[发明专利]用于动态VPN策略模型的方法和装置

权利要求书

1.一种在网络控制器处执行的方法，包括：

接收将虚拟专用网络VPN表示为高级策略模型的高级网络策略，所述VPN基于所述高级网络策略提供连接站点之间的安全连接性，其中所述高级策略模型包括合同，该合同规定第一连接站点将在没有加密的安全物理链路和具有加密的不安全物理链路两者上安全地通信；

将所述高级网络策略转换成低级设备配置信息，所述低级设备配置信息被表示在网络覆盖中并被用于对提供所述连接站点到所述VPN的连接性的网络底层进行配置；

用所述低级设备配置信息来配置所述网络底层，使得所述网络底层根据所述高级网络策略来实现所述VPN，并使得所述第一连接站点被配置为在没有加密的安全物理链路和具有加密的不安全物理链路两者上安全地通信；

确定所述网络底层是否按照所述高级网络策略进行操作以引导所述连接站点之间的业务流；以及

如果确定所述不安全物理链路已失效，使得所述第一连接站点不是按照所述高级网络策略进行操作，则重新配置所述第一连接站点，使得所述第一连接站点仅在没有加密的安全物理链路上通信，直到配置了在其上将发送经加密的信息的新的不安全物理链路。

2.根据权利要求1所述的方法，其中：

所述接收包括接收针对所述高级网络策略中的一者的高级网络要求和关于指示了所述网络底层是否按照所述高级网络要求进行操作的可测量属性的指示；以及

所述确定包括，在所述网络底层进行操作以引导针对所述VPN的业务流时：

从所述网络底层收集属性测量结果；以及

将所述属性测量结果与所述高级网络要求进行比较。

3.根据权利要求2所述的方法，其中：

如果基于所述比较确定所述网络底层不是按照所述高级网络策略进行操作，则所述重新配置包括用所述新的低级设备配置信息来重新配置所述网络底层。

4.根据权利要求3所述的方法，其中：

所述高级网络要求包括这样的要求：在所述连接站点中的给定连接站点处的链路带宽使用率不超过在所述给定连接站点处可用的最大链路容量的预定分数，并且所述可测量属性包括链路带宽使用率；

所述收集包括从所述给定连接站点收集链路带宽使用率测量结果；

所述比较包括将所述链路带宽使用率测量结果与所述最大链路容量的所述预定分数进行比较；以及

如果所述比较指示了所述链路带宽使用率测量结果超过所述最大链路容量的所述预定分数，则所述重新配置包括将所述给定连接站点重新配置以增加所述最大链路容量。

5.根据权利要求1所述的方法，其中：

所述接收包括：接收定义了所述连接站点中的哪些连接站点要经由所述VPN来彼此连接的连接性策略以及根据所述连接性策略来管理对所连接的连接站点之间的网络业务的加密的加密策略；

所述转换包括：

将所述连接性策略转换为转发状态，每个连接站点将使用所述转发状态来根据所述连接性策略在所述网络底层中实现业务转发；以及

将所述加密策略转换为加密算法，所述连接站点将使用所述加密算法来对发送自所述连接站点的业务进行加密；以及

所述配置包括：将所述转发状态和所述加密算法推送到所述连接站点。

6.根据权利要求5所述的方法，其中，所述连接站点各自包括相应的边缘网络设备，所述相应的边缘网络设备被配置为准许相应客户驻地设备与所述网络底层进行通信。

7.根据权利要求5所述的方法，其中：

所述接收还包括：接收定义了逻辑拓扑的逻辑拓扑策略，所述连接站点将通过所述逻辑拓扑来彼此连接；以及

所述转换还包括：将所述逻辑拓扑策略转换为所述转发状态，使得所述转发状态根据所述逻辑拓扑策略在所述网络底层中实现业务转发。

8.根据权利要求5所述的方法，其中：

所述接收还包括接收高级流量工程策略和高级服务插入策略；以及

所述转换还包括将所述连接性策略转换为一个或多个转发状态，使得所述转发状态根据所述高级流量工程策略和所述高级服务插入策略来在所述网络底层中实现业务转发。