[发明专利]用于动态VPN策略模型的方法和装置

说明书

接收将虚拟专用网络(VPN)表示为高级策略模型的高级网络策略。VPN用于基于高级网络策略来提供VPN的连接站点之间的安全连接性。将高级网络策略转换为低级设备配置信息，该低级设备配置信息被表示在网络覆盖中并用于对向VPN提供连接站点的网络底层进行配置。用设备配置信息来配置网络底层，使得网络底层根据高级策略来实现VPN。确定网络底层是否按照高级网络策略进行操作以引导连接站点之间业务流。如果确定网络底层不按照高级网络策略进行操作，则用新的低级设备配置信息来重新配置网络底层，使得网络底层按照高级网络策略进行操作。

优先权声明

本申请要求于2015年8月19日提交的美国临时申请No.62/207,137的优先权，其全部内容通过引用并入本文。

技术领域

本公开涉及虚拟专用网络。

背景技术

计算环境中使用的网络可以以许多不同的方式进行配置。例如，局域网(LAN)是共享通用通信线路的一组计算设备。计算和存储资源可以在LAN内共享。此外，LAN可以与少数计算设备一样小，或者与整个企业(例如，办公楼、办公综合楼等)一样大。另一网络配置是广域网(WAN)。WAN是在地理上分散的电信网络。广为人知的WAN的典型示例是互联网。第三种网络配置是城域网(MAN)，在MAN中计算设备在比LAN大且比典型WAN小的地理区域或特定区域中连接。此外，近年来业界出现了被称为虚拟专用网络(VPN)的新型网络。VPN是利用公共电信并通过使用隧道协议和安全程序来保持隐私的专用网络。

例如，公司或企业可以在其网络内启用VPN，并且可以使用公共网络(例如，互联网)来路由远程设备和公司的VPN内的设备之间的通信。因此，远程设备可以经由公共网络使用“虚拟”连接来连接到VPN内的设备并与VPN内的设备交换安全通信。这些通信也可以被加密，使得未被认证或以其他方式被允许访问VPN的设备不能解密和访问这些通信。

附图说明

图1是根据实施例的iVPN架构的高级框图。

图2是根据实施例的在iVPN架构中执行的高级操作的流程图，这些操作用于实现并监视iVPN架构的网络底层中的VPN的操作。

图3是根据实施例的在iVPN架构中使用的VPN策略模型的图示。

图4是根据实施例的图1的iVPN架构的详细框图的图示。

图5是根据实施例的图4的iVPN架构中的映射服务器的详细框图。

图6是根据实施例的在高级策略已应用于iVPN架构之前处于初始或默认状态的映射服务器的图示。

图7是根据实施例的在高级连接性策略已应用于iVPN架构之后的映射服务器的图示。

图8是根据实施例的在高级分段路由策略已应用于iVPN架构之后的映射服务器的图示。

图9是根据实施例的在高级服务插入策略已应用于iVPN架构之后的映射服务器的图示。

图10是根据实施例的在高级加密策略已应用于iVPN架构之后图4的iVPN架构的密钥管理服务器的图示。

图11是根据实施例的用于实现图1和图4的iVPN控制器的计算机设备的框图。

图12是在iVPN架构的网络底层中使用的诸如网络路由器设备或网络交换机设备之类的网络设备的框图。

具体实现方式

概览