CN110785965B - 对结构中配置的正确部署执行网络保证检查的系统和方法 - Google Patents
对结构中配置的正确部署执行网络保证检查的系统和方法 Download PDFInfo
- Publication number
- CN110785965B CN110785965B CN201880040454.8A CN201880040454A CN110785965B CN 110785965 B CN110785965 B CN 110785965B CN 201880040454 A CN201880040454 A CN 201880040454A CN 110785965 B CN110785965 B CN 110785965B
- Authority
- CN
- China
- Prior art keywords
- model
- software
- models
- network
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/006—Identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2289—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by configuration test
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Abstract
公开了用于确保网络环境中的租户转发的系统、方法和计算机可读介质。可以在网络环境的第1层、第2层和第3层中确定网络保证,网络保证包括网络环境中的内部(例如,结构中)转发和内部‑外部(例如,结构外部)转发。可以使用逻辑配置、软件配置和/或硬件配置来执行网络保证。
Description
相关申请的交叉引用
本即时申请要求于2017年06月19日递交的题为“VALIDATION OF LAYER 3USINGVRF CONTAINERS IN A NETWORK(网络中使用VRF容器的第3层的验证)”的美国临时专利申请第62/521,788号的优先权,以及要求于2017年07月28日递交的题为“VALIDATION OFLAYER 3 USING VIRTUAL ROUTING FORWARDING CONTAINERS IN A NETWORK(网络中使用虚拟路由转发容器的第3层的验证)”的美国专利申请第15/663,627号的优先权,通过引用将其全部内容合并至本文。
技术领域
本技术涉及网络配置和保证,更具体地,涉及网络内部和外部的路由和转发配置和保证。
背景技术
计算机网络变得越来越复杂,通常在网络的各个层都涉及低层以及高层配置。例如,计算机网络一般包括众多访问策略、转发策略、路由策略、安全性策略、服务质量(QoS)策略等等,它们共同定义了网络的整体行为和操作。网络运营商具有各种各样的配置选项,使得可根据用户的需求定制网络。尽管可用的不同配置选项为网络运营商提供了很大程度的灵活性和对网络的控制,但它们也增加了网络的复杂性。在许多情况下,配置过程可能变得高度复杂。毫不奇怪,网络配置过程越来越容易出错。另外,对高度复杂的网络中的错误进行故障排除可能极其困难。识别网络中意外行为的根本原因的过程可能是艰巨的任务。
附图说明
为了描述可以获得本公开的上述和其他优点和特征的方式,将通过参考在附图中示出的上面简要描述的原理的特定实施例来呈现对这些原理的更具体的描述。应理解,这些附图仅描绘了本公开的示例性实施例,因此不应认为是对其范围的限制,通过使用附图,利用附加特征和细节描述和解释了本文的原理,在附图中:
图1A和1B示出了示例网络环境;
图2A示出了网络的示例对象模型;
图2B示出了图2A的示例对象模型中的租户对象(tenant object)的示例对象模型;
图2C示出了图2A的示例对象模型中的各对象的示例关联;
图2D示出了用于实现图2A的示例对象模型的示例模型的示意图;
图3A示出了示例网络保证设备(network assurance appliance);
图3B示出了用于网络保证的示例系统;
图3C示出了用于网络保证的示例系统的示意图;
图3D示出了验证的策略的示例;
图4示出了用于分布式故障代码聚合的平台;
图5A和图5B示出了网络保证和故障代码聚合的示例方法实施例;
图6示出了网络保证设备的示例性检查器;
图7示出了示例网络环境;
图8示出了用于第1层接口的网络保证的示例方法实施例;
图9示出了用于第2层联网的网络保证的示例方法实施例;
图10示出了用于第3层联网的网络保证的示例方法实施例;
图11示出了用于网络保证的示例配置;
图12示出了用于跨逻辑组/VRF的网络保证的示例网络环境和配置;
图13示出了用于RIB和FIB的网络保证的示例网络环境和配置;
图14示出了用于RIB和FIB的网络保证的示例方法实施例;
图15第3层out的网络保证的示例方法实施例;
图16示出了BD-L3out关联的示例网络图;
图17示出了用于BD-L3out关联的网络保证的示例方法实施例;
图18示出了用于学习到的网络保证的示例方法实施例;
图19示出了网络重叠的示例图;
图20示出了用于重叠子网的网络保证的示例方法实施例;
图21示出了根据各种实施例的示例网络设备;以及
图22示出了根据各种实施例的示例计算设备。
具体实施方式
下面详细讨论本公开的各种实施例。虽然讨论了具体实现方式,但应该理解,仅是出于说明目的而这样做的。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以使用其他组件和配置。因此,以下描述和附图是说明性的而不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而,在某些情形下,没有描述众所周知的或传统的细节以避免模糊本描述。在本公开中参考一个实施例或参考实施例可以是参考相同的实施例或任意实施例;并且,这样的参考指的是实施例中的至少一个。
对“一个实施例”或“实施例”的参考意味着结合该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中各处出现的短语“在一个实施例中”不一定都指代相同的实施例,也不是与其他实施例互斥的单独或替代的实施例。此外,描述了可以由一些实施例而不由其他实施例展示的各种特征。
本说明书中使用的术语在本公开的上下文中以及在其中每个术语被使用的特定上下文中通常具有其在本领域中的普通含义。替代语言和同义词可以用于本文所讨论的任何一个或多个术语,并且本文是否详述或论述某一术语不应被看作具有特殊意义。在一些情况下,提供了某些术语的同义词。对一个或多个同义词的记载不排除对其他同义词的使用。本说明书中任何地方的对示例(包括本文所讨论的任何术语的示例)的使用仅是说明性的,并且不旨在进一步限制本公开或任何示例术语的范围和含义。同样地,本公开不限于本说明书中给出的各种实施例。
不意图限制本公开的范围,下面给出根据本公开的实施例的工具、装置、方法、及其相关结果的示例。注意,为了方便读者,可能在示例中使用标题或副标题,这绝不应限制本公开的范围。除非另有定义,否则本文使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。在发生冲突的情况下,以包括定义的本文档为准。
将在下面的描述中阐述本公开的其他特征和优点,并且其部分将从描述中变得清晰可见,或者可以通过实践本文公开的原理来进行学习。借助于所附权利要求中具体指出的工具和组合,可以实现和获得本公开的特征和优点。根据以下描述和所附权利要求,本公开的这些和其他特征将变得更加完全地显现出来,或者可以通过实践本文阐述的原理来进行学习。
概述
在独立权利要求中陈述了本发明的方面,并且在从属权利要求中陈述了优选的特征。一个方面的特征可单独地应用于每个方面或者与其他方面结合来应用。
公开了用于网络的网络保证的系统、方法和非暂时性计算机可读介质(CRM)。该系统、方法和非暂时性计算机可读介质被配置为:从控制器接收第一格式的全局逻辑模型,全局逻辑模型包含关于连接到网络结构的端点如何在结构内进行通信的指令,以及从结构中的一个或多个网络设备接收软件模型,软件模型是来自全局逻辑模型的指令的至少一个子集并具有在一个或多个网络设备上可执行的第二格式,指令的子集是来自全局逻辑模型的、特定于一个或多个网络设备的可操作性的指令。该系统、方法和非暂时性计算机可读介质还被配置为:创建第一格式的局部逻辑模型,局部逻辑模型是所接收的全局逻辑模型的至少一部分,其中全局逻辑模型包含关于连接到网络结构的端点如何在结构内进行通信的指令,将所创建的局部逻辑模型的至少一部分和所接收的软件模型的至少一部分转换为公共格式,以及对公共格式的局部逻辑模型和公共格式的软件模型中的重叠字段的内容进行比较,其中,比较的肯定结果表示一个或多个网络设备从所接收的全局逻辑模型准确地创建了所接收的软件模型。在一些示例中,第一和第二格式彼此不同,公共格式是第一和第二格式中的一个或与第一和第二格式二者都不同。
在一些示例中,该系统、方法和CRM可以被配置为:从结构中的一个或多个网络设备接收从软件模型转换的硬件配置的硬件模型。该系统、方法和CRM可以被配置为:将所接收的软件模型的至少一部分和所接收的硬件模型的至少一部分转换为公共格式,以及对公共格式的软件模型和公共格式的硬件模型中的重叠字段的内容进行比较,并且比较的肯定结果表示一个或多个网络设备将软件模型准确地转换为了硬件模型。在一些示例中,该硬件模型的格式与第一格式和第二格式不同,第二格式是第二格式和第三格式中的一个,或其与第二格式和第三格式都不同。
还公开了用于网络的网络保证中的事件生成的系统、方法和CRM。该系统、方法和CRM可以被配置为:从控制器接收第一格式的全局逻辑模型,该全局逻辑模型包含关于连接到网络结构的端点如何通过结构中的一个或多个网络设备相互通信的指令,以及从结构中的一个或多个网络设备接收软件模型,该软件模型是来自全局逻辑模型的指令的至少一个子集并具有可在一个或多个网络设备上执行的第二格式,该指令子集是来自全局逻辑模型、特定于一个或多个网络设备的可操作性的指令,以及接收从软件模型转换而来的硬件配置的硬件模型。该系统、方法和CRM还可以配置为验证接收到的全局逻辑模型、所接收的软件模型和所接收的硬件模型的准确性,并给予该验证生成一个或多个事件。
在一些示例中,系统、方法和CRM可以被配置为:存储先前的配置以及该先前的配置的相应的有效性,识别所接收的全局逻辑模型、所接收的软件模型和/或所接收的硬件模型中的与所存储的具有相应的不利的有效性的先前的配置相同或类似的任何配置,以及响应于该识别的肯定结果,报告将接收的全局逻辑模型、所接收的软件模型和/或所接收的硬件模型中的潜在缺陷。
在一些示例中,该一个或多个事件包括信息事件,该信息事件响应于验证中未识别出不一致。在其他示例中,一个或多个事件包括错误事件,该错误事件响应于验证中识别出至少一个不一致。在一些示例中,错误事件可以根据至少一个不一致的严重性具有不同的严重性级别。在一些示例中,响应于错误事件,系统进一步包括指令,当该指令由至少一个处理器执行时,使得该至少一个处理器:单独地验证所接收的全局逻辑模型、所接收的软件模型和/或所接收的硬件模型中的所接收的二级内容与针对其生成至少一个不一致的原始内容相关。
还公开了用于指令结构中的配置的正确部署的第1层网络保证检查系统、方法和CRM。该系统、方法和CRM可以被配置为:从控制器接收包含关于连接到网络结构的端点如何在结构内进行通信的指令的全局逻辑模型,指令包括一个或多个网络设备的至少一个接口的访问策略,以及从结构中的一个或多个网络设备接收软件模型,软件模型是来自全局逻辑模型的指令的至少一个子集,指令子集是来自全局逻辑模型的、特定于一个或多个网络设备的可操作性的指令。在一些示例中,该系统、方法和CRM可以配置为:验证所接收的全局逻辑模型中的访问策略的至少第1层被正确配置在一个或多个网络设备上,在所接收的软件模型中识别一个或多个网络设备的一个或多个端口的物理链路和软件链路的报告状态,获得一个或多个网络设备的一个或多个端口的物理链路和软件链路的实际状态,对物理链路和软件链路的报告状态与所获得的物理链路和软件链路的实际状态进行比较,以及基于验证和/或比较生成一个或多个事件。
在一些示例中,系统、方法和CRM可以被配置为:确认所接收的全局逻辑模型中存在交换机简档和接口简档,交换机简档和接口简档已正确链接,以及接口简档被正确链接到全局简档。
在一些示例中,系统、方法和CRM可以被配置为:响应于确定一个或多个访问策略未配置在至少一个接口上,生成错误事件。
在一些示例中,系统、方法和CRM可以被配置为:响应于指示物理链路的报告状态为活动而物理链路的实际状态为关闭、或物理链路的报告状态为关闭而物理链路的实际状态为活动的比较,生成错误事件
在一些示例中,系统、方法和CRM可以被配置为:响应于指示软件链路的报告状态为活动而软件链路的实际状态为关闭、或物理交换机的报告状态为关闭而物理交换机的实际状态为活动的比较,生成错误事件。
在一些示例中,系统、方法和CRM可以被配置为:轮询一个或多个网络设备,以获得物理链路和软件链路的实际状态。
还公开了用于指令结构中的配置的正确部署的第2层网络保证检查系统、方法和CRM。该系统、方法和CRM可以被配置为:从控制器接收第一格式的全局逻辑模型,所述全局逻辑模型包含关于连接到网络结构的端点如何在所述结构内进行通信的指令,以及从所述结构中的一个或多个网络设备接收软件模型,所述软件模型是来自所述全局逻辑模型的指令的至少一个子集并具有在所述一个或多个网络设备上可执行的第二格式,所述指令的子集是来自所述全局逻辑模型的、特定于所述一个或多个网络设备的可操作性的指令。
该系统、方法和CRM可以被配置为:创建所述第一格式的局部逻辑模型,所述局部逻辑模型是所接收的全局逻辑模型的至少一部分,其特定于一个或多个网络设备的可操作性,将所创建的局部逻辑模型的第2层内容的至少一部分和所接收的软件模型的第2层内容的至少一部分转换为公共格式,以及对所述公共格式的所述局部逻辑模型和所述公共格式的所述软件模型中的至少部分第二层重叠字段的内容进行比较。
在一些示例中,比较的肯定结果表示一个或多个网络设备先前至少部分准确地从全局逻辑模型创建了软件模型。该系统、方法和CRM还可以被配置为:验证全局逻辑模型的至少部分第2层内容被正确地配置。
在一些示例中,要进行转换和比较的第2层内容的至少一部分包括VLAN信息和接口信息,从而至少部分地检查任何网桥域和/或端点组(EPG)的正确部署。在一些示例中,要进行验证的第2层内容中的至少一部分包括,在第2层,正确配置了访问策略,正确配置了EPG,多个EPG在存在于网络设备中的至少一个上时不使用相同的虚拟局域网(VLAN),不存在重叠的VLAN,同一交换机的交换机级别上不存在重复的VLAN,同一交换机的同一端口上的端口级别上也不存在重复的VLAN。该系统、方法和CRM还可以配置为:系统、方法和CRM还可以被配置为从结构中的一个或多个网络设备接收从软件模型转换而来的第三硬件配置格式的硬件模型,将所接收的软件模型的第2层内容的至少一部分和/或硬件模型的第2层内容的至少一部分转换为公共格式,并对公共格式的所接收的软件模型中的至少部分第2层重叠字段的内容与公共格式的所接收的硬件模型进行比较。
在一些示例中,比较的肯定结果表示一个或多个网络设备将软件模型的第2层部分至少准确地转换为硬件模型。
在一些示例中,第2层内容的至少一部分要经受转换,并且比较包括每个EPG的VLAN。
该系统、方法和CRM也可以配置为从结构外部的DVS接收分布式虚拟交换机(DVS)逻辑模型,将所接收的DVS逻辑模型的第2层内容的至少一部分和/或所接收的全局硬件模型的第2层内容的至少一部分转换为第三公共格式,并将第三公共格式的所接收的全局逻辑模型的至少部分第2层重叠字段的内容与第三格式的所接收的DVS逻辑模型进行比较。在一些示例中,第三比较的一个肯定结果表示全局逻辑模型中的VLAN在整个网络中已正确分配。
还公开了用于指令结构中的配置的正确部署的第3层网络保证检查系统、方法和CRM。该系统、方法和CRM可以被配置为:从控制器接收第一格式的全局逻辑模型,全部逻辑模型包含关于连接到网络结构的端点如何在结构内进行通信的指令,并且全局逻辑模型包括至少一个虚拟路由和转发实例(VRF),以及从结构中的一个或多个网络设备接收软件模型,软件模型是来自全局逻辑模型的指令的至少一个子集并具有在一个或多个网络设备上可执行的第二格式,指令的子集是来自全局逻辑模型的、特定于一个或多个网络设备的可操作性的指令;该系统、方法和CRM还可以配置为:针对每个网络设备,将全局逻辑模型转换为第一格式的局部逻辑模型,局部逻辑模型是所接收的全局逻辑模型的至少一部分,全局逻辑模型特定于相应的每个网络设备的可操作性,针对接收到的全局逻辑模型中的至少一个VRF中的每个VRF创建一个容器,为所创建的容器中的每个填充与VRF相关联的网络设备中的每个的局部逻辑模型和软件模型,以及确认所填充的容器中的桥接域(BD)子网匹配。在一些示例中,填充包括集合并(set union),使得所填充的VRF容器不包含任何重复的BD子网。
在一些示例中,在所填充的容器中包括没有相应的局部逻辑模型的软件模型表示不正确的额外项。在一些示例中,在所填充的容器中包括没有相应的软件模型的局部逻辑模型表示在全局逻辑模型的部署中存在错误。
该系统、方法和CRM还可以配置为:从局部逻辑硬件模型中减去软件模型中的相应的一个软件模型,从软件模型中的一个软件模型中减去相应的局部逻辑模型。在一些示例中,减法之间的不匹配表示不一致。在一些示例中,响应于减法之间的不匹配而生成错误事件。在一些示例中,响应于所填充的容器中的桥接域(BD)子网中的不匹配而生成错误事件。
还公开了用于指令结构中的配置的正确部署的第3层网络保证检查系统、方法和CRM。该系统、方法和CRM可被配置成接收全局逻辑模型、多个软件模型和多个硬件模型,其中全局逻辑模型中包括虚拟路由实例(VRF)的。该系统、方法和CRM还可以被配置为:从全局逻辑模型创建多个局部逻辑模型,针对所接收的VRF创建VRF容器,使用所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型的子集来填充所创建的VRF容器,该子集由结构中与所接收的全局逻辑模型的VRF相关联的一个或多个网络设备定义,以及识别所填充的VRF容器中所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型中的一个或多个,其中所识别的一个或多个模型对应于结构中不与所接收的全局逻辑模型的VRF相关联的一个或多个网络设备。在一些示例中,识别的肯定结果表示全局逻辑模型中存在不一致。
在一些示例中,系统、方法和CRM可以被配置为:验证全局逻辑模型与软件模型和/或硬件模型相一致。在一些示例中,系统、方法和CRM可以被配置为对软件模型中的一个与局部逻辑模型中的一个之间的重叠字段内容进行比较。在一些示例中,系统、方法和CRM可以被配置为对软件模型中的一个与硬件模型中的一个之间的重叠字段内容进行比较。在一些示例中,系统、方法和CRM可以被配置为:响应于识别的肯定结果,生成错误事件。
在一些示例中,软件模型基于全局逻辑模型。在一些示例中,硬件模型基于相应的软件模型。
还公开了用于执行结构中的配置的正确部署的RIB-FIB网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为:获得网络设备的转发信息库(FIB)和路由信息库(RIB),将FIB和/或RIB转换为公共格式,从RIB和FIB中移除重复项,确定RIB中的RIB项目是否与FIB中的项目相匹配,响应于该确定的否定结果,识别何时FIB中的条目被另一RIB条目覆盖。在一些示例中,可以响应于识别的否定结果来生成错误事件。
在一些示例中,系统、方法和CRM可以被配置为确定FIB中的条目的IP地址/掩码和下一跳与RIB条目相匹配。在一些示例中,系统、方法和CRM可以被配置为识别FIB中的FIB条目,该FIB条目具有与不匹配的RIB条目匹配以及覆盖该不匹配的RIB条目的IP地址/掩码的下一跳。在一些示例中,系统、方法和CRM可以被配置为标识FIB中的FIB条目,该FIB条目具有完全覆盖不匹配RIB条目的替代性子网前缀。
在一些示例中,FIB从网络设备的线路控制器获得,RIB从网络设备的SUP控制器提取。在一些示例中,网络设备是结构中的叶节点或脊节点,系统、方法和CRM可以被配置为从叶节点或脊节点获得包含FIB和RIB的软件模型。在一些示例中,系统、方法和CRM可以被配置为确定应用于RIB中的每个条目。
还公开了用于结构中的配置的正确部署的跨端点组网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为接收全局逻辑模型、多个软件模型和/或多个硬件模型,其中该全局逻辑模型包括虚拟路由和转发实例(VRF),VRF在其下具有至少一个桥接域(BD)以及至少一个相关联的EPG。该系统、方法和CRM还可以被配置为从所接收的全局逻辑模型创建多个局部逻辑模型,针对所接收的全局逻辑模型的VRF创建VRF容器,使用软件模型、硬件模型和/或局部逻辑模型的子集填充所创建的VRF容器,该子集由结构中在其上部署VRF的叶节点定义,确定所接收的全局逻辑模型的VRF容器中的至少一个EPG中的任何EPG和不位于该VRF容器中的EPG之间是否存在安全性契约,以及响应于确定的肯定结果,验证一个或多个子网不冲突。
在一些示例中,至少一个BD中的每个BD包括至少一个子网。在一些示例中,至少一个EPG的每个EPG包括至少一个子网。
该系统、方法和CRM还可以被配置为确定第一BD中与第一EPG(在该处存在契约)相关联的第一子网集,确定第二BD中与第二EPG(在该处存在契约)相关联的第二子网集,以及验证第一子网集不与第二子网集相交。该系统、方法和CRM还可以被配置为针对每个子网验证下一跳。
在一些示例中,响应于一个或多个子网之间存在冲突而生成错误事件。在一些示例中,响应于第一子网集与第二子网集相交而生成错误事件。
还公开了用于执行结构中的配置的重叠子网网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为从控制器接收第一格式的全局逻辑模型,该全局逻辑模型关于与网络结构连接的端点如何与在结构内进行通信的指令,以及从结构中的一个或多个网络设备接收软件模型,该软件模型是来自全局逻辑模型的指令的子集并具有在一个或多个网络设备上可执行的第二格式,该指令的子集是来自全局逻辑模型的、特定于一个或多个网络设备的可操作性的指令。该系统、方法和CRM还可以被配置为确定所接收的全局逻辑模型和所接收的软件模型中是否存在一个或多个重叠桥接域(BD)子网,以及响应于一个或多个BD子网的重叠BD子网的确定,确定该一个或多个重叠BD子网中的任何BD子网满足例外。在一些示例中,确定中一者的否定结果至少部分地表示子网已被正确地部署。在一些示例中,响应于重叠且不存在可应用的异常而生成错误事件。
该系统、方法和CRM可以被配置为检查软件模型的IP地址和掩码,以及当IP地址和掩码中的两个或多个重叠时,确定存在重叠。在一些示例中,在网络设备中的每个的每个VRF中执行定位。在一些示例中,例外是当BD子网在学习到的路由内时。在一些示例中,确定中一者的肯定结果至少部分地表示子网未被正确地部署。在一些示例中,例外是当重叠的BD子网是相同的。
还公开了用于结构中的配置的正确部署的L3out网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为从控制器接收第一格式的全局逻辑模型,所述全局逻辑模型包含关于连接到网络结构的端点如何在所述结构内进行通信的指令,以及从所述结构中的一个或多个网络设备接收软件模型,所述软件模型是来自所述全局逻辑模型的指令的至少一个子集并具有在所述一个或多个网络设备上可执行的第二格式,所述指令的子集是来自所述全局逻辑模型的、特定于所述一个或多个网络设备的可操作性的指令。该系统、方法和CRM还可以用于创建所述第一格式的局部逻辑模型,局部逻辑模型是所接收的全局逻辑模型的特定于一个或多个网络设备的可操作性的至少一部分,将所创建的局部逻辑模型的第3层out(L3out)内容的至少一部分和/或所接收的软件模型的L3out内容的至少一部分转换为公共格式,以及将来自公共格式的所创建的局部逻辑模型的至少部分L3out重叠字段地内容与所接收的软件模型的公共格式进行比较。在一些示例中,比较的肯定结果至少部分地表示内部子网已正确地泄露到结构外部。在一些示例中,在一些示例中,要经受比较的至少一些L3out重叠字段包括叶节点、端口和网络,从而至少部分地验证L3out接口已正确部署。在一些示例中,至少部分要经受比较的L3out重叠字段包括网络设备,从而至少部分地验证L3out环回已正确部署。
在一些示例中,经受比较的至少部分L3out重叠字段包括叶节点和下一跳,从而至少部分验证L3out静态路由已正确部署。在一些示例中,要经受比较的至少部分L3out重叠字段包括字段,从而至少部分验证端点组已正确部署。
该系统、方法和CRM可以被配置为验证软件模型的最长前缀匹配(LPM)表中的每个泄漏的内部子网具有下一跳,该下一跳标识哪个边界叶节点泄露了该子网,其中,验证的肯定结果至少部分地表示内部子网已被正确地泄漏到结构外部。
该系统、方法和CRM可以被配置为验证边界叶的LPM表具有标识网络设备的泄漏的内部子网的下一跳,其中验证的肯定结果至少部分地表示内部子网已被正确泄漏到结构外部。
还公开了用于执行结构中的配置的正确部署的BD-L3out关联网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为从控制器接收第一格式的全局逻辑模型,该全局逻辑模型包含关于连接到网络结构的端点如何在结构内通信的指令,识别全局逻辑模型中指定为公共的桥接域(BD)子网,响应于识别的肯定结果,验证所识别的BD与L3out相关联。在一些示例中,识别的否定结果和验证的肯定结果至少部分地表示BD-第3层out(L3out)关系的正确配置。
该系统、方法和CRM可以被配置为确定所识别的BD中是否存在具有与其相应的L3out不同的端点组(EPG)的任何BD。该系统、方法和CRM还可以被配置为响应于确认的肯定结果,确认具有与其相应的L3out不同的端点组(EPG)的所识别的BD中的任何BD之间存在契约。
在一些示例中,确认的肯定结果至少部分地表示BD-L3out关系的正确配置。在一些示例中,可以响应于识别的肯定结果而生成错误事件。在一些示例中,可以响应于验证的否定结果而生成错误事件。在一些示例中,可以响应于确认的否定结果而生成错误事件。
还公开了用于执行结构中的配置的正确部署的学习到的路由网络保证检查的系统、方法和CRM。该系统、方法和CRM可以被配置为从结构中的一个或多个网络设备接收软件模型,该软件模型来自全局逻辑模型的指令的子集并具有在一个或多个网络设备上可执行的第二格式,该指令的子集是来自全局逻辑模型的、特定于一个或多个网络设备的可操作性的指令。该系统、方法和CRM还可以被配置为从多个网络设备中识别从外部设备导入外部子网的源叶节点,源叶节点具有在虚拟路由转发实例(VRF)下的L3out,从多个网络设备中识别叶节点子分组,该叶节点子分组包括源叶节点和具有源叶节点的VRF下的L3out或BD的源叶节点,确认所导入的外部子网与叶节点组的一个或多个叶节点的软件模型相一致,在源叶节点处,确定所导入的网络的下一跳是请求泄露的网络设备,以及在其他叶节点处,确定所导入的网络的下一跳是至少源叶节点。在一些示例中,确定和确认的肯定结果至少部分地代表导入的路由的正确传播。在一些示例中,确认的否定结果表示导入的路由的不正确传播。在一些示例中,确认的否定结果表示导入的路由的不正确传播。
该系统、方法和CRM还可以被配置为确认所导入的外部子网在叶节点组中的所有叶节点的软件模型中都是一致的,进一步包括指令,该指令当被至少一个处理器执行时,使得至少一个处理器确认所导入的外部子网在叶节点组的所有叶节点中的软件模型的最长前缀匹配(LPM)表中都是一致的。该系统、方法和CRM还可以被配置为从控制器接收全局逻辑模型,该全局逻辑模型包含关于连接到网络结构的端点如何通过结构中的一个或多个设备彼此通信的指令,以及确认全局逻辑模型中任何导入的路由与多个叶节点中的边界叶节点的所接收的软件模型中的任何导入的路由一致。
该系统、方法和CRM还可以被配置为确认全局逻辑模型中任何导入的路由与多个叶节点中的边界叶节点的所接收的软件模型中的任何导入的路由一致包括指令,该指令当被至少一个处理器执行时,使得至少一个处理器确认边界叶节点的软件模型的LPM表包括在全局逻辑模型的第3层out(L3out)的端点组(EPG)中找到的任何导入的路由。
该系统、方法和CRM还可以被配置为确认全局逻辑模型中的任何导入的路由与多个叶节点中的边界叶节点的所接收的软件模型中的任何导入的路由一致包括指令,该指令当被至少一个处理器执行时,使得至少一个处理器确认边界叶节点的软件模型的LPM表包括在全局逻辑模型的L3out的EPG中找到的任何导入的路由,并且不包括其他导入的路由,除非从不同的边界叶节点或不同的L3out导入。
描述
所公开的技术解决了本领域中准确高效地发现大型复杂网络或数据中心中的问题的需求。本技术涉及用于网络化环境的第1层、第2层和第3层中的网络保证的系统、方法和计算机可读介质。本技术还涉及用于网络保证的系统、方法和计算机可读介质,以进行网络化环境中的内部-内部(例如,结构内)转发和内部—外部(例如,结构外)转发。可以使用逻辑配置、软件配置和/或硬件配置来执行该网络保证。本技术将在下面的公开中如下描述。讨论开始于跨以应用为中心的维度的网络保证和故障代码聚合的介绍性讨论。接下来是网络保证的介绍性讨论和示例计算环境的描述,如图1A和图1B中所示。讨论将继续进行针对用于网络保证、网络建模以及跨逻辑或以应用程序为中心的维度的故障代码聚合的系统和方法的描述,如图2A至图2D、图3A至图3D、图4和图5A至图5B所示。讨论将继续进行针对用于路由和转发保证及检查的系统和方法的描述,如图3至图20所示。讨论以针对示例网络设备的描述(如图21所示),以及针对示例计算设备(如图22所示)的描述结束,包括适合于容宿软件应用和执行计算操作的示例硬件组件。
现在,本公开转向对跨逻辑或以应用程序为中心的维度的网络保证和分布式故障代码聚合的讨论。
网络保证是确保或确定网络按照网络运营商的意图行事并且已经被恰当配置(例如,网络正在做预期它要做的事情)。意图可以包含各种网络操作,例如,桥接、路由、安全性、服务链化(service chaining)、端点、合规性、QoS(服务质量)、审计等。意图可以体现在为网络和各个网络元件(例如,交换机、路由器、应用、资源等)定义的一个或多个策略、设置、配置等中。然而,经常地,网络运营商所定义的配置、策略等是不正确的或者未能准确地反映在网络的实际行为中。例如,网络运营商为一种或多种类型的流量指定配置A,但后来发现网络实际上正在将配置B应用于该流量或以与配置A不一致的方式处理该流量。这可能是许多不同原因导致的结果,例如硬件错误、软件缺陷、变化的优先级、配置冲突、一个或多个设置的误配置、设备不适当的规则呈现、意外错误或事件、软件升级、配置更改、失败等。作为另一示例,网络运营商实现配置C,但一个或多个其他配置导致网络以与配置C的实现方式所反映的意图不一致的方式行动。例如,当配置C与网络中的其他配置冲突时会导致这样的情形。
本文中的方法可以通过对网络的各个方面建模和/或执行一致性检查以及其他网络保证检查来提供网络保证。本文的方法还可使得能够按照以任何软件或应用为中心的维度对硬件级(例如,网络交换机级)错误进行识别和可视化。非限制性示例可视化可以包括:1)每租户错误聚合、2)每应用程序简档错误聚合、3)每端点组对聚合、以及4)每契约错误聚合。通过这种方式,数据中心运营商可以快速查看在整个网络结构中影响特定租户或其他逻辑实体的硬件错误,甚至可以按其他维度(例如端点组)进行深入挖掘,以仅查看那些相关的硬件错误。这些可视化加快了根本原因分析的速度,从而改善数据中心和应用可用性指标。给定网络结构的规模,用于创建这些可视化的聚合可以以分布式方式完成。
在此上下文中,网络保证平台可以在每个单独的网络设备(例如,交换机)运行保证操作员,并且发出与网络设备相关联的故障代码。逻辑策略丰富器可以将硬件ID(例如,范围、pcTag等)映射到软件定义网络(SDN)结构配置(例如以应用为中心的基础设施(ACI)结构配置)中定义的逻辑策略实体。该映射可以产生丰富的(enriched)故障代码。可以将该丰富的故障代码发送到聚合层,以进行聚合。例如,多个节点(例如,HADOOP)可收集该丰富的故障代码并将它们作为(密钥、标签)发送到聚合层。
在一些情况下,通过将每个密钥的聚合器运行为单独的缩减器(reducer),聚合层可以水平扩展。每个密钥可以代表不同的聚合维度。维度的非限制性的示例包括租户、契约、应用简档、端点组(EPG)对,等等。这为大型网络结构的操作员提供了针对该特定聚合维度的网络结构的健康状况的集成视图。例如,这可以提供每个租户、契约、应用简档,EPG对等的健康状况。
如前所述,故障代码聚合可实现可以表示网络各个方面的逻辑模型。模型可包括网络的数学或语义模型,包括但不限于网络的策略、配置、要求、安全性、路由、拓扑结构、应用、硬件、过滤器、契约、访问控制列表、EPG、应用简档、租户,等等。可以实现模型以提供网络保证,来确保网络被恰当地配置,并且网络的行为将与通过由网络运营商实现的具体策略、设置、定义等所反映的预期行为一致(或保持一致)。与涉及发送和分析数据分组并观察网络行为的传统网络监视不同,可以通过建模执行网络保证,而不必摄取任何分组数据或监视流量或网络行为。这可产生先见之明、洞悉、和后见之明:可以在问题发生之前加以预防,在发生问题时识别问题,并在问题发生后立即修复问题。
可以对网络的性质进行数学建模以确定性地预测网络的行为和状况。数学模型可以对控制、管理和数据平面进行抽象,并且可以使用诸如符号化、形式验证、一致性、图形、行为之类的各种技术。如果(一个或多个)模型指示适当的行为(例如,没有不一致、冲突、错误等),则可以确定网络是健康的。如果建模指示适当的行为但有点不一致,则可以确定网络是可实现功能的,但不是完全健康的。如果建模指示不适当的行为和错误,则可以确定网络是不能实现功能的并且不健康。如果通过建模检测到不一致或错误,则对相应的(一个或多个)模型的详细分析可以允许非常准确地识别出一个或多个基础或根本问题。
建模可能消耗多种类型的数据和/或事件,其对网络的大量行为方面进行建模。这样的数据和事件可能影响网络的各个方面,例如底层服务、覆盖服务、租户连通性、租户安全性、租户EP移动性、租户策略、资源等。
已经描述了跨维度的网络保证和故障代码聚合的各种方面,本公开现在转到对用于网络保证和故障代码聚合的示例网络环境的讨论。
图1A示出了示例网络环境100(例如,数据中心)的图示。网络环境100可以包括可以表示网络环境100的物理层或基础设施(例如,底层)的结构120。结构120可以包括脊节点(脊节点)102(例如,脊路由器或交换机)和叶节点(叶节点)104(例如,叶路由器或交换机),它们可以互连以在结构120中路由或交换流量。脊节点102可以互连结构120中的叶节点104,并且叶节点104可以将结构120连接到网络环境100的覆盖或逻辑部分,其可以包括应用服务、服务器、虚拟机、容器、端点等。因此,结构120中的网络连通性可以从脊节点102流向叶节点104,反之亦然。叶节点104和脊节点102之间的互连可以是冗余的(例如,多个互连)以避免路由失败。在一些实施例中,叶节点104和脊节点102可以完全连接,使得任何给定的叶节点都连接到每个脊节点102,并且任何给定的脊节点都连接到每个叶节点104。叶节点104可以是例如架顶式(top-of-rack,“ToR”)交换机、聚合交换机、网关、入口和/或出口交换机、提供者边缘设备、和/或任何其他类型的路由或交换设备。
叶节点104可以负责路由和/或桥接租户或客户分组以及应用网络策略或规则。网络策略和规则可以由一个或多个控制器116驱动,和/或由诸如叶节点104之类的一个或多个设备实现或实施。叶节点104可以将其他元件连接到结构120。例如,叶节点104可以将服务器106、管理程序108、虚拟机(VM)110、应用112、网络设备114等与结构120连接。这些元件可以驻留在一个或多个逻辑或虚拟层或网络中,例如覆盖网络。在一些情况下,叶节点104可以对去往和来自这种元件(例如,服务器106)的分组进行封装和解封装,以便使得能够进行整个网络环境100和结构120内的通信。叶节点104还可以向任何其他设备、服务、租户、或工作负载提供对结构120的接入。在一些情况下,连接到叶节点104的服务器106可以类似地对去往和来自叶节点104的分组进行封装和解封装。例如,服务器106可以包括一个或多个虚拟交换机或路由器或隧道端点,用于在由服务器106容宿或连接到服务器106的覆盖层或逻辑层与由结构120表示并通过叶节点104访问的底层之间用隧道传输分组。
应用112可以包括软件应用、服务、容器、设备、功能、服务链等。例如,应用112可以包括防火墙、数据库、CDN服务器、IDS/IPS、深度分组检查服务、消息路由器、虚拟变换机等。来自应用112的应用可以由多个端点(例如,服务器106、VM 110等)分发、链接或容宿,或者可以完全从单个端点运行或执行。
VM 110可以是由管理程序108容宿的虚拟机或在服务器106上运行的虚拟机管理器。VM 110可以包括在相应服务器上的访客操作系统上运行的工作负载。管理程序108可以提供创建、管理和/或运行VM 110的软件、固件和/或硬件层。管理程序108可以允许VM 110共享服务器106上的硬件资源,并且允许服务器106上的硬件资源显示为多个单独的硬件平台。此外,服务器106上的管理程序108可以容宿一个或多个VM 110。
在一些情况下,VM 110和/或管理程序108可以迁移到其他服务器106。服务器106可以类似地迁移到网络环境100中的其他位置。例如,连接到特定叶节点的服务器可以改变为连接到不同的或额外的叶节点。此类配置或部署更改可涉及对应用于正在迁移的资源以及其他网络组件的设置、配置和策略的修改。
在一些情况下,一个或多个服务器106、管理程序108和/或VM 110可以表示或驻留在租户或客户空间中。租户空间可以包括与一个或多个客户端或订户相关联的工作负载、服务、应用、设备、网络和/或资源。因此,可以基于特定租户策略、空间、协议、配置等来路由网络环境100中的流量。此外,寻址可以在一个或多个租户之间变化。在一些配置中,租户空间可以被划分为逻辑段和/或网络,并且与跟其他租户相关联的逻辑段和/或网络分开。租户之间的寻址、策略、安全性和配置信息可以由控制器116、服务器106、叶节点104等管理。
可以在逻辑级、硬件级(例如,物理级)和/或两者处实现网络环境100中的配置。例如,可以通过软件定义的网络(SDN)框架(例如,以应用为中心的基础设施(ACI)或VMWARENSX),基于端点或资源属性(例如,端点类型和/或应用组或简档)来在逻辑和/或硬件级实现配置。为了说明,一个或多个操作员可以通过控制器116在逻辑级(例如,应用或软件级)定义配置,控制器116可以通过网络环境100实现或传播这样的配置。在一些示例中,控制器116可以是ACI框架中的应用策略基础设施控制器(APIC)。在其他示例中,控制器116可以是与其他SDN解决方案相关联的一个或多个管理组件,例如,NSX管理器。
这样的配置可以定义用于在网络环境100中路由和/或分类流量的规则、策略、优先级、协议、属性、对象等。例如,这样的配置可以定义用于基于端点组(EPG)、安全组(SG)、VM类型、桥接域(BD)、虚拟路由和转发实例(VRF)、租户、优先级、防火墙规则等来分类和处理流量的属性和对象。下面进一步描述其他示例网络对象和配置。可以基于流量的标签、属性或其他特性来实施流量策略和规则,诸如与流量相关联的协议、与流量相关联的EPG、与流量相关联的SG、与流量相关联的网络地址信息等。这样的策略和规则可以由网络环境100中的一个或多个元件(例如,叶节点104、服务器106、管理程序108、控制器116等)实施。如前所述,可以根据一个或多个特定软件定义的网络(SDN)解决方案(例如,CISCO ACI或VMWARENSX)来配置网络环境100。下面简要描述这些示例SDN解决方案。
ACI可以通过可缩放的分布式实施来提供以应用为中心或基于策略的解决方案。ACI支持在针对网络、服务器、服务、安全性、要求等的声明性配置模型下集成物理和虚拟环境。例如,ACI框架实现EPG,EPG可以包括共享通用配置要求(例如,安全性、QoS、服务等)的端点或应用的集合。端点可以是虚拟/逻辑或物理设备,例如,连接到网络环境100的VM、容器、主机或物理服务器。端点可以具有一个或多个属性,例如,VM名称、访客OS名称、安全标签、应用简档等。应用配置可以以契约的形式在EPG之间应用,而不是直接应用于端点之间。叶节点104可以将传入的流量分类为不同的EPG。分类可以基于例如网络段标识符,例如,VLAN ID、VXLAN网络标识符(VNID)、NVGRE虚拟子网标识符(VSID)、MAC地址、IP地址等。
在一些情况下,ACI基础设施中的分类可以由应用虚拟交换机(AVS)实现,其可以在诸如服务器或交换机之类的主机上运行。例如,AVS可以基于指定的属性对流量进行分类,并且对具有不同标识符(例如,网络段标识符(例如,VLAN ID))的不同属性EPG的分组进行标记。最后,叶节点104可以基于其标识符和实施策略来将分组与其属性EPG捆绑,这可以由一个或多个控制器116实现和/或管理。叶节点104可以对来自主机的流量属于哪个EPG进行分类并且相应地实施策略。
另一示例SDN解决方案基于VMWARE NSX。使用VMWARE NSX,主机可以运行分布式防火墙(DFW),其可以对流量进行分类和处理。考虑将三种类型的VM(即,应用、数据库和webVM)放入单个第2层网络段的情况。可以基于VM类型在网络段内提供流量保护。例如,可以在web VM之间允许HTTP流量,并且在web VM与应用或数据库VM之间不允许HTTP流量。为了对流量进行分类并实现策略,VMWARE NSX可以实现安全组,该安全组可用于对特定VM(例如,web VM、应用VM、数据库VM)进行分组。可以配置DFW规则以实现针对特定安全组的策略。为了说明,在先前的示例的情境中,DFW规则可以被配置为阻止web、应用和数据库安全组之间的HTTP流量。
现在回到图1A,网络环境100可以通过叶节点104、服务器106、管理程序108、VM110、应用112和控制器116来部署不同的主机,例如VMWARE ESXi主机、WINDOWS HYPER-V主机、裸金属物理主机等。网络环境100可以与各种管理程序108、服务器106(例如,物理和/或虚拟服务器)、SDN编排平台等进行互操作。网络环境100可以实现声明性模型以允许其与应用设计和整体网络策略的集成。
控制器116可以提供对软件定义的网络(SDN)基础设施的结构信息、应用配置、资源配置、应用级配置建模的集中访问,与管理系统或服务器的集成等。控制器116可以形成通过上行(northbound)API与应用平面进行接口,并且通过下行(southbound)API与数据平面进行接口的控制平面。
如前所述,控制器116可以定义和管理网络环境100中的针对配置的(一个或多个)应用级模型。在一些情况下,还可以由网络中的其他组件管理和/或定义应用或设备配置。例如,管理程序或虚拟设备(例如,VM或容器)可以运行服务器或管理工具来管理网络环境100中的软件和服务,包括虚拟设备的配置和设置。
如上所示,网络环境100可以包括一个或多个不同类型的SDN解决方案、主机等。为了清楚和解释的目的,将参考ACI框架描述本公开中的各种示例,并且控制器116可以可互换地被称为控制器、APIC或APIC控制器。然而,应该注意,本文的技术和概念不限于ACI解决方案,并且可以在其他架构和场景中实现,包括其他SDN解决方案以及可以不部署SDN解决方案的其他类型的网络。
此外,如本文所引用的,术语“主机”可以指代服务器106(例如,物理的或逻辑的)、管理程序108、VM 110、容器(例如,应用112)等,并且可以运行或包括任何类型的服务器或应用解决方案。“主机”的非限制性示例可以包括虚拟交换机或路由器,例如分布式虚拟交换机(DVS)、应用虚拟交换机(AVS)、矢量分组处理(VPP)交换机;VCENTER和NSX管理器;裸金属物理主机;HYPER-V主机;VM;DOCKER容器;等等。
图1B示出了网络环境100的另一示例。在该示例中,网络环境100包括连接到结构120中的叶节点104的端点122。端点122可以是物理和/或逻辑或虚拟实体,诸如服务器、客户端、VM、管理程序、软件容器、应用、资源、网络设备、工作负载等。例如,端点122可以是表示下列项的对象:物理设备(例如,服务器、客户端、交换机等)、应用(例如,web应用、数据库应用等)、逻辑或虚拟资源(例如,虚拟交换机、虚拟服务设备、虚拟化网络功能(VNF)、VM、服务链等)、运行软件资源的容器(例如,应用、设备、VNF、服务链等)、存储设备、工作负载或工作负载引擎等。端点122可以具有地址(例如,身份)、位置(例如,主机、网络段、虚拟路由和转发(VRF)实例、域等)、一个或多个属性(例如,名称、类型、版本、补丁级别、OS名称、OS类型等)、标签(例如,安全性标签)、简档等。
端点122可以与相应的逻辑组118相关联。逻辑组118可以是包含根据以下各项分组在一起的端点(物理和/或逻辑或虚拟)的逻辑实体:一个或多个属性(例如,端点类型(例如,VM类型、工作负载类型、应用类型等)),一个或多个要求(例如,策略要求、安全性要求、QoS要求、客户要求、资源要求等),资源名称(例如,VM名称、应用名称等),简档,平台或操作系统(OS)特性(例如,包括访客和/或主机OS的OS类型或名称等),关联的网络或租户,一个或多个策略,标签等。例如,逻辑组可以是表示分组在一起的端点集合的对象。为了说明,逻辑组1可以包含客户端端点,逻辑组2可以包含web服务器端点,逻辑组3可以包含应用服务器端点,逻辑组N可以包含数据库服务器端点等。在一些示例中,逻辑组118是ACI环境中的EPG和/或另一SDN环境中的其他逻辑组(例如,SG)。
可以基于逻辑组118对去往端点122和/或来自端点122的流量进行分类、处理、管理等。例如,逻辑组118可以用于对去往端点122或者来自端点122的流量进行分类,将策略应用于去往端点122或者来自端点122的流量,定义端点122之间的关系,定义端点122的角色(例如,端点是消费还是提供服务等),将规则应用于去往端点122或来自端点122的流量,对去往端点122或来自端点122的流量应用过滤器或访问控制列表(ACL),为去往端点122或来自端点122的流量定义通信路径,实施与端点122相关联的要求,实现与端点122相关联的安全性以及其他配置等。
在ACI环境中,逻辑组118可以是用于在ACI中定义契约的EPG。契约可以包括指定EPG之间发生什么通信和如何发生通信的规则。例如,契约可以定义提供服务的是什么,消费服务的是什么以及什么策略对象与该消费关系相关。契约可以包括定义如下内容的策略:通信路径以及端点或EPG之间的通信或关系的所有相关元素。例如,Web EPG可以提供客户端EPG所消费的服务,并且该消费可以受制于过滤器(ACL)和包括一个或多个服务(例如,防火墙检验服务和服务器负载平衡)的服务图。
图2A示出了诸如网络环境100之类的SDN网络的示例管理信息模型200的图示。以下对管理信息模型200的讨论提及了各种术语,在整个公开中也将使用这些术语。因此,为清楚起见,本公开首先将在下面提供术语列表,随后将对管理信息模型200进行更详细的讨论。
如本文中所使用的,“别名(Alias)”可以指代给定对象的可更改的名称。因此,即使对象的名称一旦被创建后就不可更改,但别名可以是可更改的域。
如本文所使用的,术语“别名(aliasing)”可以指代与一个或多个其他规则重叠的规则(例如,契约、策略、配置等)。例如,如果在网络的逻辑模型中定义的契约1与在网络的逻辑模型中定义的契约2重叠,则可以说契约1是契约2的别名。在此示例中,通过使契约2成为别名,契约1可使得契约2冗余或不可操作。例如,如果契约1具有比契约2更高的优先级,则这种别名化可基于契约1的重叠和更高优先级特性而致使契约2冗余。
如本文所使用的,术语“APIC”可以指代ACI框架中的一个或多个控制器(例如,控制器116)。APIC可以为ACI多租户结构提供统一的自动化和管理点、策略编程、应用部署、健康监控。APIC可以实现为单个控制器,分布式控制器,或复制的、同步的和/或集群的控制器。
如本文所使用的,术语“BDD”可以指代二元决策树。二元决策树可以是表示函数(例如,布尔函数)的数据结构。
如本文所使用的,术语“BD”可以指代桥接域。桥接域可以是一组共享相同洪泛或广播特性的逻辑端口。与虚拟LAN(VLAN)一样,桥接域可以跨越多个设备。桥接域可以是L2(第2层)构造。
如本文所使用的,“消费者”可以指代消费服务的端点、资源和/或EPG。
如本文所使用的,“情境(context)”可以指代L3(第3层)地址域,其允许路由表的多个实例存在并同时工作。这通过允许在不使用多个设备的情况下对网络路径进行分段来提高功能性。情境或L3地址域的非限制性示例可以包括虚拟路由和转发(VRF)实例、私有网络等。
如本文所使用的,术语“契约”可以指代指定在网络中进行什么通信以及如何进行通信(例如,允许、拒绝、过滤、处理通信等)的规则或配置。在ACI网络中,契约可以指定端点和/或EPG之间的通信如何发生。在一些示例中,契约可以提供类似于访问控制列表(ACL)的规则和配置。
如本文所使用的,术语“可辨别名称”(DN)可以指代描述诸如MO之类的对象并且定位其在管理信息模型200中的位置的唯一名称。在一些情况下,DN可以是(或等同于)全限定域名(FQDN)。
如本文所使用的,术语“端点组”(EPG)可以指代与端点的集合或组相关联的逻辑实体或对象,如先前参考图1B所描述的。
如本文所使用的,术语“过滤器”可以指代用于允许通信的参数或配置。例如,在其中默认情况下所有通信都被阻止的白名单模型中,必须给予通信明确的许可,以防止此类通信被阻止。过滤器可以定义针对一个或多个通信或分组的(一个或多个)许可。因此,过滤器的功能可以类似于ACL或防火墙规则。在一些示例中,过滤器可以在分组(例如,TCP/IP)头部字段中实现,例如,L3协议类型、L4(第4层)端口等,其例如用于允许端点或EPG之间的入站或出站通信。
如本文所使用的,术语“L2输出”可以指代桥接连接。桥接连接可以连接同一网络的两个或更多个段,使得它们可以通信。在ACI框架中,L2输出可以是ACI结构(例如,结构120)和外部第2层网络(例如,交换机)之间的桥接(第2层)连接。
如本文所使用的,术语“L3输出”可以指代路由连接。路由第3层连接使用一组协议,该组协议确定数据所遵循的路径以便跨网络地从其源行进到其目的地。路由连接可以根据所选择的协议(例如,BGP(边界网关协议)、OSPF(开放式最短路径优先)、EIGRP(增强型内部网关路由协议)等)来执行转发(例如,IP转发)。
如本文所使用的,术语“管理对象”(MO)可以指代在网络(例如,网络环境100)中管理的对象的抽象表示。对象可以是具体对象(例如,交换机、服务器、适配器等)或逻辑对象(例如,应用简档、EPG、故障等)。MO可以是在网络中管理的网络资源或元素。例如,在ACI环境中,MO可以包括ACI结构(例如,结构120)资源的抽象。
如本文所使用的,术语“管理信息树”(MIT)可以指代包含系统的MO的分层管理信息树。例如,在ACI中,MIT包含ACI结构(例如,结构120)的MO。MIT也可以被称为管理信息模型(MIM),例如管理信息模型200。
如本文所使用的,术语“策略”可以指代用于控制系统或网络行为的某些方面的一个或多个规范。例如,策略可以包括命名实体,该命名实体包含用于控制系统行为的一些方面的规范。为了说明,第3层外部网络策略可以包含BGP协议,以在将结构120连接到外部第3层网络时使能BGP路由功能。
如本文所使用的,术语“简档”可以指代与策略相关联的配置细节。例如,简档可以包括命名实体,该实体包含用于实现策略的一个或多个实例的配置细节。为了说明,针对路由策略的交换机节点简档可以包含特定于交换机的配置细节以实现BGP路由协议。
如本文所使用的,术语“提供者”指代提供服务的对象或实体。例如,提供者可以是提供服务的EPG。
如本文所使用的,术语“主体”指代用于定义通信的契约中的一个或多个参数。例如,在ACI中,契约中的主体可以指定什么信息可以被传送以及如何被传送。主体的功能类似于ACL。
如本文所使用的,术语“租户”指代网络中的隔离单元。例如,租户可以是安全且排他的虚拟计算环境。在ACI中,租户可以是从策略角度看的隔离单元,但不一定代表私有网络。实际上,ACI租户可以包含多个私有网络(例如,VRF)。租户可以代表服务提供者设置中的消费者、企业设置中的组织或领域、或仅代表策略组。
如本文所使用的,术语“VRF”指代虚拟路由和转发实例。VRF可以定义第3层地址域,其允许路由表的多个实例存在并同时工作。这通过允许在不使用多个设备的情况下对网络路径进行分段来提高功能性。其也被称为情境或私有网络。
已经描述了本文使用的各种术语,本公开现在返回到对图2A中的管理信息模型(MIM)200的讨论。如前所述,MIM 200可以是分层管理信息树或MIT。此外,MIM 200可以由控制器116(例如,ACI中的APIC)管理和处理。控制器116可以通过将其可管理特性呈现为可以根据对象在模型的分层结构内的位置而继承的对象属性来实现对被管理资源的控制。
MIM 200的分层结构从位于顶部(根)的策略全集202开始并且包含双亲(parent)节点和子节点116、204、206、208、210、212。树中的节点116、202、204、206、208、210、212表示管理对象(MO)或对象组。结构(例如,结构120)中的每个对象具有唯一的可辨别名称(DN),其描述对象并定位其在树中的位置。节点116、202、204、206、208、210、212可以包括如下所述的各种MO,其包含统管系统的操作的策略。
控制器116
控制器116(例如,APIC控制器)可以提供针对结构120的管理、策略编程、应用部署和健康监控。
节点204
节点204包括用于使操作员能够执行基于域的访问控制的策略的租户容器。租户的非限制性示例可以包括:
操作员根据用户的需求定义的用户租户。它们包含统管资源(例如,应用、数据库、web服务器、网络附接存储、虚拟机等)的操作的策略。
共同租户由系统提供,但是可以由操作员配置。它包含统管所有租户可访问资源(例如,防火墙、负载平衡器、第4层到第7层服务、入侵检测设备等)的操作的策略。
基础设施租户由系统提供,但是可以由操作员配置。它包含统管基础设施资源(例如,结构覆盖(例如,VXLAN))的操作的策略。它还使得结构提供者能够选择性地将资源部署到一个或多个用户租户。基础设施租户策略可由操作员进行配置。
管理租户由系统提供,但是可以由操作员配置。它包含统管结构管理功能的操作的策略,这些功能用于对结构节点的带内和带外配置。管理租户包含用于控制器/结构内部通信的私有界外(out-of-bound)地址空间,该地址空间位于通过交换机的管理端口提供访问的结构数据路径之外。管理租户使能与虚拟机控制器的通信的发现和自动化。
节点206
节点206可以包含统管交换机访问端口的操作的访问策略,交换机访问端口提供到诸如存储、计算、第2层和第3层(桥接和路由)连通性、虚拟机管理程序、第4层到第7层设备等之类的资源的连接。如果租户需要除默认链路、思科发现协议(Cisco DiscoveryProtocol,CDP)、链路层发现协议(LLDP)、链路聚合控制协议(LACP)或生成树协议(STP)中提供的接口配置以外的接口配置,则管理员可以配置访问策略以在叶节点104的访问端口上使能此类配置。
节点206可以包含统管交换机结构端口的操作的结构策略,包括诸如网络时间协议(NTP)服务器同步、中间系统到中间系统协议(IS-IS)、边界网关协议(BGP)路由反射器、域名系统(DNS)等之类的功能。结构MO包含诸如电源、风扇、底座等之类的对象。
节点208
节点208可以包含VM域,其将具有类似的联网策略要求的VM控制器聚集起来。VM控制器可以共享虚拟空间(例如,VLAN或VXLAN空间)和应用EPG。控制器116与VM控制器通信以发布网络配置,例如随后应用于虚拟工作负载的端口组。
节点210
节点210可以包含第4层到第7层服务集成生命周期自动化框架,其使得系统能够在服务在线或离线时动态地做出响应。策略可以提供服务设备包和库存管理功能。
节点212
节点212可以包含统管结构120的用户权限、角色和安全域的访问、认证和计费(AAA)策略。
分层策略模型可以很好地适合API,例如REST API接口。调用时,API可以读取或写入MIT中的对象。URL可以直接映射到标识MIT中的对象的可辨别名称。例如,MIT中的数据可以被描述为以XML或JSON编码的自包含结构化树文本文档。
图2B示出了用于MIM 200的租户部分的示例对象模型220。如前所述,租户是用于使操作员能够执行基于域的访问控制的应用策略的逻辑容器。因此,租户代表了从策略角度看的隔离单元,但它不一定代表私有网络。租户可以代表服务提供者设置中的客户、企业设置中的组织或域、或者仅代表方便的策略分组。此外,租户可以彼此隔离或可以共享资源。
MIM 200的租户部分204A可以包括各种实体,并且租户部分204A中的实体可以从双亲实体继承策略。租户部分204A中的实体的非限制性示例可以包括过滤器240、契约236、外部网络222、桥接域230、VRF实例234、和应用简档224。
桥接域230可以包括子网232。契约236可以包括主体238。应用简档224可以包含一个或多个EPG 226。一些应用可以包含多个组件。例如,电子商务应用可能需要web服务器、数据库服务器、位于存储区域网络中的数据、以及对允许实现金融交易的外部资源的访问。应用简档224包含与提供应用的能力在逻辑上相关的尽可能多(或少)的EPG。
EPG 226可以以各种方式来组织,例如基于它们提供的应用、它们提供的功能(例如基础设施)、它们在数据中心(例如DMZ)的结构中的位置、或者结构或租户操作员选择使用的任何组织原则。
结构中的EPG可以包含各种类型的EPG,例如,应用EPG、第2层外部网络外实例EPG、第3层外部网络外实例EPG、用于带外或带内访问的管理EPG等。EPG 226还可以包含属性228,例如基于封装的EPG、基于IP的EPG、或基于MAC的EPG。
如前所述,EPG可以包含具有共同特性或属性(例如,共同策略要求(例如,安全性、虚拟机移动性(VMM)、QoS、或第4层到第7层服务)的端点(例如,EP 122)。不是单独配置和管理端点,而是可以将它们放在EPG中并作为群组进行管理。
策略应用于EPG,包括它们所包含的端点。EPG可以由操作员在控制器116中静态配置,或者由诸如VCENTER或OPENSTACK之类的自动系统动态地配置。
为在租户部分204A中激活租户策略,应配置结构访问策略并将其与租户策略相关联。访问策略使操作员能够配置其他网络配置,例如,端口信道和虚拟端口信道,诸如LLDP、CDP或LACP之类的协议,以及诸如监控或诊断之类的特征。
图2C示出了MIM 200中的租户实体和访问实体的示例关联260。策略全集202包含租户部分204A和访问部分206A。因此,租户部分204A和访问部分206A通过策略全集202相关联。
访问部分206A可以包含结构和基础设施访问策略。通常,在策略模型中,EPG与VLAN耦合。例如,为使流量流过,EPG被部署在具有在物理、VMM、L2输出、L3输出或光纤信道域中的VLAN的叶端口上。
因此,访问部分206A包含域简档236,其可以定义例如要与EPG相关联的物理、VMM、L2输出、L3输出或光纤信道域。域简档236包含VLAN实例简档238(例如,VLAN池)和可附接访问实体简档(AEP)240,它们直接与应用EPG相关联。AEP 240将关联的应用EPG部署到它所附接的端口,并自动执行分配VLAN的任务。虽然大型数据中心可以在数百个VLAN上配有数千个活动的VM,但结构120可以自动从VLAN池分配VLAN ID。与在传统数据中心中中继(trunkdown)VLAN相比,这节省了时间。
图2D示出了诸如网络环境100之类的网络的示例模型的示意图。可以基于与MIM200中定义的各种对象、策略、属性和元素相关联的特定配置和/或网络状态参数来生成模型。模型可以被实现用于网络分析和保证,并且可以在实现的各个阶段和网络的各个级别提供对网络的描述。
如图所示,模型可以包括L_模型270A(逻辑模型)、LR_模型270B(逻辑呈现模型或逻辑运行时模型)、Li_模型272(针对i的逻辑模型)、Ci_模型274(针对i的具体模型)和/或Hi_模型276(针对i的硬件模型或TCAM模型)。
L_模型270A是在网络(例如,网络环境100)中配置的MIM 200中的各种元素(例如,如网络中配置的MIM 200中的对象、对象属性、对象关系和其他元素)的逻辑表示。控制器116可以基于针对网络而输入在控制器116中的配置来生成L_模型270A,并且因此L_模型270A表示控制器116处的网络的逻辑配置。这是对在网络实体(例如,应用、租户等)的元素被连接并且结构120被控制器116配设时所期望的“结束状态”表述的声明。因为L_模型270A表示输入在控制器116中的配置(包括MIM 200中的对象和关系),它还可以反映管理员的“意图”:管理员希望网络和网络元件如何运作。
L_模型270A可以是结构或网络范围的逻辑模型。例如,L_模型270A可以描述来自每个控制器116的配置和对象。如前所述,网络环境100可以包括多个控制器116。在一些情况下,两个或更多个控制器116可以包括用于网络的不同配置或逻辑模型。在这种情况下,L_模型270A可以获得来自控制器116的配置或逻辑模型中的任一者,并基于来自所有控制器116的配置和逻辑模型来生成结构或网络范围的逻辑模型。因此,L_模型270A可以在控制器116之间合并配置或逻辑模型,以提供综合的逻辑模型。L_模型270A还可以解决或解释可能由不同控制器116处的配置或逻辑模型导致的任何依赖性、冗余、冲突等。
因此,L_模型270A是第一/最高层模型。L_模型270A由控制器116基于来自操作员的输入而创建。因此,L_模型270A中的内容是关于结构120中的各个叶节点104和脊节点102如何与端点122通信的特定指令。在一些示例中,任何特定的L_模型270A都可以是“全局”的,因为其可以在中心点处生成,以包括用于所有叶节点104和脊节点102的指令,或用于它们中的仅一部分的指令(理论上来讲,该部分可以小到一个叶节点104或脊节点120,但这是不寻常的)。格式基于GUI接口和/或Rest API允许用户输入的任何内容。可以存在多个L_模型270A配置。L_模型270A的格式是用于生成指令的用户的程序格式,并且其不能由控制器116使用。控制器116将作为第一级的L_模型270A转换为作为第二级的LR_模型270B,其中LR_模型270B是包含L_模型270A的内容的逻辑表示,其格式在控制器116上可读并且可向叶节点104和脊节点102传输。由于这是格式改变,L_模型270A和LR_模型270B的信息内容可以是相同的,但本申请不受此限制,并且可以省略或添加该内容以创建LR_模型270B。
LR_模型270B是控制器116(例如,ACI中的APIC)从L_模型270A中解析的抽象模型表述。LR_模型270B可以提供将被递送到物理基础设施(例如,结构120)以执行一个或多个策略的配置组件。例如,LR_模型270B可以被递送到结构120中的叶节点104,以将叶节点104配置用于与附接的端点122通信。LR_模型270B还可以包含状态信息以捕获网络(例如,结构120)的运行时状态。
在一些情况下,LR_模型270B可以提供L_模型270A的表示,其根据可以传播到结构120的物理基础设施(例如,叶节点104、脊节点102等)和/或被结构120的物理基础设施所理解的特定格式或表述来标准化。例如,LR_模型270B可以将L_模型270A中的元素与可以由结构120中的交换机解释和/或编译的特定标识符或标签(例如,用作分类符的硬件平面标识符)相关联。
控制器116将L_模型270A和/或LR_模型270B(本文中单独地和集体地称为“L_模型270A/B”)传输到结构120中的相关叶节点104和脊节点102。相关性可以由控制器116定义为所有叶节点104和脊节点102,或者其某个子集。作为非限制性示例,图IB的结构120包括叶节点1、叶节点2以及叶节点N。控制器116处的L_模型270A/B可以仅包括用于叶节点1和叶节点N的内容,而不包括用于叶节点2的内容。因此,控制器116将L_模型270A/B传输到所有叶节点1、叶节点2和叶节点N,或仅传输到相关叶节点1和叶节点N。
然后,控制器116和/或接收到L_模型270A/B的每个特定叶节点104和脊节点102从接收到的模型提取/隔离出内容,以形成特定于该特定叶节点或脊节点的内容的局部子集。此提取/隔离出的内容定义第三级Li_模型272,该Li_模型272是交换机级或交换机特定的逻辑模型;因此,Li_模型272是“局部的”,因为其是特定于该交换机的(尽管其可以包括关于该交换机与其他交换机的关系的内容)。因此,Li_模型272是从L_模型270A和/或LR_模型270B中得出的交换机级或交换机特定的模型。Li_模型272可以将L_模型270A和/或LR_模型270B投射在特定交换机或设备i上,因此可以传达L_模型270A和/或LR_模型270B应该如何出现在特定交换机或设备i处或如何在特定交换机或设备i处实现。
例如,Li_模型272可以投射与特定交换机i有关的L_模型270A和/或LR_模型270B,以捕获L_模型270A和/或LR_模型270B在交换机i处的交换机级表示。为了说明,Li_模型272L1可以表示投射到叶节点1(104)或在叶节点1(104)处实现的L_模型270A和/或LR_模型270B。因此,对于结构120上的个体设备(例如,叶节点104、脊节点102等),可以从L_模型270A和/或LR_模型270B生成Li_模型272。作为非限制性示例,如果L_模型270A/B包括用于叶节点1和叶节点N的指令,则叶节点1将提取/隔离出与叶节点1的操作相关的内容,以定义局部Ll_模型272,叶节点N将提取/隔离出与叶节点N的操作相关的内容,以定义局部LN_模型272。由L_模型270A/B不包括用于叶节点2的指令,那么即使叶节点2接收到L_模型270A/B,其也不会创建它自己的局部L2_模型,但本申请不限于此。从局部Li_模型272是L_模型270A/B的子集的角度来看,这表示内容的变化。从局部Li_模型272是从LR_模型270B中的内容的提取/隔离的角度来看,通常不存在格式的改变,但本申请不限于此。
在一些情况下,可以使用JSON(JavaScript对象表示法)来表示Li_模型272。例如,Li_模型272可以包括JSON对象,例如规则、过滤器、条目和范围。
每个Li_模型272的格式可以不是可以由在其上创建了该Li_模型272的特定叶节点104或脊节点102执行的格式(例如,该格式可能不可以在该叶节点或脊节点的本地操作系统上执行)。因此,每个叶节点104和脊节点102可以本地创建第四级,通过将Li_模型272的格式转换为该特定叶节点104或脊节点102的操作系统可以运行的格式。这产生Ci_模型274,其在本文中被称为软件模型或具体模型。因此,作为非限制性示例,其中叶节点N由L_模型270A/B创建了局部LN_模型272,叶节点N将进而由LN_模型272创建局部CN_模型274。因此,Ci_模型274是在单独的结构成员i(例如,交换机i)处的实际状态内(in-state)配置。换句话说,Ci_模型274是基于Li_模型272的交换机级或特定于交换机的模型。例如,控制器116可以将Li_模型272递送到叶节点1(104)。叶节点1(104)可以采用Li_模型272(其可以特定于叶节点1(104)),并且叶节点1(104)可以将Li_模型272中的策略呈现为在叶节点1(104)上运行的具体模型Ci_模型274。例如,叶节点1(104)可以通过叶节点1(104)上的OS来呈现Li_模型272。因此,Ci_模型274可以类似于经编译的软件,因为它采用叶节点1(104)处的交换机OS可以执行的Li_模型272的形式。
由Ci_模型274创建局部Li_模型274表示至少格式的改变。Li_模型272的内容可以与Ci_模型274相同,使得不存在内容改变,尽管引用不限于此且内容可能仅重叠。例如,并非来自Li_模型272的所有内容都被包括在相应的Ci_模型274中。类似地,特定的叶节点104或脊节点102可以将不存在于Li模型272中的内容添加到Ci_模型274。
在一些情况下,Li_模型272和Ci_模型274可以具有相同或相似的格式。例如,Li_模型272和Ci_模型274可以基于JSON对象。具有相同或相似格式可以协助Li_模型272和Ci_模型274中的对象进行比较以确定是否对等或一致。如本文进一步描述的,这种对等性或一致性检查可以用于网络分析和保证。
创建Ci_模型274作为第四级的每个叶节点104和脊节点102将进而创建第五级作为局部硬件模型Hi_模型276。Hi_模型276表示来自Ci_模型274的实际硬件配置,其被提取出并被存储在本地存储器中。从Ci_模型274到Hi_模型276的转变表示格式改变和内容改变二者。类似地,特定的叶节点104或脊节点102将不存在于Ci_模型274中的内容添加到Hi_模型276。
因此,Hi_模型276也是针对交换机i的交换机级或特定于交换机的模型,但是基于针对交换机i的Ci_模型274。Hi_模型276是在单独的结构成员i(例如,交换机i)处的硬件或存储器(例如,TCAM存储器)上存储或呈现的实际配置(例如,规则)。例如,Hi_模型276可以表示叶节点1(104)基于叶节点1(104)处的Ci_模型274在叶节点1(104)的硬件(例如,TCAM存储器)上存储或呈现的配置(例如,规则)。叶节点1(104)处的交换机OS可以呈现或执行Ci_模型274,并且叶节点1(104)可以存储或呈现来自存储设备(例如,叶节点1(104)处的存储器或TCAM)中的Ci_模型274的配置。来自由叶节点1(104)存储或呈现的Hi_模型276的配置表示在处理流量时将由叶节点1(104)实现的配置。
虽然模型272、274、276被示出为特定于设备的模型,但是类似的模型可以针对结构120中的结构成员(例如,叶节点104和/或脊节点102)的集合而生成或聚合。当被组合时,特定于设备的模型(例如模型272、模型274和/或模型276)可以提供超出特定设备的结构120的表示。例如,在一些情况下,可以组合或聚合与一些或所有各个结构成员(例如,叶节点104和脊节点102)相关联的Li_模型272、Ci_模型274和/或Hi_模型276,以基于各个结构成员生成一个或多个聚合模型。
如本文所提及的,术语H模型、T模型和TCAM模型可以互换使用以指代硬件模型,例如Hi_模型276。例如,Ti模型、Hi模型和TCAMi模型可以互换使用,以指代Hi_模型276。
模型270A、270B、272、274、276可以提供网络的各个方面或MIM200的各个配置阶段的表示。例如,模型270A、270B、272、274、276中的一个或多个可以用于生成表示结构120的一个或多个方面(例如,底层拓扑、路由等)的底层模型278,表示网络环境100的覆盖或(一个或多个)逻辑段的一个或多个方面(例如,COOP、MPBGP、租户、VRF、VLAN、VXLAN、虚拟应用、VM、管理程序、虚拟交换等)的覆盖模型280,表示MIM 200中的租户部分204A的一个或多个方面(例如,安全性、转发、服务链、QoS、VRF、BD、契约、过滤器、EPG、子网等)的租户模型282,表示网络环境100中的一个或多个资源(例如,存储、计算、VM、端口信道、物理元件等)的资源模型284,等等。
通常,L_模型270A可以是存在于LR_模型270B中的内容的高级表述,其应当在具体设备上被呈现为Ci_模型274和Hi_模型276表述。如果模型之间存在任何间隙,则可能存在不一致的配置或问题。
图3A示出了用于网络保证的示例保证设备300的图。在该示例中,保证设备300可以包括以集群模式操作的k个VM 110。在此示例中为了解释的目的而使用VM。然而,应该理解,本文还设想了其他配置,例如,使用容器、裸金属设备、端点122、或任何其他物理或逻辑系统。此外,例如,虽然图3A示出了集群模式配置,但是本文还设想了其他配置,例如单模式配置(例如,单个VM、容器或服务器)或服务链。
保证设备300可以在一个或多个服务器106、资源110、管理程序108、EP 122、叶节点104、控制器116或任何其他系统或资源上运行。例如,保证设备300可以是在网络环境100中的一个或多个VM 110上运行的逻辑服务或应用。
保证设备300可以包括数据框架308,其可以基于例如APACHE APEX和HADOOP。在一些情况下,保证检查可以被编写为驻留在数据框架308中的个体操作员(操作员)。这允许实现本地水平扩展架构,其能够扩展到结构120(例如,ACI结构)中的任意数量的交换机。
保证设备300可以以可配置的周期(例如,时段)轮询结构120。分析工作流可以被设置为操作员310的DAG(有向无环图),其中数据从一个操作员流向另一操作员,并且最终生成结果并且针对每个间隔(例如,每个时段)将结果永久保存到数据库302。
上层(north-tier)实现API服务器(例如,APACHE Tomcat、Spring框架)304和Web服务器306。图形用户界面(GUI)经由暴露给客户的API进行交互。客户还可以使用这些API来从保证设备300收集数据,以进一步集成到其他工具中。
数据框架308(例如,APEX/Hadoop)中的操作员310可以一起支持保证操作。以下是保证设备300可以通过操作员310执行的保证操作的非限制性示例。
安全性策略遵守
保证设备300可以检查以确保来自可以反映用户对网络的意图的L_模型270A的配置或规范(包括例如安全性策略和客户配置的契约)被正确地实现和/或呈现在Li_模型272、Ci_模型274和Hi_模型276中并且因此由结构成员(例如,叶节点104)适当地实现和呈现,并且报告任何发现的错误、契约违反或不规则。
静态策略分析
保证设备300可以检查用户的一个或多个意图的规范中的问题(例如,识别L_模型270A中的矛盾或冲突的策略)。
TCAM利用率
TCAM是结构(例如,结构120)中的稀缺资源。然而,保证设备300可以通过网络数据(例如,最长前缀匹配(LPM)表、路由表、VLAN表、BGP更新等)、契约、逻辑组118(例如,EPG)、租户、脊节点102、叶节点104、和网络环境100中的其他维度和/或MIM 200中的对象来分析TCAM利用率,以向网络运营商或用户提供对该稀缺资源的利用率的可见性。这对规划和其他优化目的有很大帮助。
端点检查
保证设备300可以验证结构(例如,结构120)在所注册的端点信息中没有不一致(例如,两个叶节点宣告相同的端点、重复的子网等),以及其他这样的检查。
租户路由检查
保证设备300可以验证BD、VRF、子网(内部和外部两者)、VLAN、契约、过滤器、应用、EPG等被正确地编程。
基础设施路由
保证设备300可以验证基础设施路由(例如,IS-IS协议)没有导致黑洞、环路、振荡(flap)的收敛问题和其他问题。
Claims (27)
1.一种用于对结构中的配置的正确部署执行网络保证检查的系统,包括:
至少一个存储器,被配置为存储数据;以及
至少一个处理器,可操作用于执行与所述数据相关联的指令,当所述指令由所述至少一个处理器执行时,使得所述处理器执行以下操作:
接收全局逻辑模型、多个软件模型和多个硬件模型,所述全局逻辑模型包括至少一个虚拟路由和转发实例VRF以及关于所述结构中的端点之间的连接的信息,所述多个软件模型包括所述全局逻辑模型的子集并且能够在所述结构中的网络设备上执行,所述多个硬件模型包括从所述多个软件模型转换的所述网络设备的硬件配置;
从所述全局逻辑模型创建多个局部逻辑模型;
针对所述至少一个VRF中的每个VRF,创建VRF容器;
用所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型的子集填充所创建的VRF容器,所述子集由所述结构中与所接收的全局逻辑模型的所述至少一个VRF相关联的一个或多个网络设备定义;以及
在所填充的VRF容器内识别所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型中的一者或多者是否对应于所述结构中与所接收的全局逻辑模型的所述至少一个VRF不相关的一个或多个网络设备;
其中,所述识别的肯定结果表示所述全局逻辑模型中存在潜在缺陷。
2.根据权利要求1所述的系统,还包括指令,所述指令在由所述至少一个处理器执行时,使得所述至少一个处理器:验证所述全局逻辑模型与所述软件模型和/或所述硬件模型一致。
3.根据权利要求1或2所述的系统,还包括指令,所述指令在被执行时,使得所述至少一个处理器:对所述局部逻辑模型中的一个和所述软件模型中的一个之间的内容重叠的字段进行比较。
4.根据权利要求1或2所述的系统,还包括指令,所述指令在被执行时,使得所述至少一个处理器:对所述软件模型中的一个和所述硬件模型中的一个之间的内容重叠的字段进行比较。
5.根据权利要求1或2所述的系统,其中,所述软件模型基于所述全局逻辑模型。
6.根据权利要求1或2所述的系统,其中,所述硬件模型基于相应的软件模型。
7.根据权利要求1或2所述的系统,还包括指令,所述指令在被执行时,使得所述至少一个处理器:响应于所述识别的肯定结果,生成错误事件。
8.一种用于对结构中的配置的正确部署执行网络保证检查的方法,包括:
接收全局逻辑模型、多个软件模型和多个硬件模型,所述全局逻辑模型包括至少一个虚拟路由和转发实例VRF以及关于所述结构中的端点之间的连接的信息,所述多个软件模型包括所述全局逻辑模型的子集并且能够在所述结构中的网络设备上执行,所述多个硬件模型包括从所述多个软件模型转换的所述网络设备的硬件配置;
从所述全局逻辑模型创建多个局部逻辑模型;
针对所述至少一个VRF中的每个VRF,创建VRF容器;
用所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型的子集填充所创建的VRF容器,所述子集由所述结构中与所接收的全局逻辑模型的所述至少一个VRF相关联的一个或多个网络设备定义;以及
在所填充的VRF容器中识别所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型中的任何模型是否对应于所述结构中与所接收的全局逻辑模型的所述至少一个VRF不相关的一个或多个网络设备;
其中,所述识别的肯定结果表示所述全局逻辑模型中存在潜在缺陷。
9.根据权利要求8所述的方法,还包括验证所述全局逻辑模型与所述软件模型和/或所述硬件模型一致。
10.根据权利要求8或9所述的方法,还包括对所述局部逻辑模型中的一个和所述软件模型中的一个之间的内容重叠的字段进行比较。
11.根据权利要求8或9所述的方法,还包括对所述软件模型中的一个和所述硬件模型中的一个之间的内容重叠的字段进行比较。
12.根据权利要求8或9所述的方法,其中,所述软件模型基于所述全局逻辑模型。
13.根据权利要求8或9所述的方法,其中,所述硬件模型基于相应的软件模型。
14.根据权利要求8或9所述的方法,还包括:响应于所述识别的肯定结果,生成错误事件。
15.一种非暂时性计算机可读介质,其存储指令,所述指令在被处理器执行时,使得所述处理器执行以下操作:
接收全局逻辑模型、多个软件模型和多个硬件模型,所述全局逻辑模型包括至少一个虚拟路由和转发实例VRF以及关于所述结构中的端点之间的连接的信息,所述多个软件模型包括所述全局逻辑模型的子集并且能够在所述结构中的网络设备上执行,所述多个硬件模型包括从所述多个软件模型转换的所述网络设备的硬件配置;
从所述全局逻辑模型创建多个局部逻辑模型;
针对所述至少一个VRF中的每个VRF,创建VRF容器;
用所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型的子集填充所创建的VRF容器,所述子集由结构中与所接收的全局逻辑模型的至少一个VRF相关联的一个或多个网络设备定义;以及
在所填充的VRF容器中识别所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型中的一个或多个是否对应于所述结构中与所接收的全局逻辑模型的所述至少一个VRF不相关的一个或多个网络设备;
其中,所述识别的肯定结果表示所述全局逻辑模型中存在潜在缺陷。
16.根据权利要求15所述的非暂时性计算机可读介质,还包括指令,所述指令用于验证所述全局逻辑模型与所述软件模型和/或所述硬件模型一致。
17.根据权利要求15或16所述的非暂时性计算机可读介质,还包括指令,所述指令用于对所述局部逻辑模型中的一个和所述软件模型中的一个之间的内容重叠的字段进行比较。
18.根据权利要求15或16所述的非暂时性计算机可读介质,还包括指令,所述指令用于对所述软件模型中的一个和所述硬件模型中的一个之间的内容重叠的字段进行比较。
19.根据权利要求15或16所述的非暂时性计算机可读介质,其中,所述软件模型基于所述全局逻辑模型。
20.根据权利要求15或16所述的非暂时性计算机可读介质,其中,所述硬件模型基于相应的软件模型。
21.一种用于对结构中的配置的正确部署执行网络保证检查的设备,包括:
用于接收全局逻辑模型、多个软件模型和多个硬件模型的装置,其中所述全局逻辑模型包括至少一个虚拟路由和转发实例VRF以及关于所述结构中的端点之间的连接的信息,所述多个软件模型包括所述全局逻辑模型的子集并且能够在所述结构中的网络设备上执行,所述多个硬件模型包括从所述多个软件模型转换的所述网络设备的硬件配置;
用于从所述全局逻辑模型创建多个局部逻辑模型的装置;
用于针对所述至少一个VRF中的每个VRF创建VRF容器的装置;
用于用所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型的子集填充所创建的VRF容器的装置,其中,所述子集由所述结构中与所接收的全局逻辑模型的所述至少一个VRF相关联的一个或多个网络设备定义;以及
用于在所填充的VRF容器中识别所接收的软件模型、所接收的硬件模型和/或所创建的局部逻辑模型中的一个或多个是否对应于所述结构中与所接收的全局逻辑模型的所述至少一个VRF不相关的一个或多个网络设备的装置;
其中,所述识别的肯定结果表示所述全局逻辑模型中存在潜在缺陷。
22.根据权利要求21所述的设备,还包括用于验证所述全局逻辑模型与所述软件模型和/或所述硬件模型一致的装置。
23.根据权利要求21或22所述的设备,还包括用于对所述局部逻辑模型中的一个和所述软件模型中的一个之间的内容重叠的字段进行比较的装置。
24.根据权利要求21或22所述的设备,还包括用于对所述软件模型中的一个和所述硬件模型中的一个之间的内容重叠的字段进行比较的装置。
25.根据权利要求21或22所述的设备,其中,所述软件模型基于所述全局逻辑模型。
26.根据权利要求21或22所述的设备,其中,所述硬件模型基于相应的软件模型。
27.根据权利要求21或22所述的设备,还包括:用于响应于所述识别的肯定结果生成错误事件的装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762521788P | 2017-06-19 | 2017-06-19 | |
| US62/521,788 | 2017-06-19 | ||
| US15/663,627 | 2017-07-28 | ||
| US15/663,627 US10673702B2 (en) | 2017-06-19 | 2017-07-28 | Validation of layer 3 using virtual routing forwarding containers in a network |
| PCT/US2018/038014 WO2018236717A1 (en) | 2017-06-19 | 2018-06-18 | LAYER 3 VALIDATION USING VIRTUAL ROUTING CONTAINERS IN A NETWORK |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110785965A CN110785965A (zh) | 2020-02-11 |
| CN110785965B true CN110785965B (zh) | 2022-10-28 |
Family
ID=64657746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880040454.8A Active CN110785965B (zh) | 2017-06-19 | 2018-06-18 | 对结构中配置的正确部署执行网络保证检查的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10673702B2 (zh) |
| EP (1) | EP3643009A1 (zh) |
| CN (1) | CN110785965B (zh) |
| WO (1) | WO2018236717A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11645131B2 (en) * | 2017-06-16 | 2023-05-09 | Cisco Technology, Inc. | Distributed fault code aggregation across application centric dimensions |
| US10567228B2 (en) * | 2017-06-19 | 2020-02-18 | Cisco Technology, Inc. | Validation of cross logical groups in a network |
| US10341184B2 (en) | 2017-06-19 | 2019-07-02 | Cisco Technology, Inc. | Validation of layer 3 bridge domain subnets in in a network |
| US10218572B2 (en) * | 2017-06-19 | 2019-02-26 | Cisco Technology, Inc. | Multiprotocol border gateway protocol routing validation |
| US10673702B2 (en) * | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
| US11483313B2 (en) * | 2018-06-28 | 2022-10-25 | Intel Corporation | Technologies for updating an access control list table without causing disruption |
| WO2020041566A1 (en) * | 2018-08-23 | 2020-02-27 | John Mezzalingua Associates, LLC | System and method for creating and managing private subnetworks of lte base stations |
| US11329882B2 (en) | 2019-04-25 | 2022-05-10 | Juniper Networks, Inc. | Multi-cluster configuration controller for software defined networks |
| US11171992B2 (en) * | 2019-07-29 | 2021-11-09 | Cisco Technology, Inc. | System resource management in self-healing networks |
| US11568081B2 (en) * | 2019-08-23 | 2023-01-31 | Microsoft Technology Licensing, Llc | Secure and private hyper-personalization system and method |
| US11172057B2 (en) * | 2019-10-04 | 2021-11-09 | Soti Inc. | Systems and methods for managing devices using dynamically configurable device and protocols definitions |
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
| CN112565047B (zh) * | 2020-11-19 | 2022-03-04 | 浪潮思科网络科技有限公司 | 一种在docker中使用VPP构建网络的方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2289348A1 (en) * | 1998-12-31 | 2000-06-30 | Northern Telecom Inc. | Voice over data network manager |
| CN1615612A (zh) * | 2001-12-21 | 2005-05-11 | 查尔斯·S·缪尔黑德 | 用于虚拟专用网络服务的供应链管理的系统 |
| CN1649320A (zh) * | 2004-01-20 | 2005-08-03 | 华为技术有限公司 | 基于网络的虚拟专用网中保证服务质量的系统及其方法 |
| EP3067836A2 (en) * | 2015-03-13 | 2016-09-14 | Cisco Technology, Inc. | Parallel processing of data by multiple semantic reasoning engines |
Family Cites Families (187)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5204829A (en) | 1992-07-10 | 1993-04-20 | Lsi Logic Corporation | Interleaving operations in a floating-point numeric processor |
| US6046999A (en) * | 1996-09-03 | 2000-04-04 | Hitachi, Ltd. | Router apparatus using ATM switch |
| US6763380B1 (en) | 2000-01-07 | 2004-07-13 | Netiq Corporation | Methods, systems and computer program products for tracking network device performance |
| AU2002220049A1 (en) | 2000-12-04 | 2002-06-18 | Rensselaer Polytechnic Institute | Fault detection and prediction for management of computer networks |
| WO2002057917A2 (en) | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| ITTO20010180A1 (it) | 2001-03-01 | 2002-09-01 | Cselt Centro Studi Lab Telecom | Procedimento e sistema per il controllo della configurazione dei nodidi una rete per telecomunicazione. |
| US7003562B2 (en) | 2001-03-27 | 2006-02-21 | Redseal Systems, Inc. | Method and apparatus for network wide policy-based analysis of configurations of devices |
| CA2474879C (en) * | 2001-07-03 | 2013-04-09 | Imagine Broadband Limited | Method and system for monitoring service performance over a virtual private network connection by simulating end user activity |
| DE10143101A1 (de) | 2001-09-03 | 2003-04-03 | Infineon Technologies Ag | Verfahren zur Validierung von Simulationsergebnissen eines Systems sowie darauf aufbauender Äquivalenzvergleich digitaler Schaltungen |
| US7133365B2 (en) * | 2001-11-02 | 2006-11-07 | Internap Network Services Corporation | System and method to provide routing control of information over networks |
| US20030229693A1 (en) | 2002-06-06 | 2003-12-11 | International Business Machines Corporation | Self-correcting monitor |
| US8073935B2 (en) | 2002-07-25 | 2011-12-06 | Oracle America, Inc. | Pluggable semantic verification and validation of configuration data |
| ITTO20020742A1 (it) | 2002-08-23 | 2004-02-24 | Telecom Italia Lab Spa | Procedimento e sistema per il controllo della |
| US7191192B2 (en) * | 2002-09-30 | 2007-03-13 | International Business Machines Corporation | Metadirectory agents having extensible functions |
| GB0224187D0 (en) | 2002-10-17 | 2002-11-27 | Mitel Knowledge Corp | Interactive conflict resolution for personalised policy-based services |
| US7546333B2 (en) * | 2002-10-23 | 2009-06-09 | Netapp, Inc. | Methods and systems for predictive change management for access paths in networks |
| US7668949B1 (en) * | 2003-03-11 | 2010-02-23 | Nortel Networks Limited | Verification of configuration information in BGP VPNs |
| US7453886B1 (en) | 2003-03-11 | 2008-11-18 | Nortel Networks Limited | Verification of communications paths between devices |
| US7089369B2 (en) | 2003-03-31 | 2006-08-08 | Sun Microsystems, Inc. | Method for optimizing utilization of a double-data-rate-SDRAM memory system |
| KR100965437B1 (ko) | 2003-06-05 | 2010-06-24 | 인터트러스트 테크놀로지즈 코포레이션 | P2p 서비스 편성을 위한 상호운용 시스템 및 방법 |
| US20040260818A1 (en) * | 2003-06-23 | 2004-12-23 | Valois Denis Gabriel | Network security verification system and method |
| US9264922B2 (en) | 2003-08-05 | 2016-02-16 | Mobileum Inc. | Method and system for ensuring service continuity in case of a proxy profile gateway failure or interruption |
| US20050108389A1 (en) | 2003-11-13 | 2005-05-19 | International Business Machines Corporation | Network endpoint health check |
| US7360064B1 (en) | 2003-12-10 | 2008-04-15 | Cisco Technology, Inc. | Thread interleaving in a multithreaded embedded processor |
| US7403491B2 (en) * | 2004-04-15 | 2008-07-22 | Alcatel Lucent | Framework for template-based retrieval of information from managed entities in a communication network |
| US7609647B2 (en) | 2004-05-12 | 2009-10-27 | Bce Inc. | Method and apparatus for network configuration validation |
| US8010952B2 (en) | 2004-06-08 | 2011-08-30 | Cisco Technology, Inc. | Method and apparatus for configuration syntax and semantic validation |
| US7505463B2 (en) | 2004-06-15 | 2009-03-17 | Sun Microsystems, Inc. | Rule set conflict resolution |
| US7698561B2 (en) | 2004-08-12 | 2010-04-13 | Cisco Technology, Inc. | Method and system for detection of aliases in a network |
| JP4192877B2 (ja) | 2004-09-29 | 2008-12-10 | ブラザー工業株式会社 | 設定データ伝送プログラム、設定データ伝送装置、および設定データ伝送システム |
| US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
| US7619989B2 (en) | 2005-08-26 | 2009-11-17 | Alcatel Lucent | Routing configuration validation apparatus and methods |
| US7765093B2 (en) | 2005-09-19 | 2010-07-27 | Itt Manufacturing Enterprises, Inc. | Network modeling system and method of simulating network operation with configurable node models |
| US20070124437A1 (en) | 2005-11-30 | 2007-05-31 | Cisco Technology, Inc. | Method and system for real-time collection of log data from distributed network components |
| JP2007241533A (ja) | 2006-03-07 | 2007-09-20 | Oki Electric Ind Co Ltd | システム構成情報比較装置およびコンピュータプログラム |
| US8040895B2 (en) | 2006-03-22 | 2011-10-18 | Cisco Technology, Inc. | Method and system for removing dead access control entries (ACEs) |
| US20080031147A1 (en) | 2006-08-01 | 2008-02-07 | Siemens Communications, Inc. | Network status determination |
| EP2074528A4 (en) | 2006-09-12 | 2012-04-04 | Telcordia Tech Inc | CHECKING AN IP NETWORK FOR WEAKNESSES AND GUIDANCE BY ANALYZING IP DEVICES |
| US20080117827A1 (en) | 2006-11-17 | 2008-05-22 | Nec Corporation | Method and system for verifying connectivity of logical link |
| US8719375B2 (en) | 2007-03-22 | 2014-05-06 | Microsoft Corporation | Remote data access techniques for portable devices |
| US8484693B2 (en) | 2007-04-27 | 2013-07-09 | Gregory W. Cox | Efficient policy conflict detection |
| US8782182B2 (en) | 2007-05-24 | 2014-07-15 | Foundry Networks, Llc | Generating device-specific configurations |
| US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
| US8499331B1 (en) | 2007-06-27 | 2013-07-30 | Emc Corporation | Policy based network compliance |
| US7992201B2 (en) | 2007-07-26 | 2011-08-02 | International Business Machines Corporation | Dynamic network tunnel endpoint selection |
| US8528070B2 (en) * | 2007-09-05 | 2013-09-03 | Hewlett-Packard Development Company, L.P. | System and method for secure service delivery |
| US7743274B2 (en) | 2007-09-12 | 2010-06-22 | International Business Machines Corporation | Administering correlated error logs in a computer system |
| US8494977B1 (en) | 2007-09-28 | 2013-07-23 | Emc Corporation | IT policy violation views |
| US7764702B2 (en) * | 2007-12-19 | 2010-07-27 | At&T Intellectual Property I, L.P. | Method and apparatus for customer-controlled routing management |
| JP4872945B2 (ja) | 2008-02-25 | 2012-02-08 | 日本電気株式会社 | 運用管理装置、運用管理システム、情報処理方法、及び運用管理プログラム |
| WO2009108943A2 (en) | 2008-02-29 | 2009-09-03 | Doyenz Incorporated | Automation for virtualized it environments |
| US8082290B2 (en) | 2008-03-19 | 2011-12-20 | Verizon Patent And Licensing Inc. | Intelligent establishment of peer-to-peer communication |
| US8839387B2 (en) | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| US8554883B2 (en) | 2008-08-06 | 2013-10-08 | Cisco Technology, Inc. | Apparatus and method for sharing a generic configuration across a group of network devices |
| US8441941B2 (en) | 2008-10-06 | 2013-05-14 | Cisco Technology, Inc. | Automating identification and isolation of loop-free protocol network problems |
| US8103480B2 (en) | 2008-10-31 | 2012-01-24 | Hewlett-Packard Development Company, L.P. | Evaluating service level agreement violations |
| US8627328B2 (en) | 2008-11-14 | 2014-01-07 | Oracle International Corporation | Operation control for deploying and managing software service in a virtual environment |
| WO2010068698A2 (en) | 2008-12-09 | 2010-06-17 | Glue Networks, Inc. | System and method for providing virtual private networks |
| US20100198909A1 (en) | 2009-02-03 | 2010-08-05 | Fluke Corporation | Method and apparatus for the continuous collection and correlation of application transactions across all tiers of an n-tier application |
| US8479267B2 (en) | 2009-06-30 | 2013-07-02 | Sophos Limited | System and method for identifying unauthorized endpoints |
| JP2011087302A (ja) | 2009-10-19 | 2011-04-28 | Ip Infusion Inc | Bgp経路監視装置、bgp経路監視方法、およびプログラム |
| US8416696B2 (en) | 2010-01-04 | 2013-04-09 | Cisco Technology, Inc. | CFM for conflicting MAC address notification |
| US8689307B2 (en) | 2010-03-19 | 2014-04-01 | Damaka, Inc. | System and method for providing a virtual peer-to-peer environment |
| US8375117B2 (en) | 2010-04-28 | 2013-02-12 | Juniper Networks, Inc. | Using endpoint host checking to classify unmanaged devices in a network and to improve network location awareness |
| US8606847B2 (en) | 2010-05-28 | 2013-12-10 | Juniper Networks, Inc. | Application-layer traffic optimization service map updates |
| US8717895B2 (en) | 2010-07-06 | 2014-05-06 | Nicira, Inc. | Network virtualization apparatus and method with a table mapping engine |
| US20120054163A1 (en) | 2010-08-27 | 2012-03-01 | Motorola, Inc. | Policy conflict classifier |
| US9389993B1 (en) | 2010-09-03 | 2016-07-12 | Cisco Technology, Inc. | System and method for whitelist management |
| US8910143B2 (en) | 2010-09-20 | 2014-12-09 | General Electric Company | Conversion system and method for use in upgrading a monitoring system |
| EP2437470A1 (en) | 2010-09-30 | 2012-04-04 | British Telecommunications Public Limited Company | Network element and method for deriving quality of service data from a distributed hierarchical naming system |
| CN103733194A (zh) | 2011-01-27 | 2014-04-16 | 康姆普特奈科斯特有限公司 | 动态组织云计算资源以便于发现 |
| US8589934B2 (en) | 2011-04-01 | 2013-11-19 | Arm Limited | Controlling priority levels of pending threads awaiting processing |
| US8935389B2 (en) | 2011-05-17 | 2015-01-13 | Guavus, Inc. | Method and system for collecting and managing network data |
| US8693344B1 (en) | 2011-09-27 | 2014-04-08 | Big Switch Network, Inc. | Systems and methods for generating packet forwarding rules based on network policy |
| US8914843B2 (en) | 2011-09-30 | 2014-12-16 | Oracle International Corporation | Conflict resolution when identical policies are attached to a single policy subject |
| US20130097660A1 (en) | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
| US8930756B2 (en) | 2011-12-22 | 2015-01-06 | International Business Machines Corporation | Grouping related errors in a distributed computing environment |
| US10560283B2 (en) * | 2012-01-23 | 2020-02-11 | The Faction Group Llc | System and method for a multi-tenant datacenter with layer 2 interconnection and cloud storage |
| US9106555B2 (en) | 2012-01-25 | 2015-08-11 | Cisco Technology, Inc. | Troubleshooting routing topology based on a reference topology |
| US9405553B2 (en) | 2012-01-30 | 2016-08-02 | International Business Machines Corporation | Processing element management in a streaming data system |
| EP2814205A4 (en) | 2012-02-10 | 2015-09-16 | Nec Corp | COMPUTER SYSTEM AND METHOD FOR VISUALIZING A VIRTUAL NETWORK |
| US9705918B2 (en) | 2012-05-22 | 2017-07-11 | Sri International | Security mediation for dynamically programmable network |
| US9571523B2 (en) | 2012-05-22 | 2017-02-14 | Sri International | Security actuator for a dynamically programmable computer network |
| US9898317B2 (en) | 2012-06-06 | 2018-02-20 | Juniper Networks, Inc. | Physical path determination for virtual network packet flows |
| US8874704B2 (en) | 2012-07-11 | 2014-10-28 | Bmc Software, Inc. | Semi-automatic discovery and generation of useful service blueprints |
| US9571502B2 (en) | 2012-09-14 | 2017-02-14 | International Business Machines Corporation | Priority resolution for access control list policies in a networking device |
| US9178807B1 (en) | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| US9325748B2 (en) * | 2012-11-15 | 2016-04-26 | Microsoft Technology Licensing, Llc | Characterizing service levels on an electronic network |
| US9253140B2 (en) * | 2012-11-20 | 2016-02-02 | Cisco Technology, Inc. | System and method for optimizing within subnet communication in a network environment |
| JP6017289B2 (ja) * | 2012-12-10 | 2016-10-26 | 株式会社日立製作所 | 管理サーバ、テナントパターン検証方法、及び計算機システム |
| US9055000B1 (en) | 2012-12-17 | 2015-06-09 | Juniper Networks, Inc. | Distributed network subnet |
| US20150365290A1 (en) * | 2013-01-23 | 2015-12-17 | Nec Corporation | Network verification apparatus, network verification method and program |
| US9900221B2 (en) | 2013-01-30 | 2018-02-20 | Hewlett Packard Enterprise Development Lp | Controlling a topology of a network |
| US9860140B2 (en) | 2013-02-05 | 2018-01-02 | Cisco Technology, Inc. | Dynamically adjusting a set of monitored network properties using distributed learning machine feedback |
| US8966637B2 (en) | 2013-02-08 | 2015-02-24 | PhishMe, Inc. | Performance benchmarking for simulated phishing attacks |
| US9596141B2 (en) | 2013-03-15 | 2017-03-14 | Cisco Technology, Inc. | Representing software defined networks using a programmable graph model |
| US10291515B2 (en) | 2013-04-10 | 2019-05-14 | Huawei Technologies Co., Ltd. | System and method for a control plane reference model framework |
| US10021027B2 (en) | 2013-04-30 | 2018-07-10 | Comcast Cable Communications, Llc | Network validation with dynamic tunneling |
| US9225601B2 (en) | 2013-06-17 | 2015-12-29 | The Board Of Trustees Of The University Of Illinois | Network-wide verification of invariants |
| US20140379915A1 (en) | 2013-06-19 | 2014-12-25 | Cisco Technology, Inc. | Cloud based dynamic access control list management architecture |
| US9246818B2 (en) | 2013-06-24 | 2016-01-26 | Cisco Technology, Inc. | Congestion notification in leaf and spine networks |
| US9559870B2 (en) * | 2013-07-08 | 2017-01-31 | Nicira, Inc. | Managing forwarding of logical network traffic between physical domains |
| CN104348757B (zh) | 2013-07-31 | 2018-03-16 | 华为技术有限公司 | 一种流表交互方法、交换机及系统 |
| US9531676B2 (en) | 2013-08-26 | 2016-12-27 | Nicira, Inc. | Proxy methods for suppressing broadcast traffic in a network |
| KR101455167B1 (ko) | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
| US9553845B1 (en) | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| US9686180B2 (en) | 2013-11-05 | 2017-06-20 | Cisco Technology, Inc. | Managing routing information for tunnel endpoints in overlay networks |
| US9876715B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Network fabric overlay |
| US9374294B1 (en) | 2013-11-05 | 2016-06-21 | Cisco Technology, Inc. | On-demand learning in overlay networks |
| US9590914B2 (en) | 2013-11-05 | 2017-03-07 | Cisco Technology, Inc. | Randomized per-packet port channel load balancing |
| CN103701926B (zh) | 2013-12-31 | 2017-06-16 | 小米科技有限责任公司 | 一种获取故障原因信息的方法、装置和系统 |
| US9660886B1 (en) | 2014-03-07 | 2017-05-23 | Google Inc. | Scalable network route analysis |
| US10476698B2 (en) | 2014-03-20 | 2019-11-12 | Avago Technologies International Sales Pte. Limited | Redundent virtual link aggregation group |
| US10826768B2 (en) * | 2014-03-28 | 2020-11-03 | Hewlett Packard Enterprise Development Lp | Controlled node configuration |
| WO2015167489A1 (en) * | 2014-04-30 | 2015-11-05 | Hewlett-Packard Development Company, L.P. | Network fabric control |
| US9654361B2 (en) | 2014-05-13 | 2017-05-16 | Cisco Technology, Inc. | Dynamic collection of network metrics for predictive analytics |
| US9935831B1 (en) | 2014-06-03 | 2018-04-03 | Big Switch Networks, Inc. | Systems and methods for controlling network switches using a switch modeling interface at a controller |
| JP6490205B2 (ja) | 2014-06-30 | 2019-03-27 | 華為技術有限公司Huawei Technologies Co.,Ltd. | フローエントリ構成の方法、装置及びシステム |
| CN104104615B (zh) | 2014-07-21 | 2017-07-07 | 华为技术有限公司 | 策略冲突解决方法以及装置 |
| US9813312B2 (en) | 2014-07-21 | 2017-11-07 | Big Switch Networks, Inc. | Systems and methods for performing debugging operations on networks using a controller |
| US10050842B2 (en) | 2014-07-23 | 2018-08-14 | Cisco Technology, Inc. | Network control and management using semantic reasoners in a network environment |
| US9497215B2 (en) | 2014-07-23 | 2016-11-15 | Cisco Technology, Inc. | Stealth mitigation for simulating the success of an attack |
| US9794145B2 (en) * | 2014-07-23 | 2017-10-17 | Cisco Technology, Inc. | Scheduling predictive models for machine learning systems |
| EP3175579B1 (en) | 2014-07-30 | 2019-02-27 | Forward Networks, Inc. | Systems and methods for network management |
| US20160164748A1 (en) | 2014-12-04 | 2016-06-09 | Belkin International, Inc. | Identifying and resolving network device rule conflicts and recursive operations at a network device |
| US10200258B2 (en) * | 2014-08-14 | 2019-02-05 | Juniper Networks, Inc. | Transaction integrity for network services configuration |
| US9497207B2 (en) | 2014-08-15 | 2016-11-15 | International Business Machines Corporation | Securing of software defined network controllers |
| US20170214719A1 (en) | 2014-09-09 | 2017-07-27 | Hewlett Packard Enterprise Development Lp | Auto-configuration and management of storage resources |
| CN105471830A (zh) | 2014-09-10 | 2016-04-06 | 中国电信股份有限公司 | 用于消解安全策略冲突的方法、装置和系统 |
| US9742626B2 (en) * | 2014-09-16 | 2017-08-22 | CloudGenix, Inc. | Methods and systems for multi-tenant controller based mapping of device identity to network level identity |
| US9641249B2 (en) | 2014-09-18 | 2017-05-02 | Lenovo Enterprise Solutions (Singapore) Pte, Ltd. | Support for converged fiber channel over ethernet (FCoE) traffic on software defined networks (SDNs) |
| US9787572B2 (en) | 2014-10-07 | 2017-10-10 | Cisco Technology, Inc. | Conflict avoidant traffic routing in a network environment |
| US9781004B2 (en) | 2014-10-16 | 2017-10-03 | Cisco Technology, Inc. | Discovering and grouping application endpoints in a network environment |
| US9686162B2 (en) * | 2014-10-17 | 2017-06-20 | International Business Machines Corporation | Identifying configuration inconsistency in edge-based software defined networks (SDN) |
| EP3216177B1 (en) | 2014-11-06 | 2021-04-14 | Hewlett Packard Enterprise Development LP | Network policy graphs |
| US9690644B2 (en) | 2014-11-06 | 2017-06-27 | International Business Machines Corporation | Cognitive analysis for healing an IT system |
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| US9594640B1 (en) | 2014-11-25 | 2017-03-14 | VCE IP Holding Company LLC | Backup/recovery system and method for a computing environment |
| US10425282B2 (en) | 2014-11-28 | 2019-09-24 | Hewlett Packard Enterprise Development Lp | Verifying a network configuration |
| CN105721193B (zh) | 2014-12-05 | 2020-04-28 | 方正国际软件(北京)有限公司 | 一种系统信息监控的方法和设备 |
| WO2016093861A1 (en) | 2014-12-12 | 2016-06-16 | Nokia Solutions And Networks Oy | Alarm correlation in network function virtualization environment |
| US9680875B2 (en) | 2015-01-20 | 2017-06-13 | Cisco Technology, Inc. | Security policy unification across different security products |
| CN105991332A (zh) | 2015-01-27 | 2016-10-05 | 中兴通讯股份有限公司 | 告警处理方法及装置 |
| US10341188B2 (en) | 2015-01-27 | 2019-07-02 | Huawei Technologies Co., Ltd. | Network virtualization for network infrastructure |
| WO2016130108A1 (en) | 2015-02-10 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
| US10530697B2 (en) | 2015-02-17 | 2020-01-07 | Futurewei Technologies, Inc. | Intent based network configuration |
| WO2016161127A1 (en) | 2015-04-01 | 2016-10-06 | Neutrona Networks International Llc | Network management system with traffic engineering for a software defined network |
| US9948552B2 (en) * | 2015-04-17 | 2018-04-17 | Equinix, Inc. | Cloud-based services exchange |
| US10148496B2 (en) | 2015-05-05 | 2018-12-04 | Citrix Systems, Inc. | Systems and methods for configuring a device via a software-defined networking controller |
| US10601642B2 (en) | 2015-05-28 | 2020-03-24 | Cisco Technology, Inc. | Virtual network health checker |
| US9929949B2 (en) | 2015-06-29 | 2018-03-27 | Google Llc | Systems and methods for inferring network topology and path metrics in wide area networks |
| US20170026292A1 (en) | 2015-07-20 | 2017-01-26 | Schweitzer Engineering Laboratories, Inc. | Communication link failure detection in a software defined network |
| US10075343B2 (en) | 2015-07-31 | 2018-09-11 | Vmware, Inc. | Policy store |
| US10243778B2 (en) | 2015-08-11 | 2019-03-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for debugging in a software-defined networking (SDN) system |
| US10187321B2 (en) | 2015-08-19 | 2019-01-22 | Cisco Technology, Inc. | Dynamic VPN policy model with encryption and traffic engineering resolution |
| CN106488487A (zh) | 2015-08-27 | 2017-03-08 | 中兴通讯股份有限公司 | 故障检测方法及装置 |
| EP3272073A4 (en) | 2015-08-31 | 2018-11-14 | Hewlett-Packard Enterprise Development LP | Control channel usage monitoring in a software-defined network |
| US10148489B2 (en) | 2015-09-01 | 2018-12-04 | At&T Intellectual Property I, L.P. | Service impact event analyzer for cloud SDN service assurance |
| US9929924B2 (en) | 2015-09-25 | 2018-03-27 | Telefonaktiebolaget Lm Ericsson (Publ) | SDN controller logic-inference network troubleshooter (SDN-LINT) tool |
| US9882833B2 (en) | 2015-09-28 | 2018-01-30 | Centurylink Intellectual Property Llc | Intent-based services orchestration |
| EP3357189A4 (en) | 2015-09-28 | 2019-04-24 | Evenroute, LLC | AUTOMATIC QUALITY OF SERVICE (QOS) OPTIMIZATION IN NETWORK EQUIPMENT |
| US10291654B2 (en) | 2015-09-30 | 2019-05-14 | Symantec Corporation | Automated construction of network whitelists using host-based security controls |
| CN106603264A (zh) | 2015-10-20 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种定位故障根源的方法和设备 |
| US10643149B2 (en) | 2015-10-22 | 2020-05-05 | Oracle International Corporation | Whitelist construction |
| US10419530B2 (en) | 2015-11-02 | 2019-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | System and methods for intelligent service function placement and autoscale based on machine learning |
| US20170126727A1 (en) | 2015-11-03 | 2017-05-04 | Juniper Networks, Inc. | Integrated security system having threat visualization |
| US10069646B2 (en) | 2015-12-02 | 2018-09-04 | Nicira, Inc. | Distribution of tunnel endpoint mapping information |
| EP3366014A4 (en) | 2015-12-17 | 2019-05-01 | Hewlett-Packard Enterprise Development LP | REDUCED SET OF ORTHOGONAL NETWORK POLICY SELECTIONS |
| US10979311B2 (en) | 2016-01-05 | 2021-04-13 | Schneider Electric USA, Inc. | System and method for validating network configuration changes in a client environment |
| US10261858B2 (en) | 2016-01-20 | 2019-04-16 | Intel Corporation | TCAM soft-error detection method and apparatus |
| CN105721297B (zh) | 2016-01-28 | 2019-04-09 | 北京国电通网络技术有限公司 | 基于sdn网络中路由环路的检测方法及系统 |
| CN106130766B (zh) | 2016-09-23 | 2020-04-07 | 深圳灵动智网科技有限公司 | 一种基于sdn技术实现自动化网络故障分析的系统和方法 |
| US20170187577A1 (en) | 2017-03-14 | 2017-06-29 | Nuviso Networks Inc | System for configuring network devices |
| US10476817B2 (en) * | 2017-05-31 | 2019-11-12 | Juniper Networks, Inc. | Transport LSP setup using selected fabric path between virtual nodes |
| US10623259B2 (en) * | 2017-06-19 | 2020-04-14 | Cisco Technology, Inc. | Validation of layer 1 interface in a network |
| US10341184B2 (en) * | 2017-06-19 | 2019-07-02 | Cisco Technology, Inc. | Validation of layer 3 bridge domain subnets in in a network |
| US10432467B2 (en) * | 2017-06-19 | 2019-10-01 | Cisco Technology, Inc. | Network validation between the logical level and the hardware level of a network |
| US10528444B2 (en) * | 2017-06-19 | 2020-01-07 | Cisco Technology, Inc. | Event generation in response to validation between logical level and hardware level |
| US10567228B2 (en) * | 2017-06-19 | 2020-02-18 | Cisco Technology, Inc. | Validation of cross logical groups in a network |
| US10673702B2 (en) * | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
| US10812336B2 (en) * | 2017-06-19 | 2020-10-20 | Cisco Technology, Inc. | Validation of bridge domain-L3out association for communication outside a network |
| US10333787B2 (en) * | 2017-06-19 | 2019-06-25 | Cisco Technology, Inc. | Validation of L3OUT configuration for communications outside a network |
| US11343150B2 (en) * | 2017-06-19 | 2022-05-24 | Cisco Technology, Inc. | Validation of learned routes in a network |
| US10348564B2 (en) * | 2017-06-19 | 2019-07-09 | Cisco Technology, Inc. | Validation of routing information base-forwarding information base equivalence in a network |
| US10536337B2 (en) * | 2017-06-19 | 2020-01-14 | Cisco Technology, Inc. | Validation of layer 2 interface and VLAN in a networked environment |
| US10644946B2 (en) * | 2017-06-19 | 2020-05-05 | Cisco Technology, Inc. | Detection of overlapping subnets in a network |
| EP4213456A1 (en) * | 2017-12-05 | 2023-07-19 | Google LLC | Automated network change system |
-
2017
- 2017-07-28 US US15/663,627 patent/US10673702B2/en active Active
-
2018
- 2018-06-18 WO PCT/US2018/038014 patent/WO2018236717A1/en unknown
- 2018-06-18 CN CN201880040454.8A patent/CN110785965B/zh active Active
- 2018-06-18 EP EP18740688.9A patent/EP3643009A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2289348A1 (en) * | 1998-12-31 | 2000-06-30 | Northern Telecom Inc. | Voice over data network manager |
| CN1615612A (zh) * | 2001-12-21 | 2005-05-11 | 查尔斯·S·缪尔黑德 | 用于虚拟专用网络服务的供应链管理的系统 |
| CN1649320A (zh) * | 2004-01-20 | 2005-08-03 | 华为技术有限公司 | 基于网络的虚拟专用网中保证服务质量的系统及其方法 |
| EP3067836A2 (en) * | 2015-03-13 | 2016-09-14 | Cisco Technology, Inc. | Parallel processing of data by multiple semantic reasoning engines |
Also Published As
| Publication number | Publication date |
|---|---|
| US10673702B2 (en) | 2020-06-02 |
| WO2018236717A1 (en) | 2018-12-27 |
| US20180367404A1 (en) | 2018-12-20 |
| CN110785965A (zh) | 2020-02-11 |
| EP3643009A1 (en) | 2020-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110785965B (zh) | 对结构中配置的正确部署执行网络保证检查的系统和方法 | |
| CN110754064B (zh) | 网络结构中的路由信息的验证 | |
| US11178009B2 (en) | Static network policy analysis for networks | |
| CN110612702B (zh) | 针对不一致的意图规范检查 | |
| CN110692227B (zh) | 识别网络意图形式对等性失败中的冲突规则 | |
| US11902082B2 (en) | Cross-domain network assurance | |
| CN110710159B (zh) | 用于网络配置和故障排除的方法、系统、设备和介质 | |
| CN112470431B (zh) | 使用自动布尔学习的网络的模型的合成 | |
| CN110785964B (zh) | 网络中第3层桥接域子网的验证 | |
| CN110754065B (zh) | 网络的逻辑级和硬件级之间的网络验证 | |
| CN110785963B (zh) | 从网络收集网络模型和节点信息 | |
| CN110741602B (zh) | 响应于网络意图形式对等性失败的事件生成 | |
| CN111034123B (zh) | 用于执行网络保证检查的系统、方法及计算机可读介质 | |
| CN111684439B (zh) | 网络保证数据库版本兼容性 | |
| CN110710161A (zh) | 生成网络的设备级逻辑模型 | |
| CN110754063B (zh) | 验证节点之间的端点配置 | |
| US20180367398A1 (en) | Validating tunnel endpoint addresses in a network fabric | |
| CN110800259B (zh) | 跨以应用为中心的维度的分布式故障代码聚合 | |
| US20200177483A1 (en) | Static endpoint validation | |
| US20180367397A1 (en) | Endpoint bridge domain subnet validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |