CN116319516A - 安全sd-wan端口信息分发 - Google Patents
安全sd-wan端口信息分发 Download PDFInfo
- Publication number
- CN116319516A CN116319516A CN202211098023.1A CN202211098023A CN116319516A CN 116319516 A CN116319516 A CN 116319516A CN 202211098023 A CN202211098023 A CN 202211098023A CN 116319516 A CN116319516 A CN 116319516A
- Authority
- CN
- China
- Prior art keywords
- wan
- port
- peer
- network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
本申请公开了一种软件定义广域网(Software Defined Wide Area Network,简称SD‑WAN)边缘节点。所述SD‑WAN边缘节点包括耦合到非可信底层网络的边缘节点SD‑WAN端口。所述SD‑WAN边缘节点将通告所述边缘节点SD‑WAN端口的WAN(广域网)属性的第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息经由加密信道在所述非可信底层网络上发送到本地控制器。所述SD‑WAN边缘节点从所述本地控制器接收第二BGP更新消息,所述第二BGP更新消息通告对等节点的对等节点SD‑WAN端口的WAN属性。所述SD‑WAN边缘节点基于所述边缘节点SD‑WAN端口的WAN属性和所述对等节点SD‑WAN端口的WAN属性,在所述非可信底层网络上建立与所述对等节点的安全关联。
Description
本申请是分案申请,原申请的申请号是201980067932.9,原申请日是2019年10月18日,原申请的全部内容通过引用结合在本申请中。
相关申请案交叉申请
本专利申请要求由Linda Dunbar于2018年10月19日递交的发明名称为“覆盖隧道属性在大规模覆盖网络中的分布”的第62/748,146号美国临时专利申请的在先申请优先权,该在先申请的内容以引入的方式并入本文。
背景技术
现代网络允许设备通过多个接口进行通信。例如,网络设备可以连接到安全网络和不受控的公共网络,例如因特网。网络策略可能需要以不同的方式处理不同的通信。例如,一些通信可以在公共因特网上发送,其他通信可以仅在安全网络上发送,并且其他通信还可以在某些地理区域周围进行调整(例如,禁止穿越国家边界的通信等)。因此,在一些情况下,可能需要复杂的路由方案来遵守网络策略。为了进一步复杂化问题,现代网络设计可以允许网络任务基于改变的用户行为而在区域之间动态地转移。例如,一些软件平台可以在数据中心之间动态地移动处理任务,以便在物理上靠近用户的位置执行此类处理任务,从而减少等待时间。由于用户位置可能一天之内可在地球上不断变动,并且用户习惯可能每天改变,所以用于这种系统的网络拓扑可能以难以预测的方式显著改变。这样,由人类网络管理员建立的静态路由机制可能不足以实现用于动态网络拓扑的复杂路由方案。
发明内容
在一个实施例中,本发明包括软件定义广域网(Software Defined Wide AreaNetwork,简称SD-WAN)边缘节点,所述SD-WAN边缘节点包括:一个或多个边缘节点SD-WAN端口,所述边缘节点SD-WAN端口用于耦合到一个或多个非可信底层网络和一个或多个可信底层网络;发送器;接收器;非瞬时性存储器,其包括计算机可执行指令;耦合到所述发送器、接收器和、存储器的处理器;其中,所述计算机可执行指令在由所述处理器执行时,使所述SD-WAN边缘节点:通过所述非可信底层网络经由加密信道将所述边缘节点SD-WAN端口的第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息通告广域网(wide areanetwork,简称WAN)属性发送到本地控制器;接收来自所述本地控制器的第二BGP更新消息,所述第二BGP更新消息通告对等节点的对等节点SD-WAN端口的WAN属性;基于所述边缘节点SD-WAN端口的WAN属性和所述对等节点SD-WAN端口的WAN属性,建立与所述非可信底层网络上的对等节点或所述对等节点SD-WAN端口的安全关联。在一些基于SD-WAN的系统中,本地控制器为相关对等节点保留SD-WAN数据。所述SD-WAN数据可以包括私有地址、公共地址和映射。当请求连接时,使用各种协议来向相关节点发送SD-WAN数据。当所述本地控制器管理许多对等节点(例如,100)时,这种方法将使所述本地控制器负担过重。因此,这种方法缺乏扩展性。BGP可以用于各种网络应用中以在节点之间交换公共子网数据。所公开的SD-WAN系统通过采用BGP与SD-WAN一起工作来克服上述扩展性问题。所公开的SD-WAN系统使用BGP经由所述本地控制器在对等体之间交换WAN端口数据。这样,相关的处理将被分担到对等体以提升扩展性。此外,所公开的SD-WAN系统扩展BGP以包括WAN端口属性(例如,包括安全信息),而不包括公共子网信息。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述边缘节点SD-WAN端口的WAN属性描述SD-WAN端口能力和隧道端点属性,并且所述边缘节点SD-WAN端口的WAN属性被编码在第一BGP更新消息的网络层可达性信息(Network Layer ReachabilityInformation,简称NLRI)字段中。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述边缘节点SD-WAN端口的WAN属性包括隧道端点、专用端口地址、端口因特网协议安全(Internet Protocolsecurity,简称IPsec)能力、SD-WAN路由策略、隧道加密数据或其组合。一些BGP应用仅通告公共子网地址数据,因此这种应用不允许BGP包括安全数据或端口特定信息。所公开的SD-WAN系统扩展BGP以允许传送这类安全数据。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述边缘节点SD-WAN端口的WAN属性被包括在覆盖后续地址族标识(Subsequent Address Family Identifier,简称SAFI)特定覆盖网络中。一些系统采用因特网协议(Internet Protocol,简称IP)SAFI来描述子网数据。所公开的实施例采用覆盖SAFI(例如,SD-WAN SAFI),其是用于描述与覆盖网络(例如,SD-WAN)相关的端口属性的不同地址族。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述覆盖SAFI包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点标识(identifier,简称ID)和SD-WAN节点ID。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述边缘节点SD-WAN端口的WAN属性被包括在SD-WAN隧道封装属性中。所公开的示例性实施例可以与所述覆盖地址族或IP地址族一起使用。如果使用IP SAFI,则可以为每个SD-WAN端口发送BGP更新消息。所述本地控制器基于描述IPsec的SD-WAN隧道封装属性的存在来确定用于SD-WAN端口的数据。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述SD-WAN隧道封装属性包括隧道类型、IPsec安全关联(security association,简称SA)属性和封装扩展类型长度值(type length value,简称TLV)。
在一个实施例中,本发明包括包含收发器的本地控制器;一种非瞬时性存储器,包括计算机可执行指令;一种耦合到所述收发器和所述非瞬时性存储器的处理器,其中,所述计算机可执行指令在由所述处理器执行时使所述本地控制器:经由在一个或一个以上非可信底层网络上的第一加密信道经由第一对等节点的第一对等节点软件定义广域网(Software Defined Wide Area Network,简称SD-WAN)端口来接收通告第一广域网(widearea network,简称WAN)属性的第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息。经由收发器接收的第一BGP更新消息;经由第二加密信道通过所述非可信底层网络接收通告第二对等节点的第二对等节点SD-WAN端口的第二BGP更新消息,所述第二BGP更新消息经由所述收发器接收;经由收发器将第一BGP更新消息转发到第二对等节点;经由收发器将第二BGP更新消息转发到第一对等节点,以支持基于第一WAN属性和第二WAN属性建立第一对等节点SD-WAN端口与第二对等节点SD-WAN端口之间的安全关联。
在一些基于SD-WAN的系统中,本地控制器为相关对等节点保留SD-WAN数据。所述SD-WAN数据可以包括私有地址、公共地址和映射。当请求连接时,使用各种协议来向相关节点发送SD-WAN数据。当所述本地控制器管理许多对等节点(例如,100)时,这种方法将使所述本地控制器负担过重。因此,这种方法缺乏扩展性。BGP可以用于各种网络应用中以在节点之间交换公共子网数据。所公开的SD-WAN系统通过采用BGP与SD-WAN一起工作来克服上述扩展性问题。所公开的SD-WAN系统使用BGP经由所述本地控制器在对等体之间交换WAN端口数据。这样,相关的处理将被分担到对等体以提升扩展性。此外,所公开的SD-WAN系统扩展BGP以包括WAN端口属性(例如,包括安全信息),而不包括公共子网信息。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述第一WAN属性描述第一对等节点SD-WAN端口的SD-WAN端口能力和隧道端点属性,并且所述边缘节点SD-WAN端口的WAN属性被编码在第一BGP更新消息的网络层可达性信息(Network LayerReachability Information,简称NLRI)字段中。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述第一WAN属性包括隧道端点、专用端口地址、端口因特网协议安全(Internet Protocol security,简称IPsec)能力、SD-WAN路由策略、隧道加密数据或其组合。一些BGP应用仅通告公共子网地址数据,因此这种应用不允许BGP包括安全数据或端口特定信息。所公开的SD-WAN系统扩展BGP以允许传送这类安全数据。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述第一WAN属性被包括在专用于覆盖网络的覆盖后续地址族标识(Subsequent Address FamilyIdentifier,简称SAFI)中。一些系统采用因特网协议(Internet Protocol,简称IP)SAFI来描述子网数据。所公开的实施例采用覆盖SAFI(例如,SD-WAN SAFI),其是用于描述与覆盖网络(例如,SD-WAN)相关的端口属性的不同地址族。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述覆盖SAFI包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点标识(identifier,简称ID)和SD-WAN节点ID。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述第一WAN属性被包括在SD-WAN隧道封装属性中。所公开的示例性实施例可以与所述覆盖地址族或IP地址族一起使用。如果使用IP SAFI,则可以为每个SD-WAN端口发送BGP更新消息。所述本地控制器基于描述IPsec的SD-WAN隧道封装属性的存在来确定用于SD-WAN端口的数据。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述SD-WAN隧道封装属性包括隧道类型、IPsec安全关联(security association,简称SA)属性和封装扩展类型长度值(type length value,简称TLV)。
在一个实施例中,本发明包括在软件定义广域网(Software Defined Wide AreaNetwork,简称SD-WAN)边缘节点中实现的方法,所述方法包括:SD-WAN边缘节点经由具有边界网关协议(Border Gateway Protocol,简称BGP)路由反射器的安全信道来通告SD-WAN端口属性,其中,所述SD-WAN端口连接到专用网络和公共非可信网络,并且所述经由BGP更新消息网络层可达性信息(Network Layer Reachability Information,简称NLRI)来通告SD-WAN端口属性。LRI)字段;所述SD-WAN边缘节点基于对等体组策略接收来自BGP路由反射器的对等节点的SD-WAN端口属性;所述SD-WAN边缘节点基于所述SD-WAN边缘节点的SD-WAN端口属性和所述对等节点的SD-WAN端口属性建立与所述对等节点的安全成对信道。在一些基于SD-WAN的系统中,本地控制器为相关对等节点保留SD-WAN数据。所述SD-WAN数据可以包括私有地址、公共地址和映射。当请求连接时,使用各种协议来向相关节点发送SD-WAN数据。当所述本地控制器管理许多对等节点(例如,100)时,这种方法将使所述本地控制器负担过重。因此,这种方法缺乏扩展性。BGP可以用于各种网络应用中以在节点之间交换公共子网数据。所公开的SD-WAN系统通过采用BGP与SD-WAN一起工作来克服上述扩展性问题。所公开的SD-WAN系统使用BGP经由所述本地控制器在对等体之间交换WAN端口数据。这样,相关的处理将被分担到对等体以提升扩展性。此外,所公开的SD-WAN系统扩展BGP以包括WAN端口属性(例如,包括安全信息),而不包括公共子网信息。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述NLRI字段被包括在SD-WAN后续地址族标识(Subsequent Address Family Identifier,简称SAFI)中,用于通告面向非可信网络的SD-WAN端口的属性。一些系统采用因特网协议(InternetProtocol,简称IP)SAFI来描述子网数据。所公开的实施例采用覆盖SAFI(例如,SD-WANSAFI),其是用于描述与覆盖网络(例如,SD-WAN)相关的端口属性的不同地址族。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述SD-WAN SAFI包括:指示NLRI的长度的NLRI长度字段、定义NLRI字段的编码的SD-WAN类型字段、包括SD-WAN边缘节点端口标识(identifier,简称ID)的端口标识、标识由一组SD-WAN边缘节点共享的公共属性的SD-WAN站点ID、识别SD-WAN边缘节点的SD-WAN节点ID。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述端口识别符唯一地标识相应的SD-WAN端口,并且所述端口识别符包括相应的SD-WAN端口的因特网协议(Internet Protocol,简称IP)地址、专用IP地址的网络地址转换(network addresstranslation,简称NAT)信息,以及相应的SD-WAN端口的IP安全关联(Internet Protocolsecurity,简称IPsec)安全关联相关信息。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述在SD-WAN站点ID中指示的公共属性用于出于策略原因而调整覆盖路由以穿越特定地理区域。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述隧道封装属性包括:指示SD-WAN端口属性的隧道类型、描述关于SD-WAN隧道端点的信息的NAT子类型长度值(type length value,简称TLV)、包括用于与对等节点建立IPsec SA的信息的IPsec安全关联(security association,简称SA)属性子TLV,以及包括相应的SD-WAN端口的附加属性的端口子TLV。
在一个实施例中,本发明包括软件定义广域网(Software Defined Wide AreaNetwork,简称SD-WAN)边缘节点,其包括处理器、耦合到所述处理器的接收器,以及耦合到所述处理器的发送器,其中,所述处理器、接收器和发送器用于执行任一前述方面中的方法。
在一个实施例中,本发明包括非瞬时性计算机可读介质,其包括由网络节点使用的计算机程序产品,所述计算机程序产品包括存储在非瞬时性计算机可读介质上的计算机可执行指令,使得当所述指令由处理器执行时,使得网络节点执行前述任何方面的步骤。
在一个实施例中,本发明包括软件定义广域网(Software Defined Wide AreaNetwork,简称SD-WAN)边缘节点,所述软件定义广域网(Software Defined Wide AreaNetwork,简称SD-WAN)边缘节点包括发送装置,所述发送装置用于经由加密信道在非可信底层网络上将通告SD-WAN边缘节点的边缘节点SD-WAN端口的广域网(wide area network,简称WAN)属性的第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息发送到本地控制器;接收装置,用于从所述本地控制器接收第二BGP更新消息,所述第二BGP更新消息通告对等节点的对等节点SD-WAN端口的WAN属性;处理装置,用于基于所述边缘节点SD-WAN端口的WAN属性和所述对等节点SD-WAN端口的WAN属性,通过所述非可信底层网络与所述对等节点的对等节点或所述对等节点SD-WAN端口建立安全关联。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述发送装置、接收装置和处理装置还用于执行前述任一方面。
在一个实施例中,本发明包括本地控制器,所述本地控制器包括接收装置,所述接收装置用于接收第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息,所述第一边界网关协议(Border Gateway Protocol,简称BGP)更新消息经由第一加密信道在一个或多个非可信底层网络上通告第一对等节点的软件定义广域网(Software DefinedWide Area Network,简称SD-WAN)端口的第一WAN属性;通过第二加密信道通过所述非可信底层网络接收通告第二对等节点的第二对等节点SD-WAN端口的第二WAN属性的第二BGP更新消息;处理装置,用于处理所述第一BGP更新消息和所述第二BGP更新消息;发送装置,用于将所述第一BGP更新消息转发到所述第二对等节点;向所述第一对等节点转发所述第二BGP更新消息,以支持基于所述第一WAN属性和所述第二WAN属性建立所述第一对等节点SD-WAN端口与所述第二对等节点SD-WAN端口之间的安全关联。
可选地,根据前述任一方面,在本方面的另一种实现方式中,所述发送装置、接收装置和处理装置还用于执行前述任一方面。
为清楚起见,前述任何一种实施例可与任何一种或多种其他前述实施例相结合,以在本发明的范围内创建新的实施例。
通过下面结合附图和说明书的详细描述,将更清楚地理解这些和其他特征。
附图说明
为了更完整地理解本发明,现在结合附图和详细描述参考以下简要描述,其中相同的附图标记表示相同的部件。
图1是示例性SD-WAN网络的示意图。
图2是由多个租户组使用的示例性SD-WAN网络的示意图。
图3是使用边界网关协议(Border Gateway Protocol,简称BGP)以使用SD-WAN后续地址族标识(Subsequent Address Family Identifier,简称SAFI)分发SD-WAN端口信息的示例性方法的协议图。
图4是使用BGP使用因特网协议(Internet Protocol,简称IP)SAFI分发SD-WAN端口信息的示例性方法的协议图。
图5是在SD-WAN网络中使用的示例性网络节点的示意图。
图6是示例性SD-WAN SAFI的示意图。
图7是示例性隧道封装属性类型长度值(type length value,简称TLV)的示意图。
图8是示例性SD-WAN端口子TLV的示意图。
图9是示例性IP安全(Internet Protocol security,简称IPsec)子TLV的示意图。
图10是基于BGP的SD-WAN边缘节点分发SD-WAN端口网络层可达性信息(NetworkLayer Reachability Information,简称NLRI)的示例性方法的流程图。
图11是基于BGP的本地控制器分发SD-WAN端口NLRI的示例性方法的流程图。
图12是SD-WAN边缘节点对SD-WAN端口NLRI进行基于BGP的分发的另一种示例性方法的流程图。
图13是用于基于BGP的SD-WAN端口NLRI的分发的示例性系统的示意图。
具体实施方式
首先应当理解,尽管下面提供了一个或多个实施例的示例性实现方式,但是所公开的系统和/或方法可以使用任何数量的技术来实现,无论是当前已知的还是存在的技术。本发明决不应限于以下所示的示例性实现方式、附图和技术,包括本文所示和所述的示例性设计和实现方式,而是可以在所附权利要求的范围及其等同物的全部范围内进行修改。
SD-WAN是可以为动态变化的网络拓扑实现复杂路由方案的示例性网络。SD-WAN是一种广域网(wide area network,简称WAN),其被实现为使用软件定义联网模式将网络控制机制与网络硬件解耦。这通过允许基于功能组而不是通过硬件关系来管理网络节点来简化网络管理和操作。WAN是在很宽的地理区域(例如,多国/全球网络)上延伸的通信网络。SD-WAN可以被实现为经由通过多个物理网络的隧道操作的网络覆盖。例如,SD-WAN可以传输用于在多个物理上远离的网络中操作的许多类型的设备的数据。此类设备可以包括局域网(local area network,简称LAN)中的个人计算机、公共和/或专用云网络中的虚拟机(virtual machine,简称VM)、数据中心中的专用服务器等。SD-WAN可以用于基于变化的网络需求,根据指定的网络策略安全地和动态地调整路由,例如,不需要网络管理员来配置特定的网络路由。
SD-WAN可以用于在安全网络和非安全网络上传输数据。例如,IPsec隧道可用于在非安全网络上传输数据。为了建立这类IPsec隧道,需要在隧道端点之间交换安全信息。在一些系统中,使用中心辐射式模型来分发这种信息。例如,本地控制器可以充当集线器并维护用于各种SD-WAN节点的安全信息。然后,SD-WAN节点可以在需要时从所述本地控制器请求此类安全信息,以允许SD-WAN节点建立到特定对等节点的安全路由。例如,可以使用下一跳解析协议(Network Hop Resolution Protocol,简称NHRP),死的简单虚拟专用网络(dead simple virtual private network,简称DSVPN)和/或动态多点虚拟专用网络(dynamic multi-point virtual private network,简称DMVPN)协议来所述经由所述本地控制器在对等节点之间分发SD-WAN节点信息。
然而,这种方法具有某些缺陷。例如,这种方法可能需要所述本地控制器保持对SD-WAN网络中的所有(或基本子集)节点的安全和地址信息的认知。此外,这种方法可能需要所述本地控制器参与SD-WAN网络中每个隧道的创建。这样,这种方法对于大型网络可能不是完全可扩展的。例如,虽然上述方法可以很好地用于中等数量的节点,但当SD-WAN采用采用具有多个租户组的复杂拓扑的大量节点(例如,100个或更多SD-WAN节点)时,所述方法可能崩溃(例如,变得复杂,易出错和/或功能差)。
本文公开了一种用于以可扩展到大型和复杂网络拓扑的方式来分发SD-WAN节点端口信息(也称为NLRI)的机制。例如,BGP可以用于经由所述本地控制器在对等节点之间分发SD-WAN端口信息。通过使用BGP更新消息,所述SD-WAN端口信息可以在租户组中的对等体之间转发,但不需要由所述本地控制器进行维护和管理。当网络扩展到大量节点时,这减轻了所述本地控制器上的计算负担。在一些系统中,BGP可以用于转发子网信息并且可以传送不安全的数据。因此,本发明以安全方式修改BGP以携带包括安全信息的SD-WAN端口信息。例如,SD-WAN边缘节点可以在启动时与中央控制器通信。
在一些示例中,所述中央控制器的地址可以被硬编码到SD-WAN边缘节点中。作为特定实例,制造商可在制造时将中央控制器的通用资源定位符(universal resourcelocator,简称URL)、IP地址或其他网络地址写入SD-WAN边缘节点的存储器(例如,固件)中。然后,所述SD-WAN边缘节点可以在启动时获得所述中央控制器的地址。所述中央控制器可以为包含SD-WAN边缘节点的对等体组指定本地控制器,例如路由反射器(routereflector,简称RR)。所述SD-WAN边缘节点可以通过安全信道在BGP更新消息中向所述本地控制器发送SD-WAN端口信息。然后,所述本地控制器可以经由安全信道将BGP更新消息转发到对等节点。所述本地控制器还可以将BGP更新从所述对等节点转发回所述SD-WAN边缘节点。这样,所述SD-WAN边缘节点与所述对等节点建立安全连接。这类BGP更新消息可以被周期性地发送和/或在发生诸如拓扑改变,节点添加,节点断开等事件时发送,以允许对等体组中的每个节点保持对其他节点的SD-WAN端口信息的认知。
所述BGP更新消息可以承载SD-WAN端口能力和隧道端点属性。这可以包括公共和专用地址和端口、网络地址转换(network address translation,简称NAT)数据、IPsec能力、SD-WAN路由策略、隧道加密数据(例如,加密密钥)等。如上所述,BGP可以不被设计成承载安全信息。本发明包括BGP修改以承载此类数据。在一个示例性实现方式中,所述BGP更新消息携带SD-WAN SAFI。所述SD-WAN SAFI向所述本地控制器警告所述BGP更新消息携带SD-WAN端口信息而不是子网数据。然后,所述本地控制器可以安全地处理所述BGP更新消息,并仅将所述BGP更新消息转发到授权的对等体。在另一个示例中,使用IP SAFI代替SD-WANSAFI。所述本地控制器搜索每个BGP更新消息。一旦找到SD-WAN端口信息,所述本地控制器就安全地处理所述BGP更新消息,并仅将所述BGP更新消息转发到授权的对等体。IP SAFI是向后兼容的,但是与采用SD-WAN SAFI的实现方式相比,可能需要更多的本地控制器资源。
图1是示例性SD-WAN网络100的示意图。在所示的示例中,SD-WAN网络100包括经由一个或多个非可信赖网络和一个或多个可信赖网络两者耦合到数据中心网络120的本地网络110。所述非可信网络可以包括公共因特网130。所述可信网络可以包括专用多协议标签交换(Multiprotocol Label Switching,简称MPLS)网络140。所述本地网络110包括经由用户驻地设备(customer premises equipment,简称CPE)111通信的一个或多个本地节点112。所述数据中心网络120包括虚拟机(virtual machine,简称VM)121,其经由N个网关122和123(表示为GW1至GWN)进行通信。所述SD-WAN网络100还包括中央控制器101和用于管理和操作相应网络的本地控制器105。
所述SD-WAN网络100可以被实现为具有许多不同的拓扑或配置。在所示的示例中,所述本地网络110用于与所述数据中心网络120处的对等体通信。所述本地网络110是能够在连接的节点之间(例如,在单个建筑物和/或小的建筑物园区中)传播数据的通信系统。作为特定示例,所述本地网络110可以在单个办公室中运行,并且可以被设计成将该办公室连接到穿越遍布世界的许多地方的许多办公室的公司网络。所述本地网络110包括本地节点112。所述本地节点112可以包括通过局域网(local area network,简称LAN)通信的任何通信设备。例如,所述本地节点112可以包括个人计算机或其他用户终端、打印机、平板电脑、智能电话、电视、物联网(Internet of Things,简称ToT)设备等。所述本地网络110中的本地节点112经由CPE 111与外界通信。所述CPE 111可以充当SD-WAN边缘节点,并且因此可以用于将所述本地网络110连接到所述SD-WAN。所述CPE 111是能够充当所述本地网络110的网关的任何网络设备。所述CPE 111可以具有任意数量N的端口111a和111b(表示为P1到PN)。在所示的示例中,所述端口111a耦合到因特网130,而端口111b耦合到MPLS网络140。由于端口111a和111b应该将CPE 111连接到SD-WAN,所以所述端口111a和111b可以充当SD-WAN端口。
在特定示例中,所述CPE 111可以由非专家用户设置。因此,所述CPE 111可以被设计成以来自用户的最小输入连接到所述SD-WAN网络110。因此,所述CPE 111可以被设计成执行自动配置以将所述本地网络110连接到所述SD-WAN网络100。在启动时,所述CPE 111可以确定关联的中央控制器101并发起通信。所述中央控制器101可以是能够设置和管理高级网络范围操作的网络设备,例如设置策略、管理网络负载平衡、操作网络计费特征等。所述CPE 111可以通过查阅硬编码到存储器中的数据,通过与默认地址通信,基于用户输入等来确定中央控制器101。所述CPE 111可以通过因特网130与所述中央控制器101通信以获得进一步的指令。例如,此类安全信道可以是传输层安全(transport layer security,简称TLS)或安全套接字层(secure socket layer,简称SSL)信道。然后,所述中央控制器101可以将所述本地控制器105分配给所述CPE 111。例如,可以基于与所述CPE 111相关联的租户来分配所述本地控制器105,以便帮助所述CPE 111将所述本地网络110连接到适当的网络对等体组。
所述本地控制器105是能够控制网络路由管理、网络安全、网络通信会话等的网络设备。所述本地控制器105是本地的,这意味着所述本地控制器105对于整个SD-WAN网络而言可能不是全局的。所述本地控制器105可以对一个或多个对等体组而言是本地的,并且可以支持这种对等体之间的通信功能。所述本地控制器105可以与所述CPE 111物理上非常接近,也可以不与所述CPE 111物理上非常接近。例如,所述中央控制器101可以在与所述本地网络110相同的国家中指定本地控制器105。所述本地控制器105可以操作BGP,并且可以用于BGP路由反射器。所述CPE 111可以经由诸如因特网130的非可信网络与所述本地控制器105通信。因此,所述CPE 111可以与所述本地控制器105建立安全信道(例如,TLS、SSL等)。所述CPE 111然后可以通过所述安全信道将BGP更新转发到所述本地控制器105。所述BGP更新可以包含描述应该连接到所述SD-WAN的端口111a和111b的数据。通过在所述安全信道上转发BGP更新,与所述端口111a和111b相关的SD-WAN端口信息可以在穿过非可信网络时被保护。然后,所述本地控制器105可以在网络对等体之间交换相关的SD-WAN端口信息,以支持建立覆盖隧道,从而将CPE 111连接到SD-WAN中的正确对等体。在BGP上下文中,NLRI是可用于连接到相应节点的数据。这样,当所述SD-WAN端口信息被包括在BGP消息中时,可以作为NLRI来传送。
在所示的示例中,所述CPE 111耦合到因特网130和MPLS网络140。所述因特网130是互连的计算机网络的全球系统,其链接全世界的设备。所述因特网130包括通常被认为不安全的许多子网络。所述MPLS网络140是能够根据MPLS路由技术传送数据的高性能网络。所述MPLS网络140包括多个提供商边缘(provider edge,简称PE)141和142。所述PE 141/142是能够充当MPLS网络140的入口点和出口点的设备。所述MPLS网络140通常由服务提供商管理,因此所述PE 141和PE 142充当提供商网络的边缘。MPLS路由技术涉及根据标签交换报文。这样,可在不检查底层报文的情况下进行交换。例如,可以在发起跨所述MPLS网络140的通信之前建立路由。报文可以在PE 141处进入所述MPLS网络140。在这种情况下,所述PE141基于路由将第一标签推到报文上。然后基于所述第一标签将报文交换到MPLS网络140中的第一内部节点。内部节点弹出第一标签,基于与第一标签相关联的路由应用第二标签,并且基于第二标签路由报文。该过程继续,直到PE 142接收到报文,所述PE 142弹出最终标签,并将报文路由到所述数据中心网络120。来自所述数据中心网络120的报文以类似的方式穿过所述MPLS网络140,不同之处在于所述PE 142推第一标签,并且PE 141弹出最后一个标签。所述MPLS网络140在PE 141和PE 142处提供安全性,并且可以不检查内部节点处的报文的内容。因此,所述MPLS网络140被认为是安全网络,并且穿越所述MPLS网络140的路由可能不需要受到诸如IPsec、TLS、SSL等的附加安全协议的保护。
可以根据各种策略来执行去往和来自节点112的通信会话。策略可能需要某些通信来穿过所述MPLS网络140而不是所述因特网130。其他策略可能要求某些通信避开某些网络(例如,位于某些国家或由指定提供商管理的因特网130的部分)。可以根据任何可用的路由来路由其他通信,只要通信是安全的,例如通过IPsec。为了遵守此类策略并且在通过所述SD-WAN网络100传送数据时执行负载平衡,对等节点应该知道相关的SD-WAN端口信息。这样,与所述端口111a和111b(由CPE 111传送)相关的SD-WAN端口信息可以描述哪些端口111a和111b连接到哪些网络、公共和专用IP地址、公共和专用端口标识(identifier,简称ID)、端口安全能力,和/或支持如相关网络策略所规定的建立安全连接的其他连接/安全相关信息。
所述数据中心网络120是互连的计算资源池。在云计算模型中,数据中心网络120包括可基于各种进程的变化需求弹性地提供给这些进程的硬件资源。此类硬件资源可以包括处理资源、存储器资源、高速缓存资源、网络通信资源等。在一些部署中,虚拟机(virtualmachine,简称VM)121可以使用此类资源。VM 121是仿真诸如服务器的计算机器的平台。VM121可以代表租户操作各种应用程序。可以根据需要将硬件资源分配给所述VM 121以操作相关联的应用程序,并且当不再需要时将其解除分配。这样,硬件资源可以由许多VM 121共享,而不会过度向任何一个VM 121提供资源。所述数据中心网络120还可以包括N个网关(表示为GW1 122到GWN 123)。GW1 122和GWN 123是所述数据中心网络120的入口点和出口点。所述GW1 122和GWN 123可用于应用安全协议,可具有IP地址和端口ID,并且可连接到所述因特网130和/或所述MPLS网络140。在本示例中,VM 121可以充当SD-WAN网络中的对等节点。此外,所述VM 121可以充当SD-WAN边缘节点,并且可以将所述GW1 122和GWN 123当作SD-WAN端口。所述VM 121可以经由安全信道从所述本地控制器105接收BGP更新。所述BGP更新可以包含与CPE 111的端口111a和111b相关的SD-WAN端口信息。所述VM 121可以通过向所述本地控制器105发送BGP更新来响应,所述BGP更新包含描述所述GW1 122和GWN 123的SD-WAN端口信息。所述BGP更新消息可以经由安全信道发送并通过所述本地控制器105传播回所述CPE 111。一旦所述VM 121具有端口111a和111b的SD-WAN信息,并且所述CPE 111具有GW1 122和GWN 123的SD-WAN信息,所述VM 121和CPE 111就可以根据需要经由所述因特网130和/或所述MPLS网络140建立安全通信,以遵守相应的策略。然后,所述本地网络110可以经由所述CPE 111连接到SD-WAN网络,并且可以根据需要安全地通信。
图2是由多个租户组使用的示例性SD-WAN网络200的示意图。例如,所述SD-WAN网络200可以包含含有CPE 211、CPE 212和CPE 213的第一租户组。所述SD-WAN网络200还可以包含CPE 221、CPE 222和CPE 223的第二租户组。CPE 211、CPE 212、CPE 213、CPE 221、CPE222和CPE 223可以各自基本上类似于CPE 111和/或VM 121,这取决于示例。此外,虽然在每个租户组中示出了三个CPE,但是在每个租户组中可以采用任何数量的CPE、VM和/或其他SD-WAN边缘节点。每个CPE可以连接到包含能够通过所述SD-WAN网络200传送数据的一个或多个节点的本地网络、数据中心网络等。所述SD-WAN网络200还包括中央控制器201和本地控制器205,其中,所述中央控制器201和所述本地控制器205可以分别与所述中央控制器101和所述本地控制器105基本相似。
第一租户组中的CPE 211可以向所述本地控制器205发送BGP更新。在这种情况下,所述本地控制器205向第一租户组中的其他CPE 212和CPE 213发送BGP更新。CPE 212和CPE213可以响应BGP更新,所述BGP更新被发送回CPE 211(在一些示例中,和/或在彼此间发送)。然而,所述本地控制器205不与第二租户组的CPE 221、CPE 222和/或CPE 223共享来自第一租户组的BGP更新。同样,所述本地控制器205在第二租户组的CPE 221、CPE 222和/或223之间共享BGP更新。然而,所述本地控制器205不与第一租户组的CPE 211、CPE 212和/或213共享来自第二租户组的BGP更新。
图3是使用BGP以使用SD-WAN SAFI分发SD-WAN端口信息的示例性方法300的协议图。例如,方法300可用于传送SD-WAN网络100和/或200中的节点的SD-WAN端口信息。作为另一个示例,方法300可以用于传送与端口111a和/或111b、GW1 122和/或GWN 123,和/或CPE211、CPE 212、CPE 213、CPE 221、CPE 222和/或223的端口有关的数据。方法300经由本地控制器305操作,所述本地控制器305可以基本上类似于所述本地控制器105和/或205。方法300还在对等节点311和321上操作,所述对等节点311和321可以是公共租户组中的任何支持SD-WAN的设备。例如,对等节点311和321可以类似于CPE 111、CPE 211、CPE 212、CPE213、CPE 221、CPE 222、CPE 223和/或VM 121。
方法300开始于对等节点311经由安全信道向所述本地控制器305发送BGP更新331。BGP更新331可以周期性地和/或在对等节点311的操作启动时被发送。BGP更新331是包含对等节点311端口的SD-WAN端口信息作为NLRI的BGP消息。在方法300中,BGP更新331包含SD-WAN SAFI。SAFI是地址空间。一些采用BGP消息的系统可以用于采用IP SAFI,并因此采用IP地址空间。具有IP SAFI的BGP消息可以被假定为包含子网信息。SD-WAN SAFI的存在向所述本地控制器305指示BGP更新331包含SD-WAN端口信息,而不仅仅是与对等节点311相关的子网信息。由于SD-WAN SAFI采用不同的地址空间,因此BGP更新331可以包含与对等节点311处的多个(例如,所有)具有SD-WAN能力的端口相关的数据。例如,BGP更新331可以包含描述SD-WAN端口能力和隧道端点属性的对等节点311的端口的NLRI。作为特定示例,BGP更新331中的SD-WAN端口的NLRI可以包括隧道端点、专用端口地址、公共端口地址、专用IP地址、公共IP地址、端口的IPsec能力、一个或多个SD-WAN路由策略、隧道加密数据(例如,安全密钥)、网络地址转换(network address translation,简称NAT)信息或其组合。所述本地控制器305接收BGP更新331,基于SD-WAN SAFI确定相关租户组,并且将BGP更新331转发到与所述对等节点311相同的租户组中的节点。这样,所述本地控制器305将BGP更新331转发到所述对等节点321。
所述对等节点321接收BGP更新331并存储所述对等节点311的NLRI/SD-WAN端口信息。所述对等节点321可以通过经由安全信道向所述本地控制器305发送BGP更新341来响应。BGP更新341可以周期性地和/或响应于BGP更新331而被发送。BGP更新341基本上类似于BGP更新331,但是包含对等节点321的NLRI/SD-WAN端口信息。与BGP更新331一样,BGP更新341采用SD-WAN SAFI,因此包括多个/所有对等节点的321个具有SD-WAN能力的端口的SD-WAN端口信息。所述本地控制器305接收BGP更新341,基于SD-WAN SAFI确定相关租户组,并且将BGP更新341转发到与所述对等节点321相同的租户组中的节点。因此,所述本地控制器305将BGP更新341转发到对等节点311,所述对等节点311存储对等节点321的NLRI/SD-WAN端口信息。
一旦BGP更新331和341已经在对等节点311和321之间安全地交换,所述对等节点311和321就具有足以建立安全关联(security association,简称SA)351的信息。SA 351是节点之间的安全信道,在这种情况下是所述对等节点311和321之间的安全信道。所述对等节点311和321可以通过基于包含在BGP更新331和341中的SD-WAN端口信息在SD-WAN端口之间交换安全密钥来建立SA 351。此外,SA 351可以在诸如因特网的非可信网络上提供安全通信信道。一旦SA 351被建立,所述对等节点311和321被连接到相同的SD-WAN,并且可以向和从附接到所述对等节点311和321的相关联的本地节点传送数据。
在方法300中使用SD-WAN SAFI有几个好处。例如,SD-WAN SAFI是不同的地址空间,因此不需要应用与IP相关的规则。这样,可以在单个消息中交换与多个端口和/或多个IP地址有关的数据。此外,所述本地控制器305可以仅基于SD-WAN SAFI的存在来确定BGP更新消息331和341包含SD-WAN端口信息。使用SD-WAN SAFI的一个潜在问题是方法300可能不是向后兼容的。例如,如果未识别出SD-WAN SAFI,则处理BGP更新消息331和341的传统路由设备可以丢弃这种消息。如下所述的方法400提供了向后兼容并且以附加信令和附加处理为代价与传统路由设备一起工作的示例性机制。
图4是使用BGP使用IP SAFI分发SD-WAN端口信息的示例性方法400的协议图。例如,方法400可用于传送SD-WAN网络100和/或200中的节点的SD-WAN端口信息。作为另一个示例,方法400可以用于传送与端口111a和/或111b、GW1 122和/或GWN 123,和/或CPE 211、CPE 212、CPE 213、CPE 221、CPE 222和/或223的端口有关的数据。方法400经由本地控制器405操作,所述本地控制器405可以基本上类似于所述本地控制器105和/或205。方法400还在对等节点411和421上操作,所述对等节点411和421可以是公共租户组中的任何支持SD-WAN的设备。例如,所述对等节点411和421可以类似于CPE 111、CPE 211、CPE 212、CPE 213、CPE 221、CPE 222、CPE 223和/或VM 121。方法400基本上类似于方法300,但是通过使用具有IP SAFI而不是SD-WAN SAFI的BGP更新消息来操作。
方法400开始于所述对等节点411经由安全信道向所述本地控制器405发送BGP更新431和432。BGP更新431和432可以周期性地和/或在所述对等节点411的操作启动时被发送。BGP更新431和432类似于BGP更新331,但是采用IP SAFI而不是SD-WAN SAFI。当使用IPSAFI时,用于所述对等节点411的每个端口的SD-WAN信息被包括在单独的BGP更新消息中。因此,BGP更新431和432包括与所述对等节点411处的具有SD-WAN能力的端口的数量相等的BGP更新消息的数量。作为示例,BGP更新431可以包含与所述对等节点411处的第一端口有关的SD-WAN信息,BGP更新432可以包含与所述对等节点411处的第二端口有关的SD-WAN信息,等等。
BGP更新431和432由所述本地控制器405接收。本地控制器处理(435)BGP更新431和432。当使用IP SAFI时,所述本地控制器405可以不立即识别BGP更新431和432包含SD-WAN信息。处理(435)可以包括检查BGP更新431和432的内容,例如直到找到SD-WAN信息,例如隧道数据、安全数据等。这种信息可以允许所述本地控制器405利用SD-WAN信息和包含一般路由数据(例如,不安全并且与SD-WAN连接无关的)的BGP更新消息来区分BGP更新431和432。在处理(435)之后,所述本地控制器405将BGP更新431和432转发到与所述对等节点411处于同一租户组中的SD-WAN边缘节点。因此,所述本地控制器405将BGP更新431和432转发到对等节点421。
所述对等节点421接收BGP更新431和432并存储所述对等节点411的NLRI/SD-WAN端口信息。所述对等节点421可以通过经由安全信道向所述本地控制器405发送BGP更新441和442来响应。BGP更新441和442可以周期性地和/或响应于BGP更新431和432发送。BGP更新441和442基本上类似于BGP更新431和432,但是包含所述对等节点421的NLRI/SD-WAN端口信息。如同BGP更新431和432一样,BGP更新441和442采用IP SAFI。因此,用于所述对等节点421的每个端口的NLRI/SD-WAN端口信息被包括在单独的BGP更新消息中。这样,BGP更新441和442包括与所述对等节点421处的具有SD-WAN能力的端口的数量相等的BGP更新消息的数量。
所述本地控制器405接收并处理(445)BGP更新441和442。如同处理(435),处理(445)包括检查BGP更新441和442的内容,直到找到SD-WAN信息,例如隧道数据,安全数据等。一旦所述本地控制器405确定BGP更新441和442包含SD-WAN NLRI,所述本地控制器405就确定相关租户组,并将该相关租户组转发到BGP更新441和442到与所述对等节点421相同的租户组中的节点。因此,所述本地控制器405将BGP更新441和442转发到对等节点411。所述对等节点411和421然后可以以基本上类似于在方法300中建立SA 351的方式,使用相关端口的SD-WAN信息来建立SA 451。
图5是用于SD-WAN网络(例如,SD-WAN网络100和/或200)中的示例性网络节点500的示意图。所述网络节点500适于实现这里描述的所公开的示例/实施例。例如,所述网络节点500可以实现SD-WAN边缘节点(例如,CPE和/或VM)、本地控制器和/或中央控制器。所述网络节点500包括下游端口520、上游端口550和/或收发器(Tx/Rx)510,其中,所述Tx/Rx 510包括用于通过网络在上游和/或下游传送数据的发送器和/或接收器。所述网络节点500还包括处理器530,所述处理器530包括用于处理数据的逻辑单元和/或中央处理单元(central processing unit,简称CPU)以及用于存储数据的存储器532。
所述网络节点500还可以包括电,光-电(optical-to-electrical,简称OE)组件、电-光(electrical-to-optical,简称EO)组件,和/或耦合到所述上游端口550和/或所述下游端口520的无线通信组件,用于经由电、光或无线通信网络进行数据通信。所述Tx/Rx 510可以经由所述下游端口520和/或所述上游端口550在相关联的介质上执行网络通信,这取决于示例。例如,所述Tx/Rx 510可以包括调制器解调器(调制解调器),网卡或用于通过电话、数字用户线(digital subscriber line,简称DSL)和/或同轴线通信系统进行通信的其他通信电路。在其他示例中,所述Tx/Rx 510可以包括用于在光纤通信系统上通信的激光发射器、波导、光调制器和/或光接收器。在其他示例中,所述Tx/Rx 510可以包括能够经由长期演进(Long Term Evolution,简称LTE)、第三代(third generation,简称3G)、第四代(fourth generation,简称4G)、第五代(fifth generation,简称5G)或其他具有因特网能力的移动通信网络进行无线通信的一个或多个天线。
所述处理器530由硬件和软件实现。所述处理器530可实现为一个或一个以上CPU芯片,核心(例如,作为多核心处理器),现场可编程门阵列(FPGA),专用集成电路(ASIC)和数字信号处理器(DSP)。所述处理器530与所述下游端口520、所述Tx/Rx 510、所述上游端口550和所述存储器532通信。所述处理器530包括SD-WAN NLRI模块514。所述SD-WAN NLRI模块514实施本文所描述的所揭示实施例,例如方法300、400、1000、1100和/或1200,其可采用SD-WAN SAFI 600、隧道封装属性TLV 700、SD-WAN端口子TLV 800和/或IPsec子TLV 900。所述SD-WAN NLRI模块514还可以实现这里描述的任何其他方法/机制。例如,所述SD-WANNLRI模块514可以发送,接收和/或处理包含与对等体SD-WAN边缘节点有关的SD-WAN端口信息的BGP更新消息。
在一些示例中,BGP更新消息可以包含在SD-WAN NLRI中编码的SD-WAN端口信息。因此,所述SD-WAN NLRI模块514允许所述网络节点500在SD-WAN包括许多此类对等节点(例如,租户组包括超过100个对等节点)时自动配置并建立对等体SD-WAN边缘节点之间的安全连接,而不会使本地控制器负担过重。这样,所述SD-WAN NLRI模块514为所述网络节点500提供附加和改进的功能,以及解决网络通信领域专用的问题。此外,所述SD-WAN NLRI模块514实现所述网络节点500到不同状态的转换。所述SD-WAN NLRI模块514可以用硬件实现,或者作为存储在存储器532中并由处理器530执行的指令来实现(例如,作为存储在非瞬时性介质上的计算机程序产品)。
所述存储器532包括一个或多个存储器类型,例如磁盘、磁带驱动器、固态驱动器、只读存储器(read only memory,简称ROM)、随机存取存储器(random access memory,简称RAM)、闪存、三态内容寻址存储器(ternary content addressable memory,简称TCAM)、静态随机存取存储器(static random-access memory,简称SRAM)等。所述存储器532可以用作溢出数据存储设备,以在选择执行程序时存储程序,以及存储在程序执行期间读取的指令和数据。
下面描述上面讨论的SD-WAN端口信息通信方案的示例性实现方式。SD-WAN可用于在多个第三方数据中心中到达动态工作负载,并聚集由不同服务提供商提供的包括公共非可信网络的多个底层路径。多个SD-WAN方案涉及使用BGP作为SD-WAN网络的控制面。此外,BGP更新消息可以用于通告端点的隧道封装能力和相应的附接的客户端路由,使得BGP更新的接收器可以为上述客户端路由建立到端点的适当隧道。一些示例情况使用远程端点子TLV用于一个节点来通告另一节点的封装能力。在这种情况下,隧道更新的接收器可以构造具有等于远程端点子TLV中携带的地址的外部目的地地址的封装报头。所有这些实现方式都与SD-WAN边缘WAN端口属性注册无关。
本发明描述了用于SD-WAN边缘节点注册(或传播)其WAN端口属性的BGP NLRI和SAFI。所述SAFI和NLRI可用于一个SD-WAN边缘节点具有多个WAN端口的情况,其中一些端口连接到专用网络,而其他端口连接到公共非可信网络。连接到SD-WAN的相同路由可以在专用网络上发送/接收而无需加密(为了更好的性能),并且可以在公共网络上通过加密发送/接收。控制面的以下功能部件可以用于这种情况。向每个SD-WAN边缘节点通知其SD-WAN控制器,或者在该节点中烧录或者配置。SD-WAN控制器可以是BGP RR。
每个SD-WAN边缘节点可以通过具有RR的安全信道通告其WAN端口属性。RR然后基于适当的策略将接收到的WAN端口属性传播到授权的对等体。因为SD-WAN边缘和RR之间的连接可以是公共非可信网络,所以RR和SD-WAN边缘之间的通信会话可以在安全信道(例如,TLS、数据报TLS(datagram TLS,简称DTLS)等)上运行。SD-WAN边缘可以执行成对的安全信道建立,例如IPsec参数协商、公钥交换等。此外,SD-WAN边缘节点可以以类似于以太网虚拟专用网络(Ethernet virtual private network,简称EVPN)或第三层虚拟专用网络(layerthree virtual private network,简称L3VPN)的方式来执行客户端路由分配,使用所公开的机制来为客户端路由通告所有可能的隧道。
SD-WAN NLRI和SAFI还可以包括诸如WAN端口的NAT信息、SD-WAN站点ID、SD-WAN边缘节点ID和IPsec相关信息的信息。以下包括本文使用的术语的进一步解释。云数据中心(data center,简称DC)可以是通常托管不同组织或租户拥有的应用程序和工作负载的非驻地数据中心。术语“控制器”可以与SD-WAN控制器互换使用,并且可以用于管理SDWAN覆盖路径创建/删除以及监视站点之间的路径条件。基于CPE的虚拟专用网络(virtual privatenetwork,简称VPN)是在CPE之间形成的虚拟专用安全网络。这可以是与基于PE的VPN不同的使用。SD-WAN端点是SD-WAN边缘节点的WAN端口(逻辑或物理)。当使用时,端点可以指SD-WAN端点。术语“OnPrem”可以指在驻地数据中心和分支机构上。SD-WAN是指从多个底层网络汇集WAN带宽以获得更好的WAN带宽管理、可见性和控制的解决方案。当底层网络是专用网络时,可以在没有附加加密的情况下转发流量。当底层网络是公共网络时,例如在因特网中,当通过那些WAN端口转发时(例如,根据用户提供的策略),应该对一些流量进行加密。
图6是示例性自主车辆600的某些组件的框图。例如,可以在BGP更新消息中采用SD-WAN SAFI 600来编码SD-WAN边缘节点的SD-WAN端口信息。这样,SD-WAN网络100和/或200和/或网络节点500中的SD-WAN边缘节点可以使用所述SD-WAN SAFI 600。此外,所述SD-WAN SAFI 600可用于方法300、1000、1100和/或1200。所述SD-WAN SAFI 600用于对SD-WAN边缘节点的一个或多个SD-WAN端口的NLRI进行编码。在一个示例性实现方式中,所述SD-WAN SAFI 600可以包括“74”的SAFI码点,以通告面向非可信网络的SD-WAN端口的属性。根据用户策略,通过这些SD-WAN端口发送的某些数据包可能需要加密。
所述SD-WAN SAFI 600包括NLRI长度字段601,其可以是具有以位表示的一个八位字节的长度的字段。NLRI长度字段601指示SD-WAN SAFI 600的长度。所述SD-WAN SAFI 600还包括SD-WAN类型字段602,其可以是具有两个八位字节长度的字段。SD-WAN类型字段602用于定义SD-WAN NLRI的其余部分的编码。SD-WAN类型字段602可以包括定义SD-WAN NLRI的其余部分的编码的路由类型,以及指定与SD-WAN边缘节点的端口相关联的端点属性和策略的一组子TLV。例如,SD-WAN类型字段602可以指示SD-WAN SAFI 600的剩余部分包含与SD-WAN端口,相应的隧道和相应的安全数据(而不是子网地址数据)相关的数据。
所述SD-WAN SAFI 600还包括端口识别符字段603,其可以是具有四个八位字节长度的字段。端口识别符字段603可以指示SD-WAN边缘节点端口ID。SD-WAN边缘节点可以包括许多端口,并且每个端口可以具有不同的属性。例如,一些端口可以具有由因特网服务提供商(internet service provider,简称ISP)和/或由动态宿主配置协议(Dynamic HostConfiguration Protocol,简称DHCP)分配的IP地址(例如,IP版本四(IP version 4,简称IPv4)地址或IP版本六(IP version 6,简称IPv6)地址)。某些端口可能具有专用IP地址。在这种情况下,穿过那些端口的报文必须经历网络地址转换(network addresstranslation,简称NAT)。端口的详细属性可进一步编码在后续子TLV中,例如端口子TLV。在一个示例性实现方式中,一个SD-WAN边缘节点可以具有多个端口,并且每个端口可以支持到不同对等体端的多个IPsec SA。端口识别符字段603可以唯一地标识端口或链路。端口的属性可以被编码在连接到SD-WAN NLRI的子TLV中。此类子TLV还可以对端口识别符字段603中所表示的端口的IP地址(IPv4或IPv6)和自治系统(autonomous system,简称AS)编号进行编码。此类TLV还可以对具有专用IP地址的端口的NAT信息进行编码,如端口识别符字段603中所示。如果端口识别符字段603中所表示的端口面向公共网络并且通过该端口的相关联的通信量应当被加密,则此类TLV还可以对IPsec安全关联相关信息进行编码。
所述SD-WAN SAFI 600还包括SD-WAN站点ID字段604,其可以是具有四个八位字节长度的字段。SD-WAN站点ID字段604用于标识由一组SD-WAN边缘节点共享的公共属性,例如由一组SD-WAN边缘节点共享的特定地理位置的属性。在具体实现时,SD-WAN站点ID字段604用于标识由一组SD-WAN边缘节点/端口共享的公共属性,例如特定地理位置的属性。然后,所识别的属性可以用于调整覆盖路由以出于各种原因穿越特定地理位置,诸如遵守管理规则,利用特定增值服务等。
所述SD-WAN SAFI 600还包括SD-WAN节点ID字段605,其可以是具有四个或十六个八位字节的长度的字段。SD-WAN节点ID字段605包含标识相应的SD-WAN边缘节点的数据。例如,SD-WAN节点ID字段605可以包含节点的系统ID或SD-WAN边缘节点的环回地址(例如,IPv4或IPv6)。
图7是示例性隧道封装属性TLV 700的示意图。例如,隧道封装属性TLV 700可以在包括SD-WAN SAFI 600的BGP更新消息中使用。在另一个示例中,隧道封装属性TLV 700可以被包括在包含IP SAFI的BGP更新消息中,并且用于携带SD-WAN端口信息/NLRI。这样,SD-WAN网络100和/或200和/或网络节点500中的SD-WAN边缘节点可以采用隧道封装属性TLV700。此外,隧道封装属性TLV 700可用于方法300、400、1000、1100和/或1200。
隧道封装属性TLV 700用于编码SD-WAN端口信息/NLRI。隧道封装属性TLV 700包括隧道类型字段701,其可以具有两个八位字节的长度。隧道类型字段701可以指示由相应的SD-WAN端口使用的隧道类型。因此,隧道类型字段701包含SD-WAN端口属性。隧道封装属性TLV 700还包括长度字段702,其可以是长度上的两个八位字节。长度字段702可以指示隧道封装属性TLV 700的长度以及相应的子TLV。隧道封装属性TLV 700还包括可变长度的值字段703。SD-WAN端口属性的内容可以被编码在隧道封装属性TLV 700的值字段703中。例如,值字段703可以包含SD-WAN SAFI,例如SD-WAN SAFI 600。在一些示例中,值字段703中的SD-WAN SAFI可以包含值“74”以指示SD-WAN SAFI。值字段703还可以包含NLRI,所述NLRI包括SD-WAN类型、NLRI长度、端口识别符、SD-WAN站点ID,和/或一个或多个SD-WAN节点ID。值字段703还可以承载各种子TLV,例如NAT子TLV、IPsec SA属性子TLV(例如,IPsec子TLV900)和/或端口子TLV(例如,SD-WAN端口子TLV 800)。NAT子TLV用于描述关于SD-WAN隧道端点的附加信息,例如NAT属性。IPsec SA子TLV包括允许接收节点与发送对等体方建立IPsecSA的信息。端口子TLV用于传送SD-WAN端口的附加属性。
图8是示例性SD-WAN端口子TLV 800的示意图。例如,可以在包括SD-WAN SAFI 600和隧道封装属性TLV 700的BGP更新消息中采用SD-WAN端口子TLV 800。在另一个示例中,SD-WAN端口子TLV 800可以被包括在包含IP SAFI的BGP更新消息中,并且用于承载SD-WAN端口信息/NLRI。这样,SD-WAN网络100和/或200和/或网络节点500中的SD-WAN边缘节点可以采用SD-WAN端口子TLV 800。此外,SD-WAN端口子TLV 800可以在方法300、400、1000、1100和/或1200中使用。SD-WAN端口子TLV 800(也表示为EncapExt子TLV)可以用于描述关于SD-WAN端口的附加信息,诸如具有私有地址的端口的NAT属性,端口是其一部分的网络标识等。SD-WAN边缘节点可以通过网络地址转换(network address translation,简称STUN)服务器与用户数据报协议(User Datagram Protocol,简称UDP)的会话穿越通信以获得NAT属性、公有IP地址和公有端口号,以便传递给对等体。
SD-WAN端口子TLV 800包括长度为8位(其中8位是一个八位字节)的封装扩展类型字段801。封装扩展类型字段801被设置为指示数据表示EncapExt子TLV。SD-WAN端口子TLV800还包括长度为16位的封装扩展子TLV长度字段802。封装扩展子TLV长度字段802包括SD-WAN端口子TLV 800的长度。SD-WAN端口子TLV 800还包括各种标志,包括I位803、O位804和保留位805。I位803指示CPE/边缘节点端口地址和/或内部地址方案。I位803可以被设置为零,以指示端口的内部/私有地址是IPv4地址。I位803可以被设置为1以指示端口的内部/私有地址是IPv6地址。O位804指示CPE/边缘节点端口外部地址方案。O位804可以被设置为零,以指示端口的外部/公共地址是IPv4地址。O位804可以被设置为1以指示端口的外部/公共地址是IPv6地址。保留位805可以包括为其他功能保留的六个位,并且可以被设置为零。
SD-WAN端口子TLV 800还包括长度为8位的NAT类型字段806。NAT类型字段806指示用于与SD-WAN边缘节点相关联的公共地址和私有地址之间的地址转换的NAT类型。NAT类型字段806可以指示没有NAT的NAT类型(无NAT)、一对一静态NAT、全锥型NAT、受限锥型NAT、端口受限锥型NAT、对称型NAT,或未知NAT(例如,没有来自STUN服务器的响应)。SD-WAN端口子TLV 800还包括长度为8位的封装类型字段807。封装类型字段807可以指示面向公共网络的端口所支持的封装类型,例如:IPsec和通用路由封装(generic routing encapsulation,简称GRE);IPsec和虚拟可扩展局域网(virtual extensible local area network,简称VxLAN);没有GRE的IPsec;GRE(当报文不需要加密时)等。SD-WAN端口子TLV 800还包括长度为8位的传输网络ID字段808。传输网络ID字段808指示用于指示由中央控制器分配的相应传输网络的全局唯一ID。SD-WAN端口子TLV 800还包括长度为8位的路由域ID字段809。路由域ID字段809指示用于指示相应路由域的全局唯一ID。
SD-WAN端口子TLV 800还包括本地IP地址字段810,其长度对于IPv4地址为32位,或者对于IPv6地址为128位。本地IP地址字段810包含SD-WAN边缘节点的SD-WAN端口的本地/专用IP地址。SD-WAN端口子TLV 800还包括长度为32位的本地端口字段811。本地端口字段811指示远程SD-WAN节点在建立IPsec SA时可以使用的本地端口。SD-WAN端口子TLV 800还包括公共IP地址字段812,其长度对于IPv4地址为32位,或者对于IPv6地址为128位。在应用NAT之后,公共IP地址字段812可以包含公共IP地址。如果没有使用NAT,则公共IP地址字段812可以被设置为NULL。SD-WAN端口子TLV 800还包括长度为32位的公共端口字段813。公共端口字段813指示NAT应用之后的端口标识。如果没有使用NAT,则公共端口字段813可以被设置为NULL。
图9是示例性IPSec子TLV 900的示意图。例如,IPsec子TLV 900可以在BGP更新消息中使用,所述BGP更新消息包括SD-WAN SAFI 600、隧道封装属性TLV 700,和/或SD-WAN端口子TLV 800。在另一个示例中,IPsec子TLV 900可以被包括在包含IP SAFI的BGP更新消息中,并且用于承载SD-WAN端口信息/NLRI。这样,SD-WAN网络100和/或200和/或网络节点500中的SD-WAN边缘节点可以使用IPsec子TLV 900。此外,IPsec子TLV 900可用于方法300、400、1000、1100和/或1200。可以由SD-WAN边缘节点使用IPsec子TLV 900来支持经由面向不受信网络的端口与对等节点建立IPsec安全关联。例如,IPsec子TLV 900可以包含来自源对等节点的信息,所述信息足以允许目的对等节点通过诸如因特网的非安全网络建立与指定端口的安全关联。这样,在对等节点之间交换IPsec子TLV 900提供足以建立安全关联以加密相应双向通信的信息。
IPsec子TLV 900包括长度为8位的IPsec SA类型字段901。IPsec SA类型字段901指示可以与相应端口建立的IPsec安全关联的类型。IPsec SA类型字段901中的类型值应该在128和255之间,因为IPsec子TLV 900支持2字节(16位)的长度值。IPsec子TLV 900还包括长度为16位/2字节的IPsec SA长度字段902。IPsec SA长度字段902指示IPsec子TLV 900的长度。IPsec子TLV 900还包括各种8位的标志903,其可以被保留用于其他目的,在传输时被设置为零,并且在一些示例中在接收时被忽略。
IPsec子TLV 900包括长度为8位的变换字段904。变换字段904可以包含指示认证报头(authentication header,简称AH)协议变换、封装安全有效载荷(encapsulatingsecurity payload,简称ESP)协议变换或AH和ESP变换的组合的值。IPsec子TLV 900还包括长度为8位的传输字段90,其中,所述传输字段905包括当使用IPsec时指示端口支持隧道模式或传输模式的值。IPsec子TLV 900还包括长度为8位的AH字段906。AH字段906指示端口所支持的AH认证算法。AH字段906可以指示消息摘要(message digest,简称MD)5、安全散列算法(secure hash algorithm,简称SHA)1、SHA2-256、SHA2-384、SHA2-512和/或中国国家标准密码散列函数(SM3)。SD-WAN边缘节点可以支持多个认证算法。AH字段906可以包含每个支持的认证算法,以允许对等体协商最强的相互可用的认证算法。IPsec子TLV 900还包括长度为8位的ESP字段907。ESP字段907包括端口支持的ESP认证算法。ESP字段907可以指示MD5、SHA1、SHA2-256、SHA2-384、SHA2-512和/或SM3。ESP字段907可以包含每个支持的认证算法,以允许对等体协商最强的相互可用的认证算法。默认算法可以是高级加密标准(advanced encryption standard,简称AES)-256。
IPsec子TLV 900还包括长度为32位(4字节)的安全参数索引(securityparameter index,简称SPI)字段908。SPI字段908指示在处理所接收的报文时要使用的SA的SPI。IPsec子TLV 900还包括密钥1字段910、密钥2字段912和密钥3字段914,它们分别包含AH认证密钥、ESP认证密钥和ESP加密公钥。密钥1字段910、密钥2字段912和密钥3字段914中的每一个的长度可以是24位(3字节)。IPsec子TLV 900还包括密钥1长度字段909、密钥2长度字段911和密钥3长度字段913,它们分别指示AH认证密钥,ESP认证密钥和ESP加密公钥的长度。密钥1长度字段909、密钥2长度字段911和密钥3长度字段913中的每一个的长度可以是8位。IPsec子TLV 900还包括具有32位长度的持续时长字段915,其中,所述持续时间字段915指示SA的有效寿命。
应当注意,由于SD-WAN边缘节点ID和站点ID已经在SD-WAN NLRI中被编码,因此远程端点子TLV可能不用于SD-WAN NLRI。此外,通过SD-WAN端口连接的网络可能具有大于AS号的标识。而且,SD-WAN控制器可以使用它自己的特定标识用于网络。在所公开的示例中,EncapExt子TLV中的传输网络ID可以表示SD-WAN唯一网络标识。如果存在远程端点子TLV,则它可以被其他SD-WAN边缘节点忽略。
以下是SD-WAN边缘节点的示例性操作。经由BGP通告路由、NAT和IPsec信息的SD-WAN组合的处理步骤包括经由SD-WAN SAFI NLRI向RR(本地控制器)通告SD-WAN端口属性,诸如端口标识和支持的属性等。然后,所述RR/本地控制器将信息传播到对等节点(例如,CPE2和CPE3)。对等节点(例如,CPE2和CPE3)可以选择在从RR接收到CPE1 WAN属性之后与SD-WAN边缘节点(例如,CPE1)建立IPsec SA。还应当注意,租户分离可以通过RR上的对等体组策略来实现。
图10是基于BGP的SD-WAN端口WAN属性由SD-WAN边缘节点分发的示例性方法1000的流程图。方法1000可以由SD-WAN网络100和/或200中的SD-WAN边缘节点和/或网络节点500使用。还可以使用方法1000来实现方法300和/或400。方法1000可以使用SD-WAN SAFI600、隧道封装属性TLV 700、SD-WAN端口子TLV 800和/或IPsec子TLV 900来传送SD-WAN端口信息。
方法1000可以在SD-WAN边缘节点上实现。所述SD-WAN边缘节点可以包括CPE、VM或为了建立SD-WAN覆盖而充当对等节点的任何其他设备。SD-WAN边缘节点操作方法1000可以包括用于耦合到一个或多个非可信底层网络的一个或多个SD-WAN端口。底层网络可以是能够传送数据的任何物理网络。当所述SD-WAN边缘节点上电时和在所述SD-WAN边缘节点建立了与本地控制器的安全连接之后,可以启动方法1000。所述SD-WAN边缘节点还可以通过采用发送器、接收器、收发器、处理器、存储器、高速缓存等来操作方法1000。
在步骤1001,所述SD-WAN边缘节点经由加密的,因此是安全的,在非可信底层网络上的信道将通告所述SD-WAN边缘节点的SD-WAN端口的WAN属性的第一BGP更新消息发送到本地控制器。所述SD-WAN边缘节点的SD-WAN端口的WAN属性描述SD-WAN端口能力和隧道端点属性。例如,所述SD-WAN边缘节点的SD-WAN端口的WAN属性可以包括隧道端点、专用端口地址、端口IPsec能力、SD-WAN路由策略、隧道加密数据或其组合。在一些情况下,可以在第一BGP更新消息中的NLRI字段中对WAN属性进行编码。因此,WAN属性可以充当所述SD-WAN边缘节点的NLRI。在一些情况下,所述SD-WAN边缘节点的SD-WAN端口的WAN属性被包括在专用于SD-WAN端口的SAFI中,例如SD-WAN SAFI 600。在这种情况下,SAFI可以包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点ID和SD-WAN节点ID。在一些示例中,所述SD-WAN边缘节点的SD-WAN端口的WAN属性可以被包括在SD-WAN隧道封装属性中。SD-WAN隧道封装属性可以包括隧道类型、IPsec安全关联(security association,简称SA)属性和封装扩展TLV。不管示例如何,所述SD-WAN边缘节点的SD-WAN端口的WAN属性经由本地控制器(在一些上下文中也称为路由反射器)被转发到对等节点。
在步骤1003,所述SD-WAN边缘节点从本地控制器接收第二BGP更新消息。第二BGP更新消息通告对等节点的SD-WAN端口的WAN属性。步骤1003的第二BGP更新消息可以基本上类似于步骤1001的第一BGP更新消息,除了第二BGP更新消息包含与对等节点端口相关的WAN属性。因此,第二BGP更新消息可以包含如关于第一BGP更新消息所描述的类似的格式和/或信息类型。
在步骤1005,所述SD-WAN边缘节点可以基于所述SD-WAN边缘节点的SD-WAN端口的WAN属性和对等节点的SD-WAN端口的WAN属性,在非可信底层网络上建立与对等节点的安全关联。例如,所述SD-WAN边缘节点处的处理器可以从接收器接收对等节点的SD-WAN端口的WAN属性,并且接收计算机指令,其中当所述指令被执行时,提示所述SD-WAN边缘节点建立安全关联。所述SD-WAN边缘节点然后可以经由安全关联与SD-WAN通信。
图11是由本地控制器进行的基于BGP的SD-WAN端口WAN属性分配的示例性方法1100的流程图。方法1100可以由SD-WAN网络100和/或200和/或网络节点500中的本地控制器/路由反射器使用。还可以使用方法1100来实现方法300和/或400。方法1100可以使用SD-WAN SAFI 600、隧道封装属性TLV 700、SD-WAN端口子TLV 800和/或IPsec子TLV 900来传送SD-WAN端口信息。
所述方法1100可以在本地控制器上实现。所述本地控制器可以由中央控制器分配,以管理跨SD-WAN边缘节点(例如,CPE、VM或充当SD-WAN网络中的对等节点的任何其他设备)之间的SD-WAN覆盖的路由。本地控制器操作方法1100可以包括用于耦合到一个或多个非可信底层网络的一个或多个端口。所述本地控制器可以通过此类端口与对等节点建立安全连接。方法1100可以类似于方法1000,但是可以从所述本地控制器的角度来描述。方法1100可以在所述本地控制器和多个SD-WAN边缘节点之间建立了加密连接之后被启动,所述SD-WAN边缘节点是对等体并且因此充当对等节点。所述本地控制器还可以通过采用发送器、接收器、收发器、处理器、存储器、高速缓存等来操作方法1100。
在步骤1101,所述本地控制器经由第一安全信道在一个或多个非可信底层网络上接收通告第一对等节点的SD-WAN端口的第一WAN属性的第一BGP更新消息。第一BGP更新消息可以基本上类似于方法1000的第一BGP消息或第二BGP更新消息。例如,第一WAN属性可以描述第一对等节点的SD-WAN端口的SD-WAN端口能力和隧道端点属性。此外,第一WAN属性可以包括隧道端点、专用端口地址、端口IPsec能力、SD-WAN路由策略、隧道加密数据或其组合。在一些示例中,WAN属性可以被包括在BGP更新消息中的NLRI字段中,并且因此可以充当对应节点的NLRI。在一些示例中,第一WAN属性被包括在专用于SD-WAN端口的SAFI中,诸如SD-WAN SAFI 600。SAFI可以包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点ID和SD-WAN节点ID。第一个WAN属性可以包括在SD-WAN隧道封装属性中。此外,SD-WAN隧道封装属性可以包括隧道类型、IPsec SA属性和封装扩展TLV。
在步骤1103,所述本地控制器通过非受信底层网络上的第二安全信道接收通告第二对等节点的SD-WAN端口的第二WAN属性的第二BGP更新消息。步骤1103的第二BGP更新消息可以基本上类似于步骤1101的第一BGP更新消息,除了第二BGP更新消息包含与第二对等节点的端口而不是第一对等节点的端口相关的WAN属性。因此,第二BGP更新消息可以包含如关于第一BGP更新消息所描述的类似的格式和/或信息类型。
处理第一BGP更新消息和第二BGP更新消息。例如,处理器可以从收发器接收第一BGP更新消息和第二BGP更新消息,并且接收计算机指令,其中当所述指令被执行时,提示所述本地控制器执行步骤1105和1107。具体地,在步骤1105,所述本地控制器经由收发器并通过安全信道将第一BGP更新消息转发到第二对等节点。此外,在步骤1107,所述本地控制器经由收发器/安全信道将第二BGP消息转发到第一对等节点,以支持基于第一WAN属性和第二WAN属性在第一对等节点的SD-WAN端口和第二对等节点的SD-WAN端口之间建立安全关联。
图12是基于BGP的SD-WAN端口WAN属性由SD-WAN边缘节点分发的另一种示例性方法1200的流程图。方法1200可以由SD-WAN网络100和/或200中的SD-WAN边缘节点和/或网络节点500使用。还可以使用方法1200来实现方法300和/或400。方法1200可以使用SD-WANSAFI 600、隧道封装属性TLV 700、SD-WAN端口子TLV 800和/或IPsec子TLV 900来传送SD-WAN端口信息。
方法1200可以在SD-WAN边缘节点上实现。所述SD-WAN边缘节点可以包括CPE、VM或为了建立SD-WAN覆盖而充当对等节点的任何其他设备。SD-WAN边缘节点操作方法1200可以包括用于耦合到一个或多个非可信底层网络的一个或多个SD-WAN端口。当所述SD-WAN边缘节点上电时和在所述SD-WAN边缘节点建立了与所述本地控制器的安全连接之后,可以启动方法1200。所述SD-WAN边缘节点还可以通过采用发送器、接收器、收发器、处理器、存储器、高速缓存等来操作方法1200。
在步骤1201,所述SD-WAN边缘节点经由具有BGP路由反射器(例如,本地控制器)的安全信道通告SD-WAN端口属性。所述SD-WAN端口可以连接到专用网络和公共非可信网络。此外,例如在BGP更新消息的NLRI字段中,可以经由基于BGP的SD-WAN WAN属性来通告SD-WAN端口属性。SD-WAN WAN属性可以由SD-WAN SAFI描述,用于通告面向非可信网络的SD-WAN端口的属性。此外,SD-WAN SAFI可以包括:指示SD-WAN NLRI的长度的NLRI长度字段、定义SD-WAN WAN属性的编码的SD-WAN类型字段、包括SD-WAN边缘节点端口ID的端口识别符、标识由一组SD-WAN边缘节点共享的公共属性的SD-WAN站点ID,以及标识SD-WAN边缘节点的SD-WAN节点ID。端口识别符可以唯一地标识相应的SD-WAN端口。端口识别符可以包括对应的SD-WAN端口的IP地址、专用IP地址的NAT信息,以及对应的SD-WAN端口的IPsec安全关联相关信息。在SD-WAN站点ID中指示的公共属性可用于出于策略原因而调整覆盖路由以穿越特定地理区域。此外,可以通过隧道封装属性来描述SD-WAN WAN属性,所述隧道封装属性包括:指示SD-WAN端口属性的隧道类型、描述关于SD-WAN隧道端点的信息的NAT子TLV、包括用于与对等节点建立IPsec SA的信息的IPsec SA属性子TLV,以及包括相应SD-WAN端口的附加属性的端口子TLV。
在步骤1203,所述SD-WAN边缘节点可以基于对等体组策略从BGP路由反射器接收对等节点的SD-WAN端口属性,例如经由BGP更新消息,所述BGP更新消息基本上类似于步骤1201的BGP更新消息,但是包含对等节点的SD-WAN属性。在步骤1205,所述SD-WAN边缘节点可以基于所述SD-WAN边缘节点的SD-WAN端口属性和对等节点的SD-WAN端口属性建立与对等节点的安全成对信道。此类安全成对信道然后可以用于通过SD-WAN进行通信。
图13是用于SD-WAN端口WAN属性的基于BGP分布的示例性系统1300的示意图。所述系统1300可以由SD-WAN网络100和/或200中的相应节点和/或网络节点500来实现。此外,所述方法系统1300可用于实现方法300、400、1000、1100和/或1200。所述系统1300可以使用SD-WAN SAFI 600、隧道封装属性TLV 700、SD-WAN端口子TLV 800和/或IPsec子TLV 900来传送SD-WAN端口信息。
所述系统1300包括本地控制器1302。所述本地控制器1302包括接收模块1305,用于通过一个或多个非可信底层网络经由第一安全信道接收通告第一对等节点的SD-WAN端口的第一WAN属性的第一BGP更新消息,以及用于通过非可信底层网络经由第二安全信道接收通告第二对等节点的SD-WAN端口的第二WAN属性的第二BGP更新消息。所述本地控制器1302还包括处理模块1303,用于处理第一BGP更新消息和第二BGP更新消息。所述本地控制器1302还包括发送模块1307,用于将第一BGP更新消息转发到第二对等节点,并将第二BGP更新消息转发到第一对等节点,以支持基于第一WAN属性和第二WAN属性在第一对等节点的SD-WAN端口和第二对等节点的SD-WAN端口之间建立安全关联。所述本地控制器1302还可以用于执行方法1100的任何步骤。
所述系统1300还包括SD-WAN边缘节点1310。所述SD-WAN边缘节点1310包括发送模块1313,用于通过非可信底层网络经由安全信道将通告SD-WAN边缘节点的SD-WAN端口的WAN属性的第一BGP更新消息发送到本地控制器。所述SD-WAN边缘节点1310还包括接收模块1311,用于从所述本地控制器接收第二BGP更新消息,所述第二BGP更新消息通告对等节点的SD-WAN端口的WAN属性。所述SD-WAN边缘节点1310还包括处理模块1315,用于基于SD-WAN边缘节点的SD-WAN端口的WAN属性和对等节点的SD-WAN端口的WAN属性,在非可信底层网络上建立与对等节点的安全关联。所述SD-WAN边缘节点1310还可以用于执行方法1000和/或1200的任何步骤。
当在第一部件和第二部件之间不存在除了线路、路径或另一介质之外的其他中间部件时,所述第一部件直接耦合到所述第二部件。当在所述第一部件和所述第二部件之间存在除线路、路径或另一介质之外的其他中间部件时,所述第一部件间接耦合到所述第二部件。术语“耦合”及其变体包括直接耦合和间接耦合。术语“大约”的使用意指包括后续数值的±10%的范围,除非另有说明。
还应该理解的是,在此阐述的示例性方法的步骤不必以所述的顺序执行,并且这些方法的步骤的顺序应该被理解为仅仅是示例性的。同样,在与本发明的各种实施例一致的方法中,可以在这些方法中包括另外的步骤,并且可以省略或组合某些步骤。
虽然在本发明中已经提供了几个实施例,但是可以理解,在不脱离本发明的精神或范围的情况下,所公开的系统和方法可以以许多其他具体形式来实现。本实施例应被视为是说明性的而不是限制性的,并且本发明不限于本文给出的细节。例如,可以将各种元件或组件组合或集成在另一系统中,或者可以省略或不实现某些特征。
此外,在不脱离本发明的范围的情况下,可以将在各个实施例中描述和示出为分立或单独的技术、系统、子系统和方法与其他系统、组件、技术或方法组合或集成。改变、替换和变化的其他示例是本领域技术人员可确定的,并且可以在不脱离本文公开的精神和范围的情况下进行。
Claims (27)
1.一种在软件定义广域网SD-WAN边缘节点中实现的方法,其特征在于,所述方法包括:
所述SD-WAN边缘节点通过安全信道在非可信底层网络上向控制器发送通告边缘节点SD-WAN端口的广域网WAN属性的第一边界网关协议BGP更新消息,所述SD-WAN边缘节点包括一个或多个SD-WAN端口,用于耦合到一个或多个非可信底层网络;
接收来自所述控制器的第二BGP更新消息,所述第二BGP更新消息通告对等节点的对等节点SD-WAN端口的WAN属性;
基于所述边缘节点SD-WAN端口的WAN属性和所述对等节点SD-WAN端口的WAN属性,在所述非可信底层网络上建立与所述对等节点或所述对等节点的对等节点SD-WAN端口的安全关联。
2.根据权利要求1所述的方法,其特征在于,所述边缘节点SD-WAN端口的WAN属性描述SD-WAN端口能力和隧道端点属性,并且所述边缘节点SD-WAN端口的WAN属性被编码在所述第一BGP更新消息的网络层可达性信息NLRI字段中。
3.根据权利要求1-2中任一项所述的方法,其特征在于,所述边缘节点SD-WAN端口的WAN属性包括隧道端点、专用端口地址、端口因特网协议安全IPsec能力、SD-WAN路由策略、隧道加密数据或其组合。
4.根据权利要求1或2中所述的方法,其特征在于,所述边缘节点SD-WAN端口的WAN属性被包括在覆盖后续地址族标识SAFI特定覆盖网络中。
5.根据权利要求4中所述的方法,其特征在于,所述覆盖SAFI包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点标识ID和SD-WAN节点ID。
6.根据权利要求1或2中所述的方法,其特征在于,所述边缘节点SD-WAN端口的WAN属性被包括在SD-WAN隧道封装属性中。
7.根据权利要求6中所述的方法,其特征在于,所述SD-WAN隧道封装属性包括隧道类型、IPsec安全关联SA属性和封装扩展类型长度值TLV。
8.一种在控制器中实现的方法,其特征在于,所述方法包括:
所述控制器经由一个或多个非可信底层网络上的第一安全信道接收通告第一对等节点软件定义广域网SD-WAN端口的第一广域网WAN属性的第一边界网关协议BGP更新消息,所述第一BGP更新消息经由所述收发器接收;
所述控制器经由第二加密信道通过所述非可信底层网络接收通告第二对等节点的第二对等节点SD-WAN端口的第二BGP更新消息,所述第二BGP更新消息经由所述收发器接收;
所述控制器经由所述收发器将所述第一BGP更新消息转发到所述第二对等节点;
所述控制器经由所述收发器将所述第二BGP更新消息转发到所述第一对等节点,以支持基于第一WAN属性和第二WAN属性在所述第一对等节点和所述第二对等节点之间建立安全关联。
9.根据权利要求8所述的方法,其特征在于,所述第一WAN属性描述所述第一对等节点SD-WAN端口的SD-WAN端口能力和隧道端点属性,并且边缘节点SD-WAN端口的WAN属性被编码在所述第一BGP更新消息的网络层可达性信息NLRI字段中。
10.根据权利要求8-9中任一项所述的方法,其特征在于,所述第一WAN属性包括隧道端点、专用端口地址、端口因特网协议安全IPsec能力、SD-WAN路由策略、隧道加密数据或其组合。
11.根据权利要求8或9中所述的方法,其特征在于,所述第一WAN属性被包括在专用于覆盖网络的覆盖后续地址族标识SAFI中。
12.根据权利要求11中所述的方法,其特征在于,所述覆盖SAFI包含NLRI长度、SD-WAN类型、端口识别符、SD-WAN站点标识ID和SD-WAN节点ID。
13.根据权利要求8或9中所述的方法,其特征在于,所述第一WAN属性被包括在SD-WAN隧道封装属性中。
14.根据权利要求13中所述的方法,其特征在于,所述SD-WAN隧道封装属性包括隧道类型、IPsec安全关联SA属性和封装扩展类型长度值TLV。
15.一种在软件定义广域网SD-WAN边缘节点中实现的方法,其特征在于,所述方法包括:
SD-WAN边缘节点通过安全信道向边界网关协议BGP路由反射器通告SD-WAN端口属性,其中SD-WAN端口连接到公共非可信网络,并且所述SD-WAN端口属性通过BGP更新消息网络层可达性信息NLRI字段通告;
所述SD-WAN边缘节点基于对等体组策略接收来自BGP路由反射器的对等节点的SD-WAN端口属性;
所述SD-WAN边缘节点基于所述SD-WAN边缘节点的SD-WAN端口属性和所述对等节点的SD-WAN端口属性建立与所述对等节点的安全成对信道。
16.根据权利要求15所述的方法,其特征在于,所述NLRI字段被包括在SD-WAN后续地址族标识SAFI中,用于通告面向非可信网络的SD-WAN端口的属性。
17.根据权利要求16中任一项所述的方法,其特征在于,所述SD-WAN SAFI包括:指示所述NLRI的长度的NLRI长度字段、定义所述NLRI字段的编码的SD-WAN类型字段、包括SD-WAN边缘节点端口标识ID的端口识别符、标识由一组SD-WAN边缘节点共享的公共属性的SD-WAN站点ID,以及识别SD-WAN边缘节点的SD-WAN节点ID。
18.根据权利要求17中所述的方法,其特征在于,所述端口识别符唯一地标识相应的SD-WAN端口,并且所述端口识别符包括所述相应的SD-WAN端口的因特网协议(InternetProtocol,简称IP)地址、专用IP地址的网络地址转换NAT信息,以及所述相应的SD-WAN端口的IP安全IPsec安全关联相关信息。
19.根据权利要求17或18中所述的方法,其特征在于,在所述SD-WAN站点ID中指示的公共属性用于出于策略原因而调整覆盖路由以穿越特定地理区域。
20.根据权利要求15-18中任一项所述的方法,其特征在于,所述NLRI由隧道封装属性来描述,所述隧道封装属性包括:指示SD-WAN端口属性的隧道类型、描述关于SD-WAN隧道端点的信息的NAT子类型长度值TLV、包括用于与所述对等节点建立IPsec SA的信息的IPsec安全关联SA属性子TLV,以及包括相应的SD-WAN端口的附加属性的端口子TLV。
21.一种软件定义广域网SD-WAN边缘节点,其特征在于,包括:
处理器、耦合到所述处理器的接收器,以及耦合到所述处理器的发送器,其中,所述处理器、接收器和发送器用于执行根据权利要求1-20中任一项所述的方法。
22.一种包括由网络节点使用的计算机程序产品的非瞬时性计算机可读介质,其特征在于,所述计算机程序产品包括存储在非瞬时性计算机可读介质上的计算机可执行指令,其中,当所述指令被处理器执行时,使得所述网络节点执行权利要求15-20中任一项的步骤。
23.一种软件定义广域网SD-WAN边缘节点,其特征在于,包括:
发送装置,用于通过安全信道在非可信底层网络上向控制器发送通告SD-WAN边缘节点的边缘节点SD-WAN端口的广域网WAN属性的第一边界网关协议BGP更新消息;
接收装置,用于从所述控制器接收第二BGP更新消息,所述第二BGP更新消息通告对等节点的对等节点SD-WAN端口的WAN属性;
处理装置,用于基于所述边缘节点SD-WAN端口的WAN属性和所述对等节点SD-WAN端口的WAN属性,在所述非可信底层网络上建立与所述对等节点或所述对等节点的对等节点SD-WAN端口的安全关联。
24.根据权利要求23所述的SD-WAN边缘节点,其特征在于,所述发送装置、接收装置和处理装置还用于执行权利要求2-7中的任何一项。
25.一种控制器,其特征在于,包括:
接收装置,用于:
接收第一边界网关协议BGP更新消息,所述第一BGP更新消息在一个或多个非可信底层网络上经由第一安全信道通告第一对等节点的第一对等节点软件定义广域网SD-WAN端口的第一WAN属性;
通过所述非可信底层网络上的第二安全信道接收通告第二对等节点的第二对等节点SD-WAN端口的第二WAN属性的第二BGP更新消息;
处理装置,用于处理所述第一BGP更新消息和所述第二BGP更新消息;
发送装置,用于:
将所述第一BGP更新消息转发到所述第二对等节点;
向所述第一对等节点转发所述第二BGP更新消息,以支持基于所述第一WAN属性和所述第二WAN属性建立所述第一对等节点与所述第二对等节点之间的安全关联。
26.根据权利要求25所述的控制器,其特征在于,所述发送装置、接收装置和处理装置还用于执行权利要求9-14中的任何一项方法。
27.一种通信系统,其特征在于,包括权利要求1-7、21、23、或24中任一项所述的边缘节点以及权利要求8-14、25或26中任一项所述的控制器。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862748146P | 2018-10-19 | 2018-10-19 | |
| US62/748,146 | 2018-10-19 | ||
| CN201980067932.9A CN113261248B (zh) | 2018-10-19 | 2019-10-18 | 安全sd-wan端口信息分发 |
| PCT/US2019/056960 WO2020081947A1 (en) | 2018-10-19 | 2019-10-18 | Secure sd-wan port information distribution |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980067932.9A Division CN113261248B (zh) | 2018-10-19 | 2019-10-18 | 安全sd-wan端口信息分发 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116319516A true CN116319516A (zh) | 2023-06-23 |
Family
ID=68468850
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211098023.1A Pending CN116319516A (zh) | 2018-10-19 | 2019-10-18 | 安全sd-wan端口信息分发 |
| CN201980067932.9A Active CN113261248B (zh) | 2018-10-19 | 2019-10-18 | 安全sd-wan端口信息分发 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980067932.9A Active CN113261248B (zh) | 2018-10-19 | 2019-10-18 | 安全sd-wan端口信息分发 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11711242B2 (zh) |
| EP (2) | EP3861689B1 (zh) |
| CN (2) | CN116319516A (zh) |
| WO (1) | WO2020081947A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915544A (zh) * | 2023-08-12 | 2023-10-20 | 深圳市赛柏特通信技术有限公司 | 多控制域sd-wan网络的通信方法、装置及存储介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4136820A2 (en) * | 2020-05-15 | 2023-02-22 | Huawei Technologies Co., Ltd. | Internet protocol security (ipsec) simplification in border gateway protocol (bgp)-controlled software-defined wide area networks (sd-wans) |
| CN111654399B (zh) * | 2020-06-08 | 2022-10-18 | 奇安信科技集团股份有限公司 | 基于sd-wan的组网方法、装置、设备及存储介质 |
| US11463343B2 (en) * | 2020-10-07 | 2022-10-04 | Hewlett Packard Enterprise Development Lp | SDWAN overlay routing service |
| CN112218183A (zh) * | 2020-10-12 | 2021-01-12 | 浪潮软件科技有限公司 | 一种基于sd-wan的cpe与onu合设的方法 |
| CN114500162A (zh) * | 2020-10-23 | 2022-05-13 | 中国移动通信有限公司研究院 | Sd-wan系统和数据转发方法 |
| CN116097630A (zh) | 2021-04-08 | 2023-05-09 | 思科技术公司 | 软件定义的广域网(sd-wan)的水平缩放 |
| US11546432B2 (en) | 2021-04-08 | 2023-01-03 | Cisco Technology, Inc. | Horizontal scaling for a software defined wide area network (SD-WAN) |
| KR20230021506A (ko) * | 2021-08-05 | 2023-02-14 | 한국전자통신연구원 | 사용자 정의 기반의 가상 네트워크 설정 방법 |
| US11563678B1 (en) * | 2021-08-09 | 2023-01-24 | Microsoft Technology Licensing, Llc | Orchestration of overlay paths for wide area network virtualization |
| US11916786B2 (en) * | 2021-08-13 | 2024-02-27 | Cisco Technology, Inc. | Distributed routing controllers for multi-region SDWAN |
| US20230388233A1 (en) * | 2022-05-27 | 2023-11-30 | Cisco Technology, Inc. | Optimizing IPSec for Hierarchical SD-WAN |
| CN115022165B (zh) * | 2022-05-27 | 2023-06-02 | 烽火通信科技股份有限公司 | Bgp流规范生效接口优化方法、装置、设备及存储介质 |
| CN117336255A (zh) * | 2022-06-23 | 2024-01-02 | 华为技术有限公司 | 一种隧道创建方法、信息发布方法及装置 |
| CN117640399A (zh) * | 2022-08-16 | 2024-03-01 | 华为技术有限公司 | 通信方法及相关装置 |
| CN115529128B (zh) * | 2022-09-23 | 2023-09-29 | 中科海川(北京)科技有限公司 | 基于sd-wan的端端协商通信方法、终端设备、服务器 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373660B1 (en) * | 2003-08-26 | 2008-05-13 | Cisco Technology, Inc. | Methods and apparatus to distribute policy information |
| CN103840998A (zh) | 2007-01-17 | 2014-06-04 | 北方电讯网络有限公司 | 用于使用了基于802.1ah的隧道的第2层和第3层虚拟专用网络的边界网关协议扩展团体属性 |
| CN101617305B (zh) * | 2007-01-17 | 2013-05-01 | 北方电讯网络有限公司 | 使用基于以太网的隧道的、用于mpls和第2层vpn的边界网关协议过程 |
| CN104871495B (zh) * | 2012-09-26 | 2018-07-13 | 华为技术有限公司 | 用于叠加网络的虚拟叠加网关 |
| US9912577B2 (en) * | 2014-04-17 | 2018-03-06 | Cisco Technology, Inc. | Segment routing—egress peer engineering (SP-EPE) |
| US9825777B2 (en) * | 2015-06-23 | 2017-11-21 | Cisco Technology, Inc. | Virtual private network forwarding and nexthop to transport mapping scheme |
| US10412019B2 (en) * | 2015-07-06 | 2019-09-10 | Futurewei Technologies, Inc. | Path computation element central controllers (PCECCs) for network services |
| US10637889B2 (en) * | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
| US10142298B2 (en) * | 2016-09-26 | 2018-11-27 | Versa Networks, Inc. | Method and system for protecting data flow between pairs of branch nodes in a software-defined wide-area network |
| US11277338B2 (en) * | 2016-09-26 | 2022-03-15 | Juniper Networks, Inc. | Distributing service function chain data and service function instance data in a network |
| US10454821B2 (en) * | 2016-10-14 | 2019-10-22 | Cisco Technology, Inc. | Creating and maintaining segment routed traffic engineering policies via border gateway protocol |
| US10375034B2 (en) * | 2017-01-30 | 2019-08-06 | Salesforce.Com, Inc. | Secured transfer of data between datacenters |
| US20200036624A1 (en) * | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
| US10523556B2 (en) * | 2017-08-08 | 2019-12-31 | Versa Networks, Inc. | Method and system for routing connections in a software-defined wide area network |
| US10594592B1 (en) * | 2017-09-29 | 2020-03-17 | Juniper Networks, Inc. | Controlling advertisements, such as Border Gateway Protocol (“BGP”) updates, of multiple paths for a given address prefix |
| US11196591B2 (en) * | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
-
2019
- 2019-10-18 EP EP19798471.9A patent/EP3861689B1/en active Active
- 2019-10-18 CN CN202211098023.1A patent/CN116319516A/zh active Pending
- 2019-10-18 EP EP23210240.0A patent/EP4333392A2/en active Pending
- 2019-10-18 CN CN201980067932.9A patent/CN113261248B/zh active Active
- 2019-10-18 WO PCT/US2019/056960 patent/WO2020081947A1/en unknown
-
2021
- 2021-04-19 US US17/234,504 patent/US11711242B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915544A (zh) * | 2023-08-12 | 2023-10-20 | 深圳市赛柏特通信技术有限公司 | 多控制域sd-wan网络的通信方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3861689A1 (en) | 2021-08-11 |
| US20210243053A1 (en) | 2021-08-05 |
| EP4333392A2 (en) | 2024-03-06 |
| WO2020081947A1 (en) | 2020-04-23 |
| US11711242B2 (en) | 2023-07-25 |
| CN113261248B (zh) | 2022-09-16 |
| CN113261248A (zh) | 2021-08-13 |
| EP3861689B1 (en) | 2023-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113261248B (zh) | 安全sd-wan端口信息分发 | |
| US11792045B2 (en) | Elastic VPN that bridges remote islands | |
| US7917948B2 (en) | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic | |
| US7447901B1 (en) | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network | |
| WO2008092351A1 (fr) | Procédé de liaison dynamique de réseau privé virtuel | |
| EP3289728B1 (en) | Distribution of internal routes for virtual networking | |
| CN115606154A (zh) | 边界网关协议(BGP)控制的软件定义广域网(SD-WAN)中的互联网协议安全(IPsec)简化 | |
| US20230254183A1 (en) | Generating route target values for virtual private network routes | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN113300998A (zh) | 实现数据加密传输的方法及装置、通信系统 | |
| US11778043B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
| US11546432B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
| US11792718B2 (en) | Authentication chaining in micro branch deployment | |
| US11343180B2 (en) | Network service access and data routing based on assigned context |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |