(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-29
(45)【発行日】2024-06-06
(54)【発明の名称】ドメイン間トラフィックのグループベースのポリシー
(51)【国際特許分類】
H04L 45/42 20220101AFI20240530BHJP
H04L 45/76 20220101ALI20240530BHJP
H04L 47/24 20220101ALI20240530BHJP
【FI】
H04L45/42
H04L45/76
H04L47/24
【請求項の数】
31
(21)【出願番号】P 2022524224
(86)(22)【出願日】2020-11-13
(65)【公表番号】
(43)【公表日】2023-01-25
(86)【国際出願番号】 US2020060332
(87)【国際公開番号】W WO2021108143
(87)【国際公開日】2021-06-03
【審査請求日】2022-06-21
(31)【優先権主張番号】16/697,016
(32)【優先日】2019-11-26
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】508041127
【氏名又は名称】シスコ テクノロジー,インコーポレイテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100140431
【弁理士】
【氏名又は名称】大石 幸雄
(72)【発明者】
【氏名】グプタ,アヌバヴ
(72)【発明者】
【氏名】フェルナンド,レックス
(72)【発明者】
【氏名】フーダ,サンジェイ クマール
(72)【発明者】
【氏名】アッパラ,シャム サンダー
(72)【発明者】
【氏名】トリア,サミール
【審査官】速水 雄太
(56)【参考文献】
【文献】特開2019-080086(JP,A)
【文献】国際公開第2014/188530(WO,A1)
【文献】米国特許出願公開第2015/0195137(US,A1)
【文献】米国特許出願公開第2006/0106750(US,A1)
【文献】米国特許出願公開第2019/0268973(US,A1)
【文献】米国特許出願公開第2018/0367302(US,A1)
【文献】米国特許出願公開第2017/0026417(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
41/00-101/695
(57)【特許請求の範囲】
【請求項1】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、を含み、
前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
方法。
【請求項2】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、を含み、
前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、方法。
【請求項3】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置による、方法であって、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、
前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、を含む、
方法。
【請求項4】
前記第1のネットワーク装置が、前記ネットワークに接続されたワイドエリアネットワーク(WAN)-エッジルータであり、前記ネットワークが、複数のサイトを含むソフトウェア定義(SD)-WANである、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられている、請求項2または3に記載の方法。
【請求項6】
前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、請求項5に記載の方法。
【請求項7】
前記1つ以上のポリシーが、アドミッション制御、ルーティングパス選択、セキュリティポリシー、またはサービス品質(QoS)ポリシーのうちの少なくとも1つを含む、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記1つ以上のポリシーが、トラフィックポリシングを含み、所定の最大データレートが施行される、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記第2のグループの前記識別子が、前記第1のネットワーク装置において利用できないと判定することをさらに含む、請求項1~8のいずれか一項に記載の方法。
【請求項10】
前記第2のグループの前記識別子が利用できないと判定することが、前記第1のネットワーク装置においてローカルデータベースを検索することを含む、請求項9に記載の方法。
【請求項11】
前記要求が、OMP(OverlayManagement Protocol)を介して送信された制御メッセージである、請求項1~10のいずれか一項に記載の方法。
【請求項12】
前記要求が、ウェブソケットを介して送信された制御メッセージである、請求項1~10のいずれか一項に記載の方法。
【請求項13】
前記第2のネットワーク装置が、WANファブリック制御プレーンであり、前記第2のネットワーク装置が、前記ネットワーク内のホストと関連付けられたグループ識別子を維持する、請求項1~12のいずれか一項に記載の方法。
【請求項14】
前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータである、請求項1、3~12のいずれか一項に記載の方法。
【請求項15】
前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、請求項14に記載の方法。
【請求項16】
前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、をさらに含む、請求項1、2、4~15のいずれか一項に記載の方法。
【請求項17】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、1つ以上のプロセッサと、
前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、をさせるように動作可能であり、
前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
第1のネットワーク装置。
【請求項18】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、
1つ以上のプロセッサと、
前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、をさせるように動作可能であり、
前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
第1のネットワーク装置。
【請求項19】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、
1つ以上のプロセッサと、
前記プロセッサのうちの1つ以上に結合され、かつ命令を含む1つ以上のコンピュータ可読非一時的記憶媒体と、を備え、前記命令が、前記プロセッサのうちの1つ以上によって実行されたときに、システムに、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、
前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、を含む、をさせるように動作可能である、
第1のネットワーク装置。
【請求項20】
前記第1のネットワーク装置が、前記ネットワークに接続されたWAN-エッジルータであり、前記ネットワークが、複数のサイトを含むSD-WANである、請求項17~19のいずれか一項に記載の第1のネットワーク装置。
【請求項21】
前記1つ以上のポリシーが、アドミッション制御、ルーティングパス選択、セキュリティポリシー、またはサービス品質(QoS)ポリシーのうちの少なくとも1つを含む、請求項17~20のいずれか一項に記載の第1のネットワーク装置。
【請求項22】
前記プロセッサのうちの1つ以上が、前記命令を実行するときにさらに動作可能であり、前記命令が、前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、である、請求項17、18、20~21のいずれか一項に記載の第1のネットワーク装置。
【請求項23】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、が実行されたときに動作可能であり、
前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項24】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、が実行されたときに動作可能であり、
前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項25】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置上で動作可能なソフトウェアを具体化する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアが、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信することであって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定されることと、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信することであって、前記要求が、前記第2のホストのアドレスを含むことと、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信することと、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定することと、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用することと、
前記データパケットが前記第2のホストにルーティングされるようにすることと、
前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信することと、
前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別することと、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定することと、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新することと、が実行されたときに動作可能である、
1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項26】
前記第1のネットワーク装置が、前記ネットワークに接続されたWAN-エッジルータであり、前記ネットワークが、複数のサイトを含むSD-WANである、請求項23~25のいずれか一項に記載の媒体。
【請求項27】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
前記データパケットが前記第2のホストにルーティングされるようにする手段と、であり、
前記データパケットが、ソースグループとして前記第1のグループの前記識別子を含み、前記1つ以上のポリシーが、前記ソースグループと関連付けられ、
前記第1のホストに接続されたスイッチが、前記第1のグループの前記識別子を前記データパケットに追加し、前記第1のホストに接続された前記スイッチが、前記第1のホストの認証プロセス中に前記第1のグループの前記識別子を学習する、
第1のネットワーク装置。
【請求項28】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
前記データパケットが前記第2のホストにルーティングされるようにする手段と、であり、
前記第2のネットワーク装置が、前記第2のサイトで動作するように構成されたWAN-エッジルータであり、
前記第2のネットワーク装置が、前記第2のサイトと関連付けられたローカルファブリック制御プレーンと通信することによって、前記第2のグループの前記識別子を判定する、
第1のネットワーク装置。
【請求項29】
ネットワークの第1のサイトで動作するように構成された第1のネットワーク装置であって、前記動作が、
前記第1のサイトに位置する第1のホストから、第2のサイトに位置する第2のホストに向けたデータパケットを受信する手段であって、前記第1のサイトと前記第2のサイトとが異なり、前記データパケットが前記第1のホストが属する第1のグループの識別子を含み、前記第1のグループの前記識別子は、前記第1のホストの認証プロセスに基づいて決定される、受信する手段と、
第2のネットワーク装置に、前記第2のホストが属する第2のグループの識別子の要求を送信する手段であって、前記要求が、前記第2のホストのアドレスを含む、送信する手段と、
前記第2のグループの前記識別子の要求を送信することに応答して、前記第2のネットワーク装置から、前記第2のグループの前記識別子を含む応答を受信する手段と、
前記受信した識別子に基づいて、前記第2のグループが宛先グループであると判定する手段と、
前記データパケットに、前記宛先グループと関連付けられた1つ以上のポリシーを適用する手段と、
前記データパケットが前記第2のホストにルーティングされるようにする手段と、
前記第2のホストから、前記第1のホストに向けた第2のデータパケットを受信する手段と、
前記第2のデータパケットのソースグループ識別子フィールドに基づいて、ソースグループ識別子を識別する手段と、
前記ソースグループ識別子がレコード内の前記第2のグループの前記識別子と同一ではないと判定する手段と、
前記判定に応答して、前記レコード内の前記第2のグループの前記識別子を前記ソースグループ識別子で更新する手段とである、
第1のネットワーク装置。
【請求項30】
請求項4~16のいずれか一項に記載の方法を実装するための手段をさらに備える、請求項27~29のいずれか一項に記載の第1のネットワーク装置。
【請求項31】
コンピュータによって実行されたときに、前記コンピュータに、請求項1~16のいずれか一項に記載の方法のステップを実行させるための命令を含む、コンピュータプログラム、またはコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概して、データ通信の分野に関し、より具体的には、ドメイン間トラフィックのグループに基づくポリシーの構築に関する。
【背景技術】
【0002】
エンタープライズソフトウェア定義(SD)-ワイドエリアネットワーク(WAN)(SD-WAN)ファブリックは、ポイントツーポイント暗号化オーバーレイトンネル(例えば、IPsec)を利用する複数の仮想プライベートネットワーク(VPN)を備えるエッジルータで構成されている。これらのトンネルは、様々な接続方法(例えば、専用のMPLSリンク、ブロードバンドインターネット、またはセルラーネットワーク)を利用して、1つ以上のアンダーレイネットワークを通過する。SD-WAN内のエッジルータおよび中間ルータは、データパケットがソースから宛先にルーティングされるときに、SD-WANポリシーをデータパケットに適用する場合がある。SD-WANポリシーは、ソースノードが属するソースグループおよび/または宛先ノードが属する宛先グループに基づいて決定され得る。
【図面の簡単な説明】
【0003】
【図1】SD-WANのアーキテクチャの一例を示す。
【図2】ホストの認証手順の一例を示す。
【図3】宛先エッジルータから宛先グループをフェッチするための例示的なフローを示す。
【図4】SD-WANファブリック制御プレーンから宛先グループをフェッチするための例示的なフローを示す。
【図5】データパケットのポリシーの例示的な決定を示す。
【図6】SD-WANエッジルータにおいて宛先グループアイデンティティに基づいてポリシーを施行する例示的な方法を示す。
【図7】例示的なコンピュータシステムを示す。
【発明を実施するための形態】
【0004】
例示的な実施形態の説明
概要
本発明の態様は、独立請求項で提示され、好ましい特徴は、従属請求項で提示される。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
概要
本発明の態様は、独立請求項で提示され、好ましい特徴は、従属請求項で提示される。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
【0005】
特定の実施形態では、ネットワークの第1のサイトで動作するように構成された第1のネットワークノードは、第1のサイトに位置する第1のホストからデータパケットを受信し得る。データパケットは、第1のサイトとは異なり得る第2のサイトに位置する第2のホストに向けられ得る。第1のネットワークノードは、第2のホストが属する第2のグループのアイデンティティが第1のネットワークノードにおいて利用できないと判定し得る。第1のネットワークノードは、判定に応答して、第2のグループの識別子の要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。第1のネットワークノードは、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。第1のネットワークノードは、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。第1のネットワークノードは、宛先グループと関連付けられた1つ以上のポリシーをデータパケットに適用し得る。第1のネットワークノードは、データパケットが第2のホストにルーティングされるようにし得る。
【0006】
例示的な実施形態
図1は、SD-WANのアーキテクチャの一例を示している。特定の実施形態では、ネットワーク100は、1つ以上のアンダーレイネットワーク130を介して複数のサイト間でトラフィックを運ぶトンネルに基づく仮想オーバーレイネットワークである、ソフトウェア定義(SD)-ワイドエリアネットワーク(WAN)であり得る。図1に示す例は、第1のサイト110および第2のサイト120の、2つのサイトを示している。各サイトは、1つ以上のWAN-エッジルータを介してネットワーク100に接続し得る。例えば、第1のサイト110は、エッジルータ101を介してネットワーク100に接続し、第2のサイト120は、エッジルータ102を介してネットワーク100に接続する。ネットワーク100に接続されたサイトは、インターネットプロトコルセキュリティ(IPSec)トンネルを介して他のサイトの各々へのデータプレーン接続を有し得る。エッジルータ101および102は、アンダーレイネットワーク130を介してデータプレーン接続を有し得る。アンダーレイネットワーク130は、マルチプロトコルラベルスイッチング(MPLS)、インターネット、およびセルラーネットワークを含み得る。SD-WAN制御プレーンは、集中ルーティングテーブルおよびデータプレーンの転送動作をプログラムするためのルーティングポリシーを維持し得る、コントローラ105を備え得る。コントローラ105は、各エッジルータへの直接制御プレーン接続を維持し得る。コントローラ105は、オーバーレイネットワーク全体をプロビジョニング、維持、および保護し得る。SD-WANネットワーク100はまた、管理/オーケストレーションプレーン107を含み得る。本開示は、特定の様式におけるSD-WANネットワークを説明しているが、本開示は、任意の好適な様式におけるSD-WANネットワークを企図している。
図1は、SD-WANのアーキテクチャの一例を示している。特定の実施形態では、ネットワーク100は、1つ以上のアンダーレイネットワーク130を介して複数のサイト間でトラフィックを運ぶトンネルに基づく仮想オーバーレイネットワークである、ソフトウェア定義(SD)-ワイドエリアネットワーク(WAN)であり得る。図1に示す例は、第1のサイト110および第2のサイト120の、2つのサイトを示している。各サイトは、1つ以上のWAN-エッジルータを介してネットワーク100に接続し得る。例えば、第1のサイト110は、エッジルータ101を介してネットワーク100に接続し、第2のサイト120は、エッジルータ102を介してネットワーク100に接続する。ネットワーク100に接続されたサイトは、インターネットプロトコルセキュリティ(IPSec)トンネルを介して他のサイトの各々へのデータプレーン接続を有し得る。エッジルータ101および102は、アンダーレイネットワーク130を介してデータプレーン接続を有し得る。アンダーレイネットワーク130は、マルチプロトコルラベルスイッチング(MPLS)、インターネット、およびセルラーネットワークを含み得る。SD-WAN制御プレーンは、集中ルーティングテーブルおよびデータプレーンの転送動作をプログラムするためのルーティングポリシーを維持し得る、コントローラ105を備え得る。コントローラ105は、各エッジルータへの直接制御プレーン接続を維持し得る。コントローラ105は、オーバーレイネットワーク全体をプロビジョニング、維持、および保護し得る。SD-WANネットワーク100はまた、管理/オーケストレーションプレーン107を含み得る。本開示は、特定の様式におけるSD-WANネットワークを説明しているが、本開示は、任意の好適な様式におけるSD-WANネットワークを企図している。
【0007】
特定の実施形態では、第1のサイトは、第1のホストを含み得る。第1のホストは第1のグループに属し得る。第1のホストが接続されているスイッチは、第1のグループの識別子を学習し得る。スイッチは、第1のホストから発信されたデータパケットに、ソースグループとして第1のグループの識別子を追加し得る。特定の実施形態では、スイッチは、1つ以上の動的メカニズムのうちの1つを使用して、第1のグループの識別子を学習し得る。特定の実施形態では、第1のホストは、認証手順を実行し得る。スイッチは、第1のホストの認証手順中に第1のグループの識別子を学習し得る。
【0008】
図2は、ホストの認証手順の一例を示している。限定としてではなく、一例として、図2に示すように、第1のホスト111が、ステップ200で起動され得る。スイッチ203は、第1のホスト111を検出し得、「無許可」状態で第1のホスト111に接続されたポートを有効にし得る。「無許可」状態では、802.1Xトラフィックのみが許可され、一方、他のトラフィックはドロップされ得る。ステップ210で、スイッチ203は、ローカルネットワークセグメント上の特別なレイヤ2アドレス(01:80:C2:00:00:03)に拡張認証プロトコル(EAP)-Request Identityフレームを定期的に送信することによって、認証を開始し得る。第1のホスト111は、このアドレスをリッスンし得る。EAP-Request Identityフレームを受信すると、第1のホスト111は、ステップ215で、ユーザIDなどの第1のホスト111の識別子を含むEAP-Response Identityフレームで応答し得る。ステップ220で、スイッチ203は、第1のホスト111から受信したIdentity応答をRADIUS Access-Requestパケットにカプセル化し、RADIUS Access-Requestパケットを認証サーバ205に転送し得る。ステップ225で、認証サーバ205は、応答(RADIUS Access-Challengeパケットにカプセル化されている)をスイッチ203に送信し得る。ステップ230で、スイッチ203は、EAP RequestをEAP Over LAN(EAPOL)フレームにカプセル化し、EAPOLフレームを第1のホスト111に送信し得る。ステップ235で、第1のホスト111は、EAP responseをスイッチに送信し得る。ステップ240で、スイッチは、受信したEAP ResponseをRADIUS Access-Requestパケットにカプセル化し、RADIUS Access-Requestパケットを認証サーバ205に転送し得る。ステップ245で、認証サーバは、(RADIUS Access-Acceptパケットにカプセル化された)EAP-Successメッセージのいずれかで応答し得る。EAP-Successメッセージは、第1のホストが属する第1のグループの識別子を含み得る。スイッチ203は、EAP-Successメッセージから第1のグループの識別子を学習し得る。スイッチ203は、ステップ250で、EAP-Successメッセージを第1のホスト111に転送し得る。EAP-Successを受信すると、スイッチ203は、ポートを「許可された」状態に設定し得、通常のトラフィックを許可し得る。スイッチ203は、第1のホスト111から発信されたデータパケットに第1のグループの識別子を追加し得る。特定の実施形態では、スイッチ203は、1つ以上の静的メカニズムのうちの1つを使用して、第1のグループの識別子を学習し得る。特定の実施形態では、スイッチ203は、IPアドレスとそれらの対応するグループとの間のマッピングテーブルを維持し得る。スイッチ203は、第1のホスト111と関連付けられたIPアドレスに基づいて、第1のグループの識別子を学習し得る。本開示は、第1のホストが属するグループの識別子を特定の様式で学習することを説明しているが、本開示は、第1のホストが属するグループの識別子を任意の好適な様式で学習することを企図している。
【0009】
特定の実施形態では、第1のネットワークノード101は、第1のサイト110に位置する第1のホスト111からデータパケットを受信し得る。データパケットは、第2のサイト120に位置する第2のホスト121に向けられ得る。第1のサイト110は、第2のサイト120から離れていてもよい。第1のサイト110および第2のサイト120は、SD-WANネットワーク100を介して接続され得る。第1のホスト111に接続されたスイッチ203は、ソースグループとして第1のグループの識別子をデータパケットに追加し得、したがって、データパケットは、第1のグループの識別子を含み得る。第1のネットワークノード101は、第1のホスト111のIPアドレスおよびデータパケット内の第1のグループの識別子のマッピングにより、ローカルデータベースを更新し得る。限定としてではなく、一例として、第1のサイト110に位置する第1のホスト111は、企業内のHRグループに属し得る。HRグループのグループ識別子は1000であり得る。第1のホスト111は、第2のサイト120に位置する第2のホスト121にデータパケットを送信し得る。第2のホスト121は、企業内のエンジニアリンググループに属し得る。エンジニアリンググループのグループ識別子は2000であり得る。第1のホスト111に接続されたスイッチ203は、グループ識別子1000をデータパケットに追加し得る。データパケットは、第1のサイト110をSD-WANネットワーク100に接続するソースエッジルータ101に到着し得る。ソースエッジルータ101は、第1のホスト111のIPアドレスおよびHRグループのグループ識別子1000のマッピングにより、ローカルデータベースを更新し得る。本開示は、特定の様式でソースグループ識別子を含むデータパケットを受信することを説明しているが、本開示は、任意の好適な様式でソースグループ識別子を含むデータパケットを受信することを企図している。
【0010】
特定の実施形態では、第1のネットワークノード101は、第2のグループのアイデンティティが第1のネットワークノード101において利用できないと判定し得、ここで、第2のグループは、第2のホスト121が属するグループである。特定の実施形態では、第1のネットワークノード101は、第1のネットワークノード101においてローカルデータベースを検索することによって、第2のグループのアイデンティティが第1のネットワークノード101で利用可能であるかどうかを判定し得る。限定としてではなく、一例として、前述の例を続けると、ソースエッジルータ101は、第1のホスト111から第2のホスト121へのデータパケットを受信すると、第2のグループの識別子を判定しようと試み得る。ソースエッジルータ101は、第2のグループの識別子を識別するために、第2のホスト121のIPアドレスを検索し得る。ソースエッジルータ101は、第2のホストのIPアドレスのレコードがローカルデータベースに存在しない場合、第2のグループの識別子が利用できないと判定し得る。本開示は、データパケットの宛先グループの識別子がソースエッジルータにおいて利用できないことを、特定の様式で判定することを説明しているが、本開示は、データパケットの宛先グループの識別子がソースエッジルータにおいて利用できないことを、任意の好適な様式で判定することを企図している。
【0011】
特定の実施形態では、第1のネットワークノード101は、判定に応答して、第2のグループの識別子についての要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。本開示は、宛先グループの識別子についての要求を特定の様式で送信することを説明しているが、本開示は、宛先グループの識別子についての要求を任意の好適な様式で送信することを企図している。
【0012】
図3は、宛先エッジルータから宛先グループをフェッチするための例示的なフローを示している。図3に示す例では、第1のホスト111は、データパケットを第2のホスト121に送信し得る。第1のホスト111は、第1のサイト110に位置し得る。第2のホスト121は、第2のサイト120に位置し得る。第1のホスト111は、企業内のHRグループに属し得る。HRグループのグループ識別子は1000であり得る。第2のホスト121は、企業内のエンジニアリンググループに属し得る。エンジニアリンググループのグループ識別子は2000であり得る。ステップ310で、データパケットは、第1のホスト111に接続されているスイッチ203に転送され得る。スイッチ203は、HRグループの識別子1000をデータパケットに追加し得る。スイッチ203は、第1のホスト111の認証手順中にHRグループの識別子を学習した可能性がある。ステップ320で、スイッチ203は、データパケットを、第1のサイト110をSD-WANネットワーク100に接続しているソースエッジルータ101に転送し得る。データパケットは、HRグループの識別子1000を含み得る。
【0013】
特定の実施形態では、第2のネットワークノードは、第2のサイト120で動作するように構成されたWAN-エッジルータ102であり得る。第2のネットワークノードは、第2のサイト120と関連付けられたローカルファブリック制御プレーン307と通信することによって、第2のグループの識別子を判定し得る。ソースエッジルータ101は、第2のエッジルータ102から第2のグループの識別子を含む応答を受信し得る。ソースエッジルータ101は、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。限定としてではなく、一例として、図3に示す前述の例を続けると、ソースエッジルータ101は、制御メッセージを宛先側WAN-エッジルータ102に送信し得る。制御メッセージは、ステップ330において、データパケットの宛先IPアドレスを含み得る。宛先エッジルータ102は、そのローカルデータベースを検索して、第2のホスト121が属する宛先グループのアイデンティティを見つけ得る。宛先グループがローカルデータベースにおいて利用できない場合、宛先エッジルータ102は、ステップ340で、ローカルファブリック制御プレーンコントローラ307に問い合わせ得る。ローカルファブリック制御プレーンコントローラ307は、第2のサイト120に位置する認証サーバ305から、エンジニアリンググループの宛先グループ識別子2000を学習した可能性がある。ステップ350で、ローカルファブリック制御プレーンコントローラ207は、宛先エッジルータ102に応答を送信し得る。ステップ360で、宛先エッジルータは、制御メッセージをソースエッジルータ101に送信し得、ここで、制御メッセージは、エンジニアリンググループの識別子2000を含み得る。制御メッセージを受信すると、ソースエッジルータ101は、エンジニアリンググループが宛先グループであると判定し得る。ソースエッジルータ101は、ソースグループアイデンティティおよび宛先グループアイデンティティの両方を知っているため、ソースエッジルータ101は、1つ以上の適切なポリシーをデータパケットに適用し得る。ソースエッジルータ101は、アンダーレイネットワーク130を介してデータパケットを宛先エッジルータ102に転送し得る。宛先エッジルータ102は、ステップ380で、第2のホスト121に接続されたスイッチ303にデータパケットを転送し得る。スイッチ303は、ステップ390で、データパケットを第2のホスト121に転送し得る。本開示は、宛先エッジルータから宛先グループ識別子を特定の様式でフェッチすることを説明しているが、本開示は、宛先エッジルータから宛先グループ識別子を任意の好適な様式でフェッチすることを企図している。
【0014】
特定の実施形態では、ステップ330で送信される要求およびステップ360で送信される応答は、秩序ある管理プロトコル(OMP)を介して送信される制御メッセージであり得る。OMPは、オーバーレイネットワークの心臓部を形成する新しく導入されたプロトコルである。OMPは、エッジルータと制御プレーンコントローラとの間に形成された、トランスポート層セキュリティ(TLS)トンネルまたはデータグラムトランスポート層セキュリティ(DTLS)トンネル内で実行されるプロトコルである。OMPは、オーバーレイネットワーク内のコントローラとエッジルータとの間で、ルーティング、ポリシー、および管理情報を交換するために使用される制御プロトコルである。本開示は、制御メッセージを特定の様式で送信することを説明しているが、本開示は、制御メッセージを任意の好適切な様式で送信することを企図している。
【0015】
特定の実施形態では、ステップ330で送信される要求およびステップ360で送信される応答は、ウェブソケットを介して送信される制御メッセージであり得る。ウェブソケットは通信プロトコルであり、単一のTCP接続を介して全二重通信チャネルを提供する。ウェブソケットは、TCP上でメッセージのストリームを有効にする。TCP単独で、メッセージの固有の概念を有さないバイトのストリームを処理する。本開示は、制御メッセージを特定の様式で送信することを説明しているが、本開示は、制御メッセージを任意の好適な様式で送信することを企図している。
【0016】
特定の実施形態では、第2のネットワークノードは、SD-WANファブリック制御プレーンコントローラ105であり得る。第2のネットワークノードは、ネットワーク内のホストと関連付けられたグループ識別子を維持し得る。第1のネットワークノード101は、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。図4は、SD-WANファブリック制御プレーンから宛先グループをフェッチするための例示的なフローを示している。限定としてではなく、一例として、図4に示すように、SD-WANファブリック制御プレーン内のコントローラ105は、第1のホスト111が認証手順を実行するとき、第1のホスト111と関連付けられた第1のグループの識別子と関連付けられた情報を、第1のサイト110の認証サーバ205から受信し得る。コントローラ105は、第2のホスト121が認証手順を実行するとき、第2のホスト121と関連付けられた第2のグループの識別子と関連付けられた情報を、第2のサイト120の認証サーバ305から受信し得る。第1のホスト111がデータパケットを第2のホスト121に送信するとき、データパケットは、ステップ410において、第1のホスト111に接続されたスイッチ203に転送され得る。スイッチ203は、ソースグループとして第1のグループの識別子をデータパケットに追加し、ステップ420で、データパケットをソースエッジルータ101に転送し得る。ソースエッジルータ101は、ローカルデータベース内の第2のホスト121、宛先ホストのIPアドレスを検索することによって、宛先グループの識別子を判定しようと試み得る。ソースエッジルータ101が第2のホスト121のIPアドレスのレコードを見つけることができない場合、ソースエッジルータ101は、ステップ430で、SD-WANファブリック制御プレーン内のコントローラ105に要求を送信し得る。要求は、宛先ホスト、すなわち第2のホスト121のIPアドレスを含み得る。コントローラ105は、それ自体のデータベースから第2のグループの識別子を見つけ得る。コントローラ105は、ステップ440で、第2のグループの識別子をソースエッジルータ101に応答し得る。ステップ430およびステップ440での要求および応答は、制御プレーンメッセージであり得る。ソースエッジルータ101は、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。ソースエッジルータ101は、宛先グループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。特定の実施形態では、ソースエッジルータ101は、第1のグループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。ソースエッジルータ101は、決定されたポリシーをデータパケットに適用し得る。ステップ450で、ソースエッジルータ101は、データパケットが、アンダーレイネットワーク130を介して宛先エッジルータ102に配信されるようにし得る。宛先エッジルータ102は、宛先ホスト、すなわち、そのローカルデータベース内の第2のホスト121のIPアドレスを検索することによって、宛先グループアイデンティティを判定しようと試み得る。宛先エッジルータ102がローカルデータベース内の宛先IPアドレスを検索できない場合、宛先エッジルータ102は、コントローラ105に、図4に示されない要求を送信し得る。宛先エッジルータ102は、宛先グループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。特定の実施形態では、宛先エッジルータ102は、ソースグループアイデンティティに基づいて、データパケットに対応するポリシーを決定し得る。宛先エッジルータ102は、ポリシーをデータパケットに適用し得る。ステップ460で、宛先エッジルータ102は、データパケットを第2のホスト121に接続されたスイッチ303に転送し得る。ステップ470で、スイッチは、データパケットを第2のホスト121に転送し得る。本開示は、SD-WANファブリック制御プレーンから宛先グループ識別子を特定の様式でフェッチすることを説明しているが、本開示は、SD-WANファブリック制御プレーンから宛先グループ識別子を任意の好適な様式でフェッチすることを企図している。
【0017】
特定の実施形態では、第1のネットワークノード101は、データパケットに対応する1つ以上のポリシーを決定し得る。特定の実施形態では、1つ以上のポリシーは、宛先グループと関連付けられ得る。特定の実施形態では、1つ以上のポリシーは、ソースグループと関連付けられ得る。第1のネットワークノード101は、1つ以上のポリシーをデータパケットに適用し得る。図5は、データパケットのポリシーの例示的な決定を示している。限定としてではなく、一例として、図5に示すように、ソースエッジルータ101は、ポリシーエンジン501を利用して、データパケットに対応する1つ以上のポリシーを決定し得る。特定の実施形態では、ポリシーエンジン501は、ソースエッジルータ101内にあり得る。特定の実施形態では、ポリシーエンジン501は、ソースエッジルータ101から離れた場所に位置し得る。ソースエッジルータ101は、データパケットに対応するソースグループの識別子をポリシーエンジン501に入力として提供し得る。ソースエッジルータ101は、データパケットに対応する宛先グループの識別子をポリシーエンジン501に入力として提供し得る。ポリシーエンジン501は、データパケットに対応する1つ以上のポリシーを生成し得る。1つ以上のポリシーは、アドミッション制御、ルーティングパス選択、セキュリティポリシー、サービス品質(QoS)サービス、およびトラフィックポリシングを含み得る。ソースエッジルータ101は、決定された1つ以上のポリシーをデータパケットに適用し得る。SD-WANネットワーク100内のルーティングパス中の任意のルータは、データパケットに対応する1つ以上のポリシーを決定し、1つ以上のポリシーをデータパケットに適用し得る。本開示は、特定の様式で、データパケットに対応する1つ以上のポリシーを決定し、ポリシーをデータパケットに適用することを説明しているが、本開示は、任意の好適な様式で、データパケットに対応する1つ以上のポリシーを決定し、ポリシーをデータパケットに適用することを企図している。
【0018】
特定の実施形態では、1つ以上のポリシーは、アドミッション制御を含み得る。ネットワーク100は、ソースグループアイデンティティに基づいて、宛先グループアイデンティティに基づいて、またはソースグループと宛先グループとの組み合わせに基づいて、ネットワークにアクセスするためのトラフィックを制限し得る。限定としてではなく、一例として、ポリシーエンジン501は、判定されたソースグループアイデンティティおよび/または判定された宛先グループアイデンティティに基づいて、データパケットがSD-WANネットワーク100を介してルーティングされることを拒否し得る。次に、ソースルータ101は、データパケットをSD-WANネットワーク100を介してルーティングさせることなく、データパケットをドロップし得る。本開示は、データパケットにアドミッション制御ポリシーを特定の様式で施行することを説明しているが、本開示は、データパケットにアドミッション制御ポリシーを任意の好適な様式で施行することを企図している。
【0019】
特定の実施形態では、1つ以上のポリシーは、ルーティングパス選択を含み得る。ルーティングパス選択は、宛先グループアイデンティティに基づいて実行され得る。特定の実施形態では、ルーティングパス選択は、ソースグループアイデンティティに基づいて実行され得る。動的ルーティングは、SD-WANの主要な特性のうちの1つであり得る。第1のネットワークノード101は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、複数の利用可能なルーティングパスのうちの1つを介してデータパケットをルーティングし得る。限定としてではなく、一例として、ポリシーエンジン501は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、データパケットのルーティングパスを生成し得る。ソースエッジルータ101は、データパケットが、生成されたルーティングパスを介して、宛先エッジルータ102に向かってルーティングされるようにし得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてルーティングパス選択を施行することを説明しているが、本開示は、任意の好適切な様式で少なくとも宛先グループアイデンティティに基づいてルーティングパス選択を施行することを企図している。
【0020】
特定の実施形態では、1つ以上のポリシーは、セキュリティポリシーを含み得る。セキュリティポリシーは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、セキュリティポリシーは、ソースグループアイデンティティに基づいて決定され得る。限定としてではなく、一例として、ポリシーエンジン501は、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、データパケットのためのファイアウォールルールのセットを生成し得る。ソースエッジルータ101は、生成されたファイアウォールルールをデータパケットに適用し得る。特定の実施形態では、データパケットが生成されたファイアウォールルールを満たさない場合、ソースエッジルータ101はデータパケットをドロップし得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてデータパケットにセキュリティポリシーを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいてデータパケットにセキュリティポリシーを施行することを企図している。
【0021】
特定の実施形態では、1つ以上のポリシーは、サービス品質(QoS)ポリシーを含み得る。QoSポリシーは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、QoSポリシーは、ソースグループアイデンティティに基づいて決定され得る。データパケットのQoSクラスに基づいて、複数のQoSパラメータが判定され得る。QoSクラスは、ソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて判定され得る。限定としてではなく、一例として、ポリシーエンジン501は、データパケットがソースグループアイデンティティおよび/または宛先グループアイデンティティに基づいて、ベストエフォートクラスのトラフィックであると判定し得る。ソースエッジルータ101は、ベストエフォートクラスのトラフィックと関連付けられた複数のQoSパラメータをデータパケットに適用し得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいてQoSポリシーを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいてQoSポリシーを施行することを企図している。
【0022】
特定の実施形態では、1つ以上のポリシーは、所定の最大データレートを施行し得るトラフィックポリシングを含み得る。所定の最大データレートは、宛先グループアイデンティティに基づいて決定され得る。特定の実施形態では、所定の最大データレートは、ソースグループアイデンティティに基づいて決定され得る。限定としてではなく、一例として、ポリシーエンジン501は、第1のグループから第2のグループへのトラフィックの最大データレートが100Mbpsであると決定し得る。ソースエッジルータ101は、第1のホスト111から第2のホスト121へのトラフィックに対して決定された最大データレートを施行し得る。本開示は、特定の様式で少なくとも宛先グループアイデンティティに基づいて最大データレートを施行することを説明しているが、本開示は、任意の好適な様式で少なくとも宛先グループアイデンティティに基づいて最大データレートを施行することを企図している。
【0023】
特定の実施形態では、第1のネットワークノード101は、データパケットを第2のホスト121にルーティングさせ得る。限定としてではなく、一例として、ソースエッジルータ101は、データパケットを、アンダーレイネットワーク130を介するソースエッジルータ101と宛先エッジルータ102との間の1つ以上のIPSecトンネルのうちの1つを介して宛先エッジルータ102にルーティングさせ得る。データパケットを受信すると、宛先エッジルータ102は、第2のサイト120のローカルルーティングポリシーに基づいて、データパケットを第2のホスト121に向けてルーティングし得る。本開示は、データパケットを特定の様式で宛先ホストにルーティングさせることを説明しているが、本開示は、データパケットを任意の好適な様式で宛先ホストにルーティングさせることを企図している。
【0024】
特定の実施形態では、第1のネットワークノード101は、第2のホスト121から第1のホスト111に向けた第2のデータパケットを受信し得る。第1のネットワークノード101は、第2のデータパケット内のソースグループ識別子フィールドに基づいてソースグループ識別子を識別し得る。特定の実施形態では、第1のネットワークノード101は、ソースグループ識別子がレコード内の第2のグループ識別子と同一ではないと判定し得る。判定に応答して、第1のネットワークノード101は、レコード内の第2のグループの識別子をソースグループ識別子で更新し得る。限定としてではなく、一例として、第1のホスト111から第1のデータパケットを受信すると、第2のホスト121は、第2のデータパケットで第1のホスト111に応答し得る。第2のデータパケットは、第1のサイト110内の第1のエッジルータ101に到着し得る。第1のエッジルータ101は、第2のデータパケットにファイルされたソースグループ識別子に基づいて、第2のデータパケットのソースグループ識別子を判定し得る。第1のエッジルータ101は、第2のデータパケットのソースグループ識別子を、ローカルデータベース内の第2のホスト121に対応する第2のグループ識別子と比較し得る。ソースグループ識別子がローカルデータベース内の第2のグループ識別子と一致しない場合、第1のエッジルータ101は、ローカルデータベース内の第2のグループ識別子を第2のデータパケットのソースグループ識別子で更新し得る。本開示は、特定の様式でリモートホストから発信されたデータパケットに基づいてリモートホストのグループ識別子を更新することを説明しているが、本開示は、任意の好適な様式でリモートホストから発信されたデータパケットに基づいてリモートホストのグループ識別子を更新することを企図している。
【0025】
図6は、SD-WANエッジルータにおいて宛先グループアイデンティティに基づいてポリシーを施行するための例示的な方法600を示している。この方法は、ステップ610で開始し得、ここで、ネットワークの第1のサイトで動作するように構成された第1のネットワークノードは、第1のサイトに位置する第1のホストから第2のサイトに位置する第2のホストに向けたデータパケットを受信し得る。第1のサイトと第2のサイトは、異なり得る。ステップ620で、第1のネットワークノードは、第2のホストが属する第2のグループのアイデンティティが第1のネットワークノードで利用可能であるかどうかを判定し得る。ステップ630で、第1のネットワークノードは、判定に応答して、第2のグループの識別子の要求を第2のネットワークノードに送信し得る。要求は、第2のホストのアドレスを含み得る。ステップ640で、第1のネットワークノードは、第2のネットワークノードから第2のグループの識別子を含む応答を受信し得る。第1のネットワークノードは、受信した識別子に基づいて、第2のグループが宛先グループであると判定し得る。ステップ650で、第1のネットワークノードは、宛先グループと関連付けられた1つ以上のポリシーをデータパケットに適用し得る。ステップ660で、第1のネットワークノードは、データパケットが第2のホストにルーティングされるようにし得る。特定の実施形態は、適切な場合、図6の方法の1つ以上のステップを繰り返し得る。本開示は、図6の方法の特定のステップを、特定の順序で発生するものとして説明および図示しているが、本開示は、図6の方法の任意の好適なステップは任意の好適切な順序で発生するものとして企図している。さらに、本開示は、図6の方法の特定のステップを含む、SD-WANエッジルータにおける宛先グループアイデンティティに基づいてポリシーを施行するための例示的な方法を説明および図示しているが、本開示は、適切な場合、図6の方法のステップのすべて、一部を含む、またはすべてを含まない場合を含み得る、任意の好適なステップを含む、SD-WANエッジルータにおける宛先グループアイデンティティに基づいてポリシーを施行するための任意の好適な方法を企図している。さらに、本開示は、図6の方法の特定のステップを実行する特定の構成要素、デバイス、またはシステムを説明および図示しているが、本開示は、図6の方法の任意の好適なステップを実行する任意の好適な構成要素、デバイス、またはシステムの任意の好適な組み合わせを企図している。
【0026】
システムおよび方法
図7は、例示的なコンピュータシステム700を示している。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを実行する。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書で記載または例解されている機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム700上で実行されるソフトウェアは、本明細書に記載もしくは例解されている1つ以上の方法の1つ以上のステップを実行するか、または本明細書に記載もしくは例解されている機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム700の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、適切な場合、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、適切な場合、1つ以上のコンピュータシステムを包含し得る。
図7は、例示的なコンピュータシステム700を示している。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを実行する。特定の実施形態では、1つ以上のコンピュータシステム700は、本明細書で記載または例解されている機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム700上で実行されるソフトウェアは、本明細書に記載もしくは例解されている1つ以上の方法の1つ以上のステップを実行するか、または本明細書に記載もしくは例解されている機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム700の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、適切な場合、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、適切な場合、1つ以上のコンピュータシステムを包含し得る。
【0027】
本開示は、任意の好適な数のコンピュータシステム700を企図している。本開示は、任意の好適な物理的形態を採るコンピュータシステム700を企図している。限定としてではなく、例として、コンピュータシステム700は、組み込みコンピュータシステム、システムオンチップ(SOC)、シングルボードコンピュータシステム(SBC)(例えば、コンピュータオンモジュール(COM)またはシステムオンモジュール(SOM)など)、デスクトップコンピュータシステム、ラップトップもしくはノートブックコンピュータシステム、インタラクティブキオスク、メインフレーム、コンピュータシステムのメッシュ、携帯電話、パーソナルデジタルアシスタント(PDA)、サーバ、タブレットコンピュータシステム、拡張/仮想現実デバイス、またはこれらのうちの2つ以上の組み合わせであり得る。適切な場合、コンピュータシステム700は、1つ以上のコンピュータシステム700を含むか、単一もしくは分散であるか、複数の場所にまたがるか、複数のマシンにまたがるか、複数のデータセンターにまたがるか、または1つ以上のネットワーク内に1つ以上のクラウド構成要素を含み得るクラウド内に存在し得る。適切な場合、1つ以上のコンピュータシステム700は、実質的な空間的または時間的制限なしに、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを実行し得る。限定としてではなく、一例として、1つ以上のコンピュータシステム700は、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップをリアルタイムまたはバッチモードで実行し得る。1つ以上のコンピュータシステム700は、適切な場合、本明細書に記載または例解されている1つ以上の方法の1つ以上のステップを、異なる時間または異なる場所において実行し得る。
【0028】
特定の実施形態では、コンピュータシステム700は、プロセッサ702、メモリ704、ストレージ706、入力/出力(I/O)インターフェース708、通信インターフェース710、およびバス712を含む。本開示は、特定の配置で特定の数の特定の構成要素を有する特定のコンピュータシステムを説明および図示するが、本開示は、任意の好適な配置で任意の好適な数の任意の好適な構成要素を有する任意の好適なコンピュータシステムを企図する。
【0029】
特定の実施形態では、プロセッサ702は、コンピュータプログラムを構成するものなどの命令を実行するためのハードウェアを含む。限定としてではなく、一例として、命令を実行するために、プロセッサ702は、内部レジスタ、内部キャッシュ、メモリ704、またはストレージ706から命令を取り出し(またはフェッチし)、それらをデコードして実行し、次に、1つ以上の結果を、内部レジスタ、内部キャッシュ、メモリ704、またはストレージ706に書き込み得る。特定の実施形態では、プロセッサ702は、データ、命令、またはアドレスのための1つ以上の内部キャッシュを含み得る。本開示は、適切な場合、任意の好適な数の任意の好適な内部キャッシュを含むプロセッサ702を企図する。限定としてではなく、一例として、プロセッサ702は、1つ以上の命令キャッシュ、1つ以上のデータキャッシュ、および1つ以上のトランスレーション・ルックアサイド・バッファ(TLB)を含み得る。命令キャッシュ内の命令は、メモリ704またはストレージ706内の命令のコピーであり得、命令キャッシュは、プロセッサ702によるそれらの命令の取り出しを高速化し得る。データキャッシュ内のデータは、プロセッサ702において実行される命令が動作するためのメモリ704またはストレージ706内のデータのコピーであるか、プロセッサ702において実行される後続の命令によるアクセスのために、またはメモリ704もしくはストレージ706への書き込みのために、プロセッサ702において実行された前の命令の結果であるか、あるいは他の好適なデータであり得る。データキャッシュは、プロセッサ702による読み取りまたは書き込み動作を高速化し得る。TLBは、プロセッサ702の仮想アドレス変換を高速化し得る。特定の実施形態では、プロセッサ702は、データ、命令、またはアドレスのための1つ以上の内部レジスタを含み得る。本開示は、適切な場合、任意の好適な数の任意の好適な内部レジスタを含むプロセッサ702を企図する。適切な場合、プロセッサ702は、1つ以上の算術論理ユニット(ALU)を含むか、マルチコアプロセッサであるか、または1つ以上のプロセッサ702を含み得る。本開示は、特定のプロセッサを説明および図示するが、本開示は、任意の好適なプロセッサを企図している。
【0030】
特定の実施形態では、メモリ704は、プロセッサ702が実行するための命令、またはプロセッサ702が動作するためのデータを記憶するためのメインメモリを含む。限定としてではなく、一例として、コンピュータシステム700は、ストレージ706または別のソース(例えば、別のコンピュータシステム700など)からメモリ704に命令をロードし得る。次に、プロセッサ702は、メモリ704から内部レジスタまたは内部キャッシュに命令をロードし得る。命令を実行するために、プロセッサ702は、内部レジスタまたは内部キャッシュから命令を取り出し、それらをデコードし得る。命令の実行中または実行後に、プロセッサ702は、(中間または最終結果であり得る)1つ以上の結果を内部レジスタまたは内部キャッシュに書き込み得る。次に、プロセッサ702は、それらの結果のうちの1つ以上をメモリ704に書き込み得る。特定の実施形態では、プロセッサ702は、(ストレージ706または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ704内の命令のみを実行し、(ストレージ706または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ704内のデータのみに対して動作する。(各々がアドレスバスおよびデータバスを含み得る)1つ以上のメモリバスは、プロセッサ702をメモリ704に結合し得る。バス712は、以下に説明するように、1つ以上のメモリバスを含み得る。特定の実施形態では、1つ以上のメモリ管理ユニット(MMU)が、プロセッサ702とメモリ704との間に存在し、プロセッサ702によって要求されるメモリ704へのアクセスを容易にする。特定の実施形態では、メモリ704は、ランダムアクセスメモリ(RAM)を含む。このRAMは、適切な場合、揮発性メモリであり得る。適切な場合、このRAMは、ダイナミックRAM(DRAM)またはスタティックRAM(SRAM)であり得る。さらに、適切な場合、このRAMは、シングルポートまたはマルチポートのRAMであり得る。本開示は、任意の好適なRAMを企図している。メモリ704は、適切な場合、1つ以上のメモリ704を含み得る。本開示は、特定のメモリを説明および図示するが、本開示は、任意の好適なメモリを企図している。
【0031】
特定の実施形態では、ストレージ706は、データまたは命令のための大容量ストレージを含む。限定としてではなく、一例として、ストレージ706は、ハードディスクドライブ(HDD)、フロッピーディスクドライブ、フラッシュメモリ、光ディスク、磁気光学ディスク、磁気テープ、もしくはユニバーサルシリアルバス(USB)ドライブ、またはこれらのうちの2つ以上の組み合わせを含み得る。ストレージ706は、適切な場合、取り外し可能または取り外し不可能な(もしくは固定された)媒体を含み得る。ストレージ706は、適切な場合、コンピュータシステム700の内部または外部にあってもよい。特定の実施形態では、ストレージ706は、不揮発性のソリッドステートメモリである。特定の実施形態では、ストレージ706は、読み取り専用メモリ(ROM)を含む。適切な場合、このROMは、マスクプログラムROM、プログラム可能ROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、電気的変更可能ROM(EAROM)、もしくはフラッシュメモリ、またはこれらのうちの2つ以上の組み合わせであり得る。本開示は、任意の好適な物理的形態を採る大容量ストレージ706を企図している。ストレージ706は、適切な場合、プロセッサ702とストレージ706との間の通信を容易にする1つ以上のストレージ制御ユニットを含み得る。適切な場合、ストレージ706は、1つ以上のストレージ706を含み得る。本開示は、特定のストレージを説明および図示するが、本開示は、任意の好適なストレージを企図している。
【0032】
特定の実施形態では、I/Oインターフェース708は、ハードウェア、ソフトウェア、またはそれらの両方を含み、コンピュータシステム700と1つ以上のI/Oデバイスとの間の通信のための1つ以上のインターフェースを提供する。コンピュータシステム700は、適切な場合、これらのI/Oデバイスのうちの1つ以上を含み得る。これらのI/Oデバイスのうちの1つ以上は、人とコンピュータシステム700との間の通信を可能にし得る。限定としてではなく、一例として、I/Oデバイスは、キーボード、キーパッド、マイクロフォン、モニタ、マウス、プリンタ、スキャナ、スピーカ、スチルカメラ、スタイラス、タブレット、タッチスクリーン、トラックボール、ビデオカメラ、別の好適なI/Oデバイス、またはこれらのうちの2つ以上の組み合わせを含み得る。I/Oデバイスは、1つ以上のセンサを含み得る。本開示は、任意の好適なI/Oデバイス、およびそれらのための任意の好適なI/Oインターフェース708を企図している。適切な場合、I/Oインターフェース708は、プロセッサ702がこれらのI/Oデバイスのうちの1つ以上を駆動することを可能にする、1つ以上のデバイスまたはソフトウェアドライバを含み得る。I/Oインターフェース708は、適切な場合、1つ以上のI/Oインターフェース708を含み得る。本開示は、特定のI/Oインターフェースを説明および図示するが、本開示は、任意の好適なI/Oインターフェースを企図している。
【0033】
特定の実施形態では、通信インターフェース710は、コンピュータシステム700と、1つ以上の他のコンピュータシステム700または1つ以上のネットワークとの間の通信(例えば、パケットベースの通信など)のための1つ以上のインターフェースを提供するハードウェア、ソフトウェア、またはそれらの両方を含む。限定としてではなく、一例として、通信インターフェース710は、イーサネットもしくは他の有線ベースのネットワークと通信するためのネットワークインターフェースコントローラ(NIC)もしくはネットワークアダプタ、またはWI-FIネットワークなどの無線ネットワークと通信するための無線NIC(WNIC)もしくは無線アダプタを含み得る。本開示は、任意の好適なネットワーク、およびそれのための任意の適切な通信インターフェース710を企図している。限定としてではなく、一例として、コンピュータシステム700は、アドホックネットワーク、パーソナルエリアネットワーク(PAN)、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、もしくはインターネットの1つ以上の部分、またはこれらのうちの2つ以上の組み合わせと通信し得る。これらのネットワークのうちの1つ以上の1つ以上の部分は、有線または無線であり得る。一例として、コンピュータシステム700は、無線PAN(WPAN)(例えば、BLUETOOTH WPANなど)、WI-FIネットワーク、WI-MAXネットワーク、携帯電話ネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、もしくは5Gネットワークなど)、または他の好適な無線ネットワーク、あるいはこれらのうちの2つ以上の組み合わせと通信し得る。コンピュータシステム700は、適切な場合、これらのネットワークのいずれかのための任意の好適な通信インターフェース710を含み得る。通信インターフェース710は、適切な場合、1つ以上の通信インターフェース710を含み得る。本開示は、特定の通信インターフェースを説明および図示するが、本開示は、任意の好適な通信インターフェースを企図している。
【0034】
特定の実施形態では、バス712は、コンピュータシステム700の構成要素を互いに結合するハードウェア、ソフトウェア、またはそれらの両方を含む。限定としてではなく、一例として、バス712は、アクセラレーテッドグラフィックスポート(AGP)もしくは他のグラフィックスバス、拡張業界標準アーキテクチャ(EISA)バス、フロントサイドバス(FSB)、HYPERTRANSPORT(HT)相互接続、業界標準アーキテクチャ(ISA)バス、INFINIBAND相互接続、低ピンカウント(LPC)バス、メモリバス、マイクロチャネルアーキテクチャ(MCA)バス、周辺構成要素相互接続(PCI)バス、PCI-Express(PCIe)バス、シリアルアドバンストテクノロジーアタッチメント(SATA)バス、ビデオ電子装置標準化協会ローカル(VLB)バス、または別の好適なバス、あるいはこれらのうちの2つ以上の組み合わせを含み得る。バス712は、適切な場合、1つ以上のバス712を含み得る。本開示は、特定のバスを説明および図示するが、本開示は、任意の好適なバスまたは相互接続を企図している。
【0035】
要約すると、一実施形態では、方法は、第1のサイトに位置する第1のホストから、データパケットを受信することであって、データパケットは、第1のサイトと異なり得る第2のサイトに位置する第2のホストに向けたものであり得る、受信することと、第2のネットワーク装置に、第2のグループの識別子の要求を送信することであって、要求は、第2のホストのアドレスを含み得る、送信することと、第2のネットワーク装置から、第2のグループの識別子を含む応答を受信することと、第2のグループが宛先グループであると判定することと、データパケットに、宛先グループと関連付けられた1つ以上のポリシーを適用することと、データパケットが第2のホストにルーティングされるようにすることと、を含む。
【0036】
本明細書では、1つ以上のコンピュータ可読非一時的記憶媒体は、適切な場合、1つ以上の半導体ベースもしくは他の集積回路(IC)(例えば、フィールドプログラマブルゲートアレイ(FPGA)または特定用途向けIC(ASIC)など)、ハードディスクドライブ(HDD)、ハイブリッドハードドライブ(HHD)、光ディスク、光ディスクドライブ(ODD)、磁気光学ディスク、磁気光学ドライブ、フロッピーディスケット、フロッピーディスクドライブ(FDD)、磁気テープ、ソリッドステートドライブ(SSD)、RAMドライブ、SECURE DIGITALカードもしくはドライブ、任意の他の好適なコンピュータ可読非一時的記憶媒体、またはこれらのうちの2つ以上の任意の好適な組み合わせを含み得る。コンピュータ可読非一時的記憶媒体は、適切な場合、揮発性、不揮発性、または揮発性と不揮発性の組み合わせであり得る。
【0037】
本明細書では、「または」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、包括的であり、排他的ではない。したがって、本明細書において、「AまたはB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「A、B、またはその両方」を意味する。さらに、「および」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、一緒および個別の両方である。したがって、本明細書において、「AおよびB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「連帯的または個別的に、AおよびB」を意味する。
【0038】
本開示の範囲は、当業者が理解するであろう、本明細書で説明または図示された例示的な実施形態に対するすべての変更、置換、変形、改変、および修正を包含する。本開示の範囲は、本明細書で説明または図示された例示的な実施形態に限定されない。さらに、本開示は、本明細書のそれぞれの実施形態が特定の構成要素、要素、特徴、機能、動作、またはステップを含むものとして説明および図示するが、これらの実施形態のいずれも、当業者であれば理解するであろう、本明細書のどこかで説明または図示する構成要素、要素、特徴、機能、動作、またはステップのいずれかの任意の組み合わせまたは置換を含むことができる。さらに、特定の機能を実施するように適合される、配置される、可能にする、構成されている、有効にする、動作可能である、または動作する装置またはシステムまたは装置の構成要素もしくはシステムに対する添付の特許請求の範囲における言及は、その装置、システム、または構成要素がそのように適合される、配置される、可能にする、構成されている、有効にする、動作可能である、または動作する限り、その特定の機能が起動する、作動する、または解除されているかどうかにかかわらず、その装置、システム、構成要素を包含する。さらに、本開示は、特定の実施形態を、特定の利点を提供するものとして記載または例解しているが、特定の実施形態は、これらの利点を全く提供しないか、またはそれらの一部、もしくはすべてを提供する場合がある。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
