CN115380516B - 基于lisp的软件定义网络中策略更改的通信 - Google Patents

基于lisp的软件定义网络中策略更改的通信 Download PDF

Info

Publication number
CN115380516B
CN115380516B CN202180027569.5A CN202180027569A CN115380516B CN 115380516 B CN115380516 B CN 115380516B CN 202180027569 A CN202180027569 A CN 202180027569A CN 115380516 B CN115380516 B CN 115380516B
Authority
CN
China
Prior art keywords
mapping
routing device
network
policy
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202180027569.5A
Other languages
English (en)
Other versions
CN115380516A (zh
Inventor
普拉卡什·C·贾恩
桑杰·库玛尔·昊达
萨蒂什·康达拉姆
拉贾·贾纳达南
阿蒂亚·瓦德内尔
希万吉·沙玛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN115380516A publication Critical patent/CN115380516A/zh
Application granted granted Critical
Publication of CN115380516B publication Critical patent/CN115380516B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/742Route cache; Operation thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/33Flow control; Congestion control using forward notification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

用于在基于定位符/ID分离协议(LISP)的网络部署中传达策略更改的系统、方法以及计算机可读介质包括:在第一路由设备处从映射服务器接收第一通知,所述第一通知指示至少一个第一端点设备和至少一个第二端点设备之间基于LISP的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构。如果由所述第一路由设备实现的第一映射缓存的一个或多个条目受到所述策略更改的影响,则所述第一路由设备向所述第二路由设备转发第二通知,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合。

Description

基于LISP的软件定义网络中策略更改的通信
相关申请的交叉引用
本申请要求于2020年5月1日提交的第16/864,442号美国非临时专利申请的权益和优先权,其全部公开内容通过引用明确地整体并入本文。
技术领域
本公开的主题总体上涉及计算机网络领域,更具体地,涉及在基于定位符ID分离协议(LISP)的软件定义网络中高效、快速并可扩展地传送的路由的策略更改。
背景技术
企业网络环境正在不断演变。对移动和物联网(IoT)设备流量、软件即服务(SaaS)应用以及云采用存在更大的需求。近年来,已经开发出软件定义的企业网络解决方案来满足企业网络的需求。软件定义的企业网络或软件定义的接入(SDA)是更广泛的软件定义网络(SDN)技术的一部分,包括软件定义的广域网(SDWAN)和软件定义的局域网(SDLAN)。SDN是一种集中式的网络管理方法,可以从其应用抽象出底层网络基础设施。数据平面转发和控制平面的这种解耦可以允许网络运营商将网络的智能集中化,并提供更多的网络自动化、操作简化以及集中式设置、监视以及故障排除。
定位符ID分离协议(LISP)是一种可以在一些SDN或SDA中使用的网络架构和协议。LISP为企业网络中的多宿主、提供商独立性、移动性以及虚拟化提供了改进的路由可扩展性并促进了灵活的地址分配。例如,LISP通过引入两个独立的IP地址来提供传统互联网架构的替代方案:一个地址用于指示路由定位符(RLOC),其用于通过全球互联网来路由流量;另一个地址用于指示端点标识符(EID),其用于识别设备之间的网络会话。
网络结构中的一些LISP部署可以包括基于策略的路由,在站点(例如,数据中心)内以及在共享服务(例如,外联网共享服务)间进行路由。当使用这种基于策略的路由时,策略中的任何更改(例如,可以允许哪些EID进行通信)可能不会传播到可能负责实现策略的路由器。将所有策略更改即时传达给所有网络节点的广义方法不是可行、高效或可扩展的。另一方面,如果由于策略更改没有及时传达而在一些路由器处保留了陈旧的路由策略,则可能会发生错误的路由通信,这可能会导致信息丢失、安全风险和/或其他不良效果。
附图说明
为了描述能够获得本公开的上述和其他优点和特征的方式,将通过参考附图中示出的具体实施例对以上简要描述的原理进行更具体的描述。应理解的是,这些附图仅描绘了本公开的示例性实施例,而不应被认为是对其范围的限制,本文的原理通过使用附图以附加的特异性和细节来描述和说明,其中:
图1示出了根据一些示例的高级网络架构;
图2示出了根据一些示例的被配置用于LISP部署的网络;
图3示出了根据一些示例的用于基于网络站点内的策略更改来接收和转发选择性和聚合性映射通知的处理流程;
图4和图5示出了根据一些示例的用于基于外联网共享服务中的策略更改来接收和转发选择性和聚合性映射通知的处理流程;
图6A至图6C示出了根据一些示例的基于策略更改的选择性和聚合性映射通知的消息格式;
图7示出了根据一些示例的基于策略更改来传达选择性和聚合性映射通知的过程;
图8示出了根据一些示例的示例网络设备;以及
图9示出了根据一些示例的示例计算设备架构。
具体实施方式
下文将详细讨论本公开的各种实施例。虽然讨论了具体的实现方案,但应该理解的是,这样做只是出于说明的目的。相关领域的技术人员将认识到在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。
概述
本公开的各方面在独立权利要求中阐述,并且优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
本公开的附加特征和优点将在随后的描述中阐述,并且部分地从描述中是显而易见的,或者可以通过实践本文公开的原理而获知。本公开的特征和优点可以通过所附权利要求中特别指出的仪器和组合来实现和获得。本公开的这些和其他特征将通过以下描述和所附权利要求变得更加显而易见,或者可以通过实践本文阐述的原理而获知。
本文公开了用于在基于定位符/ID分离协议(LISP)的网络部署中传送策略更改的系统、方法以及计算机可读介质。例如,第一路由设备从映射服务器接收第一通知,第一通知指示第一端点设备和第二端点设备之间基于LISP的通信的策略更改,第一端点设备通过第一路由设备连接到网络结构,第二端点设备通过第二路由设备连接到网络结构。在一些示例中,第一通知可以是由第一或第二路由设备请求的(通过订阅)或者可以是未请求的(由映射服务器强制)。第一通知可以在映射策略中的策略更改在映射服务器中生效时被立即发送,选择性地发送到边缘/边界设备,例如,之前可能已经向映射服务器登记的第一路由设备、受策略更改影响的端点。如果由第一路由设备实现的第一映射缓存的一个或多个条目受到策略更改的影响,则第一路由设备向第二路由设备转发第二通知,第二通知指示连接到第二路由设备的受到策略更改影响的一个或多个端点的集合。第二通知是选择性和聚合性通知,其指示所述第二路由设备的可能受到策略更改影响的所有端点。
在一些示例中,提供了一种方法。所述方法包括:在第一路由设备处从映射服务器接收第一通知,所述第一通知指示第一端点设备和第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合。
在一些示例中,提供了一种系统,所述系统包括:一个或多个处理器;以及包含指令的非暂时性计算机可读存储介质,所述指令当在所述一个或多个处理器上执行时,使得所述一个或多个处理器执行操作,所述操作包括:在第一路由设备处从映射服务器接收第一通知,所述第一通知指示第一端点设备和第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合。
在一些示例中,提供了一种包括指令的非暂时性机器可读存储介质,所述指令被配置为使得数据处理装置执行操作,所述操作包括:在第一路由设备处从映射服务器接收第一通知,所述第一通知指示第一端点设备和第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合。
一些示例还包括:如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则在向所述第二路由设备转发所述第二通知时,修改或删除所述第一映射缓存的所述一个或多个条目。
在一些示例中,所述第二通知还包括用于使所述第二路由设备删除由所述第二路由设备实现的第二映射缓存中的包括所述一个或多个端点的集合的映射的指令。
在一些示例中,从所述映射服务器接收的映射信息包括:从所述映射服务器接收的响应于从所述第一路由设备发送到所述映射服务器的第一映射请求的至少一个第一映射回复,所述第一映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第一请求的。
在一些示例中,从所述映射服务器接收的所述第一映射回复是基于第一映射策略的,其中,所述第一映射策略基于所述策略更改被修改为第二映射策略。
一些示例还包括:从所述映射服务器接收响应于来自所述第一路由设备的第二映射请求的所述第二映射策略,所述第二映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第二请求的;以及利用所述第二映射策略更新所述第一映射缓存。
在一些示例中,所述第一端点设备和所述第二端点设备属于公共站点,所述公共站点实现公共虚拟路由转发(VRF)网络,其中,所述公共VRF网络中的所有端点设备的实例标识符(IID)是相同的。
在一些示例中,所述第一端点设备属于具有第一实例标识符(IID)的第一虚拟路由转发(VRF)网络,所述第二端点设备属于具有第二实例标识符(IID)的第二VRF网络,所述第一VRF网络和所述第二VRF网络属于外联网共享服务。
示例实施例的描述
图1示出了用于实现本技术的各方面的网络架构100的示例。网络架构100的实现方式的示例是软件定义广域网(SD-WAN)架构。在一些示例中,网络架构100可以对应于企业结构或SDA网络。然而,本领域普通技术人员将理解的是,对于本公开中讨论的网络架构100和任何其他系统,在类似或替代配置中可以存在额外或更少的组件。出于简洁和清楚的目的而在本公开中提供说明和示例。其他示例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解的是,此类变化不脱离本公开的范围。
在所示的示例中,网络架构100包括编排平面102、管理平面120、控制平面130以及数据平面140。编排平面102可以协助边缘网络设备142(例如,交换机、路由器等)自动加入(automatic on-boarding)覆盖网络(overlay network)。编排平面102可以包括一个或多个实体或虚拟的网络编排器装置104。网络编排器装置104可以执行边缘网络设备142的初始认证并编排控制平面130和数据平面140的设备之间的连通性。在一些方面,网络编排器装置104还可以实现位于网络地址转换(NAT)之后的设备的通信。在一些方面,实体或虚拟的SD-WAN vBond装置可以作为网络编排器装置104操作。
管理平面120可以负责网络架构100的中央配置和监视。管理平面120可以包括一个或多个实体或虚拟的网络管理装置122。在一些实施例中,网络管理装置122可以经由图形用户界面提供集中式的网络管理,以使用户能够监视、配置以及维护边缘网络设备142和底层的覆盖网络中的链路(例如,互联网传输网络160、MPLS网络162、4G/LTE网络164)。网络管理装置122可以支持多租户,并且能够集中式管理与不同实体(例如,企业、企业内的部门、部门内的组等)相关联的逻辑隔离网络。替代地或附加地,网络管理装置122可以是针对单个实体的专用网络管理系统。在一些实施例中,实体或虚拟的SD-WAN vManage装置可以作为网络管理装置122操作。
控制平面130可以构建并维护网络拓扑,并对流量流向何处做出决定。控制平面130可以包括一个或多个实体或虚拟的网络控制器装置132。网络控制器装置132可以建立到每个网络设备142的安全连接,并通过控制平面协议(例如,覆盖管理协议(OMP)(下文将详细讨论))、开放最短路径优先(OSPF)、中间系统到中间系统(IS-IS)、边界网关协议(BGP)、协议无关多播(PIM)、互联网组管理协议(IGMP)、互联网控制消息协议(ICMP)、地址解析协议(ARP)、双向转发检测(BFD)、链路聚合控制协议(LACP)等)分发路由和策略信息。在一些示例中,网络控制器装置132可以作为路由反射器操作。网络控制器装置132还可以编排数据平面140中的边缘网络设备142之间安全连通性。例如,在一些实施例中,网络控制器装置132可以在网络设备142之间分发密钥信息。这可以允许网络支持安全网络协议或应用(例如,互联网协议安全性(IPSec)、传输层安全性(TLS)、安全外壳(SSH)等)而无需互联网密钥交换(IKE),并实现网络的可扩展性。在一些示例中,实体或虚拟的SD-WANvSmart控制器可以作为网络控制器装置132操作。
数据平面140可以负责基于来自控制平面130的决定而转发分组。数据平面140可以包括边缘网络设备142,其可以是实体或虚拟的网络设备。边缘网络设备142可以在组织的各种网络环境的边缘处操作,例如,在一个或多个数据中心或托管中心150、校园网络152、分支机构网络154、家庭办公室网络154等中、或者在云(例如,基础设施即服务(IaaS)、平台即服务(PaaS)、SaaS以及其他云服务提供商网络)中的组织的各种网络环境的边缘处操作。边缘网络设备142可以通过一个或多个WAN传输来提供站点之间的安全数据平面连通性,例如,通过一个或多个互联网传输网络160(例如,数字订户线(DSL)、电缆等)、MPLS网络162(或其他私人分组交换网络(例如,城域以太网、帧中继、异步传输模式(ATM)等)、移动网络164(例如,3G、4G/LTE、5G等)或其他WAN技术(例如,同步光网络(SONET)、同步数字体系(SDH)、密集波分复用(DWDM)或其他光纤技术;租用线路(例如,T1/E1、T3/E3等);公共交换电话网络(PSTN)、集成服务数字网络(ISDN)或其他私人电路交换网络;小孔径终端(VSAT)或其他卫星网络等)。边缘网络设备142可负责流量转发、安全、加密、服务质量(QoS)以及路由(例如,BGP、OSPF等)等任务。在一些实施例中,实体或虚拟的SD-WAN vEdge路由器可以作为边缘网络设备142操作。
图2示出了被配置用于LISP部署环境的网络200的示例。在一些示例中,可以使用网络架构100来实现网络200。如前所述,定位器ID分离协议(LISP)提供了改进的路由可扩展性,并且有助于用于各种用途(例如,多宿主、提供商独立性、移动性,以及虚拟化)的灵活地址分配。LISP使用两个独立的IP地址:一个地址用于指示路由定位器(RLOC),其用于通过全球互联网来路由流量;另一个地址用于指示端点标识符(EID),其用于识别设备之间的网络会话。在一些示例中,LISP EID命名空间可以以类似于在非LISP环境中定义终端站点的方式来表示客户端站点,显著区别在于:这些LISP站点中使用的IP地址不在非LISP互联网或RLOC命名空间(例如,属于企业结构220)中公布。在一些示例中,终端客户LISP功能可以部署在客户端点路由器上,这些路由器可以包括出口隧道路由器(ETR)和入口隧道路由器(ITR)。在一些示例中,xTR可以执行ETR和ITR的LISP功能。
图2示出了各种站点,例如,虚拟路由转发站点(VRF),这些站点可以包括诸如外部网络或互联网202之类的提供者,以及诸如共享服务204A-C之类的共享VRF。例如,共享服务可以包括主机(例如,共享服务204A中的主机240)。边界路由器(例如,xTR)222A和222B可以使用路由器206A-C分别提供对共享服务204A-C的访问,以将流量路由到核心或企业结构220。类似地,路由器208A可以将外部网络或互联网202连接到企业结构220。数个边缘设备226A-C可以包括用于提供对终端单元或主机230的访问的路由器。诸如MSMR210之类的一个或多个映射服务器(或实现映射服务器/映射解析器功能的设备)可以维护并实现各种路由器(例如,边界设备222A-B、边缘设备226A-B或其他客户端设备(CPE)路由器)的路由策略。
更详细地考虑ETR的功能,ETR(例如,在边界设备222A中实现)可以将站点(例如,互联网202)连接到核心网络的支持LISP的部分(例如,企业结构220的支持LISP的部分)。响应于映射-请求(Map-Request)消息,ETR可以为站点发布EID到RLOC的映射,且将LISP封装的用户数据解封装并递送到站点处的终端系统。在操作期间,ETR向所有其配置的映射服务器(例如,MSMR 210)发送周期性的映射-登记(Map-Register)消息。Map-Register消息可以包含连接到ETR的站点的EID编号的网络的所有EID-to-RLOC(EID-到-RLOC)条目。
在一些实现方式中,接收Map-Request消息的ETR验证此请求与其所授权的EID相匹配,构造包含其配置的映射信息的适当映射-回复(Map-Reply)消息,并将此消息发送到入口隧道路由器(ITR)(例如,边界设备222A的ITR),其RLOC被列在Map-Request消息中。例如,ETR接收到被定向到其RLOC之一的LISP封装的分组,ETR将该分组解封装,验证内部报头是以其站点处的EID编号的终端系统为目的地的,然后使用站点内部路由将该分组转发到终端系统。
另一方面,ITR可以被配置为寻找目的地是由ITR(例如,边缘设备226A-C的ITR)处理的支持LISP的站点的所有流量的EID-to-RLOC映射。当ITR接收到以EID为目的地的分组时,ITR可首先在其映射缓存中查找EID。如果ITR找到匹配项,则ITR将分组封装在LISP报头中,使得其RLOC之一作为IP源地址,并且RLOC中的来自映射缓存条目中的一个RLOC作为IP目的地。然后,ITR正常路由分组。
如果在ITR的映射缓存中未找到条目,则ITR将Map-Request消息发送到其配置的映射解析器之一,例如,MSMR 210,然后丢弃原始分组。当ITR接收到对其Map-Request消息的响应时,其利用Map-Reply消息的内容来创建新的映射缓存条目。当另一个分组(例如,针对原始且现在被丢弃的分组的重传)到达时,使用新的映射缓存条目进行封装和转发。
MSMR 210可以被配置为维护映射或路由策略并向各种请求实体(例如,上文讨论的ITR)提供映射或路由策略。例如,LISP部署被配置为基于拉取的机制,用于使用Map-Request消息获取路由策略。例如,在响应于Map-Request在Map-Reply消息中提供策略的基于拉取的机制与基于推送的机制的不同之处在于,后者的任何策略及其更改都可以被推送,以使用广播散布传达到所有节点。在此类基于用于获取路由策略的基于拉取的机制的LISP部署中,策略更改不会立即生效。这是因为映射缓存的相关条目不会在由MSMR210实现策略更改时立即在相应的ETR/ITR处被立即修改或清除。例如,如果ITR基于来自MSMR 210的Map-Reply在其映射缓存中在映射缓存条目中存储了特定映射,则策略更改会导致映射缓存条目变得陈旧。然而,在现有的常规实现方式中,没有在策略更改发生时立即修改或删除ITR的此映射缓存条目的机制。更确切地说,映射缓存在常规实现方式中定期清理之前将其条目保留相对较长的一段时间(例如,24小时)。
在映射缓存可能被定期清理之前的给定时间段内,由于常规的LISP协议在基于拉取的模式中运行,因此对映射或路由的请求(例如,Map-Request)可能只能在边缘设备第一次从端点接收到请求时,从边缘交换机或路由器(例如,xTR)被发送。如上所述,接收到的呈Map-Reply形式的响应保留在映射缓存条目中,即使策略更改可能导致该映射缓存条目变得已过时和不正确也是如此。在常规的实现方式中,MSMR 210未被配置为保持对MSMR 210可能已经从其接收到Map-Request的所有边缘设备进行跟踪。因此,MSMR 210可能无法确定哪些边缘设备可能已经接收到可能受策略更改影响的Map-Replies。例如,通知企业结构220中的所有设备或节点可能不是一个可行的选择,因为在典型部署中存在大量这样的设备,并且向所有节点进行这样的广播可能会消耗带宽和资源。
此外,在现有实现方式中缺少用于清除或修改映射缓存的安全协议消息也会引起安全问题,因为允许这种消息传递选项是临时性的(ad-hoc)会使恶意行为者能够开发可以破坏整个网络的消息。例如,即使控制器(例如,Cisco DNAC)可用于供应企业结构220,此类控制器也可能无法以可扩展的方式清除所有设备处的所有映射缓存,同时足够快地确保MSMR策略更改可以立即在所有边缘设备中生效。
此外,如果边缘设备处的映射缓存条目保留陈旧或已过时的映射配置的策略,则此已过时的策略可能将与基于策略更改制定的最新或现行的策略冲突地允许或禁止例如一些端点EID之间的通信。此类冲突可能会带来安全风险和业务影响,例如,对于企业部署。虽然在一些支持LISP的站点中(例如,在数据中心、主机、VRF、VN等内),可以利用基于动态xTR的LISP路由学习机制,这些机制可以基于数据流量模式发出请求映射请求(SMR),但当MSMR用于维护路由策略时,当缺少数据流量时,或者如图2所示在站点间实现基于LISP的通信时,此类实现方式也不适合。
因此,重要的是,策略更改以选择性且可扩展的方式以短顺序(例如,在MSMR 210中实现改变后立即)传播。在本公开的示例方面,公开了用于以选择性、高效且可扩展的方式传达策略更改的有效技术,解决了现有实现方式中的上述需求和挑战。
在本公开的一些示例方面,诸如MSMR的映射服务器被配置为生成LISP映射通知(或发布),并将通知发送到网络的选定的节点集(例如,节点的子集)。选定的节点集可以包括可能受策略更改影响的边缘设备或边界节点。例如,选定的节点集可能已经向MSMR发送了Map-Requests,其中Map-Requests(和/或来自MSMR的相关Map-Replies)可能已经包括可能受由MSMR实现的策略更改的影响的EID或前缀。在一些示例中,选定的节点集可能已向MSMR登记了EID或前缀,其中此类登记的EID或前缀可能属于可能受策略更改影响的站点(例如,VN/VRF)。
在一些实现方式中,MSMR可以跟踪和维护与包括在由MSMR接收的Map-Requests中的源和目的地EID相关联的所有边缘/边界设备的列表。如果策略更改可能影响此列表中的EID,则MSMR可以确定选定的此类边缘设备的集合。在一些实现方式中,选定的边缘/边界节点可能已经登记了受策略更改影响的前缀/EID,或者可以是受策略更改影响的VN/VRF的路由器。附加地或替代地,选定的边缘/边界节点可能已经订阅了策略更改,例如,根据LISP发布者-订阅者机制。在一些示例中,选定的边缘/边界节点可以知晓在相应站点内受策略更改影响的流量流和未受策略更改影响的流量流。
当在选定的边缘/边界设备处从MSMR接收到关于策略更改的通知后,这些边缘/边界设备可以生成定向到针对受策略更改影响的所有流量流或端点的边界/边缘设备(将在下文中进一步说明)的选择性和聚合性SMR。例如,就实现外联网的共享服务而言,可以由MSMR生成选择性和聚合性映射通知,并将其连同与可能在同一边缘设备之后的不同的VRF/VN相关联的EID的指示发送到针对受策略更改影响的所有前缀的边缘或边界设备(例如,用于共享服务204A-C的设备206A-C)。
图3是示出实现LISP的站点内的选择性和聚合性映射通知和SMR的示例方面的流程图300。例如,流程图300可以由一个或多个边缘设备实现,例如,图2所示的用于相应的主机230和企业结构220之间的通信的路由器226A和226B。在一些示例中,两个端点主机H1和H2可以在相同xTR或不同xTR之后,其中主机H1和H2可以属于同一站点,例如,VRF-A。在图3中,主机H1(指定为230A)可以在实现xTR1的边缘设备226A之后,并且主机H2(指定为230B)可以在实现xTR2的边缘设备226B之后。边缘设备226A和226B可以包括ETR和/或ITR(或xTR),用于使用LISP协议在主机H1和H2之间处理和路由请求。例如,边缘设备226A-B可以从MSMR210获得管理位于VRF-A中的端点之间的通信或数据流的策略。
在说明性示例中,在340处,MSMR210可以利用可应用于站点VRF-A的站点策略来更新或实例化。在350处,主机H1(230A)可以将预期用于主机H2(230B)的数据流量发送到xTR1(226A),或更具体地,发送到xTR1中提供的ITR。在352处,位于xTR1中的ITR可以发送用于与端点主机H2通信的Map-Request。在354处,MSMR210可以针对Map-Request根据当前MSMR站点策略(在340处配置)提供Map-Reply。例如,MSMR 210可以向xTR1提供Map-Reply,其包括映射信息,例如,H2的EID和RLOC,该RLOC将xTR2(226B)标识为目的地主机H2位于其后的路由器。此外,在本公开的各方面中,MSMR 210可以将接收该Map-Request并回复Map-Reply作为R1。在356处,xTR1中的ITR可以在其映射缓存中(例如,在特定映射缓存条目处)设置用于根据MSMR策略在端点H1和H2之间进行通信的映射信息。尽管未明确示出,但H1可以使用映射缓存条目中的映射信息将流量发送到H2,例如,通过将数据转发到xTR2,然后xTR2将使用LISP协议将数据发送到主机H2。xTR2也可以将用于H1和H2之间的通信的映射信息存储在自身的映射缓存中。
在360处,可以对MSMR 210中的站点策略配置进行更改。例如,具有前缀H的子网可被阻止彼此通信。这可意味着H1不能再使用在356处存储在映射缓存条目中的映射信息与H2进行通信。
如果此策略更改没有被传达到xTR1,则xTR1可能继续基于存储在其映射缓存中的初始策略将预期用于H2的流量转发到xTR2。即使xTR2从xTR1接收到了这种流量,但根据新策略,xTR2可能不再被允许支持端点H1和H2之间的通信。应注意的是,通常,只有当端点H2不再存在于xTR2之后时,才能产生请求映射请求(SMR)。然而,在此示例中,H2继续存在,但只在新策略生效了的映射服务器MSMR 210上更改了相关联的策略。因此,在此示例中,将不会产生SMR,并且xTR1将继续向xTR2发送流量,从而违反新策略。
然而,根据本公开的各方面,上述缺点可以被克服。如下文进一步详细描述的,在新策略在映射服务器上生效时,将生成选择性和聚合性SMR,以促使新策略立即被应用。
根据本公开的一个示例方面,MSMR 210可以在362处识别在360处的策略更改中所影响的子网H、以及来自站点登记的RLOC。这将揭示出上文提到的登记R1。在364处,MSMR210可以基于此登记R1向与登记R1相关联的边缘/边界设备发送选择性的映射通知,此映射通知与将前缀为H的子网作为目的地EID的映射配置有关。此边缘/边界设备就是上述示例中的xTR1(226A)。因此,MSMR 210不是向企业结构220中的所有边缘设备发送映射通知,而是可以选择性地只通知诸如边缘设备226A之类的边缘/边界设备,边缘设备226A在此示例中被登记为具有用于与具有前缀H的EID进行通信的策略(应注意的是,在其他示例中,可以基于设备的登记情况而存在两个或更多个选择性的映射通知被发送到的此类设备)。
在366处,xTR1验证出存在目的地H的数据库映射,例如,在其映射缓存中存在映射缓存条目。尽管在352处的Map-Request可能是针对具体的EID H2的,但在此示例中策略更改可能会影响所有前缀H。此外,xTR1基于存储在映射缓存条目中的RLOC而知晓至少EID H2位于xTR2之后。因此,在368处,xTR1将选定的通知转发到xTR2,以告知xTR2策略更改。选定的通知不仅涉及可能已经存储在xTR1的映射缓存中的特定EID H2,而且涉及xTR2的受策略更改影响的所有前缀H。因此,在368处的通知被称为选择性和聚合性SMR,其(基于xTR1的以下映射缓存条目:该映射缓存条目在其RLOC中指示xTR2)被选择性地发送到xTR2,并聚合性地发送到xTR2之后具有H前缀的所有EID。在372处,在发送通知后,xTR1删除其映射缓存中根据此示例具有H前缀的所有映射缓存条目(例如,包括用于根据原始但已过时的策略在H1和H2之间通信的映射缓存条目)。
在370处,在从xTR1接收到选择性和聚合性SMR后,xTR2验证SMR,以确定存在H前缀的映射缓存条目(例如,用于H1和H2之间通信的映射缓存条目)。然后,xTR2可以删除被检测为具有H前缀的所有映射缓存条目,例如,诸如H2之类的所有端点。一旦对应于H前缀的映射缓存条目被从xTR1和xTR2删除,则在360处的策略更改就被认为已经成功地从MSMR 210传达到受策略更改影响的边缘/边界节点。
随后,主机之间的任何通信可以基于从MSMR拉取新策略来进行。例如,对于在374处来自H2并以H1为目的地的流量,xTR2可以在376处发送用于目的地H1的新的Map-Request,在378处获得来自MSMR 210的Map-Reply中的相应的新登记,在380处根据新策略在其ITR中设置新映射并继续进行H2和H1之间的通信。类似地,对于在382处来自H1并以H2为目的地的流量,xTR1可以在384处发送用于目的地H2的新的Map-Request,在386处获得来自MSMR 210的Map-Reply中的相应的新登记,在388处根据新策略在其ITR中设置新映射并继续进行H1和H2之间的通信。
以这种方式,使用用于站点内LISP通信的选择性和聚合性SMR和流程图300的相关方面,可以以有效的瞬时方式高效地从MSMR210向选定的节点集传送或传达策略更改。
图4和图5涉及不同站点之间基于LISP的通信(例如,用于共享服务,例如,外联网共享服务)的流程图。企业结构220或其他校园结构架构可以使用LISP作为其VN/VRF的覆盖协议,以在诸如共享服务204A-C之类的外联网共享网络中提供分段、隔离、安全等。LISP可以将VRF与实例ID(IID)绑定,并将此类IID包括在LISP报头中,以便为单跳或多跳链路提供流量流分离。LISP学习的映射可以保持在同一实例ID(IID)或VRF上下文中,而不是在IID或VRF之间共享。当两台主机(订户和提供商)在IID间相互通信时,LISP映射可以在IID间共享。这种在IID间的通信支持被称为外联网或LISP VRF泄露。
下面的说明性示例用于说明外联网或LISP泄露,其中,主机H1、H2在对应于IID1000的VRF A中,主机H11在对应于IID 2000的VRF B中,而主机H22在对应于IID 3000的VRFC中。VRF A、VRF B以及VRF C中的所有主机可以从对应于IID 5000的VRF S中的服务器H3访问共享服务。可以基于ETR(xTR1和xTR2)检测本地主机(分别为H1、H11和H2、H22)并将它们登记到相应的源IID(1000、2000以及3000)中,来在MSMR(xTR3)上实现这种配置的外联网策略。当ITR(xTR1)从H1接收到用于与H3通信的请求时,其在源IID 1000的上下文中生成针对目的地前缀(H3)的map-request。MSMR(xTR3)可以接收map-request,但在源IID上下文(1000)中找不到目的地EID/前缀H3。因此,MSMR将在外联网策略表中查找H3以确定目的地IID(5000),将目的地IID(5000)作为封装IID添加到map-reply分组中,并将map-reply分组发送到xTR1。
在接收到map-reply后,xTR1可以在其映射缓存中将目的地VRF设置为封装IID(5000),其具有EID和RLOC。xTR1可以使用源IID(1000)来匹配来自其主机的传入分组,并且朝向具有封装IID(5000)而不是源IID(1000)的远程RLOC对分组进行封装。MSMR通过转发或回复来自ITR的映射请求,促进EID前缀之间的路由。在MSMR上定义的外联网策略决定VRF间的泄露,以促进上述的外联网通信。
参考图4的流程图400,示出了与由两个或多个路由器管理的共享服务中的端点或主机有关的LISP通信的各方面。主机H1和H2可属于一个共享服务(例如,共享服务204A),但具有不同的IID。两个边界设备(例如,路由器404A和404B)可以分别与主机H1和H2相关联,其中边界设备可类似于边界设备222A-B,用于基于从MSMR 210获得的策略与企业结构220进行通信,如参考图4所述。
在说明性示例中,在440处,MSMR 210可以利用外联网泄露策略进行更新或实例化,此外联网泄露策略可以适用于用于不同VRF或IID(例如,IID1和IID2)的主机之间的通信的共享外联网站点。在450处,xTR1(404A)或位于xTR1中的ITR可以从H1(402A)接收传入分组,具有的EID为EID1,指定目的地H2。在452处,xTR1可以发送用于从IID1与端点H2通信的Map-Request。在454处,MSMR 210可以针对Map-Request根据当前的MSMR泄露策略(在440处配置)提供Map-Reply。例如,MSMR 210可以向xTR1提供Map-Reply,其在封装的分组中包括映射信息,例如,H2的RLOC(以及IID2中的EID)。此外,在本公开的各方面中,MSMR 210可以将接收该Map-Request并回复Map-Reply作为R1。在456处,xTR1可以利用IID2封装请求中的分组,并将其发送到xTR2。在458处,xTR2将此分组解封装并将其发送到目的地H2。
对于从H1到H2的通信,遵循类似的过程。在462处,xTR2可以发送用于与来自IID2的端点H1通信的Map-Request。在464处,MSMR 210可以针对Map-Request根据当前的MSMR泄露策略(在440配置)提供Map-Reply。例如,MSMR 210可以向xTR2提供Map-Reply,其在封装分组中包括映射信息,例如,H1的RLOC(以及IID1中的EID)。此外,在本公开的各方面中,MSMR 210可以将此Map-Request和Map-Reply登记为R2。在466处,xTR2可以利用IID1封装请求中的分组,并将其发送到xTR1。在468处,xTR2将此分组解封装并将其发送到目的地H1。
图5是示出通信策略更改的各方面的流程图500。步骤440和450-454与图4重复。在图5中,图4的xTR1 404A的ITR和ETR被分别示出。ITR/IID2与xTR2(404B)类似。主机H1和H2可以位于不同的站点(IID1和IID2)处。在发送从H1与H2通信的请求后,根据步骤450-454进行映射请求和映射回复,在456处,ITR/IID1可以在其映射缓存中存储用于H1/IID1和H2/IID2之间通信的MSMR策略。
在560处,可以对MSMR 210中的外联网策略配置进行更改。例如,可以防止在IID1中具有前缀H1的子网与在IID2中包括前缀H2的一个或多个子网进行通信。这可能意味着H1不再能够使用在456处存储在映射缓存条目中的映射信息来与H2通信。
根据本公开的示例方面,MSMR 210可以在562处识别在560处的策略更改中所影响的EID(H1/IID1和H2/IID2),以及来自登记的RLOC。这将揭示出上文提到的登记R1。在564处,MSMR 210可以基于此登记R1向与登记R1相关联的边界设备发送选择性的映射-通知(map-notify),map-notify与具有H1/IID1和H2/IID2作为EID的映射配置有关。
在566处,验证由ETR/IID1(404A)接收的此通知而得出:存在H1/IID1映射的数据库映射,例如,在其映射缓存中存在映射缓存条目。在568处,ETR/IID1(404A)向ITR/IID2(404B)发送针对源H2/IID2的IID2中H1前缀的选择性和聚合性SMR。相应地,ITR/IID1(404A)找到IID1中H2前缀的所有映射缓存条目并将它们删除。
在570处,在接收到选择性和聚合性SMR后,ITR/IID2验证此通知,以确定存在H1/IID1的映射缓存条目,并找到IID2中H1前缀的所有映射缓存并将它们删除。在572处,删除H2前缀的所有映射缓存条目。一旦对应于H1和H2前缀的映射缓存条目已经被从404A和404B的两个映射缓存删除,则在560处的策略更改就会被认为已经成功地从MSMR 210传达到受策略更改影响的边界设备404A和404B。
随后,主机H1和H2之间的任何通信可以基于从MSMR拉取新策略来进行。例如,对于在574处来自H2并以H1为目的地的流量,ITR/IID1可以在576处发送用于目的地H1/IID1的新的Map-Request,在578处获得来自MSMR 210的Map-Reply中的相应的新策略,在580处根据新策略在其映射缓存中设置新映射并继续进行H2和H1之间的通信。类似地,对于在582处来自H1并以H2为目的地的流量,ITR1/IID1可以在584处发送用于目的地H2/IID2的新的Map-Request,在586处获得来自MSMR 210的Map-Reply中的相应的新登记,在588处根据新策略在其映射缓存中设置新映射并继续进行H1和H2之间的通信。
相应地,正如可以从流程图500中观察到的那样,在步骤562处,MSMR 210可以基于更改的MSMR策略在来自MSMR的示例非请求map-notify消息中提供接收方ITR(ITR/IID2)和发送方ETR(ETR/IID1)的IID和子网。在步骤568处,在从ETR/IID1发送选择性和聚合性SMR时,接收方ITR的ID(IID2)和订户前缀(H2)以及发送方/提供方ETR的IID(IID1)和提供方前缀(H1)均可以被编码在在568处发送的消息中。接收方ITR/IID2可以在自身的实例-id(IID2)上下文中处理在568处接收到的用于H1目的地的SMR通知。发送ITR的实例-id(IID2)的一个优点在于ITR/IID2能够避免搜索来找到其实例-id或处理SMR消息的上下文。另一个优点在于,即使策略更改可能影响ETR子网H1/IID1,但如果ITR/IID1在针对ETR的IID1和前缀的不同的实例中具有多个映射缓存,则只有对应于IID2的映射缓存将被修改。正如可以理解的那样,上述方法既适用于供应商的策略更改,也适用于订户的策略更改,并且可以在供应商和订户两边更新映射缓存。
以这种方式,使用用于部署在外联网共享服务中的LISP通信的选择性和聚合性SMR以及流程图500的相关方面,可以以有效的瞬时方式高效地从MSMR 210向选定的节点集传送或传达策略更改。
在一些示例中,可以使用参考图6A至图6C所示和描述的消息格式来实现上文讨论的选择性和聚合性映射-通知(map-notification)和SMR消息。图6A显示了常规的映射-登记(Map-Register)格式。为了识别流量流,源和目的地前缀及它们各自的VN ID可以在图6A的Map-Register格式的EID前缀中使用字段LCAF(EID-Preix-AFI=16387(LCAF),类型1:LIST类型)或使用上述map-notify消息中的多个记录进行编码。消息可以携带特殊标识(例如,私人LCAF或其他),以指示特殊的“选择性和聚合性”Map-Notify,例如,如图6B所示的示例EID-前缀字段。
图6C示出了Map-Request消息格式,其中SMR被示出为设置了S/P位集合的映射请求消息。Map-Request消息格式是其他可能的格式之外的一个示例格式,其他可能的格式可以包括用于传达参考图6C所示和描述的信息的不同编码或格式。可以在EID记录之后,使用LCAF编码(EID-Prefix-AFI=LCAF)对映射请求消息进行编码,并且映射请求消息可以用于携带源EID IID。此信息可以包括标识(例如,私人LCAF或其他),以指示特殊的“选择性和聚合性”SMR格式。在一些示例中,发送方ITR VN的ID可以在映射-请求消息的Source-EID字段中使用LCAF(Source-EID-AFI=16387(LCAF),类型2:实例ID类型)进行编码。
在描述了示例系统和构思之后,本公开现在转向图7中示出的过程700。图中勾勒的框是示例,并且这些框可以以其任何组合(包括排除、增加或修改某些步骤的组合)来实现。
在框702处,过程700包括在第一路由设备处从映射服务器接收第一通知,第一通知指示第一端点设备和第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,第一端点设备通过第一路由设备连接到网络结构,第二端点设备通过第二路由设备连接到网络结构。例如,可以从MSMR 210接收第一通知(例如,364或564),并且第一通知可以包括到选定的边缘/边界设备的子集的选择性映射-通知(未由任何边缘/边界设备请求),这些边缘/边界设备例如是先前已向MSMR 210登记(例如,登记R1)并且被确定为具有可能受到MSMR 210中的策略更改的影响的前缀或端点的路由设备。
在一些示例中,第一端点设备(例如,230A)和第二端点设备(例如,230B)可以属于公共站点(例如,VRF-A),此公共站点实现公共虚拟路由转发(VRF)网络,此公共VRF网络中的端点设备具有相同的实例标识符(IID),其中第一路由设备(例如,226A)和第二路由设备(例如,226B)可以各自包括实现相应的xTR以将端点设备连接到企业结构220的边缘设备。
在另一个示例中,第一端点设备(例如,402A)属于具有第一实例标识符(例如,IID1)的第一虚拟路由转发(VRF)网络,第二端点设备(例如,402B)属于具有第二实例标识符(例如,IID2)的第二VRF网络,第一VRF网络和第二VRF网络属于外联网共享服务(例如,服务204A),其中,第一路由设备和第二路由设备是用于将共享服务的端点连接到企业结构220的边界设备(例如,222B)。在本文讨论的各种示例中,在不偏离示例方面的描述范围的情况下,第一路由设备和第二路由设备可以连接到提供商或订户。
在框704,过程700包括确定在第一路由设备中实现的第一映射缓存的一个或多个条目是否受到策略更改的影响,其中,第一映射缓存的一个或多个条目包括从映射服务器接收的映射信息。例如,在366或566处,相应的映射缓存可以验证从MSMR 210接收的映射通知,并确定映射缓存是否可能包括具有可能受到策略更改的影响的映射信息的一个或多个条目。映射缓存中的映射信息可以是基于先前从映射服务器接收到的映射策略的,例如,基于从映射服务器接收的响应于从第一路由设备发送到映射服务器的第一映射请求(例如,352/452)的至少一个第一映射回复(例如,354/454),该第一映射请求是基于由第一路由设备接收的用于第一端点设备与第二端点设备的通信的第一请求(例如,350/450)的。
在框706处,过程700包括,如果第一映射缓存的一个或多个条目受到策略更改的影响,则向第二路由设备转发第二通知,第二通知指示连接到第二路由设备的受到策略更改的影响的一个或多个端点的集合。例如,在368/568处,第一路由设备(例如,226A/404A)可以向第二路由设备(例如,226B/404B)转发选择性和聚合性SMR。第二通知(选择性和聚合性SMR)可以包括用于使第二路由设备删除由第二路由设备实现的第二映射缓存中的包括该一个或多个端点的集合的映射(例如,370/570)的指令。
在一些示例中,如果第一映射缓存的一个或多个条目受到更改的影响,则在向第二路由设备转发第二通知时,第一路由设备可以修改或删除第一映射缓存的一个或多个条目(例如,在372/572处)。
在一些示例中,从映射服务器接收的第一映射回复是基于(例如,在340/440处的)第一映射策略的,其中,第一映射策略基于(例如,在360/560处的)策略更改被修改为第二映射策略。相应地,过程700还可以包括从映射服务器接收其响应于来自第一路由设备的第二映射请求(例如,384/584)的第二映射策略(例如,386/586),第二映射请求是基于由第一路由设备接收的用于第一端点设备与第二端点设备的通信的第二请求(例如,382/582)的,并且过程700还可以包括利用第二映射策略更新第一映射缓存(例如,388/588)。
图8示出了适合于实现根据本公开的各方面的示例网络设备800。在一些示例中,上文讨论的边缘/边界设备或其他设备、主机、服务器等可以根据网络设备800的配置来实现。网络设备800包括中央处理单元(CPU)804、接口802以及连接结构810(例如,PCI总线)。当在适当的软件或固件的控制下起作用时,CPU 804负责执行分组管理、错误检测和/或路由功能。CPU 804优选地在包括操作系统和任何适当的应用软件的软件的控制下完成所有这些功能。CPU 804可以包括一个或多个处理器808,例如,来自INTEL X86系列微处理器的处理器。在一些情况下,处理器808可以是专门设计的用于控制网络设备800的操作的硬件。在一些情况下,存储器806(例如,非易失性RAM、ROM等)也形成CPU 804的一部分。然而,存在可以将存储器耦接到系统许多不同的方式。
接口802通常被设置为模块化接口卡(有时称为“线卡”)。一般而言,它们控制网络上数据分组的发送和接收,并且有时支持与网络设备800一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口等。此外,还可以提供各种超高速接口,例如,快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、WIFI接口、3G/4G/5G蜂窝接口、CAN BUS、LoRA等。一般而言,这些接口可以包括适合与适当的介质通信的端口。在一些情况下,它们还可以包括独立的处理器,在一些实例中,还包括易失性RAM。独立的处理器可以控制诸如分组交换、介质控制、信号处理、加密处理以及管理之类的通信密集型任务。通过为通信密集型任务提供独立的处理器,这些接口允许CPU 804高效地执行路由计算、网络诊断、安全功能等。
虽然图8中所示的系统是本公开技术的一种具体的网络设备,但绝不是唯一可以实现本公开技术的网络设备架构。例如,经常使用的是具有处理通信以及路由计算等的单个处理器的架构。此外,其他类型的接口和介质也可以与网络设备800一起使用。
不管网络设备的配置如何,其都可以使用被配置为存储用于通用网络操作的程序指令以及用于漫游、路由优化和本文描述的路由功能的机制的一个或多个存储器或存储器模块(包括存储器806)。例如,程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动绑定、注册以及关联表等之类的表格。存储器806还可以保存各种软件容器和虚拟化的执行环境和数据。
网络设备800还可以包括专用集成电路(ASIC),其可以被配置为执行路由和/或交换操作。例如,ASIC可以通过连接结构810与网络设备800中的其他组件通信,以交换数据和信号并协调网络设备800的各种类型的操作,例如,路由、交换和/或数据存储操作。
图9示出了可以实现本文描述的各种技术的示例计算设备的示例计算设备架构900。计算设备架构900的组件被示出为使用诸如总线之类的连接结构905彼此电通信。示例计算设备架构900包括处理单元(CPU或处理器)910和计算设备连接结构905,计算设备连接结构905将包括计算设备存储器915(例如,只读存储器(ROM)920和随机存取存储器(RAM)925)的各种计算设备组件耦接到处理器910。
计算设备架构900可以包括与处理器910直接连接、紧密接近或集成为处理器910的一部分的高速存储器的缓存。计算设备架构900可以将数据从存储器915和/或存储设备930复制到缓存912,以供处理器910快速访问。以此方式,缓存可以提供性能提升,避免处理器910在等待数据时产生延迟。这些和其他模块可以控制或被配置为控制处理器910执行各种动作。也可以使用其他计算设备存储器915。存储器915可以包括具有不同性能特性的多种不同类型的存储器。处理器910可以包括任何通用处理器和硬件或软件服务,例如,存储在存储设备930中的服务1 932、服务2934以及服务3 936,其被配置为控制处理器910以及专用处理器,其中软件指令被整合到处理器设计中。处理器910可以是自包含系统,包含多个核或处理器、总线、存储器控制器、缓存等。多核处理器可以是对称的或不对称的。
为了实现用户与计算设备架构900的交互,输入设备945可以表示任意数量的输入机件,例如,用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。输出设备935也可以是本领域技术人员已知的多种输出机件中的一种或多种,例如,显示器、投影仪、电视、扬声器设备等。在一些实例中,多模式计算设备可以使用户能够提供多种类型的输入,以与计算设备架构900通信。通信接口940总体可以支配和管理用户输入和计算设备输出。对在任何特定硬件布置上的操作没有限制,因此可以将此处的基本特征很容易地替换为所开发的改进的硬件或固件布置。
存储设备930是非易失性存储器,并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如,磁带盒、闪存卡、固态存储器设备、数字通用磁盘、盒式磁带、随机存取存储器(RAM)925、只读存储器(ROM)920及其混合体。存储设备930可以包括用于控制处理器910的服务932、934、936。可以设想其他硬件或软件模块。存储设备930可以连接到计算设备连接905。在一个方面,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件以及必要的硬件组件,例如,处理器910、连接结构905、输出设备935等,以执行功能。
概括而言,用于在基于定位符/ID分离协议(LISP)的网络部署中传达策略更改的系统、方法以及计算机可读介质包括在第一路由设备处从映射服务器接收第一通知,第一通知指示至少一个第一端点设备和至少一个第二端点设备之间基于LISP的通信的策略更改,第一端点设备通过第一路由设备连接到网络结构,第二端点设备通过第二路由设备连接到网络结构。如果由第一路由设备实现的第一映射缓存的一个或多个条目受到策略更改的影响,则第一路由设备向第二路由设备转发第二通知,第二通知指示连接到第二路由设备的受到策略更改的影响的一个或多个端点的集合。
为了清楚说明,在一些实例中,本公开技术可以被呈现为包括单独的功能框,包括包含设备、设备组件、以软件或硬件和软件的组合实现的方法中的步骤或例程的功能框。
在一些实施例中,计算机可读存储设备、介质以及存储器可以包括包含比特流等的电缆或无线信号。然而,当提及时,非暂时性计算机可读存储介质明确排除诸如能量、载波信号、电磁波以及信号本身之类的介质。
根据上述示例的方法可以使用计算机可执行指令来实现,这些计算机可执行指令存储在计算机可读介质中或以其他方式可从计算机可读介质获得。此类指令可以包括,例如,使得或以其他方式配置通用计算机、专用计算机或专用处理设备来执行特定功能或功能组的指令和数据。使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是,例如,二进制文件、中间格式指令,例如,汇编语言、固件或源代码。可用于存储指令、使用的信息和/或在根据所述示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、设置有非易失性存储器的USB设备、联网存储设备等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用多种形式因数中的任何一种。此类形式因数的一些示例包括:通用计算设备,例如,服务器、机架安装设备、台式计算机、膝上型计算机等;或通用移动计算设备,例如,平板计算机、智能手机、个人数字助理、可穿戴设备等。本文描述的功能也可以体现在外围设备或附加卡中。作为进一步的示例,这种功能还可以在电路板的不同芯片或在单个设备中执行的不同过程之间实现。
指令、用于传送此类指令的介质、用于执行的计算资源、以及用于支持此类计算资源的其他结构是用于提供这些公开内容中描述的功能的装置。
尽管使用各种示例和其他信息来说明所附权利要求的范围内的各方面,但不应基于此类示例中的特定特征或布置来暗示对权利要求有限制,因为普通技术人员将能够使用这些示例来推导出各种各样的实现方式。此外,尽管某个主题可能已经以特定于结构特征和/或方法步骤的示例的语进行了描述,但应理解的是,所附权利要求中定义的主题不一定限于这些描述的特征或动作。例如,这样的功能可以以不同方式分配或在不同于本文所标识的那些组件的组件中执行。更确切地说,所描述的特征和步骤被公开为所附权利要求范围内的系统和方法的组成部分的示例。
引用组“中的至少一者”的权利要求用语指示组中的一个成员或组中的多个成员满足权利要求。例如,引用“A和B中的至少一者”的权利要求用语意指A、B、或A和B。

Claims (15)

1.一种用于网络通信的方法,包括:
在第一路由设备处从映射服务器接收第一通知,所述第一通知指示至少一个第一端点设备和至少一个第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;
确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及
如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,并且在向所述第二路由设备转发所述第二通知时,修改或删除所述第一映射缓存的所述一个或多个条目,其中,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合,并且所述第二通知包括用于使所述第二路由设备删除由所述第二路由设备实现的第二映射缓存中的包括所述一个或多个端点的集合的映射的指令。
2.根据权利要求1所述的方法,其中,从所述映射服务器接收的映射信息包括:从所述映射服务器接收的响应于从所述第一路由设备发送到所述映射服务器的第一映射请求的至少一个第一映射回复,所述第一映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第一请求的。
3.根据权利要求2所述的方法,其中,从所述映射服务器接收的所述第一映射回复是基于第一映射策略的,其中,所述第一映射策略基于所述策略更改被修改为第二映射策略。
4.根据权利要求3所述的方法,还包括:
从所述映射服务器接收响应于来自所述第一路由设备的第二映射请求的所述第二映射策略,所述第二映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第二请求的;以及
利用所述第二映射策略更新所述第一映射缓存。
5.根据权利要求1至4中任一项所述的方法,其中,所述第一端点设备和所述第二端点设备属于公共站点,所述公共站点实现公共虚拟路由转发(VRF)网络,其中,所述公共VRF网络中的所有端点设备的实例标识符(IID)是相同的。
6.根据权利要求1至4中任一项所述的方法,其中,所述第一端点设备属于具有第一实例标识符(IID)的第一虚拟路由转发(VRF)网络,所述第二端点设备属于具有第二实例标识符(IID)的第二VRF网络,所述第一VRF网络和所述第二VRF网络属于外联网共享服务。
7.一种用于网络通信的系统,包括:
一个或多个处理器;以及
包含指令的非暂时性计算机可读存储介质,所述指令当在所述一个或多个处理器上执行时,使得所述一个或多个处理器执行操作,所述操作包括:
在第一路由设备处从映射服务器接收第一通知,所述第一通知指示至少一个第一端点设备和至少一个第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;
确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及
如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,并且在向所述第二路由设备转发所述第二通知时,修改或删除所述第一映射缓存的所述一个或多个条目,其中,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合,并且所述第二通知包括用于使所述第二路由设备删除由所述第二路由设备实现的第二映射缓存中的包括所述一个或多个端点的集合的映射的指令。
8.根据权利要求7所述的系统,其中,从所述映射服务器接收的映射信息包括:从所述映射服务器接收的响应于从所述第一路由设备发送到所述映射服务器的第一映射请求的至少一个第一映射回复,所述第一映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第一请求的。
9.根据权利要求8所述的系统,其中,从所述映射服务器接收的所述第一映射回复是基于第一映射策略的,其中,所述第一映射策略基于所述策略更改被修改为第二映射策略。
10.根据权利要求9所述的系统,其中,所述操作还包括:
从所述映射服务器接收响应于来自所述第一路由设备的第二映射请求的所述第二映射策略,所述第二映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第二请求的;以及
利用所述第二映射策略更新所述第一映射缓存。
11.根据权利要求7至10中任一项所述的系统,其中,所述第一端点设备和所述第二端点设备属于公共站点,所述公共站点实现公共虚拟路由转发(VRF)网络,其中,所述公共VRF网络中的所有端点设备的实例标识符(IID)是相同的。
12.根据权利要求7至10中任一项所述的系统,其中,所述第一端点设备属于具有第一实例标识符(IID)的第一虚拟路由转发(VRF)网络,所述第二端点设备属于具有第二实例标识符(IID)的第二VRF网络,所述第一VRF网络和所述第二VRF网络属于外联网共享服务。
13.一种包括指令的非暂时性机器可读存储介质,所述指令被配置为使得数据处理装置执行操作,所述操作包括:
在第一路由设备处从映射服务器接收第一通知,所述第一通知指示至少一个第一端点设备和至少一个第二端点设备之间基于定位符/ID分离协议(LISP)协议的通信的策略更改,所述第一端点设备通过所述第一路由设备连接到网络结构,所述第二端点设备通过第二路由设备连接到所述网络结构;
确定在所述第一路由设备中实现的第一映射缓存的一个或多个条目是否受到所述策略更改的影响,其中,所述第一映射缓存的所述一个或多个条目包括从所述映射服务器接收的映射信息;以及
如果所述第一映射缓存的所述一个或多个条目受到所述策略更改的影响,则向所述第二路由设备转发第二通知,并且在向所述第二路由设备转发所述第二通知时,修改或删除所述第一映射缓存的所述一个或多个条目,其中,所述第二通知指示连接到所述第二路由设备的受到所述策略更改影响的一个或多个端点的集合,并且所述第二通知包括用于使所述第二路由设备删除由所述第二路由设备实现的第二映射缓存中的包括所述一个或多个端点的集合的映射的指令。
14.根据权利要求13所述的非暂时性机器可读存储介质,其中,从所述映射服务器接收的映射信息包括:从所述映射服务器接收的响应于从所述第一路由设备发送到所述映射服务器的第一映射请求的至少一个第一映射回复,所述第一映射请求是基于由所述第一路由设备接收的用于所述第一端点设备与所述第二端点设备的通信的第一请求的。
15.一种用于网络通信的装置,包括用于实现根据权利要求1至6中任一项所述的方法的组件。
CN202180027569.5A 2020-05-01 2021-04-23 基于lisp的软件定义网络中策略更改的通信 Active CN115380516B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/864,442 2020-05-01
US16/864,442 US11165702B1 (en) 2020-05-01 2020-05-01 Communication of policy changes in LISP-based software defined networks
PCT/US2021/028790 WO2021222011A1 (en) 2020-05-01 2021-04-23 Communication of policy changes in lisp-based software defined networks

Publications (2)

Publication Number Publication Date
CN115380516A CN115380516A (zh) 2022-11-22
CN115380516B true CN115380516B (zh) 2024-03-29

Family

ID=75888297

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180027569.5A Active CN115380516B (zh) 2020-05-01 2021-04-23 基于lisp的软件定义网络中策略更改的通信

Country Status (4)

Country Link
US (3) US11165702B1 (zh)
EP (1) EP4144046A1 (zh)
CN (1) CN115380516B (zh)
WO (1) WO2021222011A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11463343B2 (en) * 2020-10-07 2022-10-04 Hewlett Packard Enterprise Development Lp SDWAN overlay routing service
US20230155981A1 (en) * 2021-11-15 2023-05-18 Cisco Technology, Inc. Security group resolution at ingress across virtual networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045238A (zh) * 2009-10-09 2011-05-04 中兴通讯股份有限公司 缓存维护方法及系统
CN102447618A (zh) * 2011-10-31 2012-05-09 杭州华三通信技术有限公司 一种lisp网络中的路由切换方法及其装置
KR20160114401A (ko) * 2015-03-24 2016-10-05 주식회사 케이티 LISP 네트워크 환경에서 IPv4-IPv6 서비스 전환 방법 및 LISP 네트워크 시스템
US10484281B1 (en) * 2018-06-25 2019-11-19 Cisco Technology, Inc. Router operating methods and apparatus using virtual VPN instances for hosts of remote extranet VPNs

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6922695B2 (en) * 2001-09-06 2005-07-26 Initiate Systems, Inc. System and method for dynamically securing dynamic-multi-sourced persisted EJBS
CN102025591B (zh) * 2009-09-18 2013-12-18 中兴通讯股份有限公司 虚拟专用网络的实现方法及系统
CN102035720B (zh) * 2009-09-24 2012-07-04 华为技术有限公司 数据传输方法和系统
US10904201B1 (en) * 2013-10-11 2021-01-26 Cisco Technology, Inc. Updating distributed caches in network devices in the event of virtual machine changes in a virtualized network environment
US10447503B2 (en) * 2014-02-21 2019-10-15 Yaana Technologies, LLC Method and system for data flow management of user equipment in a tunneling packet data network
US9276871B1 (en) * 2014-03-20 2016-03-01 Cisco Technology, Inc. LISP stretched subnet mode for data center migrations
US9369374B1 (en) * 2015-02-03 2016-06-14 Google Inc. Mesh network addressing
US10015132B1 (en) * 2015-03-31 2018-07-03 EMC IP Holding Company LLC Network virtualization for container-based cloud computation using locator-identifier separation protocol
US9929941B2 (en) * 2015-05-26 2018-03-27 Cisco Technology, Inc. Fast convergence for redundant edge devices
US10795358B2 (en) * 2015-07-08 2020-10-06 Honda Motor Co., Ltd. Automatic driving control device
US10637889B2 (en) * 2015-07-23 2020-04-28 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and VPN policy enforcement
US10439993B2 (en) * 2015-08-19 2019-10-08 Cisco Technology, Inc. Mapping system assisted key refreshing
US10530735B2 (en) * 2015-09-10 2020-01-07 Cisco Technology, Inc. Pro-active mechanism to detect LISP movable silent host
CN106789117A (zh) * 2015-11-19 2017-05-31 中兴通讯股份有限公司 Pcc规则的处理方法及装置
US10349333B2 (en) * 2016-05-06 2019-07-09 Futurewei Technologies, Inc. Predictive routing for mobility
US10673850B2 (en) * 2016-12-20 2020-06-02 Cisco Technology, Inc. Network authorization in web-based or single sign-on authentication environments
US10560421B2 (en) * 2017-05-26 2020-02-11 Cisco Technology, Inc. Stateful LISP subscription for overlapping subnetworks
US10771390B2 (en) * 2017-06-18 2020-09-08 Cisco Technology, Inc. Techniques for optimizing egress tunnel router failure scenarios in intelligent wide area networks
US10212583B1 (en) * 2017-07-26 2019-02-19 Cisco Technology, Inc. System and method of fast roaming in enterprise fabric networks
US10848524B2 (en) * 2018-02-23 2020-11-24 Cisco Technology, Inc. On-demand security association management
US10749799B2 (en) * 2018-05-01 2020-08-18 Cisco Technology, Inc. Data routing of extranet flows in fabric networks
US10541919B1 (en) * 2018-09-25 2020-01-21 Cisco Technology, Inc. Security association and location mapping decoupling in overlay networks
US10999189B2 (en) * 2018-11-20 2021-05-04 Cisco Technology, Inc. Route optimization using real time traffic feedback
US11233822B2 (en) * 2018-11-30 2022-01-25 Cisco Technology, Inc. Dynamic honeypots
US10841209B2 (en) * 2018-12-21 2020-11-17 Cisco Technology, Inc. Method, node, and medium for establishing connection between a source and endpoint via one or more border nodes
US11533669B2 (en) * 2019-04-26 2022-12-20 Cisco Technology, Inc. Enterprise network fabric extension across mobile networks
US11165658B2 (en) * 2019-09-05 2021-11-02 Cisco Technology, Inc. Systems and methods for contextual network assurance based on change audits
US11284462B2 (en) * 2019-12-17 2022-03-22 Cisco Technology, Inc. Techniques for providing a third generation partnership project (3GPP) fabric anchor for an enterprise fabric
US11202276B2 (en) * 2020-01-15 2021-12-14 Cisco Technology, Inc. Techniques for supporting user equipment paging in an enterprise fabric

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045238A (zh) * 2009-10-09 2011-05-04 中兴通讯股份有限公司 缓存维护方法及系统
CN102447618A (zh) * 2011-10-31 2012-05-09 杭州华三通信技术有限公司 一种lisp网络中的路由切换方法及其装置
KR20160114401A (ko) * 2015-03-24 2016-10-05 주식회사 케이티 LISP 네트워크 환경에서 IPv4-IPv6 서비스 전환 방법 및 LISP 네트워크 시스템
US10484281B1 (en) * 2018-06-25 2019-11-19 Cisco Technology, Inc. Router operating methods and apparatus using virtual VPN instances for hosts of remote extranet VPNs

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LISP-HIMS:一种基于LISP的层次化标识映射系统;徐畅;任勇毛;李俊;;计算机科学;20121015(第10期);全文 *
Map-Cache Synchronization and Merged RLOC Probing Study for LISP;Vladimír Veselý, Ondřej Ryšavý;《International Journal on Advances in Intelligent Systems》;参见全文,尤其参见第2和3部分 *
一种LISP网络中不间断转发的研究;李世钊;康宗绪;李云峰;张禹华;;通信技术;20160310(第03期);全文 *

Also Published As

Publication number Publication date
US20210344595A1 (en) 2021-11-04
EP4144046A1 (en) 2023-03-08
US11165702B1 (en) 2021-11-02
US20230308391A1 (en) 2023-09-28
CN115380516A (zh) 2022-11-22
US20220006738A1 (en) 2022-01-06
US11706139B2 (en) 2023-07-18
WO2021222011A1 (en) 2021-11-04

Similar Documents

Publication Publication Date Title
US10986024B1 (en) Dynamic prefix list for route filtering
US11025677B2 (en) Using symmetric and asymmetric flow response paths from an autonomous system
EP4311194A2 (en) Liveness detection and route convergence in software-defined networking distributed system
US10637889B2 (en) Systems, methods, and devices for smart mapping and VPN policy enforcement
US8750288B2 (en) Physical path determination for virtual network packet flows
US20230308391A1 (en) Communication of policy changes in lisp-based software defined networks
US11652791B2 (en) Consolidated routing table for extranet virtual networks
CN115398870B (zh) 检测软件定义网络中的静默主机并与之通信
US10020954B2 (en) Generic packet encapsulation for virtual networking
CN112202669A (zh) 使用分段路由的弹性多协议标签交换(mpls)环
CN111756566B (zh) 支持和不支持issu装置的混合网络中软件升级部署
US11362954B2 (en) Tunneling inter-domain stateless internet protocol multicast packets
WO2019052406A1 (en) METHODS, NODES, AND COMPUTER-READABLE MEDIA FOR TRUNK TUNNEL ESTABLISHMENT
US20220021613A1 (en) Generating route distinguishers for virtual private network addresses based on physical hardware addresses
WO2023274083A1 (zh) 路由发布和转发报文的方法、装置、设备和存储介质
WO2022117018A1 (zh) 报文传输的方法和装置
US20230254183A1 (en) Generating route target values for virtual private network routes
CN113328934A (zh) 用于将服务映射到隧道的基于服务的传输类别
CN114301839B (zh) 一种组播报文传输方法及装置
US11343180B2 (en) Network service access and data routing based on assigned context
CN116097630A (zh) 软件定义的广域网(sd-wan)的水平缩放
Sajassi et al. NVO3 Operational Requirements draft-ashwood-nvo3-operational-requirement-03

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant