專利名稱:基于模型的虛擬聯(lián)網(wǎng)的制作方法
基于模型的虛擬聯(lián)網(wǎng)背景網(wǎng)絡管理不再是簡單任務�����。大公司通常主要存在于單個位置����,或者分散在通過公司企業(yè)互連的若干地理位置中。在這樣的大而復雜的部署下���,與所述網(wǎng)絡相關聯(lián)的頻繁改變的動態(tài)特性涉及添加/刪除雇員�����、添加/刪除雇員設備(例如計算機�����、打印機)等等���,并且在處理復雜網(wǎng)絡時是特別明顯的,所述復雜網(wǎng)絡橫跨多個位置或者包括多個子網(wǎng)�、VPN (虛擬專用網(wǎng)絡)、多個路由器或諸如服務器、路由器����、網(wǎng)關、交換機等等之類的其他網(wǎng)絡設備���。此外���,如今的網(wǎng)絡管理常常包括廠商特有的知識和數(shù)據(jù),這使網(wǎng)絡管理和經(jīng)營進一步復雜化����。概述下面提供了簡化的發(fā)明內(nèi)容,以便提供對此處所描述的一些新穎實施例的基本理解����。本概述不是廣泛的概覽,并且它不旨在標識關鍵/重要元素或描繪本發(fā)明的范圍�。其唯一目的是以簡化形式呈現(xiàn)一些概念����,作為稍后呈現(xiàn)的更具體實施例的序言。所公開的架構促進端點之間的連接的虛擬指定�。可以將網(wǎng)絡定義成一種抽象連通性模型�����,該模型是按照連通性意圖、而不是任何特定技術來表達的�����。該架構將連通性模型翻譯(編譯)成配置設定����、策略、防火墻規(guī)則等等以基于可用物理網(wǎng)絡和設備能力來實現(xiàn)連通性意圖���。該連通性模型被用于定義網(wǎng)絡的連通性語義�����。該模型可以被翻譯成控制物理網(wǎng)絡的物理節(jié)點之間的通信的一組策略和網(wǎng)絡配置����。所得到的虛擬網(wǎng)絡可以是獨立于物理層的虛擬覆蓋���??商娲兀撎摂M覆蓋還可以包括物理網(wǎng)絡的元素和抽象��。此外���,自動網(wǎng)絡安全規(guī)則(例如因特網(wǎng)協(xié)議安全一 IPSec)可以從網(wǎng)絡的連通性模型中導出���。為了實現(xiàn)上述及相關目的,本文結合下面的描述和附圖
來描述某些說明性方面�。這些方面指示了可以實踐本文所公開的原理的各種方式,并且所有方面及其等效方面旨在落入所要求保護的主題的范圍內(nèi)����。結合附圖閱讀下面的詳細描述,其它優(yōu)點和新穎特征將變得顯而易見�����。附圖簡述圖I示出根據(jù)所公開架構的計算機實現(xiàn)的網(wǎng)絡管理系統(tǒng)����。圖2示出了包括翻譯層的網(wǎng)絡管理系統(tǒng)的可替代實施例。圖3示出了根據(jù)所公開架構的網(wǎng)絡管理系統(tǒng)的更詳細表示����。圖4示出了連通性模型的示例性細節(jié)。圖5示出了一種計算機實現(xiàn)的網(wǎng)絡管理方法��。圖6示出了圖5的方法的附加方面�����。圖7示出了用于開發(fā)��、翻譯和實現(xiàn)根據(jù)所公開架構的連通性模型的計算系統(tǒng)的框 圖�。圖8示出了用于部署、翻譯和實現(xiàn)連通性模型的計算環(huán)境的示意性框圖��。詳細描述所公開的架構促進了連通性模型的部署和實現(xiàn)���,所述連通性模型定義虛擬網(wǎng)絡來配置和管理物理網(wǎng)絡�。換言之�,物理網(wǎng)絡被定義成一種抽象模型,該抽象模型是按照連通性意圖��、而不是任何特定技術來表達的���。例如��,該連通性模型可以虛擬地指定計算機X��、Y和Z應當彼此自由通信并且還應當與計算機D在特定端口上具有受控的通信�。模型的翻譯(編譯)將虛擬網(wǎng)絡應用于物理網(wǎng)絡,使得配置設定��、策略�、防火墻規(guī)則等等在給定可用物理網(wǎng)絡和物理設備能力的情況下實現(xiàn)連通性意圖。
例如�����,可以將特定范圍的IP地址分配給物理機A和B���。連通性模型的連通性語義簡單地定義了機器A和B應當能夠彼此通信�,而不是如用于配置物理網(wǎng)絡的現(xiàn)有技術中所表示的那樣具體地調(diào)出合適子網(wǎng)之間的路由�����。連通性模型按照身份(例如機器和用戶)��、組(例如機器和用戶)和其他抽象(不具有連通性細節(jié)的邏輯模型)來操作��,而不是按照物理網(wǎng)絡地址來操作�。所期望的連通性的實現(xiàn)可以通過如下方式來實現(xiàn)創(chuàng)建獨立于物理網(wǎng)絡的一個或多個網(wǎng)絡覆蓋;和/或通過合適的API (應用編程接口)/設定來控制物理網(wǎng)絡����。在使用網(wǎng)絡覆蓋的配置下,連通性模型還可以用于控制對該網(wǎng)絡覆蓋中的機器和/或用戶的IP地址分配��。例如����,可以將特定IP地址分配給某機器,并且該地址然后無論該機器的物理網(wǎng)絡或IP地址如何都將是有效的����,因為所分配的IP地址處于網(wǎng)絡覆蓋空間中。該能力促進了對傳統(tǒng)應用的支持����。該架構包括用于將網(wǎng)絡的連通性模型定義成表達連通性意圖的一組規(guī)則的機制。該機制例如可以是用于圖形化地編輯連通性模型的GUI (圖形用戶界面)編輯器�。還可以包括用于將連通性模型編譯成配置設定、策略�����、防火墻規(guī)則等等的機制以實現(xiàn)所期望的連通性模型�。該連通性模型翻譯器(編譯器)可以是特定實施方式所使用的一組聯(lián)網(wǎng)技術所特有的。例如�,一種可能的實施方式可以是通過微軟公司的Windows Direct Access (DA)的���,其中該連通性模型可以被編譯成一系列的IPSec、Teredo (—種用于通過NAT (網(wǎng)路地址翻譯)設備來發(fā)送IPv6數(shù)據(jù)報的傳輸協(xié)議)���、SSTP (安全套接字隧道傳輸協(xié)議)�����、防火墻�����、以及實施方式中所使用的其他設定���。可以為諸如例如IPv4和IPv6之類的其他覆蓋網(wǎng)絡技術組創(chuàng)建翻譯器���。例如�����,還可以創(chuàng)建翻譯器(編譯器)以用于通過控制可編程交換機和VLAN (虛擬局域網(wǎng))來將連通性模型應用于物理網(wǎng)絡���。所公開的架構還使混合系統(tǒng)的實現(xiàn)成為可能�����,其中連通性模型的部分是由網(wǎng)絡覆蓋來支持的���,而該模型的其他部分是由物理網(wǎng)絡來支持的�����。這樣的布置的示例是連接到被可編程地控制(例如通過VLAN����、IPSec等等)的LAN的機器和遠程連接的機器的混合,所有這些機器都是由單個連通性模型來控制的�����。該架構還提供用于執(zhí)行連通性模型的必要元素的機制��。該必要性管理取決于物理實施方式(例如覆蓋網(wǎng)絡對比于物理網(wǎng)絡�����、Teredo對比于SSTP對比于L2TP (第2層隧道傳輸協(xié)議)對比于其他協(xié)議)��。該架構通過專注于所期望的連通性(連通性意圖)、而不是實施方式細節(jié)(例如IP范圍��、IPSec���、策略等等)顯著地簡化了網(wǎng)絡創(chuàng)建���、管理和使用。此外����,IT人員不再需要具有深度聯(lián)網(wǎng)知識來創(chuàng)建或管理網(wǎng)絡。在諸如小或中型業(yè)務和顧客應用之類的簡單情況下����,復雜度可以完全消除,從而允許不具有聯(lián)網(wǎng)知識的管理員成功地設置和管理網(wǎng)絡���。
附加地�����,通過使網(wǎng)絡為一致和相干的以及通過從單個連通性模型中導出所有相關設定��、策略等等來提供簡化�����。保證了所有所需要的設定/策略為良好對齊和無沖突的����。這與如下的現(xiàn)有情況是不同的在該現(xiàn)有情況時,每種類型的設定/策略/規(guī)則都是獨立地定義的�,從而為錯誤和不一致性留下了空間。該簡化還通過保證一致性和相干性��、以及通過包括內(nèi)置自測機制來提供高可靠性�,所述內(nèi)置自測機制驗證實際的設定和連通性與所打算的連通性模型對齊�����。該架構的自調(diào)整能力允許網(wǎng)絡自動切換到可替代的連通性技術和系統(tǒng)(例如SSTP對比與直接IPv6或Teredo)以在底層網(wǎng)絡系統(tǒng)改變(例如便攜式計算機在不同網(wǎng)絡之間移動)時保持所期望的連通性模型����。附加地,可以通過從連通性模型中自動導出網(wǎng)絡安全規(guī)則(例如IPSec)來實現(xiàn)高安全性����。這允許安全的連通性而不必花費任何時間來配置或管理 網(wǎng)絡安全。所公開的連通性模型還允許創(chuàng)建更復雜的使用技術與托管系統(tǒng)的組合的網(wǎng)絡和系統(tǒng)。現(xiàn)在將參考附圖����,全部附圖中相同的參考編號用于表示相同的元件。在下面的描述中����,為了進行說明,闡述了很多具體細節(jié)以便提供對本發(fā)明的全面理解�����。然而�����,顯而易見�,可以沒有這些具體細節(jié)的情況下實施各新穎實施方式。在其他情況下����,以框圖形式示出了各個公知的結構和設備以便于描述本發(fā)明。本發(fā)明將涵蓋落入所要求保護的主題的精神和范圍內(nèi)的所有修改��、等效方案和替換方案����。圖I示出了根據(jù)所公開的架構的計算機實現(xiàn)的網(wǎng)絡管理系統(tǒng)100�����。系統(tǒng)100包括物理網(wǎng)絡104的節(jié)點102的布置和連通性模型106��,所述連通性模型106使用連通性語義108來定義節(jié)點102之間的虛擬連通性�����。創(chuàng)建該連通性模型以管理物理網(wǎng)絡104的節(jié)點102之間的通信��。連通性模型106描述了覆蓋物理層并且獨立于物理層的虛擬網(wǎng)絡���。連通性模型106描述了覆蓋物理層并且包括物理網(wǎng)絡104的元素和抽象的虛擬網(wǎng)絡�����。連通性模型106還可以作為連通性語義108的一部分來定義網(wǎng)絡安全��。連通性語義108可以包括節(jié)點���、節(jié)點組和用戶組的機器身份和用戶身份和/或節(jié)點身份�����。連通性語義108管理物理網(wǎng)絡108的端口和網(wǎng)關�����。因此��,涉及從一個網(wǎng)絡移動到另一網(wǎng)絡(例如在公司地理位置的范圍內(nèi))的便攜式計算機的網(wǎng)絡管理被無縫地處理�,因為連通性模型指示用戶即使在為移動時仍然應當被連接到的組。圖2示出了包括翻譯層202的網(wǎng)絡管理系統(tǒng)200的可替代實施例��。系統(tǒng)200包括物理網(wǎng)絡104(物理層)的節(jié)點102的布置和連通性模型106��,所述連通性模型106使用連通性語義108來定義節(jié)點102之間的虛擬連通性���。創(chuàng)建該連通性模型以管理物理網(wǎng)絡104的節(jié)點102之間的通信���。翻譯層202將連通性語義108翻譯成管理物理網(wǎng)絡104的節(jié)點102之間的通信的策略和配置信息。從另一角度來說�,系統(tǒng)200包括物理網(wǎng)絡104的節(jié)點102的布置;連通性模型106�����,所述連通性模型106使用連通性語義108來定義節(jié)點102之間的虛擬連通性;以及翻譯層202���,所述翻譯層202將連通性語義108翻譯成管理物理網(wǎng)絡104的節(jié)點102之間的通
信的策略和配置信息��。
虛擬連通性描述了覆蓋物理層并且獨立于該物理層的虛擬網(wǎng)絡204�����。該虛擬連通性描述了覆蓋物理層并且包括物理網(wǎng)絡104的元素和抽象的虛擬網(wǎng)絡204����。連通性模型106將網(wǎng)絡安全作為連通性語義108的一部分來定義��。連通性語義108包括節(jié)點���、節(jié)點組和用戶組的機器身份和用戶身份和/或節(jié)點身份�����。圖3示出了根據(jù)所公開架構的網(wǎng)絡管理系統(tǒng)300的更詳細表示。系統(tǒng)300包括連通性模型106 (以及虛擬網(wǎng)絡的連通性語義)�����,所述連通性模型106可以通過翻譯層202應用于物理層302。翻譯層可以包括用于將所述語義翻譯成供直接應用于物理層302的策略和規(guī)則等等的一個或多個翻譯器���。系統(tǒng)300還包括用戶界面304 (例如圖形n)以用于使用模型定義306來部署和配置連通性模型106����。定義306可以包括多種多樣的定義以供選擇性地部署在不同的連通性模型中����。系統(tǒng)300還可以包括存儲組件308,該存儲組件308用于存儲現(xiàn)有模型以供按照需要進行自動或動態(tài)檢索和利用�����。連通性模型可以在線或離線部署���,并且被存儲以供以后按需檢索和使用�。圖4示出了連通性模型400的示例性細節(jié)����。在此,連通性模型106包括連通性語義108���,所述連通性語義108可以定義機器和/或用戶ID 402�、(機器和/或用戶的)組404、以及其他抽象406��。語義108被傳遞經(jīng)過連通性模型108 (或其語義部分)特有的翻譯器408�����,所述翻譯器408用于將所述語義108翻譯成促進物理網(wǎng)絡412的通信管理的設定��、策略和規(guī)則410����。類似地,第二連通性模型414包括連通性語義416����,所述連通性語義416可以定義機器和/或用戶ID 418、(機器和/或用戶的)組420��、以及其他抽象422��。語義416被傳遞經(jīng)過第二連通性模型414 (或其語義部分)特有的翻譯器424����,所述翻譯器424用于將所述語義416翻譯成促進物理網(wǎng)絡428的通信管理的設定����、策略和規(guī)則426����。換言之���,可以部署多個連通性模型來配置和管理相應物理網(wǎng)絡����、網(wǎng)絡的子網(wǎng)���、物理設備(例如網(wǎng)關�����、路由器等等)和(例如物理設備和節(jié)點的)端口���,這僅受所采用的語義和連通性語義的限制并且可以翻譯成連通性語義。對于多個翻譯器而言�,一個翻譯器可以專用于處理IPsec策略;第二翻譯器可以專用于處理防火墻策略����;第三翻譯器專用于處理SSL(安全套接字層)連接��;第四翻譯器可以專用于處理網(wǎng)關�;等等���。在此所公開的連通性模型為網(wǎng)絡的管理員提供了強大機制來定義針對系統(tǒng)健康要求的策略����,比如將NAP (網(wǎng)絡訪問保護)(微軟公司所開發(fā)的一種技術)所采用的策略分配給機器/用戶的組�。健康要求例如可以涉及具有所期望版本的惡意軟件檢測和阻止軟件以及主動防火墻的節(jié)點。此處所包括的是一組表示用于執(zhí)行所公開的架構的新穎方面的示例性方法的流程圖�����。盡管出于解釋簡明的目的��,此處例如以流程圖形式示出的一個或多個方法被示出并且描述為一系列動作����,但是可以理解,各方法不受動作的次序的限制�����,因為根據(jù)本發(fā)明,某些動作可以按與此處所示并描述的不同的次序和/或與其他動作同時發(fā)生����。例如�,本領域的技術人員將明白并理解,方法可被替換地表示為一系列相互相關聯(lián)的狀態(tài)或事件���,諸如以狀態(tài)圖的形式���。此外,并非方法中所示出的所有動作都是新穎實現(xiàn)所必需的��。圖5示出了一種計算機實現(xiàn)的網(wǎng)絡管理方法�����。在500�,定義連通性模型,所述連通性模型基于連通性語義來描述物理層的節(jié)點之間的連通性的虛擬網(wǎng)絡�����。在502�,基于連通性模型來管理物理層的節(jié)點之間的通信。圖6示出了圖5的方法的附加方面。在600�����,將連通性語義翻譯成管理物理層的節(jié)點之間的通信的策略和規(guī)則���。在602�,作為物理層的覆蓋并且獨立于物理層應用虛擬網(wǎng)絡�����。在604�,作為物理層的覆蓋來應用虛擬網(wǎng)絡,所述虛擬網(wǎng)絡包括物理層的元素和抽象�����。在606�,作為連通性模型的一部分將網(wǎng)絡安全應用于物理層。在608�,創(chuàng)建連通性語義,所述連通性語義包括節(jié)點��、節(jié)點組和用戶組的機器身份和用戶身份和/或節(jié)點身份�����。如在本申請中所使用的,術語“組件”和“系統(tǒng)”旨在表示計算機相關的實體���,其可以是硬件�、硬件和軟件的組合����、軟件�����、或者執(zhí)行中的軟件�����。例如�����,組件可以是�,但不僅限于,在處理器上運行的進程����、處理器��、硬盤驅(qū)動器�、多個存儲驅(qū)動器(光學���,固態(tài)和/或磁存儲介質(zhì))����、對象�、可執(zhí)行程序、運行的線程����、程序、和/或計算機��。作為說明���,在服務器上運行的應用和服務器兩者都可以是組件�。一個或多個組件可以駐留在進程和/或執(zhí)行的線程內(nèi)�����,且組件可以位于一個計算機上和/或分布在兩個或更多的計算機之間。詞語“示例性”在此處可用于表示用作示例�、實例或說明。在此被描述為“示例性”的任何方面或設計并不一定要被解釋為相比其它方面或設計更優(yōu)選或有利?��,F(xiàn)在參考圖7�,示出了用于開發(fā)�、翻譯和運行根據(jù)所公開架構的連通性模型的計算系統(tǒng)700的框圖。為了提供用于其各方面的附加上下文�����,圖7及以下討論旨在提供對其中可實現(xiàn)各方面的合適的計算系統(tǒng)700的簡要概括描述�����。盡管以上描述是在可在一個或多個計算機上運行的計算機可執(zhí)行指令的一般上下文中進行的�����,但是本領域的技術人員將認識至IJ����,新穎實施例也可結合其它程序模塊和/或作為硬件和軟件的組合來實現(xiàn)��。用于實現(xiàn)各方面的計算系統(tǒng)700包括計算機702,其具有處理單元704����、諸如系統(tǒng)存儲器706等的計算機可讀存儲、以及系統(tǒng)總線708���。處理單元704可以是各種市場上可買到的處理器中的任一種��,諸如單處理器�����、多處理器�、單核單元以及多核單元���。此外����,本領域的技術人員可以理解�,各新穎方法可用其它計算機系統(tǒng)配置來實施,包括小型機�、大型計算機、以及個人計算機(例如�,臺式����、膝上型等)�����、手持式計算設備�����、基于微處理器的或可編程的消費電子產(chǎn)品等���,其每一個都可在操作上耦合到一個或多個相關聯(lián)的設備��。系統(tǒng)存儲器706可包括計算機可讀存儲���,如易失性(VOL)存儲器710 (例如���,隨機存取存儲器(RAM))和非易失性存儲器(NON-VOL) 712 (如ROM����、EPROM�����、EEPROM等)?;据擜 /輸出系統(tǒng)(BIOS)可被存儲在非易失性存儲器712中,并且包括諸如在啟動期間便于在計算機702內(nèi)的組件之間傳遞數(shù)據(jù)和信號的基本例程��。易失性存儲器710還可包括諸如靜態(tài)RAM等高速RAM來用于高速緩存數(shù)據(jù)�����。系統(tǒng)總線708提供了用于包括���,但不限于存儲器子系統(tǒng)706的系統(tǒng)組件對處理單元704的接口����。系統(tǒng)總線708可以是若干種總線結構中的任一種�,這些總線結構還可使用各類可購買到的總線架構中的任一種互連到存儲器總線(帶有或沒有存儲器控制器)以及外圍總線(例如,PCI��、PCIe�����、AGP、LPC等)��。計算機702還包括用于機器可讀存儲子系統(tǒng)714以及將存儲子系統(tǒng)714接口到系統(tǒng)總線708和其他所需計算機組件的存儲接口 716����。存儲子系統(tǒng)714可包括例如硬盤驅(qū)動器(HDD)、磁軟盤驅(qū)動器(FDD)和/或光盤存儲驅(qū)動器(例如��,⑶-ROM驅(qū)動器�、DVD驅(qū)動器)中的一個或多個。存儲接口 716可包括諸如����,例如EIDE、ATA����、SATA和IEEE 1394等接口技 術。
一個或多個程序和數(shù)據(jù)可被存儲在存儲器子系統(tǒng)706��、機器可讀和可移動存儲器子系統(tǒng)718 (例如���,閃存驅(qū)動器形狀因子技術)和/或存儲子系統(tǒng)714 (例如,光�、磁、固態(tài))中��,這些程序和數(shù)據(jù)包括操作系統(tǒng)720、一個或多個應用程序722����、其他程序模塊724以及程序數(shù)據(jù)726。所述一個或多個應用程序722�、其他程序模塊724以及程序數(shù)據(jù)726例如可以包括在此所述的連通性模型和連通性語義、翻譯層和翻譯器�����、圖3的系統(tǒng)300��、圖4的模型400和相關聯(lián)的實體��、以及圖5 - 6的流程圖所表示的方法�。—般而言�����,程序模塊包括執(zhí)行特定任務或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�、方法、數(shù)據(jù)結構�、其他軟件組件等等。操作系統(tǒng)720、應用722���、模塊724和/或數(shù)據(jù)726的全部或部分也可被高速緩存在諸如易失性存儲器710等存儲器中��。應該明白����,所公開的架構可以用各種市場上可購得的操作系統(tǒng)或操作系統(tǒng)的組合(例如�,作為虛擬機)來實施。存儲子系統(tǒng)714和存儲器子系統(tǒng)(706和718)用作用于數(shù)據(jù)��、數(shù)據(jù)結構���、計算機可 執(zhí)行指令等的易失性和非易失性存儲的計算機可讀介質(zhì)�����。計算機可讀介質(zhì)可以是可由計算機702訪問的任何可用介質(zhì)��,且包括可移動和不可移動的易失性和非易失性��、內(nèi)部和/或外部介質(zhì)����。對于計算機702�,介質(zhì)容納以任何合適的數(shù)字格式對數(shù)據(jù)的存儲。本領域的技術人員應當理解���,可使用其他類型的計算機可讀介質(zhì)����,如zip驅(qū)動器���、磁帶���、閃存卡、閃存驅(qū)動器���、磁帶盒等來存儲用于執(zhí)行所披露的架構的新穎方法的計算機可執(zhí)行指令��。用戶可以使用諸如鍵盤和鼠標等外部用戶輸入設備728來與計算機702�、程序和數(shù)據(jù)交互�����。其他外部用戶輸入設備728可包括話筒�����、IR (紅外)遙控器、操縱桿��、游戲手柄�����、照相機識別系統(tǒng)��、指示筆�、觸摸屏、姿勢系統(tǒng)(例如��,眼移動�����、頭移動等)和/或類似物����。在計算機702是例如便攜式計算機的情況下,用戶可以使用諸如觸摸墊����、話筒��、鍵盤等板載用戶輸入設備730來與計算機702��、程序和數(shù)據(jù)交互�����。這些和其它輸入設備通過輸入/輸出(I/0)設備接口 732經(jīng)由系統(tǒng)總線704連接到處理單元708,但也可通過其它接口連接�,如并行端口、IEEE 1394串行端口���、游戲端口����、USB端口�、IR接口等。I/O設備接口 732也便于輸出外圍設備734的使用�,如打印機、音頻設備�、攝像設備等,如聲卡和/或板載音頻處理能力����。一個或多個圖形接口 736 (通常也稱為圖形處理單元(GPU))提供計算機702和外部顯示器738 (例如���,IXD、等離子)和/或板載顯示器740 (例如���,對于便攜式計算機)之間的圖形和視頻信號���。圖形接口 736也可作為計算機系統(tǒng)板的一部分來制造。計算機702可以使用經(jīng)由有線/無線通信子系統(tǒng)742到一個或多個網(wǎng)絡和/或其他計算機的邏輯連接在聯(lián)網(wǎng)環(huán)境(例如�����,基于IP的)中操作�。其他計算機可包括工作站、服務器�����、路由器����、個人計算機、基于微處理器的娛樂設備�、對等設備或其他常見的網(wǎng)絡節(jié)點,并且通常包括以上相對于計算機702描述的許多或所有元件����。邏輯連接可包括到局域網(wǎng)(LAN)���、廣域網(wǎng)(WAN)熱點等的有線/無線連接。LAN和WAN聯(lián)網(wǎng)環(huán)境常見于辦公室和公司�����,并且方便了諸如內(nèi)聯(lián)網(wǎng)等企業(yè)范圍計算機網(wǎng)絡�����,所有這些都可連接到例如因特網(wǎng)等全球通信網(wǎng)絡��。當在聯(lián)網(wǎng)環(huán)境中使用時�,計算機702經(jīng)由有線/無線通信子系統(tǒng)742 (例如��,網(wǎng)絡接口適配器�����、板載收發(fā)機子系統(tǒng)等)連接到網(wǎng)絡來與有線/無線網(wǎng)絡�����、有線/無線打印機、有線/無線輸入設備744等通信���。計算機702可包括用于通過網(wǎng)絡建立通信的調(diào)制解調(diào)器或其他裝置����。在聯(lián)網(wǎng)環(huán)境中�,相對于計算機702的程序和數(shù)據(jù)可被存儲在遠程存儲器/存儲設備中,如與分布式系統(tǒng)相關聯(lián)��。應該理解����,所示網(wǎng)絡連接是示例性的,并且可以使用在計算機之間建立通信鏈路的其他手段�。計算機702可用于使用諸如IEEE802. xx標準家族等無線電技術來與有線/無線設備或?qū)嶓w通信,例如在操作上安置在與例如打印機�����、掃描儀�、臺式和/或便攜式計算機、個人數(shù)字助理(PDA)��、通信衛(wèi)星、任何一件與無線可檢測標簽相關聯(lián)的設備或位置(例如����,電話亭、報亭����、休息室)以及電話的無線通信(例如,IEEE802. 11空中調(diào)制技術)中的無線設備��。這至少包括對于熱點的Wi-Fi (或無線保真)�����、WiMax,以及Bluetooth 無線技術���。由此,通信可以是如對于常規(guī)網(wǎng)絡那樣的預定義結構,或者僅僅是至少兩個設備之間的自組織(adhoc)通信��。Wi-Fi網(wǎng)絡使用稱為IEEE802. Ilx (a�、b、g等)的無線電技術來提供安全�����、可靠、快速的無線連接�。Wi-Fi網(wǎng)絡可用于將計算機彼此連接、連接到因特網(wǎng)以及連接到有線網(wǎng)絡(使用IEEE 802. 3相關的介質(zhì)和功能)��。所示各方面也可以在其中某些任務由通過通信網(wǎng)絡鏈接的遠程處理設備來執(zhí)行的分布式計算環(huán)境中實踐�。在分布式計算環(huán)境中,程序模塊可以位于本地和/或遠程存儲 器和/或存儲設備中?����,F(xiàn)在參考圖8����,示出了用于部署、翻譯和實現(xiàn)連通性模型的計算環(huán)境800的示意性框圖�。環(huán)境800包括一個或多個客戶端802?�?蛻舳?02可以是硬件和/或軟件(例如���,線程��、進程����、計算設備)。例如�����,客戶端802可以容納cookie和/或相關聯(lián)的上下文信息��。環(huán)境800還包括一個或多個服務器804��。服務器804也可以是硬件和/或軟件(例如���,線程���、進程、計算設備)�����。服務器804可以例如通過使用本架構來容納線程以執(zhí)行變換�?����?蛻舳?02和服務器804之間的一種可能的通信可以是以適用于在兩個或更多計算機進程之間傳輸?shù)臄?shù)據(jù)包的形式�。例如,數(shù)據(jù)包可以包括cookie和/或相關聯(lián)的上下文信息。環(huán)境800包括可以用來促進客戶端806和服務器802之間通信的通信框架804(例如���,諸如因特網(wǎng)等全球通信網(wǎng)絡)���。通信可以經(jīng)由有線(包括光纖)和/或無線技術來促進?����?蛻舳?02可操作地連接到一個或多個客戶端數(shù)據(jù)存儲808���,可以使用這些客戶端數(shù)據(jù)存儲來存儲客戶端802本地的信息(例如�����,cookie和/或相關聯(lián)的上下文信息)����。同樣地��,服務器804可以在操作上連接到可以用來存儲服務器810本地的信息的一個或多個服務器數(shù)據(jù)存儲804��。上面描述的包括所公開的架構的各示例�����。當然,描述每一個可以想到的組件和/或方法的組合是不可能的�����,但本領域內(nèi)的普通技術人員應該認識到����,許多其他組合和排列都是可能的。因此���,該新穎架構旨在涵蓋所有這些落入所附權利要求書的精神和范圍內(nèi)的更改�����、修改和變化�。此外���,就在詳細描述或權利要求書中使用術語“包括”而言�����,這一術語旨在以與術語“包含”在被用作權利要求書中的過渡詞時所解釋的相似的方式為包含性的�。
權利要求
1.一種計算機實現(xiàn)的網(wǎng)絡管理系統(tǒng)����,包括 物理網(wǎng)絡的節(jié)點的布置;以及 連通性模型���,所述連通性模型使用連通性語義來定義所述節(jié)點之間的虛擬連通性并且被創(chuàng)建來管理所述物理網(wǎng)絡的節(jié)點之間的通信�。
2.如權利要求I所述的系統(tǒng)���,其特征在于�����,還包括翻譯器��,所述翻譯器將所述連通性語義翻譯成管理所述物理網(wǎng)絡的節(jié)點之間的通信的策略和配置信息���。
3.如權利要求I所述的系統(tǒng),其特征在于����,所述連通性模型描述覆蓋物理層并且獨立于所述物理層的虛擬網(wǎng)絡。
4.如權利要求I所述的系統(tǒng)�,其特征在于���,所述連通性模型描述覆蓋物理層并且包括所述物理網(wǎng)絡的元件和抽象的虛擬網(wǎng)絡。
5.如權利要求I所述的系統(tǒng)���,其特征在于����,所述連通性模型將網(wǎng)絡安全作為所述連通性語義的一部分來定義���。
6.如權利要求I所述的系統(tǒng)���,其特征在于,所述連通性語義包括所述節(jié)點的機器身份和用戶身份��。
7.如權利要求I所述的系統(tǒng)����,其特征在于,所述連通性語義包括節(jié)點組和用戶組�����。
8.如權利要求I所述的系統(tǒng)���,其特征在于�����,所述連通性語義包括節(jié)點身份����。
9.如權利要求I所述的系統(tǒng)����,其特征在于,所述連通性語義管理所述物理網(wǎng)絡的端口和網(wǎng)關��。
10.一種計算機實現(xiàn)的網(wǎng)絡管理方法��,包括 定義連通性模型�,所述連通性模型基于連通性語義來描述物理層的節(jié)點之間的連通性的虛擬網(wǎng)絡;以及 基于所述連通性模型來管理物理層的節(jié)點之間的通信��。
11.如權利要求10所述的方法�,其特征在于,還包括將所述連通性語義翻譯成管理所述物理層的節(jié)點之間的通信的策略和規(guī)則�����。
12.如權利要求10所述的方法,其特征在于����,還包括作為物理層的覆蓋并且獨立于所述物理層來應用所述虛擬網(wǎng)絡。
13.如權利要求10所述的方法��,其特征在于���,還包括作為所述物理層的覆蓋來應用所述虛擬網(wǎng)絡���,所述虛擬網(wǎng)絡包括所述物理層的元素和抽象。
14.如權利要求10所述的方法����,其特征在于,還包括作為所述連通性模型的一部分將網(wǎng)絡安全應用于所述物理層�����。
15.如權利要求10所述的方法�,其特征在于,還包括創(chuàng)建連通性語義��,所述連通性語義包括所述節(jié)點、節(jié)點組和用戶組的機器身份和用戶身份�、以及節(jié)點身份。
全文摘要
一種架構促進物理端點之間的連接的虛擬指定����。可以將網(wǎng)絡定義成一種抽象連通性模型�,該模型是按照連通性意圖��、而不是任何特定技術來表達的��。將連通性模型翻譯成配置設定�����、策略���、防火墻規(guī)則等等以基于可用物理網(wǎng)絡和設備能力來實現(xiàn)連通性意圖���。該連通性模型定義網(wǎng)絡的連通性語義并且控制物理網(wǎng)絡中的物理節(jié)點之間的通信。所得到的虛擬網(wǎng)絡可以是獨立于物理層的虛擬覆蓋���?�?商娲?����,該虛擬覆蓋還可以包括物理網(wǎng)絡的元素和抽象�����。此外�,自動網(wǎng)絡安全規(guī)則(例如因特網(wǎng)協(xié)議安全-IPSec)可以從網(wǎng)絡的連通性模型中導出。
文檔編號H04L12/24GK102687462SQ201080051242
公開日2012年9月19日 申請日期2010年10月28日 優(yōu)先權日2009年11月12日
發(fā)明者A·S·查韋斯, A·帕納修克, D·蘭吉高達, G·H·奧特海德, H·S·阿爾卡特比, J·陳, M·布朗, R·維斯瓦納杉 申請人:微軟公司