CN113169967B - 动态的基于意图的防火墙 - Google Patents
动态的基于意图的防火墙 Download PDFInfo
- Publication number
- CN113169967B CN113169967B CN201980078184.4A CN201980078184A CN113169967B CN 113169967 B CN113169967 B CN 113169967B CN 201980078184 A CN201980078184 A CN 201980078184A CN 113169967 B CN113169967 B CN 113169967B
- Authority
- CN
- China
- Prior art keywords
- network
- network devices
- zfw
- edge network
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/03—Topology update or discovery by updating link state protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
系统和方法提供了配设动态的基于意图的防火墙。网络控制器可为从由控制器管理的边缘网络设备可到达的网络段生成主路由表。控制器可接收将网络段映射到区域的区域定义信息和基于区域的防火墙(ZFW)策略,以应用于由每个ZFW策略指定的源区域和目的地区域之间的流量。控制器可评估ZFW策略以确定可到达被映射到由ZFW策略指定的源区域的第一网络段的第一边缘网络设备,可到达被映射到由ZFW策略指定的目的地区域的第二网络段的第二边缘网络设备,以及第一网络段、第一和第二边缘网络设备和第二网络段之间的路由信息(来自路由表)。控制器可将路由信息发送给边缘网络设备。
Description
相关申请的交叉引用
本申请要求2019年6月6日提交的标题为“DYNAMIC INTENT-BASED FIREWALL”的美国非临时专利申请第16/434,115号的权益和优先权,该美国申请要求2018年11月30日提交的标题为“DYNAMIC INTENT-BASED FIREWALL”的美国临时专利申请第62/774,103号的权益,这些申请的内容通过引用被全部并入在此。
技术领域
本公开的主题概括而言涉及计算机联网的领域,更具体而言,涉及用于配设动态的基于意图的防火墙的系统和方法。
背景技术
有状态防火墙是一种网络安全功能,它可以跟踪穿越防火墙的某些网络连接或会话(例如,传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(UserDatagram Protocol,UDP)、互联网控制消息协议(Internet Control Message Protocol,ICMP),等等)的操作状态和特性。有状态防火墙可以在网络段之间建立屏障,允许从一个网段发起连接或会话,并且只允许来自另一个网段的与已知活跃连接或会话相匹配的那些封包进入。历史上,有状态防火墙是利用基于上下文的访问控制(Context-Based AccessControl,CBAC)模式来配置的,其中用于网络连通性的一组规则(例如,访问控制列表(Access Control List,ACL))被应用于网络设备(例如,交换机、路由器,等等)的特定接口,以允许流量发源自防火墙一侧的主机(也称为计算设备、计算系统、端点,等等,并且可包括服务器、服务、客户端,等等),并且创建临时ACL条目,以允许来自防火墙另一侧的主机的返回流量。实现CBAC防火墙将会要求管理员或其他用户按每个接口配置防火墙,随着个体网络设备上的接口的数目和网络中的网络设备的数目增大,这可能很快变得难以管理。此外,在CBAC下,所有通过特定接口的流量都必须接受相同的处理或检查策略。这可以通过阻止流量被依据流量的来源和方向不同地处理而降低安全性。
基于区域的防火墙(Zone-Based Firewall,ZFW)通过使用更灵活、更容易理解的基于区域的模型来改进CBAC防火墙,其中接口可被指派到区域,并且检查策略可被应用于在区域之间移动的流量。区域间策略可以提供比CBAC防火墙策略更大的灵活性和粒度,并且使得不同的检查策略能够被应用于连接到同一接口的多组主机。例如,网络运营者可以定义私有区域,包括将流量路由向组织网络内部的一组接口;非军事区域(DemilitarizedZone,DMZ),包括将流量路由向组织的面向公众的主机(例如,web、邮件、文件传输协议(File Transfer Protocol,FTP)服务器,等等)的一组接口;公共区域,包括将流量路由到互联网的一组接口;以及区域对策略,例如这样的策略:这些策略允许流量在公共区域(即,连接到互联网的接口)和DMC(即,连接到组织的面向公众的主机的接口)以及DMZ和私有区域(即,连接到组织的私有主机的接口)之间在任一方向上自由流动,但只允许从私有区域发起到公共区域的流动以及从公共区域到私有区域的返回流动。
ZFW也可以比CBAC防火墙提供更多的安全性,因为后者依赖于黑名单安全模型,该模型默认允许所有流量通过接口,除非明确定义ACL来阻止流量,而ZFW可以对区域间流量实现白名单模型,该模型默认拒绝所有流量,除非明确定义策略来允许流量。CBAC防火墙还要求向每个接口上逐一输入大量的配置命令(例如,多个ACL和检查动作),使得配置即使是对于微小的策略变化也是耗时的。ZFW允许多个接口共享单一组策略,并且可以减少建立防火墙所需的命令的数目,并简化网络配置。
附图说明
为了提供对本公开及其特征和优点的更完整理解,参考以下结合附图的描述,附图中:
图1根据一实施例图示了网络体系结构的示例的框图;
图2根据一实施例图示了网络环境的示例的框图;
图3根据一实施例图示了用于管理覆盖网络的方案的示例的框图;
图4根据一实施例图示了用于对网络进行分段的方案的示例的框图;
图5根据一实施例图示了网络环境的示例的框图;
图6图示了用于的过程的示例的流程图;
图7根据一实施例图示了网络设备的示例的框图;并且
图8A和8B根据一些实施例图示了计算系统的示例的框图。
具体实施方式
以下记载的详细描述打算作为对实施例的各种配置的描述,而并不打算表示可用来实现本本公开的主题的唯一配置。附图被并入在此并且构成详细描述的一部分。详细描述包括用于提供对公开的主题的更透彻理解的具体细节。然而,显而易见的是,本公开的主题并不局限于本文记载的具体细节,而是可以在没有这些细节的情况下进行实现。在一些场合中,以框图形式示出结构和组件以避免模糊本公开的主题的构思。
概述
在独立权利要求中记载本发明的各方面并且在从属权利要求中记载优选特征。一个方面的特征可被单独应用到每个方面或者与其他方面组合应用。
系统和方法提供了在广域网(Wide-Area Network,WAN)上配设动态的基于意图的防火墙。网络控制器可以为可从由网络控制器管理的多个边缘网络设备可到达的多个网络段生成主路由表。网络控制器可接收将多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个基于区域的防火墙(ZFW)策略,以应用到每个ZFW策略指定的源区域和目的地区域之间的流量。网络控制器可评估第一ZFW策略,以确定可以到达被映射到由第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,可以到达被映射到由第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自主路由表的一个或多个第一网络段、一个或多个第一边缘网络设备、一个或多个第二边缘网络设备和一个或多个第二网络段之间的第一路由信息。网络控制器可以将第一路由信息发送到一个或多个第一边缘网络设备和一个或多个第二边缘网络设备。
示例实施例
虽然ZFW可提供比CBAC防火墙更大的灵活性、安全性和易配置性,但是传统的ZFW施加了某些限制,例如将区域的定义与接口绑定,默认允许所有流量在作为同一区域的成员的接口之间流动,以及对于穿越多个边缘网络设备的流量要求重复配置,以及其他缺点。这些要求可使得传统的ZFW难以实现于在单一接口后面容宿多个服务或客户端群组的网络部署中。此外,传统的ZFW要求的配置可能会混淆网络运营者的意图,以过度限制性方式(例如,将区域的定义与接口绑定)和过度允许性方式(例如,允许同一区域中的接口之间的所有流量)操作,并且缺乏动态性(例如,要求在配置开始时定义区域行为)和移动性(例如,当将主机从一个网络段移动到另一个网络段时,要求策略重配置)。
例如,网络可包括第一边缘网络设备,其具有到容宿打印机和电子邮件服务的子网的接口,并且通过广域网(WAN)(例如,互联网)连接到第二边缘网络设备,该第二边缘网络设备具有到办公室子网的一个接口和到访客子网的另一接口。网络运营者可能希望允许第二边缘网络设备上的所有子网(例如,办公室和访客子网)向打印机服务发起流量,但禁止访客网络访问电子邮件服务。为了利用传统的ZFW策略实现这些目标,网络管理员必须从逻辑上区分打印和电子邮件服务,并且定义在特定的源和目的地互联网协议(IP)地址上匹配的传统ZFW策略。具体地,网络运营者可以定义由第一边缘网络设备到打印机和电子邮件服务的接口组成的第一传统区域,由第二边缘网络设备到办公室子网的接口组成的第二传统区域,以及由第二边缘网络设备上到访客子网的接口组成的第三传统区域。可能有一个或多个额外的传统区域,由通过WAN连接第一和第二边缘网络设备的接口组成。
此外,管理员可能需要在第二边缘网络设备中定义第一组传统ZFW策略。例如,为了使得办公室和访客子网能够发起到打印机服务的流量,并且禁止访客子网访问电子邮件服务,管理员可以用这些策略配置第二边缘网络设备:
·第一传统ZFW策略,来检查源地址与打印机服务的IP地址相对应的流量(例如,在源-ip<打印机IP地址>上匹配;以及
·第二传统ZFW策略,来检查源地址对应于办公室子网并且目的地对应于电子邮件子网的流量(例如,在源-子网<办公室子网>并且目的地-子网电子邮件上匹配,检查)。
检查动作可以指第二边缘网络设备实现对某些流量(例如,TCP、UDP、ICMP,等等)的基于状态的控制。例如,第一传统ZFW策略可以使得第二边缘网络设备允许离开与打印机服务的IP地址相对应的接口的流量,并且为该流量存储状态信息以允许返回流量。此外,第二边缘网络设备可以处理进入与打印机服务的IP地址相对应的接口的流量的封包头部,以确保有现有的连接或会话发起了该流量。如果封包头部指示出流量的源地址与打印机服务的IP地址相对应,并且对于该流量存在连接或会话,那么第二边缘网络设备可以允许该流量。第二传统ZFW策略可以使得第二边缘网络设备处理进入与办公室子网相对应的接口和离开与电子邮件子网相对应的接口的流量的封包头部。如果流量的封包头部指示出源地址与办公室子网相对应并且目的地地址与电子邮件子网相对应,则第二边缘网络设备可允许该流量并且为该流量存储状态信息以允许返回流量。
传统的ZFW策略模型要求管理员基于第二边缘网络设备的某些接口上的IP地址或子网来定义策略,这可能使人难以理解网络运营者的原始意图,即允许第二边缘网络设备上的任何子网访问打印机服务并且禁止访客子网访问电子邮件服务。传统的ZFW策略模型可以使意图进一步复杂化和模糊化,因为管理员还必须通过用第二组策略配置第一边缘网络设备来补充第一组策略:
·第三传统ZFW策略,使目的地与办公室子网相对应并且源与电子邮件子网相对应的流量通过(例如,在目的地-子网<办公室子网>并且源-子网电子邮件上匹配,通过);以及
·第四传统ZFW策略,使目的地与办公室和访客子网相对应并且源与打印机子网相对应的流量通过(例如,在目的地-子网<办公室和访客子网>并且源-子网打印机上匹配,通过)。
通过动作可以指第一边缘网络设备允许与匹配条件相对应的流量,而不必处理流量的封包头部。例如,第三传统ZFW策略可以使得第一边缘网络设备允许从与办公室网络相对应的接口离开的流量,如果该流量进入了与电子邮件服务相对应的接口的话。第四传统ZFW策略可以使得第一边缘网络设备允许从与办公室或访客子网相对应的接口离开的流量,如果该流量进入了与打印机子网相对应的接口的话。这里,第二组策略实际上镜像了第一组策略,为流过多个边缘网络设备的流量实施ZFW策略。镜像配置可使得定义策略变得非常复杂并且在典型的企业网络中难以排除故障,典型的企业网络的网络对象(例如,路由器、交换机、网段、接口、主机,等等)的数目可能比上述示例大很多个量级。镜像配置也可在网络上生成不必要的负载,因为当流量穿越多个边缘网络设备时,必须多次处理策略,至少在面对发送方的接口处处理一次,并且在面对目的地的接口处再次处理。另外,如果主机被添加到网络段或者被从网络段移出,则与该主机通信的每个网络设备都必须被更新。配置的复杂性、网络负载的增大以及传统ZFW的不灵活性是必须由网络运营者按每个网络设备进行配置的传统ZFW策略和限制到接口的传统区域或者限制到接口的网络段(例如,接口绑定的子网、虚拟局域网(Virtual Local Area Network,VLAN)、虚拟可扩展局域网(VirtualExtensible Local Area Network,VXLAN)/使用通用路由封装的网络虚拟化(NetworkVirtualization using Generic Routing Encapsulation,NVGRE)虚拟网络、虚拟路由和转发实例(Virtual Routing and Forwarding instance,VRF)、虚拟专用网络(VirtualPrivate Network,VPN)、Cisco ACITM端点群组(Endpoint Group,EPG)或者其他网络分段技术)的后果。虽然一些传统区域使得多个接口能够共享单组传统ZFW策略,但传统的ZFW策略模型仍然要求网络运营者逐一配置网络设备。而且,虽然一些传统的ZFW允许将区域定义为子网、VLAN、虚拟网络标识符(Virtual Network Identifier,VNID)、VRF、VPN、EPG或者其他网络分段技术,但这些网络段是与特定接口绑定的。对于网络运营者来说,传统ZFW的困难和限制可让人感到沮丧,并且导致人为错误,从而使网络安全受到损害。
本公开的各种实施例通过使得ZFW能够由管理员或其他用户从单个集中式网络管理系统或网络控制器中进行配置,并且将区域的定义与网络接口解除耦合,从而可以克服现有技术的上述和其他缺陷。从而,区域不要求在每个设备的基础上进行配置,也不需要限于接口或者与接口绑定的网络段。区域可改为基于意图来定义,例如按照路由属性(例如,路由原点、站点标识符、标签,等等)、封包头部属性(源地址、源端口、目的地地址、目的地端口、协议、差异化服务代码点(Differentiated Service Code Point,DSCP),等等)、封包有效载荷属性(例如,应用和其他可经由深度封包检查(Deep Packet Inspection,DPI)获得的属性))、基于身份的属性(例如,用户身份、群组、角色,等等)、虚拟网络段(例如,VLAN、VNID、VRF、VPN、EPG,等等)、位置或网络站点标识符(例如,园区、数据中心、分支,等等)或者网络对象(例如,用户、设备、系统、应用,等等)的其他集合来定义区域。例如,网络运营者可以通过定义包括网络对象的任何集合的区域、自定义区域的默认行为(例如,禁止服务访问其他服务、禁止直接连接到互联网的网络对象发起与客户端或服务的通信,等等)以及可以推翻默认行为的允许通信的矩阵来定制基于区域的策略模型。这可以大幅降低配置的复杂性和必须由管理员或其他用户执行的配置的量。
与接口解除耦合的集中应用的ZFW策略也可以支持动态和移动策略更新。例如,管理员可以在网络配设开始时定义“伙伴”区域,但不需要设置伙伴区域中的成员资格的条件和伙伴区域行为,直到伙伴区域的成员附接到网络为止。另外,向网络段添加或者从网络段移除客户端和服务将不要求策略的重配置。另一个优点是,网络设备由于不必实施不适用于这些网络设备的ZFW策略,可以节省处理、存储器、带宽和其他资源,
与接口解除耦合的集中应用的ZFW策略还可以消除镜像配置和关联的可扩展性问题。例如,集中式网络管理系统或控制器可以确定整个网络的路由信息,根据ZFW策略更新路由信息,并且将路由标记为属于特定区域,以便分发给特定的边缘网络设备,从而消除对镜像的ZFW策略的需要。下面描述和建议了根据各种实施例可提供的许多其他功能和优点。
在一些实施例中,网络控制器可以为可从由网络控制器管理的多个边缘网络设备可到达的多个网络段生成主路由表。网络控制器可接收将多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个ZFW策略,以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量。网络控制器可评估第一ZFW策略,以确定能够到达被映射到由第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,能够到达被映射到由第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自主路由表的一个或多个第一网络段、一个或多个第一边缘网络设备、一个或多个第二边缘网络设备和一个或多个第二网络段之间的第一路由信息。网络控制器可以将第一路由信息发送到一个或多个第一边缘网络设备和一个或多个第二边缘网络设备。
在一些实施例中,第一ZFW策略可包括检查动作,并且网络控制器可从主路由表确定一个或多个第二网络段、一个或多个第二边缘网络设备、一个或多个第一边缘网络设备和一个或多个第一网络段之间的第二路由信息。网络控制器可响应于接收到源与一个或多个第一网络段相对应并且目的地与一个或多个第二网络段相对应的流量而将第二路由信息发送到一个或多个第二边缘网络设备和一个或多个第一边缘网络设备。
在一些实施例中,多个网络段可包括多个虚拟专用网(VPN),区域定义信息可包括将多个VPN映射到一个或多个区域的信息,并且每个区域可与多个边缘网络设备的接口解除绑定。在其他实施例中,多个网络段可包括以下所列项中的至少一者:共享路由属性的多个网络对象,共享封包头部属性的多个网络对象,共享封包有效载荷属性的多个网络对象,共享身份信息的多个网络对象,多个虚拟局域网(VLAN),多个虚拟网络标识符(VNID),多个虚拟路由和转发实例(VRF),多个端点群组(EPG),或者共享位置或网络站点标识符的多个网络对象;区域定义信息可包括将以下所列项中的至少一者映射到一个或多个区域的信息:共享路由属性的多个网络对象,共享封包头部属性的多个网络对象,共享封包有效载荷属性的多个网络对象,共享身份信息的多个网络对象,多个VLAN,多个VNID,多个VRF,多个EPG,或者共享位置或网络站点标识符的多个网络对象;并且每个区域可与多个边缘网络设备的接口解除绑定。
在一些实施例中,第一次从一个或多个第一边缘网络设备是不可到达映射到第三区域的网络段的,并且一个或多个第一边缘网络设备可排除映射到第三区域的任何网络段和一个或多个第一边缘网络设备之间的第二路由信息。网络控制器可确定第二次从一个或多个第一边缘网络设备是可到达映射到第三区域的一个或多个第三网络段的。网络控制器可利用一个或多个第三网络段和一个或多个第一边缘网络设备之间的第二路由信息来更新主路由表。网络控制器可评估第二ZFW策略以确定一个或多个第一边缘网络设备能够到达一个或多个第三网络段并且第三区域是由第二ZFW策略指定的第二源区域,能够到达映射到由第二ZFW策略指定的第二目的地区域的一个或多个第四网络段的一个或多个第三边缘网络设备,以及来自主路由表的一个或多个第三网络段、一个或多个第一边缘网络设备、一个或多个第三边缘网络设备和一个或多个第四网络段之间的第三路由信息。网络控制器可以将第三路由信息发送到一个或多个第一边缘网络设备和一个或多个第三边缘网络设备。
在一些实施例中,网络控制器可确定从一个或多个第一边缘网络设备不再可到达一个或多个第一网络段。网络控制器可从一个或多个第一边缘网络设备中移除第一路由信息。网络控制器可确定从一个或多个第三边缘网络设备可到达一个或多个第一网络段。网络控制器可利用一个或多个第一网络段、一个或多个第三边缘网络设备、一个或多个第二边缘网络设备和一个或多个第二网络段之间的第二路由信息来更新主路由表。网络控制器可评估第一ZFW策略以确定一个或多个第三边缘网络设备能够到达一个或多个第一网络段,一个或多个第二边缘网络设备,以及第二路由信息。网络控制器可将第二路由信息发送到一个或多个第三边缘网络设备和一个或多个第二边缘网络设备。
在一些实施例中,网络控制器可接收对区域定义信息或者一个或多个ZFW策略中的至少一者的一个或多个更新。网络控制器可基于一个或多个更新确定第一路由信息的至少一个第一路由不再可用。网络控制器可从一个或多个第一边缘网络设备中移除第一路由。
在一些实施例中,网络控制器可确定与由第一ZFW策略指定的一个或多个源匹配条件相对应的一个或多个源前缀。网络控制器可确定与由第一ZFW策略指定的一个或多个目的地匹配条件相对应的一个或多个目的地前缀。网络控制器可基于一个或多个源前缀和一个或多个目的地前缀从主路由表取回第一路由信息。网络控制器可基于一个或多个目的地前缀和一个或多个源前缀从主路由表取回第二路由信息。网络控制器可响应于接收到源与源前缀相对应并且目的地与一个或多个目的地前缀相对应的流量而将第二路由信息发送到一个或多个第二边缘网络设备和一个或多个第一边缘网络设备。
在一些实施例中,网络控制器可确定与第一ZFW策略的一个或多个默认源匹配条件相对应的一个或多个源前缀。网络控制器可确定与第一ZFW策略的一个或多个默认目的地匹配条件相对应的一个或多个目的地前缀。网络控制器可基于一个或多个源前缀和一个或多个目的地前缀从主路由表取回第一路由信息。
图1图示了用于实现本技术的各个方面的网络体系结构100的示例。网络体系结构100的实现方式的示例是软件定义广域网(Software Defined Wide AreaNetwork,SD-WAN)体系结构。然而,本领域的普通技术人员将会理解,对于网络体系结构100和本公开中论述的任何其他系统,可以有类似或替代配置的额外或较少的组件。本公开中提供的图示和示例是为了简洁和清晰。其他实施例可包括不同数目和/或类型的元素,但本领域普通技术人员将会明白,这种变化并不脱离本公开的范围。
在此示例中,网络体系结构100可包括协调平面102、管理平面120、控制平面130和数据平面140。协调平面102可以协助边缘网络设备142(例如,交换机、路由器,等等)在覆盖网络中的自动上岗。协调平面102可包括一个或多个物理或虚拟网络协调器装置104。网络协调器装置104可执行边缘网络设备142的初始认证并且协调控制平面130和数据平面140的设备之间的连通性。在一些实施例中,网络协调器装置104还可以实现位于网络地址转化(Network Address Translation,NAT)后面的设备的通信。在一些实施例中,物理或虚拟SD-WAN vBond装置可以作为网络协调器装置104运行。
管理平面120可负责网络的中央配置和监视。管理平面120可包括一个或多个物理或虚拟网络管理装置122。网络管理装置122可经由图形用户界面提供网络的集中管理,以使得用户能够监视、配置和维护边缘网络设备142和下层和覆盖网络中的链路(例如,互联网传输网络160、多协议标签交换(Multi-Protocol Label Switching,MPLS)网络162、4G/LTE网络164)。网络管理装置122可支持多租户,并且实现了与不同实体(例如,企业、企业内的部门、部门内的小组,等等)相关联的逻辑上隔离的网络的集中管理。替换地或者额外地,网络管理装置122可以是用于单个实体的专用网络管理系统。在一些实施例中,物理或虚拟SD-WAN vManage装置可作为网络管理装置122操作。
管理平面120还可包括分析引擎124,用于提供对于应用和网络随时间流逝的性能的可见性,例如性能最好和最差的应用、最消耗带宽的应用、异常应用家族(例如,其带宽消耗在一段时间中变化的应用)、网络可用性和电路可用性、运营商健康、性能最好和最差的隧道,等等。分析引擎124可包括用户界面,该用户界面可生成覆盖网络的图形表示并且使得用户能够深入钻取以显示单个运营商、隧道或应用在特定时间的特性。用户界面可作为网络的交互式概述和更多细节的入口点。在一些实施例中,用户界面可显示过去24小时的信息,并且使得用户能够深入钻取来为不同的数据集选择不同的时间段来显示。用户界面还可显示网络可用性、运营商的WAN性能和应用以及其他网络分析的数据。
在一些实施例中,分析引擎124可提供具有虚拟体验质量(Virtual Quality ofExperience,vQoE)值的应用性能,该值可以是为个体应用定制的。这个值的范围可从零到十,零是最差的性能,十是最好的。分析引擎可基于时延、损耗和抖动来计算vQoE,并且为每个应用定制计算。
分析引擎124可对WAN的规划及其运营方面提供洞察力,从历史性能到预测,再到提供优WAN的建议。分析引擎124可存储数月的数据,应用机器学习算法,并且提供独特的洞察和建议。例如,分析引擎124可提供预测建议,以规划在未来三到六个月内可能需要额外带宽的站点;提供假设情景,以帮助识别平衡网络和应用的成本、性能和可用性的机会;基于历史信息的应用感知路由策略,以微调WAN;为特定位置推荐网络服务提供商;等等。
控制平面130可构建和维护网络拓扑结构,并且对流量流向作出决定。控制平面130可包括一个或多个物理或虚拟网络控制器装置132。网络控制器装置132可建立到每个边缘网络设备142的安全连接,并且经由控制平面协议(例如,覆盖管理协议(OverlayManagement Protocol,OMP)(下文更详细论述)、开放最短路径优先(Open Shortest PathFirst,OSPF)、中间系统到中间系统(Intermediate System to Intermediate System,IS-IS)、边界网关协议(Border Gateway Protocol,BGP)、协议独立多播(Protocol-Independent Multicast,PIM)、互联网群组管理协议(Internet Group ManagementProtocol,IGMP)、互联网控制消息协议(Internet Control Message Protocol,ICMP)、地址解析协议(Address Resolution Protocol,ARP)、双向转发检测(BidirectionalForwarding Detection,BFD)、链路聚合控制协议(Link Aggregation Control Protocol,LACP),等等)来分发路由和策略信息。在一些实施例中,网络控制器装置132可作为路由反射器操作。网络控制器装置132也可在数据平面140中协调边缘网络设备142之间的安全连通性。例如,在一些实施例中,网络控制器装置132可在边缘网络设备142之间分发加密密钥信息。这可允许网络在没有互联网密钥交换(Internet Key Exchange,IKE)的情况下支持安全网络协议或应用(例如,互联网协议安全性(Internet Protocol Security,IPSec)、传输层安全性(Transport Layer Security,TLS)、安全外壳(Secure Shell,SSH),等等),并且实现网络的可扩展性。在一些实施例中,物理或虚拟SD-WAN vSmart控制器可作为网络控制器装置132操作。
数据平面140可负责基于来自控制平面130的决策来转发封包。数据平面140可包括边缘网络设备142,边缘网络设备142可以是物理或虚拟网络设备。边缘网络设备142可以在与组织相关联的各种网络站点的边缘运行,例如在一个或多个数据中心或主机托管中心150、园区网络152、分支机构网络154、家庭办公室网络156等等中,或者在云中(例如,基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as aService,PaaS)、SaaS和其他云服务提供商网络)。边缘网络设备142可通过一个或多个WAN传输提供站点之间的安全数据平面连通性,例如经由一个或多个互联网传输网络160(例如,数字订户线(Digital Subscriber Line,DSL)、线缆,等等),MPLS网络162(或者其他私有封包交换网络(例如,城域以太网、帧中继、异步传送模式(Asynchronous TransferMode,ATM),等等),移动网络164(例如,3G、4G/LTE、5G,等等),或者其他WAN技术(例如,同步光联网(Synchronous Optical Networking,SONET)、同步数字层次体系(SynchronousDigital Hierarchy,SDH)、密集波分复用(Dense Wavelength Division Multiplexing,DWDM)或者其他光纤技术;租用线路(例如,T1/E1、T3/E3,等等);公共交换电话网(PublicSwitched Telephone Network,PSTN)、综合业务数字网(Integrated Services DigitalNetwork,ISDN)或者其他私有电路交换网络;小孔径终端(small aperture terminal,VSAT)或其他卫星网络;等等)。边缘网络设备142可负责流量转发、安全性、加密、服务质量(quality of service,QoS)、以及路由(例如,BGP、OSFP,等等),以及其他任务。在一些实施例中,物理或虚拟SD-WAN vEdge路由器可作为边缘网络设备142操作。
图2图示了用于示出网络体系结构100的各种方面的网络环境200的示例。网络环境200可包括管理网络202,一对网络站点204A和204B(统称为204)(例如,数据中心150、园区网络152、分支机构网络154、家庭办公室网络156、云服务提供商网络,等等),以及一对互联网传输网络160A和160B(统称为160)。管理网络202可包括一个或多个网络协调器装置104、一个或多个网络管理装置122以及一个或多个网络控制器装置132。虽然管理网络202在此示例中被示为单个网络,但本领域普通技术人员将会理解,管理网络202的每个对象可分布在任何数目的网络上和/或与站点204位于相同位置。在此示例中,管理网络202的每个对象可通过传输网络160A或160B到达。
每个站点可包括连接到一个或多个接入网络设备208的一个或多个端点206。端点206可包括通用计算设备(例如,服务器、工作站、桌面计算机,等等),移动计算设备(例如,膝上型电脑、平板设备、移动电话,等等),可穿戴设备(例如,手表、眼镜或者其他头戴式显示器(head-mounted display,HMD)、耳朵设备,等等),等等。端点206还可包括物联网(Internet of Things,IoT)设备或装备,例如农业设备(例如,牲畜跟踪和管理系统、浇水设备、无人驾驶飞行器(unmanned aerial vehicle,UAV),等等);联网的汽车和其他载具;智能家庭传感器和设备(例如,报警系统、安全摄像头、照明、电器、媒体播放器、HVAC装备、水电表、窗户、自动门、门铃、锁,等等);办公装备(例如,桌面电话、复印机、传真机,等等);医疗保健设备(例如,心脏起搏器、生物识别传感器、医疗装备,等等);工业装备(例如,机器人、工厂机械、建筑装备、工业传感器,等等);零售装备(例如,自动售货机、销售点(pointof sale,POS)设备、射频识别(Radio Frequency Identification,RFID)标签,等等);智能城市设备(例如,路灯、停车计时器、废物管理传感器,等等);运输和物流装备(例如,旋转门、出租车追踪器、导航设备、库存监视器,等等);等等。
接入网络设备208可包括物理或虚拟交换机、路由器和其他网络设备。虽然在此示例中站点204A被示为包括一对接入网络设备并且站点204B被示为包括单个接入网络设备,但接入网络设备208可包括任何网络拓扑结构中的任何数目的网络设备,包括多层(例如,核心层、分布层和接入层)、脊柱和叶子、网状、树状、总线、枢纽和辐条,等等。例如,在一些实施例中,一个或多个数据中心网络可实现应用中心基础设施(ApplicationCentric Infrastructure,ACI)体系结构和/或一个或多个园区网络可实现/>软件定义接入(SD-Access或者SDA)体系结构。接入网络设备208可将端点206连接到一个或多个边缘网络设备142,并且边缘网络设备142可用于直接连接到传输网络160。
在一些实施例中,“颜色”可用于识别个体WAN传输网络,并且不同的WAN传输网络可被指派不同的颜色(例如,mpls、private1、biz-internet、metro-ethernet、lte,等等)。在此示例中,网络环境200可为互联网传输网络160A利用一种被称为“biz-internet”的颜色,并且为互联网传输网络160B利用一种被称为“public-internet”的颜色。
在一些实施例中,每个边缘网络设备142可与网络控制器装置132的至少一者形成数据报传输层安全性(Datagram Transport Layer Security,DTLS)或者TLS控制连接并且通过每个传输网络160连接到任何网络控制器装置132。在一些实施例中,边缘网络设备142也可经由IPSec隧道安全地连接到其他站点中的边缘网络设备。在一些实施例中,BFD协议可在这些隧道的每一者内被用于检测损耗、时延、抖动和路径故障。
在边缘网络设备142上,颜色可用来帮助识别或者区分个体WAN传输隧道(例如,在单个边缘网络设备上不能两次使用相同的颜色)。颜色本身也可以有意义。例如,颜色metro-ethernet、mpls和private1、private2、private3、private4、private5和private6可被视为私有颜色,这些私有颜色可用于私有网络或者用在没有传输IP端点的NAT寻址的地方(例如,因为在同一颜色的两个端点之间可能没有NAT)。当边缘网络设备142使用私有颜色时,它们可尝试利用原生的、私有的、下层的IP地址来构建到其他边缘网络设备的IPSec隧道。公共颜色可包括3g、biz、internet、蓝色、青铜色、custom1、custom2、custom3、默认、金色、绿色、lte、public-internet、红色和银色。公共颜色可被边缘网络设备142用来构建去到NAT后IP地址的隧道(例如,如果涉及NAT的话)。如果边缘网络设备142使用私有颜色并且需要NAT来与其他私有颜色通信,则配置中的运营商设置可规定边缘网络设备142使用私有还是公共IP地址。利用此设置,当一者或者使用NAT时,两个私有颜色可建立会话。
图3图示了用于管理覆盖网络的示例方案的框图300,例如经由OMP。在此示例中,OMP消息302A和302B(统称为302)可分别在网络控制器装置132和边缘网络设备142A和142B之间被来回传输,其中控制平面信息,例如路由前缀、下一跳路由、加密密钥、策略信息等等,可通过各个安全DTLS或者TLS连接304A和304B来交换。网络控制器装置132可类似于路由反射器地操作。例如,网络控制器装置132可从边缘网络设备142接收路由,处理并对其应用策略,并且将路由通告给覆盖中的其他边缘网络设备142。如果没有定义策略,则边缘网络设备142可以以类似于全网状拓扑的方式行事,其中每个边缘网络设备142可直接连接到另一站点处的另一边缘网络设备142并且从每个站点接收完整的路由信息。
OMP可通告三种类型的路由:
·OMP路由,其可对应于从边缘网络设备142的本地站点或者服务侧学习的前缀。前缀可作为静态或者连接的路由发源,或者从路由协议(例如,BGP、OSPF,等等)内发源,并且被重分发到OMP中,以便它们可被运载于覆盖上。OMP路由可通告属性,例如传输位置(TLOC)信息(其可类似于BGP下一跳IP地址)和其他属性,例如原点、发源者、偏好、站点标识符、标签和VPN标识符。如果OMP路由所指向的TLOC是活跃的,则该OMP路由可被安装在转发表中。
·TLOC路由,其对应于连接到传输网络160中的边缘网络设备142上的逻辑隧道端接点。在一些实施例中,TLOC路由可由三元组来唯一地识别和表示,包括IP地址、链路颜色和封装(例如,通用路由封装(Generic Routing Encapsulation,GRE)、IPSec,等等)。除了系统IP地址、颜色和封装之外,TLOC路由还可携带诸如TLOC私有和公共IP地址、运营商、偏好、站点标识符、标签和权重之类的属性。在一些实施例中,当活跃的BFD会话与TLOC相关联时,该TLOC可在特定边缘网络设备142上处于活跃状态。
·服务路由,其可表示可连接到边缘网络设备142的本地站点并且对于其他站点而言可访问以便服务插入的服务(例如,防火墙、分布式拒绝服务(distributed denial ofservice,DDoS)缓和器、负载平衡器、入侵防止系统(Intrusion Prevent System,IPS)、入侵检测系统(Intrusion Detection System,IDS)、WAN优化器,等等)。此外,这些路由也可包括VPN;VPN标签可在更新类型中被发送,以告知网络控制器装置132在远程站点处服务哪些VPN。
在图3的示例中,OMP被示为在边缘网络设备142和网络控制器装置132之间建立的DTLS/TLS隧道304上运行。此外,框图300示出了通过WAN传输网络160A在TLOC 308A和308C之间建立的IPSec隧道306A和通过WAN传输网络160B在TLOC 308B和TLOC 308D之间建立的IPSec隧道306B。一旦IPSec隧道306A和306B被建立,BFD就可在每个隧道上被启用。
在一些实施例中,可通过在网络的边缘(例如,边缘网络设备142)定义网络对象(例如,子网、VLAN、VNID、VRF、VPN、EPG,等等)的分组并且在封包中携带分段信息供中间节点处理来实现全网络分段。例如,边缘网络设备142A可预订两个VPN,与前缀10.1.1.0/24相对应的“红色”VPN(例如,直接通过连接的接口或者经由内部网关协议(IGP)或者边界网关协议(BGP)学习),以及与前缀10.2.2.0/24相对应的“蓝色”VPN。边缘网络设备142B可类似地预订两个VPN,红色VPN,对应于前缀192.168.1.0/24,以及蓝色VPN,对应于前缀192.168.2.0/24(直接通过连接的接口或者经由IGP或者BGP学习)。
因为边缘网络设备142有通过TLS隧道304到网络控制器装置132的OMP连接302,所以它们可将其路由信息传播到网络控制器装置132。在网络控制器装置132上,网络管理员可实施策略来放弃路由,改变TLOC(可以是覆盖下一跳)以进行流量工程或者服务链接,或者改变VPN标识符。网络管理员可将这些策略作为入站或出站策略应用在网络控制器装置132上。
属于单个VPN的前缀可被保持在单独的路由表中。这可为网络中的各种网段提供第3层隔离。从而,边缘网络设备142可各自拥有两个VPN路由表。此外,网络控制器装置132可维护每个前缀的VPN上下文。分开的路由表可在单个节点上提供隔离。在一些实施例中,VPN标识符可用于在网络上传播路由信息。封包中携带的VPN标识符可识别链路上的每个VPN。当VPN被配置在特定的边缘网络设备上时,VPN可以有与之相关联的链路颜色或标签。边缘网络设备可将链路颜色或标签,连同VPN标识符,发送到网络控制器装置132。网络控制器装置132可向网络中的其他边缘网络设备传播将边缘网络设备映射到VPN标识符的信息。远程边缘网络设备随后可使用链路颜色或标签来将流量发送到适当的VPN。本地边缘网络设备在接收到带有VPN标识符链路颜色或标签的数据时,可使用该链路颜色或标签来解复用数据流量。在此示例中,连接边缘网络设备142的传输网络160可不知晓VPN,边缘网络设备142可知道VPN,而网络的其余部分可遵循标准路由。
在一些实施例中,策略可用于影响边缘网络设备142之间的流量的流动。策略可被表征为集中式的或者本地的。集中式策略可在网络控制器装置132上配设,并且本地化策略可在边缘网络设备142上配设,这些边缘网络设备142可位于分支或者企业站点和传输网络之间的网络边缘,所述传输网络例如是互联网传输网络160、MPLS网络162、4G/LTE网络164,等等。
策略也可被表征为控制或路由策略,其可影响网络的控制平面中的路由信息的流动,或者被表征为数据策略,其可影响网络的数据平面中的数据流量的流动。集中式控制策略可通过影响存储在网络控制器装置132的主路由表中并被通告给边缘网络设备142的信息来应用到整个网络的流量路由。集中式控制策略的效果可从边缘网络设备142如何将流量导向其目的地中看出。集中式控制策略配置本身可保留在网络控制器装置132上,而不被推送给边缘网络设备142。
