公开了用于基于定义和应用高级管理意图提供动态网络配置和管理的
方法和系统,包括:检索与网络中的一个或多个逻辑群相关联的一个或多
个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个
或多个逻辑群关联到各个网络群标识符,并且生成与一个或多个网络群标
识符相关联的网络群列表。
【技术实现步骤摘要】
【国外来华专利技术】
本PCT申请要求2006年9月5日提交的美国专利申请第11/470,240 号的优先权,并且通过引用将其结合于此。
技术介绍
大的网络维护通常是一个正在进行的、易出错且艰难的过程,其中, 网络中的改变要求跨越支持该网络的装置的实质性计划和庞大配置方面的 改变。这样的改变的示例包括但不限于将新的硬件或软件、新的主机或用 户添加到网络,或者类似地,包括与主机和/或用户离开网络相关联的网络 改变。实际上,随着网络规模和复杂度的增加,越来越难以配置和维护管理 数据网络的交换机、路由器和其它网络装置。网络管理员必须不仅要考虑 网络是怎样设计的和网络的配置,而且要考虑支持该网络的装置彼此是怎 样进行交互(interact)的。用于网络中的交换机端口分析器(SPAN)会话的建立的现有方法一 般在功能上受到限制,这是因为它们被实现为网络的附加件(add-ons)。 SPAN会话是目的接口与一组源接口的关联,并且被用于网络流量监控。 例如, 一种方法包括通过侦听分组对网络装置上的配置文件进行检査。 这种方法的局限在于网络装置上的配置文件不是最初配置该网络的管理员 的技术诀窍的替代。尽管网络装置中的配置文件提供了网络配置的特性, 但是它们通常并不提供网络中的配置特性背后的原因。因此,在没有完全 理解网络装置的配置特性背后的原因的情况下,网络的任何重新配置都可 能不会产生正确的或最优的配置。并且,就网络配置随时间改变的挑战而言,网络附加件可能不会被配 置成完全被结合到网络中的每一个网络装置中,因此该网络附加件不能在用户和主机在网络内迁移进而改变网络拓扑时可靠地跟踪它们。并且,由 于用户或用户群的动态特性,即,用户能够在网络中从一个机器迁移到另 一个机器,而主机能够从一个端口迁移到另一个端口,所以,现有方法不 能跟踪用户或用户群。鉴于以上所述,期望有用于基于动态定义与网络策略相关联的一个或 多个意图并且动态地将它们应用于一个或多个网络实体的数据网络监控和 管理的方法和系统。附图说明图1A是用于实施本专利技术一个或多个实施例的整体数据网络的框图; 图1B是用于实施本专利技术一个或多个实施例的图1A的数据网络中的网络装置的框图2是示出本专利技术一个实施例中的图1A的数据网络100中的逻辑群 层次结构的框图3是示出本专利技术一个实施例中的与中央控制器单元110相关联的逻 辑群层次结构数据库配置的框图4是示出根据本专利技术一个实施例的基于意图的网络配置和管理的流 程图5是示出根据本专利技术一个实施例的基于意图的网络配置和管理的流 程图;以及图6是示出本专利技术一个实施例中的由支持交换插件(switchware capable)的装置执行的基于意图的网络配置和管理的流程图。具体实施例方式图1A是耦合到中央控制器的整体数据网络的框图,并且图1B是用于 实施本专利技术一个或多个实施例的图1A的数据网络中的网络装置的框图。 参考图1A至图1B,提供了一种有效地耦合到数据网络100的中央控制器 单元110。在一个实施例中,数据网络100可以包括一个或多个局域网 (LAN)或广域网(WAN),所述局域网或广域网被有效地耦合到中央控制器单元110并且受到该中央控制器单元的配置控制。参考图1B, 一个实施例中的网络装置120包括有效地耦合到处理单 元120C的存储单元120B。在一个方面,处理单元120C可以包括一个或 多个微处理器,所述微处理器用于检索和/或存储来自存储单元120A的数 据,并且进一步地,用于执行例如被存储在存储单元120A中的指令,用 于实现一个或多个相关联的功能。还参考图1B,在一个方面,网络装置 120还设有网络接口 120D,网络接口 120D被有效地耦合到端口 120A并 且可以被配置为与数据网络100 (图1A)中的其它网络装置或客户终端 以及中央控制器单元110接口。在一个实施例中,如以下将要进一步详细描述的,网络装置120的存 储器或存储单元120B可以被配置为存储这样的指令该指令可以由处理 单元120C执行,以执行与以下所详细描述的基于动态地定义和应用与网 络策略相关联的一个或多个意图的数据监控和管理的一个或多个实施例相 关联的一个或多个功能。还参考图1B,尽管示出了网络装置120具有一个存储单元120B、 一 个处理单元120C、 一个网络接口 120D和一个端口 120A,但是在本专利技术 的范围以内,网络装置120可以设有多个存储单元(例如,包括只读存储 器、随机存取存储器等的多个存储装置)、多个处理单元(诸如,例如分 别具有一个或多个专用功能的多个微处理器)和被有效地耦合到图1A中 所示的数据网络100的一个或多个其它网络装置和客户装置的附加网络接 口和端口。更具体而言,在一个实施例中,中央控制器单元iio可以被配置为完 全控制数据网络100内的网络装置(例如,图1B中所示的网络装置120 或多个这样的网络装置120)——即,支持网络100的网络装置。例如, 一个实施例中的中央控制器单元110可以负责VLAN中继协议(VTP)的 配置,VLAN中继协议是用来规定数据网络IOO中的物理网络上的每个逻 辑网络(VLAN)的覆盖的机制。还参考图1A至图1B,在一个实施例中,网络装置120的端口 120A 以及连接到端口 120A的客户或用户终端可以以树型数据结构表示。实际上,可以产生层次结构的物理群树来表示网络拓扑。并且,物理群树中的 节点可以被配置为表示诸如位置、装置、属性之类的抽象概念,其中,节点映射到网络ioo中的装置的物理端口。 一个实施例中的逻辑群树可以表示诸如用户种类和装置种类之类的客户端群,其中,逻辑群树中的节点映 射到客户端。图2是示出本专利技术一个实施例中的图1A的数据网络100中的逻辑群 层次结构的框图。参考该图,在默认群210下,有3个逻辑群,包括雇 员群220、经理(contractor)群230和各种装置240。并且,这些群中的 每一个群又包括另外的成员。例如,人力资源221和工程师222是雇员群 220的成员,而经理1 231和经理2 232是经理群230的成员。此外,从图 2可以看出,嗅探器241和打印机242是各种装置240群的成员。此外, 还可以看出,嗅探器241还包括几个成员,包括嗅探器1 241A和嗅探 器2 241B。以这种方式,在本专利技术的一个实施例中,每个网络装置、用户、客户 终端或主机都可以根据网络级配置(例如,根据高级意图)而被映射到层 次结构和逻辑群中。并且,在本专利技术的范围内,中央控制器单元110可以 被配置为监控作为逻辑群的受监控流量的源和目的地两者,并且因此考虑 用于受监控流量群的目的地的动态逻辑群成员资格,进一步被配置为当受 监控流量的目的地动态改变时修改实际的网络配置。在一个实施例中,监控网络100中的流量的中央控制器单元IIO可以 被配置为将网络100中的用户或主机的一个或多个属性应用到层次结构中 的适当的群,从而使得网络拓扑中的改变被中央控制器单元110连续监 控,并且被动态配置为在群层次结构中应用与该网络拓扑中的改变相关联 的适当的网络属性。物理群和逻辑群两者都具有当端口变成群的成员时可以被应用到所述 端口或经由所述端口连接的系统的属性。然而,物理群包含影响进出端口 的本文档来自技高网...
【技术保护点】
一种提供动态网络配置和管理的方法,所述方法包括以下步骤: 检索与网络中的一个或多个逻辑群相关联的一个或多个属性; 根据一个或多个检索到的属性确定一个或多个网络策略; 将所述一个或多个逻辑群关联到各个网络群标识符;以及 生成与所述一个或多个网络群标识符相关联的网络群列表。
【技术特征摘要】
【国外来华专利技术】2006.9.5 US 11/470,2401. 一种提供动态网络配置和管理的方法,所述方法包括以下步骤检索与网络中的一个或多个逻辑群相关联的一个或多个属性;根据一个或多个检索到的属性确定一个或多个网络策略;将所述一个或多个逻辑群关联到各个网络群标识符;以及生成与所述一个或多个网络群标识符相关联的网络群列表。2. 根据权利要求1所述的方法,其中,所述网络策略与一个或多个网 络管理意图相关联。3. 根据权利要求l所述的方法,其中,所述网络策略包括与网络配置 相关联的高级意图。4. 根据权利要求3所述的方法,其中,所述高级意图包括一个或多个 安全策略、服务质量或它们的组合。5. 根据权利要求1所述的方法,还包括将所述网络群列表发送给一个 或多个网络实体的步骤。6. 根据权利要求1所述的方法,还包括 检测网络拓扑中的改变;对与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标 识;并且根据一个或多个已标识的属性更新所述网络群列表。7. 根据权利要求6所述的方法,其中,所述网络拓扑中的改变包括客 户终端进入所述网络或客户终端离开所述网络中的一个或多个。8. 根据权利要求6所述的方法,其中,所述网络拓扑中的改变包括所 述网络中的网络端口改变。9. 根据权利要求6所述的方法,还包括将已更新的网络群列表应用于 所述网络中的一个或多个网络实体的步骤。10. —种设备,包括 网络接口;耦合到所述网络接口的一个或多个处理器;以及用于存储指令的存储器,所述指令在被所述一个或多个处理器执行 时,使得所述一个或多个处理器检索与网络中的一个或多个逻辑群相关联 的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策 略,将所述一个或多个逻辑群关联到各个网络群标识符,并且生成与一个 或多个网络群标识符相关联的网络群列表。11. 具有包含于其上的处理器可读代码的一个或多个存储装置,所述 处理器可读代码用于对一个或多个处理器进行编程以执...
【专利技术属性】
技术研发人员:罗伯特·安德鲁斯,纳温德拉·亚达夫,史瑞·谬西,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。