IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > シスコ テクノロジー,インコーポレイテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ シスコ テクノロジー,インコーポレイテッドの特許一覧

特許7516530ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法
<>
  • 特許-ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法 図1
  • 特許-ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法 図2
  • 特許-ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法 図3
  • 特許-ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-05
(45)【発行日】2024-07-16
(54)【発明の名称】ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法
(51)【国際特許分類】
   H04L 49/45 20220101AFI20240708BHJP
【FI】
H04L49/45
【請求項の数】 17
(21)【出願番号】P 2022548503
(86)(22)【出願日】2021-02-16
(65)【公表番号】
(43)【公表日】2023-04-20
(86)【国際出願番号】 US2021018227
(87)【国際公開番号】W WO2021178130
(87)【国際公開日】2021-09-10
【審査請求日】2022-10-04
(31)【優先権主張番号】16/806,794
(32)【優先日】2020-03-02
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】508041127
【氏名又は名称】シスコ テクノロジー,インコーポレイテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100140431
【弁理士】
【氏名又は名称】大石 幸雄
(72)【発明者】
【氏名】ル,ミンジェ
(72)【発明者】
【氏名】リー,ホンキン
(72)【発明者】
【氏名】レオン,ダイアナ
(72)【発明者】
【氏名】ジャン,ジャリャン
(72)【発明者】
【氏名】ギンディー,マドゥスーダン ヴィー.
【審査官】中川 幸洋
(56)【参考文献】
【文献】特開2015-033106(JP,A)
【文献】米国特許出願公開第2019/0014092(US,A1)
【文献】国際公開第2011/043379(WO,A1)
【文献】特開2003-198607(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 49/45
(57)【特許請求の範囲】
【請求項1】
非一時的コンピュータ可読媒体であって、前記非一時的コンピュータ可読媒体は、前記非一時的コンピュータ可読媒体に記憶されたコンピュータ可読命令を備え、前記命令が、1つ以上のプロセッサによって実行されるときに、前記1つ以上のプロセッサに、
ネットワークの複数のターゲットを確立することであって、前記複数のターゲットの各々が、
入口パラメータまたは出口パラメータのうちの少なくとも1つ、および
ネットワークパケットのポリシーを含むことと、
前記ネットワークを介して少なくとも1つのネットワークパケットを受信することと、
前記複数のターゲットから少なくともつの一致ターゲットを検索することであって、前記少なくともつの一致ターゲットが、前記少なくとも1つのネットワークパケットに一致するパラメータを含み、前記少なくとも2つの一致ターゲットの各々が少なくとも1つのポリシーを含むことと、
前記少なくともつの一致ターゲットの各々からの前記ポリシーのうち少なくとも1つ、定義されたシーケンスで前記少なくとも1つのネットワークパケットに適用することと、
適用された前記ポリシーに従って前記少なくとも1つのネットワークパケットを転送することと、
を行わせ、
前記定義されたシーケンスが、
最高レベルの入口パラメータ一致ターゲットポリシーから、最低レベルの入口パラメータ一致ターゲットポリシーに進み、又は、
最低レベルの出口パラメータ一致ターゲットポリシーから、最高レベルの出口パラメータ一致ターゲットポリシーに進む、非一時的コンピュータ可読媒体。
【請求項2】
