用于基于策略的联网的方法及系统与流程

本申请一般涉及计算机联网，并且更具体地涉及用于利用网络策略信息的网络分组生成和处理分组的系统和方法。

背景技术：

1、在先前的网络架构中，分支办公室网络将经由路由器使用wan(广域网)连接而连接到数据中心。租用的wan线路能够使用多协议标签转换(mpls)作为连接协议，并且因为所有的应用都驻留在数据中心，因此这是可行的架构。对数据中心和应用的访问控制跨每个后台办公室的路由器分布，每个路由器必须单独配置。进一步的，其它安全措施必须单独配置。

2、现在，联网的架构包括saas(软件即服务)应用。这些应用已经从企业数据中心移动到互联网云。这样的云应用的示例有谷歌云、亚马逊aws、dropbox、salesforce。通过中央数据中心路由回到这些应用有一个缺点是增加了额外的延迟，并且可能阻塞回到数据中心的租用的线路的带宽。为了能够利用互联网访问，以将数据路由到这些saas应用，该架构需要利用对互联网的直接访问。

3、这驱使了对软件定义的网络(sd-wan)的需求，用于分段wan和直接互联网访问之间的流量。进一步的，管理针对成百上千分段的访问控制、分段之间的隧道以及这些分段的安全性可能很复杂并且易于出现人为错误。需要一种联网的架构，其中广域网分组包括网络分段、应用和安全信息。

技术实现思路

1、此
技术实现要素：
被提供来以简化的形式介绍概念的选集，这将在下面的具体实施方式部分中被进一步描述。此发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在被用作帮助确定所要求保护的主题的范围。

2、通常，本公开内容针对一种用于生成和处理包含策略信息的广域网分组的方法、设备和系统。策略信息可以包括但不限于网络分段信息和安全信息。在本发明的一方面，分组被接收并且准备好在wan上发送。基于分组的源和目的，它与策略配置相关联。如果分组具有有效的策略配置，则策略头部被添加到可以包含安全信息的分组。进一步的，分组可以包括联网分段信息、应用信息、隧道和地址转换信息。接收到的或传入分组与策略配置相关联，并且根据策略配置进行验证。如果分组符合策略配置，那么有效载荷被转发到它们的目标地址所指示的接口。进一步的，分组有效载荷可以被加密，并且在分组的有效载荷上执行网络地址转换。

技术特征：

1.一种用于基于策略的联网的方法，包括以下步骤：

2.根据权利要求1所述的方法，其中所述策略配置定义网络分段和覆盖之间的关系，其中所述覆盖基于与所述网络流量通过其进入所述网络装置的接口相关联的标签或访问列表中的至少一者来指定对分组的处理，并且其中所述基于所述策略配置确定被分配给所述端口和所述应用的所述网络分段包括：

3.根据权利要求2所述的方法，其中所述覆盖与虚拟路由和转发vrf相关联，并且其中所述附加包括用于关联于所述覆盖的网络分段的网络分段标识符的第一策略头部包括：

4.根据权利要求1所述的方法，其中所述策略配置定义包括覆盖或中断的用于所述网络分段的至少一个安全策略，其中所述覆盖基于访问所述网络分段的不同流量类型指定逻辑隧道，并且其中所述中断指定用于所述网络分段的互联网软件即服务saas应用控制或访客无线访问控制中的至少一者。

5.根据权利要求1所述的方法，其中所述策略配置定义适用于所述网络分段的至少一个防火墙区域策略，其中所述防火墙区域策略定义与所述网络分段相关联的第一防火墙区域和与不同的网络分段相关联的第二防火墙区域之间的关系，并且其中所述方法包括：

6.根据权利要求1所述的方法，其中所述策略配置定义至不同的网络分段的至少一个隧道，并且其中所述方法包括：

7.根据权利要求1所述的方法，还包括：

8.根据权利要求1所述的方法，其中所述策略头部包括与所述网络分段相关联的网络分段标识符、关于所述应用的信息、或与所述网络分段相关联的防火墙区域中的至少一者。

9.根据权利要求1所述的方法，其中所述网络分段标识符标识所述传出分组从哪个网络分段被接收或被发送到哪个网络分段。

10.一种用于基于策略的联网的方法，包括以下步骤：

11.根据权利要求10所述的方法，其中所述关联所述策略头部包括：

12.根据权利要求10所述的方法，所述方法还包括：

13.根据权利要求12所述的方法，其中所述传入分组有效载荷使用udp-ipsec、ike-ipsec和gre-ipsec中的至少一者被加密。

14.根据权利要求10所述的方法，还包括：

15.根据权利要求10所述的方法，还包括：

16.根据权利要求10所述的方法，还包括：

17.根据权利要求10所述的方法，其中所述传入wan分组从多协议标签转换mpls服务被接收。

18.一种用于基于策略的联网的系统，所述系统包括：

19.根据权利要求18所述的系统，其中所述策略配置包括所述网络分段与第二网络分段之间的至少一个关联，所述网络流量将在分段间路由中被转发到所述第二网络分段。

20.根据权利要求18所述的系统，其中所述策略配置包括用于所述网络分段的防火墙区域策略。

技术总结
本公开涉及用于基于策略的联网的方法及系统。本公开利用策略配置来配置网络装置，其中网络装置被耦合到至少一个广域网WAN；接收具有至少一个WAN上的目的地地址的传出分组；基于传出分组被接收的端口和源自传出分组的应用，将传出分组与策略配置相关联；基于策略配置确定被分配给端口和应用的网络分段；将策略头部附加到传出分组；附加与关联于网络分段的至少一个WAN接口兼容的WAN头部，从而形成传出WAN分组；以及将传出WAN分组转发到至少一个WAN接口。

技术研发人员：D·A·休格斯,M·K·达塔,M·G·库尔卡尼,P·K·辛格,D·J·恩尼斯,T·E·特迪詹托,P·L·玛汉,严博文,尹志刚,K·T·K·吴,G·拉克什玛南,R·格文达劳,S·萨兰加帕尼
受保护的技术使用者：慧与发展有限责任合伙企业
技术研发日：
技术公布日：2024/5/8