CN104685500A - 向虚拟覆盖网络流量提供服务 - Google Patents
向虚拟覆盖网络流量提供服务 Download PDFInfo
- Publication number
- CN104685500A CN104685500A CN201380051326.0A CN201380051326A CN104685500A CN 104685500 A CN104685500 A CN 104685500A CN 201380051326 A CN201380051326 A CN 201380051326A CN 104685500 A CN104685500 A CN 104685500A
- Authority
- CN
- China
- Prior art keywords
- grouping
- physical switches
- communication path
- security policies
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,一种在覆盖网络中应用安全性策略的方法包括:通过覆盖网络接收通信路径的请求,所述请求包括分组,基于下列中的至少一项确定安全性策略是否要应用于所述分组:所述分组的内容、第一信息和第二信息;选择源物理交换机和目的地物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述源物理交换机连接到所述目的地物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述源物理交换机连接到所述目的地物理交换机,并且将所选择的通信路径发送至所述源物理交换机。
Description
技术领域
本发明涉及数据中心基础设施,更具体地,本发明涉及向数据中心中的虚拟覆盖网络流量提供深度分组检测服务(deep packet inspection services)。
背景技术
例如虚拟可扩展局域网(VXLAN)、分布式覆盖虚拟化以太网(DOVE)和其他的虚拟覆盖网络(Virtual Overlay Networks)利用在原始网络分组之上的分组中封装的协议头创建位置透明性。由于额外的封装协议头,例如物理基础架构路由器、交换机和其它现有的或传统的网络间组件(INEs)不可能确定来自原始分组内部的信息。这是因为在覆盖协议头内部的原始分组被封装为传统INEs的传统数据有效载荷。此外,这种对原始分组缺乏可见性阻止INEs实现复杂的网络安全性和服务。
协议像VXLAN使用用户数据报协议/网际协议(UDP/IP)来封装通过物理网络传输的源以太分组。源以太分组通过从发起者到最近的VXLAN网关的网络被隧道化。VXLAN网关将虚拟网络连接至非虚拟网络(具有物理组件的传统网络)。由于VXLAN网关理解(能够处理)VXLAN协议和隧道,它们有能力识别被封装的分组。
而且,在例如VXLAN或DOVE网络的覆盖网络中的属于公共租户(例如网络资源的单个用户例如公司、代理、个人等)的虚拟机可以被分成组(例如在VXLAN中具有不同虚拟网络标识符(VNID)的虚拟网络,在DOVE中具有不同域标识符或DOVE虚拟组(DVG)的域),这样可以应用安全性策略规则来控制属于不同组的虚拟机之间的通信。应用安全性策略的一个典型的方法是使用在网络上可以访问的并且有能力应用特定安全性服务的物理安全性设备。
因此,为了将安全性服务应用于覆盖网络流量,流量必须被路由到物理安全性设备。然而,中间网络设备例如交换机、路由器等对覆盖流量不可见,因此不能理解一些流量应该被路由至物理安全性设备,而其它流量应该直接被路由至指定的目的地地址。
因此,一种允许适当的覆盖流量的方法和网络架构将是非常有益的,其中适当的覆盖流量需要应用的安全性服务被路由至物理安全性设备,从而直接路由于源虚拟机和目的地虚拟机之间的其它流量。
发明内容
在一个实施例中,一种在覆盖网络中应用安全性策略的方法包括:通过覆盖网络接收通信路径的请求,所述请求由所述覆盖网络中的第一物理交换机发送,其中所述第一物理交换机连接到分组的源,其中所述请求至少包括:分组,第一信息和第二信息;确定连接到所述分组的目的地的第二物理交换机;基于下列中的至少一项确定安全性策略是否要应用于所述分组:所述分组的内容,第一信息和第二信息,选择所述第一物理交换机和所述第二物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;以及将所选择的通信路径发送至所述第一物理交换机。
在另一个实施例中,一种系统包括:将第一物理交换机连接到第二物理交换机的覆盖网络;与所述第一物理交换机和所述第二物理交换机通信的交换机控制器;安全设备,适于将安全性策略应用于通过所述覆盖网络发送的分组;连接到所述第一物理交换机的至少一个第一服务器,该第一服务器托管至少一个源虚拟机;连接到所述第二物理交换机的至少一个第二服务器,所述第二服务器托管至少一个目的地虚拟机;以及虚拟网络控制器,与至少一个所述第一物理交换机、所述第二物理交换机以及该覆盖网络通信,其中所述虚拟网络控制器包括:适于通过覆盖网络接收通信路径的请求的逻辑,所述请求由该覆盖网络中的第一物理交换机发送并包括以下中的至少一个:分组、关于产生所述分组的所述源虚拟机(VM)的第一信息和关于所述分组的目的地的第二信息;适于确定连接到所述分组的目的地的第二物理交换机的逻辑;适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、第一信息和第二信息;适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机;以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机;以及适于将所选择的通信路径发送至所述第一物理交换机的逻辑。
在另一实施例中,一种在覆盖网络中应用安全性策略的计算机程序产品可以包括其上具有计算机程序代码的计算机可读存储介质,该计算机可读程序代码包括:被配置为通过覆盖网络接收通信路径的请求的计算机可读程序代码,所述请求由该覆盖网络中的第一物理交换机发送,其中所述第一物理交换机连接到所述分组的源,其中所述请求至少包括:分组、第一信息和第二信息;被配置为确定连接到所述分组的目的地的第二物理交换机的计算机可读程序代码;被配置为基于下列中的至少一项确定安全性策略是否要应用于所述分组的计算机可读程序代码:所述分组的内容、所述第一信息和所述第二信息;被配置为选择第一物理交换机和第二物理交换机之间的通信路径的计算机可读程序代码,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;以及被配置为将所选择的通信路径发送至所述第一物理交换机的计算机可读程序代码。
根据又一实施例,一种虚拟网络控制器包括:适于通过连接第一物理交换机和第二物理交换机的覆盖网络接收通信路径的请求的逻辑,所述请求由所述第一物理交换机发送并包括以下中的至少一个:分组、关于所述分组的源的第一信息和关于所述分组的目的地的第二信息;适于确定连接到所述第二物理交换机的所述分组的目的地的逻辑,适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、所述第一信息和所述第二信息,适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机,适于将所选择的通信路径发送至所述第一物理交换机的逻辑,其中所述虚拟网络控制器遵照分布式覆盖虚拟化以太网DOVE标准。
本发明的其他方面及实施例根据下面的详细描述并结合附图来考虑将变得明了,该具体实施方式部分以实例的方式来说明本发明的原理。
附图说明
图1示出根据本发明一个实施例的网络架构。
图2示出根据一个实施例与图1的服务器和/或客户机相关的代表性硬件环境。
图3是根据一个实施例的虚拟化数据中心的简化图。
图4是根据一个实施例的具有利用分布式覆盖虚拟化以太网(DOVE)的覆盖网络的简化系统图。
图5是根据一个实施例的连接顺序图。
图6示出根据一个实施例的分组转发不同阶段的包头。
图7是根据一个实施例的方法流程图。
具体实施方式
下面的描述是用于说明本发明的一般原理的目的,并不意味着限制所要求保护的发明概念。此外,本文中描述的特定特征可以与各种可能的组合和排列中的其它描述的特征组合使用。
除非本文另有特别定义,所有术语都被赋予最宽可能的解释,包括说明书暗示的以及由本领域技术人员理解的含义和/或在字典、论文等中定义。
还必须注意,如在说明书和所附权利要求书中所使用的单数形式的“一个”和“该”包括复数对象,除非另有规定。
在一个一般的实施例,一种在覆盖网络中应用安全性策略的方法包括:通过覆盖网络接收通信路径的请求,所述请求由该覆盖网络中的第一物理交换机发送,其中该第一物理交换机连接到分组的源,其中所述请求至少包括:分组,第一信息和第二信息;确定连接到所述分组的目的地的第二物理交换机,基于下列中的至少一项,确定安全性策略是否要应用于所述分组:所述分组的内容,所述第一信息和所述第二信息,选择所述第一物理交换机和所述第二物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;以及将所选择的通信路径发送至所述第一物理交换机。
在另一个一般实施例中,一种系统包括:将第一物理交换机连接到第二物理交换机的覆盖网络;与所述第一物理交换机和所述第二物理交换机通信的交换机控制器;安全设备,适于将安全性策略应用于通过所述覆盖网络发送的分组;连接到所述第一物理交换机的至少一个第一服务器,所述第一服务器托管至少一个源虚拟机;连接到所述第二物理交换机的至少一个第二服务器,所述第二服务器托管至少一个目的地虚拟机;以及虚拟网络控制器,与至少一个所述第一物理交换机、所述第二物理交互机以及所述覆盖网络通信,其中所述虚拟网络控制器包括:适于通过覆盖网络接收通信路径的请求的逻辑,所述请求由该覆盖网络中的第一物理交换机发送并包括以下中的至少一个:分组、关于产生所述分组的所述源VM的第一信息和关于所述分组的目的地的第二信息;适于确定连接到所述分组的目的地的第二物理交换机的逻辑;适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、所述第一信息和所述第二信息,适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机;以及其中当确定安全性策略应用所述分组时,所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机;以及适于将所选择的通信路径发送至所述第一物理交换机的逻辑。
在另一一般实施例,一种在覆盖网络中应用安全性策略的计算机程序产品可以包括其上具有计算机程序代码的计算机可读存储介质,该计算机可读程序代码包括:被配置为通过覆盖网络接收通信路径的请求的计算机可读程序代码,所述请求由该覆盖网络中的第一物理交换机发送,其中该第一物理交换机连接到所述分组的源,其中所述请求至少包括:分组,第一信息和第二信息;被配置为确定连接到所述分组的目的地的第二物理交换机的计算机可读程序代码;被配置为基于下列中的至少一项确定安全性策略是否要应用于所述分组的计算机可读程序代码:所述分组的内容,所述第一信息和所述第二信息;被配置为选择第一物理交换机和第二物理交换机之间的通信路径的计算机可读程序代码,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;以及被配置为将所选择的通信路径发送至所述第一物理交换机的计算机可读程序代码。
根据又一一般实施例,一种虚拟网络控制器包括:适于通过连接第一物理交换机和第二物理交换机的覆盖网络接收通信路径的请求的逻辑,所述请求由所述第一物理交换机发送并包括以下中的至少一个:分组,关于所述分组的源的第一信息,和关于所述分组的目的地的第二信息;适于确定连接到所述第二物理交换机的所述分组的目的地的逻辑,适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、所述第一信息和所述第二信息;适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;适于将所选择的通信路径发送至所述第一物理交换机的逻辑,其中所述虚拟网络控制器遵照分布式覆盖虚拟化以太网DOVE标准。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“逻辑”、“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者非瞬时性计算机可读存储介质。非瞬时性计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。非瞬时性计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,非瞬时性计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是非瞬时性计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件例如具有一个或多个电线的电连接、光纤等使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机或服务器可以通过任意种类的网络——包括局域网(LAN)、存储区域网络(SAN)或广域网(WAN)或虚拟网络—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商ISP来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
图1示出根据本发明一个实施例的网络架构100。如图1所示,提供包括第一远程网络104和第二远程网络106的多个远程网络102。可以在远程网络102和邻近网络108之间耦合的网关101。在本网络架构100的环境,网络104、106每一个可以采用任何形式,并不限于LAN、VLAN、WAN例如因特网、公共交换电话网络(PSTN)、内部电话网络等等。
在使用中,网关101用作远程网络102到邻近网络108的入口点。因此,网关101可作为路由器,能够引导到达网关101的给定的分组,以及开关,其提供给定分组进出网关101的实际路径。
还包括耦接到邻近网络108的至少一个数据服务器114,远程网络102通过网关101可以访问数据服务器114。应该注意,数据服务器114可以包括任何类型的计算装置/组合件。多个用户设备116耦接至每个数据服务器114。这种用户设备116可以包括台式电脑、笔记本电脑、掌上电脑、打印机和/或任何其它类型的逻辑包含设备(logic-containing device)。应该注意,在一些实施例中,用户设备111也可以直接耦接到任何网络。
外围120或一系列外围设备120,例如传真机、打印机、扫描仪、硬盘驱动器、网络和/或本地存储单元或系统等可以耦接到一个或多个网络104,106,108。应当注意,数据库和/或其他组件可以被使用或集成到耦接到网络104、106和108的任何类型的网络元件。在本描述的上下文中,网络元件可以指网络的任何组件。
根据一些方案在此描述的方法和系统可以用虚拟系统和/或模拟一个或多个其它系统的系统来实现,例如模拟IBM z/OS环境的UNIX系统,UNIX系统虚拟托管MICROSOFT WINDOWS环境,模拟IBM z/OS环境的MICROSOFTWINDOWS系统等等。在一些实施例中,这个虚拟化和/或模拟可以通过使用VMWARE软件来自增强。
在更多方案中,一个或多个网络104、106和108可以代表通常称之为“云”的系统集群。在云计算中,共享资源例如处理电源、外围设备、软件、数据和服务器等,提供给按需关系中的云中的任何系统,从而允许跨很多计算系统的访问和分布式服务。云计算通常包括在云中工作的系统之间的互联网连接,但也可能使用本领域已知的连接系统的其它技术。
图2示出根据一个实施例与图1的用户设备116和/或服务器114相关的代表性硬件环境。图2示出具有中心处理单元(CPU)210的工作站的典型硬件配置,根据几个实施例,例如微处理器,和多个通过可以是不同类型的一个或多个总线212例如局部总线、并行总线、串行总线等互联的其它单元。
图2所示的工作站包括随机存取存储器(RAM)214、只读存储器(ROM)216、用于将外围设备例如硬盘存储单元220连接到一个或多个总线212的I/O适配器218、用于将键盘224、鼠标226、扬声器228、麦克风232和/或其他用户界面设备例如触摸屏、数码相机(未显示)等连接到一个或多个总线212的用户接口适配器222.,用于将工作站连接到通信网络235(例如数据处理网络)的通信适配器,以及用于将一个或多个总线212连接到显示设备238的显示适配器236。
工作站可以安装有操作系统例如MICROSOFT WINDOWS操作系统(OS)、MAC OS和UNIX OS等。应该认识到优选实施例也可以被实现在除了这些提及之外的平台和操作系统。优选实施例可以用面向对象编程方法用JAVA,XML,C和/或C++语言或其它编程语言写。可以使用面向对象编程(OOP),这已逐渐增加被用于开发复杂的应用程序。
现在参照图3,示出根据一个实施例的覆盖网络300的概念视图。覆盖网络可以使用任何覆盖技术、标准或协议,例如虚拟可扩展局域网络(VXLAN)、分布式覆盖虚拟以太网(DOVE),使用通用路由封装(NVGRE)的网络虚拟化等。
为了虚拟化网络服务,除了简单地提供设备之间的光纤通信路径(连接)以外,服务可以在分组通过网关314移动时在分组中呈现,其中网关314对非虚拟网络312与虚拟网络A 304和虚拟网络B 306之间移动的分组提供路由和转发。一个或多个虚拟网络304、306存在于物理(实际)网络基础架构302中。网络基础架构302可包含任何组件、硬件、软件和/或网络基础架构中通常相关和或使用的功能,包括但不限于,本领域已知的交换机、连接器、电线、电路、电缆、服务器、主机、存储介质、操作系统、应用、端口、I/O等。网络基础架构302支持至少一个可以是传统网络的非虚拟网络312。
每个虚拟网络304和306可以使用任何数目的虚拟机VM 308和310。在一个实施例中,虚拟网络A 304包括一个或多个VM 308,以及虚拟网络B 306包括一个或多个VM 310。如图3所示,VM308和310不能由虚拟网络304和306共享,但是可以在任意给定时间只包括在一个虚拟网络304和306中。
根据一个实施例,覆盖网络300可以包括一个或多个分布式线路卡DLC互连的一个或多个单元交换的可扩展光纤组件(SFCs)。
通过“平切换”结构,多个虚拟机可以简单、高效地跨结构移动数据。通常虚拟机很难在一个子网到另一个子网\互联网协议(IP)子网到IP子网之间等等跨第三层(L3)域移动数据。但是如果结构类似于较大的平切换,那么在很大的第二层(L2)域中,虚拟机被辅助试图跨结构移动数据。
图4示出根据一个实施例的具有利用DOVE的覆盖网络的系统400的简化图。系统400包括:交换机控制器402(例如开放流(OpenFlow)控制器)、能够与交换机控制器402通信的IP网络412(在一个例子中,IP网络412具有开放流能力并由作为OpenFlow开放流控制器的交换机控制器402管理)、目录服务404(其可以包括覆盖特定的模块例如DOVE地址服务模块406和/或DOVE策略服务模块408)、至少一个安全性设备410、多个服务器422以及至少一个覆盖网络例如覆盖网络1414和/或覆盖网络2416
每个服务器422可以包括能够与目录服务404通信的虚拟交换机424(例如DOVE虚拟机交换机vSwitches、VXLAN虚拟交换机vSwitches等等)和一个或多个虚拟机(在标记为418的覆盖网络1上的虚拟机和标记为420的覆盖网络2上的虚拟机)。服务器422也可以使用来自任何供应商的虚拟化平台(未示出),例如VMWare ESX,IBM PowerVM,KVM,Microsoft’s Hyper-V,Xen等等。
IP网络412可以包括任何数目的交换机、路由器、连接器、电缆等,它们可以以任何可以想象的方法布置并且与图4中示出的根据一个实施例中的至少一个布置中的系统400的组件互连。而且包括在IP网络412的边缘并连接到服务器422是能够与交换机控制器402通信的至少一个物理交换机426。例如,当使用开放流时,物理交换机426具有开放流能力(OpenFlow-capable)。这些具有开放流能力的物理交换机426被编程以为通过IP网络412发送或接收的流量提供不同路径。具有开放流能力的物理交换机426直接或通过IP网络412(如图4所示)与目录服务404通信。
在另一个实施例中,任何物理交换机426能够向每个交换机接收的和/或发送的分组提供覆盖功能。
根据一个实施例,系统400可以是(通过开放流控制器402)开放流管理的并且与DOVE目录服务404协调工作,从而以确保安全性策略的优化应用的方式高效地引导流量。
在开放流管理网络,开发流控制器402知晓网络节点并且能够编程地选择待转发分组的通信路径。当DOVE VM 418或420开始与位于不同物理服务器422的另一个VM通信时,源物理服务器422上的DOVE虚拟交换机424查询DOVE控制器404来确定物理服务器422的位置和将应用于两个虚拟机之间的安全性策略(由DOVE策略服务模块408指导)。因此,DOVE控制器404现在知道这两个VM开始通信并且也知道将应用于两个VM之间的安全性策略。如果安全性策略表明两个VM之间的流量应该通过安全设备410路由,DOVE目录服务可以通知开放流控制器402对网络节点编程从而使两个VM之间的通信路径通过安全设备410。
具有开放流能力(OpenFlow-capable)的物理交换机426,在一些实施例中,可以基于DOVE头的值确定通过系统400的分组路由以及每个分组的内部有效载荷头。如果分组的内部有效载荷头表明分组应该接收安全性策略应用,具有开放流能力的交换机426可以向开放流控制器402请求通信路径,该通信路径将导致分组通过安全设备410路由;或者,在另一个实施例,具有开放流能力的交换机426可以让这个信息可以被访问,这样每个交换机426在初始化程序之后没有开放流控制器402的帮助可以确定路由。通过在DOVE头中指定标记以识别出需要安全策略应用的分组可以减少在这个操作中使用的处理量,这样为了做出这个确定具有开放流能力的交换机426不检查内部有效载荷头。当然,这个过程也可以被应用到其它有效荷载技术,例如VXLAN,NVGRE等。
每个物理交换机426、交换机控制器402、服务器422和安全设备410可以包括至少一个执行逻辑的处理器,例如中央处理单元(CPU)、现场可编程门阵列(FPGA)、集成电路(IC)、专用集成电路(ASIC)或本领域已知的一些其它适合的处理器。
根据一个实施例,访问控制列表(ACL)可以被应用于系统400中的服务器或物理交换机426,交换机控制器或开放流控制器402或者其它,以将进来的覆盖封装(overlay-encapsulated)的分组路由到安全设备410。一旦激活任何设备的端口上的这种ACL,在ACL激活的端口接收到的任何分组将通过安全性设备410路由。然后,安全性设备410可以实现服务链。
本领域已知的任何服务可以被应用到流量,例如防火墙服务、入侵预防服务IPS、入侵检测服务、IDSIPS/IDS服务、服务器负载均衡服务、虚拟专用网VPN服务、视频优化服务、网络地址转换服务、加密服务、解密服务等,以及如本领域技术人员已知的许多其它可能。这些服务的每一个可以被独立激活、独立绕开或人工选择,在初始化安全设备410时按照系统管理员期望的。
L3用户数据报协议/互联网协议(UDP/IP)封装的流量从覆盖网络(例如覆盖网络1414,覆盖网络2416等)发送至非虚拟化传统网络(例如IP网络412)或发送至能够接收隧道化流量(tunneled traffic)的另一个设备,在通过接收已从覆盖封装的分组解封装的内在分组将分组传送至目的地设备之前安全设备410可以应用服务。
现在参照图5,示出根据一个实施例的在分组的源、中间设备和目的地之间的通信定时。假设VM1是分组的源,VM2是分组的目的地。首先,VM1向托管VM1的物理服务器A发送地址解析协议请求502,然后,物理服务器A向虚拟网络控制器(例如DOVE策略服务器/目录服务)发送请求504来请求与ARP相关的目的地地址。然后虚拟网络控制器响应506物理服务器A提供在物理服务器B上的VM2的地址。此外,虚拟网络控制器通知508服务服务器BVM1出现在物理服务器A上。
然后物理服务器A响应于ARP请求510提供关于分组的目的地地址的信息。然后服务器A上的VM1发出传送至VM2的分组512。物理服务器A向分组提供覆盖功能(封装和隧道化物理服务器B)并向物理服务器B发送封装的分组514。然后物理服务器B向所述分组提供覆盖功能并且向服务器B上的VM2发送解封装的分组516。
一旦建立这个关系,更容易从VM1或VM2跨覆盖网络发送分组。例如,如果服务器B上的VM2向服务器A上的VM1发送分组,ARP请求518被发送到物理服务器B,物理服务器B用VM1的信息进行响应(因为物理服务器B已经知晓VM1在服务器A上的信息)520,服务器B上的VM2发送分组522,物理服务器B向所述分组提供覆盖功能并且向物理服务器A发送524封装的分组,以及物理服务器A向服务器A上的VM1发送526解封装的分组。
现在参照图6,示出根据一个实施例的在分组转发的不同阶段的分组头。示出分组600具有有效载荷、IP头、源介质访问地址(SMAC)和目的地介质访问地址DMAC。这个分组可以产生自源VM或者能够产生分组的其它设备。一旦分组600到达第一(覆盖使能或者能够)的交换机,被封装的头604被隧道化至离目的地虚拟机最近的第二覆盖使能的交换机。隧道头604包括覆盖头、UDP头、IP头和以太网头。然后,这个封装的分组可以通过IP网络被隧道化以到达第二覆盖使能的交换机,在第二覆盖使能的交换机封装的分组被解封装并且被发送至目的地虚拟机。
示出更详细的覆盖头,如本领域技术人员理解的,示出其具有24位长度的虚拟网络标识符VNID或者DOVE域或者组ID,以及其它预留域。重要的是注意到在一个实施例中,这个头可以包括表明所述分组将接收安全性策略应用的位或域,这样在到达目的地虚拟机之前所述分组路由通过IP网络中的安全设备。
现在参照图7,示出根据一个实施例的方法流程图700。方法700可以根据图1-6中描述的任何环境中的本发明的各种实施例来执行。当然,在阅读本描述时,本领域技术人员应当理解,多于或少于图7中具体描述的操作可以被包括在方法700中。
方法700的每个步骤可以由操作环境中的任何适合的组件执行。例如,在一个实施例中,方法700可以部分或全部由交换机控制器、虚拟网络控制器例如DOVE控制器、能够覆盖网络设备、处理器(例如CPU、ASIC、FPGA等)、网关、开放流交换机、开放流控制器或者在各种方法中的一些其它适合的设备来执行。
如图7所示,方法700可以通过操作702进行初始化,其中通过覆盖网络的通信路径的请求被接收到。所述请求可以从覆盖网络中的第一物理交换机发送出,并且该第一物理交换机可以连接到所述分组的源。在一个方案中,所述请求可以包括至少:分组、第一信息和第二信息。在可选方案中,所述请求可以只包括第一信息和第二信息以及来自所述分组的一些头信息。
在一个实施例中,所述第一信息可以包括产生所述分组的源虚拟机的至少一个地址。在这种情形,所述分组的源是源VM。在另一个实施例中,所述第二信息可以包括所述第二物理交换机的至少一个地址,但是也可以包括所述分组的目的地的地址信息,其中所述分组的目的地可以连接到该第二物理交换机。
在操作704,确定连接到所述分组的目的地的第二物理交换机。在一个实施例中,确定所述分组的目的地,并且根据该信息,可以确定最紧密连接到所述分组的目的地的第二物理交换机。
在一个方案中,可以只有一个连接到所述源和目的地的物理交换机,例如,所述第一和第二物理交换机是同一个交换机。
根据一个实施例,所述第一和第二物理交换机能够向接收到的并且由每个交换机发送分组提供覆盖功能,例如它们是具备覆盖能力的交换机。可以使用任何覆盖协议和/或技术或标准,例如VXLAN、DOVE或NVGRE等。
在操作706,根据以下内容中的至少一个确定安全性策略是否被应用到所述分组:所述分组的内容(可以包括头信息例如有效载荷、覆盖头、内部分组头、UDP/IP头等),所述第一信息和所述第二信息。
在操作708,选择所述第一物理交换机和所述第二物理交换机之间的通信路径。在一个方案中,当确定所述分组不应用所述安全性策略时,所选择的通信路径直接将所述第一物理交换机连接至所述第二物理交换机。在另一个方案中,当确定所述分应用所述安全性策略时,所选择的通信路径通过第二安全性设备将所述第一物理交换机连接至所述第二物理交换机。
在操作710,所选择的通信路径被发送至所述第一物理交换机,这样当流量从所述分组的源发送至所述分组的目的地时所述第一物理交换机可以实现所选择的通信路径。
在进一步的实施例中,交换机控制器可以被指示对覆盖网络节点编程,这样在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径前进。
在一个方案中,所述第一物理交换机可以连接到托管至少一个源VM的至少一个第一服务器,其中所述至少一个源VM产生所述分组并且使所述分组的源,所述第二物理交换机可以连接至托管至少一个目的地虚拟机的至少一个第二服务器,其中所述目的地虚拟机是所述分组的目的地。确定安全性策略是否可以被应用于所述分组的操作706可以进一步包括,当确定所述源虚拟机和所述目的地虚拟机在公共组或域时,确定不应用安全性策略,或者当确定所述源虚拟机和所述目的地虚拟机不在公共组或域时,确定应用所述安全性策略。
在另一个方案中,确定所述安全性策略是否应用于所述分组的操作706可以进一步包括对所述分组应用ACL来确定是否所述安全性策略将应用于所述分组。
根据一个方案,所述安全性策略可以通过安全性设备指导一个或多个服务的应用。
根据各个实施例,在阅读本说明书的描述后,本领域技术人员应当理解,方法700可以实现为系统或计算机程序产品。
在一个这种实施例中,系统可以包括:将第一物理交换机连接到第二物理交换机的覆盖网络;与所述第一物理交换机和所述第二物理交换机通信的交换机控制器;安全设备,适于将安全性策略应用于通过所述覆盖网络发送的分组;连接到所述第一物理交换机的至少一个第一服务器,所述第一服务器托管至少一个源虚拟机;连接到所述第二物理交换机的至少一个第二服务器,所述第二服务器托管至少一个目的地虚拟机;以及虚拟网络控制器,与至少一个所述第一物理交换机、所述第二物理交互机以及所述覆盖网络通信。在一个方案中,可以只有一个物理交换机与所述源(托管所述源虚拟机的第一服务器)和目的地(托管所述目的地虚拟机的第二服务器)连接。
所述虚拟网络控制器可以包括:适于通过覆盖网络接收通信路径的请求的逻辑,该请求由该覆盖网络中的第一物理交换机发送并包括以下中的至少一个:分组,关于产生所述分组的该源VM的第一信息,以及关于所述分组的目的地的第二信息。所述虚拟网络控制器还进一步包括:适于确定连接到第二物理交换机的所述分组的目的地的逻辑;适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容,所述第一信息和所述第二信息,适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机,以及适于将所选择的通信路径发送至所述第一物理交换机的逻辑。
此外,在各种方案中,所述虚拟网络控制器可以进一步包括:适于指示所述交换机控制器对覆盖网络节点编程从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进的逻辑;所述第一信息可以包括所述源VM的至少一个地址;所述第二信息可以包括所述第二物理交换机的至少一个地址;和/或被适应于确定所安全性策略是否被应用于所述分组的逻辑包括:适于确定该源虚拟机和该目的地虚拟机在公共组或域中并确定不应用该安全性策略的逻辑;以及适于确定该源虚拟机和目标虚拟机不在公共组或域中并确定应用该安全性策略的逻辑。
在更多不同方案中,所述第一和第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能;其中适于确定该安全性策略是否被应用于所述分组的逻辑包括:适于将访问控制列表ACL应用于所述分组以确定该安全性策略是否被应用于所述分组的逻辑;和/或安全性策略通过安全设备指导一个或多个服务的应用。可以使用任何服务或安全性策略,例如:防火墙服务、入侵预防服务IPS、入侵检测服务IDS、服务器负载均衡服务、虚拟专用网VPN服务、视频优化服务和/或广域网WAN优化服务等等。
在另一示意性实施例中,一种在覆盖网络中应用安全性策略的计算机程序产品可以包括其上具有计算机程序代码的计算机可读存储介质。该计算机可读程序代码包括:被配置为通过覆盖网络接收通信路径的请求的计算机可读程序代码,该请求由该覆盖网络中的第一物理交换机发送,其中该第一物理交换机连接到所述分组的源,其中该请求至少包括:分组,第一信息和第二信息;被配置为确定连接到所述分组的目的地的第二物理交换机的计算机可读程序代码;被配置为基于下列中的至少一项确定安全性策略是否要应用于所述分组的计算机可读程序代码:所述分组的内容,所述第一信息和所述第二信息;被配置为选择第一物理交换机和第二物理交换机之间的通信路径的计算机可读程序代码,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机;被配置为将所选择的通信路径发送至所述第一物理交换机的计算机可读程序代码。
根据各个实施例,所述计算机程序产品可以进一步包括:被配置为指示交换机控制器在覆盖网络节点编程从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进的计算机可读程序代码;所述第一信息可以包括产生所述分组的该源VM的至少一个地址,并且其中所述分组的源是所述源VM;和/或所述第二信息可以包括所述第二物理交换机的至少一个地址。
在另一个实施例中,所述第一物理交换机连接到至少一个所述第一服务器,其中所述至少一个第一服务器托管至少一个产生所述分组并且是所述分组的源的源虚拟机,其中所述第二物理交换机连接到至少一个第二服务器,所述至少一个第二服务器托管至少一个作为所述分组的目的地的目的地虚拟机,并且被配置为确定该安全性策略是否被应用于所述分组的所述计算机可读程序代码包括:被配置为确定该源VM和该目的地虚拟机在公共组或域中并确定不应用该安全性策略的计算机可读程序代码;以及被配置为确定该源虚拟机和目标虚拟机不在公共组或域中并确定应用该安全性策略的计算机可读程序代码。
在更多方案中,所述第一和第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能,和/或被配置为用于确定该安全性策略是否被应用于所述分组的计算机可读程序代码可以包括:被配置为将访问控制列表ACL应用于所述分组以确定该安全性策略是否被应用于所述分组的计算机可读程序代码。
虽然以上已经描述了各种实施例,但是应当理解,这些实施例仅作为示例来给出,而不作为限定。因而,本发明的实施例的宽度及范围不应受上述任何示例性的实施例所限定,而是应当仅根据下面的权利要求书及其等同物来界定。
Claims (25)
1.一种在覆盖网络中应用安全性策略的方法,该方法包括:
通过覆盖网络接收通信路径的请求,所述请求由所述覆盖网络中的第一
物理交换机发送,其中所述第一物理交换机连接到分组的源,其中所述
请求至少包括:
分组;
第一信息;以及
第二信息;
确定连接到所述分组的目的地的第二物理交换机;
基于下列中的至少一项,确定安全性策略是否要应用于所述分组:所述分组的内容、所述第一信息和所述第二信息;
选择所述第一物理交换机和所述第二物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;
将所选择的通信路径发送至所述第一物理交换机。
2.根据权利要求1所述的方法,还包括指示交换机控制器对覆盖网络节点编程,从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进。
3.根据权利要求1所述的方法,其中所述第一信息包括产生所述分组的源虚拟机的至少一个地址,以及其中所述分组的源是所述源虚拟机。
4.根据权利要求1所述的方法,其中所述第二信息包括所述第二物理交换机的至少一个地址。
5.根据权利要求1所述的方法,其中所述第一物理交换机连接到至少一个第一服务器,所述至少一个第一服务器托管至少一个产生所述分组并且是所述分组的源的源虚拟机,其中所述第二物理交换机连接到至少一个第二服务器,所述至少一个第二服务器托管至少一个作为所述分组的目的地的目的地虚拟机,以及其中所述确定所述安全性策略是否被应用于所述分组包括:
确定所述源虚拟机和所述目的地虚拟机在公共组或域中并确定不应用所述安全性策略;以及
确定所述源虚拟机和目标虚拟机不在公共组或域中并确定应用所述安全性策略。
6.根据权利要求1所述的方法,其中所述第一物理交换机和所述第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能。
7.根据权利要求1所述的方法,其中所述确定该安全性策略是否被应用于所述分组包括:
将访问控制列表ACL应用于所述分组以确定所述安全性策略是否被应用于所述分组。
8.根据权利要求1所述的方法,其中所述安全性策略通过安全设备指导一个或多个服务的应用,所述服务包括:
防火墙服务;
入侵预防服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟专用网(VPN)服务;
视频优化服务;以及
广域网(WAN)优化服务。
9.一种系统,包括:
将第一物理交换机连接到第二物理交换机的覆盖网络;
与所述第一物理交换机和所述第二物理交换机通信的交换机控制器;
安全设备,适于将安全性策略应用于通过所述覆盖网络发送的分组;
连接到所述第一物理交换机的至少一个第一服务器,所述第一服务器托管至少一个源虚拟机;
连接到所述第二物理交换机的至少一个第二服务器,所述第二服务器托管至少一个目的地虚拟机;以及
虚拟网络控制器,与至少一个所述第一物理交换机、所述第二物理交互机以及该覆盖网络通信,
其中所述虚拟网络控制器包括:
适于通过所述覆盖网络接收通信路径的请求的逻辑,所述请求由所述覆盖网络中的所述第一物理交换机发送并包括以下中的至少一个︰
分组;
关于产生所述分组的该源虚拟机的第一信息;以及
关于所述分组的目的地的第二信息;
适于确定连接到所述分组的目的地的第二物理交换机的逻辑;
适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、所述第一信息和所述第二信息;
适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机;
适于将所选择的通信路径发送至所述第一物理交换机的逻辑。
10.根据权利要求9所述的系统,其中该虚拟网络控制器还包括适于指示所述交换机控制器在覆盖网络节点编程从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进的逻辑。
11.根据权利要求9所述的系统,其中所述第一信息包括所述源虚拟机的至少一个地址。
12.根据权利要求9所述的系统,其中所述第二信息包括所述第二物理交换机的至少一个地址。
13.根据权利要求9所述的系统,其中适于确定所述安全性策略是否被应用于所述分组的逻辑包括:
适于确定所述源虚拟机和所述目的地虚拟机在公共组或域中并确定不应用该安全性策略的逻辑;以及
适于确定所述源虚拟机和所述目的地虚拟机不在公共组或域中并确定应用所述安全性策略的逻辑。
14.根据权利要求9所述的系统,其中所述第一物理交换机和所述第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能。
15.根据权利要求9所述的系统,其中适于确定所述安全性策略是否被应用于所述分组的逻辑包括:
适于将访问控制列表ACL应用于所述分组以确定所述安全性策略是否被应用于所述分组的逻辑。
16.根据权利要求9所述的系统,其中该安全性策略通过安全设备指导一个或多个服务的应用,该服务包括:
防火墙服务;
入侵预防服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟专用网(VPN)服务;
视频优化服务;以及
广域网(WAN)优化服务。
17.一种在覆盖网络中应用安全性策略的计算机程序产品,所述计算机程序产品包括其上具有计算机程序代码的计算机可读存储介质,所述计算机可读程序代码包括:
被配置为通过覆盖网络接收通信路径的请求的计算机可读程序代码,所述请求由该覆盖网络中的第一物理交换机发送,其中所述第一物理交换机连接到所述分组的源,并且其中所述请求至少包括:
分组;
第一信息;和
第二信息;
被配置为确定连接到所述分组的目的地的第二物理交换机的计算机可读程序代码;
被配置为基于下列中的至少一项确定安全性策略是否要应用于所述分组的计算机可读程序代码:所述分组的内容、所述第一信息和所述第二信息;
被配置为选择所述第一物理交换机和所述第二物理交换机之间的通信路径的计算机可读程序代码,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;以及
被配置为将所选择的通信路径发送至所述第一物理交换机的计算机可读程序代码。
18.根据权利要求17所述的计算机程序产品,还包括被配置为指示交换机控制器对覆盖网络节点编程从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进的计算机可读程序代码。
19.根据权利要求17所述的计算机程序产品,其中所述第一信息包括产生所述分组的源虚拟机的至少一个地址,以及其中所述分组的源是该源虚拟机。
20.根据权利要求17所述的计算机程序产品,其中所述第二信息包括所述第二物理交换机的至少一个地址。
21.根据权利要求17所述的计算机程序产品,其中该第一物理交换机连接到至少一个第一服务器,所述至少一个第一服务器托管至少一个产生所述分组并且是所述分组的源的源虚拟机,其中该第二物理交换机连接到至少一个第二服务器,所述至少一个第二服务器托管至少一个作为所述分组的目的地的目的地虚拟机,以及其中被配置为确定该安全性策略是否被应用于所述分组的所述计算机可读程序代码包括:
被配置为确定所述源虚拟机和所述目的地虚拟机在公共组或域中并确定不应用该安全性策略的计算机可读程序代码;以及
被配置为确定所述源虚拟机和所述目的地虚拟机不在公共组或域中并确定应用所述安全性策略的计算机可读程序代码。
22.根据权利要求17所述的计算机程序产品,其中所述第一物理交换机和所述第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能。
23.根据权利要求17所述的计算机程序产品,其中被配置为用于确定该安全性策略是否被应用于所述分组的计算机可读程序代码包括:
被配置为将访问控制列表ACL应用于所述分组以确定该安全性策略是否被应用于所述分组的计算机可读程序代码。
24.根据权利要求17所述的计算机程序产品,其中该安全性策略指导一个或多个服务的应用,该服务包括:
防火墙服务;
入侵预防服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟专用网(VPN)服务;
视频优化服务;以及
广域网(WAN)优化服务。
25.一种虚拟网络控制器,包括:
适于通过连接第一物理交换机和第二物理交换机的覆盖网络接收通信路径的请求的逻辑,所述请求由所述第一物理交换机发送并包括以下中的至少一个︰
分组;
关于所述分组的源的第一信息;和
关于所述分组的目的地的第二信息;
适于确定连接到所述第二物理交换机的所述分组的目的地的逻辑;
适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑:所述分组的内容、所述第一信息和所述第二信息;
适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑,其中当确定安全性策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;
适于将所选择的通信路径发送至所述第一物理交换机的逻辑,
其中所述虚拟网络控制器遵照分布式覆盖虚拟化以太网DOVE标准。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/633,043 | 2012-10-01 | ||
US13/633,043 US9178715B2 (en) | 2012-10-01 | 2012-10-01 | Providing services to virtual overlay network traffic |
PCT/CN2013/084248 WO2014053092A1 (en) | 2012-10-01 | 2013-09-26 | Providing services to virtual overlay network traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104685500A true CN104685500A (zh) | 2015-06-03 |
CN104685500B CN104685500B (zh) | 2017-09-29 |
Family
ID=50386579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380051326.0A Active CN104685500B (zh) | 2012-10-01 | 2013-09-26 | 在覆盖网络中应用安全性策略的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9178715B2 (zh) |
JP (1) | JP5951139B2 (zh) |
CN (1) | CN104685500B (zh) |
DE (1) | DE112013004828T5 (zh) |
GB (1) | GB2521572B (zh) |
WO (1) | WO2014053092A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790263A (zh) * | 2017-02-08 | 2017-05-31 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
CN106899405A (zh) * | 2017-03-13 | 2017-06-27 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
CN107612827A (zh) * | 2017-10-11 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种提高异地数据中心vxlan网络质量的方法和装置 |
CN113660158A (zh) * | 2021-08-05 | 2021-11-16 | 北京网聚云联科技有限公司 | Overlay虚拟链路动态路由的调度方法、服务器及存储介质 |
CN114175583A (zh) * | 2019-07-29 | 2022-03-11 | 思科技术公司 | 自愈网络中的系统资源管理 |
CN115242788A (zh) * | 2022-07-27 | 2022-10-25 | 广东浪潮智慧计算技术有限公司 | 一种流量数据控制方法、装置、介质 |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US9049115B2 (en) * | 2012-12-13 | 2015-06-02 | Cisco Technology, Inc. | Enabling virtual workloads using overlay technologies to interoperate with physical network services |
US9350558B2 (en) * | 2013-01-09 | 2016-05-24 | Dell Products L.P. | Systems and methods for providing multicast routing in an overlay network |
CN103973578B (zh) * | 2013-01-31 | 2018-06-19 | 新华三技术有限公司 | 一种虚拟机流量重定向的方法及装置 |
EP2957080B1 (en) * | 2013-02-12 | 2020-06-10 | Hewlett-Packard Enterprise Development LP | Network control using software defined flow mapping and virtualized network functions |
EP2982079A1 (en) * | 2013-04-03 | 2016-02-10 | Nokia Solutions And Networks Management International GmbH | Highly dynamic authorisation of concurrent usage of separated controllers |
CN104113459A (zh) * | 2013-04-16 | 2014-10-22 | 杭州华三通信技术有限公司 | 一种evi网络中虚拟机平滑迁移方法和装置 |
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
CN104283756B (zh) * | 2013-07-02 | 2017-12-15 | 新华三技术有限公司 | 一种实现分布式多租户虚拟网络的方法和装置 |
US9130775B2 (en) * | 2013-07-10 | 2015-09-08 | Cisco Technology, Inc. | Support for virtual extensible local area network segments across multiple data center sites |
US9888405B2 (en) | 2013-11-05 | 2018-02-06 | Cisco Technology, Inc. | Networking apparatuses and packet statistic determination methods employing atomic counters |
US9876715B2 (en) * | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Network fabric overlay |
US9825857B2 (en) | 2013-11-05 | 2017-11-21 | Cisco Technology, Inc. | Method for increasing Layer-3 longest prefix match scale |
US9876711B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Source address translation in overlay networks |
US9502111B2 (en) | 2013-11-05 | 2016-11-22 | Cisco Technology, Inc. | Weighted equal cost multipath routing |
US10778584B2 (en) | 2013-11-05 | 2020-09-15 | Cisco Technology, Inc. | System and method for multi-path load balancing in network fabrics |
US9674086B2 (en) | 2013-11-05 | 2017-06-06 | Cisco Technology, Inc. | Work conserving schedular based on ranking |
US9374294B1 (en) | 2013-11-05 | 2016-06-21 | Cisco Technology, Inc. | On-demand learning in overlay networks |
US9769078B2 (en) | 2013-11-05 | 2017-09-19 | Cisco Technology, Inc. | Dynamic flowlet prioritization |
US9655232B2 (en) | 2013-11-05 | 2017-05-16 | Cisco Technology, Inc. | Spanning tree protocol (STP) optimization techniques |
US9397946B1 (en) | 2013-11-05 | 2016-07-19 | Cisco Technology, Inc. | Forwarding to clusters of service nodes |
US10951522B2 (en) | 2013-11-05 | 2021-03-16 | Cisco Technology, Inc. | IP-based forwarding of bridged and routed IP packets and unicast ARP |
US20150180769A1 (en) * | 2013-12-20 | 2015-06-25 | Alcatel-Lucent Usa Inc. | Scale-up of sdn control plane using virtual switch based overlay |
US9392015B2 (en) * | 2014-04-28 | 2016-07-12 | Sophos Limited | Advanced persistent threat detection |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9634867B2 (en) * | 2014-05-02 | 2017-04-25 | Futurewei Technologies, Inc. | Computing service chain-aware paths |
WO2015176257A1 (zh) * | 2014-05-21 | 2015-11-26 | 华为技术有限公司 | OpenFlow设备与IP网络设备通信的方法、装置和系统 |
CN105100026B (zh) * | 2014-05-22 | 2018-07-20 | 新华三技术有限公司 | 一种报文安全转发方法及装置 |
KR101583325B1 (ko) * | 2014-08-12 | 2016-01-07 | 주식회사 구버넷 | 가상 패킷을 처리하는 네트워크 인터페이스 장치 및 그 방법 |
US9755898B2 (en) | 2014-09-30 | 2017-09-05 | Nicira, Inc. | Elastically managing a service node group |
US9774537B2 (en) | 2014-09-30 | 2017-09-26 | Nicira, Inc. | Dynamically adjusting load balancing |
US10516568B2 (en) | 2014-09-30 | 2019-12-24 | Nicira, Inc. | Controller driven reconfiguration of a multi-layered application or service model |
JP2016082344A (ja) * | 2014-10-15 | 2016-05-16 | 日本電気株式会社 | 制御装置、情報処理システム、制御方法、及び、プログラム |
CN105591865A (zh) * | 2014-10-21 | 2016-05-18 | 中兴通讯股份有限公司 | 虚拟网络实现的方法、nve、nva装置及系统 |
IN2014MU04068A (zh) | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
US9967231B2 (en) * | 2015-03-18 | 2018-05-08 | Cisco Technology, Inc. | Inter-pod traffic redirection and handling in a multi-pod network environment |
JP6441721B2 (ja) * | 2015-03-24 | 2018-12-19 | 株式会社エヌ・ティ・ティ・データ | 制御装置、制御方法及びプログラム |
US10594743B2 (en) | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
US20160365578A1 (en) * | 2015-06-12 | 2016-12-15 | Sharp Kabushiki Kaisha | Sodium transition metal silicate and method of forming same |
CN106385365B (zh) | 2015-08-07 | 2019-09-06 | 新华三技术有限公司 | 基于开放流Openflow表实现云平台安全的方法和装置 |
EP3338406B1 (en) * | 2016-04-20 | 2022-04-06 | Avago Technologies International Sales Pte. Limited | Communication framework for a federation of network controllers |
US10027746B2 (en) | 2016-05-26 | 2018-07-17 | International Business Machines Corporation | Mechanism for overlay virtual networking |
JP6772751B2 (ja) * | 2016-10-14 | 2020-10-21 | 富士通株式会社 | 設定方法及びサーバ装置 |
US10476910B2 (en) | 2017-06-21 | 2019-11-12 | Mastercard International Incorporated | Systems and methods for secure network communication |
US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
US10757077B2 (en) | 2017-11-15 | 2020-08-25 | Nicira, Inc. | Stateful connection policy filtering |
US11012420B2 (en) * | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
US10708229B2 (en) | 2017-11-15 | 2020-07-07 | Nicira, Inc. | Packet induced revalidation of connection tracker |
US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US11178071B2 (en) | 2018-07-05 | 2021-11-16 | Cisco Technology, Inc. | Multisite interconnect and policy with switching fabrics |
JP7003884B2 (ja) | 2018-09-14 | 2022-01-21 | 株式会社デンソー | 車両用中継装置 |
CN109525582B (zh) * | 2018-11-19 | 2021-07-30 | 北京六方云信息技术有限公司 | 报文处理方法、系统及存储介质 |
US10999197B2 (en) * | 2018-11-30 | 2021-05-04 | Cisco Technology, Inc. | End-to-end identity-aware routing across multiple administrative domains |
US11301281B2 (en) | 2019-02-22 | 2022-04-12 | Vmware, Inc. | Service control plane messaging in service data plane |
US11184325B2 (en) | 2019-06-04 | 2021-11-23 | Cisco Technology, Inc. | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics |
CN110247908A (zh) * | 2019-06-11 | 2019-09-17 | 优刻得科技股份有限公司 | 基于可编程网络交换技术的数据发送的方法、装置和系统 |
US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11438257B2 (en) | 2020-04-06 | 2022-09-06 | Vmware, Inc. | Generating forward and reverse direction connection-tracking records for service paths at a network edge |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11310146B1 (en) * | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101635702A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 应用安全策略的数据包转发方法 |
US20110238820A1 (en) * | 2010-03-23 | 2011-09-29 | Fujitsu Limited | Computer, communication device, and communication control system |
CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
US20120216273A1 (en) * | 2011-02-18 | 2012-08-23 | James Rolette | Securing a virtual environment |
Family Cites Families (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3663189D1 (en) | 1985-03-04 | 1989-06-08 | Siemens Ag | Burner disposition for combustion installations, especially for combustion chambers of gas turbine installations, and method for its operation |
JP3599552B2 (ja) * | 1998-01-19 | 2004-12-08 | 株式会社日立製作所 | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 |
DE60028018T2 (de) | 2000-06-15 | 2006-12-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und Anordnungen in einem Telekommunikationssystem |
US20020037709A1 (en) | 2000-09-22 | 2002-03-28 | Ranjit Bhatia | System, method and apparatus for facilitating the receipt of realtime information from telecommunications nodes |
US7043231B2 (en) | 2000-09-22 | 2006-05-09 | Ericsson Inc. | System, method and apparatus for polling telecommunications nodes for real-time information |
US20020141386A1 (en) * | 2001-03-29 | 2002-10-03 | Minert Brian D. | System, apparatus and method for voice over internet protocol telephone calling using enhanced signaling packets and localized time slot interchanging |
US20030131245A1 (en) | 2002-01-04 | 2003-07-10 | Michael Linderman | Communication security system |
US8296433B2 (en) | 2002-05-22 | 2012-10-23 | International Business Machines Corporation | Virtualization method and apparatus for integrating enterprise applications |
GB0427853D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Manifold for use in medicament dispenser |
GB0427856D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Maniflod for use in medicament dispenser |
GB0427858D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Manifold for use in medicament dispenser |
JP4429892B2 (ja) * | 2004-12-22 | 2010-03-10 | 富士通株式会社 | セキュア通信システム、および通信経路選択装置 |
US8799444B2 (en) * | 2005-03-18 | 2014-08-05 | Hewlett-Packard Development Company, L.P. | Automated host discovery and path tracing by network management server |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US8095786B1 (en) | 2006-11-09 | 2012-01-10 | Juniper Networks, Inc. | Application-specific network-layer virtual private network connections |
US7835348B2 (en) * | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
EP2582092A3 (en) | 2007-09-26 | 2013-06-12 | Nicira, Inc. | Network operating system for managing and securing networks |
US7899849B2 (en) | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
WO2010090182A1 (ja) | 2009-02-03 | 2010-08-12 | 日本電気株式会社 | アプリケーションスイッチシステム、及びアプリケーションスイッチ方法 |
WO2010103909A1 (ja) | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
US9672189B2 (en) * | 2009-04-20 | 2017-06-06 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
EP3716060A1 (en) | 2009-07-31 | 2020-09-30 | NEC Corporation | Control server, service providing system, and method of providing a virtual infrastructure |
EP2482496B1 (en) | 2009-09-24 | 2018-11-28 | Nec Corporation | Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication |
JP5446040B2 (ja) | 2009-09-28 | 2014-03-19 | 日本電気株式会社 | コンピュータシステム、及び仮想マシンのマイグレーション方法 |
JP5717164B2 (ja) | 2009-10-07 | 2015-05-13 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムのメンテナンス方法 |
JP5435399B2 (ja) | 2009-10-07 | 2014-03-05 | 日本電気株式会社 | 省電力化システム、省電力化方法、及び省電力化用プログラム |
JP5382451B2 (ja) | 2010-01-29 | 2014-01-08 | 日本電気株式会社 | フロントエンドシステム、フロントエンド処理方法 |
JP5493926B2 (ja) | 2010-02-01 | 2014-05-14 | 日本電気株式会社 | インタフェース制御方式、インタフェース制御方法、及びインタフェース制御用プログラム |
JP5521614B2 (ja) | 2010-02-15 | 2014-06-18 | 日本電気株式会社 | ネットワークシステム、及びパケット投機転送方法 |
JP5521613B2 (ja) | 2010-02-15 | 2014-06-18 | 日本電気株式会社 | ネットワークシステム、ネットワーク機器、経路情報更新方法、及びプログラム |
JP5413737B2 (ja) | 2010-02-15 | 2014-02-12 | 日本電気株式会社 | ネットワークシステム、及び経路情報更新方法 |
JP5651970B2 (ja) | 2010-03-11 | 2015-01-14 | 日本電気株式会社 | 通信装置、通信制御方法、及び通信制御用プログラム |
EP2430801B1 (en) | 2010-04-09 | 2013-06-19 | NEC Europe Ltd. | Routing under consideration of energy efficiency |
US20110283278A1 (en) * | 2010-05-13 | 2011-11-17 | Vmware, Inc. | User interface for managing a distributed virtual switch |
US8989187B2 (en) | 2010-06-04 | 2015-03-24 | Coraid, Inc. | Method and system of scaling a cloud computing network |
JP5622088B2 (ja) | 2010-08-17 | 2014-11-12 | 日本電気株式会社 | 認証システム、認証方法 |
US8909786B2 (en) | 2010-08-26 | 2014-12-09 | Futurewei Technologies, Inc. | Method and system for cross-stratum optimization in application-transport networks |
US8893300B2 (en) | 2010-09-20 | 2014-11-18 | Georgia Tech Research Corporation | Security systems and methods to reduce data leaks in enterprise networks |
US8881101B2 (en) * | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
US9185056B2 (en) * | 2011-09-20 | 2015-11-10 | Big Switch Networks, Inc. | System and methods for controlling network traffic through virtual switches |
CN102523165B (zh) | 2011-12-23 | 2014-10-01 | 中山大学 | 一种适用于未来互联网的可编程交换机系统 |
CN102523166B (zh) | 2011-12-23 | 2014-10-01 | 中山大学 | 一种适用于未来互联网的结构化网络系统 |
US9185166B2 (en) * | 2012-02-28 | 2015-11-10 | International Business Machines Corporation | Disjoint multi-pathing for a data center network |
CN102546351B (zh) | 2012-03-15 | 2014-05-14 | 北京邮电大学 | openflow网络和现有IP网络互联的系统和方法 |
US9112804B2 (en) | 2012-05-31 | 2015-08-18 | International Business Machines Corporation | Network congestion notification preservation and modification during transmission of network data between physical network and virtual network |
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US9215067B2 (en) * | 2013-04-05 | 2015-12-15 | International Business Machines Corporation | Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters |
-
2012
- 2012-10-01 US US13/633,043 patent/US9178715B2/en not_active Expired - Fee Related
-
2013
- 2013-09-26 WO PCT/CN2013/084248 patent/WO2014053092A1/en active Application Filing
- 2013-09-26 DE DE112013004828.0T patent/DE112013004828T5/de active Pending
- 2013-09-26 GB GB1506949.5A patent/GB2521572B/en active Active
- 2013-09-26 CN CN201380051326.0A patent/CN104685500B/zh active Active
- 2013-09-26 JP JP2015533432A patent/JP5951139B2/ja active Active
-
2015
- 2015-09-16 US US14/856,377 patent/US9584546B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101635702A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 应用安全策略的数据包转发方法 |
US20110238820A1 (en) * | 2010-03-23 | 2011-09-29 | Fujitsu Limited | Computer, communication device, and communication control system |
US20120216273A1 (en) * | 2011-02-18 | 2012-08-23 | James Rolette | Securing a virtual environment |
CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
Non-Patent Citations (2)
Title |
---|
于尧等: "一种适合于分级Ad+Hoc网络的实时风险评估安全策略", 《电子学报》 * |
马俊春等: "基于攻击图的网络安全策略制定方法研究", 《高技术通讯》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790263A (zh) * | 2017-02-08 | 2017-05-31 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
CN106899405A (zh) * | 2017-03-13 | 2017-06-27 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
CN107612827A (zh) * | 2017-10-11 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种提高异地数据中心vxlan网络质量的方法和装置 |
CN114175583A (zh) * | 2019-07-29 | 2022-03-11 | 思科技术公司 | 自愈网络中的系统资源管理 |
CN114175583B (zh) * | 2019-07-29 | 2023-08-18 | 思科技术公司 | 自愈网络中的系统资源管理 |
CN113660158A (zh) * | 2021-08-05 | 2021-11-16 | 北京网聚云联科技有限公司 | Overlay虚拟链路动态路由的调度方法、服务器及存储介质 |
CN115242788A (zh) * | 2022-07-27 | 2022-10-25 | 广东浪潮智慧计算技术有限公司 | 一种流量数据控制方法、装置、介质 |
Also Published As
Publication number | Publication date |
---|---|
US9178715B2 (en) | 2015-11-03 |
CN104685500B (zh) | 2017-09-29 |
US9584546B2 (en) | 2017-02-28 |
US20160006769A1 (en) | 2016-01-07 |
JP2016500937A (ja) | 2016-01-14 |
GB201506949D0 (en) | 2015-06-10 |
US20140096183A1 (en) | 2014-04-03 |
GB2521572B (en) | 2016-03-23 |
GB2521572A (en) | 2015-06-24 |
WO2014053092A1 (en) | 2014-04-10 |
DE112013004828T5 (de) | 2015-08-20 |
JP5951139B2 (ja) | 2016-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104685500A (zh) | 向虚拟覆盖网络流量提供服务 | |
US20200186598A1 (en) | Method and system for processing load balancing using virtual switch in virtual network environment | |
US10812378B2 (en) | System and method for improved service chaining | |
US11075981B2 (en) | Method and system for processing direct server return load balancing using loopback interface in virtual network environment | |
US9178828B2 (en) | Architecture for agentless service insertion | |
US11025647B2 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
US10491482B2 (en) | Overlay network movement operations | |
EP3342100B1 (en) | Distributing remote device management attributes to service nodes for service rule processing | |
CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
EP2920940B1 (en) | Method and device for data flow processing | |
US11522763B2 (en) | Agent-based network scanning in software-defined networking (SDN) environments | |
US20140269712A1 (en) | Tagging virtual overlay packets in a virtual networking system | |
WO2013164707A1 (en) | Providing services to virtual overlay network traffic | |
US10116622B2 (en) | Secure communication channel using a blade server | |
US11470071B2 (en) | Authentication for logical overlay network traffic | |
US9590855B2 (en) | Configuration of transparent interconnection of lots of links (TRILL) protocol enabled device ports in edge virtual bridging (EVB) networks | |
US20150244583A1 (en) | System and Method for Creating Service Chains and Virtual Networks in the Cloud | |
Spiekermann et al. | Network forensic investigation in OpenFlow networks with ForCon | |
CN114338606A (zh) | 一种公有云的网络配置方法及相关设备 | |
US20150334115A1 (en) | Dynamic provisioning of virtual systems | |
Cerrato et al. | COMPOSER: A compact open-source service platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20211108 Address after: USA New York Patentee after: Qindarui Co. Address before: USA New York Patentee before: International Business Machines Corp. |
|
TR01 | Transfer of patent right |