使用安全参数索引值维护分组的服务质量处理制造技术

本文描述了用于基于分组头部的安全参数索引(SPI)值和分组头部的五元组值集合来负载平衡加密流量的技术。此外，本文还描述了用于在分组头部的SPI值字段中包括服务质量(QoS)类型信息的技术。QoS类型信息可以指示处理分组将依据的特定流量类别。此外，本文还描述了用于预配置后端主机以使得加密流量可以从另一后端主机迁移到该后端主机而不引起临时服务中断的技术。务中断的技术。务中断的技术。

【技术实现步骤摘要】
【国外来华专利技术】使用安全参数索引值维护分组的服务质量处理
[0001]相关申请
[0002]本申请要求于2021年2月9日提交的美国技术专利申请No.17/171,604的优先权，其要求于2020年12月11日提交的美国临时专利申请No.63/124,317的优先权，这两个申请的全部内容通过引用并入本文。


[0003]本公开总体上涉及用于使用分组头部的安全参数索引(SPI)值对加密流量进行负载平衡的改进技术。

技术介绍

[0004]构建云交付的软件即服务(SaaS)产品涉及创建分布式系统，该系统被交付给云中的用户。通常，流量根据一种或多种路由策略(例如等价多路径(ECMP)路由)被发送到这些服务中。ECMP和其他路由策略允许基于“五元组(5
‑
tuples)”固定流，以便将分组发送到特定的后端实例。分组的五元组通常指的是包含传输控制协议/互联网协议(TCP/IP)连接的五个不同值的集合。五元组的值的集合包括源IP地址、源端口号、目的地IP地址、目的地端口号和正在使用的特定协议。
[0005]然而，由于ECMP和其他路由策略使用五元组，因此它们没有考虑加密连接(例如互联网协议安全(IPsec)连接，其包括互联网密钥交换(IKE)流量和封装安全负载(ESP)流量)的各个流。此外，加密连接(例如IPsec)由于其加密的本质，很难为其提供流量分类。一旦分组被加密和封装，执行任何形式的服务质量(QoS)几乎变得不可能。
[0006]此外，在负载平衡器放置在负责处理加密流量的工作者节点池之前的联网环境中，当工作者节点离线时，分配给工作者节点的加密会话必须迁移到一个或多个其他主机。这通常会导致临时服务中断，同时(一个或多个)新的主机工作者节点和客户端协商新的加密连接。
附图说明
[0007]下面结合附图进行详细描述。在附图中，参考标号最左边的(一个或多个)数字标识该参考标号首次出现的附图。在不同附图中使用相同的参考标号表示相似或相同的项目。附图中描绘的系统不是按比例绘制的，并且附图中的组件可能被描绘成不是彼此按比例绘制的。
[0008]图1示出了包括隧道通信会话的联网环境的示例系统架构的示意图，该隧道通信会话包括分离的控制平面和数据平面流量流。
[0009]图2示出了负载平衡器节点根据一个或多个路由策略向下游节点发送流量的示例流量流的示意图。
[0010]图3示出了用于使用分组头部的SPI值建立流量的负载平衡的通信会话的各个节点和/或设备之间的示例流量流的数据流图。
[0011]图4A和图4B示出了用于指示分组头部的SPI值中的QoS类型信息的通信会话的各个节点和/或设备之间的示例流量流的数据流图。
[0012]图5A
‑
图5C共同示出了与执行加密隧道迁移相关联的示例数据流的示意图。
[0013]图6示出了用于通过使用SPI值来维护分组的QoS处理的示例方法的逻辑流程图。
[0014]图7示出了用于基于分组头部的SPI值来负载平衡流量的示例方法的逻辑流程图。
[0015]图8示出了用于执行加密隧道迁移的示例方法的逻辑流程图。
[0016]图9示出了用于执行加密隧道迁移的另一示例方法的逻辑流程图。
[0017]图10示出了用于实现网络节点和/或设备(例如负载平衡器、控制节点、数据节点等)的示例计算机硬件架构的示意图，该网络节点和/或设备可用于实现本文呈现的各种技术的各个方面。
具体实施方式
[0018]概述
[0019]本专利技术的各个方面在独立权利要求中阐述并且优选特征在从属权利要求中阐述。一个方面的特征可以单独或与其他方面组合应用于每个方面。
[0020]本公开描述了系统和方法，这些系统和方法通过使用分组头部的安全参数索引(SPI)值来改进与负载平衡加密流量有关的技术。作为示例而非限制，根据本公开中描述的各种技术的方法可以包括从客户端设备并且在网络的网络设备处接收通过网络建立加密隧道以使得数据平面流量可以经由加密隧道在客户端设备和服务之间流动的请求。该方法还可以包括生成要由客户端设备用于数据平面流量的SPI值并且向客户端设备发送关于SPI值的指示。另外，该方法可以包括在负载平衡器处接收包括SPI值的数据分组，并且至少部分地基于SPI值，确定将数据分组发送到支持该服务的一组服务器中的服务器。相应地，负载平衡器可以将数据分组发送到服务器。
[0021]在一些情况下，该方法可以附加地或替代地包括确定数据平面流量属于一组流量类别中的特定流量类别。特定流量类别可以与特定服务质量(QoS)性能度量相关联。因此，该方法可以包括生成要由客户端设备用于数据平面流量的SPI值。SPI值可以对应于特定的流量类别。以此方式，负载平衡器可以接收包括SPI值的数据平面流量的数据分组，并且至少部分地基于包括SPI值的数据分组，负载平衡器可以通过网络发送数据分组，使得根据特定的QoS性能度量处理数据分组。
[0022]在附加或替代示例中，该方法可以包括在负载平衡器处并且从客户端设备接收具有第一SPI值和一组五元组值的第一数据平面流量。至少部分地基于第一SPI值和该组五元组值，负载平衡器可以将第一数据平面流量发送到第一节点。该方法还可以包括在负载平衡器处接收第一数据平面流量的至少一部分要被发送到第二节点的指示。至少部分地基于该指示，负载平衡器可以提示第二节点提供一个或多个接口，使得第一数据平面流量的至少一部分可以被发送到第二节点。以此方式，负载平衡器可以从客户端设备接收具有第二SPI值和该组五元组值的第二数据平面流量。至少部分地基于第二SPI值和该组五元组值，负载平衡器可以确定第二数据平面流量包括第一数据平面流量的至少该部分，并且作为响应，发送第二数据平面流量到第二节点。
[0023]另外，本文描述的技术可以作为一种方法和/或由具有存储计算机可执行指令的
非暂态计算机可读介质的系统来执行，指令在由一个或多个处理器执行时执行本文描述的技术。
[0024]示例实施例
[0025]如上所述，通常根据一种或多种路由策略(例如等价多路径(ECMP)路由)将流量发送到各种服务。但是，由于这些路由策略使用五元组，因此它们没有考虑加密连接(例如互联网协议安全(IPsec)连接，其包括互联网密钥交换(IKE)流量和封装安全负载(ESP)流量)的各个流。这意味着这些流的熵可能远小于在每隧道熵由针对IPsec IKE和ESP流的安全关联(SA)提供的情况下所能达到的。例如，IPsec IKE和ESP流量包含称为安全参数索引(SPI)的附加标识符。SPI值用于唯一标识已建立的IPsec SA。
[0026]因此，本公开的一个方面提供用于利用SPI值以允许负载平衡和将每IPsec IKE和ESP流固定到特定后端的技术。通过执行这些技术，可以实现多种优势，包括能够在多个系统上终止相同的加密隧道/SA，这允许扩展容量。此外，可以通过对控制平面和数据平面流量会话可能落在后端节点/服务器上的本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：从客户端设备并且在网络的网络设备处接收通过所述网络建立加密隧道以使得数据平面流量经由所述加密隧道在所述客户端设备和服务之间流动的请求；确定所述数据平面流量属于一组流量类别中的特定流量类别，所述特定流量类别与特定服务质量(QoS)性能度量相关联；生成要由所述客户端设备用于所述数据平面流量的安全参数索引(SPI)值，所述SPI值对应于所述特定流量类别；向所述客户端设备发送关于所述SPI值的指示；在与所述网络相关联的负载平衡节点处接收所述数据平面流量的包括所述SPI值的数据分组；以及至少部分地基于包括所述SPI值的所述数据分组，通过所述网络发送所述数据分组，使得根据所述特定QoS性能度量来处理所述数据分组。2.如权利要求1所述的方法，其中，生成所述SPI值包括：至少部分地基于所述特定流量类别生成表示要处理的所述数据分组的所述特定QoS性能度量的第一位组合；生成表示安全关联的第二位组合；以及掩蔽所述第一位组合和所述第二位组合，使得所述第一位组合包括所述SPI值的第一部分并且所述第二位组合包括所述SPI值的第二部分。3.如权利要求2所述的方法，其中，所述第一位组合由第一十六进制数字表示，并且所述第二位组合由多个十六进制数字表示。4.如权利要求1至3中任一项所述的方法，其中，所述SPI值的第一部分是与所述特定流量类别对应的第一标识符，并且所述SPI值的第二部分是与所述网络的安全关联对应的第二标识符。5.如权利要求1至4中任一项所述的方法，其中，所述数据分组是第一数据分组，所述SPI值是第一SPI值，所述特定流量类别是第一流量类别，并且所述特定QoS性能度量是第一QoS性能度量，所述方法进一步包括：在所述负载平衡节点处接收第二数据分组，所述第二数据分组包括对应于第二流量类别的第二SPI值，所述第二流量类别与第二QoS性能度量相关联；以及至少部分地基于包括所述第二SPI值的所述第二数据分组，通过所述网络发送所述第二数据分组，使得根据所述第二QoS性能度量来处理所述第二数据分组。6.如权利要求1至5中任一项所述的方法，其中通过所述网络发送所述数据分组包括至少部分地基于所述SPI值和所述数据分组的五元组使用等价多路径(ECMP)路由算法通过所述网络发送所述数据分组。7.如权利要求1至6中任一项所述的方法，其中生成所述SPI值包括生成要由所述客户端设备用于所述数据平面流量的多个SPI值，所述多个SPI值中的每一个对应于相应的流量类别，每个相应的流量类别与相应的QoS性能度量相关联。8.一种系统，包括：一个或多个处理器；以及一个或多个存储指令的非暂态计算机可读介质，所述指令在由所述一个或多个处理器
执行时，使所述一个或多个处理器执行操作，所述操作包括：从客户端设备接收通过网络建立加密隧道以使得数据平面流量经由所述加密隧道在所述客户端设备和服务之间流动的请求；确定所述数据平面流量属于一组流量类别中的特定流量类别，所述特定流量类别与特定服务质量(QoS)性能度量相关联；生成要由所述客户端设备用于所述数据平面流量的安全参数索引(SPI)值，所述SPI值对应于所述特定流量类别；向所述客户端设备发送关于所述SPI值的指示；从所述客户端设备接收所述数据平面流量的包括所述SPI值的数据分组；以及至少部分地基于包括所述SPI值的所述数据分组，通过所述网络发送所述数据分组，使得根据所述特定QoS性能度量来处理所述数据分组。9.如权利要求8所述的系统，其中，生成所述SPI值包括：至少部分地基于所述特定流量类别生成表示要处理的所述数据分组的所述特定QoS性能度量的第一位组合；生成表示安全关联的第二位组合；以及掩蔽所述第一位组合和所述第二位组合，使得所述第一位组合包括所述SPI值的第一部分并且所述第二位组合包括所述SPI值的第二部分。10.如权利要求9所述的系统，其中，所述第一位组合由第一十六进制数字表示，并且所述第二位组合由多个十六进制数字表示。11.如权利要求8至10中任一项所述的系统，其中，所述SPI值的第一部分是与所述特定流量类别对应的第一标识符，并且所述SPI值的第二部分是与所述网络的安全关联对应的第二标识符。12.如权利要求8至11中任一项所述的系统，其中，所述数据分组是第一数据分组，所述SPI值是第一SPI值，所述特定流量类别是第一流量类别，并且所述特定QoS性能度量是第一QoS性能度量，所述操作进一步包括：接...

【专利技术属性】
技术研发人员：格热戈兹，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：