本公開內(nèi)容一般而言涉及使用quic和基于quic加密的多路復(fù)用應(yīng)用基板(multiplexed?application?substrate?over?quic?encryption，masque)協(xié)議來表達(dá)網(wǎng)絡(luò)策略和建立連接隧道，以為遠(yuǎn)程用戶提供對(一個或多個)專用應(yīng)用的訪問，處理(一個或多個)連接遷移以及執(zhí)行網(wǎng)絡(luò)流策略。

背景技術(shù)：

1、基于云的服務(wù)提供商網(wǎng)絡(luò)(通常被描述為“超級擴(kuò)展器(hyperscaler)”)提供基于云的服務(wù)，以滿足用戶的計算服務(wù)需求，而用戶無需投資和維護(hù)實現(xiàn)服務(wù)所需的計算基礎(chǔ)設(shè)施。例如，云服務(wù)提供商可以運營數(shù)據(jù)中心的網(wǎng)絡(luò)，這些數(shù)據(jù)中心(例如，公共數(shù)據(jù)中心)容納了大量相互連接的計算系統(tǒng)，這些計算系統(tǒng)由服務(wù)提供商配置，向用戶(或“客戶”)提供基于云的服務(wù)。這些服務(wù)提供商網(wǎng)絡(luò)可以基于需要，提供基于網(wǎng)絡(luò)的計算資源。例如，服務(wù)提供商網(wǎng)絡(luò)可以允許用戶購買和利用計算資源，例如虛擬機(jī)(“vm”)實例、計算資源、數(shù)據(jù)存儲資源、數(shù)據(jù)庫資源、聯(lián)網(wǎng)資源、網(wǎng)絡(luò)服務(wù)和其他類型的計算資源。用戶可以對服務(wù)提供商網(wǎng)絡(luò)提供的計算資源進(jìn)行配置，以實現(xiàn)所需的功能，例如向用戶的企業(yè)提供基于網(wǎng)絡(luò)的應(yīng)用或其他類型的功能。雖然基于超大規(guī)模業(yè)者(hyperscaler)的數(shù)據(jù)中心越來越受歡迎，但傳統(tǒng)企業(yè)管理的數(shù)據(jù)中心仍然被廣泛使用。這些部署的組合通常被稱為“混合的”數(shù)據(jù)中心。一般來說，遠(yuǎn)程用戶能夠通過使用虛擬專用網(wǎng)絡(luò)(vpn)或基于代理的解決方案來連接到這些基于網(wǎng)絡(luò)的應(yīng)用和/或企業(yè)功能。

2、雖然存在額外的方法使遠(yuǎn)程用戶連接到專用企業(yè)應(yīng)用，但是在傳統(tǒng)上，vpn隧道和反向代理技術(shù)是最常見的。然而，兩種途徑都有局限性。雖然vpn隧道可以與任何應(yīng)用和協(xié)議合作，但是可能在網(wǎng)絡(luò)內(nèi)打開一個大的攻擊面。此外，雖然基于代理的解決方案允許更好的邊緣控制(這導(dǎo)致了更小的攻擊面)，但它們通常不能良好地與不基于傳輸控制協(xié)議(tcp)的協(xié)議配合使用，并且需要額外的解決方案來將非tcp協(xié)議轉(zhuǎn)換為tcp協(xié)議，或?qū)⒎莟cp協(xié)議封裝在tcp中，這可能影響代理本身的性能等。

3、此外，執(zhí)行代理解決方案的代理節(jié)點作為連接(例如，tcp或udp連接)的中間盒，并且允許客戶端連接到公共互聯(lián)網(wǎng)協(xié)議(ip)地址，而后端處理可以在未連接到公共ip地址的節(jié)點上執(zhí)行。代理通常通過接收傳入連接、終止連接以及在后端打開新連接來實現(xiàn)這一點。雖然這些代理技術(shù)在傳統(tǒng)上是在tcp和(用戶數(shù)據(jù)報協(xié)議)udp協(xié)議上執(zhí)行的，但是這些同樣的代理技術(shù)可以在quic協(xié)議上執(zhí)行。不過，由于quic協(xié)議利用udp作為底層傳輸，因此可能難以處理quic代理節(jié)點的故障轉(zhuǎn)移或替換，并且難以提供tcp或udp代理所提供的無縫用戶體驗。此外，quic協(xié)議被設(shè)計為不與版本未知的中間盒互操作。此外，quic可以以只有端點和quic服務(wù)器可能知道這種變化的方式來遷移會話。然而，中間盒以可靠和可預(yù)測的方式處理彼此不同的quic流將是可取的。

4、此外，基于quic加密的多路復(fù)用應(yīng)用基板(masque)協(xié)議提供了一種用于利用單個代理解決方案來代理不同類型的協(xié)議(例如，http代理、通過https的dns、quic代理、udp代理和ip代理)的機(jī)制。然而，masque協(xié)議沒有提供用于通過masque隧道來代理l2以太網(wǎng)分組的機(jī)制，例如，基于ip的隧道協(xié)議以太網(wǎng)(ethernet?over?ip，eoip)。

5、因此，現(xiàn)有的解決方案往往有許多缺點，而且可能難以表達(dá)網(wǎng)絡(luò)策略和建立安全連接隧道來為遠(yuǎn)程用戶提供對(一個或多個)專用應(yīng)用的訪問和執(zhí)行網(wǎng)絡(luò)流策略。

技術(shù)實現(xiàn)思路

技術(shù)特征：

1.一種方法，包括：

2.根據(jù)權(quán)利要求1所述的方法，還包括：

3.根據(jù)權(quán)利要求1或2所述的方法，還包括：

4.根據(jù)權(quán)利要求1至3中任一項所述的方法，其中：

5.根據(jù)權(quán)利要求1至4中任一項所述的方法，其中，所述quic代理服務(wù)在第一quic代理節(jié)點上執(zhí)行，并且所述數(shù)據(jù)存儲能夠由以下項中的至少一項訪問：

6.根據(jù)權(quán)利要求1至5中任一項所述的方法，其中，所述事件是第一事件，并且所述quic代理服務(wù)是在第一代理節(jié)點上執(zhí)行的所述quic代理服務(wù)的第一實例，并且所述方法還包括：

7.根據(jù)權(quán)利要求6所述的方法，其中：

8.一種系統(tǒng)，包括：

9.根據(jù)權(quán)利要求8所述的系統(tǒng)，其中：

10.根據(jù)權(quán)利要求8或9所述的系統(tǒng)，其中，所述數(shù)據(jù)存儲能夠由以下項中的至少一項訪問：

11.根據(jù)權(quán)利要求8至10中任一項所述的系統(tǒng)，其中，所述事件為第一事件，并且所述操作還包括：

12.根據(jù)權(quán)利要求11所述的系統(tǒng)，所述操作還包括：

13.根據(jù)權(quán)利要求11或12所述的系統(tǒng)，所述操作還包括：

14.根據(jù)權(quán)利要求11至13中任一項所述的系統(tǒng)，其中：

15.一種方法，包括：

16.根據(jù)權(quán)利要求15所述的方法，其中，所述事件指示與所述第一quic連接相關(guān)聯(lián)的所述中斷，并且所述方法還包括：

17.根據(jù)權(quán)利要求15或16所述的方法，其中，所述事件指示與所述第二quic連接相關(guān)聯(lián)的所述中斷，并且所述方法還包括：

18.根據(jù)權(quán)利要求17所述的方法，還包括：

19.根據(jù)權(quán)利要求15至18中任一項所述的方法，其中：

20.根據(jù)權(quán)利要求15至19中任一項所述的方法，其中，所述數(shù)據(jù)存儲能夠由以下項中的至少一項訪問：

21.一種裝置，包括：

22.根據(jù)權(quán)利要求21所述的裝置，還包括用于實現(xiàn)根據(jù)權(quán)利要求2至7中任一項所述的方法的裝置。

23.一種裝置，包括：

24.根據(jù)權(quán)利要求23所述的裝置，還包括用于實現(xiàn)根據(jù)權(quán)利要求16至20中任一項所述的方法的裝置。

25.一種計算機(jī)程序、計算機(jī)程序產(chǎn)品或計算機(jī)可讀介質(zhì)，包括指令，該指令當(dāng)被計算機(jī)執(zhí)行時，使得所述計算機(jī)執(zhí)行根據(jù)權(quán)利要求1至7或15至20中任一項所述的方法的步驟。

技術(shù)總結(jié)
本文描述了對跨代理節(jié)點、數(shù)據(jù)中心和/或?qū)Ｓ脩?yīng)用節(jié)點的QUIC連接會話的遷移進(jìn)行管理的技術(shù)。代理節(jié)點和/或應(yīng)用節(jié)點可以訪問的全局鍵?值數(shù)據(jù)存儲可以存儲以下項之間的映射：在代理節(jié)點前端的與代理節(jié)點和客戶端設(shè)備相關(guān)聯(lián)的第一QUIC連接、以及在代理節(jié)點后端的與代理節(jié)點和應(yīng)用節(jié)點相關(guān)聯(lián)的第二QUIC連接。由于代理節(jié)點可以訪問全局鍵?值數(shù)據(jù)存儲，當(dāng)代理節(jié)點在前端或后端接收到QUIC分組時，代理節(jié)點可以確定將該連接映射到相對端的哪個位置。此外，由于全局鍵?值數(shù)據(jù)存儲對于應(yīng)用節(jié)點是可訪問的，當(dāng)應(yīng)用節(jié)點接收到QUIC分組時，應(yīng)用節(jié)點可以確定與連接相關(guān)聯(lián)的客戶端設(shè)備。

技術(shù)研發(fā)人員：凱爾·安德魯·唐納德·梅斯特里,文森特·E·帕拉
受保護(hù)的技術(shù)使用者：思科技術(shù)公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/5