当没有配设集中式控制策略时,所有的OMP路由都可被放置在网络控制器装置132的主路由表中,并且网络控制器装置132可向同一网段(例如,子网、VLAN、VNID、VRF、VPN、EPG或者主机的其他集合)中的所有边缘网络设备142通告所有的OMP路由。通过配设集中式控制策略,管理员或其他用户可影响哪些OMP路由被放置在网络控制器装置132的主路由表中,哪些路由信息被通告给边缘网络设备142,以及OMP路由在被放入主路由表中之前或者在被通告之前是否被修改。
当配设集中式控制策略时,网络控制器装置132可将路由信息重分发到边缘网络设备142,或者修改存储在网络控制器装置132的主路由表中的或者由网络控制器装置132通告的路由信息。网络控制器装置132可通过在入站或者出站方向(相对于网络控制器装置132而言)将控制策略应用于网络中的特定站点来激活控制策略。在入站方向应用集中式控制策略可过滤或修改由边缘网络设备142通告的路由,然后再将其放入网络控制器装置132上的主路由表中。作为该过程中的第一步,路由可被接受或拒绝。接受的路由可按收到的或者按控制策略修改的被安装在网络控制器装置132上的主路由表中。被控制策略拒绝的路由可被默默地丢弃。
在出站方向上应用控制策略可过滤或修改网络控制器装置132重分发给边缘网络设备142的路由。作为出站策略的第一步,路由可被接受或拒绝。对于接受的路由,集中式控制策略可在它们被网络控制器装置132分发之前修改路由。被出站策略拒绝的路由不被通告。
边缘网络设备142可将从网络控制器装置132学习到的路由信息放入其本地路由表中,以便在转发数据流量时使用。因为网络控制器装置132可作为网络中的集中式路由系统操作,所以边缘网络设备142不修改它们从网络控制器装置132学习的OMP路由信息。网络控制器装置132可定期从边缘网络设备142接收OMP路由通告,并且在重新计算和更新通过网络的路由路径之后,网络控制器装置132可向边缘网络设备142通告新的路由信息。
在网络控制器装置132上配设的集中式控制策略可保留在网络控制器装置上,而不被下载到边缘网络设备142。然而,由集中式控制策略产生的路由决策可以以路由通告的形式被传递给边缘网络设备142,因此控制策略的效果可反映在边缘网络设备142如何将数据流量引导到其目的地中。
本地化控制策略可在边缘网络设备142上本地配设。本地化控制策略可类似于在传统路由器上配置的路由策略,例如如何在站点-本地网络上修改BGP和OSPF路由(或者其他路由协议)行为。本地化数据策略可允许对边缘网络设备142上的一个或多个特定接口配设和应用访问列表。简单的访问列表可基于6元组匹配(例如,源和目的地IP地址和端口、DSCP字段和协议)来允许和限制访问,其方式与集中式数据策略相同。访问列表还可允许配设服务类别(class of service,CoS)、监管和镜像,这可控制数据流量如何流出和流入边缘网络设备142的接口和接口队列。
集中式数据策略可应用到整个网络的数据流量的流动。当没有配设集中式数据策略时,特定网络段(例如,子网、VLAN、VNID、VRF、VPN、EPG或者其他网络段技术)内的所有前缀可以是从该网段可到达的。配设集中式数据策略可应用控制源和目的地之间的访问的6元组过滤器。与集中式控制策略一样,集中式数据策略可被配设在网络控制器装置132上,并且该配置可保留在网络控制器装置132上。数据策略的效果可反映在边缘网络设备142如何将数据流量引导到其目的地中。然而,与控制策略不同,集中式数据策略可以以只读方式被推送给边缘网络设备142。
在一些实施例中,可利用列表、策略定义(或策略)和策略应用来将集中式数据策略配置在网络控制器装置132上。列表可定义策略应用或匹配的目标。列表的一些示例可包括前缀列表(例如,用于策略的前缀的列表)、站点列表(例如,用于策略定义和策略应用的站点标识符的列表)、TLOC列表(例如,用于策略定义的TLOC的列表)以及VPN列表(例如,用于策略的VPN的列表)或者其他网络段的列表(例如,子网、VLAN、VNID、VRF、EPG或者其他网络分段技术)。策略定义(或策略)可控制控制和转发的各方面。策略定义(或策略)可包括不同类型的策略,例如控制策略、数据策略和ZFW策略(例如,定义区域和控制区域之间的流量的策略)。策略应用可控制策略被应用到什么。策略应用可以是面向站点的,并且可由站点列表来定义。
图4图示了用于利用VPN来对网络进行分段的方案的示例的框图400。VPN可相互隔离,并且可以有其自己的转发表。接口或子接口可被明确地配置在单个VPN下,并且不能成为一个以上的VPN的一部分。标签可被用于OMP路由属性和封包封装中,其可识别封包所属的VPN。VPN编号可以是四字节的整数,其值从0到65530。在一些实施例中,每个边缘网络设备142可包括传输VPN 402(例如,VPN编号0)和管理VPN 404(例如,VPN编号512)。传输VPN402可包括一个或多个物理或虚拟网络接口(例如,千兆以太网网络接口408A和408B),它们分别连接到WAN传输网络(例如,互联网传输网络160和MPLS网络162)。可从传输VPN 402发起到网络控制器装置132的或者网络控制器装置132和网络协调器装置104之间的安全DTLS/TLS连接。此外,可在传输VPN 402内部配置静态或默认路由或动态路由协议,以获得适当的下一跳信息,从而可建立控制平面130,并且IPSec隧道306(未示出)可连接到远程站点。
管理VPN 404可通过管理网络接口410向和从网络协调器装置104、网络管理装置122、网络控制器装置132和/或边缘网络设备142运载带外管理流量。在一些实施例中,管理VPN 404可不通过覆盖网络来运载。
除了传输VPN 402和管理VPN 404之外,每个边缘网络设备142还可包括一个或多个其他服务VPN 406。服务VPN 406可包括一个或多个物理或虚拟网络接口(例如,千兆以太网网络接口408C和408D),这些接口连接到一个或多个本地站点网络412并且运载数据流量。服务VPN 406可被配置为提供诸如OSPF或BGP、虚拟路由器冗余协议(Virtual RouterRedundancy Protocol,VRRP)、QoS、流量整形、监管等等之类的特征。在一些实施例中,通过将在站点412处从网络控制器装置132接收到的OMP路由重分发到为服务VPN 406配置的路由协议中,可将数据流量通过IPSec隧道引导到其他站点。进而,通过将服务VPN路由通告到OMP路由协议中,可将来自本地站点412的路由通告到其他站点,这些服务VPN路由可被发送到网络控制器装置132并被重分发到网络中的其他边缘网络设备142。
图5图示了用于示出基于意图的ZFW策略模型的各方面的网络环境500的示例的框图。在此示例中,网络环境500包括边缘网络设备142A和142B(统称为142)、互联网160、商店网络502、打印机网络504、技术服务网络506、访客Wi-Fi网络508、数据中心(Data Center,DC)网络510以及DC技术服务网络512。互联网可与IP地址174.11.1.2和10.0.0.12相关联。商店网络502可与IP地址10.17.36.2相关联。打印机网络504可与IP子网173.11.1.2/24相关联。技术服务网络506可与IP子网173.11.2/24相关联。访客Wi-Fi网络508可与IP地址102.102.102.2相关联。DC网络510可与IP子网172.11.11.2/24相关联。DC技术服务网络512可与IP子网172.11.12.2/24相关联。
网络环境500的运营者可能希望利用对某些流量(例如,TCP、UDP、ICMP,等等)的有状态检测来保证网络的安全。例如,网络运营者可能希望将网络环境500配置为:(i)使得访客Wi-Fi网络508能够发起到互联网160的流量并且允许返回流量,但禁止访客Wi-Fi网络508与网络环境500的其他部分之间的流量,(ii)使得商店网络502能够发起到打印机网络504和DC网络510的流量并且允许返回流量,但禁止商店网络502与网络环境500的其他部分之间的流量,(iii)禁止互联网160、打印机网络504、技术服务网络506和DC网络510发起与网络环境500的其他部分的流量,并且(iv)使得DC技术服务网络512能够发起到技术服务网络506的流量并且允许返回流量,但禁止DC技术服务网络512与网络环境500的其他部分之间的流量。
上述目标在图5中由实心方向粗线和加粗的虚线表示。实心方向粗线可表示发源自方向箭头所指示的VPN(例如,商店网络502、访客Wi-Fi网络508和DC技术服务网络512)的流量,并且虚线粗线可表示返回流量。未加粗的细线可表示网络502-512和互联网160之间的物理连接。
为了利用传统的基于区域的策略模型来实现上述目标,管理员或其他用户可能需要定义用于网络502-512和互联网160的若干个区域,用于允许上述的区域间通信的特定区域对,用以实现上述通信的第一边缘网络设备142A中的第一组传统ZFW策略和第二边缘网络设备142B中的第二组传统ZFW策略,第二边缘网络设备142B中的镜像第一组传统ZFW策略的第三组传统ZFW策略和第二边缘网络设备142B中的镜像第二组传统ZFW策略的第四组传统ZFW策略。此外,可能要求管理员或其他用户将传统ZFW策略分开安装到第一边缘网络设备142A和第二边缘网络设备142B的特定接口上。
在各种实施例中,管理员或其他用户可在集中式网络管理系统内配置与接口解除耦合的基于意图的ZFW策略模型。图6图示了用于实现基于意图的ZFW策略模型的过程600的流程图的示例。本领域普通技术人员将会理解,对于本文论述的任何过程,除非另有声明,否则在各种实施例的范围内,可以有额外的、更少的或者替换的步骤以类似或者替换的顺序执行,或者平行执行。该过程600可至少部分由网络协调器装置104、网络管理装置122、网络控制器装置132和/或边缘网络设备142执行。
过程600可从步骤602开始,其中网络控制器(例如,网络控制器装置132)可为从由网络控制器管理的多个边缘网络设备(例如,边缘网络设备142)可到达的多个网络段生成主路由表。在一些实施例中,多个网络段可包括VPN。其他实施例可以替换地或者额外地利用其他基于意图的分段方案对网络进行分段,例如由路由属性(例如,OMP路由属性、TLOC路由属性,等等)、封包头部属性(例如,源地址、源端口、目的地地址、目的地端口、协议、DSCP,等等)、基于身份的属性(例如,用户标识符、群组、角色,等等)定义的网络段、其他类型的虚拟网络段(例如,VLAN、VNID、VRF、EPG,等等)、位置或者网络站点标识符(例如,园区、数据中心、分支,等等),或者网络对象的其他集合(例如,用户、设备、系统、应用,等等)。
OMP路由属性可包括原点(例如,OMP路由的源,比如BGP、OSPF、连接的和静态的,以及与原始路由相关联的度量)、发源者(例如,路由的源的OMP标识符,例如从其学习该路由的IP地址)、偏好(例如,对于OMP路由的偏好程度,其中较高的偏好值可表明该路由更受偏好)、服务(与OMP路由相关联的网络服务)、站点标识符(例如,OMP路由所属的覆盖网络域内的站点的标识符)、以及标签(例如,OMP发言者可用来控制其接受、偏好或者重分发的路由信息的传递性路径属性)、TLOC(例如,用作OMP路由的下一跳并且可包括发源OMP路由的OMP发言者的系统IP地址、识别链路类型的颜色以及传输隧道上的封装类型)、以及VPN(例如,OMP路由所属的VPN)或者其他类型的虚拟网络段,等等。
TLOC路由属性可包括私有IP地址(例如,与TLOC相关联的接口的私有IP地址)、公共IP地址(例如,TLOC的NAT转化地址)、运营商(例如,运营商类型的标识符,它可指示出传输是公共的还是私有的)、颜色(例如,链路类型)、封装类型(例如,隧道封装类型,比如IP安全性(IP Security,IPSec)、通用路由封装(Generic Routing Encapsulation,GRE),等等)、站点标识符(例如,TLOC所属的覆盖网络域内的站点的标识符)、标签(例如,OMP发言者可用来控制路由信息向TLOC的流动的传递性路径属性;当OMP路由与其TLOC一起被通告时,这两者或者任一者可随同社区标签被分发,用于决定如何向一组TLOC发送流量或者从其接收流量)、权重(例如,用于区分OMP路由的多个入口点可通过两个或更多个TLOC到达的值),等等。
主路由表的生成可从边缘网络设备将它们从其本地站点学习到的与路由有关的前缀重分发到网络控制器开始。在一些实施例中,此路由信息可由OMP路由通告携带,这些通告是通过边缘网络设备和网络控制器之间的DTLS连接(例如,DTLS连接304)发送的。如果网络控制器分布在多个网络控制器装置上,则边缘网络设备可向所有的网络控制器装置发送OMP路由通告。
除了OMP路由外,边缘网络设备还可通过OMP向其域中的一个或多个网络控制器器发送TLOC路由。边缘网络设备还可通过OMP发送服务路由,以通告在边缘网络设备所在的本地站点处可用的网络服务(例如,DDoS缓和、负载平衡、入侵防止、入侵检测、WAN优化,等等)。网络控制器可接受它从其域中的边缘网络设备接收到的OMP、TLOC和服务路由,并且将该信息存储在主路由表中。网络控制器可跟踪哪些OMP路由、TLOC和服务属于哪些VPN或其他网络段。网络控制器可使用这些路由来开发网络的拓扑图,并且确定通过覆盖网络的数据流量的路由路径。网络控制器可将从特定VPN或其他网络段中的OMP、TLOC和服务路由学习到的信息重分发给同一VPN或其他网络段中的边缘网络设备。边缘网络设备可定期向网络控制器发送路由更新。网络控制器可重计算路由路径,更新主路由表,并且向边缘网络设备通告新的和经改变的路由信息。虽然在此示例中网络控制器利用OMP来填充其主路由表,但其他实施例可替换地或者额外地使用本领域普通技术人员已知的其他网络协议(例如,BGP、OSPF,等等)。
在步骤604,网络控制器可接收将多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个ZFW策略,以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量。区域定义信息和ZFW策略可构成基于意图的ZFW策略模型。在一些实施例中,网络可包括具有用于接收区域定义信息和ZFW策略的用户界面的网络管理系统(例如,网络管理装置122)。管理员或其他用户可经由网络管理系统的用户界面提供区域定义信息和ZFW策略,并且网络管理系统可将区域定义信息和ZFW策略发送到网络控制器。
在一些实施例中,区域定义信息可将每个区域映射到与边缘网络设备的接口解除耦合的一个或多个VPN。也就是说,VPN不与边缘网络设备的特定接口绑定,而是由记载了VPN成员资格的集中式控制策略来确定。VPN成员资格策略可控制边缘网络设备是否可参与特定VPN(例如,定义边缘网络设备可从哪些VPN接收路由)。VPN成员资格策略可以是集中式的,因为它们可能只影响封包头部,而对边缘网络设备用来传输流量的接口的选择没有影响。取而代之,网络控制器可通过在边缘网络设备被禁止接收来自某些VPN的路由时永不向这些边缘网络设备转发路由来实施VPN成员资格策略。在图5的示例中,商店网络502、打印机网络504、技术服务网络506、DC网络510和DC技术服务网络512可以是VPN_1的成员,访客Wi-Fi网络508可以是VPN_2的成员,并且互联网160可以是VPN_3的成员。VPN_1可映射到ZONE_1,VPN_2可映射到ZONE_2,并且VPN_3可映射到ZONE_3。
其他实施例可以使得区域能够被映射到与接口解除耦合的网络对象的其他集合,例如映射到路由属性、封包头部属性、封包有效载荷属性、其他类型的虚拟网络段(例如VLAN、VNID、VRF、EPG,等等)、基于身份的属性、位置或网络站点标识符以及其他类型的网络段的区域。
ZFW策略可包括源区域、目的地区域和防火墙策略。源区域可包括数据流量流动所发源自的一个或多个VPN(或者其他网络段)的分组。目的地区域可包括数据流量流动终止于的一个或多个VPN(或者其他网络段)的分组。在一些实施例中,VPN(或者其他网络段)可只属于一个区域。源区域和目的地区域构成区域对,该区域对使得防火墙策略被应用于在这两个区域之间流动的流量。
防火墙策略是一种安全性策略,其可定义从源区域到目的地区域的数据流量流动匹配的条件,以及当数据流量流动匹配指定的条件时要执行的一个或多个动作。在一些实施例中,防火墙策略可包括匹配-动作对的一系列编号的或者排序的序列,这些匹配-行动对可按照从最低序列号到最高序列号的顺序被评估。当数据封包与匹配条件相匹配时,可采取一个或多个关联的动作,并且对该封包的策略评估可停止。如果封包不匹配任何条件,则可对该封包采取默认动作。匹配条件可提供更粒状的ZFW策略,并且数据封包可在IP前缀、IP端口、协议(例如,TCP、UDP、ICMP,等等)、应用、身份、群组、服务、VPN标识符或者其他网络段标识符等等上匹配。匹配的流动可由检查动作、通过动作、拒绝动作或者放弃动作来处理。检查动作可以使得封包头部被检查并且使得封包头部信息(例如,源地址、源端口、目的地地址、目的地端口、协议、DSCP,等等)被存储在连接或会话表中以允许返回流量。通过动作可允许封包通过到目的地区域,而不检查封包的头部。拒绝动作和放弃动作可禁止区域之间的某些流量。拒绝动作可导致差错封包的传输(例如,经由ICMP),以表明目的地区域是不可到达的,而放弃动作则是在不传输差错封包的情况下放弃流量。
在图5的示例中,默认的区域行为可禁止区域之间的通信,包括同一区域的成员之间的通信,除非定义了明确地允许特定类型的流量的ZFW策略。从而,网络控制器可能不会向边缘网络设备142通告或分发特定的路由,除非存在允许流量沿着该路由流动的ZFW策略。为了使得流量能够根据上面论述的网络运营者的意图流动,可定义ZFW策略520A、520B、520C和520D(统称为520)以推翻默认区域行为。例如,第一ZFW策略520A可使得流量能够从访客Wi-Fi网络508(例如,VPN_2/ZONE_2)被发起到互联网160(例如,VPN_3/ZONE_3)并且允许返回流量,第二ZFW策略520B可使得流量能够从商店网络502(例如,VPN_1/ZONE_1)被发起到打印机网络504(例如,VPN_1/ZONE_1)并且允许返回流量,第三ZFW策略520C可使得流量能够从商店网络502(例如,VPN_1/ZONE_1)被发起到DC网络510(例如,VPN_1/ZONE_1)并且允许返回流量,并且第四ZFW策略520D可使得流量能够从DC技术服务网络512(例如,VPN_1/ZONE_1)被发起到技术服务网络506(例如,VPN_1/ZONE_1)并且允许返回流量。
在步骤606,网络控制器可评估每个ZFW策略520,以确定可到达被映射到由ZFW策略指定的源区域的网络段(即,第一网络段)的边缘网络设备(即,第一边缘网络设备),可到达被映射到由ZFW策略指定的目的地区域的网络段(即,第二网络段)的边缘网络设备(即,第二边缘网络设备),以及第一网络段、第一边缘网络设备、第二边缘网络设备和第二网络段之间的路由信息(来自主路由表)。例如,给定第一ZFW策略,网络控制器可确定预订了被映射到由ZFW策略指定的第一源区域的VPN(例如,源VPN)的第一边缘网络设备和预订了被映射到由第一ZFW策略指定的第一目的地区域的VPN(例如,目的地VPN)的第二边缘网络设备。
如果第一ZFW策略没有指定任何匹配动作对,则网络控制器可确定与源VPN相对应的IP前缀(例如,源前缀)和与目的地VPN相对应的IP前缀(例如,目的地前缀)。然后,网络控制器可在主路由表中搜索与源前缀和目的地前缀中的每个源-目的地前缀对相对应的路由信息。例如,网络控制器可评估ZFW策略520A,以确定只有第一边缘网络设备142A预订了被映射到由ZFW策略520A指定的源区域(即,ZONE_2)的VPN(即,VPN_2)和被映射到由ZFW策略520A指定的目的地区域(即,ZONE_3)的VPN(即,VPN_3)。然后,网络控制器可在主路由表中搜索源VPN的IP前缀(即,102.102.102.2)和目的地VPN的IP前缀(即,174.11.1.2)之间的路由信息。这些路由可表示为A'。ZFW策略520A所指定的动作是检查动作。从而,如果对于从访客Wi-Fi网络508向互联网160发起的数据流量存在连接或会话信息,则可允许来自互联网160的返回流量。这可通过第一边缘网络设备142A维护连接或会话表并且在访客Wi-Fi网络508发起到互联网160的数据流量时填充从互联网160到访客Wi-Fi网络508的返回路由来实现。
如果第一ZFW策略指定了一个或多个匹配条件,则网络控制器可确定与源匹配条件相对应的IP前缀和与目的地匹配条件相对应的IP前缀。然后,网络控制器可在主路由表中搜索与匹配源匹配条件的源前缀和匹配目的地匹配条件的目的地前缀之中的每个源-目的地前缀对相对应的路由信息。例如,网络控制器可评估ZFW策略520C,以确定第一边缘网络设备142A和第二边缘网络设备142B都预订了被映射到由ZFW策略520C指定的源区域(即,区域1)的VPN(即,VPN_1)和被映射到由ZFW策略520C指定的目的地区域(即,ZONE_1)的VPN(即,VPN_1)。然后,网络控制器可在主路由表中搜索与源匹配条件相对应的IP前缀(即,商店网络502的IP地址或者10.17.36.2)和与目的地匹配条件相对应的IP前缀(即,DC网络510的IP子网或者172.11.11.2/24)之间的路由信息。此路由信息可表示为C'。ZFW策略520C所指定的动作是检查动作。从而,如果对于从商店网络502向DC网络510发起的数据流量存在连接或会话信息,则可允许来自DC网络510的返回流量。这可通过第一边缘网络设备142A和/或第二边缘网络设备142B维护连接或会话表并且在商店网络502发起到DC网络510的数据流量时填充从DC网络510到商店网络502的返回路由信息来实现。在另一场景中,如果由ZFW策略指定的动作改为是通过动作,那么就不维护连接或会话信息,并且没有返回路由信息。可使用类似的方案来获得ZFW策略520B的路由信息B'和ZFW策略520D的路由信息D'。
过程600可结束于步骤608,其中网络控制器可将路由信息发送到第一边缘网络设备142A和第二边缘网络设备142B。在图5的示例中,网络控制器可为ZFW策略520A将路由信息A'发送到第一边缘网络设备142A。网络控制器不将路由信息A'发送到第二边缘网络设备142B,因为例如第二边缘网络设备142B可能没有预订VPN_2或者VPN_3。对于ZFW策略520B,网络控制器可将路由信息B'发送到第一边缘网络设备142A。网络控制器不将路由信息B'发送到第二边缘网络设备142B,因为例如主路由表不包括通过第二边缘网络设备142B的与源匹配条件(例如,商店网络502)和目的地匹配条件(例如,打印机网络504)相对应的IP前缀之间的路由信息。对于ZFW策略520C,网络控制器可将路由信息C'发送到第一边缘网络设备142A和第二边缘网络设备142B。对于ZFW策略520D,网络控制器可将路由信息D'发送到第一边缘网络设备和第二边缘网络设备142B。
该过程600可以以多种方式简化ZFW配置。用户可从集中式网络管理系统为网络环境500配置一次ZFW。用户不需要定义镜像策略以确保跨越多个边缘网络设备的流量的正确行为。ZFW策略可以是动态的。区域可在任何时间创建,但在区域成员附接到网络之前,不需要配置区域定义信息和ZFW策略。ZFW策略可以是移动的。向或者从网络中的任何地方添加或者移除区域成员都不会要求策略的重配置。
过程600可提高计算资源(例如,处理、存储器、带宽,等等)的利用率。例如,网络设备可通过不必实施不适用于这些网络设备的ZFW策略而节约资源。此外,网络负载可减少,因为当流量跨越多个网络设备时,策略只在网络控制器处被处理一次,而不是在每个边缘网络设备处被多次处理。上面描述和建议了根据各种实施例可提供的各种其他功能和优点。
图7图示了网络设备700(例如,交换机、路由器、网络装置,等等)的示例。网络设备700可包括主中央处理单元(central processing unit,CPU)702,接口704和总线706(例如,外围组件互连(Peripheral Component Interconnect,PCI)总线)。当在适当的软件或固件的控制下行动时,CPU 702可负责执行封包管理、差错检测和/或路由功能。CPU 702最好是在包括操作系统和任何适当应用软件在内的软件的控制下完成所有这些功能。CPU702可包括一个或多个处理器708,例如来自摩托罗拉微处理器家族或者MIPS微处理器家族的处理器。在替换实施例中,处理器708可以是专门设计的硬件,用于控制网络设备700的操作。在一实施例中,存储器710(例如非易失性随机存取存储器(RAM)和/或只读存储器(ROM))也可形成CPU 702的一部分。然而,有许多不同的方式可将存储器耦合到系统。
接口704可作为接口卡(有时被称为线路卡)提供。接口704可控制网络上数据封包的发送和接收,并且有时支持与网络设备700一起使用的其他外围设备。可提供的接口有以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口,等等。此外,可提供各种非常高速的接口,例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传送模式(Asynchronous Transfer Mode,ATM)接口、高速串行接口(High-Speed SerialInterface,HSSI)、SONET上的封包(Packet Over SONET,POS)接口、光纤分布式数据接口(Fiber Distributed Data Interface,FDDI),等等。接口704可包括适合与适当的媒体通信的端口。在一些情况下,接口704还可包括独立的处理器,并且在一些情况中包括易失性RAM。独立处理器可控制通信密集型任务,例如封包交换、媒体控制和管理。通过为通信密集型任务提供单独的处理器,接口704可允许CPU 702高效地执行路由计算、网络诊断、安全性功能,等等。
虽然图7所示的系统是一实施例的网络设备的示例,但它绝不是可实现主题技术的唯一网络设备体系结构。例如,也可使用具有单个处理器的体系结构,该处理器可处理通信以及路由计算和其他网络功能。另外,其他类型的接口和媒体也可与网络设备700一起使用。
无论网络设备的配置如何,它都可采用一个或多个存储器或存储器模块(包括存储器710),这些存储器或存储器模块被配置为存储用于通用网络操作的程序指令和本文描述的用于漫游、路由优化和路由功能的机制。程序指令可控制操作系统和/或一个或多个应用的操作。一个或多个存储器也可被配置为存储表格,例如移动性绑定、注册和关联表。
图8A和图8B图示了根据各种实施例的系统。本领域的普通技术人员在实践各种实施例时,将清楚更适当的系统。本领域的普通技术人员也会很容易明白其他系统是可能的。图8A图示了总线计算系统800的示例,其中系统的组件利用总线805与彼此进行电通信。计算系统800可包括处理单元(CPU或处理器)810和系统总线805,该系统总线805可将包括系统存储器815(例如只读存储器(ROM)820和随机存取存储器(RAM)825)在内的各种系统组件与处理器810耦合。计算系统800可包括与处理器810直接连接、紧邻处理器810或者集成为处理器810的一部分的高速存储器的缓存812。计算系统800可将数据从存储器815、ROM820、RAM 825和/或存储设备830拷贝到缓存812以供处理器810迅速访问。这样,缓存812可提供避免处理器在等待数据的同时延迟的性能提升。这些和其他模块可控制处理器810执行各种动作。也可以有其他系统存储器815供使用。存储器815可包括具有不同性能特性的多种不同类型的存储器。处理器810可包括任何通用处理器和硬件模块或软件模块,例如存储在存储设备830中的模块1 832、模块2 834和模块3 836,它们被配置为控制处理器810以及专用处理器,在专用处理器中软件指令被包含到实际处理器设计中。处理器810实质上可以是完全独立自给的计算系统,包含多个核心或处理器、总线、存储器控制器、缓存,等等。多核处理器可以是对称的或非对称的。
为了使得用户能够与计算系统800交互,输入设备845可表示任意数目的输入机制,例如用于话音的麦克风、用于手势或图形输入的触摸保护屏、键盘、鼠标、运动输入、话音,等等。输出设备835也可以是本领域技术人员已知的多种输出机制中的一个或多个。在一些情况中,多模式系统可使得用户能够提供多种类型的输入来与计算系统800通信。通信接口840可控制并管理用户输入和系统输出。对于在任何特定硬件布置上操作可没有限制,因此这里的基本特征可容易地在改进的硬件或固件布置被开发出来时被其所替代。
存储设备830可以是非易失性存储器,并且可以是硬盘或者可存储计算机可访问的数据的其他类型的计算机可读介质,例如磁带、闪存卡、固态存储器设备、数字多功能盘、墨盒、随机存取存储器、只读存储器及其混合体。
如上所述,存储设备830可包括用于控制处理器810的软件模块832、834、836。设想到了其他硬件或软件模块。存储设备830可连接到系统总线805。在一些实施例中,执行特定功能的硬件模块可包括存储在计算机可读介质中的软件组件,该软件组件结合诸如处理器810、总线805、输出设备835等等之类的必要硬件组件执行该功能。
图8B图示了根据实施例可使用的芯片集计算系统850的示例体系结构。计算系统850可包括处理器855,代表任何数目的物理和/或逻辑上不同的资源,能够执行被配置为执行所识别的计算的软件、固件和硬件。处理器855可与芯片集860通信,该芯片集860可控制对处理器855的输入和输出。在此示例中,芯片集860可将信息输出到输出设备865,例如显示器,并且可向存储设备870读取和写入信息,存储设备870可包括磁介质、固态介质和其他适当的存储介质。芯片集860还可从RAM 875读取数据以及向RAM 870写入数据。可提供用于与多种用户接口组件885相接口的桥接器,以与芯片集860相接口。用户接口组件885可包括键盘、麦克风、触摸检测和处理电路、指点设备,例如鼠标,等等。对计算系统850的输入可来自多种来源,由机器生成和/或由人类生成。
芯片集860还可与一个或多个通信接口890相接口,这些接口可具有不同的物理接口。通信接口890可包括用于有线和无线局域网(LAN)、用于宽带无线网络以及个人区域网络的接口。用于生成、显示和使用本文公开的技术的方法的一些应用可包括通过物理接口接收有序的数据集,或者由机器本身通过处理器855分析存储在存储设备870或RAM 875中的数据而生成。另外,计算系统850可经由用户接口组件885接收来自用户的输入,并且通过利用处理器855解释这些输入来执行适当的功能,例如浏览功能。
将会明白,计算系统800和850可分别具有一个以上的处理器810和855,或者成为联网在一起的计算设备的群组或集群的一部分,以提供更大的处理能力。
总之,实施例的系统和方法提供了配设动态的基于意图的防火墙。网络控制器可为从由控制器管理的边缘网络设备可到达的网络段生成主路由表。控制器可接收将网络段映射到区域的区域定义信息和基于区域的防火墙(ZFW)策略,以应用于由每个ZFW策略指定的源区域和目的地区域之间的流量。控制器可评估ZFW策略,以确定能够到达被映射到由ZFW策略指定的源区域的第一网络段的第一边缘网络设备、能够到达被映射到由ZFW策略指定的目的地区域的第二网络段的第二边缘网络设备,以及第一网络段、第一和第二边缘网络设备和第二网络段之间的路由信息(来自路由表)。控制器可将路由信息发送给边缘网络设备。
为了说明的清晰,在一些情况中,各种实施例可被呈现为包括个体的功能块,包括由设备、设备组件、以软件体现的方法中的步骤或例程或者硬件和软件的组合构成的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可包括包含比特流等等的线缆或者无线信号。然而,当提到时,非暂态计算机可读存储介质明确排除了诸如能量、载波信号、电磁波和信号本身之类的介质。
根据上述示例的方法可利用存储在计算机可读介质中或者以其他方式从计算机可读介质可得的计算机可执行指令来实现。这种指令可包括例如使得或者以其他方式配置通用计算机、专用计算机或者专用处理设备执行特定的一个功能或一组功能的指令和数据。所使用的计算机资源的一些部分可以是通过网络可访问的。计算机可执行指令可以是例如二进制文件、中间格式指令(比如汇编语言)、固件或者源代码。可用于存储指令、使用的信息和/或在根据描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、提供有非易失性存储器的通用串行(USB)设备、联网存储设备,等等。
实施根据这些公开的方法的设备可包括硬件、固件和/或软件,并且可采取各种外形参数。这种外形参数的一些示例包括通用计算设备,比如服务器、机架安装设备、桌面型计算机、膝上型计算机,等等,或者通用移动计算设备,比如平板计算机、智能电话、个人数字助理、可穿戴设备,等等。本文描述的功能也可体现在外围设备或者附加卡中。作为进一步示例,这种功能也可在电路板上的不同芯片或者在单一设备中执行的不同过程间实现。
指令、用于传达这种指令的介质、用于执行指令的计算资源以及用于支持这种计算资源的其他结构是提供这些公开中描述的功能的手段。
虽然各种示例和其他信息被用来说明所附权利要求的范围内的各个方面,但不应基于这种示例中的特定特征或布置来暗示对权利要求的限制,因为本领域普通技术人员将能够使用这些示例来得出各种各样的实现方式。另外,虽然一些主题可能已经用结构特征和/或方法步骤的示例所特有的语言来描述,但要理解,所附权利要求中定义的主题不一定限于这些描述的特征或者动作。例如,这种功能可以以不同的方式分布,或者在本文所识别的组件以外的其他组件中执行。更确切地说,所描述的特征和步骤是作为所附权利要求的范围内的系统和方法的组成部分的示例被公开。
Claims (23)
1.一种由计算机实现的方法,包括:
由网络控制器为从由所述网络控制器管理的多个边缘网络设备可到达的多个网络段生成主路由表;
由所述网络控制器接收将所述多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个基于区域的防火墙(ZFW)策略,以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量,其中每个区域与所述多个边缘网络设备的接口解除绑定;
由所述网络控制器评估第一ZFW策略以确定能够到达被映射到由所述第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,能够到达被映射到由所述第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自所述主路由表的所述一个或多个第一网络段、所述一个或多个第一边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第一路由信息;并且
由所述网络控制器将所述第一路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第二边缘网络设备。
2. 如权利要求1所述的由计算机实现的方法,其中所述第一ZFW策略包括检查动作,并且所述方法还包括:
从所述主路由表确定所述一个或多个第二网络段、所述一个或多个第二边缘网络设备、所述一个或多个第一边缘网络设备和所述一个或多个第一网络段之间的第二路由信息;并且
响应于接收到源与所述一个或多个第一网络段相对应并且目的地与所述一个或多个第二网络段相对应的流量而将所述第二路由信息发送到所述一个或多个第二边缘网络设备和所述一个或多个第一边缘网络设备。
3.如权利要求1或2所述的由计算机实现的方法,其中所述多个网络段包括多个虚拟专用网(VPN),所述区域定义信息包括将所述多个VPN映射到所述一个或多个区域的信息。
4.如权利要求1所述的由计算机实现的方法,其中所述多个网络段包括以下所列项中的至少一者:共享路由属性的多个网络对象,共享封包头部属性的多个网络对象,共享封包有效载荷属性的多个网络对象,共享身份信息的多个网络对象,多个虚拟局域网(VLAN),多个虚拟网络标识符(VNID),多个虚拟路由和转发实例(VRF),多个端点群组(EPG),或者共享位置或网络站点标识符的多个网络对象;所述区域定义信息包括将以下所列项中的至少一者映射到所述一个或多个区域的信息:所述共享路由属性的多个网络对象,所述共享封包头部属性的多个网络对象,所述共享封包有效载荷属性的多个网络对象,所述共享身份信息的多个网络对象,所述多个VLAN,所述多个VNID,所述多个VRF,所述多个EPG,或者所述共享位置或网络站点标识符信息的多个网络对象。
5.如权利要求1所述的由计算机实现的方法,其中第一次从所述一个或多个第一边缘网络设备不可到达被映射到第三区域的网络段,并且所述一个或多个第一边缘网络设备排除被映射到所述第三区域的任何网络段和所述一个或多个第一边缘网络设备之间的第二路由信息。
6.如权利要求5所述的由计算机实现的方法,还包括:
确定第二次从所述一个或多个第一边缘网络设备可到达被映射到所述第三区域的一个或多个第三网络段;
利用所述一个或多个第三网络段和所述一个或多个第一边缘网络设备之间的第二路由信息来更新所述主路由表;
评估第二ZFW策略以确定所述一个或多个第一边缘网络设备能够到达所述一个或多个第三网络段并且所述第三区域是由所述第二ZFW策略指定的第二源区域,能够到达被映射到由所述第二ZFW策略指定的第二目的地区域的一个或多个第四网络段的一个或多个第三边缘网络设备,以及来自所述主路由表的所述一个或多个第三网络段、所述一个或多个第一边缘网络设备、所述一个或多个第三边缘网络设备和所述一个或多个第四网络段之间的第三路由信息;并且
将所述第三路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第三边缘网络设备。
7. 如权利要求1所述的由计算机实现的方法,还包括:
确定从所述一个或多个第一边缘网络设备不再可到达所述一个或多个第一网络段;并且
从所述一个或多个第一边缘网络设备中移除所述第一路由信息。
8.如权利要求7所述的由计算机实现的方法,还包括:
确定从一个或多个第三边缘网络设备可到达所述一个或多个第一网络段;
利用所述一个或多个第一网络段、所述一个或多个第三边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第二路由信息来更新所述主路由表;
评估所述第一ZFW策略以确定所述一个或多个第三边缘网络设备能够到达所述一个或多个第一网络段,所述一个或多个第二边缘网络设备,以及所述第二路由信息;并且
将所述第二路由信息发送到所述一个或多个第三边缘网络设备和所述一个或多个第二边缘网络设备。
9.如权利要求1所述的由计算机实现的方法,还包括:
接收对所述区域定义信息或者所述一个或多个ZFW策略中的至少一者的一个或多个更新;
基于所述一个或多个更新确定所述第一路由信息的至少一个第一路由不再可用;并且
从所述一个或多个第一边缘网络设备中移除所述第一路由。
10.如权利要求1所述的由计算机实现的方法,还包括:
确定与由所述第一ZFW策略指定的一个或多个源匹配条件相对应的一个或多个源前缀;
确定与由所述第一ZFW策略指定的一个或多个目的地匹配条件相对应的一个或多个目的地前缀;并且
基于所述一个或多个源前缀和所述一个或多个目的地前缀从所述主路由表取回所述第一路由信息。
11. 如权利要求10所述的由计算机实现的方法,还包括:
基于所述一个或多个目的地前缀和所述一个或多个源前缀从所述主路由表取回第二路由信息;并且
响应于接收到源与所述源前缀相对应并且目的地与所述一个或多个目的地前缀相对应的流量而将所述第二路由信息发送到所述一个或多个第二边缘网络设备和所述一个或多个第一边缘网络设备。
12.如权利要求1所述的由计算机实现的方法,还包括:
确定与所述第一ZFW策略的一个或多个默认源匹配条件相对应的一个或多个源前缀;
确定与所述第一ZFW策略的一个或多个默认目的地匹配条件相对应的一个或多个目的地前缀;并且
基于所述一个或多个源前缀和所述一个或多个目的地前缀从所述主路由表取回所述第一路由信息。
13. 一种系统,包括:
一个或多个处理器;以及
包括指令的存储器,所述指令当被所述一个或多个处理器执行时,使得所述系统:
为从由所述系统管理的多个边缘网络设备可到达的多个网络段生成主路由表;
接收将所述多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个基于区域的防火墙(ZFW)策略,以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量,其中每个区域与所述多个边缘网络设备的接口解除绑定;
评估第一ZFW策略以确定能够到达被映射到由所述第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,能够到达被映射到由所述第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自所述主路由表的所述一个或多个第一网络段、所述一个或多个第一边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第一路由信息;并且
将所述第一路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第二边缘网络设备。
14.如权利要求13所述的系统,其中所述多个网络段包括多个虚拟专用网(VPN),所述区域定义信息包括将所述多个VPN映射到所述一个或多个区域的信息。
15.如权利要求13或14所述的系统,其中所述指令当被执行时还使得所述系统:
确定从所述一个或多个第一边缘网络设备可到达被映射到第三区域的一个或多个第三网络段;
利用所述一个或多个第三网络段和所述一个或多个第一边缘网络设备之间的第二路由信息来更新所述主路由表;
评估第二ZFW策略以确定所述一个或多个第一边缘网络设备能够到达所述一个或多个第三网络段并且所述第三区域是由所述第二ZFW策略指定的第二源区域,能够到达被映射到由所述第二ZFW策略指定的第二目的地区域的一个或多个第四网络段的一个或多个第三边缘网络设备,以及来自所述主路由表的所述一个或多个第三网络段、所述一个或多个第一边缘网络设备、所述一个或多个第三边缘网络设备和所述一个或多个第四网络段之间的第三路由信息;并且
将所述第三路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第三边缘网络设备。
16.如权利要求13所述的系统,其中所述指令当被执行时还使得所述系统:
确定从所述一个或多个第一边缘网络设备不再可到达所述一个或多个第一网络段;
从所述一个或多个第一边缘网络设备中移除所述第一路由信息;
确定从一个或多个第三边缘网络设备可到达所述一个或多个第一网络段;
利用所述一个或多个第一网络段、所述一个或多个第三边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第二路由信息来更新所述主路由表;
评估所述第一ZFW策略以确定所述一个或多个第三边缘网络设备能够到达所述一个或多个第一网络段,所述一个或多个第二边缘网络设备,以及所述第二路由信息;并且
将所述第二路由信息发送到所述一个或多个第三边缘网络设备和所述一个或多个第二边缘网络设备。
17.一种非暂态计算机可读存储介质,包括指令,所述指令在被系统的一个或多个处理器执行时,使得所述系统:
为从由所述系统管理的多个边缘网络设备可到达的多个网络段生成主路由表;
接收将所述多个网络段映射到一个或多个区域的区域定义信息,以及一个或多个基于区域的防火墙(ZFW)策略,以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量,其中每个区域与所述多个边缘网络设备的接口解除绑定;
评估第一ZFW策略以确定能够到达被映射到由所述第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,能够到达被映射到由所述第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自所述主路由表的所述一个或多个第一网络段、所述一个或多个第一边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第一路由信息;并且
将所述第一路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第二边缘网络设备。
18.如权利要求17所述的非暂态计算机可读存储介质,其中所述多个网络段包括以下所列项中的至少一者:共享路由属性的多个网络对象,共享封包头部属性的多个网络对象,共享封包有效载荷属性的多个网络对象,共享身份信息的多个网络对象,多个虚拟局域网(VLAN),多个虚拟网络标识符(VNID),多个虚拟路由和转发实例(VRF),多个端点群组(EPG),或者共享位置或网络站点标识符的多个网络对象;所述区域定义信息包括将以下所列项中的至少一者映射到所述一个或多个区域的信息:所述共享路由属性的多个网络对象,所述共享封包头部属性的多个网络对象,所述共享封包有效载荷属性的多个网络对象,所述共享身份信息的多个网络对象,所述多个VLAN,所述多个VNID,所述多个VRF,所述多个EPG,或者所述共享位置或网络站点标识符信息的多个网络对象。
19.如权利要求17或18所述的非暂态计算机可读存储介质,其中所述指令当被执行时还使得所述系统:
接收对所述区域定义信息或者所述一个或多个ZFW策略中的至少一者的一个或多个更新;
基于所述一个或多个更新确定所述第一路由信息的至少一个第一路由不再可用;并且
从所述一个或多个第一边缘网络设备中移除所述第一路由。
20.如权利要求17所述的非暂态计算机可读存储介质,其中所述指令当被执行时还使得所述系统:
确定与由所述第一ZFW策略指定的一个或多个源匹配条件相对应的一个或多个源前缀;
确定与由所述第一ZFW策略指定的一个或多个目的地匹配条件相对应的一个或多个目的地前缀;
从所述主路由表取回所述一个或多个源前缀和所述一个或多个目的地前缀之间的所述第一路由信息;
从所述主路由表取回所述一个或多个目的地前缀和所述一个或多个源前缀之间的第二路由信息;并且
响应于接收到源与所述源前缀相对应并且目的地与所述一个或多个目的地前缀相对应的流量而将所述第二路由信息发送到所述一个或多个第二边缘网络设备和所述一个或多个第一边缘网络设备。
21.一种装置,包括:
用于由网络控制器为从由所述网络控制器管理的多个边缘网络设备可到达的多个网络段生成主路由表的装置;
用于由所述网络控制器接收将所述多个网络段映射到一个或多个区域的区域定义信息以及一个或多个基于区域的防火墙(ZFW)策略以应用到由每个ZFW策略指定的源区域和目的地区域之间的流量的装置,其中每个区域与所述多个边缘网络设备的接口解除绑定;
用于由所述网络控制器评估第一ZFW策略以确定能够到达被映射到由所述第一ZFW策略指定的第一源区域的一个或多个第一网络段的一个或多个第一边缘网络设备,能够到达被映射到由所述第一ZFW策略指定的第一目的地区域的一个或多个第二网络段的一个或多个第二边缘网络设备,以及来自所述主路由表的所述一个或多个第一网络段、所述一个或多个第一边缘网络设备、所述一个或多个第二边缘网络设备和所述一个或多个第二网络段之间的第一路由信息的装置;以及
用于由所述网络控制器将所述第一路由信息发送到所述一个或多个第一边缘网络设备和所述一个或多个第二边缘网络设备的装置。
22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至12的任何一项所述的方法的装置。
23.一种包括指令的计算机可读介质,所述指令当被计算机执行时使得所述计算机执行如权利要求1至12的任何一项所述的方法的步骤。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862774103P | 2018-11-30 | 2018-11-30 | |
US62/774,103 | 2018-11-30 | ||
US16/434,115 | 2019-06-06 | ||
US16/434,115 US11201854B2 (en) | 2018-11-30 | 2019-06-06 | Dynamic intent-based firewall |
PCT/US2019/060910 WO2020112345A1 (en) | 2018-11-30 | 2019-11-12 | Dynamic intent-based firewall |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113169967A CN113169967A (zh) | 2021-07-23 |
CN113169967B true CN113169967B (zh) | 2023-06-16 |
Family
ID=69160212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980078184.4A Active CN113169967B (zh) | 2018-11-30 | 2019-11-12 | 动态的基于意图的防火墙 |
Country Status (7)
Country | Link |
---|---|
US (2) | US11201854B2 (zh) |
EP (1) | EP3888323A1 (zh) |
JP (1) | JP7332689B2 (zh) |
CN (1) | CN113169967B (zh) |
AU (1) | AU2019390284A1 (zh) |
CA (1) | CA3120672A1 (zh) |
WO (1) | WO2020112345A1 (zh) |
Families Citing this family (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US11102032B2 (en) | 2017-10-02 | 2021-08-24 | Vmware, Inc. | Routing data message flow through multiple public clouds |
US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
US11159420B2 (en) * | 2019-04-17 | 2021-10-26 | Cloudflare, Inc. | Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network |
US20210037091A1 (en) * | 2019-07-30 | 2021-02-04 | Cisco Technology, Inc. | Peer discovery process for disconnected nodes in a software defined network |
US11018995B2 (en) | 2019-08-27 | 2021-05-25 | Vmware, Inc. | Alleviating congestion in a virtual network deployed over public clouds for an entity |
US10938717B1 (en) | 2019-09-04 | 2021-03-02 | Cisco Technology, Inc. | Policy plane integration across multiple domains |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11381557B2 (en) * | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11611507B2 (en) | 2019-10-28 | 2023-03-21 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
CN112866042B (zh) * | 2019-11-12 | 2023-07-18 | 中兴通讯股份有限公司 | 网络质量检测方法、装置、计算机设备和计算机可读介质 |
US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
US11438789B2 (en) | 2020-01-24 | 2022-09-06 | Vmware, Inc. | Computing and using different path quality metrics for different service classes |
US11153180B1 (en) * | 2020-04-15 | 2021-10-19 | Verizon Patent And Licensing Inc. | Intelligent and assisted intent builder |
US11245641B2 (en) | 2020-07-02 | 2022-02-08 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
US11363124B2 (en) | 2020-07-30 | 2022-06-14 | Vmware, Inc. | Zero copy socket splicing |
US20220131880A1 (en) * | 2020-10-27 | 2022-04-28 | Level 3 Communications, Llc | Autonomous network security scaling |
US11818096B2 (en) * | 2020-10-29 | 2023-11-14 | Cisco Technology, Inc. | Enforcement of inter-segment traffic policies by network fabric control plane |
US11444865B2 (en) | 2020-11-17 | 2022-09-13 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
US11777760B2 (en) * | 2020-12-30 | 2023-10-03 | Hughes Network Systems, Llc | VPN classification to reduce usage costs while retaining responsiveness |
US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
US11438747B1 (en) * | 2021-03-24 | 2022-09-06 | Verizon Patent And Licensing Inc. | Systems and methods for device traffic steering using edge DNS mediation service (EDMS) |
US20220321604A1 (en) * | 2021-03-30 | 2022-10-06 | Juniper Networks, Inc. | Intent-based enterprise security using dynamic learning of network segment prefixes |
US20220330024A1 (en) * | 2021-04-09 | 2022-10-13 | Saudi Arabian Oil Company | Third party remote access point on enterprise network |
US11582144B2 (en) | 2021-05-03 | 2023-02-14 | Vmware, Inc. | Routing mesh to provide alternate routes through SD-WAN edge forwarding nodes based on degraded operational states of SD-WAN hubs |
US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
US11956150B1 (en) * | 2021-05-24 | 2024-04-09 | T-Mobile Innovations Llc | Programmable networking device for packet processing and security |
US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
US11799731B2 (en) * | 2021-06-25 | 2023-10-24 | Microsoft Technology Licensing, Llc | Representation and orchestration for virtual wide area networks |
US11627075B2 (en) | 2021-07-15 | 2023-04-11 | Microsoft Technology Licensing, Llc | Stitching multiple wide area networks together |
US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
US20230025586A1 (en) * | 2021-07-24 | 2023-01-26 | Vmware, Inc. | Network management services in a secure access service edge application |
CA3231819A1 (en) * | 2021-09-14 | 2023-03-23 | Matias KATZ | Apparatus and method for remote access to communication systems |
US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
CN114301842B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
US12021746B2 (en) * | 2022-02-17 | 2024-06-25 | Cisco Technology, Inc. | Inter-working of a software-defined wide-area network (SD-WAN) domain and a segment routing (SR) domain |
US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060478A (zh) * | 2007-03-27 | 2007-10-24 | 华为技术有限公司 | 一种路由器及路由器发布路由信息的方法 |
CN101656670A (zh) * | 2008-08-14 | 2010-02-24 | 丛林网络公司 | 具有集成mpls-感知防火墙的路由装置 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7143151B1 (en) * | 1998-05-19 | 2006-11-28 | Hitachi, Ltd. | Network management system for generating setup information for a plurality of devices based on common meta-level information |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
CN100417078C (zh) * | 2004-05-10 | 2008-09-03 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
CN101116052A (zh) * | 2004-12-21 | 2008-01-30 | 米斯特科技有限公司 | 网络接口及防火墙设备 |
CN100426794C (zh) * | 2005-10-11 | 2008-10-15 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
WO2012098596A1 (en) | 2011-01-20 | 2012-07-26 | Nec Corporation | Communication system, control device, policy management device, communication method, and program |
US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
US9444651B2 (en) * | 2011-08-17 | 2016-09-13 | Nicira, Inc. | Flow generation from second level controller to first level controller to managed switching element |
CN102710669B (zh) * | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
US9369431B1 (en) * | 2013-02-07 | 2016-06-14 | Infoblox Inc. | Security device controller |
US9699034B2 (en) * | 2013-02-26 | 2017-07-04 | Zentera Systems, Inc. | Secure cloud fabric to connect subnets in different network domains |
US10587576B2 (en) | 2013-09-23 | 2020-03-10 | Mcafee, Llc | Providing a fast path between two entities |
US9639431B2 (en) * | 2014-10-15 | 2017-05-02 | Netapp, Inc. | Fault policy implementation |
US10129293B2 (en) | 2015-02-23 | 2018-11-13 | Level 3 Communications, Llc | Managing traffic control in a network mitigating DDOS |
US10511490B2 (en) * | 2015-06-19 | 2019-12-17 | International Business Machines Corporation | Automated configuration of software defined network controller |
-
2019
- 2019-06-06 US US16/434,115 patent/US11201854B2/en active Active
- 2019-11-12 AU AU2019390284A patent/AU2019390284A1/en active Pending
- 2019-11-12 WO PCT/US2019/060910 patent/WO2020112345A1/en unknown
- 2019-11-12 CN CN201980078184.4A patent/CN113169967B/zh active Active
- 2019-11-12 JP JP2021521411A patent/JP7332689B2/ja active Active
- 2019-11-12 EP EP19836180.0A patent/EP3888323A1/en active Pending
- 2019-11-12 CA CA3120672A patent/CA3120672A1/en active Pending
-
2021
- 2021-10-26 US US17/511,412 patent/US11870755B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060478A (zh) * | 2007-03-27 | 2007-10-24 | 华为技术有限公司 | 一种路由器及路由器发布路由信息的方法 |
CN101656670A (zh) * | 2008-08-14 | 2010-02-24 | 丛林网络公司 | 具有集成mpls-感知防火墙的路由装置 |
Also Published As
Publication number | Publication date |
---|---|
CA3120672A1 (en) | 2020-06-04 |
JP2022511404A (ja) | 2022-01-31 |
US20200177550A1 (en) | 2020-06-04 |
EP3888323A1 (en) | 2021-10-06 |
US20220052984A1 (en) | 2022-02-17 |
US11870755B2 (en) | 2024-01-09 |
US11201854B2 (en) | 2021-12-14 |
WO2020112345A1 (en) | 2020-06-04 |
AU2019390284A1 (en) | 2021-06-17 |
JP7332689B2 (ja) | 2023-08-23 |
CN113169967A (zh) | 2021-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113169967B (zh) | 动态的基于意图的防火墙 | |
CN113169930B (zh) | 跨多个管理域的端到端身份知晓路由 | |
US11329950B2 (en) | Wide area network edge device connectivity for high availability and extensibility | |
US11533257B2 (en) | Policy plane integration across multiple domains | |
US10826775B1 (en) | Policy plane integration across multiple domains | |
WO2020205893A1 (en) | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints | |
US20230261963A1 (en) | Underlay path discovery for a wide area network | |
AU2021325836B2 (en) | Network service access and data routing based on assigned context | |
WO2023158959A1 (en) | Underlay path discovery for a wide area network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |