CN113169930B - 跨多个管理域的端到端身份知晓路由 - Google Patents
跨多个管理域的端到端身份知晓路由 Download PDFInfo
- Publication number
- CN113169930B CN113169930B CN201980078211.8A CN201980078211A CN113169930B CN 113169930 B CN113169930 B CN 113169930B CN 201980078211 A CN201980078211 A CN 201980078211A CN 113169930 B CN113169930 B CN 113169930B
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- user
- encapsulated
- wan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
系统和方法提供了跨多个管理域的端到端身份知晓路由。第二覆盖网络的第一入口边缘设备可从第一覆盖网络的第一出口边缘设备接收第一封装封包。第一入口边缘设备可对第一封装封包进行解封装,以获得原始封包和用户或群组标识符。第一入口边缘设备可应用与用户或群组标识符匹配的用户或群组策略,以确定原始封包的下一跳。第一入口边缘设备可封装原始封包和用户或群组标识符以生成第二封装封包。第一入口边缘设备可将第二封装封包转发到下一跳。
Description
相关申请的交叉引用
本申请要求2019年8月8日提交的标题为“END-TO-END IDENTITY-AWARE ROUTINGACROSS MULTIPLE ADMINISTRATIVE DOMAINS”的美国非临时专利申请第16/535,519号的权益和优先权,该美国申请要求2018年11月30日提交的标题为“APPLICATION-AWARE ROUTINGWITH USER AND APPLICATION CONTEXT”的美国临时专利申请第62/774,067号的权益,这些申请的内容通过引用被全部并入在此。
技术领域
本公开的主题概括而言涉及计算机联网的领域,更具体而言,涉及用于身份知晓路由(identity-aware routing)的系统和方法。
背景技术
企业网络环境正在不断演变。对移动和物联网(Internet of Things,IoT)设备流量、软件即服务(Software as a Service,SaaS)应用和云的采用有更大的需求。此外,安全性需求也在增加,并且某些应用可要求优先考虑和优化才能正常操作。随着这种复杂性的增长,在提供高可用性和规模的同时,也在推动降低成本和运营花费。
在这个演变的环境下,传统的WAN体系结构正面临着重大挑战。传统的WAN体系结构通常包括多个多协议标签交换(Multi-Protocol Label Switching,MPLS)传输,或者MPLS与以活跃/后备方式使用的互联网或长期演进(Long-Term Evolution,LTE)链路配对,最常见的是互联网或SaaS流量被回传到中央数据中心或者区域枢纽,用于互联网接入。这些体系结构的问题可包括不足的带宽、高带宽成本、应用停机、不良的SaaS性能、复杂的操作、云连通性的复杂工作流程、较长的部署时间和策略变化、有限的应用可视性以及保障网络安全的困难。
近年来,软件定义广域网(Software-Defined Wide-Area Network,SD-WAN)解决方案已被开发来解决这些挑战。SD-WAN是软件定义联网(software-defined networking,SDN)这一更广泛技术的一部分。SDN是一种集中式网络管理方案,其可将底层的网络基础设施从其应用中抽象出来。数据平面转发和控制平面的这个解耦可允许网络运营者集中网络的智能并且提供更多的网络自动化、操作简化和集中的配设、监视和故障排查。SD-WAN可将SDN的这些原则应用到WAN。
附图说明
为了提供对本公开及其特征和优点的更完整理解,参考以下结合附图的描述,附图中:
图1根据一实施例图示了网络的示例的框图;
图2根据一实施例图示了网络的示例的框图;
图3根据一实施例图示了用于管理覆盖网络的方案的示例的框图;
图4根据一实施例图示了用于对网络进行分段的方案的示例的框图;
图5根据一实施例图示了网络的示例的框图;
图6根据一实施例图示了用于实现跨多个管理域的身份知晓路由的过程的示例;
图7根据一实施例图示了可用于跨多个管理域端到端传达用户或群组标识符的网络封包格式的示例;
图8根据一实施例图示了网络设备的示例的框图;并且
图9A和9B根据一些实施例图示了计算系统的示例的框图。
具体实施方式
以下记载的详细描述打算作为对实施例的各种配置的描述,而并不打算表示可用来实现本本公开的主题的唯一配置。附图被并入在此并且构成详细描述的一部分。详细描述包括用于提供对公开的主题的更透彻理解的具体细节。然而,显而易见的是,本公开的主题并不局限于本文记载的具体细节,而是可以在没有这些细节的情况下进行实现。在一些情况中,以框图形式示出结构和组件以避免模糊本公开的主题的构思。
概述
在独立权利要求中记载本发明的各方面并且在从属权利要求中记载优选特征。一个方面的特征可被单独应用到每个方面或者与其他方面组合应用。
系统和方法提供了跨多个管理域的端到端身份知晓路由。第二覆盖网络的第一入口边缘设备可从第一覆盖网络的第一出口边缘设备接收第一封装封包。第一入口边缘设备可对第一封装封包进行解封装,以获得原始封包和用户或群组标识符。第一入口边缘设备可应用与用户或群组标识符匹配的用户或群组策略,以确定原始封包的下一跳。第一入口边缘设备可封装原始封包和用户或群组标识符以生成第二封装封包。第一入口边缘设备可将第二封装封包转发到下一跳。
也描述了用于实现本文描述的方法的装置,包括用于实现这些方法的网络节点、计算机程序、计算机程序产品、计算机可读介质和编码在有形介质上的逻辑。
示例实施例
在一些实施例中,提供了一种由计算机实现的方法,用于由在第二网络控制器的管理控制下的第二覆盖网络的入口边缘设备从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包;对第一封装封包进行解封装以获得原始封包和用户或群组标识符;向原始封包应用与用户或群组标识符匹配的用户或群组策略以为原始封包确定下一跳;封装原始封包和用户或群组标识符以生成第二封装封包;并且将第二封装封包转发到下一跳。
在一些实施例中,第一封装封包或第二封装封包的至少一者是由虚拟可扩展局域网(Virtual Extensible Local Area Network,VXLAN)-群组策略选项(Group PolicyOption,GPO)封装来封装的。在一些实施例中,用户或群组策略是在第一覆盖网络和第二覆盖网络中实施的端到端用户或群组策略。在一些实施例中,用户或群组标识符被包括在VXLAN头部、元数据头部或者多协议标签交换(MPLS)标签的至少一者中。在一些实施例中,第一封装封包或第二封装封包的至少一者包括虚拟网络标识符(Virtual NetworkIdentifier,VNID)、虚拟路由和转发(Virtual Routing and Forwarding,VRF)标识符或者虚拟专用网(Virtual Private Network,VPN)标识符。
在一些实施例中,由计算机实现的方法还可包括在第二覆盖网络的入口边缘设备和出口边缘设备之间建立隧道,其中第二封装封包通过隧道被转发到下一跳。由第二覆盖网络的出口边缘设备接收第二封装封包;对第二封装封包进行解封装以获得原始封包和用户或群组标识符;向原始封包应用与用户或群组标识符匹配的第二用户或群组策略以为原始封包确定第二下一跳;封装原始封包和用户或群组标识符以生成第三封装封包;并且将第三封装封包转发到第二下一跳。在一些实施例中,由计算机实现的方法还可包括由在第一覆盖网络或者第三覆盖网络的管理控制下的第二入口边缘设备从出口边缘设备接收第三封装封包;对第三封装封包进行解封装以获得原始封包和用户或群组标识符;向原始封包应用与用户或群组标识符匹配的第三用户或群组策略以为原始封包确定第三下一跳;并且将原始封包转发到第三下一跳。
在一些实施例中,由计算机实现的方法还可包括将用户或群组标识符从安全性群组标签(Security Group Tag,SGT)映射到端点群组(Endpoint Group,EPG)。在一些实施例中,用户或群组策略还匹配生成了原始封包的应用。
在一些实施例中,由计算机实现的方法还可包括通过底层网络的一个或多个中间节点将第一封装封包路由到第一覆盖网络。
在一些实施例中,由计算机实现的方法还可包括通过底层网络的一个或多个节点将第二封装封包路由到第二覆盖网络。
在一些实施例中,提供了一种系统,包括一个或多个处理器;以及包括指令的存储器,所述指令当被所述一个或多个处理器执行时,使得所述系统:从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包,其中所述系统在第二网络控制器的管理控制下;对第一封装封包进行解封装以获得原始封包和用户或群组标识符;向原始封包应用与用户或群组标识符匹配的用户或群组策略以为原始封包确定下一跳;封装原始封包和用户或群组标识符以生成第二封装封包;并且将第二封装封包转发到下一跳。
在一些实施例中,一种包括指令的非暂态计算机可读存储介质,所述指令在被系统的一个或多个处理器执行时,使得所述系统:从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包,其中所述系统在第二网络控制器的管理控制下;对第一封装封包进行解封装以获得原始封包和用户或群组标识符;向原始封包应用与用户或群组标识符匹配的用户或群组策略以为原始封包确定下一跳;封装原始封包和用户或群组标识符以生成第二封装封包;并且将第二封装封包转发到下一跳。下面描述和建议了根据各种实施例可提供的许多其他功能和优点。
传统网络中使用的协议是为其特定的网络域或类型(例如,数据中心(DataCenter,DC);企业或园区、广域网(WAN)、分支,等等)设计和优化的,但对于在域(例如,DC-园区、接入-WAN、DC-WAN,等等)之间流动的流量可能不太有效。例如,(开放系统互连(OpenSystems Interconnection,OSI)模型的)第二层(L2)网络在更宽区域上被启用时,可能会受到规模、广播传播和脆弱性的约束。第三层(L3)网络会因为虚拟局域网(Virtual LocalArea Network,VLAN)和子网的扩散、复杂的路由协议设计以及L2和L3拓扑结构之间的潜在差异(这可能会使得理解流量流动和故障排查更加困难)而变得难以管理。随着VRF、多协议标签和交换(MPLS)VPN、安全性群组标签(SGT)和EPG以及其他虚拟网络技术的部署,网络分段可添加进一步的复杂性。
网络封装是解决其中一些挑战的方案。一些类型的封装,例如虚拟可扩展LAN(VXLAN),具有额外的益处,即能够在单一封装类型内处理L2和L3封包。这可使得VXLAN封装或类似技术在L2和L3网络上都可以传输封包。这可区别于例如MPLS,MPLS使用不同的方法来传输L3封包(例如,MPLS VPN)和L2封包(例如,虚拟专用LAN服务(Virtual Private LANService,VPLS)或MPLS上的以太网(Ethernet over MPLS,EoMPLS))。封装的优点一般来说是能够在网络内构建覆盖。覆盖网络(有时也称为网络架构或架构)是构建在底层物理网络(即,底层网络)之上的虚拟网络拓扑结构。覆盖网络可创建逻辑拓扑结构,用于虚拟地连接构建在任意物理网络拓扑结构之上的设备。用于实现覆盖网络的一些示例方案包括通用路由封装(Generic Routing Encapsulation,GRE)或多点GRE(Multipoint GR,mGRE)、MPLSVPN或VPLS、互联网协议安全性(Internet Protocol Security,IPsec)或动态多点虚拟专用网络(Dynamic Multipoint Virtual Private Network,DMVPN)、CAPWAP(Control andProvisioning of Wireless Access Points,无线接入点的控制和配设)、VXLAN、位置/标识符分离协议(Location/Identifier Separation Protocol,LISP)、覆盖传输虚拟化(Overlay Transport Virtualization,OTV)以及应用中心基础设施(CiscoACITM),等等。
在覆盖网络中,覆盖的逻辑拓扑结构可与底层网络基础设施解除耦合。这可使得覆盖网络可以与底层网络分开设计,并且提供底层网络本身可能无法容纳的功能。例如,底层网络可被设计为完全路由拓扑结构(例如,一直路由到场地配线(Premise WireDistribution,PWD)室或布线柜)。完全路由拓扑结构(有时也被称为路由接入)可以有一些优势,例如稳定性、可扩展性、在网络中断时快速重收敛以及有效的流量负载平衡(例如,经由等成本多路径(Equal Cost Multipath,ECMP)),等等。然而,完全路由的拓扑结构也可能有某些缺点。例如,它可能无法在两个或更多个PWD之间扩展VLAN,这可限制可能要求子网出现在网络中的不止一个地方的一些应用的灵活性。完全路由拓扑结构还可能要求生成、使用和持续支持大量的子网(例如,每个PWD一个或多个)。在大型部署中,这可能变得难以管理并且浪费大量的互联网协议(IP)地址空间(例如,每个子网的大小必须达到就其需要支持的主机数目而言其可能增长到的最大值,这可导致在部署和使用期间浪费IP地址空间)。
在一些实施例中,网络可被配置为提供完全路由的底层传输网络的益处(例如,稳定性、可扩展性、快速网络重收敛、有效的流量负载平衡,等等)和提供灵活服务的广域网的益处(例如,通过在更宽的区域上“伸展”覆盖IP子网,而不会招致与生成树和大型、循环L2设计等等的大规模使用相关联的传统问题)。网络设备(例如,交换机、路由器、无线局域网(Wireless Local Area Network,WLAN)控制器、接入点、网络装置、网络服务,等等)可附接到底层网络,并且主机(例如,最终用户、设备,等等)或者系统的实际用户可附接到覆盖网络。这可使得底层网络能够保持静态和稳定——促进更高的可用性和连续性——但允许用户、设备和服务在任何时候经由覆盖网络连接到网络或断开连接——允许网络运营者快速部署和操作新的网络功能而不使网络处于风险之中。
至少在VXLAN封装或类似技术下,覆盖网络的额外优势可包括向后兼容和额外的封包头部空间,以增强网络功能。这个额外的空间可携带信息(例如,元数据或者关于数据的数据),以提供关于正确处理封装封包的进一步情境。VXLAN或类似技术利用用户数据报协议(User Datagram Protocol,UDP)进行外部封装,以传输封包元数据,例如SGT和/或VNID(例如,在互联网工程任务组(Internet Engineering Task Force,IETF)VXLAN群组策略选项(Group Policy Option,GPO)中定义),并且可从这些属性中获得各种优势。UDP封装可使得IP节点能够路由VXLAN封装封包,而无需为VXLAN处理利用新的硬件或软件来明确配置节点。虽然在VXLAN封装封包的外部VXLAN头部中具有源IP地址的节点(即,源VXLAN隧道端点(VXLAN Tunnel Endpoint,VTEP)或源路由定位器(Routing Locator,RLOC))可启用VXLAN以便对封包进行封装,并且在外部UDP头部中具有目的地IP地址的节点(即,目的地VTEP/RLOC)可启用VXLAN以对外部VXLAN头部进行解封装,但中间网络节点(即,源和目的地VTEP/RLOC之间的节点)不需要知道、理解或解释内部VXLAN封包头部。这可使得VXLAN或类似技术可以在底层的、基于IP的网络基础设施之上提供覆盖网络。此外,外部UDP封包头部可包括差异化服务代码点(Differentiated Services Code Point,DSCP)值,该值可以是从内部DSCP值拷贝来的,从而中间节点可正确地处理QoS,甚至不必理解VXLAN,或者检查内部封装封包。
VXLAN或类似技术可在覆盖网络内提供一种机制,以端到端传输VNID。VNID可对应于VRF,并且覆盖网络可支持端到端VRF传输,以允许进入覆盖网络一端的封包在被封装时被标记以其正确的VRF,并且在解封装的VXLAN节点处确定VRF,以在从覆盖网络出口时获得转发内部封包的情境。从而,支持VNID的覆盖网络可知晓网络分段,并且提供更高的网络安全性。这也可促进端到端的网络分段方案,而不必触及底层中的每个中间网络节点。
SGT可出于策略应用的目的对网络中的类似用户和设备进行分组。通过将类似的用户和设备基于其认证或设备配置文件进行关联,网络策略可与指派给这些用户和设备的IP地址或子网解除耦合。这个级别的抽象可通过使其更容易被用户理解并且更容易部署和维护来改善基于群组的策略。在传统网络中,策略被严格绑定到IP地址。这是因为IP头部中没有直接提供用户或设备身份或群组信息、位置和其他情境的字段,而必须使用IP地址作为情境的代理。以这种方式超载IP地址的结果是需要大量的子网、服务集标识符(ServiceSet Identifier,SSID)和访问控制列表(Access Control List,ACL)来实现策略。
传统网络通常无法支持SGT(或类似的技术),因为在数据平面中跨异质网络端到端运载SGT是困难的,这些异质网络可具有旧的和新的硬件和软件的混合(例如,一些更旧的硬件和软件无法处理SGT)。理想的情况是,当数据封包在网络上移动时,能够连同数据封包在线内或带内传输SGT,但在传统网络中,每个网络设备和每个网络链路都必须能够插入、传输和/或移除SGT。然而,支持VXLAN-GPO封装或类似技术的覆盖网络可在VXLAN封包头部中端到端携带SGT或同等的情境信息。例如,只有入口和出口节点——而不是中间节点——可能需要处理SGTs。这种向后的兼容性使得基于群组的策略是可行的,即使在有大量不能处理VXLAN的节点的大型网络部署中。从而,不是在封包到达边缘网络设备以便在WAN上传输时从封包中剥离有用的情境信息(例如,用户或群组身份),而是可将此信息用于改善路由(例如,调整端到端流量以符合服务水平协议(Service Level Agreement,SLA)),确保传输资源的高效利用,改善应用/网络响应能力,等等。传统的网络没有能力捕捉这种额外的情境信息,并且/或者不依赖于这种信息来进行WAN路由。本公开的各种实施例可克服跨多个管理域的端到端身份知晓路由的这些和其他挑战。
图1图示了用于实现本技术的各个方面的网络100的示例。网络100的实现方式的示例是软件定义广域网(Software Defined Wide Area Network,SD-WAN)体系结构。然而,本领域的普通技术人员将会理解,对于网络100和本公开中论述的任何其他系统,可以有类似或替换配置的额外或较少的组件。本公开中提供的图示和示例是为了简洁和清晰。其他实施例可包括不同数目和/或类型的元素,但本领域普通技术人员将会明白,这种变化并不脱离本公开的范围。
在此示例中,网络100可包括协调平面102、管理平面120、控制平面130和数据平面140。协调平面102可协助WAN边缘设备142(例如,交换机、路由器,等等)在覆盖网络中的自动上岗。协调平面102可包括一个或多个物理或虚拟网络协调器装置104。网络协调器装置104可执行WAN边缘设备142的初始认证并且协调控制平面130和数据平面140的设备之间的连通性。在一些实施例中,网络协调器装置104还可以实现位于网络地址转化(NetworkAddress Translation,NAT)后面的设备的通信。在一些实施例中,物理或虚拟SD-WAN vBond装置可作为网络协调器装置104操作。
管理平面120可负责网络的中央配置和监视。管理平面120可包括一个或多个物理或虚拟网络管理装置122。网络管理装置122可经由图形用户界面提供网络的集中管理,以使得用户能够监视、配置和维护WAN边缘设备142和底层和覆盖网络中的链路(例如,互联网传输网络160、多协议标签交换(MPLS)网络162、LTE网络164,等等)。网络管理装置122可支持多租户,并且实现了与不同实体(例如,企业、企业内的部门、部门内的小组,等等)相关联的逻辑上隔离的网络的集中管理。替换地或者额外地,网络管理装置122可以是用于单个实体的专用网络管理系统。在一些实施例中,物理或虚拟SD-WAN vManage装置可作为网络管理装置122操作。
管理平面120还可包括分析引擎124,用于提供对于应用和网络随时间流逝的性能的可见性,例如性能最好和最差的应用、最消耗带宽的应用、异常应用家族(例如,其带宽消耗在一段时间中变化的应用)、网络可用性和电路可用性、运营商健康、性能最好和最差的隧道,等等。分析引擎124可包括用户界面,该用户界面可生成覆盖网络的图形表示并且使得用户能够深入钻取以显示单个运营商、隧道或应用在特定时间的特性。用户界面可作为网络的交互式概述和更多细节的入口点。在一些实施例中,用户界面可显示过去24小时的信息,并且使得用户能够深入钻取来为不同的数据集选择不同的时间段来显示。用户界面还可显示网络可用性、运营商的WAN性能和应用以及其他网络分析的数据。
在一些实施例中,分析引擎124可提供具有虚拟体验质量(Virtual Quality ofExperience,vQoE)值的应用性能,该值可以是为个体应用定制的。这个值的范围可从零到十,零是最差的性能,十是最好的。分析引擎可基于时延、损耗和抖动来计算vQoE,并且为每个应用定制计算。
分析引擎124可对WAN的规划及其运营方面提供洞察力,从历史性能到预测,再到提供优化WAN的建议。分析引擎124可存储数月的数据,应用机器学习算法,并且提供独特的洞察和建议。例如,分析引擎124可提供预测建议,以规划在未来三到六个月内可能需要额外带宽的WAN站点;提供假设情景,以帮助识别平衡网络和应用的成本、性能和可用性的机会;基于历史信息的应用知晓路由策略,以微调WAN;为特定位置推荐网络服务提供商;等等。
控制平面130可构建和维护网络拓扑结构,并且对流量流向作出决定。控制平面130可包括一个或多个物理或虚拟网络控制器装置132。网络控制器装置132可建立到每个WAN边缘设备142的安全连接,并且经由控制平面协议(例如,覆盖管理协议(OverlayManagement Protocol,OMP)(下文更详细论述)、开放最短路径优先(Open Shortest PathFirst,OSPF)、中间系统到中间系统(Intermediate System to Intermediate System,IS-IS)、边界网关协议(Border Gateway Protocol,BGP)、协议独立多播(Protocol-Independent Multicast,PIM)、互联网群组管理协议(Internet Group ManagementProtocol,IGMP)、互联网控制消息协议(Internet Control Message Protocol,ICMP)、地址解析协议(Address Resolution Protocol,ARP)、双向转发检测(BidirectionalForwarding Detection,BFD)、链路聚合控制协议(Link Aggregation Control Protocol,LACP),等等)来分发路由和策略信息。在一些实施例中,网络控制器装置132可作为路由反射器操作。网络控制器装置132也可在数据平面140中协调WAN边缘设备142之间的安全连通性。例如,在一些实施例中,网络控制器装置132可在WAN边缘设备142之间分发加密密钥信息。这可允许网络在没有互联网密钥交换(Internet Key Exchange,IKE)的情况下支持安全网络协议或应用(例如,IPSec、传输层安全性(Transport Layer Security,TLS)、安全外壳(Secure Shell,SSH),等等),并且实现网络的可扩展性。在一些实施例中,物理或虚拟SD-WAN vSmart控制器可作为网络控制器装置132操作。
数据平面140可负责基于来自控制平面130的决策来转发封包。数据平面140可包括WAN边缘设备142,WAN边缘设备142可以是物理或虚拟网络设备。WAN边缘设备142可以在与组织相关联的各种WAN站点的边缘操作,例如在一个或多个数据中心150、园区网络152、分支机构154、家庭办公室156等等中,或者在云中(例如,基础设施即服务(Infrastructureas a Service,IaaS)、平台即服务(Platform as a Service,PaaS)、SaaS和其他云服务提供商网络)。WAN边缘设备142可通过一个或多个WAN传输提供WAN站点之间的安全数据平面连通性,例如经由一个或多个互联网传输网络160(例如,数字订户线(Digital SubscriberLine,DSL)、线缆,等等),MPLS网络162(或者其他私有封包交换网络(例如,城域以太网、帧中继、异步传送模式(Asynchronous Transfer Mode,ATM),等等),LTE网络164或其他移动网络(例如,3G、4G、5G,等等),或者其他WAN技术(例如,同步光联网(Synchronous OpticalNetworking,SONET)、同步数字层次体系(Synchronous Digital Hierarchy,SDH)、密集波分复用(Dense Wavelength Division Multiplexing,DWDM)或者其他光纤技术;租用线路(例如,T1/E1、T3/E3,等等);公共交换电话网(Public Switched Telephone Network,PSTN)、综合业务数字网(Integrated Services Digital Network,ISDN)或者其他私有电路交换网络;小孔径终端(small aperture terminal,VSAT)或其他卫星网络;等等)。WAN边缘设备142可负责流量转发、安全性、加密、服务质量(quality of service,QoS)、以及路由(例如,BGP、OSFP,等等),以及其他任务。在一些实施例中,物理或虚拟SD-WANvEdge路由器可作为WAN边缘设备142操作。
图2图示了用于示出网络100的各种方面的网络环境200的示例。网络环境200可包括管理网络202,一对WAN站点204A和204B(统称为204)(例如,数据中心150、园区网络152、分支机构154、家庭办公室156、云服务提供商网络,等等),以及一对互联网传输网络160A和160B(统称为160)。管理网络202可包括一个或多个网络协调器装置104、一个或多个网络管理装置122以及一个或多个网络控制器装置132。虽然管理网络202在此示例中被示为单个网络,但本领域普通技术人员将会理解,管理网络202的每个对象可分布在任何数目的网络上和/或与WAN站点204位于相同位置。在此示例中,管理网络202的每个对象可通过互联网传输网络160A或160B到达。
每个WAN站点204可包括连接到一个或多个WAN聚合设备208(有时也称为接入、边缘或边界设备、节点或叶子,等等)的一个或多个主机206(有时也称为端点、计算设备、计算系统,等等)。主机206可包括通用计算设备(例如,服务器、工作站、桌面计算机,等等),移动计算设备(例如,膝上型电脑、平板设备、移动电话,等等),可穿戴设备(例如,手表、眼镜或者其他头戴式显示器(head-mounted display,HMD)、耳朵设备,等等),等等。主机206也可包括物联网(Internet of Things,IoT)设备或装备,例如农业装备(例如,牲畜跟踪和管理系统、浇水设备、无人驾驶飞行器(unmanned aerial vehicle,UAV),等等);联网的汽车和其他载具;智能家庭传感器和设备(例如,报警系统、安全摄像头、照明、电器、媒体播放器、采暖、通风及空调(Heating,Ventilation,and Air Conditioning,HVAC)装备、水电表、窗户、自动门、门铃、锁,等等);办公装备(例如,桌面电话、复印机、传真机,等等);医疗保健设备(例如,心脏起搏器、生物识别传感器、医疗装备,等等);工业装备(例如,机器人、工厂机械、建筑装备、工业传感器,等等);零售装备(例如,自动售货机、销售点(point of sale,POS)设备、射频识别(Radio Frequency Identification,RFID)标签,等等);智能城市设备(例如,路灯、停车计时器、废物管理传感器,等等);运输和物流装备(例如,旋转门、出租车追踪器、导航设备、库存监视器,等等);等等。
WAN聚合设备208可包括物理或虚拟交换机、路由器和其他网络设备。虽然在此示例中WAN站点204A被示为包括一对WAN聚合设备并且WAN站点204B被示为包括单个WAN聚合设备,但WAN站点204可包括采取任何网络拓扑结构的任何数目的网络设备,包括多层(例如,核心层、分布层和接入层)、脊柱和叶子、网状、树状、总线、枢纽和辐条,等等。例如,在一些实施例中,一个或多个数据中心可实现ACITM体系结构和/或一个或多个园区网络可实现软件定义接入(Software Defined Access,SD-Access或者SDA)体系结构。WAN聚合设备208可将WAN站点204的节点,例如主机206、其他网络设备(未示出)、其他网络(未示出)等等,直接或间接地连接到一个或多个WAN边缘设备142,并且WAN边缘设备142可将WAN聚合设备208连接到传输网络160。
在一些实施例中,“颜色”可用于识别个体WAN传输网络,并且不同的WAN传输网络可被指派不同的颜色(例如,mpls、private1、biz-internet、metro-ethernet、lte,等等)。在此示例中,网络环境200可为互联网传输网络160A利用一种被称为“biz-internet”的颜色,并且为互联网传输网络160B利用一种被称为“public-internet”的颜色。
在一些实施例中,每个WAN边缘设备142可与网络控制器装置132的至少一者形成数据报传输层安全性(Datagram Transport Layer Security,DTLS)或者传输层安全性(Transport Layer Security,TLS)控制连接并且通过每个传输网络160连接到任何网络控制器装置132。在一些实施例中,WAN边缘设备142也可经由IPSec隧道安全地连接到其他WAN站点中的WAN边缘设备。在一些实施例中,BFD协议可在这些隧道的每一者内被用于检测损耗、时延、拉动和路径故障。
在WAN边缘设备142上,颜色可用来帮助识别或者区分个体WAN传输隧道(例如,在单个边缘网络设备上不能两次使用相同的颜色)。颜色本身也可以有意义。例如,颜色metro-ethernet、mpls和private1、private2、private3、private4、private5和private6可被视为私有颜色,这些私有颜色可用于私有网络或者用在没有传输IP主机的NAT寻址的地方(例如,因为在同一颜色的两个主机之间可能没有NAT)。当WAN边缘设备142使用私有颜色时,它们可尝试利用原生的、私有的、下层的IP地址来构建到其他边缘网络设备的IPSec隧道。公共颜色可包括3g、biz、internet、蓝色、青铜色、custom1、custom2、custom3、默认、金色、绿色、lte、public-internet、红色和银色。公共颜色可被WAN边缘设备142用来构建去到NAT后IP地址的隧道(如果涉及NAT的话)。如果WAN边缘设备142使用私有颜色并且需要NAT来与其他私有颜色通信,则配置中的运营商设置可规定WAN边缘设备142使用私有还是公共IP地址。利用此设置,当一者或者使用NAT时,两个私有颜色可建立会话。
图3图示了用于管理覆盖网络的示例方案的框图300,例如经由OMP。在此示例中,OMP消息302A和302B(统称为302)可分别在网络控制器装置132和WAN边缘设备142A和142B之间被来回传输,其中控制平面信息,例如路由前缀、下一跳路由、加密密钥、策略信息等等,可通过各个安全DTLS或者TLS连接304A和304B来交换。网络控制器装置132可类似于路由反射器地操作。例如,网络控制器装置132可从WAN边缘设备142接收路由,处理并对其应用策略,并且将路由通告给覆盖网络中的其他WAN边缘设备142。如果没有定义策略,则WAN边缘设备142可以以类似于全网状拓扑的方式行事,其中每个WAN边缘设备142可直接连接到另一WAN站点处的另一WAN边缘设备142并且从每个站点接收完整的路由信息。
OMP可通告三种类型的路由:
·OMP路由,其可对应于从WAN边缘设备142的本地WAN站点(例如,相对于WAN边缘设备142是本地的)或者服务器侧学习到的前缀。前缀可作为静态或者连接的路由发源,或者从路由协议(例如,BGP、OSPF,等等)内发源,并且被重分发到OMP中,以便它们可被运载于覆盖上。OMP路由可通告属性,例如传输位置(transport location,TLOC)信息(其可类似于BGP下一跳IP地址)和其他属性,例如原点、发源者、偏好、站点标识符、标签和VPN标识符。如果OMP路由所指向的TLOC是活跃的,则该OMP路由可被安装在转发表中。
·TLOC路由,其可对应于连接到传输网络160中的WAN边缘设备142上的逻辑隧道端接点。在一些实施例中,TLOC路由可由三元组来唯一地识别和表示,包括IP地址、链路颜色和封装(例如,通用路由封装(Generic Routing Encapsulation,GRE)、IPSec,等等)。除了系统IP地址、颜色和封装之外,TLOC路由还可携带诸如TLOC私有和公共IP地址、运营商、偏好、站点标识符、标签和权重之类的属性。在一些实施例中,当活跃的BFD会话与TLOC相关联时,该TLOC可在特定WAN边缘设备142上处于活跃状态中。
·服务路由,其可表示可连接到WAN边缘设备142的本地WAN站点并且对于其他WAN站点而言可访问以便用于服务插入的服务(例如,防火墙、分布式拒绝服务(distributeddenial of service,DDoS)缓和器、负载平衡器、入侵防止系统(Intrusion PreventSystem,IPS)、入侵检测系统(Intrusion Detection System,IDS)、WAN优化器,等等)。此外,这些路由也可包括VPN;VPN标签可在更新类型中被发送,以告知网络控制器装置132在远程WAN站点处服务什么VPN。
在图3的示例中,OMP被示为在WAN边缘设备142和网络控制器装置132之间建立的DTLS/TLS隧道304上运行。此外,框图300示出了通过互联网传输网络160A在TLOC 308A和308C之间建立的IPSec隧道306A和通过互联网传输网络160B在TLOC 308B和TLOC 308D之间建立的IPSec隧道306B。一旦IPSec隧道306A和306B被建立,BFD就可在每个隧道上被启用。
在一些实施例中,可通过在网络的边缘(例如,WAN边缘设备142)定义网络对象(例如,子网、VLAN、VNID、VRF、VPN、EPG,等等)的分组并且在封包中携带分段信息供中间节点处理来实现全网络分段。例如,WAN边缘设备142A可预订两个VPN,与前缀10.1.1.0/24相对应的“红色”VPN(例如,直接通过连接的接口或者经由内部网关协议(IGP)或BGP学习),以及与前缀10.2.2.0/24相对应的“蓝色”VPN。WAN边缘设备142B可类似地预订两个VPN,红色VPN,对应于前缀192.168.1.0/24,以及蓝色VPN,对应于前缀192.168.2.0/24(直接通过连接的接口或者经由IGP或者BGP学习)。
因为WAN边缘设备142具有通过DTLS/TLS隧道304到网络控制器装置132的OMP连接,所以它们可将其路由信息传播到网络控制器装置132。在网络控制器装置132上,网络管理员可实施策略来放弃路由,改变TLOC(可以是覆盖下一跳)以进行流量工程或者服务链接,或者改变VPN标识符。网络管理员可将这些策略作为入站或出站策略应用在网络控制器装置132上。
属于单个VPN的前缀可被保持在单独的路由表中。这可为网络中的各种网段提供L3隔离。从而,WAN边缘设备142可各自拥有两个VPN路由表。此外,网络控制器装置132可维护每个前缀的VPN上下文。分开的路由表可在单个节点上提供隔离。在一些实施例中,VPN标识符可用于在网络上传播路由信息。封包中携带的VPN标识符可识别链路上的每个VPN。当VPN被配置在特定的边缘网络设备上时,VPN可以有与之相关联的链路颜色或标签。边缘网络设备可将链路颜色或标签,连同VPN标识符,发送到网络控制器装置132。网络控制器装置132可向网络中的其他边缘网络设备传播将边缘网络设备映射到VPN标识符的信息。远程边缘网络设备随后可使用链路颜色或标签来将流量发送到适当的VPN。本地边缘网络设备在接收到带有VPN标识符链路颜色或标签的数据时,可使用该链路颜色或标签来解复用数据流量。在此示例中,连接WAN边缘设备142的传输网络160可不知晓VPN,WAN边缘设备142可知道VPN,而网络的其余部分可遵循标准路由。
在一些实施例中,策略可用于影响WAN边缘设备142之间的流量的流动。策略可被表征为集中式的或者本地的。集中式策略可在网络控制器装置132上配设,并且本地化策略可在WAN边缘设备142上配设,这些WAN边缘设备142可位于WAN站点和传输网络之间的网络边缘,所述传输网络例如是互联网传输网络160、MPLS网络162、LTE网络164,等等。
策略也可被表征为控制或路由策略,其可影响网络的控制平面中的路由信息的流动,或者被表征为数据策略,其可影响网络的数据平面中的数据流量的流动。集中式控制策略可通过影响存储在网络控制器装置132的主路由表中并被通告给WAN边缘设备142的信息来应用到整个网络的流量路由。集中式控制策略的效果可从WAN边缘设备142如何将流量导向其目的地中看出。集中式控制策略配置本身可保留在网络控制器装置132上,而不被推送给WAN边缘设备142。
当没有配设集中式控制策略时,所有的OMP路由都可被放置在网络控制器装置132的主路由表中,并且网络控制器装置132可向同一网段(例如,子网、VLAN、VNID、VRF、VPN、EPG或者主机的其他集合)中的所有WAN边缘设备142通告所有的OMP路由。通过配设集中式控制策略,管理员或其他用户可影响哪些OMP路由被放置在网络控制器装置132的主路由表中,什么路由信息被通告给WAN边缘设备142,以及OMP路由在被放入主路由表中之前或者在被通告之前是否被修改。
当配设集中式控制策略时,网络控制器装置132可将路由信息重分发到WAN边缘设备142,或者修改存储在网络控制器装置132的主路由表中的或者由网络控制器装置132通告的路由信息。网络控制器装置132可通过在入站或出站方向(相对于网络控制器装置132而言)将控制策略应用于WAN中的特定站点来激活控制策略。在入站方向上应用集中式控制策略可过滤或修改由WAN边缘设备142通告的路由,然后再将其放入网络控制器装置132上的主路由表中。作为该过程中的第一步,路由可被接受或拒绝。接受的路由可按收到的或者按控制策略修改的被安装在网络控制器装置132上的主路由表中。被控制策略拒绝的路由可被默默地丢弃。
在出站方向上应用控制策略可过滤或修改网络控制器装置132重分发给WAN边缘设备142的路由。作为出站策略的第一步,路由可被接受或拒绝。对于接受的路由,集中式控制策略可在它们被网络控制器装置132分发之前修改路由。被出站策略拒绝的路由不被通告。
WAN边缘设备142可将从网络控制器装置132学习到的路由信息放入其本地路由表中,以便在转发数据流量时使用。因为网络控制器装置132可作为网络中的集中式路由系统操作,所以WAN边缘设备142不修改它们从网络控制器装置132学习的OMP路由信息。网络控制器装置132可定期从WAN边缘设备142接收OMP路由通告,并且在重计算和更新通过网络的路由路径之后,网络控制器装置132可向WAN边缘设备142通告新的路由信息。
在网络控制器装置132上配设的集中式控制策略可保留在网络控制器装置上,而不被下载到WAN边缘设备142。然而,由集中式控制策略产生的路由决策可以以路由通告的形式被传递给WAN边缘设备142,因此控制策略的效果可反映在WAN边缘设备142如何将数据流量引导到其目的地中。
本地化控制策略可在WAN边缘设备142上本地配设。本地化控制策略可类似于在传统路由器上配置的路由策略,例如如何在本地WAN站点内修改BGP和OSPF路由(或者其他路由协议)行为。本地化数据策略可允许对WAN边缘设备142上的一个或多个特定接口配设和应用访问列表。简单的访问列表可基于6元组匹配(例如,源和目的地IP地址和端口、DSCP字段和协议)来允许和限制访问,其方式与集中式数据策略相同。访问列表还可允许配设服务类别(class of service,CoS)、监管和镜像,这可控制数据流量如何流出和流入WAN边缘设备142的接口和接口队列。
集中式数据策略可应用到整个网络的数据流量的流动。当没有配设集中式数据策略时,特定网络段(例如,子网、VLAN、VNID、VRF、VPN、EPG或者其他网络段技术)内的所有前缀可以是从该网段可到达的。配设集中式数据策略可应用控制源和目的地之间的访问的6元组过滤器。与集中式控制策略一样,集中式数据策略可被配设在网络控制器装置132上,并且该配置可保留在网络控制器装置132上。数据策略的效果可反映在WAN边缘设备142如何将数据流量引导到其目的地中。然而,与控制策略不同,集中式数据策略可以以只读方式被推送给WAN边缘设备142。
在一些实施例中,可利用列表、策略定义(或策略)和策略应用来将集中式数据策略配置在网络控制器装置132上。列表可定义策略应用或匹配的目标。列表的一些示例可包括前缀列表(例如,用于策略的前缀的列表)、站点列表(例如,用于策略定义和策略应用的站点标识符的列表)、TLOC列表(例如,用于策略定义的TLOC的列表)以及VPN列表(例如,用于策略的VPN的列表)或者其他网络段的列表(例如,子网、VLAN、VNID、VRF、EPG或者其他网络分段技术)。策略定义(或策略)可控制控制和转发的各方面。策略定义(或策略)可包括不同类型的策略,例如控制策略、数据策略和基于区域的防火墙(Zone-based Firewall,ZFW)策略(例如,定义区域和控制区域之间的流量的策略)。策略应用可控制策略被应用到什么。策略应用可以是面向站点的,并且可由站点列表来定义。
图4图示了用于利用VPN来对网络进行分段的方案的示例的框图400。VPN可相互隔离,并且可以有其自己的转发表。接口或子接口可被明确地配置在单个VPN下,并且不能成为一个以上的VPN的一部分。标签可被用于OMP路由属性和封包封装中,其可识别封包所属的VPN。VPN编号可以是四字节的整数,其值从0到65530。在一些实施例中,每个WAN边缘设备142可包括传输VPN 402(例如,VPN编号0)和管理VPN 404(例如,VPN编号512)。传输VPN 402可包括一个或多个物理或虚拟网络接口(例如,千兆以太网网络接口408A和408B),它们分别连接到WAN传输网络(例如,互联网传输网络160和MPLS网络162)。可从传输VPN 402发起到网络控制器装置132的或者网络控制器装置132和网络协调器装置104之间的安全DTLS/TLS连接。此外,可在传输VPN 402内部配置静态或默认路由或者动态路由协议,以获得适当的下一跳信息,从而可建立控制平面130,并且IPSec隧道306(未示出)可连接到远程WAN站点。
管理VPN 404可通过管理网络接口410向和从网络协调器装置104、网络管理装置122、网络控制器装置132和/或WAN边缘设备142运载带外管理流量。在一些实施例中,管理VPN 404可不通过覆盖网络来运载。
除了传输VPN 402和管理VPN 404之外,每个WAN边缘设备142还可包括一个或多个其他服务VPN 406。服务VPN 406可包括一个或多个物理或虚拟网络接口(例如,千兆以太网网络接口408C和408D),这些接口连接到一个或多个本地WAN站点204(即,相对于WAN边缘设备142是本地的)并且运载数据流量。服务VPN 406可被配置为提供诸如OSPF或BGP、虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)、QoS、流量整形、监管等等之类的特征。在一些实施例中,通过将在WAN站点204处从网络控制器装置132接收到的OMP路由重分发到为服务VPN 406配置的路由协议中,可将数据流量通过IPSec隧道引导到其他WAN站点。进而,通过将服务VPN路由通告到OMP路由协议中,可将来自本地WAN站点204的路由通告到其他WAN站点,这些服务VPN路由可被发送到网络控制器装置132并被重分发到网络中的其他WAN边缘设备142。
图5图示了能够进行身份知晓路由的多域网络500的示例的框图。多域网络500包括园区管理域502A、WAN管理域502B和数据中心管理域502C(统称为502)。园区管理域502A可经由园区网络控制器504(例如,Cisco DNATM中心)对园区网络152和分支机构154进行管理控制,WAN管理域502B可经由WAN控制器132对WAN(例如,园区网络152和数据中心150之间的网络)(未明确示出)进行管理控制,并且数据中心管理域502C可经由数据中心网络控制器506(例如,应用策略基础设施控制器(Cisco APICTM))对数据中心150进行管理控制。也就是说,园区管理域502A可对WAN聚合设备208A和园区网络152或分支机构154中的其他网络设备512(例如,物理或虚拟交换机、路由器、网络装置、网络服务,等等)进行管理控制,WAN管理域502B可对WAN边缘设备142进行管理控制,并且数据中心管理域502C可对WAN聚合设备208B进行管理控制。如本文所使用的,数据中心150和园区网络152可被称为WAN管理域502B或WAN控制器132的WAN站点,因为WAN控制器132可通过WAN提供这些站点之间的相互连通。园区网络152和分支机构154可被称为园区管理域502A或园区网络控制器504的架构站点,因为园区网络控制器可在园区管理域内提供这些站点之间的相互连通。
在此示例中,WAN聚合设备208A可作为入口边缘设操作,用于接收从园区管理域502A之外的节点(例如,主机、网络设备,等等)到园区管理域内的节点(即,园区网络152和分支机构154)的流量,以及作为出口边缘网络设备操作,用于将流量从园区管理域502A内部的节点转发到园区管理域之外的节点。类似地,WAN聚合设备208B可作为入口边缘设备操作,用于接收从数据中心管理域502C之外的节点到数据中心管理域(即,数据中心150)内部的节点的流量,以及作为出口边缘设备操作,用于将流量从数据中心管理域502C内部的节点转发到数据中心管理域之外的节点。WAN边缘设备142也可作为入口边缘设备操作,用于接收从WAN管理域502B之外的节点到WAN管理域内的节点(例如,WAN边缘设备142和它们之间的中间节点)的流量,以及作为出口边缘设备操作,用于接收从WAN管理域502B内部的节点到WAN管理域之外的节点的流量。这可与网络设备516区别开来,网络设备516可能只能够经由WAN聚合设备208A连接到WAN。
园区网络152还可包括认证、授权和审计(Authentication,Authorization,andAuditing,AAA)服务508和控制节点510。AAA服务508可控制对计算资源的访问,促进网络策略的实施,审计使用情况,并且提供为服务收费所必需的信息。AAA服务508可与园区网络控制器504、WAN控制器132、数据中心网络控制器506以及包含关于用户、设备、事物、策略、计费的信息和类似信息的数据库和目录协调,以提供认证、授权和记账服务。在此示例中,AAA服务508可作为园区管理域502A、WAN管理域502B和数据中心管理域502C的身份和访问的集中式权力机构。然而,将会明白,在其他实施例中,AAA服务508也可共同定位于分支机构154、数据中心150或其他网络(例如,共同定位中心、云服务提供商网络(例如,IaaS、PaaS、SaaS,等等)中。在另一些实施例中,AAA服务508可分布在多个管理域502上。AAA服务508可利用各种技术,例如远程认证拨入用户服务(Remote Authentication Dial-In UserService,RADIUS)、Diameter等等,来与主机、网络设备、应用等等进行通信。AAA服务508的实现方式的示例是身份服务引擎(Identity Services Engine,ISE)。其他示例包括GOOGLE ACCOUNT或GOOGLE CLOUD IDENTITY、AMAZON WEB SERVICES(AWS)IDENTITY ANDACCESS MANAGEMENT(IAM)、FACEBOOK LOGIN、MICROSOFT ACTIVE DIRECTORY或AZUREACTIVE DIRECTORY、ARUBA CLEARPASS ACCESS MANAGEMENT SYSTEM、HUAWEI CLOUD IAM,等等。
用户身份、群组或组织身份、用户位置、客户端设备类型以及关于用户的其他情境信息可经由AAA服务508在管理域502之间共享。例如,AAA服务508和/或管理域502可经由应用编程接口(Application Programming Interface,API)(例如,宁静状态转移(RestfulState Transfer,REST)API、用于编程语言(例如,C++、GO、JAVA、JAVASCRIPT、NODE.JS、PHP、PYTHON、RUBY,等等)的软件开发工具包(Software Development Kit,SDK),等等)、命令行接口(Command Line Interface,CLI)、web应用(例如,经由web浏览器可访问的应用)、桌面应用、移动应用或“app”以及其他合适的接口来共享此信息。在一些实施例中,AAA服务508可将一种表示(例如,SGT)的用户或群组标识符映射到另一种表示(例如,EPG),反之亦然。
控制节点510可作为中央数据库操作,用于在所有用户、设备和事物附接到园区管理域502A时以及在它们在园区内四处漫游时跟踪它们。控制节点110可允许网络基础设施(例如,交换机、路由器、无线LAN控制器(Wireless LAN Controller,WLC),等等)查询数据库,以确定附接到园区管理域502A的用户、设备和事物的位置,而不是使用泛洪和学习机制。以这种方式,控制节点510可作为关于附接到园区管理域502A的每个主机在任何时间点位于何处的唯一真相来源来操作。除了跟踪特定的端点(例如,IPv4的/32地址,IPv6的/128地址,等等)以外,控制节点510还可跟踪更大的汇总路由器(例如,IP/掩码)。这种灵活性可帮助跨架构站点的汇总,并且提高整体可扩展性。此功能的实现方式的示例是LISP。
如多域网络500中所示并且如本领域普通技术人员所理解,每个管理域502在拓扑结构、节点类型、主要功能和能力、协议、安全漏洞、性能要求,等等方面可彼此非常不同。例如,多域网络500中的每个管理域502在策略平面520、数据平面522和控制平面524的每一者中使用单独的协议。园区管理域502A对于策略平面520可利用VXLAN封装实现SGT,对于数据平面522可利用VXLAN封装,对于控制平面524可利用LISP封装。WAN管理域502B可对于策略平面520在Meta Data(CMD)头部或MPLS标签内实现SGT,对于数据平面522实现VRF-Aware IPsec(有时也称为VRF-Lite)、MPLS VPN或者类似的封装技术,以及对于控制平面524实现OMP封装。数据中心管理域502C对于策略平面520可利用内部VXLAN(iVXLAN)封装实现EPG,对于数据平面522可利用iVXLAN封装,并且对于控制平面524可利用Oracles协议委员会(Council of Oracles Protocol,COOP)封装。尽管这些域之间存在实质性的差异,但仍有可能在多域网络500中基于用户身份或群组身份意识来定义、部署和维护端到端策略。
图6图示了用于实现跨多个管理域的身份知晓路由的过程600的示例。本领域普通技术人员将会理解,对于本文论述的任何过程,除非另有声明,否则在各种实施例的范围内,可以有额外的、更少的或者替换的步骤以类似或者替换的顺序执行,或者并行执行。过程600可至少部分由一个或多个网络控制器(例如,园区网络控制器504、WAN控制器132、数据中心网络控制器506,等等)、一个或多个网络设备(例如,WAN聚合设备208、WAN边缘设备142、其他边缘或边界设备,等等)、AAA服务(例如,AAA服务508)和主机(例如,主机206)以及在本公开各处论述的其他元素来执行。
过程600可开始于源主机(例如,主机206)从第一管理域(例如,园区管理域502A)中的多域网络(例如,多域网络500)的一端发起流量,该流量可通过第二管理域(例如,WAN管理域502B)被路由,并且最终目的地是第三管理域(例如,数据中心管理域502C)中的多域网络的另一端的目的地主机。为了示出流经多个管理域的流量可受到流程600的影响,图7图示了可用于跨多个管理域端到端传达用户或群组标识符的网络封包格式700的示例。源主机可生成原始封包702,用于传输到目的地主机。原始封包702可以是传输控制协议(Transmission Control Protocol,TCP)/IP封包,包括媒体访问控制(Media AccessControl,MAC)头部710、IP头部712和有效载荷714。在其他实施例中可使用其他L2/L3协议。
原始封包702在园区管理域502A或园区网络152内可采取的路径可取决于若干个因素,包括网络拓扑结构、网络或节点配置(例如,默认路由)、域内策略(例如,影响第一管理域内的路由和交换的策略)、域间策略(例如,影响不同管理域之间的路由和交换的策略),等等。从而,原始封包702在到达第一覆盖边缘设备(例如,WAN聚合设备208A)之前可穿越园区网络152的零个或更多个节点。在一些实施例中,源主机的下一跳或默认路由可以是园区网152的第一覆盖网络设备。第一覆盖边缘设备可执行原始封包702的封装,并且将封装后的封包路由到一个或多个下一跳,这一个或多个下一跳可包括与第一覆盖网络和第一覆盖边缘设备相对应的底层网络的零个或更多个节点(例如,网络设备512)。在第一覆盖网络设备(如果有的话)和第一覆盖边缘设备之间的节点可被称为底层(或中间)节点或设备,因为它们可不一定能够对封装封包进行解封装,但能够进行传统的L2/L3路由。在其他实施例中,主机的默认路由或下一跳可以是第一覆盖边缘设备。
域内策略也可影响原始封包从源主机到第一覆盖边缘设备的路径,例如允许或拒绝某些用户或群组的移动设备到第一管理域上的访问策略、基于身份的服务质量(QoS)或应用策略(例如,在生产推广期间,将去到来自质量保证(Quality Assurance,QA)团队的应用的流量优先于来自开发团队的流量),等等。从主机到第一覆盖边缘设备的路径也可取决于域间策略。例如,第一管理域可要求在出口前对流量执行某些网络服务(例如,负载平衡、防火墙、WAN优化,等等)。
无论是迂回到达(例如,并且首先要求解封装)还是直接到达,第一覆盖边缘设备都可确定用户或群组标识符,确定是否有任何域间策略适用于与原始封包702相关联的用户或群组,应用域间策略(如果有的话)以确定域间下一跳,并且对原始封包702执行域间封装以生成第一封装封包704。例如,第一覆盖边缘设备可从AAA服务(例如,AAA服务508)和/或经由来自第一网络控制器的路由接收用户或群组标识符和域间策略,以确定域间下一跳。支持穿越两个L2/L3网络的能力的封装的一种类型是VXLAN-GPO,并且用户或群组标识符的一种类型是SGT。从而,第一封装封包704可包括VXLAN-GPO封装,该VXLAN-GPO封装将原始封包702封装以外部MAC头部716A、外部IP头部718A、UDP头部720A和VXLAN头部722。VXLAN头部722可包括SGT 724,用于实现用户或群组身份知晓路由,以及VNID 726,用于实现进一步的网络分段。在其他实施例中也可使用其他类型的封装和用户或群组标识符。
SGT可基于主机的用户、群组、设备、位置和其他基于身份的属性被指派给主机。SGT可表示用户的访问权限,并且来自主机的流量可携带SGT信息。交换机、路由器、防火墙和其他网络设备可使用SGT,以经由分类、传输和实施,基于访问或安全性策略做出转发决策。分类可将SGT映射到主机,这可动态或静态地完成。动态分类可在接入层执行,并且可利用网络访问控制解决方案(例如,电气与电子工程师学会(IEEE)802.1X标准)来完成。SGT可通过主机的授权来指派。静态分类通常在数据中心通过对数据中心服务器所附接到的网络设备的配置来执行。静态分类的一些示例选项包括将IP地址、VLAN或端口映射到SGT或等同的用户或群组标识符(例如,EPG)。SGT可跟随流量经过网络,这可通过内联标签或SGT交换协议(SGT Exchange Protocol,SXP)来实现。利用内联标签,SGT可被嵌入在封包中。因为不是所有的网络设备都支持内联标签,所以SXP可用来在这种设备上传输SGT映射。实施可基于源和目的地SGT来实现允许或拒绝策略决策(例如,在网络设备上使用安全性群组ACL(Security Group ACL,SGACL),以及在防火墙上使用安全性群组防火墙(Security GroupFirewall,SGFW))。
作为出口边缘设备操作的第一覆盖边缘设备可被配置为通过将流量转发到在第二管理域或第二网络控制器(例如,WAN控制器132)的管理控制下的第二覆盖网络(例如,WAN)的一个或多个边缘入口设备(例如,WAN边缘设备142)来将流量路由过WAN。在步骤602,第二覆盖网络的边缘出口设备可接收包括原始封包702的第一封装封包704。
在步骤604,边缘出口设备可对第一封装封包进行解封装,以获得解封装封包(即,原始封包702)和用户或群组标识符。例如,第一边缘出口设备可能够处理在VXLAN-GPO封装的封包,并且可从第一封装封包704解析外部MAC头部716A、外部IP头部718A、UDP头部720A和VXLAN头部722。第一边缘出口设备可进一步处理VXLAN头部722以提取SGT 724和VNID726。然后,边缘出口设备可基于用户或群组标识符来确定是否有任何域内或域间策略适用于原始封包。在一些情况下,这可涉及第一管理域中的用户或群组标识符到第二管理域中的相应用户或群组标识符的映射。在其他情况中,AAA服务、第一网络控制器或第二网络控制器中的一个或多个可暴露接口,用于将身份意识从第一管理域扩展到第二管理域。在此示例中,用户或群组标识符可直接映射(例如,SGT到SGT),并且出口边缘设备可基于用户或群组标识符获得适用于原始封包702的策略。
在步骤606,边缘出口设备可基于用户或群组标识符应用策略(例如,域内策略或域间策略)以确定解封装封包的下一跳。例如,可以有一个域内策略,使高管的视频会议流量优先于普通员工,可确定原始封包702的下一跳。作为另一示例,可以有一个域间策略,通过健壮的IDS或IPS服务将流量从WAN路由到数据中心150,除非流量源自园区网络152的用户,在这种情况下,流量可通过不那么健壮的IDS或IPS来路由。
与原始封包702在第一管理域中的路径一样,第二管理域中的路径也可取决于WAN的拓扑结构、WAN边缘设备142的配置、域内策略、域间策略,等等。例如,通过第二管理域的路径可包括至少一对WAN边缘设备142,其中包括一入口WAN边缘设备和一出口WAN边缘设备。在其他情况中,该路径可进一步包括一个或多个中间WAN边缘设备。在任一情况下,在步骤608,入口WAN边缘设备可封装第一解封装封包以获得第二封装封包706,其包括对应于下一跳的第二头部并且包括用户或群组标识符。在此示例中,WAN边缘设备142可利用VRF-知晓IPsec或MPLS VPN来获得第二封装封包706。
VRF知晓IPsec可用于VRF或MPLS VPN之间的IPsec隧道,使用单个面向公众的地址。VRF可表示每VPN路由信息仓库,该信息仓库定义了附接到WAN边缘设备(例如,WAN边缘设备142)的WAN站点(例如,WAN站点204)的VPN成员资格。VRF可包括IP路由表、转发表(例如,从快速转发(Express Forwarding,CEF)得出)、一组使用转发表的接口以及控制包括在路由表中的信息的一组规则和路由协议参数。可为每个VPN维护一组单独的路由和CEF表。VRF知晓IPsec为两个VRF(或MPLS VPN)域定义了一条IPsec隧道,这两个域是由外部封装封包表示的前门VRF(Front Door VRF,FVRF)以及由内部受保护的IP封包表示的内部VRF(Inside VRF,IVRF)。也就是说,IPsec隧道的本地节点可属于FVRF,而内部封包的源和目的地地址可属于IVRF。从FVRF的角度来看,VPN封包可从服务提供商MPLS骨干网络到达提供商边缘(Provider Edge,PE)设备(例如,第二管理域的一个或多个中间节点),并且可通过面向互联网的接口来进行路由。该封包可与安全性策略数据库(SecurityPolicy Database,SPD)进行匹配,并且该封包被IPsec封装。SPD可包括IVRF和ACL。然后可利用FVRF路由表来转发IPsec封装封包。从IVRF的角度来看,IPsec封装封包可从远程IPsec端点到达PE设备。IPsec可对安全性参数索引(Security Parameter Index,SPI)、目的地和协议执行安全性关联(Security Association,SA)查询。封包可利用SA来进行解封装,然后与IVRF相关联。封包可利用IVRF路由表来进行转发。IPsec可对安全性参数索引(SPI)、目的地和协议执行安全性关联(SA)查询。
成对的WAN边缘设备142可在交换数据流量之前在它们之间建立IPsec隧道。然而,WAN边缘设备142可经由DTLS/TLS隧道304交换数据平面密钥,而不是利用互联网密钥交换(IKE)。每个WAN边缘设备142可周期性地为其数据路径生成高级加密标准(AdvancedEncryption Standard,AES)密钥(例如,每个TLOC一个密钥),并且在OMP路由内向WAN控制器132传输密钥。这些封包可包括WAN控制器132用来确定网络拓扑结构的信息,其中包括每个WAN边缘设备的TLOC和AES密钥。WAN控制器132可将OMP路由作为可达性通告发送给其他WAN边缘网络设备。以这种方式,WAN控制器132可在WAN上为WAN边缘设备142分发AES密钥。虽然密钥交换是对称的,但WAN控制器132可以非对称方式进行密钥交换,以简化和提高密钥交换过程的可扩展性,并且避免使用按对密钥。
在一些实施例中,成对的WAN边缘设备142可加密包括VPN标识符的MPLS头部730,元数据头部(例如,CMD)732、内部MAC头部710、内部IP头部712、有效载荷714和IPSec尾部734的一部分,并且认证IPSec头部728、MPLS头部730、元数据头部732、内部MAC头部710、内部IP头部712、有效载荷714和IPSec尾部734的一部分。例如,一对WAN边缘设备142中的第一个(例如,入口WAN边缘设备或倒数第二个WAN边缘设备)可使用IPSec来加密MPLS头部730、元数据头部732、内部头部710和712以及有效载荷714,并且将计算出的加密散列或摘要在有效载荷714的末端放入IPSec尾部734中。该对WAN边缘设备142中的第一个也可对IPSec头部728、MPLS头部730(包括VPN标识符736)、元数据头部732(包括SGT 724)、内部MAC头部710、内部IP头部712、有效载荷714以及包括加密散列或摘要数据的IPSec尾部734的该部分应用认证过程,以生成认证散列或摘要数据并且附加在封包的末端。该对WAN边缘设备142中的第二个(例如,出口或最后一个WAN边缘设备)可执行相同的校验和,并且接受校验和匹配的封包,放弃不匹配的封包。
在此示例中,VPN标识符736被封装为MPLS头部730中的MPLS标签,并且SGT 724可被封装为元数据头部732中的元数据字段。在其他实施例中,VPN标识符738和SGT 724都可被封装为MPLS标签。在其他实施例中也可使用各种其他组合。
过程600可继续到步骤610,在该步骤中,第二封装封包可被转发到其下一跳。如上所述,下一跳可以是中间WAN边缘设备,在这种情况下,每个WAN边缘设备可在路径的每个节点处加密并要求认证,直到原始封包到达最后或出口的WAN边缘设备为止。
在步骤612,出口WAN边缘设备可处理从倒数第二个WAN边缘设备接收到的IPsec封装封包,以获得(至少)第二解封装封包。这可包括对IPsec封装封包进行解封装、解密和认证,以获得原始封包702、SGT 724和VPN标识符738。这还可包括将SGT映射到EPG 742或等同的用户或群组标识符,并且将VPN标识符738映射到VNID 744,应用任何适用的策略以基于用户或群组标识符确定第二域间下一跳,并且封装原始封包702、EPG 742和VNID 744。在一些实施例中,出口WAN边缘设备可在第二解封装封包上应用iVXLAN封装以获得(至少)第三封装封包708。例如,第三封装封包可包括(至少)第三外部MAC头部716C、第三外部IP头部718C、第三UDP头部720C、iVXLAN头部746、内部MAC头部710、内部IP头部712以及有效载荷714。iVXLAN头部746可包括EPG 742和VNID 744。
过程600可结束于步骤614,在该步骤中出口WAN边缘设备可将第三封装封包转发到第三管理域(例如,数据中心管理域502C)的入口边缘设备(例如,WAN聚合设备208B)。入口边缘设备可接收第三封装封包,对第三封装封包进行解封装以获得(至少)第四解封装封包(例如,原始封包702)、用户或群组标识符(例如,EPG 742和虚拟网络标识符(例如,VNID744),基于用户或群组标识符应用适用于原始封包的任何策略,并且将原始封包转发到目的地主机。类似的过程可反向执行,用于路由返回流量。其他实施例可包括具有不同拓扑结构的管理域或网络(例如,园区-WAN-分支、DC-WAN-DC、园区-DC、DC-WAN-分支,等等)、额外的管理域(包括外部域或者不在单一网络运营者的管理控制下的域)、更少的管理域,等等,但本领域的普通技术人员将理解如何将本公开的教导应用于这些其他实施例。
在一些实施例中,网络可包括接口(例如,REST API、SDK、CLI、web应用、桌面应用,等等),用于定义可跨多个管理域应用的策略。例如,管理员可利用该接口来定义在每个管理域上端到端适用的单个策略、适用于两个或更多个管理域的单个策略和适用于额外管理域的一个或多个额外策略、每个域的单独策略、可组合多个基于身份的属性(例如,应用和身份、QoS和群组身份、用户身份和位置,等等)的策略,以及各种其他组合。该接口可解析策略,并且提出关于可能相互冲突的策略的分析,关于如何优先考虑策略的建议,关于组合策略的建议,关于改进可能存在安全性缺口的策略的建议,等等。
如上所述,传统的应用知晓路由可限于基于封包头部信息(例如,目的地地址、端口)和/或深度封包检查的粗略流量分类。也就是说,传统的应用知晓路由可支持一个策略,即特定应用的所有流量都应通过特定路径来进行路由。然而,通过使用本公开中论述的技术,通过在选择跨一个或多个管理域的最佳路径时,也将用户/群组与应用一起考虑到,网络运营者可定义更细化的应用知晓策略。例如,网络运营者可定义策略,将访客用户和特定SaaS网络之间的流量通过互联网路径路由,将工程师和SaaS网络之间的流量通过MPLS路由,以及将IoT设备和SaaS网络提供商之间的流量通过LTE路径路由。
图8图示了网络设备800(例如,交换机、路由器、网络装置,等等)的示例。网络设备800可包括主中央处理单元(central processing unit,CPU)802,接口804和总线806(例如,外围组件互连(Peripheral Component Interconnect,PCI)总线)。当在适当的软件或固件的控制下行动时,CPU 802可负责执行封包管理、差错检测和/或路由功能。CPU 802最好是在包括操作系统和任何适当应用软件在内的软件的控制下完成所有这些功能。CPU802可包括一个或多个处理器808,例如来自摩托罗拉微处理器家族或者无联锁管线级微处理器(Microprocessor without Interlocked Pipelined Stages,MIPS)微处理器家族的处理器。在替换实施例中,处理器808可以是专门设计的硬件,用于控制网络设备800的操作。在一实施例中,存储器810(例如非易失性随机存取存储器(RAM)和/或只读存储器(ROM))也可形成CPU 802的一部分。然而,有许多不同的方式可将存储器耦合到系统。
接口804可作为接口卡(有时被称为线路卡)提供。接口804可控制网络上数据封包的发送和接收,并且有时支持与网络设备800一起使用的其他外围设备。可提供的接口有以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口,等等。此外,可提供各种非常高速的接口,例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传送模式(Asynchronous Transfer Mode,ATM)接口、高速串行接口(High-Speed SerialInterface,HSSI)、SONET上的封包(Packet Over SONET,POS)接口、光纤分布式数据接口(Fiber Distributed Data Interface,FDDI),等等。接口804可包括适合与适当的媒体通信的端口。在一些情况下,接口804还可包括独立的处理器,并且在一些情况中包括易失性RAM。独立处理器可控制通信密集型任务,例如封包交换、媒体控制和管理。通过为通信密集型任务提供单独的处理器,接口804可允许CPU 802高效地执行路由计算、网络诊断、安全性功能,等等。
虽然图8所示的系统是一实施例的网络设备的示例,但它绝不是可实现主题技术的唯一网络设备体系结构。例如,也可使用具有单个处理器的体系结构,该处理器可处理通信以及路由计算和其他网络功能。另外,其他类型的接口和媒体也可与网络设备800一起使用。
无论网络设备的配置如何,它都可采用一个或多个存储器或存储器模块(包括存储器810),这些存储器或存储器模块被配置为存储用于通用网络操作的程序指令和本文描述的用于漫游、路由优化和路由功能的机制。程序指令可控制操作系统和/或一个或多个应用的操作。一个或多个存储器也可被配置为存储表格,例如移动性绑定、注册和关联表。
图9A和图9B图示了根据各种实施例的系统。本领域的普通技术人员在实践各种实施例时,将清楚更适当的系统。本领域的普通技术人员也会很容易明白其他系统是可能的。
图9A图示了总线计算系统900的示例,其中系统的组件利用总线905与彼此进行电通信。计算系统900可包括处理单元(CPU或处理器)910和系统总线905,该系统总线910可将包括系统存储器915(例如只读存储器(ROM)920和随机存取存储器(RAM)925)在内的各种系统组件与处理器810耦合。计算系统900可包括与处理器912直接连接、紧邻处理器910或者集成为处理器810的一部分的高速存储器的缓存812。计算系统900可将数据从存储器915、ROM 920、RAM 925和/或存储设备930拷贝到缓存912以供处理器910迅速访问。这样,缓存912可提供避免处理器在等待数据的同时延迟的性能提升。这些和其他模块可控制处理器910执行各种动作。也可以有其他系统存储器915供使用。存储器915可包括具有不同性能特性的多种不同类型的存储器。处理器910可包括任何通用处理器和硬件模块或软件模块,例如存储在存储设备930中的模块1932、模块2 934和模块3 936,它们被配置为控制处理器910以及专用处理器,在专用处理器中软件指令被包含到实际处理器设计中。处理器910实质上可以是完全独立自给的计算系统,包含多个核心或处理器、总线、存储器控制器、缓存,等等。多核处理器可以是对称的或非对称的。
为了使得用户能够与计算系统900交互,输入设备945可表示任意数目的输入机制,例如用于话音的麦克风、用于手势或图形输入的触摸保护屏、键盘、鼠标、运动输入、话音,等等。输出设备935也可以是本领域技术人员已知的多种输出机制中的一个或多个。在一些情况中,多模式系统可使得用户能够提供多种类型的输入来与计算系统900通信。通信接口940可控制并管理用户输入和系统输出。对于在任何特定硬件布置上操作可没有限制,因此这里的基本特征可容易地在改进的硬件或固件布置被开发出来时被其所替代。
存储设备930可以是非易失性存储器,并且可以是硬盘或者可存储计算机可访问的数据的其他类型的计算机可读介质,例如磁带、闪存卡、固态存储器设备、数字多功能盘、墨盒、随机存取存储器、只读存储器及其混合体。
如上所述,存储设备930可包括用于控制处理器910的软件模块932、934、936。设想到了其他硬件或软件模块。存储设备930可连接到系统总线905。在一些实施例中,执行特定功能的硬件模块可包括存储在计算机可读介质中的软件组件,该软件组件结合诸如处理器910、总线905、输出设备935等等之类的必要硬件组件执行该功能。
图9B图示了根据一实施例可使用的芯片集计算系统950的示例体系结构。计算系统950可包括处理器955,代表任何数目的物理和/或逻辑上不同的资源,能够执行被配置为执行所识别的计算的软件、固件和硬件。处理器955可与芯片集960通信,该芯片集960可控制对处理器955的输入和输出。在此示例中,芯片集960可将信息输出到输出设备965,例如显示器,并且可向存储设备970读取和写入信息,存储设备970可包括磁介质、固态介质和其他适当的存储介质。芯片集960还可从RAM 975读取数据以及向RAM 975写入数据。可提供用于与多种用户接口组件985相接口的桥接器980,以与芯片集960相接口。用户接口组件985可包括键盘、麦克风、触摸检测和处理电路、指点设备,例如鼠标,等等。对计算系统950的输入可来自多种来源的任何一种,由机器生成和/或由人类生成。
芯片集960还可与一个或多个通信接口990相接口,这些接口可具有不同的物理接口。通信接口990可包括用于有线和无线局域网(LAN)、用于宽带无线网络以及个人区域网络的接口。用于生成、显示和使用本文公开的技术的方法的一些应用可包括通过物理接口接收有序的数据集,或者由机器本身通过处理器955分析存储在存储设备970或RAM 975中的数据而生成。另外,计算系统950可经由用户接口组件985接收来自用户的输入,并且通过利用处理器955解释这些输入来执行适当的功能,例如浏览功能。
将会明白,计算系统900和950可分别具有一个以上的处理器910和955,或者成为联网在一起的计算设备的群组或集群的一部分,以提供更大的处理能力。
为了说明清楚,在一些情况中,各种实施例可被呈现为包括个体的功能块,包括由设备、设备组件、以软件体现的方法中的步骤或例程或者硬件和软件的组合构成的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可包括包含比特流等等的线缆或者无线信号。然而,当提到时,非暂态计算机可读存储介质明确排除了诸如能量、载波信号、电磁波和信号本身之类的介质。
根据上述示例的方法可利用存储在计算机可读介质中或者以其他方式从计算机可读介质可得的计算机可执行指令来实现。这种指令可包括例如使得或者以其他方式配置通用计算机、专用计算机或者专用处理设备执行特定的一个功能或一组功能的指令和数据。所使用的计算机资源的一些部分可以是通过网络可访问的。计算机可执行指令可以是例如二进制文件、中间格式指令(比如汇编语言)、固件或者源代码。可用于存储指令、使用的信息和/或在根据描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、提供有非易失性存储器的通用串行总线(USB)设备、联网存储设备,等等。
实现根据这些公开的方法的设备可包括硬件、固件和/或软件,并且可采取各种外形参数。这种外形参数的一些示例包括通用计算设备,比如服务器、机架安装设备、桌面型计算机、膝上型计算机,等等,或者通用移动计算设备,比如平板计算机、智能电话、个人数字助理、可穿戴设备,等等。本文描述的功能也可体现在外围设备或者附加卡中。作为进一步示例,这种功能也可在电路板上的不同芯片或者在单一设备中执行的不同过程间实现。
指令、用于传达这种指令的介质、用于执行指令的计算资源以及用于支持这种计算资源的其他结构是提供这些公开中描述的功能的手段。
虽然各种示例和其他信息被用来说明所附权利要求的范围内的各个方面,但不应基于这种示例中的特定特征或布置来暗示对权利要求的限制,因为本领域普通技术人员将能够使用这些示例来得出各种各样的实现方式。另外,虽然一些主题可能已经用结构特征和/或方法步骤的示例所特有的语言来描述,但要理解,所附权利要求中定义的主题不一定限于这些描述的特征或者动作。例如,这种功能可以以不同的方式分布,或者在本文所识别的组件以外的其他组件中执行。更确切地说,所描述的特征和步骤是作为所附权利要求的范围内的系统和方法的组成部分的示例被公开。
Claims (22)
1.一种由计算机实现的方法,包括:
由在第二网络控制器的管理控制下的第二覆盖网络的入口边缘设备从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包;
对所述第一封装封包进行解封装以获得所述原始封包和用户或群组标识符;
向所述原始封包应用与所述用户或群组标识符匹配的用户或群组策略以为所述原始封包确定下一跳;
封装所述原始封包和所述用户或群组标识符以生成第二封装封包;并且
将所述第二封装封包转发到所述下一跳。
2.如权利要求1所述的由计算机实现的方法,其中所述第一封装封包或所述第二封装封包的至少一者是由虚拟可扩展局域网(VXLAN)-群组策略选项(GPO)封装来封装的。
3.如权利要求1或2所述的由计算机实现的方法,其中所述用户或群组策略是在所述第一覆盖网络和所述第二覆盖网络中实施的端到端用户或群组策略。
4.如权利要求1所述的由计算机实现的方法,其中所述用户或群组标识符被包括在所述第一封装封包或所述第二封装封包的VXLAN头部、元数据头部或者多协议标签交换(MPLS)标签的至少一者中。
5.如权利要求1所述的由计算机实现的方法,其中所述第一封装封包或所述第二封装封包的至少一者包括虚拟网络标识符(VNID)、虚拟路由和转发(VRF)标识符或者虚拟专用网(VPN)标识符。
6.如权利要求1所述的由计算机实现的方法,还包括:
在所述入口边缘设备和所述第二覆盖网络的出口边缘设备之间建立隧道,
其中所述第二封装封包通过所述隧道被转发到所述下一跳。
7.如权利要求1所述的由计算机实现的方法,还包括:
由所述第二覆盖网络的出口边缘设备接收所述第二封装封包;
对所述第二封装封包进行解封装以获得所述原始封包和所述用户或群组标识符;
向所述原始封包应用与所述用户或群组标识符匹配的第二用户或群组策略以为所述原始封包确定第二下一跳;
封装所述原始封包和所述用户或群组标识符以生成第三封装封包;并且
将所述第三封装封包转发到所述第二下一跳。
8.如权利要求7所述的由计算机实现的方法,还包括:
由在所述第一覆盖网络或者第三覆盖网络的管理控制下的第二入口边缘设备从所述出口边缘设备接收所述第三封装封包;
对所述第三封装封包进行解封装以获得所述原始封包和所述用户或群组标识符;
向所述原始封包应用与所述用户或群组标识符匹配的第三用户或群组策略以为所述原始封包确定第三下一跳;并且
将所述原始封包转发到所述第三下一跳。
9.如权利要求1所述的由计算机实现的方法,还包括:
将所述用户或群组标识符从安全性群组标签(SGT)映射到端点群组(EPG)。
10.如权利要求1所述的由计算机实现的方法,其中所述用户或群组策略还匹配生成了所述原始封包的应用。
11.如权利要求1所述的由计算机实现的方法,还包括:
通过底层网络的一个或多个中间节点将所述第一封装封包路由到所述第一覆盖网络。
12.如权利要求1所述的由计算机实现的方法,还包括:
通过底层网络的一个或多个节点将所述第二封装封包路由到所述第二覆盖网络。
13.一种系统,包括:
一个或多个处理器;以及
包括指令的存储器,所述指令当被所述一个或多个处理器执行时,使得所述系统:
从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包,其中所述系统在第二网络控制器的管理控制下;
对所述第一封装封包进行解封装以获得所述原始封包和用户或群组标识符;
向所述原始封包应用与所述用户或群组标识符匹配的用户或群组策略以为所述原始封包确定下一跳;
封装所述原始封包和所述用户或群组标识符以生成第二封装封包;并且
将所述第二封装封包转发到所述下一跳。
14.如权利要求13所述的系统,还包括进一步指令,所述进一步指令当被所述一个或多个处理器执行时还使得所述系统:
与在所述第二网络控制器的管理控制下的出口边缘设备建立隧道,
其中所述第二封装封包通过所述隧道被转发到所述下一跳。
15.如权利要求13或14所述的系统,还包括进一步指令,所述进一步指令当被所述一个或多个处理器执行时还使得所述系统:
将所述用户或群组标识符从安全性群组标签(SGT)映射到端点群组(EPG)。
16.如权利要求13所述的系统,其中所述用户或群组策略还匹配生成了所述原始封包的应用。
17.一种非暂态计算机可读存储介质,包括指令,所述指令在被系统的一个或多个处理器执行时,使得所述系统:
从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包,其中所述系统在第二网络控制器的管理控制下;
对所述第一封装封包进行解封装以获得所述原始封包和用户或群组标识符;
向所述原始封包应用与所述用户或群组标识符匹配的用户或群组策略以为所述原始封包确定下一跳;
封装所述原始封包和所述用户或群组标识符以生成第二封装封包;并且
将所述第二封装封包转发到所述下一跳。
18.如权利要求17所述的非暂态计算机可读存储介质,其中所述第一封装封包或所述第二封装封包的至少一者是由虚拟可扩展局域网(VXLAN)-群组策略选项(GPO)封装来封装的。
19.如权利要求17或18所述的非暂态计算机可读存储介质,其中所述用户或群组标识符被包括在VXLAN头部、元数据头部或者多协议标签交换(MPLS)标签的至少一者中。
20.一种装置,包括:
用于由在第二网络控制器的管理控制下的第二覆盖网络的入口边缘设备从在第一网络控制器的管理控制下的第一覆盖网络的出口边缘设备接收包括原始封包的第一封装封包的装置;
用于对所述第一封装封包进行解封装以获得所述原始封包和用户或群组标识符的装置;
用于向所述原始封包应用与所述用户或群组标识符匹配的用户或群组策略以为所述原始封包确定下一跳的装置;
用于封装所述原始封包和所述用户或群组标识符以生成第二封装封包的装置;以及
用于将所述第二封装封包转发到所述下一跳的装置。
21.根据权利要求20所述的装置,还包括用于实现根据权利要求2至12的任何一项所述的方法的装置。
22.一种包括指令的计算机程序、计算机程序产品或计算机可读介质,所述指令当被计算机执行时使得所述计算机执行如权利要求1至12的任何一项所述的方法的步骤。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862774067P | 2018-11-30 | 2018-11-30 | |
US62/774,067 | 2018-11-30 | ||
US16/535,519 | 2019-08-08 | ||
US16/535,519 US10999197B2 (en) | 2018-11-30 | 2019-08-08 | End-to-end identity-aware routing across multiple administrative domains |
PCT/US2019/062292 WO2020112448A1 (en) | 2018-11-30 | 2019-11-19 | End-to-end identity-aware routing across multiple administrative domains |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113169930A CN113169930A (zh) | 2021-07-23 |
CN113169930B true CN113169930B (zh) | 2022-12-27 |
Family
ID=68808633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980078211.8A Active CN113169930B (zh) | 2018-11-30 | 2019-11-19 | 跨多个管理域的端到端身份知晓路由 |
Country Status (7)
Country | Link |
---|---|
US (1) | US10999197B2 (zh) |
EP (1) | EP3888307A1 (zh) |
JP (1) | JP7482121B2 (zh) |
CN (1) | CN113169930B (zh) |
AU (1) | AU2019388833A1 (zh) |
CA (1) | CA3120685A1 (zh) |
WO (1) | WO2020112448A1 (zh) |
Families Citing this family (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
US10749711B2 (en) | 2013-07-10 | 2020-08-18 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
US11252079B2 (en) | 2017-01-31 | 2022-02-15 | Vmware, Inc. | High performance software-defined core network |
US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
US11102032B2 (en) | 2017-10-02 | 2021-08-24 | Vmware, Inc. | Routing data message flow through multiple public clouds |
US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US11089111B2 (en) | 2017-10-02 | 2021-08-10 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
US10880121B1 (en) * | 2019-03-29 | 2020-12-29 | Juniper Networks, Inc. | Provisioning QOS behavior on tunnel endpoints |
US10826775B1 (en) * | 2019-06-19 | 2020-11-03 | Cisco Technology, Inc. | Policy plane integration across multiple domains |
US11635990B2 (en) | 2019-07-01 | 2023-04-25 | Nutanix, Inc. | Scalable centralized manager including examples of data pipeline deployment to an edge system |
US11501881B2 (en) | 2019-07-03 | 2022-11-15 | Nutanix, Inc. | Apparatus and method for deploying a mobile device as a data source in an IoT system |
US11018995B2 (en) | 2019-08-27 | 2021-05-25 | Vmware, Inc. | Alleviating congestion in a virtual network deployed over public clouds for an entity |
US11611507B2 (en) | 2019-10-28 | 2023-03-21 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
US11206206B2 (en) | 2019-11-26 | 2021-12-21 | T-Mobile Usa, Inc. | Container routing algorithm using OSPF |
US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
US11277203B1 (en) * | 2020-01-22 | 2022-03-15 | Architecture Technology Corporation | Hybrid communications based upon aerial networks |
US11438789B2 (en) | 2020-01-24 | 2022-09-06 | Vmware, Inc. | Computing and using different path quality metrics for different service classes |
CN113452471A (zh) * | 2020-03-26 | 2021-09-28 | 伊姆西Ip控股有限责任公司 | 用于数据处理的方法、电子设备以及计算机程序产品 |
US11956224B2 (en) | 2020-06-11 | 2024-04-09 | Bank Of America Corporation | Using machine-learning models to authenticate users and protect enterprise-managed information and resources |
US11245641B2 (en) | 2020-07-02 | 2022-02-08 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
CN113923075A (zh) * | 2020-07-09 | 2022-01-11 | 华为技术有限公司 | 一种数据传输方法和装置 |
US11595306B2 (en) * | 2020-07-22 | 2023-02-28 | CAST AI Group, Inc. | Executing workloads across multiple cloud service providers |
US11363124B2 (en) | 2020-07-30 | 2022-06-14 | Vmware, Inc. | Zero copy socket splicing |
US11343180B2 (en) | 2020-08-14 | 2022-05-24 | Cisco Technology, Inc. | Network service access and data routing based on assigned context |
CN114338541A (zh) | 2020-09-30 | 2022-04-12 | 华为技术有限公司 | 一种流量控制方法、设备及介质 |
US11991076B1 (en) | 2020-10-01 | 2024-05-21 | Cisco Technology, Inc. | Optimized MVPN route exchange in SD-WAN environments |
US11070594B1 (en) * | 2020-10-16 | 2021-07-20 | Tempered Networks, Inc. | Applying overlay network policy based on users |
US10999154B1 (en) | 2020-10-23 | 2021-05-04 | Tempered Networks, Inc. | Relay node management for overlay networks |
US11726764B2 (en) | 2020-11-11 | 2023-08-15 | Nutanix, Inc. | Upgrade systems for service domains |
US11665221B2 (en) | 2020-11-13 | 2023-05-30 | Nutanix, Inc. | Common services model for multi-cloud platform |
US11444865B2 (en) | 2020-11-17 | 2022-09-13 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
US11777760B2 (en) * | 2020-12-30 | 2023-10-03 | Hughes Network Systems, Llc | VPN classification to reduce usage costs while retaining responsiveness |
US20220224638A1 (en) * | 2021-01-08 | 2022-07-14 | Hewlett Packard Enterprise Development Lp | Preventing generation of duplicate network routes in a software defined wide area network |
US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
US11736585B2 (en) | 2021-02-26 | 2023-08-22 | Nutanix, Inc. | Generic proxy endpoints using protocol tunnels including life cycle management and examples for distributed cloud native services and applications |
US20220303231A1 (en) * | 2021-03-22 | 2022-09-22 | Vmware, Inc. | Packet fragmentation using outer header |
US11310146B1 (en) | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
US20220329603A1 (en) * | 2021-04-07 | 2022-10-13 | Vmware, Inc. | Auto-security for network expansion using forward references in multi-site deployments |
KR20230051274A (ko) * | 2021-04-08 | 2023-04-17 | 시스코 테크놀러지, 인크. | 클라우드 리소스들에 대한 자동화된 접속성 |
US11582144B2 (en) | 2021-05-03 | 2023-02-14 | Vmware, Inc. | Routing mesh to provide alternate routes through SD-WAN edge forwarding nodes based on degraded operational states of SD-WAN hubs |
US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
US11671282B2 (en) * | 2021-05-24 | 2023-06-06 | Hewlett Packard Enterprise Development Lp | Method and system for dynamically activating virtual networks in a distributed tunnel fabric |
US11570042B2 (en) * | 2021-06-15 | 2023-01-31 | Kyndryl, Inc. | Software-defined network controller communication flow |
US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
US11750498B2 (en) | 2021-07-15 | 2023-09-05 | Microsoft Technology Licensing, Llc | Guarantying SLA thru edge cloud path orchestration |
US11570102B1 (en) | 2021-07-15 | 2023-01-31 | Microsoft Technology Licensing, Llc | Network diagnostic to control path between partner network and WAN |
US11671375B2 (en) * | 2021-07-15 | 2023-06-06 | Verizon Patent And Licensing Inc. | Systems and methods for software defined hybrid private and public networking |
US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
US20230025586A1 (en) * | 2021-07-24 | 2023-01-26 | Vmware, Inc. | Network management services in a secure access service edge application |
EP4282141A1 (en) * | 2021-07-24 | 2023-11-29 | VMware, Inc. | Network management services in a point-of-presence |
US11652825B2 (en) | 2021-08-09 | 2023-05-16 | International Business Machines Corporation | Packet authentication in a VXLAN system |
US11924160B2 (en) | 2021-08-11 | 2024-03-05 | Cisco Technology, Inc. | Application awareness in a data network with network address translation |
CN114374862A (zh) * | 2021-08-11 | 2022-04-19 | 帕科视讯科技(杭州)股份有限公司 | 一种基于iptv的epg网页安全访问系统及方法 |
CN113709892B (zh) * | 2021-09-10 | 2024-04-30 | 深圳互联先锋科技有限公司 | 一种基于sd-wan网络的拟二层传输方法和系统 |
US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
US20230124947A1 (en) * | 2021-10-19 | 2023-04-20 | Cisco Technology, Inc. | Load balancing application traffic with predictive goodput adaptation |
EP4175257A1 (en) * | 2021-10-26 | 2023-05-03 | Huawei Technologies Co., Ltd. | Packet processing method, apparatus, and system, and storage medium |
US20230164021A1 (en) * | 2021-11-22 | 2023-05-25 | Google Llc | Sharded SDN Control Plane With Authorization |
US20230188987A1 (en) * | 2021-12-10 | 2023-06-15 | Cisco Technology, Inc. | Systems and Methods for Detecting Domain Changes in an SD-WAN Environment |
US20230198830A1 (en) * | 2021-12-14 | 2023-06-22 | Celona, Inc. | Method and Apparatus for Implementation and Use of High Availability Clusters |
US11778038B2 (en) | 2021-12-14 | 2023-10-03 | Cisco Technology, Inc. | Systems and methods for sharing a control connection |
CN114338501B (zh) * | 2021-12-23 | 2023-08-11 | 中国电信股份有限公司 | 对服务链网络调整网络拓扑的方法和装置、介质、控制器 |
CN114374427A (zh) * | 2022-01-19 | 2022-04-19 | 苏州全时空信息技术有限公司 | 软件定义的中低轨卫星网络中控制器动态部署方法及系统 |
US11991152B2 (en) * | 2022-02-09 | 2024-05-21 | Hewlett Packard Enterprise Development Lp | Bypassing IKE firewall for cloud-managed IPSec keys in SDWAN fabric |
US11824973B2 (en) * | 2022-02-14 | 2023-11-21 | Fortinet, Inc. | Systems and methods for enhanced key security in an SD-WAN network environment |
US20230318866A1 (en) * | 2022-03-31 | 2023-10-05 | Cisco Technology, Inc. | Systems and Methods for Providing SDWAN IP Multicast without a Rendezvous Point |
CN115037573B (zh) * | 2022-05-25 | 2023-08-08 | 天翼云科技有限公司 | 一种网络互联方法、装置、设备及存储介质 |
US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
CN115664870B (zh) * | 2022-12-28 | 2023-04-07 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306333A (zh) * | 2014-06-30 | 2016-02-03 | 瞻博网络公司 | 跨越多个网络的服务链接 |
US9467478B1 (en) * | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
CN107925623A (zh) * | 2015-08-04 | 2018-04-17 | 诺基亚技术有限公司 | 覆盖网络的互连 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9667539B2 (en) | 2011-01-17 | 2017-05-30 | Alcatel Lucent | Method and apparatus for providing transport of customer QoS information via PBB networks |
US9444651B2 (en) * | 2011-08-17 | 2016-09-13 | Nicira, Inc. | Flow generation from second level controller to first level controller to managed switching element |
US9898317B2 (en) * | 2012-06-06 | 2018-02-20 | Juniper Networks, Inc. | Physical path determination for virtual network packet flows |
US9178715B2 (en) * | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US9083650B2 (en) * | 2012-10-16 | 2015-07-14 | Cable Television Laboratories, Inc. | Overlay network |
US9240944B2 (en) * | 2012-10-19 | 2016-01-19 | Cisco Technology, Inc. | Overlay services in communication networks |
US9019837B2 (en) | 2013-02-19 | 2015-04-28 | Cisco Technology, Inc. | Packet modification to facilitate use of network tags |
US9197551B2 (en) | 2013-03-15 | 2015-11-24 | International Business Machines Corporation | Heterogeneous overlay network translation for domain unification |
US9438506B2 (en) * | 2013-12-11 | 2016-09-06 | Amazon Technologies, Inc. | Identity and access management-based access control in virtual networks |
US9565034B2 (en) * | 2013-12-11 | 2017-02-07 | Cisco Technology, Inc. | System and method for scalable inter-domain overlay networking |
US10560314B2 (en) * | 2014-09-16 | 2020-02-11 | CloudGenix, Inc. | Methods and systems for application session modeling and prediction of granular bandwidth requirements |
-
2019
- 2019-08-08 US US16/535,519 patent/US10999197B2/en active Active
- 2019-11-19 WO PCT/US2019/062292 patent/WO2020112448A1/en unknown
- 2019-11-19 CN CN201980078211.8A patent/CN113169930B/zh active Active
- 2019-11-19 CA CA3120685A patent/CA3120685A1/en active Pending
- 2019-11-19 AU AU2019388833A patent/AU2019388833A1/en active Pending
- 2019-11-19 JP JP2021521331A patent/JP7482121B2/ja active Active
- 2019-11-19 EP EP19817099.5A patent/EP3888307A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9467478B1 (en) * | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
CN105306333A (zh) * | 2014-06-30 | 2016-02-03 | 瞻博网络公司 | 跨越多个网络的服务链接 |
CN107925623A (zh) * | 2015-08-04 | 2018-04-17 | 诺基亚技术有限公司 | 覆盖网络的互连 |
Non-Patent Citations (1)
Title |
---|
"S3-160339_TR33.833v1_7_0_rm".《3GPP tsg_sa\WG3_Security》.2016, * |
Also Published As
Publication number | Publication date |
---|---|
EP3888307A1 (en) | 2021-10-06 |
AU2019388833A1 (en) | 2021-06-17 |
JP2022510555A (ja) | 2022-01-27 |
WO2020112448A1 (en) | 2020-06-04 |
US20200177503A1 (en) | 2020-06-04 |
JP7482121B2 (ja) | 2024-05-13 |
CA3120685A1 (en) | 2020-06-04 |
CN113169930A (zh) | 2021-07-23 |
US10999197B2 (en) | 2021-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113169930B (zh) | 跨多个管理域的端到端身份知晓路由 | |
CN113169967B (zh) | 动态的基于意图的防火墙 | |
US11329950B2 (en) | Wide area network edge device connectivity for high availability and extensibility | |
US10826775B1 (en) | Policy plane integration across multiple domains | |
EP4026278A1 (en) | Policy plane integration across multiple domains | |
WO2020205893A1 (en) | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints | |
US11652791B2 (en) | Consolidated routing table for extranet virtual networks | |
WO2023010110A1 (en) | Secure frame encryption as a service | |
US20230261963A1 (en) | Underlay path discovery for a wide area network | |
US11838371B2 (en) | System and method for connecting virtual networks in a branch site to clouds | |
AU2021325836B2 (en) | Network service access and data routing based on assigned context | |
WO2023158959A1 (en) | Underlay path discovery for a wide area network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |