JP2022546563A - 複数のドメインにまたがるポリシープレーンの統合 - Google Patents

複数のドメインにまたがるポリシープレーンの統合 Download PDF

Info

Publication number
JP2022546563A
JP2022546563A JP2022514240A JP2022514240A JP2022546563A JP 2022546563 A JP2022546563 A JP 2022546563A JP 2022514240 A JP2022514240 A JP 2022514240A JP 2022514240 A JP2022514240 A JP 2022514240A JP 2022546563 A JP2022546563 A JP 2022546563A
Authority
JP
Japan
Prior art keywords
sdwan
segment routing
path
routing domain
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022514240A
Other languages
English (en)
Inventor
サンダラーヤン,バラジ
エー. ジャブル,ハリール
オズワル,アナンド
アグラワル,ヴィヴェック
バラスブラマニアン,チャンドラムーリ
Original Assignee
シスコ テクノロジー,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シスコ テクノロジー,インコーポレイテッド filed Critical シスコ テクノロジー,インコーポレイテッド
Publication of JP2022546563A publication Critical patent/JP2022546563A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/76Routing in software-defined topologies, e.g. routing between virtual machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/123Evaluation of link metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

セグメントルーティングを介してSDWANを相互接続するためのシステム、方法、およびコンピュータ可読媒体。SDWANファブリックの第1のSDWANおよび第2のSDWANを識別することができる。第1のSDWANおよび第2のSDWANを相互接続するセグメントルーティングドメインは、SDWANファブリックのWANアンダーレイ上に形成できる。第1のSDWANと第2のSDWANとの間のデータ送信は、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメインを介してセグメントルーティングを実行することによって制御できる。【選択図】図6

Description

関連出願の相互参照
本出願は、2019年9月4日に出願され、POLICY PLANE INTEGRATION ACROSS MULTIPLE DOMAINSと題する米国非仮特許出願第16/560,849号の利益および優先権を主張し、その全体を参照することにより、その内容が本明細書によって明示的に援用される。
本開示の主題は、概して、コンピュータネットワーキングの分野に関し、より詳細には、セグメントルーティングを介してSDWANを相互接続するためのシステムおよび方法に関する。
エンタープライズネットワークの状況は、絶えず進化している。モバイルデバイスおよびモノのインターネット(IoT)デバイスのトラフィック、サービスとしてのソフトウェア(SaaS)のアプリケーション、ならびにクラウドの採用に対する需要が高まっている。加えて、セキュリティのニーズが高まっており、特定のアプリケーションは、適切な操作のために優先順位付けおよび最適化を必要とすることがある。この複雑さが増すにつれて、高可用性および拡張性を提供しながら、コストおよび運用費を削減することが求められている。
従来のワイドエリアネットワーク(WAN)アーキテクチャは、この進化する状況下で大きな課題に直面している。従来のWANアーキテクチャは通常、複数のマルチプロトコルラベルスイッチング(MPLS)トランスポート、またはアクティブ/バックアップ方式で使用されるインターネットまたはロングタームエボリューション(LTE)リンクと組み合わせたMPLSからなり、ほとんどの場合、インターネットまたはSaaSのトラフィックが、インターネットアクセスのために、中央データセンターまたは地域ハブにバックホールされる。これらのアーキテクチャに関する問題は、不十分な帯域幅、高い帯域幅コスト、アプリケーションのダウンタイム、低いSaaS性能、複雑な操作、クラウド接続のための複雑なワークフロー、長い展開時間およびポリシーの変更、アプリケーションの可視性の制限、ネットワークの保護の難しさを含み得る。
近年、これらの課題に対処するために、ソフトウェア定義エンタープライズネットワークソリューションが開発された。ソフトウェア定義エンタープライズネットワーキングは、ソフトウェア定義ワイドエリアネットワーク(SDWAN)とソフトウェア定義ローカルエリアネットワーク(SDLAN)の両方を含む、ソフトウェア定義ネットワーキング(SDN)のより広範なテクノロジーの一部である。SDNは、基盤をなすネットワークインフラストラクチャをアプリケーションから抜き取り得る、ネットワーク管理の一元化手法である。このデータプレーン転送とコントロールプレーンの分離により、ネットワークオペレータはネットワークのインテリジェンスを一元化し、さらなるネットワークの自動化、運用の簡素化、一元化されたプロビジョニング、監視、およびトラブルシューティングを提供し得る。ソフトウェア定義エンタープライズネットワーキングは、SDNのこれらの原則をWANおよびローカルエリアネットワーク(LAN)に適用することができる。
現在、SDWANを組み合わせて、単一のネットワーク、例えば非常に大規模なネットワークを形成することができる。例えば、地域のキャンパスネットワークは、1つ以上のエンティティの非常に大規模なネットワークを形成することができる。具体的には、1つの大規模なSDWANを構築する代わりに、SDWANの階層を作成して、地域のSD-WANネットワーク/クラウドを構築することによってネットワークを形成することができる。多くの場合、これらの地域のSDWANは、ハブサイト、データセンター、および/またはコロケーション施設において終了する。複数のSDWANを介してネットワークを形成する際に、SDWAN間の通信を容易にすること、例えばSDWANを相互接続することは、ネットワークが適切に機能することを保証するために重要である。ただし、個別のSDWANを相互接続することは、達成するのが困難である。具体的には、SDWANをサポートするSDWANファブリックを介して個別のSDWANを相互接続することは、適切に実装するのが困難である。したがって、より大規模なネットワークを形成する個別のSDWANを相互接続するシステムおよび方法に対する必要性が存在する。より具体的には、SDWANが形成されるSDWANファブリックを介して個別のSDWANを相互接続するシステムおよび方法に対する必要性が存在する。
本開示ならびにその特徴および利点をより完全に理解してもらうために、添付の図面と併せて、以下の説明を参照する。
一実施形態による、高レベルネットワークアーキテクチャの例を示す。 一実施形態による、ネットワークトポロジの例を示す。 一実施形態による、オーバーレイネットワークを管理するためのプロトコルの動作を示す図の例を示す。 一実施形態による、ネットワークをセグメント化するための仮想プライベートネットワークの動作を示す図の例を示す。 データセンターなどの例示的なネットワーク環境の図を示す。 ネットワーク環境の別の例を示す。 相互接続されたSDWANの例示的なネットワーク環境を示す。 ネットワークデバイスの例を示す。 システムのコンポーネントが、バスを使用して互いに電気的に通信している、バスコンピューティングシステムの例を示す。
例示的な実施形態の説明
以下に記載される詳細な説明は、実施形態の様々な構成を説明することを意図しており、本開示の主題を実施することができる唯一の構成を表すことを意図するものではない。添付の図面は、本明細書に組み込まれ、詳細な説明の一部を構成する。詳細な説明は、本開示の主題のより完全な理解をもたらすことを目的とした特定の詳細を含む。しかしながら、本開示の主題が、本明細書に記載される特定の詳細に限定されず、これらの詳細なしで実施できることは、明らかであり、分かるであろう。場合によっては、本開示の主題の概念を曖昧にすることを回避するために、構造およびコンポーネントが、ブロック図で示される。
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、各態様に適用され得る。
方法は、SDWANファブリックの第1のSDWANおよび第2のSDWANを識別することを含むことができる。SDWANファブリックを介したセグメントルーティングドメインは、第1のSDWANおよび第2のSDWANを相互接続するWANアンダーレイ上に形成できる。第1のSDWANと第2のSDWANとの間のデータ送信は、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメインを介してセグメントルーティングを実行することによって制御できる。
様々な実施形態では、セグメントルーティングドメインは、第1のSDWANと第2のSDWANとの間のWANアンダーレイを通る複数のパスを事前に構築することにより、SDWANファブリックを介して形成できる。複数のパスは、セグメントルーティングドメインを介した第1のSDWANと第2のSDWANとの間のデータ送信を制御するために選択可能である。
特定の実施形態では、複数のパスは、セグメントルーティングドメインを介した第1のSDWANと第2のSDWANとの間のデータ送信を制御するために変更可能であり得る。
様々な実施形態では、セグメントルーティングドメイン内のパスを形成するWANアンダーレイ内のリンクの性能測定値を収集できる。セグメントルーティングドメインを介したセグメントルーティングは、WANアンダーレイ内のリンクの性能測定値に基づいて制御して、セグメントルーティングドメイン内のパス上の第1のSDWANと第2のSDWANとの間のデータ送信を制御することができる。
特定の実施形態では、WANアンダーレイ内のリンクの性能測定値は、WANアンダーレイ内のリンクにおける輻輳、レイテンシ、パケットドロップの数、およびジッタの量の1つまたは組み合わせを含むことができる。
様々な実施形態では、性能測定値は、WANアンダーレイ内のリンクを形成するノードからのストリーミングテレメトリデータとして集めることができる。
特定の実施形態では、第1のSDWANと第2のSDWANとの間のセグメントルーティングドメイン内のパスを識別することができる。セグメントルーティングドメイン内のパスは、第1のSDWANと第2のSDWANとの間で送信できるデータの特定のトラフィッククラスに関連付けることができる。次に、セグメントルーティングドメイン内の特定のパス上の第1のSDWANと第2のSDWANとの間のデータの送信は、データのトラフィッククラス、およびパスとデータの特定のトラフィッククラスとの関連付けに基づいて制御することができる。第1のSDWANと第2のSDWANとの間のセグメントルーティングドメイン内の識別されたパス内の2つのノードは、セグメントルーティングコントローラによってWANアンダーレイ内のパス計算要素ノードとして構成できる。
様々な実施形態では、第1のSDWANと第2のSDWANとの間のセグメントルーティングドメイン内のパスの性能の健全性を確認することができる。セグメントルーティングドメイン内の新しいパスは、セグメントルーティングドメイン内のパスの性能の健全性に基づいて識別できる。新しいパスは、第1のSDWANと第2のSDWANとの間で送信できるデータの特定のトラフィッククラスに関連付けることができる。新しいパスを介した特定のトラフィッククラスのデータの送信は、特定のトラフィッククラスへの新しいパスの関連付けに基づいて制御できる。新しいパスが特定のトラフィッククラスに関連付けられて、以前に特定のトラフィッククラスに関連付けられていたパスを置き換えることができる。さらに、新しいパスは、第1のSDWANと第2のSDWANとの間で特定のトラフィッククラスのデータを送信するためのサービス品質要件に基づいて識別できる。
特定の実施形態では、第1のSDWANと第2のSDWANとの間で特定のトラフィッククラスのデータを送信するためのサービス品質要件を確認することができる。サービス品質要件に基づいて、第1のSDWANとSDWANの間のセグメントルーティングドメイン内の適切なパスを識別することができる。次に、第1のSDWANと第2のSDWANとの間のセグメントルーティングドメイン内の適切なパス上の特定のトラフィッククラスのデータの送信は、セグメントルーティングを介して制御できる。
様々な実施形態では、セグメントルーティングドメインは、第1のSDWANと第2のSDWANとの間でデータを送信するためにメディアアクセス制御セキュリティ(MACsec)暗号化を利用することができる。
システムは、1つ以上のプロセッサと、命令を記憶した少なくとも1つのコンピュータ可読記憶媒体とを含むことができ、命令は、1つ以上のプロセッサによって実行されるときに、1つ以上のプロセッサに、SDWANファブリックの第1のSWANおよび第2のSDWANを識別させる。命令はまた、1つ以上のプロセッサに、第1のSDWANと第2のSDWANとの間のWANアンダーレイを通る複数の選択可能なパスを事前に構築することにより、SDWANファブリックのWANアンダーレイ上で第1のSDWANおよび第2のSDWANを相互接続するSDWANファブリックを介してセグメントルーティングドメインを形成させることができる。さらに、命令は、1つ以上のプロセッサに、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメインを介してセグメントルーティングを実行することにより、第1のSDWANと第2のSDWANとの間のデータ送信を制御させることができる。
プロセッサによって実行されるときに、プロセッサに、SDWANファブリックの第1のSDWANおよび第2のSDWANを識別させる命令を記憶した、非一時的コンピュータ可読記憶媒体。命令はまた、プロセッサに、SDWANファブリックのWANアンダーレイ上で第1のSDWANおよび第2のSDWANを相互接続するSDWANファブリックを介してセグメントルーティングドメインを形成させることができる。さらに、命令は、プロセッサに、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメイン内の1つ以上の変更可能なパスを介してセグメントルーティングを実行することにより、第1のSDWANと第2のSDWANとの間のデータ送信を制御させることができる。
例示的な実施形態
図1は、本技術の態様を実装するためのネットワークアーキテクチャ100の例を示す。ネットワークアーキテクチャ100の実装形態の例は、Cisco(登録商標)SDWANアーキテクチャである。ただし、当業者は、ネットワークアーキテクチャ100および本開示で論じられる任意の他のシステムについて、同様のまたは代替の構成で追加のまたはより少ないコンポーネントが存在し得ることを理解するであろう。本開示で提供される説明図および例は、簡潔さおよび明快さのためである。他の実施形態は、異なる数および/またはタイプの要素を含み得るが、当業者は、そのような変形例が本開示の範囲から逸脱しないことを理解するであろう。
この例では、ネットワークアーキテクチャ100は、オーケストレーションプレーン102、管理プレーン120、制御プレーン130、およびデータプレーン140を含むことができる。オーケストレーションプレーン102は、オーバーレイネットワークにおけるエッジネットワークデバイス142(例えば、スイッチ、ルータなど)の自動オンボーディングを支援することができる。オーケストレーションプレーン102は、1つ以上の物理または仮想ネットワークオーケストレータアプライアンス104を含むことができる。ネットワークオーケストレータアプライアンス104は、エッジネットワークデバイス142の初期認証を実行し、制御プレーン130とデータプレーン140のデバイスとの間の接続を調整し得る。いくつかの実施形態では、ネットワークオーケストレータアプライアンス104はまた、ネットワークアドレス変換(NAT)の後方に位置するデバイスの通信を可能にし得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WAN vBondアプライアンスは、ネットワークオーケストレータアプライアンス104として動作し得る。
管理プレーン120は、ネットワークの集中構成および監視を担当することができる。管理プレーン120は、1つ以上の物理または仮想ネットワーク管理アプライアンス122を含み得る。いくつかの実施形態では、ネットワーク管理アプライアンス122は、グラフィカルユーザインターフェースを介してネットワークの一元化管理を提供して、ユーザがエッジネットワークデバイス142およびリンク(例えば、インターネットトランスポートネットワーク160、アンダーレイおよびオーバーレイネットワーク内のMPLSネットワーク162、4G/LTEネットワーク164)を監視し、構成し、かつ維持することを可能にし得る。ネットワーク管理アプライアンス122は、マルチテナンシーをサポートし、異なるエンティティ(例えば、エンタープライズ、エンタープライズ内の部門、部門内のグループなど)に関連付けられた論理的に分離されたネットワークの一元化管理を可能にし得る。あるいは、またはさらに、ネットワーク管理アプライアンス122は、単一のエンティティのための専用のネットワーク管理システムであり得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WAN vManageアプライアンスは、ネットワーク管理アプライアンス122として動作し得る。
制御プレーン130は、ネットワークトポロジを構築および維持し、トラフィックが流れる場所を決定することができる。コントロールプレーン130は、1つ以上の物理または仮想ネットワークコントローラアプライアンス132を含み得る。ネットワークコントローラアプライアンス132は、各ネットワークデバイス142への安全な接続を確立し、制御プレーンプロトコル(例えば、オーバーレイ管理プロトコル(OMP)(以下でさらに詳細に説明する)、オープンショートパスファースト(OSPF)、インターミディエイト・システム・トゥ・インターミディエイト・システム(IS-IS)、ボーダーゲートウェイプロトコル(BGP)、マルチキャストルーティングプロトコル(PIM)、インターネットグループ管理プロトコル(IGMP)、インターネット制御通知プロトコル(ICMP)、アドレス解決プロトコル(ARP)、双方向フォワーディング検出(BFD)、リンク集約制御プロトコル(LACP)など)を介してルートおよびポリシー情報を配信し得る。いくつかの実施形態では、ネットワークコントローラアプライアンス132は、ルートリフレクタとして動作し得る。ネットワークコントローラアプライアンス132はまた、エッジネットワークデバイス142間およびエッジネットワークデバイス142の間のデータプレーン140内の安全な接続を調整し得る。例えば、いくつかの実施形態では、ネットワークコントローラアプライアンス132は、ネットワークデバイス142の間で暗号鍵情報を配信し得る。これにより、ネットワークは、インターネット鍵交換(IKE)なしで、安全なネットワークプロトコルまたはアプリケーション(例えば、インターネットプロトコルセキュリティ(IPSec)、トランスポート層セキュリティ(TLS)、セキュアシェル(SSH)など)をサポートし、ネットワークのスケーラビリティを有効化すすることが可能になり得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WAN vSmartコントローラは、ネットワークコントローラアプライアンス132として動作し得る。
データプレーン140は、制御プレーン130からの決定に基づいてパケットを転送することを担当することができる。データプレーン140は、物理または仮想ネットワークデバイスであり得るエッジネットワークデバイス142を含み得る。エッジネットワークデバイス142は、1つ以上のデータセンターまたはコロケーションセンター150、キャンパスネットワーク152、ブランチオフィスネットワーク154、ホームオフィスネットワーク154内などの、またはクラウド(例えば、サービスとしてのインフラストラクチャ(IaaS)、サービスとしてのプラットフォーム(PaaS)、SaaS、および他のクラウドサービスプロバイダネットワーク)内などの組織の様々なネットワーク環境のエッジで動作し得る。エッジネットワークデバイス142は、1つ以上のインターネットトランスポートネットワーク160(例えば、デジタル加入者回線(DSL)、ケーブルなど)、MPLSネットワーク162(または他のプライベートパケット交換ネットワーク(例えば、メトロイーサネット、フレームリレー、非同期転送モード(ATM)など)、モバイルネットワーク164(例えば、3G、4G/LTE、5Gなど)、または他のWAN技術(例えば、同期光ネットワーク(SONET)、同期デジタル階層(SDH)、高密度波長分割多重(DWDM)、または他の光ファイバ技術、リース回線(例えば、Tl/El、T3/E3など)、公衆交換電話網(PSTN)、統合サービスデジタルネットワーク(ISDN)、または他のプライベート回線交換ネットワーク、超小型衛星通信地球局(VSAT)または他の衛星ネットワークなど)を介すなどした、1つ以上のWANトランスポートを介したサイトの間の安全なデータプレーン接続を提供し得る。エッジネットワークデバイス142は、タスクの中でもとりわけ、トラフィック転送、セキュリティ、暗号化、サービス品質(QoS)、およびルーティング(例えば、BGP、OSPFなど)を担当することができる。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WAN vEdgeルータが、エッジネットワークデバイス142として動作することができる。
図2は、ネットワークアーキテクチャ100の様々な態様を示すためのネットワークトポロジ200の例を示す。ネットワークトポロジ200は、管理ネットワーク202、一対のネットワークサイト204Aおよび204B(集合的に、204)(例えば、データセンター150、キャンパスネットワーク152、ブランチオフィスネットワーク154、ホームオフィスネットワーク156、クラウドサービスプロバイダネットワーなど)、および一対のインターネットトランスポートネットワーク160Aおよび160B(総称して、160)を含み得る。管理ネットワーク202は、1つ以上のネットワークオーケストレータアプライアンス104、1つ以上のネットワーク管理アプライアンス122、および1つ以上のネットワークコントローラアプライアンス132を含み得る。この例では、管理ネットワーク202は単一のネットワークとして示されているが、当業者は、管理ネットワーク202の各要素が任意の数のネットワークに分散され、かつ/またはサイト204と同じ場所に位置し得ることを理解するであろう。この例では、管理ネットワーク202の各要素には、トランスポートネットワーク160Aまたは160Bのいずれかを介して到達し得る。
各サイトは、1つ以上のサイトネットワークデバイス208に接続された1つ以上のエンドポイント206を含み得る。エンドポイント206は、汎用コンピューティングデバイス(例えば、サーバ、ワークステーション、デスクトップコンピュータなど)、モバイルコンピューティングデバイス(例えば、ラップトップ、タブレット、携帯電話など)、ウェアラブルデバイス(例えば、腕時計、眼鏡または他のヘッドマウントディスプレイ(HMD)、イヤーデバイスなど)などを含むことができる。エンドポイント206はまた、農業機器(例えば、家畜追跡および管理システム、給水デバイス、無人航空機(UAV)など)、コネクテッドカーおよび他の車両、スマートホームセンサおよびデバイス(例えば、警報システム、セキュリティカメラ、照明、アプライアンス、メディアプレーヤ、HVAC機器、ユーティリティメータ、窓、自動ドア、ドアベル、ロックなど)、オフィス機器(例えば、デスクトップ電話、コピー機、ファクシミリ機など)、ヘルスケアデバイス(例えば、ペースメーカ、生体センサ、医療機器など)、産業用機器(例えば、ロボット、工場機械、建設機器、産業用センサなど)、小売機器(例えば、自動販売機、店舗販売時点情報管理(POS)デバイス、無線周波数識別(RFID)タグなど)、スマートシティデバイス(例えば、街灯、パーキングメータ、廃棄物管理センサなど)、輸送および物流機器(例えば、回転式改札口、レンタカートラッカ、ナビゲーションデバイス、在庫モニタなど)など、モノのインターネット(IoT)デバイスまたは機器を含むことができる。
サイトネットワークデバイス208は、物理または仮想スイッチ、ルータ、および他のネットワークデバイスを含み得る。この例では、サイト204Aは1対のサイトネットワークデバイスを含むように示され、サイト204Bは単一のサイトネットワークデバイスを含むように示されているが、サイトネットワークデバイス208は、多層(例えば、コア、配信、アクセス層)、スパインアンドリーフ、メッシュ、ツリー、バス、ハブおよびスポークなどを含む任意のネットワークトポロジ内の任意の数のネットワークデバイスを備え得る。例えば、いくつかの実施形態では、1つ以上のデータセンターネットワークは、Cisco(登録商標)アプリケーションセントリックインフラストラクチャ(ACI)アーキテクチャを実装してもよく、かつ/または1つ以上のキャンパスネットワークは、Cisco(登録商標)ソフトウェア定義アクセス(SD-アクセスまたはSDA)アーキテクチャを実装してもよい。サイトネットワークデバイス208は、エンドポイント206を1つ以上のエッジネットワークデバイス142に接続することができ、エッジネットワークデバイス142を使用して、トランスポートネットワーク160に直接接続し得る。
いくつかの実施形態では、「カラー」を使用して個々のWANトランスポートネットワークを識別することができ、異なるWANトランスポートネットワークに異なるカラー(例えば、mpls、private1、ビズインターネット、メトロイーサネット、lteなど)を割り当てることができる。この例では、ネットワークトポロジ200は、インターネットトランスポートネットワーク160Aのための「ビズインターネット」と呼ばれるカラー、および、インターネットトランスポートネットワーク160Bのための「パブリックインターネット」と呼ばれるカラーを利用し得る。
いくつかの実施形態では、各エッジネットワークデバイス208は、ネットワークコントローラアプライアンス132へのデータグラムトランスポート層セキュリティ(DTLS)またはTLS制御接続を形成し、各トランスポートネットワーク160を介して任意のネットワーク制御アプライアンス132に接続し得る。いくつかの実施形態では、エッジネットワークデバイス142はまた、IPSecトンネルを介して他のサイトのエッジネットワークデバイスにセキュアに接続することもできる。いくつかの実施形態では、BFDプロトコルをこれらのトンネルの各々内で使用して、損失、レイテンシ、ジッタ、およびパス障害を検出し得る。
エッジネットワークデバイス142上で、カラーを使用して、個々のWANトランスポートトンネルを識別するかまたは区別することに役立てることができる(例えば、単一のエッジネットワークデバイス上で同じカラーが2回使用されることはない場合がある)。カラー自体も重要な意味を持つ。例えば、メトロイーサネット、mpls、private1、private2、private3、private4、private5、private6のカラーは、プライベートネットワークのために、または、トランスポートIPエンドポイントのNATアドレス指定がない場所で使用できるプライベートカラーと見なすことができる(例えば、同じカラーの2つのエンドポイント間にNATがない場合があるため)。エッジネットワークデバイス142がプライベートカラーを使用する場合、ネイティブ、プライベート、アンダーレイIPアドレスを使用して他のエッジネットワークデバイスへのIPSecトンネルを構築しようとしてもよい。パブリックカラーは、3g、biz、インターネット、ブルー、ブロンズ、custom1、custom2、custom3、デフォルト、ゴールド、グリーン、LTE、パブリックインターネット、レッド、シルバーを含み得る。パブリックカラーは、(NATが関与している場合)ポストNAT IPアドレスへのトンネルを構築するためにエッジネットワークデバイス142によって使用されてもよい。エッジネットワークデバイス142がプライベートカラーを使用し、かつ他のプライベートカラーと通信するためにNATを必要とする場合、構成におけるキャリア設定は、エッジネットワークデバイス142がプライベートIPアドレスを使用するかパブリックIPアドレスを使用するかを指示することができる。この設定を使用すると、一方または両方がNATを使用しているときに、2つのプライベートカラーが、セッションを確立することができる。
図3は、ネットワーク(例えば、ネットワークアーキテクチャ100)のオーバーレイを管理するためにいくつかの実施形態で使用され得るOMPの動作を示す図300の例を示す。この例では、OMPメッセージ302Aおよび302B(総称して、302)は、それぞれ、ネットワークコントローラアプライアンス132とエッジネットワークデバイス142Aおよび142Bとの間で往来伝送され得、ここで、ルートプレフィックス、ネクストホップルート、暗号鍵、ポリシー情報などの制御プレーン情報は、それぞれのセキュアなDTLSまたはTLS接続304Aおよび304Bを介して交換できる。ネットワークコントローラアプライアンス132は、ルートリフレクタと同様に動作することができる。例えば、ネットワークコントローラアプライアンス132は、エッジネットワークデバイス142からルートを受信し、それらに任意のポリシーを処理し、適用し、かつ、オーバーレイ内の他のエッジネットワークデバイス142にルートをアドバタイズし得る。定義されたポリシーがない場合、エッジネットワークデバイス142は、フルメッシュトポロジと同様に動作し得、各エッジネットワークデバイス142は、別のサイトの別のエッジネットワークデバイス142に直接接続し、各サイトから完全なルーティング情報を受信することができる。
OMPは、3つのタイプのルートをアドバタイズすることができる。
・エッジネットワークデバイス142のローカルサイトまたはサービス側から学習したプレフィックスに対応し得るOMPルート。プレフィックスは、静的ルートもしくは接続ルートとして、またはOSPFまたはBGPプロトコルなどの内部から発信し、オーバーレイ全体で伝送できるようにOMPに再配信できる。OMPルートは、トランスポートロケーション(TLOC)情報(BGPネクストホップIPアドレスに類似している可能性がある)などの属性ならびに、発信元、発信者、設定、サイト識別子、タグ、および仮想プライベートネットワーク(VPN)などの他の属性をアドバタイズできる。OMPルートは、OMPルートが指すTLOCがアクティブな場合、転送テーブルにインストールされ得る。
・トランスポートネットワーク160に接続するエッジネットワークデバイス142上の論理トンネル終端点に対応し得るTLOCルート。いくつかの実施形態では、TLOCルートは、一意に識別され、IPアドレス、リンクカラー、およびカプセル化(例えば、汎用ルーティングカプセル化(GRE)、IPSecなど)を含む3つ組によって表され得る。システムIPアドレス、カラー、およびカプセル化に加えて、TLOCルートはまた、TLOCプライベートおよびパブリックIPアドレス、キャリア、プリファレンス、サイト識別子、タグ、および重みなどの属性を伝達することもできる。いくつかの実施形態では、アクティブなBFDセッションがそのTLOCと関連付けられているときに、TLOCは、特定のエッジネットワークデバイス142上でアクティブ状態にあり得る。
・エッジネットワークデバイス142のローカルサイトに接続され、サービス挿入で使用するために他のサイトにアクセス可能であってもよいサービス(例えば、ファイアウォール、分散型サービス拒否(DDoS)緩和策、ロードバランサー、侵入防止システム(IPS)、侵入検知システム(IDS)、WANオプティマイザーなど)を表すことができるサービスルート。加えて、これらのルートはまた、VPNを含むこともでき、VPNラベルを更新タイプで送信して、どのようなVPNがリモートサイトでサービスされるかをネットワークコントローラアプライアンス132に通知することができる。
図3の例では、OMPは、エッジネットワークデバイス142とネットワークコントローラアプライアンス132との間に確立されたDTLS/TLSトンネル304上で実行されていることが示されている。さらに、図300は、WANトランスポートネットワーク160Aを介してTLOC308Aと308Cとの間に確立されたIPSecトンネル306A、および、WANトランスポートネットワーク160Bを介してTLOC308BとTLOC308Dとの間に確立されたIPSecトンネル306Bを示す。IPSecトンネル306Aおよび306Bが確立されると、これらのIPSecトンネルの各々の全体にわたってBFDを有効にすることができる。
図4は、ネットワーク(例えば、ネットワークアーキテクチャ100)のセグメント化を提供するためにいくつかの実施形態で使用され得るVPNの動作を示す図400の例を示す。VPNは、互いに分離でき、独自の転送テーブルを有することができる。インターフェースまたはサブインターフェースは、単一のVPNの下で明示的に構成でき、2つ以上のVPNの一部ではないことが可能である。OMPルート属性において、およびパケットカプセル化において、パケットが属するVPNを識別することができるラベルが使用され得る。VPN番号は、0~65530の値を有する4バイトの整数であり得る。いくつかの実施形態では、ネットワークオーケストレータアプライアンス104、ネットワーク管理アプライアンス122、ネットワークコントローラアプライアンス132、および/またはエッジネットワークデバイス142は、それぞれ、トランスポートVPN402(例えば、VPN番号0)および管理VPN404(例えば、VPN番号512)を含むことができる。トランスポートVPN402は、WANトランスポートネットワーク(例えば、MPLSネットワーク162およびインターネットトランスポートネットワーク160)にそれぞれ接続する1つ以上の物理または仮想ネットワークインターフェース(例えば、ネットワークインターフェース410Aおよび410B)を含むことができる。ネットワークコントローラアプライアンス132への、またはネットワークコントローラアプライアンス132とネットワークオーケストレータアプライアンス104との間のセキュアなDTLS/TLS接続は、トランスポートVPN402から開始できる。加えて、制御プレーン130が確立され得、かつIPSecトンネル306(図示せず)がリモートサイトに接続できるように、静的なまたはデフォルトのルートまたは動的なルーティングプロトコルをトランスポートVPN402内に構成して、適切なネクストホップ情報を取得することができる。
管理VPN404は、ネットワークインターフェース410Cを介して、ネットワークオーケストレータアプライアンス104、ネットワーク管理アプライアンス122、ネットワークコントローラアプライアンス132、および/またはエッジネットワークデバイス142との間で帯域外管理トラフィックを伝達することができる。いくつかの実施形態では、管理VPN404は、オーバーレイネットワークの全体にわたって伝達されなくてもよい。
トランスポートVPN402および管理VPN404に加えて、ネットワークオーケストレータアプライアンス104、ネットワーク管理アプライアンス122、ネットワークコントローラアプライアンス132、またはエッジネットワークデバイス142は、1つ以上のサービス側VPN406を含むこともできる。サービス側VPN406は、1つ以上のローカルサイトネットワーク412に接続し、かつユーザデータトラフィックを伝達する1つ以上の物理または仮想ネットワークインターフェース(例えば、ネットワークインターフェース410Dおよび410E)を含むことができる。サービス側VPN406は、OSPFまたはBGP、仮想ルータ冗長プロトコル(VRRP)、QoS、トラフィックシェーピング、ポリシングなどの機能を使用可能にできる。いくつかの実施形態では、サイト412でネットワークコントローラアプライアンス132から受信されたOMPルートを、サービス側VPNルーティングプロトコルに再配信することによって、ユーザデータトラフィックを、IPSecトンネルを介して他のサイトに向けることができる。次に、サービスVPNルートをOMPルーティングプロトコルにアドバタイズすることによって、ローカルサイト412からのルートを他のサイトにアドバタイズすることができ、これは、ネットワークコントローラアプライアンス132に送信され、ネットワーク内の他のエッジネットワークデバイス142に再配信され得る。この例では、ネットワークインターフェース410A~E(総称して410)が物理インターフェースであることが示されているが、当業者は、トランスポートおよびサービスVPN内のインターフェース410も代わりにサブインターフェースであり得ることを理解するであろう。
図5Aは、データセンターなどの例示的なネットワーク環境500の図を示す。場合によっては、ネットワーク環境500は、クラウド環境をサポートおよび/またはホストすることができるデータセンターを含むことができる。ネットワーク環境500は、ネットワーク環境500の物理層またはインフラストラクチャ(例えば、アンダーレイ)を表すことができるファブリック520を含むことができる。ファブリック520は、ファブリック520内のトラフィックをルーティングまたはスイッチングするために相互接続できる、スパイン502(例えば、スパインルータまたはスイッチ)およびリーフ504(例えば、リーフルータまたはスイッチ)を含むことができる。スパイン502は、ファブリック520内のリーフ504を相互接続することができ、リーフ504は、ファブリック520を、アプリケーションサービス、サーバ、仮想マシン、コンテナ、エンドポイントなどを含むことができるネットワーク環境500のオーバーレイまたは論理部分に接続することができる。したがって、ファブリック520内のネットワーク接続は、スパイン502からリーフ504に、およびその逆に流れることができる。リーフ504とスパイン502との間の相互接続は、ルーティングの失敗を回避するために冗長にすることができる(例えば、複数の相互接続)。いくつかの実施形態では、リーフ504およびスパイン502は、任意の所与のリーフがスパイン502の各々に接続され、任意の所与のスパインがリーフ504の各々に接続されるように、完全に接続することができる。リーフ504は、例えば、トップオブラック(「ToR」)スイッチ、アグリゲーションスイッチ、ゲートウェイ、入力および/または出力スイッチ、プロバイダエッジデバイス、ならびに/あるいは任意の他のタイプのルーティングまたはスイッチングデバイスであり得る。
リーフ504は、テナントまたは顧客のパケットのルーティングおよび/またはブリッジング、ならびにネットワークポリシーまたはルールの適用を担当することができる。ネットワークポリシーおよびルールは、1つ以上のコントローラ516によって駆動され、および/またはリーフ504などの1つ以上のデバイスによって実装もしくは執行される。リーフ504は、他の要素をファブリック520に接続することができる。例えば、リーフ504は、サーバ506、ハイパーバイザ508、仮想マシン(VM)510、アプリケーション512、ネットワークデバイス514などをファブリック520に接続することができる。このような要素は、オーバーレイネットワークなど、1つ以上の論理または仮想の層またはネットワーク内に存在することができる。場合によっては、リーフ504は、ネットワーク環境500およびファブリック520全体での通信を可能にするために、そのような要素(例えば、サーバ506)との間でパケットをカプセル化およびカプセル化解除することができる。リーフ504は、他のデバイス、サービス、テナント、またはワークロードに、ファブリック520へのアクセスを提供することもできる。場合によっては、リーフ504に接続されたサーバ506は、同様に、リーフ504との間でパケットをカプセル化およびカプセル化解除することができる。例えば、サーバ506は、サーバ506によってホストされるかまたはそれに接続されるオーバーレイまたは論理層と、ファブリック520によって表され、かつリーフ504を介してアクセスされるアンダーレイ層との間でパケットをトンネリングするための、1つ以上の仮想スイッチまたはルータまたはトンネルエンドポイントを含むことができる。
アプリケーション512は、ソフトウェアアプリケーション、サービス、コンテナ、アプライアンス、機能、サービスチェーンなどを含むことができる。例えば、アプリケーション512は、ファイアウォール、データベース、CDNサーバ、IDS/IPS、ディープパケットインスペクションサービス、メッセージルータ、仮想スイッチなどを含むことができる。アプリケーション512からのアプリケーションは、複数のエンドポイント(サーバ506、VM510など)によって配信、チェーン、またはホストされるか、あるいは単一のエンドポイントから完全に動作または実行される。
VM510は、ハイパーバイザ508によってホストされる仮想マシン、またはサーバ506上で実行される仮想マシンマネージャにすることができる。VM510は、それぞれのサーバ上のゲストオペレーティングシステム上で実行されるワークロードを含むことができる。ハイパーバイザ508は、VM510を作成、管理、および/または実行するソフトウェア、ファームウェア、および/またはハードウェアの層を提供することができる。ハイパーバイザ508は、VM510がサーバ506上のハードウェアリソースを共有することを可能にし、サーバ506上のハードウェアリソースが複数の別個のハードウェアプラットフォームとして現れることを可能にすることができる。さらに、サーバ506上のハイパーバイザ508は、1つ以上のVM510をホストすることができる。
場合によっては、VM510を他のサーバ506に移行することができる。サーバ506は、同様に、ネットワーク環境500内の他の物理的な場所に移行することができる。例えば、特定のリーフに接続されているサーバを変更して、異なるリーフまたは追加のリーフに接続することができる。このような構成または展開の変更には、移行対象のリソースならびに他のネットワークコンポーネントに適用される設定、構成、およびポリシーの修正が含まれる場合がある。
場合によっては、1つ以上のサーバ506、ハイパーバイザ508、および/またはVM510は、テナントもしくは顧客スペースを表すか、またはそこに常駐することができる。テナントスペースは、1つ以上のクライアントまたはサブスクライバに関連付けられているワークロード、サービス、アプリケーション、デバイス、ネットワーク、および/またはリソースを含むことができる。したがって、ネットワーク環境500内のトラフィックは、特定のテナントポリシー、スペース、合意、構成などに基づいてルーティングできる。さらに、アドレス指定は、1つ以上のテナント間で異なる場合がある。いくつかの構成では、テナントスペースを論理セグメントおよび/またはネットワークに分割し、他のテナントに関連付けられた論理セグメントおよび/またはネットワークから分離することができる。テナント間のアドレス指定、ポリシー、セキュリティ、および構成情報は、コントローラ516、サーバ506、リーフ504などによって管理できる。
ネットワーク環境500の構成は、論理レベル、ハードウェアレベル(例えば、物理)、および/またはその両方で実装できる。例えば、構成は、ソフトウェア定義ネットワーキング(SDN)フレームワーク(例えば、ACIまたはVMWARE NSX)を介して、エンドポイントタイプおよび/またはアプリケーショングループもしくはプロファイルなどのエンドポイントまたはリソース属性に基づいて、論理および/またはハードウェアレベルで実装できる。説明のために、1人または複数の管理者は、コントローラ516を介して論理レベル(例えば、アプリケーションまたはソフトウェアレベル)で構成を定義することができ、コントローラ516は、ネットワーク環境500を介してそのような構成を実装または伝播することができる。いくつかの例では、コントローラ516は、ACIフレームワーク内のアプリケーションポリシーインフラストラクチャコントローラ(APIC)であり得る。他の例では、コントローラ516は、NSXマネージャなどの他のSDNソリューションに関連付けられるための1つ以上の管理コンポーネントであり得る。
このような構成は、ネットワーク環境500内のトラフィックをルーティングおよび/または分類するためのルール、ポリシー、優先順位、プロトコル、属性、オブジェクトなどを定義することができる。例えば、このような構成では、エンドポイントグループ、セキュリティグループ(SG)、VMタイプ、ブリッジドメイン(BD)、仮想ルーティングおよび転送インスタンス(VRF)、テナント、優先順位、ファイアウォールルールなどに基づいてトラフィックを分類および処理するための属性およびオブジェクトを定義することができる。他の例示的なネットワークオブジェクトおよび構成の例については、以下で詳しく説明する。トラフィックのポリシーおよびルールは、トラフィックに関連付けられたプロトコル、トラフィックに関連付けられたEPG、トラフィックに関連付けられたSG、トラフィックに関連付けられたネットワークアドレス情報など、トラフィックのタグ、属性、または他の特性に基づいて執行できる。このようなポリシーおよびルールは、リーフ504、サーバ506、ハイパーバイザ508、コントローラ516など、ネットワーク環境500内の1つ以上の要素によって執行できる。前述のように、ネットワーク環境500は、CISCO ACIまたはVMWARENSXなどの1つ以上の特定のSDNソリューションに従って構成できる。これらの例示的なSDNソリューションについて以下で簡単に説明する。
ACIは、スケーラブルな分散型執行を通じて、アプリケーション中心またはポリシーベースのソリューションを提供することができる。ACIは、ネットワーク、サーバ、サービス、セキュリティ、要件などの宣言型構成モデルの下での物理環境および仮想環境の統合をサポートする。例えば、ACIフレームワークは、セキュリティ、QoS、サービスなどの共通の構成要件を共有するエンドポイントまたはアプリケーションのコレクションを含むことができるEPGを実装する。エンドポイントは、ネットワーク環境500に接続されているVM、コンテナ、ホスト、物理サーバなどの仮想/論理または物理デバイスであり得る。エンドポイントは、VM名、ゲストOS名、セキュリティタグ、アプリケーションプロファイルなど、1つ以上の属性を持つことができる。アプリケーション構成は、エンドポイントではなく、EPG間で、契約の形式で直接適用できる。リーフ504は、着信トラフィックを異なるEPGに分類することができる。分類は、例えば、VLAN ID、VXLANネットワーク識別子(VNID)、NVGRE仮想サブネット識別子(VSID)、MACアドレス、IPアドレスなどのネットワークセグメント識別子に基づくことができる。
場合によっては、ACIインフラストラクチャでの分類は、サーバなどのホスト上で実行できるACI仮想エッジ(AVE)、例えばサーバ上で実行されているvSwitchによって実装できる。例えば、AVEは、指定された属性に基づいてトラフィックを分類し、ネットワークセグメント識別子(例えば、VLAN ID)などの様々な識別子で様々な属性EPGのパケットにタグを付けることができる。最後に、リーフ504は、パケットをそれらの識別子に基づいてそれらの属性EPGと結び付け、ポリシーを執行することができ、これは、1つ以上のコントローラ516によって実装および/または管理できる。リーフ504は、ホストからのトラフィックがどのEPGに属するかを分類し、それに応じてポリシーを執行することができる。
別の例示的なSDNソリューションは、VMWARE NSXに基づく。VMWARE NSXを使用すると、ホストは、トラフィックを分類および処理できる分散ファイアウォール(DFW)を実行することができる。3つのタイプのVM、すなわち、アプリケーション、データベース、およびウェブVMが、単一の層2ネットワークセグメントに配置されている場合を考察されたい。トラフィック保護は、VMタイプに基づいてネットワークセグメント内で提供できる。例えば、HTTPトラフィックは、ウェブVM間では許可され、ウェブVMとアプリケーションまたはデータベースVM間では許可されない場合がある。トラフィックを分類してポリシーを実装するために、VMWARE NSXは、特定のVM(例えば、ウェブVM、アプリケーションVM、データベースVM)をグループ化するために使用できるセキュリティグループを実装することができる。DFWルールは、特定のセキュリティグループのポリシーを実装するように構成できる。説明のために、前の例のコンテキストでは、DFWルールは、ウェブ、アプリケーション、およびデータベースのセキュリティグループ間のHTTPトラフィックをブロックするように構成できる。
ここで図5Aに戻ると、ネットワーク環境500は、リーフ504、サーバ506、ハイパーバイザ508、VM510、アプリケーション512、およびコントローラ516を介して、VMWARE ESXiホスト、WINDOWS HYPER-Vホスト、ベアメタル物理ホストなどの様々なホストを展開することができる。ネットワーク環境500は、様々なハイパーバイザ508、サーバ506(例えば、物理および/または仮想サーバ)、SDNオーケストレーションプラットフォームなどと相互運用することができる。ネットワーク環境200は、宣言型モデルを実装して、アプリケーション設計および全体的なネットワークポリシーとのそれの統合を可能にすることができる。
コントローラ516は、ファブリック情報、アプリケーション構成、リソース構成、SDNインフラストラクチャのアプリケーションレベル構成モデリング、管理システムまたはサーバとの統合などへの一元化されたアクセスを提供することができる。コントローラ516は、ノースバウンドAPIを介してアプリケーションプレーンとインターフェースし、かつサウスバウンドAPIを介してデータプレーンとインターフェースする制御プレーンを形成することができる。
前述のように、コントローラ516は、ネットワーク環境500内の構成のためのアプリケーションレベルのモデルを定義および管理することができる。場合によっては、アプリケーションまたはデバイスの構成を、ネットワーク内の他のコンポーネントによって管理および/または定義することもできる。例えば、VMまたはコンテナなどのハイパーバイザまたは仮想アプライアンスは、サーバまたは管理ツールを実行して、仮想アプライアンスの構成および設定を含む、ネットワーク環境500内のソフトウェアおよびサービスを管理することができる。
上に示したように、ネットワーク環境500は、1つ以上の異なるタイプのSDNソリューション、ホストなどを含むことができる。明確化および説明の目的で、本開示の様々な例は、ACIフレームワークを参照して説明され、コントローラ516は、コントローラ、APIC、またはAPICコントローラと互換的な意味で参照される。ただし、本明細書でのテクノロジーおよび概念は、ACIソリューションに限定されず、他のSDNソリューション、ならびにSDNソリューションを展開しない可能性のある他のタイプのネットワークを含む他のアーキテクチャおよびシナリオで実装されてもよいことに留意されたい。
さらに、本明細書で参照されるように、「ホスト」という用語は、サーバ506(例えば、物理または論理)、ハイパーバイザ508、VM510、コンテナ(例えば、アプリケーション512)などを指すことができ、任意のタイプのサーバまたはアプリケーションソリューションを実行するかまたは含むことができる。「ホスト」の非限定的な例には、分散仮想スイッチ(DVS)、AVEノード、ベクトルパケット処理(VPP)スイッチなどの仮想スイッチまたはルータ、VCENTERおよびNSX MANAGER、ベアメタル物理ホスト、HYPER-Vホスト、VM、DOCKERコンテナなどが含まれ得る。
図5Bは、ネットワーク環境500の別の例を示す。この例では、ネットワーク環境500は、ファブリック520内のリーフ504に接続されたエンドポイント522を含む。エンドポイント522は、サーバ、クライアント、VM、ハイパーバイザ、ソフトウェアコンテナ、アプリケーション、リソース、ネットワークデバイス、ワークロードなどの物理および/または論理もしくは仮想エンティティにすることができる。例えば、エンドポイント522は、物理デバイス(例えば、サーバ、クライアント、スイッチなど)、アプリケーション(例えば、ウェブアプリケーション、データベースアプリケーションなど)、論理または仮想リソース(例えば、仮想スイッチ、仮想サービスアプライアンス、仮想化ネットワーク機能(VNF)、VM、サービスチェーンなど)、ソフトウェアリソース(アプリケーション、アプライアンス、VNF、サービスチェーンなど)を実行するコンテナ、ストレージ、ワークロードまたはワークロードエンジンなどを表すオブジェクトにすることができる。エンドポイント522は、アドレス(例えば、アイデンティティ)、場所(例えば、ホスト、ネットワークセグメント、VRFインスタンス、ドメインなど)、1つ以上の属性(例えば、名前、タイプ、バージョン、パッチレベル、OS名、OSタイプなど)、タグ(例えば、セキュリティタグ)、プロファイルなどを有することができる。
エンドポイント522は、それぞれの論理グループ518に関連付けることができる。論理グループ518は、エンドポイントタイプ(例えば、VMタイプ、ワークロードタイプ、アプリケーションタイプなど)、1つ以上の要件(例えば、ポリシー要件、セキュリティ要件、QoS要件、顧客要件、リソース要件など)、リソース名(例えば、VM名、アプリケーション名など)、プロファイル、プラットフォームまたはオペレーティングシステム(OS)の特性(例えば、ゲストおよび/またはホストOSを含むOSタイプまたは名前など)、関連付けられたネットワークまたはテナント、1つ以上のポリシー、タグなどの1つ以上の属性に従って一緒にグループ化されたエンドポイント(物理および/または論理もしくは仮想)を含む論理エンティティとすることができる。例えば、論理グループは、一緒にグループ化されたエンドポイントのコレクションを表すオブジェクトとすることができる。説明のために、論理グループ1はクライアントエンドポイントを含むことができ、論理グループ2はウェブサーバエンドポイントを含むことができ、論理グループ3はアプリケーションサーバエンドポイントを含むことができ、論理グループNはデータベースサーバエンドポイントを含むことができる。いくつかの例では、論理グループ518は、ACI環境内のEPGおよび/または別のSDN環境内の他の論理グループ(例えば、SG)である。
エンドポイント522へのおよび/またはエンドポイント522からのトラフィックは、論理グループ518に基づいて、分類、処理、管理などすることができる。例えば、論理グループ518を使用して、エンドポイント522との間でトラフィックを分類すること、エンドポイント522との間でトラフィックにポリシーを適用すること、エンドポイント522間の関係を定義すること、エンドポイント522の役割(例えば、エンドポイントがサービスを消費するのか提供するのか)を定義すること、エンドポイント522との間でトラフィックにルールを適用すること、エンドポイント522との間でトラフィックにフィルタまたはアクセス制御リスト(ACL)を適用すること、エンドポイント522との間でトラフィックの通信パスを定義すること、エンドポイント522に関連付けられた要件を執行すること、エンドポイント522などに関連付けられたセキュリティおよび他の構成を実装することなどを行うことができる。
ACI環境では、論理グループ518は、ACIにおいて契約を定義するために使用されるEPGとすることができる。契約は、EPG間で行われる通信の内容および方法を指定するルールを含むことができる。例えば、契約は、サービスを提供するもの、サービスを消費するもの、およびその消費関係に関連するポリシーオブジェクトを定義することができる。契約は、通信パスと、EPまたはEPG間の通信または関係のすべての関連要素とを定義するポリシーを含むことができる。例えば、ウェブEPGは、クライアントEPGが消費するサービスを提供することができ、その消費は、フィルタ(ACL)と、ファイアウォール検査サービスおよびサーバ負荷分散などの1つ以上のサービスを含むサービスグラフとの対象になる。
前述のように、エンタープライズネットワークの状況は、絶えず進化している。モバイルデバイスおよびIoTデバイスのトラフィック、SaaSのアプリケーション、ならびにクラウドの採用に対する需要が高まっている。加えて、セキュリティのニーズが高まっており、特定のアプリケーションは、適切な操作のために優先順位付けおよび最適化を必要とすることがある。この複雑さが増すにつれて、高可用性および拡張性を提供しながら、コストおよび運用費を削減することが求められている。
従来のWANアーキテクチャは、この進化する状況下で大きい課題に直面している。従来のWANアーキテクチャは通常、複数のMPLSトランスポート、またはアクティブ/バックアップ方式で使用されるインターネットまたはLTEリンクと組み合わせたMPLSからなり、ほとんどの場合、インターネットまたはSaaSのトラフィックが、インターネットアクセスのために、中央データセンターまたは地域ハブにバックホールされる。これらのアーキテクチャに関する問題は、不十分な帯域幅、高い帯域幅コスト、アプリケーションのダウンタイム、低いSaaS性能、複雑な操作、クラウド接続のための複雑なワークフロー、長い展開時間およびポリシーの変更、アプリケーションの可視性の制限、ネットワークの保護の難しさを含み得る。
近年、これらの課題に対処するために、ソフトウェア定義エンタープライズネットワークソリューションが開発された。ソフトウェア定義エンタープライズネットワーキングは、SDWANとSDLANの両方を含むSDNのより広範なテクノロジーの一部である。SDNは、基盤をなすネットワークインフラストラクチャをアプリケーションから抜き取り得る、ネットワーク管理の一元化手法である。このデータプレーン転送とコントロールプレーンの分離により、ネットワークオペレータはネットワークのインテリジェンスを一元化し、さらなるネットワークの自動化、運用の簡素化、一元化されたプロビジョニング、監視、およびトラブルシューティングを提供し得る。ソフトウェア定義エンタープライズネットワーキングは、SDNのこれらの原則をWANおよびLANに適用することができる。
現在、SDWANを組み合わせて、単一のネットワーク、例えば非常に大規模なネットワークを形成することができる。例えば、地域のキャンパスネットワークは、1つ以上のエンティティの非常に大規模なネットワークを形成することができる。具体的には、1つの大規模なSDWANを構築する代わりに、SDWANの階層を作成して、地域のSD-WANネットワーク/クラウドを構築することによってネットワークを形成することができる。多くの場合、これらの地域のSDWANは、ハブサイト、データセンター、および/またはコロケーション施設において終了する。複数のSDWANを介してネットワークを形成する際に、SDWAN間の通信を容易にすること、例えばSDWANを相互接続することは、ネットワークが適切に機能することを保証するために重要である。ただし、個別のSDWANを相互接続することは、達成するのが困難である。具体的には、SDWANをサポートするSDWANファブリックを介して個別のSDWANを相互接続することは、適切に実装するのが困難である。したがって、より大規模なネットワークを形成する個別のSDWANを相互接続するシステムおよび方法に対する必要性が存在する。より具体的には、SDWANが形成されるSDWANファブリックを介して個別のSDWANを相互接続するシステムおよび方法に対する必要性が存在する。
本は、セグメントルーティングを介してSDWANを相互接続することにより、これらの問題/不一致を解決するためのシステム、方法、およびコンピュータ可読媒体を含む。具体的には、SDWANファブリックの第1のSDWANおよび第2のSDWANを識別することができる。セグメントルーティングドメインは、第1のSDWANおよび第2のSDWANを相互接続するSDWANファブリックを介して形成できる。具体的には、セグメントルーティングドメインはSDWANファブリックのWANアンダーレイ上に形成されて、第1のSDWANおよび第2のSDWANを相互接続することができる。第1のSDWANと第2のSDWANとの間のデータ送信は、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメインを介してセグメントルーティングを実行することによって制御できる。
本システム、方法、およびコンピュータ可読媒体は、いくつかの理由で、現在のクロスドメイン執行技術よりも有利である。具体的には、エンドツーエンドSDWANソリューションの利点は、WANコア/アンダーレイ上に構築されたセグメントルーティングドメインを介してSDWANを相互接続し、SDWANを効果的に接続してエンドツーエンドSDWANソリューションを作成することによって実現できる。さらに、セグメントルーティングドメインを使用してSDWANを相互接続すると、(例えばコントローラから)ソフトウェアでインスタンス化された構造を使用してWANコアを介してパスを構築するための機能が提供される。以下のように、セグメントルーティングの特徴であるヘッドエンドの意思決定およびパス選択のメカニズムにより、トラフィックの特性に基づいて特定のトラフィックのパスを選択して、SDWAN間のデータ送信をより効率的に制御することができる。さらに、セグメントルーティングを使用することで、SDWAN間のデータ送信をより効率的に制御するために、パスをリアクティブに変更することができる。これは、SDWANを接続するために使用される一般的なネットワーク構造よりも有利であり、SDWANは、パスの変更が事前に構築されていない限り、通常は、SDWAN間のデータ送信を制御する際にパスの変更を実装できない。
図6は、相互接続されたSDWANの例示的なネットワーク環境600を示す。例示的なネットワーク環境600は、第1のSDWAN602および第2のSDWAN604を含む。第1および第2のSDWAN602および604は、ネットワーク環境において適用可能なSDWANであり得る。例えば、第1および第2のSDWAN602および604は、データセンター、キャンパスネットワーク、地域オフィスネットワーク、および他の適用可能なクラウド環境の一部として形成できる。さらに、第1および第2のSDWAN602および604は、適用可能なSDNアーキテクチャを使用して実装および管理できる。例えば、第1および第2のSDWAN602および604は、図1に示されるネットワークアーキテクチャ100を使用して実装できる。第1および第2のSDWAN602および604は、同じエンタープライズネットワークの一部であり得る。例えば、第1および第2のSDWAN602および604は、異なる場所にあるエンタープライズのキャンパスネットワークおよびデータセンターを含むことができる。
第1および第2のSDWAN602および604は、SDWANファブリックの一部として形成できる。具体的には、第1および第2のSDWAN602および604は、SDWANファブリックの、図6に示されるアンダーレイネットワーク606などの適用可能なアンダーレイネットワークによって形成できる。第1および第2のSDWAN602および604は、アンダーレイネットワーク606とは別個に実装されるように示されているが、これは、例示の目的で行われており、第1および第2のSDWAN602および604の全部または一部は、実際には、アンダーレイネットワーク606上に形成できる。したがって、アンダーレイネットワーク606は、第1および第2のSDWAN602および604を含むSDWANファブリックの一部を形成することができる。
アンダーレイネットワーク606は、1つ以上の適用可能なネットワークによって形成できる。具体的には、アンダーレイネットワーク606は、ブロードバンドネットワーク、MPLSネットワーク、セルラネットワーク、および/またはプライベート相互接続ネットワークを介して形成できる。さらに、アンダーレイネットワーク606は、1つ以上のネットワークサービスプロバイダの1つ以上のネットワークを介して形成できる。具体的には、アンダーレイネットワーク606は、異なるネットワークサービスプロバイダのセルラネットワークおよびブロードバンドネットワークによって形成できる。アンダーレイネットワーク606は、第1のSDWAN602および第2のSDWAN604を相互接続するWANアンダーレイとして機能することができる。具体的には、第1のSDWAN602および第2のSDWAN604は、アンダーレイネットワーク606を介して互いにデータを交換し、それにより、第1のSDWAN602および第2のSDWAN604を相互接続することができる。
セグメントルーティングドメイン608は、アンダーレイネットワーク606を介して形成されて、第1のSDWAN602および第2のSDWAN604を相互接続することができる。次に、データは、セグメントルーティングドメイン608を介して第1のSDWAN602と第2のSDWAN604との間で送信されて、第1のSDWAN602および第2のSDWAN604を相互接続することができる。具体的には、第1のSDWAN602と第2のSDWAN604との間のデータ送信は、セグメントルーティングドメイン608を介した第1のSDWAN602と第2のSDWAN604との間のデータの送信を制御することにより、セグメントルーティングを使用して制御できる。セグメントルーティングドメイン608を介して第1のSDWAN602および第2のSDWAN604を相互接続することにより、エンドツーエンドSDWANソリューションの利点を実現することができる。具体的には、第1のSDWAN602および第2のSDWAN604は、SDWANを相互接続するための典型的なソリューション、例えばIPSECソリューションよりも、より効率的かつより安全に互いに通信することができる。
アンダーレイネットワーク606内でセグメントルーティングドメイン608を形成することの一部として、1つ以上のパスが識別され、SDWAN602および604を接続するためにアンダーレイネットワーク606内に構築され得る。パスは、アンダーレイネットワーク606内の複数の適用可能なネットワークデバイスから形成されて、アンダーレイネットワーク606を介してSDWAN602および604を接続することができる。次に、後でより詳細に説明するように、パスは、トラフィックタイプに基づいて選択可能であって、セグメントルーティングを使用してセグメントルーティングドメイン608を介したSDWAN602とSDWAN604との間のトラフィックの送信を制御することができる。続いて、トラフィックは、セグメントルーティングを使用して第1および第2のSDWAN602および604の間でトラフィックを送信することの一部として、選択されたパス上で送信され得る。セグメントルーティングドメイン608は、メディアアクセス制御セキュリティ(MACsec)暗号化を使用して第1のSDWAN602と第2のSDWAN604との間でトラフィックを送信することができる。
セグメントルーティングドメイン608を通るパスは、適用可能なソフトウェアコントローラ、例えば、セグメントルーティングドメイン608に関連付けられたセグメントルーティングコントローラ/パス計算要素コントローラによって構築できる。セグメントルーティングドメイン608を介して事前定義されたパスを確立する際に、セグメントルーティングコントローラは、選択されたパスに従ってSDWANS602とSDWAN604との間でトラフィックをルーティングするようにセグメントルーティングドメイン608を構成することができる。具体的には、セグメントルーティングコントローラは、パスのセグメントのリストを、セグメントルーティングドメイン608内のヘッドエンドルータ/プロバイダエッジルータに信号で送ることができる。パスのセグメントのリストを使用して、プロバイダエッジルータにおいて、パスに対応する単一のフローごとの状態をプログラムすることができる。次に、プロバイダエッジルータは、セグメントルーティングを使用してパスを介してトラフィックを送信するために、セグメントのリストをパケットヘッダに挿入できる。さらに、セグメントルーティングコントローラは、パスのバインディングセグメントID(「BSID」)を、セグメントルーティングドメイン608内のプロバイダエッジルータに追加することができる。BSIDは、パスに関連付けられたトラフィックの特定のポリシーに一意に関連付けられるか、特定のポリシーを識別することができる。次に、例えばプロバイダエッジルータによって、ポリシーを使用して、セグメントルーティングを使用してパスを介してトラフィックを送信することができる。
様々な実施形態では、プロバイダエッジルータは、WANアンダーレイ内のルート計算要素ノードとして機能することができる。具体的には、プロバイダエッジルータは、パケットヘッダにセグメントを挿入し、BSID/ポリシーを使用してパスを通るトラフィックを制御することにより、ルート計算要素ノードとして機能することができる。セグメントルーティングコントローラは、パス内の2つのノードをプログラムして、ルート計算要素ノードとして機能させることができる。例えば、セグメントルーティングコントローラは、パスのセグメントのリストおよびBSIDを、WANアンダーレイ内の2つのプロバイダエッジルータに信号で送ることができる。
パスは、適用可能なコントローラ、例えば、第1のSDWAN602および第2のSDWAN604のいずれかまたは両方のためのSDWANコントローラにプッシュでき、例えば、パスの選択をプッシュすることができる。具体的には、パスの選択は、前述の技法に従ってセグメントルーティングコントローラがパスを構成した後でまたはそれと併せて、SDWANコントローラにプッシュできる。より具体的には、セグメントルーティングコントローラは、パスのBSIDおよび他の適用可能な属性、例えばパス内のセグメントのリストをSDWANコントローラにプッシュすることができる。次に、SDWANコントローラは、セグメントルーティングコントローラによって確立されたパスを使用して、セグメントルーティングドメイン608を介してトラフィックを送信するように、第1のSDWAN602および第2のSDWAN604を構成することができる。具体的には、SDWANコントローラは、セグメントルーティングドメイン608を介してセグメントルーティングコントローラによって確立されたパスを通るトラフィックの送信を容易にするポリシーを用いて、第1のSDWAN602および第2のSDWAN604内のエッジルータを構成することができる。
セグメントルーティングドメイン608を通るパスは、トラフィックの特定のクラスに一意に関連付けることができる。次に、特定のトラフィッククラスのトラフィックは、特定のトラフィッククラスに関連付けられたセグメントルーティングドメイン内の特定のパスを介して、第1のSDWAN602と第2のSDWAN604との間で送信できる。トラフィッククラスは、トラフィックの1つ以上の適用可能な特性によって定義できる。具体的には、トラフィッククラスは、トラフィックに関連付けられたユーザグループ、アプリケーショングループ、VPNグループ、送信元、および宛先の1つまたは組み合わせに基づいて定義できる。例えば、トラフィッククラスは、ネットワークサービスアクセスの提供の一部として実行される特定のアプリケーションに関連付けられたデータを含むことができる。別の例では、トラフィッククラスは、ネットワークサービスアクセスを提供する際に特定のクライアントとの間で送信されるデータを含むことができる。
トラフィックの特定のクラスに基づいてセグメントルーティングドメイン608を介してトラフィックを送信する際に、トラフィッククラスに基づいてトラフィック送信を制御するためのポリシーを実装することができる。ポリシーは、少なくとも部分的には管理者が定義できる。例えば、管理者は、セグメントルーティングドメイン608を介して制御するための特定のトラフィッククラスを定義することができる。ポリシーは、例えばセグメントルーティングコントローラによって確立された、セグメントルーティングドメイン608を通る特定のパスを識別して、トラフィックの特定のクラスを送信することもできる。適用可能なコントローラは、トラフィックタイプに基づいてセグメントルーティングドメイン608を介したトラフィック送信を制御するためのポリシーを実装することができる。例えば、SDWANコントローラは、トラフィッククラスに基づいてセグメントルーティングドメイン608を介したトラフィック送信を制御するために、第1および第2のSDWAN602および604内の適用可能なエッジルータにポリシーをプログラムすることができる。別の例では、セグメントルーティングコントローラは、トラフィッククラスに基づいてセグメントルーティングドメイン608を介してトラフィックを送信するためのポリシーに対応するBSIDを用いて、アンダーレイネットワーク606内の適切なプロバイダエッジルータをプログラムすることができる。
セグメントルーティングドメイン608を介して特定のトラフィック、例えば特定のトラフィッククラスを送信するためのパスは、アンダーレイネットワーク606内のリンクの性能特性/測定値に基づいて選択できる。特に、特定のパスは、性能測定値に基づいてセグメントルーティングを実行することの一部として、アンダーレイネットワーク606内のリンクの性能測定値に基づいて識別および構築できる。性能測定値は、アンダーレイネットワーク606内のリンクを介したデータの送信に関連する適用可能な測定基準を含むことができる。例えば、性能測定値は、リンクの輻輳、リンクのレイテンシ、リンクのパケットドロップの数、およびリンクのジッタの量の1つまたは適切な組み合わせを含むことができる。性能測定値は、アンダーレイネットワーク606内のリンクを形成するノードから受信されたテレメトリデータから識別できる。テレメトリデータは、ノードから、適用可能なコントローラ、例えばSDWANコントローラおよびセグメントルーティングコントローラのいずれかまたは両方にストリーミングできる。次に、コントローラは、ストリーミングテレメトリデータから、アンダーレイネットワーク606内のリンクの性能測定値を識別することができる。
さらに、セグメントルーティングドメイン608を介して特定のトラフィック、例えば特定のトラフィッククラスのトラフィックを送信するためのパスは、特定のトラフィックの送信に関連付けられたサービス品質要件に基づいて選択できる。サービス品質要件は、トラフィッククラスに基づいてトラフィックに固有であり得る。次に、セグメントルーティングドメイン608を介してトラフィックの特定のクラスを送信するためのパスは、特定のトラフィッククラスのサービス品質要件に基づいて識別および確立できる。サービス品質要件は、第1のSDWAN602と第2のSDWAN604との間でトラフィックを送信するための適用可能な性能要件を含むことができる。具体的には、サービス品質要件は、第1のSDWAN602と第2のSDWAN604との間で、例えば特定のトラフィッククラスの、データを送信するための帯域幅およびレイテンシのしきい値/要件のいずれかまたは両方を含むことができる。レイテンシ要件は、送信元と宛先の間でデータを送信するための、しきい値一方向データ送信時間、およびしきい値ラウンドトリップデータ遅延時間を含むことができる。帯域幅の要件は、送信元と宛先の間でデータを送信するためのしきい値データ送信レートを含むことができる。例えば、アプリケーションのサービス品質要件は、アプリケーションに関連するトラフィックが、特定の期間にわたって特定の平均ビットレートで第1のSDWAN602と第2のSDWAN604との間で送信されるべきであることを指定することができる。
セグメントルーティングドメイン608を介して特定のトラフィック、例えばトラフィッククラスを送信するためのパスは、トラフィックに関連するサービス品質要件、およびアンダーレイネットワーク606内のリンクの性能測定値の両方に基づいて選択できる。次に、選択されたパスは、セグメントルーティングを介して第1のSDWAN602と第2のSDWAN604との間でトラフィックを送信するために、セグメントルーティングドメイン608を介して確立/構築できる。具体的には、パスは、特定のトラフィックのサービス品質要件を満たすリンクを使用して識別および構築できる。例えば、セグメントルーティングコントローラは、第1のSDWAN602と第2のSDWAN604との間でトラフィックの特定のクラスを送信するための帯域幅しきい値を満たす帯域幅を有するパスを形成するリンクを選択することができる。
サービス品質要件とアンダーレイネットワーク606内のリンクの性能測定値の両方に基づいてセグメントルーティングドメイン608を通るパスを選択する例では、第1のSDWAN602内のSDWAN対応ルータ、例えばvEdge Router(登録商標)は、トラフィックのクラスに関連付けられたアプリケーションを識別し、アンダーレイネットワーク606を介した第2のSDWAN604への特定のパスを選択することができる。SDWAN対応ルータは、アンダーレイネットワーク606について収集された性能測定値に基づいて特定のパスを選択することができる。SDWAN対応ルータによって選択されたパスは、アンダーレイネットワーク606を通る最短パスである可能性がある。ただし、パスは、アプリケーションのサービス品質要件、例えばアプリケーションのレイテンシしきい値または帯域幅許容誤差を満たさない可能性がある。その後、ルータは、識別されたパスをSDWANコントローラに送信することができる。SDWANコントローラは、例えば、セグメントルーティングドメイン608内のアンダーレイネットワーク606を介してアプリケーションのパスを確立するための要求の一部として、識別されたパスならびにアプリケーションのサービス品質要件をセグメントルーティングコントローラに送信することができる。さらに、SDWANコントローラは、アプリケーションに関連するトラフィックの第1のSDWAN602および第2のSDWAN604内の送信元および宛先を送信することができる。
さらにこの例では、セグメントルーティングコントローラは、アプリケーションのサービス品質要件を満たすアンダーレイネットワーク606を通るパスを識別することができる。具体的には、セグメントルーティングコントローラは、SDWAN対応ルータによって識別されたパスと比較したときに、アプリケーションのサービス品質要件を満たす次の最短パスを識別することができる。セグメントルーティングコントローラは、アンダーレイネットワーク606において、例えばリンクを形成するノードによって収集されたテレメトリデータから決定された、リンクの性能測定値に基づいて、アプリケーションのサービス品質要件を満たすアンダーレイネットワーク606を通るパスを識別することができる。
次に、セグメントルーティングコントローラは、セグメントルーティングドメイン608を通るパスを確立するための前述の技法を使用して、セグメントルーティングドメイン608内のパスを確立することができる。具体的には、セグメントルーティングコントローラは、パス内のリンクセグメントのリストを使用して、パス内のプロバイダエッジルータをプログラムすることができる。さらに、セグメントルーティングコントローラは、ポリシーのBSIDを使用してプロバイダエッジルータをプログラムして、パスを通るアプリケーショントラフィックのフローを制御することができる。次のように、セグメントルーティングコントローラは、パスの識別情報、例えば、パス内のリンクセグメント、パスのポリシーのBSID、および/またはパスが確立されていることの表示を送信することができる。次に、SDWANコントローラは、セグメントルーティングドメイン608内のパスを介してアプリケーションのトラフィックを送信するように、第1のSDWAN602および/または第2のSDWAN604を構成することができる。例えば、SDWANコントローラは、アプリケーションのデータを、セグメントルーティングドメイン608内のパス、例えばセグメントルーティングドメイン608内のパスのプロバイダエッジノードに送信するように、第1のSDWAN602内のエッジノード、例えばSDWAN対応ルータを構成することができる。
前述の技術を使用して、SDWANコントローラとセグメントルーティングコントローラの両方の動作を同期させて、サービス品質要件を満たしながら、セグメントルーティングドメイン608を介してデータを送信することができる。次に、これにより、SDWANコントローラは、SDWANアプリケーションのためにアンダーレイネットワーク606内で利用可能な低レイテンシパスを利用することができる。
第1のSDWAN602と第2のSDWAN604との間で特定のクラスのトラフィックを送信するために使用されるセグメントルーティングドメイン608を通るパスを修正して、トラフィックを送信するために使用される新しいパスを効果的に作成することができる。あるいは、セグメントルーティングドメイン608を通る全く新しいパスを形成して、第1および第2のSDWAN602および604の間で特定のクラスのトラフィックを送信することができる。新しいパス、例えば、修正されたパスまたは全く新しいパスが識別され、特定のトラフィッククラスに関連付けられて、以前に特定のトラフィッククラスに関連付けられていたパスを置き換えることができる。次のように、特定のクラスのトラフィックは、トラフィックの特定のトラフィッククラスとの新しいパスまたは修正されたパスの関連付けに基づいて、新しいパスまたは修正されたパスを介して送信できる。
新しいパスは、セグメントルーティングドメイン608を通るパスの監視された性能の健全性に基づいて確立できる。パスの健全性は、第1および第2のSDWAN602および604の間でデータを送信する際のパスの性能測定値に従って定義できる。具体的には、SDWANコントローラは、例えば受信されたテレメトリデータによって示される、パス内のリンクの性能測定値に基づいて、セグメントルーティングドメインを介してトラフィックを送信するパスの健全性を監視することができる。例えば、パスの健全性は、パスの負荷レベル、パスのレイテンシ、パスのパケットドロップの数、および/またはパスのジッタに基づいて決定されるスコアを含むことができる。次に、SDWANコントローラは、しきい値健全性レベルに関するパスの健全性に基づいて、例えばパスの健全性がしきい値健全性レベルを下回る場合、新しいパスの確立を促進することができる。
新しいパスは、本明細書で説明する技法を使用して確立できる。具体的には、セグメントルーティングコントローラは、例えば、セグメントルーティングドメイン608を通るパスを修正することによって、またはセグメントルーティングドメイン608を通る全く新しいパスを識別することによって、新しいパスを識別することができる。さらに、セグメントルーティングコントローラは、以前のパスに関連付けられたトラフィックのサービス品質要件に基づいて、新しいパスを識別することができる。例えば、セグメントルーティングコントローラは、アプリケーションの帯域幅要件を満たす新しいパスを識別することができる。セグメントルーティングコントローラは、SDWANコントローラによって識別されたパスに基づいて、新しいパスを識別することができ、これは、SDWANコントローラがパスを識別し、セグメントルーティングコントローラが、サービス品質要件を満たす次の最短パスを識別することに関して前述した技法と同様である。
図7は、ネットワークデバイス700(例えば、スイッチ、ルータ、ネットワークアプライアンスなど)の例を示す。ネットワークデバイス700は、マスター中央処理ユニット(CPU)702、インターフェース704、およびバス706(例えば、PCIバス)を含み得る。適切なソフトウェアまたはファームウェアの制御下で作動する場合、CPU702は、パケット管理、エラー検出、および/またはルーティング関数を実行することを担当することができる。CPU702は、好ましくは、オペレーティングシステムおよび任意の適切なアプリケーションソフトウェアを含むソフトウェアの制御下でこれらすべての機能を達成する。CPU702は、MotorolaのマイクロプロセッサファミリーまたはMIPSマイクロプロセッサファミリーからのプロセッサなどの1つ以上のプロセッサ708を含み得る。代替実施形態では、プロセッサ708は、ネットワークデバイス700の動作を制御するための特別に設計されたハードウェアであり得る。一実施形態では、メモリ710(不揮発性RAMおよび/またはROMなど)もまた、CPU702の一部を形成し得る。ただし、メモリをシステムに結合することができる多くの異なる方式がある。
インターフェース704は、インターフェースカード(場合によってはラインカードと呼ばれる)として提供できる。インターフェース704は、ネットワークを介したデータパケットの送信および受信を制御し、場合によってはネットワークデバイス700と共に使用される他の周辺機器をサポートすることができる。提供され得るインターフェースの中には、イーサネットインターフェース、フレームリレーインターフェース、ケーブルインターフェース、DSLインターフェース、トークンリングインターフェースなどがある。加えて、高速トークンリングインターフェース、無線インターフェース、イーサネットインターフェース、ギガビットイーサネットインターフェース、非同期転送モード(ATM)インターフェース、高速シリアルインターフェース(HSSI)、パケットオーバーSONET(POS)インターフェース、ファイバ分散データインターフェース(FDDI)などの、様々な非常に高速のインターフェースが提供され得る。インターフェース904は、適切な媒体との通信に適したポートを含み得る。場合によっては、インターフェース704はまた、独立したプロセッサ、かつ場合によっては揮発性RAMも含み得る。独立したプロセッサは、パケット交換、メディア制御、および管理などの通信集約型タスクを制御し得る。通信集約型タスクのために別個のプロセッサを提供することによって、インターフェース704は、CPU702がルーティング計算、ネットワーク診断、セキュリティ機能などを効率的に実行することを可能にし得る。
図7に示されるシステムは、一実施形態のネットワークデバイスの一例であるが、このシステムは、本技術が実装できる唯一のネットワークデバイスアーキテクチャでは決してない。例えば、通信ならびにルーティング計算および他のネットワーク機能を処理することができる単一のプロセッサを有するアーキテクチャを使用することもできる。さらに、他のタイプのインターフェースおよび媒体もまた、ネットワークデバイス700と共に使用できる。
ネットワークデバイスの構成にかかわらず、システムは、本明細書に記載されるローミング、ルート最適化、およびルーティング機能のための汎用ネットワーク動作およびメカニズムのためのプログラム命令を記憶するように構成された1つ以上のメモリまたはメモリモジュール(メモリ710を含む)を使用し得る。プログラム命令は、例えば、オペレーティングシステムおよび/または1つ以上のアプリケーションの動作を制御し得る。1つのメモリまたは複数のメモリはまた、モビリティバインディング、登録、および関連付けテーブルなどのテーブルを記憶するように構成され得る。
図8は、システムのコンポーネントが、バス805を使用して互いに電気的に通信している、バスコンピューティングシステム800の例を示す。コンピューティングシステム800は、処理ユニット(CPUまたはプロセッサ)810と、読み取り専用メモリ(ROM)820およびランダムアクセスメモリ(RAM)825などのシステムメモリ815を含む様々なシステムコンポーネントをプロセッサ810に結合し得るシステムバス805と、を含むことができる。コンピューティングシステム800は、プロセッサ810に直接接続されているか、プロセッサ810に近接しているか、またはプロセッサ810の一部分として統合された高速メモリのキャッシュ812を含むことができる。コンピューティングシステム800は、プロセッサ810による速いアクセスのために、メモリ815、ROM820、RAM825、および/または記憶デバイス830からキャッシュ812にデータをコピーすることができる。このようにして、キャッシュ812は、データを待機している間のプロセッサの遅延を回避するという性能向上を提供することができる。これらおよび他のモジュールは、プロセッサ810を制御して、様々なアクションを実行することができる。他のシステムメモリ815も同様に利用可能であり得る。メモリ815は、異なる性能特性を有する複数の異なるタイプのメモリを含むことができる。プロセッサ810は、任意の汎用プロセッサおよびハードウェアモジュール、またはプロセッサ810を制御するように構成された、記憶デバイス830に記憶されたモジュール1 832、モジュール2 834、およびモジュール3 836のようなソフトウェアモジュール、ならびにソフトウェア命令が実際のプロセッサ設計に組み込まれた専用プロセッサを含むことができる。プロセッサ810は、本質的に、複数のコアまたはプロセッサ、バス、メモリコントローラ、キャッシュなどを包含する完全に自己完結型のコンピューティングシステムであり得る。マルチコアプロセッサは、対称または非対称であり得る。
コンピューティングデバイス800とのユーザインタラクションを可能にするために、入力デバイス845は、発話用マイクロフォン、ジェスチャまたはグラフィック入力用のタッチ保護スクリーン、キーボード、マウス、モーション入力、発話などの任意の数の入力メカニズムを表すことができる。出力デバイス835はまた、当業者に知られている出力メカニズムのうちの1つ以上とすることができる。場合によっては、マルチモーダルシステムは、ユーザがコンピューティングデバイス800と通信するために複数のタイプの入力を提供することを可能にし得る。通信インターフェース840は、ユーザ入力およびシステム出力を統御および管理することができる。特定のハードウェア配置での動作に対する制約はないため、ここでの基本的特徴は、基本的特徴が開発される際に改善されたハードウェア配置またはファームウェア配置に容易に置き換えることができる。
記憶デバイス830は、不揮発性メモリでとすることができ、磁気カセット、フラッシュメモリカード、ソリッドステートメモリデバイス、デジタル多用途ディスク、カートリッジ、ランダムアクセスメモリ、読み取り専用メモリ、およびそれらのハイブリッドなどの、コンピュータによってアクセス可能であるデータを記憶することができるハードディスクまたは他のタイプのコンピュータ可読媒体とすることができる。
上記に論じられたように、記憶デバイス830は、プロセッサ810を制御するためのソフトウェアモジュール832、834、836を含むことができる。他のハードウェアまたはソフトウェアモジュールが企図される。記憶デバイス830は、システム接続部805に接続できる。いくつかの実施形態では、特定の機能を実行するハードウェアモジュールは、その機能を実行するための、プロセッサ810、バス805、出力デバイス835などの必要なハードウェアコンポーネントに関連してコンピュータ可読媒体に記憶されたソフトウェアコンポーネントを含むことができる。
要約すると、セグメントルーティングを介してSDWANを相互接続するためのシステム、方法、およびコンピュータ可読媒体について説明した。SDWANファブリックの第1のSDWANおよび第2のSDWANを識別することができる。第1のSDWANおよび第2のSDWANを相互接続するセグメントルーティングドメインは、SDWANファブリックのWANアンダーレイ上に形成できる。第1のSDWANと第2のSDWANとの間のデータ送信は、第1のSDWANと第2のSDWANとの間に形成されたセグメントルーティングドメインを介してセグメントルーティングを実行することによって制御できる。
説明を明確にするために、場合によっては、様々な実施形態は、デバイス、デバイスコンポーネント、ソフトウェアで具体化される方法におけるステップもしくはルーチン、またはハードウェアとソフトウェアとの組み合わせを含む機能ブロックを含む個々の機能ブロックを含むものとして提示され得る。
いくつかの実施形態では、コンピュータ可読記憶デバイス、媒体、およびメモリは、ビットストリームなどを含むケーブルまたは無線信号を含むことができる。しかしながら、言及される場合、非一時的コンピュータ可読記憶媒体は、エネルギ、搬送波信号、電磁波、および信号自体などの媒体を明示的に除外する。
上述した例にかかる方法は、コンピュータ可読媒体に記憶されているか、または別様にそれから利用可能であるコンピュータ実行可能命令を使用して実装されることができる。そのような命令は、例えば、汎用コンピュータ、専用コンピュータ、もしくは専用処理デバイスに特定の機能または機能のグループを実行させるかまたは別様に構成する命令およびデータを含むことができる。使用されるコンピュータリソースの部分は、ネットワーク経由でアクセス可能とすることができる。コンピュータ実行可能命令は、例えば、バイナリ、アセンブリ言語、ファームウェア、またはソースコードなどの中間フォーマット命令とすることができる。命令、使用される情報、および/または説明された例にかかる方法中に作成された情報を記憶するために使用されることができるコンピュータ可読媒体の例は、磁気ディスクまたは光ディスク、フラッシュメモリ、不揮発性メモリを備えたUSBデバイス、ネットワーク記憶デバイスなどを含む。
これらの開示による方法を実装するデバイスは、ハードウェア、ファームウェア、および/またはソフトウェアを含むことができ、様々なフォームファクタのいずれかを取ることができる。このようなフォームファクタのいくつかの例として、サーバ、ラックマウントデバイス、デスクトップコンピュータ、ラップトップコンピュータなどの汎用コンピューティングデバイス、またはタブレットコンピュータ、スマートフォン、携帯情報端末、ウェアラブルデバイスなどの汎用モバイルコンピューティングデバイスが挙げられる。本明細書に記載される機能はまた、周辺機器またはアドインカードで具体化され得る。そのような機能はまた、さらなる例として、単一のデバイスで実行される異なるチップまたは異なるプロセスの間の回路基板上に実装されることもできる。
命令、そのような命令を伝達するための媒体、それらを実行するためのコンピューティングリソース、およびそのようなコンピューティングリソースをサポートするための他の構造は、これらの開示に記載された機能を提供するための手段である。
添付の特許請求の範囲の範疇の態様を説明するために、様々な例および他の情報が使用されたが、当業者であれば、多種多様な実装形態を導出するために、これらの例を使用することができるように、そのような例における特定の特徴または構成に基づいて、特許請求の範囲のいかなる制限も示唆されるべきではない。さらに、一部の主題は、構造的特徴および/または方法ステップの例に対して固有の言語で記載されている場合があるが、添付の特許請求の範囲で定義される主題は、必ずしもこれらの記載された特徴または行為に限定されないことを理解されたい。例えば、そのような機能は、本明細書において識別されているコンポーネント以外のコンポーネントで、異なって配布され、または実施されることができる。むしろ、記載された特徴およびステップは、添付の特許請求の範囲の範疇のシステムおよび方法のコンポーネントの例として開示される。

Claims (23)

  1. 方法であって、
    ソフトウェア定義ワイドエリアネットワーク(SDWAN)ファブリックの第1のSDWANおよび第2のSDWANを識別することと、
    前記SDWANファブリックのワイドエリアネットワーク(WAN)アンダーレイ上で前記第1のSDWANおよび前記第2のSDWANを相互接続する前記SDWANファブリックを介してセグメントルーティングドメインを形成することと、
    前記第1のSDWANと前記第2のSDWANとの間に形成された前記セグメントルーティングドメインを介してセグメントルーティングを実行することにより、前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御することと、を含む、方法。
  2. 前記SDWANファブリックを介して前記セグメントルーティングドメインを形成することが、前記第1のSDWANと前記第2のSDWANとの間の前記WANアンダーレイを通る複数のパスを事前に構築することをさらに含み、前記複数のパスが、前記セグメントルーティングドメインを介した前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御するために選択可能である、請求項1に記載の方法。
  3. 前記複数のパスが、前記セグメントルーティングドメインを介した前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御するために変更可能である、請求項2に記載の方法。
  4. 前記セグメントルーティングドメイン内のパスを形成する前記WANアンダーレイ内のリンクの性能測定値を収集することと、
    前記WANアンダーレイ内の前記リンクの前記性能測定値に基づいて前記セグメントルーティングドメインを介してセグメントルーティングを実行して、前記セグメントルーティングドメイン内の前記パス上の前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御することと、をさらに含む、請求項1~3のいずれか一項に記載の方法。
  5. 前記WANアンダーレイ内の前記リンクの前記性能測定値が、前記WANアンダーレイ内の前記リンクにおける輻輳、レイテンシ、パケットドロップの数、およびジッタの量の1つまたは組み合わせを含む、請求項4に記載の方法。
  6. 前記性能測定値が、前記WANアンダーレイ内の前記リンクを形成するノードからのストリーミングテレメトリデータとして集められる、請求項4または5に記載の方法。
  7. 前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内のパスを識別することと、
    前記セグメントルーティングドメイン内の前記パスを、前記第1のSDWANと前記第2のSDWANとの間で送信できるデータの特定のトラフィッククラスに関連付けることと、
    前記データのトラフィッククラス、および前記パスと前記データの特定のトラフィッククラスとの関連付けに基づいて、前記セグメントルーティングドメイン内の特定のパス上の前記第1のSDWANと前記第2のSDWANとの間のデータの送信を制御することと、をさらに含む、請求項1~6のいずれか一項に記載の方法。
  8. 前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の識別されたパス内の2つのノードが、セグメントルーティングコントローラによって前記WANアンダーレイ内のパス計算要素ノードとして構成される、請求項7に記載の方法。
  9. 前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の前記パスの性能の健全性を確認することと、
    前記セグメントルーティングドメイン内の前記パスの前記性能の健全性に基づいて、前記セグメントルーティングドメイン内の新しいパスを識別することと、
    前記新しいパスを、前記第1のSDWANと前記第2のSDWANとの間で送信できる前記データの特定のトラフィッククラスに関連付けることと、
    前記特定のトラフィッククラスへの前記新しいパスの関連付けに基づいて、前記第1のSDWANと前記第2のSDWANとの間の前記新しいパスを介した前記特定のトラフィッククラスのデータの送信を制御することと、をさらに含む、請求項7または8に記載のシステム。
  10. 前記新しいパスが前記特定のトラフィッククラスに関連付けられて、以前に前記特定のトラフィッククラスに関連付けられていたパスを置き換える、請求項9に記載の方法。
  11. 前記新しいパスが、前記第1のSDWANと前記第2のSDWANとの間で前記特定のトラフィッククラスの前記データを送信するためのサービス品質要件に基づいて識別される、請求項9または10に記載の方法。
  12. 前記第1のSDWANと前記第2のSDWANとの間で特定のトラフィッククラスのデータを送信するためのサービス品質要件を確認することと、
    前記サービス品質要件に基づいて、前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の適切なパスを識別することと、
    セグメントルーティングを介して、前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の前記適切なパス上の前記特定のトラフィッククラスのデータの送信を制御することと、をさらに含む請求項7~11に記載のシステム。
  13. 前記サービス品質要件が、前記特定のトラフィッククラスのデータを送信するための帯域幅要件およびレイテンシ要件のいずれかまたは両方を含む、請求項12に記載の方法。
  14. 前記セグメントルーティングドメインが、前記第1のSDWANと前記第2のSDWANとの間でデータを送信するためにメディアアクセス制御セキュリティ(MACsec)暗号化を利用する、請求項1~13のいずれか一項に記載の方法。
  15. システムであって、
    1つ以上のプロセッサと、
    命令を記憶した少なくとも1つのコンピュータ可読記憶媒体と、を備え、前記命令が、前記1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
    ソフトウェア定義ワイドエリアネットワーク(SDWAN)ファブリックの第1のSDWANおよび第2の
    SDWANを識別することと、
    前記第1のSDWANと前記第2のSDWANとの間のワイドエリアネットワーク(WAN)アンダーレイを通る複数の選択可能なパスを事前に構築することにより、前記SDWANファブリックの前記WANアンダーレイ上で前記第1のSDWANおよび前記第2のSDWANを相互接続する前記SDWANファブリックを介してセグメントルーティングドメインを形成することと、
    前記第1のSDWANと前記第2のSDWANとの間に形成された前記セグメントルーティングドメインを介してセグメントルーティングを実行することにより、前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御することと、を含む動作を実行させる、システム。
  16. 前記1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
    前記セグメントルーティングドメイン内のパスを形成する前記WANアンダーレイ内のリンクの性能測定値を収集することと、
    前記WANアンダーレイ内の前記リンクの前記性能測定値に基づいて前記セグメントルーティングドメインを介してセグメントルーティングを実行して、前記セグメントルーティングドメイン内の前記パス上の前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御することと、を含む動作をさらに実行させる前記命令、請求項15に記載のシステム。
  17. 前記1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
    前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内のパスを識別することと、
    前記セグメントルーティングドメイン内の前記パスを、前記第1のSDWANと前記第2のSDWANとの間で送信できるデータの特定のトラフィッククラスに関連付けることと、前記データのトラフィッククラス、および前記パスと前記データの特定のトラフィッククラスとの関連付けに基づいて、前記セグメントルーティングドメイン内の特定のパス上の前記第1のSDWANと前記第2のSDWANとの間のデータの送信を制御することと、を含む動作をさらに実行させる前記命令、請求項15または16に記載のシステム。
  18. 前記1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
    前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の前記パスの性能の健全性を確認することと、
    前記セグメントルーティングドメイン内の前記パスの前記性能の健全性に基づいて、前記セグメントルーティングドメイン内の新しいパスを識別することと、
    前記新しいパスを、前記第1のSDWANと前記第2のSDWANとの間で送信できる前記データの特定のトラフィッククラスに関連付けることと、
    前記特定のトラフィッククラスへの前記新しいパスの関連付けに基づいて、前記第1のSDWANと前記第2のSDWANとの間の前記新しいパスを介した前記特定のトラフィッククラスのデータの送信を制御することと、を含む動作をさらに実行させる前記命令、請求項17に記載のシステム。
  19. 前記1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
    前記第1のSDWANと前記第2のSDWANとの間で特定のトラフィッククラスのデータを送信するためのサービス品質要件を確認することと、
    前記サービス品質要件に基づいて、前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の適切なパスを識別することと、
    セグメントルーティングを介して、前記第1のSDWANと前記第2のSDWANとの間の前記セグメントルーティングドメイン内の前記適切なパス上の前記特定のトラフィッククラスのデータの送信を制御することと、を含む動作をさらに実行させる前記命令、請求項17または18に記載のシステム。
  20. 命令を記憶した非一時的コンピュータ可読記憶媒体であって、前記命令が、プロセッサによって実行されるときに、前記プロセッサに、
    ソフトウェア定義ワイドエリアネットワーク(SDWAN)ファブリックの第1のSDWANおよび第2のSDWANを識別することと、
    前記SDWANファブリックのワイドエリアネットワーク(WAN)アンダーレイ上で前記第1のSDWANおよび前記第2のSDWANを相互接続する前記SDWANファブリックを介してセグメントルーティングドメインを形成することと、
    前記第1のSDWANと前記第2のSDWANとの間に形成された前記セグメントルーティングドメイン内の1つ以上の変更可能なパスを介してセグメントルーティングを実行することにより、前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御することと、を含む動作を実行させる、非一時的コンピュータ可読記憶媒体。
  21. 装置であって、
    ソフトウェア定義ワイドエリアネットワーク(SDWAN)ファブリックの第1のSDWANおよび第2のSDWANを識別するための手段と、
    前記SDWANファブリックのワイドエリアネットワーク(WAN)アンダーレイ上で前記第1のSDWANおよび前記第2のSDWANを相互接続する前記SDWANファブリックを介してセグメントルーティングドメインを形成するための手段と、
    前記第1のSDWANと前記第2のSDWANとの間に形成された前記セグメントルーティングドメインを介してセグメントルーティングを実行することにより、前記第1のSDWANと前記第2のSDWANとの間のデータ送信を制御するための手段と、備える、装置。
  22. 請求項2~14のいずれか一項に記載の方法のステップを実装するための手段をさらに備える、請求項21に記載の装置。
  23. プロセッサ上で実行されるときに、前記プロセッサに、請求項1~14のいずれか一項に記載の方法のステップを実行させる命令を備える、コンピュータプログラム、コンピュータプログラム製品、またはコンピュータ可読媒体。
JP2022514240A 2019-09-04 2020-08-17 複数のドメインにまたがるポリシープレーンの統合 Pending JP2022546563A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/560,849 US10938717B1 (en) 2019-09-04 2019-09-04 Policy plane integration across multiple domains
US16/560,849 2019-09-04
PCT/US2020/046676 WO2021045895A1 (en) 2019-09-04 2020-08-17 Policy plane integration across multiple domains

Publications (1)

Publication Number Publication Date
JP2022546563A true JP2022546563A (ja) 2022-11-04

Family

ID=72322533

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022514240A Pending JP2022546563A (ja) 2019-09-04 2020-08-17 複数のドメインにまたがるポリシープレーンの統合

Country Status (8)

Country Link
US (4) US10938717B1 (ja)
EP (1) EP4026278A1 (ja)
JP (1) JP2022546563A (ja)
KR (1) KR20220059503A (ja)
CN (1) CN114600427A (ja)
AU (1) AU2020341323A1 (ja)
CA (1) CA3155554A1 (ja)
WO (1) WO2021045895A1 (ja)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10841131B2 (en) 2017-10-02 2020-11-17 Vmware, Inc. Distributed WAN security gateway
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11153230B2 (en) 2019-08-27 2021-10-19 Vmware, Inc. Having a remote device use a shared virtual network to access a dedicated virtual network defined over public clouds
US11044190B2 (en) 2019-10-28 2021-06-22 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11546302B2 (en) * 2019-12-17 2023-01-03 Fortinet, Inc. Automatic establishment of network tunnels by an SDWAN controller based on group and role assignments of network devices
CN117395167A (zh) * 2020-01-21 2024-01-12 华为技术有限公司 服务等级配置方法以及装置
US11606712B2 (en) 2020-01-24 2023-03-14 Vmware, Inc. Dynamically assigning service classes for a QOS aware network link
US11233733B2 (en) * 2020-03-26 2022-01-25 Verizon Patent And Licensing Inc. Systems and methods for SR-MPLS to SRv6 interworking
US11477127B2 (en) 2020-07-02 2022-10-18 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
US11709710B2 (en) 2020-07-30 2023-07-25 Vmware, Inc. Memory allocator for I/O operations
US11463343B2 (en) * 2020-10-07 2022-10-04 Hewlett Packard Enterprise Development Lp SDWAN overlay routing service
US11444865B2 (en) 2020-11-17 2022-09-13 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
US11929903B2 (en) 2020-12-29 2024-03-12 VMware LLC Emulating packet flows to assess network links for SD-WAN
US11765059B2 (en) * 2020-12-29 2023-09-19 Fortinet, Inc. Leveraging operation, administration and maintenance protocols (OAM) to add ethernet level intelligence to software-defined wide area network (SD-WAN) functionality
US11777760B2 (en) * 2020-12-30 2023-10-03 Hughes Network Systems, Llc VPN classification to reduce usage costs while retaining responsiveness
US20220231949A1 (en) * 2021-01-18 2022-07-21 Vmware, Inc. Network-aware load balancing
US11792127B2 (en) 2021-01-18 2023-10-17 Vmware, Inc. Network-aware load balancing
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
WO2022217250A1 (en) * 2021-04-08 2022-10-13 Cisco Technology, Inc. System and method for connecting virtual networks in a branch site to clouds
US11757702B2 (en) 2021-04-08 2023-09-12 Cisco Technology, Inc. Automated and scalable multi-level redundancy for cloud infrastructure
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11381499B1 (en) * 2021-05-03 2022-07-05 Vmware, Inc. Routing meshes for facilitating routing through an SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
US12015632B2 (en) * 2021-07-30 2024-06-18 Cisco Technology, Inc. Dynamic resource allocation for network security
US11916786B2 (en) 2021-08-13 2024-02-27 Cisco Technology, Inc. Distributed routing controllers for multi-region SDWAN
JP2024504005A (ja) * 2021-08-13 2024-01-30 シスコ テクノロジー,インコーポレイテッド マルチリージョンsdwanのための分散型ルーティングコントローラ
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
CN114221891B (zh) * 2021-12-13 2023-08-29 中国电信股份有限公司 绑定段标识拼接方法、路由反射器、自治域和跨域网络
US11778038B2 (en) 2021-12-14 2023-10-03 Cisco Technology, Inc. Systems and methods for sharing a control connection
WO2023114649A1 (en) * 2021-12-14 2023-06-22 Cisco Technology, Inc. Method for sharing a control connection
CN116419100A (zh) * 2021-12-30 2023-07-11 华为技术有限公司 一种连通光传送网业务的方法和设备
US20230216733A1 (en) * 2021-12-31 2023-07-06 Fortinet, Inc. Distributed node discovery and overlay path management on a data communication network
US11991152B2 (en) * 2022-02-09 2024-05-21 Hewlett Packard Enterprise Development Lp Bypassing IKE firewall for cloud-managed IPSec keys in SDWAN fabric
US12021746B2 (en) 2022-02-17 2024-06-25 Cisco Technology, Inc. Inter-working of a software-defined wide-area network (SD-WAN) domain and a segment routing (SR) domain
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs
US20230412483A1 (en) * 2022-06-17 2023-12-21 Cisco Technology, Inc. Software-as-a-service probe aggregation in networks
CN115426314B (zh) * 2022-08-08 2024-05-14 中国电信股份有限公司 一种通信方法、装置、网络设备及处理器可读存储介质
CN116938807B (zh) * 2023-09-14 2023-12-22 新华三技术有限公司 数据报文传输方法、装置、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160380886A1 (en) * 2015-06-25 2016-12-29 Ciena Corporation Distributed data center architecture
WO2019027833A1 (en) * 2017-07-31 2019-02-07 Cisco Technology, Inc. PATH SELECTION FOR A PERFORMANCE SCORE-BASED APPLICATION IN A SOFTWARE DEFINED NETWORK

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9717021B2 (en) * 2008-07-03 2017-07-25 Silver Peak Systems, Inc. Virtual network overlay
US8806482B1 (en) * 2011-01-06 2014-08-12 Amazon Technologies, Inc. Interaction with a virtual network
US10097372B2 (en) * 2014-01-09 2018-10-09 Ciena Corporation Method for resource optimized network virtualization overlay transport in virtualized data center environments
EP3308507B1 (en) * 2015-06-12 2020-08-05 Telefonaktiebolaget LM Ericsson (publ) Multipath forwarding in an overlay network
US10637889B2 (en) * 2015-07-23 2020-04-28 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and VPN policy enforcement
US10117285B2 (en) * 2015-12-16 2018-10-30 Verizon Patent And Licensing Inc. Cloud WAN overlay network
US9985883B2 (en) 2016-02-26 2018-05-29 128 Technology, Inc. Name-based routing system and method
US10666500B2 (en) * 2016-03-30 2020-05-26 Juniper Networks, Inc. Failure handling for active-standby redundancy in EVPN data center interconnect
US10819630B1 (en) * 2016-04-20 2020-10-27 Equinix, Inc. Layer three instances for a cloud-based services exchange
WO2017205099A1 (en) * 2016-05-24 2017-11-30 Level 3 Communications, Llc Route selection system for a communication network and method of operating the same
US10454821B2 (en) * 2016-10-14 2019-10-22 Cisco Technology, Inc. Creating and maintaining segment routed traffic engineering policies via border gateway protocol
US11252079B2 (en) * 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US10382592B2 (en) * 2017-07-12 2019-08-13 Juniper Networks, Inc. Segment routing label switched path for non-segment routing enabled routers
US20190036780A1 (en) * 2017-07-31 2019-01-31 Cisco Technology, Inc. Generating a data model for a virtualized software-defined network
US10721165B2 (en) * 2017-07-31 2020-07-21 Cisco Technology, Inc. Controlling a software-defined network
US10523556B2 (en) * 2017-08-08 2019-12-31 Versa Networks, Inc. Method and system for routing connections in a software-defined wide area network
CN107547371A (zh) 2017-09-28 2018-01-05 新华三技术有限公司 一种报文转发方法及装置
US10938716B1 (en) * 2017-11-29 2021-03-02 Riverbed Technology, Inc. Preserving policy with path selection
US10932322B2 (en) * 2018-02-23 2021-02-23 Cisco Technology, Inc. Policy mapping methods and apparatus for use in interconnecting software-defined wide area network (SD-WAN) fabrics with mobile networks for communications with UEs
US20200028758A1 (en) * 2018-07-17 2020-01-23 Cisco Technology, Inc. Multi-cloud connectivity using srv6 and bgp
US10862805B1 (en) * 2018-07-31 2020-12-08 Juniper Networks, Inc. Intelligent offloading of services for a network device
US20200076683A1 (en) * 2018-08-31 2020-03-05 Hewlett Packard Enterprise Development Lp Dynamic Cloud-Based Provisioning of Branch-Based Networking Devices
US10511590B1 (en) * 2018-10-23 2019-12-17 Cisco Technology, Inc. System and method of verifying network communication paths between applications and services
US10708144B2 (en) * 2018-11-14 2020-07-07 Juniper Networks, Inc. Predicting application quality of experience metrics using adaptive machine learned probes
US11218376B2 (en) * 2018-11-16 2022-01-04 Cisco Technology, Inc. Algorithmic problem identification and resolution in fabric networks by software defined operations, administration, and maintenance
US10999189B2 (en) * 2018-11-20 2021-05-04 Cisco Technology, Inc. Route optimization using real time traffic feedback
US11233822B2 (en) * 2018-11-30 2022-01-25 Cisco Technology, Inc. Dynamic honeypots
US11201854B2 (en) * 2018-11-30 2021-12-14 Cisco Technology, Inc. Dynamic intent-based firewall
CN109639577A (zh) * 2018-12-26 2019-04-16 武汉思普崚技术有限公司 一种广域网带宽分级方法、装置及***
US10862758B2 (en) * 2019-01-02 2020-12-08 Hewlett Packard Enterprise Development Lp Generation of network configuration and configuration commands for impacted nodes of a software defined wide area network
US11024144B2 (en) * 2019-02-22 2021-06-01 Vmware, Inc. Redirecting traffic from mobile device to initial slice selector for connection
US11150963B2 (en) * 2019-02-28 2021-10-19 Cisco Technology, Inc. Remote smart NIC-based service acceleration
US10855575B2 (en) * 2019-03-06 2020-12-01 Hewlett Packard Enterprise Development Lp Adaptive traffic routing in a software-defined wide area network
US11005729B2 (en) * 2019-03-14 2021-05-11 Juniper Networks, Inc. Satisfying service level agreement metrics for unknown applications
US10924392B2 (en) * 2019-03-15 2021-02-16 Juniper Networks, Inc. Planning and managing network probes using centralized controller
US10958555B2 (en) * 2019-03-15 2021-03-23 Juniper Networks, Inc. Real-time application-driven synthetic probing
US11159447B2 (en) * 2019-03-25 2021-10-26 Cisco Technology, Inc. Predictive routing using machine learning in SD-WANs
US10880186B2 (en) * 2019-04-01 2020-12-29 Cisco Technology, Inc. Root cause analysis of seasonal service level agreement (SLA) violations in SD-WAN tunnels
US11012288B2 (en) * 2019-05-14 2021-05-18 Vmware, Inc. Congestion avoidance in a slice-based network
US10904125B2 (en) * 2019-05-30 2021-01-26 Cisco Technology, Inc. Active probe construction using machine learning for measuring SD-WAN tunnel metrics
US11277337B2 (en) * 2019-06-06 2022-03-15 Cisco Technology, Inc. Systems and methods for routing network traffic using labels
US10826775B1 (en) * 2019-06-19 2020-11-03 Cisco Technology, Inc. Policy plane integration across multiple domains
US11635995B2 (en) * 2019-07-16 2023-04-25 Cisco Technology, Inc. Systems and methods for orchestrating microservice containers interconnected via a service mesh in a multi-cloud environment based on a reinforcement learning policy
US11153230B2 (en) * 2019-08-27 2021-10-19 Vmware, Inc. Having a remote device use a shared virtual network to access a dedicated virtual network defined over public clouds
US11070422B2 (en) * 2019-09-16 2021-07-20 Cisco Technology, Inc. Enabling enterprise segmentation with 5G slices in a service provider network
US11153119B2 (en) * 2019-10-15 2021-10-19 Cisco Technology, Inc. Dynamic discovery of peer network devices across a wide area network
US11304115B2 (en) * 2020-03-18 2022-04-12 Equinix, Inc. Network defined edge routing for an application workload
US11463343B2 (en) * 2020-10-07 2022-10-04 Hewlett Packard Enterprise Development Lp SDWAN overlay routing service
US11412051B1 (en) * 2021-04-08 2022-08-09 Cisco Technology, Inc. System and method for connecting virtual networks in a branch site to clouds
US11722409B2 (en) * 2021-05-03 2023-08-08 Vmware, Inc. Inter-tunneling endpoint (inter-TEP) overlay forwarding

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160380886A1 (en) * 2015-06-25 2016-12-29 Ciena Corporation Distributed data center architecture
WO2019027833A1 (en) * 2017-07-31 2019-02-07 Cisco Technology, Inc. PATH SELECTION FOR A PERFORMANCE SCORE-BASED APPLICATION IN A SOFTWARE DEFINED NETWORK

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"IPレイヤと伝送レイヤを統合的に制御するマルチレイヤSDN制御技術", NTT技術ジャーナル 第30巻 第5号, JPN6023019691, 1 May 2018 (2018-05-01), ISSN: 0005060847 *

Also Published As

Publication number Publication date
CN114600427A (zh) 2022-06-07
US11533257B2 (en) 2022-12-20
US20230077361A1 (en) 2023-03-16
US11722410B2 (en) 2023-08-08
KR20220059503A (ko) 2022-05-10
CA3155554A1 (en) 2021-03-11
US10938717B1 (en) 2021-03-02
US20210160179A1 (en) 2021-05-27
WO2021045895A1 (en) 2021-03-11
EP4026278A1 (en) 2022-07-13
AU2020341323A1 (en) 2022-04-21
US20210067442A1 (en) 2021-03-04
US20230103683A1 (en) 2023-04-06

Similar Documents

Publication Publication Date Title
US11722410B2 (en) Policy plane integration across multiple domains
US11743141B2 (en) On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints
US10826775B1 (en) Policy plane integration across multiple domains
US11329950B2 (en) Wide area network edge device connectivity for high availability and extensibility
JP7332689B2 (ja) 動的なインテントベースのファイアウォール
US11412051B1 (en) System and method for connecting virtual networks in a branch site to clouds
JP7373560B2 (ja) 相乗的なdnsセキュリティ更新
US11343137B2 (en) Dynamic selection of active router based on network conditions
US11757702B2 (en) Automated and scalable multi-level redundancy for cloud infrastructure
US11743232B2 (en) Software defined branch single internet protocol orchestration
US11588752B2 (en) Route exchange in multi-tenant clustered controllers
WO2021146052A1 (en) Live network sandboxing on a centralized management system
JP7509932B2 (ja) クラウドリソースへの自動接続
US11838371B2 (en) System and method for connecting virtual networks in a branch site to clouds
JP7507308B2 (ja) 割り当てられたコンテキストに基づくネットワークサービスアクセス及びデータルーティング
EP4320825A1 (en) Automated and scalable multi-level redundancy for cloud infrastructure
CN116783580A (zh) 用于将分支站点中的虚拟网络连接到云的***和方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230815

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240322

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20240410