CN116491112A - 带有策略控制的服务的零日零接触提供 - Google Patents
带有策略控制的服务的零日零接触提供 Download PDFInfo
- Publication number
- CN116491112A CN116491112A CN202180076310.XA CN202180076310A CN116491112A CN 116491112 A CN116491112 A CN 116491112A CN 202180076310 A CN202180076310 A CN 202180076310A CN 116491112 A CN116491112 A CN 116491112A
- Authority
- CN
- China
- Prior art keywords
- server
- information identifying
- service
- receiving
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
可以提供带有策略控制的服务。计算设备可以接收与边界设备相关联的注册信息。该注册信息可包括识别由与边界设备相关联的服务器提供的服务的信息、识别边界设备的信息以及与该服务相关联的策略。然后可以确定服务器的地址。接下来可以接收到请求,该请求包括识别由服务器提供的服务的信息。响应于接收到包括识别由服务器提供的服务的信息的请求,可以提供服务器的地址、识别边界设备的信息以及与服务相关联的策略。
Description
技术领域
本申请于2021年11月8日被作为PCT国际专利申请提交,并且要求获得2020年11月13日提交的美国非临时专利申请序列号17/097,709的权益和优先权,该美国申请的全部公开内容被通过引用完全并入。
本公开概括而言涉及提供带有策略控制的服务。
背景技术
计算机网络或数据网络是一种允许计算机交换数据的电信网络。在计算机网络中,联网的计算设备使用数据链路与彼此交换数据。节点之间的连接是使用线缆介质或无线介质建立的。最著名的计算机网络是互联网。
发起、路由和端接数据的网络计算机设备被称为网络节点。节点可包括主机,例如个人计算机、电话、服务器以及联网硬件。当一个设备能够与另一个设备交换信息时,可以说两个这样的设备是联网的,无论它们之间是否有直接连接。计算机网络在用于运载其信号的传输介质、组织网络流量的通信协议、网络的规模、拓扑结构和组织意图方面有所不同。
附图说明
包含在本公开中并且构成本公开的一部分的附图图示了本公开的各种实施例。在附图中:
图1是网络的框图;
图2是用于提供带有策略控制的服务的方法的流程图;
图3是用于提供带有策略控制的服务的方法的流程图;并且
图4是计算设备的框图。
具体实施方式
概述
在独立权利要求中记载了本发明的各方面并且在从属权利要求中记载了优选特征。一个方面的特征可被单独应用到每个方面,或者与其他特征组合应用。
可以提供带有策略控制的服务。计算设备可以接收与边界设备相关联的注册信息。该注册信息可包括识别由与边界设备相关联的服务器提供的服务的信息、识别边界设备的信息以及与该服务相关联的策略。然后可以确定服务器的地址。接下来可以接收到请求,其中包括识别由服务器提供的服务的信息。响应于接收到包括识别由服务器提供的服务的信息的请求,可以提供服务器的地址、识别边界设备的信息以及与服务相关联的策略。
前面的概述和接下来的示例实施例都只是举例和说明,而不应当被认为限制所描述和要求保护的本公开的范围。此外,除了描述的那些以外,还可以提供特征和/或变化。例如,本公开的实施例可以针对示例实施例中描述的各种特征组合和子组合。
示例实施例
接下来的详细描述参考附图。只要有可能,在附图和接下来的描述中使用相同的标号来指代相同或相似的元素。虽然可以描述本公开的实施例,但修改、改编和其他实现方式是可能的。例如,可以对附图中图示的元素进行替换、添加或修改,并且可以通过对所公开的方法进行替换、重排序或添加阶段来修改本文描述的方法。因此,接下来的详细描述并不限制本公开。相反,本公开的恰当范围由所附权利要求限定。
架构网络(fabric network)可包括一种网络拓扑架构,其中组件通过互连网络节点(例如,设备)将数据传递给彼此。架构网络可包括覆盖(overlay)和底层(underlay)。底层处理架构网络设备之间的连通性,而覆盖处理穿越架构网络的用户流量。架构网络覆盖可包括功能组件,例如架构边缘(Fabric Edge,FE)设备、架构中间设备、架构边界(FabricBorder,FB)设备、地图服务器(Map Server,MS)以及架构控制平面(Control Plane,CP)。
在架构网络覆盖中,FE设备可包括例如定位符/ID分离协议(LISP)xTR(入口/出口隧道路由器)/PxTR(代理xTR)节点,并且FB设备可包括例如LISP PxTR(代理xTR)节点。端点(例如,客户端设备或主机)可被附接到FE设备。端点可以处于端点识别空间中,其中每个端点可具有端点标识符(Endpoint Identifier,EID)。架构网络中的每个设备(例如,FE设备和FB设备)可被配置有地址(例如,定位符地址)。FE设备可以将发现的EID(来自终端)与运行在MS上的架构主机跟踪数据库注册,将发现的EID与例如发现它的FE设备的配置的定位符地址关联起来。
当本地FE设备接收到来自本地端点的封包,其目的地是位置未知(例如,端点通过互联网连接)的远程端点(即,在远程FE设备上)时,本地FE设备可以向MS发送地图请求消息。MS可以有被注册为互联网服务的提供者的边界设备。在这种情况下,MS可以用远程定位符地址回复地图请求,该地址是互联网服务边界的地址。一旦本地FE设备接收到MS发回的将未知EID与远程定位符地址相关联的回复消息,来自本地端点的所有后续流量就可以被封装(例如,LISP封装)并且转发到远程定位符地址(即,远程xTR设备)。一旦在远程xTR设备上接收到封装的封包,远程xTR设备就可以对封包进行解封装并且本机转发(例如,到远程端点)。
FB设备可以将架构网络连接到本机路由域。FB设备可以被配置为例如LISP PxTR节点,并且可以向FE节点提供默认网关服务。通信可以通过被配置为例如LISP PxTR节点的FB设备发生。当FE设备接收到来自本地端点的封包,其目的地是本机路由域中的架构网络外的主机时,FE设备可以封装并且将封包发送到FB设备。FB设备可以提供例如LISP PxTR功能,并且将自己作为所有架构管理的EID前缀的下一跳地址宣告给本机路由域,以便它可以引导流量。
架构覆盖可以提供以下服务。例如,架构覆盖可以使用第3层覆盖提供拉伸的第2层服务,这可以提供将子网扩展到架构网络的任何部分的灵活性。例如,子网可以存在于具有相同的任播网关互联网协议(IP)地址的多个FE设备之间,以便通过允许端点继续使用相同的网关IP地址来允许漫游。所提供的服务还可包括第3层覆盖服务和内置移动性。
当部署架构网络(例如,带有接入交换机和路由器)时,可能预先不知道不同的基于云的应用(例如,私有、公共或混合)或者其他场内应用、服务或服务器可能位于何处,以及它们可能被指派什么子网/IP地址。如果没有这种网络预先知识,那么可能首先在没有这些应用/服务支持的情况下配置和部署网络,后来当应用、服务和服务器被配置时,网络的不同组件(例如,边缘交换机、边界设备、控制平面服务器、防火墙,等等)可能被修改,以允许去往和来自这些新的应用、服务和服务器的联网路径。然而,这可能是一个昂贵和耗时的操作,因为它可能涉及复杂的网络重配置和调试,而这可能需要熟练的网络工程师和网络中断。这也可能导致重配置和重评估现有的网络安全性机制,而这如果做得不正确,则可能会导致安全性漏洞。这可能是因为网络可能已经被部署并且在工作。所有这些问题都可能在应用和服务部署期间造成问题。这在可能处理时间关键性操作的企业中可能是成问题的,在这些企业中,中断是不可接受的(例如,医院、处理高频交易或关键金融交易的金融机构、像空间研究这样的关键任务应用、自主车辆、物联网(Internet-of-Things,IoT)应用,等等)。
本公开的实施例可以提供带有应用和服务的企业架构网络的部署(例如,基于云的或者场内的),其中可能不需要预先知道应用、服务或服务器的位置和IP/子网地址。这些服务可以是单播、多播或者广播。此外,利用本公开的实施例,当这些应用、服务或服务器后来被部署时,网络可能不需要改变。相反,网络可以动态地检测应用、服务和服务器的位置和子网,并且向它们转发相关流量。任何其他不打算前往这些服务器的流量(即,即使目的地地址是服务器的地址)可以根据架构控制平面中的配置的策略在网络的边缘被丢弃。这不仅解决了上述问题,而且还可能使得企业架构网络更加安全。
例如,企业“abc”可具有动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)服务器“dhcp.abc.com”,该服务器可以有位置范围:i)东海岸dhcp.abc.com可以解析到192.168.1.2;西海岸dhcp.abc.com可以解析到192.168.2.2;以及亚洲太平洋dhcp.abc.com可以解析到192.169.2.2。例如,本公开的实施例可允许架构提供“零”接触位置特定DHCP服务。连接到DHCP服务器的边界设备(例如,xTR/边界)可以作为“dhcp.abc.com”(或者其解析的地址)与站点地图服务器(MS)注册,其服务类型例如为“DHCP_SRV”并且具有其关联的策略。MS可以解析(例如,用域名服务器(Domain NameServer,DNS))并且将服务器的目的地IP地址(即,DHCP服务器的IP地址或者统一资源定位符(Uniform Resource Locator,URL))和路由定位符(Routing Locator,RLOC)映射与关联的服务策略填充到其注册表(例如,在架构主机跟踪数据库中)。
当边缘设备(Edge Device,ED)接收到主机(即,客户端设备)的DHCP封包时,它可以就“DHCP_SRV”(即,服务类型)查询MS(例如,用地图请求)。MS可以用目的地IP地址(即,DHCP服务器的IP地址)和RLOC映射与关联的策略进行响应。ED可以接收DHCP服务器的地址、RLOC和关联的策略,并且在ED上为其安装地图缓存。因此,在边缘处,可能不需要DHCP服务器的IP地址在中继中,并且这个过程可能成为动态的。前面提到的示例使用了DHCP作为服务,但也可以使用与本公开的实施例一致的其他服务。
另一个选项可以是,响应于对服务的地图请求,MS可以用URL(例如,“dhcp.abc.com”)和边界设备的RLOC来响应ED。然后,ED可以解析服务的服务器的目的地IP地址(即,DHCP、认证、授权和记账(Authentication,Authorization and Accounting,AAA)以及其他共享服务服务器的IP地址),并且安装具有此目的地到RLOC映射的地图缓存。例如,{服务类型:服务IP,VN},例如服务{DHCP::10.1.1.1,VN1;DHCP::20.1.1.1,VN2;AAA::5.5.5.5,*}。在此基础上,地图缓存可以被填充,并且服务可以被提供相应的IP地址(例如,上面的AAA可以被提供IP 5.5.5.5)。相同的过程可适用于其他服务。例如,这可以允许ED具有最低限度的配置。
图1示出了与本公开的实施例一致的系统100,用于提供带有策略控制的服务。如图1所示,系统100可包括第一网络102、多个客户端设备104、第二网络106、地图服务器108、以及提供服务的服务器110。第一网络102可包括多个网络设备,包括但不限于路由器112、第一边缘设备114、第二边缘设备116、中间网络设备(未示出)、以及边界设备118。多个客户端设备104可包括第一客户端设备120和第二客户端设备122。第二网络106可包括第一网络102之外的网络,例如,去往云的网络(例如,互联网)。地图服务器108可以拥有并且维护架构主机跟踪数据库124。提供服务的服务器110可以提供任何服务(例如,基于云),包括但不限于DHCP、DNS、认证、授权和记账(AAA)以及其他共享服务。
例如,第一网络102中的多个网络设备可包括但不限于交换机和路由器。第一网络102可包括任意数目的网络设备。多个客户端设备104可包括任意数目的客户端设备,并不限于两个。多个客户端设备104中的每一个可包括希望通过第一网络102进行通信的任何类型的设备。例如,多个客户端设备104中的每一个可包括但不限于Wi-Fi接入点、蜂窝基站、平板设备、物联网(loT)设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字视频记录器、线缆调制解调器、个人计算机、笔记本计算机、网络计算机、大型机、路由器、或者其他类似的基于微计算机的设备。
第一网络102可包括架构网络。该架构网络可包括底层和覆盖。底层可以处理架构元素(例如,网络设备)之间的连通性,覆盖可以处理进入架构的用户流量。流量可以通过FE设备(例如,第一边缘设备114和第二边缘设备116)进入架构网络(即,第一网络102)。流量可以经由多个网络设备内的多个中间网络设备通过第一网络102进行路由。FE设备可以负责用包含出口FE设备地址的架构头部来封装封包。当封包(例如,帧)到达出口FE设备时,架构头部可以被剥离,并且本机封包可以根据内部地址被转发。架构网络可能够在底层之上提供第2层和第3层服务。架构网络可具有连接到它的端点(例如,多个客户端设备104)。
系统100的上述元素(例如,地图服务器108、提供服务的服务器110、路由器112、第一边缘设备114、第二边缘设备116、边界设备118、第一客户端设备120或者第二客户端设备122)可以在硬件和/或软件(包括固件、常驻软件、微代码,等等)或者任何其他电路或者系统中实现。系统100的元素可以在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中实现,或者在包含电子元件或微处理器的单个芯片上实现。此外,系统100的元素也可以使用其他能够执行逻辑运算(例如,AND、OR和NOT)的技术来实现,包括但不限于机械、光学、流体和量子技术。如下面关于图4的更详细描述,系统100的元素可以在计算设备400中实现。
图2的流程图阐述了与本公开的实施例一致的用于提供带有策略控制的服务的方法200中涉及的一般阶段。方法200可以使用地图服务器108来实现,如上文关于图1的更详细描述。可以结合图3的流程图300来描述方法200。将在下面更详细地描述实现方法200的各阶段的方式。
方法200可以从开始块205开始并且进行到阶段210,其中地图服务器108可以接收与边界设备118相关联的注册信息。该注册信息可包括识别由与边界设备118相关联的服务器(例如,提供服务的服务器110)提供的服务的信息、识别边界设备118的信息以及与该服务相关联的策略。例如,可以使用应用的URL来配置边界设备118(例如,站点边界/xTR),对于这些应用,服务器将位于边界设备118后面。边界设备118可以通过将自己注册为RLOC并且将EID注册为该应用或服务的“区分名称”来向企业架构控制平面(即,地图服务器108)注册应用。(图3的阶段305、310、315和320)。地图服务器108可以被配置以依这些不同应用而定的策略。在其他实施例中,这些策略可以在边界设备118的注册期间被发送到地图服务器108。识别由与边界设备相关联的服务器提供的服务的信息可包括端点标识符(EID),其可包括例如互联网协议(IP)地址、媒体访问控制(MAC)地址、识别服务的区分名称、或者识别服务的统一资源定位符(URL)。识别边界设备的信息可包括路由定位符(RLOC)定位符类型,例如默认定位符或者特定服务定位符。
地图服务器108可以以频繁的间隔不断与DNS尝试来解析应用的URL,这可能会失败,因为应用服务器可能还没有连接。在其他实施例中,当这些服务被通告或宣告时,地图服务器108可以被重注册以解析IP地址。边缘设备(例如,第一边缘设备114)可以识别转发平面中的应用封包,并且可以就该应用服务器的RLOC请求地图服务器108(例如,使用服务名称作为该应用的“区分名称EID”)。因为地图服务器108可能还没有让该应用的URL得到解析,所以它可能回复有丢弃动作。边缘设备(例如,第一边缘设备114)可以丢弃该应用封包。
从阶段210,即地图服务器108接收与边缘设备118相关联的注册信息,方法200可以推进到阶段220,其中地图服务器108可以确定服务器(例如,提供服务的服务器110)的地址。例如,应用服务器可以连接到边界设备118(例如,站点边界/xTR)。该服务现在可以由各个设备部署并且被通告或宣告。地图服务器108现在可能够基于其设备的服务通告来解析应用的URL或者注册服务的IP或媒体访问控制(MAC)地址。地图服务器108可以将IP或MAC地址与应用或服务的“区分名称”EID关联起来。地图服务器108可以将此信息与这些应用或服务的配置策略一起保存在架构主机跟踪数据库124中。
一旦地图服务器108在阶段220中确定了服务器(例如,提供服务的服务器110)的地址,方法200就可以继续到阶段230,其中地图服务器108可以接收包括识别服务器(例如,提供服务的服务器110)提供的服务的信息的请求。例如,第一边缘设备114可以认识到已从第一客户端设备120接收了应用封包(图3的阶段325),并且可以就该应用的RLOC请求地图服务器108。(图3的阶段330)。
在地图服务器108在阶段230中接收到包括识别由服务器(例如,提供服务的服务器110)提供的服务的信息的请求之后,方法200可以进行到阶段240,其中地图服务器108可以响应于接收到包括识别由服务器(例如,提供服务的服务器110)提供的服务的信息的请求,提供服务器(例如,提供服务的服务器110)的地址、识别边界设备118的信息以及与该服务相关联的策略。(图3的阶段335)。例如,作为响应,地图服务器108不仅可以发送应用服务器(例如,提供服务的服务器110)的RLOC,而且还可以为该应用指定策略。对于一些服务,地图服务器108还可以发送设备IP地址的列表,以及它们对应的服务设备的RLOC。边界设备118可以在其转发硬件中安装这些策略,用于面向应用服务器或服务设备的流量。然后,未来的流量可以根据所安装的策略被转发。(图3的阶段340、345、350、355和360)。一旦地图服务器108在阶段240中提供了服务器(例如,提供服务的服务器110)的地址、识别边界设备118的信息以及与服务相关联的策略,方法200然后就可以在阶段250结束。
对于多站点应用配设或部署,本公开的实施例可包括MS对于该站点计划为其他站点托管的所有应用通知站点BD。MS还可以在通知中通知应用的策略。对于多站点,站点BD可以通过使用EID作为解析的IP/MAC地址以及“区分名称”和该应用的策略注册BD来为特定的应用注册到中转控制平面(例如,T-MS)。(在另一个实施例中,也可以用所有应用的策略来预配置T-MS)。T-MS可以将此注册和策略传播给另一个站点的本地MS,以将远程站点的服务器用于该应用。或者其他站点的边缘设备可以将封包转发到默认的边界出口隧道路由器(Egress Tunnel Router,ETR),该默认ETR边界可以向T-MS请求应用的RLOC和策略。如果任何服务或应用的位置发生变化,则MS可以被重注册以它们的新位置(即,RLOC)。MS可以使用任何地图缓存更新过程来更新现有的地图缓存。也可以使用现有的策略变化过程来更新这些服务的任何策略变化。
本公开的实施例可以提供企业架构应用或服务的零日零接触部署,其中可能不需要预先知道应用、服务或服务器的位置及其IP/子网地址。这些服务可以是单播、多播或者广播。另外,在以后部署这些应用、服务或服务器时,整个网络可能不需要改变。相反,网络可以动态地检测应用、服务或服务器的位置和子网,自动应用正确的策略,并且向这些服务器转发相关流量。任何其他不打算前往这些服务器的流量(例如,即使目的地地址是服务器的地址)可以根据架构控制平面中的配置的策略在网络的边缘被丢弃。这不仅可以解决上述问题,而且还可以使得企业架构网络更加安全。
图4示出了计算设备400。如图4所示,计算设备400可包括处理单元410和存储器单元415。存储器单元415可包括软件模块420和数据库425。当在处理单元410上执行时,软件模块420可以执行例如用于提供带有策略控制的服务的过程,如上文关于图2和图3所述。计算设备400例如可以为地图服务器108、提供服务的服务器110、路由器112、第一边缘设备114、第二边缘设备116、边界设备118、第一客户端设备120或者第二客户端设备122提供操作环境。地图服务器108、提供服务的服务器110、路由器112、第一边缘设备114、第二边缘设备116、边界设备118、第一客户端设备120和第二客户端设备122可以在其他环境中操作,而并不限于计算设备400。
可以使用Wi-Fi接入点、蜂窝基站、平板设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字视频记录器、线缆调制解调器、个人计算机、网络计算机、大型机、路由器、交换机、服务器集群、类似智能电视的设备、网络存储设备、网络中继设备或者其他类似的基于微计算机的设备来实现计算设备400。计算设备400可包括任何计算机操作环境,例如手持设备、多处理器系统、基于微处理器或者可编程的发送器电子设备、微型计算机、大型计算机,等等。也可以在分布式计算环境中实现计算设备400,其中任务由远程处理设备执行。上述系统和设备是示例,而计算设备400可包括其他系统或设备。
本公开的实施例例如可以实现为计算机过程(方法)、计算系统、或者实现为诸如计算机程序产品或计算机可读介质之类的制造品。计算机程序产品可以是可被计算机系统读取并且编码了用于执行计算机过程的指令的计算机程序的计算机存储介质。计算机程序产品也可以是可被计算系统读取并且编码了用于执行计算机过程的指令的计算机程序的载体上的传播信号。因此,本公开可以体现在硬件和/或软件中(包括固件、常驻软件、微代码,等等)。换句话说,本公开的实施例可以采取计算机可使用或计算机可读的存储介质上的计算机程序产品的形式,该介质中体现了计算机可使用或计算机可读的程序代码,供指令执行系统使用或者与之相联系地使用。计算机可使用或计算机可读存储介质可以是任何可包含、存储、传达、传播或传输程序供指令执行系统、装置或设备使用或与之相联系地使用的介质。
计算机可使用或计算机可读介质可以例如但不限于是电子的、磁的、光的、电磁的、红外的或半导体的系统、装置、设备或传播介质。更具体的计算机可读介质示例(非详尽列表),计算机可读介质可包括以下的:具有一个或多个导线的电连接、便携式计算机盘、随机访问存储器(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、以及便携式紧凑盘只读存储器(compact discread-only memory,CD-ROM)。注意,计算机可使用或计算机可读介质甚至可以是其上打印有程序的纸或另一种适当介质,因为程序可经由例如对纸或其他介质的光学扫描被电子捕捉,然后在必要时被以适当的方式编译、解释或者以其他方式处理,并随后被存储在计算机存储器中。
虽然已描述了本公开的某些实施例,但也可能存在其他实施例。此外,虽然本公开的实施例已被描述为与存储在存储器和其他存储介质中的数据相关联,但数据也可以被存储在其他类型的计算机可读介质上或者被从这些介质中读取,例如次级存储设备,比如硬盘、软盘或CD-ROM,来自互联网的载波,或者其他形式的RAM或ROM。另外,所公开的方法的阶段可以以任何方式被修改,包括通过重排序阶段和/或插入或删除阶段,而不偏离本公开。
此外,本公开的实施例可以在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中实现,或者在包含电子元件或微处理器的单个芯片上实现。本公开的实施例也可以使用其他能够执行逻辑运算(例如,AND、OR和NOT)的技术来实现,包括但不限于机械、光学、流体和量子技术。此外,本公开的实施例可以在通用计算机内或者任何其他电路或系统中实现。
本公开的实施例可以经由片上系统(system-on-a-chip,SOC)实现,其中图1中所示的每个或许多元件可以被集成到单个集成电路上。这样的SOC设备可包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元和各种应用功能,所有这些都可以作为单个集成电路被集成(或者“烧录”)到芯片衬底上。当经由SOC操作时,本文对于本公开的实施例描述的功能,可以经由与计算设备400的其他组件集成在单个集成电路(芯片)上的专用逻辑来执行。
例如,上文参考根据本公开的实施例的方法、系统和计算机程序产品的框图和/或操作图示描述了本公开的实施例。方框中记载的功能/行为可以不按任何流程图中所示的顺序发生。例如,取决于所涉及的功能/动作,接连示出的两个方框实际上可被基本同时执行,或者方框有时可按相反顺序被执行。
虽然本说明书包括示例,但本公开的范围由所附权利要求指出。此外,虽然已经用结构特征和/或方法动作特定的语言描述了本说明书,但权利要求并不限于上文描述的特征或动作。更确切地说,上文描述的具体特征和动作是作为实现本公开的实施例的示例被公开的。
Claims (23)
1.一种方法,包括:
由计算设备接收与边界设备相关联的注册信息,所述注册信息包括识别由与所述边界设备相关联的服务器提供的服务的信息、识别所述边界设备的信息、以及与所述服务相关联的策略;
确定所述服务器的地址;
接收包括识别由所述服务器提供的所述服务的信息的请求;并且
响应于接收到包括识别由所述服务器提供的所述服务的信息的所述请求,提供所述服务器的地址、识别所述边界设备的信息、以及与所述服务相关联的策略。
2.如权利要求1所述的方法,其中,接收所述注册信息包括从所述边界设备接收所述注册信息。
3.如权利要求1或2所述的方法,其中,所述计算设备包括地图服务器(MS)。
4.如权利要求1至3中的任一项所述的方法,其中,识别由与所述边界设备相关联的所述服务器提供的所述服务的信息包括端点标识符(EID)。
5.如权利要求1至4中的任一项所述的方法,其中,识别所述边界设备的信息包括路由定位符(RLOC)。
6.如权利要求1至5中的任一项所述的方法,还包括将所述注册信息和所述服务器的地址存储在位于所述计算设备上的数据库上。
7.如权利要求1至6中的任一项所述的方法,其中,接收所述请求包括从架构边缘(FE)设备接收所述请求。
8.如权利要求1至7中的任一项所述的方法,还包括将识别所述边界设备的信息、与所述服务相关联的所述策略、以及所述地址提供给架构边缘设备。
9.如权利要求8所述的方法,还包括根据与所述服务相关联的所述策略将所述服务的未来流量转发到所述服务器。
10.一种系统,包括:
存储器存储装置;以及
与所述存储器存储装置耦合的处理单元,其中所述处理单元可操作来:
接收与边界设备相关联的注册信息,所述注册信息包括识别由与所述边界设备相关联的服务器提供的服务的信息、识别所述边界设备的信息、以及与所述服务相关联的策略;
确定所述服务器的地址;
接收包括识别由所述服务器提供的所述服务的信息的请求;并且
响应于接收到包括识别由所述服务器提供的所述服务的信息的所述请求,提供所述服务器的地址、识别所述边界设备的信息、以及与所述服务相关联的策略。
11.如权利要求10所述的系统,其中,所述处理单元可操作来接收所述注册信息包括:所述处理单元可操作来从所述边界设备接收所述注册信息。
12.如权利要求10或11所述的系统,其中,所述处理单元被布置在地图服务器(MS)中。
13.如权利要求10至12中的任一项所述的系统,其中,识别由与所述边界设备相关联的所述服务器提供的所述服务的信息包括端点标识符(EID)。
14.如权利要求10至13中的任一项所述的系统,其中,识别所述边界设备的信息包括路由定位符(RLOC)。
15.一种计算机可读介质,存储一组指令,所述一组指令当被执行时执行由所述一组指令执行的方法,所述方法包括:
由计算设备接收与边界设备相关联的注册信息,所述注册信息包括识别由与所述边界设备相关联的服务器提供的服务的信息、识别所述边界设备的信息、以及与所述服务相关联的策略;
确定所述服务器的地址;
接收包括识别由所述服务器提供的服务的信息的请求;并且
响应于接收到包括识别由所述服务器提供的所述服务的信息的所述请求,提供所述服务器的地址、识别所述边界设备的信息、以及与所述服务相关联的策略。
16.如权利要求15所述的计算机可读介质,其中,接收所述注册信息包括从所述边界设备接收所述注册信息。
17.如权利要求15或16所述的计算机可读介质,其中,识别由与所述边界设备相关联的所述服务器提供的所述服务的信息包括端点标识符(EID)。
18.如权利要求15至17中的任一项所述的计算机可读介质,其中,识别所述边界设备的信息包括路由定位符(RLOC)。
19.如权利要求15至18中的任一项所述的计算机可读介质,还包括将所述注册信息和所述服务器的地址存储在位于所述计算设备上的数据库上。
20.如权利要求15至19中的任一项所述的计算机可读介质,其中,接收所述请求包括从架构边缘(FE)设备接收所述请求。
21.一种装置,包括:
用于由计算设备接收与边界设备相关联的注册信息的装置,所述注册信息包括识别由与所述边界设备相关联的服务器提供的服务的信息、识别所述边界设备的信息、以及与所述服务相关联的策略;
用于确定所述服务器的地址的装置;
用于接收包括识别由所述服务器提供的服务的信息的请求的装置;以及
用于响应于接收到包括识别由所述服务器提供的所述服务的信息的所述请求而提供所述服务器的地址、识别所述边界设备的信息、以及与所述服务相关联的策略的装置。
22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至9中的任一项所述的方法的装置。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当被计算机执行时,使得所述计算机执行如权利要求1至9中的任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/097,709 US11496589B2 (en) | 2020-11-13 | 2020-11-13 | Zero day zero touch providing of services with policy control |
| US17/097,709 | 2020-11-13 | ||
| PCT/US2021/058441 WO2022103694A1 (en) | 2020-11-13 | 2021-11-08 | Zero day zero touch providing of services with policy control |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116491112A true CN116491112A (zh) | 2023-07-25 |
Family
ID=78829379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180076310.XA Pending CN116491112A (zh) | 2020-11-13 | 2021-11-08 | 带有策略控制的服务的零日零接触提供 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11496589B2 (zh) |
| EP (1) | EP4245023A1 (zh) |
| CN (1) | CN116491112A (zh) |
| WO (1) | WO2022103694A1 (zh) |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9369473B2 (en) * | 2013-09-06 | 2016-06-14 | Cisco Technology, Inc. | Method and system for extending network resources campus-wide based on user role and location |
| US9894031B2 (en) * | 2014-08-27 | 2018-02-13 | Cisco Technology, Inc. | Source-aware technique for facilitating LISP host mobility |
| US10637889B2 (en) | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
| US10349333B2 (en) | 2016-05-06 | 2019-07-09 | Futurewei Technologies, Inc. | Predictive routing for mobility |
| US10432578B2 (en) | 2016-09-27 | 2019-10-01 | Cisco Technology, Inc. | Client address based forwarding of dynamic host configuration protocol response packets |
| US10652047B2 (en) | 2017-06-19 | 2020-05-12 | Cisco Technology, Inc. | Connectivity to internet via shared services in enterprise fabric based network with LISP control plane |
| US10848524B2 (en) | 2018-02-23 | 2020-11-24 | Cisco Technology, Inc. | On-demand security association management |
| US10735217B2 (en) | 2018-11-21 | 2020-08-04 | Cisco Technology, Inc. | Distributed internet access in an overlay fabric using combined local and remote extranet policies |
| US10798157B2 (en) | 2018-12-28 | 2020-10-06 | Intel Corporation | Technologies for transparent function as a service arbitration for edge systems |
| US11301396B2 (en) | 2019-03-29 | 2022-04-12 | Intel Corporation | Technologies for accelerated data access and physical data security for edge devices |
-
2020
- 2020-11-13 US US17/097,709 patent/US11496589B2/en active Active
-
2021
- 2021-11-08 WO PCT/US2021/058441 patent/WO2022103694A1/en active Application Filing
- 2021-11-08 CN CN202180076310.XA patent/CN116491112A/zh active Pending
- 2021-11-08 EP EP21823695.8A patent/EP4245023A1/en active Pending
-
2022
- 2022-10-10 US US18/045,202 patent/US11729280B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US11496589B2 (en) | 2022-11-08 |
| US20230114157A1 (en) | 2023-04-13 |
| US20220159083A1 (en) | 2022-05-19 |
| EP4245023A1 (en) | 2023-09-20 |
| US11729280B2 (en) | 2023-08-15 |
| WO2022103694A1 (en) | 2022-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109155799B (zh) | 经由层三通信的子网扩展 | |
| US8661525B2 (en) | Implementation method and system of virtual private network | |
| US20200169872A1 (en) | System and method of fast roaming in enterprise fabric networks | |
| CN111130981B (zh) | 一种mac地址的代理应答方法及装置 | |
| US10432578B2 (en) | Client address based forwarding of dynamic host configuration protocol response packets | |
| US10673737B2 (en) | Multi-VRF universal device internet protocol address for fabric edge devices | |
| US20130182651A1 (en) | Virtual Private Network Client Internet Protocol Conflict Detection | |
| CN105591907B (zh) | 一种路由获取方法和装置 | |
| US11502959B2 (en) | Traffic flow based map-cache refresh to support devices and their dynamic policy updates | |
| US11516184B2 (en) | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall | |
| CN116235473A (zh) | 不同虚拟专用网络的规范化查找和转发 | |
| US20190007368A1 (en) | DHCP in Layer-3 Overlay with Anycast Address Support and Network Address Transparency | |
| KR20070002079A (ko) | 무선 네트워크에서 서버 정보를 획득하기 위한 방법 및장치 | |
| CN114902628B (zh) | 用于无线接入的超可靠低时延通信(urllc)支持 | |
| US11496589B2 (en) | Zero day zero touch providing of services with policy control | |
| US11509536B2 (en) | Relay functionality in an application centric infrastructure (ACI) fabric | |
| US11902166B2 (en) | Policy based routing in extranet networks | |
| US12095765B2 (en) | Cloud delivered access | |
| US11303511B2 (en) | Boot server support in an enterprise fabric network | |
| CN107888473B (zh) | 创建ac口的方法及装置 | |
| CN113872844A (zh) | 建立vxlan隧道的方法及相关设备 | |
| CN118713992A (zh) | 零配置部署方法、控制设备和网络设备 | |
| US20120221698A1 (en) | System and Method for Mobility Management in a Wireless Communications System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |