CN104350467B - 用于使用sdn的云安全性的弹性实行层 - Google Patents

用于使用sdn的云安全性的弹性实行层 Download PDF

Info

Publication number
CN104350467B
CN104350467B CN201380030790.1A CN201380030790A CN104350467B CN 104350467 B CN104350467 B CN 104350467B CN 201380030790 A CN201380030790 A CN 201380030790A CN 104350467 B CN104350467 B CN 104350467B
Authority
CN
China
Prior art keywords
middleboxes
controller
packet
exchanger
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201380030790.1A
Other languages
English (en)
Other versions
CN104350467A (zh
Inventor
T.库雷瓦尔
M.普尔詹迪
张颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN104350467A publication Critical patent/CN104350467A/zh
Application granted granted Critical
Publication of CN104350467B publication Critical patent/CN104350467B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/306Route determination based on the nature of the carried application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

基于分离式体系结构框架在云计算环境中部署一种用于实现安全性策略的有效弹性实行层(EEL)。分离式体系结构网络包括耦合到交换器的控制器。控制器接收源于源VM的分组时,它从收到的分组中提取识别在源VM上运行的应用的应用标识符。基于应用标识符,控制器确定中间盒类型的链。控制器还基于资源的当前可用性确定中间盒实例。控制器然后将规则的集合添加到交换器以促使交换器经中间盒实例向目的地VM转发分组。

Description

用于使用SDN的云安全性的弹性实行层
技术领域
本发明的实施例涉及云计算领域,并且更具体地说,涉及在云计算环境中的安全性策略管理。
背景技术
云计算改变了人们使用计算机的方式。通常称为基础设施即服务(IaaS)模型的基本云服务模型允许云客户以“即付即用”方式动态增大和缩减其在云内部在如需要的许多机器上的使用。因此,客户能够通过在不同时间从云提供商租赁不同的资源量来动态预配资源以满足其当前需求。云提供商能够利用规模经济以更低成本提供按需资源。
为了利用经济益处,云提供商在其系统上支持多租户,其中,来自多个客户的虚拟机能够共享物理服务器的相同集和网络。给定大量的服务器和客户,基础设施的管理需要高度自动化以允许客户请求创建或删除虚拟机而无需人为干预。
尽管其有希望的潜能,云计算的广泛采用的主要负担是安全性,这是因为客户经常不愿将敏感数据和计算导出到云中。威胁不但由在云运营公司的隐私泄漏引起,而且也由于云的多租户性质原因。
为了在云环境中实行网络安全性,云提供商定义了用于其数据中心和网络的网络安全性策略和规则。策略和规则能够相当复杂。因此,在典型的云环境中,只能够通过网络接入控制管控的复杂通信模式到达云服务器,如遍历防火墙和入侵检测系统(IDS)。
云计算环境是动态的,这是因为许多新客户可在短时期内加入和离开云。应用行为的复杂性和太多的应用使得用手写下用于不同数据中心的不同网络安全性实行规则变得困难,成本高且易于出错。此外,云提供商经常有必要为云基础设施的所有方面自动化和精心策划安全性。考虑到云的变化速度和规模,人为干预太慢且不现实。
如今在业界当前可用的云模型或基于网关的技术有时要求特定拓扑的云网络,这不能适应客户的变化需要。一些现有方法使用虚拟局域网(VLAN)来配置隔离的虚拟网络。不过,VLAN分段方法是静态的,并且未能提供充分的灵活性和自动化,特别是在租户的数量大(即,超过1000)时。一些基于流的分段方案提供业务隔离、可扩展性和自动化。不过,此方案未能保证在虚拟机(VM)迁移的情形中安全性策略的一致性。
发明内容
本发明的实施例提供用于实现基于分离式体系结构框架,在云计算环境中部署的安全性策略的有效弹性实行层(EEL)。分离式体系结构网络包括为在云计算环境中的网络安全性管理策略实行的控制器。分离式体系结构网络也包括耦合到控制器以提供网络连接性到云计算环境的交换器。源VM和目的地VM在云计算环境中执行应用并且经分离式体系结构网络交换数据。
在一个实施例中,由控制器执行的方法包括:接收源于源VM的分组;从收到的分组提取应用标识符,其中,应用标识符识别在源VM上运行的应用;基于应用标识符,确定中间盒类型的链;基于云计算环境中资源的当前可用性,将链中的中间盒类型的一个或更多个映射到对应的一个或更多个中间盒实例,其中,中间盒实例的一个或更多个在分组上执行网络安全性操作;以及将规则的集合添加到交换器以促使交换器经一个或更多个中间件实例向目的地VM转发分组,由此在云计算环境中实行网络安全性。
在一个实施例中,充当控制器的网络节点包括配置成接收源于源VM的分组的接收器电路和包括弹性实行层模块的处理器。弹性实行层模块配置成从收到的分组提取应用标识符,其中,应用标识符识别在源VM上运行的应用;基于应用标识符确定中间盒类型的链;以及基于云计算环境中资源的当前可用性,将链中的中间盒类型的一个或更多个映射到对应的一个或更多个中间盒实例。中间盒实例的一个或更多个在分组上执行网络安全性操作。网络节点还包括耦合到处理器的传送器电路,传送器电路配置成将规则的集合发送到交换器以促使交换器经一个或更多个中间盒实例向目的地VM转发分组,由此在云计算环境中实行网络安全性。
附图说明
本发明通过示例方式而不是限制的方式在附图的图形中示出,图中相似的标号表示类似的元素。应注意,在此公开中对“一”或“一个”实施例的不同引用不一定是指相同的实施例,并且此类引用是指至少一个。此外,在结合实某个施例描述某个特定特征、结构或特性时,认为结合无论是否明确描述的其它实施例来实现此类特征、结构或特性是在本领域技术人员的认知之内。
图1根据本发明的一个实施例,示出分离式体系结构网络的示例。
图2根据本发明的一个实施例,示出源和目的地VM在相同区域中的用例的示例。
图3是根据本发明的一个实施例,示出用于图2的用例的方法的流程图。
图4根据本发明的一个实施例,示出流聚合的示例。
图5根据本发明的一个实施例,示出源和目的地VM在不同区域中的用例的示例。
图6是根据本发明的一个实施例,示出用于图5的用例的方法的流程图。
图7根据本发明的一个实施例,示出VM迁移的示例。
图8是根据本发明的一个实施例,示出用于云计算环境中网络安全性策略实行的方法的流程图。
图9根据本发明的一个实施例,示出在分离式体系结构网络中控制器和交换器的示例。
具体实施方式
在下面的说明中,陈述了许多特定细节。然而,要理解的是,可在没有这些特定细节的情况下实践本发明的实施例。在其它情况下,公知的电路、结构和技术未详细显示以免混淆对此描述的理解。然而,本领域的技术人员将领会到,可在没有此类特定细节的情况下实践本发明。通过包括的描述,本领域普通技术人员将能够在不进行不当实验的情况下实现适当的功能性。
本文中描述了一种用于实现基于分离式体系结构框架在云计算环境中部署的安全性策略的有效弹性实行层(EEL)。本发明的实施例适合用于云计算环境的动态性质,克服了由常规方法的静态部署造成的问题。
本发明的实施例基于应用标识符(AppID)确定特定分组流需要的安全性服务的类型,应用标识符是在VM上运行的应用的标识符。基于AppID,控制器能够确定分组流要遍历的中间盒类型。
在一个实施例中,云环境能够具有用于整个网络的几个控制器,一个特定控制器管理云的特定数据中心或区域。一个区域的控制器能够使用常规标记(gTag)来设置分组流要遍历的中间盒类型,并且然后将实际实例遍历委托到另一区域的控制器。因此,基于中间盒实例的可用性、位置、负载等,可在本地向该区域中的另一控制器做出有关实际实例的决定。
此外,与分组的EEL标记组合的AppID的使用允许流聚合。也就是说,多个流在遍历网络时能够共享相同的规则的集合。流聚合减少了需要向下压入到交换器的规则的数量,并且因此改进了网络的可扩展性。
术语“中间盒”在本文中指驻留在网络中机器(例如,服务器计算机)上并且在分组流上执行安全性操作以实行网络传输策略和安全性的物理或虚拟安全性设备。虚拟安全性设备能够在数据中心的不同节点上运行,执行相同的操作并且以与其对应物理安全性设备将表现的相同方式表现。中间盒的示例包括应用防火墙(AppFW)、深度分组检查(DPI)系统、网络地址转换器、入侵检测系统(IDS)、多媒体缓冲器管理等。在一些实施例中,中间盒能够是执行例如负载平衡的不同于安全性的操作的物理或虚拟网络实体。
在描述本发明的实施例的细节前,先解释分离式体系结构网络的结构。分离式体系结构网络具有包括少量控制器的控制平面和包括多个转发元件(即,交换器)的转发平面(也称为“数据平面”)。分离式体系结构网络是分布式系统,其中,控制平面与转发平面是分开的。交换器相互互连,并且与控制器互连。控制器指示交换器的转发行为。
分离式体系结构网络包含网络范围的控制平台,其在网络中一个或更多个服务器上运行、监视一组简单交换器。在分离式体系结构网络中,控制器和交换器使用协议来传递和交换信息。此类协议的示例是OpenFlow(在OpenFlow交换器规范版本1.1.0,2000中描述),它提供开放的标准的方法以便交换机与控制器进行通信,并且它在学界和业界都引起了相当大的关注。
传统路由器体系结构采用集成设计,其中,控制平面和数据转发平面紧密地耦合在相同盒中,这通常导致过于复杂的控制平面和复杂的网络管理。由于复杂性高的原因,设备卖主和网络运营商不愿采用变化,并且网络本身是脆弱的且难以管理。众所周知的是,这对新协议和技术发展造成大的负担和高承载。
交换器的主要任务是根据在由控制器编程的流表中的规则,将分组从入口端口转发到出口端口。每个流条目包含一组动作,如将分组转发到给定端口,修改分组报头中的某些比特,或者将分组封装到控制器或者简单地丢弃分组。交换器能够将流中的第一分组转发到控制器以触发对新的流条目进行编程。交换器也能够将所有慢路径分组转发到控制器以便进行处理,如因特网控制消息协议(ICMP)分组。能够在广义上定义流的概念,例如,传送控制协议(TCP)连接,或来自特定媒体接入控制(MAC)地址或因特网协议(IP)地址的所有业务。
控制器添加流条目到交换器中的流表以及从中删除流条目。控制器定义在该组数据平面交换器之间的互连和路由选择。它也处理网络状态分布,如收集来自交换器的信息和将路由选择指令分布到它们。它也能够编程成支持任何新的寻址、路由选择和复杂的分组处理应用。控制器是网络的“大脑”。交换器需要连接到至少一个控制器以便正确运转。交换器接收新流而不知道要将分组发送到何处时,交换器将流的第一分组转发到控制器。在接收分组时,控制器在交换器上对新的路由选择条目进行编程以便交换器用于转发流中的其它分组。
图1根据一个实施例示出包括耦合到一组交换器120A-F的控制器110的分离式体系结构100的示例。一些交换器(例如,120C、120D和120E)连接到中间盒130(例如,M1、M2和M3)。一个或更多个中间盒130在它们接收的分组上执行安全性操作。每个中间盒130连接到中间盒130从其处接收分组的入口交换器和中间盒将处理过的分组发送到的出口交换器。中间盒的入口交换器是在从源到中间盒的路径上到中间盒的前一跳交换器。中间盒的出口交换器是在从中间盒到目的地的路径上到中间盒的下一跳交换器。入口交换器和出口交换器各自被称为边缘交换器。在此示例中,每个中间盒130使用相同交换器作为其入口交换器和出口交换器;例如,交换器120C是用于M1的入口交换器和出口交换器。在备选实施例中,入口交换器和出口交换器能够是不同交换器。
本发明的实施例通过利用具有分离式体系结构的软件定义的连网(SDN)、构建作为Openflow控制器的应用的策略控制,为网络安全性提供有效的策略实行。认识到商用交换器具有有限的存储器和表条目。因此,如果每个交换器需要为每个应用和为每个租户安装一个规则,则可扩展性是问题。本发明的实施例提议分层解决方案,其关键构想是预创建与租户和应用无关的用于实行规则的模板。云租户(或租户用户或管理员)能够独立于网络结构使用这些模板来定义其安全性体系结构。因此,取决于在不同VM之间发生的通信的类型,租户能够定义要遍历的中间盒类型的序列。例如,租户可能想部署包括Web服务器、商业逻辑和数据库的3层服务。租户能够使用模板来描述防火墙中间盒是在Web服务器的前面,IDS中间盒在Web服务器与商业逻辑之间,以及AppScan中间盒在数据库的前面。
本文中所述用于云网络安全性的弹性实行层具有以下特点:
• 业务遍历租户要求的序列中的中间盒。
• 响应于动态需求和VM迁移,容易地重新配置策略。
• 业务不遍历不必要的中间盒。
• 有关要使用哪个中间盒实例的决定是基于云基础设施中资源的可用性。
• 在流的第一分组从源向目的地前进时,能够推迟有关要使用哪个中间盒实例的决定。在应对大型云基础设施(即,超过一万个刀片(blade),部署通过几个数据中心)时,其中有关中间盒的可用性的信息对于能够为从源到目的地的整个路径做出有关所有中间盒实例的决定的一个逻辑元件不可用,在SDN中推迟中间盒实例的选择能够是有益的。
下面描述弹性实行层的基本概念和构建块。在一个实施例中,租户通过指定AppID表示VM(或VM群组)发射的分组要遍历的中间盒链,定义他们要应用到VM(或VM群组)的安全性设计。每个AppID识别使用中间盒的相同链的应用或应用群组。VM群组能够运行相同应用,并且使用相同AppID;例如,运行Web服务器的VM。
在一个实施例中,中间盒的链例如能够是IDS,之后是AppFW和DPI。控制器能够通过不同中间盒实行流的操纵。
托管VM的每个物理服务器具有管理VM的运行管理程序(hypervisor)。管理程序能够将此AppID插入VM发射的分组中。流的第一分组到达交换器时,它们被转发到控制器,控制器又从分组中检索AppID。基于AppID,控制器确定要遍历的中间盒的链。
本发明的实施例利用分组报头中的EEL标记来设置流的路径。这些标记能够在以太网层添加。在一个实施例中,OpenFlow中的MPLS标签实现能够用于EEL标记。由于OpenFlow 1.1支持MPLS标签压入、弹出和设置,因此,在将MPLS标签替换为EEL标记时,无需对交换器进行修改。MPLS标签值为20比特长,并且能够具有多达100万个不同值。通常,此20比特长字段足够大,即使对于极大型云基础设施,也足以包括所有中间盒实例。在备选实施例中,与MPLS不同的机制和技术也能够用于实现EEL标记。
在一个实施例中,控制器基于云基础设施中资源的当前可用性、VM生命周期或优化云资源的使用的任何其它成本函数,在VM之间通信时动态选择该组中间盒实例。分组中的EEL标记用于定义交换器要将分组发送到的下一交换器。为了相应地沿交换器路由分组,控制器具有在所有中间盒实例与EEL标记之间的映射表。
在控制器选择该组中间盒实例后,控制器在发射VM的边缘路由器插入规则以便将EEL标记压入到分组,并且将分组转发到下一跳。此EEL标记指示哪个中间盒是分组要遍历的下一中间盒。控制器也添加规则到中间盒的入口交换器,其中,规则包括弹出EEL标记和将分组转发到中间盒。在中间盒的出口交换器,控制器添加包括将对应于下一中间盒的实例的标记压入到分组上的规则。沿到下一中间盒的路径,控制器将规则添加到路径上的交换器,规则包括根据分组的EEL标记将分组向下一中间盒转发到下一跳。在不要遍历其它中间盒的情况下,控制器将规则添加到路径上的最后交换器,其中,规则包括从分组弹出标记以及将分组路由到目的地VM。
在一个实施例中,EEL标记被细分成两种标记:各自对应于中间盒类型的常规标记(gTag)和各自对应于中间盒实例的实例标记(iTag)。在一个实施例中,能够划分EEE标记值的范围,使得gTag是在[0,1023]范围中的整数,并且iTag是在[1024,220]范围中的整数。要注意的是,gTag和iTag范围是可配置的。
gTag也称为通配符或通配符标记。gTag是特殊标记,表现在它只定义下一中间盒类型,而不是定义中间盒实例。当源和目的地VM在由不同控制器管理的不同数据中心或不同区域(也称为区或地带)中时,这是有用的。另外,在源与目的地之间的路径中的控制器不能做出要使用哪些实列的决定时(由于缺乏有关中间盒实例可用性、安全性约束等的信息),gTag也是有用的。当交换器接收此类有标记的分组时,它将分组发送到其控制器,控制器决定将它替换为中间盒的实例标记,或者向其目的地将分组转发到下一交换器。为避免通配符的模糊解析,特定中间盒类型只在中间盒的链中出现一次。也就是说, ∀ (gTagi,gTagj)在中间盒的相同链中,gTagi ≠ gTagj
在一个实施例中,iTag被细分到各自对应于特定类型的中间盒的范围中。例如,iTag (1024-2047)对应于AppFW实例,iTag (2048-3072)对应于ID实例,并以此类推。iTag的细分能够降低在控制器上的负载,并且因此改进可扩展性,这是因为控制器无需保持将中间盒实例映射到中间盒类型的表。
图2根据本发明的一个实施例,示出简单用例的示例。此用例示出如何为特定流设置中间盒的简单链。此用例也示出如何在位于由相同控制器的相同区域内的一对VM之间实行中间盒的链的遍历。
图2的示例根据一个实施例示出由控制器110保持或可由其接入的数据结构。第一表是策略表261,该表匹配给定AppID与gTag的链。第二表是gTag表262,该表匹配给定gTag与iTag的范围。第三表是iTag表263,该表匹配给定iTag与对应于给定iTag的中间盒实例的IP地址。
在此示例中,假设租户定义VM1发射的业务对应于AppID-9,这意味着来自VM1的业务将通过IDS、AppFW和DPI。也假设VM1(位于物理服务器PS1上)正在尝试与VM2(位于物理服务器PS2上)进行通信。PS1和PS2均在由相同控制器控制的相同数据中心或相同区域(也称为“区”或“地带”)。PS1和PS2各自运行管理程序以管理其VM。为了简化图示,在此示例和后面的示例中,图中的中间盒的入口交换器和出口交换器示为相同交换器。要理解的是,入口交换器和出口交换器能够是不同交换器。
还参照图3,图3的流程图示出用于区域内策略实行的方法300,其中,源VM (VM1)和目的地VM (VM2)位于相同区域中并且由相同控制器控制。由于图2的操作对应于图3的操作,因此,下面的操作将参照图2和图3。
VM1开始发射分组的流时,PS1上的管理程序截取这些分组,并且将AppID插入每个分组的报头(例如,IP选项字段)201,301。位于VM1的边缘的交换器将第一分组转发到控制器110 202,302。控制器110从分组提取AppID,并且通过查询策略表261来确定要遍历的gTag的链203,303。控制器110然后通过查找gTag表262来匹配每个gTag与iTag范围204,304。从iTag范围中,控制器110基于云资源可用性,选择要将分组发送到的中间盒实例205,305。控制器110选择用于链中每个gTag的中间盒实例。假设IDS、AppFW和DPI的所选实例分别对应于iTag 2070、1045和3093。控制器110然后使用iTag表263来识别所选中间盒实例的IP地址。
在选择中间盒实例后,控制器110设置用于交换器的规则的集合,并且将规则发送到交换器。这些规则被添加到交换器的流表,交换器相应地路由分组的流。在此示例中,控制器将两个新流条目添加到VM1的边缘交换器206,306:
• 从VM1到VM2的分组标记有EEL标记2070。
• 向IDS 2070实例将具有EEL标记2070的分组路由到下一交换器。
要注意的是,交换器能够通过查看分组携带的源和目的地IP地址、源和目的地端口号和协议类型(即,5元组)或其它标识符,确定流是否从VM1到VM2。控制器也将三个新流条目添加到IDS的入口和出口交换器207,307:
• 标记有EEL标记2070的分组必须使其标记弹出并且转发到IDS(入口)。
• 从VM1到VM2,离开IDS的分组必须使EEL标记1045被压入(出口)。
• 向AppFW 1045实例将具有EEL标记1045的分组路由到下一交换器(出口)。
与前面的规则类似的规则206,306,207和307被添加到所有中间盒边缘的交换器208,308。用于链中最后中间盒的出口交换器的规则指定分组的流要向目的地VM路由到的下一交换器。
沿着从VM1到VM2的路径,控制器将规则添加到在路径上但不是中间盒的入口交换器也不是其出口交换器的每个交换器。规则基于分组的EEL标记,指定交换器要向中间盒实例转发分组的流209,309。在规则设置后,交换器能够根据规则开始路由分组,修改分组的EEL标记310。交换器的路由选择操作继续,直至分组到达其目的地VM 311。
图3也示出源VM (VM1)从一个物理服务器迁移到另一物理服务器的情形312。在此情形中,为迁移后VM1发射的分组的流重复块301-311的操作。此流的AppID与迁移前相同。因此,控制器110能够将此AppID映射到gTag的相同链,并且能够基于在迁移时或迁移后的资源可用性,确定对应中间盒实例。下面将参照图7描述有关VM迁移的其它细节。
图4根据本发明的一个实施例,示出用于流聚合的可扩展设计的示例。现有解决方案的一个主要缺陷是它们要求每VM至少生个规则,这是因为其规则匹配目的地和源MAC地址和端口。如在此示例中所示,EEL标记的使用允许流的聚合,并且由此减少了向下压入到交换器的规则的数量。流聚合和交换器内规则的减少改进了网络的可扩展性。
图4的示例是图2的示例的变化。在此示例中,存在与相同目的地VM (VM4)进行通信的三个VM(VM1、VM2和VM3)。假设租户已定义由VM1和VM2发射的业务对应于AppID-9,这意味着来自这两个VM的业务要通过IDS、AppFW和DPI。VM3发射的业务对应于AppID-10,这意味着来自VM3的业务将只通过AppFW和DPI。假设VM1、VM2和VM3在尝试与VM4进行通信,VM4与VM1、VM2和VM3在相同区域中并且受相同控制器控制。
VM1、VM2和VM3开始发射分组时,这些分组由在PS1上的管理程序截取,管理程序将相应AppID插入其报头中401。步骤402、403、404和405在步骤401之后,并且它们分别与步骤202、203、204和205相同。在选择中间盒实例后,控制器110将下一新流条目添加到PS1的边缘交换器406:
• 从VM1到VM4的分组标记有EEL标记2070。
• 从VM2到VM4的分组标记有EEL标记2070。
• 从VM3到VM4的分组标记有EEL标记1045。
• 向IDS 2070实例将具有EEL标记2070的分组路由到下一交换器。
控制器110然后将新流条目添加到IDS的入口和出口交换器407:
• 标记有EEL标记2070的分组必须使其标记弹出并且转发到IDS(入口)。
• 从VM1到VM4,离开IDS的分组必须使EEL标记1045被压入(出口)。
• 从VM2到VM4,离开IDS的分组必须使EEL标记1045被压入(出口)。
• 向AppFW 1045实例将具有EEL标记1045的分组路由到下一交换器(出口)。
与前面的规则类似的规则407被添加到所有中间盒边缘的交换器408。用于链中最后中间盒的出口交换器的规则指定分组的流要向目的地VM路由到下一交换器。
沿着从源到目的地的路径,控制器110将规则添加到在路径上但不是中间盒的入口交换器也不是其出口交换器的每个交换器。基于分组的EEL标记,规则指定交换器要将分组的流向中间盒实例转发到下一交换器409。
图4的示例示出能够如何聚合用于多个流的规则。具体而言,在中间盒的入口交换器的规则能够设置成允许交换器以简单的方式匹配指向此特定中间盒的所有进入流。能够设置单个规则,使得朝向相同中间盒前进的分组能够被赋予相同EEL标记,并且以相同方式路由,即使这些分组可属于不同流,具有不同AppID,源于不同VM和/或去往不同VM。在三个不同流的此示例中,只将两个规则压入到交换器OFS-1(向IDS或APPFW路由分组),并且只将一个规则压入到交换器OFS-2(向DPI路由分组)。
图5示出用于规则匹配的通配符设计的示例。通配符是gTag,它只描述中间盒的类型而不描述中间盒的特定实例。gTag的使用改进了云网络的可扩展性,这是因为它允许几个控制器的组合使用和云资源的改进利用。在图5的示例中,源和目的地VM在由不同控制器管理的区域或区中。在一个区域中的控制器能够将应用安全性措施的责任委托到另一区域中的控制器。
在云环境中,可以存在用于整个网络的多个控制器(例如,控制器110和510),云的每个数据中心或区域一个控制器。第一区域的控制器110能够设置流要遍历的中间盒类型的链,并且然后将实际实例遍历委托到第二区域的控制器510。此决定能够基于中间盒实例的可用性或位置做出。
在流的第一分组到达第二区域时,分组被转发到控制器510,控制器510基于收到分组的AppID和EEL标记,确定链中的哪些中间盒尚未被遍历。控制器510能够将分组转发到另一区域,或者将EEL标记(它是gTag)映射到iTag中。如果iTag能够被确定,则控制器510然后继续进行与上面在图2和图3的简单用例中描述的过程类似的过程。
在图5的示例中,假设中间盒的链保持IDS、AppFW和DPI,并且对应于AppFW的gTag是18。
还参照图6,图6的流程图示出用于区域间策略实行的方法600,其中,源VM (VM1)和目的地VM (VM2)位于不同区域中并且由两个不同控制器控制。由于图5的操作对应于图6的操作,因此,下面的操作将参照图5和图6。
VM1开始发射分组的流时,PS1上的管理程序截取这些分组,并且将AppID插入每个分组的报头(例如,IP选项字段)501,601。位于VM1的边缘的交换器将第一分组转发到控制器110 502,602。控制器110提取AppID,并且通过查询策略表261,确定要遍历的gTag的链503,603。控制器110然后通过查找gTag表262,匹配每个gTag与iTag范围504,604。从iTag范围中,控制器110选择IDS实例2070。由于源VM (VM1)和目的地VM (VM2)在不同数据中心中650,因此,能够从任一数据中心选择AppFW。基于AppFW-1的可用性(或不可用性),控制器110决定推迟到另一控制器的AppFW实例的选择并且将通配符用于AppFW 505,605。
在选择IDS实例后,控制器110设置用于交换器的规则。这些规则被添加到交换器的流表,交换器相应地路由分组的流。在此示例中,控制器110将两个新流条目添加到VM1的边缘交换器506,606:
• 从VM1到VM2的分组标记有EEL标记2070。
• 向IDS 2070实例将具有EEL标记2070的分组路由到下一交换器。
控制器110也将三个新流条目添加到IDS的入口和出口交换器507,607:
• 标记有EEL标记2070的分组必须使其标记弹出并且转发到IDS(入口)。
• 从VM1到VM2,离开IDS的分组必须使EEL标记18被压入(出口)。
• 向VM2将具有EEL标记18的分组路由到下一交换器(出口)。
沿着从源到目的地的路径,控制器110基于分组的EEL标记,将规则添加到路径上的每个交换器以向下一中间盒实例转发每个分组508,608。在规则设置后,交换器能够根据规则开始路由分组,修改分组的EEL标记651。651的路由选择操作继续,直至分组到达第二区域的第一交换器652,其中,流的第一分组被发送到第二控制器510 509,609。控制器510解析AppID以便知道要遍历什么类型的中间盒610。控制器510然后解析gTag以便知道尚未遍历什么类型的中间盒511,611。由于VM2与控制器510在相同区域中,因此,控制器510能够选择要遍历的中间盒实例(例如,AppFW-2)512,612。在选择中间盒实例后,控制器510将规则添加到其交换器,其中,规则与上面结合控制器110所述的规则类似513,613。交换器的路由选择操作继续,直至分组到达其目的地VM 653。
图6也示出源VM (VM1)从一个物理服务器迁移到另一物理服务器的情形654。在此情形中,为迁移后VM1发射的分组的流重复上面在此示例中描述的操作。此分组的流的AppID与VM1迁移前相同。因此,控制器110和510能够将此AppID映射到gTag的相同链,并且能够基于在迁移时或迁移后的资源可用性,确定对应中间盒实例。下面将参照图7描述有关VM迁移的其它细节。
图7是根据本发明的一个实施例,示出在VM迁移时安全性措施的弹性的示例。在VM迁移并且再次开始发射分组后,除了分组遍历的中间盒实例在迁移之前和之后可以不同外,过程与如图2-6所示上面提及的相同。因为分组的AppID在迁移之前和之后保持相同,中间盒的链也保持相同。因此,应用到流的安全性措施通过迁移粘到流。
在图7的示例中,中间盒的示例是IDS和AppFW。假设对应于IDS-1的iTag是2070,对应于AppFW的iTag是1045,以及对应于IDS-2的iTag是2080。
VM1开始发射分组的流时,PS1上的管理程序截取这些分组,并且将AppID插入每个分组的报头(例如IP选项字段)701。交换器将流的第一分组转发到控制器110 702。控制器110将两个新流条目添加到VM1的边缘交换器703:
• 从VM1到VM2的分组标记有EEL标记2070。
• 向IDS 2070实例将具有EEL标记2070的分组路由到下一交换器。
控制器也将三个新流条目添加到IDS-1的入口和出口交换器704:在AppFW的入口和出口交换器上设置了类似的规则。
• 标记有EEL标记2070的分组必须使其标记弹出并且转发到IDS(入口)。
• 从VM1到VM2,离开IDS的分组必须使EEL标记1045被压入(出口)。
• 向AppFW 1045实例将具有EEL标记1045的分组路由到下一交换器(出口)。
沿着从源到目的地的路径,控制器110基于分组的EEL标记,将规则添加到路径上的每个交换器以向下一中间盒实例转发每个分组705。
之后,VM1从PS1迁移到PS2,并且变成VM1' 706。VM1'开始发射分组的流时,PS3上的管理程序截取这些分组,并且将AppID插入每个分组的报头(例如,IP选项字段)707。控制器110然后以与迁移前相同的方式将流条目添加到VM1'的边缘交换器、IDS和AppFW的入口和出口交换器708,709。然而,在迁移后,IDS iTag能够变成例如对应于IDS-2的2080。可修改在AppFW出口交换器的规则以便与新的源信息一致(例如,如果VM1和VM1'没有相同MAC地址)。
沿着从源到目的地的路径,控制器110基于分组的EEL标记,将规则添加到路径上的每个交换器以向下一中间盒实例转发每个分组710。在规则设置后,交换器能够以VM1迁移前相同的方式根据规则开始路由分组,修改分组的EEL标记。
图7的示例示出安全性措施如何通过迁移持续。VM1'开始发射分组时新规则以与迁移前相同的方式实行。对应于迁移前VM1的旧布置的规则将超时(例如,被丢弃)以便降低在交换器上的负载。即使遍历的安全性设备(即,中间盒实例)与它们在迁移前不相同,安全性链在中间盒类型方面也不会受损害。
图8示出用于弹性实行层在云计算环境中实行安全性策略的方法800的一个实施例。在一个实施例中,方法800可由诸如图1的控制器110的分离式体系结构网络的控制器执行。
在一个实施例中,控制器接收源于源VM的分组(框810)。控制器从分组提取AppID820,其中,AppID识别在源VM上运行的应用。基于AppID,控制器确定中间盒类型的链830。基于云计算环境中资源的当前可用性,控制器将链中的中间盒类型的一个或更多个映射到对应的一个或更多个中间盒实例840,其中,中间盒实例的一个或更多个在分组上执行网络安全性操作。控制器然后将规则的集合添加到交换器以促使交换器经一个或更多个中间盒实例向目的地VM转发分组850,由此在云计算环境中实行网络安全性。在一个实施例中,规则指定交换器要如何处理(例如,压入或弹出)分组携带的EEL标记,并且根据EEL标记路由分组。
图9示出在图1的分离式体系结构网络100中控制器110和交换器120(例如,交换器120A-F)的实施例。要理解的是,上述分离式体系结构网络中的其它控制器(例如,图5的控制器510)和交换器能够分别包括与控制器110和交换器120相同的组件。
在一个实施例中,交换器120根据在存储器950中一个或更多个流表952,充当将分组从入口端口转发到出口端口的转发元件。在一个实施例中,交换器120包括经总线945或另一形式的互连耦合到存储器950、接收器电路960和传送器电路962的处理器940。流表952包含一组流条目,这些流条目能够由控制器110设置以记录用于转发分组和用于处理分组的EEL标记的规则。对于新流中的第一分组,交换器120能够将分组转发到控制器110以触发一个或更多个新流条目到其流表952中的插入。
在一个实施例中,控制器110包括经总线915或另一形式的互连耦合到存储器920、接收器电路930和传送器电路932的处理器910。接收器电路930和传送器电路932提供到云网络中其它控制器、交换器和物理服务器的接口。除其它信息外,存储器920存储交换器信息924和路由选择信息925。交换器信息224存储由控制器110管理的每个交换器的存储器、带宽和位置信息。路由选择信息925存储控制器管理的交换器之间的路径信息。
在一个实施例中,控制器110也包括EEL模块913以执行从转发自其交换器的分组提取AppID,确定中间盒类型、中间盒实例和中间盒实例的IP地址,以及将规则添加到交换器的操作。在一个实施例中,EEL模块913对图2的策略表261、gTag表262和iTag表263具有接入权。这些表可存储在控制器110可接入的存储器920或其它数据存储装置中。
图2-8的操作已参照图9的示范实施例描述。然而,应理解的是,图2-8的操作能根据参照图9讨论的实施例外的本发明的实施例执行,并且参照图9讨论的实施例能执行与参照图4-6讨论的那些操作不同的操作。虽然图2-8示出本发明的某些实施例执行的操作的特定顺序,但应理解的是,此类顺序是示范性的(例如,备选实施例可以用不同的顺序执行操作,组合某些操作,重叠某些操作等)。
本发明的不同实施例可使用软件、固件和/或硬件的不同组合实现。因此,图中所示技术能够使用一个或更多个电子装置(例如,终端站、网络元件)上存储和执行的代码和/或数据来实现。此类电子装置使用计算机可读媒体存储和传送(在内部和/或通过网络与其它电子装置)代码和数据,计算机可读媒体例如非暂时性有形计算机可读媒体(例如,计算机可读存储媒体,如磁盘、光盘、只读存储器、闪存存储器装置)和暂时性计算机可读传送媒体(例如,电、光、声或其它形式的传播信号 - 如载波、红外信号)。另外,此类电子装置一般情况下包括耦合到诸如一个或更多个非暂时性机器可读媒体(以存储代码和/或数据)、用户输入/输出装置(例如,键盘、触摸屏和/或显示器)和网络连接(以使用传播信号传送代码和/或数据)的一个或更多个其它组件的一组一个或更多个处理器。处理器的集合与其它组件的耦合一般情况下是通过一个或更多个总线和桥接器(也称为总线控制器)。因此,给定电子装置的非暂时性计算机可读媒体一般情况下存储指令以便在该电子装置的一个或更多个处理器上执行。本发明的实施例的一个或更多个部分可使用软件、固件和/或硬件的不同组合来实现。
在本文中使用时,网络节点(例如,路由器、交换器、桥接器、控制器)是一件连网设备(包括硬件和软件),其在通信上与网络上的其它设备(例如,其它网络节点、计算机终端站)互连。一些网络节点是“多服务网络节点”,其为多个连网功能(例如,路由选择、桥接、交换、第2层聚合、会话边界控制、服务质量和/或订户管理)提供支持和/或为多个应用服务(例如,数据、话音和视频)提供支持。订户终端站(例如,服务器、工作站、膝上型计算机、上网本、掌上型计算机、移动电话、智能电话、多媒体电话、因特网协议话音(VOIP)电话、用户设备、终端、便携式媒体播放器、GPS单元、游戏系统、机顶盒(STB))访问通过因特网提供的内容/服务和/或覆盖在因特网上(例如,隧穿)的虚拟专用网(VPN)上提供的内容/服务。内容和/或服务一般由属于参与对等服务的服务或内容提供商或终端站的一个或更多个终端站(例如,服务器终端站)提供,并且可例如包括公共网页(例如,免费内容、店面、搜索服务)、私人网页(例如,提供电子邮件服务的用户名/密码访问网页)和/或VPN上的企业网络等。一般情况下,订户终端站耦合(例如,通过耦合到接入网络(以有线或无线方式)的客户驻地设备)到边缘网络节点,所述边缘网络节点耦合(例如通过一个或更多个核心网络节点)到其它边缘网络节点,所述其它边缘网络节点耦合到其它终端站(例如,服务器终端站)。
虽然本发明已根据几个实施例描述,但本领域的技术人员将认识到本发明不限于所述实施例,通过在随附权利要求的精神和范围内的修改和变化,能够实践本发明。描述因此要视为是说明性的而不是限制性的。

Claims (20)

1.一种在分离式体系结构网络中由控制器执行以控制云计算环境的网络连接性的方法,所述分离式体系结构网络包括耦合到所述控制器的多个交换器,其中所述控制器为多个虚拟机(VM)的网络安全性管理策略实行,所述多个VM包括在所述云计算环境中执行应用并且经所述分离式体系结构网络交换数据的源VM和目的地VM,所述方法包括以下步骤:
-由所述控制器接收源于所述源VM的分组;
-由所述控制器从所述接收的分组中提取应用标识符,所述应用标识符识别在所述源VM上运行的应用;
-由所述控制器基于所述应用标识符确定中间盒类型的链;
-由所述控制器基于所述云计算环境中资源的当前可用性,将所述链中所述中间盒类型的一个或更多个映射到对应的一个或更多个中间盒实例,其中所述中间盒实例的一个或更多个在所述分组上执行网络安全性操作;以及
-由所述控制器将规则的集合添加到所述交换器以促使所述交换器经所述一个或更多个中间盒实例向所述目的地VM转发所述分组,由此在所述云计算环境中实行网络安全性。
2.如权利要求1所述的方法,其中所述源VM和所述目的地VM均由所述控制器控制,所述确定的步骤还包括以下步骤:
-将中间盒类型的所述链映射到中间盒实例的链;以及
-将规则的所述集合添加到所述交换器以促使所述交换器经中间盒实例的所述链将所述分组转发到所述目的地VM。
3.如权利要求1所述的方法,其中所述源VM在所述控制器控制的第一区域中,并且所述目的地VM在第二控制器控制的第二区域中,所述映射的步骤还包括以下步骤:
-由所述控制器将中间盒类型的所述链中的中间盒类型的子集映射到中间盒实例的子集;以及
-将中间盒类型的所述链中剩余中间盒类型的映射推迟到所述第二控制器。
4.如权利要求1所述的方法,其中所述添加的步骤还包括将单个规则添加到所述交换器中给定的一个交换器以促使所述给定交换器根据所述单个规则向相同中间盒实例路由分组的步骤,其中所述分组具有源于不同VM或去往不同VM的不同应用标识符。
5.如权利要求1所述的方法,还包括以下步骤:
-接收源于已从第一物理服务器迁移到第二物理服务器的所述源VM的第二分组;
-从所述第二分组提取应用标识符,所述应用标识符与所述源VM迁移前相同;以及
-将所述应用标识符映射到与所述源VM的所述迁移前相同的中间盒类型的链。
6.如权利要求5所述的方法,其中在所述源VM的所述迁移之前和之后,相同中间盒类型映射到不同中间盒实例。
7.如权利要求1所述的方法,其中在所述源VM迁移到不同物理服务器后,所述源VM发射的分组携带的所述应用标识符保持相同。
8.如权利要求1所述的方法,其中所述规则之一指定所述中间盒实例的一个给定中间盒实例的入口交换器要弹出由所述分组携带的标记,所述标记具有指向所述给定中间盒实例的值。
9.如权利要求1所述的方法,其中所述规则之一指定所述中间盒实例的一个给定中间盒实例的出口交换器要压入由所述分组携带的标记,所述标记具有指向下一中间盒实例的值,所述出口交换器要向所述下一中间盒实例发送所述分组。
10.如权利要求1所述的方法,还包括以下步骤:
-将所述链中的中间盒类型映射到中间盒实例的集合;
-从所述集合中选择中间盒实例;以及
-识别选择的所述中间盒实例的因特网协议(IP)地址。
11.一种在分离式体系结构网络中充当控制器以控制云计算环境的网络连接性的网络节点,所述分离式体系结构网络包括耦合到所述控制器的多个交换器,其中所述控制器为多个虚拟机(VM)的网络安全性管理策略实行,所述多个VM包括在所述云计算环境中执行应用并且经所述分离式体系结构网络交换数据的源VM和目的地VM,所述控制器包括:
-接收器电路,配置成接收源于所述源VM的分组;以及
-耦合到所述接收器电路和存储器的处理器,所述处理器还包括弹性实行模块,所述弹性实行模块配置成
从所述接收的分组中提取应用标识符,所述应用标识符识别在所述源VM上运行的应用;
基于所述应用标识符确定中间盒类型的链;以及
基于所述云计算环境中资源的当前可用性,将所述链中所述中间盒类型的一个或更多个映射到对应的一个或更多个中间盒实例,其中所述中间盒实例的一个或更多个在所述分组上执行网络安全性操作;以及
-耦合到所述处理器的传送器电路,所述传送器电路配置成将规则的集合发送到所述交换器以促使所述交换器经所述一个或更多个中间盒实例向所述目的地VM转发所述分组,由此在所述云计算环境中实行网络安全性。
12.如权利要求11所述的网络节点,其中所述源VM和所述目的地VM均由所述控制器控制,以及其中所述控制器还配置成将中间盒类型的所述链映射到中间盒实例的链,以及将规则的所述集合添加到所述交换器以促使所述交换器经中间盒实例的所述链将所述分组转发到所述目的地VM。
13.如权利要求11的所述的网络节点,其中所述源VM在所述控制器控制的第一区域中,并且所述目的地VM在第二控制器控制的第二区域中,以及其中所述控制器还配置成将中间盒类型的所述链中的中间盒类型的子集映射到中间盒实例的子集,以及将中间盒类型的所述链中剩余中间盒类型的映射推迟到所述第二控制器。
14.如权利要求11所述的网络节点,其中所述控制器还配置成将单个规则添加到所述交换器中的一个给定交换器以促使所述给定交换器根据所述单个规则向相同中间盒实例路由分组,其中所述分组具有源于不同VM或去往不同VM的不同应用标识符。
15.如权利要求11所述的网络节点,其中所述控制器还配置成接收源于已从第一物理服务器迁移到第二物理服务器的所述源VM的第二分组,从所述第二分组提取所述应用标识符,所述应用标识符与所述源VM迁移前相同,以及将所述应用标识符映射到与所述源VM的所述迁移前相同的中间盒类型的链。
16.如权利要求15所述的网络节点,其中在所述源VM的所述迁移之前和之后,相同中间盒类型映射到不同中间盒实例。
17.如权利要求11所述的网络节点,其中在所述源VM迁移到不同物理服务器后,所述源VM发射的分组携带的所述应用标识符保持相同。
18.如权利要求11所述的网络节点,其中所述规则之一指定所述中间盒实例的一个给定中间盒实例的入口交换器要弹出由所述分组携带的标记,所述标记具有指向所述给定中间盒实例的值。
19.如权利要求11所述的网络节点,其中所述规则之一指定所述中间盒实例的一个给定中间盒实例的出口交换器要压入由所述分组携带的标记,所述标记具有指向下一中间盒实例的值,所述出口交换器要向所述下一中间盒实例发送所述分组。
20.如权利要求11所述的网络节点,其中所述控制器还配置成将所述链中的中间盒类型映射到中间盒实例的集合,从所述集合中选择中间盒实例,以及识别选择的所述中间盒实例的因特网协议(IP)地址。
CN201380030790.1A 2012-06-12 2013-06-11 用于使用sdn的云安全性的弹性实行层 Expired - Fee Related CN104350467B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/494637 2012-06-12
US13/494,637 US9304801B2 (en) 2012-06-12 2012-06-12 Elastic enforcement layer for cloud security using SDN
PCT/IB2013/054794 WO2013186712A1 (en) 2012-06-12 2013-06-11 Elastic enforcement layer for cloud security using sdn

Publications (2)

Publication Number Publication Date
CN104350467A CN104350467A (zh) 2015-02-11
CN104350467B true CN104350467B (zh) 2018-01-02

Family

ID=48951479

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380030790.1A Expired - Fee Related CN104350467B (zh) 2012-06-12 2013-06-11 用于使用sdn的云安全性的弹性实行层

Country Status (4)

Country Link
US (1) US9304801B2 (zh)
EP (1) EP2859444B1 (zh)
CN (1) CN104350467B (zh)
WO (1) WO2013186712A1 (zh)

Families Citing this family (152)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8300798B1 (en) 2006-04-03 2012-10-30 Wai Wu Intelligent communication routing system and method
EP2586137B1 (en) 2010-06-23 2017-03-22 Telefonaktiebolaget LM Ericsson (publ) Reference signal interference management in heterogeneous network deployments
US9124538B2 (en) * 2011-08-17 2015-09-01 Nicira, Inc. Dynamic generation of flow entries for last-hop processing
US9602404B2 (en) 2011-08-17 2017-03-21 Nicira, Inc. Last-hop processing for reverse direction packets
EP3373560B1 (en) 2011-11-15 2022-08-10 Nicira Inc. Network control system for configuring middleboxes
US9686232B2 (en) * 2012-06-25 2017-06-20 Connectify, Inc. Network address translating router for mobile networking
US9104492B2 (en) * 2012-09-04 2015-08-11 Wisconsin Alumni Research Foundation Cloud-based middlebox management system
US9787570B2 (en) * 2012-10-17 2017-10-10 Verizon Patent And Licensing Inc. Dynamic feature peer network for application flows
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
US9413667B2 (en) * 2013-02-15 2016-08-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods and network nodes for traffic steering based on per-flow policies
ES2825061T3 (es) 2013-03-15 2021-05-14 Huawei Tech Co Ltd Método para procesamiento de paquetes y dispositivo y sistema de paquetes
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
US9686192B2 (en) 2013-06-28 2017-06-20 Niciria, Inc. Network service slotting
US9344349B2 (en) 2013-07-12 2016-05-17 Nicira, Inc. Tracing network packets by a cluster of network controllers
US9407580B2 (en) * 2013-07-12 2016-08-02 Nicira, Inc. Maintaining data stored with a packet
US9282019B2 (en) 2013-07-12 2016-03-08 Nicira, Inc. Tracing logical network packets through physical network
US9887960B2 (en) 2013-08-14 2018-02-06 Nicira, Inc. Providing services for logical networks
US9952885B2 (en) 2013-08-14 2018-04-24 Nicira, Inc. Generation of configuration files for a DHCP module executing within a virtualized container
US20150055456A1 (en) 2013-08-26 2015-02-26 Vmware, Inc. Traffic and load aware dynamic queue management
US9548965B2 (en) 2013-08-26 2017-01-17 Nicira, Inc. Proxy methods for suppressing broadcast traffic in a network
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9785455B2 (en) 2013-10-13 2017-10-10 Nicira, Inc. Logical router
US9998530B2 (en) 2013-10-15 2018-06-12 Nicira, Inc. Distributed global load-balancing system for software-defined data centers
US10178017B2 (en) 2013-12-18 2019-01-08 Telefonaktiebolaget Lm Ericsson (Publ) Method and control node for handling data packets
US11349806B2 (en) 2013-12-19 2022-05-31 Vmware, Inc. Methods, apparatuses and systems for assigning IP addresses in a virtualized environment
CN104811382B (zh) * 2014-01-28 2018-05-29 华为技术有限公司 数据包的处理方法与装置
WO2015113283A1 (zh) * 2014-01-29 2015-08-06 华为技术有限公司 节点间通信处理方法及路由确定节点
US10057177B2 (en) * 2014-02-05 2018-08-21 Nokia Solutions And Networks Oy Service offloading in communications
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9893988B2 (en) 2014-03-27 2018-02-13 Nicira, Inc. Address resolution using multiple designated instances of a logical router
US9825854B2 (en) 2014-03-27 2017-11-21 Nicira, Inc. Host architecture for efficient cloud service access
US9338091B2 (en) 2014-03-27 2016-05-10 Nicira, Inc. Procedures for efficient cloud service access in a system with multiple tenant logical networks
US9794186B2 (en) 2014-03-27 2017-10-17 Nicira, Inc. Distributed network address translation for efficient cloud service access
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9582308B2 (en) 2014-03-31 2017-02-28 Nicira, Inc. Auto detecting legitimate IP addresses using spoofguard agents
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
CN105099960B (zh) 2014-04-30 2018-03-16 国际商业机器公司 用于实现服务链的方法和装置
US20160352731A1 (en) * 2014-05-13 2016-12-01 Hewlett Packard Enterprise Development Lp Network access control at controller
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9613218B2 (en) 2014-06-30 2017-04-04 Nicira, Inc. Encryption system in a virtualized environment
US10250443B2 (en) 2014-09-30 2019-04-02 Nicira, Inc. Using physical location to modify behavior of a distributed virtual network element
US9774537B2 (en) 2014-09-30 2017-09-26 Nicira, Inc. Dynamically adjusting load balancing
US10511458B2 (en) 2014-09-30 2019-12-17 Nicira, Inc. Virtual distributed bridging
US10516568B2 (en) 2014-09-30 2019-12-24 Nicira, Inc. Controller driven reconfiguration of a multi-layered application or service model
US9755898B2 (en) 2014-09-30 2017-09-05 Nicira, Inc. Elastically managing a service node group
US10469342B2 (en) 2014-10-10 2019-11-05 Nicira, Inc. Logical network traffic analysis
CN104253820B (zh) * 2014-10-16 2018-10-16 北京邮电大学 软件定义网安全控制系统和控制方法
US10285110B2 (en) 2014-11-04 2019-05-07 At&T Intellectual Property I, L.P. Intelligent traffic routing
US10044617B2 (en) 2014-11-14 2018-08-07 Nicira, Inc. Stateful services on stateless clustered edge
US9866473B2 (en) 2014-11-14 2018-01-09 Nicira, Inc. Stateful services on stateless clustered edge
US9876714B2 (en) 2014-11-14 2018-01-23 Nicira, Inc. Stateful services on stateless clustered edge
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9705785B2 (en) * 2014-12-19 2017-07-11 Wisconsin Alumni Research Foundation Cloud architecture with state-saving middlebox scaling
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
TW201624277A (zh) 2014-12-31 2016-07-01 萬國商業機器公司 協助虛擬機器即時遷移的方法
CN104811476B (zh) * 2015-03-26 2018-01-09 南京大学 一种面向应用服务的高可用部署实现方法
US10594743B2 (en) 2015-04-03 2020-03-17 Nicira, Inc. Method, apparatus, and system for implementing a content switch
CN106161399B (zh) * 2015-04-21 2019-06-07 新华三技术有限公司 一种安全服务交付方法及系统
US9866552B2 (en) 2015-05-08 2018-01-09 International Business Machines Corporation Network authentication of a geo-fenced volume
EP3104563B1 (en) * 2015-06-10 2019-10-16 Nokia Solutions and Networks GmbH & Co. KG Sdn security
US9756121B2 (en) 2015-06-24 2017-09-05 International Business Machines Corporation Optimizing routing and load balancing in an SDN-enabled cloud during enterprise data center migration
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10348625B2 (en) 2015-06-30 2019-07-09 Nicira, Inc. Sharing common L2 segment in a virtual distributed router environment
US10084807B2 (en) 2015-10-16 2018-09-25 Microsoft Technology Licensing, Llc. Detection of bypass vulnerabilities
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
US9967288B2 (en) * 2015-11-05 2018-05-08 International Business Machines Corporation Providing a common security policy for a heterogeneous computer architecture environment
US9654513B1 (en) 2015-11-30 2017-05-16 International Business Machines Corporation Automated network security policy deployment in a dynamic environment
US9967257B2 (en) 2016-03-16 2018-05-08 Sprint Communications Company L.P. Software defined network (SDN) application integrity
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10484515B2 (en) 2016-04-29 2019-11-19 Nicira, Inc. Implementing logical metadata proxy servers in logical networks
US10841273B2 (en) 2016-04-29 2020-11-17 Nicira, Inc. Implementing logical DHCP servers in logical networks
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US10243845B2 (en) 2016-06-02 2019-03-26 International Business Machines Corporation Middlebox tracing in software defined networks
US10440058B2 (en) 2016-06-09 2019-10-08 LGS Innovations LLC Methods and systems for controlling traffic to VPN servers
US10637890B2 (en) * 2016-06-09 2020-04-28 LGS Innovations LLC Methods and systems for establishment of VPN security policy by SDN application
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
CN106130776A (zh) * 2016-07-14 2016-11-16 深圳市永达电子信息股份有限公司 一种基于CloudStack云平台利用SDN技术对虚拟机和物理服务器进行混合管控的方法
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US9762619B1 (en) 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US11895177B2 (en) 2016-09-30 2024-02-06 Wisconsin Alumni Research Foundation State extractor for middlebox management system
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
WO2018106612A1 (en) 2016-12-06 2018-06-14 Nicira, Inc. Performing context-rich attribute-based services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10645123B1 (en) * 2016-12-28 2020-05-05 Juniper Networks, Inc. Network traffic switching for virtual machines
US10200306B2 (en) 2017-03-07 2019-02-05 Nicira, Inc. Visualization of packet tracing operation results
US10257152B2 (en) * 2017-03-10 2019-04-09 Nicira, Inc. Suppressing ARP broadcasting in a hypervisor
US11429410B2 (en) * 2017-05-09 2022-08-30 Vmware, Inc. Tag based firewall implementation in software defined networks
US11570092B2 (en) 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) * 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
US10608887B2 (en) 2017-10-06 2020-03-31 Nicira, Inc. Using packet tracing tool to automatically execute packet capture operations
US10797966B2 (en) 2017-10-29 2020-10-06 Nicira, Inc. Service operation chaining
US10511459B2 (en) 2017-11-14 2019-12-17 Nicira, Inc. Selection of managed forwarding element for bridge spanning multiple datacenters
US10374827B2 (en) 2017-11-14 2019-08-06 Nicira, Inc. Identifier that maps to different networks at different datacenters
US11012420B2 (en) 2017-11-15 2021-05-18 Nicira, Inc. Third-party service chaining using packet encapsulation in a flow-based forwarding element
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
CN107920023B (zh) * 2017-12-29 2021-01-19 深信服科技股份有限公司 一种安全资源池的实现方法及系统
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US10659252B2 (en) 2018-01-26 2020-05-19 Nicira, Inc Specifying and utilizing paths through a network
US10797910B2 (en) 2018-01-26 2020-10-06 Nicira, Inc. Specifying and utilizing paths through a network
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US10728174B2 (en) 2018-03-27 2020-07-28 Nicira, Inc. Incorporating layer 2 service between two interfaces of gateway device
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
US11102186B2 (en) * 2018-04-26 2021-08-24 Vmware, Inc. Packet capture in software-defined networking (SDN) environments
US11595250B2 (en) 2018-09-02 2023-02-28 Vmware, Inc. Service insertion at logical network gateway
US10944673B2 (en) 2018-09-02 2021-03-09 Vmware, Inc. Redirection of data messages at logical network gateway
US11086654B2 (en) 2019-02-22 2021-08-10 Vmware, Inc. Providing services by using multiple service planes
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11283717B2 (en) 2019-10-30 2022-03-22 Vmware, Inc. Distributed fault tolerant service chain
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11223494B2 (en) 2020-01-13 2022-01-11 Vmware, Inc. Service insertion for multicast traffic at boundary
US11283699B2 (en) 2020-01-17 2022-03-22 Vmware, Inc. Practical overlay network latency measurement in datacenter
US11153406B2 (en) 2020-01-20 2021-10-19 Vmware, Inc. Method of network performance visualization of service function chains
US11659061B2 (en) 2020-01-20 2023-05-23 Vmware, Inc. Method of adjusting service function chains to improve network performance
US11496437B2 (en) 2020-04-06 2022-11-08 Vmware, Inc. Selective ARP proxy
US11438257B2 (en) 2020-04-06 2022-09-06 Vmware, Inc. Generating forward and reverse direction connection-tracking records for service paths at a network edge
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11196628B1 (en) 2020-07-29 2021-12-07 Vmware, Inc. Monitoring container clusters
US11570090B2 (en) 2020-07-29 2023-01-31 Vmware, Inc. Flow tracing operation in container cluster
US11558426B2 (en) 2020-07-29 2023-01-17 Vmware, Inc. Connection tracking for container cluster
US11829793B2 (en) 2020-09-28 2023-11-28 Vmware, Inc. Unified management of virtual machines and bare metal computers
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11611625B2 (en) 2020-12-15 2023-03-21 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11736436B2 (en) 2020-12-31 2023-08-22 Vmware, Inc. Identifying routes with indirect addressing in a datacenter
US11336533B1 (en) 2021-01-08 2022-05-17 Vmware, Inc. Network visualization of correlations between logical elements and associated physical elements
US11805101B2 (en) 2021-04-06 2023-10-31 Vmware, Inc. Secured suppression of address discovery messages
US11799785B2 (en) 2021-04-09 2023-10-24 Microsoft Technology Licensing, Llc Hardware-based packet flow processing
CN117203615A (zh) 2021-04-09 2023-12-08 微软技术许可有限责任公司 经由分发扩展主机策略
US11757782B2 (en) * 2021-04-09 2023-09-12 Microsoft Technology Licensing, Llc Architectures for disaggregating SDN from the host
US11687210B2 (en) 2021-07-05 2023-06-27 Vmware, Inc. Criteria-based expansion of group nodes in a network topology visualization
US11711278B2 (en) 2021-07-24 2023-07-25 Vmware, Inc. Visualization of flow trace operation across multiple sites
US11855862B2 (en) 2021-09-17 2023-12-26 Vmware, Inc. Tagging packets for monitoring and analysis
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
US11962564B2 (en) 2022-02-15 2024-04-16 VMware LLC Anycast address for network address translation at edge
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800730A (zh) * 2009-02-09 2010-08-11 国际商业机器公司 安全增强的虚拟机通信方法和虚拟机系统

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8095668B2 (en) * 2001-11-09 2012-01-10 Rockstar Bidco Lp Middlebox control
US8732182B2 (en) * 2004-12-02 2014-05-20 Desktopsites Inc. System and method for launching a resource in a network
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US20100020809A1 (en) * 2008-07-25 2010-01-28 Micrel, Inc. True Ring Networks Using Tag VLAN Filtering
US8955107B2 (en) * 2008-09-12 2015-02-10 Juniper Networks, Inc. Hierarchical application of security services within a computer network
CN102460393B (zh) * 2009-05-01 2014-05-07 思杰系统有限公司 用于在虚拟存储资源之间建立云桥的系统和方法
US9210065B2 (en) 2009-06-22 2015-12-08 Alcatel Lucent Providing cloud-based services using dynamic network virtualization
US8566822B2 (en) * 2009-07-22 2013-10-22 Broadcom Corporation Method and system for distributing hypervisor functionality over multiple physical devices in a network and configuring sub-hypervisor to control the virtual machines
WO2011037104A1 (ja) * 2009-09-24 2011-03-31 日本電気株式会社 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法
US8369333B2 (en) 2009-10-21 2013-02-05 Alcatel Lucent Method and apparatus for transparent cloud computing with a virtualized network infrastructure
US20110126197A1 (en) * 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US8705513B2 (en) * 2009-12-15 2014-04-22 At&T Intellectual Property I, L.P. Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks
WO2011074630A1 (ja) * 2009-12-17 2011-06-23 日本電気株式会社 負荷分散システム、負荷分散方法、負荷分散システムを構成する装置およびプログラム
US8599854B2 (en) * 2010-04-16 2013-12-03 Cisco Technology, Inc. Method of identifying destination in a virtual environment
US8407366B2 (en) * 2010-05-14 2013-03-26 Microsoft Corporation Interconnecting members of a virtual network
US8954564B2 (en) * 2010-05-28 2015-02-10 Red Hat, Inc. Cross-cloud vendor mapping service in cloud marketplace
US8718070B2 (en) * 2010-07-06 2014-05-06 Nicira, Inc. Distributed network virtualization apparatus and method
US8923294B2 (en) * 2011-06-28 2014-12-30 Polytechnic Institute Of New York University Dynamically provisioning middleboxes
US8954704B2 (en) * 2011-08-12 2015-02-10 International Business Machines Corporation Dynamic network adapter memory resizing and bounding for virtual function translation entry storage
US20130304927A1 (en) * 2012-05-14 2013-11-14 King Abdulaziz City For Science And Technology Network address translation-based method of bypassing internet access denial

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800730A (zh) * 2009-02-09 2010-08-11 国际商业机器公司 安全增强的虚拟机通信方法和虚拟机系统

Also Published As

Publication number Publication date
US20130332983A1 (en) 2013-12-12
WO2013186712A1 (en) 2013-12-19
CN104350467A (zh) 2015-02-11
EP2859444B1 (en) 2016-09-14
EP2859444A1 (en) 2015-04-15
US9304801B2 (en) 2016-04-05

Similar Documents

Publication Publication Date Title
CN104350467B (zh) 用于使用sdn的云安全性的弹性实行层
US10999189B2 (en) Route optimization using real time traffic feedback
US20240049108A1 (en) Network provisioning
CN105765946B (zh) 支持数据网络中的服务链接的方法和系统
CN104717137B (zh) 管理覆盖网络中的数据流的方法和系统
CN105051688B (zh) 经扩展的标记联网
CN104780088B (zh) 一种业务报文的传输方法和设备
US11178594B2 (en) Systems and methods for routing data
CN103917967B (zh) 用于配置中间盒的网络控制系统
JP6248938B2 (ja) 通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラム
CN108055878A (zh) 使用边界网关协议来向外部应用揭示最大分段标识符深度
EP3210347B1 (en) Pre-built match-action tables
CN105591978A (zh) 基于网络的服务功能链接
CN105122748A (zh) 实现链路聚合组的对话敏感收集的方法和系统
CN107733670A (zh) 一种转发策略配置方法和装置
CN106936715A (zh) 虚拟机报文控制方法及装置
CN105191215A (zh) 双向服务链的数据平面学习
US11102169B2 (en) In-data-plane network policy enforcement using IP addresses
CN108768692A (zh) 一种网络创建方法、相关设备及系统
CN109691026A (zh) 用于更新多个多协议标签切换(mpls)双向转发检测(bfd)会话的方法和装置
US11716250B2 (en) Network scale emulator
CN112822104A (zh) 一种数据报文的处理方法、设备、存储介质及系统
CN106027396B (zh) 一种路由控制方法、装置和系统
CN108400922A (zh) 虚拟局域网络配置系统与方法及其计算机程序产品
CN107896188A (zh) 数据转发方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180102

Termination date: 20200611

CF01 Termination of patent right due to non-payment of annual fee