由接口435将站点层次应用到一个或多个设备。
在步骤484,接收站点层次的每个设备执行或以其他方式应用配置。每个设备上的接口435可接收站点层次配置并且执行或应用每个配置命令。每个设备上的配置器410可接收和应用站点层次配置的每个配置命令。在一些实施例中,设备或其任何部分经由设备的CLI将站点层次配置执行为可批处理的脚本。在其他实施例中,配置将站点层次执行为可批处理的一组配置命令。例如,设备的CLI或GUI可在站点层次配置文件中读取,并且将文件中的每行处理为配置命令。在一些实施例中,对配置器的API调用使得配置器应用在站点层次配置中的每个配置命令。
应用配置的设备可确定或识别对支持、寄载或经由设备以其他方式提供的站点标识符的任何引用。设备可包括标识设备的站点的标识符的任何配置。例如,站点A的设备200A可具有为该设备配置的站点A的标识符。在一些实施例中,在处理站点层次配置时配置器或配置的接口确定引用为该设备配置的站点标识符的一个或多个配置命令。在其他实施例中,配置器或设备的接口确定引用支持、寄载或经由该设备以其他方式提供的IP地址的站点层次中的任何配置命令。例如,设备200C可在应用站点层次配置时识别IP地址IP-C是用于其自己的IP地址。在另一个实施例中,设备可使用站点标识符和IP地址的组合来识别引用自己的配置命令。采用这些方式中的任何一个,设备可基于对设备站点标识符和/或IP地址的识别来确定在站点层次中的哪里配置了该设备。
基于此以及来自配置的任何其他站点、父亲、对等体和/或孩子信息,设备可确定由站点层次配置表示的站点的整体拓扑。在一些实施例中,设备可基于配置命令在配置中的顺序或位置来确定站点的拓扑。在一些实施例中,设备可基于配置命令的参数或选项或缺少该参数或选项,经由配置来确定站点拓扑。设备例如经由配置可以在存储器或存储装置中采用任何方式来存储该站点拓扑,例如经由数据结构或文件来存储。在一些实施例中,设备使用基于树的数据结构用于表示站点层次。
在步骤486,每个设备根据配置标识任何对等节点。在应用站点层次配置期间、随后或之后,设备例如经由配置器可确定其任何对等节点的站点标识符和/或IP地址。例如,任何顶层GSLB站点(如图4D中的站点A、b和C)可确定在层次的相同级别处的其他站点。在一些实施例中,设备确定没有将任何父侧标识为顶层对等节点的那些站点。在顶层之下的任何级别处的设备可标识其他对等节点,如共享相同父节点的子节点。由于知道全部拓扑,设备可基于该拓扑配置、执行或操作。例如,设备可基于拓扑监控服务。在另一个实施例中,设备可基于拓扑建立和共享度量。
在步骤488,每个设备标识来自配置的父亲和/或孩子信息。在应用站点层次配置期间、随后或之后,设备例如经由配置器可确定被标识为父亲的任何站点的站点标识符和/或IP地址。在一些实施例中,经由配置参数标识站点的直接父亲,例如-parentSite。在一些实施例中,设备确定经由父站点标识符标识的任何站点,包括不是当前设备的直接父亲的那些站点。在应用站点层次配置期间、随后或之后,设备诸如经由配置器可确定被标识或确定为孩子的任何站点的站点标识符和/或IP地址。例如,指定父站点的配置命令可包括作为子节点的节点的站点标识符和/或IP地址。
在步骤490,每个设备响应于由配置表示的GSLB站点层次建立度量交换连接。在将GSLB站点层次配置应用到为多站点部署的设备时,每个站点及其设备具有整体拓扑的表示。基于识别的拓扑以及设备的配置,每个设备可根据该站点层次建立与其他设备的度量交换连接。在一些实施例中,子站点的设备建立与父站点的设备的连接。在一些实施例中,父站点的设备建立与每个子站点的连接。在另一个实施例中,对等站点的每个设备建立与每个对等体的连接。在一些实施例中,基于和/或响应于拓扑,设备可以不接受来自另一设备的连接。例如,第一父站点的子站点的设备可以不接受来自第二父站点的子站点的连接。采用这种方式,多站点部署的设备可以采用拓扑驱动的方式来更有效地建立度量交换连接和共享度量。
E.GSLB自动同步
现参考图5A和5B,描述了用于在设备之间的同步配置的***和方法。可使用用户驱动的方法来配置被标识为主节点的设备,并且将该主节点的配置与其他设备同步。例如,如结合图4A-4E所描述的,用户可配置站点层次420。使用图5A和5B的***和方法,用户可同步多站点部署的每个设备,以使用主节点的站点层次配置。
总的来说,该同步解决方案涉及将站点标识为主GSLB节点。拓扑中所有其他节点可自动变为该主节点的从节点。主节点可得到每个从节点的当前运行的GSLB配置。例如,主节点可被配置为登录到每个从节点。将这些配置中的每一个与主节点的当前运行的配置进行比较。主节点为每个从节点生成配置命令集合,可将该配置命令集合应用在从节点上以得到与主节点相同的从节点的GSLB配置。主节点接着将这些生成的配置命令集合中的每一个应用到对应的从节点。
现参考图5A,描述用于在多设备或多站点部署中的设备之间同步配置的设备的实施例。简要概括,设备200A、200N和200N可以部署在多站点环境中。设备200A可部署在站点A处,而设备200B部署在站点B处且设备200C部署在站点C处。在该示例性的实施例中,可经由主标识符415将设备200A设计为主节点。用户可经由配置410配置站点层次420。配置的接口425可获得来自设备200B和200C中的每个的配置420B-C。比较器510将每个接收的配置420B和430C与主节点的配置420进行比较。生成器515响应于比较器生成用于每个设备的配置命令集合520B和520C。主节点200A可经由接口435将这些配置命令集合520A-520N中的每一个应用于对应的设备,以将每个从设备配置与主设备配置同步。
在进一步的细节中,配置器410可包括上文结合图4A-4E描述的主/从机制415、站点层次420和接口425的任何实施例。
在进一步的实施例中,接口420可被设计和构造为使用任何认证技术和机制来认证和/或登录设备。在一些实施例中,设备可被配置为使用用户标识符和密码来经由接口(例如经由第二设备的第二接口)登录到另一个设备。在一些实施例中,使用预定的用户id和密码对来配置设备,以用于登录到另一个设备。例如,被登录的设备可包括并且识别用于任何其他设备的用户id和密码。在一些实施例中,为了避免每次登录到从节点时由主节点提供密码,设备可具有主从对,以使用任何类型和形式的公钥认证方法来自动登录。在一些实施例中,可使用不具有密码的预定的、专用的或内部用户id。
在一些实施例中,接口可包括在设备上启动或执行任何类型和形式的脚本。在一些实施例中,接口可执行perl、awk或sed脚本。接口可进行任何本地或远程***调用,例如经由脚本或经由API。接口可进行对设备的操作***的***调用。在一些实施例中,接口可进行对设备的任何应用或程序的API调用。在一个实施例中,接口使用远程CLI功能来访问和获得来自远程设备的信息。在一些实施例中,配置器确定将不同步从节点或远程节点。例如,一个站点节点经由配置或度量交换指定其没有被选择为同步过程的部分。在一些实施例中,站点设备可提供指示不应该改变该设备上的配置的信息。在一个实施例中,站点设备可提供指示应该跳过同步该设备上的配置的信息。
主节点的配置器例如经由接口可自动登录到每个从节点,并且使用一个或多个远程调用(例如SSH、SFTP和/或SCP)来检索来自从节点的配置。同样地,主节点的配置器可自动登录到每个从节点并且经由一个或多个远程调用(例如SSH、SFTP和/或SCP)将更新的配置应用到每个从节点。配置器可确定设备或站点的列表,以经由站点层次配置420检索配置。例如,配置器420可从存储器或存储装置访问和/或读取主节点的当前站点层次配置。在另一个实施例中,配置器可执行命令来输出本地运行的站点配置410。配置可捕获该输出。配置器可对从节点的列表进行排序,以按任何顺序获得配置。在一些实施例中,配置器可通过站点标识符和/或IP地址来枚举从节点的列表。在另一个实施例中,配置器可根据站点的拓扑来枚举从节点的列表,例如首先是顶部对等节点,接着是这些顶部节点的子节点,等等。
使用枚举的从节点的列表,配置器诸如经由接口可登录到每个从节点并且检索当前配置。配置器可获得列表中从节点的用户id和密码或认证证书。每个从节点可具有相同或不同的证书。使用该证书,配置器可登录到从节点的设备。配置器可以在从节点上执行命令以输出或提供设备的当前运行的配置。配置可将从节点的配置传输或复制到主节点。例如,配置器可执行远程外壳(shell)以将远程节点的GSLB站点配置输出到文件,并且将该文件远程复制或通过文件传输传输到主节点。
配置器可包括任何类型和形式的比较器510,以用于比较一个配置和另一个配置。比较器可包括结合图4B描述的配置器的任何软件和/或硬件实施例。比较器可包括在一个配置420A的每个配置命令和第二配置420B的配置命令之间执行差异的逻辑、功能或操作。例如,比较器可执行命令与命令的比较。在一些实施例中,比较器识别在一个配置中的站点的配置命令,并且比较在第二配置中该站点的配置命令的相似之处和差异。比较器可以为枚举的站点列表中的每个站点执行该比较。在一些实施例中,比较器确定正被比较的每个配置的站点拓扑,并且输出站点拓扑之间的差异。在一些实施例中,比较器确定由每个配置表示的站点拓扑,并且输出拓扑中相同的那些部分。在这些实施例中,比较器可比较每个配置的拓扑,例如通过遍历任何类型和形式的树表示(如存储器中的链表或数据结构)。比较器510可用任何形式或格式输出比较的结果。在一些实施例中,比较器产生差异和/或相似之处的文件。在另一个实施例中,比较器提供包括差异和/或相似之处的信息的数据结构或对象。在一些实施例中,比较器用站点配置420的形式提供差异或相似之处。
配置器420可包括生成器515,其生成、产生或提供配置命令集合520A-520N,以处理在被比较的配置之间在配置中的任何差异。生成器可包括结合图4B描述的配置器的任何软件和/或硬件的实施例。生成器515可响应于比较器510和/或由比较器产生的任何输出进行操作。在一些实施例中,生成器响应于配置器410的任何部分操作,如响应于接口425或者CLI或GUI。
生成器515可生成任何命令或指令520A-520N,其改变一个配置以与另一个配置匹配或同步。例如,生成器可生成一组配置命令来改变从节点的配置,以与主节点的配置匹配或同步。生成器可使用与站点层次配置420相同的命令语言、语法或格式来生成配置同步命令集合520A-520N。生成器可生成如由设备支持的命令、脚本或指令。命令集合520A-N可以是任何类型和形式的脚本,例如可经由CLI执行的脚本。
命令集合520可包括添加站点、移除站点和/或改变站点配置或多站点层次的拓扑的任何命令、指令或配置。命令集合520可包括改变站点配置的一个或多个参数或选项的任何命令或指令。命令集合520可包括在进行改变时停止操作的任何指令。命令集合520可包括备份或保存当前配置的副本的任何指令。命令集合520可包括设置配置的回滚点的任何指令。在一些实施例中,命令集合520被设计和生成为使得运行该命令集合的结果是与主节点的当前运行的配置相匹配或对应的从节点的当前运行的配置。在一些实施例中,命令集合520被设计和生成为使得运行该命令集合的结果是与主节点的当前运行的GSLB站点层次配置相匹配或对应的从节点的当前运行的GSLB站点层次配置。
每个命令集合可以相同或不同。在一些实施例中,每个检索的从节点的配置不同,导致不同的命令集合来同步每个从节点。在其他实施例中,每个检索的从节点的配置相同,导致相同的命令集合来同步每个从节点。在另一个实施例中,一些检索的从节点的配置相同并且其他不同,导致一些生成的命令集合相同并且其他生成的命令集合不同。
配置器经由接口425可将配置命令集合应用到每个从设备,以同步配置。在一些实施例中,配置器响应于生成器和/或比较器来同步配置。在其他实施例中,配置器按预定计划来同步配置。在一些实施例中,配置器基于来自从节点的请求同步配置。在另一个实施例中,配置器基于用户输入或响应于用户的请求同步配置。
现参考图5B,描述了用于在设备之间同步配置的方法步骤的实施例。简要概括,在步骤580,标识主节点并且主节点登录到从节点。在步骤582,主节点获得来自这些设备的配置。在步骤584,主节点将每个获得的配置与主节点的配置进行比较。在步骤586,主节点基于比较为每个设备生成配置命令集合。在步骤588,主节点将每个配置命令应用到对应的设备以同步配置。在步骤590,每个设备根据同步的配置进行操作。
在进一步的细节中,在步骤580,诸如管理员的用户可将任何站点的任何设备标识为主节点,以用于配置站点层次。在一些实施例中,用户将顶部节点标识为主节点。在另一个实施例中,用户将作为父站点的孩子的设备标识为主节点。在一些实施例中,用户将多个设备标识为主节点。在一些情况下,设备被指定为备份主节点。在一些实施例中,用户经由设备的配置指定该设备是主节点。在另一个实施例中,设备被看作主节点,由于用户在该设备上配置站点层次。
可以使用任何类型的GSLB站点层次来配置主节点或者主节点可操作任何类型的GSLB站点层次。主节点的站点层次可使用一个或多个对等站点、父站点和/或子站点的任何组合来定义或指定任何拓扑。在一些实施例中,用户定义具有单个顶部节点的站点层次。在其他实施例中,用户定义在层次顶部处具有多个对等节点的站点层次。用户可在站点层次中指定任意数量级别的父和子节点。每个对等节点可以是任意数量的站点的父亲。作为顶部节点的孩子的每个站点还可以是具有任意数量的孩子的父节点,并且每个孩子还可以是任意数量的进一步子节点的父亲。
在步骤582,主节点可从由主节点的站点层次表示的多站点部署中的一个或多个其他设备或者从节点获得站点层次配置。在一些实施例中,根据用户的请求,主节点标识在主节点的节点站点层次中的设备和站点。主节点可以使用任何预定的认证方案来自动地登录到每个设备。主节点可执行任何壳(shell)或命令行命令来获得每个从节点的站点层次配置,并且将该配置传输或复制到主节点。在一些实施例中,主节点并发地获得这些配置。在其他实施例中,主节点连续地获得这些配置。主节点可唯一标识来自每个从节点的每个配置,并且将其存储到存储器或存储装置中。在一些实施例中,主节点确定不应该同步一个或多个从节点。例如,主节点或从节点上的配置可标识不应该改变从节点的配置或者从节点不参与同步。响应于该标识,可跳过或者不执行本方法的任何一个或多个步骤。
在步骤584,主节点例如经由比较器来将每个获得的从节点配置与主节点的节点配置进行比较。在一些实施例中,主节点在收到从节点的配置时执行该比较。在其他实施例中,主节点在收到来自所有标识的从节点的配置时执行该比较。在一个实施例中,主节点执行与不同批次的多个从节点配置的比较。在一些实施例中,主节点确定是否有从节点的配置相同,并且响应于该确定为共同配置执行一次比较。
在步骤586,主节点为每个从节点配置生成配置命令集合,以将从节点配置与主节点配置同步。在一些实施例中,主节点的生成器响应于比较器的比较生成配置命令集合。在其他实施例中,主节点的生成器响应于用户或用户请求为每个从节点生成配置命令集合。
在步骤588,主节点应用命令集合以同步在每个对应从节点处的配置。在一些实施例中,主节点的接口响应于生成器应用同步命令集合。在一些实施例中,主节点的接口在生成同步命令集合随后应用该同步命令集合。在其他实施例中,主节点的接口在完成对所有标识的从节点配置的比较和/或生成时,应用同步命令集合。在一些实施例中,主节点彼此并发地应用同步命令集合。在其他实施例中,主节点彼此连续地应用同步命令集合。在一些实施例中,主节点根据从顶部节点或底层叶子节点开始的层次的级别应用同步命令集合。
在步骤590,作为完成同步多站点部署中的设备之间的配置的结果,每个设备使用与主节点的站点层次的至少相同部分进行操作。在一些实施例中,每个设备用相同的GSLB站点层次进行操作。在其他实施例中,一些设备使用相同的GSLB站点层次进行操作,而一些其他设备使用相同的GSLB站点层次的部分进行操作。响应于对GSLB站点层次的更新或改变,任何一个设备可考虑到该更新或改变来改变该设备的操作。在一些实施例中,一个或多个设备可解除或丢弃度量交换连接。在另一个实施例中,一个或多个设备可建立度量交换连接。
尽管有时可结合GSLB站点层次420来描述图5B的方法实施例,但本文描述的***和方法可用于可跨设备共有、共享或可批处理的任何类型和形式的配置。
尽管考虑获得配置、执行比较和生成配置改变的主节点来描述图5B的方法的实施例,但每个从节点可获得主节点配置、执行比较,并且在从节点上生成和应用配置的改变。
F.将目标配置文件与源配置文件同步
在一些方面,本***和方法允许用(可能来自另一个网络设备的)另一配置来更新或同步网络设备的配置。使用同步,可确定在两个或更多设备上的配置的差异,并且可以自动传播和/或在一个或多个设备上应用对一个或多个配置的改变。在一些实施例中,配置更新可用于多站点部署和同步。一些配置可包括很多行命令或配置语句,以致需要大量存储器来更新这些配置,或将它们与另一配置同步。本***和方法可提供用于配置同步的相对可伸缩的方法,该方法有效利用了存储器。
在一些实施例中,***(如图5A中描述的***)可包括网络中的多个装置或设备200。可能需要在两个装置或设备上具有相同的配置。一个装置或设备可被指定为具有源配置的源装置。另一个装置或设备可被指定为具有目标配置的目标装置。在一些实施例中,诸如上文结合图4B和5A描述的配置器410的配置器,可执行配置更新或源和目标配置之间的同步。配置器可驻留在通过网络与源和/或目标装置通信的装置中和/或在该装置上执行。在一些实施例中,配置器可驻留在目标装置或源装置中和/或在目标装置或源装置上执行。
在一些实施例中,配置器可从源装置(例如向存储器中)转储整个源配置(或源配置的大部分),以执行目标配置的批量更新。在一些情况下,源和/或目标配置可包括大量行或条目的命令和/或设置,其大约有数千个或者更大的数量级。随着复杂度和新特征的增加,新装置中的配置的大小预计会显著增加。在这些实施例的一些中,批量更新的蛮力(brute force)法可能不可行或者效率不高。在某些实施例中,配置更新不只包括简单的替换或重写目标文件。使用(例如在正确序列中应用的)一个或多个设置或命令来撤销或改变在目标配置中的设置或命令可能是必要的或者适当的。因此,批量比较差异和/或批量更新可能超出传统方法的能力。
在一些其他的实施例中,配置器可智能地标识用于更新的目标配置的一个或多个部分,并且可以应用必要的一个或多个命令或者一个或多个设置来执行该更新。在一些实施例中,配置器可包括能够执行该更新的程序或工具(例如nsconfigaudit工具)。然而,在一些实施例中,配置器不能处理巨大或大的配置,或者超过一定大小(例如多于1000行)的配置。在一些实施例中,配置器可能能够处理例如多达数千行的配置。然而,更大的配置(例如数十万行)可能超出该配置器的能力。在各个实施例中,随着配置的大小和/或两个配置(例如,组合的或者独立的源和目标配置)之间的差异的增加,配置器可能消耗更多存储器。在一些情况下,配置器可消耗更多的存储器直到存储器被耗尽,并且可能死机以及不能完成配置更新。存储器的使用对配置的大小和/或差异的直接依赖可能导致对配置器的处理能力的限制。此外,在一些实施例中,随着配置大小和/或差异的增加,整个过程有时变得更慢。
图6A和6B描述了用于将目标装置的目标配置文件与源装置的源配置文件同步的方法步骤的一个实施例的流程图。在一些方面,本***和方法可以通过使用(例如与批量更新方法相比)较少的存储器和/或较少的时间来智能地比较两个配置和/或生成更新或同步命令。同步命令有时称作校正命令,其可以应用在目标装置中以更新对应的目标配置。更新或同步命令可包括任何形式的配置设置、命令、指令(后文有时总的称作“命令”、“校正命令”或“设置”)。
在一些实施例中,本***和方法提供可以处理任何大小的配置的配置器。例如,配置器的存储器使用可能不取决于配置大小和/或配置差异。在某些实施例中,配置器可以刚完成在两个配置文件之间的关于第一命令的比较就开始生成校正命令。可以明显地减少得到校正命令的等待期间。在一些实施例中,配置器可以响应于对多个命令(例如预定数量个命令)的比较、预定的命令组或类型,或者任何其他触发条件来生成校正命令。例如,配置器可以在比较来自目标配置的100个命令(或者任意预先配置的数量的命令)随后,或者在比较具有指定的op和ot组合的所有目标命令随后开始生成校正命令。
在一些实施例中,每个源和目标配置可包含在一个或多个文件中。这些文件中的每一个可包括一个或多个命令。配置器可将这些文件中的一个或多个转储或存储到例如临时文件中。配置器可使用一个或多个标识属性来唯一地标识命令,或命令的类型/类别。该属性的示例可包括任何标识符、变元、选项、字符串或命令的元素。在一些实施例中,可使用一个属性或者属性的组合来标识相同类别或类型的命令。在一个说明性的实施例中,配置器可通过操作(op)和对象(ot)的组合来唯一地标识每个命令。例如,在命令“enablens feature cs”中,“enable”可以是操作且“feature”可以是对象。
再次参考图5A,比较器可包括解析器530和比较器510。例如,比较器510可以包括上文中结合图5A描述的比较器510的任何特征。解析器530可包括用于从规则的、格式化的和/或定制文件(如配置文件)中解析、读取、分析、提取、组织信息的任何类型和形式的功能、操作或逻辑。在一些实施例中,解析器530被设计、配置或改编以适用于从指定类型的配置文件中解析命令和/或配置设置。解析器530可被设计、配置或改编以适用于将一个格式或版本(例如与一个设备兼容)的配置翻译为另一格式或版本(例如与另一个设备兼容)的配置。解析器530可包含提取、翻译和加载(ETL)应用的任何一个或多个特征。解析器530可包括软件、硬件或软件和硬件的任何组合。解析器530可包括应用、程序、库、脚本、进程、服务、任务、线程或一组可执行指令。在一些实施例中,解析器530可以是比较器510的组件或任何其他模块,或者可与任何其他模块共享元素。
解析器530可从命令中标识和/或提取一个或多个属性,并且可将命令标识为属于命令的一种类别或类型。在一些实施例中,解析器可将相似的命令(例如,具有相同op和ot组合的命令)分组到一起。解析器可将源和/或目标配置文件读取为解析器的输入。解析器可以(例如根据命令类型或类别)为源和/或目标配置文件执行命令分组。解析器可以从源和/或目标配置文件移除重复命令。在一些实施例中,解析器可假设在提供的输入文件中没有重复命令。
解析器可以在源配置上执行索引。解析器可基于从配置解析出的一个或多个项目或者属性执行索引。例如,且在一些实施例中,可解析源配置文件来生成列表、表、数据库或任何其他数据结构,其可以包括下列条目:
a.操作(op),
b.对象(ot),
c.指向配置文件中具有相同op和ot组合的组中的第一命令的指针(例如开始点(startPoint)),
d.指向配置文件中具有相同op和ot组合的组中的最后命令的指针(例如结束点(endPoint)),
e.示出是否已经处理了关于op和ot组合的条目的标志(例如isProcessed)。例如,该标志的默认值可被设置为FALSE。在该实施例中,一旦成功比较了源文件中所有对应的条目,则可将该标志标记为TRUE。
该列表或数据结构有时可被称作索引列表。在一些实施例中,取代op和ot,可使用与一些其他共同或标识属性或者属性的组合相对应的条目来生成列表。与配置文件相比,列表中的数据在尺寸上相对较小。在一些实施例中,配置器可使用下列说明性数据结构来生成或创建列表(例如单向链表),以在存储器中存储、保持或包含索引数据:
在各个实施例中,(例如与配置文件相比)索引数据可以不占用很多存储器。存储器可以是设备上的或者配置器驻留的任何装置上的存储器。存储器可以是共享存储器,或者是分配给或专用于配置器的存储器。存储器可包括任何类型或形式的存储器,如上文在图1E和1F中描述的实施例。通过避免对存储器的过度使用,可改善配置器的处理速度。当配置器的比较器使用索引数据匹配目标配置命令与源配置中的命令时,匹配/比较可以明显较快或相对较快。例如,取代执行如批量加载和比较方法中的大量读/写操作,通过使用索引列表从源配置中定位命令的相似组,可节省大量时间。
在一些实施例中,比较器从目标配置的底部开始,并且将最后的未处理命令加载到存储器中。由于配置文件的特定格式和/或一些命令的固有序列,比较器可以从底部开始。例如,在一些实施例中,比较器从底部开始并且运行到顶部的原因是:在配置文件中绑定命令在添加命令之后。在其他实施例中,比较器可以例如基于一些条件、约束或特定原因,从顶部开始、从另一个位置开始,和/或根据一定的顺序。例如,比较器可能需要或希望在处理另一种类型的命令(例如添加命令)之前处理一种类型的命令(例如绑定命令)。在某些实施例中,在为例如移除绑定实体生成校正命令时,可能需要在移除命令之前生成解绑命令。处理该问题的一个方式是解析器可颠倒目标配置中命令的顺序。在另一个实施例中,比较器可以(例如以尾部命令(tailcommand)会采用的方式)从底部开始处理目标配置文件。在某些实施例中,后者(例如首先考虑最后的命令)可以是优选的或被设置为用于配置器的默认方式。
比较器可跟踪索引列表,以匹配目标配置命令的标识属性。例如,比较器可以为从目标配置加载的命令匹配op和ot组合。索引列表中的匹配可向比较器提供对于要比较的、来自源配置的命令的对应的startPoint和/或endpoint。索引列表可标识来自源配置的对应命令的位置和/或计数。比较器可将从startPoint和/或到endpoint的源配置的部分加载到存储器中。比较器和/或解析器可根据加载的部分创建具有多个节点的列表。每个节点可包括来自标识的命令(例如在startPoint和endPoint之间)的命令的信息或细节。
如果在索引列表中没有找到匹配,则可能意味着在源配置中不存在与加载到存储器中的所选择的目标配置命令的标识属性相对应的命令。在一些实施例中,如果在索引列表中没有找到匹配,则不加载来自源配置的命令。由于没有加载来自源配置的命令,因此不创建或生成列表。如果在索引列表中找到匹配,可从加载的部分创建非空列表。该非空列表可包括一个或多个相似的命令(例如,具有共同的属性,该属性可与用于索引该组命令的标识属性相对应)。在该相似命令的组之中,可使用ARGUID或变元标识符来唯一地标识每个命令。ARGUID可以是唯一的变元或者命令中变元的唯一组合。例如且在一些实施例中,在下列命令之间,服务器名称可以是区分元素。由于在该说明性命令的组中,没有两个服务器可以具有相同的名称,所以可将服务器名称用作唯一标识符或ARUGUID:
add dns nsRec.a.root-servers.net-TTL 3600000
add dns nsRec.b.root-servers.net-TTL 3600000
add dns nsRec.c.root-servers.net-TTL 3600000
add dns nsRec.d.root-servers.net-TTL 3600000
比较器可比较从目标配置加载的命令和从源配置加载的每个命令。比较器可进行比较直到找到关于ARGUID的匹配或者到达列表的末端。在一些实施例中,可能出现下列两种情况。第一,可能没有找到关于ARGUID的匹配。在这种情况下,命令可能存在于目标配置中,但不存在于源配置中。为了将目标配置与源配置同步,可能需要从目标配置中移除该命令。例如,响应于确定没有匹配ARGUID,配置器的生成器515可生成校正命令。生成器515可生成校正命令来移除目标配置的命令。例如,生成器515可生成与目标配置或目标装置中的原始添加/设置/绑定命令对应的rm/复位/解绑命令。
在一些实施例中,可找到关于ARGUID的匹配。如果找到关于ARGUID的匹配,可比较在对应的命令对之间的其他变元或属性。如果全部变元都匹配,则可将该命令确定为彼此相同(例如,同步的)。响应于该确定,配置器可确定对于加载的命令不需要同步动作或更新。配置器可确定不需要进一步的动作或操作。
如果一个或多个变元/属性不同,则生成器可生成一个或多个校正命令来更新或同步目标配置。例如,取决于目标配置命令,该一个或多个校正命令可包括“设置命令”或一组“复位和设置”命令,或者一组“解绑和绑定”命令。
如果来自列表的节点与从目标配置加载的命令相匹配,则可从列表中移除该节点。移除该节点可减少对于下一个命令的比较次数。在一些实施例中,当从列表中移除了所有条目时,索引列表中的条目可被标记为已处理,例如,在对应索引列表条目中的isProcessed变量可被标记为TRUE。
可从目标配置中将下一命令加载到存储器。如果标识属性(例如该命令的op和ot组合)与列表的该属性匹配,则可以重复上文描述的过程。在一些实施例中,如果不存在匹配,则可以用尽在目标配置处具有相同标识属性(例如op和ot组合)的命令的组。在这种情况下,比较器可检查列表是否仍具有任何节点。如果存在额外节点(不匹配的节点),则在源配置处可能存在一些额外的条目/命令,可能需要将该条目/命令添加到目标配置。可由生成器将来自未用尽节点的命令生成为校正命令。一旦生成校正命令或者将校正命令传送给目标装置,就可以(例如由配置器从存储器)释放该列表。在一些实施例中,当对应索引列表条目中的isProcessed变量被标记为TRUE时,可释放该列表。
可重复该过程直到用尽目标配置文件中的命令。在一些实施例中,可由配置器跟踪索引列表,以检查是否存在未处理的任何条目,例如,isProcessed仍被标记为FALSE。不存在该条目可意味着目标配置没有有待处理(例如要被移除、添加和/或改变)的对应命令。当存在额外条目时,可由生成器将额外配置命令生成为校正命令,并且可(例如从存储器)释放索引列表。
在一些实施例中,配置器克服了用于同步的存储器使用对配置大小(例如,组合的源和目标配置文件大小)和/或配置中的差异的依赖性。在某些实施例中,在任何时候,可以由配置器将仅来自源配置的特定命令集合加载到存储器中。在任何一个时间,可由配置器将来自目标配置的一个命令加载到存储器中。这样可以明显地减少存储器使用。首先,对于目标配置,使用存储器以仅仅加载单个命令,而不是例如加载整个配置。配置器可以仅将与从目标配置加载的命令相关联的来自源配置的命令的部分加载到存储器中。索引(例如索引列表)可占用一些存储器,但与所节省的存储器相比,这可能是微不足道的。
在某些实施例中,本方法可以为用户提供选项,以指定将要比较的命令的特定类型或子集。可以从源和/或目标配置加载匹配指定标准的一个或多个命令。在一些实施例中,***仅比较这些命令而其他命令可能被忽略。在一些实施例中,由于可使用较少数量的命令来针对和执行比较,因此本方法可加速该过程。因此,使用较少的比较匹配到源配置中的准确命令的概率增加。在某些实施例中,在比较命令时可生成校正命令,该校正命令可以同时应用在目标装置处。这可以增加设备中配置更新的效率。在一些实施例中,可在完成部分或全部比较之后生成校正命令。
在一些实施例中,比较两个配置的一种方式是执行文本或基于文本的比较。可通过使用典型的比较工具(像diff、ediff等)来完成该比较。然而,该比较可能缺乏智能性。首先,该比较可识别哪些命令不同,但是可能不提供纠正该差异的方式(例如生成校正命令)。其次,该比较可能要求两个配置采用相同的顺序。如果顺序不同,即使配置可能相同,但该比较可能识别差异。第三,即使命令的顺序相同,但对应命令中的变元的顺序不同,即使配置可能相同,但该比较可能识别差异。作为一个例子,考虑:
源配置:enable ns feature cs lb
目标配置:enable ns feature lb cs
这里,尽管配置相同,但文本比较可能示出差异。
在一些实施例中,配置器(例如在nsconfigaudit工具中可用)可在存储器中加载两个配置。配置器可执行搜索(例如线性搜索)来寻找对应的命令。配置器可执行智能比较,并且可生成将在目标装置处执行的校正命令。在各个实施例中,该方法可具有直接取决于源和目标配置的大小和/或检测的差异数量的存储器利用率。总之,该配置器可能不能处理非常大的配置,并且处理可能非常耗时。
图6C所描述的是用于将目标装置的目标配置文件与源装置的源配置文件同步的方法的一个实施例。该方法能够消除存储器利用对配置大小的依赖性,执行智能比较和/或以较快的方式生成校正命令。(例如第一)装置的解析器将来自源装置的源配置文件的多个命令分组为命令的子集(602)。命令子集中的每个子集可包括由共同属性唯一标识的命令。第一装置的配置器可将来自目标装置的目标配置文件的命令加载到存储器中(604)。该命令可具有标识属性。配置器可将命令子集中的一个命令子集加载到存储器中,其中该命令子集具有与该标识属性匹配的共同标识属性(606)。配置器可将来自目标配置文件的命令与在加载的命令子集中的每个命令进行比较(608)。配置器可生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步(610)。
进一步参考图6C,并且更详细地,(例如第一)装置的解析器将来自源装置的源配置文件的多个命令分组为命令的子集(602)。命令子集中的每个子集可包括由共同属性唯一标识的命令。解析器可以从源装置读取源配置文件。解析器可将源配置文件的部分读入存储器。解析器可识别特定类型或组的命令,和/或具有共同属性(例如,具有如上文中结合图6A和6B描述的相同op和ot组合)的命令。解析器可(根据在配置中的位置)关联/连接这些命令,或者可对该配置进行重新排序或重新组织,以将这些命令分组到一起。
在一些实施例中,解析器可(例如在重新排序期间)执行对源配置的部分的就地替换/重写。解析器可使用命令分组生成新的源配置,并且可将新的源配置写到存储盘上。解析器可以从目标装置读取目标配置文件。解析器可将目标配置文件的部分读入存储器。在某些实施例中,解析器可使用相似的命令分组来生成新的目标配置,并且可将新的目标配置写到存储盘上。在一些实施例中,解析器可以从配置中移除多余的或重复的命令。
在一些实施例中,解析器可将命令的子集或组写入或者标识到索引文件中。可由对应的标识属性或共同属性(例如,相同的op和ot组合)索引每个命令子集或组。解析器可将命令的子集/组的标识存储到列表或数据结构的条目中。标识可包括下列中的一个或多个:共同/标识属性、(例如,在新的或原始的源配置中)组的位置、组中命令的计数,以及标志(例如指示在同步处理期间,是否已经处理/比较了命令的组)。
进一步参考(604),装置的配置器可将来自目标装置的目标配置文件的命令加载到存储器中。该命令可具有标识属性。在一些实施例中,包括配置器和解析器的装置(如第一装置),包括目标装置。目标装置可包括该装置。目标装置可包括和/或执行配置器和解析器。在一些实施例中,源装置可包括该装置(如第一装置)。源装置可包括和/或执行配置器和解析器。在一些实施例中,配置器例如作为(例如在网络装置上的虚拟服务器上执行的)远程服务,代表目标和/或源装置执行同步。在其他实施例中,配置器在源或目标装置(例如,源或目标装置的虚拟服务器)上执行。
配置器的比较器可识别来自目标配置的命令。比较器可选择没有被处理以用于同步的命令。比较器可基于一定的顺序,例如从底部、顶部或配置内的一个位置来选择命令。在一些实施例中,比较器可随机选择命令。比较器可以仅将来自配置的该命令加载到(例如装置的)存储器中。比较器可以在从存储器移除来自目标配置的另一命令之后,加载命令。解析器可将该命令加载到存储器中,而不将来自目标配置文件的其他命令加载到存储器中。在一些实施例中,比较器可加载例如由解析器基于该命令生成的该命令的特定属性(例如,而不是整个命令)。
在(606)的进一步的细节中,配置器可将命令的子集加载到存储器中,其中该命令的子集具有与标识属性相匹配的共同标识属性。配置器可将具有标识属性的命令的子集加载到存储器中。例如,配置器可将多个命令子集中的一个命令子集加载到存储器中,其中该命令子集的共同标识属性与标识属性相匹配。配置器可将多个命令子集中的一个命令子集加载到存储器中,其中该命令子集将标识属性作为其共同标识属性。比较器可识别来自目标配置的命令的标识属性(例如op和ot组合)。比较器可基于来自目标配置的命令的标识属性来识别一个或多个命令子集。在一些实施例中,比较器可基于标识属性识别一个命令子集。比较器可识别要加载的一个命令子集。比较器可识别要加载的命令子集中的一个命令子集。在一些实施例中,可将匹配共同标识属性的命令分组到单个子集下。比较器可加载被分组到该子集中的命令。
比较器可将索引文件加载到存储器中。在某些实施例中,比较器通过匹配标识属性与索引的属性,来定位索引文件中的命令子集。比较器可基于标识属性搜索索引文件中的条目。在一些实施例中,比较器可将标识属性用作哈希密钥或哈希输入。
在一些实施例中,比较器将命令子集加载到存储器中,而不将其他子集加载到存储器中。比较器可将命令子集中的每个命令加载到存储器中,而不将来自相同子集的其他命令加载到存储器中。比较器可将来自子集的每个命令加载到存储器中,以与来自目标配置的命令进行比较。例如,比较器可以在从存储器移除先前命令之后,加载来自子集的下一命令。比较器可加载每个命令的一个或多个属性(例如,变元或者命令的变元的标识符,而非整个命令)。
在(608)的进一步的细节中,配置器(例如经由比较器)可将来自目标配置文件的命令与在加载的命令子集中的每个命令进行比较。配置器可串行或并行地(例如,使用并行处理)比较命令。配置器可根据命令在子集中的顺序来比较命令。配置器可基于子集被加载到存储器中的顺序来比较命令。比较器可以通过比较相应命令的每个变元来匹配来自目标配置的命令和子集中的每个命令。比较器可匹配来自两个命令的属性(例如,变元、命令选项和/或每个命令的op和ot组合)。比较器可以不管属性在每个命令中的顺序/位置,来匹配来自两个命令的属性。
在(610)的进一步的细节中,配置器可生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步。配置器可生成对文件(例如,新的目标配置文件,或者用于执行的运行文件)的一个或多个校正命令。在一些实施例中,配置器可基于比较或匹配来确定不需要校正命令。配置器(例如经由生成器)可生成在目标配置/装置中添加、移除或改变新的配置命令的一个或多个命令。配置器可生成一个或多个命令,以同步在目标配置/装置中的命令。
配置器可(例如,动态响应于命令的生成)将一个或多个校正命令传送到目标装置。目标装置可响应于接收该命令来执行一个或多个校正命令。目标装置可响应于每个匹配/比较的完成来执行一个或多个校正命令。目标装置可响应于源和目标配置之间的完全比较,来接收和/或执行一个或多个校正命令。
在一些实施例中,配置器可以响应于比较/匹配,从存储器中移除来自目标配置文件的命令。配置器可响应于比较/匹配,从存储器中移除命令的子集。配置器可响应于生成一个或多个命令,从存储器中移除来自目标配置文件的命令。配置器可响应于生成一个或多个命令(例如用于在目标装置上执行的命令),从存储器中移除命令的子集。
在一些实施例中,配置器响应于生成用于在目标装置上执行的一个或多个命令,删除或标记在索引列表中的命令子集(例如,标记为已完成或已处理)。如果标记或删除了所有子集,则在源和目标配置之间的比较可能是完全的。配置器可以从存储器中释放索引列表、加载的命令和/或加载的子集。配置器可向源和/或目标装置发送处理完成的信号。配置器可指示或通知目标装置使用生成的命令更新其配置。
在描述了方法和***的一些实施例之后,对于本领域技术人员来说,可使用包含本发明的概念的其他实施例将变得显而易见。应该理解,上文描述的***可提供这些组件的任意多个或每一个并且这些组件可以在独立机器上提供,或者在一些实施例中,可在分布式***的多个机器上提供。可以使用编程和/或工程技术将上文所描述的***和方法实现为方法、装置或产品以提供软件、固件、硬件或上述的任何组合。此外,上述***和方法可作为在一件或多件产品上实现或在其中实现的一个或多个计算机可读程序而被提供。本文使用的术语“产品”旨在涵盖从一个或多个计算机可读的装置、固件、可编程逻辑、存储器装置(例如,EEPROM、ROM、PROM、RAM、SRAM等)、硬件(例如,集成电路芯片、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)、电子装置、计算机可读的非易失存储单元(例如,CD-ROM、软盘、硬盘等)可访问的或嵌入其中的代码或逻辑。所述产品可以是从经由网络传输线、无线传输介质、通过空间传播的信号、无线电波、红外信号等提供对计算机可读程序的访问的文件服务器可访问的。所述产品可以是闪存卡或磁带。所述产品包括硬件逻辑以及嵌入在计算机可读介质中由处理器执行的软件或可编程代码。通常,计算机可读程序可以任何编程语言来实现,如LISP、PERL、C、C++、C#、PROLOG,或者诸如JAVA的任何字节码语言。软件程序可以作为目标代码被存储在一件或多件产品上或其中。
Claims (20)
1.一种将目标装置的目标配置文件与源装置的源配置文件同步的方法,所述方法包括:
(a)由第一装置的解析器将来自源装置的源配置文件的多个命令分组为命令子集,该命令子集中的每个子集包括由共同属性唯一标识的命令;
(b)由所述第一装置的配置器将来自目标装置的目标配置文件的命令加载到存储器中,该命令具有第一标识属性;
(c)由所述配置器将命令子集中具有与第一标识属性相匹配的共同标识属性的一个命令子集加载到存储器中;
(d)由所述配置器将来自目标配置文件的命令与加载的命令子集中的每个命令进行比较;以及
(e)由所述配置器生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步。
2.根据权利要求1所述的方法,其中(a)还包括将命令子集写入索引文件,由对应的标识属性索引每个命令子集。
3.根据权利要求2所述的方法,其中(c)还包括通过匹配第一标识属性和索引的属性,来定位索引文件中的命令子集。
4.根据权利要求1所述的方法,其中(b)还包括将来自目标配置文件的命令识别为包括未被比较来与源配置文件同步的命令。
5.根据权利要求1所述的方法,其中(b)还包括将该命令加载到存储器中,而不将来自目标配置文件的其他命令加载到存储器中。
6.根据权利要求1所述的方法,其中(c)还包括将该命令子集加载到存储器中,而不将其他子集加载到存储器中。
7.根据权利要求1所述的方法,其中(d)还包括通过比较相应命令的每个变元来将来自目标配置的命令与子集中的每个命令进行匹配。
8.根据权利要求1所述的方法,其中(e)还包括响应于生成用于在目标装置上执行的一个或多个命令,删除或标记索引列表中的命令子集。
9.根据权利要求1所述的方法,其中(e)还包括响应于生成用于在目标装置上执行的一个或多个命令,从所述存储器中移除(i)来自目标配置文件的命令和(ii)命令子集。
10.根据权利要求1所述的方法,其中目标装置包括所述第一装置。
11.一种用于将目标装置的目标配置文件与源装置的源配置文件同步的***,所述***包括:
第一装置的解析器,其将来自源装置的源配置文件的多个命令分组为命令子集,该命令子集中的每个子集包括由共同属性唯一标识的命令;以及
第一装置的配置器:
将来自目标装置的目标配置文件的命令加载到存储器中,该命令具有第一标识属性;
将命令子集中具有与第一标识属性相匹配的共同标识属性的一个命令子集加载到存储器中;
将来自目标配置文件的命令与加载的命令子集中的每个命令进行比较;以及
生成用于在目标装置上执行的一个或多个命令,以将与所比较的命令相对应的目标配置文件的部分与源配置文件同步。
12.根据权利要求11所述的***,其中,所述解析器将命令子集写入索引文件,由对应的标识属性索引每个命令子集。
13.根据权利要求12所述的***,其中,所述配置器通过匹配第一标识属性和索引的属性,来定位索引文件中的命令子集。
14.根据权利要求11所述的***,其中,所述配置器将来自目标配置文件的命令识别为包括未被比较来与源配置文件同步的命令。
15.根据权利要求11所述的***,其中,所述配置器将该命令加载到存储器中,而不将来自目标配置文件的其他命令加载到存储器中。
16.根据权利要求11所述的***,其中,所述配置器将该命令子集加载到存储器中,而不将其他子集加载到存储器中。
17.根据权利要求11所述的***,其中,所述配置器通过比较相应命令的每个变元来将来自目标配置的命令与子集中的每个命令进行匹配。
18.根据权利要求11所述的***,其中,所述配置器响应于生成用于在目标装置上执行的一个或多个命令,删除或标记索引列表中的命令子集。
19.根据权利要求11所述的***,其中所述配置器响应于生成用于在目标装置上执行的一个或多个命令,从所述存储器中移除(i)来自目标配置文件的命令和(ii)命令子集。
20.根据权利要求11所述的***,其中目标装置包括所述第一装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/414,105 US9088491B2 (en) | 2012-03-07 | 2012-03-07 | Systems and methods for comparing configuration files and generating corrective commands |
US13/414105 | 2012-03-07 | ||
PCT/US2013/028553 WO2013134060A1 (en) | 2012-03-07 | 2013-03-01 | Systems and methods for comparing configuration files and generating corrective commands |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104322010A true CN104322010A (zh) | 2015-01-28 |
CN104322010B CN104322010B (zh) | 2017-07-14 |
Family
ID=47884578
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380023870.4A Expired - Fee Related CN104322010B (zh) | 2012-03-07 | 2013-03-01 | 用于比较配置文件和生成校正命令的***和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9088491B2 (zh) |
EP (1) | EP2823601B1 (zh) |
CN (1) | CN104322010B (zh) |
HK (1) | HK1206170A1 (zh) |
WO (1) | WO2013134060A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209934A (zh) * | 2015-04-30 | 2016-12-07 | 西门子瑞士有限公司 | 火灾报警***中的控制装置及其配置方法 |
CN107517121A (zh) * | 2016-06-17 | 2017-12-26 | 华为技术有限公司 | 设备配置方法及装置 |
CN108139986A (zh) * | 2015-09-30 | 2018-06-08 | 株式会社理光 | 通信***、信息处理装置和用于通信的方法 |
CN108429639A (zh) * | 2018-02-27 | 2018-08-21 | 深圳神州数码云科数据技术有限公司 | 一种基于snmp协议的集群管理方法及*** |
CN109154936A (zh) * | 2016-05-04 | 2019-01-04 | 电子湾有限公司 | 数据库搜索优化器和主题过滤器 |
CN110263525A (zh) * | 2018-03-07 | 2019-09-20 | 杭州海康威视数字技术股份有限公司 | 设备配置方法及装置 |
CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
CN111831341A (zh) * | 2019-03-29 | 2020-10-27 | 西安诺瓦电子科技有限公司 | 配置文件加载方法、装置及***和计算机可读介质 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9367699B2 (en) * | 2013-02-07 | 2016-06-14 | Steelcloud, Llc | Automating the creation and maintenance of policy compliant environments |
US9882787B2 (en) * | 2014-01-09 | 2018-01-30 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Service management in appliance-based solutions |
US9684561B1 (en) * | 2014-09-29 | 2017-06-20 | EMC IP Holding Company LLC | Smart assistant for backing up data |
US9417869B2 (en) | 2014-11-10 | 2016-08-16 | International Business Machines Corporation | Visualizing a congruency of versions of an application across phases of a release pipeline |
CN105701118B (zh) * | 2014-11-28 | 2019-05-28 | 国际商业机器公司 | 用于归一化文件的非数值特征的方法和装置 |
CN104572983B (zh) * | 2014-12-31 | 2018-03-06 | 北京锐安科技有限公司 | 基于内存的散列表的构建方法、文本查找方法及相应装置 |
US9942091B2 (en) * | 2015-02-27 | 2018-04-10 | Roche Diabetes Care, Inc. | Pump configuration software wizard for configuring parameters of a handheld insulin pump |
CN104837131B (zh) * | 2015-04-03 | 2018-05-01 | 北京航空航天大学 | 一种基于批处理指数运算乘积的批Cramer-Shoup密码方法 |
US9384203B1 (en) | 2015-06-09 | 2016-07-05 | Palantir Technologies Inc. | Systems and methods for indexing and aggregating data records |
US9686130B2 (en) * | 2015-06-29 | 2017-06-20 | Landis+Gyr Innovations, Inc. | Configuration management for nodes in a network |
US10200246B1 (en) | 2015-09-01 | 2019-02-05 | Vmware, Inc. | Importing parameters from nested information-technology blueprints |
CN105812180A (zh) * | 2016-03-09 | 2016-07-27 | 上海斐讯数据通信技术有限公司 | 一种网络设备配置***及其方法 |
US10223178B2 (en) * | 2017-01-23 | 2019-03-05 | Wyse Technology L.L.C. | Enabling WPD devices to be managed at the capability level |
US10805161B2 (en) * | 2017-09-13 | 2020-10-13 | Verizon Digital Media Services Inc. | Rapid configuration propagation in a distributed multi-tenant platform |
CN107948316B (zh) * | 2017-12-25 | 2020-11-03 | 北京搜狐新媒体信息技术有限公司 | 一种文件同步方法、装置及设备 |
CN109981315B (zh) * | 2017-12-27 | 2021-08-27 | 华为技术有限公司 | 一种anima网络的信息处理方法、设备及*** |
US11824895B2 (en) | 2017-12-27 | 2023-11-21 | Steelcloud, LLC. | System for processing content in scan and remediation processing |
US10749759B2 (en) | 2018-03-23 | 2020-08-18 | Hewlett Packard Enterprise Development Lp | System and method to provide network insights for correct and efficient network configuration |
US10778517B2 (en) | 2018-03-23 | 2020-09-15 | Hewlett Packard Enterprise Development Lp | System and method for validating correctness of changes to network device configurations |
US10887190B2 (en) | 2018-03-23 | 2021-01-05 | Hewlett Packard Enterprise Development Lp | System for simultaneous viewing and editing of multiple network device configurations |
US11182272B2 (en) * | 2018-04-17 | 2021-11-23 | International Business Machines Corporation | Application state monitoring |
US11086960B2 (en) * | 2019-07-17 | 2021-08-10 | Netflix, Inc. | Extension for targeted invalidation of cached assets |
CN114095354A (zh) * | 2020-08-07 | 2022-02-25 | 艾锐势企业有限责任公司 | 电子设备、用于电子设备的方法、计算机可读介质以及装置 |
CN111770489B (zh) * | 2020-09-03 | 2020-12-22 | 蘑菇车联信息科技有限公司 | Sn号写入方法及设备、电子设备、可读存储介质 |
US11334333B1 (en) | 2020-11-10 | 2022-05-17 | International Business Machines Corporation | Generation of adaptive configuration files to satisfy compliance |
US11520564B2 (en) | 2021-01-20 | 2022-12-06 | International Business Machines Corporation | Intelligent recommendations for program code |
US20220286358A1 (en) * | 2021-03-03 | 2022-09-08 | International Business Machines Corporation | Template based agentless system configuration management |
CN112988268A (zh) * | 2021-03-19 | 2021-06-18 | 银清科技有限公司 | 配置信息采集比对方法和装置 |
CN115022175B (zh) * | 2022-06-21 | 2024-06-21 | 工银科技有限公司 | 一种配置信息的同步方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5838907A (en) * | 1996-02-20 | 1998-11-17 | Compaq Computer Corporation | Configuration manager for network devices and an associated method for providing configuration information thereto |
US7287069B1 (en) * | 2002-12-18 | 2007-10-23 | Cisco Technology, Inc. | Using context-sensitive intelligent diffs to modify router configurations |
CN102224722A (zh) * | 2008-11-25 | 2011-10-19 | 思杰***有限公司 | 用于对象速率限制的***和方法 |
CN102292708A (zh) * | 2008-11-25 | 2011-12-21 | 思杰***有限公司 | 用于策略的http调出的***和方法 |
CN102710760A (zh) * | 2012-05-24 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种嵌入式网络终端同步配置方法及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5914726A (en) * | 1997-06-27 | 1999-06-22 | Hewlett-Packard Co. | Apparatus and method for managing graphic attributes in a memory cache of a programmable hierarchical interactive graphics system |
WO2000065438A2 (en) * | 1999-04-28 | 2000-11-02 | Tranxition Corporation | Method and system for automatically transitioning of configuration settings among computer systems |
US6535894B1 (en) * | 2000-06-01 | 2003-03-18 | Sun Microsystems, Inc. | Apparatus and method for incremental updating of archive files |
US8006192B1 (en) * | 2000-10-04 | 2011-08-23 | Apple Inc. | Layered graphical user interface |
-
2012
- 2012-03-07 US US13/414,105 patent/US9088491B2/en active Active
-
2013
- 2013-03-01 EP EP13709684.8A patent/EP2823601B1/en active Active
- 2013-03-01 CN CN201380023870.4A patent/CN104322010B/zh not_active Expired - Fee Related
- 2013-03-01 WO PCT/US2013/028553 patent/WO2013134060A1/en active Application Filing
-
2015
- 2015-07-14 HK HK15106703.8A patent/HK1206170A1/zh unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5838907A (en) * | 1996-02-20 | 1998-11-17 | Compaq Computer Corporation | Configuration manager for network devices and an associated method for providing configuration information thereto |
US7287069B1 (en) * | 2002-12-18 | 2007-10-23 | Cisco Technology, Inc. | Using context-sensitive intelligent diffs to modify router configurations |
CN102224722A (zh) * | 2008-11-25 | 2011-10-19 | 思杰***有限公司 | 用于对象速率限制的***和方法 |
CN102292708A (zh) * | 2008-11-25 | 2011-12-21 | 思杰***有限公司 | 用于策略的http调出的***和方法 |
CN102710760A (zh) * | 2012-05-24 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种嵌入式网络终端同步配置方法及设备 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209934A (zh) * | 2015-04-30 | 2016-12-07 | 西门子瑞士有限公司 | 火灾报警***中的控制装置及其配置方法 |
CN108139986A (zh) * | 2015-09-30 | 2018-06-08 | 株式会社理光 | 通信***、信息处理装置和用于通信的方法 |
CN109154936A (zh) * | 2016-05-04 | 2019-01-04 | 电子湾有限公司 | 数据库搜索优化器和主题过滤器 |
US11720641B2 (en) | 2016-05-04 | 2023-08-08 | Ebay Inc. | Database search optimizer and themed filters |
CN107517121A (zh) * | 2016-06-17 | 2017-12-26 | 华为技术有限公司 | 设备配置方法及装置 |
CN108429639A (zh) * | 2018-02-27 | 2018-08-21 | 深圳神州数码云科数据技术有限公司 | 一种基于snmp协议的集群管理方法及*** |
CN110263525A (zh) * | 2018-03-07 | 2019-09-20 | 杭州海康威视数字技术股份有限公司 | 设备配置方法及装置 |
CN110263525B (zh) * | 2018-03-07 | 2020-11-27 | 杭州海康威视数字技术股份有限公司 | 设备配置方法及装置 |
CN111831341A (zh) * | 2019-03-29 | 2020-10-27 | 西安诺瓦电子科技有限公司 | 配置文件加载方法、装置及***和计算机可读介质 |
CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
CN111368298B (zh) * | 2020-02-27 | 2023-07-21 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US20130238768A1 (en) | 2013-09-12 |
WO2013134060A1 (en) | 2013-09-12 |
CN104322010B (zh) | 2017-07-14 |
HK1206170A1 (zh) | 2015-12-31 |
EP2823601B1 (en) | 2016-06-29 |
US9088491B2 (en) | 2015-07-21 |
EP2823601A1 (en) | 2015-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104322010A (zh) | 用于比较配置文件和生成校正命令的***和方法 | |
CN102132255B (zh) | 故障切换时使用备份虚拟服务器的指标通过多个虚拟服务器负载平衡的***和方法 | |
CN102301677B (zh) | 用于全局服务器负载平衡站点持续的***和方法 | |
CN102292708B (zh) | 用于策略的http调出的***和方法 | |
CN102460391B (zh) | 用于在应用传送结构中提供虚拟设备的***和方法 | |
CN102783090B (zh) | 用于多核***中的对象速率限制的***和方法 | |
CN102763374B (zh) | 用于基于策略地集成到水平地部署的wan优化设备的***和方法 | |
CN101981887B (zh) | 用于配置和细粒度策略驱动web内容检测和重写的***和方法 | |
CN102549985B (zh) | 用于为互联网协议加速设备提供多核结构的***和方法 | |
CN102714657B (zh) | 用于经由tcp选项***客户机ip地址的***和方法 | |
CN102292960B (zh) | 用于基于ssl vpn用户进行全局服务器负载平衡的***和方法 | |
CN101984778B (zh) | 用于细粒度策略驱动的cookie代理的***和方法 | |
CN102771085B (zh) | 用于保持透明的端到端高速缓存重定向的***和方法 | |
CN102292955B (zh) | 用于负载平衡实时流传输协议的***和方法 | |
CN103119907B (zh) | 提供用于访问控制的智能组的***和方法 | |
CN102763368B (zh) | 用于跨站点伪造保护的方法和*** | |
CN103154895B (zh) | 用于在多核***中的核上管理cookie代理的***和方法 | |
CN102460394B (zh) | 用于多核***中的分布式哈希表的***和方法 | |
CN102301338B (zh) | 用于基于健康的溢出的***和方法 | |
CN102483707B (zh) | 在负载平衡的多核环境中保持源ip的***和方法 | |
CN102217273B (zh) | 用于应用流畅性策略的***和方法 | |
CN103403707B (zh) | 用于数据库代理请求交换的***和方法 | |
CN102292961B (zh) | 用于对由域名服务(dns)获得的ip地址进行转换的***和方法 | |
CN102577302B (zh) | 用于在具有流量管理的连接中使用端点审计的***和方法 | |
CN103155496B (zh) | 用于在多核***中管理服务器发起的连接的***和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170714 |
|
CF01 | Termination of patent right due to non-payment of annual fee |