【技术实现步骤摘要】
【国外来华专利技术】异构软件定义网络环境中的微分段
本技术涉及实施软件定义网络,并且更具体地,涉及采用异构软件定义解决方案和主机的数据中心中的微分段。
技术介绍
微分段可以通过将数据中心分成较小的保护区域并且隔离与各种保护区域相关联的流量来大大提高数据中心网络中的安全性。例如,管理员可以用防火墙保护从数据中心的一个分段行进到另一分段的流量(东西流量)。因此,这限制了攻击者在数据中心中横向移动的能力。此外,不仅可以在网络分段的周边处而且可以在应用层之间且甚至在层内的装置之间供应安全服务。利用这样精细粒度的控制,微分段可以允许网络破坏被包括在小故障域中,以保护数据中心的其余部分的完整性。现代数据中心可以部署不同的软件定义网络(SDN)解决方案,诸如思科以应用为中心的基础设施(ACI)和VMWARENSX。数据中心还可以部署不同种类的主机或管理程序,诸如VMWAREESX/ESXI、WINDOWSHYPER-V以及裸金属物理主机。不幸的是,不同管理程序、服务器以及SDN平台中的很多并不能充分地互操作。因此,异构数据中心中的微分段极大地受限。附图说明为了描述可以获得本公开的上述和其他优点及特征的方式,将参考附图中示出的具体实施例来呈现上文简要描述的原理的更具体描述。应理解,这些附图仅仅描绘本公开的示例性实施例,并且因此不应视为限制其范围,通过使用附图来更具体更详细地描述和说明本文中的原理,在附图中:图1示出示例异构数据中心的图解;图2示出用于微分段的属性端点组和安全组的示例列表;图3示出用于异构数据中心中的微分段的示例方法;图4示出示例网络装置;以及图5A和图5B示出示例系统实施例。 ...
【技术保护点】
1.一种方法,包括:基于与相应端点组相关联的相应属性来将网络中的第一多个端点中的每一者分类到所述相应端点组中,其中所述第一多个端点与第一类型的虚拟化环境相关联;针对所述相应端点组来定义第一相应策略模型,所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则;识别与第二类型的虚拟化环境相关联的第二多个端点,所述第二类型的虚拟化环境不同于所述第一类型的虚拟化环境;将所述第二多个端点中的每一者与相应安全组相关联,其中所述相应安全组对应于所述相应端点组,并且其中所述第二多个端点中的每一者基于所述相应属性而与所述相应安全组相关联;针对所述相应安全组来定义第二相应策略模型,所述第二相应策略模型包括与所述第一相应策略模型相关联的所述一个或多个规则;生成相应网络属性端点组,所述相应网络属性端点组枚举了所述相应安全组中的每个端点的相应网络地址;以及针对所述相应网络属性端点组来定义第三相应策略模型,其中所述第三相应策略模型从所述第一相应策略模型继承所述一个或多个规则。
【技术特征摘要】
【国外来华专利技术】2016.05.19 US 15/159,3791.一种方法,包括:基于与相应端点组相关联的相应属性来将网络中的第一多个端点中的每一者分类到所述相应端点组中,其中所述第一多个端点与第一类型的虚拟化环境相关联;针对所述相应端点组来定义第一相应策略模型,所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则;识别与第二类型的虚拟化环境相关联的第二多个端点,所述第二类型的虚拟化环境不同于所述第一类型的虚拟化环境;将所述第二多个端点中的每一者与相应安全组相关联,其中所述相应安全组对应于所述相应端点组,并且其中所述第二多个端点中的每一者基于所述相应属性而与所述相应安全组相关联;针对所述相应安全组来定义第二相应策略模型,所述第二相应策略模型包括与所述第一相应策略模型相关联的所述一个或多个规则;生成相应网络属性端点组,所述相应网络属性端点组枚举了所述相应安全组中的每个端点的相应网络地址;以及针对所述相应网络属性端点组来定义第三相应策略模型,其中所述第三相应策略模型从所述第一相应策略模型继承所述一个或多个规则。2.根据权利要求1所述的方法,其中,所述相应网络地址包括媒体访问控制地址和互联网协议地址中的至少一者,并且其中生成所述相应网络属性端点组包括:从所述第二多个端点中识别具有与所述相应端点组相关联的所述相应属性的一个或多个端点;以及将所述一个或多个端点分配到所述相应网络属性端点组。3.根据权利要求1或2所述的方法,其中,所述第一类型的虚拟化环境包括第一类型的管理程序、第一类型的虚拟机以及第一类型的虚拟交换元件中的至少一者;并且其中所述第二类型的虚拟化环境包括第二类型的管理程序、第二类型的虚拟机以及第二类型的虚拟交换元件中的至少一者。4.根据权利要求1至3中任一项所述的方法,其中,与所述相应端点组相关联的所述相应属性包括以下各项中的至少一者:虚拟机名称、相关联端点的客户操作系统、以及所述相关联端点的安全标签。5.根据权利要求1至4中任一项所述的方法,还包括:经由所述网络上的网络装置接收来自与所述第二类型的虚拟化环境相关联的端点的分组;基于所述端点的所述相应网络地址,确定哪个相应网络属性端点组与所述端点相关联,以产生网络属性端点组确定;以及基于所述网络属性端点组确定,将来自所述第一相应策略模型的所述一个或多个规则应用于所述分组。6.根据权利要求1至5中任一项所述的方法,其中,与所述第二多个端点中的每一者相关联的所述相应安全组和所述第二相应策略模型对所述第一多个端点不可见,并且其中所述相应端点组和所述第一相应策略模型对所述第二多个端点不可见。7.根据权利要求1至6中任一项所述的方法,还包括:经由所述网络上的网络装置接收来自所述网络中的端点的分组;基于与所述分组相关联的网络分段标识符而将所述分组与所述相应端点组相关联。8.根据权利要求7所述的方法,其中,所述网络分段标识符包括以下各项中的至少一者:虚拟局域网标识符、虚拟可扩展局域网标识符,以及使用通用路由封装的网络虚拟化(NVGRE)虚拟子网标识符。9.根据权利要求1至8中任一项所述的方法,其中,所述第一类型的虚拟化环境被配置成用不同网络分段标识符对来自不同端点组的分组进行标记,所述不同网络分段标识符中的每一者对应于不同端点组,并且其中接收网络装置被配置成基于所述不同网络分段标识符而将所述分组与所述不同端点组相关联并且基于所述不同端点组中的哪些与所述分组相关联来将相应策略规则应用于所述分组。10.根据权利要求9所述的方法,还包括:经由所述接收网络装置来接收来自所述第二多个端点的与端点相关联的分组;识别与所述端点相关联的网络地址;将所述网络地址与跟所述相应网络属性端点组相关联的一个或多个地址进行比较;确定所述端点在所述相应网络属性端点组中;以及基于所述端点在所述相应网络属性端点组中,向所述分组应用一个或多个规则,所述一个或多个规则是由所述第三相应策略模型从所述第一相应策略模型继承的。11.根据权利要求10所述的方法,其中,所述第一类型的虚拟化环境被配置成用不同的相应网络分段标识符对来自不同端点组的分组进行标记,并且其中所述第二类型的虚拟化环境被配置成用相同的网络分段标识符对来自不同安全组的分组进行标记。12.根据权利要求1至11中任一项所述的方法,还包括:识别所述网络中的物理端点;确定所述物理端点的属性;基于所述属性,从多个相应网络属性端点组中识别与所述属性相关联的所述相应网络属性端点组;以及将所述物理端点的网络地址分配到所述相应网络属性端点组;接收与所述物理端点相关联的分组;以及向所述分组应用与所述相应网络属性端点组相关联的一个或多个规则。13.一种系统,其包括:一个或多个处理器;以及一个或多个计算机可读存储装置,其中存储有指令,所述指令在被所述一个或多个处理器执行时致使所述一个或多个处理器执行操作,所述操作包括:将网络中的第一多个端点中的每一者分类到多个端点组中的相应端点组,所述第一多个端点中的每一者基于共同的第一相应属性而被分类到所述相应端点组中,其中所述第一多个端点与第一类型的主机相关联;针对所述相应端点组来定义第一相应策略模型,所述第一相应策略模型包括用于处理相关联网络流量的一个或多个规则;识别与第二类型的主机相关联的第二多个端点,所述第二类型的主机不同于所述第一类型的主机;将所述第二多个端点中的每一者与多个安全组中的相应安全组相关联,其中所述第二多个端点...
【专利技术属性】
技术研发人员:普拉文·杰因,穆尼什·麦塔,沙鲁巴·杰因,杨一斌,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。