用于基于策略的分组处理的方法、设备和系统与流程

1.本技术一般涉及计算机联网，并且更具体地涉及用于利用网络策略信息的网络分组生成和处理分组的系统和方法。


背景技术：

2.在先前的网络架构中，分支办公室网络将经由路由器使用wan(广域网)连接而连接到数据中心。租用的wan线路能够使用多协议标签转换(mpls)作为连接协议，并且因为所有的应用都驻留在数据中心，因此这是可行的架构。对数据中心和应用的访问控制跨每个后台办公室的路由器分布，每个路由器必须单独配置。进一步的，其它安全措施必须单独配置。
3.现在，联网的架构包括saas(软件即服务)应用。这些应用已经从企业数据中心移动到互联网云。这样的云应用的示例有谷歌云、亚马逊aws、dropbox、salesforce。通过中央数据中心路由回到这些应用有一个缺点是增加了额外的延迟，并且可能阻塞回到数据中心的租用的线路的带宽。为了能够利用互联网访问，以将数据路由到这些saas应用，该架构需要利用对互联网的直接访问。
4.这驱使了对软件定义的网络(sd
‑
wan)的需求，用于分段wan和直接互联网访问之间的流量。进一步的，管理针对成百上千分段的访问控制、分段之间的隧道以及这些分段的安全性可能很复杂并且易于出现人为错误。需要一种联网的架构，其中广域网分组包括网络分段、应用和安全信息。


技术实现要素：

5.此发明内容被提供来以简化的形式介绍概念的选集，这将在下面的具体实施方式部分中被进一步描述。此发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在被用作帮助确定所要求保护的主题的范围。
6.通常，本公开内容针对一种用于生成和处理包含策略信息的广域网分组的方法、设备和系统。策略信息可以包括但不限于网络分段信息和安全信息。在本发明的一方面，分组被接收并且准备好在wan上发送。基于分组的源和目的，它与策略配置相关联。如果分组具有有效的策略配置，则策略头部被添加到可以包含安全信息的分组。进一步的，分组可以包括联网分段信息、应用信息、隧道和地址转换信息。接收到的或传入分组与策略配置相关联，并且根据策略配置进行验证。如果分组符合策略配置，那么有效载荷被转发到它们的目标地址所指示的接口。进一步的，分组有效载荷可以被加密，并且在分组的有效载荷上执行网络地址转换。
附图说明
7.示例性实施例通过示例的方式被说明，并且不限制于在附图中的图，其中相同的附图标记指示相同的元素。
8.图1图示了现有的广域网架构，其中saas应用流量通过公共服务器被回传(backhaul)。
9.图2图示了示例性广域网架构，其具有直接连接到互联网和wan联网的资源的多个网络装置。
10.图3a是网络装置的框图。
11.图3b是策略配置的示例性表格。
12.图4是根据共享的策略配置生成传出广域网分组的过程的流程图。
13.图5是根据共享的策略配置处理传入广域网分组的过程的流程图。
14.图6a是用于配置路由覆盖、防火墙区域和地址转换的示例性用户接口。
15.图6b是用于配置联网分段的示例性用户接口。
16.图6c是用于配置防火墙区域分段的示例性用户接口。
17.图6d是用于配置分段间路由的示例性用户接口。
18.图7a是包括策略头部的示例广域分组。
19.图7b是包括策略头部的示例经加密的广域分组。
具体实施方式
20.以下详细描述包括附图的参考，其形成详细描述的一部分。附图根据示例性实施例示出了图示。这些示例性实施例，在本文中也被称为“示例”被足够详细的描述，以使得那些本领域技术人员能够实践本主题。实施例可以被组合，其它实施例可以被利用，或者不偏离所要求保护的范围的结构的、逻辑的以及电气的变化可以被做出。因此，下面的详细描述并不视为有限制意义，并且范围被所附权利要求书和其等价物所定义。在本文中，术语“一”和“一个”如在专利文件中很常见的，被使用来包括一个或多个。在本文中，除非另有说明，术语“或者”被用于指代无排他性的“或者”，以使得“a或者b”包括“a但没有b”、“b但没有a”以及“a和b”。
21.本文公开的实施例可以使用各种技术实现。例如，本文描述的方法可以在包含一台或多台计算机的计算机系统上执行的软件中被实现，或者在利用或者微处理器组合或者其他特殊设计的专用集成电路(asics)、可编程逻辑设备、或者以上的各种组合的硬件中被实现。特别地，本文描述的方法可能通过驻留在存储介质(诸如磁盘驱动器或者计算机可读介质)上的一系列计算机可执行指令来实现。
22.本文所描述的实施例涉及广域网，其使用基于策略配置联网的分组的生成和处理。图1图示了联网的架构100的现有技术的图示。在此架构中，数个分支办公室10被连接到可以包括数据中心的中央办公室20。来自分支办公室10的所有数据经由路由15、通过wan 30和其它联网装备被传送回到中央办公室以用于处理。wan 30可以是租用的通信链路或其他服务提供商的网络。
23.当应用在分支办公室10处利用saas(软件即服务)50(办公软件(ms office)、云存储、
…
)，它们通过互联网40经由路由器15回到中央办公室而被访问。然而，通过wan 30路由所有数据可能减缓saas应用50的性能。进一步的，这样的架构缺乏集中的安全性以及用于配置的统一的管理系统。
24.图2图示了使用sd
‑
wan(软件定义的广域网)架构200的新的架构，该架构可以被用
来提供远程办公室10、数据中心20和saas应用50之间的访问。若干分支办公室10通过wan网络30使用网络装置250被绑定到数据中心20。saas/云应用50可以通过互联网40，在每个分支办公室10处使用通信链路127被访问。该架构的优点是需要较少的wan链路和更少的带宽。每个远程办公室10可以直接利用低成本和快速的互联网40服务访问saas/云应用50。
25.然而，需要基于应用的类型、用于办公室网络分隔分段的公司策略以及安全性来控制访问wan。该控制可以被称为网络策略或者策略配置。进一步的，具有中央协调器是有益的，其用以居中地并且均一地使用策略配置信息来配置网络装置250中的每一个网络装置，并且为每个wan分组包括这个安全信息。
26.wan带宽可以被划分为分段，其中公司网络的不同部分实际上与其它部分保持分离。例如，可以有实时数据、声音或者视频的分段，其中有经保证的服务质量。对于sd
‑
wan(软件定义的广域网)，这些网络分段是软件定义的，并且在协调器上居中地创建，并且在在网络装置上被配备(provision)。
27.策略配置是对网络流量分段规则的规范。不同网络流量分段可以被看成是有不同的业务意图。因此，不同的网络分段可以基于需要的服务质量、带宽、应用以及它们的安全要求被管理。这些业务意图可以被称为业务意图覆盖(business intent overlay)。
28.策略配置可以通过与所有网络装置250通讯的计算机或者服务器被编排(orchestrate)，通常在被称为网络的管理平面上进行。每个网络装置250可以具有唯一标识符，因此它们可以将这些规则应用于它们传入和传出网络流量。网络装置250知道在它们在哪个接口接收分组，并且是应用感知的。策略配置基于指定的规则和关系约束网络流量。这些规则和关系基于网络分段、应用发送和接收数据以及安全配置。每个网络装置可以接收相同的策略配置以便安全配置跨网络被统一的实施。
29.图3a图示了在本发明示例性实施方式中的网络装置250的框图。装置250包括处理器310、存储器320、wan通信接口330、lan通信接口340以及数据库和存储装置350设备。系统总线380链接处理器310、存储器320、wan通信接口330、lan通信接口340以及数据库350。当部署在分支位置中时，线360将wan通信接口330链接到wan 127(在图2中)，并且线370将lan通信接口11链接到图2中的计算机140。
30.数据库和存储装置350包括硬件和/或软件元素，其被配置成以有组织的格式来存储数据，以允许处理器310创建、修改和检索数据。这包括用于处理传入和传出数据以及存储策略配置的软件程序。数据库和存储装置350可以包括策略配置390(也如图3b所示)。在网络装置250运行期间，策略配置可以被存储在存储器320中。数据库350的硬件和/或软件元素可以包括存储设备，诸如ram、硬盘驱动器、光驱、闪存和磁带。
31.在一些实施例中，一些网络装置250包括相同的硬件和/或者软件元素。备选地，在其他实施例中，一些网络装置250，诸如第二装置，可能包括提供额外的处理、通信和存储容量的硬件和/或软件元素。进一步的，涉及实施联网的策略配置的路由功能可以在网络装置250内被执行。
32.图3b是表示策略配置390信息的表格的一个示例性实施例。策略配置390被示出为表格，但是可以以其它数据结构被表示，包括但不限于数据库条目、链表或者平面文件，并且不限于图3b所示的表示。进一步的，所示出的网络分段和安全性信息并不被认为是详尽的，并且可以包括任何其它涉及网络分段、网络隧道(tunneling)、防火墙和地址转换的信
息。尽管策略配置390在图3a中被示出为数据库和存储装置350的一部分，但当网络装置250根据策略配置390在处理传入和传出分组时，其可以被载入到计算机存储器320中。
33.策略配置390可以通过可以被称为协调器(orchestrator)(未示出)的单个服务器被分配到多个网络装置250中。在一个实施例中，策略配置390的设置在单个位置处被执行。相同的策略配置390可以被发送到所有网络装置250。还预期的是，针对每个网络装置250或者针对被截断的策略配置390修改策略配置390。有利的是，策略配置390的集中管理简化了配置过程，最小化错误的可能性，并且提供一种更新安全策略的快速方法。
34.表格392定义了网络分段之间的关系，被称为分段或者vrf(虚拟路由和转发)以及bio(业务意图覆盖)。业务意图覆盖(bio)指定如何在网络内处理具有特定特性的流量。多个bio可以针对不同类型的流量被创建。哪个流量匹配特定的bio，要么是由其进入装置所通过的接口上的标签被确定的，或者是由匹配流量到访问列表被确定的。bio控制类似以下的事物：用以传输流量的wan端口和网络类型，以及如果偏好的链路下降或者未满足指定的性能阈值该做什么。因此，该表格392为生成以及转发分组提供了策略或者规则。针对进一步的信息，专利公开文本us 2016/0255542a1“虚拟广域网覆盖(virtual wide area network overlays”提供了网络覆盖上的更多的信息，并且其通过引用被并入。
35.表格394定义了vrf和其它策略之间的关系，包括但不限于针对适用分段的防火墙区域的覆盖策略，将采用d
‑
nat(目的地网络地址转换)和s
‑
nat(源网络地址转换)的网络地址。网络装置250可以在生成、验证和处理传入和传出wan分组时使用该表格的配置。
36.表格396定义了什么网络地址和网络协议被允许通过防火墙区域和在防火墙区域之间。图6a
‑
图6d提供了示例用户界面的描述，用于进入策略配置250的参数。
37.图4描绘了由网络装置(诸如图2的装置250)的针对基于联网的政策的示例性方法。根据策略配置390处理和生成分组数据。进一步的，该方法将相关联的策略配置390信息，包括但不限于网络分段、应用数据和安全相关信息附加到传出分组中，用于通过接收网络装置250根据策略配置390进行验证。
38.在步骤405中，一个或多个网络装置250被配置有策略配置。在一个实施例中，所有网络装置250被配置为相同的策略配置。因此，在没有人工干预和人工输入错误的可能性的情况下，大型网络配置可以被统一实施。每个网络装置250将必须有标识符来知道它在配置策略390中的网络内的关系。
39.在步骤410中，网络装置250接收传出分组，其包括在wan网络上的目的地地址。网络装置250可以被配置有一个或多个wan网络，包括但不限于互联网、mpls或者专用网络线路。传出分组可以起源于源，包括但不限于lan网络、voip系统以及视频系统。
40.在步骤415中，传出分组与策略配置390相关联，策略配置390与接收分组的网络装置250有关。该关联包括由在其上分组被接收的端口的分组的分类，以及分组从其起源的应用的确定。精通网络编程和设计的本领域技术人员应该知道如何检查并分类分组。该信息与对于端口和应用的策略配置390参数相匹配。然后可以检查策略配置以确定端口和应用被分配哪个网络分段。
41.在步骤420中，传出分组针对策略配置被验证。验证可以包括证实传出分组目的地与源在同样的网络分段之内。传出分组还可以被验证安全性来证实目的地地址位于策略配置390中指定的防火墙区域之内。
42.进一步的，如果传出分组目的地在不同的网络分段上，则可以针对网络分段之间的分组隧道进行策略配置检查。
43.验证可以包括安全策略。这些可以包括粒度应用可见性匹配标准方法。例如，在一个网络分段中的无线访客用户(访客wifi)可以浏览互联网但是不被允许转到社交媒体网站或者玩在线游戏，而在其它网络分段的用户只可以访问企业saas应用但不可以浏览互联网、转到社交网站或者玩在线游戏。在一个实施例中，当一个特定的应用被拒绝时，用户的浏览器会话会看到超时。
44.其它策略检查被制成包括传出分组是否被加密，以及应该使用哪种加密协议。
45.进一步的，策略配置390可以指示将有传出分组的地址转换。不同地址转换协议可以被使用，包括但不限于s
‑
nat和d
‑
nat。
46.在步骤425中，策略头部被添加到传出分组。策略头部可以包含但不限于网络分段信息、防火墙区域信息、用于网络分段之间联网的隧道信息，以及地址转换信息。传出分组附加上所附加的策略头部形成了分组有效载荷。
47.在可选的步骤430中，传出分组有效载荷可以被加密。加密的协议可以包括但不限于udp
‑
ipsec(rfc 3948)、ike
‑
ipsec(互联网密钥交换协议)和gre
‑
ipsec(通用路由封装)。该步骤可以包括根据协议用途添加ipsec头部。
48.在步骤435中，wan头部被添加到传出有效载荷从而形成wan分组。wan头部的格式被选择为与通过由策略配置所标识的网络分段所指示的wan接口兼容。
49.在步骤440中，wan分组被转发到wan接口，用于在所选择的网络上传输。
50.方法400可以进一步的包括方法500，用于接收和处理传入wan分组、解密它、验证wan分组，以及如果需要提供网络地址转换。图5描绘了针对网络装置(诸如图2和图3a的装置250)根据策略配置390来处理传入分组的示例性方法。
51.在步骤505中，传入wan分组从网络装置上的广域网接口中的一个广域网接口被接收。这可以包括来自互联网、mpls服务或者其它租用的联网线路的wan分组。
52.在步骤510中，wan头部被从wan分组移除。这导致传入分组有效载荷的剩余。该分组的有效载荷包括第二策略头部。
53.在可选的步骤515中，如果经加密的分组有效载荷被解密并且移除了任何安全协议头部。加密协议可以包括但是并不限于udp
‑
ipsec、ike
‑
ipsec或者gre
‑
ipsec。
54.在步骤520中，第二策略头部与策略配置390相关联，策略配置390与接收到传入分组的网络装置250有关。关联包括通过在其上分组被接收的端口的对传入分组的分类以及确定分组从哪个应用起源。精通网络编程和设计的本领域技术人员应该知道检查哪个字段以对传入分组分类。该信息与对于端口和应用的策略配置390参数相匹配。
55.在步骤525中，第二策略头部被验证。网络装置知道接收到的传入分组是哪个网络分段的。传入分组路由可以基于网络接口的标签对第二策略头部进行验证，头部或者使用各种分组检查技术的更复杂的策略进行验证。例如，传入流量可能已经被混合，并且装置需要使用流量统计和分组内容的结合来将它分离到流量类别(例如声音、视频和数据)中。进一步的，验证可以包括验证策略配置允许传入分组将被转发到目的地地址。还可以进行安全验证，其中端口和目的地网络地址的防火墙区域被验证。如果分组没有满足针对联网的分段、允许的应用和安全性的策略配置，那么分组可以被丢弃。
56.在步骤530中，第二策略头部被从传入wan分组移除。第二策略头部被添加以符合和验证传入分组满足策略配置。它必须在转发分组到其它目的地之前被移除，以与目的地网络相兼容，通常地是lan。
57.在可选的步骤535中，如果由第二策略头部所指示，目的地地址被转换。多个分支办公室可能正在使用相同的ip地址，并且因此，如果使用将会导致冲突。可以使用包括但不限于d
‑
nat和s
‑
nat的标准nat协议进行ip地址转换。
58.在步骤540中，传入分组被转发到接口，分组目的地地址位置位于其上。该步骤可以包括附加与传入分组目的地地址相关联的网络协议头部。该步骤可以包括在传入分组内附加与目的地地址相关联的网络协议头部。
59.图6a图示了用于配置策略配置390的网络分段(路由分段)的路由分段用户接口610的一个实施例。该接口页面能够创建和标记网络分段名称612。覆盖和中断策略可以针对每个分段被指定。覆盖是针对不同流量类型和策略(诸如voip)被创建的逻辑隧道。中断指定针对互联网saas应用或者针对访客wifi流量的策略配置。
60.路由分段用户接口610还提供用于指定的防火墙区域策略616的字段。防火墙区域是接口和附接到接口的网络分段的集合。它可以具有物理接口、逻辑接口、子接口和vlan标记的接口。接口属于单一区域，但是区域可以有多个接口。在sd
‑
wan的实施例中，基于区域的防火墙将区域的概念扩展到wan，并且包括被lan分段分离的覆盖。该区域信息可以被存储在策略配置390中，并且包括sd
‑
wan分组的生成、验证和处理。
61.路由分段用户接口610包括用于指定针对分段建路由和d
‑
nat618的策略配置的字段。一些网络流量可能需要跨网络分段或者vrf传输，并且这些异常可以在此字段中被配置。从一个网络分段向另一个网络分段传输分组通常由于网络分段而被阻塞。跨过分段流量的异常可以在该字段618中被指定。另一个可能发生的问题是网络地址冲突。在不同网络分段上的两个计算机可能具有相同的目的地地址。分段间路由和d
‑
nat字段618提供目的地地址转换分组。此外，该分段间路由和d
‑
nat可以是策略配置390的一部分。
62.图6b图示了用于配置vfr和bio之间的关联的用户接口630的一个实施例。对于给定的bio，包括哪个vrf被指定为bio的一部分。此外，这些用户配置作为策略配置的一部分被存储，并且用于分组的生成、验证和处理。
63.图6c图示了用于配置防火墙区域策略的用户接口650的一个实施例。防火墙区域是接口和附接到接口的网络分段的集合。规则652可以针对以下几项被指定：哪些ip地址可以接收数据以及哪些ip地址可以被允许在区域之间传输。
64.图6d图示了用于配置网络地址的用户接口670的一个实施例，其在不同网络分段之间可以有隧道，以及网络分段或者vrf之间的地址转换。对于每个vrf672，676具有地址转换，将被转换的ip地址674可以被指定。
65.图7a和图7b示出了具有嵌入在分组中的策略头部的wan分组700a、700b的两个实施例头部。分组被网络装置250生成和处理。来自局域网11的数据可以被网络装置250接收，并且如果目的地地址在局域网之外，用于生成wan分组。
66.图7a图示了简化的未加密wan分组。分组可以包括wan头部710、策略头部720以及有效载荷730。有效载荷730是从lan接收的数据。它可以包括来自lan的分组头部(未显示)。进一步的，如果网络地址转换被应用于分组，有效载荷730可以被修改。
67.wan头部710是头部需要在图2中的wan链路125上通信的头部，网络设备在wan链路125上通信。这些wan可以由服务提供商指定，或者由用于在中央办公室和数据中心之间的租用线路之上连接的装备决定。
68.策略头部720可以包括但不限于网络分段、关于生成和发送分组的应用的信息、防火墙区域724以及其它信息726。分段id722标识wan分组应该被发送或者来自哪个分段或者vrf。网络配置领域的技术人员将知道对于网络装置250如何配置系统，以选择符合需要的策略配置的分段。防火墙区域724限制向策略配置390内指定的防火墙区域内的其它网络地址的通信。其它信息726可以包括关于被使用的安全协议或者装备标识符的信息。装备标识符可以包括生成wan分组的装备制造或者单个的网络装置250的标识符。
69.当wan分组700a被生成时，策略头部被生成以与策略配置390一致。当实施例wan分组700a被验证时，策略头部被用于验证分组与策略配置390一致。
70.图7b示出利用加密的wan分组的备选实施例。三种加密的分组格式750、770和790根据三种不同的加密协议udp
‑
ipsec、ike
‑
ipsec和gre被加密。被添加到安全分组有效载荷的是策略头部760。该头部被添加到在sd
‑
wan上被发送的每个分组上，并且在sd
‑
wan上接收到的每个分组上被找到。策略头部760可以包括但不限于标识符763、和区域标识符764以及路由分段标识符765。