异构软件定义网络环境中的微分段制造技术

异构软件定义网络中的微分段可以通过以下操作来执行：基于相应属性将与第一虚拟化环境相关联的端点分类到相应端点组中并且基于相应属性将与第二虚拟化环境相关联的端点分类到相应安全组中。每个相应端点组可以对应于具有相同属性的相应安全组。每个相应端点组和对应安全组可以与定义用于处理相关联流量的规则的相应策略模型相关联。相应安全组中的每一者可以用来生成相应网络属性端点组，其可以包括相应安全组中的那些端点的网络地址。每个相应网络属性端点组可以继承与相应安全组对应的相应端点组的策略模型。端点之间的流量随后可以基于各种分类和相关联规则被处理。

【技术实现步骤摘要】
【国外来华专利技术】异构软件定义网络环境中的微分段
本技术涉及实施软件定义网络，并且更具体地，涉及采用异构软件定义解决方案和主机的数据中心中的微分段。
技术介绍
微分段可以通过将数据中心分成较小的保护区域并且隔离与各种保护区域相关联的流量来大大提高数据中心网络中的安全性。例如，管理员可以用防火墙保护从数据中心的一个分段行进到另一分段的流量(东西流量)。因此，这限制了攻击者在数据中心中横向移动的能力。此外，不仅可以在网络分段的周边处而且可以在应用层之间且甚至在层内的装置之间供应安全服务。利用这样精细粒度的控制，微分段可以允许网络破坏被包括在小故障域中，以保护数据中心的其余部分的完整性。现代数据中心可以部署不同的软件定义网络(SDN)解决方案，诸如思科以应用为中心的基础设施(ACI)和VMWARENSX。数据中心还可以部署不同种类的主机或管理程序，诸如VMWAREESX/ESXI、WINDOWSHYPER-V以及裸金属物理主机。不幸的是，不同管理程序、服务器以及SDN平台中的很多并不能充分地互操作。因此，异构数据中心中的微分段极大地受限。附图说明为了描述可以获得本公开的上述和其他优点及特征的方式，将参考附图中示出的具体实施例来呈现上文简要描述的原理的更具体描述。应理解，这些附图仅仅描绘本公开的示例性实施例，并且因此不应视为限制其范围，通过使用附图来更具体更详细地描述和说明本文中的原理，在附图中：图1示出示例异构数据中心的图解；图2示出用于微分段的属性端点组和安全组的示例列表；图3示出用于异构数据中心中的微分段的示例方法；图4示出示例网络装置；以及图5A和图5B示出示例系统实施例。具体实施方式下文详细地论述本公开的各种实施例。尽管论述了具体实施方式，但应理解，这仅仅是出于说明目的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以使用其他部件和配置。概述本专利技术的方面在独立权利要求中陈述，并且优选特征在从属权利要求中陈述。一个方面的特征可以单独地应用于每个方面或者与其他方面结合。本公开的额外特征和优点将在下文的描述中列出，并且部分将从描述中显而易见，或者可以通过实践本文中公开的原理而学习到。本公开的特征和优点可以借助于所附权利要求书中特别指出的仪器和组合来实现并获得。本公开的这些和其他特征将从以下描述和所附权利要求书中更充分地显而易见，或者可以通过实践本文中列出的原理而学习到。本文中列出的方法可以用来在异构网络环境中执行微分段。当前的网络和数据中心通常包括不同类型的软件定义网络(SDN)解决方案(例如，思科ACI、VMWARENSX等)、主机(例如，VMWAREESXI、WINDOWSHYPER-V、裸金属主机等)，以及虚拟交换元件(例如，思科应用虚拟交换机、VSPHERE分布式交换机等)。不幸的是，不同的SDN、主机或虚拟交换元件之间并不支持微分段。因此，异构网络中的微分段极大地受限。有利地，本文中列出的方法实现跨不同类型的SDN、主机、虚拟交换元件和/或任何其他虚拟化环境或元件的微分段。公开了用于异构网络中的微分段的系统、方法以及计算机可读存储介质。一种示例方法可以包括基于与相应端点组相关联的相应属性而将网络中的第一组端点中的每一者分类到相应端点组中。第一组端点可以与第一类型的虚拟化环境相关联。虚拟化环境可以包括SDN环境、一种类型的虚拟主机(例如，一种类型的管理程序)、一种类型的虚拟交换元件或装置(例如，思科应用虚拟交换机)等。所述方法还可以包括针对相应端点组来定义第一相应策略模型，所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则。策略模型可以包括用于与相应端点组相关联的流量的合约、规则或策略。所述方法可以包括：识别与第二类型的虚拟化环境相关联的第二组端点，所述第二类型的虚拟化环境不同于第一类型的虚拟化环境；以及将第二组端点中的每一者分配到相应安全组，其中相应安全组对应于相应端点组。相应安全组可以是特定于第二类型的虚拟化环境的另一组，类似于相应端点组。此外，第二组端点中的每一者可以基于相应属性而被分配到相应安全组。例如，被添加到相应安全组的端点可以与被添加到相应的对等(counterpart)端点组的那些端点共同具有相同属性。所述方法还可以包括针对相应安全组来定义第二相应策略模型，所述第二相应策略模型包括与第一相应策略模型相关联的一个或多个规则。第二相应策略模型可以包括在用于相应属性端点组的第一相应策略模型中定义的那些规则、策略或防火墙。因此，相应安全组可以被分配与相应安全组相关联的相应属性端点组相同或基本上相似的策略、规则或防火墙。接着，所述方法可以包括生成枚举了相应安全组中的每个端点的相应网络地址的相应网络属性端点组。例如，可以生成相应网络地址端点组以包括相应安全组中的每个端点的媒体访问控制(MAC)地址。这允许网络中的诸如交换机之类的装置基于相应MAC地址来对去往/来自相应安全组中的这些端点的流量进行分类。相应网络属性端点组还可以包括与相应安全组具有共同的相应属性但不与第一或第二虚拟化环境相关联的任何端点的相应网络地址。例如，与相应属性相匹配且与第三物理环境相关联的端点的MAC地址也可以被包括在相应网络属性端点组中。所述方法还可以包括针对相应网络属性端点组来提供第三相应策略模型。第三相应策略模型可以包括来自第一和/或第二相应策略模型的一个或多个规则。在一些实例中，第三相应策略模型可以继承来自第一和/或第二相应策略模型的一个或多个规则。第三相应策略模型中的规则可以由网络装置用来施行用于与基于端点的网络地址分类的相应网络属性端点组中的端点相关联的流量的各种策略。描述软件定义网络(SDN)是一种涉及通过较高级功能的抽象化来管理网络服务的计算机网络方法。这可以通过使控制平面与数据平面分离来完成。示例SDN解决方案包括思科以应用为中心的基础设施(ACI)和VMWARENSX。思科ACI通过可缩放的分布式施行来提供基于应用策略的解决方案。ACI支持在针对网络、服务器、服务和安全性的声明策略模型下进行物理和虚拟环境的集成。在ACI框架中，端点可以被分组到端点组(EPG)中。EPG包含共享诸如安全性、QOS(服务质量)、性能、服务等之类的共同策略要求的端点的集合。端点可以是连接到网络的虚拟或物理装置或主机，诸如虚拟机(VM)和裸金属物理服务器。端点可以具有许多属性，诸如VM名称、客户OS(操作系统)名称、安全标签等。应用策略可以以合约的形式在EPG之间应用，而不是直接在端点之间应用。在数据中心网络架构中，叶交换机可以将传入的流量分类到不同的EPG。分类可以是基于网络分段标识符，诸如VLANID、VXLAN网络标识符(VNID)、NVGRE虚拟子网标识符(VSID)等。分类还可以是基于端点的网络地址，诸如MAC(媒体访问控制)或IP(互联网协议)地址。基于地址的分类可以包括对端点网络地址(例如，MAC或IP地址等)的枚举。ACI可以支持针对应用虚拟交换机(AVS)和物理主机的微分段。AVS是在ACI架构中工作的管理程序驻留的虚拟网络交换机。利用AVS微分段，可以根据端点的属性(诸如，VM名称和客户OS名称)将属性EPG引入到组端点。AVS可以基于指定的属性以及具有不同网络分段标识符(诸本文档来自技高网...

【技术保护点】
1.一种方法，包括：基于与相应端点组相关联的相应属性来将网络中的第一多个端点中的每一者分类到所述相应端点组中，其中所述第一多个端点与第一类型的虚拟化环境相关联；针对所述相应端点组来定义第一相应策略模型，所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则；识别与第二类型的虚拟化环境相关联的第二多个端点，所述第二类型的虚拟化环境不同于所述第一类型的虚拟化环境；将所述第二多个端点中的每一者与相应安全组相关联，其中所述相应安全组对应于所述相应端点组，并且其中所述第二多个端点中的每一者基于所述相应属性而与所述相应安全组相关联；针对所述相应安全组来定义第二相应策略模型，所述第二相应策略模型包括与所述第一相应策略模型相关联的所述一个或多个规则；生成相应网络属性端点组，所述相应网络属性端点组枚举了所述相应安全组中的每个端点的相应网络地址；以及针对所述相应网络属性端点组来定义第三相应策略模型，其中所述第三相应策略模型从所述第一相应策略模型继承所述一个或多个规则。

【技术特征摘要】
【国外来华专利技术】2016.05.19 US 15/159,3791.一种方法，包括：基于与相应端点组相关联的相应属性来将网络中的第一多个端点中的每一者分类到所述相应端点组中，其中所述第一多个端点与第一类型的虚拟化环境相关联；针对所述相应端点组来定义第一相应策略模型，所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则；识别与第二类型的虚拟化环境相关联的第二多个端点，所述第二类型的虚拟化环境不同于所述第一类型的虚拟化环境；将所述第二多个端点中的每一者与相应安全组相关联，其中所述相应安全组对应于所述相应端点组，并且其中所述第二多个端点中的每一者基于所述相应属性而与所述相应安全组相关联；针对所述相应安全组来定义第二相应策略模型，所述第二相应策略模型包括与所述第一相应策略模型相关联的所述一个或多个规则；生成相应网络属性端点组，所述相应网络属性端点组枚举了所述相应安全组中的每个端点的相应网络地址；以及针对所述相应网络属性端点组来定义第三相应策略模型，其中所述第三相应策略模型从所述第一相应策略模型继承所述一个或多个规则。2.根据权利要求1所述的方法，其中，所述相应网络地址包括媒体访问控制地址和互联网协议地址中的至少一者，并且其中生成所述相应网络属性端点组包括：从所述第二多个端点中识别具有与所述相应端点组相关联的所述相应属性的一个或多个端点；以及将所述一个或多个端点分配到所述相应网络属性端点组。3.根据权利要求1或2所述的方法，其中，所述第一类型的虚拟化环境包括第一类型的管理程序、第一类型的虚拟机以及第一类型的虚拟交换元件中的至少一者；并且其中所述第二类型的虚拟化环境包括第二类型的管理程序、第二类型的虚拟机以及第二类型的虚拟交换元件中的至少一者。4.根据权利要求1至3中任一项所述的方法，其中，与所述相应端点组相关联的所述相应属性包括以下各项中的至少一者：虚拟机名称、相关联端点的客户操作系统、以及所述相关联端点的安全标签。5.根据权利要求1至4中任一项所述的方法，还包括：经由所述网络上的网络装置接收来自与所述第二类型的虚拟化环境相关联的端点的分组；基于所述端点的所述相应网络地址，确定哪个相应网络属性端点组与所述端点相关联，以产生网络属性端点组确定；以及基于所述网络属性端点组确定，将来自所述第一相应策略模型的所述一个或多个规则应用于所述分组。6.根据权利要求1至5中任一项所述的方法，其中，与所述第二多个端点中的每一者相关联的所述相应安全组和所述第二相应策略模型对所述第一多个端点不可见，并且其中所述相应端点组和所述第一相应策略模型对所述第二多个端点不可见。7.根据权利要求1至6中任一项所述的方法，还包括：经由所述网络上的网络装置接收来自所述网络中的端点的分组；基于与所述分组相关联的网络分段标识符而将所述分组与所述相应端点组相关联。8.根据权利要求7所述的方法，其中，所述网络分段标识符包括以下各项中的至少一者：虚拟局域网标识符、虚拟可扩展局域网标识符，以及使用通用路由封装的网络虚拟化(NVGRE)虚拟子网标识符。9.根据权利要求1至8中任一项所述的方法，其中，所述第一类型的虚拟化环境被配置成用不同网络分段标识符对来自不同端点组的分组进行标记，所述不同网络分段标识符中的每一者对应于不同端点组，并且其中接收网络装置被配置成基于所述不同网络分段标识符而将所述分组与所述不同端点组相关联并且基于所述不同端点组中的哪些与所述分组相关联来将相应策略规则应用于所述分组。10.根据权利要求9所述的方法，还包括：经由所述接收网络装置来接收来自所述第二多个端点的与端点相关联的分组；识别与所述端点相关联的网络地址；将所述网络地址与跟所述相应网络属性端点组相关联的一个或多个地址进行比较；确定所述端点在所述相应网络属性端点组中；以及基于所述端点在所述相应网络属性端点组中，向所述分组应用一个或多个规则，所述一个或多个规则是由所述第三相应策略模型从所述第一相应策略模型继承的。11.根据权利要求10所述的方法，其中，所述第一类型的虚拟化环境被配置成用不同的相应网络分段标识符对来自不同端点组的分组进行标记，并且其中所述第二类型的虚拟化环境被配置成用相同的网络分段标识符对来自不同安全组的分组进行标记。12.根据权利要求1至11中任一项所述的方法，还包括：识别所述网络中的物理端点；确定所述物理端点的属性；基于所述属性，从多个相应网络属性端点组中识别与所述属性相关联的所述相应网络属性端点组；以及将所述物理端点的网络地址分配到所述相应网络属性端点组；接收与所述物理端点相关联的分组；以及向所述分组应用与所述相应网络属性端点组相关联的一个或多个规则。13.一种系统，其包括：一个或多个处理器；以及一个或多个计算机可读存储装置，其中存储有指令，所述指令在被所述一个或多个处理器执行时致使所述一个或多个处理器执行操作，所述操作包括：将网络中的第一多个端点中的每一者分类到多个端点组中的相应端点组，所述第一多个端点中的每一者基于共同的第一相应属性而被分类到所述相应端点组中，其中所述第一多个端点与第一类型的主机相关联；针对所述相应端点组来定义第一相应策略模型，所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则；识别与第二类型的主机相关联的第二多个端点，所述第二类型的主机不同于所述第一类型的主机；将所述第二多个端点中的每一者与多个安全组中的相应安全组相关联，其中所述第二多个端点...

【专利技术属性】
技术研发人员：普拉文·杰因，穆尼什·麦塔，沙鲁巴·杰因，杨一斌，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US