具有加密和流量工程解析的动态VPN策略模型制造技术

接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略。VPN用于基于高级网络策略来提供VPN的连接站点之间的安全连接性。将高级网络策略转换为低级设备配置信息，该低级设备配置信息被表示在网络覆盖中并用于对向VPN提供连接站点的网络底层进行配置。用设备配置信息来配置网络底层，使得网络底层根据高级策略来实现VPN。确定网络底层是否按照高级网络策略进行操作以引导连接站点之间业务流。如果确定网络底层不按照高级网络策略进行操作，则用新的低级设备配置信息来重新配置网络底层，使得网络底层按照高级网络策略进行操作。

【技术实现步骤摘要】
【国外来华专利技术】具有加密和流量工程解析的动态VPN策略模型优先权声明本申请要求于2015年8月19日提交的美国临时申请No.62/207,137的优先权，其全部内容通过引用并入本文。
本公开涉及虚拟专用网络。
技术介绍
计算环境中使用的网络可以以许多不同的方式进行配置。例如，局域网(LAN)是共享通用通信线路的一组计算设备。计算和存储资源可以在LAN内共享。此外，LAN可以与少数计算设备一样小，或者与整个企业(例如，办公楼、办公综合楼等)一样大。另一网络配置是广域网(WAN)。WAN是在地理上分散的电信网络。广为人知的WAN的典型示例是互联网。第三种网络配置是城域网(MAN)，在MAN中计算设备在比LAN大且比典型WAN小的地理区域或特定区域中连接。此外，近年来业界出现了被称为虚拟专用网络(VPN)的新型网络。VPN是利用公共电信并通过使用隧道协议和安全程序来保持隐私的专用网络。例如，公司或企业可以在其网络内启用VPN，并且可以使用公共网络(例如，互联网)来路由远程设备和公司的VPN内的设备之间的通信。因此，远程设备可以经由公共网络使用“虚拟”连接来连接到VPN内的设备并与VPN内的设备交换安全通信。这些通信也可以被加密，使得未被认证或以其他方式被允许访问VPN的设备不能解密和访问这些通信。附图说明图1是根据实施例的iVPN架构的高级框图。图2是根据实施例的在iVPN架构中执行的高级操作的流程图，这些操作用于实现并监视iVPN架构的网络底层中的VPN的操作。图3是根据实施例的在iVPN架构中使用的VPN策略模型的图示。图4是根据实施例的图1的iVPN架构的详细框图的图示。图5是根据实施例的图4的iVPN架构中的映射服务器的详细框图。图6是根据实施例的在高级策略已应用于iVPN架构之前处于初始或默认状态的映射服务器的图示。图7是根据实施例的在高级连接性策略已应用于iVPN架构之后的映射服务器的图示。图8是根据实施例的在高级分段路由策略已应用于iVPN架构之后的映射服务器的图示。图9是根据实施例的在高级服务插入策略已应用于iVPN架构之后的映射服务器的图示。图10是根据实施例的在高级加密策略已应用于iVPN架构之后图4的iVPN架构的密钥管理服务器的图示。图11是根据实施例的用于实现图1和图4的iVPN控制器的计算机设备的框图。图12是在iVPN架构的网络底层中使用的诸如网络路由器设备或网络交换机设备之类的网络设备的框图。具体实现方式概览接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略。VPN基于该高级网络策略提供VPN的连接站点之间的安全连接性。高级网络策略被转换成在网络覆盖中表示的低级设备配置信息，并用于对向VPN提供连接站点的网络底层进行配置。用设备配置信息来配置网络底层，使得网络底层根据高级策略来实现VPN。确定网络底层是否按照高级网络策略进行操作以引导连接站点之间的业务(traffic)流。如果确定了网络底层不按照高级网络策略进行操作，则用新的低级设备配置信息来重新配置网络底层，使得网络底层按照高级网络策略进行操作。详细描述当前的虚拟专用网络(VPN)技术使用分布式网络协议来在(例如，基于多协议标签交换(MPLS)或基于互联网协议(IP)的)与客户驻地设备(CPE)互连(即，连接)的共享网络基础设施之上为客户创建VPN。传统的VPN主要依据它们提供连接性的对象而被抽象出来，这着重于转发策略。这种抽象通常限于在物理网络基础设施之上实现逻辑拓扑的多个(分段的)虚拟网络。实际上，VPN是安全的覆盖，其被部署不仅用于提供连接性，而且还用于在虚拟拓扑之上实现多个策略。这些策略可以包括例如：(1)安全策略，例如，要求数据机密性、数据完整性、数据源认证之类的安全策略或者表示微分段策略的那些安全策略(例如，基于组的策略(GBP))；(2)附接和运输策略(例如，多归属和地址族要求)；(3)用于在网络中选择特定路径的流量工程(trafficengineering，TE)策略以及服务链策略。例如，为了反映更高的商业级(business-level)策略要求方面的变化，为了反映底层物理网络基础设施方面的变化，或者由于策略是仅针对给定类别的业务(例如，特定流)而指定的，这些策略中的许多策略可以动态地变化。为了解决这些问题，本文提出了在一组策略中定义的自适应且动态的安全覆盖模型，其可以用于将与VPN相关联的高级或商业级策略转换为低级或网络级策略。根据本文所提出的技术的覆盖模型提供了闭环控制环路，该闭环控制环路测量所实现的网络级策略与所指定的商业级策略之间的差异。在检测到差异后，控制环路可以自动地和动态地调整网络级策略以实施服务级协议(SLA)，并将测量到的差异报告给感兴趣的各方。因此，策略的变化可以整体反应并以统一的方式实现。本文所提出的技术包括三个主要组件，即：(1)策略模型，可用于描述商业级策略；(2)VPN策略解析器，其将商业级策略转换为网络级策略；(3)闭环系统，其实时测量所实现的网络级策略和预期的商业级策略之间的差异，并将这些测量结果返回给VPN策略解析器。据此，VPN策略解析器可以作出反应以最小化差异。在某些示例中，这些组件作为所谓的“iVPN”系统架构的一部分来实现。iVPN系统架构是边缘到边缘的IP覆盖层2(L2)/层3(L3)VPN系统架构(也被称为“iVPN架构”或“iVPN系统”)，其将集中式控制的基础设施用作所有网络服务的单一策略控制点，以便集成VPN策略、流量工程(分段路由)策略、和服务插入(NSH)策略。iVPN架构为用户提供了VPN的更高级抽象，从而公开了表示VPN及其属性的动态策略模型(连接性策略、安全性策略、流量工程、以及服务链策略)。一些属性可能会随时间改变，并可能相应地推动所应用的策略的改变。例如，流量工程策略可以利用多个连接性路径，这些连接性路径可能由于例如拥塞、可用性等原因而随时间改变，并且相应地加密策略可能需要适应那些改变(例如，通过在经过私有传输的连接切换到公共传输时添加加密)。图1是根据实施例的实现上述特征的示例iVPN架构100的高级框图。iVPN架构100包括集中式iVPN控制器102(也被称为“网络控制器”102)和网络底层104。iVPN控制器102实现与策略模型相关联的VPN策略模型106和网络覆盖108，以定义、配置和控制在网络底层104中实例化(即，实现)的VPN。网络底层104表示可配置的物理网络基础设施，这些基础设施包括互连的网络设备(例如，网络路由器、交换机等)以实现VPN并提供连接到VPN的附接/连接点或站点(例如，附接/连接点P1-P5)，CPE可以通过这些附接/连接点或站点来与VPN进行连接。网络底层104可以形成以下各项的一部分，或可以包括以下各项：一个或多个局域网(LAN)和一个或多个广域网(WAN)(例如，互联网)。参考图2，图2是在iVPN架构100中执行的高级操作200(包括操作205-225)的流程图，这些操作用于实现并监视网络底层104中的VPN的操作。操作210-225被认为是自动操作，因为它们由计算机和/或网络设备自动地执行，即，不需要手动干预。在205处，控制器102接收根据预定义的语法格式化的高级的、基于意图的VP本文档来自技高网...

【技术保护点】
一种在网络控制器处执行的方法，包括：接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略，所述VPN基于所述高级网络策略提供连接站点之间的安全连接性；将所述高级网络策略转换成低级设备配置信息，所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置；用所述设备配置信息来配置所述网络底层，使得所述网络底层根据所述高级策略来实现所述VPN；确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流；以及如果确定所述网络底层不是按照所述高级网络策略进行操作，则用新的低级设备配置信息来重新配置所述网络底层，使得所述网络底层按照所述高级网络策略进行操作。

【技术特征摘要】
【国外来华专利技术】2015.08.19 US 62/207,137;2016.03.02 US 15/058,4471.一种在网络控制器处执行的方法，包括：接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略，所述VPN基于所述高级网络策略提供连接站点之间的安全连接性；将所述高级网络策略转换成低级设备配置信息，所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置；用所述设备配置信息来配置所述网络底层，使得所述网络底层根据所述高级策略来实现所述VPN；确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流；以及如果确定所述网络底层不是按照所述高级网络策略进行操作，则用新的低级设备配置信息来重新配置所述网络底层，使得所述网络底层按照所述高级网络策略进行操作。2.根据权利要求1所述的方法，其中：所述接收包括接收针对所述高级网络策略中的一者的高级网络要求和关于指示了所述网络底层是否按照所述高级网络要求进行操作的可测量属性的指示；以及所述确定包括，在所述网络底层进行操作以引导针对所述VPN的业务流时：从所述网络底层收集属性测量结果；以及将所述属性测量结果与所述高级网络要求进行比较。3.根据权利要求2所述的方法，其中：如果基于所述比较确定所述网络底层不是按照所述高级网络策略进行操作，则所述重新配置包括用所述新的低级设备配置信息来重新配置所述网络底层。4.根据权利要求3所述的方法，其中：所述高级网络要求包括这样的要求：在所述连接站点中的给定连接站点处的链路带宽使用率不超过在所述给定连接站点处可用的最大链路容量的预定分数，并且所述可测量属性包括链路带宽使用率；所述收集包括从所述给定连接站点收集链路带宽使用率测量结果；所述比较包括将所述链路带宽使用率测量结果与所述最大链路容量的所述预定分数进行比较；以及如果所述比较指示了所述链路带宽使用率测量结果超过所述最大链路容量的所述预定分数，则所述重新配置包括将所述给定连接站点重新配置以增加所述最大链路容量。5.根据权利要求1所述的方法，其中：所述接收包括：接收定义了所述连接站点中的哪些连接站点要经由所述VPN来彼此连接的连接性策略以及根据所述连接性策略来管理对所连接的连接站点之间的网络业务的加密的加密策略；所述转换包括：将所述连接性策略转换为转发状态，每个连接站点将使用所述转发状态来根据所述连接性策略在所述网络底层中实现业务转发；以及将所述加密策略转换为加密算法，所述连接站点将使用所述加密算法来对发送自所述连接站点的业务进行加密；以及所述配置包括：将所述转发状态和所述加密算法推送到所述连接站点。6.根据权利要求5所述的方法，其中，所述连接站点各自包括相应的边缘网络设备，所述相应的边缘网络设备被配置为准许相应客户驻地设备与所述网络底层进行通信。7.根据权利要求5所述的方法，其中：所述接收还包括：接收定义了逻辑拓扑的逻辑拓扑策略，所述连接站点将通过所述逻辑拓扑来彼此连接；以及所述转换还包括：将所述逻辑拓扑策略转换为所述转发状态，使得所述转发状态根据所述逻辑拓扑策略在所述网络底层中实现业务转发。8.根据权利要求5所述的方法，其中：所述接收还包括接收高级流量工程策略和高级服务插入策略；以及所述转换还包括将所述连接性策略转换为所述一个或多个转发状态，使得所述转发状态根据所述高级流量工程策略和所述高级服务插入策略来在所述网络底层中实现业务转发。9.根据权利要求5所述的方法，其中：所述接收还包括接收共同表示所述高级连接性策略和所述加密策略的一组站间连接性合同，每个合同针对给定连接站点指定与要连接到所述给定连接站点的其他连接站点的连接并且指定所述给定连接站点与所述其他连接站点之间的业务是否要被加密。10.一种装置，包括：网络接口单元，被配置为与网络底层中的网络设备和用户驻地设备进行通信；以及处理器，所述处理器与所述网络接口连接并被配置为：接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略，所述VPN基于所述高级网络策略提供连接站点之间的安全连接性；将所述高级网络策略转换为低级设备配置信息，所述低级设备配置信息被表示在网络覆盖中并用于对所述网络底层进行配置以提供所述连接站点到所述VPN的连接性；用所述设备配置信息来配置所述网络底层，使得所述网络底层根据所述高级策略来实现所述VPN；确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流；以及如果确定所述网络底层不是按照所述高级网络策略进行操作，则用新的低级设备配置信息来重新配置所述网络底层，使得所述网络底层按照所述高级网络策略进行操作。11.根据权利要求10所述的装置，其中，所述处理器被配置为：通过接收针对所述高级网络策略中的一者的高级网络要求以及关于指示了所述网络底层是否按照所述高级网络要求进行操作的可测量属性的指示来进行接收；以及在所述网络底层进行操作以引导针对所述VPN的业务流时通过以下操作来进行确定：从所述网络底层收集属性测量结果；以及将所述属性测量结果与所述高级网络要求进行比较。12.根据权利要求11所述的装置，其中，所述处理器被配置为：如果基于所述比较确定所述网络底层...

【专利技术属性】
技术研发人员：法彼奥·R·麦诺，霍里亚·米克莱亚，约翰·埃文斯，布莱恩·艾略特·韦斯，维纳·厄尔玛甘，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US