CN113853776A - 具有多站点数据中心结构的多租户工作负载的以应用为中心的执行 - Google Patents
具有多站点数据中心结构的多租户工作负载的以应用为中心的执行 Download PDFInfo
- Publication number
- CN113853776A CN113853776A CN202080035353.9A CN202080035353A CN113853776A CN 113853776 A CN113853776 A CN 113853776A CN 202080035353 A CN202080035353 A CN 202080035353A CN 113853776 A CN113853776 A CN 113853776A
- Authority
- CN
- China
- Prior art keywords
- host
- packet
- switch
- site
- class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本公开为具有多站点数据中心结构的多租户工作负载提供了以应用为中心的执行,方法是:在第一站点的本地交换机处接收来自第一站点的第一主机的分组,该分组旨在用于位于第二站点的第二主机;识别主机的类标识符(ID);基于类ID,确定用于在主机之间传送数据的安全策略;响应于确定安全策略指示第二站点专门管理主机网络的安全策略:在分组上设定策略应用指标,指示安全策略的执行从第一交换机委托给与第二主机连接的第二交换机;分组中包括类ID;并将分组传送到第二站点。
Description
技术领域
本公开中呈现的实施例总体上涉及站点位于彼此不同的地理位置的为多个租户服务的网络结构。更具体地说,本文中公开的实施例涉及在网络结构上的多个站点处为给定租户实施安全策略。
背景技术
许多数据中心租户将工作负载分散在彼此处于不同地理位置的站点。工作负载可以包括服务/应用提供商工作负载以及访问服务/应用提供商工作负载的客户工作负载。在数据中心的给定站点,一个或多个路由器或交换机接收来自站点外的传入通信,并基于各种安全策略将这些通信转发到连接到路由器或交换机的一个或多个主机。类似地,路由器接收来自主机的传出通信,并基于各种安全策略将这些通信发送到站点外的设备。安全策略的示例可以包括:给定主机(或给定主机上的工作负载)是否被许可与另一设备通信的规则;以及如何处理不被许可的通信。不被许可的通信可以被丢弃或忽略、被隔离或被标记为行政关注,而许可的通信则被转发给预定的接收者(站点的内部或外部)。租户可以为在主机上运行的各种工作负载分配各种安全策略,但随着站点数量的增加,在若干站点上维护相同的安全策略的复杂性也在增加。
附图说明
为了能够详细理解本公开的上述特征的方式,可以通过参考实施例对上文简要概述的本公开进行更具体的描述,其中一些实施例示出在附图中。然而,需要注意的是,附图示出了典型的实施例,因此不应视为限制性的;可以设想其他同样有效的实施例。
图1示出了根据本公开的实施例的网络结构;
图2示出了根据本公开的实施例的通信路径;
图3是根据本公开的实施例的用于处理来自网络交换机处的入口站点的出站分组的方法的流程图。
图4是根据本公开的实施例的用于处理网络交换机处的入站分组的方法的流程图。
图5示出了根据本公开的实施例的用于远程主机的类标识符的学习场景。
图6示出了根据本公开的实施例的网络交换机的硬件。
为了便于理解,在可能的情况下,使用相同的附图标记指定图中共同的相同元素。可以设想,一个实施例中公开的元素可以有益地用于其他实施例,而不需要具体陈述。
具体实施方式
概述
本发明的各方面在独立权利要求中列出,优选特征在从属权利要求中列出。一个方面的特征可以单独应用于每个方面,也可以与其他方面相结合。
本公开中提出的一个实施例提供了一种用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行的方法,该方法包括:在第一站点处的本地交换机处接收来自所述第一站点的第一主机的分组,该分组旨在用于位于与所述第一站点不同地理位置的第二站点处的第二主机;从所述第一站点处维护的数据库识别用于所述第二主机的第二类标识符(ID),其中用于所述第一主机的第一类标识符对于所述本地交换机来说是已知的;基于所述第一类ID和所述第二类ID,确定用于将数据从所述第一主机传送到所述第二主机的安全策略;响应于确定所述安全策略指示所述第二站点专门管理包括所述第一主机和所述第二主机的软件定义网络的安全策略:在所述分组上设定源自策略覆盖指标的策略应用指标,该策略应用指标指示所述安全策略的执行被从所述第一交换机委托给连接到所述第二站点处的所述第二主机的第二交换机;在所述分组中包括所述第一类ID和所述第二类ID;以及将所述分组传送到所述第二站点。
本公开中提出的一个实施例提供了一种用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行方法,该方法包括:在第一站点的本地交换机处接收来自位于第二站点的远程主机的分组,其中该分组旨在用于位于所述第一站点的本地主机,其中所述分组包括策略应用指标;以及响应于确定所述策略应用指标指示用于所述远程主机和所述本地主机之间通信的安全策略被委托给所述本地交换机,对所述本地交换机处的所述分组应用所述安全策略,其中对所述分组应用所述安全策略使得所述本地交换机将所述分组发送到所述本地主机。
本公开中提出的一个实施例提供了一种具有用于多租户工作负载的以应用为中心的执行的网络结构,该网络结构包括:第一站点,该第一站点包括:第一主机;以及与所述第一主机通信的第一交换机;第二站点,位于与所述第一站点不同的地理位置并通过站点间网络与所述第一站点进行通信,该第二站点包括:第二主机;以及与所述第二主机通信的第二交换机,其中,所述网络结构的安全策略被本地化到所述第一站点,其中,所述第二交换机被配置为:响应于从所述第二主机接收到去往所述第一主机的第一分组并确定所述网络结构的所述安全策略被本地化到所述第一站点,在所述第一分组中包括所述第一主机的第一类标识符(ID)、所述第二主机的第二类ID和策略应用指标;以及将所述第一分组传送到所述第一站点;并且其中,所述第一交换机被配置为响应于接收到所述第一分组,基于所述策略应用指标确定所述第二交换机将所述安全策略的执行委托给所述第一交换机;以及基于所述第一类ID和所述第二类ID,将所述安全策略应用于所述第一分组。
还描述了用于实施本文所述方法的系统和装置,包括网络节点、计算机程序、计算机程序产品、计算机可读介质和编码在有形介质上用于实施该方法的逻辑。
示例性实施例
在分布于多个地点的多租户网络环境中,将安全策略部署到多个站点可能是时间和资源密集型的,并且在将新的安全策略部署到不同站点时可能导致服务停机或分布不均。通过将安全策略的应用集中到与提供服务的主机连接的网络交换机,而不是将安全策略分布到与提供服务的主机或该服务的客户连接的每个网络交换机,网络运营商可以保留硬件和计算资源,去除与在共享子网内共同存放不同安全策略的多个应用有关的操作障碍,并更一致且更快速地部署安全策略以影响租户的工作负载。
图1示出了根据本公开的实施例的网络结构100。所示的网络结构100是软件定义的网络(SDN),其包括第一站点110a(一般来说,站点110)、第二站点110b以及第三站点110c,其中站点110中的每一者均位于彼此不同的地理位置(即,是远程定位)。尽管本文的示例中讨论了三个站点110a-c,但在其他示例中,网络结构100可以包括多于三个或少于三个的站点110。尽管远程定位的元素之间有距离,但是站点110中的每一者均通过网络160(如互联网或另一个公共网络)与网络结构100中的其他站点110连接,以作为一个单一的网络运行。
在图1中,每个站点110包括各种脊交换机120和叶交换机130,它们可以基于通信路径、站点110的租户等被划分为各种集群。脊交换机120和叶交换机130是专门的计算机网络设备,用于网络内的数据路由。可用于脊交换机120或叶交换机130的示例性硬件实例将关于图6进行讨论。在各种实施例中,脊交换机120和叶交换机130可以在内部缓存中或在外部缓存(例如与关于图5讨论的终端数据库510)中保留与其连接的设备或先前与交换机通信的设备的寻址信息。
如图所示,叶交换机130通过脊交换机120路由通信流,并且脊交换机120通过叶交换机130路由通信流。换句话说,在站点110内,脊交换机120不与其他脊交换机120直接通信,叶交换机130不与其他叶交换机130直接通信。在图示的网络结构100中,远程站点110中的脊交换机120被通信在一起,以通过公共网络160将站点110链接到网络结构100中。每个站点110中的脊交换机120均可以具有一个或多个接口,该接口专门用于处理来自主机设备140的通信,这些通信从本地站点110通过公共网络160外部发送至网络结构100中的远程站点110处的一个或多个脊交换机120。此外,每个站点110均包括各自的本地站点控制器150,以控制相关站点110。可以使用软件、硬件或其组合来实施本地站点控制器150。尽管在图1中,每个脊交换机120均被图示为与给定站点110中的每个叶交换机130连接,但也设想到了其他布置。
各种主机设备140连接到叶交换机130,并且为各种租户托管工作负载。租户可以定义各种类标识符(也被称为类ID),并将这些类ID分配给由主机设备140提供的各种设备和服务。主机设备可以为网络结构100的各种租户提供服务或客户端,尽管在图1中为每个站点110图示了一个主机设备140,但可以理解的是,网络结构100可以包括多个主机设备140,其中每个单独的主机设备140均连接到单独的叶交换机130。每个叶交换机130均可以连接到一个或多个主机设备140,主机设备可以分配给一个或多个不同的租户。
因为若干不同的租户可以共享给定站点110中提供的计算资源,并且租户可能希望管理与特定租户相关联的工作负载之间的通信,所以租户可以为如何处理通信而指定各种安全策略。例如,安全策略可以:允许第一工作负载与第二工作负载进行通信;可以阻止来自第一工作负载的通信被第二工作负载接收;可以限制第一工作负载只从已知来源接收通信(例如白名单);可以阻止第一工作负载从已知来源接收通信(例如黑名单),等等。当安全策略阻止通信或以其他方式阻止通信被给定工作负载接收时,通信可以被丢弃、忽略、隔离(例如,保留或转发到不同的设备以进行分析)或转发到与最初指定目的地不同的设备或工作负载。当安全策略在叶交换机130处实施时,允许传入的分组到达预期工作负载的决定导致叶交换机130将分组交付给指定的主机设备140,阻止分组被指定的主机设备140接收,或将分组转发到不同的主机设备140或节点(例如,隔离设备)。
随着连接到网络结构100的主机设备140的数量增加以及包括在网络结构100中的站点110的数量增加,指定是否允许发送主机设备140和接收主机设备140之间的通信的安全策略的均匀且一致的部署变得更加困难。换句话说,随着网络结构100的规模和复杂性的增加,安全策略面临着可扩展性挑战。然而,通过将安全策略的实施集中到网络结构100中的单个叶交换机130(例如,为提供服务/应用提供商工作负载的主机设备140提供服务),其他叶交换机130(例如,为提供客户工作负载的主机设备140提供服务)可以将安全策略的执行委托给一个叶交换机130,并由此克服可扩展性挑战。执行安全策略的第一叶交换机130维护由租户(或由租户指定的特定服务)设定的安全策略,而其他叶交换机130在传送到主机设备140的消息中表明,安全策略的执行已经被推迟或委托给第一叶交换机130。
图2示出了一种通信场景200,其中安全策略的执行已经被定位到第一站点110a,以用于第一站点110a和第二站点110b之间的通信。第一站点110a至少包括:维护和应用安全策略210的第一叶交换机130a;第四叶交换机130d;第一脊交换机120a;和第四脊交换机120d。第二站点110b至少包括:第二叶交换机130b;第三叶交换机130c;第二脊交换机120b;和第三脊交换机120c。在图示的通信场景中,为租户提供服务的第一主机设备140a连接到第一叶交换机130a,为租户提供客户端工作负载以访问服务提供商工作负载(由第一主机设备140a提供)的第二主机设备140b连接到第二叶交换机130b,并且第三主机设备140c(其可能与另一主机设备140b的租户或不同的租户相关)连接到第三叶交换机130c。
如图2所示,安全策略210允许(或许可)第一主机设备140a和第二主机设备140b之间的通信,并拒绝(即,不允许或许可)第一主机设备140a和第三主机设备140c之间的通信。
尽管关于图2讨论的通信场景200表明通信通过特定的脊开关120进行路由,但可以理解的是,通信也可以通过其他脊开关120进行路由(例如,通过第四脊开关120d而不是第一脊开关120a,反之亦然,通过第三脊开关120c而不是第二脊开关120b,反之亦然,或者通过未示出的另一个脊开关120)。换句话说,在给定的站点110中,与指定的主机设备140的相关叶交换机130进行通信的任何一个脊交换机120可用于从/到指定的主机设备140路由通信到/从网络160。
在图2中,示出了第一主机设备140a和第二主机设备140b之间的第一通信路径220a(一般来说,通信路径220),该路径穿过第一叶开关130a、第一脊开关120a、网络160、第二脊开关120b和第二叶开关130b。第一通信路径220a可以传送从第一主机设备140a发送至第二主机设备140b的分组和/或从第二主机设备140b发送至第一主机设备140a的分组。第一主机设备140a和第三主机设备140c之间的第二通信路径220b穿过第一叶开关130a、第一脊开关120a、网络160、第三脊开关120c和第三叶开关130c。第二通信路径220b可以传送从第一主机设备140a发送至第三主机设备140c的分组和/或从第三主机设备140c发送至第一主机设备140a的分组。
因为在通信路径220上传送的分组穿过第一叶开关130a,所以不管是从第一主机设备140a寻址还是向第一主机设备140a寻址,第一叶开关130a都可以将安全策略210应用于通信路径220上传送的所有通信,从而使第二叶开关130b或第三叶开关130c不必为通信路径220维护和应用一套安全策略210。
对于源自第二主机设备140b或第三主机设备140c并以第一主机设备140a为目的地的分组,第二站点110b中的相关第二叶交换机130b指示安全策略210的执行已被覆盖,并因此委托给第一叶交换机130a来应用。通过在第二站点110b覆盖安全策略210的执行,站点110之间的转发平面允许源自第二站点110b的通信到达第一站点110a,即使在安全策略210(或缺乏相关的安全策略210)以其他方式阻止或放弃该通信的情况下亦如此。因此,在第一通信路径220a上从第二主机设备140b传送到第一主机设备140a的分组和在第二通信路径220b上从第三主机设备140c传送的分组都到达第一叶开关130a。然而,第一叶开关130a应用安全策略210并确定是否将分组转发到第一主机设备140a(例如,来自第二主机设备140b)或阻止第一主机设备140a接收该分组(例如,来自第三主机设备140c)。
对于源自第一主机设备140a并以第二主机设备140b或第三主机设备140c为目的地的分组,第一叶交换机130a将安全策略210应用于出站分组。第一叶开关130a阻止、丢弃、隔离或重定向安全策略210不许可从第一主机设备140a传到第二主机设备140b的任何分组。因此,由第一叶开关130a接收的来自第一主机设备140a寻址到第二主机设备140b的分组被许可在第一通信路径220a上继续,而来自第一主机设备140a寻址到第三主机设备140c的分组在第一叶开关130a处被阻止在第二通信路径220b上继续。
在一些实施例中,第二主机设备140b和第三主机设备140c可以容纳在同一子网中(例如,都在20.20.0.0/16中),但是属于不同的端点组,并因此受制于不同的安全策略210。因此,尽管网络的转发平面将把流量从第一主机设备140a路由到第二主机设备140b和第三主机设备140c,但安全策略210应阻止或拒绝第二通信路径220b上的通信,但许可或允许第一通信路径220a上的通信。
图3是根据本公开的实施例的用于在叶交换机上处理出站分组的方法300的流程图。在方框310处,本地交换机(例如,第一站点的本地)接收来自第一主机的分组,该分组旨在用于位于不同地理位置的远程站点的第二主机。例如,参考图2,第一站点110a中的第一叶交换机130a可以从第一主机设备140a接收预定用于第二主机设备140b的分组。
在各种实施例中,本地交换机不知道或没有提供第二主机的物理地址;IP(互联网协议)地址、MAC(媒体访问控制)地址、VLAN(虚拟局域网)地址,和/或VXLAN(虚拟可扩展局域网)地址可能对本地交换机是未知的。相反,在方框320处,本地交换机识别(例如,查找)目标主机的类ID。远程主机的类ID存储在数据库中(维护在站点的脊交换机上),该数据库以对话方式或通过慢速路径端点学习机制来学习和存储远程主机的类ID(关于图5有更详细的讨论)。因为本地交换机与第一主机连接,所以本地交换机不需要查找第一主机的类ID;本地交换机已经知道第一主机的类ID。主机的类ID识别由不同的主机提供(例如,A型的服务提供商、A型的客户、B型的客户)的租户=定义类型的设备或服务。
在方框330处,本地交换机确定哪个站点处理安全策略--本地站点或远程站点。本地交换机使用第一主机和第二主机的类ID来确定在本地交换机上是否维护了所识别的类ID的安全策略。响应于未识别用于在第一主机和第二主机之间传送数据的安全策略,本地交换机确定安全策略是远程(即,在远程站点)执行的,并且方法300进行到方框340。响应于识别用于在第一主机和第二主机之间传送数据的安全策略,本地交换机确定安全策略在本地执行,并且方法300进行到方框340。
在方框340处,本地交换机确定安全策略指定了如何处理第一主机和第二主机之间的通信。方法300进行到方框350,其中本地交换机应用该安全策略。根据安全策略指定的行动,当通信被拒绝时,方法300进行到方框360,或者当通信被许可时进行到方框370。
在方框360处,当安全策略拒绝第一主机和第二主机之间的通信时,本地交换机丢弃或阻止分组。在各种实施例中,丢弃/阻止的分组可以从本地交换机的存储器中删除、隔离、转发到另一个设备等。在一些实施例中,当安全策略拒绝分组被传送到第二主机时,本地交换机向第一主机指示。然后,方法300可以得出结论。
在方框370处,本地交换机在分组中设定策略应用指标,该指标衍生自将安全策略应用于分组的策略覆盖指标,该指标在收到分组时向远程交换机(连接到第二主机)识别用于第一主机和第二主机之间通信的安全策略是由本地交换机应用的,还是已经委托给远程交换机进行的。当策略覆盖指标为TRUE时,策略应用指标被设定为FALSE;表示安全策略没有被本地交换机应用,应该由远程交换机应用。当策略覆盖指标为FALSE时,本地交换机已经为指示的端点应用了适当的安全策略(根据方框340和350),并且本地交换机将策略应用指标设定为TRUE(对于根据方框350未丢弃的分组)。正如将理解的那样,在各种实施例中,TRUE和FALSE可以基于指定位的单个二进制值来指定(例如,将bitn=Obinary解释为FALSE,bitn=1binary解释为TRUE),或者可以在多个位的值中编码以增加安全性、防篡改或防错(例如,基于x位的共识值)。
在方框380处,当安全策略许可第一主机和第二主机之间的通信(按方框360)或本地交换机已将应用委托给远程交换机并设定覆盖指标(按方框340)时,本地交换机在分组中包括目的地主机的类ID和源主机的类ID(例如,与相应第一主机和第二主机相关联的第一类ID和第二类ID)。方法300从方框380进行到方框390,其中本地交换机将分组传送到远程目的地站点。在各种实施例中,本地交换机将分组转发到本地站点的脊交换机,该脊交换机通过公共网络将分组转发到远程站点。然后,方法300可以得出结论。
图4是根据本公开的实施例的用于在叶交换机处理入站分组的方法400的流程图。当本地交换机收到来自远程站点的分组(例如,根据关于图3描述的按方法300的方框390传送的分组)时,方法400在方框410处开始。
在方框420处,本地交换机确定在方框410中收到的分组是否包括设定为指示远程(发送)交换机已处理安全策略的执行的策略应用指标。当策略应用指标被设定成指示安全策略没有被远程交换机处理(例如,安全被委托给本地交换机或每个交换机都要应用安全策略)时,方法400进行到方框430。当策略应用指标被设定为指示安全策略已经被远程交换机处理时,方法400进行到方框450。
在方框430处,本地交换机基于本地(接收)主机和远程(发送)主机的类ID,确定要应用到分组的安全策略。在方框440处,本地交换机将安全策略应用于该分组。当安全策略指示该分组被允许或远程主机和本地主机以其他方式被许可通信时,方法400进行到方框450。当安全策略指示该分组被阻止或远程主机和本地主机以其他方式不被许可通信时,方法400进行到方框460。
在方框450处,本地交换机将分组转发到目标主机。当方法400到达方框450时,应用安全策略的远程交换机(如按方框420应用策略应用指标所示)或者应用安全策略的本地交换机(按方框440)。然后,方法400可以得出结论。
在方框460处,本地交换机丢弃或阻止分组交付到本地(目的地)主机。在各种实施例中,被丢弃/阻止的分组可以从本地交换机的存储器中删除、隔离、转发到另一个设备等。在一些实施例中,当安全策略拒绝将分组交付给本地(接收)主机时,本地交换机向远程(发送)主机指示。然后,方法400可以得出结论。
图5示出了用于远程主机(即,来自其他站点110的主机设备140和在其上运行的进程)的类ID的学习场景500。第一站点110a至少包括:第一叶开关130a;第四叶开关130d;维护第一端点数据库510a(大体上说,端点数据库510)的第一脊开关120a;和第四脊开关120d。第二站点110b至少包括:第二叶开关130b;第三叶开关130c;维护第二端点数据库510b的第二脊开关120b;和第三脊开关120c。第一站点110a和第二站点110b通过网络160相互通信。
当通信在两个站点110之间发送时,发送主机的类ID包括在通信中,并且接收通信的脊开关120可以将远程主机的类ID存储在相关的端点数据库510中,以便由该站点110的任何叶开关130使用。例如,第一脊开关120a从第二主机设备140b接收的通信包括第二主机设备140b的类ID,第一脊开关120a将其存储在第一端点数据库510a中。在另一个示例中,第二脊开关120b从第一主机设备140a接收的通信包括第一主机设备140a的类ID,第二脊开关120b将其存储在第二端点数据库510b中。从两个站点110之间发送的通信中学习和存储远程主机的类ID在这里被称为“对话式学习”及其变体。然而,如果位于不同站点110的主机之间的通信在预定的时间内没有被观察到,端点数据库510可能“老化”并删除在预定的时间内没有发送通信的主机的类ID。
为了在端点数据库510中不存在远程主机的类ID时更新或补充端点数据库510,每个脊开关120均可以查询其他站点的端点数据库510以提供所请求的主机的类ID。例如,对于从第一主机设备140a到第二主机设备140b的通信流,如果第一叶开关130a不知道第二主机设备140b的类ID,则第一叶开关130a向第一端点数据库510发送ID请求520以返回该类ID。
如果第一端点数据库510a不包括第二主机设备140b的类ID,则第一脊开关120a向第二站点110b的脊开关120(例如,第二脊开关120b)发送拾取请求530,该脊开关以所请求的类ID(例如,如存储在第二端点数据库510b中)进行答复。在各种实施例中,拾取请求530是响应于端点数据库510不包括类ID的ID请求520而发送的,而在其他实施例中,拾取请求530是定期发送的(例如,每h小时、每d天等)。
一旦第一端点数据库510a已经拾取或以其他方式了解了第二主机设备140b的类ID,第一脊开关120a就向第一叶节点130a发送回复540,该回复包括最初在ID请求中请求的第二主机设备140b的类ID。第一叶交换机130a可以在本地缓存第二主机设备140b的类ID,以便以后在主机设备140之间的通信中使用以及在确定是否按照方法300或400应用各种安全策略时使用,这分别关于图3和图4讨论。
图6示出了根据本公开的实施例的网络交换机600的硬件,该网络交换机600可被用作脊交换机120或叶交换机130中的一者。网络交换机600包括主管模块610和多个线卡620a-n。主管模块610包括处理器611和存储器612。存储器612存储由处理器611执行的软件指令。特别地,存储器612可存储根据本公开的各种安全策略210、类ID以及用于将数据路由到其他设备(例如,外部设备或网络结构中的其他网络交换机600)的指令,以便将安全策略210的执行本地化。当用作与服务提供商主机相关联的叶交换机130时,网络交换机600可以包括与服务相关联的一组给定的安全策略210,而当用作与客户主机相关联的脊交换机120或叶交换机时,可以省略安全策略210。正如将理解的那样,网络交换机600可以连接到几个主机,虽然省略与一个特定服务相关的安全策略210,但给定的网络交换机600可以包括与不同服务相关的安全策略210。
每个线卡620均包括控制路径处理器621、专用集成电路(ASIC)622、多个与ASIC622联接的端口/接口623、三元内容可寻址存储器(TCAM)624以及静态随机存取存储器(SRAM)625。控制路径处理器621是CPU/处理器,接收来自监管模块610的配置命令,对TCAM624和SRAM 625进行编程。ASIC 622是硬件设备,它根据TCAM 624和SRAM 625的内容,将端口/接口623处的传入分组引导到另一设备上的特定其他端口/接口。ASIC 622可以TCAM/SRAM中缓冲收到的分组,以便延迟传送到其他设备。线卡620中可能有多个TCAM/SRAM对。
综上所述,在一个实施例中,提供了用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行的方法,该方法是:在第一站点的本地交换机处接收来自第一站点的第一主机的分组,该分组旨在用于位于第二站点的第二主机;识别主机的类标识符(ID);基于类ID,确定用于在主机之间传送数据的安全策略;响应于确定该安全策略指示第二站点专门管理主机网络的安全策略:在分组上设定策略应用指标,指示安全策略的执行从第一交换机委托给连接到第二主机的第二交换机;在分组中包括类ID;并将分组传送到第二站点。
在本公开中,参考了各种实施例。然而,本公开的范围不限于具体描述的实施例。相反,所描述的特征和元素的任何组合,无论是否与不同的实施例有关,都被设想用来实施和实践所设想的实施例。此外,当实施例的元素以“A和B中的至少一个”的形式被描述时,可以理解为完全包括元素A、完全包括元素B以及包括元素A和B的实施例都是可以设想的。此外,尽管本文公开的一些实施例可能实现了比其他可能的解决方案或比现有技术的优势,但某一实施例是否实现了特定的优势并不限制本公开的范围。因此,这里公开的方面、特征、实施例和优点只是说明性的,不被视为所附权利要求的要素或限制,除非在权利要求中明确提及。同样,对“本发明”的提及不应被解释为对本文所公开的任何创造性主题的概括,也不应被认为是所附权利要求的要素或限制,除非在权利要求中明确提及。
正如本领域技术人员所理解的那样,本文公开的实施例可以体现为系统、方法或计算机程序产品。因此,实施例可以采取完全的硬件实施例、完全的软件实施例(包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例的形式,这些实施例在这里都可以一般称为“电路”、“模块”或“系统”。此外,实施例可以采取体现在一个或多个计算机可读介质中的计算机程序产品的形式,该介质上体现有计算机可读程序代码。
体现在计算机可读介质上的程序代码可以使用任何适当的介质进行传送,包括但不限于无线、有线、光缆、射频等或上述的任何适当组合。
用于执行本公开的实施例的操作的计算机程序代码可以用一种或多种编程语言的任何组合来编写,包括面向对象的编程语言(如Java、Smalltalk、C++或类似语言)以及传统的程序性编程语言(如“C”编程语言或类似编程语言)。程序代码可以完全在用户的计算机上执行,部分在用户的计算机上执行;作为一个独立的软件包,部分在用户的计算机上执行,部分在远程计算机上执行或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者连接到外部计算机(例如,通过互联网使用互联网服务提供商)。
这里参考根据本公开提出的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图来描述本公开的各个方面。可以理解的是,流程图图示和/或框图的每个方框以及流程图图示和/或框图中的方框的组合都可以通过计算机程序指令实施。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器,以产生一台机器,从而使通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实施流程图图示和/或框图中的方框所规定的功能/行为的手段。
这些计算机程序指令也可以存储在计算机可读介质中,该介质可以指示计算机、其他可编程数据处理设备或其他设备以特定方式运行,从而使存储在计算机可读介质中的指令产生包括实施流程图图示和/或框图的方框中指定的功能/行为的指令的制造品。
计算机程序指令也可以加载到计算机、其他可编程数据处理装置或其他设备上,以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,以产生计算机实施的过程,从而使在计算机、其他可编程数据处理装置或其他设备上执行的指令提供用于实施流程图图示和/或框图的方框中指定的功能/行为的过程。
图中的流程图图示和框图说明了根据各种实施例的系统、方法和计算机程序产品的可能实施的结构、功能和操作。在这方面,流程图图示或框图中的每个方框均可以代表模块、段或代码的一部分,其包括一个或多个用于实施指定逻辑功能的可执行指令。还应注意的是,在一些另选实施中,方框中指出的功能可以不按图中指出的顺序出现。例如,连续示出的两个方框实际上可以基本上同时执行,或者方框有时可以按相反的顺序执行,这取决于所涉及的功能。还将注意到,框图和/或流程图图示中的每个方框以及框图和/或流程图图示中的方框的组合可以由执行指定功能或行为的基于特殊目的硬件的系统或特殊目的硬件和计算机指令的组合来实施。
鉴于以上所述,本公开的范围是由所附权利要求书确定的。
Claims (25)
1.一种方法,包括:
在第一站点的本地交换机处接收来自所述第一站点处的第一主机的分组,该分组旨在用于位于与所述第一站点不同地理位置的第二站点处的第二主机;
从所述第一站点处维护的数据库识别用于所述第二主机的第二类标识符(ID),其中,用于所述第一主机的第一类ID对于所述本地交换机来说是已知的;
基于所述第一类ID和所述第二类ID,确定用于将数据从所述第一主机传送到所述第二主机的安全策略;
响应于确定所述安全策略指示所述第二站点专门管理包括所述第一主机和所述第二主机的软件定义网络的安全策略,执行以下操作:
在所述分组上设定源自策略覆盖指标的策略应用指标,该策略应用指标指示所述安全策略的执行被从第一交换机委托给所述第二站点处的第二交换机,所述第二交换机连接到所述第二主机;
在所述分组中包括所述第一类ID和所述第二类ID;以及
将所述分组传送到所述第二站点。
2.根据权利要求1所述的方法,还包括:
在所述第二站点处的所述第二交换机处,接收来自所述第一站点的所述分组;并且
响应于确定所述策略应用指标指示所述安全策略被从所述第一交换机委托给所述第二交换机,执行以下操作:
基于所述第一类ID和所述第二类标识符识别所述安全策略;以及
将所述安全策略应用于所述分组,其中,应用所述安全策略使得所述第二交换机将所述分组交付给所述第二主机。
3.根据权利要求2所述的方法,其中,所述第二主机与所述第二站点上的第三主机容纳在同一子网中,其中,所述第三主机由不同于所述第一主机和所述第二主机的租户操作,其中,对所述分组应用所述安全策略使得所述第二交换机阻止所述第三主机接收所述分组。
4.根据权利要求1至3中任一项所述的方法,还包括:
在所述本地交换机处接收来自所述第一主机的第二分组,该第二分组旨在用于位于所述第二站点处的第三主机,其中,所述第二主机的物理地址对于所述第一主机和所述本地交换机来说是未知的;
从所述第一站点处维护的所述数据库识别用于所述第三主机的第三类ID;
基于所述第一类ID和所述第三类ID,确定用于从将数据从所述第一主机传送到所述第三主机的第二安全策略;
响应于确定所述安全策略指示所述第一站点专门管理包括所述第一主机和所述第三主机的软件定义网络的安全策略,执行以下操作:
基于所述第二安全策略,确定许可向所述第三主机传送所述第二分组;
在所述分组中包括所述第一类ID和所述第二类ID;以及
将所述第二分组传送到所述第二站点。
5.根据权利要求1至4中任一项所述的方法,其中,所述第二主机的物理地址对于所述第一主机和所述本地交换机来说是未知的,并且所述物理地址是未知的包括:
分配给所述第二主机的IP(因特网协议)地址是未知的;
分配给所述第二主机的MAC(媒体访问控制)地址是未知;以及
分配给所述第二主机的vLAN(虚拟局域网)地址是未知。
6.根据权利要求1至5中任一项所述的方法,其中,所述第一站点处维护的所述数据库是在所述第一站点的脊交换机处维护的,并且定期地用来自所述第二站点的主机的类ID进行更新。
7.根据权利要求1至6中任一项所述的方法,其中,在所述第一站点处维护的所述数据库是在所述本地交换机处维护的表,该表被填充有从所述本地交换机处接收到的通信中以对话方式学习到的类ID。
8.一种方法,包括:
在第一站点的本地交换机处接收来自位于第二站点处的远程主机的分组,其中,该分组旨在用于位于所述第一站点处的本地主机,其中,所述分组包括策略应用指标;以及
响应于确定所述策略应用指标指示用于所述远程主机和所述本地主机之间通信的安全策略被委托给所述本地交换机,在所述本地交换机处对所述分组应用所述安全策略,其中,对所述分组应用所述安全策略使得所述本地交换机将所述分组发送到所述本地主机。
9.根据权利要求8所述的方法,还包括:
在所述本地交换机处接收来自位于所述第二站点处的第二远程主机的第二分组,其中,所述第二分组旨在用于所述本地主机,其中,所述第二分组包括第二策略应用指标;以及
响应于确定所述第二策略应用指标指示用于所述第二远程主机和所述本地主机之间通信的第二安全策略没有被委托给所述本地交换机,将所述第二分组转发到所述本地主机。
10.根据权利要求8或9所述的方法,其中,所述分组还包括用于所述远程主机的第一类ID和用于所述本地主机的第二类ID,所述方法还包括:
基于所述第一类ID和所述第二类ID识别要应用的所述安全策略。
11.根据权利要求10所述的方法,还包括:
通过接收到的包括所述远程主机的通信以对话方式学习所述第一类ID。
12.根据权利要求10或11所述的方法,其中,与所述远程主机相关联的地址对于所述本地主机来说是未知的,其中,所述地址包括:
分配给所述远程主机的IP(互联网协议)地址;
分配给所述远程主机的MAC(媒体访问控制)地址;以及
分配给所述远程主机的vLAN(虚拟局域网)地址。
13.一种网络结构,包括:
第一站点,所述第一站点包括:
第一主机;以及
与所述第一主机通信的第一交换机;
第二站点,所述第二站点位于与所述第一站点不同的地理位置,并且通过站点间网络与所述第一站点进行通信,所述第二站点包括:
第二主机;以及
与所述第二主机通信的第二交换机,
其中,所述网络结构的安全策略被本地化到所述第一站点,
其中,所述第二交换机被配置为:
响应于从所述第二主机接收到去往所述第一主机的第一分组并确定所述网络结构的所述安全策略被本地化到所述第一站点,在所述第一分组中包括所述第一主机的第一类标识符(ID)、所述第二主机的第二类ID和策略应用指标;以及
将所述第一分组传送到所述第一站点;并且
其中,所述第一交换机被配置为:
响应于接收到所述第一分组,基于所述策略应用指标确定所述第二交换机将所述安全策略的执行委托给所述第一交换机;并且
基于所述第一类ID和所述第二类ID,将所述安全策略应用于所述第一分组。
14.根据权利要求13所述的网络结构,其中,应用所述安全策略使所述第一交换机执行以下组中的一个动作,该组由以下项组成:
阻止来自所述第一主机的所述第一分组;
将所述第一分组交付给所述第一主机;以及
将所述第一分组转发到与所述第一主机不同的设备。
15.根据权利要求13或14所述的网络结构,其中,所述第一站点还包括:
第三主机,所述第三主机与所述第一交换机通信;
其中,所述第二交换机还被配置为:
响应于从所述第二主机接收到去往所述第三主机的第二分组并确定所述网络结构的所述安全策略被本地化到所述第二站点,基于所述第一类ID和所述第二类ID对所述第一分组应用第二安全策略;并且
将所述第二分组传送到所述第一站点。
16.根据权利要求13至15中任一项所述的网络结构,还包括在所述第一站点处维护的数据库,该数据库定期地用所述第二站点处维护的主机的类ID进行更新。
17.根据权利要求16所述的网络结构,其中,在所述数据库中维护的所述类ID是从在所述第一交换机处接收到的通信中以对话的方式学习的。
18.根据权利要求17所述的网络结构,其中,所述第二主机的物理地址对于所述第一主机和所述第一交换机来说是未知的,并且所述物理地址是未知的包括:
分配给所述第二主机的IP(因特网协议)地址是未知的;
分配给所述第二主机的MAC(媒体访问控制)地址是未知的;以及
分配给所述第二主机的vLAN(虚拟局域网)的地址是未知的。
19.根据权利要求17或18所述的网络结构,其中,所述类ID识别所述网络结构中提供的由租户定义类型的设备或服务。
20.根据权利要求19所述的网络结构,其中,所述第一交换机基于与所述第一主机相关联的第一类ID和与所述第二主机相关联的第二类ID,识别哪个安全策略要应用于所述分组。
21.一种系统,包括:
接收装置,用于在第一站点处的本地交换机处接收来自所述第一站点处的第一主机的分组,所述分组旨在用于位于与所述第一站点不同地理位置的第二站点处的第二主机;
识别装置,用于从所述第一站点处维护的数据库识别用于所述第二主机的第二类标识符(ID),其中,用于所述第一主机的第一类ID对于所述本地交换机来说已知的;
确定装置,用于基于所述第一类ID和所述第二类ID确定用于将数据从所述第一主机传送到所述第二主机的安全策略;
响应于确定所述安全策略指示所述第二站点专门管理包括所述第一主机和所述第二主机的软件定义网络的安全策略,包括以下装置:
设置装置,用于在所述分组上设定源自策略覆盖指标的策略应用指标,该策略应用指标指示所述安全策略的执行被从所述第一交换机委托给所述第二站点处的第二交换机,所述第二交换机连接到所述第二主机;
包括装置,用于在所述分组中包括所述第一类ID和所述第二类ID;以及
传送装置,用于将所述分组传送到所述第二站点。
22.根据权利要求21所述的系统,还包括用于实施根据权利要求2至7中任一项所述的方法的装置。
23.一种系统,包括:
接收装置,用于在第一站点的本地交换机处接收来自位于第二站点处的远程主机的分组,其中,所述分组旨在用于位于所述第一站点处的本地主机,其中,所述分组包括策略应用指标;以及
应用装置,用于响应于确定所述策略应用指标指示用于所述远程主机和所述本地主机之间通信的安全策略被委托给所述本地交换机,在所述本地交换机处对所述分组应用所述安全策略,其中,对所述分组应用所述安全策略使得所述本地交换机将所述分组发送到所述本地主机。
24.根据权利要求23所述的系统,还包括用于实施根据权利要求9至12中任一项所述方法的装置。
25.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当由计算机执行时,使所述计算机执行根据权利要求1至12中任一项所述方法的所述步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/431,615 US11184325B2 (en) | 2019-06-04 | 2019-06-04 | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics |
| US16/431,615 | 2019-06-04 | ||
| PCT/US2020/035638 WO2020247331A1 (en) | 2019-06-04 | 2020-06-02 | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113853776A true CN113853776A (zh) | 2021-12-28 |
| CN113853776B CN113853776B (zh) | 2023-10-20 |
Family
ID=71842757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080035353.9A Active CN113853776B (zh) | 2019-06-04 | 2020-06-02 | 用于网络架构的方法、系统和计算机可读介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11184325B2 (zh) |
| EP (1) | EP3981118A1 (zh) |
| CN (1) | CN113853776B (zh) |
| WO (1) | WO2020247331A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11233828B1 (en) * | 2019-10-21 | 2022-01-25 | Mcafee, Llc | Methods, systems, and media for protecting computer networks using adaptive security workloads |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140068721A1 (en) * | 2012-09-06 | 2014-03-06 | David Ong | Allowing guest of hospitality establishment to utilize multiple guest devices to access network service |
| US20150124809A1 (en) * | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Policy enforcement proxy |
| US20160078365A1 (en) * | 2014-03-21 | 2016-03-17 | Philippe Baumard | Autonomous detection of incongruous behaviors |
| US9380027B1 (en) * | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| WO2017015667A1 (en) * | 2015-07-23 | 2017-01-26 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and vpn policy enforcement |
| US9654513B1 (en) * | 2015-11-30 | 2017-05-16 | International Business Machines Corporation | Automated network security policy deployment in a dynamic environment |
| CN107222353A (zh) * | 2017-07-11 | 2017-09-29 | 中国科学技术大学 | 支持协议无关的软件定义网络虚拟化管理平台 |
| US20180063195A1 (en) * | 2016-08-30 | 2018-03-01 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
| CN108694071A (zh) * | 2017-03-29 | 2018-10-23 | 瞻博网络公司 | 用于分布式虚拟化基础设施元件监视和策略控制的多集群面板 |
| US20190158537A1 (en) * | 2017-11-21 | 2019-05-23 | Juniper Networks, Inc. | Policy-driven workload launching based on software defined networking encryption policies |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040193677A1 (en) | 2003-03-24 | 2004-09-30 | Shaul Dar | Network service architecture |
| US7715380B2 (en) | 2003-06-19 | 2010-05-11 | Cisco Technology, Inc. | Apparatus and methods for handling shared services through virtual route forwarding (VRF)-aware-NAT |
| US8707383B2 (en) * | 2006-08-16 | 2014-04-22 | International Business Machines Corporation | Computer workload management with security policy enforcement |
| US20100027549A1 (en) | 2008-07-31 | 2010-02-04 | Michael Satterlee | Method and apparatus for providing virtual private network identifier |
| JP5606674B2 (ja) | 2008-12-12 | 2014-10-15 | 横河電機株式会社 | ゲートウェイ装置及びこれを用いた無線制御ネットワーク管理システム |
| US8098656B2 (en) | 2009-06-26 | 2012-01-17 | Avaya, Inc. | Method and apparatus for implementing L2 VPNs on an IP network |
| US20110072487A1 (en) * | 2009-09-23 | 2011-03-24 | Computer Associates Think, Inc. | System, Method, and Software for Providing Access Control Enforcement Capabilities in Cloud Computing Systems |
| US8490150B2 (en) * | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US20110137966A1 (en) | 2009-12-08 | 2011-06-09 | Netapp, Inc. | Methods and systems for providing a unified namespace for multiple network protocols |
| JP5691703B2 (ja) | 2011-03-18 | 2015-04-01 | 富士通株式会社 | マルチキャストネットワークシステム |
| US8854973B2 (en) | 2012-08-29 | 2014-10-07 | International Business Machines Corporation | Sliced routing table management with replication |
| US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| US9491145B2 (en) | 2014-03-14 | 2016-11-08 | Soha Systems, Inc. | Secure application delivery system with dial out and associated method |
| US9807020B2 (en) | 2015-05-08 | 2017-10-31 | Cisco Technology, Inc. | Policy enforcement for upstream flood traffic |
| US9838315B2 (en) | 2015-07-29 | 2017-12-05 | Cisco Technology, Inc. | Stretched subnet routing |
| US10320672B2 (en) | 2016-05-03 | 2019-06-11 | Cisco Technology, Inc. | Shared service access for multi-tenancy in a data center fabric |
| US9787639B1 (en) * | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
-
2019
- 2019-06-04 US US16/431,615 patent/US11184325B2/en active Active
-
2020
- 2020-06-02 EP EP20747175.6A patent/EP3981118A1/en active Pending
- 2020-06-02 WO PCT/US2020/035638 patent/WO2020247331A1/en unknown
- 2020-06-02 CN CN202080035353.9A patent/CN113853776B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140068721A1 (en) * | 2012-09-06 | 2014-03-06 | David Ong | Allowing guest of hospitality establishment to utilize multiple guest devices to access network service |
| US20150124809A1 (en) * | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Policy enforcement proxy |
| US20160078365A1 (en) * | 2014-03-21 | 2016-03-17 | Philippe Baumard | Autonomous detection of incongruous behaviors |
| US9380027B1 (en) * | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| WO2017015667A1 (en) * | 2015-07-23 | 2017-01-26 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and vpn policy enforcement |
| US9654513B1 (en) * | 2015-11-30 | 2017-05-16 | International Business Machines Corporation | Automated network security policy deployment in a dynamic environment |
| US20180063195A1 (en) * | 2016-08-30 | 2018-03-01 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
| CN108694071A (zh) * | 2017-03-29 | 2018-10-23 | 瞻博网络公司 | 用于分布式虚拟化基础设施元件监视和策略控制的多集群面板 |
| CN107222353A (zh) * | 2017-07-11 | 2017-09-29 | 中国科学技术大学 | 支持协议无关的软件定义网络虚拟化管理平台 |
| US20190158537A1 (en) * | 2017-11-21 | 2019-05-23 | Juniper Networks, Inc. | Policy-driven workload launching based on software defined networking encryption policies |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113853776B (zh) | 2023-10-20 |
| EP3981118A1 (en) | 2022-04-13 |
| WO2020247331A1 (en) | 2020-12-10 |
| US11184325B2 (en) | 2021-11-23 |
| US20200389432A1 (en) | 2020-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070447B2 (en) | System and method for implementing and managing virtual networks | |
| US10972437B2 (en) | Applications and integrated firewall design in an adaptive private network (APN) | |
| US9985883B2 (en) | Name-based routing system and method | |
| US8023504B2 (en) | Integrating security server policies with optimized routing control | |
| US9591011B2 (en) | Techniques for separating the processing of clients' traffic to different zones in software defined networks | |
| US9723009B2 (en) | System and method for providing for secure network communication in a multi-tenant environment | |
| US11075948B2 (en) | Method and system for virtual machine aware policy management | |
| US8146148B2 (en) | Tunneled security groups | |
| US9438506B2 (en) | Identity and access management-based access control in virtual networks | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| US7814311B2 (en) | Role aware network security enforcement | |
| US11228558B2 (en) | Method and apparatus for isolating transverse communication between terminal devices in intranet | |
| US20080092223A1 (en) | Per-user firewall | |
| US9794173B2 (en) | Forwarding a packet by a NVE in NVO3 network | |
| US8082333B2 (en) | DHCP proxy for static host | |
| US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
| CN113853776B (zh) | 用于网络架构的方法、系统和计算机可读介质 | |
| CN114175583B (zh) | 自愈网络中的系统资源管理 | |
| US10812446B1 (en) | Dynamic host configuration across multiple sites in software defined access networks | |
| US20210288908A1 (en) | Elimination of address resolution protocol | |
| CN115865389A (zh) | 为基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |