CN111510316A - Sd-wan中通信的方法、sd-wan及服务提供商 - Google Patents
Sd-wan中通信的方法、sd-wan及服务提供商 Download PDFInfo
- Publication number
- CN111510316A CN111510316A CN201910577154.XA CN201910577154A CN111510316A CN 111510316 A CN111510316 A CN 111510316A CN 201910577154 A CN201910577154 A CN 201910577154A CN 111510316 A CN111510316 A CN 111510316A
- Authority
- CN
- China
- Prior art keywords
- branch
- devices
- path
- wan
- sdn controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
- H04L12/2859—Point-to-point connection between the data network and the subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
- H04L2012/6432—Topology
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了用于在具有轴辐式拓扑的软件定义的广域网(SD‑WAN)中的端点之间的策略驱动的按需隧道创建和删除的技术。一种软件定义网络(SDN)控制器,其促进建立SD‑WAN的服务提供商网络的基于云的服务,所述SD‑WAN被配置为基于指示端点之间的流量的信息,诸如量、时间、产生流量的应用等,确定是否要创建或删除端点之间的隧道。
Description
本申请要求在2019年3月29日提交的美国专利申请号16/369,330和在2019年1月31日提交的美国临时专利申请号62/799,621的权益,其全部内容通过引用并入本文。
技术领域
本公开涉及网络内的分组的路由,并且更具体地,涉及广域网(WAN)内的路由管理。
背景技术
计算机网络包括通过网络基础设施互连的多个装置,诸如计算机。在一些情况下,这些装置被分组为多个实现为局域网(LAN)的站点网络,而这些站点网络继而可以在地理上分布在广域上并通过广域网(WAN)互连。
在轴辐式(hub-and-spokes)拓扑中,中心站操作以促进分支站点网络之间的通信。轴辐式拓扑的一些配置通过中心站传递所有数据、隔离分支站点网络并允许在不同分支站点网络内的装置之间仅通过中心站进行通信。
发明内容
一般而言,描述了用于在具有轴辐式拓扑的软件定义的广域网(SD-WAN)中的端点之间的策略驱动的按需隧道创建和删除的技术。在SD-WAN中,分支(spoke)站点网络之间的通信由中心站(hub)促进,在SD-WAN的情况下,中心站可以由中心装置(hub device)提供。中心装置通过网络服务提供商与分支站点网络处的分支装置(spoke device)通信。如本文所述,可以利用并配置软件定义网络(SDN)控制器以在轴辐式(hub-and-spoke)SD-WAN的端点之间提供策略驱动的按需隧道创建和删除,从而允许绕过中心装置的通信。中心装置可以位于SD-WAN中的各个部分中,诸如在服务提供商处、不同于服务提供商和客户端的位置处和/或在客户端处。当位于客户端时,中心装置可以被认为是租户中心装置,因为中心装置为租户的中心装置。
隧道创建和删除可以基于各种关键性能指标(KPI),诸如指示轴辐式网络中的端点之间的流量(例如,流量类型)的信息。SDN控制器可以基于KPI确定是否应该在两个端点(例如,用于各个分支站点网络的分支装置)之间创建或删除隧道。通过这种方式,SDN控制器可以基于KPI确定是否需要两个端点之间的隧道并基于该确定来创建隧道,而不是创建全网隧道以使每个端点具有至所有其他端点的通信隧道。例如,在端点之间不需要先验全隧道网络,并且可以按需配置特定端点之间的特定隧道。
该技术可以提供具有至少一个实际应用的一个或多个技术优点。例如,避开全网络隧道以在通过WAN进行通信的站点网络之间传输流量可以通过启用少于全网络的NxN隧道来减少分支装置上的隧道配置和资源开销,其中N为站点网络的数量,同时仍允许直接的站点到站点通信。作为另一示例,可以实现更快的服务部署,因为示例技术可以允许站点网络在比使用中心装置将站点网络与其他站点网络配对时所需的时间短得多的时间内起作用。作为另一示例,该技术可以通过允许将装置的混合部署为终端装置来允许异构类型的终端装置。
在一个示例中,本公开描述了一种在以轴辐式拓扑配置的软件定义的广域网(SD-WAN)中进行通信的方法,该方法包括:在轴辐式拓扑中,其中多个分支装置中的每一个配置有至多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过第一中心装置和第二中心装置的第一路径通信,利用促进SD-WAN中的SD-WAN服务的软件定义网络(SDN)控制器来确定指示经由第一路径在第一分支装置和第二分支装置之间流动的流量的信息,利用SDN控制器确定在第一分支装置和第二分支装置之间通信的第二路径将基于所确定的信息进行配置,其中,第二路径绕过第一中心装置和第二中心装置中的至少一个,并且响应于该确定,利用SDN控制器配置绕过第一中心装置和第二中心装置中的至少一个的、通过SD-WAN的在第一分支装置和第二分支装置之间的第二路径所需的参数。
在一个示例中,本公开描述了一种以轴辐式拓扑配置的软件定义的广域网(SD-WAN),其包括多个中心装置(hub device),多个分支装置(spoke device),所述多个分支装置配置有至多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过第一中心装置和第二中心装置的第一路径进行通信,以及用于促进SD-WAN中的SD-WAN服务的软件定义网络(SDN)控制器,其中,SDN控制器被配置为确定指示经由第一路径在第一分支装置和第二分支装置之间流动的流量的信息,确定用于在第一分支装置和第二分支装置之间进行通信的第二路径基于所确定的信息进行配置,其中,第二路径绕过第一中心装置和第二中心装置中的至少一个,并且响应于该确定,配置绕过第一中心装置和第二中心装置中的至少一个的、通过SD-WAN的第一分支装置和第二分支装置之间的第二路径所需的参数。
在一个示例中,本公开描述了一种在轴辐式拓扑中布置的软件定义的广域网(SD-WAN)的服务提供商,其包括耦接到轴辐式拓扑中的多个分支装置的软件定义网络(SDN)控制器,其中,所述SDN控制器被配置为促进SD-WAN中的SD-WAN服务,其中,所述多个分支装置配置有至多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过第一中心装置和第二中心装置的第一路径进行通信,以及用于促进SD-WAN中的SD-WAN服务的软件定义网络(SDN)控制器,其中,SDN控制器被配置为确定指示经由第一路径在第一分支装置和第二分支装置之间流动的流量的信息,确定用于在第一分支装置和第二分支装置之间进行通信的第二路径将基于所确定的信息进行配置,其中,第二路径绕过第一中心装置和第二中心装置中的至少一个,并且响应于该确定,配置绕过第一中心装置和第二中心装置中的至少一个的、通过SD-WAN的第一分支装置和第二分支装置之间的第二路径所需的参数。
在附图和以下描述中阐述了这些技术的一个或多个实施例的细节。根据说明书和附图以及权利要求,本技术的其他特征、目的和优点将显而易见。
附图说明
图1A和1B为示出在轴辐式拓扑中配置的示例网络的框图。
图2为示出在轴辐式拓扑中配置的另一示例网络的框图。
图3为示出根据本公开中描述的一个或多个示例技术的示例操作方法的流程图。
具体实施方式
图1A和1B为示出在轴辐式拓扑中配置的示例网络2(例如,广域网(WAN))的框图。网络2可以为软件定义的(SD)WAN(SD-WAN)。如本文所述,网络2被配置为作为动态虚拟专用网络(DVPN)操作,在该动态虚拟专用网络中,以集中管理的策略驱动方式在分支站点之间动态地创建和删除隧道。
网络2包括连接到公共网络4的分支站点网络12A-12D(“分支站点网络12”)。分支站点网络12可以为企业的地理分布站点、不同企业的站点、服务提供商(例如,XaaS)站点、其他类型的站点或其组合。尽管网络2可以包括任何数量的分支站点网络12,但是为了简单起见,图1A和1B仅示出分支站点网络12A-12D。
如图所示,网络2包括服务提供商网络5。服务提供商网络5作为专用网络操作,以向分支站点网络12提供基于分组的网络服务。该示例实例中的服务提供商网络5还用于向一个或多个客户(例如,通过专用网络的中心站连接和/或分支连接)提供基于云的服务,诸如分支站点网络12处的客户。如图所示,服务提供商网络5包括软件定义网络(SDN)控制器8、编排引擎13,并且包括服务综合体9。然而,包括SDN控制器8的服务提供商网络5为一个非限制性示例。在一些示例中,SDN控制器8可以为分布式控制器,作为一些示例,其至少部分地在分支站点网络12处执行(例如,可以具有在分支集网络12处执行的代理)或在客户数据中心(公共或私有)内执行。SDN控制器8可以表示SD-WAN控制器,其配置中心装置6和分支装置10以通过服务提供商网络5和/或公共网络4形成一个或多个覆盖隧道,以使用覆盖隧道实现隧道端点对之间的通信。
在图1A和1B所示的示例中,下面更详细描述的隧道14被配置为承载分支装置10之间的通信。如图所示,隧道14被示为遍历公共网络4。在一些示例中,隧道14可以遍历服务提供商网络5而不是公共网络4。此外,尽管中心装置6被示为服务提供商网络5的一部分,但示例技术不限于此。在一些示例中,中心装置6可以驻留在别处,并且使用公共网络4和/或服务提供商网络5通过相应的隧道14与分支装置10通信。作为一个示例,中心装置6中的一个或多个可以驻留在客户端处。在这样的示例中,驻留在客户端处的中心装置6可以被认为是租户站点中心装置,因为中心装置6为用于租户的中心装置。
本公开中描述的示例技术可适用于配置网络2的各种方式。通常,示例技术可适用于两个分支装置10最初被配置为通过中心装置6中的一个或多个进行通信的情况。SDN控制器8基于策略度量确定是否应绕过一个或多个中心装置6,以便配置两个分支装置10之间的直接隧道(例如,图1B中的隧道16并在下面更详细地描述)。在一些示例中,分支装置10之间的直接隧道可以遍历服务提供商网络5和/或公共网络4,但绕过(例如,不遍历)一个或多个中心装置6。
企业可以为一个或多个客户数据中心内的租户,并且SDN控制器8可以在这些一个或多个客户数据中心内执行。作为另一示例,企业可以利用公共数据中心(例如,公共云),而不是具有其自己的客户数据中心(例如,私有云)。SDN控制器8可以在公共云中执行。因此,SDN控制器8可以在服务提供商网络5的数据中心中、私有云中和/或公共云中执行。
编排引擎13管理分支站点网络12的应用层功能,诸如在由服务提供商网络5支持的数据中心内执行的管理计算、存储、联网和应用资源。例如,一些应用可能不在连接到分支站点网络12的客户设备处本地执行,并且编排引擎13可以确保这些应用在云内执行(例如,数据中心的服务器,服务提供商网络5通过该服务器提供对分支站点网络12的访问)。通过这种方式,服务提供商网络5被配置为向分支站点网络12提供基于云的服务。
作为进一步的示例,服务提供商网络5包括服务综合体9。服务综合体9提供网络服务的执行环境。作为一个示例,服务综合体9包括应用一个或多个服务的节点。服务示例包括防火墙和安全服务、运营商级网络地址转换(CG-NAT)、媒体优化(语音/视频)、IPSec/VPN服务、深度包检测(DPI)、HTTP过滤、计数、计帐、计费以及应用于网络流量的分组流或其他类型服务的负载均衡。
服务提供商网络5还包括软件定义网络(SDN)控制器8。SDN控制器8提供逻辑上、并且在一些情况下物理上集中的控制器,其用于促进用于实现网络2(例如,SD-WAN)的服务提供商网络5的操作,诸如基于云的服务。作为一个示例,网络2为覆盖租户网络。例如,SDN控制器8可以被配置为配置分支站点网络12之间的隧道(例如,经由相应的分支装置10和中心装置6,如更详细地描述的)。通过这种方式,SDN控制器8便于通过SD-WAN(例如,网络2)进行通信。如下面更详细描述的,SDN控制器8可以被配置为以策略驱动的方式确定是否动态地创建(例如,配置)分支装置10之间的隧道以绕过通过一个或多个中心装置6的路由流量。SDN控制器8还可以被配置为以策略驱动的方式确定是否动态删除分支装置10之间的隧道并且使分支装置10之间的流量通过一个或多个中心装置6而被路由。
公共网络4可以包括一个或多个自治系统(未示出),并且可以代表因特网。公共网络4可以包括多个装置(未示出),诸如路由器和交换机,其用于跨公共网络4从一点到另一点路由分组。与网络2相关联的企业可以利用公共网络4在地理上分布的站点网络12之间路由分组。
每个分支站点网络12可以包括一个或多个装置(未示出),诸如个人计算机、膝上型计算机、手持式计算机、工作站、服务器、路由器、交换机、打印机、传真机等。每个分支站点网络12可以包括一个或多个局域网(LAN)(未示出)。
如图1A和1B所示,分支站点网络12可以经由分支装置10A-10C(“分支装置10”)连接到公共网络4。分支装置10可以位于相应的分支站点网络12处,但是分开示出以便于说明。在一些示例中,分支装置10可以相对于分支站点网络12在驻地外。
分支站点网络12可以被认为是公共网络4的边缘网络(例如,租户覆盖网络)。分支装置10的示例可以包括来自Juniper的NFX系列路由器装置。作为一个示例,分支装置10可以执行来自Juniper的SRX系列软件。作为一个示例,分支装置10可以执行来自Juniper的vSRX虚拟防火墙软件。分支装置10可以为网关路由器(GWR),其提供从分支站点网络12到网络2中的其他站点和到公共网络4的连接。在另一个示例中,分支装置10可以存在于网络地址转换(NAT)装置之后。
例如,分支站点网络12C可以为在公共云中执行的基础设施即服务(IaaS)或平台即服务(PaaS)。在该示例中,分支装置10C可以为vSRX,其功能类似于端点并且确保与在公共云中执行的应用(例如,云本地应用)建立安全访问。在一些示例中,公共云可能不需要端点,诸如在分支站点网络12D中,其中分支站点网络12D提供软件即服务(SaaS)(例如,Salesforce,gSuite,Office 365)。如图所示,分支站点网络12D耦接到分支装置10A以访问服务提供商5。
中心装置6A和6B可以被认为是服务提供商网络5内的边缘路由器。中心装置6A和6B的示例包括Juniper的MX系列WAN中心站和SRX系列WAN中心站。中心装置6A和6B中的每者可以为网关,诸如SD-WAN网关,并且可以用分支装置10终止MPLSoGRE、MPLSoMPLS、MPLSoUDP、IPSec或其他覆盖隧道。
中心装置6A和6B以及分支装置10A-10C可以由实体(例如,服务提供商网络5的服务提供商)管理,该实体向包括分支站点网络12的企业提供网络服务。分支装置10可以耦接到客户端设备(CPE),并且在一些示例中可以包括CPE,因为分支装置10可以驻留在客户端处。在一些示例中,CPE可以托管在调制解调器上,诸如数字用户线(DSL)调制解调器。
如图1A和1B所示,每个分支站点网络12可以经由一个分支装置10连接到公共网络4,或者可以经由多个分支装置10连接到公共网络4。为简单起见,图1A和1B仅示出了经由分支装置10连接到公共网络4的分支站点网络12,但是本技术不限于此。
每个分支站点网络12可以经由一个或多个接入链路11连接到分支装置10A-10C。此外,中心装置6可以经由中心装置6的一个或多个物理或逻辑接口(未示出)连接到服务提供商网络5的网关装置,并且分支装置10可以经由分支装置10的一个或多个物理或逻辑接口(未示出)连接到网关装置和公共网络4。中心装置6和分支装置10的网络接口卡可以提供物理或逻辑接口。每个接入链路11可以对应于装置6和10的物理或逻辑接口。
在某些部署方案中,期望在全网络拓扑中部署软件定义的广域网(SD-WAN)解决方案。在全网络拓扑中,分支站点网络12经由直接覆盖隧道彼此连接,从而节约了底层网络中的网络带宽。例如,在全网络拓扑中,每个分支装置10将具有至所有其他分支装置10的隧道,而不需要经过相应的中心装置6。覆盖隧道可以为IPSec、GRE、GRE上的MPLS,GRE上的MPLS上的IPSec,MPLS上的MPLS,或者底层网络不知道它所承载的有效载荷以及内部报头转发要求的任何其他形式。
在形成全网络拓扑的这些情况中的一些情况中,SDN控制器8(例如,中心控制器或CSO)被配置为通过为每个站点配置至所有其他站点的覆盖隧道来配置全网络隧道。在这种情况下,在每个站点上创建的这种隧道的数量为O(N),并且SDN控制器8将必须为每个端点创建这样的隧道,从而具有O(N^2)个供应和监测计算。每个站点还通过创建多个隧道(例如k因子-通常为2到9)与所有其他站点建立冗余连接。
具有全网络可能存在技术问题,诸如在SD-WAN中(诸如网络2)中。作为一个示例,在SD-WAN中,通信流经公共网络,诸如因特网。因此,与不需要公共网络的数据中心内的路由相比,需要额外的开销来确保安全传输。该额外开销可以为通信隧道的形式,即IPsec隧道,或具有更高安全级别的其他通信隧道(例如,安全隧道)。在SD-WAN中,分支站点网络12处的计算节点(而不是在分支站点网络12处执行虚拟路由器/交换机的计算节点(诸如数据中心内的那些))可以执行来自Juniper网络的提供防火墙功能的vSRX以及路由和切换(例如,分支装置10为具有vSRX防火墙的虚拟路由器和/或交换机的示例)。
在相对大量的分支站点网络12或分支装置10的示例中,配置安全隧道(例如IPSec隧道)或利用路由器和防火墙来形成全网络拓扑可能在计算上和存储器方面是昂贵的。例如,假设有10,000个分支装置10,并且在全网络中,分支站点网络12处的计算节点可能需要具有足够的计算资源来维护至少9999个通信隧道(例如,假设没有冗余隧道,一个隧道对应于分支站点网络12的每个另外的隧道)。即使分支装置10能够处理9999个通信隧道(例如,诸如通过IPSec的SD-WAN安全路径,尽管本技术不限于此),计算节点(例如,在SDN控制器8处或在客户端处)可能无法提供足够的计算资源来管理9999个通信隧道,从而减慢了分支装置10的操作,特别是在分支装置10包括vSRX的防火墙功能的示例中。
因此,在使用SD-WAN安全路径(例如,IPSec或比诸如数据中心内部的路径具有更高安全性的其他路径类型)的示例中,可能存在配置全网络拓扑的技术问题。因此,分支装置10可以经由一个或多个中心装置6彼此通信,而不是存在全网络。尽管关于SD-WAN安全路径描述了示例技术,但是示例技术不限于需要SD-WAN安全路径的示例,并且可以扩展到使用其他路径类型的示例。
然而,有时可能需要在分支装置10之间的隧道(例如,网络2中的路径)。本公开描述了软件定义网络(SDN)控制器8的示例,其提供策略驱动的方式,在该方式中,确定是否要通过网络2的覆盖来配置路径,应该绕过至少一个中心装置6并且使用分支装置10来彼此通信而建立该路径。通过这种方式,当满足某些策略标准时,SDN控制器8可以在分支装置之间提供按需路径(例如,作为一个非限制性示例,SD-WAN安全路径)。此外,在一些示例中,SDN控制器8可以定义策略,使得在新的按需创建路径上仅发送和接收某些类型的数据,而通过中心装置6通过原始路径发送和接收其他类型的数据。
SDN控制器8可以为在包括通用计算机的可编程硬件(例如,可编程处理电路)上执行的软件定义网络(SDN)控制器。然而,SDN控制器8可以为硬件组件(例如,固定功能处理电路)或软件和硬件的组合(例如,可编程和固定功能处理电路的组合)。
SDN控制器8可以由服务提供商网络5在云环境设置中执行。在云环境中,一个或多个服务器执行SDN控制器8。一个或多个服务器可以位于数据中心中,并且数据中心可以包括提供至公共网络4的连接的路由器(例如,网关路由器)。在一些示例中,执行SDN控制器8的一个或多个服务器可以位于与一个或多个分支站点网络12相同的位置。例如,SDN控制器8可以在客户端上执行。SDN控制器8可以为分布式控制器,因此SDN控制器8的部分可以在网络2(例如,SD-WAN)内的各种不同位置处执行。在本公开中,应当理解,当SDN控制器8被描述为执行示例操作时,在SDN控制器8为在可编程硬件上执行的软件的示例中,SDN控制器8在其上执行的可编程硬件(例如,通用计算机处理器或专用处理电路)执行示例操作。
如上所述,SDN控制器8被配置为按需形成隧道(例如,路径),而不是具有形成全网络的隧道的静态配置。还如上所述,这样的全网络(例如,极大的隧道配置或监测)可能存在依赖于静态配置(例如,不按需创建或删除隧道)的技术问题。
隧道的静态配置导致两种形式的扩展(scaling)问题。在端点处,每个分支装置10需要支持提前静态创建的O(k.N)个隧道-包括支持配置这样的隧道,并经由信令协议保持它们。如上所述,分支装置10的计算节点可能没有足够的计算资源来支持O(k..N)个隧道。SDN控制器8也可能存在计算开销问题。
在SDN控制器8处,SDN控制器8可能需要计算开销以支持O(k.N^2)个覆盖隧道。最初,当可能没有太多的分支装置10时,开销可能是最小的。然而,随着提供更多分支装置10,开销可能变得太大,因为附加隧道为O(k.N)个,其中N为分支装置10的数量。
SDN控制器8通过必须在其激活之前创建至每个其他装置的隧道来启动(bringup)新的端点所花费的时间可能是重要的。此外,隧道的创建可能需要SDN控制器8在网络中的新登上(on-boarded)的端点处以及每个其他端点处配置隧道的两端,以创建允许全网络拓扑的至新登上的端点的隧道。
也就是说,SDN控制器8的作用之一是在分支装置10之间形成隧道。在操作期间,在分支装置10上执行的路由器、交换机和/或防火墙经常启动或关闭(例如,可能需要提供或移除新的分支装置10),因此,在全网络拓扑中,每次提供新分支装置10,SDN控制器8就可能需要在新分支装置10和所有其他分支装置10之间形成隧道。每当提供新的分支装置10(例如,在分支装置10上执行的路由器、交换机和/或防火墙启动)时,当通信可以从分支装置10开始时,创建这样的隧道需要时间和延迟,即使在新的分支装置10可以与有限数量的分支装置10通信的情况下也是如此。
本公开描述用于减少SDN控制器8可能需要执行的计算和扩展开销的示例技术。特别地,先验地不需要全网络隧道,并且SDN控制器8可以根据需要(例如,仅当流量特征保证一对端(诸如分支装置10)之间的直接隧道时)动态地创建隧道(例如,路径)。始终存在可用于经由使用单个或多个中心站在一对终端装置之间转发流量的默认路径(例如,即使两个装置10之间没有直接隧道,也存在通过各个中心站6的路径)。
根据本公开中描述的一个或多个示例,终端装置(例如,分支装置10)以轴辐式方式连接到一个或多个中心装置6。至中心装置6的连接可能需要在登上时在终端装置(例如,分支装置10)上进行最小量的配置。SDN控制器8可以被配置为在登上终端装置之后按需创建快捷隧道。同时,终端装置之间的流量流过中心装置6。
例如,在图1A中,对于与分支装置10B通信的分支装置10A,分支装置10A经由隧道14A与中心装置6A通信,中心装置6A经由隧道14B与中心装置6B通信,并且中心装置6B经由隧道14C与分支装置10B通信,反之亦然。类似地,如图所示,分支装置10C经由隧道14D与中心装置6A通信以进一步与其他分支路由器通信。隧道14可以为覆盖隧道,以将分支装置10耦接到中心装置6中的相应一者。隧道14的示例为SD-WAN安全路径,诸如可以通过专用MPLS、宽带因特网、无线4G/LTE和传统/DSL互连来配置的IPSec路径。隧道14的附加示例包括安全路径,诸如PPP链路、ATM链路、以太网链路、帧中继链路、GRE隧道、、IPSec隧道、GRE上的MPLS隧道、GRE上的MPLS上的IPSec隧道、MPLS上的MPLS隧道等。
在一些示例中,如连接链路15所示,在中心装置6A和6B之间可以存在硬连线连接。这可以为所有分支装置10都登录上、并且两个或更多个分支装置10需要经由一个或多个中心装置6与另一个分支装置10通信的初始网络配置。因此,图1A示出了在轴辐式拓扑中配置的SD-WAN的示例,在该配置中,轴辐式拓扑包括多个中心装置,以及多个分支装置,其耦接到(例如,利用覆盖隧道14A配置)多个中心装置中的相应一者,使得耦接到(例如,利用隧道配置)第一中心装置(例如,中心装置6A)的第一分支装置(例如,装置10A)经由第一路径(例如,隧道14A,其可以为通过第一中心装置(例如,中心装置10A)和第二中心装置(例如,中心装置6B)的安全隧道)与耦接到(例如,利用隧道配置)第二中心装置(例如,中心装置6B)的第二分支装置(例如,装置10B)进行通信。
在一些示例中,SDN控制器8可以确定在分支装置10A和分支装置10B之间应该存在通信隧道。例如,SDN控制器8可以确定指示经由第一路径在第一分支装置和第二分支装置之间流动的流量的信息(例如,流量类型,流量量,流量开始和结束的时间,哪个应用产生的流量,以及经由隧道14A流动的类似物)。作为一个示例,控制器8可以监测装置10之间的流量,以确定指示在装置10A和装置10B之间流动的流量的信息。作为另一示例,装置10中的每者(或可能是客户设备)可以监测它们自己的流量并输出指示至SDN控制器8的流量的信息。在这样的示例中,为了确定指示流量的信息,SDN控制器8接收指示流量的信息。从装置10接收指示流量的信息的SDN控制器8包括装置10监测流量的示例或装置10输出由客户设备(例如,膝上型计算机等)监测的流量的信息的示例。
SDN控制器8可以确定基于所接收到的信息来配置用于在第一分支装置和第二分支装置之间进行通信的第二路径。在一个或多个示例中,第二路径绕过第一中心装置和第二中心装置中的至少一者。例如,第二路径绕过第一中心装置和第二中心装置。绕过一个或多个中心装置6可以加速流量的路由,因为使用较少的组件来路由,并且中心装置6可能具有较少的负担,这可以加速其他流量的传输。
绕过第一中心装置和第二中心装置中的至少一者的第二路径的示例在图1B中示出。如关于图2更详细地描述的,SDN控制器8可以通过硬件底层配置形成隧道16A和/或隧道16B所需的参数,其允许分支装置10A和分支装置10B之间的通信(例如,经由隧道16A)以及分支装置10C和分支装置10A之间的通信(例如,经由隧道16B)而不需要经过多个中心装置6,并且在一些情况下,不需要经过中心装置6中的任一者。
由一个分支装置10发送并由另一个分支装置10接收的数据不一定(并且通常不)通过SDN控制器8。在一些示例中,SDN控制器8可以不被配置为拦截数据分组、转发数据分组或以其他方式形成用于传输或接收数据分组的管道。例如,SDN控制器8可以被配置为接收指示在第一分支装置和第二分支装置(例如,装置10A和10B)之间流动的流量的信息,并且不在第一分支装置和第二分支装置之间路由该流量。
尽管SDN控制器8可以不为隧道的一部分,但是SDN控制器8可以被配置为利用关键性能指标(KPI)来确定是否应该动态地创建或删除隧道。例如,SDN控制器8可以被配置为实现一种策略,其中所述策略定义SDN控制器8是否形成分支装置10之间的隧道(例如,路径)的标准。换句话说,一对终端装置之间的隧道创建可以表示为一种策略。以下为所述策略可涵盖的非限制性示例。示例策略可以一起使用或单独使用。
该策略可以定义每当两个CPE(客户端设备)之间发生第一次数据分组交换或超过某个带宽时(例如,在10千兆字节的数据传输之后),SDN控制器8将在任何两个CPE(例如,分支装置10)之间创建路径(例如,SD-WAN安全路径,诸如不需要或更少需要中心装置6的快捷IPSec隧道)。该策略可以定义如果存在诸如语音的时间敏感应用流量的交换,则SDN控制器8将在两个CPE装置(例如,分支装置10)之间创建路径。该策略可以定义在存在长期带宽大量流量(如站点之间的备份或视频会议流量)时,SDN控制器8将创建路径。该策略可以定义如果经由一个或多个中心装置6转发的流量未能满足SLA要求,则SDN控制器8将创建路径。在一些示例中,该策略可能与基于SLA要求选择最佳路径的现有实施方式(诸如最佳路径基于哪个分支装置10彼此通信)冲突。
作为一些另外的示例,该策略可以定义SDN控制器8将在周一到周五的上午9点到下午5点之间为两个分支装置10之间的数据流量创建路径。所有其他流量(诸如web浏览)可以通过中心装置6。在星期六,备份数据流量可以通过该路径(例如,两个分支装置10之间的通过底层的快捷隧道,其绕过用于在两个分支装置10之间通信的一个或多个中心装置6),而其他数据可以通过中心装置6。
用户(诸如管理员)可以定义策略。在一些示例中,SDN控制器8可以被配置为定义策略。例如,SDN控制器8可以监测网络2的特性(诸如当在分支装置10之间传送数据时,在哪些分支装置10之间传送数据,在分支装置10之间传送多少数据等)以确定策略。作为一个示例,SDN控制器8可以确定在某些时间段内特定类型的流量在两个分支装置10之间是高的。SDN控制器8可以定义一种策略,即,在如果特定类型的流量大于阈值数量的字节或分组的时间段期间,在两个分支装置10之间形成绕过中心装置6以便特定类型的数据存在快捷方式的路径。所有其他数据类型可以流过一个或多个中心装置6,以便对特定类型的数据进行优先级排序。然而,所有其他数据类型也可能利用绕过中心装置6的快捷路径。
在一些示例中,当不满足这些条件中的一个或多个时,可以类似地表达用于拆除(例如,删除)隧道的策略。只要涉及的CPE(例如,分支装置10)仍有空间为未来的流量创建额外的新IPSec隧道(例如,SD-WAN安全路径),就可以以相对直接的方式完成拆除。
利用本公开中描述的技术可以实现额外的优点。作为一个示例,可以实现更快的服务部署,因为示例技术可以允许站点在比将其与一个中心装置6配对更短的时间内起作用。而且,该技术可以通过允许将装置的混合部署为终端装置来允许异构类型的终端装置。每种类型的终端装置可以具有可以同时支持的不同数量的隧道。例如,每个分支装置10可以具有绕过中心装置6的至其他分支装置10的不同数量的SD-WAN安全路径。
SDN控制器8考虑终端装置的能力,并且仅创建与给定类型的终端装置功能上允许的一样多的快捷隧道。例如,如上所述,计算节点可能没有足够的计算资源来管理全网络所需的所有隧道。SDN控制器8可以被配置为考虑计算节点的计算资源,使得计算节点需要管理的隧道的数量在计算节点的计算能力内。
而且,这些技术可以提供对网络的更全面的控制。SDN控制器8可以学习/预测终端节点(以及可能的中间节点上的负载)之间的通信模式,以创建/拆除覆盖隧道。SDN控制器8还可以优先考虑一组终端节点之外的一组给定终端节点(例如与跨大西洋节点相比在北美次大陆上的所有终端节点)之间的通信。对隧道创建进行优先级排序的终端装置的这种分组被称为终端装置网络分组。例如,在北美洲内的分支装置10之间但不在北美和欧洲的分支装置10之间可能存在SD-WAN安全隧道(例如,绕过中心装置6的快捷隧道)。
即使隧道的动态创建由SDN控制器8编排,也可以在终端装置处以分布式方式测量或确定:由SDN控制器8确定是否创建或删除隧道所需的数据。这允许SDN控制器8将隧道的动态创建扩展到大量终端装置和业务流。
以下为以如下的分布式方式测量的数据的非限制性示例。触发在终端装置(与中心站相对)上完成的业务流。在终端装置上使用代理/微服务/守护进程来过滤和汇总感兴趣的数据触发(例如,KPI)至SDN控制器8。另选地,终端装置本身可以支持以策略的形式表达感兴趣的业务流。
当SDN控制器8配置覆盖隧道创建所需的参数时,启动隧道的信令由终端装置本身完成,例如,在IPSec的情况下,可以为IKE协议。可以在终端分支处(例如,通过分支装置10)执行以下:一旦出口端分支(例如,启动的新的分支装置10)启动,就决定将流量从朝向中心装置6的隧道转向朝向出口端分支的快捷路径(例如,新创建的路径);并且为了将流量转向以使用该隧道,执行路由表中所需的相应的变化。
例如,在一些示例中,SDN控制器8可以被配置为监测分支装置10之间的流量并且确定是否满足策略度量(例如,通过将诸如流量、流量类型、流量发送器、流量接收器等之类的信息与策略度量进行比较)。如果满足策略度量,则SDN控制器8可以确定图1B的隧道16A和16B待配置的。
然而,在一些示例中,不是SDN控制器8监测所有流量,而是可以将监测功能分配给各个CPE(例如,分支装置10或耦接到分支装置10的装置)。SDN控制器8可以向定义特定标准的分支装置10输出信息。在这样的示例中,分支装置10可以向SDN控制器8输出指示流量的信息,但是仅在满足特定标准时。在这样的示例中,SDN控制器8然后可以确定是否要动态配置隧道(例如,SD-WAN安全路径)。
作为示例,SDN控制器8可以命令装置10A以指示装置10A何时在特定时间段内向装置10B输出超过10千兆字节的数据。在该示例中,SDN控制器8可以不继续监测从装置10A流出的流量。然而,当装置10A确定装置10A已经向装置10B输出了超过10千兆字节的数据时,装置10A可以输出指示从装置10A流出的流量的信息(例如,已经将10千兆字节的数据发送到装置10B)。在该示例中,控制器8可以接收指示在装置10A和装置10B之间流动的流量的信息,并将该信息与策略度量进行比较。作为一个示例,策略度量可以指示在装置10A向装置10B发送10千兆字节的数据之后,应该在装置10A和装置10B之间动态地配置绕过一个或多个中心装置6A和6B的隧道。
因此,第一分支装置或第二分支装置中的至少一者可以被配置为确定是否满足一个或多个策略度量,基于是否满足一个或多个策略度量的确定来确定指示在第一分支装置和第二分支装置之间流动的流量的信息,并向SDN控制器8发送所确定的指示在第一分支装置和第二分支装置之间流动的流量的信息。在一些示例中,第一分支装置或第二分支装置中的至少一者可被配置为形成第二路径(例如,隧道16A或隧道16B)。例如,虽然SDN控制器8可以配置创建覆盖隧道所需的参数,但是装置10可以被配置为启动(bring up)隧道(例如,在IPsec的情况下,分支装置10可以使用IKE协议)。
此外,在一些示例中,分支装置10可以被配置为确定何时使用动态创建的隧道与何时经过中心装置6。例如,第一分支装置或第二分支装置中的至少一者可以确定第一分支装置和第二分支装置将经由第二路径进行通信并更新路由表以通过第二路径路由流量。在这样的示例中,第一分支装置和第二分支装置被配置为基于更新的路由表在第一分支装置和第二分支装置之间传送流量。
对于彼此通信的分支装置10,分支装置10可能需要将与该装置10通信的其他装置10的因特网协议(IP)地址。一些技术依赖于地址池并动态地将地址分配给装置10。然而,这种动态分配可能很复杂并且可能容易出错。
在一些示例中,可以为每个分支装置10分配唯一标识符。分支装置10可以基于相应的唯一标识符形成至其他装置10的隧道。
SDN控制器8可以至少部分地基于用于确定唯一标识符的站点标识和广域网(WAN)接口名称/编号来确定唯一标识符。通过这种方式,不需要动态分配地址,并且可以为每个装置10分配它们自己的唯一标识符。唯一标识符可以基于分配给站点网络12的唯一编号和分配给站点网络12的WAN链路的唯一编号。
因此,本公开描述了一种克服与现有全网络解决方案相关联的限制的混合方法,其中,在所有分支装置对10之间创建快捷IPSec隧道。如上所述,这种全网络解决方案具有用于启动新分支装置10的长供应时间,并且仅能够支持在网络中的较少数量的分支装置10(<50)。
在本公开中描述的一个或多个示例中,示例技术依赖于分支装置10的最小初始配置。例如,分支装置10最初被启动(spun up)以经由中心装置6与其他分支装置10通信,从而不需要所有分支装置10之间的直接隧道,因为它足以经由中心装置6路由流量。只有当流量在这些站点之间流动时,并且在一些示例中,仅在(某种类型的站点之间流动时),SDN控制器8可以便于稍后在站点对(例如,一对分支装置10)之间创建覆盖隧道。
通过这种方式,分支装置10可以在更短的时间内起作用。此外,通过限制在计算节点上创建的覆盖隧道的数量而不明显降低性能,计算节点得以保护(例如,分支装置10在其上执行的计算节点诸如vSRX的计算资源不会过度负担)。
本公开中描述的技术可视为动态VPN-DVPN。如果站点对之间的流量下降到低于某个阈值,则DVPN也可以使用策略以删除该站点对之间的覆盖隧道。这将确保装置不会将隧道保持在不需要的地方,而是使用站点的隧道来确保(see)更多流量。
一些其他技术可以在分支装置10之间形成隧道,但是这些其他技术响应于分支装置10之间的任何通信来在两个分支装置10之间创建隧道。然而,在这种技术中,分支装置10之间的任何探测流量将触发IPSec隧道建立。也就是说,即使不存在长时间的数据发送和接收,在这些其他技术中,也将在两个分支装置10之间配置IPSec隧道。如本公开中所描述的,这种确定将在中心装置6中完成,而不是在SDN控制器(如SDN控制器8)中完成,SDN控制器促进服务提供商(如服务提供商5)的基于云的操作。
根据本公开中描述的技术,SDN控制器8利用基于控制器的分析。例如,SDN控制器8可以利用策略驱动算法来确定是否要在两个装置之外配置快捷SD-WAN安全路径。此外,可以通过最小化SDN控制器8上的监测开销的端点(例如,分支装置10)来完成对流量的监测。作为一个示例,SDN控制器8将指示流量的信息聚集到在数据库(例如,系统日志)中维护的桶(bucket)中。SDN控制器8将该信息与策略标准进行比较,以确定是否满足使得创建隧道的策略。通过这种方式,流量信息的捕获在边缘(例如,分支装置10,而不是SDN控制器8)处完成,并且可以由分支装置10汇总和过滤并发送到SDN控制器8以触发隧道的动态创建(例如,绕过一个或多个中心装置6的SD-WAN安全路径)。
此外,在一些示例中,可以确定性地生成分支装置10的IP地址,使得分支装置10可以形成隧道(例如,更新路由表以绕过中心装置6来路由流量)。问题是需要管理隧道(GRE,IPSec)的大量(数百万)IP地址。在一些情况下,每个接口(例如,分支装置10)需要具有更大子网的IP地址。需要正确释放IP地址。在一个或多个示例中,通过在链路信息中编码IP编码信息来消除IP地址管理系统。基于站点ID和WAN接口生成唯一的终止点。通过这种方式,可以基于站点ID和WAN接口确定性地生成IP地址。在一些示例中,可以根据预定池完成端点IP地址(例如,分支装置10)的确定性分配。当链路和隧道出现时,确定性地计算并动态分配两个端点(例如,分支装置10)之间的IP地址。
图2为示出在轴辐式拓扑中配置的另一示例网络的框图。例如,图2描绘了一个示例,非限制性用例中的事件流。
在图2中,分支装置20A、20B和20C为形成第一网络的示例分支装置,以及分支装置22A、22B和22C为形成第二网络的示例分支装置。作为一个示例,分支装置20A、20B和20C可以为用于第一企业的装置,以及分支装置22A、22B和22C可以为用于第二不同企业的装置。基于满足的策略标准,可能有在装置20之间、或装置22之间形成直接隧道,但是不在装置20和装置22之间形成直接隧道的可能性,因为装置20和装置22用于不同的企业。
分支装置20和22的示例类似于分支装置10,分支装置10可以为来自
的NFX装置。最初,分支装置20A可以经由中心装置18A和中心装置18B与分支装置20C通信。然而,SDN控制器8可以接收用于指示应该配置从分支装置20A到分支装置20C的隧道的测量。反过来,如图所示,SDN控制器8可以通过底层24A、24B和24C在分支装置20A和分支装置20C之间形成隧道。底层24A、24B和24C可以为形成网络2的硬件组件,SDN控制器8可以利用该硬件组件来创建绕过中心装置18A和18B的直接隧道(例如,快捷隧道)。
如图所示,SDN控制器8可以从SDN控制器8所使用的路径26A和26B收集信息,以确定是否满足策略以在装置20A和装置20C之间创建隧道。SDN控制器8可以利用路径28A和28B来指示装置20A和装置20C:配置隧道以直接通信。
以下描述实施方式示例。需要三个组件来实现本公开中针对DVPN特征描述的示例技术。原始数据收集器,其用于收集装置发出的会话级数据并计算某些KPI。以下KPI对DVPN特征(会话创建/关闭率、吞吐量)非常有用。基于系统日志数据为每个站点对计算这些KPI。
可以使用SDN控制器8的策略定义和执行引擎,其可以用于定义阈值和其他参数(桶大小和桶计数,因为KPI计算在时间上是连续的,并且由于这个原因实现了滑动窗口方法)。这些策略可以在系统级别定义,也可以为每个租户定义。此外,还可以扩展策略以仅支持特定应用集的KPI计算。SDN控制器8中的策略强制器模块周期性地将KPI的观察值与适用策略中的配置值进行比较,并向SDN控制器8的集中隧道控制器发送创建(或删除)通知,该通知包含创建/删除隧道所需的信息。
SDN控制器8的集中隧道控制器用于创建/删除隧道。隧道控制器从策略强制器接收通知,并配置站点对以创建覆盖隧道,并设置通过新配置的隧道发送流量所需的路由。
如上所述,在一些示例中,分支装置10、20或22可以监测流量而不是SDN控制器8监测流量,或者除了SDN控制器8监测流量之外,分支装置10、20或22可以监测流量。在这样的示例中,分支装置10、20和22可以确定是否满足策略(例如,根据以上示例,已经发送了超过10千兆字节)。当策略满足时,分支装置10、20和22可以向SDN控制器8发送指示流量的信息(例如,指示已经发送了超过10千兆字节的数据的信息),并且作为响应,SDN控制器8可以确定是否要配置动态隧道。通过这种方式,减少了SDN控制器8监测所有流量的负担,并且SDN控制器8可以基于由分支装置10、20和22收集的信息来确定是创建还是删除隧道。
以下可能优于其他一些技术,诸如AD-VPN。目前,许多路由器能够在两个站点之间的流量发现时建立IPSEC VPN隧道。虽然这种方法可以用于在两个站点之间动态地创建隧道,但是本公开中讨论的基于控制器的策略驱动方法比现有装置发起的AD-VPN技术具有若干优点。
由于可以在装置处建立的隧道的数量是有限的,因此控制器8可以为站点提供优先级并且为具有更高优先级的站点建立站点到站点隧道。对于文件服务器,具有更多重要流量的HQ站点可以创建动态隧道。隧道创建可以为基于应用的(例如,仅当在站点之间发起某些类型的流量时,例如语音)。可以了解站点之间的通信行为模式,并动态地在站点之间启动/关闭(bring up/down)隧道。
在一些示例中,所有SDN控制器8管理装置通过TCP连接将会话日志发送到集中式日志收集器(例如,SDN控制器8),这些日志被解析和处理以提取相关信息(例如,rx/tx字节,分组等)。描述的这些装置日志很少被用于计算DVPN特征所需的KPI。
SDN控制器8存储用于固定时间窗口的度量计数器(称为桶,例如30秒)。每个桶的这些度量值可以存储在持久TSDB(时间序列数据库)中,或者有限样本集可以存储在内存中。DVPN特征可以使用如上所述计算的以下KPI。
会话关闭率可具有以下会话关闭日志–<14>12018-05-02T09:13:43.888+05:30pvsairam-1dut RT_FLOW-APPTRACK_SESSION_CLOSE[junos@2636.1.1.1.2.129reason="CLI"source-address="1.1.1.1"source-port="1541"destination-address="15.15.15.2"destination-port="36000"service-name="None"application="DTLS"nested-application="UNKNOWN"nat-source-address="1.1.1.1"nat-source-port="1541"nat-destination-address="15.15.15.2"nat-destination-port="36000"src-nat-rule-name="N/A"dst-nat-rule-name="N/A"protocol-id="17"policy-name="appqoe_policy"source-zone-name="lan"destination-zone-name="wan"session-id-32="5962"packets-from-client="2"bytes-from-client="284"packets-from-server="2"bytes-from-server="220"elapsed-time="65"username="N/A"roles="N/A"encrypted="No"profile-name="N/A"rule-name="N/A"routing-instance="ri1"destination-interface-name="gr-0/0/0.2"uplink-incoming-interface-name=""uplink-tx-bytes="0"uplink-rx-bytes="0"].
从“会话关闭”日志中,可以计算一对装置之间的会话创建速率。原始装置由存在于其中的“host”标识,而目标站点由“routing-instance”和“destination-ip”的组合唯一确定。
度量密钥:HOSTNAME+ROUTING_INSTANCE+DESTINATION_IP
度量值:在时间桶期间收到的会话关闭日志的计数
对于会话吞吐量,可以根据“会话关闭”日志,将一对装置之间的吞吐量(在会话持续时间内传输的字节数)计算为度量密钥:HOSTNAME+ROUTING_INSTANCE+DESTINATION_IP。
度量值:时间桶期间每个会话的平均吞吐量。
对于每个会话关闭日志,SDN控制器8如上确定度量密钥并更新当前时间桶的度量计数器。当前时间桶到期时,将添加新的时间桶,并将后续的度量计数器存储在该桶中。这些计数器不是累积的,并且在添加新时间桶时重置为0。
以下描述了策略定义和执行的示例。DVPN特征利用上面定义的KPI并使用策略来配置阈值,以生成隧道创建和删除的触发器。DVPN策略被描述为-
为了确定是否需要在两个装置之间创建隧道,仅当流量经由中心站路由时,SDN控制器8才需要为装置对之间的流量计算这些KPI。相反,为了生成删除触发器,SDN控制器8需要为直接隧道上的站点对之间的流量计算这些KPI。SDN控制器8基于“destination-interface-name”的值确定是否经由中心站路由流量。
之前定义的KPI是针对所有应用类型流量计算的,但可以扩展策略定义以允许基于应用进行过滤。可以为创建和删除触发器两者分别定义这些过滤器。以下为带有“过滤器”的策略定义的示例-
可以在系统范围内或每个租户定义DVPN策略,以支持多租户云部署。每个策略在定义中包含“租户ID”,SDN控制器8在评估和实施策略时使用该定义。
以下描述了覆盖隧道创建或删除触发器。此策略允许CSO通过配置“bucket_size_in_secs”和“bucket_count”来在可配置的时间段内观察流量。如果观察到的KPI值超过配置值,则生成以下触发器-
SDN控制器8维护数据库reg。目标IP地址所属的站点。一旦它将目标IP解析到网络中的站点,SDN控制器8就启动源站点和目标站点之间的VPN/覆盖连接(GRE/IPSEC),并在两个站点上推送所需的配置。在站点上配置IPSEC/VPN取决于装置系列。
如上所述,SDN控制器8可以被配置为还确定装置10的唯一标识符,并且装置10的IP地址可以基于唯一标识符。以下提供了与唯一标识符和IP地址相关的一些其他说明。
假设全网络中的站点(例如,具有装置10)的数量为n,并且站点处的全网络WAN链路的最大数量为w。因此,在稀疏模式下,站点到站点覆盖链路的总数可以为w*(n*(n-1)/2),以及在密集模式下的站点到站点覆盖链路的总数可以为w*w*(n*(n-1)/2)。稀疏模式为站点中的每个WAN链路仅连接到所有其他站点中的一个WAN链路的模式,而密集模式为站点中的每个WAN链路连接到所有其他站点中所有可能的WAN链路的模式。在这种情况下,对于具有500个站点和每个站点具有3个WAN链路的全网络拓扑,在稀疏模式下,将有374,250个隧道,在密集模式下,将有1,122,750个隧道。对于每个链路,存在已分配的/31子网,并且两个终端点(例如,端点)对应于该子网中的一个IP。此外,不应重复此IP地址。在一些示例中,这些IP地址从链路10.0.0.0/8的专用IP地址范围分配。
一些技术使用IP地址管理系统(称为IPAM),该系统维护两个池:空闲池和分配池。IPAM从空闲池分配IP地址并将它们移动到分配池,并在释放时,IPAM释放它们并将它们移回空闲池。然而,这些技术可能存在问题。例如,为了支持并行请求,需要锁定,以便在任何时间点只有单个请求在池上运行。此外,IPAM可能需要处理IP地址中的碎片,并且当链路/相应站点被删除时,如果未释放IP地址,则可能导致IP地址泄漏。
本公开描述了将链路信息编码到IP地址中的示例。例如,在示例IP编码技术中,不需要维护IP地址库存(例如,保持单独的池)。在编码技术中,端点信息被编码到链路子网中,使得它总是为任何链路生成唯一的子网。
例如,对于全网络中的每个站点,将从零开始分配唯一编号。如果删除了任何站点,则会释放站点号并将其分配给新站点。站点上的每个WAN链路也由从零开始的唯一编号标识。链路端点可以由站点编号和WAN编号唯一表示。给定分配IP地址的专用地址范围,端点以剩余比特位编码。
例如,考虑分配/31子网的10.0.0./8IP地址范围。在这种情况下,有24个比特位来编码链路的两个端点。最后一个比特位(0/1)保留。一个端点将获得0,而另一个端点将获得1。剩余的比特位(23)被分成两半,每一半对应于一个端点。对于密集模式和稀疏模式,分配剩余的比特位略有不同,以便可以分配最大可能的链路。
对于密集模式下的IP地址分配,站点中的每个WAN链路都连接到每个其他站点网络中存在的所有WAN链路。这要求端点信息都需要存在于IP地址中。23比特位被分成两半,每个端点将获得11比特位。假设网络中任何站点的最大WAN链路数为2,则1比特位用于标识WAN链路,10比特位用于站点编号。因此,可以在密集模式下支持1024(例如,210)个IP地址。如果站点的WAN链路增加,则需要保留相应的比特位数。
对于稀疏模式下的IP地址分配,站点上的每个WAN链路仅连接到网络中每个其他站点中的一个WAN链路。在源站点编码WAN链路信息就足够了。可能不需要目标站点上的WAN链路,因为它将仅连接到目标站点中的一个链路。因此,假设站点上的最大WAN链路数为2,则分配一个比特位来编码WAN链路信息,并且可以使用11比特位来编码每个站点号。因此,可以以稀疏模式分配2048个(例如,211个)站点。上述示例技术可以应用于全网络或轴辐式拓扑。
图3为示出根据本公开中描述的一个或多个示例技术的示例操作方法的流程图。例如,图3中所示的示例用于在以轴辐式拓扑布置的SD-WAN中进行通信。在轴辐式拓扑中,多个分支装置(例如,分支装置10)配置有至多个中心装置中的对应一者(例如,中心装置6)的覆盖隧道(例如,隧道14),使得配置有至第一中心装置(例如,中心装置6A)的隧道(例如,隧道14A)的第一分支装置(例如,分支装置10A)经由通过第一中心装置和第二中心装置(例如,隧道14A、14B和14C)的第一路径(例如,像IPsec的SD-WAN安全路径,但本技术不限于此)与配置有至第二中心装置(例如,中心装置6B)的隧道(例如,隧道14B)的第二分支装置(例如,分支装置10B)通信。
在该轴辐式拓扑中,SDN控制器8可以确定指示经由第一路径(30)在第一分支装置和第二分支装置之间流动的流量的信息。作为一个示例,SDN控制器8可以监测第一分支装置和第二分支装置之间的流量。
作为一个示例,不是SDN控制器8监测流量,而是可以将监测推给分支装置(例如,分支装置10)。例如,第一分支装置或第二分支装置中的至少一者确定是否满足一个或多个策略度量(例如,如SDN控制器8所定义并输出到分支装置10)(例如,作为策略度量的示例,已输出超过10千兆字节的数据,正在发送视频流量等)。第一分支装置或第二分支装置中的至少一者可以基于是否满足一个或多个策略度量的确定来确定指示在第一分支装置和第二分支装置之间流动的流量的信息,并向SDN控制器8发送指示在第一分支装置和第二分支装置之间流动的流量的确定信息。在这样的示例中,为了确定指示经由第一路径在第一分支装置和第二分支装置之间流动的流量的信息,SDN控制器8基于从第一分支装置和第二分支装置中的至少一者所接收到的确定的信息确定指示经由第一SD路径在第一分支装置和第二分支装置之间流动的流量的信息。
SDN控制器8可以确定用于在第一分支装置和第二分支装置之间进行通信的第二路径(例如,隧道16A)是基于所确定的信息进行配置的(32)。第二路径绕过第一中心装置和第二中心装置中的至少一者。作为一个示例,SDN控制器8可以将所确定的信息与策略度量进行比较。SDN控制器8可以确定用于在第一分支装置和第二分支装置之间进行通信的第二路径是基于该比较进行配置的。
响应于该确定,SDN控制器8可以配置SD-WAN中的在第一分支装置和第二分支装置之间的第二路径所需的参数,该第二路径绕过第一中心装置和第二中心装置中的至少一者(34)。例如,SDN控制器8可以将第二分支装置的唯一标识符输出到第一分支装置。第一分支装置可以基于唯一标识符确定第二分支装置的因特网协议(IP)地址,并基于所确定的IP地址配置第二路径。SDN控制器8可以被配置为至少部分地基于第二分支装置的站点标识和WAN接口名称来确定第二分支装置的唯一标识符。
尽管SDN控制器8可以配置第二路径,但是,基于这些参数,第一分支装置或第二分支装置中的至少一者配置第二路径。在一些示例中,第一分支装置或第二分支装置中的至少一者可以更新路由表(例如,基于所确定的IP地址),以通过第二路径来路由流量。在这样的示例中,第一分支装置和第二分支装置基于更新的路由表进行通信,以通过第二路径路由数据。
本公开的技术可在各种装置或设备(包括网络装置,集成电路(IC)或一组IC(即,芯片组))中实施。已经描述了提供的任何组件、模块或单元以强调功能方面,并且不一定需要由不同的硬件单元实现。本文描述的技术还可以用硬件或硬件和软件和/或固件的任何组合来实现。描述为模块、单元或组件的任何特征可以在集成逻辑器件中一起实现,或者作为离散但可互操作的逻辑器件单独实现。在一些情况下,各种特征可以实现为集成电路器件,诸如集成电路芯片或芯片组。
如果以软件实现,则该技术可以至少部分地由包括指令的计算机可读存储介质来实现,所述指令在处理器中执行上执行上述方法中的一种或多种方法。计算机可读存储介质可以为物理结构,并且可以形成计算机程序产品的一部分,该计算机程序产品可以包括封装材料。在这个意义上,计算机可读介质可以为非暂时性的。计算机可读存储介质可以包括随机存取存储器(RAM),诸如同步动态随机存取存储器(SDRAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存、磁或光数据存储介质等。
代码或指令可以由一个或多个处理器执行,所述处理器诸如为一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程逻辑阵列(FPGA)或其他等效集成或分立逻辑电路。因此,本文使用的术语“处理器”可以指任何前述结构或适合于实现本文所述技术的任何其他结构。另外,在一些方面,可以在专用软件模块或配置用于编码和解码的硬件模块内提供本文描述的功能,或者将其并入组合的视频编解码器中。而且,这些技术可以在一个或多个电路或逻辑元件中完全实现。
Claims (24)
1.一种在以轴辐式拓扑配置的软件定义的广域网SD-WAN中进行通信的方法,所述方法包括:
在所述轴辐式拓扑中,其中多个分支装置中的每一个配置有至多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过所述第一中心装置和所述第二中心装置的第一路径进行通信,利用促进SD-WAN中的SD-WAN服务的软件定义网络SDN控制器来确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息;
利用所述SDN控制器来确定用于在所述第一分支装置和所述第二分支装置之间进行通信的第二路径将基于所确定的信息进行配置,其中,所述第二路径绕过所述第一中心装置和所述第二中心装置中的至少一个;以及
响应于所述确定,利用所述SDN控制器配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数。
2.根据权利要求1所述的方法,其中,所述SDN控制器被配置为确定指示在所述第一分支装置和所述第二分支装置之间流动的流量的信息,并且不在所述第一分支装置和第二分支装置之间路由流量。
3.根据权利要求1所述的方法,进一步包括:
将所确定的信息与策略度量进行比较,
其中,确定用于在所述第一分支装置和所述第二分支装置之间进行通信的第二路径将基于所述确定的信息进行配置包括:确定用于在所述第一分支装置和所述第二分支装置之间进行通信的第二路径将基于所述比较进行配置。
4.根据权利要求1所述的方法,进一步包括:
利用所述第一分支装置和所述第二分支装置中的至少一个确定是否满足一个或多个策略度量;
利用所述第一分支装置和所述第二分支装置中的至少一个,基于确定是否满足所述一个或多个策略度量来确定指示在所述第一分支装置和第二分支装置之间流动的流量的信息;以及
利用所述第一分支装置和所述第二分支装置中的至少一个向所述SDN控制器发送所确定的指示在所述第一分支装置和所述第二分支装置之间流动的流量的信息,
其中,确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息包括:基于从所述第一分支装置和所述第二分支装置中的至少一个接收到的所确定的信息,确定指示经由所述第一路径在所述第一分支装置和所述第二分支装置之间流动的流量的信息。
5.根据权利要求1所述的方法,进一步包括:
利用所述第一分支装置和所述第二分支装置中的至少一个配置所述第二路径。
6.根据权利要求1所述的方法,进一步包括:
利用所述第一分支装置和所述第二分支装置中的至少一个来更新路由表以通过所述第二路径路由流量;以及
基于所更新的路由表在所述第一分支装置和所述第二分支装置之间传送流量。
7.根据权利要求1所述的方法,其中,配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数包括:向所述第一分支装置输出所述第二分支装置的唯一标识符,所述方法进一步包括:
利用所述第一分支装置,基于所述唯一标识符确定所述第二分支装置的因特网协议IP地址;以及
利用所述第一分支装置,基于所确定的IP地址来配置所述第二路径。
8.根据权利要求7所述的方法,进一步包括:
利用所述SDN控制器至少部分地基于所述第二分支装置的站点标识和WAN接口名称来确定所述第二分支装置的唯一标识符。
9.根据权利要求2至8中任一项所述的方法,进一步包括:
利用所述第一分支装置和所述第二分支装置中的至少一个来确定是否满足一个或多个策略度量;
利用所述第一分支装置和所述第二分支装置中的至少一个,基于确定是否满足所述一个或多个策略度量来确定指示在所述第一分支装置和所述第二分支装置之间流动的流量的信息;以及
利用所述第一分支装置和第二分支装置中的至少一个向所述SDN控制器发送所确定的指示在所述第一分支装置和所述第二分支装置之间流动的流量的信息,
其中,确定指示经由所述第一路径在所述第一分支装置和所述第二分支装置之间流动的流量的信息包括:基于从所述第一分支装置和所述第二分支装置中的至少一个接收到的所确定的信息,确定指示经由所述第一路径在所述第一分支装置和所述第二分支装置之间流动的流量的信息。
10.根据权利要求2至6中任一项所述的方法,其中,配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数包括:向所述第一分支装置输出所述第二分支装置的唯一标识符,所述方法进一步包括:
利用所述第一分支装置,基于所述唯一标识符确定所述第二分支装置的因特网协议IP地址;
利用所述第一分支装置,基于所述确定的IP地址来配置所述第二路径;以及
利用所述SDN控制器至少部分地基于所述第二分支装置的站点标识和WAN接口名称来确定所述第二分支装置的唯一标识符。
11.一种以轴辐式拓扑配置的软件定义的广域网SD-WAN,包括:
多个中心装置;
多个分支装置,配置有至所述多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过所述第一中心装置和所述第二中心装置的第一路径进行通信;以及
软件定义网络SDN控制器,促进所述SD-WAN中的SD-WAN服务,其中,所述SDN控制器被配置为:
确定指示经由所述第一路径在所述第一分支装置和所述第二分支装置之间流动的流量的信息;
确定用于在所述第一分支装置和所述第二分支装置之间进行通信的第二路径将基于所确定的信息进行配置,其中,所述第二路径绕过所述第一中心装置和所述第二中心装置中的至少一个;以及
响应于所述确定,配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过SD-WAN在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数。
12.根据权利要求11所述的SD-WAN,其中,所述SDN控制器被配置为确定指示在所述第一分支装置和第二分支装置之间流动的流量的信息,并且不在所述第一分支装置和第二分支装置之间路由流量。
13.根据权利要求11所述的SD-WAN,其中,SDN控制器被配置为:
将所确定的信息与策略度量进行比较,
其中,为了确定在所述第一分支装置和所述第二分支装置之间进行通信的所述第二路径将基于所确定的信息进行配置,所述SDN控制器被配置为确定用于在所述第一分支装置和所述第二分支装置之间进行通信的所述第二路径将基于所述比较进行配置。
14.根据权利要求11所述的SD-WAN,其中,所述第一分支装置和所述第二分支装置中的至少一个被配置为:
确定是否满足一个或多个策略度量;
基于确定是否满足所述一个或多个策略度量,来确定指示在所述第一分支装置和第二分支装置之间流动的流量的信息;以及
向所述SDN控制器发送所确定的指示在所述第一分支装置和第二分支装置之间流动的流量的信息,
其中,为了确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息,所述SDN控制器被配置为基于从所述第一分支装置和第二分支装置中的至少一个接收到的所确定的信息,确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息。
15.根据权利要求11所述的SD-WAN,其中,所述第一分支装置和所述第二分支装置中的至少一个被配置为形成所述第二路径。
16.根据权利要求11所述的SD-WAN,其中,所述第一分支装置和所述第二分支装置中的至少一个被配置为:
更新路由表以通过所述第二路径路由流量,
其中,所述第一分支装置和第二分支装置被配置为基于所更新的路由表在所述第一分支装置和第二分支装置之间传送流量。
17.根据权利要求11所述的SD-WAN,其中,为了配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数,所述SDN控制器被配置为向所述第一分支装置输出所述第二分支装置的唯一标识符,以及
其中,所述第一分支装置被配置为:
基于所述唯一标识符确定所述第二分支装置的因特网协议IP地址;以及
基于所确定的IP地址来配置所述第二路径。
18.根据权利要求17所述的SD-WAN,其中,SDN控制器被配置为:
至少部分地基于所述第二分支装置的站点标识和WAN接口名称来确定所述第二分支装置的唯一标识符。
19.根据权利要求12至18中任一项所述的SD-WAN,其中,所述第一分支装置和第二分支装置中的至少一个被配置为:
确定是否满足一个或多个策略度量;
基于确定是否满足所述一个或多个策略度量,确定指示在所述第一分支装置和第二分支装置之间流动的流量的信息;以及
向所述SDN控制器发送所确定的指示在所述第一分支装置和第二分支装置之间流动的流量的信息,
其中,为了确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息,所述SDN控制器被配置为基于从所述第一分支装置和第二分支装置中的至少一个接收到的所确定的信息,确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息。
20.根据权利要求12至16中任一项所述的SD-WAN,其中,为了配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数,所述SDN控制器被配置为向所述第一分支装置输出所述第二分支装置的唯一标识符,以及
其中,所述第一分支装置被配置为:
基于所述唯一标识符确定所述第二分支装置的因特网协议IP地址;
基于所述确定的IP地址来配置所述第二路径;以及
至少部分地基于所述第二分支装置的站点标识和WAN接口名称来确定所述第二分支装置的唯一标识符。
21.一种用于以轴辐式拓扑布置的软件定义的广域网络SD-WAN的服务提供商,所述服务提供商包括:
软件定义网络SDN控制器,其通信地耦接到所述轴辐式拓扑中的多个分支装置,其中,所述SDN控制器被配置为促进所述SD-WAN中的SD-WAN服务,其中,所述多个分支装置配置有至多个中心装置中的相应一个的覆盖隧道,使得配置有至第一中心装置的隧道的第一分支装置与配置有至第二中心装置的隧道的第二分支装置经由通过所述第一中心装置和第二中心装置的第一路径进行通信,以及
其中,所述SDN控制器被配置为:
确定指示经由所述第一路径在所述第一分支装置和第二分支装置之间流动的流量的信息;
确定用于在所述第一分支装置和所述第二分支装置之间进行通信的第二路径将基于所确定的信息进行配置,其中,所述第二路径绕过所述第一中心装置和所述第二中心装置中的至少一个;以及
响应于所述确定,配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数。
22.根据权利要求21所述的服务提供商,其中,所述SDN控制器被配置为确定指示在所述第一分支装置和第二分支装置之间流动的流量的信息,并且不在所述第一分支装置和第二分支装置之间路由流量。
23.根据权利要求21所述的服务提供商,其中,所述SDN控制器被配置为:
将所确定的信息与策略度量进行比较,
其中,为了确定用于在所述第一分支装置和所述第二分支装置之间进行通信的所述第二路径将基于所确定的信息进行配置,所述SDN控制器被配置为确定用于在所述第一分支装置和所述第二分支装置之间进行通信的所述第二路径将基于所述比较进行配置。
24.根据权利要求21至23中任一项所述的服务提供商,其中,为了配置绕过所述第一中心装置和所述第二中心装置中的至少一个的、通过所述SD-WAN的在所述第一分支装置和所述第二分支装置之间的所述第二路径所需的参数,所述SDN控制器被配置为向所述第一分支装置输出所述第二分支装置的唯一标识符。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962799621P | 2019-01-31 | 2019-01-31 | |
| US62/799,621 | 2019-01-31 | ||
| US16/369,330 | 2019-03-29 | ||
| US16/369,330 US11336482B2 (en) | 2019-01-31 | 2019-03-29 | Policy-driven on-demand tunnel creation/deletion based on traffic information in a wide area network (WAN) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111510316A true CN111510316A (zh) | 2020-08-07 |
| CN111510316B CN111510316B (zh) | 2023-06-23 |
Family
ID=67001722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910577154.XA Active CN111510316B (zh) | 2019-01-31 | 2019-06-28 | Sd-wan中通信的方法、sd-wan及服务提供商 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11336482B2 (zh) |
| EP (1) | EP3690649B1 (zh) |
| CN (1) | CN111510316B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112214258A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的端到端能力基准测试方法和装置 |
| CN112311697A (zh) * | 2020-10-26 | 2021-02-02 | 新华三大数据技术有限公司 | 一种路径配置方法及装置 |
| CN113556273A (zh) * | 2021-07-19 | 2021-10-26 | 上海地面通信息网络股份有限公司 | 一种三网云互通系统的数据传输方法 |
| CN113810945A (zh) * | 2021-09-22 | 2021-12-17 | 广州通则康威智能科技有限公司 | 多路上行负载均衡方法、装置、计算机设备及存储介质 |
| CN113872856A (zh) * | 2021-09-26 | 2021-12-31 | 广州电力通信网络有限公司 | 一种sd-wan环境中路径计算方法及装置 |
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN115514649A (zh) * | 2022-08-24 | 2022-12-23 | 中国电信股份有限公司 | 一种企业SDWAN hub-spoke组网中智能隧道调度的方法与系统 |
| CN116132220A (zh) * | 2021-11-15 | 2023-05-16 | 中国联合网络通信集团有限公司 | 数据发送方法、装置、设备及存储介质 |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
| US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
| US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
| US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
| US10841206B2 (en) * | 2016-05-31 | 2020-11-17 | 128 Technology, Inc. | Flow modification including shared context |
| US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
| US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
| US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
| US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
| US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
| US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US10805114B2 (en) | 2017-10-02 | 2020-10-13 | Vmware, Inc. | Processing data messages of a virtual network that are sent to and received from external service machines |
| US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| US10911374B1 (en) * | 2018-09-28 | 2021-02-02 | Riverbed Technology, Inc. | Software defined wide area network (SD WAN) enabled network fabric for containers |
| US11128492B2 (en) * | 2019-04-16 | 2021-09-21 | Hewlett Packard Enterprise Development Lp | Automated gateway selection in SD-WAN |
| US11129023B2 (en) * | 2019-06-06 | 2021-09-21 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
| US11075824B2 (en) | 2019-06-19 | 2021-07-27 | 128 Technology, Inc. | In-line performance monitoring |
| US11563600B2 (en) * | 2019-07-31 | 2023-01-24 | Palo Alto Networks, Inc. | Dynamic establishment and termination of VPN tunnels between spokes |
| US11310170B2 (en) | 2019-08-27 | 2022-04-19 | Vmware, Inc. | Configuring edge nodes outside of public clouds to use routes defined through the public clouds |
| US11552931B2 (en) * | 2019-10-11 | 2023-01-10 | MAG DS Corp. | Multipoint mesh virtual private network (MMVPN) |
| US10959100B1 (en) * | 2019-10-17 | 2021-03-23 | Charter Communications Operating, Llc | Secured communications routing in a network |
| US11044190B2 (en) | 2019-10-28 | 2021-06-22 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
| US11824754B2 (en) * | 2019-12-03 | 2023-11-21 | Red Hat, Inc. | Multi-cluster networking using hub and spoke elastic mesh |
| US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
| US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
| US11689959B2 (en) | 2020-01-24 | 2023-06-27 | Vmware, Inc. | Generating path usability state for different sub-paths offered by a network link |
| US10979346B1 (en) * | 2020-02-26 | 2021-04-13 | Charter Communications Operating, Llc | Hybrid hub-and-spoke communications network with hub-bypass communications paths |
| US11388227B1 (en) * | 2020-02-27 | 2022-07-12 | Aviatrix Systems, Inc. | Multi-cloud active mesh network system and method |
| US11140059B1 (en) * | 2020-03-24 | 2021-10-05 | Fortinet, Inc. | Active path detection for on-demand network links in a software-defined wide area network (SDWAN) |
| US11245641B2 (en) * | 2020-07-02 | 2022-02-08 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
| US11582068B2 (en) | 2020-07-24 | 2023-02-14 | Cisco Technology, Inc. | Scalable mechanism for optimized application performance in SD-WAN |
| US11709710B2 (en) | 2020-07-30 | 2023-07-25 | Vmware, Inc. | Memory allocator for I/O operations |
| US11546256B2 (en) * | 2020-09-30 | 2023-01-03 | Hewlett Packard Enterprise Development Lp | Multi-region virtual overlay wide area network |
| US11347569B2 (en) | 2020-10-07 | 2022-05-31 | Microsoft Technology Licensing, Llc | Event-based framework for distributed applications |
| US11943150B2 (en) * | 2020-10-08 | 2024-03-26 | Cisco Technology, Inc. | Tracking application scaling for network bandwidth allocation |
| US20230412423A1 (en) * | 2020-10-09 | 2023-12-21 | Schlumberger Technology Corporation | Devices and systems that connect iiot edge devices and applications to a corporate data network |
| US11582196B2 (en) * | 2020-11-02 | 2023-02-14 | Datto, Inc. | System for managing and controlling mesh virtual private network and method associated therewith |
| US11146500B1 (en) | 2020-11-03 | 2021-10-12 | Cisco Technology, Inc. | Optimized transport resource allocation using centralized control policy |
| US11444865B2 (en) | 2020-11-17 | 2022-09-13 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
| US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
| US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
| US11777760B2 (en) * | 2020-12-30 | 2023-10-03 | Hughes Network Systems, Llc | VPN classification to reduce usage costs while retaining responsiveness |
| US12047280B1 (en) * | 2020-12-31 | 2024-07-23 | Aviatrix Systems, Inc. | Management network and method of operation |
| US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
| US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
| US11477112B2 (en) * | 2021-03-09 | 2022-10-18 | Cisco Technology, Inc. | On-the-fly SD-WAN tunnel creation for application-driven routing |
| US11582144B2 (en) | 2021-05-03 | 2023-02-14 | Vmware, Inc. | Routing mesh to provide alternate routes through SD-WAN edge forwarding nodes based on degraded operational states of SD-WAN hubs |
| US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
| US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
| US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
| US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
| US12047282B2 (en) | 2021-07-22 | 2024-07-23 | VMware LLC | Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN |
| US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
| US11888752B2 (en) * | 2021-09-02 | 2024-01-30 | Cisco Technology, Inc. | Combining networking technologies to optimize wide area network traffic |
| US20230116163A1 (en) * | 2021-09-29 | 2023-04-13 | Juniper Networks, Inc. | Opportunistic mesh for software-defined wide area network (sd-wan) |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| US11601395B1 (en) | 2021-12-22 | 2023-03-07 | Uab 360 It | Updating parameters in a mesh network |
| US11799830B2 (en) | 2021-12-29 | 2023-10-24 | Uab 360 It | Access control in a mesh network |
| US11991152B2 (en) * | 2022-02-09 | 2024-05-21 | Hewlett Packard Enterprise Development Lp | Bypassing IKE firewall for cloud-managed IPSec keys in SDWAN fabric |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| US12120027B2 (en) | 2022-11-22 | 2024-10-15 | Cisco Technology, Inc. | Underlay network traffic steering |
| US12034587B1 (en) | 2023-03-27 | 2024-07-09 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
| US12057993B1 (en) | 2023-03-27 | 2024-08-06 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108306831A (zh) * | 2017-01-13 | 2018-07-20 | 华为技术有限公司 | 选路方法及装置 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8442052B1 (en) | 2008-02-20 | 2013-05-14 | Silver Peak Systems, Inc. | Forward packet recovery |
| US10805840B2 (en) * | 2008-07-03 | 2020-10-13 | Silver Peak Systems, Inc. | Data transmission via a virtual wide area network overlay |
| US8438269B1 (en) | 2008-09-12 | 2013-05-07 | At&T Intellectual Property I, Lp | Method and apparatus for measuring the end-to-end performance and capacity of complex network service |
| US10785117B2 (en) * | 2009-06-11 | 2020-09-22 | Talari Networks Incorporated | Methods and apparatus for configuring a standby WAN link in an adaptive private network |
| US9710762B2 (en) | 2012-06-06 | 2017-07-18 | Juniper Networks, Inc. | Dynamic logging |
| US9124506B2 (en) * | 2013-06-07 | 2015-09-01 | Brocade Communications Systems, Inc. | Techniques for end-to-end network bandwidth optimization using software defined networking |
| US9609492B2 (en) | 2013-10-17 | 2017-03-28 | Openet Telecom Ltd. | Method and system for dynamically creating tunnels suitable for metering and managing usage data for applications and services |
| US20150124622A1 (en) | 2013-11-01 | 2015-05-07 | Movik Networks, Inc. | Multi-Interface, Multi-Layer State-full Load Balancer For RAN-Analytics Deployments In Multi-Chassis, Cloud And Virtual Server Environments |
| US9906425B2 (en) | 2014-07-23 | 2018-02-27 | Cisco Technology, Inc. | Selective and dynamic application-centric network measurement infrastructure |
| TWI590617B (zh) | 2014-09-16 | 2017-07-01 | 科勞簡尼克斯股份有限公司 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
| US9787594B2 (en) * | 2015-01-08 | 2017-10-10 | Coriant Operations, Inc. | Procedures, apparatuses, systems, and computer program products for adaptive tunnel bandwidth by using software defined networking |
| US9577943B1 (en) | 2015-03-12 | 2017-02-21 | Juniper Networks, Inc. | Tiered services in border gateway protocol flow specification |
| US9825777B2 (en) | 2015-06-23 | 2017-11-21 | Cisco Technology, Inc. | Virtual private network forwarding and nexthop to transport mapping scheme |
| US10637889B2 (en) | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
| US11005682B2 (en) * | 2015-10-06 | 2021-05-11 | Cisco Technology, Inc. | Policy-driven switch overlay bypass in a hybrid cloud network environment |
| US9621853B1 (en) | 2016-06-28 | 2017-04-11 | At&T Intellectual Property I, L.P. | Service orchestration to support a cloud-based, multi-party video conferencing service in a virtual overlay network environment |
| US10802857B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
| US11018945B2 (en) | 2017-03-13 | 2021-05-25 | Futurewei Technologies, Inc. | Telemetry aggregation and network autonomic scaling |
| US10523560B2 (en) | 2017-07-28 | 2019-12-31 | Juniper Networks, Inc. | Service level agreement based next-hop selection |
| JP6434190B1 (ja) | 2017-08-30 | 2018-12-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体 |
| US11089111B2 (en) * | 2017-10-02 | 2021-08-10 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US10728140B2 (en) * | 2017-12-18 | 2020-07-28 | At&T Intellectual Property I, L.P. | Deadlock-free traffic rerouting in software-deifned networking networks |
| US20190207844A1 (en) * | 2018-01-03 | 2019-07-04 | Hewlett Packard Enterprise Development Lp | Determining routing decisions in a software-defined wide area network |
| US10637721B2 (en) | 2018-03-12 | 2020-04-28 | Silver Peak Systems, Inc. | Detecting path break conditions while minimizing network overhead |
| US10798005B2 (en) * | 2018-09-13 | 2020-10-06 | International Business Machines Corporation | Optimizing application throughput |
| US11129023B2 (en) | 2019-06-06 | 2021-09-21 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
-
2019
- 2019-03-29 US US16/369,330 patent/US11336482B2/en active Active
- 2019-06-21 EP EP19181832.7A patent/EP3690649B1/en active Active
- 2019-06-28 CN CN201910577154.XA patent/CN111510316B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108306831A (zh) * | 2017-01-13 | 2018-07-20 | 华为技术有限公司 | 选路方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| EANTC: "EANTC Independent Test Report:Juniper Contrail SD-WAN Solution", 《HTTPS://GO.JUNIPER.NET/C/SP-CONTRAIL-SOLUTION-REPORT?X=XB_KLV&FORM_NAME=GLBL_T2SP_19Q1_NET_MUL_SAC-DOTNET&UTM_CAMPAIGN=GLBL_T2SP_19Q1_NET_MUL_SECURE-AUTOMATED-CLOUD-DOTNET&CID=7013C000001QU25&SHOWFORM1=TRUE&ASSETSOURCEURL=》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112214258A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的端到端能力基准测试方法和装置 |
| CN112311697A (zh) * | 2020-10-26 | 2021-02-02 | 新华三大数据技术有限公司 | 一种路径配置方法及装置 |
| CN112311697B (zh) * | 2020-10-26 | 2022-05-24 | 新华三大数据技术有限公司 | 一种路径配置方法及装置 |
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN114640626B (zh) * | 2020-12-01 | 2023-07-18 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN113556273A (zh) * | 2021-07-19 | 2021-10-26 | 上海地面通信息网络股份有限公司 | 一种三网云互通系统的数据传输方法 |
| CN113810945A (zh) * | 2021-09-22 | 2021-12-17 | 广州通则康威智能科技有限公司 | 多路上行负载均衡方法、装置、计算机设备及存储介质 |
| CN113810945B (zh) * | 2021-09-22 | 2023-06-20 | 广州通则康威智能科技有限公司 | 多路上行负载均衡方法、装置、计算机设备及存储介质 |
| CN113872856A (zh) * | 2021-09-26 | 2021-12-31 | 广州电力通信网络有限公司 | 一种sd-wan环境中路径计算方法及装置 |
| CN116132220A (zh) * | 2021-11-15 | 2023-05-16 | 中国联合网络通信集团有限公司 | 数据发送方法、装置、设备及存储介质 |
| CN116132220B (zh) * | 2021-11-15 | 2024-07-02 | 中国联合网络通信集团有限公司 | 数据发送方法、装置、设备及存储介质 |
| CN115514649A (zh) * | 2022-08-24 | 2022-12-23 | 中国电信股份有限公司 | 一种企业SDWAN hub-spoke组网中智能隧道调度的方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3690649A1 (en) | 2020-08-05 |
| US20200252234A1 (en) | 2020-08-06 |
| EP3690649B1 (en) | 2023-12-13 |
| US11336482B2 (en) | 2022-05-17 |
| CN111510316B (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111510316B (zh) | Sd-wan中通信的方法、sd-wan及服务提供商 | |
| US11082334B2 (en) | Distributed quality-of-service (QoS) in an overlay network using capacity enforcement | |
| US10560386B2 (en) | Programmable packet processor (PPP) based adaptive network function chaining | |
| US10637769B2 (en) | Adaptive network function chaining | |
| US9288162B2 (en) | Adaptive infrastructure for distributed virtual switch | |
| RU2651149C2 (ru) | Sdn-контроллер, система центра обработки данных и способ маршрутизируемого соединения | |
| JP2022545608A (ja) | 仮想ネットワークを実施するためのリコメンデーションの提供 | |
| EP3654584A1 (en) | Network controller subclusters for distributed compute deployments | |
| US20180013556A1 (en) | System, apparatus and method for encrypting overlay networks using quantum key distribution | |
| US20170195237A1 (en) | Distributed quality-of-service (QoS) mechanism in an overlay network having edge regions | |
| WO2014055912A1 (en) | Software defined network virtualization utilizing service specific topology abstraction and interface | |
| Mohammed et al. | SDN controller for network-aware adaptive orchestration in dynamic service chaining | |
| WO2015180154A1 (zh) | 网络控制方法和装置 | |
| AU2014295861B2 (en) | System, apparatus and method for providing improved performance of aggregated/bonded network connections between remote sites | |
| CN104137478B (zh) | 用于控制电信网络内的通知的流的方法和系统 | |
| RU2775146C1 (ru) | Способ автоматизированного предоставления виртуального канала оператором связи между ЦОД | |
| Saputra et al. | Implementation of Layer 2 MPLS VPN on the SDN Hybrid Network using Ansible and ONOS Controllers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |