CN116996387A - 一种网络意图挖掘方法、装置及相关设备 - Google Patents

一种网络意图挖掘方法、装置及相关设备 Download PDF

Info

Publication number
CN116996387A
CN116996387A CN202210447023.1A CN202210447023A CN116996387A CN 116996387 A CN116996387 A CN 116996387A CN 202210447023 A CN202210447023 A CN 202210447023A CN 116996387 A CN116996387 A CN 116996387A
Authority
CN
China
Prior art keywords
network
physical
intention
intent
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210447023.1A
Other languages
English (en)
Inventor
杨永强
张鹏
康宁
冀朝阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Cloud Computing Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Cloud Computing Technologies Co Ltd filed Critical Huawei Cloud Computing Technologies Co Ltd
Priority to CN202210447023.1A priority Critical patent/CN116996387A/zh
Priority to PCT/CN2022/133151 priority patent/WO2023207048A1/zh
Publication of CN116996387A publication Critical patent/CN116996387A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/76Routing in software-defined topologies, e.g. routing between virtual machines

Abstract

本申请提供了本申请提供了一种网络意图挖掘方法,获取物理网络的网络配置以及物理网络的物理拓扑结构,并根据该网络配置以及物理拓扑结构,确定物理网络中的多个路由节点中每个路由节点的转发规则,从而根据该物理拓扑结构以及多个路由节点的多个转发规则,确定所述物理网络中的意图,该物理网络中的意图包括如下的多种:物理网络中的可达性意图、关键点意图、负载均衡意图、或者隔离性意图。如此,可以实现多种意图的挖掘,并且,根据网络配置以及物理拓扑结构生成转发规则,并基于生成的转发规则挖掘网络意图,可以提高对于物理网络的意图挖掘的准确性,实现在全网范围内的意图挖掘。此外,本申请还提供了网络意图挖掘装置及相关设备。

Description

一种网络意图挖掘方法、装置及相关设备
技术领域
本申请涉及互联网技术领域,尤其涉及一种网络意图挖掘方法、装置及相关设备。
背景技术
实际应用场景中,网络规模随着网络服务的不断丰富而逐渐扩大,这使得管理、运维网络的难度也越来越高。目前,可以通过对实际的网络配置挖掘网络意图,以便基于该网络意图实现简化或者自动化管理网络。其中,网络意图挖掘,是指将实际的网络配置转换为网络所承载的功能,并通过意图的方式进行呈现的一项技术,能够帮助管理人员(或者运维人员)更加高效的管理网络。比如,当企业因为新型业务的增加而改变对于运行该业务的网络要求时(如要求多样化算力等),可以根据企业原先的网络配置挖掘网络意图,并根据挖掘出的网络意图在云上配置相应的虚拟私有云(virtual private cloud,VPC),以此实现在云上为该企业配置符合企业要求的虚拟网络,并且该虚拟网络中保留企业原先的网络配置。
因此,如何挖掘出网络意图,成为亟需解决的重要问题。
发明内容
本申请提供了一种网络意图挖掘方法,实现挖掘出网络中的意图。此外,本申请还提供了一种网络意图挖掘装置、计算设备、计算机可读存储介质以及计算机程序产品。
第一方面,本申请提供了一种网络意图挖掘方法,具体的,获取物理网络的网络配置以及物理网络的物理拓扑结构,并根据该网络配置以及物理拓扑结构,确定物理网络中的多个路由节点中每个路由节点的转发规则,从而根据该物理拓扑结构以及多个路由节点的多个转发规则,确定所述物理网络中的意图,该物理网络中的意图包括如下的多种:物理网络中的可达性意图、关键点意图、负载均衡意图、或者隔离性意图。其中,可达性意图可以反映物理网络中的两个子网之间的可达性;负载均衡意图,可以反映物理网络中的两个可达的子网之间的多条路由路径可以进行负载均衡;关键点意图,可以反映物理网络中的两个可达的子网之间的多条路由路径所经过的同一路由节点;隔离性意图,可以反映物理网络中的两个子网之间不可达。
如此,不仅可以实现挖掘出物理网络中的意图,而且,可以实现多种意图的挖掘,即所挖掘出的意图可以是可达性意图、关键点意图、负载均衡意图、或隔离性意图中的任意多种。另外,根据网络配置以及物理拓扑结构生成转发规则,并基于生成的转发规则挖掘网络意图,而并非是根据从实际的路由设备中提取的转发规则进行意图挖掘,这可以有效避免物理网络中的路由在实际运行中发生变化(如路由设备故障或链路失效)而导致影响对于物理网络的意图挖掘的准确性。而且,可以实现在全网范围内的意图挖掘,并不局限于物理网络中的部分网络。
在一种可能的实施方式中,在确定物理网络中的意图时,具体可以是根据物理拓扑结构以及多个路由节点的多个转发规则,生成物理网络中的多条路由路径,该多条路由路径用于转发物理网络中多个子网之间的数据包,从而根据该多条路由路径,可以挖掘该物理网络中的意图。如此,可以通过模拟生成物理网络中的多条路由路径的方式,实现对物理网络中的意图的挖掘。
在一种可能的实施方式中,在生成物理网络中的多条路由路径时,具体可以是根据物理拓扑结构以及多个路由节点的多个转发规则,生成包括多个路由节点的转发图,该转发图用于指示多个路由节点的数据包转发行为,从而可以遍历该转发图,生成物理网络中的多条路由路径。如此,可以通过构建并遍历转发图,实现生成物理网络中的多条路由路径,以便于后续基于该多条路由路径挖掘物理网络中的意图。
在一种可能的实施方式中,在生成物理网络中的多条路由路径的过程中,具体可以根据多个路由节点的多个转发规则,确定物理网络中的目标子网对应的等价类,从而遍历该转发图,为确定出的等价类在物理网络中确定一条或者多条路由路径。如此,针对物理网络的多个子网中的任意子网,均可以基于上述方式确定出相应的一条或者路由路径,以此得到物理网络中的多个子网对应的多条路由路径。并且,在确定路由路径的过程中,可以无需模拟生成数据包或者实际下发测试数据包,从而不仅可以提高确定多条路由路径的效率、降低资源消耗,而且更容易实现全网范围内的网络意图挖掘。
在一种可能的实施方式中,当挖掘的意图具体为可达性意图或者关键点意图或者隔离性意图时,具体可以根据物理网络的网络配置以及物理拓扑结构,确定所挖掘出的意图对应的链路容忍上限,该链路容忍上限用于指示该意图所允许失效的最大物理链路的数量。如此,根据每种意图的链路容忍上限,确定该意图在物理网络中的可靠程度,以便在将该物理网络迁移至云上时,尽可能避免降低每种意图的可靠程度。
在一种可能的实施方式中,在确定意图对应的链路容忍上限时,具体可以根据网络配置以及物理拓扑结构,计算物理网络中的意图相关的两个子网之间的最小割,从而根据这两个子网之间的最小割,确定意图对应的链路容忍上限。如此,可以通过图处理的方式,确定每种意图对应的链路容忍上限。
在一种可能的实施方式中,在根据两个子网之间的最小割确定意图对应的链路容忍上限时,具体可以先确定该意图允许失效的物理链路的目标数量,并且,当这两个子网之间的最小割不大于该目标数量时,枚举该物理网络中的多个集合,该多个集合中的每个集合内失效的物理链路的数量不大于该最小割,从而根据该多个集合确定该意图对应的链路容忍上限。如此,可以在失效的物理链路的情况数量较少的条件下,通过枚举的方式验证(最小割-1)是否可以作为该意图对应的链路容忍上限。
在一种可能的实施方式中,在根据两个子网之间的最小割确定意图对应的链路容忍上限时,具体可以先确定该意图允许失效的物理链路的目标数量,并且,当这两个子网之间的最小割大于目标数量时,生成多个数据平面,该多个数据平面中每个数据平面用于指示这两个子网之间失效的逻辑链路,不同数据平面所指示的失效的逻辑链路存在差异,每个逻辑链路对应于至少一条物理链路,每个数据平面中失效的物理链路总数不大于该最小割,从而根据该多个数据平面确定该意图对应的链路容忍上限。如此,可以在失效的物理链路的情况数量较多的条件下,基于生成的多个数据平面验证(最小割-1)是否可以作为该意图对应的链路容忍上限。
在一种可能的实施方式中,在确定意图允许失效的物理链路的目标数量时,可以计算该物理网络中失效的物理链路数量为第一数量时物理网络中的多个第一集合的总数,该多个第一集合中每个第一集合内失效的物理链路的数量不大于该第一数量;并且,当该多个第一集合的总数小于预设阈值(可以预先由技术人员进行设定等)时,计算物理网络中失效的物理链路数量为第二数量时,该物理网络中的多个第二集合的总数,该多个第二集合中每个第二集合内失效的物理链路的数量不大于该第二数量,并且,第二数量大于第一数量,从而当第二集合的总数大于该预设阈值时,确定将第一数量确定为该意图允许失效的物理链路的目标数量。
在一种可能的实施方式中,还可以根据物理网络中的意图,在云端配置虚拟网络,以此实现将物理网络向云端的网络迁移。
在一种可能的实施方式中,在云端上配置的虚拟网络包括多个虚拟私有云VPC,每个VPC中的访问控制列表ACL规则数量不超过第一阈值,即对各个VPC中消耗的ACL资源进行限定,或者,该虚拟网络中的VPC数量不超过第二阈值,即可以限制虚拟网络中消耗的VPC之间的对等连接资源。进一步的,在云端配置虚拟网络时,可以优先减少对于ACL资源的消耗,在各个VPC中消耗的ACL规则数量不超过第一阈值的情况下,可以尽可能减少对于VPC之间的对等连接资源的消耗。
第二方面,本申请提供一种推荐网络意图挖掘装置,所述网络意图挖掘装置包括用于实现第一方面或第一方面任一种可能实现方式中的网络意图挖掘方法的各个模块。
第三方面,本申请提供一种计算设备,所述计算设备包括处理器和存储器;该存储器用于存储指令,当该计算设备运行时,该处理器执行该存储器存储的该指令,以使该计算设备执行上述第一方面或第一方面的任一实现方法中网络意图挖掘方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。转发设备还可以包括总线。其中,处理器通过总线连接存储器。其中,存储器可以包括可读存储器以及随机存取存储器。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算设备上运行时,使得计算设备执行上述第一方面或第一四方面的任一种实现方式中的方法。
第五方面,本申请提供了一种包含指令的计算机程序产品,当其在计算设备上运行时,使得计算设备执行上述第一方面或第一方面的任一种实现方式中的方法。
本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。
附图说明
图1为本申请实施例提供的一种示例性应用场景示意图;
图2为本申请实施例提供的一种网络意图挖掘方法的流程示意图;
图3为本申请实施例提供的一示例性交互界面的示意图;
图4为多个数据平面对应的树形结构示意图;
图5为本申请实施例提供的一示例性物理网络200的结构示意图;
图6为在路由设备R3中配置的ACL表中的信息示意图;
图7为从物理网络200中提取的多条路由拓扑的示意图;
图8为路由设备R6生成的转发表的示意图;
图9为基于转发表(以及ACL表)所划分的等价类示意图;
图10为构建出的转发图示意图;
图11为子网1与子网4之间的可达性意图对应的数据平面示意图;
图12为不同子网之间的连接示意图;
图13为对多个子网进行分组的示意图;
图14为本申请实施例提供的一种网络意图挖掘装置的结构示意图;
图15为本申请实施例提供的一种计算设备的结构示意图。
具体实施方式
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解,这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。
参见图1,为本申请实施例提供的一种示例性应用场景示意图。如图1所示,在该场景中,用户100(通过用户终端或者客户端等)可以向物理网络200发送提取指令,以指示物理网络200向用户100反馈其网络配置以及物理拓扑结构。然后,用户100可以向网络意图挖掘装置300发送意图挖掘请求,从而网络意图挖掘装置300可以根据该意图挖掘请求中包括的网络配置以及物理拓扑结构,挖掘出物理网络200中的意图,并将其反馈给用户100,以便用户100基于挖掘出的意图理解该物理网络200,或者,根据该意图在云端配置相应的虚拟网络,实现网络迁移。
实际应用时,网络意图挖掘装置300可以部署于本地。比如,当网络意图挖掘装置300通过软件实现时,该网络意图挖掘装置300可以作为插件安装在本地的终端设备,并且该插件运行后可以为用户100提供挖掘网络意图的本地服务。或者,网络意图挖掘装置300也可以是由硬件实现,如利用专用集成电路(application-specific integratedcircuit,ASIC)实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complex programmable logical device,CPLD),现场可编程门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合实现上述网元或模块的功能。
或者,网络意图挖掘装置300也可以是作为云服务部署于云端,如边缘云、分布式云或者公有云等。相应的,部署于云端的网络意图挖掘装置300可以向用户100提供相应的交互界面,用于与用户100进行交互。这样,在用户100请求挖掘物理网络200中的意图时,位于云端的网络意图挖掘装置300可以为用户100提供挖掘网络意图的云服务。本实施例中,对于网络意图挖掘装置300的具体部署方式并不进行限定。
值得注意的是,图1所示的应用场景仅作为一种示例性说明,并不用于限定,比如,在其它可能的应用场景中,网络意图挖掘装置300可以为多个用户提供本地或者云端的意图挖掘服务等。
为便于理解,下面结合附图,对本申请的实施例进行描述。
参见图2,图2为本申请实施例提供的一种网络意图挖掘方法的流程示意图,图2所示的方法流程可以由上述网络意图挖掘装置300实现。为便于理解和说明,下面以图2所示的网络意图挖掘方法应用于图1所示的网络意图挖掘装置300为例进行示例性说明,该方法具体可以包括:
S201:网络意图挖掘装置300获取物理网络200的网络配置以及物理网络200的物理拓扑结构。
其中,物理网络200的网络配置,可以用于指示物理网络200中的各个路由设备(如路由器等)上的端口的标识、物理网络200包括的多个子网(不同子网之间通过路由设备转发数据包)等配置信息。实际应用时,网络配置还可以包括其它信息,如物理网络200中的路由设备转发数据包所采用的路由协议(routing protocol)、路由设备的网际互连协议(internet protocol,IP)地址等。物理网络200的物理拓扑结构,可以用于指示物理网络200中的不同路由设备之间互连的结构,不同路由设备之间可以通过一条或者多条物理链路实现互连。
在一些可能的实施方式中,当用户100期望挖掘物理网络200中的意图时,用户100可以从物理网络200中的物理设备中提取出网络配置,例如可以是向物理网络200中的物理设备发送提取指令,从而该物理设备可以从物理网络200中采集网络配置以及物理拓扑结构等信息,并将其输出给用户100。该物理设备可以是物理网络200中的路由设备或者其它设备。然后,用户100可以将该网络配置以及物理拓扑结构发送给网络意图挖掘装置300,以请求网络意图挖掘装置300挖掘该物理网络200中的意图。具体实现时,网络意图挖掘装置300可以对外向用户100呈现如图3所示的交互界面,并在该交互界面中提示用户100导入进行意图挖掘所需的网络配置以及物理拓扑结构,从而用户100可以在该交互界面上将网络配置以及物理拓扑结构等信息输入至网络意图挖掘装置300。
或者,用户100也可以指示物理网络200中的物理设备将采集到的网络配置以及物理拓扑结构发送给网络意图挖掘装置300,以触发网络意图挖掘装置300执行网络意图挖掘的流程。本实施例中,对于网络意图挖掘装置300如何获取物理网络200的网络配置以及物理拓扑结构的具体实现方式并不进行限定。
本实施例中,所要挖掘的物理网络200中的意图,具体可以是可达性(reachability)意图、关键点(waypoint)意图、负载均衡(loadbalance)意图、或隔离性(isolation)意图中的任意一种或者多种。
其中,可达性意图,可以用于指示物理网络200中不同子网之间的可达性。比如,当子网A发送的数据包能够基于物理网络200中的路由设备转发至子网B时,则表征物理网络200中子网A与子网B之间可达;而当子网A发送的数据包无法被转发至子网C时,则表征物理网络200中子网A与子网C之间不可达。
关键点意图,可以用于指示物理网络200中的多个子网之间进行通信过程中的数据包所经过的相同路由设备。比如,当物理网络200中的子网A与子网B进行数据通信存在两条路由路径时,其中,在基于路由路径1传输数据包时,子网A发送的数据包依次路由设备1、路由设备2、路由设备3以及路由设备4进行转发并最终传输至子网B,在基于路由路径2传输数据包时,子网A发送的数据包依次路由设备1、路由设备2、路由设备5以及路由设备4进行转发并最终传输至子网B,则可以将路由设备2确定为关键点。
负载均衡意图,可以用于指示物理网络200中用于传输不同子网之间的数据包所能使用的转发路径的数量。比如,当物理网络200中的子网A与子网B进行数据通信时,子网A发送的数据包可以通过路由设备1、路由设备2以及路由设备3传输至子网B,也可以是通过路由设备1、路由设备4以及路由设备3传输至子网B,则子网A以及子网B之间存在两条转发路径可以用于转发数据包,并且,子网A(或者子网B)发送的数据包可以优先通过负载相对较小的转发路径传输至子网B(或者子网A)。
隔离性意图,可以用于指示物理网络200中不同子网之间的隔离性,也即两个子网之间的数据包相互不可达。比如,物理网络200中的子网A发送的数据包无法被传输至子网B,则子网A以及子网B之间具有隔离性。
值得注意是,实际应用时,也可以从物理网络200中挖掘出其它类型的意图,本实施例对此并不进行限定。
S202:网络意图挖掘装置300根据网络配置以及物理拓扑结构,确定物理网络200中的多个路由节点中每个路由节点的转发规则。
其中,每个路由节点的转发规则用于约束该路由节点对于数据包的转发。
通常情况下,物理网络200中包括多个路由节点,该多个路由节点可以用于转发不同子网之间通信的数据包。其中,每个路由节点可以由一个路由设备实现。可选地,当一个路由设备中配置有多个虚拟路由转发(Virtual routing forwarding,VRF)表时,可以将每个VRF表视为一个路由节点,即该路由设备可以对应于多个路由节点。
每个路由节点可以配置有转发表或者VRF表,该转发表或者VRF表中包括至少一条转发规则,每条转发规则例如可以是转发表或者VRF表中的一行数据,用于指示路由节点在转发各个子网对应的数据包所使用的端口、下一跳路由等。
实际应用时,由于不同厂商对于物理网络的配置形式可能存在差异,因此,网络意图挖掘装置300在获取到物理网络200中的网络配置以及物理拓扑结构后,可以将其输入至配置解析器中,如batfish等,从而由该配置解析器解析得到与厂商无关的网络配置以及物理拓扑结构的标准化形式。
本实施例中,网络意图挖掘装置300可以根据网络配置以及物理拓扑结构,确定物理网络200中的多个路由节点的转发规则。在一种可能的实施方式中,网络意图挖掘装置300可以根据物理网络200的网络配置以及物理拓扑结构,确定物理网络200中多个路由设备对应的路由拓扑结构。
例如,网络意图挖掘装置300可以根据网络配置以及物理拓扑结构,确定物理网络200中每个路由设备所属的虚拟局域网(virtual local area network,VLAN)以及存在互连的路由设备之间的物理链路的数量,每个路由设备可以为其添加VLAN标签。然后,网络意图挖掘装置300可以遍历该多个路由设备中的任意两个路由设备,判断这两个路由设备是否二层可达以及这两个路由设备的端口是否属于同一子网。当两个路由设备二层可达并且这两个路由设备的端口属于同一子网时,则网络意图挖掘装置300可以基于这两个路由设备提取到一条三层链路,表征这两个路由设备相互可达。而当这两个路由设备并非二层可达或者这两个路由设备的端口属于不同子网时,则网络意图挖掘装置300可以确定这两个路由设备不存在三层链路。实际应用时,这两个路由设备之间的一条三层链路,可以通过一条或者多条物理链路实现。如此,网络意图挖掘装置300可以基于上述类似过程,从多个路由设备中提取出多条三层链路,以此得到相应的路由拓扑结构。
示例性地,网络意图挖掘装置300在判断路由设备A以及路由设备B是否二层可达时,具体可以是从路由设备A出发,初始携带所有VLAN标签集,并通过递归深度优先搜索的方式,将携带的VLAN标签集与路由设备A以及B之间的下一个路由设备的VLAN标签集求取交集。当存在一条VLAN标签集不为空的路径,则确定路由设备A以及路由设备B二层相邻;否则,确定路由设备A以及路由设备B二层不相邻。
然后,网络意图挖掘装置300可以根据获取的网络配置以及所提取到的多个路由设备对应的路由拓扑,以模拟的方式生成多个路由节点以及每个路由节点的转发表,每个路由节点对应于一个路由设备或者路由设备上的一个VRF表,每个路由节点的转发表中包括至少一条转发规则,该转发规则用于约束该路由节点对于数据包的转发情况。比如,路由节点A可以根据转发规则向子网1或子网2转发数据包,而不向除子网1以及子网2之外的其它子网转发数据包等。
由于实际应用场景中,物理网络200中的部分路由设备还可能会配置有访问控制列表(access control list,ACL),该ACL列表用于对该路由设备所接收到的数据包进行过滤,具体可以是路由设备根据该ACL列表确定将满足条件的数据包转发给相应的子网,而将不满足条件的数据包进行丢弃(即丢弃发送给其它子网的数据包)。因此,在进一步的实现方式中,网络意图挖掘装置300还以模拟的方式生成ACL表,该ACL表中包括至少一条转发规则,并且,所生成的ACL表可以用于对部分或者全部路由节点转发数据包进行约束。本实施例中,网络意图挖掘装置300可以将路由节点的ACL表中的转发规则合并至转发表中;或者,网络意图挖掘装置300可以单独部署转发表以及ACL表等,即网络意图挖掘装置300所生成的多条转发规则中,部分转发规则作为转发表中的条目,另一部分转发规则作为ACL表中的条目,本实施例对此并不进行限定。
S203:网络意图挖掘装置300根据物理拓扑结构以及多个路由节点的多个转发规则,确定物理网络200中的意图,该意图包括如下的多种:可达性意图、关键点意图、负载均衡意图、或者隔离性意图。
可以理解,由于物理网络200中的多个子网之间的互连,通常是由多个路由节点根据转发规则转发数据包实现,因此,该多个路由节点的多个转发规则可以体现不同子网之间是否相互可达、是否存在多条路由路径、不同子网的数据包是否经过同一路由节点以及部分子网之间是否存在通信隔离等,也即体现物理网络200中的意图。基于此,网络意图挖掘装置300根据物理拓扑结构以及多个路由节点的多个转发规则,挖掘出物理网络200中的意图。
值得注意的是,虽然物理网络200中的实际路由设备中通常配置有转发表以及ACL表,但是,若直接从该路由设备中提取该转发表以及ACL,通常会因为物理网络200中存在链路失效或者路由设备故障等原因,导致从实际的路由设备中提取的转发表以及ACL表,可能并不能真实反应该物理网络200中的实际意图,如物理网络200中两个子网可能会因为部分路由设备故障或者部分链路失效,而导致这两个子网由可达状态变更为不可达状态,从而基于从路由设备中提取的转发表以及ACL表所挖掘出的网络意图,会错误的认定该两个子网不可达,从而会降低网络意图挖掘的准确性。因此,本实施例中,网络意图挖掘装置300根据物理网络200的网络配置以及物理拓扑结构,以模拟的方式生成各个路由节点的转发表以及ACL表,并基于模拟生成的转发表以及ACL表进行网络意图挖掘,以此可以避免物理网络200在实际场景中的运行错误影响网络意图挖掘的准确性。
在一种挖掘网络意图的实现方式,网络意图挖掘装置300可以根据物理拓扑结构以及多个路由节点的多个转发规则,生成该物理网络200中的多条路由路径,该多条路由路径用于转发不同子网之间的数据包,从而网络意图挖掘装置300可以所生成的多条路由路径,挖掘该物理网络200中的意图。比如,当子网A与子网B、子网C之间存在路由路径,且子网A与子网D之间不存在路由路径时,可以表征子网A分别与子网B、子网C之间具有可达性,而子网A与子网D之间具有隔离性(如所有子网对与具有可达性意图的子网对的差集即具有隔离性意图)。进一步地,当子网A与子网B、子网C之间的路由路径上均包括路由节点I时,则该路由节点I可以被确定为多条路由路径的关键点,即物理网络200中具有该路由节点I对应的关键点意图;并且,当子网A与子网B之间存在多条路由路径时,则子网A与子网B之间互连的数据包可以基于该多条路由路径进行负载均衡等,即子网A以及子网B之间具有负载均衡意图。如此,网络意图挖掘装置300可以挖掘出物理网络200中的一种或者多种意图,并且可以实现在全网(即整个物理网络200)范围内的意图挖掘。
示例性地,网络意图挖掘装置300在确定多条路由路径时,可以根据物理网络200的物理拓扑结构以及多个路由节点的多个转发规则,生成包括多个路由节点的转发图,该转发图用于指示多个路由节点的数据包转发行为,其中,该转发图中的每个路由节点的数据包转发行为可以体现该路由节点的转发规则,从而网络意图挖掘装置300可以通过遍历该转发图,生成物理网络200中的多条路由路径。进一步地,该转发图中还可以包括多个子网节点,每个子网节点用于指示物理网络200中的一个子网,并且,不同子网节点通过路由节点进行连接,表征不同子网之间的数据包通过中间的路由节点进行转发。
其中,网络意图挖掘装置300在遍历转发图时,例如可以是先根据转发表(以及ACL表)中的转发规则,确定多个等价类,每个等价类对应于一个子网,用于指示发送给物理网络200中的该子网的一类数据包。比如,假设路由节点I向下一跳路由节点II转发发送给子网A的数据包,向下一跳路由节点III转发发送给子网B的数据包,则,网络意图挖掘装置300可以根据路由节点I的转发规则,将转发给下一跳路由节点II并且发送给子网A的数据包划分为一个等价类,将转发给下一跳路由节点III并且发送给子网B的数据包划分为另一个等价类。以根据多个路由节点的多个转发规则确定物理网络200中目标子网对应的等价类为例,网络意图挖掘装置300可以遍历转发图,为该目标子网对应的等价类在物理网络200中确定一条或多条路由路径。其中,目标子网可以是物理网络200中任意一个子网,从而针对物理网络200中的各个子网,均可以参照上述方式为该子网对应的等价类确定一条或者多条路由路径,以此在物理网络200中确定出多个子网对应的多条路由路径。示例性地,网络意图挖掘装置300可以基于深度优先搜索方式对转发图进行遍历,具体可以是初始携带所有等价类,遍历所有的路由节点,其中,在遍历当前的路由节点时,将该所有等价类与当前路由节点的边对应的等价类进行求交集运算,确定当前路由节点的下一跳路由节点以及到达该下一跳路由节点的一个或者多个等价类,以此完成对所有路由节点的遍历,也即模拟数据包在不同子网之间的转发过程。这样,根据每个路由节点对应的等价类,可以确定出物理网络200中的不同子网之间的路由路径。
在进一步可能的实施方式中,当网络意图挖掘装置300所挖掘出的意图,包括可达性意图或者关键点意图或者隔离性意图时,本实施例还可以包括下述步骤S204。
S204:网络意图挖掘装置300根据物理网络200的网络配置以及物理拓扑结构,确定出每种意图对应的链路容忍上限,该链路容忍上限用于指示该意图所允许失效的最大物理链路的数量。
即,当物理网络200中的意图所对应的路由路径上相邻两个路由节点之间发生失效的物理链路的数量未超出给链路容忍上限时,该意图在物理网络200中成立,否则该意图不成立。比如,假设子网A以及子网B之间的可达性意图对应的链路容忍上限为3,则,当子网A以及子网B之间的路由路径上相邻两个路由节点之间发生失效的物理链路的数量均未达到3时(如失效1条或者2条物理链路等),子网A以及子网B之间的可达性意图始终成立。而当子网A以及子网B之间的路由路径上存在相邻两个路由节点之间发生失效的物理链路的数量达到3时,则子网A与子网B之间的路由路径可能会因为这两个路由节点之间的物理链路全部断开而导致路由路径断开,从而导致子网A以及子网B之间不可达,此时,可达性意图不成立。
作为一种实现示例,在确定每条意图对应的链路容忍上限时,网络意图挖掘装置300可以根据物理网络200的网络配置以及物理拓扑结构,计算该物理网络200中与该意图相关的两个子网之间的最小割。其中,割,是指转发图中删除两个子网(如转发图中的子网节点)之间的部分边(即路由节点之间的链路),使得从一个子网到另一个子网的路由路径为空集时,称该部分边(包括至少一个边)为一个割。相应的,最小割,是指转发图的所有割中,边权值和最小的割。本实施例中,边权值,具体是指这条边对应的物理链路的数量。然后,网络意图挖掘装置300可以根据这两个子网之间的最小割,确定该意图对应的链路容忍上限。
其中,对于两个子网之间的最小割,网络意图挖掘装置300可以将小于最小割的最大值确定为这两个子网的可达性意图对应的链路容忍上限。比如,假设最小割为4,则这两个子网的可达性意图对应的链路容忍上限为3。
实际应用场景中,物理网络200中的网络配置,可以会影响链路容忍上限,此时,如果直接将小于最小割的最大值确定为链路容忍上限,则可能会使得所确定出的链路容忍上限的准确性较低。比如,假设最小割为4,对应于两条边上的物理链路数量(其中,边a上的物理链路数量为2、边b上的物理链路数量为2),当物理网络200中的两个子网之间的部分路由节点之间因为实际业务的需求而被限制不可通信时(如设置有防火墙等),该部分路由节点之间的边a实际上处于断开状态,这使得基于该物理网络200的网络配置,这两个子网之间的可达性意图对应的链路容忍上限应该为1,而不是为3(即小于最小割的最大值)。
基于此,在进一步可能的实施方式中,网络意图挖掘装置300可以根据最小割初步确定为每种意图对应的链路容忍上限,然后对初步确定的链路容忍上限进行验证,并且通过验证后,将最小割作为最终的链路容忍上限,而在未通过验证时,将验证过程中所计算出的链路容忍上限确定为最终的链路容忍上限。
示例性地,网络意图挖掘装置300针对每个意图,可以根据网络配置以及物理拓扑结构,计算每个意图所允许失效的物理链路的目标数量。例如,网络意图挖掘装置300可以计算该物理网络200中失效的物理链路数量为第一数量时,物理网络200中的多个第一集合的总数,每个第一集合内可以包括一条或者多条物理网络200中的失效的物理链路(具体可以是失效的物理链路的标识),并且,每个第一集合内失效的物理链路的数量均不大于该第一数量。当多个第一集合的总数小于预设阈值时,则网络意图挖掘装置300可以计算物理网络200中失效的物理链路数量为第二数量时,物理网络200中的多个第二集合的总数,每个第二集合内可以包括一条或者多条物理网络200中的失效链路,并且每个第二集合内失效的物理链路的数量不大于该第二数量,其中,第二数量大于所述第一数量。当第二集合的总数大于预设阈值(可以预先由技术人员进行设定)时,则可以确定该第一数量为该意图允许失效的物理链路的目标数量。而如果当第二集合的总数仍然不大于预设阈值时,则网络意图挖掘装置300可以继续增加物理网络200中失效的物理链路的数量,假设为第三数量,并参照上述过程,判断是否将第二数量确定为目标数量。
然后,当最小割不大于该目标数量时,网络意图挖掘装置300选择采用低容忍方式验证链路容忍上限,而当最小割大于该目标数量时,选择采用高容忍方式验证链路容忍上限。下面以对物理网络200中的子网A以及子网B之间的可达性意图对应的链路容忍上限进行验证为例进行介绍说明。
具体地,当采用低容忍方式验证链路容忍上限时,网络意图挖掘装置300可以根据直接枚举物理网络200中可能发生失效的物理链路的情况,以此生成多个集合,每个集合对应一种物理链路的失效情况,每个集合中包括的失效的物理链路(具体可以是包括失效的物理链路的标识)的数量不大于该可达性意图对应的最小割,并且不同集合内包括的失效的物理链路存在差异。然后,网络意图挖掘装置300根据该多个集合确定子网A与子网B之间的可达性意图对应的链路容忍上限。比如,网络意图挖掘装置300在确定小于最小割的最大值是否作为链路容忍上限时,若基于所有集合包括的链路失效情况,子网A以及子网B之间均能够保持相互可达性,且当失效物理链路的数量达到最小割时,子网A以及子网B之间不具有可达性,则网络意图挖掘装置300可以将小于最小割的最大值确定为子网A与子网B之间的可达性意图对应的链路容忍上限。否则,网络意图挖掘装置300可以按照上述过程,从小于该最小割的取值范围中继续确定子网A与子网B之间的可达性意图对应的链路容忍上限。
当采用高容忍方式验证链路容忍上限时,网络意图挖掘装置300可以获取转发图中的所有路由路径,每条路由路径上的各个边具有边权值,该边权值用于指示该条边所对应的物理链路数量。然后,网络意图挖掘装置300可以根据该路由路径,确定断开每条边所对应的数据平面,以此可以生成多个数据平面。其中,每个数据平面用于指示子网A与子网B之间失效的逻辑链路(也即边),不同数据平面所指示的失效的逻辑链路存在差异,每个逻辑链路对应于至少一条物理链路,每个数据平面中失效的物理链路总数不大于最小割。最后,网络意图挖掘装置300可以根据多个数据平面确定该意图对应的链路容忍上限。比如,若在所有失效的物理链路总数不大于最小割的数据平面中,子网A以及子网B之间均能够保持相互可达性,而在失效物理链路的数量达到最小割的数据平面中,子网A以及子网B之间不具有可达性,则网络意图挖掘装置300可以将小于最小割的最大值确定为子网A与子网B之间的可达性意图对应的链路容忍上限。否则,网络意图挖掘装置300可以按照上述过程,从小于该最小割的取值范围中继续确定子网A与子网B之间的可达性意图对应的链路容忍上限。
示例性地,网络意图挖掘装置300在生成多个数据平面时,例如可以根据路由路径以及当前断开的边,确定继续断开下一条边所产生的数据平面,以此可以尽可能避免网络意图挖掘装置300生成重复的数据平面。例如,网络意图挖掘装置300所生成的多个数据平面之间的关系可以是如图4所示的树形结构。实际应用时,在对不同意图的链路容忍上限进行验证过程中,若生成了相同的数据平面,则网络意图挖掘装置300可以复用相同数据平面所指示的结果,而可以不用重新对该数据平面进行分析,以此可以提高网络意图挖掘装置300针对链路容忍上限的验证效率,减少资源消耗。
值得注意的是,上述是以对子网A以及子网B之间的可达性意图对应的链路容忍上限进行验证为例进行示例性说明。实际应用时,网络意图挖掘装置300可以通过重复上述类似过程确定不同子网之间的可达性意图、隔离性意图以及关键点意图分别对应的链路容忍上限,并采用高容忍方式或者低容忍方式对所确定出的链路容忍上限进行验证等,本实施例对此不再进行赘述。
在进一步可能的实施方式中,网络意图挖掘装置300在挖掘出物理网络200中的网络意图后,可以将该意图呈现给用户100,以便用户100根据该意图对物理网络200进行管理以及验证等。或者,网络意图挖掘装置300还可以进一步根据挖掘出的意图进行网络迁移等,本实施例对此并不进行限定。
为便于理解,下面以根据意图进行网络迁移为例。示例性地,本实施例还可以进一步包括下述步骤S205。
S205:网络意图挖掘装置300根据物理网络200中的意图,在云端配置虚拟网络。
具体地,网络意图挖掘装置300可以在云端创建一个或者多个VPC。其中,每个VPC内的子网之间相互可达。但是,当VPC内部的子网之间存在隔离需求时,可以在该VPC内配置ACL资源,以在VPC内部基于该ACL资源实现不同子网之间的隔离。另外,不同VPC之间的子网默认隔离。但是,当不同VPC之间的子网需要实现可达时,可以为不同VPC之间分配对等连接资源,以便不同VPC内的子网可以通过该对等连接资源实现互访。因此,网络意图挖掘装置300可以根据物理网络200中包括的子网以及挖掘出的意图,在云端创建相应的VPC,以此实现物理网络200向云端网络的迁移。
实际应用场景中,云端的ACL资源通常有限,因此,在一种可能的实施方式中,网络意图挖掘装置300在进行网络迁移时,可以通过将所要消耗的ACL资源转换为对等连接资源的方式,降低ACL资源的消耗。比如,假设物理网络200中包括子网A、子网B以及子网C,且子网B分别与子网A以及子网B互连,而子网A与子网C隔离,则如果将3个子网创建在一个VPC中,则需要在该VPC内消耗ACL资源以实现隔离子网A与子网C,为此,本实施例中,网络意图挖掘装置300可以创建VPC1以及VPC2,其中VPC1包括子网A以及子网B,VPC2包括子网C,并且,子网B与子网C通过VPC之间的对等连接资源实现互连,而子网A与子网C因为位于不同的VPC而实现隔离。
为便于理解,下面结合具体实例对本申请实施例的技术方案进行示例性说明。参见图5,为本申请实施例提供的一示例性物理网络200的结构示意图。如图5所示,物理网络200包括6个路由设备(R1至R6)以及4个子网,其中,子网1以及子网2属于部门1,子网3以及子网4属于部门2,不同子网之间可以通过路由设备R1至R6实现互访,并且,同一部门内的不同子网之间可以互访,部门2中的子网4可以访问部门1中的子网1以及子网2,但是部门2中的子网3不能访问部门1中的子网1以及子网2。本实施例中,可以通过在路由设备R3中单独配置ACL表(如图5中的ACL101),以限制子网3对于子网1以及子网2的访问。示例性地,在路由设备R3中针对ACL表进行配置的具体信息可以如图6所示。
其中,图5所示的不同路由设备之间的边具有权值,该权值用于表征不同路由设备之间基于开放式最短路径优先(open shortest path first,OSPF)协议的路由代价(cost),如R3与R6之间的边的权值为100等。当不同子网之间存在多个路由路径可以传输数据包时,基于OSPF协议优先选择总代价最小的路由路径进行数据包的传输。值得注意的是,图5中不同的路由设备之间的边用于指示路由设备之间存在连接,实际场景中,两个路由设备之间可以通过一条或者多条物理链路实现互连,即路由设备之间的边对应于一条或者多条物理链路。
当需要将图5所示的物理网络200迁移至云端时,网络意图挖掘装置300可以先获取该物理网络200中的网络配置以及物理拓扑结构,例如可以获取物理网络200中的各个路由设备(R1至R6)上的端口的标识、路由设备转发数据包所采用的路由协议、路由设备的IP地址、多个子网(子网1至子网4)等配置信息,以及不同路由设备之间互连的拓扑结构。
然后,网络意图挖掘装置300根据获取的网络配置以及物理拓扑结构,提取出物理网络200中的多条路由拓扑,其具体实现可以参见前述实施例的相关之处描述,在此不做赘述。本实施例中,由于不同物理网络200中没有VLAN信息,因此,所提取的多条路由拓扑与物理网络200中的物理拓扑结构相同,所提取的多条路由拓扑具体可以如图7所示。
接着,网络意图挖掘装置300可以根据提取出的多条路由拓扑以及物理网络200的网络配置,以模拟的方式生成各个路由设备的转发表。其中,转发表中包括至少一条转发规则,用于约束路由设备对于数据包的转发。另外,网络意图挖掘装置300还可以为部分路由设备(如R3)模拟生成ACL表,该ACL表中包括至少一条转发规则(或者称之为ACL规则)。以路由设备R6为例,所生成的转发表例如可以如图8所示。
接着,网络意图挖掘装置300可以根据生成的转发表中的转发规则(以及ACL表中的转发规则),将不同子网之间的数据包划分成多个等价类,每个等价类对应于一个子网。其中,由于ACL表中的转发规则也是用于约束路由设备对于的数据包的转发,因此,网络意图挖掘装置300根据ACL表所划分的等价类,与根据转发表所划分的等价类可以采用的相同的标识(如相同的符号等)。示例性地,基于转发表(以及ACL表)所划分的等价类如图9所示。
然后,网络意图挖掘装置300可以以路由设备上的端口为图节点,以端口上的等价类集合作为边上的属性,构建转发图。例如,所构建出的转发图,可以如图10所示。需要说明的是,图10所示的转发图中,主要示出了部门2中的子网3以及子网4,对于部门1中的子网1以及子网2的访问。其中,R3中配置的ACL表对子网3的访问进行了限制。其中,图10中的虚线节点表征不同的子网,实线节点表征不同的路由节点。转发图中的边指示了传输的数据包的等价类,其中,“所有”(all)表征任意等价类均可以通过,“P1”、“P2”以及“P1P2”表征允许通过的数据包所属的等价类,“拒绝”表征等价类不能通过(图10中未示出)。需要说明的是,本实施例中,是以一个路由设备对应于一个路由节点为例进行示例性说明,实际应用时,单个路由设备中可能配置有多个VRF表,从而在构建转发图时,可以基于多个VRF表生成多个路由节点,每个路由节点对应一张VFR表。此时,基于物理网络200中的一个路由设备,可以因为其上的多张VRF表在转发图中生成多个路由节点。
这样,网络意图挖掘装置300可以携带所有的等价类,通过深度优先搜索等方式对该转发图进行遍历,确定不同子网之间的可达性,以此挖掘出物理网络200的可达性意图。相应的,转发图中所有子网对和具有可达性意图的子网对之间的差集,即为物理网络200的隔离性意图。并且,网络意图挖掘装置300可以针对具有可达性意图的不同子网之间的路由路径的数量,挖掘出物理网络200中的负载均衡意图以及关键点意图。以负载均衡意图为例,对于子网1以及子网2而言,由于通过遍历可以确定,P4到达P1的路由路径为P4→R6→R4→R1→P1以及P4→R6→R3→R1→P1两条路由路径,故P4到P1还具有负载均衡意图。
进一步地,网络意图挖掘装置300不仅可以挖掘出物理网络200中的可达性意图、隔离性意图、负载均衡意图以及关键点意图等多种意图,还可以进一步确定出部分意图的链路容忍上限。
具体实现时,针对可达性意图、隔离性意图以及关键点意图,网络意图挖掘装置300可以根据网络配置以及物理拓扑结构(或者转发图)计算出子网对之间的最小割,从而根据最小割的数值确定每条意图的链路容忍上限,例如将(最小割-1)作为子网对之间的可达性意图的链路容忍上限等。
然后,网络意图挖掘装置300可以对确定出的链路容忍上限进行验证。本实施例中,网络意图挖掘装置300可以根据物理链路失效的组合空间确定选择选择采用低容忍方式进行验证还是选择采用高容忍方式进行验证。
具体地,网络意图挖掘装置300可以根据网络配置以及物理拓扑结构,计算每个意图允许失效的物理链路的目标数量,其确定目标数量的具体实现过程可参见前述实施例的相关之处描述。并且,当最小割不大于该最大数量时,选择采用低容忍方式验证链路容忍上限,而当最小割大于该最大数量时,选择采用高容忍方式验证链路容忍上限。
以验证子网对之间的可达性意图为例,当采用低容忍方式验证链路容忍上限时,网络意图挖掘装置300可以根据直接枚举物理网络200中可能发生失效的物理链路的情况,以此生成多个集合,每个集合对应一种物理链路的失效情况,每个集合中失效的物理链路的数量不大于该可达性意图对应的最小割,不同集合内包括的失效的物理链路存在差异。然后,网络意图挖掘装置300可以验证(最小割-1)是否能够作为该可达性意图对应的链路容忍上限。例如,当所有失效物理链路组合中的失效物理链路的数量均小于最小割时,子网对之间是否具有可达性,而当失效物理链路的数量达到最小割时,子网A以及子网B之间不具有可达性,则网络意图挖掘装置300可以确定将(最小割-1)作为该可达性意图对应的链路容忍上限。否则,网络意图挖掘装置300可以从小于该最小割的取值范围中继续确定子网对之间的可达性意图对应的链路容忍上限。
当采用高容忍方式验证链路容忍上限时,网络意图挖掘装置300可以获取转发图中的所有路由路径,每条路由路径上的各个边具有边权值,该边权值用于指示该条边所对应的物理链路数量。然后,网络意图挖掘装置300可以根据该路由路径,确定断开每条边所对应的数据平面,以此可以生成多个数据平面。以子网1与子网4所具有的可达性意图为例,所生成的数据平面可以如图11所示(图11中仅示出部分数据平面进行示例性说明)。子网1可以通过R1、R2、R4以及R6实现与子网4进行通信。在断开一条边时,所断开的边可以是R1与R2之间的边、或者可以是R2与R4之间的边、或者可以是R1与R3之间的边等。在断开R1与R2之间的边时(即断开R1与R2之间互连的所有物理链路),子网1可以通过R1、R3、R4以及R6保持可达性意图。在断开R1与R2之间的边后再断开子网1与子网4之间的路由路径上的一条边时,如图11所示,可以是断开R1与R3之间的边,或者可以是断开R3与R4之间的边,或者可以是断开R4与R6之间的边(图11中未示出)等。如此,网络意图挖掘装置300可以逐渐增加断开子网1与子网4之间的路由路径的数量,生成如图11所示的数据平面。然后,网络意图挖掘装置300可以根据该可达性意图对应的多个数据平面确定该可达性意图对应的链路容忍上限。假设当断开子网1与子网4之间的所有路由路径上的任意两条边时,子网1与子网4具有可达性意图,而在断开任意三条边时不具有可达性意图,则子网1与子网4之间的可达性意图所对应的物理链路上限可以为第一条边包括的物理链路数量+第二条边包括的物理链路数量+(第三条边包括的物理链路数量-1)。按照上述类似过程,网络意图挖掘装置300可以确定出每条意图对应的链路容忍上限,从而可以根据新确定的链路容忍上限对前述初始确定的链路容忍上限进行调整。
进一步地,在挖掘出物理网络200中的意图后,网络意图挖掘装置300可以根据该意图在云端上创建虚拟网络,具体可以是在云端创建一个或者多个VPC,每个VPC内包括物理网络200中的一个或者多个子网。其中,1.VPC内的子网默认可达;2.不同VPC间的子网默认隔离;3.相同VPC内的子网隔离需分配ACL资源;4.不同VPC间的子网可达需分配对等连接资源。由于实际应用场景中,云端的ACL资源通常有限,因此,网络意图挖掘装置300在云端创建虚拟网络时,可以通过将所要消耗的ACL资源转换为对等连接资源的方式,降低ACL资源的消耗。
作为一种实现示例,网络意图挖掘装置300可以先根据挖掘出的网络意图以及物理网络200中的子网,构建如图12所示的子网连接示意图。其中,P1表征子网1、P2表征子网2、P3表征子网3、P4表征子网4。
然后,网络意图挖掘装置300可以分析出该图中的连通分量(ConnectedComponent),并将每个连通分量划分为一个组。其中,图12所示的子网连接示意图中,由于子网之间是全连通的,因此仅包含一个连通分量。
接着,网络意图挖掘装置300可以将每个连通分量包括的子网划分至一个VPC中。由于单个VPC中的ACL资源有限,如每个VPC中消耗的ACL规则数量不超过第一阈值(如1等),因此,可以通过针对每个分组进行调整,以降低所需的ACL资源的数量。具体实现时,针对每个分组,网络意图挖掘装置300可以通过下述公式(1),搜索出该分组内的多个子网划分成两个部分后所能减少的ACL规则数量最多的划分方式。
W=nodenumpart1*nodenumpart2-edgenumcut (1)
其中,W为将分组内的多个子网划分为两部分后所能减少消耗ACL规则的数量,nodenumpart1为划分得到的第一部分内包括的子网数量,nodenumpart2为划分得到的第二部分内包括的子网数量,edgenumcut为两部分之间的最小割所涉及到的边的数量,也即为损失的多个。
实际应用时,物理网络200中的多个子网所构成的子网连接示意图中可能包括多个连通分量,从而基于该子网连接示意图可以形成多个分组,对每个分组进行调整虽然能减少ACL规则的数量,但同时会将两部分子网划分至不同的VPC中。因此,网络意图挖掘装置300可以通过下述公式(2)计算出各个分组对应的收益值,并优先处理收益值较大的分组。
P=(nodenumpart1*nodenumpart2-edgenumcut)/edgenumcut) (2)
其中,P为收益值,表征减少的ACL规则数量与损失的同处一个VPC子网对数量之比。
实际应用时,优先对收益值最大的分组进行划分,可以在尽可能多的减少所要消耗的ACL规则数量的同时,减少损失的同处一个VPC子网对数量。
按照上述方式对图12所示的子网连接示意图进行分组后,可以得到如图13所示的组1以及组2,其中,组1内包括P1、P2、P4(即将子网1、子网2以及子网4划入一个VPC),组2包括P3(即将子网3划入另一个VPC)。
这样,网络意图挖掘装置300可以根据调整后的分组,在云端创建相应的VPC,并在每个VPC内分配相应的子网并进行配置,在不同VPC之间分配对等连接资源,以此实现物理网络200至云端的网络迁移。实际应用时,还可以对创建的VPC数量进行限制,如创建的VPC的数量不超过第二阈值等,以此限制所需消耗的VPC之间的对等连接资源。
上文结合图1至图13对本申请实施例提供的网络意图挖掘方法进行了详细介绍,下面将结合附图从功能单元的角度对本申请实施例提供的网络意图挖掘1400进行介绍。
参见图3所示的网络意图挖掘装置300的结构示意图,该网络意图挖掘装置300包括:
信息获取模块301,用于获取物理网络的网络配置以及所述物理网络的物理拓扑结构;
规则确定模块302,用于根据所述网络配置以及所述物理拓扑结构,确定所述物理网络中的多个路由节点中每个路由节点的转发规则;
意图挖掘模块303,用于根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,确定所述物理网络中的意图,所述意图包括如下的多种:可达性意图、关键点意图、负载均衡意图、或者隔离性意图。
在一种可能的实施方式中,所述意图挖掘模块303,用于:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成所述物理网络中的多条路由路径,所述多条路由路径用于转发所述物理网络中多个子网之间的数据包;
根据所述多条路由路径,挖掘所述物理网络中的意图。
在一种可能的实施方式中,所述意图挖掘模块303,用于:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成包括所述多个路由节点的转发图,所述转发图用于指示所述多个路由节点的数据包转发行为;
遍历所述转发图,生成所述物理网络中多条路由路径。
在一种可能的实施方式中,所述意图挖掘模块303,用于:
根据所述多个转发规则,确定所述物理网络中目标子网对应的等价类;
遍历所述转发图为所述等价类在所述物理网络中确定一条或多条路由路径。
在一种可能的实施方式中,当所述意图包括可达性意图或者关键点意图或者隔离性意图时,所述装置300还包括:
上限确定模块304,用于根据所述网络配置以及所述物理拓扑结构,确定所述意图对应的链路容忍上限,所述链路容忍上限用于指示所述意图允许失效的最大物理链路的数量。
在一种可能的实施方式中,所述上限确定模块304,用于:
根据所述网络配置以及所述物理拓扑结构,计算所述物理网络中所述意图相关的两个子网之间的最小割;
根据所述两个子网之间的最小割,确定所述意图对应的链路容忍上限。
在一种可能的实施方式中,所述上限确定模块304,用于:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割不大于所述目标数量时,枚举所述物理网络中的多个集合,所述多个集合中每个集合内失效的物理链路的数量不大于所述最小割;
根据所述多个集合确定所述意图对应的链路容忍上限。
在一种可能的实施方式中,所述上限确定模块304,用于:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割大于所述目标数量时,生成多个数据平面,所述多个数据平面中每个数据平面用于指示所述两个子网之间失效的逻辑链路,不同数据平面所指示的失效的逻辑链路存在差异,每个逻辑链路对应于至少一条物理链路,每个数据平面中失效的物理链路总数不大于所述最小割;
根据所述多个数据平面确定所述意图对应的链路容忍上限。
在一种可能的实施方式中,所述上限确定模块304,用于:
计算所述物理网络中失效的物理链路数量为第一数量时,所述物理网络中的多个第一集合的总数,所述多个第一集合中每个第一集合内失效的物理链路的数量不大于所述第一数量;
当所述多个第一集合的总数小于预设阈值时,计算所述物理网络中失效的物理链路数量为第二数量时,所述物理网络中的多个第二集合的总数,所述多个第二集合中每个第二集合内失效的物理链路的数量不大于所述第二数量,所述第二数量大于所述第一数量;
当所述第二集合的总数大于所述预设阈值时,确定所述第一数量为所述意图允许失效的物理链路的目标数量。
在一种可能的实施方式中,所述装置300还包括:
配置模块305,用于根据所述物理网络中的意图,在云端配置虚拟网络。
在一种可能的实施方式中,所述虚拟网络包括多个虚拟私有云VPC,每个VPC中的访问控制列表ACL规则数量不超过第一阈值,或所述虚拟网络中的VPC数量不超过第二阈值。
根据本申请实施例的网络意图挖掘装置300可对应于执行本申请实施例中描述的方法,并且图14所示的网络意图挖掘装置300的各个模块的上述和其它操作和/或功能分别为了实现图2中网络意图挖掘装置300所执行的各个方法的相应流程,为了简洁,在此不再赘述。
上述各实施例中,网络意图挖掘过程也可以以单独的硬件设备实现。下面,对实现网络意图挖掘过程的计算设备进行详细介绍。
图15提供了一种计算设备的结构示意图。图15所示的计算设备1500具体可以用于实现上述图2所示实施例中网络意图挖掘装置300的功能。
计算设备1500包括总线1501、处理器1502、通信接口1503和存储器1504。处理器1502、存储器1504和通信接口1503之间通过总线1501通信。总线1501可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extendedindustry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口1503用于与外部通信,例如接收用户100通过客户端提供的网络配置以及物理拓扑结构等。
其中,处理器1502可以为中央处理器(central processing unit,CPU)。存储器1504可以包括易失性存储器(volatile memory),例如随机存取存储器(random accessmemory,RAM)。存储器1504还可以包括非易失性存储器(non-volatile memory),例如只读存储器(read-only memory,ROM),快闪存储器,HDD或SSD。
存储器1504中存储有可执行代码,处理器1502执行该可执行代码以执行前述网络意图挖掘装置300所执行的方法。
具体地,在实现图2所示实施例的情况下,且图2所示实施例中所描述的网络意图挖掘装置300为通过软件实现的情况下,执行图2中的网络意图挖掘装置300的功能所需的软件或程序代码存储在存储器1504中,计算设备1500与其它设备的交互通过通信接口1503实现,如计算设备1500通过通信接口1503接收网络配置以及物理拓扑结构等。处理器用于执行存储器1504中的指令,实现网络意图挖掘装置300所执行的方法。
此外,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算设备上运行时,使得计算设备执行上述图2所示实施例所述的方法。
本申请实施例还提供了一种计算机程序产品,所述计算机程序产品被计算机执行时,所述计算机执行前述网络意图挖掘方法的任一方法。该计算机程序产品可以为一个软件安装包,在需要使用前述网络意图挖掘方法的任一方法的情况下,可以下载该计算机程序产品并在计算机上执行该计算机程序产品。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台转发设备(可以是个人计算机,训练设备,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字软件开发者线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。

Claims (25)

1.一种网络意图挖掘方法,其特征在于,所述方法包括:
获取物理网络的网络配置以及所述物理网络的物理拓扑结构;
根据所述网络配置以及所述物理拓扑结构,确定所述物理网络中的多个路由节点中每个路由节点的转发规则;
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,确定所述物理网络中的意图,所述意图包括如下的多种:可达性意图、关键点意图、负载均衡意图、或者隔离性意图。
2.根据权利要求1所述的方法,其特征在于,所述根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,确定所述物理网络中的意图,包括:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成所述物理网络中的多条路由路径,所述多条路由路径用于转发所述物理网络中多个子网之间的数据包;
根据所述多条路由路径,挖掘所述物理网络中的意图。
3.根据权利要求2所述的方法,其特征在于,所述根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成所述物理网络中的多条路由路径,包括:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成包括所述多个路由节点的转发图,所述转发图用于指示所述多个路由节点的数据包转发行为;
遍历所述转发图,生成所述物理网络中多条路由路径。
4.根据权利要求3所述的方法,其特征在于,所述遍历所述转发图,生成所述物理网络中多条路由路径,包括:
根据所述多个转发规则,确定所述物理网络中目标子网对应的等价类;
遍历所述转发图为所述等价类在所述物理网络中确定一条或多条路由路径。
5.根据权利要求1至4任一项所述的方法,其特征在于,当所述意图包括可达性意图或者关键点意图或者隔离性意图时,所述方法还包括:
根据所述网络配置以及所述物理拓扑结构,确定所述意图对应的链路容忍上限,所述链路容忍上限用于指示所述意图允许失效的最大物理链路的数量。
6.根据权利要求5所述的方法,其特征在于,所述根据所述网络配置以及所述物理拓扑结构,确定所述意图对应的链路容忍上限,包括:
根据所述网络配置以及所述物理拓扑结构,计算所述物理网络中所述意图相关的两个子网之间的最小割;
根据所述两个子网之间的最小割,确定所述意图对应的链路容忍上限。
7.根据权利要求6所述的方法,其特征在于,所述根据所述两个子网之间的最小割,确定所述意图对应的链路容忍上限,包括:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割不大于所述目标数量时,枚举所述物理网络中的多个集合,所述多个集合中每个集合内失效的物理链路的数量不大于所述最小割;
根据所述多个集合确定所述意图对应的链路容忍上限。
8.根据权利要求6所述的方法,其特征在于,所述根据所述两个子网之间的最小割,确定所述意图对应的链路容忍上限,包括:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割大于所述目标数量时,生成多个数据平面,所述多个数据平面中每个数据平面用于指示所述两个子网之间失效的逻辑链路,不同数据平面所指示的失效的逻辑链路存在差异,每个逻辑链路对应于至少一条物理链路,每个数据平面中失效的物理链路总数不大于所述最小割;
根据所述多个数据平面确定所述意图对应的链路容忍上限。
9.根据权利要求7或8所述的方法,其特征在于,所述确定所述意图允许失效的物理链路的目标数量,包括:
计算所述物理网络中失效的物理链路数量为第一数量时,所述物理网络中的多个第一集合的总数,所述多个第一集合中每个第一集合内失效的物理链路的数量不大于所述第一数量;
当所述多个第一集合的总数小于预设阈值时,计算所述物理网络中失效的物理链路数量为第二数量时,所述物理网络中的多个第二集合的总数,所述多个第二集合中每个第二集合内失效的物理链路的数量不大于所述第二数量,所述第二数量大于所述第一数量;
当所述第二集合的总数大于所述预设阈值时,确定所述第一数量为所述意图允许失效的物理链路的目标数量。
10.根据权利要求1至9任一项所述的方法,其特征在于,所述方法还包括:
根据所述物理网络中的意图,在云端配置虚拟网络。
11.根据权利要求10所述的方法,其特征在于,所述虚拟网络包括多个虚拟私有云VPC,每个VPC中的访问控制列表ACL规则数量不超过第一阈值,或所述虚拟网络中的VPC数量不超过第二阈值。
12.一种网络意图挖掘装置,其特征在于,所述装置包括:
信息获取模块,用于获取物理网络的网络配置以及所述物理网络的物理拓扑结构;
规则确定模块,用于根据所述网络配置以及所述物理拓扑结构,确定所述物理网络中的多个路由节点中每个路由节点的转发规则;
意图挖掘模块,用于根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,确定所述物理网络中的意图,所述意图包括如下的多种:可达性意图、关键点意图、负载均衡意图、或者隔离性意图。
13.根据权利要求12所述的装置,其特征在于,所述意图挖掘模块,用于:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成所述物理网络中的多条路由路径,所述多条路由路径用于转发所述物理网络中多个子网之间的数据包;
根据所述多条路由路径,挖掘所述物理网络中的意图。
14.根据权利要求13所述的装置,其特征在于,所述意图挖掘模块,用于:
根据所述物理拓扑结构以及所述多个路由节点的多个转发规则,生成包括所述多个路由节点的转发图,所述转发图用于指示所述多个路由节点的数据包转发行为;
遍历所述转发图,生成所述物理网络中多条路由路径。
15.根据权利要求14所述的装置,其特征在于,所述意图挖掘模块,用于:
根据所述多个转发规则,确定所述物理网络中目标子网对应的等价类;
遍历所述转发图为所述等价类在所述物理网络中确定一条或多条路由路径。
16.根据权利要求12至15任一项所述的装置,其特征在于,当所述意图包括可达性意图或者关键点意图或者隔离性意图时,所述装置还包括:
上限确定模块,用于根据所述网络配置以及所述物理拓扑结构,确定所述意图对应的链路容忍上限,所述链路容忍上限用于指示所述意图允许失效的最大物理链路的数量。
17.根据权利要求16所述的装置,其特征在于,所述上限确定模块,用于:
根据所述网络配置以及所述物理拓扑结构,计算所述物理网络中所述意图相关的两个子网之间的最小割;
根据所述两个子网之间的最小割,确定所述意图对应的链路容忍上限。
18.根据权利要求17所述的装置,其特征在于,所述上限确定模块,用于:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割不大于所述目标数量时,枚举所述物理网络中的多个集合,所述多个集合中每个集合内失效的物理链路的数量不大于所述最小割;
根据所述多个集合确定所述意图对应的链路容忍上限。
19.根据权利要求17所述的装置,其特征在于,所述上限确定模块,用于:
确定所述意图允许失效的物理链路的目标数量;
当所述两个子网之间的最小割大于所述目标数量时,生成多个数据平面,所述多个数据平面中每个数据平面用于指示所述两个子网之间失效的逻辑链路,不同数据平面所指示的失效的逻辑链路存在差异,每个逻辑链路对应于至少一条物理链路,每个数据平面中失效的物理链路总数不大于所述最小割;
根据所述多个数据平面确定所述意图对应的链路容忍上限。
20.根据权利要求18或19所述的装置,其特征在于,所述上限确定模块,用于:
计算所述物理网络中失效的物理链路数量为第一数量时,所述物理网络中的多个第一集合的总数,所述多个第一集合中每个第一集合内失效的物理链路的数量不大于所述第一数量;
当所述多个第一集合的总数小于预设阈值时,计算所述物理网络中失效的物理链路数量为第二数量时,所述物理网络中的多个第二集合的总数,所述多个第二集合中每个第二集合内失效的物理链路的数量不大于所述第二数量,所述第二数量大于所述第一数量;
当所述第二集合的总数大于所述预设阈值时,确定所述第一数量为所述意图允许失效的物理链路的目标数量。
21.根据权利要求12至20任一项所述的装置,其特征在于,所述装置还包括:
配置模块,用于根据所述物理网络中的意图,在云端配置虚拟网络。
22.根据权利要求21所述的装置,其特征在于,所述虚拟网络包括多个虚拟私有云VPC,每个VPC中的访问控制列表ACL规则数量不超过第一阈值,或所述虚拟网络中的VPC数量不超过第二阈值。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算设备上运行时,使得所述计算设备执行如权利要求1至权利要求11任一项所述的方法的操作步骤。
24.一种计算设备,其特征在于,所述计算设备处理器和存储器;
所述存储器,用于存储计算机指令;
所述处理器,用于根据所述计算机指令执行如权利要求1至11任一项所述方法的操作步骤。
25.一种包含指令的计算机程序产品,当其在计算设备上运行时,使得所述计算设备执行如权利要求1至11任一项所述方法的操作步骤。
CN202210447023.1A 2022-04-26 2022-04-26 一种网络意图挖掘方法、装置及相关设备 Pending CN116996387A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210447023.1A CN116996387A (zh) 2022-04-26 2022-04-26 一种网络意图挖掘方法、装置及相关设备
PCT/CN2022/133151 WO2023207048A1 (zh) 2022-04-26 2022-11-21 一种网络意图挖掘方法、装置及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210447023.1A CN116996387A (zh) 2022-04-26 2022-04-26 一种网络意图挖掘方法、装置及相关设备

Publications (1)

Publication Number Publication Date
CN116996387A true CN116996387A (zh) 2023-11-03

Family

ID=88517186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210447023.1A Pending CN116996387A (zh) 2022-04-26 2022-04-26 一种网络意图挖掘方法、装置及相关设备

Country Status (2)

Country Link
CN (1) CN116996387A (zh)
WO (1) WO2023207048A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8887266B2 (en) * 2010-01-08 2014-11-11 Board Of Trustees Of Michigan State University Method for computing network reachability
WO2016019172A1 (en) * 2014-07-30 2016-02-04 Forward Networks, Inc. Systems and methods for network management
GB201706475D0 (en) * 2017-04-24 2017-06-07 Microsoft Technology Licensing Llc Communications network node
US10938726B2 (en) * 2017-09-06 2021-03-02 Nicira, Inc. Internet protocol flow data including firewall rules
WO2020206361A1 (en) * 2019-04-05 2020-10-08 Google Llc Cloud network reachability analysis

Also Published As

Publication number Publication date
WO2023207048A1 (zh) 2023-11-02

Similar Documents

Publication Publication Date Title
EP2552065B1 (en) Controller placement for fast failover in the split architecture
US8325720B2 (en) System and method for simulating IP network routing
US9807000B2 (en) Method for constituting hybrid network spanning trees, method of redundancy, and control system thereof
JP2015533049A (ja) ネットワークにおけるトポロジ及びパス検証のための方法及び装置
US9253038B2 (en) End-to-end network access analysis
Salsano et al. Hybrid IP/SDN networking: open implementation and experiment management tools
US9537749B2 (en) Method of network connectivity analyses and system thereof
US20050135274A1 (en) Centralized link-scope configuration of an internet protocol (IP) network
CN111835532A (zh) 网络验证的方法和装置
CN113746760A (zh) 通信方法、网络控制器和计算机可读存储介质
US7886027B2 (en) Methods and arrangements for activating IP configurations
CN114827002B (zh) 多域网络安全路径计算方法、系统、设备、介质及终端
CN108400922B (zh) 虚拟局域网络配置系统与方法及其计算机可读存储介质
CN106453088B (zh) 一种静态路由配置方法及终端
US20160323313A1 (en) Moving-target defense with configuration-space randomization
US20230231806A1 (en) Ghost routing
CN116996387A (zh) 一种网络意图挖掘方法、装置及相关设备
US11438237B1 (en) Systems and methods for determining physical links between network devices
US10924382B1 (en) Rapid and verifiable network configuration repair
CN114070746A (zh) 一种用于多类型传输网络的电路串接方法及系统
Talhar et al. An adaptive approach for controller placement problem in software defined networks
CN114598698A (zh) 一种数据传输方法、装置、电子设备及计算机存储介质
Bandhakavi et al. Analyzing end-to-end network reachability
de Silva et al. Formal analysis approach on networks with dynamic behaviours
US11936558B1 (en) Dynamic evaluation and implementation of network mutations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication