TWI590617B - 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 - Google Patents
以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 Download PDFInfo
- Publication number
- TWI590617B TWI590617B TW104130697A TW104130697A TWI590617B TW I590617 B TWI590617 B TW I590617B TW 104130697 A TW104130697 A TW 104130697A TW 104130697 A TW104130697 A TW 104130697A TW I590617 B TWI590617 B TW I590617B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- application
- data
- traffic
- link
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
- H04L43/0864—Round trip delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/125—Shortest path evaluation based on throughput or bandwidth
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/78—Architectures of resource allocation
- H04L47/781—Centralised allocation of resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Environmental & Geological Engineering (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Algebra (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Software Systems (AREA)
- Evolutionary Biology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
Description
本申請案主張2014年9月16日申請之美國臨時專利申請案第62/051,293號之權利,該案之全文以引用的方式併入本文中。
企業資訊技術(IT)操作模型已從其中一企業可擁有、維持及操作企業所必需之IT基礎結構之一模型變換至其中企業亦可與可對企業提供企業IT服務之第三方合作之一模型。因此,企業IT操作模型之管理已變得更複雜,此係因為企業現可使用公共雲端基礎結構、軟體即服務(SaaS)基礎結構及私人或虛擬化資料中心基礎結構128及類似者。雖然基礎結構可變更,但企業內所使用之應用之種類亦明顯地在不斷增加,從而使基礎結構之管理及維持進一步複雜化,且需要更大頻寬來支援此等應用之企業使用者168所預期之效能。因此,需要用於使用一多租戶控制器122進行以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理之方法及系統。假定增大連接使用者168、裝置及應用之複雜度,則需要一種用來定義、控制及操作一網路而無需顧慮底層虛擬私人網路(VPN)協定及組態、路由協定、鏈路類型、鏈路可用性及服務品質(QoS)之彈性方法。此等方法及系統可自動地監測及控制網路,從而允許IT從舊式網路轉變至一以彈性地定義之通信
網路控制器為基礎之網路控制、操作及管理。
根據一例示性且非限制性實施例,一種方法包括:判定至少一個應用之一網路需求;至少部分基於滿足該網路需求之一當前網路狀況動態地判定適於根據一政策進行資料傳輸之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
根據一例示性且非限制性實施例,一種方法包括:判定至少一個應用之一網路需求;至少部分基於複數個應用識別細節及一應用訊務設定檔之至少一者判定適於滿足該網路需求之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
根據上文所述之實施例之任一者,其中該應用在一節點處操作。
根據上文所述之實施例之任一者,其中該應用在一分支處操作。
根據上文所述之實施例之任一者,其中由一可組態輪輻裝置執行動態地判定該鏈路。
根據上文所述之實施例之任一者,其中該可組態輪輻裝置維持路徑組態資訊。
根據上文所述之實施例之任一者,其中路徑組態資訊選自由一鏈路上之頻寬可用性、一延時設定檔及一訊務量限度組成之群組。
根據一例示性且非限制性實施例,一種方法包括至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者中之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大
小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;將該等特徵之各者傳輸至一分支裝置;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串傳輸至分支裝置。
根據一例示性且非限制性實施例,一種方法包括至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應用於至少一個網路資料流(包括經偵測之特徵)。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;將該等特徵之各者傳輸至一分支裝置;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串傳輸至分支裝置。
根據一例示性且非限制性實施例,一種網路化分支裝置經組態
以至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應用於至少一個網路資料流(包括經偵測之特徵)。
根據上文所述之實施例之任一者,其中該政策字串包括選自由一使用者身份、一SERVICE、一路徑及一VXWAN組成之群組之元件。
根據一例示性且非限制性實施例,一種方法包括:依一預定間隔檢查至一遠端定位應用之一或多個網路路徑之一狀態;評估該一或多個網路路徑之各者之相對狀態,其中該評估至少部分基於網路延時及一應用層級異動延時之至少一者;及利用該評估來路由與該應用相關聯之一應用資料流。
根據一例示性且非限制性實施例,一種網路化分支裝置經組態以:依一預定間隔檢查至一遠端定位應用之一或多個網路路徑之一狀態;評估該一或多個網路路徑之各者之相對狀態,其中該評估至少部分基於網路延時及一應用層級異動延時之至少一者;及利用該評估來路由與該應用相關聯之一應用資料流。
根據上文所述之實施例之任一者,其中該等網路路徑之評估係在一應用之一可操作性之內容脈絡中進行。
根據上文所述之實施例之任一者,其中該等網路路徑之評估進一步至少部分基於一路徑頻寬、一MOS分值、一封包損失及抖動。
根據一例示性且非限制性實施例,一種方法包括至少部分基於以下項之至少一者判定一應用之一遞送位置:手動資訊收集、基於源DNS查詢之三角量測及應用探測;分析與應用相關聯之至少一個網路訊務流以提取包括一使用者位置、一最近應用遞送位置及一使用者流服務源之至少一者之資料;聚合經提取之資料以識別複數個次最佳使用例項,其中從一次最佳位置遞送應用;及向一應用使用者報告次最佳使用實例。
根據上文所述之實施例之任一者,該方法進一步包括採取行動以至少部分緩解次最佳使用例項。
根據上文所述之實施例之任一者,其中該使用者為一管理者。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以至少部分基於以下項之至少一者判定一應用之一遞送位置:手動資訊收集、基於源DNS查詢之三角量測及應用探測;分析與應用相關聯之至少一個網路訊務流以提取包括一使用者位置、一最近應用遞送位置及一使用者流服務源之至少一者之資料;聚合經提取之資料以識別複數個次最佳使用例項,其中從一次最佳位置遞送應用;及向一應用使用者報告次最佳使用實項。
根據上文所述之實施例之任一者,該可集中控制之多租戶控制器進一步經組態以採取行動以至少部分緩解次最佳使用例項。
根據上文所述之實施例之任一者,其中該使用者為一管理者。
根據一例示性且非限制性實施例,一種方法包括:判定各代管複數個應用之一或多個服務提供位置中之一位置,各應用具有一相關聯應用定義;判定經組態以存取複數個應用之至少一者之一裝置之一位置;及將裝置已存取之應用之各者之一應用定義傳輸至裝置,其中應用定義至少部分基於一或多個服務提供位置中之位置及裝置位置。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以:判定各代管複數個應用之一或多個服務提供位置中之一位置,各應用具有一相關聯應用定義;判定經組態以存取複數個應用之至少一者之一裝置之一位置;及將裝置已存取之應用之各者之一應用定義傳輸至裝置,其中應用定義至少部分基於一或多個服務提供位置中之位置及裝置位置。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以:從在一網路內與一企業位點相關聯之一輪輻裝置接收應用資料流資訊;及至少部分基於一當前網路資料流特性將一訊務設定檔傳輸至企業位點。
根據上文所述之實施例之任一者,其中該網路上之一資料傳送控制係以應用為基礎及以政策為基礎之至少一者。
根據上文所述之實施例之任一者,該方法進一步包括將以時間為基礎之應用域分類及映射應用於判定步驟。
根據上文所述之實施例之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中至少一個應用包括一資料中心應用。
根據上文所述之實施例之任一者,其中該政策字串格式係標準化的。
根據上文所述之實施例之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上文所述之實施例之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上文所述之實施例之任一者,該方法進一步包括採用選自由以下項組成之群組之QoS標準化控制:整形、監管、隨機早期捨棄、尾丟棄、低延時佇列、異常佇列、公平佇列及緩衝。
根據上文所述之實施例之任一者,該方法進一步利用參數來對資料流歸類。
根據一例示性且非限制性實施例,一種方法包括:將一識別符分配至複數個政策之各者,各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將複數個政策之各者傳輸至一網路中之一或多個裝置。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以:將一識別符分配至複數個政策之各者,各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將複數個政策之各者傳輸至一網路中之一或多個裝置。
根據一例示性且非限制性實施例,一種方法包括:在一網路化裝置處接收複數個政策之各者,其中各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將網路隔離識別符插入至由網路化裝置傳輸之一或多個封包中。
根據一例示性且非限制性實施例,一種網路化分支裝置經組組態以:接收複數個政策之各者,其中各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將網路隔離識別符插入至一或多個經傳輸之封包中。
根據一例示性且非限制性實施例,一種方法包括從一第一網路租戶接收以下項之一指示:待與其建立一IPSEC VPN隧道之一合作夥
伴網路租戶、與合作夥伴網路租戶相關聯且待建立一IPSEC VPN隧道之一位點、一租戶位點處之源首碼(允許應用訊務在IPSEC VPN隧道上往返行進於該租戶位點處)及可在IPSEC VPN隧道上行進之應用訊務之目的地首碼之至少一者;從合作夥伴網路租戶接收用來建立IPSEC VPN隧道之協定之一指示;及指示第一網路及合作夥伴網路之一或多個裝置在其等之間建立一IPSEC資料隧道。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以從一第一網路租戶接收以下項之一指示:待與其建立一IPSEC VPN隧道之一合作夥伴網路租戶、與合作夥伴網路租戶相關聯且待建立一IPSEC VPN隧道之一位點、一租戶位點處之源首碼(允許應用訊務在IPSEC VPN隧道上往返行進於該租戶位點處)及可在IPSEC VPN隧道上行進之應用訊務之目的地首碼之至少一者;從合作夥伴網路租戶接收用來建立IPSEC VPN隧道之協定之一指示;及指示第一網路及合作夥伴網路之一或多個裝置在其等之間建立一IPSEC資料隧道。
根據上文所述之實施例之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中該政策字串格式係標準化的。
根據上文所述之實施例之任一者,其中採用加密。
根據一例示性且非限制性實施例,一種方法包括:偵測一網路上之一資料流及一相關聯發端介面;判定一第一鏈路,在第一鏈路上轉遞資料流;在經判定之鏈路上傳輸資料流;接收一返回資料流;及若返回資料流經由除第一鏈路外之一鏈路到達,則將一正向返回資料
流移動至一新路徑,其中在流上且在一第一封包之後之所有封包在相同於第一封包之路徑上予以轉遞。
根據上文所述之實施例之任一者,該方法進一步包括依一L4層級將經判定之第一鏈路儲存於一流表中。
根據上文所述之實施例之任一者,其中經由一SYN或一經偵測UDP工作階段偵測資料流。
根據一例示性且非限制性實施例,一種網路化分支裝置經組態以:偵測一網路上之一資料流及一相關聯發端介面;判定一第一鏈路,在第一鏈路上轉遞資料流;在經判定之鏈路上傳輸資料流;接收一返回資料流;及若返回資料流經由除第一鏈路外之一鏈路到達,則將一正向返回資料流移動至一新路徑,其中在流上且在一第一封包之後之所有封包在相同於第一封包之路徑上予以轉遞。
根據上文所述之實施例之任一者,該網路化分支裝置進一步經組態以依一L4層級將經判定之第一鏈路儲存於一流表中。
根據上文所述之實施例之任一者,其中經由一SYN或一經偵測UDP工作階段偵測資料流。
根據上文所述之實施例之任一者,該方法進一步包括將以時間為基礎之應用域分類及映射應用於判定步驟。
根據上文所述之實施例之任一者,該方法進一步包括模型化應用工作階段及預測頻寬需求。
根據上文所述之實施例之任一者,其中經由SYN採用資料流。
根據一例示性且非限制性實施例,一種方法包括:判定複數個網路段(包括一網路);判定連接複數個段之一方式;在無一路由協定之情況下至少部分判定網路段及如何連接段;經由與網路相關聯之一集線器裝置發現複數個外部網路段;及利用複數個網路段(包括網路)、連接複數個段之方式及複數個外部網路段。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以:判定複數個網路段(包括一網路);判定連接複數個段之一方式;在無一路由協定之情況下至少部分判定網路段及如何連接段;經由與網路相關聯之一集線器裝置發現複數個外部網路段;及利用複數個網路段及位址(包括網路)、連接複數個段之方式以及複數個外部網路段來建立至少一個轉遞規則。
根據一例示性且非限制性實施例,一種系統包括:一多租戶控制器,其經組態以產生一網路之一網路描述;及一HUB裝置,其形成網路之一部分且經組態以運用至少一個其他裝置執行一路由協定,從而導致網路資訊並將網路資訊傳達至多租戶控制器,其中多租戶控制器經組態以合併網路資訊與網路描述。
根據上文所述之實施例之任一者,其中網路拓撲識別、模擬及負載測試受多租戶控制器控制。
根據上文所述之實施例之任一者,該方法進一步包括偵測非對稱網路資料訊務及相關聯網路裝置。
根據上文所述之實施例之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上文所述之實施例之任一者,其中採用選自由BGP、IS-IS、EIGRP及OSPF組成之群組之路由協定。
根據上文所述之實施例之任一者,其中路由至少部分基於一網路首碼類型。
根據一例示性且非限制性實施例,一種方法包括:監測複數個網路裝置以收集包括網路上之各裝置之資料流記錄之網路效能資料且產生一網路拓撲資料庫;存取網路拓撲資料庫,該網路拓撲資料庫包括關於各裝置之一入口及出口點、連接裝置之方式及來自網路上之多
個裝置之單個資料流之複數個資料流記錄之資訊;及利用網路拓撲資料庫來執行一非對稱偵測演算法以識別經由一第一路徑離開一裝置且經由一不同第二路徑返回至裝置之一或多個資料流。
根據上文所述之實施例之任一者,其中一控制器經組態以接收資訊且偵測非對稱性。
根據上文所述之實施例之任一者,其中偵測至少部分基於延時屬性。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中非對稱性選自由頻寬非對稱性、媒體存取非對稱性及損失率非對稱性組成之群組。
根據一例示性且非限制性實施例,一種方法包括:在一裝置處偵測具有一錨域之一應用;用具有存取應用之一入口點域之一訊務源及一偵測時間標記應用;及指定在始於偵測時間之一預定時間內來自訊務源之網路流屬於應用。
根據一例示性且非限制性實施例,一種網路化分支裝置經組態以:偵測具有一錨域之一應用;用具有存取應用之一入口點域之一訊務源及一偵測時間標記應用;及指定在始於偵測時間之一預定時間內來自訊務流之網路流屬於應用。
根據上文所述之實施例之任一者,該方法進一步包括模型化應用工作階段及預測頻寬需求。
根據上文所述之實施例之任一者,該方法進一步包括執行異常工作階段識別、隔離及約束。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據一例示性且非限制性實施例,一種方法包括從一網路化輪
輻裝置接收描述至一應用及來自一應用之網路流之資訊;分析資訊以使應用在選自由以下項組成之群組之至少一個方面上特性化:雙向頻寬使用、網路回應時間、應用回應時間、閒置及現用應用工作階段之數目以及並行應用工作階段之最大數目;及將該等方面傳輸至至少一個網路化輪輻裝置作為訊務設定檔資訊。
根據上文所述之實施例之任一者,其中該資訊描述L4層級網路流。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以從一網路化輪輻裝置接收描述至一應用及來自一應用之網路流之資訊;分析資訊以使應用在選自由以下項組成之群組之至少一個方面上特性化:雙向頻寬使用、網路回應時間、應用回應時間、閒置及現用應用工作階段之數目以及並行應用工作階段之最大數目;及將該等方面傳輸至網路化輪輻裝置作為訊務設定檔資訊。
根據上文所述之實施例之任一者,其中該資訊描述L4層級網路流。
根據一例示性且非限制性實施例,一種方法包括:模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一異動型應用以產生一或多個經模型化之參數;及分析經模型化之參數以預測一或多個異動型應用工作階段之一資料流大小及頻率。
根據上文所述之實施例之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
根據一例示性且非限制性實施例,一種方法包括:模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一批量應用;及分析經模型化之參數以預測一或多個批量應用工作階段之頻率。
根據上文所述之實施例之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
根據一例示性且非限制性實施例,一種方法包括:模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一應用以產生一或多個經模型化之參數;至少部分基於模型化,偵測一混合應用訊務特性,其中混合應用訊務特性包括與一異動型應用之至少一個資料訊務特性相關之一第一資料訊務類型及與一批量應用之至少一個資料訊務特性相關之一第二資料訊務類型;及分析經模型化之參數以預測一或多個混合應用工作階段之一資料流大小及頻率。
根據上文所述之實施例之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
根據一例示性且非限制性實施例,一種方法包括:將關於一應用使用工作階段之網路使用資料從一可組態裝置發送至一多租戶控制器,其中網路使用資料包括與一應用相關聯之一第一類型之資料流及與應用相關聯之一第二類型之資料流;至少部分基於關於應用效能之歷史資料及一相關聯資料流,識別與應用相關聯之第一及第二類型之資料流之各者之一頻寬需求;將頻寬需求儲存於多租戶控制器內作為一應用頻寬設定檔;將應用頻寬設定檔發送至至少一個輪輻裝置;及使用應用頻寬設定檔來路由與應用相關聯之資料流。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上文所述之實施例之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上文所述之實施例之任一者,該方法進一步包括採用選自
由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上文所述之實施例之任一者,該方法進一步利用參數來對資料流歸類。
根據一例示性且非限制性實施例,一種方法包括:在具有一入口整形器及一出口整形器之一指定現用鏈路上將一經調諧之請求發出至在一正向路徑及一返回路徑兩者中利用一鏈路容量至一定程度之一伺服器;判定現用鏈路之一鏈路容量;監測現用鏈路;及在超出入口整形器及出口整形器之至少一者之一極限時丟棄經由現用鏈路傳播之任何訊務。
根據一例示性且非限制性的實施例,一種方法包括:在具有一入口整形器及一出口整形器之一指定現用鏈路上將一請求發出至在一正向路徑及一返回路徑兩者中利用一鏈路容量至一定程度之一伺服器;判定現用鏈路之一鏈路容量;監測現用鏈路;至少部分基於頻寬估計邏輯判定入口整形器及出口整形器之一極限;及在超出極限時丟棄經由現用鏈路行進之任何訊務。
根據一例示性且非限制性實施例,一種方法包括:接收複數個商業優先級;偵測與一網路中之複數個應用資料流之各者相關聯之一網路類型,其中網路資料流類型選自由即時網路資料流、批量網路資料流及異動型網路資料流組成之群組;對於複數個商業優先級之各者產生複數個嚴格優先佇列、公平佇列及異常佇列;及將即時網路資料流指派至即時佇列,將異動型網路資料流指派至公平佇列且將批量網路資料流指派至批量公平佇列。
根據一例示性且非限制性實施例,一種方法包括:在一經組態之輪輻裝置處依一預定時間間隔監測一應用(包括一應用工作階段)之一頻寬;及調整頻寬使得頻寬與應用工作階段之一需求匹配同時滿足一或多個經定義之商業優先級之需求。
根據上文所述之實施例之任一者,該方法進一步採用一使用者或裝置身份至一網路層級身份之一以多租戶控制器為基礎之映射。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上文所述之實施例之任一者,該方法進一步包括採用選自由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上文所述之實施例之任一者,該方法進一步包括採用選自由以下項組成之群組之QoS標準化控制:整形、監管、隨機早期捨棄、尾丟棄、低延時佇列、異常佇列、公平佇列及緩衝。
根據上文所述之實施例之任一者,該方法進一步利用參數來對資料流歸類。
根據一例示性且非限制性實施例,一種方法包括:在一控制器處執行一水平可擴展服務身份定義管理器(IDM)服務;將現用目錄(AD)域映射至WAN網路元件DNS角色及LDAP角色;指示與一租戶相關聯之複數個網路元件使用DNS角色來發現一企業中之複數個AD域及AD伺服器;從運行DNS角色之複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求用來使用LDAP與經添加之AD伺服器進行通信之憑證;執行一演算法以判定哪個元件將聯繫特定AD例項以最小化在WAN上發生之輕量級目錄存取協定(LDAP)訊務量並確保仍可在任何一個網路元件出故障之情況下聯繫AD例項;在現用目錄伺服器中藉由使用網路元件上之LDAP角色來監測一網路使用者之至少一個身份(使用者或群組)之變更;及在一多租戶控制器處至少部分基於AD域中
之使用者身份之映射更新一政策,其中變更的身份資訊之追蹤實施為一水平可擴展服務,即身份定義管理器服務。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器經組態以:在一控制器處運行一水平可擴展服務身份定義管理器(IDM)服務;將現用目錄(AD)域映射至WAN網路元件DNS角色及LDAP角色;指示與一租戶相關聯之複數個網路元件使用DNS角色發現一企業中之複數個AD域及AD伺服器;從運行DNS角色之複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求用來使用LDAP與經添加之AD伺服器進行通信之憑證;及執行一演算法以判定哪個元件將聯繫特定AD例項以最小化在WAN上發生之輕量級目錄存取協定(LDAP)訊務量並確保仍可在任何一個網路元件出故障之情況下聯繫AD例項;在現用目錄伺服器中從LDAP角色之網路元件接收一網路之至少一個身份(使用者或群組)之變更;及在一多租戶控制器處至少部分基於AD域中之使用者身份之映射更新一政策,其中變更的身份資訊之追蹤實施為一水平可擴展服務,即身份定義管理器服務。
根據一例示性且非限制性實施例,一種執行DNS角色及LDAP角色之網路元件經組態以:從一中心多租戶控制器IDM伺服器獲得關於在使用DNS角色時哪些域用來發現AD伺服器之指令;使用DNS角色來發現指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊並將此資訊傳輸至多租戶控制器IDM服務;從多租戶控制器IDM服務接收用來使用LDAP與所發現的AD伺服器進行通信之憑證;及在現用目錄伺服器中藉由使用網路元件上之LDAP角色監測一網路使用者之至少一個身份
(使用者或群組)之變更並將此等變更傳輸至多租戶控制器IDM服務。
根據一例示性且非限制性實施例,一種方法包括:在一控制器處執行一水平可擴展服務IP至位點映射(ISM)服務;指示與一租戶相關聯之複數個網路元件發現一企業中之複數個AD域及AD伺服器;從複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求用來使用WMI與經添加之AD伺服器進行通信之憑證;執行一演算法以判定哪個元件將聯繫特定AD例項以便容納LAN上之WMI通信且最小化WAN上之WMI通信;使用網路元件上之WMI角色監測包括一IP位址、一使用者AD ID及一使用者名稱之AD伺服器安全登錄事件;將登錄事件轉換為IP至使用者事件並將此等事件傳輸至控制器中之ISM服務;使用ISM服務來將此等IP至使用者事件映射至正確輪輻位點;將具有包括一或多個使用者群組ID之豐富資訊之事件發送至輪輻位點中之元件;及使用輪輻位點處之豐富IP至使用者事件以基於使用者及群組ID執行政策且用使用者及群組資訊使流及應用統計豐富化。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:在一控制器處執行一水平可擴展服務IP至位點映射(ISM)服務;指示與一租戶相關聯之複數個網路元件發現一企業中之複數個AD域及AD伺服器;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求用來使用WMI與經添加之AD伺服器進行通信之憑證;將憑證傳輸至運行WMI角色之網路元件;執行一演算法以判定哪個元件將聯繫特定AD例項以便容納LAN上之WMI通信且最小化WAN上之WMI通信;從該等元件接收含有使用者IP位址、使用者AD ID及使用者名稱之複數個AD伺服器登錄事件;將此等登錄事件轉換為IP至使用者
事件並將此等事件傳輸至控制器中之ISM服務;使用ISM服務來將此等IP至使用者事件映射至正確輪輻位點;將具有包括一使用者群組ID之豐富資訊之此等事件發送至輪輻位點中之元件;及使用輪輻位點處之豐富IP至使用者事件以基於使用者及群組ID執行政策且用使用者及群組資訊使流及應用統計豐富化。
根據一例示性且非限制性實施例,一種方法包括:從一中心多租戶控制器之IDM服務獲得使用DNS角色發現一企業中之複數個AD域及AD伺服器之指令;將指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊傳輸至一多租戶控制器IDM;從多租戶控制器接收用來使用WMI與經添加之AD伺服器進行通信之憑證;使用WMI角色監測包括一IP位址、一使用者AD ID及一使用者名稱之AD伺服器安全登錄事件;及將登錄事件轉換為IP至使用者事件並將登錄事件傳輸至一控制器中之一ISM服務。
根據一例示性且非限制性實施例,一種方法包括:在一輪輻位點處從一多租戶控制器之IP至位點映射服務接收豐富IP至使用者事件以至少部分基於一使用者及一群組ID執行政策;及用使用者及群組資訊使流統計及應用統計豐富化。
根據上文所述之實施例之任一者,該方法進一步利用一網路身份類型。
根據一例示性且非限制性實施例,一種方法包括:接收描述將包括至少一個應用之一第一位點添加至一既有網路之資訊,其中該資訊選自由位點類型、至位點之所計劃連接及所計劃之位點政策組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
根據一例示性且非限制性實施例,一種方法包括:接收描述一
既有網路之一政策之一變更之資訊,其中該資訊選自由待變更政策及待應用政策之網路位點組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
根據一例示性且非限制性實施例,一種方法包括:接收描述一新網路鏈路待添加至一既有網路位點之資訊,其中該資訊選自由位點及待添加之網路鏈路組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
根據上文所述之實施例之任一者,其中在每個工作階段基礎上執行應用分析。
根據上文所述之實施例之任一者,其中一分支類型選自由零售店分店、POS裝置及分佈式計算位點組成之群組。
根據上文所述之實施例之任一者,其中至少一個應用包括一資料中心應用。
根據上文所述之實施例之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上文所述之實施例之任一者,該方法進一步包括執行選自由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上文所述之實施例之任一者,其中一網路類型選自由有線網路及無線網路組成之群組。
根據上文所述之實施例之任一者,該方法進一步利用參數來對資料流分類。
根據一例示性且非限制性實施例,一種方法包括:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料
隧道;指定第一集線器裝置為一主要裝置且指定第二集線器裝置為一次要裝置;及至少部分基於一鏈路之一成本,將目的地為主要裝置之訊務切換至次要裝置。
根據一例示性且非限制性實施例,一種方法包括:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料隧道;指定第一集線器裝置為一主要裝置;指定第二集線器裝置為一次要裝置;若偵測到至主要裝置之VPN資料隧道之一故障,則將目的地為主要裝置之訊務切換至次要裝置;及依一可逆模式及不可逆模式將訊務切換至主要裝置及次要裝置。
一種網路化分支裝置經組態以:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料隧道;指定第一集線器裝置為一主要裝置;指定第二集線器裝置為一次要裝置;及若偵測到至主要裝置之VPN資料隧道之一故障,則將目的地為主要裝置之訊務切換至次要裝置。
根據上文所述之實施例之任一者,該方法進一步包括至少部分基於一鏈路之一成本,將目的地為主要裝置之訊務切換至次要裝置。
根據上文所述之實施例之任一者,其中至少部分基於以下項而經由一演算法指派第一集線器裝置及第二集線器裝置:-從分支裝置收集並用作用來估計訊務負載之一輸入之資料傳送統計資訊;-在分支裝置處執行並用作用來估計訊務負載之輸入之網際網路鏈路頻寬估計;-各集線器裝置之當前已知容量極限;-至一叢集中之各集線器裝置之當前經分配分支裝置及分支裝置
對集線器裝置之經估計負載之總和;-至一叢集中之各集線器裝置之當前經分配分支裝置及對集線器裝置之實際負載;-一集線器叢集之總容量之可用性;-至集線器叢集之所有元件之新分支裝置之網路可達性;-在與集線器裝置進行通信時使用所有分支電路之能力;-在與集線器裝置進行通信時使用較低成本電路之能力。
根據上文所述之實施例之任一者,其中可組態裝置包括輪輻裝置。
根據上文所述之實施例之任一者,其中一資料中心類型選自由私人雲端、科學社群及主機代管中心(co-location center)組成之群組。
根據一例示性且非限制性實施例,一種方法包括:串聯地部署經組態以經由一協定彼此進行通信以交換狀態資訊之複數個可組態裝置,其中複數個可組態裝置之至少一者處於一現用狀態且複數個裝置之至少一者處於一備用狀態;藉由處於一備用狀態之複數個可組態裝置之至少一者經由一協定偵測處於一現用狀態之一可組態裝置之一故障;及將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
根據一例示性且非限制性實施例,一種系統包括經串聯地部署且經組態以經由一協定彼此進行通信以交換狀態資訊之複數個可組態裝置,其中複數個可組態裝置之至少一者處於一現用狀態且複數個裝置之至少一者處於一備用狀態,其中處於一備用狀態之複數個可組態狀態之至少一者經調適以經由一協定偵測處於一現用狀態之一可組態裝置之一故障並回應於其將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
根據一例示性且非限制性實施例,一種方法包括:串聯地部署
經組態以經由一協定彼此進行通信以交換狀態資訊之複數個可組態裝置,其中複數個可組態裝置之至少一者自我選擇為處於一現用狀態且複數個裝置之至少一者處於一備用狀態;藉由處於一備用狀態之複數個可組態裝置之至少一者經由一協定偵測處於一現用狀態之一可組態裝置之一故障;及將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
根據上文所述之實施例之任一者,其中連接為實體連接。
根據上文所述之實施例之任一者,其中分支組件選自由交換機及路由器組成之群組。
根據上文所述之實施例之任一者,其中可組態裝置包括輪輻裝置。
根據上文所述之實施例之任一者,其中交換機類型選自由管理型交換機、非管理型交換機及可堆疊式交換機組成之群組。
根據一例示性且非限制性實施例,一種方法包括:在一多租戶控制器處產生用於在一第一位點與一第二位點之間建立一鏈路之一共同共用秘密;透過一安全通道將共用秘密傳輸至第一位點及第二位點之各者;對共用秘密指派一以掛鐘為基礎之開始及結束有效週期;若兩個位點中之一或多個元件無法與多租戶控制器進行通信,則在一未來有效期內發送共用秘密以允許繼續進行安全鏈路通信;及每個VXWAN之每個鏈路使用一單獨共用秘密。
根據一例示性且非限制性實施例,一種方法包括:在一第一通道端點處接收一共用秘密;產生複數個隨機數值(nonce value);與一第二通道端點交換隨機數值;產生複數個工作階段金鑰;及依一預定時間間隔使用共用秘密刷新複數個工作階段金鑰。
根據一例示性且非限制性實施例,一種系統包括:一第一位點;一第二位點,其經由一網路與第一位點通信;及一多租戶控制
器,其經組態以產生用於在第一位點與第二位點之間建立一鏈路之一共同共用秘密且透過一安全通道將共用秘密傳輸至第一位點及第二位點之各者,其中多租戶控制器經組態以對共用秘密指派一以掛鐘為基礎之開始及結束有效週期。
根據上文所述之實施例之任一者,其中由軟體、硬體及/或一軟體及硬體混合物執行共用秘密產生。
100C‧‧‧步驟
100D‧‧‧步驟
100E‧‧‧步驟
102‧‧‧操作者層
102C‧‧‧步驟
102D‧‧‧步驟
102E‧‧‧步驟
104‧‧‧應用及使用者層
104D‧‧‧步驟
104E‧‧‧步驟
108‧‧‧應用效能轉遞層/最佳可能應用效能
110‧‧‧應用可達性轉遞層/應用可達性
112‧‧‧政策驅動流及工作階段轉遞層/輸送層/政策層
114‧‧‧網路層
118‧‧‧資料鏈路層
120‧‧‧實體層
122‧‧‧多租戶控制器
124‧‧‧可組態裝置
128‧‧‧資料中心
132‧‧‧應用
134‧‧‧Ad網路
138‧‧‧內容遞送網路
140‧‧‧第三方資料及應用/第三方資料應用
142‧‧‧網際網路
144‧‧‧多重協定標籤交換(MPLS)
148‧‧‧實體連接
150‧‧‧邏輯連接
152‧‧‧分支/分支辦公室/分支裝置/網路分支/遠端分支/分支位點/遠端辦公室/分支組件
154‧‧‧整形器
158‧‧‧裝置交換機
160‧‧‧伺服器
162‧‧‧路由器
164‧‧‧用戶端裝置
168‧‧‧使用者
176‧‧‧提供者邊緣(PE)路由器
178‧‧‧核心路由器/資料中心核心/WAN邊緣路由器/集線器裝置
180‧‧‧顧客邊緣(CE)路由器
202‧‧‧政策字串
204‧‧‧虛擬可擴展廣域網路(VXWAN)
504‧‧‧「非對稱偵測」演算法
508‧‧‧經儲存之網路拓撲
512‧‧‧用戶端
520‧‧‧分支B
522‧‧‧集線器裝置1
524‧‧‧集線器裝置2
528‧‧‧網路
604‧‧‧軟體即服務(SaaS)應用
608‧‧‧高級域
802‧‧‧起始
808‧‧‧穩定
812‧‧‧封包轉遞表
814‧‧‧嚴格優先佇列
818‧‧‧公平佇列
820‧‧‧異常佇列
902‧‧‧身份管理(IDM)服務
903‧‧‧水平可擴展服務IP至位點映射(ISM)服務
904‧‧‧現用目錄
908‧‧‧使用者資料
912‧‧‧IP至使用者映射事件
914‧‧‧IP至使用者映射事件
915‧‧‧本端首碼集
916‧‧‧IP至位點映射
922‧‧‧輪輻位點A
924‧‧‧輪輻位點B
1202‧‧‧可組態裝置
1204‧‧‧第二可組態裝置
1300‧‧‧步驟
1302‧‧‧步驟
1304‧‧‧步驟
1306‧‧‧步驟
1308‧‧‧步驟
可藉由參考本文中所述之圖式實現對本發明技術之性質及優點之一進一步瞭解。
圖1A提供一資料網路架構內之層之一簡化方案。
圖1B繪示採用與複數個網路設施及裝置相關聯之一多租戶控制器之一架構之一簡化實施例。
圖1C繪示用於根據一經偵測之網路狀態轉遞應用資料流之一簡化實施例。
圖1D繪示用於利用與政策字串相關聯之應用特徵之一簡化實施例。
圖1E繪示用於分析資料訊務流以偵測次最佳網路效能之一簡化實施例。
圖2繪示使用一多租戶控制器來提供與一VXWAN相關聯之一政策(諸如一網路效能政策)以根據一政策囊封指定資料流並對其加密之一樣本實施例。
圖3A及圖3B描繪經組態裝置之間的網路資料流,其中網路裝置之間的某些鏈路不可用。
圖4繪示用於判定用來建立一資料轉遞規則或政策之網路段之一樣本實施例。
圖5繪示一網路上之資料流之非對稱性及用於偵測並校正此等非
對稱資料流之一多租戶控制器之使用之簡化實例。
圖6繪示至少部分基於複數個資料流建立一錨域之一簡化實施例。
圖7描繪展示使用一整形器來控制與一可組態裝置相關聯之資料擁塞及資料流之一樣本實施例。
圖8A繪示使用一整形器來偵測並回應於一網路內之資料擁塞及可採取之行動。
圖8B繪示包括動態頻寬控制之網路組件之一簡化視圖。
圖9繪示用來監測、記錄及儲存IP至使用者資料映射並使用此等映射以至少部分基於使用者身份引導一網路上之資料流之一網路內之多租戶控制器之一項實施例。
圖10繪示用於使用統計分析來粗略估計及評估一網路位點上之應用效能之一簡化實施例。
圖11繪示用於使用集線器對及可組態裝置來產生網路擴展及冗餘之一簡化實施例。
圖12繪示一可組態裝置配對之一簡化實施例。
圖13繪示用於利用一共用秘密來產生一應用工作階段金鑰之一方法之一簡化實施例。
圖14及圖15繪示首碼及相關聯自動化學習之使用之一簡化實施例。
圖16繪示一資料中心內之一簡化無縫部署模型。
圖17繪示包含一多租戶控制器之一多播部署之一簡化實施例。
圖18及圖19繪示在兩個MPLS提供者上發生之資料訊務之一簡化實施例。
圖20繪示在一MPLS提供者及一VPN上發生之資料訊務之一簡化實施例。
參考圖1A,資料網路(諸如由大型合資企業及服務提供者使用之資料網路)被模型化為用來描述本文中所述之本發明之方法及系統之八個網路層。在此框架內,層1為由基本網路化硬體及資料傳輸基礎結構組成之實體層120。網路化硬體可跨複數個實體位點部署於一網路內,包含但不限於一資料中心128(諸如一分佈式雲端計算網路)及連接至資料中心128之分支152位置。如本文中所使用之資料中心128類型包含但不限於一私人雲端(例如,Amazon或Google)、一科學社群(例如,一國家實驗室)、主機代管中心、內部資料中心或一些其他類型之資料中心。資料中心128可被分類為層I、層II、層III及層IV。
分支152可透過實體或邏輯連接150連接至資料中心128。實體連接148可包含但不限於一T1鏈路,諸如從一分支152至多重協定標籤交換(MPLS 144)之鏈路、或透過一電纜之連接、或透過DSL之連接或透過無線及蜂巢式網路之連接。邏輯連接150可包含但不限於一私人廣域網路(WAN)或一虛擬私人網路(VPN)。連接亦可為一混合連接,例如透過一T1鏈路至包含邏輯構造元件之網際網路142之一實體連接148。在一實例中,硬體(諸如控制交換機、路由器162、集線器裝置、輪輻裝置、可組態裝置124或一些其他硬體類型之一多租戶控制器122)可部署於一資料中心128內。如本文中所使用之術語多租戶控制器122可指代一多租戶控制器、單租戶控制器及/或複數個相關聯單租戶或多租戶控制器。如本文中所使用之術語輪輻裝置可包含但不限於一分支裝置,該分支裝置之各者可為如本文中所述之一可組態裝置124。如本文中所使用之術語集線器裝置可指代經路由、在路徑中、經分佈且經負載平衡及/或經分佈、經負載平衡且經路由之集線器裝置。如本文中所使用之交換機包含但不限於一管理型交換機(例如,一智慧型交換機或企業管理交換機)、一非管理型交換機、一可堆疊
式交換機或一些其他交換機類型。如本文中所使用之術語裝置可包含但不限於一硬體裝置、軟體裝置、實體裝置、虛擬裝置或邏輯裝置。
分支152可透過例如網際網路142或MPLS 144將資料、資料封包及其他資訊路由至一資料中心128且從一資料中心128路由資料、資料封包及其他資訊。分支152亦可透過例如網際網路142或MPLS 144將資料、資料封包及其他資訊路由至應用148、Ad網路134及內容遞送網路138且從應用148、Ad網路134及內容遞送網路138路由資料、資料封包及其他資訊。網際網路142可包含一私人雲端且不比MPLS 144昂貴,但亦不比MPLS 144安全。MPLS 144可包含一私人WAN。分支152類型之實例包含但不限於一零售店、一銀行店面、一資料輸入點(諸如一銷售點裝置)、一企業之遠端辦公室及分佈式計算位點。
一資料網路之層2稱為資料鏈路層118。此層包含使得能夠將資料(諸如由訊框組成之資料單元)從一個網路實體傳送至一第二網路實體之功能元件。網路元件之實體定址亦常駐於層2內。媒體存取控制(MAC)子層控制網路上之一電腦如何獲得對資料之存取及傳輸資料之權限,且邏輯鏈路控制(LLC)層控制訊框同步、流控制及錯誤檢查。
一資料網路之層3稱為網路層114。在此層處發生諸如封包轉遞之功能且存在路由協定管理之元件。相比於基於例如被定義為在如本文中所述之一應用工作階段內發生之資料流,此層處之轉遞係以封包為基礎。路由協定可包含但不限於靜態路由、邊界閘道協定(BGP)、中間系統至中間系統協定(IS-IS)、增強型內部閘道路由協定(EIGRP)及開放最短路徑優先(OSPF)。路由協定提供可達網路端點(IP位址)以及可用網路介面及可到達可用網路介面之路徑之一映射。
一資料網路之層4稱為政策驅動流及工作階段轉遞層112。可在此層處發生邏輯定址、多工、資料流控制、封包分段及重組。此層處之資料轉遞及路徑選擇可基於政策。一政策指定應提供至應用流或應用
工作階段之處理,包含網路路徑之選擇。因此,政策提供來自層3且可用於一網路裝置處之一應用或使用者之一經過濾網路路徑集。
此層處之資料轉遞及路徑選擇可基於一應用工作階段。如本文中所使用,一「工作階段」指代被識別為屬於存取一特定應用之一用戶端512之一或多個流。如本文中所使用,「用戶端裝置」指代能夠計算及/或與一資料網路互動之膝上型電腦、桌上型電腦、平板電腦、電話、智慧型電話、伺服器、PDA、智慧型手錶、可佩帶裝置或一些其他類型之用戶端裝置,如本文中所述。如本文中所使用,一「流」指代與單個工作階段相關聯之封包串流(雙向)。如本文中所使用,「封包」指代一網路中之資料傳送之基本單位。如本文中所使用,「工作階段流」指代屬於一經識別工作階段之任何流。此層處之當前解決方案可受限,此係因為其等例如藉由IP位址或埠號定義應用。在雲端環境中埠號係不可行的。例如,如同Microsoft Exchange(Outlook電子郵件)之一應用可為一埠135所服務。在一電子郵件遞送為來自一雲端計算環境(諸如Gmail、Yahoo及類似者)之一服務時,所使用之用戶端裝置164可主要透過HTTPS(埠443)連接。可能透過相同HTTPS埠443遞送諸多以雲端為基礎之應用。因此,僅有埠資訊不足以定義應用。一「應用工作階段」之概念及定義並識別一應用工作階段之能力具有實用性,此係因為既有解決方案在判定與一給定應用相關聯之資料流之方面係不精確的。既有解決方案通常量測該等流之效能,包含抖動、頻寬(BW)及其他度量。如本文中所使用之「流」及「資料流」可包含但不限於一連接、TCP連接、異動、應用異動、3向交握、每秒連接數或CPS、工作階段、應用工作階段、雙向交換、雙向流、單向流(例如,在以UDP為基礎之資料交換中)、混合流、通道、網路流、並行流或一些其他類型之資料流。一流可由多個封包組成,且一工作階段可由多個流組成。各種參數可用來對資料流歸類,
包含但不限於異動型資料流、異動型即時資料流及類似者。
根據本文中所述之本發明之方法及系統,一流可被偵測為屬於一應用,但亦屬於一應用工作階段。一應用工作階段可校對發源於相同源之不同流並將其等標記為屬於一工作階段。此等流之一些可表現為一完全不同的應用,而實際上其等並非如此。可一起對屬於一工作階段之所有流使用效能量測,因此改良實際應用效能及控制。例如,一些應用可不受封包損失影響。在另一實例中,往返延時可無關於適當應用效能需要多次往返之應用。延時問題可包含但不限於網際網路連接之地域差異、網路訊務量、一用戶端512與一伺服器之間的距離及封包損耗。例如,封包損失可由鏈路/連接之自然「損失」所致或歸因於導致擁塞且因此增大封包損失之網路量。在一實施例中,一應用工作階段可被定義為時間訊框,例如從時間1至時間2導出之資料。在另一實施例中,一應用工作階段可被定義為在一使用者168登錄以使用一應用與登出以中斷該應用之使用之間發生之時間。在另一實例中,一應用工作階段可被定義為從被視為相關應用或位點(網站)之活動導出之資料。例如,Office365應用可包含至一Office365入口、一Office365 Sharepoint、Lync或一些其他相關服務或位點之資料流。
一資料網路之層5稱為應用可達性轉遞層110。以應用為基礎之轉遞可在此層處發生,且可基於「可達性」。可達性指代轉遞內之一區分點,其中問題不是「是否可透過一指定路徑/連接到達一特定IP位址」,而是「是否可到達一應用及是否可依與關於一應用之一政策一致的一方式到達該應用」。企業可使用多個連接選擇。例如,一企業可將MPLS 144加上一Comcast網際網路連接(即,一混合連接)用於資料路由。因此,層5基於可達性提供來自層4且可用於一應用之一經過濾網路路徑集。
一資料網路之層6稱為應用效能轉遞層108。以應用為基礎之轉
遞可基於效能。一使用者168之網際網路存在點(POP)可存在地域差異。此可產生一延時問題(較慢效能)。一經組態裝置及控制器可監測使用者168感興趣之應用並基於應用效能調整可選擇路徑且轉遞訊務。如本文中所使用之術語控制器指代多租戶控制器。可在與一政策一致之情況下、在連接權限或者一些其他規則或準則下實行所採取之轉遞決定。因此,層6基於一或多個網路路徑之應用效能提供來自層5且可用於一應用之一經過濾網路路徑集。
一資料網路之層7稱為應用及使用者層104。此層為在網路上操作之應用及使用者常駐之處。從使用者至應用及從應用至使用者之訊務在此層處進入且基於該應用及使用者之最終經過濾網路路徑集,選擇一適當路徑用於轉遞。
一資料網路之層8稱為操作者層102。此層為網路操作者常駐之處,諸如負責設定以使用者為基礎之政策、產生報告或一些其他管理功能之一IT管理者。
根據例示性且非限制性實施例且參考圖1B,一多租戶控制器122可與一資料網路內之一經組態裝置相關聯。多租戶控制器122及經組態裝置可與複數個設施具有實體或邏輯連接150,包含但不限於一資料中心128或複數個資料中心128、一ad網路134、一內容遞送網路138以及第三方資料及應用140。在此簡化實例中,網路內之資料中心128(多租戶控制器122可與其進行通信)可具有集線器裝置、額外經組態裝置及/或應用132(多租戶控制器122及/或與多租戶控制器122相關聯之經組態裝置可與其進行通信)。Ad網路134、內容遞送網路138以及第三方資料及應用140可將資料提供至網路中,諸如使一廣告與至一用戶端裝置164之一網頁內容遞送配對,可由多租戶控制器122及/或與多租戶控制器122相關聯之經組態裝置辨識、追蹤及記錄配對資料。網路內之資料可從網路之一分支152導出,諸如一企業之一實體
辦公室或實體店。一分支152可具有網路設施,包含但不限於一整形器154、一裝置交換機158、一應用132、一經組態裝置、一伺服器160、一路由器162、或一些其他網路設施或裝置。分支152可透過網際網路142或MPLS 144,使用實體或邏輯連接150與網路內之其他設施進行通信,諸如資料中心128或多租戶控制器122。網路之一使用者168可與一用戶端裝置164互動以存取網路,例如一使用者168可使用一計算平板電腦(諸如一iPad)來與一銀行分支152互動以便將錢從一個銀行帳戶轉帳至另一銀行帳戶。如本文中所述,一多租戶控制器122(包含結合一經組態裝置)可監測網路活動,記錄並儲存此活動用於最佳化網路上之訊務流使得其與一政策一致,諸如指示相對於較不重要資料(例如,「網際網路橫幅廣告」)優先路由某種類型之資料流(例如,「敏感的銀行資料」)之一政策或一些其他類型之政策。
在傳統網路中,用於企業之應用對一廣域網路(WAN)具有不同程度需要。可用WAN解決方案主要基於可達性資訊轉遞訊務且最好利用指示鏈路層級狀況(諸如封包錯誤率及封包損失率)之資料來這麼做。
延時網路(尤其係WAN)連接位置或位點。此等位點可為遠端辦公室或分支152及資料中心128。通常,應用常駐於此等資料中心128中且使用者168透過網路存取此等應用。若一特定應用需要對服務品質(QoS)或路由進行不同處理(例如,想要透過某個位置發送某個應用訊務),則用來實現此目的之唯一方式為將該應用手動地轉譯成一網路身份(通常為一IP位址或IP位址範圍),且接著操控路由器162及路由器協定以實現該意圖(不同處理)。
關於商業意圖之此操控及實現之複雜度可極大,且多數涉及一「變更及祈求」方法。以政策為基礎之安全性/防火墻及以政策為基礎之路由已實施達一段時間。防火墻多數使用政策來允許/阻斷訊
務,且在一些情況下經允許訊務被賦予轉遞/路徑約束。通常,路由器裝置162使用允許與IP位址匹配之某些封包及封包長度根據一些政策規範分類及處理之「路由映射」。此等政策規範允許選擇每一封包之下一跳躍目的地。因此,需要用於判定以位置為基礎之應用分佈及相關定義、路徑特性化以及用於判定跨可用網路資產之應用訊務流之最佳的以政策為基礎之路徑選擇之動態應用特性化之方法及系統。
根據例示性且非限制性實施例,提供一種可藉由其調整WAN以屈服於應用需要以便對使用者168提供一最佳或近最佳體驗之方法。此一體驗之產生開始於在存在於一分支辦公室152處之一最合適鏈路上路由應用流,從而滿足一應用需要。一旦一應用流置於一適當鏈路上,則可根據應用流之一政策規範保證充足的網路資源。
參考圖1C,繪示根據一例示性且非限制性實施例之一方法。首先,在步驟100C處,應用被識別為應用之網路需求。其次,在步驟102C處,基於網路528之當前狀態,在各種可用鏈路上適當地轉遞應用流。此等轉遞決定基於網路528之動態狀態恆定地演進。
根據例示性且非限制性實施例,可組態輪輻裝置執行訊務轉遞決定,且被提供必需的資訊片段:a)應用識別細節;及b)應用訊務設定檔。
各可組態裝置124亦維持路徑特性化資訊。路徑特性化可包含關於一鏈路上之頻寬可用性、延時設定檔、一鏈路上之訊務量限度及類似者之資訊。可組態裝置124接著可選擇滿足所有約束且在該時間瞬間對一應用最佳或近最佳之一鏈路。
根據例示性實施例,應用智慧及唯一路徑特性化細節用來選擇最合適鏈路。多租戶控制器122有效地「理解」什麼係一應用超出其IP位址,且一分支152處之可組態裝置124可剖析並偵測一特定流是否表示一特定應用。
因此,可實施一簡單政策模型,吾人可藉由該政策模型直接指定一商業意圖且多租戶控制器122及裝置一起使其在網路中發生。商業意圖之此一表示可為例如:「對於應用Salesforce,賦予其Gold優先級,透過Atlanta DC發送其」。
參考圖1D,繪示根據一例示性且非限制性實施例之一方法。在步驟100D處,應用特定搜尋產生每個應用獨有之一特徵。在實施例中,一應用特徵可包含以下項之一或多者之一組合:(a)域名;(b)URL;(c)一伺服器網路身份(SNI);(d)一源及/或目的地IP位址;(e)一源及/或目的地埠及(f)經加密或未經加密流異動中之靜態位置處之任何位元組序列;(g)在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列;(h)經加密流異動之大小/傳輸/頻率模式;(i)流建立之次序及模式以及關於其他所見流之資料。
根據一例示性且非限制性實施例,一種方法包括至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠,包含經加密或未經加密流異動中之靜態或動態位置處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之大小、傳輸及頻率模式、流建立之次序及模式以及關於其他所見流之資料及HTTP元資料;將該等特徵之各者傳輸至一分支裝置152;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串202傳輸至分支裝置152。
根據一例示性且非限制性實施例,一種方法包括至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠,包含經加密或未經加密流異動中之靜態或動態位置
處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之大小、傳輸及頻率模式、流建立之次序及模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串202;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應用於至少一個網路資料流(包括經偵測之特徵)。
根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器122經組態以至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠,包含經加密或未經加密流異動中之靜態或動態位置處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之大小、傳輸及頻率模式、流建立之次序及模式以及關於其他所見流之資料及HTTP後設資料;將該等特徵之各者傳輸至一分支裝置152;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串202傳輸至分支裝置152。
根據一例示性且非限制性實施例,一種網路化分支裝置152經組態以至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠,包含經加密或未經加密流異動中之靜態或動態位置處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之大小、傳輸及頻率模式、流建立之次序及模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串202;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應
用於至少一個網路資料流(包括經偵測之特徵)。
根據各項實施例,此等應用特徵經產生並發佈至多租戶控制器122。在實踐中,顧客使用他/她自然傾向於利用之任何方法。在一些實施例中,顧客可隨著應用逐漸變為面向網路而指定域名/url中之特徵。
接著,在步驟102D處,多租戶控制器122可將應用特徵推送至可組態分支裝置124。每個可組態裝置124具有剖析經過可組態裝置124之每個流且隨著流開始偵測應用特徵之存在之能力。
一旦匹配,則額外功能可應用於流。最終,在步驟104D,多租戶控制器122暴露一API,網路管理者/使用者可透過API定義一政策字串202以如下般表示商業意圖:<APP>,<IDENTITY>--<PRIORITY>,<SERVICE>,<VXWAN>,<PATH>其中APP-由經組態裝置之提供者提供之應用名稱/id或由網路管理者/使用者定義之慣例IDENTITY-使用者名稱/id或裝置id(選用)PRIORITY-<APP,IDENTITY>組合之商業優先級SERVICE-應對<APP,IDENTITY>組合提供之服務(選用)VXWAN-<APP,IDENTITY>組合之虛擬WAN隔離識別符(選用)。實例包含但不限於一網路隔離識別符。PATH-<APP,IDENTITY>組合之路徑約束(選用)
如本文中所使用,「政策字串」202通常定義何者可依何種種類之優先級連接至何種應用。「商業優先級」指代服務品質(QoS)歸類之抽象化。在例示性實施例中,可利用一標準化政策字串202。根據一例示性且非限制性實施例,一種用於跨複數個分佈式計算環境控制複
數個資產之可集中控制之多租戶控制器122可經組態以:將一網路隔離識別符分配至含有相同VXWAN指示之複數個政策之各者且將具有該網路隔離識別符之複數個政策之各者傳輸至一網路中之一或多個裝置。如本文中所使用之一網路隔離識別符包含但不限於一虛擬網路識別符(VNI)、段識別符及/或網路識別符。一網路隔離識別符可為或可包含數字資料、字母資料及/或字母數字資料。一政策識別符可包含一網路隔離識別符。
在具有上文所述之能力之情況下,每個分支可組態裝置124可尋找與一應用相關聯之應用特徵,且在被偵測到時,如下般執行政策:PRIORITY 類似於典型Qos,執行在裝置內且專用於流離開及進入裝置之介面之優先佇列。執行依影響下載及上載方向之一雙向方式發生,因此致使流及因此導致應用在PRIORITY意圖之範圍內操作。
SERVICE 將流及因此將應用轉遞至一特定服務。單獨定義之一SERVICE可從裝置透過正常L3轉遞或透過一L3隧道到達,或被定義為流複本之一接收者。在後一情況下,經組態之裝置在兩個方向上對每個流封包製作一複本,並將其發送至服務,在任何情況下複本可存在於網路中。另外兩個服務預期在流路徑中且因此透過正常L4->L3轉遞朝向該服務轉遞流。
VXWAN 隨著轉遞流,經組態之裝置可視需要添加一「VXWAN」標籤/囊封,其為一虛擬WAN識別符。類似於資料中心128中之VXLAN,此VXWAN 204具有遠遠超出囊封之應用。
PATH 若存在,則路徑指示對政策中指定之APP及/或
IDENTITY之流約束路徑,允許在流離開經組態之裝置時採取該路徑。
VXWAN 204允許顧客於相同實體底層上產生若干小的隔離式上層隧道。可用一不同金鑰集加密各隧道,使得即使隧道之一者之金鑰被洩密,仍不暴露其他金鑰。從顧客觀點,VXWAN 204允許顧客產生隔離式網路段端對端(其中分支152及DC中為VLAN,且WAN中為VXWAN 204)。此有助於在企業中之各個團隊之間設定操作界線,獨立地保護網路基礎結構之各個部分,且滿足各種法規遵從性需求,諸如PCI。
與此等實施例相關聯之優點包含一政策字串202用於商業意圖且不僅限用於選擇下一跳躍或安全性處理。此外,當前實施之解決方案缺乏VXWAN 204之概念。此外,雖然某些安全產品已將APP及IDENTITY用於本端安全性執行之目的且已單獨提供用來引導特定介面上之訊務之一方式,但所述方法超越此,使得APP及IDENTITY用來指定跨整個WAN之流之網路處理。
從路由觀點,即使一應用在路徑上不可用,仍可到達一伺服器160或下一跳躍。例如,位於一路徑上之一HTTP代理器可具有效能問題且可阻擋連接。從路由觀點,此阻擋將不被視為一故障且封包將繼續轉遞至代理器。進一步可能的是,一路徑上之延時足夠高使得無法有效地使用一應用,而在一不同路徑上操作應用並不成問題。在實施例中,一應用亦可(諸如可能)與一Ad網路134、內容遞送網路138或第三方資料應用140常駐於網際網路中。
根據例示性且非限制性實施例,應用層級探測確保一使用者168始終可獲得及可使用一應用。可組態輪輻裝置執行「應用探測」,其中可組態輪輻裝置124週期性地檢查所有路徑上之應用之健康狀況。可組態裝置124接著可評估鏈路(從最佳路徑至最差路徑),並將此資
訊提供至多租戶控制器122。
在接收資訊之後,多租戶控制器122可使用資訊來路由應用流。鏈路評估可像最低網路延時排序一樣簡單,或可像考量應用層級異動延時一樣複雜。
根據例示性實施例,可在SaaS服務之各應用(例如,box.com)或子應用(例如,office365-lync,office365-sharepoint)之內容脈絡中執行主動探測及評估網路路徑。在企業應用之情況下,可在一應用之特定伺服器160上執行主動探測,此係因為在一企業中可存在諸多應用遞送端點。例如,對於伺服器訊息區塊(SMB)(檔案共用)應用,可存在用不同內容伺服一應用之諸多伺服器160。
如本文中所述,主動探測不同於通用探測,諸如其通常具實踐性。在採用通用探測時,甚至在可不建立至伺服器160之一連接時,仍可通過對一已知伺服器之一典型ping命令(建立L3連接)。藉由經由主動探測與伺服器160建立一工作階段,本實施例建立應用層級連接。
根據各項實施例,可在應用之內容脈絡中執行一伺服器層級檢查。例如,如同SMB之一些應用之每個伺服器160具有一服務端點,其不同於其中可存在支援單個HTTP服務之諸多伺服器之一SAAS服務。前一類別中之應用為內部企業應用。對於此類別之應用,吾人可依一伺服器層級進行監測。在一些案例中,甚至可能的是,單個伺服器可代管如同SMB及HTTP之多個服務。在該情況下,對於各服務端點,將探測到相同伺服器。換言之,完成對實際服務遞送端點之探測以確保可存取應用。
在一些案例中,從其伺服一應用之位置並非最佳。此通常為SAAS應用將發生之情況,其中可從多個位置(例如,美國西部、美國東部、歐盟、拉丁美洲等)遞送應用。在此等情況下,通常最佳的
是,在一分支152處將由一使用者168起始之此等應用流發送至最近的可能應用遞送位置。在實踐中,此可能歸因於例如以下原因而無法發生:(1)DNS伺服器及查詢點之位置;(2)次最佳政策;及(3)關於應用遞送位置之資訊之不可用性。
參考圖1E,繪示根據一例示性且非限制性實施例之一方法。首先,在步驟100E處,根據例示性實施例,可經由以下項識別SAAS應用遞送位置:(1)系統之手動資訊收集及饋送;(2)基於從全球各個位置發起DNS查詢之三角量測;及(3)透過如上文所述之應用探測收集之資訊。
在收集此資訊之後,在步驟102E處,系統可應用由多租戶控制器122之一組件對所有觀察到之訊務流所作之分析且提取以下三個資訊片段:(1)使用者168位於何處(基於位點資訊);(2)最近的應用遞送位置位於何處(使用上述資料集);及(3)使用者流服務來自何處。
接著,在步驟104E處,系統接著可(1)聚合其中從一次最佳位置遞送應用之例項(基於發端地理位置);(2)辨識模式;及(3)若存在明顯且一致的次最佳使用,則向一使用者報告此使用,諸如多租戶控制器122之管理者。
在一例示性且非限制性實施例中,本文中所述之方法及系統可應用於解決及修復次最佳使用之例項。
因此,提供以下項:(1)自動應用服務遞送位置學習;(2)用來判定實際應用遞送位置之一以地理位置IP為基礎之方法;及(3)服務遞送位置之次最佳選擇之識別及報告。
根據例示性實施例,可在每個位點基礎上至少部分基於地形執行應用定義。在此等例項中,可由系統操作者/管理者及/或顧客定義應用偵測設定檔。此等設定檔接著可從多租戶控制器122傳播至可組態裝置124使得可組態裝置124可偵測應用。
SAAS應用604通常具有分佈於全球各地之服務/應用提供位置。在一使用者168存取一應用時,其等被引導至最近的服務提供位置。由於不同服務提供位置具有不同HTTP域名,故應用定義需要包含域名。
根據例示性實施例,取代將具有所有域名之一應用定義均勻地分佈至所有可組態裝置124的是,可基於應用定義所分佈之可組態裝置124之位置客製化該應用定義。
例如,吾人可將應用定義「eu.xforce.com」發送至位於歐洲之一裝置,且將「na.xforce.com」發送至位於北美之一裝置。至少部分基於可組態裝置124之位置客製化發送至可組態裝置124之定義。
根據例示性且非限制性實施例,各可組態輪輻裝置124可收集並報告來自其中定位至多租戶控制器122之位點之統計。多租戶控制器122接著可將適用於該位點之一訊務設定檔發送回至可組態裝置124。對於可不存在一訊務設定檔之新位點,系統可選擇最常見的訊務分佈設定檔且接著稍後針對位點對其進行客製化。在一些實施例中,從一伺服器160至一端點之通量之量測藉由削減伺服器160貢獻及基於一異動大小使飛行時間正規化而予以正規化。因此,提供一種用於在每個位點基礎上進行動態且持續的應用特性化並回應於其調整網路行為之方法。根據例示性實施例,本文中所述之方法可應用於異動型應用,包含但不限於聊天程式、VoIP、視訊會議及螢幕共用程式。
根據各項例示性實施例,上文所述之用於網路訊務特性化之方法及系統可利用如本文中別處所述之實體連接148、邏輯連接150或混合連接。此外,此等方法及系統可應用於如上文所述之應用工作階段。如本文中所述之此等方法及系統可由如本文中所述之所有形式之資料中心128應用利用且用於所有形式之資料中心128應用。
根據各項例示性實施例,上文所述之用於網路訊務特性化之方
法及系統可利用如本文中所述之動態自動化QoS定義。例示性實施例可利用如本文中所述之檔案傳送應用及QoS標準化控制。其他例示性實施例可將參數用於對如本文中所述之資料流歸類。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:判定至少一個應用之一網路需求;至少部分基於滿足該網路需求之一當前網路狀況動態地判定適於根據一政策進行資料傳輸之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
一種方法,其包括:判定至少一個應用之一網路需求;至少部分基於複數個應用識別細節及一應用訊務設定檔之至少一者判定適於滿足該網路需求之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
根據上述條款之任一者,其中該應用在一節點處操作。
根據上述條款之任一者,其中該應用在一分支處操作。
根據上述條款之任一者,其中由一可組態輪輻裝置執行動態地判定該鏈路。
根據上述條款之任一者,其中該可組態輪輻裝置維持路徑組態資訊。
根據上述條款之任一者,其中該路徑組態資訊選自由一鏈路上之頻寬可用性、一延時設定檔及一訊務量限度組成之群組。
一種方法,其包括:
至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者中之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;將該等特徵之各者傳輸至一分支裝置;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串傳輸至分支裝置。
一種方法,其包括:至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應用於至少一個網路資料流(包括經偵測之特徵)。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:至少部分基於以下項之至少一者判定複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜
態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;將該等特徵之各者傳輸至一分支裝置;及將定義待應用於展現特徵之一資料流之一商業政策之一政策字串傳輸至分支裝置。
一種網路化分支裝置,其經組態以:至少部分基於以下項之至少一者接收複數個應用之各者之一特徵:一域名、一URL、一伺服器網路身份(SNI)、源IP位址、一目的地IP位址、一源埠、一目的地埠、經加密或未經加密流異動中之一靜態位置及一動態位置之一者處之任何位元組序列、在經加密或未經加密流異動中之一匹配之先前位元組序列之後之任何位元組序列、經加密流異動之一大小、一傳輸及一頻率模式之至少一者、流建立之一次序及一模式以及關於其他所見流之資料及HTTP後設資料;接收定義一商業政策之至少一個政策字串;分析至少一個網路資料流以偵測特徵之存在;及將商業政策應用於至少一個網路資料流(包括經偵測之特徵)。
根據上述條款之任一者,其中該政策字串包括選自由一使用者身份、一SERVICE、一路徑及一VXWAN組成之群組之元件。
一種方法,其包括:依一預定間隔檢查至一遠端定位應用之一或多個網路路徑之一狀態;評估該一或多個網路路徑之各者之相對狀態,其中該評估至少部分基於網路延時及一應用層級異動延時之至少一者;及利用該評估來路由與該應用相關聯之一應用資料流。
一種網路化分支裝置,其經組態以:依一預定間隔檢查至一遠端定位應用之一或多個網路路徑之一狀態;評估該一或多個網路路徑之各者之相對狀態,其中該評估至少部分基於網路延時及一應用層級異動延時之至少一者;及利用該評估來路由與該應用相關聯之一應用資料流。
根據上述條款之任一者,其中該等網路路徑之評估係在一應用之一可操作性之內容脈絡中進行。
根據上述條款之任一者,其中該等網路路徑之評估進一步至少部分基於一路徑頻寬、一MOS分值、一封包損失及抖動。
一種方法,其包括:至少部分基於以下項之至少一者判定一應用之一遞送位置:手動資訊收集、基於源DNS查詢之三角量測及應用探測;分析與應用相關聯之至少一個網路訊務流以提取包括一使用者位置、一最近的應用遞送位置及一使用者流服務源之至少一者之資料;聚合經提取之資料以識別複數個次最佳使用例項,其中從一次最佳位置遞送應用;及向一應用使用者報告次最佳使用例項。
根據上述條款之任一者,該方法進一步包括採取行動以至少部分緩解次最佳使用例項。
根據上述條款之任一者,其中該使用者為一管理者。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:至少部分基於以下項之至少一者判定一應用之一遞送位置:手動資訊收集、基於源DNS查詢之三角量測及應用探測;
分析與應用相關聯之至少一個網路訊務流以提取包括一使用者位置、一最近的應用遞送位置及一使用者流服務源之至少一者之資料;聚合經提取之資料以識別複數個次最佳使用例項,其中從一次最佳位置遞送應用;及向一應用使用者報告次最佳使用例項。
根據上述條款之任一者,該可集中控制之多租戶控制器經組態以採取行動以至少部分緩解次最佳使用例項。
根據上述條款之任一者,其中該使用者為一管理者。
一種方法,其包括:判定各代管複數個應用之一或多個服務提供位置中之一位置,各應用具有一相關聯應用定義;判定經組態以存取複數個應用之至少一者之一裝置之一位置;及將裝置已存取之應用之各者之一應用定義傳輸至裝置,其中應用定義至少部分基於一或多個服務提供位置中之位置及裝置位置。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:判定各代管複數個應用之一或多個服務提供位置中之一位置,各應用具有一相關聯應用定義;判定經組態以存取複數個應用之至少一者之一裝置之一位置;及將裝置已存取之應用之各者之一應用定義傳輸至裝置,其中應用定義至少部分基於一或多個服務提供位置中之位置及裝置位置。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:從在一網路內且與一企業位點相關聯之一輪輻裝置接收應用資料流資訊;及
至少部分基於一當前網路資料流特性將一訊務設定檔傳輸至企業位點。
根據上述條款之任一者,其中該網路上之一資料傳送控制係以應用為基礎及以政策為基礎之至少一者。
根據上述條款之任一者,該方法進一步包括將以時間為基礎之應用域分類及映射應用於判定步驟。
根據上述條款之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中至少一個應用包括一資料中心應用。
根據上述條款之任一者,其中該政策字串格式係標準化的。
根據上述條款之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上述條款之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上述條款之任一者,該方法進一步包括採用選自由以下項組成之群組之QoS標準化控制:整形、監管、隨機早期捨棄、尾丟棄、低延時佇列、異常佇列、公平佇列及緩衝。
根據上述條款之任一者,該方法進一步利用參數來對資料流歸類。
在傳統網路化中,適當地劃分網路訊務可係有問題的。可至少部分基於(但不限於)路由唯一性、安全準則或網路隔離完成劃分。使用既有技術,通常藉由虛擬區域網路(VLAN)以及虛擬路由及轉遞(VRF)實施劃分。VLAN及VRF可手動地鏈接,其中手動鏈接在分支
152及資料中心128處進行。此手動鏈接可跨一廣域網路(WAN)提供網路隔離,但需要依應用特定及/或身份特定之一以政策為基礎之方式控制資料流,其中政策及相關資料流規則之實施在受一多租戶控制器122集中控制之一裝置中予以體現。多租戶控制器122可進一步用來在單獨企業(及相關聯網路)之間建立商際網路IPSEC VPN隧道。
根據本文中所述之本發明之方法及系統,一軟體定義之企業WAN(SDEwan)可用來產生在一應用網路驅動模型中予以體現之一網路。可透過一政策字串202表示該模型之一商業意圖。一政策字串202可允許指定對在網路上發生之資料流提供控制之一特定應用或身份。控制可根據應用、身份、應用及身份之一組合或基於一些其他參數進行。在一實施例中,作為一政策字串202之部分,可指定一虛擬可擴展WAN(VXWAN)204,其導致一裝置囊封由該政策在一唯一VXWAN 204中識別之一特定流集。一VXWAN 204可包括可隨著在裝置之間轉遞屬於由政策捕獲之流之資料/封包置於電線上之一網路隔離識別符或標籤。一VXWAN 204可包括僅提供至屬於由政策捕獲之流之封包之一選用的唯一加密。一VXWAN 204可包括用來將一VXWAN網路隔離識別符插入於網路中之一入口點處且在網路中之出口處移除網路隔離識別符以用於一特定方向上之流之一方式。一VXWAN 204可係雙向的,此係因為相同VXWAN網路隔離識別符可用於兩個方向之訊務。一VXWAN網路隔離識別符名稱空間可係全域的且由一多租戶控制器122來分配及管理,如本文中所定義。
在實施例中,一網路管理者可指定一應用或身份或者應用-身份組合之一政策。此可包含一VXWAN指示且亦可包含待採取路徑之類型(包含但不限於網際網路142、一私人WAN、一無線路由)及例如是否使用加密。如本文中所使用之加密包含但不限於標準加密方法、差異加密方法、進階加密標準、OpenPGP、CipherSaber或三重資料加密
演算法。一政策亦可指定待賦予一身份、應用或身份-應用組合之一優先級。例如,一政策可假定LAN側上之所有PCI應用(不管其等到達哪個VLAN)應置於一PCI VXWAN上。在另一實例中,一政策可假定來自語音VLAN之所有訊務置於一語音VXWAN上。身份之實例包含但不限於一使用者群組、執行使用者群組、特定人員(例如,CEO Tim Jones)、特定企業部門(例如,財政部)或一些其他身份。
根據本文中所述之本發明之方法及系統且參考圖2,一多租戶控制器122可經提供且用來實施支配一網路上之資料流之一政策、政策字串202或一些以其他規則為基礎之操作。一多租戶控制器122可從其為一租戶管理之一名稱空間分配一數字網路隔離識別符或標籤。該控制器可將政策發送至網路中之裝置,且此等政策可將VXWAN 204指定且包含由多租戶控制器122分配之任何網路隔離識別符。隨著一裝置識別進入及離開裝置之資料流之應用及身份,該裝置可應用其從多租戶控制器122接收之政策。若一政策存在一VXWAN網路隔離識別符,則裝置上之資料路徑軟體可隨著流封包離開裝置將標籤插入於電線上。若VXWAN 204為一經加密VXWAN,則可在流封包離開裝置之前應用一政策特定加密。在資料流之另一端處,例如接收裝置可打開,發送裝置可將VXWAN標頭置於具有VXWAN網路隔離識別符之封包上。接收裝置可移除VXWAN標頭,從標頭移除VXWAN網路隔離識別符,且將封包傳遞至核心路由器178上之一特定虛擬路由及轉遞(VRF),或傳遞至核心路由器178上之一全域VRF。政策字串202之實例包含但不限於以下表中所提供之實例:
在實施例中,一多租戶控制器122可用來在兩個單獨企業、位點或網路之間建立商際網路IPSEC VPN隧道。多租戶控制器122可用來指示想要與哪個其他租戶建立IPSEC VPN隧道及該其他租戶想要建立IPSEC VPN隧道至哪個位點。多租戶控制器122亦可指定複數個位點之各者中之哪些首碼可彼此進行通信。在一實例中,一租戶之IT管理者可向多租戶控制器122指示其等想要與之建立一PVN之合作夥伴租戶、其等想要將VPN建立至該合作夥伴之哪個位點、應參與VPN之自身位點、其等位點(來自位點之應用訊務被允許經過IPSEC VPN隧道)中之源首碼或特定IP、及可經過IPSEC VPN隧道之應用訊務之目的地首碼或特定IP。一旦合作夥伴租戶之IT管理者同意在企業之間產生IPSEC VPN隧道之請求,則多租戶控制器122可指示兩家企業之位點之各者上之裝置在兩個位點之間建立一IPSEC資料隧道。此可進一步限制企業以僅允許在由兩個租戶之管理者指定之該等源首碼與目的地首碼之間的訊務。在實施例中,可在兩側上使用許可首碼之最大限制
子集。首碼之實例包含但不限於10.1.1.0/20及192.168.2.1/24。
根據各項例示性實施例,上文所述之用於以應用及政策為基礎之網路資料傳送之方法及系統可利用如本文中別處所述之實體連接148、邏輯連接150或混合連接。此外,此等方法及系統可應用於如上文所述之應用工作階段且可採用一標準化政策字串202格式及加密。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:將一識別符分配至複數個政策之各者,各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將複數個政策之各者傳輸至一網路中之一或多個裝置。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:將一識別符分配至複數個政策之各者,各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將複數個政策之各者傳輸至一網路中之一或多個裝置。
一種方法,其包括:在一網路化裝置處接收複數個政策之各者,其中各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將網路隔離識別符插入至由網路化裝置傳輸之一或多個封包中。
一種網路化分支裝置,其經組態以:接收複數個政策之各者,其中各政策包括與一VXWAN指示相關聯之一網路隔離識別符;及將網路隔離識別符插入至一或多個經傳輸之封包中。
一種方法,其包括:
從一第一網路租戶接收以下項之一指示:待與其建立一IPSEC VPN隧道之一合作夥伴網路租戶、與合作夥伴網路租戶相關聯且待建立一IPSEC VPN隧道之一位點、一租戶位點處之首碼(允許應用訊務在IPSEC VPN隧道上往返行進於該租戶位點)及可在IPSEC VPN隧道上行進之應用訊務之目的地首碼之至少一者;從合作夥伴網路租戶接收用來建立IPSEC VPN隧道之協定之一指示;及指示第一網路及合作夥伴網路之一或多個裝置在其等之間建立一IPSEC資料隧道。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:從一第一網路租戶接收以下項之一指示:待與其建立一IPSEC VPN隧道之一合作夥伴網路租戶、與合作夥伴網路租戶相關聯且待建立一IPSEC VPN隧道之一位點、一租戶位點處之首碼(允許應用訊務在IPSEC VPN隧道上往返行進於該租戶位點)及可在IPSEC VPN隧道上行進之應用訊務之目的地首碼之至少一者;從合作夥伴網路租戶接收用來建立IPSEC VPN隧道之協定之一指示;及指示第一網路及合作夥伴網路之一或多個裝置在其等之間建立一IPSEC資料隧道。
根據上述條款之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中該政策字串格式係標準化的。
根據上述條款之任一者,其中採用加密。
在傳統網路中,裝置依封包層級對資料作出下一跳躍路由決定。路由協定用來在裝置之間交換路由資訊。然而,區域網路通常需經由各路由協定之網路陳述或再分佈進行手動組態使得可向其他路由同級通知首碼。
根據各項例示性且非限制性實施例,提供一種用於使用一流表來減少及/或消除非對稱工作階段流以至少部分基於傳入訊務之方向判定一轉遞路徑以便消除非對稱流(各方向之流採取兩個不同路徑)及/或封包循環之方法。如下文所述,流表可維持於可組態裝置124處。
網路故障可在一應用流已開始之後導致暫時性或半永久性非對稱性。在本例項中,「非對稱性」指代不同路徑訊務隨著其被發送及接收而在正向及反向上傳遞。在一些實例中,網路非對稱性可不利地影響以回饋為基礎之輸送協定(諸如傳輸控制協定(TCP))之效能。
即使工作階段流方向上之網路路徑不擁塞,相反方向上之擁塞仍可干擾回饋流,從而導致不良效能。此外,排查根本擁塞原因可帶來一問題,此係因為吾人可需要查閱各裝置處之路由表以查看各方向之工作階段流訊務採取哪個路徑。
依「TCP流」層級之非對稱性之分析可導致安全裝置(諸如防火墻)之明顯效能問題及可見性挑戰。裝置需要查看網路上之所有訊務是否適當地運作,但在存在非對稱性時,歸因於再路由並非所有訊務經過裝置。因此,防火墻例如僅可「查看」一側之訊務。
參考圖3A,繪示如同各種節點「B」、「C」、「E」及「F」當中之工作階段流般標記為「A」及「D」之兩個經組態裝置之間的網路流之一實例。如所繪示,網路流之前進次序為A→B→C→D,其中A及D為經組態之裝置。
參考圖3B,圖中繪示其中節點C與D之間的網路鏈路被破壞之一實例。在此一例項中,流可採取一替代路徑C→F→D。因此,從節點
D至節點A之反向流可替代地採取路徑D→F→E→A。在此案例中,在節點A處,可組態裝置124觀察到流透過節點B發送至節點D,但經由節點E從節點D返回。作為回應,節點A處之可組態裝置124可自動地作出一路徑切換決定且開始在其路途上透過節點E依兩個方向將流發送至節點D,因此保留/執行對稱性。應注意,可能存在一轉變週期,其中一流上之封包可接收於兩個路徑上。在該情況下,舊路徑上之封包仍經接收並轉遞至用戶端,而兩個方向上之新封包採取新路徑。此外,繼在作出另一路徑切換決定之前切換路徑之後,採用一等待週期。此有助於避免歸因於轉變中之封包及過時封包之拍打(flap)。
根據例示性且非限制性實施例,可組態裝置124維持以流為基礎之表。以流為基礎之表類似於供舊式路由器162使用來轉遞封包之路由表及轉遞資訊庫(FIB)表。如本文中所使用,「以流為基礎之表」為允許可組態裝置124判定一流依一個方向於哪個介面上轉遞之表。
因此,可組態裝置124可在一經偵測之反向路徑不相同時偵測到一異常上升。經接收之封包可基於一封包之五個值組而被識別為與一給定流相關聯,尤其係:(1)協定;(2)源IP位址;(3)源埠;(4)目的地IP位址;及(5)目的地埠。使用上述參數,每個封包可被識別為屬於一流。
可組態裝置124接著可開始作出使經偵測之異常流正向流移動至一新路徑之決定,因此防止任何進一步流非對稱性。例如源於一應用工作階段之一異常流可在一可組態裝置處予以偵測、映射、監測及儲存(如本文中所述)及/或與一身份(諸如一使用者身份或群組身份)相關聯。例如源於一應用工作階段之一異常流可在一多租戶控制器處予以偵測、映射、監測及儲存(如本文中所述)及/或與一身份(諸如一使用者身份或群組身份)相關聯。
應注意,維持以流為基礎之表及偵測非對稱性之可組態裝置124
獨立於多租戶控制器122偵測非對稱性之方式。以多租戶控制器122為基礎之非對稱性在一較大時間規模上操作且可偵測網路層級非對稱性而非介面(可組態裝置)層級非對稱性。網路層級非對稱性可例如在指派至一位點之首碼「移動」至一新位點且訊務流採取低效且有時非對稱的路徑時發生。
根據例示性實施例,位點可被指派預定首碼,且各可組態裝置124可基於封包上之目的地IP位址且基於已指派至一位點之首碼選擇用來轉遞一給定封包之一路徑集。
在此等例項中,引起非對稱性之一個因素為指派至一位點之首碼可能不正確,或在指派時正確,但歸因於實體底層網路中發生之一些變更變而變得不正確。在此情況發生時,裝置可能選擇一錯誤路徑集,從而導致非對稱性。
藉由觀察流端對端,多租戶控制器122可評測哪些流採取此等低效路徑,其等是否歸因於首碼問題及是否存在警告IT管理者之充足證據及證據強度或持續時間。在一例示性實施例中,一IT管理者可組態多租戶控制器122以採取自動動作。多租戶控制器122接著可再組態首碼以反映被視為其所屬之新位點。
在實施例中,節點處之可組態裝置124依L4-TCP/UDP流層級作出轉遞決定。因此,交叉往來於包含可組態裝置124之一網路之各流進入且離開在一指定路徑上依正向及反向兩者轉遞一指定流之可組態裝置124。因此,保留流對稱性。
在例示性實施例中,可實施以L4流為基礎之表。可在查看一同步封包(SYN)(對於TCP流)時或在查看一新UDP工作階段(先前未知的伺服器-用戶端使用者資料報協定(UDP)異動)時偵測進入一節點之各流。在作出在一網路路徑上轉遞一特定介面上之一流之成功決定之後,發端之可組態裝置124依流層級記住其決定。
在屬於流之訊務經過企業網路內之集線器裝置而不管訊務之最終目的地在何處之情況下,集線器裝置在將訊務轉遞至其目的地伺服器160之前類似地記住訊務到達其流表中之介面。
在來自伺服器160之返回流訊務到達可組態裝置124處時,取代像一典型路由器178那樣盲目地選擇一封包之下一跳躍的是,集線器裝置可查找其流表中之流並將流及其所有封包轉遞於最初從中接收流之相同介面上。
鑑於上述,至可組態裝置124之返回訊務應到達於發送有轉遞訊務之相同網路上且因此到達於發送有轉遞訊務之相同介面上。可組態裝置124可查找其流表中之流並將流及其所有封包轉遞於最初從用戶端接收流之相同介面上。因此,保留對稱性。
在屬於流之訊務直接發送至其他目的地(包含但不限於Ad網路134、內容遞送網路138以及第三方資料及應用140或無法存取一可組態裝置之一網路路徑)之情況下,訊務可不流動通過可組態裝置124。在此等情況下,只要外部網路中不存在網路問題,則至可組態裝置124之返回訊務應到達發送有轉遞訊務之相同網路上且因此到達發送有轉遞訊務之相同介面上。可組態裝置124可查找其流表中之流並將流及其所有封包轉遞於最初從用戶端接收流之相同介面上。因此,保留對稱性。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:偵測一網路上之一資料流及一相關聯發端介面;判定一第一鏈路,在第一鏈路上轉遞資料流;在經判定之鏈路上傳輸資料流;接收一返回資料流;及
若返回資料流經由除第一鏈路外之一鏈路到達,則將一正向返回資料流移動至一新路徑;其中在流上且在一第一封包之後之所有封包在相同於第一封包之路徑上予以轉遞。
根據上述條款之任一者,該方法進一步包括依一L4層級將經判定之第一鏈路儲存於一流表中。
根據上述條款之任一者,其中經由一SYN或一經偵測UDP工作階段偵測資料流。
一種網路化分支裝置,其經組態以:偵測一網路上之一資料流及一相關聯發端介面;判定一第一鏈路,在第一鏈路上轉遞資料流;在經判定之鏈路上傳輸資料流;接收一返回資料流;及若返回資料流經由除第一鏈路外之一鏈路到達,則將一正向返回資料流移動至一新路徑;其中在流上且在一第一封包之後之所有封包在相同於第一封包之路徑上予以轉遞。
根據上述條款之任一者,該網路化分支裝置進一步經組態以依一L4層級將經判定之第一鏈路儲存於一流表中。
根據上述條款之任一者,其中經由一SYN或一經偵測UDP工作階段偵測資料流。
根據上述條款之任一者,該方法進一步包括將以時間為基礎之應用域分類及映射應用於判定步驟。
根據上述條款之任一者,該方法進一步包括模型化應用工作階段及預測頻寬需求。
根據上述條款之任一者,其中經由SYN採用資料流。
經由路由協定實施典型企業廣域網路(WAN)。既有軟體設計網路化(SDN)技術常常在資料中心128(非WAN)中用來將「網路智慧」拉取至一中心控制器,從而在資料路徑裝置上留下簡單轉遞指令。通常,吾人無法將SDN技術用於一WAN環境,此係因為WAN不允許安全網路行為及擴展。
具體言之,不同於其中在控制器與裝置之間存在高容量及彈性連接之以SDN控制器為基礎之解決方案,眾所周知的是WAN係非彈性的,且頻寬可用性係有問題的。因此,(a)使控制器始終將細粒度但「簡單」的指令遞送至裝置係不切實際的且(b)裝置必須甚至在控制器與其自身之間缺乏連接之情況下工作(有時達一延長時間週期)。
典型路由協定交換且使用三種不同類型之資訊:(1)網路段及位址;(2)指示如何連接網路段之資訊;及(3)哪些外部網路段不受路由例項控制。使用此資訊,典型路由器裝置162設置封包轉遞表812以允許封包依其目的地方向從一傳入介面移動至一傳出介面。
根據例示性且非限制性實施例,一多租戶控制器122可用來在演算法上判定並建立可包含轉遞表812之產生及管理之一無迴路資料轉遞模型。如下文更全面所述,此演算法可考量網路故障且調整無迴路資料轉遞模型以考量網路內之資產損失。
如本文中所述,一集中組態之多租戶控制器122可為以下項之產生者及源兩者:(1)網路段及位址;及(2)指示如何連接網路段之資訊。中心多租戶控制器122接著可經由一DC或可組態裝置124發現哪些外部網路段不受路由例項控制。
例如,一DC/可組態裝置124可運行如同邊界閘道協定(BGP)之路由協定以同級於DC中之其他路由裝置/實體。此等其他路由實體可提供關於網路之其餘部分及如何連接其等或如何到達網路位址及段之資訊。若存在一變更(多租戶控制器122可將其保存於一網路DB中),則
DC/可組態裝置124可向多租戶控制器122週期性地報告此資料。相同網路DB亦可儲存多租戶控制器122使用可組態裝置124及例項產生之網路描述。合併資料及網路描述,多租戶控制器可看到整個網路而無需運行一路由協定自身。
多租戶控制器122可將轉遞表812直接設置於經組態之裝置上使得訊務轉遞至正確介面上。
結果得到一無迴路轉遞模型,其中執行各種規則。例如,一個規則可要求輪輻決非轉變點。因此,無法在經組態VPN之間或在私人WAN與經組態VPN之間轉遞訊務。
在一傳統網路中,任何可用介面或電路為用來在路由表允許之情況下將訊務轉遞至一目的地上之一候選。此需要(a)不存在錯誤組態及(b)在網路變更期間,不存在可能突然導致一迴路之替代路徑。傳統網路化嘗試藉由組態防止隨機介面或出口點(諸如輪輻)用來轉遞訊務之「路由再分佈規則」及其他小心選擇之手動約束來防止此一情況。根據本文中所述之實施例,分支裝置152可被限制不允許訊務透過其等轉變,因此消除迴路原因之一個態樣。
一第二規則可要求允許在一可組態裝置124處發生以下轉變:(1)輪輻←→集線器←→輪輻及(2)輪輻←→集線器←→DC/DC轉變/私人WAN。
一旦一分支/輪輻被阻止在如上文所述之網路段之間轉遞訊務,則針對DC/可組態裝置124建立規則。由於DC確實為一訊務轉變點,故需要允許轉變訊務。依此方式,可(a)在系統控制網路段之間及(b)在系統控制網路段與非系統控制網路段之間轉遞訊務。
一第三規則可要求不允許集線器至集線器轉變。雖然一集線器裝置需要允許如上文所述之轉變訊務,但允許兩個DC/可組態裝置124之間的直接訊務轉變亦可導致迴路。此問題可藉由在DC/可組態
裝置124之間使用典型路由協定(舉例而言,諸如BGP)予以解決。然而,該問題亦可藉由防止DC/可組態裝置124之間的直接轉遞及替代地要求DC/可組態裝置124之間的一外部非系統控制網路或非系統控制網路段而予以解決。
最後,一第四規則可要求各集線器始終至多具有用於任何給定IP首碼之一個路徑。此規則用來確保目的地為一首碼之訊務採取一預先計算之路徑而非諸多同樣可用路徑之一者。
因此,多租戶控制器122依一可擴展且可靠的方式自動地產生且管理中等至極大網路中之轉遞表812。
根據各項例示性實施例,可組態裝置124連接可展現如本文中別處所述之實體連接148、邏輯連接150或混合連接。
根據各項例示性實施例,演算法判定及上文所述之一無迴路資料轉遞模型之建立可考量本文中所述之延時問題以及各種形式之非對稱性及各種可能故障狀況。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:判定複數個網路段(包括一網路);判定連接複數個段之一方式;在無一路由協定之情況下至少部分判定網路段及如何連接段;經由與網路相關聯之一集線器裝置發現複數個外部網路段;利用複數個網路段(包括網路)、連接複數個段之方式及複數個外部網路段。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:判定複數個網路段(包括一網路);
判定連接複數個段之一方式;在無一路由協定之情況下至少部分判定網路段及如何連接段;經由與網路相關聯之一集線器裝置發現複數個外部網路段;利用複數個網路段及位址(包括網路)、連接複數個段之方式以及複數個外部網路段來建立至少一個轉遞規則。
一種系統,其包括:一多租戶控制器,其經組態以產生一網路之一網路描述;及一集線器裝置,其形成網路之一部分且經組態以運用至少一個其他裝置執行一路由協定,從而導致網路資訊並將網路資訊傳達至多租戶控制器,其中多租戶控制器經組態以合併網路資訊與網路描述。
根據上述條款之任一者,其中網路拓撲識別、模擬及負載測試受多租戶控制器控制。
根據上述條款之任一者,該方法進一步包括偵測非對稱網路資料訊務及相關聯網路裝置。
根據上述條款之任一者,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
根據上述條款之任一者,其中採用選自由BGP、IS-IS、EIGRP及OSPF組成之群組之路由協定。
根據上述條款之任一者,其中路由至少部分基於一網路首碼類型。
網路資料流之非對稱性可導致效能問題且影響存取該等應用之使用者168。非對稱性亦可導致流感知功能(如同防火墻)失效,此係因為其等可僅能夠偵測一個方向之流。在舊式網路操作中,在產生效能問題時,網路及IT管理者必須排查問題。若問題由非對稱性導致,則管理者通常必須逐個裝置評估網路,以識別可能已在受影響資料流之路徑中之特定裝置,並檢查路由及轉遞表812且接著矯正可能已導
致非對稱性之可能路由組態。此手動程序較慢且可在被執行時干擾網路使用。需要用於監測諸如可由一多租戶控制器122收集之應用及網路資料流並使用此資料來自動地識別非對稱流且識別非對稱資料流可能跨越之網路裝置之方法及系統。
根據本文中所述之本發明之方法及系統,一多租戶控制器122可至少依一網路拓撲資料庫之形式維持一網路拓撲,一網路中之各裝置之入口點及出口點維持於網路拓撲資料庫中且使用此網路資料週期性地運行一演算法以判定非對稱資料流及與此等非對稱資料流相關聯之裝置。如本文中所使用之術語非對稱性包含但不限於頻寬非對稱性、媒體存取非對稱性、路徑非對稱性及損失率非對稱性(例如,一網路拓撲之結構可在依相對於一替代或相反方向之一個方向行進之資料流中產生較大封包損失)。
在實施例中,一經組態之裝置可收集監測資料,諸如關於透過一裝置傳輸之資料流之資訊。此資料流記錄可攜帶關於一裝置上之入口點及出口點之重要資訊。如圖5中所展示,數百萬個此等資料流記錄可從遍及網路之裝置輸出至多租戶控制器122。多租戶控制器122可儲存資訊,包含但不限於一網路拓撲資料庫,其包含關於在各網路裝置上發生之資料流之入口點及出口點及資料流如何互連以及來自網路中之多個裝置之單個資料流之資料流記錄之資訊。
在實施例中,多租戶控制器122可使用經儲存之網路拓撲508及相關資料流資訊來週期性地運行本質上識別透過一個路徑離開一裝置之複數個資料流及在一不同路徑上(即,非對稱性)再進入裝置之返回資料流之存在之一「非對稱偵測」演算法504。在如圖5中所展示之一簡化實例中,一分支B 520可與一輪輻裝置相關聯。一資料中心1 128可具有一集線器裝置1 522,且一資料中心2 128可具有一集線器裝置2 524。繼續實例,起始於分支B 520且意欲用於位於資料中心1中之一
伺服器160之一連接可結束採取至資料中心2之一路徑,且從資料中心2前往資料中心1(例如,歸因於舊式路由原因或歸因於可用於兩個資料中心128處之IP首碼之錯誤組態),且返回訊務接著可從資料中心1直接前往分支B 520。分支B 520在從資料中心1接收訊務之後可立即進行校正,因此正向訊務直接發送至資料中心1。可按需且在多租戶控制器122外進行此校正。例如可由一輪輻裝置向多租戶控制器122報告變更。多租戶控制器122可識別非對稱流,且查看哪些資料中心裝置參與流傳輸(在此實例中其等為集線器裝置1 522及集線器裝置2 524),且推斷流不正確地前往集線器裝置2 524,並報告此情況。多租戶控制器122可識別發生此非對稱性之IP位址範圍,且聚合IP位址範圍並向一使用者(諸如一IT管理者)報告IP位址範圍,使得可在位點上校正IP首碼組態。為了防止誤報,演算法可在宣佈網路中存在非對稱性之前使用額外加權因素,包含其他裝置以及不同應用及其資料流。多租戶控制器122可讀取資料流表以便允許多租戶控制器122判定資料訊務如何外出(例如,資料從一分支152導出)。非對稱性可被偵測到,且多租戶控制器122接著可通知經組態之裝置(如圖5中所展示),且經組態之裝置可採取轉遞行動以改良資料流非對稱性。
根據例示性實施例,本文中所述之用於應用工作階段模型化及頻寬需求預測之此等方法及系統可應用於如上文所述之應用工作階段且可解決本文中所述之各種形式之非對稱性。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:監測複數個網路裝置以收集包括網路上之各裝置之資料流記錄之網路效能資料且產生一網路拓撲資料庫;存取網路拓撲資料庫,該網路拓撲資料庫包括關於各裝置之一
入口點及出口點、連接裝置之方式及來自網路上之多個裝置之單個資料流之複數個資料流記錄之資訊;及利用網路拓撲資料庫來執行一非對稱偵測演算法以識別經由一第一路徑離開一裝置且經由一不同第二路徑返回至裝置之一或多個資料流。
根據上述條款之任一者,其中一控制器經組態以接收資訊且偵測非對稱性。
根據上述條款之任一者,其中偵測至少部分基於延時屬性。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中非對稱性選擇由頻寬非對稱性、媒體存取非對稱性及損失率非對稱性組成之群組。
在傳統上,已使用一應用之域名定義應用及應用資料。然而,此不盡如人意,因為可存在用作至一應用之一入口點之諸多域名變體且不知道所有變體可干擾正確地識別應用。例如,一軟體即服務(SaaS)應用網頁可將調用HTTP應用程式員介面(API)呼叫之小部件嵌入至多個域名,諸如由內容遞送網路138(CDN)提供者域(包含但不限於Akamai、Microsoft Azure及Amazon CloudFront)所用之域名。此等小部件可產生額外訊務,額外訊務在理想狀況下亦應與嵌入其等之SaaS應用604相關聯。
環境亦可影響哪些資料流被視為一應用之部分。例如,在一網頁瀏覽器內打開之一電子郵件應用可具有藉由存取郵件伺服器來產生資料流之視窗,但亦可存在由將內容發送至電子郵件應用之ad伺服器產生之資料流。更具代表性的描述為在被視作為電子郵件應用之應用之部分之資料流內包含此等ad訊務流,此係因為若不包含如同ad訊務之此等其他流,則意欲於支配來自電子郵件應用之訊務之一政策將低
估資料流量。因此,需要能夠將以時間為基礎之凝聚力用作以應用為基礎之資料分類之一判定因素且使用時間叢集式資料流來識別與一應用相關聯之域(包含為用於一應用使用之一高訊務或頻繁使用的入口點之一錨域)之方法及系統。
根據本文中所述之本發明之方法及系統,一多租戶控制器122可從可組態裝置124接收指示哪些域與一錨域相關聯之資料,且將此等域指派至一SaaS應用604使得多租戶控制器122知道並儲存至SaaS應用604之入口點之一較全集。此可有利於量測、監測及路由與一SaaS應用604相關聯之真實資料流,而傳統技術可低估與一SaaS應用604相關聯之訊務,原因在於未辨識實際上產生與一應用相關聯之訊務之域之全集。域類型可包含但不限於高級域608(例如,「.com」)、地域(例如,國家域)及基礎結構域(例如,「.arpa」)。
如本文中所述之術語錨域通常指代SaaS應用604之入口點域。錨域可被視為高級域608且可用來尋找與SaaS應用604相關聯之子域。例如,在存取一錨域之後存取之域可與錨域相關。在一實例中,Office365可具有一入口點域但具有諸多相關域名(例如,server1.office365.com)。在另一實例中,如同Yahoo郵件之一電子郵件應用可使用多個郵件伺服器且亦具有將ad用於來自其他伺服器160之瀏覽器之訊框。多租戶控制器122可儲存此等錨域-域關聯性且一時間距離方法可用來發現與錨域相關聯之域。在一實例中且參考圖6,在繼相同用戶端512存取一錨域之後的一可組態時間週期內存取之域可與錨域相關。相關技術可識別與錨域密切相關之一些域(例如,從瀏覽器視窗中之一不同欄標存取之域)且使此等域與錨域相關聯。被識別為與錨域相關聯之域可發送至多租戶控制器122,且在多租戶控制器122處,進一步處理可經執行以消除誤報並將其等提取至一經校正域集。網路內之一可組態裝置124可偵測一應用之錨域且標記資料源
及偵測時間。在此偵測時間之後,來自相同訊務源之持續資料流可被標記為屬於與錨域相關聯之應用。多租戶控制器122可繼續從可組態裝置124接收關於訊務源之資料,並將資料流分類成例如以下項之一者:i)可屬於應用A之應用B及C;ii)不具有一已知定義且可適於屬於A之未知應用;或iii)可不適於屬於A之應用D及E。資料流之以時間為基礎之凝聚力可用來聚集表現為具有一共同底層SaaS或其他應用之訊務及資料流。此以時間為基礎之凝聚力可允許輔助資料訊務被偵測到且與應用相關聯,諸如存在於一應用(例如,插播廣告)內或結合該應用之ad訊務。
根據例示性實施例,用於以時間為基礎之應用域分類及映射之此等方法及系統可應用於如上文所述之應用工作階段。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:在一裝置處偵測具有一錨域之一應用;用具有存取應用之一入口點域之一訊務源及一偵測時間標記應用;及指定在始於偵測時間之一預定時間內來自訊務流之網路流屬於應用。
一種網路化分支裝置,其包括:偵測具有一錨域之一應用;用具有存取應用之一入口點域之一訊務源及一偵測時間標記應用;及指定在始於偵測時間之一預定時間內來自訊務流之網路流屬於應用。
根據上述條款之任一者,該方法進一步包括模型化應用工作階
段及預測頻寬需求。
根據上述條款之任一者,該方法進一步包括執行異常工作階段識別、隔離及約束。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
至少部分基於可由企業內之使用者群組依極不同方式利用相同企業內之相同應用之事實,計劃基於應用使用之企業頻寬需求及發展用於處置與應用相關聯之資料流之相關聯政策可係困難且不正確的。例如,相同應用可具有產生不同資料流類型之不同操作模式。作為一簡單實例,使用者群組1可使用應用Z來下載匯總財務報告,而使用者群組2可使用應用Z來產生此等報告。在此簡化實例中,不僅在使用時間之方面而且在與應用Z相關聯之資料流之本質及量之方面,使用者群組2為應用Z之一較重度使用者。若此等差異未被發現且用作產生應用設定檔之部分,則此等設定檔可誤算運行一應用所需之網路資源。在跨應用聚合時,問題可係複合的且可導致對預測實際的未來網路頻寬需求不可靠之企業頻寬估計。在另一實例中,對於相同應用,一營銷部中之人員可具有不同於在由來自工程部之人員使用應用時之一使用設定檔。因此,需要一種程序,其識別可協助計劃頻寬容量需求且作出明智政策決定且模型化應用工作階段以判定網路頻寬(其中應用工作階段包含異動型及批量應用及其混合使用)且使用資料挖掘及其他統計技術來預測網路需求及可不利地影響資料流之受限容量之潛在點或其他網路弱點。此一解決方案可識別使用模式之異常且應用必需檢查,選擇適當WAN路徑,且分配適當頻寬容量(基於一應用需要的事物)。
根據本文中所述之本發明之方法及系統,統計及資料挖掘技術可應用於應用使用之動態且持續的特性化,就工作階段而言,出於效
能及預測計劃目的,可改良網路效能。大資料類型分析技術可用來特性化與應用使用相關聯之流。經組態之輪輻裝置可收集此流資料並將其發送至多租戶控制器122。此資料之分析可改良一管理者依據至少以下方面總結應用資源需要之能力:˙兩個方向上之頻寬使用
˙網路回應時間
˙應用回應時間
˙現用及閒置應用工作階段之數目
˙並行應用工作階段之最大數目
分析流資料之結果可依訊務設定檔概要之形式向使用者(諸如網路之IT管理者)報告且提供至輪輻裝置。輪輻裝置繼而可使用訊務設定檔來監測頻寬使用及應用效能。發送至一輪輻裝置之資料可包含但不限於i)基於在控制器處所執行之分析判定之入口頻寬及出口頻寬及ii)應用回應時間。一輪輻裝置可使用此資訊來判定一應用之各種可用路徑之哪者最適於應用。如本文中所述之模型化及其他分析技術亦可用來特性化除流資料外之與應用使用相關聯之資料。用於模型化之參數可包含但不限於應用回應時間、入口頻寬/出口頻寬、伺服器回應時間、異動開始及結束時間、異動大小或一些其他參數。
應用可在廣義上分類成三種類別:異動型應用、批量應用及媒體應用。異動型應用可用由一應用處理之異動之大小及可模型化及特性化之異動之頻率來描述。如同集中性及分類之資料挖掘技術亦可組合地用於微調模型。所得模型可較佳能夠預測一典型應用工作階段之異動之大小及頻率以及應用工作階段之頻率。批量應用本質上消耗提供至其等用於批量資料傳送之任何量之頻寬且通常為檔案傳送應用。此等應用亦可經模型化,但僅用來預測此等應用工作階段之頻率。分成異動型類別及批量類別兩者之應用可經模型化以識別異動型使用週
期對批量使用週期以及異動型異動頻率及批量異動頻率。媒體應用之獨特之處在於其自身觀點。此等應用具有以下類型之特性:a)對延時及抖動敏感;b)可係單向的;c)在雙向時,將表現為具有不同性質之兩個單向流。此等應用之進一步特徵在於在單向基礎上協商及使用之編解碼器之類型。一些例示性編解碼器包含H.264、視訊型Mp4以及音訊型G.711及G.729。此等編解碼器指示在各方向上需要多少頻寬以及延時及抖動需求係什麼。
在實施例中,用來特性化一應用工作階段以及對應網路及頻寬需求之模型化及分析方法亦可用來即時依子通道層級監測一網路頻寬需求(異動型及批量應用類型)且識別並預測頻寬需求趨勢。由於與一應用相關聯之訊務流特性不是靜態的,且單個資料流之特性可隨一工作階段進程變更,故應用頻寬需要之準確量測及預測可需要諸如由如本文中所述之一可組態裝置124執行之即時監測,以偵測使用及頻寬變更。例如,在一應用使用之單個工作階段之一資料流內,可監測到不同行為。例如,從一異動類型資料流移動至一批量類型之應用行為。此外,不同人類使用者168可導致一應用工作階段具有一不同頻寬設定檔。應用版本化亦可影響頻寬(即,利用不同於先前版本之頻寬,近期升級可提供新特徵)。經監測之資料從可組態裝置124發送至多租戶控制器122進行處理。
為了發展一準確應用設定檔,一應用工作階段之一較長時間視窗較佳可允許一多租戶控制器122偵測對頻寬及網路資源需求具有一影響之複數個特性之存在。在單個應用工作階段內,可偵測到複數種訊務類型,諸如:異動型傳送(例如,網際網路142上之人類對人類聊天工作階段);即時傳送;雙向傳送(例如,一VoIP呼叫(低頻寬);視訊呼叫,如同Skype(高頻寬));及/或批量傳送(例如,大檔案共用應用)。訊務可引導於傳輸控制協定(TCP)或使用者圖表協定(UDP)資料
流上。根據一歷史趨勢,可使用統計模型判定一應用及/或子應用之頻寬需要。根據一歷史趨勢,可在各位點、各應用之內容脈絡中使用統計模型計算基線應用異動時間。根據一歷史趨勢,亦可使用統計模型計算媒體應用之封包損失、抖動及MOS分值。
基於應用類型偵測,一多租戶控制器122可分析其依分支152層級從可組態裝置124接收之應用工作階段資料以判定多少頻寬量係適當應用效能所必需的。應用效能分值可用來記錄及調整一應用之頻寬設定檔,其中設定檔狀態效能及頻寬準則(即,一規則)需要在應用工作階段期間所偵測之資料流之類型。在一實例中,應用訊務品質度量(ATQM)為一種類型之效能分值,且其為完成應用異動所需之時間之一度量。為了量測ATQM,根據本文中所述之方法及系統,一經組態之裝置可追蹤用戶端512與伺服器160之間的請求及回應(用於異動型應用)且從一使用者168之觀點判定完成完整異動所需之時間。
對於異動型資料流,可判定基於各方向之異動之週期期間所需之峰值持續頻寬。此判定可基於歷史監測度量。接著可將頻寬記錄於一訊務設定檔中。對於異動型應用,可用各種分佈(如同正態分佈、威布爾分佈或一長尾分佈,諸如帕雷托分佈)模型化異動大小及異動頻率。可使用參數(諸如短時間間隔(例如,數百毫秒或數秒)內之平均/峰值頻寬、異動頻率,且所識別之空間及時間本端化及/或如同集中性及分類之資料挖掘技術亦可組合地用於微調模型。此等模型可用來預測一個應用工作階段之異動之大小及頻率以及藉此預測「n」個工作階段之組合。在一實例中,在一異動開始時,基於所使用之編解碼器,可判定每秒需要3MB。藉由同級至工作階段交握中,可組態裝置124可能夠例如基於網路訊務判定使用哪個編解碼器及依什麼品質進行協商。可組態裝置124可使用此資訊以將資料訊務置於適當資料路徑上例如以避免將一批量下載置於一高速「信道」上。由於惡意軟
體通常執行不適於資料信道之資料流(資料流出現於資料信道上),故此識別可協助可疑資料流之安全性實施及分析。
在資料網路中頻繁的是,一個別應用之單個批量資料流可潛在地消耗所有可用頻寬,但在實踐中歸因於用戶端512及伺服器160之TCP行為、任一端處之套接字緩衝區(socket buffer)及流之頻寬延遲積(BDP),存在可小於總鏈路容量之一最大頻寬。由一多租戶控制器122接收之監測資訊可用來基於資料流類型判定對於一應用流查看之最小、平均及最大頻寬之範圍,且可進行計算並添加至應用之訊務設定檔。多租戶控制器122可認知,一異動型流已至少部分基於訊務分類設定檔變為一批量流且反之亦然,且可至少部分基於所發展之設定檔將應用分類成諸多類別。此可協助對具有複數個功能能力之應用適當地分類。例如,單個應用可實現聊天及視訊會議,聊天為異動型的低頻寬且視訊會議為異動型、即時且高的頻寬。使用者類型可部分判定更可能使用哪個應用態樣、當日時間或一些其他因素。應用之使用者168亦可分類成且併入至應用設定檔(出納員對信貸員等)。一旦一網路中之輪輻裝置使來自多租戶控制器122之應用設定檔可用於其等,則其等可較佳地適於改變資料訊務處理及鏈路容量使用。
根據例示性實施例,本文中所述之用於應用工作階段模型化及頻寬需求預測之此等方法及系統可用於如上文所述之應用工作階段。此外,此等方法及系統可利用如本文中所述之動態自動化QoS定義。
根據例示性實施例,本文中所述之方法可用於如本文中所述之應用。例示性實施例可利用如本文中所述之檔案傳送應用。本文中所述之方法及系統可採用如本文中所述之模型化及分析。其他例示性實施例可將參數用於對如本文中所述之資料流歸類。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:
一種方法,其包括:從一網路化輪輻裝置接收描述至及來自一應用之網路流之資訊;分析資訊以使應用在選自由以下項組成之群組之至少一個方面上特性化:雙向頻寬使用、網路回應時間、應用回應時間、閒置及現用應用工作階段之數目以及並行應用工作階段之最大數目;及將該等方面傳輸至至少一個網路化輪輻裝置作為訊務設定檔資訊。
根據上述條款之任一者,其中該資訊描述L4層級網路流。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:從一網路化輪輻裝置接收描述至及來自一應用之網路流之資訊;分析資訊以使應用在選自由以下項組成之群組之至少一個方面上特性化:雙向頻寬使用、網路回應時間、應用回應時間、閒置及現用應用工作階段之數目以及並行應用工作階段之最大數目;及將該等方面傳輸至網路化輪輻裝置作為訊務設定檔資訊。
根據上述條款之任一者,其中該資訊描述L4層級網路流。
一種方法,其包括:模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一異動型應用以產生一或多個經模型化之參數;及分析經模型化之參數以預測一或多個異動型應用工作階段之一資料流大小及頻率。
根據上述條款之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
一種方法,其包括:
模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一批量應用;及分析經模型化之參數以預測一或多個批量應用工作階段之頻率。
根據上述條款之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
一種方法,其包括:模型化在一網路化環境中依一異動大小及一異動頻率結合一設定分佈操作之一應用以產生一或多個經模型化之參數;至少部分基於模型化,偵測一混合應用訊務特性,其中混合應用訊務特性包括與一異動型應用之至少一個資料訊務特性相關之一第一資料訊務類型及與一成批應用之至少一個資料訊務特性相關之一第二資料訊務類型;及分析經模型化之參數以預測一或多個混合應用工作階段之一資料流大小及頻率。
根據上述條款之任一者,其中該設定分佈選自由正態分佈、威布爾分佈及帕雷托分佈組成之群組。
一種方法,其包括:將關於一應用使用工作階段之網路使用資料從一可組態裝置發送至一多租戶控制器,其中網路使用資料包括與一應用相關聯之一第一類型之資料流及與應用相關聯之一第二類型之資料流;至少部分基於關於應用效能之歷史資料及一相關聯資料流,識別與應用相關聯之第一及第二類型之資料流之各者之一頻寬需求;將頻寬需求儲存於多租戶控制器內作為一應用頻寬設定檔;將應用頻寬設定檔發送至至少一個輪輻裝置;及使用應用頻寬設定檔來路由與應用相關聯之資料流。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上述條款之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上述條款之任一者,該方法進一步包括採用選自由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上述條款之任一者,該方法進一步利用參數來對資料流歸類。
在傳統網路中,指示可用頻寬量之屬性通常係手動指定的且通常不正確及/或過期。此可負面地影響以下因素,諸如路由、訊務工程及服務品質(QoS)控制。需要將鏈路頻寬偵測用於可即時自動化及更新之現用及閒置鏈路之機制。傳統網路通常依一個別介面層級使用QoS標準化控制來管理網路效能,且判定諸如訊務流優先次序之特性。QoS標準化控制包含但不限於整形、監管、隨機早期捨棄(RED)、加權RED、尾丟棄、低延時佇列、公平佇列818及附屬於複數個佇列類型之緩衝。此等控制可用來對訊務分類並根據訊務分類提供例如一以權重為基礎之頻寬分配。在一些實施例中,可由系統依一動態且自動化的方式定義QoS,系統無需使用輸入且進行操作以針對網路狀況及需求調整QoS。然而,最常見的是,在可不同於網路優先級之商業優先級之方面表示企業需要,且在發生衝突時,相比於一商業優先級,傳統控制可更偏愛一網路優先級。例如,一即時時間應用可具有低於一批量應用之商業優先級,然而相比於批量應用,當前技術通常仍將偏愛即時應用。
傳統網路亦可能不允許或促進動態地變更固定佇列、緩衝器、
排程器及整形器154之數目。因此,若新應用需要被添加且其等需要更大數目個較低延時佇列,則將不可能伺服該等應用及實現所需效能。需要用於使用表示為網路政策之商業優先級之方法及系統,網路政策(相比於網路優先級)偏愛商業優先級並執行商業優先級且可藉由動態地增加或減少QoS資源(例如,佇列、緩衝器、整形器154及排程器)以確保商業優先級需要符合政策變更而擴展。
在傳統網路中,具有異動型以及批量功能及相關資料流之混合應用具有傳統網路通常不擅於辨識及調整來適應最佳應用效能之各層級頻寬需求。需要用於至少部分基於一應用之當前操作模式且根據一商業政策識別應用之當前功能能力(例如,在一異動型或批量操作模式中)並調整可用於應用之網路頻寬之方法及系統。此外,需要異常訊務偵測以便使一給定應用之一典型應用工作階段頻寬需求係什麼需求特性化及將分配至應用之頻寬之使用限制於適於允許應用適當地運作之程度。約束頻寬可有利於例如防止阻斷服務(DoS)攻擊,在此期間頻寬需要將超出由一政策指定之許可頻寬臨限值。
在傳統上,已使用一測試回應量測及/或以現用訊務為基礎之估計判定鏈路容量。測試回應可在鏈路閒置時執行且通常在一位點操作「開始」時發生。特定請求可發送至由一企業或一第三方代管之伺服器160,且量測可用頻寬。以現用訊務為基礎之估計指代系統在存在經過鏈路之現用訊務時可藉由其估計可用頻寬之方法。然而,在現用訊務流動通過鏈路時,測試回應量測可係破壞性的且可產生錯誤結果。以現用訊務為基礎之估計依賴於一用戶端512與伺服器160之間的TCP連接之三個關鍵行為:1)若TCP連接之路徑上之任何地方存在擁塞,則將存在封包損失;2)起始使在各方向上交換僅少數封包之一相對較長命TCP連接之一用戶端512將嘗試繼續增大其傳輸資料之速率。若伺服器160發送大量資料,則其將如此做。對於一極長命連
接,用戶端512及/或伺服器160可使用網路狀況應允許之整個鏈路容量;及3)在執行上述行為2之後,若網路利用已達到其極限,則TCP連接將在再次執行行為2之前正確地選定其等鏈路份額。
參考圖7,一網路分支152內之一經組態裝置可在於各方向(來回)上連接至一網路705之每個鏈路上採用一整形器154。如本文中所使用之術語整形器可為一可組態裝置之一組件或獨立於一可組態裝置之一組件。一整形器154為將資料量限於一規定值之一網路假影。例如,若一整形器154在一個方向上設定至10Mbps,則其將不允許在該方向上大於10Mbps,不管在該方向上嘗試多大速率。若嘗試發送大於10Mbps之速率,則整形器154將丟棄封包以保持速率處於10Mbps。擁塞控制演算法(例如,Reno及二進位增長擁塞控制(BIC))可用於頻寬估計。對於閒置鏈路,可依類似於一網際網路速度測試之一方式執行估計。對於現用鏈路,可透過連續監測及校正判定鏈路容量。在一實例中,鏈路可具有如本文中所述之控制多少訊務可置於鏈路上或從鏈路接收之一入口及出口整形器154。可丟棄超出整形器154之極限之任何訊務。可由頻寬估計邏輯設定一整形器之極限。在開始時,此極限可設定至「無限」或一極大值。頻寬估計可週期性地考量每個整形器154之兩個輸入:(a)整形器154處之已丟棄封包之計數[DROP-SH];(b)歸因於鏈路上流之收集之擁塞所致之已丟棄封包之計數[DROP-CNG]。頻寬估計邏輯可「搜尋」適當鏈路容量,如圖8A中所描繪。若無DROP-CNG,但DROP-SH在整形器154處被偵測到達連續兩分鐘,則在一個實例中,結果可為使鏈路頻寬增大達5%。在另一實例中,若DROP-CNG被偵測到達連續兩分鐘,則鏈路頻寬可設定為當前鏈路頻寬之95%(對此之一個預期可在一啟動/起始階段中,其中鏈路頻寬=當前鏈路頻寬之80%以允許較快收斂)。在另一實例中,若無事物被偵測到達兩小時以上,則鏈路頻寬可增大達5%。
根據如本文中所述之方法及系統,此等丟棄可被偵測到且若在一段時間週期(例如,120秒)內存在此等丟棄,則系統可宣佈其已在整形器154處偵測到可執行丟棄(DROP-SH)。分支152處之經組態裝置亦可監測可在TCP連接上發生之封包再傳輸。封包再傳輸可指示封包損失(因此其可再傳輸)。然而,封包損失可歸因於諸多狀況(其中一些並非歸因於一般網路擁塞)而發生。例如,至堪薩斯州中之一特定伺服器160之TCP連接可查看封包再傳輸但其他TCP連接無法查看。此極可能歸因於堪薩斯州中之一伺服器160之問題或接近伺服器160之網路之問題。為了避免誤報,本文中所述之系統及方法可全面地監測跨所有連接之封包再傳輸,評測查看封包再傳輸之應用之數目,且(在一個假想實例中)在180秒之一移動時間視窗內執行此等操作(每隔10秒處理一次)。因此,180秒之時間視窗每隔10秒移動「恰好」10秒。在另一實例中,若十二個此等連續量測指示例如該裝置處之當前現用應用之三分之二以上查看封包再傳輸,則系統可宣佈其已在該鏈路上之網路528中偵測到可執行擁塞。此擁塞導致之封包損失(DROP-CNG)可導致封包再傳輸。運用DROP-SH及DROP-CNG,系統可例如執行以下項:
若在網路中不存在擁塞且存在從整形器154處之丟棄可知之更多利用需求,則可藉由放寬整形器154極限來執行對增大鏈路容量之一嘗試。若在網路中存在擁塞,則可藉由減小整形器154極限來實施鏈路上所推送之資料之速率之一減小。結果可為對於各TCP連接調整至新設定且在一設定時間週期之後,在整形器154處選定新可用容量。
根據本文中所述之本發明之方法及系統,可基於與訊務相關聯之商業優先級添加或刪除整形器154。此可動態地例如基於應用需求予以執行,其中在符合維持於一多租戶控制器122處之一政策之情況下實行動態執行。可藉由自動地且動態地、近即時估計鏈路容量來完成以效能為基礎之路由。
可至少部分基於一商業優先級對網路訊務分類,且可至少部分基於經指派之商業優先級判定至在一網路上運行之複數個應用之頻寬
分配。一網路管理者可產生多個商業優先級並對各商業優先級指派一優先次序及/或排序。在一實例中,一較低數字之優先次序可被視為一較高優先級。例如,一管理者可產生4級「鉑」、「金」、「銀」及「銅」且對其等賦予優先次序10、20、30及40。如同Office365之重要應用可獲得一鉑、高優先排序,而娛樂性應用(諸如YouTube)可為最低優先排序。一管理者亦可在優先級之間提供一定百分比之頻寬分配(例如,鉑分配50%,金分配30%等)。一經組態之裝置可首先偵測各應用資料流之網路類型(例如,即時、批量或異動型)。經組態之裝置可對於各商業優先級產生多個佇列(例如,嚴格優先佇列814、公平佇列818及異常佇列820)。一嚴格優先佇列814例如可為用於發送延時敏感即時訊務(例如,語音)之一佇列。若訊務存在於佇列中,則可在伺服其他佇列(例如,公平818或異常820)之前伺服該佇列。公平優先佇列818之實例包含但不限於攜帶異動型或批量訊務之佇列,諸如網路應用或檔案下載。可依循環方式尋找此等佇列連同異常佇列820。異常佇列820為攜帶展示異常頻寬消耗行為之應用(例如,極少消耗10Kbps以上之一聊天應用開始消耗其規則消耗之5倍)之訊務之佇列。一異常佇列820可用於將超出以其等訊務設定檔為基礎之頻寬達一大裕度之流。一整形器154可用於異常佇列820前方以確保異常流不影響可用於其他流之頻寬。異常佇列可具有限制此等異常行為應用所允許之最大頻寬之一整形器154。佇列數目及各佇列緩衝量可基於使用當前數目個資料流及其網路類型之一公式。公平佇列818可分成用於異動型訊務之公平佇列818及用於批量訊務之公平佇列818。
在實施例中,即時訊務流可指派至即時佇列,異動流可指派至異動型公平佇列,且批量流指派至批量公平佇列818並受一多租戶控制器122引導,如本文中所述。從異動流變更至批量流且反之亦然之一流可動態地移動至正確佇列。一經組態之裝置可根據商業優先級使
用一整形器154。此經組態之整形器154可設定至為跨當前對立於嚴格佇列814、公平佇列818及異常佇列820之佇列之應用流之總估計頻寬之總和。若管理者已跨商業優先級賦予一定百分比之頻寬分配,則可使用此經組態之整形器154。管理者可動態地添加或刪除一商業優先級。此繼而可用來動態地添加或刪除商業優先整形器154及佇列。一商業優先排程器可「汲取」訊務。如在此內容脈絡中所使用,「汲取」指代移除位於一佇列中之一封包且跨複數個商業優先佇列之佇列將封包從一介面發出。排程器可使用利用佇列之商業優先級及網路類型之一組合來決定如何汲取訊務之一演算法。此演算法可確保若介面具有充足頻寬,則具有即時網路類型之一較低商業優先級將繼續具有令人滿意的效能,同時不影響屬於一較高商業優先級之即時、批量或異動應用流之效能。若充足頻寬不可用於兩個商業級,則商業優先排程器演算法可偏愛較高商業優先級之流。演算法可在存在一個以上商業優先級時使用一類似方法。
在實施例中且參考圖8B,被視為足夠用於一商業優先級之頻寬可為即時流頻寬量、異動型流之持續峰值頻寬及批量流之最小持續頻寬之總和。此資訊可存在於一應用之訊務設定檔中。在一商業優先級內,即時流可被賦予一較高優先級,接著係異動型流,再接著係批量流。異動型流與批量流之間的優先級可不是嚴格814,而是可替代地以權重為基礎,其中對異動流提供一較高權重但對批量流提供非零權重。然而,即時流可具有嚴格814優先級且首先被汲取。一演算法可考量動態地變更網際網路鏈路之鏈路頻寬且亦考量由一管理者在商業級之間設定之百分比分配規格。動態演算法監測可雙向地用於各WAN介面。動態演算法監測可在WAN介面上之出口方向上應用於前往WAN之WAN訊務。動態演算法監測亦可在朝向LAN之出口方向上應用於來自WAN之WAN訊務,且經組態之裝置可能夠依一被動方式
且在不引入額外資料訊務之情況下監測頻寬使用以便測試頻寬(即,經組態之裝置不添加擁塞)。
在實施例中,經組態之輪輻裝置可依合理或設定時間週期調整頻寬佇列以確保提供至一應用之所有工作階段之頻寬與應用工作階段之需要匹配,同時符合商業級。例如,若一P1應用存在10個工作階段且各工作階段需要10Kbps,則可調整頻寬佇列使得100Kbps提供至該應用,但前提係頻寬可用於P1應用之其餘部分,且由所有P1應用使用之頻寬之總份額不超出某個百分比。若相同應用之工作階段之數目增大至50,則可調整頻寬佇列使得500Kbps提供至該應用,同時仍滿足其他約束。經組態之裝置可取決於所消耗頻寬之量偵測異常應用工作階段,且可將該等工作階段移動至一異常佇列820,其中提供至此等應用工作階段之頻寬係受限的。
根據例示性實施例,本文中所述之用於異常應用工作階段識別、隔離及限制之此等方法及系統可應用於如上文所述之應用工作階段。此外,此等方法及系統可利用如本文中所述之動態自動化QoS定義。本文中所述之方法及系統可採用如本文中所述之模型化及分析且使用如本文中所述之QoS標準化控制。其他例示性實施例可將參數用於對如本文中所述之資料流歸類。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:在具有一入口整形器及一出口整形器之一指定現用鏈路上將一經調諧之請求發出至在一正向路徑及一返回路徑兩者中利用一鏈路容量至一定程度之一伺服器;判定現用鏈路之一鏈路容量;監測現用鏈路;及
在超出入口整形器及出口整形器之至少一者之一極限時丟棄經由現用鏈路行進之任何訊務。
一種方法,其包括:在具有一入口整形器及一出口整形器之一指定現用鏈路上將一請求發出至在一正向路徑及一返回路徑兩者中利用一鏈路容量至一定程度之一伺服器;判定現用鏈路之一鏈路容量;監測現用鏈路;至少部分使用頻寬估計邏輯判定入口整形器及出口整形器之一極限;及在超出極限時丟棄經由現用鏈路行進之任何訊務。
一種方法,其包括:接收複數個商業優先級;偵測與一網路中之複數個應用資料流之各者相關聯之一網路類型,其中網路資料流類型選自由即時網路資料流、批量網路資料流及異動型網路資料流組成之群組;對於複數個商業優先級之各者產生複數個嚴格優先佇列、公平佇列及異常佇列;及將即時網路資料流指派至即時佇列,將異動型網路資料流指派至公平佇列且將批量網路資料流指派至批量公平佇列。
一種方法,其包括:在一經組態之輪輻裝置處依一預定時間間隔監測一應用(包括一應用工作階段)之一頻寬;及調整頻寬使得頻寬與應用工作階段之一需求匹配同時滿足一或多個經定義之商業優先級之需求。
根據上述條款之任一者,該方法進一步採用一使用者或裝置身
份至一網路層級身份之一以多租戶控制器為基礎之映射。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中路由至少部分基於一動態且自動化的QoS定義。
根據上述條款之任一者,該方法進一步包括採用選自由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上述條款之任一者,該方法進一步包括採用選自由以下項組成之群組之QoS標準化控制:整形、監管、隨機早期捨棄、尾丟棄、低延時佇列、異常佇列、公平佇列及緩衝。
根據上述條款之任一者,該方法進一步利用參數來對資料流歸類。
在傳統上,網路訊務工程基於目的地IP位址及/或一源IP位址,但不基於較高級使用者或裝置身份。以使用為基礎之政策之產生可允許一企業使用存取一應用之一使用者168之身份執行網路政策。例如,現用目錄(AD)904可用作使用者168及群組身份資訊之一源。需要用於藉由以下步驟來執行一以使用者168或使用者群組為基礎之政策之方法及系統:將IP至使用者事件912、914映射至一輪輻位點(其中此等事件從可存在於多個其他位點中之多個元件導出)且依網路層級使用較高級身份執行一管理者需要用來將較高級使用者168及/或裝置身份映射至網路層級身份之政策。如本文中所使用之網路層級身份可關於L2(MAC位址、VLAN標記)及/或L3身份(IP位址)及/或L4身份(例如,TCP埠號、UDP埠號)。
根據本文中所述之本發明之方法及系統,一中心多租戶控制器122可用來收集關於在一網路上運行之一應用之使用者168之身份資訊,且使用一水平可擴展演算法來保持追蹤變更的身份資訊使得多租
戶控制器122可保持更新一政策,使得多租戶控制器122可執行以使用者168為基礎之網路政策且提供準確的以使用者168為基礎之網路化及應用監測資料。在實施例中,多租戶控制器122可用來收集IP至使用者映射事件912、914且可在多租戶控制器122內使用一水平可擴展演算法來決定哪個輪輻位點需要一事件。基於此資訊,多租戶控制器122接著可將映射分配至位於正確輪輻位點中之輪輻裝置。一輪輻裝置可使用IP至使用者映射912、914來識別一特定應用流屬於哪個使用者168或使用者群組。多租戶控制器122接著可對該資料流執行一以使用者或使用者群組為基礎之政策。輪輻裝置及集線器裝置支援諸多角色,包含但不限於使用DNS發現AD[DNS角色]及使用與AD進行通信之輕量級目錄存取協定(LDAP)追蹤使用者168及群組身份之變更[LDAP角色]。
在實施例中,一多租戶控制器122可運行稱為身份管理(IDM)服務902之水平可擴展服務。對於一給定租戶,多租戶控制器122之IDM服務可選擇一組元件並指示其等運行DNS角色且發現企業中之所有AD域及AD伺服器清單。DNS角色可持續監測AD域之添加及刪除、AD伺服器之添加/刪除及AD伺服器之IP位址之變更。DNS角色可保持向多租戶控制器122之IDM服務及IDM服務902通知此等變更。多租戶控制器122可向租戶管理者呈現AD域及AD伺服器之清單且請求使用LDAP及Windows管理規範(WMI)與AD伺服器進行通信之憑證。WMI為由Microsoft AD伺服器支援之一通信協定。Windows AD伺服器外部之裝置可使用此協定來與Windows AD伺服器進行通信且獲得關於Windows AD伺服器上之事件(包含登錄及登出事件)之資訊。對於各AD域,多租戶控制器122之IDM服務可選擇在一集線器位點處且將運行LDAP角色以使用LADP與AD域之一或多個AD伺服器進行通信之一元件。多租戶控制器122可使用一特定演算法來決定哪個集線器位點
係最佳集線器位點(其元件應運行LDAP角色)且亦判定在與AD伺服器進行通信之集線器位點元件中是否存在多個元件及涉及哪些AD伺服器。演算法可最小化對AD伺服器之負載,跨集線器裝置元件實現公平負載分佈,且容納至LAN而非WAN之LDAP通信。運行LDAP角色之元件可導出基本資訊,諸如使用者168及群組之全名、AD數字ID、AD字串ID或一些其他類型之識別資訊。出於執行一政策之目的(例如,使用者168或使用者群組用於一政策之身份欄位)且出於監測及排查之目的(例如,使用者168存在於具有一可組態元件之一輪輻位點中),可對多租戶控制器122想要追蹤之該等使用者168及使用者群組這樣做。
在實施例中,一多租戶控制器122可使一既有使用者168或使用者群組身份用於一IT管理者使得管理者可將其等用於一政策。多租戶控制器122可針對各AD身份產生一單獨的以控制器為基礎之ID且進一步將其ID之一映射保持於AD中。多租戶控制器122可將一政策發送至各元件,且替代AD身份的是,向下發送其已在本端產生之ID。此ID接著可供各元件用來執行政策。出於報告及監測之目的,多租戶控制器122之IDM服務902亦可使AD資訊用於一統計及分析服務,使得其可顯示關於使用者168之使用者全名及AD資訊。以身份之為基礎之政策之此等方法及系統之優點可包含但不限於:1)將使用者身份用於政策可改良WAN訊務工程之效能及順從性;2)多租戶控制器122可最佳化用於監測使用者/群組身份添加、刪除及變更之元件至AD較佳通信路徑之映射(多租戶控制器122可跨每家企業之數百個AD源及數百個元件且跨數千家此等企業按一定規模完成此);及3)多租戶控制器122對演算法之使用可允許一水平可擴展控制器服務且此具體地最小化WAN上之LDAP訊務。各可組態元件可支援使用與AD[WMI角色]進行通信之Windows管理規範(WMI)追蹤安全登錄事件之一角色。安全登
錄事件可包含關於使用者名稱及IP位址之資訊。
在實施例中,一多租戶控制器122可運行一水平可擴展服務IP至位點映射(ISM)服務903。對於一給定租戶,多租戶控制器122之IDM服務可選擇一組元件並指示其等運行DNS角色且發現企業中之所有AD域及AD伺服器清單。DNS角色可持續監測AD域之添加及刪除、AD伺服器之添加/刪除及AD伺服器之IP位址之變更,且保持向控制器之IDM服務902及IDM服務902通知此等變更。多租戶控制器122可向租戶管理者呈現AD域及AD伺服器之清單且請求與AD伺服器之WMI進行通信之憑證。多租戶控制器122可運行一演算法以決定哪個元件(來自所有輪輻及集線器元件)將運行將聯繫特定AD例項之WMI角色。演算法可使用關於由各AD伺服之子網/首碼、一位點之所發現本端首碼位點之資訊,且選擇一輪輻或集線器元件以運行WMI角色使得其可獲得必需的安全登錄事件。演算法可識別正確AD,容納至LAN之WMI通信並在WAN上最小化通信,且應付AD故障。
在實施例中,使用WMI與AD運行WMI角色之可組態元件可接收指示IP及AD使用者字串ID以及AD使用者數字ID之特定AD登錄安全事件,且將一IP至使用者映射事件912、914發送至多租戶控制器122之IP至使用者映射(ISM)服務903。在一實例中,一可組態元件上之一WMI角色可使用WMI從AD接收一AD安全事件(登錄事件)。此事件可包含已登錄至AD中之使用者168之IP位址及AD ID及名稱。WMI角色接著可使用此資訊形成一訊息,且此訊息可稱為IP至使用者映射,且將訊息發送至多租戶控制器122之ISM服務903。ISM服務903可運行建置一以資料為基礎之查找方法之一演算法,該方法使用位點之所發現本端首碼集915以及IP至使用者映射事件912、914中之IP位址來產生一IP至位點映射916。ISM服務903使用此IP至位點映射916來決定一給定IP至使用者映射事件912、914應發送至哪個輪輻位點。ISM 903可
將AD使用者ID變更至IP至使用者映射事件912、914中之一多租戶控制器122使用者ID(其與一感興趣政策中之使用者ID匹配)。ISM 903亦可將群組ID添加至使用者所屬之所有群組之事件。ISM 903可將豐富IP至使用者映射事件912、914發送至正確輪輻位點且亦將此IP記錄為屬於多租戶控制器122資料庫中之使用者。各資料庫入口可具有一有效週期30天(或某個其他時框),在此之後入口被清除。
在實施例中,輪輻元件可使用從ISM 903服務獲得之IP至使用者映射事件912、914來建置一IP至使用者ID及IP至群組ID快取記憶體。對於各傳入應用流,此快取記憶體可用來判定流之使用者168及群組ID且使用此ID來查找政策並執行政策。在輪輻元件產生流之流統計時,流統計可包含作為流統計記錄之部分之使用者168及群組ID且將ID發送至一多租戶控制器統計服務。多租戶控制器統計及分析服務可儲存具有使用者168及群組ID資訊之統計記錄,且對一特定使用者168或群組提供監測及排查資訊。多租戶控制器122可從多個元件收集所有IP至使用者映射事件912、914並將其等映射至具有需要消耗該事件以在資料路徑上執行政策之一元件之最終位點。多租戶控制器122可映射哪個元件應與哪個AD進行通信作為IP至使用者事件源。多租戶控制器122可跨每家企業之數百個AD源及數百個元件且跨數千家此等企業進行擴展。演算法之使用可允許一水平可擴展之多租戶控制器服務,其消除WAN上之WMI訊務且減少WAN上之IP至使用者映射訊務量。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:在一控制器處執行一水平可擴展服務身份定義管理器(IDM)服務;
將現用目錄(AD)域映射至WAN網路元件DNS角色及LDAP角色;指示與一租戶相關聯之複數個網路元件使用DNS角色發現一企業中之複數個AD域及AD伺服器;從運行DNS角色之複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求使用LDAP與經添加之AD伺服器進行通信之憑證;及執行一演算法以判定哪個元件將聯繫特定AD例項以最小化在WAN上發生之輕量級目錄存取協定(LDAP)訊務量並確保在任何一個網路元件出故障之情況下仍可聯繫AD例項;在現用目錄伺服器中藉由使用網路元件上之LDAP角色來監測一網路使用者之至少一個身份(使用者或群組)之變更;及在一多租戶控制器處至少部分基於AD域中之使用者身份之映射更新一政策,其中變更的身份資訊之追蹤經實施為一水平可擴展服務,即身份定義管理器服務。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:在一控制器處運行一水平可擴展服務身份定義管理器(IDM)服務;將現用目錄(AD)域映射至WAN網路元件DNS角色及LDAP角色;指示與一租戶相關聯之複數個網路元件使用DNS角色發現一企業中之複數個AD域及AD伺服器;從運行DNS角色之複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一
IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求使用LDAP與經添加之AD伺服器進行通信之憑證;及執行一演算法以判定哪個元件將聯繫特定AD例項以最小化在WAN上發生之輕量級目錄存取協定(LDAP)訊務量並確保在任何一個網路元件出故障之情況下仍可聯繫AD例項;在現用目錄伺服器中從LDAP角色之網路元件接收一網路之至少一個身份(使用者或群組)之變更;及在一多租戶控制器處至少部分基於AD域中之使用者身份之映射更新一政策,其中變更的身份資訊之追蹤經實施為一水平可擴展服務,即身份定義管理器服務。
一種執行DNS角色及LDAP角色之網路元件,其經組態以:從一中心多租戶控制器IDM伺服器獲得關於在使用DNS角色中哪些域用來發現AD伺服器之指令;使用DNS角色發現指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊並將此資訊傳輸至多租戶控制器IDM服務;從多租戶控制器IDM服務接收使用LDAP與所發現AD伺服器進行通信之憑證;及在現用目錄伺服器中藉由使用網路元件上之LDAP角色監測一網路使用者之至少一個身份(使用者或群組)之變更並將此等變更傳輸至多租戶控制器IDM服務。
一種方法,其包括:在一控制器處執行一水平可擴展服務IP至位點映射(ISM)服務;指示與一租戶相關聯之複數個網路元件發現一企業中之複數個AD域及AD伺服器;
從複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求使用WMI與經添加之AD伺服器進行通信之憑證;執行一演算法以判定哪個元件將聯繫特定AD例項以便容納LAN上之WMI通信且最小化WAN上之WMI通信;使用網路元件上之WMI角色監測包括一IP位址、一使用者AD ID及一使用者名稱之AD伺服器安全登錄事件;將登錄事件轉換為IP至使用者事件並將此等事件傳輸至控制器中之ISM服務;使用ISM服務來將此等IP至使用者事件映射至正確輪輻位點;將具有包括一或多個使用者群組ID之豐富資訊之事件發送至輪輻位點中之元件;及使用輪輻位點處之豐富IP至使用者事件以基於使用者及群組ID執行政策且用使用者及群組資訊使流及應用統計豐富化。
一種用於跨複數個分佈式計算環境控制複數個資產之可集中控制之多租戶控制器,其中該控制器經組態以:在一控制器處執行一水平可擴展服務IP至位點映射(ISM)服務;指示與一租戶相關聯之複數個網路元件發現一企業中之複數個AD域及AD伺服器;從複數個網路元件接收指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊;將經接收之AD域及AD伺服器傳輸至一租戶管理者並請求使用WMI與經添加之AD伺服器進行通信之憑證;執行一演算法以判定哪個元件將聯繫特定AD例項以便容納LAN上之WMI通信且最小化WAN上之WMI通信;從元件接收含有使用者IP位址、使用AD ID及使用者名稱之複數
個AD伺服器安全登錄事件;將此等登錄事件轉換為IP至使用者事件並將此等事件傳輸至控制器中之ISM服務;使用ISM服務來將此等IP至使用者事件映射至正確輪輻位點;將具有包括一使用者群組ID之豐富資訊之此等事件發送至輪輻位點中之元件;及使用輪輻位點處之豐富IP至使用者事件以基於使用者及群組ID執行政策且用使用者及群組資訊使流及應用統計豐富化。
一種方法,其包括:從一中心多租戶控制器之IDM服務獲得使用DNS角色發現一企業中之複數個AD域及AD伺服器之指令;將指示選自由AD域組成之群組之網路屬性之變更、AD伺服器之添加及削減以及AD伺服器之一IP位址之變更之資訊傳輸至一多租戶控制器IDM;從多租戶控制器接收使用WMI與經添加之AD伺服器進行通信之憑證;使用WMI角色監測包括一IP位址、一使用者AD ID及一使用者名稱之AD伺服器安全登錄事件;及將登錄事件轉換為IP至使用者事件並將登錄事件傳輸至一控制器中之一ISM服務。
一種方法,其包括:在一輪輻位點處從一多租戶控制器之IP至位點映射服務接收豐富IP至使用者事件以至少部分基於一使用者及一群組ID執行政策;及用使用者及群組資訊使流統計及應用統計豐富化。
根據上述條款之任一者,該方法進一步利用一網路身份類型。
運用傳統網路,網路變更可包括一主要事件。通常,試圖在所
計劃之「過期」視窗期間實施所計劃變更。此外,通常盲目地作出變更,其中可接受人員對事物之「祈求」。無論如何,此等變更係必要的。例如,一新應用需要轉出且網路必須經調整以允許、適應、控制及路由應用訊務。
一網路中之變更計劃及執行更像藝術而非科學,此歸因於:(1)網路複雜度;(2)網路之端-端視圖及控制之缺乏;及(3)對應用需要及需求之瞭解之缺乏。
此網路計劃不是全新的。然而,此計劃通常超出管理網路中之裝置之網路管理工具之能力範圍外。此計劃通常在與真實網路隔離之情況下執行且係複雜的,結合過時資料工作,且需要從一所計劃視圖轉譯以實現網路變更。
根據例示性且非限制性實施例,提供一種用來集中地檢視及控制網路拓撲、拓撲中之可組態裝置124及政策應用以解決網路管理之操作需要之多租戶控制器122。一多租戶控制器122可用來識別並映射一網路之拓撲且使用網路視圖來判定網路資產之最佳政策及裝置使用。
如本文中更全面所述,實施一三部解決方案。首先,從一使用者互動觀點簡化網路528且不存在待組態之路由協定及路由轉譯。其次,始終可使用受控制網路528之一端對端視圖。最後,所述解決方案至少部分基於對應用之一瞭解予以建置且因此使得一網路之應用能夠具有一原生能力。
根據例示性實施例,多租戶控制器記錄指示所有裝置及應用定位於何處之資料。如下文更全面所述,此提供全域知識且允許提供假定性案例。因此,一顧客可直接查詢多租戶控制器122以查看哪些裝置及應用常駐於網路704中。
例如,一網路528支援450個位點且希望添加一第451個位點。此
變更將如何影響訊務封包之路由拓撲及流?根據例示性實施例,在添加一新位點時,在多租戶控制器122處更新網路拓撲變更。由於多租戶控制器122已存取HTTP流,故可查詢多租戶控制器122以例如展示位點之間的所有路徑且模擬網路功能。多租戶控制器122可已存取其網路拓撲圖中之頻寬及鏈路。各鏈路之利用亦可經聚集及儲存以供多租戶控制器122存取。
根據例示性且非限制性實施例,多租戶控制器122可模擬一網路528之變更之效應。多租戶控制器122可保持追蹤網路528中之所有裝置之所有組態(裝置、介面、能力、政策及更多)。組態管理可係即時的或近即時的以確保最小資料延時。
多租戶控制器122亦可保持關於訊務類型、訊務負載及應用統計之大量監測資料。多租戶控制器122亦可允許產生「空置」或假想位點,尤其係不真實但例如正計劃之位點。
在一例示性實施例中,可透過具有檢視經投影訊務流、鏈路及DC裝置之容量需要以及透過來自傳統高成本網路連接之訊務卸載帶來之商業影響之能力之多租戶控制器122模擬將一新「位點」或裝置添加至網路528之效應。
根據此等實施例,網路管理者可提供:(a)位點類型;(b)至位點之所計劃連接;(c)位點之所計劃政策;及(d)位點處之預期數目個終端使用者168。如本文中所使用,位點類型通常指代輪輻(遠端分支152)、集線器(資料中心128)或服務(其中存在某些網路服務但此等位點不同於一傳統DC或分支152)。
使用此等輸入及多租戶控制器122已從網路528存取之額外資料,多租戶控制器122可提供新計劃位點另加已在網路528中之所有既有位點之一整合視圖,並且評測新計劃位點之路由效應、訊務流效應及政策效應,就像新計劃位點已在網路528中一樣。
為了估計對應用及其訊務之一影響,多租戶控制器122可使用從已受控制及管理之顧客網路中之類似位點收集之任何可用的既有統計及監測資料。
此資料之實例包含但不限於:(1)應用之類型及本質;(2)使用者168或代替使用者168之其他資料之數目,舉例而言諸如每秒流數、總同時應用工作階段及流之數目;(3)進入及離開此一位點之資料之峰值及平均量以及此度量之週期;(4)來自具有地理及連接類似性之一位點之應用所查看之經量測應用效能、網路連接延時及封包損失;及(5)對鏈路/連接之經組態且經量測可用頻寬、來自類似提供者之此等鏈路之可用頻寬之每日或其他週期變量(此係因為一顧客通常涉及跨諸多位點之相同提供者)。
如下文更全面所述,可基於從各種類型之位點收集之資訊存取應用設定檔。應用設定檔包含頻寬、延時及抖動需求。此外,可存在基於從各種位點收集之資訊之經儲存且可存取的使用者(群組)設定檔。使用者設定檔可包含以下資訊,諸如:(a)屬於一群組之一典型使用者168消耗哪些應用;及(b)一使用者168存取哪些應用之典型時間係何時。使用此資訊,吾人可估計若管理者可告知哪種類型之使用者(群組)將前往位點處則一新位點將需要什麼連接,及其中多少連接可能發生等。
可使用具有檢視經投影訊務流、鏈路及DC裝置之容量需要以及透過來自傳統高成本網路連接之訊務卸載帶來之商業影響之能力之多租戶控制器122模擬添加或變更網路中之一政策之效應。在計劃添加或變更一政策時,網路管理者提供(a)待添加/變更之政策及(b)其意欲於應用變更之位點。運用此等輸入及多租戶控制器122已從網路528存取之額外資料,多租戶控制器122可提供新計劃位點另加所有既有位點及其應用位點之一整合視圖,並且評測路由效應及訊務流效應,就
像新計劃位點已在網路528中一樣。
為了估計對應用及其訊務之一影響,多租戶控制器122可使用從已受控制及管理之顧客網路中之類似位點收集之任何可用的既有統計及監測資料。除上文所述之統計外,多租戶控制器122可進一步考量以下估計:如何遠離一鏈路移動流或如何將流移動至一鏈路,或目的地如何開放,如何使鏈路擁塞及如何移除或添加至一位點處之負載。例如,若至office365.com之訊務經過一DC且接著至網際網路142,則對一位點添加一政策以將此訊務直接發送至office365.com而無需經由DC發送訊務可闡釋DC處之鏈路負載及擁塞可如何變化。
根據其他例示性實施例,可透過具有檢視經投影訊務流、DC裝置處之容量需要以及透過來自傳統高成本網路連接之訊務卸載帶來之商業影響之能力之多租戶控制器122模擬添加新頻寬/容量與額外網路連接(如同一新網際網路鏈路)之效應。在計劃將一新鏈路或網路容量添加至一位點或一組位點時,網路管理者提供(a)位點及(b)將添加至位點之網路鏈路。運用此等輸入及已自網路528存取之額外資料,多租戶控制器122可提供新計劃網路連接另加已用於位點處之所有既有鏈路之一整合視圖,並且評測新計劃網路連接之路由效應、訊務流效應及政策效應,就像新網路連接已在位點中一樣。
為了估計對應用及其訊務之影響,多租戶控制器122可使用從已受控制及管理之顧客網路中之類似位點收集之任何可用的既有統計及監測資料。
如本文中參考各項例示性實施例所述,估計可經執行以預測網路變更對應用及相關網路訊務之影響。在所有此等實施例中,可利用各種輸入。例如,可利用之一第一輸入包含一網路之拓撲。如本文中別處所述,可在多租戶控制器122處合成拓撲。一網路之拓撲可提供以下項之一樹圖表示:可組態裝置124;透過MPLS 144(私人WAN)、
網際網路142(公共WAN)之連接;及私人WAN及公共WAN上之以IPSEC為基礎之VPN方法。多租戶控制器122亦可基於從分支處之可組態裝置124輸出之資訊區別至其他網路部分(其中可不存在可組態裝置124)之可達性。
一第二輸入可包括一種類型之網路,例如,私人WAN、公共WAN、網際網路VPN及私人VPN。
一第三輸入可包括應用定義-系統提供及顧客定義兩者-維持於多租戶控制器122處。本文中別處所述之身份/使用者定義可為用於政策之定義之部分。可在多租戶控制器122處接收及處理及解譯使用者/身份定義,如本文中別處所指定。
一第四輸入可包括規定哪個應用被允許在一特定位點處使用哪種類型之連接之政策。
一第五輸入可包括依監測模式從既有現用位點或位點對一些或所有應用監測資料(遙測)。從各位點對每個應用之遙測可包含以下項:(a)每種網路類型隨時間消耗之頻寬,包含平均及峰值資料;(b)每種網路類型隨時間傳送之資料;(c)隨時間之同時流之數目;及(d)依位點及應用層級之最大每秒流數。
一第六輸入可包括依監測模式從既有現用位點或位點對媒體應用監測資料(遙測)。從各位點對任何存在的媒體應用之遙測包含以下額外項目:(a)隨時間查看之音訊型及/或視訊型抖動,包含平均值及峰值;(b)隨時間查看之音訊型及/或視訊型封包損失,包含平均值及峰值;(c)隨時間之一音訊型及/或視訊型MOS分值。
一第七輸入可包括位點參數,諸如:(a)一位點類型,例如,分支152或DC;(b)網路類型及此連接數目;(c)至另一類似位點之應用或指標之一清單;(d)至具有所需政策之另一位點之指標之一政策選擇;及(e)至另一類似位點之使用者168或指標之數目。
根據本文中所述之例示性實施例,可執行假定性使用情況及處理。在判定一特定應用應從一位點採取哪些路徑時,吾人可至少部分基於一政策採取網路拓撲,將政策應用於應用,且減少許可連接拓撲。結果係可攜帶所提議應用訊務之一網路連接集。
在尋求判定來自一特定使用者168及/或應用之訊務從一位點採取哪些路徑時,吾人可至少部分基於一政策採取網路拓撲且將政策應用於應用且減少許可連接拓撲。結果係可攜帶一特定使用者168或使用者群組之應用訊務之一網路鏈路集。
在尋求判定一新分支152可在裝置及網路容量之方面如何表現時,吾人可如下般進行操作。首先,多租戶控制器122可在每個位點大小基礎上針對每個應用計算一位點處之正規化平均及峰值頻寬利用以及最大每秒流數並進行適當歸類。可由既有位點處之同時流決定位點大小。
接著,多租戶控制器122可從使用者輸入或藉由參考另一位點導出新位點處之應用及政策。多租戶控制器122可藉由參考另一位點或藉由採取使用者168之數目並使例如20乘以一最低值200來導出新位點處之同時流。
多租戶控制器122接著可建置為經估計頻寬(BW)利用及經估計最大每秒流數之一混合之一樣本「位點模型」,如下:Average-BWest=針對新位點大小擴展之每個應用平均BW之總和之平均值
Peak-BWest=針對新位點大小擴展之每個應用峰值BW之峰值
Max-FLOW/SECest=針對新位點大小擴展之位點處最大每秒流數
Simul-FLOWSest=如上文所述之直接值。
所得Simul-FLOWSest及Max-FLOW/SECest可用來建議一裝置類型及容量,而Average及Peak-BWest可用來建議網路類型變更以適應平
均及峰值頻寬需要。
在尋求判定一應用訊務可如何歸因於一新提議位點在一網路中變更時,吾人可如下般進行操作。首先,一多租戶控制器122可從使用者輸入或藉由參考另一位點導出所提議位點處之應用及政策。接著,吾人可採取網路拓撲且添加所提議位點連同其網路連接及類型。接著,吾人可基於政策將政策應用於應用且減少許可連接拓撲。對於每個DC位點,多租戶控制器122可估計來自類似於所提議位點之位點之訊務之貢獻(BW-INCRest)。類似性可藉由位點大小及政策類似性予以估計以考量從所提議位點進入DC之應用訊務之量及類型。
結果係可攜帶來自及至所提議位點之每個應用之訊務之一網路鏈路集,其中在各DC位點處歸因於所提議位點之添加而引起一頻寬增大BW-INCRest。
根據例示性實施例,資料中心128應用可包含一應用陣列,包含但不限於交換、SFDC及SAP。如本文中所述之此等方法及系統可用於所有形式之資料中心應用且供所有形式之資料中心應用利用。
根據例示性實施例,用於以控制器為基礎之網路拓撲識別之此等方法及系統可應用於如上文所述之應用工作階段。此外,此等方法及系統可應用於如本文中所述之各種分支152類型。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:接收描述將包括至少一個應用之一第一位點添加至一既有網路之資訊,其中該資訊選自由位點類型、至位點之所計劃連接及位點之所計劃政策組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
一種方法,其包括:接收描述一既有網路之一政策之一變更之資訊,其中該資訊選自由待變更政策及待應用政策之網路位點組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
一種方法包括:接收描述一新網路鏈路待添加至一既有網路位點之資訊,其中該資訊選自由位點及待添加網路鏈路組成之群組;及使用從類似於第一位點之一第二位點收集之經監測資料之統計分析估計對操作至少一個應用及相關聯網路訊務之一影響。
根據上述條款之任一者,其中在每個工作階段基礎上執行應用分析。
根據上述條款之任一者,其中一分支類型選自由零售店分店、POS裝置及分佈式計算位點組成之群組。
根據上述條款之任一者,其中至少一個應用包括一資料中心應用。
根據上述條款之任一者,其中應用選自由異動型應用及檔案傳送應用組成之群組。
根據上述條款之任一者,該方法進一步包括執行選自由帕雷托分佈及威布爾分佈組成之群組之模型化及分析。
根據上述條款之任一者,其中一網路類型選自由有線網路及無線網路組成之群組。
根據上述條款之任一者,該方法進一步利用參數來對資料流分類。
在傳統網路化中,SKU通常用來考量產品特徵、規模及容量。例如,一100節點網路可由一個SKU處置,而一1000節點網路可需要一
「更大」SKU。可藉由冗餘單元之部署提供網路之可用性。例如,一可靠網路可在網路中具有受相同SKU之兩個單元保護之關鍵點使得若一人可能失敗,則另一人接管。此稱為「垂直擴展」。
在一網路服務架構中,每個伺服器160或一系統組件單元能力相等且可處置一定數目個負載或異動。通常位於此等組件前方之一負載平衡器將負載分佈至稱為叢集之系統組件之一或多個例項。此模型可提供冗餘及規模兩者:單個例項故障意謂著例項在叢集外且其他例項作用於負載。隨著對系統之負載增大,添加更多例項可增大叢集容量。此稱為「水平擴展」。
需要藉由在一多租戶控制器122處運行一指派演算法以便將分支位點152(及相關聯分支裝置152)指派至一網路內之各資料中心128處之至少兩個可組態裝置124來實現高網路可用性之方法及系統,其中分支位點152映射至集線器對。在指派至一分支裝置152之集線器對之間的各資料中心128處,一可組態分支裝置152可選擇一個集線器裝置作為主要裝置且選擇另一集線器裝置作為次要裝置。訊務可根據偏好發送至主要集線器裝置。在主要集線器裝置出故障時,可組態分支裝置152可將資料流切換至集線器裝置對中之裝置之第二者且停止出故障的主要集線器裝置上之訊務。在一給定資料中心128中可存在若干集線器裝置。資料中心128中之此集線器陣列可水平擴展且一對集線器裝置至一分支位點152之映射可藉由一多租戶控制器122動態地變更。此變更可取決於動態地增大或減小分支位點152之數目及/或基於關於資料中心128中之集線器裝置之容量之動態添加或減少而全自動化。
根據本文中所述之本發明之方法及系統,一水平擴展解決方案可用來減少或消除網路擴展問題。在實施例中,用於資料中心128(「集線器裝置」)處之各裝置可處置來自遠端辦公室/分支之某個網路
訊務負載。集線器裝置可聚集在一起且資料負載可透過多租戶控制器122跨叢集元件平衡化/分佈。在此網路架構中,啟用一無狀態集線器裝置,且若一個集線器裝置出故障,則另一集線器裝置能夠接管而無需裝置之間的任何狀態交換。由控制器指定之任何集線器裝置可能夠伺服遠端辦公室/分支152網路之訊務負載需要直至集線器裝置之負載極限。多租戶控制器122可計算及估計來自在一網路之遠端辦公室或分支152處且將訊務發送至一集線器裝置叢集之裝置之負載。在實施例中,多租戶控制器122可指派集線器裝置以伺服來自遠端辦公室/分支152之負載,且動態地添加或刪除來自叢集之集線器裝置。如本文中所述之採用一多租戶控制器122之一網路可包含各具有一或兩個分支裝置152之遠端辦公室或分支152之一或多者。網路亦可具有在一叢集中具有一或多個集線器裝置之一或多個資料中心128,及位於資料中心128或雲端中控制且統籌網路之一多租戶控制器122。
參考圖11,在產生一新遠端辦公室且分支裝置152藉由在多租戶控制器122組態其等而添加至網路時,多租戶控制器122可運行一「指派演算法」且將遠端辦公室裝置指派至每個資料中心128處之兩個特定集線器裝置。若始終依監測模式使用一遠端辦公室裝置,則演算法可考量其負載及指派導出。監測模式指代一分支裝置152之一特殊模式,其中裝置能夠查看在分支152之內及之外移動之所有流但不改變流上之任何事物。從分支152收集之資料傳送統計資訊可用作用來估計訊務負載之一輸入。在各分支裝置152上進行之網際網路鏈路頻寬估計可用作用來估計訊務負載之輸入。演算法可進一步考量各集線器裝置之當前已知容量極限、至叢集中之各集線器裝置之當前經分配分支152及其等對集線器裝置之經估計負載之總和、至叢集中之各集線器裝置之當前經分配分支152及對集線器裝置之實際負載、集線器叢集之總容量之可用性、至集線器叢集之所有元件之新分支152之網路
可達性或一些其他因素。
在實施例中,分支裝置152可建立至其在資料中心128處之經指派集線器裝置之各者之安全IPSec/VPN隧道。一分支裝置152可選擇資料中心128處之集線器裝置(分配至裝置之兩個集線器裝置)之一者作為主要裝置。若至主要集線器裝置之安全IPSec/VPN隧道出故障,則分支裝置152可將其目的地朝向資料中心128之訊務切換至資料中心128處之次要集線器裝置。在一實施例中,分支裝置152可依以下方式執行從一主要集線器裝置至一次要集線器裝置之一無縫傳送。在IPSec/VPN控制平面通信中,作為一實例,一分支裝置152可將一「開始」命令發出至次要集線器裝置。次要集線器裝置可對開始命令作出應答且更新資料中心128處之本端路由資訊。在接收應答時,分支裝置152可開始將訊務發送至其IPSec/VPN隧道上之次要集線器裝置。分支裝置152可停止將IPSec/VPN隧道上之訊務發送至主要集線器裝置且嘗試將一「停止」命令發送至主要集線器裝置。若主要集線器裝置係活躍的,則主要集線器裝置可基於以下項之一或多者停止對分支152公佈資料中心128處之路由:i)接收「停止」命令;ii)在不從一分支152接收任何訊務達一定時間之後;及/或iii)若雙向轉遞偵測(BFD)偵測到至分支152之通信之損失。若主要集線器不活躍,則由主要集線器裝置公佈之路由可在資料中心128處自動過期。
由於由分支裝置152及其至一集線器裝置之IPSec/VPN隧道狀態之視圖決定該集線器裝置對來自一分支裝置152之訊務之處置,故無需集線器裝置保持任何狀態及在其等之間交換狀態。隨著對集線器叢集之容量需要增加(例如,歸因於越來越多分支152上線),新集線器裝置可引入至叢集且多租戶控制器122可開始將其等用於新分支152。若一集線器裝置從叢集永久性移除(例如,歸因於永久性故障),則多租戶控制器122可將一新或可更換集線器裝置分配至先前使用出故障
集線器裝置之受影響分支裝置152。若由一分支裝置152產生之負載開始增大且在最初(例如,在「指派演算法」中)用於將分支152分配至叢集中之一特定對之集線器裝置之參數內不再安全,則多租戶控制器122可再分配可處置來自分支152之改良負載之一新對之集線器裝置。在此等再指派中,控制器可:i)分配一新對之集線器裝置;ii)更新一新次要集線器裝置之分支裝置152(同時保持當前現用集線器裝置不變更;集線器裝置可串聯連接);iii)迫使分支裝置152「故障復原」或「切換」至具有更大容量之新次要集線器裝置;及iv)更新一新主要集線器裝置之分支裝置152。結果可為將分支152從一較舊對之集線器裝置成功地移動至可處置較高負載之新對之集線器裝置。
根據例示性且非限制性實施例,用於集線器高可用性以及網路負載及擴展之方法及系統可利用如本文中所述之各種集線器裝置類型及輪輻裝置且可至少部分由如本文中所述之一或多個資料中心128類型啟用。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料隧道;指定第一集線器裝置為一主要裝置;指定第二集線器裝置為一次要裝置;及至少部分基於一鏈路之一成本,將目的地為主要裝置之訊務切換至次要裝置。
一種方法,其包括:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線
器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料隧道;指定第一集線器裝置為一主要裝置;指定第二集線器裝置為一次要裝置;若偵測到至主要裝置之VPN資料隧道之一故障,則將目的地為主要裝置之訊務切換至次要裝置;及依一可逆模式及不可逆模式將訊務切換至主要裝置及次要裝置。
一種網路化分支裝置,其經組態以:在一分支裝置處接收與一資料中心相關聯之一經指派第一集線器裝置及一經指派第二集線器裝置;建立至經指派第一及第二集線器裝置之一VPN資料隧道;指定第一集線器裝置為一主要裝置;指定第二集線器裝置為一次要裝置;及若偵測到至主要裝置之VPN資料隧道之一故障,則將目的地為主要裝置之訊務切換至次要裝置。
根據上述條款之任一者,該方法進一步包括至少部分基於一鏈路之一成本,將目的地為主要裝置之訊務切換至次要裝置。
根據上述條款之任一者,其中至少部分基於以下項經由一演算法指派第一集線器裝置及第二集線器裝置:-從分支裝置收集並用作用來估計訊務負載之一輸入之資料傳送統計資訊;-在分支裝置處執行並用作用來估計訊務負載之輸入之網際網路鏈路頻寬估計;-各集線器裝置之當前已知容量極限;-至一叢集中之各集線器裝置之當前經分配分支裝置及分支裝置
對集線器裝置之經估計負載之總和;-至一叢集中之各集線器裝置之當前經分配分支裝置及對集線器裝置之實際負載;-一集線器叢集之總容量之可用性;-至集線器叢集之所有元件之新分支裝置之網路可達性;-在與集線器裝置進行通信時使用所有分支電路之能力;-在與集線器裝置進行通信時使用較低成本電路之能力。
根據上述條款之任一者,其中可組態裝置包括輪輻裝置。
根據上述條款之任一者,其中一資料中心類型選自由私人雲端、科學社群及主機代管中心組成之群組。
在傳統分支路由架構中,多個分支路由器162通常平行地經部署以朝向LAN側及WAN側兩者提供高可用性。在WAN側上,私人WAN鏈路或網際網路鏈路分佈於多個分支路由器上。在LAN側上,交換機158連接至多個分支路由器162,其涉及複雜佈纜方案。緊接著複雜佈纜的是,使用各種L2(HSRP/VRRP)及L3(OSPF/EIGRP)協定來實現平行部署之高可用性。此外,複雜訊務流亦在封包首先前往路由器之一者且接著在LAN側上路由回至另一路由器之情況下發生,從而皆為低效且難以排查何時發生問題。
根據各項例示性且非限制性實施例,揭示一種分支路由架構,其中串聯地放置可組態裝置124以便實現資料流旁通於一出故障裝置周圍以維持對終接於一感興趣分支152處之所有可用WAN電路之存取。
如參考圖12所繪示,串聯地部署兩個或更多個裝置124。兩個交換機連接至單個可組態裝置1202,可組態裝置1202串聯地連接至一第二可組態裝置1204。私人WAN及網際網路電路終接於第二可組態裝置1204上。因此,佈纜及L2/L3拓撲保持相同且係簡單的,無論是存
在一個可組態裝置124還是兩個可組態裝置124。此允許顧客在一個(簡單拓撲)或兩個可組態裝置124(高度可用拓撲)之間切換而不對交換機158或WAN連接作出任何變更,同時能夠使用所有可用WAN鏈路上之容量。如所繪示,串聯地部署兩個可組態裝置1202、1204防止一分支152處之單個可組態裝置124出故障且提供高可用性。
根據各項例示性且非限制性實施例,串聯部署之可組態裝置124使用一冗餘協定彼此進行通信以交換狀態資訊,包括:(1)哪個可組態裝置124係現用的及哪個可組態裝置124處於一備用操作模式;及(2)由一現用可組態裝置124使用一冗餘協定發送至一備用可組態裝置124之各種路徑特性。由可組態裝置124自動地採用此協定,而無需顧客作出任何動作。
在一現用可組態裝置出故障時,備用可組態裝置可經由一或多個協定持活(keepalive)辨識故障並切換至一現用狀態。一持活(KA)為由一個裝置發送至另一裝置以檢查兩者之間的鏈路是否操作之一訊息。
在可組態裝置124出故障或變為非現用時,可組態裝置124使介面連接自動短路(稱為「旁通」),使得其他(現用)可組態裝置124具有至電路之直接實體連接148。根據例示性實施例,在兩個裝置依一健康方式操作時,其等可自我選擇哪個裝置將為現用(基於一演算法,例如,較小序號或控制器賦予之初始指示)。若自我選擇之現用裝置現出故障且進入旁通模式,則備用裝置將隨著其將偵測到活動信號(heartbeat)喪失而變為新現用裝置。
因此,當前現用可組態裝置可直接處置私人WAN及網際網路連接而無需任何路由協定及其他複雜度。此外,根據上文所述之狀態同步,備用可組態裝置已準備好變為現用且因此能夠繼續在短時間量內進行訊務轉遞功能。應注意,不同於傳統網路,鏈路可用於兩個可組
態裝置124。運用上文所述之硬體「旁通」特徵,在其他可組態裝置124出故障之後變為現用之可組態裝置124可引導對所有電路之存取。
根據各項例示性實施例,所述旁通功能可在軟體或硬體或其之一組合中予以實施。
根據各項例示性實施例,現用可組態裝置124及備用可組態裝置124兩者可展現如本文中別處所述之實體連接148。此外,如本文中所述之此等方法及系統可應用於如本文中所述之各種分支類型以及各種分支組件152,包含例如交換機及路由器162。可組態裝置124可進一步包括如本文中所述之輪輻裝置。本文中所述之方法及系統可進一步採用如本文中所述之各種交換機類型。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:一種方法,其包括:串聯地部署經組態以經由一協定彼此進行通信以交換狀態資訊之複數個可組態裝置,其中複數個可組態裝置之至少一者處於一現用狀態且複數個裝置之至少一者處於一備用狀態;藉由處於一備用狀態之複數個可組態裝置之至少一者經由一協定偵測處於一現用狀態之一可組態裝置之一故障;及將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
一種系統,其包括:複數個可組態裝置,其等串聯地經部署且經組態以經由一協定彼此進行通信以交換狀態資訊,其中複數個可組態裝置之至少一者處於一現用狀態且複數個裝置之至少一者處於一備用狀態;其中處於一備用狀態之複數個可組態狀態之至少一者經調適以經由一協定偵測處於一現用狀態之一可組態裝置之一故障並回應於其將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
一種方法,其包括:串聯地部署經組態以經由一協定彼此進行通信以交換狀態資訊之複數個可組態裝置,其中複數個可組態裝置之至少一者經自我選擇為處於一現用狀態且複數個裝置之至少一者處於一備用狀態;藉由處於一備用狀態之複數個可組態裝置之至少一者經由一協定偵測處於一現用狀態之一可組態裝置之一故障;及將處於一備用狀態之至少一個可組態裝置切換至一現用狀態。
根據上述條款之任一者,其中連接為實體連接。
根據上述條款之任一者,其中分支組件選自由交換機及路由器組成之群組。
根據上述條款之任一者,其中可組態裝置包括輪輻裝置。
根據上述條款之任一者,其中交換機類型選自由管理型交換機、非管理型交換機及可堆疊式交換機組成之群組。
網際網路協定安全性(IPSEC)為適於藉由對一通信工作階段之各IP封包鑑認並加密來保護網際網路協定(IP)通信之一協定。廣域網路(WAN)上之企業位點至位點IPSEC虛擬私人網路(VPN)將一系列囊封、資料加密及資料鑑認用於資料路徑隧道(例如,囊封安全有效負載(ESP)及鑑認標頭(AH)),且將一單獨控制通道協定(舉例而言,諸如網際網路金鑰交換(IKE)及IKEv2)用於導出金鑰交換及關於在各位點中之兩個閘道之間加密哪個訊務之決定。
既有控制方法通常對關於金鑰交換之管理及組態之資訊技術(IT)帶來明顯複雜度。例如,對於一組N個位點,N個位點之間可能存在N2個數量級的IPSEC隧道。為了提供最強安全級,IT通常被要求在同級基礎上手動地組態金鑰產生規則,其實質上增大組態額外負擔。在其中N係以千計之實例中,如在一網路化環境包括數千個節點時,此可變為一高昂任務。因此,IT通常將不部署全網狀網路,即使此被要
求啟用分支至分支通信。
對於最強安全級,各位點處之各閘道具有至各同級位點之N-1個隧道且被要求執行極密集且昂貴的CPU金鑰交換計算,使得兩個閘道可導出一共同共用秘密,該秘密接著用來導出密碼工作階段金鑰以保護隧道。為了維持最佳轉遞秘密,通常對各隧道週期性地重複此金鑰交換,從而導致數千次金鑰交換操作。在若干案例中,在相同對之位點之間需要多個隧道(例如,VPN輸送高可用性,例如多個WAN及網際網路電路,例如在WAN上使用虛擬Wan(VxWAN)之安全分段)204。
在此等例項中,金鑰交換次數可增大達2倍至10倍。然而,僅使用軟體方法,此等金鑰交換操作次數係受限的且無法滿足所需規模。在受限網狀組態中結果通常翻倍,其中IT無法建置每個位點具有數千至數萬個隧道之全網狀網路。甚至以既有硬體為基礎之解決方案之利用亦無法擴展至全網及每個以VxWAN為基礎之WAN段之全網所需之隧道之數目。
既有方法(諸如群組VPN)提供解決此等顧慮之一些但由於其等將相同工作階段金鑰用於跨所有經加密資料通道之所有裝置之間的通信而損及安全性之可擴展實施方案。在此等例項中,甚至單個洩密可暴露整個網路。
根據例示性且非限制性實施例,提供一種用來藉由使用一多租戶控制器122產生多個時限共用秘密而用網際網路協定安全性(IPSEC)資料加密取代傳統金鑰交換之方法,其中多租戶控制器122對於各IPSEC經加密通道產生共用秘密並透過一經雙向憑證鑑認之通道將其等發送至兩個IPSEC資料通道端點。接著,端點使用共用秘密及隨機數來導出工作階段金鑰。共用秘密及工作階段金鑰可依由一政策制定之一間隔刷新。多個共用秘密機制確保甚至在面臨與多租戶控制器
122進行之通信中斷時,IPSEC端點仍可繼續刷新時限共用秘密且確保最佳轉遞秘密。
根據例示性且非限制性實施例,揭示一種多租戶控制器122驅動之金鑰交換模型,其為用於不安全網路上之每對可擴展金鑰產生及分佈之一高可擴展且一粒狀似Kerberos之模型。此一模型對需要IT進行較少手動組態或無需IT進行手動組態之金鑰交換提供一零組態模型。此外,每個隧道提供一多租戶控制器122產生之單獨共用秘密,藉此粒度可增大直至且包含各經加密VXWAN段之一單獨共用秘密。此外,提供水平地擴展以便產生全網狀分支網路所需之數億個共用秘密之能力。此外,實施例揭示一種無需使用客製化硬體來實現必需規模之純軟體解決方案。
此外,提供一種將若干熵源用於隨機號產生以增大由多租戶控制器122產生之共用秘密金鑰材料之強度之解決方案。可至少部分基於可用處理功率選擇及採用用於隨機號產生之方法。如下文更全面所述,此一解決方案將來自多租戶控制器122之一共用金鑰連同來自各通信元件之隨機資訊用於一給定資料隧道以產生用於對資料隧道加密及鑑認之工作階段金鑰。
參考圖13,繪示根據一例示性且非限制性實施例之一流程圖。首先,在步驟1300處,在多租戶控制器122作出應在兩個位點之間建立一鏈路之一判定時,多租戶控制器122使用以下演算法產生一共同共用金鑰。首先,多租戶控制器122使用例如一國家標準技術局(NIST)核准之密碼安全偽隨機號產生器(PRNG)產生X個位元。X之值可取決於所使用之NIST PRNG之類型而變化。隨機號產生器可使用以下機制之一或多者而播種有一高級熵:(1)使用作業系統/導出/隨機,其依賴於若干熵池;(2)使用FIPS核准之Intel RDRAND指令;及(3)藉由收穫元件產生之隨機號。
根據各項例示性實施例,PRNG之持續調用用來導出數倍的X個位元,其等經序連以產生長度從512個至8192個位元之一共用秘密。
接著,在步驟1302處,多租戶控制器122透過其伴隨有各通道端點之一輸送層112安全性(TLS)安全(具有資料加密及資料鑑認)、經雙向憑證鑑認通道將共用秘密發送至元件之各者,舉例而言諸如,IPSEC資料隧道端點。
接著,在步驟1304處,對於各共用秘密,多租戶控制器122指派一以掛鐘為基礎之開始及結束有效週期。多租戶控制器122同時產生多個(N個)共用秘密並對其等之各者指派連續掛鐘有效週期。多租戶控制器122將此N個共用秘密同時發送至通道端點。
接著,在步驟1306處,各通道端點接著可產生包括額外隨機資料之「隨機數」之32位元組。通道端點可交換此等隨機數值且接著可使用例如一RFC 5996指定金鑰材料產生方法以針對每個通道產生四個工作階段金鑰以便:(1)對資料加密以發送至其他元件;(2)鑑認且附帶一密碼安全訊息摘要以使資料發送至其他通道端點;(3)對從其他通道端點接收之資料解密;及(4)驗證經接收資料中所附帶之訊息摘要是否正確。
根據各項實施例,通道端點使用由多租戶控制器122指定之編密對資料加密。在使用給定共用秘密、使用上文所述之四個步驟之一金鑰重設操作中,通道端點依由多租戶控制器122判定之一規則間隔刷新四個工作階段金鑰。
接著,在步驟1308處,在共用秘密有效週期逾期之前,通道端點可使用下一共用秘密(來自由多租戶控制器122發送之N個共用秘密之集)且接著進行上文所述之四個步驟以產生一新工作階段金鑰。即使多租戶控制器122無法持續達N個共用秘密有效週期之整個持續時間,但仍維持共用秘密之新鮮度。一旦單個共用秘密已逾期,則通道
端點從多租戶控制器122連續地接收新共用秘密且多租戶控制器122將至多N個總刷新秘密發出至兩個通道端點。
根據前述例示性實施例,可藉由制定相同於共用秘密有效週期之金鑰重設間隔來實現最佳轉遞秘密。這樣做有助於確保一新共用秘密用於各金鑰重設中。在各項實施例中,經儲存之共用秘密足以確保網路操作達一預設時間週期而無需控制器122刷新新金鑰。此一時間之一典型預設週期為例如三天。在例示性實施例中,網路之顧客或使用者168可設定預設時間週期。根據一項例示性實施例,工作階段金鑰可使用相同共用秘密按小時回轉至可組態裝置124(諸如通道端點),但增加安全性需要新隨機數。
根據一例示性實施例,多租戶控制器122可操作為一憑證授權中心。在製造一可組態裝置124時,其可連接至多租戶控制器122以發出一製造憑證。可組態裝置124可將此憑證用於一經雙向鑑認之TLS通道以與多租戶控制器122進行安全通信。在一可組態裝置124運送至一顧客且顧客手動地授權於可組態裝置124時,一額外主張之憑證可藉由多租戶控制器122安裝於可組態裝置124上。在授權之後,可組態裝置124可將此憑證用於與多租戶控制器122進行以經雙向鑑認TLS為基礎之通信。共用秘密可透過此通道從多租戶控制器122安全地發送至兩個通道端點。
根據各項實施例,加密演算法可在多租戶控制器122處變更或更新而不影響端點。此外,多租戶控制器122可撤銷一裝置之憑證且告知其他可組態裝置124及實體不要相信該憑證。
根據各項例示性實施例,共用秘密之產生無需整個以軟體或硬體為基礎。相反,一混合軟體/硬體程序可執行共用秘密之產生。
以下為示範本文中所述之本發明之非限制性實施例之闡釋性條款:
一種方法,其包括:在一多租戶控制器處產生用於在一第一位點與一第二位點之間建立一鏈路之一共同共用秘密;透過一安全通道將共用秘密傳輸至第一位點及第二位點之各者;對共用秘密指派一以掛鐘為基礎之開始及結束有效週期;若兩個位點中之一或多個元件無法與多租戶控制器進行通信,則在一未來有效期內發送共用秘密以允許繼續進行安全鏈路通信;及每個VXWAN之每個鏈路使用一單獨共用秘密。
一種方法,其包括:在一第一通道端點處接收一共用秘密;產生複數個隨機數值;與一第二通道端點交換隨機數值;產生複數個工作階段金鑰;及依一預定時間間隔使用共用秘密刷新複數個工作階段金鑰。
一種系統,其包括:一第一位點;一第二位點,其經由一網路與第一位點通信;及一多租戶控制器,其經組態以產生用於在第一位點與第二位點之間建立一鏈路之一共同共用秘密且透過一安全通道將共用秘密傳輸至第一位點及第二位點之各者,其中多租戶控制器經組態以對共用秘密指派一以掛鐘為基礎之開始及結束有效週期。
根據上述條款之任一者,其中由軟體、硬體及/或一軟體及硬體混合物執行共用秘密產生。
根據例示性且非限制性實施例,提供一種WAN可藉由其進行調整以屈服於應用需要以便對使用者168提供一最佳或接近最佳體驗之
方法。此最佳化可至少部分基於一政策。一政策可至少部分基於在網路上操作之一應用,諸如關於處置資料流以確保應用適當運作、路由存在於一分支辦公室152處之最合適鏈路上之應用流或一些其他準則之一政策。一旦一應用流置於一適當鏈路上,則可根據應用流之一政策規範保證充足網路資源。
一政策字串202可允許指定一特定應用或身份,以對網路上發生之資料流提供控制。控制可根據應用、身份、應用及身份之一組合或基於一些其他參數進行。在一實施例中,作為一政策字串202之部分,可指定一虛擬可擴展WAN(VXWAN)204,其導致一裝置囊封由該政策在一唯一VXWAN 204中識別之一特定流集。一VXWAN 204可包括可隨著在裝置之間轉遞屬於由政策捕獲之流之資料/封包而置於電線上之一識別符或標籤。一VXWAN 204可包括僅提供至屬於由政策捕獲之流之封包之一選用唯一加密。一VXWAN 204可包括用來將一VXWAN標籤插入於網路中之一入口點處且在網路中之出口處移除標籤以用於一特定方向上之流之一方式。一VXWAN 204可係雙向的,此係因為相同VXWAN標籤可用於兩個方向之訊務。一VXWAN名稱空間可係全域的且由一多租戶控制器122來分配及管理,如本文中所描述。
在一實例中,可組態輪輻裝置可執行訊務轉遞決定,且被提供資訊,包含但不限於:應用識別細節及/或應用訊務設定檔。如本文中所述,可組態裝置124可維持路徑特性化資訊。路徑特性化可包含關於一鏈路上之頻寬可用性、延時設定檔、一鏈路上之訊務量限度之資訊等。可組態裝置124接著可選擇滿足所有約束且在該時間瞬間對於一應用最佳或近乎最佳之一鏈路。鏈路評估可根據最低網路延時或考量應用層級異動延時或一些其他準則進行。
根據本文中所述之本發明之方法及系統,一多租戶控制器122可
至少依一網路拓撲資料庫之形式維持一網路拓撲,一網路中之各裝置之入口點及出口點維持於網路拓撲資料庫中。一多租戶控制器122亦可從可組態裝置124接收指示哪些域與一錨域相關聯之資料,且將此等域指派至一SaaS應用604使得多租戶控制器122知道並儲存至SaaS應用604之入口點之一更全集。一經組態之裝置可收集監測資料,諸如關於與一應用相關聯之資料流及/或與一應用相關聯之域之資訊,諸如一網路分支152處所使用之一使用。此資料流記錄可攜帶關於一裝置上之入口點及出口點之重要資訊。數百萬個此等資料流記錄可從遍及網路之裝置輸出至多租戶控制器122。多租戶控制器122可儲存資訊,包含但不限於一網路拓撲資料庫,該資料庫包含關於在各網路裝置上發生之資料流之入口點及出口點及資料流如何互連、來自網路中之多個裝置之單個資料流之資料流記錄以及如本文中所述之與網路上之一應用之使用相關聯之錨域及其他域之資訊。
在實施例中,多租戶控制器122可使用經儲存之網路拓撲508、域及相關資料流資訊來週期性地運行本質上識別透過一個路徑離開一裝置之複數個資料流及在一不同路徑上(即,非對稱性)再進入裝置之返回資料流之存在之一「非對稱偵測」演算法504。分析技術亦可用來特性化與應用使用相關聯之層4資料流。經組態之輪輻裝置可收集此層4層級資料流並將其發送至多租戶控制器122。如本文中所述,可偵測及校正與特定應用相關聯之資料流非對稱性及/或與一應用相關聯之錨域或其他域。可按需且在多租戶控制器122外進行此校正。例如,可由一輪輻裝置向多租戶控制器122報告變更。多租戶控制器122可識別與網路上之應用使用相關聯之非對稱流,且查看哪些資料中心128裝置參與流傳輸並報告此情況。多租戶控制器122可識別發生此非對稱性之IP位址範圍,聚合IP位址範圍並向一使用者168或管理者報告IP位址範圍,使得可在位點上校正IP首碼組態。為了防止誤報,演
算法可在宣佈網路中存在非對稱性之前使用額外加權因素,包含其他裝置以及不同應用及其等資料流。多租戶控制器122可讀取資料流表以便允許多租戶控制器122判定資料訊務如何外出(例如,從一錨域或其他域導出之資料)。非對稱性可被偵測到,且多租戶控制器122接著可通知經組態之裝置,且經組態之裝置可採取路由動作以改良一給定應用使用之資料流非對稱性。
根據例示性且非限制性實施例,一多租戶控制器122可用來集中地檢視及控制網路拓撲、拓撲中之可組態裝置124及政策應用以解決網路管理之操作需要。一多租戶控制器122可記錄指示所有裝置及應用所處的位置之資料,且識別並映射一網路之拓撲,且使用網路視圖來判定網路資產之最佳政策及裝置使用。多租戶控制器122可例如監測及記錄何時添加一新位點,接著可更新網路拓撲變更。由於多租戶控制器122已存取HTTP流,故可查詢多租戶控制器122以例如展示位點之間的所有路徑且模擬網路功能。多租戶控制器122可已存取其網路拓撲圖中之頻寬及鏈路。各鏈路之利用亦可經聚集及儲存以供多租戶控制器122存取。多租戶控制器122可模擬一網路之變更之效應。多租戶控制器122可保持追蹤網路中之所有裝置之所有組態(裝置、介面、能力、政策及更多)。組態管理可係即時的或近即時的以確保最小資料延時。多租戶控制器122亦可保持關於訊務類型、訊務負載及應用統計之大量監測資料,且亦可允許產生「空置」或假想位點,特定而言,係不真實但例如可計劃之位點。
一多租戶控制器122可用來在演算法上判定並建立可包含轉遞表812之產生及管理之一無迴路資料轉遞模型。此演算法可考量網路故障且調整無迴路資料轉遞模型以考量網路內之資產損失。一多租戶控制器122可至少依一網路拓撲資料庫之形式維持一網路拓撲(一網路中之各裝置之入口點及出口點維持於網路拓撲資料庫中),且使用此網
路資料週期性地運行一演算法以判定非對稱資料流及與此等非對稱資料流相關聯之裝置。如本文中所述,一集中組態之多租戶控制器122可為以下項之產生者及源兩者:(1)網路段及位址;及(2)指示如何連接網路段之資訊。中心多租戶控制器122接著可經由一資料中心128或集線器裝置發現哪些外部網路段不受路由例項控制,且將轉遞表812直接設置於經組態之裝置上使得訊務轉遞至正確介面上,從而導致一無循環轉遞模型,其中執行各種規則。
根據例示性且非限制性實施例,一經組態之裝置可進一步收集監測資料,諸如關於透過一裝置傳輸之資料流之資訊。此等資料流記錄可攜帶關於一裝置上之入口點及出口點之重要資訊。多租戶控制器122可儲存資訊,包含但不限於一網路拓撲資料庫,該網路拓撲資料庫包含關於在各網路裝置上發生之資料流之入口點及出口點及資料流如何互連以及來自網路中之多個裝置之單個資料流之資料流記錄之資訊。多租戶控制器122可識別非對稱流(包含與如本文中所述之一應用或錨域相關聯之非對稱流),且查看哪些資料中心裝置參與流傳輸,且推斷流不正確地前往例如一集線器裝置,並報告此情況。多租戶控制器122可識別發生此非對稱性之IP位址範圍,聚合IP位址範圍並向一使用者168或管理者報告IP位址範圍,使得可在位點上校正IP首碼組態。
根據本文中所述之本發明之方法及系統,一多租戶控制器122可從可組態裝置124接收指示哪些域與一錨域相關聯之資料,且將此等域指派至一SaaS應用604使得多租戶控制器122知道並儲存至SaaS應用604之入口點之一更全集。此可有利於量測、監測及路由與一SaaS應用604相關聯之真實資料流,而傳統技術可因未辨識實際上產生與一應用相關聯之訊務之域之全集而低估與一SaaS應用604相關聯之訊務。域類型可包含但不限於高級域608(例如,「.com」)、地域(例
如,國家域)及基礎結構域(例如,「.arpa」)。被識別為與錨域相關聯之域可發送至多租戶控制器122,且在多租戶控制器122處,進一步處理可經執行以消除誤報且將其等提取至一經校正域集。網路內之一可組態裝置124可偵測一應用之錨域且標記資料源及偵測時間。在此偵測時間之後,來自相同訊務源之持續資料流可被標記為屬於與錨域相關聯之應用。多租戶控制器122可繼續從可組態裝置124接收關於訊務源之資料並對資料流分類。
根據例示性且非限制性實施例,可使用如本文中所述之用於應用使用之特性化,就工作階段而言用於效能及預測計劃目的以改良網路效能之統計及資料挖掘技術分析錨域及其他域資料。如同集中性及分類之資料挖掘技術可應用於描述從一錨域及/或一應用之使用導出之資料流之微調模型。所得模型可較佳地能夠預測一典型應用工作階段之異動之大小及頻率以及應用工作階段之頻率。用來特性化與一錨域及/或一應用工作階段相關聯之網路活動之模型化及分析方法以及對應網路及頻寬需求可用來依子通道層級即時監測一網路之頻寬需求(異動型及批量應用類型),且識別並預測頻寬需求之趨勢。基於錨域及應用類型偵測,使用即時資料流,一多租戶控制器122可分析其依分支層級從可組態裝置124接收之應用工作階段資料以判定多少頻寬量係適當應用效能所必需的。應用效能分值可用來記錄及調整一應用之頻寬設定檔,其中設定檔狀態效能及頻寬準則(即,一規則)需要在應用工作階段期間所偵測之資料流之類型。
在實施例中,如本文中所述之一整形器154可用來將與例如一給定錨域及/或應用相關聯之資料限於一規定值。可基於與訊務(諸如與錨域及/或應用工作階段相關聯之訊務)相關聯之商業優先級添加或刪除整形器154。此可動態地例如基於應用需求予以執行,其中動態執行實行為符合維持於一多租戶控制器122處之一政策。可藉由自動地
且動態地、即時或近即時估計鏈路容量來完成以效能為基礎之路由。如本文中所述之擁塞控制演算法可用於頻寬估計。對於閒置鏈路,可依類似於一網際網路速度測試之一方式執行估計。對於現用鏈路,可透過連續監測及校正判定鏈路容量。在一實例中,鏈路可具有如本文中所述之控制可置於鏈路上或從鏈路接收之訊務量之一入口及出口整形器154。可丟棄超出整形器154之極限之任何訊務。可由頻寬估計邏輯設定一整形器154之極限。
在實施例中,可至少部分基於一商業優先級對網路訊務分類,且可至少部分基於經指派之商業優先級判定至在一網路上運行之複數個應用之頻寬分配。一網路管理者可產生多個商業優先級且對各商業優先級指派一優先次序及/或排序。一經組態之裝置可首先偵測各應用資料流(例如,即時、批量或異動型)之網路類型,且針對各商業優先級產生多個佇列,例如如本文中所述之嚴格優先佇列814、公平佇列818及異常佇列820。一整形器154可用於異常佇列前方以確保異常流不影響可用於其他流之頻寬。
一多租戶控制器122可用於自動化首碼發現及傳播。一典型網路可由諸多網路段組成,其中各段由網際網路協定(IP)位址之一範圍表示,IP位址通常由一網路位址遮罩表示,如同:10.10.10.0/24,其中為「/24」遮罩。此範圍可表示約254個IP位址。在由一匯總路由器裝置162呈現此等網路段時,此等範圍可聚合成一更高「遮罩」-例如兩段10.10.10.0/24且10.10.10.1/24可聚合成10.10.10.0/23。有時,一路由器裝置162將自動地這樣做,但多數時間此等可藉由組態手動完成。在實施例中,一多租戶控制器122可聚集網路段資訊且因此能夠依程式設計方式找出聚合程度最高的較高層級網路位址及遮罩。此程序可稱為超網且在一項所揭示之非限制性實施例中可有助於擴展及改良網路之自動學習及控制。
例如,在資料平面學習之情況下,一旦一流到達可組態裝置124處,則源IP資訊可從封包標頭提取且連同由裝置接收封包之介面虛擬區域網路(VLAN)資訊發送至多租戶控制器122。然而,資料封包可不攜帶子集遮罩資訊。因此,若一多租戶控制器122從分支本端段上之用戶端512接收關於單個或少數流之資訊,則其無法立即識別首碼之確切長度。在此情況下,多租戶控制器122可嘗試找出首碼之最合適長度。例如:若多租戶控制器122接收關於具有源IP位址之兩個流之資訊(即,屬於VLAN 10之192.168.1.1及192.168.1.2),則其可首先產生一首碼92.168.1.0/30並向其他位點公佈該首碼。隨時間推移,若多租戶控制器122接收關於具有例如相同段上之源位址192.168.1.29之另一封包之資訊,則其可將首碼長度細化為192.168.1.0/27。
應注意,在資料平面學習方法中,可組態裝置124可選擇聚合源IP且部分地執行多租戶控制器122需要如何做來協助多控制器122快速地收斂。
細化程序可隨著其學習關於首碼之其餘部分之資訊繼續進行直至一多租戶控制器122判定首碼之確切長度為止。應注意,在學習程序期間可不存在訊務損失。此外,若本端段失靈(go down)且被裝置偵測到,則其可通知多租戶控制器122使得可從所有遠端位置撤回路由。可由使用者168組態首碼之最小長度係多少或多租戶控制器122產生首碼之頻率應係多少及類似者之程序。資料平面學習可稱為慢速學習,此係因為多租戶控制器122可能必須繼續等待直至其具有用來判定確切首碼之充足資訊為止。不同於資料平面學習,若可組態裝置124後方存在路由裝置,則裝置學習確切首碼長度可快得多,藉此可在將確切首碼資訊發送至多租戶控制器122之前,從控制平面訊務提取資訊。在不具有用於零裝置觸控部署之路由協定及複雜組態之情況下,自動化網路首碼學習可係有利的。在本端段失靈時自動化首碼移
除及該等首碼路由撤回可係有利的。
可組態裝置可用於無自動化路由協定之網路首碼發現。在傳統網路中,路由協定可用來在裝置之間交換路由資訊。然而,可需要經由各路由協定之網路敘述或再分佈手動地組態區域網路,使得可對其他路由同級公佈首碼。分支152中之可組態裝置124可不運行任何路由協定。首碼發現替代地可經由各分支位點152處之資料路徑學習予以自動化。各分支裝置152可將首碼資訊發送至一多租戶控制器122,該多租戶控制器122可經由如本文中所提及之超網演算法系統地找出聚合程度最高的較高層級網路位址及遮罩。一可組態裝置124可經組態以被動地學習區域網路段之首碼資訊。可經由多種方法(諸如動態主機組態協定(DHCP)、位址解析協定(ARP)、窺探路由協定訊務、實際資料平面訊務及類似者)學習一首碼。
在傳統網路中,路由協定通常用來在路由同級裝置之間交換可達首碼。可達首碼之源係透過經由網路敘述之手動組態或透過從一個路由協定至另一路由協定之再分佈而達成。
對於資料中心128中之可組態裝置124之無縫部署,一多租戶控制器122可自動地學習本端資料中心首碼而無需一管理者手動地組態首碼,且遍及網路分佈該等首碼以用於訊務轉遞。
在資料中心128中,可組態集線器裝置可使邊界閘道協定(BGP)與WAN-E路由器178同級且可學習所有首碼(包含本端資料中心首碼)以及經由私人WAN學習之遠端分支路由。
可組態裝置124可將從私人WAN學習之所有首碼發送至多租戶控制器122。一多租戶控制器122可運行一本端演算法以識別本端首碼並分開本端首碼與遠端首碼。
BGP學習之首碼攜帶AS-PATH資訊(其為AS之一有序清單)且告知接收BGP同級一給定首碼已跨越之AS。多租戶控制器122知道經組態
用於一本端可組態裝置124及在資料中心128內與本端可組態裝置124同級之傳統路由器178之BGP AS號。在一項實施例中,多租戶控制器122可識別僅含有存在於資料中心128中之AS號之首碼,且將該等首碼標記為在資料中心128之本端處之首碼。多租戶控制器122可採用如同BGP自主系統(AS)過濾之其他方法來進一步細化資料中心中之經識別本端首碼。
應注意,若撤回路由或作出任何變更,則一本端裝置可經由BGP更新偵測此等撤回路由且據此更新多租戶控制器122。多租戶控制器122可將演算法應用於經更新之資訊且必要時調整資料中心中之本端首碼,從而允許網路對任何變更自動地作出校正及反應。
此可在於資料中心128內在任何時間作出任何變更時簡化資料中心中之可組態裝置124之部署且可節省網路管理者用來組態及移除首碼之時間。
圖14及圖15中之以下實例繪示可如何用AS-PATH資訊學習首碼x(本端)及首碼y(遠端)。應注意,甚至在於資料中心128內存在多個AS時,與集線器裝置同級之AS路徑清單中之AS號之排序(在實例中為AS 2及AS 3)可提供方向且可適當地識別首碼是本端首碼還是遠端首碼。用於資料中心128中之裝置之零觸控部署之網路首碼之自動化學習及撤回可係有利的。
多租戶控制器122相關聯上層網路可與舊式系統整合在一起。使用私人MPLS 144 WAN,企業網路位點可連接至處於一點至雲端類型之模型之MPLS服務提供者網路。使用L3VPN服務提供者術語,一顧客邊緣(CE)路由器180可連接至一提供者邊緣(PE)路由器176。所有遠端位點路由器162可經由資料中心128中之CE裝置180存取定位於資料中心128中之應用。因此,可重要的是,對既有網路(尤其係資料中心128中之資料中心核心178及CE(aka WAN-E或WAN Edge)裝置180)不
存在干擾以便無縫整合。
參考圖16,一可組態裝置124可部署於資料中心128中之路徑外而不干擾既有網路之實體連接,如文本中所繪示。一可組態裝置124可經由單獨介面實體地或邏輯地連接至資料中心128中之CE裝置180。一可組態裝置124可與核心178及CE 180路由器162及類似者BGP同級。可依使得一可組態裝置124僅可接收路由但不可將任何路由發送至CE之一方式完成與CE 180之同級。此可確保對CE裝置之既有操作不產生干擾。可依使得可組態集線器裝置可選擇性地僅公佈該等遠端分支路由之一方式完成與核心路由器178之同級。可藉由附帶一「未公佈」、熟知社群值完成對核心路由器178之路由公佈。一熟知社群值可指示核心路由器178不要向其他任何同級公佈可組態集線器注入之路由,藉此不需要特殊過濾器來防止對網路內之任何其他同級之突然路由公佈。此可確保一可組態裝置124吸引僅目的地為分支152之選定訊務。此亦可確保不對目的地為非控制器相關聯位點之訊務產生影響,從而改良一既有網路之部署及整合。對CE路由器180不具有任何種類之干擾之無縫整合係有利的。對非控制器相關聯位點無干擾係有利的。非控制器相關聯位點之受控制訊務處置係有利的。無過濾需求係有利的。
一多租戶控制器122相關聯環境可包含零觸控多播。在傳統網路中,企業顧客可從MPLS提供者高價購買多播VPN服務,使得其等可在網路中之不同位點之間發送多播服務。此外,一顧客可經由網際網路142備份VPN。通常,企業歸因於效能問題及組態複雜度而選擇不跨公共VPN發送多播訊務或選擇部署專有解決方案,從而買進昂貴設備。然而,此等顧客無法基於效能準則使用私人VPN及公共VPN兩者。
如圖17中所繪示,可組態裝置124可攔截經過分支裝置152之多
播訊務(尤其係網際網路群組管理協定(IGMP)訊務),同時朝向下一跳躍路由器162(例如CE)將訊務轉遞至私人WAN。分支152中之一可組態裝置124可將IGMP報告資訊轉遞至多租戶控制器122。一多租戶控制器122可基於經接收之IGMP協定訊務維持一多播群組資料庫,且可將群組成員資訊分佈至定位於資料中心128中之可組態集線器裝置。在從多租戶控制器122接收多播群組成員資訊之後,其可產生一多播狀態且將VPN鏈路置於為群組成員之分支152。一集線器裝置接著可重建IGMP連接並將其發送至核心路由器178,核心路由器178可將至可組態集線器之介面添加於其轉遞表812中。在定位於DC中之一源開始發送封包時,一可組態集線器裝置可接收一封包複本,但複製至為多播群組成員之各種遠端分支152之VPN鏈路上之封包,如圖17中所展示。
應注意,多播訊務之源亦可存在於一分支152處,且在此等情況下,多租戶控制器122將多播群組資訊發送至存在於分支152處之可組態裝置124,且此裝置對VPN鏈路上之各種成員可組態裝置124執行封包複製。若在私人WAN中支援多播而非基於效能複製個別VPN鏈路上之訊務,則可組態裝置124亦可選擇將私人WAN用於多播訊務。
零組態多播訊務遞送可係有利的。以效能為基礎之多播訊務路徑選擇可係有利的。
一可組態集線器裝置可在舊式WAN與混合WAN之間提供一橋接/轉變點。在使用私人IP/MPLS WAN之傳統企業中,遠端分支152及資料中心128可經由一服務提供者MPLS 144網路連接至彼此。對於冗餘,企業顧客可選擇兩個服務提供者且使其等重要位點雙歸屬於兩個提供者。在一個MPLS提供者出故障之情況下,位點可繼續經由第二提供者網路到達彼此。然而,使所有位點雙歸屬可不具成本效益。因此,企業可選擇僅使重要位點雙歸屬且在可能時使其他位點單歸屬。
然而,此可對網路管理者管理路由及相關政策以確保來自單歸屬位點之訊務被允許透過處於穩定狀態之適當雙歸屬位點並且在故障狀況下轉變產生操作挑戰。
關於對傳統網路中之一轉變點確立任何給定位點之路由政策可能並非小事且可需要小心計劃且複雜的組態以避免路由循環。例如,在圖18中,位點3可係單歸屬的且公佈可傳播至連接至MPLS提供者1之所有位點之一首碼。位點1及位點2可雙歸屬於兩個提供者。位點2可向MPLS提供者2公佈首碼且首碼可到達位點1處。位點1可具有適當過濾器以免向MPLS提供者1重新公佈首碼,尤其係在歸因於任何轉變位點處之路由再分佈而損失AS路徑資訊之情況下,否則可產生迴路。類似地,若首碼從MPLS提供者2接收回至MPLS提供者1,則位點2可不公佈首碼。
此外,適當組態可能需要在適當位置處允許在位點1喪失至提供者1之連接時、在來自位點3之訊務之目的地為位點1時訊務透過位點2轉變。
一以多租戶控制器122為基礎之方法可提供與企業之既有網路基礎結構之無縫整合。企業顧客可無需任何複雜組態或路由政策來確保在穩定狀態或故障狀況期間位點之間的適當訊務流。在MPLS WAN 144出故障時,一可組態集線器可用作一轉變點以無縫地修復一破損WAN之部分。類似地,在初始部署阶段期間,在並非所有位點已遷移至多租戶控制器122相關聯環境时,一可組態集線器可提供一轉變點以促進網路之其餘部分中之無縫部署,如圖19中所繪示。
运用部署模型,可組態集線器及分支裝置152可跨一寬帶網際網路連接142建置一安全且全網狀的上层。可組態集線器BGP可與企業資料中心128中之核心及wan邊緣路由器178同級且可接收整個網路路由,包含來自非控制器相關聯位點之路由。例如,如圖20中所展示,
位點1可僅經由VPN到達位點2,此歸因於喪失至一MPLS提供者144之連接。在位點1嘗試將訊務發送至位點3(其中可尚未部署多租戶控制器122),訊務可首先發送至位點2處之一可組態集線器。由於一可組態集線器瞭解整個網路,故其可進行一IP查找且判定位點是否可經由多租戶控制器122到達,因此其可朝向一WAN邊緣路由器178轉遞訊務,WAN邊緣路由器178接著將訊務路由至適當目的地。一可組態集線器可在VPN與一舊式網路之間提供一簡單轉變點而無需複雜路由政策。在無顯式且複雜的路由之情況下於VPN與舊式網路之間進行無縫路由可係有利的。在出故障時單歸屬位點之高可用性可係有利的。
一多租戶控制器122可使用各種BGP屬性(包含但不限於BGP社群)建置組合MPLS WAN 144拓撲之一端對端拓撲映射,且經由一圖形使用者介面提供網路管理之一完整的私人WAN拓撲視圖。
在一傳統網路中,企業與MPLS服務提供者之間的協定、a.k.a PE-CE路由協定之一共同選擇可為BGP。企業通常可在每個位點運行一不同BGP自主系統號(AS號)。因此,在路由經由MPLS服務提供者網路從一個位點交換至另一位點時,可攜帶含有在路由傳播期間轉變之所有AS之一AS路徑屬性連同首碼。在中心集線器位置中,一可組態裝置124可經由BGP與企業WAN路由器178同級,且可接收具有完整BGP路徑資訊之遠端位點路由。一集線器位點可將此資訊轉遞至一多租戶控制器122。多租戶控制器122之拓撲建置器組件可利用此資訊來識別本端集線器位點(例如,資料中心)路由及遠端位點路由,且可建置一圖形拓撲映射。此外,多租戶控制器122亦可全面瞭解VPN拓撲。組合資訊及認知,拓撲建置器可產生整個企業WAN網路之一完整對端對視圖。
多租戶控制器122相關聯方法可提供組合網路中之所有可能WAN之企業網路之一動態且完整的視圖以及識別本端對遠端路由之能力及
類似者。可即時反映可由MPLS WAN 144中之一故障及/或私人網路上之BGP路由撤回引起之狀態轉變。
雙向轉遞可用於偵測私人及公共鏈路故障。使用私人MPLS WAN 144,企業網路位點可連接至處於一點至雲端類型之模型之MPLS服務提供者網路。使用L3VPN服務提供者術語,一顧客邊緣(CE)路由器180可連接至一提供者邊緣(PE)路由器176。為了滿足顧客服務層級協定(SLA)以在出故障時較快收斂,可在PE-CE鏈路與一路由協定之間使用BFD。然而,依此方式使用BFD可僅允許一顧客位點與一提供者邊緣路由器176之間的本端鏈路或節點之故障偵測。因此,可在企業網路中之每個PE-CE鏈路處組態一BFD工作階段。歸因於BFD僅可在本端段上運行之事實,可能不足以偵測端對端故障。一企業網路可能無法偵測一服務提供者網路內之任何軟或硬故障,其可花費數小時及在一些情況下數天來排查並查明問題之根本原因,從而可能增大平均修復時間(MTTR)且減小企業網路之可用性。此外,提供者邊緣(PE)路由器通常僅可支援有限數目個BFD工作階段且可未必能夠支援各個PE-CE鏈路上之BFD。因此,BFD僅可用於高端顧客或可作為一優質服務提供給企業顧客。一些企業可訴諸於跨MPLS網路144建立一上層且在上層網路上運行BFD以偵測服務提供者網路內之掉電(brown out)及其他故障。此可增加複雜度且使MPLS VPN 144之目的失敗,其已意謂著外包WAN網路同時簡化企業網路管理者之網路操作。
BFD可依一新穎方式來監測任何兩個給定位點之間的路徑端對端之健康狀況而無需複雜組態。因此,在出故障時且尤其在掉電之情況下端對端訊務收斂可極快且增大企業網路中之總可用性及使用者體驗。
在傳統網路中,企業顧客可期望將PE-CE鏈路之間的BFD連同BGP或內部閘道協定(IGP)協定之一者用於快速故障偵測,該等協定
包含靜態(STATIC)、路由資訊協定(RIP)、開放最短路徑優先(OSPF)及增強型內部閘道路由協定(EIGRP)及類似者。自我故障偵測可為問題之僅一小部分,其最終目的為盡快恢復訊務。因此,為了使路由收斂加速且恢復其他可用路徑上之訊務,路由協定(諸如BGP、OSPF及中間系統至中間系統(ISIS)及類似者)可用BFD程序進行註冊。在進行鏈路故障偵測時,可立即向路由協定通知此等故障使得其等可重新計算其等路由表並找出到達所期望目的地之替代路徑。由於路由協定為BFD之消費者,故路由協定之存在可為BFD有效化之一先決條件。
多租戶控制器122相關聯方法利用BFD來偵測跨企業網路中之私人IP/MPLS WAN 144之端對端故障。取代用路由協定註冊BFD之傳統程序,此方法可在跨私人WAN之每個企業位點處之可組態裝置124之間建立端對端BFD工作階段。各可組態裝置124可經由BFD主動地監測至每個其他位點之可達性而無需跨私人WAN顯式地建立端對端BGP或組態任何其他路由協定。在沿路徑偵測異常時,一可組態裝置124遠離受影響路徑動態地引導訊務而無需手動干預。此可提供不僅快速地偵測本端PE-CE之本端鏈路之節點故障而且可使得企業顧客能夠偵測服務提供者網路中之掉電及其他故障之能力。
多租戶控制器122相關聯方法利用BFD來偵測跨企業網路中之私人MPLS WAN 144之端對端故障。取代用路由協定註冊BFD之傳統程序,此方法可在跨MPLS WAN 144之兩個給定企業位點之間獨立地建立一端對端BFD工作階段且在偵測故障時,動態地再路由訊務而無需通知路由協定重新計算替代路徑。不同於傳統BFD,此方法之有效性可不僅限於本端PE-CE鏈路/節點故障而且範疇可廣得多。此方法可使得企業顧客網路能夠自動地偵測服務提供者網路中之掉電及其他故障。此外,此方法可減免服務提供者提供PE-CE層級BFD之需要,藉此將PE路由器176上之有價值資源用於其他重要功能。
可由多因素輪輻裝置引導集線器高可用性及切換。各輪輻位點裝置可在各集線器位點中被指派兩個集線器元件用於HA目的以確保輪輻位點可在一集線器裝置出故障之情況下仍具有至集線器位點之VPN隧道。使用BGP或OSPF主要集線器裝置可將屬於輪輻之首碼注入至核心交換機中,且指定主要集線器裝置為集線器位點至輪輻位點方向上之訊務之下一較佳跳躍。可由輪輻位點裝置決定利用集線器裝置之哪者之判定。本發明描述輪輻位點可如何決定哪個集線器元件為其主要集線器。
一輪輻元件可使用多個因素來判定在集線器元件對內應為輪輻位點之主要集線器之較佳集線器元件。輪輻可具有多個私人及公共WAN電路。此等電路通常具有不同定價模型-定價係以頻寬或量為基礎。以量為基礎之定價可遵循一手機計劃,如同針對一固定月成本每月具有一定量之許可量且針對超過該許可之量每兆字節消耗量之一成本之定價模型。
對於各私人及公共WAN電路,一輪輻裝置可建立指派至其之集線器元件HA對中之兩個集線器元件之一網際網路協定安全性(IPSEC或IPSec)VPN隧道。輪輻裝置可使用一演算法來決定該對中之哪個集線器元件應為其主要集線器元件。演算法可採取以下項作為輸入:每個私人及公共WAN電路之頻寬、每個電路之定價模型、至公共及私人WAN電路之各者上之兩個集線器位點之個別IPSEC VPN隧道之健康狀況、至集線器核心路由器178之集線器裝置之路由可達性及類似者。演算法之目的可為最佳化應用效能同時保持以量為基礎之成本為低。演算法可允許一預設HA行為且亦可允許一管理者指定關於分支中之電路之哪者可被允許為預設現用電路,哪些電路為備用電路(除在預設現用電路出故障時及在不使用備用電路時之外)之規則。演算法可使用保護群組概念來實現此結果。輪輻裝置124可決定從指派至
其之HA集線器對挑選一個集線器裝置178作為其主要集線器裝置,此係因為其能夠使用一較低成本分支電路。若主要集線器裝置現僅透過以較高成本量為基礎之電路到達但輪輻可使用較低成本電路到達HA對中之第二裝置,則其可使第二集線器裝置作為主要集線器裝置。輪輻對集線器位點驅動之HA決定可係有利的。基於應用效能、成本考量及擱置規則之主要HA元件之多因素判定可係有利的。
可在產生安全隧道之前提供對裝置安全性之裝置鑑認,其中此裝置鑑認係企業特定的及/或專用於利用一多租戶控制器122之一可組態網路。WAN網路上之企業位點至位點IPSEC VPN可需要基於企業需求相互地鑑認建立一隧道之兩個閘道或元件。需求可確保僅可信且經鑑認之裝置可在私人或公共網路上使用IPSEC VPN交換私人企業資料。既有鑑認方法可遵循以下兩種方法之一者:
˙手動組態之預共用金鑰之使用。此方法可需要IT以每個同級提供一單獨的預共用金鑰。對於1000個同級,此可意謂著手動地產生1000個預共用金鑰且針對一全網狀網路組態其等100萬次。替代選項為使用單個金鑰,但甚至單個路由器162之洩密可暴露整個網路,從而導致較弱安全性。
˙鑑於預共用金鑰,顧客可使用PKI(公共金鑰基礎結構)。此可需要其等具有用來管理憑證、金鑰且使用離線CRL(憑證撤銷清單)分佈機制來管理憑證撤銷之一全PKI基礎結構。顧客可能必須確保其等CA(憑證授權中心)伺服器之高安全性及可用性。顧客可能仍必須手動地提供各閘道裝置以使用PKI。
一VPN鑑認所揭示之非限制性實施例可使用具有分層級憑證鑑認之內建PKI,其可消除幾乎所有手動組態,可提供極高鑑認安全性且仍可對元件鑑認給予管理者控制。所揭示之非限制性實例可提供以下項之一或多者:
˙可針對較高安全性使階段鑑認升級之三層、以PKI為基礎之鑑認。
˙第一層可為可在從經授權製造位點運送時提供裝置真確性之一製造安裝憑證(MIC)及私人金鑰。
˙可確保IT在各裝置於網路中受認可之前對各裝置授權並且可參與建立VPN且啟動政策之一顧客手冊主張。
˙第二層可為可使元件繫結至一遵循手動授權之租戶之一每個租戶主張安裝憑證(CIC)。
˙具有MIC及CIC之單獨憑證授權中心且可管理憑證之全生命週期之內建且全自動化的PKI基礎結構。
˙顧客控制之裝置授權撤銷(撤銷主張)。
˙一顧客亦可控制一給定的所主張裝置是否可與其他裝置一起參與VPN。
˙藉由允許一顧客亦安裝可已藉由顧客自身之憑證授權中心發出之一租戶安裝憑證(TIC)而與一既有顧客PKI基礎結構整合。
在製造時間,在一元件離開一可信製造位點之前,裝置可安裝有已簽署憑證及私人金鑰。私人金鑰可保持於一TPM(可信平台模組)模組及類似者中且由一專有純製造憑證授權中心(稱為MIC CA)簽署。在製造期間,元件可使用一經安全TLS加密通道及類似者聯繫多租戶控制器122以簽署其憑證。多租戶控制器122可進行檢查以確保請求來自一製造位置且硬體ID/序號係有效的。多租戶控制器122可將硬體ID繫結至憑證中之一預設租戶且可簽署憑證。已製造但未分配至任何租戶之一元件可被標記為「可用」。TPM及經簽署憑證之使用可確保在租戶接收元件時,其為一真實元件且可被信任。多租戶控制器122可代管MIC CA,MIC CA可發出經簽署憑證。多租戶控制器122亦可維持憑證繫結至特定硬體元件。多租戶控制器122亦可維持哪些硬
體元件不再可信之一撤銷清單及類似者。報告已被洩密之硬體元件可被標記為由CA撤銷。CA可使用此資訊來確保一租戶僅可主張未撤銷的可信元件。在硬體經運送至一租戶時,其可被標記為「分配」至該特定租戶。在僅具有一MIC且已被標記為「經分配」之一元件聯繫多租戶控制器122時,該元件可被允許僅由一租戶「主張」。該元件可不被允許設置VPN。多租戶控制器122與元件之間的通信可經TLS加密且經PKI鑑認。元件至多租戶控制器122之通信可使用雙向憑證鑑認,其中元件將MIC用作用戶端憑證,且雙方可驗證由專有CA簽署其等憑證。
在一租戶之管理者登錄至多租戶控制器122中時,其等可查看分配至其等之所有當前在線的「可用」元件。管理者可驗證元件硬體ID與其等已排序之元件匹配且元件可安裝於正確顧客位置中。管理者接著手動地「主張」元件。此由管理者對多租戶控制器122提供此元件現可全面參與網路且可建立VPN之授權。
多租戶控制器122可將一新主張安裝憑證發出至元件(與硬體ID分離之一元件ID),且其可將該元件繫結至主張安裝憑證(CIC)中之租戶及簽署憑證。多租戶控制器122可將一單獨CIC CA用於簽署此憑證。多租戶控制器122及元件接著可基於MIC及類似者破壞既有通信通道,且與CIC建立一新通信通道。此可為一經TLS加密且經雙向憑證鑑認之通道,其中元件將CIC用作用戶端憑證,其中兩側可驗證由一可信CA簽署其等憑證。
在驗證元件與一CIC憑證進行通信時,多租戶控制器122可允許元件與顧客網路中之其他位點處之元件建立一VPN。因此,僅具有一租戶特定主張憑證之一手動授權元件可建立VPN。此可表示第二PKI層。
在已主張一元件之後,若一租戶具有其自身PKI基礎結構,則在
一管理者提出請求時,多租戶控制器122可使用來自租戶CA之經簽署憑證且多租戶控制器122可將經簽署之憑證安裝於元件上。可由管理者透過其等登錄手動地提供此等經簽署之憑證或多租戶控制器122可使用諸如SCEP(簡單憑證註冊協定)之協定來獲取經簽署之憑證。此等憑證可稱為「租戶安裝憑證」(TIC)且可由為租戶自身之PKI基礎結構之部分之一TIC CA及類似者簽署。
在安裝TIC之後,元件及多租戶控制器122可再次破壞與CIC通信建立之既有通信通道且接著再次將CIC或TIC用作用戶端憑證而與元件重新建立通信通道。此時,元件及多租戶控制器122兩者可進行類似於以CIC為基礎之通信之憑證驗證,如本文中所述。此外,多租戶控制器122驗證元件(若其與一CIC連接)亦可具有一經簽署之TIC,可由租戶之TIC CA簽署經簽署之TIC。此可表示第三PKI層。
除以MIC、CIC及TIC PKI為基礎之鑑認及授權外,租戶管理者亦可對暫時停止一特定主張之元件參與VPN進行控制。此可不撤銷憑證,而是僅可使該元件建立VPN之能力暫時失效。管理者可在未來某個時間啟用一已暫停元件以重新建立VPN。
若一MCI或CIC接近逾期或受損,則多租戶控制器122可將新簽署之憑證透明地分配給其等而無需管理者干預。對於TIC憑證,多租戶控制器122可透明地使用SCEP或其他協定來代表元件獲得新簽署之憑證。鑑於舊逾期或受損的MIC或CIC,顧客亦可手動地安裝TIC憑證。
在一顧客出於RMA(退貨授權)原因而不再想要使用一元件且想要處置元件或返還元件時,其等可「撤銷主張」元件。在一管理者撤銷主張元件時,多租戶控制器122可指示元件擦除其TIC以及CIC及相關聯私人金鑰。多租戶控制器122亦可將元件標記為撤銷主張且不再分配至顧客。多租戶控制器122可進一步將CIC標記為已撤銷且指示租戶CA將TIC標記為已撤銷。因此,元件進入「可用」狀態且不再能
夠參與建立VPN,此係因為其不具有CIC且未處於「所主張」狀態。
此三層鑑認及授權可對可為多租戶之前兩層提供深入安全性及一PKI基礎結構且可管理前兩層之一全憑證生命週期。第三層可具有以下能力:與一租戶環境中之既有PKI基礎結構整合;從一租戶CA獲取經簽署之憑證;及將經簽署之憑證用於對VPN建立之授權。此可給予管理者在元件被網路認可之前對一元件手動地授權(主張元件)且亦在管理者想要處置元件時對元件撤銷授權及類似者之全控制及能力。對一新憑證/金鑰之此授權之轉換可繫結至租戶或在透明地處置租戶所繫結之憑證/私人金鑰時被移除。對於一所主張元件,亦可依一容易使用之方式提供進一步粒狀VPN層級授權。
位點至位點網路化模型及底層VPN鏈路/隧道產生可基於動態規則進行。以多租戶控制器122為基礎之網路化模型可使用邏輯鏈路,該等邏輯鏈路接著可使用用於位點之間的通信之公共WAN(相同於網際網路142)網路或私人WAN(相同於MPLS 144)網路上之IPSEC隧道(亦稱為VPN鏈路或vpn鏈路)實現。多租戶控制器122可使用一以規則為基礎之方法來動態地建立及拆除位點之間的鏈路。以規則為基礎之方法可使用以下項之一或多者來決定何時建立及拆除隧道:˙位點類型(集線器或輪輻)之認知
˙輪輻位點之間的資料量之量
˙輪輻位點之間的應用效能
˙租戶管理者賦予之指示
在一位點與一WAN網路相關聯時,多租戶控制器122可產生一邏輯「位點WAN介面」及類似者。
對於屬於兩個單獨位點(無論是集線器或輪輻)之每對位點-WAN介面,多租戶控制器122可產生可為兩個位點之間的一邏輯連接之一鏈路。一鏈路可分成諸多類別,諸如:
˙集線器至輪輻(H2S)鏈路
˙輪輻至輪輻(S2S)鏈路
[動態規則1-預設]對於每個集線器至輪輻(H2S)鏈路,多租戶控制器122可指示兩個位點中之正確元件建立一IPSEC隧道以啟動鏈路。在輪輻中,正確元件可為一對中之當前現用元件。在集線器中,正確元件可為該輪輻位點之指定主要集線器元件。
[管理者規則1]多租戶控制器122可對管理者提供控制以不允許建立一特定H2S鏈路。多租戶控制器122可使用此指示且覆寫預設規則。
[動態規則2]多租戶控制器122可監測在各對輪輻位點之間且透過位點之間的MPLS 144或經由一集線器位點(其充當IPSEC隧道上之兩個輪輻之間的訊務之一轉變位點(即,訊務在一IPSEC隧道上從輪輻1前往集線器位點A且在一第二IPSEC隧道上從集線器位點A前往輪輻2))行進之訊務之總量及類似者。若在某個時間週期內訊務量超出基於一公式之某個臨限值,則多租戶控制器122可決定應啟動輪輻之間的鏈路。多租戶控制器122可指示兩個輪輻位點中之元件在輪輻位點之間直接建立一IPSEC隧道,使得輪輻位點之間的訊務可使用輪輻位點之間的直接IPSEC隧道。
[動態規則3]對於使用[動態規則2]啟動之鏈路,多租戶控制器122可繼續監測兩個輪輻位點之間的訊務之總量。若某個時間週期內之總量下降至低於一特定臨限值,則多租戶控制器122可決定撤銷啟動鏈路。多租戶控制器122可指示兩個位點中之兩個元件毀壞IPSEC隧道。
[動態規則4]多租戶控制器122可針對以下應用監測各對輪輻位點之間的應用效能:資料透過位點之間的MPLS 144或經由一集線器位點(其充當用於IPSEC隧道上之兩個輪輻之間的訊務之一轉變位點
(即,訊務在一IPSEC隧道上從輪輻1前往集線器位點A且在一第二IPSEC隧道上從集線器位點A至輪輻2))行進。若應用效能不良,則基於直接位於兩個位點之間的IPSEC VPN之歷史延時及頻寬資訊或基於模型化及預測分析及類似者,多租戶控制器122可決定啟動兩個輪輻位點之間的鏈路。
[管理者規則2]多租戶控制器122可對租戶管理者提供控制以永久性地允許建立一特定輪輻至輪輻鏈路。多租戶控制器122可將此指示用作一規則改寫。
[管理者規則3]多租戶控制器122可對租戶管理者提供控制以不允許建立一特定輪輻至輪輻鏈路。多租戶控制器122可將此指示用作一規則覆寫。
傳統IPSEC VPN可具有以下方法之一者:˙在各路由器162上指定一手動組態之輪輻以指示其應與哪些其它路由器162建立VPN;或˙指定輪輻路由器162可聯繫一集線器路由器162用於所有訊務且若集線器路由器162可決定訊務是否意在用於另一輪輻位點,則其接著可告知發端輪輻路由器162與目的地輪輻路由器162直接建立一IPSEC VPN。
當前所揭示之非限制性實施例可提供以下新功能之一或多者:˙對跨所有可組態裝置建立IPSEC提供一多租戶控制器122驅動之中心控制
˙提供輪輻至集線器IPSEC隧道之動態建立作為零組態預設
˙在位點之間提供一應用效能驅動之IPSEC隧道建立
˙在位點之間提供一資料量驅動之IPSEC隧道建立
˙提供租戶管理者賦予之指示方法以永久性地允許兩個位點使用公共WAN或私人WAN上之IPSEC隧道始終與各者進行通信
˙提供租戶管理者賦予之指示方法以永久性地不允許兩個位點使用公共WAN或私人WAN上之IPSEC隧道與各者進行通信
既有集中金鑰產生(Kerberos及群組VPN及類似者)可需要多租戶控制器122始終可用。此等可在一高度可靠LAN或WAN環境內操作,歸因於上述原因,中心金鑰產生器之網路可達性可用一極高SLA予以保證。然而,對於僅可在網際網路電路上到達之一集中多租戶控制器122,可能的是,歸因於多個ISP,在多租戶控制器122可達性中可存在一干擾。此等中斷可歸因於自然災害、洲際海底電纜中斷、核心同級點處之設備故障及類似者而發生。此等干擾可持續數小時至數天之一週期及類似者。在此一案例中,金鑰產生可不對加密資料通道提供高可用性及彈性。
根據本發明之方法及系統,可在無法聯繫一多租戶控制器122時提供VPN高可用性。在多租戶控制器122驅動之模型中(其中由一多租戶控制器122對於待建立IPSEC隧道之兩個位點集中地產生共用秘密),可能的是,歸因於先前說明之網路連接問題或一顧客內部網路,可能無法聯繫多租戶控制器122達某個延長週期。由於共用秘密可逾期,故多租戶控制器122可按需藉由一組元件產生新共用秘密,然而若元件無法聯繫多租戶控制器122,則其等可能無法獲得新共用秘密,其最終將導致IPSEC隧道失效,藉此干擾資料路徑訊務。
此所揭示之非限制性實施例提供一種用來允許資料路徑依一無頭(裝置主動運作但無法與多租戶控制器122進行通信)模式操作達延長時間週期之機制。多租戶控制器122可基於掛鐘對一共用秘密分配一固定有效週期。對於各IPSEC資料隧道,多租戶控制器122可發出在未來具有開始及結束有效週期之多個共用秘密。經發出之共用秘密之數目可涵蓋全無頭週期。若已建立一IPSEC隧道之兩個元件無法聯繫多租戶控制器122,則其等仍可具有足以在無頭週期內對IPSEC資
料隧道進行金鑰重設之共用秘密。
基於安全考量及標準化最佳實踐,一多租戶控制器122可判定使用一特定共用秘密之一最大有效週期。在多租戶控制器122決定使用一IPSEC資料隧道啟動一鏈路時,多租戶控制器122可針對兩個元件產生一共用秘密且基於掛鐘產生共用秘密之開始及結束有效時間。開始時間可為當前掛鐘時間之前的一時間且結束時間可為超出當前掛鐘之一時間。開始時間之判定可基於嘗試獲得一開始時間公平分佈之一特定分佈演算法。多租戶控制器122可對於數百萬個VPN鏈路發出新共用秘密,且公平分佈確保多租戶控制器122可均勻地經加載且不經歷再發出負載之峰值。多租戶控制器122可具有一預設無頭週期值。該值可藉由一租戶管理者在一多租戶控制器122指定之最小及最大範圍內變更等。多租戶控制器122可使用無頭週期值且藉由最大共用秘密有效週期劃分該無頭週期值以獲得其應產生以涵蓋無頭有效週期之最大數目個共用秘密。多租戶控制器122可將預分配之共用秘密之完整清單發送至兩個元件。元件可使用第一共用秘密且在第一共用秘密逾期之前的某個週期時,元件通知多租戶控制器122請求一新共用秘密以確保其等繼續具有涵蓋無頭週期之共用秘密之填充管道。多租戶控制器122可回應於聯繫其之第一元件且將單個新共用秘密發送至具有IPSEC資料隧道之兩個元件。多租戶控制器122可產生多個共用秘密以確保從當前時間至最大無頭週期之總週期完全涵蓋有足夠數目個共用秘密。若元件無法聯繫多租戶控制器122來發送通知,則其仍可繼續使用來自預分配清單之下一可用共用秘密。若元件之同級元件可通知多租戶控制器122,則多租戶控制器122可產生一新共用秘密。若兩個元件無法聯繫多租戶控制器122,則多租戶控制器122可不發出一新共用秘密。
若兩個元件無法聯繫多租戶控制器122且多個共用秘密已逾期但
此後其中一或多者能夠聯繫多租戶控制器122,則多租戶控制器122可遵循相同方法且可發出多個共用秘密以涵蓋始於當前時間之無頭週期。若僅一個元件可聯繫多租戶控制器122,則其可繼續請求來自多租戶控制器122之新共用秘密。若一個(或兩個元件)無法聯繫多租戶控制器122且其已(或其等已)消耗所有共用秘密,則此意謂著元件(或兩個元件)可在許可最大無頭週期外操作。在此情況下,元件可破壞IPSEC隧道。元件之同級(若其能夠與多租戶控制器122交談)可繼續請求來自多租戶控制器122之新共用秘密,即使其無法使用新共用秘密。因此,只要任何一個元件可聯繫多租戶控制器122,共用秘密刷新機制則可進行操作。
此所揭示之非限制性實施例可允許使用僅可經由網際網路142聯繫之一以雲端為基礎之多租戶控制器122來發出集中金鑰,但仍確保在暫時干擾之情況下,在聯繫多租戶控制器122中對既有經加密資料通道(IPSEC)存在零影響,同時確保保留加密之安全性。
集中管理之填充IP位址(shim IP address)可用來最佳化IPSEC安全政策。在多個公共WAN或私人WAN介面上具有多個IPSEC VPN隧道之一輪輻可需要基於政策及類似者決定其應使用哪個出口VPN隧道。輪輻可維持當前現用之IPSEC VPN隧道安全關聯(SA)及類似者之一資料性。一隧道可由一對SA組成,一者在輸入方向上且另一者在輸出方向上。各隧道可使用以下參數之一或多者在內核中予以識別-稱為安全參數索引(SPI)之一32位元索引;及IPSEC同級之目的地IPv4或IPv6位址及類似者。各應用流可映射至該對IPSEC SA且此映射可在內核中使用一安全政策資料庫(SPD)中予以實現。此資料庫可由可具有基於應用流之標頭欄位之欄位之分類規則組成。對於一應用流之各封包,欄位可經提取以形成根據SPD中之分類規則完成之一金鑰及一查找。
SPD中之條目之數目可變得極大。作為具有1000個使用者(各使用者具有兩個裝置)之一輪輻之一實例,各裝置具有20至30個應用流可導致SPD中之40,000至60,000個條目。此可使SPD查找變慢且可對封包處理添加延時。
此外,每當存在一新應用流時或在一既有應用流結束時,可必須修改SPD,且在修改SPD時,SPD不可用於封包處理,其可使封包處理進一步延遲。應用流之添加或刪除可為一頻繁活動。甚至對於具有數千個SPD條目之較小分支152,此亦可為一問題。所揭示之非限制性實施例可提供每個IPSEC隧道可使用一填充IP位址之一額外填充IP標頭之使用。此填充IP標頭可在完成SPD查找之前附屬於應用流。填充IP標頭之使用可大大地減小SPD中條目之數目。由於填充IP繫於IPSEC隧道且隧道之產生/刪除相較於應用流產生/刪除可依一明顯更低速度發生,故SPD可依一極低速率更新。此兩個因素可改良封包處理效能。
各IPSEC隧道可被賦予為一64位元號之一路徑ID,且對於各類此路徑ID,多租戶控制器122可對IPSEC隧道之各側指派一對填充IP位址。
在完成一政策查找之後,資料路徑可判定一路徑ID且接著可使路徑ID附帶一填充IP標頭,包含該對填充IP位址。接著可僅使用填充IP位址查找安全政策資料庫。對於具有1000個IPSEC隧道之一輪輻,此可導致相較於具有1000個使用者之一分支152具40,000至60,000個條目僅具有1000個條目之一SPD。對於具有50個使用者及2000至3000個流之較小分支152,相較於應用流之變更速率,變更IPSEC隧道之速率可降低至1/X。相較於基於應用流標頭欄位SPD將發生什麼,此可導致SPD之一極低變更速率。多租戶控制器122可使用一資料庫驅動之演算法來管理IP位址空間。演算法可具高擴展性且可跨數萬個租戶
管理數億個流之填充IP。使用一填充IP標頭來改良SPD查找效能可係有利的。使用一多租戶控制器122驅動之具高擴展性之多租戶填充IP位址管理可係有利的。
內嵌BFD可用於IPSEC VPN隧道健康管理及控制協商。傳統IPSEC控制協定可使用稱為「失效同級偵測」(DPD)之一方法,若一同級失效,則該方法可為一控制通道偵測方法。由於傳統IPSEC控制通道可在頻帶外,故控制通道可係健康的,而資料通道仍可失效。例如,控制通道可在可被一防火墻允許之UDP埠500上運行,但可阻擋資料通道IPSEC ESP。
若失效同級偵測偵測到控制通道失效,則其可拆除資料通道且同級可使用IKE或IKEv2及類似者來建立一新資料通道。因此,控制通道發信號可用來判定一資料通道之健康狀況。然而,可能的是,資料通道可運作良好且問題僅係控制通道相關的。此可致使在資料通道訊務中發生不必要干擾。取代使用DPD,當前所揭示之非限制性實施例可藉由在IPSEC VPN隧道之兩端之間發送雙向轉遞偵測(BFD)訊息而在資料通道內使用頻帶內發信號。此可確保快速地偵測資料通道故障。若BFD指示一資料隧道失效,則其可觸發控制通道以開始協商並判定故障原因。控制通道可不立即毀壞IPSEC SA但替代地保持其等有效直至硬逾期為止。此可確保若資料隧道中之干擾係暫時的,則可不毀壞隧道,而是一旦干擾消失即可使用隧道。多租戶控制器122相關聯方法可將公共WAN或私人WAN上之各IPSEC資料隧道看作兩個元件之間的一直接路徑。BFD可用來確保此路徑健康且可用。此可類似於路由將如何使用BFD來偵測直接連接至鄰近路由器162之一實體電路之健康狀況及類似者。
兩側將BFD用作可在兩側上使用填充IP位址作為源及目的地IP位址來發送BFD訊息之一應用。在IPSEC VPN控制背景程式建立一
IPSEC資料隧道時,其可對BFD背景程式發信號以產生一BFD工作階段。其可對BFD封包提供源及目的地IP且亦對該工作階段提供路徑ID。BFD背景程式可根據RFC 5880發送BFD封包。BFD訊息間隔可保持為750ms。此可導致一2.25秒之故障偵測週期。若BFD背景程式偵測到隧道失效,則其可對IPSEC VPN控制背景程式發信號且對隧道提供路徑ID。IPSEC控制背景程式接著可與一相關同級開始控制通道協商以找出故障原因並採取正確行動。BFD背景程式可繼續發送回波封包且若其發現資料隧道有效,則其可使用路徑ID對VPN控制背景程式再次發信號以指示IPSEC隧道有效。使用BFD作為頻帶中發信號來指示IPSEC資料隧道之健康狀況可係有利的。使用資料隧道健康故障來驅動IPSEC控制通道協商反而可係有利的。
根據本發明之方法及系統,VPN隧道健康管理可針對頻寬係最佳的。如本文中所說明,可組態裝置124可將BFD用於監測IPSEC資料隧道之健康狀況。為了支援從一現用IPSEC資料隧道至一備用IPSEC資料隧道之快速故障復原且最小化訊務干擾,在一項所揭示之非限制性實施例中,可組態裝置124可頻繁如750ms般發送BFD回波封包。在從一分支152至其他資料中心128及分支124存在大數目個IPSEC隧道(諸如數千個)時,BFD訊務之量可較大。為了減少BFD訊務之頻寬消耗但仍進行快速故障偵測,本發明可將在一隧道上所接收之經加密應用訊務用作隧道有效且抑制BFD回波封包之一指示。在缺乏應用訊務之情況下,BFD封包可用來檢查隧道之健康狀況。在此方法之一變體中,應用訊務封包亦可用來攜帶BFD發信號資訊。
NAT可對VPN隧道並且在具有及不具有NAT之情況下對VPN隧道之IP位址變更管理進行整合。在兩個位點中且需要建立一VPN鏈路之裝置可在一網路位址轉譯器(NAT)後方。NAT可為具有埠位址轉譯器(PAT)類型之NAT及類似者之一目的地IP NAT或一源NAT。NAT裝置可
重新啟動且在重啟時,NAT裝置亦可經歷其等面向WAN之介面之一IP位址變更。IPSEC隧道之僅一側可在一NAT後方。可組態裝置124自身可具有可經歷變更之靜態IP位址或DHCP IP位址。NAT裝置可為具有可從允許IPSEC移動至不允許IPSEC訊務且反之亦然之規則之一防火墻NAT。若NAT裝置不允許訊務,則NAT裝置可保持一快取阻斷入口(其需要逾時),否則即使政策移動至允許,IPSEC工作階段仍可歸因於一快取阻斷IPSEC入口而被阻斷。
本文中所述之所揭示非限制性實施例可確保在多數前述案例中保持IPSEC資料隧道且僅只要在可組態裝置124之一者之前存在一NAT裝置,則需要IPSEC資料隧道。若在兩個可組態裝置124前方存在一NAT裝置,則其等之一者應為一目的地NAT裝置。
此所揭示之非限制性實施例可使用起始者及回應者之概念以及多租戶控制器122之用途以向各側告知同級之IP位址。若在一方前方中存在目的地NAT,則其可需要多租戶控制器122指定僅該NAT之IP位址為同級目的地IP。本文中所述之所揭示非限制性實施例可使用NAT穿越。例如,其可透過UDP發送IPSEC封包。雙方可發送請求訊息,其中雙方可攜帶關於初始裝置之原始IP位址及埠號以及可發送封包至其之IP位址及埠之特定有效負載。接收裝置可比較此資訊與最外面NAT穿越UDP/IP標頭之IP及埠。使用此,各方查出其是在一靜態NAT還是動態NAT後方或者同級是可在一靜態NAT還是可在動態NAT後方及類似者。基於此,兩者可導出其等角色為起始者或回應者。一旦建立此角色,雙方即可完成其等控制通道通信以建立一IPSEC資料隧道。雙方亦可追蹤各側之IP位址之動態變更且透明地更新其等遠端位址,同時最小化訊務干擾。若歸因於IP或NAT角色變更、NAT重啟、NAT政策變更及類似者,資料通道可失效,則控制隧道可嘗試重新建立起始者及回應者之概念且必要時可允許角色變更以保持控制通
道有效。若存在歸因於一快取阻斷入口(其逾時不因連續控制通道協商封包而中斷)而阻斷控制通道通信之防火墻NAT裝置,則可組態裝置124上之控制通道可使用一指數型退避逾時方法來決定何時傳輸下一控制通道封包。使用此,雙方可在發送下一控制通道封包之前等待數秒至數分鐘。此可允許防火墻NAT使其等之快取阻斷入口逾期。防火墻NAT上之經更新政策可允許控制通道通信且一旦歸因於逾期而刪除快取阻斷入口,則可由防火墻NAT插入一新許可入口。歸因於此,可組態裝置124之間的控制通道通信最終可成功。在具有及不具有NAT之情況下對於位點至位點IPSEC VPN追蹤可組態裝置124之IP位址之能力可係有利的。追蹤源NAT裝置之IP位址之變更之能力可係有利的。使用指數型退避時間來發送下一控制封包之能力可係有利的。
可跨租戶且跨單個租戶內之位點偵測應用。如上述其他實施例中所述,本文中所述之方法及系統可引入新穎方法來動態地偵測應用。從一或多個位點動態地學習之應用識別資訊亦可藉由多租戶控制器122學習且推送至相同租戶之其他位點。
此外,由於多租戶控制器122遞送為一雲端遞送、多租戶服務,故可聚合及清除在多租戶控制器122處所學習之資訊,且此經聚合資訊亦可分佈至其他租戶之位點。上述兩者可允許跨位點及租戶之應用識別之集體改良。若無此改良,則在一個位點處所學習之資訊可保持在相同位點處本端化,且每個位點可必須獨立地經歷學習程序。此收集及分發可允許應用定義之極快收斂。例如,若位點處之一裝置得知srv1.lync-int.com與office365相關聯,則所有其他位點即可極快地知道此情況。
輪輻裝置可使用如本文中之實施例中所述之以錨域為基礎之方法偵測應用,更具體言之SaaS應用604。在所有所提及方法中,應用定義可隨著訊務開始流動通過輪輻裝置而恆定地經細化。此等細化經
推送至多租戶控制器122,其中該等細化可透過分析平台予以聚合及清除,且可分佈至相同租戶之其他位點及其他租戶之位點。此為涉及裝置及多租戶控制器122之一慢速回饋迴路之另一實例。
WAN之當前可用解決方案涉及可手動地提供或透過僅停止管理裝置及類似者之一中心管理站(mgmt.station)提供之器具及路由器162。本文中所述之所揭示非限制性實施例針對應用定義之學習及分發、針對廣域網路化空間提供一新的以多租戶控制器122為基礎之方法。
在一項所揭示之非限制性實施例中,多租戶控制器122相關聯方法可涉及輪輻裝置無法與一應用相關聯之所有HTTP域名,且可對所有HTTP域名進行識別、分析及歸類以增強應用定義,例如以便判定相關性及不相關性。
可組態裝置124可檢查進入及離開一分支152之所有訊務,且收集嘗試使其等與已知應用動態地相關聯之HTTP域名之集,如上述實施例中所述。尚未被發現與一已知應用相關之所有域名可經聚集且發送至多租戶控制器122以便進行進一步分析。在多租戶控制器122處,可使用資料挖掘技術及類似者分析此等域名,且可將該等域名進一步分類成以下類別之一或多者:˙新應用,其導致新應用定義
˙既有應用,其導致既有應用之增強
˙不感興趣,且因此被忽略
此可有助於改良總系統識別應用之效率。
本文中所揭示之非限制性實施例描述一種可基於在一顧客網路上觀察到之訊務恆定地且自動地演進及調適之WAN網路。
如本文中所述,一多租戶控制器122允許在實際上作出網路變更之前計劃及視覺化變更(即,視覺化)。在此一「預覽」模式中,網路
管理者能夠作出所提議變更且依不同方式查看其效應。在此等變更及效應被視作為管理者使用者所滿意時,他/她將想要提交網路變更且因此將所計劃變更轉換至所提交變更。此可允許「網路」被看作一資料庫-資產、組態、狀態及統計之集合。資料庫經版本化,其允許隨著一序列提交異動追蹤資料庫變更。正如允許其各種軟體組件透過一系列提交及合併版本化及追蹤之一源碼控制及版本化系統,此可允許「網路」版本化。
管理者使用者基於一網路版本「預覽」其變更及其效應,且一旦得到滿足且其準備好提交變更,多租戶控制器122即產生一新網路版本。多租戶控制器122可追蹤並保持一個以上網路版本,使得若任何變更導致損害網路,則管理者可返回至一先前「安全」的網路版本。
多租戶控制器122可允許比較兩個不同版本,其將突顯組態及資產庫存變更。多租戶控制器122除可保持從網路收集之統計外,亦可保持所有組態、資產庫存及狀態資訊。一網路版本為在產生版本時組態、資產庫存及狀態之一快照。對於統計,版本化為添加至從網路收集之統計資料之時間序列之一版本記錄。為了比較兩個版本,多租戶控制器122對表示兩個版本之兩個快照作「比較」。不依相同方式比較統計。替代地,可在版本及其各自存在時間之內容脈絡中分析統計。
如在其他實施例中所提及,一多租戶控制器122從雲端遞送且管理者使用者在一個中心位置處與系統互動,且可包括一半分佈式控制平面快取記憶體(具有對應統計)。然而,此並非意謂著部署於一顧客網路中之所有元件需要進入此單個中心位置以擷取其等提供資訊且執行其等功能。替代地,多租戶控制器122功能經分解且延時敏感功能之一些跨全域分佈以產生對元件之較佳回應時間。一顧客網路中之元件可跨廣泛地域部署。此等元件可能需要提取其等提供資訊且將精細
統計推送至多租戶控制器122。若多租戶控制器122功能之所有集中為如網路入口及API閘道,則元件可在與多租戶控制器122進行通信及有效地執行其等功能中經歷高延時。為了緩解此情況,金鑰延時敏感多租戶控制器122功能之一些經分解且跨全域分佈,同時其餘功能保持集中化。所有此等功能在後端中發生,且顧客不知道所有此等功能,且其等繼續進入一個位置以與系統互動。此等功能跨廣泛地域分佈但從顧客觀點仍用作一集中化多租戶控制器122可係有利的。
可在資料路徑層處提供效能、路徑選擇、服務(SERVICE)及VXWAN選擇之多階段、多因素分類及政策執行。政策可使用關於以應用、身份、效能、路徑、服務(SERVICE)及VXWAN為基礎之隔離之較高級構造。但,可用於傳入流封包之資訊係在較低網路層114處。傳入流及封包可需要藉由一網路層及一更高政策層112兩者處之資料路徑予以分類以找出其等與哪個政策規則匹配。此涉及使用一兩階段分類。
在此兩階段分類之後,資料路徑可需要基於政策中之VXWAN 204、服務(SERVICE)、效能及路徑指令選擇最佳應用路徑。資料路徑可使用確保政策滿足最佳可能應用效能108及應用可達性110之一特定機制。
一政策集可由政策規則組成。各政策規則可指定分類行,包含一應用及一身份。可使用以較高級L7構造及可能多個L7規則表示為基礎之規則指定一應用。一應用自身可包含一應用群組。
類似地,可使用一以字串為基礎之名稱指定身份。各身份可指定一個別使用者168或裝置,或可指定一群組使用者168或裝置,且在一些情況下群組可識別其他群組。各政策規則亦可指定在訊務匹配分類行時採取之動作。動作係關於效能、路徑指示、服務(SERVICE)及VXMAN隔離。可存在多個政策規則,其形成一政策集之部分。一政
策集可應用於多個位點。一多租戶控制器122將一政策集之所有政策規則發送至位點中之元件之資料路徑。
在各政策規則中,一多租戶控制器122可將應用規範轉換成一應用ID或應用ID清單且將身份規範轉換成一身份ID清單。多租戶控制器122可將路徑指示轉換成一路徑ID清單,將服務(SERVICE)轉換成服務ID(SERVICE ID),將VXWAN 204轉換成網路隔離識別符且將效能轉換成一效能ID。多租戶控制器122接著可使用此等ID形成政策規則並將政策規則發送至元件資料路徑。多租戶控制器122亦對各政策規則提供一ID。
一資料路徑可使用多階段分類方法來對訊務分類。在第一階段中,資料路徑可採取應用訊務且識別訊務為屬於一特定應用ID或一應用ID清單且為屬於一身份ID或一身份ID清單。作為第一分類階段之部分,一資料路徑可使用將應用及身份ID映射至網路層級構造(諸如IP位址、TCP及UDP埠、IP DSCP(差異服務碼點)欄位、層2 VLAN標籤、層2 VLAN優先級等)之一組輔助模組。在第二階段中,資料路徑可採取來自第一階段之ID且進行另一分類查找以識別與訊務匹配之政策規則。若多個政策規則與傳入訊務匹配,則資料路徑可將一特定演算法用於消歧。資料路徑可將應用及身份欄位以及路徑、SERVICE、VXWAN 204及效能欄位兩者用於消歧。
在發現與一政策規則匹配時,資料路徑可使用政策中之動作欄位以便執行政策。為此,資料路徑可使用輔助模組以將路徑ID映射至資料路徑層級之下一跳躍介面或隧道,以將效能ID映射至資料路徑層級BW控制佇列且將網路隔離識別符映射至網路路徑層級囊封填充碼。資料路徑可使用基於VXWAN指示、服務(SERVICE)指示、路徑指示規則及效能指示需要對路徑選擇排序之一特定演算法。
一旦已與一最終政策規則匹配,則資料路徑可添加傳入流之一
流條目且後續封包屬於使用流條目而非使用經歷完整多階段分類之流。
雖然已出於安全性之目的在資料路徑層處使用一應用及/或身份,但依資料路徑層級將應用及身份兩者用於路徑選擇、用於應用效能及隔離可係有利的,且基於路徑指示、隔離需要及效能需要之一組合選擇最佳路徑可係有利的。
可透過執行一處理器上之電腦軟體、程式碼及/或指令部分地或全部地部署本文中所述之方法及系統。處理器可為一伺服器160、用戶端512、網路基礎結構、行動計算平台、靜止計算平台或其他計算平台之部分。一處理器可為能夠執行程式指令、程式碼、二進位指令等之任何種類之計算或處理裝置。處理器可為或包含可直接或間接促進執行儲存於其上之程式碼或程式指令之一信號處理器、數位處理器、嵌入式處理器、微處理器或任何變體,諸如一協同處理器(數學協同處理器、圖形協同處理器、通信協同處理器及類似者)。此外,處理器可使得能夠執行多個程式、線程及程式碼。線程可經同時執行以增強處理器效能且促進應用之同時操作。藉由實施方案,本文中所述之方法、程式碼及程式指令及類似者可在一或多個線程中予以實施。線程可產生可具有與其等相關聯之經指派優先級之其他線程;處理器可基於優先級執行此等線程或基於程式碼中所提供之指令執行任何其他次序。處理器可包含儲存如本文中及別處所述之方法、程式碼、指令及程式之記憶體。處理器可透過一介面存取可儲存如本文中及別處所述之方法、程式碼及指令之一儲存媒體。與處理器相關聯且用於儲存能夠由計算或處理裝置執行之方法、程式、程式碼、程式指令或其他類型之指令之儲存媒體可包含但不限於以下項之一或多者:一CD-ROM、DVD、記憶體、硬碟機、快閃碟、RAM、ROM、快取記憶體等。
一處理器可包含可增強一多處理器之速度及效能之一或多個核心。在實施例中,該處理器可為組合兩個或更多個獨立核心(稱為晶粒)之一雙核處理器、四核處理器、其他晶片級多處理器及類似者。
可透過執行一伺服器160、用戶端512、防火墻、閘道、集線器、路由器162或其他此類電腦及/或網路化硬體上之電腦軟體之一機器部分地或全部地部署本文中所述之方法及系統。軟體程式可與一伺服器160相關聯,其包含一檔案伺服器、列印伺服器、域伺服器、網際網路伺服器、內部網路伺服器及其他變體,諸如次要伺服器、主機伺服器、分佈式伺服器及類似者。伺服器160可包含以下項之一或多者:能夠透過一有線或一無線媒體存取其他伺服器160、用戶端512、機器及裝置之記憶體、處理器、電腦可讀媒體、儲存媒體、埠(實體及虛擬)、通信裝置及介面及類似者。可由伺服器160執行如本文中及別處所述之方法、程式或程式碼。此外,執行如本申請案中所述之方法所需之其他裝置可被視為與伺服器160相關聯之基礎結構之一部分。
伺服器160可提供至其他裝置之一介面,包含但不限於用戶端512、其他伺服器160、列印機、資料庫伺服器、列印伺服器、檔案伺服器、通信伺服器、分佈式伺服器及類似者。此外,此耦合及/或連接可促進跨網路之遠端程式執行。此等裝置之一些或所有之網路化可促進在不背離本發明之範疇之情況下於一或多個位置處平行地處理一程式或方法。此外,透過一介面附接至伺服器160之所有裝置可包含能夠儲存方法、程式、程式碼及/或指令之至少一個儲存媒體。一中心儲存庫可提供待於不同裝置上執行之程式指令。在此實施方案中,遠端儲存庫可充當程式碼、指令及程式之一儲存媒體。
軟體程式可與一用戶端512相關聯,該用戶端可包含一檔案用戶端、列印用戶端、域用戶端、網際網路用戶端、內部網路用戶端及其
他變體,諸如次要用戶端、主機用戶端、分佈式用戶端及類似者。用戶端512可包含以下項之一或多者:能夠透過一有線或一無線媒體存取其他用戶端、伺服器160、機器及裝置之記憶體、處理器、電腦可讀媒體、儲存媒體、埠(實體及虛擬)、通信裝置及介面及類似者。可由用戶端512執行如本文中及別處所述之方法、程式或程式碼。此外,執行如本申請案中所述之方法所需之其他裝置可被視為與用戶端512相關聯之基礎結構之一部分。
用戶端512可提供至其他裝置之一介面,包含但不限於伺服器160、其他用戶端512、列印機、資料庫伺服器、列印伺服器、檔案伺服器、通信伺服器、分佈式伺服器及類似者。此外,此耦合及/或連接可促進跨網路之遠端程式執行。此等裝置之一些或所有之網路化可促進在不背離本發明之範疇之情況下於一或多個位置處平行地處理一程式或方法。此外,透過一介面附接至用戶端512之所有裝置可包含能夠儲存方法、程式、程式碼及/或指令之至少一個儲存媒體。一中心儲存庫可提供待在不同裝置上執行之程式指令。在此實施方案中,遠端儲存庫可充當程式碼、指令及程式之一儲存媒體。
可透過網路基礎結構部分地或全部地部署本文中所述之方法及系統。網路基礎結構可包含以下元件,諸如:此項技術中已知之計算裝置、伺服器160、路由器162、集線器、防火墻、用戶端512、個人電腦、通信裝置、路由裝置以及其他現用及被動裝置、模組及/或組件。與網路基礎結構相關聯之計算及/或非計算裝置可包含(除其他組件外)一儲存媒體,諸如快閃記憶體、緩衝器、堆疊、RAM、ROM及類似者。可由網路基礎結構元件之一或多者執行本文中及別處所述之程序、方法、程式碼、指令。
可在具有多個單元之一蜂巢式網路上實施本文中及別處所述之方法、程式碼及指令。蜂巢式網路可為分頻多重存取(FDMA)網路或
分碼多重存取(CDMA)網路。蜂巢式網路可包含行動裝置、行動位點、基地台、轉發器、天線、塔及類似者。
可在行動裝置上或透過行動裝置實施本文中及別處所述之方法、程式碼及指令。行動裝置可包含導航裝置、手機、行動電話、行動個人數位助理、膝上型電腦、掌上型電腦、筆記型電腦、傳呼機、電子書閱讀器、音樂播放機及類似者。此等裝置可包含(除其他組件外)一儲存媒體,諸如一快閃記憶體、緩衝器、RAM、ROM及一或多個計算裝置。與行動裝置相關聯之計算裝置可能夠執行儲存於其上之程式碼、方法及指令。替代地,行動裝置可經組態以在與其他裝置協作下執行指令。行動裝置可與和伺服器160介接且經組態以執行程式碼之基地台進行通信。行動裝置可在一同級式網路、網狀網路或其他通信網路上進行通信。程式碼可儲存於與伺服器160相關聯且由嵌入伺服器160內之一計算裝置執行之儲存媒體上。基地台可包含一計算裝置及一儲存媒體。儲存裝置可儲存由與基地台相關聯之計算裝置執行之程式碼及指令。
電腦軟體、程式碼及/或指令可儲存及/或存取於機器可讀媒體上,該機器可讀媒體可包含:保存用於在一定時間間隔內計算之數位資料之電腦組件、裝置及記錄媒體;稱為隨機存取記憶體(RAM)之半導體儲存裝置;通常用於更永久性儲存之大容量儲存裝置,諸如光碟、某種形式之磁性儲存裝置,如硬碟、磁帶、磁鼓、磁卡及其他類型;處理器暫存器、快取記憶體、揮發性記憶體、非揮發性記憶體;光學儲存裝置,諸如CD、DVD;可抽換式媒體,諸如快閃記憶體(例如,USB棒或金鑰)、軟碟、磁帶、紙帶、穿孔卡、獨立RAM磁碟、Zip磁碟機、可抽換式大容量儲存裝置、離線裝置及類似者;其他電腦記憶體,諸如動態記憶體、靜態記憶體、讀取/寫入儲存裝置、易變儲存裝置、唯讀儲存裝置、隨機存取儲存裝置、循序存取儲存裝
置、位置可定址儲存裝置、檔案可定址儲存裝置、內容可定址儲存裝置、網路附接儲存裝置、儲存區域網路、條碼、磁性墨水及類似者。
本文中所述之方法及系統可將實體及/或無形項目從一種狀態變換至另一狀態。本文中所述之方法及系統亦可將表示實體及/或無形項目之資料從一種狀態變換至另一狀態。
本文中所述及所描繪之元件(包含遍及附圖之流程圖及方塊圖)暗指元件之間的邏輯邊界。然而,根據軟體或硬體工程實踐,所描繪之元件及其功能可透過具有能夠執行儲存於其上之程式指令之一處理器之電腦可執行媒體而在機器上實施為一單片軟體結構、獨立軟體模組或採用外部常式、程式碼、服務等之模組或此等裝置之任何組合,且所有此等實施方案可在本發明之範疇內。此等機器之實例可包含但不限於個人數位助理、膝上型電腦、個人電腦、行動電話、其他手持型計算裝置、醫療設備、有線或無線通信裝置、傳感器、晶片、計算器、衛星、平板PC、電子書、小配件、電子裝置、具有人工智慧之裝置、計算裝置、網路化設備、伺服器160、路由器162及類似者。此外,可在能夠執行程式指令之一機器上實施流程圖及方塊圖中所描繪之元件或任何其他邏輯組件。因此,雖然前述圖式及描述陳述所揭示系統之功能態樣,但不應從此等描述推斷用於實施此等功能態樣之特定配置,除非內容脈絡明確陳述或依其他方式顯而易見。類似地,將明白,上文所指出及所述之各種步驟可變化,且步驟次序可適於本文中所揭示之技術之特定應用。所有此等變動及修改意欲於落於本發明之範疇內。如此,各種步驟之一次序之描繪及/或描述不應被理解為需要依一特定次序執行該等步驟,除非一特定應用要求、或內容脈絡明確陳述或依其他方式顯而易見。
可在適於一特定應用之硬體、軟體或硬體及軟體之任何組合中實現上文所述之方法及/或程序及其步驟。硬體可包含一專用計算裝
置或特定計算裝置、或一特定計算裝置之特定態樣或組件。可在一或多個微處理器、微控制器、嵌入式微控制器、可程式化數位信號處理器或其他可程式化裝置連同內部及/或外部記憶體中實現程序。亦可或替代地在可經組態以處理電子信號之一應用特定積體電路、一可程式化閘陣列、可程式化陣列邏輯或者任何其他裝置或裝置組合中體現程序。將進一步明白,程序之一或多者可實現為能夠在一機器可讀媒體上執行之一電腦可執行碼。
可使用一結構化程式設計語言(諸如C)、一面向物件程式設計語言(諸如C++)或者任何其他高級或低級程式設計語言(包含組合語言、硬體描述語言、及資料庫程式設計語言及技術)產生電腦可執行碼,該結構化程式設計語言可經儲存、經編譯、經解譯以在上述裝置以及處理器、處理器架構之異質組合或不同硬體及軟體之組合或能夠執行程式指令之任何其他機器之一者上運行。
因此,在一個態樣中,上文所述之各方法及其組合可依電腦可執行碼予以體現,該電腦可執行碼在一或多個計算裝置上執行時執行方法步驟。在另一態樣中,方法可在執行其步驟之系統中予以體現,且可依數種方式跨裝置分佈,或所有功能可整合至一專用的獨立裝置或其他硬體中。在另一態樣中,用於執行與上文所述之程序相關聯之步驟之構件可包含上文所述之硬體及/或軟體之任一者。所有此等置換及組合意欲於落於本發明之範疇內。
雖然已結合詳細展示及描述之較佳實施例揭示本發明,但其各種修改及改良將容易為熟習此項技術者所明白。據此,本發明之精神及範疇不受前述實例限制,但應在最廣意義上被理解為係法律允許的。
122‧‧‧多租戶控制器
124‧‧‧可組態裝置
128‧‧‧資料中心
132‧‧‧應用
134‧‧‧Ad網路
138‧‧‧內容遞送網路
140‧‧‧第三方資料及應用/第三方資料應用
142‧‧‧網際網路
144‧‧‧多重協定標籤交換(MPLS)
148‧‧‧實體連接
150‧‧‧邏輯連接
152‧‧‧分支/分支辦公室/分支裝置/網路分支/遠端分支/分支位點/遠端辦公室/分支組件
154‧‧‧整形器
158‧‧‧裝置交換機
160‧‧‧伺服器
162‧‧‧路由器
164‧‧‧用戶端裝置
168‧‧‧使用者
176‧‧‧提供者邊緣(PE)路由器
178‧‧‧核心路由器/資料中心核心/WAN邊緣路由器/集線器裝置
180‧‧‧顧客邊緣(CE)路由器
Claims (20)
- 一種用於網路之控制之方法,其包括:判定至少一個應用之一網路需求;至少部分基於滿足該網路需求之一當前網路狀況動態地判定適於根據一政策進行資料傳輸之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
- 如請求項1之方法,其中該應用在一節點處操作。
- 如請求項1之方法,其中該應用在一分支處操作。
- 如請求項1之方法,其中由一可組態輪輻裝置執行動態地判定該鏈路。
- 如請求項4之方法,其中該可組態輪輻裝置維持路徑組態資訊。
- 如請求項5之方法,其中該路徑組態資訊選自由一鏈路上之頻寬可用性、一延時設定檔及一訊務量限度組成之群組。
- 一種用於網路之控制之方法,其包括:判定至少一個應用之一網路需求;至少部分基於複數個應用識別細節及一應用訊務設定檔之至少一者判定適於滿足該網路需求之一鏈路;及在該鏈路上路由與該至少一個應用相關聯之一或多個應用網路資料流。
- 如請求項7之方法,其中該應用在一節點處操作。
- 如請求項7之方法,其中該應用在一分支處操作。
- 如請求項7之方法,其中由一可組態輪輻裝置執行判定該鏈路。
- 如請求項10之方法,其中該可組態輪輻裝置維持路徑組態資訊。
- 如請求項11之方法,其中該路徑組態資訊選自由一鏈路上之頻寬可用性、一延時設定檔及一訊務量限度組成之群組。
- 一種網路化分支裝置,其經組態以:依一預定間隔檢查在一網路上且至一遠端定位應用之一或多個網路路徑之一狀態;評估該一或多個網路路徑之各者之相對狀態,其中該評估至少部分基於網路延時及一應用層級異動延時之至少一者;及利用該評估來路由與該應用相關聯之一應用資料流。
- 如請求項13之網路化分支裝置,其中該網路上之一資料傳送控制係以應用為基礎及以政策為基礎之至少一者。
- 如請求項13之網路化分支裝置,其進一步經組態以應用以時間為基礎之應用域分類及映射。
- 如請求項13之網路化分支裝置,其中該網路包括選自由混合連接、實體連接及邏輯連接組成之群組之連接。
- 如請求項13之網路化分支裝置,其進一步經組態以在每個工作階段基礎上分析該應用。
- 如請求項13之網路化分支裝置,其中該應用為一資料中心應用。
- 如請求項13之網路化分支裝置,其中該應用資料流具有依一標準化格式表示之一相關聯政策字串。
- 如請求項13之網路化分支裝置,其中該路由至少部分基於一動態且自動化的QoS定義而進行。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462051293P | 2014-09-16 | 2014-09-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201618499A TW201618499A (zh) | 2016-05-16 |
| TWI590617B true TWI590617B (zh) | 2017-07-01 |
Family
ID=55455905
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106116652A TW201728124A (zh) | 2014-09-16 | 2015-09-16 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
| TW104130697A TWI590617B (zh) | 2014-09-16 | 2015-09-16 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106116652A TW201728124A (zh) | 2014-09-16 | 2015-09-16 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (17) | US9871691B2 (zh) |
| CN (2) | CN115277489B (zh) |
| AU (1) | AU2015317790B2 (zh) |
| GB (1) | GB2548232B (zh) |
| TW (2) | TW201728124A (zh) |
| WO (1) | WO2016044413A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI666567B (zh) * | 2017-08-07 | 2019-07-21 | 中華電信股份有限公司 | 伺服器及其防火牆規則管理方法 |
| US10560314B2 (en) | 2014-09-16 | 2020-02-11 | CloudGenix, Inc. | Methods and systems for application session modeling and prediction of granular bandwidth requirements |
| TWI727361B (zh) * | 2018-07-05 | 2021-05-11 | 美商神話股份有限公司 | 用於實現智慧處理運算結構的方法 |
Families Citing this family (377)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US10749711B2 (en) | 2013-07-10 | 2020-08-18 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
| US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
| US10003536B2 (en) | 2013-07-25 | 2018-06-19 | Grigore Raileanu | System and method for managing bandwidth usage rates in a packet-switched network |
| US9813343B2 (en) * | 2013-12-03 | 2017-11-07 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US10779035B2 (en) * | 2014-01-09 | 2020-09-15 | Samsung Electronics Co., Ltd. | Method and apparatus of transmitting media data related information in multimedia transmission system |
| US10212194B2 (en) * | 2014-01-20 | 2019-02-19 | Google Llc | Server controlled throttling of client to server requests |
| US10375024B2 (en) * | 2014-06-20 | 2019-08-06 | Zscaler, Inc. | Cloud-based virtual private access systems and methods |
| EP3148113B1 (en) * | 2014-06-24 | 2020-03-25 | Huawei Technologies Co. Ltd. | Multicast method, apparatus, and system for software defined network |
| US11695847B2 (en) | 2014-08-14 | 2023-07-04 | Nokia Solutions And Networks Oy | Throughput guidance based on user plane insight |
| ES2714023T3 (es) * | 2014-08-14 | 2019-05-24 | Nokia Solutions & Networks Oy | Guiado de caudal basado en información detallada de plano de usuario |
| US10171511B2 (en) | 2014-09-25 | 2019-01-01 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| US10244003B2 (en) * | 2014-09-25 | 2019-03-26 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| EP3206346B1 (en) * | 2014-10-06 | 2019-01-23 | Ntt Docomo, Inc. | Domain control method and domain control device |
| US10783465B1 (en) * | 2014-11-05 | 2020-09-22 | Amazon Technologies, Inc. | Dynamic port bandwidth for dedicated physical connections to a provider network |
| US10924408B2 (en) | 2014-11-07 | 2021-02-16 | Noction, Inc. | System and method for optimizing traffic in packet-switched networks with internet exchanges |
| CN105721235B (zh) * | 2014-12-05 | 2019-06-11 | 华为技术有限公司 | 一种检测连通性的方法和装置 |
| US9372994B1 (en) * | 2014-12-13 | 2016-06-21 | Security Scorecard, Inc. | Entity IP mapping |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US9860789B2 (en) * | 2014-12-30 | 2018-01-02 | Fortinet, Inc. | Load balancing for a cloud-based wi-fi controller based on local conditions |
| US10050868B2 (en) | 2015-01-16 | 2018-08-14 | Sri International | Multimodal help agent for network administrator |
| US10341188B2 (en) * | 2015-01-27 | 2019-07-02 | Huawei Technologies Co., Ltd. | Network virtualization for network infrastructure |
| US10250641B2 (en) | 2015-01-27 | 2019-04-02 | Sri International | Natural language dialog-based security help agent for network administrator |
| US10205637B2 (en) * | 2015-01-27 | 2019-02-12 | Sri International | Impact analyzer for a computer network |
| US9769070B2 (en) * | 2015-01-28 | 2017-09-19 | Maxim Basunov | System and method of providing a platform for optimizing traffic through a computer network with distributed routing domains interconnected through data center interconnect links |
| JP2016144178A (ja) * | 2015-02-05 | 2016-08-08 | 株式会社デンソー | 通信装置 |
| US9756112B2 (en) | 2015-02-11 | 2017-09-05 | At&T Intellectual Property I, L.P. | Method and system for managing service quality according to network status predictions |
| US9912613B2 (en) * | 2015-03-30 | 2018-03-06 | International Business Machines Corporation | Dynamic service orchestration within PaaS platforms |
| US10491685B2 (en) * | 2015-03-31 | 2019-11-26 | Microsoft Technology Licensing, Llc | Session transfer between resources |
| CN104796348B (zh) * | 2015-04-03 | 2018-02-13 | 华为技术有限公司 | 基于sdn的idc网络出口流量均衡调整方法、设备及系统 |
| US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
| US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
| US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
| US10108683B2 (en) * | 2015-04-24 | 2018-10-23 | International Business Machines Corporation | Distributed balanced optimization for an extract, transform, and load (ETL) job |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| US10701037B2 (en) * | 2015-05-27 | 2020-06-30 | Ping Identity Corporation | Scalable proxy clusters |
| KR101657532B1 (ko) * | 2015-05-29 | 2016-09-19 | 삼성에스디에스 주식회사 | 오버레이 sdn 망의 브릿지 도메인 확장 방법 |
| US9727869B1 (en) | 2015-06-05 | 2017-08-08 | Square, Inc. | Expedited point-of-sale merchant payments |
| US9917753B2 (en) * | 2015-06-12 | 2018-03-13 | Level 3 Communications, Llc | Network operational flaw detection using metrics |
| US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
| US10447757B2 (en) * | 2015-08-20 | 2019-10-15 | International Business Machines Corporation | Self-service server change management |
| US10326710B1 (en) | 2015-09-02 | 2019-06-18 | Amazon Technologies, Inc. | Propagating access rules on virtual networks in provider network environments |
| MX2018003863A (es) * | 2015-09-28 | 2018-06-20 | Evenroute Llc | Optimizacion automatica de qos en equipos de red. |
| US10419580B2 (en) | 2015-09-28 | 2019-09-17 | Evenroute, Llc | Automatic QoS optimization in network equipment |
| US20170104683A1 (en) * | 2015-10-08 | 2017-04-13 | Samsung Sds America, Inc. | Dynamically segmenting traffic for a/b testing in a distributed computing environment |
| US9531614B1 (en) * | 2015-10-30 | 2016-12-27 | AppDynamics, Inc. | Network aware distributed business transaction anomaly detection |
| US20170126789A1 (en) * | 2015-10-30 | 2017-05-04 | AppDynamics, Inc. | Automatic Software Controller Configuration based on Application and Network Data |
| KR20170052002A (ko) * | 2015-11-03 | 2017-05-12 | 한국전자통신연구원 | 가상 네트워크 기능 체이닝 시스템 및 방법 |
| US9853915B2 (en) * | 2015-11-04 | 2017-12-26 | Cisco Technology, Inc. | Fast fail-over using tunnels |
| US10158679B2 (en) | 2015-11-18 | 2018-12-18 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| US10079863B2 (en) | 2015-11-18 | 2018-09-18 | Microsoft Technology Licensing, Llc | Media session between network endpoints |
| GB201520380D0 (en) * | 2015-11-19 | 2016-01-06 | Qinetiq Ltd | A data hub for a cross-domain communication system |
| US10541873B2 (en) * | 2015-11-20 | 2020-01-21 | Hewlett Packard Enterprise Development Lp | Determining violation of a network invariant |
| WO2017084719A1 (en) * | 2015-11-20 | 2017-05-26 | Abb Ag | Managing communication between gateway and building automation device by installing protocol software in gateway |
| US10623339B2 (en) * | 2015-12-17 | 2020-04-14 | Hewlett Packard Enterprise Development Lp | Reduced orthogonal network policy set selection |
| US10368136B1 (en) * | 2015-12-17 | 2019-07-30 | Amazon Technologies, Inc. | Resource management for video playback and chat |
| US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| DE102015016403B4 (de) * | 2015-12-18 | 2023-10-12 | Drägerwerk AG & Co. KGaA | Verfahren zur Zuordnung eines medizinischen Gerätes aus einem Datennetzwerk zu einem Standort sowie Vorrichtung für ein Datennetzwerk |
| US10432406B1 (en) * | 2015-12-22 | 2019-10-01 | F5 Networks, Inc. | Cipher rule feedback |
| US10091057B2 (en) * | 2015-12-28 | 2018-10-02 | Ca, Inc. | Configuring distributed monitoring systems |
| US10362373B2 (en) | 2016-01-07 | 2019-07-23 | Cisco Technology, Inc. | Network telemetry with byte distribution and cryptographic protocol data elements |
| US10222992B2 (en) * | 2016-01-30 | 2019-03-05 | Western Digital Technologies, Inc. | Synchronization method and apparatus for an interconnection network using parallel-headerless TDMA routing |
| GB2562423B (en) | 2016-02-25 | 2020-04-29 | Sas Inst Inc | Cybersecurity system |
| US10296748B2 (en) * | 2016-02-25 | 2019-05-21 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
| IL244557A0 (en) * | 2016-03-13 | 2016-07-31 | Cyber Sepio Systems Ltd | A system and method for protecting a computer system from USB-related weaknesses such as cyber attacks |
| US9924404B1 (en) * | 2016-03-17 | 2018-03-20 | 8X8, Inc. | Privacy protection for evaluating call quality |
| US10063457B2 (en) * | 2016-03-29 | 2018-08-28 | Juniper Networks, Inc. | Method, system, and apparatus for improving forwarding capabilities during route convergence |
| US10158733B2 (en) * | 2016-04-01 | 2018-12-18 | App Annie Inc. | Automated DPI process |
| EP3440819B1 (en) * | 2016-04-06 | 2020-10-21 | Karamba Security | Centralized controller management and anomaly detection |
| US10523631B1 (en) * | 2016-04-14 | 2019-12-31 | Equinix, Inc. | Communities of interest in a cloud exchange |
| US10819630B1 (en) | 2016-04-20 | 2020-10-27 | Equinix, Inc. | Layer three instances for a cloud-based services exchange |
| WO2017184977A1 (en) * | 2016-04-22 | 2017-10-26 | Butler Solutions, Llc | Systems and methods for multi modal communication |
| US11327475B2 (en) | 2016-05-09 | 2022-05-10 | Strong Force Iot Portfolio 2016, Llc | Methods and systems for intelligent collection and analysis of vehicle data |
| US11774944B2 (en) | 2016-05-09 | 2023-10-03 | Strong Force Iot Portfolio 2016, Llc | Methods and systems for the industrial internet of things |
| US10983507B2 (en) | 2016-05-09 | 2021-04-20 | Strong Force Iot Portfolio 2016, Llc | Method for data collection and frequency analysis with self-organization functionality |
| US10732621B2 (en) | 2016-05-09 | 2020-08-04 | Strong Force Iot Portfolio 2016, Llc | Methods and systems for process adaptation in an internet of things downstream oil and gas environment |
| TWI617155B (zh) * | 2016-05-17 | 2018-03-01 | 國立成功大學 | 網路控制器與其網路路徑切換方法 |
| US9892622B2 (en) | 2016-05-27 | 2018-02-13 | At&T Intellectual Property I, L.P. | Emergency event virtual network function deployment and configuration |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10062078B1 (en) * | 2016-06-14 | 2018-08-28 | Square, Inc. | Fraud detection and transaction review |
| US10068235B1 (en) * | 2016-06-14 | 2018-09-04 | Square, Inc. | Regulating fraud probability models |
| US11237546B2 (en) | 2016-06-15 | 2022-02-01 | Strong Force loT Portfolio 2016, LLC | Method and system of modifying a data collection trajectory for vehicles |
| US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
| US10554614B2 (en) | 2016-06-23 | 2020-02-04 | Cisco Technology, Inc. | Utilizing service tagging for encrypted flow classification |
| US10439956B1 (en) * | 2016-06-23 | 2019-10-08 | 8×8, Inc. | Network path selection for routing data |
| US10462184B1 (en) * | 2016-06-28 | 2019-10-29 | Symantec Corporation | Systems and methods for enforcing access-control policies in an arbitrary physical space |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| US20180007102A1 (en) * | 2016-07-01 | 2018-01-04 | At&T Intellectual Property I, Lp | System and method for transition between customer care resource modes |
| US9992097B2 (en) * | 2016-07-11 | 2018-06-05 | Cisco Technology, Inc. | System and method for piggybacking routing information in interests in a content centric network |
| US10212206B2 (en) | 2016-07-15 | 2019-02-19 | International Business Machines Corporation | Adaptive multi-control unit load balancing in a voice-over-IP system |
| WO2018014928A1 (en) * | 2016-07-18 | 2018-01-25 | Telecom Italia S.P.A. | Traffic monitoring in a packet-switched communication network |
| US11430070B1 (en) | 2017-07-31 | 2022-08-30 | Block, Inc. | Intelligent application of reserves to transactions |
| US10447541B2 (en) | 2016-08-13 | 2019-10-15 | Nicira, Inc. | Policy driven network QoS deployment |
| CN106302016B (zh) * | 2016-08-18 | 2019-09-10 | 成都网优力软件有限公司 | 小流量快速获取网络物理带宽的方法及系统 |
| US10320617B2 (en) | 2016-09-12 | 2019-06-11 | Illumio, Inc. | Representation of servers in a distributed network information management system for efficient aggregation of information |
| US10255371B2 (en) * | 2016-09-19 | 2019-04-09 | Adobe Systems Incorporated | Methods and systems for identifying multiple devices belonging to a single user by merging deterministic and probabilistic data to generate a cross device data structure |
| US10469457B1 (en) | 2016-09-26 | 2019-11-05 | Symantec Corporation | Systems and methods for securely sharing cloud-service credentials within a network of computing devices |
| US10616347B1 (en) * | 2016-10-20 | 2020-04-07 | R&D Industries, Inc. | Devices, systems and methods for internet and failover connectivity and monitoring |
| US20180115469A1 (en) * | 2016-10-21 | 2018-04-26 | Forward Networks, Inc. | Systems and methods for an interactive network analysis platform |
| US10587580B2 (en) | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
| US20180139229A1 (en) * | 2016-11-11 | 2018-05-17 | Verisign, Inc. | Profiling domain name system (dns) traffic |
| US10623450B2 (en) * | 2016-12-01 | 2020-04-14 | Accenture Global Solutions Limited | Access to data on a remote device |
| CN108156614B (zh) * | 2016-12-05 | 2021-03-09 | 上海诺基亚贝尔股份有限公司 | 用于进行发送功率和传输速率的联合优化的通信方法和设备 |
| TWI643478B (zh) * | 2016-12-15 | 2018-12-01 | 新加坡商雲網科技新加坡有限公司 | Sdn控制器及網路服務動態部署系統及方法 |
| US10397061B1 (en) * | 2016-12-21 | 2019-08-27 | Juniper Networks, Inc. | Link bandwidth adjustment for border gateway protocol |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| US20190327130A1 (en) * | 2017-01-03 | 2019-10-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, control node, network element and system for handling network events in a telecomunications network |
| US11258694B2 (en) | 2017-01-04 | 2022-02-22 | Cisco Technology, Inc. | Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2 |
| US11102285B2 (en) * | 2017-01-05 | 2021-08-24 | Bank Of America Corporation | Network routing tool |
| US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
| US11121962B2 (en) | 2017-01-31 | 2021-09-14 | Vmware, Inc. | High performance software-defined core network |
| US11240256B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Grouping alerts into bundles of alerts |
| US11240263B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Responding to alerts |
| US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
| US10992558B1 (en) | 2017-11-06 | 2021-04-27 | Vmware, Inc. | Method and apparatus for distributed data network traffic optimization |
| US11252079B2 (en) | 2017-01-31 | 2022-02-15 | Vmware, Inc. | High performance software-defined core network |
| US11431792B2 (en) * | 2017-01-31 | 2022-08-30 | Micro Focus Llc | Determining contextual information for alerts |
| US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
| US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
| US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
| US20180241811A1 (en) * | 2017-02-22 | 2018-08-23 | Intel Corporation | Identification of incompatible co-tenant pairs in cloud computing |
| TWI644540B (zh) * | 2017-02-23 | 2018-12-11 | 中華電信股份有限公司 | 多租戶軟體定義網路中虛擬網路之流表彈性切割系統 |
| US10212229B2 (en) * | 2017-03-06 | 2019-02-19 | At&T Intellectual Property I, L.P. | Reliable data storage for decentralized computer systems |
| US10812981B1 (en) | 2017-03-22 | 2020-10-20 | NortonLifeLock, Inc. | Systems and methods for certifying geolocation coordinates of computing devices |
| US10749841B2 (en) | 2017-04-10 | 2020-08-18 | At&T Intellectual Property I, L.P. | Border gateway protocol multipath scaled network address translation system |
| US10970340B2 (en) * | 2017-04-20 | 2021-04-06 | Sap Se | Network virtualization for web application queries |
| CN106992938B (zh) * | 2017-05-15 | 2020-03-31 | 网宿科技股份有限公司 | 一种网络流量动态调度分配方法及系统 |
| US10587583B2 (en) * | 2017-05-19 | 2020-03-10 | Vmware, Inc. | Prioritizing application traffic through network tunnels |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
| CN107196759B (zh) * | 2017-06-15 | 2020-06-16 | 北京椰子树信息技术有限公司 | 一种多nat穿越版本的加密模式协商方法及其装置 |
| US11469986B2 (en) * | 2017-06-16 | 2022-10-11 | Cisco Technology, Inc. | Controlled micro fault injection on a distributed appliance |
| US10715597B2 (en) | 2017-06-16 | 2020-07-14 | At&T Intellectual Property I, L.P. | Methods and systems to create a network-agnostic SDN-based cloud gateway for connectivity to multiple cloud service providers |
| US10673702B2 (en) * | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
| CN109104373B (zh) | 2017-06-20 | 2022-02-22 | 华为技术有限公司 | 网络拥塞的处理方法、装置及系统 |
| JP6963168B2 (ja) * | 2017-06-21 | 2021-11-05 | 富士通株式会社 | 情報処理装置、メモリ制御方法およびメモリ制御プログラム |
| US20180375762A1 (en) * | 2017-06-21 | 2018-12-27 | Microsoft Technology Licensing, Llc | System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata |
| US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
| US10915900B1 (en) | 2017-06-26 | 2021-02-09 | Square, Inc. | Interchange action delay based on refund prediction |
| US11500836B2 (en) * | 2017-06-27 | 2022-11-15 | Salesforce, Inc. | Systems and methods of creation and deletion of tenants within a database |
| CN107171866B (zh) * | 2017-06-30 | 2020-02-21 | 联想(北京)有限公司 | 一种拓扑处理方法和系统 |
| US10498694B2 (en) * | 2017-06-30 | 2019-12-03 | Microsoft Technology Licensing, Llc | Mapping IPv4 knowledge to IPv6 |
| CN107483541A (zh) * | 2017-07-17 | 2017-12-15 | 广东工业大学 | 一种基于滚动时域的在线任务迁移方法 |
| US10541866B2 (en) * | 2017-07-25 | 2020-01-21 | Cisco Technology, Inc. | Detecting and resolving multicast traffic performance issues |
| CN109327409B (zh) * | 2017-07-31 | 2020-09-18 | 华为技术有限公司 | 数据中心网络dcn、dcn中传输流量的方法和交换机 |
| US10601704B2 (en) * | 2017-07-31 | 2020-03-24 | Cisco Technology, Inc. | Asymmetric routing minimization |
| JP2020530159A (ja) | 2017-08-02 | 2020-10-15 | ストロング フォース アイオーティ ポートフォリオ 2016,エルエルシー | 大量のデータセットを使用する産業用のモノのインターネットのデータ収集環境における検出のための方法及びシステム |
| US10908602B2 (en) | 2017-08-02 | 2021-02-02 | Strong Force Iot Portfolio 2016, Llc | Systems and methods for network-sensitive data collection |
| IL254573A0 (en) | 2017-09-18 | 2017-11-30 | Cyber Sepio Systems Ltd | Install a method and computer software product for securing a local network from threats posed by foreign or hostile accessories |
| US11544416B2 (en) | 2017-08-03 | 2023-01-03 | Cyber Sepio Systems Ltd | System and method for securing a computer system from threats introduced by USB devices |
| US10848494B2 (en) * | 2017-08-14 | 2020-11-24 | Microsoft Technology Licensing, Llc | Compliance boundaries for multi-tenant cloud environment |
| RU2651186C1 (ru) * | 2017-08-16 | 2018-04-18 | Общество с ограниченной ответственностью "Научно-Технический Центр ПРОТЕЙ" | Способ обмена данными и устройство управляющего узла сети |
| US10594558B2 (en) | 2017-08-19 | 2020-03-17 | Hewlett Packard Enterprise Development Lp | Auto-configuring multicast protocol parameters |
| US10567384B2 (en) * | 2017-08-25 | 2020-02-18 | Hewlett Packard Enterprise Development Lp | Verifying whether connectivity in a composed policy graph reflects a corresponding policy in input policy graphs |
| US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
| US10992652B2 (en) | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
| CN109561226B (zh) * | 2017-09-26 | 2020-06-26 | 华为技术有限公司 | 一种api混合多租户路由方法、系统和api网关 |
| US10721207B1 (en) * | 2017-09-27 | 2020-07-21 | Amazon Technologies, Inc. | Pattern-based techniques to discover relationships between hosts |
| CN107659505B (zh) * | 2017-09-27 | 2020-03-13 | 迈普通信技术股份有限公司 | 一种sdn网络的选路方法和sdn控制器 |
| US10959098B2 (en) | 2017-10-02 | 2021-03-23 | Vmware, Inc. | Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node |
| US10686625B2 (en) | 2017-10-02 | 2020-06-16 | Vmware, Inc. | Defining and distributing routes for a virtual network |
| US10999100B2 (en) * | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US11089111B2 (en) | 2017-10-02 | 2021-08-10 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US10999165B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud |
| EP4020282A1 (en) | 2017-10-13 | 2022-06-29 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
| US10951735B2 (en) * | 2017-11-07 | 2021-03-16 | General Electric Company | Peer based distribution of edge applications |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| US11411932B2 (en) * | 2017-11-20 | 2022-08-09 | Snap Inc. | Device independent secure messaging |
| US20190166024A1 (en) * | 2017-11-24 | 2019-05-30 | Institute For Information Industry | Network anomaly analysis apparatus, method, and non-transitory computer readable storage medium thereof |
| US10656960B2 (en) * | 2017-12-01 | 2020-05-19 | At&T Intellectual Property I, L.P. | Flow management and flow modeling in network clouds |
| US10826722B2 (en) * | 2017-12-18 | 2020-11-03 | Futurewei Technologies, Inc. | Controller based service policy mapping to establish different tunnels for different applications |
| US10805341B2 (en) | 2018-02-06 | 2020-10-13 | Cisco Technology, Inc. | Leveraging point inferences on HTTP transactions for HTTPS malware detection |
| CN110120882B (zh) * | 2018-02-07 | 2020-10-09 | 华为技术有限公司 | 策略驱动方法和装置 |
| US10917325B2 (en) * | 2018-02-17 | 2021-02-09 | Fortinet, Inc. | Deriving test profiles based on security and network telemetry information extracted from the target network environment |
| JP6749956B2 (ja) * | 2018-02-26 | 2020-09-02 | 日本電信電話株式会社 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
| US10728150B2 (en) * | 2018-04-02 | 2020-07-28 | Arista Networks, Inc. | Method and system segregating application traffic in a wide area network |
| US10972379B2 (en) * | 2018-04-15 | 2021-04-06 | Versa Networks, Inc. | Application performance based path-selection |
| EP3565195A1 (en) * | 2018-04-30 | 2019-11-06 | Hewlett-Packard Enterprise Development LP | Internet protocol security messages for subnetworks |
| TWI698754B (zh) * | 2018-05-29 | 2020-07-11 | 普安科技股份有限公司 | 雲端服務之權限管理方法及其系統 |
| US10972387B2 (en) * | 2018-06-16 | 2021-04-06 | Versa Networks, Inc. | Application performance based path-selection using dynamic metrics |
| US10554765B2 (en) | 2018-06-25 | 2020-02-04 | Verizon Patent And Licensing Inc. | Intelligent programmable policies for network functions |
| US10873636B2 (en) * | 2018-07-09 | 2020-12-22 | Cisco Technology, Inc. | Session management in a forwarding plane |
| US20200036803A1 (en) * | 2018-07-24 | 2020-01-30 | Star2Star Communications, LLC | Social Metrics Connection Representor, System, and Method |
| EP3827352A4 (en) * | 2018-07-25 | 2022-05-11 | Blues Inc. | DATA SYSTEM ON A MODULE (DSOM) TO CONNECT COMPUTING DEVICES AND CLOUD-BASED SERVICES |
| WO2020024065A1 (en) * | 2018-08-02 | 2020-02-06 | Imagine Communications Corp. | System and process for generalized real-time transport protocol stream segmentation and reconstruction |
| US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
| US11108690B2 (en) * | 2018-08-31 | 2021-08-31 | Cisco Technology, Inc. | Router methods and apparatus for managing memory for network overlay routes with fallback route support prioritization |
| US10693575B2 (en) | 2018-08-31 | 2020-06-23 | At&T Intellectual Property I, L.P. | System and method for throughput prediction for cellular networks |
| US10924396B2 (en) * | 2018-09-10 | 2021-02-16 | Hewlett Packard Enterprise Development Lp | Achieving L2 tunnel reduncancy and L3 load balancing |
| US10999251B2 (en) * | 2018-09-28 | 2021-05-04 | Juniper Networks, Inc. | Intent-based policy generation for virtual networks |
| US11201859B2 (en) | 2018-10-17 | 2021-12-14 | Cisco Technology, Inc. | Tenant-specific encryption of packets carried in multi-cloud networks |
| US10904366B2 (en) * | 2018-10-19 | 2021-01-26 | Charter Communications Operating, Llc | Assuring data delivery from internet of things (IoT) devices |
| US20210352045A1 (en) * | 2018-10-30 | 2021-11-11 | Hewlett Packard Enterprise Development Lp | Software defined wide area network uplink selection with a virtual ip address for a cloud service |
| US11190598B2 (en) * | 2018-10-31 | 2021-11-30 | Comcast Cable Communications, Llc | Methods and systems for session management |
| CN109460642B (zh) * | 2018-11-13 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 应用程序网络访问感知的方法、装置及设备 |
| CN109617593B (zh) * | 2018-11-29 | 2020-05-05 | 电子科技大学 | 一种基于ibn的物联网卫星系统及其路由方法 |
| US10999197B2 (en) * | 2018-11-30 | 2021-05-04 | Cisco Technology, Inc. | End-to-end identity-aware routing across multiple administrative domains |
| CN109347882B (zh) * | 2018-11-30 | 2021-12-21 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
| US10868726B2 (en) | 2018-12-07 | 2020-12-15 | At&T Intellectual Property I, L.P. | Apparatus and method for selecting a bandwidth prediction source |
| US11805104B2 (en) | 2018-12-14 | 2023-10-31 | Battelle Memorial Institute | Computing system operational methods and apparatus |
| US20220086691A1 (en) * | 2018-12-21 | 2022-03-17 | Telefonaktiebolaget Lm Ericsson (Publ) | User Data Traffic Handling |
| CN110035012B (zh) * | 2018-12-25 | 2021-09-14 | 中国银联股份有限公司 | 基于sdn的vpn流量调度方法以及基于sdn的vpn流量调度系统 |
| US11301496B2 (en) * | 2018-12-26 | 2022-04-12 | Imperva, Inc. | Using access logs for network entities type classification |
| US11496475B2 (en) | 2019-01-04 | 2022-11-08 | Ping Identity Corporation | Methods and systems for data traffic based adaptive security |
| CN109787860B (zh) * | 2019-01-15 | 2021-05-07 | 新华三技术有限公司 | 双向转发链路检测方法及装置 |
| US10992575B2 (en) * | 2019-01-31 | 2021-04-27 | Hewlett Packard Enterprise Development Lp | Assignment of internet protocol addresses to services |
| US11336482B2 (en) | 2019-01-31 | 2022-05-17 | Juniper Networks, Inc. | Policy-driven on-demand tunnel creation/deletion based on traffic information in a wide area network (WAN) |
| CN111511041B (zh) * | 2019-01-31 | 2022-03-29 | 大唐移动通信设备有限公司 | 一种远程连接方法及装置 |
| EP4123973A1 (en) * | 2019-02-08 | 2023-01-25 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
| US10693713B1 (en) * | 2019-02-22 | 2020-06-23 | At&T Intellectual Property I, L.P. | Method and apparatus for providing service coverage with a measurement-based dynamic threshold adjustment |
| US10924397B2 (en) * | 2019-02-22 | 2021-02-16 | Vmware, Inc. | Multi-VRF and multi-service insertion on edge gateway virtual machines |
| US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
| CN114915585A (zh) * | 2019-03-11 | 2022-08-16 | 华为技术有限公司 | 报文处理方法、装置、设备及系统 |
| US11490256B2 (en) * | 2019-03-11 | 2022-11-01 | Hewlett Packard Enterprise Development Lp | Secure zero-touch provisioning of network devices in an offline deployment |
| US11671653B2 (en) | 2019-03-14 | 2023-06-06 | Comcast Cable Communications, Llc | Methods and systems for content delivery |
| US11490149B2 (en) | 2019-03-15 | 2022-11-01 | At&T Intellectual Property I, L.P. | Cap-based client-network interaction for improved streaming experience |
| US10924383B1 (en) * | 2019-03-29 | 2021-02-16 | Juniper Networks, Inc. | Utilizing segment routing data and network data to determine optimized network plans and to implement an optimized network plan |
| US11201800B2 (en) * | 2019-04-03 | 2021-12-14 | Cisco Technology, Inc. | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints |
| US11863522B2 (en) * | 2019-04-04 | 2024-01-02 | Cisco Technology, Inc. | Applying attestation to the border gateway protocol (BGP) |
| US11316664B2 (en) | 2019-04-05 | 2022-04-26 | Bank Of America Corporation | System for characterization and tracking of electronic data in a networked environment using cohesive information units |
| GB2583112B (en) | 2019-04-16 | 2023-02-01 | Cisco Tech Inc | Efficient protection for an IKEv2 device |
| US10826826B1 (en) | 2019-05-08 | 2020-11-03 | Cisco Technology, Inc. | Supporting overlay networks for multiple autonomous systems and underlays |
| US11394789B2 (en) | 2019-05-08 | 2022-07-19 | Hewlett Packard Enterprise Development Lp | Seamless migration of a network management system deployment to cloud-based deployment |
| US20200366690A1 (en) * | 2019-05-16 | 2020-11-19 | Nec Laboratories America, Inc. | Adaptive neural networks for node classification in dynamic networks |
| CN115174482B (zh) * | 2019-05-21 | 2023-06-02 | 超聚变数字技术有限公司 | 网络设备的报文分流方法和装置 |
| CN110278111B (zh) * | 2019-05-29 | 2021-08-31 | 西安电子科技大学 | 一种意图驱动网络通用架构及其意图驱动网络转译方法 |
| US10904125B2 (en) * | 2019-05-30 | 2021-01-26 | Cisco Technology, Inc. | Active probe construction using machine learning for measuring SD-WAN tunnel metrics |
| US11461671B2 (en) | 2019-06-03 | 2022-10-04 | Bank Of America Corporation | Data quality tool |
| US11270005B2 (en) * | 2019-06-04 | 2022-03-08 | Schneider Electric USA, Inc. | Device data protection based on network topology |
| US11146463B2 (en) | 2019-06-05 | 2021-10-12 | Cisco Technology, Inc. | Predicting network states for answering what-if scenario outcomes |
| US11088952B2 (en) * | 2019-06-12 | 2021-08-10 | Juniper Networks, Inc. | Network traffic control based on application path |
| US11252096B2 (en) * | 2019-06-20 | 2022-02-15 | Microsoft Technology Licensing, Llc | Network flow state management for connectionless protocol(s) |
| CN110410065B (zh) * | 2019-06-24 | 2022-05-03 | 中国石油化工股份有限公司 | 多层井间动态连通性模型的输入参数分析方法及装置 |
| US11044168B2 (en) | 2019-07-02 | 2021-06-22 | Cisco Technology, Inc. | Fingerprinting application traffic in a network |
| US11695665B2 (en) | 2019-07-09 | 2023-07-04 | Vmware, Inc. | Cross-cloud connectivity checks |
| US11115319B2 (en) * | 2019-07-23 | 2021-09-07 | Hewlett Packard Enterprise Development Lp | Using BFD packets in a network tunnel environment |
| US11368390B2 (en) * | 2019-07-30 | 2022-06-21 | Arista Networks, Inc. | Network recovery systems and methods |
| US11394627B1 (en) * | 2019-07-31 | 2022-07-19 | Express Scripts Strategie Development, Inc. | Systems and methods for monitoring inter-application communications in complex computing ecosystems |
| US11916758B2 (en) * | 2019-08-02 | 2024-02-27 | Cisco Technology, Inc. | Network-assisted application-layer request flow management in service meshes |
| US20210049313A1 (en) * | 2019-08-16 | 2021-02-18 | Shanghai Jiao Tong University | Electromagnetic transient simulation method for field programmable logic array |
| US10659310B1 (en) * | 2019-08-16 | 2020-05-19 | LogicMonitor, Inc. | Discovering and mapping the relationships between macro-clusters of a computer network topology for an executing application |
| US11476667B2 (en) * | 2019-08-16 | 2022-10-18 | Shanghai Jiao Tong University | Hybrid electromagnetic transient simulation method for microgrid real-time simulation |
| US11563601B1 (en) | 2019-08-22 | 2023-01-24 | Juniper Networks, Inc. | Proactive tunnel configuration computation for on-demand SD-WAN tunnels |
| US10999137B2 (en) | 2019-08-27 | 2021-05-04 | Vmware, Inc. | Providing recommendations for implementing virtual networks |
| CN111726291B (zh) * | 2019-08-30 | 2022-03-01 | 新华三技术有限公司 | 一种路径切换方法及网络设备 |
| US11228525B2 (en) | 2019-09-05 | 2022-01-18 | Raytheon Company | Mission context routing data communication system |
| US11057308B2 (en) | 2019-09-09 | 2021-07-06 | Cisco Technology, Inc. | User- and application-based network treatment policies |
| JP7363907B2 (ja) * | 2019-09-17 | 2023-10-18 | 日本電気株式会社 | 情報処理装置、パケット生成方法、システム、及びプログラム |
| US11082304B2 (en) * | 2019-09-27 | 2021-08-03 | Oracle International Corporation | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node |
| US11405304B2 (en) * | 2019-09-30 | 2022-08-02 | Hewlett Packard Enterprise Development Lp | Route updating using a BFD protocol |
| US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
| US11134023B2 (en) | 2019-10-28 | 2021-09-28 | Microsoft Technology Licensing, Llc | Network path redirection |
| US11044190B2 (en) | 2019-10-28 | 2021-06-22 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
| US11463410B2 (en) * | 2019-10-31 | 2022-10-04 | Cisco Technology, Inc. | Cloud-native VPN service |
| US20210135942A1 (en) * | 2019-11-05 | 2021-05-06 | Schneider Electric USA, Inc. | Automatic device naming for fast device replacement |
| CN111003016B (zh) * | 2019-11-26 | 2020-12-29 | 中国矿业大学 | 一种基于fbg的高铁道床板变形监测与预测方法 |
| CN112865998B (zh) * | 2019-11-28 | 2022-10-18 | 华为技术有限公司 | 意图处理方法和相关装置 |
| US11824754B2 (en) | 2019-12-03 | 2023-11-21 | Red Hat, Inc. | Multi-cluster networking using hub and spoke elastic mesh |
| US11411802B2 (en) * | 2019-12-09 | 2022-08-09 | Arista Networks, Inc. | Determining the impact of network events on network applications |
| US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
| US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
| WO2021126157A1 (en) * | 2019-12-16 | 2021-06-24 | Hewlett-Packard Development Company, L.P. | Performance metrics of domains |
| US11050647B1 (en) | 2019-12-16 | 2021-06-29 | Vmware, Inc. | Simulation-based cross-cloud connectivity checks |
| US11579913B2 (en) * | 2019-12-18 | 2023-02-14 | Vmware, Inc. | System and method for optimizing network topology in a virtual computing environment |
| CN113098749A (zh) * | 2020-01-08 | 2021-07-09 | 华为技术有限公司 | 报文发送方法、装置及存储介质 |
| US11483246B2 (en) * | 2020-01-13 | 2022-10-25 | Vmware, Inc. | Tenant-specific quality of service |
| US11588731B1 (en) | 2020-01-17 | 2023-02-21 | Equinix, Inc. | Cloud-to-cloud interface |
| US11606712B2 (en) | 2020-01-24 | 2023-03-14 | Vmware, Inc. | Dynamically assigning service classes for a QOS aware network link |
| US11805013B2 (en) | 2020-01-29 | 2023-10-31 | Juniper Networks, Inc. | Prioritizing policy intent enforcement on network devices |
| US11418435B2 (en) * | 2020-01-31 | 2022-08-16 | Cisco Technology, Inc. | Inband group-based network policy using SRV6 |
| US11190417B2 (en) | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
| US11599395B2 (en) | 2020-02-19 | 2023-03-07 | Vmware, Inc. | Dynamic core allocation |
| US11190434B2 (en) | 2020-03-16 | 2021-11-30 | Cisco Technology, Inc. | Systems and methods for protective proactive adaptive active bandwidth measurement in SD-WAN networks |
| CN113472660B (zh) * | 2020-03-31 | 2022-07-29 | 中移物联网有限公司 | 一种应用信息的路由方法及路由节点 |
| CN111447143B (zh) * | 2020-03-31 | 2022-10-04 | 苏宁云计算有限公司 | 业务服务数据传输方法、装置、计算机设备和存储介质 |
| US11463277B2 (en) | 2020-04-07 | 2022-10-04 | Cisco Technology, Inc. | Dead peer detection across split control plane nodes and data plane nodes of a tunneled communication session |
| US11108851B1 (en) * | 2020-04-10 | 2021-08-31 | Hewlett Packard Enterprise Development Lp | Dynamic application routing in a software defined wide area network |
| US11762725B2 (en) | 2020-04-13 | 2023-09-19 | Red Hat, Inc. | Detecting and managing losses of event datasets in a computing network |
| US11153180B1 (en) * | 2020-04-15 | 2021-10-19 | Verizon Patent And Licensing Inc. | Intelligent and assisted intent builder |
| US11394563B2 (en) * | 2020-04-30 | 2022-07-19 | Zscaler, Inc. | Encrypted traffic inspection in a cloud-based security system |
| US11528329B2 (en) | 2020-05-08 | 2022-12-13 | Hewlett Packard Enterprise Development Lp | Dynamic path steering utilizing automatic generation of user threshold profiles |
| WO2021231989A1 (en) * | 2020-05-15 | 2021-11-18 | Secureg | System and methods for transit path security assured network slices |
| EP4154475A4 (en) * | 2020-05-21 | 2023-10-18 | Fort Robotics, Inc. | DYNAMIC MULTI-CONNECTION MANAGEMENT SYSTEM FOR RELIABLE DATA TRANSMISSION IN A ROBOTIC SYSTEM |
| US11424990B2 (en) * | 2020-05-21 | 2022-08-23 | Vmware, Inc. | System and method for topology construction in hybrid cloud environments |
| JP2021190771A (ja) * | 2020-05-27 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 通信制御装置及び通信制御プログラム |
| US11553030B2 (en) * | 2020-06-01 | 2023-01-10 | Microsoft Technology Licensing, Llc | Service worker configured to serve multiple single page applications |
| CN113825128B (zh) * | 2020-06-20 | 2022-12-30 | 华为技术有限公司 | 通信方法及装置、系统 |
| US11212219B1 (en) * | 2020-06-26 | 2021-12-28 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | In-band telemetry packet size optimization |
| US11582105B2 (en) * | 2020-06-30 | 2023-02-14 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Telemetry-based network switch configuration validation |
| CN111914194B (zh) * | 2020-07-02 | 2021-09-17 | 网联清算有限公司 | 一种业务系统变更方法、装置、电子设备及存储介质 |
| US11245641B2 (en) | 2020-07-02 | 2022-02-08 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
| US11588726B2 (en) * | 2020-07-08 | 2023-02-21 | OpenVPN, Inc | Augmented routing of data |
| CN111770551B (zh) * | 2020-07-09 | 2022-05-03 | 南方电网科学研究院有限责任公司 | 一种高动态不确定链路的网关间通信方法、系统及设备 |
| US20230208730A1 (en) * | 2020-07-09 | 2023-06-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Classification of Traffic Data Per Application Type |
| CN111901425B (zh) * | 2020-07-28 | 2021-05-28 | 平安科技(深圳)有限公司 | 基于Pareto算法的CDN调度方法、装置、计算机设备及存储介质 |
| US11363124B2 (en) | 2020-07-30 | 2022-06-14 | Vmware, Inc. | Zero copy socket splicing |
| US11502993B2 (en) * | 2020-08-10 | 2022-11-15 | Perimeter 81 Ltd | Scalable and on-demand multi-tenant and multi region secure network |
| WO2022032694A1 (en) * | 2020-08-14 | 2022-02-17 | Cisco Technology, Inc. | Dynamic deterministic adjustment of bandwidth across multiple hubs with adaptive per-tunnel quality of service (qos) |
| US11265240B1 (en) | 2020-08-19 | 2022-03-01 | Cisco Technology, Inc. | Systems and methods for determining FHRP switchover |
| CN112039726A (zh) * | 2020-08-25 | 2020-12-04 | 新浪网技术(中国)有限公司 | 一种内容分发网络cdn设备的数据监控方法及系统 |
| US11539633B2 (en) | 2020-08-31 | 2022-12-27 | Vmware, Inc. | Determining whether to rate limit traffic |
| CN112235152B (zh) * | 2020-09-04 | 2022-05-10 | 北京邮电大学 | 流量大小估算方法和装置 |
| WO2022066568A1 (en) * | 2020-09-24 | 2022-03-31 | Arris Enterprises Llc | Personalized data throttling in a residential wireless network |
| CN112187610B (zh) * | 2020-09-24 | 2021-11-16 | 北京赛宁网安科技有限公司 | 一种网络靶场的网络隔离系统与方法 |
| US11431780B2 (en) * | 2020-10-26 | 2022-08-30 | At&T Intellectual Property I, L.P. | Method and apparatus for estimating quality of experience from network data |
| US11095612B1 (en) * | 2020-10-30 | 2021-08-17 | Palo Alto Networks, Inc. | Flow metadata exchanges between network and security functions for a security service |
| US11785048B2 (en) | 2020-10-30 | 2023-10-10 | Palo Alto Networks, Inc. | Consistent monitoring and analytics for security insights for network and security functions for a security service |
| US11411891B2 (en) * | 2020-10-30 | 2022-08-09 | Ge Aviation Systems Llc | System and method for a time-sensitive network |
| CN112565193B (zh) * | 2020-11-06 | 2021-12-28 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
| US11575591B2 (en) | 2020-11-17 | 2023-02-07 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
| US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
| US11784924B2 (en) * | 2020-12-03 | 2023-10-10 | Cisco Technology, Inc. | Optimizing application performance in hierarchical SD-WAN |
| CN112491689A (zh) * | 2020-12-07 | 2021-03-12 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种vpn环境下的多级资源动态分配方法 |
| US20220200915A1 (en) * | 2020-12-21 | 2022-06-23 | Juniper Networks, Inc. | Network policy application based on session state |
| US11929903B2 (en) | 2020-12-29 | 2024-03-12 | VMware LLC | Emulating packet flows to assess network links for SD-WAN |
| US11777760B2 (en) * | 2020-12-30 | 2023-10-03 | Hughes Network Systems, Llc | VPN classification to reduce usage costs while retaining responsiveness |
| US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
| US11979325B2 (en) * | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
| US11159419B1 (en) | 2021-01-29 | 2021-10-26 | Netskope, Inc. | Policy-driven data locality and residency |
| US11363095B1 (en) * | 2021-01-29 | 2022-06-14 | Netskope, Inc. | Policy-driven client and destination priority |
| US11595280B2 (en) | 2021-02-08 | 2023-02-28 | Sap Se | Detecting outages in a cloud environment |
| US11570075B2 (en) | 2021-02-08 | 2023-01-31 | Sap Se | Reverse health checks |
| US11265236B1 (en) * | 2021-02-08 | 2022-03-01 | Sap Se | On-demand outages notification in a cloud environment |
| US11570074B2 (en) | 2021-02-08 | 2023-01-31 | Sap Se | Detecting outages in a multiple availability zone cloud environment |
| CN112532401B (zh) * | 2021-02-09 | 2021-05-11 | 全时云商务服务股份有限公司 | 在团队群建立业务流程的方法、系统及存储介质 |
| US11363049B1 (en) | 2021-03-25 | 2022-06-14 | Bank Of America Corporation | Information security system and method for anomaly detection in data transmission |
| US11200096B1 (en) * | 2021-03-26 | 2021-12-14 | SambaNova Systems, Inc. | Resource allocation for reconfigurable processors |
| US20220321545A1 (en) * | 2021-03-30 | 2022-10-06 | Certes Networks, Inc. | Cryptographic Micro-Segmentation Using IKEv2 |
| US11323357B1 (en) * | 2021-03-31 | 2022-05-03 | Arista Networks, Inc. | Accessing varying route attribute states during routing policy application on network devices |
| US20220329576A1 (en) * | 2021-04-09 | 2022-10-13 | Hewlett Packard Enterprise Development Lp | Securing communication between a cloud platform and an application hosted on an on-premise private network |
| US11665139B2 (en) | 2021-04-30 | 2023-05-30 | Palo Alto Networks, Inc. | Distributed offload leveraging different offload devices |
| US11381499B1 (en) | 2021-05-03 | 2022-07-05 | Vmware, Inc. | Routing meshes for facilitating routing through an SD-WAN |
| US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
| US11477165B1 (en) | 2021-05-28 | 2022-10-18 | Palo Alto Networks, Inc. | Securing containerized applications |
| US11799784B2 (en) | 2021-06-08 | 2023-10-24 | Vmware, Inc. | Virtualized QoS support in software defined networks |
| US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
| US11848838B2 (en) * | 2021-06-24 | 2023-12-19 | Hewlett Packard Enterprise Development Lp | Communicating node events in network configuration |
| US11985152B1 (en) * | 2021-06-25 | 2024-05-14 | T-Mobile Usa, Inc. | Application behavior detection using network traffic |
| EP4120657A1 (en) * | 2021-07-15 | 2023-01-18 | Sandvine Corporation | System and method for prioritizing network traffic in a distributed environment |
| US11671375B2 (en) * | 2021-07-15 | 2023-06-06 | Verizon Patent And Licensing Inc. | Systems and methods for software defined hybrid private and public networking |
| CN113282615B (zh) * | 2021-07-20 | 2021-10-15 | 全球能源互联网研究院有限公司 | 一种用于电力线路的供电路径获取方法、装置、设备 |
| US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
| US11949570B2 (en) | 2021-07-30 | 2024-04-02 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for utilizing machine learning to automatically configure filters at a network packet broker |
| CN113596038B (zh) * | 2021-08-02 | 2023-04-07 | 武汉绿色网络信息服务有限责任公司 | 数据包解析的方法和服务器 |
| US11895019B2 (en) * | 2021-09-20 | 2024-02-06 | Alkira, Inc. | Multi-tenant virtual private network microsegmentation |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| US11870642B2 (en) | 2021-10-04 | 2024-01-09 | Juniper Networks, Inc. | Network policy generation for continuous deployment |
| US11950140B2 (en) | 2021-10-25 | 2024-04-02 | Dell Products Lp | System and method for providing device management and network management at an edge device |
| US11711279B2 (en) * | 2021-10-26 | 2023-07-25 | Juniper Networks, Inc. | Application records using session information |
| CN113992461B (zh) * | 2021-10-26 | 2024-01-30 | 亿次网联(杭州)科技有限公司 | 一种数据隔离传输方法、系统及存储介质 |
| US20230143157A1 (en) * | 2021-11-08 | 2023-05-11 | Vmware, Inc. | Logical switch level load balancing of l2vpn traffic |
| US20230180051A1 (en) * | 2021-12-07 | 2023-06-08 | Cradlepoint, Inc. | Equal Cost Multipath and Application Quality of Experience Based on Variable Loss, Latency, and Bandwidth |
| CN114205147B (zh) * | 2021-12-10 | 2023-05-09 | 济南大学 | 基于软件定义网络的链路泛洪攻击防御方法及系统 |
| US11601395B1 (en) * | 2021-12-22 | 2023-03-07 | Uab 360 It | Updating parameters in a mesh network |
| US20230208714A1 (en) * | 2021-12-28 | 2023-06-29 | Uab 360 It | Updating communication parameters in a mesh network |
| US11799830B2 (en) | 2021-12-29 | 2023-10-24 | Uab 360 It | Access control in a mesh network |
| US11968075B2 (en) * | 2022-01-14 | 2024-04-23 | Juniper Networks, Inc. | Application session-specific network topology generation for troubleshooting the application session |
| US11991046B2 (en) | 2022-01-17 | 2024-05-21 | Juniper Networks, Inc. | Determining an organizational level network topology |
| CN114448920B (zh) * | 2022-01-27 | 2023-12-12 | 浙江惠瀜网络科技有限公司 | 基于网关路由转发的加密通讯方法、装置、终端及存储介质 |
| US11991152B2 (en) * | 2022-02-09 | 2024-05-21 | Hewlett Packard Enterprise Development Lp | Bypassing IKE firewall for cloud-managed IPSec keys in SDWAN fabric |
| US20230300045A1 (en) * | 2022-03-15 | 2023-09-21 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for selectively processing a packet flow using a flow inspection engine |
| US11765050B1 (en) | 2022-03-15 | 2023-09-19 | Cisco Technology, Inc. | Event triggered guaranteed service connectivity |
| US11582099B1 (en) * | 2022-03-31 | 2023-02-14 | Juniper Networks, Inc. | Predictive pipeline analytics for a network management system |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| US11943078B2 (en) | 2022-07-08 | 2024-03-26 | Cisco Technology, Inc. | Asymmetric hub and spoke overlay network |
| CN115242732B (zh) * | 2022-08-02 | 2023-05-09 | 嘉兴学院 | 面向智慧医疗的数据中心网络带宽资源调度方法 |
| CN116137609B (zh) * | 2023-02-27 | 2024-04-16 | 西安电子科技大学 | 意图驱动的跨域数据链网络分级路由方法 |
| CN116192725B (zh) * | 2023-04-23 | 2023-07-07 | 安徽中科晶格技术有限公司 | 基于fps算法的分布式sdn控制器部署方法、系统及设备 |
| US11949596B1 (en) * | 2023-07-17 | 2024-04-02 | Cisco Technology, Inc. | Localized congestion mitigation for interior gateway protocol (IGP) networks |
| US11979746B1 (en) | 2023-07-21 | 2024-05-07 | Palo Alto Networks, Inc. | Selective intelligent enforcement in mobile networks |
| CN116743653B (zh) * | 2023-08-16 | 2023-11-10 | 南京赛宁信息技术有限公司 | 一种网络靶场中流量发生器的自动选择方法与系统 |
Family Cites Families (136)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3793361A (en) | 1971-05-17 | 1974-02-19 | Gen Electric | Silyl maleates and polysiloxane maleates |
| US5581702A (en) | 1993-12-20 | 1996-12-03 | Intel Corporation | Computer conferencing system for selectively linking and unlinking private page with public page by selectively activating linked mode and non-linked mode for each participant |
| US6173399B1 (en) * | 1997-06-12 | 2001-01-09 | Vpnet Technologies, Inc. | Apparatus for implementing virtual private networks |
| US7233569B1 (en) | 1999-05-19 | 2007-06-19 | Cisco Technology, Inc. | Tunnel reroute |
| US6982969B1 (en) | 1999-09-28 | 2006-01-03 | Tachyon, Inc. | Method and system for frequency spectrum resource allocation |
| US6882648B2 (en) | 2000-03-29 | 2005-04-19 | Fujitsu Limited | Communication device |
| WO2002005068A2 (en) | 2000-07-07 | 2002-01-17 | Xybridge Technologies, Inc. | End-to-end qos in a softswitch based network |
| US7234126B2 (en) | 2000-08-23 | 2007-06-19 | Interuniversitair Microelektronica Centrum | Task concurrency management design method |
| US20020156918A1 (en) | 2001-04-23 | 2002-10-24 | Brocade Communications Systems, Inc. | Dynamic path selection with in-order delivery within sequence in a communication network |
| US6934745B2 (en) | 2001-06-28 | 2005-08-23 | Packeteer, Inc. | Methods, apparatuses and systems enabling a network services provider to deliver application performance management services |
| US7027414B2 (en) | 2001-08-09 | 2006-04-11 | Hughes Network Systems, Llc | Method, apparatus, and system for identifying and efficiently treating classes of traffic |
| JP2005518147A (ja) | 2002-01-22 | 2005-06-16 | シーメンス メディカル ソルーションズ ヘルス サーヴィシズ コーポレイション | 実行可能ソフトウエアアプリケーションのネットワークトラフィック特性を推定するためのシステム |
| US7305464B2 (en) | 2002-09-03 | 2007-12-04 | End Ii End Communications, Inc. | Systems and methods for broadband network optimization |
| US7139928B1 (en) * | 2002-10-17 | 2006-11-21 | Cisco Technology, Inc. | Method and system for providing redundancy within a network element |
| EP1573480A2 (en) | 2002-12-02 | 2005-09-14 | Elemental Security | System and method for providing an enterprise-based computer security policy |
| US7584298B2 (en) | 2002-12-13 | 2009-09-01 | Internap Network Services Corporation | Topology aware route control |
| US7020087B2 (en) | 2003-01-13 | 2006-03-28 | Motorola, Inc. | Segmented and distributed path optimization in a communication network |
| CN100426733C (zh) | 2003-01-16 | 2008-10-15 | 华为技术有限公司 | 网络通信中实现资源分配的系统及其方法 |
| US7441267B1 (en) | 2003-03-19 | 2008-10-21 | Bbn Technologies Corp. | Method and apparatus for controlling the flow of data across a network interface |
| US20040223497A1 (en) * | 2003-05-08 | 2004-11-11 | Onvoy Inc. | Communications network with converged services |
| US7385931B2 (en) | 2003-08-22 | 2008-06-10 | Fujitsu Limited | Detection of network misconfigurations |
| US7609637B2 (en) | 2004-03-03 | 2009-10-27 | Alcatel-Lucent Usa Inc. | Network quality of service management |
| US7861247B1 (en) | 2004-03-24 | 2010-12-28 | Hewlett-Packard Development Company, L.P. | Assigning resources to an application component by taking into account an objective function with hard and soft constraints |
| US7181761B2 (en) | 2004-03-26 | 2007-02-20 | Micosoft Corporation | Rights management inter-entity message policies and enforcement |
| US7496661B1 (en) | 2004-03-29 | 2009-02-24 | Packeteer, Inc. | Adaptive, application-aware selection of differentiated network services |
| JP4373271B2 (ja) | 2004-05-14 | 2009-11-25 | 富士通株式会社 | ノード網における仮想lanの網構成を把握する方法およびプログラム |
| US7769021B1 (en) | 2004-07-03 | 2010-08-03 | At&T Corp. | Multiple media fail-over to alternate media |
| EP1771998B1 (en) | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
| CN101048984B (zh) | 2004-10-21 | 2013-08-21 | 日本电气株式会社 | 通信质量测量装置和通信质量测量方法 |
| CA2592079C (en) | 2004-12-22 | 2011-08-09 | Dragonwave, Inc. | Wireless communication path management methods and systems |
| US20060149845A1 (en) | 2004-12-30 | 2006-07-06 | Xinnia Technology, Llc | Managed quality of service for users and applications over shared networks |
| WO2006076307A2 (en) | 2005-01-10 | 2006-07-20 | Regents Of The University Of Minnesota | Detection of multi-step computer processes such as network intrusions |
| US20060182033A1 (en) | 2005-02-15 | 2006-08-17 | Matsushita Electric Industrial Co., Ltd. | Fast multicast path switching |
| US20060215577A1 (en) * | 2005-03-22 | 2006-09-28 | Guichard James N | System and methods for identifying network path performance |
| US20060224428A1 (en) | 2005-03-31 | 2006-10-05 | Patrick Schmidt | Ad-hoc and priority-based business process execution |
| JP4454661B2 (ja) * | 2005-03-31 | 2010-04-21 | 富士通株式会社 | フレーム転送装置 |
| US7756026B2 (en) | 2005-04-20 | 2010-07-13 | At&T Intellectual Property I, L.P. | Providing a quality of service for various classes of service for transfer of electronic data packets |
| US7630949B1 (en) | 2005-06-21 | 2009-12-08 | At&T Corp. | System and method for inferring traffic legitimacy through selective impairment |
| US7660285B2 (en) | 2005-06-29 | 2010-02-09 | Microsoft Corporation | Traffic-aware routing in wireless networks |
| US9418040B2 (en) | 2005-07-07 | 2016-08-16 | Sciencelogic, Inc. | Dynamically deployable self configuring distributed network management system |
| US8331360B1 (en) | 2005-08-17 | 2012-12-11 | Rockstar Consortium Us Lp | Method and apparatus for layer 2 fast re-configuration in a routing bridge network |
| US20070067296A1 (en) * | 2005-08-19 | 2007-03-22 | Malloy Patrick J | Network capacity planning |
| US7688829B2 (en) | 2005-09-14 | 2010-03-30 | Cisco Technology, Inc. | System and methods for network segmentation |
| US7702788B2 (en) | 2005-10-25 | 2010-04-20 | International Business Machines Corporation | Method and apparatus for performance and policy analysis in distributed computing systems |
| US20070130324A1 (en) | 2005-12-05 | 2007-06-07 | Jieming Wang | Method for detecting non-responsive applications in a TCP-based network |
| US9542642B2 (en) | 2006-04-06 | 2017-01-10 | Samuel F. Wood | Packet data neural network system and method |
| US8793361B1 (en) | 2006-06-30 | 2014-07-29 | Blue Coat Systems, Inc. | Traffic synchronization across multiple devices in wide area network topologies |
| US8375141B2 (en) | 2006-09-29 | 2013-02-12 | Microsoft Corporation | Infrastructure to disseminate queries and provide query results |
| US8976672B2 (en) | 2006-10-03 | 2015-03-10 | Cisco Technology, Inc. | Efficiently decoupling reservation and data forwarding of data flows in a computer network |
| US8312507B2 (en) * | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
| WO2008095127A2 (en) * | 2007-01-31 | 2008-08-07 | Advanced Technologues Holdings, Inc. | A hybrid wired and wireless universal access network |
| US7729353B1 (en) * | 2007-02-06 | 2010-06-01 | Amdocs Software Systems Limited | System, method and computer program product for discovering network connectivity among network devices based on topological information |
| US8024478B2 (en) | 2007-03-28 | 2011-09-20 | Cisco Technology, Inc. | Identifying network path including network proxies |
| US8169974B2 (en) | 2007-04-13 | 2012-05-01 | Hart Communication Foundation | Suspending transmissions in a wireless network |
| EP2179549B1 (en) | 2007-08-09 | 2012-03-21 | Markport Limited | Network resource management |
| US9730078B2 (en) | 2007-08-31 | 2017-08-08 | Fisher-Rosemount Systems, Inc. | Configuring and optimizing a wireless mesh network |
| US20090100431A1 (en) | 2007-10-12 | 2009-04-16 | International Business Machines Corporation | Dynamic business process prioritization based on context |
| US8616958B2 (en) | 2007-11-12 | 2013-12-31 | Bally Gaming, Inc. | Discovery method and system for dynamically locating networked gaming components and resources |
| KR20090050920A (ko) | 2007-11-16 | 2009-05-20 | 한국전자통신연구원 | 이더넷 링 네트워크의 비환원 모드에서의 장애 복구 방법 |
| US7991881B2 (en) | 2008-02-29 | 2011-08-02 | Microsoft Corporation | Monitoring network performance to identify sources of network performance degradation |
| US8725679B2 (en) | 2008-04-07 | 2014-05-13 | International Business Machines Corporation | Client side caching of synchronized data |
| US8045486B2 (en) | 2008-05-15 | 2011-10-25 | Solarwinds Worldwide, Llc | Discovery and visualization of active directory domain controllers in topological network maps |
| US7995481B2 (en) | 2008-07-31 | 2011-08-09 | Cisco Technology, Inc. | Hop cost as secondary metric for equal cost multi-paths |
| US20100157841A1 (en) * | 2008-12-18 | 2010-06-24 | Sarat Puthenpura | Method and apparatus for determining bandwidth requirement for a network |
| KR101172887B1 (ko) | 2008-12-22 | 2012-08-10 | 한국전자통신연구원 | 서비스 품질 제공 시스템 및 그 시스템에서의 이동 단말에 대한 서비스 품질 제공 방법 |
| US8274895B2 (en) | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US20120182865A1 (en) | 2009-02-06 | 2012-07-19 | Vpisystems, Inc. | Systems, Methods, and Apparatuses for Managing the Flow of Traffic in Data Networks |
| EP2452468A1 (en) | 2009-07-10 | 2012-05-16 | Nokia Siemens Networks OY | Method and device for conveying traffic in a network |
| US8972541B2 (en) | 2010-02-12 | 2015-03-03 | Alcatel Lucent | Method and apparatus providing access network aware presence to applications |
| WO2011117764A1 (en) | 2010-03-26 | 2011-09-29 | Koninklijke Philips Electronics N.V. | Link assessment before terminating alternate connection during heterogeneous network handovers |
| WO2011121378A1 (en) | 2010-03-30 | 2011-10-06 | Mingoa Limited | Detection of link connectivity in communication systems |
| US8750304B2 (en) | 2010-04-16 | 2014-06-10 | Cisco Technology, Inc. | Controlling directional asymmetricity in wide area networks |
| US9350708B2 (en) * | 2010-06-01 | 2016-05-24 | Good Technology Corporation | System and method for providing secured access to services |
| US8711853B2 (en) | 2010-06-25 | 2014-04-29 | Cisco Technology, Inc. | System and method for providing a path avoidance feature in a network environment |
| US20110320622A1 (en) * | 2010-06-29 | 2011-12-29 | Alcatel-Lucent Canada, Inc. | Managing internet protocol connectivity access network sessions |
| US8750207B2 (en) | 2010-10-15 | 2014-06-10 | Apple Inc. | Adapting transmission to improve QoS in a mobile wireless device |
| US8484654B2 (en) | 2010-11-23 | 2013-07-09 | International Business Machines Corporation | Determining suitable network interface for partition deployment/re-deployment in a cloud environment |
| US8606643B2 (en) | 2010-12-20 | 2013-12-10 | Target Brands, Inc. | Linking a retail user profile to a social network user profile |
| US20130318538A1 (en) | 2011-02-02 | 2013-11-28 | Abhishek Verma | Estimating a performance characteristic of a job using a performance model |
| WO2012105051A1 (ja) | 2011-02-04 | 2012-08-09 | 富士通株式会社 | 通信システム、通信方法及び通信装置 |
| US8392575B1 (en) | 2011-03-31 | 2013-03-05 | Amazon Technologies, Inc. | Clustered device dispersion in a multi-tenant environment |
| US8614941B2 (en) * | 2011-05-09 | 2013-12-24 | Telefonaktiebolaget L M Ericsson (Publ) | Hitless switchover from active TCP application to standby TCP application |
| US8849910B2 (en) | 2011-06-03 | 2014-09-30 | Oracle International Corporation | System and method for using quality of service with workload management in an application server environment |
| US20120317306A1 (en) | 2011-06-10 | 2012-12-13 | Microsoft Corporation | Statistical Network Traffic Signature Analyzer |
| US20130003528A1 (en) | 2011-07-01 | 2013-01-03 | Fujitsu Network Communications, Inc. | Joint near-end and far-end state machine for service protection networks |
| US8719919B2 (en) | 2011-07-12 | 2014-05-06 | Bank Of America Corporation | Service mediation framework |
| TW201305915A (zh) | 2011-07-19 | 2013-02-01 | Dau-Ning Guo | 行動資訊傳遞系統的操作方法 |
| US20130074091A1 (en) * | 2011-09-20 | 2013-03-21 | Cloudbyte, Inc. | Techniques for ensuring resources achieve performance metrics in a multi-tenant storage controller |
| US8929201B2 (en) | 2011-09-22 | 2015-01-06 | Electronics And Telecommunications Research Institute | Method and apparatus of performing protection switching on networks |
| US8694674B2 (en) | 2011-09-29 | 2014-04-08 | Mckesson Financial Holdings | Systems, methods, apparatuses, and computer program products for supporting remote hosting without using network address translation |
| WO2013059683A1 (en) | 2011-10-19 | 2013-04-25 | The Regents Of The University Of California | Comprehensive multipath routing for congestion and quality-of-service in communication networks |
| US9311160B2 (en) | 2011-11-10 | 2016-04-12 | Verizon Patent And Licensing Inc. | Elastic cloud networking |
| CA2858030A1 (en) | 2011-12-05 | 2013-06-13 | Adaptive Spectrum And Signal Alignment, Inc. | Systems and methods for traffic load balancing on multiple wan backhauls and multiple distinct lan networks |
| US20130154822A1 (en) * | 2011-12-20 | 2013-06-20 | Rogers Communications Inc. | Method and system for cross media alarm event notification |
| US9054992B2 (en) * | 2011-12-27 | 2015-06-09 | Solidfire, Inc. | Quality of service policy sets |
| CN103188152B (zh) | 2011-12-31 | 2015-07-08 | 南京邮电大学 | 基于业务区分的认知网络QoS路由选择方法 |
| US11588729B2 (en) | 2012-01-04 | 2023-02-21 | Ofinno, Llc | Cell site gateway |
| WO2013139524A1 (en) * | 2012-03-19 | 2013-09-26 | Nokia Siemens Networks Oy | Data transmission mechanism with improved robustness using multiflow connection |
| US9065802B2 (en) * | 2012-05-01 | 2015-06-23 | Fortinet, Inc. | Policy-based configuration of internet protocol security for a virtual private network |
| US8990901B2 (en) | 2012-05-05 | 2015-03-24 | Citrix Systems, Inc. | Systems and methods for network filtering in VPN |
| US8913482B2 (en) | 2012-06-01 | 2014-12-16 | Telefonaktiebolaget L M Ericsson (Publ) | Enhancements to PIM fast re-route with upstream activation packets |
| US9729449B2 (en) | 2012-06-26 | 2017-08-08 | Brocade Communications Systems, Inc. | Method and apparatus for enhanced routing within a shortest path based routed network containing local and long distance links |
| US9451056B2 (en) * | 2012-06-29 | 2016-09-20 | Avaya Inc. | Method for mapping packets to network virtualization instances |
| US9094459B2 (en) | 2012-07-16 | 2015-07-28 | International Business Machines Corporation | Flow based overlay network |
| US8949839B2 (en) | 2012-07-26 | 2015-02-03 | Centurylink Intellectual Property Llc | Method and system for controlling work request queue in a multi-tenant cloud computing environment |
| US9001672B2 (en) | 2012-07-27 | 2015-04-07 | Alcatel Lucent | System, method and apparatus conforming path cost criteria across multiple ABRs |
| US20140310046A1 (en) | 2012-08-13 | 2014-10-16 | Rundavoo, Inc. | System and method for on-line event promotion and group planning |
| US20140052877A1 (en) | 2012-08-16 | 2014-02-20 | Wenbo Mao | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters |
| US20140059095A1 (en) | 2012-08-21 | 2014-02-27 | Ebay Inc. | System and method for mean estimation for a torso-heavy tail distribution |
| US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
| CN104604272B (zh) | 2012-09-06 | 2018-05-15 | 皇家Kpn公司 | 建立设备到设备通信会话 |
| US20140222858A1 (en) | 2012-10-02 | 2014-08-07 | Penango, Inc. | Methods and systems for automated certificate processing |
| US9923808B2 (en) | 2012-10-09 | 2018-03-20 | Netscout Systems, Inc. | System and method for real-time load balancing of network packets |
| US20140119177A1 (en) | 2012-10-31 | 2014-05-01 | Verizon Patent And Licensing Inc. | Method and system for selectively metering network traffic |
| US9282118B2 (en) | 2012-11-13 | 2016-03-08 | Intel Corporation | Policy enforcement in computing environment |
| US9049115B2 (en) | 2012-12-13 | 2015-06-02 | Cisco Technology, Inc. | Enabling virtual workloads using overlay technologies to interoperate with physical network services |
| CN104885431B (zh) | 2012-12-13 | 2018-11-20 | 华为技术有限公司 | 软件定义信息中心网络中基于内容的流量工程的方法及装置 |
| US9141769B1 (en) * | 2013-02-08 | 2015-09-22 | Amazon Technologies, Inc. | Secure transfer and use of secret material in a shared environment |
| US8817581B1 (en) | 2013-02-22 | 2014-08-26 | Tdk Corporation | Thermally-assisted magnetic recording head using near-field light |
| US10355930B2 (en) | 2013-03-14 | 2019-07-16 | Fortinet, Inc. | System and method of subnetting a virtual network identifier |
| US10135901B2 (en) | 2013-03-15 | 2018-11-20 | Cox Communications, Inc. | Exchange of content consumption-related information between networked devices |
| US9706004B2 (en) | 2013-04-06 | 2017-07-11 | Citrix Systems, Inc. | Systems and methods for exporting client and server timing information for webpage and embedded object access |
| US9537761B2 (en) | 2013-04-18 | 2017-01-03 | Telefonaktiebolaget L M Ericsson (Publ) | IP address allocation in split brain ICR scenario |
| US20140334336A1 (en) | 2013-05-10 | 2014-11-13 | Relay2, Inc. | Multi-Tenant Virtual Access Point- Network Resources Virtualization |
| CN103346922B (zh) | 2013-07-26 | 2016-08-10 | 电子科技大学 | 基于sdn的确定网络状态的控制器及其确定方法 |
| US9509598B2 (en) | 2013-08-02 | 2016-11-29 | Time Warner Cable Enterprises Llc | Apparatus and methods for intelligent deployment of network infrastructure based on tunneling of ethernet ring protection |
| US9654372B2 (en) | 2013-09-06 | 2017-05-16 | Nec Corporation | Patent latency monitoring in software-defined networks |
| FR3010600B1 (fr) | 2013-09-09 | 2017-01-06 | Ipanema Tech | Procede de transmission de flux de donnees a travers un reseau de telecommunication |
| US9288143B2 (en) * | 2013-10-14 | 2016-03-15 | Hewlett Packard Enterprise Development Lp | Data flow path determination |
| US9887881B2 (en) | 2013-10-30 | 2018-02-06 | Cisco Technology, Inc. | DNS-assisted application identification |
| US9294524B2 (en) | 2013-12-16 | 2016-03-22 | Nicira, Inc. | Mapping virtual machines from a private network to a multi-tenant public datacenter |
| US9483369B2 (en) | 2014-01-24 | 2016-11-01 | Verizon Patent And Licensing Inc. | Method and apparatus for failover detection and recovery using gratuitous address resolution messages |
| US10481933B2 (en) * | 2014-08-22 | 2019-11-19 | Nicira, Inc. | Enabling virtual machines access to switches configured by different management entities |
| US9871691B2 (en) | 2014-09-16 | 2018-01-16 | CloudGenix, Inc. | Methods and systems for hub high availability and network load and scaling |
| TWM590617U (zh) | 2019-04-12 | 2020-02-11 | 林煥燦 | 砂紙布改良結構 |
-
2015
- 2015-09-16 US US14/856,463 patent/US9871691B2/en active Active
- 2015-09-16 TW TW106116652A patent/TW201728124A/zh unknown
- 2015-09-16 US US14/856,482 patent/US10110422B2/en active Active
- 2015-09-16 GB GB1702333.4A patent/GB2548232B/en active Active
- 2015-09-16 US US14/856,328 patent/US10142164B2/en active Active
- 2015-09-16 US US14/856,446 patent/US9742626B2/en active Active
- 2015-09-16 US US14/856,342 patent/US10097403B2/en active Active
- 2015-09-16 US US14/856,457 patent/US9960958B2/en active Active
- 2015-09-16 AU AU2015317790A patent/AU2015317790B2/en active Active
- 2015-09-16 US US14/856,474 patent/US9906402B2/en active Active
- 2015-09-16 TW TW104130697A patent/TWI590617B/zh active
- 2015-09-16 CN CN202211115060.9A patent/CN115277489B/zh active Active
- 2015-09-16 CN CN201580049899.9A patent/CN107078921A/zh active Pending
- 2015-09-16 US US14/856,314 patent/US11063814B2/en active Active
- 2015-09-16 US US14/856,416 patent/US10097404B2/en active Active
- 2015-09-16 US US14/855,747 patent/US10374871B2/en active Active
- 2015-09-16 WO PCT/US2015/050408 patent/WO2016044413A1/en active Application Filing
- 2015-09-16 US US14/856,384 patent/US10153940B2/en active Active
- 2015-09-16 US US14/856,429 patent/US10560314B2/en active Active
- 2015-09-16 US US14/856,441 patent/US9686127B2/en active Active
-
2021
- 2021-06-10 US US17/343,893 patent/US11943094B2/en active Active
-
2022
- 2022-04-29 US US17/733,895 patent/US11539576B2/en active Active
- 2022-05-06 US US17/738,897 patent/US11575560B2/en active Active
- 2022-10-06 US US17/961,456 patent/US11870639B2/en active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10560314B2 (en) | 2014-09-16 | 2020-02-11 | CloudGenix, Inc. | Methods and systems for application session modeling and prediction of granular bandwidth requirements |
| US11063814B2 (en) | 2014-09-16 | 2021-07-13 | CloudGenix, Inc. | Methods and systems for application and policy based network traffic isolation and data transfer |
| US11943094B2 (en) | 2014-09-16 | 2024-03-26 | Palo Alto Networks, Inc. | Methods and systems for application and policy based network traffic isolation and data transfer |
| TWI666567B (zh) * | 2017-08-07 | 2019-07-21 | 中華電信股份有限公司 | 伺服器及其防火牆規則管理方法 |
| TWI727361B (zh) * | 2018-07-05 | 2021-05-11 | 美商神話股份有限公司 | 用於實現智慧處理運算結構的方法 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI590617B (zh) | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 | |
| US11706127B2 (en) | High performance software-defined core network | |
| US20190372888A1 (en) | High performance software-defined core network | |
| US20200106696A1 (en) | High performance software-defined core network | |
| US20190372890A1 (en) | High performance software-defined core network | |
| US20190372889A1 (en) | High performance software-defined core network | |
| Moser | Performance Analysis of an SD-WAN Infrastructure Implemented Using Cisco System Technologies |