System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
【国外来华专利技术】
本公开概括而言涉及针对虚拟网络(virtual network,vn)/虚拟路由和转发(virtual routing and forwarding,vrf)/虚拟公共网络标识(virtual public networkidentification,vpn id)间的引导策略,在入口处动态地解析vn/vrf/vpn id中的服务的群组标签,更具体而言涉及针对vn/vrf/vpn id间的引导策略,在入口处动态地解析vn/vrf/vpn id中的诸如防火墙之类的安全性服务的安全性源群组标签和安全性目的地群组标签。
技术介绍
1、在网络中将联网和安全性集成在一起的情形中,安全性标签(例如,安全性源群组标签和安全性目的地群组标签)可用于分类和提供用于分段的策略施行以及安全性策略施行以在网络中引导流量。例如,群组标签可用于将流量引导到防火墙。然而,对用于将流量引导到防火墙的标签的使用一般限于在特定虚拟网络/vrf/vpn id内使用。换言之,当源和目的地在同一虚拟网络/vrf/vpn id内时,对群组标签的使用一般用于引导流量。这种限制是由于互联网协议-安全性群组标签(ip-sgt)绑定被存储在转发上下文内这个事实而发生的。这种安排一般适用于访问控制策略,但不适用于防火墙插入,因为用户一般希望基于群组策略而不是内联插入模式而转向防火墙插入。从而,用户将会希望在虚拟网络/vrf防火墙插入过程中维持用例的防火墙支持,但仍以流量引导策略为基础。具体地,用户并不关心源主机或目的地主机是否在同一虚拟网络内,或者目的地主机是否跨虚拟网络/vrf,
技术实现思路
0、概述
1、在独立权利要求中记载了本专利技术的各方面并且在从属权利要求中记载了优选特征。一个方面的特征可被单独应用到每个方面,或者与其他方面组合应用。
2、本公开内容描述了用于跨不同的虚拟网络/vrf/vpn id(在此统称为虚拟网络)提供服务(例如,诸如防火墙之类的安全性服务)的技术和体系结构。这些技术和体系结构通过修改基于拉取的覆盖协议,例如定位符/标识符分离协议(locator/identifierseparation protocol,lisp)、边界网关协议以太网虚拟专用网络(border gatewayprotocol ethernet virtual private network,bgp evpn),等等,提供对企业计算架构的修改。映射请求携带附加信息,以指示映射服务器,即使对于防火墙服务插入,在映射服务器自己的虚拟网络/vrf内映射(目的地前缀和目的地的防火墙服务rloc)是已知的,映射服务器仍应当跨虚拟网络/vrf进行查找,并且发现最终目的地的dgt(目的地群组标签),并且将其包括在映射答复中。
3、具体地,第一虚拟网络的边界被配置为服务etr。在配置中,网络控制器将边界配置为监视经由服务在第一虚拟网络以及第二虚拟网络中通告的服务前缀,例如跨两个虚拟网络。服务在第一虚拟网络和第二虚拟网络中通告服务前缀。例如,服务可以是诸如防火墙之类的安全性服务。防火墙可在第一虚拟网络和第二虚拟网络中通告其服务前缀,指示出防火墙可处理发源于第一虚拟网络和第二虚拟网络中的流量。边界向第一虚拟网络中的映射服务器/映射解析器(map server/map resolver,msmr)注册为服务的服务etr。
4、第一主机,例如,源主机,位于第一虚拟网络中的交换机后面。第二主机,例如,目的地主机,位于第二虚拟网络中的交换机后面。第一主机希望与第二主机通信。由于控制器已将第一虚拟网络的边界配置为服务etr,这表明边界有位于边界后面的服务。服务etr用于应用服务。在一些情形中,边界通常是默认etr。然而,在如本文所述的配置中,边界向msmr注册自己,指出服务位于边界后面,并且可以为第一虚拟网络和第二虚拟网络提供服务。从而,对于第一虚拟网络和第二虚拟网络两者,对于服务,例如,防火墙,边界向msmr注册自己作为服务etr。
5、如前所述,服务(例如,防火墙)会在第一虚拟网络和第二虚拟网络两者中通告其服务前缀。从而,服务就指示出它可以处理发源自第一虚拟网络和第二虚拟网络的流量。因此,发源自第一主机和第二主机的流量都可以由该服务处理。将边界注册为服务的服务etr是一种特殊注册。换言之,对于发源自第一主机和第二主机的流量,边界都注册其为该服务的服务etr。
6、在配置中,在第一主机(例如,源主机)入网后,第一主机会向msmr指示出它处于第一虚拟网络中。在入网和与msmr通信期间,第一主机向msmr提供其安全性群组,并且向msmr请求“我的防火墙在哪里?”从而,msmr向第一主机指示出,第一主机的防火墙是边界为服务etr的防火墙,例如,第一虚拟网络内的防火墙。msmr现在知道,来自第一主机的流量需要去到第一虚拟网络中的防火墙和第一虚拟网络的边界。
7、当第一主机生成流量以发送到第二虚拟网络中的第二主机时,流量到达第一主机位于其后的第一网络的交换机。第一交换机针对第二虚拟网络中的目的地主机(例如,第二主机)向msmr发出映射请求,例如对引导策略的解析的请求。msmr向交换机提供答复。该答复包括引导策略,该策略一般指示出是否允许第一主机与第二主机通信。基于第一主机的安全性群组标签,msmr也会答复以指导策略,该策略指示出防火墙服务的服务etr(例如,边界),以及来自第一主机、目的地为第二主机的流量需要被转发到防火墙服务。如果msmr路由映射(例如,引导策略)指示出,基于目的地路由定位符(routing locator,rloc)、目的地id、源群组标签和/或目的地群组标签中的一个或多个,流量不需要被转发到防火墙服务,那么第一网络的交换机可以将流量直接转发到第二网络的交换机,然后该交换机可以将流量转发到第二主机。然而,如果来自msmr的路由映射指示出流量需要被转发到防火墙服务,那么来自第一主机的流量就被第一交换机封装,该第一交换机将封装后的流量转发到边界,例如服务etr。边界对流量进行解封装,并且将流量发送到防火墙服务。如果防火墙服务允许流量被转发到第二主机,那么防火墙服务将流量转发回边界,边界则将流量封装并且将流量发送到第二虚拟网络的第二交换机。然后,第二交换机对流量进行解封装并且将流量发送到第二主机。在一些情形中,第二虚拟网络内的目的地是未知的。从而,msmr可指示流量经由边界被转发到互联网。
8、在配置中,防火墙服务可撤销其服务,例如,对于主机之间的流量,撤销与防火墙服务相关联的路由。在这种情况中,边界可能会向msmr取消注册为防火墙服务的服务etr。然后可能需要使用不同的防火墙,例如,第一虚拟网络中的第二防火墙服务或第二虚拟网络内的防火墙服务,并且将相应的边界注册为新防火墙服务的服务etr。
9、作为示例,一种方法可包括将第一虚拟网络本文档来自技高网...
【技术保护点】
1.一种网络内的方法,包括:
2.如权利要求1所述的方法,其中:
3.如权利要求1或2所述的方法,其中,所述边界向所述第一VN的MSMR映射所述服务ETR的注册包括在源实例注册表中存储所述服务ETR。
4.如权利要求1至3中的任一项所述的方法,其中,向所述第一VN的MSMR映射所述服务ETR的注册包括在服务插入表中存储所述服务ETR。
5.如权利要求1至4中的任一项所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
6.如权利要求5所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定针对所述服务ETR对所述引导策略的解析包括:
7.如权利要求1至6中的任一项所述的方法,其中,为来自所述第一主机、目的地为所述第二主机的流量确定所述引导策略包括:
8.如权利要求1至7中的任一项所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
9.如权利要求1至8中的任一项所述的方法,还包括:
10.
11.如权利要求10所述的系统,其中:
12.如权利要求10或11所述的系统,其中,映射所述服务ETR的注册包括将所述服务ETR存储在服务实例注册表中。
13.如权利要求10至12中的任一项所述的系统,其中,映射所述服务ETR的注册包括将所述服务ETR存储在服务插入表中。
14.如权利要求10至1 3中的任一项所述的系统,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
15.如权利要求14所述的系统,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
16.如权利要求10至15中的任一项所述的系统,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
17.如权利要求10至16中的任一项所述的系统,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
18.如权利要求10至17中的任一项所述的系统,还包括:
19.一种方法,包括:
20.如权利要求19所述的方法,其中,确定(i)允许所述第一主机和位于所述第二VN中的所述第二主机与彼此通信以及(ii)应当将来自所述第一主机的、目的地为所述第二主机的流量路由到所述服务包括:
21.一种网络内的装置,包括:
22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至9中的任一项所述的方法的装置。
23.一种装置,包括:
24.根据权利要求23所述的装置,还包括用于实现根据权利要求20所述的方法的装置。
25.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当被计算机执行时,使得所述计算机执行如权利要求1至9、19或20中的任一项所述的方法的步骤。
...【技术特征摘要】
【国外来华专利技术】
1.一种网络内的方法,包括:
2.如权利要求1所述的方法,其中:
3.如权利要求1或2所述的方法,其中,所述边界向所述第一vn的msmr映射所述服务etr的注册包括在源实例注册表中存储所述服务etr。
4.如权利要求1至3中的任一项所述的方法,其中,向所述第一vn的msmr映射所述服务etr的注册包括在服务插入表中存储所述服务etr。
5.如权利要求1至4中的任一项所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
6.如权利要求5所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定针对所述服务etr对所述引导策略的解析包括:
7.如权利要求1至6中的任一项所述的方法,其中,为来自所述第一主机、目的地为所述第二主机的流量确定所述引导策略包括:
8.如权利要求1至7中的任一项所述的方法,其中,为来自所述第一主机的、目的地为所述第二主机的流量确定所述引导策略包括:
9.如权利要求1至8中的任一项所述的方法,还包括:
10.一种系统,包括:
11.如权利要求10所述的系统,其中:
12.如权利要求10或11所述的系统,其中,映射所述服务etr的注册包括将所述服务etr存储在服务实例注册表中。
13.如权利要求10至12中的任一项所述的系统,其中,映射所述服务etr的注册包括将所述服务etr存储在服务插入表...
【专利技术属性】
技术研发人员:桑杰·库玛尔·昊达,普拉卡什·C·贾恩,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。