[发明专利]由架顶式交换机针对裸金属服务器的策略实施

说明书

本公开涉及一种将策略应用于分组的方法和设备。多个交换机可以根据主干和叶拓扑来而被布置，其中每个主干交换机连接到所有叶交换机。一种叶交换机包括：存储器，被配置为存储多个策略，多个策略中的每个策略与相应的源标识符值和相应的目的地地址相关联；网络接口，通信地耦合到主干交换机中的一个主干交换机；以及处理器，在电路中实现并且被配置为：经由网络接口从主干交换机接收分组，分组被封装有虚拟可扩展局域网VXLAN报头；从VXLAN报头提取源标识符值；确定针对分组的目的地地址；根据源标识符值和目的地地址确定多个策略中要应用于分组的策略；并且将策略应用于分组。

本申请要求2021年6月30日提交的美国专利申请号17/305,117和2021年5月28日提交的美国临时专利申请号63/194,724的权益，其全部内容通过引用并入本文。

技术领域

本公开涉及计算机网络，更具体地，涉及用于计算机网络的策略管理。

背景技术

虚拟数据中心正在成为现代信息技术(IT)基础设施的核心基础。具体地，现代数据中心已经广泛地利用了虚拟环境，其中在物理计算设备的底层计算平台上部署和执行虚拟主机，诸如虚拟机或容器。

具有大规模数据中心的虚拟化可以提供若干优势。其中一项优势是，虚拟化可以显著提高效率。随着每个物理CPU具有大量核的多核微处理器体系结构的出现，底层物理计算设备(即服务器)变得越来越强大，虚拟化变得更容易和更高效。第二项优势是，虚拟化提供了对基础设施的重要控制。随着物理计算资源成为可取代的资源，诸如在基于云的计算环境中，计算基础设施的配置和管理变得更加容易。因此，企业IT员工通常更喜欢数据中心中的虚拟计算集群，因为它们的管理优势以及虚拟化提供的效率和更高的投资回报(ROI)。

发明内容

一般而言，本公开描述了用于确定策略以应用于由根据例如主干和叶拓扑布置的交换机集合中的出口叶交换机接收的分组的技术。主干和叶拓扑的交换机也可以被称为机箱交换机(主干交换机)和架顶式(TOR)交换机(叶交换机)。该拓扑的叶交换机可以在三元内容可寻址存储器(TCAM)中存储用于确定要应用于从主干和叶拓扑输出的分组的策略的数据。通常，TCAM价格昂贵，并且针对交换机消耗大量功率。本公开的技术可以被用以减少在叶交换机中存储策略所需的TCAM的数量。

具体地，本公开的技术包括存储从源标识符(本文也称为“源标签”)和目的地地址到策略的映射，而不是存储从硬件源端口到策略的映射，通过该硬件源端口入口交换机设备接收分组和用于该分组的目的地地址。源标识符可以表示应用的类别，其中可以存在相对较少数目的类别。例如，类别可以包括Web、应用和数据库。可以将相对大量的源端口映射到每个类别，其中在应用和源端口之间可以存在直接对应。随着应用开发的进展，可以更新与该应用相关联的源端口。例如，应用可以在经由不同硬件端口耦合到入口交换机设备的不同服务器上执行。不同类别的应用可以与要应用于来自应用的分组的不同安全级别相关联。通过使用源标识符和目的地地址的组合，可以大大减少用于策略实施的叶交换机中的TCAM条目的数目，因为TCAM不需要存储将每个源端口、源地址/子网、源VLAN或其任何组合映射到策略的分开的TCAM条目。

入口叶交换机可以确定接收分组的硬件源端口，然后确定源端口映射到的源标识符。然后，入口叶交换机可以将源标识符添加到分组的虚拟可扩展局域网(VXLAN)报头，并且将分组转发到主干和叶拓扑的主干交换机。主干交换机可以进一步将分组转发到主干和叶拓扑的出口叶交换机。出口叶交换机可以配置有将源标识符和目的地地址映射到其TCAM中的策略的数据。因此，当出口叶交换机从主干交换机接收分组时，出口叶交换机可以根据VXLAN报头的源标识符和分组的目的地地址来确定要应用于分组的策略。出口叶交换机然后可以将该策略应用于该分组，例如转发该分组或丢弃该分组。