CN113056895B - 用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的***和方法 - Google Patents
用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的***和方法 Download PDFInfo
- Publication number
- CN113056895B CN113056895B CN201980075128.5A CN201980075128A CN113056895B CN 113056895 B CN113056895 B CN 113056895B CN 201980075128 A CN201980075128 A CN 201980075128A CN 113056895 B CN113056895 B CN 113056895B
- Authority
- CN
- China
- Prior art keywords
- aces
- ccgs
- network
- canonical
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/04—Protocols for data compression, e.g. ROHC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本技术涉及用于实现离线方案的***和方法,该离线方案用于将所提供配置中的一组常规的、基于IP的访问控制条目自动且有效地转换为压缩形式,该压缩形式然后可以被表示为基于对象组的访问控制条目。压缩是在所提供的访问控制列表的如下连续块上执行的:这些连续块具有共同的、被规定的过滤访问。压缩是通过迭代地选择跨ACE具有不匹配数据值的数据字段并将数据值合并到输出ACE的相应数据字段中来执行的。然后将其他数据字段的共同值导入到输出ACE的相应数据字段中。通过针对每个迭代回合分配不同的数据字段作为所选数据字段,来以迭代方式重复该过程。
Description
相关申请的交叉引用
本申请要求于2019年3月28日提交的题为“SYSTEM AND METHOD FOR MIGRATINGEXISTING ACCESS CONTROL LIST POLICIES TO INTENT BASED POLICIES AND VICEVERSA”(用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的***和方法)的美国非临时专利申请号16/368,695的权益和优先权,并要求于2018年11月20日提交的题为“SYSTEM AND METHOD FOR MIGRATING EXISTING ACCESS CONTROL LIST POLICIES TO/FROM INTENT BASED POLICIES”(用于向/从基于意图的策略迁移现有访问控制列表策略的***和方法)的美国临时专利申请号62/770,101的权益,它们的全部内容通过引用合并于此。
技术领域
本技术涉及用于管理网络安全策略的***和方法。更具体地,本技术涉及针对基于意图的策略的网络安全实现方式。
背景技术
访问控制策略传统上是使用基于IP的访问控制列表(Access Control List,ACL)来实现的。基于IP的ACL是应用于IP数据包(packet)的允许和拒绝条件的循序集合。路由器针对ACL中的条件一次一个对数据包进行测试。首先匹配(first match)确定是转发数据包还是丢弃数据包。然而,在基于意图的网络管理中心(例如,Cisco的数字网络架构中心(Digital Network Architecture Center,DNA-C))中,客户端可能经由基于意图的机制来配置安全策略。在这种情况下,正被迁移到基于意图的管理中心(即,DNA-C)的先前配设的网络设备可能携带常规安全策略配置(例如,表示为常规的、基于IP的ACL)。需要一个工具或一组工具来将现有安全策略迁移到基于意图的策略。
附图说明
为了描述可以获得本公开的以上提及的以及其他优点和特征的方式,将呈现对以上简要描述的原理的更具体描述,这通过参考在附图中示出的其特定实施例来进行。在理解这些附图仅描绘了本公开的示例性实施例因此不应被认为是对其范围的限制的情况下,通过使用附图以附加的特征和细节来描述和解释本文的原理,其中:
图1示出了根据本技术的一些实施例的将访问控制条目分组到候选压缩组中。
图2示出了根据本技术的一些实施例的一组规范(canonical)访问控制条目。
图3示出了根据本技术的一些实施例的在第一回合压缩之后的一组规范访问控制条目。
图4示出了根据本技术的一些实施例的在第二回合压缩之后的一组规范访问控制条目。
图5示出了根据本技术的一些实施例的基于精确匹配等效标准的一组完全压缩的规范访问控制条目。
图6示出了根据本技术的一些实施例的用于将基于IP的访问控制列表条目转换为基于对象组的访问控制条目的示例操作流。
图7示出了根据本发明的一些实施例的企业网络的物理拓扑的示例。
图8示出了根据本发明的一些实施例的用于企业网络的逻辑架构的示例。
图9示出了根据本发明的一些实施例的用于多站点企业网络的物理拓扑的示例。
图10示出了根据本技术的一些实施例的示例网络设备。
图11示出了根据本技术的一些实施例的计算设备的示例架构。
具体实施方式
下面详细讨论本公开的各种示例实施例。尽管讨论了具体的实现方式,但应理解这样做仅是为了说明的目的。相关领域内的技术人员将认识到,可使用其他组件和配置,而不背离本公开的精神和范围。因此,以下描述和附图是说明性的,并且不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而,在某些情形下,为了避免使描述不清楚,没有描述众所周知的或常规的细节。在本公开中对一个实施例或一实施例的引用可以是对相同实施例或任何实施例的引用;并且,这样的引用意味着至少一个实施例。
对“一个实施例”或“实施例”的引用意味着结合该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中各处出现的短语“在一个实施例中”不一定全都指代同一实施例,也不是与其他实施例相互排斥的单独的或替代的实施例。此外,描述了可以由一些实施例而不由其他实施例展现的各种特征。
本说明书中使用的术语,在本公开的上下文中,以及在使用每个术语的具体上下文中,一般具有其在本领域中的普通含义。针对本文讨论的一个或多个术语,可以使用替代语言和同义词,不应就本文是否详细描述或讨论术语而施加特殊意义。在一些情况下,提供了某些术语的同义词。一个或多个同义词的记载不排除使用其他同义词。本说明书中任何地方对示例(包括本文讨论的任何术语的示例)的使用仅是说明性的,并且不意在进一步限制本公开或任何示例术语的范围和含义。同样,本公开不限于本说明书中给出的各种实施例。
在不意图限制本公开的范围的情况下,下面给出根据本公开的实施例的工具、装置、方法及其相关结果的示例。注意,为了方便读者,可以在示例中使用标题或副标题,这绝不应该限制本公开的范围。除非另外进行定义,否则本文所使用的技术和科学术语具有如本公开所属的领域的普通技术人员通常所理解的含义。在发生冲突的情况下,以本文件(包括定义)为准。
本公开的附加特征和优点将在下面的描述中阐述,并且部分地将是从该描述中显而易见的,或者可以通过实践本文所公开的原理来获悉的。可以通过在所附权利要求中特别指出的工具和组合来实现和获得本公开的特征和优点。本公开的这些及其他特征将根据以下描述和所附权利要求书而变得更加明显,或者可以通过实践本文阐述的原理来被获悉。
概述
在独立权利要求中陈述了本发明的各方面,并在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面相组合地应用于每个方面。
公开了***、方法和计算机可读介质,用于基于使用迭代压缩方案对所提供的访问控制列表配置中的常规的、基于IP的访问控制条目进行动态转换,该迭代压缩方案可以在离线环境中被应用于所提供的访问控制条目。将压缩方案迭代应用于所提供的一组基于IP的访问控制条目使得形成一个或多个经压缩访问控制条目。可以通过如下操作来将一个或多个经压缩访问控制条目表示为一个或多个基于对象组或基于安全组的访问控制条目:分配相关的对象组或安全组标记以用于表示与一个或多个经压缩访问控制条目相关联的一个或多个数据字段的内容。
在本技术的一个方面中,一种方法包括:将多个规范访问控制条目(AccessControl entry,ACE)分组为一个或多个候选压缩组(candidate compression group,CCG),每个规范ACE包括多个数据字段;在一个或多个CCG中的每一者中,标识多个等效规范ACE,该多个等效规范ACE在指定数据字段上对应于不匹配的数据值,并且在多个剩余数据字段上对应于相同的数据值;以及在一个或多个CCG中的每一者中,通过改变该指定数据字段来以迭代方式将多个等效规范ACE合并在一起,从而在一个或多个CCG中的每一者中将多个规范ACE转换为一个或多个基于对象组的ACE或一个或多个基于安全组的ACE。
详细描述
表示基于意图的安全策略的一种方法是通过基于对象组的访问控制列表(ObjectGroup based Access Control List,OG-ACL)。例如,可以按照某种分组策略对用户/设备进行分组。然后可以允许/禁止这些组访问应用。这可以被表示为一个或多个基于对象组的访问控制条目的集合。
本技术的一些实施例涉及一种离线方法和工具,用于将常规基于IP的访问控制列表(ACL)转换为基于对象组的ACL。网络对象组可以包含单个对象(例如,单个IP地址、主机名、另一个网络对象组、或子网)或多个对象(例如,多个IP地址、主机名、IP地址范围、其他对象网络组、或子网的组合)。对象组可以与基于网络对象组的访问控制列表(ACL)中的ACL一起使用,来创建针对对象的访问控制策略。
因此,用于ACL的对象组使得能够将用户、设备或协议整合为组,这些组然后可以被应用于访问控制列表(ACL),从而为上述组创建访问控制策略。该特性使得能够使用对象组,而不是使用单独的IP地址、协议和端口(它们被使用在常规ACL中)。虽然基于对象组的ACL可以具有多个访问控制条目(ACE),但是基于对象组的ACL中的每个单个ACE可以为整组用户定义访问控制策略,以用于访问一组服务器或服务或者拒绝他们访问一组服务器或服务。
与常规的、基于IP的ACL相比,基于对象组的ACL可以进一步提高网络性能,尤其是在入站和出站数据包流量很大的情况下。此外,基于对象组的访问控制条目(Object-Groups based Access Control Entry,OG-ACE)可以消除针对每个地址及协议配对来定义单独的访问控制条目(ACE)的需要,并且因此减少了非易失性随机访问存储器(NonVolatile Random Access Memory,NVRAM)中所需的存储。这在大型配置文件中特别有利。
此外,在大型网络中,ACL的数量可能很大(数百行),并且难以进行配置和管理,尤其是在ACL频繁更改的情况下。另一方面,与常规ACL相比,基于对象组的ACL更小、更易读且更易于配置和管理。因此,基于对象组的ACL简化了大型用户访问环境的静态和动态ACL部署两者。
对象组ACL可以用于表示基于意图的安全策略。例如,可以根据特定分组策略对用户/设备进行分组。然后可以允许/禁止这些组访问网络应用和资源。这种形式的安全策略可以被表示为基于对象组的访问控制条目(OG-ACE),这些OG-ACE然后可以受到(一个或多个)用户发起的输入的影响,从而生成基于安全组的访问控制列表(Security-Group basedAccess Control List,SG-ACL)。本技术的一些实施例描述了一种***和方法,用于针对正被迁移到基于意图的平台上的设备,将预先存在的传统IP ACL自动转换为基于对象组和/或安全组的ACL。
根据本技术的一些实施例,能够被提供给DNA-C的任何基于IP的ACL可以被动态地转换为基于对象组的ACL并且被推送到相关的网络设备上。这种方法将节省交换机上有限的高性能三态内容可寻址存储器(TCAM是一种特殊类型的高速存储器,可在单个时钟周期内搜索其全部内容)的空间,并降低DNA-C与交换机之间的事务成本(例如,由于批量较小)。
本技术的一个方面涉及在所提供的ACL中的各种访问控制条目之间检查等效模式,以促进对ACL内容的压缩。实现这一点的一个挑战来自于在传统的基于IP的ACL中表示访问控制条目(ACE)的方式中存在语法和语义变化。基于IP的ACL可以用标准格式或扩展格式来表示,这些格式与用于表示访问控制条目(ACE)的不同语法相关联。另外,ACE中未被指定的数据字段可以分配有默认值或者用关键字来表示,例如,“any”,其对应于特定数据字段的数据值的所有可能变化。此外,在同一基于IP的ACL中可以存在多种方式来表示访问控制条目。例如,同一访问控制策略可由下列四个语义上不同的访问控制条目来表示:
permit tcp any eq 80host x.x.x.x gt 1023 (1)
permit tcp any eq 80host x.x.x.x range 1024 65535 (2)
permit tcp any eq 80host x.x.x.x gt 1023established (3)
permit tcp any eq 80host x.x.x.x range 1024 65535established (4)
访问控制条目(1-4)以四种不同的方式表示同一安全意图(即,允许端口80上的从任何源主机(由语法“any”表示)到同一目的地主机地址/端口的TCP连接)。这样的语法和语义变化使得很难跨访问控制条目发现等效关系。本技术的一些实施例规定了对所提供的ACE的规范转换(即,从所提供的基于IP的ACL配置),以用于在表示ACE的方式中提供语法和语义一致性。
根据本技术的一些实施例,访问控制条目的规范形式被定义为具有用于下列项的字段:要执行的动作<A>、相应协议<P>、一个或多个源IP地址<SA>和一个或多个源端口号<SP>、以及一个或多个目的地IP地址<DA>和一个或多个目的地端口号<DP>。在访问控制条目的规范表示中,每个数据字段被明确指定(即,分配有非通配符(non-wildcard)值),并且一些数据字段可以被表示为一组明确定义的值。根据本技术的一些实施例所公开的***和方法,一旦所提供的基于IP的ACL中的访问控制条目(ACE)是以规范形式表示的,就可以将常规的基于IP的ACL转换为基于对象组的ACL。
为了说明起见,可以将访问控制列表(ACL)中每个规范表示的访问控制条目(ACE)视为一行,其中不同的相应数据字段(即,<SA>、<SP>、<DA>、<DP>)被表示为不同的列。然后可以将规范表示的ACE压缩为基于对象组的ACE。压缩是通过下列方式产生的:将在除了所选列(即,指定数据字段)之外的所有列中具有等效值的行合并在一起。因此,可以将多个输入行(输入ACE)(其特征在于,在除了指定列之外的所有列上具有匹配的字段值(即,列值))折叠或合并成输出ACE(即,输出行)。在合并操作中,所有输入行上的匹配的列值被表示为输出行的相应数据字段中的单个值,同时不匹配的列值被表示为输出行的相应数据字段中的一组不同数据值。可以针对与多个输入行相关联的每个列或数据字段迭代地重复该过程,使得每个回合(i)的输出用作后续回合(i+1)的输入。这可以产生高度折叠的等效类。然后可以使用所得的等效类来生成对象组ACE。
传统访问控制列表基于首先匹配过滤标准进行操作。这样,为了保留访问控制列表的预期目的和功能,在不考虑访问控制条目在ACL内的放置的情况下,如上所述的压缩过程可能不会在所提供的访问控制列表配置中跨所有访问控制条目被任意应用。例如,如下ACE可能不会被压缩在一起:与相反的过滤动作相对应的ACE,或与相同的过滤动作相对应但被与相反的过滤动作相关联的一个或多个ACE分隔开的ACE。为了克服该问题,本技术的一些实施例提供了压缩候选组(CCG)的概念,以便防止将访问控制条目(ACE)任意折叠或合并在一起(这可能会导致违反网络管理员/操作员意图)。根据本技术的一些实施例,压缩候选组(CCG)可以由(所提供的ACL配置中的)规定相同动作的一组连续ACE组成。因此,候选压缩组可以在具有相反动作的第一个ACE被识别出时结束,并且新的候选压缩组开始。在一些实施例中,结构控制器可以执行CCG计算作为预处理步骤。然后,结构控制器可以在完成CCG计算时,对每个预先计算的CCG分别执行如上所述的压缩/合并操作。图1提供了从所提供的ACL计算候选压缩组的示例。
在图1中,列102对应于所提供的访问控制条目(ACE)的列表,其由ACE标识符及后面跟随的规定的过滤动作(即,允许或拒绝)来表示。列104示出了用于计算候选压缩组的分组标准,该分组标准基于对规定共同过滤动作的连续部分进行描绘。所得候选压缩组(构成所提供的ACE配置的连续部分)在列106中被指定为CCG 1CCG 2和CCG 3。然后,结构控制器可以将如上所述的压缩过程分别应用于每个候选压缩组。结构控制器可以循序或并行地处理每个计算出的CCG以进行压缩。
图2-图5示出了应用于规范形式的候选压缩组的压缩过程的示例。
参考图2,表200示出了候选压缩组中的一组ACE。所使用的值仅用于说明过程是如何工作的。为了便于阅读,表200假定表200中列出的ACE的动作和协议已经是匹配的,并且因此未示出这些列。表200中所示的连续ACE条目可以被称为行。因此,表200中示出了九个ACE行的集合,每列表示不同的数据字段(即,源地址数据字段<SA>、源端口数据字段<SP>、目的地地址数据字段<DA>和目的地端口数据字段<DP>)。对于图2的示例中的所提供的ACE集合,压缩过程可以进行如下四个回合:开始于在回合1中针对<SA>列,在回合2中针对SP列,在回合3中针对DA列以及在回合4中针对DP列。针对回合所选的列可以被称为指定列。在每个回合中,压缩过程(其例如在驻留在Cisco DNATM中心中的网络控制器上运行)可以对满足可压缩性标准(就本技术而言可互换地称为等效标准)的行(即,ACE条目)进行折叠(或使其合并在一起)。图2-图5所示示例的可压缩性标准对应于:沿着指定列针对每一行(ACE)(即,在所提供的一组ACE中的每个ACE的指定数据字段中)的数据值不匹配,并且沿着所有其他(未指定)列在每一行的数据字段值中(即,在所提供的一组ACE中的每个ACE的剩余数据字段中)存在精确匹配。
基于沿着未指定列的精确匹配(即,所提供的一组ACE中的ACE在未指定匹配数据字段中的相同数据值)的可压缩性标准是能够由用户或结构控制器选择的标准。一旦运行压缩例程的控制器将候选压缩组中满足(针对指定列的)可压缩性标准的所有ACE压缩或合并在一起,则控制器将通过选择不同的指定列来重复该过程。这样,每次压缩的结果可以被保留以用作基于下一指定列的下一回合压缩的输入。因此,每个回合的输出可以被临时保存为中间结果。
图3示出了候选压缩组(CCG)301和一组所得输出ACE 302,该组所得输出ACE 302表示基于与源地址<SA>数据字段相对应的指定列303进行的第一压缩回合的临时结果。第一压缩回合的临时结果(302)可以被存储为临时/中间结果,以用作后续压缩回合的输入。为了提供第一压缩回合的示例说明,本公开回到压缩候选组301。在CCG 301中,行304和307符合压缩标准(如它们的相应指定列值之间的不匹配所指示的)。因此,运行压缩例程的结构控制器可以将与行(ACE)304和307相关联的指定列值合并在一起。中间输出表302中的行313示出了合并的结果。类似地,基于压缩例程的指令,控制器可以将行305和308组合为行314,并且将行306和309组合为行315。行310-312在所选列(指定列)中具有相同的条目,因此无法基于所选列303被压缩。这样,在第一压缩回合结束时,行310-312在输出表302中保持不变。
图3所示的第一回合压缩过程的特征还可以在于:作为合并的结果,将行307、308和309的数据字段值分别合并到行304、305和306的相应数据字段中,并且删除行307、308和309。如图3所示,在第一回合压缩结束时,所提供的一组ACE 301(也称为候选压缩组301)中的九个访问控制条目可以由临时输出组302中的六个访问控制条目等效地表示。
图4示出了回合一的压缩结果(参见图4中的表401)。用于第二压缩回合的指定列402对应于源端口<SP>数据字段。第二压缩回合的临时结果可以被存储为临时/中间结果,如表403所示。回到表401,行404、405和407满足可压缩性标准,因为它们的相应字段值(即,列值)仅在指定列上不同。因此,结构控制器可以将与行(ACE)404、405和406相关联的指定列值合并成中间输出表403中的单个行410。此外,行407、408和409也满足可压缩性标准,因为它们在除了源端口<SP>字段(即,针对回合二的指定列)之外所有的访问控制条目字段(列)上指定相同的值。因此,结构控制器可以将行407、408和409合并或组合为中间输出表403中的单个行411。如图4所示,在第二回合结束时,九个访问控制条目被压缩为两个。
在图5中,基于与目的地地址<DA>ACE字段相对应的指定列502,处理第二压缩回合的结果(表示为表501)以进行压缩。检查这组访问控制条目504和505,看起来这两行(访问控制条目)之间的合并不满足在除了指定列之外的每个字段(列)中的值之间存在精确匹配的标准。这是因为504的源地址列<SA>中指定的值为{a,a’},而505的源地址列<SA>中的相应值为a’。这样,根据上述标准,ACE表501不能够再被进一步压缩,在这种情况下,压缩过程的最终结果可以由ACE表506表示。
如所描述的,根据本技术的一些实施例,控制器或软件服务可以从所提供的包含访问控制条目的配置计算一个或多个候选压缩组(CGG)。控制器然后可以对每个计算出的CCG独立地执行压缩过程,以将每个CCG转换为压缩形式,该压缩形式能够被表示为一个或多个基于对象组的访问控制条目。根据本发明的一些实施例,可以执行附加的优化步骤(包括对预先计算的CCG的可选预处理),以便在预先计算的CCG的相邻ACE中的IP地址之中标识任何重叠。该附加的优化步骤可以产生增强的压缩结果。
图6示出了示例过程600的流程图,该示例过程600涉及将一组常规基于IP的访问控制条目(ACE)转换为压缩格式,该压缩格式用于表示为一个或多个基于对象组的访问控制条目(ACE)的集合。然后,基于对象组的ACE可以被表示为基于意图的访问控制安全策略。示例过程600包括将一组或多组规范表示的基于IP的访问控制条目(ACE)分组为一个或多个候选压缩组(CCG)的步骤,如步骤602所示。然后,示例过程可以进行到步骤604,其中,基于对指定数据字段的选择,在每个候选压缩组中标识多个等效ACE。根据本发明的一些实施例,等效ACE的特征可以在于:除指定数据字段外,相关联ACE的匹配数据字段中的数据值等效,其中该指定数据字段可以针对每个等效ACE对应于不同的数据值。
随后,在步骤606处,通过改变对指定数据字段的选择,以迭代方式将每个CCG中所标识的等效规范ACE合并。将两个或更多个等效输入ACE合并为单个输出ACE可以涉及:将两个或更多个等效输入ACE在指定数据字段中的两个或更多个非相似数据值组合为输出ACE的相应数据字段中的数据值集。此外,在两个或更多个等效输入ACE的(非指定)匹配数据字段上的等效数据值可以被表示为输出ACE的相应数据字段中的单个数据值。
根据一些实施例,可以将不同的对象组标识符或标记分配给一个或多个数据值集中的每一个(其中该一个或多个数据值集被指定在一个或多个输出ACE的一个或多个数据字段中),从而在一个或多个CCG中的每一者中将多个规范表示的基于IP的ACE转换为一个或多个基于对象组的访问控制条目,其中该一个或多个基于对象组的访问控制条目随后可以被表示为基于意图的访问控制策略配置。
根据一些实施例,可以将不同的安全组标识符或标记分配给一个或多个数据值集中的每一个(该一个或多个数据值集被指定在一个或多个输出ACE的一个或多个数据字段中),从而在一个或多个CCG中的每一者中将多个规范表示的基于IP的ACE转换为一个或多个基于安全组的访问控制条目(SG ACE),该一个或多个SG ACE随后可以被表示为基于意图的访问控制策略配置。
本技术的一些实施例描述了一种***和方法,用于通过促进从网络管理员意图(其被表示为基于对象组或安全组的访问控制策略)到可部署的ACL配置的转换(反之亦然)来简化安全策略的表示。
本技术的一些实施例涉及一种方法,用于使用多阶段算法来解析安全策略或访问控制配置,以这种方式通过使用智能算法压缩输入安全/访问控制配置来生成输出表示,这节省了大量三态内容可寻址存储器(TCAM)空间。
根据一些实施例,可以在Cisco的数字网络架构中心(DNA-C)(其是针对基于意图的企业网络的基础控制器和分析平台)的情境中实现本技术。
本公开现在转向图7、图8和图9以提供DNA-C的一些方面的结构和操作描述。
图7示出了用于提供基于意图的联网的企业网络700的物理拓扑的示例。应当理解,对于企业网络700和本文讨论的任何网络,在相似或替代配置中可以存在附加的或更少的节点、设备、链路、网络或组件。本文中还设想了具有不同数量和/或类型的端点、节点、云组件、服务器、软件组件、设备、虚拟或物理资源、配置、拓扑、服务、装置、或部署的示例实施例。此外,企业网络700可以包括能够由端点或网络设备访问和利用的任何数量或类型的资源。本文提供的图示和示例是为了清楚和简单起见。
在该示例中,企业网络700包括管理云702和网络结构720。虽然在该示例中被示为在网络结构720外部的网络或云,但是管理云702可以替代地或附加地位于组织的处所上或托管中心(colocation center)中(另外,由云提供商或类似环境进行托管)。管理云702可以提供用于构建和操作网络结构720的中央管理平面。管理云702可以负责转发配置和策略分发以及设备管理和分析。管理云702可以包括一个或多个网络控制器设备704,一个或多个认证、授权和计费(AAA)设备706,一个或多个无线局域网控制器(WLC)708,以及一个或多个结构控制平面节点710。在其他实施例中,管理云702的一个或多个元件可以与网络结构720位于同一位置。
(一个或多个)网络控制器设备704可以用作针对一个或多个网络结构的命令和控制***,并且可以容纳用于部署和管理(一个或多个)网络结构的自动化工作流。(一个或多个)网络控制器设备704可以包括自动化、设计、策略、配设和保证能力等,如下面关于图8进一步讨论的。在一些实施例中,一个或多个Cisco数字网络架构(Cisco DNATM)设备可以用作(一个或多个)网络控制器设备704。
(一个或多个)AAA设备706可以控制对计算资源的访问,促进网络策略的强制实施,审计使用情况,并且提供对服务记账所必需的信息。AAA设备可以与(一个或多个)网络控制器设备704进行交互并且与数据库和目录进行交互以提供认证、授权和计费服务,其中该数据库和目录包含用于用户、设备、事物、策略、记账的信息以及类似的信息。在一些实施例中,(一个或多个)AAA设备706可以利用远程认证拨入用户服务(Remote AuthenticationDial-In User Service,RADIUS)或Diameter来与设备和应用进行通信。在一些实施例中,一个或多个
身份服务引擎(Identity Services Engine,ISE)设备可以用作(一个或多个)AAA设备706。
(一个或多个)WLC 708可以支持附接到网络结构720的、结构启用的接入点,处理与WLC相关联的传统任务以及与用于无线端点注册和漫游的结构控制平面的交互。在一些实施例中,网络结构720可以实现无线部署,该无线部署将数据平面端接(例如,VXLAN)从集中式位置(例如,具有先前上覆的无线接入点控制和配设(Control and Provisioning ofWireless Access Points,CAPWAP)部署)移动到接入点/结构边缘节点。这可以使能针对无线流量的分布式转发和分布式策略应用,同时保留集中式配设和管理的优势。在一些实施例中,一个或多个
无线控制器、/>
无线LAN和/或其他支持Cisco DNATM的无线控制器可以用作(一个或多个)WLC 708。
网络结构720可以包括结构边界节点722A和722B(统称为722),结构中间节点724A-D(统称为724),和结构边缘节点726A-F(统称为726)。虽然在该示例中,(一个或多个)结构控制平面节点710被示为位于网络结构720的外部,但在其他实施例中,(一个或多个)结构控制平面节点710可以与网络结构720位于同一位置。在(一个或多个)结构控制平面节点710与网络结构720位于同一位置的实施例中,(一个或多个)结构控制平面节点710可以包括专用节点或节点集,或者(一个或多个)结构控制平面节点710的功能可以由结构边界节点722来实现。
(一个或多个)结构控制平面节点710可以用作中央数据库,用于跟踪所有用户、设备和事物(在它们附接到网络结构720时以及在它们漫游时)。(一个或多个)结构控制平面节点710可以允许网络基础设施(例如,交换机、路由器、WLC等)查询数据库以确定附接到结构的用户、设备和事物的位置,而不是使用泛洪和学***面节点710可以用作关于附接到网络结构720的每个端点在任何时间点位于何处的单个事实来源。除了跟踪特定端点(例如,IPv4的/32地址、IPv6的/728地址等)之外,(一个或多个)结构控制平面节点710还可以跟踪较大的汇总路由器(例如,IP/掩码)。这种灵活性可以帮助跨结构站点进行汇总并且提高总体可扩缩性。
结构边界节点722可以将网络结构720连接到传统的层3网络(例如,非结构网络)或不同的结构站点。结构边界节点722还可以将上下文(例如,用户、设备或事物映射和身份)从一个结构站点转换到另一个结构站点或转换到传统网络。当封装跨不同结构站点是相同的时,对结构上下文的转换通常按1:1进行映射。结构边界节点722还可以与不同结构站点的结构控制平面节点交换可达性和策略信息。结构边界节点722还为内部网络和外部网络提供边界功能。内部边界可以通告定义的一组已知子网,例如通向一组分支站点或通向数据中心的那些子网。另一方面,外部边界可以通告未知目的地(例如,以与默认路由的功能相似的操作向互联网进行通告)。
结构中间节点724可以用作纯层3转发器,该纯层3转发器将结构边界节点722连接到结构边缘节点726并且为结构上覆层流量提供层3底层。
结构边缘节点726可以将端点连接到网络结构720,并且可以对流量进行封装/解封装并将流量从这些端点转发到网络结构以及从网络结构转发到这些端点。结构边缘节点726可以在网络结构720的***操作,并且可以是用于用户、设备和事物的附接以及策略的实现的第一点。在一些实施例中,网络结构720还可以包括结构扩展节点(未示出),用于将下游非结构层2网络设备附接到网络结构720,从而扩展网络结构。例如,扩展节点可以是小型交换机(例如,紧凑型交换机、工业以太网交换机、楼宇自动化交换机等),这些小型交换机经由层2连接到结构边缘节点。连接到结构扩展节点的设备或事物可以使用结构边缘节点726来与外部子网进行通信。
在该示例中,网络结构可以表示单个结构站点部署,该单个结构站点部署可以与多站点结构部署区分开,如下面关于图9进一步讨论的。
在一些实施例中,在结构站点中所托管的所有子网可以在该结构站点中的每个结构边缘节点726上被配设。例如,如果在给定的结构站点中配设了子网10.10.10.0/24,则可以在该结构站点中的所有结构边缘节点726上定义该子网,并且可以将位于该子网中的端点放置在该结构中的任何结构边缘节点726上。这可以简化IP地址管理,并且允许部署更少但更大的子网。在一些实施例中,一个或多个
Catalyst交换机、Cisco/>
交换机、Cisco/>
MS交换机、/>
集成服务路由器(Integrated ServicesRouter,ISR)、/>
聚合服务路由器(Aggregation Services Router,ASR)、/>
企业网络计算***(Enterprise Network Compute System,ENCS)、/>
云服务虚拟路由器(Cloud Service Virtual Router,CSRv)、Cisco集成服务虚拟路由器(IntegratedServices Virtual Router,ISRv)、Cisco/>
MX设备、和/或其他Cisco DNA-readyTM设备可以用作结构节点722、724和726。
企业网络700还可以包括有线端点730A、730C、730D和730F以及无线端点730B和730E(统称为730)。有线端点730A、730C、730D和730F可以分别通过导线连接到结构边缘节点726A、726C、726D和726F,并且无线端点730B和730E可以分别无线地连接到无线接入点728A和728B(统称为728),该无线接入点728A和728B进而分别通过导线连接到结构边缘节点726B和726E。在一些实施例中,Cisco
接入点、Cisco/>
MR接入点、和/或其他支持Cisco DNATM的接入点可以用作无线接入点728。
端点730可以包括通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,膝上型计算机、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(head-mounted display,HMD)、耳机等)等等。端点730还可以包括物联网(IoT)设备或装置,例如,农业设备(例如,牲畜跟踪和管理***、浇水设备、无人飞行器(unmannedaerial vehicle、UAV)等);联网汽车和其他载具;智能家居传感器和设备(例如,警报***、安全相机、照明、电器、媒体播放器、HVAC设备、电表、窗户、自动门、门铃、锁等);办公设备(例如,台式电话、复印机、传真机等);医疗保健设备(例如,起搏器、生物识别传感器、医疗设备等);工业设备(例如,机器人、工厂机械、建筑设备、工业传感器等);零售设备(例如,自动售货机、销售点(point of sale,POS)设备、射频识别(Radio FrequencyIdentification,RFID)标签等);智能城市设备(例如,路灯、停车收费表、废物管理传感器等);运输和后勤设备(例如,旋转栅门、租赁汽车***、导航设备、库存监视器等);等等。
在一些实施例中,网络结构720可以支持作为单个集成基础设施的一部分的有线和无线接入,使得对于有线和无线端点两者,连接性、移动性和策略强制实施行为是相似或相同的。这可以为用户、设备和事物带来独立于接入介质的统一体验。
在集成的有线和无线部署中,控制平面集成可以通过如下内容来实现:(一个或多个)WLC 708向(一个或多个)结构控制平面节点710通知无线端点730的加入、漫游和断开连接,使得(一个或多个)结构控制平面节点可以具有关于网络结构720中的有线和无线端点两者的连接性信息,并且可以用作连接到网络结构的端点的单个事实来源。对于数据平面集成,(一个或多个)WLC 708可以指示结构无线接入点728形成到它们的相邻结构边缘节点726的VXLAN上覆隧道。AP VXLAN隧道可以携带去往和来自结构边缘节点726的分段和策略信息,从而允许与有线端点相同或相似的连接性和功能。当无线端点730经由结构无线接入点728加入网络结构720时,(一个或多个)WLC 708可以将端点加载到网络结构720中,并且向(一个或多个)结构控制平面节点710通知端点的介质访问控制(MAC)地址。然后,(一个或多个)WLC 708可以指示结构无线接入点728形成到相邻结构边缘节点726的VXLAN上覆隧道。接下来,无线端点730可以经由动态主机配置协议(DHCP)来获得其自身的IP地址。一旦该操作完成,结构边缘节点726就可以将无线端点730的IP地址注册到(一个或多个)结构控制平面节点710以在端点的MAC地址和IP地址之间形成映射,并且去往和来自无线端点730的流量可以开始流动。
图8示出了用于企业网络(例如,企业网络700)的逻辑架构800的示例。本领域的普通技术人员将理解,对于本公开中讨论的逻辑架构800以及任何***,在相似或替代配置中可以有附加的或更少的组件。本公开中提供的图示和示例是为了简洁和清楚。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解,这种变型不偏离本公开的范围。在该示例中,逻辑架构800包括管理层802、控制器层820、网络层830(例如,由网络结构720体现)、物理层840(例如,由图7的各种元件体现)、以及共享服务层850。
管理层802可以抽象出其他层的复杂性和依赖性,并且向用户提供用于管理企业网络(例如,企业网络700)的工具和工作流。管理层802可以包括用户界面804、设计功能806、策略功能808、配设功能810、保证功能812、平台功能814、和基础自动化功能816。用户界面804可以向用户提供用于对网络进行管理和自动化的单点。用户界面804可以在下列项内被实现:可由web浏览器访问的web应用/web服务器;和/或可由桌面应用、移动应用、shell程序或其他命令行接口(command line interface,CLI)、应用编程接口(例如,静态状态传输(restful state transfer,REST)、简单对象访问协议(Simple Object AccessProtocol,SOAP)、面向服务的架构(Service Oriented Architecture,SOA)等)、和/或另一适当接口(用户能够在其中配置由云端管理的网络基础设施、设备和事物;提供用户偏好;指定策略,输入数据;查看统计数据;配置交互或操作等等)访问的应用/应用服务器。用户界面804还可以提供可见性信息,例如,网络、网络基础设施、计算设备和事物的视图。例如,用户界面804可以提供下列项的视图:网络的状态或状况、正在发生的操作、服务、性能、拓扑或布局、已实现的协议、运行过程、错误、通知、警报、网络结构、正在进行的通信、数据分析等。
设计功能806可以包括用于管理站点配置文件、地图和楼层平面图、网络设置以及IP地址管理等的工具和工作流。策略功能808可以包括用于限定和管理网络策略的工具和工作流。配设功能810可以包括用于部署网络的工具和工作流。保证功能812可以使用机器学***台功能814可以包括用于将网络管理***与其他技术进行集成的工具和工作流。基础自动化功能816可以包括用于支持策略功能808、配设功能810、保证功能812和平台功能814的工具和工作流。
在一些实施例中,设计功能806、策略功能808、配设功能810、保证功能812、平台功能814和基础自动化功能816可以被实现为微服务,在微服务中,相应软件功能被实现在彼此通信的多个容器中,替代将所有工具和工作流合并为单个软件二进制文件。设计功能806、策略功能808、配设功能810、保证功能812和平台功能814中的每一者可以被视为一组相关的自动化微服务,用于覆盖网络生命周期的设计、策略制作、配设、保证、和跨平台集成阶段。基础自动化功能814可以通过允许用户执行某些网络范围的任务,来支持顶级功能。
返回图8,控制器层820可以包括针对管理层802的子***,并且可以包括网络控制平台822、网络数据平台824和AAA服务826。这些控制器子***可以形成抽象层,用于隐藏管理许多网络元素和协议的复杂性和依赖性。
网络控制平台822可以为网络层830和物理层840提供自动化和编排服务,并且可以包括设置、协议和表格以用于自动化对网络层和物理层的管理。例如,网络控制平台822可以提供设计功能806、配设功能808 812。另外,网络控制平台822可以包括用于下列项的工具和工作流:发现交换机、路由器、无线控制器和其他网络基础设施设备(例如,网络发现工具);维护网络和端点详细信息、配置和软件版本(例如,库存管理工具);用于自动部署网络基础设施的即插即用(Plug-and-Play,PnP)(例如,网络PnP工具);用于创建可视数据路径以加快解决连接性问题的路径跟踪;用于自动化服务质量以对网络上的应用进行优先级排序的简单QoS;以及用于自动部署物理和虚拟网络服务的企业服务自动化(EnterpriseService Automation,ESA)等等。网络控制平台822可以使用网络配置(NetworkConfiguration,NETCONF)/另一个下一代(Yet Another Next Generation,YANG)、简单网络管理协议(Simple Network Management Protocol,SNMP)、安全Shell(Secure Shell,SSH)/Telnet等与网络元件进行通信。在一些实施例中,
网络控制平台(NetworkControl Platform,NCP)可以用作网络控制平台822。
网络数据平台824可以提供网络数据收集、分析和保证,并且可以包括设置、协议和表格以用于监视和分析网络基础设施以及连接到网络的端点。网络数据平台824可以从网络基础设施设备收集多种类型的信息,包括syslog、SNMP、NetFlow、交换端口分析器(Switched Port Analyzer,SPAN)、和流式遥测等等。网络数据平台824还可以收集并使用共享的上下文信息。
在一些实施例中,一个或多个Cisco DNATM中心设备可以提供管理层802、网络控制平台822和网络数据平台824的功能。Cisco DNATM中心设备可以通过下列项来支持水平可扩缩性:向现有集群添加附加的Cisco DNATM中心节点;针对硬件组件和软件封包两者的高可用性;用于支持灾难发现场景的备份和存储机制;用于基于角色和范围对用户、设备和事物进行区别访问的基于角色的访问控制机制;以及用于使能与第三方供应商的集成的可编程接口。如本技术的一些实施例所描述的,用于将常规基于IP的ACE转换为基于对象组的ACE的过程可以被实现为DNATM中心设备的一部分,以增强上述基于角色的访问控制机制。CiscoDNATM中心设备还可以是云绑定的,以提供对现有功能的升级以及对新封包和应用的添加,而无需手动下载和安装它们。
AAA服务826可以为网络层830和物理层840提供身份和策略服务,并且可以包括设置、协议和表格以用于支持端点标识和策略强制实施服务。AAA服务826可以提供工具和工作流,以用于管理虚拟网络和安全组,并且用于创建基于组的策略和合同。AAA服务826可以使用AAA/RADIUS、802.1X、MAC认证旁路(MAB)、web认证和EasyConnect等来识别和扼要描述网络基础设施设备和端点。AAA服务826还可以从网络控制平台822、网络数据平台824和共享服务850等收集并使用上下文信息。在一些实施例中,
ISE可以提供AAA服务826。
网络层830可以被概念化为两层(底层834和上覆层832)的组合,该底层834包括物理和虚拟网络基础设施(例如,路由器、交换机、WLC等)以及用于转发流量的层3路由协议,并且该上覆层832包括用于在逻辑上连接有线和无线用户、设备和事物并且将服务和策略应用于这些实体的虚拟拓扑。底层834的网络元件可以例如经由互联网协议(IP)在彼此之间建立连接性。底层可以使用任何拓扑和路由协议。
在一些实施例中,网络控制器704可以提供局域网(LAN)自动化服务(例如,由Cisco DNATM中心LAN自动化实现),以用于自动发现、配设和部署网络设备。一旦发现,自动化底层配设服务就可以利用即插即用(PnP)将所需协议和网络地址配置应用于物理网络基础设施。在一些实施例中,LAN自动化服务可以实现中间***到中间***(IntermediateSystem to Intermediate System,IS-IS)协议。IS-IS的一些优势包括:没有IP协议依赖性的邻居建立;使用环回地址的对等能力;以及对IPv4、IPv6和非IP流量的无关处理。
上覆层832可以是被建立在物理底层834之上的逻辑虚拟化拓扑,并且可以包括结构数据平面、结构控制平面和结构策略平面。在一些实施例中,结构数据平面可以经由数据包封装使用具有组策略选项(Group Policy Option,GPO)的虚拟可扩展LAN(VirtualExtensible LAN,VXLAN)来被创建。VXLAN-GPO的一些优势包括:其支持层2和层3虚拟拓扑(上覆层)两者;以及其在具有内置网络分段的任何IP网络上运行的能力。
在一些实施例中,结构控制平面可以实现定位符/ID分离协议(Locator/IDSeparation Protocol,LISP),以用于在逻辑上映射和解析用户、设备和事物。LISP可以通过消除每个路由器处理每个可能的IP目的地地址和路由的需求,来简化路由。LISP可以通过将远程目的地移动到集中式地图数据库来实现这一点,该集中式地图数据库允许每个路由器仅管理其本地路由并查询地图***以定位目的地端点。
结构策略平面是意图可以被转换为网络策略的地方。也就是说,策略平面是网络运营商可以基于网络结构720所提供的服务(例如,安全分段服务、服务质量(QoS)、捕获/复制服务、应用可见***等等)来实例化逻辑网络策略的地方。
分段是一种用于将用户或设备的特定组与其他组分开的方法或技术,目的是减少拥塞、提高安全性、遏制网络问题、控制访问等等。如所讨论的,结构数据平面可以通过使用数据包报头中的虚拟网络标识符(virtual network identifier,VNI)和可扩缩组标签(Scalable Group Tag,SGT)字段,来实现VXLAN封装从而提供网络分段。网络结构720可以支持宏分段和微分段两者。宏分段通过使用唯一的网络标识符和单独的转发表格,将网络拓扑在逻辑上划分为较小的虚拟网络。这可以被实例化为虚拟路由和转发(virtualrouting and forwarding,VRF)实例,并称为虚拟网络(virtual network,VN)。也就是说,VN是网络结构720内的由层3路由域定义的逻辑网络实例,并且可以提供层2和层3服务两者(使用VXLAN VNI来提供层2和层3分段两者)。通过强制实施源到目的地访问控制权限(例如,通过使用访问控制列表(access control list,ACL)),微分段在逻辑上将VN中的用户或设备组分开。可扩缩组是分配给网络结构720中的一组用户、设备或事物的逻辑对象标识符。其可以用作可扩缩组ACL(Scalable Group ACL,SGACL)中的源和目的地分类符。SGT可以用于提供与地址无关的基于组的策略。因此,如本技术的一些实施例所公开的,将常规基于IP的访问控制条目自动(离线)转换为基于对象组的访问控制条目可以提供对DNA-C的一些功能的进一步改进,例如,基于对象组访问控制策略实现方式的虚拟网络中的流量的微分段。
在一些实施例中,结构控制平面节点710可以实现定位符/标识符分离协议(LISP)以彼此进行通信并且与管理云702进行通信。因此,控制平面节点可以操作主机跟踪数据库、地图服务器和地图解析器。主机跟踪数据库可以跟踪连接到网络结构720的端点730,并且将端点与结构边缘节点726相关联,从而将端点的标识符(例如,IP或MAC地址)与其在网络中的位置(例如,最近的路由器)解耦合。
物理层840可以包括网络基础设施设备,例如交换机和路由器710、722、724和726以及无线元件708和728,以及网络设备,例如(一个或多个)网络控制器设备704和(一个或多个)AAA设备706。
共享服务层850可以提供到下列外部网络服务的接口:例如,云服务852;域名***(DNS)、DHCP、IP地址管理(IPAM)、和其他网络地址管理服务854;防火墙服务856;网络即传感器(Network as a Sensor,Naas)/加密威胁分析(Encrypted Threat Analytic,ETA)服务;以及虚拟网络功能(Virtual Network Function,VNF)860;等等。管理层802和/或控制器层820可以经由共享服务层850使用API来共享身份、策略、转发信息等。
图9示出了用于多站点企业网络900的物理拓扑的示例。在该示例中,网络结构包括结构站点920A和920B。结构站点920A可以包括结构控制节点910A、结构边界节点922A和922B、结构中间节点924A和924B(这里以虚线示出并且为了简单起见未连接至结构边界节点或结构边缘节点)、以及结构边缘节点926A-C。结构站点920B可以包括结构控制节点910B、结构边界节点922C-E、结构中间节点924C和924D、以及结构边缘节点926D-F。对应于单个结构(例如,图9的网络结构)的多个结构站点可以通过转接网络(transit network)进行互连。转接网络可以是具有自己的控制平面节点和边界节点但不具有边缘节点的网络结构的一部分。此外,转接网络与其所互连的每个结构站点共享至少一个边界节点。
通常,转接网络将网络结构连接到外部世界。存在用于外部连接性的若干方法,例如传统的IP网络936、传统的WAN 938A、软件定义的WAN(SD-WAN)(未示出)、或软件定义的接入(SD-Access)938B。跨结构站点以及去往其他类型站点的流量可以使用转接网络的控制平面和数据平面在这些站点之间提供连接性。本地边界节点可以用作从结构站点的切换点,并且转接网络可以将流量传递到其他站点。转接网络可以使用其他特征。例如,如果转接网络是WAN,则也可以使用诸如性能路由之类的特征。为了提供端到端策略和分段,转接网络应当能够跨网络携带端点上下文信息(例如,VRF、SGT)。否则,可能需要在目的地站点边界处对流量进行重新分类。
结构站点中的本地控制平面可以仅保存与连接到本地结构站点内的边缘节点的端点相关的状态。就单个结构站点(例如,网络结构720)而言,本地控制平面可以经由本地边缘节点来注册本地端点。没有向本地控制平面明确注册的端点可以被假定为可经由连接到转接网络的边界节点到达。在一些实施例中,本地控制平面可以不保存附接到其他结构站点的端点的状态,使得边界节点不注册来自转接网络的信息。以这种方式,本地控制平面可以独立于其他结构站点,因此增强了网络的整体可扩缩性。
转接网络中的控制平面可以保存其所互连的所有结构站点的概要状态。该信息可以通过来自不同结构站点的边界而被注册到转接控制平面。边界节点可以将EID信息从本地结构站点注册到转接网络控制平面以用于仅概要EID,并且因此进一步提高可扩缩性。
多站点企业网络900还可以包括共享服务云932。共享服务云932可以包括一个或多个网络控制器设备904、一个或多个AAA设备906,并且其他共享服务器(例如,DNS;DHCP;IPAM;SNMP和其他监视工具;NetFlow、syslog、和其他数据收集器等等)可以驻留。这些共享服务通常可以驻留在网络结构之外,并且驻留在现有网络的全局路由表(global routingtable,GRT)中。在这种情况下,可能需要某种VRF间路由的方法。VRF间路由的一种选项是使用融合路由器,该融合路由器可以是执行VRF间泄漏(例如,VRF路由的导入/导出)以将VRF融合在一起的外部路由器。多协议可以用于该路由交换,因为其可以固有地防止路由循环(例如,使用AS_PATH属性)。其他路由协议也可以被使用,但是可能需要复杂的分发列表和前缀列表来防止循环。
然而,使用融合路由器来实现VN间通信可能会有一些缺点,例如:路由复制,因为从一个VRF泄漏到另一个VRF的路由是被编程在硬件表中的,并且可能导致更高的TCAM利用率;在实施路由泄漏的多个接触点处进行的手动配置;SGT上下文的丢失,因为可能不会跨VRF维持SGT,并且一旦流量进入另一个VRF就必须对SGT进行重新分类;以及流量传回(hairpinning),因为流量可能需要被路由到融合路由器,并且然后回到结构边界节点。
SD-Access外联网可以通过下列方式来提供一种用于实现VN间通信的灵活且可扩缩的方法:避免路由复制,因为VN间查找是在结构控制平面(例如,软件)中进行的,使得无需在硬件中复制路由条目;提供单个接触点,因为网络管理***(例如,Cisco DNATM中心)可以自动化VN间查找策略,使其成为单个管理点;维持SGT上下文,因为VN间查找是在(一个或多个)控制平面节点(例如,软件)中进行的;以及避免传回,因为VN间转发可以在结构边缘(例如,同一VN内部)处进行,因此流量不需要在边界节点处传回。另一个优点是可以为所需的每个共同资源创建单独的VN(例如,共享服务VN、互联网VN、数据中心VN等)。
本公开现在转向图10和图11,它们示出了计算和网络设备(例如,客户端计算机、交换机、路由器、控制器、服务器等)的示例架构。
图10示出了计算***架构1000,该计算***架构1000包括使用诸如总线之类的连接1005彼此电通信的组件。***1000包括处理单元(CPU或处理器)1010和***连接1005,***连接1005将包括***存储器1015在内的各种***组件(例如,只读存储器(ROM)1020和随机存取存储器(RAM)1025)耦合到处理器1010。***1000可以包括与处理器1010直接相连、紧密相邻或集成为其一部分的高速存储器的缓存。***1000可以将数据从存储器1015和/或存储设备1030复制到缓存1012,以供处理器1010快速访问。以这种方式,缓存可以提供性能提升,从而避免了处理器1010在等待数据时的延迟。这些模块和其他模块可以控制或被配置为控制处理器1010执行各种动作。其他***存储器1015也可供使用。存储器1015可以包括具有不同性能特性的多种不同类型的存储器。处理器1010可以包括任何通用处理器和硬件或软件服务(例如存储在存储设备1030中的服务1 1032,服务2 1034和服务3 1036),该硬件或软件服务被配置为控制处理器1010,并且处理器1010可以包括在实际的处理器设计中结合了软件指令的专用处理器。处理器1010可以是完全独立的计算***,包含多个核或处理器、总线、存储器控制器、缓存等。多核处理器可以是对称的或非对称的。
为了使得用户能够与计算设备1000交互,输入设备1045可以代表任何数量的输入机构,例如用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等等。输出设备1035也可以是本领域技术人员已知的许多输出机构中的一个或多个。在一些情形下,多模式***可以使得用户能够提供多种类型的输入以与计算设备1000通信。通信接口1040一般可以支配和管理用户输入和***输出。对于在任何特定硬件布置上的操作没有限制,因此随着改进的硬件或固件布置被开发出,可以很容易地将此处的基本特征替换为这些改进的硬件或固件布置。
存储设备1030是非易失性存储器,并且可以是能够对可由计算机访问的数据进行存储的硬盘或其他类型的计算机可读介质,例如磁带盒、闪存卡、固态存储器设备、数字通用盘、盒式磁带、随机存取存储器(RAM)1025、只读存储器(ROM)1020、以及它们的混合体。
存储设备1030可以包括用于控制处理器1010的服务1032、1034、1036。可以设想其他硬件或软件模块。存储设备1030可以连接到***连接1005。在一个方面,执行特定功能的硬件模块可以包括被存储在计算机可读介质中的软件组件,该软件组件与诸如处理器1010、连接1005、输出设备1035等之类的必要硬件组件相结合,以执行该功能。
图11示出了适合于执行交换、路由、保证和其他联网操作的示例网络设备1100。网络设备1100包括中央处理单元(CPU)1104、接口1102和连接1110(例如,PCI总线)。当在适当的软件或固件的控制下动作时,CPU 1104负责执行数据包管理、错误检测和/或路由功能。CPU 1104优选地在包括操作***和任何适当应用软件的软件的控制下完成所有这些功能。CPU 1104可以包括一个或多个处理器1108,例如来自INTEL X106系列微处理器的处理器。在某些情况下,处理器1108可以是专门设计的硬件,用于控制网络设备1100的操作。在一些情况下,存储器1106(例如,非易失性RAM、ROM、TCAM等)也形成CPU 1104的一部分。但是,有多种不同的方式可以将存储器耦合到***。在一些情况下,网络设备1100可以包括与CPU1104分开的存储器和/或存储硬件(例如,TCAM)。这样的存储器和/或存储硬件可以经由例如连接1110与网络设备1100及其组件耦合。
接口1102通常被提供为模块化接口卡(有时称为“线卡”)。一般而言,它们控制网络上对数据数据包的发送和接收,有时还支持与网络设备1100一起使用的其他***设备。可以提供的接口中包括以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外,可以提供各种非常高速的接口,例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、WIFI接口、3G/4G/5G蜂窝接口、CAN BUS、LoRA等。一般而言,这些接口可以包括适合于与适当的媒介进行通信的端口。在一些情况下,它们还可以包括独立的处理器,并且在一些情形下还可以包括易失性RAM。独立的处理器可以控制诸如数据包交换、媒介控制、信号处理、加密处理和管理之类的通信密集型任务。通过为通信密集型任务提供单独的处理器,这些接口允许主微处理器1104有效地执行路由计算、网络诊断、安全功能等。
尽管图11所示的***是本公开的一个具体的网络设备,但它绝不是唯一可在其上实现本文概念的网络设备架构。例如,可以使用具有单个处理器的架构,该单个处理器处理通信以及路由计算等。此外,其他类型的接口和媒介也可以与网络设备1100一起使用。
无论网络设备的配置如何,它都可以采用一个或多个存储器或存储器模块(包括存储器1106),这些存储器或存储模块被配置为存储用于通用网络操作的程序指令以及用于本文所描述的漫游、路由优化和路由功能的机制。程序指令可以控制例如操作***和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动性绑定、注册、和关联表等之类的表。存储器1106还可以容纳各种软件容器以及虚拟化的执行环境和数据。
网络设备1100还可以包括专用集成电路(ASIC),该专用集成电路(ASIC)可以被配置为执行路由、交换和/或其他操作。例如,ASIC可以经由连接1110与网络设备1100中的其他组件通信,以交换数据和信号并协调网络设备1100进行的各种类型的操作,例如路由、交换和/或数据存储操作。
总之,本技术涉及用于实现离线方案的***和方法,该离线方案用于将所提供的配置中的一组常规基于IP的访问控制条目自动且有效地转换为压缩形式,该压缩形式然后可以被表示为基于对象组的访问控制条目。压缩是在所提供的访问控制列表的如下连续块上执行的:这些连续块具有共同的、所规定的过滤访问。压缩是通过进行以下操作来执行的:迭代地选择在ACE上具有不匹配数据值的数据字段并将数据值合并到输出ACE的相应数据字段中。然后将其他数据字段的共同值导入到输出ACE的相应数据字段中。通过针对每个迭代回合分配不同的数据字段作为所选数据字段,来以迭代方式重复该过程。
在一些实施例中,计算机可读存储设备、介质、和存储器可以包括含有比特流等的电缆或无线信号。然而,当被提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波、和信号本身之类的介质。
可以使用存储在计算机可读介质中或以其他方式可从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如引起或以其他方式配置通用计算机、专用计算机、或专用处理设备以执行特定功能或功能组的指令和数据。所使用的部分计算机资源可以是通过网络可访问的。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件、或源代码。可以用于对指令、在根据所述示例的方法期间使用的信息和/或创建的信息进行存储的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网存储设备,等等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用各种形状因子中的任何一种。这样的形状因子的典型示例包括膝上型计算机、智能电话、小形状因子个人计算机、个人数字助理等。本文描述的功能性还可以体现在***设备或附加卡中。作为进一步的示例,这样的功能性也可以在不同芯片或在单个设备中执行的不同进程之间的电路板上被实现。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开内容中所描述的功能的手段。
尽管使用各种示例和其他信息来解释所附权利要求的范围内的各方面,但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各种各样的实现方式。此外,虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能性可以以不同的方式被分布或在除本文所标识的那些组件之外的组件中被执行。而是,将描述的特征和步骤公开为在所附权利要求的范围内的***的组件和方法的示例。
在一些实施例中,计算机可读存储设备、介质、和存储器可以包括含有比特流等的电缆或无线信号。然而,当被提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波、和信号本身之类的介质。
可以使用存储在计算机可读介质中或以其他方式可从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如引起或以其他方式配置通用计算机、专用计算机、或专用处理设备以执行特定功能或功能组的指令和数据。所使用的部分计算机资源可以是通过网络可访问的。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件、或源代码。可以用于对指令、在根据所述示例的方法期间使用的信息和/或创建的信息进行存储的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网存储设备,等等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用各种形状因子中的任何一种。这样的形状因子的典型示例包括膝上型计算机、智能电话、小形状因子个人计算机、个人数字助理等。本文描述的功能性还可以体现在***设备或附加卡中。作为进一步的示例,这样的功能性也可以在不同芯片或在单个设备中执行的不同进程之间的电路板上被实现。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开内容中所描述的功能的手段。
尽管使用各种示例和其他信息来解释所附权利要求的范围内的各方面,但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各种各样的实现方式。此外,虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能性可以以不同的方式被分布或在除本文所标识的那些组件之外的组件中被执行。而是,将描述的特征和步骤公开为在所附权利要求的范围内的***的组件和方法的示例。
Claims (22)
1.一种由计算机实现的方法,包括:
将多个规范访问控制条目ACE分组为一个或多个候选压缩组CCG,每个规范ACE包括预定格式的多个数据字段;
在所述一个或多个CCG中的每一者中标识多个等效规范ACE,该多个等效规范ACE在指定数据字段上对应于多个不匹配的数据值,并且在多个剩余数据字段上对应于相同的数据值;以及
在所述一个或多个CCG中的每一者中,通过改变所述指定数据字段来以迭代方式将所述多个等效规范ACE合并在一起,从而在所述一个或多个CCG中的每一者中将所述多个规范ACE转换为以下各项中的至少一者:一个或多个基于对象组的ACE,或一个或多个基于安全组的ACE。
2.根据权利要求1所述的由计算机实现的方法,其中,所述多个数据字段中的每个数据字段对应于非通配符值。
3.根据权利要求1或2所述的由计算机实现的方法,其中,所述多个数据字段中的每个数据字段选自由下列项组成的组:<动作>、<协议>、<源地址>、<源端口>、<目的地地址>和<目的地端口>。
4.根据权利要求3所述的由计算机实现的方法,其中,目的地地址数据字段的值对应于一个或多个目的地IP地址。
5.根据权利要求4所述的由计算机实现的方法,还包括:在一个或多个相邻ACE的目的地地址数据字段中标识一个或多个重叠的IP地址,该一个或多个相邻ACE位于多个CCG中的不同CCG。
6.根据权利要求4至5中任一项所述的由计算机实现的方法,其中,源地址数据字段的值对应于一个或多个源IP地址。
7.根据权利要求6所述的由计算机实现的方法,还包括:在一个或多个相邻ACE的源地址数据字段中标识一个或多个重叠的IP地址,该一个或多个相邻ACE位于多个CCG中的不同CCG。
8.根据权利要求1、2、4、5、7中任一项所述的由计算机实现的方法,其中,所述方法是在离线环境中以如下方式来执行的:使用一个或多个常规安全策略配置作为输入以产生一个或多个基于对象组的ACE作为输出。
9.根据权利要求1、2、4、5、7中任一项所述的由计算机实现的方法,其中,所述一个或多个基于对象组的ACE或所述一个或多个基于安全组的ACE促进访问控制策略的实现,从而提供虚拟网络中的流量的微分段。
10.一种***,包括:
一个或多个处理器;以及
至少一个计算机可读存储介质,在其中存储有指令,所述指令在由所述一个或多个处理器执行时使得所述一个或多个处理器执行以下操作:
将多个规范访问控制条目ACE分组为一个或多个候选压缩组CCG,每个规范ACE包括预定格式的多个数据字段;
在所述一个或多个CCG中的每一者中标识多个等效规范ACE,该多个等效规范ACE在指定数据字段上对应于多个不匹配的数据值并在多个剩余数据字段上对应于相同的数据值;以及
在所述一个或多个CCG中的每一者中,通过改变所述指定数据字段来以迭代方式将所述多个等效规范ACE合并在一起,从而在所述一个或多个CCG中的每一者中将所述多个规范ACE转换为一个或多个基于对象组的ACE。
11.根据权利要求10所述的***,其中,所述多个数据字段中的每个数据字段选自由下列项组成的组:<动作>、<协议>、<源地址>、<源端口>、<目的地地址>和<目的地端口>。
12.根据权利要求11所述的***,其中,源地址数据字段的值对应于一个或多个源IP地址。
13.根据权利要求12所述的***,还包括在由所述一个或多个处理器执行时使得所述一个或多个处理器执行以下操作的指令:在与一个或多个相邻ACE相对应的源地址数据字段的值中标识一个或多个重叠,该一个或多个相邻ACE位于多个CCG中的不同CCG。
14.根据权利要求11至13中任一项所述的***,其中,目的地地址数据字段的值对应于一个或多个目的地IP地址。
15.根据权利要求14所述的***,还包括在由所述一个或多个处理器执行时使得所述一个或多个处理器执行以下操作的指令:在与一个或多个相邻ACE相对应的目的地地址数据字段的值中标识一个或多个重叠,该一个或多个相邻ACE位于多个CCG中的不同CCG。
16.根据权利要求10至13、15中任一项所述的***,其中,存储在所述至少一个计算机可读存储介质上的指令是由所述一个或多个处理器在离线环境中执行的。
17.根据权利要求10至13、15中任一项所述的***,其中,所述一个或多个基于对象组的ACE促进访问控制策略的实现,从而提供虚拟网络中的流量的微分段。
18.至少一个非暂态计算机可读存储介质,在其中存储有指令,所述指令在由一个或多个处理器执行时使得所述一个或多个处理器执行以下操作:
将多个规范访问控制条目ACE分组为一个或多个候选压缩组CCG,每个规范ACE包括预定格式的多个数据字段;
在所述一个或多个CCG中的每一者中标识多个等效规范ACE,该多个等效规范ACE在指定数据字段上对应于多个不匹配的数据值并且在多个剩余数据字段上对应于相同的数据值;以及
在所述一个或多个CCG中的每一者中,通过改变所述指定数据字段来以迭代方式将所述多个等效规范ACE合并在一起,从而在所述一个或多个CCG中的每一者中将所述多个规范ACE转换为一个或多个基于对象组的ACE。
19.根据权利要求18所述的至少一个非暂态计算机可读存储介质,其中,所述指令是由所述一个或多个处理器在离线环境中执行的。
20.根据权利要求18或19所述的至少一个非暂态计算机可读介质,其中,所述一个或多个基于对象组的ACE促进访问控制策略的实现,从而提供虚拟网络中的流量的微分段。
21.一种装置,包括:
分组构件,用于将多个规范访问控制条目ACE分组为一个或多个候选压缩组CCG,每个规范ACE包括预定格式的多个数据字段;
标识构件,用于在所述一个或多个CCG中的每一者中标识多个等效规范ACE,该多个等效规范ACE在指定数据字段上对应于多个不匹配的数据值并且在多个剩余数据字段上对应于相同的数据值;以及
合并构件,用于在所述一个或多个CCG中的每一者中,通过改变所述指定数据字段来以迭代方式将所述多个等效规范ACE合并在一起,从而在所述一个或多个CCG中的每一者中将所述多个规范ACE转换为以下各项中的至少一者:一个或多个基于对象组的ACE,或一个或多个基于安全组的ACE。
22.根据权利要求21所述的装置,还包括:用于实现根据权利要求2至9中任一项所述的方法的构件。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862770101P | 2018-11-20 | 2018-11-20 | |
| US62/770,101 | 2018-11-20 | ||
| US16/368,695 | 2019-03-28 | ||
| US16/368,695 US11038889B2 (en) | 2018-11-20 | 2019-03-28 | System and method for migrating existing access control list policies to intent based policies and vice versa |
| PCT/US2019/060586 WO2020106475A1 (en) | 2018-11-20 | 2019-11-08 | System and method for migrating existing access control list policies to intent based policies and vice versa |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113056895A CN113056895A (zh) | 2021-06-29 |
| CN113056895B true CN113056895B (zh) | 2023-05-26 |
Family
ID=70726613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980075128.5A Active CN113056895B (zh) | 2018-11-20 | 2019-11-08 | 用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11038889B2 (zh) |
| EP (1) | EP3884641B1 (zh) |
| CN (1) | CN113056895B (zh) |
| WO (1) | WO2020106475A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11388197B2 (en) * | 2019-07-24 | 2022-07-12 | Research & Business Foundation Sungkyunkwan University | I2NSF NSF monitoring YANG data model |
| US11178040B2 (en) * | 2020-01-15 | 2021-11-16 | Vmware, Inc. | Intent-based network virtualization design |
| US11968210B2 (en) | 2021-05-19 | 2024-04-23 | International Business Machines Corporation | Management of access control in multi-cloud environments |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4706262B2 (ja) | 2004-05-21 | 2011-06-22 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
| US7707642B1 (en) * | 2004-08-31 | 2010-04-27 | Adobe Systems Incorporated | Document access auditing |
| US8595347B2 (en) * | 2004-09-30 | 2013-11-26 | Cisco Technology, Inc. | Method and apparatus for device based policy configuration in a network |
| US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
| US8914868B2 (en) * | 2006-03-03 | 2014-12-16 | Hewlett-Packard Development Company, L.P. | Vendor-neutral policy based mechanism for enabling firewall service in an MPLS-VPN service network |
| US7688761B2 (en) * | 2006-08-09 | 2010-03-30 | Cisco Technology, Inc. | Method and system for classifying packets in a network based on meta rules |
| US8266702B2 (en) * | 2006-10-31 | 2012-09-11 | Microsoft Corporation | Analyzing access control configurations |
| CN101459576B (zh) | 2007-12-14 | 2013-07-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
| US10057239B2 (en) * | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
| US9152736B2 (en) * | 2011-03-11 | 2015-10-06 | Google Inc. | Efficient indexing and searching of access control listed documents |
| US20130305354A1 (en) * | 2011-12-23 | 2013-11-14 | Microsoft Corporation | Restricted execution modes |
| US20150089052A1 (en) * | 2012-05-04 | 2015-03-26 | Qun Yang Lin | Context-Aware HTTP Compression |
| US8942473B2 (en) * | 2012-07-25 | 2015-01-27 | Ko Hung Lin | Image processing method and display apparatus |
| US9369431B1 (en) * | 2013-02-07 | 2016-06-14 | Infoblox Inc. | Security device controller |
| US9111104B2 (en) * | 2013-03-29 | 2015-08-18 | Jive Software, Inc. | Entitlements determination via access control lists |
| US9336406B2 (en) * | 2013-11-14 | 2016-05-10 | Futurewei Technologies, Inc. | Multiprotocol access control list with guaranteed protocol compliance |
| US9736185B1 (en) * | 2015-04-21 | 2017-08-15 | Infoblox Inc. | DNS or network metadata policy for network control |
| US10298619B2 (en) * | 2016-12-16 | 2019-05-21 | Nicira, Inc. | Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
-
2019
- 2019-03-28 US US16/368,695 patent/US11038889B2/en active Active
- 2019-11-08 EP EP19836124.8A patent/EP3884641B1/en active Active
- 2019-11-08 CN CN201980075128.5A patent/CN113056895B/zh active Active
- 2019-11-08 WO PCT/US2019/060586 patent/WO2020106475A1/en unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
Non-Patent Citations (4)
| Title |
|---|
| A Firewall Rules Optimized Model Based On Service-Grouping;Lin Zhang, Mengxing Huang;《2015 12th Web Information System and Application Conference (WISA)》;20150911;第142-145页 * |
| 一种基于策略的网络管理***研究与实现;曾旷怡等;《小型微型计算机***》;20070221(第02期);全文 * |
| 基于独立规则集位提取的包分类压缩方法;王孝龙等;《计算机应用》;20180419(第08期);全文 * |
| 防火墙运维自动化工具的设计与实现;温长洋;《中国金融电脑》;20101107(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11038889B2 (en) | 2021-06-15 |
| CN113056895A (zh) | 2021-06-29 |
| EP3884641A1 (en) | 2021-09-29 |
| EP3884641B1 (en) | 2024-01-10 |
| WO2020106475A1 (en) | 2020-05-28 |
| US20200162467A1 (en) | 2020-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10944630B2 (en) | Seamless automation of network device migration to and from cloud managed systems | |
| US10735217B2 (en) | Distributed internet access in an overlay fabric using combined local and remote extranet policies | |
| CN113016167B (zh) | 在网络中使权利跟随终端设备的方法和装置 | |
| CN110521170B (zh) | 网络的静态网络策略分析 | |
| CN113039520A (zh) | 将中心集群成员资格扩展到附加计算资源 | |
| US11509532B2 (en) | Switch triggered traffic tracking | |
| US10904104B2 (en) | Interactive interface for network exploration with relationship mapping | |
| US11546227B2 (en) | Optimized detection of network defect exposure in network environment | |
| US20200159380A1 (en) | Intuitive visualization of event based data | |
| CN113056895B (zh) | 用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的***和方法 | |
| CN110785963B (zh) | 从网络收集网络模型和节点信息 | |
| US11516184B2 (en) | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall | |
| US11811613B2 (en) | Method and apparatus for automated spanning-tree loop detection in networks | |
| CN112956158B (zh) | 结构数据平面监视 | |
| US11716250B2 (en) | Network scale emulator | |
| US11985110B2 (en) | Distribution of stateless security functions | |
| US20210119859A1 (en) | Topology Agnostic Security Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |