【技术实现步骤摘要】
为基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中
[0001]本公开大体上涉及数据管理领域。更具体地,本公开涉及促进针对基础设施业务指派安全组标签并将安全组标签保存在动态分段中的监听分组中的方法和系统。
附图说明
[0002]图1图示了根据本申请的一方面的促进基于源角色的策略实施的网络;
[0003]图2A呈现了图示根据现有技术的描绘使用适当标签的封装的方法的流程图;
[0004]图2B呈现了图示根据现有技术的描绘使用适当标签的封装的方法的流程图;
[0005]图3呈现了图示根据本申请的一方面的促进对CPU生成的分组的处理的方法的流程图;
[0006]图4A呈现了图示根据本申请的一方面的促进对CPU重新转发的分组的处理的方法的流程图;
[0007]图4B呈现了图示根据本申请的一方面的促进对CPU重新转发的分组的处理的方法的流程图;
[0008]图5图示了根据本申请的一方面的促进对CPU生成的分组和CPU重新转发的分组的策略实施的计算机系统;以及
[0009]图6图示了根据本申请的一方面的促进对CPU生成的分组和CPU重新转发的分组的策略实施的装置。
[0010]在附图中,相同的附图标记指代相同的附图元素。
具体实施方式
[0011]以下描述被呈现以使得本领域任何技术人员能够制作和使用这些方面和示例,并且在特定应用及其要求的上下文中被提供。对于本领域技术人员而言,对所公开的方面的各种修改将是容易清楚明白的,并且本文中所 ...
【技术保护点】
【技术特征摘要】
1.一种计算机实现的方法,包括:确定与交换机相关联的第一源媒体访问控制地址MAC;通过将所述第一源MAC映射到第一标签来更新MAC地址表,所述第一标签指示对应于与所述交换机相关联的网络基础设施的源角色;由与所述交换机相关联的处理器生成指示所述第一源MAC的第一分组;基于所指示的所述第一源MAC,在所述MAC地址表中执行第一搜索以获得所述第一标签;基于所述第一标签在策略表中执行第二搜索以获取基于组的策略,所述基于组的策略指示要应用于所述第一分组的动作;响应于确定所述第二搜索不成功,通过将所述第一标签添加到所述第一分组的报头来修改所述报头;响应于确定所述第二搜索成功,确定所指示的要应用动作包括允许所述第一分组;以及传输所述第一分组。2.根据权利要求1所述的方法,还包括:响应于确定所述第二搜索成功:确定所指示的要应用动作包括丢弃所述第一分组;以及避免传输所述第一分组。3.根据权利要求1所述的方法,还包括:确定要由所述处理器检查的第二分组;由所述处理器接收所述第二分组;确定所述第二分组是通过虚拟可扩展局域网VXLAN接收的;从所述第二分组的报头,检索第二标签,所述第二标签指示与所述第二分组的发送方相对应的源角色;对所述第二分组进行解封装以获得以太网报头;从所述以太网报头,获得与所述第二分组的所述发送方相关联的第二源MAC;以及响应于确定所述第二源MAC存在于高速缓存中:确定与所述高速缓存中的所述第二源MAC相关联的高速缓存标签;确定所述高速缓存标签与所述第二标签不匹配;通过将所述第二源SMAC映射到所述第二标签来更新所述高速缓存;通过将所述第二源MAC映射到所述第二标签来更新所述MAC地址表;以及向控制平面守护程序传输所述第二分组以用于处理。4.根据权利要求3所述的方法,还包括:响应于确定所述高速缓存标签与所述第二标签相匹配,向所述控制平面守护程序传输所述第二分组以用于处理。5.根据权利要求3所述的方法,还包括:响应于确定所述第二源MAC不存在于所述高速缓存中:通过将所述第二源MAC映射到所述第二标签来更新所述高速缓存;通过将所述第二源MAC映射到所述第二标签来更新所述MAC地址表;以及
向所述控制平面守护程序传输所述第二分组以用于处理。6.根据权利要求3所述的方法,其中所述高速缓存与所述处理器相关联,并且其中所述MAC地址表被存储在与所述交换机相关联的专用集成电路ASIC中。7.根据权利要求3所述的方法,还包括:经由入口管线,接收与第三源MAC相关联的第三分组;基于所述第三源MAC,在所述MAC地址表中执行第三搜索以获得指示源角色的第三标签,其中所述第三标签包括所述第一标签和所述第二标签中的至少一个标签;通过基于所述MAC地址表和主机查找中的至少一项执行搜索来确定与所述第三分组相关联的目的地角色;以及基于所述源角色、所述目的地角色、以及所述第三分组的签名在所述策略表中执行第四搜索以获取基于组的策略,所述基于组的策略指示要应用于所述第三分组的动作。8.根据权利要求1所述的方法,其中与所述交换机相关联的所述第一源MAC包括以下项中的至少一项:所述交换机的系统MAC;以及与所述交换机相关联的虚拟MAC。9.一种计算机系统,包括:处理器;以及存储器,耦接到所述处理器并存储指令,所述指令在由所述处理器执行时使所述处理器执行方法,所述方法包括:确定与交换机相关联的第一源媒体访问控制地址MAC;通过将所述第一源MAC映射到第一标签来更新MAC地址表,所述第一标签指示对应于与所述交换机相关联的网络基础设施的源角色;由与所述交换机相关联的处理器生成指示所述第一源MAC的第一分组;基于所指示的所述第一源MAC,在所述MAC地址表中执行第一搜索以获得所述第一标签;基于所述第一标签在策略表中执行第二搜索以获取基于组的策略,所述基于组的策略指示要应用于所述第一分组的动作;响应于确定所述第二搜索不成功,通过将所述第一标签添加到所述第一分组的报头来修改所述报头;响应于确定所述第二搜索成功,确定所指示的要应用动作包括允许所述第一分组;以及传输所述第一分组。10.根据权利要求9所述的计算机系统,其中所述方法还包括:响应于确定所述第二搜索成功:确定所指示的要应用动作包括丢弃所述第一分组;以及避免传输所述第一分组。11.根据权利要求9所述的计算机系统,其中所述方法还包括:确定要由所述处理器检查的第二分组;
由所述处理器接收所述第二分组;确定所述第二分组是通过虚拟可扩展局域网VXLAN接收的;从所述第二分组的报头,检索第二标签,所述第二标签指示与所述第二分组的发送方相对应的源角色;对所述第二分组解封装以获得以太网报头;从所述以太网报头,...
【专利技术属性】
技术研发人员:R,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。