[发明专利]基于模型的虚拟联网

说明书

背景

网络管理不再是简单任务。大公司通常主要存在于单个位置，或者分散在通过公司企业互连的若干地理位置中。在这样的大而复杂的部署下，与所述网络相关联的频繁改变的动态特性涉及添加/删除雇员、添加/删除雇员设备（例如计算机、打印机）等等，并且在处理复杂网络时是特别明显的，所述复杂网络横跨多个位置或者包括多个子网、VPN（虚拟专用网络）、多个路由器或诸如服务器、路由器、网关、交换机等等之类的其他网络设备。此外，如今的网络管理常常包括厂商特有的知识和数据，这使网络管理和经营进一步复杂化。

概述

下面提供了简化的发明内容，以便提供对此处所描述的一些新颖实施例的基本理解。本概述不是广泛的概览，并且它不旨在标识关键/重要元素或描绘本发明的范围。其唯一目的是以简化形式呈现一些概念，作为稍后呈现的更具体实施例的序言。

所公开的架构促进端点之间的连接的虚拟指定。可以将网络定义成一种抽象连通性模型，该模型是按照连通性意图、而不是任何特定技术来表达的。该架构将连通性模型翻译（编译）成配置设定、策略、防火墙规则等等以基于可用物理网络和设备能力来实现连通性意图。

该连通性模型被用于定义网络的连通性语义。该模型可以被翻译成控制物理网络的物理节点之间的通信的一组策略和网络配置。所得到的虚拟网络可以是独立于物理层的虚拟覆盖。可替代地，该虚拟覆盖还可以包括物理网络的元素和抽象。此外，自动网络安全规则（例如因特网协议安全－IPSec）可以从网络的连通性模型中导出。

为了实现上述及相关目的，本文结合下面的描述和附图来描述某些说明性方面。这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述，其它优点和新颖特征将变得显而易见。

附图简述

图1示出根据所公开架构的计算机实现的网络管理系统。

图2示出了包括翻译层的网络管理系统的可替代实施例。

图3示出了根据所公开架构的网络管理系统的更详细表示。

图4示出了连通性模型的示例性细节。

图5示出了一种计算机实现的网络管理方法。

图6示出了图5的方法的附加方面。

图7示出了用于开发、翻译和实现根据所公开架构的连通性模型的计算系统的框图。

图8示出了用于部署、翻译和实现连通性模型的计算环境的示意性框图。

详细描述

所公开的架构促进了连通性模型的部署和实现，所述连通性模型定义虚拟网络来配置和管理物理网络。换言之，物理网络被定义成一种抽象模型，该抽象模型是按照连通性意图、而不是任何特定技术来表达的。例如，该连通性模型可以虚拟地指定：计算机X、Y和Z应当彼此自由通信并且还应当与计算机D在特定端口上具有受控的通信。模型的翻译（编译）将虚拟网络应用于物理网络，使得配置设定、策略、防火墙规则等等在给定可用物理网络和物理设备能力的情况下实现连通性意图。

例如，可以将特定范围的IP地址分配给物理机A和B。连通性模型的连通性语义简单地定义了机器A和B应当能够彼此通信，而不是如用于配置物理网络的现有技术中所表示的那样具体地调出合适子网之间的路由。

连通性模型按照身份（例如机器和用户）、组（例如机器和用户）和其他抽象（不具有连通性细节的逻辑模型）来操作，而不是按照物理网络地址来操作。

所期望的连通性的实现可以通过如下方式来实现：创建独立于物理网络的一个或多个网络覆盖；和/或通过合适的API（应用编程接口）/设定来控制物理网络。在使用网络覆盖的配置下，连通性模型还可以用于控制对该网络覆盖中的机器和/或用户的IP地址分配。例如，可以将特定IP地址分配给某机器，并且该地址然后无论该机器的物理网络或IP地址如何都将是有效的，因为所分配的IP地址处于网络覆盖空间中。该能力促进了对传统应用的支持。

该架构包括用于将网络的连通性模型定义成表达连通性意图的一组规则的机制。该机制例如可以是用于图形化地编辑连通性模型的GUI（图形用户界面）编辑器。还可以包括用于将连通性模型编译成配置设定、策略、防火墙规则等等的机制以实现所期望的连通性模型。