CN102948132A - 分布式虚拟网络网关 - Google Patents
分布式虚拟网络网关 Download PDFInfo
- Publication number
- CN102948132A CN102948132A CN2011800308568A CN201180030856A CN102948132A CN 102948132 A CN102948132 A CN 102948132A CN 2011800308568 A CN2011800308568 A CN 2011800308568A CN 201180030856 A CN201180030856 A CN 201180030856A CN 102948132 A CN102948132 A CN 102948132A
- Authority
- CN
- China
- Prior art keywords
- address
- end points
- packets
- path
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种用于将虚拟化的网关功能分布到物理网络中的多个节点的计算机化的方法、系统和计算机可读介质。最初,提供执行网关功能的驱动程序来与在网络节点上实例化的端点合作,同时实现目录服务以维护虚拟因特网协议(IP)地址和位置依赖地址之间的映射,以及列举根据连接网络中端点的已知路径的变换动作的表。在操作中,目录服务用适当的位置依赖地址(利用映射)和适当的变换动作(利用表)回复来自驱动程序的请求(携带数据分组的源和目的地IP地址)。变换动作包括重写数据分组的报头以包括位置依赖地址,将数据分组封装为各个外部数据分组内的内部数据分组,或者用隧道协议配置数据分组。
Description
背景技术
大规模联网系统是在用于运行服务应用和维护数据以用于商务和操作功能的各种设定中使用的常见平台。例如,数据中心(例如物理云计算基础设施)可以同时为多个顾客提供多种服务(例如web应用、电子邮件服务、搜索引擎服务等等)。这些大规模联网系统通常包括遍及该数据中心分布的大量资源,其中每个资源都类似物理机或在物理主机上运行的虚拟机(VM)。在数据中心托管多个承租者(例如,顾客程序)时,这些资源被从该数据中心分配给不同的承租者以满足它们的使用需求。分配给承租者的资源的集合可被分组到逻辑或虚拟子网中,以便于管理和安全隔离。
数据中心的顾客常常需要运行在企业私有网络(例如由地理上远离该数据中心的顾客管理的服务器)或其它第三方网络中的服务应用与运行在该数据中心中的资源上的软件交互。为了在将分配给承租者的资源安全地与分配给其它承租者的资源分离的同时实现该交互,托管服务提供者可采用单个、集中的路由机构来用作属于虚拟子网中的承租者的所有机器、或者由主机系统管理程序管理的资源和承租人的远程资源之间的网络网关。然而,采用集中路由机构的该体系结构是低效的,因为操作取决于机构与其所服务的机器/资源的物理邻近度。例如,如果机器/资源位于数据中心的不同部分或者不同位置(例如,跨数据中心和企业私有网络),则至少一些机器/资源在驱动程序正在被其它机器/资源使用时将面对较高的等待时间和较低的带宽连接。因此,集中的路由机构成为进入和退出特定虚拟子网的通信的常见拥塞点。此外,机器/资源在被限于通过该集中路由机构传递所有通信时将被迫在次最佳路线上发送数据分组。
如此,采用新兴技术通过将驱动程序嵌入物理机(结合入本地机器网络栈)或虚拟机(结合入虚拟交换机网络栈)中来遍及数据中心分布虚拟网络网关或驱动程序将通过发现并利用最佳网络路径来增强数据分组的发送,通过分布网关功能来减少网络拥塞,并且用于进一步隔离数据中心顾客的通信。
发明内容
提供本发明内容是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
本发明的实施例提供一种解决上述问题的分布式虚拟网络网关的体系结构。这些网关可采取驱动程序的形式,可通过将这些驱动程序嵌入物理机(结合入本地机器网络栈)或虚拟机(结合入虚拟交换机网络栈)中来遍及数据中心提供这些驱动程序。如以下将要详细描述的,驱动程序通过发现并利用最佳网络路径来增强数据分组的发送,通过分布网关功能来减少网络拥塞,并且用于进一步隔离数据中心顾客的通信。此外,驱动程序保护在云计算平台中运行的顾客的服务应用的完整性,该云计算平台被配置成允许多个承租者(例如,每个云几万个)共享云服务数据中心中的计算资源。
通常,驱动程序支持选择分配给服务应用的端点之间的通信的最合适格式和路径,同时将所分配的网络适配器与数据中心中的其它资源虚拟地分割。作为说明,端点可包括在虚拟机(VM)和/或物理机上实例化的网络适配器。为了实现对通信中数据分组的格式和路径的选择,在各个实施例中,驱动程序伸展至目录服务,该目录服务帮助驱动程序针对其各个源和目的地端点作出路由决策。基于从目录服务返回的信息,驱动程序用于适当地管理来自该驱动程序的数据分组的路由,并同时通过适当地变换数据分组来防止未经授权的通信。
在示例性实施例中,驱动程序用于将虚拟化的网关功能分散到物理网络中节点的多个虚拟化的端点。最初,提供驱动程序以与在网络节点上实例化的端点合作。此外,实现目录服务以维护虚拟网络协议(IP)地址与位置依赖地址之间的映射,以及列举根据连接网络中端点的已知路径的变换动作的表。每个驱动程序在从中心位置处的驱动程序移开时能够与目录服务通信,或者在结合入驱动程序内部时能够本地地访问目录服务。
在操作中,链接到特定驱动程序的接收者端点可接收一个或多个数据分组。驱动程序可读取数据分组的报头以查明源IP地址和目的地IP地址。驱动程序可进一步将源IP地址和目的地IP地址封装在对路由信息的请求中,并将该请求传送到内部的或外部的目录服务。目录服务可通过用源IP地址和目的地IP地址检查映射来用转发路径的适当的位置依赖地址回复来自驱动程序的请求。此外,目录服务可通过用转发路径检查表来用适当的变换动作回复该请求。变换动作可包括以下的一个或多个:重写数据分组的报头以包括位置依赖地址;将数据分组封装为各个外部数据分组内的内部数据分组,各个外部数据分组被结构化为具有携带位置依赖地址的报头;或者用隧道协议配置数据分组(例如,根据数据中心的安全策略或顾客建立的服务模型)。
一旦在驱动程序处接收到路由信息,驱动程序就可将转发路径和变换动作传递到接收者端点。进而,接收者端点在从中发送数据分组时实现转发路径并应用变换动作。在其它实施例中,驱动程序可直接对数据分组执行适当的变换动作,而不是依赖于端点(例如,接收者端点)来执行该功能。
因此,一旦驱动程序和目录服务协同动作以做出明达的路由决策,可向链接到驱动程序的接收者端点提供网络路径的最佳选择,由此减少网络拥塞,以及合适的变换动作,由此实施数据中心外部的传输的隔离。
附图简要说明
以下参考附图详细描述本发明的实施例,附图中:
图1是适用于实现本发明的实施例的示例性计算环境的框图;
图2是示出适用于实现本发明的各实施例的、被配置为提供并且便于数据中心内的驱动程序的操作的示例性云计算平台的框图;
图3是根据本发明的实施例的将虚拟网络地址解析成物理网络路径和变换动作的示例性体系结构的示意图;
图4是根据本发明的实施例的用于将目录服务分发的路由信息应用于路由决策的示例性决策树的示意图;以及
图5是示出根据本发明的实施例的用于响应于来自驱动程序的请求来标识适当的物理网络路径和变换动作的方法的流程图。
具体实施方式
此处用细节来描述本发明的各实施例的所针对的以满足法定要求。然而,该描述本身并非旨在限制本专利的范围。相反,发明人设想所要求保护的所针对的还可结合其他当前或未来技术按照其他方式来具体化,以包括不同的步骤或类似于本文中所描述的步骤的步骤组合。此外,尽管术语“步骤”和/或“框”可在此处用于指示所采用的方法的不同元素,但除非而且仅当明确描述了各个步骤的顺序时,该术语不应被解释为意味着此处公开的各个步骤之中或之间的任何特定顺序。
本发明的实施例涉及在以本地化方式提供虚拟化网关功能的分布式驱动程序处做出明达的路由决策的方法、计算机系统和计算机可读介质。
在一方面,本发明的实施例涉及一个或多个其上包含计算机可执行指令的计算机可读介质,这些计算机可执行指令在被执行时执行一种用于管理端点之间数据分组的分布的方法。在诸实施例中,该方法包括在第一端点处检测一个或多个数据分组的步骤。通常,每个数据分组包括报头,该报头包括源地址和目的地地址。与第一端点相关联的驱动程序可发送请求到目录服务。在示例性实施例中,请求携带源地址和目的地地址,或者它们的某些标记。一旦接收到请求,目录服务就执行查找以将源地址和目的地地址转换成转发路径和变换动作。转发路径和变换动作可在响应中从目录服务发送到驱动程序。然而,驱动程序和/或端点也维护丢弃与始发、接收者端点和目标端点相关的目录服务中的规则不匹配的一个或多个数据分组的能力。该丢弃数据分组的能力为驱动程序提供了实施网络中的隔离的授权。
一旦接收到响应,驱动程序就可执行路由决策,该路由决策部分地基于第一端点是数据分组的始发端点、用于将数据分组转发到目标端点的接收者端点、还是目标端点。当第一端点表示始发端点(由源地址标识)时,路由决策可导致以下变换动作中的一个或多个:(a)重写数据分组的报头以包括位置依赖地址;(b)将数据分组封装为各个外部数据分组内的内部数据分组,其中各个外部数据分组包括携带位置依赖地址的报头;或者(c)用隧道协议配置数据分组。当第一端点表示接收者端点时,路由决策可导致以下变换动作中的一个或多个:(a)通过另一网络路径转发经封装的数据分组或具有重写报头的数据分组;(b)通过隧道重定向经封装的数据分组或具有重写报头的数据分组;或者(c)从数据分组去除隧道协议。当第一端点表示目标端点(由目的地地址标识)时,路由决策可导致以下变换动作中的一个或多个:(a)解封装经封装的数据分组;(b)恢复被重写的数据分组的报头;或者(c)从数据分组去除隧道协议以备消耗。
在另一方面,本发明的实施例涉及一种用于支持并且隔离端点之间的通信的计算机系统。最初,该计算机系统包括目录服务、第一端点、第二端点、以及本地地提供给第一端点的驱动程序。通常,目录服务维护虚拟因特网协议(IP)地址和物理网络的位置依赖地址之间的映射。在操作中,第一端点可开始生成被结构化为具有报头的一个或多个数据分组,该报头包括源IP地址和目的地IP地址。在该实例中,源IP地址指向第一(始发)端点,并且目的地IP地址指向第二(目标)端点。
一旦检测到第一端点尝试从节点(例如,物理机或虚拟机)发送数据分组到第二端点,驱动程序就执行路由决策。在示例性实施例中,驱动程序对于第一端点做出的每个连接调用并执行不同的路由决策。在诸实施例中,执行路由决策包括但不限于以下步骤:与目录服务通信以部分地基于源IP地址和目的地IP地址确定转发路径和变换动作;确定第一端点和第二端点是否驻留在公共数据中心中;以及确定在去除源IP地址和目的地IP地址的情况下第二端点是否不能转换数据分组的报头。
当确定第一端点和第二端点驻留在公共数据中心中时,驱动程序用转发路径的各个位置依赖地址来重写源IP地址和目的地IP地址。在另一实施例中,驱动程序可将数据分组封装为各个外部数据分组内的内部数据分组,每个外部数据分组包括展示转发路径的位置依赖地址的报头。存在调用封装的变换动作的若干情形。在一个实例中,在确定在去除源地址和目的地地址的情况下第二端点不能转换数据分组的报头时触发封装。需要封装的其它可能的情形包括:(a)检测到源和目的地IP地址之间存在某种形式的网络转换(NAT),和/或(b)从源和目的地IP地址识别出第一和第二端点(例如,始发和目标网络适配器)跨越多个虚拟网络,使得不再存在从它们的位置依赖地址到它们的虚拟IP地址的一对一映射。
当确定变换动作指示提供保护层来保护第一端点和第二端点之间的连接时,驱动程序可基于所接收的变换动作来变换数据分组。在一个实例中,变换动作包括对数据分组应用隧道协议(例如,安全套接字隧道协议(SSTP)或因特网协议安全(IP sec))。
在又一方面,本发明的诸实施例涉及一种用于响应于来自分布式虚拟网络网关的请求来标识网络路径和变换动作的计算机化的方法。最初,该方法包括提供目录服务,该目录服务维护虚拟IP地址和位置依赖地址之间的映射。目录服务也可维护识别合适变换动作的表。在一个实例中,根据通信策略来设计该表,该通信策略管控跨连接网络内端点的路径的数据分组话务。在另一实例中,该表基于为托管顾客的服务应用的数据中心的顾客建立的服务模型(例如,服务级协定(SLA))。
该方法还可包括从与接收者端点通信的虚拟网络网关接收请求的步骤。通常,请求包括经由接收者端点接受的一个或多个数据分组的报头携带的源IP地址和目的地IP地址的标记。一旦接收到该请求,目录服务就可执行以下查找过程中的至少一个:用源IP地址和目的地IP地址来检查映射以标识相应的位置依赖地址,其构成通过物理网络的数据分组的转发路径;或者用转发路径来检查表以标识相应的变换动作。如以下更全面讨论的,变换动作可包括但不限于以下的一个或多个:重写数据分组的报头以包括位置依赖地址;将数据分组封装为各个外部数据分组内的内部数据分组,各个外部数据分组包括携带位置依赖地址的报头;或者用隧道协议配置数据分组。最后,目录服务可返回响应,该响应将所标识出的转发路径和所标识出的变换动作的标记传递给虚拟网络网关。
在简要描述了本发明的各实施例的概览后,以下描述适于实现本发明的各实施例的示例性操作环境。
概括地参考附图,并首先具体参考图1,示出了用于实现本发明的各实施例的示例性操作环境,并将其概括地指定为计算设备100。计算设备100只是合适的计算环境的一个示例,并且不旨在对本发明的各实施例的使用范围或功能提出任何限制。也不应该把计算环境100解释为对所示出的任一组件或其组合有任何依赖性或要求。
本发明的各实施例可以在由计算机或诸如个人数据助理或其它手持式设备之类的其它机器执行的计算机代码或机器可使用指令的一般上下文中描述,该机器可使用指令包括诸如程序组件之类的计算机可执行指令。一般而言,包括例程、程序、对象、组件、数据结构等的程序组件指的是执行特定任务或实现特定提取数据类型的代码。本发明的各实施方式可以在各种系统配置中实施,这些系统配置包括手持式设备、消费电子产品、通用计算机、专用计算设备等等。本发明也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实施。
继续参考图1,计算设备100包括直接地或间接地耦合以下设备的总线110:存储器112、一个或多个处理器114、一个或多个呈现组件116、输入/输出(I/O)端口118、I/O组件120、以及说明性电源122。总线110可以是一条或多条总线(诸如地址总线、数据总线、或其组合)。虽然为了清楚起见利用线条示出了图1的各框,但是实际上,各组件的轮廓并不是那样清楚,并且比喻性地来说,线条更精确地将是灰色的和模糊的。例如,可以将诸如显示设备等呈现组件认为是I/O组件。而且,处理器具有存储器。发明人认识到,这是本领域的特性,并且重申,图1的图示只是例示可结合本发明的一个或多个实施例来使用的示例性计算设备。诸如“工作站”、“服务器”、“膝上型计算机”、“手持式设备”等分类之间没有区别,它们全部都被认为是在图1的范围之内并且被称为“计算机”或“计算设备”。
计算设备100通常包括各种计算机可读介质。作为示例而非限制,计算机可读介质可以包括随机存取存储器(RAM)只读存储器(ROM);电可擦除可编程只读存储器(EEPROM);闪存或其它存储器技术;CDROM、数字多功能盘DVD)或其它光或全息介质;磁带盒、磁带、磁盘存储或其它磁存储设备;或可用于对所需信息进行编码并且可由计算设备100访问的任何其它介质。
存储器112包括易失性和/或非易失性存储器形式的计算机存储介质。存储器可以是可移动的、不可移动的、或其组合。示例性硬件设备包括固态存储器、硬盘驱动器、光盘驱动器等。计算设备100包括从诸如存储器112或I/O组件120等各种实体读取数据的一个或多个处理器。呈现组件116向用户或其他设备呈现数据指示。示例性呈现组件包括显示设备、扬声器、打印组件、振荡组件等。I/O端口118允许计算设备100在逻辑上耦合至包括I/O组件120在内的其他设备,其中某些设备可以是内置的。说明性组件包括话筒、操纵杆、游戏板、圆盘式卫星天线、扫描仪、打印机、无线设备等等。
参考图1和图2,节点211和节点212可以由图1的示例性计算设备100实现。另外,端点201、202和230可以访问图1的存储器112的一部分,并且在图1的处理器114的一部分上运行。类似地,驱动程序223和233可以访问图1的存储器112的一部分,并且在图1的处理器114的一部分上运行,该驱动程序223和233将本地网关功能嵌入VM交换机222的虚拟交换机网络栈(其支持虚拟机270和275上的端点201和202)中和/或嵌入用于物理机的本地机器网络栈(其支持端点230)中。
现在转向图2,示出根据本发明的实施例的示例性云计算平台200的框图,该云计算平台200被配置成通过使用各种形式的变换采用从目录服务200收集的路由信息在驱动程序223和233处执行路由决策。在诸实施例中,虽然示为操作耦合到一个云计算平台200,但是目录服务220可存在于特定云的范围之外(即,目录服务220可表示跨公共和私有云共享的云服务)。与各个云一起操作的该能力允许目录服务实现跨多个云的网络。
能够理解和明白,图2中所示的云计算平台200仅仅是一个合适的计算系统环境的示例,并且不旨在对本发明的实施例的使用范围或功能提出任何限制。例如,云计算平台200可以是公共云、私有云、或专用云。也不应该将云计算平台200解释为对其中所示出的任何单个组件或组件组合有任何依赖性或要求。此外,尽管为了清楚起见用线条示出了图2的各个框,但是在实际上,各组件的轮廓并不是那样清楚,并且比喻性地来说,线条更精确地将是灰色的和模糊的。另外,可以采用任何数目的物理机、虚拟机、数据中心、端点或其组合来在本发明实施例的范围内实现所期望的功能。
云计算平台200可包括一个或多个数据中心(例如,数据中心225),其包括用于托管服务应用和其它软件的节点(例如,节点211和212)。按照本发明的实施例,节点211和/或212可表示包括任何形式的计算设备的物理机,诸如举例而言个人计算机、台式计算机、膝上型计算机、移动设备、消费电子设备、服务器、图1的计算设备100等等。在另一实施例中,节点211和/或212可表示虚拟机,或者可提供对虚拟机(例如,虚拟机270和275)的操作的底层支持。在操作中,虚拟机270和275支持数据中心225的承租者的操作。如本文所用,术语“承租者”通常是指云计算平台200的顾客所拥有的服务应用的组件程序(例如,各个角色的实例)。
一般而言,虚拟机270和275基于对服务应用提出的需求(例如处理负载的量)被分配给服务应用的端点201和202。如本文所使用的那样,用语“虚拟机”无意为限制性的,并且可以指由处理单元执行以支持端点201和202的功能的任何软件、应用、操作系统或程序。在另一实施例中,虚拟机是指从支持数据中心225的承租者的节点开辟出的处理能力和存储器资源。以此方式,节点211托管并支持虚拟机270和275的操作,同时托管被开辟为支持数据中心225的其他承租者的其他虚拟机,其中承租者包括由不同顾客拥有的其他服务应用的端点。因此,虚拟机270和275可以包括处理能力、存储位置、以及数据中心225内的其他资产以合适地支持端点201和202。
在操作中,虚拟机270和275被动态地分配在数据中心225的资源(例如节点211)内,并且端点(例如,端点201和202)被动态地放置在所分配的虚拟机270和275上以满足当前处理负载。在一个实例中,结构控制器232负责自动分配虚拟机270和275以及将端点201和202放置在数据中心225内。作为示例,结构控制器232可以依靠服务模型(例如由拥有服务应用的顾客来设计的)来提供关于如何和何时分配虚拟机270和275以及将端点201和202放置到其上的指导。
在一个实例中,节点211和212托管并支持端点201、202和230的操作。术语“端点”无意为限制性的,而是可涵盖服务应用的程序组件(即,数据中心225的承租者)或在节点、物理机或VM上运行的网络适配器。在一方面,端点201、202和230在云计算平台200的环境中操作,并且因此通过它们之间的动态连接内部地通信。在另一方面,端点201、202和230通过到远程网络的资源(例如,图3的企业私有网络325的资源375)的物理网络拓扑外部地通信。外部连接可进一步包括经由网络(未示出)互连到跨数据中心225的物理资源分布的端点。在一个实施例中,如端点230所示,网络直接互连这些资源,以使始发端点(用于生成数据分组)可识别接收者端点(用于将数据分组转发到目标端点)的位置或目标端点(用于消耗数据分组)的位置,以在它们之间建立通信。在另一实施例中,网络间接互连这些资源,以使对分别托管在虚拟机270和275上的端点201或202寻址的数据分组可经由网络被重新路由并且在被本地地分布到驻留在相同节点上的适当端点之前被传递到VM交换机222。此外,网络可建立经信道(例如,安全隧道)的通信,由此实现附加保护层或采用服务应用的端点之间连接的标准安全手段。举例来说,这些信道可包括但不限于一个或多个局域网(LAN)和/或广域网(WAN)。这样的联网环境常见于办公室、企业范围计算机网络、内联网和因特网中。因此,不在此进一步描述该网络。
云计算平台200包括数据中心225,该数据中心225被配置为托管和支持分配给特定服务应用的端点201、202和230的操作。如本文所用,用语“服务应用”广泛地指在存储位置上运行或访问存储位置的任何软件、或软件的部分,该存储位置在数据中心225、云计算平台200内的另一数据中心、位于顾客场所处的企业私有网络中的资源(例如,图3的企业私有网络325的资源375)、和/或第三方网络中的资源(例如,图3的第三方网络335的资源325)中。如上所述,端点201、202和230可以表示参与服务应用的软件的部分、组件程序、或角色的实例。在另一实施例中,端点201、202和230可以表示服务应用可访问的所存储的数据。能够理解和明白,图2中所示的端点201、202和230仅仅是支持服务应用的合适部分的示例,并且不旨在对本发明的实施例的数量、使用范围或功能提出任何限制。
虽然一个服务应用被描述为在单个数据中心225的两个节点211和212上分布,但是应当理解和明白,可使用驻留在各个数据中心或其它合适设备内的任何数量的节点上的任何数量的服务应用,并且本发明的实施例不限于本文描述的这些节点、服务应用和数据中心。此外,任何数量的端点可在节点中实例化和/或分配给服务应用,并且图2和3所示的端点只是为了描述的目的示出。
在一个实例中,数据中心225的体系结构允许管理系统(例如,结构控制器232)或云计算平台200的管理员实例化新端点或重新分配当前端点以支持服务应用。结构控制器232也可建立和拆卸用以连接端点201、202和230的网络路径和隧道。此外,结构控制器232可周期性地获得数据中心225的拓扑的快照。这些快照可记录当前建立的通过数据中心网络的网络路径和隧道以及端点的地址。这些快照可中继到目录服务220,用于在其中存储。在诸实施例中,目录服务220可被配置成存储与物理网络的位置依赖地址相关联的虚拟IP地址。此外,目录服务220可被配置成存储与数据中心网络的各个网络路径和隧道相关联的变换动作。以此方式,由目录服务220对在服务应用的承租者之间发送的数据分组实施服务应用的服务模型的安全策略。
如上所述,本发明的诸实施例介绍了通过利用物理层(实线)中的网络路径和隧道允许跨虚拟层(虚线)的端点之间的通信的体系结构。在物理层中,经由链路的网络可到达端点。通常,优选的是,基于交互端点的位置智能地选择网络的适当链路以避免通过集中的路由机构传送所有通信,因此避免网络拥塞。为了实现物理层链路的智能选择以及通过所选链路的数据分组的适当转换,在诸实施例中,由协同操作的两种不同技术来支持该体系结构:驱动程序223和233,以及目录服务220。
驱动程序223和233与一个或多个端点相关联,并且根据驱动程序所帮助的端点的类型嵌入在数据中心225中。如果端点(例如,端点230)被托管在物理机(例如,节点212)上,则驱动程序233在将数据分组直接置于端点间的话务中的主交换机(未示出)中实现。在该实施例中,一旦检测到一个或多个数据分组到达或离开端点230,驱动程序233就可通过向目录服务220发送请求273来请求路由信息,该请求273携带结合入数据分组的报头中的源IP地址和目的地IP地址。一旦接收到对路由信息的请求273,目录服务220就可回复一响应274,该响应274携带数据分组的转发路径和适用于该转发路径的变换动作。
如果端点(例如,端点201和202)被托管在虚拟机(例如,虚拟机270和275)上,则驱动程序(例如,驱动程序223)在网络栈中实现,隐藏所有现有适配器,并呈现网络的单个虚拟化接口。在该实施例中,驱动程序223可表示独立的VM交换机,或者可结合入现有VM交换机(例如,VM交换机222)中。在诸实施例中,设置VM交换机222以提供数据中心225内部和外部的端点之间的隔离连接,如参考图3更全面讨论的。如本文所用,用语“虚拟机交换机”或“VM交换机”无意为限制性的,而是可涵盖驻留在数据中心、企业私有网络、第三方网络等中的,负责跨服务应用的端点之间的网络安全地路由数据分组的任何基于软件的组件。作为示例,VM交换机可以是展示某些应用程序编程接口(API)用于网络管理的任何网络边缘设备(例如,架顶式交换机、节点中的物理网络接口卡、VM中的虚拟接口卡、或非虚拟化主机中的联网栈)。在其它示例中,VM交换机执行的所有或部分操作(例如,与目录服务220的通信、封装、解封装、修改分组、和其它动作)可由路由模块执行。如此,VM交换机可实施一个或多个路由模块、网络边缘设备、物理交换机、路由设备等。
类似于驱动程序233,驱动程序223一旦检测到一个或多个数据分组到达或离开端点201或202中的任一个,则可通过向目录服务220发送请求271来请求路由信息,该请求271携带结合入数据分组的报头中的源IP地址和目的地IP地址。一旦接收到对路由信息的请求271,目录服务220就可回复一响应272,该响应272携带数据分组的转发路径和适用于该转发路径的变换动作。
现在参考图2和3,现在将讨论驱动程序223和233与目录服务220之间的附加交互。如上所述,驱动程序可分布在数据中心225的多个节点上以及数据中心225外部的资源上。驱动程序223和233可根据一个或多个因素(例如,IP话务的速度、数据中心225的承租者消耗的计算负载、以及节点是在线还是断线)在数据中心225内的节点上动态地实例化,或从中卸下。在一个实施例中,结构控制器232负责实例化或卸下VM交换机。
在操作中,驱动程序223和233表示用于其各个节点的虚拟网络适配器,并且用作到服务应用或子网内的特定端点的网关。在该实施例中,提供一种拓扑,其中网关作出关于在发送数据分组时在哪里使用物理层链路、如何使用物理层链路、以及使用哪些物理层链路的路由决策。通过跨内部和外部节点分布驱动程序,该网关功能上现在被虚拟化并跨网络扩展。
在示例性实施例中,路由决策有助于确定转发路径,该转发路径并不总是需要通过集中服务器发送数据分组。此外,路由决策可基于每个连接/每个机器而专门化。在一个实例中,路由决策可能确定将高度保护的变换动作应用于数据分组,该高度保护的变换动作采用安全隧道来链接跨远程数据中心的端点。在另一实例中,路由决策可能确定采用更轻量的变换动作,例如在端点共存于公共安全网络上时封装或重写数据分组的报头。在该实例中,端点可驻留在相同子网内,并且可以经由数据中心网络的服务器之间的直接路径而彼此可见。因此,路由决策可利用相同子网中端点的能力,以使用不具有公共拥塞点的物理层链路上的路线,从而优化它们的相互连接。这些和其它路由决策参考图4更全面地描述。
在诸实施例中,在驱动程序223和233中分别提供路由/重写组件(RC)224和234。在操作中,RC 224和234能够接受源自节点或端点的操作系统的、或者经由安全隧道或网络路径传递的每个数据分组,并且基于数据分组的内容(例如,报头中携带的信息)确定正确转发路径和变换动作(如果有的话)。在一个实例中,RC 224和234检查其接受的每个数据分组的源IP地址和/或目的地IP地址,并且向目录服务220查询路由信息(例如,经由请求271和273)。目录服务220可分别用响应272和274来回答请求271和273,该响应272和274可包括各种类型的路由信息。因此,RC 224和234具有管理多个隧道/重写协议的能力,该多个隧道/重写协议对路由信息作出响应并且支持数据分组的不同转发过程。
通常,目录服务220保留网络315的知识,以及其中的网络路径和安全隧道350。作为示例,该知识包括关于端点的信息、端点驻留在什么网络中、在这些网络中建立什么网络路径、什么变换动作适合于跨网络路径的特定转发路径、以及如何执行变换动作。在操作中,与RC 224和234请求路由信息相关联的,目录服务220可应用该网络知识来通知第一端点如何达到网络315中的第二端点。为此,目录服务220维护虚拟IP地址与位置依赖地址之间的映射310。在示例性实施例中,映射维护互连的端点之间的一个或多个逻辑关联,并实施与端点相关联的访问控制,以实现网络可到达性。在一个实例中,逻辑关联属于作为子网成员的端点之间的关联。
目录服务220也可维护识别合适变换动作的表320。在一个实例中,表320被设计成实施通信策略,其通常由顾客经由服务级协定(SLA)来适当地设置。在另一实例中,通信策略针对服务应用和/或子网来具体设计,并且可包括管控哪些系统过程被授予对子网的成员端点的访问权以及端点是否可直接连接而不涉及集中路由设备的许可的列表。在又一实例中,通信策略可清楚地表达要对特定端点实施什么安全级。在另一实例中,通信策略用作在接收到来自驱动程序的请求时扫描映射310以获得可应用的条目的安全模型,并且基于可应用的条目中的信息确定原始数据传输是否经授权。在又一实例中,通信策略可表示应用于端口号或网络适配器的规则,其在数据中心225的节点中是可用的,以查明是否允许端口号或网络适配器执行某些操作。
一旦目录服务220接收到来自驱动程序的请求,目录服务220就可执行以下查找过程:用源IP地址和目的地IP地址来检查映射310以标识出相应的位置依赖地址,其构成通过物理网络380的数据分组的转发路径;或者用转发路径来检查表320以标识出相应的变换动作。换言之,目录服务接收数据集(源IP地址、目的地IP地址),并且经由依靠映射310和表320的转换,返回数据集(转发路径、变换动作)。返回数据集支持请求方驱动程序中的路由决策做出过程。
如以下更全面讨论的,变换动作可包括但不限于以下的一个或多个:重写数据分组的报头以包括位置依赖地址;将数据分组封装为各个外部数据分组内的内部数据分组,各个外部数据分组包括携带位置依赖地址的报头;或者用隧道协议配置数据分组。最后,目录服务220可返回响应,该响应将所标识出的转发路径和所标识出的变换动作的标记传递给请求方驱动程序(虚拟网络网关)。
虽然在图2和3中描绘为将信息推送给请求方驱动程序的单个集中服务器,但是目录服务220的功能可经由联合并保存到一组机器的本地文件来实现。或者,目录服务220的功能可在请求方驱动程序处提前高速缓存(如果事先推出的话),从而消除发送外部请求的步骤。
现在参考图3,示出根据本发明的实施例将虚拟网络地址解析成物理网络路径和变换动作的分布式计算环境300的示例性体系结构的示意图。最初,分布式计算环境300包括物理网络380,该物理网络380包括企业私有网络325、第三方网络335、和云计算平台200,如参考图2所讨论的。如本文所使用的那样,用语“物理网络”无意为限制性的,而是可以涵盖便于地理上远程位置处的端点之间的通信的有形机构和设备(例如光纤线、电路箱、交换机、天线、IP路由器等等)和无形通信和载波。举例来说,物理网络380可以包括用在因特网内或者可用于提升不同网络间通信的任何有线或无线技术。
一般而言,企业私有网络325包括诸如资源375之类的资源,该资源由云计算平台200的顾客来管理。这些资源常常托管和支持顾客所拥有的服务应用的组件的操作。端点B 385表示服务应用的组件中的一个或多个。在诸实施例中,诸如图2的虚拟机270之类的资源在图2的数据中心225内被分配为托管和支持服务应用的远程分布组件的操作。端点A 211和C 212表示服务应用的这些远程分布组件中的两个。在操作中,端点A 211、B 385和C 212彼此协同工作以保证服务应用正确地运行。在一个实例中,协同工作包括跨物理网络380的网络315在端点A 211、B 385和C 212之间传送数据分组316。
在物理网络380中还提供第三方网络335。在诸实施例中,第三方网络335可以指不是图3的企业私有网络325或云计算平台200的任何其他网络。举例来说,第三方网络335可以包括保持供服务应用或厂商使用的信息的数据存储,该厂商提供软件以支持服务应用的一个或多个操作。在诸实施例中,第三方网络335表示包括其上安装有端点D 345的资源355的资源的网络,其对图6的云计算平台200是可用的。
通常,资源355和375以及数据中心225包括或链接到某种形式的计算单元(例如中央处理单元、微处理器等等)以支持在其上运行的端点和/或组件的操作。如本文中所使用的那样,短语“计算单元”通常是指具有处理能力和存储存储器的专用计算设备,该专用计算设备支持一个或多个操作系统或其他基础软件。在一个实例中,该计算单元配置有有形硬件元件或机器,该有形硬件元件或机器是一体的、或者可操作地耦合到资源355和375以及数据中心225以使每个设备都能够执行各种过程和操作。在另一实例中,该计算单元可以涵盖处理器(未示出),该处理器耦合到由这些资源355和375以及数据中心225中的每一个所容纳的计算机可读介质。一般而言,计算机可读介质至少临时地存储可由处理器执行的多个计算机软件组件(例如端点A 211、B 385、C 212和D 345)。如本文所使用的,术语“处理器”不旨在是限制性的,并且可涵盖具有计算能力的计算单元的任何要素。在这种能力中,处理器可被配置成处理指令的有形物品。在示例性实施例中,处理可以包括取指令、解码/解释指令、执行和写回指令。
虚拟网络覆盖330(“覆盖330”)通常是为诸如包括端点A 211、B 385、C212和D 345的服务应用之类的单个服务应用建立的,以便提升和保护服务应用的端点之间的通信。一般而言,覆盖330表示虚拟IP地址的层而不是物理IP地址的层,该虚拟IP地址的层虚拟地表示服务应用的端点并且连接虚拟表示。在其他实施例中,覆盖330是构建在物理网络380之上的虚拟网络,该物理网络380包括被分配给控制服务应用的顾客的资源。在操作中,覆盖330维护互连的端点A 211、B 385、C 212和D 345的一个或多个逻辑关联,并且可实施与端点A 211、B 385、C 212和D 345相关联的访问控制/安全性,以实现物理网络可到达性(例如使用物理传输)。
现在参考图3和4,现在将描述各个可能的路由决策。具体而言,图4示出根据本发明的实施例的用于将目录服务220分发的路由信息应用于路由决策的示例性决策树400的示意图。如上所述,驱动程序可部分地基于链接到驱动程序的主端点表示数据分组的始发端点、用于将数据分组转发到目标端点的接收者端点、还是目标端点来执行路由决策。在第一实例中,当主端点表示始发端点(例如,端点C 212)时,与该始发端点相关联的驱动程序可检测始发端点尝试发送从中生成的一个或多个数据分组,如框401所示。驱动程序然后可通过发送包括指向主端点的源IP地址、和目的地IP地址的标记的请求来请求目录服务220执行查找过程,如框402所示。
部分地基于从目录服务220传递到驱动程序的路由信息执行路由决策,如框403所示。路由决策可导致但不限于以下变换动作中的一个或多个:重写数据分组的报头以包括位置依赖地址(参见框404);用隧道协议配置数据分组并经由安全隧道重定向数据分组(参见框405);或者将数据分组封装为各个外部数据分组内的内部数据分组(参见框406),其中各个外部数据分组包括携带位置依赖地址的报头。
在示例性实施例中,一旦驱动程序确定始发端点和目标端点都驻留在公共数据中心或子网中,则路由可导致用各个位置依赖地址重写源IP地址和目的地IP地址的变换动作。然而,当驱动程序确定在去除源IP地址和目的地IP地址的情况下接收者端点或目标端点不能转换数据分组的报头时(例如,接收者/目标端点位于与始发端点所驻留的数据中心或子网不同的数据中心或子网中),路由决策将导致将数据分组封装为各个外部数据分组内的内部数据分组,以在数据分组的有效载荷中保留源IP地址和目的地IP地址。在以上该实施例中,驱动程序也可识别端点之间的网络路径实质上被保护,足以满足管控服务模型的安全策略。相反,当驱动程序识别出连接一个或多个端点的网络路径缺乏管控服务模型指示的保护级别或安全连接级别时,路由决策可导致变换数据分组以包括安全隧道协议的变换动作,由此尝试避免恶意动作者拦截数据分组。
一旦执行路由决策,始发端点就可开始将经处理的数据分组发送到接收者端点(例如,端点A 211或D 345)或目标端点(例如,端点B 385),如框407所示。虽然接收者端点在此被描述为单个网络跃点,但是可以明白和理解,网络中可以存在一个以上的中间跃点,这将允许接收者端点能够转发至另外一个或多个接收者端点。在第二实例中,当主端点表示接收者端点时,与接收者端点相关联的驱动程序可检测到达它的经处理的数据分组,如框408所示。驱动程序然后可通过发送包括源IP地址和目的地IP地址的标记的请求来请求目录服务220执行查找过程,如框409所示。
部分地基于从目录服务220传递到驱动程序的路由信息执行路由决策,如框410所示。路由决策可导致以下变换动作中的一个或多个:通过隧道350重定向经封装的数据分组或具有重写报头的数据分组(参见框411)(例如,参见端点D 345);从数据分组去除隧道协议(参见框412);或者在另一网络路径上转发经封装的数据分组或具有重写报头的数据分组(参见框413)(例如,参见端点A 211)。同样,是调用在网络路径上转发数据分组的变换动作、还是调用经由隧道重定向数据分组的变换动作的路由决策包括分别标识出端点通过安全连接来链接或者通过跨未受保护的网络(例如,因特网)的连接来链接。
一旦执行路由决策,接收者端点就可开始将经处理的数据分组发送到目标端点(例如,端点B 385),如框414所示。在第三实例中,当主端点表示目标端点时,与目标端点相关联的驱动程序可检测到达该目标端点的经处理的数据分组,如框415所示。驱动程序然后可通过向目标端点发送包括源IP地址和目的地IP地址的标记的请求来请求目录服务220执行查找过程,如框416所示。
部分地基于从目录服务220传递到驱动程序的路由信息执行路由决策,如框417所示。当主端点表示目标端点时,路由决策可导致以下变换动作中的一个或多个:恢复被重写的数据分组的报头(参见框418);从数据分组去除隧道协议以备消耗(参见框419);或者解封装经封装的数据分组(参见框420)。
现在转到图5,示出了根据本发明的实施例的用于响应于来自驱动程序的请求来标识合适物理网络路径和变换动作的方法500的流程图。如可从以上讨论获得地,方法500的步骤从图2和3的目录服务220的视角来描写。最初,方法500包括提供目录服务,该目录服务维护虚拟IP地址和位置依赖地址之间的映射,如框510所示。目录服务也可维护识别合适变换动作的表。在一个实例中,根据通信策略来设计该表,该通信策略管控跨连接网络内端点的路径的数据分组话务。在另一实例中,该表基于为托管顾客的服务应用的数据中心的顾客建立的服务模型(例如,服务级协定(SLA))。
方法500还可包括从与主端点相关联的或者被建立以与主端点本地通信的虚拟网络网关或驱动程序接收请求的步骤,如框520所示。通常,请求包括经由接收者端点接受的一个或多个数据分组的报头携带的源IP地址和目的地IP地址的标记。一旦接收到该请求,目录服务就可执行以下查找过程(参见框530):用源IP地址和目的地IP地址来检查映射以标识出相应的位置依赖地址,其构成通过物理网络的数据分组的转发路径(参见框540);和/或用转发路径来检查表以标识出相应的变换动作(参见框550)。变换动作可包括但不限于以下的一个或多个:重写数据分组的报头以包括位置依赖地址;恢复重写;将数据分组封装为各个外部数据分组内的内部数据分组,各个外部数据分组包括携带位置依赖地址的报头;解封装经封装的数据分组;用隧道协议配置数据分组;或者去除隧道协议。如框560所示,目录服务可返回响应,该响应将所标识出的转发路径和所标识出的变换动作的标记传递给虚拟网络网关。
参考具体实施例描述了本发明的实施例,具体实施例在所有方面都旨在是说明性的而非限制性的。在不背离本发明范围的情况下各替换实施例对本发明的各实施例的所属领域的普通技术人员将变得显而易见。
从前面的描述可以看出,本发明很好地适用于实现上文所阐述的所有目的和目标,并且具有对于该系统和方法是显而易见且固有的其他优点。可以理解,某些特征和子组合是有用的,并且可以在不参考其他特征和子组合的情况下使用。这由权利要求所构想的,并在权利要求的范围内。
Claims (15)
1.一个或多个其上包含计算机可执行指令的计算机可读介质,所述计算机可执行指令在被执行时执行一种用于管理端点之间数据分组的分布的方法,所述方法包括:
在第一端点处检测一个或多个数据分组,其中所述一个或多个数据分组中的每一个包括报头,所述报头包括源地址和目的地地址;
将携带所述源地址和所述目的地地址的请求发送到目录服务;
从所述目录服务接收携带转发路径的响应;
执行路由决策,包括基于所接收的转发路径重新寻址所述一个或多个数据分组;以及
基于所接收的转发路径将所述一个或多个重新寻址的数据分组发送到第二端点。
2.如权利要求1所述的一个或多个计算机可读介质,其特征在于,所述方法还包括从所述目录服务接收携带变换动作的响应。
3.如权利要求2所述的一个或多个计算机可读介质,其特征在于,执行路由决策还包括基于所接收的变换动作来变换所述一个或多个数据分组。
4.如权利要求3所述的一个或多个计算机可读介质,其特征在于,变换所述一个或多个数据分组在访问服务模型并且确定所述服务模型指令提供保护层来保护所述第一端点和所述第二端点之间的连接时发生。
5.如权利要求1所述的一个或多个计算机可读介质,其特征在于,所述第一端点表示发出所述一个或多个数据分组的端点,并且所述第二端点表示所述一个或多个重新寻址的数据分组的报头的目标端点。
6.如权利要求1所述的一个或多个计算机可读介质,其特征在于,基于所述转发路径重新寻址所述一个或多个数据分组包括:
去除所述一个或多个数据分组的所述报头内的所述源地址和所述目的地地址;以及
用物理网络的各个位置依赖地址替换所述源地址和目的地地址。
7.如权利要求6所述的一个或多个计算机可读介质,其特征在于,替换所述源地址和目的地地址在标识出所述第一端点和所述第二端点驻留在公共数据中心中时并且在标识出所述源地址和所述目的地地址属于公共虚拟空间时发生。
8.如权利要求1所述的一个或多个计算机可读介质,其特征在于,基于所述转发路径重新寻址所述一个或多个数据分组包括将所述一个或多个数据分组封装为各个外部数据分组内的内部数据分组,其中所述外部数据分组各自包括展示物理网络的位置依赖地址的报头。
9.如权利要求8所述的一个或多个计算机可读介质,其特征在于,封装所述一个或多个数据分组在确定在去除所述源地址和所述目的地地址的情况下所述第二端点不能转换所述一个或多个数据分组的所述报头时发生。
10.如权利要求1所述的一个或多个计算机可读介质,其特征在于,每当所述第一端点建立用于发送数据分组的连接时,驱动程序执行路由决策。
11.如权利要求10所述的一个或多个计算机可读介质,其特征在于,所述驱动程序包括路由组件,所述路由组件被配置成接受所述一个或多个数据分组并从所述一个或多个数据分组的所述报头中读取所述源地址和所述目的地地址,并且所述驱动程序被配置成在所述第一端点建立与所述第二端点的连接时将所述源地址和所述物理地址传送到所述目录服务。
12.一种用于支持并且隔离端点之间的通信的计算机系统,所述计算机系统包括:
目录服务,其维护虚拟因特网协议(IP)地址和物理网络的位置依赖地址之间的映射;
第一端点,其生成被结构化为具有报头的一个或多个数据分组,所述报头包括源IP地址和目的地IP地址,其中所述源IP地址指向所述第一端点,并且所述目的地IP地址指向第二端点;以及
驱动程序,其执行所述第一节点做出的经由每个连接的路由决策,其中执行所述路由决策包括:
(a)与所述目录服务通信以根据所述源IP地址和所述目的地IP地址确定转发路径和变换动作;
(b)一旦确定所述第一端点和所述第二端点驻留在公共数据中心中,就用所述转发路径的各个位置依赖地址来重写所述源IP地址和所述目的地IP地址;
(c)一旦确定在去除所述源IP地址和所述目的地IP地址的情况下所述第二端点不能转换所述一个或多个数据分组的所述报头,就将所述一个或多个数据分组封装为各个外部数据分组内的内部数据分组,其中所述外部数据分组各自包括展示所述转发路径的所述位置依赖地址的报头;以及
(d)一旦确定所述变换动作指示提供保护层来保护所述第一端点和所述第二端点之间的连接,就基于所接收到的变换动作来变换所述一个或多个数据分组。
13.如权利要求12所述的计算机系统,其特征在于,根据所述第一端点和所述第二端点所展示的功能分别分配所述源IP地址和所述目的地IP地址,其中根据所述物理网络中所述第一端点和所述第二端点的位置分别分配所述位置依赖地址。
14.如权利要求12所述的计算机系统,其特征在于,所述目录服务维护基于链接所述第一端点和所述第二端点的预建立的隧道或网络路径的记录给予所述驱动程序适当的变换动作的表。
15.一种用于响应于来自分布式虚拟网络网关的请求来标识网络路径和变换动作的计算机化的方法,所述方法包括:
提供目录服务,所述目录服务维护虚拟因特网协议(IP)地址与位置依赖地址之间的映射,并维护标识适当的变换动作的表,其中根据管控跨连接网络中端点的路径的数据分组话务的通信策略来设计所述表;
从与接收者端点通信的虚拟网络网关接收请求,其中所述请求包括经由所述接收者端点接受的一个或多个数据分组的报头携带的源IP地址和目的地IP地址的标记;
用所述源IP地址和所述目的地IP地址检查所述映射,以标识相应的位置依赖地址,其构成通过物理网络的所述一个或多个数据分组的转发路径;
用所述转发路径来检查所述表,以标识相应的变换动作,其中所述变换动作包括以下的至少一个:
(a)重写所述一个或多个数据分组的所述报头以包括所述位置依赖地址;
(b)将所述一个或多个数据分组封装为各个外部数据分组内的内部数据分组,其中所述外部数据分组各自包括携带所述位置依赖地址的报头;或者
(c)用隧道协议配置所述一个或多个数据分组;以及
返回响应,所述响应将所标识出的转发路径和所标识出的变换动作的标记传递给所述虚拟网络网关,其中所述虚拟网络网关将所述响应传送到所述接收者端点,并且所述接收者端点在发送所述一个或多个数据分组时实现所标识出的转发路径和所标识出的变换动作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/820,896 US8374183B2 (en) | 2010-06-22 | 2010-06-22 | Distributed virtual network gateways |
| US12/820,896 | 2010-06-22 | ||
| PCT/US2011/039324 WO2011162942A2 (en) | 2010-06-22 | 2011-06-06 | Distributed virtual network gateways |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102948132A true CN102948132A (zh) | 2013-02-27 |
| CN102948132B CN102948132B (zh) | 2017-04-12 |
Family
ID=45328629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180030856.8A Active CN102948132B (zh) | 2010-06-22 | 2011-06-06 | 分布式虚拟网络网关 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US8374183B2 (zh) |
| EP (1) | EP2586160B1 (zh) |
| JP (1) | JP5809696B2 (zh) |
| CN (1) | CN102948132B (zh) |
| TW (1) | TWI531185B (zh) |
| WO (1) | WO2011162942A2 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105144633A (zh) * | 2013-03-15 | 2015-12-09 | 亚马逊科技公司 | 网络业务映射和性能分析 |
| CN105745879A (zh) * | 2013-11-15 | 2016-07-06 | 思科技术公司 | 缩短通信网络中的服务链中的服务路径 |
| CN105814554A (zh) * | 2013-12-11 | 2016-07-27 | 亚马逊科技公司 | 虚拟网络中基于身份和访问管理的访问控制 |
| CN105900407A (zh) * | 2014-01-08 | 2016-08-24 | 微软技术许可有限责任公司 | 在虚拟网络之间路由消息 |
| CN107370715A (zh) * | 2016-05-12 | 2017-11-21 | 深信服网络科技(深圳)有限公司 | 网络安全防护方法及装置 |
| CN107493313A (zh) * | 2016-12-19 | 2017-12-19 | 汪海军 | 云管理系统与方法 |
| WO2018082452A1 (zh) * | 2016-11-01 | 2018-05-11 | 阿里巴巴集团控股有限公司 | 数据传输的方法、设备、装置及系统 |
| CN109565472A (zh) * | 2016-08-05 | 2019-04-02 | 华为技术有限公司 | 虚拟网络中基于切片/服务的路由 |
| CN112953797A (zh) * | 2014-08-27 | 2021-06-11 | 适应性频谱和信号校正股份有限公司 | 用于实现接入节点功能的虚拟化的系统、方法和装置 |
| CN113302884A (zh) * | 2019-01-18 | 2021-08-24 | 威睿公司 | 公共云环境中的服务插入 |
Families Citing this family (125)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8924524B2 (en) | 2009-07-27 | 2014-12-30 | Vmware, Inc. | Automated network configuration of virtual machines in a virtual lab data environment |
| US20100131284A1 (en) * | 2008-11-26 | 2010-05-27 | Michael Day Duffy | Methods and apparatus for analysis of healthcare markets |
| US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
| US8837493B2 (en) | 2010-07-06 | 2014-09-16 | Nicira, Inc. | Distributed network control apparatus and method |
| US10103939B2 (en) | 2010-07-06 | 2018-10-16 | Nicira, Inc. | Network control apparatus and method for populating logical datapath sets |
| US9680750B2 (en) | 2010-07-06 | 2017-06-13 | Nicira, Inc. | Use of tunnels to hide network addresses |
| US8964528B2 (en) | 2010-07-06 | 2015-02-24 | Nicira, Inc. | Method and apparatus for robust packet distribution among hierarchical managed switching elements |
| US8694653B2 (en) * | 2010-12-10 | 2014-04-08 | Microsoft Corporation | Targeted data transfer between operational domains |
| CN103283191B (zh) * | 2010-12-28 | 2016-02-03 | 日本电气株式会社 | 信息系统、控制装置、通信方法 |
| US10142218B2 (en) * | 2011-01-14 | 2018-11-27 | International Business Machines Corporation | Hypervisor routing between networks in a virtual networking environment |
| US8825900B1 (en) | 2011-04-05 | 2014-09-02 | Nicira, Inc. | Method and apparatus for stateless transport layer tunneling |
| US9043452B2 (en) | 2011-05-04 | 2015-05-26 | Nicira, Inc. | Network control apparatus and method for port isolation |
| US9369426B2 (en) | 2011-08-17 | 2016-06-14 | Nicira, Inc. | Distributed logical L3 routing |
| US9444651B2 (en) | 2011-08-17 | 2016-09-13 | Nicira, Inc. | Flow generation from second level controller to first level controller to managed switching element |
| US8867403B2 (en) * | 2011-08-18 | 2014-10-21 | International Business Machines Corporation | Virtual network overlays |
| US9178833B2 (en) | 2011-10-25 | 2015-11-03 | Nicira, Inc. | Chassis controller |
| US9203701B2 (en) | 2011-10-25 | 2015-12-01 | Nicira, Inc. | Network virtualization apparatus and method with scheduling capabilities |
| US9288104B2 (en) | 2011-10-25 | 2016-03-15 | Nicira, Inc. | Chassis controllers for converting universal flows |
| US9137107B2 (en) | 2011-10-25 | 2015-09-15 | Nicira, Inc. | Physical controllers for converting universal flows |
| US9479435B2 (en) * | 2011-11-09 | 2016-10-25 | Nec Corporation | Method and system for supporting transport of data packets in a network |
| WO2013074828A1 (en) | 2011-11-15 | 2013-05-23 | Nicira, Inc. | Firewalls in logical networks |
| CN103209084B (zh) * | 2012-01-13 | 2016-02-24 | 硕天科技股份有限公司 | 不间断电源及其控制电源分配单元的方法 |
| TW201338326A (zh) * | 2012-03-13 | 2013-09-16 | Cyber Power Systems Inc | 電源分配單元及利用單一ip控制多數電源分配單元的方法 |
| WO2013143611A1 (en) * | 2012-03-30 | 2013-10-03 | Nokia Siemens Networks Oy | Centralized ip address management for distributed gateways |
| US9843476B2 (en) | 2012-04-18 | 2017-12-12 | Nicira, Inc. | Using transactions to minimize churn in a distributed network control system |
| TWI482469B (zh) * | 2012-05-23 | 2015-04-21 | Gemtek Technology Co Ltd | 路由裝置 |
| US8909780B1 (en) * | 2012-05-24 | 2014-12-09 | Amazon Technologies, Inc. | Connection following during network reconfiguration |
| EP2853077B1 (en) * | 2012-06-06 | 2020-03-25 | Huawei Technologies Co., Ltd. | Method of seamless integration and independent evolution of information-centric networking via software defined networking |
| US9952909B2 (en) * | 2012-06-20 | 2018-04-24 | Paypal, Inc. | Multiple service classes in a shared cloud |
| US10002027B2 (en) | 2012-07-11 | 2018-06-19 | Empire Technology Development Llc | Network congestion reduction |
| US9331940B2 (en) | 2012-08-28 | 2016-05-03 | Alcatel Lucent | System and method providing distributed virtual routing and switching (DVRS) |
| US9007953B1 (en) * | 2012-12-28 | 2015-04-14 | Sprint Communications Company L.P. | Estimating average user throughput in a wireless network |
| AU2014201359B2 (en) * | 2013-03-15 | 2017-08-31 | Verisign, Inc. | Method and system for intelligent many-to-many service routing over EPP |
| US9973375B2 (en) * | 2013-04-22 | 2018-05-15 | Cisco Technology, Inc. | App store portal providing point-and-click deployment of third-party virtualized network functions |
| US9887960B2 (en) | 2013-08-14 | 2018-02-06 | Nicira, Inc. | Providing services for logical networks |
| US9952885B2 (en) | 2013-08-14 | 2018-04-24 | Nicira, Inc. | Generation of configuration files for a DHCP module executing within a virtualized container |
| US9577845B2 (en) | 2013-09-04 | 2017-02-21 | Nicira, Inc. | Multiple active L3 gateways for logical networks |
| US9503371B2 (en) | 2013-09-04 | 2016-11-22 | Nicira, Inc. | High availability L3 gateways for logical networks |
| US9405568B2 (en) | 2013-09-13 | 2016-08-02 | Microsoft Technology Licensing, Llc | Multi-tenant network stack |
| CN111667384B (zh) * | 2013-09-30 | 2024-04-26 | 施耐德电气楼宇美国股份有限公司 | 建筑物自动化管理设备和方法 |
| US9785455B2 (en) | 2013-10-13 | 2017-10-10 | Nicira, Inc. | Logical router |
| US10063458B2 (en) | 2013-10-13 | 2018-08-28 | Nicira, Inc. | Asymmetric connection with external networks |
| US9864623B2 (en) | 2013-11-21 | 2018-01-09 | Centurylink Intellectual Property Llc | Physical to virtual network transport function abstraction |
| US9917728B2 (en) | 2014-01-14 | 2018-03-13 | Nant Holdings Ip, Llc | Software-based fabric enablement |
| US10212101B2 (en) | 2014-01-14 | 2019-02-19 | Nant Holdings Ip, Llc | Low level provisioning of network fabrics |
| US9225597B2 (en) | 2014-03-14 | 2015-12-29 | Nicira, Inc. | Managed gateways peering with external router to attract ingress packets |
| US9313129B2 (en) | 2014-03-14 | 2016-04-12 | Nicira, Inc. | Logical router processing by network controller |
| US9590901B2 (en) | 2014-03-14 | 2017-03-07 | Nicira, Inc. | Route advertisement by managed gateways |
| US9419855B2 (en) | 2014-03-14 | 2016-08-16 | Nicira, Inc. | Static routes for logical routers |
| US9503321B2 (en) | 2014-03-21 | 2016-11-22 | Nicira, Inc. | Dynamic routing for logical routers |
| US9647883B2 (en) | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
| US9413644B2 (en) | 2014-03-27 | 2016-08-09 | Nicira, Inc. | Ingress ECMP in virtual distributed routing environment |
| US9893988B2 (en) | 2014-03-27 | 2018-02-13 | Nicira, Inc. | Address resolution using multiple designated instances of a logical router |
| US20150288767A1 (en) * | 2014-04-03 | 2015-10-08 | Centurylink Intellectual Property Llc | Network Functions Virtualization Interconnection Hub |
| US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
| US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
| US9392015B2 (en) * | 2014-04-28 | 2016-07-12 | Sophos Limited | Advanced persistent threat detection |
| US10375024B2 (en) * | 2014-06-20 | 2019-08-06 | Zscaler, Inc. | Cloud-based virtual private access systems and methods |
| US10616180B2 (en) | 2014-06-20 | 2020-04-07 | Zscaler, Inc. | Clientless connection setup for cloud-based virtual private access systems and methods |
| US10225327B2 (en) | 2014-08-13 | 2019-03-05 | Centurylink Intellectual Property Llc | Remoting application servers |
| US9898318B2 (en) | 2014-08-15 | 2018-02-20 | Centurylink Intellectual Property Llc | Multi-line/multi-state virtualized OAM transponder |
| US10250443B2 (en) | 2014-09-30 | 2019-04-02 | Nicira, Inc. | Using physical location to modify behavior of a distributed virtual network element |
| US9768980B2 (en) | 2014-09-30 | 2017-09-19 | Nicira, Inc. | Virtual distributed bridging |
| US10020960B2 (en) | 2014-09-30 | 2018-07-10 | Nicira, Inc. | Virtual distributed bridging |
| US10511458B2 (en) | 2014-09-30 | 2019-12-17 | Nicira, Inc. | Virtual distributed bridging |
| US9553843B1 (en) | 2014-10-08 | 2017-01-24 | Google Inc. | Service directory profile for a fabric network |
| FR3028124A1 (fr) * | 2014-11-05 | 2016-05-06 | Orange | Procede de controle des politiques de trafic depuis un module de securite dans un terminal mobile |
| US10630698B2 (en) | 2014-12-18 | 2020-04-21 | Sophos Limited | Method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
| US10079779B2 (en) | 2015-01-30 | 2018-09-18 | Nicira, Inc. | Implementing logical router uplinks |
| US10038628B2 (en) | 2015-04-04 | 2018-07-31 | Nicira, Inc. | Route server mode for dynamic routing between logical and physical networks |
| US9967134B2 (en) | 2015-04-06 | 2018-05-08 | Nicira, Inc. | Reduction of network churn based on differences in input state |
| US20160352577A1 (en) * | 2015-05-27 | 2016-12-01 | Nimbus 9, Inc. | Multiple gateway virtualization |
| US20160373405A1 (en) * | 2015-06-16 | 2016-12-22 | Amazon Technologies, Inc. | Managing dynamic ip address assignments |
| US10361952B2 (en) | 2015-06-30 | 2019-07-23 | Nicira, Inc. | Intermediate logical interfaces in a virtual distributed router environment |
| CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
| US10129142B2 (en) | 2015-08-11 | 2018-11-13 | Nicira, Inc. | Route configuration for logical router |
| US10057157B2 (en) | 2015-08-31 | 2018-08-21 | Nicira, Inc. | Automatically advertising NAT routes between logical routers |
| US9860214B2 (en) * | 2015-09-10 | 2018-01-02 | International Business Machines Corporation | Interconnecting external networks with overlay networks in a shared computing environment |
| US9930587B2 (en) | 2015-09-18 | 2018-03-27 | Huawei Technologies Co., Ltd. | Distributed virtual gateways |
| US10645528B2 (en) | 2015-09-18 | 2020-05-05 | Huawei Technologies Co., Ltd. | System and methods for reliable communication with mobility along a predictable route |
| US9882833B2 (en) | 2015-09-28 | 2018-01-30 | Centurylink Intellectual Property Llc | Intent-based services orchestration |
| US10204122B2 (en) | 2015-09-30 | 2019-02-12 | Nicira, Inc. | Implementing an interface between tuple and message-driven control entities |
| US10447605B2 (en) * | 2015-10-27 | 2019-10-15 | Avago Technologies International Sales Pte. Limited | Flow-based host discovery in SDN networks |
| US10965649B2 (en) * | 2015-10-30 | 2021-03-30 | Fatpipe, Inc. | Persistent data communication sessions across WAN |
| US10095535B2 (en) | 2015-10-31 | 2018-10-09 | Nicira, Inc. | Static route types for logical routers |
| US11200291B2 (en) | 2015-11-02 | 2021-12-14 | International Business Machines Corporation | Automated generation of web API descriptions from usage data |
| US10333849B2 (en) | 2016-04-28 | 2019-06-25 | Nicira, Inc. | Automatic configuration of logical routers on edge nodes |
| US11019167B2 (en) | 2016-04-29 | 2021-05-25 | Nicira, Inc. | Management of update queues for network controller |
| US10841273B2 (en) | 2016-04-29 | 2020-11-17 | Nicira, Inc. | Implementing logical DHCP servers in logical networks |
| US10484515B2 (en) | 2016-04-29 | 2019-11-19 | Nicira, Inc. | Implementing logical metadata proxy servers in logical networks |
| US10091161B2 (en) | 2016-04-30 | 2018-10-02 | Nicira, Inc. | Assignment of router ID for logical routers |
| US11968179B2 (en) | 2016-05-18 | 2024-04-23 | Zscaler, Inc. | Private application access with browser isolation |
| US11936623B2 (en) | 2016-05-18 | 2024-03-19 | Zscaler, Inc. | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access |
| US11838271B2 (en) | 2016-05-18 | 2023-12-05 | Zscaler, Inc. | Providing users secure access to business-to-business (B2B) applications |
| US11949661B2 (en) | 2016-05-18 | 2024-04-02 | Zscaler, Inc. | Systems and methods for selecting application connectors through a cloud-based system for private application access |
| US10560320B2 (en) | 2016-06-29 | 2020-02-11 | Nicira, Inc. | Ranking of gateways in cluster |
| US10153973B2 (en) | 2016-06-29 | 2018-12-11 | Nicira, Inc. | Installation of routing tables for logical router in route server mode |
| US10454758B2 (en) | 2016-08-31 | 2019-10-22 | Nicira, Inc. | Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP |
| US10341236B2 (en) | 2016-09-30 | 2019-07-02 | Nicira, Inc. | Anycast edge service gateways |
| US10608843B2 (en) * | 2016-10-14 | 2020-03-31 | Cisco Technology, Inc. | Isolation networks for computer devices |
| US9906401B1 (en) | 2016-11-22 | 2018-02-27 | Gigamon Inc. | Network visibility appliances for cloud computing architectures |
| US10237123B2 (en) | 2016-12-21 | 2019-03-19 | Nicira, Inc. | Dynamic recovery from a split-brain failure in edge nodes |
| US10742746B2 (en) | 2016-12-21 | 2020-08-11 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
| US10212071B2 (en) | 2016-12-21 | 2019-02-19 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
| US10616045B2 (en) | 2016-12-22 | 2020-04-07 | Nicira, Inc. | Migration of centralized routing components of logical router |
| CN108881020B (zh) * | 2017-05-11 | 2020-11-06 | 中兴通讯股份有限公司 | 有源可信路由管理的方法、装置及其计算机设备 |
| US10681000B2 (en) | 2017-06-30 | 2020-06-09 | Nicira, Inc. | Assignment of unique physical network addresses for logical network addresses |
| US10637800B2 (en) | 2017-06-30 | 2020-04-28 | Nicira, Inc | Replacement of logical network addresses with physical network addresses |
| CA3080483A1 (en) * | 2017-10-25 | 2019-05-02 | Walmart Apollo, Llc | Systems and methods for routing data in distributed environments |
| US10374827B2 (en) | 2017-11-14 | 2019-08-06 | Nicira, Inc. | Identifier that maps to different networks at different datacenters |
| US10511459B2 (en) | 2017-11-14 | 2019-12-17 | Nicira, Inc. | Selection of managed forwarding element for bridge spanning multiple datacenters |
| US10476841B2 (en) | 2018-03-23 | 2019-11-12 | Microsoft Technology Licensing, Llc | Stateless tunnels |
| US10999244B2 (en) * | 2018-09-21 | 2021-05-04 | Microsoft Technology Licensing, Llc | Mapping a service into a virtual network using source network address translation |
| US10931560B2 (en) | 2018-11-23 | 2021-02-23 | Vmware, Inc. | Using route type to determine routing protocol behavior |
| US10797998B2 (en) | 2018-12-05 | 2020-10-06 | Vmware, Inc. | Route server for distributed routers using hierarchical routing protocol |
| US10938788B2 (en) | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
| US10880124B2 (en) | 2018-12-28 | 2020-12-29 | Alibaba Group Holding Limited | Offload controller control of programmable switch |
| US11095480B2 (en) | 2019-08-30 | 2021-08-17 | Vmware, Inc. | Traffic optimization using distributed edge services |
| CN112787902B (zh) * | 2019-11-08 | 2023-11-21 | 中兴通讯股份有限公司 | 报文封装方法及装置、报文解封装方法及装置 |
| US11616755B2 (en) | 2020-07-16 | 2023-03-28 | Vmware, Inc. | Facilitating distributed SNAT service |
| US11606294B2 (en) | 2020-07-16 | 2023-03-14 | Vmware, Inc. | Host computer configured to facilitate distributed SNAT service |
| US11611613B2 (en) | 2020-07-24 | 2023-03-21 | Vmware, Inc. | Policy-based forwarding to a load balancer of a load balancing cluster |
| US11451413B2 (en) | 2020-07-28 | 2022-09-20 | Vmware, Inc. | Method for advertising availability of distributed gateway service and machines at host computer |
| US11902050B2 (en) | 2020-07-28 | 2024-02-13 | VMware LLC | Method for providing distributed gateway service at host computer |
| US11895159B2 (en) | 2021-06-30 | 2024-02-06 | International Business Machines Corporation | Security capability determination |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1340260A (zh) * | 1999-02-11 | 2002-03-13 | 艾利森电话股份有限公司 | 使用一个虚拟分布式节点的协议转换 |
| US6697872B1 (en) * | 1999-10-15 | 2004-02-24 | Cisco Technology | Distributed packet processing using encapsulation and decapsulation chains |
| US20070280243A1 (en) * | 2004-09-17 | 2007-12-06 | Hewlett-Packard Development Company, L.P. | Network Virtualization |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1021757A1 (en) | 1997-07-25 | 2000-07-26 | Starvox, Inc. | Apparatus and method for integrated voice gateway |
| US7058727B2 (en) * | 1998-09-28 | 2006-06-06 | International Business Machines Corporation | Method and apparatus load balancing server daemons within a server |
| US6434627B1 (en) | 1999-03-15 | 2002-08-13 | Cisco Technology, Inc. | IP network for accomodating mobile users with incompatible network addressing |
| US20020028656A1 (en) | 2000-02-02 | 2002-03-07 | Yechiam Yemini | Method and apparatus for providing forwarding and replication services on a dynamically addressed network |
| US7310666B2 (en) * | 2001-06-29 | 2007-12-18 | International Business Machines Corporation | Method and system for restricting and enhancing topology displays for multi-customer logical networks within a network management system |
| US7281058B1 (en) * | 2002-10-09 | 2007-10-09 | Juniper Networks, Inc. | Delivering and receiving multicast content across a unicast network |
| US7890633B2 (en) | 2003-02-13 | 2011-02-15 | Oracle America, Inc. | System and method of extending virtual address resolution for mapping networks |
| US7499451B2 (en) * | 2003-02-20 | 2009-03-03 | Fujitsu Limited | Computer node, cluster system, cluster managing method, and cluster managing program |
| JP4021780B2 (ja) * | 2003-02-20 | 2007-12-12 | 富士通株式会社 | 計算機ノード、クラスタシステム、クラスタ管理方法、クラスタ管理プログラム |
| US20040249974A1 (en) | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
| US7593346B2 (en) | 2003-07-31 | 2009-09-22 | Cisco Technology, Inc. | Distributing and balancing traffic flow in a virtual gateway |
| US7327687B2 (en) * | 2003-12-30 | 2008-02-05 | Ixia | Wireless network virtual station address translation with external data source |
| US7697501B2 (en) | 2004-02-06 | 2010-04-13 | Qualcomm Incorporated | Methods and apparatus for separating home agent functionality |
| WO2005107161A1 (fr) * | 2004-04-28 | 2005-11-10 | Beijing Jiaxun Feihong Electrical Co., Ltd. | Systeme et procede de communications d'un reseau de telecommunications ip et leur application |
| US20080037557A1 (en) | 2004-10-19 | 2008-02-14 | Nec Corporation | Vpn Getaway Device and Hosting System |
| JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
| JP4619943B2 (ja) * | 2005-12-28 | 2011-01-26 | 富士通株式会社 | パケット通信方法、パケット通信システム |
| JP4603505B2 (ja) | 2006-05-10 | 2010-12-22 | 富士通株式会社 | パケットルーティング制御プログラム、パケットルーティング制御方法及びコンピュータシステム |
| US7840701B2 (en) * | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| US8055789B2 (en) | 2007-03-27 | 2011-11-08 | Amazon Technologies, Inc. | Configuring intercommunications between computing nodes |
| US8020203B2 (en) | 2007-12-03 | 2011-09-13 | Novell, Inc. | Techniques for high availability of virtual private networks (VPN's) |
-
2010
- 2010-06-22 US US12/820,896 patent/US8374183B2/en active Active
-
2011
- 2011-05-20 TW TW100117829A patent/TWI531185B/zh not_active IP Right Cessation
- 2011-06-06 WO PCT/US2011/039324 patent/WO2011162942A2/en active Application Filing
- 2011-06-06 CN CN201180030856.8A patent/CN102948132B/zh active Active
- 2011-06-06 JP JP2013516590A patent/JP5809696B2/ja active Active
- 2011-06-06 EP EP11798589.5A patent/EP2586160B1/en active Active
-
2013
- 2013-01-25 US US13/749,847 patent/US8982890B2/en active Active
-
2015
- 2015-03-13 US US14/657,957 patent/US9876717B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1340260A (zh) * | 1999-02-11 | 2002-03-13 | 艾利森电话股份有限公司 | 使用一个虚拟分布式节点的协议转换 |
| US6697872B1 (en) * | 1999-10-15 | 2004-02-24 | Cisco Technology | Distributed packet processing using encapsulation and decapsulation chains |
| US20070280243A1 (en) * | 2004-09-17 | 2007-12-06 | Hewlett-Packard Development Company, L.P. | Network Virtualization |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105144633A (zh) * | 2013-03-15 | 2015-12-09 | 亚马逊科技公司 | 网络业务映射和性能分析 |
| US10389608B2 (en) | 2013-03-15 | 2019-08-20 | Amazon Technologies, Inc. | Network traffic mapping and performance analysis |
| US11469984B2 (en) | 2013-03-15 | 2022-10-11 | Amazon Technologies, Inc. | Network traffic mapping and performance analysis |
| CN105144633B (zh) * | 2013-03-15 | 2019-06-04 | 亚马逊科技公司 | 网络业务映射和性能分析 |
| CN105745879B (zh) * | 2013-11-15 | 2019-03-26 | 思科技术公司 | 用于缩短通信网络中的服务链中的服务路径的方法和装置 |
| CN105745879A (zh) * | 2013-11-15 | 2016-07-06 | 思科技术公司 | 缩短通信网络中的服务链中的服务路径 |
| CN105814554A (zh) * | 2013-12-11 | 2016-07-27 | 亚马逊科技公司 | 虚拟网络中基于身份和访问管理的访问控制 |
| CN105814554B (zh) * | 2013-12-11 | 2019-11-15 | 亚马逊科技公司 | 虚拟网络中基于身份和访问管理的访问控制 |
| CN105900407A (zh) * | 2014-01-08 | 2016-08-24 | 微软技术许可有限责任公司 | 在虚拟网络之间路由消息 |
| US10225188B2 (en) | 2014-01-08 | 2019-03-05 | Microsoft Technology Licensing, Llc | Routing messages between virtual networks |
| CN105900407B (zh) * | 2014-01-08 | 2019-06-28 | 微软技术许可有限责任公司 | 用于在虚拟网络之间路由消息的方法和计算机可读存储介质 |
| CN112953797A (zh) * | 2014-08-27 | 2021-06-11 | 适应性频谱和信号校正股份有限公司 | 用于实现接入节点功能的虚拟化的系统、方法和装置 |
| CN112953797B (zh) * | 2014-08-27 | 2023-04-25 | 适应性频谱和信号校正股份有限公司 | 用于实现接入节点功能的虚拟化的系统、方法和装置 |
| CN107370715A (zh) * | 2016-05-12 | 2017-11-21 | 深信服网络科技(深圳)有限公司 | 网络安全防护方法及装置 |
| CN107370715B (zh) * | 2016-05-12 | 2020-09-18 | 深信服科技股份有限公司 | 网络安全防护方法及装置 |
| US11005750B2 (en) | 2016-08-05 | 2021-05-11 | Huawei Technologies Co., Ltd. | End point to edge node interaction in wireless communication networks |
| CN109565472A (zh) * | 2016-08-05 | 2019-04-02 | 华为技术有限公司 | 虚拟网络中基于切片/服务的路由 |
| US11165689B2 (en) | 2016-08-05 | 2021-11-02 | Huawei Technologies Co., Ltd | Service-based traffic forwarding in virtual networks |
| US11882027B2 (en) | 2016-08-05 | 2024-01-23 | Huawei Technologies Co., Ltd. | End point to edge node interaction in wireless communication networks |
| WO2018082452A1 (zh) * | 2016-11-01 | 2018-05-11 | 阿里巴巴集团控股有限公司 | 数据传输的方法、设备、装置及系统 |
| CN107493313A (zh) * | 2016-12-19 | 2017-12-19 | 汪海军 | 云管理系统与方法 |
| CN113302884A (zh) * | 2019-01-18 | 2021-08-24 | 威睿公司 | 公共云环境中的服务插入 |
| CN113302884B (zh) * | 2019-01-18 | 2023-06-16 | 威睿公司 | 公共云环境中的服务插入 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013533689A (ja) | 2013-08-22 |
| US20110310899A1 (en) | 2011-12-22 |
| US8374183B2 (en) | 2013-02-12 |
| US8982890B2 (en) | 2015-03-17 |
| US20150188818A1 (en) | 2015-07-02 |
| EP2586160A4 (en) | 2017-09-20 |
| EP2586160B1 (en) | 2018-11-07 |
| WO2011162942A2 (en) | 2011-12-29 |
| US9876717B2 (en) | 2018-01-23 |
| CN102948132B (zh) | 2017-04-12 |
| JP5809696B2 (ja) | 2015-11-11 |
| WO2011162942A3 (en) | 2012-04-05 |
| US20130136133A1 (en) | 2013-05-30 |
| TW201203956A (en) | 2012-01-16 |
| EP2586160A2 (en) | 2013-05-01 |
| TWI531185B (zh) | 2016-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102948132A (zh) | 分布式虚拟网络网关 | |
| CN102893559B (zh) | 互连虚拟网络的成员 | |
| CN1754374B (zh) | 带有网关负载分配的网络地址转换 | |
| CN102316160B (zh) | 网站系统及其通信方法 | |
| CN102334111B (zh) | 为受管计算机网络提供逻辑联网功能 | |
| CN101964799B (zh) | 点到网隧道方式下地址冲突的解决方法 | |
| CN101572643B (zh) | 实现私网之间转发数据的方法和系统 | |
| CN1316796C (zh) | 短程无线网络环境中位置独立信息包路由选择和安全访问 | |
| US8767737B2 (en) | Data center network system and packet forwarding method thereof | |
| CN102598591A (zh) | 采用用于保护跨网络的连接的覆盖 | |
| US20120311159A1 (en) | Direct addressability and direct server return | |
| CN102281180A (zh) | 应用于不同局域网的终端相互通讯的虚拟网卡通讯装置 | |
| US20190097940A1 (en) | Network system and method for cross region virtual private network peering | |
| CN103354566A (zh) | 配置计算机节点之间的通信 | |
| CN101800690B (zh) | 一种使用地址池实现源地址转换的方法和装置 | |
| CN103546572B (zh) | 一种多云存储联网系统和方法 | |
| US8887280B1 (en) | Distributed denial-of-service defense mechanism | |
| CN104734869A (zh) | 基于动态探测的智能dns域名系统及方法 | |
| CN101969478B (zh) | 一种智能dns报文处理方法及处理装置 | |
| CN108965494A (zh) | 数据系统中数据传输方法和装置 | |
| CN114422301A (zh) | 一种基于p2p-vpn技术穿越nat的网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150728 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150728 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |