DE112013004828T5 - Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr - Google Patents
Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr Download PDFInfo
- Publication number
- DE112013004828T5 DE112013004828T5 DE112013004828.0T DE112013004828T DE112013004828T5 DE 112013004828 T5 DE112013004828 T5 DE 112013004828T5 DE 112013004828 T DE112013004828 T DE 112013004828T DE 112013004828 T5 DE112013004828 T5 DE 112013004828T5
- Authority
- DE
- Germany
- Prior art keywords
- packet
- physical switch
- security policy
- data
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
Description
- Hintergrund
- Die vorliegende Erfindung bezieht sich auf eine Infrastruktur eines Rechenzentrums, und im Besonderen bezieht sich diese Erfindung auf ein Bereitstellen von Diensten für Deep-Packet-Inspection (tiefe Paketuntersuchung) für virtuellen Overlay-Netzwerkverkehr in einem Rechenzentrum.
- Virtuelle Overlay-Netzwerke wie zum Beispiel virtuelle erweiterbare lokale Netzwerke (virtual extensible local area network, VXLAN), ein verteiltes Overlay-Virtualisierungs-Ethernet (distributed overlay virtualization Ethernet, DOVE) und andere verwenden Protokoll-Header, die in Pakete am Kopf des ursprünglichen Netzwerkpakets gekapselt werden, um Standorttransparenz zu erzeugen. Aufgrund der zusätzlichen Kapselungsprotokoll-Header ist es bestehenden oder Altzwischennetzwerk-Elementen (Inter-Networking Elements, INEs) wie zum Beispiel unter anderem physischen Infrastruktur-Routern und -Switches nicht möglich, Daten aus dem ursprünglichen Paket zu ermitteln. Dies liegt daran, dass das ursprüngliche Paket innerhalb der Overlay-Protokoll-Header als herkömmliche Nutzdaten für die Alt-INEs gekapselt ist. Des Weiteren verhindert diese mangelnde Sichtbarkeit der ursprünglichen Pakete, dass INEs hoch entwickelte Netzwerksicherheit und -dienste implementieren.
- Protokolle wie VXLAN verwenden das User Datagram Protocol/Internet Protocol (UDP/IP), um das ursprüngliche Ethernet-Paket zum Übertragen über physische Netzwerke zu kapseln. Die ursprünglichen Ethernet-Pakete werden von einem Absender zu einem nächstgelegenen VXLAN-Gateway durch das Netzwerk getunnelt. VXLAN-Gateways verbinden virtuelle Netzwerke mit nichtvirtuellen Netzwerken (Altnetzwerke mit physischen Komponenten). Da VXLAN-Gateways das VXLAN-Protokoll und Tunnel verstehen (sie zu verarbeiten in der Lage sind), haben sie die Fähigkeit, die gekapselten Pakete zu erkennen.
- Des Weiteren können virtuelle Maschinen (VMs) in einem Overlay-Netzwerk wie zum Beispiel einem VXLAN- oder DOVE-Netzwerk, die zu einem allgemeinen Nutzer gehören (z. B. einem einzelnen Benutzer der Netzwerk-Ressourcen wie etwa einem Unternehmen, einer Behörde, einer Einzelperson usw.), so zu Gruppen (wie virtuellen Netzwerken mit verschiedenen virtuellen Netzwerkkennungen (virtual network identifiers, VNIDs) in einem VXLAN, Domänen mit verschiedenen Domänenkennungen oder virtuellen DOVE-Gruppen (DOVE Virtual Groups, DVG) in einem DOVE) zusammengefasst werden, dass Regeln von Sicherheitsrichtlinien angewandt werden können, die Datenübertragungen zwischen VMs regeln, die zu verschiedenen Gruppen gehören. Ein typisches Verfahren zum Anwenden einer Sicherheitsrichtlinie besteht darin, physische Sicherheitseinheiten zu verwenden, auf die in dem Netzwerk zugegriffen werden kann und die die Fähigkeit besitzen, spezifische Sicherheitsdienste anzuwenden.
- Um Sicherheitsdienste auf Overlay-Netzwerkverkehr anzuwenden, muss der Datenverkehr daher zu den physischen Sicherheitseinheiten geleitet werden. Die dazwischenliegenden Netzwerkeinheiten wie etwa Switches, Router usw. weisen jedoch keine Sichtbarkeit innerhalb des Overlay-Verkehrs auf und verstehen daher nicht, dass ein Teil des Datenverkehrs zu den physischen Sicherheitseinheiten geleitet werden sollte, während ein anderer Teil des Datenverkehrs direkt zu seiner designierten Zieladresse geleitet werden sollte.
- Daher wären ein Verfahren und eine Netzwerkarchitektur, die einen ordnungsgemäßen Overlay-Verkehr ermöglichen würden, der erfordert, dass angewandte Sicherheitsdienste zu den physischen Sicherheitseinheiten geleitet werden, während sonstiger Datenverkehr direkt zwischen den Quell- und Ziel-VMs geleitet wird, sehr vorteilhaft.
- Kurzdarstellung
- Bei einer Ausführungsform beinhaltet ein Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; ein Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist, ein Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, ein Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und ein Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
- Bei einer weiteren Ausführungsform beinhaltet ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk eine Logik beinhaltet, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Bei einer noch weiteren Ausführungsform beinhaltet ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium, in dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode beinhaltet, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Gemäß einer noch weiteren Ausführungsform beinhaltet eine Steuereinheit für ein virtuelles Netzwerk eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über eine Quelle des Pakets und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
- Sonstige Aspekte und Ausführungsformen der vorliegenden Erfindung werden aus der folgenden ausführlichen Beschreibung ersichtlich, die zusammen mit den Zeichnungen die Grundgedanken der Erfindung beispielhaft veranschaulicht.
- Kurzbeschreibung der verschiedenen Ansichten der Zeichnungen
-
1 veranschaulicht eine Netzwerkarchitektur gemäß einer Ausführungsform. -
2 stellt eine typische Hardware-Umgebung gemäß einer Ausführungsform dar, die den Servern und/oder Clients von1 zugehörig sein kann. -
3 ist ein vereinfachtes Schaubild eines virtualisierten Rechenzentrums gemäß einer Ausführungsform. -
4 ist ein vereinfachtes Schaubild eines Systems mit einem Overlay-Netzwerk, das ein verteiltes virtuelles Overlay-Netzwerk (DOVE) nutzt, gemäß einer Ausführungsform. -
5 ist ein Schaubild einer Verbindungssequenz gemäß einer Ausführungsform. -
6 stellt Paket-Header in verschiedenen Stadien einer Paketweiterleitung gemäß einer Ausführungsform dar. -
7 ist ein Ablaufplan eines Verfahrens gemäß einer Ausführungsform. - Ausführliche Beschreibung
- Die folgende Beschreibung erfolgt zur Veranschaulichung der allgemeinen Grundgedanken der vorliegenden Erfindung und soll die hierin beanspruchten Erfindungsgedanken nicht einschränken. Des Weiteren können bestimmte hierin beschriebene Merkmale zusammen mit anderen beschriebenen Merkmalen in jeder der verschiedenen möglichen Kombinationen und Umstellungen verwendet werden.
- Sofern sie hierin nicht ausdrücklich anders definiert sind, sollen alle Begriffe die breitestmögliche Auslegung einschließlich der Bedeutungen, die aus der Beschreibung geschlossen werden können, wie auch der Bedeutungen erhalten, die Fachleuten geläufig sind und/oder in Wörterbüchern, Abhandlungen usw. definiert sind.
- Es ist außerdem zu beachten, dass die Singularformen „ein”, „eine” und „der”, „die”, „das”, wie sie in der Beschreibung und den beigefügten Ansprüchen verwendet werden, auch die Pluralformen beinhalten, sofern nichts anderes angegeben wird.
- Bei einer allgemeinen Ausführungsform beinhaltet ein Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; ein Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist, ein Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, ein Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und ein Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
- Bei einer weiteren allgemeinen Ausführungsform beinhaltet ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk eine Logik beinhaltet, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Bei einer noch weiteren allgemeinen Ausführungsform beinhaltet ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium, in dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode beinhaltet, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Gemäß einer noch weiteren allgemeinen Ausführungsform beinhaltet eine Steuereinheit für ein virtuelles Netzwerk eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über eine Quelle des Pakets und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
- Wie für einen Fachmann ersichtlich ist, können Aspekte der vorliegenden Erfindung als System, Verfahren oder Computerprogrammprodukt verkörpert werden. Dementsprechend können Aspekte der vorliegenden Erfindung eine reine Hardware-Ausführungsform, eine reine Software-Ausführungsform (darunter Firmware, residente Software, Mikrocode usw.) oder eine Ausführungsform annehmen, in der Software- und Hardware-Aspekte kombiniert werden, die sämtlich hierin verallgemeinernd als „Logik”, „Schaltung”, „Modul” oder „System” bezeichnet werden können. Des Weiteren können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das in einem oder mehreren computerlesbaren Medien verkörpert ist, auf denen computerlesbarer Programmcode verkörpert ist.
- Es kann eine beliebige Kombination eines oder mehrerer computerlesbarer Medien verwendet werden. Bei dem computerlesbaren Medium kann es sich um ein computerlesbares Signalmedium oder ein nichttransitorisches computerlesbares Speichermedium handeln. Bei einem nichttransitorischen computerlesbaren Speichermedium kann es sich zum Beispiel um ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem, eine solche Vorrichtung oder Einheit oder um eine beliebige geeignete Kombination aus Obigen handeln, ohne auf diese beschränkt zu sein. Zu konkreteren Beispielen (einer nicht erschöpfenden Liste) des nichttransitorischen computerlesbaren Speichermediums gehören folgende: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (random access memory, RAM), ein Festwertspeicher (read-only memory, ROM), ein löschbarer, programmierbarer Festwertspeicher (erasable programmable read-only memory, EPROM oder Flash-Speicher), ein tragbarer Compact-Disk-Festwertspeicher (CD-ROM), ein Blu-Ray-Platten-Festwertspeicher (Blu-Ray disc read-only memory, BD-ROM), eine optische Speichereinheit, eine Magnetspeichereinheit oder eine beliebige geeignete Kombination des Obigen. Im Rahmen dieses Dokuments kann ein nichttransitorisches computerlesbares Speichermedium jedes physische Medium sein, das ein Programm oder eine Anwendung zur Verwendung durch ein System, eine Vorrichtung oder Einheit zur Befehlsausführung bzw. in Verbindung mit diesen enthalten oder speichern kann.
- Ein computerlesbares Signalmedium kann ein sich ausbreitendes Datensignal, in dem computerlesbarer Programmcode verkörpert wird, zum Beispiel im Basisband oder als Teil einer Trägerwelle beinhalten. Ein solches sich ausbreitendes Signal kann eine Vielfalt von Formen annehmen, darunter eine elektromagnetische, eine optische oder eine beliebige geeignete Kombination davon, ohne auf diese beschränkt zu sein. Bei einem computerlesbaren Signalmedium kann es sich um ein beliebiges computerlesbares Medium handeln, das kein nichttransitorisches computerlesbares Speichermedium ist und das ein Programm zur Verwendung durch ein System, eine Vorrichtung oder Einheit zur Befehlsausführung bzw. in Verbindung mit diesen austauschen, verbreiten oder transportieren kann, wie zum Beispiel eine elektrische Verbindung mit einer oder mehreren Leitungen, einen Lichtwellenleiter usw.
- Auf einem computerlesbaren Medium verkörperter Programmcode kann mithilfe eines beliebigen geeigneten Mediums übertragen werden, zum Beispiel über Funk, Kabel, Lichtwellenleiterkabel, Hochfrequenz (HF) usw. oder über eine beliebige geeignete Kombination der Obigen, ohne auf diese beschränkt zu sein.
- Computerprogrammcode zum Ausführen von Vorgängen für Aspekte der vorliegenden Erfindung kann in einer beliebigen Kombination einer oder mehrerer Programmiersprachen geschrieben sein, zum Beispiel in einer objektorientierten Programmiersprache wie etwa Java, Smalltalk, C++ oder dergleichen und in herkömmlichen verfahrensorientierten Programmiersprachen wie zum Beispiel der Programmiersprache „C” oder ähnlichen Programmiersprachen. Der Programmcode kann vollständig auf einem Computer eines Benutzers, zum Teil auf dem Computer des Benutzers, als eigenständiges Software-Paket, zum Teil auf dem Computer des Benutzers und zum Teil auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Szenario kann der entfernt angeordnete Computer oder Server mit dem Computer des Benutzers durch eine beliebige Art von Netzwerk verbunden sein, zum Beispiel durch ein lokales Netzwerk (local area network, LAN), ein Speichernetzwerk (storage area network, SAN) und/oder ein Weitverkehrs-Netzwerk (wide area network, WAN), beliebige virtuelle Netzwerke, oder die Verbindung kann mit einem externen Computer, zum Beispiel über das Internet mithilfe eines Internet-Diensteanbieters (Internet Service Provider, ISP), hergestellt werden.
- Aspekte der vorliegenden Erfindung werden hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der Erfindung beschrieben. Es versteht sich, dass jeder Block der Ablaufpläne und/oder Blockschaubilder und Kombinationen von Blöcken in den Ablaufplänen und/oder Blockschaubildern durch Computerprogrammbefehle realisiert werden kann/können. Diese Computerprogrammbefehle können für einen Prozessor eines Universalcomputers, eines Spezialcomputers oder einer sonstigen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, sodass die Befehle, die über den Prozessor des Computers oder einer sonstigen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel zum Implementieren der Funktionen/Vorgänge erzeugen, die in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegeben sind.
- Diese Computerprogrammbefehle können auch in einem computerlesbaren Medium gespeichert werden, das einen Computer, eine sonstige programmierbare Datenverarbeitungsvorrichtung oder sonstige Einheiten so steuern kann, dass sie in einer bestimmten Weise funktionieren, sodass die in dem computerlesbaren Medium gespeicherten Befehle einen Herstellungsgegenstand (article of manufacture) erzeugen, der Befehle beinhaltet, die die/den Funktion/Vorgang realisieren, die/der in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegeben ist.
- Die Computerprogrammbefehle können außerdem auf einen Computer, eine sonstige programmierbare Datenverarbeitungsvorrichtung oder sonstige Einheiten geladen werden, um zu bewirken, dass eine Reihe von Schritten eines Vorgangs auf dem Computer, einer sonstigen programmierbaren Vorrichtung oder sonstigen Einheiten ausgeführt wird, um einen computerimplementierten Prozess zu erzeugen, sodass die auf dem Computer oder einer sonstigen programmierbaren Vorrichtung ausgeführten Befehle Prozesse bereitstellen, um die in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegebenen Funktionen/Vorgänge zu implementieren.
-
1 veranschaulicht eine Netzwerkarchitektur100 gemäß einer Ausführungsform. Wie in1 dargestellt, wird eine Mehrzahl von entfernt angeordneten Netzwerken102 bereitgestellt, darunter ein erstes entfernt angeordnetes Netzwerk104 und ein zweites entfernt angeordnetes Netzwerk106 . Ein Gateway101 kann zwischen den entfernt angeordneten Netzwerken102 und einem nahegelegenen Netzwerk108 verbunden sein. Im Rahmen der vorliegenden Netzwerkarchitektur100 können die Netzwerke104 ,106 jeweils eine beliebige Form annehmen, darunter die eines LAN, eines VLAN, eines WAN wie zum Beispiel des Internet, eines öffentlichen Fernsprechnetzes (public switched telephone network, PSTN), eines internen Telefonnetzes usw., ohne auf diese beschränkt zu sein. - Im Einsatz dient das Gateway
101 als Eintrittspunkt von den entfernt angeordneten Netzwerken102 in das nahegelegene Netzwerk108 . Insofern kann das Gateway101 als Router, der in der Lage ist, ein bestimmtes Paket von Daten zu steuern, das an dem Gateway101 eintrifft, und als Switch dienen, der für ein bestimmtes Paket den tatsächlichen Pfad in das Gateway101 und aus diesem heraus bereitstellt. - Des Weiteren ist zumindest ein Daten-Server
114 enthalten, der mit dem nahegelegenen Netzwerk108 verbunden ist und auf den über das Gateway101 von den entfernt angeordneten Netzwerken102 zugegriffen werden kann. Es ist zu beachten, dass der/die Daten-Server114 einen beliebigen Typ einer Datenverarbeitungseinrichtung/Groupware beinhalten kann/können. Mit jedem Daten-Server114 ist eine Mehrzahl von Benutzereinheiten116 verbunden. Zu solchen Benutzereinheiten116 können ein Desktop-Computer, ein Laptop-Computer, ein Hand-Computer, ein Drucker und/oder ein beliebiger sonstiger Typ einer Logik enthaltenden Einheit zählen. Es ist zu beachten, dass eine Benutzereinheit111 bei einigen Ausführungsformen auch direkt mit einem beliebigen der Netzwerke verbunden sein kann. - Eine Peripherieeinheit
120 oder eine Reihe von Peripherieeinheiten120 , z. B. Faxgeräte, Drucker, Scanner, Festplattenlaufwerke, vernetzte und/oder lokale Speichereinheiten oder -systeme usw. können mit einem oder mehreren der Netzwerke104 ,106 ,108 verbunden sein. Es ist zu beachten, dass Datenbanken und/oder zusätzliche Komponenten mit einem beliebigen Typ eines mit den Netzwerken104 ,106 ,108 verbundenen Netzwerkelements genutzt werden können oder in dieses integriert sein können. Im Rahmen der vorliegenden Beschreibung kann sich ein Netzwerkelement auf eine beliebige Komponente eines Netzwerks beziehen. - Gemäß einigen Ansätzen können hierin beschriebene Verfahren und Systeme mit und/oder auf virtuellen Systemen und/oder Systemen implementiert sein, die ein oder mehrere sonstige Systeme emulieren, wie zum Beispiel ein UNIX-System, das eine IBM z/OS-Umgebung emuliert, ein UNIX-System, das Hosting für eine MICROSOFT-WINDOWS-Umgebung virtuell bereitstellt, ein MICROSOFT-WINDOWS-System, das eine IBM z/OS-Umgebung emuliert usw. Diese Virtualisierung und/oder Emulation kann bei einigen Ausführungsformen durch die Verwendung von VMWARE-Software erweitert werden.
- In weiteren Ansätzen können ein oder mehrere Netzwerke
104 ,106 ,108 einen Verbund von Systemen darstellen, der allgemein als „Cloud” bezeichnet wird. Beim Cloud-Computing werden gemeinsam genutzte Ressourcen wie zum Beispiel Verarbeitungskapazität, Peripherieeinheiten, Software, Daten, Server usw. jedem System in der Cloud nach Bedarf bereitgestellt und dabei Zugriff und Verteilung von Diensten über zahlreiche Datenverarbeitungssysteme hinweg gewährt. Cloud-Computing geht üblicherweise mit einer Internet-Verbindung zwischen den Systemen einher, die in der Cloud arbeiten, es können jedoch auch andere Techniken zum Verbinden der Systeme nach dem Stand der Technik verwendet werden. -
2 stellt eine typische Hardware-Umgebung gemäß einer Ausführungsform dar, der eine Benutzereinheit116 und/oder ein Server114 von1 zugehörig sind.2 veranschaulicht eine typische Hardware-Konfiguration eines Arbeitsplatzrechners gemäß mehreren Ausführungsformen, der eine Zentraleinheit (central processing unit, CPU)210 wie zum Beispiel einen Mikroprozessor und eine Reihe sonstiger Einheiten aufweist, die über einen oder mehrere Busse212 , die verschiedenen Typs sein können, wie zum Beispiel einen lokalen Bus, einen parallelen Bus, einen seriellen Bus usw., miteinander verbunden sind. - Der in
2 dargestellte Arbeitsplatzrechner beinhaltet einen Direktzugriffsspeicher (RAM)214 , einen Festwertspeicher (ROM)216 , einen E/A-Adapter218 , um Peripherieeinheiten wie zum Beispiel Plattenspeichereinheiten220 mit dem einen oder den mehreren Bussen212 zu verbinden, einen Benutzerschnittstellenadapter222 , um eine Tastatur224 , eine Maus226 , einen Lautsprecher228 , ein Mikrophon232 und/oder sonstige Benutzerschnittstelleneinheiten wie etwa einen Touchscreen, eine (nicht dargestellte) Digitalkamera usw. mit dem einen oder den mehreren Bussen212 zu verbinden, einen Datenübertragungsadapter234 , um den Arbeitsplatzrechner mit einem Datenübertragungsnetzwerk235 (z. B. einem Datenverarbeitungsnetzwerk) zu verbinden, und einen Anzeigeadapter236 , um den einen oder die mehreren Busse212 mit einer Anzeigeeinheit238 zu verbinden. - Auf dem Arbeitsplatzrechner kann sich ein Betriebssystem wie zum Beispiel das Betriebssystem (operating system, OS) MICROSOFT WINDOWS, ein MAC-OS, ein UNIX-OS usw. befinden. Es versteht sich, dass eine bevorzugte Ausführungsform auch auf anderen als den genannten Plattformen und Betriebssystemen implementiert sein kann. Eine bevorzugte Ausführungsform kann mithilfe von JAVA, XML, C und/oder der Sprache C++ oder sonstigen Programmiersprachen wie auch einer objektorientierten Programmiermethodik geschrieben sein. Es kann objektorientierte Programmierung (OOP) verwendet werden, die zunehmend beim Entwickeln komplexer Anwendungen zum Einsatz kommt.
- Es wird nun auf
3 Bezug genommen, in der eine Konzeptionsansicht eines Overlay-Netzwerks300 gemäß einer Ausführungsform dargestellt wird. Das Overlay-Netzwerk kann ein(e) beliebige(n,s) Overlay-Technologie, -Standard oder -Protokoll wie zum Beispiel ein virtuelles erweiterbares lokales Netzwerk (VXLAN), ein verteiltes virtuelles Overlay-Ethernet (DOVE), Netzwerk-Virtualisierung mithilfe von Generic Routing Encapsulation (Network Virtualization using Generic Routing Encapsulation, NVGRE) usw. einsetzen. - Um über ein einfaches Bereitstellen eines Strukturdatenübertragungspfades (Konnektivität) zwischen Einheiten hinaus Netzwerkdienste zu virtualisieren, können Dienste für Pakete bereitgestellt werden, wenn sie sich durch das Gateway
314 bewegen, das Routenwahl und Weiterleitung für Pakete bereitstellt, die sich zwischen dem/den nichtvirtuellen Netzwerk(en)312 und dem virtuellen Netzwerk A304 und dem virtuellen Netzwerk B306 bewegen. Das eine oder die mehreren virtuellen Netzwerke304 ,306 bestehen innerhalb einer physischen (realen) Netzwerkinfrastruktur302 . Die Netzwerkinfrastruktur302 kann beliebige Komponenten, Hardware, Software und/oder Funktionen beinhalten, die üblicherweise einer Netzwerkinfrastruktur zugehörig sind und/oder darin verwendet werden, darunter Switches, Verbindungseinheiten, Drähte, Schaltungen, Kabel, Server, Hosts, Speichermedien, Betriebssysteme, Anwendungen, Anschlüsse, E/A usw., wie sie Fachleuten bekannt wären, ohne auf diese beschränkt zu sein. Diese Netzwerkinfrastruktur302 unterstützt zumindest ein nichtvirtuelles Netzwerk312 , bei dem es sich um ein Altnetzwerk handeln kann. - Jedes virtuelle Netzwerk
304 ,306 kann eine beliebige Anzahl von virtuellen Maschinen (VMs)308 ,310 verwenden. Bei einer Ausführungsform beinhaltet das virtuelle Netzwerk A304 eine oder mehrere VMs308 , und das virtuelle Netzwerk B306 beinhaltet eine oder mehrere VMs310 . Wie in3 dargestellt, werden die VMs308 ,310 nicht von den virtuellen Netzwerken304 ,306 gemeinsam genutzt, sondern sind stattdessen jederzeit ausschließlich in nur einem virtuellen Netzwerk304 ,306 enthalten. - Gemäß einer Ausführungsform kann das Overlay-Netzwerk
300 eine oder mehrere skalierbare Strukturkomponenten (scalable fabric components, SFCs) mit zellenvermittelter Domäne beinhalten, die mit einer oder mehreren verteilten Leitungskarten (distributed line cards, DLCs) verbunden sind. - Durch eine Architektur mit „flachem Switch” kann die Mehrzahl von VMs Daten leicht und effizient durch die Architektur verschieben. Es ist insgesamt für VMs sehr schwierig, Verschiebungen über Layer-3-(L3-)Domänen, zwischen einem Teilnetz und einem anderen Teilnetz, von einem Internet-Protokoll(IP)-Teilnetz zu einem IP-Teilnetz usw. vorzunehmen. Wenn die Architektur jedoch einem großen flachen Switch in einer sehr großen Layer-2-(L2-)Domäne ähnelt, werden die VMs bei ihrem Versuch unterstützt, Daten durch die Architektur zu verschieben.
-
4 stellt ein vereinfachtes Schaubild eines Systems400 mit einem Overlay-Netzwerk, das ein DOVE nutzt, gemäß einer Ausführungsform dar. Das System400 weist eine Switch-Steuereinheit402 (wie zum Beispiel eine OpenFlow-Steuereinheit), ein IP-Netzwerk412 , das in der Lage ist, Daten mit der Switch-Steuereinheit402 auszutauschen (in einem Beispiel ist das IP-Netzwerk412 Open-Flow-fähig und -verwaltet, wobei es sich bei der Switch-Steuereinheit402 um eine OpenFlow-Steuereinheit handelt), einen Verzeichnisdienst404 (der Overlayspezifische Module aufweisen kann – wie zum Beispiel ein DOVE-Adressendienstmodul406 und/oder ein DOVE-Richtliniendienstmodul408 ), zumindest eine Sicherheitseinheit410 , eine Mehrzahl von Servern422 und zumindest ein Overlay-Netzwerk – wie zum Beispiel ein Overlay-Netzwerk 1414 und/oder ein Overlay-Netzwerk 2416 auf. - Jeder der Server
422 kann einen virtuellen Switch424 (der in der Lage ist, Daten mit dem Verzeichnisdienst404 auszutauschen, wie zum Beispiel DOVE-vSwitches, VXLAN-vSwitches usw. in mehreren Beispielen) und eine oder mehrere VMs (mit designierten VMs418 in dem Overlay-Netzwerk 1 und designierten VMs420 in dem Overlay-Netzwerk 2) aufweisen. Die Server422 können auch eine (nicht dargestellte) Virtualisierungsplattform von einem beliebigen Anbieter wie zum Beispiel VMWare ESX, IBM PowerVM, KVM, Hyper-V von Microsoft, Xen usw. einsetzen. - Das IP-Netzwerk
412 kann gemäß einer Ausführungsform eine beliebige Anzahl von Switches, Routern, Verbindungen, Kabeln usw. aufweisen, die in jeder beliebigen vorstellbaren Weise angeordnet sind und zumindest in der in4 dargestellten Anordnung mit den Elementen des Systems400 verbunden sind. Außerdem ist zumindest ein physischer Switch426 , der in der Lage ist, Daten mit der Switch-Steuereinheit402 auszutauschen, am Rand des IP-Netzwerks412 enthalten und mit den Servern422 verbunden. Wenn zum Beispiel OpenFlow eingesetzt wird, sind die physischen Switches426 OpenFlow-fähig. Diese Open-Flow-fähigen physischen Switches426 sind so programmierbar, dass sie verschiedene Pfade für Datenverkehrsflüsse bereitstellen, die durch das IP-Netzwerk412 gesendet oder empfangen werden. Die OpenFlow-fähigen physischen Switches426 stehen auch mit dem Verzeichnisdienst404 entweder direkt oder durch das IP-Netzwerk412 (wie in4 dargestellt) in Verbindung. - Bei einer weiteren Ausführungsform können beliebige der physischen Switches
426 in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und/oder gesendet werden. - Gemäß einer Ausführungsform kann das System
400 (über eine Open-Flow-Steuereinheit402 ) OpenFlow-verwaltet werden und kann in Übereinstimmung mit einem DOVE-Verzeichnisdienst404 so arbeiten, dass es Datenverkehr in solcher Weise effizient steuert, dass eine bestmögliche Anwendung einer Sicherheitsrichtlinie gewährleistet wird. - In einem OpenFlow-verwalteten Netzwerk hat die OpenFlow-Steuereinheit
402 Kenntnis von der Netzwerk-Knotenkarte und die Fähigkeit, einen Datenübertragungspfad auszuwählen, damit Pakete programmgestützt weitergeleitet werden. Wenn eine DOVE-VM418 oder420 beginnt, Daten mit einer weiteren VM auszutauschen, die sich auf einem anderen physischen Server422 befindet, fragt der virtuelle DOVE-Switch424 auf dem physischen Quell-Server422 die DOVE-Steuereinheit404 ab, um den Standort des physischen Servers422 und die Sicherheitsrichtlinie (wie durch das DOVE-Richtliniendienstmodul408 gesteuert) zu ermitteln, die zwischen den beiden VMs anzuwenden ist. Daher hat die DOVE-Steuereinheit404 nun Kenntnis darüber, dass diese beiden VMs beginnen werden, Daten auszutauschen, und kennt außerdem die Sicherheitsrichtlinie, die zwischen diesen beiden VMs anzuwenden ist. Wenn die Sicherheitsrichtlinie vorschreibt, dass der Datenverkehr zwischen den beiden VMs durch eine Sicherheitseinheit410 geleitet werden sollte, kann der DOVE-Verzeichnisdienst404 der OpenFlow-Steuereinheit402 direkt mitteilen, die Netzwerkknoten so zu programmieren, dass der Datenübertragungspfad zwischen den beiden VMs durch die Sicherheitseinheit410 führt. - Die OpenFlow-fähigen physischen Switches
426 können bei einigen Ausführungsformen eine Route eines Pakets durch das System400 auf Grundlage von Werten eines DOVE-Headers und eines inneren Nutzdaten-Headers jedes Pakets festlegen. Wenn der innere Nutzdaten-Header eines Pakets angibt, dass das Paket eine Anwendung einer Sicherheitsrichtlinie erhalten sollte, können die Open-Flow-fähigen Switches426 einen Datenübertragungspfad von der OpenFlow-Steuereinheit402 anfordern, der dazu führt, dass das Paket durch die Sicherheitseinheit410 geleitet wird; oder bei einer anderen Ausführungsform ist es möglich, dass die OpenFlow-fähigen Switches426 auf diese Angaben zugreifen können, sodass jeder Switch426 nach einer Initialisierungsprozedur die Route ohne Unterstützung der OpenFlow-Steuereinheit402 festlegen kann. Der Verarbeitungsaufwand, der für diesen Vorgang erbracht wird, kann verringert werden, indem Markierungen in dem DOVE-Header angegeben werden, um Pakete zu identifizieren, die eine Anwendung einer Sicherheitsrichtlinie benötigen, sodass die Open-Flow-fähigen Switches426 den inneren Nutzdaten-Header nicht untersuchen, um diese Feststellung zu machen. Selbstverständlich kann diese Prozedur auch auf andere Overlay-Technologien wie zum Beispiel VXLAN, NVGRE usw. angewandt werden. - Jeder der physischen Switches
426 , der Switch-Steuereinheit402 , der Server422 und der Sicherheitseinheit410 kann zumindest einen Prozessor zum Ausführen von Logik aufweisen, wie zum Beispiel eine Zentraleinheit (CPU), ein feldprogrammierbares Gate-Array (field programmable gate array, FPGA), eine integrierte Schaltung (integrated circuit, IC), eine anwendungsspezifische integrierte Schaltung (application specific integrated circuit, ASIC) oder einen oder mehrere sonstige geeignete Prozessoren nach dem Stand der Technik. - Gemäß einer Ausführungsform können Zugriffssteuerungslisten (access control lists, ACLs) auf die Server oder physischen Switches
426 , die Switch-Steuereinheit oder OpenFlow-Steuereinheit402 oder anderswo in dem System400 angewandt werden, um eingehende Overlay-gekapselte Pakete an die Sicherheitseinheit410 zu leiten. Nach Aktivierung einer solchen ACL an einem Anschluss einer beliebigen Einheit werden jegliche Pakete, die an dem Anschluss mit aktivierter ACL empfangen werden, durch die Sicherheitseinheit410 geleitet. Anschließend kann die Sicherheitseinheit410 eine Kette von Diensten implementieren. - Auf den Datenverkehr können jegliche Dienste nach dem Stand der Technik wie zum Beispiel Firewall-Dienste, Dienste von Abwehrsystemen gegen Eingriffe von außen (IPS), Dienste von Warnsystemen gegen Angriffe von außen (IDS), IPS/IDS-Dienste, Server-Lastausgleichsdienste, LAN-Optimierungsdienste, VPN-Dienste, Videooptimierungsdienste, Dienste zur Netzwerkadressenumsetzung (network address translation, NAT), Verschlüsselungsdienste, Entschlüsselungsdienste usw. neben zahlreichen sonstigen Möglichkeiten angewendet werden, die einem Fachmann bekannt wären. Jeder dieser Dienste kann beim Initiieren der Sicherheitseinheit
410 unabhängig aktiviert, unabhängig umgangen oder manuell gewählt werden, wie es von einem Systemadministrator gewünscht wird. - Bei mit dem L3 User Datagram Protocol/Internet Protocol (UDP/IP) gekapseltem Datenverkehr, der von einem Overlay-Netzwerk (wie zum Beispiel dem Overlay-Netzwerk 1
414 , dem Overlay-Netzwerk 2416 usw.) an ein nichtvirtualisiertes Altnetzwerk (wie zum Beispiel das IP-Netzwerk412 ) oder an eine weitere Einrichtung gesendet wird, die in der Lage ist, getunnelten Datenverkehr zu empfangen, kann die Sicherheitseinheit410 vor dem Übermitteln des Pakets an die Zieleinheit durch Empfangen innerer Pakete, die aus Overlay-gekapselten Paketen entkapselt worden sind, Dienste anwenden. - Unter Bezugnahme auf
5 wird ein Zeitablauf einer Datenübertragung zwischen einer Quelle, dazwischenliegenden Einheiten und einem Ziel für ein Paket gemäß einer Ausführungsform dargestellt. Es wird angenommen, dass es sich bei einer VM1 um eine Quelle eines Pakets handelt und es sich bei einer VM2 um ein Ziel des Pakets handelt. Zunächst sendet die VM1 eine Address-Resolution-Protocol(ARP)-Anforderung502 an den physischen ServerA, der Hosting für die VM1 bereitstellt. Anschließend sendet der physische ServerA an die Steuereinheit für das virtuelle Netzwerk (wie zum Beispiel einen DOVE-Richtlinien-Server/-Verzeichnisdienst) eine Anforderung504 der Zieladresse, die der ARP-Anforderung zugehörig ist. Die Steuereinheit für das virtuelle Netzwerk antwortet506 dann dem physischen ServerA mit der Adresse für die VM2 auf dem physischen ServerB. Außerdem informiert508 die Steuereinheit für das virtuelle Netzwerk den physischen ServerB über das Vorhandensein der VM1 auf dem physischen ServerA. - Dann antwortet
510 der physische ServerA auf die ARP-Anforderung mit Daten über die Zieladresse für das Paket. Die VM1 auf dem ServerA versendet dann das Paket512 zur Übermittlung an die VM2. Der physische ServerA stellt Overlay-Funktionen (Kapselung und Tunneln an den physischen ServerB) für das Paket bereit und sendet das gekapselte Paket514 an den physischen ServerB. Anschließend stellt der physische ServerB Overlay-Funktionen (Tunnelendpunkt und Entkapselung) für das Paket bereit und sendet das entkapselte Paket516 an die VM2 auf dem ServerB. - Nachdem diese Beziehung hergestellt worden ist, ist es leichter, Pakete entweder von der VM1 oder der VM2 über das Overlay-Netzwerk zu senden. Wenn zum Beispiel die VM2 auf dem ServerB ein Paket an die VM1 auf dem ServerA senden soll, wird eine ARP-Anforderung
518 an den physischen ServerB gesendet, der physische ServerB antwortet (da ihm die Daten der VM1 auf dem ServerA bereits bekannt sind)520 mit den Daten der VM1, die VM2 auf dem ServerB sendet das Paket522 , der physische ServerB stellt Overlay-Funktionen für das Paket bereit und übermittelt524 das gekapselte Paket an den physischen ServerA, und der physische ServerA übermittelt526 das entkapselte Paket an die VM1 auf dem ServerA. - Unter Bezugnahme auf
6 werden Paket-Header in verschiedenen Stadien einer Paketweiterleitung gemäß einer Ausführungsform dargestellt. Es wird ein Paket600 dargestellt, das Nutzdaten, einen IP-Header, eine Quell-Medienzugriffsadresse (source media access address, SMAC) und eine Ziel-MAC (DMAC) aufweist. Dieses Paket kann auf einer Quell-VM oder einer beliebigen sonstigen Einheit erzeugt werden, die in der Lage ist, Pakete zu erzeugen. Nachdem das Paket600 an einem ersten Overlay-aktivierten (oder -fähigen) Switch eingetroffen ist, wird es mit einem Header604 gekapselt, um es an einen zweiten Overlay-aktivierten Switch zu tunneln, der der Ziel-VM am nächsten ist. Der Tunnel-Header604 beinhaltet einen Overlay-Header, einen UDP-Header, einen IP-Header und einen Ethernet-Header. Dieses gekapselte Paket kann anschließend so durch das IP-Netzwerk getunnelt werden, dass es bei dem zweiten Overlay-aktivierten Switch eintrifft, wo es entkapselt und an die Ziel-VM übermittelt wird. - Der Overlay-Header wird auch ausführlicher mit einer virtuellen Netzwerkkennung (VNID) oder eine DOVE-Domänen- oder Gruppen-ID, die mit einer Größe von 24 Bit dargestellt wird, zusammen mit sonstigen reservierten Feldern dargestellt, wie einem Fachmann verständlich wäre. Hier muss beachtet werden, dass bei einer Ausführungsform dieser Header ein Bit oder ein Feld beinhalten kann, das angeben kann, dass das Paket eine Anwendung einer Sicherheitsrichtlinie erhalten soll, sodass das Paket durch eine Sicherheitseinheit in dem IP-Netzwerk geleitet wird, bevor es bei der Ziel-VM eintrifft.
- Es wird nun auf
7 Bezug genommen, in der ein Ablaufplan eines Verfahrens700 gemäß einer Ausführungsform dargestellt wird. Das Verfahren700 kann in verschiedenen Ausführungsformen unter anderem in einer beliebigen der in1 bis6 dargestellten Umgebungen gemäß der vorliegenden Erfindung durchgeführt werden. Natürlich können mehr oder weniger Vorgänge als diejenigen, die in7 ausdrücklich beschrieben werden, in dem Verfahren700 enthalten sein, wie einem Fachmann beim Lesen der vorliegenden Beschreibungen ersichtlich würde. - Jeder der Schritte des Verfahrens
700 kann durch eine beliebige geeignete Komponente der Betriebsumgebung durchgeführt werden. Beispielsweise kann das Verfahren700 bei einer Ausführungsform in verschiedenen Ansätzen teilweise oder vollständig durch eine Switch-Steuereinheit, eine Steuereinheit für das virtuelle Netzwerk wie etwa eine DOVE-Steuereinheit, eine Overlay-fähige Netzwerkeinheit, einen Prozessor (wie etwa eine CPU, eine ASIC, ein FPGA usw.), ein Gateway, einen OpenFlow-fähigen Switch, eine OpenFlow-Steuereinheit oder eine sonstige geeignete Einheit durchgeführt werden. - Wie in
7 dargestellt, kann das Verfahren700 mit einem Vorgang702 beginnen, in dem eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfangen wird. Die Anforderung kann von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet werden, und der erste physische Switch kann mit einer Quelle des Pakets verbunden sein. Bei einem Ansatz kann die Anforderung zumindest aufweisen: ein Paket, erste Daten und zweite Daten. Bei einem alternativen Ansatz kann die Anforderung nur die ersten und die zweiten Daten zusammen mit einigen Header-Daten aus dem Paket beinhalten. - Bei einer Ausführungsform können die ersten Daten zumindest eine Adresse einer Quell-VM aufweisen, die das Paket erzeugt hat. In diesem Fall handelt es sich bei der Quelle des Pakets um die Quell-VM. Bei einer weiteren Ausführungsform können die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen, sie können jedoch auch Adressdaten für das Ziel des Pakets beinhalten, das mit dem zweiten physischen Switch verbunden sein kann.
- In dem Vorgang
704 wird ein zweiter physischer Switch ermittelt, der mit einem Ziel des Pakets verbunden ist. Bei einer Ausführungsform wird ein Ziel des Pakets ermittelt, und aus diesen Daten kann ein zweiter physischer Switch ermittelt werden, der am nächsten mit dem Ziel des Pakets verbunden ist. - Bei einem Ansatz kann nur ein physischer Switch vorhanden sein, mit dem sowohl die Quelle als auch das Ziel verbunden sind, z. B. kann es sich bei dem ersten und dem zweiten physischen Switch um denselben Switch handeln.
- Gemäß einer Ausführungsform können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden, z. B. sind sie Overlay-fähige Switches. Es können beliebige Overlay-Protokolle und/oder -Technologien oder -Standards wie zum Beispiel VXLAN, DOVE, NVGRE usw. verwendet werden.
- In dem Vorgang
706 wird auf Grundlage zumindest eines von: einem Inhalt des Pakets (der Header-Daten wie zum Beispiel Nutzdaten, einen Overlay-Header, einen inneren Paket-Header, UDP/IP-Header usw. beinhalten kann), den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist. - In dem Vorgang
708 wird ein Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch ausgewählt. Bei einem Ansatz verbindet der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist. Bei einem weiteren Ansatz verbindet der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist. - In dem Vorgang
710 wird der ausgewählte Datenübertragungspfad so an den ersten physischen Switch gesendet, dass der erste physische Switch den ausgewählten Datenübertragungspfad beim Senden von Datenverkehr von der Quelle des Pakets an das Ziel des Pakets implementieren kann. - Bei einer weiteren Ausführungsform kann eine Switch-Steuereinheit angewiesen werden, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
- Bei einem Ansatz kann der erste physische Switch mit zumindest einem ersten Server verbunden sein, der Hosting für zumindest eine Quell-VM bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, der zweite physische Switch kann mit zumindest einem zweiten Server verbunden sein, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und der Vorgang
706 , in dem ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann des Weiteren, wenn ermittelt wird, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, ein Ermitteln, dass die Sicherheitsrichtlinie nicht anzuwenden ist, oder wenn ermittelt wird, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, ein Ermitteln aufweisen, dass die Sicherheitsrichtlinie anzuwenden ist. - Bei einem weiteren Ansatz kann der Vorgang
706 , in dem ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, des Weiteren ein Anwenden von ACLs auf das Paket so aufweisen, dass ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist. - Gemäß einem Ansatz kann die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch eine Sicherheitseinheit steuern. Es können beliebige Dienste oder Sicherheitsrichtlinien verwendet werden, wie zum Beispiel: Firewall-Dienste, IPS, IDS, Server-Lastausgleichsdienste, VPN-Dienste, Videooptimierungsdienste und/oder WAN-Optimierungsdienste usw.
- Gemäß verschiedenen Ausführungsformen kann das Verfahren
700 in einem System oder einem Computerprogrammprodukt implementiert werden, wie einem Fachmann beim Lesen der vorliegenden Beschreibungen ersichtlich würde. - Bei einer solchen Ausführungsform kann ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die zum Anwenden einer Sicherheitsrichtlinie auf Pakete gestaltet ist, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine Quell-VM bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für das virtuelle Netzwerk beinhalten, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht. Bei einem Ansatz kann nur ein physischer Switch vorhanden sein, mit dem sowohl die Quelle (der erste Server, der Hosting für die Quell-VM bereitstellt) als auch das Ziel (der zweite Server, der Hosting für die Ziel-VM bereitstellt) verbunden sind.
- Die Steuereinheit für das virtuelle Netzwerk kann aufweisen: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets. Die Steuereinheit für das virtuelle Netzwerk kann des Weiteren eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik aufweisen, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Des Weiteren kann die Steuereinheit für das virtuelle Netzwerk in verschiedenen Ansätzen ferner eine Logik aufweisen, die so gestaltet ist, dass sie die Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quell-VM und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden; die ersten Daten können zumindest eine Adresse der Quell-VM aufweisen; die zweiten Daten können zumindest eine Adresse des zweiten physischen Switch aufweisen; und/oder die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann aufweisen: eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
- In noch weiteren verschiedenen Ansätzen können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden; die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann eine Logik aufweisen, die so gestaltet ist, dass sie ACLs auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und/oder die Sicherheitsrichtlinie kann eine Anwendung eines oder mehrerer Dienste durch die Sicherheitseinheit steuern. Es können beliebige Dienste oder Sicherheitsrichtlinien verwendet werden, wie zum Beispiel: Firewall-Dienste, IPS, IDS, Server-Lastausgleichsdienste, VPN-Dienste, Videooptimierungsdienste und/oder WAN-Optimierungsdienste usw.
- Bei einer weiteren beispielhaften Ausführungsform kann ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium aufweisen, in dem computerlesbarer Programmcode verkörpert ist. Der computerlesbare Programmcode kann einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest ein Paket, erste Daten und zweite Daten beinhaltet, computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Gemäß verschiedenen Ausführungsformen kann das Computerprogrammprodukt des Weiteren computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er eine Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden; die ersten Daten können zumindest eine Adresse einer Quell-VM aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist; und/oder die zweiten Daten können zumindest eine Adresse des zweiten physischen Switch aufweisen.
- Bei einer weiteren Ausführungsform kann der erste physische Switch mit zumindest einem ersten Server verbunden sein, der Hosting für zumindest eine Quell-VM bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, der zweite physische Switch kann mit zumindest einem zweiten Server verbunden sein, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann aufweisen: computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist, und computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
- In weiteren Ansätzen können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden, und/oder der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er ACLs auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
- Oben sind zwar verschiedene Ausführungsformen beschrieben worden, es versteht sich jedoch, dass sie lediglich als Beispiel und nicht als Beschränkung dargestellt worden sind. Folglich sollen die Breite und der Umfang einer Ausführungsform der vorliegenden Erfindung nicht durch jegliche der oben beschriebenen beispielhaften Ausführungsformen beschränkt werden, sondern sie sollen nur in Übereinstimmung mit den folgenden Ansprüchen und ihren Entsprechungen definiert werden.
Claims (25)
- Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk, wobei das Verfahren aufweist: Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest aufweist: ein Paket; erste Daten; und zweite Daten; Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist; Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
- Verfahren nach Anspruch 1, das des Weiteren ein Anweisen einer Switch-Steuereinheit aufweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
- Verfahren nach Anspruch 1, wobei die ersten Daten zumindest eine Adresse einer virtuellen Quellmaschine (VM) aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist.
- Verfahren nach Anspruch 1, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
- Verfahren nach Anspruch 1, wobei der erste physische Switch mit zumindest einem ersten Server verbunden ist, der Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, wobei der zweite physische Switch mit zumindest einem zweiten Server verbunden ist, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und wobei das Ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: Ermitteln, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und Ermitteln, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und Ermitteln, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und Ermitteln, dass die Sicherheitsrichtlinie anzuwenden ist.
- Verfahren nach Anspruch 1, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
- Verfahren nach Anspruch 1, wobei das Ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: Anwenden von Zugriffssteuerungslisten (ACLs) auf das Paket, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
- Verfahren nach Anspruch 1, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch eine Sicherheitseinheit steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
- System, das aufweist: ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet; eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht; eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden; zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt; zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt; und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk aufweist: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest aufweist: ein Paket; erste Daten über die Quell-VM, die das Paket erzeugt hat; und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist; eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- System nach Anspruch 9, wobei die Steuereinheit für das virtuelle Netzwerk des Weiteren eine Logik aufweist, die so gestaltet ist, dass sie die Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quell-VM und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
- System nach Anspruch 9, wobei die ersten Daten zumindest eine Adresse der Quell-VM aufweisen.
- System nach Anspruch 9, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
- System nach Anspruch 9, wobei die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
- System nach Anspruch 9, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
- System nach Anspruch 9, wobei die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: eine Logik, die so gestaltet ist, dass sie Zugriffssteuerungslisten (ACLs) auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
- System nach Anspruch 9, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch die Sicherheitseinheit steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
- Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium aufweist, auf dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest aufweist: ein Paket; erste Daten; und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist; computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und computerlesbaren Programmcode, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
- Computerprogrammprodukt nach Anspruch 17, das des Weiteren einen computerlesbaren Programmcode aufweist, der so gestaltet ist, dass er eine Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
- Computerprogrammprodukt nach Anspruch 17, wobei die ersten Daten zumindest eine Adresse einer virtuellen Quellmaschine (VM) aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist.
- Computerprogrammprodukt nach Anspruch 17, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
- Computerprogrammprodukt nach Anspruch 17, wobei der erste physische Switch mit zumindest einem ersten Server verbunden ist, der Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, wobei der zweite physische Switch mit zumindest einem zweiten Server verbunden ist, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und wobei der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
- Computerprogrammprodukt nach Anspruch 17, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
- Computerprogrammprodukt nach Anspruch 17, wobei der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er Zugriffssteuerungslisten (ACLs) auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
- Computerprogrammprodukt nach Anspruch 17, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
- Steuereinheit für das virtuelle Netzwerk, die aufweist: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest aufweist: ein Paket; erste Daten über eine Quelle des Pakets; und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist; eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/633,043 US9178715B2 (en) | 2012-10-01 | 2012-10-01 | Providing services to virtual overlay network traffic |
US13/633,043 | 2012-10-01 | ||
PCT/CN2013/084248 WO2014053092A1 (en) | 2012-10-01 | 2013-09-26 | Providing services to virtual overlay network traffic |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112013004828T5 true DE112013004828T5 (de) | 2015-08-20 |
Family
ID=50386579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112013004828.0T Pending DE112013004828T5 (de) | 2012-10-01 | 2013-09-26 | Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr |
Country Status (6)
Country | Link |
---|---|
US (2) | US9178715B2 (de) |
JP (1) | JP5951139B2 (de) |
CN (1) | CN104685500B (de) |
DE (1) | DE112013004828T5 (de) |
GB (1) | GB2521572B (de) |
WO (1) | WO2014053092A1 (de) |
Families Citing this family (73)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US9049115B2 (en) * | 2012-12-13 | 2015-06-02 | Cisco Technology, Inc. | Enabling virtual workloads using overlay technologies to interoperate with physical network services |
US9350558B2 (en) * | 2013-01-09 | 2016-05-24 | Dell Products L.P. | Systems and methods for providing multicast routing in an overlay network |
CN103973578B (zh) * | 2013-01-31 | 2018-06-19 | 新华三技术有限公司 | 一种虚拟机流量重定向的方法及装置 |
CN105684365B (zh) * | 2013-02-12 | 2020-03-24 | 慧与发展有限责任合伙企业 | 利用软件定义流映射和虚拟化的网络功能的网络控制 |
US10536330B2 (en) * | 2013-04-03 | 2020-01-14 | Nokia Solutions And Networks Gmbh & Co. Kg | Highly dynamic authorisation of concurrent usage of separated controllers |
CN104113459A (zh) | 2013-04-16 | 2014-10-22 | 杭州华三通信技术有限公司 | 一种evi网络中虚拟机平滑迁移方法和装置 |
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
CN104283756B (zh) * | 2013-07-02 | 2017-12-15 | 新华三技术有限公司 | 一种实现分布式多租户虚拟网络的方法和装置 |
US9130775B2 (en) * | 2013-07-10 | 2015-09-08 | Cisco Technology, Inc. | Support for virtual extensible local area network segments across multiple data center sites |
WO2015069576A1 (en) * | 2013-11-05 | 2015-05-14 | Cisco Technology, Inc. | Network fabric overlay |
US9397946B1 (en) | 2013-11-05 | 2016-07-19 | Cisco Technology, Inc. | Forwarding to clusters of service nodes |
US10778584B2 (en) | 2013-11-05 | 2020-09-15 | Cisco Technology, Inc. | System and method for multi-path load balancing in network fabrics |
US9655232B2 (en) | 2013-11-05 | 2017-05-16 | Cisco Technology, Inc. | Spanning tree protocol (STP) optimization techniques |
US9502111B2 (en) | 2013-11-05 | 2016-11-22 | Cisco Technology, Inc. | Weighted equal cost multipath routing |
US9374294B1 (en) | 2013-11-05 | 2016-06-21 | Cisco Technology, Inc. | On-demand learning in overlay networks |
US9888405B2 (en) | 2013-11-05 | 2018-02-06 | Cisco Technology, Inc. | Networking apparatuses and packet statistic determination methods employing atomic counters |
US9769078B2 (en) | 2013-11-05 | 2017-09-19 | Cisco Technology, Inc. | Dynamic flowlet prioritization |
US10951522B2 (en) | 2013-11-05 | 2021-03-16 | Cisco Technology, Inc. | IP-based forwarding of bridged and routed IP packets and unicast ARP |
US9825857B2 (en) | 2013-11-05 | 2017-11-21 | Cisco Technology, Inc. | Method for increasing Layer-3 longest prefix match scale |
US9876711B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Source address translation in overlay networks |
US9674086B2 (en) | 2013-11-05 | 2017-06-06 | Cisco Technology, Inc. | Work conserving schedular based on ranking |
US20150180769A1 (en) * | 2013-12-20 | 2015-06-25 | Alcatel-Lucent Usa Inc. | Scale-up of sdn control plane using virtual switch based overlay |
US9392015B2 (en) * | 2014-04-28 | 2016-07-12 | Sophos Limited | Advanced persistent threat detection |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US9634867B2 (en) * | 2014-05-02 | 2017-04-25 | Futurewei Technologies, Inc. | Computing service chain-aware paths |
CN105284083B (zh) * | 2014-05-21 | 2018-10-19 | 华为技术有限公司 | OpenFlow设备与IP网络设备通信的方法、装置和系统 |
CN105100026B (zh) * | 2014-05-22 | 2018-07-20 | 新华三技术有限公司 | 一种报文安全转发方法及装置 |
KR101583325B1 (ko) * | 2014-08-12 | 2016-01-07 | 주식회사 구버넷 | 가상 패킷을 처리하는 네트워크 인터페이스 장치 및 그 방법 |
US10257095B2 (en) | 2014-09-30 | 2019-04-09 | Nicira, Inc. | Dynamically adjusting load balancing |
US11722367B2 (en) | 2014-09-30 | 2023-08-08 | Nicira, Inc. | Method and apparatus for providing a service with a plurality of service nodes |
US11296930B2 (en) | 2014-09-30 | 2022-04-05 | Nicira, Inc. | Tunnel-enabled elastic service model |
JP2016082344A (ja) * | 2014-10-15 | 2016-05-16 | 日本電気株式会社 | 制御装置、情報処理システム、制御方法、及び、プログラム |
CN105591865A (zh) * | 2014-10-21 | 2016-05-18 | 中兴通讯股份有限公司 | 虚拟网络实现的方法、nve、nva装置及系统 |
WO2016097757A1 (en) | 2014-12-18 | 2016-06-23 | Sophos Limited | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
US9967231B2 (en) * | 2015-03-18 | 2018-05-08 | Cisco Technology, Inc. | Inter-pod traffic redirection and handling in a multi-pod network environment |
JP6441721B2 (ja) * | 2015-03-24 | 2018-12-19 | 株式会社エヌ・ティ・ティ・データ | 制御装置、制御方法及びプログラム |
US10594743B2 (en) | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
US20160365578A1 (en) * | 2015-06-12 | 2016-12-15 | Sharp Kabushiki Kaisha | Sodium transition metal silicate and method of forming same |
CN106385365B (zh) | 2015-08-07 | 2019-09-06 | 新华三技术有限公司 | 基于开放流Openflow表实现云平台安全的方法和装置 |
WO2017184758A1 (en) * | 2016-04-20 | 2017-10-26 | Brocade Communications Systems, Inc. | Communication framework for a federation of network controllers |
US10027746B2 (en) | 2016-05-26 | 2018-07-17 | International Business Machines Corporation | Mechanism for overlay virtual networking |
JP6772751B2 (ja) * | 2016-10-14 | 2020-10-21 | 富士通株式会社 | 設定方法及びサーバ装置 |
CN106790263A (zh) * | 2017-02-08 | 2017-05-31 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
CN106899405A (zh) * | 2017-03-13 | 2017-06-27 | 佛山易识科技有限公司 | 一种智能的敏感及私密数据传输保护方法 |
US10476910B2 (en) | 2017-06-21 | 2019-11-12 | Mastercard International Incorporated | Systems and methods for secure network communication |
CN107612827A (zh) * | 2017-10-11 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种提高异地数据中心vxlan网络质量的方法和装置 |
US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
US10757077B2 (en) | 2017-11-15 | 2020-08-25 | Nicira, Inc. | Stateful connection policy filtering |
US11012420B2 (en) * | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
US10708229B2 (en) | 2017-11-15 | 2020-07-07 | Nicira, Inc. | Packet induced revalidation of connection tracker |
US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US11178071B2 (en) | 2018-07-05 | 2021-11-16 | Cisco Technology, Inc. | Multisite interconnect and policy with switching fabrics |
JP7003884B2 (ja) | 2018-09-14 | 2022-01-21 | 株式会社デンソー | 車両用中継装置 |
CN109525582B (zh) * | 2018-11-19 | 2021-07-30 | 北京六方云信息技术有限公司 | 报文处理方法、系统及存储介质 |
US10999197B2 (en) * | 2018-11-30 | 2021-05-04 | Cisco Technology, Inc. | End-to-end identity-aware routing across multiple administrative domains |
US11036538B2 (en) | 2019-02-22 | 2021-06-15 | Vmware, Inc. | Providing services with service VM mobility |
US11184325B2 (en) | 2019-06-04 | 2021-11-23 | Cisco Technology, Inc. | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics |
CN110247908A (zh) * | 2019-06-11 | 2019-09-17 | 优刻得科技股份有限公司 | 基于可编程网络交换技术的数据发送的方法、装置和系统 |
US11171992B2 (en) * | 2019-07-29 | 2021-11-09 | Cisco Technology, Inc. | System resource management in self-healing networks |
US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
US11792112B2 (en) | 2020-04-06 | 2023-10-17 | Vmware, Inc. | Using service planes to perform services at the edge of a network |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11310146B1 (en) * | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
CN113660158B (zh) * | 2021-08-05 | 2023-06-30 | 北京网聚云联科技有限公司 | Overlay虚拟链路动态路由的调度方法、服务器及存储介质 |
CN115242788A (zh) * | 2022-07-27 | 2022-10-25 | 广东浪潮智慧计算技术有限公司 | 一种流量数据控制方法、装置、介质 |
Family Cites Families (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0193838B1 (de) | 1985-03-04 | 1989-05-03 | Siemens Aktiengesellschaft | Brenneranordnung für Feuerungsanlagen, insbesondere für Brennkammern von Gasturbinenanlagen sowie Verfahren zu ihrem Betrieb |
JP3599552B2 (ja) * | 1998-01-19 | 2004-12-08 | 株式会社日立製作所 | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 |
ATE326805T1 (de) | 2000-06-15 | 2006-06-15 | Ericsson Telefon Ab L M | Verfahren und anordnungen in einem telekommunikationssystem |
US7043231B2 (en) | 2000-09-22 | 2006-05-09 | Ericsson Inc. | System, method and apparatus for polling telecommunications nodes for real-time information |
US20020037709A1 (en) | 2000-09-22 | 2002-03-28 | Ranjit Bhatia | System, method and apparatus for facilitating the receipt of realtime information from telecommunications nodes |
US20020141386A1 (en) * | 2001-03-29 | 2002-10-03 | Minert Brian D. | System, apparatus and method for voice over internet protocol telephone calling using enhanced signaling packets and localized time slot interchanging |
US20030131245A1 (en) | 2002-01-04 | 2003-07-10 | Michael Linderman | Communication security system |
US8296433B2 (en) | 2002-05-22 | 2012-10-23 | International Business Machines Corporation | Virtualization method and apparatus for integrating enterprise applications |
GB0427858D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Manifold for use in medicament dispenser |
GB0427856D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Maniflod for use in medicament dispenser |
GB0427853D0 (en) | 2004-12-20 | 2005-01-19 | Glaxo Group Ltd | Manifold for use in medicament dispenser |
JP4429892B2 (ja) * | 2004-12-22 | 2010-03-10 | 富士通株式会社 | セキュア通信システム、および通信経路選択装置 |
US8799444B2 (en) * | 2005-03-18 | 2014-08-05 | Hewlett-Packard Development Company, L.P. | Automated host discovery and path tracing by network management server |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US8095786B1 (en) | 2006-11-09 | 2012-01-10 | Juniper Networks, Inc. | Application-specific network-layer virtual private network connections |
US7835348B2 (en) * | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
US9083609B2 (en) | 2007-09-26 | 2015-07-14 | Nicira, Inc. | Network operating system for managing and securing networks |
US7899849B2 (en) | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
CN101635702B (zh) * | 2008-07-21 | 2013-04-03 | 山石网科通信技术(北京)有限公司 | 应用安全策略的数据包转发方法 |
WO2010090182A1 (ja) | 2009-02-03 | 2010-08-12 | 日本電気株式会社 | アプリケーションスイッチシステム、及びアプリケーションスイッチ方法 |
WO2010103909A1 (ja) | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
US9672189B2 (en) * | 2009-04-20 | 2017-06-06 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
WO2011013805A1 (ja) | 2009-07-31 | 2011-02-03 | 日本電気株式会社 | 制御サーバ、サービス提供システムおよび仮想的なインフラストラクチャの提供方法 |
EP3432524B1 (de) | 2009-09-24 | 2024-05-01 | Zoom Video Communications, Inc. | System und verfahren zum identifizieren der kommunikation zwischen virtuellen servern |
JP5446040B2 (ja) | 2009-09-28 | 2014-03-19 | 日本電気株式会社 | コンピュータシステム、及び仮想マシンのマイグレーション方法 |
JP5717164B2 (ja) | 2009-10-07 | 2015-05-13 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムのメンテナンス方法 |
JP5435399B2 (ja) | 2009-10-07 | 2014-03-05 | 日本電気株式会社 | 省電力化システム、省電力化方法、及び省電力化用プログラム |
JP5382451B2 (ja) | 2010-01-29 | 2014-01-08 | 日本電気株式会社 | フロントエンドシステム、フロントエンド処理方法 |
JP5493926B2 (ja) | 2010-02-01 | 2014-05-14 | 日本電気株式会社 | インタフェース制御方式、インタフェース制御方法、及びインタフェース制御用プログラム |
JP5521614B2 (ja) | 2010-02-15 | 2014-06-18 | 日本電気株式会社 | ネットワークシステム、及びパケット投機転送方法 |
JP5521613B2 (ja) | 2010-02-15 | 2014-06-18 | 日本電気株式会社 | ネットワークシステム、ネットワーク機器、経路情報更新方法、及びプログラム |
JP5413737B2 (ja) | 2010-02-15 | 2014-02-12 | 日本電気株式会社 | ネットワークシステム、及び経路情報更新方法 |
JP5651970B2 (ja) | 2010-03-11 | 2015-01-14 | 日本電気株式会社 | 通信装置、通信制御方法、及び通信制御用プログラム |
JP2011198299A (ja) * | 2010-03-23 | 2011-10-06 | Fujitsu Ltd | プログラム、コンピュータ、通信装置および通信制御システム |
JP5173084B2 (ja) | 2010-04-09 | 2013-03-27 | エヌイーシー ヨーロッパ リミテッド | エネルギー効率を考慮したルーティング |
US20110283278A1 (en) * | 2010-05-13 | 2011-11-17 | Vmware, Inc. | User interface for managing a distributed virtual switch |
US8989187B2 (en) | 2010-06-04 | 2015-03-24 | Coraid, Inc. | Method and system of scaling a cloud computing network |
JP5622088B2 (ja) | 2010-08-17 | 2014-11-12 | 日本電気株式会社 | 認証システム、認証方法 |
US9184983B2 (en) | 2010-08-26 | 2015-11-10 | Futurewei Technologies, Inc. | Cross-stratum optimization protocol |
US8893300B2 (en) | 2010-09-20 | 2014-11-18 | Georgia Tech Research Corporation | Security systems and methods to reduce data leaks in enterprise networks |
US9460289B2 (en) * | 2011-02-18 | 2016-10-04 | Trend Micro Incorporated | Securing a virtual environment |
US8881101B2 (en) * | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
CN102244622B (zh) * | 2011-07-25 | 2015-03-11 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
US9185056B2 (en) * | 2011-09-20 | 2015-11-10 | Big Switch Networks, Inc. | System and methods for controlling network traffic through virtual switches |
CN102523165B (zh) | 2011-12-23 | 2014-10-01 | 中山大学 | 一种适用于未来互联网的可编程交换机系统 |
CN102523166B (zh) | 2011-12-23 | 2014-10-01 | 中山大学 | 一种适用于未来互联网的结构化网络系统 |
US9185166B2 (en) * | 2012-02-28 | 2015-11-10 | International Business Machines Corporation | Disjoint multi-pathing for a data center network |
CN102546351B (zh) | 2012-03-15 | 2014-05-14 | 北京邮电大学 | openflow网络和现有IP网络互联的系统和方法 |
US9112804B2 (en) | 2012-05-31 | 2015-08-18 | International Business Machines Corporation | Network congestion notification preservation and modification during transmission of network data between physical network and virtual network |
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US9215067B2 (en) * | 2013-04-05 | 2015-12-15 | International Business Machines Corporation | Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters |
-
2012
- 2012-10-01 US US13/633,043 patent/US9178715B2/en not_active Expired - Fee Related
-
2013
- 2013-09-26 CN CN201380051326.0A patent/CN104685500B/zh active Active
- 2013-09-26 JP JP2015533432A patent/JP5951139B2/ja active Active
- 2013-09-26 WO PCT/CN2013/084248 patent/WO2014053092A1/en active Application Filing
- 2013-09-26 GB GB1506949.5A patent/GB2521572B/en active Active
- 2013-09-26 DE DE112013004828.0T patent/DE112013004828T5/de active Pending
-
2015
- 2015-09-16 US US14/856,377 patent/US9584546B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20140096183A1 (en) | 2014-04-03 |
JP5951139B2 (ja) | 2016-07-13 |
WO2014053092A1 (en) | 2014-04-10 |
GB2521572A (en) | 2015-06-24 |
JP2016500937A (ja) | 2016-01-14 |
GB201506949D0 (en) | 2015-06-10 |
US9178715B2 (en) | 2015-11-03 |
GB2521572B (en) | 2016-03-23 |
CN104685500B (zh) | 2017-09-29 |
US9584546B2 (en) | 2017-02-28 |
US20160006769A1 (en) | 2016-01-07 |
CN104685500A (zh) | 2015-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112013004828T5 (de) | Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr | |
DE112013002270B4 (de) | Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr | |
DE102013209372B4 (de) | Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk | |
US10999163B2 (en) | Multi-cloud virtual computing environment provisioning using a high-level topology description | |
US11968198B2 (en) | Distributed authentication and authorization for rapid scaling of containerized services | |
JP6648308B2 (ja) | パケット伝送 | |
US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
CN107925589B (zh) | 处理进入逻辑覆盖网络的远程设备数据消息的方法和介质 | |
US10333897B2 (en) | Distributed firewalls and virtual network services using network packets with security tags | |
DE112013000731B4 (de) | Skalierbare virtuelle Geräte-Cloud | |
DE102016124383B4 (de) | Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen | |
DE112013001904B4 (de) | Paketvermittlung auf der Ebene 2 ohne Nachschlagetabelle für Ethernet-Switches | |
DE202016107377U1 (de) | Systeme zur Auslagerung von Netzwerkfunktionen über Paket-Trunking | |
US20150229641A1 (en) | Migration of a security policy of a virtual machine | |
DE112012002998T5 (de) | Virtuelle Netzwerküberlagerungen | |
DE112018003059T5 (de) | Identifizierung und authentifizierung von vorrichtungen in einem netzwerk | |
DE112012002404B4 (de) | Konfiguration und Management virtueller Netzwerke | |
DE112017006210T5 (de) | Bereitstellen eines netzwerktestwerkzeugs in einem cloud-computersystem | |
CN114338606A (zh) | 一种公有云的网络配置方法及相关设备 | |
DE112020002787T5 (de) | Verbindungsschichtverfahren zum konfigurieren eines bare-metal-servers in einem virtuellen netzwerk | |
DE102013210336B4 (de) | Mechanismen für verteiltes Routing in einem virtuellen Switch, ermöglicht über eine auf TRILL beruhende Struktur | |
DE112021004469T5 (de) | Verfahren und systeme zur effizienten virtualisierung von transparenten inline-computernetzwerkgeräten | |
CN114422196A (zh) | 一种网络靶场安全管控系统和方法 | |
US11469986B2 (en) | Controlled micro fault injection on a distributed appliance | |
Denton | OpenStack Networking Essentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R082 | Change of representative |
Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0017300000 Ipc: H04L0012721000 |
|
R082 | Change of representative |
Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R016 | Response to examination communication | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012721000 Ipc: H04L0045000000 |
|
R082 | Change of representative |
Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE |
|
R081 | Change of applicant/patentee |
Owner name: KYNDRYL, INC., NEW YORK, US Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORPORATION, ARMONK, NY, US |
|
R016 | Response to examination communication |