【技术实现步骤摘要】
【国外来华专利技术】具有加密和流量工程解析的动态VPN策略模型优先权声明本申请要求于2015年8月19日提交的美国临时申请No.62/207,137的优先权,其全部内容通过引用并入本文。
本公开涉及虚拟专用网络。
技术介绍
计算环境中使用的网络可以以许多不同的方式进行配置。例如,局域网(LAN)是共享通用通信线路的一组计算设备。计算和存储资源可以在LAN内共享。此外,LAN可以与少数计算设备一样小,或者与整个企业(例如,办公楼、办公综合楼等)一样大。另一网络配置是广域网(WAN)。WAN是在地理上分散的电信网络。广为人知的WAN的典型示例是互联网。第三种网络配置是城域网(MAN),在MAN中计算设备在比LAN大且比典型WAN小的地理区域或特定区域中连接。此外,近年来业界出现了被称为虚拟专用网络(VPN)的新型网络。VPN是利用公共电信并通过使用隧道协议和安全程序来保持隐私的专用网络。例如,公司或企业可以在其网络内启用VPN,并且可以使用公共网络(例如,互联网)来路由远程设备和公司的VPN内的设备之间的通信。因此,远程设备可以经由公共网络使用“虚拟”连接来连接到VPN内的设备并与VPN内的设备交换安全通信。这些通信也可以被加密,使得未被认证或以其他方式被允许访问VPN的设备不能解密和访问这些通信。附图说明图1是根据实施例的iVPN架构的高级框图。图2是根据实施例的在iVPN架构中执行的高级操作的流程图,这些操作用于实现并监视iVPN架构的网络底层中的VPN的操作。图3是根据实施例的在iVPN架构中使用的VPN策略模型的图示。图4是根据实施例的图1的iVPN架构的详细框图的图示。 ...
【技术保护点】
一种在网络控制器处执行的方法,包括:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,所述VPN基于所述高级网络策略提供连接站点之间的安全连接性;将所述高级网络策略转换成低级设备配置信息,所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置;用所述设备配置信息来配置所述网络底层,使得所述网络底层根据所述高级策略来实现所述VPN;确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流;以及如果确定所述网络底层不是按照所述高级网络策略进行操作,则用新的低级设备配置信息来重新配置所述网络底层,使得所述网络底层按照所述高级网络策略进行操作。
【技术特征摘要】
【国外来华专利技术】2015.08.19 US 62/207,137;2016.03.02 US 15/058,4471.一种在网络控制器处执行的方法,包括:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,所述VPN基于所述高级网络策略提供连接站点之间的安全连接性;将所述高级网络策略转换成低级设备配置信息,所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置;用所述设备配置信息来配置所述网络底层,使得所述网络底层根据所述高级策略来实现所述VPN;确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流;以及如果确定所述网络底层不是按照所述高级网络策略进行操作,则用新的低级设备配置信息来重新配置所述网络底层,使得所述网络底层按照所述高级网络策略进行操作。2.根据权利要求1所述的方法,其中:所述接收包括接收针对所述高级网络策略中的一者的高级网络要求和关于指示了所述网络底层是否按照所述高级网络要求进行操作的可测量属性的指示;以及所述确定包括,在所述网络底层进行操作以引导针对所述VPN的业务流时:从所述网络底层收集属性测量结果;以及将所述属性测量结果与所述高级网络要求进行比较。3.根据权利要求2所述的方法,其中:如果基于所述比较确定所述网络底层不是按照所述高级网络策略进行操作,则所述重新配置包括用所述新的低级设备配置信息来重新配置所述网络底层。4.根据权利要求3所述的方法,其中:所述高级网络要求包括这样的要求:在所述连接站点中的给定连接站点处的链路带宽使用率不超过在所述给定连接站点处可用的最大链路容量的预定分数,并且所述可测量属性包括链路带宽使用率;所述收集包括从所述给定连接站点收集链路带宽使用率测量结果;所述比较包括将所述链路带宽使用率测量结果与所述最大链路容量的所述预定分数进行比较;以及如果所述比较指示了所述链路带宽使用率测量结果超过所述最大链路容量的所述预定分数,则所述重新配置包括将所述给定连接站点重新配置以增加所述最大链路容量。5.根据权利要求1所述的方法,其中:所述接收包括:接收定义了所述连接站点中的哪些连接站点要经由所述VPN来彼此连接的连接性策略以及根据所述连接性策略来管理对所连接的连接站点之间的网络业务的加密的加密策略;所述转换包括:将所述连接性策略转换为转发状态,每个连接站点将使用所述转发状态来根据所述连接性策略在所述网络底层中实现业务转发;以及将所述加密策略转换为加密算法,所述连接站点将使用所述加密算法来对发送自所述连接站点的业务进行加密;以及所述配置包括:将所述转发状态和所述加密算法推送到所述连接站点。6.根据权利要求5所述的方法,其中,所述连接站点各自包括相应的边缘网络设备,所述相应的边缘网络设备被配置为准许相应客户驻地设备与所述网络底层进行通信。7.根据权利要求5所述的方法,其中:所述接收还包括:接收定义了逻辑拓扑的逻辑拓扑策略,所述连接站点将通过所述逻辑拓扑来彼此连接;以及所述转换还包括:将所述逻辑拓扑策略转换为所述转发状态,使得所述转发状态根据所述逻辑拓扑策略在所述网络底层中实现业务转发。8.根据权利要求5所述的方法,其中:所述接收还包括接收高级流量工程策略和高级服务插入策略;以及所述转换还包括将所述连接性策略转换为所述一个或多个转发状态,使得所述转发状态根据所述高级流量工程策略和所述高级服务插入策略来在所述网络底层中实现业务转发。9.根据权利要求5所述的方法,其中:所述接收还包括接收共同表示所述高级连接性策略和所述加密策略的一组站间连接性合同,每个合同针对给定连接站点指定与要连接到所述给定连接站点的其他连接站点的连接并且指定所述给定连接站点与所述其他连接站点之间的业务是否要被加密。10.一种装置,包括:网络接口单元,被配置为与网络底层中的网络设备和用户驻地设备进行通信;以及处理器,所述处理器与所述网络接口连接并被配置为:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,所述VPN基于所述高级网络策略提供连接站点之间的安全连接性;将所述高级网络策略转换为低级设备配置信息,所述低级设备配置信息被表示在网络覆盖中并用于对所述网络底层进行配置以提供所述连接站点到所述VPN的连接性;用所述设备配置信息来配置所述网络底层,使得所述网络底层根据所述高级策略来实现所述VPN;确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流;以及如果确定所述网络底层不是按照所述高级网络策略进行操作,则用新的低级设备配置信息来重新配置所述网络底层,使得所述网络底层按照所述高级网络策略进行操作。11.根据权利要求10所述的装置,其中,所述处理器被配置为:通过接收针对所述高级网络策略中的一者的高级网络要求以及关于指示了所述网络底层是否按照所述高级网络要求进行操作的可测量属性的指示来进行接收;以及在所述网络底层进行操作以引导针对所述VPN的业务流时通过以下操作来进行确定:从所述网络底层收集属性测量结果;以及将所述属性测量结果与所述高级网络要求进行比较。12.根据权利要求11所述的装置,其中,所述处理器被配置为:如果基于所述比较确定所述网络底层...
【专利技术属性】
技术研发人员:法彼奥·R·麦诺,霍里亚·米克莱亚,约翰·埃文斯,布莱恩·艾略特·韦斯,维纳·厄尔玛甘,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。