CN114175583B - 自愈网络中的系统资源管理 - Google Patents
自愈网络中的系统资源管理 Download PDFInfo
- Publication number
- CN114175583B CN114175583B CN202080053957.6A CN202080053957A CN114175583B CN 114175583 B CN114175583 B CN 114175583B CN 202080053957 A CN202080053957 A CN 202080053957A CN 114175583 B CN114175583 B CN 114175583B
- Authority
- CN
- China
- Prior art keywords
- switch
- communication
- epg
- group
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 146
- 230000004044 response Effects 0.000 claims abstract description 38
- 239000004744 fabric Substances 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims description 41
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000002441 reversible effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 6
- 230000006855 networking Effects 0.000 description 5
- 239000002131 composite material Substances 0.000 description 4
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003292 diminished effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
本公开提供自愈网络中的系统资源管理,包括:在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中第二交换机为包括第一端点组(EPG)在内的策略组实施安全策略,第一EPG被物理地连接到第一交换机;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG的虚拟专用网(VPN)路由和转发标识符(VRF ID):使用与第一交换机的、与第一EPG连接的端口相关联的端口偏移来修改源IP地址,使用与策略组的身份相关联的组偏移来修改VRF ID,并且经由网络隧道将此通信从第一交换机传送到第二交换机;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:基于组偏移来识别针对策略组的安全策略,并且响应于确定安全策略允许此通信,将此通信传送到目的地。
Description
技术领域
本公开中提出的实施例一般地涉及利用各种不同安全策略来服务若干端点组的网络结构。更具体地,本文公开的实施例涉及卸载安全策略的应用以平衡网络结构内的计算资源。
背景技术
在软件定义网络(SDN)中,由于随着时间的推移向网络添加交换机或从网络移除交换机,网络可能会异构地发展为包括具有不同计算能力和资源级别的各种不同设备。网络中交换机的不同性能特征可能会导致计算资源的分配不均和联网通信的处理效率低下,尤其是当连接到交换机的主机设备没有被重新连接以考虑新的交换机布局时。然而,尽管网络中可用的异构硬件具有不同的性能特征,但SDN的用户仍然希望安全策略和联网功能能够在整个网络中均匀应用。
发明内容
在本申请的一方面中,提供了一种用于系统资源管理的方法,包括:在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中第二交换机为包括第一端点组(EPG)的策略组实施安全策略,第一端点组(EPG)被物理地连接到第一交换机;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG的虚拟专用网(VPN)路由和转发标识符(VRF ID):使用与第一交换机的端口相关联的端口偏移来修改源IP地址,其中端口连接到第一EPG,使用与策略组的身份相关联的组偏移来修改VRF ID,并且经由网络隧道将通信从第一交换机传送到第二交换机;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:基于组偏移来识别策略组的安全策略,并且响应于确定安全策略允许通信,将通信传送到目的地。
在本申请的一方面中,提供了一种非暂态计算机可读存储设备,包括指令,指令当由处理器执行时使处理器能够执行操作,操作包括:在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中包括第一端点组(EPG)的策略组的安全策略被卸载到第二交换机来实现,第一EPG被物理地连接到第一交换机;基于第一交换机的、与第一EPG连接的端口来设置端口偏移;基于策略组的身份来设置组偏移;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG所属于的虚拟专用网(VPN)路由和转发标识符(VRF ID):使用端口偏移来修改源IP地址,使用组偏移来修改VRF ID,并且经由网络隧道将通信从第一交换机传送到第二交换机;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:基于组偏移来识别策略组的安全策略,并且响应于确定安全策略允许通信,将通信传送到目的地。
在本申请的一方面中,提供了一种用于系统资源管理的设备,包括:用于在网络结构中的第一交换机和第二交换机之间建立网络隧道的装置,其中第二交换机为包括第一端点组(EPG)的策略组实施安全策略,第一EPG被物理地连接到第一交换机;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG的虚拟专用网(VPN)路由和转发标识符(VRF ID):用于使用与第一交换机的端口相关联的端口偏移来修改源IP地址的装置,端口与第一EPG连接,用于使用与策略组的身份相关联的组偏移来修改VRF ID的装置,以及用于经由网络隧道将通信从第一交换机传送到第二交换机的装置;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:用于基于组偏移来识别策略组的安全策略的装置,以及用于响应于确定安全策略允许通信,将通信传送到目的地的装置。
在本申请的一方面中,提供了一种计算机可读介质,包括指令,指令当由计算机执行时使计算机执行根据本申请的用于系统资源管理的方法。
附图说明
为了能够详细地理解本公开的上述特征,可以通过参考实施例对以上简要概括的本公开进行更具体的描述,其中一些实施例在附图中示出。然而,要注意的是,附图图示出了典型实施例,而不应被认为是限制性的;其他同样有效的实施例也可以被预见到。
图1示出了根据本公开实施例的网络结构。
图2示出了根据本公开实施例的可以在策略展平中使用的策略分组。
图3示出了根据本公开实施例的卸载操作。
图4是根据本公开实施例的用于优化网络结构的流程图。
图5A是根据本公开实施例的用于在优化的网络结构中处理来自端点组的出站通信的流程图。
图5B是根据本公开实施例的用于在优化的网络结构中处理到端点组的入站消息的流程图。
图6示出了根据本公开实施例的网络交换机的硬件。
为了便于理解,在可能的情况下使用相同的附图标记来表示各图共有的相同元件。预期在一个实施例中公开的元件可以有益地用于其他实施例中而无需特别引述。
具体实施方式
概述
本发明的各方面在独立权利要求中陈述并且优选特征在从属权利要求中陈述。一个方面的特征可以单独地或与其他方面组合地应用于每个方面。
本公开中提出的一个实施例提供了一种用于自愈网络中的系统资源管理的方法,包括:在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中第二交换机为包括第一端点组(EPG)的策略组实施安全策略,第一EPG被物理地连接到第一交换机;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG的虚拟专用网(VPN)路由和转发标识符(VRF ID):使用与第一交换机的、与第一EPG连接的端口相关联的端口偏移来修改源IP地址,使用与策略组的身份相关联的组偏移来修改VRF ID,并且经由网络隧道将此通信从第一交换机传送到第二交换机;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:基于组偏移识别针对策略组的安全策略,并且响应于确定安全策略允许此通信,将此通信传送到目的地。
本公开中提出的一个实施例提供了一种非暂态计算机可读存储设备,包括指令,这些指令当由处理器执行时使处理器能够执行用于自愈网络中的系统资源管理的操作,该操作包括:在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中针对包括与第一交换机物理地连接的第一端点组(EPG)的策略组的安全策略被卸载到第二交换机来执行;基于第一交换机的、与第一EPG连接的端口来设置端口偏移;基于策略组的身份来设置组偏移;响应于在第一交换机处接收到来自第一EPG的旨在去往目的地的通信,该通信包括第一交换机的源IP地址和第一EPG所属于的虚拟专用网(VPN)路由和转发标识符(VRF ID):使用端口偏移来修改源IP地址;使用组偏移来修改VRF ID;并且经由网络隧道将此通信从第一交换机传送到第二交换机;以及响应于在第二交换机处通过网络隧道接收到来自第一交换机的通信:基于组偏移来识别针对策略组的安全策略;并且响应确定安全策略允许此通信,将此通信传送到目的地。
本公开中提出的一个实施例提供了一种用于自愈网络中的系统资源管理的方法,该方法包括:基于共享安全策略将第一多个端点组(EPG)分组为第一多个策略组,其中第一多个EPG被连接到网络中的多个交换机;识别第一多个策略组中具有最高资源需求的第一策略组;将与第一策略组对应的第一安全策略分配给多个交换机中的第一交换机;从第一多个EPG中未包括在第一策略组中的剩余EPG中识别第二多个EPG;基于共享安全策略将第二多个EPG分组为第二多个策略组;识别第二多个策略组中具有最高资源需求的第二策略组;将与第二策略组对应的第二安全策略分配给多个交换机中的第二交换机。
示例实施例
为了确保在SDN(软件定义网络)中的硬件演进为异构部署时为用户提供同构联网体验,本公开利用新的或重新平衡的网络配置提供了对网络中的系统资源的布置指导,而无需对网络进行手动用户配置。
网络控制器将各种通信策略的实现或执行从连接到各种主机的网络设备卸载到具有更多可用计算资源的另一网络设备。网络控制器基于给定网络设备上的自由资源的z得分加权复合度量和一组成组的主机对这些资源的需求而在迭代过程中确定具有相似安全策略或操作特性的成组的主机和网络设备的最高效配对。
图1示出了根据本公开实施例的网络结构100。图示的网络结构100是包括第一站点110a、第二站点110b、和第三站点110c(一般称为站点110)的SDN,其中站点110中的每个站点位于彼此不同的地理位置(即,位于远程位置)。尽管在此处的示例中讨论了三个站点110a-c,但是在其他示例中网络结构100可以包括多于或少于三个站点110。站点110中的每个站点经由网络160(例如,互联网或另一公共网络)连接到网络结构100中的其他站点110,以作为单个网络操作(而不管远程定位的元件之间的距离如何)。
在图1中,每个站点110包括各种主干交换机120和叶交换机130,这些交换机可以基于通信路径、站点110的租户等而被划分为各种集群。主干交换机120和叶交换机130是用于在网络内路由数据的专用计算机联网设备。可以在主干交换机120或叶交换机130中使用的示例硬件将结合图6进行讨论。
在图示的Clos架构中,叶交换机130通过主干交换机120路由通信流,而主干交换机120通过叶交换机130路由通信流。换言之,在站点110内,主干交换机120不与其他主干交换机120直接通信并且叶交换机130不与其他叶交换机130直接通信,而是通过彼此路由通信。在图示的网络结构100中,远程站点110中的主干交换机120一起通信以通过公共网络160将站点110链接到网络结构100内。尽管图1的给定站点110中的每个主干交换机120被示出为连接到每个叶交换机130,但可以预见到其他布置。
各种主机设备140连接到叶交换机130,并托管各种租户的工作负载。主机设备140可以为网络结构100的各种租户提供服务或客户端,并且虽然图1中针对每个叶交换机130示出了一个主机设备140,但是应当理解,网络结构100可以包括多个主机设备140,其中每个单独的主机设备140连接到单个叶交换机130的一个端口。每个叶交换机130可以包括多个端口并且可以通过这些端口连接到一个或多个主机设备140,这些端口可以分配给一个或多个不同的租户。
在网络结构100中从一个叶交换机130路由到另一叶交换机130的通信(经由一个站点110处或跨多个站点110的一个或多个主干交换机120)被封装到隧道中,该隧道识别用于路由此通信的源叶交换机130的地址和目的地叶交换机130的地址。该通信还包括源工作负载或主机设备140的类别标识符(ID)(或端点组ID)和源工作负载或主机设备140的网络ID(或子网ID)。因为若干不同的租户可以共享在给定站点110中提供的计算资源并且租户可能希望管理与特定租户相关联的工作负载之间的通信,这些通信可以被加密和/或租户可以指定将要如何处理通信的各种安全策略。例如,安全策略可以:允许第一工作负载与第二工作负载通信,可以阻止来自第一工作负载的通信被第二工作负载接收,可以限制第一工作负载仅接收来自已知来源(例如,白名单)的通信,可以阻止第一工作负载接收来自已知来源(例如,黑名单)的通信,等等。当安全策略阻止通信或以其他方式防止通信被给定工作负载接收时,通信可能会被丢弃、忽略、隔离(例如,保持或转发到不同的设备以进行分析),或转发到与原先指定的目的地不同的设备或工作负载。
当在叶交换机130处实施安全策略时,允许传入分组到达预期工作负载的决定导致叶交换机130将此分组递送到所指示的主机设备140,阻止此分组被所指示的主机设备140接收,或者将此分组转发到不同的主机设备140或节点(例如,隔离设备)。在多租户SDN(其中多方共享网络结构100的一些或全部硬件)中,例如在数据中心中,网络结构100可被划分为若干虚拟专用网路由和转发(VRF)组(也称为是VRF),以用于管理单个租户的工作负载和安全策略。不同租户使用的工作负载和/或主机设备140被分组成一个或多个端点组(EPG),这些端点组集合了具有相同联网和策略需求的工作负载和/或主机设备140。在一些实施例中,EPG代表连接到特定叶交换机130的单个端口的所有工作负载。在其他实施例中,子网、VLAN(虚拟局域网)标识符、IP(互联网协议)地址、MAC(媒体访问控制)地址、虚拟机主机名等以及它们的组合可用于将一个或多个端点分组为EPG。
图2示出了根据本公开实施例的可以在策略展平(policy flattening)中使用的策略分组200。如图所示,已经通过安全策略建立第一组EPG 210(具体是EPG 210a-210d),以允许去往第二组EPG 210(具体是EPG 210e-h)的通信信道220。单向安全策略允许第一组中的每个EPG 210通过通信信道220向第二组中包括的每个EPG 210发送通信。如这里所使用的,第一组EPG 210定义了具有彼此相同的安全策略的策略组(PG)230,这些安全策略允许去往包括第二组EPG 210的目的地组(DG)240的通信信道220。PG 230中的EPG 210可以属于一个完整的VRF、一个VRF的子集,或者也可以属于多个VRF,但具有相同的安全策略。DG240中的EPG 210可以属于一个完整的VRF、一个VRF的子集,或者可以属于多个VRF,并且可以具有彼此相同或不同的安全策略。
尽管通信信道220被描述为单向的(即,允许从第一组EPG 210到第二组EPG 210的通信),但在一些实施例中,第二组EPG 210包括一组互惠安全策略以用于允许去往第一组EPG 210的通信。在这样的实施例中,图示的目的地组240可以被认为是第二策略组230并且图示的策略组230可以被认为是第二目的地组240。
每个通信信道220与允许从PG 230中的EPG 210到DG 240中的EPG 210的通信的安全策略相关联。例如,第一EPG 210a被允许经由四个通信信道220与第五至第八EPG 210e-h通信,每个通信信道与由托管第一EPG 210a的叶交换机130维护的安全策略相关联。对于X个EPG 210的PG 230被允许与Y个EPG 210的DG 240进行通信而言,维持X*Y个安全策略以允许建立X*Y个通信信道220。例如,如图2所示,四个EPG 210a-d的PG 230和四个EPG 210e-h的DG 240具有十六个通信信道220(即,4*4=16),每个通信信道与叶交换机130上维护的安全策略相关联。
通过将第一组EPG 210a-d建立为属于PG 230并将第二组EPG 210e-h建立为属于DG 240,可以将安全策略展平为一个PG策略250来描述个体策略允许的通信信道220。例如,代替维护描述相关联的EPG 210之间所有X*Y个允许的通信信道220的X*Y个安全策略,PG策略250定义了一个策略,该策略允许将来自PG 230的通信被发送到DG 240,而不参考其中的个体EPG 210。
通过将安全策略展平为PG策略250,减少了叶交换机130的存储器中需要维护的安全策略的数量,从而节省了计算资源。然而,如果个体EPG 210分布在管理安全策略的多个叶交换机130上,则管理安全策略的叶交换机130的集合将维护PG策略250的多个副本;削弱了策略展平的部分好处。例如,如果EPG 210a由第一叶交换机130a管理,并且EPG 210b-d由第二叶交换机130b管理,则创建并维护PG策略250的两个副本;一个在第一叶交换机130a处,一个在第二叶交换机130b处。
此外,虽然给定EPG 210在概念上可以属于若干不同的候选PG 230,但实际上,管理员或控制器在对安全策略展平时将EPG 210分配给候选PG 230中的一个选定PG 230,并且不佳的分配可能会减少策略展平的好处(例如,导致更多的PG 230分布在更多的叶交换机130上,叶交换机计算资源的低效分配)。例如,第一EPG 210a可能潜在地属于n个PG 230,但已被分配给图示的具有第二到第四EPG 210b-d的PG 230,这可以是第一EPG 210a到n个候选PG 230之一的最高效的分配。
因此,优化EPG 210到PG 230的分配以及PG 230到叶交换机130的分配可以改进/最大化策略展平对网络结构100的总体益处。尽管EPG 210的分配可以包括改变网络结构100中的哪个主机设备140托管EPG 210中的工作负载或给定主机设备140连接到哪个叶交换机130,但在自愈实施例中,如在本公开中所述,EPG 210的分配包括将EPG 210从一个叶交换机130卸载到另一叶交换机130。
图3示出了根据本公开实施例的卸载操作300。在图3中,示出了三个叶交换机130a-c,其中第一到第四EPG 210a-210d被示出为物理地连接到第三叶交换机130c(例如,通过主机设备140提供EPG 210的工作负载)。如图所示,第一至第二EPG 210a和210b属于第一PG 230a,其具有相关联的第一PG策略250a,该第一PG策略250a被卸载到第一叶交换机130a。类似地,第三至第四EPG 210c-d属于第二PG 230b,其具有相关联的第二PG策略250b,该第二PG策略250b被卸载到第二叶交换机130b。
第一隧道320a(一般称为隧道320)将第一叶交换机130a与第三叶交换机130c链接,并且第二隧道320b将第二叶交换机130b与第三叶交换机130c链接。在诸如图1所示的网络结构100的Clos架构中,隧道320可以经由一个或多个骨干交换机120(未示出)和/或公共网络160(未示出)在叶交换机130之间转接,这取决于叶交换机130的物理位置。为了确保通信(其EPG 210属于具有PG策略250的PG 230,该PG策略250被卸载到另一叶交换机130)的正确路由,第三叶交换机130c将从所连接的EPG 210接收的通信重定向到维护相关联的PG230的PG策略250的叶交换机130。
作为消息源或连接的交换机,第三叶交换机130c在发送到卸载交换机(例如,图3中的第一叶交换机130a或第二叶交换机120b)的通信中包括附加寻址信息,使得该通信可以正确地被分析和定向到请求主机/从请求主机定向。在若干实施例中,寻址信息包括用端口偏移修改后的源IP地址S,该端口偏移标识源交换机上与发送EPG 210连接的端口号P、处理策略实施的交换机的目的地地址D、EPG 210所属的VRF的网络标识符V(用标识EPG 210所属的PG 230的组偏移G修改该网络标识符V)、和分配给EPG 210的类别标识符C。因此,寻址信息的示例元组可以表示为:[S+P,D,V+G,C]。例如,当分组来自连接到叶交换机130处的IP地址为10.0.0.1(S=10.0.0.1)的端口2(P=2)的EPG 210时,叶交换机130可以将端口偏移添加到IP地址以生成源IP地址10.0.0.3,用于到目的地交换机的传输。连接的交换机在封装来自EPG 210的通信以通过网络隧道320传输到卸载交换机时使用该寻址信息,并且封装的通信包括EPG 210的IP地址、通信的目的地的IP地址(或其他标识符)、以及通信的有效载荷、纠错/识别信息等。
在其他实施例中设想了寻址信息以及用于如何组合各个元素的预定义关系的其他布置。例如,可以从地址的第二个字节中减去端口号P,而不是将其添加到地址的第一个字节中。因此,虽然本公开中的示例主要是关于IP版本四(IPv4)地址给出的,但也考虑了IP版本六(IPv6)地址。
当卸载交换机经由网络隧道320接收到出站通信时,卸载交换机对通信进行解封装(例如,去除隧道头部和尾部字段)并识别要应用于通信的安全策略。此外,卸载交换机以会话方式从寻址信息中获悉由端口偏移修改后的源IP地址与解封装的通信中指示的EPG210的IP地址相关联。卸载交换机使用通信中的用组偏移修改后的VRF ID来识别要应用于通信的安全策略,以允许或阻止将通信传送到解封装的分组中所指示的目的地。卸载交换机在向目的地传送解封装的通信时使用EPG 210的IP地址,并在处理到EPG 210的入站消息(例如,来自目的地或另一方的响应)时使用修改后的源IP地址和EPG IP地址之间的已知关联。
当卸载交换机接收到对于给定EPG 210的入站消息时,卸载交换机识别与消息中指示的目的地IP地址(例如,EPG IP地址)相关联的修改后的源IP地址,并将该消息封装并转发到连接的交换机以进行处理。一旦在连接的交换机(例如,第三叶交换机130c)处接收到该消息,连接的交换机就对该消息进行解封装(例如,去除隧道头部和尾部字段)并从卸载交换机指示的修改后的源IP地址中去除连接的交换机的源IP地址,以产生端口偏移。连接的交换机随后将该消息转发给连接到连接的交换机的、由端口偏移指示的端口的EPG210。因此,连接的交换机可以放弃使用端点表(其列出了每个端点连接到的每个端口并将之关联),而是使用映射表(其将PG 230(包括连接到特定端口的多个EPG 210)关联到端口),因此减少了存储器中维护的条目数量并释放了端点表中的空间。
尽管在图3中示出了给定数量的叶交换机130、EPG 210、和PG 230(具有相关联的PG策略250),但是在其他实施例中可以包括更多或更少的这些元素。例如,各种附加的EPG210(未示出)可以连接到第一叶交换机130a或第二叶交换机130b的端口。在另一示例中,属于第三PG 230c(未示出)的各种附加EPG 210可以连接到第三叶交换机130c,该第三叶交换机130c在本地处理第三PG 230c的安全策略(即,不将第三PG策略250c(未示出)卸载到不同的叶交换机130)。
图4是根据本公开实施例的用于优化网络结构100的方法400的流程图。方法400开始于块410,其中网络结构100中的网络控制器接收优化网络结构100的命令。在一些实施例中,网络控制器接收来自管理员的手动指示的用于优化网络结构100的命令。在其他实施例中,例如在自愈网络中,网络控制器将新交换机向网络结构100的添加、从网络结构100移除现有交换机、或重新配置现有交换机(在调整与其他设备的物理连接中或在更新在其上运行的软件中)识别为优化网络结构100的命令,并相应地开始方法400。
方法400重复通过块420到450的若干迭代,以允许网络控制器递归地对网络结构100中的EPG 210进行分组、分析、和分配,以在块420到450的每次迭代期间在给定的可用计算和网络资源的情况下尽可能高效地开发和部署PG 230。
在块420,网络控制器将网络结构100中的EPG 210分组为多个PG 230。在块420的给定迭代中,多个PG 230中的每个PG 230包括在块420-450的较早迭代中尚未分配给叶交换机130的一个或多个EPG 210。因此,对于块420的初始或第一次迭代,连接到网络结构100的所有EPG 210被分组为初始或第一多个PG 230,但在随后的迭代中,少于所有的EPG 210被分组为随后的多个PG 230。
网络控制器可以基于不同的分组规则或策略将一个EPG 210分组到若干不同的PG230。在一些实施例中,EPG 210基于彼此具有相同的安全策略而被分组到特定的PG 230。例如,具有安全策略A的第一EPG 210a、具有安全策略A的第二EPG 210b、和具有安全策略A的第三EPG 210c可以被一起分组到第一PG 230a中,但是具有安全策略B的第四EPG 210d由于不同的安全策略而不会被分组到第一PG 230a中。在一些实施例中,PG 230包括连接到叶交换机130的给定端口的所有EPG 210。在其他实施例中,EPG 210基于彼此具有共享特性(但不要求具有相同特性的完整集合)而被分组到特定PG 230。例如,网络控制器可以评估一组EPG 210是否属于同一VRF、EPG 210是否彼此通信、EPG 210是否与相同的DG 240通信等。
在块430处,网络控制器识别在块420处开发的多个PG 230中在当前迭代中对网络结构100的可用资源具有最高资源需求的PG 230。对于多个PG 230中针对给定迭代创建的每个候选PG 230,网络控制器模拟用于将该候选PG 230分配给网络结构100中的每个可用叶交换机130的资源消耗和节省的资源。网络控制器对每个候选PG 230在每个叶交换机130上消耗的资源(包括内容可寻址存储器空间、局域网表空间、端点表空间、和路由表空间)进行比较,并识别可以最大程度地节省网络结构100中的资源的给定PG 230和给定叶交换机130。
在许多情况下,在方法400的较早迭代中导致最大资源节省的PG 230比在较晚迭代中导致最大资源节省的PG 230包括更多的EPG 210。最终,为给定迭代开发的多个PG 230可以包括PG 230,每个PG 230包括单个EPG 210。为了确定将单EPG PG 230分配到哪里,网络控制器基于剩余未分配EPG 210的需求而利用对剩余资源的动态加权来对剩余叶交换机130进行排名。
在一个实施例中,网络控制器使用对资源使用的综合排名来确定如何对叶交换机130进行排名,以选择将特定PG 230放置在哪个叶交换机130上。例如,在wj是被跟踪资源j的排名指数权重,rj是对资源j的当前使用率,并且资源j是从n个资源中选择的情况下,网络控制器可以根据以下公式来确定每个叶交换机130的复合度量C。
网络控制器计算每个叶交换机130的复合度量C并识别具有最高值复合度量C的叶交换机130,以将特定PG 230分配给该叶交换机130。
为了计算特定叶交换机130上的每个资源的排名指数权重wj,网络控制器相对于叶交换机130上每个被跟踪资源的平均资源使用率而检查该叶交换机130上的每个被跟踪资源的使用率。例如,网络控制器可以根据下面的公式2而基于使用率ri、叶交换机130上的所有资源的平均使用率μ、以及个体资源的使用率相对于平均使用率的标准偏差σ来计算资源i的z得分。
例如,在网络控制器跟踪四个资源A、B、C、和D并且相应的使用率(ri)分别为90%、88%、82%、和77%的情况下,平均使用率(μ)将为84.25%,并且标准偏差(σ)将为5.9。于是,根据公式2,ZA=0.97,ZB=0.63,Zc=-0.38,并且ZD=-1.2。
一旦计算出z得分,网络控制器就可以确定特定资源i的排名指数权重wi。例如,网络控制器可以根据下面的公式3,基于跟踪资源的数目n、个体资源的使用率ri、个体资源i的z得分、以及基于个体资源n的个体使用率和z得分的加和的归一化因子来计算wi。
在块440,网络控制器将块430中识别出的PG 230分配给块430中识别出的叶节点。网络控制器为分配的PG 230创建安全策略或将其移动到分配的叶交换机130。在各种实施例中,当EPG 210共享安全策略时,PG的安全策略在分配的叶交换机130上被展平。当PG 230被分配到的叶交换机130不是PG 230的EPG 210物理连接的叶交换机130时,网络控制器在连接的叶交换机130上创建规则,以将来自连接的叶交换机的通信转发到分配的(卸载)叶交换机130。
在块450,网络控制器确定是否有任何EPG 210还未分配给叶交换机130。响应于确定并非所有EPG 210都已分配给叶交换机130,方法400可以返回到块420以开始将未分配的EPG 210分组到新的多个PG 230中的新迭代,以确定那些EPG 210要分配到哪个叶交换机130。响应于确定所有EPG 210已经被分配给叶交换机130,方法400随后可以结束。
图5A是根据本公开实施例的用于在优化的网络结构100中处理来自EPG 210的出站通信的方法500的流程图。图5B是根据本公开实施例的用于在优化的网络结构100中处理到EPG 210的入站消息的方法590的流程图。在优化的网络结构100中,一个或多个EPG 210的安全策略被从EPG 210连接到的叶交换机130(即,连接的交换机)卸载到被确定为更加高效地提供网络和计算资源来处理实施这些安全策略的一个或多个其他叶交换机130(即,卸载交换机)。在一些实施例中,网络控制器根据关于图4讨论的方法400确定哪些叶交换机130将是用于EPG 210的指定PG 230的卸载交换机。方法500可以响应于方法400的结束而开始。
方法500开始于块505,其中连接的交换机建立到卸载交换机(其处理连接的交换机的安全策略)的网络隧道320。在各种实施例中,网络隧道320是在交换机之间建立以处理两个叶交换机130之间的流量的VPN隧道,并且可以包括一个或多个骨干交换机120和/或公共网络160。
在块510,连接的交换机为EPG 210设置端口偏移和组偏移。端口偏移是基于连接的交换机中与EPG 210连接的端口的。端口偏移,当在传入消息中被添加到连接的交换机的IP地址时,使得连接的交换机能够无需使用路由表即可识别哪个端口将入站消息路由到EPG 210。组偏移是基于EPG 210所属的PG 230的标识符的,并且连接到连接的交换机的每个PG 230具有唯一的组标识符。组标识符,当在出站通信中被添加到VRF ID时,使得卸载交换机能够识别EPG 210属于VRF的哪个子集,从而识别要应用于通信的PG策略250。
在块515,连接的交换机从EPG 210接收去往目的地(例如,网络结构100中的不同EPG 210、网络结构100外的主机)的出站通信。连接的交换机封装(例如,用VPN报头)出站通信,以通过网络隧道320传送到被分配处理EPG 210所属的PG 230的安全策略的卸载交换机。连接的交换机在封装的通信的报头或路由字段中使用块510中设置的偏移来修改寻址信息。连接的交换机根据预定义的规则通过端口偏移来修改报头中指示的连接的交换机的源IP地址(例如,通过对IP地址和端口号中的指定部分或字节进行加、减、乘、或应用另一种可逆数学运算)。连接的交换机根据预定义的规则通过组偏移来修改报头中指示的EPG 210的VRF ID(例如,通过对VRF ID地址中的指定字节与EPG 210所属的PG的身份进行加、减、乘等)。
在块525,连接的交换机通过网络隧道320将封装的通信转发到卸载交换机,并且在块530,卸载交换机通过网络隧道320接收此封装的通信。
在块535,卸载交换机解封装通过网络隧道320接收的通信,以得到原始出站通信。在各种实施例中,卸载交换机以会话方式从封装报头信息和原始出站通信的报头信息中获悉EPG 210的IP地址(在原始出站通信中被指示为IP地址)和连接的交换机的IP地址(由端口偏移修改后的)之间的关联。这两个IP地址之间的关联可以存储在卸载交换机上的路由或转发表中,以正确引导EPG 210的入站消息,这将关于方法590和图5B更详细地讨论。例如,当卸载交换机接收到封装有原始通信的VPN分组时,卸载交换机将VPN分组的路由信息和报头中的源IP地址(例如,连接的交换机的修改后的源IP地址)与解封装后的通信的路由信息和报头中的源EPG IP地址相关联。
在块540,卸载交换机基于组偏移来识别要应用于出站通信的安全策略。在各种实施例中,存储在卸载交换机上的PG策略250与通过组偏移修改后的VRF ID相关联,并且卸载交换机基于修改后的VRF ID来识别PG策略250。
在块545,卸载交换机应用所识别的安全策略来确定出站通信是否被准许或以其他方式被允许发送到出站通信中指示的目的地。安全策略可以指定准许来自EPG 210所属的PG 230的通信被发送到的各种目的地(例如,白名单),不准许来自EPG 210所属的PG 230的通信被发送到的各种目的地(例如,黑名单),以及如何处理通信的各种限制或要求(例如,加密、大小限制、传输协议)。在一些实施例中,安全策略是展平的安全策略,它们被应用于PG 230的所有成员并针对给定DG 240中的所有目的地,而不是个体EPG到EPG安全策略。
当卸载交换机确定安全策略不允许来自EPG 210的通信去往所指示的目的地时,方法500进行到块505,在此卸载交换机阻止出站通信被发送到所指示的目的地。在一些实施例中,出站通信被从卸载交换机丢弃,被发送到网络中的隔离设备,或被传送到网络控制器以寻求推翻或更新安全策略的许可以允许通信被发送。在各种实施例中,卸载交换机向EPG 210发送指示通信已被阻止传送的消息。然后方法500可以结束。
当卸载交换机确定安全策略允许从EPG 210到所指示的目的地的通信时,方法500继续到块555,在此卸载交换机将通信转发到所指示的目的地。然后方法500可以结束。
图5B是方法590的流程图,其响应于在卸载交换机处接收到入站消息(诸如,对关于图5A讨论的方法500的块555处发送的出站通信的响应消息)而开始于块560。
在块565,卸载交换机识别与在块560处接收的入站消息中指示的卸载EPG 210连接到的连接的交换机相关联的网络隧道320。在各种实施例中,卸载交换机根据消息中的报头地址信息(例如,消息中的目的地IP地址字段)识别卸载EPG 210,并基于EPG IP地址和连接的交换机的IP地址(修改后的)之间的关联来识别网络隧道320。在一些实施例中,当处理来自EPG 210的出站通信时,EPG IP地址和将卸载交换机链接到连接的交换机的网络隧道320之间的关系通过会话方式获悉(例如,作为图5A中的块535的一部分)。
在块570,卸载交换机封装入站消息(例如,封装在VPN分组中)并且经由网络隧道320将封装的消息转发到与消息中指示的目的地EPG 210相关联的连接的交换机。在各种实施例中,封装的消息包括通过端口偏移修改后的连接的交换机的IP地址,作为此封装的消息的目的地IP地址。
在块575,连接的交换机经由网络隧道320接收封装的消息,并且在块580,连接的交换机对该消息进行解封装(例如,通过去除VPN报头字段)并识别端口偏移。因为连接的交换机知道它自己的IP地址(即出站通信中的源IP地址)和用于修改封装的出站通信中(以及用在封装的入站消息中)的该连接的交换机的IP地址的预定义规则,连接的交换机反向应用预定义规则来识别入站消息的端口偏移。例如,当预定义规则将端口偏移(例如,对于端口1,P=1)添加到出站通信的源IP地址(例如,S=10.0.0.1)的第四字节时(例如,产生S+P=10.0.0.2),连接的交换机可以从封装的入站消息的接收到的目的IP地址中减去其IP地址的第四字节的值来产生端口偏移的值(例如,对于端口1,S+P-S=1)。
在块585,连接的交换机在所识别的端口上将解封装的消息转发到目的地EPG210。然后方法590可以结束。
图6示出了根据本公开实施例的网络交换机600的硬件,其可以用作主干交换机120或叶交换机130之一。网络交换机600包括监控器模块610和多个线路卡620a-n。监控器模块610包括处理器611和存储器612。存储器612存储由处理器611执行的软件指令。特别地,存储器612可以存储用于执行本公开中描述的一种或多种方法的各种安全策略630(包括个体EPG安全策略和PG策略250)、类别ID、用于将数据路由到其他设备(例如,外部设备或网络结构中的其他网络交换机600)的指令、以及优化的卸载通信算法640。
每个线路卡620包括控制路径处理器621、专用集成电路(ASIC)622、耦合到ASIC622的多个端口/接口623、三元内容可寻址存储器(TCAM)624、和静态随机存取存储器(SRAM)625。控制路径处理器621是CPU/处理器,它从监控器模块610接收配置命令以对TCAM624和SRAM 625进行编程。ASIC 622是硬件设备,它基于TCAM 624和SRAM 625的内容将端口/接口623处的传入分组定向到另一设备(例如,另一网络交换机600、主机设备140、路由器、防火墙等)上的特定其他端口/接口。ASIC 622可以将接收到的分组缓存在TCAM/SRAM中以延迟传送到其他设备。线路卡620中可能有多个TCAM/SRAM对。
总之,本公开的实施例通过以下操作提供了自愈网络中的系统资源管理:基于共享安全策略将端点组(EPG)分组到多个策略组;识别具有最高资源需求的第一策略组;将对应于第一策略组的第一安全策略分配给多个交换机中的第一交换机;从未包括在第一策略组中的剩余EPG中识别第二多个EPG;基于共享安全策略将第二多个EPG分组到第二多个策略组;识别第二多个策略组中具有最高资源需求的第二策略组;以及将对应于第二策略组的第二安全策略分配给多个交换机中的第二交换机。
在本公开中,参考了各种实施例。然而,本公开的范围不限于具体描述的实施例。相反,所描述的特征和元素的任何组合,无论是否与不同的实施例相关,都被预期实施和实践预期的实施例。此外,当以“A和B中的至少一个”的形式描述实施例的要素时,将理解的是,预期到排他地仅包括元素A,排他地仅包括元素B,以及既包括元素A又包括元素B的实施例。此外,尽管本文公开的一些实施例可以实现优于其他可能的解决方案或现有技术的优势,但是特定的优势是否通过给定的实施例实现并不限制本公开的范围。因此,本文公开的各方面、特征、实施例、和优点仅是说明性的并且不被视为所附权利要求的要素或限制(除非在权利要求中明确陈述)。同样,对“本发明”的提及不应被解释为对本文公开的任何发明主题的概括,并且不应被认为是所附权利要求的要素或限制(除非在权利要求中明确陈述)。
如本领域技术人员将理解的,本文公开的实施例可以体现为系统、方法、或计算机程序产品。因此,实施例可以采用完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)、或结合软件和硬件方面(,这些方面在本文中可以统称为“电路”、“模块”或“系统”)的实施例的形式。此外,实施例可以采用包含在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质具有包含在其上的计算机可读程序代码。
包含在计算机可读介质上的程序代码可以使用任何合适的介质来传送,包括但不限于无线、有线、光纤电缆、RF等,或前述的任何合适的组合。
用于执行本公开的实施例的操作的计算机程序代码可以用一种或多种编程语言的任意组合编写,这些编程语言包括面向对象的编程语言(例如Java、Smalltalk、C++等)和传统的过程编程语言(例如“C”编程语言或类似的编程语言)。程序代码可以完全在用户计算机上、部分在用户计算机上、作为独立软件包、部分在用户计算机上部分在远程计算机上、或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。
在此参考根据本公开中呈现的实施例的方法、装置(系统)、和计算机程序产品的流程图和/或框图来描述本公开的各方面。应当理解,流程图和/或框图的每个块以及流程图和/或框图中的块的组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机、或其他可编程数据处理设备的处理器以生产机器,使得指令在经由计算机或其他可编程数据处理设备的处理器执行时创建用于实现流程图和/或框图的块中指定的功能/动作的装置。
这些计算机程序指令也可以存储在计算机可读介质中,它们可以指导计算机、其他可编程数据处理装置、或其他设备以特定方式运行,使得存储在计算机可读介质中的指令产生包括实现流程图和/或框图的块中指定的功能/动作的指令的制品。
计算机程序指令也可以被加载到计算机、其他可编程数据处理设备、或其他设备上,以使得在计算机、其他可编程设备、或其他设备上执行一系列操作步骤以产生计算机实现的过程,使得指令在计算机、其他可编程数据处理装置、或其他设备上执行时提供用于实现流程图和/或框图的块中指定的功能/动作的过程。
图中的流程图和框图示出了根据各种实施例的系统、方法、和计算机程序产品的可能实现的架构、功能、和操作。就此而言,流程图或框图中的每个块可表示模块、段、或代码部分,其包括用于实现(一个或多个)指定逻辑功能的一个或多个可执行指令。还应该注意的是,在一些替代实现方式中,块中标注的功能可以不按照图中标注的顺序进行。例如,根据所涉及的功能,连续显示的两个块实际上可以基本上同时执行,或者有时可以以相反的顺序执行这些块。还将注意,框图和/或流程图中的每个块以及框图和/或流程图中的块的组合可以由执行指定功能或动作的基于专用硬件的系统或专用硬件和计算机指令的组合来实现。
鉴于上述,本公开的范围由所附权利要求确定。
Claims (13)
1.一种用于系统资源管理的方法,包括:
在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中所述第二交换机为包括第一端点组(EPG)的策略组实施安全策略,所述第一端点组(EPG)被物理地连接到所述第一交换机;
响应于在所述第一交换机处接收到来自所述第一EPG的旨在去往目的地的通信,该通信包括所述第一交换机的源IP地址和所述第一EPG的虚拟专用网(VPN)路由和转发标识符(VRFID):
使用与所述第一交换机的端口相关联的端口偏移来修改所述源IP地址,其中所述端口连接到所述第一EPG,
使用与所述策略组的身份相关联的组偏移来修改所述VRFID,并且
经由所述网络隧道将所述通信从所述第一交换机传送到所述第二交换机;以及
响应于在所述第二交换机处通过所述网络隧道接收到来自所述第一交换机的所述通信:
基于所述组偏移来识别所述策略组的所述安全策略,并且
响应于确定所述安全策略允许所述通信,将所述通信传送到所述目的地。
2.根据权利要求1所述的方法,其中,所述第二交换机以会话方式从所述通信中获悉所述第一EPG的EPG IP地址与通过所述端口偏移修改后的所述源IP地址相关联。
3.根据权利要求2所述的方法,还包括,响应于在所述第二交换机处接收到针对所述第一EPG的消息,该消息包括所述EPG IP地址作为目的地IP地址:
基于所述目的地IP地址与通过所述端口偏移修改后的所述源IP地址相关联,封装所述消息以供经由所述网络隧道进行传送;
使用通过所述端口偏移修改后的所述源IP地址,在所述网络隧道上将所述消息从所述第二交换机转发到所述第一交换机;以及
响应于在所述第一交换机处基于所述源IP地址和所述端口偏移之间的预定义规则而确定所述消息去往所述端口,经由所述端口将所述通信转发到所述第一EPG。
4.根据权利要求1至3中任一项所述的方法,还包括:
响应于在所述第一交换机处从所述第一EPG接收到旨在去往第二目的地的第二通信,该通信包括所述源IP地址和所述VRFID:
使用所述端口偏移来修改所述源IP地址;
使用所述组偏移来修改所述VRFID;并且
经由所述网络隧道将所述第二通信从所述第一交换机传送到所述第二交换机;以及
响应于在所述第二交换机处通过所述网络隧道接收到来自所述第一交换机的所述第二通信:
基于所述组偏移来识别所述策略组的所述安全策略;并且
响应于确定所述安全策略不允许所述第二通信,阻止将所述通信传送到所述目的地。
5.根据权利要求1至3中任一项所述的方法,还包括:在所述第二交换机上,将针对包括在所述策略组中的EPG的所述安全策略展平为一个安全策略,该安全策略允许与一个目的地组的EPG进行通信。
6.一种非暂态计算机可读存储设备,包括指令,所述指令当由处理器执行时使所述处理器能够执行操作,所述操作包括:
在网络结构中的第一交换机和第二交换机之间建立网络隧道,其中包括第一端点组(EPG)的策略组的安全策略被卸载到所述第二交换机来实现,所述第一EPG被物理地连接到所述第一交换机;
基于所述第一交换机的、与所述第一EPG连接的端口来设置端口偏移;
基于所述策略组的身份来设置组偏移;
响应于在所述第一交换机处接收到来自所述第一EPG的旨在去往目的地的通信,该通信包括所述第一交换机的源IP地址和所述第一EPG所属于的虚拟专用网(VPN)路由和转发标识符(VRFID):
使用所述端口偏移来修改所述源IP地址,
使用所述组偏移来修改所述VRFID,并且
经由所述网络隧道将所述通信从所述第一交换机传送到所述第二交换机;以及
响应于在所述第二交换机处通过所述网络隧道接收到来自所述第一交换机的所述通信:
基于所述组偏移来识别所述策略组的所述安全策略,并且
响应于确定所述安全策略允许所述通信,将所述通信传送到所述目的地。
7.根据权利要求6所述的非暂态计算机可读存储设备,其中,所述指令在被执行时还使所述处理器能够执行操作,该操作包括:
响应于在所述第一交换机处接收到针对所述策略组的所述第一EPG的消息,该消息包括目的地IP地址和目的地VRFID:
响应于在所述第二交换机处基于所述目的地VRFID和所述组偏移而确定所述消息旨在去往所述策略组,基于由所述消息指示的所述目的地IP地址而在所述网络隧道上将所述消息从所述第二交换机转发到所述第一交换机;并且
响应于在所述第一交换机处基于所述目的地IP地址和所述端口偏移之间的预定义规则而确定所述消息去往所述端口,经由所述端口将所述通信转发到所述第一EPG。
8.根据权利要求7所述的非暂态计算机可读存储设备,其中,所述源IP地址被根据所述预定义规则而使用所述端口偏移进行修改,所述预定义规则包括:
所述源IP地址的指定部分;以及
将所述端口偏移应用于所述指定部分的可逆数学运算。
9.根据权利要求8所述的非暂态计算机可读存储设备,其中,所述指令在被执行时还使所述处理器能够执行操作,该操作包括:
在所述第二交换机上,将针对包括在所述策略组中的EPG的安全策略展平为一个安全策略,该安全策略允许与一个目的地组的EPG进行通信。
10.根据权利要求6至9中任一项所述的非暂态计算机可读存储设备,其中,所述指令响应于接收到优化包括所述第一交换机和所述第二交换机的网络的命令而被执行,所述命令选自以下项之一:向多个交换机添加新交换机,从多个交换机移除现有交换机,以及重新配置多个交换机中的给定交换机;以及
将针对所述策略组的所述安全策略从所述第一交换机分配到所述第二交换机。
11.一种用于系统资源管理的设备,包括:
用于在网络结构中的第一交换机和第二交换机之间建立网络隧道的装置,其中所述第二交换机为包括第一端点组(EPG)的策略组实施安全策略,所述第一EPG被物理地连接到所述第一交换机;
响应于在所述第一交换机处接收到来自所述第一EPG的旨在去往目的地的通信,该通信包括所述第一交换机的源IP地址和所述第一EPG的虚拟专用网(VPN)路由和转发标识符(VRFID):
用于使用与所述第一交换机的端口相关联的端口偏移来修改所述源IP地址的装置,所述端口与所述第一EPG连接,
用于使用与所述策略组的身份相关联的组偏移来修改所述VRFID的装置,以及
用于经由所述网络隧道将所述通信从所述第一交换机传送到所述第二交换机的装置;以及
响应于在所述第二交换机处通过所述网络隧道接收到来自所述第一交换机的所述通信:
用于基于所述组偏移来识别所述策略组的所述安全策略的装置,以及
用于响应于确定所述安全策略允许所述通信,将所述通信传送到所述目的地的装置。
12.根据权利要求11所述的设备,还包括用于实施根据权利要求2至5中任一项所述的方法的装置。
13.一种计算机可读介质,包括指令,所述指令当由计算机执行时使所述计算机执行根据权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310937236.7A CN116708083A (zh) | 2019-07-29 | 2020-07-28 | 自愈网络中的系统资源管理 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/525,362 US11171992B2 (en) | 2019-07-29 | 2019-07-29 | System resource management in self-healing networks |
| US16/525,362 | 2019-07-29 | ||
| PCT/US2020/043875 WO2021021809A1 (en) | 2019-07-29 | 2020-07-28 | System resource management in self-healing networks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310937236.7A Division CN116708083A (zh) | 2019-07-29 | 2020-07-28 | 自愈网络中的系统资源管理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114175583A CN114175583A (zh) | 2022-03-11 |
| CN114175583B true CN114175583B (zh) | 2023-08-18 |
Family
ID=72087207
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310937236.7A Pending CN116708083A (zh) | 2019-07-29 | 2020-07-28 | 自愈网络中的系统资源管理 |
| CN202080053957.6A Active CN114175583B (zh) | 2019-07-29 | 2020-07-28 | 自愈网络中的系统资源管理 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310937236.7A Pending CN116708083A (zh) | 2019-07-29 | 2020-07-28 | 自愈网络中的系统资源管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11171992B2 (zh) |
| EP (2) | EP4250650A3 (zh) |
| CN (2) | CN116708083A (zh) |
| WO (1) | WO2021021809A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11438217B1 (en) * | 2021-02-12 | 2022-09-06 | Dell Products L.P. | Storage area network connectivity management using switch fabric conditions |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN104685500A (zh) * | 2012-10-01 | 2015-06-03 | 国际商业机器公司 | 向虚拟覆盖网络流量提供服务 |
| CN104954186A (zh) * | 2015-06-19 | 2015-09-30 | 云南电网有限责任公司信息中心 | 一种面向应用的sdn网络策略控制方法 |
| WO2015161780A1 (en) * | 2014-04-21 | 2015-10-29 | Hangzhou H3C Technologies Co., Ltd. | Forwarding data packets |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
| CN105706400A (zh) * | 2013-11-05 | 2016-06-22 | 思科技术公司 | 网络结构覆盖 |
| CN107005584A (zh) * | 2014-09-30 | 2017-08-01 | Nicira股份有限公司 | 内联服务交换机 |
Family Cites Families (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070248091A1 (en) * | 2006-04-24 | 2007-10-25 | Mohamed Khalid | Methods and apparatus for tunnel stitching in a network |
| US9094257B2 (en) | 2006-06-30 | 2015-07-28 | Centurylink Intellectual Property Llc | System and method for selecting a content delivery network |
| US8477614B2 (en) | 2006-06-30 | 2013-07-02 | Centurylink Intellectual Property Llc | System and method for routing calls if potential call paths are impaired or congested |
| US8289965B2 (en) | 2006-10-19 | 2012-10-16 | Embarq Holdings Company, Llc | System and method for establishing a communications session with an end-user based on the state of a network connection |
| US8488447B2 (en) | 2006-06-30 | 2013-07-16 | Centurylink Intellectual Property Llc | System and method for adjusting code speed in a transmission path during call set-up due to reduced transmission performance |
| WO2008005393A2 (en) | 2006-06-30 | 2008-01-10 | Embarq Holdings Company Llc | System and method for managing subscriber usage of a communications network |
| US8000318B2 (en) | 2006-06-30 | 2011-08-16 | Embarq Holdings Company, Llc | System and method for call routing based on transmission performance of a packet network |
| US8194643B2 (en) | 2006-10-19 | 2012-06-05 | Embarq Holdings Company, Llc | System and method for monitoring the connection of an end-user to a remote network |
| US20080002711A1 (en) | 2006-06-30 | 2008-01-03 | Bugenhagen Michael K | System and method for access state based service options |
| US8717911B2 (en) | 2006-06-30 | 2014-05-06 | Centurylink Intellectual Property Llc | System and method for collecting network performance information |
| US7948909B2 (en) | 2006-06-30 | 2011-05-24 | Embarq Holdings Company, Llc | System and method for resetting counters counting network performance information at network communications devices on a packet network |
| US8531954B2 (en) | 2006-08-22 | 2013-09-10 | Centurylink Intellectual Property Llc | System and method for handling reservation requests with a connection admission control engine |
| US20080049629A1 (en) | 2006-08-22 | 2008-02-28 | Morrill Robert J | System and method for monitoring data link layer devices and optimizing interlayer network performance |
| US8576722B2 (en) | 2006-08-22 | 2013-11-05 | Centurylink Intellectual Property Llc | System and method for modifying connectivity fault management packets |
| US8407765B2 (en) | 2006-08-22 | 2013-03-26 | Centurylink Intellectual Property Llc | System and method for restricting access to network performance information tables |
| US7843831B2 (en) | 2006-08-22 | 2010-11-30 | Embarq Holdings Company Llc | System and method for routing data on a packet network |
| US8549405B2 (en) | 2006-08-22 | 2013-10-01 | Centurylink Intellectual Property Llc | System and method for displaying a graphical representation of a network to identify nodes and node segments on the network that are not operating normally |
| US8144587B2 (en) | 2006-08-22 | 2012-03-27 | Embarq Holdings Company, Llc | System and method for load balancing network resources using a connection admission control engine |
| US7808918B2 (en) | 2006-08-22 | 2010-10-05 | Embarq Holdings Company, Llc | System and method for dynamically shaping network traffic |
| US8130793B2 (en) | 2006-08-22 | 2012-03-06 | Embarq Holdings Company, Llc | System and method for enabling reciprocal billing for different types of communications over a packet network |
| US8189468B2 (en) | 2006-10-25 | 2012-05-29 | Embarq Holdings, Company, LLC | System and method for regulating messages between networks |
| US8107366B2 (en) | 2006-08-22 | 2012-01-31 | Embarq Holdings Company, LP | System and method for using centralized network performance tables to manage network communications |
| US8102770B2 (en) | 2006-08-22 | 2012-01-24 | Embarq Holdings Company, LP | System and method for monitoring and optimizing network performance with vector performance tables and engines |
| US8040811B2 (en) | 2006-08-22 | 2011-10-18 | Embarq Holdings Company, Llc | System and method for collecting and managing network performance information |
| US8144586B2 (en) | 2006-08-22 | 2012-03-27 | Embarq Holdings Company, Llc | System and method for controlling network bandwidth with a connection admission control engine |
| US8274905B2 (en) | 2006-08-22 | 2012-09-25 | Embarq Holdings Company, Llc | System and method for displaying a graph representative of network performance over a time period |
| US8199653B2 (en) | 2006-08-22 | 2012-06-12 | Embarq Holdings Company, Llc | System and method for communicating network performance information over a packet network |
| US8537695B2 (en) | 2006-08-22 | 2013-09-17 | Centurylink Intellectual Property Llc | System and method for establishing a call being received by a trunk on a packet network |
| US8224255B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for managing radio frequency windows |
| US7940735B2 (en) | 2006-08-22 | 2011-05-10 | Embarq Holdings Company, Llc | System and method for selecting an access point |
| US20080049639A1 (en) | 2006-08-22 | 2008-02-28 | Wiley William L | System and method for managing a service level agreement |
| US8619600B2 (en) | 2006-08-22 | 2013-12-31 | Centurylink Intellectual Property Llc | System and method for establishing calls over a call path having best path metrics |
| US8098579B2 (en) | 2006-08-22 | 2012-01-17 | Embarq Holdings Company, LP | System and method for adjusting the window size of a TCP packet through remote network elements |
| US8228791B2 (en) | 2006-08-22 | 2012-07-24 | Embarq Holdings Company, Llc | System and method for routing communications between packet networks based on intercarrier agreements |
| US7889660B2 (en) | 2006-08-22 | 2011-02-15 | Embarq Holdings Company, Llc | System and method for synchronizing counters on an asynchronous packet communications network |
| US20080052206A1 (en) | 2006-08-22 | 2008-02-28 | Edwards Stephen K | System and method for billing users for communicating over a communications network |
| US8194555B2 (en) | 2006-08-22 | 2012-06-05 | Embarq Holdings Company, Llc | System and method for using distributed network performance information tables to manage network communications |
| US8238253B2 (en) | 2006-08-22 | 2012-08-07 | Embarq Holdings Company, Llc | System and method for monitoring interlayer devices and optimizing network performance |
| US20120330804A1 (en) | 2006-08-22 | 2012-12-27 | Morrill Robert J | System and method for billing utilizing account status |
| US8125897B2 (en) | 2006-08-22 | 2012-02-28 | Embarq Holdings Company Lp | System and method for monitoring and optimizing network performance with user datagram protocol network performance information packets |
| US8743703B2 (en) | 2006-08-22 | 2014-06-03 | Centurylink Intellectual Property Llc | System and method for tracking application resource usage |
| US8307065B2 (en) | 2006-08-22 | 2012-11-06 | Centurylink Intellectual Property Llc | System and method for remotely controlling network operators |
| US8750158B2 (en) | 2006-08-22 | 2014-06-10 | Centurylink Intellectual Property Llc | System and method for differentiated billing |
| US8223655B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for provisioning resources of a packet network based on collected network performance information |
| US7684332B2 (en) | 2006-08-22 | 2010-03-23 | Embarq Holdings Company, Llc | System and method for adjusting the window size of a TCP packet through network elements |
| US9479341B2 (en) | 2006-08-22 | 2016-10-25 | Centurylink Intellectual Property Llc | System and method for initiating diagnostics on a packet network node |
| US8015294B2 (en) | 2006-08-22 | 2011-09-06 | Embarq Holdings Company, LP | Pin-hole firewall for communicating data packets on a packet network |
| US8064391B2 (en) | 2006-08-22 | 2011-11-22 | Embarq Holdings Company, Llc | System and method for monitoring and optimizing network performance to a wireless device |
| US20090300153A1 (en) | 2008-05-29 | 2009-12-03 | Embarq Holdings Company, Llc | Method, System and Apparatus for Identifying User Datagram Protocol Packets Using Deep Packet Inspection |
| US8111692B2 (en) | 2007-05-31 | 2012-02-07 | Embarq Holdings Company Llc | System and method for modifying network traffic |
| US20090238071A1 (en) | 2008-03-20 | 2009-09-24 | Embarq Holdings Company, Llc | System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller |
| US7764694B2 (en) | 2008-03-07 | 2010-07-27 | Embarq Holdings Company, LLP | System, method, and apparatus for prioritizing network traffic using deep packet inspection (DPI) |
| US20090016361A1 (en) * | 2007-07-09 | 2009-01-15 | At&T Knowledge Ventures, L.P. | System and method for establishing communications between packet-switched networks |
| US9319300B2 (en) | 2008-12-09 | 2016-04-19 | Glue Networks, Inc. | Systems and methods for determining endpoint configurations for endpoints of a virtual private network (VPN) and deploying the configurations to the endpoints |
| US8743696B2 (en) | 2009-08-07 | 2014-06-03 | Cisco Technology, Inc. | Mobile transport solution for offloading to an alternate network |
| WO2011038352A1 (en) | 2009-09-26 | 2011-03-31 | Cisco Technology, Inc. | Providing offloads in a communication network |
| US9088516B2 (en) | 2012-01-18 | 2015-07-21 | F5 Networks, Inc. | Virtual network services |
| US20150124824A1 (en) | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Incast drop cause telemetry |
| GB2523794A (en) * | 2014-03-05 | 2015-09-09 | Pierbridge Ltd | Data processing systems and methods |
| US9807020B2 (en) * | 2015-05-08 | 2017-10-31 | Cisco Technology, Inc. | Policy enforcement for upstream flood traffic |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US11005682B2 (en) * | 2015-10-06 | 2021-05-11 | Cisco Technology, Inc. | Policy-driven switch overlay bypass in a hybrid cloud network environment |
| US10171507B2 (en) * | 2016-05-19 | 2019-01-01 | Cisco Technology, Inc. | Microsegmentation in heterogeneous software defined networking environments |
| US10812318B2 (en) * | 2017-05-31 | 2020-10-20 | Cisco Technology, Inc. | Associating network policy objects with specific faults corresponding to fault localizations in large-scale network deployment |
| US20180351788A1 (en) * | 2017-05-31 | 2018-12-06 | Cisco Technology, Inc. | Fault localization in large-scale network policy deployment |
| US10673702B2 (en) | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
| US10218572B2 (en) | 2017-06-19 | 2019-02-26 | Cisco Technology, Inc. | Multiprotocol border gateway protocol routing validation |
| US10644961B2 (en) | 2018-01-12 | 2020-05-05 | Intel Corporation | Self-adjusting data processing system |
-
2019
- 2019-07-29 US US16/525,362 patent/US11171992B2/en active Active
-
2020
- 2020-07-28 CN CN202310937236.7A patent/CN116708083A/zh active Pending
- 2020-07-28 CN CN202080053957.6A patent/CN114175583B/zh active Active
- 2020-07-28 EP EP23184799.7A patent/EP4250650A3/en active Pending
- 2020-07-28 EP EP20757077.1A patent/EP4005180B1/en active Active
- 2020-07-28 WO PCT/US2020/043875 patent/WO2021021809A1/en unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN104685500A (zh) * | 2012-10-01 | 2015-06-03 | 国际商业机器公司 | 向虚拟覆盖网络流量提供服务 |
| CN105706400A (zh) * | 2013-11-05 | 2016-06-22 | 思科技术公司 | 网络结构覆盖 |
| WO2015161780A1 (en) * | 2014-04-21 | 2015-10-29 | Hangzhou H3C Technologies Co., Ltd. | Forwarding data packets |
| CN107005584A (zh) * | 2014-09-30 | 2017-08-01 | Nicira股份有限公司 | 内联服务交换机 |
| CN104954186A (zh) * | 2015-06-19 | 2015-09-30 | 云南电网有限责任公司信息中心 | 一种面向应用的sdn网络策略控制方法 |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
Non-Patent Citations (1)
| Title |
|---|
| A Study of Security Policy Enforcement using Priority;Suhyung Jo;《2006 SICE-ICASE International Joint Conference》;20070226;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210037057A1 (en) | 2021-02-04 |
| CN114175583A (zh) | 2022-03-11 |
| WO2021021809A1 (en) | 2021-02-04 |
| CN116708083A (zh) | 2023-09-05 |
| EP4005180B1 (en) | 2023-08-30 |
| US11171992B2 (en) | 2021-11-09 |
| EP4005180A1 (en) | 2022-06-01 |
| EP4250650A2 (en) | 2023-09-27 |
| EP4250650A3 (en) | 2023-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693784B1 (en) | Fibre channel over ethernet (FCoE) link aggregation group (LAG) support in data center networks | |
| US10341263B2 (en) | System and method for routing network frames between virtual machines | |
| US10616108B2 (en) | Scalable MAC address virtualization | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| US8839409B2 (en) | Tunneled security groups | |
| US20140153577A1 (en) | Session-based forwarding | |
| US20060235995A1 (en) | Method and system for implementing a high availability VLAN | |
| CN111756565B (zh) | 管理分支网络内的卫星设备 | |
| US9716688B1 (en) | VPN for containers and virtual machines in local area networks | |
| WO2021022806A1 (zh) | 一种网络业务集中处理的网络系统、方法及通信设备 | |
| US11463356B2 (en) | Systems and methods for forming on-premise virtual private cloud resources | |
| CN114175583B (zh) | 自愈网络中的系统资源管理 | |
| KR101404491B1 (ko) | 오픈플로우 망 기반의 서브넷별 동적 대역폭 설정 시스템 및 방법 | |
| CN113853776B (zh) | 用于网络架构的方法、系统和计算机可读介质 | |
| EP3544242B1 (en) | Targeted selection of cascade ports | |
| US9231862B2 (en) | Selective service based virtual local area network flooding | |
| US11258720B2 (en) | Flow-based isolation in a service network implemented over a software-defined network | |
| US10812446B1 (en) | Dynamic host configuration across multiple sites in software defined access networks | |
| US20220103424A1 (en) | Dynamic User Private Networks of a Shared Virtual Network | |
| WO2022232445A2 (en) | System, classifier and method for network policy-based traffic management of data flows | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |