CN104272672A - 向虚拟覆盖网络流量提供服务 - Google Patents
向虚拟覆盖网络流量提供服务 Download PDFInfo
- Publication number
- CN104272672A CN104272672A CN201380022570.4A CN201380022570A CN104272672A CN 104272672 A CN104272672 A CN 104272672A CN 201380022570 A CN201380022570 A CN 201380022570A CN 104272672 A CN104272672 A CN 104272672A
- Authority
- CN
- China
- Prior art keywords
- grouping
- service
- network
- virtual
- logical block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Abstract
根据一个实施例,一种系统包括覆盖网络设备,该覆盖网络设备包括:适于与虚拟覆盖网络(VON)网关进行电通信的接口;适于从VON网关接收多个分组的逻辑部件;适于确定所述多个分组是否包括覆盖头的逻辑部件;适于对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于对所述多个分组或解封的内部分组执行服务的逻辑部件;以及适于将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址并且将封装后的分组发送到VON网关的逻辑部件,或者适于在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址的逻辑部件。
Description
技术领域
本发明涉及数据中心基础设施,更具体地,本发明涉及在数据中心中向虚拟覆盖网络流量(network traffic)提供深度分组检测服务。
背景技术
虽然对于数据中心基础设施的弹性的需要已经讨论了很久,并且业界对于如何使数据中心更加敏捷已经设想了多种竞争性理念,但是较少强调虚拟化安全和服务。一些安全特征包括防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)等,一些服务包括加速器、虚拟私人网络(VPN)终止、负载均衡、流量压缩、智能成形、速率限制等。通过服务器虚拟化和分布式应用程序架构,在多个应用程序和客户端上共享基础设施变得越来越普遍,并且最近的趋势表明,随着应用程序变得越来越分布化,服务器对服务器通信(在数据中心中被称为东西流量(east-west traffic))有可能呈指数增长。
虚拟覆盖网络,诸如虚拟可扩展局域网(VXLAN)和其他虚拟覆盖网络,在原始网络分组的顶部使用封装在分组中的协议头来创建位置透明性。由于附加的封装协议头,现有的或传统的网络间元件(INE,诸如物理基础设施路由器和交换机等)不可能从原始分组内确定信息。这是因为覆盖协议头内部的原始分组被作为典型的数据有效载荷被封装到传统INE。此外,原始分组的这种缺乏可见性阻止了INE实现复杂的网络安全和服务。像虚拟可扩展局域网(VXLAN)的协议使用用户数据报协议/互联网协议(UDP/IP)来封装原始以太网分组以用于通过物理网络传输。原始以太网分组通过网络从始发方隧穿到最近的VXLAN网关。VXLAN网关将虚拟网络连接到非虚拟网络(具有物理组件的传统网络)。因为VXLAN网关理解(能够处理)VXLAN协议和隧道(tunnel),所以它们具有识别封装的分组的能力。然而,目前,这些网关不能将服务或安全应用于流过其的流量。
发明内容
在一个实施例中,一种系统包括覆盖网络设备,该覆盖网络设备包括:适于与虚拟覆盖网络(VON)网关进行电通信的接口;适于从VON网关接收多个分组(packet)的逻辑部件;适于确定所述多个分组是否包括覆盖头(overlay header)的逻辑部件;适于对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于对所述多个分组或解封的内部分组执行服务的逻辑部件;以及适于将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址、并且将封装的分组发送到VON网关的逻辑部件,或者在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址的逻辑部件。
在另一实施例中,一种用于向虚拟覆盖网络上的网络流量提供服务的方法包括:接收包括多个分组的网络流量;确定所述多个分组是否包括覆盖头;终止隧道,并且对包括覆盖头的分组的内部分组进行解封;对所述多个分组或解封的内部分组执行服务;发起隧道,并且将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且发送封装的分组,或者,在不将分组与覆盖头封装在一起的情况下发送被服务的分组,以切换到非虚拟网络中的目的地地址。
在又一实施例中,一种用于向虚拟覆盖网络上的网络流量提供服务的计算机程序产品,该计算机程序产品包括包含计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码包括:被配置为从VON网关接收包括多个分组的网络流量的计算机可读程序代码;被配置为确定所述多个分组是否包括覆盖头的计算机可读程序代码;被配置为对包括覆盖头的分组的内部分组进行解封的计算机可读程序代码;被配置为对所述多个分组或解封的内部分组执行服务的计算机可读程序代码;以及被配置为二选其一地执行以下操作的计算机可读程序代码:将所述内部分组或所述多个分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址并且将封装的分组发送到VON网关,或者,在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址。
根据另一实施例,一种系统包括:适于与一个或多个虚拟网络和一个或多个非虚拟网络进行电通信的一个或多个接口;适于接收包括多个分组的网络流量的逻辑部件;适于确定所述分组是否包括覆盖头的逻辑部件;适于终止隧道并且对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于确定将对所述分组执行服务并且对所述分组执行所述服务的逻辑部件;以及适于发起隧道、并且将被服务的分组与覆盖头封装在一起、并且将封装后的被服务的分组切换到虚拟网络中的目的地地址的逻辑部件,或者适于在不将被服务的分组与覆盖头封装在一起的情况下将所述被服务的分组切换到非虚拟网络中的目的地地址的逻辑部件。
从以下详细描述,本发明的其他方面和实施例将变得清楚,以下详细描述在结合附图进行时以举例的方式例示本发明的原理。
附图说明
图1例示根据一个实施例的网络架构。
图2示出根据一个实施例的可以与图1的服务器和/或客户端相关联的代表性硬件环境。
图3是根据一个实施例的虚拟化数据中心的简化图。
图4是根据现有技术的虚拟网络(一个或多个)与非虚拟网络(一个或多个)之间的连接的简化图。
图5示出根据一个实施例的简化的虚拟网络(一个或多个)与非虚拟网络(一个或多个)之间的连接。
图6描绘根据一个实施例的通过虚拟覆盖网络网关的简化流程。
图7描绘根据一个实施例的通过覆盖网络设备的简化流程。
图8是根据一个实施例的方法的流程图。
图9是根据一个实施例的方法的流程图。
具体实施方式
以下描述是为了例示本发明的总原理的目的而进行的,而非意图限制本文中要求保护的发明构思。此外,本文中描述的特定特征可以以各种可能的组合和置换中的每个与所描述的其他特征组合使用。
除非本文中另有专门定义,否则所有术语都要被给予它们最广泛的可能的解释,包括本说明书暗示的意义以及本领域技术人员所理解的和/或词典、论文等中定义的意义。
还必须指出,如本说明书和所附权利要求书中所使用的,单数形式“一”,“一个”和“所述”包括复数指示物,除非另有规定。
在一种方式中,虚拟局域网(VLAN)网关和网络间元件(INE)可以利用用于提供深度分组检查服务的设备来克服在转发虚拟覆盖网络流量时内部分组的本身可见性的缺乏。
在一个总的实施例中,一种系统包括覆盖网络设备,该覆盖网络设备包括:适于与虚拟覆盖网络(VON)进行电通信的接口;适于从VON网关接收多个分组的逻辑部件;适于确定所述多个分组是否包括覆盖头的逻辑部件;适于对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于对所述多个分组或解封的内部分组执行服务的逻辑部件;以及适于将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址并且将封装后的分组发送到VON网关的逻辑部件,或者适于在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址的逻辑部件。
在另一总的实施例中,一种用于向虚拟覆盖网络上的网络流量提供服务的方法包括:接收包括多个分组的网络流量;确定所述多个分组是否包括覆盖头;终止隧道,并且对包括覆盖头的分组的内部分组进行解封;对所述多个分组或解封的内部分组执行服务;发起隧道,并且将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且发送封装后的分组,或者,在不将分组与覆盖头封装在一起的情况下发送被服务的分组,以切换到非虚拟网络中的目的地地址。
在又一总的实施例中,一种用于向虚拟覆盖网络上的网络流量提供服务的计算机程序产品,该计算机程序产品包括包含计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码包括:被配置为从VON网关接收包括多个分组的网络流量的计算机可读程序代码;被配置为确定所述多个分组是否包括覆盖头的计算机可读程序代码;被配置为对包括覆盖头的分组的内部分组进行解封的计算机可读程序代码;被配置为对所述多个分组或解封的内部分组执行服务的计算机可读程序代码;以及被配置为二选其一地执行以下步骤的计算机可读程序代码:将所述内部分组或所述多个分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且将封装后的分组发送到VON网关,或者,在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址。
根据另一总的实施例,一种系统包括:适于与一个或多个虚拟网络和一个或多个非虚拟网络进行电通信的一个或多个接口;适于接收多个分组的网络流量的逻辑部件;适于确定所述分组是否包括覆盖头的逻辑部件;适于终止隧道并且对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于确定将对所述分组执行服务并且对所述分组执行所述服务的逻辑部件;以及适于发起隧道、并且将被服务的分组与覆盖头封装在一起、并且将封装后的被服务的分组切换到虚拟网络中的目的地地址的逻辑部件,或者适于将被服务的分组切换到非虚拟网络中的目的地地址,而不将该分组与覆盖头封装在一起的逻辑部件。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“逻辑”、“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或非暂态计算机可读存储介质。非暂态计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。非暂态计算机可读存储介质的更具体的例子(非穷举的列表)包括以下:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑盘只读存储器(CD-ROM)、蓝光盘只读存储器(BD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,非暂态计算机可读存储介质可以是任何能够包含或存储程序或应用程序的有形介质,该程序或应用程序被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括例如在基带中或者作为载波一部分的传播数据信号,其中承载了计算机可读的程序代码。这种传播信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是非暂态计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件(诸如具有一个或多个线路的电连接、光纤等)使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、射频(RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机或服务器可以通过任意种类的网络——包括局域网(LAN)、存储区域网(SAN)和/或广域网(WAN)、任何虚拟网络—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商(ISP)来通过因特网连接)。
本文中参照根据本发明的各种实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
还可以把这些计算机程序指令加载到计算机、其他可编程数据处理装置或其他设备上,使一系列操作步骤在该计算机、其他可编程装置或其他设备上执行以生成计算机实现过程,以使得在该计算机或其他可编程装置上执行的指令提供用于实现流程图和/或一个框图块或多个框图块中所指定的功能/动作的处理。
图1例示根据一个实施例的网络架构100。如图1中所示,提供了多个远程网络102,包括第一远程网络104和第二远程网络106。网关101可以耦连在远程网络102与邻近网络108之间。在目前的网络架构100的背景下,网络104、106均可以采取任何形式,包括但不限于LAN、VLAN、WAN(诸如互联网)、公共交换电话网络(PSTN)、内部电话网络等。
在使用时,网关101用作从远程网络102到邻近网络108的进入点。就这点而论,网关101可以用作能够引导到达网关101的数据的给定分组的路由器、以及为给定分组供应进出网关101的实际路径的交换机。
还包括耦连到邻近网络108的至少一个数据服务器114,数据服务器114可经由网关101从远程网络102访问。应指出,数据服务器(一个或多个)114可以包括任何类型的计算设备/群组。耦连到每个数据服务器114的是多个用户设备116。这样的用户设备116可以包括台式计算机、膝上型计算机、手持计算机、打印机和/或任何其他类型的包含逻辑部件的设备。应指出,在一些实施例中,用户设备111还可以直接耦连到任意网络。
外设120或外设系列120(例如,传真机、打印机、扫描仪、硬盘驱动器、联网和/或本地存储单元或系统等)可以耦连到网络104、106、108中的一个或多个。应指出,数据库和/或附加组件可以与耦连到网络104、106、108的任何类型的网络元件一起利用或者集成到该网络元件中。在本描述的背景下,网络元件可以是指网络的任何组件。
根据一些方式,本文中描述的方法和系统可以用虚拟系统和/或模拟一个或多个其他系统的系统来实现,和/或在这些系统上实现,所述模拟一个或多个其他系统的系统诸如模拟IBM z/OS环境的UNIX系统、虚拟地托管MICROSOFT WINDOWS环境的UNIX系统、模拟IBM z/OS环境的MICROSOFT WINDOWS系统等。在一些实施例中,可以通过使用VMWARE软件来增强该虚拟化和/或模拟。
在更多的方式中,一个或多个网络104、106、108可以表示常被称为“云”的系统集群。在云计算中,共享资源(诸如处理能力、外设、软件、数据、服务器等)以按需的关系提供给云中的任何系统,从而使得可以跨许多计算系统访问和分布服务。云计算通常涉及在云中进行操作的系统之间的互联网连接,但是还可以使用本领域中已知的其他连接系统的技术。
图2示出了根据一个实施例的与图1的用户设备116和/或服务器114相关联的代表性硬件环境。图2例示了工作站的典型硬件配置,该工作站具有中央处理单元(CPU)210(诸如微处理器)以及若干个经由一个或多个总线212互连的其他单元,根据几个实施例,总线212可以是不同类型,诸如本地总线、并行总线、串行总线等。
图2中所示的工作站包括随机存取存储器(RAM)214、只读存储器(ROM)216、I/O适配器218、用户接口适配器222、通信适配器234以及显示器适配器236,I/O适配器218用于将外围设备(诸如盘存储单元220)连接到一个或多个总线212,用户接口适配器222用于将键盘224、鼠标226、扬声器228、麦克风232和/或其他用户接口设备(诸如触摸屏、数字照相机(未示出)等)连接到一个或多个总线212,通信适配器234用于将工作站连接到通信网络235(例如,数据处理网络),显示器适配器236用于将一个或多个总线212连接到显示设备238。
工作站可以具有驻存在其上的操作系统,诸如MICROSOFTWINDOWS操作系统(OS)、MAC OS、UNIX OSA等。将意识到,优选实施例还可以在除了所提及的那些平台和操作系统之外的平台和操作系统上实现。优选实施例可以使用JAVA、XML、C和/或C++语言或其他程序设计语言连同面向对象的程序设计方法来编写。可以使用已经变得越来越用于开发复杂应用程序的面向对象的程序设计(OOP)。
现在参照图3,示出了根据一个实施例的覆盖网络300的概念图。为了虚拟化网络服务,不是仅提供设备之间的结构(fabric)路径(连接),而是可以随着分组移动通过网关314而对这些分组进行服务,网关314为在非虚拟网络(一个或多个)312与虚拟网络A304和虚拟网络B 306之间移动的分组提供路由和转发。一个或多个虚拟网络304、306存在于物理(真实)网络基础设施302内。网络基础设施302可以包括通常与网络基础设施相关联的和/或在网络基础设施中使用的任何组件、硬件、软件和/或功能,如本领域的技术人员将知道的,包括但不限于,交换机、连接器、配线、电路、电缆、服务器、主机、存储介质、操作系统、应用程序、端口、I/O等。该网络基础设施302支持至少一个非虚拟网络312,非虚拟网络312可以是传统网络。
每个虚拟网络304、306可以使用任何数量的虚拟机(VM)308、310。在一个实施例中,虚拟网络A 304包括一个或多个VM 308,虚拟网络B 306包括一个或多个VM 310。如图3中所示,VM 308、310不被虚拟网络304、306共享,而是在任何给定时间仅包括在唯一一个虚拟网络304、306中。
根据一个实施例,覆盖网络300可以包括与一个或多个分布式线卡(DLC)互连的一个或多个信元交换域可伸缩结构组件(SFC)。
通过具有“扁平交换机”架构,多个VM可以容易地、高效率地在该架构上移动数据。通常,VM很难跨层3域移动、在一个子网到另一个子网之间移动、从互联网协议(IP)子网移动到IP子网、等等。但是如果架构在非常大的层2域中类似于大型扁平交换机,则对VM试图在该架构上移动数据会有帮助。
图4示出了根据现有技术的典型的虚拟网络304、306到非虚拟网络312的连接。如所示,VON网关400可以用于将流量从在虚拟网络304、306中发起的隧道朝向非虚拟网络312路由,非虚拟网络312充当隧道终止点。此外,网关400可以用于经由虚拟网络304与虚拟网络306之间的隧道路由流量。为了实现这一点,网关400使用物理连接(诸如经由以太网、光纤通道或任何其他连接类型)而连接到虚拟网络304、306和非虚拟网络312。然而,网关400不能检查经由用于可以在覆盖分组的有效载荷中的任何分组的隧道到达的流量。因此,网关400没有办法为覆盖分组内的分组提供服务。
现在参照图5,示出了根据一个实施例的虚拟网络304、306与非虚拟网络(一个或多个)312之间的连接。如所示,虚拟覆盖网络(VON)网关502(诸如虚拟可扩展局域网(VXLAN)网关)可以为通过该网关到达或来自虚拟或非虚拟网络的任何流量提供路由功能。另外,网关502能够将流量引导到覆盖网络设备500。
网关502可以包括用于执行逻辑的处理器,诸如中央处理单元(CPU)、现场可编程门阵列(FPGA)、集成电路(IC)和专用集成电路(ASIC)、或本领域中已知的一些其他合适的处理器。
根据一个实施例,可以将访问控制列表(ACL)应用于网络间元件(INE)和虚拟覆盖网络(VON)网关502端口以将传入的VON封装的分组踢到覆盖网络设备500。当在端口上启用这样的ACL,在启用ACL的端口上接收的任何分组将被踢到覆盖网络设备500。然后,覆盖网络设备500实现一连串服务。可以将本领域中已知的任何服务应用于流量,如本领域技术人员知道的,除了许多其他可能性之外,所述服务诸如防火墙服务、入侵防御系统(IPS)服务、入侵检测系统(IDS)、IPS/IDS服务、服务器负载均衡服务、LAN优化服务、VPN服务、视频优化服务、网络地址转换(NAT)服务、加密服务、解密服务等。当启动覆盖网络设备500时,这些服务均可以按照系统管理员的需要被独立启用、被独立绕过、或者被手动选择。
覆盖网络设备500可以包括或者实施为用于执行逻辑的处理器,诸如中央处理单元(CPU)、现场可编程门阵列(FPGA)、集成电路(IC)和专用集成电路(ASIC)、或本领域中已知的一些其他合适的处理器。在另一实施例中,覆盖网络设备500可以是安装在网关或INE 502中的处理器、在网关或INE 502的处理器中或者在安置在网关或INE 502外部的一些其他合适的设备中配置的逻辑。
对于从虚拟覆盖网络(诸如虚拟网络A 304、虚拟网络B 306等)到达非虚拟传统网络(诸如非虚拟网络312)的层3用户数据报协议/互联网协议(UDP/IP)封装的流量,覆盖网络设备500终止目的地地址是INE虚拟隧道结束点(VTEP)的地址的流,对内部分组解封,并且将内部分组传递到覆盖网络设备服务链,该覆盖网络设备服务链可以向内部分组提供服务。分组经过在覆盖网络设备500内部配置和启用的服务链。在链结束时,基于分组的最终目的地地址,做出将分组封装为覆盖格式(如果目的地地址在虚拟网络地址空间中)并且在隧道上传递它、或者照分组的原样传递分组(如果目的地地址在非虚拟网络中)的决策,并且将该分组重新插回到INE中。
从覆盖网络设备500到达INE或VON网关502的分组绕过INE502中的任何隧道管理逻辑,并且仅通过INE 502中的“查找和转发”逻辑以找到出站路径,通过该出站路径,基于分组中的目的地地址,分组进入到虚拟网络(304,306)或非虚拟网络312。
类似地,对于从非虚拟网络(一个或多个)312到达虚拟网络(一个或多个)304、306的流量,基于应用于入站端口的ACL,将分组传递到覆盖网络设备500。当到达覆盖网络设备500时,使分组通过在覆盖网络设备500内部配置的服务链。在链结束时,基于分组的最终目的地地址,做出将分组封装为覆盖格式(如果目的地地址在虚拟网络地址空间中)并且在隧道上传递它、或者照分组的原样传递分组(如果目的地地址在非虚拟网络中)的决策,并且将该分组重新插回到INE 502中。从覆盖网络设备500到达INE或VON网关502的分组绕过INE 502中的隧道管理逻辑,并且仅通过“查找和转发”逻辑以找到出站路径,通过该出站路径,基于分组中的目的地地址,分组进入到虚拟覆盖网络304、306或非虚拟传统网络(一个或多个)312。
覆盖网络设备服务可以在虚拟设施或任何类型的服务器(诸如商用现货(COTS)服务器)中实现为安装在INE或VON网关502(诸如VXLAN网关)的专用芯片组,或者在本领域技术人员在阅读本描述时会理解的任何其他系统、设备或处理器中实现。
覆盖网络设备500的管理逻辑还可以被配置为对传入的数据分组和传出的数据分组进行处理,而不管分组传送协议如何,所述分组传送协议例如以太网、通过以太网的外围组件互连快递(PCIe)、通过以太网的光纤通道(FC)(FCoE)等。
在一种方法中,可以对传入的数据分组进行分析以确定系统在对传入的数据分组进行处理的过程中可以执行的一个或多个服务。而且,系统可以执行的服务限定传入的数据分组在对数据分组进行处理的过程中将经过的处理路径的全部或部分。
例如,在某些服务仅在网络流量的子集上执行的一个实施例中,必须将需要这些服务的数据分组识别为需要这些服务,以便接收感兴趣服务。因此,在一个实施例中,处理路径的至少一部分将包括是否将执行服务的确定,部分地限定处理路径。
根据各种实施例,如本领域技术人员将知道的,除了许多其他可能性之外,可以对分组执行的服务包括,但不限于,防火墙服务、入侵防御系统(IPS)服务、入侵检测系统(IDS)、IPS/IDS服务、服务器负载均衡服务、LAN优化服务、VPN服务、视频优化服务、网络地址转换(NAT)服务、加密服务、解密服务等。
在一个实施例中,VXLAN帧格式可以如下:
该帧格式可以用于以若干种不同的方式确定是否应针对内部分组对分组进行检查。以一种这样的方式,可以确定目的地端口(DestPort)。在以上示出的帧格式中,作为例子,目的地端口是指示分组具有覆盖头的VXLAN端口。因此,可以对该分组进行解封,以便确定内部分组包括什么、然后确定是否应对内部分组执行服务。当然,如本领域技术人员知道的并且如本文中描述的,可以使用确定是否应对内部分组执行服务、并且分组是否包括内部分组的其他方式。
现在参照图8,示出了根据一个实施例的方法800的流程图。在各种实施例中,除了其他环境之外,方法800可以根据本发明在图1-7中描绘的任意环境下执行。当然,如本领域技术人员在阅读本描述时将理解的,在方法800中可以包括比图8中具体描述的操作多或少的操作。
方法800的每个步骤可以由操作环境的任何合适的组件执行。例如,在一个实施例中,在各种方式中,方法800可以部分地或整个地由覆盖网络设备、处理器(诸如CPU、ASIC、FPGA等)、VON网关或INE执行。
如图8中所示,方法800可以从操作802开始,在操作802中,接收包括多个分组的网络流量。在一种方法中,如本文中更详细地描述的,可以在网络网关处接收网络流量,或者可以将网络流量从网络网关发送到覆盖网络设备。
在操作804中,确定分组是否包括覆盖头。这可以通过确定外部UDP头的目的地端口来实现。如果目的地端口是虚拟LAN端口(诸如,VXLAN端口),则可以假定分组包括覆盖头。
在可选的操作806中,当从虚拟网络接收到分组时,可以终止通过其接收分组的隧道。这样,网关、INE或覆盖网络设备可以充当到达/来自任何虚拟网络的隧道的终止点和发起点。在一种优选方法中,覆盖网络设备可以充当到达/来自任何虚拟网络的隧道的终止点和发起点。
在操作808中,对包括覆盖头的分组的内部分组进行解封,从而提供内部分组的可见性(visibility)。内部分组可以是本领域中已知的任何类型,诸如I/O分组(例如,通过以太网的光纤通道(FCoE)分组)、控制分组、IP分组、语音分组等。
在操作810中,确定将对分组(内部分组和来自非虚拟网络的分组)执行服务,并且对这些分组执行这些服务。
根据各种实施例,存在确定将执行服务的许多方式。在其上接收分组的端口可以指示将执行的服务,分组的目的地端口可以指示将执行的服务,分组的类型可以指示将执行的服务,等等。
在一个实施例中,确定将对分组执行服务可以包括:将ACL应用于多个分组以将对于其将执行服务的分组与对于其将不执行服务的分组区分开来。
在另外的实施例中,可以通过将不同的一个ACL或多个ACL应用于多个分组来改变、更改、指定(等等动作)将对其执行服务的分组的类型。ACL将捕捉将对其执行服务的分组。如本领域技术人员在阅读本描述时将理解的,系统管理员或一些其他授权用户可以指定多个ACL,从而指定在其上接收服务的分组的许多不同类型。
根据几个实施例,除了其他可能性之外,服务可以包括下列服务中的一个或多个:防火墙服务、IPS、IDS、服务器负载均衡服务、VPN服务、视频优化服务和/或WAN优化服务。在一种方式中,服务可以包括以上列出的服务中的多于两个。
在可选的操作812中,可以发起用于具有虚拟网络中的目的地地址的分组的隧道。这可以使用本领域技术人员已知的任何方法来执行。这样,网关、INE或覆盖网络设备可以充当用于到达/来自任何虚拟网络的隧道的终止点和发起点。在一种优选方式中,覆盖网络设备可以充当用于到达/来自任何虚拟网络的隧道的终止点和发起点。
根据正在送出的分组的类型,方法800继续进行到操作814(对于目的地为虚拟网络的分组)或操作816(对于目的地为非虚拟网络的分组)。
在操作814中,将被服务的分组与覆盖头封装在一起并切换到虚拟网络中的目的地地址。在各种实施例中,这可以由覆盖网络设备或网关执行。当然,在一些方式中,覆盖网络设备可以是嵌入在网关中的芯片组或处理器。
在操作816中,将被服务的分组切换到非虚拟网络中的目的地地址,而不将分组与覆盖头封装在一起。
在包括图8中描述的全部或一些操作的各种实施例中,可以在计算机程序产品、其他方法、逻辑部件和系统中执行方法800。
在一个这样的实施例中,一种系统包括覆盖网络设备,该覆盖网络设备包括:适于与VON网关进行电通信的接口;适于从VON网关接收多个分组的逻辑部件;适于确定所述多个分组是否包括覆盖头的逻辑部件;适于对包括覆盖头的分组的内部分组进行解封的逻辑部件;适于对所述多个分组或解封的内部分组执行服务的逻辑部件;以及适于执行以下步骤的逻辑部件:将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且将封装后的分组发送到VON网关,或者,在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址。
在一些另外的实施例中,所述系统还可以包括连接到一个或多个虚拟网络和一个或多个非虚拟网络的VON网关。在这些实施例中,VON网关可以包括:适于对网络流量(诸如本文中描述的从虚拟网络和/或非虚拟网络接收的分组)执行路由功能的逻辑部件;适于将所述网络流量的多个分组路由到覆盖网络设备的逻辑部件;以及适于从覆盖网络设备接收回所述多个分组的逻辑部件。
在另一实施例中,VON网关可以适于将ACL应用于在VON网关的端口上接收的网络流量以将某些接收的分组引导到覆盖网络设备以用于对其执行服务。此外,可以通过使VON网关将不同的ACL应用于在VON网关的端口上接收的网络流量来改变对其执行服务的分组的类型。
在另一实施例中,覆盖网络设备还可以包括:适于终止用于包括覆盖头的分组的隧道的逻辑部件;以及适于发起用于将切换到虚拟网络中的目的地地址的分组的隧道的逻辑部件。这样,在一些方式中,覆盖网络设备可以充当到达/来自任意虚拟网络的隧道的发起点和终止点,从而从VON网关移除该功能。
本文中描述的任何系统,诸如VON网关、覆盖网络设备等,可以包括适于与一个或多个虚拟网络和一个或多个非虚拟网络进行电通信的一个或多个接口。
现在参照图9,示出了根据一个实施例的方法900的流程图。在各种实施例中,除了其他环境之外,方法900可以根据本发明在图1-7中描绘的任意环境下执行。当然,如本领域技术人员在阅读本公开时将理解的,在方法900中可以包括比图9中具体描述的那些操作多或少的操作。
方法900的每个步骤可以由操作环境的任何合适的组件执行。例如,在一个实施例中,方法900可以以各种方式部分地或整个地由覆盖网络设备、处理器(诸如CPU、ASIC、FPGA等)、VON网关或INE执行。
如图9中所示,方法900可以从操作902开始,在操作902中,接收包括多个分组的网络流量。在一种方式中,如本文中更详细地描述的,可以在网络网关处接收网络流量,或者可以将网络流量从网络网关发送到覆盖网络设备。
在操作904中,确定分组是否包括覆盖头。这可以通过确定外部UDP头的目的地端口来实现。如果目的地端口是虚拟LAN端口,诸如VXLAN端口,则可以假定分组包括覆盖头。
在操作906中,当从虚拟网络接收到分组时,终止通过其接收分组的隧道,并且对包括覆盖头的分组的内部分组进行解封,从而提供内部分组的可见性。这样,VON网关、INE或覆盖网络设备可以充当用于到达/来自任何虚拟网络的隧道的终止点和发起点。在一种优选方式中,覆盖网络设备可以嵌入在VON网关中,并且VON网关可以充当用于到达/来自任何虚拟网络的隧道的终止点和发起点。内部分组可以是本领域中已知的任何类型,诸如I/O分组(例如,通过以太网的光纤通道(FCoE)分组)、控制分组、IP分组、语音分组等。
在操作908中,对所述多个分组或解封的内部分组执行服务。根据各种实施例,存在确定将执行哪些服务的许多方式。在其上接收分组的端口可以指示将执行的服务,分组的目的地端口可以指示将执行的服务,分组的类型可以指示将执行的服务,等等。
在一个实施例中,确定将对分组执行哪些服务可以包括:将ACL应用于多个分组,以把将对其执行服务的分组与将对其不执行服务的那些分组区分开来。
在另外的实施例中,可以通过将不同的一个ACL或多个ACL应用于多个分组来改变、变更、指定(等等动作)将对其执行服务的分组的类型。ACL将捕捉将对其执行服务的分组。如本领域技术人员在阅读本描述时将理解的,系统管理员或一些其他授权用户可以指定用于指定多个ACL,从而指定在其上接收服务的分组的许多不同类型。
根据几个实施例,除了其他可能性之外,服务可以包括下列中的一个或多个:防火墙服务、IPS、IDS、服务器负载均衡服务、VPN服务、视频优化服务和/或WAN优化服务。在一种方法中,服务可以包括以上列出的服务中的多于两个。
在操作910中,发起用于具有虚拟网络中的目的地地址的分组的隧道,并且将被服务的内部分组和被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且将封装后的分组发送到该目的地地址。
该操作可以使用本领域技术人员已知的任何方法来执行。这样,VON网关、INE或覆盖网络设备可以充当用于到达/来自任何虚拟网络的隧道的终止点和发起点。在一种优选方式中,覆盖网络设备可以嵌入在VON网关中,并且VON网关可以充当到达/来自任何虚拟网络的隧道的终止点和发起点。
此外,在操作912中,将切换到非虚拟网络的任何分组发送到该非虚拟网络,而不将该分组与覆盖头封装在一起。
根据另一实施例,一种用于向虚拟覆盖网络上的网络流量提供服务的计算机程序产品包括具有包含计算机可读程序代码的计算机可读存储介质(本文中描述的或本领域技术人员已知的类型的计算机可读存储介质,包括非暂态介质)。所述计算机可读程序代码包括:被配置为接收包括多个分组的网络流量的计算机可读程序代码;被配置为确定所述多个分组是否包括覆盖头的计算机可读程序代码;被配置为终止隧道并且对包括覆盖头的分组的内部分组进行解封的计算机可读程序代码;被配置为对所述多个分组或解封的内部分组执行服务的计算机可读程序代码;被配置为二选其一地执行以下操作的计算机可读程序代码:发起隧道,并且将内部分组或所述多个分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且将封装后的分组发送到VON网关,或者,在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址。
在另一实施例中,所述计算机程序产品可以包括被配置为在确定所述多个分组是否包括覆盖头之前将ACL应用于网络流量以确定将在所述多个分组上执行服务的计算机可读程序代码。在另一进一步的方式中,可以通过指定不同的ACL应用于网络流量来改变对其执行服务的分组的类型。
虽然以上已经描述了各种实施例,但是应理解它们仅仅是以举例的方式、而非限制性地呈现的。因此,本发明的实施例的广度和范围不应受上述任意示例性实施例限制,而是仅应根据权利要求书及其等同形式限定。
Claims (19)
1.一种系统,包括:
一个或多个接口,所述接口适于与一个或多个虚拟网络和一个或多个非虚拟网络进行电通信;
适于接收包括多个分组的网络流量的逻辑部件;
适于确定所述分组是否包括覆盖头的逻辑部件;
适于对包括覆盖头的分组的内部分组进行解封的逻辑部件;
适于对所述分组执行服务的逻辑部件;和
适于将被服务的分组与覆盖头封装在一起并且将封装后的被服务的分组切换到虚拟网络中的目的地地址的逻辑部件;或者
适于在不将分组与覆盖头封装在一起的情况下将所述被服务的分组切换到非虚拟网络中的目的地地址的逻辑部件。
2.根据权利要求1所述的系统,其中,适于确定将对分组执行服务的逻辑部件包括将访问控制列表(ACL)应用于分组。
3.根据权利要求1所述的系统,其中,通过将不同的ACL应用于分组来改变对其执行服务的分组的类型。
4.根据权利要求1所述的系统,其中,所述服务包括下列中的多于一个:
防火墙服务;
入侵防御服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟私人网络(VPN)服务;
视频优化服务;和
广域网(WAN)优化服务。
5.一种覆盖网络设备,所述覆盖网络设备包括根据权利要求1所述的系统,其中,
所述一个或多个接口包括:适于与虚拟覆盖网络(VON)网关进行电通信的接口;
所述适于接收的逻辑部件包括:适于从所述VON网关接收多个分组的逻辑部件;
所述适于封装的逻辑部件包括:适于将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址并且将封装后的分组发送到VON网关的逻辑部件;并且,
所述适于切换的逻辑部件包括:适于在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关,以切换到非虚拟网络中的目的地地址的逻辑部件。
6.根据权利要求5所述的系统,还包括连接到一个或多个虚拟网络和一个或多个非虚拟网络的VON网关,所述VON网关包括:
适于对所述网络流量执行路由功能的逻辑部件;
适于将所述网络流量的多个分组路由到所述覆盖网络设备的逻辑部件;和
适于从所述覆盖网络设备接收回所述多个分组的逻辑部件。
7.根据权利要求6所述的系统,其中,所述VON网关适于将访问控制列表(ACL)应用于在所述VON网关的端口上接收的网络流量以将某些接收的分组引导到所述覆盖网络设备以用于对其执行服务。
8.根据权利要求7所述的系统,其中,通过使所述VON网关将不同的ACL应用于在所述VON网关的端口上接收的网络流量来改变对其执行服务的分组的类型。
9.根据权利要求5所述的系统,还包括:
适于终止用于包括覆盖头的分组的隧道的逻辑部件;和
适于发起用于将切换到虚拟网络中的目的地地址的分组的隧道的逻辑部件。
10.根据权利要求5所述的系统,其中,所述服务包括下列中的至少一个:
防火墙服务;
入侵防御服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟私人网络(VPN)服务;
视频优化服务;和
广域网(WAN)优化服务。
11.一种用于向虚拟覆盖网络上的网络流量提供服务的方法,所述方法包括:
接收包括多个分组的网络流量;
确定所述多个分组是否包括覆盖头;
终止隧道,并且对包括覆盖头的分组的内部分组进行解封;
对所述多个分组或解封的内部分组执行服务;和
发起隧道,并且将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且发送封装后的分组;或者
在不将分组与覆盖头封装在一起的情况下发送所述被服务的分组,以切换到非虚拟网络中的目的地地址。
12.根据权利要求11所述的方法,还包括:
在确定所述多个分组是否包括覆盖头之前,将访问控制列表(ACL)应用于所述网络流量以确定将对所述多个分组执行服务。
13.根据权利要求12所述的方法,其中,通过指定不同ACL应用于所述网络流量来改变对其执行服务的分组的类型。
14.根据权利要求11所述的方法,其中,所述服务包括下列中的至少一个:
防火墙服务;
入侵防御服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟私人网络(VPN)服务;
视频优化服务;和
广域网(WAN)优化服务。
15.一种用于向虚拟覆盖网络上的网络流量提供服务的计算机程序产品,所述计算机程序产品包括具有包含计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码包括:
被配置为从虚拟覆盖网络(VON)网关接收包括多个分组的网络流量的计算机可读程序代码;
被配置为确定所述多个分组是否包括覆盖头的计算机可读程序代码;
被配置为对包括覆盖头的分组的内部分组进行解封的计算机可读程序代码;
被配置为对所述多个分组或解封的内部分组执行服务的计算机可读程序代码;和
被配置为二选其一地执行以下操作的计算机可读程序代码:
将所述内部分组或所述多个分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址,并且将封装后的分组发送到所述VON网关;或者
在不将分组与覆盖头封装在一起的情况下将所述被服务的分组发送到所述VON网关,以切换到非虚拟网络中的目的地地址。
16.根据权利要求15所述的计算机程序产品,还包括:
被配置为在确定所述多个分组是否包括覆盖头之前将访问控制列表(ACL)应用于所述网络流量以确定将对所述多个分组执行服务的计算机可读程序代码。
17.根据权利要求16所述的计算机程序产品,其中,通过指定不同的ACL应用于所述网络流量来改变对其执行服务的分组的类型。
18.根据权利要求15所述的计算机程序产品,还包括:
被配置为终止用于包括覆盖头的分组的隧道的计算机可读程序代码;和
被配置为发起用于将切换到虚拟网络中的目的地地址的封装后的分组的隧道的计算机可读程序代码。
19.根据权利要求15所述的计算机程序产品,其中,所述服务包括下列中的至少一个:
防火墙服务;
入侵防御服务(IPS);
入侵检测服务(IDS);
服务器负载均衡服务;
虚拟私人网络(VPN)服务;
视频优化服务;和
广域网(WAN)优化服务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/460,558 | 2012-04-30 | ||
| US13/460,558 US9106508B2 (en) | 2012-04-30 | 2012-04-30 | Providing services to virtual overlay network traffic |
| PCT/IB2013/052439 WO2013164707A1 (en) | 2012-04-30 | 2013-03-27 | Providing services to virtual overlay network traffic |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104272672A true CN104272672A (zh) | 2015-01-07 |
| CN104272672B CN104272672B (zh) | 2017-03-22 |
Family
ID=49477235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380022570.4A Active CN104272672B (zh) | 2012-04-30 | 2013-03-27 | 向虚拟覆盖网络流量提供服务 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9106508B2 (zh) |
| JP (1) | JP6211062B2 (zh) |
| CN (1) | CN104272672B (zh) |
| DE (1) | DE112013002270B4 (zh) |
| GB (1) | GB2514975B (zh) |
| WO (1) | WO2013164707A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016127688A1 (zh) * | 2015-02-15 | 2016-08-18 | 中兴通讯股份有限公司 | 无边界网络信道环境模拟方法和系统、计算机存储介质 |
| CN106792361A (zh) * | 2017-02-22 | 2017-05-31 | 安徽井利电子有限公司 | 一种远程传真机扬声器控制系统 |
| CN109804607A (zh) * | 2016-07-29 | 2019-05-24 | 希尔戴克斯网络股份有限公司 | 容错微服务环境中的无状态处理的系统和方法 |
| CN109845218A (zh) * | 2016-07-29 | 2019-06-04 | 希尔戴克斯网络股份有限公司 | 用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法 |
| CN112640369A (zh) * | 2018-08-24 | 2021-04-09 | Vm维尔股份有限公司 | 在公共云中智能地使用对等 |
| CN113794763A (zh) * | 2016-08-26 | 2021-12-14 | 维尔塞特公司 | 提供经由动态覆盖网络的业务转发器的方法和设备 |
| US11695697B2 (en) | 2017-08-27 | 2023-07-04 | Nicira, Inc. | Performing in-line service in public cloud |
| US11792138B2 (en) | 2016-08-27 | 2023-10-17 | Nicira, Inc. | Centralized processing of north-south traffic for logical network in public cloud |
Families Citing this family (66)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9106508B2 (en) * | 2012-04-30 | 2015-08-11 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| US9166992B1 (en) * | 2012-05-01 | 2015-10-20 | Amazon Technologies, Inc. | Methods and apparatus for providing network traffic monitoring services |
| US10110417B1 (en) * | 2012-07-06 | 2018-10-23 | Cradlepoint, Inc. | Private networks overlaid on cloud infrastructure |
| US10177957B1 (en) | 2012-07-06 | 2019-01-08 | Cradlepoint, Inc. | Connecting a cloud network to the internet |
| US10560343B1 (en) | 2012-07-06 | 2020-02-11 | Cradlepoint, Inc. | People centric management of cloud networks via GUI |
| US10880162B1 (en) | 2012-07-06 | 2020-12-29 | Cradlepoint, Inc. | Linking logical broadcast domains |
| US9992062B1 (en) | 2012-07-06 | 2018-06-05 | Cradlepoint, Inc. | Implicit traffic engineering |
| US10601653B2 (en) | 2012-07-06 | 2020-03-24 | Cradlepoint, Inc. | Implicit traffic engineering |
| US10135677B1 (en) | 2012-07-06 | 2018-11-20 | Cradlepoint, Inc. | Deployment of network-related features over cloud network |
| US9210079B2 (en) | 2012-08-14 | 2015-12-08 | Vmware, Inc. | Method and system for virtual and physical network integration |
| US8837476B2 (en) | 2012-09-07 | 2014-09-16 | International Business Machines Corporation | Overlay network capable of supporting storage area network (SAN) traffic |
| US9667527B2 (en) * | 2013-01-04 | 2017-05-30 | Nec Corporation | Control apparatus, communication system, tunnel endpoint control method, and program |
| US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
| JP6030757B2 (ja) * | 2013-05-20 | 2016-11-24 | 株式会社日立製作所 | 仮想環境と非仮想環境が混在するクラウドシステムにおける監視項目制御方法、管理計算機及び計算機システム |
| US9374323B2 (en) * | 2013-07-08 | 2016-06-21 | Futurewei Technologies, Inc. | Communication between endpoints in different VXLAN networks |
| US9502111B2 (en) | 2013-11-05 | 2016-11-22 | Cisco Technology, Inc. | Weighted equal cost multipath routing |
| US9397946B1 (en) | 2013-11-05 | 2016-07-19 | Cisco Technology, Inc. | Forwarding to clusters of service nodes |
| US9374294B1 (en) | 2013-11-05 | 2016-06-21 | Cisco Technology, Inc. | On-demand learning in overlay networks |
| US9888405B2 (en) | 2013-11-05 | 2018-02-06 | Cisco Technology, Inc. | Networking apparatuses and packet statistic determination methods employing atomic counters |
| US10951522B2 (en) | 2013-11-05 | 2021-03-16 | Cisco Technology, Inc. | IP-based forwarding of bridged and routed IP packets and unicast ARP |
| US9825857B2 (en) | 2013-11-05 | 2017-11-21 | Cisco Technology, Inc. | Method for increasing Layer-3 longest prefix match scale |
| US9674086B2 (en) | 2013-11-05 | 2017-06-06 | Cisco Technology, Inc. | Work conserving schedular based on ranking |
| WO2015069576A1 (en) * | 2013-11-05 | 2015-05-14 | Cisco Technology, Inc. | Network fabric overlay |
| US9655232B2 (en) | 2013-11-05 | 2017-05-16 | Cisco Technology, Inc. | Spanning tree protocol (STP) optimization techniques |
| US10778584B2 (en) | 2013-11-05 | 2020-09-15 | Cisco Technology, Inc. | System and method for multi-path load balancing in network fabrics |
| US9876711B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Source address translation in overlay networks |
| US9769078B2 (en) | 2013-11-05 | 2017-09-19 | Cisco Technology, Inc. | Dynamic flowlet prioritization |
| US9825856B2 (en) * | 2014-01-06 | 2017-11-21 | Futurewei Technologies, Inc. | Service function chaining in a packet network |
| CN104811382B (zh) * | 2014-01-28 | 2018-05-29 | 华为技术有限公司 | 数据包的处理方法与装置 |
| US10261814B2 (en) * | 2014-06-23 | 2019-04-16 | Intel Corporation | Local service chaining with virtual machines and virtualized containers in software defined networking |
| CN105227498B (zh) | 2014-06-27 | 2018-03-02 | 国际商业机器公司 | 叠加网络交换机及其使用的方法 |
| US9769088B2 (en) | 2014-07-31 | 2017-09-19 | Arista Networks, Inc. | Method and system for VTEP redundancy in a multichassis link aggregation domain |
| CN105323234B (zh) * | 2014-08-05 | 2019-03-15 | 中兴通讯股份有限公司 | 业务节点能力处理方法、装置、业务分类器及业务控制器 |
| CN107078957B (zh) | 2014-09-19 | 2021-04-09 | 诺基亚通信公司 | 通信网络中的网络服务功能的链接 |
| US11722367B2 (en) | 2014-09-30 | 2023-08-08 | Nicira, Inc. | Method and apparatus for providing a service with a plurality of service nodes |
| US10171559B2 (en) * | 2014-11-21 | 2019-01-01 | Cisco Technology, Inc. | VxLAN security implemented using VxLAN membership information at VTEPs |
| US9716660B2 (en) * | 2014-12-11 | 2017-07-25 | Intel Corporation | Hierarchical enforcement of service flow quotas |
| JP6406424B2 (ja) * | 2015-03-04 | 2018-10-17 | 日本電気株式会社 | 通信システムにおけるデータセンタ、通信装置、通信方法および通信制御方法 |
| US11216300B2 (en) * | 2015-03-04 | 2022-01-04 | Nec Corporation | Datacenter, communication apparatus, communication method, and communication control method in a communication system |
| US9967231B2 (en) * | 2015-03-18 | 2018-05-08 | Cisco Technology, Inc. | Inter-pod traffic redirection and handling in a multi-pod network environment |
| CN106254256B (zh) * | 2015-06-04 | 2019-08-16 | 新华三技术有限公司 | 基于三层vxlan网关的数据报文转发方法和设备 |
| US10044502B2 (en) | 2015-07-31 | 2018-08-07 | Nicira, Inc. | Distributed VPN service |
| US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
| US10122626B2 (en) * | 2015-08-27 | 2018-11-06 | Nicira, Inc. | Self-managed overlay networks |
| US10153918B2 (en) | 2015-08-27 | 2018-12-11 | Nicira, Inc. | Joining an application cluster |
| US10462011B2 (en) | 2015-08-27 | 2019-10-29 | Nicira, Inc. | Accessible application cluster topology |
| EP3425855B1 (en) * | 2016-03-02 | 2020-04-22 | Nec Corporation | Network system, control device, method and program for building virtual network function |
| US10027746B2 (en) | 2016-05-26 | 2018-07-17 | International Business Machines Corporation | Mechanism for overlay virtual networking |
| US10038627B2 (en) * | 2016-05-31 | 2018-07-31 | Brocade Communications Systems LLC | Selective rule management based on traffic visibility in a tunnel |
| CN107645431B (zh) | 2016-07-20 | 2020-08-04 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN106878278B (zh) * | 2017-01-09 | 2021-06-22 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| US10666679B1 (en) | 2017-04-24 | 2020-05-26 | Wells Fargo Bank, N.A. | Rogue foothold network defense |
| US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
| US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
| JP6669807B2 (ja) | 2018-05-30 | 2020-03-18 | 株式会社日立製作所 | 計算機システムおよび計算機 |
| CN108810009B (zh) * | 2018-06-28 | 2021-06-15 | 迈普通信技术股份有限公司 | 一种l2tp数据处理方法、设备及系统 |
| US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
| US10826916B2 (en) * | 2018-09-17 | 2020-11-03 | ShieldX Networks, Inc. | Agent-less network traffic inspection using an overlay network |
| US10866917B2 (en) * | 2018-12-03 | 2020-12-15 | Ati Technologies Ulc | Inter device data exchange via external bus by utilizing communication port |
| US11036538B2 (en) | 2019-02-22 | 2021-06-15 | Vmware, Inc. | Providing services with service VM mobility |
| US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
| US11212317B2 (en) | 2019-11-11 | 2021-12-28 | International Business Machines Corporation | Extending managed switching network to a virtualization layer in a computer |
| US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
| US11792112B2 (en) | 2020-04-06 | 2023-10-17 | Vmware, Inc. | Using service planes to perform services at the edge of a network |
| US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101288272A (zh) * | 2003-11-19 | 2008-10-15 | 思科技术公司 | 隧道化安全性群组 |
| CN101656618A (zh) * | 2009-09-11 | 2010-02-24 | 中兴通讯股份有限公司 | 一种基于结构化对等网络的多媒体消息广播方法及系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7586899B1 (en) | 2000-08-18 | 2009-09-08 | Juniper Networks, Inc. | Methods and apparatus providing an overlay network for voice over internet protocol applications |
| JP4225681B2 (ja) | 2000-12-06 | 2009-02-18 | 富士通株式会社 | 仮想閉域網構築方法及び装置並びに中継装置 |
| US6480675B2 (en) | 2001-02-09 | 2002-11-12 | Eastman Kodak Company | One-time-use camera with cartridge retainer to ensure film-on-sprocket retention during camera assembly |
| US7339929B2 (en) * | 2002-08-23 | 2008-03-04 | Corrigent Systems Ltd. | Virtual private LAN service using a multicast protocol |
| KR100723864B1 (ko) * | 2005-11-12 | 2007-05-31 | 한국전자통신연구원 | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 |
| US20090238071A1 (en) | 2008-03-20 | 2009-09-24 | Embarq Holdings Company, Llc | System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller |
| US8165024B2 (en) | 2008-04-03 | 2012-04-24 | Alcatel Lucent | Use of DPI to extract and forward application characteristics |
| US7920569B1 (en) | 2008-05-05 | 2011-04-05 | Juniper Networks, Inc. | Multi-link transport protocol translation |
| JP5617137B2 (ja) | 2010-05-28 | 2014-11-05 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 仮想レイヤ2およびそれをスケーラブルにするための機構 |
| US8396954B2 (en) | 2010-06-24 | 2013-03-12 | Aryaka Networks, Inc. | Routing and service performance management in an application acceleration environment |
| US8516607B2 (en) * | 2011-05-23 | 2013-08-20 | Qualcomm Incorporated | Facilitating data access control in peer-to-peer overlay networks |
| US8830834B2 (en) * | 2011-12-21 | 2014-09-09 | Cisco Technology, Inc. | Overlay-based packet steering |
| US9203784B2 (en) * | 2012-04-24 | 2015-12-01 | Cisco Technology, Inc. | Distributed virtual switch architecture for a hybrid cloud |
| US9106508B2 (en) * | 2012-04-30 | 2015-08-11 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
-
2012
- 2012-04-30 US US13/460,558 patent/US9106508B2/en active Active
-
2013
- 2013-02-04 US US13/758,720 patent/US9083605B2/en active Active
- 2013-03-27 GB GB1417411.4A patent/GB2514975B/en active Active
- 2013-03-27 CN CN201380022570.4A patent/CN104272672B/zh active Active
- 2013-03-27 JP JP2015509520A patent/JP6211062B2/ja active Active
- 2013-03-27 WO PCT/IB2013/052439 patent/WO2013164707A1/en active Application Filing
- 2013-03-27 DE DE112013002270.2T patent/DE112013002270B4/de active Active
-
2015
- 2015-05-28 US US14/724,756 patent/US9699277B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101288272A (zh) * | 2003-11-19 | 2008-10-15 | 思科技术公司 | 隧道化安全性群组 |
| CN101656618A (zh) * | 2009-09-11 | 2010-02-24 | 中兴通讯股份有限公司 | 一种基于结构化对等网络的多媒体消息广播方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| ADZUKI: "method to set a large-scale VPN network", 《SOFTWARE DESIGN》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016127688A1 (zh) * | 2015-02-15 | 2016-08-18 | 中兴通讯股份有限公司 | 无边界网络信道环境模拟方法和系统、计算机存储介质 |
| CN109804607A (zh) * | 2016-07-29 | 2019-05-24 | 希尔戴克斯网络股份有限公司 | 容错微服务环境中的无状态处理的系统和方法 |
| CN109845218A (zh) * | 2016-07-29 | 2019-06-04 | 希尔戴克斯网络股份有限公司 | 用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法 |
| CN109804607B (zh) * | 2016-07-29 | 2021-11-26 | 防特网公司 | 容错微服务环境中的无状态处理的系统和方法 |
| CN109845218B (zh) * | 2016-07-29 | 2022-03-08 | 防特网公司 | 用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法 |
| CN113794763A (zh) * | 2016-08-26 | 2021-12-14 | 维尔塞特公司 | 提供经由动态覆盖网络的业务转发器的方法和设备 |
| US11792138B2 (en) | 2016-08-27 | 2023-10-17 | Nicira, Inc. | Centralized processing of north-south traffic for logical network in public cloud |
| CN106792361A (zh) * | 2017-02-22 | 2017-05-31 | 安徽井利电子有限公司 | 一种远程传真机扬声器控制系统 |
| US11695697B2 (en) | 2017-08-27 | 2023-07-04 | Nicira, Inc. | Performing in-line service in public cloud |
| CN112640369A (zh) * | 2018-08-24 | 2021-04-09 | Vm维尔股份有限公司 | 在公共云中智能地使用对等 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013164707A1 (en) | 2013-11-07 |
| US20150288787A1 (en) | 2015-10-08 |
| US9083605B2 (en) | 2015-07-14 |
| JP6211062B2 (ja) | 2017-10-11 |
| US20130287022A1 (en) | 2013-10-31 |
| GB201417411D0 (en) | 2014-11-19 |
| GB2514975A (en) | 2014-12-10 |
| US20130287036A1 (en) | 2013-10-31 |
| JP2015519822A (ja) | 2015-07-09 |
| CN104272672B (zh) | 2017-03-22 |
| US9699277B2 (en) | 2017-07-04 |
| DE112013002270B4 (de) | 2022-10-13 |
| DE112013002270T5 (de) | 2015-03-19 |
| GB2514975B (en) | 2020-06-03 |
| US9106508B2 (en) | 2015-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104272672A (zh) | 向虚拟覆盖网络流量提供服务 | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| US10778532B2 (en) | Overlay network movement operations | |
| US8908691B2 (en) | Virtual ethernet port aggregation (VEPA)-enabled multi-tenant overlay network | |
| US9584546B2 (en) | Providing services to virtual overlay network traffic | |
| CN103595648B (zh) | 用于在服务器的接收侧进行负载均衡的方法和系统 | |
| US10177936B2 (en) | Quality of service (QoS) for multi-tenant-aware overlay virtual networks | |
| US9374241B2 (en) | Tagging virtual overlay packets in a virtual networking system | |
| US9515985B2 (en) | Platform for private internet protocol (IP) cloud services | |
| US10205609B2 (en) | Overlay switch | |
| US11496599B1 (en) | Efficient flow management utilizing control packets | |
| US11853813B2 (en) | Cloud based cross domain system—CDS with disaggregated parts | |
| US11863455B2 (en) | Cloud based cross domain system—CDSaaS | |
| US20230164224A1 (en) | Cloud based cross domain system - virtual data diode | |
| CN113709016B (zh) | 通信系统以及通信方法、装置、设备和存储介质 | |
| WO2023097155A1 (en) | Cloud based cross domain system – virtual data diode |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |