CN114731329A - 针对域间流量的基于组的策略 - Google Patents
针对域间流量的基于组的策略 Download PDFInfo
- Publication number
- CN114731329A CN114731329A CN202080081699.2A CN202080081699A CN114731329A CN 114731329 A CN114731329 A CN 114731329A CN 202080081699 A CN202080081699 A CN 202080081699A CN 114731329 A CN114731329 A CN 114731329A
- Authority
- CN
- China
- Prior art keywords
- group
- identifier
- host
- data packet
- site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000004044 response Effects 0.000 claims abstract description 28
- 239000004744 fabric Substances 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 230000015654 memory Effects 0.000 description 31
- 238000004891 communication Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000014616 translation Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000008278 dynamic mechanism Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/645—Splitting route computation layer and forwarding layer, e.g. routing according to path computational element [PCE] or based on OpenFlow functionality
- H04L45/655—Interaction between route computation entities and forwarding entities, e.g. for route determination or for flow table update
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/46—Cluster building
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,一种方法包括:从位于第一站点中的第一主机接收数据分组,其中该数据分组可以去往位于可能不同于第一站点的第二站点中的第二主机;确定第二主机所属于的第二组的标识符在第一网络节点处是否可用;向第二网络节点发送对第二组的标识符的请求,其中该请求可以包括第二主机的地址;接收包括来自第二网络节点的第二组的标识符的响应;确定第二组是目的地组;将与目的地组相关联的一个或多个策略应用于数据分组;以及使得数据分组被路由到第二主机。
Description
技术领域
本公开总体上涉及数据通信领域,更具体地涉及针对域间流量构建基于组的策略。
背景技术
企业软件定义(SD)-广域网(WAN)(SD-WAN)结构由具有多个虚拟专用网络(VPN)的边缘路由器组成,这些VPN利用点对点加密覆盖隧道(例如,IPsec)。这些隧道使用各种连接方法(例如,专用MPLS链路、宽带互联网或蜂窝网络)穿过一个或多个下层网络。SD-WAN内的边缘路由器和中间路由器可以将SD-WAN策略应用于数据分组,同时将数据分组从源路由到目的地。SD-WAN策略可以基于源节点所属于的源组和/或目的地节点所属于的目的地组来确定。
附图说明
图1示出了SD-WAN的示例架构。
图2示出了针对主机的示例认证程序。
图3示出了用于从目的地边缘路由器获取目的地组的示例流程。
图4示出了用于从SD-WAN结构控制平面获取目的地组的示例流程。
图5示出了针对数据分组的策略的示例确定。
图6示出了用于在SD-WAN边缘路由器处基于目的地组标识符来实施策略的示例方法。
图7示出了示例计算机系统。
具体实施方式
概述
本发明的各方面在独立权利要求中阐述,并且优选特征在从属权利要求中阐述。一个方面的特征可以单独应用于任何方面或与其他方面组合。
在特定实施例中,被配置为在网络的第一站点处操作的第一网络节点可以从位于第一站点中的第一主机接收数据分组。数据分组可以发往位于可以不同于第一站点的第二站点中的第二主机。第一网络节点可以确定第二主机所属于的第二组的标识符在第一网络节点处不可用。响应于该确定,第一网络节点可以向第二网络节点发送对第二组的标识符的请求。该请求可以包括第二主机的地址。第一网络节点可以从第二网络节点接收包括第二组的标识符的响应。第一网络节点可以基于所接收到的标识符确定第二组是目的地组。第一网络节点可以将与目的地组相关联的一个或多个策略应用于数据分组。第一网络节点可以使数据分组被路由到第二主机。
示例实施例
图1示出了SD-WAN的示例架构。在特定实施例中,网络100可以是软件定义(SD)广域网(WAN),其是基于在多个站点之间通过一个或多个下层网络130载送流量的隧道的虚拟上层网络。如图1所示的示例示出了两个站点:第一站点110和第二站点120。每个站点可以经由一个或多个WAN边缘路由器连接到网络100。例如,第一站点110通过边缘路由器101连接到网络100,并且第二站点120通过边缘路由器102连接到网络100。连接到网络100的站点可以具有通过互联网协议安全(IPSec)隧道到每个其他站点的数据平面连接。边缘路由器101和102可以具有通过下层网络130的数据平面连接。下层网络130可以包括多协议标签交换(MPLS)、互联网和蜂窝网络。SD-WAN控制平面可以包括控制器105,该控制器可以维护集中式路由表和路由策略以对数据平面的转发行为进行编程。控制器105可以维护到每个边缘路由器的直接控制平面连接。控制器105可以提供、维护和保护整个上层网络。SD-WAN网络100还可以包括管理/编排平面107。尽管本公开以特定方式描述了SD-WAN网络,但是本公开设想到任何合适的方式的SD-WAN网络。
在特定实施例中,第一站点可以包括第一主机。第一主机可以属于第一组。第一主机所连接的交换机可以学习第一组的标识符。交换机可以将作为源组的第一组的标识符添加到源自第一主机的数据分组。在特定实施例中,交换机可以使用一个或多个动态机制中的一个来学习第一组的标识符。在特定实施例中,第一主机可以执行认证过程。交换机可以在第一主机的认证期间学习第一组的标识符。
图2示出了针对主机的示例认证程序。作为示例而不是通过限制,如图2所示,可以在步骤200激活第一主机111。交换机203可以检测第一主机111并且可以使连接到第一主机111的端口处于“未授权”状态。“未授权”状态可能只允许802.1X流量,而其他流量可能会被丢弃。在步骤210,交换机203可以通过周期性地将可扩展认证协议(EAP)-请求标识符帧传送到本地网络区段上的特殊第2层地址(01:80:C2:00:00:03)来发起认证。第一主机111可以监听该地址。在接收到EAP-请求标识符帧时,在步骤215,第一主机111可以以包含第一主机111的标识符(例如用户ID)的EAP-响应标识符帧进行响应。在步骤220,交换机203可以将从第一主机111接收到的标识符响应封装在RADIUS访问请求分组中,并且可以将RADIUS访问请求分组转发给认证服务器205。在步骤225,认证服务器205可以向交换机203发送回复(封装在RADIUS访问挑战分组中)。在步骤230,交换机203可以将EAP请求封装在EAP OverLAN(EAPOL)帧中,并且将EAPOL帧传送到第一主机111。在步骤235,第一主机111可以向交换机发送EAP响应。在步骤240,交换机可以将接收到的EAP响应封装在RADIUS访问请求分组中,并且将RADIUS访问请求分组转发到认证服务器205。在步骤245,认证服务器可以以任一EAP-Success消息(封装在RADIUS访问接受数据分组中)进行响应。EAP-Success消息可以包括第一主机所属于的第一组的标识符。交换机203可以从EAP-Success消息学习第一组的标识符。在步骤250,交换机203可以将EAP-Success消息转发给第一主机111。在接收到EAP-Success时,交换机203可以将端口设置为“授权”状态并且可以允许正常流量。交换机203可以将第一组的标识符添加到源自第一主机111的数据分组。在特定实施例中,交换机203可以使用一个或多个静态机制中的一个来学习第一组的标识符。在特定实施例中,交换机203可以维护IP地址与其对应组之间的映射表。交换机203可以基于与第一主机111相关联的IP地址来学习第一组的标识符。尽管本公开描述了以特定方式学习第一主机所属于的组的标识符,但是本公开设想到以任何合适的方式学习第一主机所属于的组的标识符。
在特定实施例中,第一网络节点101可以从位于第一站点110中的第一主机111接收数据分组。数据分组可以去往位于第二站点120中的第二主机121。第一站点110可以与第二站点120分开。第一站点110和第二站点120可以通过SD-WAN网络100连接。连接到第一主机111的交换机203可以将作为源组的第一组的标识符添加到数据分组,因此数据分组可以包括第一组的标识符。第一网络节点101可以用第一主机111的IP地址与数据分组中的第一组的标识符的映射来更新本地数据库。作为示例而非限制,位于第一站点110中的第一主机111可以属于企业中的HR组。HR组的组标识符可以是1000。第一主机111可以向位于第二站点120的第二主机121发送数据分组。第二主机121可以属于企业中的工程组。工程组的组标识符可以是2000。连接到第一主机111的交换机203可以将组标识符1000添加到数据分组。数据分组可以到达将第一站点110连接到SD-WAN网络100的源边缘路由器101。源边缘路由器101可以用第一主机111的IP地址和HR组的组标识符1000的映射来更新本地数据库。尽管本公开描述了以特定方式接收包括源组标识符的数据分组,但是本公开设想到以任何合适的方式接收包括源组标识符的数据分组。
在特定实施例中,第一网络节点101可以确定第二组的标识符在第一网络节点101处不可用,其中第二组是第二主机121所属于的组。在特定实施例中,第一网络节点101可以通过在第一网络节点101处搜索本地数据库来确定第二组的标识符在第一网络节点101处是否可用。作为示例而非通过限制,继续之前的示例,源边缘路由器101可以在接收到从第一主机111到第二主机121的数据分组时尝试确定第二组的标识符。源边缘路由器101可以查找第二主机121的IP地址以识别第二组的标识符。当本地数据库中不存在第二主机的IP地址的记录时,源边缘路由器101可以确定第二组的标识符不可用。尽管本公开描述了以特定方式确定数据分组的目的地组的标识符在源边缘路由器处不可用,但是本公开设想到以任何合适的方式确定数据分组的目的地组的标识符在源边缘路由器处不可用。
在特定实施例中,第一网络节点101可以响应于该确定,向第二网络节点发送对第二组的标识符的请求。该请求可以包括第二主机的地址。尽管本公开描述了以特定方式发送对目的地组的标识符的请求,但是本公开设想到以任何合适的方式发送对目的地组的标识符的请求。
图3示出了用于从目的地边缘路由器获取目的地组的示例流程。在图3所示的示例中,第一主机111可以向第二主机121发送数据分组。第一主机111可以位于第一站点110中。第二主机121可以位于第二站点120中。第一主机111可以属于企业中的HR组。HR组的组标识符可以是1000。第二主机121可以属于企业中的工程组。工程组的组标识符可以是2000。在步骤310,可以将数据分组转发到连接到第一主机111的交换机203。交换机203可以将HR组的标识符1000添加到数据分组。交换机203可能已经在第一主机111的认证程序期间学习HR组的标识符。在步骤320,交换机203可以将数据分组转发到将第一站点110连接到SD-WAN网络100的源边缘路由器101。数据分组可以包括HR组的标识符1000。
在特定实施例中,第二网络节点可以是被配置为在第二站点120处操作的WAN边缘路由器102。第二网络节点可以通过与和第二站点120相关联的本地结构控制平面307通信来确定第二组的标识符。源边缘路由器101可以从第二边缘路由器102接收包括第二组的标识符的响应。源边缘路由器101可以基于接收到的标识符来确定第二组是目的地组。作为示例而非通过限制,继续图3所示的先前示例,源边缘路由器101可以向目的地侧WAN边缘路由器102发送控制消息。在步骤330,控制消息可以包括数据分组的目的地IP地址。目的地边缘路由器102可以查找其本地数据库以找出第二主机121所属于的目的地组的标识符。如果目的地组在本地数据库中不可用,则在步骤340目的地边缘路由器102可以查询本地结构控制平面控制器307。本地结构控制平面控制器307可能已经从位于第二站点120中的认证服务器305学习工程组的目的地组标识符2000。在步骤350,本地结构控制平面控制器207可以向目的地边缘路由器102发送响应。在步骤360,目的地边缘路由器可以向源边缘发送控制消息路由器101,其中控制消息可以包括工程组的标识符2000。在接收到控制消息时,源边缘路由器101可以确定工程组是目的地组。由于源边缘路由器101知道源组标识符和目的地组标识符两者,源边缘路由器101可以将一个或多个适当的策略应用于数据分组。源边缘路由器101可以通过下层网络130将数据分组转发到目的地边缘路由器102。在步骤380,目的地边缘路由器102可以将数据分组转发到连接到第二主机121的交换机303。在步骤390,交换机303可以将数据分组转发到第二主机121。尽管本公开描述了以特定方式从目的地边缘路由器获取目的地组标识符,但是本公开设想到以任何合适的方式从目的地边缘路由器获取目的地组标识符。
在特定实施例中,在步骤330发送的请求和在步骤360发送的响应可以是通过有序管理协议(OMP)发送的控制消息。OMP是一种新引入的协议,其构成了下层网络的核心。OMP是在边缘路由器和控制平面控制器之间形成的传输层安全(TLS)或数据报传输层安全(DTLS)隧道内运行的协议。OMP是用于在下层网络中的控制器和边缘路由器之间交换路由、策略和管理信息的控制协议。尽管本公开描述了以特定方式发送控制消息,但本公开设想到以任何合适的方式发送控制消息。
在特定实施例中,在步骤330发送的请求和在步骤360发送的响应可以是通过WebSocket发送的控制消息。WebSocket是一种通信协议,其通过单个TCP连接提供全双工通信信道。WebSocket在TCP的顶部上启用消息流。TCP单独处理字节流,而没有固有的消息概念。尽管本公开描述了以特定方式发送控制消息,但本公开设想到以任何合适的方式发送控制消息。
在特定实施例中,第二网络节点可以是SD-WAN结构控制平面控制器105。第二网络节点可以维持与网络中的主机相关联的组标识符。第一网络节点101可以从第二网络节点接收包括第二组的标识符的响应。图4示出了用于从SD-WAN结构控制平面获取目的地组的示例流程。作为示例而非通过限制,如图4所示,当第一主机111执行认证程序时,SD-WAN结构控制平面内的控制器105可以从第一站点110中的认证服务器205接收与和第一主机111相关联的第一组的标识符相关联的信息。当第二主机121执行认证程序时,控制器105可以从第二站点120中的认证服务器305接收与和第二主机121相关联的第二组的标识符相关联的信息。当第一主机111向第二主机121发送数据分组时,可以在步骤410将该数据分组转发到与第一主机111连接的交换机203。在步骤420,交换机203可以将作为源组的第一组的标识符添加到数据分组,并且将该数据分组转发到与第一主机连接的源边缘路由器101。源边缘路由器101可以尝试通过在本地数据库中查找第二主机121(目的地主机)的IP地址来确定目的地组的标识符。如果源边缘路由器101未能找出第二主机121的IP地址的记录,则在步骤430源边缘路由器101可以向SD-WAN结构控制平面中的控制器105发送请求。该请求可以包括目的地主机(即第二主机121)的IP地址。控制器105可以从其自身的数据库中找出第二组的标识符。在步骤440,控制器105可以以第二组的标识符对源边缘路由器101进行响应。在步骤430的请求和步骤440和响应可以是控制平面消息。源边缘路由器101可以基于接收到的标识符确定第二组是目的地组。源边缘路由器101可以基于目的地组标识符来确定与数据分组相对应的策略。在特定实施例中,源边缘路由器101可以基于第一组标识符确定与数据分组对应的策略。源边缘路由器101可以将确定的策略应用于数据分组。在步骤450,源边缘路由器101可以使数据分组通过下层网络130传递到目的地边缘路由器102。目的地边缘路由器102可以通过在其本地数据库中查找目的地主机(即第二主机121)的IP地址来尝试确定目的地组标识符。如果目的地边缘路由器102未能在本地数据库中查找目的地IP地址,则目的地边缘路由器102可以向控制器105发送请求,该控制器105未在图4中示出。目的地边缘路由器102可以基于目的地组标识符来确定与数据分组相对应的策略。在特定实施例中,目的地边缘路由器102可以基于源组标识符来确定与数据分组相对应的策略。目的地边缘路由器102可以将策略应用于数据分组。在步骤460,目的地边缘路由器102可以将数据分组转发到与第二主机121连接的交换机303。在步骤470,交换机可以将数据分组转发到第二主机121。尽管本公开描述了以特定方式从SD-WAN结构控制平面获取目的地组标识符,但本公开设想到以任何合适的方式从SD-WAN结构控制平面获取目的地组标识符。
在特定实施例中,第一网络节点101可以确定与数据分组相对应的一个或多个策略。在特定实施例中,一个或多个策略可以与目的地组相关联。在特定实施例中,一个或多个策略可以与源组相关联。第一网络节点101可以将一个或多个策略应用于数据分组。图5示出了用于数据分组的策略的示例确定。作为示例而非通过限制,如图5所示,源边缘路由器101可以利用策略引擎501来确定与数据分组相对应的一个或多个策略。在特定实施例中,策略引擎501可以在源边缘路由器101内。在特定实施例中,策略引擎501可以远离源边缘路由器101。源边缘路由器101可以向策略引擎501提供与数据分组相对应的源组的标识符作为输入。源边缘路由器101可以向策略引擎501提供与数据分组相对应的目的地组的标识符作为输入。策略引擎501可以产生与数据分组相对应的一个或多个策略。一个或多个策略可以包括准入控制、路由路径选择、安全策略、服务质量(QoS)服务和流量监管。源边缘路由器101可以将确定的一个或多个策略应用于数据分组。SD-WAN网络100内的路由路径中的任何路由器可以确定与数据分组相对应的一个或多个策略并且将一个或多个策略应用于数据分组。尽管本公开描述以特定方式确定与数据分组相对应的一个或多个策略并且将策略应用于数据分组,但是本公开设想到以任何合适的方式确定与数据分组相对应的一个或多个策略并且将策略应用于数据分组。
在特定实施例中,一个或多个策略可以包括准入控制。网络100可以基于源组标识符、基于目的地组标识符或基于源组和目的地组的组合来限制访问网络的流量。作为示例而非通过限制,策略引擎501可以基于确定的源组标识符和/或确定的目的地组标识符来拒绝数据分组被路由通过SD-WAN网络100。然后,源路由器101可以丢弃数据分组而不导致数据分组被路由通过SD-WAN网络100。尽管本公开描述了以特定方式对数据分组实施准入控制策略,但本公开设想到以任何合适的方式对数据分组实施准入控制策略。
在特定实施例中,一个或多个策略可以包括路由路径选择。可以基于目的地组标识符来执行路由路径选择。在特定实施例中,可以基于源组标识符来执行路由路径选择。动态路由可以是SD-WAN的主要特性之一。第一网络节点101可以基于源组标识符和/或目的地组标识符通过多个可用路由路径中的一个来路由数据分组。作为示例而非通过限制,策略引擎501可以基于源组标识符和/或目的地组标识符为数据分组生成路由路径。源边缘路由器101可以使数据分组通过所生成的路由路径被路由到目的地边缘路由器102。尽管本公开描述了以特定方式至少基于目的地组标识符来实施路由路径选择,但是本公开设想到以任何合适的方式至少基于目的地组标识符来实施路由路径选择。
在特定实施例中,一个或多个策略可以包括安全策略。可以基于目的地组标识符来确定安全策略。在特定实施例中,可以基于源组标识符来确定安全策略。作为示例而非通过限制,策略引擎501可以基于源组标识符和/或目的地组标识符为数据分组生成一组防火墙规则。源边缘路由器101可以将所生成的防火墙规则应用于数据分组。在特定实施例中,如果数据分组未能满足所生成的防火墙规则,则源边缘路由器101可以丢弃数据分组。尽管本公开描述了以特定方式至少基于目的地组标识符对数据分组实施安全策略,但是本公开设想到以任何合适的方式至少基于目的地组标识符对数据分组实施安全策略。
在特定实施例中,一个或多个策略可以包括服务质量(QoS)策略。可以基于目的地组标识符来确定QoS策略。在特定实施例中,可以基于源组标识符来确定QoS策略。可以基于数据分组的QoS等级来确定多个QoS参数。可以基于流量的源组标识符和/或目的地组标识符来确定QoS等级。作为示例而非通过限制,策略引擎501可以基于源组标识符和/或目的地组标识符来确定数据分组是最佳性能等级的流量。源边缘路由器101可以将与最佳性能等级的流量相关联的多个QoS参数应用到数据分组。尽管本公开描述了以特定方式至少基于目的地组标识符来实施QoS策略,但是本公开设想到以任何合适的方式至少基于目的地组标识符来实施QoS策略。
在特定实施例中,一个或多个策略可以包括可以实施预定最大数据速率的流量监管。可以基于目的地组标识符来确定预定最大数据速率。在特定实施例中,可以基于源组标识符来确定预定最大数据速率。作为示例而非通过限制,策略引擎501可以确定从第一组到第二组的流量的最大数据速率是100Mbps。源边缘路由器101可以对从第一主机111到第二主机121的流量实施所确定的最大数据速率。尽管本公开描述了以特定方式至少基于目的地组标识符来实施最大数据速率,但是本公开设想到以任何合适的方式至少基于目的地组标识符来实施最大数据速率。
在特定实施例中,第一网络节点101可以使数据分组被路由到第二主机121。作为示例而非通过限制,源边缘路由器101可以使数据分组通过下层网络130经由源边缘路由器101和目的地边缘路由器102之间的一个或多个IPSec隧道之一而被路由到目的地边缘路由器102。在接收到数据分组时,目的地边缘路由器102可以基于第二站点120中的本地路由策略将数据分组路由到第二主机121。尽管本公开描述了以特定方式将数据分组路由到目的地主机,但是本公开设想到以任何合适的方式使得数据分组被路由到目的地主机。
在特定实施例中,第一网络节点101可以接收从第二主机121去往第一主机111的第二数据分组。第一网络节点101可以基于第二数据分组中的源组标识符字段来识别源组标识符。在特定实施例中,第一网络节点101可以确定源组标识符与记录中的第二组标识符不同。响应于该确定,第一网络节点101可以用源组标识符更新记录中的第二组的标识符。作为示例而非通过限制,在从第一主机111接收到第一数据分组时,第二主机121可以以第二数据分组对第一主机111进行响应。第二数据分组可以到达第一站点110内的第一边缘路由器101。第一边缘路由器101可以基于第二数据分组中的源组标识符字段来确定第二数据分组的源组标识符。第一边缘路由器101可以将第二数据分组的源组标识符与本地数据库中与第二主机121相对应的第二组标识符进行比较。如果源组标识符与本地数据库中的第二组标识符不匹配,则第一边缘路由器101可以用第二数据分组的源组标识符来更新本地数据库中的第二组标识符。尽管本公开描述了以特定方式基于源自远程主机的数据分组来更新远程主机的组标识符,但是本公开设想到以任何合适的方式基于源自远程主机的数据分组来更新远程主机的组标识符。
图6示出了用于在SD-WAN边缘路由器处基于目的地组标识符来实施策略的示例方法600。该方法可以开始于步骤610,其中被配置为在网络的第一站点处操作的第一网络节点可以从位于第一站点中的第一主机接收去往位于第二站点中的第二主机的数据分组。第一站点和第二站点可以不同。在步骤620,第一网络节点可以确定第二主机所属于的第二组的标识符在第一网络节点处是否可用。在步骤630,第一网络节点可以响应于该确定,向第二网络节点发送对第二组的标识符的请求。该请求可以包括第二主机的地址。在步骤640,第一网络节点可以从第二网络节点接收包括第二组的标识符的响应。第一网络节点可以基于接收到的标识符确定第二组是目的地组。在步骤650,第一网络节点可以将与目的地组相关联的一个或多个策略应用于数据分组。在步骤660,第一网络节点可以使数据分组被路由到第二主机。特定实施例可以在适当的情况下重复图6的方法的一个或多个步骤。尽管本公开描述和示出了以特定顺序出现的图6的方法的特定步骤,但是本公开设想到以任何合适的顺序出现的图6的方法的任何合适的步骤。此外,尽管本公开描述和示出了用于在SD-WAN边缘路由器处基于目的地组标识符实施策略的示例方法(包括图6的方法的特定步骤),但是本公开设想到用于在SD-WAN边缘路由器处基于目的地组标识符实施策略的任何合适的方法(包括任何合适的步骤),在适当的情况下这些步骤可以包括图6的方法的步骤中的所有步骤、一些步骤或不包括图6的方法的步骤。此外,尽管本公开描述和示出了执行图6的方法的特定步骤的特定组件、设备或系统,但是公开设想到执行图6的方法的任何合适的步骤的任何合适的组件、设备或系统的任何合适的组合。
系统和方法
图7示出了示例计算机系统700。在特定实施例中,一个或多个计算机系统700执行本文所述或所示的一种或多种方法的一个或多个步骤。在特定实施例中,一个或多个计算机系统700提供本文所述或所示的功能。在特定实施例中,在一个或多个计算机系统700上运行的软件执行本文所述或所示的一种或多种方法的一个或多个步骤,或者提供本文所述或所示的功能。特定实施例包括一个或多个计算机系统700的一个或多个部分。在本文中,在适当的情况下,对计算机系统的引用可以涵盖计算设备,并且反之亦然。此外,在适当的情况下,对计算机系统的引用可以涵盖一个或多个计算机系统。
本公开设想到任何合适数量的计算机系统700。本公开设想到采用任何合适的物理形式的计算机系统700。作为示例而非通过限制,计算机系统700可以是嵌入式计算机系统、片上系统(SOC)、单板计算机系统(SBC)(例如,模块化计算机(COM)或模块化系统(SOM))、台式计算机系统、膝上型或笔记本计算机系统、交互式信息亭、大型机、计算机系统网格、移动电话、个人数字助理(PDA)、服务器、平板计算机系统、增强/虚拟现实设备或上述两种或多种的组合。在适当的情况下,计算机系统700可以包括一个或多个计算机系统700;是单一的或分布式的;跨越多个位置;跨越多台机器;跨越多个数据中心;或驻留在云中,该云可以包括一个或多个网络中的一个或多个云组件。在适当的情况下,一个或多个计算机系统700可以在没有实质空间或时间限制的情况下执行本文所述或所示的一种或多种方法的一个或多个步骤。作为示例而非通过限制,一个或多个计算机系统700可以实时或以批处理模式执行本文所述或所示的一种或多种方法的一个或多个步骤。在适当的情况下,一个或多个计算机系统700可以在不同时间或在不同位置执行本文所述或所示的一种或多种方法的一个或多个步骤。
在特定实施例中,计算机系统700包括处理器702、存储器704、存储装置706、输入/输出(I/O)接口708、通信接口710和总线712。尽管本公开描述和示出了具有特定布置的特定数量的特定组件的特定计算机系统,但是本公开设想到具有任何合适布置的任何合适数量的任何合适的计算机系统。
在特定实施例中,处理器702包括用于执行指令(例如构成计算机程序的那些指令)的硬件。作为示例而非通过限制,为了执行指令,处理器702可以从内部寄存器、内部缓存、存储器704或存储装置706检索(或获取)指令;解码并执行指令;然后将一个或多个结果写入内部寄存器、内部缓存、存储器704或存储装置706。在特定实施例中,处理器702可包括用于数据、指令或地址的一个或多个内部缓存。在适当的情况下,本公开设想到处理器702包括任何合适数量的任何合适的内部缓存。作为示例而非通过限制,处理器702可以包括一个或多个指令缓存、一个或多个数据缓存以及一个或多个转译后备缓冲器(TLB)。指令缓存中的指令可以是存储器704或存储装置706中的指令的副本,并且指令缓存可以加速处理器702对那些指令的检索。数据缓存中的数据可以是存储器704或存储装置706中用于在处理器702上执行指令以进行操作的数据副本;在处理器702处执行以供在处理器702处执行的后续指令访问或用于写入存储器704或存储装置706的先前指令的结果;或其他合适的数据。数据缓存可以加速处理器702的读取或写入操作。TLB可以加速处理器702的虚拟地址转换。在特定实施例中,处理器702可以包括用于数据、指令或地址的一个或多个内部寄存器。本公开设想到处理器702在适当的情况下包括任何合适数量的任何合适的内部寄存器。在适当的情况下,处理器702可以包括一个或多个算术逻辑单元(ALU);是多核处理器;或者包括一个或多个处理器702。尽管本公开描述和示出了特定的处理器,但是本公开设想到任何合适的处理器。
在特定实施例中,存储器704包括用于存储供处理器702执行的指令或供处理器702操作的数据的主存储器。作为示例而非通过限制,计算机系统700可以将指令从存储装置706或另一源(例如,另一计算机系统700)加载到存储器704。处理器702然后可以将指令从存储器704加载到内部寄存器或内部缓存。为了执行指令,处理器702可以从内部寄存器或内部缓存中检索指令并对它们进行解码。在指令执行期间或之后,处理器702可以将一个或多个结果(其可以是中间或最终结果)写入内部寄存器或内部缓存。处理器702然后可以将这些结果中的一个或多个写入存储器704。在特定实施例中,处理器702仅执行一个或多个内部寄存器或内部缓存或存储器704(与存储装置706或其他地方相反)中的指令并且仅对一个或多个内部寄存器或内部缓存或存储器704(与存储装置706或其他地方相反)中的数据进行操作。一条或多条存储器总线(其可以各自包括地址总线和数据总线)可以将处理器702耦合到存储器704。总线712可以包括一条或多条存储器总线,如下所述。在特定实施例中,一个或多个存储器管理单元(MMU)驻留在处理器702和存储器704之间并且便于对处理器702所请求的存储器704的访问。在特定实施例中,存储器704包括随机存取存储器(RAM)。在适当的情况下,该RAM可以是易失性存储器。在适当的情况下,该RAM可以是动态RAM(DRAM)或静态RAM(SRAM)。此外,在适当的情况下,该RAM可以是单端口或多端口RAM。本公开考虑了任何合适的RAM。在适当的情况下,存储器704可以包括一个或多个存储器704。尽管本公开描述和示出了特定的存储器,但本公开设想到任何合适的存储器。
在特定实施例中,存储装置706包括用于数据或指令的大容量存储器。作为示例而非通过限制,存储装置706可以包括硬盘驱动器(HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动或上述两种或更多种的组合。在适当的情况下,存储装置706可以包括可移动或不可移动(或固定)介质。适当时,存储器706可以在计算机系统700的内部或外部。在特定实施例中,存储装置706是非易失性固态存储器。在特定实施例中,存储装置706包括只读存储器(ROM)。在适当的情况下,该ROM可以是掩码编程ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可更改ROM(EAROM)或闪存或上述两种或更多种的组合。本公开设想到采用任何合适的物理形式的大容量存储装置706。在适当的情况下,存储装置706可以包括便于处理器702和存储装置706之间的通信的一个或多个存储控制单元。在适当的情况下,存储装置706可以包括一个或多个存储装置706。尽管本公开描述和示出了特定的存储装置,但是本公开设想到任何合适的存储装置。
在特定实施例中,I/O接口708包括硬件、软件或这两者,用于为计算机系统700和一个或多个I/O设备之间的通信提供一个或多个接口。在适当的情况下,计算机系统700可以包括这些I/O设备中的一个或多个。这些I/O设备中的一个或多个可以实现人与计算机系统700之间的通信。作为示例而非通过限制,I/O设备可以包括键盘、按键、麦克风、监视器、鼠标、打印机、扫描仪、扬声器、静态相机、触控笔、平板电脑、触摸屏、轨迹球、摄像机、其他合适的I/O设备或上述两种或更多种的组合。I/O设备可以包括一个或多个传感器。本公开设想到任何合适的I/O设备和用于它们的任何合适的I/O接口708。在适当的情况下,I/O接口708可以包括一个或多个设备或软件驱动,使处理器702能够驱动这些I/O设备中的一个或多个。在适当的情况下,I/O接口708可以包括一个或多个I/O接口708。尽管本公开描述和示出了特定的I/O接口,但本公开设想到任何合适的I/O接口。
在特定实施例中,通信接口710包括硬件、软件或这两者,用于为计算机系统700与一个或多个其他计算机系统700或一个或更多网络之间的通信(例如,基于分组的通信)提供一个或多个接口。作为示例而非通过限制,通信接口710可以包括用于与以太网或其他有线网络通信的网络接口控制器(NIC)或网络适配器,或者用于与无线网络(例如WI-FI网络)通信的无线NIC(WNIC)或无线适配器。本公开设想到任何合适的网络和任何合适的通信接口710。作为示例而非通过限制,计算机系统700可以与以下各项通信:自组织网络、个域网(PAN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、或互联网的一个或多个部分、或前述两种或多种的组合。这些网络中的一个或多个的一个或多个部分可以是有线的或无线的。作为示例,计算机系统700可以与以下各项通信:无线PAN(WPAN)(例如,BLUETOOTH WPAN)、WI-FI网络、WI-MAX网络、蜂窝电话网络(例如,全球移动通信系统(GSM)网络、长期演进(LTE)网络或5G网络)或其他合适的无线网络或上述两种或更多种的组合。在适当的情况下,计算机系统700可以包括用于任何这些网络的任何合适的通信接口710。在适当的情况下,通信接口710可以包括一个或多个通信接口710。尽管本公开描述和示出了特定的通信接口,但是本公开设想到任何合适的通信接口。
在特定实施例中,总线712包括将计算机系统700的组件彼此耦合的硬件、软件或这两者。作为示例而非通过限制,总线712可以包括加速图形端口(AGP)或其他图形总线、增强型工业标准架构(EISA)总线、前端总线(FSB)、HYPERTRANSPORT(HT)互连、工业标准架构(ISA)总线、INFINIBAND互连、低引脚数(LPC)总线、存储器总线、微通道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCIe)总线、串行高级技术附件(SATA)总线、视频电子标准协会本地(VLB)总线或其他合适的总线或上述两种或更多种的组合。在适当的情况下,总线712可以包括一条或多条总线712。尽管本公开描述和示出了特定的总线,但本公开设想到任何合适的总线或互连。
总而言之,在一个实施例中,一种方法包括:从位于第一站点的第一主机接收数据分组,其中数据分组可以去往位于可能不同于第一站点的第二站点中的第二主机;向第二网络装置发送对第二组的标识符的请求,其中该请求可以包括第二主机的地址;从第二网络装置接收包括第二组的标识符的响应;确定第二组是目的地组;将与该目的地组相关联的一个或多个策略应用于数据分组;以及使得数据分组被路由到第二主机。
在本文中,在适当的情况下,计算机可读非暂时性存储介质可以包括一个或多个基于半导体的或其他集成电路(IC)(例如,现场可编程门阵列(FPGA)或专用IC(ASIC))、硬盘驱动器(HDD)、混合硬盘驱动器(HHD)、光盘、光盘驱动器(ODD)、磁光盘、磁光驱动器、软盘、软盘驱动器(FDD)、磁带、固态驱动器(SSD)、RAM驱动器、SECURE DIGITAL卡或驱动器、任何其他合适的计算机可读非暂时性存储介质、或上述两种或更多种的任何合适的组合。在适当的情况下,计算机可读非暂时性存储介质可以是易失性、非易失性或易失性和非易失性的组合。
在本文中,“或”是包含性而非排他性的,除非另有明确说明或上下文另有说明。因此,在本文中,“A或B”意指“A、B或这两者”,除非另有明确说明或上下文另有说明。此外,“并且”是共同和分别的,除非另有明确说明或上下文另有说明。因此,在本文中,“A和B”是指“A和B,共同地或分别地”,除非另有明确说明或上下文另有说明。
本公开的范围涵盖本领域普通技术人员将理解的对本文所述或所示的示例实施例的所有改变、替换、变化、变更和修改。本公开的范围不限于本文所述或所示的示例实施例。此外,尽管本公开将本文中的各个实施例描述和示出为包括特定组件、元件、特征、功能、操作或步骤,但是这些实施例中的任何一个可以包括本领域普通技术人员将理解的本文任何地方所述或所示的任何组件、元件、特征、功能、操作或步骤的任何组合或排列。此外,在所附权利要求中对装置或系统或者装置或系统的组件适用于、被布置为、能够用于、被配置为、被启用用于、可操作用于执行特定功能的引用涵盖该装置、系统、组件(无论其或该特定功能是否被激活、打开或解锁),只要该装置、系统或组件如此被适用、布置、能够用于、配置、启用、可操作用于或操作用于。此外,尽管本公开将特定实施例描述或示出为提供特定的优点,但特定实施例可以不提供这些优点或提供一些或所有这些优点。
Claims (23)
1.一种方法,包括由被配置为在网络的第一站点处操作的第一网络装置执行以下操作:
从位于所述第一站点中的第一主机接收去往位于第二站点中的第二主机的数据分组,其中,所述第一站点和所述第二站点不同;
向第二网络装置发送对所述第二主机所属于的第二组的标识符的请求,其中,所述请求包括所述第二主机的地址;
响应于发送对所述第二组的标识符的请求,从所述第二网络装置接收包括所述第二组的标识符的响应;
基于所接收到的标识符,确定所述第二组为目的地组;
对所述数据分组应用与所述目的地组相关联的一个或多个策略;以及
使得所述数据分组被路由到所述第二主机。
2.根据权利要求1所述的方法,其中,所述第一网络装置是连接到所述网络的广域网(WAN)边缘路由器,并且其中,所述网络是包括多个站点的软件定义(SD)-WAN。
3.根据权利要求1或2所述的方法,其中,所述数据分组包括所述第一主机所属于的第一组的标识符,所述第一组作为源组,并且其中,所述一个或多个策略与所述源组相关联。
4.根据权利要求3所述的方法,其中,连接到所述第一主机的交换机添加所述第一组的标识符,并且其中,连接到所述第一主机的交换机在对所述第一主机的认证过程期间学习所述第一组的标识符。
5.根据权利要求1至4中任一项所述的方法,其中,所述一个或多个策略包括准入控制、路由路径选择、安全策略或服务质量(QoS)策略中的至少一者。
6.根据权利要求1至5中任一项所述的方法,其中,所述一个或多个策略包括流量监管,并且其中,预定最大数据速率被实施。
7.根据权利要求1至6中任一项所述的方法,还包括:
确定所述第二组的标识符在所述第一网络装置处不可用。
8.根据权利要求7所述的方法,其中,确定所述第二组的标识符不可用包括:在所述第一网络装置处搜索本地数据库。
9.根据权利要求1至8中任一项所述的方法,其中,所述请求是通过有序管理协议(OMP)发送的控制消息。
10.根据权利要求1至9中任一项所述的方法,其中,所述请求是通过WebSocket发送的控制消息。
11.根据权利要求1至10中任一项所述的方法,其中,所述第二网络装置是WAN结构控制平面,并且所述第二网络装置维护与所述网络中的主机相关联的组标识符。
12.根据权利要求1至11中任一项所述的方法,其中,所述第二网络装置是被配置为在所述第二站点处操作的WAN边缘路由器。
13.根据权利要求12所述的方法,其中,所述第二网络装置通过与和所述第二站点相关联的本地结构控制平面进行通信来确定所述第二组的标识符。
14.根据权利要求1至13中任一项所述的方法,还包括:
从所述第二主机接收去往所述第一主机的第二数据分组;
基于所述第二数据分组中的源组标识符字段来识别源组标识符;
确定所述源组标识符与记录中的所述第二组的标识符不相同;以及
响应于该确定,用所述源组标识符更新所述记录中的所述第二组的标识符。
15.一种第一网络装置,被配置为在网络的第一站点处操作,所述第一网络装置包括:
一个或多个处理器;以及
一个或多个计算机可读非暂时性存储介质,耦合到所述一个或多个处理器中的一个或多个并且包括指令,所述指令在由所述一个或多个处理器中的一个或多个执行时可操作用于使系统执行以下操作:
从位于所述第一站点中的第一主机接收去往位于第二站点中的第二主机的数据分组,其中,所述第一站点和所述第二站点不同;
向第二网络装置发送对所述第二主机所属于的第二组的标识符的请求,其中,所述请求包括所述第二主机的地址;
响应于发送对所述第二组的标识符的请求,从所述第二网络装置接收包括所述第二组的标识符的响应;
基于所接收到的标识符,确定所述第二组为目的地组;
对所述数据分组应用与所述目的地组相关联的一个或多个策略;以及
使得所述数据分组被路由到所述第二主机。
16.根据权利要求15所述的第一网络装置,其中,所述第一网络装置是连接到所述网络的WAN边缘路由器,并且其中,所述网络是包括多个站点的SD-WAN。
17.根据权利要求15或16所述的第一网络装置,其中,所述一个或多个策略包括准入控制、路由路径选择、安全策略或服务质量(QoS)策略中的至少一者。
18.根据权利要求15至17中任一项所述的第一网络装置,其中,所述一个或多个处理器中的一个或多个在执行所述指令时还可操作用于:
从所述第二主机接收去往所述第一主机的第二数据分组;
基于所述第二数据分组中的源组标识符字段来识别源组标识符;
确定所述源组标识符与记录中的所述第二组的标识符不相同;以及
响应于该确定,用所述源组标识符更新所述记录中的所述第二组的标识符。
19.一种或多种计算机可读非暂时性存储介质,包含软件,所述软件在被配置为在网络的第一站点处操作的第一网络装置上被执行时,可操用于执行以下操作:
从位于所述第一站点中的第一主机接收去往位于第二站点中的第二主机的数据分组,其中,所述第一站点和所述第二站点不同;
向第二网络装置发送对所述第二主机所属于的第二组的标识符的请求,其中,所述请求包括所述第二主机的地址;
响应于发送对所述第二组的标识符的请求,从所述第二网络装置接收包括所述第二组的标识符的响应;
基于所接收到的标识符,确定所述第二组为目的地组;
对所述数据分组应用与所述目的地组相关联的一个或多个策略;以及
使得所述数据分组被路由到所述第二主机。
20.根据权利要求19所述的介质,其中,所述第一网络装置是连接到所述网络的WAN边缘路由器,并且其中,所述网络是包括多个站点的SD-WAN。
21.一种第一网络装置,被配置为在网络的第一站点处运行以下模块:
用于从位于所述第一站点中的第一主机接收去往位于第二站点中的第二主机的数据分组的模块,其中,所述第一站点和所述第二站点不同;
用于向第二网络装置发送对所述第二主机所属于的第二组的标识符的请求的模块,其中,所述请求包括所述第二主机的地址;
用于响应于发送对所述第二组的标识符的请求而从所述第二网络装置接收包括所述第二组的标识符的响应的模块;
用于基于所接收到的标识符确定所述第二组为目的地组的模块;
用于对所述数据分组应用与所述目的地组相关联的一个或多个策略的模块;以及
用于使得所述数据分组被路由到所述第二主机的模块。
22.根据权利要求21所述的第一网络设备,还包括用于实现根据权利要求2至14中任一项所述的方法的模块。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时,使所述计算机执行根据权利要求1至14中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/697,016 | 2019-11-26 | ||
| US16/697,016 US11683262B2 (en) | 2019-11-26 | 2019-11-26 | Group-based policies for inter-domain traffic |
| PCT/US2020/060332 WO2021108143A1 (en) | 2019-11-26 | 2020-11-13 | Group-based policies for inter-domain traffic |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114731329A true CN114731329A (zh) | 2022-07-08 |
Family
ID=73740575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080081699.2A Pending CN114731329A (zh) | 2019-11-26 | 2020-11-13 | 针对域间流量的基于组的策略 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US11683262B2 (zh) |
| EP (1) | EP4066454A1 (zh) |
| JP (1) | JP7496414B2 (zh) |
| KR (1) | KR20220104047A (zh) |
| CN (1) | CN114731329A (zh) |
| AU (1) | AU2020391414A1 (zh) |
| CA (1) | CA3157184A1 (zh) |
| WO (1) | WO2021108143A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11552884B1 (en) * | 2019-09-23 | 2023-01-10 | Xsight Labs Ltd. | Efficient core routing |
| US11683262B2 (en) * | 2019-11-26 | 2023-06-20 | Cisco Technology, Inc. | Group-based policies for inter-domain traffic |
| CN114338541A (zh) * | 2020-09-30 | 2022-04-12 | 华为技术有限公司 | 一种流量控制方法、设备及介质 |
| US20230262525A1 (en) * | 2022-02-17 | 2023-08-17 | Cisco Technology, Inc. | System and Method for Mapping Policies to SD-WAN Data Plane |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404200A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 使用全局地址对进行路由 |
| CN102428739A (zh) * | 2009-05-20 | 2012-04-25 | 瑞典爱立信有限公司 | 用于传递优先级信息以便在调度数据的传送中使用的系统和方法 |
| WO2016210207A1 (en) * | 2015-06-26 | 2016-12-29 | Microsoft Technology Licensing, Llc | Source imposition of network routes in computing networks |
| WO2017015667A1 (en) * | 2015-07-23 | 2017-01-26 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and vpn policy enforcement |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06188831A (ja) * | 1992-12-16 | 1994-07-08 | Fujitsu Ltd | パーソナル通信方式 |
| CN1192574C (zh) * | 2002-01-30 | 2005-03-09 | 华为技术有限公司 | 受控组播的系统及其实现方法 |
| US7877796B2 (en) * | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
| US7724728B2 (en) * | 2005-04-19 | 2010-05-25 | Cisco Technology, Inc. | Policy-based processing of packets |
| CN105230037B (zh) * | 2013-05-22 | 2018-09-04 | 三菱电机株式会社 | 监视系统、设备管理装置以及监视方法 |
| US9467478B1 (en) * | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US10135687B2 (en) * | 2014-01-06 | 2018-11-20 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Virtual group policy based filtering within an overlay network |
| US10034169B2 (en) * | 2014-11-12 | 2018-07-24 | Qualcomm Incorporated | Method to authenticate peers in an infrastructure-less peer-to-peer network |
| US10771390B2 (en) | 2017-06-18 | 2020-09-08 | Cisco Technology, Inc. | Techniques for optimizing egress tunnel router failure scenarios in intelligent wide area networks |
| US10778430B2 (en) * | 2017-06-19 | 2020-09-15 | Cisco Technology, Inc. | Group based encryption in enterprise fabric architectures |
| JP7048251B2 (ja) * | 2017-10-19 | 2022-04-05 | 株式会社closip | Lte通信システム及び通信制御方法 |
| US10932322B2 (en) * | 2018-02-23 | 2021-02-23 | Cisco Technology, Inc. | Policy mapping methods and apparatus for use in interconnecting software-defined wide area network (SD-WAN) fabrics with mobile networks for communications with UEs |
| US10715427B2 (en) * | 2018-04-27 | 2020-07-14 | Hewlett Packard Enterprise Development Lp | Determining routing decisions in a software-defined wide area network overlay |
| US20200076683A1 (en) * | 2018-08-31 | 2020-03-05 | Hewlett Packard Enterprise Development Lp | Dynamic Cloud-Based Provisioning of Branch-Based Networking Devices |
| US10862758B2 (en) * | 2019-01-02 | 2020-12-08 | Hewlett Packard Enterprise Development Lp | Generation of network configuration and configuration commands for impacted nodes of a software defined wide area network |
| US10764177B2 (en) * | 2019-01-21 | 2020-09-01 | Mellanox Technologies Tlv Ltd. | Efficient implementation of complex network segmentation |
| US10855575B2 (en) * | 2019-03-06 | 2020-12-01 | Hewlett Packard Enterprise Development Lp | Adaptive traffic routing in a software-defined wide area network |
| US11652791B2 (en) * | 2019-08-07 | 2023-05-16 | Cisco Technology, Inc. | Consolidated routing table for extranet virtual networks |
| US11153119B2 (en) * | 2019-10-15 | 2021-10-19 | Cisco Technology, Inc. | Dynamic discovery of peer network devices across a wide area network |
| US11683262B2 (en) * | 2019-11-26 | 2023-06-20 | Cisco Technology, Inc. | Group-based policies for inter-domain traffic |
-
2019
- 2019-11-26 US US16/697,016 patent/US11683262B2/en active Active
-
2020
- 2020-11-13 JP JP2022524224A patent/JP7496414B2/ja active Active
- 2020-11-13 CN CN202080081699.2A patent/CN114731329A/zh active Pending
- 2020-11-13 CA CA3157184A patent/CA3157184A1/en active Pending
- 2020-11-13 AU AU2020391414A patent/AU2020391414A1/en active Pending
- 2020-11-13 KR KR1020227021642A patent/KR20220104047A/ko not_active Application Discontinuation
- 2020-11-13 WO PCT/US2020/060332 patent/WO2021108143A1/en unknown
- 2020-11-13 EP EP20820685.4A patent/EP4066454A1/en active Pending
-
2023
- 2023-04-19 US US18/303,493 patent/US20230261981A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102428739A (zh) * | 2009-05-20 | 2012-04-25 | 瑞典爱立信有限公司 | 用于传递优先级信息以便在调度数据的传送中使用的系统和方法 |
| CN102404200A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 使用全局地址对进行路由 |
| WO2016210207A1 (en) * | 2015-06-26 | 2016-12-29 | Microsoft Technology Licensing, Llc | Source imposition of network routes in computing networks |
| WO2017015667A1 (en) * | 2015-07-23 | 2017-01-26 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and vpn policy enforcement |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021108143A1 (en) | 2021-06-03 |
| JP2023502578A (ja) | 2023-01-25 |
| US11683262B2 (en) | 2023-06-20 |
| KR20220104047A (ko) | 2022-07-25 |
| EP4066454A1 (en) | 2022-10-05 |
| JP7496414B2 (ja) | 2024-06-06 |
| US20210160175A1 (en) | 2021-05-27 |
| CA3157184A1 (en) | 2021-06-03 |
| AU2020391414A1 (en) | 2022-06-09 |
| US20230261981A1 (en) | 2023-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114008986B (zh) | 使用tloc扩展的站点即插即用 | |
| US12052569B2 (en) | Systems and methods for distributing SD-WAN policies | |
| JP7496414B2 (ja) | ドメイン間トラフィックのグループベースのポリシー | |
| CN114051714B (zh) | 用于生成上下文标签的系统和方法 | |
| US20220360577A1 (en) | Systems and methods for applying attestation tokens to lisp messages | |
| US11431730B2 (en) | Systems and methods for extending authentication in IP packets | |
| US11418491B2 (en) | Dynamic firewall discovery on a service plane in a SDWAN architecture | |
| US11677684B2 (en) | Systems and methods for network stack | |
| US20210377221A1 (en) | Systems and Methods for Costing In Nodes after Policy Plane Convergence | |
| US11778038B2 (en) | Systems and methods for sharing a control connection | |
| US11784970B2 (en) | First hop security in multi-site multi-vendor cloud | |
| US20230262525A1 (en) | System and Method for Mapping Policies to SD-WAN Data Plane | |
| US20240098084A1 (en) | System and method for providing a virtual authenticator and supplicant | |
| US20230327994A1 (en) | Systems and Methods for Handling Asymmetric SDWAN Traffic Flows | |
| CN118715761A (zh) | 用于将策略映射到sd-wan数据平面的系统和方法 | |
| WO2024035564A1 (en) | System and method for evpn multicast optimization for source handling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |