知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-06-28
(45)【発行日】2023-07-06
(54)【発明の名称】SD-WANポリシーを配布するためのシステムおよび方法
(51)【国際特許分類】
H04L 45/76 20220101AFI20230629BHJP
H04L 12/22 20060101ALI20230629BHJP
【FI】
H04L45/76
H04L12/22
【請求項の数】
23
(21)【出願番号】P 2021571811
(86)(22)【出願日】2020-05-28
(65)【公表番号】
(43)【公表日】2022-09-06
(86)【国際出願番号】 US2020034781
(87)【国際公開番号】W WO2020247224
(87)【国際公開日】2020-12-10
【審査請求日】2022-05-02
(31)【優先権主張番号】62/858,136
(32)【優先日】2019-06-06
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/574,963
(32)【優先日】2019-09-18
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】508041127
【氏名又は名称】シスコ テクノロジー,インコーポレイテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100140431
【弁理士】
【氏名又は名称】大石 幸雄
(72)【発明者】
【氏名】オーロフソン,ステファン
(72)【発明者】
【氏名】ワイナン,イスブラント
(72)【発明者】
【氏名】ボッシュ,ヘンドリクス,ジー.ピー.
(72)【発明者】
【氏名】ナッパー,ジェフリー
(72)【発明者】
【氏名】グプタ,アヌバヴ
【審査官】大石 博見
(56)【参考文献】
【文献】米国特許出願公開第2017/0111233(US,A1)
【文献】特開2015-153399(JP,A)
【文献】特開2004-342072(JP,A)
【文献】特表2018-517352(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 45/76
H04L 12/22
(57)【特許請求の範囲】
【請求項1】
装置であって、1つ以上のプロセッサと、
前記1つ以上のプロセッサに結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令が、前記1つ以上のプロセッサによって実行されたときに、前記装置に、
ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(SD-WAN)ポリシーを、SD-WANネットワークの構成要素から受信することと、
モバイルデバイスとのセッションを確立することと、
前記モバイルデバイスとの前記セッションの確立に応答して、前記モバイルデバイスに関連付けられた情報を受信することと、
前記モバイルデバイスに関連付けられた前記情報に基づいて、前記SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、
前記SD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、を含む動作を実施させる、1つ以上のコンピュータ可読非一時的記憶媒体と、を備える、装置。
【請求項2】
前記動作は、前記SD-WANネットワークの前記構成要素から、更新されたSD-WANポリシーを受信することと、前記モバイルデバイスに関連付けられた前記情報に基づいて、前記更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項1に記載の装置。
【請求項3】
前記動作は、前記モバイルデバイスに関連付けられた更新された情報を受信することと、
前記モバイルデバイスに関連付けられた前記更新された情報に基づいて、前記SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項1または2に記載の装置。
【請求項4】
前記SD-WANポリシーは、アクセスポリシー、
セグメンテーションベースのポリシー、
フロー分類ポリシー、または
パス選択ポリシー、のうちの少なくとも1つのタイプのポリシーを含む、請求項1~3のいずれか一項に記載の装置。
【請求項5】
前記モバイルデバイスに関連付けられた前記情報は、ユーザプロファイル情報、
デバイスポスチャ情報、
セキュリティポスチャ情報、または
認証、認可、およびアカウンティング情報、のうちの少なくとも1つのタイプの情報を含む、請求項1~4のいずれか一項に記載の装置。
【請求項6】
前記装置は、仮想ルーティングおよび転送(VRF)エンタープライズインターネットプロトコルセキュリティ(IPsec)ゲートウェイであり、かつ前記SD-WANネットワークの前記構成要素は、VRF SD-WANエッジルータである、請求項1~5のいずれか一項に記載の装置。
【請求項7】
前記モバイルデバイスと前記装置との間の前記セッションは、仮想プライベートネットワーク(VPN)セッションであり、かつ前記装置は、VRFエンタープライズセキュアソケットレイヤ/トランスポートレイヤセキュリティSSL/DTLSゲートウェイである、請求項1~6のいずれか一項に記載の装置。
【請求項8】
装置によって、ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(SD-WAN)ポリシーを、SD-WANネットワークの構成要素から受信することと、前記装置によって、モバイルデバイスとのセッションを確立することと、
前記モバイルデバイスとの前記セッションの確立に応答して、前記装置によって、前記モバイルデバイスに関連付けられた情報を受信することと、
前記装置によって、前記モバイルデバイスに関連付けられた前記情報に基づいて、前記SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、
前記装置によって、前記SD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、を含む、方法。
【請求項9】
前記装置によって、更新されたSD-WANポリシーを、前記SD-WANネットワークの前記構成要素から受信することと、前記装置によって、前記モバイルデバイスに関連付けられた前記情報に基づいて、前記更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記装置によって、前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項8に記載の方法。
【請求項10】
前記装置によって、前記モバイルデバイスに関連付けられた更新された情報を受信することと、前記装置によって、前記モバイルデバイスに関連付けられた前記更新された情報に基づいて、前記SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記装置によって、前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項8または9に記載の方法。
【請求項11】
前記SD-WANポリシーは、アクセスポリシー、
セグメンテーションベースのポリシー、
フロー分類ポリシー、または
パス選択ポリシー、のうちの少なくとも1つのタイプのポリシーを含む、請求項8~10のいずれか一項に記載の方法。
【請求項12】
前記情報は、ユーザプロファイル情報、
デバイスポスチャ情報、
セキュリティポスチャ情報、または
認証、認可、およびアカウンティング情報、のうちの少なくとも1つのタイプの情報を含む、請求項8~11のいずれか一項に記載の方法。
【請求項13】
前記装置は、仮想ルーティングおよび転送(VRF)エンタープライズインターネットプロトコルセキュリティ(IPsec)ゲートウェイであり、かつ前記SD-WANネットワークの前記構成要素は、VRF SD-WANエッジルータである、請求項8~12のいずれか一項に記載の方法。
【請求項14】
前記モバイルデバイスと前記装置との間の前記セッションは、仮想プライベートネットワーク(VPN)セッションであり、かつ前記装置は、VRFエンタープライズセキュアソケットレイヤ/トランスポートレイヤセキュリティSSL/DTLSゲートウェイである、請求項8~13のいずれか一項に記載の方法。
【請求項15】
命令を包含する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令は、プロセッサによって実行されたときに、前記プロセッサに、ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(SD-WAN)ポリシーを、SD-WANネットワークの構成要素から受信することと、
モバイルデバイスとのセッションを確立することと、
前記モバイルデバイスとの前記セッションの確立に応答して、前記モバイルデバイスに関連付けられた情報を受信することと、
前記モバイルデバイスに関連付けられた前記情報に基づいて、前記SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、
前記SD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、を含む動作を実施させる、1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項16】
前記動作が、更新されたSD-WANポリシーを、前記SD-WANネットワークの前記構成要素から受信することと、
前記モバイルデバイスに関連付けられた前記情報に基づいて、前記更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項15に記載の1つ以上のコンピュータ可読記憶媒体。
【請求項17】
前記動作が、前記モバイルデバイスに関連付けられた更新された情報を受信することと、
前記モバイルデバイスに関連付けられた前記更新された情報に基づいて、前記SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、
前記更新されたSD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信することと、をさらに含む、請求項15または16に記載の1つ以上のコンピュータ可読記憶媒体。
【請求項18】
前記SD-WANポリシーは、アクセスポリシー、
セグメンテーションベースのポリシー、
フロー分類ポリシー、または
パス選択ポリシー、のうちの少なくとも1つのタイプのポリシーを含む、請求項15~17のいずれか一項に記載の1つ以上のコンピュータ可読記憶媒体。
【請求項19】
前記モバイルデバイスに関連付けられた前記情報は、ユーザプロファイル情報、
デバイスポスチャ情報、
セキュリティポスチャ情報、または
認証、認可、およびアカウンティング情報、のうちの少なくとも1つのタイプの情報を含む、請求項15~18のいずれか一項に記載の1つ以上のコンピュータ可読記憶媒体。
【請求項20】
前記SD-WANポリシーは、仮想ルーティングおよび転送(VRF)エンタープライズインターネットプロトコルセキュリティ(IPsec)ゲートウェイによって受信され、前記SD-WANネットワークの前記構成要素は、VRF SD-WANエッジルータである、請求項15~19のいずれか一項に記載の1つ以上のコンピュータ可読記憶媒体。
【請求項21】
ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(SD-WAN)ポリシーを、SD-WANネットワークの構成要素から受信するための手段と、モバイルデバイスとのセッションを確立するための手段と、
前記モバイルデバイスとの前記セッションの確立に応答して、前記モバイルデバイスに関連付けられた情報を受信するための手段と、
前記モバイルデバイスに関連付けられた前記情報に基づいて、前記SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成するための手段と、
前記SD-WANデバイス固有ポリシーを、前記モバイルデバイスに通信するための手段と、を含む装置。
【請求項22】
請求項9~14のいずれか一項に記載の方法を実装するための手段をさらに含む、請求項21に記載の装置。
【請求項23】
コンピュータによって実行されたときに、前記コンピュータに、請求項8~14のいずれか一項に記載の方法のステップを実行させるための命令を含む、コンピュータプログラム、コンピュータプログラム製品、またはコンピュータ可読媒体。【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、“Segmentation,Policy Dissemination,and Path Selection for Roaming Clients,”と題され、Stefan Olofsson et al.によって2019年6月6日に出願された米国仮特許出願第62/858,136号の利益を主張し、その全体はあたかも再現されるかのように参照によって本明細書に援用されるものとする。
本出願は、“Segmentation,Policy Dissemination,and Path Selection for Roaming Clients,”と題され、Stefan Olofsson et al.によって2019年6月6日に出願された米国仮特許出願第62/858,136号の利益を主張し、その全体はあたかも再現されるかのように参照によって本明細書に援用されるものとする。
【0002】
本開示は、概して、ポリシーの配布に関し、より詳細には、ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(software-defined networking in a wide area network、SD-WAN)ポリシーを配布するためのシステムおよび方法に関する。
【背景技術】
【0003】
従来のWANアーキテクチャは、支店または構内の地点にいるユーザを、データセンターのサーバでホストされているアプリケーションに接続する。典型的に、セキュリティ保護および信頼性の高い接続性のために、専用マルチプロトコルラベルスイッチング(MPLS)回線が使用される。しかしながら、ビジネスはますます移動型になり、ビジネスに不可欠なアプリケーションは複数のクラウドを介してインターネット上で動作している。従来のWANアーキテクチャは、利用可能な帯域幅、セキュリティ、および複雑性の管理に制限があるため、ビジネスの生産性を妨げる可能性がある。
【図面の簡単な説明】
【0004】
【図1】特定の実施形態による、SD-WANポリシーをモバイルデバイスに配布するためのシステムを示す。
【図4】特定の実施形態による、SD-WANポリシーをモバイルデバイスに配布するための方法を示す。
【図5】特定の実施形態による、モバイルデバイスによってSD-WANポリシーを受信するための方法を示す。
【図6】特定の実施形態による、コンピュータシステムを示す。
【発明を実施するための形態】
【0005】
概要
本発明の態様は、独立請求項で述べられ、好適な特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、各態様に適用し得る。
本発明の態様は、独立請求項で述べられ、好適な特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、各態様に適用し得る。
【0006】
一実施形態によれば、ルータは、1つ以上のプロセッサと、1つ以上のプロセッサに結合された1つ以上のコンピュータ可読非一時的記憶媒体とを含む。1つ以上のコンピュータ可読非一時的記憶媒体は、1つ以上のプロセッサによって実行されたときに、ルータにSD-WANネットワークの構成要素からSD-WANポリシーを受信することを含む動作を実施させる命令を含む。動作にはまた、モバイルデバイスとのセッションを確立することに応答して、モバイルデバイスとのセッションを確立すること、およびモバイルデバイスに関連付けられた情報を受信することも含まれる。動作は、モバイルデバイスに関連付けられた情報に基づいて、SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、SD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、をさらに含む。
【0007】
動作には、SD-WANネットワークの構成要素から、更新されたSD-WANポリシーを受信することと、モバイルデバイスに関連付けられた情報に基づいて、更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。動作には、モバイルデバイスに関連付けられた更新された情報を受信することと、モバイルデバイスに関連付けられた更新された情報に基づいて、SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。SD-WANポリシーには、以下のタイプのポリシー、すなわち、アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、および/またはパス選択ポリシーのうちの少なくとも1つが含まれ得る。モバイルデバイスに関連付けられた情報には、以下のタイプの情報、すなわち、ユーザプロファイル情報、デバイスポスチャ情報、セキュリティポスチャ情報、ならびに/または認証、認可、およびアカウンティング情報、のうちの少なくとも1つが含まれ得る。特定の実施形態では、ルータは、仮想ルーティングおよび転送(VRF)エンタープライズインターネットプロトコルセキュリティ(IPsec)ゲートウェイであり、SD-WANネットワークの構成要素は、VRF SD-WANエッジルータである。いくつかの実施形態では、モバイルデバイスとルータとの間のセッションは、仮想プライベートネットワーク(VPN)セッションであり、ルータは、VRFエンタープライズセキュアソケット層/トランスポート層セキュリティSSL/TLSゲートウェイである。
【0008】
別の実施形態によれば、方法は、ルータによって、SD-WANネットワークの構成要素からSD-WANポリシーを受信することを含む。また、本方法は、モバイルデバイスとのセッションを確立することに応答して、ルータによってモバイルデバイスとのセッションを確立すること、およびルータによって、モバイルデバイスに関連付けられた情報を受信することも含む。本方法はさらに、モバイルデバイスに関連付けられた情報に基づいて、ルータによってSD-WANポリシーをフィルタリングしてSD-WANデバイス固有ポリシーを生成すること、およびルータによってSD-WANデバイス固有ポリシーをモバイルデバイスに通信することを含む。
【0009】
本方法には、SD-WANネットワークの構成要素から、更新されたSD-WANポリシーを受信することと、モバイルデバイスに関連付けられた情報に基づいて、更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。本方法には、モバイルデバイスに関連付けられた更新された情報を受信することと、モバイルデバイスに関連付けられた更新された情報に基づいて、SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。SD-WANポリシーには、以下のタイプのポリシー、すなわち、アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、および/またはパス選択ポリシーのうちの少なくとも1つが含まれ得る。モバイルデバイスに関連付けられた情報には、以下のタイプの情報、すなわち、ユーザプロファイル情報、デバイスポスチャ情報、セキュリティポスチャ情報、ならびに/または認証、認可、およびアカウンティング情報、のうちの少なくとも1つが含まれ得る。特定の実施形態では、ルータはVRFエンタープライズIPsecゲートウェイであり、SD-WANネットワークの構成要素は、VRF SD-WANエッジルータである。いくつかの実施形態では、モバイルデバイスとルータとの間のセッションは、VPNセッションであり、ルータは、VRFエンタープライズセキュアソケット層/トランスポート層セキュリティSSL/TLSゲートウェイである。
【0010】
別の実施形態によれば、1つ以上のコンピュータ可読非一時的記憶媒体は、プロセッサによって実行されたときに、プロセッサにSD-WANネットワークの構成要素からSD-WANポリシーを受信することを含む動作を実施させる命令を含む。動作にはまた、モバイルデバイスとのセッションを確立することに応答して、モバイルデバイスとのセッションを確立すること、およびモバイルデバイスに関連付けられた情報を受信することも含まれる。動作は、モバイルデバイスに関連付けられた情報に基づいて、SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、SD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、をさらに含む。
【0011】
動作には、SD-WANネットワークの構成要素から、更新されたSD-WANポリシーを受信することと、モバイルデバイスに関連付けられた情報に基づいて、更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。動作には、モバイルデバイスに関連付けられた更新された情報を受信することと、モバイルデバイスに関連付けられた更新された情報に基づいて、SD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成することと、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、が含まれ得る。SD-WANポリシーには、以下のタイプのポリシー、すなわち、アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、および/またはパス選択ポリシーのうちの少なくとも1つが含まれ得る。モバイルデバイスに関連付けられた情報には、以下のタイプの情報、すなわち、ユーザプロファイル情報、デバイスポスチャ情報、セキュリティポスチャ情報、ならびに/または認証、認可、およびアカウンティング情報、のうちの少なくとも1つが含まれ得る。特定の実施形態では、ルータはVRFエンタープライズIPsecゲートウェイであり、SD-WANネットワークの構成要素は、VRF SD-WANエッジルータである。いくつかの実施形態では、モバイルデバイスとルータとの間のセッションは、VPNセッションであり、ルータは、VRFエンタープライズセキュアソケット層/トランスポート層セキュリティSSL/TLSゲートウェイである。
【0012】
さらに別の実施形態によれば、モバイルデバイスは、1つ以上のプロセッサと、1つ以上のプロセッサに結合された1つ以上のコンピュータ可読非一時的記憶媒体とを含む。1つ以上のコンピュータ可読非一時的記憶媒体は、1つ以上のプロセッサによって実行されたときに、モバイルデバイスにSD-WANネットワークのルータとのセッションを確立することを含む動作を実施させる命令を含む。動作は、SD-WANネットワークのルータとのセッションの確立に応答して、モバイルデバイスに関連付けられた情報をSD-WANネットワークのルータに通信することも含む。動作は、SD-WANネットワークのルータから、SD-WANデバイス固有ポリシーを受信することをさらに含む。SD-WANデバイス固有ポリシーは、モバイルデバイスに関連付けられた情報に基づいてフィルタリングされたSD-WANポリシーのサブセットである。
【0013】
本開示の特定の実施形態の技術的利点には、以下のうちの1つ以上が含まれ得る。コアSD-WAN機能は、セグメンテーション、フロー分類、およびパス選択のためのターゲット化されたコンテキスト機能を備えたポリシーフレームワークに参加することで、モバイルデバイスに拡張できる。動的なポリシー更新を含むポリシー命令は、モバイルデバイスに効率的に配布されることができる。認証、認可、アカウンティング(AAA)と、既存のSD-WANポリシーフレームワークとの両方を含むポリシー階層をサポートすることができる。モバイルデバイスは、SD-WAN制御および管理インフラストラクチャのスケーラビリティの課題を発生させることなくSD-WANに統合できる。
【0014】
他の技術的利点は、以下の図面、説明、および特許請求の範囲から、当業者には容易に明らかになるであろう。さらに、特定の利点が上に列挙されているが、様々な実施形態は、列挙された利点のすべて、一部を含むか、またはまったく含まない場合がある。
【0015】
例示的な実施形態
本開示の特定の実施形態では、モバイルデバイスは、セグメンテーション、フロー分類、およびパス選択のためのターゲットとなるコンテキスト機能を備えたポリシーフレームワークへの参加を通じてコアSD-WAN機能から利益を得るように装備されている。ポリシーの指示、動的なポリシー更新、およびポリシー階層が効率的に配布され、エンドデバイスの分類が可能になる。
本開示の特定の実施形態では、モバイルデバイスは、セグメンテーション、フロー分類、およびパス選択のためのターゲットとなるコンテキスト機能を備えたポリシーフレームワークへの参加を通じてコアSD-WAN機能から利益を得るように装備されている。ポリシーの指示、動的なポリシー更新、およびポリシー階層が効率的に配布され、エンドデバイスの分類が可能になる。
【0016】
図1は、モバイルデバイスにSD-WANポリシーを配布するための例示的なシステムを示し、図2は、図1のシステムで使用され得るモバイルデバイスにSD-WANポリシーを配布するための、別の例示的なシステムを示す。図3は、図1のシステムで使用され得る、コールフロー図を示す。図4は、モバイルデバイスにSD-WANポリシーを配布する方法を示し、図5は、モバイルデバイスがSD-WANポリシーを受信する方法を示す。図6は、特定の実施形態によるコンピュータシステムを示す。
【0017】
図1は、ネットワーク環境内のモバイルデバイスにSD-WANポリシーを配布するための、例示的なシステム100を示す。SD-WANは、WAN接続(例えば、ブロードバンドインターネット、4G、5G、LTE、MPLSなど)に適用されるソフトウェア定義ネットワーク(SDN)技術の、特定のアプリケーションである。SD-WANは、地理的に離れた所にあるエンタープライズネットワーク(例えば、支店およびデータセンター)を接続する。SD-WANポリシー(例えば、図2のSD-WANポリシー210)は、ネットワーク110内の制御および転送の態様を規制する。SD-WANポリシーには、アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、パス選択ポリシーなどが含まれ得る。SD-WANポリシーには、アプリケーション対応ルーティングのアプリケーションルーティングポリシー、ルーティングおよびコントロールプレーン情報の制御ポリシー、データトラフィックのデータポリシー、トラフィックの範囲を特定のVPNに制限するVPNメンバシップポリシーなどが含まれ得る。SD-WANポリシーについては、以下の図2でより詳細に説明する。
【0018】
システム100またはその一部は、SD-WANポリシーを配布する企業または会社(例えば、サービスプロバイダ)などの任意のエンティティを含み得る、エンティティに関連付けられ得る。システム100の構成要素は、ハードウェア、ファームウェア、およびソフトウェアの任意の適切な組み合わせを含み得る。例えば、システム100の構成要素は、図6のコンピュータシステムの1つ以上の要素を使用してもよい。
【0019】
システム100は、ネットワーク110、SD-WANコントローラ120、SD-WANクラウド130、データセンター150、およびモバイルデバイス160を含む。システム100のネットワーク110は、システム100の構成要素間の通信を容易にする、任意のタイプのネットワークである。ネットワーク110は、システム100の1つ以上の構成要素を接続することができる。本開示は、任意の適切なネットワークを企図している。ネットワーク110の1つ以上の部分には、アドホックネットワーク、イントラネット、エクストラネット、VPN、ローカルエリアネットワーク(LAN)、ワイヤレスLAN(WLAN)、WAN、ワイヤレスWAN(WWAN)、メトロポリタンエリアネットワーク(MAN)、インターネットの一部分、公衆交換電話網(PSTN)の一部分、携帯電話ネットワーク、これらの2つ以上の組み合わせ、またはその他の適切なタイプのネットワークが含まれ得る。ネットワーク110は、1つ以上のネットワークを含み得る。ネットワーク110は、プライベートネットワーク、パブリックネットワーク、インターネットを介した接続、モバイルネットワーク、WI-FIネットワークなどの任意の通信ネットワークであってよい。システム100の1つ以上の構成要素は、ネットワーク110を介して通信することができる。ネットワーク110には、コアネットワーク(例えば、インターネット)、サービスプロバイダのアクセスネットワーク、インターネットサービスプロバイダ(ISP)ネットワークなどが含まれ得る。ネットワーク110の1つ以上の部分は、SD-WAN技術を利用し得る。
【0020】
システム100のSD-WANコントローラ120は、ネットワーク110内でSD-WANポリシーを管理および配布する構成要素である。SD-WANコントローラ120は、管理コントローラ122およびスマートコントローラ124を含む。ネットワーク110の管理コントローラ122は、SD-WANポリシーを作成および/または維持するネットワークコントローラである。SD-WANポリシーがコミットされると、管理コントローラ122は、SD-WANポリシーをスマートコントローラ124にプッシュする。管理コントローラ122は、ネットワーク設定プロトコル(NETCONF)を使用して、1つ以上のSD-WANポリシーをスマートコントローラ124にプッシュすることができる。
【0021】
スマートコントローラ124は、SD-WANの動的制御プレーンをアンカーするネットワークコントローラである。すべてのSD-WANエンドポイントは、ルーティング、セキュリティ、およびポリシー情報の交換および配布のために実施されている、オーバーレイ管理プロトコル(OMP)セッションを備えたスマートコントローラ124との永続的なセッションにあることができる。SD-WANポリシーおよび更新されたSD-WANポリシーは、管理コントローラ122からスマートコントローラ124によって受信されるので、スマートコントローラ124は、スマートコントローラ124から、影響を受けるすべてのSD-WANエンドポイント(例えば、SD-WANエッジルータ152)へのOMPルーティング更新として、SD-WANポリシーおよび更新されたSD-WANポリシーを即座にアドバタイズすることができる。
【0022】
システム100のSD-WANクラウド130は、インターネットを介して複数のユーザ(例えば、ゲートウェイ154およびモバイルデバイス160)にコンピュータシステムリソース(例えば、データストレージおよびコンピューティングパワー)を提供する。SD-WANクラウド130は、データプレーンと制御プレーンを分離するために使用できる。SD-WANクラウド130は、ハードウェア構成要素およびソフトウェア構成要素の両方を含み得る。例えば、SD-WANクラウド130は、1つ以上のルータ132(例えば、クラウドルータ)、アプリケーション、サーバなどを含み得る。SD-WANクラウド130は、単一のエンティティ(例えば、サービスプロバイダ)によって管理され得る。SD-WANクラウド130は、1つ以上のサービス140、1つ以上のイントラネット142、および/またはインターネット144へのアクセスを提供することができる。例えば、SD-WANクラウド130のルータ132は、1つ以上のイントラネット142(例えば、企業の支店または構内イントラネット)へのアクセスを提供する、SD-WANエッジルータであってもよい。イントラネット142は、印刷サービス、情報技術(IT)サービスなどのサービス140をホストすることができる。別の例として、ルータ132は、セキュリティゲートウェイを介してインターネット144へのアクセスを提供することができる。特定の実施形態では、SD-WANクラウド130は、1つ以上のSD-WANコントローラ120、データセンター150の1つ以上の構成要素などをホストしてもよい。
【0023】
システム100のデータセンター150は、SD-WAN環境内でのSD-WANポリシーの配布を容易にするコンピューティングリソースおよびストレージリソースのネットワークである。データセンター150は、サービスプロバイダなどのエンティティに関連付けられ、かつ/またはそれによって制御され得る。データセンター150は、システム100の異なる構成要素間のプレゼンスポイント(POP)として機能することができる。データセンター150は、SD-WANエッジルータ152およびゲートウェイ154を含む。いくつかの実施形態では、SD-WANエッジルータ152とゲートウェイ154とは単一の集約デバイスに組み合わされる。集約デバイスは、SD-WANドメインへのリモートモバイルクライアントアクセスの機能を組み合わせたWANエッジ機能と組み合わせて、リモートアクセス終了能力をサポートすることができる。
【0024】
SD-WANエッジルータ152は、SD-WANネットワーク境界に設置されているルータである。SD-WANエッジルータ152は、SD-WANエッジエンドポイント(例えば、データプレーンエンドポイント)として機能することができる。SD-WANエッジルータ152は、ネットワーク間でインターネットプロトコル(IP)パケットをルーティングすることができる。SD-WANエッジルータ152は、VRFを使用して、ルーティングテーブルの複数のインスタンスが同じルータ内で同時に共存できるようにすることができる。SD-WANエッジルータ152は、スマートコントローラ124からSD-WANポリシーを受信し、このSD-WANポリシーをゲートウェイ154に転送する。
【0025】
ゲートウェイ154は、ローカルネットワークに入る、および/またはローカルネットワークから出るIPパケットへのアクセスを提供するルータである。ゲートウェイ154は、VRFを使用して、ルーティングテーブルの複数のインスタンスが、同一のルータ内で同時に共存できるようにすることができる。ゲートウェイ154は、VPNを使用して、情報をモバイルデバイス160に通信することができる。VPNは、ゲートウェイ154およびモバイルデバイス160がプライベートネットワークに直接接続されているかのように、ゲートウェイ154が共有ネットワークまたはパブリックネットワークを介してモバイルデバイス160とデータを送受信することを可能にする。
【0026】
特定の実施形態では、ゲートウェイ154は、IPsecトンネルモードで動作するIPsecゲートウェイ154であり得る。IPsecトンネルモードでは、IPパケット全体がIPsecによって保護される。IPsecでは、IPパケットを包み、IPパケットを暗号化し、IPsecトンネルを介してIPパケットを送信する。2つの安全なIPsecトンネルを使用して、IPsecゲートウェイ間のトラフィックを暗号化することができる。例えば、IPsecトンネルを使用して、IPsec VPNを介してインターネット経由で接続された2台のルータ間のトラフィックを暗号化することができる。
【0027】
特定の実施形態では、ゲートウェイ154は、セキュアソケットレイヤ(SSL)対応のVPNゲートウェイであり得る。SSL VPNゲートウェイ154により、リモートユーザは、Webブラウザ(例えば、図1のモバイルデバイス160のブラウザ164)を使用して安全なVPNトンネルを確立できる。SSL VPN技術は、SSLプロトコルとトランスポートレイヤセキュリティ(TLS)(またはデータグラムTLS(DTLS))とを使用して、ゲートウェイ154とモバイルデバイス160との間の安全な接続を提供する。
【0028】
データセンター150のゲートウェイ154は、ユーザ認証のためにIPsecおよび/またはSSLを使用できる。例えば、ゲートウェイ154は、SD-WANポリシーがゲートウェイ154で定義されたグループインスタンスに割り当てられるように、IPsecおよびSSLターミネーションの既存のグループ定義を活用できる。ゲートウェイ154は、SD-WANエッジデバイスとしても動作しながら、IPsecリモートアクセスおよびSSL VPNターミネーション機能を実装できる。このSD-WAN機能により、SD-WANインフラストラクチャ内で提供されている既存のポリシー配布から配布されたSD-WANポリシーを受信できる。特定の実施形態では、ゲートウェイ154は、SD-WANポリシーを受信するために、アイデンティティサービスエンジンと通信することができる。アイデンティティサービスエンジンは、ネットワーク110に接続されたエンドポイントデバイス(例えば、モバイルデバイス160)のアクセスポリシーの作成および/または施行を可能にするサーバベースの製品(例えば、電化製品または仮想マシン)であり得る。
【0029】
ゲートウェイ154は、モバイルデバイス160に関連付けられた情報(例えば、ユーザプロファイル情報、デバイスポスチャ情報、セキュリティポスチャ情報、AAAサーバから受信した情報など)に基づいてSD-WANポリシーをフィルタリングし、フィルタリングされたSD-WANポリシー(例えば、図2のフィルタリングされたSD-WANポリシー220)を、モバイルデバイス160にプッシュすることができる。特定の実施形態では、ゲートウェイ154は、更新されたSD-WANポリシーを受信し、更新されたSD-WANポリシーを、モバイルデバイス160に関連付けられた情報に基づいてフィルタリングすることができる。いくつかの実施形態では、ゲートウェイ154は、更新された情報(例えば、更新されたユーザプロファイル情報、更新されたデバイスポスチャ情報など)をモバイルデバイス160から受信し、モバイルデバイス160からの更新された情報に基づいて、SD-WANポリシーをフィルタリングすることができる。ゲートウェイ154は、モバイルデバイス160に関連付けられた、更新されたSD-WANポリシーおよび/または更新された情報を、定期的におよび/または1つ以上のイベント(例えば、ユーザプロファイル情報の変更、デバイスポスチャ情報の変更など)に応答して受信することができる。
【0030】
特定の実施形態では、ゲートウェイ154は、1つ以上のサービスから情報を受信し、受信した情報に基づいてSD-WANポリシーを更新することができる。例えば、ゲートウェイ154は、ネットワーク可視化サービスから、セキュリティポスチャ情報を受信することができる。別の例として、ゲートウェイ154は、クラウドベースの認証サービスから、デバイスポスチャ情報を受信することができる。いくつかの実施形態では、ゲートウェイ154は、複数のソース(例えば、モバイルデバイス160、AAAサーバ、ネットワーク可視性サービスなど)から受信した情報に基づいて、SD-WANポリシーを更新することができる。特定の実施形態では、SD-WANポリシーを更新するために使用される情報は、SD-WANネットワークの外部のソースから、ゲートウェイ154によって受信される。
【0031】
システム100のモバイルデバイス160は、システム100の1つ以上の構成要素から情報(例えば、フィルタリングされたSD-WANポリシー)を受信する、任意のエンドデバイスである。特定の実施形態では、モバイルデバイス160は、ハンドヘルドコンピュータである。モバイルデバイス160は、携帯電話(例えば、スマートフォン)、ラップトップコンピュータ、タブレット、携帯情報端末などであり得る。モバイルデバイス160は、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)フラットスクリーンインタフェース、デジタルボタン、デジタルキーボード、物理ボタン、物理キーボード、1つ以上のタッチスクリーン構成要素などを含み得る。モバイルデバイス160は、サービスプロバイダなどのエンティティに関連付けられ得る。モバイルデバイス160は、グラフィカルユーザインタフェース(GUI)を含み得る。モバイルデバイスは、図6のコンピュータシステムの1つ以上の構成要素を含み得る。
【0032】
モバイルデバイス160は、1つ以上のアプリケーション162および1つ以上のブラウザ164を含む。アプリケーション162は、特定のオペレーティングシステム用に構築されたネイティブアプリケーション、モバイルデバイス160で実行されているブラウザ上でページをレンダリングおよび/または配信するモバイルウェブアプリケーション、ネイティブアプリケーションとモバイルウェブアプリケーションとの混合であるハイブリッドアプリケーションなどを含み得る。ブラウザ164は、ワールドワイドウェブ上の情報にアクセスするためのソフトウェアアプリケーションである。ブラウザ164は、小さな画面のためにウェブコンテンツを効果的に表示するように最適化することができる。特定の実施形態では、SD-WANエージェントをモバイルデバイス160上に展開して、SD-WANネットワークにアクセスし得る。
【0033】
モバイルデバイス160は、データセンター150のゲートウェイ154との接続を確立することができる。データセンター150のゲートウェイ154とのセッションを確立することに応答して、モバイルデバイス160は、モバイルデバイス160に関連付けられた情報をゲートウェイ154に通信することができる。この情報には、ユーザプロファイル情報(例えば、ユーザ名、パスワードなど)、デバイスポスチャ情報(例えば、オペレーティングシステム、ウイルス対策、スパイウェア対策、ファイアウォールソフトウェア、ホスト名、IPアドレス、MACアドレス、ポート番号、シリアル番号、レジストリエントリ、ローカル証明書、ファイル名など)、セキュリティポスチャ情報などが含まれ得る。モバイルデバイス160は、定期的に、および/または1つ以上のイベント(例えば、ユーザプロファイル情報の変更)に応答して、更新された情報(例えば、更新されたユーザプロファイル情報、更新されたデバイスポスチャ情報など)を、ゲートウェイ154に通信することができる。モバイルデバイス160は、IPsecおよび/またはSSLを使用して、データセンター150のゲートウェイ154と情報を交換することができる。
【0034】
動作中、システム100の管理コントローラ122は、SD-WANポリシーを作成および/または維持する。SD-WANポリシーがコミットされると、管理コントローラ122は、NETCONFを使用して、SD-WANポリシーをスマートコントローラ124にプッシュする。SD-WANポリシーが管理コントローラ122から受信されると、スマートコントローラ124は、SD-WANポリシーをOMPルーティングテーブルとして、データセンター150の影響を受けるSD-WANエッジルータ152に即座にアドバタイズする。SD-WANエッジルータ152は、SD-WANポリシーをデータセンター150のゲートウェイ154に転送する。ゲートウェイ154は、モバイルデバイス160とのセッションを確立し、モバイルデバイス160とのセッションを確立することに応答して、モバイルデバイス160に関連付けられた情報を受信する。ゲートウェイ154は、モバイルデバイスに関連付けられた情報に基づいてSD-WANポリシーをフィルタリングし、SD-WANデバイス固有ポリシーを生成する。ゲートウェイ154は、SD-WANデバイス固有ポリシーをモバイルデバイス160に通信する。したがって、システム100は、SD-WAN機能をモバイルデバイス160に拡張し、これにより、モバイルデバイス160のユーザ、ならびにデータセンター150に関連付けられた企業は、SD-WANインフラストラクチャから利益を得ることができる。
【0035】
図1は、ネットワーク110、SD-WANコントローラ120、管理コントローラ122、スマートコントローラ124、SD-WANクラウド130、ルータ132、サービス140、イントラネット142、インターネット144、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、モバイルデバイス160、アプリケーション162、およびブラウザ164の特定の配置を示しており、本開示は、ネットワーク110、SD-WANコントローラ120、管理コントローラ122、スマートコントローラ124、SD-WANクラウド130、ルータ132、サービス140、イントラネット142、インターネット144、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、モバイルデバイス160、アプリケーション162、およびブラウザ164の任意の適切な配置を企図している。例えば、1つ以上のSD-WANコントローラ120は、SD-WANクラウド130に設置され得る。別の例として、SD-WANエッジルータ152およびゲートウェイ154は、全体的または部分的に、互いに物理的または論理的に共同設置され得る。
【0036】
図1は、特定の数の、ネットワーク110、SD-WANコントローラ120、管理コントローラ122、スマートコントローラ124、SD-WANクラウド130、ルータ132、サービス140、イントラネット142、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、モバイルデバイス160、アプリケーション162、およびブラウザ164を示しているが、本開示は、任意の適切な数の、ネットワーク110、SD-WANコントローラ120、管理コントローラ122、スマートコントローラ124、SD-WANクラウド130、ルータ132、サービス140、イントラネット142、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、モバイルデバイス160、アプリケーション162、およびブラウザ164を企図している。例えば、ネットワーク110は、複数のSD-WANエッジルータ152および複数のモバイルデバイス160を含み得る。
【0037】
図2は、図1のシステム100によって使用され得るSD-WANポリシー(例えば、SD-WANポリシー210およびフィルタリングされたSD-WANポリシー220)を配布するための、例示的なシステム200を示す。SD-WANポリシー210には、アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、パス選択ポリシーなどが含まれ得る。SD-WANポリシー210は、ネットワーク(例えば、図1のネットワーク110)内のVPNセグメント全体のデータトラフィックフローに影響を与えるデータポリシーであり得る。SD-WANポリシー210は、ネットワーク(例えば、SD-WANネットワーク)の特定の構成要素へのアクセスを、1つ以上の条件(例えば、VPNメンバシップ、6タプルの一致など)に基づいて、許可および/または制限することができる。SD-WANポリシー210は、どのエンドポイントが更新を受信するか定義することができる。ネットワーク内の異なるターゲットデバイスに対しては異なるSD-WANポリシー210が定義され、これは、ネットワーク内(例えば、モバイルデバイス160をサポートするSD-WANネットワーク内)のポリシー配布を最適化することができる。フィルタリングされたSD-WANポリシー220は、モバイルデバイス160に関連付けられた情報に基づいてゲートウェイ154によってフィルタリングされるSD-WANポリシー210である。
【0038】
システム200は、SD-WANコントローラ120、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160を含む。システム200の構成要素は、上記の図1で説明されている。SD-WANコントローラ120は、SD-WANポリシー210を作成、維持、プッシュ、およびアドバタイズすることができる。例えば、管理コントローラ(例えば、図1の管理コントローラ122)は、SD-WANポリシーを作成および/または維持し、SD-WANポリシーをスマートコントローラ(例えば、図1のスマートコントローラ124)にプッシュすることができる。
【0039】
図2に示す実施形態では、1つ以上のSD-WANコントローラ120(例えば、図1のスマートコントローラ124)は、SD-WANポリシー210をSD-WANエッジルータ152にアドバタイズする。SD-WANエッジルータ152は、SD-WANポリシー210をゲートウェイ154に転送する。ゲートウェイ154は、モバイルデバイス160に関連付けられた情報に基づいてSD-WANポリシー210をフィルタリングして、フィルタリングされたSD-WANポリシー220を生成する。モバイルデバイス160に関連付けられた情報は、ユーザプロファイル情報、デバイスポスチャ情報、セキュリティポスチャ情報、AAAサーバから受信した情報(例えば、認証、認可、および/またはアカウンティング情報)などを含み得る。ゲートウェイ154は、フィルタリングされたSD-WANポリシー220をモバイルデバイス160に通信する。
【0040】
データセンター150のゲートウェイ154は、定義されたSD-WANポリシー210の一部としてグループアイデンティティを定義することができ、これにより、グループアイデンティティは、ポリシー接続点としても、ならびにマクロセグメンテーションおよびマイクロセグメンテーションを効率的に可能にするデータプレーン識別メカニズムとしても機能する。例えば、データプレーンでセキュアグループタグ(SGT)を使用することにより、モバイルデバイス160およびデータセンター150のゲートウェイ154が、トラフィックを事前定義されたセグメントに関連付けること、ならびに/またはモバイルデバイス160およびゲートウェイ154にローカルに適用されるマイクロセグメンテーションポリシーを適用することを可能にする。この分類により、セグメンテーション、パス選択、トラフィック管理ポリシー、およびサービスの起動が可能になり、モバイルデバイス160と最終的にターゲットとなるサービスとの間のエンドツーエンドパスの必要なすべてのレッグの識別子が保持される。事前定義されたポリシーディレクティブおよび/またはセグメンテーション施行は、モバイルデバイス160への拡張全体にわたって保持され得る。特定の実施形態では、事前定義されたポリシーディレクティブおよび/またはセグメンテーション施行への変更は、モバイルデバイス160に動的に通信される。
【0041】
SD-WANインフラストラクチャは、一元的に定義されたSD-WANポリシー210がターゲットエンドポイントに向けて効率的に配布され得る既存のポリシー配布伝達手段を提供する。既存の伝達手段は、SD-WANインフラストラクチャのネイティブメンバである明示的に定義されたターゲットに向けて、SD-WANポリシー210を配布することができる。SD-WANエッジルータ152は、SD-WANインフラストラクチャの1つ以上の構成要素からSD-WANポリシー210を受信し、SD-WANポリシー210をゲートウェイ154に転送することができる。データセンター150のゲートウェイ154は、配布されたSD-WANポリシー210の特定の要素を定義されたグループにリンクすることができ、これは、フィルタリングされたSD-WANポリシー220を最終的なポリシーターゲットにきめ細かく適用および配布するのを助け得る。また、モバイルデバイス160の個々のユーザに適用される既存のAAAポリシーも施行され得、これは、VRFメンバシップおよび他のセッション固有パラメータなどの、セッションの特定の態様に影響を及ぼし得る。VRFメンバシップの態様は、パス選択、サービスレベルアグリーメント(SLA)情報、およびアプリケーション固有のトラフィック処理に関する他の態様とともに、マクロセグメンテーション機能/マイクロセグメンテーション機能の影響を受ける可能性がある。特定の実施形態では、ポリシー階層を使用してAAAおよび/またはSD-WANポリシー210を活用することは、異なるソースから発信されたポリシー間のインテリジェントな相互作用を提供し、スケーラブルかつきめ細かい方法でデバイス固有のディレクティブを含むように全体的なポリシーフレームワークを拡張し得る。
【0042】
データセンター150のゲートウェイ154は、フィルタリングされたSD-WANポリシー220を処理する、かつ/またはデータセンター150からモバイルデバイス160に配布する、ポリシー管理エージェントを含み得る。ユーザデータグラムプロトコル(UDP)ベースのトランスポートプロトコルを使用して、オーバーヘッドを最小限に抑えながら、ネットワークのこの特定のレッグ全体にポリシーを配布するためのスケーラブルで信頼できる伝達手段を提供できる。データセンター150のゲートウェイ154とモバイルデバイス160との間の既存かつ安全なパスは、セキュリティ(例えば、IPsecおよび/またはSSLセキュリティ)が単純でスケーラブルな機能を提供するよりも問題にならないように想定できる。
【0043】
特定の実施形態では、ゲートウェイ154は、更新されたSD-WANポリシー210を、データセンター150のSD-WANエッジルータ152から受信することができる。ゲートウェイ154は、更新されたSD-WANポリシーをフィルタリングして、更新されフィルタリングされたSD-WANポリシー220を生成することができ、これは、モバイルデバイス160に動的に配布され得る。ゲートウェイ154は、更新されたSD-WANポリシー210をいつでもSD-WAN制御プレーンから受信することができ、これにより、ゲートウェイ154のポリシー管理エージェントに、更新されたSD-WANポリシー210をフィルタリングさせ、更新されフィルタリングされたSD-WANポリシー220をモバイルデバイス160に通信させることが可能となる。更新されたSD-WANポリシー210は、更新されたSD-WANポリシー210内に含まれるグループターゲット定義に基づいて、まとめてターゲット化されるか、またはよりきめ細かくターゲット化され得る。したがって、ゲートウェイ154でポリシー管理エージェントを使用することは、フィルタリングされたSD-WANポリシー220をモバイルデバイス160に向けて動的に更新する能力を提供し、この動的さは、最終的にSD-WANソースのポリシー210によって導かれるSD-WANおよびAAA派生ポリシーの両方に向けて拡張され得る。
【0044】
データセンター150のゲートウェイ154は、1つ以上の機能グループ(例えば、グループAおよびグループB)を定義して、各機能グループが、SD-WANインフラストラクチャで定義された各機能グループのサービスサブスクリプションに従って異なるレベルのセグメンテーション、ポリシー命令、および/または課された動作を必要とするようにすることができる。例えば、グループAには、プロバイダによってホストされる一連のエンタープライズグレードの生産性アプリケーションへのアクセスを必要とするエンタープライズパワーユーザのセット、プロバイダによってホストされるプライベートアプリケーション、および他のアプリケーションへのインターネットアクセスが含まれ得る。セキュリティ上の理由から、インターネットアクセスは地域のブレークアウトポイントを介して提供される場合がある。データセンター150の1つ以上の構成要素において、グループAは、グループAのアクセスニーズに対応するプロバイダネットワーク内の最初の専用VRFを与えられ得る。モバイルデバイス160にプッシュされるように設計された、1つ以上のフィルタリングされたSD-WANポリシー220は、異なるアプリケーションにアクセスする方法を定義することができる。グループAのフィルタリングされたSD-WANポリシー220は、VPNメンバシップ-グループA、エンタープライズグレードの生産性アプリケーションスイートへのアクセス-セグメント1、プライベートアプリケーションへのアクセス-セグメント2、および他のアプリケーションへのインターネットアクセス-セグメント3を定義できる。
【0045】
別の例として、グループBは、プロバイダインフラストラクチャ内でホストされている異なるプライベートアプリケーションのセットへのアクセスと、他のアプリケーションへのインターネットアクセスとを要求する従業員のセットであってもよい。インターネットアクセスは、モバイルデバイス160から直接ローカルブレイクアウトを介して提供され得る。グループBは、モバイルデバイス160にプッシュダウンされた専用ポリシーを備えたプロバイダネットワーク内の、第2の専用VRFを与えられ得る。グループBのフィルタリングされたSD-WANポリシー220は、VPNメンバシップ-グループB、プライベートアプリケーションへのアクセス-セグメント4、および他のアプリケーションへのインターネットアクセス-ローカルブレイクアウトを定義できる。
【0046】
SD-WANポリシー210は、SD-WANコントローラ120(例えば、図1の管理コントローラ120)上で維持され、既存の属性によってSD-WANインフラストラクチャで定義されたすべての集約デバイス(例えば、ゲートウェイ154)にプッシュダウンされ得る。したがって、SD-WANポリシー210が作成され、管理コントローラ122からプッシュされた後、SD-WANポリシー210は、ゲートウェイ154で実行されているポリシー管理エージェントに存在し得る。ゲートウェイ154のポリシー管理エージェントは、SD-WANポリシー210を受信するOMPプロセスと、それに続くフィルタリングされたSD-WANポリシー220のプッシュとの間の相互作用を管理することができるが、これは、モバイルデバイス160がセッションを確立し、特定のグループアイデンティティに認証する結果であり得る。モバイルデバイス160とグループアイデンティティとの間の関連付けは、AAA認証の領域内で管理され得る。
【0047】
フィルタリングされたSD-WANポリシー220は、セグメントアイデンティティを割り当ておよび/または中継し、アプリケーションフローと事前定義されたセグメントとの間のリンクのためにラストマイルリンク全体で使用される、関連するSGTを割り当てるために使用される。セグメントは、VRFまたはマイクロセグメントを表し得る。例えば、SGTは単一のVRF内のマイクロセグメントを表し得る。モバイルデバイス160が接続され、認証され、かつフィルタリングされたSD-WANポリシー220を受信し適用すると、モバイルデバイス160は、アプリケーションフローを確立するプロセスを開始することができる。これらのフローは、L3/L4情報、完全修飾ドメイン名(FQDN)、または1つ以上のフィルタリングされたSD-WANポリシー220によって配布されるその他の属性によって特徴付けることができる。これらの特徴付けにより、モバイルデバイス160は、アプリケーションフローが適切なセグメントに確実に関連付けられるようにすることができる。
【0048】
何らかの変更が生じた(例えば、グループAによるアクセスのために新しいセグメントが追加された)場合、更新されたSD-WANポリシー210が1つ以上のSD-WANコントローラ120によって受信され、SD-WANエッジルータ152にアドバタイズされ得る。SD-WANエッジルータ152は、更新されたSD-WANポリシー210をゲートウェイ154(例えば、ポリシー管理エージェント)に転送することができる。ゲートウェイ154は、ゲートウェイ154上のグループAに属することが認証されたすべてのモバイルデバイス160に向けて、更新されフィルタリングされたSD-WANポリシー220をプッシュすることができる。フィルタリングされたSD-WANポリシー220は、完全に動的なモバイルデバイス/セッション管理動作環境を可能にするために、定期的なAAA再認証および/または再認可、モバイルデバイスメッセージング、モバイルデバイスおよび/またはセグメント分離などを含み得る。
【0049】
モバイルデバイス160のエージェントに向けたポリシー中継のために、プルおよびプッシュ方法を利用することができる。例えば、モバイルデバイス160のエージェントは、このエージェントがゲートウェイ154(例えば、IPsecおよび/またはSSL/TLSゲートウェイ)に接続するときに、最新のフィルタリングされたSD-WANポリシー220をプルできる。プル方式はハイパーテキスト転送プロトコル(HTTP)/表現可能な状態転送(REST、Representational State Transfer)を使用して、ゲートウェイ154から情報をプルすることができる。モバイルデバイス160が最新の情報で動作することを検証するために、プル方式は、長いポーリングを使用し、更新を継続的に読み取ることができる。このプル方式は、ネットワーク接続性ではなく、セキュリティポスチャおよび他のより高いレベルの機能のためにモバイルデバイス160上で実行されているエージェントによって使用され得る。プッシュ方式では、ゲートウェイ154のポリシー管理エージェントは、プッシュ伝達手段を排他的に使用して、フィルタリングされたSD-WANポリシー220をモバイルデバイス160のエージェントに配布する。
【0050】
図2は、SD-WANコントローラ120、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160の特定の配置を示しているが、本開示は、SD-WANコントローラ120、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160の任意の適切な配置を企図している。例えば、モバイルデバイス160は、情報(例えば、ユーザプロファイル情報)をゲートウェイ154に通信することができる。別の例として、システム100は、データセンター150のゲートウェイ154に情報を通信する、AAAサーバを含み得る。図2は、特定の数の、SD-WANコントローラ120、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160を示しているが、本開示は、任意の適切な数の、SD-WANコントローラ120、データセンター150、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160を企図している。例えば、システム200は、複数のSD-WANエッジルータ152および複数のモバイルデバイス160を含み得る。
【0051】
図2のシステム200は、SD-WANポリシー210およびフィルタリングされたSD-WANポリシー220を、SD-WANに関連付けられているものとして説明しているが、本開示は、任意の適切な技術プラットフォームに関連付けられたSD-WANポリシー210およびフィルタリングされたSD-WANポリシー220を企図している。例えば、SD-WANポリシー210およびフィルタリングされたSD-WANポリシー220は、仮想WAN、ハイブリッドWAN、人工知能(例えば、機械学習)プラットフォームなどに関連付けることができる。
【0052】
図3は、図1のシステム100によって使用され得る、例示的なコールフロー図300を示す。コールフロー図300は、管理コントローラ122、スマートコントローラ124、SD-WANエッジルータ152、ゲートウェイ154、およびモバイルデバイス160を含む。コールフロー図300の構成要素は、上記の図1でより詳細に説明されている。
【0053】
コールフロー図300のステップ310で、管理コントローラ122は、1つ以上のポリシー設定をスマートコントローラ124にプッシュする。ポリシー設定には、SD-WANポリシー(例えば、図2のSD-WANポリシー210が含まれる。ポリシー設定には、オーバーレイネットワーク全体にわたるトラフィックのルーティングに影響を与える制御ポリシーと、ネットワーク内のVPNセグメント全体のデータトラフィックフローに影響を与えるデータポリシーとが含まれ得る。制御ポリシーは、スマートコントローラ124のルートテーブルに格納される、かつ1つ以上のSD-WANルータ152にアドバタイズされる情報に影響を与えることによって、ネットワーク全体のトラフィックのルーティングに適用される。制御ポリシー設定は、スマートコントローラ124内に残る。制御ポリはSD-WANエッジルータ152にプッシュされない。データポリシーは、オーバーレイネットワーク内のVPN全体のデータトラフィックのフローに適用される。データポリシーは、アクセスを許可および/または制限する場合がある。アクセスポリシー、セグメンテーションベースのポリシー、フロー分類ポリシー、および/またはパス選択ポリシーなどの特定のSD-WANポリシーは、SD-WANエッジルータ152にプッシュされる。
【0054】
コールフロー図300のステップ320で、スマートコントローラ124は、SD-WANポリシーをアドバタイズする。例えば、スマートコントローラ124は、1つ以上のSD-WANポリシーを、SD-WANエッジルータ152へのOMPルーティング更新としてアドバタイズすることができる。SD-WANエッジルータ152は、SD-WANポリシーをゲートウェイ154(例えば、IPsecゲートウェイまたはSSLゲートウェイ)に転送する。コールフロー図300のステップ330で、ゲートウェイ154は、モバイルデバイス160とのセッションを確立する。セッションは、モバイルデバイス160とゲートウェイ154との間の一時的かつインタラクティブな情報交換である。セッションは特定の時点で確立され、特定の時点で終了する。ゲートウェイ154とモバイルデバイス160との間のセッションが確立された後、ゲートウェイ154は、モバイルデバイス160に関連付けられた情報(例えば、ユーザ名、プロファイル、認証、許可、および/またはモバイルデバイス160に関連付けられたアカウンティング情報)に基づいてSD-WANポリシーをフィルタリングして、フィルタリングされたSD-WANポリシー(例えば、図2のフィルタリングされたSD-WANポリシー220を生成する。
【0055】
コールフロー図300のステップ340で、ゲートウェイ154は、1つ以上のフィルタリングされたSD-WANポリシーをモバイルデバイス160にプッシュする。ゲートウェイ154は、モバイルデバイス160がセッションを確立し、グループ識別に認証することに応答して、1つ以上のフィルタリングされたSD-WANポリシーをモバイルデバイス160にプッシュすることができる。次に、モバイルデバイス160は、フィルタリングされたSD-WANポリシーを使用して、ネットワーク内のSD-WAN機能から利益を得ることができる。
【0056】
特定の実施形態では、管理コントローラ122は、1つ以上の更新されたSD-WANポリシーを、更新および/または受信する。コールフロー図300のステップ350で、管理コントローラ122は、更新されたSD-WANポリシーをスマートコントローラ124にプッシュし得る。コールフロー図300のステップ360で、スマートコントローラ124は、更新されたSD-WANポリシーをSD-WANエッジルータ152にアドバタイズする。例えば、スマートコントローラ124は、更新されたSD-WANポリシーを、SD-WANエッジルータ152へのOMPルーティング更新としてアドバタイズすることができる。SD-WANエッジルータ152は、SD-WANポリシーをゲートウェイ154(例えば、IPsecゲートウェイまたはSSLゲートウェイ)に転送する。コールフロー図300のステップ370で、ゲートウェイ154は、更新されたSD-WANポリシーをモバイルデバイス160にプッシュする。コールフロー図300のモバイルデバイス160とゲートウェイ154との間のセッションは、ステップ380で終了する。
【0057】
本開示は、図3のコールフロー図300の特定のステップを特定の順序で発生するものとして説明および図示するが、本開示は、図3のコールフロー図300の任意の適切なステップを任意の適切な順序で発生するものとして企図する。さらに、本開示は、図3の方法の特定のステップを含む、モバイルデバイスをサポートするSD-WANインフラストラクチャの例示的なコールフロー図300を説明および図示するが、本開示は、図3の方法の任意の適切なステップを含む、モバイルデバイスをサポートするインフラストラクチャの任意の適切なコールフロー図300を企図しており、この任意の適切なコールフロー図には、必要に応じて、図3の方法のすべてのステップもしくは一部のステップが含まれるか、またはまったくステップが含まれない場合がある。さらに、本開示は、図3の方法の特定のステップを実行する特定の構成要素、デバイス、またはシステムを説明および図示するが、本開示は、図3の方法の任意の適切なステップを実行する任意の適切な構成要素、デバイス、またはシステムの任意の適切な組み合わせを企図する。
【0058】
図4は、ネットワーク(例えば、図1のネットワーク110内でSD-WANポリシー(例えば、図2のSD-WANポリシー210)を配布するための、例示的な方法400を示す。図4の方法400は、ステップ405で始まる。ステップ410で、ルータ(例えば、図1のゲートウェイ154)は、SD-WANネットワークの構成要素(例えば、図1のSD-WANエッジルータ152)から、1つ以上のSD-WANポリシーを受信する。SD-WANポリシーは、1つ以上のSD-WANコントローラ(例えば、図1のSD-WANコントローラ120)によって作成、維持、および/または構成要素にプッシュされるデータポリシーであり得る。次に、方法400は、ステップ410からステップ415に移る。
【0059】
ステップ415で、ルータは、モバイルデバイス(例えば、図1のモバイルデバイス160)とのセッションを確立する。次に、方法400は、ステップ415からステップ420に移り、ここでルータは、モバイルデバイス160とのセッション確立に応答して、モバイルデバイスに関連付けられた情報を受信する。例えば、ルータは、モバイルデバイス160からのユーザプロファイル情報、モバイルデバイス160からのデバイスポスチャ情報、AAAサーバからのモバイルデバイス160に関連付けられた認証、認可、および/またはアカウンティング情報などを受信することができる。次に、方法400は、ステップ420からステップ425に移る。ステップ425で、ルータは、モバイルデバイスに関連付けられた情報に基づいてSD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシー(例えば、図2のフィルタリングされたSD-WANポリシー220)を生成する。次に、方法400は、ステップ425からステップ430に移り、ここでルータは、SD-WANデバイス固有ポリシーをモバイルデバイスに通信する。
【0060】
ステップ435で、方法400は、ルータがSD-WANネットワークの構成要素から更新されたSD-WANポリシーを受信したかどうかを判断する。例えば、SD-WANコントローラは、1つ以上のSD-WANポリシーを更新し、更新されたSD-WANポリシーをSD-WANエッジルータにプッシュする可能性がある。SD-WANエッジルータは、更新されたSD-WANポリシーをルータに転送する可能性がある。方法400が、ルータが更新されたSD-WANポリシーを受信していないと判断した場合、方法400は、ステップ435からステップ445に進む。方法400が、ルータが更新されたSD-WANポリシーを受信したと判断した場合、方法400は、ステップ435からステップ440に移り、ここでルータは、モバイルデバイスに関連付けられた情報に基づいて、更新されたSD-WANポリシーをフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成する。次に、方法400は、ステップ440からステップ445に移り、ここでルータは、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信する。次に、方法400は、ステップ445からステップ450に移る。
【0061】
ステップ450で、方法400は、ルータがモバイルデバイスに関連付けられた更新された情報を受信したかどうかを決定する。例えばルータは、モバイルデバイス160から更新されたユーザプロファイル情報を、AAAサーバから更新された認証、認可、および/またはアカウンティング情報などを受信する可能性がある。ルータがモバイルデバイスに関連付けられた更新された情報を受信しない場合、方法400は、ステップ450からステップ465に移り、そこで方法400は終了する。ルータがモバイルデバイスに関連付けられた更新された情報を受信する場合、方法400はステップ445からステップ455に移り、ここでルータは、SD-WANポリシー(またはステップ440からの更新されたSD-WANデバイス固有ポリシー)をフィルタリングして、更新されたSD-WANデバイス固有ポリシーを生成する。次に、方法400は、ステップ455からステップ460に移り、ここでルータは、更新されたSD-WANデバイス固有ポリシーをモバイルデバイスに通信する。方法400は、ステップ465で終了する。
【0062】
本開示は、図4の方法400の特定のステップを特定の順序で発生するものとして説明および図示するが、本開示は、図4の方法400の任意の適切なステップを任意の適切な順序で発生するものとして企図する。さらに、本開示は、図4の方法の特定のステップを含む、ネットワーク内のSD-WANポリシーの配布のための方法400を説明および図示するが、本開示は、ネットワーク内でSD-WANポリシーを配布するための任意の適切な方法400を企図しており、この任意の適切な方法には、必要に応じて、図4の方法のすべてのステップもしくは一部のステップが含まれるか、またはまったくステップが含まれない場合がある。さらに、本開示は、図4の方法の特定のステップを実行する特定の構成要素、デバイス、またはシステムを説明および図示するが、本開示は、図4の方法の任意の適切なステップを実行する任意の適切な構成要素、デバイス、またはシステムの任意の適切な組み合わせを企図する。
【0063】
図5は、モバイルデバイス(例えば、図2のモバイルデバイス160)によってSD-WANデバイス固有ポリシー(例えば、図2のSD-WANポリシー220)を受信するための、例示的な方法500を示す。方法500は、ステップ510で始まる。ステップ520で、モバイルデバイスは、SD-WANネットワーク(例えば、図1のネットワーク110のルータ(例えば、図1のゲートウェイ154)とのセッションを確立する。次に、方法500は、ステップ520からステップ530に移り、ここでモバイルデバイスは、モバイルデバイスに関連付けられた情報をSD-WANネットワークのルータに通信する。例えば、モバイルデバイスは、ユーザ名およびパスワードなどのユーザプロファイル情報をルータに通信することができる。方法500それらは、ステップ530からステップ540に移る。ステップ540で、モバイルデバイスは、SD-WANネットワークのルータから、SD-WANデバイス固有ポリシー(例えば、図2のフィルタリングされたSD-WANポリシー220)を受信する。ルータは、ステップ530でモバイルデバイスによって通信された情報を使用して、SD-WANデバイス固有ポリシーを生成することができる。次に、方法500は、ステップ540からステップ550に移る。
【0064】
ステップ550で、モバイルデバイスは、ステップ530でルータに通信された情報が更新されたかどうかを判断する。例えば、モバイルデバイスに関連付けられたユーザプロファイル情報またはデバイスポスチャ情報が更新される可能性がある。ステップ530でルータに通信された情報が更新されていないとモバイルデバイスが判断した場合、方法500は、ステップ550からステップ580に進み、ここで方法500は終了する。ステップ530でルータに通信された情報が更新されたとモバイルデバイスが判断した場合、方法500は、ステップ550からステップ560に移り、モバイルデバイスは更新された情報をSD-WANネットワークのルータに通信する。次に、方法500は、ステップ560からステップ570に移り、ここでモバイルデバイスは、SD-WANネットワークのルータから更新されたSD-WANデバイス固有ポリシーを受信する。ルータは、ステップ560でモバイルデバイスによって受信された更新された情報に基づいて、更新されたSD-WANデバイス固有ポリシーを生成することができる。次に、方法500は、ステップ570からステップ580に移り、ここで方法500は終了する。
【0065】
本開示は、図5の方法500の特定のステップを特定の順序で発生するものとして説明および図示するが、本開示は、図5の方法500の任意の適切なステップを任意の適切な順序で発生するものとして企図する。さらに、本開示は、図5の方法の特定のステップを含む、モバイルデバイスによるSD-WANデバイス固有ポリシーの受信のための方法500を説明および図示するが、本開示は、モバイルデバイスによってSD-WANデバイス固有ポリシーを受信するための任意の適切な方法500を企図しており、この任意の適切な方法には、必要に応じて、図5の方法のすべてのステップもしくは一部のステップが含まれるか、またはまったくステップが含まれない場合がある。さらに、本開示は、図5の方法の特定のステップを実行する特定の構成要素、デバイス、またはシステムを説明および図示するが、本開示は、図5の方法の任意の適切なステップを実行する任意の適切な構成要素、デバイス、またはシステムの任意の適切な組み合わせを企図する。
【0066】
図6は、例示的なコンピュータシステム600を示す。特定の実施形態では、1つ以上のコンピュータシステム600は、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施する。特定の実施形態では、1つ以上のコンピュータシステム600は、本明細書で説明または図示する機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム600上で実行されるソフトウェアは、本明細書で説明もしくは図示する1つ以上の方法の1つ以上のステップを実施するか、または本明細書で説明もしくは図示する機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム600の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、必要に応じて、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、必要に応じて、1つ以上のコンピュータシステムを包含し得る。
【0067】
本開示は、任意の適切な数のコンピュータシステム600を企図している。本開示は、任意の適切な物理形態をとるコンピュータシステム600を企図している。限定としてではなく例として、コンピュータシステム600は、組み込みコンピュータシステム、システムオンチップ(SOC)、シングルボードコンピュータシステム(SBC)(例えば、コンピュータオンモジュール(COM)またはシステムオンモジュール(SOM)など)、デスクトップコンピュータシステム、ラップトップまたはノートブックコンピュータシステム、インタラクティブキオスク、メインフレーム、コンピュータシステムのメッシュ、携帯電話、携帯情報端末(PDA)、サーバ、タブレットコンピュータシステム、拡張/仮想現実デバイス、またはこれらの2つ以上の組み合わせであり得る。必要に応じて、コンピュータシステム600は、1つ以上のコンピュータシステム600を含んでよく、一体型または分散型であってよく、複数の場所にまたがってよく、複数のマシンにまたがってよく、複数のデータセンターにまたがってよく、またはクラウドに常駐してよく、クラウドには1つ以上のネットワークに1つ以上のクラウド構成要素が含まれてもよい。必要に応じて、1つ以上のコンピュータシステム600は、実質的な空間的または時間的制限なしに、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。限定ではなく一例として、1つ以上のコンピュータシステム600は、リアルタイムまたはバッチモードで、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。1つ以上のコンピュータシステム600は、必要に応じて、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを、異なる時間または異なる場所で実施することができる。
【0068】
特定の実施形態では、コンピュータシステム600は、プロセッサ602、メモリ604、ストレージ606、入力/出力(I/O)インタフェース608、通信インタフェース610、およびバス612を含む。本開示は、特定の配置で特定の数の特定の構成要素を有する特定のコンピュータシステムを説明および図示するが、本開示は、任意の適切な配置で任意の適切な数の任意の適切な構成要素を有する任意の適切なコンピュータシステムを企図する。
【0069】
特定の実施形態では、プロセッサ602は、コンピュータプログラムを構成するものなどの、命令を実行するためのハードウェアを含む。限定ではなく一例として、命令を実行するために、プロセッサ602は、内部レジスタ、内部キャッシュ、メモリ604、またはストレージ606から命令を検索(retrieve)(またはフェッチ)し、それらをデコードして実行し、次に、1つ以上の結果を、内部レジスタ、内部キャッシュ、メモリ604、またはストレージ606に書き込み得る。特定の実施形態では、プロセッサ602は、データ、命令、またはアドレスのための1つ以上の内部キャッシュを含み得る。本開示は、必要に応じて、任意の適切な数の任意の適切な内部キャッシュを含むプロセッサ602を企図する。限定ではなく一例として、プロセッサ602は、1つ以上の命令キャッシュ、1つ以上のデータキャッシュ、および1つ以上のトランスレーションルックアサイドバッファ(TLB)を含み得る。命令キャッシュ内の命令は、メモリ604またはストレージ606内の命令のコピーであり得、命令キャッシュは、プロセッサ602によるそれらの命令の検索を高速化することができる。データキャッシュ内のデータは、プロセッサ602で実行される命令が動作するためのメモリ604またはストレージ606内のデータのコピーであり得、プロセッサ602で実行される後続の命令によるアクセスのため、またはメモリ604もしくはストレージ606への書き込みのためにプロセッサ602で実行された前の命令の結果であり得、または他の適切なデータであり得る。データキャッシュは、プロセッサ602による読み出しまたは書き込み操作を高速化することができる。TLBは、プロセッサ602の仮想アドレス変換を高速化することができる。特定の実施形態では、プロセッサ602は、データ、命令、またはアドレスのための1つ以上の内部レジスタを含み得る。本開示は、必要に応じて、任意の適切な数の任意の適切な内部レジスタを含むプロセッサ602を企図する。必要に応じて、プロセッサ602は、1つ以上の算術論理演算装置(ALU)を含み得、マルチコアプロセッサであり得、または1つ以上のプロセッサ602を含み得る。本開示は、特定のプロセッサを説明および図示するが、本開示は、任意の適切なプロセッサを企図している。
【0070】
特定の実施形態では、メモリ604は、プロセッサ602が実行するための命令またはプロセッサ602が動作するためのデータを格納するためのメインメモリを含む。限定ではなく一例として、コンピュータシステム600は、ストレージ606または別のソース(例えば、別のコンピュータシステム600など)からメモリ604に命令をロードすることができる。次に、プロセッサ602は、メモリ604から内部レジスタまたは内部キャッシュに命令をロードすることができる。命令を実行するために、プロセッサ602は、内部レジスタまたは内部キャッシュから命令を検索し、それらをデコードすることができる。命令の実行中または実行後に、プロセッサ602は、1つ以上の結果(中間結果または最終結果であり得る)を内部レジスタまたは内部キャッシュに書き込むことができる。次に、プロセッサ602は、それらの結果のうちの1つ以上をメモリ604に書き込むことができる。特定の実施形態では、プロセッサ602は、1つ以上の内部レジスタまたは内部キャッシュまたはメモリ604で(ストレージ606または他の場所とは対照的に)命令のみを実行し、かつ(ストレージ606または他の場所とは対照的に)1つ以上の内部レジスタまたは内部キャッシュまたはメモリ604内のデータに対してのみ動作する。(各々がアドレスバスおよびデータバスを含み得る)1つ以上のメモリバスは、プロセッサ602をメモリ604に結合することができる。バス612は、以下に説明するように、1つ以上のメモリバスを含み得る。特定の実施形態では、1つ以上のメモリ管理ユニット(MMU)がプロセッサ602とメモリ604との間に存在し、プロセッサ602によって要求されるメモリ604へのアクセスを容易にする。特定の実施形態では、メモリ604は、ランダムアクセスメモリ(RAM)を含む。このRAMは、必要に応じて、揮発性メモリであってよい。必要に応じて、このRAMは、ダイナミックRAM(DRAM)またはスタティックRAM(SRAM)であってよい。さらに、必要に応じて、このRAMは、シングルポートまたはマルチポートのRAMであり得る。本開示は、任意の適切なRAMを企図している。メモリ604は、必要に応じて、1つ以上のメモリ604を含み得る。本開示は、特定のメモリを説明および図示するが、本開示は、任意の適切なメモリを企図している。
【0071】
特定の実施形態では、ストレージ606は、データまたは命令のための大容量ストレージを含む。限定ではなく一例として、ストレージ606は、ハードディスクドライブ(HDD)、フロッピーディスクドライブ、フラッシュメモリ、光ディスク、光磁気ディスク、磁気テープ、またはユニバーサルシリアルバス(USB)ドライブ、またはこれらの2つ以上の組み合わせを含み得る。ストレージ606は、必要に応じて、取り外し可能または取り外し不可能な(または固定された)媒体を含み得る。ストレージ606は、必要に応じて、コンピュータシステム600の内部または外部にあり得る。特定の実施形態では、ストレージ606は、不揮発性のソリッドステートメモリである。特定の実施形態では、ストレージ606は、読み出し専用メモリ(ROM)を含む。必要に応じて、このROMは、マスクプログラムROM、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、電気的変更可能ROM(EAROM)、フラッシュメモリ、またはこれらの2つ以上の組み合わせであり得る。本開示は、任意の適切な物理形態をとる大容量記憶装置606を企図している。ストレージ606は、必要に応じて、プロセッサ602とストレージ606との間の通信を容易にする、1つ以上のストレージ制御ユニットを含むことができる。必要に応じて、ストレージ606は、1つ以上のストレージ606を含み得る。本開示は、特定のストレージを説明および図示するが、本開示は、任意の適切なストレージを企図している。
【0072】
特定の実施形態では、I/Oインタフェース608は、ハードウェア、ソフトウェア、またはその両方を含み、コンピュータシステム600と1つ以上のI/Oデバイスとの間の通信のための1つ以上のインタフェースを提供する。コンピュータシステム600は、必要に応じて、これらのI/Oデバイスのうちの1つ以上を含み得る。これらのI/Oデバイスのうちの1つ以上は、人とコンピュータシステム600との間の通信を可能にし得る。限定ではなく一例として、I/Oデバイスには、キーボード、キーパッド、マイク、モニター、マウス、プリンタ、スキャナ、スピーカー、スチルカメラ、スタイラス、タブレット、タッチスクリーン、トラックボール、ビデオカメラ、別の適切なI/Oデバイス、またはこれらの2つ以上の組み合わせが含まれ得る。I/Oデバイスは、1つ以上のセンサを含んでもよい。本開示は、任意の適切なI/Oデバイスおよびそれらに適した任意のI/Oインタフェース608を企図している。必要に応じて、I/Oインタフェース608は、プロセッサ602がこれらのI/Oデバイスの1つ以上を駆動することを可能にする1つ以上のデバイスまたはソフトウェアドライバを含み得る。I/Oインタフェース608は、必要に応じて、1つ以上のI/Oインタフェース608を含み得る。本開示は、特定のI/Oインタフェースを説明および図示するが、本開示は、任意の適切なI/Oインタフェースを企図している。
【0073】
特定の実施形態では、通信インタフェース610は、コンピュータシステム600と1つ以上の他のコンピュータシステム600もしくは1つ以上のネットワークとの間の通信(例えば、パケットベースの通信など)のための1つ以上のインタフェースを提供する、ハードウェア、ソフトウェア、またはその両方を含む。限定ではなく一例として、通信インタフェース610は、イーサネットもしくは他の有線ベースのネットワークと通信するためのネットワークインタフェースコントローラ(NIC)もしくはネットワークアダプタ、または無線NIC(WNIC)もしくはWI-FIネットワークなどのワイヤレスネットワークを含み得る。本開示は、任意の適切なネットワークおよびそれに適した任意の通信インタフェース610を企図している。限定ではなく一例として、コンピュータシステム600は、アドホックネットワーク、パーソナルエリアネットワーク(PAN)、LAN、WAN、MAN、もしくはインターネットの1つ以上の部分、またはこれらの2つ以上の組み合わせと通信することができる。これらのネットワークのうちの1つ以上の、1つ以上の部分は、有線または無線であり得る。一例として、コンピュータシステム600は、無線PAN(WPAN)(例えば、BLUETOOTH WPANなど)、WI-FIネットワーク、WI-MAXネットワーク、携帯電話ネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、または5Gネットワークなど)、もしくはその他の適切な無線ネットワーク、またはこれらの2つ以上の組み合わせと通信することができる。コンピュータシステム600は、必要に応じて、これらのネットワークのいずれかに適した通信インタフェース610を含み得る。通信インタフェース610は、必要に応じて、1つ以上の通信インタフェース610を含み得る。本開示は、特定の通信インタフェースを説明および図示するが、本開示は、任意の適切な通信インタフェースを企図している。
【0074】
特定の実施形態では、バス612は、コンピュータシステム600のハードウェア、ソフトウェア、またはその両方の互いに結合する構成要素を含む。限定ではなく一例として、バス612は、アクセラレイティッドグラフィックスポート(AGP)もしくは他のグラフィックバス、拡張産業標準アーキテクチャ(EISA)バス、フロントサイドバス(FSB)、ハイパートランスポート(HT)相互接続、業界標準アーキテクチャ(ISA)バス、インフィニバンド相互接続、低ピン数(LPC)バス、メモリバス、マクロチャネルアーキテクチャ(MCA)バス、周辺機器相互接続(Peripheral Component Interconnect、PCI)バス、PCI高速(PCIe)バス、サタ(Serial Advanced Technology Attachment、SATA)バス、ベサローカルバス(Video Electronics Standards Association local bus、VLB)、もしくは別の適切なバス、またはこれらの2つ以上の組み合わせを含み得る。バス612は、必要に応じて、1つ以上のバス612を含み得る。本開示は、特定のバスを説明および図示するが、本開示は、任意の適切なバスまたは相互接続を企図している。
【0075】
本明細書では、コンピュータ可読非一時的記憶媒体には、1つ以上の半導体ベースまたは他の集積回路(IC)(例えば、フィールドプログラマブルゲートアレイ(FPGA)もしくは特定用途向けIC(ASIC)など)、ハードディスクドライブ(HDD)、ハイブリッドハードドライブ(HHD)、光ディスク、光ディスクドライブ(ODD)、磁気光学ディスク、磁気光学ドライブ、フロッピーディスク、フロッピーディスクドライブ(FDD)、磁気テープ、ソリッドステートドライブ(SSD)、RAMドライブ、SECURE DIGITALカードもしくはドライブ、その他の任意の適切なコンピュータ可読非一時的記憶媒体、または必要に応じてこれらの2つ以上の適切な組み合わせが含まれ得る。コンピュータ可読非一時的記憶媒体は、必要に応じて、揮発性、不揮発性、または揮発性と不揮発性の組み合わせであり得る。
【0076】
要約すると、一実施形態では、ルータは、1つ以上のプロセッサと、1つ以上のプロセッサに結合された1つ以上のコンピュータ可読非一時的記憶媒体とを含む。1つ以上のコンピュータ可読非一時的記憶媒体は、1つ以上のプロセッサによって実行されたときに、ルータに、ワイドエリアネットワークにおけるソフトウェア定義型ネットワーキング(SD-WAN)ポリシーを、SD-WANネットワークの構成要素から受信させるための命令を含む。動作にはまた、モバイルデバイスとのセッションを確立することに応答して、モバイルデバイスとのセッションを確立すること、およびモバイルデバイスに関連付けられた情報を受信することも含まれる。動作は、モバイルデバイスに関連付けられた情報に基づいて、SD-WANポリシーをフィルタリングして、SD-WANデバイス固有ポリシーを生成することと、SD-WANデバイス固有ポリシーをモバイルデバイスに通信することと、をさらに含む。
【0077】
本明細書において、「または」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、包括的であり、排他的ではない。したがって、本明細書において、「AまたはB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「A、B、またはその両方」を意味する。さらに、「および」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、連帯および個別の両方である。したがって、本明細書において、「AおよびB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「連帯的または個別的に、AおよびB」を意味する。
【0078】
本開示の範囲は、当業者が理解するであろう、本明細書に説明または図示された例示的な実施形態に対するすべての変更、置換、変形、変更、および修正を包含する。本開示の範囲は、本明細書に記載または図示された例示的な実施形態に限定されない。さらに、本開示は、本明細書のそれぞれの実施形態が特定の構成要素、要素、特徴、機能、動作、またはステップを含むものとして説明および図示するが、これらの実施形態のいずれも、当業者であれば理解するであろう、本明細書のどこかで説明または図示する構成要素、要素、特徴、機能、動作、またはステップのいずれかの任意の組み合わせまたは置換を含むことができる。さらに、特定の機能を実施するように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する装置またはシステムまたはシステムの構成要素もしくは装置に対する特許請求の範囲における言及は、その装置、システム、または構成要素がそのように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する限り、その特定の機能が起動する、作動する、または解除されているかどうかにかかわらず、その装置、システム、構成要素を包含する。加えて、本開示は、特定の利点を提供するものとして特定の実施形態を説明または例示するが、特定の実施形態は、これらの利点のいずれも提供しないこと、一部またはすべてを提供すること、ができる。
【0079】
本明細書に開示される実施形態は単なる例であり、本開示の範囲はそれらに限定されない。特定の実施形態は、本明細書に開示される実施形態の構成要素、要素、特徴、機能、動作、またはステップのすべて、一部を含む、またはいずれも含まない場合がある。本実施形態による実施形態は、特に、方法、記憶媒体、システム、およびコンピュータプログラム製品に向けた添付の特許請求の範囲に開示されており、ある請求項カテゴリ、例えば方法で言及される任意の特徴は、別の請求項カテゴリ、例えばシステム、でも特許請求することができる。添付の特許請求の範囲に戻る従属性または参照は、正式な理由でのみ選択されている。ただし、任意の先行する特許請求の範囲(特に複数の従属性)への意図的な参照から生じる任意の主題も同様に特許請求することができるため、特許請求の範囲およびその特徴の任意の組み合わせが開示され、添付の特許請求の範囲で選択される従属性に関係なく特許請求することができる。特許請求可能な主題は、添付の特許請求の範囲に記載された特徴の組み合わせのみならず、特許請求の範囲内の任意の他の特徴の組み合わせも含み、特許請求の範囲で言及される各特徴は、特許請求の範囲における任意の他の特徴または他の特徴の組み合わせと組み合わせることができる。さらに、本明細書に記載または図示される実施形態および特徴のいずれも、別個の特許請求の範囲で、および/または本明細書に説明または描かれる任意の実施形態もしくは特徴、または添付の特許請求の範囲のいずれかの特徴との任意の組み合わせで特許請求することができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
