会话资源管理方法及装置与流程

本申请涉及计算机通信领域，尤其涉及会话资源管理方法及装置。

背景技术：

由于各种网络上的数据流量的不断增长，网络设备的性能要求不断提升。另一方面，随着诸如安全以及访问控制在内的各种应用需求的出现，对于网络设备的性能要求进一步提高。如何对既有网络设备的处理资源进行合理管理达到性能优化的目的一直是业界持续探索的方向。

技术实现要素：

有鉴于此，本申请提供一种会话资源管理方法及装置，用以提高网络设备的业务处理性能。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种会话资源管理方法，应用于网络设备，所述方法包括：

当网络设备的会话资源占用率达到预设的第一阈值时，统计各发起会话IP地址对应的会话资源占用率；

当网络设备的会话资源占用率达到第二阈值时，基于统计出的所述各发起会话IP地址对应的会话资源占用率，确定会话资源占用率最大的IP地址(IPmax)；其中，所述第二阈值大于所述第一阈值；

限制或降低IPmax对所述会话资源的占用，以加快本设备回收会话资源。

根据本申请实施例的第二方面，提供一种会话资源管理装置，所述装置包括：

统计单元，用于当网络设备的会话资源占用率达到预设的第一阈值时，统计各发起会话IP地址对应的会话资源占用率；

确定单元，用于当网络设备的会话资源占用率达到第二阈值时，基于统计出的所述各发起会话IP地址对应的会话资源占用率，确定会话资源占用率最大的IP地址(IPmax)；其中，所述第二阈值大于所述第一阈值；

限制单元，用于限制或降低IPmax对所述会话资源的占用，以加快本设备回收会话资源。

本申请实施例提出一种新的会话资源管理的方法，网络设备通过对会话资源回收机制的改进，当网络设备的会话资源占用率达到第一阈值时，网络设备可以统计各个发起会话的IP地址所对应的会话资源占用率；当网络设备的会话资源占用率达到第二阈值时，可以基于统计出的各个发起会话的IP地址对应的会话资源占用率，获取会话资源占用率最大的IP地址(IPmax)；网络设备限制或降低IPmax对所述会话资源的占用，以加快本设备回收会话资源。其中，所述第二阈值大于所述第一阈值；

由于当该网络设备的会话资源占用率过大时，网络设备可以对会话资源占用率最大的IP地址进行限制，释放其所占用的会话资源，使得会话资源可以及时地合理回收。因此，可以有效地提高设备的业务处理性能。

附图说明

图1是本申请一示例性实施例示出的一种会话资源管理方法的流程图；

图2是本申请一示例性实施例示出的一种会话资源管理装置所在设备的硬件结构图；

图3是本申请一示例性实施例示出的一种会话资源管理装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

会话资源是网络设备的重要资源，它可以决定该网络设备的业务处理性能，网络设备需要为大量的会话分配相当多的CPU以及内存的处理资源，这些处理资源在本申请中称为会话资源。当会话资源占用率过高时，网络设备的业务处理性能可能会有所下降。在实际应用中，上述会话资源通常包括新建会话资源和并发会话资源。

新建会话资源为网络设备新建与会话发起方的新建会话所占用的资源，主要依赖于网络设备的CPU对其进行处理。通常情况下，可以用新建会话的速率来表征新建会话资源占用率，比如每秒新建会话100个。当网络设备的新建速率达到甚至超过该网络设备设计规格中的最大新建速率时，可以造成CPU持续处于高位状态，严重影响CPU对业务的处理性能。

并发会话资源为网络设备与会话发起方保持双方之间的会话所占用的处理资源，换个角度来说，并发会话资源是指那些已经建立好的会话需要占用的处理资源，这些处理资源大部分是网络设备的内存资源。通常情况下，可以以并发会话数来表征并发会话资源占用率。当开发人员或者网络管理员没有很好地根据业务需要合理设置并发会话的老化时间时，会使得网络设备的内存资源被大量的无用会话占用，造成内存资源浪费，进而影响网络设备的性能。

而在本发明实施例中，网络设备可以通过检测自身的资源占用率，当网络设备的资源占用率达到第一阈值时，可以统计会话发起方的每个IP地址对应的会话资源占用率，并可以在网络设备的会话资源占用率达到第二阈值时，限制或者降低会话资源占用率最大的IP地址对该网络设备会话资源的占用，使得设备的会话资源可以及时地合理地回收，可以有效地限制或者降低该网络设备的会话资源占用率，提高网络设备的业务处理性能。

参见图1，图1是本申请一示例性实施例示出的一种会话资源管理方法的流程图，所述会话资源回收的方法应用于网络设备，具体包括如下所示的步骤：

步骤101：当网络设备的会话资源占用率达到预设的第一阈值时，统计各发起会话IP地址对应的会话资源占用率；

在本发明实施例中，网络设备可以以较短的统计周期，甚至近乎实时的方式来统计其会话资源占用率，当该网络设备的会话资源占用率达到第一阈值时，可以统计各个发起会话的IP地址所对应的会话资源占用率。

对于网络设备的会话资源占用率的统计，可以基于以下步骤完成。

当会话资源为新建会话资源时，通常情况下，以新建速率表征该类型会话对会话资源的占用情况。在对网络设备的会话资源占用率进行统计时，可以设定一个较短统计周期，统计这一周期内所有的新建会话的个数，并以此来表示这这一周期内新建速率。

由于新建速率的计算是基于统计周期的，所以当统计周期设置过长时，可能会无法准确表示该周期内各个时段的新建速率。比如，假设统计周期为10秒，在前5s内，新建会话个数为1000个，而在后五秒内新建会话个数为100个，而基于上述统计方法，该10秒内各个时刻的新建速率为110个/s，而该110个/s的新建速率就无法准确地表征后5秒的新建速率。而统计周期设置过低，网络设备性能可能无法支持对于过短周期的统计。

在实际应用中，对于新建速率的统计周期的设定，一般以一秒或者更低的时间段为周期，而对于比一秒更小的统计周期，一般根据网络设备的性能来确定。当然，这里只是示例性的，这个统计周期的设置还与网络设备的性能有关系，开发人员可以根据不同设备的性能来选择不同的统计周期。

当会话资源为并发会话资源时，通常情况下，以每个时刻的并发会话数表征该类型的会话对会话资源的占用情况。在对网络设备的会话资源占用率进行统计时，网络设备可以基于设置的采样周期，对并发会话的个数进行统计。统计出的并发会话的个数可以表示一个时刻的并发会话数。所述采样周期，表示两次统计并发会话的个数的时间间隔。比如，假设采样周期为1s，则网络设备可以在0时刻时统计此时的并发会话的个数，在1s这一时刻时又可以统计此时并发会话的个数。

对于采样周期的设定，由于采样周期的设定会受到设备性能的限定，当采样周期过小时，网络设备的性能可能无法支持过短采样周期的采样。而采样周期的设定过大时，则可能会出现采集结果不准确的情况。在实际应用中，通常将采样周期设定为一秒或者更低的时间段，而对于比一秒更小的采样周期，一般根据网络设备的性能来确定。当然，这里只是示例性的，这个采样周期的设置还与网络设备的性能有关系，开发人员可以根据不同设备的性能来选择不同的采样周期。

网络设备可以通过上述统计方法以近乎实时的方式统计该网络设备的会话资源占用率，当检测到网络设备的会话资源占用率超过第一阈值后，可以统计各发起会话的IP地址对应的会话资源的占用率。

在这里，值得说明的是，上述第一阈值为网络设备统计各发起会话的IP地址对应的会话资源占用率的触发值。当会话资源占用率达到第一阈值通常表明这种类型的会话资源的占用率已经过高，但仍没有到达网络设备完全过载无法处理其他业务的情况。此时网络设备的剩余处理资源仍然能够支持上述统计工作的处理。第一阈值设置过高可能导致网络设备剩余的处理资源无法及时完成统计工作，导致后续步骤102等无法及时处理；设置过低可能缺乏实际意义。在实际使用中，开发人员可以根据网络设备的实际性能来合理规划第一阈值的大小，对于一些高性能的网络设备，第一阈值可以适当提高一些，对于一些性能偏弱的网络设备，第一阈值可以适当降低一些。

在本实施例中，网络设备可以通过如下方式统计发起会话的IP地址对应的会话资源占用率。

当上述会话资源为新建会话资源时，通常情况下，以新建速率表征该类型会话对会话资源的占用情况。网络设备可以通过接收会话发起方发送的新建会话请求报文，获取其携带的源IP地址，并对该IP地址进行记录。网络设备可以通过上述统计网络设备的新建速率的方法来统计记录的各发起会话的IP地址的新建速率，换句话说，对于发起会话的IP地址的新建速率的统计，统计方法与上述网络设备新建速率的统计方法相同，只不过统计单元不再以网络设备为单元，而是以各个发起会话的IP地址为一个单元。

当上述会话资源为并发会话资源时，当会话资源为并发会话资源时，通常情况下，以每个时刻的并发会话数表征该类型的会话对会话资源的占用情况。网络设备可以通过接收会话发起方发送的会话报文，获取其携带的源IP地址，并对该IP地址进行记录。网络设备可以通过上述统计网络设备的并发会话数的方法来统计记录的各发起会话的IP地址的并发会话数，换句话说，对于发起会话的IP地址的并发会话数的统计，统计方法与上述网络设备并发会话数的统计方法相同，只不过统计单元不再以网络设备为单元，而是以各个发起会话的IP地址为一个单元。

步骤102：当网络设备的会话资源占用率达到第二阈值时，基于统计出的所述各发起会话IP地址对应的会话资源占用率，确定会话资源占用率最大的IP地址(IPmax)；其中，所述第二阈值大于所述第一阈值；

步骤103：限制或者降低IPmax对所述会话资源的占用，以加快本设备回收会话资源。

在本实施例中，网络设备通过第一阈值来“预警”该网络设备的业务处理性能将会受到影响或者“预警”该网络设备可能遭受攻击(一般情况下，在网络设备遭受攻击时，对该网络设备发起会话的IP地址所占用的会话资源远远高于其余发起会话的IP地址占用的会话资源)而网络设备在其资源占用率达到第二阈值时，确定IPmax，并限制或者降低该IPmax所占用的会话资源，以此来降低或者限制网络设备的会话资源占用率。

本实施例没有采用一个阈值来同时触发统计和限制操作，而采用两个阈值分别设定统计和限制或降低操作的触发值，其目的在于可以在优化设备性能的同时还可以更好地保护会话发起方的正常业务往来。

以一个阈值同时触发统计和限制操作，换句话来说就是，当网络设备的会话资源占用率达到该阈值时，网络设备可以统计各发起会话的IP地址对应的会话资源占用率，并限制IPmax的会话资源占用率。

如果以一个阈值同时触发统计和限制操作，那么在阈值设定的时候必须同时兼顾统计操作和限制或降低操作两方面因素，但当同时兼顾两方面因素设置阈值时，往往不能达到“完美”的效果，而是两方面因素的“折中”，这就意味着阈值的设定不是很准确。一方面，如果该阈值设置过大，网络设备可能无法进行统计和限制操作就已经“瘫痪”，另一方面，如果该阈值设置过小，网络设备就会提前对IPmax进行限制或降低操作，如将IPmax发送的报文丢弃，这就可能会出现没有必要地丢弃会话发起方报文的情形，从而在一定程度上影响了会话发起方的正常业务往来。

而当采用两个阈值分别对触发统计操作和限制或降低操作，在两个阈值设定的时候，可以分别考虑统计操作和限制或降低操作的因素。

其中，当网络设备的资源占用率达到第二阈值时，通常表明，网络设备已无更多的资源对会话进行处理，并且严重影响了网络设备的业务处理能力。如果第二阈值设置过低，可能出现网络设备的资源占用率还没有到达“瓶颈”，就对IPmax进行限制或者降低操作，比如将IPmax发送来的报文丢弃等，就可能影响会话发起方的正常业务。但如果第二阈值设置过高，网络设备的资源占用率可能还没有达到第二阈值，该网络设备就已经瘫痪。所以，在实际应用中，开发人员可以根据网络设备的性能和实际情况合理对第二阈值进行设定。

此外，第二阈值的设定可以大于第一阈值。第一阈值相对于第二阈值低，意味着第一阈值到达时，设备的处理资源尚有一定的余量，可以支持统计这种对资源消耗较大的操作；当第二阈值到达的时候，此时余量十分有限，但由于限制或者丢弃操作比较简单，对处理资源消耗很低，因此设备利用剩余的很少量的处理资源依然能够完成这些操作。由此可见本申请与一般的处理方式相比，对会话资源管理的合理性更高。

值得说明的是，在本实施例中，不同类型会话资源所对应的第一阈值不同；和/或不同类型会话资源所对应的第二阈值不同。

考虑到新建会话资源与并发会话资源其本身各自的特点以及该网络设备的性能，进一步说，每个网络设备所能允许的最大新建速率和最大并发会话数可以是不同的，所以在第一阈值和第二阈值设定的时候，一种实现方式是，新建会话资源的第一阈值与并发会话资源的第一阈值在设定时也可以是不同的，但新建会话资源的第二阈值与并发会话资源的第二阈值在设定时可以相同。

另一种实现方式是，新建会话的第二阈值与并发会话资源的第二阈值在设定时可以是不同的，但新建会话资源的第一阈值与并发会话资源的第一阈值在设定时也可以是相同的。另一种实现方式是，新建会话资源的第一阈值与并发会话资源的第一阈值在设定时也可以是不同的，并且，新建会话的第二阈值与并发会话资源的第二阈值在设定时也可以是不同的。

在本实施例中，在网络设备确定IPmax后，可以限制或者降低该IPmax对会话资源的占用，具体方式如下所示：

当会话资源为新建会话资源时，网络设备可以将该IPmax发送的报文丢弃。而当该会话资源为基于TCP的会话资源时，网络设备不仅可以将该IPmax发送的报文丢弃。还可以进一步向该IPmax发送RESET报文，以结束与该IPmax对应的会话发起方之间的TCP连接。

对于会话资源为非基于TCP的新建会话资源时，如基于UDP的新建会话资源，往往会设置有重传机制。当网络设备将此IPmax发送的报文丢弃后，该IPmax在预定时间内未收到响应报文后，则会启动超时重传机制，重新发送该报文，而当后续网络设备性能恢复并停止对该IPmax的限制后，网络设备可以接收该IPmax发送的报文，并对该报文进行正常的处理，因此可以保证会话发起方正常的业务往来。

对于会话资源为基于TCP的新建会话资源，网络设备向该IPmax发送RESET报文，主要是为了结束与该IPmax对应的会话发起方之间的TCP半连接状态，这样做的目的是为了保护会话发起方的正常业务往来。如果不结束与其的半连接状态，则该IPmax仍然会向本网络设备发送报文，而本网络设备对于此IPmax发送来的报文只能进行丢弃处理，这就会影响该IPmax对应的会话发起方正常的业务往来。而在本例中，网络设备通过RESET报文，结束与该会话发起方的TCP连接，可以促使会话发起方选择新的链路进行业务往来。

由此可见，使用本实施例，不仅可以优化本网络设备的性能，还可以保护会话发起方的正常业务往来。

当会话资源为并发会话资源时，网络设备一种可选的处理方式是基于预设的老化时长，将该IPmax对应的并发会话老化。例如，网络开发人员可以该IPmax对应会话的老化时长设置为5s，在5s后，网络设备可以将该IPmax对应的所有并发会话老化。

另一种可选的处理方式是，网络设备可以遍历会话资源表，确定IPmax对应的并发会话资源，并根据会话资源表中记录确定IPmax对应的每个并发会话资源的最后使用时间，将预设的时间范围与每个会话的最后使用时间进行比较确定出在预设时间范围内未出现数据交互的并发会话，并将其立即老化。例如，假设预设的时间范围为30min，当前时间为13:30，则网络设备可以将该IPmax对应的最后使用时间在13:00之前的并发会话立即老化。

另一种可选的处理方式是，还可以同时使用上述两种方式，限制或者降低该IPmax对会话资源的占用。例如，假设预设老化时长为5s，预设的时间范围为30min，当前时间为13:30。当同时使用上述两种方法时，为了加快对网络设备会话资源的回收，网络设备可以先使用上述第二种方法，将IPmax对应的最后使用时间在13:00之前的并发会话立即老化，再结合第一种方法，基于预设老化时间5s，5s后将IPmax对应的最后使用时间在13:00至13:30之间的并发会话老化。

当会话资源为基于TCP的并发会话资源时，网络设备不仅可以采取上述方式限制或者降低IPmax对应的并发会话资源占用率，还可以进一步分别向发起会话的IPmax和与IPmax进行会话的对端发送TCP RESET报文，结束IPmax和与该IPmax进行会话的对端之间的TCP连接。这样做的目的与上述会话资源为新建会话资源，向IPmax发送单向RESET报文的目的一致，即保护会话发起方的正常业务往来，同时优化本网络设备的业务处理性能，在此，不再赘述。

在本实施例中，在经过上述对IPmax的会话资源占用率的限制或者降低操作后，当IPmax对应的会话资源占用率不超过第三阈值时，网络设备可以停止对该IPmax的限制或降低处理，允许该IPmax新建会话。

值得注意的是，第三阈值的设定是针对IPmax的会话资源占用率，而不是针对网络设备的会话资源率的。换句话来说，当IPmax对应的会话资源占用率降低到第三阈值之下时，并不能说明网络设备的会话资源占用率可以降低到第一阈值之下。当IPmax对应的会话资源占用率降低到第三阈值之下时，如果网络设备的会话资源占用率仍然高于第一阈值，则可以继续上述对发起会话的IP地址对应的会话资源占用率的统计过程，并在网络设备的会话资源占用率达到第二阈值时，确定此时的IPmax，并对其占用的会话资源进行限制或者降低操作。

在设定第三阈值时，可以根据本实施例的具体用途进行设定。比如，当本实施例主要用于防止攻击时，第三阈值可以设定地小些。因为当本设备遭受网络攻击时，发起攻击的IP占用的网络设备的会话资源远远大于其他IP占用的会话资源，换句话说，该发起攻击的IP地址占用了网络设备的大部分会话资源。例如，发起攻击的IP地址的新建速率为每秒5万个，而其他IP地址的新建速率仅为每秒1000个，此时，在设定第三阈值的时候，要将第三阈值设置地尽可能地小些，以此来迅速减少该发起攻击的IP地址对本网络设备会话资源的占用。

而如果本实施例主要用于管理针对正常业务占用本设备的会话资源，则第三阈值的设定可以适当地大些。因为，当正常业务占用本设备的会话资源时，各发起会话的IP地址占用的会话资源大体上是在一个水平上的，例如，IP1占用的新建速率为每秒1000个，IP2的新建速率为每秒980个，IP3的数量级为每秒1500个。此时，就可以适当地将第三阈值的设定地大些，以此来适当地降低每个IP地址对应的会话资源占用率。

通过以上实施例可知，网络设备通过对会话资源管理机制的改进，当网络设备的会话资源占用率达到第一阈值时，网络设备可以统计各个会话发起方的IP地址所对应的会话资源占用率；当网络设备的会话资源占用率达到第二阈值时，可以基于统计出的各个会话发起方的IP地址对应的会话资源占用率，获取会话资源占用率最大的IP地址；当会话资源为新建会话资源时，网络设备可以将从该会话资源占用率最大的IP地址接收到的报文丢弃。当上述会话资源为并发会话资源时，网络设备可以基于预设的老化时间，将所述会话资源占用率最大的IP地址对应的并发会话老化，或者将该会话资源占用率最大的IP地址对应的在预设时间范围内未出现数据交互的并发会话老化。

一方面，由于当该网络设备监测到的设备本身的会话资源占用率过大时，网络设备可以对会话资源占用率最大的IP地址进行限制，释放其所占用的会话资源，使得会话资源可以得到合理地回收利用。

另一方面，由于上述网络设备可以针对不同的会话资源，采用不同的方式降低其资源占用率，加速了网络设备对会话资源的回收利用。因此，可以有效地提高设备的业务处理性能。

下面结合一些具体的应用场景，对本申请方案进行说明：

场景一：

以下以会话资源为新建会话资源，会话资源占用率以新建速率表征的场景为例，对上述方法进行详细地描述。

假设，网络设备与N个会话发起方进行了会话交互。这N个会话发起方的IP地址分别为IP1、IP2、IP3至IPN。网络设备的CPU所能允许的最大新建速率为每秒50万个，假设第一阈值为每秒35万个，第二阈值为每秒45万个，第三阈值为当前最大新建速率IP对应的新建速率的80％。

当网络设备检查到本设备的新建速率达到每秒35万个时，可以统计各个发起会话的IP地址对应的新建速率。

在统计网络设备的新建速率和发起会话的各IP地址的新建速率时，可以将统计周期设定为1s，统计1s内的网络设备的新建会话数和各发起会话的IP对应的新建会话数。

当该网络设备检测到本设备的新建速率达到每秒45万个时，可以分别基于IP1至IPN地址对应的新建速率，获取最大新建速率的IP地址。

假设IP1、IP2、IP3至IPN中，IP3对应的新建速率最大，为每秒20000个则该网络设备可以获取到IP3。

在获取到IP3后，该网络设备可以限制或者降低该IP3地址对应的新建速率。具体地操作方式如下：

网络设备可以将从该IP3地址接收的新建会话报文丢弃。

或者，当该IP3地址的对应的会话资源为基于TCP的新建会话资源时，网络设备不仅可以将从该IP3地址接收的新建会话报文丢弃，还可以向该IP3地址对应的会话发起方发送RESET报文，结束与该会话发起方的TCP连接。

经过上述限制或者降低操作后，当网络设备检测到上述IP3地址对应的新建速率不超过第三阈值时(即每秒16000万个)时，可以解除该IP3地址的限制，允许该IP3地址建立新的会话。

如果停止对此IP3地址的限制之后，网络设备的新建速率仍然超过每秒35万个时，则重复上述过程，限制或者降低当前新建速率最大的IP地址对新建会话资源的占用，在此，不再赘述。

通过以上实施例可知，网络设备可以检测设备本身的新建速率，当网络设备的新建速率达到第一阈值时，网络设备可以统计各个会话发起方的IP地址所对应的新建速率；当网络设备的新建速率达到第二阈值时，可以基于统计出的各个会话发起方的IP地址对应的新建速率，获取新建速率最大的IP地址；网络设备可以限制或者降低该新建速率最大的IP地址对所述会话资源的占用。

由于当该网络设备的新建速率过大时，网络设备可以进行对新建速率最大的IP地址限制或降低处理，释放其所占用的会话资源，使得会话资源可以及时地合理回收利用。因此，可以有效地提高设备的业务处理性能。

场景二：

以下以会话资源为并发会话资源，会话资源占用率以并发会话数表征的场景为例，对上述方法进行详细地描述。

假设，网络设备与N个会话发起方进行了会话交互。这N个会话发起方的IP地址分别为IP1、IP2、IP3至IPN。网络设备的内存所能允许的最大并发会话数为100万个，假设第一阈值为70万个，第二阈值为90万个，第三阈值为当前最大并发会话数IP对应的并发会话数的80％。预设老化时间为5s，预设时间范围为30分钟。

当网络设备检查到本设备的并发会话数达到70万个时，可以统计各个会话发起方的IP地址对应的并发会话数。

在统计网络设备的并发会话值和发起会话的各IP地址的并发会话值时，可以将采样周期设定为1s，并以该采样周期统计网络设备的并发会话数和各发起会话的IP对应的并发会话数。

当该网络设备检查到本设备的并发会话数达到90万个时，可以分别基于IP1至IPN地址对应的并发会话数，获取最大并发会话数的IP地址。假设IP1、IP2、IP3至IPN中，IP3对应的新建速率最大，为每秒50000个，则该网络设备可以获取到IP3。

在获取到IP3地址后，网络设备一种可选的处理方式是基于预设老化时间5s，在5s后将IP3对应的并发会话老化。

另一种可选的处理方式是，网路设备可以遍历会话资源表，基于并发会话资源表中记录的IP3对应的会话资源最后的使用时间，确定IP3对应的预设时间范围内(即30分钟)未出现数据交互的并发会话，并将该会话老化。假设当前时间为13:30，则网络设备可以将该IPmax对应的最后使用时间在13:00之前的并发会话立即老化。

另一种可选的处理方式是，网络设备还可以同时使用上述两种方式，来限制或者降低IP3地址对其对应的并发会话资源的占用。网络设备可以先使用上述第二种方法，将IPmax对应的最后使用时间在13:00之前的并发会话立即老化，再结合第一种方法，基于预设老化时间5s，5s后将IPmax对应的最后使用时间在13:00至13:30之间的并发会话老化。

当IP3对应的会话为基于TCP的并发会话时，该网络设备不仅可以基于上述操作，将其对应的并发会话老化，还可以向IPmax和与IPmax进行会话的对端发送TCP RESET报文，结束该IPmax和与该IPmax进行会话的对端之间的TCP连接。

经过上述限制或者降低操作后，当检测到上述IP3地址对应的并发会话数不超过第三阈值时(即每秒40000个)时，可以解除该IP3地址的限制，允许该IP3地址建立新的会话。

如果解除对此IP3地址的限制之后，网络设备的并发会话数仍然超过每秒70万个时，则重复上述过程，限制或者降低当前并发会话数最大的IP地址对并发会话资源的占用，在此，不再赘述。

通过以上实施例可知，网络设备可以检测自身的并发会话数，当网络设备的并发会话数达到第一阈值时，网络设备可以统计各个发起会话的IP地址所对应的并发会话数；当网络设备的并发会话数达到第二阈值时，可以基于统计出的各个会话发起方的IP地址对应的并发会话数，获取并发会话数最大的IP地址；网络设备可以限制或者降低该并发会话数最大的IP地址对所述会话资源的占用。

由于当该网络设备的并发会话数过大时，网络设备可以对并发会话数最大的IP地址进行限制，释放其所占用的会话资源，使得会话资源可以得到合理地回收利用。因此，可以有效地提高设备的业务处理性能。

与前述会话资源管理方法的实施例相对应，本申请还提供了会话资源管理装置的实施例。

本申请会话资源管理装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本申请会话资源管理装置所在网络设备的一种硬件结构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的网络设备通常根据该会话管理的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图3，图3是本申请一示例性实施例示出的一种会话资源管理装置的框图。所述装置包括：统计模块310，确定模块320和限制模块330。

统计模块310，用于当网络设备的会话资源占用率达到预设的第一阈值时，统计各发起会话IP地址对应的会话资源占用率；

确定模块320，用于当网络设备的会话资源占用率达到第二阈值时，基于统计出的所述各发起会话IP地址对应的会话资源占用率，确定会话资源占用率最大的IP地址(IPmax)；其中，所述第二阈值大于所述第一阈值；

限制模块330，用于限制或降低IPmax对所述会话资源的占用，以加快本设备回收会话资源。

在一个可选的实现方式中，所述限制模块，包括：第一丢弃子模块，用于当所述会话资源为新建会话资源时，将从所述IPmax发送的报文丢弃。

在另一个可选的实现方式中，所述限制模块，包括：第二丢弃子模块，用于当所述会话资源为基于TCP的新建会话资源时，将IPmax发送的报文丢弃；第一发送子模块，用于向IPmax发送TCP RESET报文。

在另一个可选的实现方式中，所述限制模块，包括：第一老化子模块，用于当所述会话资源为并发会话资源时，基于预设的老化时长，将所述IPmax对应的并发会话老化；和/或，第二老化子模块，用于将IPmax对应的在预设时间范围内未出现数据交互的并发会话老化。

在另一个可选的实现方式中，所述第二老化子模块，包括：遍历单元，用于遍历并发会话资源表，确定IPmax对应的并发会话资源；确定单元，用于基于并发会话资源表中记录的IPmax对应的每个并发会话资源的最后使用时间，确定在预设时间范围内未出现数据交互的并发会话；老化单元，用于将所述在预设时间范围内未出现数据交互的并发会话老化。

在另一个可选的实现方式中，所述限制模块，包括：第二发送子模块，用于分别向IPmax和与该IPmax进行会话的对端发送TCP RESET报文，以结束所述IPmax和与该IPmax进行会话的对端之间的TCP连接。

在另一个可选的实现方式中，所述装置还包括：

停止模块340，用于所述IPmax对应的会话资源占用率不超过第三阈值时，停止IPmax的限制或降低处理；其中，所述第三阈值小于第二阈值。

在另一个可选的实现方式中，不同类型会话资源所对应的第一阈值不同；和/或不同类型会话资源所对应的第二阈值不同。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。