向虛擬覆蓋網(wǎng)絡(luò)流量提供服務(wù)的制作方法
【專利摘要】根據(jù)一個(gè)實(shí)施例,一種系統(tǒng)包括覆蓋網(wǎng)絡(luò)設(shè)備,該覆蓋網(wǎng)絡(luò)設(shè)備包括:適于與虛擬覆蓋網(wǎng)絡(luò)(VON)網(wǎng)關(guān)進(jìn)行電通信的接口;適于從VON網(wǎng)關(guān)接收多個(gè)分組的邏輯部件;適于確定所述多個(gè)分組是否包括覆蓋頭的邏輯部件;適于對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封的邏輯部件;適于對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù)的邏輯部件;以及適于將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切換到虛擬網(wǎng)絡(luò)中的目的地地址并且將封裝后的分組發(fā)送到VON網(wǎng)關(guān)的邏輯部件,或者適于在不將分組與覆蓋頭封裝在一起的情況下將被服務(wù)的分組發(fā)送到VON網(wǎng)關(guān),以切換到非虛擬網(wǎng)絡(luò)中的目的地地址的邏輯部件。
【專利說明】向虛擬覆蓋網(wǎng)絡(luò)流量提供服務(wù)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)據(jù)中心基礎(chǔ)設(shè)施,更具體地,本發(fā)明涉及在數(shù)據(jù)中心中向虛擬覆蓋 網(wǎng)絡(luò)流量(network traffic)提供深度分組檢測(cè)服務(wù)。
【背景技術(shù)】
[0002] 雖然對(duì)于數(shù)據(jù)中心基礎(chǔ)設(shè)施的彈性的需要已經(jīng)討論了很久,并且業(yè)界對(duì)于如何使 數(shù)據(jù)中心更加敏捷已經(jīng)設(shè)想了多種競(jìng)爭(zhēng)性理念,但是較少?gòu)?qiáng)調(diào)虛擬化安全和服務(wù)。一些安 全特征包括防火墻、入侵防御系統(tǒng)(IPS)、入侵檢測(cè)系統(tǒng)(IDS)等,一些服務(wù)包括加速器、虛 擬私人網(wǎng)絡(luò)(VPN)終止、負(fù)載均衡、流量壓縮、智能成形、速率限制等。通過服務(wù)器虛擬化和 分布式應(yīng)用程序架構(gòu),在多個(gè)應(yīng)用程序和客戶端上共享基礎(chǔ)設(shè)施變得越來越普遍,并且最 近的趨勢(shì)表明,隨著應(yīng)用程序變得越來越分布化,服務(wù)器對(duì)服務(wù)器通信(在數(shù)據(jù)中心中被 稱為東西流量(east-west traffic))有可能呈指數(shù)增長(zhǎng)。
[0003] 虛擬覆蓋網(wǎng)絡(luò),諸如虛擬可擴(kuò)展局域網(wǎng)(VXLAN)和其他虛擬覆蓋網(wǎng)絡(luò),在原始網(wǎng) 絡(luò)分組的頂部使用封裝在分組中的協(xié)議頭來創(chuàng)建位置透明性。由于附加的封裝協(xié)議頭,現(xiàn) 有的或傳統(tǒng)的網(wǎng)絡(luò)間元件(INE,諸如物理基礎(chǔ)設(shè)施路由器和交換機(jī)等)不可能從原始分組 內(nèi)確定信息。這是因?yàn)楦采w協(xié)議頭內(nèi)部的原始分組被作為典型的數(shù)據(jù)有效載荷被封裝到傳 統(tǒng)INE。此外,原始分組的這種缺乏可見性阻止了 INE實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)安全和服務(wù)。像虛 擬可擴(kuò)展局域網(wǎng)(VXLAN)的協(xié)議使用用戶數(shù)據(jù)報(bào)協(xié)議/互聯(lián)網(wǎng)協(xié)議(UDP/IP)來封裝原始 以太網(wǎng)分組以用于通過物理網(wǎng)絡(luò)傳輸。原始以太網(wǎng)分組通過網(wǎng)絡(luò)從始發(fā)方隧穿到最近的 VXLAN網(wǎng)關(guān)。VXLAN網(wǎng)關(guān)將虛擬網(wǎng)絡(luò)連接到非虛擬網(wǎng)絡(luò)(具有物理組件的傳統(tǒng)網(wǎng)絡(luò))。因?yàn)?VXLAN網(wǎng)關(guān)理解(能夠處理)VXLAN協(xié)議和隧道(tunnel),所以它們具有識(shí)別封裝的分組的 能力。然而,目前,這些網(wǎng)關(guān)不能將服務(wù)或安全應(yīng)用于流過其的流量。
【發(fā)明內(nèi)容】
[0004] 在一個(gè)實(shí)施例中,一種系統(tǒng)包括覆蓋網(wǎng)絡(luò)設(shè)備,該覆蓋網(wǎng)絡(luò)設(shè)備包括:適于與虛擬 覆蓋網(wǎng)絡(luò)(V0N)網(wǎng)關(guān)進(jìn)行電通信的接口;適于從V0N網(wǎng)關(guān)接收多個(gè)分組(packet)的邏輯部 件;適于確定所述多個(gè)分組是否包括覆蓋頭(overlay header)的邏輯部件;適于對(duì)包括覆 蓋頭的分組的內(nèi)部分組進(jìn)行解封的邏輯部件;適于對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行 服務(wù)的邏輯部件;以及適于將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切 換到虛擬網(wǎng)絡(luò)中的目的地地址、并且將封裝的分組發(fā)送到V0N網(wǎng)關(guān)的邏輯部件,或者在不 將分組與覆蓋頭封裝在一起的情況下將被服務(wù)的分組發(fā)送到V0N網(wǎng)關(guān),以切換到非虛擬網(wǎng) 絡(luò)中的目的地地址的邏輯部件。
[0005] 在另一實(shí)施例中,一種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的方法包括: 接收包括多個(gè)分組的網(wǎng)絡(luò)流量;確定所述多個(gè)分組是否包括覆蓋頭;終止隧道,并且對(duì)包 括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封;對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù);發(fā)起 隧道,并且將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切換到虛擬網(wǎng)絡(luò)中 的目的地地址,并且發(fā)送封裝的分組,或者,在不將分組與覆蓋頭封裝在一起的情況下發(fā)送 被服務(wù)的分組,以切換到非虛擬網(wǎng)絡(luò)中的目的地地址。
[0006] 在又一實(shí)施例中,一種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的計(jì)算機(jī)程序 產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品包括包含計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述計(jì)算 機(jī)可讀程序代碼包括:被配置為從V0N網(wǎng)關(guān)接收包括多個(gè)分組的網(wǎng)絡(luò)流量的計(jì)算機(jī)可讀程 序代碼;被配置為確定所述多個(gè)分組是否包括覆蓋頭的計(jì)算機(jī)可讀程序代碼;被配置為對(duì) 包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封的計(jì)算機(jī)可讀程序代碼;被配置為對(duì)所述多個(gè)分組 或解封的內(nèi)部分組執(zhí)行服務(wù)的計(jì)算機(jī)可讀程序代碼;以及被配置為二選其一地執(zhí)行以下操 作的計(jì)算機(jī)可讀程序代碼:將所述內(nèi)部分組或所述多個(gè)分組與覆蓋頭封裝在一起以切換到 虛擬網(wǎng)絡(luò)中的目的地地址并且將封裝的分組發(fā)送到V0N網(wǎng)關(guān),或者,在不將分組與覆蓋頭 封裝在一起的情況下將被服務(wù)的分組發(fā)送到V0N網(wǎng)關(guān),以切換到非虛擬網(wǎng)絡(luò)中的目的地地 址。
[0007] 根據(jù)另一實(shí)施例,一種系統(tǒng)包括:適于與一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)和一個(gè)或多個(gè)非虛 擬網(wǎng)絡(luò)進(jìn)行電通信的一個(gè)或多個(gè)接口;適于接收包括多個(gè)分組的網(wǎng)絡(luò)流量的邏輯部件;適 于確定所述分組是否包括覆蓋頭的邏輯部件;適于終止隧道并且對(duì)包括覆蓋頭的分組的內(nèi) 部分組進(jìn)行解封的邏輯部件;適于確定將對(duì)所述分組執(zhí)行服務(wù)并且對(duì)所述分組執(zhí)行所述服 務(wù)的邏輯部件;以及適于發(fā)起隧道、并且將被服務(wù)的分組與覆蓋頭封裝在一起、并且將封裝 后的被服務(wù)的分組切換到虛擬網(wǎng)絡(luò)中的目的地地址的邏輯部件,或者適于在不將被服務(wù)的 分組與覆蓋頭封裝在一起的情況下將所述被服務(wù)的分組切換到非虛擬網(wǎng)絡(luò)中的目的地地 址的邏輯部件。
[0008] 從以下詳細(xì)描述,本發(fā)明的其他方面和實(shí)施例將變得清楚,以下詳細(xì)描述在結(jié)合 附圖進(jìn)行時(shí)以舉例的方式例示本發(fā)明的原理。
【專利附圖】
【附圖說明】
[0009] 圖1例示根據(jù)一個(gè)實(shí)施例的網(wǎng)絡(luò)架構(gòu)。
[0010] 圖2示出根據(jù)一個(gè)實(shí)施例的可以與圖1的服務(wù)器和/或客戶端相關(guān)聯(lián)的代表性硬 件環(huán)境。
[0011] 圖3是根據(jù)一個(gè)實(shí)施例的虛擬化數(shù)據(jù)中心的簡(jiǎn)化圖。
[0012] 圖4是根據(jù)現(xiàn)有技術(shù)的虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))與非虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))之 間的連接的簡(jiǎn)化圖。
[0013] 圖5示出根據(jù)一個(gè)實(shí)施例的簡(jiǎn)化的虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))與非虛擬網(wǎng)絡(luò)(一個(gè) 或多個(gè))之間的連接。
[0014] 圖6描繪根據(jù)一個(gè)實(shí)施例的通過虛擬覆蓋網(wǎng)絡(luò)網(wǎng)關(guān)的簡(jiǎn)化流程。
[0015] 圖7描繪根據(jù)一個(gè)實(shí)施例的通過覆蓋網(wǎng)絡(luò)設(shè)備的簡(jiǎn)化流程。
[0016] 圖8是根據(jù)一個(gè)實(shí)施例的方法的流程圖。
[0017] 圖9是根據(jù)一個(gè)實(shí)施例的方法的流程圖。
【具體實(shí)施方式】
[0018] 以下描述是為了例示本發(fā)明的總原理的目的而進(jìn)行的,而非意圖限制本文中要求 保護(hù)的發(fā)明構(gòu)思。此外,本文中描述的特定特征可以以各種可能的組合和置換中的每個(gè)與 所描述的其他特征組合使用。
[0019] 除非本文中另有專門定義,否則所有術(shù)語都要被給予它們最廣泛的可能的解釋, 包括本說明書暗示的意義以及本領(lǐng)域技術(shù)人員所理解的和/或詞典、論文等中定義的意 義。
[0020] 還必須指出,如本說明書和所附權(quán)利要求書中所使用的,單數(shù)形式"一","一個(gè)"和 "所述"包括復(fù)數(shù)指示物,除非另有規(guī)定。
[0021] 在一種方式中,虛擬局域網(wǎng)(VLAN)網(wǎng)關(guān)和網(wǎng)絡(luò)間元件(INE)可以利用用于提供深 度分組檢查服務(wù)的設(shè)備來克服在轉(zhuǎn)發(fā)虛擬覆蓋網(wǎng)絡(luò)流量時(shí)內(nèi)部分組的本身可見性的缺乏。
[0022] 在一個(gè)總的實(shí)施例中,一種系統(tǒng)包括覆蓋網(wǎng)絡(luò)設(shè)備,該覆蓋網(wǎng)絡(luò)設(shè)備包括:適于與 虛擬覆蓋網(wǎng)絡(luò)(V0N)進(jìn)行電通信的接口;適于從V0N網(wǎng)關(guān)接收多個(gè)分組的邏輯部件;適于 確定所述多個(gè)分組是否包括覆蓋頭的邏輯部件;適于對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行 解封的邏輯部件;適于對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù)的邏輯部件;以及適于 將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切換到虛擬網(wǎng)絡(luò)中的目的地 地址并且將封裝后的分組發(fā)送到V0N網(wǎng)關(guān)的邏輯部件,或者適于在不將分組與覆蓋頭封裝 在一起的情況下將被服務(wù)的分組發(fā)送到V0N網(wǎng)關(guān),以切換到非虛擬網(wǎng)絡(luò)中的目的地地址的 邏輯部件。
[0023] 在另一總的實(shí)施例中,一種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的方法包 括:接收包括多個(gè)分組的網(wǎng)絡(luò)流量;確定所述多個(gè)分組是否包括覆蓋頭;終止隧道,并且對(duì) 包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封;對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù);發(fā) 起隧道,并且將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切換到虛擬網(wǎng)絡(luò) 中的目的地地址,并且發(fā)送封裝后的分組,或者,在不將分組與覆蓋頭封裝在一起的情況下 發(fā)送被服務(wù)的分組,以切換到非虛擬網(wǎng)絡(luò)中的目的地地址。
[0024] 在又一總的實(shí)施例中,一種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的計(jì)算機(jī) 程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品包括包含計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述 計(jì)算機(jī)可讀程序代碼包括:被配置為從V0N網(wǎng)關(guān)接收包括多個(gè)分組的網(wǎng)絡(luò)流量的計(jì)算機(jī)可 讀程序代碼;被配置為確定所述多個(gè)分組是否包括覆蓋頭的計(jì)算機(jī)可讀程序代碼;被配置 為對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封的計(jì)算機(jī)可讀程序代碼;被配置為對(duì)所述多個(gè) 分組或解封的內(nèi)部分組執(zhí)行服務(wù)的計(jì)算機(jī)可讀程序代碼;以及被配置為二選其一地執(zhí)行以 下步驟的計(jì)算機(jī)可讀程序代碼:將所述內(nèi)部分組或所述多個(gè)分組與覆蓋頭封裝在一起以切 換到虛擬網(wǎng)絡(luò)中的目的地地址,并且將封裝后的分組發(fā)送到V0N網(wǎng)關(guān),或者,在不將分組與 覆蓋頭封裝在一起的情況下將被服務(wù)的分組發(fā)送到V0N網(wǎng)關(guān),以切換到非虛擬網(wǎng)絡(luò)中的目 的地地址。
[0025] 根據(jù)另一總的實(shí)施例,一種系統(tǒng)包括:適于與一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)和一個(gè)或多個(gè) 非虛擬網(wǎng)絡(luò)進(jìn)行電通信的一個(gè)或多個(gè)接口;適于接收多個(gè)分組的網(wǎng)絡(luò)流量的邏輯部件;適 于確定所述分組是否包括覆蓋頭的邏輯部件;適于終止隧道并且對(duì)包括覆蓋頭的分組的內(nèi) 部分組進(jìn)行解封的邏輯部件;適于確定將對(duì)所述分組執(zhí)行服務(wù)并且對(duì)所述分組執(zhí)行所述服 務(wù)的邏輯部件;以及適于發(fā)起隧道、并且將被服務(wù)的分組與覆蓋頭封裝在一起、并且將封裝 后的被服務(wù)的分組切換到虛擬網(wǎng)絡(luò)中的目的地地址的邏輯部件,或者適于將被服務(wù)的分組 切換到非虛擬網(wǎng)絡(luò)中的目的地地址,而不將該分組與覆蓋頭封裝在一起的邏輯部件。
[0026] 所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道,本發(fā)明的各個(gè)方面可以實(shí)現(xiàn)為系統(tǒng)、方法或計(jì)算 機(jī)程序產(chǎn)品。因此,本發(fā)明的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式,即:完全的硬件實(shí)施方式、 完全的軟件實(shí)施方式(包括固件、駐留軟件、微代碼等),或硬件和軟件方面結(jié)合的實(shí)施方 式,這里可以統(tǒng)稱為"邏輯"、"電路"、"模塊"或"系統(tǒng)"。此外,在一些實(shí)施例中,本發(fā)明的各 個(gè)方面還可以實(shí)現(xiàn)為在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式,該計(jì)算機(jī) 可讀介質(zhì)中包含計(jì)算機(jī)可讀的程序代碼。
[0027] 可以采用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī) 可讀信號(hào)介質(zhì)或非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是-- 但不限于--電、磁、光、電磁、紅外線、或半導(dǎo)體的系統(tǒng)、裝置或器件,或者任意以上的組 合。非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體的例子(非窮舉的列表)包括以下:便攜式計(jì)算 機(jī)盤、硬盤、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、可擦式可編程只讀存儲(chǔ)器(EPROM或 閃存)、便攜式緊湊盤只讀存儲(chǔ)器(⑶-ROM)、藍(lán)光盤只讀存儲(chǔ)器(BD-R0M)、光存儲(chǔ)器件、磁 存儲(chǔ)器件、或者上述的任意合適的組合。在本文件中,非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是任 何能夠包含或存儲(chǔ)程序或應(yīng)用程序的有形介質(zhì),該程序或應(yīng)用程序被指令執(zhí)行系統(tǒng)、裝置 或者器件使用或者與其結(jié)合使用。
[0028] 計(jì)算機(jī)可讀的信號(hào)介質(zhì)可以包括例如在基帶中或者作為載波一部分的傳播數(shù)據(jù) 信號(hào),其中承載了計(jì)算機(jī)可讀的程序代碼。這種傳播信號(hào)可以采用多種形式,包括--但不 限于--電磁信號(hào)、光信號(hào)或上述的任意合適的組合。計(jì)算機(jī)可讀的信號(hào)介質(zhì)還可以是非 暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)以外的任何計(jì)算機(jī)可讀介質(zhì),該計(jì)算機(jī)可讀介質(zhì)可以發(fā)送、傳播 或者傳輸用于由指令執(zhí)行系統(tǒng)、裝置或者器件(諸如具有一個(gè)或多個(gè)線路的電連接、光纖 等)使用或者與其結(jié)合使用的程序。
[0029] 計(jì)算機(jī)可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸,包括--但不限 于--無線、有線、光纜、射頻(RF)等等,或者上述的任意合適的組合。
[0030] 可以以一種或多種程序設(shè)計(jì)語言的任意組合來編寫用于執(zhí)行本發(fā)明的各個(gè)方面 的操作的計(jì)算機(jī)程序代碼,所述程序設(shè)計(jì)語言包括面向?qū)ο蟮某绦蛟O(shè)計(jì)語言一諸如Java、 Smalltalk、C++等,還包括常規(guī)的過程式程序設(shè)計(jì)語言一諸如"C"語言或類似的程序設(shè)計(jì) 語言。程序代碼可以完全地在用戶計(jì)算機(jī)上執(zhí)行、部分地在用戶計(jì)算機(jī)上執(zhí)行、作為一個(gè)獨(dú) 立的軟件包執(zhí)行、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行、或者完全在遠(yuǎn)程計(jì)算機(jī) 或服務(wù)器上執(zhí)行。在后一種情形中,遠(yuǎn)程計(jì)算機(jī)或服務(wù)器可以通過任意種類的網(wǎng)絡(luò)--包 括局域網(wǎng)(LAN)、存儲(chǔ)區(qū)域網(wǎng)(SAN)和/或廣域網(wǎng)(WAN)、任何虛擬網(wǎng)絡(luò)一連接到用戶計(jì)算 機(jī),或者,可以連接到外部計(jì)算機(jī)(例如利用因特網(wǎng)服務(wù)提供商(ISP)來通過因特網(wǎng)連接)。
[0031] 本文中參照根據(jù)本發(fā)明的各種實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的 流程圖和/或框圖描述本發(fā)明的各個(gè)方面。應(yīng)當(dāng)理解,流程圖和/或框圖的每個(gè)方框以及 流程圖和/或框圖中各方框的組合,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令 可以提供給通用計(jì)算機(jī)、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器,從而生產(chǎn)出一 種機(jī)器,使得這些計(jì)算機(jī)程序指令在通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行 時(shí),產(chǎn)生了實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置。
[0032] 也可以把這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中,這些指令使得計(jì)算機(jī)、 其它可編程數(shù)據(jù)處理裝置、或其他設(shè)備以特定方式工作,從而,存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的 指令就產(chǎn)生出包括實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的指令 的制造品(article of manufacture) 〇
[0033] 還可以把這些計(jì)算機(jī)程序指令加載到計(jì)算機(jī)、其他可編程數(shù)據(jù)處理裝置或其他設(shè) 備上,使一系列操作步驟在該計(jì)算機(jī)、其他可編程裝置或其他設(shè)備上執(zhí)行以生成計(jì)算機(jī)實(shí) 現(xiàn)過程,以使得在該計(jì)算機(jī)或其他可編程裝置上執(zhí)行的指令提供用于實(shí)現(xiàn)流程圖和/或一 個(gè)框圖塊或多個(gè)框圖塊中所指定的功能/動(dòng)作的處理。
[0034] 圖1例示根據(jù)一個(gè)實(shí)施例的網(wǎng)絡(luò)架構(gòu)100。如圖1中所示,提供了多個(gè)遠(yuǎn)程網(wǎng)絡(luò) 102,包括第一遠(yuǎn)程網(wǎng)絡(luò)104和第二遠(yuǎn)程網(wǎng)絡(luò)106。網(wǎng)關(guān)101可以耦連在遠(yuǎn)程網(wǎng)絡(luò)102與鄰 近網(wǎng)絡(luò)108之間。在目前的網(wǎng)絡(luò)架構(gòu)100的背景下,網(wǎng)絡(luò)104U06均可以采取任何形式,包 括但不限于LAN、VLAN、WAN(諸如互聯(lián)網(wǎng))、公共交換電話網(wǎng)絡(luò)(PSTN)、內(nèi)部電話網(wǎng)絡(luò)等。
[0035] 在使用時(shí),網(wǎng)關(guān)101用作從遠(yuǎn)程網(wǎng)絡(luò)102到鄰近網(wǎng)絡(luò)108的進(jìn)入點(diǎn)。就這點(diǎn)而論, 網(wǎng)關(guān)101可以用作能夠引導(dǎo)到達(dá)網(wǎng)關(guān)101的數(shù)據(jù)的給定分組的路由器、以及為給定分組供 應(yīng)進(jìn)出網(wǎng)關(guān)101的實(shí)際路徑的交換機(jī)。
[0036] 還包括耦連到鄰近網(wǎng)絡(luò)108的至少一個(gè)數(shù)據(jù)服務(wù)器114,數(shù)據(jù)服務(wù)器114可經(jīng)由 網(wǎng)關(guān)101從遠(yuǎn)程網(wǎng)絡(luò)102訪問。應(yīng)指出,數(shù)據(jù)服務(wù)器(一個(gè)或多個(gè))114可以包括任何類型 的計(jì)算設(shè)備/群組。耦連到每個(gè)數(shù)據(jù)服務(wù)器114的是多個(gè)用戶設(shè)備116。這樣的用戶設(shè)備 116可以包括臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、手持計(jì)算機(jī)、打印機(jī)和/或任何其他類型的包含 邏輯部件的設(shè)備。應(yīng)指出,在一些實(shí)施例中,用戶設(shè)備111還可以直接耦連到任意網(wǎng)絡(luò)。
[0037] 外設(shè)120或外設(shè)系列120 (例如,傳真機(jī)、打印機(jī)、掃描儀、硬盤驅(qū)動(dòng)器、聯(lián)網(wǎng)和/或 本地存儲(chǔ)單元或系統(tǒng)等)可以耦連到網(wǎng)絡(luò)104、106、108中的一個(gè)或多個(gè)。應(yīng)指出,數(shù)據(jù)庫 和/或附加組件可以與耦連到網(wǎng)絡(luò)104、106、108的任何類型的網(wǎng)絡(luò)元件一起利用或者集成 到該網(wǎng)絡(luò)元件中。在本描述的背景下,網(wǎng)絡(luò)元件可以是指網(wǎng)絡(luò)的任何組件。
[0038] 根據(jù)一些方式,本文中描述的方法和系統(tǒng)可以用虛擬系統(tǒng)和/或模擬一個(gè)或多個(gè) 其他系統(tǒng)的系統(tǒng)來實(shí)現(xiàn),和/或在這些系統(tǒng)上實(shí)現(xiàn),所述模擬一個(gè)或多個(gè)其他系統(tǒng)的系統(tǒng) 諸如模擬IBM z/OS環(huán)境的UNIX系統(tǒng)、虛擬地托管MICROSOFT WINDOWS環(huán)境的UNIX系統(tǒng)、 模擬IBM z/0S環(huán)境的MICROSOFT WINDOWS系統(tǒng)等。在一些實(shí)施例中,可以通過使用VMWARE 軟件來增強(qiáng)該虛擬化和/或模擬。
[0039] 在更多的方式中,一個(gè)或多個(gè)網(wǎng)絡(luò)104、106、108可以表示常被稱為"云"的系統(tǒng)集 群。在云計(jì)算中,共享資源(諸如處理能力、外設(shè)、軟件、數(shù)據(jù)、服務(wù)器等)以按需的關(guān)系提 供給云中的任何系統(tǒng),從而使得可以跨許多計(jì)算系統(tǒng)訪問和分布服務(wù)。云計(jì)算通常涉及在 云中進(jìn)行操作的系統(tǒng)之間的互聯(lián)網(wǎng)連接,但是還可以使用本領(lǐng)域中已知的其他連接系統(tǒng)的 技術(shù)。
[0040] 圖2示出了根據(jù)一個(gè)實(shí)施例的與圖1的用戶設(shè)備116和/或服務(wù)器114相關(guān) 聯(lián)的代表性硬件環(huán)境。圖2例示了工作站的典型硬件配置,該工作站具有中央處理單元 (CPU) 210 (諸如微處理器)以及若干個(gè)經(jīng)由一個(gè)或多個(gè)總線212互連的其他單元,根據(jù)幾個(gè) 實(shí)施例,總線212可以是不同類型,諸如本地總線、并行總線、串行總線等。
[0041] 圖2中所示的工作站包括隨機(jī)存取存儲(chǔ)器(RAM) 214、只讀存儲(chǔ)器(ROM) 216、1/0適 配器218、用戶接口適配器222、通信適配器234以及顯示器適配器236, 1/0適配器218用 于將外圍設(shè)備(諸如盤存儲(chǔ)單元220)連接到一個(gè)或多個(gè)總線212,用戶接口適配器222用 于將鍵盤224、鼠標(biāo)226、揚(yáng)聲器228、麥克風(fēng)232和/或其他用戶接口設(shè)備(諸如觸摸屏、數(shù) 字照相機(jī)(未示出)等)連接到一個(gè)或多個(gè)總線212,通信適配器234用于將工作站連接到 通信網(wǎng)絡(luò)235 (例如,數(shù)據(jù)處理網(wǎng)絡(luò)),顯示器適配器236用于將一個(gè)或多個(gè)總線212連接到 顯示設(shè)備238。
[0042] 工作站可以具有駐存在其上的操作系統(tǒng),諸如MICROSOFT WINDOWS操作系統(tǒng) (0S)、MAC 0S、UNIX 0SA等。將意識(shí)到,優(yōu)選實(shí)施例還可以在除了所提及的那些平臺(tái)和操作 系統(tǒng)之外的平臺(tái)和操作系統(tǒng)上實(shí)現(xiàn)。優(yōu)選實(shí)施例可以使用JAVA、XML、C和/或C++語言或 其他程序設(shè)計(jì)語言連同面向?qū)ο蟮某绦蛟O(shè)計(jì)方法來編寫??梢允褂靡呀?jīng)變得越來越用于開 發(fā)復(fù)雜應(yīng)用程序的面向?qū)ο蟮某绦蛟O(shè)計(jì)(OOP)。
[0043] 現(xiàn)在參照?qǐng)D3,示出了根據(jù)一個(gè)實(shí)施例的覆蓋網(wǎng)絡(luò)300的概念圖。為了虛擬化網(wǎng)絡(luò) 服務(wù),不是僅提供設(shè)備之間的結(jié)構(gòu)(fabric)路徑(連接),而是可以隨著分組移動(dòng)通過網(wǎng)關(guān) 314而對(duì)這些分組進(jìn)行服務(wù),網(wǎng)關(guān)314為在非虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))312與虛擬網(wǎng)絡(luò)A304 和虛擬網(wǎng)絡(luò)B 306之間移動(dòng)的分組提供路由和轉(zhuǎn)發(fā)。一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)304、306存在于 物理(真實(shí))網(wǎng)絡(luò)基礎(chǔ)設(shè)施302內(nèi)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施302可以包括通常與網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān) 聯(lián)的和/或在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中使用的任何組件、硬件、軟件和/或功能,如本領(lǐng)域的技術(shù)人 員將知道的,包括但不限于,交換機(jī)、連接器、配線、電路、電纜、服務(wù)器、主機(jī)、存儲(chǔ)介質(zhì)、操 作系統(tǒng)、應(yīng)用程序、端口、1/0等。該網(wǎng)絡(luò)基礎(chǔ)設(shè)施302支持至少一個(gè)非虛擬網(wǎng)絡(luò)312,非虛 擬網(wǎng)絡(luò)312可以是傳統(tǒng)網(wǎng)絡(luò)。
[0044] 每個(gè)虛擬網(wǎng)絡(luò)304、306可以使用任何數(shù)量的虛擬機(jī)(VM)308、310。在一個(gè)實(shí)施例 中,虛擬網(wǎng)絡(luò)A 304包括一個(gè)或多個(gè)VM 308,虛擬網(wǎng)絡(luò)B 306包括一個(gè)或多個(gè)VM 310。如 圖3中所示,VM 308、310不被虛擬網(wǎng)絡(luò)304、306共享,而是在任何給定時(shí)間僅包括在唯-- 個(gè)虛擬網(wǎng)絡(luò)304、306中。
[0045] 根據(jù)一個(gè)實(shí)施例,覆蓋網(wǎng)絡(luò)300可以包括與一個(gè)或多個(gè)分布式線卡(DLC)互連的 一個(gè)或多個(gè)信元交換域可伸縮結(jié)構(gòu)組件(SFC)。
[0046] 通過具有"扁平交換機(jī)"架構(gòu),多個(gè)VM可以容易地、高效率地在該架構(gòu)上移動(dòng)數(shù) 據(jù)。通常,VM很難跨層3域移動(dòng)、在一個(gè)子網(wǎng)到另一個(gè)子網(wǎng)之間移動(dòng)、從互聯(lián)網(wǎng)協(xié)議(IP)子 網(wǎng)移動(dòng)到IP子網(wǎng)、等等。但是如果架構(gòu)在非常大的層2域中類似于大型扁平交換機(jī),則對(duì) VM試圖在該架構(gòu)上移動(dòng)數(shù)據(jù)會(huì)有幫助。
[0047] 圖4示出了根據(jù)現(xiàn)有技術(shù)的典型的虛擬網(wǎng)絡(luò)304、306到非虛擬網(wǎng)絡(luò)312的連接。 如所示,V0N網(wǎng)關(guān)400可以用于將流量從在虛擬網(wǎng)絡(luò)304、306中發(fā)起的隧道朝向非虛擬網(wǎng) 絡(luò)312路由,非虛擬網(wǎng)絡(luò)312充當(dāng)隧道終止點(diǎn)。此外,網(wǎng)關(guān)400可以用于經(jīng)由虛擬網(wǎng)絡(luò)304 與虛擬網(wǎng)絡(luò)306之間的隧道路由流量。為了實(shí)現(xiàn)這一點(diǎn),網(wǎng)關(guān)400使用物理連接(諸如經(jīng) 由以太網(wǎng)、光纖通道或任何其他連接類型)而連接到虛擬網(wǎng)絡(luò)304、306和非虛擬網(wǎng)絡(luò)312。 然而,網(wǎng)關(guān)400不能檢查經(jīng)由用于可以在覆蓋分組的有效載荷中的任何分組的隧道到達(dá)的 流量。因此,網(wǎng)關(guān)400沒有辦法為覆蓋分組內(nèi)的分組提供服務(wù)。
[0048] 現(xiàn)在參照?qǐng)D5,示出了根據(jù)一個(gè)實(shí)施例的虛擬網(wǎng)絡(luò)304、306與非虛擬網(wǎng)絡(luò)(一個(gè) 或多個(gè))312之間的連接。如所示,虛擬覆蓋網(wǎng)絡(luò)(V0N)網(wǎng)關(guān)502(諸如虛擬可擴(kuò)展局域網(wǎng) (VXLAN)網(wǎng)關(guān))可以為通過該網(wǎng)關(guān)到達(dá)或來自虛擬或非虛擬網(wǎng)絡(luò)的任何流量提供路由功 能。另外,網(wǎng)關(guān)502能夠?qū)⒘髁恳龑?dǎo)到覆蓋網(wǎng)絡(luò)設(shè)備500。
[0049] 網(wǎng)關(guān)502可以包括用于執(zhí)行邏輯的處理器,諸如中央處理單元(CPU)、現(xiàn)場(chǎng)可編程 門陣列(FPGA)、集成電路(1C)和專用集成電路(ASIC)、或本領(lǐng)域中已知的一些其他合適的 處理器。
[0050] 根據(jù)一個(gè)實(shí)施例,可以將訪問控制列表(ACL)應(yīng)用于網(wǎng)絡(luò)間元件(INE)和虛擬覆 蓋網(wǎng)絡(luò)(V0N)網(wǎng)關(guān)502端口以將傳入的V0N封裝的分組踢到覆蓋網(wǎng)絡(luò)設(shè)備500。當(dāng)在端口 上啟用這樣的ACL,在啟用ACL的端口上接收的任何分組將被踢到覆蓋網(wǎng)絡(luò)設(shè)備500。然 后,覆蓋網(wǎng)絡(luò)設(shè)備500實(shí)現(xiàn)一連串服務(wù)。可以將本領(lǐng)域中已知的任何服務(wù)應(yīng)用于流量,如本 領(lǐng)域技術(shù)人員知道的,除了許多其他可能性之外,所述服務(wù)諸如防火墻服務(wù)、入侵防御系統(tǒng) (IPS)服務(wù)、入侵檢測(cè)系統(tǒng)(IDS)、IPS/IDS服務(wù)、服務(wù)器負(fù)載均衡服務(wù)、LAN優(yōu)化服務(wù)、VPN 服務(wù)、視頻優(yōu)化服務(wù)、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)、加密服務(wù)、解密服務(wù)等。當(dāng)啟動(dòng)覆蓋網(wǎng)絡(luò)設(shè) 備500時(shí),這些服務(wù)均可以按照系統(tǒng)管理員的需要被獨(dú)立啟用、被獨(dú)立繞過、或者被手動(dòng)選 擇。
[0051] 覆蓋網(wǎng)絡(luò)設(shè)備500可以包括或者實(shí)施為用于執(zhí)行邏輯的處理器,諸如中央處理單 元(CPU)、現(xiàn)場(chǎng)可編程門陣列(FPGA)、集成電路(1C)和專用集成電路(ASIC)、或本領(lǐng)域中 已知的一些其他合適的處理器。在另一實(shí)施例中,覆蓋網(wǎng)絡(luò)設(shè)備500可以是安裝在網(wǎng)關(guān)或 INE 502中的處理器、在網(wǎng)關(guān)或INE 502的處理器中或者在安置在網(wǎng)關(guān)或INE 502外部的一 些其他合適的設(shè)備中配置的邏輯。
[0052] 對(duì)于從虛擬覆蓋網(wǎng)絡(luò)(諸如虛擬網(wǎng)絡(luò)A 304、虛擬網(wǎng)絡(luò)B 306等)到達(dá)非虛擬傳統(tǒng) 網(wǎng)絡(luò)(諸如非虛擬網(wǎng)絡(luò)312)的層3用戶數(shù)據(jù)報(bào)協(xié)議/互聯(lián)網(wǎng)協(xié)議(UDP/IP)封裝的流量, 覆蓋網(wǎng)絡(luò)設(shè)備500終止目的地地址是INE虛擬隧道結(jié)束點(diǎn)(VTEP)的地址的流,對(duì)內(nèi)部分組 解封,并且將內(nèi)部分組傳遞到覆蓋網(wǎng)絡(luò)設(shè)備服務(wù)鏈,該覆蓋網(wǎng)絡(luò)設(shè)備服務(wù)鏈可以向內(nèi)部分 組提供服務(wù)。分組經(jīng)過在覆蓋網(wǎng)絡(luò)設(shè)備500內(nèi)部配置和啟用的服務(wù)鏈。在鏈結(jié)束時(shí),基于 分組的最終目的地地址,做出將分組封裝為覆蓋格式(如果目的地地址在虛擬網(wǎng)絡(luò)地址空 間中)并且在隧道上傳遞它、或者照分組的原樣傳遞分組(如果目的地地址在非虛擬網(wǎng)絡(luò) 中)的決策,并且將該分組重新插回到INE中。
[0053] 從覆蓋網(wǎng)絡(luò)設(shè)備500到達(dá)INE或V0N網(wǎng)關(guān)502的分組繞過INE502中的任何隧道 管理邏輯,并且僅通過INE 502中的"查找和轉(zhuǎn)發(fā)"邏輯以找到出站路徑,通過該出站路徑, 基于分組中的目的地地址,分組進(jìn)入到虛擬網(wǎng)絡(luò)(304, 306)或非虛擬網(wǎng)絡(luò)312。
[0054] 類似地,對(duì)于從非虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))312到達(dá)虛擬網(wǎng)絡(luò)(一個(gè)或多個(gè))304、 306的流量,基于應(yīng)用于入站端口的ACL,將分組傳遞到覆蓋網(wǎng)絡(luò)設(shè)備500。當(dāng)?shù)竭_(dá)覆蓋網(wǎng) 絡(luò)設(shè)備500時(shí),使分組通過在覆蓋網(wǎng)絡(luò)設(shè)備500內(nèi)部配置的服務(wù)鏈。在鏈結(jié)束時(shí),基于分 組的最終目的地地址,做出將分組封裝為覆蓋格式(如果目的地地址在虛擬網(wǎng)絡(luò)地址空間 中)并且在隧道上傳遞它、或者照分組的原樣傳遞分組(如果目的地地址在非虛擬網(wǎng)絡(luò)中) 的決策,并且將該分組重新插回到INE 502中。從覆蓋網(wǎng)絡(luò)設(shè)備500到達(dá)INE或V0N網(wǎng)關(guān) 502的分組繞過INE 502中的隧道管理邏輯,并且僅通過"查找和轉(zhuǎn)發(fā)"邏輯以找到出站路 徑,通過該出站路徑,基于分組中的目的地地址,分組進(jìn)入到虛擬覆蓋網(wǎng)絡(luò)304、306或非虛 擬傳統(tǒng)網(wǎng)絡(luò)(一個(gè)或多個(gè))312。
[0055] 覆蓋網(wǎng)絡(luò)設(shè)備服務(wù)可以在虛擬設(shè)施或任何類型的服務(wù)器(諸如商用現(xiàn)貨(C0TS) 服務(wù)器)中實(shí)現(xiàn)為安裝在INE或VON網(wǎng)關(guān)502(諸如VXLAN網(wǎng)關(guān))的專用芯片組,或者在本 領(lǐng)域技術(shù)人員在閱讀本描述時(shí)會(huì)理解的任何其他系統(tǒng)、設(shè)備或處理器中實(shí)現(xiàn)。
[0056] 覆蓋網(wǎng)絡(luò)設(shè)備500的管理邏輯還可以被配置為對(duì)傳入的數(shù)據(jù)分組和傳出的數(shù)據(jù) 分組進(jìn)行處理,而不管分組傳送協(xié)議如何,所述分組傳送協(xié)議例如以太網(wǎng)、通過以太網(wǎng)的外 圍組件互連快遞(PCIe)、通過以太網(wǎng)的光纖通道(FC) (FCoE)等。
[0057] 在一種方法中,可以對(duì)傳入的數(shù)據(jù)分組進(jìn)行分析以確定系統(tǒng)在對(duì)傳入的數(shù)據(jù)分組 進(jìn)行處理的過程中可以執(zhí)行的一個(gè)或多個(gè)服務(wù)。而且,系統(tǒng)可以執(zhí)行的服務(wù)限定傳入的數(shù) 據(jù)分組在對(duì)數(shù)據(jù)分組進(jìn)行處理的過程中將經(jīng)過的處理路徑的全部或部分。
[0058] 例如,在某些服務(wù)僅在網(wǎng)絡(luò)流量的子集上執(zhí)行的一個(gè)實(shí)施例中,必須將需要這些 服務(wù)的數(shù)據(jù)分組識(shí)別為需要這些服務(wù),以便接收感興趣服務(wù)。因此,在一個(gè)實(shí)施例中,處理 路徑的至少一部分將包括是否將執(zhí)行服務(wù)的確定,部分地限定處理路徑。
[0059] 根據(jù)各種實(shí)施例,如本領(lǐng)域技術(shù)人員將知道的,除了許多其他可能性之外,可以 對(duì)分組執(zhí)行的服務(wù)包括,但不限于,防火墻服務(wù)、入侵防御系統(tǒng)(IPS)服務(wù)、入侵檢測(cè)系統(tǒng) (IDS)、IPS/IDS服務(wù)、服務(wù)器負(fù)載均衡服務(wù)、LAN優(yōu)化服務(wù)、VPN服務(wù)、視頻優(yōu)化服務(wù)、網(wǎng)絡(luò)地 址轉(zhuǎn)換(NAT)服務(wù)、加密服務(wù)、解密服務(wù)等。
[0060] 在一個(gè)實(shí)施例中,VXLAN幀格式可以如下:
[0061]
【權(quán)利要求】
1. 一種系統(tǒng),包括: 一個(gè)或多個(gè)接口,所述接口適于與一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)和一個(gè)或多個(gè)非虛擬網(wǎng)絡(luò)進(jìn)行 電通信; 適于接收包括多個(gè)分組的網(wǎng)絡(luò)流量的邏輯部件; 適于確定所述分組是否包括覆蓋頭的邏輯部件; 適于對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封的邏輯部件; 適于對(duì)所述分組執(zhí)行服務(wù)的邏輯部件;和 適于將被服務(wù)的分組與覆蓋頭封裝在一起并且將封裝后的被服務(wù)的分組切換到虛擬 網(wǎng)絡(luò)中的目的地地址的邏輯部件;或者 適于在不將分組與覆蓋頭封裝在一起的情況下將所述被服務(wù)的分組切換到非虛擬網(wǎng) 絡(luò)中的目的地地址的邏輯部件。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中,適于確定將對(duì)分組執(zhí)行服務(wù)的邏輯部件包括將 訪問控制列表(ACL)應(yīng)用于分組。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中,通過將不同的ACL應(yīng)用于分組來改變對(duì)其執(zhí)行服 務(wù)的分組的類型。
4. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中,所述服務(wù)包括下列中的多于一個(gè): 防火墻服務(wù); 入侵防御服務(wù)(IPS); 入侵檢測(cè)服務(wù)(IDS); 服務(wù)器負(fù)載均衡服務(wù); 虛擬私人網(wǎng)絡(luò)(VPN)服務(wù); 視頻優(yōu)化服務(wù);和 廣域網(wǎng)(WAN)優(yōu)化服務(wù)。
5. -種覆蓋網(wǎng)絡(luò)設(shè)備,所述覆蓋網(wǎng)絡(luò)設(shè)備包括根據(jù)權(quán)利要求1所述的系統(tǒng),其中, 所述一個(gè)或多個(gè)接口包括:適于與虛擬覆蓋網(wǎng)絡(luò)(VON)網(wǎng)關(guān)進(jìn)行電通信的接口; 所述適于接收的邏輯部件包括:適于從所述VON網(wǎng)關(guān)接收多個(gè)分組的邏輯部件; 所述適于封裝的邏輯部件包括:適于將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封 裝在一起以切換到虛擬網(wǎng)絡(luò)中的目的地地址并且將封裝后的分組發(fā)送到VON網(wǎng)關(guān)的邏輯 部件;并且, 所述適于切換的邏輯部件包括:適于在不將分組與覆蓋頭封裝在一起的情況下將被服 務(wù)的分組發(fā)送到VON網(wǎng)關(guān),以切換到非虛擬網(wǎng)絡(luò)中的目的地地址的邏輯部件。
6. 根據(jù)權(quán)利要求5所述的系統(tǒng),還包括連接到一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)和一個(gè)或多個(gè)非虛 擬網(wǎng)絡(luò)的VON網(wǎng)關(guān),所述VON網(wǎng)關(guān)包括: 適于對(duì)所述網(wǎng)絡(luò)流量執(zhí)行路由功能的邏輯部件; 適于將所述網(wǎng)絡(luò)流量的多個(gè)分組路由到所述覆蓋網(wǎng)絡(luò)設(shè)備的邏輯部件;和 適于從所述覆蓋網(wǎng)絡(luò)設(shè)備接收回所述多個(gè)分組的邏輯部件。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng),其中,所述VON網(wǎng)關(guān)適于將訪問控制列表(ACL)應(yīng)用于 在所述VON網(wǎng)關(guān)的端口上接收的網(wǎng)絡(luò)流量以將某些接收的分組引導(dǎo)到所述覆蓋網(wǎng)絡(luò)設(shè)備 以用于對(duì)其執(zhí)行服務(wù)。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng),其中,通過使所述VON網(wǎng)關(guān)將不同的ACL應(yīng)用于在所述 V0N網(wǎng)關(guān)的端口上接收的網(wǎng)絡(luò)流量來改變對(duì)其執(zhí)行服務(wù)的分組的類型。
9. 根據(jù)權(quán)利要求5所述的系統(tǒng),還包括: 適于終止用于包括覆蓋頭的分組的隧道的邏輯部件;和 適于發(fā)起用于將切換到虛擬網(wǎng)絡(luò)中的目的地地址的分組的隧道的邏輯部件。
10. 根據(jù)權(quán)利要求5所述的系統(tǒng),其中,所述服務(wù)包括下列中的至少一個(gè): 防火墻服務(wù); 入侵防御服務(wù)(IPS); 入侵檢測(cè)服務(wù)(IDS); 服務(wù)器負(fù)載均衡服務(wù); 虛擬私人網(wǎng)絡(luò)(VPN)服務(wù); 視頻優(yōu)化服務(wù);和 廣域網(wǎng)(WAN)優(yōu)化服務(wù)。
11. 一種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的方法,所述方法包括: 接收包括多個(gè)分組的網(wǎng)絡(luò)流量; 確定所述多個(gè)分組是否包括覆蓋頭; 終止隧道,并且對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封; 對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù);和 發(fā)起隧道,并且將被服務(wù)的內(nèi)部分組或被服務(wù)的分組與覆蓋頭封裝在一起以切換到虛 擬網(wǎng)絡(luò)中的目的地地址,并且發(fā)送封裝后的分組;或者 在不將分組與覆蓋頭封裝在一起的情況下發(fā)送所述被服務(wù)的分組,以切換到非虛擬 網(wǎng)絡(luò)中的目的地地址。
12. 根據(jù)權(quán)利要求11所述的方法,還包括: 在確定所述多個(gè)分組是否包括覆蓋頭之前,將訪問控制列表(ACL)應(yīng)用于所述網(wǎng)絡(luò)流 量以確定將對(duì)所述多個(gè)分組執(zhí)行服務(wù)。
13. 根據(jù)權(quán)利要求12所述的方法,其中,通過指定不同ACL應(yīng)用于所述網(wǎng)絡(luò)流量來改變 對(duì)其執(zhí)行服務(wù)的分組的類型。
14. 根據(jù)權(quán)利要求11所述的方法,其中,所述服務(wù)包括下列中的至少一個(gè): 防火墻服務(wù); 入侵防御服務(wù)(IPS); 入侵檢測(cè)服務(wù)(IDS); 服務(wù)器負(fù)載均衡服務(wù); 虛擬私人網(wǎng)絡(luò)(VPN)服務(wù); 視頻優(yōu)化服務(wù);和 廣域網(wǎng)(WAN)優(yōu)化服務(wù)。
15. -種用于向虛擬覆蓋網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量提供服務(wù)的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī) 程序產(chǎn)品包括具有包含計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述計(jì)算機(jī)可讀程序 代碼包括: 被配置為從虛擬覆蓋網(wǎng)絡(luò)(V0N)網(wǎng)關(guān)接收包括多個(gè)分組的網(wǎng)絡(luò)流量的計(jì)算機(jī)可讀程 序代碼; 被配置為確定所述多個(gè)分組是否包括覆蓋頭的計(jì)算機(jī)可讀程序代碼; 被配置為對(duì)包括覆蓋頭的分組的內(nèi)部分組進(jìn)行解封的計(jì)算機(jī)可讀程序代碼; 被配置為對(duì)所述多個(gè)分組或解封的內(nèi)部分組執(zhí)行服務(wù)的計(jì)算機(jī)可讀程序代碼;和 被配置為二選其一地執(zhí)行以下操作的計(jì)算機(jī)可讀程序代碼: 將所述內(nèi)部分組或所述多個(gè)分組與覆蓋頭封裝在一起以切換到虛擬網(wǎng)絡(luò)中的目的地 地址,并且將封裝后的分組發(fā)送到所述VON網(wǎng)關(guān);或者 在不將分組與覆蓋頭封裝在一起的情況下將所述被服務(wù)的分組發(fā)送到所述VON網(wǎng)關(guān), 以切換到非虛擬網(wǎng)絡(luò)中的目的地地址。
16. 根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品,還包括: 被配置為在確定所述多個(gè)分組是否包括覆蓋頭之前將訪問控制列表(ACL)應(yīng)用于所 述網(wǎng)絡(luò)流量以確定將對(duì)所述多個(gè)分組執(zhí)行服務(wù)的計(jì)算機(jī)可讀程序代碼。
17. 根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品,其中,通過指定不同的ACL應(yīng)用于所述網(wǎng) 絡(luò)流量來改變對(duì)其執(zhí)行服務(wù)的分組的類型。
18. 根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品,還包括: 被配置為終止用于包括覆蓋頭的分組的隧道的計(jì)算機(jī)可讀程序代碼;和 被配置為發(fā)起用于將切換到虛擬網(wǎng)絡(luò)中的目的地地址的封裝后的分組的隧道的計(jì)算 機(jī)可讀程序代碼。
19. 根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品,其中,所述服務(wù)包括下列中的至少一個(gè): 防火墻服務(wù); 入侵防御服務(wù)(IPS); 入侵檢測(cè)服務(wù)(IDS); 服務(wù)器負(fù)載均衡服務(wù); 虛擬私人網(wǎng)絡(luò)(VPN)服務(wù); 視頻優(yōu)化服務(wù);和 廣域網(wǎng)(WAN)優(yōu)化服務(wù)。
【文檔編號(hào)】H04L12/66GK104272672SQ201380022570
【公開日】2015年1月7日 申請(qǐng)日期:2013年3月27日 優(yōu)先權(quán)日:2012年4月30日
【發(fā)明者】B·巴那瓦里卡爾, K·G·坎博, 呂達(dá)人 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司