DE112013004828T5 - Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr - Google Patents

Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr Download PDF

Info

Publication number
DE112013004828T5
DE112013004828T5 DE112013004828.0T DE112013004828T DE112013004828T5 DE 112013004828 T5 DE112013004828 T5 DE 112013004828T5 DE 112013004828 T DE112013004828 T DE 112013004828T DE 112013004828 T5 DE112013004828 T5 DE 112013004828T5
Authority
DE
Germany
Prior art keywords
packet
physical switch
security policy
data
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112013004828.0T
Other languages
English (en)
Inventor
Dayavanti G. Kamath
Jayakrishna Kidambi
Abhijit P. Kumbhare
Renato J. Recio
Vinit Jain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyndryl Inc
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112013004828T5 publication Critical patent/DE112013004828T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

Bei einer Ausführungsform beinhaltet ein Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein Empfangen einer Anforderung, die ein Paket beinhaltet, eines Datenübertragungspfades durch ein Overlay-Netzwerk, ein Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, ersten Daten und zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, ein Auswählen eines Datenübertragungspfades zwischen einem physischen Quell-Switch und einem physischen Ziel-Switch, wobei der ausgewählte Datenübertragungspfad den physischen Quell-Switch direkt mit dem physischen Ziel-Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und der ausgewählte Datenübertragungspfad den physischen Quell-Switch über eine Sicherheitseinheit mit dem physischen Ziel-Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und ein Senden des ausgewählten Datenübertragungspfades an den physischen Quell-Switch.

Description

  • Hintergrund
  • Die vorliegende Erfindung bezieht sich auf eine Infrastruktur eines Rechenzentrums, und im Besonderen bezieht sich diese Erfindung auf ein Bereitstellen von Diensten für Deep-Packet-Inspection (tiefe Paketuntersuchung) für virtuellen Overlay-Netzwerkverkehr in einem Rechenzentrum.
  • Virtuelle Overlay-Netzwerke wie zum Beispiel virtuelle erweiterbare lokale Netzwerke (virtual extensible local area network, VXLAN), ein verteiltes Overlay-Virtualisierungs-Ethernet (distributed overlay virtualization Ethernet, DOVE) und andere verwenden Protokoll-Header, die in Pakete am Kopf des ursprünglichen Netzwerkpakets gekapselt werden, um Standorttransparenz zu erzeugen. Aufgrund der zusätzlichen Kapselungsprotokoll-Header ist es bestehenden oder Altzwischennetzwerk-Elementen (Inter-Networking Elements, INEs) wie zum Beispiel unter anderem physischen Infrastruktur-Routern und -Switches nicht möglich, Daten aus dem ursprünglichen Paket zu ermitteln. Dies liegt daran, dass das ursprüngliche Paket innerhalb der Overlay-Protokoll-Header als herkömmliche Nutzdaten für die Alt-INEs gekapselt ist. Des Weiteren verhindert diese mangelnde Sichtbarkeit der ursprünglichen Pakete, dass INEs hoch entwickelte Netzwerksicherheit und -dienste implementieren.
  • Protokolle wie VXLAN verwenden das User Datagram Protocol/Internet Protocol (UDP/IP), um das ursprüngliche Ethernet-Paket zum Übertragen über physische Netzwerke zu kapseln. Die ursprünglichen Ethernet-Pakete werden von einem Absender zu einem nächstgelegenen VXLAN-Gateway durch das Netzwerk getunnelt. VXLAN-Gateways verbinden virtuelle Netzwerke mit nichtvirtuellen Netzwerken (Altnetzwerke mit physischen Komponenten). Da VXLAN-Gateways das VXLAN-Protokoll und Tunnel verstehen (sie zu verarbeiten in der Lage sind), haben sie die Fähigkeit, die gekapselten Pakete zu erkennen.
  • Des Weiteren können virtuelle Maschinen (VMs) in einem Overlay-Netzwerk wie zum Beispiel einem VXLAN- oder DOVE-Netzwerk, die zu einem allgemeinen Nutzer gehören (z. B. einem einzelnen Benutzer der Netzwerk-Ressourcen wie etwa einem Unternehmen, einer Behörde, einer Einzelperson usw.), so zu Gruppen (wie virtuellen Netzwerken mit verschiedenen virtuellen Netzwerkkennungen (virtual network identifiers, VNIDs) in einem VXLAN, Domänen mit verschiedenen Domänenkennungen oder virtuellen DOVE-Gruppen (DOVE Virtual Groups, DVG) in einem DOVE) zusammengefasst werden, dass Regeln von Sicherheitsrichtlinien angewandt werden können, die Datenübertragungen zwischen VMs regeln, die zu verschiedenen Gruppen gehören. Ein typisches Verfahren zum Anwenden einer Sicherheitsrichtlinie besteht darin, physische Sicherheitseinheiten zu verwenden, auf die in dem Netzwerk zugegriffen werden kann und die die Fähigkeit besitzen, spezifische Sicherheitsdienste anzuwenden.
  • Um Sicherheitsdienste auf Overlay-Netzwerkverkehr anzuwenden, muss der Datenverkehr daher zu den physischen Sicherheitseinheiten geleitet werden. Die dazwischenliegenden Netzwerkeinheiten wie etwa Switches, Router usw. weisen jedoch keine Sichtbarkeit innerhalb des Overlay-Verkehrs auf und verstehen daher nicht, dass ein Teil des Datenverkehrs zu den physischen Sicherheitseinheiten geleitet werden sollte, während ein anderer Teil des Datenverkehrs direkt zu seiner designierten Zieladresse geleitet werden sollte.
  • Daher wären ein Verfahren und eine Netzwerkarchitektur, die einen ordnungsgemäßen Overlay-Verkehr ermöglichen würden, der erfordert, dass angewandte Sicherheitsdienste zu den physischen Sicherheitseinheiten geleitet werden, während sonstiger Datenverkehr direkt zwischen den Quell- und Ziel-VMs geleitet wird, sehr vorteilhaft.
  • Kurzdarstellung
  • Bei einer Ausführungsform beinhaltet ein Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; ein Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist, ein Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, ein Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und ein Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
  • Bei einer weiteren Ausführungsform beinhaltet ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk eine Logik beinhaltet, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Bei einer noch weiteren Ausführungsform beinhaltet ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium, in dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode beinhaltet, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Gemäß einer noch weiteren Ausführungsform beinhaltet eine Steuereinheit für ein virtuelles Netzwerk eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über eine Quelle des Pakets und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
  • Sonstige Aspekte und Ausführungsformen der vorliegenden Erfindung werden aus der folgenden ausführlichen Beschreibung ersichtlich, die zusammen mit den Zeichnungen die Grundgedanken der Erfindung beispielhaft veranschaulicht.
  • Kurzbeschreibung der verschiedenen Ansichten der Zeichnungen
  • 1 veranschaulicht eine Netzwerkarchitektur gemäß einer Ausführungsform.
  • 2 stellt eine typische Hardware-Umgebung gemäß einer Ausführungsform dar, die den Servern und/oder Clients von 1 zugehörig sein kann.
  • 3 ist ein vereinfachtes Schaubild eines virtualisierten Rechenzentrums gemäß einer Ausführungsform.
  • 4 ist ein vereinfachtes Schaubild eines Systems mit einem Overlay-Netzwerk, das ein verteiltes virtuelles Overlay-Netzwerk (DOVE) nutzt, gemäß einer Ausführungsform.
  • 5 ist ein Schaubild einer Verbindungssequenz gemäß einer Ausführungsform.
  • 6 stellt Paket-Header in verschiedenen Stadien einer Paketweiterleitung gemäß einer Ausführungsform dar.
  • 7 ist ein Ablaufplan eines Verfahrens gemäß einer Ausführungsform.
  • Ausführliche Beschreibung
  • Die folgende Beschreibung erfolgt zur Veranschaulichung der allgemeinen Grundgedanken der vorliegenden Erfindung und soll die hierin beanspruchten Erfindungsgedanken nicht einschränken. Des Weiteren können bestimmte hierin beschriebene Merkmale zusammen mit anderen beschriebenen Merkmalen in jeder der verschiedenen möglichen Kombinationen und Umstellungen verwendet werden.
  • Sofern sie hierin nicht ausdrücklich anders definiert sind, sollen alle Begriffe die breitestmögliche Auslegung einschließlich der Bedeutungen, die aus der Beschreibung geschlossen werden können, wie auch der Bedeutungen erhalten, die Fachleuten geläufig sind und/oder in Wörterbüchern, Abhandlungen usw. definiert sind.
  • Es ist außerdem zu beachten, dass die Singularformen „ein”, „eine” und „der”, „die”, „das”, wie sie in der Beschreibung und den beigefügten Ansprüchen verwendet werden, auch die Pluralformen beinhalten, sofern nichts anderes angegeben wird.
  • Bei einer allgemeinen Ausführungsform beinhaltet ein Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; ein Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist, ein Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, ein Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und ein Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
  • Bei einer weiteren allgemeinen Ausführungsform beinhaltet ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk eine Logik beinhaltet, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Bei einer noch weiteren allgemeinen Ausführungsform beinhaltet ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium, in dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest beinhaltet: ein Paket, erste Daten und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode beinhaltet, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Gemäß einer noch weiteren allgemeinen Ausführungsform beinhaltet eine Steuereinheit für ein virtuelles Netzwerk eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über eine Quelle des Pakets und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
  • Wie für einen Fachmann ersichtlich ist, können Aspekte der vorliegenden Erfindung als System, Verfahren oder Computerprogrammprodukt verkörpert werden. Dementsprechend können Aspekte der vorliegenden Erfindung eine reine Hardware-Ausführungsform, eine reine Software-Ausführungsform (darunter Firmware, residente Software, Mikrocode usw.) oder eine Ausführungsform annehmen, in der Software- und Hardware-Aspekte kombiniert werden, die sämtlich hierin verallgemeinernd als „Logik”, „Schaltung”, „Modul” oder „System” bezeichnet werden können. Des Weiteren können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das in einem oder mehreren computerlesbaren Medien verkörpert ist, auf denen computerlesbarer Programmcode verkörpert ist.
  • Es kann eine beliebige Kombination eines oder mehrerer computerlesbarer Medien verwendet werden. Bei dem computerlesbaren Medium kann es sich um ein computerlesbares Signalmedium oder ein nichttransitorisches computerlesbares Speichermedium handeln. Bei einem nichttransitorischen computerlesbaren Speichermedium kann es sich zum Beispiel um ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem, eine solche Vorrichtung oder Einheit oder um eine beliebige geeignete Kombination aus Obigen handeln, ohne auf diese beschränkt zu sein. Zu konkreteren Beispielen (einer nicht erschöpfenden Liste) des nichttransitorischen computerlesbaren Speichermediums gehören folgende: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (random access memory, RAM), ein Festwertspeicher (read-only memory, ROM), ein löschbarer, programmierbarer Festwertspeicher (erasable programmable read-only memory, EPROM oder Flash-Speicher), ein tragbarer Compact-Disk-Festwertspeicher (CD-ROM), ein Blu-Ray-Platten-Festwertspeicher (Blu-Ray disc read-only memory, BD-ROM), eine optische Speichereinheit, eine Magnetspeichereinheit oder eine beliebige geeignete Kombination des Obigen. Im Rahmen dieses Dokuments kann ein nichttransitorisches computerlesbares Speichermedium jedes physische Medium sein, das ein Programm oder eine Anwendung zur Verwendung durch ein System, eine Vorrichtung oder Einheit zur Befehlsausführung bzw. in Verbindung mit diesen enthalten oder speichern kann.
  • Ein computerlesbares Signalmedium kann ein sich ausbreitendes Datensignal, in dem computerlesbarer Programmcode verkörpert wird, zum Beispiel im Basisband oder als Teil einer Trägerwelle beinhalten. Ein solches sich ausbreitendes Signal kann eine Vielfalt von Formen annehmen, darunter eine elektromagnetische, eine optische oder eine beliebige geeignete Kombination davon, ohne auf diese beschränkt zu sein. Bei einem computerlesbaren Signalmedium kann es sich um ein beliebiges computerlesbares Medium handeln, das kein nichttransitorisches computerlesbares Speichermedium ist und das ein Programm zur Verwendung durch ein System, eine Vorrichtung oder Einheit zur Befehlsausführung bzw. in Verbindung mit diesen austauschen, verbreiten oder transportieren kann, wie zum Beispiel eine elektrische Verbindung mit einer oder mehreren Leitungen, einen Lichtwellenleiter usw.
  • Auf einem computerlesbaren Medium verkörperter Programmcode kann mithilfe eines beliebigen geeigneten Mediums übertragen werden, zum Beispiel über Funk, Kabel, Lichtwellenleiterkabel, Hochfrequenz (HF) usw. oder über eine beliebige geeignete Kombination der Obigen, ohne auf diese beschränkt zu sein.
  • Computerprogrammcode zum Ausführen von Vorgängen für Aspekte der vorliegenden Erfindung kann in einer beliebigen Kombination einer oder mehrerer Programmiersprachen geschrieben sein, zum Beispiel in einer objektorientierten Programmiersprache wie etwa Java, Smalltalk, C++ oder dergleichen und in herkömmlichen verfahrensorientierten Programmiersprachen wie zum Beispiel der Programmiersprache „C” oder ähnlichen Programmiersprachen. Der Programmcode kann vollständig auf einem Computer eines Benutzers, zum Teil auf dem Computer des Benutzers, als eigenständiges Software-Paket, zum Teil auf dem Computer des Benutzers und zum Teil auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Szenario kann der entfernt angeordnete Computer oder Server mit dem Computer des Benutzers durch eine beliebige Art von Netzwerk verbunden sein, zum Beispiel durch ein lokales Netzwerk (local area network, LAN), ein Speichernetzwerk (storage area network, SAN) und/oder ein Weitverkehrs-Netzwerk (wide area network, WAN), beliebige virtuelle Netzwerke, oder die Verbindung kann mit einem externen Computer, zum Beispiel über das Internet mithilfe eines Internet-Diensteanbieters (Internet Service Provider, ISP), hergestellt werden.
  • Aspekte der vorliegenden Erfindung werden hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der Erfindung beschrieben. Es versteht sich, dass jeder Block der Ablaufpläne und/oder Blockschaubilder und Kombinationen von Blöcken in den Ablaufplänen und/oder Blockschaubildern durch Computerprogrammbefehle realisiert werden kann/können. Diese Computerprogrammbefehle können für einen Prozessor eines Universalcomputers, eines Spezialcomputers oder einer sonstigen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, sodass die Befehle, die über den Prozessor des Computers oder einer sonstigen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel zum Implementieren der Funktionen/Vorgänge erzeugen, die in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegeben sind.
  • Diese Computerprogrammbefehle können auch in einem computerlesbaren Medium gespeichert werden, das einen Computer, eine sonstige programmierbare Datenverarbeitungsvorrichtung oder sonstige Einheiten so steuern kann, dass sie in einer bestimmten Weise funktionieren, sodass die in dem computerlesbaren Medium gespeicherten Befehle einen Herstellungsgegenstand (article of manufacture) erzeugen, der Befehle beinhaltet, die die/den Funktion/Vorgang realisieren, die/der in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegeben ist.
  • Die Computerprogrammbefehle können außerdem auf einen Computer, eine sonstige programmierbare Datenverarbeitungsvorrichtung oder sonstige Einheiten geladen werden, um zu bewirken, dass eine Reihe von Schritten eines Vorgangs auf dem Computer, einer sonstigen programmierbaren Vorrichtung oder sonstigen Einheiten ausgeführt wird, um einen computerimplementierten Prozess zu erzeugen, sodass die auf dem Computer oder einer sonstigen programmierbaren Vorrichtung ausgeführten Befehle Prozesse bereitstellen, um die in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegebenen Funktionen/Vorgänge zu implementieren.
  • 1 veranschaulicht eine Netzwerkarchitektur 100 gemäß einer Ausführungsform. Wie in 1 dargestellt, wird eine Mehrzahl von entfernt angeordneten Netzwerken 102 bereitgestellt, darunter ein erstes entfernt angeordnetes Netzwerk 104 und ein zweites entfernt angeordnetes Netzwerk 106. Ein Gateway 101 kann zwischen den entfernt angeordneten Netzwerken 102 und einem nahegelegenen Netzwerk 108 verbunden sein. Im Rahmen der vorliegenden Netzwerkarchitektur 100 können die Netzwerke 104, 106 jeweils eine beliebige Form annehmen, darunter die eines LAN, eines VLAN, eines WAN wie zum Beispiel des Internet, eines öffentlichen Fernsprechnetzes (public switched telephone network, PSTN), eines internen Telefonnetzes usw., ohne auf diese beschränkt zu sein.
  • Im Einsatz dient das Gateway 101 als Eintrittspunkt von den entfernt angeordneten Netzwerken 102 in das nahegelegene Netzwerk 108. Insofern kann das Gateway 101 als Router, der in der Lage ist, ein bestimmtes Paket von Daten zu steuern, das an dem Gateway 101 eintrifft, und als Switch dienen, der für ein bestimmtes Paket den tatsächlichen Pfad in das Gateway 101 und aus diesem heraus bereitstellt.
  • Des Weiteren ist zumindest ein Daten-Server 114 enthalten, der mit dem nahegelegenen Netzwerk 108 verbunden ist und auf den über das Gateway 101 von den entfernt angeordneten Netzwerken 102 zugegriffen werden kann. Es ist zu beachten, dass der/die Daten-Server 114 einen beliebigen Typ einer Datenverarbeitungseinrichtung/Groupware beinhalten kann/können. Mit jedem Daten-Server 114 ist eine Mehrzahl von Benutzereinheiten 116 verbunden. Zu solchen Benutzereinheiten 116 können ein Desktop-Computer, ein Laptop-Computer, ein Hand-Computer, ein Drucker und/oder ein beliebiger sonstiger Typ einer Logik enthaltenden Einheit zählen. Es ist zu beachten, dass eine Benutzereinheit 111 bei einigen Ausführungsformen auch direkt mit einem beliebigen der Netzwerke verbunden sein kann.
  • Eine Peripherieeinheit 120 oder eine Reihe von Peripherieeinheiten 120, z. B. Faxgeräte, Drucker, Scanner, Festplattenlaufwerke, vernetzte und/oder lokale Speichereinheiten oder -systeme usw. können mit einem oder mehreren der Netzwerke 104, 106, 108 verbunden sein. Es ist zu beachten, dass Datenbanken und/oder zusätzliche Komponenten mit einem beliebigen Typ eines mit den Netzwerken 104, 106, 108 verbundenen Netzwerkelements genutzt werden können oder in dieses integriert sein können. Im Rahmen der vorliegenden Beschreibung kann sich ein Netzwerkelement auf eine beliebige Komponente eines Netzwerks beziehen.
  • Gemäß einigen Ansätzen können hierin beschriebene Verfahren und Systeme mit und/oder auf virtuellen Systemen und/oder Systemen implementiert sein, die ein oder mehrere sonstige Systeme emulieren, wie zum Beispiel ein UNIX-System, das eine IBM z/OS-Umgebung emuliert, ein UNIX-System, das Hosting für eine MICROSOFT-WINDOWS-Umgebung virtuell bereitstellt, ein MICROSOFT-WINDOWS-System, das eine IBM z/OS-Umgebung emuliert usw. Diese Virtualisierung und/oder Emulation kann bei einigen Ausführungsformen durch die Verwendung von VMWARE-Software erweitert werden.
  • In weiteren Ansätzen können ein oder mehrere Netzwerke 104, 106, 108 einen Verbund von Systemen darstellen, der allgemein als „Cloud” bezeichnet wird. Beim Cloud-Computing werden gemeinsam genutzte Ressourcen wie zum Beispiel Verarbeitungskapazität, Peripherieeinheiten, Software, Daten, Server usw. jedem System in der Cloud nach Bedarf bereitgestellt und dabei Zugriff und Verteilung von Diensten über zahlreiche Datenverarbeitungssysteme hinweg gewährt. Cloud-Computing geht üblicherweise mit einer Internet-Verbindung zwischen den Systemen einher, die in der Cloud arbeiten, es können jedoch auch andere Techniken zum Verbinden der Systeme nach dem Stand der Technik verwendet werden.
  • 2 stellt eine typische Hardware-Umgebung gemäß einer Ausführungsform dar, der eine Benutzereinheit 116 und/oder ein Server 114 von 1 zugehörig sind. 2 veranschaulicht eine typische Hardware-Konfiguration eines Arbeitsplatzrechners gemäß mehreren Ausführungsformen, der eine Zentraleinheit (central processing unit, CPU) 210 wie zum Beispiel einen Mikroprozessor und eine Reihe sonstiger Einheiten aufweist, die über einen oder mehrere Busse 212, die verschiedenen Typs sein können, wie zum Beispiel einen lokalen Bus, einen parallelen Bus, einen seriellen Bus usw., miteinander verbunden sind.
  • Der in 2 dargestellte Arbeitsplatzrechner beinhaltet einen Direktzugriffsspeicher (RAM) 214, einen Festwertspeicher (ROM) 216, einen E/A-Adapter 218, um Peripherieeinheiten wie zum Beispiel Plattenspeichereinheiten 220 mit dem einen oder den mehreren Bussen 212 zu verbinden, einen Benutzerschnittstellenadapter 222, um eine Tastatur 224, eine Maus 226, einen Lautsprecher 228, ein Mikrophon 232 und/oder sonstige Benutzerschnittstelleneinheiten wie etwa einen Touchscreen, eine (nicht dargestellte) Digitalkamera usw. mit dem einen oder den mehreren Bussen 212 zu verbinden, einen Datenübertragungsadapter 234, um den Arbeitsplatzrechner mit einem Datenübertragungsnetzwerk 235 (z. B. einem Datenverarbeitungsnetzwerk) zu verbinden, und einen Anzeigeadapter 236, um den einen oder die mehreren Busse 212 mit einer Anzeigeeinheit 238 zu verbinden.
  • Auf dem Arbeitsplatzrechner kann sich ein Betriebssystem wie zum Beispiel das Betriebssystem (operating system, OS) MICROSOFT WINDOWS, ein MAC-OS, ein UNIX-OS usw. befinden. Es versteht sich, dass eine bevorzugte Ausführungsform auch auf anderen als den genannten Plattformen und Betriebssystemen implementiert sein kann. Eine bevorzugte Ausführungsform kann mithilfe von JAVA, XML, C und/oder der Sprache C++ oder sonstigen Programmiersprachen wie auch einer objektorientierten Programmiermethodik geschrieben sein. Es kann objektorientierte Programmierung (OOP) verwendet werden, die zunehmend beim Entwickeln komplexer Anwendungen zum Einsatz kommt.
  • Es wird nun auf 3 Bezug genommen, in der eine Konzeptionsansicht eines Overlay-Netzwerks 300 gemäß einer Ausführungsform dargestellt wird. Das Overlay-Netzwerk kann ein(e) beliebige(n,s) Overlay-Technologie, -Standard oder -Protokoll wie zum Beispiel ein virtuelles erweiterbares lokales Netzwerk (VXLAN), ein verteiltes virtuelles Overlay-Ethernet (DOVE), Netzwerk-Virtualisierung mithilfe von Generic Routing Encapsulation (Network Virtualization using Generic Routing Encapsulation, NVGRE) usw. einsetzen.
  • Um über ein einfaches Bereitstellen eines Strukturdatenübertragungspfades (Konnektivität) zwischen Einheiten hinaus Netzwerkdienste zu virtualisieren, können Dienste für Pakete bereitgestellt werden, wenn sie sich durch das Gateway 314 bewegen, das Routenwahl und Weiterleitung für Pakete bereitstellt, die sich zwischen dem/den nichtvirtuellen Netzwerk(en) 312 und dem virtuellen Netzwerk A 304 und dem virtuellen Netzwerk B 306 bewegen. Das eine oder die mehreren virtuellen Netzwerke 304, 306 bestehen innerhalb einer physischen (realen) Netzwerkinfrastruktur 302. Die Netzwerkinfrastruktur 302 kann beliebige Komponenten, Hardware, Software und/oder Funktionen beinhalten, die üblicherweise einer Netzwerkinfrastruktur zugehörig sind und/oder darin verwendet werden, darunter Switches, Verbindungseinheiten, Drähte, Schaltungen, Kabel, Server, Hosts, Speichermedien, Betriebssysteme, Anwendungen, Anschlüsse, E/A usw., wie sie Fachleuten bekannt wären, ohne auf diese beschränkt zu sein. Diese Netzwerkinfrastruktur 302 unterstützt zumindest ein nichtvirtuelles Netzwerk 312, bei dem es sich um ein Altnetzwerk handeln kann.
  • Jedes virtuelle Netzwerk 304, 306 kann eine beliebige Anzahl von virtuellen Maschinen (VMs) 308, 310 verwenden. Bei einer Ausführungsform beinhaltet das virtuelle Netzwerk A 304 eine oder mehrere VMs 308, und das virtuelle Netzwerk B 306 beinhaltet eine oder mehrere VMs 310. Wie in 3 dargestellt, werden die VMs 308, 310 nicht von den virtuellen Netzwerken 304, 306 gemeinsam genutzt, sondern sind stattdessen jederzeit ausschließlich in nur einem virtuellen Netzwerk 304, 306 enthalten.
  • Gemäß einer Ausführungsform kann das Overlay-Netzwerk 300 eine oder mehrere skalierbare Strukturkomponenten (scalable fabric components, SFCs) mit zellenvermittelter Domäne beinhalten, die mit einer oder mehreren verteilten Leitungskarten (distributed line cards, DLCs) verbunden sind.
  • Durch eine Architektur mit „flachem Switch” kann die Mehrzahl von VMs Daten leicht und effizient durch die Architektur verschieben. Es ist insgesamt für VMs sehr schwierig, Verschiebungen über Layer-3-(L3-)Domänen, zwischen einem Teilnetz und einem anderen Teilnetz, von einem Internet-Protokoll(IP)-Teilnetz zu einem IP-Teilnetz usw. vorzunehmen. Wenn die Architektur jedoch einem großen flachen Switch in einer sehr großen Layer-2-(L2-)Domäne ähnelt, werden die VMs bei ihrem Versuch unterstützt, Daten durch die Architektur zu verschieben.
  • 4 stellt ein vereinfachtes Schaubild eines Systems 400 mit einem Overlay-Netzwerk, das ein DOVE nutzt, gemäß einer Ausführungsform dar. Das System 400 weist eine Switch-Steuereinheit 402 (wie zum Beispiel eine OpenFlow-Steuereinheit), ein IP-Netzwerk 412, das in der Lage ist, Daten mit der Switch-Steuereinheit 402 auszutauschen (in einem Beispiel ist das IP-Netzwerk 412 Open-Flow-fähig und -verwaltet, wobei es sich bei der Switch-Steuereinheit 402 um eine OpenFlow-Steuereinheit handelt), einen Verzeichnisdienst 404 (der Overlayspezifische Module aufweisen kann – wie zum Beispiel ein DOVE-Adressendienstmodul 406 und/oder ein DOVE-Richtliniendienstmodul 408), zumindest eine Sicherheitseinheit 410, eine Mehrzahl von Servern 422 und zumindest ein Overlay-Netzwerk – wie zum Beispiel ein Overlay-Netzwerk 1 414 und/oder ein Overlay-Netzwerk 2 416 auf.
  • Jeder der Server 422 kann einen virtuellen Switch 424 (der in der Lage ist, Daten mit dem Verzeichnisdienst 404 auszutauschen, wie zum Beispiel DOVE-vSwitches, VXLAN-vSwitches usw. in mehreren Beispielen) und eine oder mehrere VMs (mit designierten VMs 418 in dem Overlay-Netzwerk 1 und designierten VMs 420 in dem Overlay-Netzwerk 2) aufweisen. Die Server 422 können auch eine (nicht dargestellte) Virtualisierungsplattform von einem beliebigen Anbieter wie zum Beispiel VMWare ESX, IBM PowerVM, KVM, Hyper-V von Microsoft, Xen usw. einsetzen.
  • Das IP-Netzwerk 412 kann gemäß einer Ausführungsform eine beliebige Anzahl von Switches, Routern, Verbindungen, Kabeln usw. aufweisen, die in jeder beliebigen vorstellbaren Weise angeordnet sind und zumindest in der in 4 dargestellten Anordnung mit den Elementen des Systems 400 verbunden sind. Außerdem ist zumindest ein physischer Switch 426, der in der Lage ist, Daten mit der Switch-Steuereinheit 402 auszutauschen, am Rand des IP-Netzwerks 412 enthalten und mit den Servern 422 verbunden. Wenn zum Beispiel OpenFlow eingesetzt wird, sind die physischen Switches 426 OpenFlow-fähig. Diese Open-Flow-fähigen physischen Switches 426 sind so programmierbar, dass sie verschiedene Pfade für Datenverkehrsflüsse bereitstellen, die durch das IP-Netzwerk 412 gesendet oder empfangen werden. Die OpenFlow-fähigen physischen Switches 426 stehen auch mit dem Verzeichnisdienst 404 entweder direkt oder durch das IP-Netzwerk 412 (wie in 4 dargestellt) in Verbindung.
  • Bei einer weiteren Ausführungsform können beliebige der physischen Switches 426 in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und/oder gesendet werden.
  • Gemäß einer Ausführungsform kann das System 400 (über eine Open-Flow-Steuereinheit 402) OpenFlow-verwaltet werden und kann in Übereinstimmung mit einem DOVE-Verzeichnisdienst 404 so arbeiten, dass es Datenverkehr in solcher Weise effizient steuert, dass eine bestmögliche Anwendung einer Sicherheitsrichtlinie gewährleistet wird.
  • In einem OpenFlow-verwalteten Netzwerk hat die OpenFlow-Steuereinheit 402 Kenntnis von der Netzwerk-Knotenkarte und die Fähigkeit, einen Datenübertragungspfad auszuwählen, damit Pakete programmgestützt weitergeleitet werden. Wenn eine DOVE-VM 418 oder 420 beginnt, Daten mit einer weiteren VM auszutauschen, die sich auf einem anderen physischen Server 422 befindet, fragt der virtuelle DOVE-Switch 424 auf dem physischen Quell-Server 422 die DOVE-Steuereinheit 404 ab, um den Standort des physischen Servers 422 und die Sicherheitsrichtlinie (wie durch das DOVE-Richtliniendienstmodul 408 gesteuert) zu ermitteln, die zwischen den beiden VMs anzuwenden ist. Daher hat die DOVE-Steuereinheit 404 nun Kenntnis darüber, dass diese beiden VMs beginnen werden, Daten auszutauschen, und kennt außerdem die Sicherheitsrichtlinie, die zwischen diesen beiden VMs anzuwenden ist. Wenn die Sicherheitsrichtlinie vorschreibt, dass der Datenverkehr zwischen den beiden VMs durch eine Sicherheitseinheit 410 geleitet werden sollte, kann der DOVE-Verzeichnisdienst 404 der OpenFlow-Steuereinheit 402 direkt mitteilen, die Netzwerkknoten so zu programmieren, dass der Datenübertragungspfad zwischen den beiden VMs durch die Sicherheitseinheit 410 führt.
  • Die OpenFlow-fähigen physischen Switches 426 können bei einigen Ausführungsformen eine Route eines Pakets durch das System 400 auf Grundlage von Werten eines DOVE-Headers und eines inneren Nutzdaten-Headers jedes Pakets festlegen. Wenn der innere Nutzdaten-Header eines Pakets angibt, dass das Paket eine Anwendung einer Sicherheitsrichtlinie erhalten sollte, können die Open-Flow-fähigen Switches 426 einen Datenübertragungspfad von der OpenFlow-Steuereinheit 402 anfordern, der dazu führt, dass das Paket durch die Sicherheitseinheit 410 geleitet wird; oder bei einer anderen Ausführungsform ist es möglich, dass die OpenFlow-fähigen Switches 426 auf diese Angaben zugreifen können, sodass jeder Switch 426 nach einer Initialisierungsprozedur die Route ohne Unterstützung der OpenFlow-Steuereinheit 402 festlegen kann. Der Verarbeitungsaufwand, der für diesen Vorgang erbracht wird, kann verringert werden, indem Markierungen in dem DOVE-Header angegeben werden, um Pakete zu identifizieren, die eine Anwendung einer Sicherheitsrichtlinie benötigen, sodass die Open-Flow-fähigen Switches 426 den inneren Nutzdaten-Header nicht untersuchen, um diese Feststellung zu machen. Selbstverständlich kann diese Prozedur auch auf andere Overlay-Technologien wie zum Beispiel VXLAN, NVGRE usw. angewandt werden.
  • Jeder der physischen Switches 426, der Switch-Steuereinheit 402, der Server 422 und der Sicherheitseinheit 410 kann zumindest einen Prozessor zum Ausführen von Logik aufweisen, wie zum Beispiel eine Zentraleinheit (CPU), ein feldprogrammierbares Gate-Array (field programmable gate array, FPGA), eine integrierte Schaltung (integrated circuit, IC), eine anwendungsspezifische integrierte Schaltung (application specific integrated circuit, ASIC) oder einen oder mehrere sonstige geeignete Prozessoren nach dem Stand der Technik.
  • Gemäß einer Ausführungsform können Zugriffssteuerungslisten (access control lists, ACLs) auf die Server oder physischen Switches 426, die Switch-Steuereinheit oder OpenFlow-Steuereinheit 402 oder anderswo in dem System 400 angewandt werden, um eingehende Overlay-gekapselte Pakete an die Sicherheitseinheit 410 zu leiten. Nach Aktivierung einer solchen ACL an einem Anschluss einer beliebigen Einheit werden jegliche Pakete, die an dem Anschluss mit aktivierter ACL empfangen werden, durch die Sicherheitseinheit 410 geleitet. Anschließend kann die Sicherheitseinheit 410 eine Kette von Diensten implementieren.
  • Auf den Datenverkehr können jegliche Dienste nach dem Stand der Technik wie zum Beispiel Firewall-Dienste, Dienste von Abwehrsystemen gegen Eingriffe von außen (IPS), Dienste von Warnsystemen gegen Angriffe von außen (IDS), IPS/IDS-Dienste, Server-Lastausgleichsdienste, LAN-Optimierungsdienste, VPN-Dienste, Videooptimierungsdienste, Dienste zur Netzwerkadressenumsetzung (network address translation, NAT), Verschlüsselungsdienste, Entschlüsselungsdienste usw. neben zahlreichen sonstigen Möglichkeiten angewendet werden, die einem Fachmann bekannt wären. Jeder dieser Dienste kann beim Initiieren der Sicherheitseinheit 410 unabhängig aktiviert, unabhängig umgangen oder manuell gewählt werden, wie es von einem Systemadministrator gewünscht wird.
  • Bei mit dem L3 User Datagram Protocol/Internet Protocol (UDP/IP) gekapseltem Datenverkehr, der von einem Overlay-Netzwerk (wie zum Beispiel dem Overlay-Netzwerk 1 414, dem Overlay-Netzwerk 2 416 usw.) an ein nichtvirtualisiertes Altnetzwerk (wie zum Beispiel das IP-Netzwerk 412) oder an eine weitere Einrichtung gesendet wird, die in der Lage ist, getunnelten Datenverkehr zu empfangen, kann die Sicherheitseinheit 410 vor dem Übermitteln des Pakets an die Zieleinheit durch Empfangen innerer Pakete, die aus Overlay-gekapselten Paketen entkapselt worden sind, Dienste anwenden.
  • Unter Bezugnahme auf 5 wird ein Zeitablauf einer Datenübertragung zwischen einer Quelle, dazwischenliegenden Einheiten und einem Ziel für ein Paket gemäß einer Ausführungsform dargestellt. Es wird angenommen, dass es sich bei einer VM1 um eine Quelle eines Pakets handelt und es sich bei einer VM2 um ein Ziel des Pakets handelt. Zunächst sendet die VM1 eine Address-Resolution-Protocol(ARP)-Anforderung 502 an den physischen ServerA, der Hosting für die VM1 bereitstellt. Anschließend sendet der physische ServerA an die Steuereinheit für das virtuelle Netzwerk (wie zum Beispiel einen DOVE-Richtlinien-Server/-Verzeichnisdienst) eine Anforderung 504 der Zieladresse, die der ARP-Anforderung zugehörig ist. Die Steuereinheit für das virtuelle Netzwerk antwortet 506 dann dem physischen ServerA mit der Adresse für die VM2 auf dem physischen ServerB. Außerdem informiert 508 die Steuereinheit für das virtuelle Netzwerk den physischen ServerB über das Vorhandensein der VM1 auf dem physischen ServerA.
  • Dann antwortet 510 der physische ServerA auf die ARP-Anforderung mit Daten über die Zieladresse für das Paket. Die VM1 auf dem ServerA versendet dann das Paket 512 zur Übermittlung an die VM2. Der physische ServerA stellt Overlay-Funktionen (Kapselung und Tunneln an den physischen ServerB) für das Paket bereit und sendet das gekapselte Paket 514 an den physischen ServerB. Anschließend stellt der physische ServerB Overlay-Funktionen (Tunnelendpunkt und Entkapselung) für das Paket bereit und sendet das entkapselte Paket 516 an die VM2 auf dem ServerB.
  • Nachdem diese Beziehung hergestellt worden ist, ist es leichter, Pakete entweder von der VM1 oder der VM2 über das Overlay-Netzwerk zu senden. Wenn zum Beispiel die VM2 auf dem ServerB ein Paket an die VM1 auf dem ServerA senden soll, wird eine ARP-Anforderung 518 an den physischen ServerB gesendet, der physische ServerB antwortet (da ihm die Daten der VM1 auf dem ServerA bereits bekannt sind) 520 mit den Daten der VM1, die VM2 auf dem ServerB sendet das Paket 522, der physische ServerB stellt Overlay-Funktionen für das Paket bereit und übermittelt 524 das gekapselte Paket an den physischen ServerA, und der physische ServerA übermittelt 526 das entkapselte Paket an die VM1 auf dem ServerA.
  • Unter Bezugnahme auf 6 werden Paket-Header in verschiedenen Stadien einer Paketweiterleitung gemäß einer Ausführungsform dargestellt. Es wird ein Paket 600 dargestellt, das Nutzdaten, einen IP-Header, eine Quell-Medienzugriffsadresse (source media access address, SMAC) und eine Ziel-MAC (DMAC) aufweist. Dieses Paket kann auf einer Quell-VM oder einer beliebigen sonstigen Einheit erzeugt werden, die in der Lage ist, Pakete zu erzeugen. Nachdem das Paket 600 an einem ersten Overlay-aktivierten (oder -fähigen) Switch eingetroffen ist, wird es mit einem Header 604 gekapselt, um es an einen zweiten Overlay-aktivierten Switch zu tunneln, der der Ziel-VM am nächsten ist. Der Tunnel-Header 604 beinhaltet einen Overlay-Header, einen UDP-Header, einen IP-Header und einen Ethernet-Header. Dieses gekapselte Paket kann anschließend so durch das IP-Netzwerk getunnelt werden, dass es bei dem zweiten Overlay-aktivierten Switch eintrifft, wo es entkapselt und an die Ziel-VM übermittelt wird.
  • Der Overlay-Header wird auch ausführlicher mit einer virtuellen Netzwerkkennung (VNID) oder eine DOVE-Domänen- oder Gruppen-ID, die mit einer Größe von 24 Bit dargestellt wird, zusammen mit sonstigen reservierten Feldern dargestellt, wie einem Fachmann verständlich wäre. Hier muss beachtet werden, dass bei einer Ausführungsform dieser Header ein Bit oder ein Feld beinhalten kann, das angeben kann, dass das Paket eine Anwendung einer Sicherheitsrichtlinie erhalten soll, sodass das Paket durch eine Sicherheitseinheit in dem IP-Netzwerk geleitet wird, bevor es bei der Ziel-VM eintrifft.
  • Es wird nun auf 7 Bezug genommen, in der ein Ablaufplan eines Verfahrens 700 gemäß einer Ausführungsform dargestellt wird. Das Verfahren 700 kann in verschiedenen Ausführungsformen unter anderem in einer beliebigen der in 1 bis 6 dargestellten Umgebungen gemäß der vorliegenden Erfindung durchgeführt werden. Natürlich können mehr oder weniger Vorgänge als diejenigen, die in 7 ausdrücklich beschrieben werden, in dem Verfahren 700 enthalten sein, wie einem Fachmann beim Lesen der vorliegenden Beschreibungen ersichtlich würde.
  • Jeder der Schritte des Verfahrens 700 kann durch eine beliebige geeignete Komponente der Betriebsumgebung durchgeführt werden. Beispielsweise kann das Verfahren 700 bei einer Ausführungsform in verschiedenen Ansätzen teilweise oder vollständig durch eine Switch-Steuereinheit, eine Steuereinheit für das virtuelle Netzwerk wie etwa eine DOVE-Steuereinheit, eine Overlay-fähige Netzwerkeinheit, einen Prozessor (wie etwa eine CPU, eine ASIC, ein FPGA usw.), ein Gateway, einen OpenFlow-fähigen Switch, eine OpenFlow-Steuereinheit oder eine sonstige geeignete Einheit durchgeführt werden.
  • Wie in 7 dargestellt, kann das Verfahren 700 mit einem Vorgang 702 beginnen, in dem eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfangen wird. Die Anforderung kann von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet werden, und der erste physische Switch kann mit einer Quelle des Pakets verbunden sein. Bei einem Ansatz kann die Anforderung zumindest aufweisen: ein Paket, erste Daten und zweite Daten. Bei einem alternativen Ansatz kann die Anforderung nur die ersten und die zweiten Daten zusammen mit einigen Header-Daten aus dem Paket beinhalten.
  • Bei einer Ausführungsform können die ersten Daten zumindest eine Adresse einer Quell-VM aufweisen, die das Paket erzeugt hat. In diesem Fall handelt es sich bei der Quelle des Pakets um die Quell-VM. Bei einer weiteren Ausführungsform können die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen, sie können jedoch auch Adressdaten für das Ziel des Pakets beinhalten, das mit dem zweiten physischen Switch verbunden sein kann.
  • In dem Vorgang 704 wird ein zweiter physischer Switch ermittelt, der mit einem Ziel des Pakets verbunden ist. Bei einer Ausführungsform wird ein Ziel des Pakets ermittelt, und aus diesen Daten kann ein zweiter physischer Switch ermittelt werden, der am nächsten mit dem Ziel des Pakets verbunden ist.
  • Bei einem Ansatz kann nur ein physischer Switch vorhanden sein, mit dem sowohl die Quelle als auch das Ziel verbunden sind, z. B. kann es sich bei dem ersten und dem zweiten physischen Switch um denselben Switch handeln.
  • Gemäß einer Ausführungsform können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden, z. B. sind sie Overlay-fähige Switches. Es können beliebige Overlay-Protokolle und/oder -Technologien oder -Standards wie zum Beispiel VXLAN, DOVE, NVGRE usw. verwendet werden.
  • In dem Vorgang 706 wird auf Grundlage zumindest eines von: einem Inhalt des Pakets (der Header-Daten wie zum Beispiel Nutzdaten, einen Overlay-Header, einen inneren Paket-Header, UDP/IP-Header usw. beinhalten kann), den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  • In dem Vorgang 708 wird ein Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch ausgewählt. Bei einem Ansatz verbindet der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist. Bei einem weiteren Ansatz verbindet der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  • In dem Vorgang 710 wird der ausgewählte Datenübertragungspfad so an den ersten physischen Switch gesendet, dass der erste physische Switch den ausgewählten Datenübertragungspfad beim Senden von Datenverkehr von der Quelle des Pakets an das Ziel des Pakets implementieren kann.
  • Bei einer weiteren Ausführungsform kann eine Switch-Steuereinheit angewiesen werden, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
  • Bei einem Ansatz kann der erste physische Switch mit zumindest einem ersten Server verbunden sein, der Hosting für zumindest eine Quell-VM bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, der zweite physische Switch kann mit zumindest einem zweiten Server verbunden sein, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und der Vorgang 706, in dem ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann des Weiteren, wenn ermittelt wird, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, ein Ermitteln, dass die Sicherheitsrichtlinie nicht anzuwenden ist, oder wenn ermittelt wird, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, ein Ermitteln aufweisen, dass die Sicherheitsrichtlinie anzuwenden ist.
  • Bei einem weiteren Ansatz kann der Vorgang 706, in dem ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, des Weiteren ein Anwenden von ACLs auf das Paket so aufweisen, dass ermittelt wird, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  • Gemäß einem Ansatz kann die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch eine Sicherheitseinheit steuern. Es können beliebige Dienste oder Sicherheitsrichtlinien verwendet werden, wie zum Beispiel: Firewall-Dienste, IPS, IDS, Server-Lastausgleichsdienste, VPN-Dienste, Videooptimierungsdienste und/oder WAN-Optimierungsdienste usw.
  • Gemäß verschiedenen Ausführungsformen kann das Verfahren 700 in einem System oder einem Computerprogrammprodukt implementiert werden, wie einem Fachmann beim Lesen der vorliegenden Beschreibungen ersichtlich würde.
  • Bei einer solchen Ausführungsform kann ein System ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet, eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht, eine Sicherheitseinheit, die zum Anwenden einer Sicherheitsrichtlinie auf Pakete gestaltet ist, die über das Overlay-Netzwerk dorthin gesendet werden, zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine Quell-VM bereitstellt, zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt, und eine Steuereinheit für das virtuelle Netzwerk beinhalten, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht. Bei einem Ansatz kann nur ein physischer Switch vorhanden sein, mit dem sowohl die Quelle (der erste Server, der Hosting für die Quell-VM bereitstellt) als auch das Ziel (der zweite Server, der Hosting für die Ziel-VM bereitstellt) verbunden sind.
  • Die Steuereinheit für das virtuelle Netzwerk kann aufweisen: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest beinhaltet: ein Paket, erste Daten über die Quell-VM, die das Paket erzeugt hat, und zweite Daten über ein Ziel des Pakets. Die Steuereinheit für das virtuelle Netzwerk kann des Weiteren eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist, eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und eine Logik aufweisen, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Des Weiteren kann die Steuereinheit für das virtuelle Netzwerk in verschiedenen Ansätzen ferner eine Logik aufweisen, die so gestaltet ist, dass sie die Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quell-VM und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden; die ersten Daten können zumindest eine Adresse der Quell-VM aufweisen; die zweiten Daten können zumindest eine Adresse des zweiten physischen Switch aufweisen; und/oder die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann aufweisen: eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist, und eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
  • In noch weiteren verschiedenen Ansätzen können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden; die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann eine Logik aufweisen, die so gestaltet ist, dass sie ACLs auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und/oder die Sicherheitsrichtlinie kann eine Anwendung eines oder mehrerer Dienste durch die Sicherheitseinheit steuern. Es können beliebige Dienste oder Sicherheitsrichtlinien verwendet werden, wie zum Beispiel: Firewall-Dienste, IPS, IDS, Server-Lastausgleichsdienste, VPN-Dienste, Videooptimierungsdienste und/oder WAN-Optimierungsdienste usw.
  • Bei einer weiteren beispielhaften Ausführungsform kann ein Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk ein computerlesbares Speichermedium aufweisen, in dem computerlesbarer Programmcode verkörpert ist. Der computerlesbare Programmcode kann einen computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest ein Paket, erste Daten und zweite Daten beinhaltet, computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist, computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist, und computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  • Gemäß verschiedenen Ausführungsformen kann das Computerprogrammprodukt des Weiteren computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er eine Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden; die ersten Daten können zumindest eine Adresse einer Quell-VM aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist; und/oder die zweiten Daten können zumindest eine Adresse des zweiten physischen Switch aufweisen.
  • Bei einer weiteren Ausführungsform kann der erste physische Switch mit zumindest einem ersten Server verbunden sein, der Hosting für zumindest eine Quell-VM bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, der zweite physische Switch kann mit zumindest einem zweiten Server verbunden sein, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann aufweisen: computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist, und computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
  • In weiteren Ansätzen können der erste und der zweite physische Switch in der Lage sein, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden, und/oder der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, kann computerlesbaren Programmcode aufweisen, der so gestaltet ist, dass er ACLs auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  • Oben sind zwar verschiedene Ausführungsformen beschrieben worden, es versteht sich jedoch, dass sie lediglich als Beispiel und nicht als Beschränkung dargestellt worden sind. Folglich sollen die Breite und der Umfang einer Ausführungsform der vorliegenden Erfindung nicht durch jegliche der oben beschriebenen beispielhaften Ausführungsformen beschränkt werden, sondern sie sollen nur in Übereinstimmung mit den folgenden Ansprüchen und ihren Entsprechungen definiert werden.

Claims (25)

  1. Verfahren zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk, wobei das Verfahren aufweist: Empfangen einer Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest aufweist: ein Paket; erste Daten; und zweite Daten; Ermitteln eines zweiten physischen Switch, der mit einem Ziel des Pakets verbunden ist; Ermitteln auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; Auswählen eines Datenübertragungspfades zwischen dem ersten physischen Switch und dem zweiten physischen Switch, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und Senden des ausgewählten Datenübertragungspfades an den ersten physischen Switch.
  2. Verfahren nach Anspruch 1, das des Weiteren ein Anweisen einer Switch-Steuereinheit aufweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
  3. Verfahren nach Anspruch 1, wobei die ersten Daten zumindest eine Adresse einer virtuellen Quellmaschine (VM) aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist.
  4. Verfahren nach Anspruch 1, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
  5. Verfahren nach Anspruch 1, wobei der erste physische Switch mit zumindest einem ersten Server verbunden ist, der Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, wobei der zweite physische Switch mit zumindest einem zweiten Server verbunden ist, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und wobei das Ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: Ermitteln, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und Ermitteln, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und Ermitteln, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und Ermitteln, dass die Sicherheitsrichtlinie anzuwenden ist.
  6. Verfahren nach Anspruch 1, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
  7. Verfahren nach Anspruch 1, wobei das Ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: Anwenden von Zugriffssteuerungslisten (ACLs) auf das Paket, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  8. Verfahren nach Anspruch 1, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch eine Sicherheitseinheit steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
  9. System, das aufweist: ein Overlay-Netzwerk, das einen ersten physischen Switch mit einem zweiten physischen Switch verbindet; eine Switch-Steuereinheit, die mit dem ersten physischen Switch und dem zweiten physischen Switch in Verbindung steht; eine Sicherheitseinheit, die so gestaltet ist, dass sie eine Sicherheitsrichtlinie auf Pakete anwendet, die über das Overlay-Netzwerk dorthin gesendet werden; zumindest einen ersten Server, der mit dem ersten physischen Switch verbunden ist, wobei der erste Server Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt; zumindest einen zweiten Server, der mit dem zweiten physischen Switch verbunden ist, wobei der zweite Server Hosting für zumindest eine Ziel-VM bereitstellt; und eine Steuereinheit für ein virtuelles Netzwerk, die zumindest mit dem ersten physischen Switch, dem zweiten physischen Switch und dem Overlay-Netzwerk in Verbindung steht, wobei die Steuereinheit für das virtuelle Netzwerk aufweist: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch das Overlay-Netzwerk empfängt, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest aufweist: ein Paket; erste Daten über die Quell-VM, die das Paket erzeugt hat; und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist; eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  10. System nach Anspruch 9, wobei die Steuereinheit für das virtuelle Netzwerk des Weiteren eine Logik aufweist, die so gestaltet ist, dass sie die Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quell-VM und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
  11. System nach Anspruch 9, wobei die ersten Daten zumindest eine Adresse der Quell-VM aufweisen.
  12. System nach Anspruch 9, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
  13. System nach Anspruch 9, wobei die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
  14. System nach Anspruch 9, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
  15. System nach Anspruch 9, wobei die Logik, die so gestaltet ist, dass sie ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: eine Logik, die so gestaltet ist, dass sie Zugriffssteuerungslisten (ACLs) auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  16. System nach Anspruch 9, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste durch die Sicherheitseinheit steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
  17. Computerprogrammprodukt zum Anwenden einer Sicherheitsrichtlinie in einem Overlay-Netzwerk, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium aufweist, auf dem computerlesbarer Programmcode verkörpert ist, wobei der computerlesbare Programmcode aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, wobei die Anforderung von einem ersten physischen Switch in dem Overlay-Netzwerk gesendet wird, wobei der erste physische Switch mit einer Quelle des Pakets verbunden ist, und wobei die Anforderung zumindest aufweist: ein Paket; erste Daten; und zweite Daten; computerlesbaren Programmcode, der so gestaltet ist, dass er einen zweiten physischen Switch ermittelt, der mit einem Ziel des Pakets verbunden ist; computerlesbaren Programmcode, der so gestaltet ist, dass er auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; computerlesbaren Programmcode, der so gestaltet ist, dass er einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über die Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und computerlesbaren Programmcode, der so gestaltet ist, dass er den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet.
  18. Computerprogrammprodukt nach Anspruch 17, das des Weiteren einen computerlesbaren Programmcode aufweist, der so gestaltet ist, dass er eine Switch-Steuereinheit anweist, Overlay-Netzwerkknoten so zu programmieren, dass jegliche Pakete, die zwischen der Quelle des Pakets und dem Ziel des Pakets übertragen werden, entlang des ausgewählten Datenübertragungspfades geleitet werden.
  19. Computerprogrammprodukt nach Anspruch 17, wobei die ersten Daten zumindest eine Adresse einer virtuellen Quellmaschine (VM) aufweisen, die das Paket erzeugt hat, und wobei die Quelle des Pakets die Quell-VM ist.
  20. Computerprogrammprodukt nach Anspruch 17, wobei die zweiten Daten zumindest eine Adresse des zweiten physischen Switch aufweisen.
  21. Computerprogrammprodukt nach Anspruch 17, wobei der erste physische Switch mit zumindest einem ersten Server verbunden ist, der Hosting für zumindest eine virtuelle Quellmaschine (VM) bereitstellt, die das Paket erzeugt hat und die Quelle des Pakets ist, wobei der zweite physische Switch mit zumindest einem zweiten Server verbunden ist, der Hosting für zumindest eine Ziel-VM bereitstellt, die das Ziel des Pakets ist, und wobei der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie nicht anzuwenden ist; und computerlesbaren Programmcode, der so gestaltet ist, dass er ermittelt, dass sich die Quell-VM und die Ziel-VM nicht in einer gemeinsamen Gruppe oder Domäne befinden, und ermittelt, dass die Sicherheitsrichtlinie anzuwenden ist.
  22. Computerprogrammprodukt nach Anspruch 17, wobei der erste und der zweite physische Switch in der Lage sind, Overlay-Funktionen für Pakete bereitzustellen, die durch jeden Switch empfangen und gesendet werden.
  23. Computerprogrammprodukt nach Anspruch 17, wobei der computerlesbare Programmcode, der so gestaltet ist, dass er ermittelt, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist, aufweist: computerlesbaren Programmcode, der so gestaltet ist, dass er Zugriffssteuerungslisten (ACLs) auf das Paket anwendet, um zu ermitteln, ob die Sicherheitsrichtlinie auf das Paket anzuwenden ist.
  24. Computerprogrammprodukt nach Anspruch 17, wobei die Sicherheitsrichtlinie eine Anwendung eines oder mehrerer Dienste steuert, wobei die Dienste beinhalten: Firewall-Dienste; Abwehrdienste gegen Angriffe von außen (IPS); Warndienste gegen Angriffe von außen (IDS); Server-Lastausgleichsdienste; Dienste für virtuelle private Netzwerke (VPN); Videooptimierungsdienste; und Optimierungsdienste für Weitverkehrs-Netzwerke (WAN).
  25. Steuereinheit für das virtuelle Netzwerk, die aufweist: eine Logik, die so gestaltet ist, dass sie eine Anforderung eines Datenübertragungspfades durch ein Overlay-Netzwerk empfängt, der einen ersten physischen Switch und einen zweiten physischen Switch verbindet, wobei die Anforderung von dem ersten physischen Switch gesendet wird und zumindest aufweist: ein Paket; erste Daten über eine Quelle des Pakets; und zweite Daten über ein Ziel des Pakets; eine Logik, die so gestaltet ist, dass sie das Ziel des Pakets ermittelt, das mit dem zweiten physischen Switch verbunden ist; eine Logik, die so gestaltet ist, dass sie auf Grundlage zumindest eines von: einem Inhalt des Pakets, den ersten Daten und den zweiten Daten ermittelt, ob eine Sicherheitsrichtlinie auf das Paket anzuwenden ist; eine Logik, die so gestaltet ist, dass sie einen Datenübertragungspfad zwischen dem ersten physischen Switch und dem zweiten physischen Switch auswählt, wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch direkt mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie nicht auf das Paket anzuwenden ist, und wobei der ausgewählte Datenübertragungspfad den ersten physischen Switch über eine Sicherheitseinheit mit dem zweiten physischen Switch verbindet, wenn ermittelt wird, dass die Sicherheitsrichtlinie auf das Paket anzuwenden ist; und eine Logik, die so gestaltet ist, dass sie den ausgewählten Datenübertragungspfad an den ersten physischen Switch sendet, wobei die Steuereinheit für das virtuelle Netzwerk Standards des verteilten virtuellen Overlay-Ethernet (DOVE) einhält.
DE112013004828.0T 2012-10-01 2013-09-26 Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr Pending DE112013004828T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/633,043 US9178715B2 (en) 2012-10-01 2012-10-01 Providing services to virtual overlay network traffic
US13/633,043 2012-10-01
PCT/CN2013/084248 WO2014053092A1 (en) 2012-10-01 2013-09-26 Providing services to virtual overlay network traffic

Publications (1)

Publication Number Publication Date
DE112013004828T5 true DE112013004828T5 (de) 2015-08-20

Family

ID=50386579

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013004828.0T Pending DE112013004828T5 (de) 2012-10-01 2013-09-26 Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr

Country Status (6)

Country Link
US (2) US9178715B2 (de)
JP (1) JP5951139B2 (de)
CN (1) CN104685500B (de)
DE (1) DE112013004828T5 (de)
GB (1) GB2521572B (de)
WO (1) WO2014053092A1 (de)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9178715B2 (en) 2012-10-01 2015-11-03 International Business Machines Corporation Providing services to virtual overlay network traffic
US9049115B2 (en) * 2012-12-13 2015-06-02 Cisco Technology, Inc. Enabling virtual workloads using overlay technologies to interoperate with physical network services
US9350558B2 (en) * 2013-01-09 2016-05-24 Dell Products L.P. Systems and methods for providing multicast routing in an overlay network
CN103973578B (zh) * 2013-01-31 2018-06-19 新华三技术有限公司 一种虚拟机流量重定向的方法及装置
CN105684365B (zh) * 2013-02-12 2020-03-24 慧与发展有限责任合伙企业 利用软件定义流映射和虚拟化的网络功能的网络控制
US10536330B2 (en) * 2013-04-03 2020-01-14 Nokia Solutions And Networks Gmbh & Co. Kg Highly dynamic authorisation of concurrent usage of separated controllers
CN104113459A (zh) 2013-04-16 2014-10-22 杭州华三通信技术有限公司 一种evi网络中虚拟机平滑迁移方法和装置
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
CN104283756B (zh) * 2013-07-02 2017-12-15 新华三技术有限公司 一种实现分布式多租户虚拟网络的方法和装置
US9130775B2 (en) * 2013-07-10 2015-09-08 Cisco Technology, Inc. Support for virtual extensible local area network segments across multiple data center sites
WO2015069576A1 (en) * 2013-11-05 2015-05-14 Cisco Technology, Inc. Network fabric overlay
US9397946B1 (en) 2013-11-05 2016-07-19 Cisco Technology, Inc. Forwarding to clusters of service nodes
US10778584B2 (en) 2013-11-05 2020-09-15 Cisco Technology, Inc. System and method for multi-path load balancing in network fabrics
US9655232B2 (en) 2013-11-05 2017-05-16 Cisco Technology, Inc. Spanning tree protocol (STP) optimization techniques
US9502111B2 (en) 2013-11-05 2016-11-22 Cisco Technology, Inc. Weighted equal cost multipath routing
US9374294B1 (en) 2013-11-05 2016-06-21 Cisco Technology, Inc. On-demand learning in overlay networks
US9888405B2 (en) 2013-11-05 2018-02-06 Cisco Technology, Inc. Networking apparatuses and packet statistic determination methods employing atomic counters
US9769078B2 (en) 2013-11-05 2017-09-19 Cisco Technology, Inc. Dynamic flowlet prioritization
US10951522B2 (en) 2013-11-05 2021-03-16 Cisco Technology, Inc. IP-based forwarding of bridged and routed IP packets and unicast ARP
US9825857B2 (en) 2013-11-05 2017-11-21 Cisco Technology, Inc. Method for increasing Layer-3 longest prefix match scale
US9876711B2 (en) 2013-11-05 2018-01-23 Cisco Technology, Inc. Source address translation in overlay networks
US9674086B2 (en) 2013-11-05 2017-06-06 Cisco Technology, Inc. Work conserving schedular based on ranking
US20150180769A1 (en) * 2013-12-20 2015-06-25 Alcatel-Lucent Usa Inc. Scale-up of sdn control plane using virtual switch based overlay
US9392015B2 (en) * 2014-04-28 2016-07-12 Sophos Limited Advanced persistent threat detection
US10122753B2 (en) 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
US9634867B2 (en) * 2014-05-02 2017-04-25 Futurewei Technologies, Inc. Computing service chain-aware paths
CN105284083B (zh) * 2014-05-21 2018-10-19 华为技术有限公司 OpenFlow设备与IP网络设备通信的方法、装置和系统
CN105100026B (zh) * 2014-05-22 2018-07-20 新华三技术有限公司 一种报文安全转发方法及装置
KR101583325B1 (ko) * 2014-08-12 2016-01-07 주식회사 구버넷 가상 패킷을 처리하는 네트워크 인터페이스 장치 및 그 방법
US10257095B2 (en) 2014-09-30 2019-04-09 Nicira, Inc. Dynamically adjusting load balancing
US11722367B2 (en) 2014-09-30 2023-08-08 Nicira, Inc. Method and apparatus for providing a service with a plurality of service nodes
US11296930B2 (en) 2014-09-30 2022-04-05 Nicira, Inc. Tunnel-enabled elastic service model
JP2016082344A (ja) * 2014-10-15 2016-05-16 日本電気株式会社 制御装置、情報処理システム、制御方法、及び、プログラム
CN105591865A (zh) * 2014-10-21 2016-05-18 中兴通讯股份有限公司 虚拟网络实现的方法、nve、nva装置及系统
WO2016097757A1 (en) 2014-12-18 2016-06-23 Sophos Limited A method and system for network access control based on traffic monitoring and vulnerability detection using process related information
US9967231B2 (en) * 2015-03-18 2018-05-08 Cisco Technology, Inc. Inter-pod traffic redirection and handling in a multi-pod network environment
JP6441721B2 (ja) * 2015-03-24 2018-12-19 株式会社エヌ・ティ・ティ・データ 制御装置、制御方法及びプログラム
US10594743B2 (en) 2015-04-03 2020-03-17 Nicira, Inc. Method, apparatus, and system for implementing a content switch
US20160365578A1 (en) * 2015-06-12 2016-12-15 Sharp Kabushiki Kaisha Sodium transition metal silicate and method of forming same
CN106385365B (zh) 2015-08-07 2019-09-06 新华三技术有限公司 基于开放流Openflow表实现云平台安全的方法和装置
WO2017184758A1 (en) * 2016-04-20 2017-10-26 Brocade Communications Systems, Inc. Communication framework for a federation of network controllers
US10027746B2 (en) 2016-05-26 2018-07-17 International Business Machines Corporation Mechanism for overlay virtual networking
JP6772751B2 (ja) * 2016-10-14 2020-10-21 富士通株式会社 設定方法及びサーバ装置
CN106790263A (zh) * 2017-02-08 2017-05-31 佛山易识科技有限公司 一种智能的敏感及私密数据传输保护方法
CN106899405A (zh) * 2017-03-13 2017-06-27 佛山易识科技有限公司 一种智能的敏感及私密数据传输保护方法
US10476910B2 (en) 2017-06-21 2019-11-12 Mastercard International Incorporated Systems and methods for secure network communication
CN107612827A (zh) * 2017-10-11 2018-01-19 郑州云海信息技术有限公司 一种提高异地数据中心vxlan网络质量的方法和装置
US10805181B2 (en) 2017-10-29 2020-10-13 Nicira, Inc. Service operation chaining
US10757077B2 (en) 2017-11-15 2020-08-25 Nicira, Inc. Stateful connection policy filtering
US11012420B2 (en) * 2017-11-15 2021-05-18 Nicira, Inc. Third-party service chaining using packet encapsulation in a flow-based forwarding element
US10708229B2 (en) 2017-11-15 2020-07-07 Nicira, Inc. Packet induced revalidation of connection tracker
US10797910B2 (en) 2018-01-26 2020-10-06 Nicira, Inc. Specifying and utilizing paths through a network
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
US11178071B2 (en) 2018-07-05 2021-11-16 Cisco Technology, Inc. Multisite interconnect and policy with switching fabrics
JP7003884B2 (ja) 2018-09-14 2022-01-21 株式会社デンソー 車両用中継装置
CN109525582B (zh) * 2018-11-19 2021-07-30 北京六方云信息技术有限公司 报文处理方法、系统及存储介质
US10999197B2 (en) * 2018-11-30 2021-05-04 Cisco Technology, Inc. End-to-end identity-aware routing across multiple administrative domains
US11036538B2 (en) 2019-02-22 2021-06-15 Vmware, Inc. Providing services with service VM mobility
US11184325B2 (en) 2019-06-04 2021-11-23 Cisco Technology, Inc. Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
CN110247908A (zh) * 2019-06-11 2019-09-17 优刻得科技股份有限公司 基于可编程网络交换技术的数据发送的方法、装置和系统
US11171992B2 (en) * 2019-07-29 2021-11-09 Cisco Technology, Inc. System resource management in self-healing networks
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11283717B2 (en) 2019-10-30 2022-03-22 Vmware, Inc. Distributed fault tolerant service chain
US11223494B2 (en) 2020-01-13 2022-01-11 Vmware, Inc. Service insertion for multicast traffic at boundary
US11659061B2 (en) 2020-01-20 2023-05-23 Vmware, Inc. Method of adjusting service function chains to improve network performance
US11153406B2 (en) 2020-01-20 2021-10-19 Vmware, Inc. Method of network performance visualization of service function chains
US11792112B2 (en) 2020-04-06 2023-10-17 Vmware, Inc. Using service planes to perform services at the edge of a network
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11611625B2 (en) 2020-12-15 2023-03-21 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11310146B1 (en) * 2021-03-27 2022-04-19 Netflow, UAB System and method for optimal multiserver VPN routing
CN113660158B (zh) * 2021-08-05 2023-06-30 北京网聚云联科技有限公司 Overlay虚拟链路动态路由的调度方法、服务器及存储介质
CN115242788A (zh) * 2022-07-27 2022-10-25 广东浪潮智慧计算技术有限公司 一种流量数据控制方法、装置、介质

Family Cites Families (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0193838B1 (de) 1985-03-04 1989-05-03 Siemens Aktiengesellschaft Brenneranordnung für Feuerungsanlagen, insbesondere für Brennkammern von Gasturbinenanlagen sowie Verfahren zu ihrem Betrieb
JP3599552B2 (ja) * 1998-01-19 2004-12-08 株式会社日立製作所 パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
ATE326805T1 (de) 2000-06-15 2006-06-15 Ericsson Telefon Ab L M Verfahren und anordnungen in einem telekommunikationssystem
US7043231B2 (en) 2000-09-22 2006-05-09 Ericsson Inc. System, method and apparatus for polling telecommunications nodes for real-time information
US20020037709A1 (en) 2000-09-22 2002-03-28 Ranjit Bhatia System, method and apparatus for facilitating the receipt of realtime information from telecommunications nodes
US20020141386A1 (en) * 2001-03-29 2002-10-03 Minert Brian D. System, apparatus and method for voice over internet protocol telephone calling using enhanced signaling packets and localized time slot interchanging
US20030131245A1 (en) 2002-01-04 2003-07-10 Michael Linderman Communication security system
US8296433B2 (en) 2002-05-22 2012-10-23 International Business Machines Corporation Virtualization method and apparatus for integrating enterprise applications
GB0427858D0 (en) 2004-12-20 2005-01-19 Glaxo Group Ltd Manifold for use in medicament dispenser
GB0427856D0 (en) 2004-12-20 2005-01-19 Glaxo Group Ltd Maniflod for use in medicament dispenser
GB0427853D0 (en) 2004-12-20 2005-01-19 Glaxo Group Ltd Manifold for use in medicament dispenser
JP4429892B2 (ja) * 2004-12-22 2010-03-10 富士通株式会社 セキュア通信システム、および通信経路選択装置
US8799444B2 (en) * 2005-03-18 2014-08-05 Hewlett-Packard Development Company, L.P. Automated host discovery and path tracing by network management server
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8095786B1 (en) 2006-11-09 2012-01-10 Juniper Networks, Inc. Application-specific network-layer virtual private network connections
US7835348B2 (en) * 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US9083609B2 (en) 2007-09-26 2015-07-14 Nicira, Inc. Network operating system for managing and securing networks
US7899849B2 (en) 2008-05-28 2011-03-01 Zscaler, Inc. Distributed security provisioning
CN101635702B (zh) * 2008-07-21 2013-04-03 山石网科通信技术(北京)有限公司 应用安全策略的数据包转发方法
WO2010090182A1 (ja) 2009-02-03 2010-08-12 日本電気株式会社 アプリケーションスイッチシステム、及びアプリケーションスイッチ方法
WO2010103909A1 (ja) 2009-03-09 2010-09-16 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
US9672189B2 (en) * 2009-04-20 2017-06-06 Check Point Software Technologies, Ltd. Methods for effective network-security inspection in virtualized environments
WO2011013805A1 (ja) 2009-07-31 2011-02-03 日本電気株式会社 制御サーバ、サービス提供システムおよび仮想的なインフラストラクチャの提供方法
EP3432524B1 (de) 2009-09-24 2024-05-01 Zoom Video Communications, Inc. System und verfahren zum identifizieren der kommunikation zwischen virtuellen servern
JP5446040B2 (ja) 2009-09-28 2014-03-19 日本電気株式会社 コンピュータシステム、及び仮想マシンのマイグレーション方法
JP5717164B2 (ja) 2009-10-07 2015-05-13 日本電気株式会社 コンピュータシステム、及びコンピュータシステムのメンテナンス方法
JP5435399B2 (ja) 2009-10-07 2014-03-05 日本電気株式会社 省電力化システム、省電力化方法、及び省電力化用プログラム
JP5382451B2 (ja) 2010-01-29 2014-01-08 日本電気株式会社 フロントエンドシステム、フロントエンド処理方法
JP5493926B2 (ja) 2010-02-01 2014-05-14 日本電気株式会社 インタフェース制御方式、インタフェース制御方法、及びインタフェース制御用プログラム
JP5521614B2 (ja) 2010-02-15 2014-06-18 日本電気株式会社 ネットワークシステム、及びパケット投機転送方法
JP5521613B2 (ja) 2010-02-15 2014-06-18 日本電気株式会社 ネットワークシステム、ネットワーク機器、経路情報更新方法、及びプログラム
JP5413737B2 (ja) 2010-02-15 2014-02-12 日本電気株式会社 ネットワークシステム、及び経路情報更新方法
JP5651970B2 (ja) 2010-03-11 2015-01-14 日本電気株式会社 通信装置、通信制御方法、及び通信制御用プログラム
JP2011198299A (ja) * 2010-03-23 2011-10-06 Fujitsu Ltd プログラム、コンピュータ、通信装置および通信制御システム
JP5173084B2 (ja) 2010-04-09 2013-03-27 エヌイーシー ヨーロッパ リミテッド エネルギー効率を考慮したルーティング
US20110283278A1 (en) * 2010-05-13 2011-11-17 Vmware, Inc. User interface for managing a distributed virtual switch
US8989187B2 (en) 2010-06-04 2015-03-24 Coraid, Inc. Method and system of scaling a cloud computing network
JP5622088B2 (ja) 2010-08-17 2014-11-12 日本電気株式会社 認証システム、認証方法
US9184983B2 (en) 2010-08-26 2015-11-10 Futurewei Technologies, Inc. Cross-stratum optimization protocol
US8893300B2 (en) 2010-09-20 2014-11-18 Georgia Tech Research Corporation Security systems and methods to reduce data leaks in enterprise networks
US9460289B2 (en) * 2011-02-18 2016-10-04 Trend Micro Incorporated Securing a virtual environment
US8881101B2 (en) * 2011-05-24 2014-11-04 Microsoft Corporation Binding between a layout engine and a scripting engine
CN102244622B (zh) * 2011-07-25 2015-03-11 北京网御星云信息技术有限公司 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统
US9185056B2 (en) * 2011-09-20 2015-11-10 Big Switch Networks, Inc. System and methods for controlling network traffic through virtual switches
CN102523165B (zh) 2011-12-23 2014-10-01 中山大学 一种适用于未来互联网的可编程交换机系统
CN102523166B (zh) 2011-12-23 2014-10-01 中山大学 一种适用于未来互联网的结构化网络系统
US9185166B2 (en) * 2012-02-28 2015-11-10 International Business Machines Corporation Disjoint multi-pathing for a data center network
CN102546351B (zh) 2012-03-15 2014-05-14 北京邮电大学 openflow网络和现有IP网络互联的系统和方法
US9112804B2 (en) 2012-05-31 2015-08-18 International Business Machines Corporation Network congestion notification preservation and modification during transmission of network data between physical network and virtual network
US9178715B2 (en) 2012-10-01 2015-11-03 International Business Machines Corporation Providing services to virtual overlay network traffic
US9215067B2 (en) * 2013-04-05 2015-12-15 International Business Machines Corporation Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters

Also Published As

Publication number Publication date
US20140096183A1 (en) 2014-04-03
JP5951139B2 (ja) 2016-07-13
WO2014053092A1 (en) 2014-04-10
GB2521572A (en) 2015-06-24
JP2016500937A (ja) 2016-01-14
GB201506949D0 (en) 2015-06-10
US9178715B2 (en) 2015-11-03
GB2521572B (en) 2016-03-23
CN104685500B (zh) 2017-09-29
US9584546B2 (en) 2017-02-28
US20160006769A1 (en) 2016-01-07
CN104685500A (zh) 2015-06-03

Similar Documents

Publication Publication Date Title
DE112013004828T5 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
DE112013002270B4 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
DE102013209372B4 (de) Ein für die Aggregation virtueller Ethernet-Ports (VEPA) geeignetes mandantenfähiges Overlay-Netzwerk
US10999163B2 (en) Multi-cloud virtual computing environment provisioning using a high-level topology description
US11968198B2 (en) Distributed authentication and authorization for rapid scaling of containerized services
JP6648308B2 (ja) パケット伝送
US10237230B2 (en) Method and system for inspecting network traffic between end points of a zone
CN107925589B (zh) 处理进入逻辑覆盖网络的远程设备数据消息的方法和介质
US10333897B2 (en) Distributed firewalls and virtual network services using network packets with security tags
DE112013000731B4 (de) Skalierbare virtuelle Geräte-Cloud
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE112013001904B4 (de) Paketvermittlung auf der Ebene 2 ohne Nachschlagetabelle für Ethernet-Switches
DE202016107377U1 (de) Systeme zur Auslagerung von Netzwerkfunktionen über Paket-Trunking
US20150229641A1 (en) Migration of a security policy of a virtual machine
DE112012002998T5 (de) Virtuelle Netzwerküberlagerungen
DE112018003059T5 (de) Identifizierung und authentifizierung von vorrichtungen in einem netzwerk
DE112012002404B4 (de) Konfiguration und Management virtueller Netzwerke
DE112017006210T5 (de) Bereitstellen eines netzwerktestwerkzeugs in einem cloud-computersystem
CN114338606A (zh) 一种公有云的网络配置方法及相关设备
DE112020002787T5 (de) Verbindungsschichtverfahren zum konfigurieren eines bare-metal-servers in einem virtuellen netzwerk
DE102013210336B4 (de) Mechanismen für verteiltes Routing in einem virtuellen Switch, ermöglicht über eine auf TRILL beruhende Struktur
DE112021004469T5 (de) Verfahren und systeme zur effizienten virtualisierung von transparenten inline-computernetzwerkgeräten
CN114422196A (zh) 一种网络靶场安全管控系统和方法
US11469986B2 (en) Controlled micro fault injection on a distributed appliance
Denton OpenStack Networking Essentials

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE

Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0017300000

Ipc: H04L0012721000

R082 Change of representative

Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012721000

Ipc: H04L0045000000

R082 Change of representative

Representative=s name: RICHARDT PATENTANWAELTE PARTG MBB, DE

R081 Change of applicant/patentee

Owner name: KYNDRYL, INC., NEW YORK, US

Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORPORATION, ARMONK, NY, US

R016 Response to examination communication