JP6211062B2 - 仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。 - Google Patents

仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。 Download PDF

Info

Publication number
JP6211062B2
JP6211062B2 JP2015509520A JP2015509520A JP6211062B2 JP 6211062 B2 JP6211062 B2 JP 6211062B2 JP 2015509520 A JP2015509520 A JP 2015509520A JP 2015509520 A JP2015509520 A JP 2015509520A JP 6211062 B2 JP6211062 B2 JP 6211062B2
Authority
JP
Japan
Prior art keywords
packet
service
network
overlay
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015509520A
Other languages
English (en)
Other versions
JP2015519822A (ja
Inventor
バナバリカル、ハラチャンドラ
カンブル、ケシャブ、ゴーヴィンド
ルー、ダーレン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2015519822A publication Critical patent/JP2015519822A/ja
Application granted granted Critical
Publication of JP6211062B2 publication Critical patent/JP6211062B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、データ・センタ・インフラストラクチャに関し、特に、本発明は、データ・センタにおける仮想オーバーレイ・ネットワーク・トラフィックに、ディープ・パケット・インスペクション・サービスを提供することに関する。
データ・センタ・インフラストラクチャの伸縮性(elasticity)が必要であることについては、詳細な議論がなされてきており、業界では、データ・センタの機敏性を高める方法について複数の有力な見解が既に考え出されているが、セキュリティおよびサービスの仮想化については、あまり重視されてこなかった。いくつかのセキュリティ機能を挙げると、ファイアウォール、侵入防止システム(IPS:intrusion prevention system)、侵入検出システム(IDS:intrusion detection system)などがあり、いくつかのサービスを挙げると、アクセラレータ、仮想プライベート・ネットワーク(VPN:virtual private network)終端、ロード・バランシング、トラフィック圧縮、インテリジェント・シェーピング、転送速度制限などがある。複数のアプリケーションおよびクライアントでインフラストラクチャを共有することは、サーバ仮想化および分散アプリケーション・アーキテクチャによりますます一般的になりつつあり、最近の傾向からは、アプリケーションの分散性が高まっていくにつれて、サーバ対サーバ通信(データ・センタにおける東西トラフィックと呼ばれる)が指数関数的に増加する可能性が高いことが示唆されている。
例えば仮想拡張ローカル・エリア・ネットワーク(VXLAN:virtual extensible local area network)その他の仮想オーバーレイ・ネットワークは、位置の透過性をもたらすために、元のネットワーク・パケットを覆うパケットにカプセル化されるプロトコル・ヘッダを使用する。この追加のカプセル化プロトコル・ヘッダが原因で、特に物理インフラストラクチャのルータおよびスイッチなど、既存またはレガシのインターネットワーキング構成要素(INE:Inter−Networking Element)は、元のパケットの中から情報を判断することができない。これは、レガシINEにとっては、オーバーレイ・プロトコル・ヘッダの内側にある元のパケットが、従来のデータ・ペイロードとしてカプセル化されているためである。さらに、このように元のパケットの可視性が欠如していることで、INEが高度なネットワーク・セキュリティおよびサービスを実施することが妨げられる。仮想拡張ローカル・エリア・ネットワーク(VXLAN)のようなプロトコルは、ユーザ・データグラム・プロトコル/インターネット・プロトコル(UDP/IP:User Datagram Protocol/Internet Protocol)を使用して、複数の物理ネットワークにわたる伝送のために元のイーサネット(R)パケットをカプセル化する。元のイーサネット・パケットは、発信元から、最も近いVXLANゲートウェイまで、ネットワークをトンネリングされる。VXLANゲートウェイは、仮想ネットワークを非仮想ネットワーク(物理コンポーネントを有するレガシ・ネットワーク)に接続する。VXLANゲートウェイは、VXLANプロトコルおよびトンネルを認識する(かつ処理できる)ので、カプセル化されたパケットを識別する能力を有する。しかしながら、現在、これらのゲートウェイは、その中を流れるトラフィックに対してサービスまたはセキュリティを適用できない。
一実施形態では、システムは、オーバーレイ・ネットワーク・デバイス(overlay network device)を含み、オーバーレイ・ネットワーク・デバイスは、仮想オーバーレイ・ネットワーク(VON:virtual overlay network)ゲートウェイと電気通信するようになっているインターフェースと、VONゲートウェイから複数のパケットを受信する手段(手段は実施例における論理、回路、モジュールに相当)と、複数のパケットがオーバーレイ・ヘッダ(overlay header)を含むかどうかを判断する手段と、オーバーレイ・ヘッダを含むパケットの内部パケット(inner packet)をカプセル化解除する(de−encapsulate)手段と、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行する手段と、サービスを受けた内部パケットまたはサービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信する手段、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信する手段とを含む。
別の実施形態では、仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供する方法は、複数のパケットを含むネットワーク・トラフィックを受信するステップと、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するステップと、トンネルを終了し(terminate)、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するステップと、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行するステップと、トンネルを開始し(originate)、サービスを受けた内部パケットまたはサービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットを送信するステップ、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに送信するステップとを含む。
さらに別の実施形態では、仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供するためのコンピュータ・プログラム製品は、コンピュータ可読ストレージ媒体を用いて具現化されたコンピュータ可読プログラム・コードを有するコンピュータ可読ストレージ媒体を含み、コンピュータ可読プログラム・コードは、複数のパケットを含むネットワーク・トラフィックをVONゲートウェイから受信するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するよう構成されたコンピュータ可読プログラム・コードと、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行するよう構成されたコンピュータ可読プログラム・コードと、内部パケットまたは複数のパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信すること、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信することを、択一的に行うよう構成されたコンピュータ可読プログラム・コードとを含む。
別の実施形態によれば、システムは、1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークと電気通信するようになっている1つ以上のインターフェースと、複数のパケットを含むネットワーク・トラフィックを受信する手段と、パケットがオーバーレイ・ヘッダを含むかどうかを判断する手段と、トンネルを終了し、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除する手段と、パケットに対してサービスが実行されることを判断し、パケットに対してサービスを実行する手段と、トンネルを開始し、サービスを受けたパケットを、オーバーレイ・ヘッダを用いてカプセル化して、カプセル化された、サービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングする手段、またはサービスを受けたパケットを、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに非仮想ネットワーク内の宛先アドレスへスイッチングする手段とを含む。
本発明の他の側面および実施形態が、以下の詳細な説明から明らかになる。詳細な説明は、図面と併せて理解されると、本発明の原理の例示となる。
一実施形態によるネットワーク・アーキテクチャを示す。 一実施形態による、図1のサーバもしくはクライアントまたはその両方に関連し得る典型的なハードウェア環境を示す。 一実施形態による、仮想化されたデータ・センタの略図である。 従来技術による、仮想ネットワーク(単数または複数)と、非仮想ネットワーク(単数または複数)との間の接続性の略図である。 一実施形態による、仮想ネットワーク(単数または複数)と、非仮想ネットワーク(単数または複数)との間の単純化した接続性を示す。 一実施形態による、仮想オーバーレイ・ネットワーク・ゲートウェイ中の単純化したフローを示す。 一実施形態による、オーバーレイ・ネットワーク・デバイス中の単純化したフローを示す。 一実施形態による方法のフローチャートである。 一実施形態による方法のフローチャートである。
以下の説明は、本発明の一般的な原理を示すように構成されており、本願において特許請求される発明概念を限定することは意図されていない。さらに、本願明細書に記載される特定の特徴は、様々な可能な組み合わせおよび置換のそれぞれにおいて、記載されている他の特徴と組み合わせて使用可能である。
本願明細書で明確に別途定義されない限り、すべての用語には、当業者により理解される意味もしくは辞書、論文などで定義されている意味、またはその両方のみならず、明細書が示唆する意味をも含む、最大限広範な解釈が与えられるものとする。
さらに、明細書および添付の特許請求の範囲で使用される単数形の「ある」(a、an)および「該」(the)は、別途指定がない限り、複数の指示対象を含むことに留意されたい。
一手法において、仮想ローカル・エリア・ネットワーク(VLAN:virtual local area network)ゲートウェイおよびインターネットワーク構成要素(INE)は、仮想オーバーレイ・ネットワーク・トラフィックを転送する間、内部パケットのネイティブな(native)可視性の欠如を克服するために、ディープ・パケット・インスペクション・サービスを提供するデバイスを利用してもよい。
一般的な一実施形態では、システムは、オーバーレイ・ネットワーク・デバイスを含み、オーバーレイ・ネットワーク・デバイスは、仮想オーバーレイ・ネットワーク(VON)ゲートウェイと電気通信するようになっているインターフェースと、VONゲートウェイから複数のパケットを受信する手段と、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断する手段と、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除する手段と、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行する手段と、サービスを受けた内部パケットまたはサービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信する手段、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信する手段とを含む。
別の一般的な実施形態では、仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供する方法は、複数のパケットを含むネットワーク・トラフィックを受信するステップと、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するステップと、トンネルを終了し、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するステップと、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行するステップと、トンネルを開始し、サービスを受けた内部パケットまたはサービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットを送信するステップ、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに送信するステップとを含む。
さらに別の一般的な実施形態では、仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供するためのコンピュータ・プログラム製品は、コンピュータ可読ストレージ媒体を用いて具現化されたコンピュータ可読プログラム・コードを有するコンピュータ可読ストレージ媒体を含み、コンピュータ可読プログラム・コードは、複数のパケットを含むネットワーク・トラフィックをVONゲートウェイから受信するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するよう構成されたコンピュータ可読プログラム・コードと、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行するよう構成されたコンピュータ可読プログラム・コードと、内部パケットまたは複数のパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信すること、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信することを、択一的に行うよう構成されたコンピュータ可読プログラム・コードとを含む。
別の一般的な実施形態によれば、システムは、1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークと電気通信するようになっている1つ以上のインターフェースと、複数のパケットを含むネットワーク・トラフィックを受信する手段と、パケットがオーバーレイ・ヘッダを含むかどうかを判断する手段と、トンネルを終了し、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除する手段と、パケットに対してサービスが実行されることを判断し、パケットに対してサービスを実行する手段と、トンネルを開始し、サービスを受けたパケットを、オーバーレイ・ヘッダを用いてカプセル化して、カプセル化された、サービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングする手段、またはサービスを受けたパケットを、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに非仮想ネットワーク内の宛先アドレスへスイッチングする手段とを含む。
当業者であれば当然のことであるが、本発明の各側面は、システム、方法、またはコンピュータ・プログラム製品として具現化され得る。したがって、本発明の各側面は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、または本願明細書においてすべて概して「論理」、「回路」、「モジュール」、もしくは「システム」と呼ばれ得る、ソフトウェアおよびハードウェアの側面を兼ね備えた実施形態の形態をとり得る。さらに、本発明の各側面は、コンピュータ可読プログラム・コードが具現化された1つ以上のコンピュータ可読媒体(単数または複数)において具現化された、コンピュータ・プログラム製品の形態をとることもできる。
1つ以上のコンピュータ可読媒体(単数または複数)の任意の組み合わせが利用され得る。コンピュータ可読媒体は、コンピュータ可読信号媒体または非一時的コンピュータ可読ストレージ媒体とされ得る。非一時的コンピュータ可読ストレージ媒体は、例えば、電子、磁気、光学、電磁気、赤外線、もしくは半導体のシステム、装置、もしくはデバイス、または前述のものの任意の適切な組み合わせとされ得るが、これらに限定はされない。非一時的コンピュータ可読ストレージ媒体のより具体的な例(包括的でないリスト)には、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、消去可能プログラム可能読み取り専用メモリ(EPROM(erasable programmable read−only memory)もしくはフラッシュ・メモリ)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD−ROM:compact disc read−only memory)、Blu−Ray(R)ディスク読み取り専用メモリ(BD−ROM:Blu−Ray disc read−only memory)、光学式ストレージ・デバイス、磁気ストレージ・デバイス、または前述のものの任意の適切な組み合わせが含まれる。この文書の文脈では、非一時的コンピュータ可読ストレージ媒体は、命令実行システム、装置、もしくはデバイスによって、またはそれに関連して使用されるプログラムまたはアプリケーションを含むこと、または格納することができる任意の有形の媒体とされ得る。
コンピュータ可読信号媒体は、例えば、ベースバンドに、または搬送波の一部としてコンピュータ可読プログラム・コードが具現化された、伝搬データ信号を含み得る。そのような伝搬信号は、電磁気、光学、またはその任意の適切な組み合わせを含むがこれらに限定はされない、様々な形態のいずれかをとってよい。コンピュータ可読信号媒体は、1つ以上のワイヤを有する電気的接続、光ファイバなど、非一時的コンピュータ可読ストレージ媒体でなく、かつ命令実行システム、装置、もしくはデバイスによって、またはそれに関連して使用されるプログラムの伝達、伝搬、または搬送をすることができる、任意のコンピュータ可読媒体としてよい。
コンピュータ可読媒体上に具現化されたプログラム・コードは、無線、有線、光ファイバ・ケーブル、無線周波数(RF:radio frequency)など、または前述のものの任意の適切な組み合わせを含むがこれらに限定はされない、任意の適切な媒体を使用して伝送され得る。
本発明の各側面の動作を実行するコンピュータ・プログラム・コードは、Java(R)、Smalltalk(R)、C++、または同様のものなどのオブジェクト指向プログラミング言語、および「C」プログラミング言語もしくは同様のプログラミング言語などの従来の手続きプログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで書かれていてよい。プログラム・コードは、完全にユーザのコンピュータ上で実行されても、部分的にユーザのコンピュータ上で実行されても、スタンド・アロン・ソフトウェア・パッケージとして実行されても、部分的にユーザのコンピュータ上で、かつ部分的に遠隔コンピュータ上で実行されても、または完全に遠隔コンピュータもしくはサーバ上で実行されてもよい。後者のシナリオでは、ローカル・エリア・ネットワーク(LAN:local area network )、ストレージ・エリア・ネットワーク(SAN:storage area network)、もしくは広域ネットワーク(WAN:wide area network)、またはそのいずれかの組み合わせを含む任意のタイプのネットワーク、任意の仮想ネットワークを介して遠隔コンピュータまたはサーバがユーザのコンピュータに接続されてもよく、または、例えばインターネット・サービス・プロバイダ(ISP:Internet Service Provider)を使用しインターネットを介して外部コンピュータに接続されてもよい。
本発明の各側面について、本発明の様々な実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図もしくはブロック図またはその両方を参照して本願明細書に記載する。当然のことながら、フローチャート図もしくはブロック図またはその両方の各ブロック、およびフローチャート図もしくはブロック図またはその両方の複数ブロックの組み合わせは、コンピュータ・プログラム命令により実施され得る。マシンを生じるよう、こうしたコンピュータ・プログラム命令が、汎用コンピュータ、専用コンピュータ、またはその他のプログラム可能データ処理装置のプロセッサに提供されて、この命令が、コンピュータまたはその他のプログラム可能データ処理装置のプロセッサにより実行されて、フローチャートもしくはブロック図またはその両方の1つもしくは複数のブロックにおいて指定された機能/動作を実施する手段を作り出すようにすることもできる。
さらに、特定の形で機能するようコンピュータ、その他のプログラム可能データ処理装置、またはその他のデバイスに指示することができるこうしたコンピュータ・プログラム命令は、コンピュータ可読媒体に格納されて、コンピュータ可読媒体に格納されたこの命令が、フローチャートもしくはブロック図またはその両方の1つもしくは複数のブロックにおいて指定された機能/動作を実施する命令を含む製品を生じるようにすることもできる。
さらに、コンピュータ・プログラム命令は、コンピュータ、その他のプログラム可能データ処理装置、またはその他のデバイスにロードされて、コンピュータ、その他のプログラム可能装置、またはその他のデバイス上で一連の動作ステップが実行されるようにしてコンピュータで実施されるプロセスを生じさせ、コンピュータまたはその他のプログラム可能装置上で実行されるこの命令が、フローチャートもしくはブロック図またはその両方の1つもしくは複数のブロックにおいて指定された機能/動作を実施するためのプロセスを提供するようにすることもできる。
図1は、一実施形態によるネットワーク・アーキテクチャ100を示す。図1に示されているように、第1の遠隔ネットワーク104および第2の遠隔ネットワーク106を含む、複数の遠隔ネットワーク102が提供される。ゲートウェイ101が、遠隔ネットワーク102と、近接ネットワーク108との間に連結されてもよい。本ネットワーク・アーキテクチャ100との関連では、ネットワーク104、106は、それぞれ、LAN、VLAN、インターネットなどのWAN、公衆交換電話網(PSTN:public switched telephone network)、内部電話網などを含むがこれらに限定はされない、任意の形態をとってよい。
使用中、ゲートウェイ101は、遠隔ネットワーク102から近接ネットワーク108への入口点としての機能を果たす。よって、ゲートウェイ101は、ゲートウェイ101に到着する所与のデータのパケットを誘導できるルータ、および所与のパケットに対してゲートウェイ101に出入りする実経路を提供するスイッチとして機能し得る。
さらに、近接ネットワーク108に連結された少なくとも1つのデータ・サーバ114が含まれており、データ・サーバ114には、遠隔ネットワーク102からゲートウェイ101を介してアクセス可能である。なお、データ・サーバ(単数または複数)114は、任意のタイプのコンピューティング・デバイス/グループウェアを含み得る。各データ・サーバ114には、複数のユーザ・デバイス116が連結されている。そのようなユーザ・デバイス116には、デスクトップ・コンピュータ、ラップトップ・コンピュータ、ハンドヘルド・コンピュータ、プリンタ、もしくはその他任意のタイプの論理を含むデバイス(logic−containing device)、またはそのいずれかの組み合わせが含まれ得る。なお、一部の実施形態では、ユーザ・デバイス111が、ネットワークのいずれかに直接連結されることもできる。
例えば、ファクシミリ装置、プリンタ、スキャナ、ハード・ディスク・ドライブ、ネットワーク接続された、もしくはローカルの、またはその両方のストレージ・ユニットもしくはストレージ・システムなど、1つの周辺機器120または一連の周辺機器120が、ネットワーク104、106、108の1つ以上に連結されてもよい。なお、データベースもしくは追加のコンポーネントまたはその両方が、ネットワーク104、106、108に連結された任意のタイプのネットワーク構成要素とともに利用されても、またはネットワーク構成要素に統合されてもよい。本記載の文脈では、ネットワーク構成要素は、ネットワークの任意のコンポーネントを指し得る。
一部の手法によれば、本願明細書に記載された方法およびシステムは、IBM(IBM社の登録商標)z/OS(IBM社の登録商標)環境をエミュレートするUnix(R)システム、MICROSOFT WINDOWS(R)環境を仮想ホストするUNIX(R)システム、IBM(IBM社の登録商標)z/OS(IBM社の登録商標)環境をエミュレートするMICROSOFT WINDOWS(R)システムなど、仮想システムもしくは1つ以上の他のシステムをエミュレートするシステム、またはその両方のシステムを用いた実装、もしくは該システム上での実装、またはその両方が可能である。この仮想化もしくはエミュレーションまたはその両方は、一部の実施形態では、VMWAREソフトウェアを用いて強化され得る。
さらなる手法では、1つ以上のネットワーク104、106、108は、一般的に「クラウド」と呼ばれる複数のシステムのクラスタを表し得る。クラウド・コンピューティングでは、処理能力、周辺機器、ソフトウェア、データ、サーバなどの共有リソースが、オンデマンドの関係でクラウド内の任意のシステムに提供され、それによって、多数のコンピューティング・システムにわたるサービスのアクセスおよび配分が可能になる。クラウド・コンピューティングは、典型的には、クラウド内で動作するシステム間のインターネット接続を伴うが、従来技術で周知の通り、システムを接続する他の技術も使用され得る。
図2は、一実施形態による、図1のユーザ・デバイス116もしくはサーバ114またはその両方に関連する典型的なハードウェア環境を示す。図2は、いくつかの実施形態による、マイクロプロセッサなどの中央処理ユニット(CPU:central processing unit)210、およびその他、ローカル・バス、パラレル・バス、シリアル・バスなど、様々なタイプとされ得る1つ以上のバス212を介して相互接続されたいくつかのユニットを有する、ワークステーションの典型的なハードウェア構成を示す。
図2に示されたワークステーションは、ランダム・アクセス・メモリ(RAM)214と、読み取り専用メモリ(ROM)216と、ディスク・ストレージ・ユニット220などの周辺デバイスを1つ以上のバス212に接続するためのI/Oアダプタ218と、キーボード224、マウス226、スピーカ228、マイクロフォン232、もしくはタッチ・スクリーン、デジタル・カメラ(図示せず)などの他のユーザ・インターフェース・デバイス、またはそのいずれかの組み合わせを1つ以上のバス212に接続するためのユーザ・インターフェース・アダプタ222と、ワークステーションを通信ネットワーク235(例えばデータ処理ネットワーク)に接続するための通信アダプタ234と、1つ以上のバス212をディスプレイ・デバイス238に接続するためのディスプレイ・アダプタ236とを含む。
ワークステーション上には、MICROSOFT WINDOWS(R)オペレーティング・システム(OS:Operating System)、MAC OS、UNIX(R)OSなどのオペレーティング・システムが常駐していてもよい。当然のことながら、好適な実施形態は、言及されたもの以外のプラットフォームおよびオペレーティング・システム上でも実施され得る。好適な実施形態は、オブジェクト指向プログラミング手法とともに、JAVA(R)、XML、C、もしくはC++言語、またはそのいずれかの組み合わせ、またはその他のプログラミング言語を使用して書かれてもよい。複雑なアプリケーションを開発するために使用されることが増加してきた、オブジェクト指向プログラミング(OOP:Object oriented programming)が使用されてもよい。
以下、図3を参照する。一実施形態による、オーバーレイ・ネットワーク300の概念的ビューが示されている。ネットワーク・サービスを仮想化するために、単純にデバイス間のファブリック・パス(接続性)を提供するほかに、非仮想ネットワーク(単数または複数)312と、仮想ネットワークA304および仮想ネットワークB306との間を移動するパケットのルーティングおよびフォワーディングを提供するゲートウェイ314中をパケットが進むときに、パケットにサービスが提供されてもよい。1つ以上の仮想ネットワーク304、306は、物理(実)ネットワーク・インフラストラクチャ302内に存在する。ネットワーク・インフラストラクチャ302は、当業者には周知のように、スイッチ、コネクタ、ワイヤ、回路、ケーブル、サーバ、ホスト、ストレージ媒体、オペレーティング・システム、アプリケーション、ポート、I/Oなどを含むがこれらに限定はされない、典型的にネットワーク・インフラストラクチャに関連する、もしくはネットワーク・インフラストラクチャにおいて使用される、またはその両方の、任意のコンポーネント、ハードウェア、ソフトウェア、もしくは機能性、またはそのいずれかの組み合わせを含んでもよい。このネットワーク・インフラストラクチャ302は、レガシ・ネットワークであってもよい少なくとも1つの非仮想ネットワーク312をサポートする。
各仮想ネットワーク304、306は、任意数の仮想マシン(VM:virtual machine)308、310を使用し得る。一実施形態では、仮想ネットワークA304は、1つ以上のVM308を含み、仮想ネットワークB306は、1つ以上のVM310を含む。図3に示されているように、VM308、310は、仮想ネットワーク304、306によって共有されずに、常時1つのみの仮想ネットワーク304、306に排他的に含まれる。
一実施形態によれば、オーバーレイ・ネットワーク300は、1つ以上の分散ライン・カード(DLC:distributed line card)と相互接続された1つ以上のセル交換ドメイン・スケーラブル・ファイブリック・コンポーネント(SFC:scalable fabric component)を含んでもよい。
「フラット・スイッチ」アーキテクチャを有することにより、複数のVMは、アーキテクチャを横断してデータを容易かつ効率的に移動させることができる。一般に、VMが、1つのサブネットから別のサブネットへ、インターネット・プロトコル(IP)サブネットからIPサブネットへなど、レイヤ3ドメインを横断することは非常に困難である。しかし、アーキテクチャが、超大型レイヤ2ドメインにおける大型フラット・スイッチに類似していれば、アーキテクチャを横断してデータを移動させようと試行するVMの支援になる。
図4は、従来技術による、従来の仮想ネットワーク304、306から非仮想ネットワーク312への接続性を示す。図のように、VONゲートウェイ400は、仮想ネットワーク304、306から開始されたトンネルから非仮想ネットワーク312へ向かってトラフィックをルーティングするために使用されてもよく、トンネル終端点としての機能を果たす。さらに、ゲートウェイ400は、仮想ネットワーク304と仮想ネットワーク306との間のトンネルを介してトラフィックをルーティングするために使用され得る。これを達成するために、ゲートウェイ400は、イーサネット(R)、ファイバ・チャネル、またはその他任意の接続方式などを介して、物理的接続を使用して仮想ネットワーク304、306および非仮想ネットワーク312に接続される。しかしながら、ゲートウェイ400は、オーバーレイ・パケットのペイロード内にあるかもしれない任意のパケットに関して、トンネルを介して到着するトラフィックを検査できない。したがって、ゲートウェイ400が、オーバーレイ・パケット内のパケットに対してサービスを提供する方法がない。
以下、図5を参照する。一実施形態による、仮想ネットワーク304、306と、非仮想ネットワーク(単数または複数)312との間の接続性が示されている。図のように、仮想拡張ローカル・エリア・ネットワーク(VXLAN)ゲートウェイなどの仮想オーバーレイ・ネットワーク(VON)ゲートウェイ502が、仮想ネットワークまたは非仮想ネットワークへの、または該ネットワークからの、ゲートウェイを通過する任意のトラフィックに対して、ルーティング機能を提供し得る。さらに、ゲートウェイ502は、トラフィックをオーバーレイ・ネットワーク・デバイス500へ誘導することができる。
ゲートウェイ502は、中央処理ユニット、フィールド・プログラマブル・ゲート・アレイ(FPGA:field programmable gate array)、集積回路(IC:integrated circuit)、特定用途向け集積回路(ASIC:application specific integrated circuit)、または当該技術分野で周知の他の何らかの適切なプロセッサなどの、論理を実行するプロセッサを含んでもよい。
一実施形態によれば、着信するVONカプセル化パケットをオーバーレイ・ネットワーク・デバイス500にパント(punt)するために、アクセス制御リスト(ACL:access control list)がインターネットワーキング構成要素(INE)および仮想オーバーレイ・ネットワーク(VON)ゲートウェイ502ポートに適用されてもよい。そのようなACLをポートに対してアクティブ化すると、ACLアクティブ化ポート上で受信される任意のパケットは、オーバーレイ・ネットワーク・デバイス500にパントされることになる。続いて、オーバーレイ・ネットワーク・デバイス500は、サービスのチェーンを実施する。当業者には周知のように、数ある可能性の中でも特に、ファイアウォール・サービス、侵入防止システム(IPS)サービス、侵入検出システム(IDS)、IPS/IDSサービス、サーバ・ロード・バランシング・サービス、LAN最適化サービス、VPNサービス、ビデオ最適化サービス、ネットワーク・アドレス変換(NAT:network address translation)サービス、暗号化サービス、復号サービスなど、当該技術分野で周知の任意のサービスが、トラフィックに対して適用され得る。これらのサービスはそれぞれ、オーバーレイ・ネットワーク・デバイス500を起動すると、システム管理者の要望通りに、個々にアクティブ化されても、個々にバイパスされても、または手動で選択されてもよい。
オーバーレイ・ネットワーク・デバイス500は、中央処理ユニット(CPU)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、集積回路(IC)、および特定用途向け集積回路(ASIC)、または当該技術分野で周知の他の何らかの適切なプロセッサなどの、論理を実行するプロセッサを含んでもよく、該プロセッサとして具現化されてもよい。別の実施形態では、オーバーレイ・ネットワーク・デバイス500は、ゲートウェイまたはINE502に搭載されたプロセッサであってもよく、ゲートウェイもしくはINE502のプロセッサにおいて構成された論理であってもよく、またはその他、ゲートウェイもしくはINE502の外部に位置する何らかの適切なデバイス内にあってもよい。
仮想オーバーレイ・ネットワーク(仮想ネットワークA304、仮想ネットワークB306など)から非仮想化レガシ・ネットワーク(非仮想ネットワーク312など)に到着する、レイヤ3ユーザ・データグラム・プロトコル/インターネット・プロトコル(UDP/IP)カプセル化トラフィックに関して、オーバーレイ・ネットワーク・デバイス500は、宛先アドレスがINE仮想トンネル・エンド・ポイント(VTEP:Virtual Tunnel End Point)アドレスであるフローを終了させ、内部パケットをカプセル化解除し、内部パケットにサービスを提供できるオーバーレイ・ネットワーク・デバイス・サービス・チェーンに内部パケットを渡す。パケットは、オーバーレイ・ネットワーク・デバイス500内部に構成されアクティブ化されているサービスのチェーンを経由する。チェーンの終わりに、パケットの最終宛先アドレスに基づいて、パケットをオーバーレイ・フォーマットへとカプセル化して(宛先アドレスが仮想ネットワーク・アドレス空間にある場合)それをトンネル上で渡すか、またはパケットをそのままで渡す(宛先アドレスが非仮想ネットワークにある場合)かが決定され、パケットは、INEに再度入れられる。
オーバーレイ・ネットワーク・デバイス500からINEまたはVONゲートウェイ502に到来するパケットは、INE502内のあらゆるトンネル管理論理をバイパスし、INE502内の「ルックアップ・フォワード」論理のみを経由して、エグレス経路を発見し、その経路を介して、パケット内の宛先アドレスに基づいて仮想ネットワーク(304、306)または非仮想ネットワーク312のいずれかに入る。
同じく、非仮想ネットワーク(単数または複数)312から仮想ネットワーク(単数または複数)304、306に到来するトラフィックに関して、パケットは、イングレス・ポートに適用されたACLに基づいて、オーバーレイ・ネットワーク・デバイス500に渡される。パケットは、オーバーレイ・ネットワーク・デバイス500に到着すると、オーバーレイ・ネットワーク・デバイス500内部に構成されたサービスのチェーンに通される。チェーンの終わりに、パケットの最終宛先アドレスに基づいて、パケットをオーバーレイ・フォーマットへとカプセル化して(宛先アドレスが仮想ネットワーク・アドレス空間にある場合)それをトンネル上で渡すか、またはパケットをそのままで渡す(宛先アドレスが非仮想ネットワークにある場合)かが決定され、パケットは、INE502に再度入れられる。オーバーレイ・ネットワーク・デバイス500からINEまたはVONゲートウェイ502に到来するパケットは、INE502内のトンネル管理論理をバイパスし、「ルックアップ・フォワード」論理のみを経由して、エグレス経路を発見し、その経路を介して、パケット内の宛先アドレスに基づいて仮想オーバーレイ・ネットワーク304、306または非仮想レガシ・ネットワーク(単数または複数)312のいずれかに入る。
オーバーレイ・ネットワーク・デバイス・サービスは、仮想アプライアンスにおいて実施されても、市販(COTS:commercial off the shelf)サーバなどの任意のタイプのサーバ上で実施されても、VXLANゲートウェイなどのINEまたはVONゲートウェイ502に搭載された専用チップセットとして実施されても、または本記載を読むと当業者には分かるであろう他の任意のシステム、デバイス、もしくはプロセッサにおいて実施されてもよい。
オーバーレイ・ネットワーク・デバイス500の管理論理は、例えばイーサネット(R)、ペリフェラル・コンポーネント・インターコネクト・エクスプレス(PCIe:peripheral component interconnect express)オーバ・イーサネット、ファイバ・チャネル(FC:fiber channel)オーバ・イーサネット(FCoE:FC over Ethernet)などのパケット転送プロトコルに関係なく、着信データ・パケットおよび発信データ・パケットを処理するよう構成されることもできる。
一手法では、着信データ・パケットを処理する過程でシステムが実行するとよい1つ以上のサービスを判断するために、着信データ・パケットが分析されてもよい。さらに、この、システムが実行するとよいサービスは、着信データ・パケットを処理する過程でデータ・パケットが通ることになる処理経路の全部または一部を定義する。
例えば、特定のサービスがネットワーク・トラフィックのサブセットのみに対して実行される一実施形態では、それらのサービスを必要とするデータ・パケットは、目的のサービスを受けるために、それらのサービスを必要とするものとして識別されなければならない。したがって、一実施形態において、処理経路の少なくとも一部は、サービスが実行されるか否かの判断を含み、処理経路を一部定義する。
様々な実施形態によれば、パケットに対して実行され得るサービスには、当業者には周知のように、数ある可能性の中でも特に、ファイアウォール・サービス、侵入防止システム(IPS)サービス、侵入検出システム(IDS)、IPS/IDSサービス、サーバ・ロード・バランシング・サービス、LAN最適化サービス、VPNサービス、ビデオ最適化サービス、ネットワーク・アドレス変換(NAT)サービス、暗号化サービス、復号サービスなどが含まれるが、これらに限定はされない。
一実施形態では、VXLANフレーム・フォーマットは以下の通りであってもよい。
Figure 0006211062
Figure 0006211062
このフレーム・フォーマットは、パケットが内部パケットに関して検査されるべきかどうかを判断するために、いくつかの異なる方法で使用され得る。そのような方法の1つでは、宛先ポート(Destポート)が判断されてもよい。例として、上記で示したフレーム・フォーマットでは、宛先ポートはVXLANポートであり、これは、パケットがオーバーレイ・ヘッダを有することを示す。したがって、このパケットは、内部パケットが何を含むか、さらに続いてサービスが内部パケットに対して実行されるべきかどうかを判断するために、カプセル化解除されてもよい。当然、当業者に周知であり本願明細書に記載されるように、サービスが内部パケットに対して実行されるべきかどうか、およびパケットが内部パケットを含むかどうかを判断する、他の方法が使用されてもよい。
以下、図8を参照する。一実施形態による、方法800のフローチャートが示されている。方法800は、様々な実施形態において、特に図1〜図7に示した環境のいずれかの中で、本発明に従って実行され得る。当然、本記載を読むと当業者には分かるように、図8に具体的に記載される動作よりも多い、または少ない動作が方法800に含まれてもよい。
方法800のステップはそれぞれ、動作環境の任意の適切なコンポーネントによって実行され得る。例えば一実施形態では、方法800は様々な手法で、部分的または全体的に、オーバーレイ・ネットワーク・デバイス、プロセッサ(CPU、ASIC、FPGAなど)、VONゲートウェイ、またはINEによって実行され得る。
図8に示されているように、方法800は、動作802から開始するとよく、複数のパケットを含むネットワーク・トラフィックが受信される。一手法では、ネットワーク・トラフィックは、より詳細に本願明細書に記載されるように、ネットワーク・ゲートウェイにて受信されてもよく、ネットワーク・ゲートウェイからオーバーレイ・ネットワーク・デバイスへ送信されてもよい。
動作804において、パケットがオーバーレイ・ヘッダを含むかどうかが判断される。これは、外部UDPヘッダの宛先ポートを判断することによって達成されてもよい。宛先ポートがVXLANポートなどの仮想LANポートであれば、パケットはオーバーレイ・ヘッダを含むと見なされてもよい。
オプションとしての動作806では、パケットが仮想ネットワークから受信されたものである場合、パケットが受信されたトンネルが終了されてもよい。このように、ゲートウェイ、INE、またはオーバーレイ・ネットワーク・デバイスのいずれかが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。好適な一手法では、オーバーレイ・ネットワーク・デバイスが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。
動作808では、オーバーレイ・ヘッダを含むパケットの内部パケットがカプセル化解除され、それによって、内部パケットの可視性が提供される。内部パケットは、I/Oパケット(例えばファイバ・チャネル・オーバ・イーサネット(FCoE)パケット)、制御パケット、IPパケット、ボイス・パケットなど、当該技術分野で周知の任意のタイプであってよい。
動作810において、パケット(例えば内部パケットおよび非仮想ネットワークからのパケット)に対してサービスが実行されることが判断され、パケットに対してサービスが実行される。
様々な実施形態によれば、サービスが実行されることを判断する方法は多数ある。パケットが受信されたポートが、実行されるサービスを決定すること、パケットの宛先ポートが、実行されるサービスを決定すること、パケットのタイプが、実行されるサービスを決定することなどがあり得る。
一実施形態では、パケットに対してサービスが実行されることを判断することは、ACLを複数のパケットに対して適用して、サービスを実行されるパケットと、サービスを実行されないパケットとを区別することを含んでもよい。
さらなる実施形態において、サービスを実行されるパケットのタイプは、異なる1つまたは複数のACLを複数のパケットに対して適用することによって、変更、改変、指定などがなされてもよい。ACLは、サービスを実行されるパケットを捕捉する。本記載を読むと当業者には分かるように、システム管理者またはその他何らかの権限付与されたユーザが、サービスを受けるパケットの様々なタイプを多数指定するために、複数のACLを指定し得る。
いくつかの実施形態によれば、サービスは、数ある可能性の中でも特に、ファイアウォール・サービス、IPS、IDS、サーバ・ロード・バランシング・サービス、VPNサービス、ビデオ最適化サービス、もしくはWAN最適化サービス、またはそのいずれかの組み合わせのうちの1つ以上を含んでもよい。一手法では、サービスは、上記に列挙したサービスのうちの3つ以上を含んでもよい。
オプションとしての動作812において、仮想ネットワーク内の宛先アドレスを有するパケットのためにトンネルが開始されるとよい。これは、当業者に周知の任意の方法を使用して実行され得る。このように、ゲートウェイ、INE、またはオーバーレイ・ネットワーク・デバイスのいずれかが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。好適な一手法では、オーバーレイ・ネットワーク・デバイスが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。
送出されるパケットのタイプに応じて、方法800は、動作814(仮想ネットワーク宛てのパケットの場合)または動作816(非仮想ネットワーク宛てのパケットの場合)のいずれかに進む。
動作814では、サービスを受けたパケットが、オーバーレイ・ヘッダを用いてカプセル化され、仮想ネットワーク内の宛先アドレスへスイッチングされる。これは、様々な実施形態において、オーバーレイ・ネットワーク・デバイスまたはゲートウェイのいずれかによって実行され得る。当然、一部の手法では、オーバーレイ・ネットワーク・デバイスは、ゲートウェイに組み込まれたチップセットまたはプロセッサであってもよい。
動作816では、サービスを受けたパケットは、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに、非仮想ネットワーク内の宛先アドレスへスイッチングされる。
方法800は、図8に記載された動作の全部または一部を含む様々な実施形態において、コンピュータ・プログラム製品、他の方法、論理、およびシステムで実行され得る。
そのような実施形態の1つでは、システムは、オーバーレイ・ネットワーク・デバイスを含み、オーバーレイ・ネットワーク・デバイスは、VONゲートウェイと電気通信するようになっているインターフェースと、VONゲートウェイから複数のパケットを受信する手段と、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断する手段と、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除する手段と、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行する手段と、サービスを受けた内部パケットまたはサービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信すること、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信することのいずれかをする手段とを含む。
いくつかのさらなる実施形態では、システムは、1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークに接続されたVONゲートウェイをさらに含んでもよい。これらの実施形態では、VONゲートウェイは、ネットワーク・トラフィック(本願明細書に記載されるように、仮想ネットワークもしくは非仮想ネットワークまたはその両方から受信されるパケットなど)に対してルーティング機能を実行する手段と、ネットワーク・トラフィックの複数のパケットをオーバーレイ・ネットワーク・デバイスへルーティングする手段と、オーバーレイ・ネットワーク・デバイスから複数のパケットを再受信する手段とを含んでもよい。
さらなる実施形態では、VONゲートウェイは、特定の受信パケットに対してサービスを実行するために、VONゲートウェイのポート上で受信されるネットワーク・トラフィックに対してACLを適用して、該パケットをオーバーレイ・ネットワーク・デバイスへ誘導するようになっていてもよい。さらに、VONゲートウェイに、そのポート上で受信されるネットワーク・トラフィックに対して別のACLを適用させることによって、サービスを実行されるパケットのタイプが変更されてもよい。
別の実施形態では、オーバーレイ・ネットワーク・デバイスは、オーバーレイ・ヘッダを含むパケットのためのトンネルを終了する手段と、仮想ネットワーク内の宛先アドレスへスイッチングされるパケットのためのトンネルを開始する手段とをさらに含んでもよい。このように、一部の手法では、オーバーレイ・ネットワーク・デバイスは、仮想ネットワークのいずれかへ/からのトンネルの開始点および終端点としての機能を果たし、VONゲートウェイからこの機能性を取り除いてもよい。
VONゲートウェイ、オーバーレイ・ネットワーク・デバイスなど、本願明細書に記載された任意のシステムは、1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークと電気通信するようになっている1つ以上のインターフェースを含んでもよい。
以下、図9を参照する。一実施形態による、方法900のフローチャートが示されている。方法900は、様々な実施形態において、特に図1〜図7に示した環境のいずれかの中で、本発明に従って実行され得る。当然、本記載を読むと当業者には分かるように、図9に具体的に記載される動作よりも多い、または少ない動作が方法900に含まれてもよい。
方法900のステップはそれぞれ、動作環境の任意の適切なコンポーネントによって実行され得る。例えば一実施形態では、方法900は様々な手法で、部分的または全体的に、オーバーレイ・ネットワーク・デバイス、プロセッサ(CPU、ASIC、FPGAなど)、VONゲートウェイ、またはINEによって実行され得る。
図9に示されているように、方法900は、動作902から開始するとよく、複数のパケットを含むネットワーク・トラフィックが受信される。一手法では、ネットワーク・トラフィックは、より詳細に本願明細書に記載されるように、ネットワーク・ゲートウェイにて受信されてもよく、ネットワーク・ゲートウェイからオーバーレイ・ネットワーク・デバイスへ送信されてもよい。
動作904において、パケットがオーバーレイ・ヘッダを含むかどうかが判断される。これは、外部UDPヘッダの宛先ポートを判断することによって達成されてもよい。宛先ポートがVXLANポートなどの仮想LANポートであれば、パケットはオーバーレイ・ヘッダを含むと見なされてもよい。
動作906では、パケットが仮想ネットワークから受信されたものである場合、パケットが受信されたトンネルが終了され、オーバーレイ・ヘッダを含むパケットの内部パケットがカプセル化解除され、それによって、内部パケットの可視性が提供される。このように、VONゲートウェイ、INE、またはオーバーレイ・ネットワーク・デバイスのいずれかが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。好適な一手法では、オーバーレイ・ネットワーク・デバイスが、VONゲートウェイに組み込まれてもよく、VONゲートウェイが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。内部パケットは、I/Oパケット(例えばファイバ・チャネル・オーバ・イーサネット(FCoE)パケット)、制御パケット、IPパケット、ボイス・パケットなど、当該技術分野で周知の任意のタイプであってよい。
動作908において、複数のパケットまたはカプセル化解除された内部パケットに対してサービスが実行される。様々な実施形態によれば、どのサービスが実行されるかを判断する方法は多数ある。パケットが受信されたポートが、実行されるサービスを決定すること、パケットの宛先ポートが、実行されるサービスを決定すること、パケットのタイプが、実行されるサービスを決定することなどがあり得る。
一実施形態では、どのサービスがパケットに対して実行されるかを判断することは、ACLを複数のパケットに対して適用して、サービスを実行されるパケットと、サービスを実行されないパケットとを区別することを含んでもよい。
さらなる実施形態において、サービスを実行されるパケットのタイプは、異なる1つまたは複数のACLを複数のパケットに対して適用することによって、変更、改変、指定などがなされてもよい。ACLは、サービスを実行されるパケットを捕捉する。本記載を読むと当業者には分かるように、システム管理者またはその他何らかの権限付与されたユーザが、サービスを受けるパケットの様々なタイプを多数指定するために、複数のACLを指定し得る。
いくつかの実施形態によれば、サービスは、数ある可能性の中でも特に、ファイアウォール・サービス、IPS、IDS、サーバ・ロード・バランシング・サービス、VPNサービス、ビデオ最適化サービス、もしくはWAN最適化サービス、またはそのいずれかの組み合わせのうちの1つ以上を含んでもよい。一手法では、サービスは、上記に列挙したサービスのうちの3つ以上を含んでもよい。
動作910では、仮想ネットワーク内の宛先アドレスを有するパケットのために、トンネルが開始され、サービスを受けた内部パケットまたはサービスを受けたパケットが、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化され、カプセル化されたパケットが仮想ネットワーク内の宛先アドレスへ送信される。
この動作は、当業者に周知の任意の方法を使用して実行され得る。このように、VONゲートウェイ、INE、またはオーバーレイ・ネットワーク・デバイスのいずれかが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。好適な一手法では、オーバーレイ・ネットワーク・デバイスが、VONゲートウェイに組み込まれてもよく、VONゲートウェイが、任意の仮想ネットワークへ/からのトンネルの終端点および開始点としての機能を果たしてもよい。
さらに、動作912では、非仮想ネットワークへスイッチングされる任意のパケットが、オーバーレイ・ヘッダを用いてパケットをカプセル化せずに、非仮想ネットワークへ送信される。
別の実施形態によれば、仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックに対してサービスを提供するコンピュータ・プログラム製品は、コンピュータ可読ストレージ媒体を用いて具現化されたコンピュータ可読プログラム・コードを有する、(非一時的媒体を含む、本願明細書に記載された、または当業者に周知のタイプの)コンピュータ可読ストレージ媒体を含んでもよい。コンピュータ可読プログラム・コードは、複数のパケットを含むネットワーク・トラフィックを受信するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するよう構成されたコンピュータ可読プログラム・コードと、トンネルを終了し、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するよう構成されたコンピュータ可読プログラム・コードと、複数のパケットまたはカプセル化解除された内部パケットに対してサービスを実行するよう構成されたコンピュータ可読プログラム・コードと、トンネルを開始し、内部パケットまたは複数のパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、カプセル化されたパケットをVONゲートウェイへ送信すること、またはサービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてパケットをカプセル化せずにVONゲートウェイへ送信することを択一的に行うよう構成されたコンピュータ可読プログラム・コードとを含む。
さらなる実施形態では、コンピュータ・プログラム製品は、複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断する前に、ACLをネットワーク・トラフィックに対して適用して、複数のパケットに対してサービスが実行されることを判断するよう構成されたコンピュータ可読プログラム・コードを含んでもよい。別のさらなる手法では、サービスを実行されるパケットのタイプが、ネットワーク・トラフィックに対して適用する別のACLを指定することによって変更されてもよい。
様々な実施形態を上記に記載したが、当然のことながら、それらは限定ではなく単なる例として提示された。したがって、本発明の実施形態の幅および範囲は、上記の例示の実施形態のいずれによっても限定されてはならず、以下の特許請求の範囲およびその等価物に従ってのみ定義されるべきである。

Claims (12)

  1. 1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークと電気通信するようになっている1つ以上のインターフェースと、
    複数のパケットを含むネットワーク・トラフィックを受信する手段と、
    前記パケットがオーバーレイ・ヘッダを含むかどうかを判断する手段と、
    オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除する手段と、
    アクセス制御リスト(ACL)を前記パケットに対して適用することにより、前記パケットに対してサービスを実行する手段であって、サービスを実行されるパケットのタイプが、別のACLを前記パケットに対して適用することによって変更される、手段と、
    前記サービスを受けたパケットを、オーバーレイ・ヘッダを用いてカプセル化する手段であって、前記カプセル化された、サービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングする、前記カプセル化する手段、または
    前記サービスを受けたパケットを、オーバーレイ・ヘッダを用いて前記パケットをカプセル化せずに非仮想ネットワーク内の宛先アドレスへスイッチングする手段と
    を含むシステム。
  2. 前記サービスは、
    ファイアウォール・サービスと、
    侵入防止サービス(IPS)と、
    侵入検出サービス(IDS)と、
    サーバ・ロード・バランシング・サービスと、
    仮想プライベート・ネットワーク(VPN)サービスと、
    ビデオ最適化サービスと、
    広域ネットワーク(WAN)最適化サービスと
    のうちの2つ以上を含む、請求項1に記載のシステム。
  3. 請求項1に記載のシステムを含むオーバーレイ・ネットワーク・デバイスであって、前記1つ以上のインターフェースは、
    仮想オーバーレイ・ネットワーク(VON)ゲートウェイと電気通信するインターフェースを含み、前記受信する手段は、
    前記VONゲートウェイから複数のパケットを受信する手段を含み、前記カプセル化する手段は、
    前記サービスを受けた内部パケットまたは前記サービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、前記カプセル化されたパケットを前記VONゲートウェイへ送信する手段を含み、前記スイッチングする手段は、
    前記サービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いて前記パケットをカプセル化せずに前記VONゲートウェイへ送信する手段を含む、オーバーレイ・ネットワーク・デバイス。
  4. 前記システムは、1つ以上の仮想ネットワークおよび1つ以上の非仮想ネットワークに接続された前記VONゲートウェイをさらに含み、前記VONゲートウェイは、
    ネットワーク・トラフィックに対してルーティング機能を実行する手段と、
    前記ネットワーク・トラフィックの複数のパケットを前記オーバーレイ・ネットワーク・デバイスへルーティングする手段と、
    前記オーバーレイ・ネットワーク・デバイスから前記複数のパケットを再受信する手段と
    を含む、請求項に記載のシステム。
  5. 前記VONゲートウェイは、特定の受信パケットに対してサービスを実行するために、前記VONゲートウェイのポート上で受信されるネットワーク・トラフィックに対してアクセス制御リスト(ACL)を適用して、前記特定の受信パケットを前記オーバーレイ・ネットワーク・デバイスへ誘導するようになっている、請求項に記載のシステム。
  6. サービスを実行されるパケットのタイプは、前記VONゲートウェイに、前記VONゲートウェイのポート上で受信される前記ネットワーク・トラフィックに対して別のACLを適用させることによって変更される、請求項に記載のシステム。
  7. オーバーレイ・ヘッダを含むパケットのためのトンネルを終了する手段と、
    仮想ネットワーク内の宛先アドレスへスイッチングされるパケットのためのトンネルを開始する手段と
    をさらに含む、請求項に記載のシステム。
  8. 前記サービスは、
    ファイアウォール・サービスと、
    侵入防止サービス(IPS)と、
    侵入検出サービス(IDS)と、
    サーバ・ロード・バランシング・サービスと、
    仮想プライベート・ネットワーク(VPN)サービスと、
    ビデオ最適化サービスと、
    広域ネットワーク(WAN)最適化サービスと
    のうちの少なくとも1つを含む、請求項に記載のシステム。
  9. 仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供する方法であって、前記方法は、
    複数のパケットを含むネットワーク・トラフィックを受信するステップと、
    アクセス制御リスト(ACL)を前記ネットワーク・トラフィックに対して適用して、前記複数のパケットに対してサービスが実行されることを判断するステップであって、 サービスを実行されるパケットのタイプが、前記ネットワーク・トラフィックに対して適用する別のACLを指定することによって変更される、ステップと、
    前記複数のパケットがオーバーレイ・ヘッダを含むかどうかを判断するステップと、
    トンネルを終了し、オーバーレイ・ヘッダを含むパケットの内部パケットをカプセル化解除するステップと、
    前記複数のパケットまたは前記カプセル化解除された内部パケットに対してサービスを実行するステップと、
    トンネルを開始し、前記サービスを受けた内部パケットまたは前記サービスを受けたパケットを、仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いてカプセル化し、前記カプセル化されたパケットを送信するステップ、または
    前記サービスを受けたパケットを、非仮想ネットワーク内の宛先アドレスへスイッチングされるよう、オーバーレイ・ヘッダを用いて前記パケットをカプセル化せずに送信するステップと
    を含む方法。
  10. 前記サービスは、
    ファイアウォール・サービスと、
    侵入防止サービス(IPS)と、
    侵入検出サービス(IDS)と、
    サーバ・ロード・バランシング・サービスと、
    仮想プライベート・ネットワーク(VPN)サービスと、
    ビデオ最適化サービスと、
    広域ネットワーク(WAN)最適化サービスと
    のうちの少なくとも1つを含む、請求項に記載の方法。
  11. 仮想オーバーレイ・ネットワーク上のネットワーク・トラフィックにサービスを提供するためのコンピュータ・プログラムであって、請求項10の何れか1項に記載の方法の各ステップをコンピュータに実行させる、コンピュータ・プログラム。
  12. 請求項11に記載の前記コンピュータ・プログラムをコンピュータ可読記録媒体に記録した、記録媒体。
JP2015509520A 2012-04-30 2013-03-27 仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。 Active JP6211062B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/460,558 2012-04-30
US13/460,558 US9106508B2 (en) 2012-04-30 2012-04-30 Providing services to virtual overlay network traffic
PCT/IB2013/052439 WO2013164707A1 (en) 2012-04-30 2013-03-27 Providing services to virtual overlay network traffic

Publications (2)

Publication Number Publication Date
JP2015519822A JP2015519822A (ja) 2015-07-09
JP6211062B2 true JP6211062B2 (ja) 2017-10-11

Family

ID=49477235

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015509520A Active JP6211062B2 (ja) 2012-04-30 2013-03-27 仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。

Country Status (6)

Country Link
US (3) US9106508B2 (ja)
JP (1) JP6211062B2 (ja)
CN (1) CN104272672B (ja)
DE (1) DE112013002270B4 (ja)
GB (1) GB2514975B (ja)
WO (1) WO2013164707A1 (ja)

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106508B2 (en) * 2012-04-30 2015-08-11 International Business Machines Corporation Providing services to virtual overlay network traffic
US9166992B1 (en) * 2012-05-01 2015-10-20 Amazon Technologies, Inc. Methods and apparatus for providing network traffic monitoring services
US10110417B1 (en) * 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10880162B1 (en) 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US9992062B1 (en) 2012-07-06 2018-06-05 Cradlepoint, Inc. Implicit traffic engineering
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10601653B2 (en) 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US9210079B2 (en) 2012-08-14 2015-12-08 Vmware, Inc. Method and system for virtual and physical network integration
US8837476B2 (en) 2012-09-07 2014-09-16 International Business Machines Corporation Overlay network capable of supporting storage area network (SAN) traffic
CN104904165B (zh) * 2013-01-04 2018-02-16 日本电气株式会社 控制装置、通信系统以及隧道端点的控制方法
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
US9444704B2 (en) * 2013-05-20 2016-09-13 Hitachi, Ltd. Method for controlling monitoring items, management computer, and computer system in cloud system where virtual environment and non-virtual environment are mixed
US9374323B2 (en) * 2013-07-08 2016-06-21 Futurewei Technologies, Inc. Communication between endpoints in different VXLAN networks
US10778584B2 (en) 2013-11-05 2020-09-15 Cisco Technology, Inc. System and method for multi-path load balancing in network fabrics
US9655232B2 (en) 2013-11-05 2017-05-16 Cisco Technology, Inc. Spanning tree protocol (STP) optimization techniques
US9825857B2 (en) 2013-11-05 2017-11-21 Cisco Technology, Inc. Method for increasing Layer-3 longest prefix match scale
US9686180B2 (en) 2013-11-05 2017-06-20 Cisco Technology, Inc. Managing routing information for tunnel endpoints in overlay networks
US9769078B2 (en) 2013-11-05 2017-09-19 Cisco Technology, Inc. Dynamic flowlet prioritization
US10951522B2 (en) 2013-11-05 2021-03-16 Cisco Technology, Inc. IP-based forwarding of bridged and routed IP packets and unicast ARP
US9374294B1 (en) 2013-11-05 2016-06-21 Cisco Technology, Inc. On-demand learning in overlay networks
EP3605971B1 (en) * 2013-11-05 2021-10-13 Cisco Technology, Inc. Network fabric overlay
US9674086B2 (en) 2013-11-05 2017-06-06 Cisco Technology, Inc. Work conserving schedular based on ranking
US9502111B2 (en) 2013-11-05 2016-11-22 Cisco Technology, Inc. Weighted equal cost multipath routing
US9888405B2 (en) 2013-11-05 2018-02-06 Cisco Technology, Inc. Networking apparatuses and packet statistic determination methods employing atomic counters
US9397946B1 (en) 2013-11-05 2016-07-19 Cisco Technology, Inc. Forwarding to clusters of service nodes
US9825856B2 (en) * 2014-01-06 2017-11-21 Futurewei Technologies, Inc. Service function chaining in a packet network
CN104811382B (zh) * 2014-01-28 2018-05-29 华为技术有限公司 数据包的处理方法与装置
US10261814B2 (en) * 2014-06-23 2019-04-16 Intel Corporation Local service chaining with virtual machines and virtualized containers in software defined networking
CN105227498B (zh) 2014-06-27 2018-03-02 国际商业机器公司 叠加网络交换机及其使用的方法
US9769088B2 (en) 2014-07-31 2017-09-19 Arista Networks, Inc. Method and system for VTEP redundancy in a multichassis link aggregation domain
CN105323234B (zh) * 2014-08-05 2019-03-15 中兴通讯股份有限公司 业务节点能力处理方法、装置、业务分类器及业务控制器
US10826835B2 (en) 2014-09-19 2020-11-03 Nokia Solutions And Networks Oy Chaining of network service functions in a communication network
US11722367B2 (en) 2014-09-30 2023-08-08 Nicira, Inc. Method and apparatus for providing a service with a plurality of service nodes
US10171559B2 (en) * 2014-11-21 2019-01-01 Cisco Technology, Inc. VxLAN security implemented using VxLAN membership information at VTEPs
US9716660B2 (en) * 2014-12-11 2017-07-25 Intel Corporation Hierarchical enforcement of service flow quotas
CN105992234B (zh) * 2015-02-15 2021-03-16 中兴通讯股份有限公司 一种无边界网络信道环境模拟方法和系统
JP6406424B2 (ja) * 2015-03-04 2018-10-17 日本電気株式会社 通信システムにおけるデータセンタ、通信装置、通信方法および通信制御方法
US11216300B2 (en) * 2015-03-04 2022-01-04 Nec Corporation Datacenter, communication apparatus, communication method, and communication control method in a communication system
US9967231B2 (en) * 2015-03-18 2018-05-08 Cisco Technology, Inc. Inter-pod traffic redirection and handling in a multi-pod network environment
CN106254256B (zh) * 2015-06-04 2019-08-16 新华三技术有限公司 基于三层vxlan网关的数据报文转发方法和设备
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10122626B2 (en) * 2015-08-27 2018-11-06 Nicira, Inc. Self-managed overlay networks
US10462011B2 (en) 2015-08-27 2019-10-29 Nicira, Inc. Accessible application cluster topology
US10153918B2 (en) 2015-08-27 2018-12-11 Nicira, Inc. Joining an application cluster
JP6579258B2 (ja) * 2016-03-02 2019-09-25 日本電気株式会社 ネットワークシステム、制御装置、仮想ネットワーク機能の構築方法及びプログラム
US10027746B2 (en) 2016-05-26 2018-07-17 International Business Machines Corporation Mechanism for overlay virtual networking
US10038627B2 (en) * 2016-05-31 2018-07-31 Brocade Communications Systems LLC Selective rule management based on traffic visibility in a tunnel
CN107645431B (zh) * 2016-07-20 2020-08-04 新华三技术有限公司 报文转发方法及装置
US10218730B2 (en) * 2016-07-29 2019-02-26 ShieldX Networks, Inc. Systems and methods of stateless processing in a fault-tolerant microservice environment
US10142356B2 (en) * 2016-07-29 2018-11-27 ShieldX Networks, Inc. Channel data encapsulation system and method for use with client-server data channels
US10075373B2 (en) * 2016-08-26 2018-09-11 Viasat, Inc. Methods and apparatus for providing traffic forwarder via dynamic overlay network
US10484302B2 (en) 2016-08-27 2019-11-19 Nicira, Inc. Managed forwarding element executing in public cloud data compute node with different internal and external network addresses
CN106878278B (zh) * 2017-01-09 2021-06-22 新华三技术有限公司 一种报文处理方法及装置
CN106792361A (zh) * 2017-02-22 2017-05-31 安徽井利电子有限公司 一种远程传真机扬声器控制系统
US10666679B1 (en) 2017-04-24 2020-05-26 Wells Fargo Bank, N.A. Rogue foothold network defense
US10778579B2 (en) * 2017-08-27 2020-09-15 Nicira, Inc. Performing in-line service in public cloud
US10805181B2 (en) 2017-10-29 2020-10-13 Nicira, Inc. Service operation chaining
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
JP6669807B2 (ja) 2018-05-30 2020-03-18 株式会社日立製作所 計算機システムおよび計算機
CN108810009B (zh) * 2018-06-28 2021-06-15 迈普通信技术股份有限公司 一种l2tp数据处理方法、设备及系统
CN112640369B (zh) * 2018-08-24 2023-01-10 Vm维尔股份有限公司 在公共云中智能地使用对等的方法、设备和机器可读介质
US11595250B2 (en) 2018-09-02 2023-02-28 Vmware, Inc. Service insertion at logical network gateway
US10826916B2 (en) 2018-09-17 2020-11-03 ShieldX Networks, Inc. Agent-less network traffic inspection using an overlay network
US10866917B2 (en) * 2018-12-03 2020-12-15 Ati Technologies Ulc Inter device data exchange via external bus by utilizing communication port
US11360796B2 (en) * 2019-02-22 2022-06-14 Vmware, Inc. Distributed forwarding for performing service chain operations
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11212317B2 (en) 2019-11-11 2021-12-28 International Business Machines Corporation Extending managed switching network to a virtualization layer in a computer
US11659061B2 (en) 2020-01-20 2023-05-23 Vmware, Inc. Method of adjusting service function chains to improve network performance
US11277331B2 (en) 2020-04-06 2022-03-15 Vmware, Inc. Updating connection-tracking records at a network edge using flow programming
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11611625B2 (en) 2020-12-15 2023-03-21 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7586899B1 (en) 2000-08-18 2009-09-08 Juniper Networks, Inc. Methods and apparatus providing an overlay network for voice over internet protocol applications
JP4225681B2 (ja) 2000-12-06 2009-02-18 富士通株式会社 仮想閉域網構築方法及び装置並びに中継装置
US6480675B2 (en) 2001-02-09 2002-11-12 Eastman Kodak Company One-time-use camera with cartridge retainer to ensure film-on-sprocket retention during camera assembly
US7339929B2 (en) * 2002-08-23 2008-03-04 Corrigent Systems Ltd. Virtual private LAN service using a multicast protocol
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
KR100723864B1 (ko) * 2005-11-12 2007-05-31 한국전자통신연구원 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
US20090238071A1 (en) 2008-03-20 2009-09-24 Embarq Holdings Company, Llc System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller
US8165024B2 (en) 2008-04-03 2012-04-24 Alcatel Lucent Use of DPI to extract and forward application characteristics
US7920569B1 (en) 2008-05-05 2011-04-05 Juniper Networks, Inc. Multi-link transport protocol translation
CN101656618B (zh) * 2009-09-11 2012-09-05 中兴通讯股份有限公司 一种基于结构化对等网络的多媒体消息广播方法及系统
WO2011150396A1 (en) 2010-05-28 2011-12-01 Huawei Technologies Co., Ltd. Virtual layer 2 and mechanism to make it scalable
US8396954B2 (en) 2010-06-24 2013-03-12 Aryaka Networks, Inc. Routing and service performance management in an application acceleration environment
US8516607B2 (en) * 2011-05-23 2013-08-20 Qualcomm Incorporated Facilitating data access control in peer-to-peer overlay networks
US8830834B2 (en) * 2011-12-21 2014-09-09 Cisco Technology, Inc. Overlay-based packet steering
US9203784B2 (en) * 2012-04-24 2015-12-01 Cisco Technology, Inc. Distributed virtual switch architecture for a hybrid cloud
US9106508B2 (en) * 2012-04-30 2015-08-11 International Business Machines Corporation Providing services to virtual overlay network traffic

Also Published As

Publication number Publication date
US20130287036A1 (en) 2013-10-31
US20150288787A1 (en) 2015-10-08
CN104272672A (zh) 2015-01-07
JP2015519822A (ja) 2015-07-09
GB2514975A (en) 2014-12-10
GB2514975B (en) 2020-06-03
DE112013002270B4 (de) 2022-10-13
WO2013164707A1 (en) 2013-11-07
GB201417411D0 (en) 2014-11-19
US9699277B2 (en) 2017-07-04
DE112013002270T5 (de) 2015-03-19
US20130287022A1 (en) 2013-10-31
US9106508B2 (en) 2015-08-11
CN104272672B (zh) 2017-03-22
US9083605B2 (en) 2015-07-14

Similar Documents

Publication Publication Date Title
JP6211062B2 (ja) 仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。
US9584546B2 (en) Providing services to virtual overlay network traffic
US10862732B2 (en) Enhanced network virtualization using metadata in encapsulation header
US8908691B2 (en) Virtual ethernet port aggregation (VEPA)-enabled multi-tenant overlay network
US11394692B2 (en) Distributed tunneling for VPN
US9602400B2 (en) Hypervisor independent network virtualization
US10582420B2 (en) Processing of overlay networks using an accelerated network interface card
US10177936B2 (en) Quality of service (QoS) for multi-tenant-aware overlay virtual networks
US20160248702A1 (en) Overlay network capable of supporting storage area network (san) traffic
US20150295819A1 (en) Flow based overlay network
US20140050218A1 (en) Network interface card having overlay gateway functionality
US20220360566A1 (en) Distributed tunneling for vpn
CN113904867B (zh) 用于vxlan二层组网的流量处理方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170822

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170912

R150 Certificate of patent or registration of utility model

Ref document number: 6211062

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150