CN114902627A - 为物联网端点自动化软件定义广域网策略 - Google Patents
为物联网端点自动化软件定义广域网策略 Download PDFInfo
- Publication number
- CN114902627A CN114902627A CN202080092135.9A CN202080092135A CN114902627A CN 114902627 A CN114902627 A CN 114902627A CN 202080092135 A CN202080092135 A CN 202080092135A CN 114902627 A CN114902627 A CN 114902627A
- Authority
- CN
- China
- Prior art keywords
- endpoint
- endpoints
- internet
- things
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000000638 solvent extraction Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 32
- 238000004891 communication Methods 0.000 description 18
- 238000007726 management method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 238000013507 mapping Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000002689 soil Substances 0.000 description 3
- QGZKDVFQNNGYKY-UHFFFAOYSA-N Ammonia Chemical compound N QGZKDVFQNNGYKY-UHFFFAOYSA-N 0.000 description 2
- IJGRMHOSHXDMSA-UHFFFAOYSA-N Atomic nitrogen Chemical compound N#N IJGRMHOSHXDMSA-UHFFFAOYSA-N 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000014616 translation Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 229910021529 ammonia Inorganic materials 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 229910052757 nitrogen Inorganic materials 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5032—Generating service level reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开针对管理工业物联网端点并且包括一个或多个处理器和一个或多个计算机可读非暂态存储介质,该存储介质耦合到该一个或多个处理器并且包括指令,当这些指令由该一个或多个处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有相同分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
Description
技术领域
本公开一般涉及物联网(IoT),更具体地涉及用于使物联网端点的软件定义广域网(SD-WAN)策略自动化的系统和方法。
背景技术
互联网的发展不仅允许连接计算机和通信设备的能力,而且允许通过计算机网络连接物理世界中的任何智能“对象”或“事物”的能力。术语“物联网”(IoT)指的是智能设备的这种互连以及它们通过网络传输数据的能力。物联网设备的数量正在大幅增加,预计到2021年,物联网应用将占全球所有设备和连接的50%以上。由于这种增长的快速性,以及物联网固有的安全问题,物联网设备的管理可能会很困难。
附图说明
图1示出了根据本公开的用于管理物联网端点的系统的实施例;
图2示出了根据本公开的用于管理物联网端点的系统的另一个实施例;
图3示出了根据本公开的用于管理物联网端点的系统的框图;
图4示出了根据本公开的用于管理物联网端点的方法;以及
图5示出了根据本公开的可由本文描述的系统和方法使用的计算机系统。
具体实施方式
概览
在独立权利要求中陈述了本发明的各方面,在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。
根据一个实施例,一种装置包括一个或多个处理器以及耦合到该一个或多个处理器的一个或多个计算机可读非暂态存储介质。一个或多个计算机可读非暂态存储介质包括指令,当指令由一个或多个处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有共同的分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。一个或多个交换机可以包括用于识别第一端点和/或一个或多个相关端点的虚拟机。
操作还可包括:应用策略以将第一端点与所识别出的一个或多个相关端点进行通信地连接。
操作还可以包括:为第一端点和所识别出的一个或多个相关端点创建安全网络覆盖。此外,操作还可以包括:跨安全网络覆盖对第一端点实施网络策略。进一步的操作可包括:将第一端点和所识别出的一个或多个相关端点集成在软件定义广域网(SD-WAN)中,以及跨一个或多个云扩展应用于第一端点和一个或多个相关端点的一个或多个策略。
根据另一个实施例,一种方法可以包括:通过一个或多个交换机使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,通过一个或多个交换机识别与第一端点具有共同的分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
根据又一实施例,一个或多个计算机可读非暂态存储介质包含指令,当指令由处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有相同分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
本公开的某些实施例的技术优势可包括以下一项或多项。本公开的某些实施例可以允许对物联网端点的动态识别、分类、网段划分和策略映射,从而实现物联网端点在网络中的安全和适当的连接。此外,本公开的其他实施例可以允许以下优势:自动创建安全的特定于物联网端点的覆盖;对物联网端点实施网络策略;防止恶意物联网端点加入网络覆盖;提供盒子遥测,包括网络覆盖上的带宽预留;为物联网端点提供深度遥测,以在云上检测和分析物联网端点故障;以及提供物联网端点到物联网端点的连接,以实现物联网端点的深度学习并协助自动故障排除。
从以下附图、描述和权利要求中,其他技术优势对于本领域技术人员将是显而易见的。此外,虽然上面列举了具体的优势,但各种实施例可以包括所有这些优势、包括这些优势中的一些或不包括所列举的优势。
示例性实施例
物联网(IoT)是一个相互关联的智能设备的系统,能够跨网络基础设施传输数据,以使用通信协议将物理世界集成到基于计算机的系统中。几乎任何物理对象如果其可以通过互联网被连接和控制则都可以转变为物联网设备。在消费者环境中,灯泡、电器、恒温器、家庭安全系统、电视、甚至玩具都可以通过网络而被集成。在商业环境中,“工业物联网”一词是指在商业、医疗保健、工业或其他此类应用中联网在一起的互连传感器、仪器、机械和其他设备。在整个本公开中可以使用术语IoT来泛指消费者和/或工业IoT应用。
通常,物联网设备可由具有低存储器、CPU和电源开销要求的轻质且专用操作系统组成。在可能的情况下,物联网设备也可以设计为提供无线连接。这些规范可能必然导致低安全性和高漏洞。换句话说,当独立的或网络惰性的物联网设备在以前被引入网络时,由于没有自动识别、策略分配、监控、管理、修补或升级的手段,系统受损的可能性(即,黑客发现和攻击这些设备的风险)高。当物联网设备试图通过外部交换机连接到网络时,这可能尤其成问题。由于传统交换机不支持物联网协议,它们无法识别或直接与物联网设备通信,并且进一步缺乏将物联网设备与网络中适当的端点安全互连的功能。因此,企业可能被迫简单地隔离物联网设备和/或可能需要用户手动为每个物联网设备创建策略。
上述传统系统存在各种缺点。例如,为越来越多的物联网设备中的每一个手动创建策略会在时间和资源方面呈现出大量的低效率。此外,物联网设备的隔离限制了互连网络的灵活性和价值,(即,允许物联网设备与网络的适当区域连接是有好处的。)因此,需要一种允许集成同时保持安全性的系统。
现在参考图1,其中示出了用于动态识别物联网端点和为物联网端点应用策略的系统100。系统100可以包括企业交换机110(其可以包括虚拟机120)、身份服务引擎(ISE)130、物联网交换机140和与协议150相关联的物联网端点160,所有这些都与网络180相关联。多个物联网端点统称为160,并且被分别标记为162、164、166和168。系统100可以包括任意数量的物联网端点160以及与端点160相关联的任意数量的协议150。
企业交换机110可以是可编程的并且允许软件定义联网的高性能、高密度交换机。在一些实施例中,企业交换机110可以包括为企业交换机110提供识别物联网端点160的智能能力的虚拟机120。应当理解,元件120不限于实际的虚拟机,而是可以包括处理器、模块或其他组件(包括图5中描述的组件,如可应用于这些组件),无论是物理的还是虚拟的,具有以下能力:识别网络中的端点。此外,虚拟机120可以作为一种功能并入企业交换机110(如图1所示),或者虚拟机220可以托管在交换机210之外并且可以通信地耦合到企业交换机210(如图2所示)。在企业交换机210之外托管虚拟机220(如图2所示)不会影响图1中描述的系统100的功能或整体精神和范围。换言之,应当理解,如下文阐述的图1的描述应用到图2中所示的系统200。参考图1,企业交换机110还可以通信地耦合到ISE 130,ISE 130是一种网络管理产品,可以为连接到企业路由器和交换机的端点160创建和实施安全和访问策略。
根据本公开,当特定的物联网端点(例如,图1所示的物联网端点162)首次连接到网络180,企业交换机110可以通过实施与物联网端点162相关联的一个或多个协议来检测该物联网端点162并将其识别为物联网设备。企业交换机110可以支持多种协议,包括物联网协议,例如CIP、PROFINET、OPC-UA、Modbus、BACnet、SCADA等。应当理解,本公开中列出的协议以举例方式提供,企业交换机110可以支持本领域已知或开发的任何其他协议,包括定制和/或专有协议。在其他实施例中,企业交换机110可以利用虚拟机120来识别物联网端点262。
一旦企业交换机110,无论是它自己还是通过虚拟机120,将物联网端点162识别为物联网设备,它就可以发现与物联网端点162相关联的一个或多个属性。属性可以包括与物联网端点160相关联的标识符,并且可以包括但不限于与资产ID、设备类型、Mac地址、互联网协议(IP)地址、产品ID、协议、供应商ID等相关的信息。属性还可包括由物联网端点传输的数据类型。企业交换机110然后可以基于物联网端点162的属性对其进行分类。例如,基于物联网端点162的供应商ID,交换机可以将其分类为安全摄像机,而不是例如,视频会议摄像机。物联网端点162可以基于单个属性(例如,供应商ID)而被进行分类,或者可以基于多个属性(例如,供应商ID和传输的数据类型)而被进行分类。该分类可以帮助交换机确定网络中这种数据的适当目的地,以及应该对物联网端点162施加的适当限制(包括它可以与之通信和从其接收通信的设备)。因此,“安全摄像机”分类可以确保不与例如视频会议摄像机或其他不需要交互或被限制与安全摄像机数据交互的此类设备通传来自物联网端点162的数据或不在它们之间通传来自物联网端点162的数据。
在一些实施例中,ISE 130可以与企业交换机110和/或虚拟机120结合使用以对物联网端点162和从端点162传输的数据进行分类以帮助确定网络接入。ISE 130还可以向物联网端点162应用一个或多个策略以及可能应用到该分类的任何组织安全要求。这些策略可能与以下项有关:连接性(例如,系统是否允许物联网设备尝试连接和使用网络资源的连接性)、通信(例如,系统是否允许特定的物联网端点与特定的物联网网关、云或网络的其他区域进行通信或对其进行访问)、或与物联网端点集成到网络相关的其他此类规则。
使用物联网端点162的分类,企业交换机110(单独地或与虚拟机120结合地)然后可以识别网络180中具有与物联网端点162共同的分类的相关物联网端点164、166。在一个实施例中,企业交换机110(单独地或与虚拟机120结合地)可以使用物联网端点162的一个或多个属性和/或分类来识别网络中的相关物联网端点164、166。如果企业交换机110和/或虚拟机120能够识别出具有与物联网端点162共同的的一个或多个属性和/或分类的相关物联网端点164、166,则企业交换机110可以将物联网端点162和所识别出的相关物联网端点164、166划分到网段170中。此过程称为网段划分(segmentation),其是将计算机网络拆分为较小的网络段,其中分配给给定(第一)网段的端点可以相互通信,而分配给分开的(第二)网段的端点可能受到限制而不能与第一网段中的元件进行通信。企业交换机110可以将与物联网端点164、166有关的任何附加策略应用到物联网端点162,或者在可应用新策略的情况下,可以将新策略应用到该网段170中的被进行了网段划分的所有物联网端点。
此外,一旦一组物联网端点162、164、166被进行了网段划分,交换机110也可以识别非物联网设备(例如,处理器、分析设备等),这些非物联网设备可能需要与被进行了网段划分的物联网端点162、164、166通信和/或被授权与被进行了网段划分的物联网端点162、164、166通信,然后将那些非物联网设备与被进行了网段划分的非物联网端点162、164、166进行通信地连接。
为了进一步说明在实践中如何根据属性和/或分类识别相关物联网端点的过程,请考虑以下农业领域的物联网端点示例。农业物联网端点可用于测量和传输与稻田的土壤状况相关的数据。例如,物联网端点可以与传感器耦合以测量土壤中的氮含量;另一个物联网传感器可用于测量水含量;又一个物联网传感器可用于测量氨含量。所有这些物联网端点都可由同一第三方供应商制造和/或分发。同样,所有这些端点都可传输相同类型的数据(即,有关土壤中各种元素含量的信息)。当这些物联网端点中的一个或多个被连接到网络中的企业交换机时,交换机可以首先基于每个物联网端点关联的物联网协议来识别每个物联网端点。然后,交换机可以确定与每个物联网端点相关联的一个或多个属性。例如,对于测量含水量的物联网端点,交换机可以识别(基于供应商ID)出该物联网端点是由特定的第三方农业供应商制造的。此外,交换机可以基于端点正在传输的数据类型而识别出该端点是测量水含量的传感器。基于这些属性中的一个或多个,交换机然后可以将物联网端点分类为农业传感器。一旦交换机识别出一组端点共享一个共同的分类,即,它们共享一个或多个共同的属性,则该交换机可以对这些相关端点进行网段划分并将一个或多个策略应用于该组的端点,以便它们可以相互通信和/或共享数据。
一旦物联网端点162已经与相关的物联网端点164、166被进行了网段划分,企业交换机110可以为被进行了网段划分的物联网端点162、164、166创建安全网络覆盖,并且可以跨安全网络覆盖对物联网端点162、164、166实施适用的网络策略。换言之,具有相同/相似类型的端点162、164、166(例如,具有相同属性和/或分类的设备)可以被连接并且可以在安全网络覆盖上彼此安全地通信。在企业中,可以在“每个部门”的基础上建立安全网络覆盖,从而可以限制不同部门中的端点相互通信、访问或传输数据。此外,可以跨一个或多个云扩展应用于物联网端点162以及相关物联网端点164、166的所有策略。
