DE102013209372B4 - Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk - Google Patents

Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk Download PDF

Info

Publication number
DE102013209372B4
DE102013209372B4 DE102013209372.1A DE102013209372A DE102013209372B4 DE 102013209372 B4 DE102013209372 B4 DE 102013209372B4 DE 102013209372 A DE102013209372 A DE 102013209372A DE 102013209372 B4 DE102013209372 B4 DE 102013209372B4
Authority
DE
Germany
Prior art keywords
packet
overlay
logic
destination
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013209372.1A
Other languages
English (en)
Other versions
DE102013209372A1 (de
Inventor
Amitabha Biswas
Uday S. Nagaraj
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyndryl Inc
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE102013209372A1 publication Critical patent/DE102013209372A1/de
Application granted granted Critical
Publication of DE102013209372B4 publication Critical patent/DE102013209372B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

System, aufweisend: einen Hostserver, der einen virtuellen Switch bereitstellt, wobei der virtuelle Switch aufweist: Logik, die zum Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf dem Hostserver eingerichtet ist; Logik, die eingerichtet ist, festzustellen, dass es sich bei einem Ziel des Paketes um eine dem Hostserver gemeinsame zweite VM handelt; Logik, die zum Kapseln des Pakets mit einem Tunnel-Header eingerichtet ist, um ein Overlay-Paket zu bilden; Logik, die eingerichtet ist, das Overlay-Paket über einen Tunnel an ein physisches Netzwerkelement zu senden, um daran Inspizierungsdienste durchführen zu lassen; Logik, die zum Empfangen des Overlay-Pakets vom physischen Netzwerkelement eingerichtet ist; Logik, die zum Entkapseln des Overlay-Pakets eingerichtet ist, um ein bearbeitetes Paket zu erhalten; und Logik, die zum Weiterleiten des bearbeiteten Pakets an die zweite VM eingerichtet ist, wobei der Tunnel-Header mandantenspezifische Informationen aufweist.

Description

  • HINTERGRUND
  • Die vorliegende Erfindung betrifft die Rechenzentrumsinfrastruktur, und genauer betrifft diese Erfindung das Ermöglichen der Aggregation virtueller Ethernet-Ports (Virtual Ethernet Port Aggregation (VEPA)) in einem mandantenfähigen (multitenant) Overlay-Netzwerk.
  • VEPA stellt einen Mechanismus dar, der das Prüfen und Ermöglichen von Datenverkehr (Zugriffssteuerung) zwischen virtuellen Maschinen (VMs) von die VMs beherbergenden Servern auf physische Netzwerkelemente verlagert, wie beispielsweise Switches, Router usw., mit denen die Server verbunden sind.
  • In einer Overlay-Netzwerkumgebung wird von VMs stammender Datenverkehr in einem getunnelten Paket gekapselt. Aufgrund dieser Beschränkung sind physische Netzwerkelemente im Overlay-Netzwerk unter Umständen nicht in der Lage, Client-definierte Weiterleitungsregeln auf Datenverkehr einer VM anzuwenden, da die für die Prüfung auf ordnungsgemäßen Zustand benötigten Daten nicht an Standardversätzen des vollständigen getunnelten Pakets verfügbar sind.
  • Es ist zu beachten, dass sich bei VEPA ein Sender und ein Empfänger von Datenverkehr auf demselben Server befinden, jedoch unterschiedliche Kennzeichnungsdaten besitzen, wie beispielsweise unterschiedliche Media Access Control(MAC)-Adressen, Internetprotokoll(IP)-Adressen usw. Daher geben für einen Tunnel-Header die Quellen- und Zielangaben denselben Server wieder. Die Tunnel-Header weisen jedoch Mandanteninformationen auf, mittels derer Vorgänge der Zugriffssteuerung durchgeführt werden. Darüber hinaus können die Tunnel-Header über ein IP-Datagramm als ein Benutzer-Datagramm-Protokoll (User Datagram Protocol (UDP)) aufgebaut sein.
  • Physische Netzwerkelemente besitzen heute nicht die Fähigkeit, die Tunnel-Header zu entfernen und dabei mandantenspezifische Informationen beizubehalten, Zugriffssteuerungsvorgänge am nativen Datenverkehr der virtuellen Maschine durchzuführen, den Tunnel-Header wieder anzubringen (und dabei bestimmte Zieladressinformationen zu modifizieren) und dann das Paket zum Ursprungsserver zurückzusenden. Physische Netzwerkelemente verfügen jedoch über sehr hochentwickelte Zugriffsteuerungsmechanismen, die zum Durchführen von Operationen der tiefgreifenden Paketinspizierung mit höheren Geschwindigkeiten verfügbar sind, als dies auf Servern möglich wäre. Dementsprechend wäre es vorteilhaft, über eine Lösung zu verfügen, bei der getunnelten Paketen in einer Overlay-Netzwerkumgebung VEPA bereitgestellt wird.
  • In der Veröffentlichung „VLAN: A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks”, Mahalingam, M. u. a., Network Working Group, August 2011, 1–20, wird eine Netzwerkinfrastruktur für ein virtuelles Layer-2 Overlay-Netzwerks über einem Layer-3 Netzwerk beschrieben
  • KURZDARSTELLUNG
  • In einer Ausführungsform enthält ein System einen Hostserver, der einen virtuellen Switch bereitstellt, der virtuelle Switch enthaltend Logik, die zum Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf einem Hostserver eingerichtet ist, Logik, die eingerichtet ist, festzustellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, Logik, die zum Kapseln des Pakets mit einem Tunnel-Header eingerichtet ist, um ein Overlay-Paket zu bilden, Logik, die zum Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement eingerichtet ist, um daran Inspizierungsdienste durchführen zu lassen, Logik, die zum Empfangen des Overlay-Paketes vom physischen Netzwerkelement eingerichtet ist, Logik die zum Entkapseln des Overlay-Pakets eingerichtet ist, um ein bearbeitetes Paket zu erhalten, und Logik, die zum Weiterleiten des bearbeiteten Pakets an die zweite VM eingerichtet ist, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • In einer weiteren Ausführungsform beinhaltet ein Verfahren zum Ermöglichen von VEPA in einem Overlay-Netzwerk ein Empfangen eines Pakets von einer ersten VM auf einem Hostserver, Feststellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, Kapseln des Pakets mit einem Tunnel-Header, um ein Overlay-Paket zu bilden, Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement, um daran Inspizierungsdienste durchführen zu lassen, Empfangen des Overlay-Paketes vom physischen Netzwerkelement, Entkapseln des Overlay-Pakets, um ein bearbeitetes Paket zu erhalten, und Weiterleiten des bearbeiteten Pakets an die zweite VM, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • In noch einer weiteren Ausführungsform enthält ein Computerprogrammprodukt zum Ermöglichen von VEPA in einem Overlay-Netzwerk ein computerlesbares Speichermedium mit darauf ausgebildetem computerlesbarem Programmcode, der computerlesbare Programmcode enthaltend computerlesbaren Programmcode, der für ein Empfangen eines Pakets von einer ersten VM auf einem Hostserver konfiguriert ist, computerlesbaren Programmcode, der konfiguriert ist, festzustellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, computerlesbaren Programmcode, der für ein Kapseln des Pakets mit einem Tunnel-Header konfiguriert ist, um ein Overlay-Paket zu bilden, computerlesbaren Programmcode, der für ein Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement konfiguriert ist, um daran Inspizierungsdienste durchführen zu lassen, computerlesbaren Programmcode, der für ein Empfangen des Overlay-Paketes vom physischen Netzwerkelement konfiguriert ist, computerlesbaren Programmcode, der für ein Entkapseln des Overlay-Pakets konfiguriert ist, um ein bearbeitetes Paket zu erhalten, und computerlesbaren Programmcode, der für ein Weiterleiten des bearbeiteten Pakets an die zweite VM konfiguiert ist, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • Gemäß einer weiteren Ausführungsform enthält ein System Logik, die zum Empfangen eines Overlay-Pakets von einem virtuellen Switch über einen Tunnel eingerichtet ist, Logik, die zum Entkapseln des Overlay-Pakets durch Entfernen eines Tunnel-Headers eingerichtet ist, um ein inneres Paket zu erhalten, Logik, die zum Ermitteln einer Quelle und eines Ziels des inneren Pakets eingerichtet ist, Logik, die zum Durchführen von Inspizierungsdiensten am inneren Paket auf der Grundlage von im Overlay-Paket enthaltenen mandantenspezifischen Informationen eingerichtet ist, Logik, die eingerichtet ist, zu ermitteln, ob das innere Paket an das Ziel zu senden ist, Logik, die eingerichtet ist, im Falle, dass das Ermitteln ergibt, das innere Paket an das Ziel zu senden, das innere Paket wieder in den Tunnel-Header zu kapseln, um das Overlay-Paket zu bilden, und das Overlay-Paket über den Tunnel an den virtuellen Switch zu senden, und Logik, die eingerichtet ist, im Falle, dass das Ermitteln ergibt, das Paket nicht an das Ziel zu senden, das Paket fallen zu lassen, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • Weitere Aspekte und Ausführungsformen der vorliegenden Erfindung werden anhand der folgenden detaillierten Beschreibung ersichtlich, die in Verbindung mit den Zeichnungen in beispielhafter Weise die Grundgedanken der Erfindung veranschaulichen.
  • KURZBESCHREIBUNG DER MEHREREN ZEICHNUNGSANSICHTEN
  • 1 veranschaulicht eine Netzwerkarchitektur gemäß einer Ausführungsform.
  • 2 zeigt eine stellvertretende Hardwareumgebung gemäß einer Ausführungsform, die den Servern und/oder Clients von 1 zugeordnet sein kann.
  • 3 zeigt ein vereinfachtes Schaubild eines virtualisierten Rechenzentrums gemäß einer Ausführungsform.
  • 4 zeigt einen Teil einer Overlay-Netzwerkumgebung gemäß einer Ausführungsform.
  • 5A zeigt eine Paketkapselung gemäß einer Ausführungsform.
  • 5B zeigt einen Informationsaustausch für die Paketkapselung gemäß einer Ausführungsform.
  • 6 zeigt einen Ablaufplan eines Verfahrens gemäß einer Ausführungsform.
  • 7 zeigt einen Ablaufplan eines Verfahrens gemäß einer Ausführungsform.
  • DETAILLIERTE BESCHREIBUNG
  • Die folgende Beschreibung erfolgt zum Zwecke des Veranschaulichens der allgemeinen Grundgedanken der vorliegenden Erfindung und ist nicht als die hierin beanspruchten erfindungsgemäßen Konzepte einschränkend gedacht. Weiterhin können bestimmte hierin beschriebene Merkmale in Kombination mit anderen beschriebenen Merkmalen in jeder der vielfältigen möglichen Kombinationen und Permutationen verwendet werden.
  • Sofern hierin nicht spezifisch anderweitig festgelegt, werden alle Begriffe in ihrer breitest möglichen Interpretation vorgelegt, was sowohl durch die Beschreibung implizierte als auch durch den Fachmann verstandene und/oder in Wörterbüchern, Abhandlungen usw. festgelegte Bedeutungen einschließt.
  • Es ist zudem zu beachten, dass die Singularformen „ein”, „eine” und „der”, „die”, „das” sowie deren Deklinationen, wie sie in der Beschreibung und den angehängten Ansprüchen verwendet werden, Pluralbezeichnungen mit einschließen, sofern nichts Anderweitiges angegeben ist.
  • In einem Ansatz wird die Aggregation virtueller Ethernet-Ports (VEPA) in einem Overlay-Netzwerk ermöglicht, um die Fähigkeit der Netzwerkelemente vorteilhaft zu nutzen, Zugriffssteuerungsvorgänge an Overlay-Netzwerk-Datenverkehr in Verbindung mit bestimmten Informationen aus den Tunnel-Headern bereitstellen zu können. Die nativen Fähigkeiten von Prozessoren, wie beispielsweise anwendungsspezifische integrierte Schaltungen (application specific integrated circuits (ASICs)) in den physischen Netzwerkelementen, können dann eingesetzt werden, um einen höheren Durchsatz und eine höher entwickelte Paketinspizierung bereitzustellen als dies allein mithilfe des Servers möglich ist.
  • In einer allgemeinen Ausführungsform enthält ein System einen Hostserver, der einen virtuellen Switch bereitstellt, der virtuelle Switch enthaltend Logik, die zum Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf einem Hostserver eingerichtet ist, Logik, die eingerichtet ist, festzustellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, Logik, die zum Kapseln des Pakets mit einem Tunnel-Header eingerichtet ist, um ein Overlay-Paket zu bilden, Logik, die zum Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement eingerichtet ist, um daran Inspizierungsdienste durchführen zu lassen, Logik, die zum Empfangen des Overlay-Paketes vom physischen Netzwerkelement eingerichtet ist, Logik die zum Entkapseln des Overlay-Pakets eingerichtet ist, um ein bearbeitetes Paket zu erhalten, und Logik, die zum Weiterleiten des bearbeiteten Pakets an die zweite VM eingerichtet ist, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • In einer weiteren allgemeinen Ausführungsform beinhaltet ein Verfahren zum Ermöglichen von VEPA in einem Overlay-Netzwerk ein Empfangen eines Pakets von einer ersten VM auf einem Hostserver, Feststellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, Kapseln des Pakets mit einem Tunnel-Header, um ein Overlay-Paket zu bilden, Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement, um daran Inspizierungsdienste durchführen zu lassen, Empfangen des Oveilay-Paketes vom physischen Netzwerkelement, Entkapseln des Overlay-Pakets, um ein bearbeitetes Paket zu erhalten, und Weiterleiten des bearbeiteten Pakets an die zweite VM, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • In noch einer weiteren allgemeinen Ausführungsform enthält ein Computerprogrammprodukt zum Ermöglichen von VEPA in einem Overlay-Netzwerk ein computerlesbares Speichermedium mit darauf ausgebildetem computerlesbarem Programmcode, der computerlesbare Programmcode enthaltend computerlesbaren Programmcode, der für ein Empfangen eines Pakets von einer ersten VM auf einem Hostserver konfiguriert ist, computerlesbaren Programmcode, der konfiguriert ist, festzustellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, computerlesbaren Programmcode, der für ein Kapseln des Pakets mit einem Tunnel-Header konfiguriert ist, um ein Overlay-Paket zu bilden, computerlesbaren Programmcode, der für ein Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement konfiguriert ist, um daran Inspizierungsdienste durchführen zu lassen, computerlesbaren Programmcode, der für ein Empfangen des Overlay-Pakets vom physischen Netzwerkelement konfiguriert ist, computerlesbaren Programmcode, der für ein Entkapseln des Overlay-Pakets konfiguriert ist, um ein bearbeitetes Paket zu erhalten, und computerlesbaren Programmcode, der für ein Weiterleiten des bearbeiteten Pakets an die zweite VM konfiguriert ist, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • Gemäß einer weiteren allgemeinen Ausführungsform enthält ein System Logik, die zum Empfangen eines Overlay-Pakets von einem virtuellen Switch über einen Tunnel eingerichtet ist, Logik, die zum Entkapseln des Overlay-Pakets durch Entfernen eines Tunnel-Headers eingerichtet ist, um ein inneres Paket zu erhalten, Logik, die zum Ermitteln einer Quelle und eines Ziels des inneren Pakets eingerichtet ist, Logik, die zum Durchführen von Inspizierungsdiensten am inneren Paket auf der Grundlage von im Overlay-Paket enthaltenen mandantenspezifisehen Informationen eingerichtet ist, Logik, die eingerichtet ist, zu ermitteln, ob das innere Paket an das Ziel zu senden ist, Logik, die eingerichtet ist, im Falle, dass das Ermitteln ergibt, das innere Paket an das Ziel zu senden, das innere Paket wieder in den Tunnel-Header zu kapseln, um das Overlay-Paket zu bilden und das Overlay-Paket über den Tunnel an den virtuellen Switch zu senden, und Logik, die eingerichtet ist, im Falle, dass das Ermitteln ergibt, das Paket nicht an das Ziel zu senden, das Paket fallen zu lassen, wobei der Tunnel-Header mandantenspezifische Informationen enthält.
  • Wie für den Fachmann ersichtlich ist, können Aspekte der vorliegenden Erfindung als System, Verfahren, oder Computerprogrammprodukt ausgebildet werden. Dementsprechend können Aspekte der vorliegenden Erfindung in Form einer vollständigen Hardwareausführungsform, einer vollständigen Softwareausführungsform (darunter Firmware, residente Software, Mikrocode usw.) oder in einer Ausführungsform ausgebildet werden, die Software- und Hardwareaspekte kombiniert, was hierin sämtlich allgemein als „Logik”, „Schaltung”, „Modul” oder „System” bezeichnet sein kann. Weiterhin können Aspekte der vorliegenden Erfindung in Form eines Computerprogrammprodukts ausgebildet werden, das in einem oder mehreren computerlesbaren Medien mit darauf enthaltenem computerlesbarem Programmcode enthalten sein kann.
  • Jede beliebige Kombination aus einem oder mehreren computerlesbaren Medien kann verwendet werden. Bei dem computerlesbaren Medium kann es sich um ein computerlesbares Signalmedium oder ein nichtflüchtiges computerlesbares Speichermedium handeln. Bei einem nichtflüchtigen computerlesbaren Speichermedium kann es sich zum Beispiel, ohne darauf beschränkt zu sein, um ein System, eine Vorrichtung oder eine Einheit elektronischer, magnetischer, optischer, elektromagnetischer, Infrarot oder Halbleiter verwendender Art sowie jede beliebige geeignete Kombination des Vorgenannten handeln. Zu spezielleren Beispielen für das nichtflüchtige computerlesbare Speichermedium gehört Folgendes (nicht erschöpfende Liste): eine transportable Computerdiskette, eine Festplatte, ein Speicher mit wahlfreiem Zugriff (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM oder Flash-Speicher), ein transportabler Nur-Lese-Compact-Disk-Speicher (CD-ROM), ein Nur-Lese-Blu-Ray-Disk-Speicher (BD-ROM), eine optische Speichereinheit, eine magnetische Speichereinheit oder eine beliebige geeignete Kombination des Vorgenannten. Im Kontext dieses Dokuments kann es sich bei einem nichtflüchtigen computerlesbaren Speichermedium um jedes gegenständliche Medium handeln, das in der Lage ist, ein Programm oder eine Anwendung zur Verwendung durch oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Ausführung von Anweisungen beinhalten oder speichern kann.
  • Zu einem computerlesbaren Signalmedium kann ein verbreitetes Datensignal mit darin zum Beispiel im Basisband oder als Teil einer Trägerwelle ausgebildetem computerlesbarem Programmcode zählen. Solch ein verbreitetes Signal kann in jeder beliebigen einer Vielfalt von Formen ausgebildet werden, einschließlich, ohne auf diese beschränkt zu sein, elektromagnetische, optische oder jede geeignete Kombination davon. Bei einem computerlesbaren Signalmedium kann es sich um jedes computerlesbare Medium handeln, das kein nichtflüchtiges computerlesbares Speichermedium ist und das ein Programm zur Verwendung durch oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Ausführung von Anweisungen übertragen, verbreiten oder transportieren kann, wie beispielsweise eine elektrische Verbindung mit einer oder mehreren Leitungen, ein Lichtwellenleiter usw.
  • Der in einem computerlesbaren Medium enthaltene Programmcode kann mittels eines beliebigen geeigneten Mediums, einschließlich, ohne auf diese beschränkt zu sein, kabellose, kabelgebundene, Lichtwellenleiterkabel, Hochfrequenz (HF) usw., oder einer beliebigen geeigneten Kombination des Vorgenannten übertragen werden.
  • Computerprogrammcode zum Ausführen von Operationen für Aspekte der vorlegenden Erfindung kann in jeder Kombination einer oder mehrerer Programmiersprachen, darunter eine objektorientierte Programmiersprache wie Java, Smalltalk, C++ oder Ähnliches und herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C” oder ähnliche Programmiersprachen, geschrieben sein. Der Programmcode kann vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Szenario kann der entfernt angeordnete Computer oder Server mit dem Computer des Benutzers über jede beliebige Art von Netzwerk, darunter ein lokales Netzwerk (local area network (LAN)), ein Speicherbereichsnetzwerk (storage area network SAN)) und/oder ein Weitverkehrsnetzwerk (wide area network (WAN)), jedes beliebige virtuelle Netzwerk verbunden sein, oder es kann eine Verbindung zu einem externen Computer zum Beispiel mittels eines Internetdienstanbieters (Internet Service Provider (ISP)) über das Internet, hergestellt werden.
  • Aspekte der vorliegenden Erfindung werden hierin unter Bezugnahme auf Abbildungen von Ablaufplänen und/oder Blockschaubildern von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß den vielfältigen Ausführungsformen der Erfindung beschrieben. Es versteht sich, dass jeder Block der Abbildungen von Ablaufplänen und/oder der Blockschaubilder sowie Kombinationen von Blöcken in den Abbildungen von Ablaufplänen und/oder den Blockschaubildern durch Computerprogrammanweisungen realisiert werden kann.
  • Diese Computerprogrammanweisungen können einem Prozessor eines universellen Computers, eines zweckbestimmten Computers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine so zu erzeugen, dass die Anweisungen, die über den Prozessor des Computers oder der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel zum Realisieren der im Block oder in den Blöcken des Ablaufplans und/oder Blockschaubildes angegebenen Funktionen/Handlungen erzeugen.
  • Diese Computerprogrammanweisungen können auch in einem computerlesbaren Medium gespeichert sein, das einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten anleiten kann, auf eine bestimmte Weise zu funktionieren, so dass die in dem computerlesbaren Medium gespeicherten Anweisungen einen Herstellungsartikel einschließlich Anweisungen erzeugen, welche die im Block oder in den Blöcken des Ablaufplans und/oder des Blockschaubildes angegebene Funktion/Handlung ausführen.
  • Die Computerprogrammanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten geladen werden, um eine Reihe von auf dem Computer, der anderen programmierbaren Vorrichtung oder den anderen Einheiten auszuführenden Operationsschritten hervorzurufen, um einen auf dem Computer realisierten Prozess so zu erzeugen, dass die auf dem Computer oder der anderen programmierbaren Vorrichtung ausgeführten Anweisungen Prozesse zum Realisieren der im Block oder in den Blöcken des Ablaufplans und/oder Blockschaubildes angegebenen Funktionen/Handlungen bereitstellen.
  • 1 veranschaulicht eine Netzwerkarchitektur 100 gemäß einer Ausführungsform. Wie in 1 gezeigt, werden eine Vielzahl entfernt angeordneter Netzwerke 102 einschließlich eines ersten entfernt angeordneten Netzwerks 104 und eines zweiten entfernt angeordneten Netzwerks 106 bereitgestellt. Ein Gateway 101 kann zwischen den entfernt angeordneten Netzwerken 102 und einem nahen Netzwerk 108 angeschlossen werden. Im Kontext der vorliegenden Netzwerkarchitektur 100, können die Netzwerke 104, 106 in jeder beliebigen Form vorliegen, einschließlich, ohne auf diese beschränkt zu sein, ein LAN, ein VLAN, ein WAN wie beispielsweise das Internet, ein öffentliches Telefonnetz (public switched telephone network (PSTN)), ein internes Telefonnetz usw.
  • In Verwendung dient das Gateway 101 als Eintrittspunkt von den entfernt angeordneten Netzwerken 102 in das nahe Netzwerk 108. Insofern kann das Gateway 101 als ein Router fungieren, der in der Lage ist, ein gegebenes Datenpaket zu leiten, das bei dem Gateway 101 ankommt, sowie als ein Switch fungieren, der für ein gegebenes Datenpaket einen tatsächlichen Pfad in das und aus dem Gateway 101 heraus bereitstellt.
  • Weiterhin enthalten ist mindestens ein mit dem nahen Netzwerk 108 verbundener Datenserver 114, auf den von den entfernt angeordneten Netzwerken 102 über das Gateway 101 zugegriffen werden kann. Es ist zu beachten, dass zu dem oder den Datenservern 114 jeder beliebige Typ von Computereinheit/Groupware zählen kann. Mit jedem Datenserver 114 verbunden ist eine Vielzahl von Benutzereinheiten 116. Zu solchen Benutzereinheiten 116 kann ein Arbeitsplatzcomputer, ein Laptopcomputer, ein Handheldcomputer, ein Drucker und/oder jeder beliebige andere Typ Logik enthaltende Hardware zählen. Es ist zu beachten, dass eine Benutzereinheit 111 in manchen Ausführungsformen auch direkt mit jedem der Netzwerke verbunden sein kann.
  • Eine Peripherieeinheit 120 oder eine Reihe von Peripherieeinheiten 120, z. B. Faxgeräte, Drucker, Scanner, Festplattenlaufwerke, Netzwerk- oder lokale Speichereinheiten oder -systeme usw., kann mit einem oder mehreren der Netzwerke 104, 106, 108 verbunden sein. Es ist zu beachten, dass Datenbanken und/oder zusätzliche Komponenten mit jedem oder integriert in jeden mit den Netzwerken 104, 106, 108 verbundenen Typ von Netzwerkelementen verwendet werden können. Im Kontext der vorliegenden Beschreibung kann sich ein Netzwerkelement auf jede beliebige Komponente eines Netzwerks beziehen.
  • Gemäß manchen Ansätzen können hierin beschriebene Verfahren und Systeme mit und/oder auf virtuellen Systemen und/oder Systemen realisiert werden, die ein oder mehrere Systeme emulieren, wie beispielsweise einem UNIX System, das eine IBM z/OS Umgebung emuliert, einem UNIX System, das eine MICROSOFT WINDOWS Umgebung virtuell beherbergt, einem MICROSOFT WINDOWS System, das eine IBM z/OS Umgebung emuliert usw. Diese Virtualisierung und/oder Emulation kann in manchen Ausführungsformen durch die Verwendung von VMWARE Software verbessert werden.
  • In weiteren Ansätzen können ein oder mehrere Netzwerke 104, 106, 108 für ein Cluster von Systemen stehen, das gemeinhin als „Cloud” bezeichnet wird. Beim Cloud-Computing werden jedem System in der Cloud in einer Anforderungsbeziehung (on-demand relationship) gemeinsam genutzte Ressourcen bereitgestellt, wie beispielsweise Verarbeitungsleistung, Peripherieeinheiten, Software, Daten, Server usw., wobei der Zugriff und die Verteilung von Diensten zwischen vielen Computersystemen ermöglicht wird. Cloud-Computing geht üblicherweise mit einer Internetverbindung zwischen den in der Cloud operierenden Systemen einher, andere im Stand der Technik bekannte Techniken des Verbindens der Systeme können jedoch ebenfalls verwendet werden.
  • 2 zeigt gemäß einer Ausführungsform eine stellvertretende Hardwareumgebung, die einer Benutzereinheit 116 und/oder einem Server 114 von 1 zugeordnet ist. 2 veranschaulicht gemäß mehrerer Ausführungsformen eine typische Hardwarekonfiguration einer Workstation mit einer Zentraleinheit (central processing unit (CPU)) 210, wie beispielsweise einem Mikroprozessor, und einer Anzahl weiterer Einheiten, die über einen oder mehrere Busse 212 verbunden sind, die unterschiedlichen Typs sein können, wie beispielsweise einen lokalen Bus, einen parallelen Bus, einen seriellen Bus usw.
  • Die in 2 gezeigte Workstation enthält einen Speicher mit wahlfreiem Zugriff (RAM) 214, einen Nur-Lese-Speicher (ROM) 216, einen E/A-Adapter 218 zum Verbinden von Peripherieeinheiten wie beispielsweise Plattenspeichereinheiten 220 mit dem einen oder den mehreren Bussen 212, einen Benutzerschnittstellenadapter 222 zum Verbinden einer Tastatur 224, einer Maus 226, eines Lautsprechers 228, eines Mikrofons 232 und/oder anderer Benutzerschnittstelleneinheiten, wie beispielsweise eines berührungsempfindlichen Bildschirms, einer Digitalkamera (nicht gezeigt) usw., mit dem einen oder den mehreren Bussen 212, einen Datenübertragungsadapter 234 zum Verbinden der Workstation mit einem Datenübertragungsnetzwerk 235 (z. B. einem Datenverarbeitungsnetzwerk) und einen Anzeigeadapter 236 zum Verbinden des einen oder der mehreren Busse 212 mit einer Anzeigeeinheit 238.
  • Auf der Workstation kann sich ein darauf residentes Betriebssystem, wie beispielsweise das MICROSOFT WINDOWS Betriebssystem (BS), ein MAC BS, ein UNIX BS usw., befinden. Es ist ersichtlich, dass eine bevorzugte Ausführungsform auch auf anderen Plattformen und Betriebssystemen als den erwähnten realisiert werden kann. Eine bevorzugte Ausführungsform kann unter Verwendung der Sprache JAVA, XML, C und/oder C++ oder anderer Programmiersprachen zusammen mit einer objektorientierten Programmierverfahrensweise geschrieben sein. Die objektorientierte Programmierung (Object oriented programming (OOP)), die beim Entwickeln komplexer Anwendungen zunehmend Verwendung gefunden hat, kann verwendet werden.
  • Unter Bezugnahme auf 3 wird nun eine Konzeptansicht eines Overlay-Netzwerkes 300 gemäß einer Ausführungsform gezeigt. Um Netzwerkdienste anders als durch einfaches Bereitstellen eines Strukturpfades (Konnektivität) zwischen Einheiten zu virtualisieren, können Dienste auf Paketen ausgeführt werden, wenn sie sich durch das Gateway 314 bewegen, welches das Routing und Weiterleiten für Pakete bereitstellt, die sich zwischen dem oder den nicht-virtuellen Netzwerken 312 und dem Virtuellen Netzwerk A 304 und dem Virtuellen Netzwerk B 306 bewegen. Das eine oder die mehreren virtuellen Netzwerke 304, 306 existieren innerhalb einer physischen (realen) Netzwerkinfrastruktur 302. Wie dem Fachmann bekannt ist, kann die Netzwerkinfrastruktur 302 beliebige Komponenten, Hardware, Software und/oder Funktionalität beinhalten die typischerweise einer Netzwerkinfrastruktur zugeordnet ist oder in dieser verwendet wird, einschließlich, ohne auf diese beschränkt zu sein, Switches, Anschlüsse, Leitungen, Schaltungen, Kabel, Server, Hosts, Speichermedien, Betriebssysteme, Anwendungen, Ports, E/A, usw. Diese Netzwerkinfrastruktur 302 unterstützt mindestens ein nicht-virtuelles Netzwerk 312, bei dem es sich um ein Bestandsnetzwerk handeln kann.
  • Jedes virtuelle Netzwerk 304, 306 kann jede beliebige Anzahl virtueller Maschinen (VMs) 308, 310 verwenden. In einer Ausführungsform enthält das Virtuelle Netzwerk A 304 eine oder mehrere VMs 308, und das Virtuelle Netzwerk B 306 enthält eine oder mehrere VMs 310. Wie in 3 gezeigt, werden die VMs 308, 310 nicht durch die virtuellen Netzwerke 304, 306 gemeinsam genutzt, sondern sind stattdessen zu jedem gegebenen Zeitpunkt ausschließlich in nur einem einzigen virtuellen Netzwerk 304, 306 enthalten.
  • Gemäß einer Ausführungsform kann das Overlay-Netzwerk 300 eine oder mehrere skalierbare Strukturkomponenten (scalable fabric components (SFCs)) mit Zellen-Switch-Domänen enthalten, die mit einer oder mehreren verteilten Leitungskarten (distributed line cards (DLCs)) verbunden sind.
  • Durch eine Architektur mit „flachem Switch” kann die Vielzahl von VMs Daten einfach und effizient durch die Architektur verschieben. Es ist für VMs allgemein sehr schwierig, Daten über Schichten der Ebene 3, zwischen einem Teilnetz zu einem anderen Teilnetz, einem Internetprotokoll(IP)-Teilnetz zu einem IP-Teilnetz usw. zu verschieben. Wenn die Architektur jedoch einem großen flachen Switch in einer sehr großen Domäne der Schicht 2 gleicht, werden die VMs bei Ihrem Versuch unterstützt, Daten über die Architektur zu verschieben.
  • Unter Bezugnahme auf 4 wird nun ein Teil einer Overlay-Netzwerkumgebung 400 gemäß einer Ausführungsform gezeigt, um zu erklären, wie VEPA in einer Overlay-Netzwerkumgebung 400 ermöglicht werden kann. In dieser Overlay-Netzwerkumgebung 400 sind ein physischer Switch 402, ein virtueller Switch 410 auf einem Hostserver 404 und zwei VMs (ein Quellen-VM 406 und eine Ziel-VM 408) gezeigt. Der virtuelle Switch 410 befindet sich innerhalb eines Hypervisor 420, der sich auf dem Hostserver 404 befindet. Natürlich kann das Overlay-Netzwerk 400 mehr Komponenten, Beziehungen, Funktionalität und/oder Komplexität aufweisen als in 4 gezeigt, wie für den Fachmann verständlich ist.
  • Wie gezeigt, tritt Datenverkehr 412 (der ein ursprüngliches Paket aufweist) von einer beliebigen Quellen-VM 406 in einen virtuellen Switch 410 ein, der sich auf einem Hostserver 404 befindet. Obwohl hierin nur ein einziges Paket beschrieben wird, kann jeder hierin beschriebene Datenverkehr mehrere Pakete jedes im Stand der Technik bekannten Typs umfassen, wie beispielsweise IP-Pakete, Overlay-Pakete usw.
  • Dieser Datenverkehr 412 ist für die Ziel-VM 408 bestimmt, wenn jedoch VEPA in der Overlay-Netzwerkumgebung 400 ermöglicht ist, wird er durch den virtuellen Switch 410 anstatt zur Ziel-VM 408 durch das physische Netzwerkelement 402 hindurch geleitet. Dadurch wird es dem physischen Netzwerkelement 402 ermöglicht, bestimmte Prüfungen auf ordnungsgemäßen Zustand, Inspizierungsdienste usw. am Datenverkehr 412 durchzuführen, anstatt sich zum Durchführen dieser Funktionen auf den virtuellen Switch 410 zu verlassen. Üblicherweise ist das physische Netzwerkelement 402 besser ausgerüstet, diese Funktionalität schneller und effizienter durchzuführen als der virtuelle Switch 410.
  • Der virtuelle Switch 410 kapselt das von der Quellen-VM 406 empfangene ursprüngliche Paket in einen Tunnel und fügt in bestimmten Feldern im Tunnel-Header mandantenspezifische Informationen hinzu, wie in Hinblick auf 5A bis 5B detaillierter beschrieben wird. Unter erneuter Bezugnahme auf 4 wird dieses getunnelte Paket dann aus einer physischen Netzwerkschnittstelle des Hostservers 404 heraus und an das physische Netzwerkelement 402, wie beispielsweise einen Switch, Router, ein Gateway usw., weitergeleitet. Da VEPA in der Overlay-Netzwerkumgebung 400 ermöglicht ist, sind die Quellen und das Ziel des getunnelten Pakets dieselben, da die Adresse die des Hostservers 404 ist; gemäß hierin beschriebenen Ausführungsformen können durch das physische Netzwerkelement 402, mit dem der Hostserver 404 verbunden ist, an dem von der Quellen-VM 406 empfangenen Datenverkehr 412 eine Prüfung auf ordnungsgemäßen Zustand und/oder andere Dienste durchgeführt werden.
  • Dementsprechend trennt Eintrittslogik des physischen Netzwerkelements 402 bei Eintreten des Datenverkehrs 418 (der ein das ursprüngliche Paket kapselndes Overlay-Paket aufweist) vom Hostserver 404 in das physische Netzwerkelement 402 die Tunnel-Header vom Overlay-Paket, wobei tunnelspezifische Informationen und Informationen zum Serverstandort beibehalten werden, wie in 5A bis 5B detaillierter beschrieben wird.
  • Unter erneuter Bezugnahme auf 4 wird das durch die Quellen-VM 406 gesendete ursprüngliche Paket zusammen mit den die Mandantenfunktionalität der VM festlegenden Informationen an Paketinspizierungslogik des physischen Netzwerkelements 402 weitergeleitet. Diese Komponente des physischen Netzwerkelements 402 ist in vielfältigen Ausführungsformen eingerichtet, die mandantenspezifischen Informationen zusammen mit verschiedenen Feldern im ursprünglichen Paket zu verwenden, um unter anderen möglichen Diensten eine Paketinspizierung und/oder Tests auf ordnungsgemäßen Zustand durchzuführen.
  • Nachdem das ursprüngliche Paket durch Überprüfen als sicher für das durch die Quellen-VM 406 beabsichtigte Senden an die Ziel-VM 408 eingestuft wurde, wird das ursprüngliche Paket wieder in einen Tunnel gekapselt, und die Tunnel-Header werden dann im physischen Netzwerkelement 402 wieder mit den Mandanteninformationen und den Zielinformationen versehen. Dieser Datenverkehr 416 wird dann (einschließlich des getunnelten Pakets) zurück zum Hostserver 404 weitergeleitet, um durch den virtuellen Switch 410 empfangen zu werden. Wenn das getunnelte Paket durch den virtuellen Switch 410 empfangen wird, entfernt der virtuelle Switch 410 unter der Annahme, dass die Tunnel-Header genügend mandanten- und zielspezifische Informationen enthalten, die Tunnel-Header und leitet das entkapselte Paket als Datenverkehr 414 an die Ziel-VM 408 weiter. Dementsprechend verlässt der für die Ziel-VM 408 bestimmte Datenverkehr 414 den virtuellen Switch 410, nachdem er darin empfangen wurde und Tunnel-Header und zugehörige Informationen aus dem ursprünglichen Paket entkapselt wurden.
  • Auf diese Weise kann Mandantenfähigkeit in der Overlay-Netzwerkumgebung 400 unterstützt werden, während VEPA in der Umgebung noch ermöglicht ist. Dies ermöglicht es ASICs oder anderen Hardwareelementen im physischen Netzwerkelement 402, Dienste, eine Anwendung von Zugriffssteuerungslisten (access control lists (ACLs)) oder eine beliebige andere gewünschte Funktionalität an einem von einer VM zu einer anderen VM innerhalb des Overlay-Netzwerks gesendeten Paket durchzuführen.
  • Unter Bezugnahme auf 5A wird nun eine Paketkapselung 500 gemäß einer Ausführungsform gezeigt. Die Paketkapselung 500 enthält äußere und innere Teile, wobei es sich bei dem inneren Paket um das ursprüngliche Paket handelt (ein von der Quellen-VM erzeugtes und von dieser kommend empfangenes Ethernet-Paket 502) und sich die äußeren Header auf die Overlay-Kapselung beziehen. Wie gezeigt, weist der Tunnel(Overlay)-Header 514 einen äußeren Media Access Control(MAC)-Header 506, einen äußeren IP-Header 508 und einen äußeren User-Datagram-Protokol(UDP))-Header 510 sowie mandantenspezifische Informationen 512 auf. Die äußere zyklische Redundanzprüfung (cyclic redundancy check (CRC)) 504 kann, wie im Stand der Technik bekannt, hinzugefügt werden.
  • Bei dieser Kapselung 500 können dem Tunnel(Overlay)-Header 514 mandantenspezifische Informationen 512 hinzugefügt werden, und manche mandantenspezifische Informationen können auch im äußeren UDP-Header 510 hinzugefügt werden, wenn es durch die verwendete spezielle Overlay-Netzwerkumgebung ermöglicht wird. In einer Ausführungsform kann ein Virtual eXtensible Local Area Network (VXLAN) oder eine modifizierte Version eines VXLAN verwendet werden. Natürlich können eine beliebige andere Overlay-Netzwerktechnologie, ein beliebiges anderes Protokoll und/oder beliebige andere Einheiten, wie sie im Stand der Technik bekannt sind, verwendet werden.
  • Wie in 5A bis 5B gezeigt, kann ein Paketinspizierungsblock 514 oder ein Modul des physischen Netzwerkelements 402 Informationen von einem empfangenen Overlay-Paket, wie beispielsweise mandantenspezifische Informationen 516 vom äußeren UDP-Header 510, mandantenspezifische Informationen 512 und bestimmte Felder 518 aus dem Ethernet-Paket 502 der Quellen-VM usw. empfangen. Diese Informationen können durch den Paketinspizierungsblock 514 verwendet werden, um zu ermitteln, wie auf den Empfang des Overlay-Pakets zu reagieren ist.
  • Wenn bei einem Ansatz der Inspizierungsblock 514 feststellt, dass das Paket zum Weiterleiten an sein beabsichtigtes Ziel (die Ziel-VM) akzeptabel ist, werden die Tunnel-Header wieder angebracht 522 und das gekapselte Paket zum Empfang durch den virtuellen Switch (und nachfolgendes Weiterleiten an die Ziel-VM) an den Hostserver weitergeleitet 524.
  • Wenn gemäß einem anderen Ansatz der Inspizierungsblock 514 feststellt, dass das Paket nicht zum Weiterleiten an sein beabsichtigtes Ziel (die Ziel-VM) akzeptabel ist, wird das Paket fallengelassen 520.
  • Bei einem Ansatz kann das innere Paket analysiert werden, um einen oder mehrere am inneren Paket durchzuführende Dienste zu bestimmen. Zum Beispiel muss in einer Ausführungsform, bei der bestimmte Dienste nur an einem Teilsatz von Netzwerkdatenverkehr (wie beispielsweise nur für einen speziellen Mandanten, nur für ein spezielles Ziel, nur für eine spezielle Quelle usw.) durchgeführt werden, elf Paket, das diese Dienste erfordert, als diese Dienste erfordernd identifiziert werden, um den interessierenden Dienst zu erhalten. Dementsprechend erfordert in einer Ausführungsform zumindest ein Teil der Ermittlung, ob das Paket an das Ziel weitergeleitet werden sollte, eine Ermittlung, ob und welche Dienste durchzuführen sind.
  • Neben anderen Möglichkeiten zählen gemäß verschiedener Ausführungsformen zu Diensten, die an einem Paket durchgeführt werden können, ohne darauf beschränkt zu sein, Firewall-Dienste, Dienste eines Systems zur Verhinderung von Eingriffen (intrusion prevention system (IPS)), Dienste eines Systems zur Erkennung von Eingriffen (intrusion detection system (IDS)), IPS/IDS-Dienste, Dienste zum Serverlastausgleich, Dienste der LAN-Optimierung, VPN-Dienste, Dienste der Videooptimierung, Dienste der Netzwerkadressübersetzung (network address translation (NAT)), Verschlüsselungsdienste, Entschlüsselungsdienste, eine Anwendung von Zugriffssteuerungslisten (access control lists (ACLs)), usw., wie dem Fachmann bekannt ist.
  • In einer Ausführungsform kann ein Tunnel-Header (wie beispielsweise ein VXLAN-Rahmen-Format) wie folgt aussehen:
    Figure DE102013209372B4_0002
  • Dieses Rahmenformat kann verwendet werden, um zu ermitteln, ob ein Paket in einer Anzahl verschiedener Weisen auf ein inneres Paket hin inspiziert werden sollte. Bei einer dieser Weisen kann der Zielport (Dest Port) ermittelt werden. Beim vorstehend als ein Beispiel gezeigten Rahmenformat handelt es sich beim Zielport um einen VXLAN-Port, was anzeigt, dass das Paket einen Tunnel-Header aufweist. Dementsprechend kann dieses Paket entkapselt werden, um zu ermitteln, was das innere Paket enthält, und dann zu ermitteln, ob Dienste am inneren Paket durchgeführt werden sollten. Natürlich können andere Arten des Ermittelns, ob Dienste an einem inneren Paket durchgeführt werden sollten und ob ein Paket ein inneres Paket aufweist, verwendet werden, wie dem Fachmann bekannt und hierin beschrieben ist.
  • Unter Bezugnahme auf 6 wird nun ein Ablaufplan eines Verfahrens 600 gemäß einer Ausführungsform gezeigt. Das Verfahren 600 kann gemäß der vorliegenden Erfindung in vielfältigen Ausführungsformen unter anderem in jeder der in 1 bis 5 abgebildeten Umgebungen durchgeführt werden. Wie der Fachmann beim Lesen der vorliegenden Beschreibungen erkennt, kann das Verfahren 600 natürlich mehr oder weniger Vorgänge als die speziell in 6 beschriebenen beinhalten,
  • Jeder der Schritte des Verfahrens 600 kann durch jede geeignete Komponente der Betriebsumgebung durchgeführt werden. Zum Beispiel kann das Verfahren 600 in einer Ausführungsform ganz oder teilweise durch ein physisches Netzwerkelement (wie beispielsweise einen Switch, einen Router, ein Gateway usw.), einen Prozessor (wie beispielsweise eine CPU, einen ASIC, ein FPGA usw.) in vielfältigen Ansätzen durchgeführt werden.
  • Wie in 6 gezeigt, kann das Verfahren 600 mit einem Vorgang 602 beginnen, bei dem ein Overlay-Paket über einen Tunnel von einem virtuellen Switch auf einem Hostserver empfangen wird.
  • In Vorgang 604 wird das Overlay-Paket entkapselt, um ein inneres Paket und mandantenspezifische Informationen zu erhalten. Damit die Entkapselung stattfinden kann, muss es sich bei dem Paket natürlich zuerst um ein Overlay-Paket handeln, und daher kann festgestellt werden, dass es sich um ein Overlay-Paket handelt. Dies wird durch Ermitteln eines Zielports des äußeren UDP-Headers erreicht. Wenn es sich bei dem Zielport um einen virtuellen LAN-Port, wie beispielsweise einen VXLAN-Port handelt, kann davon ausgegangen werden, dass das Paket einen Tunnel-Header enthält.
  • Das innere Paket kann von jedem beliebigen im Stand der Technik bekannten Typ sein, wie beispielsweise E/A-Pakete (z. B. Fibre-Channel-over-Ethernet(FCoE)-Pakete), Steuerpakete, IP-Pakete, Sprachpakete usw.
  • In Vorgang 606 werden eine Quelle und ein Ziel des inneren Pakets ermittelt. Diese Informationen können verwendet werden, um zu ermitteln, ob es angemessen ist, das Paket zu seinem beabsichtigten Ziel weiterzuleiten, sowie zu ermitteln, welche Dienste gegebenenfalls am inneren Paket durchzuführen sind.
  • In Vorgang 608 werden Inspizierungsdienste am inneren Paket durchgeführt, wie anhand der in den Headern des Overlay-Pakets enthaltenen mandantenspezifischen Informationen, dem Ziel, der Quelle und jeder beliebigen anderen, im inneren Paket oder den Tunnel-Headern enthaltenen nützlichen Information ermittelt wurde.
  • In Vorgang 610 wird ermittelt, ob das innere Paket an sein beabsichtigtes Ziel weitergeleitet werden sollte. Wenn das Paket zum Beispiel von Mandant A gesendet wird und für Mandant B bestimmt ist und keine gemeinsame Nutzung unter diesen Mandanten stattfindet, sollte das Paket nicht weitergeleitet werden. Wenn in einem anderen Beispiel das Ziel einen Mandanten mit der Quelle teilt, kann das Paket an sein Ziel gesendet werden. Natürlich kann es viele andere mögliche Szenarien geben, und die hierin beschriebenen Ausführungsformen sind nicht als nur auf mandantenspezifische Weiterleitungsentscheidungen beschränkt gedacht.
  • Falls in Vorgang 610 ermittelt wird, das innere Paket an das Ziel weiterzuleiten, wird das innere Paket in Vorgang 614 wieder in ein Overlay-Paket gekapselt, bei dem es sich um dasselbe Overlay-Paket handeln kann, in dem das innere Paket empfangen wurde. Dann wird in Vorgang 616 das Overlay-Paket an den virtuellen Switch auf dem Hostserver weitergeleitet, um voraussichtlich an sein beabsichtigtes Ziel weitergeleitet zu werden.
  • Gemäß mancher weiterer Ausführungsformen können die mandantenspezifischen Informationen eine virtuelle Netzwerkkennung (virtual network identifier (VNID)) enthalten, zumindest ein Teil der mandantenspezifischen Informationen kann in einem UDP-Header enthalten sein, zumindest ein Teil der mandantenspezifischen Informationen kann in einem Rahmen des Tunnel-Headers enthalten sein, der gestaltet ist, die mandantenspezifischen Informationen zu speichern, und/oder das Overlay-Netzwerk kann VXLAN entsprechen.
  • Das Verfahren 600 kann in vielfältigen Ausführungsformen, die alle oder einige der in 6 beschriebenen Vorgänge enthalten, in Computerprogrammprodukten, anderen Verfahren, Logik und/oder Systemen durchgeführt werden.
  • Gemäß einer solchen Ausführungsform kann ein System Logik enthalten, die zum Empfangen eines Overlay-Pakets von einem virtuellen Switch über einen Tunnel eingerichtet ist, Logik, die zum Entkapseln des Overlay-Pakets durch Entfernen eines Tunnel-Headers eingerichtet ist, um ein inneres Paket zu erhalten, Logik, die zum Ermitteln einer Quelle und eines Ziels des inneren Pakets eingerichtet ist, Logik, die zum Durchführen von Inspizierungsdiensten am inneren Paket auf der Grundlage von im Overlay-Paket enthaltenen mandantenspezifischen Informationen eingerichtet ist, Logik, die eingerichtet ist, zu ermitteln, ob das innere Paket an das Ziel zu senden ist, Logik, die eingerichtet ist, im Falle, dass das Ermitteln ergibt, das innere Paket an das Ziel zu senden, das innere Paket wieder in den Tunnel-Header zu kapseln, um ein Overlay-Paket zu bilden und das Overlay-Paket über den Tunnel an den virtuellen Switch zu senden, und Logik, die eingerichtet ist, das Paket im Falle, dass das Ermitteln ergibt, das Paket nicht an das Ziel zu senden, fallen zu lassen. Der Tunnel-Header kann mandantenspezifische Informationen enthalten.
  • Unter Bezugnahme auf 7 ist nun ein Ablaufplan eines Verfahrens 700 gemäß einer Ausführungsform gezeigt. Das Verfahren 700 kann gemäß der vorliegenden Erfindung in vielfältigen Ausführungsformen unter anderem in jeder der in 1 bis 5 abgebildeten Umgebungen durchgeführt werden. Wie der Fachmann beim Lesen der vorliegenden Beschreibungen erkennt, kann das Verfahren 700 natürlich mehr oder weniger Operationen als die speziell in 7 beschriebenen beinhalten,
  • Jeder der Schritte des Verfahrens 700 kann durch jede geeignete Komponente der Betriebsumgebung durchgeführt werden. Zum Beispiel kann das Verfahren 700 in einer Ausführungsform ganz oder teilweise durch einen virtuellen Switch auf einem Hostserver, einen Prozessor (wie beispielsweise eine CPU, einen ASIC, ein FPGA usw.) in vielfältigen Ansätzen durchgeführt werden.
  • Wie in 7 gezeigt, kann das Verfahren 700 mit einem Vorgang 702 beginnen, bei dem ein Overlay-Paket über einen Tunnel von einer ersten VM auf einem Hostserver empfangen wird. In einem Ansatz wird das Paket durch einen virtuellen Switch auf dem Hostserver empfangen.
  • Das Paket kann von jedem beliebigen im Stand der Technik bekannten Typ sein, wie beispielsweise E/A-Pakete (z. B. Fibre-Channel-over-Ethernet(FCoE)-Pakete), Steuerpakete, IP-Pakete, Sprachpakete usw.
  • In Vorgang 704 wird festgestellt, dass sich ein Ziel des Pakets auf einer dem Hostserver gemeinsamen zweiten VM befindet, z. B. kann es an die zweite VM weitergeleitet werden, ohne an beliebige physische Netzwerkelemente gesendet zu werden.
  • In einem optionalen Vorgang 706 wird festgestellt, dass Inspizierungsdienste am Paket durchzuführen sind, beispielsweise aufgrund einer Zieladresse, eines Pakettyps, einer Paketgröße oder eines beliebigen anderen im Stand der Technik bekannten Kriteriums. In diesem Fall kann festgestellt werden, dass VEPA verwendet werden sollte, um diese Dienste durch ein physisches Netzwerkelement durchführen zu lassen.
  • In Vorgang 708 wird das Paket in einem Ansatz mit einem Tunnel-Header gekapselt, um ein Overlay-Paket zu bilden, wie in 5A bis 5B detaillierter beschrieben.
  • In Vorgang 710 wird das Overlay-Paket über einen Tunnel an das physische Netzwerkelement gesendet, um daran Inspizierungsdienste durchführen zu lassen. Welche Dienste durchzuführen sind, kann festgelegt sein, oder das physische Netzwerkelement kann diese Entscheidung treffen.
  • Voraussichtlich führt das physische Netzwerkelement Inspizierungsdienste am inneren Paket durch, was aufgrund der in den Headern des Overlay-Pakets enthaltenen mandantenspezifischen Informationen, des Ziels, der Quelle und jeder beliebigen anderen nützlichen, im Paket oder dem Tunnel-Header enthaltenen Information ermittelt wird.
  • In Vorgang 712 wird das Overlay-Paket vom physischen Netzwerkelement zurückerhalten und entkapselt, um in Vorgang 714 ein bearbeitetes Paket zu erhalten. Dann wird das bearbeitet Paket in Vorgang 716 an die zweite VM weitergeleitet.
  • Das Verfahren 700 kann in vielfältigen Ausführungsformen, die alle oder einige der in 7 beschriebenen Vorgänge enthalten, in Computerprogrammprodukten, anderen Verfahren, Logik und/oder Systemen durchgeführt werden.
  • In einer solchen Ausführungsform weist ein Computerprogrammprodukt zum Ermöglichen von VEPA in einem Overlay-Netzwerk ein computerlesbares Speichermedium mit darauf ausgebildetem computerlesbarem Programmcode auf. Der computerlesbare Programmcode weist computerlesbaren Programmcode auf, der für ein Empfangen eines Pakets von einer ersten VM auf einem Hostserver konfiguriert ist, computerlesbaren Programmcode, der konfiguriert ist, festzustellen, dass es sich bei einem Ziel des Pakets um eine dem Hostserver gemeinsame zweite VM handelt, computerlesbaren Programmcode, der für ein Kapseln des Pakets mit einem Tunnel-Header konfiguriert ist, um ein Overlay-Paket zu bilden, computerlesbaren Programmcode, der für ein Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement konfiguriert ist, um daran Inspizierungsdienste durchführen zu lassen, computerlesbaren Programmcode, der für ein Empfangen des Overlay-Paketes vom physischen Netzwerkelement konfiguriert ist, computerlesbaren Programmcode, der für ein Entkapseln des Overlay-Pakets konfiguriert ist, um ein bearbeitetes Paket zu erhalten, und computerlesbaren Programmcode, der für ein Weiterleiten des bearbeiteten Pakets an die zweite VM konfiguriert ist, wobei der Tunnel-Header mandantenspezifische Informationen aufweist.
  • In manchen weiteren Ausführungsformen, können die mandantenspezifischen Informationen eine VNID oder andere geeignete, den Mandanten kennzeichnende Informationen enthalten, zumindest ein Teil der mandantenspezifischen Informationen ist in einem UDP-Header enthalten, zumindest ein Teil der mandantenspezifischen Informationen ist in einem Rahmen des Tunnel-Headers enthalten, der gestaltet ist, die mandantenspezifischen Informationen zu speichern, und/oder das Overlay-Netzwerk entspricht VXLAN.
  • Während vorstehend verschiedene Ausführungsformen beschrieben wurden, versteht es sich, dass sie in lediglich beispielhafter und nicht einschränkender Weise vorgelegt wurden. Somit sollten die Breite und der Umfang einer Ausführungsform der vorliegenden Erfindung nicht durch irgendwelche der vorstehend beschriebenen beispielhaften Ausführungsformen eingeschränkt, sondern nur gemäß den nachfolgenden Ansprüchen und deren Äquivalente definiert sein.

Claims (9)

  1. System, aufweisend: einen Hostserver, der einen virtuellen Switch bereitstellt, wobei der virtuelle Switch aufweist: Logik, die zum Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf dem Hostserver eingerichtet ist; Logik, die eingerichtet ist, festzustellen, dass es sich bei einem Ziel des Paketes um eine dem Hostserver gemeinsame zweite VM handelt; Logik, die zum Kapseln des Pakets mit einem Tunnel-Header eingerichtet ist, um ein Overlay-Paket zu bilden; Logik, die eingerichtet ist, das Overlay-Paket über einen Tunnel an ein physisches Netzwerkelement zu senden, um daran Inspizierungsdienste durchführen zu lassen; Logik, die zum Empfangen des Overlay-Pakets vom physischen Netzwerkelement eingerichtet ist; Logik, die zum Entkapseln des Overlay-Pakets eingerichtet ist, um ein bearbeitetes Paket zu erhalten; und Logik, die zum Weiterleiten des bearbeiteten Pakets an die zweite VM eingerichtet ist, wobei der Tunnel-Header mandantenspezifische Informationen aufweist.
  2. System wie in Anspruch 1 ausgeführt, weiterhin aufweisend ein physisches Netzwerkelement, wobei das physische Netzwerkelement aufweist: Logik, die zum Empfangen des Overlay-Pakets durch das physische Netzwerkelement eingerichtet ist; Logik, die zum Entkapseln des Overlay-Pakets eingerichtet ist, um das Paket zu erhalten; und Logik die zum Ermitteln einer Quelle und eines Ziels des Pakets eingerichtet ist; Logik die eingerichtet ist, Inspizierungsdienste am Paket auf der Grundlage der im Overlay-Paket enthaltenen mandantenspezifischen Informationen durchzuführen; Logik die eingerichtet ist, zu ermitteln, ob das Paket an das Ziel zu senden ist; Logik, die eingerichtet ist, das Paket im Falle, dass die Ermittlung ergibt, das Paket an das Ziel zu senden, wieder in den Tunnel-Header einzukapseln, um das Overlay-Paket zu bilden und das Overlay-Paket über den Tunnel an den virtuellen Switch auf dem Hostserver zu senden; und Logik die eingerichtet ist, das Paket im Falle, dass die Ermittlung ergibt, das Paket nicht an das Ziel zu senden, fallenzulassen.
  3. System wie in Anspruch 1 ausgeführt, wobei die mandantenspezifischen Informationen eine virtuelle Netzwerkkennung (virtual network identifier (VNID)) enthalten.
  4. System wie in Anspruch 1 ausgeführt, wobei zumindest ein Teil der mandantenspezifischen Informationen in einem Benutzer-Datagramm-Protokoll(user datagram protocol (UDP))-Header enthalten ist.
  5. System wie in Anspruch 1 ausgeführt, wobei zumindest ein Teil der mandantenspezifischen Informationen in einem Rahmen des Tunnel-Headers enthalten ist, der gestaltet ist, die mandantenspezifischen Informationen zu speichern.
  6. System wie in Anspruch 1 ausgeführt, wobei das Overlay-Netzwerk dem Virtual eXtensible Local Area Network (VXLAN) entspricht.
  7. Verfahren zum Ermöglichen der Aggregation virtueller Ethernet-Ports (Virtual Ethernet Port Aggregation (VEPA)) in einem Overlay-Netzwerk, wobei das Verfahren aufweist: Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf einem Hostserver; Feststellen, dass es sich bei einem Ziel des Paketes um eine dem Hostserver gemeinsame zweite VM handelt; Kapseln des Pakets mit einem Tunnel-Header, um ein Overlay-Paket zu bilden; Senden des Overlay-Pakets über einen Tunnel an ein physisches Netzwerkelement, um daran Inspizierungsdienste durchführen zu lassen; Empfangen des Overlay-Pakets vom physischen Netzwerkelement; Entkapseln des Overlay-Pakets, um ein bearbeitetes Paket zu erhalten; und Weiterleiten des bearbeiteten Pakets an die zweite VM, wobei der Tunnel-Header mandantenspezifische Informationen aufweist.
  8. Computerprogrammprodukt zum Ermöglichen der Aggregation virtueller Ethernet-Ports (Virtual Ethernet Port Aggregation (VEPA)) in einem Overlay-Netzwerk, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium mit darauf ausgebildetem computerlesbarem Programmcode aufweist, wobei der computerlesbare Programmcode aufweist: computerlesbaren Programmcode, der für ein Empfangen eines Pakets von einer ersten virtuellen Maschine (VM) auf einem Hostserver konfiguriert ist; computerlesbaren Programmcode, der konfiguriert ist, festzustellen, dass es sich bei einem Ziel des Paketes um eine dem Hostserver gemeinsame zweite VM handelt; computerlesbaren Programmcode, der für ein Kapseln des Pakets mit einem Tunnel-Header konfiguriert ist, um ein Onerlay-Paket zu bilden; computerlesbaren Programmcode, der konfiguriert ist, das Overlay-Paket über einen Tunnel an ein physisches Netzwerkelement zu senden, um daran Inspizierungsdienste durchführen zu lassen; computerlesbaren Programmcode, der für ein Empfangen des Overlay-Pakets vom physischen Netzwerkelement konfiguriert ist; computerlesbaren Programmcode, der für ein Entkapseln des Overlay-Pakets konfiguriert ist, um ein bearbeitetes Paket zu erhalten; und computerlesbaren Programmcode, der für ein Weiterleiten des bearbeiteten Pakets an die zweite VM konfiguriert ist; wobei der Tunnel-Header mandantenspezifische Informationen aufweist.
  9. System, aufweisend: Logik, die zum Empfangen eines Overlay-Pakets von einem virtuellen Switch über einen Tunnel eingerichtet ist; Logik, die zum Entkapseln des Overlay-Pakets durch Entfernen eines Tunnel-Headers eingerichtet ist, um ein inneres Paket zu erhalten; Logik die zum Ermitteln einer Quelle und eines Ziels des inneren Pakets eingerichtet ist; Logik die eingerichtet ist, Inspizierungsdienste am inneren Paket auf der Grundlage von im Overlay-Paket enthaltenen mandantenspezifischen Informationen durchzuführen; Logik die eingerichtet ist, zu ermitteln, ob das innere Paket an das Ziel zu senden ist; Logik, die eingerichtet ist, das innere Paket im Falle, dass die Ermittlung ergibt, das innere Paket an das Ziel zu senden, wieder in den Tunnel-Header einzukapseln, um das Overlay-Paket zu bilden, und das Overlay-Paket über den Tunnel an den virtuellen Switch zu senden; und Logik die eingerichtet ist, das Paket im Falle, dass die Ermittlung ergibt, das Paket nicht an das Ziel zu senden, fallenzulassen, wobei der Tunnel-Header mandantenspezifische Informationen aufweist.
DE102013209372.1A 2012-06-05 2013-05-22 Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk Active DE102013209372B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/489,269 US8908691B2 (en) 2012-06-05 2012-06-05 Virtual ethernet port aggregation (VEPA)-enabled multi-tenant overlay network
US13/489,269 2012-06-05

Publications (2)

Publication Number Publication Date
DE102013209372A1 DE102013209372A1 (de) 2013-12-05
DE102013209372B4 true DE102013209372B4 (de) 2016-06-30

Family

ID=49579684

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013209372.1A Active DE102013209372B4 (de) 2012-06-05 2013-05-22 Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk

Country Status (2)

Country Link
US (1) US8908691B2 (de)
DE (1) DE102013209372B4 (de)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8867403B2 (en) * 2011-08-18 2014-10-21 International Business Machines Corporation Virtual network overlays
US8934501B2 (en) * 2012-06-11 2015-01-13 Avaya Inc. Bidirectional translation of network edge virtualization encapsulation to core network virtualization encapsulation
JP5958164B2 (ja) * 2012-08-07 2016-07-27 富士通株式会社 制御装置、方法及びプログラム、並びにシステム及び情報処理方法
US9210079B2 (en) 2012-08-14 2015-12-08 Vmware, Inc. Method and system for virtual and physical network integration
US9331940B2 (en) 2012-08-28 2016-05-03 Alcatel Lucent System and method providing distributed virtual routing and switching (DVRS)
CN103795815A (zh) * 2012-10-29 2014-05-14 英业达科技有限公司 网络通讯系统以及网络通讯方法
US9036639B2 (en) * 2012-11-29 2015-05-19 Futurewei Technologies, Inc. System and method for VXLAN inter-domain communications
US9417922B2 (en) 2012-12-03 2016-08-16 Cutting Edge Consulting Associates, Inc. Systems and methods for protecting an identity in network communications
US9515947B1 (en) * 2013-03-15 2016-12-06 EMC IP Holding Company LLC Method and system for providing a virtual network-aware storage array
US9462088B2 (en) 2013-04-02 2016-10-04 Cisco Technology, Inc. Offload operations for overlay networks
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
CN104243302B (zh) * 2013-06-20 2018-03-16 华为技术有限公司 业务路由报文处理方法、装置及网络系统
EP3605971B1 (de) * 2013-11-05 2021-10-13 Cisco Technology, Inc. Netzwerk-fabric-überlagerung
US9888405B2 (en) 2013-11-05 2018-02-06 Cisco Technology, Inc. Networking apparatuses and packet statistic determination methods employing atomic counters
US9825857B2 (en) 2013-11-05 2017-11-21 Cisco Technology, Inc. Method for increasing Layer-3 longest prefix match scale
US9769078B2 (en) 2013-11-05 2017-09-19 Cisco Technology, Inc. Dynamic flowlet prioritization
US9686180B2 (en) 2013-11-05 2017-06-20 Cisco Technology, Inc. Managing routing information for tunnel endpoints in overlay networks
US9674086B2 (en) 2013-11-05 2017-06-06 Cisco Technology, Inc. Work conserving schedular based on ranking
US9374294B1 (en) 2013-11-05 2016-06-21 Cisco Technology, Inc. On-demand learning in overlay networks
US9397946B1 (en) 2013-11-05 2016-07-19 Cisco Technology, Inc. Forwarding to clusters of service nodes
US10951522B2 (en) 2013-11-05 2021-03-16 Cisco Technology, Inc. IP-based forwarding of bridged and routed IP packets and unicast ARP
US9502111B2 (en) 2013-11-05 2016-11-22 Cisco Technology, Inc. Weighted equal cost multipath routing
US10778584B2 (en) 2013-11-05 2020-09-15 Cisco Technology, Inc. System and method for multi-path load balancing in network fabrics
US9655232B2 (en) 2013-11-05 2017-05-16 Cisco Technology, Inc. Spanning tree protocol (STP) optimization techniques
US9509092B2 (en) 2013-11-06 2016-11-29 Cisco Technology, Inc. System and apparatus for network device heat management
US10382595B2 (en) * 2014-01-29 2019-08-13 Smart Security Systems Llc Systems and methods for protecting communications
CN103825796A (zh) * 2014-02-28 2014-05-28 神州数码网络(北京)有限公司 报文交互方法、终端站和网桥
US9294347B2 (en) * 2014-03-20 2016-03-22 Dell Products Lp Systems and methods for automatic access layer configuration
US9479457B2 (en) * 2014-03-31 2016-10-25 Juniper Networks, Inc. High-performance, scalable and drop-free data center switch fabric
US9344364B2 (en) * 2014-03-31 2016-05-17 Metaswitch Networks Ltd. Data center networks
US9559950B2 (en) * 2014-03-31 2017-01-31 Tigera, Inc. Data center networks
US9813258B2 (en) * 2014-03-31 2017-11-07 Tigera, Inc. Data center networks
US9686237B2 (en) * 2014-08-19 2017-06-20 International Business Machines Corporation Secure communication channel using a blade server
US9509662B2 (en) 2014-09-24 2016-11-29 Microsoft Technology Licensing, Llc Techniques for providing services to multiple tenants via a shared end-point
US11722367B2 (en) 2014-09-30 2023-08-08 Nicira, Inc. Method and apparatus for providing a service with a plurality of service nodes
US10116493B2 (en) 2014-11-21 2018-10-30 Cisco Technology, Inc. Recovering from virtual port channel peer failure
US9747249B2 (en) 2014-12-29 2017-08-29 Nicira, Inc. Methods and systems to achieve multi-tenancy in RDMA over converged Ethernet
US9781037B2 (en) 2015-09-15 2017-10-03 Cisco Technology, Inc. Method and apparatus for advanced statistics collection
US10298720B1 (en) 2015-12-07 2019-05-21 Amazon Technologies, Inc. Client-defined rules in provider network environments
US10142163B2 (en) 2016-03-07 2018-11-27 Cisco Technology, Inc BFD over VxLAN on vPC uplinks
US10033646B2 (en) 2016-05-12 2018-07-24 International Business Machines Corporation Resilient active-active data link layer gateway cluster
US10333828B2 (en) 2016-05-31 2019-06-25 Cisco Technology, Inc. Bidirectional multicasting over virtual port channel
US11509501B2 (en) 2016-07-20 2022-11-22 Cisco Technology, Inc. Automatic port verification and policy application for rogue devices
US10193750B2 (en) 2016-09-07 2019-01-29 Cisco Technology, Inc. Managing virtual port channel switch peers from software-defined network controller
US10432578B2 (en) 2016-09-27 2019-10-01 Cisco Technology, Inc. Client address based forwarding of dynamic host configuration protocol response packets
US10547509B2 (en) 2017-06-19 2020-01-28 Cisco Technology, Inc. Validation of a virtual port channel (VPC) endpoint in the network fabric
US10454882B2 (en) 2017-06-30 2019-10-22 Cisco Technology, Inc. DHCP in layer-3 overlay with anycast address support and network address transparency
US10146953B1 (en) * 2017-07-14 2018-12-04 EMC IP Holding Company LLC System and method for physical data packets isolation for different tenants in a multi-tenant protection storage environment
US10516650B2 (en) * 2017-09-13 2019-12-24 Netabstraction, Inc. Dynamic, user-configurable virtual private network
US10805181B2 (en) 2017-10-29 2020-10-13 Nicira, Inc. Service operation chaining
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
US11595250B2 (en) 2018-09-02 2023-02-28 Vmware, Inc. Service insertion at logical network gateway
US10880208B1 (en) * 2019-02-11 2020-12-29 Google Llc Offloads for multicast virtual network packet processing in a network interface card
US11360796B2 (en) 2019-02-22 2022-06-14 Vmware, Inc. Distributed forwarding for performing service chain operations
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11277331B2 (en) 2020-04-06 2022-03-15 Vmware, Inc. Updating connection-tracking records at a network edge using flow programming
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
CN113992577B (zh) * 2021-09-24 2024-05-03 广东浪潮智慧计算技术有限公司 一种网络互通方法、装置、设备及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US7903655B2 (en) 2007-04-19 2011-03-08 Hewlett-Packard Development Company, L.P. Marked packet forwarding
US9043450B2 (en) 2008-10-15 2015-05-26 Broadcom Corporation Generic offload architecture
US9460289B2 (en) * 2011-02-18 2016-10-04 Trend Micro Incorporated Securing a virtual environment
US20130034094A1 (en) * 2011-08-05 2013-02-07 International Business Machines Corporation Virtual Switch Data Control In A Distributed Overlay Network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MAHALINGAM, M. [u.a.]: VXLAN: A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks. In: Netzwork Working Group, August 2011, 1 - 20. *

Also Published As

Publication number Publication date
DE102013209372A1 (de) 2013-12-05
US20130322446A1 (en) 2013-12-05
US8908691B2 (en) 2014-12-09

Similar Documents

Publication Publication Date Title
DE102013209372B4 (de) Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk
DE112013002270B4 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
DE112013004828T5 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
DE112013000731B4 (de) Skalierbare virtuelle Geräte-Cloud
DE102015108145B4 (de) Lokale Dienstverkettung mit virtuellen Maschinen und virtualisierten Behältern in software-definierter Vernetzung
US10237230B2 (en) Method and system for inspecting network traffic between end points of a zone
DE112015004008B4 (de) Selektives abtasten von netzwerkpaketverkehr unter verwendung von virtuelle-maschinen-werkzeugplattformen auf cloud-basis
DE112014000415B4 (de) Quantisierte Überlastbenachrichtigung in einem virtuellen Netzwerksystem
DE102013209118B4 (de) Beibehaltung und Änderung von Netzwerküberlastungsbenachrichtigungen während der Übertragung von Netzwerkdaten zwischen einem physischen Netzwerk und einem virtuellen Netzwerk
DE202016107377U1 (de) Systeme zur Auslagerung von Netzwerkfunktionen über Paket-Trunking
US9729578B2 (en) Method and system for implementing a network policy using a VXLAN network identifier
US9385950B2 (en) Configurable service proxy local identifier mapping
DE102012220834B4 (de) Verfahren und Vorrichtung zum Umsetzen eines flexiblen virtuellen lokalen Netzwerks
DE102013208431B4 (de) Großer verteilter Switch auf Fabric-Basis unter Verwendung virtueller Switches und virtueller Steuereinheiten
DE112013001904B4 (de) Paketvermittlung auf der Ebene 2 ohne Nachschlagetabelle für Ethernet-Switches
DE112018003059T5 (de) Identifizierung und authentifizierung von vorrichtungen in einem netzwerk
US20150281099A1 (en) QUALITY OF SERVICE (QoS) FOR MULTI-TENANT-AWARE OVERLAY VIRTUAL NETWORKS
DE102015013946A1 (de) Netzwerkbasiertes Service Function Chaining
DE112013006417B4 (de) Verlustfreie Schalterstruktur mit niedriger Latenzzeit zum Gebrauch in einem Rechenzentrum
DE112007001529T5 (de) Flexibles und erweiterbares Receive Side Scaling
DE112008002550T5 (de) Verfahren und System für virtuelle Schnittstellenkommunikation
DE112011101831T5 (de) Schutz vor websiteübergreifenden Scripting-Attacken
DE112013000512T5 (de) Zugriff auf IP-Netzwerk und Edge-Geräte
DE112020000535B4 (de) Fehlerbehebung innerhalb und außerhalb der eigenen Räumlichkeiten
WO2020019958A1 (zh) Vxlan报文封装及策略执行方法、设备、系统

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012951000

Ipc: H04L0012715000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012951000

Ipc: H04L0012715000

Effective date: 20140110

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012715000

Ipc: H04L0045640000

R081 Change of applicant/patentee

Owner name: KYNDRYL, INC., NEW YORK, US

Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORPORATION, ARMONK, N.Y., US