communication);使用第一配置信息来配置第一管道,该第一管道用于在服务提供商网络和第一站点之间进行隧道化通信,其中第一网络节点与多个管道相关联,其中该多个管道中的第二管道至少部分地由第二租户而不是第一租户配置;以及经由第一管道在服务提供商网络和第一站点之间进行隧道化通信。
7.一种系统包括服务提供商网络中的用于向多个租户提供至少一个服务的第一网络节点。第一网络节点包括至少一个处理器和存储器。第一网络节点被配置用于:使用来自服务提供商网络的管理员的输入来为第一租户生成用户配置信息,其中用户配置信息包括用于允许第一租户配置第一网络节点的各方面的安全密钥和与第一租户相关联的总带宽限制;向第一租户发送用户配置信息中的至少一些;从第一租户接收第一配置信息,该第一配置信息用于配置第一管道,该第一管道用于在服务提供商网络和与第一租户的sd-wan相关联的第一站点之间进行隧道化通信;使用第一配置信息来配置第一管道,该第一管道用于在服务提供商网络和第一站点之间进行隧道化通信,其中第一网络节点与多个管道相关联,其中该多个管道中的第二管道至少部分地由第二租户而不是第一租户配置;以及经由第一管道在服务提供商网络和第一站点之间进行隧道化通信。
8.本文描述的主题可以结合硬件和/或固件在软件中实现。例如,本文描述的主题可以在由处理器执行的软件中实现。在一个示例实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文描述的主题的示例计算机可读介质包括非瞬态设备,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
9.如本文所使用的,术语“节点”是指包括一个或多个处理器和存储器的至少一个物理计算平台。
10.如本文所使用的,术语“函数”或“模块”可以指为了实现本文描述的特征而与硬件和/或固件结合的软件。
附图说明
11.现在将参考附图解释本文描述的主题,其中:
12.图1是图示示例通信环境的图,该示例通信环境利用多租户软件定义的广域网(sd-wan)节点;
13.图2是图示用于向自适应专用网络(apn)提供云服务的示例sd-wan节点的图;
14.图3是图示示例apn配置信息的图,该示例apn配置信息可用于配置sd-wan节点的各方面;
15.图4a-图4c是图示用于配置sd-wan节点的各方面的图形用户界面(gui)的图;
16.图5是图示用于向sd-wan节点提供apn配置信息的示例动作的图;
17.图6a-图6b是图示穿过连接自适应专用网络和服务提供商网络的云管道的示例消息的图;以及
18.图7是图示用于提供多租户sd-wan节点的示例过程的图。
具体实施方式
19.本文描述的主题涉及用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质。一般而言,sd-wan可以作为单个管理域(single administrative domain)被管理。例如,sd-wan的节点可以由网络管理员管理,并且网络管理员可以具有对sd-wan的配置参数的完全控制。然而,由于许多sd-wan用户期望访问由第三方提供的云服务,因此在尝试以与sd-wan一致的服务级别向sd-wan用户提供此类云服务时会出现问题。
20.用于连接sd-wan用户和云服务的一种可能解决方案可以涉及将sd-wan的节点放置在服务提供商网络中。然后,此本地的sd-wan节点可以被用于为服务提供商托管的基于互联网的应用或服务提供改进的(例如,高度可靠的)网络路径。然而,服务提供商可能不想为其客户管理数百或数千个sd-wan节点。而且,服务提供商可能不想允许外部网络管理员不受限制地访问服务提供商网络,使得他们可以配置自己的sd-wan节点。因此,服务提供商更愿意对其网络中任何本地sd-wan节点的至少一些方面进行控制。
21.根据本文描述的主题的一些方面,公开了用于提供多租户sd-wan节点的技术、方法、系统或机构。例如,根据本文描述的至少一些方面的网络节点(例如,sd-wan节点)或服务网关可以位于服务提供商网络中,并且向一个或多个租户(例如,管理域、企业或相关的sd-wan)提供至少一个服务。在此示例中,该网络节点或服务网关或其中的各方面可以从几个不同的管理域被安全地管理,而不同的管理域不可能彼此干扰。继续此示例,可以通过安全措施(例如,唯一的预共享密钥)和/或访问设计(例如,特定于租户的带宽限制、特定于租户和/或特定于站点的管道等)来防止不同的管理域彼此干扰。
22.根据本文描述的主题的一些方面,公开了用于从多个租户和从服务提供商接收配置信息并将此配置信息合并或整形为用于sd-wan节点的、满足租户和服务提供商要求的单个运行时配置的技术、方法、系统或机构。例如,根据本文描述的至少一些方面的网络节点或服务网关可以被配置为允许每个租户配置一个或多个管道(例如,使用多个wan链路的通信隧道,用于将服务提供商网络连接到sd-wan站点)的各方面(例如,加密和协议设置),同时允许服务提供商配置各种其它方面,例如,每个租户可以连接到服务提供商网络的多少个站点以及每个租户的总带宽。在此示例中,针对每个租户的配置可以独立执行并且可以在不同的时间发生(例如,在不要求任何租户之间的协调的情况下执行配置)。
23.根据本文描述的主题的一些方面,公开了用于允许sd-wan节点利用高精度时间同步机制来监视其管道或wan链路的时延和其它问题的技术、方法、系统或机构,例如,以便可以在wan链路上以最低时延来发送分组。例如,sd-wan节点可以经由与不同租户相关联的多个wan链路发送和接收流量,其中每个租户都维护自己的时间同步机制以监视其wan链路的状态。由于每个时间同步机制可以彼此略有不同,因此根据本文描述的至少一些方面的网络节点或服务网关可以为与该网络节点或服务网关相关联的管道维护和/或利用单独的时间同步机制(例如,主时钟)。在另一个示例中,例如,在不同租户使用现有时间同步机制的情况下,根据本文描述的至少一些方面的网络节点或服务网关可以为与该网络节点或服务网关相关联的每个管道维护和/或利用单独的时间同步机制。
24.根据本文描述的主题的一些方面,公开了用于识别和/或区分sd-wan和与不同租户相关联的相关wan链路的技术、方法、系统或机构,其中wan链路可以使用相同的标识符。例如,根据本文描述的至少一些方面的网络节点或服务网关可以维护或存储与每个租户相
关联的wan链路标识符连同唯一的租户和/或站点标识符。在此示例中,在配置期间,当网络节点或服务网关接收到与租户“a”的站点“x”相关联的wan链路标识符“1”和“2”时,网络节点或服务网关可以使用数据结构(例如,散列表,其使用租户和/或站点标识符作为输入并使用对应的wan链路标识符作为输出)来存储该信息,使得租户和/或站点标识符可以识别对应的wan链路标识符,特别是当wan链路标识符本身不是独一无二时。
25.根据本文描述的主题的一些方面,公开了用于建立和移除动态云管道的技术、方法、系统或机构。例如,当检测到指向或来自服务提供商的用户流量时,可以建立服务提供商网络中的sdn-wan节点与租户(例如,企业网络)的sdn-wan站点中的客户端设备之间的云管道。一旦建立了云管道,就可以使用心跳过程来确定何时不再需要该云管道。例如,客户端设备可以使用连接状态请求来周期性轮询服务提供商网络中的sd-wan节点。在此示例中,sd-wan节点可以回复连接状态请求,并可以跟踪来自客户端设备的任何错过的连接状态请求。继续此示例,如果错过了预定数量的连续的连接状态请求,那么sd-wan节点可以假设客户端设备无法操作或者不再具有活动的云管道连接。响应于确定不再需要云管道,sd-wan节点可以自动清理用于到客户端设备的连接的资源,使得这些资源可供其它客户端设备使用。
26.有利地,通过提供可以与单独的、独立的sd-wan交互或成为该sd-wan一部分的多租户sd-wan节点,服务提供商能够更可靠地并以有效且成本高效的方式向sd-wan用户提供云服务(例如,基于互联网的应用、基于云的存储,等等)。例如,多租户sd-wan节点(例如,服务提供商网络中的sd-wan服务网关)可以为服务提供商提供如下解决方案,在该解决方案中,他们可以部署访问业务关键的互联网托管的服务的高度可靠的方法并将其作为服务出售给他们的企业客户,其中每个租户都可以配置sd-wan节点的各方面,同时还防止每个租户干扰服务提供商或其他租户的配置。另外,通过使用动态云管道,服务提供商可以高效地使用资源,因为sd-wan节点可以检测动态云管道的不活动性,并且可以释放与任何不活动的云管道相关联的相关资源,从而允许将资源被重新分配到另一个云管道和/或租户。
27.现在将详细参考本文描述的主题的各种实施例,其示例在附图中示出。在可能的情况下,将在整个附图中使用相同的附图标记来指代相同或相似的部分。
28.图1是图示利用sd-wan节点的示例通信环境100的图。参考图1,通信环境100可以包括自适应专用网络(apn)101和服务提供商网络102。apn 101可以表示与管理域相关联的各种网络节点、装备和用户设备。在此示例中,apn 101也可以被称为sd-wan,并且可以使用sd-wan技术、wan链路和相关装备来连接站点。例如,apn 101可以表示包括多个站点(例如,站点110和站点112)的企业网络,这些站点经由sd-wan节点或设备通信连接。在此示例中,sd-wan节点或设备可以被配置为使用wan链路和相关装备,以便使用加密和封装技术在站点之间进行隧道化通信。
29.站点110和站点112中的每一个可以表示与apn 101相关联的lan、子网络或物理位置(例如,办公楼),其中每个站点可以包括各种设备、装备和/或装置。如图1中所描绘的,站点110可以包括网络控制器(nc)113和数据存储装置118,并且站点112可以包括ca 116和数据存储装置120。在一些实施例中,包括nc 114的站点(例如,站点110)可以不包括或利用单独的ca。代替地,在此类实施例中,nc 114可以包括与ca 116相似的功能并且可以促进站点110与apn 101的其它站点之间的云管道连接和/或站点110与服务提供商网络102之间的云
管道连接。
30.在一些实施例中,apn 101可以具有活动的网络控制器(例如,nc 114)和备用网络控制器,当故障转移发生时,备用网络控制器可以变为活动的。在此类实施例中,活动的网络控制器可以与备用网络控制器在同一站点或在不同站点。
31.nc 114可以表示用于执行与控制或管理sd-wan(例如,apn101)和相关网络节点(例如,ca 116)的任何一个或多个合适的实体(例如,在处理器上执行的软件、fpga、asic,或软件、fpga和/或asic的组合)。在一些实施例中,可以使用一个或多个处理器和/或存储器来实现nc 114。例如,nc 114可以利用一个或多个处理器(例如,执行存储在存储器中的软件)来配置ca 116。在此示例中,nc 114还可以利用一个或多个处理器将指令或网络信息发送到apn 101或服务提供商网络102中的各种模块或实体。在一些实施例中,nc 114可以包括主时钟控制器、时间同步模块或相关的功能性,或与它们交互。例如,时间同步模块可以负责与apn的时间同步,并且可以周期性地发送同步信号(例如,时间同步信息)以保持公共时钟或从时钟是同步的。
32.ca 116可以是用于连接apn 101中的站点的任何一个或多个合适的实体(例如,在处理器上执行的软件、fpga、asic,或软件、fpga和/或asic的组合)。在一些实施例中,ca 116可以被配置为使用一个或多个wan管道(例如逻辑实体)以用于在位置之间进行隧道化通信。在一些实施例中,每个管道可以使用wan链路(例如,使用商业可用的互联网接入、蜂窝网络、租用的线路和/或其它连接技术连接的一组ip地址),并且穿过管道的通信可以使用一个或多个网络协议(例如,封装协议)和/或加密技术。
33.在一些实施例中,ca 116可以使用网络管理协议、链路聚合技术和/或拥塞避免机制来减少时延、增加带宽,并且以其它方式维持站点110与112之间的一个或多个可靠连接。例如,ca 116和/或sn 104可以监视与管道相关联的路径(例如,wan链路),以在经由可行(例如,低时延)路径发送分组之前跟踪路径的状态和时延。在此示例中,如果分组丢失,那么分组可以经由不同的路径被重传。
34.在一些实施例中,监视与管道相关联的路径(例如,wan链路)可以涉及周期性地(例如,每50毫秒)向sn 104发送状态更新消息或其它消息,并且使用从这些消息中获得的信息来选择适当的链路以用于将分组从一个位置发送到另一个位置。
35.数据存储装置118和120中的每一个可以表示用于存储apn配置信息、ca配置信息和/或其它数据的任何合适的实体(例如,计算机可读介质或存储器)。例如,数据存储装置118和120中的每一个可以存储从nc 114发送的网络信息并且可以存储与穿过wan管道的通信相关联的状态信息。
36.服务提供商网络102可以表示与提供云服务108相关联的各种网络节点、装备和/或设备。服务提供商网络102可以包括服务提供商站点103,用于与云服务108(例如,基于互联网的应用、基于云的存储、基于互联网的协作工具等)对接。例如,服务提供商站点103可以包括面向互联网的主机和服务器,用于接收用户对云服务108的请求并对用户请求做出响应。在此示例中,服务提供商站点103可以经由各种连接技术和/或网络装备与云服务108通信。例如,云服务108可以包括由服务提供商控制的单独的企业网络、数据中心和网络装备,并且可以经由多种冗余的连接技术而连接到服务提供商站点103和/或互联网。
37.云服务108可以表示与提供或托管基于互联网的或第三方托管的应用或服务相关
联的任何合适的实体(例如,网络、节点、设备、装备等)。例如,云服务108可以包括互联网协议语音(voip)服务、软件即服务(saas)或互联网回程服务。在此示例中,通信(例如,用户响应)可以由与云服务108相关联的一个或多个节点生成,并且可以经由内部网络、外部网络、直接链路或其它连接技术传送到服务提供商站点103。
38.服务提供商站点103可以包括sd-wan节点(sn)104和数据存储装置106。sn 104可以是用于连接apn 101和服务提供商网络102的任何合适的一个或多个实体(例如,在计算平台中的一个或多个处理器上执行的软件和/或vm)。数据存储装置106可以表示用于存储apn配置信息、sn配置信息和/或其它数据的任何合适的实体(例如,计算机可读介质或存储器)。例如,数据存储装置106可以存储由租户和服务提供商提供的配置信息,并且还可以存储与穿过云管道的通信(例如,在服务提供商站点103与站点110或112之间的通信)相关联的状态信息。
39.在一些实施例中,sn 104可以表示多租户sd-wan节点并且可以被配置用于通过利用可配置的云管道将云服务108提供给由不同租户(例如,管理域)控制的apn或其站点。例如,sn 104可以被配置为使用一个或多个云管道(例如,经由互联网连接的不同网络中的节点或站点的ip地址)来使用加密和/或分组封装在apn 101与服务提供商网络102之间进行隧道化通信。在另一个示例中,如图2中所描绘的,sn 104可以经由云管道将服务提供商网络102连接到多个apn。
40.在一些实施例中,每个云管道可以使用或包括物理和/或虚拟链路(例如,使用商业可用的互联网接入、蜂窝网络、租用线路和/或其它连接技术连接的一组ip地址)并且可以与各种网络协议和/或加密设置相关联。例如,云管道的端点(例如,ca 116和sn 104)可以转换或修改用于穿过管道的分组,例如,通过封装、加密和/或分组报头操作来进行转换或修改。在此示例中,分组转换和/或修改可以混淆管道最终用户的身份,从而使外部实体(例如,沿着云管道路径的基于互联网的节点)难以辨别租户的身份。
41.在一些实施例中,sn 104可以使用网络管理协议、链路聚合技术和/或拥塞避免机制来减少时延、增加带宽,并且以其它方式维持服务提供商网络102与apn 101或其中的站点之间的一个或多个可靠连接。例如,sn 104可以每50毫秒经由管道或其链路发送网络状态更新消息,并且可以使用从这些消息中获得的信息来选择适当的链路以在服务提供商网络102与apn 101或其中的站点之间进行隧道通信。
42.在一些实施例中,sn 104可以被配置为向一个或多个租户提供云服务108中的至少一项。例如,apn 101可以表示与租户(例如,apn 101或其管理员)相关联的网络,该租户被服务提供商授权以配置sn 104的各方面以在服务提供商网络102与apn 101或其中的站点之间建立一个或多个云管道。在此示例中,sn 104可以被配置为允许其它租户(例如,各个其它apn的管理员)在不干扰apn 101的情况下来管理sn 104的各方面。在此示例中,sn 104通过使用安全措施(例如,每个租户或相关的apn具有用于认证的唯一安全密钥)以及使租户及其工作负载保持独立的访问、许可和使用特征(例如,由服务提供商设置的租户带宽限制、特定于租户和/或特定于站点的管道,等等)来防止此类干扰。
43.在一些实施例中,sn 104可以被配置为从租户接收apn配置信息并且从服务提供商接收其它配置信息,例如,使用api、基于web的接口或与sn 104相关联的用户接口进行接收。例如,sn 104可以通过允许每个租户配置一个或多个云管道的各方面(例如,加密和协
议设置)并根据由服务提供商配置的一个或多个带宽容量来确定带宽分配,从而促进对于sn 104的租户相关的配置。在此示例中,sn104还可以通过允许服务提供商配置其它方面来促进对于sn 104的服务提供商相关的配置,例如,用于每个租户的安全密钥、每个租户可以连接到服务提供商网络102的多少站点、以及用于每个租户、apn和/或站点的总带宽。
44.在一些实施例中,来自各个源的配置信息可以被合并或以其它方式整形为满足租户和服务提供商的要求的对于sn 104的运行时配置(runtime configuration)。例如,当apn管理员将改变应用于他们的apn配置时,与sn 104相关的配置参数可以经由api(例如,rest api)被自动检测和/或提供给sn 104。在此示例中,由服务提供商的sd-wan节点所暴露的api可以允许更新后的配置信息被接收并合并到sn 104的配置中(例如,在运行时)。
45.在一些实施例中,sn 104或相关实体可以利用一个或多个网络协议来详细测量和监视网络,以确保递送和/或接收管道流量。例如,对云管道进行管理可以要求高分辨率时间同步和定期交换关于路径和wan链路的状态的消息,以识别和/或缓解通信问题(例如,时延或感知到的时延)。此类管道管理会带来挑战,因为时间的概念在apn(例如,sd-wan)之间可能不同,这是因为每个apn可以使用单独的时间同步机制(例如,主时钟)。
46.在一些实施例中,sn 104可以被配置为利用本地时间同步机制(例如,服务提供商网络102中的主时钟)来确定穿越云管道的通信是旧的还是最近的。例如,不管不同租户使用的现有时间同步机制如何,sn 104或相关实体都可以为多个云管道维护和/或利用单独的时间同步机制。在另一个示例中,例如,不管不同租户使用的现有时间同步机制如何,sn 104或相关实体都可以为每个管道维护和/或利用单独的时间同步机制。
47.将认识到的是,图1是出于说明目的,并且以上关于图1描述的各种节点和/或模块、位置和/或功能可以被改变、更改、添加或移除。
48.图2是图示用于向apn提供云服务的示例sn 104的图。参考图2,sn 104可以位于服务提供商网络102中并且可以经由云管道向apn 200提供对云服务108的可靠访问。
49.apn 200可以包括apn“a”、apn“b”和apn“c”。每个apn 200可以表示由不同租户(例如,企业或管理域)管理的sd-wan网络。apn“a”可以包括ca 212,apn“b”可以包括ca214,而apn“c”可以包括ca 216。ca 212-216中的每一个可以具有与如上所述的ca 116相似的功能性。例如,ca 212-216中的每一个可以将apn配置信息传送到sn 104并且可以充当其相应的apn(或其站点)与服务提供商网络102之间的一个或多个云管道的端点。
50.sn 104可以包括管理门户208和sd-wan网关(sdwg)210。管理门户208可以表示任何合适的实体,用于提供用于配置sn 104或相关实体(例如,sdwg 210)的各方面的gui或其它手段。例如,管理门户208是在sn 104(例如,计算平台)上运行的虚拟设备(例如,虚拟机(vm)或虚拟容器)并且可以提供基于web的管理门户。在一些实施例中,管理门户208可以与由服务提供商或相关管理员指派的端口以及私有ip地址相关联。
51.sdwg 210可以表示用于经由云管道传送用户流量的任何合适的实体。例如,sdwg 210可以是在sn 104(例如,计算平台)上运行的虚拟设备(例如,vm或虚拟容器),并且可以使用由管理门户208或相关的数据存储装置(例如,数据存储装置106)提供的配置信息来设立和维护用于apn 200中的一个或多个的云管道。在此示例中,对于每个云管道,配置信息中的至少一些来自服务提供商网络102的管理员,并且至少一些其它配置来自相关的租户(例如,对经由云管道连接到服务提供商网络102的apn和/或站点进行管理或控制的实体)。
52.在一些实施例中,在创建或建立云管道之前,可以从租户或相关的节点(例如,nc 114或ca 116)向sn 104提供一些配置信息。提供给sn 104的示例配置信息可以包括网络或站点配置信息和设置,并且可用于设立正确地配置的管道,以便在服务提供商网络102与apn或其站点之间可靠地路由流量。在一些实施例中,向sn 104提供配置信息的过程可以被称为“迷你”配置,并且在此过程中提供的信息可以被称为“迷你”配置信息。
53.在一些实施例中,云管道在创建和移除方面可以是动态的。例如,假设已经执行了“迷你”配置过程,那么ca 116可以检测用户流量何时以服务网络提供商102为目的地,并且可以向sdwg 210发送触发消息以建立动态云管道。在此示例中,一旦建立了动态云管道,就可以经由云管道发送用户流量。在此示例中,在确定不再需要或使用云管道之后(例如,没有检测到穿过该管道的用户流量或在预定时间量内没有从ca 116接收到状态请求),sdwg 210可以自动对用于到ca 116的连接的资源进行清理或取消分配,以便这些资源可以用于(重新)使用。
54.在一些实施例中,管理门户208和sdwg 210可以各自与由服务提供商或相关管理员指派的唯一私有ip地址和端口相关联。在此类实施例中,nat/路由器204可以表示如下的的设备或装置,即,该设备或装置使用公共ip地址来接收sn相关流量并使用一个或多个端口来识别是否将接收到的sn相关流量路由到管理门户208和sdwg 210。例如,来自apn“a”或相关管理员的流量可以在封装分组报头中包括管理端口值或者网关端口值作为目的地端口。在此示例中,如果nat/路由器204确定封装分组报头包括作为目的地端口的管理端口值,那么nat/路由器204可以将该分组路由到与管理门户208相关联的私有ip地址和端口,并且如果nat/路由器204确定封装分组报头包括网关端口值作为目的地端口,那么nat/路由器204可以将该分组路由到与sdwg 210相关联的私有ip地址和端口。
55.在一些实施例中,sdwg 210可以与多个接口和/或ip地址和端口相关联。例如,sdwg 210可以将至少一个私有ip地址和至少一个端口用于面向apn 200的南向(sb)接口,并且可以将至少一个公共ip地址和至少一个端口用于面向云服务108的北向(nb)接口。下面关于图6a-图6b描述穿过sn 104和其中的元件的示例消息流。
56.将认识到的是,图2及其相关描述是出于说明目的,并且图2中的sn 104和/或各种其它实体可以包括附加的和/或不同的模块、部件或功能性。
57.图3是图示可用于配置sd-wan节点(例如,sn 104或sdwg210)的各方面的示例apn配置信息300的图。在一些实施例中,apn配置信息300可以包括来自“迷你”配置过程的数据,该过程涉及将一些初始配置信息从站点节点(例如,nc 114或ca 116)发送到sn 104。例如,apn配置信息300可以被提供给sn 104并且可以可用于设立正确配置的管道以在服务提供商网络102与apn或其站点之间可靠地路由流量。在此示例中,apn配置信息300可以包括网络或站点配置信息的子集,并且可以在管道被创建或用于给定apn或站点之前被传送到sn 104。
58.在一些实施例中,apn配置信息300可以以sn 104或其中的模块可读的数据格式被发送到sn 104。例如,如图3中所描绘的,apn配置信息300可以以xml数据格式提供。在一些实施例中,apn配置信息300可以包括云全局特性、云服务默认信息、ipsec特性、高级特性、云服务特性、一个或多个规则、类信息、云服务器(例如,sn)特性、与云服务器相关联的虚拟wan链路信息、自动路径组特性、站点设备(例如,ca)特性、路由信息、附加的云服务特性、与
云服务相关联的动态云管道路由域信息,和/或与云服务相关联的附加虚拟wan链路信息。
59.在一些实施例中,提供给sn 104的apn配置信息300可以仅包括最近改变或添加的信息。例如,如果apn已调整由其wan链路使用的网络协议或已添加附加的加密措施,那么提供给sn 104的apn配置信息300可以包括此改变的或新的信息,而不提供未被改变的配置信息。
60.参考图3,描绘了示例xml配置文件的一部分。示例xml配置文件的第1行可以包括“miniconfig”(迷你配置)xml数据元素,其指示xml配置文件的名称、修订号和时间戳。
61.示例xml配置文件的第2-9行指示“cloud_global_properties”(云全局特性)xml数据元素,其指示加密模式参数(第3行)、增强的消息认证参数(第4行)、增强的消息认证类型(第5行)、增强的分组唯一性参数(第6行)、增强的密钥更新启用的参数(第7行),以及订户apn名称参数(第8行)。
62.示例xml配置文件的第10-21行指示“virtual_wan_link_access”(虚拟wan链路访问)xml数据元素,其指示wan链路名称(第11行)、特性定义参数(第12行)、wan链路标识符参数(第13行)、访问类型参数(第14行)、wan入口物理速率限制参数(第15行)、wan出口物理速率限制参数(第16行)、wan入口允许的速率限制参数(第17行)、wan出口允许的速率限制参数(第18行)、以字节为单位的最大传输单位参数(第19行)、公共ip地址参数(第20行),以及启用公共ip学习功能参数(第21行)。
63.将认识到的是,图3及其相关描述是出于说明目的,并且与图3中描绘的信息不同的附加和/或不同信息可以可用于配置sd-wan节点或其方面。例如,对于每个管道和管道相关服务,apn配置信息300可以包括用于充分配置sn 104或sdwg 210以经由管道处置各种服务的参数和设置。
64.图4a-图4c是图示用于配置sd-wan节点(例如,sn 104)的各方面的gui 400-404的图。在一些实施例中,gui 400-404可以表示由管理门户208提供的各种页面,这些页面可供服务提供商或相关管理员用于配置sn 104或其各方面,例如sdwg 210。在一些实施例中,gui 400-404还可以允许服务提供商输入各种特定于租户的(例如,特定于订户的)信息,例如,租户相关带宽限制以及允许的最大租户站点数量。
65.在一些实施例中,服务提供商网络102的管理员可能需要配置sn 104,添加授权订户(例如,租户),以及添加可以利用sn 104的一个或多个授权的apn。在一些实施例中,可以在租户或订户提供apn配置信息300之前执行服务提供商相关的配置。
66.参考图4a,gui 400表示用于接收用于配置服务网关(例如,sn 104或sdwg 210)的输入的页面。在一些实施例中,gui 400可以包括与不同配置方面和动作按钮相关联的输入字段的组,例如,用于添加或存储输入的信息的“添加”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“取消”按钮。
67.如gui 400中所描绘的,“通用”组可以包括用于命名或识别服务提供商网络102中的特定sd-wan节点的服务名称输入字段和用于指示与sd-wan相关联的总带宽限制的带宽容量输入字段。例如,总带宽限制可以是基于硬件或服务提供商的其它考虑的值,并且可以强制执行此带宽限制,使得当考虑(例如,组合)用于sn 104的所有租户的带宽时,与sd-wan节点相关联的总带宽限制不会被超过。
[0068]“管理/rest api接口”组可以包括用于输入用于连接到sdwg 210的公共ip地址的
公共管理ip地址输入字段、用于输入用于连接到sdwg 210的端口的管理端口输入字段、以及用于输入用于连接到sdwg 210的私有ip地址(例如,可由服务提供商网络102中的nat/路由器使用)的私有管理ip地址输入字段。
[0069]“南向管道接口”组可以包括用于输入用于从apn连接到服务提供商网络102中的sd-wan节点的公共ip地址的公共管道ip地址输入字段、用于输入连接到服务提供商网络102中的sd-wan节点的第一端口的第一管道端口输入字段、用于输入用于连接到服务提供商网络102中的sd-wan节点的第二端口的第二管道端口输入字段、用于输入用于连接到sdwg 210的面向apn的接口(例如,可由服务提供商网络102中的nat/路由器使用)的私有虚拟ip(vip)地址的南向私有vip地址输入字段、用于输入用于到达可用于解析由输入的掩码值指示的南向私有vip地址或相关地址范围的路由器的网关地址的南向私有网关地址输入字段,以及用于输入指示可以被指派用于南向管道接口的地址范围的值的掩码输入字段。
[0070]“北向服务接口”组可以包括用于输入用于连接到sdwg 210的面向互联网的接口(例如,可由服务提供商网络102中的nat/路由器使用)的私有vip地址的北向vip地址输入字段、用于输入用于到达可用于解析由输入的掩码值指示的北向私有vip地址或相关地址范围的路由器的网关地址的北向私有网关地址输入字段,以及用于输入指示可以被指派用于北向流量接口的地址范围的值的掩码输入字段。
[0071]
参考图4b,gui 402表示用于接收用于配置订户(例如,租户)的输入的页面。在一些实施例中,gui 402可以包括与不同配置方面和动作按钮相关联的多个输入字段,例如,用于添加或存储输入信息的“创建订阅者”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“关闭”按钮。
[0072]
如所描绘的,gui 402可以包括用于输入表示特定订户的名称或标识符的订户名称输入字段、用于输入与特定订户相关联的电子邮件地址的电子邮件输入字段、用于输入与特定订户相关联的密码的密码输入字段、用于再次输入密码以确认密码输入字段中输入的密码正确的确认密码输入字段;以及用于输入与订户相关联的总带宽限制的带宽容量输入字段(例如,订户可以在管理门户208中管理各个站点和/或网络之间的带宽分配,但不能超过由服务提供商设置的此订户带宽限制)。
[0073]
参考图4c,gui 404表示用于接收用于配置网络(例如,apn101)的输入的页面。在一些实施例中,gui 404可以包括与不同配置方面和动作按钮相关联的多个输入字段,例如,用于添加或存储输入信息的“创建网络”按钮和用于关闭或清除页面(例如,忽略输入的信息)的“关闭”按钮。
[0074]
如所描绘的,gui 404可以包括用于输入用于表示特定网络的名称或标识符的网络名称输入字段,以及用于输入可用于认证的预共享密钥的预共享密钥输入字段(例如,使得只有被授权的订户可以与此网络的用于sn 104的配置设置进行交互和/或修改该配置设置)。gui 404还可以包括用于触发唯一预共享密钥的生成(例如,由web服务器、安全设备或另一个实体生成)的“新psk”按钮。
[0075]
gui 404还可以包括用于输入与apn相关联的每个站点(例如,lan、子网或相关位置)相关联的带宽限制的每站点带宽限制,以及用于输入与apn相关联的带宽限制的每网络带宽限制。每网络带宽限制不能超过总订户容量(例如,经由gui 402输入的总订户容量)。gui 404还可以基于所使用的站点的数量以及所输入的它们的相关带宽限制来提供剩余订
户容量的反馈。
[0076]
gui 404还可以包括用于将apn关联到一个或多个服务网关(例如,服务提供商网络102中的sd-wan节点)的用户界面元素。例如,gui 404可以包括动作按钮,例如,用于选择服务网关以与apn相关联的“添加服务”按钮和用于将服务网关移除与apn的关联的“移除服务”按钮。在此示例中,gui 404可以提供表格或视觉元素,用于指示每个相关联的服务网关允许的最大带宽和最大连接。
[0077]
将认识到的是,图4a-图4c及其相关描述是出于说明目的,并且附加和/或不同的用户界面元素可以可用于输入各种信息以促进由服务提供商或相关管理员对sd-wan节点的各个方面进行配置。
[0078]
图5是图示用于向sn 104提供apn配置信息的示例动作的图。在一些实施例中,apn配置信息可以以一个或多个格式存储在数据文件中,并且可以经由web gui、api或其它通信接口发送到sn104。在此类实施例中,sn 104可以使用接收到的apn配置信息来生成或建立sn 104与相关apn之间的一个或多个云管道。
[0079]
参考图5,在步骤501处,nc 114可以向ca 116发送apn配置信息300。例如,nc 114可以访问大多数(如果不是全部)相关apn配置信息300,并且可以周期性地(例如,每10分钟)、动态地(例如,当sd-wan改变被检测到时)或根据要求向ca 116提供此信息。
[0080]
在步骤502中,ca 116可以接收apn配置信息300,并且如果需要,可以修改apn配置信息300或生成附加配置信息。例如,ca116可以生成或修改特定于站点的配置信息并将此信息添加到从nc114获得的apn配置信息300。
[0081]
在步骤503中,ca 116可以将apn配置信息300发送到sn104。例如,ca 116可以利用rest api或其它机构将apn配置文件上传到sn 104。
[0082]
在步骤504中,sn 104可以接收apn配置信息300并且可以解析并存储apn配置信息300以供将来使用。例如,sn 104可以将各种apn配置设置存储在数据结构中,使得当创建连接到该apn或相关站点的管道时,相关的apn配置设置是可检索的。
[0083]
将认识到的是,图5是出于说明性的,并且可以使用不同的和/或附加的消息、步骤和/或动作。例如,代替ca 116传送apn配置信息300,另一个实体(例如,使用基于web的接口的网络控制器或管理员)可以提供apn配置信息300。还将认识到的是,本文描述的各种消息、步骤和/或动作可以以不同的次序或顺序发生。
[0084]
图6a-图6b是图示穿过连接apn和服务提供商网络的云管道的示例消息的图。特别地,图6a描绘了从apn“a”中的主机600到sdwg 210的出口消息流,并且图6b描绘了从sdwg 210到主机600的入口消息流。
[0085]
在一些实施例中,云管道可以利用一个或多个wan链路(例如,公共ip地址之间的连接),其允许流量在apn(或相关站点)和服务提供商网络之间被隧道化。例如,管道可以在apn“a”中的ca212(或相关设备)的公共ip地址与服务提供商网络102中的nat/路由器204之间传输分组。在此示例中,通过利用多个wan链路,即使这些wan链路的一部分出现故障或存在通信问题,云管道也具有固有的可靠性。
[0086]
在一些实施例中,云管道可以被配置为使用由apn或相关管理员配置的加密和/或协议设置的集合来发送通信。在一些实施例中,云管道本质上可以是动态的,例如,云管道可以在例如由ca 212检测到以服务提供商网络为目的地的消息之后建立。在此类实施例
中,此消息可能需要排队,直到云管道的建立完成。
[0087]
在一些实施例中,sdwg 210或sn 104的另一个实体可以学习或导出与各个apn或其站点相关联的wan链路的公共ip地址。例如,sdwg 210可以经由连接sdwg 210和ca 212的云管道接收加密的分组,但sdwg 210可能不知道与ca 212相关联的公共ip地址。在此示例中,为了确定或获知与ca 212相关联的公共ip地址,sdwg 210可以尝试使用不同的站点密钥(例如,先前由服务提供商生成并存储在数据存储装置106中的站点密钥)对分组进行解密,直到分组解密成功并且,在成功解密之后,分组报头中的源ip地址和源端口是可见的。一旦获知源ip地址和源端口,sdwg 210或sn104的另一个实体就可以将获知的源ip地址和源端口与各个租户相关的标识符相关联。例如,sdwg 210可以使用基于散列的数据结构来维护路由表信息。在此示例中,散列键可以基于(公共或外部)源ip地址和源端口,并且对应的散列条目基于apn标识符、wan链路标识符和站点标识符。在此示例中,即使当多个租户使用相同的wan链路标识符时,sdwg 210也可以识别与站点或管道相关联的相关wan链路,因为wan链路标识符、相关的apn标识符和相关的站点标识符的组合将是唯一的。
[0088]
参考图6a,在步骤601中,请求分组(例如,互联网控制管理协议回声请求分组)可以从apn“a”中的主机600被发送,并且可以包括报头,该报头指示与主机600相关联的ip地址作为源地址并且指示与基于互联网的服务相关联的ip地址作为目的地地址。请求消息的目的地可以是互联网服务提供商,例如基于web的office 365应用。
[0089]
在步骤602中,ca 212可以接收请求分组,并且可以处理请求分组以经由云管道传输。在一些实施例中,ca 212可以通过将请求分组报头中的源地址改变为与ca 212相关联的wan链路ip地址和端口来处理请求分组,并且可以通过添加封装报头和/或加密请求分组(例如,作为封装的分组中的有效载荷)来对请求分组进行封装。
[0090]
在一些实施例中,出于隐私目的,请求分组报头中的源ip地址和/或其它参数(例如,步骤601)可以被改变或对服务提供商和其它租户隐藏。例如,这种混淆可以被用于使发送穿过云管道的分组的端点的身份应当难以被服务提供商或另一个实体辨别。
[0091]
在一些实施例中,封装的分组可以包括封装报头(例如,talari可靠协议(trp)报头),其指示wan链路ip地址作为源地址、与nat/路由器204相关联的ip地址作为目的地地址,和/或管道端口作为源端口和目的地端口。
[0092]
在步骤603处,封装的分组可以被发送到与sn 104相关联的nat/路由器204。
[0093]
在步骤604处,nat/路由器204可以接收封装的分组并检查其报头以确定是否将分组路由到sn 104。例如,如果封装的分组报头将管道端口指示为目的地端口,那么nat/路由器204可以改变封装的分组报头中的目的地地址和/或目的地端口以将封装的分组引导至sdwg 210。
[0094]
在一些实施例中,nat/路由器204可以存储关于封装的分组和/或内部的请求分组的状态信息,用于在对应的响应分组被发回时识别apn“a”中的适当管道和/或目的地。例如,nat/路由器204可以使用映射数据元组(例如,源ip地址和源端口)的数据结构(例如,散列表或字典)。
[0095]
在步骤605处,可以将封装的分组发送到sdwg 210。
[0096]
在步骤606中,sdwg 210可以接收封装的分组并且可以例如通过剥离封装报头来对封装的分组进行解封装。sdwg 210还可以将与请求分组相关联的源地址从与ca 212相关
联的wan链路ip地址修改为与nat/路由器202相关联的“北向”ip地址,用于路由以云服务108为目的地的流量。
[0097]
在一些实施例中,nat/路由器202可以存储关于请求分组的状态信息,用于在对应的响应分组被发回时识别apn“a”中的适当管道和/或目的地。例如,nat/路由器204可以使用映射数据元组(例如,源ip地址和源端口)的数据结构。
[0098]
在一些实施例中,nat/路由器202可以将请求分组朝着其目的地(例如,ip地址“8.8.8.8”)转发或发送。例如,服务提供商网络102中的服务节点可以处理请求分组,并且对应的响应可以被生成并发送回与sn 104相关联的nat/路由器202。在此示例中,nat/路由器202可以接收响应分组并将响应分组发送或转发到sdwg 210。
[0099]
参考图6b,在步骤607中,sdwg 210可以接收与请求分组对应的响应分组并且可以处理响应分组以经由云管道传输。在一些实施例中,sdwg 210可以通过将响应分组报头中的目的地地址改变为与nat/路由器204相关联的ip地址来处理响应分组,并且可以通过添加封装报头和/或加密响应分组(例如,作为封装的分组中的有效载荷)来封装响应分组。在一些实施例中,封装的分组可以包括封装报头(例如,trp报头),其指示与sdwg 210相关联的私有ip地址作为源地址、与nat/路由器204相关联的“南向”ip地址作为目的地地址、管道端口作为源端口和目的地端口。
[0100]
在步骤608中,封装的分组可以被发送到与sn 104相关联的nat/路由器204。
[0101]
在步骤609中,nat/路由器204可以接收封装的分组并检查其报头以确定使用哪个管道来路由该封装的分组。例如,如果封装的分组报头指示去往ca 212的管道(例如,基于一个或多个标识符或各个值的散列而指示),那么nat/路由器204可以将封装的分组报头中的目的地地址改变为与ca 212相关联的wan链路ip地址和/或目的地端口,用于将封装的分组引导至ca 212。在一些实施例中,nat/路由器204可以将封装的分组报头中的源地址改变为与nat/路由器204相关联的公共ip地址。
[0102]
在步骤610处,可以将封装的分组发送到ca 212。
[0103]
在步骤611中,ca 212可以接收封装的分组并且可以例如通过剥离封装报头来对封装的分组进行解封装。ca 212还可以将与响应分组相关联的目的地地址从与ca 212相关联的wan链路ip地址修改为与主机600相关联的ip地址。
[0104]
在步骤612中,ca 212可以将响应分组发送到主机600。
[0105]
将认识到的是,图6是出于说明目的,并且可以使用不同的和/或附加的消息、步骤和/或动作。还将认识到的是,本文描述的各种消息、步骤和/或动作可以以不同的次序或顺序发生。
[0106]
图7是图示用于提供多租户sd-wan节点的示例过程700的图。在一些实施例中,本文描述的示例过程700或其部分可以在网络节点(例如,sn 104)、sdwg 210和/或另一个模块或节点处被执行或由其执行。
[0107]
参考示例过程700,在步骤702中,可以使用来自服务提供商网络的管理员的输入来生成用于第一租户的用户配置信息。在一些实施例中,用户配置信息可以包括用于允许第一租户配置第一网络节点的各方面的安全密钥以及与第一租户相关联的总带宽限制。
[0108]
在步骤704中,可以向第一租户发送用户配置信息中的至少一些。例如,用户配置信息可以包括预共享密钥、服务带宽限制、每管道带宽限制、每站点带宽限制和/或每网络
wan相关联的第二站点之间进行隧道化通信;使用第二配置信息配置第三管道,以用于在服务提供商网络和与第一租户的sd-wan相关联的第二站点之间进行隧道化通信,其中第一管道和第三管道的组合带宽不超过与第一租户相关联的总带宽限制;以及经由第三管道在服务提供商网络和与第一租户的sd-wan相关联的第二站点之间建立通信隧道。
[0119]
在一些实施例中,过程700还可以包括学习与第一站点(例如,站点112)相关联的公共ip地址,其中学习公共ip地址包括经由第一管道接收加密的分组,使用所存储的与不同站点相关联的预共享的密钥来解密该加密的分组,直到加密的分组被成功解密,并从解密的分组报头中识别公共ip地址。例如,sn 104或sdgw 210可以通过尝试使用与各个apn或租户相关联的不同预共享密钥来解密分组从而获知与ca 116相关联的ip地址。在此示例中,在预共享的密钥成功解密分组之后,sn 104或sdgw 210可以将位于分组的分组报头中的ip源地址和源端口与相关的apn标识符、wan链路标识符和站点标识符相关联。
[0120]
在一些实施例中,过程700还可以包括维护与每个管道、站点和/或租户相关联的统计数据和/或流量监视信息。
[0121]
将认识到的是,图7是出于说明目的,并且可以使用不同的和/或附加的步骤和/或动作。还将认识到的是,本文描述的各种步骤和/或动作可以以不同的次顺序或顺序发生。
[0122]
应当注意的是,本文描述的网络节点、sn 104、sdwg 210和/或功能性可以构成专用计算设备。另外,本文描述的网络节点、sn104、sdwg 210和/或功能性可以改进通信网络和sd-wan连接性的技术领域。例如,通过在服务提供商网络中提供能够促进由多个租户配置的管道的sn 104,sd-wan用户可以以可靠的方式和/或以可靠的服务级别接收云服务。另外,通过使用多租户sd-wan节点,服务提供商可以更可靠地并以有效且成本高效的方式向与多个租户相关联的sd-wan用户提供云服务。
[0123]
将理解的是,在不脱离本文描述的主题的范围的情况下,可以改变本文描述的主题的各种细节。此外,前述描述仅出于说明的目的,而非出于限制的目的。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
