JP7496414B2 - ドメイン間トラフィックのグループベースのポリシー - Google Patents

ドメイン間トラフィックのグループベースのポリシー Download PDF

Info

Publication number
JP7496414B2
JP7496414B2 JP2022524224A JP2022524224A JP7496414B2 JP 7496414 B2 JP7496414 B2 JP 7496414B2 JP 2022524224 A JP2022524224 A JP 2022524224A JP 2022524224 A JP2022524224 A JP 2022524224A JP 7496414 B2 JP7496414 B2 JP 7496414B2
Authority
JP
Japan
Prior art keywords
group
host
identifier
data packet
site
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022524224A
Other languages
English (en)
Other versions
JP2023502578A (ja
Inventor
グプタ,アヌバヴ
フェルナンド,レックス
クマール フーダ,サンジェイ
サンダー アッパラ,シャム
トリア,サミール
Original Assignee
シスコ テクノロジー,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シスコ テクノロジー,インコーポレイテッド filed Critical シスコ テクノロジー,インコーポレイテッド
Publication of JP2023502578A publication Critical patent/JP2023502578A/ja
Application granted granted Critical
Publication of JP7496414B2 publication Critical patent/JP7496414B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/645Splitting route computation layer and forwarding layer, e.g. routing according to path computational element [PCE] or based on OpenFlow functionality
    • H04L45/655Interaction between route computation entities and forwarding entities, e.g. for route determination or for flow table update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/76Routing in software-defined topologies, e.g. routing between virtual machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/46Cluster building

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、概して、データ通信の分野に関し、より具体的には、ドメイン間トラフィックのグループに基づくポリシーの構築に関する。
エンタープライズソフトウェア定義(SD)-ワイドエリアネットワーク(WAN)(SD-WAN)ファブリックは、ポイントツーポイント暗号化オーバーレイトンネル(例えば、IPsec)を利用する複数の仮想プライベートネットワーク(VPN)を備えるエッジルータで構成されている。これらのトンネルは、様々な接続方法(例えば、専用のMPLSリンク、ブロードバンドインターネット、またはセルラーネットワーク)を利用して、1つ以上のアンダーレイネットワークを通過する。SD-WAN内のエッジルータおよび中間ルータは、データパケットがソースから宛先にルーティングされるときに、SD-WANポリシーをデータパケットに適用する場合がある。SD-WANポリシーは、ソースノードが属するソースグループおよび/または宛先ノードが属する宛先グループに基づいて決定され得る。
SD-WANのアーキテクチャの一例を示す。 ホストの認証手順の一例を示す。 宛先エッジルータから宛先グループをフェッチするための例示的なフローを示す。 SD-WANファブリック制御プレーンから宛先グループをフェッチするための例示的なフローを示す。 データパケットのポリシーの例示的な決定を示す。 SD-WANエッジルータにおいて宛先グループアイデンティティに基づいてポリシーを施行する例示的な方法を示す。 例示的なコンピュータシステムを示す。
例示的な実施形態の説明
概要
本発明の態様は、独立請求項で提示され、好ましい特徴は、従属請求項で提示される。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
特定の実施形態では、ネットワークの第1のサイトで動作するように構成された第1のネットワークノードは、第1のサイトに位置する第1のホストからデータパケットを受信し得る。データパケットは、第1のサイトとは異なり得る第2のサイトに位置する第2のホストに向けられ得る。第1のネットワークノードは、第2のホストが属する第2のグループのアイデンティティが第1のネットワークノードにおいて利用できないと判定し得る。第1のネットワークノードは、判定に応答して、第2のグループの識別子の要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。第1のネットワークノードは、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。第1のネットワークノードは、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。第1のネットワークノードは、宛先グループと関連付けられた1つ以上のポリシーをデータパケットに適用し得る。第1のネットワークノードは、データパケットが第2のホストにルーティングされるようにし得る。
例示的な実施形態
図1は、SD-WANのアーキテクチャの一例を示している。特定の実施形態では、ネットワーク100は、1つ以上のアンダーレイネットワーク130を介して複数のサイト間でトラフィックを運ぶトンネルに基づく仮想オーバーレイネットワークである、ソフトウェア定義(SD)-ワイドエリアネットワーク(WAN)であり得る。図1に示す例は、第1のサイト110および第2のサイト120の、2つのサイトを示している。各サイトは、1つ以上のWAN-エッジルータを介してネットワーク100に接続し得る。例えば、第1のサイト110は、エッジルータ101を介してネットワーク100に接続し、第2のサイト120は、エッジルータ102を介してネットワーク100に接続する。ネットワーク100に接続されたサイトは、インターネットプロトコルセキュリティ(IPSec)トンネルを介して他のサイトの各々へのデータプレーン接続を有し得る。エッジルータ101および102は、アンダーレイネットワーク130を介してデータプレーン接続を有し得る。アンダーレイネットワーク130は、マルチプロトコルラベルスイッチング(MPLS)、インターネット、およびセルラーネットワークを含み得る。SD-WAN制御プレーンは、集中ルーティングテーブルおよびデータプレーンの転送動作をプログラムするためのルーティングポリシーを維持し得る、コントローラ105を備え得る。コントローラ105は、各エッジルータへの直接制御プレーン接続を維持し得る。コントローラ105は、オーバーレイネットワーク全体をプロビジョニング、維持、および保護し得る。SD-WANネットワーク100はまた、管理/オーケストレーションプレーン107を含み得る。本開示は、特定の様式におけるSD-WANネットワークを説明しているが、本開示は、任意の好適な様式におけるSD-WANネットワークを企図している。
特定の実施形態では、第1のサイトは、第1のホストを含み得る。第1のホストは第1のグループに属し得る。第1のホストが接続されているスイッチは、第1のグループの識別子を学習し得る。スイッチは、第1のホストから発信されたデータパケットに、ソースグループとして第1のグループの識別子を追加し得る。特定の実施形態では、スイッチは、1つ以上の動的メカニズムのうちの1つを使用して、第1のグループの識別子を学習し得る。特定の実施形態では、第1のホストは、認証手順を実行し得る。スイッチは、第1のホストの認証手順中に第1のグループの識別子を学習し得る。
図2は、ホストの認証手順の一例を示している。限定としてではなく、一例として、図2に示すように、第1のホスト111が、ステップ200で起動され得る。スイッチ203は、第1のホスト111を検出し得、「無許可」状態で第1のホスト111に接続されたポートを有効にし得る。「無許可」状態では、802.1Xトラフィックのみが許可され、一方、他のトラフィックはドロップされ得る。ステップ210で、スイッチ203は、ローカルネットワークセグメント上の特別なレイヤ2アドレス(01:80:C2:00:00:03)に拡張認証プロトコル(EAP)-Request Identityフレームを定期的に送信することによって、認証を開始し得る。第1のホスト111は、このアドレスをリッスンし得る。EAP-Request Identityフレームを受信すると、第1のホスト111は、ステップ215で、ユーザIDなどの第1のホスト111の識別子を含むEAP-Response Identityフレームで応答し得る。ステップ220で、スイッチ203は、第1のホスト111から受信したIdentity応答をRADIUS Access-Requestパケットにカプセル化し、RADIUS Access-Requestパケットを認証サーバ205に転送し得る。ステップ225で、認証サーバ205は、応答(RADIUS Access-Challengeパケットにカプセル化されている)をスイッチ203に送信し得る。ステップ230で、スイッチ203は、EAP RequestをEAP Over LAN(EAPOL)フレームにカプセル化し、EAPOLフレームを第1のホスト111に送信し得る。ステップ235で、第1のホスト111は、EAP responseをスイッチに送信し得る。ステップ240で、スイッチは、受信したEAP ResponseをRADIUS Access-Requestパケットにカプセル化し、RADIUS Access-Requestパケットを認証サーバ205に転送し得る。ステップ245で、認証サーバは、(RADIUS Access-Acceptパケットにカプセル化された)EAP-Successメッセージのいずれかで応答し得る。EAP-Successメッセージは、第1のホストが属する第1のグループの識別子を含み得る。スイッチ203は、EAP-Successメッセージから第1のグループの識別子を学習し得る。スイッチ203は、ステップ250で、EAP-Successメッセージを第1のホスト111に転送し得る。EAP-Successを受信すると、スイッチ203は、ポートを「許可された」状態に設定し得、通常のトラフィックを許可し得る。スイッチ203は、第1のホスト111から発信されたデータパケットに第1のグループの識別子を追加し得る。特定の実施形態では、スイッチ203は、1つ以上の静的メカニズムのうちの1つを使用して、第1のグループの識別子を学習し得る。特定の実施形態では、スイッチ203は、IPアドレスとそれらの対応するグループとの間のマッピングテーブルを維持し得る。スイッチ203は、第1のホスト111と関連付けられたIPアドレスに基づいて、第1のグループの識別子を学習し得る。本開示は、第1のホストが属するグループの識別子を特定の様式で学習することを説明しているが、本開示は、第1のホストが属するグループの識別子を任意の好適な様式で学習することを企図している。
特定の実施形態では、第1のネットワークノード101は、第1のサイト110に位置する第1のホスト111からデータパケットを受信し得る。データパケットは、第2のサイト120に位置する第2のホスト121に向けられ得る。第1のサイト110は、第2のサイト120から離れていてもよい。第1のサイト110および第2のサイト120は、SD-WANネットワーク100を介して接続され得る。第1のホスト111に接続されたスイッチ203は、ソースグループとして第1のグループの識別子をデータパケットに追加し得、したがって、データパケットは、第1のグループの識別子を含み得る。第1のネットワークノード101は、第1のホスト111のIPアドレスおよびデータパケット内の第1のグループの識別子のマッピングにより、ローカルデータベースを更新し得る。限定としてではなく、一例として、第1のサイト110に位置する第1のホスト111は、企業内のHRグループに属し得る。HRグループのグループ識別子は1000であり得る。第1のホスト111は、第2のサイト120に位置する第2のホスト121にデータパケットを送信し得る。第2のホスト121は、企業内のエンジニアリンググループに属し得る。エンジニアリンググループのグループ識別子は2000であり得る。第1のホスト111に接続されたスイッチ203は、グループ識別子1000をデータパケットに追加し得る。データパケットは、第1のサイト110をSD-WANネットワーク100に接続するソースエッジルータ101に到着し得る。ソースエッジルータ101は、第1のホスト111のIPアドレスおよびHRグループのグループ識別子1000のマッピングにより、ローカルデータベースを更新し得る。本開示は、特定の様式でソースグループ識別子を含むデータパケットを受信することを説明しているが、本開示は、任意の好適な様式でソースグループ識別子を含むデータパケットを受信することを企図している。
特定の実施形態では、第1のネットワークノード101は、第2のグループのアイデンティティが第1のネットワークノード101において利用できないと判定し得、ここで、第2のグループは、第2のホスト121が属するグループである。特定の実施形態では、第1のネットワークノード101は、第1のネットワークノード101においてローカルデータベースを検索することによって、第2のグループのアイデンティティが第1のネットワークノード101で利用可能であるかどうかを判定し得る。限定としてではなく、一例として、前述の例を続けると、ソースエッジルータ101は、第1のホスト111から第2のホスト121へのデータパケットを受信すると、第2のグループの識別子を判定しようと試み得る。ソースエッジルータ101は、第2のグループの識別子を識別するために、第2のホスト121のIPアドレスを検索し得る。ソースエッジルータ101は、第2のホストのIPアドレスのレコードがローカルデータベースに存在しない場合、第2のグループの識別子が利用できないと判定し得る。本開示は、データパケットの宛先グループの識別子がソースエッジルータにおいて利用できないことを、特定の様式で判定することを説明しているが、本開示は、データパケットの宛先グループの識別子がソースエッジルータにおいて利用できないことを、任意の好適な様式で判定することを企図している。
特定の実施形態では、第1のネットワークノード101は、判定に応答して、第2のグループの識別子についての要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。本開示は、宛先グループの識別子についての要求を特定の様式で送信することを説明しているが、本開示は、宛先グループの識別子についての要求を任意の好適な様式で送信することを企図している。
図3は、宛先エッジルータから宛先グループをフェッチするための例示的なフローを示している。図3に示す例では、第1のホスト111は、データパケットを第2のホスト121に送信し得る。第1のホスト111は、第1のサイト110に位置し得る。第2のホスト121は、第2のサイト120に位置し得る。第1のホスト111は、企業内のHRグループに属し得る。HRグループのグループ識別子は1000であり得る。第2のホスト121は、企業内のエンジニアリンググループに属し得る。エンジニアリンググループのグループ識別子は2000であり得る。ステップ310で、データパケットは、第1のホスト111に接続されているスイッチ203に転送され得る。スイッチ203は、HRグループの識別子1000をデータパケットに追加し得る。スイッチ203は、第1のホスト111の認証手順中にHRグループの識別子を学習した可能性がある。ステップ320で、スイッチ203は、データパケットを、第1のサイト110をSD-WANネットワーク100に接続しているソースエッジルータ101に転送し得る。データパケットは、HRグループの識別子1000を含み得る。
特定の実施形態では、第2のネットワークノードは、第2のサイト120で動作するように構成されたWAN-エッジルータ102であり得る。第2のネットワークノードは、第2のサイト120と関連付けられたローカルファブリック制御プレーン307と通信することによって、第2のグループの識別子を判定し得る。ソースエッジルータ101は、第2のエッジルータ102から第2のグループの識別子を含む応答を受信し得る。ソースエッジルータ101は、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。限定としてではなく、一例として、図3に示す前述の例を続けると、ソースエッジルータ101は、制御メッセージを宛先側WAN-エッジルータ102に送信し得る。制御メッセージは、ステップ330において、データパケットの宛先IPアドレスを含み得る。宛先エッジルータ102は、そのローカルデータベースを検索して、第2のホスト121が属する宛先グループのアイデンティティを見つけ得る。宛先グループがローカルデータベースにおいて利用できない場合、宛先エッジルータ102は、ステップ340で、ローカルファブリック制御プレーンコントローラ307に問い合わせ得る。ローカルファブリック制御プレーンコントローラ307は、第2のサイト120に位置する認証サーバ305から、エンジニアリンググループの宛先グループ識別子2000を学習した可能性がある。ステップ350で、ローカルファブリック制御プレーンコントローラ207は、宛先エッジルータ102に応答を送信し得る。ステップ360で、宛先エッジルータは、制御メッセージをソースエッジルータ101に送信し得、ここで、制御メッセージは、エンジニアリンググループの識別子2000を含み得る。制御メッセージを受信すると、ソースエッジルータ101は、エンジニアリンググループが宛先グループであると判定し得る。ソースエッジルータ101は、ソースグループアイデンティティおよび宛先グループアイデンティティの両方を知っているため、ソースエッジルータ101は、1つ以上の適切なポリシーをデータパケットに適用し得る。ソースエッジルータ101は、アンダーレイネットワーク130を介してデータパケットを宛先エッジルータ102に転送し得る。宛先エッジルータ102は、ステップ380で、第2のホスト121に接続されたスイッチ303にデータパケットを転送し得る。スイッチ303は、ステップ390で、データパケットを第2のホスト121に転送し得る。本開示は、宛先エッジルータから宛先グループ識別子を特定の様式でフェッチすることを説明しているが、本開示は、宛先エッジルータから宛先グループ識別子を任意の好適な様式でフェッチすることを企図している。
特定の実施形態では、ステップ330で送信される要求およびステップ360で送信される応答は、秩序ある管理プロトコル(OMP)を介して送信される制御メッセージであり得る。OMPは、オーバーレイネットワークの心臓部を形成する新しく導入されたプロトコルである。OMPは、エッジルータと制御プレーンコントローラとの間に形成された、トランスポート層セキュリティ(TLS)トンネルまたはデータグラムトランスポート層セキュリティ(DTLS)トンネル内で実行されるプロトコルである。OMPは、オーバーレイネットワーク内のコントローラとエッジルータとの間で、ルーティング、ポリシー、および管理情報を交換するために使用される制御プロトコルである。本開示は、制御メッセージを特定の様式で送信することを説明しているが、本開示は、制御メッセージを任意の好適切な様式で送信することを企図している。
特定の実施形態では、ステップ330で送信される要求およびステップ360で送信される応答は、ウェブソケットを介して送信される制御メッセージであり得る。ウェブソケットは通信プロトコルであり、単一のTCP接続を介して全二重通信チャネルを提供する。ウェブソケットは、TCP上でメッセージのストリームを有効にする。TCP単独で、メッセージの固有の概念を有さないバイトのストリームを処理する。本開示は、制御メッセージを特定の様式で送信することを説明しているが、本開示は、制御メッセージを任意の好適な様式で送信することを企図している。
特定の実施形態では、第2のネットワークノードは、SD-WANファブリック制御プレーンコントローラ105であり得る。第2のネットワークノードは、ネットワーク内のホストと関連付けられたグループ識別子を維持し得る。第1のネットワークノード101は、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。図4は、SD-WANファブリック制御プレーンから宛先グループをフェッチするための例示的なフローを示している。限定としてではなく、一例として、図4に示すように、SD-WANファブリック制御プレーン内のコントローラ105は、第1のホスト111が認証手順を実行するとき、第1のホスト111と関連付けられた第1のグループの識別子と関連付けられた情報を、第1のサイト110の認証サーバ205から受信し得る。コントローラ105は、第2のホスト121が認証手順を実行するとき、第2のホスト121と関連付けられた第2のグループの識別子と関連付けられた情報を、第2のサイト120の認証サーバ305から受信し得る。第1のホスト111がデータパケットを第2のホスト121に送信するとき、データパケットは、ステップ410において、第1のホスト111に接続されたスイッチ203に転送され得る。スイッチ203は、ソースグループとして第1のグループの識別子をデータパケットに追加し、ステップ420で、データパケットをソースエッジルータ101に転送し得る。ソースエッジルータ101は、ローカルデータベース内の第2のホスト121、宛先ホストのIPアドレスを検索することによって、宛先グループの識別子を判定しようと試み得る。ソースエッジルータ101が第2のホスト121のIPアドレスのレコードを見つけることができない場合、ソースエッジルータ101は、ステップ430で、SD-WANファブリック制御プレーン内のコントローラ105に要求を送信し得る。要求は、宛先ホスト、すなわち第2のホスト121のIPアドレスを含み得る。コントローラ105は、それ自体のデータベースから第2のグループの識別子を見つけ得る。コントローラ105は、ステップ440で、第2のグループの識別子をソースエッジルータ101に応答し得る。ステップ430およびステップ440での要求および応答は、制御プレーンメッセージであり得る。ソースエッジルータ101は、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。ソースエッジルータ101は、宛先グループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。特定の実施形態では、ソースエッジルータ101は、第1のグループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。ソースエッジルータ101は、決定されたポリシーをデータパケットに適用し得る。ステップ450で、ソースエッジルータ101は、データパケットが、アンダーレイネットワーク130を介して宛先エッジルータ102に配信されるようにし得る。宛先エッジルータ102は、宛先ホスト、すなわち、そのローカルデータベース内の第2のホスト121のIPアドレスを検索することによって、宛先グループアイデンティティを判定しようと試み得る。宛先エッジルータ102がローカルデータベース内の宛先IPアドレスを検索できない場合、宛先エッジルータ102は、コントローラ105に、図4に示されない要求を送信し得る。宛先エッジルータ102は、宛先グループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。特定の実施形態では、宛先エッジルータ102は、ソースグループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。宛先エッジルータ102は、ポリシーをデータパケットに適用し得る。ステップ460で、宛先エッジルータ102は、データパケットを第2のホスト121に接続されたスイッチ303に転送し得る。ステップ470で、スイッチは、データパケットを第2のホスト121に転送し得る。本開示は、SD-WANファブリック制御プレーンから宛先グループ識別子を特定の様式でフェッチすることを説明しているが、本開示は、SD-WANファブリック制御プレーンから宛先グループ識別子を任意の好適な様式でフェッチすることを企図している。
特定の実施形態では、第1のネットワークノード101は、データパケットに対応する1つ以上のポリシーを決定し得る。特定の実施形態では、1つ以上のポリシーは、宛先グループと関連付けられ得る。特定の実施形態では、1つ以上のポリシーは、ソースグループと関連付けられ得る。第1のネットワークノード101は、1つ以上のポリシーをデータパケットに適用し得る。図5は、データパケットのポリシーの例示的な決定を示している。限定としてではなく、一例として、図5に示すように、ソースエッジルータ101は、ポリシーエンジン501を利用して、データパケットに対応する1つ以上のポリシーを決定し得る。特定の実施形態では、ポリシーエンジン501は、ソースエッジルータ101内にあり得る。特定の実施形態では、ポリシーエンジン501は、ソースエッジルータ101から離れた場所に位置し得る。ソースエッジルータ101は、データパケットに対応するソースグループの識別子をポリシーエンジン501に入力として提供し得る。ソースエッジルータ101は、データパケットに対応する宛先グループの識別子をポリシーエンジン501に入力として提供し得る。ポリシーエンジン501は、データパケットに対応する1つ以上のポリシーを生成し得る。1つ以上のポリシーは、アドミッション制御、ルーティングパス選択、セキュリティポリシー、サービス品質(QoS)サービス、およびトラフィックポリシングを含み得る。ソースエッジルータ101は、決定された1つ以上のポリシーをデータパケットに適用し得る。SD-WANネットワーク100内のルーティングパス中の任意のルータは、データパケットに対応する1つ以上のポリシーを決定し、1つ以上のポリシーをデータパケットに適用し得る。本開示は、特定の様式で、データパケットに対応する1つ以上のポリシーを決定し、ポリシーをデータパケットに適用することを説明しているが、本開示は、任意の好適な様式で、データパケットに対応する1つ以上のポリシーを決定し、ポリシーをデータパケットに適用することを企図している。
特定の実施形態では、1つ以上のポリシーは、アドミッション制御を含み得る。ネットワーク100は、ソースグループアイデンティティに基づいて、宛先グループアイデンティティに基づいて、またはソースグループと宛先グループとの組み合わせに基づいて、ネットワークにアクセスするためのトラフィックを制限し得る。限定としてではなく、一例として、ポリシーエンジン501は、判定されたソースグループアイデンティティおよび/または判定された宛先グループアイデンティティに基づいて、データパケットがSD-WANネットワーク100を介してルーティングされることを拒否し得る。次に、ソースルータ101は、データパケットをSD-WANネットワーク100を介してルーティングさせることなく、データパケットをドロップし得る。本開示は、データパケットにアドミッション制御ポリシーを特定の様式で施行することを説明しているが、本開示は、データパケットにアドミッション制御ポリシーを任意の好適な様式で施行することを企図している。
特定の実施形態では、1つ以上のポリシーは、ルーティングパス選択を含み得る。ルーティングパス選択は、宛先グループアイデンティティに基づいて実行され得る。特定の実施形態では、ルーティングパス選択は、ソースグループアイデンティティに基づいて実行され得る。動的ルーティングは、SD-WANの主要な特性のうちの1つであり得る。第1のネットワークノード101は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、複数の利用可能なルーティングパスのうちの1つを介してデータパケットをルーティングし得る。限定としてではなく、一例として、ポリシーエンジン501は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、データパケットのルーティングパスを生成し得る。ソースエッジルータ101は、データパケットが、生成されたルーティングパスを介して、宛先エッジルータ102に向かってルーティングされるようにし得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてルーティングパス選択を施行することを説明しているが、本開示は、任意の好適切な様式で少なくとも宛先グループアイデンティティに基づいてルーティングパス選択を施行することを企図している。
特定の実施形態では、1つ以上のポリシーは、セキュリティポリシーを含み得る。セキュリティポリシーは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、セキュリティポリシーは、ソースグループアイデンティティに基づいて決定され得る。限定としてではなく、一例として、ポリシーエンジン501は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、データパケットのためのファイアウォールルールのセットを生成し得る。ソースエッジルータ101は、生成されたファイアウォールルールをデータパケットに適用し得る。特定の実施形態では、データパケットが生成されたファイアウォールルールを満たさない場合、ソースエッジルータ101はデータパケットをドロップし得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてデータパケットにセキュリティポリシーを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいてデータパケットにセキュリティポリシーを施行することを企図している。
特定の実施形態では、1つ以上のポリシーは、サービス品質(QoS)ポリシーを含み得る。QoSポリシーは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、QoSポリシーは、ソースグループアイデンティティに基づいて決定され得る。データパケットのQoSクラスに基づいて、複数のQoSパラメータが判定され得る。QoSクラスは、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて判定され得る。限定としてではなく、一例として、ポリシーエンジン501は、データパケットがソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、ベストエフォートクラスのトラフィックであると判定し得る。ソースエッジルータ101は、ベストエフォートクラスのトラフィックと関連付けられた複数のQoSパラメータをデータパケットに適用し得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてQoSポリシーを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいてQoSポリシーを施行することを企図している。
特定の実施形態では、1つ以上のポリシーは、所定の最大データレートを施行し得るトラフィックポリシングを含み得る。所定の最大データレートは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、所定の最大データレートは、ソースグループアイデンティティに基づいて決定され得る。限定としてではなく、一例として、ポリシーエンジン501は、第1のグループから第2のグループへのトラフィックの最大データレートが100Mbpsであると決定し得る。ソースエッジルータ101は、第1のホスト111から第2のホスト121へのトラフィックに対して決定された最大データレートを施行し得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいて最大データレートを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいて最大データレートを施行することを企図している。
特定の実施形態では、第1のネットワークノード101は、データパケットを第2のホスト121にルーティングさせ得る。限定としてではなく、一例として、ソースエッジルータ101は、データパケットを、アンダーレイネットワーク130を介するソースエッジルータ101と宛先エッジルータ102との間の1つ以上のIPSecトンネルのうちの1つを介して宛先エッジルータ102にルーティングさせ得る。データパケットを受信すると、宛先エッジルータ102は、第2のサイト120のローカルルーティングポリシーに基づいて、データパケットを第2のホスト121に向けてルーティングし得る。本開示は、データパケットを特定の様式で宛先ホストにルーティングさせることを説明しているが、本開示は、データパケットを任意の好適な様式で宛先ホストにルーティングさせることを企図している。
特定の実施形態では、第1のネットワークノード101は、第2のホスト121から第1のホスト111に向けた第2のデータパケットを受信し得る。第1のネットワークノード101は、第2のデータパケット内のソースグループ識別子フィールドに基づいてソースグループ識別子を識別し得る。特定の実施形態では、第1のネットワークノード101は、ソースグループ識別子がレコード内の第2のグループ識別子と同一ではないと判定し得る。判定に応答して、第1のネットワークノード101は、レコード内の第2のグループの識別子をソースグループ識別子で更新し得る。限定としてではなく、一例として、第1のホスト111から第1のデータパケットを受信すると、第2のホスト121は、第2のデータパケットで第1のホスト111に応答し得る。第2のデータパケットは、第1のサイト110内の第1のエッジルータ101に到着し得る。第1のエッジルータ101は、第2のデータパケットにファイルされたソースグループ識別子に基づいて、第2のデータパケットのソースグループ識別子を判定し得る。第1のエッジルータ101は、第2のデータパケットのソースグループ識別子を、ローカルデータベース内の第2のホスト121に対応する第2のグループ識別子と比較し得る。ソースグループ識別子がローカルデータベース内の第2のグループ識別子と一致しない場合、第1のエッジルータ101は、ローカルデータベース内の第2のグループ識別子を第2のデータパケットのソースグループ識別子で更新し得る。本開示は、特定の様式でリモートホストから発信されたデータパケットに基づいてリモートホストのグループ識別子を更新することを説明しているが、本開示は、任意の好適な様式でリモートホストから発信されたデータパケットに基づいてリモートホストのグループ識別子を更新することを企図している。
図6は、SD-WANエッジルータにおいて宛先グループアイデンティティに基づいてポリシーを施行するための例示的な方法600を示している。この方法は、ステップ610で開始し得、ここで、ネットワークの第1のサイトで動作するように構成された第1のネットワークノードは、第1のサイトに位置する第1のホストから第2のサイトに位置する第2のホストに向けたデータパケットを受信し得る。第1のサイトと第2のサイトは、異なり得る。ステップ620で、第1のネットワークノードは、第2のホストが属する第2のグループのアイデンティティが第1のネットワークノードで利用可能であるかどうかを判定し得る。ステップ630で、第1のネットワークノードは、判定に応答して、第2のグループの識別子の要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。ステップ640で、第1のネットワークノードは、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。第1のネットワークノードは、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。ステップ650で、第1のネットワークノードは、宛先グループと関連付けられた1つ以上のポリシーをデータパケットに適用し得る。ステップ660で、第1のネットワークノードは、データパケットが第2のホストにルーティングされるようにし得る。特定の実施形態は、適切な場合、図6の方法の1つ以上のステップを繰り返し得る。本開示は、図6の方法の特定のステップを、特定の順序で発生するものとして説明および図示しているが、本開示は、図6の方法の任意の好適なステップは任意の好適切な順序で発生するものとして企図している。さらに、本開示は、図6の方法の特定のステップを含む、SD-WANエッジルータにおける宛先グループアイデンティティに基づいてポリシーを施行するための例示的な方法を説明および図示しているが、本開示は、適切な場合、図6の方法のステップのすべて、一部を含む、またはすべてを含まない場合を含み得る、任意の好適なステップを含む、SD-WANエッジルータにおける宛先グループアイデンティティに基づいてポリシーを施行するための任意の好適な方法を企図している。さらに、本開示は、図6の方法の特定のステップを実行する特定の構成要素、デバイス、またはシステムを説明および図示しているが、本開示は、図6の方法の任意の好適なステップを実行する任意の好適な構成要素、デバイス、またはシステムの任意の好適な組み合わせを企図している。
システムおよび方法
図7は、例示的なコンピュータシステム700を示している。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを実行する。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書で記載または例解されている機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム700上で実行されるソフトウェアは、本明細書に記載もしくは例解されている1つ以上の方法の1つ以上のステップを実行するか、または本明細書に記載もしくは例解されている機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム700の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、適切な場合、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、適切な場合、1つ以上のコンピュータシステムを包含し得る。
本開示は、任意の好適な数のコンピュータシステム700を企図している。本開示は、任意の好適な物理的形態を採るコンピュータシステム700を企図している。限定としてではなく、例として、コンピュータシステム700は、組み込みコンピュータシステム、システムオンチップ(SOC)、シングルボードコンピュータシステム(SBC)(例えば、コンピュータオンモジュール(COM)またはシステムオンモジュール(SOM)など)、デスクトップコンピュータシステム、ラップトップもしくはノートブックコンピュータシステム、インタラクティブキオスク、メインフレーム、コンピュータシステムのメッシュ、携帯電話、パーソナルデジタルアシスタント(PDA)、サーバ、タブレットコンピュータシステム、拡張/仮想現実デバイス、またはこれらのうちの2つ以上の組み合わせであり得る。適切な場合、コンピュータシステム700は、1つ以上のコンピュータシステム700を含むか、単一もしくは分散であるか、複数の場所にまたがるか、複数のマシンにまたがるか、複数のデータセンターにまたがるか、または1つ以上のネットワーク内に1つ以上のクラウド構成要素を含み得るクラウド内に存在し得る。適切な場合、1つ以上のコンピュータシステム700は、実質的な空間的または時間的制限なしに、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを実行し得る。限定としてではなく、一例として、1つ以上のコンピュータシステム700は、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップをリアルタイムまたはバッチモードで実行し得る。1つ以上のコンピュータシステム700は、適切な場合、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを、異なる時間または異なる場所において実行し得る。
特定の実施形態では、コンピュータシステム700は、プロセッサ702、メモリ704、ストレージ706、入力/出力(I/O)インターフェース708、通信インターフェース710、およびバス712を含む。本開示は、特定の配置で特定の数の特定の構成要素を有する特定のコンピュータシステムを説明および図示するが、本開示は、任意の好適な配置で任意の好適な数の任意の好適な構成要素を有する任意の好適なコンピュータシステムを企図する。
特定の実施形態では、プロセッサ702は、コンピュータプログラムを構成するものなどの命令を実行するためのハードウェアを含む。限定としてではなく、一例として、命令を実行するために、プロセッサ702は、内部レジスタ、内部キャッシュ、メモリ704、またはストレージ706から命令を取り出し(またはフェッチし)、それらをデコードして実行し、次に、1つ以上の結果を、内部レジスタ、内部キャッシュ、メモリ704、またはストレージ706に書き込み得る。特定の実施形態では、プロセッサ702は、データ、命令、またはアドレスのための1つ以上の内部キャッシュを含み得る。本開示は、適切な場合、任意の好適な数の任意の好適な内部キャッシュを含むプロセッサ702を企図する。限定としてではなく、一例として、プロセッサ702は、1つ以上の命令キャッシュ、1つ以上のデータキャッシュ、および1つ以上のトランスレーション・ルックアサイド・バッファ(TLB)を含み得る。命令キャッシュ内の命令は、メモリ704またはストレージ706内の命令のコピーであり得、命令キャッシュは、プロセッサ702によるそれらの命令の取り出しを高速化し得る。データキャッシュ内のデータは、プロセッサ702において実行される命令が動作するためのメモリ704またはストレージ706内のデータのコピーであるか、プロセッサ702において実行される後続の命令によるアクセスのために、またはメモリ704もしくはストレージ706への書き込みのために、プロセッサ702において実行された前の命令の結果であるか、あるいは他の好適なデータであり得る。データキャッシュは、プロセッサ702による読み取りまたは書き込み動作を高速化し得る。TLBは、プロセッサ702の仮想アドレス変換を高速化し得る。特定の実施形態では、プロセッサ702は、データ、命令、またはアドレスのための1つ以上の内部レジスタを含み得る。本開示は、適切な場合、任意の好適な数の任意の好適な内部レジスタを含むプロセッサ702を企図する。適切な場合、プロセッサ702は、1つ以上の算術論理ユニット(ALU)を含むか、マルチコアプロセッサであるか、または1つ以上のプロセッサ702を含み得る。本開示は、特定のプロセッサを説明および図示するが、本開示は、任意の好適なプロセッサを企図している。
特定の実施形態では、メモリ704は、プロセッサ702が実行するための命令、またはプロセッサ702が動作するためのデータを記憶するためのメインメモリを含む。限定としてではなく、一例として、コンピュータシステム700は、ストレージ706または別のソース(例えば、別のコンピュータシステム700など)からメモリ704に命令をロードし得る。次に、プロセッサ702は、メモリ704から内部レジスタまたは内部キャッシュに命令をロードし得る。命令を実行するために、プロセッサ702は、内部レジスタまたは内部キャッシュから命令を取り出し、それらをデコードし得る。命令の実行中または実行後に、プロセッサ702は、(中間または最終結果であり得る)1つ以上の結果を内部レジスタまたは内部キャッシュに書き込み得る。次に、プロセッサ702は、それらの結果のうちの1つ以上をメモリ704に書き込み得る。特定の実施形態では、プロセッサ702は、(ストレージ706または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ704内の命令のみを実行し、(ストレージ706または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ704内のデータのみに対して動作する。(各々がアドレスバスおよびデータバスを含み得る)1つ以上のメモリバスは、プロセッサ702をメモリ704に結合し得る。バス712は、以下に説明するように、1つ以上のメモリバスを含み得る。特定の実施形態では、1つ以上のメモリ管理ユニット(MMU)が、プロセッサ702とメモリ704との間に存在し、プロセッサ702によって要求されるメモリ704へのアクセスを容易にする。特定の実施形態では、メモリ704は、ランダムアクセスメモリ(RAM)を含む。このRAMは、適切な場合、揮発性メモリであり得る。適切な場合、このRAMは、ダイナミックRAM(DRAM)またはスタティックRAM(SRAM)であり得る。さらに、適切な場合、このRAMは、シングルポートまたはマルチポートのRAMであり得る。本開示は、任意の好適なRAMを企図している。メモリ704は、適切な場合、1つ以上のメモリ704を含み得る。本開示は、特定のメモリを説明および図示するが、本開示は、任意の好適なメモリを企図している。
特定の実施形態では、ストレージ706は、データまたは命令のための大容量ストレージを含む。限定としてではなく、一例として、ストレージ706は、ハードディスクドライブ(HDD)、フロッピーディスクドライブ、フラッシュメモリ、光ディスク、磁気光学ディスク、磁気テープ、もしくはユニバーサルシリアルバス(USB)ドライブ、またはこれらのうちの2つ以上の組み合わせを含み得る。ストレージ706は、適切な場合、取り外し可能または取り外し不可能な(もしくは固定された)媒体を含み得る。ストレージ706は、適切な場合、コンピュータシステム700の内部または外部にあってもよい。特定の実施形態では、ストレージ706は、不揮発性のソリッドステートメモリである。特定の実施形態では、ストレージ706は、読み取り専用メモリ(ROM)を含む。適切な場合、このROMは、マスクプログラムROM、プログラム可能ROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、電気的変更可能ROM(EAROM)、もしくはフラッシュメモリ、またはこれらのうちの2つ以上の組み合わせであり得る。本開示は、任意の好適な物理的形態を採る大容量ストレージ706を企図している。ストレージ706は、適切な場合、プロセッサ702とストレージ706との間の通信を容易にする1つ以上のストレージ制御ユニットを含み得る。適切な場合、ストレージ706は、1つ以上のストレージ706を含み得る。本開示は、特定のストレージを説明および図示するが、本開示は、任意の好適なストレージを企図している。
特定の実施形態では、I/Oインターフェース708は、ハードウェア、ソフトウェア、またはそれらの両方を含み、コンピュータシステム700と1つ以上のI/Oデバイスとの間の通信のための1つ以上のインターフェースを提供する。コンピュータシステム700は、適切な場合、これらのI/Oデバイスのうちの1つ以上を含み得る。これらのI/Oデバイスのうちの1つ以上は、人とコンピュータシステム700との間の通信を可能にし得る。限定としてではなく、一例として、I/Oデバイスは、キーボード、キーパッド、マイクロフォン、モニタ、マウス、プリンタ、スキャナ、スピーカ、スチルカメラ、スタイラス、タブレット、タッチスクリーン、トラックボール、ビデオカメラ、別の好適なI/Oデバイス、またはこれらのうちの2つ以上の組み合わせを含み得る。I/Oデバイスは、1つ以上のセンサを含み得る。本開示は、任意の好適なI/Oデバイス、およびそれらのための任意の好適なI/Oインターフェース708を企図している。適切な場合、I/Oインターフェース708は、プロセッサ702がこれらのI/Oデバイスのうちの1つ以上を駆動することを可能にする、1つ以上のデバイスまたはソフトウェアドライバを含み得る。I/Oインターフェース708は、適切な場合、1つ以上のI/Oインターフェース708を含み得る。本開示は、特定のI/Oインターフェースを説明および図示するが、本開示は、任意の好適なI/Oインターフェースを企図している。
特定の実施形態では、通信インターフェース710は、コンピュータシステム700と、1つ以上の他のコンピュータシステム700または1つ以上のネットワークとの間の通信(例えば、パケットベースの通信など)のための1つ以上のインターフェースを提供するハードウェア、ソフトウェア、またはそれらの両方を含む。限定としてではなく、一例として、通信インターフェース710は、イーサネットもしくは他の有線ベースのネットワークと通信するためのネットワークインターフェースコントローラ(NIC)もしくはネットワークアダプタ、またはWI-FIネットワークなどの無線ネットワークと通信するための無線NIC(WNIC)もしくは無線アダプタを含み得る。本開示は、任意の好適なネットワーク、およびそれのための任意の適切な通信インターフェース710を企図している。限定としてではなく、一例として、コンピュータシステム700は、アドホックネットワーク、パーソナルエリアネットワーク(PAN)、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、もしくはインターネットの1つ以上の部分、またはこれらのうちの2つ以上の組み合わせと通信し得る。これらのネットワークのうちの1つ以上の1つ以上の部分は、有線または無線であり得る。一例として、コンピュータシステム700は、無線PAN(WPAN)(例えば、BLUETOOTH WPANなど)、WI-FIネットワーク、WI-MAXネットワーク、携帯電話ネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、もしくは5Gネットワークなど)、または他の好適な無線ネットワーク、あるいはこれらのうちの2つ以上の組み合わせと通信し得る。コンピュータシステム700は、適切な場合、これらのネットワークのいずれかのための任意の好適な通信インターフェース710を含み得る。通信インターフェース710は、適切な場合、1つ以上の通信インターフェース710を含み得る。本開示は、特定の通信インターフェースを説明および図示するが、本開示は、任意の好適な通信インターフェースを企図している。
特定の実施形態では、バス712は、コンピュータシステム700の構成要素を互いに結合するハードウェア、ソフトウェア、またはそれらの両方を含む。限定としてではなく、一例として、バス712は、アクセラレーテッドグラフィックスポート(AGP)もしくは他のグラフィックスバス、拡張業界標準アーキテクチャ(EISA)バス、フロントサイドバス(FSB)、HYPERTRANSPORT(HT)相互接続、業界標準アーキテクチャ(ISA)バス、INFINIBAND相互接続、低ピンカウント(LPC)バス、メモリバス、マイクロチャネルアーキテクチャ(MCA)バス、周辺構成要素相互接続(PCI)バス、PCI-Express(PCIe)バス、シリアルアドバンストテクノロジーアタッチメント(SATA)バス、ビデオ電子装置標準化協会ローカル(VLB)バス、または別の好適なバス、あるいはこれらのうちの2つ以上の組み合わせを含み得る。バス712は、適切な場合、1つ以上のバス712を含み得る。本開示は、特定のバスを説明および図示するが、本開示は、任意の好適なバスまたは相互接続を企図している。
要約すると、一実施形態では、方法は、第1のサイトに位置する第1のホストから、データパケットを受信することであって、データパケットは、第1のサイトと異なり得る第2のサイトに位置する第2のホストに向けたものであり得る、受信することと、第2のネットワーク装置に、第2のグループの識別子の要求を送信することであって、要求は、第2のホストのアドレスを含み得る、送信することと、第2のネットワーク装置から、第2のグループの識別子を含む応答を受信することと、第2のグループが宛先グループであると判定することと、データパケットに、宛先グループと関連付けられた1つ以上のポリシーを適用することと、データパケットが第2のホストにルーティングされるようにすることと、を含む。
本明細書では、1つ以上のコンピュータ可読非一時的記憶媒体は、適切な場合、1つ以上の半導体ベースもしくは他の集積回路(IC)(例えば、フィールドプログラマブルゲートアレイ(FPGA)または特定用途向けIC(ASIC)など)、ハードディスクドライブ(HDD)、ハイブリッドハードドライブ(HHD)、光ディスク、光ディスクドライブ(ODD)、磁気光学ディスク、磁気光学ドライブ、フロッピーディスケット、フロッピーディスクドライブ(FDD)、磁気テープ、ソリッドステートドライブ(SSD)、RAMドライブ、SECURE DIGITALカードもしくはドライブ、任意の他の好適なコンピュータ可読非一時的記憶媒体、またはこれらのうちの2つ以上の任意の好適な組み合わせを含み得る。コンピュータ可読非一時的記憶媒体は、適切な場合、揮発性、不揮発性、または揮発性と不揮発性の組み合わせであり得る。
本明細書では、「または」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、包括的であり、排他的ではない。したがって、本明細書において、「AまたはB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「A、B、またはその両方」を意味する。さらに、「および」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、一緒および個別の両方である。したがって、本明細書において、「AおよびB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「連帯的または個別的に、AおよびB」を意味する。
本開示の範囲は、当業者が理解するであろう、本明細書で説明または図示された例示的な実施形態に対するすべての変更、置換、変形、改変、および修正を包含する。本開示の範囲は、本明細書で説明または図示された例示的な実施形態に限定されない。さらに、本開示は、本明細書のそれぞれの実施形態が特定の構成要素、要素、特徴、機能、動作、またはステップを含むものとして説明および図示するが、これらの実施形態のいずれも、当業者であれば理解するであろう、本明細書のどこかで説明または図示する構成要素、要素、特徴、機能、動作、またはステップのいずれかの任意の組み合わせまたは置換を含むことができる。さらに、特定の機能を実施するように適合される、配置される、可能にする、構成されている、有効にする、動作可能である、または動作する装置またはシステムまたは装置の構成要素もしくはシステムに対する添付の特許請求の範囲における言及は、その装置、システム、または構成要素がそのように適合される、配置される、可能にする、構成されている、有効にする、動作可能である、または動作する限り、その特定の機能が起動する、作動する、または解除されているかどうかにかかわらず、その装置、システム、構成要素を包含する。さらに、本開示は、特定の実施形態を、特定の利点を提供するものとして記載または例解しているが、特定の実施形態は、これらの利点を全く提供しないか、またはそれらの一部、もしくはすべてを提供する場合がある。

Claims (31)

  1. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、を含
    前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
    前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
    方法。
  2. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、を含み、
    前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
    前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、方法。
  3. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、
    前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、を含む、
    方法。
  4. 前記第1のネットワーク装置が、前記ネットワークに接続されたワイドエリアネットワーク(WAN)-エッジルータであり、前記ネットワークが、複数のサイトを含むソフトウェア定義(SD)-WANである、請求項1~3のいずれか一項に記載の方法。
  5. 前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられている、請求項またはに記載の方法。
  6. 前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、請求項に記載の方法。
  7. 前記1つ以上のポリシーが、アドミッション制御、ルーティングパス選択、セキュリティポリシー、またはサービス品質(QoS)ポリシーのうちの少なくとも1つを含む、請求項1~のいずれか一項に記載の方法。
  8. 前記1つ以上のポリシーが、トラフィックポリシングを含み、所定の最大データレートが施行される、請求項1~のいずれか一項に記載の方法。
  9. 前記第2のグループの前記識別子が、前記第1のネットワーク装置において利用できないと判定することをさらに含む、請求項1~のいずれか一項に記載の方法。
  10. 前記第2のグループの前記識別子が利用できないと判定することが、前記第1のネットワーク装置においてローカルデータベースを検索することを含む、請求項に記載の方法。
  11. 前記要求が、OMP(OverlayManagement Protocol)を介して送信された制御メッセージである、請求項1~10のいずれか一項に記載の方法。
  12. 前記要求が、ウェブソケットを介して送信された制御メッセージである、請求項1~10のいずれか一項に記載の方法。
  13. 前記第2のネットワーク装置が、WANファブリック制御プレーンであり、前記第2のネットワーク装置が、前記ネットワーク内のホストと関連付けられたグループ識別子を維持する、請求項1~12のいずれか一項に記載の方法。
  14. 前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータである、請求項1、3~12のいずれか一項に記載の方法。
  15. 前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、請求項14に記載の方法。
  16. 前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、をさらに含む、請求項1、2、4~15のいずれか一項に記載の方法。
  17. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、
    1つ以上のプロセッサと、
    前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、をさせるように動作可能であ
    前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
    前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
    第1のネットワーク装置。
  18. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、
    1つ以上のプロセッサと、
    前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、をさせるように動作可能であり、
    前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
    前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
    第1のネットワーク装置。
  19. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、
    1つ以上のプロセッサと、
    前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、
    前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、を含む、をさせるように動作可能である、
    第1のネットワーク装置。
  20. 前記第1のネットワーク装置が、前記ネットワークに接続されたWAN-エッジルータであり、前記ネットワークが、複数のサイトを含むSD-WANである、請求項17~19のいずれか一項に記載の第1のネットワーク装置。
  21. 前記1つ以上のポリシーが、アドミッション制御、ルーティングパス選択、セキュリティポリシー、またはサービス品質(QoS)ポリシーのうちの少なくとも1つを含む、請求項17~20のいずれか一項に記載の第1のネットワーク装置。
  22. 前記プロセッサのうちの1つ以上が、前記命令を実行するときにさらに動作可能であり、前記命令が、
    前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、である、請求項17、18、20~21のいずれか一項に記載の第1のネットワーク装置。
  23. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、が実行されたときに動作可能であ
    前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
    前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
    1つ以上のコンピュータ可読非一時的記憶媒体。
  24. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、が実行されたときに動作可能であり、
    前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
    前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
    1つ以上のコンピュータ可読非一時的記憶媒体。
  25. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
    前記データパケットが前記第2のホストにルーティングされるようにすることと、
    前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、が実行されたときに動作可能である、
    1つ以上のコンピュータ可読非一時的記憶媒体。
  26. 前記第1のネットワーク装置が、前記ネットワークに接続されたWAN-エッジルータであり、前記ネットワークが、複数のサイトを含むSD-WANである、請求項23~25のいずれか一項に記載の媒体。
  27. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
    前記データパケットが前記第2のホストにルーティングされるようにする手段と、であ
    前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
    前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
    第1のネットワーク装置。
  28. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
    前記データパケットが前記第2のホストにルーティングされるようにする手段と、であり、
    前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
    前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
    第1のネットワーク装置。
  29. ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、
    前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
    第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
    前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
    前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
    前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
    前記データパケットが前記第2のホストにルーティングされるようにする手段と、
    前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信する手段と、
    前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別する手段と、
    前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定する手段と、
    前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新する手段とである、
    第1のネットワーク装置。
  30. 請求項4~16のいずれか一項に記載の方法を実装するための手段をさらに備える、請求項27~29のいずれか一項に記載の第1のネットワーク装置。
  31. コンピュータによって実行されたときに、前記コンピュータに、請求項1~16のいずれか一項に記載の方法のステップを実行させるための命令を含む、コンピュータプログラム、またはコンピュータ可読媒体。
JP2022524224A 2019-11-26 2020-11-13 ドメイン間トラフィックのグループベースのポリシー Active JP7496414B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/697,016 2019-11-26
US16/697,016 US11683262B2 (en) 2019-11-26 2019-11-26 Group-based policies for inter-domain traffic
PCT/US2020/060332 WO2021108143A1 (en) 2019-11-26 2020-11-13 Group-based policies for inter-domain traffic

Publications (2)

Publication Number Publication Date
JP2023502578A JP2023502578A (ja) 2023-01-25
JP7496414B2 true JP7496414B2 (ja) 2024-06-06

Family

ID=73740575

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022524224A Active JP7496414B2 (ja) 2019-11-26 2020-11-13 ドメイン間トラフィックのグループベースのポリシー

Country Status (8)

Country Link
US (2) US11683262B2 (ja)
EP (1) EP4066454A1 (ja)
JP (1) JP7496414B2 (ja)
KR (1) KR20220104047A (ja)
CN (1) CN114731329A (ja)
AU (1) AU2020391414A1 (ja)
CA (1) CA3157184A1 (ja)
WO (1) WO2021108143A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11552884B1 (en) * 2019-09-23 2023-01-10 Xsight Labs Ltd. Efficient core routing
US11683262B2 (en) * 2019-11-26 2023-06-20 Cisco Technology, Inc. Group-based policies for inter-domain traffic
CN114338541A (zh) * 2020-09-30 2022-04-12 华为技术有限公司 一种流量控制方法、设备及介质
US20230262525A1 (en) * 2022-02-17 2023-08-17 Cisco Technology, Inc. System and Method for Mapping Policies to SD-WAN Data Plane

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060106750A1 (en) 2004-11-16 2006-05-18 Smith Michael R Method and apparatus for best effort propagation of security group information
WO2014188530A1 (ja) 2013-05-22 2014-11-27 三菱電機株式会社 監視システム、設備管理装置、監視方法及びプログラム
US20150195137A1 (en) 2014-01-06 2015-07-09 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Virtual group policy based filtering within an overlay network
US20170026417A1 (en) 2015-07-23 2017-01-26 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and vpn policy enforcement
US20180367302A1 (en) 2017-06-19 2018-12-20 Cisco Technology, Inc. Group Based Encryption in Enterprise Fabric Architectures
JP2019080086A (ja) 2017-10-19 2019-05-23 株式会社Lte−X Lte通信システム及び通信制御方法
US20190268973A1 (en) 2018-02-23 2019-08-29 Cisco Technology, Inc. Policy Mapping Methods and Apparatus for use in Interconnecting Software-Defined Wide Area Network (SD-WAN) Fabrics with Mobile Networks for Communications with UEs

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06188831A (ja) * 1992-12-16 1994-07-08 Fujitsu Ltd パーソナル通信方式
CN1192574C (zh) * 2002-01-30 2005-03-09 华为技术有限公司 受控组播的系统及其实现方法
US7724728B2 (en) * 2005-04-19 2010-05-25 Cisco Technology, Inc. Policy-based processing of packets
CN102428739B (zh) * 2009-05-20 2016-05-11 瑞典爱立信有限公司 用于传递优先级信息以便在调度数据的传送中使用的系统和方法
US8351430B2 (en) * 2010-09-30 2013-01-08 Microsoft Corporation Routing using global address pairs
US9467478B1 (en) * 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
US10034169B2 (en) * 2014-11-12 2018-07-24 Qualcomm Incorporated Method to authenticate peers in an infrastructure-less peer-to-peer network
US9954772B2 (en) * 2015-06-26 2018-04-24 Microsoft Technology Licensing, Llc Source imposition of network routes in computing networks
US10771390B2 (en) 2017-06-18 2020-09-08 Cisco Technology, Inc. Techniques for optimizing egress tunnel router failure scenarios in intelligent wide area networks
US10715427B2 (en) * 2018-04-27 2020-07-14 Hewlett Packard Enterprise Development Lp Determining routing decisions in a software-defined wide area network overlay
US20200076683A1 (en) * 2018-08-31 2020-03-05 Hewlett Packard Enterprise Development Lp Dynamic Cloud-Based Provisioning of Branch-Based Networking Devices
US10862758B2 (en) * 2019-01-02 2020-12-08 Hewlett Packard Enterprise Development Lp Generation of network configuration and configuration commands for impacted nodes of a software defined wide area network
US10764177B2 (en) * 2019-01-21 2020-09-01 Mellanox Technologies Tlv Ltd. Efficient implementation of complex network segmentation
US10855575B2 (en) * 2019-03-06 2020-12-01 Hewlett Packard Enterprise Development Lp Adaptive traffic routing in a software-defined wide area network
US11652791B2 (en) * 2019-08-07 2023-05-16 Cisco Technology, Inc. Consolidated routing table for extranet virtual networks
US11153119B2 (en) * 2019-10-15 2021-10-19 Cisco Technology, Inc. Dynamic discovery of peer network devices across a wide area network
US11683262B2 (en) * 2019-11-26 2023-06-20 Cisco Technology, Inc. Group-based policies for inter-domain traffic

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060106750A1 (en) 2004-11-16 2006-05-18 Smith Michael R Method and apparatus for best effort propagation of security group information
WO2014188530A1 (ja) 2013-05-22 2014-11-27 三菱電機株式会社 監視システム、設備管理装置、監視方法及びプログラム
US20150195137A1 (en) 2014-01-06 2015-07-09 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Virtual group policy based filtering within an overlay network
US20170026417A1 (en) 2015-07-23 2017-01-26 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and vpn policy enforcement
US20180367302A1 (en) 2017-06-19 2018-12-20 Cisco Technology, Inc. Group Based Encryption in Enterprise Fabric Architectures
JP2019080086A (ja) 2017-10-19 2019-05-23 株式会社Lte−X Lte通信システム及び通信制御方法
US20190268973A1 (en) 2018-02-23 2019-08-29 Cisco Technology, Inc. Policy Mapping Methods and Apparatus for use in Interconnecting Software-Defined Wide Area Network (SD-WAN) Fabrics with Mobile Networks for Communications with UEs

Also Published As

Publication number Publication date
WO2021108143A1 (en) 2021-06-03
JP2023502578A (ja) 2023-01-25
US11683262B2 (en) 2023-06-20
KR20220104047A (ko) 2022-07-25
EP4066454A1 (en) 2022-10-05
CN114731329A (zh) 2022-07-08
US20210160175A1 (en) 2021-05-27
CA3157184A1 (en) 2021-06-03
AU2020391414A1 (en) 2022-06-09
US20230261981A1 (en) 2023-08-17

Similar Documents

Publication Publication Date Title
JP7496414B2 (ja) ドメイン間トラフィックのグループベースのポリシー
US12052569B2 (en) Systems and methods for distributing SD-WAN policies
JP7458422B2 (ja) Tloc拡張を使用したサイトにおけるプラグアンドプレイ
US10320838B2 (en) Technologies for preventing man-in-the-middle attacks in software defined networks
EP3461072B1 (en) Access control in a vxlan
CN114080784B (zh) 使用标签路由网络流量的系统和方法
US9800503B2 (en) Control plane protection for various tables using storm prevention entries
US20150200847A1 (en) Method and system for implementing a network policy using a vxlan network identifier
CN114051714B (zh) 用于生成上下文标签的系统和方法
US11431730B2 (en) Systems and methods for extending authentication in IP packets
US20210377221A1 (en) Systems and Methods for Costing In Nodes after Policy Plane Convergence
US11677684B2 (en) Systems and methods for network stack
CN115865389A (zh) 为基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中
US11778038B2 (en) Systems and methods for sharing a control connection
US20240098084A1 (en) System and method for providing a virtual authenticator and supplicant

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230705

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240521

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240527

R150 Certificate of patent or registration of utility model

Ref document number: 7496414

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150