CN115242645A - 将虚拟化网络设备载入基于云的网络保证系统 - Google Patents
将虚拟化网络设备载入基于云的网络保证系统 Download PDFInfo
- Publication number
- CN115242645A CN115242645A CN202210231422.4A CN202210231422A CN115242645A CN 115242645 A CN115242645 A CN 115242645A CN 202210231422 A CN202210231422 A CN 202210231422A CN 115242645 A CN115242645 A CN 115242645A
- Authority
- CN
- China
- Prior art keywords
- network device
- virtualized network
- cloud
- wan
- assurance system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 97
- 230000004044 response Effects 0.000 claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims description 21
- 230000008520 organization Effects 0.000 claims description 20
- 238000013473 artificial intelligence Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 12
- 238000007726 management method Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 21
- 238000012544 monitoring process Methods 0.000 description 18
- 230000009471 action Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 7
- 230000036541 health Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5061—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
- H04L41/5067—Customer-centric QoS measurements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了一种用于将虚拟化网络设备载入基于云的WAN保证系统的技术。例如,虚拟化网络设备从管理多个网络设备的网络设备指挥方接收注册码,用于向基于云的WAN保证系统进行注册。响应于接收到注册码和指令,网络设备向基于云的WAN保证系统发送注册码。基于云的WAN保证系统基于注册码来验证网络设备,并且为网络设备分配独特(例如,唯一)设备标识符,并且向网络设备发送独特设备标识符和秘密密钥。网络设备使用秘密密钥创建与基于云的WAN保证系统的新安全连接,以向WAN保证系统流式传输遥测数据。基于云的WAN保证系统分析网络设备遥测数据,以提供WAN保证。
Description
本申请要求于2021年12月17日提交的美国专利申请号17/645,010的权益,该专利申请要求于2021年4月22日提交的美国临时专利申请号63/178,400的权益,其中上述申请中每个申请的全部内容通过引用而并入本文。
技术领域
本公开总体上涉及计算机网络,并且更具体地提供计算机网络的网络保证。
背景技术
计算机网络是可以交换数据和共享资源的互连计算设备的集合。示例计算设备包括路由器、交换机、和在开放系统互连(OSI)参考模型的层二(即,数据链路层)内操作的其他层二(L2)网络设备、以及在OSI参考模型的层三(即,网络层)内操作的层三(L3)网络设备。计算机网络内的网络设备通常包括提供针对网络设备的控制平面功能的控制单元和用于路由或交换数据单元的转发组件。
发明内容
总体上,本公开描述了用于将虚拟化网络设备自动连接到网络管理系统(诸如,基于云的网络保证系统)以监测网络性能和标识网络故障的技术。虚拟化网络设备可以由在一个或多个虚拟机或容器或其他虚拟执行元素上执行的软件提供。在一些示例中,虚拟化网络设备采用有状态的、基于会话的路由方案,该方案使每个网络设备能够独立地执行路径选择和业务工程。本文中所描述的载入过程适用于载入虚拟化网络设备和基于硬件的网络设备两者。
将虚拟化网络设备载入针对基于云的网络保证的系统的过程在信任模型、可扩展性和广泛采用方面可能具有一些唯一挑战。在虚拟化环境中执行的载入网络设备可能会导致唯一挑战。例如,与具有硬件标识符(诸如,在物理制造过程期间所分配的MAC地址)的常规的基于硬件的路由器或交换机设备相比,虚拟化网络设备本身不具有这样的硬件标识符,因为它具化在物理网络设备上执行的软件中,而不是作为物理网络设备本身。单个物理网络设备上可以存在多个虚拟执行元素在执行,因此虚拟化网络设备在其上运行的物理网络设备的硬件标识符不会是唯一的,并且因此不能用于在基于云的网络保证系统中跟踪虚拟化网络设备。
本公开的技术通过使实例化和管理虚拟化网络设备的指挥方能够向新实例化的虚拟化网络设备提供注册令牌,用于在向基于云的网络保证系统注册时使用、以及用于开始向基于云的网络保证系统的注册过程的指令来解决这些挑战。该技术允许利用指挥方与虚拟化网络设备的受信任状态,并且使虚拟化网络设备的这种信任能够扩展到基于云的网络保证系统。虚拟化网络设备遵循从指挥方接收的指令,并且使用注册令牌向基于云的网络保证系统自动进行自我注册。该技术使基于云的网络保证系统能够注册虚拟化网络设备并且在基于云的网络保证系统的后端创建表示虚拟化网络设备的唯一设备标识符。可以对任何数目的虚拟化网络设备而重复这个过程,从而使每个设备都自动连接到基于云的网络保证系统并且由基于云的网络保证系统自动分配唯一设备标识符。
本公开的技术提供了一个或多个技术优势和实际应用。本公开的技术可以使多个虚拟化网络设备能够自动连接到网络管理系统(诸如,由基于云的广域网(WAN)保证系统提供的)而无需每个网络设备进行手动用户干预。网络管理系统可以包括虚拟网络助理以执行主动分析和关联引擎,该主动分析和关联引擎被配置为,动态地构建和应用无监督的基于机器学习(“基于ML”)的网络模型,以减少或最小化在网络诊断上所花费的资源。在一些示例中,主动分析和关联引擎可以将基于ML的模型应用于所收集的网络事件数据,以提供WAN保证(诸如,通过预测或标识网络系统中的潜在故障)。由网络管理系统提供的WAN保证服务在基于软件的会话感知路由器的上下文中特别高效能,因为这允许将应用感知和租户感知的网络洞察的各个方面并入基于云的WAN保证系统中。
在一个示例方面,一种方法包括:由广域网(WAN)的多个虚拟化网络设备中的每个虚拟化网络设备使用注册码向基于云的WAN保证系统自动注册,该注册码由多个虚拟化网络设备中的每个虚拟化网络设备从创建了多个虚拟化网络设备的指挥方接收,其中指挥方在基于云的WAN保证系统外部;以及由多个虚拟化网络设备中的每个虚拟化网络设备在注册之后向基于云的WAN保证系统发送遥测数据。
在另一示例方面,一种方法包括:响应于从多个虚拟化网络设备中的每个虚拟化网络设备接收到对应设备标识数据,由基于云的广域网(WAN)保证系统针对多个虚拟化网络设备中的每个虚拟化网络设备生成独特设备标识符;由基于云的WAN保证系统将针对虚拟化网络设备中的每个虚拟化网络设备的对应条目添加到设备数据库中,其中每个对应条目包括对应的独特设备标识符;以及由基于云的WAN保证系统向虚拟化网络设备中的每个虚拟化网络设备发送针对相应的虚拟化网络设备的不同的对应独特标识符和用于在向基于云的WAN保证系统发送遥测数据时使用的不同的对应独特加密密钥。
在另一示例方面,一种系统包括用于虚拟化网络设备的处理电路系统;以及可操作地耦合到处理电路系统并且包括被配置为使处理电路系统进行以下操作的指令的存储器:由WAN的多个虚拟化网络设备中的虚拟化网络设备使用注册码向基于云的WAN保证系统自动注册,该注册码由虚拟化网络设备从创建了虚拟化网络设备的指挥方接收,其中指挥方在基于云的WAN保证系统外部;以及在注册之后,向基于云的WAN保证系统发送由虚拟化网络设备获取的遥测数据。
在另一示例方面,一种方法包括:由针对多个虚拟化网络设备的网络设备指挥方接收由基于云的WAN保证系统生成的并且包括组织标识符的注册码,该多个虚拟化网络设被配置为执行基于会话的路由;由网络设备指挥方实例化多个虚拟化网络设备中的第一虚拟化网络设备,其中第一虚拟化网络设备被配置为,执行基于会话的路由;由网络设备指挥方向第一虚拟化网络设备发送注册码;由第一虚拟化网络设备向基于云的WAN保证系统发送设备标识数据,设备标识数据包括:组织标识符、网络设备指挥方的标识符、针对执行虚拟化网络设备的物理设备的标识符和针对虚拟化网络设备的名称。该方法还包括:响应于从第一虚拟化网络设备接收到设备标识数据:由基于云的WAN保证系统将针对第一虚拟化网络设备的条目添加到设备数据库中;由基于云的WAN保证系统经由第一连接向第一虚拟化网络设备发送针对第一虚拟化网络设备的独特标识符和加密密钥;由第一虚拟化网络设备存储针对第一虚拟化网络设备的独特标识符和加密密钥;以及由第一虚拟化网络设备经由与基于云的WAN保证系统的第二连接向基于云的WAN保证系统发送针对第一虚拟化网络设备的遥测数据,该第二连接使用第二加密密钥而被建立。
本公开的技术的一个或多个示例的细节在附图和以下描述中阐述。该技术的其他特征、目的和优点将从描述和附图以及权利要求中变得明显。
附图说明
图1是示出根据本公开的技术的示例计算机网络系统的框图;
图2是示出根据本公开的技术的另一示例计算机网络系统的框图;
图3是示出根据本公开的技术的示例网络管理系统的框图;以及
图4是示出根据本公开的技术的示例操作的流程图。
在整个附图和描述中,相同的附图标记指代相同的元素。
具体实施方式
图1是示出根据本公开的技术的示例计算机网络系统100的框图。在图1的示例中,计算机网络系统100包括网络102A至网络102D(统称为“网络102”),该网络102A至网络102D被配置为向不同客户网络104A至客户网络104B(“客户网络104”)提供广域网(WAN)连接。在一些示例中,网络102是服务提供方网络。尽管在图1的示例中,计算机网络系统100被示出为包括多个互连的网络102,但是在其他示例中,计算机网络系统100可以备选地包括在客户网络104之间提供连接的单个网络。
网络102的网络设备110A至网络设备110I(统称为“网络设备110”)经由客户边缘设备116A至客户边缘设备116C(统称为“CE设备116”)向与客户网络104相关联的源设备112A和112B(统称为“源设备112”)和目的地设备114提供对网络102的访问。网络设备110之间的通信链路可以是以太网、ATM或任何其他合适的网络连接。
网络设备指挥方120是集中式管理和策略引擎,该集中式管理和策略引擎针对分布式网络设备110提供协调、管理和零接触供应,同时维护网络范围的多租户服务和策略数据模型。网络设备指挥方120可以被认为是协调器。在一些示例中,网络设备指挥方120还提供针对网络设备110的监测和分析,而在其他示例中,针对网络设备110的监测和分析仅由基于云的WAN保证系统130提供。基于云的WAN保证系统130向网络102提供WAN保证服务。基于云的WAN保证系统130包括网络管理系统(NMS)136,NMS 136可以对由基于云的WAN保证系统130收集的数据提供基于机器学习的分析。
CE设备116和网络设备110在本文中出于示例的目的被讨论为路由器。然而,本公开的技术可以使用任何网络设备来实现,诸如交换机、路由器、网关、或可以发送和接收网络业务的其他合适的网络设备。例如,客户网络104可以是用于企业的地理上分离的站点的网络。客户网络104中的每个客户网络可以包括附加的客户设备,诸如一个或多个非边缘交换机、路由器、集线器、网关、诸如防火墙的安全设备、入侵检测和/或入侵防御设备、服务器、计算机终端、膝上型计算机、打印机、数据库、诸如蜂窝电话或个人数字助理等无线移动设备、无线接入点、网桥、电缆调制解调器、应用加速器、或图1中未描绘的其他网络设备。图1所示的计算机网络系统100的配置只是示例。例如,计算机网络系统100可以包括任何数目的客户网络104。尽管如此,为了便于描述,图1中仅示出了客户网络104A至客户网络104B。
网络102表示由一个或多个服务提供方拥有和操作的一个或多个可公开访问的计算机网络。服务提供方通常是大型电信实体或公司。网络102中的每个网络通常是大型的层三(L3)计算机网络,其中对后跟数字的层的引用是指开放系统互连(OSI)模型中的对应层。每个网络102都是L3网络,因为它本身支持OSI模型中所描述的L3操作。常见的L3操作包括根据L3协议所执行的操作,诸如互联网协议(IP)。L3在OSI模型中也称为“网络层”,并且在整个本公开中,术语L3可以与短语“网络层”互换使用。
尽管未示出,但是每个网络102可以耦合到由其他提供方管理的一个或多个网络,并且因此可以形成大规模公共网络基础设施(例如,互联网)的部分。因此,客户网络104可以被视为互联网的边缘网络。每个网络102可以向客户网络104内的计算设备(诸如,源设备112和目的地设备114)提供对互联网的访问,并且可以允许客户网络104内的计算设备彼此通信。
尽管为了便于解释而没有示出附加的网络设备,但是计算机网络系统100可以包括附加的网络和/或计算设备,例如一个或多个附加的交换机、路由器、集线器、网关、诸如防火墙的安全设备、入侵检测和/或入侵防御设备、服务器、计算机终端、笔记本计算机、打印机、数据库、诸如蜂窝电话或个人数字助理等无线移动设备、无线接入点、网桥、电缆调制解调器、应用加速器或其他网络设备。此外,虽然计算机网络系统100的元素被示出为直接耦合,但是沿着网络设备110之间的任何通信链路可以包括一个或多个附加网络元素,使得计算机网络系统100的网络元素不直接耦合。
每个网络102通常针对客户网络104提供多个住宅和商业服务,包括住宅和商业类数据服务(通常称为“互联网服务”,因为这些数据服务允许访问被称为互联网的可公开访问的网络的集合)、住宅和商业类电话和/或语音服务、以及住宅和商务类电视服务。
基于会话的路由
在一些示例中,网络设备110采用有状态的基于会话的路由方案,该方案使每个网络设备110能够独立地执行路径选择和业务工程。在一些示例中,网络设备110是会话感知SD-WAN路由器。基于会话的路由的使用可以使网络设备110能够避免使用诸如软件定义网络(SDN)控制器的集中式控制器来执行路径选择和业务工程。以这种方式,网络设备110对于其中使用SDN控制器不可行的大型网络可能更有效并且可扩展。此外,使用基于会话的路由可以使网络设备110能够避免使用隧道,从而通过避免在隧道端点处执行封装和解封装的需要来节省大量网络资源。在一些示例中,网络设备110将基于会话的路由实现为由瞻博网络公司提供的安全矢量路由(SVR)。
如本文所述,网络会话(本文中也称为“会话”)包括前向分组流和/或反向分组流,该前向分组流源自第一设备并且以第二设备为目的地,该反向分组流源自第二设备并且以第一设备为目的地。会话可以是双向的,因为会话可以包括在第一设备与第二设备之间在两个方向上行进的分组(例如,前向分组流和反向分组流)。
例如,当网络设备110A接收到针对源自源设备112A并且以目的地设备114为目的地的流的分组时,网络设备110A确定该分组是否属于新会话(例如,是会话的“第一”分组或“前导”分组)。在一些示例中,网络设备110A确定第一分组的源地址、源端口、目的地地址、目的地端口和协议是否与会话表中的条目匹配。
如果不存在这样的条目,则网络设备110A确定分组属于新会话并且在会话表中创建条目。此外,如果分组属于新会话,则网络设备110A生成针对该会话的会话标识符。会话标识符可以包括例如源设备112A的源地址和源端口、目的设备114的目的地地址和目的地端口、以及由第一分组使用的协议。网络设备110A可以使用会话标识符,以将后续分组标识为属于该会话。
在一些示例中,网络设备110执行针对会话的有状态路由。这意味着网络设备110沿着相同的前向网络路径顺序地转发会话的前向分组流的每个分组。如本文所述,“相同”前向路径是指相同网络设备110,该网络设备110形成在发起分组的设备与分组的目的地设备之间的段或至少一部分(并且不必然是发起分组的设备与分组的目的地设备之间的整个网络路径)。此外,网络设备110沿着相同的返回网络路径顺序地转发会话的返回流的每个分组。针对前向分组流的前向网络路径和返回流的返回网络路径可以是同一路径,也可以是不同路径。通过确保流的每个分组沿着同一路径而被顺序转发,网络设备110在每个网络设备110处维护整个流的状态,从而能够使用有状态的分组服务,诸如深度分组检查(DPI)。
在图1的示例中,可以建立从入口网络设备110A通过中间网络设备110B至中间网络设备110H到出口网络设备110I的有状态的路由会话。在该示例中,网络设备110A确定第一分组是未修改分组并且是新会话的第一分组。网络设备110A修改第一分组,以包括指定会话标识符(例如,原始源地址、源端口、目的地地址和目的地端口)的元数据。网络设备110A替换所修改的第一分组的报头,以指定作为网络设备110A的地址的源地址、作为网络设备110A向目的地设备114转发所修改的第一分组所经由的端口的源端口、作为网络设备110A向下一跳的地址转发第一分组的目的地地址(例如,网络设备110B的地址)、以及作为网络设备110A向下一跳的端口转发第一分组的目的地端口(例如,网络设备110B的端口)。
网络设备110A还可以标识与会话相关联的网络服务。例如,网络设备110A可以将针对会话的源地址、源端口、目的地地址或目的地端口中的一个或多个与服务地址和端口信息的表进行比较,以标识与会话相关联的服务。网络服务的示例包括超文本传输协议(HTTP)、防火墙服务、代理服务、分组监测或指标服务等。例如,如果针对会话的源端口和/或目的地端口是80,则网络设备可以确定会话与HTTP相关联。在其他示例中,网络设备110A可以确定针对会话的源地址、源端口、目的地地址或目的地端口中的一个或多个属于指示特定服务与会话相关联的地址块或端口。
在一些示例中,网络设备110A使用针对会话的所确定的网络服务以选择转发路径,用于向目的地设备114转发第一分组和每个后续分组。以这种方式,网络设备110A可以执行服务特定路径选择,以选择最适合服务要求的网络路径。与使用SDN控制器以执行路径选择的网络拓扑相比,每个网络设备110执行路径选择。此外,与只能在流级别做出路由决定的常规网络设备相反,使用基于会话的路由使每个网络设备110能够在服务级别或应用级别做出路由决定。
网络设备110A向网络设备110B转发所修改的第一分组。此外,网络设备110A存储针对会话的会话标识符,使得在接收到针对会话的后续分组时,网络设备110A可以将后续分组标识为属于同一会话并且沿着与第一分组相同的路径来转发后续分组。
中间网络设备110B接收所修改的第一分组并且确定所修改的第一分组是否包括指定会话标识符的元数据的部分。响应于确定所修改的第一分组包括指定会话标识符的元数据,中间网络设备110B确定网络设备110B不是入口设备,使得网络设备110B不附加指定会话标识符的元数据。
如上文关于网络设备110A所述,网络设备110B通过确定第一分组的源地址、源端口、目的地地址、目的地端口和协议是否与会话表中的条目匹配来确定分组是否属于新会话(例如,是会话的“第一”分组或“前导”分组)。如果不存在这样的条目,则网络设备110B确定该分组属于新会话并且在会话表中创建条目。此外,如果分组属于新会话,则网络设备110B生成针对该会话的会话标识符。由网络设备110B使用以标识针对第一分组的会话的会话标识符可以不同于由网络设备110A使用以标识针对第一分组的相同会话的会话标识符,因为每个网络设备110A、110B使用第一分组的报头源地址、源端口、目的地地址和目的地端口,以生成会话标识符,并且当每个网络设备110沿着转发路径来转发第一分组时,该信息由每个在前的网络设备110修改。此外,每个网络设备110可以存储该报头信息,以标识先前的网络设备110(或“路径点”)和下一网络设备110(或“路径点”),使得每个网络设备110可以针对会话的每个后续分组来重构相同的前向路径和反向路径。
网络设备110B替换所修改的第一分组的报头,以指定作为网络设备110B的地址的源地址、作为网络设备110B向目的地设备114转发所修改的第一分组所经由的端口的源端口、作为网络设备110B向下一跳的地址转发第一分组的目的地地址(例如,网络设备110C的地址)、以及作为网络设备110B向下一跳的端口转发第一分组的目的地端口(例如,网络设备110C的端口)。网络设备110B向网络设备110C转发所修改的第一分组。附加地,网络设备110B存储针对会话的会话标识符,使得在接收到针对会话的后续分组时,网络设备110B可以将后续分组标识为属于同一会话并且沿着与第一分组相同的路径来转发后续分组。
后续中间网络设备110C至中间网络设备110H以与网络设备110A和110B类似的方式来处理所修改的第一分组,使得网络设备110沿着与第一分组相同的路径来转发会话的后续分组。此外,每个网络设备110存储针对会话的会话标识符,该会话标识符可以包括沿着网络路径的先前网络设备110的标识。因此,每个网络设备110可以使用会话标识符,以沿着相同的网络路径将针对会话的反向分组流的分组转发回源设备112A。
可以向针对分组流的目的地转发针对会话的转发分组流的分组的网络设备110是出口或“终端”网络设备。在前述示例中,网络设备110I是终端网络设备,因为网络设备110I可以向CE设备116C转发分组,以用于向目的地设备114转发。网络设备110I接收所修改的第一分组,所修改的第一分组包括指定会话标识符的元数据(例如,源地址、源端口、目的地地址和目的地端口)。网络设备110I通过确定在所修改的前导分组的元数据中所指定的目的地源地址和目的地源端口对应于由网络设备110I可到达的目的地(例如,经由CE设备116C的目的地设备114)来将所修改的第一分组标识为目的地是在网络设备110I处终止的服务。网络设备110I通过从所修改的第一分组中移除元数据并且修改第一分组的报头,以指定原始源地址、源端口、目的地地址和目的地端口来恢复原始第一分组。网络设备110I向CE设备116C转发所恢复的第一分组,以向目的地设备114转发。
关于基于会话的路由和SVR的附加信息在以下各项中有描述:于2017年8月8日发布的题为“COMPUTER NETWORK PACKET FLOW CONTROLLER(计算机网络分组流控制器)”的美国专利号9,729,439;于2017年8月8日发布的题为“NETWORK DEVICE AND METHOD FORPROCESSING A SESSION USING A PACKET SIGNATURE(使用分组签名来处理会话的网络设备和方法)”的美国专利号9,729,682;于2017年9月12日发布的题为“NETWORK PACKET FLOWCONTROLLER WITH EXTENDED SESSION MANAGEMENT(具有扩展会话管理的网络分组流控制器)”的美国专利号9,762,485;于2018年1月16日发布的题为“ROUTER WITH OPTIMIZEDSTATISTICAL FUNCTIONALITY(具有优化统计功能的路由器)”的美国专利号9,871,748;于2018年5月29日发布的题为“NAME-BASED ROUTING SYSTEM AND METHOD(基于名称的路由系统和方法)”的美国专利号9,985,883;于2019年2月5日发布的题为“LINK STATUSMONITORING BASED ON PACKET LOSS DETECTION(基于分组丢失检测的链路状态监测)”的美国专利号10,200,264;于2019年4月30日发布的题为“STATEFUL LOAD BLANCING IN ASTATELESS NETWORK(无状态网络中的状态加载平衡)”的美国专利号10,277,506;于2019年10月1日发布的题为“NETWORK PACKET FLOW CONTROLLER WITH EXTENDED SESSIONMANAGEMENT(具有扩展会话管理的网络分组流控制器)”的美国专利号10,432,522;以及于2020年12月24日公布的题为“IN-LINE PERFORMANCE MONITORING(在线性能监控)”的美国专利申请公开号2020/0403890,上述申请中的每个申请的全部内容通过引用整体并入本文。
交换服务和拓扑状态信息
在一些示例中,为了实现基于会话的路由,每个网络设备110针对每个其他网络设备110来维护服务和拓扑状态信息的本地存储库。服务和拓扑状态信息包括从每个网络设备110可到达的服务、以及来自每个网络设备的用于实现这些服务的网络拓扑。每个网络设备110可以向中央存储库(例如,服务器)传输从网络设备110可到达的服务的改变和/或用于从网络设备到达服务的网络拓扑中的改变。此外,每个网络设备110可以从中央存储库接收计算机网络系统100中的针对每个其他网络设备110的服务和拓扑状态信息。
在前述示例中,网络设备110A接收分组,确定针对包括该分组的分组流的会话,确定与该会话相关联的服务,并且选择用于转发该分组的网络路径。网络设备110A可以使用其针对每个网络设备110的服务和拓扑状态信息的本地副本,以选择用于转发分组的网络路径。例如,网络设备110A可以使用与分组相关联的所标识的服务和用于到达所标识的服务的网络拓扑来选择网络路径,该网络路径符合服务水平协议(SLA)要求或针对服务的其他性能要求。网络设备110A然后可以沿着所选择的路径来转发分组和针对流的后续分组。以这种方式,网络设备110A可以执行服务特定路径选择,因为网络设备110可以使用与分组相关联的、特定于服务的标准,以选择最适合服务要求的网络路径。
关于交换服务和拓扑状态信息的附加信息在以下各项中有描述:于2020年11月19日公布的题为“CENTRAL AUTHORITY FOR SERVICE AND TOPOLOGY EXCHANGE(针对服务和拓扑交换的中心授权)”的美国专利申请公开号2020/0366590;于2020年11月19日公布的题为“SOURCE-BASED ROUTING(基于源的路由)”的美国专利申请公开号2020/0366599;于2020年11月19日公布的题为“SERVICE AND TOPOLOGY EXCHANGE PROTOCOL(服务和拓扑交换协议)”的美国专利申请公开号2020/0366598;于2020年11月19日公布的题为“ROUTING USINGSEGMENT-BASED METRICS(使用基于分段的度量来路由)”的美国专利申请公开号2020/0366589;以及于2018年7月31日提交的题为“NETWORK NEIGHROODS FOR ESTABLISHINGCOMMUNICATION RELATIONSHIPS BETWEEN COMMUNICATION INTERFACES IN ANADMINISTRATIVE DOMAIN(用于在管理域中的通信接口之间建立通信关系的网络邻域)”的美国专利申请号16/050,722,上述申请中的每个申请的全部内容通过引用整体并入本文。
基于租户的路由
计算机网络系统100可以向一个或多个租户提供网络服务。该示例中的“租户”是网络业务的源,并且消耗由计算机网络提供的网络服务。通常,租户是发起与网络服务相关联的网络会话的实体。如本文所述,租户可以被认为比客户或企业更广泛,该客户或企业在虚拟联网模型内与其他客户或企业逻辑隔离。租户通常被认为本质上是全局的。租户可以被认为是一个或多个实体,可以对该一个或多个实体应用策略。在一些示例中,租户被限定为具有层次范围,使得一个或多个实体可以层次地被分组,从而可以将策略应用于该组。在一些示例中,租户被限定为网络接口,可以对为对象或实体的网络接口来应用策略。在一些示例中,租户被限定为可以对其应用策略的互联网协议(IP)地址或IP地址块。这样的策略可以包括安全策略,该安全策略指定哪些租户可以访问网络服务。此外,这样的策略可以包括限定租户如何访问网络服务的SLA。在单独基于IP地址来编写安全策略可能不够用的情况下,“租户”概念可能很有用,例如,对于移动用户和/或模糊边缘网络。在一些示例中,通过将租户分配给网络接口来对租户进行分类,使得源自该接口的网络业务被分类为属于所分配的租户。在一些示例中,通过将租户分配给一个或多个前缀(例如,IP地址前缀)来对租户进行分类。
例如,如图1中所示,计算机网络系统100可以将网络设备110A的第一接口分类为属于租户118A,网络设备110A通过该第一接口而从源设备112A和CE设备116A接收网络业务。计算机网络系统100可以将网络设备110A的第二接口分类为属于租户118B,网络设备110A通过该第二接口而从源设备112B和CE设备116B接收网络业务。
在一些示例中,租户被组织成层次模型。例如,每个租户可以包括一个或多个子租户。这可以使计算机网络系统100能够以层次方式来应用策略,从而可以将策略应用于特定租户以及其子租户中的每个子租户。此外,不同策略可以被应用于同一租户的不同子租户。在一些示例中,每个子租户可以有其自己的子子租户,以此类推。
根据本公开的技术,计算机网络系统100实现用于将虚拟化网络设备自动连接到基于云的WAN保证系统130的网络管理系统136,以监测网络性能并且标识网络故障的技术。
网络设备110中的一个或多个网络设备可以是基于纯软件模型的会话智能路由器,这使它们本质上与平台无关。这带来了挑战,因为提供基于云的WAN保证系统的实体没有直接控制网络设备110的制造过程。需要在网络设备110与基于云的WAN保证系统130之间建立信任模型,以启用将网络设备110载入基于云的WAN保证系统130的过程。
现有部署的规模大约为数万,并且提供了在这些部署上启用WAN保证的巨大机会。这使得易用性对于载入过程非常重要。
本公开的技术通过使网络设备指挥方120能够向新实例化的虚拟化网络设备(诸如,网络设备110中的一个设备)提供注册令牌,用于在向基于云的WAN保证系统130注册时使用来解决这些挑战。网络设备指挥方120还向网络设备110提供指令,以开始向基于云的WAN保证系统130的注册过程。该技术允许利用网络设备指挥方120与虚拟化网络设备110的受信任状态,并且使虚拟化网络设备110的这种信任能够扩展到基于云的WAN保证系统130。虚拟化网络设备110遵循从指挥方接收的指令,并且使用注册令牌向基于云的网络保证系统自动进行自我注册。使用注册令牌可以避免“中间人”安全问题。
该技术使基于云的WAN保证系统130能够注册每个虚拟化网络设备110并且在基于云的网络保证系统的后端创建表示虚拟化网络设备110的唯一设备标识符。唯一设备标识符由基于云的WAN保证系统130在内部使用,并且不同于在基于云的WAN保证系统130的门户中可见的面向用户的设备名称。该过程可以针对任何数目的虚拟化网络设备110而被重复,导致每个设备被自动连接到基于云的WAN保证系统130并且由基于云的WAN保证系统130被自动分配唯一设备标识符。例如,基于云的WAN保证系统可以使用来自虚拟化网络设备110的遥测数据而跨整个WAN来设置、监测和实施服务级别。基于云的WAN保证系统可以检测异常并且提供对可能影响使用网络的人员和设备的WAN条件的可见性。
网络102的WAN保证可以提供以下优点:
·利用基于应用的上下文对WAN用户体验的可见性。
·基于无线、有线、WAN遥测、状态和事件对用户的端到端影响分析。
·网关错误配置和故障接口的自动校正和标识。
·深入了解会话智能路由器和网关遥测、以及WAN链路健康。
本公开的技术提供了与平台无关的载入机制。载入机制是“平台无关的”,因为它对基于硬件的设备和基于虚拟的设备的工作方式相同。例如,网络设备110中的一个或多个网络设备可以是基于硬件的设备,而其他网络设备110可以是基于虚拟的设备,但是相同的技术可以用于所有的网络设备110。
本公开的技术允许在现有的和新的基于虚拟的设备部署与云后端之间建立信任。本公开的技术使作为载入过程的部分、在云后端系统中“制造”虚拟化网络设备的过程自动化,并且还针对虚拟化网络设备创建永久独特标识符,该永久独特标识符然后可以用于由基于云的WAN保证系统对虚拟化网络设备的管理和监测。
在一些示例中,基于云的WAN保证系统130还可以监测一个或多个无线网络。以这种方式,对于经由单个基于云的WAN保证门户可查看的端到端WAN保证系统,单个网络管理系统136可以被用于监测和/或管理无线网络和包含虚拟化网络设备110的网络两者(例如,在虚拟机或容器上运行的基于软件的路由器)。
本公开的技术在棕地(“brownfield”)部署中是有用的,这在由实体管理基于云的WAN保证系统130的情况下是有帮助的,该实体也没有对网络设备110的制造过程的绝对控制权。例如,网络设备110可以是在来自任何供应方的网络设备上创建的虚拟设备。以这种方式,管理员无需手动或通过API在基于云的WAN保证系统门户上针对数万个个体路由器来创建条目,从而获取更好的用户体验。本公开的技术可以减少用户的负担并且使针对用户的注册过程自动化。
本文中描述的技术与平台无关(除了与硬件无关)。该技术可以用于载入在没有硬件标识符的虚拟机、容器和其他虚拟执行元素上执行的虚拟路由器。虚拟路由器可以与基于云的WAN保证系统130自行载入。该技术允许系统自动建立信任,同时具有安全意识。一旦在云中“制造”了虚拟路由器,就会为虚拟网络设备分配永久设备ID以用于监测、配置或其他目的。
网络设备指挥方120可以是执行用于管理网络设备110的指挥方软件的服务器。在一些示例中,网络设备指挥方120还针对网络设备110提供网络分析。然而,在具有数千个路由器的大型网络系统中,由于需要非常大量的数据和指挥方的多个实例,网络设备指挥方120的有用性可能会降低。这些问题可以通过利用基于云的WAN保证系统基础设施,以执行针对网络102的WAN保证来解决。具有云规模以用于集中式管理平面、以及人工智能和机器学习可以使路由器网络像大量接入点一样容易运行。此外,将基于人工智能的分析与具有会话感知的网络设备110相结合可以将基于云的WAN保证系统130对网络关系的感知扩展下到用户/应用级别,即,生产力调节至关重要的级别。
结合路由器、交换机、防火墙、无线网络和SD-WAN解决方案,利用来自基于云的WAN保证系统130的单点管理和控制,可以实现完整的分支边缘到云网络基础设施。这提供了具有一个管理平面的WAN网络的单一解决方案。该技术的结合为服务创建和自动化提供了很多选择,不仅适用于企业,也适用于服务提供方和托管服务提供方。
图2是示出根据本公开的技术的、被配置为将网络设备110N载入基于云的WAN保证系统130的另一示例计算机网络系统200的框图。基于云的WAN保证系统130是基于云的微服务系统。在一些示例中,网络设备110N是图1的网络设备110A至网络设备110N中的一个网络设备的示例。虽然图2的示例描绘了对载入网络设备110N的操作,但是图2中描绘的操作可以应用于图1的网络设备110A至网络设备110I或图2的网络设备110A至网络设备110N中的任何网络设备。
基于云的WAN保证系统130提供云服务,该云服务针对WAN边缘的企业接入层带来自动化操作和服务级别,并且当与有线和无线保证结合使用时,变换涵盖交换机、IoT设备、接入点、服务器、打印机等的所有操作。网关提供丰富的流式遥测数据,该流式遥测数据启用针对网关健康指标和异常检测的洞察。在网络设备110被载入基于云的WAN保证系统130(如下文更详细描述)之后,网络设备110经由会话202A至会话202C而向基于云的WAN保证系统130提供流式遥测数据。
在一些示例中,遥测数据包括与应用响应时间以及WAN链路和网关健康测量有关的数据。例如,对于网关健康,数据可以包括CPU利用率、存储器利用率、链路利用率、温度、风扇、功率等。例如,对于WAN链路健康,数据可以包括IPSec信息、路由协议信息和WAN接口信息。例如,基于每个应用,应用体验信息可以包括延迟、抖动、丢包、往返时间和其他指标。
由AI驱动的WAN洞察力:对于物理网络设备,WAN洞察力准确地示出了网络设备如何利用详细的网络设备指标和深入到端口级别的洞察力(诸如,CPU、存储器利用率、所传输的字节数、业务利用率和功率消耗)来执行。WAN保证还以日志记录网络设备事件,例如配置改变和系统警报。除了WAN利用率,IPSec利用率洞察力和安全矢量路由(SVR)利用率洞察力可以帮助了解通过IPSec隧道所发送的业务量与分别使用IPSec隧道或基于SVR会话的路由的本地中断。WAN洞察力还提供基于每个用户和每个应用的应用可见性。结合上述租户信息和会话感知路由器功能,WAN洞察可以提供基于每个租户、每个应用的应用可见性。
在操作中,NMS 136观察、收集和/或接收事件数据,事件数据可以采取例如从消息、计数器和统计中所提取的数据的形式。NMS 136可以包括一个或多个计算设备、专用服务器、虚拟机、容器、服务、或用于执行本文中描述的技术的其他形式的环境。类似地,实现虚拟网络助理(VNA)133以及主动分析和关联引擎(PACE)135的计算资源和组件可以是NMS136的部分,可以在其他服务器或执行环境上执行,或者可以分布到网络内的节点(例如,路由器、交换机、控制器、网关等)。
为了确保高服务水平体验(SLE),NMS 136采用实时检测故障并且甚至在用户注意到(多个)故障之前预测性地检测故障的方法。这些方法还可以用于确保特定级别的应用体验质量(AppQoE)。
具有可以由NMS 136采用的方面的示例故障检测系统在以下各项中有描述:于2021年3月23日发布的题为“METHODS AND APPARATUS FOR FACILITATING FAULTDETECTION AND/OR PREDICTIVE FAULT DETECTION(用于促进故障检测和/或预测性故障检测的方法和设备)”的美国专利号10,958,585;于2017年11月28日发布的题为“MONITORINGWIRELESS ACCESS POINT EVENTS(监控无线接入点事件)”的美国专利号9,832,082;于2021年3月23日发布的题为“METHOD FOR SPATIO-TEMPORAL MONITORING(用于时空监测的方法)”的美国专利号10,958,537;以及于2021年4月20日发布的题为“SYSTEMS AND METHODSFOR A VIRTUAL NETWORK ASSISTANT(针对虚拟网络助理的系统和方法)”的美国专利号10,985,969,上述申请中的每个申请的全部内容通过引用并入本文。
在一些示例中,NMS 136的VNA 133可以应用机器学习技术,以标识从事件数据流中检测到或预测的错误条件的根本原因。如果根本原因可以被自动解决,则VNA 133调用一个或多个纠正措施来纠正错误条件的根本原因,从而自动改进基础SLE指标并且自动改进用户体验。可以由NMS 136执行的根本原因分析和自动校正技术的其他示例细节在于2021年5月24日提交的题为“VIRTUAL NETWORK ASSISTANT HAVING PROACTIVE ANALYTICS ANDCORRELATION ENGINE(具有主动分析和关联引擎的虚拟网络助理)”的美国专利申请号17/303,222中有描述,该申请的全部内容通过引用并入本文。
尽管本公开的载入和注册技术在该示例中被描述为由基于云的WAN保证系统130的NMS 136执行,但本文中描述的技术可以由任何其他(多个)计算设备、(多个)系统和/或(多个)服务器执行,包括用于WAN保证以外的目的,并且本公开不限于此。例如,被配置为执行本公开的技术的功能的一个或多个计算设备可以驻留在专用服务器中,或者被包括在除基于云的WAN保证系统130之外或以外的任何其他服务器中,或者可以分布在整个网络系统100中,并且可以形成或可以不形成基于云的WAN保证系统130的部分。
在一些示例中,网络设备110(例如,路由器或交换机)或甚至接入点(未示出)可以被配置为,基于本地所收集的SLE指标在本地构建、训练、应用和重新训练(多个)无监督ML模型,以确定是否应丢弃所收集的网络事件数据,或者数据是否表示需要被转发到NMS136以供虚拟网络助理(图2)进行进一步的根本原因分析以促进故障标识和解决的异常行为。
如图2所示,对载入网络设备110N到基于云的WAN保证系统130执行以下步骤,其对应于图2中的所编号的箭头:
步骤1:管理员从基于云的WAN保证门户131获取唯一的组织范围的注册码。注册码包含关于组织的编码信息、以及用于与基于云的WAN保证系统130进行初始安全通信的秘密密钥、以及其他信息。注册码可以指定在步骤5中哪个API端点需要被访问以提供信息。秘密密钥可以是对称密钥。
在一些示例中,注册码可以以令牌的形式发送:诸如具有以下格式的JSON Web令牌(JWT),例如:
token=jwt.encode({
′org_id′:org_id,
′svc':MxEdge.ROUTER128,
′provider′:settings.DEPLOYMENT_PROVIDER,
′env′:settings.DEPLOYMENT_ENV,
′epterm_url′:settings.EP_TERMINATOR_URL,
′iat′:issued_at,
′exp′:expires_at,
},jwt_secret)
步骤2:管理员向网络设备指挥方120提供指定注册码的输入。在一些示例中,管理员执行复制/粘贴操作,以从由基于云的WAN保证系统130的门户提供的图形用户界面进行剪切,并且粘贴到由网络设备指挥方120提供的图形用户界面中,以将注册码输入到网络设备指挥方120(例如,命令行界面)。这促进在云后端与网络设备指挥方120之间建立必要的信任。在网络设备110N与网络设备指挥方120之间可能已经存在零信任载入机制,这允许组织内的网络设备110N接收配置和其他命令以及控制信息。
一旦有效的注册码被提交,注册就是自动的。网络设备指挥方120向所有连接的路由器发送指令,以自行载入基于云的WAN保证系统130。该过程是自动化的,并且路由器不需要任何用户交互。
步骤1和2是管理员针对给定组织执行的一次性步骤。一旦步骤1和2完成,接下来所描述的载入过程将针对为该组织而创建的任何网络设备110而自动发生。
步骤3:管理员指示网络设备指挥方120创建新虚拟化网络设备,诸如网络设备110N(例如,在虚拟机或容器上)。
步骤4:在创建之后,网络设备110N向网络设备指挥方120发送消息并且由网络设备指挥方120认证和授权。在网络设备110N被认证和授权之后,网络设备指挥方120触发将网络设备110N载入基于云的WAN保证系统130的过程。当授权网络设备110N时,网络设备指挥方120向网络设备110N发送注册码。网络设备指挥方120传送给网络设备110N的注册码包含诸如以下信息:网络设备110N所属的组织的组织标识符(org-id);要与基于云的WAN保证载入服务器132通信的URL;以及初始秘密密钥,网络设备110N可以使用该初始秘密密钥以创建与基于云的WAN保证系统后端的安全通道。在一些示例中,基于云的WAN保证插件在网络设备指挥方120上被安装和启用,基于云的WAN保证插件启用本文中所描述的某些功能,诸如触发将网络设备载入基于云的WAN保证系统130的过程,以及设置网络设备以便以预期格式向基于云的WAN保证系统130提供数据的过程。
步骤5:在第一连接时,网络设备110N向基于云的WAN保证载入服务器132呈现以下数据,以便针对特定组织而唯一地标识其自身:·org-id:网络设备110N所属的、基于云的WAN保证组织的标识符。·指挥方id:管理该网络设备110N的网络设备指挥方120的标识符。·资产-id:独特标识符,诸如正在载入的网络设备110N的序列号。这可以已经由网络设备指挥方120在创建网络设备110N时生成和存储。
·路由器名称:分配给网络设备110N的用户可读设备名称。
在一些示例中,被称为设备标识数据的该数据可以由网络设备110N以诸如JSON开放令牌格式的JSON格式发送。
基于云的WAN保证载入服务器132将能够使用该数据来在设备数据数据库138中“制造”路由器。换而言之,基于云的WAN保证载入服务器132使用从网络设备110N接收的数据,以针对基于云的WAN保证系统130中的网络设备110N的独特(例如,唯一)设备标识符,并且在表示网络设备110N的数据结构中创建对象,其中该对象与表示在基于云的WAN保证系统130中的网络设备110N的独特设备标识符相关联。基于云的WAN保证系统130能够信任从网络设备所接收的数据,因为它是以特定预期格式提供的。
步骤6:基于云的WAN保证载入服务器132向网络设备110N提供以下信息:设备id:表示在基于云的WAN保证系统130中的网络设备110N的独特标识符,包括用于由网络管理系统136使用;秘密密钥:网络设备110N可以用于与基于云的WAN保证系统130通信的新秘密密钥。
步骤7:网络设备110N将在本地安全地存储该信息并且使用永久标识,然后使用与基于云的WAN保证系统130的新秘密密钥创建与基于云的WAN保证端点终结器134的新安全连接202A。
在一些示例中,已经载入的每个网络设备110被显示在基于云的WAN保证系统130的图形用户界面的清单页面中。网络设备110可以被列为未分配,并且可以被分配给适当站点。一旦站点分配完成,该信息被中继回到对应网络设备110,并且网络设备110开始将遥测数据流式传输到基于云的WAN保证系统130。
在一些示例中,可以在载入过程中跳过一个或多个网络设备110。在一个示例中,这可以通过将权限>路由器>wan-保证>启用改为假来完成。然后,指挥方将跳过网络设备110和相关节点(如果它是HA路由器)。对于已经完成载入过程的系统,将“wan-保证”设置为假,以阻止向云发送遥测数据。
在网络设备110需要从一个组织移动到另一组织或被物理地重新定位的情况下,网络设备110必须从基于云的WAN保证系统130中被释放,并且然后被重新载入。
安全考虑:注册码和秘密密钥只能用于向基于云的WAN保证系统130注册设备的目的。秘密密钥不允许任何配置管理或监测并且具有有限影响。该组织将能够在任何时候重新生成新注册码,而不会影响已经注册的任何设备。这可以防止任何潜在安全漏洞。在注册路由器之后,不能使用相同的代码和注册信息(诸如,名称、资产ID)来注册另一设备,从而防止意外重新注册和滥用两者。
图3示出了根据本公开的一种或多种技术而被配置的示例网络管理系统(NMS)300。NMS 300可以用于实现例如图1中的NMS 136。在这样的示例中,NMS 300负责监测和管理图1的网络102的网络设备110A至网络设备110I或图2的网络设备110A至网络设备110N中的一个或多个网络设备。在该示例中,NMS 300接收由基于云的WAN保证端点终结器134从网络设备110A至网络设备110N收集的数据(诸如,用于计算一个或多个SLE指标的遥测数据)并且分析遥测数据以用于包含网络设备110的网络的基于云的WAN保证。在一些示例中,NMS300可以是图1所示的另一服务器的部分,或者是任何其他服务器的部分。
在一些示例中,除了监测网络设备110,NMS 300还负责监测和管理一个或多个无线网络(未示出)、以及监测服务提供方或其他网络的网络设备。在该示例中,NMS 300还接收由接入点从用户设备收集的数据(诸如,用于计算一个或多个SLE指标的数据)并且分析该数据以用于无线网络的基于云的管理。以这种方式,对于经由单个基于云的WAN保证门户可查看的端到端WAN保证系统,单个NMS 300可以用于管理网络设备110和无线网络两者,该网络设备110可以包括虚拟化网络设备(例如,在虚拟机或容器上执行的基于软件的路由器)。
NMS 300包括通信接口330、一个或多个处理器306、用户接口310、存储器312和数据库318。各种元素经由总线314耦合在一起,各种元素可以在总线314上交换数据和信息。
(多个)处理器306执行软件指令,诸如用于限定软件或计算机程序的软件指令,该软件指令被存储到计算机可读存储介质(诸如,存储器312),诸如非暂态计算机可读介质,包括存储设备(例如,磁盘驱动器或光驱)或存储器(诸如,闪存或RAM)或任何其他类型的易失性或非易失性存储器,计算机可读存储介质存储用于使一个或多个处理器306执行本文中所描述的技术的指令。
例如,通信接口330可以包括以太网接口。通信接口330将NMS 300耦合到网络和/或互联网,诸如图1所示的任何(多个)网络102和/或任何广域网或局域网。通信接口330包括接收器332和传输器334,NMS 300通过接收器332和传输器334向/从如图1所示的任何网络设备110和/或形成网络102或104的部分的任何其他设备或系统来传输/接收数据和信息。例如,由NMS 300接收的数据和信息可以包括:从网络设备110接收并且由NMS 300用于远程监测网络设备110和网络102的性能的SLE相关或事件日志数据。在一些示例中,NMS还可以经由通信接口330向任何网络设备110传输数据,以远程管理网络102。
存储器312包括被配置为,存储与NMS 300的操作相关联的编程模块和/或数据的一个或多个设备。例如,存储器312可以包括计算机可读存储介质(诸如,非暂态计算机可读介质),包括存储设备(例如,磁盘驱动器或光驱)或存储器(诸如,闪存或RAM)或任何其他类型的易失性或非易失性存储器,计算机可读存储介质存储指令,用于使一个或多个处理器306来执行本文中描述的技术。
在该示例中,存储器312包括应用程序编程接口(API)220、SLE模块322、虚拟网络助理(VNA)/AI引擎350和根本原因分析模块370。NMS 300还可以包括被配置用于网络设备110的远程监测和管理(包括任何网络设备110的远程监测和管理)的任何其他编程模块、软件引擎和/或接口。NMS 300还可以包括被配置用于无线网络的远程监测和管理(包括任何接入点的远程监测和管理)的任何其他编程模块、软件引擎和/或接口。
SLE模块322能够设置和跟踪针对每个网络102的SLE指标的阈值。SLE模块322还分析由诸如任何网络设备110的网络设备110收集的SLE相关数据。例如,(多个)基于云的WAN保证端点终结器134从当前连接到网络102的网络设备110收集SLE相关数据。该数据被传输到NMS 300,NMS 300由SLE模块322执行,以确定针对已经载入基于云的WAN保证系统130的网络设备110中的每个网络设备的一个或多个SLE指标。SLE指标跟踪服务级别是否满足针对每个SLE指标而配置的阈值。每个指标还可以包括一个或多个分类器。如果指标不满足SLE阈值,则故障可以归因于分类器中的一个分类器,以进一步确定故障发生的位置。SLE指标可以包括例如丢失分组、抖动、延迟、端到端处理时间和其他用户/设备体验指标(诸如,WAN链路健康、应用体验和网关健康)。
VNA/AI引擎350分析从网络设备110接收的数据以及它自己的数据,以标识何时在网络102中的一个网络中遇到不期望的异常状态。例如,VNA/AI引擎350可以使用根本原因分析模块370,以标识任何不期望或异常状态的根本原因。在一些示例中,根本原因分析模块370利用基于人工智能的技术来帮助标识一个或多个网络102处的(多个)任何不良SLE指标的根本原因。此外,VNA/AI引擎350可以自动调用旨在解决一个或多个不良SLE指标的(多个)所标识的根本原因的一个或多个纠正措施。可以由VNA/AI引擎350自动调用的纠正措施的示例可以包括但不限于,调用API 320以重新启动一个或多个网络设备110。纠正措施还可以包括:重新启动交换机和/或路由器,调用新软件到网络设备、交换机或路由器的下载等。这些纠正措施仅用于示例目的,并且本公开不限于此。如果自动纠正措施不可用或不能充分解决根本原因,则VNA/AI引擎350可以主动提供通知,包括由IT人员为解决网络错误而采取的建议纠正措施。
在一些示例中,虚拟网络助理的PACE 335可以被动态地构建、训练、应用和重新训练(多个)无监督ML模型337到事件数据(SLE指标316),以确定所收集的网络事件数据是否表示需要由VNA/AI引擎350的根本原因分析模块370进一步分析,以促进故障标识和解决的异常行为。
PACE 335然后可以将ML模型应用于数据流和/或新收集的各种网络事件类型的数据的日志(例如,统计数据、消息、SLE指标等,本文中称为“PACE”事件类型的事件数据)以检测当前所观察的、具有传入数据流的网络事件数据是否指示系统的正常操作、或者传入的网络事件数据是否指示与需要缓解的故障网络相对应的非典型系统行为事件或趋势。
当主动分析和关联引擎将ML模型应用于网络事件数据表明需要缓解时,NMS 300可以调用虚拟网络助理(VNA)的更复杂的根本原因网络分析组件来标识异常系统行为的根本原因,并且在可能的情况下触发自动或半自动纠正措施。以这种方式,PACE 335可以基于其中部署有PACE 335的特定复杂网络来构建和应用ML模型,以确定是否需要对从复杂网络系统中的元素所收集的网络事件数据的传入流执行进一步的资源密集型分析(例如,实时地)。
此外,除了标识哪些问题需要注意,本文中所描述的一些示例可以被配置为,监测在复杂网络系统内交换的消息以及众多操作计数器和统计数据。在正常操作期间,不同计数器的值与统计数据之间的比率可以采用在可接受值的特定范围(本文中称为{Min,Max}范围)内的值。
图4是示出根据本公开的技术的示例操作的流程图。具体地,图4描绘了用于将网络设备载入基于云的WAN保证系统的网络设备(例如,诸如图2的网络设备110N的虚拟化网络设备)和基于云的WAN保证系统(例如,基于云的WAN保证系统130)的示例操作。
网络设备从管理多个网络设备的网络设备指挥方接收注册码和用于联系基于云的WAN保证系统的指令(400)。响应于接收到注册码和指令,网络设备向基于云的WAN保证系统发送消息。该消息包括注册码和其他数据,如上所述(405)。
基于云的WAN保证系统从网络设备接收消息(410),并且基于消息中所包含的信息(包括注册码和其他数据)来验证网络设备(415)。如果设备被验证/确认,则基于云的WAN保证系统针对网络设备创建设备对象并且向网络设备分配独特(例如,唯一)设备标识符(420)。基于云的WAN保证系统向网络设备发送独特设备标识符和秘密密钥(425)。
网络设备接收和存储独特设备标识符和秘密密钥(430)。在一些示例中,秘密密钥是在向基于云的WAN保证系统安全地发送遥测数据时使用的加密密钥。网络设备使用秘密密钥来创建与基于云的WAN保证系统的新安全连接(435)。新安全连接启用经由新安全连接将遥测数据从网络设备流式传输到基于云的WAN保证系统(440)。然后,基于云的WAN保证系统可以分析来自网络设备的遥测数据,以提供WAN保证(445)。可以针对由网络指挥方创建的每个网络设备重复该过程。以这种方式,由网络指挥方创建的网络设备能够向基于云的WAN保证系统自动进行自我注册,并且将被高效地载入基于云的WAN保证系统,而无需人工干预以载入每个网络设备。
作为其他示例,针对被配置为执行基于会话的路由的多个虚拟化网络设备的网络设备指挥方接收由针对基于云的广域网(WAN)保证系统的门户生成的注册码。注册码包括组织标识符和用于与基于云的WAN保证系统进行初始通信的秘密密钥。网络设备指挥方实例化多个虚拟化网络设备中的第一虚拟化网络设备,其中第一虚拟化网络设备被配置为执行基于会话的路由。网络设备指挥方向第一虚拟化网络设备发送注册码。第一虚拟化网络设备经由使用秘密密钥建立的与基于云的WAN保证系统的第一连接,向基于云的WAN保证系统发送设备标识数据,该设备标识数据包括组织标识符、针对网络设备指挥方的标识符、针对执行虚拟化网络设备的物理设备的标识符、和针对虚拟化网络设备的名称。
响应于从第一虚拟化网络设备接收到设备标识数据:基于云的WAN保证系统将针对第一虚拟化网络设备的条目添加到设备数据库中,并且向第一虚拟化网络设备发送第一虚拟化网络设备的独特(例如,唯一)标识符和独特加密密钥。第一虚拟化网络设备存储针对第一虚拟化网络设备的独特标识符和加密密钥;并且经由使用加密密钥所建立的与基于云的WAN保证系统的第二连接向基于云的WAN保证系统发送针对第一虚拟化网络设备的遥测数据。
在一些示例中,基于云的WAN保证系统将针对虚拟化网络设备的遥测数据与针对第一虚拟化网络设备的独特标识符相关联。基于云的WAN保证系统可以向遥测数据以应用基于人工智能(AI)的分析,以提供WAN保证服务。例如,基于云的WAN保证系统可以使用来自会话感知SD-WAN路由器的遥测数据,以跨WAN来设置、监测和执行服务级别。基于云的WAN保证系统可以检测异常并且提供对可能影响使用网络的人员和设备的WAN条件的可见性。
在一些示例中,第一虚拟化网络设备被配置为,通过修改源设备与目的地设备之间的会话的前向分组流和反向分组流中的至少一项的第一分组以包括以下项来执行基于会话的路由:报头,其包括第一虚拟化网络设备的源地址和多个虚拟化网络设备中的第二虚拟化网络设备的目的地地址,虚拟化网络设备向目的地地址转发第一分组;以及元数据的部分,其指定针对会话的会话标识符。
网络设备指挥方实例化多个虚拟化网络设备中的每个虚拟化网络设备,向多个虚拟化网络设备中的每个虚拟化网络设备发送注册码和第一秘密密钥。
此外,可以针对被载入的每个虚拟化网络设备重复载入过程。因此,响应于从多个虚拟化网络设备中的每个虚拟化网络设备接收到对应设备标识数据,基于云的WAN保证系统将针对虚拟化网络设备中的每个虚拟化网络设备的对应条目添加到设备数据库中;并且向虚拟化网络设备中的每个虚拟化网络设备发送针对相应的虚拟化网络设备的不同的对应独特标识符和不同的对应独特加密密钥。在一些示例中,来自每个虚拟化网络设备的设备标识数据各自可以包括最初从基于云的WAN保证系统所获取的相同的一致的注册码。作为示例,响应于从多个虚拟化网络设备中的每个虚拟化网络设备接收到对应设备标识数据,基于云的WAN保证系统:针对多个虚拟化网络设备中的每个虚拟化网络设备生成独特设备标识符;将针对虚拟化网络设备中的每个虚拟化网络设备的对应条目添加到设备数据库中,其中对应条目中的每个条目包括对应的独特设备标识符;并且向虚拟化网络设备中的每个虚拟化网络设备发送针对相应的虚拟化网络设备的不同的对应独特标识符和用于在向基于云的WAN保证系统发送遥测数据时使用的不同的对应独特加密密钥。
本公开中描述的技术可以至少部分以硬件、软件、固件或其任何组合来实现。例如,所描述的技术的各个方面可以在一个或多个处理器内实现,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或者任何其他等效的集成或分立逻辑电路系统、以及这样的组件的任何组合。术语“处理器”或“处理电路系统”通常可以单独地或与其他逻辑电路系统或任何其他等效电路系统相结合指代任何前述逻辑电路系统。包括硬件的控制单元也可以执行本公开的技术中的一个或多个技术。
这样的硬件、软件和固件可以在相同的设备内或在单独的设备内实现,以支持本公开中所描述的各种操作和功能。此外,任何所描述的单元、模块或组件可以一起或单独地实现为分立但是可互操作的逻辑器件。将不同特征描述为模块或单元是为了突出不同的功能方面,而不必然表示这样的模块或单元必须由单独的硬件或软件组件来实现。相反,与一个或多个模块或单元相关联的功能可以由单独的硬件或软件组件执行,或者集成在公共或单独的硬件或软件组件内。
本公开中描述的技术还可以在包含指令的计算机可读介质中具化或编码,诸如计算机可读存储介质。嵌入或编码在计算机可读存储介质中的指令可以使可编程处理器或其他处理器执行该方法,例如,当指令被执行时。计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁介质、光学介质或其他计算机可读介质。
已经描述了各种示例。这些和其他示例在以下权利要求的范围内。
Claims (20)
1.一种方法,包括:
由广域网WAN的多个虚拟化网络设备中的虚拟化网络设备使用注册码向基于云的WAN保证系统自动注册,所述注册码由所述虚拟化网络设备从创建了所述虚拟化网络设备的指挥方接收,其中所述指挥方在所述基于云的WAN保证系统外部;以及
由所述虚拟化网络设备在所述注册之后向所述基于云的WAN保证系统发送遥测数据。
2.根据权利要求1所述的方法,其中向所述基于云的WAN保证系统自动注册包括:
由所述虚拟化网络设备向所述基于云的WAN保证系统发送所述注册码;以及
基于所述注册码从所述基于云的WAN保证系统接收针对所述第一虚拟化网络设备的独特标识符和秘密密钥,所述秘密密钥用于在所述虚拟化网络设备与所述基于云的WAN保证系统之间创建安全连接。
3.根据权利要求1所述的方法,还包括:
由所述虚拟化网络设备从所述网络设备指挥方接收所述注册码和秘密密钥,其中所述注册码包括组织标识符;
由所述第一虚拟化网络设备经由与所述基于云的WAN保证系统的第一连接向所述基于云的WAN保证系统发送设备标识数据,所述第一连接使用所述秘密密钥而被建立,所述设备标识数据包括:所述组织标识符、针对所述网络设备指挥方的标识符、针对执行所述虚拟化网络设备的物理设备的标识符和针对所述虚拟化网络设备的名称;以及
由所述第一虚拟化网络设备经由所述第一连接从所述基于云的WAN保证系统接收针对所述第一虚拟化网络设备的独特标识符和用于在安全地发送所述遥测数据时使用的加密密钥。
4.根据权利要求3所述的方法,还包括:
由所述虚拟化网络设备使用所述加密密钥来创建与所述基于云的WAN保证系统的安全连接,
其中发送所述遥测数据包括:经由所述安全连接向所述基于云的WAN保证系统发送所述遥测数据。
5.根据权利要求1至4中任一项所述的方法,其中所述第一虚拟化网络设备被配置为,通过修改源设备与目的地设备之间的会话的前向分组流和反向分组流中的至少一项的第一分组,以包括以下项来执行基于会话的路由:
报头,包括所述第一虚拟化网络设备的源地址和所述多个虚拟化网络设备中的第二虚拟化网络设备的目的地地址,所述虚拟化网络设备向所述目的地地址转发所述第一分组;以及
指定针对所述会话的会话标识符的元数据的部分。
6.根据权利要求1至4中任一项所述的方法,还包括:
由所述多个虚拟化网络设备中的每个虚拟化网络设备从创建了所述多个虚拟化网络设备中的每个虚拟化网络设备的所述指挥方接收所述注册码,其中所述注册码针对所述虚拟化网络设备中的每个虚拟化网络设备是相同的,
其中向所述基于云的WAN保证系统自动注册包括:由所述多个虚拟化网络设备中的每个虚拟化网络设备使用所述注册码向所述基于云的WAN保证系统自动注册,所述注册码由所述多个虚拟化网络设备中的每个虚拟化网络设备从创建了所述多个虚拟化网络设备中的每个虚拟化网络设备的所述指挥方接收,并且
其中向所述基于云的WAN保证系统发送所述遥测数据包括:由所述多个虚拟化网络设备中的每个虚拟化网络设备向所述基于云的WAN保证系统发送对应遥测数据。
7.一种方法,包括:
由针对多个虚拟化网络设备的网络设备指挥方接收由基于云的广域网WAN保证系统生成的并且包括组织标识符的注册码,所述多个虚拟化网络设备被配置为执行基于会话的路由;
由所述网络设备指挥方实例化所述多个虚拟化网络设备中的第一虚拟化网络设备,其中所述第一虚拟化网络设备被配置为执行基于会话的路由;
由所述网络设备指挥方向所述第一虚拟化网络设备发送所述注册码;
由所述第一虚拟化网络设备向所述基于云的WAN保证系统发送设备标识数据,所述设备标识数据包括:所述组织标识符、针对所述网络设备指挥方的标识符、针对执行所述虚拟化网络设备的物理设备的标识符和针对所述虚拟化网络设备的名称;以及
响应于从所述第一虚拟化网络设备接收到所述设备标识数据:
由所述基于云的WAN保证系统将针对所述第一虚拟化网络设备的条目添加到设备数据库中;
由所述基于云的WAN保证系统经由所述第一连接向所述第一虚拟化网络设备发送针对所述第一虚拟化网络设备的独特标识符和加密密钥;
由所述第一虚拟化网络设备存储针对所述第一虚拟化网络设备的所述独特标识符和所述加密密钥;以及
由所述第一虚拟化网络设备经由与所述基于云的WAN保证系统的第二连接向所述基于云的WAN保证系统发送针对所述第一虚拟化网络设备的遥测数据,所述第二连接使用所述加密密钥而被建立。
8.根据权利要求7所述的方法,还包括:由所述基于云的WAN保证系统将针对所述虚拟化网络设备的所述遥测数据与针对所述第一虚拟化网络设备的所述独特标识符相关联。
9.根据权利要求8所述的方法,还包括:由所述基于云的WAN保证系统向所述遥测数据应用基于人工智能AI的分析,以提供WAN保证服务。
10.根据权利要求7至9中任一项所述的方法,其中所述第一虚拟化网络设备被配置为,通过修改源设备与目的地设备之间的会话的前向分组流和反向分组流中的至少一项的第一分组,以包括以下项来执行基于会话的路由:
报头,包括所述第一虚拟化网络设备的源地址和所述多个虚拟化网络设备中的第二虚拟化网络设备的目的地地址,所述虚拟化网络设备向所述目的地地址转发所述第一分组;以及
指定针对所述会话的会话标识符的元数据的部分。
11.根据权利要求7所述的方法,还包括:由所述网络设备指挥方实例化所述多个虚拟化网络设备中的每个虚拟化网络设备;以及
由所述网络设备指挥方向所述多个虚拟化网络设备中的每个虚拟化网络设备发送所述注册码和所述秘密密钥。
12.根据权利要求11所述的方法,还包括:响应于从所述多个虚拟化网络设备中的每个虚拟化网络设备接收到对应设备标识数据:
针对所述多个虚拟化网络设备中的每个虚拟化网络设备生成独特设备标识符;
由所述基于云的WAN保证系统将针对所述虚拟化网络设备中的每个虚拟化网络设备的对应条目添加到设备数据库中,其中所述对应条目中的每个对应条目包括对应的所述独特设备标识符;以及
由所述基于云的WAN保证系统向所述虚拟化网络设备中的每个虚拟化网络设备发送针对相应的所述虚拟化网络设备的不同的对应独特标识符和用于在向所述基于云的WAN保证系统安全地发送遥测数据时使用的不同的对应独特加密密钥。
13.根据权利要求11所述的方法,其中所述注册码由针对所述基于云的WAN保证系统的门户生成,所述注册码还包括:用于与所述基于云的WAN保证系统进行初始通信的秘密密钥,并且
其中发送所述设备标识数据包括:经由与所述基于云的WAN保证系统的第一连接来发送所述设备标识数据,所述第一连接使用所述秘密密钥而被建立。
14.一种方法,包括:
响应于从多个虚拟化网络设备中的每个虚拟化网络设备接收到对应设备标识数据,由基于云的广域网WAN保证系统针对所述多个虚拟化网络设备中的每个虚拟化网络设备生成独特设备标识符;
由所述基于云的WAN保证系统将针对所述虚拟化网络设备中的每个虚拟化网络设备的对应条目添加到设备数据库中,其中所述对应条目中的每个对应条目包括对应的所述独特设备标识符;以及
由所述基于云的WAN保证系统向所述虚拟化网络设备中的每个虚拟化网络设备发送针对相应的所述虚拟化网络设备的不同的对应独特标识符和用于在向所述基于云的WAN保证系统发送遥测数据时使用的不同的对应独特加密密钥。
15.根据权利要求14所述的方法,其中来自所述多个虚拟化网络设备中的每个虚拟化网络设备的所述对应设备标识数据中的每个设备标识数据包括:来自由所述基于云的WAN保证系统提供的注册码的组织标识符,其中相同的所述注册码针对所述多个虚拟化网络设备中的每个虚拟化网络设备而被提供。
16.根据权利要求14所述的方法,还包括:
由所述基于云的WAN保证系统将从所述多个虚拟化网络设备中的第一虚拟化网络设备接收的遥测数据与针对所述第一虚拟化网络设备的独特标识符相关联;以及
由所述基于云的WAN保证系统向所述遥测数据应用基于人工智能AI的分析,以提供WAN保证服务。
17.根据权利要求16所述的方法,其中所述第一虚拟化网络设备被配置为,通过修改源设备与目的地设备之间的会话的前向分组流和反向分组流中的至少一项的第一分组,以包括以下项来执行基于会话的路由:
报头,包括所述第一虚拟化网络设备的源地址和所述多个虚拟化网络设备中的第二虚拟化网络设备的目的地地址,所述虚拟化网络设备向所述目的地地址转发所述第一分组;以及
指定针对所述会话的会话标识符的元数据的部分。
18.根据权利要求16所述的方法,还包括:
从所述第一虚拟化网络设备接收设备标识数据,所述设备标识数据包括:所述组织标识符、针对所述网络设备指挥方的标识符、针对执行所述虚拟化网络设备的物理设备的标识符和针对所述虚拟化网络设备的名称;以及
响应于从所述第一虚拟化网络设备接收到所述设备标识数据:
由所述基于云的WAN保证系统将针对所述第一虚拟化网络设备的条目添加到设备数据库中;以及
由所述基于云的WAN保证系统经由所述第一连接向所述第一虚拟化网络设备发送针对所述第一虚拟化网络设备的独特标识符和用于在向所述基于云的WAN保证系统发送遥测数据时使用的独特加密密钥。
19.一种计算机可读存储介质,编码有指令,所述指令用于使一个或多个可编程处理器执行根据权利要求1至18中任一项所述的方法。
20.一种计算设备,包括用于执行根据权利要求1至18中任一项所述的方法的装置。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202163178400P | 2021-04-22 | 2021-04-22 | |
US63/178,400 | 2021-04-22 | ||
US17/645,010 US20220346160A1 (en) | 2021-04-22 | 2021-12-17 | Onboarding virtualized network devices to cloud-based network assurance system |
US17/645,010 | 2021-12-17 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115242645A true CN115242645A (zh) | 2022-10-25 |
Family
ID=80683682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210231422.4A Pending CN115242645A (zh) | 2021-04-22 | 2022-03-10 | 将虚拟化网络设备载入基于云的网络保证系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220346160A1 (zh) |
EP (1) | EP4080850A1 (zh) |
CN (1) | CN115242645A (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11637822B2 (en) * | 2021-09-02 | 2023-04-25 | Hewlett Packard Enterprise Development Lp | Onboarding for cloud-based management |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120707A1 (en) * | 2006-11-22 | 2008-05-22 | Alexander Ramia | Systems and methods for authenticating a device by a centralized data server |
US9729439B2 (en) | 2014-09-26 | 2017-08-08 | 128 Technology, Inc. | Network packet flow controller |
US10277506B2 (en) | 2014-12-08 | 2019-04-30 | 128 Technology, Inc. | Stateful load balancing in a stateless network |
US9729682B2 (en) | 2015-05-18 | 2017-08-08 | 128 Technology, Inc. | Network device and method for processing a session using a packet signature |
US9832082B2 (en) | 2015-06-30 | 2017-11-28 | Mist Systems, Inc. | Monitoring wireless access point events |
US9762485B2 (en) | 2015-08-24 | 2017-09-12 | 128 Technology, Inc. | Network packet flow controller with extended session management |
US9871748B2 (en) | 2015-12-09 | 2018-01-16 | 128 Technology, Inc. | Router with optimized statistical functionality |
US10050947B2 (en) * | 2016-01-28 | 2018-08-14 | Cisco Technology, Inc. | Key distribution in a distributed network environment |
US9985883B2 (en) | 2016-02-26 | 2018-05-29 | 128 Technology, Inc. | Name-based routing system and method |
US10200264B2 (en) | 2016-05-31 | 2019-02-05 | 128 Technology, Inc. | Link status monitoring based on packet loss detection |
US11336654B2 (en) * | 2017-06-16 | 2022-05-17 | Intel Corporation | Cloud-to-device mediator service from services definition |
US10749768B2 (en) * | 2018-11-02 | 2020-08-18 | Cisco Technology, Inc. | Using a multi-network dataset to overcome anomaly detection cold starts |
US10958585B2 (en) | 2018-12-31 | 2021-03-23 | Juniper Networks, Inc. | Methods and apparatus for facilitating fault detection and/or predictive fault detection |
US10958537B2 (en) | 2019-01-18 | 2021-03-23 | Juniper Networks, Inc. | Method for spatio-temporal monitoring |
US10985969B2 (en) | 2019-02-19 | 2021-04-20 | Juniper Networks, Inc. | Systems and methods for a virtual network assistant |
US11159447B2 (en) * | 2019-03-25 | 2021-10-26 | Cisco Technology, Inc. | Predictive routing using machine learning in SD-WANs |
US11451464B2 (en) | 2019-05-13 | 2022-09-20 | 128 Technology, Inc. | Central authority for service and topology exchange |
US11153202B2 (en) | 2019-05-13 | 2021-10-19 | 128 Technology, Inc. | Service and topology exchange protocol |
US10999182B2 (en) | 2019-05-13 | 2021-05-04 | 128 Technology, Inc. | Routing using segment-based metrics |
US11329912B2 (en) * | 2019-05-13 | 2022-05-10 | 128 Technology, Inc. | Source-based routing |
US11075824B2 (en) | 2019-06-19 | 2021-07-27 | 128 Technology, Inc. | In-line performance monitoring |
US11863588B2 (en) * | 2019-08-07 | 2024-01-02 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
US11153119B2 (en) * | 2019-10-15 | 2021-10-19 | Cisco Technology, Inc. | Dynamic discovery of peer network devices across a wide area network |
US11868476B2 (en) * | 2020-06-02 | 2024-01-09 | Hypori, Inc. | Boot-specific key access in a virtual device platform |
-
2021
- 2021-12-17 US US17/645,010 patent/US20220346160A1/en active Pending
-
2022
- 2022-03-08 EP EP22160643.7A patent/EP4080850A1/en active Pending
- 2022-03-10 CN CN202210231422.4A patent/CN115242645A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20220346160A1 (en) | 2022-10-27 |
EP4080850A1 (en) | 2022-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681091B2 (en) | N:1 stateful application gateway redundancy model | |
US11973645B1 (en) | Business policy management for self-driving network | |
CN112653570A (zh) | 采用机器学习以预测和动态调整静态配置参数 | |
US20230070701A1 (en) | Network performance monitoring and fault management based on wide area network link health assessments | |
US20230261930A1 (en) | Predicting network issues based on historical data | |
US20220019494A1 (en) | Failure impact analysis of network events | |
US11805011B2 (en) | Bulk discovery of devices behind a network address translation device | |
Ochoa-Aday et al. | Self-healing and SDN: bridging the gap | |
CN114500376B (zh) | 一种访问云资源池的方法、系统、服务器及存储介质 | |
US11916779B2 (en) | Peer comparison-based outlier detection for network performance monitoring | |
CN114503524A (zh) | 用于基于意图的联网的闭合环路自动化 | |
US20240187962A1 (en) | Wireless signal strength-based detection of poor network link performance | |
US11228603B1 (en) | Learning driven dynamic threat treatment for a software defined networking environment | |
CN116032990A (zh) | 使用会话信息的应用记录 | |
CN114650253A (zh) | 基于会话状态的网络策略应用 | |
EP4080850A1 (en) | Onboarding virtualized network devices to cloud-based network assurance system | |
US11265204B1 (en) | Using a programmable resource dependency mathematical model to perform root cause analysis | |
US11218381B2 (en) | Service tagging optimization for intent-based networking | |
US20240004628A1 (en) | Software image score for recommending software images | |
US20240007350A1 (en) | Network device upgrade based group priority | |
US11088928B2 (en) | Service aware conditional path monitoring | |
US20240187337A1 (en) | Peer comparison-based outlier detection for network performance monitoring | |
US20240113944A1 (en) | Determining an organizational level network topology | |
EP4300291A1 (en) | Software image score for recommending software images | |
CN117331598A (zh) | 针对推荐软件映像的软件映像得分 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |