CN112368979B - 通信装置、方法和*** - Google Patents
通信装置、方法和*** Download PDFInfo
- Publication number
- CN112368979B CN112368979B CN201980041295.8A CN201980041295A CN112368979B CN 112368979 B CN112368979 B CN 112368979B CN 201980041295 A CN201980041295 A CN 201980041295A CN 112368979 B CN112368979 B CN 112368979B
- Authority
- CN
- China
- Prior art keywords
- site
- epg
- packet
- host
- assigned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/15—Interconnection of switching modules
- H04L49/1507—Distribute and route fabrics, e.g. sorting-routing or Batcher-Banyan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/15—Interconnection of switching modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文的实施例描述了使用转换映射和安全性合约来在不同站点处的交换结构之间建立互连和策略以创建统一结构。在一个实施例中,一种多站点控制器可以在站点之间扩展端点群组(EPG),使得第一站点中的主机或应用可以与被指派到相同扩展EPG的第二站点中的主机或应用进行通信,尽管两个站点具有不同的命名空间。另外,影子EPG可以被形成以促进不同站点中的EPG之间的安全性合约。每个站点可以存储命名空间转换映射,这些命名空间转换映射使得站点能够将从不同站点接收的分组中的命名空间信息转换成其自己的命名空间值。结果,可以互连各种站点中的独立桥接和路由段,而且还提供具有独立和私有命名空间的不同结构间的应用可访问性。
Description
相关申请的交叉引用
本申请要求于2018年7月5日递交的共同待审的美国临时专利申请序列号62/694,384的权益。上述相关专利申请通过引用以其整体并入本文。
技术领域
本公开中呈现的实施例总体上涉及使用布置在多个站点处的交换结构来创建统一结构。
背景技术
可以部署数据中心结构,其中本地站点控制器使用各种类型的架构来管理一组交换机。结构的该单个实例(以及耦合到结构的主机和应用)在本文被称为站点。然而,站点的大小(例如,站点中的交换机的数目)经常受到站点中的网络域的容量以及站点是单一故障点的风险的限制。现今,数据中心管理员创建多个站点,其中每个站点具有独立的交换结构来扩大容量并且提供冗余性以避免单一故障点。虽然这么做帮助减轻了这些问题,但创建独立站点不在这种结构间提供均一的网络连通性和策略。结果,站点不能作为整体被管理,而必须被单独配置和维护。
附图说明
为了可以详细地理解本公开的上述特征的方式,可以通过参考实施例对以上简要总结的本公开进行更具体描述,实施例中的一些在附图中图示。然而,要注意,附图只是图示了本公开的典型实施例,并且因此不应被认为是限制其范围,因为本公开可容许其他同等有效的实施例。
图1图示了根据本文描述的一个实施例的包括多个站点的统一结构。
图2图示了根据本文描述的一个实施例的包括在站点之间扩展的端点群组的统一结构。
图3是根据本文描述的一个实施例的用于在属于同一端点群组的不同站点处的主机之间通信的流程图。
图4图示了本文描述的一个实施例的包括多个站点的统一结构。
图5是根据本文描述的一个实施例的用于在属于不同端点群组和不同站点的主机之间通信的流程图。
图6图示了根据本文描述的一个实施例的具有允许不同站点中的端点群组进行通信的安全性策略的统一结构。
图7图示了根据本文描述的一个实施例的建立影子端点群组来允许不同站点中的端点群组通信。
图8是根据本文描述的一个实施例的用于使用影子端点群组在不同站点中的端点群组之间通信的流程图。
为了便于理解,在可能时使用了相同的附图标记来指代各图共同的相同元素。设想了可以在没有具体记载的情况下将一个实施例中公开的元素有益地用于其他实施例。
具体实施方式
概述
在独立权利要求中记载了本发明的各方面并且在从属权利要求中记载了优选特征。一个方面的特征可被单独应用到每个方面或者与其他方面组合应用。
本公开中呈现的一个实施例是一种统一结构。该统一结构包括:第一站点处的第一交换结构和第二站点处的第二交换结构,其中第一站点与第二站点在不同的地理位置处,并且其中,第一交换结构和第二交换结构经由公共网络通信地耦合。第一交换结构被配置为从第一站点处的第一主机接收分组,该分组包括(i)第二站点处的第二主机的目的地,以及(ii)由第一站点的命名空间定义的第一端点群组(endpoint group,EPG)的第一源标识符值,其中第一主机被指派到第一EPG。第二交换结构被配置为经由公共网络从第一交换结构接收分组,并且在分组中的第一源标识符值被转换成由第二站点的命名空间定义的第二EPG的第二源标识符值之后将分组转发到第二主机。
本公开中呈现的另一实施例是一种方法,该方法包括:在第二站点处的第二交换结构处从第一站点处的第一交换结构接收分组,其中,该分组包括(i)耦合到第二站点处的第二交换结构的第二主机的目的地,以及(ii)由第一站点的命名空间定义的第一EPG的第一源标识符,其中,第一主机被指派到第一EPG,将分组中的第一源标识符转换成由第二站点的命名空间定义的第二EPG的第二源标识符,以及将分组转发到第二主机,其中,该分组包含第二源标识符。
本公开中呈现的另一实施例是一种***,该***包括:被配置为管理第一站点处的第一交换结构的第一本地站点控制器,被配置为管理第二站点处的第二交换结构的第二本地站点控制器,以及通信地耦合到第一和第二本地站点控制器的多站点控制器。多站点控制器被配置为从第一和第二本地站点控制器接收相应命名空间,相应命名空间指示用于对第一和第二交换结构中的EPG进行命名的源标识符。多站点控制器还被配置为:为第一和第二站点生成相应命名空间转换映射,其中相应命名空间转换映射包括用于将在第一和第二站点之间传输的分组中的源标识符从由第一和第二站点中的一者的相应命名空间定义的第一值转换成由另一站点的相应命名空间定义的第二值的信息。
示例实施例
本文的实施例描述了使用转换映射和安全性合约来在不同站点处的交换结构之间建立互连和策略以创建统一结构。在一个实施例中,一种多站点控制器可以在站点之间扩展端点群组(EPG),使得第一站点中的主机或应用可以与被指派到相同扩展EPG的第二站点中的主机或应用进行通信,尽管两个站点具有不同的命名空间(例如,对于虚拟路由和转发(VRF)实例、桥接域(Bridge Domain,BD)、子网或EPG具有不同值)。每个站点可以存储命名空间转换映射,这些命名空间转换映射使得站点能够将从不同站点接收的分组中的命名空间信息转换成其自己的命名空间值。结果,可以互连各种站点中的独立桥接和路由段,而且还提供具有独立和私有命名空间的不同结构间的应用可访问性(通过使用EPG)。
此外,多站点控制器可以建立影子EPG来促进不同站点处的EPG之间的安全性合约和访问策略。例如,安全性合约(或者安全性策略)可以指示被指派到第一站点中的Web-EPG的主机或应用可以与被指派到第二站点中的应用-EPG(即,App-EPG)的主机或应用通信。为了促进该策略,多站点控制器生成第二站点中的影子Web-EPG,使得由第一站点中的主机发送的分组首先被转换到第二站点中的影子Web-EPG,然后才被路由到被指派到App-EPG的主机或应用。这样做使得多站点控制器能够跨独立结构实施安全性策略。
虽然统一结构包括布置在不同站点处的多个独立结构,但本文的实施例使得多站点控制器能够向***管理员呈现结构的统一视图。例如,管理员可以使用单个API或GUI来建立安全性策略并且在不同的结构间执行工作负载部署。结果,管理员避免必须单独配置或配设各个站点并且可以只使用API和GUI来控制数据在站点之间的流动。
图1图示了根据本文描述的一个实施例的包括多个站点的统一结构100。如图所示,结构100包括站点1和站点2,其中每一者具有由骨干交换机(spine switch)115和叶片交换机(lead switch)120形成的各自的交换结构。在此示例中,叶片交换机120通信地耦合到主机125和应用130。也就是说,主机125和应用130使用骨干和叶片交换机115、120来与同一站点中的其他主机和应用、不同站点中的主机和应用、以及结构100外部的实体通信。在一个实施例中,主机125和应用130被指派到EPG,该EPG允许这些主机125和应用130彼此通信。换句话说,EPG指派可以用于控制在不同的主机125和应用130之间的流量流动并在不同的主机125和应用130之间提供安全性。例如,主机125A可能无法与应用130A通信,除非这些实体在同一EPG中,或者存在允许主机125A和应用130A被指派到的EGP进行通信的安全性策略(本文中也称为安全性合约)。这样,EPG可以是控制主机125和应用130可以彼此通信的方式的端点的任何种类的分组。在一个实施例中,EPG(其也可以被称为安全性群组)是表示服务的应用层级或集合的相似端点的聚集。端点可以包括主机125和应用130以及虚拟机、管理程序、容器、物理服务器,等等。许多不同类型的端点可以被指派到同一EPG以执行共同服务。在一个实施例中,不同的策略被指派到结构100中的不同EPG。例如,取决于端点被指派到哪个EPG,可以为该端点确定安全性策略、服务质量(Quality of Service,QoS)、服务链策略以及路由策略。
虽然图1图示了使用骨干-叶片架构来形成站点中的个体结构,但这并不是必要要求。交换机可以被组织成任何布置并且受益于本文描述的实施例。在一个实施例中,站点1和2中的交换机115、120可以用于促进两个数据中心(例如,美国的数据中心和欧洲的数据中心)中的物理服务器或数据存储元件之间的通信。在另一示例中,交换机115、120也可以被部署来促进物理或虚拟云中的通信。例如,站点1和2可以是同一云基础设施的不同区域。
站点1和站点2两者都包括为站点建立命名空间的本地站点控制器135。在一个实施例中,本地站点控制器135(其可以使用软件、硬件或者其组合来实现)可以独立于其他站点中的命名空间来建立命名空间。换句话说,站点中的命名空间是私有的。结果,站点1中的命名空间和站点2中的命名空间可以冲突或重叠。例如,当向站点1中的BD指派值时,本地站点控制器135A可以使用本地站点控制器135B向站点2中的BD指派的相同IP地址。例如,当建立其私有命名空间时,同一组IP地址、软件安全性索引或者网络段索引可以被本地站点控制器135重复使用。这在站点1中的主机125A和应用130A尝试向站点2中的主机125B和应用130B发送分组时成为一个问题,因为分组中的源标识符(例如,VRF实例、BD或子网的IP地址,和EPG的类ID)可以被指派到多个实体(例如,站点2中的BD可以具有与站点1中的BD相同的IP地址)。如下文详细论述的,多站点控制器140(其可以是软件、硬件或者其组合)提供命名空间转换映射,这些命名空间转换映射允许每个站点将接收到的分组中的命名空间特定信息转换成其自己的命名空间中的相应值。以这种方式,站点可以具有冲突并仍允许不同站点中的主机125和应用130使用第2层流量进行通信的私有命名空间。
在图1中,统一结构100使用公共网络105(例如,互联网)来促进可能位于彼此相距较大距离处的站点1和站点2的结构之间的流量流动。站点可以使用VXLAN 110来将数据发送到公共网络105中,公共网络105随后将数据路由到其他站点中的骨干交换机115之一,在这里分组被路由到与目的地主机125或应用130耦合的叶片交换机120。虽然图1图示了两个站点,但统一结构100可以包括各自具有其自己的独立结构和命名空间的任何数目的站点。
多站点控制器140与每个站点中的本地站点控制器135通信。多站点控制器140可以使用本地站点控制器135来识别命名空间,提供命名空间转换映射,改变主机125和应用130的EPG指派,建立EPG之间的安全性合约,等等。为了从***管理员接收指令,多站点控制器140耦合到API 145和GUI 150。使用这些组件中的一者或两者,***管理员可以建立安全性策略并且在不同结构间执行工作负载部署,而不必单独配置结构100中的每个站点。取而代之,多站点控制器140接收来自***管理员的请求并且可以使用下文描述的实施例来通过与本地站点控制器135通信以实现该请求。从而,从***管理员的角度来看,API 145和GUI 150提供了可以用于从整体上控制站点的“单一管理平台”。
图2图示了根据本文描述的一个实施例的包括在站点之间扩展的EPG的统一结构。图2图示了对Web-EPG 220和App-EPG 225进行扩展以包括站点1和站点2两者。因此,不同站点中的主机和应用现在可以被指派到同一EPG,其中在先前,主机或站点只能被指派到特定站点中的EPG。使用图2中的部署,服务可以使用不同站点上的主机和应用。例如,Web-EPG可以使用两个站点中的主机和应用来执行服务——例如,建立web服务器。因此,服务的一部分可以由站点1处的端点执行,而服务的其他部分可以由站点2处的端点执行。
在一个实施例中,多站点控制器140配置站点以使得在站点间存在VRF、BD(或子网)和EPG的均一可用性。为了实现均一可用性,多站点控制器140创建配置对象,例如允许在不同站点但在同一EPG中的主机和应用进行通信的命名空间转换映射。
如图所示,租户基础设施205在站点间扩展。租户基础设施205可以是用于应用策略或者共享资源要求的逻辑容器。例如,使用底层数据中心或云的每个客户可以具有建立其期望策略的其自己的租户基础设施。这样,统一结构可以包括多个租户基础设施205。
租户基础设施205包括VRF实例210(或者VRF对象),该VRF实例210是定义L3地址域的第3层转发和应用策略域。虽然示出了一个VRF实例210,但是租户基础设施205可以包括任意数目的VRF实例210。
VRF实例210包括BD 215A和BD 215B,其每一者可以与一个或多个子网相关联。BD215定义第2层MAC地址空间和第2层泛洪域(在使能了这种泛洪的情况下)。在一个实施例中,虽然VRF实例210定义唯一IP地址空间,但该地址空间可以包括在BD 215中引用的多个子网。在此示例中,每个EPG被指派到BD 215之一——即,Web-EPG 220在BD 215A中,而App-EPG 225在BD 215B中。
在图2中,多站点控制器140已建立了Web-EPG和App-EPG之间的安全性合约230(标记为C1)。这允许被指派到该Web-EPG和App-EPG的数据中心或云基础设施中的底层资源或端点经由统一结构进行通信。例如,Web-EPG中的端点可以建立web服务器,而App-EPG中的端点建立数据库。因为安全性合约230,所以被指派到Web-EPG的端点可以使用统一结构与App-EPG中的端点进行通信,反之亦然。因此,如果这些实体被指派到同一EPG或者如果这些实体被指派到不同EPG(Web-EPG或App-EPG),则VRF实例210允许站点1中的主机或应用与站点2中的主机或应用进行通信。然而,如果没有安全性合约230,则只有被指派到同一EPG的端点将能够彼此通信,无论这些端点是在同一站点中还是在不同站点中。
图3是根据本文描述的一个实施例的用于在属于同一端点群组但属于不同站点的主机之间通信的方法300的流程图。在块305,多站点控制器从本地站点控制器接收本地命名空间。也就是说,响应于来自多站点控制器的请求(例如,配置推送动作)或者在预定事件发生时(例如,当命名空间首先被建立时或者当命名空间被更新时),本地站点控制器向多站点控制器发送命名空间指派。也就是说,本地站点控制器可以被多站点控制器轮询。如上所述,本地站点控制器在建立其各自的命名空间时可以使用相同的值范围(例如,IP地址、安全性索引或网络段索引的相同范围)。这样,这些值可以冲突——即,相同的值可以用于对多个站点中的对象进行命名。例如,相同的IP地址可以被指派到站点1中的BD和站点2中的BD。当在统一结构中的站点之间路由分组或者应用安全性策略时,这些冲突如果未被解决则可能会导致错误。
在块310,多站点控制器为站点生成并发送命名空间转换映射。也就是说,多站点控制器使用从本地站点控制器接收的命名空间值来在两个或更多个站点间有效地扩展EPG(以及BD、VRF实例和租户基础设施)。例如,参考图2中的示例,站点1的本地站点控制器可能将VRF实例210命名为VRF VNID X(其中VNID是源标识符),但站点2的本地站点控制器可能将其VRF实例210命名为VRF VNID A。因为这两个分开的对象应当被扩展并且被视为同一VRF实例210,所以多站点控制器为站点1提供命名空间转换映射,该命名空间转换映射指示具有VRF VIND A的接收到的分组应当被转换为VRF VIND X。多站点控制器还为站点2提供命名空间转换映射,该命名空间转换映射指示具有VRF VIND X的接收到的分组应当被转换为VRF VIND A。以这种方式,被站点1和站点2使用的不同的(并且可能冲突的)命名空间值可以被调解,使得两个站点中的VRF实例实际上是如图2中所示的单个扩展VRF实例210。
多站点控制器可以使用类似的过程来为站点中的其他对象(例如,BD和EPG)建立命名空间转换映射。例如,站点1中的本地站点控制器可以向图2中的Web-EPG 220指派类ID“Z”,但站点2中的本地站点控制器向Web-EPG 220指派类ID“C”。作为响应,多站点控制器可以为站点1提供指示从站点2接收的具有类ID C的任何分组应当被转换为Z的命名空间转换映射,并且为站点2提供指示从站点1接收的具有类ID Z的任何分组应当被转换为C的命名空间转换映射。以这种方式,多站点控制器可以提供命名空间转换映射,使得取决于发送了分组的站点,接收站点可以将该分组中的类ID转换成相应的类ID(假定EPG在这两个站点之间被扩展)。
当BD在站点之间被扩展时,多站点控制器可以使用类似的过程来生成命名空间转换映射以在各种站点使用的BD源标识符之间转换。例如,图2中BD 215A的BD VNID可以被站点1指派值“Y”,但被站点2指派值“B”。
在块315,第一站点中的叶片交换机从被指派到扩展EPG的发送主机(例如,TX主机)接收向也被指派到该扩展EPG的第二站点中的接收主机(例如,RX主机)发送分组的请求。为了清楚起见,协同图4来论述方法300中的块,图4图示了根据本文描述的一个实施例的包括多个站点的统一结构100。在图4中,主机H1(例如,TX主机)向站点1中的叶片交换机L1提供分组,该分组应当被路由到站点2中的主机H4。另外,图4图示了每个站点可以具有多个交付点(Pod)——例如,交付点A和交付点B——其每一者包括骨干和叶片交换机的不同群组,但这并不是必要要求。
在块320,叶片交换机L1将分组路由到第一站点中的出***换机。例如,每个站点可以具有一个或多个指定的骨干交换机来发送和接收站点间流量。例如,骨干交换机S2可以是用于向统一结构100中的其他站点发送流量的指定交换机。然而,在其他实施例中,任何骨干交换机可以发送站点间流量。
在块325,骨干交换机S2对分组执行源网络地址转换(source network addresstranslation,SNAT)。例如,骨干交换机S2可以基于分组中的目的地信息来识别出分组应当被路由到站点2。作为响应,骨干交换机对公共网络105已知的全局隧道端点(TEP)执行SNAT,以使得网络105可以将该分组路由到站点2。在一个实施例中,结构100中的每个站点包括至少一个公共IP地址,使得该站点可以经由公共网络105来接收站点间流量。
在块330,公共网络105将分组路由到第二站点中的入***换机——例如,骨干交换机S6。在一个实施例中,公共网络105使用由叶片交换机L1添加的目的地信息或者在叶片交换机L1不知晓主机H4站点全局TEP的情况下使用由骨干交换机S2添加的目的地信息来路由分组。
在块335,骨干交换机S6使用由多站点控制器在块310处提供的第二站点的命名空间转换映射来转换源标识符(例如,VNID和类ID)。也就是说,骨干交换机S6将分组中的与站点1的私有命名空间相对应的源标识符的值转换成站点2的私有命名空间中的那些相同的源标识符的值。使用上述示例,VRF的VNID可以被从X转换到A,BD的VIND可以被从Y转换到B,并且EPG的类ID可以被从Z转换到C。因为分组是在站点1和站点2之间扩展的VRF、BD和EPG的一部分,所以骨干交换机S6使用命名空间转换映射来将VRF、BD和EPG的源标识符从在站点1的命名空间中使用的源标识符转换成在站点2的命名空间中使用的值。以这种方式,命名空间转换映射使得统一结构100能够如图2中所示在多个站点之间扩展VRF、BD和EPG。
在块340,骨干交换机S6使用分组中的新的源标识符值来通过例如在骨干交换机S6处执行到叶片交换机L5的私有TEP IP的DNAT、经由叶片交换机L5将分组路由到RX主机——例如,主机H4。因此,从叶片交换机L5和RX主机的角度来看,分组看起来是源自于站点2而不是站点1中的对象(例如,主机或应用),因为源标识符已被改变成由站点2的命名空间定义的值。
图5是根据本文描述的一个实施例的用于在属于不同端点群组和不同站点的主机之间通信的方法500的流程图。在块505,不是在被指派到同一扩展EPG的两个不同站点中的两个主机之间发送分组(像方法300中那样),叶片交换机L1从站点1处的第一EPG中的TX主机(例如,主机H1)接收向站点2中的不同的第二EPG中的RX主机(例如,主机H4)发送分组的请求。例如,参考图2,TX主机H1可以被指派到Web-EPG 220,而RX主机H4被指派到App-EPG225。
块510-525与方法300中的相应块320-335相同,并且因此,在这里不作详细描述。
一旦在块525处,骨干交换机S6将分组中的源标识符转换成由站点2中的命名空间定义的源标识符,则在块530,骨干交换机S6确定在站点2处在第一和第二EPG之间是否存在安全性合约。也就是说,在一个实施例中,站点2首先将接收到的分组中的源标识符转换成由其命名空间定义的源标识符,并且然后使用这些源标识符来确定该分组(其被指派到第一命名空间)是否可以被发送到被指派到不同EPG的主机或应用。参考图2中的示例,在Web-EPG和App-EPG之间存在安全性合约230。因此,如果主机H1和H4两者都被指派到这些EPG之一,则这意味着它们可以彼此通信。
在一个实施例中,骨干交换机S6使用新的源标识符来确定是否满足安全性合约并且被指派到两个不同EPG的主机是否能够通信。例如,如果骨干交换机S6尝试使用接收到的分组中的原始源标识符(其由站点1的命名空间定义),则将不会满足安全性合约,并且在块540,骨干交换机S6将丢弃该分组,或者至少,不将该分组路由到其目的地。然而,如果骨干交换机S6确定在两个扩展EPG之间存在安全性合约,则在块535,交换机S6将分组路由到叶片交换机L5并且路由到主机H4。与方法300中一样,从叶片交换机L5和RX主机的角度来看,分组看起来是源自于站点2而不是站点1中的对象(例如,主机或应用),因为源标识符已被改变成与站点2的命名空间相匹配的值。
因此,使用方法500,被指派到两个不同的扩展或非扩展EPG的两个不同站点中的对象可以使用被指派到这些站点的安全性合约来通信。在一个实施例中,当用户指示多站点控制器建立两个扩展EPG并且确保被指派到这些EPG的对象能够彼此通信时,多站点控制器可以在两个站点中都建立安全性合约,指示这些EPG可以通信。这些合约可以在多站点控制器向站点发送命名空间转换映射的同时被建立。
图6图示了根据本文描述的一个实施例的具有允许不同站点中的EPG进行通信的安全性策略的统一结构。该统一结构包括站点1和站点2,它们共享相同的租户基础设施605和VRF实例610。然而,与图2中不同,EPG在分开的BD 615中。也就是说,Web-EPG1在BD 615A中,Web-EPG2在BD 615B中,App-EPG1在BD 615C中,并且App-EPG2在BD 615D中。
响应于来自***管理员的请求,多站点控制器140在EPG之间建立安全性合约620,使得EPG可以依赖于彼此来执行服务。例如,Web-EPG1和Web-EPG2可以提供依赖于由被指派到App-EPG1和App-EPG2的对象执行的数据库应用的网站服务。这样,多站点控制器140在Web-EPG1和App-EPG1之间建立安全性合约620A(标记为C1)并且在Web-EPG2和App-EPG2之间建立安全性合约620D(标记为C2),这些安全性合约允许被指派到这些EPG的对象进行通信。
为了改善冗余性(例如,在发生灾难的情况下),多站点控制器还在不同站点中的EPG之间建立安全性合约。也就是说,安全性合约620B允许站点2中的Web-EPG2与站点1中的App-EPG1通信。另外,安全性合约620C允许站点1中的Web-EPG1与站点2中的App-EPG2通信。在正常操作期间,Web-EPG和App-EPG中的主机可以与同一站点中的EPG进行通信,因为这避免了在公共网络间发送分组的额外时延。然而,如果EPG之一发生故障,则该站点处的仍在运转的EPG可以依赖于另一站点中的EPG来继续向客户提供期望的服务。例如,如果App-EPG1发生故障,则Web-EPG1可以使用被指派到App-EPG2的站点2中的主机和应用来执行通常将由被指派到App-EPG1的主机和应用执行的服务。以这种方式,如果图6中的EPG中的任何一者发生故障,则安全性合约620提供策略以使得备用EPG可以被使用。
与EPG在站点之间被扩展的图2不同,在图6中,EPG未在站点之间被扩展,并且因此,Web-EPG1中的主机或应用不能与Web-EPG2中的主机和应用通信。这对于App-EPG1和App-EPG2中的主机和应用同样成立。然而,因为合约620,Web-EPG1和Web-EPG2中的主机和应用可以与任一App-EPG中的主机和应用通信,反之亦然。
虽然图6图示了两个站点,但在添加第三站点的情况下可添加额外的冗余性。通过在所有三个站点中的Web-EPG和App-EPG之间添加合约,如果任何一个EPG发生故障,则其工作可以被分布在两个不同站点间(或者被发送到最不繁忙的站点上的EPG)。这样,本文描述的原理可以被扩展到具有任意数目的站点的统一结构。另外,虽然针对冗余性描述了图6,但本文的实施例也可以用于负载平衡。例如,假设图6中的所有EPG都能运转,则如果App-EPG变得工作过度,那么Web-EPG1可以开始将其流量中的一些负载转移到站点2和App-EPG2,从而在统一结构间分布其工作负载。
图7图示了根据本文描述的一个实施例的建立影子EPG来允许不同站点中的真实EPG通信。图6图示了(可被呈现给***管理员的)统一结构的高级别逻辑视图,而图7图示了多站点控制器可以执行来确保一个站点上的EPG可以被用作另一站点中的EPG的备份(或者执行负载平衡)的技术改变。
图7图示了图6中的VRF实例610的更详细视图。在此示例中,多站点控制器指示站点1和站点2的本地站点控制器来生成影子EPG。在一个实施例中,影子EPG是一个中介,其表示两个不同站点中的EPG之间的安全性合约。影子EPG是有用的,因为站点不需要具有关于其他站点中的远程对象(例如,EPG)的知识。也就是说,站点1不需要知道什么EPG在站点2中,反之亦然。取而代之,多站点控制器可以建立影子EPG,以在其他站点中充当EPG的代理或中介。如下所述,多站点控制器可以在站点中的影子EPG和真实EPG之间建立安全性合约。
在此情况下,因为站点中的两个Web-EPG都与站点中的两个App-EPG具有安全性合约,所以多站点控制器可在站点1中建立Web-EPG2’(其中’指示出EPG是影子EPG),在站点2中建立Web-EPG1’,在站点1中建立App-EPG2’,并且在站点2中建立App-EPG1’。此外,本地站点控制器在每个站点处的影子EPG和真实EPG之间建立额外的安全性合约720。这些安全性合约表示在不同站点中的EPG之间延伸的图6中的安全性合约620B和620C。具体而言,图6中的安全性合约620B在图7中由真实App-EPG1和影子Web-EPG2’之间的安全性合约720B和影子App-EPG1’和真实Web-EPG2之间的安全性合约720C表示。图6中的安全性合约620C在图7中由真实Web-EPG1和影子App-EPG2’之间的安全性合约720A和真实App-EPG2和影子Web-EPG1’之间的安全性合约720D表示。如下所述,各个站点中的真实和影子EPG之间的安全性合约720允许不同站点中的EPG彼此通信。
图8是根据本文描述的一个实施例的用于使用影子EPG在不同站点中的EPG之间通信的方法800的流程图。为了清楚起见,协同图7中的统一结构和图4中所示的示例分组传输来论述方法800。
方法800的块805-820对应于图5中的块505-520,其中被指派到第一EPG(例如,Web-EPG1)的站点1中的主机H1向被指派到第二EPG(例如,App-EPG2)的站点2中的主机H4发送分组,并且因此,在这里不作详细描述。在一个实施例中,方法800在本地EPG发生故障时开始(例如,站点1处的App-EPG1发生故障,强迫被指派到Web-EPG1的主机向站点2处的App-EPG2发送流量)。在另一实施例中,方法800是作为负载平衡的一部分执行的,使得被指派到Web-EPG1的主机向站点1处的本地App-EPG1和站点2处的外部App-EPG2两者发送数据。
在块825,骨干交换机S6将接收到的分组中的源标识符转换成第二站点中的相应影子EPG。也就是说,与EPG在站点之间被扩展的方法300和500不同,在方法800中,EPG未在站点之间被扩展。这样,骨干交换机S6将分组中的源标识符从由站点1中的命名空间定义的值改变成指派到影子EPG的由站点2中的命名空间定义的值。假设主机H1被指派到Web-EPG1并且具有类ID“Z”并且站点2中的影子Web-EPG1’具有类ID“O”,则骨干交换机S6将分组中的源标识符从Z转换到O。现在,从站点2中的其他组件的角度来看,分组看起来是源自于影子Web-EPG1’。除了为EPG更新源标识符以外,骨干交换机S6如上所述也可以为BD和VRF更新源标识符。
因此,在块825,骨干交换机S6检查是否存在命名空间转换映射,交换机S6可以使用该命名空间转换映射来将站点1中的EPG的源标识符转换成站点2中的影子EPG的源标识符。如果否,则这可以指示在站点1中的EPG和站点2中的本地EPG之间没有安全性合约,并且因此,在块840,骨干交换机S6丢弃该分组。换句话说,如果多站点控制器没有为来自站点1的分组中的源标识符提供命名空间转换映射,则这指示在站点2处没有相应的影子EPG,并且骨干交换机不应当将该分组转发到其目的地。
然而,如果对于接收到的分组和影子EPG中的源标识符存在命名空间转换映射,则这指示在两个EPG之间存在合约并且骨干交换机S6利用影子EPG的源标识符(例如,类ID)来替换分组中的源标识符。在块835,S2中的交换结构将分组(其现在包括影子EPG的源标识符)路由到RX主机。
提供影子EPG使得站点2能够具有指示被指派到影子EPG的数据流量能够与被指派到真实EPG的主机或应用进行通信的安全性合约。例如,参考图7,从站点1中的Web-EPG1接收的流量首先被转换到站点2处的Web-EPG1’。合约720D为站点2提供了将该分组(其被指派到Web-EPG1’)路由到被指派到App-EPG2的目的地的许可。以这种方式,源自于被指派到站点1上的Web-EPG1的主机的流量可以到达被指派到站点2上的App-EPG2的主机。这也由图6中的合约620C从逻辑上示出。
使用方法800,多站点控制器可以建立影子EPG,这些影子EPG在不同站点中充当EPG之间的中介并且在EPG之间建立安全性合约。换句话说,影子EPG是不同站点中的EPG的代理,使得可以在同一站点的EPG之间建立接入策略。因为影子EPG,所以个体站点不需要关于其他站点中的对象或者其配置的知识。当接收到分组时,源标识符被转换成站点的命名空间中的相应影子EPG的源标识符。分组随后通过结构被路由到被指派到不同EPG的目的地主机或应用。也就是说,接收站点具有指示被指派到影子EPG的分组被允许与被指派到目的地主机的EPG进行通信的安全性合约。
在前文中,参考了本公开中呈现的实施例。然而,本公开的范围不限于描述的具体实施例。相反,可以考虑所描述的特征和元素的任何组合,无论是否与不同实施例相关,都可实现和实践所设想的实施例。此外,虽然本文公开的实施例可以实现相对于其他可能解决方案或者相对于现有技术的优点,但是给定的实施例是否实现特定优点并不会限制本公开的范围。因此,除非在(一个或多个)权利要求中有明确记载,否则前述方面、特征、实施例和优点仅是说明性的,并且不被认为是所附权利要求的元素或限制。
正如本领域技术人员将会理解的,本文公开的实施例可以实现为***、方法或者计算机程序产品。因此,各方面可以采取如下形式:完全的硬件实施例、完全的软件实施例(包括固件、驻留软件、微代码,等等)、或者组合了软件和硬件方面的实施例,它们在本文中可以全部被统称为“电路”、“模块”或者“***”。此外,各方面可以采取包含在一个或多个计算机可读介质中的计算机程序产品的形式,该一个或多个计算机可读介质上包含有计算机可读程序代码。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质可以例如但不限于是电的、磁的、光的、电磁的、红外的或者半导体***、装置或设备,或者前述的任何适当组合。计算机可读存储介质的更具体示例(非详尽列表)将包括以下各项:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或者前述的任何适当组合。在本文档的上下文中,计算机可读存储介质是任何有形介质,其可以包含或存储程序以供指令执行***、装置或设备使用或者与其结合使用。
计算机可读信号介质可以包括例如在基带中或者作为载波的一部分的传播的数据信号,其中包含有计算机可读程序代码。这种传播的信号可以采取多种形式中的任何一种,包括但不限于电磁信号、光信号或这些信号的任何适当组合。计算机可读信号介质可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以传达、传播或者传输由指令执行***、装置或者设备使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以使用任何适当的介质来传输,包括但不限于无线、有线、光纤电缆、RF等等,或者上述的任何适当组合。
可以用一种或多种编程语言的任何组合来编写用于执行本公开的各方面的操作的计算机程序代码,这些编程语言包括面向对象的编程语言,诸如Java、Smalltalk、C++等等;以及常规的过程式编程语言,诸如“C”编程语言或者类似的编程语言。程序代码可以完全地在用户的计算机上执行、部分地在用户的计算机上执行、作为独立的软件包执行、部分在用户的计算机上且部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过包括局域网(LAN)或广域网(WAN)在内的任何类型的网络来连接到用户的计算机,或者可以与外部计算机进行连接(例如,使用互联网服务提供商通过互联网进行)。
下面参考根据本公开中呈现的实施例的方法、装置(***)和计算机程序产品的流程图和/或框图来描述本公开的各方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令来实现。这些计算机程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,以生产出一种机器,使得这些指令在经由计算机或其他可编程数据处理装置的处理器执行时,产生了用于实现流程图和/或框图的一个或多个方框中指定的功能/动作的装置。
也可以将这些计算机程序指令存储在计算机可读介质中,这些指令可以指挥计算机、其他可编程数据处理装置或者其他设备以特定方式工作,使得存储在计算机可读介质中的指令产生包括实现流程图和/或框图的一个或多个方框中指定的功能/动作的指令的制造品(article of manufacture)。
也可以将计算机程序指令加载到计算机、其他可编程数据处理装置或其他设备上以使得一系列操作步骤在该计算机、其他可编程装置或其他设备上被执行来产生计算机实现的过程,使得在该计算机或其他可编程装置上执行的指令提供用于实现流程图和/或框图的一个或多个方框中指定的功能/动作的过程。
附图中的流程图和框图示出了根据各种实施例的***、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表模块、片段或者代码的部分,所述模块、片段或者代码的部分包括一个或多个用于实现指定的(一个或多个)逻辑功能的可执行指令。还应当注意,在一些替换实现方式中,方框中标注的功能也可以按不同于附图中标注的顺序发生。例如,取决于所涉及的功能,接连示出的两个方框实际上可以被基本同时执行,或者方框有时可以按相反顺序被执行。还要注意,框图和/或流程图的每个方框、以及框图和/或流程图中的方框的组合,可以由执行指定的功能或动作的专用的基于硬件的***来实现,或者可以由专用硬件和计算机指令的组合来实现。
鉴于前述内容,本公开的范围由所附权利要求来确定。
Claims (23)
1.一种通信***,包括:
第一站点处的第一交换结构;
第二站点处的第二交换结构,其中,所述第一站点与所述第二站点在不同地理位置处,其中,所述第一交换结构和所述第二交换结构经由公共网络通信地耦合;并且
其中,所述第一交换结构被配置为:
从所述第一站点处的第一主机接收分组,所述分组包括(i)目的地,对应所述第二站点处的第二主机,以及(ii)第一源标识符值,由所述第一站点的命名空间定义的,对应第一端点群组EPG,其中,所述第一主机被指派到所述第一EPG;
其中,所述第二交换结构被配置为:
经由所述公共网络从所述第一交换结构接收所述分组;并且
在所述分组中的所述第一源标识符值被转换成由所述第二站点的命名空间定义的,对应第二EPG的第二源标识符值之后,将所述分组转发到所述第二主机。
2.如权利要求1所述的***,其中,所述第一EPG和第二EPG是在所述第一站点和第二站点之间延伸的扩展EPG的一部分,其中,所述第一EPG和第二EPG在同一桥接域和子网中的至少一者中。
3.如权利要求1或2所述的***,其中,所述第二主机被指派到与所述第一EPG和第二EPG不同的第三EPG,其中,将所述分组转发到所述第二主机包括:
确定所述第二站点中的安全性策略是否允许被指派到所述第二EPG的分组传输到所述第三EPG;以及
响应于确定所述安全性策略允许被指派到所述第二EPG的分组传输到所述第三EPG,将所述分组转发到所述第二主机。
4.如权利要求1或2所述的***,其中,从所述第二主机的角度来看,所述分组看起来是源自于所述第二站点而不是所述第一站点的。
5.如权利要求1或2所述的***,其中,所述第二EPG是在所述第二站点处充当所述第一EPG的代理的影子EPG,其中,所述第二主机被指派到与所述第一EPG和第二EPG不同的第三EPG。
6.如权利要求5所述的***,其中,将所述分组转发到所述第二主机包括:
确定所述第二站点中的安全性策略是否允许被指派到所述影子EPG的分组传输到所述第三EPG;以及
响应于确定所述安全性策略允许被指派到所述影子EPG的分组传输到所述第三EPG,将所述分组转发到所述第二主机。
7.如权利要求1或2所述的***,其中,所述分组包含包括所述第一源标识符值的第一多个源标识符,其中,所述第一多个源标识符包括所述第一EPG的类ID和包含所述第一EPG的所述第一站点中的子网的标识,
其中,在将所述第一多个源标识符转换成由所述第二站点的命名空间定义的第二多个源标识符之后,将所述分组转发到所述第二主机。
8.一种通信方法,包括:
在第二站点处的第二交换结构处从第一站点处的第一交换结构接收分组,其中,所述分组包括(i)目的地,对应耦合到所述第二站点处的所述第二交换结构的第二主机,以及(ii)第一源标识符,由所述第一站点的命名空间定义的,对应第一EPG,其中,第一主机被指派到所述第一EPG;
将所述分组中的所述第一源标识符转换成由所述第二站点的命名空间定义的,对应第二EPG的第二源标识符;以及
将所述分组转发到所述第二主机,其中,所述分组包含所述第二源标识符。
9.如权利要求8所述的方法,其中,所述第一EPG和第二EPG是在所述第一站点和第二站点之间共享的扩展EPG的一部分,其中,所述第一EPG和第二EPG是同一桥接域和子网中的至少一者。
10.如权利要求8或9所述的方法,其中,所述第二主机被指派到与所述第一EPG和第二EPG不同的第三EPG,其中,将所述分组转发到所述第二主机包括:
确定所述第二站点中的安全性策略是否允许被指派到所述第二EPG的分组传输到所述第三EPG;以及
响应于确定所述安全性策略允许被指派到所述第二EPG的分组传输到所述第三EPG,将所述分组转发到所述第二主机。
11.如权利要求8或9所述的方法,其中,从所述第二主机的角度来看,所述分组看起来是源自于所述第二站点而不是所述第一站点的。
12.如权利要求8或9所述的方法,其中,所述第二EPG是在所述第二站点处充当所述第一EPG的代理的影子EPG,其中,所述第二主机被指派到与所述第一EPG和第二EPG不同的第三EPG。
13.如权利要求12所述的方法,其中,将所述分组转发到所述第二主机包括:
确定所述第二站点中的安全性策略是否允许被指派到所述影子EPG的分组传输到所述第三EPG;以及
响应于确定所述安全性策略允许被指派到所述影子EPG的分组传输到所述第三EPG,将所述分组转发到所述第二主机。
14.如权利要求8或9所述的方法,其中,所述分组包含包括所述第一源标识符的第一多个源标识符,其中,所述第一多个源标识符包括所述第一EPG的类ID和包含所述第一EPG的所述第一站点中的子网的标识,其中,所述方法包括:
将所述第一多个源标识符转换成由所述第二站点的命名空间定义的第二多个源标识符。
15.一种通信***,包括:
第一本地站点控制器,被配置为管理第一站点处的第一交换结构;
第二本地站点控制器,被配置为管理第二站点处的第二交换结构;以及
多站点控制器,通信地耦合到所述第一本地站点控制器和第二本地站点控制器,其中,所述多站点控制器被配置为,当在一个或多个处理器上被执行时:
从所述第一本地站点控制器和第二本地站点控制器接收相应命名空间,所述相应命名空间指示用于对所述第一交换结构和第二交换结构中的EPG进行命名的源标识符,以及
为所述第一站点和第二站点生成相应命名空间转换映射,其中,所述相应命名空间转换映射包括用于将在所述第一站点和第二站点之间传输的分组中的源标识符从由所述第一站点和第二站点中的一个站点的相应命名空间定义的第一值转换成由另一站点的相应命名空间定义的第二值的信息。
16.如权利要求15所述的***,其中,所述相应命名空间是私有命名空间。
17.如权利要求15或16所述的***,其中,所述相应命名空间包括被指派到所述第一站点中的至少一个对象和所述第二站点中的至少一个对象的至少一个冲突的源标识符值。
18.如权利要求15或16所述的***,其中,生成所述相应命名空间转换映射是作为添加扩展EPG的一部分来执行的,所述扩展EPG在所述第一站点和第二站点之间扩展。
19.如权利要求15或16所述的***,其中,生成所述相应命名空间转换映射是作为提供安全性策略以使源自于被指派到所述第一站点处的第一EPG的主机的流量能够传输到被指派到所述第二站点处的第二EPG的主机的一部分来执行的。
20.如权利要求19所述的***,其中,所述多站点控制器被配置为:
指示所述第二本地站点控制器向所述第二站点添加影子EPG,所述影子EPG是所述第一站点中的第一EPG和所述第二站点中的第二EPG之间的中介。
21.一种通信装置,包括:
用于在第二站点处的第二交换结构处从第一站点处的第一交换结构接收分组的设备,其中,所述分组包括(i)目的地,对应耦合到所述第二站点处的所述第二交换结构的第二主机,以及(ii)第一源标识符,由所述第一站点的命名空间定义的,对应第一EPG,其中,第一主机被指派到所述第一EPG;
用于将所述分组中的所述第一源标识符转换成由所述第二站点的命名空间定义的,对应第二EPG的第二源标识符的设备;以及
用于将所述分组转发到所述第二主机的设备,其中,所述分组包含所述第二源标识符。
22.根据权利要求21所述的装置,还包括用于实现如权利要求9至14中任一项所述的方法的设备。
23.一种包括指令的计算机可读介质,所述指令在被计算机执行时,使得所述计算机执行如权利要求8至14中任一项所述的方法的步骤。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862694384P | 2018-07-05 | 2018-07-05 | |
| US62/694,384 | 2018-07-05 | ||
| US16/164,607 | 2018-10-18 | ||
| US16/164,607 US11178071B2 (en) | 2018-07-05 | 2018-10-18 | Multisite interconnect and policy with switching fabrics |
| PCT/US2019/040410 WO2020010151A1 (en) | 2018-07-05 | 2019-07-02 | Multisite interconnect and policy with switching fabrics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112368979A CN112368979A (zh) | 2021-02-12 |
| CN112368979B true CN112368979B (zh) | 2022-06-17 |
Family
ID=67539580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980041295.8A Active CN112368979B (zh) | 2018-07-05 | 2019-07-02 | 通信装置、方法和*** |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US11178071B2 (zh) |
| EP (1) | EP3818668A1 (zh) |
| CN (1) | CN112368979B (zh) |
| WO (1) | WO2020010151A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11422912B2 (en) | 2019-04-19 | 2022-08-23 | Vmware, Inc. | Accurate time estimates for operations performed on an SDDC |
| US11424940B2 (en) * | 2019-06-01 | 2022-08-23 | Vmware, Inc. | Standalone tool for certificate management |
| CN113141291B (zh) * | 2020-01-17 | 2022-07-26 | 华为技术有限公司 | 一种数据传输方法及相关的设备和*** |
| US11277447B2 (en) | 2020-07-17 | 2022-03-15 | Cisco Technology, Inc. | Distributed policy enforcement proxy with dynamic EPG sharding |
| US11336515B1 (en) | 2021-01-06 | 2022-05-17 | Cisco Technology, Inc. | Simultaneous interoperability with policy-aware and policy-unaware data center sites |
| CN113328942B (zh) * | 2021-04-14 | 2022-04-01 | 新华三大数据技术有限公司 | 一种配置下发方法及装置、计算机设备 |
| CN113542213B (zh) * | 2021-05-27 | 2023-09-22 | 新华三大数据技术有限公司 | 一种访问控制策略生成方法及装置、编排器 |
| CN113438208B (zh) * | 2021-06-03 | 2022-08-26 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103650525A (zh) * | 2012-06-19 | 2014-03-19 | 索尼公司 | 用于交互式电视的触发参数表的扩展 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096669A2 (en) * | 2002-05-10 | 2003-11-20 | Reisman Richard R | Method and apparatus for browsing using multiple coordinated device |
| US20040193677A1 (en) | 2003-03-24 | 2004-09-30 | Shaul Dar | Network service architecture |
| US7715380B2 (en) | 2003-06-19 | 2010-05-11 | Cisco Technology, Inc. | Apparatus and methods for handling shared services through virtual route forwarding (VRF)-aware-NAT |
| US8707383B2 (en) | 2006-08-16 | 2014-04-22 | International Business Machines Corporation | Computer workload management with security policy enforcement |
| US20100027549A1 (en) | 2008-07-31 | 2010-02-04 | Michael Satterlee | Method and apparatus for providing virtual private network identifier |
| JP5606674B2 (ja) | 2008-12-12 | 2014-10-15 | 横河電機株式会社 | ゲートウェイ装置及びこれを用いた無線制御ネットワーク管理システム |
| US8098656B2 (en) | 2009-06-26 | 2012-01-17 | Avaya, Inc. | Method and apparatus for implementing L2 VPNs on an IP network |
| US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US20110072487A1 (en) | 2009-09-23 | 2011-03-24 | Computer Associates Think, Inc. | System, Method, and Software for Providing Access Control Enforcement Capabilities in Cloud Computing Systems |
| US20110137966A1 (en) | 2009-12-08 | 2011-06-09 | Netapp, Inc. | Methods and systems for providing a unified namespace for multiple network protocols |
| JP5691703B2 (ja) | 2011-03-18 | 2015-04-01 | 富士通株式会社 | マルチキャストネットワークシステム |
| US8854973B2 (en) | 2012-08-29 | 2014-10-07 | International Business Machines Corporation | Sliced routing table management with replication |
| US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| US20150124824A1 (en) | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Incast drop cause telemetry |
| US9455960B2 (en) | 2014-03-14 | 2016-09-27 | Soha Systems, Inc. | Secure application delivery system with dynamic stitching of network connections in the cloud |
| US9313129B2 (en) * | 2014-03-14 | 2016-04-12 | Nicira, Inc. | Logical router processing by network controller |
| US9807020B2 (en) | 2015-05-08 | 2017-10-31 | Cisco Technology, Inc. | Policy enforcement for upstream flood traffic |
| US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US9838315B2 (en) | 2015-07-29 | 2017-12-05 | Cisco Technology, Inc. | Stretched subnet routing |
| US10320672B2 (en) | 2016-05-03 | 2019-06-11 | Cisco Technology, Inc. | Shared service access for multi-tenancy in a data center fabric |
| US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
| US10423487B2 (en) * | 2016-08-19 | 2019-09-24 | Samsung Electronics Co., Ltd. | Data protection offloads using SSD peering |
| US10244071B2 (en) * | 2016-11-21 | 2019-03-26 | Intel Corporation | Data management in an edge network |
| US10552221B2 (en) * | 2016-12-16 | 2020-02-04 | Turbonomic, Inc. | Systems, apparatus and methods for managing resources in computer systems |
-
2018
- 2018-10-18 US US16/164,607 patent/US11178071B2/en active Active
-
2019
- 2019-07-02 EP EP19749477.6A patent/EP3818668A1/en active Pending
- 2019-07-02 WO PCT/US2019/040410 patent/WO2020010151A1/en active Application Filing
- 2019-07-02 CN CN201980041295.8A patent/CN112368979B/zh active Active
-
2021
- 2021-09-15 US US17/447,773 patent/US11757793B2/en active Active
-
2023
- 2023-09-11 US US18/464,783 patent/US20240048509A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103650525A (zh) * | 2012-06-19 | 2014-03-19 | 索尼公司 | 用于交互式电视的触发参数表的扩展 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112368979A (zh) | 2021-02-12 |
| US11178071B2 (en) | 2021-11-16 |
| US20220006758A1 (en) | 2022-01-06 |
| WO2020010151A1 (en) | 2020-01-09 |
| EP3818668A1 (en) | 2021-05-12 |
| US20240048509A1 (en) | 2024-02-08 |
| US11757793B2 (en) | 2023-09-12 |
| US20200014636A1 (en) | 2020-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112368979B (zh) | 通信装置、方法和*** | |
| US11658936B2 (en) | Resizing virtual private networks in provider network environments | |
| US11863625B2 (en) | Routing messages between cloud service providers | |
| US11563681B2 (en) | Managing communications using alternative packet addressing | |
| US11089021B2 (en) | Private network layering in provider network environments | |
| US10361911B2 (en) | Managing use of alternative intermediate destination computing nodes for provided computer networks | |
| US9736016B2 (en) | Managing failure behavior for computing nodes of provided computer networks | |
| JP5953421B2 (ja) | 仮想サーバおよび非仮想サーバ混在環境におけるテナントネットワーク構成の管理方法 | |
| US9967346B2 (en) | Passing data over virtual links | |
| US11888815B2 (en) | Scalable and on-demand multi-tenant and multi region secure network | |
| US9344360B2 (en) | Technique for managing an allocation of a VLAN | |
| US11949602B2 (en) | Stretched EPG and micro-segmentation in multisite fabrics | |
| US9967140B2 (en) | Virtual links for network appliances | |
| CN117201574A (zh) | 一种基于公有云的vpc之间的通信方法及相关产品 | |
| KR20180105375A (ko) | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 | |
| US20240244012A1 (en) | Stretched epg and micro-segmentation in multisite fabrics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |