网络环境中可扩展的网络地址转换制造技术

实施例包括接收配置信息，其中该配置信息包括针对在网络中的网络设备处接收的分组的匹配标准以及与网络中的服务器集合相关联的层3地址的池，基于服务器的层3地址对层2的目的地地址进行解析，以及至少部分地基于匹配标准、层3地址的池、以及层2目的地地址来对网络设备的硬件层进行编程。具体实施例包括将策略配置为指示来自外部源的分组要被转发到该服务器集合中的服务器。其他实施例包括在网络设备处接收分组，以及至少部分地基于在硬件层中编程的匹配标准来将分组与层3地址的池和解析出的层2地址进行匹配。

Extensible network address conversion in Network Environment

\u5b9e\u65bd\u4f8b\u5305\u62ec\u63a5\u6536\u914d\u7f6e\u4fe1\u606f\uff0c\u5176\u4e2d\u8be5\u914d\u7f6e\u4fe1\u606f\u5305\u62ec\u9488\u5bf9\u5728\u7f51\u7edc\u4e2d\u7684\u7f51\u7edc\u8bbe\u5907\u5904\u63a5\u6536\u7684\u5206\u7ec4\u7684\u5339\u914d\u6807\u51c6\u4ee5\u53ca\u4e0e\u7f51\u7edc\u4e2d\u7684\u670d\u52a1\u5668\u96c6\u5408\u76f8\u5173\u8054\u7684\u5c423\u5730\u5740\u7684\u6c60\uff0c\u57fa\u4e8e\u670d\u52a1\u5668\u7684\u5c423\u5730\u5740\u5bf9\u5c422\u7684\u76ee\u7684\u5730\u5730\u5740\u8fdb\u884c\u89e3\u6790\uff0c\u4ee5\u53ca\u81f3\u5c11\u90e8\u5206\u5730\u57fa\u4e8e\u5339\u914d\u6807\u51c6\u3001\u5c423\u5730\u5740\u7684\u6c60\u3001\u4ee5\u53ca\u5c422\u76ee\u7684\u5730\u5730\u5740\u6765\u5bf9\u7f51\u7edc\u8bbe\u5907\u7684\u786c\u4ef6\u5c42\u8fdb\u884c\u7f16\u7a0b\u3002 Specific examples include configuring a policy to indicate that a packet from an external source is to be forwarded to the server in the set of the server. Other embodiments include receiving packets at the network device and, at least in part, based on matching criteria programmed in the hardware layer, matching the packet to the pool 2 and the resolved layer 2 address of the layer.

【技术实现步骤摘要】
【国外来华专利技术】网络环境中可扩展的网络地址转换相关申请本申请根据35U.S.C.§119(e)要求由RajendraKumarThirumurthi等人于2015年5月7日提交的题为“METHODANDAPPARATUSFORMORESCALABLEADDRESSTRANSLATIONATHIGHSPEEDINANETWORKENVIRONMENT”的美国临时申请No.62/158,416的优先权，该美国临时申请的全部内容通过引用并入本文。
本公开一般涉及网络领域，更具体地涉及网络环境中的高速可扩展网络地址转换。
技术介绍
在计算机网络中，目的地网络地址转换(目的地NAT)是一种方法，在该方法中发往虚拟主机的网络业务可以被重定向到具有实际服务或网络业务所需信息的真实主机。虚拟主机可以由网络业务的正向路径(客户端到服务器)分组中的原始目的地网络地址(例如，互联网协议(IP)地址)来标识。真实主机可以由经转换的目的地网络地址来标识。例如，目的地NAT可以通过在IP数据报分组头部在执行网络地址转换的网络设备上传输时修改它们中的网络地址信息来实现。通常，交换机提供网络地址或端口地址转换。当前的网络部署通常需要NAT来保护内部IP网络免受外部网络影响。这可能会导致在从交换机或其他网络设备发出分组之前执行转换和地址解析时分组被重新循环多次。附图说明为了更全面地理解本公开及其特征和优点，参考结合附图进行的以下描述，其中相同的附图标记表示相同的部分，其中：图1是根据本公开的至少一个实施例的用于高速可扩展网络地址转换的通信系统的简化框图；图2是描绘与本公开的至少一个实施例相关联的示例过程的简化框图；图3是根据本公开的至少一个实施例的与通信系统相关联的潜在操作的简化流程图；图4是根据本公开的至少一个实施例的与通信系统相关联的潜在操作的简化流程图；图5是根据本公开的至少一个实施例的与通信系统相关联的可能操作的简化流程图；以及图6是描绘根据本公开的至少一个实施例的用于高速可扩展网络地址转换的示例通信系统中的可能流程的简化框图。具体实施方式概览本公开描述了高速网络地址转换的方法。在一个示例中，在本公开中提供了一种方法，并且该方法包括接收配置信息，该配置信息包括针对在网络中的网络设备处接收的分组的匹配标准以及与网络中的服务器集合相关联的层3地址的池。该方法还包括基于服务器的层3地址来对层2目的地地址进行解析，并且至少部分地基于匹配标准、层3地址的池、以及层2目的地地址来对网络设备的硬件层进行编程。在具体实施例中，该方法还包括将策略配置为指示在匹配标准被满足时要将由网络设备从外部源接收的任何分组转发到服务器集合中的服务器。硬件层可以被编程以实现该策略。在具体实施例中，该方法包括将匹配标准中的网络设备的外部层3地址映射到层3地址的池，并将池中的每个层3地址映射到针对该层3地址解析出的层2目的地地址。在其他具体实施例中，对硬件层进行编程包括将访问控制列表(ACL)规则配置为在分组包括在配置信息中指示的特定层3目的地地址时对该分组进行匹配。在具体实施例中，该方法包括在网络设备处接收分组，其中该分组包括与网络设备的外部层3地址相对应的层3目的地地址。该方法还可以包括至少部分地基于编程在硬件层中的匹配标准来将分组与层3地址的池和解析出的层2地址进行匹配。匹配可以在单个时钟周期内执行。该方法还可以包括选择与层3地址的池相关联的服务器集合中的服务器来接收分组。可以通过在服务器集合之间对分组进行负载均衡来从服务器集合中选择服务器。该方法还可以包括对分组进行重写以将分组中的层3目的地地址变更为所选服务器的互联网协议(IP)地址，将分组中的层2目的地地址变更为针对所选服务器的IP地址解析出的媒体访问控制(MAC)，以及将分组中的层2源地址变更为网络设备的媒体访问控制(MAC)地址。在更具体的实施例中，硬件层可以包括专用集成电路(ASIC)的三态内容寻址存储器(TCAM)。匹配标准可以包括具有端口号的虚拟互联网协议(VIP)地址或没有端口号的VIP地址中的至少一个。层3地址的池可以包括服务器集合的层3(L3)互联网协议(IP)地址。层2目的地地址可以包括针对层3互联网协议地址解析出的媒体访问控制(MAC)地址。这些元件、操作和特征中的一些或全部可以被包括在用于执行所描述的功能的相应的系统、装置和设备中。此外，这些特征中的一些或全部可以在至少一个机器可读存储介质中实现。示例实施例图1是用于网络环境中的高速可扩展网络地址转换的通信系统100的简化框图。图1包括网络设备10，其耦接到网络15中的服务器60。网络设备10可以由用户输入50配置。用户输入50可以包括用于配置网络设备10上的网络地址转换的配置信息，并且可以经由网络设备10的适当的用户接口或通过能够向网络设备提供配置信息的单独设备或介质被提供。网络5可以提供网络设备10和外部客户端70之间的适当连接，以辅助客户端70和服务器60之间的通信交换。在至少一个实施例中，网络设备10可以配置有控制平面20、策略管理层30、以及硬件层40。控制平面20可以包括地址配置模块22和策略配置模块24。策略管理层30可以包括硬件编程器模块32和策略储存库34。硬件层40可以包括处理器42、存储器元件44、以及网络地址转换(NAT)接口46。另外，网络设备10还可以包括网络地址转换(NAT)模块12、负载均衡器模块14、以及网络接口卡(NIC)48。出于说明通信系统100的某些示例技术的目的，理解可能正在穿过网络的通信以及实现这种通信所使用的协议是重要的。以下基础信息可以被视为可以适当地解释本公开内容的基础。网络地址转换(NAT)通常由企业网络(例如，服务提供商或其他实体)或具有至少一些私有网络地址的其他网络使用。例如，NAT可以用于对网络外部的客户端隐藏网络内的主机的实际互联网协议地址。网络地址或端口地址转换通常由诸如交换机、路由器或防火墙之类的网络设备提供。NAT设备可以使用一个或多个公共虚拟IP地址来将网络中的主机表示给网络外的客户端。虚拟IP地址可以将一个公共(外部)IP地址映射到网络中的多个IP地址。当分组穿过NAT设备时，NAT设备根据分组是传入的还是传出的来将主机的私有IP地址转换为公共IP地址或反之。网络服务设备(例如，防火墙、负载均衡器、入侵保护系统(IPS)、入侵检测系统(IDS)、拒绝服务(DoS)保护等)是广泛部署在企业、数据中心、和云网络环境中的主机的示例。服务设备通常部署在将业务提供给服务设备的网络设备(例如，交换机、路由器、交换机/路由器组合)附近。高度可扩展的网络地址转换是一些服务设备的瓶颈，因为当前的服务设备维护状态和流程，并且分组在该系统内被重新循环以执行地址转换。这可能导致分组转发的延迟以及服务设备的负载。通常，在地址转换操作期间，系统中分组的重新循环发生一次或多次。本文所描述的通信系统的实施例可以解决与高速网络地址转换相关联的上述问题(以及更多)。本文所公开的实施例提供了用于在从诸如交换机之类的网络设备发送分组之前针对转换和地址解析执行单个分组处理的机制。可以配置网络设备的硬件处理器(例如，专用集成电路(ASIC))，使得网络中的层2(L2)目的地地址和层3(L3)目的地地址是本文档来自技高网...

【技术保护点】
一种方法，包括：接收配置信息，所述配置信息包括针对在网络中的网络设备处接收的分组的匹配标准和与所述网络中的服务器集合相关联的层3地址的池；基于所述服务器的所述层3地址对层2目的地地址进行解析；以及至少部分地基于所述匹配标准、所述层3地址的池、以及所述层2目的地地址来对所述网络设备的硬件层进行编程。

【技术特征摘要】
【国外来华专利技术】2015.05.07 US 62/158,416;2015.10.06 US 14/876,5561.一种方法，包括：接收配置信息，所述配置信息包括针对在网络中的网络设备处接收的分组的匹配标准和与所述网络中的服务器集合相关联的层3地址的池；基于所述服务器的所述层3地址对层2目的地地址进行解析；以及至少部分地基于所述匹配标准、所述层3地址的池、以及所述层2目的地地址来对所述网络设备的硬件层进行编程。2.根据权利要求1所述的方法，还包括：将策略配置为指示在所述匹配标准被满足时要将所述网络设备从外部源接收的任何分组转发到所述服务器集合中的服务器。3.根据权利要求2所述的方法，其中，所述硬件层被编程以实现所述策略。4.根据权利要求1所述的方法，其中，对所述硬件层进行编程包括：将所述匹配标准中的所述网络设备的外部层3地址映射到所述层3地址的池；以及将所述池中的每个层3地址映射到针对该层3地址解析出的层2目的地地址。5.根据权利要求1所述的方法，其中，对所述硬件层进行编程包括将访问控制列表(ACL)规则配置为在分组包括所述配置信息中指示的特定层3目的地地址时对所述分组进行匹配。6.根据权利要求1所述的方法，其中，所述硬件层包括专用集成电路(ASIC)的三态内容寻址存储器(TCAM)。7.根据权利要求1所述的方法，还包括：在所述网络设备处接收分组，所述分组包括与所述网络设备的外部层3地址相对应的层3目的地地址；以及至少部分地基于编程在所述硬件层中的所述匹配标准将所述分组与所述层3地址的池和解析出的层2地址进行匹配。8.根据权利要求7所述的方法，其中，在单个时钟周期中执行所述匹配。9.根据权利要求7所述的方法，还包括：选择与所述层3地址的池相关联的所述服务器集合中的服务器来接收所述分组。10.根据权利要求9所述的方法，其中，通过在所述服务器集合中对所述分组进行负载均衡来从所述服务器集合中选择所述服务器。11.根据权利要求9所述的方法，还包括重写所述分组以进行下述变更：a)将所述分组中的所述层3目的地地址变更到所选服务器的互联网协议(IP)地址；b)将所述分组中的层2目的地地址变更到针对所选服务器的所述IP地址解析出的媒体访问控制(MAC)；以及c)将所述分组中的层2源地址变更到所述网络设备的媒体访问控制(MAC)地址。12.根据权利要求1所述的方法，其中，所述匹配标准包括具有端口号的虚拟互联网协议(VIP)地址或不具...

【专利技术属性】
技术研发人员：拉金德拉·库马尔·斯拉姆特，莎马尔·夏尔马，普尼特·库马尔，穆利·维特拉，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US