重要的是,本文结合企业交换机110描述的功能不仅用于网络180中的物联网设备160的自组织识别的目的,还用于监控物联网端点160及其在网络180中的活动的目的。换言之,物联网端点160可以被持续监控以确定是否正在传输数据以及正在传输什么数据,从而可以快速识别和解决网络异常。
在一些实施例中,包括物联网端点160的系统100可以进一步与软件定义广域网(SD-WAN)集成,并且管理平台可以导出针对物联网端点160的动态策略映射。通过动态策略映射,与物联网设备的领域相关的现有(和不断增长的)数据可用于动态地分类和识别新端点,并根据这些分类动态地将策略应用于这些端点。管理平台,例如Cisco的vManage平台,可以为每个物联网端点162、164、166、168创建应用服务水平协议(SLA)策略,并确保为被进行了网段划分的物联网端点162、164、166维护一致的网络SLA以通过安全覆盖相互通信。例如,交换机110可以跨多个站点从多个物联网端点收集数据(例如,摄像机数据可以从圣何塞、旧金山和帕洛阿尔托的站点收集)并且可以将这些数据传送到管理平台。管理平台可能识别出多个站点正在中继相同的属性,并且可以动态地创建和管理这些站点的网络,从而每个端点可以在安全覆盖中与其他端点通信。
现在参考图3,其中示出了企业交换机310(对应于图1中的企业交换机110和图2中的210)的框图300。企业交换机310可以包括例如端点识别单元330、属性确定单元340、端点分类单元350、策略应用单元360和网段划分单元370。应当理解,企业交换机310的上述组件中的一个或多个可以对应于虚拟机(未示出)的功能。或者,如上面结合图1和图2所讨论的,虚拟机和/或其对应功能可以托管在企业交换机310之外,但可通信地耦合到企业交换机310。此外,应当理解,企业交换机310的一个或多个组件可以相互通信、与物联网交换机320通信、与ISE 380通信和/或与使用企业交换机310的系统中的任何其他组件、单元和/或模块通信。
继续参考图3,企业交换机310可以通信地耦合到物联网交换机320(企业交换机310通过物联网交换机320来接收关于已经进入网络的物联网端点的信息)和ISE 380(ISE380可以与企业交换机310和/或虚拟机(未示出)的功能结合使用以对物联网端点进行分类,如上所述)。
端点识别单元330可以通过使用多个存储的协议390中与物联网端点相关联的协议390a来识别已经进入网络的物联网端点。企业交换机310可以支持多种协议,例如包括CIP、PROFINET、OPC-UA、Modbus、BACnet、SCADA,以及本领域现有或开发的任何定制或专有协议。属性确定单元340可以确定与端点识别单元330所识别出的物联网端点相关联的一个或多个属性。属性可以包括标识符,例如资产ID、设备类型、Mac地址、IP地址、产品ID、协议、供应商ID、传输的数据类型等。
继续参考图3,端点分类单元350可以基于属性确定单元340所确定的属性来对物联网端点进行分类。在一些实施例中,企业交换机310可以将属性确定单元340所确定的属性发布到ISE 380。ISE 380可以使用由属性确定单元340提供的属性信息来对物联网端点分类和/或剖析物联网端点。
在某些实施例中,ISE 380可以使用物联网端点的一个或多个属性和/或分类来对物联网端点应用一个或多个策略以及可以应用到该分类的任何组织安全要求。在其他实施例中,ISE 380可以将配置(profile)信息传送回企业交换机310,并且策略应用单元360可以将一个或多个策略应用到物联网端点。在更进一步的实施例中,企业交换机310本身可以对物联网端点进行配置并且将一个或多个策略应用到物联网端点。
网段划分单元370可识别网络中具有与所识别出的物联网端点相同的分类和/或属性的一个或多个相关物联网端点,并启动对所识别出的物联网端点与相关物联网端点进行网段划分。策略应用单元360可以将与相关物联网端点相关联的任何策略应用到所识别出的物联网端点,或者在可应用新策略的情况下,可以将新策略应用到给定网段中的所有物联网端点。
根据一个实施例,企业交换机310可以包括建立在软件定义访问(SDA)技术上的高密度交换机。与传统交换机不同,具有SDA框架的企业交换机310可以通过单个网络结构提供跨有线和无线网络的自动化端到端网段划分、分析、自动化用户和设备策略功能。
此外,企业交换机310可以包括图3中未示出的与物联网设备的管理相关的各种功能。例如,企业交换机310可以自动创建安全的特定于物联网端点的覆盖;可以为物联网端点实施网络策略,包括哪个端点可以与其他(一个或多个)端点通信以及可以何时通信;可以防止恶意物联网设备加入网络覆盖;可以提供盒子遥测,包括针对物联网端点的带宽预留;可以为云中的物联网端点提供深度遥测,从而可以在云中分析任何端点故障;并且可以启用对物联网端点的深度学习,以帮助物联网设备进行自动故障排除。
现在参考图4,其中示出了根据本公开的用于识别物联网端点和为物联网端点应用策略的方法400。在步骤410,该方法可以开始。在步骤420,企业交换机可以使用与物联网端点相关联的一个或多个协议来识别该物联网端点。企业交换机支持的协议可以包括,例如,CIP、PROFINET、OPC-UA、Modbus、BACnet、SCADA等。协议还可以包括本领域已知或以后开发的定制或专有协议。在步骤430,企业交换机可以确定与所识别出的物联网端点相关联的一个或多个属性。与物联网端点相关联的属性可以包括与资产ID、设备类型、Mac地址、IP地址、产品ID、协议、供应商ID、传输的数据类型等有关的信息。在步骤440,企业交换机可以基于所确定的属性对物联网端点进行分类。在一些实施例中,企业交换机可以对物联网端点进行分类。在其他实施例中,企业交换机可以启动ISE以完成分类。在步骤450,可以基于该物联网端点的分类而将一个或多个策略应用于该物联网端点。
在步骤460,确定网络中是否存在具有与步骤420中所识别出的物联网端点相同的分类和/或属性的任何附加的和/或相关的物联网端点。如果在网络中没有识别出相关的物联网端点,则该方法可以在步骤490结束。然而,如果在网络中发现具有与在步骤420中所识别出的物联网端点相同的分类和/或属性的一个或多个相关物联网端点,则该方法可以进行到步骤470,其中企业交换机可以对在步骤420中所识别出的物联网端点与网络中的相关物联网端点进行网段划分。在步骤480,企业交换机可以将一个或多个策略应用到被进行了网段划分的该群组中的一个或多个物联网端点。在步骤490,该方法可以结束。
图4的方法还可以包括以下步骤(未示出):识别授权的非物联网设备并将其与被进行了网段划分的物联网端点通信地耦合,这为步骤420中所识别出的物联网端点和在步骤470中被进行了网段划分的相关的物联网端点创建安全网络覆盖;跨安全网络覆盖对被进行了网段划分的物联网端点实施网络策略;将被进行了网段划分的物联网端点集成到SD-WAN中;并跨一个或多个云扩展应用于被进行了网段划分的物联网端点的策略。
图1-图3中描述的系统和图4中描述的方法可用于应用为网络中不同类型的端点定制的策略。例如,在某些实施例中,本公开中公开的企业交换机可用于向/从网络内的物联网端点传送流量,例如企业网络或SD-WAN。端点的示例可包括安全摄像机、视频会议摄像机、门禁设备(例如,徽章阅读器、指纹扫描仪等)、楼宇管理系统(例如,空调控制器、电灯开关等)、信用卡扫描仪、打印机、医疗设备(例如,X光机)、冰箱、洗衣机、音乐播放器和/或其他类型的设备。取决于端点的类型,物联网端点可以部署在任何合适的环境中,例如企业、零售店、医院、大学、机场、家庭等。
当一个新的端点插入网络时,交换机可以根据其属性对端点进行分类。例如,当用户插入新的端点(例如安全摄像机)时,交换机可能会使用资产ID、设备类型、MAC地址(可能指示摄像头的制造商)、互联网协议(IP)地址、产品ID、协议、供应商ID、传输的数据类型和/或其他属性来将新端点分类为安全摄像机(而不是例如视频会议摄像机或其他类型的端点)。然后,交换机可以将安全摄像机划分到安全摄像机网段。交换机可以确定应用于安全摄像机网段的一个或多个策略,并且可以自动将那些策略应用到新的安全摄像机。在一个实施例中,策略可以指示哪些端点可以与安全摄像机通信。例如,该策略可能允许安全摄像机与其他和安全相关的端点(例如保安的工作站)进行通信,但可能会阻止安全摄像机与和安全无关的端点(例如冰箱或营销员工的工作站)进行通信。在另一个实施例中,策略可以指示安全摄像机被允许在各种网络条件下使用多少带宽。在另一个实施例中,策略可以指示可以从安全摄像机收集的遥测数据的类型和/或何时或多久收集某些类型的遥测数据。
通过基于属性对端点进行网段分段,可以定期更新策略并将其推送到具有给定属性的每个端点。在一个实施例中,当端点最初插入端口时,交换机可以识别该端点。然后,交换机可以将相应的端口与该类型端点的网段相关联,并可以定期将该网段特定的策略推送到该端口。响应于检测到端点已从端口拔出,交换机可以解除端口与该网段的关联。
作为策略更新的一个示例,公司可能希望将策略推送给其徽章阅读器,以防止在工作时间之后建立访问权限。公司稍后可能会决定更新策略,使得拥有某些徽章(例如,员工徽章)的个人可以在工作时间后进入楼宇,但持有其他徽章(例如,承包商徽章)的个人只能在工作时间进入楼宇。公司可能会相应地更新策略,并将新策略推送到徽章阅读器网段,以便为所有徽章阅读器提供更新的策略。作为另一个示例,当雇用新员工时,公司可能会向徽章阅读器推送带有新徽章编号的策略。
基于端点的属性进行的网段划分可用于创建访问相同底层网络资源的不同类型端点的分离。这可以提供对哪些用户可以访问端点、哪些端点可以相互通信、端点可以消耗多少带宽、在各种网络条件下为端点保留多少带宽等的控制。例如,医院定义了一个用于外科手术的医疗设备网段和一个用于候诊室的娱乐设备网段,可以对这些网段应用策略,以确保医疗设备网段可以保留足够的带宽并防止娱乐设备使用医疗设备网段所需的带宽。
网段划分还可用于收集和监控每个网段的遥测数据。例如,虽然遥测数据可以从多个端点(其中一些可能相关而一些可能不相关)收集,但系统可以评估与具有相关端点的特定网段(例如安全摄像机网段)相关联的遥测数据,以确定关于以下的见解:网络上有多少安全摄像机、安全摄像机的位置以及安全摄像机的性能。使用来自特定网段的遥测数据可以允许系统确定策略更新或其他更改何时是有益的。例如,如果一个安全摄像机与该网段中的其他安全摄像机相比正在生成不寻常的遥测数据(例如,数据过多、数据过少、异常/意外数据),这可能表明该安全摄像机需要维修或更换。遥测数据也可用于网络规划,例如,确定何时增加网络资源。在一个实施例中,遥测数据可以指示交换机何时耗尽容量并且应该用更高容量的交换机替换。
在某些实施例中,本公开中描述的交换机还可用于检测恶意设备。例如,策略可能表明公司仅使用某些类型的摄像头来确保安全。如果交换机检测到具有一个或多个属性的摄像机与授权安全摄像头的属性(例如,MAC地址、产品ID、供应商和/或其他属性)不匹配,则交换机可以将该摄像机识别为恶意设备,并阻止该摄像机加入安全摄像头网段。在实施例中,交换机可以向系统管理员发送已检测到恶意设备的通知。应当理解,提供前述示例仅用于说明目的,并且本公开考虑了源自和/或涉及如本文所述的对物联网端点进行自动网段划分和应用策略的大量应用。
现在参考图5,其中示出了示例计算机系统500。在特定实施例中,一个或多个计算机系统500执行本文描述或说明的一种或多种方法的一个或多个步骤。在特定实施例中,一个或多个计算机系统500提供本文描述或说明的功能。在特定实施例中,在一个或多个计算机系统500上运行的软件执行本文描述或说明的一种或多种方法的一个或多个步骤,或者提供本文描述或说明的功能。特定实施例包括一个或多个计算机系统500的一个或多个部分。在适当的情况下,对计算机系统的引用可以涵盖计算设备,反之亦然。此外,在适当的情况下,对计算机系统的引用可以涵盖一个或多个计算机系统。
本公开考虑了任何合适数量的计算机系统500。本公开考虑采用任何合适的物理形式的计算机系统500。作为示例而非限制,计算机系统500可以是嵌入式计算机系统、芯片上系统(SOC)、单板计算机系统(SBC)(例如,计算机模块(COM)、或系统级模块(SOM))、台式计算机系统、膝上型计算机或笔记本计算机系统、交互式信息亭、大型机、计算机系统网状网络、移动电话、个人数字助理(PDA)、服务器、平板电脑系统、增强/虚拟现实设备、或其中两者或更多者的组合。在适当的情况下,计算机系统500可以包括一个或多个计算机系统500;是单一的或分布式的;跨越多个位置;跨越多台机器;跨越多个数据中心;或驻留在云中,该云可能包括一个或多个网络中的一个或多个云组件。在适当的情况下,一个或多个计算机系统500可以在没有实质空间或时间限制的情况下执行本文描述或说明的一种或多种方法的一个或多个步骤。作为示例而非限制,一个或多个计算机系统500可以实时或以批处理模式执行本文描述或说明的一种或多种方法的一个或多个步骤。在适当的情况下,一个或多个计算机系统500可以在不同时间或在不同位置执行本文描述或说明的一种或多种方法的一个或多个步骤。
在特定实施例中,计算机系统500包括处理器502、存储器504、存储装置506、输入/输出(I/O)接口508、通信接口510和总线512。尽管本公开描述和说明了具有特定布置中的特定数量的特定组件的特定计算机系统,但是本公开设想了具有任意合适布置中的任何合适数量的任何合适组件的任何合适计算机系统。
在特定实施例中,处理器502包括用于执行指令的硬件,指令例如构成计算机程序的那些指令。作为示例而非限制,为了执行指令,处理器502可以从内部寄存器、内部高速缓存、存储器504或存储装置506检索(或获取)指令;解码并执行它们;然后将一个或多个结果写入内部寄存器、内部高速缓存、存储器504或存储装置506。在特定实施例中,处理器502可以包括用于数据、指令或地址的一个或多个内部高速缓存。在适当的情况下,本公开设想处理器502包括任何合适数量的任何合适的内部高速缓存。作为示例而非限制,处理器502可以包括一个或多个指令高速缓存、一个或多个数据高速缓存以及一个或多个转换后备缓冲器(TLB)。指令高速缓存中的指令可以是存储器504或存储装置506中的指令的副本,并且指令高速缓存可以加速处理器502对那些指令的检索。数据高速缓存中的数据可以是:存储器504或存储装置506中的数据副本,以供在处理器502处执行的指令对其进行操作;在处理器502处执行的先前指令的结果,以供在处理器502处执行的后续指令访问或用于写入存储器504或存储装置506;或其他合适的数据。数据高速缓存可以加速处理器502的读取或写入操作。TLB可以加速处理器502的虚拟地址转换。在特定实施例中,处理器502可以包括用于数据、指令或地址的一个或多个内部寄存器。在适当的情况下,本公开设想处理器502包括任何合适数量的任何合适的内部寄存器。在适当的情况下,处理器502可以包括一个或多个算术逻辑单元(ALU);可以是多核处理器;或者可以包括一个或多个处理器502。尽管本公开描述和说明了特定处理器,但本公开考虑了任何合适的处理器。
在特定实施例中,存储器504包括用于存储供处理器502执行的指令或供处理器502操作的数据的主存储器。作为示例而非限制,计算机系统500可以将指令从存储装置506或另一个源(例如另一个计算机系统500)加载到存储器504。处理器502然后可以将指令从存储器504加载到内部寄存器或内部高速缓存。为了执行指令,处理器502可以从内部寄存器或内部高速缓存中检索指令并将它们解码。在指令执行期间或之后,处理器502可以将一个或多个结果(其可以是中间或最终结果)写入内部寄存器或内部高速缓存。处理器502然后可以将这些结果中的一个或多个写入存储器504。在特定实施例中,处理器502仅执行一个或多个内部寄存器或内部高速缓存或存储器504(与存储装置506或其他地方相对)中的指令并且仅对一个或多个内部寄存器或内部高速缓存或存储器504(与存储装置506或其他地方相对)中的数据进行操作。一个或多个存储器总线(其可以各自包括地址总线和数据总线)可以将处理器502耦合到存储器504。总线512可以包括一个或多个存储器总线,如下所述。在特定实施例中,一个或多个存储器管理单元(MMU)驻留在处理器502和存储器504之间,并促进对处理器502请求的对存储器504的访问。在特定实施例中,存储器504包括随机存取存储器(RAM);在适当的情况下,该RAM可以是易失性存储器。在适当的情况下,该RAM可以是动态RAM(DRAM)或静态RAM(SRAM)。此外,在适当的情况下,该RAM可以是单端口或多端口RAM。本公开考虑了任何合适的RAM。在适当的情况下,存储器504可以包括一个或多个存储器504。尽管本公开描述和说明了特定的存储器,但本公开考虑了任何合适的存储器。
在特定实施例中,存储装置506包括用于数据或指令的大容量存储器。作为示例而非限制,存储装置506可以包括硬盘驱动器(HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动器或其中两者或更多者的组合。在适当的情况下,存储装置506可以包括可移除或不可移除(或固定)介质。在适当的情况下,存储装置506可以在计算机系统500的内部或外部。在特定实施例中,存储装置506是非易失性固态存储器。在特定实施例中,存储装置506包括只读存储器(ROM)。在适当的情况下,该ROM可以是掩模编程ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可更改ROM(EAROM)或闪存或其中两者或更多者的组合。本公开考虑采用任何合适的物理形式的大容量存储装置506。在适当的情况下,存储装置506可以包括便于处理器502和存储装置506之间通信的一个或多个存储器控制单元。在适当的情况下,存储装置506可以包括一个或多个存储装置506。尽管本公开描述并说明了特定的存储装置,但本公开考虑了任何合适的存储装置。
在特定实施例中,I/O接口508包括硬件、软件或这两者都包括,为计算机系统500和一个或多个I/O设备之间的通信提供一个或多个接口。在适当的情况下,计算机系统500可以包括这些I/O设备中的一个或多个。这些I/O设备中的一个或多个可以实现人和计算机系统500之间的通信。作为示例而非限制,I/O设备可以包括键盘、小键盘、麦克风、监视器、鼠标、打印机、扫描仪、扬声器、静物照相机、触控笔、平板电脑、触摸屏、轨迹球、摄像机、另一个合适的I/O设备、或其中两者或更多者的组合。I/O设备可以包括一个或多个传感器。本公开考虑了任何合适的I/O设备和用于它们的任何合适的I/O接口508。在适当的情况下,I/O接口508可以包括使处理器502能够驱动这些I/O设备中的一个或多个的一个或多个设备或软件驱动程序。在适当的情况下,I/O接口508可以包括一个或多个I/O接口508。尽管本公开描述和说明了特定的I/O接口,但本公开考虑了任何合适的I/O接口。
在特定实施例中,通信接口510包括硬件、软件或这两者都包括,提供一个或多个接口用于计算机系统500与一个或多个其他计算机系统500或一个或多个网络之间的通信(例如,基于分组的通信)。作为示例而非限制,通信接口510可以包括用于与以太网或其他基于有线的网络通信的网络接口控制器(NIC)或网络适配器,或者用于与无线网络(例如,WI-FI网络)通信的无线NIC(WNIC)或无线适配器。本公开考虑了任何合适的网络和用于其的任何合适的通信接口510。作为示例而非限制,计算机系统500可以与以下网络通信:自组织网络、个域网(PAN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、SD-WAN、或互联网的一个或多个部分、或其中两者或更多者的组合。这些网络中的一个或多个的一个或多个部分可以是有线的或无线的。作为示例,计算机系统500可以与以下网络通信:无线PAN(WPAN)(例如,BLUETOOTH WPAN)、WI-FI网络、WI-MAX网络、蜂窝电话网络(例如,全球移动通信系统(GSM)网络、长期演进(LTE)网络、或5G网络)、或其他合适的无线网络、或其中两者或更多者的组合。在适当的情况下,计算机系统500可以包括用于任何这些网络的任何合适的通信接口510。在适当的情况下,通信接口510可以包括一个或多个通信接口510。尽管本公开描述和说明了特定的通信接口,但本公开考虑了任何合适的通信接口。
在特定实施例中,总线512包括将计算机系统500的组件彼此耦合的硬件、软件或这两者都包括。作为示例而非限制,总线512可以包括加速图形端口(AGP)或其他图形总线、增强型工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、INFINIBAND互连、低引脚数(LPC)总线、存储器总线、微通道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCIe)总线、串行高级技术附接(SATA)总线、视频电子标准协会本地(VLB)总线、或另一个合适的总线、或其中两者或更多者的组合。在适当的情况下,总线512可以包括一个或多个总线512。尽管本公开描述和说明了特定总线,但本公开考虑了任何合适的总线或互连。
在适当的情况下,在本文中,一个或多个计算机可读非暂态存储介质可以包括一个或多个基于半导体的或其他的集成电路(IC)(例如,现场可编程门阵列(FPGA)或应用专用IC(ASIC))、硬盘驱动器(HDD)、混合硬盘驱动器(HHD)、光盘、光盘驱动器(ODD)、磁光盘、磁光驱动器、软盘、软盘驱动器(FDD)、磁带、固态驱动器(SSD)、RAM驱动器、安全数字卡或驱动器、任何其他合适的计算机可读非暂态存储介质、或其中两者或更多者的任何合适组合。在适当的情况下,计算机可读非暂态存储介质可以是易失性、非易失性、或易失性和非易失性的组合。
总之,本公开针对管理工业物联网端点并且包括一个或多个处理器和一个或多个计算机可读非暂态存储介质,该存储介质耦合到一个或多个处理器并且包括指令,当指令由一个或多个处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别的第一端点的分类,识别与第一端点具有相同分类的一个或多个相关端点,对第一端点与所识别的一个或多个相关端点进行网段划分,并将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
在本文中,“或”是包含性而非排他性的,除非另有明确说明或上下文另有说明。因此,在本文中,“A或B”是指“A、B或A和B”,除非另有明确说明或上下文另有说明。此外,“和”既是联合的又是分别的,除非另有明确说明或上下文另有说明。因此,在本文中,“A和B”是指“A和B,联合地或分别地”,除非另有明确说明或上下文另有说明。
本公开的范围包括本领域普通技术人员将理解的对本文描述或说明的示例实施例的所有改变、替换、变化、变更和修改。本公开的范围不限于本文描述或说明的示例实施例。此外,尽管本公开将本文中的各个实施例描述和说明为包括特定组件、元件、特征、功能、操作或步骤,但是这些实施例中的任何一个可以包括任何组件、元件、特征、功能、操作的任何组合或排列,或本领域普通技术人员将理解的本文任何地方描述或说明的步骤。此外,在所附权利要求中对适配成、布置成、能够、配置成、被使得能够、能操作或可操作以执行特定功能的设备或系统或设备或系统的组件的引用涵盖该设备、系统、组件,无论该设备、系统、组件或该特定功能是否被激活、打开或解锁,只要该设备、系统或组件如此适配、布置、能够、配置、被使得能够、能操作或可操作。此外,尽管本公开将特定实施例描述或说明为提供特定优势,但特定实施例可不提供这些优势、提供这些优势中的一些或提供所有这些优势。
本文所公开的实施例仅是示例,本公开的范围不限于这些实施例。特定实施例可包括本文公开的实施例的所有组件、元件、特征、功能、操作或步骤、这些组件、元件、特征、功能、操作或步骤中的一些或不包括这些组件、元件、特征、功能、操作或步骤。根据本公开的实施例具体公开在针对方法、存储介质、系统和计算机程序产品的所附权利要求中,其中在一个权利要求类别(例如,方法)中提及的任何特征也可以在另一个权利要求类别(例如,系统)中要求保护。仅出于形式原因选择了所附权利要求中的从属关系或引用。然而,由于有意回溯到任何先前的权利要求(特别是多重从属关系)而产生的任何主题也可以被要求保护,使得权利要求及其特征的任何组合都被公开并且可以被要求保护,而不管在所附权利要求中选择的从属关系如何。可以要求保护的主题不仅包括如所附权利要求中所述的特征的组合,还包括权利要求中的任何其他特征组合,其中权利要求中提到的每个特征可以与任何其他特征或权利要求中的其他特征的组合结合。此外,本文描述或描绘的任何实施例和特征可以在单独的权利要求中和/或与本文描述或描绘的任何实施例或特征或与所附权利要求的任何特征的任何组合中要求保护。
Claims (23)
1.一种系统,包括:
一个或多个处理器;和
一个或多个计算机可读非暂态存储介质,耦合到所述一个或多个处理器并且包括指令,所述指令当由所述一个或多个处理器执行时使一个或多个交换机执行操作,所述操作包括:
使用与第一端点相关联的协议来识别所述第一端点;
基于所述第一端点的一个或多个属性,确定所识别出的所述第一端点的分类;
识别与所述第一端点具有共同的分类的一个或多个相关端点;
对所述第一端点与所识别出的所述一个或多个相关端点进行网段划分;以及
将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点。
2.根据权利要求1所述的系统,所述操作还包括:
应用策略以将所述第一端点与所识别出的所述一个或多个相关端点进行通信地连接。
3.根据权利要求1或2所述的系统,其中所述一个或多个交换机包括虚拟机,并且其中所述虚拟机能够执行所述操作,包括使用与所述第一端点相关联的协议来识别所述第一端点以及识别与所述第一端点具有共同的分类的所述一个或多个相关端点。
4.根据权利要求1至3中任一项所述的系统,所述操作还包括:
为所述第一端点和所识别出的所述一个或多个相关端点创建安全网络覆盖。
5.根据权利要求4所述的系统,所述操作还包括:
跨所述安全网络覆盖对所述第一端点实施网络策略。
6.根据权利要求1至5中任一项所述的系统,所述操作还包括:
将所述第一端点和所识别出的所述一个或多个相关端点集成在软件定义广域网(SD-WAN)中。
7.根据权利要求1至6中任一项所述的系统,所述操作还包括:
跨一个或多个云扩展应用于所述第一端点和所述一个或多个相关端点的所述一个或多个策略。
8.一种方法,包括:
通过一个或多个交换机使用与第一端点相关联的协议来识别所述第一端点;
基于所述第一端点的一个或多个属性,确定所识别出的第一端点的分类;以及
通过一个或多个交换机识别与所述第一端点具有共同的分类的一个或多个相关端点;
对所述第一端点与所识别出的一个或多个相关端点进行划分网段;以及
将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点。
9.根据权利要求8所述的方法,还包括:
应用策略以将所述第一端点与所识别出的一个或多个相关端点进行通信地连接。
10.根据权利要求8或9所述的方法,还包括:
从多个端点收集遥测数据,其中所述多个端点包括所述第一端点、所述一个或多个相关端点、以及与所述第一端点不具有共同的分类的一个或多个不相关端点;以及
将所述遥测数据中指示网段的性能的子集划分成组,其中所述遥测数据的所述子集包括与所述第一端点相关联的遥测数据和与所述一个或多个相关端点相关联的遥测数据,并且排除了与所述不相关端点相关联的遥测数据。
11.根据权利要求8至10中任一项所述的方法,还包括:
为所述第一端点和所识别出的所述一个或多个相关端点创建安全网络覆盖。
12.根据权利要求11所述的方法,还包括:
跨所述安全网络覆盖对所述第一端点实施网络策略。
13.根据权利要求8至12中任一项所述的方法,还包括:
将所述第一端点和所识别出的所述一个或多个相关端点集成在软件定义广域网(SD-WAN)中。
14.根据权利要求8至13中任一项所述的方法,还包括:
跨一个或多个云扩展应用于所述第一端点和所述一个或多个相关端点的所述一个或多个策略。
15.一个或多个计算机可读非暂态存储介质,包含指令,所述指令当由处理器执行时使一个或多个交换机执行操作,该操作包括:
使用与第一端点相关联的协议来识别所述第一端点;
基于所述第一端点的一个或多个属性,确定所识别出的第一端点的分类;
识别与所述第一端点具有共同的分类的一个或多个相关端点;
对所述第一端点与所识别出的一个或多个相关端点进行网段划分;以及
将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点。
16.根据权利要求15所述的一个或多个计算机可读非暂态存储介质,所述操作还包括:
应用策略以将所述第一端点与所识别出的所述一个或多个相关端点进行通信地连接。
17.根据权利要求15或16所述的一个或多个计算机可读非暂态存储介质,所述操作还包括:
为所述第一端点和所识别出的所述一个或多个相关端点创建安全网络覆盖。
18.根据权利要求17所述的一个或多个计算机可读非暂态存储介质,所述操作还包括:
跨所述安全网络覆盖对所述第一端点实施网络策略。
19.根据权利要求15至18中任一项所述的一个或多个计算机可读非暂态存储介质,所述操作还包括:
将所述第一端点和所识别出的所述一个或多个相关端点集成在软件定义广域网(SD-WAN)中。
20.根据权利要求15至19中任一项所述的一个或多个计算机可读非暂态存储介质,所述操作还包括:
跨一个或多个云扩展应用于所述第一端点的所述一个或多个策略。
21.一种设备,包括:
用于通过一个或多个交换机使用与第一端点相关联的协议来识别所述第一端点的装置;
用于基于所述第一端点的一个或多个属性来确定所识别出的所述第一端点的分类的装置;和
用于通过一个或多个交换机识别与所述第一端点具有共同的分类的一个或多个相关端点的装置;
用于对所述第一端点与所识别出的所述一个或多个相关端点进行网段划分的装置;以及
用于将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点的装置。
22.根据权利要求21所述的设备,还包括:用于实施根据权利要求9至14中任一项所述的方法的装置。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当由计算机执行时使所述计算机执行根据权利要求8至14中任一项所述的方法的步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/739,442 | 2020-01-10 | ||
US16/739,442 US11411765B2 (en) | 2020-01-10 | 2020-01-10 | Automating a software-defined wide area network policy for internet of things end points |
PCT/US2020/066587 WO2021141772A1 (en) | 2020-01-10 | 2020-12-22 | Automating a software-defined wide area network policy for internet of things end points |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114902627A true CN114902627A (zh) | 2022-08-12 |
CN114902627B CN114902627B (zh) | 2024-05-14 |
Family
ID=74206166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080092135.9A Active CN114902627B (zh) | 2020-01-10 | 2020-12-22 | 为物联网端点自动化软件定义广域网策略 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11411765B2 (zh) |
EP (1) | EP4088428A1 (zh) |
CN (1) | CN114902627B (zh) |
WO (1) | WO2021141772A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210306359A1 (en) * | 2020-03-28 | 2021-09-30 | Dell Products L.P. | Intelligent detection and prevention of anomalies in interface protocols |
US11637737B2 (en) * | 2020-10-23 | 2023-04-25 | Dell Products L.P. | Network data management framework |
US11606435B1 (en) * | 2021-03-15 | 2023-03-14 | Amdocs Development Limited | System, method, and computer program for establishing application interfaces in an echo system |
CN113992504B (zh) * | 2021-11-03 | 2024-03-26 | 中交信通网络科技有限公司 | 一种基于工业互联网标识解析的网络传输设备管理方法 |
GB2619318A (en) * | 2022-05-31 | 2023-12-06 | Iotic Labs Ltd | Classification and functionality of IOT devices |
US11843579B1 (en) | 2022-06-06 | 2023-12-12 | Netskope, Inc. | Steering logic for policy enforcement on IoT devices |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842058A (zh) * | 2005-03-29 | 2006-10-04 | 朗迅科技公司 | 在基于分组的接入网中管理基于网际协议的资源 |
US20170288952A1 (en) * | 2015-02-10 | 2017-10-05 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
US20180270229A1 (en) * | 2017-03-20 | 2018-09-20 | Forescout Technologies, Inc. | Device identification |
CN109076028A (zh) * | 2016-05-19 | 2018-12-21 | 思科技术公司 | 异构软件定义网络环境中的微分段 |
CN109213456A (zh) * | 2017-06-30 | 2019-01-15 | 大数据奥尼尔公司 | 管理一批设备 |
US20190158465A1 (en) * | 2017-11-17 | 2019-05-23 | ShieldX Networks, Inc. | Systems and Methods for Managing Endpoints and Security Policies in a Networked Environment |
US20190319950A1 (en) * | 2018-04-12 | 2019-10-17 | Bank Of America Corporation | Apparatus and methods for micro-segmentation of an enterprise internet-of-things network |
CN110417570A (zh) * | 2018-04-30 | 2019-11-05 | 慧与发展有限责任合伙企业 | 用于通过网络配置和管理物联网设备的方法和系统 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9179007B1 (en) * | 2013-09-27 | 2015-11-03 | Juniper Networks, Inc. | Analytics triggered subscriber policies |
US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
US10397043B2 (en) * | 2015-07-15 | 2019-08-27 | TUPL, Inc. | Wireless carrier network performance analysis and troubleshooting |
WO2017024100A1 (en) * | 2015-08-04 | 2017-02-09 | Convida Wireless, Llc | Internet of things end-to-end service layer quality of service management |
KR102000416B1 (ko) | 2016-05-09 | 2019-07-15 | 스트롱 포스 아이오티 포트폴리오 2016, 엘엘씨 | 산업용 사물 인터넷을 위한 방법들 및 시스템들 |
US11115283B2 (en) * | 2016-09-30 | 2021-09-07 | Intel Corporation | Geographic service classification and routing |
US10320619B2 (en) * | 2016-11-12 | 2019-06-11 | Solana Networks Inc. | Method and system for discovery and mapping of a network topology |
US10965621B2 (en) * | 2016-12-15 | 2021-03-30 | At&T Intellectual Property I, L.P. | Application-based multiple radio access technology and platform control using SDN |
US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
US10425449B2 (en) | 2017-02-15 | 2019-09-24 | Dell Products, L.P. | Classifying internet-of-things (IOT) gateways using principal component analysis |
US10454774B2 (en) | 2017-05-04 | 2019-10-22 | Servicenow, Inc. | Automated inventory for IoT devices |
WO2019018672A1 (en) * | 2017-07-19 | 2019-01-24 | Ceasa Group, Llc | SYSTEMS AND METHODS FOR INTELLIGENT OBJECT INTERNET SYNDICATION DATA (IOT) ENABLING ENHANCED IO DEVICE SERVICES AND FUNCTIONALITY INDEPENDENT OF APPLICATION AND PROVIDER |
EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
US10932322B2 (en) * | 2018-02-23 | 2021-02-23 | Cisco Technology, Inc. | Policy mapping methods and apparatus for use in interconnecting software-defined wide area network (SD-WAN) fabrics with mobile networks for communications with UEs |
JP7098000B2 (ja) * | 2018-06-18 | 2022-07-08 | パロ アルト ネットワークス,インコーポレイテッド | IoTセキュリティにおけるパターンマッチングベースの検出 |
US10797965B2 (en) * | 2018-07-30 | 2020-10-06 | Dell Products L.P. | Dynamically selecting or creating a policy to throttle a portion of telemetry data |
-
2020
- 2020-01-10 US US16/739,442 patent/US11411765B2/en active Active
- 2020-12-22 WO PCT/US2020/066587 patent/WO2021141772A1/en unknown
- 2020-12-22 CN CN202080092135.9A patent/CN114902627B/zh active Active
- 2020-12-22 EP EP20845474.4A patent/EP4088428A1/en active Pending
-
2022
- 2022-08-08 US US17/882,752 patent/US20220376982A1/en active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842058A (zh) * | 2005-03-29 | 2006-10-04 | 朗迅科技公司 | 在基于分组的接入网中管理基于网际协议的资源 |
US20170288952A1 (en) * | 2015-02-10 | 2017-10-05 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
CN109076028A (zh) * | 2016-05-19 | 2018-12-21 | 思科技术公司 | 异构软件定义网络环境中的微分段 |
US20180270229A1 (en) * | 2017-03-20 | 2018-09-20 | Forescout Technologies, Inc. | Device identification |
CN109213456A (zh) * | 2017-06-30 | 2019-01-15 | 大数据奥尼尔公司 | 管理一批设备 |
US20190158465A1 (en) * | 2017-11-17 | 2019-05-23 | ShieldX Networks, Inc. | Systems and Methods for Managing Endpoints and Security Policies in a Networked Environment |
US20190319950A1 (en) * | 2018-04-12 | 2019-10-17 | Bank Of America Corporation | Apparatus and methods for micro-segmentation of an enterprise internet-of-things network |
CN110417570A (zh) * | 2018-04-30 | 2019-11-05 | 慧与发展有限责任合伙企业 | 用于通过网络配置和管理物联网设备的方法和系统 |
Non-Patent Citations (1)
Title |
---|
庄炜, 顾婷: "用虚拟局域网构建和管理局域网", 中国数据通信, no. 12, 20 December 2002 (2002-12-20) * |
Also Published As
Publication number | Publication date |
---|---|
US20220376982A1 (en) | 2022-11-24 |
WO2021141772A1 (en) | 2021-07-15 |
CN114902627B (zh) | 2024-05-14 |
EP4088428A1 (en) | 2022-11-16 |
US20210218594A1 (en) | 2021-07-15 |
US11411765B2 (en) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114902627B (zh) | 为物联网端点自动化软件定义广域网策略 | |
JP7205994B2 (ja) | モノのインターネット | |
CN106599694B (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
US11522835B2 (en) | Context based firewall service for agentless machines | |
US20190391971A1 (en) | Technologies for providing attestation of function as a service flavors | |
CN106489251B (zh) | 应用拓扑关系发现的方法、装置和系统 | |
CA3157204A1 (en) | Systems and methods for dynamically generating a mobile software-defined wide area network gateway location for remote users | |
US10855655B2 (en) | System and method for providing secure and redundant communications and processing for a collection of internet of things (IOT) devices | |
US8130641B2 (en) | Methods and systems for managing network traffic within a virtual network system | |
US10805163B2 (en) | Identifying device types based on behavior attributes | |
US9246774B2 (en) | Sample based determination of network policy violations | |
US20200162319A1 (en) | Switch triggered traffic tracking | |
US9565194B2 (en) | Utilizing a social graph for network access and admission control | |
US11055116B2 (en) | Managing virtual desktop infrastructure data sharing | |
CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
US20180368007A1 (en) | Security orchestration and network immune system deployment framework | |
CN108319357A (zh) | 用以关闭系统的多个主动元件的电源的方法及伺服器系统 | |
CN103685608A (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
CN115567398A (zh) | 一种数据中心网络构建系统及其实现方法 | |
US10778574B2 (en) | Smart network interface peripheral cards | |
US20210312271A1 (en) | Edge ai accelerator service | |
US20240028947A1 (en) | Federated continual learning | |
US20230113327A1 (en) | Scalable fine-grained resource count metrics for cloud-based data catalog service | |
KR101907901B1 (ko) | 저전력 무선 네트워크 설정 장치, 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |