CN116547953A - 由网络结构控制平面实施段间流量策略 - Google Patents
由网络结构控制平面实施段间流量策略 Download PDFInfo
- Publication number
- CN116547953A CN116547953A CN202180074423.6A CN202180074423A CN116547953A CN 116547953 A CN116547953 A CN 116547953A CN 202180074423 A CN202180074423 A CN 202180074423A CN 116547953 A CN116547953 A CN 116547953A
- Authority
- CN
- China
- Prior art keywords
- control plane
- segment
- network
- firewall
- vrf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本公开描述了在网络结构中操作控制平面的技术。该技术包括确定与网络结构的第一段和网络结构的第二段之间的通信相对应的无状态规则。该技术还包括配置控制平面以实施无状态规则。
Description
相关申请
本申请要求2020年10月29日提交的第17/084,453号美国申请的优先权,该申请的所有内容通过引用并入本文。
技术领域
本公开总体涉及段间流量策略的实施,更具体地,涉及由网络结构(networkfabric)控制平面实施段间流量策略。
背景技术
虚拟路由和转发(VRF)技术在诸如企业网络之类的网络中变得越来越普遍。VRF是在互联网协议(IP)网络中使用的技术,其中同时存在于单个路由器内的路由表的多个实例被同时使用。因此,可以在不使用多个路由器的情况下对网络路径进行段。
例如,一个或多个逻辑或物理接口可以属于相应的VRF;术语“VRF”可用于指整个网络的多个段中的一个段。VRF不共享路由表,因此,沿着特定VRF的网络路径路由的IP分组仅在同一VRF上的接口之间转发。例如,VRF可以被认为是相当于第二层虚拟局域网(VLAN)的第三层。网络分段(包括VRF技术和其他类型的分段)是一种将网络划分为多个段的架构方法,每个段作为自己的小网络。这种分段允许网络管理员基于可由边界路由器和/或防火墙实施的粒度策略来控制段之间的流量。
利用VRF技术的企业网络可以部署有至少一个防火墙,用于调节例如企业网络中的VRF之间的通信,并用于调节其它数据流量(包括例如去往/来自企业网络外部的数据流量)。
例如,网络结构可能不允许VRF间通信。相反,可以使用外部防火墙和/或融合路由器来调节VRF间通信。例如,融合路由器可以连接到感知VRF的路由器,融合路由器的接口在公共VRF(通常为默认VRF)中,而感知VRF的路由器在可能发生VRF间通信的所有VRF中具有接口。此外,防火墙可以应用防火墙策略(例如,阻止或允许策略例外中未指定的某些类型的网络流量的策略),从而为VRF间的通信提供安全保障。防火墙和融合路由器可以向网络通告所需的路由,以吸引相关流量并对该流量应用防火墙策略,该流量包括VRF间通信。
伴随着VRF技术,软件定义的访问(Software Defined Access,SDA)技术也变得越来越普遍。例如,SDA可用于更常使用移动设备来访问企业网络资源的环境中。通过SDA,可以安全地提供这种访问。但是,由于外部设备(例如,防火墙和融合路由器)的数量和能力以及可能被用来处理这些数量较大的移动设备和网络段的复杂配置,经由一个或多个防火墙和一个或多个外部路由器来实现策略实施变得更加具有挑战性和昂贵。
附图说明
下面参考附图来阐述详细描述。在附图中,附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。在附图中描绘的系统未按比例绘制,并且在附图中的组件可能彼此未按比例绘制。
图1是示出示例网络的架构图,企业结构控制平面在该示例网络中配置无状态防火墙策略。
图2是示出另一示例网络的架构图,企业结构控制平面在该示例网络中配置无状态防火墙策略。
图3是示出企业结构控制平面配置无状态防火墙策略的示例的数据和时序流的流程图。
图4是示出企业结构控制平面配置无状态防火墙策略的示例的数据和时序流的流程图,其中外部防火墙通告选定的前缀以吸引来自企业结构的选定VN流量。
图5是示出可以配置网络结构中的网络结构控制平面的示例过程的流程图,其中无状态防火墙策略应用于网络结构内的段间通信。
图6是示出网络结构控制平面对段间网络流量应用策略的过程的流程图。
图7示出了能够执行用于实现本文描述的功能的程序组件的计算机的示例计算机架构。
具体实施方式
概览
在独立权利要求中阐述了本发明的各方面,并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
本公开描述了用于在网络结构中操作网络结构控制平面的技术。该技术包括确定与网络结构的第一段和网络结构的第二段之间的通信相对应的无状态规则。该技术还包括配置网络结构控制平面以实施无状态规则。
另外,本文描述的技术可由具有存储计算机可执行指令的非暂态计算机可读介质的系统和/或设备执行,这些计算机可执行指令在由一个或多个处理器执行时执行本文描述的方法。
示例实施例
RFC 6830(“The Locator/ID Separation Protocol(LISP)”,日期为2013年1月)中定义的定位符/ID分离协议是互联网协议的路由和寻址架构。LISP路由架构解决了与缩放、多宿主、站点间流量工程和移动性有关的问题。互联网上的地址将位置(设备如何附接到网络)和身份语义结合在单个32位(IPv4地址)或128位(IPv6地址)的数字中。LISP将位置与身份分开。简单来说,通过LISP,设备在网络中的位置(网络层定位符)可以改变,但是设备在网络中是谁(网络层标识符)保持相同。LISP将终端用户设备标识符与由其他人用来到达它们的路由定位符分开。LISP路由架构设计将设备身份(即,端点标识符(EID))与它的位置(即,路由定位符(RLOC))分开。
LISP控制平面与域名系统(DNS)具有相似性。例如,DNS将设备的主机名解析为IP地址,使得其它设备可以通过IP网络与该设备进行通信。另一方面,LISP将EID解析为RLOC。对于传统的IP路由来说,在路由表中填充有IP前缀。LISP不用EID前缀来填充路由表。相反,LISP使用分布式映射系统,其中,EID被映射到RLOC。这些映射被存储在分布式的EID到RLOC数据库中。当入口隧道路由器(ITR)需要找到RLOC地址时,它向LISP协议的映射系统发送映射请求查询。通常,LISP协议在虚拟网络(VN)或VRF或“LISP实例”的情景中工作。VN/VRF通常彼此隔离,使得一个VN/VRF中的端点不能与另一个VN/VRF中的端点进行通信。LISP外联网实现了这种通信,例如允许在提供商VN/VRF和订阅者VN/VRF之间共享服务。订阅者VN/VRF可与提供商VN/VRF进行通信,但是一个订阅者VN/VRF通常不能与另一订阅者VN/VRF进行通信。
在一些示例中,不同VRF的订阅者可与VRF提供商进行通信,但是不同VRF的订阅者不能彼此通信。本文公开的技术可以在企业网络结构中提供VRF/VN/组间的防火墙策略实施,例如通过增强现有的LISP协议及其VRF间通信能力,如果SDA结构控制平面配置有允许这种VRF间通信的策略,则VRF间通信能力可以例如使得一个VRF的订阅者与另一VRF的订阅者进行通信。例如,该策略可以是无状态防火墙策略,使得可以基于单个分组的内容来实施该策略,而不参考在该单个分组之前的分组的内容或在该单个分组之后的分组的内容。例如,策略可以参考该单个分组中的源IP地址和目的地IP地址。SDA结构控制平面可以基于该策略并且基于该单个分组中的源IP地址和目的地IP地址,确定SDA结构控制可以允许将该分组从分配了源IP地址的设备传送到分配了目的地IP地址的设备。SDA结构控制平面在处理策略中可以使用的其他信息的示例可以包括每分组传输控制块(TCB)信息或网络报头信息。
在一种示例中,企业结构(例如SDA结构控制平面)通过增强现有LISP协议及其VRF间通信能力来处理VRF/VN/组间防火墙策略实施,而不消耗昂贵的路由器访问控制列表(ACL)或三元内容可寻址存储器(TCAM)资源。如上所述,LISP协议在RFC 6830中定义。增强可以包括至少两种场景。在第一种场景中,防火墙(通常在SDA结构外部)通告特定前缀以吸引来自企业中连接到SDA结构的设备的VN间流量。在第二种场景中,防火墙通告默认0/0路由,以吸引来自企业的所有VN流量。
根据LISP协议,SDA结构使用映射服务器/映射解析器(MSMR)来实施VN/VRF间策略,如以下示例所示:
外联网ext1
eid-记录-提供商实例-id 3(VRF-提供商)
30.0.0.0/8
ip-任何
!
eid-记录-订阅者实例-id 1(VRF-A)
10.0.0.0/8
ip-任何
!
eid-记录-订阅者实例-id 2。(VRF-B)
20.0.0.0/8
ip-任何
!
...
!
因此,例如,订阅者VRF-A和订阅者VRF-B可以各自与VRF提供商进行通信。然而,订阅者VRF-A和订阅者VRF-B不能彼此通信,因为根据LISP协议,不允许VRF间的订阅者到订阅者的通信。此外,具有“ip-任何”的现有外联网策略允许学习策略中的新前缀(如果那些前缀在MSMR上的实例/VRF中被注册的话)。此外,该策略不允许同时在不同VRF中学习任何重叠的前缀。
本公开描述了用扩展策略对现有LISP策略进行扩展,其示例如下:
外联网ext1
eid-记录-提供商实例-id 3
.....
!
eid-记录-订阅者实例-id 1
10.0.0.0/8
ip-任何
服务<id>{s2s/防火墙}实例2
[<前缀>/所有/ip-任何]
!
eid-记录-订阅者实例-id 2
20.0.0.0/8
ip-任何
服务<id>{s2s/防火墙}实例1
[<前缀>/所有/ip-任何]
!
在策略中插入s2s/防火墙服务的以下行将允许订阅者VRF-A(实例-id1)与VRF-B(实例-id 2)进行通信。
服务<id>{s2s/防火墙}实例2
[<前缀>/所有/ip-任何]
以及
服务<id>{s2s/防火墙}实例1
[<前缀>/所有/ip-任何]
VRF间通信可以针对:
·“Ip-任何”:两个VRF之间的任何“学习过的”VRF间前缀。
·“所有”:允许VRF间(两个VRF)的所有前缀经由策略进行通信。
·“已配置”:允许VRF间的给定/已知<前缀>经由策略进行通信。
因此,例如,SDA结构控制平面可以动态地/自动地学习由跨VRF防火墙实施的无状态策略的“所有”前缀,而防火墙仍然可以实施针对互联网流量的策略和/或其它有状态策略。例如,由于现有的外联网策略,SDA结构控制平面的MSMR可能已经知道和/或学习被允许与提供商VRF对话的每个订阅者VRF的所有单独前缀(例如,在上面的示例配置中,针对VRF-A为10/8,针对VRF-B为20/8)。
因此,例如,防火墙可以向SDA结构的边界发送0/0路由。因此,边界路由器可以针对s2s/防火墙服务经由默认代理入口/出口隧道路由器(PxTR)注册将0/0路由注册到MSMR。PxTR可以是同一物理设备中的代理入口隧道路由器(PITR)和代理出口隧道路由器(PETR)的组合,其中,PITR和PETR之间的区别在于,基于流量(flow)的方向具有解封装或封装功能。
PITR允许非LISP站点向LISP站点发送分组。PITR执行两个主要功能。一个主要功能是发起EID通告。PITR代表LISP站点向非LISP站点通告高度聚集的EID前缀空间,使得非LISP站点可以到达它们。另一个主要功能是封装传统的(legacy)互联网流量。PITR将非LISP互联网流量封装到LISP分组中,并将它们路由到它们的目的地RLOC。PETR用于允许从LISP站点到非LISP站点的流量。PETR对来自LISP站点、目的地为非LISP站点的流量起着ETR的作用。
由于边界路由器针对s2s/防火墙服务经由默认代理入口/出口隧道路由器注册将0/0路由注册到MSMR,MSMR可以形成VRF间通信的所有前缀的完整前缀列表。因此,MSMR本身可以针对所有前缀建立和应用VRF间策略,从结构中的防火墙/融合路由器卸载该处理。
由于s2s/防火墙默认-etr的注册,外部防火墙仍然可以对互联网流量实施策略。这包括将默认PETR注册到MSMR。这将允许MSMR将入口隧道路由器上的所有未知/互联网流量重新引导至该注册的PETR。也就是说,PETR通过ETR和MSMR将具有LISP能力的站点连接到不具有LISP能力的核心网络(例如互联网),ETR和MSMR发布站点的EID到RLOC映射,响应映射请求消息,以及将LISP封装的用户数据解封装和递送到站点处的终端系统。在操作期间,ETR向其所有已配置的MSMR发送周期性映射注册消息。这些映射注册消息包含所有经EID编号的网络的EID到RLOC条目,这些经EID编号的网络连接到ETR站点。
例如,收到映射请求消息的ETR验证该请求是否与该ETR具有权威性的EID相匹配,构建包含该ETR的配置的映射信息的适当的映射应答消息,并将该消息发送至ITR(该ITR的RLOC被列在映射应答消息中)。收到经LISP封装的分组(被引导到其多个RLOC中的一者)的ETR对分组解封装,验证内部报头是以其站点处的经EID编号的终端系统为目的地的,然后使用站点内部路由将分组转发给终端系统。
根据另一场景,SDA结构控制平面可以动态地/自动地学习由跨VRF防火墙实施的无状态策略的特定前缀。对于跨VRF通信,防火墙通告从一个VRF到其他VRF的流量的特定前缀(或反之),例如从VRF-A到VRF-B的流量(或反之)。然后,这些前缀可以在边界路由器处以LISP被导入路由,从而被边界路由器注册到MSMR。由于现有的VRF间/外联网策略在所有订阅者VRF中都有“IP-任何”,这些注册的前缀(来自防火墙通告)将试图被添加到现有的VRF间/外联网策略中。这些进入的VRF间前缀可能与策略中的VRF自己的前缀重叠,并且可能被拒绝,因为根据某些策略条件,“重叠”可能不被允许。然而,MSMR可以识别进入策略的这些重叠前缀,并且由于“新的/建议的/修改的策略”具有ip-任何作为“服务s2s/防火墙”的一部分,所以在MSMR中将这些前缀作为防火墙前缀来学习。
一旦MSMR学习了这些前缀,就可以将所学习的前缀提供给DNAC/控制器,以使这些前缀成为“已配置的前缀”。一旦DNAC将这些前缀配置给MSMR,MSMR就可以实施VRF间策略,而无需借助结构中的防火墙进行VRF间通信。例如,该过程可以仅允许选择性的前缀在订阅者VRF间通信,从而允许外部防火墙可能以其他方式提供的那种应用无状态策略的控制。
图1是示出示例网络100的架构图,企业结构控制平面在该示例网络100中配置无状态防火墙策略。网络100包括企业结构102,企业结构102可以是例如包括VRF-A和VRF-B的SDA网络。网络100包括边界路由器104和边界路由器106。网络100还包括边缘路由器108和边缘路由器110。企业结构102还包括一个或多个MSMR 112;企业结构102的控制平面至少包括MSMR 112。MSMR 112包括无状态防火墙策略113。
VRF-A的订阅者114经由边界路由器104耦合到企业结构102。VRF-B的订阅者116经由边界路由器104耦合到企业结构102。VRF-A的订阅者118经由边缘路由器108耦合到企业结构102。VRF-B的订阅者120经由边缘路由器108耦合到企业结构102。VRF-A的订阅者122经由边缘路由器110耦合到企业结构102。VRF-A的订阅者124经由边缘路由器110耦合到企业结构102。
企业结构102经由边界路由器106以及经由外部路由器128耦合到诸如外联网之类的VRF提供商子网126。企业结构102经由边界路由器106以及经由外部路由器130耦合到WAN分支130。
企业结构102经由边界路由器104以及经由外部路由器134耦合到防火墙132。防火墙132经由外部路由器138耦合到互联网(VRF-外部)。
为了便于由企业结构控制平面(包括通过MSMR 112)对VRF间的通信进行控制,防火墙132经由外部路由器134和边界路由器104向企业结构102发送0/0路由。边界路由器104监视0/0路由器,并针对s2s/防火墙服务生成默认的代理入口/出口隧道路由器(PxTR)注册。因此,MSMR 112形成VRF间通信的所有前缀的完整前缀列表。由于外联网(extranet)策略,MSMR 112已经知道和/或学习了被允许与VRF-提供商子网126通信的每个订阅者VRF的所有个体前缀。
以这种方式,MSMR 112为所有前缀构建并应用VRF间策略,以卸载用于VRF间通信的无状态策略应用。防火墙132和/或企业结构102中的边界路由器可能以其他方式对这种VRF间流量应用无状态策略。由于订阅者到订阅者(s2s)默认-etr注册,互联网流量仍然可以由外部防火墙132检查。
图2是示出另一示例网络200的架构图,企业结构控制平面在该示例网络200中配置无状态防火墙策略。网络200包括企业结构202,企业结构202可以是例如包括VRF-A和VRF-B的SDA网络。网络200包括边界路由器204和边界路由器206。网络200还包括边缘路由器208和边缘路由器210。企业结构202还包括一个或多个MSMR 212;企业结构202的控制平面至少包括MSMR 212。MSMR 212包括无状态防火墙策略213。
VRF-A的订阅者214经由边界路由器204耦合到企业结构202。VRF-B的订阅者216经由边界路由器204耦合到企业结构202。VRF-A的订阅者218经由边缘路由器208耦合到企业结构202。VRF-B的订阅者220经由边缘路由器208耦合到企业结构202。VRF-A的订阅者222经由边缘路由器210耦合到企业结构202。VRF-A的订阅者224经由边缘路由器210耦合到企业结构202。
企业结构202经由边界路由器206以及经由外部路由器228耦合到诸如外联网之类的VRF提供商子网226。企业结构202经由边界路由器206以及经由外部路由器230耦合到WAN分支230。
企业结构202经由边界路由器206以及经由外部路由器228耦合到诸如外联网之类的VRF提供商子网226。企业结构202经由边界路由器206以及经由外部路由器240和外部路由器242耦合到WAN分支230。
对于VRF间通信,防火墙238将VRF-A的特定前缀通告到VRF-B(或反之亦然)。在图2的示例中,VRF-A前缀(20.1.1.0/24)和VRF-B前缀(10.1.1.0/24)中的每个都有一个。然后,VRF-A前缀和VRF B前缀在边界路由器204处以LISP被导入路由,因此,边界路由器204将VRF-A和VRF-B的前缀注册到MSMR 212。跨VRF/外联网的策略在所有订阅者VRF中都有“ip-任何”,因此MSMR 212将尝试通过将前缀(来自防火墙通告)添加到现有的VRF/外联网间的策略中来注册前缀。进入的VRF间前缀可能与策略中的VRF自己的前缀重叠,并且MSMR 212可以拒绝它们,因为“重叠”的前缀可能不被允许。
然而,MSMR 212可以基于例如具有ip-任何作为“服务s2s/防火墙”的一部分的“新的/建议的/经修改的策略”来识别重叠的前缀。MSMR 212可以将这些前缀作为防火墙前缀来学习,并且一旦MSMR 212学习了这些前缀,就可以用这些前缀配置MSMR 212,并且MSMR212无需防火墙238就可以实施VRF间策略。例如,前缀可以被传送到中央控制器以使这些前缀成为“已配置的前缀”,并且中央控制器可以在结构中用这些前缀配置MSMR 212,以便进行VRF间通信。
以这种方式配置MSMR 212可以仅允许所选前缀跨订阅者VRF进行通信,从而允许防火墙提供的这种无状态控制。
图3是示出企业结构控制平面配置无状态防火墙策略的示例的数据和时序流的流程图。外部防火墙通告默认的0/0路由以吸引来自企业结构的所有VN流量。网络包括中央管理控制器302。中央管理控制器302可以例如提供具有单个操控板的控制器和分析平台,以便管理员从集中位置配置网络。该网络还包括映射数据库前端,其在图3的示例中是LISPMSMR。该网络还包括边界路由器306,防火墙308可以经由该边界路由器306访问企业结构。第一主机310(Host1)属于具有前缀10.1.1.1的VRF。第一主机310经由外部路由器312(xTR1)耦合到企业结构。外部路由器314(xTR2)将属于具有前缀20.1.1.1的VRF的第二主机316(Host2)耦合到企业结构。
在352处,中央管理控制器302与MSMR 304进行通信。具体地说,中央管理控制器302向MSMR 304提供消息,以配置服务S2S/防火墙策略来将(“所有”)订阅者1到订阅者2防火墙前缀作为外联网策略的一部分来学习。也就是说,中央管理控制器302向MSMR 304提供消息以配置防火墙308来学习所有订阅者1到订阅者2前缀作为外联网策略的一部分。
此时,MSMR 304的外联网策略表知道所有订阅者前缀,因为10/8和20/8已经是订阅者VRF-A(10/8子网)和VRF-B(20/8子网)的一部分。MSMR 304自动将VRF间前缀\n(VRF-B中的10/8和VRF-A中的20/8)添加到相对应的VRF的服务策略表中(因为服务策略具有“所有”)。
在354处,中央管理控制器302用带有s2s/防火墙服务的LISP“默认-ETR”来配置边界路由器306,以监视由防火墙308通告的0/0路由器。
在356处,防火墙308向边界路由器306通告VRF-A和VRF-B\n中的0/0路由,以吸引所有VRF流量。
同时,边界路由器306监视0/0路由并将路由注册到MSMR 304。也就是说,在358处,边界路由器306向MSMR 304提供默认-etr的映射注册,该映射注册带有防火墙/s2s服务。该注册可以不被提供给MSMR 304的站点注册表,而是可以作为服务RLOC或默认-服务-etr进入默认-etr/互联网策略表。
在360处,主机1(10.1.1.1)与xTR1(VRF-A)312进行通信。xTR1(VRF-A)312从子网10/8中的源主机1 310接收流量,去往20/8中的目的地(主机2 316)。
在362处,xTR1(VRF-A)312与MSMR 304进行通信,以提供对子网20/8中的目的地的映射请求。MSMR 304首先在它自己的实例表中查找,然后是外联网表,然后是源实例的服务策略表,在s2s/防火墙服务策略表中找到了目的地20/8子网地址。
在364处,MSMR与xTR1(VRF-A)312进行通信。也就是说,如果s2s/防火墙策略允许10/8到20/8的通信,则MSMR 304映射用xTR2RLOC来应答。否则,MSMR映射以“放弃”的否定映射应答来应答。这表明,如果所配置的服务是“s2s”,则防火墙308可能不参与VRF间的流量(traffic)。如果已配置的服务是“防火墙”,则MSMR 304发送常规映射应答,用xTR2作为RLOC。MSMR 304发送常规映射应答,用注册的服务-默认-etr(边界)作为RLOC。
在366处,xTR1(VRF-A)312与MSMR 304进行通信,提供对互联网目的地的映射请求。
在368处,MSMR 304与xTR1(VRF-A)312进行通信。MSMR 304映射用服务-默认-etr作为RLOC来应答(UMR或否定映射应答),因为目的地未在本地VRF中找到并且未在外联网策略表中找到,而是在本地VRF的默认-etr/互联网表中的服务_默认_etr中找到。同时,xTR1(VRF-A)312接收带有边界RLOCC的映射应答,将其安装到映射缓存中,并将封装的分组发送到边界路由器306(或服务-默认-etr)。
在370处,xTR1(VRF-A)312向边界路由器306提供封装的流量。在372处,边界路由器306对该流量进行解封装并将互联网流量发送到防火墙308。如果防火墙308中的策略允许,则防火墙308允许互联网流量被发送到互联网。
在374处,防火墙308与边界路由器306进行通信以撤消0/0路由。
在376处,边界路由器306与MSMR 304进行通信以向s2s/防火墙取消默认-etr的注册。经由s2s/防火墙的流量不会影响这种对注册的取消。
如图3的流程图所示,MSMR 304可以处理无状态防火墙策略,从而减少防火墙308对VRF间流量的验证的参与。
图4是示出企业结构控制平面配置无状态防火墙策略的示例的数据和时序流的流程图。外部防火墙通告选定的前缀以吸引来自企业结构的选定VN流量。
与图3中示出的流程图的网络类似,图4中示出的流程图的网络包括中央管理控制器402。中央管理控制器402可以例如提供具有单个操控板的控制器和分析平台,以便管理员从集中位置配置网络。该网络还包括映射数据库前端,其在图4的示例中是LISP MSMR。该网络还包括边界路由器406,防火墙408可以经由该边界路由器406访问企业结构。第一主机410(Host1)属于具有前缀10.1.1.1的VRF。第一主机410经由外部路由器412(xTR1)耦合到企业结构。外部路由器414(xTR2)将第二主机416(Host2)耦合到企业结构,该主机属于具有前缀20.1.1.1的VRF。
在452处,中央管理控制器402与MSMR 404进行通信。具体地说,中央管理控制器402向MSMR 404传送消息,使MSMR 402配置s2s/防火墙服务策略,以将(“ip-任何”)订阅者1(VRF-A子网10/8)到订阅者2(VRF-B子网20/8)防火墙策略作为动态外联网策略的一部分来学习。
在454处,中央管理控制器402与边界路由器406进行通信,以配置边界路由器406,用于特定前缀的一种LISP“路由-导入”,该特定前缀经由防火墙408通告。
在456处,防火墙408向边界路由器406通告VRF间前缀(VRF-B中的10/8和VRF-A中的20/8)。由防火墙408对VRF间前缀的通告是为了吸引VRF间流量。至少部分地基于由防火墙408对VRF间前缀的通告,边界路由器406导入VRF间前缀(VRF-B中的10/8和VRF-A中的20/8),以将这些VRF间前缀注册到MSMR 404。
在458处,边界路由器406与MSMR 404进行通信。具体地说,边界路由器406向MSMR404提供VRF间前缀的映射注册(VRF-B中的前缀10/8和VRF-A中的前缀20/8)。MSMR 404针对相对应的VRF将VRF间前缀添加到MSMR 404的站点注册表,并且还为外联网策略表提供VRF间前缀。MSMR 404至少部分地由于在s2s/防火墙服务策略中使用“ip-任何”而为外联网策略表提供VRF间前缀。同时,MSMR 404的外联网策略表检测到前缀为重叠前缀,因为VRF-A的10/8前缀和VRF-B的20/8前缀是如重叠前缀的前缀(因为10/8和20/8已经是VRF-A和VRF-B的一部分)。此外,MSMR 404的外联网策略表接受并在外联网s2s/防火墙服务策略中“学习”重叠前缀(防火墙策略前缀)。
在460处,MSMR 404通知中央管理控制器402,MSMR已经学习了用于VRF间通信的前缀的政策,并且MSMR 404还向中央管理控制器402表明所学习的前缀。
在462处,中央管理控制器402用所学习的策略将MSMR 404配置为“已配置”,使得所学习的前缀中的VRF间流量可以由MSMR 404来验证,而不是由防火墙408来验证。
在464处,中央管理控制器402针对VRF间策略停用防火墙408,至少因为MSMR 404被配置以实施VRF间策略。
在466处,防火墙与边界路由器406进行通信以从边界路由器406撤回VRF间路由,并且在468处,边界路由器406与MSMR 404进行通信以取消VRF间前缀的注册。
在470处,主机1(10.1.1.1)410向外部路由器412xTR1(VRF-A)发送流量。更具体地,外部路由器412xTR1(VRF-A)从子网10/8中的源主机1 410接收到子网20/8中的目的地主机2 412的流量。
在472处,外部路由器412xTR1(VRF-A)与MSMR 404进行通信,以请求VRF-B(20/8)中的目的地的映射。MSMR 404在自己的实例表中查找,然后在外联网表中查找,然后在源实例的服务策略表中查找。MSMR在s2s/防火墙策略表中找到了VRF-B 20/8子网地址。
在474处,如果s2s/防火墙策略允许10/8到20/8的VRF间通信,则MSMR 404与外部路由器412xTR1(VRF-A)进行通信,以用外部路由器414xTR2(VRF-B)的RLOC来映射应答。否则,MSMR以“放弃”的否定映射应答来应答。在这种情况下,MSMR 404应用无状态防火墙策略,并且防火墙408本身不需要应用该无状态防火墙策略。
外部路由器412xTR1(VRF-A)用外部路由器414xTR2 RLOC接收映射应答,它将该应答安装在其映射缓存中,它根据VRF间策略将该应答安装在其映射缓存中。
在476处,外部路由器412xTR1(VRF-A)向外部路由器414xTR2(VRF-B)发送封装的流量。在478处,外部路由器414对流量进行解封装并将经解封装的分组发送到主机2(20.1.1.1)416。
如由图4的流程图所示,MSMR 404可以处理无状态防火墙策略,从而减少防火墙308对VRF间流量的验证的参与。
图5是示出一种示例过程的流程图,利用该过程可以用无状态防火墙策略配置网络结构中的网络结构控制平面,以应用于网络结构内的段间通信。网络结构控制平面可以包括计算机,该计算机具有一个或多个处理器以执行操作,这些操作包括对网络结构内的段间通信应用无状态防火墙策略。例如,在根据LISP协议操作的网络结构中,网络结构控制平面可以包括MSMR,MSMR被配置为进行将消息中的源和/或目的地指示转换为标识符等操作,这些标识符可用于通过网络路由消息。
在502处,网络结构控制平面从服务路由器接收消息,该服务路由器被耦合到防火墙服务以用于通信。该消息至少部分地由来自防火墙服务的防火墙通告产生,以吸引网络结构的第一段和网络结构的第二段之间的通信。例如,防火墙可以是被配置以基于一组安全规则来监视网络流量并允许或阻止数据分组的标准防火墙。
在504处,网络结构控制平面确定与网络结构的第一段和网络结构的第二段之间的通信相对应的无状态规则。例如,网络结构控制平面可以处理从防火墙接收到的消息,并根据防火墙配置有的策略来确定允许第一段和第二段之间的通信。
在506处,如由从防火墙接收到的并由网络结构控制平面处理的消息所指示的,网络结构控制平面配置有允许第一段和第二段之间的通信的策略。例如,网络结构控制平面可以用指示在第一段和第二段之间允许通信的无状态防火墙策略来配置网络结构控制平面的外联网策略表。
结果,网络结构控制平面可以被配置以对段间网络流量应用策略,从而减少防火墙服务对段间网络流量的验证的参与。
配置有用于段间网络流量的策略的网络结构控制平面可以在防火墙服务尽可能少参与或无参与的情况下应用策略。例如,图6是示出网络结构控制平面对段间网络流量应用策略的过程的流程图。
在602处,网络结构控制平面接收源自第一结构段并去往第二结构段的消息。例如,网络结构控制平面可以是根据LISP协议操作的网络结构的MSMR。
在604处,网络结构控制平面应用策略以确定是否允许将消息提供给第二结构段。该策略例如可以是无状态防火墙策略,网络结构控制平面配置有该无状态防火墙策略。网络结构控制平面可能已经学习了无状态防火墙策略,因为外部防火墙服务对路由进行通告以吸引段间网络流量。
虽然网络结构控制平面可以包括根据LISP协议操作的网络结构的MSMR,但是本文描述的技术不限于根据LISP协议操作的网络结构。例如,LISP协议根据“拉”模式来操作,其中,用于转发分组(即,映射)的信息是按需获得的。诸如边界网关协议(BGP)之类的其它协议根据“推”模式来操作,其中,在需要路由信息的时间之前向网络设备通告路由信息。本文描述的技术适用于LISP协议以外的拉模式协议。此外,本文描述的技术适用于推模式协议,例如:具有集中式路由器反射器的BGP EVPN、以及具有像MSMR这样的集中式实体的其他推模式协议。
图7示出了能够执行用于实现上述功能的程序组件的计算机700的示例计算机架构。图7示出的计算机架构示出了服务器计算机、工作站、台式计算机、膝上型计算机、平板计算机、网络设备、电子阅读器、智能电话或其它计算设备的架构,并且可用于执行本文所呈现的任何软件组件。在一些示例中,计算机700可以与本文所讨论的网络基础设施设备相对应。
计算机700包括基板702或“主板”,该基板是可以通过系统总线或其他电通信路径将众多组件或设备连接到其上的印刷电路板。在说明性配置中,一个或多个中央处理单元(CPU)704与芯片组706一起操作。CPU 704例如可以是执行计算机700的操作所必需的算术和逻辑操作的标准可编程处理器。
CPU 704通过从一个离散的物理状态转换到下一个状态来执行操作,进行的转换是通过对区分和改变这些状态的开关元件进行操纵。开关元件一般包括:维持两个二进制状态之一的电子电路(例如,触发器)、以及基于一个或多个其他开关元件(例如,逻辑门)的状态的逻辑组合来提供输出状态的电子电路。这些基本的开关元件可以组合以创建较复杂的逻辑电路,包括寄存器、加法器-减法器、算术逻辑单元、浮点单元等。
芯片组706在CPU 704和基板702上的其余组件与设备之间提供接口。芯片组706可以提供到RAM 708的接口,RAM 708用作计算机700中的主存储器。芯片组706还可以提供到计算机可读存储介质(例如,只读存储器(ROM)710或非易失性RAM(NVRAM)的接口,以存储有助于启动计算机700和在各种组件和设备之间传输信息的基本例程。ROM 710或NVRAM还可以存储根据本文描述的配置的计算机700的操作所必需的其他软件组件。如图7所示,ROM710或NVRAM还可以存储可由计算机700使用的数据,以生成和/或处理在计算机700和其它设备之间交换的消息中的证明信息。在其它示例中,该数据可存储在其它地方,例如存储在RAM 708中。
计算机700可以在网络环境中操作,通过网络来使用连接到远程计算设备和计算机系统的逻辑连接。例如,芯片组706可以包括通过网络接口控制器(NIC)712(例如,千兆以太网适配器)提供网络连接的功能。NIC 712可以通过网络将计算机700连接到其它计算设备。应当理解,在计算机700中可以存在多个NIC 712,从而将计算机连接到其他类型的网络和远程计算机系统。在一些情况下,NIC 712可以包括至少一个入口和/或至少一个出口。可以为其它类型的输入/输出提供输入/输出控制器716。
计算机700可以连接到为计算机提供非易失性存储的存储设备718。存储设备718例如可以存储操作系统720、程序722和数据724。存储设备718可以通过连接到芯片组706的存储控制器714来连接到计算机700。存储设备718可以包括一个或多个物理存储单元。存储控制器714可以通过以下接口来与物理存储单元连接:串行附接SCSI(SAS)接口、串行高级技术附件(SATA)接口、光纤通道(FC)接口、或用于在计算机和物理存储单元之间进行物理连接和传输数据的其他类型的接口。
数据724例如可以包括用于由网络结构控制平面在网络结构中进行段间通信的无状态策略。无状态策略例如可以包括源前缀指示和目的地前缀指示,分别用于第一段中的源订阅者设备和第二段中的目的地订阅者设备,为此,该策略指示可以允许源订阅者设备和目的地订阅者设备之间的通信,以在网络结构中进行段间通信。作为网络结构控制平面的一部分,计算机可以应用用于段间通信的无状态策略,以在网络结构内进行通信。
计算机700可以通过转换物理存储单元的物理状态以反映所存储的信息来将数据存储在存储设备718上。在本说明书的不同实施例中,物理状态的具体转换可以取决于各种因素。这些因素的示例可以包括但不限于:用于实现物理存储单元的技术、存储设备718是否被表征为主要存储装置或辅助存储装置等。例如,计算机700可以通过经由存储控制器714发出指令来改变磁盘驱动单元中特定位置的磁特性,光学存储单元中特定位置的反射或折射特性,或固态存储单元中特定电容器、晶体管或其他离散元件的电特性,从而将信息存储到存储设备718。在不脱离本说明书的范围和精神的情况下,物理介质的其他转换是可能的,提供上述示例只是为了便于本说明书的描述。计算机700可以通过检测物理存储单元中的一个或多个特定位置的物理状态或特性来进一步从存储设备718读取信息。
除了上述存储设备718之外,计算机700可以访问其他计算机可读存储介质(例如,程序模块、数据结构)来存储和检索信息或其他数据,其他数据包括用于生成和/或处理证明信息的数据。本领域技术人员应当理解,计算机可读存储介质是提供数据的非暂态存储并且可以由计算机700访问的任何可用介质。
总之,本公开描述了在网络结构中操作控制平面的技术。该技术包括确定与网络结构的第一段和网络结构的第二段之间的通信相对应的无状态规则。该技术还包括配置控制平面以实施无状态规则。
虽然本发明是关于特定实施例来描述的,但是应当理解,本发明的范围不限于这些特定实施例。因为为适应特定的操作要求和环境而改变的其他修改和改变对于本领域技术人员来说是显而易见的,所以本发明不被认为仅限于为公开目的而选择的示例,而是包括不构成对本发明的真正精神和范围的偏离的所有改变和修改。
虽然本申请描述了具有特定结构特征和/或方法动作的实施例,但是应当理解,权利要求并不一定限于所描述的特定特征或动作。相反,特定特征和动作仅仅是说明落入本申请的权利要求范围内的一些实施例。
Claims (22)
1.一种在网络结构中操作控制平面的方法,所述方法包括以下操作:
确定与所述网络结构的第一段和所述网络结构的第二段之间的通信相对应的无状态规则;以及
对所述控制平面进行配置,以实施所述无状态规则。
2.根据权利要求1所述的方法,还包括以下操作中的至少一者:
将防火墙服务配置为不实施所述无状态规则、或者将所述防火墙服务配置为与所述控制平面协调以实施所述无状态规则或有状态规则中的至少一者。
3.根据权利要求1或2所述的方法,还包括:
由所述控制平面从服务路由器接收消息,该服务路由器被耦合到所述防火墙服务以便通信,所述消息至少部分来自所述防火墙服务的防火墙通告,以吸引所述网络结构的第一段和所述网络结构的第二段之间的通信;以及
对所述控制平面进行配置以实施所述无状态规则包括:对所述控制平面进行配置,以根据所述消息允许所述网络结构的第一段和所述网络结构的第二段之间的所述通信。
4.根据权利要求3所述的方法,其中:
所述防火墙通告包括特定前缀的指示,以吸引来自与所述特定前缀相关联的至少一个订阅者的段间通信。
5.根据权利要求3所述的方法,其中:
所述防火墙通告包括任意前缀的指示,以吸引来自与任意前缀相关联的至少一个订阅者的段间通信。
6.根据权利要求1至5中任一项所述的方法,还包括:
用所述无状态规则配置所述控制平面,以作为外网策略的至少一部分。
7.根据权利要求1至6中任一项所述的方法,其中:
配置所述控制平面包括用与所述第一段相关联的第一网络层前缀和与所述第二段相关联的第二网络层前缀来配置所述控制平面的站点注册表。
8.根据权利要求1至7中任一项所述的方法,其中:
所述网络结构是定位符ID分离协议(LISP)类型;以及
所述控制平面至少包括映射服务器/映射解析器(MSMR)。
9.根据权利要求1至8中任一项所述的方法,其中:
所述网络结构是BGP EVPN类型;以及
所述控制平面至少包括集中式路由反射器。
10.一种在网络结构中操作控制平面的方法,所述方法包括以下操作:
由所述控制平面接收源自第一结构段并去往第二结构段的消息;以及
由所述控制平面应用策略,以确定是否允许将所述消息提供给所述第二结构段。
11.根据权利要求10所述的方法,还包括:
用所述策略对所述控制平面进行配置。
12.根据权利要求10或11所述的方法,其中,所述策略包括所述第一结构段的指示和所述第二结构段的指示。
13.一种控制平面,包括:
一个或多个处理器;以及
一种或多种非暂态计算机可读介质,存储计算机可执行指令,所述计算机可执行指令当由所述一个或多个处理器执行时,使得所述一个或多个处理器执行以下操作:
确定与网络结构的第一段和所述网络结构的第二段之间的通信相对应的无状态规则;以及
对所述控制平面进行配置,以实施所述无状态规则。
14.根据权利要求13所述的控制平面,所述操作还包括以下项中的至少一者:
将防火墙服务配置为不实施所述无状态规则、或者将所述防火墙服务配置为与所述控制平面协调以实施所述无状态规则或有状态规则中的至少一者。
15.根据权利要求13或14所述的控制平面,所述操作还包括:
由所述控制平面从服务路由器接收消息,该服务路由器被耦合到所述防火墙服务以便通信,所述消息至少部分来自所述防火墙服务的防火墙通告,以吸引所述网络结构的第一段和所述网络结构的第二段之间的通信;以及
对所述控制平面进行配置以实施所述无状态规则包括:对所述控制平面进行配置,以根据所述消息允许所述网络结构的第一段和所述网络结构的第二段之间的所述通信。
16.根据权利要求15所述的控制平面,其中:
所述防火墙通告包括特定前缀的指示,以吸引来自与所述特定前缀相关联的至少一个订阅者的段间通信。
17.根据权利要求15所述的控制平面,其中:
所述防火墙通告包括任意前缀的指示,以吸引来自与任意前缀相关联的至少一个订阅者的段间通信。
18.根据权利要求13至17中任一项所述的控制平面,所述操作还包括:
用所述无状态规则配置所述控制平面,以作为外网策略的至少一部分;
配置所述控制平面包括:用与所述第一段相关联的第一网络层前缀和与所述第二段相关联的第二网络层前缀来配置所述控制平面的站点注册表;
所述网络结构是定位符ID分离协议(LISP)类型;以及
所述控制平面至少包括映射服务器/映射解析器(MSMR)。
19.一种在网络结构的控制平面中操作的装置,所述装置包括:
用于确定与所述网络结构的第一段和所述网络结构的第二段之间的通信相对应的无状态规则的模块;以及
用于对所述控制平面进行配置,以实施所述无状态规则的模块。
20.根据权利要求19所述的装置,还包括用于实现根据权利要求2至10中任一项所述方法的模块。
21.一种用于在网络结构中操作控制平面的装置,所述装置包括:
用于由所述控制平面接收源自第一结构段并去往第二结构段的消息的模块;以及
用于由所述控制平面应用策略,以确定是否允许将所述消息提供给所述第二结构段的模块;
可选地,还包括用于实现权利要求11或12所述方法的模块。
22.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时,使所述计算机执行根据权利要求1至12中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/084,453 US11818096B2 (en) | 2020-10-29 | 2020-10-29 | Enforcement of inter-segment traffic policies by network fabric control plane |
| US17/084,453 | 2020-10-29 | ||
| PCT/US2021/057074 WO2022094097A1 (en) | 2020-10-29 | 2021-10-28 | Enforcement of inter-segment traffic policies by network fabric control plane |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116547953A true CN116547953A (zh) | 2023-08-04 |
Family
ID=78806642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180074423.6A Pending CN116547953A (zh) | 2020-10-29 | 2021-10-28 | 由网络结构控制平面实施段间流量策略 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11818096B2 (zh) |
| EP (1) | EP4238279A1 (zh) |
| CN (1) | CN116547953A (zh) |
| WO (1) | WO2022094097A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8560604B2 (en) | 2009-10-08 | 2013-10-15 | Hola Networks Ltd. | System and method for providing faster and more efficient data communication |
| EP4187881A1 (en) * | 2017-08-28 | 2023-05-31 | Bright Data Ltd. | Improving content fetching by selecting tunnel devices grouped according to geographic location |
| US20230269223A1 (en) * | 2022-02-22 | 2023-08-24 | Cisco Technology, Inc. | Secured advertisement of autoconfigured internet protocol prefixes in a cloud environment |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040131059A1 (en) * | 2002-09-19 | 2004-07-08 | Ram Ayyakad | Single-pass packet scan |
| US10015132B1 (en) * | 2015-03-31 | 2018-07-03 | EMC IP Holding Company LLC | Network virtualization for container-based cloud computation using locator-identifier separation protocol |
| US11089064B1 (en) * | 2016-09-12 | 2021-08-10 | Skyhigh Networks, Llc | Cloud security policy enforcement for custom web applications |
| US10630552B2 (en) * | 2017-06-08 | 2020-04-21 | Huawei Technologies Co., Ltd. | Wireless communication access node (WCAN) device based policy enforcement and statistics collection in anchorless communication systems |
| US10652047B2 (en) | 2017-06-19 | 2020-05-12 | Cisco Technology, Inc. | Connectivity to internet via shared services in enterprise fabric based network with LISP control plane |
| US10516544B2 (en) * | 2017-07-13 | 2019-12-24 | Cisco Technology, Inc. | Extranet connectivity in LISP networks |
| US10742512B2 (en) * | 2017-07-24 | 2020-08-11 | Singlewire Software, LLC | System and method for multicast mapping |
| KR101917062B1 (ko) | 2017-11-02 | 2018-11-09 | 한국과학기술원 | 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램 |
| US10826770B2 (en) * | 2018-07-26 | 2020-11-03 | Cisco Technology, Inc. | Synthesis of models for networks using automated boolean learning |
| JP7047660B2 (ja) * | 2018-08-08 | 2022-04-05 | 日本電信電話株式会社 | 通知装置および通知方法 |
| US11201854B2 (en) | 2018-11-30 | 2021-12-14 | Cisco Technology, Inc. | Dynamic intent-based firewall |
| WO2021108789A1 (en) * | 2019-11-29 | 2021-06-03 | Vemulpali Sri Ram Kishore | Intelligent service layer for separating application from physical networks and extending service layer intelligence |
-
2020
- 2020-10-29 US US17/084,453 patent/US11818096B2/en active Active
-
2021
- 2021-10-28 WO PCT/US2021/057074 patent/WO2022094097A1/en active Application Filing
- 2021-10-28 EP EP21815742.8A patent/EP4238279A1/en active Pending
- 2021-10-28 CN CN202180074423.6A patent/CN116547953A/zh active Pending
-
2023
- 2023-09-29 US US18/478,942 patent/US20240031333A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022094097A1 (en) | 2022-05-05 |
| EP4238279A1 (en) | 2023-09-06 |
| US20220141181A1 (en) | 2022-05-05 |
| US11818096B2 (en) | 2023-11-14 |
| US20240031333A1 (en) | 2024-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111742525B (zh) | 多云vpc路由和注册 | |
| CN113574835B (zh) | 多云环境中基于流的按需策略实施的系统和方法 | |
| US11057350B2 (en) | Layer 2 mobility for hybrid multi-cloud deployments without host-overlay | |
| EP2491684B1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
| US10375193B2 (en) | Source IP address transparency systems and methods | |
| US20240031333A1 (en) | Enforcement of inter-segment traffic policies by network fabric control plane | |
| US9838314B1 (en) | Contextual service mobility in an enterprise fabric network environment | |
| US11509581B2 (en) | Flow-based local egress in a multisite datacenter | |
| EP3188422A1 (en) | Traffic black holing avoidance and fast convergence for active-active pbb-evpn redundancy | |
| US11652791B2 (en) | Consolidated routing table for extranet virtual networks | |
| WO2021238746A1 (zh) | 网络系统及其中的报文传输方法和相关装置 | |
| CN116547955A (zh) | 用于使用定向跟踪传播网络状态更新的方法和装置 | |
| US20230291687A1 (en) | Group based classification and policy enforcement for external network traffic | |
| WO2017036384A1 (zh) | 运营商边缘设备及数据转发方法 | |
| US11902166B2 (en) | Policy based routing in extranet networks | |
| US20230179526A1 (en) | Software-defined service insertion for network fabrics | |
| US11888736B2 (en) | Service chaining in fabric networks | |
| CN115865802B (zh) | 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 | |
| US20240137314A1 (en) | Service chaining in fabric networks | |
| CN112769977B (zh) | 一种nat公网地址发布的方法及装置 | |
| US20240031283A1 (en) | Communication method and apparatus | |
| US20230155981A1 (en) | Security group resolution at ingress across virtual networks | |
| WO2023109398A1 (zh) | 一种报文传输方法及装置 | |
| US20240154936A1 (en) | Proxy address resolution protocol for distributed local area network communications | |
| KR20230035673A (ko) | 경로 광고 방법 및 관련 디바이스 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |