CN103262486B - 用于在转发引擎中应用客户端关联的策略的方法和装置 - Google Patents
用于在转发引擎中应用客户端关联的策略的方法和装置 Download PDFInfo
- Publication number
- CN103262486B CN103262486B CN201180061635.7A CN201180061635A CN103262486B CN 103262486 B CN103262486 B CN 103262486B CN 201180061635 A CN201180061635 A CN 201180061635A CN 103262486 B CN103262486 B CN 103262486B
- Authority
- CN
- China
- Prior art keywords
- client terminal
- terminal node
- strategy
- grouping
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
- H04L41/342—Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/50—Overload detection or protection within a single switching element
- H04L49/501—Overload detection
- H04L49/503—Policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在一个实施例中,一种方法包括在与多个客户端节点(14)通信的网络设备(10)处接收分组,所述分组标识第一客户端节点;在被存储在所述网络设备处的表格(16)中执行查找以找到与所述第一客户端节点相关联的策略,所述表格包括针对所述客户端节点中的每个客户端节点的条目,每个条目包括与所述客户端节点相关联的多个策略;在所述网络设备处的转发引擎(18)处应用与所述第一客户端节点相关联的所述多个策略;并且从所述网络设备转发所述分组。一种装置也被公开。
Description
技术领域
本公开总地涉及在转发平面中为客户端节点建模。
背景技术
传统的第2层转发引擎通常使用基于虚拟局域网(VLAN)的转发。转发引擎中的每个分组被应用配置在关联的VLAN上的策略。支持转发的第3层接口被分配内部VLAN,并且这些接口上所配置的策略被配置在被分配给所述接口的内部VLAN上。这种实现方式有很多弊病,包括受限的可扩展性和对无线应用中的客户端漫游速度的影响。
附图说明
图1图示了这里所描述的实施例可以在其中被实现的网络的示例。
图2是图示了用于在网络设备处为客户端节点建模并基于模型对分组应用策略的过程的概览的流程图。
图3是图示了经过网络设备的分组流的示例的图。
图4A图示了在网络设备处的入口(ingress)逻辑实体导出的示例。
图4B图示了在网络设备处的出口(egress)逻辑实体导出的示例。
图5图示了在网络设备处的客户端逻辑实体表格的示例。
在整个附图的这些个图示中,相应的标号表示相应的部件。
具体实施例
概览
在一个实施例中,一种方法总地包括在与多个客户端节点通信的网络设备处接收分组,所述分组标识第一客户端节点;在被存储在所述网络设备处的表格中执行查找以找到与所述第一客户端节点相关联的策略,所述表格包括针对所述客户端节点中的每个客户端节点的条目,每个条目包括与所述客户端节点相关联的多个策略;在所述网络设备处的转发引擎处应用与所述第一客户端节点相关联的策略;并且从所述网络设备转发所述分组。
在另一实施例中,一种装置总地包括用于接收来自多个客户端节点中的一个客户端节点的分组的入口接口,所述分组标识第一客户端节点;以及被配置用于存储针对所述客户端节点中的每个客户端节点的条目的表格,每个条目包括与所述客户端节点相关联的多个策略。所述装置还包括转发引擎,该转发引擎用于从所述表格接收并应用与所述第一客户端节点相关联的所述策略;以及用于从所述装置转发所述分组的出口接口。
示例实施例
下面的描述被提供以使得本领域普通技术人员能够实现并使用这些实施例。对具体实施例和应用的描述仅仅作为示例被提供并且各种修改方式对于本领域技术人员来说是显而易见的。这里所描述的总原则可以被应用于其他实施例和应用。因而,实施例不局限于所示出的那些实施例,而是应当被给予与这里所描述的原则和特征相一致的最宽的范围。为了清楚起见,关于与实施例有关的技术领域中已知的技术内容的特征不被进行详细描述。
这里所描述的实施例提供在转发平面中的实体的模型以使得策略可以被应用于所述实体。这里所使用的术语‘策略'指可以被配置在实体上的任何类型的策略、特征(例如转发特征)、标签、属性或服务。这里所使用的术语‘实体'可以指客户端、接口(例如第3层接口)、端口、VLAN(虚拟局域网)、{端口,VLAN}、交换虚拟接口(SVI)、管理程序队列、IPEverywhere子网等等。在网络设备处的实体的代表在这里被称为‘逻辑实体'(LE)。如下面所详细描述的,客户端逻辑实体被用于在转发平面中创建客户端的模型以使得所述逻辑实体可以与策略相关联。这使得网络设备可以基于与分组相关联的客户端身份(例如源节点、目的地节点或者源节点和目的地节点两者)对分组应用策略。例如,在接入交换机处,当客户端流量被网络接收时,基于客户端的策略可以被应用。应当理解这里所使用的术语‘客户端'和‘客户端节点'可以指端站点、主机、服务器、无线设备、家用电器或者网络中的任何其他节点(策略可以被应用于所述其他节点并且流量去往或来自所述其他节点)。
现在参考附图,首先是图1,可以实现这里所描述的实施例的网络的示例被示出。这些实施例在包括多个网络元件的数据通信网络的上下文中进行操作。为了简单起见,只有少量的节点被示出。图1中所示的示例包括与网络12和客户端节点14通信的网络设备10。网络设备10可以例如是交换机(例如接入交换机)、路由器、无线控制器设备或被配置为执行转发操作的任何其他网络设备。如下面所详细描述的,网络设备10包括与转发引擎(逻辑)18通信的一个或多个逻辑实体(LE)表格16。在一,个实施例中,LE表格16被用于表示硬件中作为单独实体的客户端。
客户端节点14可以是例如利用IEEE802.3以太网协议与网络设备10通信的有线设备(例如计算机、IP电话、服务器、主机、家用电器等),或者端站点可以例如是利用IEEE802.11协议的无线设备(例如电话、个人数字助理、膝上型计算机或者其它移动设备)。客户端节点14也可以被配置用于有线通信(例如被连接到坞站)和无线通信两者。客户端节点14也可以通过例如使用GRE(通用路由封装)或CAPWAP(无线接入点的控制和配置)的逻辑接口被连接。任意个节点可以被***在网络设备10与客户端节点14之间。例如,网络设备10可以与接入点26进行有线通信,所述接入点26与客户端节点14进行无线通信。
图1中所示的网络设备10还通过网络12与策略源28通信。策略源28可以包括例如认证服务器(例如一个或多个访问目录、访问控制服务器、AAA(认证、授权和记账)服务器/代理等)、策略服务器、应用服务器、NAC(网络准入控制)/CCA(Cisco干净访问(Ciscocleanaccess))服务器、控制器、客户端简档管理器或者任何其它节点、节点的组合,或者为客户端节点14提供策略信息的源(例如网络管理员)。
认证器可以使用例如EAP(可扩展认证协议)、EAPoUDP(数据报协议上的EAP)、Web门户认证、IEEE802.1x、RADIUS(远程认证拨入用户服务)或者任何其它认证机制。客户端节点14可以用例如第2层(L2)地址、第3层(L3)地址、用户标识符(ID)或机器标识符来标识。每个客户端身份可以建立与其它身份的关联。例如,IEEE802.1x建立第2层地址(该地址是用于端设备的代理)与用户ID之间的关联,EAPoUDP和Web门户建立第3层地址(该地址是用于端设备的代理)与用户ID之间的关联。DHCP(动态主机配置协议)建立第2层和第3层地址之间的关联。
如之前所提到的,策略可以是可以被配置在实体上的任何类型的特征(例如转发特征)、标签(例如与特征相关联的标签)、属性或服务。例如,策略可以是被分配给客户端节点的特征,包括例如ACL(访问控制列表)、QoS(服务质量)、VRF(虚拟路由和转发)实例。策略还可以与客户端节点或用户状态相关联,包括例如位置(例如建筑物、地板、站点、配线柜、设备、端口)、角色(例如管理者、执行者、工程人员、软件、质量保证)、姿势状态、客户端状态、设备类型(例如IP电话、服务器、通用主机)、网络(例如子网、VLAN、端口、接口)、应用类型、设备类型、流量类别、认证类型、移动性等等。
策略可以是客户端专用的或者与客户端所属于的群组相关联的。例如,第2层地址可以是物理端口或逻辑接口的成员,第3层地址可以是子网的成员,机器ID可以是特定姿势状态组的成员,或者用户ID可以是用户角色的成员。策略可以在建模层被附给客户端逻辑实体或群组。如下面所详细描述的,LE表格16优选地包括所有与客户端相关联的策略(例如身份专用的或群组专用的策略)。客户端流量可以被应用配置在客户端上的特征以及配置在群组上的特征(例如VLAN、端口、SSID(服务组标识符)、接入点等)。策略或群组可以被改变,在这种情况下,LE表格16被更新。
应当理解这里所描述的图1中所示的网络只是个简化的示例,并且具有其它设备和配置的网络可以在不脱离实施例的范围的情况下被使用。此外,除了这里所讨论的协议以外的协议可以被用于有线或无线网络内的通信并且除了这里所描述的策略以外的策略可以与实体相关联。
根据一个实施例,图2是图示了用于在转发平面中为客户端节点建模并基于模型对分组应用策略的过程的概览的流程图。在步骤30处,分组在与多个客户端节点14(图1和2)通信的网络设备处(例如交换机10)被接收。基于分组中的信息(例如源节点、目的地节点),客户端节点中的一个客户端节点被标识为第一客户端节点(步骤31)。查找在LE表格16中被执行以找到与分组中所标识的客户端节点相关联的策略(步骤32)。LE表格16包括针对每个客户端节点的条目并且每个条目包括与客户端节点相关联的策略。查找可以是在数据结构中执行的对与客户端节点中的一个客户端节点相对应的条目的任何类型的搜索。在一个实施例中,基于客户端节点的地址,索引在网络设备处被生成,并且索引被用在查找表格中。索引可以与客户端节点中的一个或多个客户端节点相关联。被分配给客户端节点14的策略在转发查找(转发引擎18)处被应用(步骤34)并且分组从网络设备处被转发(步骤36)。在一个实施例中,LE表格16包括标签并且附加的查找在转发引擎18处被执行以找到与每个标签相对应的特征。如下所述,网络设备10可以应用与源节点和目的地节点相关联的策略。
应当理解上述的图2的流程图中所示出的过程仅仅是一个示例,在不脱离实施例的范围的情况下,那些步骤可以被去除或添加。
图3图示了根据一个实施例的网络设备10和经过该网络设备的分组流的一个示例。在图3中所示的示例中,网络设备包括在转发控制器模块44中的入口LE表格16a、出口LE表格16b、转发引擎(逻辑)18以及特征标签查找表格40。应当理解尽管单独的入口和出口LE表格16a,l6b在图3中被示出,但是网络设备也可以只配置有一个LE表格。被转发引擎18访问的查找表格40可以包括例如三态内容可寻址存储器(TCAM)和静态随机访问存储器(SRAM)。网络设备10还包括两个或更多个接口24(例如卡、适配器、端口),用于向其它网络设备发送数据、接收数据并将接收到的数据转发给内部组件。
在图3中所示的示例中,入口接口24与解析器(例如flex解析器)46通信并且出口接口与重写引擎48通信。转发控制器模块44与连接公共控制平面上的多个集成电路或多个网络设备的环路(例如后备平面或交换结构)50通信。
在一个实施例中,客户端在网络设备10处的硬件中被建模。例如,转发逻辑18、LE表格16a,l6b和查找表格40可以被置于一个或多个ASIC(专用集成电路)上。硬件可以被配置为基于一个或多个参数导出LE索引并且同时导出多个LE索引,如下所述。
网络设备10还包括处理器和用于存储供处理器执行的各种应用、模块和数据的存储器。逻辑(软件、代码)可以被用于对硬件编程(例如LE表格16a,l6b、查找表格40)。逻辑可以被编码在一个或多个有形介质中供处理器执行并且处理器可以执行存储在计算机可读介质中的代码。计算机可读介质可以是例如电子介质(例如RAM(随机访问存储器)、ROM(只读存储器)、EPROM(可擦除式可编程只读存储器))、磁介质、光介质、电磁介质、半导体技术介质或者任何其它合适的介质。
下面针对图3中的(A)到(J)所示的操作描述分组流的示例。
在(A)处,在入口接口24处被接收到的分组45经过传统的检查(例如CRC(循环冗余校验))并且被馈送到解析器46中。针对分组的源VLAN和源端口被记住。解析器46对L2(第2层)、L3(第3层)和L4(第4层)头部进行解析并且关键字段(例如源-MAC(介质访问控制)地址、源-IP地址)被记在分组信总结构中。在(B)处,这些字段与源-VLAN和源-端口标签一起被馈送到LE生成逻辑(下面将针对图4A进行描述)中以导出入口LE索引或一组入口LE索引。
利用LE索引(或多个索引),查找在入口LE表格16a中被执行以得到具有将在转发引擎18处被应用于分组的特征标签和属性的LE条目。在(C)处,特征标签被馈送到转发引擎18。在(D)处,转发引擎18利用标签查找表格40来找到与入口LE表格16a所提供的标签相关联的特征。
在(E)处,转发引擎18对分组45应用配置在逻辑实体上的入口特征并利用路由或L2桥接将分组转发给后备平面50。转发引擎18还生成目的地索引(DI)和重写索引(RI)。DI告知***分组需要从哪些(逻辑的或物理的)接口组中被转发出去。RI告知***如何重写分组。重写索引还携带出口LE索引或者携带指向出口LE索引被存储的位置的指针。在多播的情况下,重写索引可以携带MED(多播扩展描述符)指针。
在出口侧,在(F)处,出口LE表格16b被利用重写索引(或出口LE索引)进行查找以得到出口LE条目。在(G)处,这个条目被馈送到转发引擎18中以在分组上应用出口特征。在(H)处,转发引擎18基于在出口LE表格16b中找到的标签查找并应用出口特征。分组45在(I)处根据需要被重写,并且在(J)处从出口接口24被发送出去。
根据一个实施例,图4A和4B分别图示了入口和出口客户端LE导出。在入口处,客户端索引查找表格52利用例如分组的源MAC地址或源IP地址被搜索。在出口处,不需要客户端索引查找表格来导出LE,因为目的地客户端LE索引通过重写索引被提供或者从后备平面/环路50上的入口被传送而来。
对于入口,LE导出是两个步骤的过程。第一,基于源节点地址(例如L2地址、L3地址或者L2地址和L3地址两者),客户端索引表格52被搜索以识别客户端LE索引(图4A)。如下所述,客户端LE索引导出也可以基于客户端身份以及其它信息(例如端口、接口、VLAN)。第二,LE索引被用于找到客户端LE表格16a中的LE条目。客户端策略在转发引擎18处被应用。在一个实施例中,LE表格16a中的LE条目包括被用于找到查找表格40中的特征的客户端标签,所述特征在转发引擎18处被应用(图3和4A)。转发引擎18生成分组将发出的目的地索引和重写索引(如以上针对图3中的(E)所描述的)。
在图4B中所示的示例中,目的地客户端LE索引被携带在后备平面/环路头部中。重写索引可以携带出口LE索引或者指向具有出口LE索引的位置的指针(在多播的情况下)。客户端LE表格16b提供被用于找到查找表格46中的特征的出口客户端标签,所述特征在转发引擎18处被应用。
图5图示了客户端LE表格16中的条目的示例。每个条目包括LE索引和多个策略56,所述LE索引与一个或多个客户端节点相对应。LE条目包括所有转发参数,所述转发参数包括被馈送给转发引擎18的特征标签。应当理解图5中所示的LE表格只是个示例并且策略信息可以被存储在任意类型的数据结构中。因而,这里所使用的术语‘表格'指用于存储数据结构的任何存储器并且术语‘查找'指在数据结构中的任意类型的搜索。
如之前所提到的,除客户端节点以外的实体可以由逻辑实体代表。在一个实施例中,多个LE可以被导出(例如客户端LE、VLANLE、端口LE、L3接口LE)。多个LE索引可以被生成并用于标识相应的LE表格中的LE条目。因而,对于给定的分组,多个LE可以被馈送给转发引擎以应用于分组。对于其中来自特定主机的分组需要被应用客户端策略、端口策略和VLAN策略的情况,例如,多个LE可以在入口处被导出并且入口策略被应用于所有LE上(例如针对客户端策略的客户端LE、针对端口策略的端口LE和针对VLAN策略的VLANLE)。从LE表格得到的策略中的一个或多个策略可以具有优先级。例如,来自客户端LE表格的策略可以具有比来自VLANLE表格、端口LE表格或L3接口LE表格的策略更高的优先级。或者,所有特征可以被合并并且最终的结果标签被存储在具有按上述方式导出的LE索引的客户端LE表格中。
在诸如其中多个客户端位于相同的主机上的虚拟化之类的情况下,诸如标记之类的附加标识符可以被用于在共享相同的MAC或IP地址的不同客户端之间进行区分。此外,不同的策略可以例如利用策略组被应用于来自相同客户端的不同流(例如语音、视频、数据)。例如,这些可以基于流分类被应用于LE表格中。
在无线通信的情况下,客户端上下文与客户端一起漫游。除了无线专用信息以外,该上下文包括每个用户的策略,所述策略包括例如从AAA服务器下载的客户端ACL、客户端QoS策略等。每个无线客户端在硬件中由2LE表示,并且这个LE携带无线客户端被配置有的特征。如果客户端漫游离开网络设备,则客户端LE被删除。类似地,当客户端漫游到新的网络设备时,新的客户端LE被添加。移动漫游速度被提高,因为策略可以在转发平面中被实行,而不需要在漫游时对策略进行编程。
虽然已根据所示出的实施例描述了本发明的方法和装置,但是本领域普通技术人员将很容易意识到在不脱离实施例的范围的情况下可以对实施例做出各种改变。因此,以上描述中所包含的以及附图中所示出的所有内容都应当被理解为说明性的而非限制性的。
Claims (18)
1.一种用于在转发引擎中应用客户端关联的策略的方法,包括:
在与多个客户端节点通信的网络设备处接收分组,所述分组标识所述客户端节点中的第一客户端节点;
基于所述分组中的信息生成表示所述第一客户端节点的逻辑实体索引;
使用所生成的逻辑实体索引在被存储在所述网络设备处的逻辑实体表格中执行查找以找到与所生成的逻辑实体索引相关联的策略,所述表格包括针对表示所述客户端节点中相应的一个或多个客户端节点的多个逻辑实体索引中的每个逻辑实体索引的条目,每个条目包括与相应的逻辑实体索引所表示的客户端节点相关联的多个策略;
在所述网络设备处的转发引擎处应用与所生成的表示所述第一客户端节点的逻辑实体索引相关联的所述多个策略;并且
从所述网络设备转发所述分组。
2.根据权利要求1所述的方法,还包括基于所述第一客户端节点的地址导出针对所述第一客户端节点的索引。
3.根据权利要求1所述的方法,还包括基于所述第一客户端节点的地址以及与所述第一客户端节点相关联的端口、虚拟局域网和接口中的一个或多个导出针对所述第一客户端节点的索引。
4.根据权利要求1所述的方法,其中所述第一客户端节点包括发送所述分组的源节点,并且所述方法还包括:
执行针对与所述客户端节点中的一个客户端节点相关联的策略的查找,所述一个客户端节点在所述分组中被标识为目的地节点;并且
在转发所述分组之前应用与所述目的地节点相关联的所述策略。
5.根据权利要求4所述的方法,其中所述表格包括入口表格和出口表格,所述入口表格包括与所述源节点相关联的所述策略,所述出口表格包括与所述目的地节点相关联的所述策略。
6.根据权利要求1所述的方法,其中所述多个策略包括多个标签,并且应用所述策略包括执行查找以找到针对所述标签的特征。
7.根据权利要求1所述的方法,其中所述第一客户端节点包括无线设备。
8.根据权利要求1所述的方法,其中所述网络设备是接入交换机。
9.根据权利要求1所述的方法,其中所述网络设备位于虚拟局域网中并且所述分组包括虚拟局域网标识符。
10.根据权利要求1所述的方法,还包括在转发所述分组之前应用与端口、虚拟局域网和接口中的一个或多个相关联的策略。
11.一种用于在转发引擎中应用客户端关联的策略的装置,包括:
入口接口,该入口接口用于接收来自多个客户端节点中的一个客户端节点的分组,所述分组标识所述客户端节点中的第一客户端节点;
索引生成器,该索引生成器用于基于所述分组中的信息生成表示所述第一客户端节点的逻辑实体索引;
逻辑实体表格,该表格被配置用于存储针对表示所述客户端节点中相应的一个或多个客户端节点的多个逻辑实体索引中的每个逻辑实体索引的条目,每个条目包括与相应的逻辑实体索引所表示的客户端节点相关联的多个策略;
转发引擎,该转发引擎用于从所述表格接收并应用与所生成的表示所述第一客户端节点的逻辑实体索引相关联的所述策略;以及
出口接口,该出口接口用于从所述装置转发所述分组。
12.根据权利要求11所述的装置,其中所述索引生成器基于所述第一客户端节点的地址生成针对所述第一客户端节点的索引。
13.根据权利要求11所述的装置,其中所述索引生成器基于所述第一客户端节点的地址以及与所述第一客户端节点相关联的端口、虚拟局域网和接口中的一个或多个生成针对所述第一客户端节点的索引。
14.根据权利要求11所述的装置,其中所述第一客户端节点包括发送所述分组的源节点,并且所述转发引擎被配置用于接收与所述客户端节点中的在所述分组中被标识为目的地节点的一个客户端节点相关联的策略并且在转发所述分组之前应用与所述目的地节点相关联的所述策略。
15.根据权利要求14所述的装置,其中所述表格包括包括入口表格和出口表格,所述入口表格包括与所述源节点相关联的所述策略,所述出口表格包括与所述目的地节点相关联的所述策略。
16.根据权利要求11所述的装置,其中所述第一客户端节点是无线设备并且所述装置是接入交换机。
17.根据权利要求11所述的装置,其中所述转发引擎还被配置为在转发所述分组之前应用与端口、虚拟局域网和接口中的一个或多个相关联的策略。
18.一种用于在转发引擎中应用客户端关联的策略的装置,包括:
入口接口,该入口接口用于接收来自多个客户端节点中的一个客户端节点的分组,所述分组标识所述客户端节点中的第一客户端节点;
用于基于所述分组中的信息生成表示所述第一客户端节点的逻辑实体索引的装置;
用于使用所生成的逻辑实体索引在被存储在所述装置处的逻辑实体表格中执行查找以找到与所生成的逻辑实体索引相关联的策略的装置,所述表格包括针对表示所述客户端节点中相应的一个或多个客户端节点的多个逻辑实体索引中的每个逻辑实体索引的条目,每个条目包括与相应的逻辑实体索引所表示的客户端节点相关联的多个策略;
用于在所述装置处的转发引擎处应用与所生成的表示所述第一客户端节点的逻辑实体索引相关联的所述多个策略的装置;以及
出口接口,该出口接口用于从所述装置发送所述分组。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/928,863 | 2010-12-21 | ||
US12/928,863 US9319276B2 (en) | 2010-12-21 | 2010-12-21 | Client modeling in a forwarding plane |
PCT/US2011/063691 WO2012087575A1 (en) | 2010-12-21 | 2011-12-07 | Method and apparatus for applying client associated policies in a forwarding engine |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103262486A CN103262486A (zh) | 2013-08-21 |
CN103262486B true CN103262486B (zh) | 2016-06-08 |
Family
ID=45420974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180061635.7A Active CN103262486B (zh) | 2010-12-21 | 2011-12-07 | 用于在转发引擎中应用客户端关联的策略的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9319276B2 (zh) |
EP (1) | EP2656559B1 (zh) |
CN (1) | CN103262486B (zh) |
WO (1) | WO2012087575A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9504089B2 (en) * | 2012-05-14 | 2016-11-22 | Broadcom Corporation | System and method for wireless station bridging |
US9197919B2 (en) | 2013-06-12 | 2015-11-24 | Mediacom Communications Corporation | Video on demand using combined host and client addressing |
US20160352637A1 (en) * | 2014-03-24 | 2016-12-01 | Hewlett-Packard Development Company, L.P. | Client-based port filter table |
US20160352731A1 (en) * | 2014-05-13 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Network access control at controller |
US10015048B2 (en) * | 2014-12-27 | 2018-07-03 | Intel Corporation | Programmable protocol parser for NIC classification and queue assignments |
US9825862B2 (en) * | 2015-08-26 | 2017-11-21 | Barefoot Networks, Inc. | Packet header field extraction |
CN109241051A (zh) * | 2018-07-19 | 2019-01-18 | 清华大学 | 数据流通方法、计算引擎、转发引擎及数据流通*** |
WO2019072270A2 (en) * | 2018-11-07 | 2019-04-18 | Alibaba Group Holding Limited | MANAGING PRIVATE TRANSACTIONS ON BLOCK CHAIN NETWORKS BASED ON A WORKFLOW |
US11201781B2 (en) | 2019-03-12 | 2021-12-14 | Arista Networks, Inc. | Systems and methods for automatically configuring network isolation |
US20210044445A1 (en) * | 2019-08-08 | 2021-02-11 | Hewlett Packard Enterprise Development Lp | Group-based policy multicast forwarding |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1227624A2 (en) * | 2000-12-28 | 2002-07-31 | Alcatel USA Sourcing, L.P. | Qos monitoring system and method for a high-speed diffserv-capable network element |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7370353B2 (en) | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
US6801528B2 (en) * | 2002-07-03 | 2004-10-05 | Ericsson Inc. | System and method for dynamic simultaneous connection to multiple service providers |
US7724754B2 (en) | 2006-02-24 | 2010-05-25 | Texas Instruments Incorporated | Device, system and/or method for managing packet congestion in a packet switching network |
US8792497B2 (en) * | 2006-06-05 | 2014-07-29 | Tellabs Operations, Inc. | Method and apparatus for performing link aggregation |
US7813267B2 (en) | 2006-08-29 | 2010-10-12 | Cisco Technology, Inc. | Method and system for providing control plane resiliency with undisrupted forwarding in a data network |
US7849499B2 (en) | 2007-08-21 | 2010-12-07 | Cisco Technology, Inc. | Enterprise wireless local area network (LAN) guest access |
EP2201474B1 (en) * | 2007-10-03 | 2020-05-06 | NTT Global Networks Incorporated | Virtualized application acceleration infrastructure |
US8423668B2 (en) | 2007-12-31 | 2013-04-16 | Cisco Technology, Inc. | Link state protocol routing message containment |
US8711729B2 (en) | 2008-01-11 | 2014-04-29 | Cisco Technology, Inc. | Host route convergence based on sequence values |
CN102461089B (zh) * | 2009-05-15 | 2015-11-25 | 惠普开发有限公司 | 用于使用标签进行策略执行的方法和设备 |
EP2497234B1 (en) * | 2009-11-02 | 2018-09-19 | Marvell World Trade Ltd. | Network device and method based on virtual interfaces |
US8467403B2 (en) * | 2010-04-29 | 2013-06-18 | Cisco Technology, Inc. | Coordinated updating of forwarding information bases in a multistage packet switching device |
US8687636B1 (en) * | 2010-06-02 | 2014-04-01 | Marvell Israel (M.I.S.L) Ltd. | Extended policy control list keys having backwards compatibility |
-
2010
- 2010-12-21 US US12/928,863 patent/US9319276B2/en active Active
-
2011
- 2011-12-07 WO PCT/US2011/063691 patent/WO2012087575A1/en active Application Filing
- 2011-12-07 CN CN201180061635.7A patent/CN103262486B/zh active Active
- 2011-12-07 EP EP11802597.2A patent/EP2656559B1/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1227624A2 (en) * | 2000-12-28 | 2002-07-31 | Alcatel USA Sourcing, L.P. | Qos monitoring system and method for a high-speed diffserv-capable network element |
Also Published As
Publication number | Publication date |
---|---|
EP2656559A1 (en) | 2013-10-30 |
US20120155395A1 (en) | 2012-06-21 |
US9319276B2 (en) | 2016-04-19 |
WO2012087575A1 (en) | 2012-06-28 |
EP2656559B1 (en) | 2019-02-20 |
CN103262486A (zh) | 2013-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103262486B (zh) | 用于在转发引擎中应用客户端关联的策略的方法和装置 | |
CN104350467B (zh) | 用于使用sdn的云安全性的弹性实行层 | |
EP3151510B1 (en) | Mac (l2) level authentication, security and policy control | |
US10091176B2 (en) | Enhanced EVPN MAC route advertisement having MAC (L2) level authentication, security and policy control | |
CN110650076B (zh) | Vxlan的实现方法,网络设备和通信*** | |
CN105765946B (zh) | 支持数据网络中的服务链接的方法和*** | |
CN103621028B (zh) | 控制网络访问策略的计算机***、控制器和方法 | |
US11122500B2 (en) | Using a blockchain for optimized fast-secure roaming on WLANs | |
US7447166B1 (en) | Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains | |
CN104283858B (zh) | 控制用户终端接入的方法、装置及*** | |
WO2014142299A1 (ja) | 通信端末と通信制御装置と通信システムと通信制御方法並びにプログラム | |
CN110650075B (zh) | 基于vxlan的组策略实现方法、网络设备和组策略实现*** | |
CN103716213B (zh) | 在固定接入网中和在用户设备中运行的方法 | |
CN107404470A (zh) | 接入控制方法及装置 | |
CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和*** | |
US11102169B2 (en) | In-data-plane network policy enforcement using IP addresses | |
CN103516760B (zh) | 一种虚拟网络***接入方法、装置及*** | |
JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
CN106375123A (zh) | 一种802.1x认证的配置方法及装置 | |
CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
CN106211141B (zh) | 一种无线局域网漫游站点的流的转发方法及装置 | |
US20200162351A1 (en) | Anonymous integration of cloud based applications and on-premise network analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |