【技术实现步骤摘要】
【国外来华专利技术】在两个实体之间提供快速路径优先权数据本申请是2013年9月23日提交的美国临时专利申请序列No.61/881,357的非临时版本,在此通过整体引用结合于此。
此处所描述的各实施例一般涉及计算领域,更具体而言,涉及使用软件定义网络(softwaredefinednetwork:SDN)控制器在两个实体之间提供快速路径和/或在SDN环境中提供安全区域。
技术介绍
软件定义网络(SDN)是一种用于分隔网络中的控制平面以及数据平面的机构。如前所述,数据平面生活在交换结构中。控制平面是以标准编程语言编写的在标准操作系统上运行的程序。标准协议(例如,OpenFlow,或任何合适的SDN协议)将两者连接在一起。由于多种原因,SDN是有趣的。逻辑边界的创建纯粹在控制平面中。虚拟化平台可以(完全)以软件来创建拓扑,从而简化了虚拟应用程序和虚拟机“运动”,而网络装置变得依赖于SDN,因为必须在SDN控制平面中提供装置的位置。可以在交换决策中考虑应用程序特定或非本地因素。SDN控制平面允许维护全局状态信息或应用程序特定的信息,例如,全局链路状态和服务质量,从而在相同结构上提供有线电视+因特网。此外,通过使用L2+SDN,还可以更有效率地进行L3路由。OpenFlow是通过SDN的概念,通过网络,给予对网络交换机或路由器的转发平面的访问的许多通信协议或其他计算机接口机制中的一个。开放网络基础(ONF),一个用户领导的专用于软件定义网络(SDN)的推广和采用的组织,管理OpenFlow标准。ONF将OpenFlow定义为在SDN架构的控制和转发层之间定义的第一标准通信接口。Open ...
【技术保护点】
在其上存储了用于在软件定义网络(SDN)环境中提供网络安全性的指令的至少一个机器可读的非瞬态存储介质,其中所述指令,当由至少一个处理器执行时,导致所述至少一个处理器执行下列操作:通过一个或多个SDN控制器提供控制逻辑,其中由所述控制逻辑来控制使用所述SDN环境中的一个或多个SDN交换机的网络流量的路由;从所述一个或多个SDN控制器处的安全装置接收用于所述SDN环境的一个或多个安全策略,其中所述一个或多个安全策略规定下列各项中的一项或多项:安全区域、网络访问权限、数据访问权限、安全装置的插入,以及安全装置的移除;以及响应于接收到所述一个或多个安全策略,根据从所述安全装置接收到的所述一个或多个安全策略,使用所述一个或多个SDN控制器来重新配置所述控制逻辑。
【技术特征摘要】
【国外来华专利技术】2013.09.23 US 61/881,3571.在其上存储了用于在软件定义网络SDN环境中提供网络安全性的指令的至少一个机器可读非瞬态存储介质,其中所述指令,当由至少一个处理器执行时,导致所述至少一个处理器执行下列操作:通过一个或多个SDN控制器提供控制逻辑,其中由所述控制逻辑来控制使用所述SDN环境中的一个或多个SDN交换机的网络流量的路由;从所述一个或多个SDN控制器处的安全装置接收用于所述SDN环境的一个或多个安全策略,其中所述一个或多个安全策略规定下列各项中的一项或多项:安全区域、网络访问权限、数据访问权限、安全装置的插入,以及安全装置的移除,来自所述安全装置的对于所述SDN环境的所述一个或多个安全策略指示特定量的网络流量能绕过所述安全装置或所述特定量的网络流量必须经过所述安全装置;响应于接收到所述一个或多个安全策略,根据从所述安全装置接收到的所述一个或多个安全策略,使用所述一个或多个SDN控制器来重新配置所述控制逻辑;以及提供用于流表的条目以便(1)在所述特定量的网络流量已绕过所述安全装置之后,通过所述安全装置来路由随后的网络流量,或(2)在通过所述安全装置路由所述特定量的网络流量之后路由所述随后的网络流量,使得所述安全装置被绕过。2.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:提供所述控制逻辑包括在所述SDN环境中的第一节点和第二节点之间配置用于承载数据流的网络流量的第一路由,其中所述第一路由经过所述安全装置,以便扫描所述网络流量;所述一个或多个安全策略包括指示所述数据流不再需要通过所述安全装置来扫描的信息;以及为所述SDN环境重新配置所述控制逻辑包括,使用所述一个或多个SDN控制器来在所述第一节点和所述第二节点之间提供第二路由,其中所述第二路由绕过所述安全装置。3.如权利要求2所述的至少一个机器可读非瞬态存储介质,其特征在于,根据一个或多个量度,所述第二路由比所述第一路由更好。4.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:所述一个或多个安全策略包括指示第一节点和第二节点之间的数据流需要通过安全装置来扫描的信息;以及为所述SDN环境重新配置所述控制逻辑包括,使用所述SDN控制器,在所述第一节点和所述第二节点之间提供路由,其中所述路由响应于接收到所述一个或多个安全策略,经过所述安全装置,以便提高安全性。5.如权利要求1所述的至少一个机器可读非瞬态存储介质:其特征在于,所述安全装置被配置成在下列各层中的一层或多层中扫描数据流中的分组:(1)物理层,(2)数据链路层,(3)网络层,(4)传输层,(5)对话层,(6)表示层,以及(7)应用层。6.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:通过所述一个或多个SDN控制器的所述控制逻辑包括用于确定用来配置所述一个或多个SDN交换机的流表的一个或多个流表条目的逻辑。7.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:所述安全装置与所述一个或多个SDN控制器集成;以及所述SDN控制器与所述一个或多个SDN交换机集成或以与它们可通信地连接。8.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:所述安全装置与远离所述安全装置的所述一个或多个SDN控制器可通信连接;以及所述一个或多个SDN控制器与所述一个或多个SDN交换机集成或与它们可通信地连接。9.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于,所述一个或多个SDN交换机中的至少一个被配置成重写所述网络流量的分组的一个或多个字段,以向所述安全装置指示所述分组最初被接收到的所述交换机端口或安全区域和/或引导所述分组绕过所述安全装置。10.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:提供所述控制逻辑包括在所述SDN环境中的客户端和服务器之间配置用于在所述客户端和所述服务器之间承载数据流的网络流量的第一路由,其中所述第一路由经过所述安全装置,并且所述安全装置包括结束所述数据流的代理;所述一个或多个安全策略包括指示所述数据流被允许和/或所述数据流不再需要经过所述代理的信息;以及为所述SDN环境重新配置所述控制逻辑包括,使用所述一个或多个SDN控制器,通过所述SDN环境中的所述一个或多个SDN交换机中的特定一个,在所述客户端和所述服务器之间提供第二路由,其中所述第二路由绕过所述代理。11.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于,所述操作进一步包括:响应于接收到指示数据流被允许的信息,通过所述一个或多个SDN控制器,向所述一个或多个SDN交换机中的特定一个传输用于所述数据流的传输控制协议TCP信息,其中所述TCP信息包括下列各项中的一项或多项:(a)客户端流的TCP序列;(b)客户端流的TCP确认;(c)服务器流的TCP序列;以及(d)服务器流的TCP确认。12.如权利要求11所述的至少一个机器可读非瞬态存储介质,其特征在于:所述一个或多个SDN交换机中的所述特定一个被配置成基于由所述一个或多个SDN控制器所提供的所述TCP信息,计算偏移,并在分组穿过所述一个或多个SDN交换机中的所述特定一个时将所述偏移添加到TCP序列和TCP确认编号。13.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:所述一个或多个安全策略指示所述特定量的网络流量;并且所述特定量的网络流量能按在开放系统互连层中的任何一层测量到的特定数量的数据单位、特定字节数,或特定数量的协议数据单位来度量。14.如权利要求1所述的至少一个机器可读非瞬态存储介质,其特征在于:提供所述控制逻辑包括在所述SDN环境中配置用于传输网络流量的安全区域,其中所述安全区域为网络以及数据访问提供不同级别的安全;所述一个或多个安全策略包括添加、移除,和/或修改所述安全区域的信息;以及为所述SDN环境重新配置所述控制逻辑包括,...
【专利技术属性】
技术研发人员:G·H·库珀,J·R·古齐克,
申请(专利权)人:迈克菲股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。