CN114051714B - 用于生成上下文标签的系统和方法 - Google Patents

用于生成上下文标签的系统和方法 Download PDF

Info

Publication number
CN114051714B
CN114051714B CN202080048757.1A CN202080048757A CN114051714B CN 114051714 B CN114051714 B CN 114051714B CN 202080048757 A CN202080048757 A CN 202080048757A CN 114051714 B CN114051714 B CN 114051714B
Authority
CN
China
Prior art keywords
network
remote access
access client
user
context label
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080048757.1A
Other languages
English (en)
Other versions
CN114051714A (zh
Inventor
斯蒂芬·奥洛夫森
艾斯布兰德·维珍
亨德里库斯·G·P·博施
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN114051714A publication Critical patent/CN114051714A/zh
Application granted granted Critical
Publication of CN114051714B publication Critical patent/CN114051714B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/306Route determination based on the nature of the carried application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/42Centralised routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software
    • H04L45/566Routing instructions carried by the data packet, e.g. active networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2571NAT traversal for identification, e.g. for authentication or billing 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

在一个实施例中,一种装置包括一个或多个处理器和耦合到该一个或多个处理器的一个或多个计算机可读非暂态存储介质。该一个或多个计算机可读非暂态存储介质包括指令,该指令当由所述一个或多个处理器执行时使所述装置执行操作,包括:从网络(110)内的远程访问客户端(130)接收用户凭证(160)并且将用户凭证(160)传送到网络(110)内的认证、授权和计费AAA服务器(140)。所述操作还包括从AAA服务器(140)接收用户属性(162)并且基于用户属性(162)生成上下文标签(166)。上下文标签(166)包括与网络(110)内的流量行为相关联的路由指令。操作还包括向远程访问客户端(130)通告控制消息,该控制消息包括上下文标签(166)。

Description

用于生成上下文标签的系统和方法
技术领域
本公开总体上涉及生成标签,并且更具体地涉及用于在网络内生成上下文标签的系统和方法。
背景技术
在移动联网环境中,远程访问客户端与一个或多个路由器建立会话。现有的虚拟专用网络(VPN)段可以扩展到远程访问客户端以提供连接。路由器可以维护访问列表以过滤到VPN段的网络流量。然而,访问列表可能会增加转发过程的开销。
附图说明
图1示出了根据某些实施例的用于在联网环境中生成上下文标签的系统;
图2示出了根据某些实施例的用于在可由图1的系统使用的联网环境内生成上下文标签的流程图;
图3示出了根据某些实施例的用于生成上下文标签的方法;
图4示出了根据某些实施例的用于应用上下文标签的方法;和
图5示出了根据某些实施例的计算机系统。
具体实施方式
概述
本发明的各方面在独立权利要求中陈述并且优选特征在从属权利要求中陈述。一个方面的特征可以单独地或与其他方面组合地应用于每个方面。
根据实施例,一种装置包括一个或多个处理器和耦合到一个或多个处理器的一个或多个计算机可读非暂态存储介质。一个或多个计算机可读非暂态存储介质包括指令,该指令当由一个或多个处理器执行时,使装置执行操作,包括:从网络内的远程访问客户端接收用户凭证并且将用户凭证传送到网络内的认证、授权和计费(AAA)服务器。操作还包括从AAA服务器接收用户属性并且基于用户属性生成上下文标签。上下文标签包括与网络内的流量行为相关联的路由指令。操作还包括向远程访问客户端通告控制消息,其中控制消息包括上下文标签。
根据另一实施例,一种方法包括由装置从网络内的远程访问客户端接收用户凭证并且由装置将用户凭证传送到网络内的AAA服务器。方法还包括由装置从AAA服务器接收用户属性并且由装置基于用户属性生成上下文标签。上下文标签包括与网络内的流量行为相关联的路由指令。操作还包括由装置向远程访问客户端通告控制消息,其中控制消息包括所述上下文标签。
根据另一实施例,一种或多种计算机可读非暂态存储介质,包含指令,该指令当被处理器执行时使所述处理器执行操作,包括:从网络内的远程访问客户端接收用户凭证并且将用户凭证传送到网络内的AAA服务器。操作还包括从AAA服务器接收用户属性并且基于用户属性生成上下文标签。上下文标签包括与网络内的流量行为相关联的路由指令。操作还包括向远程访问客户端通告控制消息,其中控制消息包括上下文标签。
根据又一实施例,一种远程访问客户端包括一个或多个处理器和耦合到一个或多个处理器的一个或多个计算机可读非暂时性存储介质。一个或多个计算机可读非暂态存储介质包括指令,该指令当由一个或多个处理器执行时使远程访问客户端执行操作,包括:将用户凭证传送到网络内的路由器,并响应于将用户凭证传送到网络内的路由器,从网络中的路由器接收上下文标签。上下文标签是基于用户凭证生成的,并且包括与网络内的流量行为相关联的路由指令。操作还包括根据路由指令应用上下文标签。
本公开的某些实施例的技术优点可包括以下一项或多项。路由器可以使用本文描述的系统和方法来指示远程访问客户端使用上下文标签转发信息,这可以从操作角度提供更具可扩展性的方法和/或与维护目标IP地址的列表(例如,访问列表)相比简化转发过程开销。在某些实施例中,上下文标签可以包括将传入流量与影响转发过程并最终影响目标VPN路由/转发(VRF)实例的一组特定属性相关联的指令。在一些实施例中,一个或多个上下文标签由聚合设备在聚合设备与远程访问客户端之间的会话建立时以及在完成AAA授权后被创建和分配,这可以优化标签空间的使用。上下文标签可用于将软件定义广域联网(SD-WAN)服务扩展到远程访问客户端。本公开包括用于在远程访问会话的过程中动态管理标签的系统和方法,使得SD-WAN能力可以以可扩展和可管理的方式有效地扩展到远程访问客户端。
从以下附图、描述和权利要求中,本领域技术人员将容易明白其他技术优点。此外,虽然上面已经列举了特定的优点,但是各种实施例可以包括所列举的优点中的全部、一些或不包括所列举的优点。
示例实施例
在移动SD-WAN网络中,远程访问客户端可以与聚合设备建立会话(例如,IP安全(Ipsec)或安全套接字层(SSL)会话)。聚合设备也是SD-WAN边缘,可能包括多个配置的VPN/VRF段实例。VPN/VRF段实例可以代表可供附接到聚合设备的远程访问客户端使用的完整的VPN套件。根据聚合设备从附接的远程访问客户端接收的用户凭证,聚合设备可以向附接的远程访问客户端通告上下文标签,该上下文标签向远程访问客户端提供对配置的VPN/VRF段中的一个或多个的访问。
图1示出了用于在联网环境中生成上下文标签的示例系统,并且图2示出了用于在可由图1的系统使用的联网环境内分配上下文标签的示例流程图。图3示出了用于分配上下文标签的示例方法,图4示出了用于应用上下文标签的示例方法。图5示出了可由图1到图4的系统和方法使用的示例计算机系统。
图1示出了用于在联网环境中生成上下文标签166的示例系统100。系统100或其部分可以与实体相关联,该实体可以包括任何实体,例如创建和/或分配上下文标签166的企业或公司(例如,服务提供商)。系统100的组件可以包括任何合适的硬件、固件和软件的组合。例如,系统100的组件可以使用图5的计算机系统的一个或多个元素。
系统100包括网络110、聚合设备120、远程访问客户端130、AAA服务器和SD-WAN控制器150。系统100的网络110是促进系统100的组件之间的通信的任何类型的网络。网络110可以连接系统100的一个或多个组件。本公开设想了任何合适的网络110。网络110的一个或多个部分可以包括自组织网络、内联网、外联网、VPN、局域网(LAN)、无线LAN(WLAN)、WAN、无线WAN(WWAN)、城域网(MAN)、互联网的一部分、公共交换电话网(PSTN)的一部分、蜂窝电话网络、这些中两个或更多个的组合、或其他合适类型的网络。网络110可以包括一个或多个网络。网络110可以是任何通信网络,例如专用网络、公共网络、通过互联网的连接、移动网络、WI-FI网络等。系统100的一个或多个组件可以通过网络110进行通信。网络110可以包括核心网络(例如,互联网)、服务提供商的接入网络、互联网服务提供商(ISP)网络等。网络110的一个或多个部分可以利用SD-WAN技术。SD-WAN是软件定义联网(SDN)技术应用于WAN连接(例如,宽带互联网、4G、5G、LTE、MPLS等)的特定应用。SD-WAN连接远的地理距离的企业网络(例如分支机构和数据中心)。
系统100的聚合设备120是创建和/或分配上下文标签166的组件(例如,路由器、网关、它们的组合等)。在利用SD-WAN技术的网络110中,聚合设备120可以作为SD-WAN边缘设备。聚合设备120存储多个配置的VPN/VRF段实例。VPN/VRF段实例是每VPN路由信息库,它定义了附接到聚合设备120的远程访问客户端130的VPN成员资格。VRF包括IP路由表、转发表、使用转发表的一组接口、以及控制包含在路由表中的信息的一组规则和路由协议参数。为每个VPN客户(例如,用户132)维护单独的一组路由和转发表。
聚合设备120可以基于从AAA服务器140接收的用户属性162和/或从SD-WAN控制器150接收的SD-WAN策略164来创建上下文标签166。上下文标签166用于对网络110内的IP分组进行分类。每个上下文标签166包括与网络110内的流量行为相关联的指令。例如,上下文标签166可以包括用于使用特定VPN/VRF段实例来引导流量的指令。指令可以是值的形式。例如,指令可以是表示特定VPN/VRF段实例的值。在某些实施例中,聚合设备120与远程访问客户端130建立会话。例如,聚合设备120可以与远程访问客户端130建立IPsec或SSL会话。聚合设备120可以传达(例如,通告)一个或多个上下文标签166到远程访问客户端130。
系统100的远程访问客户端130是从系统100的一个或多个组件(例如,聚合设备120)接收信息(例如,上下文标签166)的任何终端设备。远程访问客户端130可以是移动电话(例如,智能手机)、台式计算机、膝上型计算机、笔记本计算机、平板电脑、个人数字助理等。远程访问客户端130可以包括液晶显示器(LCD)、有机发光二极管(OLED)平面屏幕接口、数字按钮、数字键盘、物理按钮、物理键盘、一个或多个触摸屏组件等。远程访问客户端130包括一个或多个应用和一个或多个浏览器等。远程访问客户端130可以与诸如服务提供商之类的实体相关联。远程访问客户端130可以包括图5的计算机系统的一个或多个组件。
系统100的远程访问客户端130可以与用户132相关联。用户132是利用远程访问客户端130的任何人、组织或软件程序(例如,物联网(IoT)设备)。远程访问客户端130可以将一个或多个用户凭证160传送到聚合设备120。用户凭证160是用于识别远程访问客户端130的用户132的凭证。用户凭证160可以包括用户标识(例如,用户名)、密码、证书(例如,公钥基础设施(PKI)证书)、单点登录cookie等。用户132可以将一个或多个用户凭证160输入远程访问客户端130以登录远程访问客户端130、访问远程访问客户端130的一个或多个应用等。
在某些实施例中,远程访问客户端130与聚合设备120建立会话。例如,远程访问客户端130可以与聚合设备120建立IPsec或SSL会话。在与聚合设备120建立会话之后,系统100的远程访问客户端130可以从聚合设备120接收一个或多个上下文标签166。例如,远程访问客户端130可以从聚合设备120接收包括一个或多个上下文标签166的控制消息。上下文标签166可以包括上下文信息,该上下文消息指示远程访问客户端130如何应用上下文标签166。例如,上下文标签166可以包括用于使用多个VPN/VRF段实例来引导网络110内的流量的指令。
系统100的AAA服务器140是向系统100的一个或多个组件提供认证、授权和计费服务的组件。AAA服务器140可以允许系统100的一个或多个其他组件(例如,聚合设备120)验证系统100的一个或多个组件的身份、准予访问和/或跟踪其动作。AAA服务器140与企业相关联。AAA服务器140可以由诸如服务提供商之类的实体托管和/或代理。在某些实施例中,AAA服务器140是远程认证拨入用户服务(RADIUS)服务器。AAA服务器140可以包括图5的计算机系统的一个或多个组件。
在图1所示的实施例中,AAA服务器140从聚合设备120接收用户凭证160。响应于从聚合设备120接收用户凭证160,AAA服务器140可以将用户属性162传送到聚合设备100。用户属性162是可以为特定用户132和/或远程访问客户端130定制的属性。用户属性162可以包括RADIUS属性、RADIUS互联网工程任务组(IETF)属性、如RFC4006中描述的Diameter属性、终端访问控制器访问控制系统Plus(TACACS+)属性、或任何其他合适的属性。用户属性162可以包括授权属性,例如要分配给用户132的特定IP地址、应该从中选择用户132的IP的地址池、用户162可以保持连接的最大时间长度、用户132的访问限制、二层隧道协议(L2TP)参数、虚拟LAN(VLAN)参数、服务质量(QoS)参数等。
在某些实施例中,用户属性162携带属性-值对(AVP)。AVP可以特定于用于远程访问客户端130的一个或多个策略。聚合设备120可以使用AVP来选择从SD-WAN控制器150接收的策略(例如,SD-WAN策略164)。用户属性162可以与安全组、QoS配置文件、网络地址转换(NAT)配置文件等相关联。由AAA服务器140传送到聚合设备120的用户属性162可以被聚合设备120用来生成上下文标签166。
系统100的SD-WAN控制器150是在网络110内管理和/或分发SD-WAN策略164的组件。SD-WAN控制器150可以包括创建和/或维护SD-WAN策略164的管理控制器。SD-WAN控制器150可以包括路由反射器(例如,智能控制器),其从管理控制器接收SD-WAN策略164和/或将SD-WAN策略164推送(例如,通告)到聚合设备120。SD-WAN控制器150可以由企业部署。SD-WAN控制器150可以与诸如服务提供商之类的实体相关联。SD-WAN控制器150可以包括图5的计算机系统的一个或多个组件。虽然在图1所示的实施例中,系统100的SD-WAN控制器150将SD-WAN策略164传送到聚合设备120,但任何合适的方法都可用于将SD-WAN策略164传达给聚合设备120。例如,诸如键值数据库之类的基于网络的数据库可用于将SD-WAN策略164传达给聚合设备120。
在图1所示的实施例中,SD-WAN控制器150将SD-WAN策略164传送到聚合设备120。SD-WAN策略164调节网络110内的控制和转发的方面。SD-WAN策略164可以包括访问策略、基于分段的策略、流分类策略、路径选择策略等。SD-WAN策略可以包括用于应用感知路由的应用路由策略、用于路由和控制平面信息的控制策略、用于数据流量的数据策略、用于将流量范围限制到特定VPN的VPN成员资格策略等。在某些实施例中,SD-WAN策略164可以将特定应用(例如,互联网浏览器、媒体流应用、文字处理应用等)映射到特定网络路径(例如,第一VPN/VRF段实例或第二VPN/VRF段实例)。由SD-WAN控制器150传送到聚合设备120的SD-WAN策略164可由聚合设备120用来生成上下文标签166。
在操作中,系统100的远程访问客户端130将一个或多个用户凭证160传送到聚合设备120。响应于从远程访问客户端130接收到用户凭证160,聚合设备120将用户凭证160传送到AAA服务器140。AAA服务器140将用户凭证160与一个或多个用户属性162相关联,并将用户属性162传送到聚合设备120。SD-WAN控制器150将一个或多个SD-WAN策略164传送到聚合设备120。聚合设备120基于用户属性162和/或SD-WAN策略164创建一个或多个上下文标签166。上下文标签166包括用于在网络110内转发流量的指令。聚合设备120将上下文标签166分配给控制消息并将控制消息通告给远程访问客户端130。远程访问客户端120应用上下文标签166以在整个网络110中引导进入的流量。因此,图1的系统100使用上下文标签166来有效地引导网络110内的流量。
虽然图1示出了网络110、聚合设备120、远程访问客户端130、AAA服务器140和SD-WAN控制器150的特定布置,但是本公开考虑了网络110、聚合设备120、远程访问客户端130、AAA服务器140和SD-WAN控制器150的任何合适的布置。例如,除了或代替AAA服务器140,还可在聚合设备120上配置AAA。作为另一示例,聚合设备120可以是两个或更多个物理上分离的设备(例如,路由器、网关和服务器)。
虽然图1示出了特定数量的网络110、聚合设备120、远程访问客户端130、AAA服务器140和SD-WAN控制器150,但是本公开设想了任何合适数量的网络110、聚合设备120、远程访问客户端130、AAA服务器140和SD-WAN控制器150。例如,系统100可以包括多个SD-WAN控制器150(例如,管理控制器和智能控制器)和多个远程访问客户端130。
图2示出了用于在可由图1的系统100使用的联网环境内分配上下文标签166的示例流程图200。流程图200包括聚合设备120、远程访问客户端130、AAA服务器140和SD-WAN控制器150。聚合设备120包括接口210、存储器220和处理器240。聚合设备120的接口210代表可以从图1的网络110接收信息、通过网络110传输信息、执行对信息的适当处理、与流程图200的其他组件(例如,远程访问客户端130、AAA服务器140和SD-WAN控制器150)通信、或前述的任何组合的任何合适的计算机元件。接口210代表任何端口或连接(真实的或虚拟的),包括硬件、固件和软件的任何合适的组合,包括协议转换和数据处理能力,以通过LAN、WAN或允许聚合设备120在流程图200的组件之间交换信息的其他通信系统进行通信。在流程图200中,聚合设备120的接口210从远程访问客户端130接收用户凭证160、从AAA服务器140接收用户属性160和从SD-WAN控制器150接收SD-WAN策略164并将上下文标签166发送到远程访问客户端130。
聚合设备120的存储器220永久地和/或临时地存储所接收和发送的信息,以及系统软件、控制软件、聚合设备120的其他软件和各种其他信息。存储器220可以存储由处理器240执行的信息。存储器220包括适合于存储信息的易失性或非易失性本地或远程设备中的任何一个或组合。存储器220可以包括随机存取存储器(RAM)、只读存储器(ROM)、磁存储设备、光存储设备或任何其他合适的信息存储设备或这些设备的组合。存储器220可以包括用于聚合设备120的操作的任何合适的信息。另外,存储器220可以是聚合设备120外部(或可以部分外部)的组件。存储器220可以位于适合于存储器220与聚合设备120通信的任何位置。聚合设备120的存储器220存储多个经配置的VPN/VRF段实例。存储器220可以存储会话生成器222、标签生成器224、标签分配器226和标签通告器228。
聚合设备120的会话生成器222与一个或多个远程访问客户端130建立会话。会话是聚合设备120和远程访问客户端160之间的临时和交互式信息交换。会话生成器222可以在完成AAA授权后建立与远程访问客户端130的会话。会话在某个时间点建立并在某个时间点终止。会话生成器222可以使用IPsec和/或SSL与远程访问客户端130建立一个或多个会话。在IPsec隧道模式下,整个IP分组都受IPsec保护。IPsec对IP分组进行包装,对IP分组进行加密,并通过IPsec隧道发送IP分组。IPsec隧道可用于加密两个安全IPsec网关之间的流量。SSL允许远程用户(例如,图1的用户132)使用网络浏览器建立安全的VPN隧道。SSL VPN技术使用SSL协议和传输层安全(TLS)(或数据报TLS(DLLS))来提供聚合设备120和远程访问客户端160之间的安全连接。
聚合设备120和远程访问客户端130之间的会话的建立可以触发标签分配器226对上下文标签166的分配和/或标签通告器228对上下文标签166的通告。在聚合设备120和远程访问客户端130之间的会话终止时,除非提供其他指令,否则会话生成器222可以将会话放置在默认VPN/VRF段实例中。
聚合设备120的标签生成器224生成上下文标签166。标签生成器224可以使用从AAA服务器140接收的用户属性162生成上下文标签166。例如,用户属性162可以包括安全组,并且标签生成器224可以使用基于安全组转发网络流量的指令来创建上下文标签166。这些指令可以通过特定配置的VPN/VRF段实例引导流量。在某些实施例中,标签生成器224可以使用从SD-WAN控制器150接收的SD-WAN策略164来生成上下文标签166。例如,SD-WAN策略164可以将特定应用(例如,互联网浏览器)映射到特定网络路径(例如,第一VPN/VRF段实例),并且标签生成器224可以使用用于将特定应用映射到特定网络路径的指令来创建上下文标签166。
标签生成器224可以确定一个或多个用户属性162和/或SD-WAN策略164已经改变。例如,标签生成器224可以确定用户属性162(其在标签生成器224创建上下文标签166时与第一安全组相关联)现在与第二安全组而不是第一安全组相关联。响应于确定一个或多个用户属性162和/或SD-WAN策略164已经改变,标签生成器224可以创建一个或多个新的上下文标签166,从远程访问客户端130撤回一个或多个上下文标签166,和/或删除一个或多个上下文标签166。
聚合设备120的标签分配器226将上下文标签166分配给控制消息。控制消息是包含有关如何通过网络(例如SD-WAN网络)路由流量的信息的消息。控制消息可以包括一个或多个通信参数。控制消息将上下文标签166传送到远程访问客户端130。在某些实施例中,标签分配器226可以在策略内分配一个或多个上下文标签166。在一些实施例中,标签分配器226可以不在策略内分配一个或多个上下文标签166以避免冲突和/或确保分布式策略不会变得特定于远程访问客户端130。标签分配器226可以在会话生成器222与远程访问客户端130建立会话之后并且在聚合设备120完成AAA授权之后分配上下文标签166。
标签通告器228向一个或多个远程访问客户端130传达(例如,通告)一个或多个上下文标签166。在某些实施例中,标签通告器228可以响应于会话生成器222与远程访问客户端130建立会话和/或标签分配器226将上下文标签166分配给控制消息和/或策略而向远程访问客户端130通告上下文标签166。标签通告器228可以响应一个或多个条件撤回一个或多个上下文标签166。条件可以包括VRF连接问题、上下文标签166不同步的确定、一个或多个用户属性162和/或SD-WAN策略164的改变等。标签通告器228可以使用IPsec和/或SSL向远程访问客户端130通告一个或多个上下文标签166。
存储器220可以存储数据库230。数据库230可以存储聚合设备120的某些类型的信息。例如,数据库230可以存储用户凭证160、用户属性162、SD-WAN策略164和上下文标签166。数据库230可以是适合于存储信息的易失性或非易失性本地或远程设备中的任何一个或其组合。数据库230可以包括RAM、ROM、磁存储设备、光存储设备或任何其他合适的信息存储设备或这些设备的组合。数据库230可以是聚合设备120外部的组件。数据库230可以位于适合存储与聚合设备120相关联的信息的任何位置。
聚合设备120的处理器240通过处理从接口210和存储器220接收到的或以其他方式由处理器240访问的信息来控制聚合设备120的某些操作。处理器240通信地耦合到接口210和存储器220。处理器240可以包括操作来控制和处理信息的任何硬件和/或软件。处理器240可以是可编程逻辑器件、微控制器、微处理器、任何合适的处理设备或前述的任何合适的组合。此外,处理器240可以是聚合设备120外部的组件。处理器240可以位于适合处理器240与聚合设备120通信的任何位置。聚合设备120的处理器240控制会话生成器222、标签生成器224、标签分配器226和标签通告器228的操作。
在操作中,流程图200的远程访问客户端130将一个或多个用户凭证160传送到聚合设备120的接口210。聚合设备120的接口210将用户凭证160传送到AAA服务器140。AAA服务器140将用户凭证160与一个或多个用户属性162相关联,并将用户属性162传送到聚合设备120的接口210。SD-WAN控制器150将一个或多个SD-WAN策略164传送到聚合设备120的接口210。聚合设备120的会话生成器222在完成AAA授权后,使用IPsec或SSL建立与远程访问客户端130的会话。响应于会话生成器222与远程访问客户端130建立会话,聚合设备120的标签生成器224使用从AAA服务器140接收的用户属性162和/或从SD-WAN控制器150接收的SD-WAN策略164创建一个或多个上下文标签166。标签分配器226将一个或多个上下文标签166分配给控制消息。标签通告器228向远程访问客户端130通告控制消息。因此,远程访问客户端130可以使用上下文标签166来转发网络内的流量并且潜在地以特定VPN/VRF段实例为目标。
虽然图2示出了聚合设备120、远程访问客户端130、AAA服务器140、SD-WAN控制器150、接口210、存储器220、会话生成器222、标签生成器224、标签分配器226、标签通告器228、数据库230和处理器240的特定布置,但本公开设想了聚合设备120、远程访问客户端130、AAA服务器140、SD-WAN控制器150接口210、存储器220、会话生成器222、标签生成器224、标签分配器226、标签通告商228、数据库230和处理器240的任何合适的布置。虽然图2示出了特定数量的聚合设备120、远程访问客户端130、AAA服务器140、SD-WAN控制器150接口210、存储器220、会话生成器222、标签生成器224、标签分配器226、标签通告器228、数据库230和处理器240,但本公开设想了任何合适数量的聚合设备120、远程访问客户端130、AAA服务版本140、SD-WAN控制器150接口210、存储器、会话生成器222、标签生成器224、标签分配器226、标签通告器228、数据库230和处理器240。
图3示出了用于分配上下文标签的示例方法300。方法300开始于步骤305。在步骤310,网络组件(例如,图1的聚合设备120)从远程访问客户端(例如,图1的远程访问客户端130)接收用户凭证(例如,图1的用户凭证160)。在某些实施例中,网络组件是路由器。用户凭证标识远程访问客户端的用户(例如,图1的用户132)。用户凭证可以包括用户名、密码、证书、cookie等。方法300然后从步骤310移动到步骤320,其中网络组件将用户凭证传送到AAA服务器(例如,图1的AAA服务器140)。AAA服务器使用用户凭证生成与远程访问客户端的用户相关联的用户属性。方法300然后从步骤320移动到步骤330,其中网络组件从AAA服务器接收用户属性。网络组件可以基于从AAA服务器接收的用户属性完成对远程访问客户端130的AAA授权。方法300然后从步骤330移动到步骤340。
在步骤340,网络组件(例如,图2的聚合设备120的会话生成器222)建立与远程访问客户端的会话。网络组件可以使用IPsec或SSL与远程访问客户端建立会话。方法300然后从步骤340移动到步骤350,其中网络组件从SD-WAN控制器(例如,图1的SD-WAN控制器150)接收SD-WAN策略(例如,图1的SD-WAN策略164)。SD-WAN策略可以将应用映射到特定的网络路径。方法300然后从步骤350移动到步骤355,其中网络组件(例如,图2的聚合设备120的标签生成器224)使用从AAA服务器接收的用户属性和/或从SD-WAN控制器接收的SD-WAN策略生成一个或多个上下文标签(例如,图1的上下文标签166)。上下文标签指示远程访问客户端130如何通过网络转发流量。方法300然后从步骤355移动到步骤360。
在步骤360,网络组件(例如,图2的聚合设备120的标签分配器226)将一个或多个上下文标签分配给控制消息。在某些实施例中,网络组件可以将上下文标签分配给包括在控制消息内的策略。方法300然后从步骤360移动到步骤370,其中网络组件(例如,图2的聚合设备120的标签通告器228)将带有上下文标签的控制消息通告给远程访问客户端。方法300然后从步骤370移动到步骤380,其中网络组件确定用户属性和/或SD-WAN策略是否已经改变。在某些实施例中,网络组件重复地(例如,实时地、连续地或根据预定时间表)确定用户属性和/或SD-WAN策略是否已经改变。如果网络组件确定用户属性和/或SD-WAN策略没有改变,则方法300从步骤380前进到步骤395,方法300在此结束。如果网络组件确定用户属性和/或SD-WAN策略已改变,则方法300从步骤380移动到步骤390,其中网络组件从远程访问客户端撤回一个或多个上下文标签。方法300然后从步骤390移动到步骤395,方法300在此结束。
虽然本公开将图3的方法300的特定步骤描述和说明为以特定顺序发生,但本公开设想了以任何合适的顺序发生图3的方法300的任何合适的步骤。例如,网络组件可以从SD-WAN控制器接收SD-WAN策略(步骤350)并在网络组件与远程访问客户端建立会话之前缓存SD-WAN策略(步骤340)。此外,虽然本公开描述和说明了用于在网络内分配上下文标签的示例方法300,包括图3的方法的特定步骤,但是本公开设想了用于在网络内分配上下文标签的任何合适的方法300,包括任何合适的步骤,在适当的情况下,其可以包括图3的方法的所有步骤、一些步骤或不包括任何步骤。此外,虽然本公开描述并说明了执行图3的方法的特定步骤的特定组件、设备或系统,但本公开设想了执行图3的方法的任何合适步骤的任何合适组件、设备或系统的任何合适组合。
图4示出了用于应用上下文标签的示例方法400。方法400开始于步骤405。在步骤410,远程访问客户端(例如,图1的远程访问客户端130)将用户凭证(例如,图1的用户凭证160)传送到网络组件(例如,图1的聚合设备120)。用户凭证可以包括用户名、密码、证书、cookie等。方法400然后从步骤410移动到步骤420,其中远程访问客户端建立与网络组件的会话。远程访问客户端可以使用IPsec或SSL与路由器建立会话。方法400然后从步骤420移动到步骤430,其中远程访问客户端从路由器接收具有上下文标签(例如,图1的上下文标签166)的控制消息。上下文标签可以由网络设备使用从AAA服务器(例如,图1的AAA服务器140)接收的用户属性(例如,图1的用户属性162)和/或从SD-WAN控制器(例如,图1的SD-WAN控制器150)接收的SD-WAN策略(例如,图1的SD-WAN策略164)生成。然后方法400从步骤430移动到步骤440。
在步骤440,远程访问客户端确定要访问的应用。例如,远程访问客户端可以确定访问互联网浏览器或从应用商店下载的应用。方法400然后从步骤440移动到步骤450,其中远程访问客户端选择与应用相关联的上下文标签。例如,远程访问客户端可以选择由网络组件使用SD-WAN策略生成的上下文标签,该策略将互联网浏览器映射到特定的VPN/VRF段实例。方法400然后从步骤450移动到步骤460,其中远程访问客户端将选择的上下文标签附加到传出网络分组。上下文标签包括在网络内转发流量的指令。方法400然后从步骤460移动到步骤470,其中远程访问客户端确定与路由器的会话是否已经终止。如果远程访问客户端确定与路由器的会话还没有终止,则方法400从步骤470前进到步骤485,方法400在此结束。如果远程访问客户端确定与路由器的会话已终止,则远程访问客户端删除上下文标签。方法400然后从步骤480移动到步骤485,方法400在此结束。
虽然本公开将图4的方法400的特定步骤描述和说明为以特定顺序发生,但本公开设想了以任何合适的顺序发生图4的方法400的任何合适的步骤。此外,虽然本公开描述和说明了用于在网络内应用上下文标签的示例方法400,包括图4的方法的特定步骤,但是本公开设想了用于在网络内应用上下文标签的任何合适的方法400,包括任何合适的步骤,在适当的情况下,其可以包括图4的方法的所有步骤、一些步骤或不包括任何步骤。此外,虽然本公开描述并说明了执行图4方法的特定步骤的特定组件、设备或系统,但本公开设想了执行图4方法的任何合适步骤的任何合适组件、设备或系统的任何合适组合。
图5示出了示例计算机系统500。在特定实施例中,一个或多个计算机系统500执行本文描述或说明的一种或多种方法的一个或多个步骤。在特定实施例中,一个或多个计算机系统500提供在此描述或说明的功能。在特定实施例中,在一个或多个计算机系统500上运行的软件执行在此描述或说明的一种或多种方法的一个或多个步骤,或者提供在此描述或说明的功能。特定实施例包括一个或多个计算机系统500的一个或多个部分。在此,在适当的情况下,对计算机系统的提及可包括计算设备,反之亦然。此外,在适当的情况下,对计算机系统的提及可包括一个或多个计算机系统。
本公开设想了任何合适数量的计算机系统500。本公开设想了采用任何合适物理形式的计算机系统500。作为示例而非限制,计算机系统500可以是嵌入式计算机系统、片上系统(SOC)、单板计算机系统(SBC)(例如,模块上计算机(COM)或模块上系统(SOM))、台式计算机系统、膝上型或笔记本计算机系统、交互式信息亭、大型机、计算机系统网格、移动电话、个人数字助理(PDA)、服务器、平板电脑系统、增强/虚拟现实设备、或这些中两个或更多个的组合。在适当的情况下,计算机系统500可以包括一个或多个计算机系统500;是单一的或分布式的;跨越多个地点;跨越多台机器;跨越多个数据中心;或驻留在云中,其可包括一个或多个网络中的一个或多个云组件。在适当的情况下,一个或多个计算机系统500可以在没有实质空间或时间限制的情况下执行本文描述或说明的一种或多种方法的一个或多个步骤。作为示例而非限制,一个或多个计算机系统500可以实时或以批处理模式执行本文描述或说明的一种或多种方法的一个或多个步骤。在适当的情况下,一个或多个计算机系统500可以在不同时间或在不同位置执行本文描述或说明的一种或多种方法的一个或多个步骤。
在特定实施例中,计算机系统500包括处理器502、存储器504、存储装置506、输入/输出(I/O)接口508、通信接口510和总线512。虽然本公开描述并说明了在特定布置中具有特定数量的特定组件的特定计算机系统,但本公开设想了任何合适布置中具有任何合适数量的任何合适组件的任何合适的计算机系统。
在特定实施例中,处理器502包括用于执行指令(例如构成计算机程序的那些)的硬件。作为示例而非限制,为了执行指令,处理器502可以从内部寄存器、内部高速缓存、存储器504或存储装置506取回(或提取)指令;解码并执行它们;然后将一个或多个结果写入内部寄存器、内部高速缓存、存储器504或存储装置506。在特定实施例中,处理器502可包括用于数据、指令或地址的一个或多个内部高速缓存。本公开设想了处理器502在合适的情况下包括任何合适数量的任何合适的内部高速缓存。作为示例而非限制,处理器502可以包括一个或多个指令高速缓存、一个或多个数据高速缓存以及一个或多个转换后备缓冲器(TLB)。指令高速缓存中的指令可以是存储器504或存储装置506中指令的副本,并且指令高速缓存可以加速处理器502对那些指令的取回。数据高速缓存中的数据可以是用于在处理器502处执行以进行操作的指令的存储器504或存储装置506中的数据的副本;在处理器502处执行以供在处理器502处执行的后续指令访问或供写入存储器504或存储装置506的先前指令的结果;或其他合适的数据。数据高速缓存可以加速处理器502的读或写操作。TLB可以加速处理器502的虚拟地址转换。在特定实施例中,处理器502可以包括一个或多个用于数据、指令或地址的内部寄存器。本公开设想了处理器502在合适的情况下包括任何合适数量的任何合适的内部寄存器。在适当的情况下,处理器502可以包括一个或多个算术逻辑单元(ALU);是多核处理器;或者包括一个或多个处理器502。虽然本公开描述并说明了特定处理器,但是本公开设想了任何合适的处理器。
在特定实施例中,存储器504包括用于存储供处理器502执行的指令或供处理器502操作的数据的主存储器。作为示例而非限制,计算机系统500可以将指令从存储装置506或另一源(例如,另一个计算机系统500)加载到存储器504。处理器502然后可以将指令从存储器504加载到内部寄存器或内部高速缓存。为了执行指令,处理器502可以从内部寄存器或内部高速缓存中取回指令并对它们进行解码。在指令执行期间或之后,处理器502可将一个或多个结果(其可为中间或最终结果)写入内部寄存器或内部高速缓存。处理器502然后可以将这些结果中的一个或多个写入存储器504。在特定实施例中,处理器502仅执行一个或多个内部寄存器或内部高速缓存或存储器504(而不是存储装置506或其他地方)中的指令并且仅对一个或多个内部寄存器或内部高速缓存或存储器504(而不是存储装置506或其他地方)中的数据进行操作。一个或多个存储器总线(其每个可以包括地址总线和数据总线)可以将处理器502耦合到存储器504。总线512可以包括一个或多个存储器总线,如下所述。在特定实施例中,一个或多个存储器管理单元(MMU)驻留在处理器502和存储器504之间并促进对处理器502请求的存储器504的访问。在特定实施例中,存储器504包括RAM。在适当的情况下,该RAM可以是易失性存储器。在适当的情况下,该RAM可以是动态RAM(DRAM)或静态RAM(SRAM)。此外,在适当的情况下,该RAM可以是单端口或多端口RAM。本公开考虑任何合适的RAM。在适当的情况下,存储器504可以包括一个或多个存储器604。尽管本公开描述并说明特定存储器,但本公开设想了任何合适的存储器。
在特定实施例中,存储装置506包括用于数据或指令的大容量存储器。作为示例而非限制,存储装置506可以包括硬盘驱动器(HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动器或这些中两个或多个的组合。在适当的情况下,存储装置506可以包括可移除或不可移除(或固定)介质。在适当的情况下,存储装置506可以在计算机系统500的内部或外部。在特定实施例中,存储装置506是非易失性固态存储器。在特定实施例中,存储装置506包括ROM。在适当的情况下,此ROM可以是掩膜编程ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可变ROM(EAROM)或闪存或这些中两种或更多种的组合。本公开设想了采用任何合适的物理形式的大容量存储装置506。在适当的情况下,存储装置506可以包括促进处理器502和存储装置506之间的通信的一个或多个存储控制单元。在适当的情况下,存储装置506可以包括一个或多个存储装置506。虽然本公开描述并说明了特定存储装置,但是本公开设想了任何合适的存储装置。
在特定实施例中,I/O接口508包括硬件、软件或两者,为计算机系统500和一个或多个I/O设备之间的通信提供一个或多个接口。在适当的情况下,计算机系统500可以包括这些I/O设备中的一个或多个。这些I/O设备中的一个或多个可以实现人与计算机系统500之间的通信。作为示例而非限制,I/O设备可以包括键盘、小键盘、麦克风、监视器、鼠标、打印机、扫描仪、扬声器、静态相机、手写笔、平板电脑、触摸屏、轨迹球、摄像机、其他合适的I/O设备或这些中两个或更多个的组合。I/O设备可以包括一个或多个传感器。本公开设想了任何合适的I/O设备和用于它们的任何合适的I/O接口508。在适当的情况下,I/O接口508可以包括使处理器502能够驱动这些I/O设备中的一个或多个的一个或多个设备或软件驱动器。在适当的情况下,I/O接口508可以包括一个或多个I/O接口508。尽管本公开描述并说明了特定的I/O接口,但本公开设想了任何合适的I/O接口。
在特定实施例中,通信接口510包括硬件、软件或两者,其提供用于计算机系统500与一个或多个其他计算机系统500或一个或更多网络之间的通信(诸如例如,基于分组的通信)的一个或多个接口。作为示例而非限制,通信接口510可以包括用于与以太网或其他基于有线的网络进行通信的网络接口控制器(NIC)或网络适配器,或者用于与无线网络例如WI-FI网络通信的无线NIC(WNIC)或无线适配器。本公开为它设想了任何合适的网络和任何合适的通信接口510。作为示例而非限制,计算机系统500可以与自组织网络、个域网(PAN)、LAN、WAN、城域网(MAN)、或互联网络的一个或多个部分、或这些中两个或更多个的组合进行通信。这些网络中的一个或多个的一个或多个部分可以是有线的或无线的。例如,计算机系统500可以与无线PAN(WPAN)(例如BLUETOOTH WPAN)、WI-FI网络、WI-MAX网络、蜂窝电话网络(例如全球移动通信系统(GSM)网络、长期演进(LTE)网络或5G网络)、或其他合适的无线网络或这些中两个或更多个的组合进行通信。在适当的情况下,计算机系统500可以包括用于这些网络中的任何网络的任何合适的通信接口510。在适当的情况下,通信接口510可以包括一个或多个通信接口610。尽管本公开描述并说明了特定的通信接口,但是本公开设想了任何合适的通信接口。
在特定实施例中,总线512包括将计算机系统500的组件彼此耦合的硬件、软件或两者。作为示例而非限制,总线512可以包括加速图形端口(AGP)或其他图形总线、增强型工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、INFINIBAND互连、低引脚数(LPC)总线、内存总线、微通道架构(MCA)总线、外围组件互连(PCI)总线、PCI–Express(PCIe)总线、串行高级技术附件(SATA)总线、视频电子标准协会本地(VLB)总线或其他合适的总线或这些中两个或更多个的组合。在适当的情况下,总线512可以包括一个或多个总线512。尽管本公开描述并说明了特定总线,但本公开设想了任何合适的总线或互连。
在此,在适当的情况下,计算机可读非暂态存储介质或媒体可以包括一个或多个基于半导体的或其他的集成电路(IC)(例如,现场可编程门阵列(FPGA)或应用特定的IC(ASIC))、硬盘驱动器(HDD)、混合硬盘驱动器(HHD)、光盘、光盘驱动器(ODD)、磁光盘、磁光驱动器、软盘、软盘驱动器(FDD)、磁带、固态驱动器(SSD)、RAM驱动器、安全数字卡或驱动器、任何其他合适的计算机可读非暂态存储介质、或这些中两个或更多个的任何合适组合。在适当的情况下,计算机可读非暂态存储介质可以是易失性、非易失性或易失性和非易失性的组合。
除非另有明确说明或上下文另有说明,否则此处的“或”是包含性而非排他性的。因此,除非另有明确说明或上下文另有说明,否则本文中的“A或B”是指“A、B或两者”。此外,除非另有明确说明或上下文另有说明,否则“和”既是联合的又是单独的。因此,除非另有明确说明或上下文另有说明,否则本文中的“A和B”是指“联合的或单独的A和B”。
本公开的范围包括本领域普通技术人员将理解的对在此描述或说明的示例实施例的所有改变、替换、变化、变更和修改。本公开的范围不限于在此描述或说明的示例实施例。此外,虽然本公开在本文中将各个实施例描述和说明为包括特定组件、元件、特征、功能、操作或步骤,但是这些实施例中的任何一个可包括本领域普通技术人员将理解的本文任何地方描述或说明的任意组件、元件、特征、功能、操作或步骤的任何组合或排列。此外,在所附权利要求中提及装置或系统或装置或系统的组件适配为、布置为、能够、配置为、实现为、操作为或可操作为执行特定功能包括该装置、系统或组件被如此适配、布置、有能力、配置、实现、操作或可操作,而无论该装置、系统、组件或该特定功能是否被激活、打开或解锁。此外,虽然本公开将特定实施例描述或说明为提供特定优点,但特定实施例可不提供这些优点、提供一些或所有这些优点。
本文公开的实施例仅是示例,本公开的范围不限于这些。特定实施例可包括本文公开的实施例的组件、元件、特征、功能、操作或步骤中的所有、一些或不包括。根据本发明的实施例在涉及方法、存储介质、系统和计算机程序产品的所附权利要求中特别公开,其中在一个权利要求类别例如方法中提及的任何特征可以在另一个权利要求类别例如系统中也要求保护。仅出于形式原因选择所附权利要求中的从属或引用。然而,也可以要求保护因故意引用回任何先前的权利要求(特别是多重从属关系)而产生的任何主题,从而公开并可要求保护权利要求及其特征的任何组合,而不管在所附权利要求中选择的从属关系如何。可以要求保护的主题不仅包括所附权利要求中提出的特征的组合,还包括权利要求中特征的任何其他组合,其中权利要求中提到的每个特征可以与权利要求中的任何其他特征或其他特征的组合结合。此外,本文描述或描绘的任何实施例和特征可以在单独的权利要求中和/或与本文描述或描绘的任何实施例或特征或与所附权利要求的任何特征的任何组合中要求保护。

Claims (22)

1.一种装置,包括:
一个或多个处理器;和
一个或多个计算机可读非暂态存储介质,耦合到所述一个或多个处理器并包括指令,所述指令当由所述一个或多个处理器执行时,使所述装置执行操作,所述操作包括:
从网络内的远程访问客户端接收用户凭证;
将所述用户凭证传送到所述网络内的认证、授权和计费(AAA)服务器;
从所述AAA服务器接收用户属性;
基于所述用户属性生成上下文标签,其中所述上下文标签包括与所述网络内的流量行为相关联的路由指令;以及
向所述远程访问客户端通告控制消息,其中所述控制消息包括所述上下文标签。
2.如权利要求1所述的装置,所述操作还包括从SD-WAN控制器接收策略,其中生成所述上下文标签还基于从所述SD-WAN控制器接收的所述策略。
3.如权利要求1或2所述的装置,其中所述用户凭证与以下中的一项或多项相关联:
用户名;
密码;
cookie;或者
证书。
4.如权利要求1至3中任一项所述的装置,其中所述用户属性与以下中的一项或多项相关联:
安全组;
服务质量(QoS)配置文件;或者
网络地址转换(NAT)配置文件。
5.如权利要求1至4中任一项所述的装置,其中与所述网络内的所述流量行为相关联的所述路由指令将流量引导至一个或多个虚拟专用网(VPN)路由/转发(VRF)实例。
6.如权利要求1至5中任一项所述的装置,所述操作还包括:在生成所述上下文标签之前与所述远程访问客户端建立IP安全(IPsec)或安全套接字层(SSL)会话。
7.如权利要求1至6中任一项所述的装置,所述操作还包括:
确定所述用户属性已改变;和
响应于确定所述用户属性已改变而撤回所述上下文标签。
8.一种方法,包括:
由装置从网络内的远程访问客户端接收用户凭证;
由所述装置将所述用户凭证传送到所述网络内的认证、授权和计费(AAA)服务器;
由所述装置从所述AAA服务器接收用户属性;
由所述装置基于所述用户属性生成上下文标签,其中所述上下文标签包括与所述网络内的流量行为相关联的路由指令;以及
由所述装置向所述远程访问客户端通告控制消息,其中所述控制消息包括所述上下文标签。
9.如权利要求8所述的方法,还包括:从SD-WAN控制器接收策略,其中生成所述上下文标签还基于从所述SD-WAN控制器接收的所述策略。
10.如权利要求8或9所述的方法,其中所述用户凭证与以下中的一项或多项相关联:
用户名;
密码;
cookie;或者
证书。
11.如权利要求8至10中任一项所述的方法,其中所述用户属性与以下中的一项或多项相关联:
安全组;
服务质量(QoS)配置文件;或者
网络地址转换(NAT)配置文件。
12.如权利要求8至11中任一项所述的方法,其中与所述流量行为相关联的所述路由指令将流量引导至一个或多个虚拟专用网(VPN)路由/转发(VRF)实例。
13.如权利要求8至12中任一项所述的方法,还包括:在生成所述上下文标签之前,由所述装置与所述远程访问客户端建立IP安全(IPsec)或安全套接字层(SSL)会话。
14.如权利要求8至13中任一项所述的方法,还包括:
由所述装置确定所述用户属性已改变;和
由所述装置响应于确定所述用户属性已改变而撤回所述上下文标签。
15.一种或多种计算机可读非暂态存储介质,包含指令,所述指令当被处理器执行时,使所述处理器执行操作,所述操作包括:
从网络内的远程访问客户端接收用户凭证;
将所述用户凭证传送到所述网络内的认证、授权和计费(AAA)服务器;
从所述AAA服务器接收用户属性;
基于所述用户属性生成上下文标签,其中所述上下文标签包括与所述网络内的流量行为相关联的路由指令;以及
向所述远程访问客户端通告控制消息,其中所述控制消息包括所述上下文标签。
16.如权利要求15所述的一种或多种计算机可读非暂态存储介质,所述操作还包括从SD-WAN控制器接收策略,其中生成所述上下文标签还基于从所述SD-WAN控制器接收的所述策略。
17.如权利要求15或16所述的一种或多种计算机可读非暂态存储介质,其中所述用户凭证与以下中的一项或多项相关联:
用户名;
密码;
cookie;或者
证书。
18.如权利要求15至17中任一项所述的一种或多种计算机可读非暂态存储介质,其中所述用户属性与以下中的一项或多项相关联:
安全组;
服务质量(QoS)配置文件;或者
网络地址转换(NAT)配置文件。
19.如权利要求15至18中任一项所述的一种或多种计算机可读非暂态存储介质,其中与所述网络内的流量行为相关联的所述路由指令将流量引导至一个或多个虚拟专用网(VPN)路由/转发(VRF)实例。
20.如权利要求15至19中任一项所述的一种或多种计算机可读非暂态存储介质,所述操作还包括:在生成所述上下文标签之前与所述远程访问客户端建立IP安全(IPsec)或安全套接字层(SSL)会话。
21.一种装置,包括:
用于从网络内的远程访问客户端接收用户凭证的装置;
用于将所述用户凭证传送到所述网络内的认证、授权和计费(AAA)服务器的装置;
用于从所述AAA服务器接收用户属性的装置;
用于基于所述用户属性生成上下文标签的装置,其中所述上下文标签包括与所述网络内的流量行为相关联的路由指令;以及
用于向所述远程访问客户端通告控制消息的装置,其中所述控制消息包括所述上下文标签。
22.如权利要求21所述的装置,还包括用于实现根据权利要求9至14中任一项所述的方法的装置。
CN202080048757.1A 2019-06-06 2020-05-27 用于生成上下文标签的系统和方法 Active CN114051714B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962858191P 2019-06-06 2019-06-06
US62/858,191 2019-06-06
US16/562,867 US11683308B2 (en) 2019-06-06 2019-09-06 Systems and methods for generating contextual labels
US16/562,867 2019-09-06
PCT/US2020/034610 WO2020247214A1 (en) 2019-06-06 2020-05-27 Systems and methods for generating contextual labels

Publications (2)

Publication Number Publication Date
CN114051714A CN114051714A (zh) 2022-02-15
CN114051714B true CN114051714B (zh) 2023-06-09

Family

ID=73651771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080048757.1A Active CN114051714B (zh) 2019-06-06 2020-05-27 用于生成上下文标签的系统和方法

Country Status (4)

Country Link
US (2) US11683308B2 (zh)
EP (1) EP3981129B1 (zh)
CN (1) CN114051714B (zh)
WO (1) WO2020247214A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11129023B2 (en) * 2019-06-06 2021-09-21 Cisco Technology, Inc. Systems and methods for distributing SD-WAN policies
US11483242B2 (en) * 2020-03-26 2022-10-25 Juniper Networks, Inc. Seamless end-to-end segment routing across metropolitan area networks
US11496337B2 (en) * 2021-01-13 2022-11-08 Cisco Technology, Inc. Openroaming based remote worker
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026548A (zh) * 2006-02-23 2007-08-29 中兴通讯股份有限公司 一种数据业务路由方法
GB201101073D0 (en) * 2011-01-21 2011-03-09 Wolovitz Lionel Method and system for controlling access to networks and/or services
CN102316092A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的具有快速重新连接的vpn网络客户端
CN102907042A (zh) * 2009-12-31 2013-01-30 泰克莱克股份有限公司 针对状况触发的策略的方法、系统和计算机可读介质
CN103580980A (zh) * 2012-07-24 2014-02-12 中兴通讯股份有限公司 虚拟网络自动发现和自动配置的方法及其装置
CN103765839A (zh) * 2011-06-29 2014-04-30 瞻博网络公司 用于网络设备内的分组处理的基于变量的转发路径结构
CN107534672A (zh) * 2015-04-27 2018-01-02 微软技术许可有限责任公司 用于作为网络服务的客户端应用的持久统一资源定位符(url)
CN108173981A (zh) * 2012-09-28 2018-06-15 瞻博网络公司 用于订户感知服务的应用的网络地址转换

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6680943B1 (en) * 1999-10-01 2004-01-20 Nortel Networks Limited Establishing bi-directional communication sessions across a communications network
US7562393B2 (en) * 2002-10-21 2009-07-14 Alcatel-Lucent Usa Inc. Mobility access gateway
US7499401B2 (en) * 2002-10-21 2009-03-03 Alcatel-Lucent Usa Inc. Integrated web cache
US7937578B2 (en) * 2002-11-14 2011-05-03 Qualcomm Incorporated Communications security methods for supporting end-to-end security associations
US7319699B1 (en) * 2003-01-17 2008-01-15 Cisco Technology, Inc. Distributed imposition of multi-level label stack using local label
US7483374B2 (en) * 2003-08-05 2009-01-27 Scalent Systems, Inc. Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing
US7561586B2 (en) * 2003-09-19 2009-07-14 Nortel Networks Limited Method and apparatus for providing network VPN services on demand
US8572219B1 (en) * 2006-03-02 2013-10-29 F5 Networks, Inc. Selective tunneling based on a client configuration and request
US8848711B1 (en) * 2006-08-04 2014-09-30 Brixham Solutions Ltd. Global IP-based service-oriented network architecture
US8095786B1 (en) * 2006-11-09 2012-01-10 Juniper Networks, Inc. Application-specific network-layer virtual private network connections
US8320381B2 (en) * 2007-03-13 2012-11-27 Alcatel Lucent Application-aware policy enforcement
US8812726B2 (en) * 2008-09-09 2014-08-19 Cisco Technology, Inc. Service insertion in a computer network using internet protocol version 6 techniques
US9301191B2 (en) 2013-09-20 2016-03-29 Telecommunication Systems, Inc. Quality of service to over the top applications used with VPN
US20140040979A1 (en) * 2011-10-11 2014-02-06 Citrix Systems, Inc. Policy-Based Application Management
US8799994B2 (en) * 2011-10-11 2014-08-05 Citrix Systems, Inc. Policy-based application management
US20140032733A1 (en) * 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9178807B1 (en) * 2012-09-20 2015-11-03 Wiretap Ventures, LLC Controller for software defined networks
US9124485B2 (en) * 2013-08-19 2015-09-01 Cisco Technology, Inc. Topology aware provisioning in a software-defined networking environment
EP2922252B1 (en) * 2014-03-21 2017-09-13 Juniper Networks, Inc. Selectable service node resources
US20150319092A1 (en) * 2014-05-02 2015-11-05 Benu Networks, Inc. CONTENT AWARE WI-FI QoS
US20150350912A1 (en) * 2014-05-28 2015-12-03 Telefonaktiebolaget L M Ericsson (Publ) Residential service delivery based on unique residential apn
US10212030B2 (en) * 2014-06-13 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Mobile network IOT convergence
CN107079353B (zh) * 2014-08-22 2021-02-09 诺基亚通信公司 新服务区中的低等待时间服务连接设立
US10498652B2 (en) * 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US9860279B2 (en) * 2015-08-28 2018-01-02 Nicira, Inc. Defining network rules based on remote device management attributes
US10193984B2 (en) * 2015-12-01 2019-01-29 Telefonaktiebolaget Lm Ericsson (Publ) Architecture for enabling fine granular service chaining
US11277416B2 (en) * 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US10158628B2 (en) * 2016-06-08 2018-12-18 Bank Of America Corporation Preventing unauthorized access to secured information systems based on contextual login information
US10498855B2 (en) * 2016-06-17 2019-12-03 Cisco Technology, Inc. Contextual services in a network using a deep learning agent
US11096119B2 (en) * 2016-12-21 2021-08-17 Maxlinear, Inc. Dynamic functional partitioning for WiFi protected access 2 (WPA2) pass-through virtual network function (VNF)
EP3580897B1 (en) * 2017-02-13 2021-04-07 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for dynamic service chaining with segment routing for bng
US10523556B2 (en) * 2017-08-08 2019-12-31 Versa Networks, Inc. Method and system for routing connections in a software-defined wide area network
US11374906B2 (en) * 2017-09-28 2022-06-28 L3 Technologies, Inc. Data exfiltration system and methods
EP3588857B1 (en) * 2018-06-25 2023-06-07 Juniper Networks, Inc. Using multiple ethernet virtual private network (evpn) routes for corresponding service interfaces of a subscriber interface
CN109495503B (zh) 2018-12-20 2021-11-12 新华三技术有限公司 一种ssl vpn认证方法、客户端、服务器及网关
US11418560B1 (en) * 2019-06-27 2022-08-16 Cable Television Laboratories, Inc. Media and application aware network architecture

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026548A (zh) * 2006-02-23 2007-08-29 中兴通讯股份有限公司 一种数据业务路由方法
CN102907042A (zh) * 2009-12-31 2013-01-30 泰克莱克股份有限公司 针对状况触发的策略的方法、系统和计算机可读介质
CN102316092A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的具有快速重新连接的vpn网络客户端
GB201101073D0 (en) * 2011-01-21 2011-03-09 Wolovitz Lionel Method and system for controlling access to networks and/or services
WO2012098265A1 (en) * 2011-01-21 2012-07-26 Lionel Wolovitz Method and system for controlling access to networks and/or services
CN103765839A (zh) * 2011-06-29 2014-04-30 瞻博网络公司 用于网络设备内的分组处理的基于变量的转发路径结构
CN103580980A (zh) * 2012-07-24 2014-02-12 中兴通讯股份有限公司 虚拟网络自动发现和自动配置的方法及其装置
CN108173981A (zh) * 2012-09-28 2018-06-15 瞻博网络公司 用于订户感知服务的应用的网络地址转换
CN107534672A (zh) * 2015-04-27 2018-01-02 微软技术许可有限责任公司 用于作为网络服务的客户端应用的持久统一资源定位符(url)

Also Published As

Publication number Publication date
WO2020247214A1 (en) 2020-12-10
US11683308B2 (en) 2023-06-20
EP3981129A1 (en) 2022-04-13
EP3981129B1 (en) 2024-01-17
US20230300134A1 (en) 2023-09-21
US20200389457A1 (en) 2020-12-10
CN114051714A (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
CN114051714B (zh) 用于生成上下文标签的系统和方法
CN114041277B (zh) 用于分发sd-wan策略的系统和方法
US10764244B1 (en) Systems and methods providing a multi-cloud microservices gateway using a sidecar proxy
US9794215B2 (en) Private tunnel network
US8650326B2 (en) Smart client routing
CN114080784B (zh) 使用标签路由网络流量的系统和方法
US11943297B2 (en) Distributed network security system providing isolation of customer data
US11595306B2 (en) Executing workloads across multiple cloud service providers
US20230261981A1 (en) Group-based policies for inter-domain traffic
EP3598705A1 (en) Routing control
US11681813B2 (en) System and method for enforcing context-based data transfer and access
US20210377221A1 (en) Systems and Methods for Costing In Nodes after Policy Plane Convergence
US20230188492A1 (en) Systems and Methods for Translating IPV6 Packets for DIA in an SD-WAN Environment
US20240015225A1 (en) Systems and Methods for Sharing a Control Connection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant