CN116114232A - 基于指定情境的网络服务访问和数据路由 - Google Patents
基于指定情境的网络服务访问和数据路由 Download PDFInfo
- Publication number
- CN116114232A CN116114232A CN202180055722.5A CN202180055722A CN116114232A CN 116114232 A CN116114232 A CN 116114232A CN 202180055722 A CN202180055722 A CN 202180055722A CN 116114232 A CN116114232 A CN 116114232A
- Authority
- CN
- China
- Prior art keywords
- network
- specified context
- data
- prefix
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/30—Routing of multiclass traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本技术公开了方法、系统和非暂时性计算机可读介质,用于以下操作:针对网络域中的网络基元,定义该网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;公布网络基元的能力,该能力陈述了网络基元是否能够接收承载指定情境的数据;以及基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
Description
相关申请的交叉引用
本申请要求于2020年11月6日提交的第17/091,478号美国非临时专利申请的权益和优先权,该美国非临时专利申请要求于2020年8月14日提交的第63/065,932号美国临时专利申请的权益,上述申请的全部内容通过引用整体被明确并入本文。
技术领域
本公开的主题总体涉及计算机联网领域,更具体而言,涉及用于基于用户和应用情境(context)中的一者或两者来控制网络服务访问和数据路由的系统、方法和计算机可读介质。
背景技术
企业网络格局(landscape)正在不断演进。对移动和物联网(IoT)设备流量、软件即服务(SaaS)应用以及云的采用有更大的需求。此外,安全需求正在增加,并且某些应用可能需要优先化和优化,以便正常运行。随着这种复杂性的增加,人们在提供高可用性和规模的同时,也在推动降低成本和运营费用。
传统的广域网(WAN)架构在这种演进的格局下正面临着重大挑战。传统的WAN架构通常包括多个多协议标签交换(Multi-Protocol Label Switching,MPLS)传输,或者MPLS与互联网或长期演进(LTE)链路配对,以主动/备份的方式来使用,最常见的是互联网或SaaS流量被回传到中央数据中心或区域枢纽,用于互联网接入。这些架构的问题可能包括:带宽不足、带宽成本高、应用停机、SaaS性能差、操作复杂、云连接的工作流程复杂、部署时间长和政策变化、应用可视性有限、以及难以保证网络安全。
近年来,已经开发了软件定义的企业网络解决方案来应对这些挑战。软件定义企业联网是软件定义联网(SDN)这一更广泛技术的一部分,包括软件定义广域网(SDWAN)和软件定义局域网(SDLAN)两者。SDN是一种集中式的网络管理方法,可以将底层的网络基础设施从其应用中抽离出来。这种对数据平面转发和控制平面的去耦合可以允许网络运营商将网络智能集中起来,并提供更多的网络自动化、操作简化、以及集中式供应、监视、以及故障排除。软件定义企业联网可以将SDN的这些原则应用于WAN和局域网(LAN)。
SDWAN和SDWAN集成中所涉及的网络(例如,跨域的SDWAN集成)内的设备可能缺乏基于指定的(assigned)用户和应用情境来促进数据路由和网络服务访问的能力。具体而言,部署中的一些具有SDWAN能力的设备可能支持在提供网络服务访问时接受指定情境的能力,而其他设备缺乏在提供网络服务访问时接受指定情境的能力。因此,当不具有这种能力的边缘设备在部署中被使用时,目前难以支持棕地(brownfield)SDWAN或绿地(greenfield)SDWAN的部署。
附图说明
为了更完整地理解本公开及其特征和优点,将结合附图参考以下描述,其中:
图1示出了根据实施例的高层网络架构的示例。
图2示出了根据实施例的网络拓扑的示例。
图3示出了根据实施例的显示对用于管理叠层网络的协议进行操作的图的示例。
图4示出了根据实施例的显示对用于分割网络的虚拟专用网络进行操作的图的示例。
图5示出了根据实施例的网络环境的示例。
图6示出了根据实施例的示例方法。
图7示出了网络设备的示例;以及
图8示出了总线计算系统的示例,其中该系统的组件使用总线彼此进行电气通信。
具体实施方式
下文详细讨论本公开的各种实施例。虽然讨论了具体的实现方式,但应该理解,这样做只是出于说明的目的。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以使用其他组件和配置。因此,以下描述和附图是说明性的,不应被解释为限制性的。描述了许多具体细节,以提供对本公开的透彻理解。然而,在某些情况下,为了避免混淆描述,没有描述众所周知的或常规的细节。本公开中对一个实施例或一实施例的引用可以是指同一实施例或任意实施例;并且,此类引用意味着实施例中的至少一个。
对“一个实施例”或“一实施例”的引用是指结合此实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。说明书中各处出现的短语“在一个实施例中”不一定都是指同一实施例,也不是与其他实施例相互排斥的单独或替代的实施例。此外,描述了各种特征,这些特征可能由一些实施例而不是由其他实施例展示。
本说明书中使用的术语在本领域、在本公开的上下文中以及在使用每个术语的特定上下文中通常具有它们的普通含义。替代语言和同义词可用于本文讨论的任何一个或多个术语,并且本文是否详细阐述或讨论了术语不具有特殊的意义。在某些情况下,提供了某些术语的同义词。列举一个或多个同义词不排除使用其他同义词。本说明书中任何地方使用的示例,包括本文讨论的任何术语的示例,仅是说明性的,并不旨在进一步限制本公开或任何示例术语的范围和含义。同样,本公开不限于本说明书中给出的各种实施例。
在无意限制本公开的范围的情况下,下文给出根据本公开的实施例的仪器、装置、方法及其相关结果的示例。需要注意的是,为了方便读者,在示例中可以使用标题或副标题,但这不会限制本公开的范围。除非另有定义,否则本文中使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。在发生冲突的情况下,以本文件(包括定义)为准。本公开的附加特征和优点将在随后的描述中阐述,并且部分地从描述中是易于理解的,或者可以通过实践本文公开的原理而获知。本公开的特征和优点可以通过所附权利要求中具体指出的仪器和组合来实现和获得。本公开的这些和其他特征将通过以下描述和所附权利要求变得更加易于理解,或者可以通过实践本文阐述的原理而获知。
概述
在独立权利要求中列出了本发明的各方面,在从属权利要求中列出了优选特征。一个方面的特征可以单独地或与其他方面相结合地应用于任何方面。
一种方法可以包括:针对网络域中的网络基元,定义网络基元是否能够通过软件定义广域网(SDWAN)结构(fabric)叠层(overlay)从一个或多个源节点接收承载相关联的指定情境的数据;公布网络基元的能力,能力陈述网络基元是否能够接收承载指定情境的数据;以及基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
在该方法的一些实施例中,网络基元是以下项中的一者:网络隧道、虚拟专用网络、以及网络域中的特定前缀中的节点。
在该方法的一些实施例中,指定情境是指定给一个或多个源节点的安全组标签。
在该方法的一些实施例中,一个或多个源节点在第二网络域中,第二网络域通过SDWAN结构叠层与包含网络基元的网络域耦合。
在该方法的一些实施例中,网络基元包括以下项中的一个或多个:与网络设备相关联的虚拟专用网络、与网络设备相关联的网络隧道、以及与网络设备相关联的网络前缀,该方法还包括:按照网络隧道是否有能力接收承载指定情境的数据、虚拟专用网络是否有能力接收承载指定情境的数据、以及网络前缀是否有能力接收承载指定情境的数据的优先顺序,控制对承载指定情境的数据的选择性传输。
在该方法的一些实施例中,网络基元是网络域中的特定前缀中的节点,该方法还包括:基于多个不同前缀中的节点是否能够接收承载指定情境的数据来维护前缀列表,前缀列表包括可以接收承载指定情境的数据的一列前缀;将路由图应用于前缀列表,路由图包括网络基元和一个或多个源节点;以及基于路由图对前缀列表的应用,确定承载指定情境的数据是否能够被网络基元接收。
在该方法的一些实施例中,网络基元与网络域中的其他网络基元共享承载指定情境的数据。
在该方法的一些实施例中,网络基元是边缘节点,边缘节点在网络域中的特定前缀中,并且被配置为通过特定虚拟专用网络中的特定隧道接收数据,该方法还包括:确定特定隧道是否有能力接收承载指定情境的数据;确定特定虚拟专用网络是否有能力接收承载指定情境的数据;确定特定前缀是否有能力接收承载指定情境的数据;以及基于特定隧道、特定虚拟专用网络和特定前缀是否有能力接收承载指定情境的数据,控制承载指定情境的数据向边缘节点的选择性传输。
在该方法的一些实施例中,控制承载指定情境的数据向边缘节点的选择性传输还包括:无论特定虚拟专用网络和特定前缀是否具有接收承载指定情境的数据的能力,如果特定隧道缺乏接收承载指定情境的数据的能力,则避免向边缘节点传输承载指定情境的数据。
在该方法的一些实施例中,控制承载指定情境的数据向边缘节点的选择性传输还包括:无论特定前缀是否具有接收承载指定情境的数据的能力,如果特定虚拟专用网络缺乏接收承载指定情境的数据的能力,则避免向边缘节点传输承载指定情境的数据。
在该方法的一些实施例中,该方法还包括:基于特定前缀在接收承载指定情境的数据方面的特征,控制承载指定情境的数据到特定前缀内的其他节点的传播。
在该方法的一些实施例中,特定前缀在接收承载指定情境的数据方面的特征包括:边缘节点是接收承载指定情境的数据的合适目的地。
在该方法的一些实施例中,SDWAN结构叠层由叠层管理协议(OMP)管理。
在该方法的一些实施例中,OMP被配置为基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
在该方法的一些实施例中,OMP被配置为基于网络基元接收承载指定情境的数据的能力,通过更新一个或多个源节点的一个或多个转发表来控制对承载指定情境的数据的选择性传输。
一种系统,可以包括:一个或多个处理器;以及至少一个计算机可读存储介质,其中存储有指令,当指令被一个或多个处理器执行时,使一个或多个处理器执行包括以下项的操作:针对网络域中的网络基元,定义网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;公布网络基元的能力,该能力陈述网络基元是否能够接收承载指定情境的数据;以及基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
一种非暂时性计算机可读存储介质,可以包括存储在其中的指令,指令在被处理器执行时,使处理器执行包括以下项的操作:针对网络域中的网络基元,定义网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;公布网络基元的能力,能力陈述网络基元是否能够接收承载指定情境的数据;以及基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
示例实施例
所公开的技术解决了本领域中确定SDWAN中接收用户和应用的情境的边缘设备能力的需求。本技术涉及方法、系统和非暂时性计算机可读介质,用于基于在SDWAN中的用户和应用情境中的一者或两者来控制网络服务访问和数据路由。具体而言,本技术可以降低棕地部署或绿地部署的难度。
图1示出了用于实现本技术的各个方面的网络架构100的示例。网络架构100的实施方式的一种示例是
SDWAN架构。然而,本领域的普通技术人员将理解,对于网络架构100和在本公开中所讨论的任何其他系统,可以有更多或更少的组件,这些组件可以采用类似或替代配置。在本公开中提供了图示和示例,以求简洁明了。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解这种变化并不偏离本公开的范围。
在这个示例中,网络架构100可以包括协调平面102、管理平面120、控制平面130和数据平面140。协调平面102可以帮助边缘网络设备142(例如,交换机、路由器等)自动加入(on-boarding)叠层网络。协调平面102可以包括一个或多个物理或虚拟网络协调器装置104。(一个或多个)网络协调器装置104可以执行对边缘网络设备142的初始认证,并协调控制平面130和数据平面140的设备之间的连接。在一些实施例中,(一个或多个)网络协调器装置104也可以使位于网络地址转换(NAT)后方的设备能够进行通信。在一些实施例中,物理或虚拟
SD-WAN vBond设备可以作为(一个或多个)网络协调器装置104来运行。
管理平面120可以负责网络的中央配置和监视。管理平面120可以包括一个或多个物理或虚拟网络管理设备122。在一些实施例中,(一个或多个)网络管理设备122可以经由图形用户接口提供网络的集中式管理,以使用户能够监视、配置和维护底层(underlay)和叠层网络中的边缘网络设备142和链路(例如,互联网传输网络160、MPLS网络162、4G/LTE网络164)。(一个或多个)网络管理设备122可以支持多租户,并能够集中式管理与不同实体(例如,企业、企业内的部门、部门内的小组等)相关的、逻辑隔离的网络。替代地,或者附加地,(一个或多个)网络管理设备122可以是用于单一实体的专属网络管理系统。在一些实施例中,物理或虚拟
SD-WAN vManage设备可以作为(一个或多个)网络管理设备122运行。管理平面120可以包括分析引擎124,以提供对网络的分析。
控制平面130可以建立和维护网络拓扑,并就流量流向何处做出决定。控制平面130可以包括一个或多个物理或虚拟网络控制器设备132。(一个或多个)网络控制器设备132可以建立与每个网络设备142的安全连接,并经由控制平面协议分发路由和策略信息,控制平面协议例如:叠层管理协议(OMP)(下面进一步详细讨论)、开放最短路径优先(OSPF)、中间系统到中间系统(IS-IS)、边界网关协议(BGP)、协议独立组播(PIM)、互联网组管理协议(IGMP)、互联网控制消息协议(ICMP)、地址解析协议(ARP)、双向转发检测(BFD)、链接聚合控制协议(LACP)、等等。在一些实施例中,(一个或多个)网络控制器设备132可以作为路由反射器运行。(一个或多个)网络控制器设备132也可以协调在数据平面140中的边缘网络设备142之间的安全连接。例如,在一些实施例中,(一个或多个)网络控制器设备132可以在(一个或多个)网络设备142之间分发加密密钥信息。这可以使网络在没有互联网密钥交换(Internet Key Exchange,IKE)的情况下支持安全网络协议或应用(例如,互联网协议安全(IPSec)、传输层安全(TLS)、安全外壳(SSH)、等等),并实现网络的可扩展性。在一些实施例中,物理或虚拟
SD-WAN vSmart控制器可以作为(一个或多个)网络控制器设备132运行。
数据平面140可以负责基于来自控制平面130的决定来转发分组。数据平面140可以包括边缘网络设备142,该边缘网络设备142可以是物理或虚拟网络设备。边缘网络设备142可以在组织的各种网络环境(例如,一个或多个数据中心或主机托管中心150、校园网络152、分支办公室网络154、家庭办公室网络154等)的边缘处运行,或者可以在云(例如,基础设施即服务(IaaS)、平台即服务(PaaS)、SaaS、以及其他云服务提供商网络)中运行。边缘网络设备142可以通过一个或多个WAN传输,在站点之间提供安全的数据平面连接,例如经由一个或多个互联网传输网络160(例如,数字用户线(DSL)、电缆等)、MPLS网络162(或其他专用分组交换网络(例如,城域以太网、帧中继、异步传输模式(ATM)等))、移动网络164(例如,3G、4G/LTE、5G等)、或其他WAN技术(例如,同步光网络(SONET)、同步数字层次(SDH)、密集波分复用(DWDM)或其他光纤技术;租用线路(例如T1/E1、T3/E3等);公共交换电话网(PSTN)、综合业务数字网(ISDN)或其他专用电路交换网络;小孔径终端(VSAT)或其他卫星网络等)。边缘网络设备142可以负责流量转发、安全、加密、服务质量(QoS)和路由(例如,BGP、OSPF等)等任务。在一些实施例中,物理或虚拟
SD-WAN vEdge路由器可以作为边缘网络设备142运行。
图2示出了用于显示网络架构100的各个方面的网络拓扑200的示例。网络拓扑200可以包括:管理网络202、一对网络站点204A和204B(统称为204)(例如,(一个或多个)数据中心150、(一个或多个)校园网络152、(一个或多个)分支办公室网络154、(一个或多个)家庭办公室网络156、(一个或多个)云服务提供商网络等)、以及一对互联网传输网络160A和160B(统称为160)。管理网络202可以包括:一个或多个网络协调器装置104、一个或多个网络管理设备122、以及一个或多个网络控制器设备132。虽然管理网络202在本示例中显示为单个网络,但本领域的普通技术人员将理解,管理网络202的每个要素可以分布在任何数量的网络中和/或与站点204同在一个地方。在这个示例中,可以通过传输网络160A或160B到达管理网络202的每个要素。
每个站点可以包括连接到一个或多个站点网络设备208的一个或多个端点(endpoint)206。端点206可以包括:通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,笔记本电脑、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(HMD)、耳部设备等)等等。端点206还可以包括物联网(IoT)设备或装置,例如农业设备(例如,牲畜跟踪和管理系统、浇灌装置、无人驾驶飞行器(UAV)等);联网汽车和其他车辆;智能家居传感器和设备(例如,警报系统、安全摄像头、照明、电器、媒体播放器、暖通空调(HVAC)设备、水电表、窗户、自动门、门铃、锁等);办公设备(例如,台式电话、复印机、传真机等);医疗设备(例如,起搏器、生物识别传感器、医疗设备等);工业设备(例如,机器人、工厂机械、建筑设备、工业传感器等);零售设备(例如,自动售货机、销售点(POS)设备、射频识别(RFID)标签等);智能城市设备(例如,路灯、停车计时器、废物管理传感器等);运输和物流设备(例如,旋转门、租车跟踪器、导航设备、库存监视器等);等等。
站点网络设备208可以包括物理或虚拟交换机、路由器和其他网络设备。尽管在本实施例中,站点204A被示出包括一对站点网络设备,并且站点204B被示出包括单个站点网络设备,但是站点网络设备208可以包括任何网络拓扑中的任何数量的网络设备,包括多层(例如,核心层、分配层和接入层)、刺叶、网状、树状、总线、枢纽和辐条等。例如,在一些实施例中,一个或多个数据中心网络可以实
应用中心基础设施(ACI)架构和/或一个或多个校园网络可以实
软件定义接入(SD-Access或SDA)架构。站点网络设备208可以将端点206连接到一个或多个边缘网络设备142,而边缘网络设备142可以用来直接连接到传输网络160。
在一些实施例中,“颜色”可以用于标识单个WAN传输网络,并且可以将不同的颜色指定给不同的WAN传输网络(例如,mpls、专用1、商业互联网、城域以太网、lte等)。在这个示例中,网络拓扑200可以将一种被称为“商业互联网”的颜色用于互联网传输网络160A,并且将一种被称为“公共互联网”的颜色用于互联网传输网络160B。
在一些实施例中,每个边缘网络设备208可以形成到(一个或多个)网络控制器设备132的数据报传输层安全(Datagram Transport Layer Security,DTLS)或TLS控制连接,并且通过每个传输网络160连接到任何网络控制设备132。在一些实施例中,边缘网络设备142也可以经由IPSec隧道安全地连接到其他站点中的边缘网络设备。在一些实施例中,BFD协议可以在这些隧道中的每一个隧道内使用,以检测损失、延迟、抖动和路径故障。
在边缘网络设备142上,颜色可以用来帮助标识或区分个体WAN传输隧道(例如,不得将相同的颜色在单个边缘网络设备上使用两次)。颜色本身也可以有意义。例如,城域以太网、mpls和专用1、专用2、专用3、专用4、专用5和专用6等颜色可以被视为专用颜色,这些颜色可用于专用网络或用在没有传输IP端点的NAT寻址的地方(例如,因为相同颜色的两个端点之间可能没有NAT)。当边缘网络设备142使用专用颜色时,它们可以试图使用本地的、专用的、底层的IP地址来建立到其他边缘网络设备的IPSec隧道。公共颜色可以包括:3g、商业、互联网、蓝色、青铜色、定制1、定制2、定制3、默认、金色、绿色、lte、公共互联网、红色和银色。公共颜色可以被边缘网络设备142用来建立通往NAT后的IP地址(post-NAT IPaddresses)的隧道(如果涉及NAT的话)。如果边缘网络设备142使用专用颜色,并需要NAT来与其他专用颜色通信,则配置中的载体设置可以指示边缘网络设备142是使用专用IP地址还是公共IP地址。通过使用该设置,当两个专用颜色中的一者或两者都使用NAT时,这两个专用颜色可以建立会话。
图3示出了显示OMP的操作的图300的示例,该示例可以在一些实施例中用于管理网络的叠层(例如,网络架构100)。在这个示例中,OMP消息302A和302B(统称为302)可以分别在网络控制器设备132和边缘网络设备142A和142B之间来回传输,其中,控制平面信息(例如,路由前缀、下一跳路由、加密密钥、策略信息等)可以通过相应的安全DTLS或TLS连接(304A和304B)进行交换。网络控制器设备132可以与路由反射器类似地运行。例如,网络控制器设备132可以从边缘网络设备142接收路由,进行处理,对其应用任何策略,并将路由公布给叠层中的其他边缘网络设备142。如果没有经定义的策略,则边缘网络设备142可以以类似于全网状拓扑的方式行事,其中,每个边缘网络设备142可以直接连接到另一站点处的另一边缘网络设备142,并且接收来自每个站点的完整路由信息。
OMP可以公布三种类型的路由:
·OMP路由,可以对应于从边缘网络设备142的本地站点或服务侧了解到的前缀。前缀可以作为静态或所连接的路由产生,或者从例如OSPF或BGP协议中产生,并被重新分配到OMP中,以便它们可以跨越叠层被携带。OMP路由可以公布诸如传输位置(TransportLocation,TLOC)信息(可以类似于BGP下一跳IP地址)之类的属性,并且可以公布诸如起源、发起人、偏好、站点标识符、标签和虚拟专用网络(VPN)之类的其他属性。如果OMP路由所指向的TLOC是活跃的,则该OMP路由就可以被安置在转发表中。
·TLOC路由,可以对应于边缘网络设备142上的逻辑隧道终止点,该边缘网络设备142连接到传输网络160。在一些实施例中,TLOC路由可以被唯一地标识并由三元组(three-tuple)表示,该三元组包括IP地址、链路颜色、以及封装(例如,通用路由封装(GRE)、IPSec、等等)。除了系统IP地址、颜色和封装外,TLOC路由还可以承载属性,这些属性例如可以是TLOC专用和公共IP地址、载体、偏好、站点标识符、标签、以及权重。在一些实施例中,当活跃的BFD会话与TLOC相关联时,该TLOC可以在特定的边缘网络设备142上处于活跃状态。
·服务路由,可以代表服务(例如,防火墙、分布式拒绝服务(DDoS)缓解器、负载平衡器、入侵防止系统(IPS)、入侵检测系统(IDS)、WAN优化器等),这些服务可以连接到边缘网络设备142的本地站点并且可以访问其他站点以用于服务插入。此外,这些路由还可以包括VPN;VPN标签可以以更新类型发送,以告诉网络控制器设备132在远程站点处服务了哪些VPN。
在图3的示例中,显示了OMP在边缘网络设备142和网络控制器设备132之间建立的DTLS/TLS隧道304上运行。此外,图300显示了以下项:通过WAN传输网络160A在TLOC 308A和308C之间建立的IPSec隧道306A、以及通过WAN传输网络160B在TLOC 308B和TLOC 308D之间建立的IPSec隧道306B。一旦IPSec隧道306A和306B被建立,就可以在它们中的每一个上启用BFD。
图4示出了图400的示例,该示例显示VPN的操作,在一些实施例中,这些VPN可以用于针对网络(例如,网络架构100)提供分割。VPN可以相互隔离,并且可以有自己的转发表。接口或子接口可以明确地配置在单个VPN下,并且可能不会属于一个以上的VPN。标签可以在OMP路由属性和分组封装中使用,它可以标识分组所属的VPN。VPN编号可以是四字节的整数,其值从0到65530。在一些实施例中,(一个或多个)网络协调器装置104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132、和/或(一个或多个)边缘网络设备142可以各自包括传输VPN 402(例如,VPN编号0)和管理VPN 404(例如,VPN编号512)。传输VPN402可以包括一个或多个物理或虚拟网络接口(例如,网络接口410A和410B),这些接口分别连接到WAN传输网络(例如,MPLS网络162和互联网传输网络160)。安全DTLS/TLS连接可以开始于传输VPN 402,这些安全DTLS/TLS连接是连接到(一个或多个)网络控制器设备132,或者是连接在(一个或多个)网络控制器设备132和(一个或多个)网络协调器装置104之间。此外,可以在传输VPN 402内部配置静态或默认路由或配置动态路由协议,以获得适当的下一跳信息,从而可以建立控制平面130,并且IPSec隧道306(未显示)可以连接到远程站点。
管理VPN 404可以通过网络接口410C携带带外(out-of-band)管理流量进出(一个或多个)网络协调器装置104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132和/或(一个或多个)边缘网络设备142。在一些实施例中,管理VPN 404可能不会在叠层网络中被携带。
除了传输VPN 402和管理VPN 404外,(一个或多个)网络协调器装置104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132或(一个或多个)边缘网络设备142还可以包括一个或多个服务侧VPN 406。服务侧VPN 406可以包括一个或多个物理或虚拟网络接口(例如,网络接口410D和410E),这些接口连接到一个或多个本地站点网络412并携带用户数据流量。(一个或多个)服务侧VPN 406可以启用诸如OSPF或BGP、虚拟路由器冗余协议(VRRP)、QoS、流量整形、监管(policing)等之类的功能。在一些实施例中,可以通过以下方式将用户流量通过IPSec隧道引导到其他站点:将从站点412处的(一个或多个)网络控制器设备132收到的OMP路由重新分配到服务侧VPN路由协议中。反过来,通过将服务VPN路由公布到OMP路由协议中,可以将来自本地站点412的路由公布到其他站点,来自本地站点412的路由可以被发送到(一个或多个)网络控制器设备132,并被重新分配到网络中的其他边缘网络设备142。尽管网络接口410A-E(统称410)在本实施例中被显示为物理接口,但本领域的普通技术人员将理解,传输和服务VPN中的接口410也可以用子接口代替。
上面在图1-图4中描述的系统被配置为允许网络和设备根据其能力接受或不接受指定情境。反之,这些网络和设备可以公布其能力并告诉发送方是否会接受指定情境。本技术允许网络基元(例如,隧道、VPN和前缀)定义接受指定情境(例如,安全组标签)的能力。网络基元可以例如通过动态路由扩展来公布这种能力,例如与叠层管理协议(OMP)兼容的扩展。因此,发送方可以决定是否向远端发送带有诸如安全组标签(SGT)之类的指定情境的数据,该指定情境与发送方相关。此外,它还允许灵活地将指定情境从源边缘发送到目的地边缘,同时控制指定情境进一步传播到随后的结构域(例如,通过限制指定情境进一步传播到结构域)。
针对隧道和VPN基元,可以分别在端点(TLOC)级别和VPN级别定义能够接收指定情境的能力。针对前缀,可以使用前缀映射和路由映射来定义该能力,前缀映射和路由映射应用于动态路由扩展(例如,OMP)。以下是用于网络隧道、VPN和前缀的示例触发器,它们分别公布了接收和处理SGT的能力:
基于隧道/TLOC:
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
sgt-allow
基于VPN:
sdwan
vrf1
address-family ipv4
Service sgt
基于前缀:
ip prdfix-listplist1 seq 10 permit 192.1.0.0/16 eq 16
route-map rmap1 permit 10
match ip address prefix-list plist1
设备能力(可以是经硬编码的)被翻译成隧道协议。在一些实施例中,SGT能力可以由诸如CISCO vSmart之类的集中式控制器处理,这些控制器可以在整个域结构中将该信息传播到源节点。
可以使用动态路由扩展来公布网络基元(基于每个TLOC、或每个VPN、或每个叠层前缀)的能力。在针对每一类网络基元的以下目标中,经公布的能力可以被编程到转发平面:隧道下一跳、VPN、以及前缀查找结果。
在一些实施例中,网络基元能力的执行可以按照隧道、然后VPN、然后前缀的顺序进行。例如,如果隧道支持基于情境的数据路由和网络服务访问,而前缀不支持,那么指定情境可以被发送到目的地边缘,但是不被传播到目的地边缘之外。如果给定的网络基元不支持任何跨域整合,那么动态路由扩展可以避免将这些公布带到源头(source)。这种避免可以是由隧道、VPN、或前缀、或组合中的能力不足带来的。
在一些实施例中,可以维护前缀列表,该列表列出了前缀,这些前缀具有接收指定情境的能力。可以将路由图应用于前缀列表中的给定前缀,并且本技术可以使用路由图和前缀列表来确定给定前缀是否具有接收指定情境的能力。
在一些实施例中,网络基元可以进一步控制数据和指定情境的传播。这种传播可以被限制在特定前缀中的其他节点、网络基元的网络中的节点上,或者被其他因素限制。在一些实施例中,网络基元可以与发送承载指定情境的数据的源节点处于不同的网络中。当网络基元是特定前缀时,传播可以被限制在特定前缀内的其他节点上,或者传播可以基于特定前缀的特征被限制。
为了说明详细示例,VPN的能力的执行可以采取以下形式:
EDGE-1
sdwan
vff 1
address-family ipv4
service sgt
vrf 10
address-family ipv4
service sgt
EDGE-2
sdwan
vrf 1
address-family ipv4
service sgt
EDGE-3
sdwan
vrf 10
address-family ipv4
service sgt
一旦定义了边缘的能力,就可以公布与VPN标签相关的基于动态路由扩展的情境能力:
EDGE-1向集中式控制器(vSmart)公布:
{vrf:1,attr:SGT,service-label:11}
{vrf:10,attr:SGT,service-label:110)}
EDGE-2向集中式控制器(vSmart)公布:
{vrf:1,attr:SGT,service-label:21}
EDGE-3向集中式控制器(vSmart)公布:
{vrf:10,attr:SGT,service-label:310}
在vSmart中,动态路由扩展将向设备公布VPN情境能力,而不是将其与前缀相关联。这种方法提供了在设备上可扩展地实现情境能力的方法,同时允许独立配置的基于前缀的能力也被执行(注意,数据平面路径中的前缀-结果、间接-下一跳、以及隧道-下一跳具有独立的情境允许属性)。
vSmart可以这样公布:
vSmart向EDGE-1公布:
{EDGE-2/vrf:1/service-label:21/attr:sgt}
{EDGE-3/vrf:10/service-label:310/attr:sgt}
vSmart向EDGE-2公布:
{EDGE-1/vrf:1/service-label:11/attr:sgt}
vSmart向EDGE-3公布:
{EDGE-1/vrf:10/service-labdl:110/attr:sgt}
数据平面中的CISCO分组处理(CPP)可以控制虚拟路由和转发(vrf):
Vrf:1EDGE-1到EDGE-2:
prefix-lookup->prefix-result/attr:sgt->indirect-nexthop/service-label:21/attr:sgt->tunnel-nexthop/attr:sgt
Vrf:10 EDGE-1到EDGE-3:
prefix-lookup->prefix-result/attr:sgt->indirect-nexthop/service-label:310/attr:sgt->tunnel-nexthop/attr:sgt
Vrf:1 EDGE-2到EDGE-1:
preifix-lookup->prefix-result/attr:sgt->indirect-nexthop/service-label:11/attr:sgt->tunnel-nexthop/attr:sgt
Vrf:10 EDGE-3到EDGE-1:
prefix-lookup->prefix-result/attr:sgt->indirect-nexthop/service-label:110/attr:sgt->tumnel-ndxthop/attr:sgt
图5示出了根据环境的网络环境的示例图。边缘可以公布接受指定情境的能力,并使用该公布来影响与其他设备和网络的通信。
边缘510-1、510-2和510-3可以分别使用OMP接口520-1、520-2和520-3来公布接收SGT的能力。当能力被公布时,OMP接口520可以经由CISCO vSmart或另一集中式控制器通过域来传播对能力的公布。这允许所有边缘510知道哪些隧道、VPN和前缀具有接收SGT的能力。边缘510可以使用CPP或另一分组处理器来控制虚拟路由和转发。在一些实施例中,边缘510作为设备将具有一定的SGT能力,其将在隧道协议下被翻译和处理。
在一些实施例中,边缘510-2可能不具有接收SGT的能力。边缘510-2可以经由OPM发射器520-2向边缘510-1公布其能力。边缘510-2可以基于其公布的能力以及来自边缘510-1的传输是否包含SGT,来控制从边缘510-1到边缘510-2的选择性传输。
边缘510-2可以执行隧道下一跳、VPN和前缀的能力(按照那样的顺序)。例如,如果隧道不支持该能力但前缀支持该能力,那么SGT将不会被发送到边缘510-2。如果隧道支持SGT,并且前缀允许SGT作为目的地,那么SGT可以被边缘510-2接收,但不会被边缘510-2传播。
前缀能力可以部分地使用从网络540-1接收到的、应用于OMP发射器520-2的路由图来定义。路由图是路由列表,伴随有对沿这些路由进行通信的允许或拒绝。对照路由图对路由进行评估包括:按照预定的顺序对路由列表进行扫描,以及对每个匹配陈述的标准进行评估。一旦发现第一个匹配的陈述,就中止列表扫描,并执行与该匹配的陈述相关的动作。边缘510-2从网络540-1接收到的路由图可以列出哪些接口可以用于在网络540-1中进行通信。
边缘510-2上的VPN 530可以单独地向网络540-1公布其接收SGT的能力,反之亦然。网络540-1和540-2可以是与边缘510通信的非结构网络,这些边缘510都存在于给定的结构中。
图6示出了根据实施例的示例方法。网络基元可以对它是否接收指定情境进行定义,公布该定义,并且随后接收适当的数据。
该方法开始于定义(600)网络域中的网络基元是否能够通过SDWAN结构叠层从一个或多个源节点接收承载指定情境的数据。在一些实施例中,网络基元可以是网络域中的前缀、虚拟专用网络或网络隧道,例如图1-图4中所描述的那些。在一些实施例中,源节点可以在与网络基元不同的网络域中,其中,这些域通过SDWAN结构叠层耦合。在一些实施例中,指定情境可以是分配给一个或多个源节点的SGT。
在一些实施例中,网络基元可以是在网络域中的特定前缀中的边缘节点,被配置为通过特定VPN中的特定隧道接收数据。在这种情况下,该方法确定特定隧道、特定VPN和特定前缀是否能够接收承载指定情境的数据。在一些实施例中,优先顺序可以这样进行:从隧道到VPN再到前缀。在一些实施例中,可以基于隧道、VPN和前缀的能力的组合来确定网络基元是否能够接收承载所定义的情境的数据。
在一些实施例中,当网络基元是前缀时,确定前缀具有接收具有指定情境的数据的能力可以涉及使用前缀列表,该前缀列表列出了哪些前缀具有该能力。可以将路由图应用于前缀列表,并且可以确定前缀的能力。
通过SDWAN结构叠层向一个或多个源节点公布(610)网络基元的能力。所公布的能力直接与网络基元接收承载指定情境的数据的能力有关。
网络基元基于网络基元的能力控制(620)来自一个或多个源节点的承载指定情境的数据的选择性传输。在一些实施例中,这是由源节点避免向不具有该能力的网络基元发送指定情境而发生的。在一些实施例中,这是由源节点向具有该能力的网络基元传输指定情境而发生的。在一些实施例中,当分组包含基元没有能力接收的信息时(例如,基于数据中存在指定情境),网络基元可以不接收数据的任何部分。
在一些实施例中,选择性的网络基元可以包括网络隧道、VPN和网络前缀中的一个或多个,如图5中的边缘510。指定情境的选择性传输可以取决于网络隧道、VPN、以及网络前缀的能力的任意组合,上述各项的能力可以被单独确定。在一些实施例中,针对网络隧道、VPN和前缀的能力,可以按照优先顺序确定承载指定情境的数据的选择性传输。在一些实施例中,控制承载指定情境的数据向边缘510的选择性传输可以包括:避免将承载指定情境的数据传输到边缘510。这种避免可能是由于隧道缺乏接收承载指定情境的数据的能力,并且可以在不考虑VPN和前缀是否有能力接收承载指定情境的数据的情况下被执行。在其他情况下,这种避免可能是由于VPN缺乏接收承载指定情境的数据的能力,并且可以在不考虑前缀是否有能力接收承载指定情境的数据的情况下被执行。
在一些实施例中,选择性传输可以是基于设备的,其中,使用网络隧道协议来控制选择性传输。
在一些实施例中,当网络基元是前缀时,控制选择性传输可以包括:与网络域中的其他网络基元共享承载指定情境的数据。在一些实施例中,当网络基元是前缀时,控制选择性传输可以包括:根据前缀的特征,与前缀中的其他节点共享承载指定情境的数据。前缀的特征可以包括:边缘节点是接收承载指定情境的数据的合适目的地、前缀中的其他设备、位置或其他因素。
在一些实施例中,控制传输可以涉及避免将承载指定情境的数据传输到网络基元。在一些实施例中,控制传输可以涉及由网络基元接收承载指定情境的数据。在一些实施例中,控制传输可以涉及传播承载指定情境的数据。网络基元可以将承载指定情境的数据传播给同一网络或通过SDWAN叠层结构(可以由OMP管理)连接的其他网络中的其他网络基元。在一些实施例中,OMP本身可以通过更新网络基元的转发表或经由其他方式来控制传输。
图7示出了网络设备700的示例(例如,交换机、路由器、网络设备等)。网络设备700可以包括中央处理单元(CPU)702、接口704以及总线706(例如,PCI总线)。当在适当的软件或固件的控制下起作用时,CPU 702可以负责执行分组管理、错误检测和/或路由功能。CPU702优选地在包括操作系统和任何适当的应用软件的软件的控制下完成所有这些功能。CPU702可以包括一个或多个处理器708,例如,来自摩托罗拉微处理器系列或MIPS微处理器系列的处理器。在替代实施例中,处理器708可以是专门设计的用于控制网络设备700的操作的硬件。在实施例中,存储器710(例如,非易失性RAM和/或ROM)也可以形成CPU 702的一部分。然而,存在可以将存储器耦接到系统的许多不同的方式。
接口704可以被设置为接口卡(有时称为“线卡”)。接口704可以控制网络上数据分组的发送和接收,并且有时支持与网络设备700一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口等。此外,可以提供各种超高速接口,例如,快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传输模式(ATM)接口、高速串行接口(HSSI)、SONET上分组(POS)接口、光纤分布式数据接口(FDDI)等。这些接口704可以包括适合与适当的介质通信的端口。在一些情况下,这些接口704还可以包括独立的处理器,在一些实例中,还包括易失性RAM。独立的处理器可以控制诸如分组交换、介质控制、以及管理之类的通信密集型任务。通过为通信密集型任务提供独立的处理器,接口704可以允许CPU 702高效地执行路由计算、网络诊断、安全功能等。
虽然图7中所示的系统是实施例的网络设备的示例,但绝不是唯一可以实现本主题技术的网络设备架构。例如,具有处理通信以及路由计算和其他网络功能的单个处理器的架构也可以被使用。此外,其他类型的接口和介质也可以与网络设备700一起使用。
不管网络设备的配置如何,其都可以采用被配置为存储用于通用网络操作的程序指令以及用于漫游、路由优化和本文描述的路由功能的机制的一个或多个存储器或存储器模块(包括存储器710)。程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动绑定、注册以及关联表之类的表格。
图8示出了总线计算系统800的示例,其中系统的组件使用总线805彼此进行电通信。计算系统800可以包括处理单元(CPU或处理器)810和系统总线805,该总线可以将包括系统存储器815(例如,只读存储器(ROM)820和随机存取存储器(RAM)825)在内的各种系统组件耦合到处理器810。计算系统800可以包括与处理器810直接连接、紧密接近或集成为处理器810的一部分的高速存储器的缓存812。计算系统800可以将数据从存储器815、ROM820、RAM 825和/或存储设备830复制到缓存812,以供处理器810快速访问。以此方式,缓存812可以提供性能提升,避免在等待数据时产生处理器延迟。这些和其他模块可以控制处理器810执行各种动作。也可以使用其他系统存储器815。存储器815可以包括具有不同性能特性的多种不同类型的存储器。处理器810可以包括任何通用处理器和硬件模块或软件模块,例如,存储在存储设备830中的模块1 832、模块2 834以及模块3 836,其被配置为控制处理器810以及专用处理器,其中软件指令被整合到实际的处理器设计中。处理器810本质上可以是完全的自包含计算系统,包含多个核或处理器、总线、存储器控制器、缓存等。多核处理器可以是对称的或不对称的。
为了实现用户与计算系统800的交互,输入设备845可以表示任意数量的输入机件,例如,用于语音的麦克风、用于手势或图形输入的触摸保护屏、键盘、鼠标、运动输入、语音等。输出设备835也可以是本领域技术人员已知的多种输出机件中的一种或多种。在一些实例中,多模式计算设备可以使用户能够提供多种类型的输入,以与计算系统800通信。通信接口840可以支配和管理用户输入和系统输出。对在任何特定硬件布置上的操作没有限制,因此可以将此处的基本特征很容易地替换为所开发的改进的硬件或固件布置。
存储设备830可以是非易失性存储器,并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如,磁带盒、闪存卡、固态存储器设备、数字通用磁盘、盒式磁带、随机存取存储器、只读存储器及其混合体。
如上所讨论的,存储设备830可以包括用于控制处理器810的软件模块832、834、836。设想其他硬件或软件模块。存储设备830可以连接到系统总线805。在一些实施例中,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件,与必要的硬件组件(例如,处理器810、总线805、输出设备835等)相连接以执行功能。
综上,本技术公开了方法、系统和非暂时性计算机可读介质,以用于:针对网络域中的网络基元,定义网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载与所述一个或多个源节点相关联的指定情境的数据;公布网络基元的能力,该能力陈述网络基元是否能够接收承载指定情境的数据;以及基于网络基元接收承载指定情境的数据的能力,控制承载指定情境的数据通过SDWAN结构叠层从一个或多个源节点到网络基元的选择性传输。
为了清楚说明,在一些实例中,本公开技术可以被呈现为包括单独的功能框,包括包含设备、设备组件、以软件或硬件和软件的组合实现的方法中的步骤或例程的功能框。
在一些实施例中,计算机可读存储设备、介质以及存储器可以包括包含比特流等的电缆或无线信号。然而,当提及时,非暂时性计算机可读存储介质明确排除诸如能量、载波信号、电磁波以及信号本身之类的介质。
根据上述示例的方法可以使用计算机可执行指令来实现,这些计算机可执行指令存储在计算机可读介质中或以其他方式可从计算机可读介质获得。此类指令可以包括,例如,使得或以其他方式配置通用计算机、专用计算机或专用处理设备来执行特定功能或功能组的指令和数据。使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是,例如,二进制文件、中间格式指令,例如,汇编语言、固件或源代码。可用于存储指令、使用的信息和/或在根据所述示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、设置有非易失性存储器的USB设备、联网存储设备等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用多种形式因数中的任何一种。此类形式因数的一些示例包括:通用计算设备(例如,服务器、机架安装设备、台式计算机、膝上型计算机等)或通用移动计算设备(例如,平板计算机、智能手机、个人数字助理、可穿戴设备等)。本文描述的功能也可以体现在外围设备或附加卡中。作为进一步的示例,这种功能还可以在电路板的不同芯片或在单个设备中执行的不同过程之间实现。
指令、用于传送此类指令的介质、用于对其进行执行的计算资源、以及用于支持此类计算资源的其他结构是用于提供这些公开内容中描述的功能的装置。
尽管使用各种示例和其他信息来说明所附权利要求的范围内的各方面,但不应基于此类示例中的特定特征或布置来暗示对权利要求有限制,因为普通技术人员将能够使用这些示例来推导出各种各样的实现方式。此外,尽管某个主题可能已经以特定于结构特征和/或方法步骤的示例的语言进行了描述,但应理解的是,所附权利要求中定义的主题不一定限于这些描述的特征或动作。例如,这样的功能可以以不同方式分配或在不同于本文所标识的那些组件的组件中执行。更确切地说,所描述的特征和步骤被公开为所附权利要求范围内的系统和方法的组成部分的示例。
Claims (23)
1.一种方法,包括:
针对网络域中的网络基元,定义所述网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;
公布所述网络基元的能力,所述能力陈述所述网络基元是否能够接收承载所述指定情境的所述数据;以及
基于所述网络基元接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据通过所述SDWAN结构叠层从所述一个或多个源节点到所述网络基元的选择性传输。
2.根据权利要求1所述的方法,其中,所述网络基元是以下项中的一项:网络隧道、虚拟专用网络、以及所述网络域中的特定前缀中的节点。
3.根据权利要求1或2所述的方法,其中,所述指定情境是指定给所述一个或多个源节点的安全组标签。
4.根据权利要求1至3中任一项所述的方法,其中,所述一个或多个源节点在第二网络域中,所述第二网络域通过所述SDWAN结构叠层与包含所述网络基元的网络域耦合。
5.根据权利要求1至4中任一项所述的方法,其中,所述网络基元包括以下项中的一项或多项:与网络设备相关联的虚拟专用网络、与所述网络设备相关联的网络隧道、以及与所述网络设备相关联的网络前缀,所述方法还包括:
按照所述网络隧道是否有接收承载所述指定情境的所述数据的能力、所述虚拟专用网络是否有接收承载所述指定情境的所述数据的能力、以及所述网络前缀是否有接收承载所述指定情境的所述数据的能力的优先顺序,控制对承载所述指定情境的所述数据的选择性传输。
6.根据权利要求1至5中任一项所述的方法,其中,所述网络基元是所述网络域中的特定前缀中的节点,所述方法还包括:
基于多个不同前缀中的节点是否能够接收承载所述指定情境的所述数据来维护前缀列表,所述前缀列表包括能够接收承载所述指定情境的所述数据的一列前缀;
将路由图应用于所述前缀列表,所述路由图包括所述网络基元和所述一个或多个源节点;以及
基于将所述路由图应用于所述前缀列表,确定承载所述指定情境的所述数据是否能够被所述网络基元接收。
7.根据权利要求1至6中任一项所述的方法,其中,所述网络基元与所述网络域中的其他网络基元共享承载所述指定情境的所述数据。
8.根据权利要求1至7中任一项所述的方法,其中,所述网络基元是所述网络域中的特定前缀中的边缘节点,所述边缘节点被配置为通过特定虚拟专用网络中的特定隧道接收数据,所述方法还包括:
确定所述特定隧道是否有接收承载所述指定情境的所述数据的能力;
确定所述特定虚拟专用网络是否有接收承载所述指定情境的所述数据的能力;
确定所述特定前缀是否有接收承载所述指定情境的所述数据的能力;以及
基于所述特定隧道、所述特定虚拟专用网络和所述特定前缀是否有接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据向所述边缘节点的选择性传输。
9.根据权利要求8所述的方法,其中,控制承载所述指定情境的所述数据向所述边缘节点的选择性传输还包括:无论所述特定虚拟专用网络和所述特定前缀是否具有接收承载所述指定情境的所述数据的能力,如果所述特定隧道缺乏接收承载所述指定情境的所述数据的能力,则避免向所述边缘节点传输承载所述指定情境的所述数据。
10.根据权利要求8或9所述的方法,其中,控制承载所述指定情境的所述数据向所述边缘节点的选择性传输还包括:无论所述特定前缀是否具有接收承载所述指定情境的所述数据的能力,如果所述特定虚拟专用网络缺乏接收承载所述指定情境的所述数据的能力,则避免向所述边缘节点传输承载所述指定情境的所述数据。
11.根据权利要求8至10中任一项所述的方法,还包括:基于所述特定前缀在接收承载所述指定情境的所述数据方面的特征,控制承载所述指定情境的所述数据到所述特定前缀内的其他节点的传播。
12.根据权利要求11所述的方法,其中,所述特定前缀在接收承载所述指定情境的所述数据方面的特征包括:所述边缘节点是接收承载所述指定情境的所述数据的合适目的地。
13.根据权利要求1至12中任一项所述的方法,其中,所述SDWAN结构叠层由叠层管理协议(OMP)管理。
14.根据权利要求13所述的方法,其中,所述OMP被配置为:基于所述网络基元接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据通过所述SDWAN结构叠层从所述一个或多个源节点到所述网络基元的选择性传输。
15.根据权利要求14所述的方法,其中,所述OMP被配置为:基于所述网络基元接收承载所述指定情境的所述数据的能力,通过更新所述一个或多个源节点的一个或多个转发表来控制对承载所述指定情境的所述数据的选择性传输。
16.一种系统,包括:
一个或多个处理器;以及
至少一个计算机可读存储介质,所述至少一个计算机可读存储介质存储有指令,所述指令当被所述一个或多个处理器执行时,使所述一个或多个处理器执行操作,所述操作包括:
针对网络域中的网络基元,定义所述网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;
公布所述网络基元的能力,所述能力陈述所述网络基元是否能够接收承载所述指定情境的所述数据;以及
基于所述网络基元接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据通过所述SDWAN结构叠层从所述一个或多个源节点到所述网络基元的选择性传输。
17.根据权利要求16所述的系统,其中,所述网络基元是以下项中的一项:网络隧道、虚拟专用网络、以及所述网络域中的特定前缀中的节点。
18.根据权利要求16或17所述的系统,其中,所述SDWAN结构叠层由叠层管理协议(OMP)管理。
19.一种非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质存储有指令,所述指令在被处理器执行时,使所述处理器执行操作,所述操作包括:
针对网络域中的网络基元,定义所述网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;
公布所述网络基元的能力,所述能力陈述所述网络基元是否能够接收承载所述指定情境的所述数据;以及
基于所述网络基元接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据通过所述SDWAN结构叠层从所述一个或多个源节点到所述网络基元的选择性传输。
20.根据权利要求19所述的非暂时性计算机可读存储介质,其中,所述SDWAN结构叠层由叠层管理协议(OMP)管理。
21.一种装置,包括:
定义组件,用于针对网络域中的网络基元,定义所述网络基元是否能够通过软件定义广域网(SDWAN)结构叠层从一个或多个源节点接收承载相关联的指定情境的数据;
公布组件,用于公布所述网络基元的能力,所述能力陈述所述网络基元是否能够接收承载所述指定情境的所述数据;以及
控制组件,用于基于所述网络基元接收承载所述指定情境的所述数据的能力,控制承载所述指定情境的所述数据通过所述SDWAN结构叠层从所述一个或多个源节点到所述网络基元的选择性传输。
22.根据权利要求21所述的装置还包括:用于实施根据权利要求2至15中任一项所述的方法的组件。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当由计算机执行时,使所述计算机执行权利要求1至15中任一项所述的方法的步骤。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063065932P | 2020-08-14 | 2020-08-14 | |
| US63/065,932 | 2020-08-14 | ||
| US17/091,478 | 2020-11-06 | ||
| US17/091,478 US11343180B2 (en) | 2020-08-14 | 2020-11-06 | Network service access and data routing based on assigned context |
| PCT/US2021/044007 WO2022035625A1 (en) | 2020-08-14 | 2021-07-30 | Network service access and data routing based on assigned context |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116114232A true CN116114232A (zh) | 2023-05-12 |
Family
ID=80223427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180055722.5A Pending CN116114232A (zh) | 2020-08-14 | 2021-07-30 | 基于指定情境的网络服务访问和数据路由 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US11343180B2 (zh) |
| EP (1) | EP4197177A1 (zh) |
| JP (1) | JP7507308B2 (zh) |
| KR (1) | KR20230047180A (zh) |
| CN (1) | CN116114232A (zh) |
| AU (1) | AU2021325836B2 (zh) |
| CA (1) | CA3189396A1 (zh) |
| WO (1) | WO2022035625A1 (zh) |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877796B2 (en) | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
| US8526463B2 (en) * | 2005-06-01 | 2013-09-03 | Qualcomm Incorporated | System and method to support data applications in a multi-homing, multi-mode communication device |
| US9338094B2 (en) * | 2014-03-31 | 2016-05-10 | Dell Products, L.P. | System and method for context aware network |
| US10417025B2 (en) * | 2014-11-18 | 2019-09-17 | Cisco Technology, Inc. | System and method to chain distributed applications in a network environment |
| US9794193B2 (en) * | 2015-01-30 | 2017-10-17 | Gigamon Inc. | Software defined visibility fabric |
| US9825777B2 (en) | 2015-06-23 | 2017-11-21 | Cisco Technology, Inc. | Virtual private network forwarding and nexthop to transport mapping scheme |
| US9755939B2 (en) * | 2015-06-26 | 2017-09-05 | Cisco Technology, Inc. | Network wide source group tag binding propagation |
| US10637889B2 (en) | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
| US20180077080A1 (en) * | 2016-09-15 | 2018-03-15 | Ciena Corporation | Systems and methods for adaptive and intelligent network functions virtualization workload placement |
| US11576043B2 (en) * | 2017-03-21 | 2023-02-07 | Lg Electronics Inc. | Session management method and SMF node |
| US10382333B2 (en) * | 2017-05-31 | 2019-08-13 | Juniper Networks, Inc. | Fabric path context-based forwarding for virtual nodes |
| US10999197B2 (en) | 2018-11-30 | 2021-05-04 | Cisco Technology, Inc. | End-to-end identity-aware routing across multiple administrative domains |
| US11044117B2 (en) | 2018-12-26 | 2021-06-22 | Citrix Systems, Inc. | Intelligent and dynamic overlay tunnel formation via automatic discovery of citrivity/SDWAN peer in the datapath in a pure plug and play environment with zero networking |
| US10939369B2 (en) * | 2019-02-22 | 2021-03-02 | Vmware, Inc. | Retrieval of slice selection state for mobile device connection |
-
2020
- 2020-11-06 US US17/091,478 patent/US11343180B2/en active Active
-
2021
- 2021-07-30 CA CA3189396A patent/CA3189396A1/en active Pending
- 2021-07-30 KR KR1020237008356A patent/KR20230047180A/ko unknown
- 2021-07-30 JP JP2023507913A patent/JP7507308B2/ja active Active
- 2021-07-30 EP EP21756163.8A patent/EP4197177A1/en active Pending
- 2021-07-30 AU AU2021325836A patent/AU2021325836B2/en active Active
- 2021-07-30 CN CN202180055722.5A patent/CN116114232A/zh active Pending
- 2021-07-30 WO PCT/US2021/044007 patent/WO2022035625A1/en unknown
-
2022
- 2022-04-13 US US17/659,128 patent/US20220247677A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023537908A (ja) | 2023-09-06 |
| AU2021325836B2 (en) | 2023-12-14 |
| US20220052947A1 (en) | 2022-02-17 |
| KR20230047180A (ko) | 2023-04-06 |
| AU2021325836A1 (en) | 2023-03-09 |
| EP4197177A1 (en) | 2023-06-21 |
| CA3189396A1 (en) | 2022-02-17 |
| WO2022035625A1 (en) | 2022-02-17 |
| US11343180B2 (en) | 2022-05-24 |
| US20220247677A1 (en) | 2022-08-04 |
| JP7507308B2 (ja) | 2024-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7332689B2 (ja) | 動的なインテントベースのファイアウォール | |
| CN113169930B (zh) | 跨多个管理域的端到端身份知晓路由 | |
| US11329950B2 (en) | Wide area network edge device connectivity for high availability and extensibility | |
| CN114600427A (zh) | 跨多个域的策略平面集成 | |
| WO2023010110A1 (en) | Secure frame encryption as a service | |
| KR20230051274A (ko) | 클라우드 리소스들에 대한 자동화된 접속성 | |
| US20230261963A1 (en) | Underlay path discovery for a wide area network | |
| EP4320824A1 (en) | System and method for connecting virtual networks in a branch site to clouds | |
| AU2021325836B2 (en) | Network service access and data routing based on assigned context | |
| AU2022253916B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
| US11546432B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
| CN116783580A (zh) | 用于将分支站点中的虚拟网络连接到云的系统和方法 | |
| CN117981278A (zh) | 针对网络安全的动态资源分配 | |
| WO2023158959A1 (en) | Underlay path discovery for a wide area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |