本公开针对管理工业物联网端点并且包括一个或多个处理器和一个或多个计算机可读非暂态存储介质,该存储介质耦合到该一个或多个处理器并且包括指令,当这些指令由该一个或多个处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有相同分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。点。点。
【技术实现步骤摘要】
【国外来华专利技术】为物联网端点自动化软件定义广域网策略
[0001]本公开一般涉及物联网(IoT),更具体地涉及用于使物联网端点的软件定义广域网(SD
‑
WAN)策略自动化的系统和方法。
技术介绍
[0002]互联网的发展不仅允许连接计算机和通信设备的能力,而且允许通过计算机网络连接物理世界中的任何智能“对象”或“事物”的能力。术语“物联网”(IoT)指的是智能设备的这种互连以及它们通过网络传输数据的能力。物联网设备的数量正在大幅增加,预计到2021年,物联网应用将占全球所有设备和连接的50%以上。由于这种增长的快速性,以及物联网固有的安全问题,物联网设备的管理可能会很困难。
附图说明
[0003]图1示出了根据本公开的用于管理物联网端点的系统的实施例;
[0004]图2示出了根据本公开的用于管理物联网端点的系统的另一个实施例;
[0005]图3示出了根据本公开的用于管理物联网端点的系统的框图;
[0006]图4示出了根据本公开的用于管理物联网端点的方法;以及
[0007]图5示出了根据本公开的可由本文描述的系统和方法使用的计算机系统。
具体实施方式
[0008]概览
[0009]在独立权利要求中陈述了本专利技术的各方面,在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。
[0010]根据一个实施例,一种装置包括一个或多个处理器以及耦合到该一个或多个处理器的一个或多个计算机可读非暂态存储介质。一个或多个计算机可读非暂态存储介质包括指令,当指令由一个或多个处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有共同的分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。一个或多个交换机可以包括用于识别第一端点和/或一个或多个相关端点的虚拟机。
[0011]操作还可包括:应用策略以将第一端点与所识别出的一个或多个相关端点进行通信地连接。
[0012]操作还可以包括:为第一端点和所识别出的一个或多个相关端点创建安全网络覆盖。此外,操作还可以包括:跨安全网络覆盖对第一端点实施网络策略。进一步的操作可包括:将第一端点和所识别出的一个或多个相关端点集成在软件定义广域网(SD
‑
WAN)中,以及跨一个或多个云扩展应用于第一端点和一个或多个相关端点的一个或多个策略。
[0013]根据另一个实施例,一种方法可以包括:通过一个或多个交换机使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,通过一个或多个交换机识别与第一端点具有共同的分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
[0014]根据又一实施例,一个或多个计算机可读非暂态存储介质包含指令,当指令由处理器执行时,使一个或多个交换机执行操作,该操作包括:使用与第一端点相关联的协议来识别第一端点,基于第一端点的一个或多个属性来确定所识别出的第一端点的分类,识别与第一端点具有相同分类的一个或多个相关端点,对第一端点与所识别出的一个或多个相关端点进行网段划分,以及将一个或多个策略应用于被进行了网段划分的第一端点和一个或多个相关端点。
[0015]本公开的某些实施例的技术优势可包括以下一项或多项。本公开的某些实施例可以允许对物联网端点的动态识别、分类、网段划分和策略映射,从而实现物联网端点在网络中的安全和适当的连接。此外,本公开的其他实施例可以允许以下优势:自动创建安全的特定于物联网端点的覆盖;对物联网端点实施网络策略;防止恶意物联网端点加入网络覆盖;提供盒子遥测,包括网络覆盖上的带宽预留;为物联网端点提供深度遥测,以在云上检测和分析物联网端点故障;以及提供物联网端点到物联网端点的连接,以实现物联网端点的深度学习并协助自动故障排除。
[0016]从以下附图、描述和权利要求中,其他技术优势对于本领域技术人员将是显而易见的。此外,虽然上面列举了具体的优势,但各种实施例可以包括所有这些优势、包括这些优势中的一些或不包括所列举的优势。
[0017]示例性实施例
[0018]物联网(IoT)是一个相互关联的智能设备的系统,能够跨网络基础设施传输数据,以使用通信协议将物理世界集成到基于计算机的系统中。几乎任何物理对象如果其可以通过互联网被连接和控制则都可以转变为物联网设备。在消费者环境中,灯泡、电器、恒温器、家庭安全系统、电视、甚至玩具都可以通过网络而被集成。在商业环境中,“工业物联网”一词是指在商业、医疗保健、工业或其他此类应用中联网在一起的互连传感器、仪器、机械和其他设备。在整个本公开中可以使用术语IoT来泛指消费者和/或工业IoT应用。
[0019]通常,物联网设备可由具有低存储器、CPU和电源开销要求的轻质且专用操作系统组成。在可能的情况下,物联网设备也可以设计为提供无线连接。这些规范可能必然导致低安全性和高漏洞。换句话说,当独立的或网络惰性的物联网设备在以前被引入网络时,由于没有自动识别、策略分配、监控、管理、修补或升级的手段,系统受损的可能性(即,黑客发现和攻击这些设备的风险)高。当物联网设备试图通过外部交换机连接到网络时,这可能尤其成问题。由于传统交换机不支持物联网协议,它们无法识别或直接与物联网设备通信,并且进一步缺乏将物联网设备与网络中适当的端点安全互连的功能。因此,企业可能被迫简单地隔离物联网设备和/或可能需要用户手动为每个物联网设备创建策略。
[0020]上述传统系统存在各种缺点。例如,为越来越多的物联网设备中的每一个手动创建策略会在时间和资源方面呈现出大量的低效率。此外,物联网设备的隔离限制了互连网络的灵活性和价值,(即,允许物联网设备与网络的适当区域连接是有好处的。)因此,需要
一种允许集成同时保持安全性的系统。
[0021]现在参考图1,其中示出了用于动态识别物联网端点和为物联网端点应用策略的系统100。系统100可以包括企业交换机110(其可以包括虚拟机120)、身份服务引擎(ISE)130、物联网交换机140和与协议150相关联的物联网端点160,所有这些都与网络180相关联。多个物联网端点统称为160,并且被分别标记为162、164、166和168。系统100可以包括任意数量的物联网端点160以及与端点160相关联的任意数量的协议150。
[0022]企业交换机110可以是可编程的并且允许软件定义联网的高性能、高密度交换机。在一些实施例中,企业交换机110可以包括为企业交换机110提供识别物联网端点160的智能能力的虚拟机120。应当理解,元件120不限于实际的虚拟机,而是可以包括处理器、模本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,包括:一个或多个处理器;和一个或多个计算机可读非暂态存储介质,耦合到所述一个或多个处理器并且包括指令,所述指令当由所述一个或多个处理器执行时使一个或多个交换机执行操作,所述操作包括:使用与第一端点相关联的协议来识别所述第一端点;基于所述第一端点的一个或多个属性,确定所识别出的所述第一端点的分类;识别与所述第一端点具有共同的分类的一个或多个相关端点;对所述第一端点与所识别出的所述一个或多个相关端点进行网段划分;以及将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点。2.根据权利要求1所述的系统,所述操作还包括:应用策略以将所述第一端点与所识别出的所述一个或多个相关端点进行通信地连接。3.根据权利要求1或2所述的系统,其中所述一个或多个交换机包括虚拟机,并且其中所述虚拟机能够执行所述操作,包括使用与所述第一端点相关联的协议来识别所述第一端点以及识别与所述第一端点具有共同的分类的所述一个或多个相关端点。4.根据权利要求1至3中任一项所述的系统,所述操作还包括:为所述第一端点和所识别出的所述一个或多个相关端点创建安全网络覆盖。5.根据权利要求4所述的系统,所述操作还包括:跨所述安全网络覆盖对所述第一端点实施网络策略。6.根据权利要求1至5中任一项所述的系统,所述操作还包括:将所述第一端点和所识别出的所述一个或多个相关端点集成在软件定义广域网(SD
‑
WAN)中。7.根据权利要求1至6中任一项所述的系统,所述操作还包括:跨一个或多个云扩展应用于所述第一端点和所述一个或多个相关端点的所述一个或多个策略。8.一种方法,包括:通过一个或多个交换机使用与第一端点相关联的协议来识别所述第一端点;基于所述第一端点的一个或多个属性,确定所识别出的第一端点的分类;以及通过一个或多个交换机识别与所述第一端点具有共同的分类的一个或多个相关端点;对所述第一端点与所识别出的一个或多个相关端点进行划分网段;以及将一个或多个策略应用于被进行了网段划分的所述第一端点和所述一个或多个相关端点。9.根据权利要求8所述的方法,还包括:应用策略以将所述第一端点与所识别出的一个或多个相关端点进行通信地连接。10.根据权利要求8或9所述的方法,还包括:从多个端点收集遥测数据,其中所述多个端点包括所述第一端点、所述一个或多个相关端点、以及与所述第一端点不具有共同的分类的一个或多个不相关端点;以及将所述遥测数据中指示网段的性能的子集划分成组,其中所述遥测数据的所述子集包
括与所述第一端点相关联的遥测数据和与所述一个或多个相关端点相关联的遥测数据,并且排除了与所述不相关端点相关联的遥测数据。11.根据权利要求8至10中任一项所述的方法,还包括:为所述第一端点和所识别出的所述一个...
【专利技术属性】
技术研发人员:巴拉吉,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。