CN104813611A - 针对网络服务的虚拟设备描述表(vdc)集成 - Google Patents
针对网络服务的虚拟设备描述表(vdc)集成 Download PDFInfo
- Publication number
- CN104813611A CN104813611A CN201380059499.7A CN201380059499A CN104813611A CN 104813611 A CN104813611 A CN 104813611A CN 201380059499 A CN201380059499 A CN 201380059499A CN 104813611 A CN104813611 A CN 104813611A
- Authority
- CN
- China
- Prior art keywords
- vdc
- service node
- network
- switch
- virtual switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1013—Network architectures, gateways, control or user entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/356—Switches specially adapted for specific applications for storage area networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于针对网络服务的虚拟设备描述表(VDC)集成的方法和装置。针对网络服务的VDC集成一般包括对虚拟交换机、与虚拟交换机相关联的网络交换机上的物理端口、服务节点、和服务节点上的物理端口进行映射,以共享与虚拟交换机的配置相关联的共同的VDC。以此方式,VDC概念被扩展到服务节点,并且在通过网络交换机或服务节点上的单一处理系统来配置的网络交换机和相关联的服务节点的情况下,所述服务节点被容易地管理。
Description
技术领域
本文所给出的实施例涉及网络通信,更具体地,涉及对虚拟设备描述表(VDC)配置进行扩展以包括与虚拟网络交换机相关联的服务节点上的分区以及VDC和服务节点之间的链路。
背景技术
网络使得数据能够在连接到该网络的计算设备或主机之间共享。网络交换机将主机连接到给定网络,并且还能够将一个网络区段连接到另一网络区段。网络交换机可以在数据分组被接收到时检查这些数据分组。通过检查分组,网络交换机可以确定分组的源和目的地,并且可以相应地转发分组。除路由和转发功能之外,网络交换机还可以对通过该交换机转发的流量执行各种附加功能或任务。例如,网络交换机能够提供对由该交换机处理的流量的防火墙或入侵检测。
虚拟化允许诸如网络交换机、服务用具、或计算机服务器之类的计算设备通过跨多个虚拟化的环境共享单一设备的资源,而不是使整个设备专用于单一功能来完成多个设备的工作。例如,虚拟机(VM)提供了对允许主操作系统和应用在虚拟化的硬件组件上运行的计算系统(例如,虚拟化的处理器、CPU、或存储器)的表示。在物理计算系统上运行多个VM通常会提高系统的整体利用率。VM可以运行应用,并且可以具有若干耦合到虚拟机的虚拟端口(也被称为虚拟接口)。也就是说,在服务器上实例化的多个VM可以被连接到由虚拟化软件管理的虚拟化的网络交换机。继而,虚拟化的网络连接被连接到计算设备上的物理端口。
附图说明
通过参考实施例(其中一些在附图中被示出)可以更具体地描述上面简要概括的本公开的内容,从而上面记载本公开的特征的方式能够被更详细地理解。然而,需要指出的是,附图仅示出了本公开的典型实施例,因此不应被认为是限制本公开的范围,因为本公开可以认可其他等效的实施例。
图1根据本公开的示例实施例示出了包括虚拟化的网关和被分离的服务节点的示例网络。
图2根据本公开的示例实施例示出了包括连接到网络交换机上的VDC的单一描述表防火墙服务的示例网络。
图3根据本公开的示例实施例示出了图1的网络,其中网络交换机上的VDC被映射到服务节点上的VM和设备描述表;
图4根据本公开的示例实施例示出了图1的网络,其中服务节点不允许跨VDC的流量;
图5根据本公开的示例实施例示出了图1的网络,其中服务节点许可跨VDC的流量;
图6根据本公开的示例实施例示出了图5的网络,其中防火墙被分离成被映射到网络交换机的多个VDC的多个设备描述表(device context),并且被配置为禁止来自客户端和服务器的跨VDC流量;
图7根据本公开的示例实施例示出了图6的网络,其中防火墙被配置为允许来自客户端和服务器的跨VDC流量;以及
图8示出了对网络交换机上的VDC进行扩展以包括服务节点上的分区和链路的方法。
具体实施方式
概览
本公开中所给出的实施例一般涉及用于对网络交换机上的虚拟设备描述表(VDC)进行扩展以包括与服务节点上的经分区的资源(例如,VM或设备描述表)的链路的方法和装置,以努力提高效率和促进对网络服务的资源的共享、配置、管理、和数据流量处理。
本文给出的一个实施例提供了用于容宿网络服务的系统。该系统一般包括网络交换机和服务节点。该网络交换机一般包括至少一个虚拟交换机和被分配给该虚拟交换机的一组物理端口,其中虚拟设备描述表(VDC)与该虚拟交换机的配置相关联。虚拟交换机、被分配给该虚拟交换机的物理端口、服务节点、和该服务节点上的物理端口一般共享共同的VDC。
本文给出的另一实施例提供了配置用于容宿联网网络服务的系统的方法。该方法一般包括提供具有虚拟交换机和一组物理端口的网络交换机,并提供处理从虚拟交换机转发的网络流量的服务节点,其中该服务节点具有将该服务节点连接到被分配给虚拟交换机的一组物理端口中的一个物理端口的物理端口,并且其中虚拟交换机、一组物理端口、服务节点、和服务节点的物理端口共享与虚拟交换机的配置相关联的共同的VDC。
本文给出的另一实施例提供了计算机可读存储介质,该计算机可读存储介质当在计算机系统上运行时执行用于配置用于容宿网络服务的系统的操作。这些操作一般包括配置具有虚拟交换机和一组物理端口的网络交换机。这些操作一般还包括配置处理从虚拟交换机转发的网络流量的服务节点,其中该服务节点具有将该服务节点连接到被分配给第一虚拟交换机的一组物理端口中的一个物理端口的物理端口,并且其中虚拟交换机、一组物理端口、服务节点、和服务节点的物理端口共享与虚拟交换机的配置相关联的共同的VDC。
示例实施例
本公开的实施例提供了用于对网络交换机(例如,可从加利福尼亚州圣何塞市的思科系统股份有限公司(Cisco Systems,Inc.)购得的7000)上的虚拟设备描述表(VDC)进行扩展以包括由服务节点(例如,服务用具或服务线卡)提供的资源的方法和装置。将VDC配置扩展到服务节点使得网络交换机能够同时管理交换机和服务节点的配置,以及管理与服务节点结合的网络流量。例如,服务节点能够是容宿防火墙服务的虚拟机(VM),该防火墙服务检查被转发到网络交换机的所有网络帧。也就是说,VDC可以包括与交换机上的VDC一同被配置的相关联的服务节点。网络交换机上的管理应用可以管理和配置网络交换机和服务节点上的资源到VDC的分配、物理端口的配发(allocate),并管理数据流量如何在交换机、服务节点之间和各VDC之间进行交换。例如,管理应用可以创建、配置、开始、停止、重新启动、暂停、或删除被跨VDC和服务节点配置的VDC。
网络交换机可以经由网络交换机上的一个或多个物理端口和服务节点上的一个或多个物理端口被耦合到服务节点。服务节点可以从这些端口接收数据帧,并基于VDC和端口的映射(端口-VDC索引)识别帧是从哪个VDC端口接收的。除执行对从VDC接收到的帧的一些服务之外,服务节点可以在处理给定帧后使用端口-VDC索引信息将该帧转发到适当的VDC。服务节点还可以使用该信息允许或阻止VDC之间的数据流量。
示例网络
单一物理网络交换机可以被配置为提供多个虚拟化的网络交换机,其中每个虚拟交换机对于任何所连接的系统而言看起来像是不同的物理设备。也就是说,虚拟化允许交换机在逻辑上被分段为多个不同的虚拟交换机(也被称作设备描述表或VDC)。单一物理网络交换机在逻辑上被分离为多个逻辑设备为虚拟交换机上的流量提供了监管和管理分离、变化和失效域隔离、以及网络区段隔离(例如,地址、VLAN、VRP和VPC)。
VDC在独立的管理描述表内提供虚拟化的控制平面和数据平面。每个VDC作为交换机内的可以由分开的管理员管理的分开的逻辑实体运行,以管理不同的软件处理集、具有不同的配置。内核和基础设施层的单一实例支持物理网络交换机上的所有VDC,但是每个VDC在该VDC的虚拟化的控制平面内运行它自己的第2层和第3层协议服务。这些虚拟化的协议服务只对被分配给该VDC的资源起作用。网络管理器控制哪些资源(例如,VLAN、VRF、端口通道、网桥域、SPAN、HSRP、GLBP组ID、以及物理端口)被分配给每个VDC。将物理端口分配给VDC考虑到硬件数据平面的虚拟化。VDC可以具有被分配给它的多个物理端口。VDC内的资源可以与物理端口相关联或者可以与该VDC内的虚拟化的端口相关联。网络管理器还负责创建和删除VDC。与包括单一虚拟局域网(VLAN)的物理交换机不同,物理网络交换机上的每个VDC具有分开的VLAN和虚拟路由和转发(VRF)。因此,每个VDC具有唯一的广播域。
服务应用和服务线卡(服务节点)(例如,防火墙、负载平衡器、和web安全应用)也具有虚拟化的形式。与VDC作为独立的虚拟交换机运作十分类似,服务节点能够被分离成作为虚拟服务节点运行的多个VM或设备描述表。本文所给出的实施例对网络交换机的VDC进行扩展以包括服务节点的资源。
图1示出了被配置为实现本公开的多个方面的系统100。如所示,网络100包括被耦合到一个或多个服务节点102、104的网络交换机122。网络交换机122提供了将主机连接到共同的网络区段以及连接多个网络交换机的联网设备。网络交换机可以处理和路由网络内的数据帧。在一个实施例中,网络交换机122被分区为一个或多个VDC 110。网络交换机122上的每个VDC 110是分开的虚拟交换机,以允许物理网络交换机122像多个交换机那样运行。
网络交换机122经由链路116、118、120(例如,通过以太网CAT-5线缆连接的每个设备上的物理端口)被连接到服务节点102、104。服务节点的示例包括用于执行各种网络服务(比如,防火墙功能、负载平衡、和安全性(例如,入侵防护服务))的服务应用和服务线卡。服务节点102、104上的资源可以被分离成分区或虚拟设备,比如,VM 106或设备描述表108。VM一般指的是像物理计算系统那样执行程序的计算系统的软件实现方式。例如,负载平衡器描述表(例如,可从Cisco购得的ACE负载平衡器)可以被分离成作为多个虚拟负载平衡器(V-ACE)运行的若干VM。
如图2中示出的网络200中所示,服务节点204(比如,具有单一描述表的防火墙)被连接到网络交换机的VDC1 206和VDC2 208。链路210将防火墙上的第一物理端口连接到与VDC1 206相关联的网络交换机上的物理端口。链路212将防火墙上的第二物理端口连接到VDC2 208。从服务节点204的角度来看,它被连接到两个物理网络交换机。帧214可以通过网络200被发送,防火墙203可以通过链路210从VDC1 206或者通过链路212从VDC2 208接收帧214。因为VDC配置仅包括虚拟交换机(即,VDC1 206和VDC2 208),所以服务节点204不知道它被连接到具有分开的广播域的VDC,并且将转发分组214到VDC1 206或VDC2 208中的一者。此外,考虑到防火墙具有单一设备描述表,它通常不能被配置为以不同于针对VDC2 208的流量如何被处理的方式处理从VDC1 206接收到的帧。而且,这还要求防火墙独立于网络交换机被配置。也就是说,分开的配置工具被用于配置和管理防火墙和网络交换机上的VDC。
具有集成VDC的示例网络
一些服务应用和服务线卡提供了分离的形式但是不支持VDC。因此,用户被要求独立于物理网络交换机上的虚拟交换机(即,VDC)的配置来配置服务。配置多个设备通常是耗时的,这涉及多个网络设备并且需要复杂的联网操作和技能。此外,因为配置是独立的,服务节点无法识别网络流量是从不同物理交换机接收的还是从同一物理交换机的多个VDC接收的。另外,服务节点受限于它们一般具有比网络交换机上的物理端口,因此服务节点受限于它们被连接到网络交换机上的VDC的能力。
因此,本文给出的实施例提供了用于通过将虚拟交换机、服务节点上的资源、网络交换机上的物理端口和服务节点包括到共同的VDC中来将网络交换机上的虚拟交换机的配置扩展到服务节点上的经分区的资源(VM)的技术。与服务节点一样,网络交换机上的每个虚拟交换机可以与不同的VDC相关联。服务节点和网络交互交换机(以及两者上的对应的虚拟设备描述表配置)可以然后由网络交换机的管理应用进行管理。例如,管理应用可以向给定VDC分配资源,启用和停用VDC,创建、暂停或删除VDC,还可以配置服务节点以允许或拒绝跨VDC的流量(如下面进一步描述的)。以此方式,服务节点被配置为认可并与网络交换机上的每个虚拟交换机共享配置。
图3根据一个实施例示出了具有在网络交换机326上的集成VDC并被扩展到包括服务节点302的示例网络300。如所示,网络300包括被耦合到一个或多个服务节点302、304(例如,服务应用或服务线卡)的网络交换机326。如所指出的,每个服务节点302、304可以为由网络交换机326处理的流量提供各种网络管理功能/服务。此外,网络交换机326已经被分离成VDC 320。每个VDC 320可以具有被分配给它的网络交换机326的资源,以允许每个VDC作为独立的物理交换设备运作并被配置为独立的物理交换设备,而同时在同一物理是被上运行,即,同时在网络交换机326上运行。类似地,每个服务服务节点302、304可以容宿多个虚拟机(VM)或设备描述表。例如,如图3中所示,VM 306或设备描述表(比如,防火墙描述表、负载平衡器描述表、或安全性描述表)被分区以与由网络交换机326的虚拟交换机和链路314、316、318共享的网络的VDC320相关联。服务节点302、304可以通过链路314、316、318被与网络交换机326相连接。根据一些实施例,相似类型的网络资源可以被分区为专用于具体处理的VDC。
对于一些实施例,网络交换机326还可以包括管理应用334,管理应用334被用于管理和配置跨网络交换机和服务节点两者的VDC。管理应用334可以是服务节点管理器。管理应用334可以管理网络交换机326和服务节点302、304上的资源到VDC的分配以共享配置。管理应用334将服务节点302、304上的物理端口和网络交换机326上的物理配发给端口320(链路314、316、318)。管理应用334还可以管理VDC 320的创建、暂停、和删除,并且可以在VDC是被创建、暂停、或删除时通知服务节点302、304,以及现有VDC的状态和当前配置。网络交换机326和服务节点302、304两者都可以从网络交换机326上的那一管理应用334来配置。例如,如果网络交换机具有两个VDC并且该网络交换机被连接到两个服务节点,则管理应用可以为服务节点1打开VDC 1并关闭VDC 2,监督器可以为服务节点2关闭VDC 1并打开VDC 2。
对于一些实施例,端口-VDC索引文件维护指定哪些无力端口被配发给哪些VDC的信息。端口-VDC索引允许服务节点302、304基于帧330从其被接收的端口来识别帧330从其被接收的VDC。服务节点可以使用该信息来放置帧330的误转发。每个VDC320可以被分配有用于处置流量的策略。服务节点302、304可以基于对服务节点从哪个VDC接收该帧的识别来应用流量转发策略。一旦服务节点302、304识别出哪个VDC发送流量,服务节点302、304就可以基于网络交换机326上的VDC 330到服务节点302、304的分区310、312的映射来判定服务节点302、304的哪个分区310、312将处置流量。
根据一些实施例,网络交换机326的管理应用334还可以被配置为在VDC 320之间分割访问控制列表(ACL)。就计算机文件系统而言,ACL是附属于对象的权限的列表。ACL指定哪些用户或系统处理被授权访问对象、以及允许对给定对象执行什么操作。典型ACL中的每一条目指定主体和操作。例如,如果文件具有包含(Alice,删除)的ACL,则将给予Alice删除该文件的权限。访问控制列表指的是被应用于可在主机或其他第三层上使用的端口的规则,这些规则中的每个具有被许可使用该服务的主机和/或网络的列表。单个服务器以及路由器都能够具有网络ACL。访问控制列表一般能够被配置为既控制入站流量又控制出站流量,在此情境中,它们类似于防火墙。网络交换机上和服务节点上的ACL表可以被配置为VDC的一部分。通过跨VDC分割ACL,每个VDC可以被分配有它自己的一组权限。
图4示出了图3的网络300阻止跨VDC的流量流的模式。在此模式中,虚拟交换机将网络流量转发到服务节点,服务节点将该网络流量仅返回给该虚拟交换机。对于一些实施例,服务节点302、304可以与网络交换机326交换帧330。在此示例操作模式中,服务节点302、304一般不知道服务节点正在与同一网络交换机的多个VDC交换数据。反而,在此模式中,服务节点302、304就像它们被连接到多个分开的物理网络交换机一样行动。从服务节点302、304的角度来看,VDC是相同的VLAN并且正在相同的广播域中运作。在此模式中,跨VDC的流量流在VDC之间被阻止。例如,在被配置为阻止跨VDC的流量的网络中,连接到具有两个VDC的网络交换机的网络的防火墙将用作VDC之间的防火墙。
图5根据本公开的实施例示出了网络300允许跨VDC的流量流的示例操作模式。在此实施例中,服务节点302、304可以使用端口-VDC索引识别数据流量的VDC。在此模式中,服务节点302、304一般知道数据正在被从同一物理交换机的多个VDC而不是多个物理交换机被接收。服务节点302、304将每个VDC看做具有唯一广播域的分开的VLAN。在此模式中,跨VDC的流量流在虚拟分区之间被允许。
在此模式中,物理端口可以被虚拟化以使得虚拟交换机上的VDC能够被具有比虚拟交换机上的VDC的数目少的物理端口的服务节点充分利用。单一链路314、316、318可以连接服务节点302、304和具有多个VDC 320的网络交换机300。许可跨VDC的流量允许VDC将流量发送到不同的VDC。服务节点通过链路314从VDC 1中的第一虚拟交换机接收到的流量可以通过同一链路314被发送到VDC 2中的第二虚拟交换机。因此,端口被虚拟化为多个虚拟端口,且服务节点可以支持来自单一端口的多个VDC。
图6示出了具有第一VDC中的第一设备描述表602和第二VDC中的第一设备描述表604的网络600。在图5的示例中,假设描述表1 602是服务节点的一个分区(例如,虚拟机或设备描述表)且描述表2 604是服务节点的另一分区。假设描述表1 602被映射到网络交换机的VDC 1且描述表2 604被映射到同一网络交换机的VDC 2。对于这些实施例,服务节点可以是被配置为至少两个VM或虚拟防火墙的防火墙描述表。该网络还包括服务器606和客户端608。假设客户端608和服务器606也被连接到网络交换机。防火墙描述表、客户端608、和服务器606可以全部通过链路被耦合到网络交换机。如本文所使用的,客户端可以是连接到网络的任何设备,比如但不限于:移动设备、膝上型计算机、平板计算机、或个人计算机(PC)。如本文所使用的,服务器可以是答复来自客户端和网络上的其他服务器的请求的任何设备,比如,被配置为响应于用户(客户端)的请求而提供网页的服务器。防火墙还可以经由单一物理端口被连接到网络交换机上的多个虚拟交换机,并且通过对每个虚拟交换机的VDC进行扩展以包括防火墙上的资源,防火墙可以被配置为使用不同资源(例如,取决于给定帧的VDC的不同防火墙处理规则)处置流量,或者基于对哪个VDC将流量转发到防火墙的识别将流量返回给指定VDC。
根据一些实施例,防火墙承认VDC信息有效,并且不允许流量从一个VDC流到另一VDC。因为VDC被配置为阻止流量在被服务节点处理的过程中改变VDC,所以从客户端608发送到服务器606的分组610可以仅被发送到第一VDC,并且将仅由VDC 1中的描述表1 602来处置。类似地,从服务器606发送到客户端608的分组610可以仅被发送到第二VDC,并且将仅由VDC 2中的描述表1 604来处置。
作为其中跨VDC的流量被允许的图5的网络配置的示例,图7示出了被配置为使得防火墙忽略VDC信息并将其看做一切都只在一个VDC中从而允许流量从一个VDC流到另一VDC的网络700。在此示例中,从客户端608发送到服务器606的分组610可以在防火墙内被从VDC 1发送到VDC 2。同样地,从服务器606发送到客户端608的分组610也可以被从第二VDC发送到第一VDC。
图8示出了用于配置用于容宿服务的系统的方法800。如所示,在步骤805中,服务节点被分区为可以被分配给VDC的VM或设备描述表。例如,提供防火墙服务的服务节点上的VM能够被分配给虚拟化的交换机的VDC。在步骤810中,通过服务节点上的物理端口和网络交换机上的物理端口之间的链路在服务节点和网络交换机之间建立连接。步骤815包括将网络交换机分区为一个或多个虚拟交换机。在步骤820包括将VDC与虚拟交换机的配置相关联,将VDC配置为包括虚拟交换机、网络交换机上的被分配给虚拟交换机的物理端口、服务节点上的至少一个VM、以及服务节点上的物理端口。
将VDC概念扩展到服务节点在网络交换机和服务节点(服务应用和/或服务线卡)之间提供了耦合。这些特征为网络和网络设备的部署、配置和管理提供了便利,提供了设备间更好的数据共享以及加强的流量处理。
如本领域技术人员将理解的,实施例可以被实施为系统、方法、或计算机程序产品。相应地,各个方面可以采用整体硬件实施例、整体软件实施例(包括固件、常驻软件、微代码等)、或者将软件和硬件方面相组合的实施例的形式,这些一般都可被称作“电路”、“模块”、或“系统”。此外,各个方面可以采用体现于一个或多个计算机可读介质中的计算机程序产品的形式,一个或多个计算机可读介质上体现有计算机可读程序代码。
一个或多个计算机可读介质的任何组合可以被利用。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质例如可以是但不限于:电的、磁的、光的、电磁的、红外的、或半导体系统、装置、或设备,或上述各项的任何合适的组合。计算机可读介质的更具体的示例(非穷尽性列表)将包括以下各项:具有一根或多根线的电气连接、便携式计算机软磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备、或以上各项的任何合适的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储由执行执行系统、装置、或设备使用或与之相结合使用的程序的任何有形介质。
附图示出了根据各实施例的系统、方法、和计算机程序产品的可能的实现方式的架构、功能和操作。在这点上,附图中每个框可以表示模块、区段、或部分代码,其包括用于实现所指定的一个或多个逻辑功能的一个或多个可执行指令。还要指出的是,在一些可替代的实现方式中,框中所指出的功能可以不按附图中所指出的顺序发生。例如,取决于所涉及的功能,连续地示出的两个框事实上可以基本同时地被执行。还要指出的是,附图中的每个框(以及附图中的框的组合)能够由执行指定的功能或动作的专用的基于硬件的系统来实现,或由专用硬件和计算机指令的组合来实现。
尽管上述专注于本公开的实施例,但是在不脱离本公开的基本范围的情况下可以想出本公开的其他和另外的实施例,本公开的范围是由所附权利要求确定的。
Claims (25)
1.一种用于容宿网络服务的系统,包括:
网络交换机,该网络交换机被配置为至少提供具有相关联的第一虚拟设备描述表VDC的第一虚拟交换机,其中所述第一虚拟交换机被分配有所述网络交换机的第一组物理端口;以及
服务节点,该服务节点处理由所述第一虚拟交换机转发的网络流量,其中所述服务节点包括至少第一端口,所述第一端口将所述服务节点连接到所述第一虚拟交换机的所述第一组物理端口中的一个物理端口,并且其中所述服务节点被配置为基于与所述第一虚拟交换机相关联的所述第一VDC来处理由所述第一虚拟交换机转发的所述网络流量。
2.如权利要求1所述的系统,还包括:
管理应用,其中所述管理应用通过所述第一VDC指定所述第一虚拟交换机和所述服务节点的配置。
3.如权利要求2所述的系统,其中,所述管理应用被配置为在VDC被创建、删除、暂停、或重新启动时通知所述服务节点。
4.如权利要求1所述的系统,其中,所述服务节点容宿防火墙和负载平衡器中的至少一个。
5.如权利要求1所述的系统,其中,所述服务节点容宿一个或多个虚拟机VM,并且其中所述VM中的至少一个VM被配置为所述第一VDC的一部分。
6.如权利要求5所述的系统,其中,所述网络交换机存储访问控制列表ACL,并且其中所述服务节点还包括ACL,并且其中所述服务节点的ACL是基于与所述第一虚拟交换机相关联的所述第一VDC来配置的。
7.如权利要求5所述的系统,其中,将所述VM中的至少一个VM配置为所述第一VDC的一部分包括:将所述至少一个VM映射到所述第一VDC。
8.如权利要求1所述的系统,其中,所述服务节点容宿一个或多个设备描述表,并且其中至少一个设备描述表被配置为所述第一VDC的一部分,其中将所述至少一个设备描述表配置为所述第一VDC的一部分包括将所述至少一个设备描述表映射到所述第一VDC。
9.如权利要求1所述的系统,其中,所述网络交换机还包括:
第二虚拟交换机,该第二虚拟交换机具有相关联的第二VDC和被分配给该第二虚拟交换机的第二组物理端口,其中所述服务节点上的所述第一端口将所述服务节点连接到所述网络交换机的第二组物理端口中的一个物理端口,并且其中所述服务节点被配置为基于所述第二VDC来处理由所述第二虚拟交换机转发的网络流量。
10.如权利要求9所述的系统,其中,所述服务节点被配置为基于端口-VDC索引来识别进入的网络流量是由所述网络交换机的所述第一虚拟交换转发的、还是由所述网络交换机的所述第二虚拟交换机转发的。
11.如权利要求10所述的系统,其中基于对所述网络流量是由所述第一虚拟交换机转发的还是由第二虚拟交换机转发的识别,所述服务节点被配置为基于所述第一VDC或所述第二VDC来处理所述网络流量。
12.如权利要求10所述的系统,其中,所述服务节点被配置为通过被转发到该服务节点以进行处理的流量来阻止网络流量在所述第一VDC和所述第二VDC之间流动。
13.如权利要求10所述的系统,其中,所述服务节点被配置为通过被转发到该服务节点以进行处理的流量来允许网络流量在所述第一VDC和所述第二VDC之间流动。
14.如权利要求13所述的系统,其中,所述第一VDC与第一设备描述表相关联,并且所述第二VDC与第二设备描述表相关联,并且其中允许网络流量在所述第一VDC和所述第二VDC之间流动包括:通过所述第一VDC和所述第二VDC之间的共享接口在与所述第一VDC相关联的第一设备描述表、和与所述第二VDC相关联的第二设备描述表之间进行切换。
15.一种配置用于容宿网络服务的系统的方法,包括:
提供具有第一虚拟交换机的网络交换机,其中所述第一虚拟交换机包括被分配给该第一虚拟交换机的第一组物理端口;
提供处理从所述第一虚拟交换机转发来的网络流量的服务节点,其中所述服务节点具有将该服务节点连接到被分配给所述第一虚拟交换机的所述第一组物理端口中的一个物理端口的第一端口;以及
配置所述网络交换机上的第一虚拟设备描述表VDC和所述服务节点,其中所述服务节点被配置为基于所述第一VDC处理由所述第一虚拟交换机转发的所述网络流量。
16.如权利要求15所述的方法,还包括:
提供所述网络交换机的第二虚拟交换机,其中所述第二虚拟交换机包括被分配给该第二虚拟交换机的第二组物理端口;以及
配置所述网络交换机上的第二VDC和所述服务节点,其中所述服务节点上的所述第一端口将所述服务节点连接到所述网络交换机的所述第二组物理端口中的一个物理端口,并且其中所述服务节点被配置为基于所述第二VDC来处理由所述第二虚拟交换机转发的网络流量。
17.如权利要求16所述的方法,其中,所述服务节点基于端口-VDC索引识别进入的网络流量是由所述网络交换机的所述第一虚拟交换转发的、还是由所述网络交换机的所述第二虚拟交换机转发的。
18.如权利要求17所述的方法,其中,所述服务节点通过被转发到该服务节点以进行处理的流量来或者允许或者阻止网络流量在所述第一VDC和所述第二VDC之间流动。
19.如权利要求16所述的方法,其中所述服务节点被配置为根据对哪个虚拟交换机转发了网络流量的识别,基于所述第一VDC或所述第二VDC来处理由所述网络交换机转发的所述网络流量。
20.一种计算机可读存储介质,当在计算机系统上被执行时执行用于配置用于容宿网络服务的系统的操作,所述操作包括:
配置具有第一虚拟交换机的网络交换机,其中所述虚拟交换机包括被分配给该第一虚拟交换机的第一组物理端口;
提供处理从所述第一虚拟交换机转发来的网络流量的服务节点,其中所述服务节点具有将该服务节点连接到所述第一组物理端口中的一个物理端口的第一端口;以及
配置所述网络交换机上的第一虚拟设备描述表VDC和所述服务节点,其中所述服务节点被配置为基于所述第一VDC处理由所述第一虚拟交换机转发的所述网络流量。
21.如权利要求20所述的计算机可读存储介质,其中,所述操作还包括:
创建、删除、暂停、或重新启动所述VDC;以及
当所述VDC被创建删除、暂停、或重新启动时通知所述服务节点。
22.如权利要求20所述的计算机可读存储介质,其中,所述操作还包括:
配置所述网络交换机,其中所述网络交换机具有第二虚拟交换机,并且其中所述第二虚拟交换机包括被分配给该第二虚拟交换机的第二组物理端口;以及
配置所述网络交换机上的第二VDC和所述服务节点,其中所述服务节点上的所述第一端口将所述服务节点连接到所述网络交换机的所述第二组物理端口中的一个物理端口,并且其中所述服务节点被配置为基于所述第二VDC来处理由所述第二虚拟交换机转发的网络流量。
23.如权利要求22所述的计算机可读存储介质,其中,所述服务节点被配置为基于端口-VDC索引识别哪个虚拟交换机转发了所述网络流量。
24.如权利要求23所述的计算机可读存储介质,其中,所述服务节点被配置为通过被转发到该服务节点以进行处理的流量来或者允许或者许可所述网络流量在所述第一VDC和所述第二VDC之间流动。
25.如权利要求23所述的计算机可读存储介质,所述服务节点被配置为根据对哪个虚拟交换机转发了网络流量的识别,基于所述第一VDC或所述第二VDC来处理由所述网络交换机转发的网络流量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/677,392 | 2012-11-15 | ||
| US13/677,392 US9178912B2 (en) | 2012-11-15 | 2012-11-15 | Virtual device context (VDC) integration for network services |
| PCT/US2013/069281 WO2014078204A1 (en) | 2012-11-15 | 2013-11-08 | Virtual device context (vdc) integration for network services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104813611A true CN104813611A (zh) | 2015-07-29 |
| CN104813611B CN104813611B (zh) | 2018-08-17 |
Family
ID=49681136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380059499.7A Expired - Fee Related CN104813611B (zh) | 2012-11-15 | 2013-11-08 | 针对网络服务的虚拟设备描述表(vdc)集成 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9178912B2 (zh) |
| EP (1) | EP2920916B1 (zh) |
| CN (1) | CN104813611B (zh) |
| WO (1) | WO2014078204A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246702B1 (en) | 2012-01-31 | 2016-01-26 | Cisco Technology, Inc. | System and method for configuring service appliances as virtual line cards in a network environment |
| US10616049B2 (en) | 2013-01-25 | 2020-04-07 | Dell Products, L.P. | System and method for determining the configuration of switches in virtual link trunking environments |
| US9407500B2 (en) * | 2013-01-25 | 2016-08-02 | Dell Products L.P. | System and method for determining the configuration of switches in virtual link trunking environments |
| KR101558065B1 (ko) * | 2013-01-30 | 2015-10-06 | 지티이 (유에스에이) 인크. | 심리스 (분산된) 가상 네트워크 자원 관리를 위해 가상 네트워크 요소와 네트워크 하이퍼바이저 간의 인터페이스를 위한 요구 사항을 결정하기 위한 방법 및 시스템 |
| US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
| US10225327B2 (en) * | 2014-08-13 | 2019-03-05 | Centurylink Intellectual Property Llc | Remoting application servers |
| US10003495B1 (en) | 2014-09-20 | 2018-06-19 | Cisco Technology, Inc. | Discovery protocol for enabling automatic bootstrap and communication with a service appliance connected to a network switch |
| US9893995B1 (en) | 2014-09-25 | 2018-02-13 | Cisco Technology, Inc. | Systems, methods, and apparatus for implementing agents in service appliances |
| US10270658B2 (en) | 2014-09-30 | 2019-04-23 | Cisco Technology, Inc. | Zero touch configuration and synchronization of a service appliance in a network environment |
| US10536389B1 (en) * | 2014-11-03 | 2020-01-14 | Amazon Technologies, Inc. | Biased selection of dedicated physical connections to provider network |
| US10142200B2 (en) | 2015-01-21 | 2018-11-27 | Cisco Technology, Inc. | Methods and systems for a network appliance module enabling dynamic VDC aware span |
| US10075337B2 (en) * | 2015-01-23 | 2018-09-11 | Cisco Technology, Inc. | Mechanism for serving hardware resource information to an attached appliance |
| US10419365B2 (en) * | 2015-04-20 | 2019-09-17 | Hillstone Networks Corp. | Service insertion in basic virtual network environment |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US10374874B2 (en) * | 2016-10-18 | 2019-08-06 | Nicira, Inc. | Reducing data plane disruption in a virtual switch |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| CN112968951B (zh) * | 2021-02-02 | 2022-08-16 | 浙江大华技术股份有限公司 | 服务节点的连接方法及装置、存储介质和电子装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102549983A (zh) * | 2009-02-23 | 2012-07-04 | 思科技术公司 | 分布式数据中心接入交换机 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8954957B2 (en) * | 2009-07-01 | 2015-02-10 | Riverbed Technology, Inc. | Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines |
| US8990824B2 (en) * | 2011-04-28 | 2015-03-24 | Dell Products L.P. | System and method for automated virtual network configuration |
| US8761187B2 (en) * | 2011-06-14 | 2014-06-24 | Futurewei Technologies, Inc. | System and method for an in-server virtual switch |
| US8797914B2 (en) * | 2011-09-12 | 2014-08-05 | Microsoft Corporation | Unified policy management for extensible virtual switches |
| US20130074066A1 (en) * | 2011-09-21 | 2013-03-21 | Cisco Technology, Inc. | Portable Port Profiles for Virtual Machines in a Virtualized Data Center |
-
2012
- 2012-11-15 US US13/677,392 patent/US9178912B2/en active Active
-
2013
- 2013-11-08 CN CN201380059499.7A patent/CN104813611B/zh not_active Expired - Fee Related
- 2013-11-08 EP EP13798795.4A patent/EP2920916B1/en not_active Not-in-force
- 2013-11-08 WO PCT/US2013/069281 patent/WO2014078204A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102549983A (zh) * | 2009-02-23 | 2012-07-04 | 思科技术公司 | 分布式数据中心接入交换机 |
Non-Patent Citations (2)
| Title |
|---|
| CISCO: "Cisco Application Control Engine and Cisco Nexus 7000 Series Integration White Paper", 《HTTP://WWW.CISCO.COM/C/EN/US/PRODUCTS/COLLATERAL/APPLICATION-NETWORKING-SERVICES/ACE-4710-APPLICATION-CONTROL-ENGINE/WHITE_PAPER_C11-688039.PDF》 * |
| CISCO: "Technical Overview of Virtual Device Contexts", 《HTTP://WWW.CISCO.COM/EN/US/PROD/COLLATERAL/SWITCHES/PS9441/PS9402/PS9512/WHITE_PAPER_TECH_OVERVIEW_VIRTUAL_DEVICE_CONTEXTS.PDF》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104813611B (zh) | 2018-08-17 |
| US9178912B2 (en) | 2015-11-03 |
| EP2920916B1 (en) | 2017-09-13 |
| WO2014078204A1 (en) | 2014-05-22 |
| EP2920916A1 (en) | 2015-09-23 |
| US20140137109A1 (en) | 2014-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104813611A (zh) | 针对网络服务的虚拟设备描述表(vdc)集成 | |
| EP2559206B1 (en) | Method of identifying destination in a virtual environment | |
| US10666609B2 (en) | Management of domain name systems in a large-scale processing environment | |
| US11025647B2 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
| US10320674B2 (en) | Independent network interfaces for virtual network environments | |
| EP3493510B1 (en) | Method, device and system for virtual machine to access physical server in cloud computing system | |
| CN108471397B (zh) | 防火墙配置、报文发送方法和装置 | |
| EP3235186B1 (en) | Vlant tagging in a virtual environment | |
| US20130246589A1 (en) | Method and System for a Cloud Frame Architecture | |
| US10116622B2 (en) | Secure communication channel using a blade server | |
| EP3276490B1 (en) | Extension of a private cloud end-point group to a public cloud | |
| CN103746997A (zh) | 一种云计算中心网络安全解决方案 | |
| US10419396B2 (en) | Deep packet inspection with enhanced data packet analyzers | |
| US11228494B2 (en) | Sharing policy and configuration information related to a configuration item | |
| US20150110105A1 (en) | Implementation of protocol in virtual link aggregate group | |
| CN104468633A (zh) | 一种sdn南向安全代理产品 | |
| CN114338606A (zh) | 一种公有云的网络配置方法及相关设备 | |
| US9774600B1 (en) | Methods, systems, and computer readable mediums for managing infrastructure elements in a network system | |
| CN109246134B (zh) | 一种报文控制方法和装置 | |
| US20140047083A1 (en) | Administration information generation method, administration information generation program, and administration information generation device | |
| US11281451B2 (en) | Distributed backup and restoration in virtualized computing environments | |
| KR20190059485A (ko) | 보안 보증 서비스 제공 장치 및 방법 | |
| KR20160112794A (ko) | 다중가상 네트워크 기반 응용·서비스 제어 시스템 및 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180817 Termination date: 20201108 |