在两个实体之间提供快速路径制造技术

本发明专利技术组合软件定义网络(SDN)概念与安全概念。SDN和安全之间的协调提供无数的有利使用情况。一个示例性使用情况涉及通过一旦安全装置判断安全装置不再需要检测网络流量，路由网络流量以绕过安全装置，使用SDN，以网络速度提供快速路径。另一示例性使用情况涉及安全区域的远程提供。

【技术实现步骤摘要】
【国外来华专利技术】在两个实体之间提供快速路径优先权数据本申请是2013年9月23日提交的美国临时专利申请序列No.61/881,357的非临时版本，在此通过整体引用结合于此。
此处所描述的各实施例一般涉及计算领域，更具体而言，涉及使用软件定义网络(softwaredefinednetwork：SDN)控制器在两个实体之间提供快速路径和/或在SDN环境中提供安全区域。
技术介绍
软件定义网络(SDN)是一种用于分隔网络中的控制平面以及数据平面的机构。如前所述，数据平面生活在交换结构中。控制平面是以标准编程语言编写的在标准操作系统上运行的程序。标准协议(例如，OpenFlow，或任何合适的SDN协议)将两者连接在一起。由于多种原因，SDN是有趣的。逻辑边界的创建纯粹在控制平面中。虚拟化平台可以(完全)以软件来创建拓扑，从而简化了虚拟应用程序和虚拟机“运动”，而网络装置变得依赖于SDN，因为必须在SDN控制平面中提供装置的位置。可以在交换决策中考虑应用程序特定或非本地因素。SDN控制平面允许维护全局状态信息或应用程序特定的信息，例如，全局链路状态和服务质量，从而在相同结构上提供有线电视+因特网。此外，通过使用L2+SDN，还可以更有效率地进行L3路由。OpenFlow是通过SDN的概念，通过网络，给予对网络交换机或路由器的转发平面的访问的许多通信协议或其他计算机接口机制中的一个。开放网络基础(ONF)，一个用户领导的专用于软件定义网络(SDN)的推广和采用的组织，管理OpenFlow标准。ONF将OpenFlow定义为在SDN架构的控制和转发层之间定义的第一标准通信接口。OpenFlow允许对诸如交换机和路由器(两者都是物理和虚拟的(基于系统管理程序的))之类的网络设备的转发平面的直接访问和操纵。需要诸如OpenFlow之类的协议将网络控制移动到专有的网络交换机之外并进入控制硬件和开源并被本地管理的软件之内。其他SDN协议可包括：Frenetic编程语言、VMWarevSphereClient、TRI，等等。OpenFlow或其他合适的SDN协议允许通过交换机的网络的网络分组的路径由在多个路由器(例如，“OpenFlow交换机”)上运行的软件确定。可以提供OpenFlow控制器(或一般而言，SDN控制器)，以管理在路由器上运行的OpenFlow交换机(或某种其他合适的网络元件)。这种控制与转发的分离允许比使用访问控制列表(ACL)和路由协议可行的更复杂的流量管理。许多网络交换机和路由器厂家都宣告支持OpenFlow的打算或正在生产对OpenFlow支持的交换机。某些网络控制平面实现使用该协议来管理网络转发元件。OpenFlow可以用于诸如传输层安全性(TLS)之类的安全信道上的交换机和控制器之间。附图简述为提供对本专利技术以及其特征和优点的比较完整的理解，将参考与附图一起进行的下面的描述，其中，相同参考编号表示相同部件，其中：图1是根据本专利技术的一实施例的示例安全装置、示例SDN控制器，以及SDN交换机的简化框图；图2是示出了与本专利技术的一些实施例相关联的潜在活动的简化流程图；图3A是示出了本专利技术的一个或多个实施例的布线的简化框图；图3B是示出了对应于3A中的布线的本专利技术的一个或多个实施例的数据流的简化框图；图4是示出了根据本专利技术的一些实施例的使用SDN来实施一个或多个安全策略的简化框图；图5A-B示出了已被注释的屏幕快照，示出了根据本专利技术的一些实施例的使用SDN来绕过的防火墙(FW)的结果；图6A-D是示出了根据本专利技术的一些实施例的使用SDN的安全策略的不同的示例性实现的简化框图；图7是示出了根据本专利技术的一些实施例的以网络速度提供“超级快速路径”的简化框图；图8A-B是示出了根据本专利技术的一些实施例的在分公司使用SDN的安全策略的不同的示例性实现的简化框图；图9是示出了根据本专利技术的一些实施例的在两个服务器之间提供绕过具有SDN控制器和集成的SDN交换机的安全装置或在路由中具有该安全装置的路由的简化框图；图10是示出了根据本专利技术的一些实施例的在位于同一交换机上的两个服务器之间提供绕过在使用SDN控制器的另一交换机上的安全装置或在路由中具有该安全装置的路由的简化框图；图11A是示出了根据本专利技术的一些实施例的在从客户端到服务器的路由中使用代理的简化框图；图11B是示出了根据本专利技术的一些实施例的绕过代理并重写序列和确认(Ack)编号的简化框图；图12是根据一实施例的耦合到示例处理器的存储器的框图；以及图13是根据一实施例的按点对点(PtP)配置排列的示例计算系统的框图。具体实施方式软件定义网络(SDN)涉及具有提供数据平面(流)并使用例如，OpenFlow协议或任何合适的协议来定义控制平面(即，拓扑和路由)的交换机硬件。一般而言，SDN包括在物理或虚拟交换机和SDN应用程序(虚拟化层)之间进行接口的一个或多个控制器，诸如OpenFlow之类的SDN协议用于允许在交换机和控制器之间进行通信。本专利技术组合软件定义网络(SDN)概念与安全概念。SDN和安全之间的协调提供无数的有利使用情况。一个示例性使用情况涉及通过一旦安全装置判断安全装置不再需要检测网络流量，路由网络流量以绕过安全装置，使用SDN，以网络速度提供快速路径。另一示例性使用情况涉及安全区域的远程提供。图1是根据本专利技术的一实施例的用于SDN环境中的示例性安全装置、示例性SDN控制器，以及示例性SDN交换机的简化框图。一般而言，SDN交换机102(或可由处理器执行的SDN交换模块)使用接口硬件104来通过使用流表106路由现有的数据流。如此处所使用的术语“数据流”描述网络流量，即，在网络的两个点之间，例如，源到目的地，服务器到客户端，客户端到服务器，等等，传输的分组。术语“数据流”可以与“数据连接”或“流”(通常用在网络交换术语中)互换地使用。“数据流”的示例包括因特网协议(IP)流、用户数据报协议(UDP)流、因特网控制消息协议(ICMP)，以及传输控制协议(TCP)流。流可以对应于根据以太网协议(例如，802.11)、IPV6传输的分组分组，或开放系统互连(OSI)模型的各层中的任何一层，包括(1)物理层、(2)数据链路层，(3)网络层、(4)传输层，(5)对话层，(6)表示层，以及(7)应用层内的任何其他协议也是预想的。例如，数据流可包括HTTP/1.1连接，该连接包括多个事务是单一流、两个位置之间的IPSec隧道是单一流、单一客户端和单一服务器之间的一组DNS事务可以形成一个或多个流，取决于事务的时间，多个客户端和服务器之间的DNS事务形成许多流。一般而言，流是一组运动着的分组，所有的这些分组都匹配N元组的分组参数，可以根据OSI模型中的对应的一层或多层内的参数，标识并处理这些分组参数。流可以在两个方向运动，即，从点A到点B以及从点B到点A。流的在两个方向的交换/路由(即，流在网络中经过的路径)可以是非对称的，即，不需要在两个方向经过相同路径。由于SDN可以在OSI模型的所有层中应用，因此，术语“交换”和“路由”(或与这些相关的其他术语)可互换地使用，来指通过网络中的网络元件传输分组的机制。为了路由新的数据流，SDN交换机102将信息传递到SDN控制器108，以确本文档来自技高网...

【技术保护点】
在其上存储了用于在软件定义网络(SDN)环境中提供网络安全性的指令的至少一个机器可读的非瞬态存储介质，其中所述指令，当由至少一个处理器执行时，导致所述至少一个处理器执行下列操作：通过一个或多个SDN控制器提供控制逻辑，其中由所述控制逻辑来控制使用所述SDN环境中的一个或多个SDN交换机的网络流量的路由；从所述一个或多个SDN控制器处的安全装置接收用于所述SDN环境的一个或多个安全策略，其中所述一个或多个安全策略规定下列各项中的一项或多项：安全区域、网络访问权限、数据访问权限、安全装置的插入，以及安全装置的移除；以及响应于接收到所述一个或多个安全策略，根据从所述安全装置接收到的所述一个或多个安全策略，使用所述一个或多个SDN控制器来重新配置所述控制逻辑。

【技术特征摘要】
【国外来华专利技术】2013.09.23 US 61/881,3571.在其上存储了用于在软件定义网络SDN环境中提供网络安全性的指令的至少一个机器可读非瞬态存储介质，其中所述指令，当由至少一个处理器执行时，导致所述至少一个处理器执行下列操作：通过一个或多个SDN控制器提供控制逻辑，其中由所述控制逻辑来控制使用所述SDN环境中的一个或多个SDN交换机的网络流量的路由；从所述一个或多个SDN控制器处的安全装置接收用于所述SDN环境的一个或多个安全策略，其中所述一个或多个安全策略规定下列各项中的一项或多项：安全区域、网络访问权限、数据访问权限、安全装置的插入，以及安全装置的移除，来自所述安全装置的对于所述SDN环境的所述一个或多个安全策略指示特定量的网络流量能绕过所述安全装置或所述特定量的网络流量必须经过所述安全装置；响应于接收到所述一个或多个安全策略，根据从所述安全装置接收到的所述一个或多个安全策略，使用所述一个或多个SDN控制器来重新配置所述控制逻辑；以及提供用于流表的条目以便(1)在所述特定量的网络流量已绕过所述安全装置之后，通过所述安全装置来路由随后的网络流量，或(2)在通过所述安全装置路由所述特定量的网络流量之后路由所述随后的网络流量，使得所述安全装置被绕过。2.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：提供所述控制逻辑包括在所述SDN环境中的第一节点和第二节点之间配置用于承载数据流的网络流量的第一路由，其中所述第一路由经过所述安全装置，以便扫描所述网络流量；所述一个或多个安全策略包括指示所述数据流不再需要通过所述安全装置来扫描的信息；以及为所述SDN环境重新配置所述控制逻辑包括，使用所述一个或多个SDN控制器来在所述第一节点和所述第二节点之间提供第二路由，其中所述第二路由绕过所述安全装置。3.如权利要求2所述的至少一个机器可读非瞬态存储介质，其特征在于，根据一个或多个量度，所述第二路由比所述第一路由更好。4.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：所述一个或多个安全策略包括指示第一节点和第二节点之间的数据流需要通过安全装置来扫描的信息；以及为所述SDN环境重新配置所述控制逻辑包括，使用所述SDN控制器，在所述第一节点和所述第二节点之间提供路由，其中所述路由响应于接收到所述一个或多个安全策略，经过所述安全装置，以便提高安全性。5.如权利要求1所述的至少一个机器可读非瞬态存储介质：其特征在于，所述安全装置被配置成在下列各层中的一层或多层中扫描数据流中的分组：(1)物理层，(2)数据链路层，(3)网络层，(4)传输层，(5)对话层，(6)表示层，以及(7)应用层。6.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：通过所述一个或多个SDN控制器的所述控制逻辑包括用于确定用来配置所述一个或多个SDN交换机的流表的一个或多个流表条目的逻辑。7.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：所述安全装置与所述一个或多个SDN控制器集成；以及所述SDN控制器与所述一个或多个SDN交换机集成或以与它们可通信地连接。8.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：所述安全装置与远离所述安全装置的所述一个或多个SDN控制器可通信连接；以及所述一个或多个SDN控制器与所述一个或多个SDN交换机集成或与它们可通信地连接。9.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于，所述一个或多个SDN交换机中的至少一个被配置成重写所述网络流量的分组的一个或多个字段，以向所述安全装置指示所述分组最初被接收到的所述交换机端口或安全区域和/或引导所述分组绕过所述安全装置。10.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：提供所述控制逻辑包括在所述SDN环境中的客户端和服务器之间配置用于在所述客户端和所述服务器之间承载数据流的网络流量的第一路由，其中所述第一路由经过所述安全装置，并且所述安全装置包括结束所述数据流的代理；所述一个或多个安全策略包括指示所述数据流被允许和/或所述数据流不再需要经过所述代理的信息；以及为所述SDN环境重新配置所述控制逻辑包括，使用所述一个或多个SDN控制器，通过所述SDN环境中的所述一个或多个SDN交换机中的特定一个，在所述客户端和所述服务器之间提供第二路由，其中所述第二路由绕过所述代理。11.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于，所述操作进一步包括：响应于接收到指示数据流被允许的信息，通过所述一个或多个SDN控制器，向所述一个或多个SDN交换机中的特定一个传输用于所述数据流的传输控制协议TCP信息，其中所述TCP信息包括下列各项中的一项或多项：(a)客户端流的TCP序列；(b)客户端流的TCP确认；(c)服务器流的TCP序列；以及(d)服务器流的TCP确认。12.如权利要求11所述的至少一个机器可读非瞬态存储介质，其特征在于：所述一个或多个SDN交换机中的所述特定一个被配置成基于由所述一个或多个SDN控制器所提供的所述TCP信息，计算偏移，并在分组穿过所述一个或多个SDN交换机中的所述特定一个时将所述偏移添加到TCP序列和TCP确认编号。13.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：所述一个或多个安全策略指示所述特定量的网络流量；并且所述特定量的网络流量能按在开放系统互连层中的任何一层测量到的特定数量的数据单位、特定字节数，或特定数量的协议数据单位来度量。14.如权利要求1所述的至少一个机器可读非瞬态存储介质，其特征在于：提供所述控制逻辑包括在所述SDN环境中配置用于传输网络流量的安全区域，其中所述安全区域为网络以及数据访问提供不同级别的安全；所述一个或多个安全策略包括添加、移除，和/或修改所述安全区域的信息；以及为所述SDN环境重新配置所述控制逻辑包括，...

【专利技术属性】
技术研发人员：G·H·库珀，J·R·古齐克，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国;US