[0002] 本
申请要求于2015年8月19日提交的美国临时申请No.62/207,137的优先权,其全部内容通过引用并入本文。
技术领域
[0003] 本公开涉及虚拟专用网络。
背景技术
[0004] 计算环境中使用的网络可以以许多不同的方式进行配置。例如,局域网(LAN)是共享通用通信线路的一组计算设备。计算和存储资源可以在LAN内共享。此外,LAN可以与少数计算设备一样小,或者与整个企业(例如,办公楼、办公综合楼等)一样大。另一网络配置是广域网(WAN)。WAN是在地理上分散的电信网络。广为人知的WAN的典型示例是互联网。第三种网络配置是城域网(MAN),在MAN中计算设备在比LAN大且比典型WAN小的地理区域或特定区域中连接。此外,近年来业界出现了被称为虚拟专用网络(VPN)的新型网络。VPN是利用公共电信并通过使用隧道协议和安全程序来保持隐私的专用网络。
[0005] 例如,公司或企业可以在其网络内启用VPN,并且可以使用公共网络(例如,互联网)来路由远程设备和公司的VPN内的设备之间的通信。因此,远程设备可以经由公共网络使用“虚拟”连接来连接到VPN内的设备并与VPN内的设备交换安全通信。这些通信也可以被加密,使得未被认证或以其他方式被允许
访问VPN的设备不能解密和访问这些通信。
附图说明
[0006] 图1是根据
实施例的iVPN架构的高级
框图。
[0007] 图2是根据实施例的在iVPN架构中执行的高级操作的
流程图,这些操作用于实现并监视iVPN架构的网络底层中的VPN的操作。
[0008] 图3是根据实施例的在iVPN架构中使用的VPN策略模型的图示。
[0009] 图4是根据实施例的图1的iVPN架构的详细框图的图示。
[0010] 图5是根据实施例的图4的iVPN架构中的映射
服务器的详细框图。
[0011] 图6是根据实施例的在高级策略已应用于iVPN架构之前处于初始或默认状态的映射服务器的图示。
[0012] 图7是根据实施例的在高级连接性策略已应用于iVPN架构之后的映射服务器的图示。
[0013] 图8是根据实施例的在高级分段路由策略已应用于iVPN架构之后的映射服务器的图示。
[0014] 图9是根据实施例的在高级服务插入策略已应用于iVPN架构之后的映射服务器的图示。
[0015] 图10是根据实施例的在高级加密策略已应用于iVPN架构之后图4的iVPN架构的密钥管理服务器的图示。
[0016] 图11是根据实施例的用于实现图1和图4的iVPN
控制器的计算机设备的框图。
[0017] 图12是在iVPN架构的网络底层中使用的诸如网络路由器设备或网络交换机设备之类的网络设备的框图。
[0018] 具体实现方式
[0019] 概览
[0020] 接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略。VPN基于该高级网络策略提供VPN的连接
站点之间的安全连接性。高级网络策略被转换成在网络
覆盖中表示的低级设备配置信息,并用于对向VPN提供连接站点的网络底层进行配置。用设备配置信息来配置网络底层,使得网络底层根据高级策略来实现VPN。确定网络底层是否按照高级网络策略进行操作以引导连接站点之间的业务(traffic)流。如果确定了网络底层不按照高级网络策略进行操作,则用新的低级设备配置信息来重新配置网络底层,使得网络底层按照高级网络策略进行操作。
[0021] 详细描述
[0022] 当前的虚拟专用网络(VPN)技术使用分布式网络协议来在(例如,基于多协议标签交换(MPLS)或基于互联网协议(IP)的)与客户驻地设备(CPE)互连(即,连接)的共享网络
基础设施之上为客户创建VPN。传统的VPN主要依据它们提供连接性的对象而被抽象出来,这着重于转发策略。这种抽象通常限于在物理网络基础设施之上实现逻辑拓扑的多个(分段的)虚拟网络。实际上,VPN是安全的覆盖,其被部署不仅用于提供连接性,而且还用于在虚拟拓扑之上实现多个策略。这些策略可以包括例如:(1)安全策略,例如,要求数据机密性、数据完整性、数据源认证之类的安全策略或者表示微分段策略的那些安全策略(例如,基于组的策略(GBP));(2)附接和运输策略(例如,多归属和地址族要求);(3)用于在网络中选择特定路径的流量工程(traffic engineering,TE)策略以及服务链策略。例如,为了反映更高的商业级(business-level)策略要求方面的变化,为了反映底层物理网络基础设施方面的变化,或者由于策略是仅针对给定类别的业务(例如,特定流)而
指定的,这些策略中的许多策略可以动态地变化。
[0023] 为了解决这些问题,本文提出了在一组策略中定义的自适应且动态的安全覆盖模型,其可以用于将与VPN相关联的高级或商业级策略转换为低级或网络级策略。根据本文所提出的技术的覆盖模型提供了闭环控制环路,该闭环控制环路测量所实现的网络级策略与所指定的商业级策略之间的差异。在检测到差异后,控制环路可以自动地和动态地调整网络级策略以实施服务级协议(SLA),并将测量到的差异报告给感兴趣的各方。因此,策略的变化可以整体反应并以统一的方式实现。
[0024] 本文所提出的技术包括三个主要组件,即:(1)策略模型,可用于描述商业级策略;(2)VPN策略解析器,其将商业级策略转换为网络级策略;(3)
闭环系统,其实时测量所实现的网络级策略和预期的商业级策略之间的差异,并将这些测量结果返回给VPN策略解析器。
据此,VPN策略解析器可以作出反应以最小化差异。在某些示例中,这些组件作为所谓的“iVPN”系统架构的一部分来实现。iVPN系统架构是边缘到边缘的IP
覆盖层2(L2)/层3(L3)VPN系统架构(也被称为“iVPN架构”或“iVPN系统”),其将集中式控制的基础设施用作所有网络服务的单一策略控制点,以便集成VPN策略、流量工程(分段路由)策略、和服务插入(NSH)策略。
[0025] iVPN架构为用户提供了VPN的更高级抽象,从而公开了表示VPN及其属性的动态策略模型(连接性策略、安全性策略、流量工程、以及服务链策略)。一些属性可能会随时间改变,并可能相应地推动所应用的策略的改变。例如,流量工程策略可以利用多个连接性路径,这些连接性路径可能由于例如拥塞、可用性等原因而随时间改变,并且相应地加密策略可能需要适应那些改变(例如,通过在经过私有传输的连接切换到公共传输时添加加密)。
[0026] 图1是根据实施例的实现上述特征的示例iVPN架构100的高级框图。iVPN架构100包括集中式iVPN控制器102(也被称为“网络控制器”102)和网络底层104。iVPN控制器102实现与策略模型相关联的VPN策略模型106和网络覆盖108,以定义、配置和控制在网络底层104中实例化(即,实现)的VPN。网络底层104表示可配置的物理网络基础设施,这些基础设施包括互连的网络设备(例如,网络路由器、交换机等)以实现VPN并提供连接到VPN的附接/连接点或站点(例如,附接/连接点P1-P5),CPE可以通过这些附接/连接点或站点来与VPN进行连接。网络底层104可以形成以下各项的一部分,或可以包括以下各项:一个或多个局域网(LAN)和一个或多个广域网(WAN)(例如,互联网)。
[0027] 参考图2,图2是在iVPN架构100中执行的高级操作200(包括操作205-225)的流程图,这些操作用于实现并监视网络底层104中的VPN的操作。操作210-225被认为是自动操作,因为它们由计算机和/或网络设备自动地执行,即,不需要手动干预。
[0028] 在205处,控制器102接收根据预定义的语法格式化的高级的、基于意图的VPN策略(也被称为“高级策略”),这些高级策略共同地表示在高级处定义VPN的策略模型106。例如,高级策略可以由网络管理员输入。高级策略可以表示商业级VPN策略(也被称为“商业级策略”),其包括例如以下各项中的一个或多个:连接性策略、拓扑策略、加密策略、流量工程策略、和流量插入策略。高级策略可以各自包括针对给定高级策略的网络策略要求(例如,性能要求)以及可测量的(可操作的)网络性能属性,该网络性能属性指示其中实现VPN的网络底层104是否按照给定的网络策略要求进行操作。
[0029] 在210处,控制器102将高级策略转换为低级策略(即,网络级策略),该低级策略以“对象”形式表示并存储在网络覆盖108中,例如包括配置脚本等。网络级策略包括用于配置网络底层104的网络设备的网络设备配置信息。在示例中,网络设备配置信息可以包括用于在网络底层104的附接站点之间转发网络业务的转发状态和其他配置信息,以及用于对网络底层中的网络业务进行加密的加密
算法以及其他配置信息(例如,根据加密算法生成的密钥材料)。因此,网络覆盖108表示网络底层104的配置的抽象,并且其要在网络底层中实现以实例化VPN。因为网络覆盖108可以包括VPN的加密信息,所以网络覆盖也可以被称为“安全覆盖”。
[0030] 在215处,控制器102用来自210的网络设备配置信息(被反映在网络覆盖108中)来配置网络底层104中的诸如网络路由器之类的物理联网基础设施,使得网络底层根据高级策略实现VPN。
[0031] 在接下来的操作220和225中,控制器102和网络底层104协作以实现确保网络底层随时间按照高级策略进行操作(例如,对VPN的附接站点P1-P5之间的业务流进行指引和加密)的控制环。
[0032] 例如,在220处,网络底层104测量在低级策略中指示的网络性能属性,并将测量结果报告给控制器102。控制器102从网络底层104接收/收集测量结果,并基于该测量结果确定网络底层是否根据高级策略进行操作。例如,控制器102将收集到的测量结果与高级策略所伴随有的对应的高级策略性能要求进行比较。
[0033] 在225处,如果控制器102基于在220处的比较结果确定网络底层104未按照一个或多个高级策略进行操作,则控制器102生成用于网络底层104的新的网络设备配置信息,并用新的网络设备配置信息来重新配置网络底层,使得网络底层按照高级策略进行操作。
[0034] 如上所述,控制器102接收高级(例如,商业级)策略,该高级策略根据策略模型106定义VPN。应理解的是,存在通过使用策略模型来对iVPN建模的各种方式并且本文所提出的技术可以与不同的模型一起使用。例如,根据一个示例,通过引入“租户”的概念(其表示“拥有”VPN的客户)来根据策略模型定义VPN。还引入了“实例”(或“上下文”)的概念作为另外的分区,其标识了单独的虚拟路由和转发(VRF)以将宏分段表示为属于同一租户的单独的互联网协议(IP)地址空间。在每个实例内,引入了“站点”的概念。站点是属于虚拟网络的同一实例的“端点”的集合。抽象意义上,“覆盖”表示可用于实现针对给定租户的VPN的网络资源(例如,交换机、路由器、服务、路径、封装、地址族等)的集合。在图1的示例中,网络覆盖108包括在网络底层104中可用的网络资源集合的抽象表示。
[0035] 被选择用于由租户用VPN来实现的商业级策略是站点之间或站点与覆盖之间的关系。这些关系(在特定的iVPN模型中)由“合同”来表示。合同定义应用于在这两个实体之间交换的业务的入站和出站规则。因此,根据本文所提出的示例,iVPN商业策略可以构成存在于端点群组(EPG)、站点、和覆盖之间的一组合同,其中EPG可以表示一组端点的逻辑表示,并且站点可以是构成到VPN的附接点的一组客户驻地设备(CPE)路由器的逻辑表示。
[0036] 参考图3,图3是包括上述构造的示例策略模型300的图示。例如,如图3所示,站点A和覆盖的多归属由站点A和该覆盖之间的合同CA中的“条款”表示。附接点的数目或者对传入和传出业务的负载平衡可以是该条款的可被监控的可测量的网络性能“属性”。可以将每个属性与其被称为“计数器”的测量结果相关联,该计数器反映了属性的实时状态(例如,附接点向上/向下、通过该链路发送的分组的数目、使用带宽等)。
[0037] 站点之间的关系也由这两个站点之间的合同来表示。在图3的示例中,策略模型300包括分别在站点A和站点C、站点B和站点C、站点A和B、覆盖和站点A、覆盖和站点B、以及覆盖和站点C之间的合同CAC、CBC、CAB、CA、CB、和CC。例如,如果在站点A和B之间交换的网络业务需要加密,则相关联的合同CAB的条款(包括遵从该条款的业务的子集)将指定所需的加密。作为另一示例,如果需要在VPN中实施某种拓扑结构(例如,轴辐式(Hub-and-Spoke)布置),
轮毂(Hub)和
轮辐(Spoke)之间的合同的条款将允许通信,但是两个轮辐之间的合同的条款将根据与这些轮辐相关联的商业需求来被允许或不被允许。
[0038] 网络的动态特性可以以如下方式反映在合同中,该方式使得如果在合同中指定的被监控的属性达到某个要求值,则可以自动发起补救措施。例如,站点和覆盖之间的合同可以规定:如果计数器反映了与附接点相关联的业务或使用带宽的量超过某个
阈值,则应实例化新的附接点。这样,本文所提出的技术使得能够实现iVPN中的用于自动处理实时事件的
反应性特征。
[0039] 在示例中,合同可以指定这样的网络性能要求:在给定站点(例如,边缘路由器)处的链路带宽使用率不超过该站点的最大链路容量(即,最大通信带宽)的预定分数(例如,百分之70)。该站点处的可测量的属性是链路带宽使用率。在所实现的VPN的操作期间,控制器102从站点收集链路带宽使用率测量结果并将其与网络性能要求进行比较。如果比较结果指示链路带宽使用率超过预定分数70%,则控制器102生成用于站点的新的配置信息并且重新配置站点,使得站点具有更高的最大链路容量以将所使用的最大链路容量的分数降低至低于70%。站点可以被重新配置为向现有链路添加额外链路以增加最大链路容量,或者可以增加现有链路的最大容量。
[0040] 在另一示例中,合同可以规定站点要在没有加密的安全物理链路上和在具有加密的不安全物理链路上安全地通信。假定站点被配置成根据合同操作两个这样的链路,并且向控制器102发送每个链路的链路状态(即,可测量的属性是链路状态)。假设链路状态指示不安全物理链路已失效。控制器102查阅合同,根据合同认识到不安全物理链路缺失并且需要该不安全物理链路,因此将站点重新配置为通过安全物理链路发送所有的通信,直到配置了在其上将发送经加密的信息的新的不安全物理链路。
[0041] 在某些示例中,VPN模型利用在以应用为中心的基础设施(ACI)架构中使用的一些高级对象。这使得本文所描述的策略模型与端点群组(EPG)模型
正交和互补,因为EPG可以用作iVPN解决方案的一部分来表达应用于等同端点群组的微分段策略。然而,VPN模型本身是ACI架构的附加物。
[0042] 如上所述,上述示例实现方式利用了与ACI架构类似的构造的语义。然而,应理解的是,本文所提出的示例可以利用具有不同构造的iVPN策略模型的不同实例。
[0043] 参考图4,图4是根据实施例的iVPN架构100的详细框图的图示。控制器102配置有一组控制器组件,包括服务编配模
块402、iVPN策略解析器404、映射服务器406、密钥管理服务器408、以及自动配置服务器410。这些控制器组件基于接收到的高级策略来建立策略模型106和网络覆盖108(图4中未示出),并且将网络底层104配置为表示/实例化网络覆盖。网络底层104包括网络网关设备(例如,VPN边缘路由器412(1)-412(5),也分别被标记为路由器A-路由器E),该网络网关设备通过在底层IP(例如,IPv4和/或IPv6)或多协议标签交换(MPLS)传输网络上建立的IP隧道以及可选的加密来进行互连(即,彼此连接)。边缘路由器412表示用于各个CPE的到VPN的附接点/站点。控制器102的上述组件可以经由一个或多个局域网和/或广域网在控制器102与网络底层中的网络设备和CPE之间的一个或多个网络连接/链路上与网络底层104和CPE进行通信。
[0044] 自动配置服务器410认证并授权CPE附接到VPN,并为CPE和网络底层104中的网络设备提供初始值或“第0天”配置信息(例如,针对边缘路由器412的地址分配)。
[0045] 服务编配模块402作为对租户之内和之间的策略进行编配的“跨域”编配器来操作并且负责实例化VPN的总体控制。服务编配模块402可以呈现交互式
用户界面(UI)以从用户征求和接收高级策略,并将接收到的高级策略提供给策略解析器404。
[0046] 策略解析器404呈现抽象的北向
接口以从服务编配模块402接收高级策略。策略解析器404可以表示用于在系统中应用策略的单个点。策略解析器404将高级策略转换为低级或网络级策略/网络设备配置信息,并将这样的信息提供给映射服务器406和密钥管理服务器408。例如,策略解析器404解析针对VPN连接性、拓扑、加密、流量工程(SR)、和服务插入(NSH)高级策略的转发状态,并且将转发状态提供给映射服务器406。类似地,策略解析器404将经转换的加密策略信息(例如,加密算法、密钥生存期等)提供给密钥管理服务器408。
[0047] 映射服务器406例如通过使用带有表示对
定位符/ID分离协议(LISP)的增强的适当的LISP规范地址格式(LCAF)扩展的LISP来存储来自策略解析器404的转发状态,并且还将转发状态提供(即,推送)到网络底层104的网络设备,包括边缘路由器412。因此,在实施例中,映射服务器406实现LISP覆盖映射系统。多个映射服务器可以用于弹性、扩展和多租户,即每个租户使用单独的服务器。
[0048] 密钥管理服务器408存储来自策略解析器404的经转换的加密策略信息(例如,加密算法和密钥生存期),并且还例如通过使用互联网密钥交换协议版本2(IKEv2)来将该信息提供或推送到边缘路由器412。密钥管理服务器408还根据加密策略信息动态地创建密码密钥材料,并将密钥材料分发给边缘路由器412(和CPE),边缘路由器412被配置为基于经转换的加密策略信息和密钥材料对数据进行加密和解密。在实施例中,密钥管理服务器408用作实现安全覆盖的集中式密钥管理(CKM)/针对覆盖网络的可扩展安全性(ESON)/群组加密传输VPN(GETVPN);然而,也可以使用其他安全覆盖技术。多个密钥管理服务器用于弹性、扩展和多租户,即每个租户使用单独的密钥管理服务器。
[0049] 一旦VPN在网络底层104中实现,网络底层中的各种网络设备(例如,边缘路由器412)就测量与VPN中的业务流相关联的网络性能属性,并将测量结果报告给控制器102。控制器102的各个组件基于所报告的测量结果协作以确保VPN保持与高级网络策略相符合。例如,如果测量结果指示VPN不符合高级策略,则策略解析器404、映射服务器406、和密钥服务器408共同生成新的网络设备配置信息(例如,转发状态和加密策略和配置信息),并且根据需要将新的网络设备配置信息推送到网络设备(例如,边缘路由器412),使得VPN按照高级策略进行操作。以这种方式,(例如,控制器102和网络底层104的)控制基础结构实现监视预期策略(即,高级策略)和实际实现的策略之间的差异(差)的闭环系统,相应地进行反应以使这种差异最小化。
[0050] 参考图5,图5是根据实施例的来自图4的映射服务器406的详细框图。在图5的示例中,映射服务器406包括北向接口502以及南向接口504,其中,北向接口502用于接收来自策略解析器404的经解析的策略信息(例如,转发状态),策略解析器通过南向接口504将经解析的策略信息推送到边缘路由器412。映射服务器406还包括托管各种高级到低级的映射服务的网络服务抽象层506,其包括映射服务508、功能链510、分段路由512、基于群组的策略514、多播策略516等。
[0051] 以下描述的图6-10示出了由映射服务器406和密钥服务器408执行的一系列操作,用于基于示例高级策略实例化网络底层104中的VPN。
[0052] 参考图6,图6是在高级策略在网络底层104中被接收、转换和实例化之前处于初始或默认状态的映射服务器406的图示。映射服务器406维持具有条目的转发表605以存储经解析的转发状态,如高级策略所要求的,该经解析的转发状态表示网络连接性,或者替代地,表示在网络底层104中的源网络设备与目的地网络设备之间(例如,在边缘路由器412中的各个边缘路由器之间)没有连接性。表605包括分别被表示为源网络设备的地址和目的地网络设备的地址的行索引和列索引。根据LISP,每个给定网络设备(例如,边缘路由器)的前述地址(例如,IP地址)可以与端点标识符(EID)和对应的路由定位符(RLOC)相关联并由其表示。
[0053] 在图6的示例中,边缘路由器412(1)(路由器A)具有EID a和RLOC A,边缘路由器412(2)(路由器B)具有EID b和RLOC B,边缘路由器412(3)(路由器C)具有EID c和RLOC C,边缘路由器412(4)(路由器D)具有EID d和RLOC D,并且边缘路由器412(5)(路由器E)具有EID e和RLOC E。服务编配器402或映射服务器406可以将适当的EID和RLOC推送给边缘路由器412中的每一者。表605中由给定的一对源(行)和目的地(列)地址(例如,EID/RLOC)索引的条目表示:(i)相应的(具有那些地址的)一对源和目的地网络设备之间的连接(如果该条目存储了目的地地址(所分配的RLOC)的话),以及(ii)不存在这样的连接(如果该条目存储空值“-”的话)。在初始或默认状态下,表605的所有条目都存储空值,这表示边缘路由器412之间没有连接性。在图6的示例中,在网络底层104中示出另一路由器“路由器X”。
[0054] 参考图7,图7是在高级连接性策略702已被应用(即被接收、转换成用于存储在映射服务器的映射表605中的转发状态,并且被从映射服务器推送到适当的边缘路由器412)之后的映射服务器406的图示。高级连接性策略702定义了具有由边缘路由器A、B和C表示的站点之间的连接性的第一VPN VPN1,以及具有由边缘路由器C、D和E表示的站点之间的连接性的第二VPN VPN2。表605的适当条目分别存储针对VPN VPN1和VPN2的经解析的转发状态,一般分别如705和710处所示。
[0055] 参考图8,图8是在高级SR策略802被应用之后的映射服务器406的图示。高级SR策略802指示经由路由器X从路由器(站点)A到路由器(站点)B的网络业务流。表605的适当条目805存储针对SR策略802的经解析的转发状态。条目805指示路由器A和B之间的连接性,但这些路由器之间的业务流将通过路由器X来路由。在图8的示例中,控制器102包括路径计算引擎801,用于计算符合高级SR策略802的最
短路径(业务)路由。
[0056] 参考图9,图9是在高级NSH策略902被应用之后的映射服务器406的图示。高级NSH策略902指示通过经由路由器D可访问的服务s从路由器C到路由器E的网络业务流。表605的适当条目存储针对NHS策略的经解析的转发状态,如905所示。在905处的条目指示路由器C和E之间的连接性,但业务通过服务s从路由器C流到路由器E。
[0057] 参考图10,图10是在高级加密策略1002被应用(即,被接收,被转换为用于存储在密钥服务器表1005(也被称为“密钥服务器策略表1005”)中的加密配置信息,并被从密钥服务器推送到适当的边缘路由器412)之后的密钥管理服务器408的图示。接收到的高级加密策略1002分别为VPN VPN1和VPN2定义成对(pairwise)的加密和“GET”。在另一示例中,高级加密策略可以设置加密字段宽度,例如128位或256位加密。表1005的适当条目存储如加密策略1002指示的加密信息,如图10所示。
[0058] 参考图11,图11是用于实现iVPN控制器102的示例计算机设备1100的框图。计算机设备1100包括网络接口单元1105以与有线和/或无线通信网络进行通信,从而与网络底层104的网络设备、CPE、处理器1154(或者可以被实现为
软件或
硬件处理器的多个处理器)、以及
存储器1156进行通信。网络接口单元1105可以包括以太网卡以通过有线以太网链路和/或无线通信卡进行通信,从而通过无线链路进行通信。
[0059] 存储器1156存储用于实现本文所描述的方法的指令。存储器1156可以包括
只读存储器(ROM)、
随机存取存储器(RAM)、磁盘存储介质设备、光存储介质设备、闪存设备、电的、光的或其他物理/有形(非暂态)存储器存储设备。处理器1154例如是执行存储在存储器中的指令的
微处理器或
微控制器。因此,存储器1156通常可以包括编码有包括计算机可执行指令的软件的一个或多个有形计算机可读存储介质(例如,存储器设备),并且该软件在(由处理器1154)执行时可操作以执行本文所描述的操作。存储器1156存储控制逻辑1158,以执行与本文所描述的控制器102的组件402-408和802相关联的操作,从而实现方法200。存储器1156还可以存储由逻辑1158使用和生成的数据1160,例如,表605和表1005。
[0060] 在图11的示例中,仅以示例的方式将计算机设备示出为用于实现iVPN控制器102的单个计算机设备。应理解的是,控制器102可以分布在例如通过网络相互通信的多个计算机设备上。
[0061] 参考图12,图12是部署在网络底层104中的网络设备1200(例如,边缘路由器)的框图。网络设备1200可以包括多个有线和/或无线网络端口1250-1到1250-N或其他形式的网络接口、具有用于做出分组转发决定的转发表的分组转发单元1252、处理器1254(或多个处理器)和存储器1256,其中网络接口用于与网络底层104中的有线和/或无线通信网络、iVPN控制器102、和CPE进行通信。存储器存储用于实现本文所描述的方法的指令。
[0062] 存储器1256可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质设备、光存储介质设备、闪存设备、电的、光的或其他物理/有形(非暂态)的存储器存储设备。处理器1254是例如执行存储在存储器中的指令的微处理器或微控制器。因此,存储器1256通常可以包括编码有包括计算机可执行指令的软件的一个或多个有形计算机可读存储介质(例如,存储器设备),并且该软件在(由处理器1254)执行时可操作以执行本文所描述的操作。存储器1256存储控制逻辑1258以执行本文所描述的操作(例如,与方法200相关联的操作),例如,接受网络设备配置信息并将网络设备配置为根据该信息进行操作,包括测量与通过网络设备的业务流相关联的网络性能属性并将测量结果报告给iVPN控制器102。存储器还可以存储由逻辑1258使用和生成的数据1260。
[0063] 总而言之,本文所提出的是在一组策略中定义的自适应且变化的安全覆盖模型,其中,对该组策略的改变可以整体反应并以统一的方式实现。如上所述,本文提出的技术包括三个主要组件,即:(1)策略模型,可用于描述商业级策略;(2)VPN策略解析器,用于将商业级策略转换为网络级策略;(3)闭环系统,用于实时测量所实现的网络级策略和预期的商业级策略之间的差异,并将这些测量结果返回给VPN策略解析器。然后VPN策略解析器可以做出反应以使差异最小化。
[0064] 本文所提出的技术使得能够将企业商业级的VPN策略精确地转换成网络级策略,从而利用现代服务提供商所提供的复杂的网络特征。商业级策略可以包括指定如何动态响应网络事件的条款,以保证企业客户和服务提供商之间的SLA的满意度。
[0065] 常规布置将VPN底层的网络看作透明的
云,并试图通过被动监视传输控制协议(TCP)或主动探测来推断使用的最佳路径。这对于低端市场而言可能有时是足够的,但对于在提供CPE-CPE VPN解决方案的同时也想充分利用底层网络服务的提供商和大型企业而言是不够的。
[0066] 在服务提供商部分中,VPN收到覆盖CPE到CPE VPN解决方案的挑战。技术分析得出结论:如果CPE-CPE覆盖VPN解决方案提供对企业特征集要求的支持,则其可能会成功,其中该企业特征集要求包括:(1)复杂的VPN拓扑、(2)企业级安全性和密钥管理、以及(3)差异化的SLA。当前的VPN解决方案不支持该套要求。然而,被用作iVPN系统架构的一部分的本文所提出的技术解决了所有这些要求。
[0067] 总而言之,在一种形式中,提供了一种方法,该方法包括:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,VPN基于高级网络策略提供连接站点之间的安全连接性;将高级网络策略转换成低级设备配置信息,低级设备配置信息被表示在网络覆盖中并被用于对提供连接站点到VPN的连接性的网络底层进行配置;用设备配置信息来配置网络底层,使得网络底层根据高级策略来实现VPN;确定网络底层是否按照高级网络策略进行操作以引导连接站点之间的业务流;以及如果确定网络底层不按照高级网络策略进行操作,则用新的低级设备配置信息来重新配置网络底层,使得网络底层按照高级网络策略进行操作。
[0068] 在另一种形式中,提供了一种装置,该装置包括:网络接口单元,被配置为与网络底层中的网络设备和
用户驻地设备进行通信;以及处理器,该处理器与网络接口连接并被配置为:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,VPN基于高级网络策略提供连接站点之间的安全连接性;将高级网络策略转换为低级设备配置信息,低级设备配置信息被表示在网络覆盖中并用于对网络底层进行配置以提供连接站点到VPN的连接性;用设备配置信息来配置网络底层,使得网络底层根据高级策略来实现VPN;确定网络底层是否按照高级网络策略进行操作以引导在连接站点之间的业务流;以及如果确定网络底层不按照高级网络策略进行操作,则用新的低级设备配置信息来重新配置网络底层,使得网络底层按照高级网络策略进行操作。
[0069] 在又一种形式中,提供了用指令编码的非暂态计算机可读存储介质。这些指令在由处理器执行时使得处理器进行以下操作:接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略,所述VPN基于所述高级网络策略提供连接站点之间的安全连接性;将所述高级网络策略转换成低级设备配置信息,所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置;用所述设备配置信息来配置所述网络底层,使得所述网络底层根据所述高级策略来实现所述VPN;确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流;以及如果确定所述网络底层不按照所述高级网络策略进行操作,则用新的低级设备配置信息来重新配置所述网络底层,使得所述网络底层按照所述高级网络策略进行操作。
[0070] 以上描述仅旨在作为示例。
