CN101512510B - 基于定义和应用网络管理意图提供网络管理的方法和系统 - Google Patents
基于定义和应用网络管理意图提供网络管理的方法和系统 Download PDFInfo
- Publication number
- CN101512510B CN101512510B CN200780032900.2A CN200780032900A CN101512510B CN 101512510 B CN101512510 B CN 101512510B CN 200780032900 A CN200780032900 A CN 200780032900A CN 101512510 B CN101512510 B CN 101512510B
- Authority
- CN
- China
- Prior art keywords
- network
- group
- logic clusters
- change
- logical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了用于基于定义和应用高级管理意图提供动态网络配置和管理的方法和系统,包括:检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生成与一个或多个网络群标识符相关联的网络群列表。
Description
技术领域
本PCT申请要求2006年9月5日提交的美国专利申请第11/470,240号的优先权,并且通过引用将其结合于此。
背景技术
大的网络维护通常是一个正在进行的、易出错且艰难的过程,其中,网络中的改变要求跨越支持该网络的装置的实质性计划和庞大配置方面的改变。这样的改变的示例包括但不限于将新的硬件或软件、新的主机或用户添加到网络,或者类似地,包括与主机和/或用户离开网络相关联的网络改变。
实际上,随着网络规模和复杂度的增加,越来越难以配置和维护管理数据网络的交换机、路由器和其它网络装置。网络管理员必须不仅要考虑网络是怎样设计的和网络的配置,而且要考虑支持该网络的装置彼此是怎样进行交互(interact)的。
用于网络中的交换机端口分析器(SPAN)会话的建立的现有方法一般在功能上受到限制,这是因为它们被实现为网络的附加件(add-ons)。SPAN会话是目的接口与一组源接口的关联,并且被用于网络流量监控。例如,一种方法包括:通过侦听分组对网络装置上的配置文件进行检查。这种方法的局限在于网络装置上的配置文件不是最初配置该网络的管理员的技术诀窍的替代。尽管网络装置中的配置文件提供了网络配置的特性,但是它们通常并不提供网络中的配置特性背后的原因。因此,在没有完全理解网络装置的配置特性背后的原因的情况下,网络的任何重新配置都可能不会产生正确的或最优的配置。
并且,就网络配置随时间改变的挑战而言,网络附加件可能不会被配置成完全被结合到网络中的每一个网络装置中,因此该网络附加件不能在用户和主机在网络内迁移进而改变网络拓扑时可靠地跟踪它们。并且,由于用户或用户群的动态特性,即,用户能够在网络中从一个机器迁移到另一个机器,而主机能够从一个端口迁移到另一个端口,所以,现有方法不能跟踪用户或用户群。
鉴于以上所述,期望有用于基于动态定义与网络策略相关联的一个或多个意图并且动态地将它们应用于一个或多个网络实体的数据网络监控和管理的方法和系统。
附图说明
图1A是用于实施本发明一个或多个实施例的整体数据网络的框图;
图1B是用于实施本发明一个或多个实施例的图1A的数据网络中的网络装置的框图;
图2是示出本发明一个实施例中的图1A的数据网络100中的逻辑群层次结构的框图;
图3是示出本发明一个实施例中的与中央控制器单元110相关联的逻辑群层次结构数据库配置的框图;
图4是示出根据本发明一个实施例的基于意图的网络配置和管理的流程图;
图5是示出根据本发明一个实施例的基于意图的网络配置和管理的流程图;以及
图6是示出本发明一个实施例中的由支持交换插件(switchwarecapable)的装置执行的基于意图的网络配置和管理的流程图。
具体实施方式
图1A是耦合到中央控制器的整体数据网络的框图,并且图1B是用于实施本发明一个或多个实施例的图1A的数据网络中的网络装置的框图。参考图1A至图1B,提供了一种有效地耦合到数据网络100的中央控制器单元110。在一个实施例中,数据网络100可以包括一个或多个局域网(LAN)或广域网(WAN),所述局域网或广域网被有效地耦合到中央控制器单元110并且受到该中央控制器单元的配置控制。
参考图1B,一个实施例中的网络装置120包括有效地耦合到处理单元120C的存储单元120B。在一个方面,处理单元120C可以包括一个或多个微处理器,所述微处理器用于检索和/或存储来自存储单元120A的数据,并且进一步地,用于执行例如被存储在存储单元120A中的指令,用于实现一个或多个相关联的功能。还参考图1B,在一个方面,网络装置120还设有网络接口120D,网络接口120D被有效地耦合到端口120A并且可以被配置为与数据网络100(图1A)中的其它网络装置或客户终端以及中央控制器单元110接口。
在一个实施例中,如以下将要进一步详细描述的,网络装置120的存储器或存储单元120B可以被配置为存储这样的指令:该指令可以由处理单元120C执行,以执行与以下所详细描述的基于动态地定义和应用与网络策略相关联的一个或多个意图的数据监控和管理的一个或多个实施例相关联的一个或多个功能。
还参考图1B,尽管示出了网络装置120具有一个存储单元120B、一个处理单元120C、一个网络接口120D和一个端口120A,但是在本发明的范围以内,网络装置120可以设有多个存储单元(例如,包括只读存储器、随机存取存储器等的多个存储装置)、多个处理单元(诸如,例如分别具有一个或多个专用功能的多个微处理器)和被有效地耦合到图1A中所示的数据网络100的一个或多个其它网络装置和客户装置的附加网络接口和端口。
更具体而言,在一个实施例中,中央控制器单元110可以被配置为完全控制数据网络100内的网络装置(例如,图1B中所示的网络装置120或多个这样的网络装置120)——即,支持网络100的网络装置。例如,一个实施例中的中央控制器单元110可以负责VLAN中继协议(VTP)的配置,VLAN中继协议是用来规定数据网络100中的物理网络上的每个逻辑网络(VLAN)的覆盖的机制。
还参考图1A至图1B,在一个实施例中,网络装置120的端口120A以及连接到端口120A的客户或用户终端可以以树型数据结构表示。实际上,可以产生层次结构的物理群树来表示网络拓扑。并且,物理群树中的节点可以被配置为表示诸如位置、装置、属性之类的抽象概念,其中,节点映射到网络100中的装置的物理端口。一个实施例中的逻辑群树可以表示诸如用户种类和装置种类之类的客户端群,其中,逻辑群树中的节点映射到客户端。
图2是示出本发明一个实施例中的图1A的数据网络100中的逻辑群层次结构的框图。参考该图,在默认群210下,有3个逻辑群,包括:雇员群220、经理(contractor)群230和各种装置240。并且,这些群中的每一个群又包括另外的成员。例如,人力资源221和工程师222是雇员群220的成员,而经理1 231和经理2 232是经理群230的成员。此外,从图2可以看出,嗅探器241和打印机242是各种装置240群的成员。此外,还可以看出,嗅探器241还包括几个成员,包括:嗅探器1 241A和嗅探器2 241B。
以这种方式,在本发明的一个实施例中,每个网络装置、用户、客户终端或主机都可以根据网络级配置(例如,根据高级意图)而被映射到层次结构和逻辑群中。并且,在本发明的范围内,中央控制器单元110可以被配置为监控作为逻辑群的受监控流量的源和目的地两者,并且因此考虑用于受监控流量群的目的地的动态逻辑群成员资格,进一步被配置为当受监控流量的目的地动态改变时修改实际的网络配置。
在一个实施例中,监控网络100中的流量的中央控制器单元110可以被配置为将网络100中的用户或主机的一个或多个属性应用到层次结构中的适当的群,从而使得网络拓扑中的改变被中央控制器单元110连续监控,并且被动态配置为在群层次结构中应用与该网络拓扑中的改变相关联的适当的网络属性。
物理群和逻辑群两者都具有当端口变成群的成员时可以被应用到所述端口或经由所述端口连接的系统的属性。然而,物理群包含影响进出端口的所有通信的属性,例如,速度、双工、风暴控制设置。并且,物理群属性还提供这样的规则,经由端口连接的用户的逻辑群通过这些规则而被选择。另一方面,逻辑群的属性未必影响进出到一个或多个网络或系统的端口的所有通信。
逻辑群属性的示例例如包括VLAN和访问控制项(ACE)和网络监控参数。实际上,因为逻辑群具有的属性并不物理上影响该端口,因此不影响通过端口的所有通信,端口可以同时是一个以上逻辑群的成员。与此形成对照,每个端口只是一个物理群的成员,这是因为物理群的属性影响通过该端口的所有通信。
端口上的逻辑群成员资格是这样的机制,涉及附接的网络客户端的端口设置通过该机制而被动态应用于考虑中的端口。在一个方面,可以通过端口、MAC地址,通过认证或通过话音-VLAN来定义逻辑群成员资格。即,通过规定端口为其成员的那个物理群中的(或端口为其成员的那个物理群从中继承特性的物理群中的)逻辑群成员资格规则来实现用于该端口上的逻辑群成员资格规范的规则。
例如,为了通过端口定义逻辑群成员资格,可以通过在物理群中设置这样的特性而在诸如接口之类的端口上设置参数,该特性规定经由具有该特性的端口连接到网络的任何系统都是所规定的逻辑群的成员。通过MAC地址进行的逻辑群成员资格定义可以包括可在物理群中设置的这样的特性,该特性规定:如果具有特定MAC地址的系统是在作为具有该特性的物理群的成员或者作为继承该特性的物理群的成员的端口上检测到的,则该系统是所规定的逻辑群的成员。MAC地址和逻辑群之间的映射可以作为静态物理群配置数据存储在中央控制器单元110中。
在基于已认证用户来定义逻辑群成员资格的情况下,可以在物理群中设置这样的特性,该特性规定以所规定的方式(例如,使用在网络装置被连接到端口并且进行IEEE 802.1x认证时从认证服务获得的不透明字符串)进行认证的系统是所规定的逻辑群的成员。并且,在通过话音-VLAN定义逻辑群成员资格的情况下,可以在物理群中设置这样的特性,该特性规定与请求话音VLAN的交换机进行通信的任何客户端被指示使用被配置用于该逻辑群的VLAN——然后该客户端被利用所规定的逻辑群自动认证。
返回参考图1至图2,在一个实施例中,在每个网络装置、用户或主机被映射进层次结构树中之后,网络管理员根据管理员的意图链接节点,以允许或拒绝网络100中的一个或多个预定动作。例如,在一个实施例中,网络管理员的意图可以反映:所规定的用户或主机具有与该网络中的另一个或另多个所规定的用户或主机进行通信的许可。可替代地,网络管理员的意图可以被定义为适用于所规定的或预定的逻辑群(例如,经理230(图2))。
在另一方面,网络管理员的意图还可以指示对网络100的客户端或端口所期望的服务质量(QoS)、网络必须为客户端或端口提供的服务、对特定端口或客户端的监控、在网络100中从给定用户到另一用户的呼叫跟踪,或者用于管理和配置网络100的其它期望的操作或服务。在一个方面,期望的意图可以由网络管理员在用户接口中例如通过链接树节点并且生成用于该链接的关联特性而规定。
通过所建立的网络层次结构和所规定的网络管理员意图,当客户端例如通过连接到网络100中的端口而进入或离开网络100时,一个或多个可应用的管理员意图可以被自动应用到客户端。更具体而言,可以在无需管理员的动作或干预的情况下产生并且应用一个或多个预定的装置配置。另一方面,与离开或进入网络100的特定客户端相关联的一个或多个意图可以在该客户端实际离开或进入网络100之前被分别产生或标识,并且此后,在其离开或进入网络100之后被应用到特定客户端。
以这种方式,在一个实施例中,网络管理员可以将数据网络100作为单个实体处理,并且所规定的管理员意图可以被自动实现,例如,一个或多个预定的装置配置。因此,根据本发明的各种实施例,网络管理员可以定义所意图的服务、所允许的流量、服务质量(QoS)参数和其它网络特征和/或配置,并且在客户端或网络装置进入或离开网络100时被动态应用到客户端或网络装置。
图3是示出本发明一个实施例中的与中央控制器单元110相关联的逻辑群层次结构数据库配置的框图。参考图3,在一个实施例中,与中央控制器单元110(图1A)相关联的数据库300可以被配置为存储所示出的层次结构的逻辑群310。更具体而言,参考图3,与逻辑群310相关联的属性“A”被设为是与由实箭头指示所示出的许可访问控制项(AccessControl Entry,ACE)相关联的参考链接。参考图3,在逻辑群中的更低级的层次结构处,设有分别与相应属性“A”相关联的用户逻辑群320和服务器逻辑群330。
从用户逻辑群320的属性“A”至服务器逻辑群330的属性“A”的虚箭头和从服务器逻辑群330的属性“A”至用户逻辑群320的属性“A”的虚箭头指示与拒绝访问控制项(ACE)相关联的参考链接。即,在图3所示的配置中,在一个实施例中,中央控制器单元110(图1A)被配置,从而使得用户逻辑群320和服务器逻辑群330被配置为彼此不直接进行通信。
更具体而言,在本发明的一个实施例中,并非用户逻辑群320的所有成员都可以被配置为与服务器逻辑群330的成员进行通信。即,返回参考图3,工程用户成员(工程用户)321和市场用户成员(市场用户)322未被配置为与服务器逻辑群330的成员(例如,工程服务器(工程服务器)331和人力资源成员(人力资源服务器)332)进行通信。参考图3,这由从用户逻辑群320成员的各个属性“A”到服务器逻辑群330的相应成员不存在箭头示出。
另一方面,从图3可以看出,用户逻辑群320中的人力资源成员(人力资源用户)323具有从它的属性“A”至服务器逻辑群330的人力资源成员(人力资源服务器)332的箭头,而服务器逻辑群330的人力资源成员(人力资源服务器)332具有从它的属性“A”至用户逻辑群320中的人力资源成员(人力资源用户)323的箭头。在这种情况中,用户逻辑群320的人力资源用户323的属性“A”被与至服务器逻辑群330的人力资源服务器成员332的许可ACE的参考链接相关联。因此,中央控制器单元110(图1A)被配置为将用户逻辑群320中的人力资源用户成员323的高级意图关联到服务器逻辑群330中的人力资源服务器成员332,并且反之亦然,从而使得影响与用户逻辑群320的人力资源用户成员323相关联的网络拓扑或配置的任何改变被动态反映在服务器逻辑群330的人力资源服务器成员332中。同样,影响与服务器逻辑群330的人力资源服务器成员332相关联的网络拓扑或配置的改变被动态反映在用户逻辑群320的人力资源用户成员323中。
返回参考图3,在逻辑群层次结构的下一级中,工程用户逻辑群321的成员分别与工程服务器逻辑群331的相应成员相关联。换言之,如图3中由从用户逻辑群成员(软件工程用户成员321A和硬件工程用户成员321B)的属性“A”起始至工程服务器逻辑群331的各个成员(例如,软件工程服务器成员331A和硬件工程服务器成员331B)的实箭头所示,适当的参考链接被与许可ACE相关联。
并且,工程服务器逻辑群331的成员(软件工程服务器成员331A和硬件工程服务器成员331B)的各个属性“A”设有图3中所示的到工程用户逻辑群321的各个成员(即,软件工程用户成员321A和硬件工程用户成员321B)的实箭头,指示与许可ACE相关联的各个参考链接。
以上述方式,在本发明的一个实施例中,中央控制器单元110(图1A)被配置为动态管理数据网络100中的数据流,从而使得,例如,参考图3,某些逻辑群的成员被配置为与网络100的逻辑群结构以内的相应的其它逻辑群的成员进行通信,使得中央控制器单元110可以被配置为利用与可归于给定逻辑群的网络中的改变相关联的高级意图来动态配置该给定逻辑群内的成员网络装置。
在一个实施例中,中央控制器单元110被配置为管理网络100中存在的各个用户和主机,从而使得中央控制器单元110被配置为实现并动态维护跨网络监控端口/流会话。因为中央控制器单元110具有该网络中的每个用户和每个主机的消息,因此能够进行全面的网络监控并且不限于对特定类型的网络流量的静态监控。
因为中央控制器单元110在一个实施例中可以被配置为维护两个处理(handle)之间的监控会话,并且假定中央控制器单元110是唯一的用于维护网络内配置的实体(因此任何时间都完全了解网络拓扑),所以中央控制器单元110能够设立并且管理网络装置上的必要配置,以在网络改变时在没有任何管理干预的情况下维护监控会话。上述网络改变的一些示例包括但不限于一个以上主机中的用户认证、网络内的用户迁移、网络内的主机迁移以及网络拓扑改变。
以这种方式,可以向数据网络100提供中央控制器单元110,以在管理域内配置所有的网络装置。网络管理员不是配置网络100中的所有网络装置,而是针对网络配置的动态特性用高级意图配置中央控制器单元110。中央控制器单元110进而可以被配置为动态地不断将高级意图解析成低级执行细节,并且维护网络100上的每个网络装置的配置。
因此,加入或离开网络100的所有主机或用户都可以在中央控制器单元110的直接监督之下。不论所使用的认证机制(例如,IEEE 802.1x)如何,这都是有效的。在用户或主机不以用户名和/或口令进行认证的情况下,他们以位置或MAC地址进行认证。以这种方式,一个实施例中的中央控制器单元110被配置为可靠地监控相关策略并且在用户和主机在受监控和管理的网络100内迁移时将相关策略应用到用户和主机。并且,在一个方面,未被中央控制器单元110跟踪的用户或主机可能不被许可进入网络100。
图4是示出根据本发明一个实施例的基于意图的网络配置和管理的流程图。参考图4,在步骤410,在一个实施例中,表示网络管理员的意图的网络策略被根据物理和逻辑群的属性而确定。例如,在一个实施例中,物理群属性表示逻辑群被选择的方式(即,例如,在网络中网络客户端如何进行逻辑分类)。并且,逻辑群属性表示要应用到作为各个逻辑群的成员的用户或客户端的策略,所述策略例如是网络安全和服务质量(QoS),但不限于此。
返回参考图4,在一个实施例中,在根据网络中的逻辑群的相关属性确定网络策略之后,在步骤420,每个属性被与相应的网络群标识符相关联,所述网络群标识符例如是包括但不限于思科信任安全标签(CiscoTrusted Security Tag)(或称为源群标签(SGT))的群描述符。在一个实施例中,与每个逻辑群相关联的网络群标识符可以被配置为使得在假定数据分组流经网络100(图1A)的情况下,网络群标识符可以被用来标识该分组源自网络100中的哪一个逻辑群。
还参考图4,接着在步骤430,生成并且存储群表格,其中,群表格可以包括与网络100中的每个逻辑群相关联的网络群标识符。在步骤440,所生成的群表格被发送给网络100(图1A)中的一个或多个支持交换插件的装置,以根据逻辑群和相关联的网络群标识符配置相关联的网络实体或客户端进而执行相关的网络策略。
返回参考图1和图4,在一个实施例中,中央控制器单元110(图1A)被配置为维护网络100中的所有支持交换插件的装置,并且被进一步用最新的群表格进行配置。并且,中央控制器单元110进一步可以被配置为维护在使用由网络100的逻辑群索引的网络策略进行配置的网络中的所有支持交换插件的装置。例如,在一个实施例中,中央控制器单元110可以被配置为维护网络100的逻辑群之间的包括安全策略的二维表格。此外,中央控制器单元110还可以被附加地配置为维护用于每个逻辑群要维护的与网络100(图1A)的各个客户端的服务质量(QoS)的一维表格。
以这种方式,当网络策略改变发生时,中央控制器单元110可以被配置为更新包括网络策略的群表格并且将已更新的群表格发送给网络中支持交换插件的装置,从而使得在没有网络管理员干预的情况下已更新的或已改变的网络策略可以基本上立即被在网络100内的各处执行。
图5是示出根据本发明一个实施例的基于意图的网络配置和管理的流程图。参考图5,在本发明一个实施例中,在步骤510,网络策略被检索,并且在步骤520,将网络中的逻辑群与网络策略相关联的群表格被生成并且被发送到网络装置。在一个实施例中,网络装置包括被配置为应用网络策略和/或监控网络100中的相关端口改变的支持交换插件的装置。
参考图5,在步骤530,确定是否检测到了任何网络端口改变。如果没有检测到可能影响当前网络策略的网络端口中的改变,则例程针对会潜在地引起一个或多个网络策略的相应改变的改变继续监控网络100。另一方面,如果在步骤530检测到了网络端口改变,则在步骤540,对与检测到的网络端口改变相关联的网络策略进行标识,并且针对与检测到的网络端口改变相关联的网络策略,更新相应的群表格项。即,在一个实施例中,中央控制器单元110(图1A)可以被配置为针对影响现有网络策略的改变而监控网络配置,并且在检测到网络改变之后,对维护当前网络策略和相关联的逻辑群的群表格进行更新以执行对网络100(图1A)中的适当的逻辑群的任何策略改变。
图6是示出本发明一个实施例中的由网络中的支持交换插件的装置执行的基于意图的网络配置和管理的流程图。参考图6,在步骤610,从中央控制器单元110(图1A)接收包括与表示各个网络管理策略的各个网络群标识符相关联的逻辑群的群表格。此后在步骤620,执行来自所接收到的群表格的相关网络策略,从而使得当前的最新的网络策略被应用到与对应于当前网络策略的各个逻辑群相关联的网络实体。
还参考图6,在步骤630,监控网络端口以检测诸如一个或多个客户端进入或离开网络100的任何改变。如果网络端口的改变未被检测到,则例程继续监控网络端口直到这样的可能影响网络策略的改变被检测到。另一方面,如果网络端口中的改变例如通过检测客户端进入或离开网络而被检测到,则在步骤640,对与该网络端口改变相关联的一个或多个策略进行标识,并且此后,与已标识的策略相关联的一个或多个属性被发送给中央控制器单元110(图1A)。
即,在一个实施例中,在客户端从网络中的网络端口进入或撤出时,对在客户端加入或离开网络的网络端口进行监控的支持交换插件的装置被配置为对进入或离开该网络的各个新的客户端执行认证和逻辑群分类。更具体而言,在一个实施例中,支持交换插件的装置被配置为保持对通过端口附接在本地装置的当前用户或客户端和逻辑群分类的跟踪。并且,在一个实施例中,支持交换插件的装置被配置为将端口信息和逻辑群分类发送给中央控制器单元110(图1A)。
因此,在一个实施例中,网络100(图1A)中的支持交换插件的装置被配置为利用本地附接的客户端的群成员资格、每个群的策略和群之间的策略的消息,通过逻辑群对数据分组进行标识和分类。因此,在一个实施例中,支持交换插件的装置可以被配置为维护客户端所附接的网络端口处的网络策略。
以上述方式,根据本发明一个实施例,通过中央控制器单元110进行的基于预定管理意图的动态网络配置和管理摈弃了(render)不必要的麻烦和进行中的配置步骤,以根据客户端进入或离开网络而设立网络范围的监控和配置。并且,当受监控的实体或监控实体在网络100内迁移时,无需涉及网络管理员。
在一个实施例中,每个端口被指派一个物理群,但是,在每个端口上可以指派(或实例化(instantiate))一个或多个逻辑群。并且,在逻辑群的情况下,属性可以涉及其它逻辑群(例如,ACL),并且这样的属性在被应用时,会引起对多个端口的低级设置的修改。可见,在逻辑群中的高级意图(网络级配置)和低级设置被扩展在逻辑群在其上实例化的那个端口上之后,高级意图(网络层配置)和低级设置之间并不必须是一一对应的关系。
因此,在一个方面,网络100中的逻辑群可以保留在诸如网络级配置之类的基于高级意图的配置和端口之间的关系。并且,可以用通过逻辑群的配置实现网络级配置,这是因为诸如网络级配置之类的高级意图规范到低级端口设置的映射并不限于在用来规定意图和配置的那个端口上的设置。
因此,本发明一个实施例中的提供动态网络配置和管理的方法包括:检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,以及生成与一个或多个网络群标识符相关联的网络群列表。
在一个方面,网络策略可以与一个或多个网络管理意图相关联。
在另一个方面,网络策略可以包括与网络配置相关联的高级意图,其中,高级意图可以包括一个或多个安全策略、服务质量或它们的组合。
在进一步的方面中,该方法还可以包括将网络群列表发送给一个或多个网络实体。
在另一个实施例中,该方法还可以包括:检测网络拓扑中的改变,对与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标识,并且根据一个或多个已标识的属性更新网络群列表,其中,在一个方面,网络拓扑中的改变可以包括客户终端进入网络或客户终端离开网络中的一个或多个。
根据另一实施例,网络拓扑中的改变可以包括网络中的网络端口改变。
在另一个方面,该方法可以包括将已更新的网络群列表应用到网络中的一个或多个网络实体。
根据本发明另一实施例的设备包括:网络接口,一个或多个处理器被耦合到该网络接口;用于存储指令的存储器,所述指令在由一个或多个处理器执行时,使得一个或多个处理器检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生成与一个或多个网络群标识符相关联的网络群列表。
根据另一实施例,提供了其上包含有处理器可读代码的一个或多个存储装置,处理器可读代码用于对一个或多个处理器进行编程以执行用于提供动态网络配置和管理的方法,该方法包括:检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生成与一个或多个网络群标识符相关联的网络群列表。
在另一方面,该方法还包括将该网络群列表发送给一个或多个网络实体。
并且,在另一方面,该方法还可以包括:检测网络拓扑中的改变,对与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标识,并且根据一个或多个已标识的属性更新网络群列表。
在另一方面,该方法还包括将更新后的网络群列表应用到网络中的一个或多个网络实体。
根据本发明另一实施例的提供动态网络配置和管理的系统包括:用于检索与网络中的一个或多个逻辑群相关联的一个或多个属性的装置,用于根据一个或多个检索到的属性确定一个或多个网络策略的装置,用于将一个或多个逻辑群关联到各个网络群标识符的装置,和用于生成与一个或多个网络群标识符相关联的网络群列表的装置。
上述各种处理包括在数据网络100中的软件应用程序环境中由中央控制器单元110执行的处理,这些处理包括结合图4至图6所述的处理和例程,上述各种处理可以被实现为用面向对象的语言开发的计算机程序,面向对象的语言允许以模块化对象来对复杂系统进行建模以创建代表真实世界、物理对象和它们的相互关系的抽象概念。可以存储在中央控制器单元110的存储器(未示出)中的执行本发明的处理所需的软件,可以由本领域技术人员开发并且可以包括一个或多个计算机程序产品。
在不偏离本发明范围和精神的前提之下,对本发明的结构、方法和操作进行的各种其它修改和更改对本技术领域技术人员是显而易见的。尽管已经结合特定的优选实施例描述了本发明,但是应当理解,如权利要求所述的本发明不应当被不适当地限制于这样的特定实施例。意欲用所附权利要求来限定本发明的范围并且覆盖在权利要求及其等同物的范围以内的结构和方法。
Claims (9)
1.一种提供动态网络配置和管理的方法,所述方法包括以下步骤:
中央控制器单元
从逻辑群树检索与网络中的一个或多个逻辑群相关联的一个或多个逻辑群属性,其中,所述逻辑群树具有所述网络中的多个相互连接的分层配置的节点,每个节点表示所述一个或多个逻辑群中的一个逻辑群,与所述一个或多个逻辑群相关联的所述一个或多个逻辑群属性被提供作为所述逻辑群树的节点对之间的参考链接,所述参考链接与允许或拒绝由所述节点对表示的所述逻辑群的成员之间的访问相关联;
根据一个或多个检索到的逻辑群属性确定表示网络管理员的高级意图的一个或多个网络策略;
将所述一个或多个逻辑群以及所述一个或多个逻辑群属性关联到相应的网络群标识符;
生成与一个或多个网络群标识符相关联的网络群列表;以及
将所述网络群列表发送给所述网络中的一个或多个支持交换插件的装置,
所述一个或多个支持交换插件的装置
执行所述网络群列表中的所述一个或多个网络策略,从而使得所述一个或多个网络策略被应用于所述网络中的网络实体;并且
所述一个或多个支持交换插件的装置中的任意一个被配置为:
检测网络拓扑中的改变;以及
对与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性进行标识,并将与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性发送给所述中央控制器单元,其中所述中央控制器单元接收与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性,并且更新所述网络群列表。
2.根据权利要求1所述的方法,其中,所述网络拓扑中的改变包括客户终端进入所述网络或客户终端离开所述网络中的一个或多个。
3.根据权利要求1所述的方法,其中,所述网络拓扑中的改变包括所述网络中的网络端口改变。
4.根据权利要求1所述的方法,还包括将已更新的网络群列表应用于所述网络中的一个或多个网络实体的步骤。
5.一种设备,包括:
网络接口;
耦合到所述网络接口的一个或多个处理器;以及
用于存储指令的存储器,所述指令在被所述一个或多个处理器执行时,使得所述一个或多个处理器从逻辑群树检索与网络中的一个或多个逻辑群相关联的一个或多个逻辑群属性,根据一个或多个检索到的逻辑群属性确定表示网络管理员的高级意图的一个或多个网络策略,将所述一个或多个逻辑群以及所述一个或多个逻辑群属性关联到相应的网络群标识符,生成与一个或多个网络群标识符相关联的网络群列表,将所述网络群列表发送给所述网络中的一个或多个支持交换插件的装置以供执行从而使得所述一个或多个网络策略被应用于所述网络中的网络实体,在所述一个或多个支持交换插件的装置中的任意一个支持交换插件的装置处检测到所述网络拓扑中的改变时接收与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性,并且更新所述网络群列表,其中所述逻辑群树具有所述网络中的多个相互连接的分层配置的节点,每个节点表示所述一个或多个逻辑群中的一个逻辑群,与所述一个或多个逻辑群相关联的所述一个或多个逻辑群属性被提供作为所述逻辑群树的节点对之间的参考链接,所述参考链接与允许或拒绝由所述节点对表示的所述逻辑群的成员之间的访问相关联。
6.一种提供动态网络配置和管理的系统,所述系统包括:
中央控制器单元,包括:
用于从逻辑群树检索与网络中的一个或多个逻辑群相关联的一个或多个逻辑群属性的装置,其中,所述逻辑群树具有所述网络中的多个相互连接的分层配置的节点,每个节点表示所述一个或多个逻辑群中的一个逻辑群,与所述一个或多个逻辑群相关联的所述一个或多个逻辑群属性被提供作为所述逻辑群树的节点对之间的参考链接,所述参考链接与允许或拒绝由所述节点对表示的所述逻辑群的成员之间的访问相关联;
用于根据一个或多个检索到的逻辑群属性确定表示网络管理员的高级意图的一个或多个网络策略的装置;
用于将所述一个或多个逻辑群以及所述一个或多个逻辑群属性关联到相应的网络群标识符的装置;
用于生成与一个或多个网络群标识符相关联的网络群列表的装置;以及
用于将所生成的网络群列表发送给所述网络中的一个或多个支持交换插件的装置的装置;
所述一个或多个支持交换插件的装置,其中所述一个或多个支持交换插件的装置中的每一个包括:
用于执行所述网络群列表中的所述一个或多个网络策略,从而使得所述一个或多个网络策略被应用于所述网络中的网络实体的装置;
用于检测网络拓扑中的改变的装置;
用于对与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性进行标识,并且将与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性发送给所述中央控制器单元的装置,并且
所述中央控制器单元还包括:
用于接收与所检测到的网络拓扑中的改变相关联的一个或多个逻辑群属性的装置;以及
用于更新所述网络群列表的装置。
7.根据权利要求6所述的系统,其中,所述网络拓扑中的改变包括客户终端进入所述网络或客户终端离开所述网络中的一个或多个。
8.根据权利要求6所述的系统,其中,所述网络拓扑中的改变包括所述网络中的网络端口改变。
9.根据权利要求6所述的系统,还包括:
用于将已更新的网络群列表应用于所述网络中的一个或多个网络实体的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/470,240 US7710900B2 (en) | 2006-09-05 | 2006-09-05 | Method and system for providing network management based on defining and applying network administrative intents |
US11/470,240 | 2006-09-05 | ||
PCT/US2007/077008 WO2008030734A2 (en) | 2006-09-05 | 2007-08-28 | Method and system for providing network management based on defining and applying network administrative intents |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101512510A CN101512510A (zh) | 2009-08-19 |
CN101512510B true CN101512510B (zh) | 2016-08-10 |
Family
ID=39151366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200780032900.2A Expired - Fee Related CN101512510B (zh) | 2006-09-05 | 2007-08-28 | 基于定义和应用网络管理意图提供网络管理的方法和系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7710900B2 (zh) |
CN (1) | CN101512510B (zh) |
WO (1) | WO2008030734A2 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7995498B2 (en) * | 2006-02-13 | 2011-08-09 | Cisco Technology, Inc. | Method and system for providing configuration of network elements through hierarchical inheritance |
US7898986B2 (en) * | 2006-10-31 | 2011-03-01 | Hewlett-Packard Development Company, L.P. | Port configuration |
US20080281958A1 (en) * | 2007-05-09 | 2008-11-13 | Microsoft Corporation | Unified Console For System and Workload Management |
DE112008003966T5 (de) * | 2008-07-31 | 2011-06-01 | Hewlett-Packard Development Co., L.P., Houston | Selektives Um-Abbilden einer Netzwerktopologie |
US8583832B2 (en) * | 2008-12-31 | 2013-11-12 | Verizon Patent And Licensing Inc. | Network interface device management using management transport channel |
US9491052B2 (en) * | 2010-03-26 | 2016-11-08 | Bladelogic, Inc. | Topology aware smart merge |
US9285992B2 (en) * | 2011-12-16 | 2016-03-15 | Netapp, Inc. | System and method for optimally creating storage objects in a storage system |
US9690605B2 (en) | 2012-04-09 | 2017-06-27 | Hewlett Packard Enterprise Development Lp | Configuration of an edge switch downlink port with a network policy of a published network configuration service type |
CN103368965B (zh) * | 2013-07-18 | 2018-04-17 | 北京随方信息技术有限公司 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
US9906632B2 (en) * | 2014-09-02 | 2018-02-27 | Nicira, Inc. | Method and system for implementing logical port classifications |
US10530697B2 (en) * | 2015-02-17 | 2020-01-07 | Futurewei Technologies, Inc. | Intent based network configuration |
US9491282B1 (en) | 2015-05-13 | 2016-11-08 | Cisco Technology, Inc. | End-to-end call tracing |
US9755939B2 (en) * | 2015-06-26 | 2017-09-05 | Cisco Technology, Inc. | Network wide source group tag binding propagation |
US10374872B2 (en) * | 2016-05-24 | 2019-08-06 | Apstra, Inc. | Configuring system resources for different reference architectures |
US11064426B2 (en) | 2016-11-30 | 2021-07-13 | At&T Intellectual Property I, L.P. | Intent-based service engine for a 5G or other next generation mobile core network |
US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
US10523512B2 (en) * | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
US20210352140A1 (en) * | 2020-05-07 | 2021-11-11 | Cyberpion, Ltd. | System and method for improved and effective generation and representation of a communication trust tree |
US11431567B1 (en) * | 2021-03-11 | 2022-08-30 | Juniper Networks, Inc. | Deploying a network management controller in an existing data center fabric |
US11388047B1 (en) * | 2021-03-17 | 2022-07-12 | Microsoft Technology Licensing, Llc | Stateless control planes |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5751967A (en) * | 1994-07-25 | 1998-05-12 | Bay Networks Group, Inc. | Method and apparatus for automatically configuring a network device to support a virtual network |
US6484261B1 (en) * | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7032243B2 (en) * | 2000-12-15 | 2006-04-18 | Hewlett-Packard Development Company, L.P. | System and method for a group-based network access control for computer |
-
2006
- 2006-09-05 US US11/470,240 patent/US7710900B2/en not_active Expired - Fee Related
-
2007
- 2007-08-28 WO PCT/US2007/077008 patent/WO2008030734A2/en active Application Filing
- 2007-08-28 CN CN200780032900.2A patent/CN101512510B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5751967A (en) * | 1994-07-25 | 1998-05-12 | Bay Networks Group, Inc. | Method and apparatus for automatically configuring a network device to support a virtual network |
US6484261B1 (en) * | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
Also Published As
Publication number | Publication date |
---|---|
US20080056156A1 (en) | 2008-03-06 |
US7710900B2 (en) | 2010-05-04 |
CN101512510A (zh) | 2009-08-19 |
WO2008030734A3 (en) | 2008-06-19 |
WO2008030734A2 (en) | 2008-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101512510B (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
US11153152B2 (en) | System and methods to validate issue detection and classification in a network assurance system | |
US11716265B2 (en) | Anomaly detection and reporting in a network assurance appliance | |
US7995498B2 (en) | Method and system for providing configuration of network elements through hierarchical inheritance | |
CN104363159B (zh) | 一种基于软件定义网络的开放虚拟网络构建系统和方法 | |
CN104113433B (zh) | 管理和保护网络的网络操作系统 | |
US11902082B2 (en) | Cross-domain network assurance | |
CN110612702B (zh) | 针对不一致的意图规范检查 | |
CN103930882B (zh) | 具有中间盒的网络架构 | |
Stone et al. | Network policy languages: a survey and a new approach | |
CN105684391B (zh) | 基于标签的访问控制规则的自动生成 | |
CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
US6393473B1 (en) | Representing and verifying network management policies using collective constraints | |
CN103930873B (zh) | 用于虚拟化环境的基于动态策略的接口配置 | |
US8028334B2 (en) | Automated generation of configuration elements of an information technology system | |
US11477093B2 (en) | Coupling of a business component model to an information technology model | |
CN110378103A (zh) | 一种基于OpenFlow协议的微隔离防护方法及系统 | |
CN110521169A (zh) | 用于服务链的策略保证 | |
US11546227B2 (en) | Optimized detection of network defect exposure in network environment | |
CN110754064A (zh) | 网络结构中的路由信息的验证 | |
EP3884640A1 (en) | Method and apparatus to have entitlement follow the end device in network | |
CN110521170A (zh) | 网络的静态网络策略分析 | |
CN107426152B (zh) | 云平台虚实互联环境下多任务安全隔离系统及方法 | |
US20200162319A1 (en) | Switch triggered traffic tracking | |
CN106850324A (zh) | 虚拟网络接口对象 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160810 |