分布式VPN服务制造技术

本公开涉及分布式VPN服务。对于包括用于提供计算和联网资源的主机机器和用于提供对这些资源的外部访问的VPN网关的网络，描述了一种将加密密钥分发给主机以加密/解密在那些主机处发起/终止的完整有效载荷的新颖方法。这些加密密钥由VPN网关基于与外部网络/设备的网络安全协商来创建或获得。这些经协商的密钥然后经由网络的控制平面被分发给主机。在一些实施例中，这创建了用于处理密码有效载荷的完整的分布式网格框架。

Distributed VPN services

This disclosure involves distributed VPN services. For a network of VPN gateways that include host machines for providing computing and networking resources and external access to these resources, a novel formula is described for distributing an encryption key to a host to encrypt / decrypt a full payload initiated / terminated at those hosts. These encryption keys are created or acquired by the VPN gateway based on network security consultation with external networks / devices. These negotiated keys are then distributed to the host via the control plane of the network. In some embodiments, this creates a complete distributed grid framework for handling cryptographic payloads.

【技术实现步骤摘要】
【国外来华专利技术】分布式VPN服务
技术介绍
L2和L3VPN(虚拟专用网络)是当今联网部署中常见的联网构造，其致力于以安全的方式将可达网络扩展到传统的数据中心边界之外。随着分布式多站点数据中心的演进成为现实，并且随着所提供的服务的容量增加，基于传统装置的阻塞点L2和L3加密服务无法满足此类部署所期望的规模特性。随着多站点数据中心变得越来越流行，以更加无缝且可伸缩的方式拼接跨这些站点移动的安全流量的需求变得至关重要。例如，安装在面向互联网的企业内部网络的周边的VPN网关允许外部网络(或设备)经由SSL/DTLS或IKE/IPSec上的隧道机制连接到网络中。这些网络之间的所有流量必须经过隧道端点。隧道端点对流量进行加密以进行转发并且对传入的分组解密并将其馈送到它们各自的网络中。基于路由和策略的转发(PBF)将来自内部网络的相关流量引导到本地隧道端点以进行转发，其中使用桥接或PBF进一步处理相关流量以寻找到远程网络的正确隧道。除了隧道操作之外，企业网络还必须在提供VPN服务时在其周边执行加密操作。除PBF和桥接查找之外，密码(crypto)操作在资源方面是相当繁重的。随着周边处的流量需求增加，通常唯一的解决方案本文档来自技高网...

【技术保护点】
一种系统，包括：多个主机机器，用于提供计算和网络资源，其中所述主机机器是通过内部网络互连的计算设备；一组边缘节点，用于提供从在所述内部网络外部的设备对所述多个主机机器的访问，其中所述一组边缘节点中的至少一个边缘节点负责协商密钥，所述密钥用于加密从所述多个主机机器中的特定主机机器到在所述内部网络外部的外部设备的一组传出分组，其中经协商的加密密钥被提供给所述特定主机机器，以便所述特定主机机器加密所述一组传出分组。

【技术特征摘要】
【国外来华专利技术】2015.07.31 US 14/815,0741.一种系统，包括：多个主机机器，用于提供计算和网络资源，其中所述主机机器是通过内部网络互连的计算设备；一组边缘节点，用于提供从在所述内部网络外部的设备对所述多个主机机器的访问，其中所述一组边缘节点中的至少一个边缘节点负责协商密钥，所述密钥用于加密从所述多个主机机器中的特定主机机器到在所述内部网络外部的外部设备的一组传出分组，其中经协商的加密密钥被提供给所述特定主机机器，以便所述特定主机机器加密所述一组传出分组。2.如权利要求1所述的系统，其中所述一组边缘节点包括用于将传出分组转发到所述外部设备的多个边缘节点。3.如权利要求1所述的系统，其中所述内部网络由第一数据中心提供，其中所述外部设备是在由第二数据中心提供的远程网络中的主机机器。4.如权利要求1所述的系统，其中所述经协商的密钥还用于解密从所述外部设备到所述特定主机机器的一组传入分组。5.如权利要求4所述的系统，其中所述一组传入分组和所述一组传出分组属于特定L4连接。6.如权利要求4所述的系统，其中所述一组传入分组和所述一组传出分组属于相同的L2段。7.如权利要求1所述的系统，其中所述至少一个边缘节点为不同的多组传入分组协商多个加密密钥。8.如权利要求7所述的系统，其中边缘节点接收传入的加密分组，并且通过基于存储在所述分组的报头中的信息识别用于解密所述传入的加密分组的经协商的密钥来解密所述分组的一部分。9.如权利要求7所述的系统，其中所述系统还包括用于将所述多个密钥分发给所述主机机器中的两个或更多个主机机器的控制器，其中所述两个或更多个主机机器中的每个主机机器使用所分发的密钥中的至少一个密钥来加密一组传出分组和一组传入分组。10.如权利要求9所述的系统，其中所述多个主机机器实现多个分布式逻辑转发元件，并且所述控制器还用于控制分布式逻辑转发元件。11.一种用作数据中心中的多个主机机器中的...

【专利技术属性】
技术研发人员：J·贾殷，A·森谷普塔，U·马苏雷卡尔，
申请(专利权)人：NICIRA股份有限公司，
类型：发明
国别省市：美国,US