CN113016167B - 在网络中使权利跟随终端设备的方法和装置 - Google Patents

在网络中使权利跟随终端设备的方法和装置 Download PDF

Info

Publication number
CN113016167B
CN113016167B CN201980074386.1A CN201980074386A CN113016167B CN 113016167 B CN113016167 B CN 113016167B CN 201980074386 A CN201980074386 A CN 201980074386A CN 113016167 B CN113016167 B CN 113016167B
Authority
CN
China
Prior art keywords
network
tracking information
devices
information
existing session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980074386.1A
Other languages
English (en)
Other versions
CN113016167A (zh
Inventor
博克·子·黄
文卡塔拉曼·拉戈塔曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN113016167A publication Critical patent/CN113016167A/zh
Application granted granted Critical
Publication of CN113016167B publication Critical patent/CN113016167B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

系统和方法允许以与设备在何处连接到网络无关的方式来在该网络处跟踪该设备。实施例可以识别与安全策略相关联的设备先前已经连接到网络。作为响应,确定设备与现有会话ID和设备跟踪信息之间的匹配,其中,现有会话ID和设备跟踪信息独立于设备在网络中的何处连接。基于匹配,将安全策略应用于设备。

Description

在网络中使权利跟随终端设备的方法和装置
相关申请的交叉引用
本申请要求于2019年4月24日提交的题为“METHOD AND APPARATUS TO HAVEENTITLEMENT FOLLOW THE END DEVICE IN NETWORK”(在网络中使权利跟随终端设备的方法和装置)的美国非临时专利申请号16/393,680的权益和优先权,并要求于2018年11月21日提交的题为“METHOD AND APPARATUS TO HAVE ENTITLEMENT FOLLOW THE END DEVICEIN NETWORK”(在网络中使权利跟随终端设备的方法和装置)的美国临时专利申请号62/770,321的权益,它们的全部内容通过引用合并于此。
技术领域
本公开的主题大体上涉及计算机联网领域,并且更具体地,涉及用于改进企业网络的操作的系统和方法。
背景技术
园区网络可以提供与位于环境(例如,办公室、医院、学院和大学、石油和天然气设施、工厂、以及类似地点)中的计算设备(例如,服务器、工作站、台式计算机、膝上型计算机、平板电脑,移动电话等)和事物(例如,台式电话,安全相机,照明,供暖、通风及空调(heating,ventilating,and air-conditioning,HVAC),窗户,门,锁,医疗设备,工业和制造设备等)的连接性。园区网络可能面临的一些独特挑战包括:集成有线和无线设备;加载可能在网络中任何地方出现的计算设备和事物并且在这些设备和事物在网络中从一个位置迁移到另一位置时保持连接性;支持自带设备(bring your own device,BYOD)能力;连接物联网(Internet-of-Things,IoT)设备并向其供电;以及尽管存在与Wi-Fi接入、设备移动性、BYOD和IoT相关联的漏洞,但是仍要保护网络的安全。用于部署能够提供这些功能的网络的当前方法经常需要由高技能网络工程师操作若干不同的系统(例如,基于目录的身份服务;认证、授权和计费(authentication,authorization,and accounting,AAA)服务、无线局域网(wireless local area network,WLAN)控制器;用于每个交换机、路由器或网络中其他网络设备的命令行接口;等等)并且手动将这些系统拼接在一起,来进行连续且广泛的配置和管理。这可能使网络部署变得困难且耗时,并且阻碍许多组织快速创新和采用新技术(例如,视频、协作和连接的工作区)的能力。
附图说明
为了提供对本公开及其特征和优点的更完整的理解,结合附图来参考以下描述,其中:
图1示出了根据实施例的企业网络的物理拓扑的示例;
图2示出了根据实施例的用于企业网络的逻辑架构的示例;
图3A-图3I示出了根据实施例的用于网络管理系统的图形用户界面的示例;
图4示出了根据实施例的用于多站点企业网络的物理拓扑的示例;
图5A示出了根据实施例的使得权利能够在网络中跟随终端设备的流程图表示;
图5B示出了根据一些实施例的跟随设备以应用一致权利的多网络环境的示例示意图;并且
图6A和图6B示出了根据一些实施例的系统的示例。
具体实施方式
以下阐述的详细描述意在作为对实施例的各种配置的描述,而不意在代表可以实施本公开的主题的唯一配置。附图被并入本文并构成详细描述的一部分。为了提供对本公开的主题的更透彻的理解,详细描述包括具体细节。然而,将清楚并显而易见的是,本公开的主题不限于本文阐述的具体细节,并且可以在没有这些细节的情况下被实施。在一些实例中,以框图形式示出了结构和组件,以避免模糊本公开的主题的概念。
概述
在独立权利要求中陈述了本发明的各方面,并在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面相组合地应用于每个方面。
系统和方法提供了在网络处以独立于设备在何处连接到该网络的方式来跟踪该设备。实施例可以识别与安全策略相关联的设备先前已经连接到网络。作为响应,确定设备与现有会话ID和设备跟踪信息之间的匹配,其中,现有会话ID和设备跟踪信息独立于设备在网络中所连接的位置。基于匹配,将安全策略应用于设备。
示例实施例
在一些情况下,设备可以在其附接到网络时基于其关于附接点和网络的授权和安全态势而被分配以网络服务权利(例如,访问控制列表(access control lists,ACL)、服务质量(Quality of Service,QoS)、虚拟局域网(virtual local area network,VLAN))。当设备移动至其他的端口或网络时,必须基于该网络的要求重新计算权利。用户(例如,员工或学生)可能会尝试通过进入另一个安全性较低的网络(例如,访客网络)来逃避公司补丁和/或升级要求。受感染的设备可能是受感染的端点,并且如果这些端点可以从一个网络中除去并且重新连接到另一个网络(例如,设备可以从隔离网络中除去并且然后重新连接到访客网络),则该受感染的端点可能会用新病毒感染其他端点和/或泄露数据。基于客户端的技术可以尝试在网络上强制实施一致的强制实施,但是这通常需要安装客户端软件(例如,态势/高级恶意软件防护(Advanced Malware Protection,AMP)客户端),或者在端点内构建客户端驱动的强制实施(例如,制造商使用说明(Manufacturer Usage Description,MUD))。此外,用户可能规避基于客户端软件的强制实施。
例如,学生可能想逃避注册他们的设备。学生的笔记本电脑可能需要注册其资产以进行升级、打补丁等,从而符合政策(例如,学校的安全政策)。如果学生想避免升级、打补丁等,和/或在其笔记本电脑上安装被禁止的软件(例如,不符合学校安全政策的软件),则学生可以通过下列方式来逃避被跟踪:通过虚拟专用网络(virtual private network,VPN)来进入学校的网络,或者进入不同的网络。或者,除了进入学生网络之外,学生可以进入访客网络。本质上,学生可以进行网络跳转,以防止其笔记本电脑被要求遵守原始网络的安全策略(例如,防止最新的安全补丁)。为了解决这个问题,系统可以跟踪客户端的实际身份。不管学生在什么网络上,替代跟踪感知到的网络角色,网络将跟踪设备的实际身份,从而准确识别设备是否在进行网络跳转。
换句话说,当涉及加密的流量分析时,本文公开的示例实施例可以使能解决客户端移动性问题的能力。如果考虑使用网络设备(无论其接入无线设备还是非无线设备)来收集关于某些客户端的网络信息并且然后将其导出到分析器系统,则常常会出现以下问题:如果客户端连接到网络的一部分,并且然后客户端移动并连接到网络的另一部分,则无论客户端走到哪里它都需要被跟随,以确保跟踪其网络流量。机制目前无法做到这一点。
所公开的技术为上述问题提供了解决方案。该技术的机制和方法使用在网络设备(例如,交换机)中实现的IP设备跟踪,其可以从动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)和/或域名服务器(Domain Name Server,DNS)信息中搜集IP MAC地址映射,并且可以维护表格。控制器(例如,企业网络上的一个或多个Cisco数字网络架构中心设备)可以周期性地从其(例如,在网络同步期间)所连接到的每个设备(例如,交换机)获取设备跟踪信息。Cisco DNA中心可以维护和跟踪设备跟踪信息,例如但不限于,现有会话ID、IP设备跟踪信息、和计费信息。
通过Cisco DNA中心内的IP设备跟踪,当客户端连接到网络的一部分时,系统可以知道客户端所连接的位置(例如,客户端连接到哪个接入交换机)。因此,当客户端移动时,基于Cisco DNA中心在IP设备跟踪信息上获得的更新,系统可以找出网络中客户端所连接的新点。根据流量配设分析服务,系统可以在新网络设备(例如,新交换机)内自动配设针对NetFlow的相应监视配置。
因此,本文公开的技术的特征可以使能如下的系统:该系统不需要安装客户端软件(例如,态势/AMP客户端),并且不需要端点制造商内置客户端驱动的强制实施支持(例如,MUD)。同样,用户无法规避基于客户端软件的强制实施。替代地,实施例基于IP设备跟踪和/或加密的流量分析和父设备(例如,控制器/网络准入控制(network admissioncontrol,NAC)组件/设备),来检测用户设备的移动或与网络的断开连接。终端设备客户端侧防火墙/态势软件可以在客户端处得出权利。
这可以使用基于意图的联网来完成。基于意图的联网是用于克服传统企业网络的在上文和本公开的其他地方所讨论的缺陷的方法。基于意图的联网的动机是使得用户能够用通俗易懂的语言来描述他或她想要完成的事情(例如,用户的意图),并且使得网络将用户的目标转换为配置和策略更改,该配置和策略更改在复杂且异构的计算环境上被自动传播。因此,基于意图的网络可以抽象化网络复杂性,自动化通常由网络管理员处理的配设和管理网络的许多工作,并且确保网络的安全运行和最佳性能。当基于意图的网络意识到用户、设备和事物在网络中进行连接时,其可以根据分配给用户、设备和事物的特权和体验质量(quality of experience,QoE)来自动应用安全权限和服务水平。表1列出了可以由基于意图的网络进行自动化以实现期望结果的意图和工作流的示例。
表1:意图和相关工作流的示例
下面是基于意图的网络的用例的一些其他示例:
·基于意图的网络可以学习应用和服务的性能需求,并且从端到端适配网络以达到指定的服务水平;
·替代将技术人员派往每个办公室、楼层、建筑物或分支机构,基于意图的网络可以在设备和事物连接时发现和识别它们,根据既定策略来分配安全和微分段配置文件,并且持续监视接入点性能以针对QoE进行自动调整;
·用户可以手持移动设备在网络分段之间自由移动,并且用正确的安全和访问特权进行自动连接;
·交换机、路由器和其他网络设备可以由本地非技术办公室人员加电,并且网络设备可以(由用户或由网络)经由云管理控制台使用通过针对特定位置(例如,永久员工通道、来访员工通道、访客通道等)的意图所定义的适当策略来被远程配置;并且
·网络中运行的机器学习和人工智能代理可以连续监视和分析网络流量和连接,将活动与预定义的意图(例如,应用性能或安全策略)进行比较,检测加密流量中的恶意软件入侵并自动隔离受感染的设备,并且提供网络事件的历史记录以进行分析和故障排除。
图1示出了用于提供基于意图的联网的企业网络100的物理拓扑的示例。应当理解,对于企业网络100和本文讨论的任何网络,在相似或替代配置中可以存在附加的或更少的节点、设备、链路、网络或组件。本文中还设想了具有不同数量和/或类型的端点、节点、云组件、服务器、软件组件、设备、虚拟或物理资源、配置、拓扑、服务、装置、或部署的示例实施例。此外,企业网络100可以包括能够由端点或网络设备访问和利用的任意数量或类型的资源。本文提供的图示和示例是为了清楚和简单起见。
在该示例中,企业网络100包括管理云102和网络结构120。虽然在该示例中被示为在网络结构120外部的网络或云,但是管理云102可以替代地或附加地位于组织的处所上或托管中心(colocation center)中(另外,由云提供商或类似环境进行托管)。管理云102可以提供用于构建和操作网络结构120的中央管理平面。管理云102可以负责转发配置和策略分发以及设备管理和分析。管理云102可以包括一个或多个网络控制器设备104,一个或多个认证、授权和计费(AAA)设备106,一个或多个无线局域网控制器(WLC)108,以及一个或多个结构控制平面节点110。在其他实施例中,管理云102的一个或多个元件可以与网络结构120位于同一位置。
(一个或多个)网络控制器设备104可以用作针对一个或多个网络结构的命令和控制系统,并且可以容纳用于部署和管理(一个或多个)网络结构的自动化工作流。(一个或多个)网络控制器设备104可以包括自动化、设计、策略、配设和保证能力等,如下面关于图2进一步讨论的。在一些实施例中,一个或多个Cisco数字网络架构(Cisco DNATM)设备可以用作(一个或多个)网络控制器设备104。
(一个或多个)AAA设备106可以控制对计算资源的访问,促进网络策略的强制实施,审计使用情况,并且提供对服务记账所必需的信息。AAA设备可以与(一个或多个)网络控制器设备104进行交互并且与数据库和目录进行交互以提供认证、授权和计费服务,其中该数据库和目录包含用于用户、设备、事物、策略、记账的信息以及类似的信息。在一些实施例中,(一个或多个)AAA设备106可以利用远程认证拨入用户服务(Remote AuthenticationDial-In User Service,RADIUS)或Diameter来与设备和应用进行通信。在一些实施例中,一个或多个身份服务引擎(Identity Services Engine,ISE)设备可以用作(一个或多个)AAA设备106。
(一个或多个)WLC 108可以支持附接到网络结构120的、结构启用的接入点,处理与WLC相关联的传统任务以及与用于无线端点注册和漫游的结构控制平面的交互。在一些实施例中,网络结构120可以实现无线部署,该无线部署将数据平面端接(例如,VXLAN)从集中式位置(例如,具有先前上覆的无线接入点控制和配设(Control and Provisioning ofWireless Access Points,CAPWAP)部署)移动到接入点/结构边缘节点。这可以使能针对无线流量的分布式转发和分布式策略应用,同时保留集中式配设和管理的优势。在一些实施例中,一个或多个无线控制器、/>无线LAN和/或其他支持Cisco DNATM的无线控制器可以用作(一个或多个)WLC 108。
网络结构120可以包括结构边界节点122A和122B(统称为122),结构中间节点124A-D(统称为124),和结构边缘节点126A-F(统称为126)。虽然在该示例中,(一个或多个)结构控制平面节点110被示为位于网络结构120的外部,但在其他实施例中,(一个或多个)结构控制平面节点110可以与网络结构120位于同一位置。在(一个或多个)结构控制平面节点110与网络结构120位于同一位置的实施例中,(一个或多个)结构控制平面节点110可以包括专用节点或节点集,或者(一个或多个)结构控制平面节点110的功能可以由结构边界节点122来实现。
(一个或多个)结构控制平面节点110可以用作中央数据库,用于跟踪所有用户、设备和事物(在它们附接到网络结构120时以及在它们漫游时)。(一个或多个)结构控制平面节点110可以允许网络基础设施(例如,交换机、路由器、WLC等)查询数据库以确定附接到结构的用户、设备和事物的位置,而不是使用泛洪和学习机制。以这种方式,(一个或多个)结构控制平面节点110可以用作关于附接到网络结构120的每个端点在任何时间点位于何处的单个事实来源。除了跟踪特定端点(例如,IPv4的/32地址、IPv6的/128地址等)之外,(一个或多个)结构控制平面节点110还可以跟踪较大的汇总路由器(例如,IP/掩码)。这种灵活性可以帮助跨结构站点进行汇总并且提高总体可扩缩性。
结构边界节点122可以将网络结构120连接到传统的层3网络(例如,非结构网络)或不同的结构站点。结构边界节点122还可以将上下文(例如,用户、设备或事物映射和身份)从一个结构站点转换到另一个结构站点或转换到传统网络。当封装跨不同结构站点是相同的时,对结构上下文的转换通常按1:1进行映射。结构边界节点122还可以与不同结构站点的结构控制平面节点交换可达性和策略信息。结构边界节点122还为内部网络和外部网络提供边界功能。内部边界可以通告定义的一组已知子网,例如通向一组分支站点或通向数据中心的那些子网。另一方面,外部边界可以通告未知目的地(例如,以与默认路由的功能相似的操作向互联网进行通告)。
结构中间节点124可以用作纯层3转发器,该纯层3转发器将结构边界节点122连接到结构边缘节点126并且为结构上覆层流量提供层3底层。
结构边缘节点126可以将端点连接到网络结构120,并且可以对流量进行封装/解封装并将流量从这些端点转发到网络结构以及从网络结构转发到这些端点。结构边缘节点126可以在网络结构120的外围操作,并且可以是用于用户、设备和事物的附接以及策略的实现的第一点。在一些实施例中,网络结构120还可以包括结构扩展节点(未示出),用于将下游非结构层2网络设备附接到网络结构120,从而扩展网络结构。例如,扩展节点可以是小型交换机(例如,紧凑型交换机、工业以太网交换机、楼宇自动化交换机等),这些小型交换机经由层2连接到结构边缘节点。连接到结构扩展节点的设备或事物可以使用结构边缘节点126来与外部子网进行通信。
在该示例中,网络结构可以表示单个结构站点部署,该单个结构站点部署可以与多站点结构部署区分开,如下面关于图4进一步讨论的。
在一些实施例中,在结构站点中所托管的所有子网可以在该结构站点中的每个结构边缘节点126上被配设。例如,如果在给定的结构站点中配设了子网10.10.10.0/24,则可以在该结构站点中的所有结构边缘节点126上定义该子网,并且可以将位于该子网中的端点放置在该结构中的任何结构边缘节点126上。这可以简化IP地址管理,并且允许部署更少但更大的子网。在一些实施例中,一个或多个Catalyst交换机、Cisco/>交换机、Cisco/>MS交换机、/>集成服务路由器(Integrated ServicesRouter,ISR)、/>聚合服务路由器(Aggregation Services Router,ASR)、/>企业网络计算系统(Enterprise Network Compute System,ENCS)、/>云服务虚拟路由器(Cloud Service Virtual Router,CSRv)、Cisco集成服务虚拟路由器(IntegratedServices Virtual Router,ISRv)、Cisco/>MX设备、和/或其他Cisco DNA-readyTM设备可以用作结构节点122、124和126。
企业网络100还可以包括有线端点130A、130C、130D和130F以及无线端点130B和130E(统称为130)。有线端点130A、130C、130D和130F可以分别通过导线连接到结构边缘节点126A、126C、126D和126F,并且无线端点130B和130E可以分别无线地连接到无线接入点128A和128B(统称为128),该无线接入点128A和128B进而分别通过导线连接到结构边缘节点126B和126E。在一些实施例中,Cisco 接入点、Cisco />MR接入点、和/或其他支持Cisco DNATM的接入点可以用作无线接入点128。
端点130可以包括通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,膝上型计算机、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(head-mounted display,HMD)、耳机等)等等。端点130还可以包括物联网(IoT)设备或装置,例如,农业设备(例如,牲畜跟踪和管理系统、浇水设备、无人飞行器(unmannedaerial vehicle、UAV)等);联网汽车和其他载具;智能家居传感器和设备(例如,警报系统、安全相机、照明、电器、媒体播放器、HVAC设备、电表、窗户、自动门、门铃、锁等);办公设备(例如,台式电话、复印机、传真机等);医疗保健设备(例如,起搏器、生物识别传感器、医疗设备等);工业设备(例如,机器人、工厂机械、建筑设备、工业传感器等);零售设备(例如,自动售货机、销售点(point of sale,POS)设备、射频识别(Radio FrequencyIdentification,RFID)标签等);智能城市设备(例如,路灯、停车收费表、废物管理传感器等);运输和后勤设备(例如,旋转栅门、租赁汽车跟踪器、导航设备、库存监视器等);等等。
在一些实施例中,网络结构120可以支持作为单个集成基础设施的一部分的有线和无线接入,使得对于有线和无线端点两者,连接性、移动性和策略强制实施行为是相似或相同的。这可以为用户、设备和事物带来独立于接入介质的统一体验。
在集成的有线和无线部署中,控制平面集成可以通过如下内容来实现:(一个或多个)WLC 108向(一个或多个)结构控制平面节点110通知无线端点130的加入、漫游和断开连接,使得(一个或多个)结构控制平面节点可以具有关于网络结构120中的有线和无线端点两者的连接性信息,并且可以用作连接到网络结构的端点的单个事实来源。对于数据平面集成,(一个或多个)WLC 108可以指示结构无线接入点128形成到它们的相邻结构边缘节点126的VXLAN上覆隧道。AP VXLAN隧道可以携带去往和来自结构边缘节点126的分段和策略信息,从而允许与有线端点相同或相似的连接性和功能。当无线端点130经由结构无线接入点128加入网络结构120时,(一个或多个)WLC 108可以将端点加载到网络结构120中,并且向(一个或多个)结构控制平面节点110通知端点的介质访问控制(MAC)地址。然后,(一个或多个)WLC 108可以指示结构无线接入点128形成到相邻结构边缘节点126的VXLAN上覆隧道。接下来,无线端点130可以经由动态主机配置协议(DHCP)来获得其自身的IP地址。一旦该操作完成,结构边缘节点126就可以将无线端点130的IP地址注册到(一个或多个)结构控制平面节点110以在端点的MAC地址和IP地址之间形成映射,并且去往和来自无线端点130的流量可以开始流动。
图2示出了用于企业网络(例如,企业网络100)的逻辑架构200的示例。本领域的普通技术人员将理解,对于本公开中讨论的逻辑架构200以及任何系统,在相似或替代配置中可以有附加的或更少的组件。本公开中提供的图示和示例是为了简洁和清楚。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解,这种变型不偏离本公开的范围。在该示例中,逻辑架构200包括管理层202、控制器层220、网络层230(例如,由网络结构120体现)、物理层240(例如,由图1的各种元件体现)、以及共享服务层250。
管理层202可以抽象出其他层的复杂性和依赖性,并且向用户提供用于管理企业网络(例如,企业网络100)的工具和工作流。管理层202可以包括用户界面204、设计功能206、策略功能208、配设功能210、保证功能212、平台功能214、和基础自动化功能216。用户界面204可以向用户提供用于对网络进行管理和自动化的单点。用户界面204可以在下列项内被实现:可由web浏览器访问的web应用/web服务器;和/或可由桌面应用、移动应用、shell程序或其他命令行接口(command line interface,CLI)、应用编程接口(例如,静态状态传输(restful state transfer,REST)、简单对象访问协议(Simple Object AccessProtocol,SOAP)、面向服务的架构(Service Oriented Architecture,SOA)等)、和/或其他适当接口(用户能够在其中配置由云端管理的网络基础设施、设备和事物;提供用户偏好;指定策略,输入数据;查看统计数据;配置交互或操作等等)访问的应用/应用服务器。用户界面204还可以提供可见性信息,例如,网络、网络基础设施、计算设备和事物的视图。例如,用户界面204可以提供下列项的视图:网络的状态或状况、正在发生的操作、服务、性能、拓扑或布局、已实现的协议、运行过程、错误、通知、警报、网络结构、正在进行的通信、数据分析等。
设计功能206可以包括用于管理站点配置文件、地图和楼层平面图、网络设置以及IP地址管理等的工具和工作流。策略功能208可以包括用于限定和管理网络策略的工具和工作流。配设功能210可以包括用于部署网络的工具和工作流。保证功能212可以使用机器学习和分析,通过从网络基础设施、端点和其他上下文信息源进行学习,来提供网络的端到端可见性。平台功能214可以包括用于将网络管理系统与其他技术进行集成的工具和工作流。基础自动化功能216可以包括用于支持策略功能208、配设功能210、保证功能212和平台功能214的工具和工作流。
在一些实施例中,设计功能206、策略功能208、配设功能210、保证功能212、平台功能214和基础自动化功能216可以被实现为微服务,在微服务中,相应软件功能被实现在彼此通信的多个容器中,替代将所有工具和工作流合并为单个软件二进制文件。设计功能206、策略功能208、配设功能210、保证功能212和平台功能214中的每一者可以被视为一组相关的自动化微服务,用于覆盖网络生命周期的设计、策略制作、配设、保证、和跨平台集成阶段。基础自动化功能214可以通过允许用户执行某些网络范围的任务,来支持顶级功能。
图3A-图3I示出了用于实现用户界面204的图形用户界面的示例。虽然图3A-图3I将图形用户界面示出为包括被显示在大形状因子通用计算设备(例如,服务器、工作站、台式机、膝上型计算机等)上执行的浏览器中的网页,但是本公开中所公开的原理可广泛地适用于其他形状因子的客户端设备,包括平板计算机、智能电话、可穿戴设备、或其他小形状因子通用计算设备;电视;机顶盒;物联网设备;以及能够连接到网络并包括输入/输出组件以使得用户能够与网络管理系统进行交互的其他电子设备。本领域的普通技术人员还将理解,图3A-图3I的图形用户界面仅仅是用于管理网络的用户界面的一个示例。其他实施例可以包括更少数量或更多数量的元件。
图3A示出了图形用户界面300A,该图形用户界面300A是用户界面204的登陆屏幕或主屏幕的示例。图形用户界面300A可以包括用于选择设计功能206、策略功能208、配设功能210、保证功能212和平台功能214的用户界面元素。图形用户界面300A还包括用于选择基础自动化功能216的用户界面元素。在该示例中,基础自动化功能216包括:
·网络发现工具302,用于自动发现现有网络元件以填充到库存中;
·库存管理工具304,用于管理一组物理和虚拟网络元件;
·拓扑工具306,用于使网络元件的物理拓扑可视化;
·图像存储库工具308,用于管理网络元件的软件图像;
·命令运行器工具310,用于基于CLI诊断一个或多个网络元件;
·许可证管理器工具312,用于管理网络中的可视化软件许可证使用情况;
·模板编辑器工具314,用于创建和制作与设计配置文件中的网络元件相关联的CLI模板;
·网络PnP工具316,用于支持对网络元件的自动配置;
·遥测工具318,用于设计遥测配置文件并且将遥测配置文件应用于网络元件;以及
·数据集和报告工具320,用于访问各种数据集,安排数据提取,并且生成多种格式(例如,发布文档格式(Post Document Format,PDF)、逗号分隔值(comma-separatevalue,CSV)、Tableau等)的报告,例如库存数据报告、软件图像管理(software imagemanagement,SWIM)服务器报告和客户端数据报告等。
图3B示出了图形用户界面300B,该图形用户界面300B是设计功能206的登陆屏幕的示例。图形用户界面300B可以包括用于在逻辑上限定企业网络的各种工具和工作流的用户界面元素。在该示例中,设计工具和工作流包括:
·网络分层工具322,用于设置地理位置、建筑物、和楼层平面详细信息,并且将它们与唯一的站点id相关联;
·网络设置工具324,用于设置网络服务器(例如,域名系统(DNS)、DHCP、AAA等)、设备凭证、IP地址池、服务提供商配置文件(例如,WAN提供商的QoS类别)、和无线设置;
·图像管理工具326,用于管理软件图像和/或维护更新,设置版本合规性,并且下载和部署图像;
·网络配置文件工具328,用于定义LAN、WAN和WLAN连接配置文件(包括服务集标识符(Service Set Identifier,SSID));以及
·认证模板工具330,用于限定认证模式(例如,封闭式认证、轻松连接、开放式认证等)。
设计工作流206的输出可以包括唯一站点标识符的分层集合,该唯一站点标识符的分层集合限定网络的各种站点的全局和转发配置参数。配设功能210可以使用站点标识符来部署网络。
图3C示出了图形用户界面300C,该图形用户界面300C是针对策略功能208的登陆屏幕的示例。图形用户界面300C可以包括用于限定网络策略的各种工具和工作流。在该示例中,策略设计工具和工作流包括:
·策略仪表板332,用于查看虚拟网络、基于组的访问控制策略、基于IP的访问控制策略、流量复制策略、可扩缩组、和IP网络组。策略仪表板332还可以显示未能部署的策略的数量。策略仪表板332可以提供策略列表以及有关每个策略的下列信息:策略名称、策略类型、策略版本(例如,策略的迭代,其在每次策略更改时可以被增加)、修改策略的用户、描述、策略范围(例如,策略所影响的用户和设备组或应用)、和时间戳;
·基于组的访问控制策略工具334,用于管理基于组的访问控制或服务组访问控制列表(Service Group Access Control List,SGACL)。基于组的访问控制策略可以限定可扩缩组和访问合同(例如,构成访问控制策略的规则,例如在流量匹配策略时进行允许或拒绝);
·基于IP的访问控制策略工具336,用于管理基于IP的访问控制策略。基于IP的访问控制可以限定IP网络组(例如,共享相同访问控制要求的IP子网)和访问合同;
·应用策略工具338,用于针对应用流量配置QoS。应用策略可以限定应用集(例如,具有相似网络流量需求的应用集)和站点范围(例如如下站点:针对该站点限定了应用策略);
·流量复制策略工具340,用于设置封装的远程交换端口分析器(EncapsulatedRemote Switched Port Analyzer,ERSPAN)配置,使得两个实体之间的网络流量被复制到指定目的地以进行监视或故障排除。流量复制策略可以限定要复制的流量流的源和目的地,以及流量复制合同,该流量复制合同指定发送流量副本的设备和接口;以及
·虚拟网络策略工具343,用于将物理网络分段为多个逻辑网络。
策略工作流208的输出可以包括一组虚拟网络、安全组、以及访问和流量策略(其限定网络的各种站点的策略配置参数)。配设功能210可以使用虚拟网络、组和策略来在网络中进行部署。
图3D示出了图形用户界面300D,该图形用户界面300D是配设功能210的登陆屏幕的示例。图形用户界面300D可以包括用于部署网络的各种工具和工作流。在该示例中,配设工具和工作流包括:
·设备配设工具344,用于将设备分配给库存并部署所需的设置和策略,以及将设备添加到站点;以及
·结构配设工具346,用于创建结构域并将设备添加到结构。
配设工作流210的输出可以包括网络底层和结构上覆层以及(在策略工作流208中所定义的)策略的部署。
图3E示出了图形用户界面300E,该图形用户界面300E是保证功能212的登陆屏幕的示例。图形用户界面300E可以包括用于管理网络的各种工具和工作流。在该示例中,保证工具和工作流包括:
·健康状况概述工具344,用于提供企业网络的全局视图,包括网络基础设施设备和端点。与健康状况概述工具344相关联的用户界面元素(例如,下拉菜单、对话框等)还可以被转换为切换到附加或替代视图,例如,仅网络基础设施设备的健康状况的视图、所有有线和无线客户端的健康状况的视图、以及在网络中运行的应用的健康状况的视图,如下面关于图3F-图3H进一步讨论的;
·保证仪表板工具346,用于管理和创建自定义仪表板;
·问题工具348,用于显示和解决网络问题;以及
·传感器管理工具350,用于管理传感器驱动的测试。
图形用户界面300E还可以包括位置选择用户界面元素352、时间段选择用户界面元素354、和视图类型用户界面元素356。位置选择用户界面元素354可以使得用户能够查看特定站点(例如,如经由网络分层工具322所定义的)和/或网络域(例如,LAN、WLAN、WAN、数据中心等)的总体健康状况。时间段选择用户界面元素356可以使得能够显示网络在特定时间段(例如,最近3小时、最近24小时、最近7天、自定义时间段等)上的总体健康状况。视图类型用户界面元素355可以使得用户能够在网络的站点的地理地图视图(未示出)或分层站点/建筑物视图(如图所示)之间切换。
在分层站点/建筑物视图内,行可以表示网络分层(例如,由网络分层工具322定义的站点和建筑物);列358可以用百分比来指示健康客户端的数量;列360可以通过分数(例如,1-10)、颜色和/或描述符(例如,红色或严重,与健康状况分数为1到3相关联且指示客户端有严重问题;橙色或警告,与健康状况分数为4到7相关联且指示针对客户端的警告;绿色或者没有错误或警告,与健康状况分数为8到10相关联;灰色或没有可用数据,与健康状况分数为空或0相关联)、或其他指示符来指示无线客户端的健康状况;列362可以通过分数、颜色、描述符等来指示有线客户端的健康状况;列364可以包括用于深度探讨与分层站点/建筑物相关联的客户端的健康状况的用户界面元素;列366可以用百分比来指示健康网络基础设施设备的数量;列368可以通过分数、颜色、描述符等来指示接入交换机的健康状况;列370可以通过分数、颜色、描述符等来指示核心交换机的健康状况;列372可以通过分数、颜色、描述符等来指示分发交换机的健康状况;列374可以通过分数、颜色、描述符等来指示路由器的健康状况;列376可以通过分数、颜色、描述符等来指示WLC的健康状况;列378可以通过分数、颜色、描述符等来指示其他网络基础设施设备的健康状况;并且列380可以包括用于深度探讨与分层站点/建筑物相关联的网络基础设施设备的健康状况的用户界面元素。在其他实施例中,客户端设备可以用除了有线或无线以外的其他方式被分组,例如,按照设备类型(例如,台式机、膝上型计算机、移动电话、IoT设备、或更具体类型的IoT设备等)、制造商、型号、操作系统等。同样,在附加实施例中,网络基础设施设备也可以按照这些方式以及其他方式被分组。
图形用户界面300E还可以包括总体健康状况概要用户界面元素(例如,视图、窗格、图块、卡片、容器、小部件、仪表板小程序(dashlet)等),该总体健康状况概要用户界面元素包括:客户端健康状况概要用户界面元素384,用百分比来指示健康客户端的数量;颜色编码趋势图表386,指示在特定时间段(例如,如由时间段选择用户界面元素354选择的)上的百分比;用户界面元素388,按照客户端类型(例如,无线、有线)用百分比来细分健康客户端的数量;网络基础设施健康状况概要用户界面元素390,用百分比来指示健康网络基础设施设备的数量;颜色编码趋势图表392,指示在特定时间段上的百分比;以及用户界面元素394,按照网络基础设施设备类型(例如,核心交换机、接入交换机、分发交换机等)用百分比来细分网络基础设施设备的数量。
图形用户界面300E还可以包括问题用户界面元素396,该问题用户界面元素396列出了必须解决的问题(如果有的话)。可以基于时间戳、严重性、位置、设备类型等来对问题进行排序。每个问题可以被选择以进行深度探讨,从而查看所选问题的更详细视图。
图3F示出了图形用户界面300F,该图形用户界面300F是用于概述仅网络基础设施设备的健康状况的屏幕的示例,其可以例如通过切换健康状况概述工具344来被导航到。图形用户界面300F可以包括时间线滑块398,用于选择比时间段选择用户界面元素(例如,时间段选择用户界面元素354)更精细的时间范围。图形用户界面300F还可以包括与图形用户界面300E中所示类似的信息,例如下列项:包括与图形用户界面300E类似的分层站点/建筑物视图和/或地理地图视图的用户界面元素(除了提供仅网络基础设施设备的信息)(这里未示出);用百分比表示的健康网络基础设施设备的数量390;按照设备类型来指示百分比的颜色编码趋势图表392;按照设备类型来细分的健康网络基础设施设备的数量394;等等。另外,图形用户界面300F可以通过网络拓扑(未示出)来显示网络基础设施设备的健康状况的视图。该视图可以是交互式的,例如通过使得用户能够放大或缩小、向左或向右平移、或旋转拓扑(例如,旋转90度)。
在该示例中,图形用户界面300F还包括:颜色编码趋势图表3002,示出了网络基础设施设备在特定时间段上的性能;按照设备类型的网络健康状况选项卡,其包括系统健康状况图表3004(其提供系统监视指标(例如,CPU利用率、内存利用率、温度等))、数据平面连接性图表3006(其提供数据平面指标(例如,上行链路可用性和链路错误))、以及控制平面连接性图表3008(其为每种设备类型提供控制平面指标);AP分析用户界面元素,包括向上和向下颜色编码图表3010(其提供AP状态信息(例如,连接到网络的AP的数量、和未连接到网络的AP的数量等))、以及按照客户端计数进行排序的前N个AP的图表3012(其提供与具有最高数量的客户端的AP有关的信息);网络设备表格3014,使得用户能够过滤(例如,按照设备类型、健康状况、或自定义过滤器)、查看和导出网络设备信息。每个网络基础设施设备的健康状况的详细视图还可以通过在网络设备表格3014中选择该网络基础设施设备来提供。
图3G示出了图形用户界面300G,该图形用户界面300G是用于概述客户端设备的健康状况的屏幕的示例,其可以例如通过切换健康状况概述工具344来被导航到。图形用户界面300G可以包括:SSID用户界面选择元素3016,用于按照所有SSID或特定SSID来查看无线客户端的健康状况;带频用户界面选择元素3018,用于按照所有带频或特定带频(例如,2.4GHz、5GHz等)来查看无线客户端的健康状况;以及时间滑块3020,其可以类似于时间滑块398进行操作。
图形用户界面300G还可以包括客户端健康状况概要用户界面元素,该客户端健康状况概要用户界面元素提供与图形用户界面300E中所示类似的信息,例如,用百分比表示的健康客户端的数量384、和颜色编码趋势图表386(其针对每组客户端设备(例如,有线/无线、设备类型、制造商、型号、操作系统等)指示在特定时间段上的百分比)。另外,客户端健康状况概要用户界面元素可以包括颜色编码圆环图表,该颜色编码圆环图表提供下列客户端设备的计数:较差(例如,红色且指示客户端健康状况分数为1到3)、一般(例如,橙色且指示客户端健康状况分数为4到7)、良好(例如,绿色且指示健康状况分数为8到10)、以及不活动(例如,灰色且指示健康状况分数为空或0)的客户端设备。与每种颜色、健康状况分数、健康状况描述符等相关联的客户端设备的计数可以通过指向该颜色的选择手势(例如,点击、双击、长按、悬停、单击、右键单击等)来显示。
图形用户界面300G还可以包括关于在特定时间段上的所有站点或所选站点的许多其他客户端健康状况指标图表,例如:
·客户端加载时间3024;
·接收信号强度指示(Received Signal Strength Indication,RSSI)3026;
·连接性信噪比(signal-to-noise ratio,SNR)3028;
·每SSID的客户端计数3030;
·每带频的客户端计数3032;
·DNS请求和响应计数器(未显示);以及
·连接性物理链路状态信息3034,指示其物理链路上行、下行以及有错误的有线客户端设备的分布。
另外,图形用户界面300G可以包括客户端设备表格3036,该客户端设备表3036使得用户能够过滤(例如,按照设备类型,健康状况,数据(例如,加载时间>阈值、关联时间>阈值、DHCP>阈值、AAA>阈值、RSSI>阈值等),或自定义过滤器)、查看和导出客户端设备信息(例如,用户标识符、主机名、MAC地址、IP地址、设备类型、最近一次听到的信息、位置、VLAN标识符、SSID、总体健康状况分数、加载分数、连接分数、客户端设备所连接到的网络基础设施设备等)。每个客户端设备的健康状况的详细视图还可以通过在客户端设备表格3036中选择该客户端设备来提供。
图3H示出了图形用户界面300H,该图形用户界面300H是用于概述应用的健康状况的屏幕的示例,其可以例如通过切换健康状况概述工具344来被导航到。图形用户界面300H可以包括应用健康状况概要用户界面元素,该应用健康状况概要用户界面元素包括:用百分比表示的健康应用的数量的百分比3038;针对在网络中运行的每个应用或每个类型的应用(例如,与事务相关的、与事务无关的、默认的;HTTP、VoIP、聊天、电子邮件、批量传输、多媒体/流媒体等)的健康状况分数3040;按照使用情况进行排序的前N个应用的图表3042。健康状况分数3040可以基于应用的质量指标(例如,分组丢失、网络延时等)来被计算。
另外,图形用户界面300H还可以包括应用表格3044,该应用表格3044使得用户能够过滤(例如,按照应用名称、域名、健康状况、使用情况、平均吞吐量、流量类别、分组丢失、网络延时、应用延时、自定义过滤器等)、查看和导出应用信息。每个应用的健康状况的详细视图还可以通过在应用表格3044中选择该应用来被提供。
图3I示出了图形用户界面300I的示例,该图形用户界面300I是平台功能210的登陆屏幕的示例。图形用户界面300I可以包括用于与其他技术系统集成的各种工具和工作流。在该示例中,平台集成工具和工作流包括:
·捆绑工具3046,用于管理特定于域的API的封包、工作流、以及用于网络编程和平台集成的其他特征;
·开发人员工具箱3048,用于访问API目录,该API目录列出了可用API和方法(例如,GET、PUT、POST、DELETE等)、描述、运行时参数、返回码、模型方案等。在一些实施例中,开发人员工具箱3048还可以包括“Try It”按钮,用于允许开发人员实验特定API以更好地理解其行为;
·运行时仪表板3050,用于查看和分析基础指标或API和集成流使用情况;
·平台设置工具3052,用于查看和设置全局或特定于捆绑的设置,该全局或特定于捆绑的设置限定了集成目标和事件使用偏好;以及
·通知用户界面元素3054,用于呈现与软件更新的可用性、安全威胁等有关的通知。
返回图2,控制器层220可以包括针对管理层202的子系统,并且可以包括网络控制平台222、网络数据平台224和AAA服务226。这些控制器子系统可以形成抽象层,用于隐藏管理许多网络元素和协议的复杂性和依赖性。
网络控制平台222可以为网络层230和物理层240提供自动化和编排服务,并且可以包括设置、协议和表格以用于自动化对网络层和物理层的管理。例如,网络控制平台222可以提供设计功能206、配设功能210、策略功能208、和/或保证功能212。另外,网络控制平台222可以包括用于下列项的工具和工作流:发现交换机、路由器、无线控制器和其他网络基础设施设备(例如,网络发现工具302);维护网络和端点详细信息、配置和软件版本(例如,库存管理工具304);用于自动部署网络基础设施的即插即用(Plug-and-Play,PnP)(例如,网络PnP工具316);用于创建可视数据路径以加快解决连接性问题的路径跟踪;用于自动化服务质量以对网络上的应用进行优先级排序的简单QoS;以及用于自动部署物理和虚拟网络服务的企业服务自动化(Enterprise Service Automation,ESA)等等。网络控制平台222可以使用网络配置(Network Configuration,NETCONF)/另一个下一代(Yet AnotherNext Generation,YANG)、简单网络管理协议(Simple Network Management Protocol,SNMP)、安全Shell(Secure Shell,SSH)/Telnet等与网络元件进行通信。在一些实施例中,网络控制平台(Network Control Platform,NCP)可以用作网络控制平台222。
网络数据平台224可以提供网络数据收集、分析和保证,并且可以包括设置、协议和表格以用于监视和分析网络基础设施以及连接到网络的端点。网络数据平台224可以从网络基础设施设备收集多种类型的信息,包括syslog、SNMP、NetFlow、交换端口分析器(Switched Port Analyzer,SPAN)、和流式遥测等等。网络数据平台224还可以收集并使用共享的上下文信息。
在一些实施例中,一个或多个Cisco DNATM中心设备可以提供管理层202、网络控制平台222和网络数据平台224的功能。Cisco DNATM中心设备可以通过下列项来支持水平可扩缩性:向现有集群添加附加的Cisco DNATM中心节点;针对硬件组件和软件封包两者的高可用性;用于支持灾难发现场景的备份和存储机制;用于基于角色和范围对用户、设备和事物进行区别访问的基于角色的访问控制机制;以及用于使能与第三方供应商的集成的可编程接口。Cisco DNATM中心设备还可以是云绑定的,以提供对现有功能的升级以及对新封包和应用的添加,而无需手动下载和安装它们。
AAA服务226可以为网络层230和物理层240提供身份和策略服务,并且可以包括设置、协议和表格以用于支持端点标识和策略强制实施服务。AAA服务226可以提供工具和工作流,以用于管理虚拟网络和安全组,并且用于创建基于组的策略和合同。AAA服务226可以使用AAA/RADIUS、802.1X、MAC认证旁路(MAB)、web认证和EasyConnect等来识别和扼要描述网络基础设施设备和端点。AAA服务226还可以从网络控制平台222、网络数据平台224和共享服务250等收集并使用上下文信息。在一些实施例中,ISE可以提供AAA服务226。
网络层230可以被概念化为两层(底层234和上覆层232)的组合,该底层234包括物理和虚拟网络基础设施(例如,路由器、交换机、WLC等)以及用于转发流量的层3路由协议,并且该上覆层232包括用于在逻辑上连接有线和无线用户、设备和事物并且将服务和策略应用于这些实体的虚拟拓扑。底层234的网络元件可以例如经由互联网协议(IP)在彼此之间建立连接性。底层可以使用任何拓扑和路由协议。
在一些实施例中,网络控制器104可以提供局域网(LAN)自动化服务(例如,由Cisco DNATM中心LAN自动化实现),以用于自动发现、配设和部署网络设备。一旦发现,自动化底层配设服务就可以利用即插即用(PnP)将所需协议和网络地址配置应用于物理网络基础设施。在一些实施例中,LAN自动化服务可以实现中间系统到中间系统(IntermediateSystem to Intermediate System,IS-IS)协议。IS-IS的一些优势包括:没有IP协议依赖性的邻居建立;使用环回地址的对等能力;以及对IPv4、IPv6和非IP流量的无关处理。
上覆层232可以是被建立在物理底层234之上的逻辑虚拟化拓扑,并且可以包括结构数据平面、结构控制平面和结构策略平面。在一些实施例中,结构数据平面可以经由分组封装使用具有组策略选项(Group Policy Option,GPO)的虚拟可扩展LAN(VirtualExtensible LAN,VXLAN)来被创建。VXLAN-GPO的一些优势包括:其支持层2和层3虚拟拓扑(上覆层)两者;以及其在具有内置网络分段的任何IP网络上运行的能力。
在一些实施例中,结构控制平面可以实现定位符/ID分离协议(Locator/IDSeparation Protocol,LISP),以用于在逻辑上映射和解析用户、设备和事物。LISP可以通过消除每个路由器处理每个可能的IP目的地地址和路由的需求,来简化路由。LISP可以通过将远程目的地移动到集中式地图数据库来实现这一点,该集中式地图数据库允许每个路由器仅管理其本地路由并查询地图系统以定位目的地端点。
结构策略平面是意图可以被转换为网络策略的地方。也就是说,策略平面是网络运营商可以基于网络结构120所提供的服务(例如,安全分段服务、服务质量(QoS)、捕获/复制服务、应用可见性服务等等)来实例化逻辑网络策略的地方。
分段是一种用于将用户或设备的特定组与其他组分开的方法或技术,目的是减少拥塞、提高安全性、遏制网络问题、控制访问等等。如所讨论的,结构数据平面可以通过使用分组报头中的虚拟网络标识符(virtual network identifier,VNI)和可扩缩组标签(Scalable Group Tag,SGT)字段,来实现VXLAN封装从而提供网络分段。网络结构120可以支持宏分段和微分段两者。宏分段通过使用唯一的网络标识符和单独的转发表格,将网络拓扑在逻辑上划分为较小的虚拟网络。这可以被实例化为虚拟路由和转发(virtualrouting and forwarding,VRF)实例,并称为虚拟网络(virtual network,VN)。也就是说,VN是网络结构120内的由层3路由域定义的逻辑网络实例,并且可以提供层2和层3服务两者(使用VXLAN VNI来提供层2和层3分段两者)。通过强制实施源到目的地访问控制权限(例如,通过使用访问控制列表(access control list,ACL)),微分段在逻辑上将VN中的用户或设备组分开。可扩缩组是分配给网络结构120中的一组用户、设备或事物的逻辑对象标识符。其可以用作可扩缩组ACL(Scalable Group ACL,SGACL)中的源和目的地分类符。SGT可以用于提供与地址无关的基于组的策略。
在一些实施例中,结构控制平面节点110可以实现定位符/标识符分离协议(LISP)以彼此进行通信并且与管理云102进行通信。因此,控制平面节点可以操作主机跟踪数据库、地图服务器和地图解析器。主机跟踪数据库可以跟踪连接到网络结构120的端点130,并且将端点与结构边缘节点126相关联,从而将端点的标识符(例如,IP或MAC地址)与其在网络中的位置(例如,最近的路由器)解耦合。
物理层240可以包括网络基础设施设备,例如交换机和路由器110、122、124和126以及无线元件108和128,以及网络设备,例如(一个或多个)网络控制器设备104和(一个或多个)AAA设备106。
共享服务层250可以提供到下列外部网络服务的接口:例如,云服务252;域名系统(DNS)、DHCP、IP地址管理(IPAM)、和其他网络地址管理服务254;防火墙服务256;网络即传感器(Network as a Sensor,Naas)/加密威胁分析(Encrypted Threat Analytic,ETA)服务;以及虚拟网络功能(Virtual Network Function,VNF)260;等等。管理层202和/或控制器层220可以经由共享服务层250使用API来共享身份、策略、转发信息等。
图4示出了用于多站点企业网络400的物理拓扑的示例。在该示例中,网络结构包括结构站点420A和420B。结构站点420A可以包括结构控制节点410A、结构边界节点422A和422B、结构中间节点424A和424B(这里以虚线示出并且为了简单起见未连接至结构边界节点或结构边缘节点)、以及结构边缘节点426A-C。结构站点420B可以包括结构控制节点410B、结构边界节点422C-E、结构中间节点424C和424D、以及结构边缘节点426D-F。对应于单个结构(例如,图4的网络结构)的多个结构站点可以通过转接网络(transit network)进行互连。转接网络可以是具有自己的控制平面节点和边界节点但不具有边缘节点的网络结构的一部分。此外,转接网络与其所互连的每个结构站点共享至少一个边界节点。
通常,转接网络将网络结构连接到外部世界。存在用于外部连接性的若干方法,例如传统的IP网络436、传统的WAN 438A、软件定义的WAN(SD-WAN)(未示出)、或软件定义的接入(SD-Access)438B。跨结构站点以及去往其他类型站点的流量可以使用转接网络的控制平面和数据平面在这些站点之间提供连接性。本地边界节点可以用作从结构站点的切换点,并且转接网络可以将流量传递到其他站点。转接网络可以使用其他特征。例如,如果转接网络是WAN,则也可以使用诸如性能路由之类的特征。为了提供端到端策略和分段,转接网络应当能够跨网络携带端点上下文信息(例如,VRF、SGT)。否则,可能需要在目的地站点边界处对流量进行重新分类。
结构站点中的本地控制平面可以仅保存与连接到本地结构站点内的边缘节点的端点相关的状态。就单个结构站点(例如,网络结构120)而言,本地控制平面可以经由本地边缘节点来注册本地端点。没有向本地控制平面明确注册的端点可以被假定为可经由连接到转接网络的边界节点到达。在一些实施例中,本地控制平面可以不保存附接到其他结构站点的端点的状态,使得边界节点不注册来自转接网络的信息。以这种方式,本地控制平面可以独立于其他结构站点,因此增强了网络的整体可扩缩性。
转接网络中的控制平面可以保存其所互连的所有结构站点的概要状态。该信息可以通过来自不同结构站点的边界而被注册到转接控制平面。边界节点可以将EID信息从本地结构站点注册到转接网络控制平面以用于仅概要EID,并且因此进一步提高可扩缩性。
多站点企业网络400还可以包括共享服务云432。共享服务云432可以包括一个或多个网络控制器设备404、一个或多个AAA设备406,并且其他共享服务器(例如,DNS;DHCP;IPAM;SNMP和其他监视工具;NetFlow、syslog、和其他数据收集器等等)可以驻留。这些共享服务通常可以驻留在网络结构之外,并且驻留在现有网络的全局路由表(global routingtable,GRT)中。在这种情况下,可能需要某种VRF间路由的方法。VRF间路由的一种选项是使用融合路由器,该融合路由器可以是执行VRF间泄漏(例如,VRF路由的导入/导出)以将VRF融合在一起的外部路由器。多协议可以用于该路由交换,因为其可以固有地防止路由循环(例如,使用AS_PATH属性)。其他路由协议也可以被使用,但是可能需要复杂的分发列表和前缀列表来防止循环。
然而,使用融合路由器来实现VN间通信可能会有一些缺点,例如:路由复制,因为从一个VRF泄漏到另一个VRF的路由是被编程在硬件表中的,并且可能导致更高的TCAM利用率;在实施路由泄漏的多个接触点处进行的手动配置;SGT上下文的丢失,因为可能不会跨VRF维持SGT,并且一旦流量进入另一个VRF就必须对SGT进行重新分类;以及流量传回(hairpinning),因为流量可能需要被路由到融合路由器,并且然后回到结构边界节点。
SD-Access外联网可以通过下列方式来提供一种用于实现VN间通信的灵活且可扩缩的方法:避免路由复制,因为VN间查找是在结构控制平面(例如,软件)中进行的,使得无需在硬件中复制路由条目;提供单个接触点,因为网络管理系统(例如,Cisco DNATM中心)可以自动化VN间查找策略,使其成为单个管理点;维持SGT上下文,因为VN间查找是在(一个或多个)控制平面节点(例如,软件)中进行的;以及避免传回,因为VN间转发可以在结构边缘(例如,同一VN内部)处进行,因此流量不需要在边界节点处传回。另一个优点是可以为所需的每个共同资源创建单独的VN(例如,共享服务VN、互联网VN、数据中心VN等)。
图5A示出了根据一些实施例的使得权利能够跟随网络中的设备的流程图表示,并且图5B示出了根据一些实施例的跟随设备以应用一致权利的多网络环境的示例示意图。系统500可以允许在网络处以独立于设备在何处连接到网络的方式跟踪该设备,即使该设备跨不同网络跳转。
在系统500中,网络506可以与多个其他网络通信地耦合。其他网络可以是任何类型的网络,任何数量和类型的网络都可以连接到网络506。在所示的实施例中,例如,网络506通过互联网522与云网络508和虚拟专用网络(VPN)520连接。设备502可以首先与网络506的节点504A连接,然后随后与VPN 520上的节点504C重新连接。
方法可以通过下列方式来以独立于设备所连接位置的方式跟踪多个网络处的设备:确定设备502已经连接到网络之一(例如,网络506)(步骤510)。例如,在一些实施例中,系统500可以通过周期性地轮询(例如,经由管理控制中心(例如,Cisco DNA中心522)的控制器)所有设备以寻找新连接的设备,来识别设备502已经连接到网络506、VPN 520、和/或云网络508。在一些实施例中,Cisco DNA中心522可以从简单网络管理协议(SNMP)陷阱(trap)接收关于设备502已连接到网络之一的通知。
当设备502第一次附接到任何网络时,设备502可以被分配有网络服务权利。网络服务权利可以基于设备502关于该附接点和网络的授权和安全态势。例如,设备502的网络服务权利可以包括访问控制列表(ACL)、服务质量(QoS)、虚拟局域网(VLAN)策略等。当设备移动至其他端口或网络时,权利可以在整个网络上保持一致。这可以防止用户(例如,员工或学生)尝试通过进入另一个安全性较低的网络(例如,访客网络)来逃避公司补丁和/或升级要求。
例如,系统500可以在网络基础设施上自动化配设加密流量分析(encryptedtraffic analytic,ETA)服务524和灵活NetFlow(Flexible NetFlow,FNF)服务526,该网络基础设施包括被组织在层次化架构(例如,聚合/边缘)中的设备(例如但不限于路由器和交换机)。例如,ETA服务524和/或FNF服务526的自动化配设可以由网络506中的配设服务528来处理,并且可以针对设备502的服务权利被个性化。
在一些实施例中,ETA服务524可以监视流量中的威胁和恶意软件。ETA服务524可以维持加密的完整性。这可以通过模型服务530中的一个或多个模型(例如,一个或多个机器学习模型)来完成,该模型服务530可以利用一组独特且多样化的网络流数据特征,包括但不限于:TLS握手元数据、链接到加密流的DNS上下文流、以及来自同一源IP地址的HTTP上下文流的HTTP报头。可以研究恶意流量和良性流量在数百万个独特流上对TLS、DNS和HTTP的使用之间的区别,并将其应用于模型,从而挑选出指示恶意软件的特征。
在一些实施例中,FNF服务526可以以增加的灵活性和可扩缩性来优化网络基础设施,降低运营成本并改善容量规划和安全事件检测。表征IP流量并识别其源、流量目的地、时序和应用信息的能力对于网络可用性、性能和故障排除而言至关重要。监视IP流量流可以提高容量规划的准确性,并确保资源分配支持组织目标。FNF服务526可以帮助管理员确定如何优化资源使用、规划网络容量、以及识别服务质量(QoS)的最佳应用层。其可以通过对拒绝服务(Denial of Service,DoS)攻击和网络传播的蠕虫进行检测,来在网络安全中发挥作用。
在一些实施例中,用于启用细粒度ETA以选择性地将流转发到威胁分析的标准之一是针对特定高风险和高知识价值的端点设备(例如,员工的Windows膝上型计算机)启用ETA服务524。访客网络针对ETA服务524通常不被启用,并且可以经由主机组被从安全服务532中的威胁分析中排除。然而,如果员工的设备(例如,设备502)移动到访客网络(例如,云网络508),则员工会话可以被跟随进入云网络508,并且然后继续经由ETA服务524来监视流。因此,ETA服务524既可以用来跟随会话,也可以用来决定向安全服务532中的威胁分析发送什么流。
在一些实施例中,响应于确定设备502已经连接到网络506,ETA服务524可以从节点504A收集从设备502交换的初始SSL握手分组,并将其作为NetFlow发送给Cisco DNA中心522。在实施例中,分析流可以包括5元组加上SSL初始数据分组。控制器(例如,Cisco DNA中心522)可以添加能够从ETA服务524被动收集分析流的功能,该分析流包括在主机(例如,设备502)被认为所连接的接口处的初始SSL握手分组(例如,根据SNMP ifTable和访问端口配置)。在一些实施例中,该技术不需要默认地在任何地方都启用来自ETA服务524的分析流以收集SSL握手。其可以例如在设备502被认为第一次连接时被触发。
在一些实施例中,IP设备跟踪(IP Device Tracking,IPDT)服务534(结合远程认证拨入用户服务(RADIUS)事件和会话标识(例如,会话ID))可以检测设备502第一次连接。例如,系统500可以确定设备502与会话ID和设备跟踪信息(例如,IP设备跟踪信息和计费信息的组合)之间是否存在匹配(步骤512)。
IPDT服务534可以保持跟踪所连接的主机(例如,通过MAC和IP地址的关联)。例如,IPDT服务534可以以默认时间段间隔(例如,30秒)来发送单播地址解析协议(AddressResolution Protocol,ARP)探测。这些探测可以被发送到连接在链路另一端上的设备502的MAC地址,并且将层2(L2)用作ARP所离开的物理接口的MAC地址的默认源,并且发送者IP地址为0.0.0.0(例如,基于请求评议(Request For Comments,RFC)5227中所列出的ARP探测定义)。IPDT服务534可以使得节点504A(例如,交换机)能够获得连接到节点504A的设备的列表并经由IP地址维护它们。由身份服务536提取并存储在会话数据存储538中的IP设备跟踪信息可以包括但不限于IP地址、MAC地址等。
RADIUS可以是分布式客户端/服务器系统,其保护网络免受未经授权的访问。在一些实现方式中,RADIUS客户端可以在路由器上运行,并且将认证请求发送到包含所有用户认证和网络服务访问信息的中央RADIUS服务器。在一些实施例中,如果设备502正在从远程网络(例如,从云网络508或从VPN 520)连接到网络,则可以使用RADIUS计费信息。在设备502没有真正连接到网络中的任何接入交换机并且IP设备跟踪信息不可用的情况下,身份服务536可以使用RADIUS计费信息来识别设备502。
如果设备502与会话标识符和设备跟踪信息(例如,IP设备跟踪信息和计费信息)之间不存在匹配(步骤514),则系统500可以确定这是设备502第一次连接。例如,当CiscoDNA中心522接收到主机正在连接的IPDT/RADIUS事件时,Cisco DNA中心522可能无法在会话数据存储538中具有SSL会话ID条目。此时,会话数据存储538中没有会话ID,因为尚未接收到来自ETA服务524的分析流。作为响应,设备502可以由Cisco DNA中心522配置为启用ETA服务524进行的分析,并且还将分析发送到Cisco DNA中心522上的流收集器(未示出)。会话ID然后可以被分配给设备502,并且然后被存储在控制器中(例如,会话ID可以被存储在Cisco DNA中心522中的会话数据存储538中)(步骤516)。
因为这是主机第一次连接,所以主机可以通过策略服务器(例如,ISE)使用EAPoL/dot1x或层3上的RADIUS AAA而被授权进入到网络上。授权请求还可以被从ISE转发到CiscoDNA中心(使用关于新授权的pxGrid通知机制)。此外,授权信息可以被存储到例如CiscoDNA中心数据库中,以供在将来重新连接该同一主机时使用。授权可以包括下列信息,例如但不限于ACL、安全性/可扩缩组标签、和VLAN分配。
在一些实施例中,Cisco DNA中心522自动化可以经由NETCONF,命令行接口(CLI)和/或应用程序编程接口(API)。这些可被用来在相应设备处打开对ETA服务524的分析流的收集,使得设备502流量将根据观察到IPDT信息并将SNMP陷阱与Cisco DNA中心522相关联的设备进行流动。
在一些实施例中,系统可以识别与安全策略相关联的设备(例如,客户端设备)先前已经连接到网络之一,并且应当遵循一致地应用于后续网络连接的权利策略。例如,系统500可以确定设备与会话ID(SSL会话ID)、IP设备跟踪信息和RADIUS计费信息之间存在匹配(步骤514)。会话ID、IP设备跟踪信息和计费信息可以独立于设备502在多个网络中所连接的位置来标识设备502。例如,该信息的组合可以用来确定设备502最初通过节点504A连接到网络506,随后通过节点504B重新连接到云网络508,并且然后通过节点504C重新连接到VPN 520。基于该匹配,无论设备502连接在何处,都可以获取特定于设备502的先前授权并将其应用于设备502(例如,通过配设服务528)。
在一些实施例中,身份服务536可以通过IP设备跟踪信息(其跟踪本地连接到网络的设备的MAC地址和IP地址)来识别设备502。远程认证拨入用户服务计费信息可以跟踪远程连接到网络的设备。然后,对IP设备跟踪信息和计费信息(例如,设备跟踪信息)两者的使用分别覆盖了设备502重新连接到本地网络506或远程网络(例如,云网络508或VPN 520)上的节点。在一些实施例中,会话ID可以覆盖本地部署(on premise)和外部部署(offpremise)(例如,云、VPN等)用例。基于匹配,可以将一致的安全策略应用于设备502,无论该设备502是连接到网络506、是连接到云网络508、还是连接到VPN 520。
如上所述,检测或确定设备502是否已经连接可以用许多方式来完成。例如,CiscoDNA中心522可以周期性地轮询所有网络设备以寻找新连接的设备,接收来自SNMP陷阱或其他类型事件的通知,或者接收RADIUS计费事件(其可以被直接发送到Cisco DNA中心522,或者可以被发送到RADIUS服务器,该RADIUS服务器然后可以通知Cisco DNA中心522)。
在一些实施例中,当任何客户端(例如,设备502)在本地部署网络(例如,网络506)中、或从云网络508、或从VPN 520进行加载时,诸如身份服务536之类的身份系统可以执行认证、授权、和计费(AAA)授权服务,并且Cisco DNA中心522也可以从身份服务536接收针对每个客户端的AAA授权信息。在一些实施例中,当新客户端从VPN 520进行加载时,则接收到RADIUS信息的副本。基于此,系统500可以查明该客户端是新的客户端,还是已经从本地部署网络506切换到互联网522并通过VPN 520路径连接的现有客户端,并且然后在它基于会话ID和计费信息是现有会话时与现有信息相关联。
在一些实施例中,如果这不是设备502第一次连接,则当设备502重新连接到网络506上时,在接收到相同的pxGrid通知或IPDT事件的情况下,Cisco DNA中心522可以检查会话ID是否在会话数据存储538中,并且获取特定于该终端主机的任何先前授权(如果存在的话)(例如,可以由Cisco DNA中心522找到)。如果无法找到匹配,则如上所述将设备502视为它是第一次连接。如果找到匹配,则将设备502视为重新连接设备。
设备502可以具有例如设备配置文件,该设备配置文件包括特定于该终端主机的先前授权(例如,AAA授权)。在一些实施例中,网络管理员可以向不同类型的客户端设备分配不同的授权/安全级别(例如,流量配置文件):学生可以具有一种类型的授权(流量配置文件1),而访客或教师可以具有另一种类型的授权(例如,流量配置文件2,其可以更宽松,允许更多类型的网站访问等)。当学生执行网络跳转并在网络中的另一点处重新连接到网络时,则应用来自他们最初所来自之处的同一设备配置文件。
在一些实施例中,一旦设备502在网络上被授权,IP分组就可以向设备502/从设备502进行传送。例如,与设备502有关的NetFlow可以从设备502被收集,并且可以被发送到Cisco DNA中心522。Cisco DNA中心522可以从NetFlow提取SSL会话ID,并且利用与设备502的授权相匹配的源IP将该SSL会话ID维持在会话数据存储538中。设备502可以使用该会话ID从SSL连接终止中恢复,从而超越端口和网络。
在一些实施例中,Cisco DNA中心522可以在节点504A、节点504B或节点504C上进行配置,使得IP设备跟踪(IPDT)服务534被启用并且简单网络管理协议(SNMP)陷阱被发送到IPDT服务534(在设备502移动或在端口处的断开连接时),或者IPDT服务534进行周期性地重新发现。当DHCP分配或撤销新设备的IP地址时,IPDT服务534可以检测新设备的存在或移除。在一些实施例中,Cisco DNA中心522还可以从RADIUS计费停止学习到有关连接断开/移动(还覆盖层3移动(VPN 520、云网络508))的信息。因此,如果设备502移动到其他端口或其他网络(例如,从网络506到VPN 520),则Cisco DNA中心522可以针对与主机相关联的SSL会话ID和授权找到匹配。
在一些实施例中,如果安全信息和事件管理(security information and eventmanagement,SIEM)或补救服务器更新了设备502的状态,或者设备502上的票据被关闭,则Cisco DNA中心522将从会话数据存储538中清除设备502的条目,并且根据策略计算新权利。
在一些实施例中,为了减轻会话劫持的影响,可以不仅仅根据会话数据存储538中的匹配信息(会话ID、IP设备跟踪信息、和计费信息)来确定权利,而是还可以收集设备502的当前上下文。例如,如果设备502尝试复制另一个客户端的会话ID、IP设备跟踪信息、RADIUS计费信息或其他信息,则可以确定其他遥测信息以防止会话劫持。例如,当前上下文可以包括但不限于:当前IP地址、MAC地址等。此外,来自会话的历史(存储在历史数据存储540中)和当前状态组合起来可以给予享有的最小特权。系统500可以组装其所具有的关于设备502的所有信息,并确保没有任何信息是不一致的,并且通过这种方式,设备502不能仿冒任何一个或部分信息来伪装成另一个设备。
因此,所公开的方法、系统和装置可以使得授权和权利能够随着设备502移动到不同网络而跟随设备502,从而提供由设备502享有的持久且一致的授权。在一些实施例中,可以在确定客户端将不再进行网络跳转之后,从会话数据存储538和/或缓存中清除所存储的会话ID和设备跟踪信息(例如,IP设备跟踪信息和/或RADIUS计费信息)。例如,这可以根据客户端设备在一段时间(其可以由网络管理员设置)内是不活动的来确定。
Cisco DNA中心522和IPDT服务534集成可以向设备502提供VLAN、可扩缩组、IP地址管理、ACL等的无缝授权。该技术确保了跨不同网络的一致授权,包括针对同一设备502的本地部署网络与云网络。该技术可以跨本地部署环境和云环境并且跨网络交换机(包括VPN)进行工作。它不需要安装特殊软件客户端。
图6A和图6B示出了根据图5B中示出的各种实施例的系统。在实践各种实施例时,更合适的系统对于本领域普通技术人员将是显而易见的。本领域普通技术人员也将容易地认识到,其他系统也是可能的。
图6A示出了总线计算系统600的示例,其中该系统(例如,图5B中的系统500)的组件使用总线605彼此电气通信。计算系统600可以包括处理单元(CPU或处理器)610和系统总线605,系统总线605可以将包括系统存储器615的各种系统组件(例如,只读存储器(ROM)620和随机存取存储器(RAM)625)耦合到处理器610。计算系统600可以包括与处理器610直接连接、与处理器610紧密接近、或被集成为处理器610的一部分的高速存储器的缓存612。计算系统600可以将数据从存储器615、ROM 620、RAM 625和/或存储设备630复制到缓存612,以供处理器610快速访问。以这种方式,缓存612可以提供性能提升,从而避免了在等待数据时的处理器延迟。这些模块和其他模块可以控制处理器610执行各种动作。其他系统存储器615也可供使用。存储器615可以包括具有不同性能特性的多种不同类型的存储器。处理器610可以包括任何通用处理器和硬件模块或软件模块(例如,存储在存储设备630中的模块1 632、模块2 634和模块3 636),该硬件模块或软件模块被配置为控制处理器610,并且处理器610可以包括专用处理器,在该专用处理器中软件指令被合并到实际的处理器设计中。处理器610可以基本上是完全自包含的计算系统,其包含多个核心或处理器、总线、存储器控制器、缓存等。多核处理器可以是对称的或非对称的。
为了使用户能够与计算系统600进行交互,输入设备645可以表示任何数量的输入机构,例如用于语音的麦克风、用于手势或图形输入的触摸保护屏、键盘、鼠标、运动输入、语音等等。输出设备635也可以是本领域技术人员已知的许多输出机构中的一种或多种输出机构。在一些情况下,多模态系统可以使用户能够提供多种类型的输入以与计算系统600进行通信。通信接口640可以支配和管理用户输入和系统输出。对于在任何特定硬件布置上的操作没有限制,因此随着改进的硬件或固件布置被开发,这里的基本特征可以容易地替换为这些改进的硬件或固件布置。
存储设备630可以是非易失性存储器,并且可以是硬盘或是可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如磁带盒、闪存卡、固态存储器设备、数字通用盘、盒式磁带、随机存取存储器、只读存储器、以及前述项的混合。
如上所述,存储设备630可以包括用于控制处理器610的软件模块632、634、636。设想其他硬件或软件模块。存储设备630可以连接到系统总线605。在一些实施例中,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件,该软件组件与必要的硬件组件(例如,处理器610、总线605、输出设备635等)相关联以执行该功能。
图6B示出了可以根据一种实施例使用的芯片组计算系统650的示例架构。计算系统650可以包括处理器655,该处理器655代表能够执行被配置为执行所标识的计算的软件、固件和硬件的任何数量的物理上和/或逻辑上不同的资源。处理器655可以与芯片组660通信,该芯片组660可以控制到处理器655的输入和来自处理器655的输出。在该示例中,芯片组660可以将信息输出到诸如显示器之类的输出设备665,并且可以向存储设备670读取和写入信息,该存储设备670可以包括磁介质、固态介质和其他合适的存储介质。芯片组660还可以从RAM 675读取数据以及将数据写入到RAM 675。可以提供用于与各种用户接口组件685接口连接的桥680,以用于与芯片组660接口连接。用户接口组件685可以包括键盘、麦克风、触摸检测及处理电路系统、诸如鼠标之类的指点设备等。到计算系统650的输入可以来自机器生成的和/或人工生成的任意各种来源。
芯片组660还可以与一个或多个通信接口690接口连接,这些通信接口690可以具有不同的物理接口。通信接口690可以包括用于有线和无线LAN、用于宽带无线网络以及个域网的接口。用于生成、显示和使用本文公开的技术的方法的一些应用可以包括通过物理接口接收有序的数据集,或者这些应用可以通过由处理器655分析存储在存储设备670或RAM 675中的数据来由机器本身生成。此外,计算系统650可以经由用户接口组件685从用户接收输入,并且通过使用处理器655解释这些输入来执行适当的功能,例如浏览功能。
应当理解,计算系统600和650可以分别具有多于一个的处理器610和655,或者计算系统600和650可以是联网在一起以提供更大处理能力的计算设备组或计算设备集群的一部分。
为了解释的清楚,在某些情况下,各种实施例可以被表示为包括单独的功能块,这些功能块包括包含以下各项的功能块:设备、设备组件、以软件实现的方法中的步骤或例程、或硬件和软件的组合。
在一些实施例中,计算机可读存储设备、介质、和存储器可以包括含有比特流等的电缆或无线信号。然而,当被提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波、和信号本身之类的介质。
可以使用存储在计算机可读介质中或以其他方式可从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如引起或以其他方式配置通用计算机、专用计算机、或专用处理设备以执行特定功能或功能组的指令和数据。所使用的部分计算机资源可以是通过网络可访问的。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件、或源代码。可以用于对指令、在根据所述示例的方法期间使用的信息和/或创建的信息进行存储的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网存储设备,等等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用各种形状因子中的任何一种。这样的形状因子的一些示例包括通用计算设备(例如,服务器、机架安装设备、台式计算机、膝上型计算机等)、或通用移动计算设备(例如,平板计算机、智能电话、个人数字助理、可穿戴设备等)。本文描述的功能性还可以体现在外围设备或附加卡中。作为进一步的示例,这样的功能性也可以在不同芯片或在单个设备中执行的不同进程之间的电路板上被实现。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开内容中所描述的功能的手段。
尽管使用各种示例和其他信息来解释所附权利要求的范围内的各方面,但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各种各样的实现方式。此外,虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能性可以以不同的方式被分布或在除本文所标识的那些组件之外的组件中被执行。而是,将描述的特征和步骤公开为在所附权利要求的范围内的系统的组件和方法的示例。

Claims (23)

1.一种用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备的方法,所述方法包括:
经由与网络中的多个交换机的周期性网络同步,在集中式控制器处从所述多个交换机接收设备跟踪信息,所述设备跟踪信息与设备每次经由所述多个交换机中的一个交换机连接到所述网络相关联,并且所述设备跟踪信息包括现有会话ID;
通过所述集中式控制器在数据库中存储所述现有会话ID和所述设备跟踪信息;
通过所述集中式控制器在所述网络中一致地维护所述现有会话ID和所述设备跟踪信息,而不管所述设备在所述网络中的何处连接;
通过确定设备与所述现有会话ID和所述设备跟踪信息之间是否存在匹配,来识别所述设备先前已经连接到所述网络,其中,所述设备与安全策略相关联;以及
基于所述匹配,将所述安全策略应用于所述设备。
2.根据权利要求1所述的方法,其中,所述设备跟踪信息包括IP设备跟踪信息和远程认证拨入用户服务计费信息,所述IP设备跟踪信息跟踪本地连接到所述网络的设备的MAC地址和IP地址,并且所述远程认证拨入用户服务计费信息跟踪远程连接到所述网络的设备。
3.根据权利要求1或2所述的方法,还包括:
确定所述设备与所述现有会话ID和所述设备跟踪信息之间不存在匹配;
基于确定不存在匹配,分配当前会话ID;
接收关于与所述设备相关联的新授权的pxGrid通知;以及
存储所述当前会话ID。
4.根据权利要求1或2所述的方法,其中,基于所述匹配,获取特定于所述设备的先前授权。
5.根据权利要求1或2所述的方法,其中,识别所述设备已经连接到所述网络包括:
周期性地轮询所有设备以寻找新连接的设备。
6.根据权利要求1或2所述的方法,其中,识别所述设备已经连接到所述网络包括:
从SNMP陷阱接收关于如下内容的通知:所述设备已经连接。
7.根据权利要求1或2所述的方法,还包括:
基于所述设备在一段时间不活动,确定所述设备不再进行网络跳转;以及
基于所述确定,清除所述现有会话ID。
8.一种用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备的系统,所述系统包括:
一个或多个处理器;以及
计算机可读介质,存储有指令,所述指令在被所述一个或多个处理器执行时,使得所述一个或多个处理器执行下列操作:
经由与网络中的多个交换机的周期性网络同步,在所述系统处从所述多个交换机接收设备跟踪信息,所述设备跟踪信息与设备每次经由所述多个交换机中的一个交换机连接到所述网络相关联,并且所述设备跟踪信息包括现有会话ID;
通过所述系统存储所述现有会话ID和所述设备跟踪信息;
通过所述系统在所述网络中一致地维护所述现有会话ID和所述设备跟踪信息,而不管所述设备在所述网络中的何处连接;
通过确定设备与所述现有会话ID和所述设备跟踪信息之间是否存在匹配,来识别所述设备先前已经连接到所述网络,其中,所述设备与安全策略相关联;以及
基于所述匹配,将所述安全策略应用于所述设备。
9.根据权利要求8所述的系统,其中,所述设备跟踪信息包括IP设备跟踪信息和远程认证拨入用户服务计费信息,所述IP设备跟踪信息跟踪本地连接到所述网络的设备的MAC地址和IP地址,并且所述远程认证拨入用户服务计费信息跟踪远程连接到所述网络的设备。
10.根据权利要求8或9所述的系统,所述指令在被所述一个或多个处理器执行时,还使得所述一个或多个处理器执行下列操作:
确定所述设备与所述现有会话ID和所述设备跟踪信息之间不存在匹配;
基于确定不存在匹配,分配当前会话ID;以及
存储所述当前会话ID。
11.根据权利要求8或9所述的系统,其中,基于所述匹配,获取特定于所述设备的先前授权。
12.根据权利要求8或9所述的系统,其中,识别所述设备已经连接到所述网络包括:周期性地轮询所有设备以寻找新连接的设备。
13.根据权利要求8或9所述的系统,其中,识别所述设备已经连接到所述网络包括从SNMP陷阱接收关于如下内容的通知:所述设备已经连接。
14.根据权利要求8或9所述的系统,所述指令在被所述一个或多个处理器执行时,还使得所述一个或多个处理器执行下列操作:
基于所述设备在一段时间不活动,确定所述设备不再进行网络跳转;以及
基于所述确定,清除所述会话ID。
15.一种非暂态计算机可读介质,包括存储在其上的指令,所述指令可由计算系统的一个或多个处理器执行以使得所述计算系统以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备,所述计算系统用于执行下列操作:
经由与网络中的多个交换机的周期性网络同步,在所述计算系统处从所述多个交换机接收设备跟踪信息,所述设备跟踪信息与设备每次经由所述多个交换机中的一个交换机连接到所述网络相关联,并且所述设备跟踪信息包括现有会话ID;
通过所述计算系统存储所述现有会话ID和所述设备跟踪信息;
通过所述计算系统在所述网络中一致地维护所述现有会话ID和所述设备跟踪信息,而不管所述设备在所述网络中的何处连接;
通过确定设备与所述现有会话ID和所述设备跟踪信息之间是否存在匹配,来识别所述设备先前已经连接到所述网络,其中,所述设备与安全策略相关联;以及
基于所述匹配,将所述安全策略应用于所述设备。
16.根据权利要求15所述的非暂态计算机可读介质,其中,所述设备跟踪信息包括IP设备跟踪信息和远程认证拨入用户服务计费信息,所述IP设备跟踪信息跟踪本地连接到所述网络的设备的MAC地址和IP地址,并且所述远程认证拨入用户服务计费信息跟踪远程连接到所述网络的设备。
17.根据权利要求15或16所述的非暂态计算机可读介质,所述指令还使所述计算系统执行下列操作:
确定所述设备与所述现有会话ID和所述设备跟踪信息之间不存在匹配;
基于确定不存在匹配,分配当前会话ID;以及
存储所述当前会话ID。
18.根据权利要求15或16所述的非暂态计算机可读介质,其中,基于所述匹配,获取特定于所述设备的先前授权。
19.根据权利要求15或16所述的非暂态计算机可读介质,其中,识别所述设备已经连接到所述网络包括:周期性地轮询所有设备以寻找新连接的设备。
20.根据权利要求15或16所述的非暂态计算机可读介质,其中,识别所述设备已经连接到所述网络包括从SNMP陷阱接收关于如下内容的通知:所述设备已经连接。
21.一种用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备的装置,方法包括:
用于经由与网络中的多个交换机的周期性网络同步而在集中式控制器处从所述多个交换机接收设备跟踪信息的构件,所述设备跟踪信息与设备每次经由所述多个交换机中的一个交换机连接到所述网络相关联,并且所述设备跟踪信息包括现有会话ID;
用于通过所述集中式控制器在数据库中存储所述现有会话ID和所述设备跟踪信息的构件;
用于通过所述集中式控制器在所述网络中一致地维护所述现有会话ID和所述设备跟踪信息而不管所述设备在所述网络中的何处连接的构件;
用于通过确定设备与所述现有会话ID和所述设备跟踪信息之间是否存在匹配来识别所述设备先前已经连接到所述网络的构件,其中,所述设备与安全策略相关联;以及
用于基于所述匹配将所述安全策略应用于所述设备的构件。
22.根据权利要求21所述的装置,还包括:用于实现根据权利要求2至7中任一项所述的方法的构件。
23.一种计算机可读介质,包括指令,所述指令在由计算机执行时使得所述计算机执行根据权利要求1至7中任一项所述的方法的步骤。
CN201980074386.1A 2018-11-21 2019-11-07 在网络中使权利跟随终端设备的方法和装置 Active CN113016167B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862770321P 2018-11-21 2018-11-21
US62/770,321 2018-11-21
US16/393,680 2019-04-24
US16/393,680 US20200162517A1 (en) 2018-11-21 2019-04-24 Method and apparatus to have entitlement follow the end device in network
PCT/US2019/060325 WO2020106464A1 (en) 2018-11-21 2019-11-07 Method and apparatus to have entitlement follow the end device in network

Publications (2)

Publication Number Publication Date
CN113016167A CN113016167A (zh) 2021-06-22
CN113016167B true CN113016167B (zh) 2023-09-15

Family

ID=70726640

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980074386.1A Active CN113016167B (zh) 2018-11-21 2019-11-07 在网络中使权利跟随终端设备的方法和装置

Country Status (4)

Country Link
US (1) US20200162517A1 (zh)
EP (1) EP3884640A1 (zh)
CN (1) CN113016167B (zh)
WO (1) WO2020106464A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10917324B2 (en) * 2016-09-28 2021-02-09 Amazon Technologies, Inc. Network health data aggregation service
WO2020142573A1 (en) * 2018-12-31 2020-07-09 Himanshu Shah Cloud node routing
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
US10754506B1 (en) * 2019-10-07 2020-08-25 Cyberark Software Ltd. Monitoring and controlling risk compliance in network environments
US11647033B2 (en) * 2019-11-21 2023-05-09 International Business Machines Corporation Device agnostic discovery and self-healing consensus network
US11533229B2 (en) * 2020-05-21 2022-12-20 Blackberry Limited Method and system for signaling communication configuration for Iot devices using manufacturer usage description files
US11799903B2 (en) * 2020-07-21 2023-10-24 Arris Enterprises Llc Detecting and preventing router-solicitation flood attacks
CN112104764B (zh) * 2020-09-22 2022-09-13 陈军 一种dhcp客户端分类的方法及系统
US11451983B2 (en) * 2020-11-10 2022-09-20 At&T Intellectual Property I, L.P. Dynamic capacity management of a wireless network
US20220159040A1 (en) * 2020-11-18 2022-05-19 Arris Enterprises Llc Methods, systems, and devices for assigning policies in networking systems
US11658976B2 (en) * 2021-01-27 2023-05-23 Arista Networks, Inc. Captive portal redirection and network access restriction of device using a single access control list
CN113628022B (zh) * 2021-08-09 2023-12-22 迈普通信技术股份有限公司 一种多层配置的对账方法、装置及计算机可读存储介质
US20230300108A1 (en) * 2022-03-17 2023-09-21 Nile Global, Inc. Methods and systems for communications

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104581814A (zh) * 2013-10-11 2015-04-29 思科技术公司 网络环境中订户群组的策略应用
EP2887609A1 (en) * 2013-12-20 2015-06-24 Sandvine Incorporated ULC System and method for analyzing devices accessing a network
CN108696908A (zh) * 2017-04-10 2018-10-23 华为技术有限公司 跟踪区列表的分配方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7930734B2 (en) * 2006-04-28 2011-04-19 Cisco Technology, Inc. Method and system for creating and tracking network sessions
US9210169B2 (en) * 2012-12-20 2015-12-08 Cisco Technology, Inc. Network session management based on contextual information
US10171504B2 (en) * 2015-08-04 2019-01-01 Cisco Technology, Inc. Network access with dynamic authorization

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104581814A (zh) * 2013-10-11 2015-04-29 思科技术公司 网络环境中订户群组的策略应用
EP2887609A1 (en) * 2013-12-20 2015-06-24 Sandvine Incorporated ULC System and method for analyzing devices accessing a network
CN108696908A (zh) * 2017-04-10 2018-10-23 华为技术有限公司 跟踪区列表的分配方法及装置

Also Published As

Publication number Publication date
CN113016167A (zh) 2021-06-22
US20200162517A1 (en) 2020-05-21
EP3884640A1 (en) 2021-09-29
WO2020106464A1 (en) 2020-05-28

Similar Documents

Publication Publication Date Title
CN113016167B (zh) 在网络中使权利跟随终端设备的方法和装置
US11799727B2 (en) Extending center cluster membership to additional compute resources
US11831491B2 (en) System and methods to validate issue detection and classification in a network assurance system
US11405427B2 (en) Multi-domain policy orchestration model
CN113169891B (zh) 通过软件定义的操作管理及维护来识别和解决结构网络中的算法问题
US11882202B2 (en) Intent based network data path tracing and instant diagnostics
US11399283B2 (en) Tenant service set identifiers (SSIDs)
US11509532B2 (en) Switch triggered traffic tracking
US10904104B2 (en) Interactive interface for network exploration with relationship mapping
US11018933B2 (en) Context aware based adjustment in visual rendering of network sites
US11121923B2 (en) Automatic provisioning of network components
CN112956158B (zh) 结构数据平面监视
CN114270907B (zh) 自动接入点布置系统和方法
US11483290B2 (en) Distribution of stateless security functions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant