CN117978535A - 用于基于策略的联网的方法及系统 - Google Patents
用于基于策略的联网的方法及系统 Download PDFInfo
- Publication number
- CN117978535A CN117978535A CN202410281154.6A CN202410281154A CN117978535A CN 117978535 A CN117978535 A CN 117978535A CN 202410281154 A CN202410281154 A CN 202410281154A CN 117978535 A CN117978535 A CN 117978535A
- Authority
- CN
- China
- Prior art keywords
- network
- policy
- packet
- wan
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000006855 networking Effects 0.000 title claims abstract description 16
- 238000013519 translation Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 12
- 230000014616 translation Effects 0.000 description 15
- 238000003860 storage Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000443 biocontrol Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/33—Flow control; Congestion control using forward notification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/35—Flow control; Congestion control by embedding flow control information in regular packets, e.g. piggybacking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及用于基于策略的联网的方法及系统。本公开利用策略配置来配置网络装置,其中网络装置被耦合到至少一个广域网WAN;接收具有至少一个WAN上的目的地地址的传出分组;基于传出分组被接收的端口和源自传出分组的应用,将传出分组与策略配置相关联;基于策略配置确定被分配给端口和应用的网络分段;将策略头部附加到传出分组;附加与关联于网络分段的至少一个WAN接口兼容的WAN头部,从而形成传出WAN分组;以及将传出WAN分组转发到至少一个WAN接口。
Description
本申请为发明名称为“用于基于策略的分组处理的方法、设备和系统”的原中国发明专利申请的分案申请,其中原申请的申请号为202110119141.5,原申请的申请日为2021年1月28日。
技术领域
本申请一般涉及计算机联网,并且更具体地涉及用于利用网络策略信息的网络分组生成和处理分组的系统和方法。
背景技术
在先前的网络架构中,分支办公室网络将经由路由器使用WAN(广域网)连接而连接到数据中心。租用的WAN线路能够使用多协议标签转换(MPLS)作为连接协议,并且因为所有的应用都驻留在数据中心,因此这是可行的架构。对数据中心和应用的访问控制跨每个后台办公室的路由器分布,每个路由器必须单独配置。进一步的,其它安全措施必须单独配置。
现在,联网的架构包括SaaS(软件即服务)应用。这些应用已经从企业数据中心移动到互联网云。这样的云应用的示例有谷歌云、亚马逊AWS、Dropbox、Salesforce。通过中央数据中心路由回到这些应用有一个缺点是增加了额外的延迟,并且可能阻塞回到数据中心的租用的线路的带宽。为了能够利用互联网访问,以将数据路由到这些SaaS应用,该架构需要利用对互联网的直接访问。
这驱使了对软件定义的网络(SD-WAN)的需求,用于分段WAN和直接互联网访问之间的流量。进一步的,管理针对成百上千分段的访问控制、分段之间的隧道以及这些分段的安全性可能很复杂并且易于出现人为错误。需要一种联网的架构,其中广域网分组包括网络分段、应用和安全信息。
发明内容
此发明内容被提供来以简化的形式介绍概念的选集,这将在下面的具体实施方式部分中被进一步描述。此发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在被用作帮助确定所要求保护的主题的范围。
通常,本公开内容针对一种用于生成和处理包含策略信息的广域网分组的方法、设备和系统。策略信息可以包括但不限于网络分段信息和安全信息。在本发明的一方面,分组被接收并且准备好在WAN上发送。基于分组的源和目的,它与策略配置相关联。如果分组具有有效的策略配置,则策略头部被添加到可以包含安全信息的分组。进一步的,分组可以包括联网分段信息、应用信息、隧道和地址转换信息。接收到的或传入分组与策略配置相关联,并且根据策略配置进行验证。如果分组符合策略配置,那么有效载荷被转发到它们的目标地址所指示的接口。进一步的,分组有效载荷可以被加密,并且在分组的有效载荷上执行网络地址转换。
附图说明
示例性实施例通过示例的方式被说明,并且不限制于在附图中的图,其中相同的附图标记指示相同的元素。
图1图示了现有的广域网架构,其中SaaS应用流量通过公共服务器被回传(backhaul)。
图2图示了示例性广域网架构,其具有直接连接到互联网和WAN联网的资源的多个网络装置。
图3A是网络装置的框图。
图3B是策略配置的示例性表格。
图4是根据共享的策略配置生成传出广域网分组的过程的流程图。
图5是根据共享的策略配置处理传入广域网分组的过程的流程图。
图6A是用于配置路由覆盖、防火墙区域和地址转换的示例性用户接口。
图6B是用于配置联网分段的示例性用户接口。
图6C是用于配置防火墙区域分段的示例性用户接口。
图6D是用于配置分段间路由的示例性用户接口。
图7A是包括策略头部的示例广域分组。
图7B是包括策略头部的示例经加密的广域分组。
具体实施方式
以下详细描述包括附图的参考,其形成详细描述的一部分。附图根据示例性实施例示出了图示。这些示例性实施例,在本文中也被称为“示例”被足够详细的描述,以使得那些本领域技术人员能够实践本主题。实施例可以被组合,其它实施例可以被利用,或者不偏离所要求保护的范围的结构的、逻辑的以及电气的变化可以被做出。因此,下面的详细描述并不视为有限制意义,并且范围被所附权利要求书和其等价物所定义。在本文中,术语“一”和“一个”如在专利文件中很常见的,被使用来包括一个或多个。在本文中,除非另有说明,术语“或者”被用于指代无排他性的“或者”,以使得“A或者B”包括“A但没有B”、“B但没有A”以及“A和B”。
本文公开的实施例可以使用各种技术实现。例如,本文描述的方法可以在包含一台或多台计算机的计算机系统上执行的软件中被实现,或者在利用或者微处理器组合或者其他特殊设计的专用集成电路(ASICs)、可编程逻辑设备、或者以上的各种组合的硬件中被实现。特别地,本文描述的方法可能通过驻留在存储介质(诸如磁盘驱动器或者计算机可读介质)上的一系列计算机可执行指令来实现。
本文所描述的实施例涉及广域网,其使用基于策略配置联网的分组的生成和处理。图1图示了联网的架构100的现有技术的图示。在此架构中,数个分支办公室10被连接到可以包括数据中心的中央办公室20。来自分支办公室10的所有数据经由路由15、通过WAN30和其它联网装备被传送回到中央办公室以用于处理。WAN 30可以是租用的通信链路或其他服务提供商的网络。
当应用在分支办公室10处利用SaaS(软件即服务)50(办公软件(MS Office)、云存储、…),它们通过互联网40经由路由器15回到中央办公室而被访问。然而,通过WAN 30路由所有数据可能减缓SaaS应用50的性能。进一步的,这样的架构缺乏集中的安全性以及用于配置的统一的管理系统。
图2图示了使用SD-WAN(软件定义的广域网)架构200的新的架构,该架构可以被用来提供远程办公室10、数据中心20和SaaS应用50之间的访问。若干分支办公室10通过WAN网络30使用网络装置250被绑定到数据中心20。SaaS/云应用50可以通过互联网40,在每个分支办公室10处使用通信链路127被访问。该架构的优点是需要较少的WAN链路和更少的带宽。每个远程办公室10可以直接利用低成本和快速的互联网40服务访问SaaS/云应用50。
然而,需要基于应用的类型、用于办公室网络分隔分段的公司策略以及安全性来控制访问WAN。该控制可以被称为网络策略或者策略配置。进一步的,具有中央协调器是有益的,其用以居中地并且均一地使用策略配置信息来配置网络装置250中的每一个网络装置,并且为每个WAN分组包括这个安全信息。
WAN带宽可以被划分为分段,其中公司网络的不同部分实际上与其它部分保持分离。例如,可以有实时数据、声音或者视频的分段,其中有经保证的服务质量。对于SD-WAN(软件定义的广域网),这些网络分段是软件定义的,并且在协调器上居中地创建,并且在在网络装置上被配备(provision)。
策略配置是对网络流量分段规则的规范。不同网络流量分段可以被看成是有不同的业务意图。因此,不同的网络分段可以基于需要的服务质量、带宽、应用以及它们的安全要求被管理。这些业务意图可以被称为业务意图覆盖(business intent overlay)。
策略配置可以通过与所有网络装置250通讯的计算机或者服务器被编排(orchestrate),通常在被称为网络的管理平面上进行。每个网络装置250可以具有唯一标识符,因此它们可以将这些规则应用于它们传入和传出网络流量。网络装置250知道在它们在哪个接口接收分组,并且是应用感知的。策略配置基于指定的规则和关系约束网络流量。这些规则和关系基于网络分段、应用发送和接收数据以及安全配置。每个网络装置可以接收相同的策略配置以便安全配置跨网络被统一的实施。
图3A图示了在本发明示例性实施方式中的网络装置250的框图。装置250包括处理器310、存储器320、WAN通信接口330、LAN通信接口340以及数据库和存储装置350设备。系统总线380链接处理器310、存储器320、WAN通信接口330、LAN通信接口340以及数据库350。当部署在分支位置中时,线360将WAN通信接口330链接到WAN 127(在图2中),并且线370将LAN通信接口11链接到图2中的计算机140。
数据库和存储装置350包括硬件和/或软件元素,其被配置成以有组织的格式来存储数据,以允许处理器310创建、修改和检索数据。这包括用于处理传入和传出数据以及存储策略配置的软件程序。数据库和存储装置350可以包括策略配置390(也如图3B所示)。在网络装置250运行期间,策略配置可以被存储在存储器320中。数据库350的硬件和/或软件元素可以包括存储设备,诸如RAM、硬盘驱动器、光驱、闪存和磁带。
在一些实施例中,一些网络装置250包括相同的硬件和/或者软件元素。备选地,在其他实施例中,一些网络装置250,诸如第二装置,可能包括提供额外的处理、通信和存储容量的硬件和/或软件元素。进一步的,涉及实施联网的策略配置的路由功能可以在网络装置250内被执行。
图3B是表示策略配置390信息的表格的一个示例性实施例。策略配置390被示出为表格,但是可以以其它数据结构被表示,包括但不限于数据库条目、链表或者平面文件,并且不限于图3B所示的表示。进一步的,所示出的网络分段和安全性信息并不被认为是详尽的,并且可以包括任何其它涉及网络分段、网络隧道(tunneling)、防火墙和地址转换的信息。尽管策略配置390在图3A中被示出为数据库和存储装置350的一部分,但当网络装置250根据策略配置390在处理传入和传出分组时,其可以被载入到计算机存储器320中。
策略配置390可以通过可以被称为协调器(Orchestrator)(未示出)的单个服务器被分配到多个网络装置250中。在一个实施例中,策略配置390的设置在单个位置处被执行。相同的策略配置390可以被发送到所有网络装置250。还预期的是,针对每个网络装置250或者针对被截断的策略配置390修改策略配置390。有利的是,策略配置390的集中管理简化了配置过程,最小化错误的可能性,并且提供一种更新安全策略的快速方法。
表格392定义了网络分段之间的关系,被称为分段或者VRF(虚拟路由和转发)以及BIO(业务意图覆盖)。业务意图覆盖(BIO)指定如何在网络内处理具有特定特性的流量。多个BIO可以针对不同类型的流量被创建。哪个流量匹配特定的BIO,要么是由其进入装置所通过的接口上的标签被确定的,或者是由匹配流量到访问列表被确定的。BIO控制类似以下的事物:用以传输流量的WAN端口和网络类型,以及如果偏好的链路下降或者未满足指定的性能阈值该做什么。因此,该表格392为生成以及转发分组提供了策略或者规则。针对进一步的信息,专利公开文本US2016/0255542 A1“虚拟广域网覆盖(Virtual Wide AreaNetwork Overlays”提供了网络覆盖上的更多的信息,并且其通过引用被并入。
表格394定义了VRF和其它策略之间的关系,包括但不限于针对适用分段的防火墙区域的覆盖策略,将采用D-NAT(目的地网络地址转换)和S-NAT(源网络地址转换)的网络地址。网络装置250可以在生成、验证和处理传入和传出WAN分组时使用该表格的配置。
表格396定义了什么网络地址和网络协议被允许通过防火墙区域和在防火墙区域之间。图6A-图6D提供了示例用户界面的描述,用于进入策略配置250的参数。
图4描绘了由网络装置(诸如图2的装置250)的针对基于联网的政策的示例性方法。根据策略配置390处理和生成分组数据。进一步的,该方法将相关联的策略配置390信息,包括但不限于网络分段、应用数据和安全相关信息附加到传出分组中,用于通过接收网络装置250根据策略配置390进行验证。
在步骤405中,一个或多个网络装置250被配置有策略配置。在一个实施例中,所有网络装置250被配置为相同的策略配置。因此,在没有人工干预和人工输入错误的可能性的情况下,大型网络配置可以被统一实施。每个网络装置250将必须有标识符来知道它在配置策略390中的网络内的关系。
在步骤410中,网络装置250接收传出分组,其包括在WAN网络上的目的地地址。网络装置250可以被配置有一个或多个WAN网络,包括但不限于互联网、MPLS或者专用网络线路。传出分组可以起源于源,包括但不限于LAN网络、VoIP系统以及视频系统。
在步骤415中,传出分组与策略配置390相关联,策略配置390与接收分组的网络装置250有关。该关联包括由在其上分组被接收的端口的分组的分类,以及分组从其起源的应用的确定。精通网络编程和设计的本领域技术人员应该知道如何检查并分类分组。该信息与对于端口和应用的策略配置390参数相匹配。然后可以检查策略配置以确定端口和应用被分配哪个网络分段。
在步骤420中,传出分组针对策略配置被验证。验证可以包括证实传出分组目的地与源在同样的网络分段之内。传出分组还可以被验证安全性来证实目的地地址位于策略配置390中指定的防火墙区域之内。
进一步的,如果传出分组目的地在不同的网络分段上,则可以针对网络分段之间的分组隧道进行策略配置检查。
验证可以包括安全策略。这些可以包括粒度应用可见性匹配标准方法。例如,在一个网络分段中的无线访客用户(访客Wifi)可以浏览互联网但是不被允许转到社交媒体网站或者玩在线游戏,而在其它网络分段的用户只可以访问企业SaaS应用但不可以浏览互联网、转到社交网站或者玩在线游戏。在一个实施例中,当一个特定的应用被拒绝时,用户的浏览器会话会看到超时。
其它策略检查被制成包括传出分组是否被加密,以及应该使用哪种加密协议。
进一步的,策略配置390可以指示将有传出分组的地址转换。不同地址转换协议可以被使用,包括但不限于S-NAT和D-NAT。
在步骤425中,策略头部被添加到传出分组。策略头部可以包含但不限于网络分段信息、防火墙区域信息、用于网络分段之间联网的隧道信息,以及地址转换信息。传出分组附加上所附加的策略头部形成了分组有效载荷。
在可选的步骤430中,传出分组有效载荷可以被加密。加密的协议可以包括但不限于UDP-IPsec(RFC 3948)、IKE-IPsec(互联网密钥交换协议)和GRE-IPsec(通用路由封装)。该步骤可以包括根据协议用途添加IPsec头部。
在步骤435中,WAN头部被添加到传出有效载荷从而形成WAN分组。WAN头部的格式被选择为与通过由策略配置所标识的网络分段所指示的WAN接口兼容。
在步骤440中,WAN分组被转发到WAN接口,用于在所选择的网络上传输。
方法400可以进一步的包括方法500,用于接收和处理传入WAN分组、解密它、验证WAN分组,以及如果需要提供网络地址转换。图5描绘了针对网络装置(诸如图2和图3A的装置250)根据策略配置390来处理传入分组的示例性方法。
在步骤505中,传入WAN分组从网络装置上的广域网接口中的一个广域网接口被接收。这可以包括来自互联网、MPLS服务或者其它租用的联网线路的WAN分组。
在步骤510中,WAN头部被从WAN分组移除。这导致传入分组有效载荷的剩余。该分组的有效载荷包括第二策略头部。
在可选的步骤515中,如果经加密的分组有效载荷被解密并且移除了任何安全协议头部。加密协议可以包括但是并不限于UDP-IPsec、IKE-IPsec或者GRE-IPsec。
在步骤520中,第二策略头部与策略配置390相关联,策略配置390与接收到传入分组的网络装置250有关。关联包括通过在其上分组被接收的端口的对传入分组的分类以及确定分组从哪个应用起源。精通网络编程和设计的本领域技术人员应该知道检查哪个字段以对传入分组分类。该信息与对于端口和应用的策略配置390参数相匹配。
在步骤525中,第二策略头部被验证。网络装置知道接收到的传入分组是哪个网络分段的。传入分组路由可以基于网络接口的标签对第二策略头部进行验证,头部或者使用各种分组检查技术的更复杂的策略进行验证。例如,传入流量可能已经被混合,并且装置需要使用流量统计和分组内容的结合来将它分离到流量类别(例如声音、视频和数据)中。进一步的,验证可以包括验证策略配置允许传入分组将被转发到目的地地址。还可以进行安全验证,其中端口和目的地网络地址的防火墙区域被验证。如果分组没有满足针对联网的分段、允许的应用和安全性的策略配置,那么分组可以被丢弃。
在步骤530中,第二策略头部被从传入WAN分组移除。第二策略头部被添加以符合和验证传入分组满足策略配置。它必须在转发分组到其它目的地之前被移除,以与目的地网络相兼容,通常地是LAN。
在可选的步骤535中,如果由第二策略头部所指示,目的地地址被转换。多个分支办公室可能正在使用相同的IP地址,并且因此,如果使用将会导致冲突。可以使用包括但不限于D-NAT和S-NAT的标准NAT协议进行IP地址转换。
在步骤540中,传入分组被转发到接口,分组目的地地址位置位于其上。该步骤可以包括附加与传入分组目的地地址相关联的网络协议头部。该步骤可以包括在传入分组内附加与目的地地址相关联的网络协议头部。
图6A图示了用于配置策略配置390的网络分段(路由分段)的路由分段用户接口610的一个实施例。该接口页面能够创建和标记网络分段名称612。覆盖和中断策略可以针对每个分段被指定。覆盖是针对不同流量类型和策略(诸如VoIP)被创建的逻辑隧道。中断指定针对互联网SaaS应用或者针对访客WiFi流量的策略配置。
路由分段用户接口610还提供用于指定的防火墙区域策略616的字段。防火墙区域是接口和附接到接口的网络分段的集合。它可以具有物理接口、逻辑接口、子接口和VLAN标记的接口。接口属于单一区域,但是区域可以有多个接口。在SD-WAN的实施例中,基于区域的防火墙将区域的概念扩展到WAN,并且包括被LAN分段分离的覆盖。该区域信息可以被存储在策略配置390中,并且包括SD-WAN分组的生成、验证和处理。
路由分段用户接口610包括用于指定针对分段建路由和D-NAT 618的策略配置的字段。一些网络流量可能需要跨网络分段或者VRF传输,并且这些异常可以在此字段中被配置。从一个网络分段向另一个网络分段传输分组通常由于网络分段而被阻塞。跨过分段流量的异常可以在该字段618中被指定。另一个可能发生的问题是网络地址冲突。在不同网络分段上的两个计算机可能具有相同的目的地地址。分段间路由和D-NAT字段618提供目的地地址转换分组。此外,该分段间路由和D-NAT可以是策略配置390的一部分。
图6B图示了用于配置VFR和BIO之间的关联的用户接口630的一个实施例。对于给定的BIO,包括哪个VRF被指定为BIO的一部分。此外,这些用户配置作为策略配置的一部分被存储,并且用于分组的生成、验证和处理。
图6C图示了用于配置防火墙区域策略的用户接口650的一个实施例。防火墙区域是接口和附接到接口的网络分段的集合。规则652可以针对以下几项被指定:哪些IP地址可以接收数据以及哪些IP地址可以被允许在区域之间传输。
图6D图示了用于配置网络地址的用户接口670的一个实施例,其在不同网络分段之间可以有隧道,以及网络分段或者VRF之间的地址转换。对于每个VRF672,676具有地址转换,将被转换的IP地址674可以被指定。
图7A和图7B示出了具有嵌入在分组中的策略头部的WAN分组700A、700B的两个实施例头部。分组被网络装置250生成和处理。来自局域网11的数据可以被网络装置250接收,并且如果目的地地址在局域网之外,用于生成WAN分组。
图7A图示了简化的未加密WAN分组。分组可以包括WAN头部710、策略头部720以及有效载荷730。有效载荷730是从LAN接收的数据。它可以包括来自LAN的分组头部(未显示)。进一步的,如果网络地址转换被应用于分组,有效载荷730可以被修改。
WAN头部710是头部需要在图2中的WAN链路125上通信的头部,网络设备在WAN链路125上通信。这些WAN可以由服务提供商指定,或者由用于在中央办公室和数据中心之间的租用线路之上连接的装备决定。
策略头部720可以包括但不限于网络分段、关于生成和发送分组的应用的信息、防火墙区域724以及其它信息726。分段ID722标识WAN分组应该被发送或者来自哪个分段或者VRF。网络配置领域的技术人员将知道对于网络装置250如何配置系统,以选择符合需要的策略配置的分段。防火墙区域724限制向策略配置390内指定的防火墙区域内的其它网络地址的通信。其它信息726可以包括关于被使用的安全协议或者装备标识符的信息。装备标识符可以包括生成WAN分组的装备制造或者单个的网络装置250的标识符。
当WAN分组700A被生成时,策略头部被生成以与策略配置390一致。当实施例WAN分组700A被验证时,策略头部被用于验证分组与策略配置390一致。
图7B示出利用加密的WAN分组的备选实施例。三种加密的分组格式750、770和790根据三种不同的加密协议UDP-IPsec、IKE-IPsec和GRE被加密。被添加到安全分组有效载荷的是策略头部760。该头部被添加到在SD-WAN上被发送的每个分组上,并且在SD-WAN上接收到的每个分组上被找到。策略头部760可以包括但不限于标识符763、和区域标识符764以及路由分段标识符765。
Claims (20)
1.一种用于基于策略的联网的方法,包括以下步骤:
利用策略配置来配置网络装置,其中所述网络装置被耦合到至少一个广域网WAN;
接收具有所述至少一个WAN上的目的地地址的传出分组;
基于所述传出分组在其上被接收的端口和所述传出分组所源自的应用,将所述传出分组与所述策略配置相关联;
基于所述策略配置确定被分配给所述端口和所述应用的网络分段;
将策略头部附加到所述传出分组;
附加与关联于所述网络分段的至少一个WAN接口兼容的WAN头部,从而形成传出WAN分组;以及
将所述传出WAN分组转发到所述至少一个WAN接口。
2.根据权利要求1所述的方法,其中所述策略配置定义网络分段和覆盖之间的关系,其中所述覆盖基于与所述网络流量通过其进入所述网络装置的接口相关联的标签或访问列表中的至少一者来指定对分组的处理,并且其中所述基于所述策略配置确定被分配给所述端口和所述应用的所述网络分段包括:
确定所述传出分组与关联于覆盖的标签或访问列表中的至少一者相匹配;以及
附加包括用于关联于所述覆盖的网络分段的网络分段标识符的第一策略头部,以生成传出网络流量。
3.根据权利要求2所述的方法,其中所述覆盖与虚拟路由和转发VRF相关联,并且其中所述附加包括用于关联于所述覆盖的网络分段的网络分段标识符的第一策略头部包括:
附加用于与所述覆盖相关联的VRF的标识符。
4.根据权利要求1所述的方法,其中所述策略配置定义包括覆盖或中断的用于所述网络分段的至少一个安全策略,其中所述覆盖基于访问所述网络分段的不同流量类型指定逻辑隧道,并且其中所述中断指定用于所述网络分段的互联网软件即服务SaaS应用控制或访客无线访问控制中的至少一者。
5.根据权利要求1所述的方法,其中所述策略配置定义适用于所述网络分段的至少一个防火墙区域策略,其中所述防火墙区域策略定义与所述网络分段相关联的第一防火墙区域和与不同的网络分段相关联的第二防火墙区域之间的关系,并且其中所述方法包括:
确定所述至少一个防火墙区域策略允许将所述传出WAN分组从所述网络分段转发到所述不同的网络分段。
6.根据权利要求1所述的方法,其中所述策略配置定义至不同的网络分段的至少一个隧道,并且其中所述方法包括:
确定所述目的地地址与所述网络分段相比处于所述不同的网络分段上;以及
将所述目的地地址转换为与所述不同的网络分段相关联的不同地址。
7.根据权利要求1所述的方法,还包括:
确定所述传出分组是通过局域网LAN接收的;以及
确定所述目的地地址在所述LAN之外。
8.根据权利要求1所述的方法,其中所述策略头部包括与所述网络分段相关联的网络分段标识符、关于所述应用的信息、或与所述网络分段相关联的防火墙区域中的至少一者。
9.根据权利要求1所述的方法,其中所述网络分段标识符标识所述传出分组从哪个网络分段被接收或被发送到哪个网络分段。
10.一种用于基于策略的联网的方法,包括以下步骤:
利用策略配置来配置网络装置,其中所述网络装置被耦合到至少一个广域网WAN及局域网LAN;
从与所述至少一个WAN相关联的WAN接口接收传入分组,所述传入分组包括WAN头部和策略头部;
从所述传入分组中移除所述WAN头部,其中所述移除所述WAN头部留下包括所述策略头部的传入分组有效载荷;
关联所述策略头部与所述策略配置;
基于所述策略头部确定用于所述传入分组的目的地地址;
从所述传入分组有效载荷中移除所述策略头部,以生成修改后的分组;
附加与所述目的地地址相关联的网络协议头部;以及
将修改后的所述分组转发到与所述LAN相关联的接口。
11.根据权利要求10所述的方法,其中所述关联所述策略头部包括:
基于所述传入分组在其上被接收的端口对所述传入分组进行分类;
确定所述传入分组所源自的应用;以及
将所述端口和所述应用与所述策略配置中的参数进行匹配。
12.根据权利要求10所述的方法,所述方法还包括:
解密所述传入分组有效载荷;以及
从所述策略头部中移除至少一个安全协议头部。
13.根据权利要求12所述的方法,其中所述传入分组有效载荷使用UDP-IPsec、IKE-IPsec和GRE-IPsec中的至少一者被加密。
14.根据权利要求10所述的方法,还包括:
基于与所述WAN接口相关联的标签,验证所述策略头部;以及
确定所述策略配置允许所述传入分组被转发到所述目的地地址。
15.根据权利要求10所述的方法,还包括:
确定所述策略头部指示所述目的地地址的转换;以及
转换所述目的地地址。
16.根据权利要求10所述的方法,还包括:
从所述WAN接口接收第二传入分组;
确定所述第二传入分组是否满足用于与所述网络装置相关联的网络分段的所述策略配置;以及
基于确定所述第二传入分组不满足用于所述网络分段的所述策略配置,丢弃所述第二传入分组而不转发所述第二传入分组。
17.根据权利要求10所述的方法,其中所述传入WAN分组从多协议标签转换MPLS服务被接收。
18.一种用于基于策略的联网的系统,所述系统包括:
多个网络装置,所述多个网络装置中的每个网络装置具有连接到一个广域网WAN的网络接口;以及
协调器设备,所述协调器设备与所述多个网络装置中的每个网络装置通信,其中所述协调器设备被配置为:
维护将一个或多个网络分段分配给一个或多个覆盖的策略配置,其中:
将通过所述网络装置的所述网络接口进入的网络流量将与基于与所述网络接口相关联的标签的覆盖相匹配;以及
所述网络流量将与基于匹配的所述覆盖的网络分段相关联;以及
将所述策略配置分发到所述多个网络装置。
19.根据权利要求18所述的系统,其中所述策略配置包括所述网络分段与第二网络分段之间的至少一个关联,所述网络流量将在分段间路由中被转发到所述第二网络分段。
20.根据权利要求18所述的系统,其中所述策略配置包括用于所述网络分段的防火墙区域策略。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/868,452 | 2020-05-06 | ||
| US16/868,452 US11528299B2 (en) | 2020-05-06 | 2020-05-06 | Method device and system for policy based packet processing |
| CN202110119141.5A CN113709091B (zh) | 2020-05-06 | 2021-01-28 | 用于基于策略的分组处理的方法、设备和系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110119141.5A Division CN113709091B (zh) | 2020-05-06 | 2021-01-28 | 用于基于策略的分组处理的方法、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117978535A true CN117978535A (zh) | 2024-05-03 |
Family
ID=74418202
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110119141.5A Active CN113709091B (zh) | 2020-05-06 | 2021-01-28 | 用于基于策略的分组处理的方法、设备和系统 |
| CN202410281154.6A Pending CN117978535A (zh) | 2020-05-06 | 2021-01-28 | 用于基于策略的联网的方法及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110119141.5A Active CN113709091B (zh) | 2020-05-06 | 2021-01-28 | 用于基于策略的分组处理的方法、设备和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11528299B2 (zh) |
| EP (1) | EP3907964A1 (zh) |
| CN (2) | CN113709091B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115334045B (zh) * | 2022-08-12 | 2023-12-19 | 迈普通信技术股份有限公司 | 报文转发方法、装置、网关设备及存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003261445A1 (en) * | 2002-08-09 | 2004-02-25 | Netscout Systems Inc. | Intrusion detection system and network flow director method |
| US8572249B2 (en) * | 2003-12-10 | 2013-10-29 | Aventail Llc | Network appliance for balancing load and platform services |
| US8422491B2 (en) * | 2007-04-18 | 2013-04-16 | Waav Inc. | Mobile network configuration and method |
| US9717021B2 (en) | 2008-07-03 | 2017-07-25 | Silver Peak Systems, Inc. | Virtual network overlay |
| US9426067B2 (en) * | 2012-06-12 | 2016-08-23 | International Business Machines Corporation | Integrated switch for dynamic orchestration of traffic |
| CN112383962B (zh) | 2014-03-03 | 2023-12-19 | 柏思科技有限公司 | 用于通过隧道组传输和接收数据的方法和系统 |
| US9590911B2 (en) | 2014-06-27 | 2017-03-07 | iPhotonix | Wireless area network (WAN) overloading |
| US9686181B2 (en) * | 2014-10-07 | 2017-06-20 | Cisco Technology, Inc. | Selective service bypass in service function chaining |
| US9935882B2 (en) * | 2015-05-13 | 2018-04-03 | Cisco Technology, Inc. | Configuration of network elements for automated policy-based routing |
| US10862807B2 (en) * | 2018-09-19 | 2020-12-08 | Cisco Technology, Inc. | Packet telemetry data via first hop node configuration |
-
2020
- 2020-05-06 US US16/868,452 patent/US11528299B2/en active Active
-
2021
- 2021-01-28 CN CN202110119141.5A patent/CN113709091B/zh active Active
- 2021-01-28 CN CN202410281154.6A patent/CN117978535A/zh active Pending
- 2021-01-29 EP EP21154201.4A patent/EP3907964A1/en active Pending
- 2021-08-04 US US17/394,196 patent/US11665202B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113709091B (zh) | 2024-03-08 |
| EP3907964A1 (en) | 2021-11-10 |
| CN113709091A (zh) | 2021-11-26 |
| US20210367978A1 (en) | 2021-11-25 |
| US11665202B2 (en) | 2023-05-30 |
| US20210352109A1 (en) | 2021-11-11 |
| US11528299B2 (en) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3058687B1 (en) | Configurable service proxy mapping | |
| JP6910348B2 (ja) | サービスルール処理のための、サービスノードへのリモートデバイス管理属性の分配 | |
| US8555056B2 (en) | Method and system for including security information with a packet | |
| US8650618B2 (en) | Integrating service insertion architecture and virtual private network | |
| US20220078164A1 (en) | Dynamic, user-configurable virtual private network | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| EP1712056B1 (en) | Tunneled security groups | |
| US9258282B2 (en) | Simplified mechanism for multi-tenant encrypted virtual networks | |
| US7647410B2 (en) | Network rights management | |
| US9930008B2 (en) | Dynamic service chain with network address translation detection | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US20150043348A1 (en) | Traffic Flow Redirection between Border Routers using Routing Encapsulation | |
| US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
| CN113709091B (zh) | 用于基于策略的分组处理的方法、设备和系统 | |
| EP3799366A1 (en) | Mapping services to tunnels in order to forward packets using a network device | |
| WO2024002101A1 (zh) | 报文传输方法、装置、相关设备及存储介质 | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |