智能广域网(IWAN)的制作方法

本公开通常涉及计算机网络，更具体地，涉及实现智能广域网的技术。

背景技术：

企业网络搭载着飞快增长的大量业务和非业务关键性流量。通常，业务应用(例如，视频协作、云应用等)使用与非业务关键性网络流量所用的超文本传输协议(http)和/或http安全(https)技术相同的http和https。这使对特定应用进行网络性能优化的任务变得复杂化，因为许多应用使用相同的协议，从而很难区分和选择用于优化的流量。

随着业务和非业务关键性应用的数量的增长，网络可用的服务水平协议(sla)的数量和种类也在增长。一般来说，sla指的是由网络保证的性能的目标或阈值水平，并且sla可以与特定类型的流量相关联。例如，许多实时业务应用有非常高的带宽要求并且具有被用于保证一定量的网络带宽可用于特定的流量流的相应sla。

技术实现要素：

根据本公开的一个方面，提供了一种方法，包括：由电子设备维护通信网络的一个或多个基于隧道的覆盖，其中，该通信网络包括两个或多个物理提供商网络；由设备维护通信网络的一个或多个覆盖和特定应用之间的映射；由设备调整通信网络的一个或多个覆盖和特定应用之间的映射；以及由设备引起通信网络中的一个或多个路由器根据通信网络的一个或多个覆盖和特定应用之间的经调整的映射来路由特定应用的流量。

根据本公开的另一方面，提供了一种装置，包括：一个或多个网络接口，该一个或多个网络接口与通信网络进行通信；处理器，该处理器耦合于一个或多个网络接口并且被配置为执行处理；以及存储器，该存储器被配置为存储处理器能执行的处理，该处理在被执行时能操作来执行以下操作：维护通信网络的一个或多个基于隧道的覆盖，其中，该通信网络包括两个或多个物理提供商网络；维护通信网络的一个或多个覆盖和特定应用之间的映射；调整通信网络的一个或多个覆盖和特定应用之间的映射；以及引起通信网络中的一个或多个路由器根据通信网络的一个或多个覆盖和应用之间的经调整的映射来路由特定应用的流量。

根据本公开的又一个方面，提供了一种其上编码有软件的有形非暂态计算机可读介质，该软件在由通信网络中的设备上的处理器执行时能操作来执行以下操作：维护通信网络的一个或多个基于隧道的覆盖，其中，该通信网络包括两个或多个物理提供商网络；维护通信网络的一个或多个覆盖和特定应用之间的映射；调整通信网络的一个或多个覆盖和特定应用之间的映射；以及引起通信网络中的一个或多个路由器根据通信网络的一个或多个覆盖和应用之间的经调整的映射来路由特定应用的流量。

附图说明

本文的实施例可以通过结合附图参考以下描述被更好地理解，在附图中，相似的标号指示相同或功能相似的元件，其中：

图1a-1b示出示例性通信系统；

图2示出示例性网络设备/节点；

图3示出智能广域网(wan)的示例性系统架构；

图4示出智能wan内的应用迁移的示例；

图5示出智能wan的安全机制的示例；

图6示出智能wan中的路径控制的示例；

图7示出智能wan中的策略控制的示例；

图8示出引起流量在通信网络中被路由的示例性简化过程。

具体实施方式

综述

根据本公开的一个或多个实施例，电子设备维护通信网络的一个或多个基于隧道的覆盖。该通信网络包括两个或多个物理提供商网络。该设备维护通信网络的一个或多个覆盖和特定应用之间的映射。该设备调整通信网络的一个或多个覆盖和特定应用之间的映射。该设备引起通信网络中的一个或多个路由器根据所述通信网络的一个或多个覆盖和特定应用之间的经调整的映射来路由特定应用的流量。

描述

计算机网络是由用于在端节点(例如，个人计算机和工作站)或其他设备(例如，传感器等)之间传送数据的通信链路和网段互连的节点的地理分布式集合。从局域网(lan)到广域网(wan)，许多类型的网络是可用的。lan通常通过位于相同常规地理位置(例如，建筑或校园)的专用私有通信链路来连接节点。另一方面，wan通常通过长距离通信链路(例如，通用载波电话线、光学光路、同步光网络(sonet)及其它)来连接地理分散的节点。互联网是连接遍布世界分散的网络的wan的一个示例，提供各种网络上的节点之间的全球通信。节点通常是通过根据预定义的协议(例如，传输控制协议/互联网协议(tcp/ip))交换数据的离散帧或分组来在网络上通信的。在这种背景下，协议包括定义节点如何交互的一系列规则。计算机网络还可以通过中间网络节点(例如，路由器)被互连以扩展每个网络的有效“尺寸”。

图1a是根据各种实施例的示例性通信系统100的示意性框图。如图所示，站点102(例如，企业网络的一个分支等)可以经由一个或多个用户边缘(ce)路由器110和链路105把位于站点102(例如，设备的lan)处的各种计算设备连接至各种远程设备/服务。这种远程设备/服务可以在私有云140、虚拟私有云142、公共云144等等内存在。通常，一个或多个ce路由器110(例如，路由器ce-1等)可以提供在站点102的一个或多个lan上的设备和与云140-144相关联的设备/服务之间的连接。例如，公共云144可以包括公开可用的网络服务器，而私有云140可以包括位于由与站点102相关联的相同实体操作的数据中心内的服务器。

数据分组(例如，流量/消息)可以利用预定义的网络通信协议(例如，tcp/ip、用户数据报协议(udp)、异步传输模式(atm)协议、帧中继协议、或任意其它适合的协议)通过链路105在通信系统100的节点/设备之间进行交换。本领域的相关技术人员应该理解在系统中可以使用任意数量的节点、设备、链路等，本文所示的视图是为了简化的目的。

特定的站点可以经由任意数量的不同提供商网络被连接至云140、142和/或144。例如，如图所示，站点102可以被连接至第一网络130并且还可以被连接至第二网络132，至第一网络130和第二网络132的链路可能显示出非常不同的网络服务水平协议(sla)特性。在各种实施例中，站点102和网络130-132之间的连接可以包括公共因特网连接、多协议标签交换(mpls)网络等等。在一个实施例中，网络130、132甚至可以与不同的服务提供商相关联。

为了举例说明的目的，给定站点可以落在以下类别中的任意类别中：

1.)站点类型a：经由单个ce路由器和单个链路(潜在地，具有后备链路(例如，3g/4g/lte后备连接))利用私有或虚拟网络(vpn)链路连接的站点。例如，所示的ce-1可以经由至网络130(例如，mpls网络)的链路来支持站点102，还潜在地，具有经由蜂窝无线连接的后备网络连接。

2.)站点类型b：利用(例如，来自不同的服务提供商的)两个vpn链路(潜在地，具有后备链路(例如，3g/4g/lte连接))连接的站点。在一个示例中，动态隧道化技术(例如，思科系统^tm的动态多点虚拟私有网络(dmvpn)等等)可以被用于动态地建立通过一个或多个mpls网络的vpn隧道、一个或多个互联网连接等。例如，这种技术可以采用通用路由封装(gre)隧道、互联网协议安全(ipsec)隧道等来在(一个或多个)物理网络的上方提供覆盖层。

b类型的站点本身可以有不同的类型：

2a.)站点类型b1：利用(例如，来自不同的服务提供商的)两个mplsvpn链路(潜在地，具有后备链路(例如，3g/4g/lte连接))连接的站点。例如，在一个实施例中，网络130和132可能是不同的mpls网络。

2b.)站点类型b2：利用连接至公共互联网的一个链路和一个mplsvpn链路(潜在地，具有后备链路(例如，3g/4g/lte连接))连接至网络的站点。例如，网络130可能是mpls网络，而至网络132的连接可能是公共互联网连接，还潜在地具有蜂窝无线后备链路。

2c.)站点类型b3：利用(例如，经由不同的服务提供商)连接至公共互联网的两个链路(潜在地，具有一个或多个后备链路(例如，3g/4g/lte连接))连接至网络的站点。例如，ce-1和网络130、132两者之间的连接可能是经由不同服务提供商的公共互联网连接。

应该理解的是，mplsvpn链路通常被与承诺的sla相关联，而互联网链路可能完全没有sla或者具有宽松的sla(例如，至客户站点的保证一定性能水平的“黄金封包(goldpackage)”互联网服务连接)。

3.)站点类型c：具有不止一个ce路由器(例如，第一ce路由器被连接至一个提供商网络，而第二ce路由器被连接至其他提供商网络)(潜在地，具有后备链路(例如，3g/4g/lte连接))的b类型(例如，b1、b2或b3类型)站点。例如，在另一实施例中，站点102可以包括被连接至网络130的第一ce路由器110和被连接至网络132的第二ce路由器110。

应该理解的是，任意数量的设备、配置和网络连接可以被用于提供来自或去往给定站点的远程通信。此外，虽然描绘了某些拓扑结构(例如，具有被连接至不同服务提供商网络的站点)，但是可以在其它实施例中使用其它拓扑结构(例如，站点102可以被连接至三个不同的服务提供商网络、四个不同的网络等)。

图1b根据各种实施例更详细地示出通信系统100的示例。如图所示，站点102可以经由网络130和132被连接至数据中心150。例如，假设分支102和数据中心150与相同的组织相关联(例如，作为企业网络的一部分)。这种组织的网络可以包括由数据中心150服务的任意数量的本地站点/分支/校园等(例如，作为辐射型配置的一部分等)。

数据中心150可以包括任意数量的服务器、网络控制器、或向与站点102相关联的设备提供服务的其它设备。例如，如图所示，数据中心150可以包括向位于站点102的ce-1和/或设备104-106提供远程服务的设备152-154。在一些实施例中，设备152-154可以是包括任意数量的不同计算设备的云环境的一部分。在各种实施例中，设备152-154可以包括网络管理服务器(nms)、动态主机配置协议(dhcp)服务器、受限应用协议(coap)服务器、停电管理系统(outagemanagementsystem)(oms)、应用策略基础设施控制器(apic)、应用服务器等。应该理解的是，通信系统100还可以包括任意数量的本地网络、数据中心、云环境、设备/节点、服务器等。

如图所示，ce路由器ce-1可以被连接至不同网络130和132的相应的提供商边缘(pe)路由器120。类似地，数据中心150可以包括被连接至网络130和132中的相应pe路由器的一个或多个ce路由器110(例如，ce-2、ce-3)。如前面提到的，在一些情况下，网络130和132可以是由不同的服务提供商维护的网络并且可以是相同或不同的类型(例如，mpls、互联网等)。

各种类型的应用流量可以通过当今的网络流动。例如，位于客户站点处的特定ce路由器110可以提供和接收通过通信系统100传输的不同形式的应用流量。例如，与给定客户站点相关联的流量可以包括但不限于视频数据(例如，视频会议数据)、音频数据(例如，网络电话(voip))、企业资源计划(erp)数据、客户关系管理(crm)数据、网络数据等等。各种形式的流量可能具有特定的网络要求并且可能对网络可用性和弹性具有严格要求，从而即使很小的网络条件偏差都可能导致应用不能向终端用户提供所需的体验。例如，低的网络性能可能导致向终端用户显示不稳定的视频会议。

为了保证针对网络流量的一定程度的性能得到满足，系统100中的各种设备(例如，路由器110、120、设备152-154等)可以采用以下机制中中的任意或全部机制：

·应用可视性与控制(avc)：这种机制将通常只用于专用设备的应用识别和性能监控能力并入到路由设备中。例如，在站点102处所示的路由器ce-1可以被配置为支持avc。通常，avc允许将应用感知建立到网络基础架构中、将可视性性加入在网络上运行的应用的性能中。avc还允许针对应用带宽用量的粒度控制启用逐应用策略。典型的avc实现方式可以执行以下各项：应用识别、量度收集和报告、以及管理/控制。例如，ce-1可以使用思科系统公司的基于网络的应用识别(nbar)或者其他机制(例如，通过使用深度分组检测、下文描述的其它应用识别技术等)来将流量流与具体应用相关联。收集到的性能量度(例如，分组损失、带宽用量等)可以在路由器处与被识别的应用相关联，并且然后被报告给监管设备(例如，设备152-154中的一个，等等)，作为响应，监管设备可以对网络进行任意数量的调整。avc机制还可以结合流量流分析和报告机制进行操作，流量流分析和报告机制可操作来区分流量流并且向监管设备提供总结报告。这种机制的一个示例是思科系统公司的netflow。

·性能路由(pfr)：这种机制基于为网络属性(例如，延迟、抖动和损耗)配置的阈值允许流量在多个路径之间进行自动切换。这些属性可以利用为每个dscp、源-目的地元组等生成的探针进行追踪。另外，这些被配置的阈值是以正通过网络被发送的应用的所感知的容限为基础的。一旦越过这些阈值(例如，如果延迟增大到50ms以上或者抖动增大5％)，则基于流量被转换到哪个替换和预配置路径，阈值越过警告可以被发出。一旦流量被移动，探针可以继续被发出并且在预配置时间段后，基于探针测量，流量回到初始路径。例如，假设网络130是mpls网络并且假设网络132提供至站点102的互联网连接。在这种情况下，ce-1可以利用pfr技术来根据测得的网络特性和针对特定网络流量的策略定义的要求来在经由网络130和网络132与数据中心150通信之间进行切换。

这些机制和其他机制可以被用于诸如通信系统100之类的网络内以保证满足针对给定应用的某些sla。例如，监管apic(例如，设备152-154中的一个设备等)可以作为策略引擎操作，其协同所部署的路由器本地的监控/报告机制来工作，以保证针对特定应用的流量体验期望的性能水平。

图2是可以被用于本文所述的一个或多个实施例的示例性节点/设备200(例如，如图1a-1b中所示的任意设备，特别是ce路由器110、pe路由器120、和/或设备104-106和152-154(例如，位于数据中心的网络控制器等)、支持系统100的操作的任意其他计算设备(例如，交换机等)、或下文引用的任意其他设备)的示意性框图。设备200还可以是其他适当类型的设备，这取决于所涉及的网络架构类型。设备200通常包括通过系统总线250互连的存储器240、一个或多个网络接口210、以及一个或多个处理器220，并且设备200由电源260供电。

网络接口210包括用于通过耦合于通信系统100的物理链路传输数据的机械的、电的、和信令电路。网络接口可以被配置为利用各种不同的通信协议发送和/或接收数据。特别地，物理网络接口210还可以被用于实现一个或多个虚拟网络接口，例如，用于虚拟私人网络(vpn)接入。

存储器240包括用于存储与本文所述的实施例相关联的软件程序和数据结构的、可由(一个或多个)处理器220和网络接口210寻址的多个存储器位置。处理器220可以包括适配于执行软件程序以及操纵数据结构245的必要元件和逻辑。通常部分驻留在存储器240中并且由(一个或多个)处理器执行的操作系统242(例如，思科系统公司的网络互连操作系统或其它操作系统等等)通过触发支持在设备上执行的服务和/或软件处理器的网络操作等来功能性地组织节点。这些软件处理器和/或服务可以包括路由处理244(例如，路由服务)以及如本文所述的(说明性地)智能wan(iwan)处理248。

对本领域的相关技术人员而言显然的是，包括各种计算机可读介质的其它存储器和处理器类型可以被用于存储和执行关于本文所述的技术的程序指令。另外，虽然描述示出了各种处理，但能清楚地构想到各种处理可以被具体化为被配置为根据本文的技术(例如，根据类似处理的功能性)进行操作的模块。此外，虽然处理可以被分开示出和/或描述，但本领域的相关技术人员应该理解处理可以是其它处理内的例程或模块。

路由处理/服务244包括计算机可执行性指令，计算机可执行性指令由处理器220运行以执行由一个或多个路由协议(例如，内部网关协议(igp)(例如，开放式最短路径优先“ospf”以及中间系统到中间系统“is-is”)、边界网关协议(bgp)等)提供的功能，如本领域的相关技术人员可以理解的。这些功能可以被配置为管理包括例如用于做出转发决定的数据的转发信息数据库。具体地，网络拓扑的变化可以利用路由协议(例如，常规ospf和is-is链路状态协议)在路由器200之间传输(例如，以“汇聚”成统一的网络拓扑)。

特别地，路由处理244还可以执行与虚拟路由协议(例如，维护虚拟路由和转发(vrf)实例)或隧道协议(例如，用于mpls、通用mpls(gmpls)等)相关的功能，它们中的每个都可以被本领域的相关技术人员所理解。在一个实施例中，路由处理244可操作以例如通过在(一个或多个)网络上使用dmvpn覆盖来建立动态vpn隧道。

路由处理/服务244还可以被配置为执行额外的功能，例如，安全功能、防火墙功能、avc或类似的功能、nbar或类似的功能、pfr或类似的功能、以及它们的组合等等。应该理解的是，路由处理/服务244可以被配置为与一个或多个其他设备组合或者独立执行它的各个功能中的任何功能。换言之，在一些情况下，设备200可以提供对一个或多个其它设备的操作的监管控制。在其它情况下，设备200可以由提供对设备200的操作的监管控制的另一设备部分控制。

如上文提到的，由于wan带宽的持续增大，转向基于云的解决方案正在进行中。许多组织认为基于云的解决方案能够减小信息技术(it)的成本。此外，由于网络架构师首先选择被溢价定价的wan连接来用于分支wan的连接，现代业务互联网服务已经显著改进了。特别地，起初许多企业选择被溢价定价的wan服务是因为那时公共互联网服务缺少业务所需的可靠性。但是如今，互联网服务的可靠性正接近被溢价定价的wan服务的可靠性。尽管如此，相比于互联网服务，mpsvpn服务仍旧被溢价定价。互联网服务通常还与私人ip服务(mplsvpn等)不同，因为互联网服务提供商(isp)利用超额认购(oversubscription)来减小他们服务成本的交付。这可能导致在高峰用量期间降低性能。对等点处的拥塞也可能是性能下降的原因。

智能广域网(iwan)

本文的技术提供可以使用底层服务提供商网络的任意数量的不同组合(例如，互联网和mpls、互联网和互联网、mpls和mpls等)的传输独立网络覆盖。在另外的方面，本文的技术允许提供智能路径选择、改进的应用性能、以及在分支处与双向传送链路的安全连接，以改进wan的可用性、质量和安全性并且还减少成本。在一些方面，本文的技术可以提供会被扩展的策略，从而使得策略的岛/仓(island/silo)可以共同操作。在另一方面，本文的技术允许覆盖移动性，例如，当应用/服务跨数据中心迁移时等。在另一方面，本文的技术允许与dmvpn和直接互联网接入(dia)的多宿主连接(multi-homing)。

具体地，根据下文详细描述的本公开的一个或多个实施例，电子设备维护通信网络的一个或多个基于隧道的覆盖。通信网络包括两个或多个物理提供商网络。该设备维护通信网络的一个或多个覆盖和特定应用之间的映射。该设备调整通信网络的一个或多个覆盖和特定应用之间的映射。该设备引起通信网络中的一个或多个路由器根据通信网络的一个或多个覆盖和特定应用之间的经调整的映射来路由该应用的流量。

说明性地，本文所述的技术可以例如根据iwan处理248由硬件、软件、和/或固件执行，iwan处理248可以包括由处理器220(或接口210的独立处理器)执行的计算机可执行指令以(例如，结合路由处理244)执行与本文所述的技术相关的功能。例如，本文的技术可以被视为是常规协议的扩展，正因为如此，本文的技术可以相应地由本领域已知的、执行这些协议的类似组件执行。

在操作上，本文的技术通常可以由位于通信系统内的任意中央或分布式策略引擎(例如，图1b所示的设备152-154中的一个设备，在路由器110和/或120之间分布的设备等等)实现。在一个实施例中，根据本文所述的架构，apic控制器可以被使用，apic控制器在应用和网络基础设施之间操作、并且抽象化网络基础设施并且向应用提供更高等级的、基于意向的策略接口。

图3根据各种实施例示出针对iwan的示例性系统架构。如图所示，iwan架构300可以包括可以含有任意数量的不同类型的网络的物理网络层310。特别地，如上文所述，在各种实施例中，不同站点和/或虚拟服务之间的企业通信系统可以使用任意数量的物理提供商网络的组合作为物理网络层310的部分。例如，给定分支可以被连接至mpls网络和isp网络、不同的isp网络、蜂窝网络、城域以太网(metro-e)网络等。

根据各种实施例，iwan架构300可以包括安全自动化覆盖层320，安全自动化覆盖层320位于物理网络层310上方的，并且可以提供企业的各种分支、任意数量的虚拟服务提供商(vsp)等等之间的连接。具体地，覆盖层320可以在物理网络层310中的各种提供商网络上利用dmvpn隧道。在一些实施例中，覆盖层320可以使用隧道中隧道(tunnel-in-tunnel)的方法，外部隧道被用于将封装的vpn隧道隧穿至期望的目的地。覆盖层320可以利用在ipsec隧道内封装的点对多点通用路由封装(mgre)隧道。应该理解的是，这种方法还会向覆盖层320添加安全度，因为内部mgre隧道可以在ipsec隧道内进行加密。作为覆盖层320的一部分，还可以经由使用协议(例如，下一跳解析协议(nhrp)和/或动态路由协议(例如，ospf、bgp、路由信息协议(rip)、增强型内部网关路由协议(eigrp)等))做出路由决定。

在各种实施例中，路由器或用于实现覆盖层320的其它网络元件可以使用虚拟路由和转发(vrf)技术来提供企业的地址空间和物理网络层310内的服务提供商的地址空间之间的分离。具体地，vrf允许路由表(也被称为转发信息库(fib))在不同vrf实例内的相同路由器内共存。例如，为了建立dmvpn隧道，给定路由器可以维护针对用户流量路由的全局/企业vrf以及针对各个物理接口的一个或多个独立的vrf实例。换言之，给定路由器可以维护面向wan的前门vrf(fvrf)以及支持路由器的内部lan和dmvpn隧道接口的全局vrf。

在各种实施例中，在安全自动化覆盖层320上方可以是与安全自动化覆盖层320接口连接的应用层330。在各种实施例中，如所示，应用层330可以包括一个或多个私有应用332和/或一个或多个公共应用334。例如，私有应用332可以包括可以在企业内部的视频应用、音频应用、erp应用、crm应用等。相反地，公共应用334可以包括访问公共云(例如，公共云144)的应用(例如，网络应用等)。因此，为了网络寻址的目的等，应用层330中的应用332-334可以与安全自动化覆盖层320相互作用。例如，假设特定应用332是由特定服务器支持的(例如，在企业的物理数据中心内、在虚拟数据中心内等等)。作为覆盖层320的操作的一部分，应用服务器的地址可以在企业/全局地址空间内被维护，而不是(例如，通过维护地址间的映射)被绑定到物理网络层310中的物理提供商的地址空间。

通过在应用层330和物理层310之间利用覆盖层320，本文的技术可以提供以下各项：

1.跨越多个、并行访问类型的企业wan聚合；

2.wan与校园、分支、和数据中心网络的集成；

3.应用可视性、应用感知网络功能和应用优化；

4.通用企业策略架构；以及

5.企业网络功能虚拟化(e-nfv)。

特别地，架构300和本文的技术利用网络和应用功能的适当分层和抽象化来建立功能的划分和框架。这减小了不同层处的特征之间的依赖性并且允许独立的参与者在这些层中编排所需的功能性以推出(rollout)新的能力，而不需要依靠上方或下方的层的变化。

在各种实施例中，层310、320和330之间的任意耦合或通信可以由被良好定义的接口(例如但不限于，软件应用编程接口(api)、服务广告或控制协议服务数据单元(sdu)、或协议数据单元(pdu))提供。根据个体的角色，用户、客户、或操作者的交互还可以是情境特定的。具体地，给定用户试图完成的目标，个体可以与适当的层(例如，层310、320和330中的一个)交互。

在一个示例中，应用管理员可以只与应用层330交互以映射用于实现企业应用或访问公共云应用的组件或服务链。应用管理员完全不需要与覆盖层320或者与传输/物理网络层310交互。这种抽象化允许通过快速改变企业内的业务处理来驱动的新应用的更快推出。此外，应用管理员不需要任何网络知识。在一些实施例中，应用层330可以从覆盖层320中请求服务(例如，网段映射、服务质量策略、路径中所需的服务链元件、路径性能策略等)，并且覆盖层320可以建立或以其他方式映射至实现wan路径和服务请求的覆盖段，并且在一些情况下，向应用层330返回成功或失败的指示。

在另一示例中，网络设计师或管理员可以设计和实施wan网络，wan网络向应用层330提供足以实现应用管理员部署应用所需的应用服务链和策略的服务集合。当新的应用或业务处理要求wan不能提供的服务时，那么可以要求网络设计师或管理员向覆盖层320添加这些新服务并且通过api或服务广告显示它们。

在另一示例中，安全操作(secops)人员可以负责开发针对网络的安全策略要求。secops人员的其它任务可以包括控制认证证书(例如，建立ipsec隧道)、覆盖或服务节点(例如，基于云的服务等)可以提供的侵入检测/防范策略等。

在各种实施例中，层310、320和330之间的服务和能力广告可以使得wan能够跟踪数据中心之间和层3子网之间的应用的移动。此外，层310、320和330之间的交互可以使能“云爆发”，由此基础设施服务供应商(例如，云服务提供商)可以在需要扩展临时容量或者部署新的服务时为应用/服务提供弹性。例如，架构300内的层310-330之间的消息传送可以允许应用动态切换为使用基于云的服务器，或必要时反之亦然。在这种情形中，跟踪应用/服务定位器在不同的wan端点之间的移动可以使能进行最佳路由。此外，覆盖层320可以被自动调整，而不需要对应用/服务定位器重新编号或对覆盖进行手动改变。

在一个实施例中，架构300内在网络元件和网络控制器之间的服务和能力广告还可以允许现有网络中的wan元件的自我发现和自我配置。例如，网络控制器可以响应于接收到的此类广告，根据策略自动发现和添加网络元件。

在一些实施例中，架构300可以利用基于控制器的方法，由此某些功能被集中在网络控制器上。然而，状态和控制只在对简化网络的部署和控制有意义时才可以(例如，根据策略)被集中化，并且将能力维持在适当的规模。换言之，架构300可以默认使用基于控制器的范例，但在需要的时候切换至分布式方法。

现在参考图4，图4根据各种实施例示出了应用迁移的示例。如图所示，假设站点102利用上文所述的架构300通信地连接至不同的数据中心150a和150b。特别地，一个或多个基于隧道的、物理提供商覆盖402(例如，层3覆盖)可以通过任意数量和类型的物理服务提供商网络(例如，isp网络、mpls网络等)以及采用pfr机制的一个或多个边界路由器110建立。于是，wan核心覆盖可以提供路由器110和数据中心150a和150b之间的连接。

如前面提到的，架构300可以包括独立传输的覆盖层320(例如，覆盖402-404)。具体地，覆盖层320可以将企业地址空间与传输/物理服务提供商地址空间中的地址空间分离开。然后企业和(一个或多个)服务提供商之间的对等化(peering)可以被简化成在传输提供商地址空间中可路由的单一ip地址。覆盖还可以在适当的地方结合以及消除控制协议并且利用映射服务解决中央网络控制器需要的路由。因此，在每个元件中设置路由协议的需求被最小化，并且允许控制器拥有网络的完整视图以及处理再分配和路由标记以避免环路。网络扩展可以通过将网络分割成较小的网络域和/或通过利用并行的网络控制器实例来完成。

如图4所示，覆盖层可以感知附接至wan的域(例如，数据中心、校园、分支等)内的应用/服务的移动。例如，假设数据中心150a和150b分别在具有不同的地址空间的单独的网络上。并且假设特定应用利用数据中心150a中的服务器提供的服务。在这种情况下，应用服务/服务器可以与企业地址空间内的单一ip地址相关联，并且覆盖层可以维护适当的路由信息以在数据中心150a的服务器/服务和站点102之间路由应用流量。

继续图4的示例，假设应用从使用数据中心150a中的服务器/服务迁移到使用数据中心150b中的相应服务器/服务。各种迁移/移动情形如下：

1.(例如，如图4所示，数据中心之间的)应用/服务器工作负载迁移；

2.去往和来自(例如，数据中心和虚拟私有云之间的)iaas提供商的“云爆发”；以及

3.分支/站点移动(例如，物理站点移动，移动医院、广播车、自动取款机或彩票摇奖机移动等)。

此类应用迁移可以由覆盖层(例如，由网络控制器)经由在应用层和覆盖层之间(例如，经由api等)传送的广告或其它控制消息检测到。

所有这些情况被归结为是ip地址定位器的移动，即，将映射至ip地址的服务器或应用移出它们的归属子网的能力，如图4所示。

在各种实施例中，路由控制和覆盖可以被扩展成具有10000个元件或更多元件的大型网络，并且这种扩展可以通过将网络分割成较小的域和/或通过使用并行的控制器实例实现。在一个实施例中，覆盖层可以支持动态分段。特别地，应用层或覆盖层可能能够在不需要重启网络元件的情况下，在网络操作期间控制分段和映射。例如，控制器可以编排创建新的段并且基于业务层级的绑定(例如，访客用户被限制为只利用isp路径等)将用户和应用映射至各网段。分段可以是基于以下各项中的任意项或全部：

·多租户：业务实体(独立子公司)、内部业务/操作单元、业务功能、msp租户；以及

·业务策略：应用或资源位置、用户身份/权限、用户意图(良好用户、不良用户、特殊用户)、服务水平、可用性和基础设施位置(即，数据中心)。

在另外的实施例中，覆盖层还可以支持ipv6过渡机制并且与本地ipv6传输支持共存(例如，通过(藉由ipv4在ipv6中的覆盖隧道)提供平滑的ipv4至ipv6的过渡，或反之亦然)。

现在参考图5，图5根据各种实施例示出示例性iwan安全机制。在一些方面，本文的技术提供用于许可受信任的设备进入wan网络覆盖(例如，上文所述的覆盖层320)的自动化安全方法和管理。此外，本文的技术还提供自动加密以确保机密性并且允许用户安全地连接至私有数据中心、虚拟私有数据中心、和/或公共云中的应用/服务。

建立设备进入网络的受信任许可有两个关键目标：1.)建立设备的安全身份，以及2.)建立跨vpn覆盖的数据传输的机密性。第一个目标保证被加入覆盖的设备是受信任的。特别地，当攻击者能够建立信任并且被许可进入vpn时，这可能会危害数据的机密性。第二个目标保证隧道加密密钥(例如，针对ipsec隧道)不被危害。例如，如所示，apic154或其它网络控制器可以负责保证要被加入覆盖的设备(ce-1等)的身份，以及管理这些设备所使用的加密密钥以形成覆盖的隧道。在一些实施例中，网络控制器或其它安全设备还可以根据本文的技术采用认证授权502来发布安全证书。

在一个实施例中，网络可以使用公钥基础设施(pki)机制来自动建立受信任的设备的身份，例如，通过使用x.509证书来安全地识别设备。这种安全身份还可以被用于动态地或按需驱动隧道加密，以保证vpn覆盖隧道内的数据机密性。在一个实施例中，互联网密钥交换(ike)协议可以被用于自动管理和分配安全端点(例如，参与覆盖的路由器)之间的隧道会话密钥，从而使得流量的机密性被维护，并且不被攻击者、甚至基于蛮力、大量计算的攻击危害。

在各种实施例中，vpn隧道覆盖(例如，覆盖层320)可以提供以下各项中的任意项或全部：

·用于建立安全身份的基于标准的pki；

·利用ikev2的自动会话密钥分配和管理：自动会话密钥生成、延期(rollover)和预先部署以保证不间断的传输；

·以基于安装程序或基于机器的凭证(存储在ce-1上的凭证等)为基础的进入网络的安全许可；

·市售的针对最高级别的数据平面机密性的nsasuite-b加密和验证；

·自动化pki认证部署和ipsec或其它隧道配置；

·任意互连并且独立的传输，安全的网状连接；

·网络级弹性；以及

·被充分检测以满足安全工业符合标准。

应该理解的是，跨越数千个端点部署安全的wan在不使用自动化方法的情况下可能具有巨大的挑战。例如，利用预共享密钥作为安全身份和认证的基础可能便于配置，但是更新这些密钥以保证身份的持续安全并且防范未被授权使用的受信任设备(例如，分支路由器)变得非常具有挑战性。在各种实施例中，本文的架构可以利用pki方法来建立受信任的身份。pki利用安全的、被建立的不对称密钥(公共/私有)交换方法和数字签名来保证被许可进入网络的受信任的设备的身份。

本文的安全机制还可以适配于支持覆盖内的设备的自动化、“即插即用”部署。例如，路由器ce-1或参与覆盖的其它设备可以存储具有安全凭证和证书的802.1ar安全设备身份信息。这些嵌入的凭证可以被用于将验证进入网络的设备以及移除对通过人工输入凭证来建立信任的安装程序的需求的处理自动化。

在各种实施例中，本文的安全机制可以利用以下元件中的任意元件或全部元件进行自动化：

·pki服务器-用于向远程站点路由器(例如，向ce-1)分配企业pki证书的基于路由器的服务器(例如，服务器502)。在一个实施例中，pki服务器可以具有至第三方认证中心的一个或多个接口。

·pki代理-在apic(例如，apic154)控制器软件中嵌入的服务，用以通过自动验证被允许进入网络的设备(例如，ce-1等)的证书和序列号来进一步自动化注册过程。

·即插即用服务-允许(如由ce-1等执行的)vpn配置、零接触(zero-touch)安全的服务。

·生命周期管理服务-管理证书吊销、更新和/或延期的服务(例如，由apic154等运行)。

应该理解的是，本文所述的架构还提供了自动化、安全的方法以从基于设备的信任模型过渡到本文所述的局部信任模型。这种过渡保证基于机器的凭证(例如，802.1ar证书等)被替换为企业证书。在没有这个步骤的情况下，既不能执行本地企业的策略，也不能撤销证书。

在操作期间，分支或者其它端点(例如，ce-1等)可以经由安全信道/隧道获取已认证的加密密钥。会话密钥提供对通信本身进行加密所需的信息。在一些实施例中，本文的架构还可以利用ikev2协议或其它密钥交换协议，这些协议提供完美的转发保密性、身份保护并且建立双向认证。ikev2还具有允许拒绝服务(dos)保护和本地策略驱动密钥更新的额外特性。此外，本文的架构还经由嵌入在apic控制器中的集中式密钥服务支持集中式成对密钥分配和管理。

现在参考图6，图6根据各种实施例示出流量在通信系统100内被发送的示例。如图所示，假设站点102处的设备104或106与数据中心150中的特定设备(例如，设备154)传输网络流量302。仍如图所示，假设网络130是mpls网络并且网络132是还允许站点102处的设备104和106访问公共云144中的其它设备(例如，公共网络服务器等)的互联网服务提供商的网络。在一些实施例中，ce路由器ce-1可以被配置为在使用网络130还是网络132之间进行选择以与数据中心150中的设备154传输流量602。例如，在一些情况下，ce-1可以经由mpls网络130以及使用网络132的互联网中的一者或两者建立至数据中心150的vpn隧道。进而ce-1可以经由mpls网络130通过“溢价(premium)”路径发送高优先级的流量，并且可以利用网络132来经由互联网对任意较低优先级的流量进行负载平衡。

在各种实施例中，智能路径控制可以利用网络的pfr机制来实现。例如，图6所示的一个或多个设备可以作为pfr域控制器操作，其提供路径和服务编排服务。例如，这种pfr机制可以作为控制平面的一部分实现并且可以在一个或多个路由器(例如，ce-1等)和/或其它设备(例如，数据中心150中的网络控制器等)上执行。域控制器可以操作以发现分支、校园和/或数据中心端点之间的网络中可用的路径和/或传输网络拓扑。此外，此类控制器可以广告前缀、路径控制策略、和/或在域中的一个或多个路由器元件上设置监控服务(例如，可以指示ce-1监控特定流量)。

为了促进网络中的流负载平衡和路径选择，额外的路径/隧道可以在覆盖层(例如，覆盖层320)中被设置。进而pfr机制可以控制实际的流如何被映射至路径。这样做时，路径选择和负载平衡可以与ip路由/物理网络层(例如，层310)分离，这允许诸如基于策略的路由(pbr)、等价多路径(ecmp)、量度/权重之类的技术和/或其它技术在覆盖层中提供路径控制和负载平衡。特别地，在一些实施例中，ip路由层/物理网络层可以被完全用于为覆盖隧道设置穿过传输网络的各种路径。

现在参考图7，图7根据各种实施例示出iwan中的策略控制的示例。如上文所述，路由决定和路径流控制可以在vpn覆盖层处执行，而不是在ip路由/物理网络层。如所示，网络控制器可以安装和/或调整路由器为了收集性能量度、做出路径流决定等所用的策略。例如，如所示，网络控制器可以向路由器ce-1提供可以控制ce-1何时收集性能量度、收集哪些性能量度的策略702、ce-1可以用来做出路由决定的信息(例如，服务质量(qos)信息等)。

推送给路由器的策略(例如，推送给ce-1的策略702)可以包括以下各项中的任意项或全部：

·流量工程策略：此类策略可以允许路由器基于服务链元数据等选择路径。

·基于身份的策略：此类策略可以允许路由器基于用户id信息选择路径和分段。例如，特定策略可以将所有访客用户成组在一起并且设置策略以经由直接互联网访问(dia)接口路由访客用户流量。

·基于域的路径策略：此类策略可以允许路由器选择至公共云(例如，公共云144)的域(例如，软件即服务(saas)服务域)的路径。具体地，这种路径选择可以是基于业务级的策略意图，而不是ip路由级的设计和控制。这些策略可以被用于按照需要将这些流量引导至dia路径上。

此外，所示设备可以包括以下各项中的任意项或全部，以加强在覆盖层处所做的路由决定：

·服务感知：路由设备可以感知传输类型，例如，带宽服务(例如，t1、以太网等)或分层的、基于使用的服务(例如，3g/4g计量的服务)。

·基于控制器的域服务：在一些实施例中，域控制器可以作为服务被集成到apic中。

·单端型路径优化：这种特征可以选择性地允许特定流的两侧被绑定到网络中的同一路径。这允许覆盖将流路由至需要查看流的两侧的某些应用(例如，防火墙、avc等)中。

在一些实施例中，可以做出流量决定以逐应用优化流量。具体地，网络设备可以被操作以执行应用发现(例如，以识别应用流量的类型等)和测量各种应用的流量流的性能量度。这种以应用为中心的发现技术可以包括：

·反向dns和dns-as方法：在一些情况中，设备可以基于流所用的(一个或多个)地址将特定的流量流与特定的应用相关联。

·移动应用发现以尽可能接近客户端。

·将应用id元数据注入分组，以只允许在网络的边缘处进行appid发现。

·较少的依赖于从传输ip分组中收集信息的基于“监听”和分组检测的方法。特别地，根据本文的技术所用的加密可能致使分组检测技术无用。

在一些实施例中，性能量度可以被输出至可以在apic控制器的上方运行的应用和业务智能工具。在一个实施例中，apic可以提供服务以将业务智能工具接口连接至网络信息流，或者业务智能工具可以基于收集到的量度以独立的方式被操作。在另一实施例中，广域应用服务(waas)和/或qos机制可以被集成到网络，只通过应用层策略曝光。换言之，qos策略和分类可以通过网络控制器以编程方式控制，并且用户不期望与qos机制交互。类似地，针对waas，一旦应用被发现，那么waas优化可以是可用的并且可以被用于生成优化的策略，该优化的策略可以被提供给网络元件。在另一实施例中，应用响应时间测量可以被移出主数据路径并且可以被虚拟化。

在一些实施例中，本文的技术可以允许企业网络功能被虚拟化。具体地，诸如路由、防火墙、路径控制等的各种网络功能可以被虚拟化在基于计算机的平台上(例如，在刀片式服务器等上)。这样做时，端点可以被尽可能通用，从而允许通过自动化的方式向端点推送网络或服务应用来自定义端点。此外，虚拟化网络元件/功能可以促进软件更新，例如，移除通常长且贵的验证周期(操作系统版本必须通过该验证周期被部署)以及移除这种部署所需的相应停工时间。

在一些实施例中，服务策略(例如，策略702等)可以定义在分支和校园站点所需的网络应用。这些应用的部署可以由网络控制器以与用户和流量策略被编排的方式相同的方式进行编排。例如，网络相关的应用可以从当今使用的典型的整体软件映像中被移除、被容器化、以及使作为可以在标准硬件服务/控制平面的上方运行的虚拟机(vm)用于端点。主机操作系统或管理程序可以被操作以实现这些特征的一致服务链。换言之，虚拟化网络功能可以经由软件推送机制被启用，这允许使用更独立(self-contained)并且更容易验证的较小应用。

因此，本文的技术的各种方面提供以下各项功能：

自动化：在一些方面，本文所述的基于控制器的架构可以促进将“正确的”控制平面服务集中化，以使能进行网络抽象、网络服务的业务策略层控制、以及网络设置的自动化。在一些方面，以应用为中心的机制可以跨wan、(一个或多个)校园、和(一个或多个)分支被部署，从而应用可以按需要利用适当的网络服务(例如，qos、路径控制、覆盖等)从端到端进行调配以跨网络部署应用。此外，预配置的网络元件可以被自动添加到网络覆盖层。在一些情况下，一旦控制覆盖被建立，那么设备就还可以经由基于apic控制器的策略被个性化。

云整合：本文的技术还支持应用vm移动，这允许应用工作负载在数据中心的子网之间转移。此外，本文的无缝应用迁移技术还可以支持云内的移动并且支持云爆发，由此，企业可以在虚拟私有云中部署应用，并且随后当内部容量准备好或资源可用于内包(in-source)工作负载时将应用工作负载移动至私有数据中心。

服务虚拟化：本文的技术还允许以与数据中心中的业务应用相同的方式虚拟化和推出网络服务(例如，路由、防火墙、反恶意软件等)。网络功能虚拟化和业务策略驱动的部署可以由apic沿这些服务的适当的服务链提供，以简化和自动化对分支和校园的服务部署。

自学网络：在一些实施例中，本文的技术可以采用自学技术来长期执行动态网络特性和模式的大数据挖掘。特别地，机器学习技术可以被用于利用学习和预测未来性能和流量异常检测的能力来识别模式，例如，流量忙时拥塞时段、dos攻击、和其它基于模式的网络特性。这种预测可以允许网络自动调整它的行为以避免运行中断或性能退化。

图8根据各种实施例示出用于引起在通信网络中路由流量的示例性简化过程。通常，过程800可以由本文所述的任意设备(例如，设备200)通过执行相应的指令(例如，iwan处理248等)来执行。过程800可以在步骤805处开始并且进行至步骤810，在步骤810处，如上文的详细描述，设备可以维护一组提供商网络的一个或多个基于隧道的覆盖。例如，这种基于vpn的覆盖可以跨越任意数量的ips网络、mpls网络、蜂窝网络、metro-e网络等而被维护。

在步骤815处，如上文所述，设备可以维护特定应用和覆盖之间的映射。在一些实施例中，映射可以将跨覆盖所用的企业/全局地址映射至在物理网络层处所用的路由/地址信息。此外，映射可以促进在覆盖层而不是在ip路由/物理网络层做出路由决定。

在步骤820处，设备可以调整映射，如上文的详细描述。例如，假设设备接收到应用/服务正向不同数据中心中的、云中等的设备迁移的指示。在这种情况下，设备可以调整映射以允许维护针对应用的企业/全局地址，即使应用服务器跨越不同的子网迁移。这种技术可以允许跨越数据中心动态转移工作负载并且可以使能在网络中采用云爆发。

在步骤825处，如上文的详细说明，设备可以引起与应用相关联的流量根据经调整的映射被路由。具体地，通过在应用层和覆盖层之间提供接口(例如，经由api、控制消息等)，设备可以动态调整覆盖以允许应用跨网络动态移动。然后过程800在步骤830处结束。

应该注意的是，如上文所述，过程800内的某些步骤可以是可选择的，图8中所示的步骤只是用于说明的示例，并且某些其它步骤可以按需要被包括或者被排除。此外，虽然示出了步骤的特定顺序，但是这种排序只是说明性的，并且在不背离本文的实施例的范围的情况下步骤的任意适合的布置都可以被使用。

因此，本文所述的技术提供传输独立架构、智能路径选择、以应用为中心的性能优化、以及在分支处利用不同的传输链路(例如，至不同的提供商网络)的安全连接。在一些方面，本文的技术允许在不牺牲网络需求的情况下利用具有较低成本的数据传输链路(例如，互联网)来增强被溢价定价的wan服务(例如，mpls等)。前门vrf技术可以被用于将服务提供商地址空间与企业地址空间分离(这允许将与服务提供商的对等操作最小化)、完成地址空间分离、以及经由互联网接口与内部企业路由表的隔离来防范来自互联网连接的攻击/威胁。特别地，本文的技术以允许各个功能(例如，传输、路径控制、应用策略等)被独立安置的方式来分离这些功能，从而最小化各层之间的设计依赖性。路径控制和路由的分离允许应用行为在不依赖于底层传输协议和路由覆盖协议的情况下在策略层被解耦和管理，这允许客户网络化小组设置覆盖并且不因为跨网络添加、移除、或改变应用而改变覆盖。此外，wan路由可以自动适配于在私有云内以及在私有和公用saas基础设施之间移动的数据中心工作负载。

在另外的方面，本文的技术提供用于环路避免的自动路由映射过滤、当路径控制层故障时时用于默认传输路径选择的路径量度的自动应用、传输、路径控制和ipsec层处的计时器的自动设置(以保证在保护事件期间工作系统具有适当的被调整的反应时间)、以及保持设备上的有效加载的最小化。这种方法还允许解决方法/用例级别而不是特征级别的测试和质量担保。从数据中心扩展至各种分支的策略还可以允许策略的岛/仓从策略的立场集体地操作。这允许非it专业的工作人员(例如，业务应用管理员)在不需要网络工作人员的介入的情况下部署新的应用，从而更快的推出。

虽然示出和描述了提供智能wan架构的示例性实施例，但是应该理解可以在本文的实施例的精神和范围内进行各种其它调整和修改。例如，本文所述和所示的实施例与某些网络配置相关。然而，广义上讲，实施例由此被限制并且实际上可以使用其它类型的网络配置。此外，虽然示出了某些协议，但是其它适合的协议可以被相应地使用。

上述描述是针对具体实施例。然而应该理解的是可以对所述实施例进行其它改变和修改以达到它们的一些或全部优势。例如，本文所述的组件和/或元件可以实现为被存储在具有在计算机、硬件、固件或它们的组合上执行的程序指令的有形(非暂态)计算机可读介质上的软件。因此，本描述只是通过示例的方式而不是以其它方式限制本文实施例的范围的方式被采用。因此，所附权利要求的目标是覆盖在本文实施例的范围和精神内的所有此类改变和修改。