CN108270671A - 对分组执行服务 - Google Patents
对分组执行服务 Download PDFInfo
- Publication number
- CN108270671A CN108270671A CN201710203259.XA CN201710203259A CN108270671A CN 108270671 A CN108270671 A CN 108270671A CN 201710203259 A CN201710203259 A CN 201710203259A CN 108270671 A CN108270671 A CN 108270671A
- Authority
- CN
- China
- Prior art keywords
- equipment
- grouping
- service
- network
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/20—Hop count for routing purposes, e.g. TTL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/44—Distributed routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及对分组执行服务。第一设备可以从第二设备接收第一路由信息,第一路由信息标识针对经由第二设备要被提供到目的地的分组的、到第二设备的第一路由。第一设备可以生成标识针对该分组的、到第一设备的第二路由的第二路由信息。第一设备可以将第二路由信息提供到第三设备。该分组将由第一设备接收。第一设备可以在将第二路由信息提供到第三设备之后经由第二路由从第三设备接收分组。该分组将由第一设备提供到第二设备。第一设备可以基于由第二路由信息标识为针对分组的下一跳并且在将分组提供到第二设备之前,对分组执行服务。
Description
背景技术
在因特网内,自治系统(AS)可以包括其前缀和路由选择策略在共同管理控制下的连接的因特网协议(IP)网络设备的集合。换句话说,AS可以表示IP地址的一个或多个块的连接的组(被称为IP前缀),其已经被分配到组织并且将单个路由选择策略提供给AS外的系统。路由选择可以在AS之间(例如,AS间的路由选择),其中路由选择在AS外部并且允许一个AS将流量发送到另一AS。一个或多个IP地址的连接的组已经被分配到的组织可以是网络服务提供商、公司、大学、公司的分支、公司组,等等。
发明内容
根据一些可能的实施方式,一种第一设备可以包括一个或多个处理器以从第二设备接收第一路由信息。该第一路由信息可以将第二设备标识为针对要向除了第一设备之外的目的地发送的分组的下一跳。一个或多个处理器可以基于接收到第一路由信息来生成第二路由信息。当分组要被发送到目的地时,第二路由信息可以将第一设备标识为的分组的下一跳。一个或多个处理器可以基于生成第二路由信息来将第二路由信息提供到第三设备。第三设备可以是要被发送到目的地的分组的源。一个或多个处理器可以在将第二路由信息提供到第三设备之后从第三设备接收分组。该分组将经由第二设备被提供到目的地。一个或多个处理器可以基于从第三设备接收到分组来对分组执行服务。在将分组提供到第二设备之前,可以对分组执行服务。一个或多个处理器可以基于第一设备由第二路由信息标识为针对分组的下一跳来执行服务。该一个或多个处理器可以基于对分组执行服务来执行与分组有关的动作。
根据一些可能的实施方式,一个或多个处理器还用于基于接收到分组来确定与分组相关联的源标识符是否匹配由第一设备存储的源标识符集合,其中源标识符标识分组的源,或者基于接收到分组来确定与分组相关联的目的地标识符是否匹配由第一设备存储的目的地标识符集合,其中目的地标识符标识分组的目的地;以及其中一个或多个处理器在执行服务时还基于确定源标识符是否匹配源标识符集合或者目的地标识符是否匹配目的地标识符集合来执行服务。
根据一些可能的实施方式,一个或多个处理器还用于基于接收到分组来使用防火墙或者过滤器来处理分组,以及其中一个或多个处理器在执行服务时还基于使用防火墙或者过滤器处理分组来执行服务。
根据一些可能的实施方式,一个或多个处理器还用于基于执行服务来执行查找以标识分组的目的地,以及其中一个或多个处理器在执行服务时还基于执行查找来执行动作,其中动作包括经由第二设备向目的地提供分组。
根据一些可能的实施方式,一个或多个处理器还用于基于生成第二路由信息来存储第三路由信息,其中第三路由信息将第二设备标识为在执行服务之后第一设备将把分组提供到的下一跳,以及基于存储第三路由信息来使用第三路由信息将分组提供到第二设备。
根据一些可能的实施方式,其中分组包括:封装分组的内容的标签,其中标签被用于标识针对分组的下一跳,以及分组的内容中的其他信息,其他信息标识分组的源或者目的地。
根据一些可能的实施方式,第一设备与第一网络相关联,第二设备或者第三设备与第一网络相关联,以及第二设备或者第三设备中的另一个设备与不同于第一网络的第二网络相关联。
根据一些可能的实施方式,一种非暂态计算机可读介质可以存储一个或多个指令,其当由第一设备的一个或多个处理器执行时使得一个或多个处理器从第二设备接收第一路由信息。第一路由信息 可以标识针对经由第二设备要被提供到目的地的分组的、到第二设备的第一路由。该一个或多个指令当由一个或多个处理器执行时可以使得一个或多个处理器基于接收到第一路由信息来生成第二路由信息。第二路由信息可以标识针对分组的、到第一设备的第二路由。该一个或多个指令当由一个或多个处理器执行时可以使得一个或多个处理器基于生成第二路由信息来将第二路由信息提供到第三设备。该分组将基于第二路由信息由第一设备接收。该一个或多个指令当由一个或多个处理器执行时可以使得一个或多个处理器在将第二路由信息提供到第三设备之后,经由第二路由从第三设备接收分组。该分组将由第一设备提供到第二设备。该一个或多个指令当由一个或多个处理器执行时可以使得一个或多个处理器基于从第三设备接收到指令来对分组执行服务。在将分组提供到第二设备之前,可以对分组执行服务。该第一设备可以基于由第二路由信息标识为针对分组的下一跳来执行服务。
根据一些可能的实施方式,其中一个或多个指令在由一个或多个处理器执行时还使得一个或多个处理器基于从第三设备接收到分组来确定分组的源或目的地,其中使得一个或多个处理器执行服务的一个或多个指令还使得一个或多个处理器基于确定分组的源或目的地来执行服务。
根据一些可能的实施方式,其中一个或多个指令在由一个或多个处理器执行时还使得一个或多个处理器基于从第三设备接收到分组来确定分组被提供到远程网络还是分组从远程网络被提供,其中使得一个或多个处理器确定分组的源或目的地的一个或多个指令还使得一个或多个处理器基于确定分组从远程网络被提供来确定分组的源。
根据一些可能的实施方式,其中一个或多个指令在由一个或多个处理器执行时还使得一个或多个处理器基于从第三设备接收到分组来确定分组被提供到远程网络还是分组从远程网络被提供,其中使得一个或多个处理器确定分组的源或目的地的一个或多个指令还 使得一个或多个处理器基于确定被提供到远程网络来确定分组的目的地。
根据一些可能的实施方式,其中一个或多个指令在由一个或多个处理器执行时还使得一个或多个处理器基于从第三设备接收到分组来使用无状态防火墙处理分组,基于使用无状态防火墙处理分组来执行目的地的查找,以及基于执行目的地的查找来向目的地提供分组。
根据一些可能的实施方式,其中一个或多个指令在由一个或多个处理器执行时还使得一个或多个处理器基于接收到第一路由信息来存储将第二设备标识为针对要由第一设备接收的分组的下一跳的信息,基于存储将第二设备标识为下一跳的信息在接收到分组之后将第二设备标识为针对分组的下一跳,以及基于将第二设备标识为针对分组的下一跳来将分组提供给第二设备。
根据一些可能的实施方式,其中服务包括实现入侵检测服务、深度包检测服务、网络地址转换服务。
根据一些可能的实施方式,一种方法可以包括由第一设备从第二设备接收第一路由信息。第一路由信息可以将第二设备标识为针对分组的下一跳。该方法可以包括由第一设备基于接收到第一路由信息来生成第二路由信息。第二路由信息可以将第一设备标识为针对分组的下一跳。该分组将经由第二设备被提供到目的地。该方法可以包括由第一设备基于生成第二路由信息来将第二路由信息提供到第三设备。第二路由信息可以许可第三设备将分组提供到第一设备。该方法可以包括由第一设备在将第二路由信息提供到第三设备之后,从第三设备接收分组。第一设备可以基于第二路由信息将第一设备标识为针对分组的下一跳,来从第三设备接收分组。该方法可以包括由第一设备基于从第三设备接收到分组,并且在向目的地提供分组之前对分组执行服务。该方法可以包括由第一设备基于对分组执行服务来执行与分组有关的动作。
根据一些可能的实施方式,该方法还包括:基于接收到分组, 使用第一设备的防火墙处理分组;在使用防火墙处理分组之后,确定分组的源或者目的地,分组的源或者目的地由分组的内容标识;以及其中执行服务包括:基于根据分组的内容确定分组的源或者目的地,执行服务。
根据一些可能的实施方式,该方法还包括:基于接收到第一路由信息,存储第一路由信息;基于存储第一路由信息,将第二设备标识为在第一设备接收到分组之后分组要被发送到的下一跳;以及其中执行动作包括:基于将第二设备标识为在第一设备之后分组要被发送到的下一跳,将分组从第一设备提供到第二设备。
根据一些可能的实施方式,其中分组将从与第一设备和第三设备相关联的第一自治系统被提供到与第二设备相关联的第二自治系统。
根据一些可能的实施方式,其中第一设备是网络拓扑中的第二设备与第三设备之间的自治系统边界设备,第一设备、第二设备和第三设备被配置有在第一设备、第二设备和第三设备上执行的一个或多个虚拟路由和转发(VRF)实例。
根据一些可能的实施方式,其中执行动作包括:基于对分组执行服务,记录与分组有关的度量的值;以及基于记录度量的值,生成包括标识度量的值的信息的报告。
附图说明
图1A和图1B是本文所描述的示例实施方式的概述的示图;
图2是其中可以实现本文所描述的系统和/或方法的示例环境的示图;
图3是图2的一个或多个设备的示例部件的示图;
图4是用于生成用于许可对分组执行服务的路由信息的示例过程的流程图;
图5是用于对分组执行服务的示例过程的流程图;
图6是与图4中所示的示例过程有关的示例实施方式的示图; 以及
图7是与图5中所示的示例过程有关的示例实施方式的示图。
具体实施方式
示例实施方式的以下详细描述参考附图。不同附图中的相同参考数字可以标识相同或类似的元件。
多个连接的自治系统(AS)可以形成AS间的网络。可以在AS或者其他类型的网络之间提供分组(例如,数据的格式化单元)。一些AS间的网络使用标签或者其他信息来做出与分组有关的转发决策并且将分组从源提供到目的地。在这种情况下,与一个AS(例如,本地AS)相关联的网络设备可以不具有用于在分组从另一AS(例如,远程AS)被接收时提供与分组有关的服务(例如,防火墙服务、深度包检测服务等)的技术。例如,由于分组具有被用于转发决策的标签,因而网络设备可能不能够由于分组由标签封装而在将分组转发到另一设备网络之前对分组的内容执行服务。
本文所描述的实施方式使得与本地AS(或者另一类型的网络)相关联的网络设备(例如,服务网络设备)能够在分组不去往该网络设备时对分组(诸如具有标签的分组)执行服务(例如,在基于标签转发分组之前)。以这种方式,网络设备通过在转发分组(例如,在本地AS内、到远程AS、或者到另一类型的网络)之前执行服务来增加安全性。另外,这改进网络通信和/或节约由于未服务的分组(诸如当分组包含病毒或者其他恶意内容时)将被消耗的处理资源。
图1A和图1B是本文所描述的示例实施方式100的概述的示图。示例实施方式100包括客户边缘网络1、本地网络、远程网络和客户边缘网络2。该本地网络包括边缘网络设备1、服务网络设备和网络设备1(例如,本地AS与远程AS之间的边界处的边界网络设备)。远程网络包括网络设备2(例如,另一边界网络设备)和边缘网络设备2。
如在图1A中并且通过参考数字110所示,客户边缘网络1的设备可以将路由信息提供到边缘网络设备1。例如,客户边缘网络1的设备可以提供虚拟专用网络(VPN)路由(诸如第三层VPN(L3VPN)路由),其标识通过网络到目的地的路径(例如,客户边缘网络1的VPN)。边缘网络设备1可以将从客户边缘网络1接收到的路由信息提供到服务网络设备。如从边缘网络设备1接收到的路由信息可以包括将边缘网络设备2或者与客户边缘网络1相关联的目的地标识为针对去往客户边缘网络2的分组的下一跳或目的地的信息。
如由参考数字120所示,客户边缘网络2的设备可以将路由信息提供到边缘网络设备2。该路由信息可以与关于参考数字110上文所描述的路由信息类似。被提供到边缘网络设备2的路由信息可以包括将边缘网络设备1或者与客户边缘网络1相关联的目的地标识为针对去往客户边缘网络1的分组的下一跳的信息。边缘网络设备2可以将从客户边缘网络2接收到的路由信息提供到网络设备2。网络设备2可以将从边缘网络设备2接收到的路由信息提供到网络设备1。网络设备1可以将从网络设备2接收到的路由信息提供到服务网络设备。
如由参考数字130所示,服务网络设备可以生成将服务网络设备标识为下一跳的路由信息。例如,服务网络设备可以生成将服务网络设备标识为针对从客户边缘网络1去往客户边缘网络2(例如,而不是边缘网络设备2或者与作为下一跳的客户边缘网络2相关联的目的地)的分组的下一跳的路由信息。
作为另一示例,服务网络设备可以生成将服务网络设备标识为针对从客户边缘网络2去往客户边缘网络1(例如,而不是边缘网络设备1或者与作为下一跳的客户边缘网络1相关联的目的地)的分组的下一跳的路由信息。以这种方式,当服务网络设备接收分组并且不是分组的目的地时,服务网络设备可以被防止自动地转发具有标签的分组。
如由参考数字140所示,服务网络设备可以提供路由信息。例如,服务网络设备可以将路由信息提供到边缘网络设备1和2、网络设备1和2、和/或客户边缘网络1和2的设备。以这种方式,边缘网络设备1和2、网络设备1和2和/或客户边缘网络1和2的设备可以使所生成的路由信息在提供分组时使用。
如在图1B中并且通过参考数字150所示,客户边缘网络1的设备可以将去往客户边缘网络2的上行链路分组提供到边缘网络设备1。例如,客户边缘网络1的设备可以提供上行链路分组,其具有(例如,基于由服务网络设备所生成的路由信息)将服务网络设备标识为针对分组的下一跳的标签。边缘网络设备1可以将从客户边缘网络1接收到的上行链路分组提供到服务网络设备。
如由参考数字160所示,客户边缘网络2的设备可以将去往客户边缘网络1的下行链路分组提供到边缘网络设备2。客户边缘网络2的设备可以提供与关于参考数字150所描述的分组类似的分组。边缘网络设备2可以将从客户边缘网络2接收到的下行链路分组提供到网络设备2。网络设备2可以将从边缘网络设备2接收到的下行链路分组提供到网络设备1。网络设备1可以(例如,基于由服务网络设备生成的、将服务网络设备标识为下一跳的路由信息)将从网络设备2接收到的下行链路分组提供到服务网络设备。
如由参考数字170所示,服务网络设备可以对上行链路和/或下行链路分组执行服务(例如,在向目的地发送上行链路和/或下行链路分组之前)。例如,服务网络设备可以确定与上行链路和/或下行链路分组相关联的源标识符和/或目的地标识符,并且可以将源标识符和/或目的地标识符与由服务网络设备所存储的源标识符集合和/或目的地标识符集合相比较。继续先前的示例,当该比较指示匹配时,服务网络设备可以对分组执行服务(诸如防火墙服务、深度包检测服务等)。以这种方式,当服务网络设备将不能够执行服务时(例如,由于上行链路/下行链路分组去往客户边缘网络1和2的目的地),服务网络设备可以对具有标签的分组执行服务。
另外,服务网络设备可以标识将上行链路/下行链路分组(例如,使用查找/转发表)提供到的目的地或者下一跳。例如,服务网络设备可以将边缘网络设备1标识为针对去往客户边缘网络1的下行链路分组的目的地或者下一跳。作为另一示例,服务网络设备可以将边缘网络设备2标识为针对去往客户边缘网络2的上行链路分组的目的地或者下一跳。
如由参考数字180所示,服务网络设备可以将从网络设备1接收到的下行链路分组提供到边缘网络设备1(例如,在对下行链路分组执行服务之后),其可以向与客户边缘网络1相关联的目的地提供下行链路分组。如由参考数字190所示,服务网络设备可以将上行链路分组从边缘网络设备1提供到网络设备1(例如,在对上行链路分组执行服务之后),其可以经由边缘网络设备2向与客户边缘网络2相关联的目的地提供上行链路分组。
以这种方式,当服务网络设备不是分组的目的地时,服务网络设备可以对具有标签的分组执行服务。这通过使得服务网络设备能够在向目的地发送分组之前对分组执行服务来增加本地网络(例如,本地AS)、远程网络(例如,远程AS)和/或另一类型的网络的安全性。另外,这改进网络通信和/或节约由于提供未服务的分组将被消耗的处理资源。
如上文所指示的,图1A和图1B仅被提供为示例。其他示例是可能的,并且可以与关于图1A和图1B所描述的不同。
图2是其中可以实现本文所描述的系统和/或方法的示例环境200的示图。如在图2中所示,环境200可以提供边缘网络设备集合210(在下文中被统称为“边缘网络设备210”并且单独地“边缘网络设备210”)、服务网络设备220、网络设备集合230(在下文中被统称为“网络设备230”并且单独地“网络设备230”)、本地网络240、远程网络250和一个或多个客户网络260-1到260-N(N≥1)(在下文中被统称为“客户网络260”并且单独地“客户网络260”)。环境200的设备可以经由有线连接、无线连接或有线和无 线连接的组合相互连接。
边缘网络设备210包括能够接收、存储、生成、处理和/或提供信息(诸如标识设备之间的路由的路由信息)的一个或多个设备(例如,一个或多个流量传送设备)。例如,边缘网络设备210可以包括路由器、网关、交换机、集线器、网桥、防火墙、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载均衡器或者类似类型的设备。在一些实施方式中,边缘网络设备210可以包括设备的虚拟实施方式,诸如在设备上执行的虚拟路由和转发(VRF)实例(在本文中被称为“VRF”)。在一些实施方式中,边缘网络设备210可以被定位在网络(例如,本地网络240和/或远程网络250)的边缘处并且可以提供与客户网络260的连接性,如本文中的其他地方所描述的。在一些实施方式中,边缘网络设备210可以将路由信息和/或分组提供到服务网络设备,如本文中的其他地方所描述的。附加地或者备选地,边缘网络设备210可以从服务网络设备220接收所生成的路由信息和/或分组,如本文中的其他地方所描述的。
服务网络设备220包括能够接收、存储、生成、处理和/或提供信息(诸如标识设备之间的路由的路由信息)的一个或多个设备(例如,一个或多个流量传送设备)。例如,服务网络设备220可以包括路由器、AS边界路由器(ASBR)、网关、交换机、集线器、网桥、防火墙、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载均衡器或者类似类型的设备。在一些实施方式中,服务网络设备220可以包括设备的虚拟实施方式,诸如在设备上执行的VRF实例。在一些实施方式中,服务网络设备220可以被定位在网络拓扑中的边缘网络设备210与网络设备230之间并且可以将服务提供到分组(例如,在边缘网络设备210与网络设备230之间所提供的、在本地网络240与远程网络250之间所提供的分组等),如本文中的其他地方所描述的。
在一些实施方式中,服务网络设备220可以从边缘网络设备210 和/或网络设备230接收路由信息和/或分组,如本文中的其他地方所描述的。附加地或者备选地,服务网络设备220可以生成路由信息和/或分组并且将路由信息和/或分组提供到边缘网络设备210和/或网络设备230,如本文中的其他地方所描述的。
网络设备230包括能够接收、存储、生成、处理和/或提供信息(诸如标识设备之间的路由的路由信息)的一个或多个设备(例如,一个或多个流量传送设备)。例如,网络设备230可以包括路由器、路由反射器、ASBR、网关、交换机、集线器、网桥、防火墙、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载均衡器或者类似类型的设备。在一些实施方式中,网络设备230可以包括虚拟设备,诸如在设备上执行的VRF。在一些实施方式中,网络设备230可以将路由信息和/或分组提供到服务网络设备220,如本文中的其他地方所描述的。附加地或者备选地,网络设备230可以从服务网络设备220接收所生成的路由信息和/或分组,如本文中的其他地方所描述的。
本地网络240可以包括一个或多个有线和/或无线设备(例如,本地于服务网络设备220)。例如,本地网络240可以包括AS、蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络、另一类型的更先进代网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、私有网络、自组网、内联网、因特网、基于光纤的网络、云计算网络等和/或这些或者其他类型的网络的组合。
远程网络250可以包括一个或多个有线和/或无线设备(例如,远程于服务网络设备220)。例如,远程网络250可以包括AS、蜂窝网络(例如,LTE网络、CDMA网络、3G网络、4G网络、5G网络、另一类型的更先进代网络等)、PLMN、LAN、WAN、MAN、电话网络(例如,PSTN)、私有网络、自组网、内联网、因特网、基于光纤的网络、云计算网络等和/或这些或者其他类型的网络的组 合。
客户网络260包括一个或多个有线和/或无线网络。例如,客户网络260可以包括私有网络、虚拟专用网络(VPN)、蜂窝网络(例如,LTE网络、CDMA网络、3G网络、4G网络、5G网络、另一类型的更先进代网络等)、PLMN、LAN、WAN、MAN、电话网络(例如,PSTN)、自组网、内联网、因特网、基于光纤的网络、云计算网络等和/或这些或者其他类型的网络的组合。
图2中所示的设备和网络的数目和布置被提供为示例。实际上,可以存在附加的设备和/或网络、较少的设备和/或网络、不同的设备和/或网络或与图2中所示的那些不同地布置的设备和/或网络。此外,图2中所示的两个或两个以上设备可以实现在单个设备内,或者图2中所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境200的设备(例如,一个或多个设备)的集合可以执行被描述为由环境200的设备的另一集合所执行的一个或多个功能。
图3是设备300的示例部件的示图。设备300可以对应于边缘网络设备210、服务网络设备220和/或网络设备230。在一些实施方式中,边缘网络设备210、服务网络设备220和/或网络设备230可以包括一个或多个设备300和/或设备300的一个或多个部件。如图3中所示,设备300可以包括一个或多个输入部件305-1到305-B(B≥1)(在本文中被统称为“输入部件305”并且单独地“输入部件305”)、交换部件310、一个或多个输出部件315-1到315-C(C≥1)(在本文中被统称为“输出部件315”并且单独地“输出部件315”)以及控制器320。
输入部件305可以是用于物理链路的附接点并且可以是用于输入流量(诸如分组)的进入点。输入部件305可以处理输入流量(诸如通过执行数据链路层封装或者解封装)。在一些实施方式中,输入部件305可以发送和/或接收分组。在一些实施方式中,输入部件305可以包括输入线卡,其包括一个或多个分组处理部件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发部件、线卡控制器部件、输入端口、处理器、存储器和/或输入队列。在一些实施方式中,设备300可以包括一个或多个输入部件305。
交换部件310可以将输入部件305与输出部件315相互连接。在一些实施方式中,交换部件310可以经由一个或多个交叉开关、经由总线和/或利用共享存储器被实现。共享存储器可以充当在分组最终被调度用于递送到输出部件315之前存储来自输入部件305的分组的临时缓冲器。在一些实施方式中,交换部件310可以使得输入部件305、输出部件315和/或控制器320能够进行通信。
输出部件315可以存储分组并且可以调度用于输出物理链路上的传输的分组。输出部件315可以支持数据链路层封装或者解封装和/或各种高层协议。在一些实施方式中,输出部件315可以发送分组和/或接收分组。在一些实施方式中,输出部件315可以包括输出线卡,其包括一个或多个分组处理部件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发部件、线卡控制器部件、输出端口、处理器、存储器和/或输出队列。在一些实施方式中,设备300可以包括一个或多个输出部件315。在一些实施方式中,输入部件305和输出部件315可以由相同部件集合实现(例如,输入/输出部件可以是输入部件305和输出部件315的组合)。
控制器320包括例如以下各项的形式的处理器:中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或可以解译和/或执行指令的另一类型的处理器。以硬件、固件或硬件和软件的组合实现处理器。在一些实施方式中,控制器320可以包括可以被编程为执行功能的一个或多个处理器。
在一些实施方式中,控制器320可以包括随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设 备(例如,闪速存储器、磁性存储器、光学存储器等),其存储用于由控制器320使用的信息和/或指令。
在一些实施方式中,控制器320可以与连接到设备300的其他设备、网络和/或系统进行通信以交换关于网络拓扑的信息。路由部件320可以基于网络拓扑信息来创建路由表,基于路由表来创建转发表并且将转发表转发给输入部件305和/或输出部件315。输入部件305和/或输出部件315可以使用转发表来执行用于输入和/或输出分组的路由查找。
控制器320可以执行本文所描述的一个或多个过程。控制器320可以响应于执行由非暂态计算机可读介质存储的软件指令而执行这些过程。在本文中,计算机可读介质被限定为非暂态存储设备。存储器设备包括单个物理存储设备内的存储器空间或者跨多个物理存储设备分散的存储器空间。
可以经由通信接口从另一计算机可读介质或者从另一设备将软件指令读取到与控制器320相关联的存储器和/或存储部件中。在执行时,被存储在与控制器320相关联的存储器和/或存储部件中的软件指令可以使得控制器320执行本文所描述的一个或多个过程。附加地或者备选地,可以代替或者组合执行本文所描述的一个或多个过程的软件指令而使用硬连线电路。因此,本文所描述的实施方式不限于硬件电路和软件的任何特定组合。
图3中所示的部件的数目和布置被提供为示例。实际上,设备300可以包括附加部件、较少部件、不同部件或与图3中所示的那些部件不同地布置的部件。附加地或者备选地,设备300的部件集合(例如,一个或多个部件)可以执行被描述为由设备300的另一部件集合所执行的一个或多个功能。
图4是用于生成用于许可对分组执行服务的路由信息的示例过程400的流程图。在一些实施方案中,可以通过服务网络设备220执行图4的一个或多个过程块。在一些实施方式中,可以通过与服务网络设备220分离或者包括服务网络设备220的另一设备或者一 组设备(诸如边缘网络设备210和网络设备230)执行图4的一个或多个过程块。
如在图4中所示,过程400可以包括从设备接收标识针对要被发送到目的地的分组的下一跳的第一路由信息(块410)。例如,服务网络设备220可以从边缘网络设备210和/或网络设备230接收第一路由信息。在一些实施方式中,第一路由信息可以将设备(诸如边缘网络设备210、网络设备230和/或客户网络260的设备)标识为针对要被发送到除了服务网络设备220之外的目的地的分组的下一跳。分组可以是指用于传递信息的通信结构,诸如协议数据单元(PDU)、网络分组、帧、数据报、段、消息、块、信元、帧、子帧、时隙、符号、以上中的任一个的一部分和/或能够经由网络被传输的另一类型的格式化或非格式化数据单元。
在一些实施方式中,服务网络设备220(例如,服务ASBR)可以(诸如经由路由广告)接收第一路由信息作为协议(例如,外部边界网关协议(EBGP)、内部边界网关协议(IGBP)或者资源预留协议(RSVP)流量工程(TE)(RSVP-TE)协议)的一部分。附加地或者备选地,服务网络设备220可以基于来自服务网络设备220的请求、基于用户将输入提供到第一路由信息从其被接收的设备等,根据调度周期性地接收第一路由信息。在一些实施方式中,服务网络设备220可以从本地设备(诸如本地边缘网络设备210和/或本地网络设备230)接收第一路由信息。在一些实施方式中,“本地”网络可以与本地网络240(例如,与服务网络设备220相同的网络)相关联。
附加地或者备选地,服务网络设备220可以从远程设备(诸如远程网络设备230和/或远程边缘网络设备210)接收第一路由信息。在一些实施方式中,“远程”设备可以与远程网络250相关联(例如,与服务网络设备220不同的设备)。
在一些实施方式中,服务网络设备220可以经由标签交换路径(LSP)接收第一路由信息。例如,服务网络设备220可以经由在边 缘网络设备210与服务网络设备220之间、在服务网络设备220与网络设备230之间、在本地网络240与远程网络250之间等的LSP(例如,AS间的LSP)来接收第一路由信息。
在一些实施方式中,第一路由信息可以包括标识经由网络朝向特定目的地(例如,边缘网络设备210、网络设备230、客户网络260的虚拟专用网络(VPN)等)的路径的信息。例如,第一路由信息可以包括第三层虚拟专用网络(L3VPN)路由、标签因特网协议路由(例如,因特网协议版本4(IPv4)路由、因特网协议版本6(IPv6)路由等),等等。
在一些实施方式中,第一路由信息可以包括标识从其提供分组的源的源标识符。例如,源标识符可以标识提供第一路由信息并且其可以提供分组的特定边缘网络设备210、网络设备230和/或客户网络260的设备。在一些实施方式中,源标识符可以包括针对分组的源的IP地址、分组的源的路由选择前缀、分组的源的源类别使用信息,等等。
附加地或者备选地,第一路由信息可以包括标识分组可以被提供到的目的地的目的地标识符。例如,目的地标识符可以标识提供第一路由信息和分组可以被提供到的特定边缘网络设备210、网络设备230和/或客户网络260的设备。在一些实施方式中,目的地标识符可以包括针对分组的目的地的IP地址、分组的目的地的路由选择前缀、分组的目的地类别使用信息,等等。以这种方式,服务网络设备220可以确定分组的方向(例如,从本地网络240到远程网络250的上行链路或者从远程网络250到本地网络240的下行链路)。
在一些实施方式中,服务网络设备220可以存储第一路由信息和/或源标识符/目的地标识符。例如,服务网络设备220可以存储第一路由信息和源标识符/目的地标识符,使得分组的源或者目的地可以基于接收到分组而被标识,并且使得服务网络设备220可以基于接收到分组来标识从服务网络设备220到分组的目的地的路由。以这种方式,服务网络设备220可以被许可向目的地提供由服务网络 设备220接收到的分组。
以这种方式,服务网络设备220可以接收标识针对要被发送到目的地的分组的下一跳的第一路由信息。
如在图4中进一步所示,过程400可以包括生成将服务网络设备标识为针对要被发送到目的地的分组的下一跳的第二路由信息(块420)。例如,服务网络设备220可以生成第二路由信息,其将服务网络设备220标识为针对从边缘网络设备210、网络设备230和/或客户网络260的设备发送到除了服务网络设备220之外的目的地的分组的下一跳。
在一些实施方式中,第二路由信息可以将服务网络设备220标识为针对网络间的分组(例如,在多个AS之间所提供的AS间的分组)的下一跳。例如,第二路由信息可以将服务网络设备220标识为针对从本地网络240发送到远程网络250、从远程网络250发送到本地网络240、经由本地网络240从第一客户网络260发送到第二客户网络260等的分组的下一跳。
以这种方式,服务网络设备220可以生成第二路由信息,其使得经由本地网络240被发送的分组由服务网络设备220接收,使得可以对分组执行服务(例如,而不是基于与分组相关联的标签或者封装被用于做出转发决策的分组的内容的其他信息来使服务网络设备220自动地转发分组)。
如在图4中进一步所示,过程400可以包括将第二路由信息提供到该设备和/或另一设备(块430)。例如,服务网络设备220可以将第二路由信息提供到边缘网络设备210、网络设备230、客户网络260的设备,等等。在一些实施方式中,当服务网络设备220基于将输入提供到服务网络设备220的与服务网络设备220相关联的网络管理员生成第二路由信息、当服务网络设备220根据调度已经周期性地生成阈值量的第二路由信息(例如,阈值量的路由)等时,服务网络设备220可以生成第二路由信息。
在一些实施方式中,服务网络设备220可以使用协议提供第二 路由信息。例如,服务网络设备220可以根据EBGP和/或IBGP(例如,使用协议的自身下一跳功能)广告第二路由信息。以这种方式,服务网络设备220可以高效地将第二路由信息提供到本地网络240、远程网络250和/或客户网络260的设备,从而节约处理资源。
以这种方式,服务网络设备220可以通过提供第二路由信息来建立控制平面。例如,控制平面可以包括服务网络设备220作为针对分组的下一跳。在一些实施方式中,控制平面可以由设备用于经由本地网络240提供分组(例如,上行链路分组和/或下行链路分组)。
虽然图4示出了过程400的示例块,但是在一些实施方式中,过程400可以包括附加的块、较少的块、不同的块或与图4中所描绘的那些不同地布置的块。附加地或备选地,可以并行执行过程400的块中的两个或更多个块。
图5是用于对分组执行服务的示例过程500的流程图。在一些实施方案中,可以通过网络设备210执行图5的一个或多个过程块。在一些实施方式中,可以通过与服务网络设备220分离或者包括服务网络设备220的另一设备或者一组设备(诸如边缘网络设备210和网络设备230)执行图5的一个或多个过程块。
如在图5中所示,过程500可以包括从设备接收去往目的地的分组(块510)。例如,服务网络设备220可以从与本地网络240相关联的边缘网络设备210的VRF和/或远程网络250的设备(诸如远程边缘网络设备210和/或远程网络设备230)的设备的VRF接收分组。在一些实施方式中,分组可以包括指示分组去往除了服务网络设备220之外的目的地(诸如客户网络260的VPN)的目的地标识符(例如,这指示服务网络设备220将向目的地发送分组)。在一些实施方式中,服务网络设备220可以使用目的地标识符来确定对分组执行的服务、确定服务网络设备220将把分组提供到的下一跳(例如,在服务之后),等等。
在一些实施方式中,服务网络设备220可以基于设备使用由服务网络设备220所提供的路由信息来接收分组。例如,由服务网络设备220所提供的路由信息可以经由本地网络240将服务网络设备220标识为针对分组的下一跳(例如,到/从客户网络260)。
在一些实施方式中,服务网络设备220可以使用防火墙(例如,无状态防火墙或者有状态防火墙)处理分组。例如,服务网络设备220的VRF可以接收分组并且可以使用无状态防火墙处理分组。在一些实施方式中,服务网络设备220可以经由标签交换路径接收分组(例如,当分组使用标签被封装时),诸如在多协议标签交换(MPLS)网络中。
以这种方式,当在服务网络设备220不具有服务分组的机会的情况下分组将通常地经由服务网络设备220被提供时,服务网络设备220可以接收去往除了服务网络设备220之外的目的地的分组。
如在图5中进一步所示,过程500可以包括确定与接收到的分组相关联的源标识符或者目的地标识符是否匹配源标识符集合或者目的地标识符集合(块520)。例如,服务网络设备220可以确定与接收到的分组相关联的源标识符或者目的地标识符是否匹配源标识符集合或者目的地标识符集合。在一些实施方式中,服务网络设备220可以通过分析与分组相关联的信息(诸如标签)来执行比较以标识源标识符和/或目的地标识符。附加地或者备选地,服务网络设备220可以使用包括已知源标识符和/或已知目的地标识符的数据结构来确定所标识的源标识符和/或目的地标识符是否匹配源标识符集合或者目的地标识符集合。
在一些实施方式中,源标识符可以标识分组起源的源。例如,源标识符可以包括标识分组的源的因特网协议(IP)地址、分组的源的路由选择前缀、分组的源的源类别使用信息等的信息。在一些实施方式中,目的地标识符可以标识分组将被提供到的目的地(例如,除了服务网络设备220之外的目的地)。例如,目的地标识符可以包括标识分组的目的地的IP地址、分组的目的地的路由选择前 缀、分组的目的地的目的地类别使用信息等的信息。
在一些实施方式中,服务网络设备220可以执行与接收到的分组相关联的源标识符和源标识符集合的比较。例如,当分组从远程网络250的设备被接收时(例如,分组的下行链路传输,其中分组去往本地网络240的设备和/或连接到本地网络240的客户网络260),服务网络设备220可以执行源标识符和源标识符集合的比较。在一些实施方式中,服务网络设备220可以确定比较是否指示匹配。
在一些实施方式中,服务网络设备220可以执行与接收到的分组相关联的目的地标识符和所存储的目的地标识符集合的比较。例如,当分组从本地网络240的设备被接收时(例如,分组的上行链路传输,其中分组去往远程网络250和/或连接到远程网络250的客户网络260),服务网络设备220可以执行目的地标识符和目的地标识符集合的比较。在一些实施方式中,服务网络设备220可以确定比较是否指示匹配。
以这种方式,服务网络设备220可以确定接收到的分组的源标识符和/或目的地标识符是否匹配所存储的源标识符集合和/或目的地标识符集合。这使得服务网络设备220能够基于分组的源或者目的地来动态地对分组执行服务。
如在图5中进一步所示,过程500可以包括基于源标识符或者目的地标识符是否匹配源标识符集合或者目的地标识符集合,对分组执行服务(块530)。例如,服务网络设备220可以执行服务。在一些实施方式中,服务网络设备220可以基于执行与分组相关联的源标识符和/或目的地标识符和由服务网络设备220存储的源标识符集合或者目的地标识符集合的比较来执行服务。
在一些实施方式中,当比较指示不存在匹配时,服务网络设备220可以确定丢弃分组。附加地或者备选地,当比较指示存在匹配时,服务网络设备220可以提供分组。例如,服务网络设备220可以将分组提供到服务网络设备220(例如,其对接收到的分组执行服 务)的VRF的服务接口。
在一些实施方式中,服务可以包括实现防火墙或者内容过滤器的规则(例如,使用防火墙或者内容过滤器处理分组)、实现入侵检测技术、执行深度包检测、执行网络地址转换(NAT)、提供服务质量,等等。在一些实施方式中,服务网络设备220可以标识用于执行服务的(例如,多个VRF中的)特定VRF。例如,服务网络设备220可以使用包括标识分组的源和/或目的地、对分组执行服务的对应的VRF和/或待由VRF执行的对应的服务的信息的数据结构、基于与分组相关联的源和/或目的地标识符来标识特定VRF。
附加地或者备选地,服务网络设备220可以标识对分组执行服务的(例如,多个VRF中的)多个VRF。例如,服务网络设备220可以使用标识哪些VRF将执行哪些服务的数据结构、多个VRF将执行服务的顺序等来标识多个VRF。作为另一示例,服务网络设备220可以使用算法标识VRF、服务、VRF将执行服务的顺序,等等。在一些实施方式中,所标识的(一个或多个)VRF可以由服务网络设备220选择并且可以对分组执行(一个或多个)服务。
在一些实施方式中,当服务网络设备220执行服务时,服务网络设备220可以对分组的内容执行服务(例如,尽管接收到具有针对除了服务网络设备220之外的目的地的分组的内容中的目的地标识符的分组)。这通过使得服务网络设备220能够对服务网络设备220在不执行服务的情况下将以其他方式向目的地发送的分组执行服务改进安全性。
在一些实施方式中,服务网络设备220可以利用指示分组已经被服务、已经由防火墙处理等的标识符来标记分组。例如,服务网络设备220可以利用服务过滤器命中标识符来标记分组。这确保分组被提供到分组的目的地并且使分组免于在服务之后被循环返回到服务网络设备220,从而节约服务网络设备220的处理资源并且节约网络资源。
在一些实施方式中,服务网络设备220可以执行针对接收到的 分组的路由信息的查找。例如,服务网络设备220可以使用数据结构,其包括用于标识针对从服务网络设备220待发送的分组的路由信息的目的地标识符(例如,在对分组执行服务之后)。
以这种方式,服务网络设备220可以对服务网络设备220在不执行服务的情况下将以其他方式传输的分组执行服务。
如在图5中进一步所示,过程500可以包括基于对分组执行服务来执行与分组有关的动作(块540)。例如,服务网络设备220可以基于对分组执行服务来执行与分组有关的动作。
在一些实施方式中,服务网络设备220可以向目的地(例如,与本地网络240或者远程网络250相关联的设备的VRF)转发分组。附加地或者备选地,服务网络设备220可以丢弃分组。附加地或者备选地,服务网络设备220可以对分组(例如,对分组的内容、对整个分组等)进行复制。附加地或者备选地,服务网络设备220可以将与分组有关的信息提供到网络管理员的客户端设备。附加地或者备选地,服务网络设备220可以跟踪与分组有关的度量(诸如分组的大小、包括分组的多个分组的比特率,等等)。在一些实施方式中,服务网络设备220可以生成包括标识度量和/或度量的值的信息的报告并且可以将报告提供给网络管理员。
以这种方式,在控制平面被建立之后,服务网络设备220可以在分组经由本地网络240和/或远程网络250被传输自/到本地/远程边缘网络设备210、本地/远程网络设备230和/或客户网络260的设备时,对分组执行动作。
虽然图5示出了过程500的示例块,但是在一些实施方式中,过程500可以包括附加的块、较少的块、不同的块或与图5中所描绘的那些不同地布置的块。附加地或者备选地,可以并行执行过程500的块中的两个或更多个块。
图6是与图4中所示的示例过程400有关的示例实施方式600的示图。如在图6中所示,示例实施方式600可以包括本地网络240(例如,被示出为本地AS)和远程网络250(例如,被示出为远程AS)。本地AS可以包括边缘网络设备210(例如,被示出为提供商边缘(PE)设备)、服务网络设备220(例如,被示出为服务ASBR)、网络设备230(例如,被示出为ASBR)、PE设备与服务ASBR之间的第一标签交换路径(LSP)和服务ASBR与ASBR之间的第二LSP。该远程AS可以包括边缘网络设备210和/或网络设备230(例如,被示出为远程AS设备)。进一步地,示例实施方式600可以包括提供本地AS与远程AS之间的连接性的AS间的LSP。PE设备、服务ASBR和远程AS设备中的每一个可以包括被用于通信的一个或多个VRF(例如,VRF-1到VRF-M(M≥1))。
在示例实施方式600中,服务ASBR可以从设备接收针对设备的路由信息并且生成将服务ASBR标识为针对去往设备的数据的下一跳的新路由信息。以这种方式,被提供在PE设备与远程AS设备之间的分组(例如,具有标签的分组)可以被提供到服务ASBR以用于服务,而不是在未服务的情况下自动地被提供到目的地或者在服务ASBR向目的地发送分组之后由服务ASBR提供(例如,其中分组被路由回服务ASBR以用于服务)。
如由参考数字610所示,PE设备可以经由与PE设备和服务ASBR相关联的VRF和第一LSP将针对第一客户网络260的VPN的VPN路由信息提供到服务ASBR。在一些实施方式中,VPN路由信息可以将PE设备标识为针对从远程AS设备去往第一客户网络260的分组的下一跳。如由参考数字620所示,远程AS设备可以经由与远程AS设备和服务ASBR、AS间的LSP和第二LSP相关联的VRF来将针对第二客户网络260的VPN的VPN路由信息从远程AS设备提供到服务ASBR。在一些实施方式中,来自远程AS设备的VPN路由信息可以将远程AS设备标识为去往第二客户网络260的VPN的分组的下一跳。
如由参考数字630所示,当服务ASBR从PE设备和远程AS设备接收VPN路由信息时,服务ASBR可以生成将服务ASBR标识为 下一跳的新路由信息。例如,服务ASBR可以生成将服务ASBR(而不是PE设备)标识为针对去往第一客户网络260的分组的下一跳的VPN路由信息。作为另一示例,服务ASBR可以生成将服务ASBR(而不是远程AS设备)标识为针对去往第二客户网络260的分组的下一跳的VPN路由信息。
如由参考数字640所示,服务ASBR可以经由与服务ASBR和远程AS设备、第二LSP和AS间的LSP相关联的VRF来向远程AS设备提供将服务ASBR标识为针对去往第一客户网络260的数据的下一跳的VPN路由信息。如由参考数字650所示,服务ASBR可以经由与服务ASBR和PE设备和第一LSP相关联的VRF来向PE设备提供将服务ASBR标识为针对去往第二客户网络260的数据的下一跳的VPN路由信息。
以这种方式,服务网络设备220(例如,服务ASBR)可以生成并且提供将服务网络设备220标识为针对分组的下一跳的路由信息(例如,可以创建针对分组的控制平面)。这使服务网络设备220免于在分组去往除了服务网络设备220之外的目的地时自动地提供分组(例如,具有标签的分组)并且许可服务网络设备220在向目的地提供分组之前对分组执行服务,从而增加与提供分组有关的安全性。
如上文所指示的,图6仅被提供为示例。其他示例是可能的,并且可以与关于图6描述的不同。
图7是与图5中所示的示例过程500有关的示例实施方式700的示图。示例实施方式700包括本地AS和远程AS,如关于图6上文所描述的。该本地AS包括PE设备、第一LSP、第二LSP、服务ASBR以及ASBR,如关于图6上文所描述的。远程AS包括远程AS设备,如关于图6上文所描述的。进一步地,示例实施方式700包括AS间的LSP,如关于图6上文所描述的。PE设备、服务ASBR和远程AS设备中的每一个可以具有VRF,如关于图6上文所描述的。在该示例中,服务ASBR的VRF可以包括无状态防火墙(例如,被示出为黑色三角形)、服务来自PE设备的分组(例如,上行链路分组)的第一服务接口(例如,被示出为服务接口1)、服务来自远程AS设备的分组(例如,下行链路分组)的第二服务接口(例如,被示出为服务接口2)、以及路由查找/转发表(例如,被示出为白色三角形)。
在示例实施方式700中,服务ASBR可以接收分组、对分组执行服务并且基于执行服务来执行与分组有关的动作。如由参考数字705所示,PE设备可以将上行链路分组(例如,具有标签的上行链路分组)从与PE设备相关联的VRF提供到与服务ASBR相关联的VRF。
如由参考数字710所示,服务ASBR可以使用与服务ASBR相关联的VRF来接收上行链路分组并且可以将上行链路分组提供到无状态防火墙。在一些实施方式中,服务ASBR可以使用无状态防火墙来确定与上行链路分组相关联的目的地标识符(例如,目的地类别使用信息)是否匹配由服务ASBR存储的目的地标识符集合。在一些实施方式中,如果与上行链路分组相关联的目的地标识符不匹配目的地标识符集合,那么服务ASBR可以丢弃上行链路分组、将与上行链路分组有关的信息提供到网络管理员的客户端设备等。在一些实施方式中,如果与上行链路分组相关联的目的地标识符匹配目的地标识符集合,那么如由参考数字715所示,服务ASBR可以将上行链路分组提供到第一服务接口。服务ASBR可以使用第一服务接口来对上行链路分组执行服务(诸如深度分组检测服务)。
如由参考数字720所示,服务ASBR可以使用查找/转发表来查找路由信息或者下一跳以用于提供上行链路分组(例如,通过将标识分组的目的地的信息和被包括在查找/转发表中的目的地标识符相比较)。例如,服务ASBR可以使用查找/转发表将远程AS设备标识为针对来自服务ASBR的上行链路分组的下一跳。如由参考数字725所示,服务ASBR可以基于确定远程AS设备是针对上行链路分组的下一跳,来将上行链路分组提供到与远程AS设备相关联的VRF。
如由参考数字730所示,远程AS设备可以将下行链路分组(例如,具有标签的下行链路分组)从与远程AS设备相关联的VRF提供到与服务ASBR相关联的VRF。如由参考数字735所示,服务ASBR可以使用与服务ASBR相关联的VRF来接收下行链路分组,并且可以将下行链路分组提供到无状态防火墙。在一些实施方式中,服务ASBR可以使用无状态防火墙来确定与下行链路分组相关联的源标识符是否匹配由服务ASBR所存储的源标识符集合。
在一些实施方式中,如果与下行链路分组相关联的目的地标识符不匹配源标识符集合,那么服务ASBR可以丢弃下行链路分组,将与下行链路分组有关的信息提供到网络管理员的客户端设备等。在一些实施方式中,如果与下行链路分组相关联的源标识符匹配源标识符集合,那么如由参考数字740所示,服务ASBR可以将下行链路分组转发到第二服务接口。在一些实施方式中,服务ASBR可以使用第二服务接口来对下行链路分组执行服务。
如由参考数字745所示,服务ASBR可以使用查找/转发表来标识路由信息或者针对下行链路分组的下一跳。例如,服务ASBR可以使用查找/转发表来将远程设备标识为针对来自服务ASBR的下行链路分组的下一跳。如由参考数字750所示,服务ASBR可以通过将分组从服务ASBR的VRF提供到与PE设备相关联的VRF来将下行链路分组提供到PE设备。
以这种方式,服务网络设备220(例如,服务ASBR)可以接收去往除了服务网络设备220之外的目的地的分组(诸如具有标签的分组),并且可以在向目的地发送分组之前对分组执行服务。
如上文所指示的,图7仅被提供为示例。其他示例是可能的,并且可以与关于图7描述的不同。
本文所描述的实施方式使得与本地AS(或者其他类型的网络)相关联的服务网络设备能够在分组不去往服务网络设备时对分组(诸如具有标签的分组)执行服务(例如,在基于标签转发分组之 前)。以这种方式,服务网络设备通过在转发分组(例如,在本地AS内、到远程AS、或者到另一类型的网络)之前执行服务来增加安全性。另外,这改进网络通信和/或节约由于未服务的分组(诸如当分组包含病毒或者其他恶意软件时)而被消耗的处理资源。
前述公开内容提供了说明和描述,但是不旨在是详尽的或将实施方式限于所公开的精确形式。鉴于以上公开内容,修改和变型是可能的,并且可以从实施方案的实践被获得。
如本文所使用的,术语部件旨宽泛地被解释为硬件、固件和/或硬件和软件的组合。
在本文中结合阈值描述了一些实施方式。如本文所使用的,满足阈值可以是指大于阈值、多于阈值、高于阈值、大于或者等于阈值、小于阈值、少于阈值、低于阈值、小于或者等于阈值、等于阈值等的值。
将明显的是,本文所描述的系统和/或方法可以以硬件、固件或硬件和软件的组合的不同形式被实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不是对实施方案的限制。因此,在不参考具体软件代码的情况下,本文描述了系统和/或方法的操作和行为——应当理解,软件和硬件可以被设计为基于本文的描述来实现系统和/或方法。
即使在权利要求中记载和/或在说明书中公开了特征的特定组合,这些组合也不旨在限制可能的实施方式的公开内容。实际上,可以以未具体记载在权利要求中和/或公开在说明书中的方式来组合这些特征中的许多特征。虽然下文列出的每个从属权利要求可以直接地从属于仅一个权利要求,但是可能的实施方案的公开内容包括与权利要求集合中的每个其他权利要求组合的每个从属权利要求。
除非如此明确地描述,否则本文所使用的元素、动作或指令不应当被解释为关键或重要的。此外,如本文所使用的,量词“一”和“一种”旨在包括一个或多个项目,并且可以与“一个或多个”可交换地使用。此外,如本文所使用的,术语“集合”旨在包括一 个或多个项目(例如,相关项目、无关项目、相关项目和无关项目的组合等等),并且可以与“一个或多个”可交换地使用。在预期仅一个项目的情况下,使用术语“一个”或类似的语言。另外,如本文所使用的,术语“具有”、“含有”、“有”等旨在是开放式术语。此外,除非另外明确说明,否则短语“基于”旨在意指“至少部分地基于”。
Claims (13)
1.一种第一设备,包括:
用于从第二设备接收第一路由信息的装置,
所述第一路由信息将所述第二设备标识为针对要向除了所述第一设备之外的目的地发送的分组的下一跳;
用于基于接收到所述第一路由信息来生成第二路由信息的装置,
当所述分组要被发送到所述目的地时,所述第二路由信息将所述第一设备标识为针对所述分组的所述下一跳;
用于基于生成所述第二路由信息来将所述第二路由信息提供到第三设备的装置,
所述第三设备是要被发送到所述目的地的所述分组的源;
用于在将所述第二路由信息提供到所述第三设备之后从所述第三设备接收所述分组的装置,
所述分组经由所述第二设备要被提供到所述目的地;
用于基于从所述第三设备接收到所述分组来对所述分组执行服务的装置,
在将所述分组提供到所述第二设备之前,正在对所述分组执行所述服务,
所述第一设备基于所述第一设备由所述第二路由信息标识为针对所述分组的所述下一跳来执行所述服务;以及
用于基于对所述分组执行所述服务来执行与所述分组有关的动作的装置。
2.根据权利要求1所述的第一设备,进一步包括:
用于基于接收到所述分组来确定与所述分组相关联的源标识符是否匹配由所述第一设备存储的源标识符集合的装置,
所述源标识符标识所述分组的所述源,或
用于基于接收到所述分组来确定与所述分组相关联的目的地标识符是否匹配由所述第一设备存储的目的地标识符集合的装置,
所述目的地标识符标识所述分组的所述目的地;以及
其中用于执行所述服务的装置包括:
用于基于确定所述源标识符是否匹配所述源标识符集合或者所述目的地标识符是否匹配所述目的地标识符集合来执行所述服务的装置。
3.根据权利要求1所述的第一设备,进一步包括:
用于基于接收到所述分组来使用防火墙或者过滤器来处理所述分组的装置;以及
其中用于执行所述服务的装置包括:
用于基于使用所述防火墙或者所述过滤器处理所述分组来执行所述服务的装置。
4.根据权利要求1所述的第一设备,进一步包括:
用于基于执行所述服务来执行查找以标识所述分组的所述目的地的装置;以及
其中用于执行所述动作的装置包括:
用于基于执行所述查找来执行所述动作的装置,
所述动作包括经由所述第二设备向所述目的地提供所述分组。
5.根据权利要求1所述的第一设备,进一步包括:
用于基于生成所述第二路由信息来存储第三路由信息的装置,
所述第三路由信息将所述第二设备标识为在执行所述服务之后所述第一设备将把所述分组提供到的所述下一跳;以及
用于基于存储所述第三路由信息来使用所述第三路由信息将所述分组提供到所述第二设备的装置。
6.根据权利要求1所述的第一设备,其中所述分组包括:
标签,所述标签封装所述分组的内容,
所述标签被用于标识针对所述分组的所述下一跳,以及
所述分组的所述内容中的其他信息,所述其他信息标识所述分组的所述源或者所述目的地。
7.根据权利要求1所述的第一设备,其中∶
所述第一设备与第一网络相关联,
所述第二设备或者所述第三设备与所述第一网络相关联,以及
所述第二设备或者所述第三设备中的另一个设备与不同于所述第一网络的第二网络相关联。
8.一种方法,包括:
由第一设备从第二设备接收第一路由信息,
所述第一路由信息将所述第二设备标识为针对分组的下一跳;
由所述第一设备基于接收到所述第一路由信息来生成第二路由信息,
所述第二路由信息将所述第一设备标识为针对所述分组的所述下一跳,
所述分组经由所述第二设备要被提供到目的地;
由所述第一设备基于生成所述第二路由信息来将所述第二路由信息提供到第三设备,
所述第二路由信息许可所述第三设备将所述分组提供到所述第一设备;
由所述第一设备在将所述第二路由信息提供到所述第三设备之后从所述第三设备接收所述分组,
所述第一设备基于将所述第一设备标识为针对所述分组的所述下一跳的所述第二路由信息,从所述第三设备接收所述分组;
由所述第一设备基于从所述第三设备接收到所述分组,在向所述目的地提供所述分组之前对所述分组执行服务;以及
由所述第一设备基于对所述分组执行所述服务,执行与所述分组有关的动作。
9.根据权利要求8所述的方法,进一步包括:
基于接收到所述分组,使用所述第一设备的防火墙处理所述分组;
在使用所述防火墙处理所述分组之后,确定所述分组的源或者所述目的地,
所述分组的所述源或者所述目的地由所述分组的内容标识;以及
其中执行所述服务包括:
基于根据所述分组的所述内容确定所述分组的所述源或者所述目的地,执行所述服务。
10.根据权利要求8所述的方法,进一步包括:
基于接收到所述第一路由信息,存储所述第一路由信息;
基于存储所述第一路由信息,将所述第二设备标识为在所述第一设备接收到所述分组之后所述分组要被发送到的所述下一跳;以及
其中执行所述动作包括:
基于将所述第二设备标识为在所述第一设备之后所述分组要被发送到的所述下一跳,将所述分组从所述第一设备提供到所述第二设备。
11.根据权利要求8所述的方法,其中所述分组将从与所述第一设备和所述第三设备相关联的第一自治系统被提供到与所述第二设备相关联的第二自治系统。
12.根据权利要求8所述的方法,其中:
所述第一设备是网络拓扑中的所述第二设备与所述第三设备之间的自治系统边界设备,
所述第一设备、所述第二设备和所述第三设备被配置有在所述第一设备、所述第二设备和所述第三设备上执行的一个或多个虚拟路由和转发(VRF)实例。
13.根据权利要求8所述的方法,其中执行所述动作包括:
基于对所述分组执行所述服务,记录与所述分组有关的度量的值;以及
基于记录所述度量的所述值,生成包括标识所述度量的所述值的信息的报告。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/395,163 | 2016-12-30 | ||
US15/395,163 US10250500B2 (en) | 2016-12-30 | 2016-12-30 | Performing a service on a packet |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108270671A true CN108270671A (zh) | 2018-07-10 |
CN108270671B CN108270671B (zh) | 2021-03-16 |
Family
ID=58709197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710203259.XA Active CN108270671B (zh) | 2016-12-30 | 2017-03-30 | 一种用于对分组执行服务的设备及其方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10250500B2 (zh) |
EP (1) | EP3343847B1 (zh) |
CN (1) | CN108270671B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364683A (zh) * | 2020-03-05 | 2021-09-07 | 华为技术有限公司 | 一种路由发送方法及设备 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10250500B2 (en) * | 2016-12-30 | 2019-04-02 | Juniper Networks, Inc. | Performing a service on a packet |
US11575596B1 (en) * | 2022-03-07 | 2023-02-07 | Ciena Corporation | Identifying an ingress router of a flow in inter-AS VPN option-C networks with visibility in one AS |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2154834A1 (en) * | 2008-08-14 | 2010-02-17 | Juniper Networks, Inc. | Routing device having integrated MPLS-Aware firewall |
US20140313928A1 (en) * | 2013-04-18 | 2014-10-23 | Cisco Technology, Inc. | Virtual service topologies in virtual private networks |
US20140351452A1 (en) * | 2013-05-21 | 2014-11-27 | Cisco Technology, Inc. | Chaining Service Zones by way of Route Re-Origination |
EP2963866A2 (en) * | 2014-06-30 | 2016-01-06 | Juniper Networks, Inc. | Service chaining across multiple networks |
US20160043951A1 (en) * | 2014-08-08 | 2016-02-11 | Microsoft Corporation | Routing requests with varied protocols to the same endpoint within a cluster |
US20160065503A1 (en) * | 2014-08-29 | 2016-03-03 | Extreme Networks, Inc. | Methods, systems, and computer readable media for virtual fabric routing |
US20160308762A1 (en) * | 2015-04-17 | 2016-10-20 | Equinix, Inc. | Cloud-based services exchange |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7599349B2 (en) | 2004-01-29 | 2009-10-06 | Cisco Technology, Inc. | Computing inter-autonomous system MPLS traffic engineering LSP paths |
US7031262B2 (en) | 2004-05-19 | 2006-04-18 | Cisco Technology, Inc. | Reoptimization triggering by path computation elements |
FI120612B (fi) | 2005-02-14 | 2009-12-15 | Teliasonera Ab | Menetelmä virtuaalisen yksityisverkon palveluiden tuottamiseksi autonomisten järjestelmien välille |
EP2926507B1 (en) | 2012-11-27 | 2016-06-01 | Telefonaktiebolaget LM Ericsson (publ) | Methods and routers for connectivity setup between provider edge routers |
US10924895B2 (en) * | 2013-01-22 | 2021-02-16 | Blackberry Limited | Enhancing short message service addressing and routing |
US9106610B2 (en) * | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
CN103581018B (zh) * | 2013-07-26 | 2017-08-11 | 北京华为数字技术有限公司 | 报文发送方法、路由器以及业务交换器 |
US10021216B2 (en) * | 2015-05-25 | 2018-07-10 | Juniper Networks, Inc. | Monitoring services key performance indicators using TWAMP for SDN and NFV architectures |
US20170093698A1 (en) * | 2015-09-30 | 2017-03-30 | Huawei Technologies Co., Ltd. | Method and apparatus for supporting service function chaining in a communication network |
US10158568B2 (en) * | 2016-02-12 | 2018-12-18 | Huawei Technologies Co., Ltd. | Method and apparatus for service function forwarding in a service domain |
US10263667B2 (en) * | 2016-08-04 | 2019-04-16 | Amazon Technologies, Inc. | Mesh network device with power line communications (PLC) and wireless connections |
US10250500B2 (en) * | 2016-12-30 | 2019-04-02 | Juniper Networks, Inc. | Performing a service on a packet |
-
2016
- 2016-12-30 US US15/395,163 patent/US10250500B2/en active Active
-
2017
- 2017-03-30 CN CN201710203259.XA patent/CN108270671B/zh active Active
- 2017-03-31 EP EP17164334.9A patent/EP3343847B1/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2154834A1 (en) * | 2008-08-14 | 2010-02-17 | Juniper Networks, Inc. | Routing device having integrated MPLS-Aware firewall |
CN101656670A (zh) * | 2008-08-14 | 2010-02-24 | 丛林网络公司 | 具有集成mpls-感知防火墙的路由装置 |
US20140313928A1 (en) * | 2013-04-18 | 2014-10-23 | Cisco Technology, Inc. | Virtual service topologies in virtual private networks |
US20140351452A1 (en) * | 2013-05-21 | 2014-11-27 | Cisco Technology, Inc. | Chaining Service Zones by way of Route Re-Origination |
EP2963866A2 (en) * | 2014-06-30 | 2016-01-06 | Juniper Networks, Inc. | Service chaining across multiple networks |
US20160043951A1 (en) * | 2014-08-08 | 2016-02-11 | Microsoft Corporation | Routing requests with varied protocols to the same endpoint within a cluster |
US20160065503A1 (en) * | 2014-08-29 | 2016-03-03 | Extreme Networks, Inc. | Methods, systems, and computer readable media for virtual fabric routing |
US20160308762A1 (en) * | 2015-04-17 | 2016-10-20 | Equinix, Inc. | Cloud-based services exchange |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364683A (zh) * | 2020-03-05 | 2021-09-07 | 华为技术有限公司 | 一种路由发送方法及设备 |
WO2021175309A1 (zh) * | 2020-03-05 | 2021-09-10 | 华为技术有限公司 | 一种路由发送方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN108270671B (zh) | 2021-03-16 |
EP3343847B1 (en) | 2020-05-06 |
US20180191612A1 (en) | 2018-07-05 |
US10250500B2 (en) | 2019-04-02 |
EP3343847A1 (en) | 2018-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3130109B1 (en) | A method and system for network function placement | |
US10243781B1 (en) | Detecting link faults in network paths that include link aggregation groups (LAGs) | |
EP3120508B1 (en) | Optimized approach to is-is lfa computation with parallel links | |
US9967191B2 (en) | Receiver-signaled entropy labels for traffic forwarding in a computer network | |
WO2017137004A1 (en) | Method and apparatus for service function forwarding in a service domain | |
EP3017569B1 (en) | Virtual network | |
US20160014023A1 (en) | Forwarding table performance control in sdn | |
US10205662B2 (en) | Prefix distribution-based table performance optimization in SDN | |
US10069732B2 (en) | Techniques for architecture-independent dynamic flow learning in a packet forwarder | |
CN107317751A (zh) | 使用IPv4映射的IPv6地址的出口对等工程 | |
US20160134535A1 (en) | Deterministic and optimized bit index explicit replication (bier) forwarding | |
US11743166B2 (en) | Provisioning non-colored segment routing label switched paths via segment routing policies in border gateway protocol | |
US20140269725A1 (en) | Service to node resolution using interior gateway protocols | |
JP5880570B2 (ja) | マッピングサーバ装置、ネットワークシステム、パケット転送方法およびプログラム | |
WO2017128656A1 (zh) | 虚拟专用网络vpn业务优化方法和设备 | |
WO2016174597A1 (en) | Service based intelligent packet-in mechanism for openflow switches | |
EP3292661B1 (en) | Packet forwarding | |
EP3456020A1 (en) | Mechanism for inline packet response generation in software defined networks | |
CN108270671A (zh) | 对分组执行服务 | |
EP3292660B1 (en) | Packet forwarding in a vxlan switch | |
EP3410655B1 (en) | Remotely updating routing tables | |
EP3718269A1 (en) | Packet value based packet processing | |
WO2020100150A1 (en) | Routing protocol blobs for efficient route computations and route downloads |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |