用于自主定位器/标识符分离协议的方法和装置转让专利
申请号 : CN201580066634.X
文献号 : CN107005561B
文献日 : 2020-06-12
发明人 : 帕特里斯·贝拉卡巴 , 米歇尔·H·贝林格 , 圣地亚哥·巴斯克斯·弗雷塔斯
申请人 : 思科技术公司
摘要 :
在一个示例实施例中提供了一种方法,该方法包括将本地网络元件配置为用于指定网络域的自主注册器;在本地网络元件和被本地网络元件标识为远程邻居的一个或多个远程网络元件之间建立自主控制平面(“ACP”);在本地网络元件处指定要扩展到一个或多个远程网络元件中的每一者的本地定义的子网;以及在本地网络单元处执行ACP命令,其中该执行触发到一个或多个远程网络元件中的每一者的消息,该消息包括关于所指定的本地子网的信息。远程网络元件中的每一者使用包括在消息中的信息以自动解决其定位器/标识符分离协议(“LISP”)配置,使所指定的本地子网能够扩展到一个或多个远程网络元件中的每一者。
权利要求 :
1.一种用于定位器/标识符分离协议LISP的方法,包括:将本地网络元件配置作为指定网络域的自主注册器;
在所述本地网络元件和由所述本地网络元件标识为远程邻居的一个或多个远程网络元件之间建立自主控制平面ACP;
在所述本地网络元件处指定要扩展到所述一个或多个远程网络元件中的每一者的本地定义的子网;以及在所述本地网络元件处执行ACP命令,其中所述执行触发到所述一个或多个远程网络元件中的每一者的消息,所述消息包括关于所指定的本地子网的信息;
其中包括在所述消息中的所述信息被所述远程网络元件中的每一者使用以自动解决其定位器/标识符分离协议LISP配置,从而使得所指定的本地子网能够扩展到所述一个或多个远程网络元件中的每一者。
2.根据权利要求1所述的方法,其中所述消息经由所述ACP被发送。
3.根据权利要求1所述的方法,其中,包括在所述消息中的所述信息标识下述各项中的至少一项:所述远程网络元件工作所处的LISP模式、LISP接口的索引、所指定的本地子网、针对所指定的本地子网中的每一者的默认网关、用于代理出口隧道路由器PeTR的互联网协议IP地址、用于映射服务器功能的IP地址、以及用于映射解析器功能的IP地址。
4.根据权利要求1所述的方法,其中所述本地网络元件被部署在企业数据中心中,并且所述一个或多个远程网络元件被部署在公共云网络中。
5.根据权利要求1所述的方法,其中所述本地网络元件和所述一个或多个远程网络元件中的每一者都是启用LISP的路由器。
6.根据权利要求1所述的方法,还包括:
在所述本地网络元件处创建本地LISP环回接口,并在所述本地LISP环回接口上启用路由;
在所述本地网络元件与所述一个或多个远程网络元件中的每一者之间建立安全的IP隧道。
7.根据权利要求1所述的方法,其中所述本地网络元件包括代理入口/出口隧道路由器PxTR,并且所述一个或多个远程网络元件中的每一者包括入口/出口隧道路由器xTR。
8.包括用于执行的代码的非暂态有形介质,当所述代码由处理器执行时,可操作以执行包括下述各项的操作:将本地网络元件配置为指定网络域的自主注册器;
在所述本地网络元件和由所述本地网络元件标识为远程邻居的一个或多个远程网络元件之间建立自主控制平面ACP;
在所述本地网络元件处指定要扩展到所述一个或多个远程网络元件中的每一者的本地定义的子网;以及在所述本地网络元件处执行ACP命令,其中所述执行触发到所述一个或多个远程网络元件中的每一者的消息,所述消息包括关于所指定的本地子网的信息;
其中包括在所述消息中的所述信息被所述远程网络元件中的每一者使用以自动解决其定位器/标识符分离协议LISP配置,从而使得所指定的本地子网能够扩展到所述一个或多个远程网络元件中的每一者。
9.根据权利要求8所述的介质,其中所述消息经由所述ACP被发送。
10.根据权利要求8所述的介质,其中,包括在所述消息中的所述信息标识下述各项中的至少一项:所述远程网络元件工作所处的LISP模式、LISP接口的索引、所指定的本地子网、针对所指定的本地子网中的每一者的默认网关、用于代理出口隧道路由器PeTR的互联网协议IP地址、用于映射服务器功能的IP地址、以及用于映射解析器功能的IP地址。
11.根据权利要求8所述的介质,其中所述本地网络元件和所述一个或多个远程网络元件中的每一者都是启用LISP的路由器。
12.根据权利要求8所述的介质,其中所述操作还包括:
在所述本地网络元件处创建本地LISP环回接口,并在所述本地LISP环回接口上启用路由;
在所述本地网络元件与所述一个或多个远程网络元件中的每一者之间建立安全的IP隧道。
13.根据权利要求8所述的介质,其中所述本地网络元件包括代理入口/出口隧道路由器PxTR,并且所述一个或多个远程网络元件中的每一者包括入口/出口隧道路由器xTR。
14.一种用于定位器/标识符分离协议LISP的装置,包括:存储元件,被配置为存储数据;以及
处理器,可操作以执行与所述数据相关联的指令;
其中所述装置:
将本地网络元件配置为指定网络域的自主注册器;
在所述本地网络元件和由所述本地网络元件标识为远程邻居的一个或多个远程网络元件之间建立自主控制平面ACP;
在所述本地网络元件处指定要扩展到所述一个或多个远程网络元件中的每一者的本地定义的子网;以及在所述本地网络元件处执行ACP命令,其中所述执行触发到所述一个或多个远程网络元件中的每一者的消息,所述消息包括关于所指定的本地子网的信息;
其中包括在所述消息中的所述信息被所述远程网络元件中的每一者使用以自动解决其定位器/标识符分离协议LISP配置,从而使得所指定的本地子网能够扩展到所述一个或多个远程网络元件中的每一者。
15.根据权利要求14所述的装置,其中所述消息经由所述ACP被发送。
16.根据权利要求14所述的装置,其中,包括在所述消息中的所述信息标识下述各项中的至少一项:所述远程网络元件工作所处的LISP模式、LISP接口的索引、所指定的本地子网、针对所指定的本地子网中的每一者的默认网关、用于代理出口隧道路由器PeTR的互联网协议IP地址、用于映射服务器功能的IP地址、以及用于映射解析器功能的IP地址。
17.根据权利要求14所述的装置,其中所述本地网络元件被部署在企业数据中心中,并且所述一个或多个远程网络元件被部署在公共云网络中。
18.根据权利要求14所述的装置,其中所述本地网络元件和所述一个或多个远程网络元件中的每一者都是启用LISP的路由器。
19.根据权利要求14所述的装置,其中所述本地网络元件包括代理入口/出口隧道路由器PxTR。
20.根据权利要求14所述的装置,其中所述一个或多个远程网络元件中的每一者包括入口/出口隧道路由器xTR。
说明书 :
用于自主定位器/标识符分离协议的方法和装置
技术领域
[0001] 本公开一般涉及通信网络领域,并且更具体地,涉及针对这种网络实现安全混合云扩展的自主定位器/标识符分离协议(“LISP”)。
背景技术
[0002] 响应于各种系统需求,各种企业近期一直在追求混合云计算战略。这样的企业可能寻求将服务器迁移到基于云的基础设施,而不对其进行任何更改。具体地,企业服务器管理员可能偏好避免更改服务器的IP地址、子网掩码和默认网关配置,并且还可能偏好在云中采用不同于云服务提供商的IP寻址方案。定位器/标识符分离协议(“LISP”)可以用于解决这些要求。具体地,LISP分离设备位置和标识,从而允许通过使用与在企业自身的数据中心内的服务器相同的IP地址、子网掩码和默认网关配置来将现有服务器迁移到云或在云上创建新服务器。以这种方式,LISP实现从由企业管理的数据中心到云提供商拥有的云基础设施的IP移动性。这种可被称为“使用LISP的混合云扩展”的解决方案实现起来可能很复杂,因为它需要对LISP、IPsec和动态路由协议进行手动配置,这需要在多个领域的知识和配置专长。因此,手动配置为配置错误留下了很大的空间,并且在出现这种错误的情况下难以进行调试。
附图说明
[0003] 为了提供对本公开及其特征和优势的更全面的理解,结合附图对以下描述进行参考,其中相同的参考标号表示相同的部分,其中:
[0004] 图1是示例网络环境的简化框图,在该示例网络环境中可以实现用于使未经配置的设备能够以安全方式加入自主网络的系统;
[0005] 图2是根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统的简化框图;
[0006] 图3是根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统的更详细框图;
[0007] 图4是示出示例操作步骤的简化流程图,其中该示例操作步骤可以与根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统的企业侧的路由器相关联;
[0008] 图5是示出示例操作步骤的简化流程图,其中该示例操作步骤可以与根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统的服务/云提供商侧的路由器相关联;以及
[0009] 图6是示出能够执行处理器中的指令的示例机器的组件的简化框图,例如在根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统的企业侧或者服务/云提供商侧上的路由器。
具体实施方式
[0010] 概览
[0011] 在一个示例实施例中提供了一种方法,该方法包括将本地网络元件配置作为指定网络域的自主注册器;在本地网络元件和由本地网络元件标识为远程邻居的一个或多个远程网络元件之间建立自主控制平面(“ACP”);在本地网络元件处指定要扩展到一个或多个远程网络元件中的每一者的本地定义的子网;以及在本地网络元件处执行ACP命令,其中该执行触发到一个或多个远程网络元件中的每一者的消息,该消息包括关于所指定的本地子网的信息。包括在消息中的信息被远程网络元件中的每一者使用以自动解决其定位器/标识符分离协议(“LISP”)配置,使所指定的本地子网能够扩展到一个或多个远程网络元件中的每一者。
[0012] 在一些实施例中,可以经由ACP发送消息,并且包括在消息中的信息可以标识下述各项中的至少一项:远程网络元件工作所处的LISP模式、LISP接口的索引、所指定的本地子网、针对所指定的本地子网中的每一者的默认网关、用于代理出口隧道路由器(“PeTR”)的互联网协议(“IP”)地址、用于映射服务器功能的IP地址、以及用于映射解析器功能的IP地址。在某些实施例中,本地网络元件被部署在企业数据中心中,并且一个或多个远程网络元件被部署在公共云网络中。此外,本地网络元件和一个或多个远程网络元件中的每一者可以使用启用LISP的路由器来实现。
[0013] 该方法还可以包括在本地网络元件处创建本地网络元件LISP环回接口,并在本地LISP环回接口上启用路由;以及在本地网络元件和一个或多个远程网络元件中的每一者之间建立安全的IP隧道。本地网络元件可以被实现为代理入口/出口隧道路由器(“PxTR”),并且一个或多个远程网络元件中的每一者可以被实现为入口/出口隧道路由器(“xTR”)。
[0014] 示例实施例
[0015] 本文所描述的实施例采用自主技术使部署使用LISP的安全混合云扩展自动化,这在“使用LISP进行安全混合云扩展(Using LISP for Secure Hybrid Cloud Extension)”(draft-freitas-bellagamba-lisp-hybrid-cloud-usecase-00)(下文被称为“draft-freitas”)中被定义,其全部内容通过引用并入本文。作为本文描述的实施例的结果,企业用户不需要对LISP、IPsec和动态路由协议进行任何详细的了解来部署用于实现安全混合云扩展的自动LISP。另外,这些实施例在服务提供商云站点上实现配置的零接触配设。更进一步地,实施例将大大简化企业侧路由器的配置,并使对企业站点中的端点标识符(“EID”)的发现自动化。
[0016] 根据本文描述的实施例的特征,可以被视为虚拟带外信道并实现自管理覆盖网络的自动控制平面(“ACP”)可以被用于实现用于本文所述的安全混合云技术的自主LISP。在某些实施例中,通常可以如下实现ACP。每个自主设备都具有全球唯一的域证书,自主设备可以用该域证书加密地声明其在特定域中的成员资格。邻近发现对关于邻居的身份信息进行交换并填充“邻近表”,其中该邻近表包括邻近邻居或对等体的信息表,或者包括被远程配置的邻居的信息表。每个邻居由全局唯一的设备标识符(“UDI”)标识。邻近表包括关于邻近的或远程的邻居的以下信息:
[0017] 1.全局有效的UDI;
[0018] 2.链路本地或远程IP地址;
[0019] 3.信任信息;以及
[0020] 4.该信任的有效性。
[0021] 邻近表中的每个邻居或对等体都被认证,其结果被存储在邻近表中。具体地,如果所呈现的域证书被验证为在与自主实体相同的域中,则在这种情况下,认为该邻居在自主域内并建立ACP信道。如果没有由邻居呈现的域证书,或者如果所呈现的域证书无效或过期,则认为该邻居在自主域之外,并且将不建立ADP信道。
[0022] 为了建立可靠的安全通信信道,设备必须能够与每个邻居协商用于建立通信信道的一组参数(最值得注意的是信道类型和安全类型)。信道类型可以是在两个邻近邻居之间可行的任何隧道机制,例如GRE隧道。安全类型可以是在给定信道类型上的两个邻近邻居之间可用的任何信道保护机制,例如IPsec。可以在协商完信道类型和安全类型之后建立ACP。
[0023] 在完成认证和能力协商之后,自主节点通过使用协商的参数建立到其直接自主网络(“AN”)邻居的安全信道。可以通过使用IPv6链路本地地址或者使用IPv4或IPv6全局地址在两个邻近邻居之间将这些信道实现为安全IP隧道(例如IPsec)。ACP在与设备的正常数据平面分离的上下文中。该上下文包括ACP信道IPv6/IPv4转发和路由,以及任何所需的更高层ACP功能。上述信道建立两个邻近邻居之间的通信;为了使通信跨多个跳进行,如用于安全混合云扩展的自动定位器/标识符分离协议所需的情况,ACP需要全网有效的地址和路由。每个自主节点必须在ACP上下文内创建具有全网唯一的地址(例如,唯一本地地址(“ULA”))的环回接口。一旦建立了这些地址,所有的自主实体就应该运行在自主控制平面上下文内的路由协议。路由协议为了可达性分发地址。路由平面及其参数的建立是自动的,并且在ACP的范围内;因此,不需要手动配置。将认识到的是,ACP内的路由协议应该是轻量级的并且可扩展,以确保ACP不成为网络可扩展性的限制因素。在一个实施例中,用于低功率和有损网络(“RPL”)的IPv6路由协议可以被用作ACP路由协议。关于ACP的附加细节可以在“自动控制平面(An Automatic Control Plane)”(draft-behringer-autonomic-control-plane-00)(下文被称为“draft-behringer”)中找到,其全部内容通过引用并入本文。
[0024] 图1是网络环境10的简化框图,在其中可以根据当前技术实现用于使未经配置的设备能够以安全方式加入自主网络的示例系统。在网络环境10中,示出了示例性自主网络域15,并且其包括诸如现有设备30和注册服务器40之类的自主元件。可以向审核历史策略数据库47提供与尝试加入域15的自主设备的审核历史相关的策略。也可以在域15中提供认证机构50。此外,域15还可以包括各种其他计算设备(例如,台式机、笔记本电脑、智能电话(即具有计算能力的蜂窝电话)、个人数字助理(PDA)、平板电脑等)以及网络元件(例如,路由器、网关、防火墙、交换机、服务器等)。可以将自主的并且初始未配置的新设备20引入到域15中,并且新设备20可以与注册服务器40直接或经由现有设备30进行通信。
[0025] 注册服务器40可以被配置为经由广域网5(例如,互联网)与其他网络和云服务进行通信。签发机构60作为广域网5中的云服务被提供,并可以由诸如新设备20之类的自主设备的制造商来管理。可选地,签发机构60可以作为自主网络15的一部分被本地提供。可以提供客户策略数据库67以允许客户(即,获取或以其他方式控制制造商的自主设备的实体)请求要动态应用于其自主设备和/或域的策略。可以提供设备数据库68以包括制造商的自主设备的标识以及它们可能所属的域的标识。可以提供审核历史数据库69以包括自主设备的审核历史。可以本地或远程地实现到签发机构60的数据库67-69。
[0026] 在示例实施例中,可以通过在网络环境10中提供注册服务器40和本地或远程实现的签发机构60来实现用于使未经配置的设备能够安全加入自主网络域的系统和方法。注册服务器40创建对域和尝试加入该域的新设备进行标识的初始基本注册信息分组(下文简称为“初始信息分组”)。注册服务器40将初始信息分组传送给签发机构60。签发机构60可以验证新设备并创建链接新设备与域的认证令牌,并发信号通知新设备允许其加入该域。注册服务器40可以验证新设备的审核历史,并创建包括认证令牌的完整信息分组。将完整信息分组发送到新设备,然后新设备验证并接受该完整信息分组,并使用完整信息包中的信息来加入自主网络域。
[0027] 本文关于本公开的各种实施例使用某些术语。本文所使用的术语“信息”是指任何类型的二进制、数字、或文本数据,或者可以在电子设备(例如,计算设备、网络)和/或网络中从一个点传递到另一个点的任何适当格式的任何其他适当的数据。
[0028] 如图1所示,用于使未经配置的设备能够以自动和安全的方式加入自主网络的系统可以解决这些问题中的许多。图1示出了一个实施例,在其中新设备安全地认证网络基础设施而无需强加手动配置或不安全的基础设施假设。在图1的系统中,通过利用新设备中的信任证(credential)(例如,唯一的设备标识符(UDI)和制造商的根公钥)以及信任的签发机构(例如,新设备的制造商),自主网络域认证新设备,并且新设备认证自主网络域,从而创建安全的信任链。更具体地,新设备可以验证其对不受信任的域的加入尝试是否由信任的签发机构来审核。新设备验证其动作是否由签发机构来审核和认证(例如,通过在认证令牌上验证其签名),并验证签发机构本身是否是可信任的,而无需与签发机构进行实际通信。此外,新域可以根据域策略验证与新设备相关的先前的审核条目是否是可接受的。具体地,可以由不信任的域的注册服务器执行策略决策和审核日志决定。因此,只要这样的动作受到适当的审核,则可以接受签发机构认证“不安全”的动作(例如,新设备加入未知域)。此外,在某些情况下,客户策略可以由签发机构在每个设备和/或每个域的基础上实现。因此,提供了一种灵活的系统,在其中,不具有初始配置的“开箱即用(out of the box)”的新设备可以以零触摸、安全的方式自动加入自主网络。此外,系统的灵活性使得客户能够通过注册服务器以及可能通过签发机构动态地控制和管理所需策略。
[0029] 转到图1的基础设施,网络环境10表示用于接收和发送通过系统传播的信息的分组的互连通信路径的一系列点或节点。图1的节点可以通过使用任何适当连接(有线或无线)的一个或多个接口与彼此耦接,这提供了用于电子通信的可行路径。网络环境10可以包括任何局域网(LAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、广域网(例如,WAN 5)、虚拟局域网(VLAN)、虚拟专用网络(VPN)、或辅助网络环境中的通信的任何其他适当的架构或系统。
[0030] 网络环境10可以包括用于在网络中发送或接收分组的支持传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可以在适当时并基于特定需要连同用户数据报协议/IP(UDP/IP)或者任何其他适当的协议工作。另外,可以基于特定配置需要对图1中节点的任何一个或多个与架构进行组合或将其从架构中移除。
[0031] 在一个示例实施例中,可以通过使用私有地址空间以任何适当的形式(例如,内联网或外联网、局域网(LAN)、广域网(WAN)、无线局域网(WLAN)、虚拟局域网(VLAN)等)来配置域15。本文所使用的“域”是指自主网络(或其一部分),在其中诸如网络元件和其他计算设备之类的节点可以由安全元件(例如,注册服务器40)进行认证和注册或登记,并且所配置和认证的节点可以在其内进行通信。“自主网络”是指节点自主地与彼此进行交互,并可以基于这些交互以安全的方式形成端到端的网络,而无需人为干预。网络中的节点能够解释全网的指令,并且可以在将其移交给网络管理实体之前将全网的信息聚合。
[0032] 具体地,域15表示在其中注册服务器40、现有设备30以及认证机构50被配置和认证的自主网络(或其一部分)。新设备20表示在自主网络域15内的经配置和认证的机器(例如,现有设备30)的连接范围内的未经配置的机器。当新设备20和现有设备30都被配置为具有无线连接能力(例如,网络接口控制器(WNIC))时,连接范围可以包括无线连接范围。在其他情况下,未经配置的新设备20可以(例如,经由以太网、令牌环等)直接连接到现有设备30。
[0033] 域15可以通过适当的网络元件(例如,路由器、网桥、交换机、网关、防火墙等)连接到另一专用网络、公共网络(例如,WAN 5)或公共和专用网络的组合。在一个示例实施例中,注册服务器40可以通过互联网(例如,WAN 5)与签发机构60进行通信。在该实施例中,网络域15可以通过任何适当的介质(包括例如数字用户线(DSL)、电话线、T1线、T3线、无线、卫星、光纤、电缆、以太网等或其任何组合)连接到互联网。可选地,域15和签发机构60可以不通过网络被连接,并可以通过手动方法进行通信。
[0034] 通常,域及其节点与客户或实体(例如,商业企业、政府组织、非营利组织、教育组织等)相关联。如果客户或实体拥有、控制或以其他方式合法地行使对域的权力和/或做出与域相关的决策,则可以与该域相关联。客户或实体可以根据本规范从制造商处购买、租赁、许可或以其他方式获取自主设备。本文所使用的“客户”可以与“实体”互换使用。
[0035] 应理解的是,尽管本文已经示出和描述了示例性网络10,但是本公开的系统和方法可以在能够支持架构的任何网络环境中实现。因此,参考网络环境10的描述不应被解释为暗示了架构限制,而应被解释为说明性的。
[0036] 现转到图2,其中示出了根据本文描述的实施例的特征实现用于实现安全混合云扩展的自主LISP的系统70的简化框图。如图2所示,系统70的企业侧72(其可以包括数据中心)包括代理入口/出口隧道路由器(“PxTR”)74,其具有经由内部接口76A、74B、PxTR可访问的两个或更多个本地定义的子网。具体地,如图2所示,接口76A提供到本地定义的子网中的第一个(“子网A”)的连接,并且接口74B提供到本地定义的子网中的第二个(“子网B”)的连接。系统70的服务提供商(“SP”)侧78(其可以包括云SP)包括一个或多个入口/出口隧道路由器(“xTR”)80、82。如图2所示,以上文参考图1描述的方式在PxTR74和xTR 80、82之间建立如隧道86、84所表示的ACP以及IPsec隧道90、88。具体地,将PxTR 74配置作为指定域“example.com”的自主注册器,并且通过使用它们各自的公共IP地址(即,“ip addl”和“ip add2”)将xTR 80和xTR 82建立为PxTR 74的自主对等体,分别指定其参考标号为89A、89B。此外,以常规方式配置PxTR 74的外部接口。
[0037] 根据本文描述的实施例的特征,承担注册器功能的设备充当域的信任锚点(例如,PxTR 74)。注册器包括注册机构和认证机构,随后将域证书授予其他设备(例如,xTR 80、82)。注册器的功能对用户基本上是透明的。
[0038] 根据本文描述的实施例的特征,引入新的ACP命令(本文称之为“lisp-stretch”),并且当其被执行时,通过将指定的本地定义的子网(例如,子网A和子网B)“拉伸”或扩展到远程站点(例如,xTR 80和82)来触发基于LISP的安全混合云扩展92的形成。在实施例中,要被拉伸到远程节点的子网被标记为“lisp-stretch”。将在下文更详细地描述,由lisp-stretch命令触发的包含在消息中的信息使xTR 80、82中的每一者能够自动解析其LISP配置,从而能够在SP侧78自动和自主地建立安全的混合云扩展。
[0039] 现转到图3,其示出了图2的系统70的更详细的框图。如图3所示,一旦在PxTR 74和远程节点(xTR80、82)之间建立了ACP隧道,ACP命令触发PxTR 74上进程的执行,使得启用路由的IPsec隧道被建立,以及承载LISP特定参数的新ACP消息将经由相应的ACP信道从PxTR 74发送到远程节点xTR 80和xTR 82中的每一者(“run_xTR_mode(my_LISP_if,子网A,def_gw1,子网B,def_gw2,PeTR/MS/MR IP地址)”)。
[0040] run_xTR_mode消息向每个远程节点(即,xTR 80和xTR 82)标识:远程节点工作所处的LISP模式(“run_xTR_mode”)、LISP接口的数目或索引(“my_LISP_if”)、在所标识接口下配置的子网(“子网A”和“子网B”)和在企业的角度下它们各自的默认网关(“def_gwl”和“def_gw2”)、以及针对代理出口隧道路由器(“PeTR”)、映射服务器(“MS”)和映射解析器(“MR”)中的每一者的IP地址。当从PxTR74接收到run_xTR_mode消息时,xTR 80、82中的每一者经由各自的ACP信道用确认(“ack”)进行响应,并且继续通过使用包含在run_xTR_mode消息中的参数来自动解析其LISP配置,下文将更详细地描述。
[0041] 图4是示出根据本文所述的实施例的特征的在企业侧(即,在PxTR74处)实现的过程的流程图,其实现用于实现安全混合云扩展的自主LISP。转到图4,并参考图3,在步骤100中,PxTR 74被配置作为用于指定域(例如,域ID“example.com”)的自主注册器。在步骤101中,定义了远程节点(xTR 80、82)。具体地,PxTR用xTR 80和xTR 82执行远程邻居发现,并用域证书的自动登记进行这些节点的证书引导。
[0042] 如果两个自主设备使用相同的信任锚或注册器,它们可以验证彼此的证书,从而确定对等体是同一域的成员。自主设备使用来自域注册器的域证书(如果可用)对其邻居发现分组进行签名。如果域证书不可用,则自主设备通过使用供应商证书或自签名证书来标识其邻居发现分组。
[0043] 返回到图4,在步骤102中,基于域认证在所有节点之间建立ACP。在步骤104中,由ACP命令“lisp-stretch”触发,PxTR启用路由并创建PxTR LISP环回接口,在一个实施例中,这是基于ULA、IPv6的,并且路由在环回上被启用。环回接口的配置确保由PxTR接收的每个映射通知消息始终被发送到LISP进程。
[0044] 在步骤106中,具有参数的“run_xTR_mode”消息被发送到SP站点处的远程对等体(即,xTR 80和xTR 82)。run_xTR_mode消息标识PxTR LISP环回以及要被拉伸的子网和它们各自的默认网关。在步骤108中,建立从PxTR 72到xTR 80和82的IPsec隧道90、88。这可以通过使用域证书认证xTR IPsec对等体来实现。外部IP地址和域证书是已知的。在某些实施例中,内部IP地址可以是IPv6链路本地/IPv4无编号的。在步骤110中,在IPsec隧道上启用路由协议。可以采用任何数目的不同路由协议之一,包括但不限于开放式最短路径优先(“OPSF”)、中间系统到中间系统(“IS-IS”)、以及增强内部网关路由协议(“EIGRP”)。
[0045] 在步骤112中,在PxTR上本地启用LISP。在步骤114中,通过使用PxTR LISP环回接口地址来启用映射服务器(“MS”)和映射解析器(“MR”)功能。在某些实施例中,密钥可以是硬编码的,因为IPsec提供安全性;可选地,可以使用域证书来协商密钥。在步骤116中,限定MR和MS指向LISP环回接口。在步骤118中,在PxTR上启用代理入口隧道路由器(“PiTR”)和PeTR功能。在步骤120中,对于标记为“lisp-stretch”的每个接口,启用LISP移动性并创建具有环回的动态数据库映射作为具有增量“映射通知”组的本地路由定位器(“RLOC”)(站点本地组播)。另外,在本地MS上创建站点映射服务器条目。
[0046] 现转向图5,其中流程图示出了根据本文描述的实施例的特征,在xTR80、82中的每一者处执行的实现用于实现安全混合云扩展的自主LISP的操作过程。在步骤130中,当从PxTR接收到“run_xtr_mode”消息时,xTR启用路由功能。在步骤132中,xTR创建本地xTR LISP环回接口(例如,在上PxTR),并在环回上启用路由。在步骤134中,通过使用已知的IP地址和域证书,xTR建立到PxTR的IPsec隧道(与来自PxTR的IPsec隧道对称)。在步骤136中,xTR在IPsec隧道上启用所选择的路由协议。在步骤138中,xTR在本地启用LISP。在步骤140中,xTR启用ITR和ETR功能。在步骤142中,xTR限定MR和MS指向PxTR LISP环回。在步骤144中,xTR使用指向PxTR LISP环回的PeTR功能。在步骤146中,对于从PxTR接收到的每个子网,xTR创建具有由PxTR提供的IP地址和子网掩码的接口、启用LISP移动性、以及创建具有环回的动态数据库映射作为具有增量“映射通知”组的本地RLOC(站点本地组播)。完成步骤146后,则已经建立了启用LISP的安全混合云扩展。
[0047] 转到图6,图6是示例性机器(或装置)150的简化框图,在某些实施例中,其可以包括路由器(例如,PxTR或xTR),其可以根据本文描述的实施例的特征被实现为实现用于实现安全的混合云扩展的自主LISP的系统。与可以部署在系统70中的网络元件和计算设备相对应的示例机器150包括例如PxTR 74、xTR 80、和xTR 82。具体地,图6示出了机器的示例形式的框图,在该机器内软件和硬件使得机器150执行本文讨论的一个或多个活动或操作中的任一者。如图6所示,机器150可以包括处理器152、主存储器153、次级存储设备154、无线网络接口155、有线网络接口156、用户接口157、包括计算机可读介质159的可移动介质驱动器158、以及虚拟网络接口160。诸如系统总线和存储器总线之类的总线151可以提供处理器
152与存储器、驱动器、接口和机器150的其他组件之间的电子通信。机器150可以是物理或虚拟设备,例如在管理程序上运行或在容器内运行的虚拟路由器。
152与存储器、驱动器、接口和机器150的其他组件之间的电子通信。机器150可以是物理或虚拟设备,例如在管理程序上运行或在容器内运行的虚拟路由器。
[0048] 也可被称为中央处理单元(“CPU”)的处理器152可以包括能够执行机器可读指令并按照机器可读指令的指示对数据执行操作的任何通用或专用处理器。主存储器153可以直接访问处理器152以访问机器指令,并且可以是以随机存取存储器(“RAM”)或任何类型的动态存储器(例如,动态随机存取存储器(“DRAM”))的形式。次级存储设备154可以是诸如硬盘之类的任何非易失性存储器,其能够存储包括可执行软件文件的电子数据。可以通过一个或多个可移动介质驱动器158将外部存储的电子数据提供给计算机150,其中可移动介质驱动器158可以被配置为接收任何类型的外部介质,例如光盘(“CD”)、数字视频盘(“DVD”)、闪存驱动器、外部硬盘驱动器等。
[0049] 可以提供无线、有线和虚拟网络接口155、156和160,以经由网络(例如,域15、广域网5)实现机器150与其他机器(例如,新设备20、现有设备30、注册服务器40、签发机构60、认证机构50)之间的电子通信。在一个示例中,无线网络接口155可以包括具有适当的发送和接收组件(例如,收发器)的无线网络控制器(“WNIC”),用于网络内的无线通信。有线网络接口156可以使机器150能够通过诸如以太网电缆之类的有线线物理地连接到网络。无线和有线网络接口155和156可以都被配置为通过使用适当的通信协议(例如,互联网协议套件(“TCP/IP”))辅助通信。仅出于说明的目的,机器150被示出为具有无线和有线网络接口155和156两者。虽然可以一个或多个无线和硬线接口可以被提供于机器150中或外部连接到机器150,但是仅需要一个连接以使机器150能够连接到网络。
[0050] 可以在一些机器中提供用户接口157以允许用户与机器150进行交互。用户接口157可以包括诸如图形显示设备(例如,等离子体显示面板(“PDP”)、液晶显示器(“LCD”)、阴极射线管(“CRT”)等)之类的显示设备。此外,还可以包括诸如键盘、触摸屏、鼠标、轨迹球、语音识别、触摸板和应用编程接口(API)等之类的任何适当的输入机制。
[0051] 可移动介质驱动器158表示被配置为接收任何类型的外部计算机可读介质(例如,计算机可读介质159)的驱动器。实现本文所描述的活动或功能的指令可以被存储在一个或多个外部计算机可读介质上。此外,这样的指令还可以或者可选地在执行期间至少部分地位于机器150的存储器元件(例如,主存储器153或处理器152的高速缓存存储器)内,或者在非易失性存储器元件(例如,机器150的次级存储设备154)内。因此,机器150的其它存储元件也构成计算机可读介质。因此,“计算机可读介质”旨在包括能够存储由机器150执行的指令使得机器执行本文公开的活动中任何一个或多个的任何介质。
[0052] 图6中未示出附加硬件,该附加硬件可以以存储器管理单元(“MMU”)、附加对称多处理(“SMP”)元件、物理存储器、外围组件互连(“PCI”)总线和对应的桥接器、小型计算机系统接口(“SCSI”)/集成驱动电子(“IDE”)元件等的形式适当地耦接到处理器152和其他组件。机器150可以包括辅助其操作的任何附加的适当的硬件、软件、组件、模块、接口或对象。这可以包括允许数据有效保护和通信的适当算法和通信协议。此外,任何适当的操作系统也可以被配置在机器150中以适当地管理其中的硬件组件的操作。
[0053] 参考机器70示出和/或描述的元件旨在出于说明的目的,而并不旨在暗示对机器(例如,根据本公开所使用的那些机器)的结构限制。此外,每个机器PxTR 74、xTR 80和xTR 82可以在适当的情况下并且基于特定需要包括更多或更少的组件,并且可以作为虚拟机或虚拟设备运行。本说明书中所使用的术语“机器”意在包括任何计算设备或网络元件(例如,服务器、虚拟服务器、逻辑容器、路由器、个人计算机、客户端计算机、网络设备、交换、网桥、网关、处理器、负载平衡器、无线局域网控制器、防火墙或可操作以影响或处理网络环境中的电子信息的任何其它适当的设备、组件、元件或对象)。
[0054] 在示例实现方式中,可以在例如PxTR 74、xTR 80和xTR 82中的软件中实现本文所概述的与用于使未经配置的设备能够安全地加入自主网络的系统有关的活动的至少一些部分。在一些实施例中,可以从网络服务器接收或下载、在计算机可读介质上提供、或由特定元件的制造商配置该软件,以便提供根据本文所述的实施例的特征实现用于实现安全混合云扩展的自主LISP的该系统。在一些实施例中,这些特征中的一个或多个可以以在硬件中实现、被提供到这些元件的外部、或以任何适当的方式被合并以实现预期的功能。
[0055] 在一个示例实现方式中,PxTR 74、xTR 80和xTR 82是网络元件或计算设备,其可以包括辅助其操作的任何适当的硬件、软件、组件、模块或对象,以及用于在网络环境中接收、发送和/或以其他方式传送数据或信息的适当接口。这可以包括允许数据或信息的有效交换的适当算法和通信协议。
[0056] 此外,在本文描述和示出的用于使未经配置的设备能够安全地加入自主网络的系统的实施例中,可以移除或以其他方式合并与各种网络元件相关联的处理器和存储器元件中的一些,使得单个处理器和单个内存位置负责某些活动。可选地,可以分离某些处理功能,并且单独的处理器和/或物理机器可以实现各种功能。在一般意义上,附图中描绘的布置在它们的表示中可能更合乎逻辑,而物理架构可以包括这些元件的各种排列、组合和/或混合。必须注意的是,无数可能的设计配置可以用于实现这里概述的操作目标。因此,相关联的基础设施具有无数的替代布置、设计选择、设备可能性、硬件配置、软件实现方式、设备选项等。
[0057] 在一些示例实施例中,一个或多个存储器元件(例如,主存储器73、次级存储器74、计算机可读介质79)可以存储用于本文所述的自动配置和注册操作的数据。这包括能够存储被执行以执行本说明书中描述的活动的指令(例如,软件、逻辑、代码等)的存储器元件中的至少一些。处理器可以执行与数据相关联的任何类型的指令以实现本说明书中详细描述的操作。在一个示例中,一个或多个处理器(例如,处理器72)可以将元件或物品(例如,数据)从一个状态或事物转换到另一状态或事物。在另一示例中,本文概述的活动可以用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(“FPGA”)、可擦除可编程只读存储器(“EPROM”)、电可擦除可编程只读存储器(“EEPROM”))、ASIC(包括数字逻辑、软件、代码、电子指令、闪存、光盘、CD-ROM、DVD ROM、磁盘或光卡、适用于存储电子指令的其他类型的机器可读介质)、或其任何适当的组合。
[0058] 网络环境10的组件可以将信息保存在任何适当类型的存储器(例如,随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)等)、软件、硬件中或在适当的情况下并基于特定需求保存在任何其他适当的组件、设备、元件或对象。本文所讨论的任何存储器项目都应被解释为包含在广义术语“存储器元件”内。正由网络环境10读取、使用、跟踪、发送、传输、传送或接收的信息可以被提供在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中,所有这些都可以在任何适当的时间段被引用。任何这样的存储选项可以被包括在本文所使用的广义术语“存储元件”中。类似地,本说明书中所描述的潜在的处理元件和模块中的任一应被解释为涵盖在广义术语“处理器”内。
[0059] 注意,通过本文提供的许多示例,可以根据两个、三个、四个或更多个网络元件来描述交互。然而,这仅是出于清楚和示例的目的而进行的。应理解的是,可以以任何适当的方式来加强该系统。沿着类似的设计替代方案,可以以各种可能的配置来对图所示的计算机、模块、组件和元件中的任一进行组合,所有这些组合都明确地在本规范的广泛范围内。在某些情况下,通过仅引用有限数目的网络元件来描述给定的一组流的一个或多个功能可能更容易。应理解的是,用于在自主网络中自动配置和注册未经配置设备的系统(如图所示)及其教导是易于扩展的,并且可以容纳大量的组件以及更复杂/精细的布置和配置。因此,所提供的示例不应该限制范围,也不应该在系统被潜在地应用于无数其他架构时限制其广泛的教导。
[0060] 同样重要的是,注意,参考前面的附图描述的操作和步骤仅示出可以由系统执行或在系统内部执行的一些可能的情形。这些操作中的一些可以在适当的情况下被删除或移除,或者这些步骤可以被大幅修改或改变,而不背离所讨论的概念的范围。此外,这些操作的时序可以被大幅地更改,并仍然达到本公开所教导的结果。上述操作流程是出于举例和讨论的目的而提供的。系统提供了很大的灵活性,因为可以提供任何适当的布置、年表、配置和时序机制,而不背离所讨论的概念的教导。
[0061] 在前面的描述中,出于说明的目的,阐述了许多具体细节以便提供对公开的实施例的透彻理解。然而,对于本领域技术人员显而易见的是,可以在没有这些具体细节的情况下实践所公开的实施例。在其他实例中,以框图的形式示出了结构和设备,以避免模糊所公开的实施例。此外,在说明书中对“一个实施例”、“示例性实施例”、“实施例”、“另一实施例”、“一些实施例”、“各种实施例”、“其他实施例”、“替代实施例”等的引用旨在表示与这样的实施例相关联的任何特征(例如,元件、结构、模块、组件、步骤、操作、特性等)被包括在本公开的一个或多个实施例中。
[0062] 可以向本领域技术人员确定许多其它改变、替换、变化、更改和修改,并且本公开旨在包括落入所附权利要求的范围内的所有这样的改变、替换、变化、更改和修改。