CN114402574B - 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 - Google Patents
用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN114402574B CN114402574B CN202080063378.XA CN202080063378A CN114402574B CN 114402574 B CN114402574 B CN 114402574B CN 202080063378 A CN202080063378 A CN 202080063378A CN 114402574 B CN114402574 B CN 114402574B
- Authority
- CN
- China
- Prior art keywords
- tenant
- pipe
- service provider
- wan
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 claims abstract description 61
- 230000005641 tunneling Effects 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 18
- 238000005538 encapsulation Methods 0.000 claims description 13
- 230000002452 interceptive effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 25
- 230000007246 mechanism Effects 0.000 description 22
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种方法发生在服务提供商网络中用于向多个租户提供至少一个服务的第一网络节点处。该方法包括使用来自服务提供商网络的管理员的输入为第一租户生成用户配置信息;向第一租户发送用户配置信息中的至少一些;从第一租户接收第一配置信息,该第一配置信息用于配置用于在服务提供商网络和与第一租户的SD‑WAN相关联的第一站点之间进行隧道化通信的第一管道;使用第一配置信息配置第一管道,其中第一网络节点与多个管道相关联,其中所述多个管道中的第二管道至少部分地由第二租户而不是第一租户配置;以及经由第一管道在服务提供商网络和第一站点之间进行隧道化通信。
Description
优先权要求
本申请要求于2019年9月27日提交的美国专利申请序列No.16/586,300的优先权,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及通信网络。更具体地,本文描述的主题涉及用于提供多租户的软件定义的广域网(SD-WAN)节点的方法、系统和计算机可读介质。
背景技术
广域网(WAN)可以被用于连接多个站点、办公室和/或局域网(LAN)以用于联网目的。例如,企业(例如,企业或大学)可以在多个位置有多个需要连接到数据中心并彼此连接的分支机构或办公室。在此示例中,企业可以使用WAN链路(例如,租用的电信电路和/或用于物理和/或虚拟连接的其它技术,如分组交换或电路交换连接)来连接WAN内的各个位置,并维护或实现期望的服务级别(例如,安全性、带宽和/或时延要求)。当经由WAN链路发送流量时,WAN可以使用加密和各种网络协议,因此,可能需要各种网络节点来路由、处理和/或促进与WAN相关的通信。
软件定义的WAN(SD-WAN)涉及使用软件定义的联网(SDN)概念来创建和管理WAN。例如,SD-WAN可以包括多个物理和/或虚拟节点或设备,这些节点或设备可由网络控制器编程,以用于处置或促进与WAN相关的通信。SD-WAN还可以利用较低成本且商业上可用的互联网接入和相关网络装备来代替更昂贵的WAN连接技术和专用装备。虽然SD-WAN可用于以有效且经济高效的方式连接多个站点,但是当尝试将WAN用户连接到由他人控制的网络或服务(诸如云服务)时会出现问题。例如,由于许多云服务提供商为多个客户提供服务,因此服务提供商允许每个企业在其网络中放置SD-WAN设备是不切实际的。另外,服务提供商不太可能默认地(例如,经由互联网连接)以对于所有基于WAN的用户期望的服务级别来提供其云服务。而且,服务提供商缺乏有效且成本高效的方式来为SD-WAN提供对云服务的可靠访问,因此,SD-WAN用户可能无法以他们习惯的服务级别来接收云服务。
发明内容
公开了提供多租户软件定义的广域网(SD-WAN)节点的方法、系统和计算机可读介质。一种方法发生在服务提供商网络中的用于向多个租户提供至少一个服务的第一网络节点处。该方法包括使用来自服务提供商网络的管理员的输入来为第一租户生成用户配置信息,其中用户配置信息包括用于允许第一租户配置第一网络节点的各方面的安全密钥和与第一租户相关联的总带宽限制;向第一租户发送用户配置信息中的至少一些;从第一租户接收第一配置信息,该第一配置信息用于配置第一管道(conduit),该第一管道用于在在服务提供商网络和与第一租户的SD-WAN相关联的第一站点之间进行隧道化通信(tunnelingcommunication);使用第一配置信息来配置第一管道,该第一管道用于在服务提供商网络和第一站点之间进行隧道化通信,其中第一网络节点与多个管道相关联,其中该多个管道中的第二管道至少部分地由第二租户而不是第一租户配置;以及经由第一管道在服务提供商网络和第一站点之间进行隧道化通信。
一种系统包括服务提供商网络中的用于向多个租户提供至少一个服务的第一网络节点。第一网络节点包括至少一个处理器和存储器。第一网络节点被配置用于:使用来自服务提供商网络的管理员的输入来为第一租户生成用户配置信息,其中用户配置信息包括用于允许第一租户配置第一网络节点的各方面的安全密钥和与第一租户相关联的总带宽限制;向第一租户发送用户配置信息中的至少一些;从第一租户接收第一配置信息,该第一配置信息用于配置第一管道,该第一管道用于在服务提供商网络和与第一租户的SD-WAN相关联的第一站点之间进行隧道化通信;使用第一配置信息来配置第一管道,该第一管道用于在服务提供商网络和第一站点之间进行隧道化通信,其中第一网络节点与多个管道相关联,其中该多个管道中的第二管道至少部分地由第二租户而不是第一租户配置;以及经由第一管道在服务提供商网络和第一站点之间进行隧道化通信。
本文描述的主题可以结合硬件和/或固件在软件中实现。例如,本文描述的主题可以在由处理器执行的软件中实现。在一个示例实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文描述的主题的示例计算机可读介质包括非瞬态设备,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
如本文所使用的,术语“节点”是指包括一个或多个处理器和存储器的至少一个物理计算平台。
如本文所使用的,术语“函数”或“模块”可以指为了实现本文描述的特征而与硬件和/或固件结合的软件。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示示例通信环境的图,该示例通信环境利用多租户软件定义的广域网(SD-WAN)节点;
图2是图示用于向自适应专用网络(APN)提供云服务的示例SD-WAN节点的图;
图3是图示示例APN配置信息的图,该示例APN配置信息可用于配置SD-WAN节点的各方面;
图4A-图4C是图示用于配置SD-WAN节点的各方面的图形用户界面(GUI)的图;
图5是图示用于向SD-WAN节点提供APN配置信息的示例动作的图;
图6A-图6B是图示穿过连接自适应专用网络和服务提供商网络的云管道的示例消息的图;以及
图7是图示用于提供多租户SD-WAN节点的示例过程的图。
具体实施方式
本文描述的主题涉及用于提供多租户软件定义的广域网(SD-WAN)节点的方法、系统和计算机可读介质。一般而言,SD-WAN可以作为单个管理域(single administrativedomain)被管理。例如,SD-WAN的节点可以由网络管理员管理,并且网络管理员可以具有对SD-WAN的配置参数的完全控制。然而,由于许多SD-WAN用户期望访问由第三方提供的云服务,因此在尝试以与SD-WAN一致的服务级别向SD-WAN用户提供此类云服务时会出现问题。
用于连接SD-WAN用户和云服务的一种可能解决方案可以涉及将SD-WAN的节点放置在服务提供商网络中。然后,此本地的SD-WAN节点可以被用于为服务提供商托管的基于互联网的应用或服务提供改进的(例如,高度可靠的)网络路径。然而,服务提供商可能不想为其客户管理数百或数千个SD-WAN节点。而且,服务提供商可能不想允许外部网络管理员不受限制地访问服务提供商网络,使得他们可以配置自己的SD-WAN节点。因此,服务提供商更愿意对其网络中任何本地SD-WAN节点的至少一些方面进行控制。
根据本文描述的主题的一些方面,公开了用于提供多租户SD-WAN节点的技术、方法、系统或机构。例如,根据本文描述的至少一些方面的网络节点(例如,SD-WAN节点)或服务网关可以位于服务提供商网络中,并且向一个或多个租户(例如,管理域、企业或相关的SD-WAN)提供至少一个服务。在此示例中,该网络节点或服务网关或其中的各方面可以从几个不同的管理域被安全地管理,而不同的管理域不可能彼此干扰。继续此示例,可以通过安全措施(例如,唯一的预共享密钥)和/或访问设计(例如,特定于租户的带宽限制、特定于租户和/或特定于站点的管道等)来防止不同的管理域彼此干扰。
根据本文描述的主题的一些方面,公开了用于从多个租户和从服务提供商接收配置信息并将此配置信息合并或整形为用于SD-WAN节点的、满足租户和服务提供商要求的单个运行时配置的技术、方法、系统或机构。例如,根据本文描述的至少一些方面的网络节点或服务网关可以被配置为允许每个租户配置一个或多个管道(例如,使用多个WAN链路的通信隧道,用于将服务提供商网络连接到SD-WAN站点)的各方面(例如,加密和协议设置),同时允许服务提供商配置各种其它方面,例如,每个租户可以连接到服务提供商网络的多少个站点以及每个租户的总带宽。在此示例中,针对每个租户的配置可以独立执行并且可以在不同的时间发生(例如,在不要求任何租户之间的协调的情况下执行配置)。
根据本文描述的主题的一些方面,公开了用于允许SD-WAN节点利用高精度时间同步机制来监视其管道或WAN链路的时延和其它问题的技术、方法、系统或机构,例如,以便可以在WAN链路上以最低时延来发送分组。例如,SD-WAN节点可以经由与不同租户相关联的多个WAN链路发送和接收流量,其中每个租户都维护自己的时间同步机制以监视其WAN链路的状态。由于每个时间同步机制可以彼此略有不同,因此根据本文描述的至少一些方面的网络节点或服务网关可以为与该网络节点或服务网关相关联的管道维护和/或利用单独的时间同步机制(例如,主时钟)。在另一个示例中,例如,在不同租户使用现有时间同步机制的情况下,根据本文描述的至少一些方面的网络节点或服务网关可以为与该网络节点或服务网关相关联的每个管道维护和/或利用单独的时间同步机制。
根据本文描述的主题的一些方面,公开了用于识别和/或区分SD-WAN和与不同租户相关联的相关WAN链路的技术、方法、系统或机构,其中WAN链路可以使用相同的标识符。例如,根据本文描述的至少一些方面的网络节点或服务网关可以维护或存储与每个租户相关联的WAN链路标识符连同唯一的租户和/或站点标识符。在此示例中,在配置期间,当网络节点或服务网关接收到与租户“A”的站点“X”相关联的WAN链路标识符“1”和“2”时,网络节点或服务网关可以使用数据结构(例如,散列表,其使用租户和/或站点标识符作为输入并使用对应的WAN链路标识符作为输出)来存储该信息,使得租户和/或站点标识符可以识别对应的WAN链路标识符,特别是当WAN链路标识符本身不是独一无二时。
根据本文描述的主题的一些方面,公开了用于建立和移除动态云管道的技术、方法、系统或机构。例如,当检测到指向或来自服务提供商的用户流量时,可以建立服务提供商网络中的SDN-WAN节点与租户(例如,企业网络)的SDN-WAN站点中的客户端设备之间的云管道。一旦建立了云管道,就可以使用心跳过程来确定何时不再需要该云管道。例如,客户端设备可以使用连接状态请求来周期性轮询服务提供商网络中的SD-WAN节点。在此示例中,SD-WAN节点可以回复连接状态请求,并可以跟踪来自客户端设备的任何错过的连接状态请求。继续此示例,如果错过了预定数量的连续的连接状态请求,那么SD-WAN节点可以假设客户端设备无法操作或者不再具有活动的云管道连接。响应于确定不再需要云管道,SD-WAN节点可以自动清理用于到客户端设备的连接的资源,使得这些资源可供其它客户端设备使用。
有利地,通过提供可以与单独的、独立的SD-WAN交互或成为该SD-WAN一部分的多租户SD-WAN节点,服务提供商能够更可靠地并以有效且成本高效的方式向SD-WAN用户提供云服务(例如,基于互联网的应用、基于云的存储,等等)。例如,多租户SD-WAN节点(例如,服务提供商网络中的SD-WAN服务网关)可以为服务提供商提供如下解决方案,在该解决方案中,他们可以部署访问业务关键的互联网托管的服务的高度可靠的方法并将其作为服务出售给他们的企业客户,其中每个租户都可以配置SD-WAN节点的各方面,同时还防止每个租户干扰服务提供商或其他租户的配置。另外,通过使用动态云管道,服务提供商可以高效地使用资源,因为SD-WAN节点可以检测动态云管道的不活动性,并且可以释放与任何不活动的云管道相关联的相关资源,从而允许将资源被重新分配到另一个云管道和/或租户。
现在将详细参考本文描述的主题的各种实施例,其示例在附图中示出。在可能的情况下,将在整个附图中使用相同的附图标记来指代相同或相似的部分。
图1是图示利用SD-WAN节点的示例通信环境100的图。参考图1,通信环境100可以包括自适应专用网络(APN)101和服务提供商网络102。APN 101可以表示与管理域相关联的各种网络节点、装备和用户设备。在此示例中,APN 101也可以被称为SD-WAN,并且可以使用SD-WAN技术、WAN链路和相关装备来连接站点。例如,APN 101可以表示包括多个站点(例如,站点110和站点112)的企业网络,这些站点经由SD-WAN节点或设备通信连接。在此示例中,SD-WAN节点或设备可以被配置为使用WAN链路和相关装备,以便使用加密和封装技术在站点之间进行隧道化通信。
站点110和站点112中的每一个可以表示与APN 101相关联的LAN、子网络或物理位置(例如,办公楼),其中每个站点可以包括各种设备、装备和/或装置。如图1中所描绘的,站点110可以包括网络控制器(NC)113和数据存储装置118,并且站点112可以包括CA 116和数据存储装置120。在一些实施例中,包括NC 114的站点(例如,站点110)可以不包括或利用单独的CA。代替地,在此类实施例中,NC 114可以包括与CA 116相似的功能并且可以促进站点110与APN 101的其它站点之间的云管道连接和/或站点110与服务提供商网络102之间的云管道连接。
在一些实施例中,APN 101可以具有活动的网络控制器(例如,NC 114)和备用网络控制器,当故障转移发生时,备用网络控制器可以变为活动的。在此类实施例中,活动的网络控制器可以与备用网络控制器在同一站点或在不同站点。
NC 114可以表示用于执行与控制或管理SD-WAN(例如,APN 101)和相关网络节点(例如,CA 116)的任何一个或多个合适的实体(例如,在处理器上执行的软件、FPGA、ASIC,或软件、FPGA和/或ASIC的组合)。在一些实施例中,可以使用一个或多个处理器和/或存储器来实现NC 114。例如,NC 114可以利用一个或多个处理器(例如,执行存储在存储器中的软件)来配置CA 116。在此示例中,NC 114还可以利用一个或多个处理器将指令或网络信息发送到APN 101或服务提供商网络102中的各种模块或实体。在一些实施例中,NC 114可以包括主时钟控制器、时间同步模块或相关的功能性,或与它们交互。例如,时间同步模块可以负责与APN的时间同步,并且可以周期性地发送同步信号(例如,时间同步信息)以保持公共时钟或从时钟是同步的。
CA 116可以是用于连接APN 101中的站点的任何一个或多个合适的实体(例如,在处理器上执行的软件、FPGA、ASIC,或软件、FPGA和/或ASIC的组合)。在一些实施例中,CA116可以被配置为使用一个或多个WAN管道(例如逻辑实体)以用于在位置之间进行隧道化通信。在一些实施例中,每个管道可以使用WAN链路(例如,使用商业可用的互联网接入、蜂窝网络、租用的线路和/或其它连接技术连接的一组IP地址),并且穿过管道的通信可以使用一个或多个网络协议(例如,封装协议)和/或加密技术。
在一些实施例中,CA 116可以使用网络管理协议、链路聚合技术和/或拥塞避免机制来减少时延、增加带宽,并且以其它方式维持站点110与112之间的一个或多个可靠连接。例如,CA 116和/或SN104可以监视与管道相关联的路径(例如,WAN链路),以在经由可行(例如,低时延)路径发送分组之前跟踪路径的状态和时延。在此示例中,如果分组丢失,那么分组可以经由不同的路径被重传。
在一些实施例中,监视与管道相关联的路径(例如,WAN链路)可以涉及周期性地(例如,每50毫秒)向SN 104发送状态更新消息或其它消息,并且使用从这些消息中获得的信息来选择适当的链路以用于将分组从一个位置发送到另一个位置。
数据存储装置118和120中的每一个可以表示用于存储APN配置信息、CA配置信息和/或其它数据的任何合适的实体(例如,计算机可读介质或存储器)。例如,数据存储装置118和120中的每一个可以存储从NC 114发送的网络信息并且可以存储与穿过WAN管道的通信相关联的状态信息。
服务提供商网络102可以表示与提供云服务108相关联的各种网络节点、装备和/或设备。服务提供商网络102可以包括服务提供商站点103,用于与云服务108(例如,基于互联网的应用、基于云的存储、基于互联网的协作工具等)对接。例如,服务提供商站点103可以包括面向互联网的主机和服务器,用于接收用户对云服务108的请求并对用户请求做出响应。在此示例中,服务提供商站点103可以经由各种连接技术和/或网络装备与云服务108通信。例如,云服务108可以包括由服务提供商控制的单独的企业网络、数据中心和网络装备,并且可以经由多种冗余的连接技术而连接到服务提供商站点103和/或互联网。
云服务108可以表示与提供或托管基于互联网的或第三方托管的应用或服务相关联的任何合适的实体(例如,网络、节点、设备、装备等)。例如,云服务108可以包括互联网协议语音(VoIP)服务、软件即服务(SAAS)或互联网回程服务。在此示例中,通信(例如,用户响应)可以由与云服务108相关联的一个或多个节点生成,并且可以经由内部网络、外部网络、直接链路或其它连接技术传送到服务提供商站点103。
服务提供商站点103可以包括SD-WAN节点(SN)104和数据存储装置106。SN 104可以是用于连接APN 101和服务提供商网络102的任何合适的一个或多个实体(例如,在计算平台中的一个或多个处理器上执行的软件和/或VM)。数据存储装置106可以表示用于存储APN配置信息、SN配置信息和/或其它数据的任何合适的实体(例如,计算机可读介质或存储器)。例如,数据存储装置106可以存储由租户和服务提供商提供的配置信息,并且还可以存储与穿过云管道的通信(例如,在服务提供商站点103与站点110或112之间的通信)相关联的状态信息。
在一些实施例中,SN 104可以表示多租户SD-WAN节点并且可以被配置用于通过利用可配置的云管道将云服务108提供给由不同租户(例如,管理域)控制的APN或其站点。例如,SN 104可以被配置为使用一个或多个云管道(例如,经由互联网连接的不同网络中的节点或站点的IP地址)来使用加密和/或分组封装在APN 101与服务提供商网络102之间进行隧道化通信。在另一个示例中,如图2中所描绘的,SN 104可以经由云管道将服务提供商网络102连接到多个APN。
在一些实施例中,每个云管道可以使用或包括物理和/或虚拟链路(例如,使用商业可用的互联网接入、蜂窝网络、租用线路和/或其它连接技术连接的一组IP地址)并且可以与各种网络协议和/或加密设置相关联。例如,云管道的端点(例如,CA 116和SN 104)可以转换或修改用于穿过管道的分组,例如,通过封装、加密和/或分组报头操作来进行转换或修改。在此示例中,分组转换和/或修改可以混淆管道最终用户的身份,从而使外部实体(例如,沿着云管道路径的基于互联网的节点)难以辨别租户的身份。
在一些实施例中,SN 104可以使用网络管理协议、链路聚合技术和/或拥塞避免机制来减少时延、增加带宽,并且以其它方式维持服务提供商网络102与APN 101或其中的站点之间的一个或多个可靠连接。例如,SN 104可以每50毫秒经由管道或其链路发送网络状态更新消息,并且可以使用从这些消息中获得的信息来选择适当的链路以在服务提供商网络102与APN 101或其中的站点之间进行隧道通信。
在一些实施例中,SN 104可以被配置为向一个或多个租户提供云服务108中的至少一项。例如,APN 101可以表示与租户(例如,APN 101或其管理员)相关联的网络,该租户被服务提供商授权以配置SN 104的各方面以在服务提供商网络102与APN 101或其中的站点之间建立一个或多个云管道。在此示例中,SN 104可以被配置为允许其它租户(例如,各个其它APN的管理员)在不干扰APN 101的情况下来管理SN 104的各方面。在此示例中,SN104通过使用安全措施(例如,每个租户或相关的APN具有用于认证的唯一安全密钥)以及使租户及其工作负载保持独立的访问、许可和使用特征(例如,由服务提供商设置的租户带宽限制、特定于租户和/或特定于站点的管道,等等)来防止此类干扰。
在一些实施例中,SN 104可以被配置为从租户接收APN配置信息并且从服务提供商接收其它配置信息,例如,使用API、基于web的接口或与SN 104相关联的用户接口进行接收。例如,SN 104可以通过允许每个租户配置一个或多个云管道的各方面(例如,加密和协议设置)并根据由服务提供商配置的一个或多个带宽容量来确定带宽分配,从而促进对于SN 104的租户相关的配置。在此示例中,SN 104还可以通过允许服务提供商配置其它方面来促进对于SN 104的服务提供商相关的配置,例如,用于每个租户的安全密钥、每个租户可以连接到服务提供商网络102的多少站点、以及用于每个租户、APN和/或站点的总带宽。
在一些实施例中,来自各个源的配置信息可以被合并或以其它方式整形为满足租户和服务提供商的要求的对于SN 104的运行时配置(runtime configuration)。例如,当APN管理员将改变应用于他们的APN配置时,与SN 104相关的配置参数可以经由API(例如,REST API)被自动检测和/或提供给SN 104。在此示例中,由服务提供商的SD-WAN节点所暴露的API可以允许更新后的配置信息被接收并合并到SN 104的配置中(例如,在运行时)。
在一些实施例中,SN 104或相关实体可以利用一个或多个网络协议来详细测量和监视网络,以确保递送和/或接收管道流量。例如,对云管道进行管理可以要求高分辨率时间同步和定期交换关于路径和WAN链路的状态的消息,以识别和/或缓解通信问题(例如,时延或感知到的时延)。此类管道管理会带来挑战,因为时间的概念在APN(例如,SD-WAN)之间可能不同,这是因为每个APN可以使用单独的时间同步机制(例如,主时钟)。
在一些实施例中,SN 104可以被配置为利用本地时间同步机制(例如,服务提供商网络102中的主时钟)来确定穿越云管道的通信是旧的还是最近的。例如,不管不同租户使用的现有时间同步机制如何,SN 104或相关实体都可以为多个云管道维护和/或利用单独的时间同步机制。在另一个示例中,例如,不管不同租户使用的现有时间同步机制如何,SN104或相关实体都可以为每个管道维护和/或利用单独的时间同步机制。
将认识到的是,图1是出于说明目的,并且以上关于图1描述的各种节点和/或模块、位置和/或功能可以被改变、更改、添加或移除。
图2是图示用于向APN提供云服务的示例SN 104的图。参考图2,SN 104可以位于服务提供商网络102中并且可以经由云管道向APN 200提供对云服务108的可靠访问。
APN 200可以包括APN“A”、APN“B”和APN“C”。每个APN 200可以表示由不同租户(例如,企业或管理域)管理的SD-WAN网络。APN“A”可以包括CA 212,APN“B”可以包括CA 214,而APN“C”可以包括CA 216。CA 212-216中的每一个可以具有与如上所述的CA 116相似的功能性。例如,CA 212-216中的每一个可以将APN配置信息传送到SN 104并且可以充当其相应的APN(或其站点)与服务提供商网络102之间的一个或多个云管道的端点。
SN 104可以包括管理门户208和SD-WAN网关(SDWG)210。管理门户208可以表示任何合适的实体,用于提供用于配置SN 104或相关实体(例如,SDWG 210)的各方面的GUI或其它手段。例如,管理门户208是在SN 104(例如,计算平台)上运行的虚拟设备(例如,虚拟机(VM)或虚拟容器)并且可以提供基于web的管理门户。在一些实施例中,管理门户208可以与由服务提供商或相关管理员指派的端口以及私有IP地址相关联。
SDWG 210可以表示用于经由云管道传送用户流量的任何合适的实体。例如,SDWG210可以是在SN 104(例如,计算平台)上运行的虚拟设备(例如,VM或虚拟容器),并且可以使用由管理门户208或相关的数据存储装置(例如,数据存储装置106)提供的配置信息来设立和维护用于APN 200中的一个或多个的云管道。在此示例中,对于每个云管道,配置信息中的至少一些来自服务提供商网络102的管理员,并且至少一些其它配置来自相关的租户(例如,对经由云管道连接到服务提供商网络102的APN和/或站点进行管理或控制的实体)。
在一些实施例中,在创建或建立云管道之前,可以从租户或相关的节点(例如,NC114或CA 116)向SN 104提供一些配置信息。提供给SN 104的示例配置信息可以包括网络或站点配置信息和设置,并且可用于设立正确地配置的管道,以便在服务提供商网络102与APN或其站点之间可靠地路由流量。在一些实施例中,向SN 104提供配置信息的过程可以被称为“迷你”配置,并且在此过程中提供的信息可以被称为“迷你”配置信息。
在一些实施例中,云管道在创建和移除方面可以是动态的。例如,假设已经执行了“迷你”配置过程,那么CA 116可以检测用户流量何时以服务提供商网络102为目的地,并且可以向SDWG 210发送触发消息以建立动态云管道。在此示例中,一旦建立了动态云管道,就可以经由云管道发送用户流量。在此示例中,在确定不再需要或使用云管道之后(例如,没有检测到穿过该管道的用户流量或在预定时间量内没有从CA 116接收到状态请求),SDWG210可以自动对用于到CA 116的连接的资源进行清理或取消分配,以便这些资源可以用于(重新)使用。
在一些实施例中,管理门户208和SDWG 210可以各自与由服务提供商或相关管理员指派的唯一私有IP地址和端口相关联。在此类实施例中,NAT/路由器204可以表示如下的的设备或装置,即,该设备或装置使用公共IP地址来接收SN相关流量并使用一个或多个端口来识别是否将接收到的SN相关流量路由到管理门户208和SDWG 210。例如,来自APN“A”或相关管理员的流量可以在封装分组报头中包括管理端口值或者网关端口值作为目的地端口。在此示例中,如果NAT/路由器204确定封装分组报头包括作为目的地端口的管理端口值,那么NAT/路由器204可以将该分组路由到与管理门户208相关联的私有IP地址和端口,并且如果NAT/路由器204确定封装分组报头包括网关端口值作为目的地端口,那么NAT/路由器204可以将该分组路由到与SDWG 210相关联的私有IP地址和端口。
在一些实施例中,SDWG 210可以与多个接口和/或IP地址和端口相关联。例如,SDWG 210可以将至少一个私有IP地址和至少一个端口用于面向APN 200的南向(SB)接口,并且可以将至少一个公共IP地址和至少一个端口用于面向云服务108的北向(NB)接口。下面关于图6A-图6B描述穿过SN 104和其中的元件的示例消息流。
将认识到的是,图2及其相关描述是出于说明目的,并且图2中的SN 104和/或各种其它实体可以包括附加的和/或不同的模块、部件或功能性。
图3是图示可用于配置SD-WAN节点(例如,SN 104或SDWG 210)的各方面的示例APN配置信息300的图。在一些实施例中,APN配置信息300可以包括来自“迷你”配置过程的数据,该过程涉及将一些初始配置信息从站点节点(例如,NC 114或CA 116)发送到SN 104。例如,APN配置信息300可以被提供给SN 104并且可以可用于设立正确配置的管道以在服务提供商网络102与APN或其站点之间可靠地路由流量。在此示例中,APN配置信息300可以包括网络或站点配置信息的子集,并且可以在管道被创建或用于给定APN或站点之前被传送到SN 104。
在一些实施例中,APN配置信息300可以以SN 104或其中的模块可读的数据格式被发送到SN 104。例如,如图3中所描绘的,APN配置信息300可以以XML数据格式提供。在一些实施例中,APN配置信息300可以包括云全局特性、云服务默认信息、IPSec特性、高级特性、云服务特性、一个或多个规则、类信息、云服务器(例如,SN)特性、与云服务器相关联的虚拟WAN链路信息、自动路径组特性、站点设备(例如,CA)特性、路由信息、附加的云服务特性、与云服务相关联的动态云管道路由域信息,和/或与云服务相关联的附加虚拟WAN链路信息。
在一些实施例中,提供给SN 104的APN配置信息300可以仅包括最近改变或添加的信息。例如,如果APN已调整由其WAN链路使用的网络协议或已添加附加的加密措施,那么提供给SN 104的APN配置信息300可以包括此改变的或新的信息,而不提供未被改变的配置信息。
参考图3,描绘了示例XML配置文件的一部分。示例XML配置文件的第1行可以包括“miniconfig”(迷你配置)XML数据元素,其指示XML配置文件的名称、修订号和时间戳。
示例XML配置文件的第2-9行指示“cloud_global_properties”(云全局特性)XML数据元素,其指示加密模式参数(第3行)、增强的消息认证参数(第4行)、增强的消息认证类型(第5行)、增强的分组唯一性参数(第6行)、增强的密钥更新启用的参数(第7行),以及订户APN名称参数(第8行)。
示例XML配置文件的第10-21行指示“virtual_wan_link_access”(虚拟WAN链路访问)XML数据元素,其指示WAN链路名称(第11行)、特性定义参数(第12行)、WAN链路标识符参数(第13行)、访问类型参数(第14行)、WAN入口物理速率限制参数(第15行)、WAN出口物理速率限制参数(第16行)、WAN入口允许的速率限制参数(第17行)、WAN出口允许的速率限制参数(第18行)、以字节为单位的最大传输单位参数(第19行)、公共IP地址参数(第20行),以及启用公共IP学习功能参数(第21行)。
将认识到的是,图3及其相关描述是出于说明目的,并且与图3中描绘的信息不同的附加和/或不同信息可以可用于配置SD-WAN节点或其方面。例如,对于每个管道和管道相关服务,APN配置信息300可以包括用于充分配置SN 104或SDWG 210以经由管道处置各种服务的参数和设置。
图4A-图4C是图示用于配置SD-WAN节点(例如,SN 104)的各方面的GUI 400-404的图。在一些实施例中,GUI 400-404可以表示由管理门户208提供的各种页面,这些页面可供服务提供商或相关管理员用于配置SN 104或其各方面,例如SDWG 210。在一些实施例中,GUI 400-404还可以允许服务提供商输入各种特定于租户的(例如,特定于订户的)信息,例如,租户相关带宽限制以及允许的最大租户站点数量。
在一些实施例中,服务提供商网络102的管理员可能需要配置SN 104,添加授权订户(例如,租户),以及添加可以利用SN 104的一个或多个授权的APN。在一些实施例中,可以在租户或订户提供APN配置信息300之前执行服务提供商相关的配置。
参考图4A,GUI 400表示用于接收用于配置服务网关(例如,SN 104或SDWG 210)的输入的页面。在一些实施例中,GUI 400可以包括与不同配置方面和动作按钮相关联的输入字段的组,例如,用于添加或存储输入的信息的“添加”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“取消”按钮。
如GUI 400中所描绘的,“通用”组可以包括用于命名或识别服务提供商网络102中的特定SD-WAN节点的服务名称输入字段和用于指示与SD-WAN相关联的总带宽限制的带宽容量输入字段。例如,总带宽限制可以是基于硬件或服务提供商的其它考虑的值,并且可以强制执行此带宽限制,使得当考虑(例如,组合)用于SN 104的所有租户的带宽时,与SD-WAN节点相关联的总带宽限制不会被超过。
“管理/REST API接口”组可以包括用于输入用于连接到SDWG 210的公共IP地址的公共管理IP地址输入字段、用于输入用于连接到SDWG 210的端口的管理端口输入字段、以及用于输入用于连接到SDWG 210的私有IP地址(例如,可由服务提供商网络102中的NAT/路由器使用)的私有管理IP地址输入字段。
“南向管道接口”组可以包括用于输入用于从APN连接到服务提供商网络102中的SD-WAN节点的公共IP地址的公共管道IP地址输入字段、用于输入连接到服务提供商网络102中的SD-WAN节点的第一端口的第一管道端口输入字段、用于输入用于连接到服务提供商网络102中的SD-WAN节点的第二端口的第二管道端口输入字段、用于输入用于连接到SDWG 210的面向APN的接口(例如,可由服务提供商网络102中的NAT/路由器使用)的私有虚拟IP(VIP)地址的南向私有VIP地址输入字段、用于输入用于到达可用于解析由输入的掩码值指示的南向私有VIP地址或相关地址范围的路由器的网关地址的南向私有网关地址输入字段,以及用于输入指示可以被指派用于南向管道接口的地址范围的值的掩码输入字段。
“北向服务接口”组可以包括用于输入用于连接到SDWG 210的面向互联网的接口(例如,可由服务提供商网络102中的NAT/路由器使用)的私有VIP地址的北向VIP地址输入字段、用于输入用于到达可用于解析由输入的掩码值指示的北向私有VIP地址或相关地址范围的路由器的网关地址的北向私有网关地址输入字段,以及用于输入指示可以被指派用于北向流量接口的地址范围的值的掩码输入字段。
参考图4B,GUI 402表示用于接收用于配置订户(例如,租户)的输入的页面。在一些实施例中,GUI 402可以包括与不同配置方面和动作按钮相关联的多个输入字段,例如,用于添加或存储输入信息的“创建订阅者”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“关闭”按钮。
如所描绘的,GUI 402可以包括用于输入表示特定订户的名称或标识符的订户名称输入字段、用于输入与特定订户相关联的电子邮件地址的电子邮件输入字段、用于输入与特定订户相关联的密码的密码输入字段、用于再次输入密码以确认密码输入字段中输入的密码正确的确认密码输入字段;以及用于输入与订户相关联的总带宽限制的带宽容量输入字段(例如,订户可以在管理门户208中管理各个站点和/或网络之间的带宽分配,但不能超过由服务提供商设置的此订户带宽限制)。
参考图4C,GUI 404表示用于接收用于配置网络(例如,APN 101)的输入的页面。在一些实施例中,GUI 404可以包括与不同配置方面和动作按钮相关联的多个输入字段,例如,用于添加或存储输入信息的“创建网络”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“关闭”按钮。
如所描绘的,GUI 404可以包括用于输入用于表示特定网络的名称或标识符的网络名称输入字段,以及用于输入可用于认证的预共享密钥的预共享密钥输入字段(例如,使得只有被授权的订户可以与此网络的用于SN 104的配置设置进行交互和/或修改该配置设置)。GUI 404还可以包括用于触发唯一预共享密钥的生成(例如,由web服务器、安全设备或另一个实体生成)的“新PSK”按钮。
GUI 404还可以包括用于输入与APN相关联的每个站点(例如,LAN、子网或相关位置)相关联的带宽限制的每站点带宽限制,以及用于输入与APN相关联的带宽限制的每网络带宽限制。每网络带宽限制不能超过总订户容量(例如,经由GUI 402输入的总订户容量)。GUI 404还可以基于所使用的站点的数量以及所输入的它们的相关带宽限制来提供剩余订户容量的反馈。
GUI 404还可以包括用于将APN关联到一个或多个服务网关(例如,服务提供商网络102中的SD-WAN节点)的用户界面元素。例如,GUI 404可以包括动作按钮,例如,用于选择服务网关以与APN相关联的“添加服务”按钮和用于将服务网关移除与APN的关联的“移除服务”按钮。在此示例中,GUI 404可以提供表格或视觉元素,用于指示每个相关联的服务网关允许的最大带宽和最大连接。
将认识到的是,图4A-图4C及其相关描述是出于说明目的,并且附加和/或不同的用户界面元素可以可用于输入各种信息以促进由服务提供商或相关管理员对SD-WAN节点的各个方面进行配置。
图5是图示用于向SN 104提供APN配置信息的示例动作的图。在一些实施例中,APN配置信息可以以一个或多个格式存储在数据文件中,并且可以经由web GUI、API或其它通信接口发送到SN 104。在此类实施例中,SN 104可以使用接收到的APN配置信息来生成或建立SN 104与相关APN之间的一个或多个云管道。
参考图5,在步骤501处,NC 114可以向CA 116发送APN配置信息300。例如,NC 114可以访问大多数(如果不是全部)相关APN配置信息300,并且可以周期性地(例如,每10分钟)、动态地(例如,当SD-WAN改变被检测到时)或根据要求向CA 116提供此信息。
在步骤502中,CA 116可以接收APN配置信息300,并且如果需要,可以修改APN配置信息300或生成附加配置信息。例如,CA 116可以生成或修改特定于站点的配置信息并将此信息添加到从NC 114获得的APN配置信息300。
在步骤503中,CA 116可以将APN配置信息300发送到SN 104。例如,CA 116可以利用REST API或其它机构将APN配置文件上传到SN 104。
在步骤504中,SN 104可以接收APN配置信息300并且可以解析并存储APN配置信息300以供将来使用。例如,SN 104可以将各种APN配置设置存储在数据结构中,使得当创建连接到该APN或相关站点的管道时,相关的APN配置设置是可检索的。
将认识到的是,图5是出于说明性的,并且可以使用不同的和/或附加的消息、步骤和/或动作。例如,代替CA 116传送APN配置信息300,另一个实体(例如,使用基于web的接口的网络控制器或管理员)可以提供APN配置信息300。还将认识到的是,本文描述的各种消息、步骤和/或动作可以以不同的次序或顺序发生。
图6A-图6B是图示穿过连接APN和服务提供商网络的云管道的示例消息的图。特别地,图6A描绘了从APN“A”中的主机600到SDWG 210的出口消息流,并且图6B描绘了从SDWG210到主机600的入口消息流。
在一些实施例中,云管道可以利用一个或多个WAN链路(例如,公共IP地址之间的连接),其允许流量在APN(或相关站点)和服务提供商网络之间被隧道化。例如,管道可以在APN“A”中的CA 212(或相关设备)的公共IP地址与服务提供商网络102中的NAT/路由器204之间传输分组。在此示例中,通过利用多个WAN链路,即使这些WAN链路的一部分出现故障或存在通信问题,云管道也具有固有的可靠性。
在一些实施例中,云管道可以被配置为使用由APN或相关管理员配置的加密和/或协议设置的集合来发送通信。在一些实施例中,云管道本质上可以是动态的,例如,云管道可以在例如由CA 212检测到以服务提供商网络为目的地的消息之后建立。在此类实施例中,此消息可能需要排队,直到云管道的建立完成。
在一些实施例中,SDWG 210或SN 104的另一个实体可以学习或导出与各个APN或其站点相关联的WAN链路的公共IP地址。例如,SDWG 210可以经由连接SDWG 210和CA 212的云管道接收加密的分组,但SDWG 210可能不知道与CA 212相关联的公共IP地址。在此示例中,为了确定或获知与CA 212相关联的公共IP地址,SDWG 210可以尝试使用不同的站点密钥(例如,先前由服务提供商生成并存储在数据存储装置106中的站点密钥)对分组进行解密,直到分组解密成功并且,在成功解密之后,分组报头中的源IP地址和源端口是可见的。一旦获知源IP地址和源端口,SDWG 210或SN 104的另一个实体就可以将获知的源IP地址和源端口与各个租户相关的标识符相关联。例如,SDWG 210可以使用基于散列的数据结构来维护路由表信息。在此示例中,散列键可以基于(公共或外部)源IP地址和源端口,并且对应的散列条目基于APN标识符、WAN链路标识符和站点标识符。在此示例中,即使当多个租户使用相同的WAN链路标识符时,SDWG 210也可以识别与站点或管道相关联的相关WAN链路,因为WAN链路标识符、相关的APN标识符和相关的站点标识符的组合将是唯一的。
参考图6A,在步骤601中,请求分组(例如,互联网控制管理协议回声请求分组)可以从APN“A”中的主机600被发送,并且可以包括报头,该报头指示与主机600相关联的IP地址作为源地址并且指示与基于互联网的服务相关联的IP地址作为目的地地址。请求消息的目的地可以是互联网服务提供商,例如基于web的Office 365应用。
在步骤602中,CA 212可以接收请求分组,并且可以处理请求分组以经由云管道传输。在一些实施例中,CA 212可以通过将请求分组报头中的源地址改变为与CA 212相关联的WAN链路IP地址和端口来处理请求分组,并且可以通过添加封装报头和/或加密请求分组(例如,作为封装的分组中的有效载荷)来对请求分组进行封装。
在一些实施例中,出于隐私目的,请求分组报头中的源IP地址和/或其它参数(例如,步骤601)可以被改变或对服务提供商和其它租户隐藏。例如,这种混淆可以被用于使发送穿过云管道的分组的端点的身份应当难以被服务提供商或另一个实体辨别。
在一些实施例中,封装的分组可以包括封装报头(例如,Talari可靠协议(TRP)报头),其指示WAN链路IP地址作为源地址、与NAT/路由器204相关联的IP地址作为目的地地址,和/或管道端口作为源端口和目的地端口。
在步骤603处,封装的分组可以被发送到与SN 104相关联的NAT/路由器204。
在步骤604处,NAT/路由器204可以接收封装的分组并检查其报头以确定是否将分组路由到SN 104。例如,如果封装的分组报头将管道端口指示为目的地端口,那么NAT/路由器204可以改变封装的分组报头中的目的地地址和/或目的地端口以将封装的分组引导至SDWG 210。
在一些实施例中,NAT/路由器204可以存储关于封装的分组和/或内部的请求分组的状态信息,用于在对应的响应分组被发回时识别APN“A”中的适当管道和/或目的地。例如,NAT/路由器204可以使用映射数据元组(例如,源IP地址和源端口)的数据结构(例如,散列表或字典)。
在步骤605处,可以将封装的分组发送到SDWG 210。
在步骤606中,SDWG 210可以接收封装的分组并且可以例如通过剥离封装报头来对封装的分组进行解封装。SDWG 210还可以将与请求分组相关联的源地址从与CA 212相关联的WAN链路IP地址修改为与NAT/路由器202相关联的“北向”IP地址,用于路由以云服务108为目的地的流量。
在一些实施例中,NAT/路由器202可以存储关于请求分组的状态信息,用于在对应的响应分组被发回时识别APN“A”中的适当管道和/或目的地。例如,NAT/路由器204可以使用映射数据元组(例如,源IP地址和源端口)的数据结构。
在一些实施例中,NAT/路由器202可以将请求分组朝着其目的地(例如,IP地址“8.8.8.8”)转发或发送。例如,服务提供商网络102中的服务节点可以处理请求分组,并且对应的响应可以被生成并发送回与SN 104相关联的NAT/路由器202。在此示例中,NAT/路由器202可以接收响应分组并将响应分组发送或转发到SDWG 210。
参考图6B,在步骤607中,SDWG 210可以接收与请求分组对应的响应分组并且可以处理响应分组以经由云管道传输。在一些实施例中,SDWG 210可以通过将响应分组报头中的目的地地址改变为与NAT/路由器204相关联的IP地址来处理响应分组,并且可以通过添加封装报头和/或加密响应分组(例如,作为封装的分组中的有效载荷)来封装响应分组。在一些实施例中,封装的分组可以包括封装报头(例如,TRP报头),其指示与SDWG 210相关联的私有IP地址作为源地址、与NAT/路由器204相关联的“南向”IP地址作为目的地地址、管道端口作为源端口和目的地端口。
在步骤608中,封装的分组可以被发送到与SN 104相关联的NAT/路由器204。
在步骤609中,NAT/路由器204可以接收封装的分组并检查其报头以确定使用哪个管道来路由该封装的分组。例如,如果封装的分组报头指示去往CA 212的管道(例如,基于一个或多个标识符或各个值的散列而指示),那么NAT/路由器204可以将封装的分组报头中的目的地地址改变为与CA 212相关联的WAN链路IP地址和/或目的地端口,用于将封装的分组引导至CA 212。在一些实施例中,NAT/路由器204可以将封装的分组报头中的源地址改变为与NAT/路由器204相关联的公共IP地址。
在步骤610处,可以将封装的分组发送到CA 212。
在步骤611中,CA 212可以接收封装的分组并且可以例如通过剥离封装报头来对封装的分组进行解封装。CA 212还可以将与响应分组相关联的目的地地址从与CA 212相关联的WAN链路IP地址修改为与主机600相关联的IP地址。
在步骤612中,CA 212可以将响应分组发送到主机600。
将认识到的是,图6是出于说明目的,并且可以使用不同的和/或附加的消息、步骤和/或动作。还将认识到的是,本文描述的各种消息、步骤和/或动作可以以不同的次序或顺序发生。
图7是图示用于提供多租户SD-WAN节点的示例过程700的图。在一些实施例中,本文描述的示例过程700或其部分可以在网络节点(例如,SN 104)、SDWG 210和/或另一个模块或节点处被执行或由其执行。
参考示例过程700,在步骤702中,可以使用来自服务提供商网络的管理员的输入来生成用于第一租户的用户配置信息。在一些实施例中,用户配置信息可以包括用于允许第一租户配置第一网络节点的各方面的安全密钥以及与第一租户相关联的总带宽限制。
在步骤704中,可以向第一租户发送用户配置信息中的至少一些。例如,用户配置信息可以包括预共享密钥、服务带宽限制、每管道带宽限制、每站点带宽限制和/或每网络带宽限制。在此示例中,用户配置信息可以由服务提供商或相关的管理员配置,并且用户配置信息可以经由API或用户接口提供。
在步骤706中,可以从第一租户接收用于配置用于在服务提供商网络和与第一租户的SD-WAN相关联的第一站点之间进行隧道化通信的第一管道的第一配置信息。
例如,CA 116或NC 114可以经由REST API和/或基于web的管理门户208向SN 104发送包含“迷你”配置文件的消息。在此示例中,该消息可以被引导到与SN 104相关联的IP地址并且可以包括由SN 104提供给CA 116或NC 114的预共享密钥。
在步骤708中,可以使用第一配置信息(例如,“迷你”配置信息)来配置用于在服务提供商网络和第一站点之间进行隧道化通信的第一管道,其中第一网络节点与多个管道相关联,其中该多个管道中的第二管道至少部分地由第二租户而不是第一租户配置。
在一些实施例中,可以在接收到第一配置信息之后配置第一管道。在此类实施例中,可以响应于触发消息而建立第一管道。例如,触发消息可以是用于请求至少一个服务的消息或以服务提供商网络为目的地的消息。在此示例中,触发消息可以包括针对服务提供商网络102的任何消息或用于请求云服务108中的一个或多个和/或以服务提供商网络102为目的地的任何消息。继续此示例,当检测到不活动性达预定时间量时,可以移除第一管道(例如,释放在SN 104处的相关的分配的资源)。
在步骤710中,服务提供商网络和第一站点之间的通信可以经由第一管道进行隧道传输。在一些实施例中,可以使用协议和/或加密设置的第一集合来封装穿过第一管道的通信,并且可以使用协议和/或加密设置的第一集合来封装穿过第二管道的通信,其中协议和/或加密设置的第一集合不同于协议和/或加密设置的第二集合。
在一些实施例中,与第一租户相关联的管道状态信息和时间同步信息可以使用代表性状态转移应用编程接口(REST API)和/或封装协议经由第一管道传送。例如,第一管道可以使用具有封装安全有效载荷(ESP)隧道类型的高级加密标准(AES)加密的建立隧道协议(例如,专有管道协议)和基于32位安全散列算法(SHA)的散列值,并且第二管道可以使用具有认证报头(AH)隧道类型的不同建立隧道协议和基于64位SHA的散列值。
在一些实施例中,租户可以表示或包括实体(例如,企业或公司)、与实体相关联的网络(例如,APN 101)或站点(例如,站点110),或者与实体关联的设备、节点或装置。例如,第一租户可以包括与APN 101相关联的CA 116、NC 114或网络管理员。
在一些实施例中,第一网络节点可以包括使用一个或多个虚拟机或虚拟容器实现的网关和控制器。例如,SN 104可以包括SDWG 210和管理门户208,其中SDWG 210和管理门户208是基于Linux的虚拟机。
在一些实施例中,第一管道可以与在第一网络节点或服务提供商网络中的节点处实现的第一时间管理器相关联,其中第一时间管理器与在第一租户的SD-WAN中的网络控制器或节点处实现的第二时间管理器分离。例如,SN 104可以为经由与服务提供商网络102(例如,服务提供商站点103)相关联的一个或多个云管道的通信利用主时钟或其它时间同步机制。在此示例中,NC 114可以为站点110和/或站点112内的通信提供或利用另一个主时钟或其它时间同步机制。
在一些实施例中,过程700还可以包括从第一租户接收第二配置信息(例如,“迷你”配置信息),用于配置第三管道,该第三管道用于在服务提供商网络和与第一租户的SD-WAN相关联的第二站点之间进行隧道化通信;使用第二配置信息配置第三管道,以用于在服务提供商网络和与第一租户的SD-WAN相关联的第二站点之间进行隧道化通信,其中第一管道和第三管道的组合带宽不超过与第一租户相关联的总带宽限制;以及经由第三管道在服务提供商网络和与第一租户的SD-WAN相关联的第二站点之间建立通信隧道。
在一些实施例中,过程700还可以包括学习与第一站点(例如,站点112)相关联的公共IP地址,其中学习公共IP地址包括经由第一管道接收加密的分组,使用所存储的与不同站点相关联的预共享的密钥来解密该加密的分组,直到加密的分组被成功解密,并从解密的分组报头中识别公共IP地址。例如,SN 104或SDGW 210可以通过尝试使用与各个APN或租户相关联的不同预共享密钥来解密分组从而获知与CA 116相关联的IP地址。在此示例中,在预共享的密钥成功解密分组之后,SN 104或SDGW 210可以将位于分组的分组报头中的IP源地址和源端口与相关的APN标识符、WAN链路标识符和站点标识符相关联。
在一些实施例中,过程700还可以包括维护与每个管道、站点和/或租户相关联的统计数据和/或流量监视信息。
将认识到的是,图7是出于说明目的,并且可以使用不同的和/或附加的步骤和/或动作。还将认识到的是,本文描述的各种步骤和/或动作可以以不同的次顺序或顺序发生。
应当注意的是,本文描述的网络节点、SN 104、SDWG 210和/或功能性可以构成专用计算设备。另外,本文描述的网络节点、SN 104、SDWG 210和/或功能性可以改进通信网络和SD-WAN连接性的技术领域。例如,通过在服务提供商网络中提供能够促进由多个租户配置的管道的SN 104,SD-WAN用户可以以可靠的方式和/或以可靠的服务级别接收云服务。另外,通过使用多租户SD-WAN节点,服务提供商可以更可靠地并以有效且成本高效的方式向与多个租户相关联的SD-WAN用户提供云服务。
将理解的是,在不脱离本文描述的主题的范围的情况下,可以改变本文描述的主题的各种细节。此外,前述描述仅出于说明的目的,而非出于限制的目的。
Claims (20)
1.一种用于提供多租户软件定义的广域网SD-WAN节点的方法,所述方法包括:
在服务提供商网络中用于向多个租户提供至少一个服务的第一网络节点处执行以下操作,其中所述第一网络节点包括所述多租户SD-WAN节点并且能够以防止租户的配置彼此干扰的方式被所述多个租户配置:
使用来自所述服务提供商网络的管理员的输入,为第一租户生成用户配置信息,其中所述用户配置信息包括用于允许所述第一租户配置所述第一网络节点的各方面的安全密钥以及与所述第一租户相关联的总带宽限制;
向所述第一租户发送所述用户配置信息中的至少一些,其包括所述安全密钥,所述安全密钥能够被所述第一租户用于认证,使得仅经授权的用户能够修改所述多租户SD-WAN节点上用于所述第一租户的配置设置;
从所述第一租户接收第一配置信息,所述第一配置信息用于配置用于在所述服务提供商网络和与所述第一租户的SD-WAN相关联的第一站点之间进行隧道化通信的第一管道;
使用所述第一配置信息配置所述第一管道,所述第一管道用于在所述服务提供商网络和所述第一站点之间进行隧道化通信;
由所述第一网络节点允许第二租户对使用所述第一网络节点能够配置的方面进行配置,所述方面包括第二管道的加密和协议设置;以及
经由所述第一管道在所述服务提供商网络和所述第一站点之间进行隧道化通信。
2.如权利要求1所述的方法,其中,使用协议和/或加密设置的第一集合来封装穿过所述第一管道的通信,并且其中使用协议和/或加密设置的第二集合来封装穿过第二管道的通信,其中协议和/或加密设置的所述第一集合不同于协议和/或加密设置的所述第二集合。
3.如权利要求1-2中的任一项所述的方法,其中,配置所述第一管道是响应于触发消息而进行的,其中所述触发消息是用于请求所述至少一个服务的消息或以所述服务提供商网络为目的地的消息,并且其中在检测到不活动达预定时间量时所述第一管道被移除。
4.如权利要求1-2中的任一项所述的方法,包括:
在所述第一网络节点处:
学习与所述第一站点相关联的公共互联网协议IP地址,其中学习公共IP地址包括经由所述第一管道接收加密的分组,使用所存储的与不同站点相关联的预共享的密钥来解密所述加密的分组直到所述加密的分组被成功解密,并从解密的分组报头中识别所述公共IP地址。
5.如权利要求1-2中的任一项所述的方法,其中,与所述第一站点相关联的管道状态信息和时间同步信息经由所述第一管道使用代表性状态转移应用编程接口(REST API)和/或封装协议而被传送。
6.如权利要求1-2中的任一项所述的方法,其中,所述第一网络节点包括使用一个或多个虚拟机或虚拟容器实现的控制器和网关,并且其中所述第一管道利用多个WAN链路来实现可靠性。
7.如权利要求1-2中的任一项所述的方法,其中,所述第一管道与在所述第一网络节点或所述服务提供商网络中的节点处实现的第一时间管理器相关联,其中,所述第一时间管理器不同于在所述第一租户的SD-WAN中的网络控制器或节点处实现的第二时间管理器。
8.如权利要求1-2中的任一项所述的方法,包括:
从所述第一租户接收用于配置第三管道的第二配置信息,所述第三管道用于在所述服务提供商网络和与所述第一租户的SD-WAN相关联的第二站点之间进行隧道化通信;
使用第二配置信息来配置用于在所述服务提供商网络和所述第二站点之间进行隧道化通信的所述第三管道,其中所述第一管道和所述第三管道的组合带宽不超过所述总带宽限制;以及
经由所述第三管道在所述服务提供商网络和所述第二站点之间进行隧道化通信。
9.如权利要求1-2中的任一项所述的方法,包括:
维护与每个管道、站点和/或租户相关联的统计数据和/或流量监视信息。
10.一种用于提供多租户软件定义的广域网SD-WAN节点的系统,该系统包括:
位于服务提供商网络中的用于向多个租户提供至少一个服务的第一网络节点,所述第一网络节点包括所述多租户SD-WAN节点并且能够以防止租户的配置彼此干扰的方式被所述多个租户配置,第一网络节点还包括:
至少一个处理器;以及
存储器,其中所述第一网络节点被配置用于:
使用来自所述服务提供商网络的管理员的输入,为第一租户生成用户配置信息,其中所述用户配置信息包括用于允许所述第一租户配置所述第一网络节点的各方面的安全密钥以及与所述第一租户相关联的总带宽限制;
向所述第一租户发送所述用户配置信息中的至少一些,其包括所述安全密钥,所述安全密钥能够被所述第一租户用于认证,使得仅经授权的用户能够修改所述多租户SD-WAN节点上用于所述第一租户的配置设置;
从所述第一租户接收第一配置信息,所述第一配置信息用于配置用于在所述服务提供商网络和与所述第一租户的SD-WAN相关联的第一站点之间进行隧道化通信的第一管道;
使用所述第一配置信息配置所述第一管道,所述第一管道用于在所述服务提供商网络和所述第一站点之间进行隧道化通信;
由所述第一网络节点允许第二租户对使用所述第一网络节点能够配置的方面进行配置,所述方面包括第二管道的加密和协议设置;以及
经由所述第一管道在所述服务提供商网络和所述第一站点之间进行隧道化通信。
11.如权利要求10所述的系统,其中,使用协议和/或加密设置的第一集合来封装穿过所述第一管道的通信,并且其中使用协议和/或加密设置的第二集合来封装穿过第二管道的通信,其中协议和/或加密设置的所述第一集合不同于协议和/或加密设置的所述第二集合。
12.如权利要求10-11中的任一项所述的系统,其中,配置所述第一管道是响应于触发消息而进行的,其中所述触发消息是用于请求所述至少一个服务的消息或以所述服务提供商网络为目的地的消息,并且其中在检测到不活动达预定时间量时所述第一管道被移除。
13.如权利要求10-11中的任一项所述的系统,其中第一网络节点被配置用于学习与所述第一站点相关联的公共互联网协议IP地址,其中学习公共IP地址包括经由所述第一管道接收加密的分组,使用所存储的与不同站点相关联的预共享的密钥来解密所述加密的分组直到所述加密的分组被成功解密,并从解密的分组报头中识别所述公共IP地址。
14.如权利要求10-11中的任一项所述的系统,其中,与所述第一站点相关联的管道状态信息和时间同步信息经由所述第一管道使用代表性状态转移应用编程接口(REST API)和/或封装协议而被传送。
15.如权利要求10-11中的任一项所述的系统,其中,所述第一网络节点包括使用一个或多个虚拟机或虚拟容器实现的控制器和网关,并且其中所述第一管道利用多个WAN链路来实现可靠性。
16.如权利要求10-11中的任一项所述的系统,其中,所述第一管道与在所述第一网络节点或所述服务提供商网络中的节点处实现的第一时间管理器相关联,其中,所述第一时间管理器不同于在所述第一租户的SD-WAN中的网络控制器或节点处实现的第二时间管理器。
17.如权利要求10-11中的任一项所述的系统,其中,所述第一网络节点被配置用于:
从所述第一租户接收用于配置第三管道的第二配置信息,所述第三管道用于在所述服务提供商网络和与所述第一租户的SD-WAN相关联的第二站点之间进行隧道化通信;
使用第二配置信息来配置用于在所述服务提供商网络和所述第二站点之间进行隧道化通信的所述第三管道,其中所述第一管道和所述第三管道的组合带宽不超过所述总带宽限制;以及
经由所述第三管道在所述服务提供商网络和所述第二站点之间进行隧道化通信。
18.如权利要求10-11中的任一项所述的系统,其中,所述第一网络节点被配置用于维护与每个管道、站点和/或租户相关联的统计数据和/或流量监视信息。
19.一种非暂态计算机可读介质,包括实施在所述非暂态计算机可读介质中的计算机可执行指令,所述计算机可执行指令在由至少一个计算机的至少一个处理器执行时使所述至少一个计算机执行包括以下各项的步骤:
在服务提供商网络中用于向多个租户提供至少一个服务的第一网络节点处执行以下操作,其中所述第一网络节点包括多租户SD-WAN节点并且能够以防止租户的配置彼此干扰的方式被所述多个租户配置:
使用来自所述服务提供商网络的管理员的输入,为第一租户生成用户配置信息,其中所述用户配置信息包括用于允许所述第一租户配置所述第一网络节点的各方面的安全密钥以及与所述第一租户相关联的总带宽限制;
向所述第一租户发送所述用户配置信息中的至少一些,其包括所述安全密钥,所述安全密钥能够被所述第一租户用于认证,使得仅经授权的用户能够修改所述多租户SD-WAN节点上用于所述第一租户的配置设置;
从所述第一租户接收第一配置信息,所述第一配置信息用于配置用于在所述服务提供商网络和与所述第一租户的SD-WAN相关联的第一站点之间进行隧道化通信的第一管道;
使用所述第一配置信息配置所述第一管道,所述第一管道用于在所述服务提供商网络和所述第一站点之间进行隧道化通信;
由所述第一网络节点允许第二租户对使用所述第一网络节点能够配置的方面进行配置,所述方面包括第二管道的加密和协议设置;以及
经由所述第一管道在所述服务提供商网络和所述第一站点之间进行隧道化通信。
20.如权利要求19所述的非暂态计算机可读介质,其中,使用协议和/或加密设置的第一集合来封装穿过所述第一管道的通信,并且其中使用协议和/或加密设置的第二集合来封装穿过第二管道的通信,其中协议和/或加密设置的所述第一集合不同于协议和/或加密设置的所述第二集合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/586,300 US11082304B2 (en) | 2019-09-27 | 2019-09-27 | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node |
| US16/586,300 | 2019-09-27 | ||
| PCT/US2020/051882 WO2021061581A1 (en) | 2019-09-27 | 2020-09-21 | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (sd-wan) node |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114402574A CN114402574A (zh) | 2022-04-26 |
| CN114402574B true CN114402574B (zh) | 2024-08-16 |
Family
ID=72752518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080063378.XA Active CN114402574B (zh) | 2019-09-27 | 2020-09-21 | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11082304B2 (zh) |
| EP (1) | EP4035339A1 (zh) |
| JP (1) | JP2022550356A (zh) |
| CN (1) | CN114402574B (zh) |
| WO (1) | WO2021061581A1 (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9069727B2 (en) | 2011-08-12 | 2015-06-30 | Talari Networks Incorporated | Adaptive private network with geographically redundant network control nodes |
| US10785117B2 (en) | 2009-06-11 | 2020-09-22 | Talari Networks Incorporated | Methods and apparatus for configuring a standby WAN link in an adaptive private network |
| US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
| US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
| US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
| US10805114B2 (en) | 2017-10-02 | 2020-10-13 | Vmware, Inc. | Processing data messages of a virtual network that are sent to and received from external service machines |
| US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| US11310170B2 (en) | 2019-08-27 | 2022-04-19 | Vmware, Inc. | Configuring edge nodes outside of public clouds to use routes defined through the public clouds |
| US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
| US11689959B2 (en) | 2020-01-24 | 2023-06-27 | Vmware, Inc. | Generating path usability state for different sub-paths offered by a network link |
| US11323918B2 (en) * | 2020-01-24 | 2022-05-03 | Cisco Technology, Inc. | Switch and backhaul capacity-based radio resource management |
| US11329883B2 (en) * | 2020-03-12 | 2022-05-10 | Fortinet, Inc. | Dynamic establishment of application-specific network tunnels between network devices by an SDWAN controller |
| JP2023532297A (ja) * | 2020-06-29 | 2023-07-27 | イルミナ インコーポレイテッド | セキュアな発見フレームワークを介した一時的なクラウドプロバイダクレデンシャル |
| CA3177385A1 (en) | 2020-06-29 | 2022-01-06 | Prabhu PALANISAMY | Policy-based genomic data sharing for software-as-a-service tenants |
| US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
| US11792127B2 (en) * | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
| US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
| US11483228B2 (en) | 2021-01-29 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network testing using an emulated data center environment |
| US11716283B2 (en) | 2021-03-05 | 2023-08-01 | Oracle International Corporation | Methods, systems, and computer readable media for selecting a software defined wide area network (SD-WAN) link using network slice information |
| US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
| US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
| US12047282B2 (en) | 2021-07-22 | 2024-07-23 | VMware LLC | Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| US11695690B1 (en) * | 2021-11-08 | 2023-07-04 | Graphiant, Inc. | Network address translation with in-band return path resolution |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| WO2024104168A1 (zh) * | 2022-11-16 | 2024-05-23 | 华为云计算技术有限公司 | 跨区域的虚拟私有云之间通信的配置方法及相关装置 |
| US12057993B1 (en) | 2023-03-27 | 2024-08-06 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
| US12034587B1 (en) | 2023-03-27 | 2024-07-09 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
| CN118282866B (zh) * | 2024-06-03 | 2024-07-26 | 中宇联云计算服务(上海)有限公司 | 基于容器集群的多租户隔离部署方法、系统、设备及介质 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU6633898A (en) | 1997-03-13 | 1998-09-29 | Urizen Ltd. | Apparatus and method for expanding communication networks |
| US7715312B2 (en) | 2005-04-25 | 2010-05-11 | Verizon Services Corp. | Methods and systems for maintaining quality of service (QOS) levels for data transmissions |
| US20070248077A1 (en) | 2006-04-20 | 2007-10-25 | Fusion Telecommunications International, Inc. | Distributed voice over internet protocol apparatus and systems |
| US8125907B2 (en) | 2008-06-12 | 2012-02-28 | Talari Networks Incorporated | Flow-based adaptive private network with multiple WAN-paths |
| US10122829B2 (en) | 2008-11-12 | 2018-11-06 | Teloip Inc. | System and method for providing a control plane for quality of service |
| US10698923B2 (en) | 2009-06-11 | 2020-06-30 | Talari Networks, Inc. | Methods and apparatus for providing adaptive private network database schema migration and management processes |
| US10333808B2 (en) | 2009-06-11 | 2019-06-25 | Talari Networks Incorporated | Methods and apparatus for providing adaptive private network centralized management system data visualization processes |
| US8452846B2 (en) | 2010-08-12 | 2013-05-28 | Talari Networks Incorporated | Adaptive private network asynchronous distributed shared memory services |
| US10785117B2 (en) * | 2009-06-11 | 2020-09-22 | Talari Networks Incorporated | Methods and apparatus for configuring a standby WAN link in an adaptive private network |
| US9069727B2 (en) | 2011-08-12 | 2015-06-30 | Talari Networks Incorporated | Adaptive private network with geographically redundant network control nodes |
| US20130077701A1 (en) | 2011-09-23 | 2013-03-28 | Advanced Micro Devices, Inc. | Method and integrated circuit for adjusting the width of an input/output link |
| US8943000B2 (en) * | 2012-01-20 | 2015-01-27 | Cisco Technology, Inc. | Connectivity system for multi-tenant access networks |
| US10129096B2 (en) | 2012-06-20 | 2018-11-13 | Fusionlayer Oy | Commissioning/decommissioning networks in orchestrated or software-defined computing environments |
| US9407557B2 (en) | 2012-12-22 | 2016-08-02 | Edgewater Networks, Inc. | Methods and systems to split equipment control between local and remote processing units |
| CN103957155B (zh) | 2014-05-06 | 2018-01-23 | 华为技术有限公司 | 报文传输方法、装置及互联接口 |
| US9756135B2 (en) * | 2014-07-31 | 2017-09-05 | Ca, Inc. | Accessing network services from external networks |
| TWI590617B (zh) * | 2014-09-16 | 2017-07-01 | 科勞簡尼克斯股份有限公司 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
| US10015287B2 (en) * | 2015-03-04 | 2018-07-03 | Oracle International Corporation | Efficient tunneled streams for real-time communications |
| US9894491B2 (en) | 2015-05-22 | 2018-02-13 | Ford Global Technologies, Llc | Context-based wireless network link access prioritization system |
| US9634893B2 (en) * | 2015-07-21 | 2017-04-25 | Cisco Technology, Inc. | Auto-provisioning edge devices in a communication network using control plane communications |
| US10608985B2 (en) * | 2015-08-14 | 2020-03-31 | Oracle International Corporation | Multihoming for tunneled encapsulated media |
| US20170055133A1 (en) | 2015-08-17 | 2017-02-23 | Adtran, Inc. | Multicast connection admission control |
| EP3860050B1 (en) * | 2016-02-18 | 2023-05-03 | FusionLayer Oy | Commissioning/decommissioning networks in software-defined computing environments |
| US20180013556A1 (en) | 2016-07-06 | 2018-01-11 | Teloip Inc. | System, apparatus and method for encrypting overlay networks using quantum key distribution |
| US10015097B2 (en) * | 2016-08-19 | 2018-07-03 | Oracle International Corporation | Fast access telecommunication tunnel cloning |
| WO2018042459A1 (en) | 2016-09-02 | 2018-03-08 | Muthukumarasamy Murugavel | Adaptive and seamless traffic steering among multiple paths based on application qoe needs |
| JP7018437B2 (ja) * | 2016-09-16 | 2022-02-10 | オラクル・インターナショナル・コーポレイション | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 |
| US20190280962A1 (en) | 2017-01-31 | 2019-09-12 | The Mode Group | High performance software-defined core network |
| US10523556B2 (en) | 2017-08-08 | 2019-12-31 | Versa Networks, Inc. | Method and system for routing connections in a software-defined wide area network |
| US10673747B2 (en) | 2017-08-15 | 2020-06-02 | Level 3 Communications, Llc | Device deployment and network management using a self-service portal |
-
2019
- 2019-09-27 US US16/586,300 patent/US11082304B2/en active Active
-
2020
- 2020-09-21 JP JP2022519341A patent/JP2022550356A/ja active Pending
- 2020-09-21 WO PCT/US2020/051882 patent/WO2021061581A1/en active Application Filing
- 2020-09-21 EP EP20786379.6A patent/EP4035339A1/en active Pending
- 2020-09-21 CN CN202080063378.XA patent/CN114402574B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114402574A (zh) | 2022-04-26 |
| US20210099360A1 (en) | 2021-04-01 |
| US11082304B2 (en) | 2021-08-03 |
| EP4035339A1 (en) | 2022-08-03 |
| JP2022550356A (ja) | 2022-12-01 |
| WO2021061581A1 (en) | 2021-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114402574B (zh) | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 | |
| US10574763B2 (en) | Session-identifer based TWAMP data session provisioning in computer networks | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| EP2823620B1 (en) | Enhancing ipsec performance and security against eavesdropping | |
| US8743890B2 (en) | System and method for supporting sub-subnet in an infiniband (IB) network | |
| US20180139191A1 (en) | Method, Device, and System for Processing VXLAN Packet | |
| EP3201777B1 (en) | Providing functional requirements for a network connection from a local library | |
| CN109450905B (zh) | 传输数据的方法和装置及系统 | |
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
| WO2023185804A1 (zh) | 用于vpn的多流负载均衡方法、装置、系统及存储介质 | |
| WO2022142905A1 (zh) | 报文转发的方法、装置和网络系统 | |
| KR101686995B1 (ko) | 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 | |
| CA2680599A1 (en) | A method and system for automatically configuring an ipsec-based virtual private network | |
| WO2024073113A1 (en) | System and method for creating a private service access network | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| EP3228048B1 (en) | Method and apparatus for routing data to cellular network | |
| KR20040098093A (ko) | 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법 | |
| CN114374582B (zh) | 通信方法及装置 | |
| KR101308089B1 (ko) | 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 | |
| WO2024027419A1 (zh) | 报文发送方法、装置及系统 | |
| Ceferin et al. | Service quality assurance in the IP networks for smart grids | |
| Rauthan | Covert Communication in Software Defined Wide Area Networks | |
| KR101534314B1 (ko) | 자동 가상랜 설정 방법 | |
| WO2022219551A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |