[发明专利]自动策略引擎选择

说明书

本申请的一个方面促进自动策略引擎选择。在操作期间，一种系统可以监控包括一组网络设备的网络。该系统可以基于该监控来接收与该网络相关联的一组属性。至少两个网络设备被配备有不同的策略强制执行引擎以用于强制执行一个或多个给定策略规则。该系统可以应用统一策略模型以基于该一组属性来确定对一个或多个给定策略规则向第一策略强制执行引擎和第二策略强制执行引擎的分配以提供优化的策略强制执行。该系统然后可以基于该分配来选择第一策略强制执行引擎和第二策略强制执行引擎中的一个或两个策略强制执行引擎。该系统可以激活所选择的一个或两个策略强制执行引擎以用于强制执行给定策略规则。

背景技术

本公开一般涉及网络管理和联网策略的领域。通常，网络可以包括多个互连的网络设备，其中至少一个或多个网络设备实现策略强制执行引擎(policy enforcementengine)。在典型的网络中，多个不同的策略强制执行引擎可以沿着网络路径存在以用于强制执行联网策略来管理网络业务(traffic)。每个策略强制执行引擎可以与不同的性能特性和能力相关联。

附图说明

图1图示了根据本申请的一个方面的包括用于使用统一策略代理(broker)来促进自动策略引擎选择的计算机系统的示例网络环境。

图2图示了根据本申请的一个方面的用于基于统一策略代理来促进自动策略引擎选择的示例系统架构。

图3A图示了根据本申请的一个方面的具有选定的第一组策略引擎的示例网络配置。

图3B图示了根据本申请的一个方面的具有选定的第二组策略引擎的示例网络配置。

图4A呈现了图示根据本申请的一个方面的用于创建统一策略代理的示例过程的流程图。

图4B呈现了图示根据本申请的一个方面的用于基于统一策略代理来执行自动策略引擎选择的示例过程的流程图。

图5图示了根据本申请的一个方面的基于统一策略代理来促进自动策略引擎选择的示例计算机系统。

在附图中，类似的附图标记指代相同的附图元件。

具体实施方式

以下描述被呈现以使得任何本领域技术人员能够制作和实用这些示例并且在特定应用及其要求的上下文中被提供。对所公开的示例的各种修改对本领域技术人员将是明显的，并且本文定义的一般原理可以被应用到其他示例和应用而不偏离本公开的精神和范围。因此，本公开的范围不限于所示出的示例而是应被赋予与本文公开的原理和特征一致的最宽范围。

驻留在网络中的各种网络设备可以被配备有策略强制执行引擎。策略强制执行引擎可以是可以实现一组联网策略的软件组件或硬件组件。例如，访问控制列表(ACL)可以是可以允许用户使用应用编程接口(API)来指定规则以拒绝特定类型的业务的联网策略。另外，联网策略还可以对应于转发规则，例如，基于策略的转发(PBF)，或防火墙规则。不同的策略强制执行引擎可以与不同类型的API相关联。例如，一个API可以支持描述或表示策略的某种方式，而另一API可以使用不同的策略表示语言。

每个策略强制执行引擎可以强制执行一个或多个联网策略以用于管理网络业务。例如，沿着网络业务路径的第一网络设备中的一个策略强制执行引擎可以强制执行网络安全策略，并且沿着该网络业务路径的第二网络设备中的另一策略强制执行引擎可以强制执行业务管理策略。换言之，网络交换机中的ACL可以对应于第一策略强制执行引擎，防火墙装置或分布式防火墙中的防火墙规则可以对应于第二策略强制执行引擎。