为基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中制造技术

本公开的实施例涉及针对基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中。系统确定与交换机相关联的第一源MAC。该系统通过将第一源MAC映射到第一标签来更新MAC地址表，第一标签指示与网络基础设施相对应的源角色。与交换机相关联的处理器生成指示第一源MAC的第一分组。该系统基于所指示的第一源MAC在MAC地址表中执行第一搜索以获得第一标签，并且基于第一标签在策略表中执行第二搜索以获得指示要应用于第一分组的动作的策略。如果第二搜索不成功，则该系统通过添加第一标签来修改第一分组的报头。如果第二搜索成功，则该系统确定所指示的动作包括允许第一分组并传输第一分组。许第一分组并传输第一分组。许第一分组并传输第一分组。

【技术实现步骤摘要】
为基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中


[0001]本公开大体上涉及数据管理领域。更具体地，本公开涉及促进针对基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中的方法和系统。
附图说明
[0002]图1图示了根据本申请的一方面的促进基于源角色的策略实施的网络；
[0003]图2A呈现了图示根据现有技术的描绘使用适当标签的封装的方法的流程图；
[0004]图2B呈现了图示根据现有技术的描绘使用适当标签的封装的方法的流程图；
[0005]图3呈现了图示根据本申请的一方面的促进对CPU生成的分组的处理的方法的流程图；
[0006]图4A呈现了图示根据本申请的一方面的促进对CPU重新转发的分组的处理的方法的流程图；
[0007]图4B呈现了图示根据本申请的一方面的促进对CPU重新转发的分组的处理的方法的流程图；
[0008]图5图示了根据本申请的一方面的促进对CPU生成的分组和CPU重新转发的分组的策略实施的计算机系统；以及
[0009]图6图示了根据本申请的一方面的促进对CPU生成的分组和CPU重新转发的分组的策略实施的装置。
[0010]在附图中，相同的附图标记指代相同的附图元素。
具体实施方式
[0011]以下描述被呈现以使得本领域任何技术人员能够制作和使用这些方面和示例，并且在特定应用及其要求的上下文中被提供。对于本领域技术人员而言，对所公开的方面的各种修改将是容易清楚明白的，并且本文中所定义的一般原理可以应用于其他方面和应用而不背离本公开的精神和范围。因此，本文中所描述的方面不限于所示出的方面，而是应当被基于与本文中所公开的原理和特征一致的最广泛的范围。
[0012]互联网是在物理和虚拟设备上运行的各种应用的递送媒介。这些应用带来了不断增长的业务需求。因此，设备供应商继续构建具有多种功能的交换机。例如，网络分段可以用于隔离用户业务并减小网络中的广播域。传统上，虚拟局域网(VLAN)已用于在L2对网络业务进行分段，而IP子域已用于在L3对网络业务进行分段。传统的边缘网络分段可能面临一些挑战，诸如：传统有线和无线基础设施的集成；网络中不断增加的移动设备数目；以及大量物联网(IoT)设备的部署。此外，在扩展网络时，支持具有不同访问要求和威胁感知级别的大量设备以及使用互联网协议(IP)子网和访问控制列表(ACL)的传统手动和静态配置可能具有挑战性。
[0013]基于组的策略(GBP)可以为动态网络分段提供解决方案。GBP可以允许网络管理员
配置策略，该策略定义跨用户角色或在用户角色内允许的业务模式。GBP可以被配置为一对源角色与目的地角色之间的策略，并且可以帮助进行微分段(在同一子网中)和宏分段(跨不同子网)。该系统可以在入口节点处对分组的发送方进行分析，并且使用传输封装来携带分析信息。该信息可以使用标识符进行编码，该标识符可以被称为“GBP标签”或“组安全标签”。来自不在安全端口上(或者未通过认证过程)的客户端的业务可能被赋予默认标签。为了控制对安全网络资源的访问，该系统可以使用更严格的策略来针对包括默认标签的分组定义访问权限。
[0014]然而，交换机的控制平面(例如，经由处理器或中央处理单元(CPU))可以生成网络基础设施分组，并且这些分组的递送对于网络的正常运行或故障排除可能是很重要的。由于这些分组没有与之关联的源角色，因此将这些网络基础设施分组与来自非安全端口上的客户端的分组区分开来可能具有挑战性。所描述的方面通过使用将分组标识为基础设施分组(例如，与特定源角色相关联)的保留标签来解决这个问题。网络管理员或系统可以针对保留标签(或者特定源角色)配置对应的策略，该策略可以为网络基础设施分组提供必要或必需级别的访问权限。这些网络基础设施分组也可以被称为“CPU生成的分组”。下面关于图3描述在CPU生成的分组中创建和使用保留标签的示例。
[0015]对于被安全协议监听(例如，复制到CPU并丢弃)的分组，可能存在类似的问题。当系统将这些监听的分组复制到CPU时，这些分组可能丢失它们的标签。如果CPU随后重新转发这些分组，该系统可以将这些重新转发的分组视为来自非安全端口，因此可以为这些分组指派限制性默认标签。这可能导致系统以不同于最初预期的方式处理该分组(即，基于发送方的角色或源角色)。所描述的方面通过保存这样的分组的标签来解决该问题，这些分组也可以被称为“CPU重新转发的分组”。下面关于图4A和图4B描述在CPU重新转发的分组中保存标签的示例。
[0016]因此，所描述的方面提供了用于在CPU生成的分组中创建和使用保留标签以及用于在CPU重新转发的分组中保存标签的方法和系统，其允许系统使用GBP来动态分段网络业务。
[0017]在本公开中，术语“交换机”在一般意义上使用，并且它可以指代在任何网络层中操作的任何独立或结构交换机。“交换机”不应当被解释为将本专利技术的方面限制于层2网络。可以将业务转发到外部设备或其他交换机的任何设备都可以被称为“交换机”。可以将业务转发到终端设备的任何物理或虚拟设备(例如，在计算设备上运行的虚拟机或交换机)都可以被称为“交换机”。“交换机”的示例包括但不限于层2交换机、层3路由器、路由交换机、Gen
‑
Z网络的组件、或结构交换机，包括多个相似或异构的较小的物理和/或虚拟交换机。
[0018]术语“分组”是指可以通过网络一起传输的一组比特。“分组”不应当被解释为将本专利技术的方面限制为层3网络。“分组”可以替换为指代一组比特的其他术语，诸如“消息”、“帧”、“信元”、“数据报”或“事务”。此外，术语“端口”可以是指可以接收或传输数据的端口。“端口”还可以是指能够促进该端口的操作的硬件、软件和/或固件逻辑。
[0019]覆盖拓扑中的策略实施
[0020]交换机可以支持不同的协议和服务。例如，交换机可以支持隧道和虚拟专用网络(VPN)。因此，交换机可以促进VPN在隧道之上的覆盖路由。例如，以太网VPN(EVPN)可以部署为一组虚拟可扩展局域网(VXLAN)上的覆盖。
[0021]为了在隧道之上部署VPN，相应隧道端点可以将相应客户端虚拟局域网(VLAN)映射到对应的隧道网络标识符(TNI)，该TNI可以标识针对隧道的虚拟网络。TNI可以出现在封装分组的隧道报头中，并且用于经由隧道转发经封装的分组。例如，如果隧道是基于VXLAN而形成的，则TNI可以是VXLAN报头的虚拟网络标识符(VNI)，并且隧道端点可以是VXLAN隧道端点(VTEP)。如果需要层3路由和转发，则TNI也可以映射到与隧道相关联的虚拟路由和转发(VRF)。
[0022]VPN可以部署在形成在网络的骨干(或者非接入)交换机之间的隧道之上。例如，如果网络包括核心交换机、汇聚交换机和接入交换机，则网络的核心交换机和汇聚交换机可以被称为骨干交换机。骨干交换机之间的一组隧道可以形成覆盖隧道结构。换言之，隧道结构的骨干交换机可以作为隧道端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机实现的方法，包括：确定与交换机相关联的第一源媒体访问控制地址MAC；通过将所述第一源MAC映射到第一标签来更新MAC地址表，所述第一标签指示对应于与所述交换机相关联的网络基础设施的源角色；由与所述交换机相关联的处理器生成指示所述第一源MAC的第一分组；基于所指示的所述第一源MAC，在所述MAC地址表中执行第一搜索以获得所述第一标签；基于所述第一标签在策略表中执行第二搜索以获取基于组的策略，所述基于组的策略指示要应用于所述第一分组的动作；响应于确定所述第二搜索不成功，通过将所述第一标签添加到所述第一分组的报头来修改所述报头；响应于确定所述第二搜索成功，确定所指示的要应用动作包括允许所述第一分组；以及传输所述第一分组。2.根据权利要求1所述的方法，还包括：响应于确定所述第二搜索成功：确定所指示的要应用动作包括丢弃所述第一分组；以及避免传输所述第一分组。3.根据权利要求1所述的方法，还包括：确定要由所述处理器检查的第二分组；由所述处理器接收所述第二分组；确定所述第二分组是通过虚拟可扩展局域网VXLAN接收的；从所述第二分组的报头，检索第二标签，所述第二标签指示与所述第二分组的发送方相对应的源角色；对所述第二分组进行解封装以获得以太网报头；从所述以太网报头，获得与所述第二分组的所述发送方相关联的第二源MAC；以及响应于确定所述第二源MAC存在于高速缓存中：确定与所述高速缓存中的所述第二源MAC相关联的高速缓存标签；确定所述高速缓存标签与所述第二标签不匹配；通过将所述第二源SMAC映射到所述第二标签来更新所述高速缓存；通过将所述第二源MAC映射到所述第二标签来更新所述MAC地址表；以及向控制平面守护程序传输所述第二分组以用于处理。4.根据权利要求3所述的方法，还包括：响应于确定所述高速缓存标签与所述第二标签相匹配，向所述控制平面守护程序传输所述第二分组以用于处理。5.根据权利要求3所述的方法，还包括：响应于确定所述第二源MAC不存在于所述高速缓存中：通过将所述第二源MAC映射到所述第二标签来更新所述高速缓存；通过将所述第二源MAC映射到所述第二标签来更新所述MAC地址表；以及
向所述控制平面守护程序传输所述第二分组以用于处理。6.根据权利要求3所述的方法，其中所述高速缓存与所述处理器相关联，并且其中所述MAC地址表被存储在与所述交换机相关联的专用集成电路ASIC中。7.根据权利要求3所述的方法，还包括：经由入口管线，接收与第三源MAC相关联的第三分组；基于所述第三源MAC，在所述MAC地址表中执行第三搜索以获得指示源角色的第三标签，其中所述第三标签包括所述第一标签和所述第二标签中的至少一个标签；通过基于所述MAC地址表和主机查找中的至少一项执行搜索来确定与所述第三分组相关联的目的地角色；以及基于所述源角色、所述目的地角色、以及所述第三分组的签名在所述策略表中执行第四搜索以获取基于组的策略，所述基于组的策略指示要应用于所述第三分组的动作。8.根据权利要求1所述的方法，其中与所述交换机相关联的所述第一源MAC包括以下项中的至少一项：所述交换机的系统MAC；以及与所述交换机相关联的虚拟MAC。9.一种计算机系统，包括：处理器；以及存储器，耦接到所述处理器并存储指令，所述指令在由所述处理器执行时使所述处理器执行方法，所述方法包括：确定与交换机相关联的第一源媒体访问控制地址MAC；通过将所述第一源MAC映射到第一标签来更新MAC地址表，所述第一标签指示对应于与所述交换机相关联的网络基础设施的源角色；由与所述交换机相关联的处理器生成指示所述第一源MAC的第一分组；基于所指示的所述第一源MAC，在所述MAC地址表中执行第一搜索以获得所述第一标签；基于所述第一标签在策略表中执行第二搜索以获取基于组的策略，所述基于组的策略指示要应用于所述第一分组的动作；响应于确定所述第二搜索不成功，通过将所述第一标签添加到所述第一分组的报头来修改所述报头；响应于确定所述第二搜索成功，确定所指示的要应用动作包括允许所述第一分组；以及传输所述第一分组。10.根据权利要求9所述的计算机系统，其中所述方法还包括：响应于确定所述第二搜索成功：确定所指示的要应用动作包括丢弃所述第一分组；以及避免传输所述第一分组。11.根据权利要求9所述的计算机系统，其中所述方法还包括：确定要由所述处理器检查的第二分组；
由所述处理器接收所述第二分组；确定所述第二分组是通过虚拟可扩展局域网VXLAN接收的；从所述第二分组的报头，检索第二标签，所述第二标签指示与所述第二分组的发送方相对应的源角色；对所述第二分组解封装以获得以太网报头；从所述以太网报头，...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：