前記少なくとも1つの入口パラメータまたは前記少なくとも1つの出口パラメータが、仮想プライベートネットワーク、ユーザポリシーグループ、デバイスポリシーグループ、またはワイルドカードのうちの1つであり、ワイルドカードが、任意のネットワークパケットに一致する、請求項1に記載の非一時的コンピュータ可読媒体。
【請求項3】
前記少なくとも1つの入口パラメータまたは前記少なくとも1つの出口パラメータが、パラメータの範囲である、請求項1または2に記載の非一時的コンピュータ可読媒体。
【請求項4】
前記コンピュータ可読命令の実行が、前記1つ以上のプロセッサに、ユーザから前記複数のターゲットを受信することをさらに行わせる、請求項1~3のいずれか一項に記載の非一時的コンピュータ可読媒体。
【請求項5】
前記定義されたシーケンスが、前記最高レベルの入口パラメータ一致ターゲットポリシーから、前記最低レベルの入口パラメータ一致ターゲットポリシーに進み且つ、前記最低レベルの出口パラメータ一致ターゲットポリシーから前記最高レベルの出口パラメータ一致ターゲットポリシーに進む、請求項に記載の非一時的コンピュータ可読媒体。
【請求項6】
前記コンピュータ可読命令の実行が、前記1つ以上のプロセッサに、
前記複数のターゲットから前記少なくともつの一致ターゲットを順次検索することをさらに行わせる、請求項1~のいずれか一項に記載の非一時的コンピュータ可読媒体。
【請求項7】
方法であって、
ネットワークの複数のターゲットを確立することであって、前記複数のターゲットの各々が、
入口パラメータまたは出口パラメータのうちの少なくとも1つ、および
ネットワークパケットのポリシーを含むことと、
前記ネットワークを介して少なくとも1つのネットワークパケットを受信することと、
前記複数のターゲットから少なくともつの一致ターゲットを検索することであって、前記少なくともつの一致ターゲットが、前記少なくとも1つのネットワークパケットに一致するパラメータを含み、前記少なくとも2つの一致ターゲットの各々が少なくとも1つのポリシーを含むことと、
前記少なくともつの一致ターゲットの各々からの前記ポリシーのうち少なくとも1つ、定義されたシーケンスで前記少なくとも1つのネットワークパケットに適用することと、
適用された前記ポリシーに従って前記少なくとも1つのネットワークパケットを転送することと、
を含
前記定義されたシーケンスが、
最高レベルの入口パラメータ一致ターゲットポリシーから、最低レベルの入口パラメータ一致ターゲットポリシーに進み、又は、
最低レベルの出口パラメータ一致ターゲットポリシーから、最高レベルの出口パラメータ一致ターゲットポリシーに進む、方法。
【請求項8】
前記少なくとも1つの入口パラメータまたは前記少なくとも1つの出口パラメータが、仮想プライベートネットワーク、ユーザポリシーグループ、デバイスポリシーグループ、またはワイルドカードのうちの1つであり、ワイルドカードが、任意のネットワークパケットに一致する、請求項に記載の方法。
【請求項9】
前記少なくとも1つの入口パラメータまたは前記少なくとも1つの出口パラメータが、パラメータの範囲である、請求項またはに記載の方法。
【請求項10】
前記方法が、
ユーザから前記複数のターゲットを受信することをさらに含む、請求項のいずれか一項に記載の方法。
【請求項11】
前記定義されたシーケンスが、前記最高レベルの入口パラメータ一致ターゲットポリシーから、前記最低レベルの入口パラメータ一致ターゲットポリシーに進み且つ、前記最低レベルの出口パラメータ一致ターゲットポリシーから前記最高レベルの出口パラメータ一致ターゲットポリシーに進む、請求項に記載の方法。
【請求項12】
前記方法が、
前記複数のターゲットから前記少なくともつの一致ターゲットを順次検索することをさらに含む、請求項11のいずれか一項に記載の方法。
【請求項13】
デバイスであって、
コンピュータ可読命令が記憶されたメモリと、
1つ以上のプロセッサと、を備え、前記1つ以上のプロセッサが、
ネットワークの複数のターゲットを確立することであって、前記複数のターゲットの各々が、
入口パラメータまたは出口パラメータのうちの少なくとも1つ、および
ネットワークパケットのポリシーを含むことと、
前記ネットワークを介して少なくとも1つのネットワークパケットを受信することと、
前記複数のターゲットから少なくともつの一致ターゲットを検索することであって、前記少なくともつの一致ターゲットが、前記少なくとも1つのネットワークパケットに一致するパラメータを含み、前記少なくとも2つの一致ターゲットの各々が少なくとも1つのポリシーを含むことと、
前記少なくともつの一致ターゲットの各々からの前記ポリシーのうち少なくとも1つ、定義されたシーケンスで前記少なくとも1つのネットワークパケットに適用することと、
適用された前記ポリシーに従って前記少なくとも1つのネットワークパケットを転送することと、を行うためのコンピュータ可読命令を実行するように構成されており
前記定義されたシーケンスが、
最高レベルの入口パラメータ一致ターゲットポリシーから、最低レベルの入口パラメータ一致ターゲットポリシーに進み、又は、
最低レベルの出口パラメータ一致ターゲットポリシーから、最高レベルの出口パラメータ一致ターゲットポリシーに進む、デバイス。
【請求項14】
前記少なくとも1つの入口パラメータまたは前記少なくとも1つの出口パラメータが、仮想プライベートネットワーク、ユーザポリシーグループ、デバイスポリシーグループ、またはワイルドカードのうちの1つであり、ワイルドカードが、任意のネットワークパケットに一致するか、または前記少なくとも1つの入口パラメータもしくは前記少なくとも1つの出口パラメータが、パラメータの範囲である、請求項13に記載のデバイス。
【請求項15】
前記1つ以上のプロセッサが、
ユーザから前記複数のターゲットを受信するためのコンピュータ可読命令を実行するようにさらに構成されている、請求項13または14に記載のデバイス。
【請求項16】
前記定義されたシーケンスが、前記最高レベルの入口パラメータ一致ターゲットポリシーから、前記最低レベルの入口パラメータ一致ターゲットポリシーに進み且つ、前記最低レベルの出口パラメータ一致ターゲットポリシーから前記最高レベルの出口パラメータ一致ターゲットポリシーに進む、請求項13に記載のデバイス。
【請求項17】
前記命令が、前記プロセッサに、
前記複数のターゲットから前記少なくともつの一致ターゲットを順次検索させるのにさらに有効である、請求項1316のいずれか一項に記載のデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2020年3月2日に出願された米国非仮特許出願第16/806,794号の利益および優先権を主張し、その完全な開示はその全体が参照により本明細書に組み込まれる。
【0002】
本開示は、概して、ネットワーキング環境におけるポリシーフレームワークに関し、より具体的には、ネットワークデバイス上で重複する入口および出口ベースのネットワーキングポリシーを実装するための方式に関する。
【背景技術】
【0003】
ネットワーキング環境にポリシーを実装することは、モデム運用の重要な側面である。ポリシーは、ネットワークセキュリティを維持し、かつネットワーキング環境を最適に実行できるようにするために必要なユーザ、デバイス、場所、または他の要素によってサービスへのアクセスを定義することができる。ただし、既存のネットワーキングポリシー方式は、トラフィックの発信元と宛先に固有の複数の重複するポリシーを実装し、かつネットワークデバイスのレベルでそのように行うための粒度を常に提供するとは限らない。
【図面の簡単な説明】
【0004】
本開示ならびにその特徴および利点をより完全に理解してもらうために、添付の図面と併せて、以下の説明を参照する。
【0005】
図1】本技術のいくつかの態様による例示的なシステムを示す。
図2】本技術のいくつかの態様による概略図を示す。
図3】本技術のいくつかの態様による例示的な方法を示す。
図4】本技術のいくつかの例による例示的なコンピューティングデバイスアーキテクチャを示す。
【発明を実施するための形態】
【0006】
本開示の様々な実施形態について、以下で詳細に考察する。特定の実装形態について考察するが、これは例証のみを目的として行われることを理解されたい。関連技術分野の当業者は、本開示の趣旨および範囲から離れることなく、他のコンポーネントおよび構成を使用することができることを認識するであろう。したがって、以下の説明および図面は例示的なものであり、限定的なものとして解釈されるべきではない。本開示を完全に理解してもらうために、多数の特定の詳細が説明される。しかしながら、特定の例において、説明を曖昧にすることを避けるために、周知のまたは従来技術の詳細は説明されていない。本開示における一実施形態または実施形態への言及は、同じ実施形態または任意の実施形態への言及であり得、このような言及は、実施形態のうちの少なくとも1つを意味する。
【0007】
「一実施形態」または「実施形態」への言及は、実施形態に関連して記載された特定の特徴、構造、または特性が、本開示の少なくとも1つの実施形態に含まれることを意味する。本明細書の様々な場所における「一実施形態において」という語句の出現は、必ずしもすべてが同じ実施形態を指すわけではなく、他の実施形態を相互に排除する別個のまたは代替の実施形態でもない。さらに、いくつかの実施形態によって示され、他の実施形態によって示されない場合もある、様々な特徴が記載されている。
【0008】
本明細書で使用される用語は、概して、本技術において、本開示の文脈内で、および各用語が使用される特定の文脈において、それらの通常の意味を有する。代替の言語および同義語は、本明細書で論じられる用語のいずれか1つ以上に使用されてもよく、用語が本明細書で詳述または論じられるかどうかに特別な意味を置くべきではない。場合によっては、特定の用語に対する同義語が提供される。1つ以上の同義語の詳述は、他の同義語の使用を排除するものではない。本明細書で論じられる任意の用語の例を含む本明細書の任意の場所での例の使用は、例示的なものにすぎず、本開示または任意の例示的な用語の範囲および意味をさらに限定することを意図するものではない。同様に、本開示は、本明細書に示される様々な実施形態に限定されない。
【0009】
本開示の範囲を限定することを意図することなく、本開示の実施形態による機器、装置、方法、およびそれらに関連する結果の例を以下に示す。タイトルまたはサブタイトルは、読者の便宜のために例で使用される場合があり、決して、本開示の範囲を制限するものではないことに留意されたい。別段の定義がない限り、本明細書で使用される技術的および科学的用語は、本開示が属する技術分野の当業者によって一般的に理解される意味を有する。矛盾する場合は、定義を含む本文献が優先される。
【0010】
本開示の追加の特徴および利点は、以下の説明に記載され、一部は説明から明らかであるか、または本明細書に開示される原理の実践によって学ぶことができる。本開示の特徴および利点は、添付の特許請求の範囲で特に指摘されている機器および組み合わせによって実現および取得することができる。本開示のこれらおよび他の特徴は、以下の説明および添付の特許請求の範囲からより完全に明らかになるか、または本明細書に記載の原理の実践によって学ぶことができる。
【0011】
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
【0012】
開示される技術は、ネットワーキング環境において、粒状で重複する入口ベースおよび出口ベースのポリシーを実装するためのソリューションを提示する。このソリューションでは、このソリューションを実装するための方法、システム、および非一時的コンピュータ可読媒体について詳しく説明する。
【0013】
一態様では、非一時的コンピュータ可読媒体は、非一時的コンピュータ可読媒体に記憶されたコンピュータ可読命令を含み、これらの命令は、1つ以上のプロセッサによって実行されるときに、1つ以上のプロセッサに、ネットワークの少なくとも1つのターゲットを確立することであって、少なくとも1つのターゲットが、入口パラメータまたは出口パラメータのうちの少なくとも1つ、およびネットワークパケットのポリシーを含む、確立することと、ネットワークを介して少なくとも1つのネットワークパケットを受信することと、少なくとも1つのターゲットから少なくとも1つの一致ターゲットを検索することであって、少なくとも1つの一致ターゲットが、少なくとも1つのネットワークパケットに一致するパラメータを含む、検索することと、少なくとも1つの一致ターゲットのポリシーを少なくとも1つのネットワークパケットに適用することと、ポリシーに従って少なくとも1つのネットワークパケットを転送することと、を行わせる。
【0014】
一態様では、方法は、ネットワークの少なくとも1つのターゲットを確立することであって、ターゲットが、入口パラメータまたは出口パラメータのうちの少なくとも1つ、およびネットワークパケットのポリシーを含む、確立することと、ネットワークを介して少なくとも1つのネットワークパケットを受信することと、少なくとも1つのターゲットから少なくとも1つの一致ターゲットを検索することであって、少なくとも1つの一致ターゲットが、少なくとも1つのネットワークパケットに一致するパラメータを含む、検索することと、少なくとも1つの一致ターゲットのポリシーを少なくとも1つのネットワークパケットに適用することと、ポリシーに従って少なくとも1つのネットワークパケットを転送することと、を含む。
【0015】
一態様では、デバイスは、コンピュータ可読命令が記憶されたメモリと、1つ以上のプロセッサと、を含み、1つ以上のプロセッサは、ネットワークの少なくとも1つのターゲットを確立することであって、ターゲットが、入口パラメータまたは出口パラメータのうちの少なくとも1つ、およびネットワークパケットのポリシーを含む、確立することと、ネットワークを介して少なくとも1つのネットワークパケットを受信することと、少なくとも1つのターゲットから少なくとも1つの一致ターゲットを検索することであって、少なくとも1つの一致ターゲットが、少なくとも1つのネットワークパケットに一致するパラメータを含む、検索することと、少なくとも1つの一致ターゲットのポリシーを少なくとも1つのネットワークパケットに適用することと、ポリシーに従って少なくとも1つのネットワークパケットを転送することと、を行うためのコンピュータ可読命令を実行するように構成されている。
【0016】
例示的な実施形態
開示される技術は、ネットワーキング環境において、粒状で重複する入口および出口ベースのポリシーを実装するための当技術分野の必要性に対処する。そのような例示的な実施形態を説明する前に、上記の概念を展開および利用することができるいくつかの例示的な構成を最初に説明する。
【0017】
ここで、本開示は、本技術の例示的な概念および技術の最初の議論に移る。
【0018】
モデムネットワーキング環境では、ネットワークデバイスは、世界中の場所、内部トラフィック対外部トラフィック、様々なレベルのアクセス許可を持つ個人からのサービス要求、および他の多くの要素といった、様々なソースとの間のトラフィックを管理するように求められる場合がある。これらの環境では、これらのデバイスによって処理されるネットワークフローの多様性を考慮するために粒状ポリシーが必要である。
【0019】
本技術は、ネットワーキング環境において、粒状で重複する入口および出口ベースのポリシーを可能にするソリューションを提示する。ターゲットは、入口から出口へのトラフィックフローを定義し、それをポリシーに結合する。入口変数および出口変数は、ポリシーを粒状に適用できるようにするために、場所、ユーザコンテキスト、デバイスコンテキスト、または他の多くの要素を含むことができる。これらのターゲットは重複する可能性があるため、ポリシーインフラストラクチャを粒状レベルで構築できる。
【0020】
ターゲットおよびそれらのポリシーは、ルータなどのネットワーキングデバイス上のポリシー実施ポイントで実装される。着信ネットワークトラフィックはポリシー実施ポイントを通過し、ここで、ネットワークトラフィックに一致するターゲットが発見され、それらのポリシーが適用される。
【0021】
図1は、本技術による例示的なルータ100を示す。ルータ100は、ネットワークパケットのポリシーを含むターゲットをユーザ110から受信することができ、これらは、次いで、ポリシー実施ポイント120においてネットワークパケットを受信するために適用される。
【0022】
ルータ100は、ネットワーキング環境においてネットワークトラフィックを中継する任意のネットワーキングデバイスであり得る。これは、エッジ、ボーダー、または他のネットワーキングデバイスであり得る。これは、ネットワーキング環境においてネットワークトラフィックを受信、送信、または停止することができる。これは、インターフェース130および132を介してトラフィックを処理する。
【0023】
ルータ100は、ポリシー実施ポイント120をホストする。ポリシー実施ポイント120は、一致ターゲットからのポリシーを着信および発信ネットワークトラフィックに適用するエンジンである。これは、ハードウェアコンポーネント、ソフトウェアコンポーネント、仮想コンポーネント、またはそれらの組み合わせであり得る。ターゲットは、ネットワークパケットのフローに一致する入口変数または出口変数を定義し、それらのネットワークパケットに適用されるポリシーをさらに定義する。
【0024】
ユーザ110は、ネットワーキング環境のターゲットをポリシー実施ポイント120に送信する。ユーザ110は、ネットワーク管理者または他のネットワークポリシー専門家であり得る。
【0025】
ルータ100に着信するネットワークパケットは、トラフィックフロー情報、すなわち、出発ポイント(入口)、宛先ポイント(出口)、およびポリシーグループ情報を含むことができる。これらのパラメータは、仮想プライベートネットワーク、ユーザ、デバイス、場所、または他の要素を指名することができる。ポリシーグループ情報は、ネットワークパケットを送信したユーザ、ネットワークパケットの発信元のデバイス、ネットワークパケットの発信元の物理的な場所、または他の関連情報に関する情報を含むことができる。いくつかの実施形態では、パラメータをブランクのままにして、このパラメータが一致に必要ないことを示すことができる。このような場合、すべてのトラフィックがこの一致基準を満たすことになる。いくつかの実施形態では、パラメータは、ポリシーに一致する多くの値を示す範囲とすることができる。例えば、入口パラメータは、境界が設定された大きい地理的領域を含むことができるか、または出口パラメータは、一連のVPNを含むことができる。
【0026】
ポリシー実施ポイント120は、ネットワークパケットを受信すると、ネットワークパケットに関する入口、出口、およびポリシーグループ情報を読み取ることができる。続いて、それは、ネットワークパケットの入口、出口、またはポリシーグループ情報と一致する、ユーザ110から受信されたターゲットを内部的に検索することができる。発見されると、ポリシー実施ポイント120は、一致ターゲットからのポリシーをネットワークパケットに適用することができる。ネットワークパケットは、複数の一致ターゲットを有することができる。このような場合、すべての一致ターゲットからのポリシーをネットワークパケットに適用することができる。図2は、複数のターゲットがどのように「重複」し、同じネットワークパケットに適用され得るかの一例を示している。
【0027】
ポリシーは、ネットワークパケットのフローに対する何らかの制限を構成する。これは、(入口および出口パラメータで定義された)ネットワークポイントがどのようにして相互に通信することができるかを指定する。例えば、機密情報を保持するサーバを含む出口パラメータを持つターゲットは、ネットワークパケットに十分なセキュリティクリアランスが存在することを要求するポリシーを有する場合がある。
【0028】
場合によっては、複数のターゲットが1つのネットワークパケットに一致し、複数のポリシーが実施される必要がある。これが発生すると、ポリシー実施ポイント120は、ターゲットの「レベル」を処理できる指定されたシーケンスを使用してポリシーを適用することができる。高レベルのターゲットは、別のターゲットのスーパーセットであるターゲットであり、低レベルのターゲットは、別のターゲットのサブセットである。これは次の例で説明できる。ターゲット1は米国全体として定義され、ターゲット2はカリフォルニア州として定義されると仮定する。カリフォルニア州は米国に含まれているため、カリフォルニア州の住居はターゲット1およびターゲット2の両方に当てはまる。ポリシーの例として税法を使用すると、連邦税(ターゲット1のポリシー)およびカリフォルニア州税(ターゲット2のポリシー)の両方がこの住居に適用される。これらのアイデアは、図2の考察においてさらに明らかになる。
【0029】
ポリシー適用の1つの例示的なシーケンスは、最初に、最高レベルから最低レベルまでの入口一致ターゲットポリシーを適用し、次に、最低レベルから最高レベルまでの出口一致ターゲットポリシーを適用することを伴う。
【0030】
図2は、本技術による概略図を示す。概略図200は、ターゲットがどのように重複し得るかを示しており、それらがどのように適用されるかを知らせることができる。
【0031】
概略図200は、拡張ベン図で3つの例示的ターゲット1、2、および3を示している。ターゲット1は、すべてのネットワークトラフィックのサブセットXに一致し、このトラフィックのポリシー1を確立する。ターゲット2およびターゲット3の両方には、Xのサブセットに適用されるポリシー2および3がある。例えば、ポリシー1は、企業本社で発信されたすべてのトラフィックに適用され得るが、ポリシー2は、支店のほうへ流れる企業本社で発信されたすべてのトラフィックに適用され、ポリシー3は、プロジェクトマネージャから企業本社で発信されたすべてのトラフィックに適用される。これにより、概略図200に示すように、2つ以上のターゲットに一致する一部のトラフィックが発生する。
【0032】
2つ以上の一致ターゲットがある場合、ポリシー実施ポイント120は、それらのターゲットのポリシーを適用する順序を決定する必要がある。前述の例示的なシーケンスに従って、この場合、ポリシー実施ポイント120は、最初にポリシー1を適用し、次にポリシー2、次にポリシー3を適用するであろう。これは、ポリシー1には最高レベルの入口があり、出口がなく、ポリシー2には最高レベルの入口と出口があり、ポリシー3には最低レベルの入口があるためである。
【0033】
図3は、本技術のいくつかの態様による例示的な方法を示す。これは、図1に示すシステムによって実装できる。
【0034】
プロセス300において、ルータ100上のポリシー実施ポイント120は、ユーザ110からターゲットを受信する。ターゲットは、出口パラメータまたは入口パラメータのうちの少なくとも1つと、パラメータに一致するネットワークパケットに適用するポリシーと、を含む。
【0035】
プロセス310において、インターフェース130は、ネットワーキング環境から来るネットワークパケットを受信する。その後、プロセス320において、ポリシー実施ポイント120は、インターフェース130からこのネットワークパケットを受信する。
【0036】
プロセス330において、ポリシー実施ポイント120は、ネットワークパケットに一致するターゲットを検索する。各ターゲットは、ポリシーと、入口パラメータまたは出口パラメータのうちの少なくとも1つと、を含む。これらのパラメータはネットワークパケットと照合されるため、最終的に一致ターゲットポリシーをネットワークパケットに適用することができる。この検索は、順次実行するか、または任意の数の他のアルゴリズムを使用して実行することができる。
【0037】
プロセス340において、ポリシー実施ポイント120は、ネットワークパケットに一致するターゲットからのポリシーを適用する。2つ以上のポリシーがある場合、これらのポリシーは、事前定義されたシーケンス、生成されたシーケンスで、またはランダムな順序で適用できる。
【0038】
プロセス350において、インターフェース132は、一致ターゲットからのポリシーが適用されたネットワークパケットを受信する。プロセス360において、インターフェース132は、それらのポリシーに従ってネットワークパケットを転送する。それは、制約なしでネットワークパケットを宛先に送信したり、制限付きでそれを転送したり、またはトラフィックの発信元に「アクセス拒否」通知を返したりすることができる。
【0039】
図4は、コンピューティングシステム400の一例を示し、これは、例えば、ルータ100を構成する任意のコンピューティングデバイス、またはシステムのコンポーネントが接続部405を使用して互いに通信しているその任意のコンポーネントであり得る。接続部405は、バスを介した物理接続、またはチップセットアーキテクチャなどでのプロセッサ410への直接接続であり得る。接続部405は、仮想接続、ネットワーク接続、または論理接続である場合もある。
【0040】
いくつかの実施形態では、コンピューティングシステム400は、本開示で説明される機能がデータセンター、複数のデータセンター、ピアネットワーク内などで分散され得る分散システムである。いくつかの実施形態では、説明されるシステムコンポーネントのうちの1つ以上は、多くのそのようなコンポーネントを表し、各々は、コンポーネントが記述された機能の一部またはすべてを実行する。いくつかの実施形態では、コンポーネントは、物理デバイスまたは仮想デバイスであり得る。
【0041】
例示的なシステム400は、少なくとも1つの処理ユニット(CPUまたはプロセッサ)410と、読み取り専用メモリ(ROM)420およびランダムアクセスメモリ(RAM)425などのシステムメモリ415を含む様々なシステムコンポーネントをプロセッサ410に結合する接続部405と、を含む。コンピューティングシステム400は、プロセッサ410に直接接続されているか、近接しているか、またはプロセッサ410の一部分として組み込まれた高速メモリ412のキャッシュを含むことができる。
【0042】
プロセッサ410は、任意の汎用プロセッサ、ならびにプロセッサ410を制御するように構成された記憶デバイス430に記憶されたサービス432、サービス434、および436などのハードウェアサービスまたはソフトウェアサービスだけでなく、ソフトウェア命令が実際のプロセッサ設計に組み込まれている専用プロセッサを含むことができる。プロセッサ410は、本質的に、複数のコアまたはプロセッサ、バス、メモリコントローラ、キャッシュなどを包含する完全に自己完結型のコンピューティングシステムであり得る。マルチコアプロセッサは、対称または非対称であり得る。
【0043】
ユーザの対話を可能にするために、コンピューティングシステム400は、音声用のマイクロフォン、ジェスチャまたはグラフィック入力用のタッチセンシティブスクリーン、キーボード、マウス、モーション入力、音声など、任意の数の入力メカニズムを表すことができる入力デバイス445を含む。コンピューティングシステム400はまた、当業者に知られている多数の出力メカニズムのうちの1つ以上であり得る出力デバイス435を含むことができる。場合によっては、マルチモーダルシステムは、ユーザがコンピューティングデバイス400と通信するために複数のタイプの入力/出力を提供することを可能にし得る。コンピューティングシステム400は、ユーザ入力およびシステム出力を全般的に統御および管理し得る通信インターフェース440を含むことができる。特定のハードウェア構成での動作に制限はないため、ここでの基本機能は、開発時に改善されたハードウェアまたはファームウェア構成に簡単に置き換えることができる。
【0044】
記憶デバイス430は、不揮発性メモリデバイスとすることができ、磁気カセット、フラッシュメモリカード、ソリッドステートメモリデバイス、デジタル多用途ディスク、カートリッジ、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、および/またはこれらのデバイスの何らかの組み合わせなど、コンピュータがアクセス可能なデータを記憶し得るハードディスクまたは他のタイプのコンピュータ可読媒体とすることができる。
【0045】
記憶デバイス430は、ソフトウェアサービス、サーバ、サービスなどを含むことができ、そのようなソフトウェアを定義するコードがプロセッサ410によって実行されると、システムに機能を実行させる。いくつかの実施形態では、特定の機能を実行するハードウェアサービスは、その機能を実施するために、プロセッサ410、接続部405、出力デバイス435などの必要なハードウェアコンポーネントに関連して、コンピュータ可読媒体に記憶されたソフトウェアコンポーネントを含むことができる。
【0046】
要約すると、本技術は、ネットワークの少なくとも1つのターゲットを確立することであって、ターゲットが、入口パラメータまたは出口パラメータのうちの少なくとも1つ、およびネットワークパケットのポリシーを含む、確立することと、ネットワークを介して少なくとも1つのネットワークパケットを受信することと、少なくとも1つのターゲットから少なくとも1つの一致ターゲットを検索することであって、少なくとも一致ターゲットが、少なくとも1つのネットワークパケットに一致するパラメータを含む、検索することと、少なくとも1つの一致ターゲットのポリシーを少なくとも1つのネットワークパケットに適用することと、ポリシーに従って少なくとも1つのネットワークパケットを転送することと、を行うためのシステム、方法、およびコンピュータ可読媒体を開示する。
【0047】
説明を明確にするために、場合によっては、本技術は、ソフトウェアで具体化される方法におけるデバイス、デバイスコンポーネント、ステップもしくはルーチン、またはハードウェアとソフトウェアの組み合わせを備える機能ブロックを含む個々の機能ブロックを含むものとして提示され得る。
【0048】
いくつかの実施形態では、コンピュータ可読記憶デバイス、媒体、およびメモリは、ビットストリームなどを含むケーブルまたは無線信号を含み得る。しかしながら、言及される場合、非一時的コンピュータ可読記憶媒体は、エネルギ、搬送波信号、電磁波、および信号自体などの媒体を明示的に除外する。
【0049】
上述した例による方法は、コンピュータ可読媒体に記憶されているか、または別様にそれから利用可能であるコンピュータ実行可能命令を使用して実装することができる。そのような命令は、例えば、汎用コンピュータ、専用コンピュータ、もしくは専用処理デバイスに特定の機能または機能のグループを実行させるかまたは別様に構成する命令およびデータを含むことができる。使用されるコンピュータリソースの部分は、ネットワーク経由でアクセス可能とすることができる。コンピュータ実行可能命令は、例えば、バイナリ、アセンブリ言語、ファームウェア、またはソースコードなどの中間フォーマット命令とすることができる。命令、使用される情報、および/または説明された例による方法中に作成された情報を記憶するために使用することができるコンピュータ可読媒体の例は、磁気ディスクまたは光ディスク、フラッシュメモリ、不揮発性メモリを備えたUSBデバイス、ネットワーク記憶デバイスなどを含む。
【0050】
これらの開示による方法を実装するデバイスは、ハードウェア、ファームウェア、および/またはソフトウェアを含むことができ、様々なフォームファクタのいずれかを取ることができる。このようなフォームファクタの典型的な例には、ラップトップ、スマートフォン、スモールフォームファクタのパーソナルコンピュータ、携帯情報端末、ラックマウントデバイス、スタンドアロンデバイスなどが挙げられる。本明細書に記載される機能はまた、周辺機器またはアドインカードで具体化することができる。そのような機能はまた、さらなる例として、単一のデバイスで実行される異なるチップまたは異なるプロセスの間の回路基板上に実装することもできる。
【0051】
命令、そのような命令を伝達するための媒体、それらを実行するためのコンピューティングリソース、およびそのようなコンピューティングリソースをサポートするための他の構造は、これらの開示に記載された機能を提供するための手段である。
【0052】
添付の特許請求の範囲内の態様を説明するために、様々な例および他の情報が使用されたが、当業者であれば、多種多様な実装形態を導出するために、これらの例を使用することができるように、そのような例における特定の特徴または構成に基づいて、特許請求の範囲のいかなる制限も示唆されるべきではない。さらに、一部の主題は、構造的特徴および/または方法ステップの例に対して固有の言語で記載されている場合があるが、添付の特許請求の範囲で定義される主題は、必ずしもこれらの記載された特徴または行為に限定されないことを理解されたい。例えば、そのような機能は、本明細書で識別されているコンポーネント以外のコンポーネントで、異なって分散され、または実行することができる。むしろ、記載された特徴およびステップは、添付の特許請求の範囲内のシステムおよび方法のコンポーネントの例として開示される。
【0053】
セット「のうちの少なくとも1つ」と記載される特許請求項の文言は、セットのうちの1つのメンバーまたはセットのうちの複数のメンバーが特許請求項を満たしていることを示す。例えば、「AおよびBのうちの少なくとも1つ」と記載される特許請求項の文言は、A、B、またはAおよびBを意味する。
図1
図2
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.