申请/专利权人：华为技术有限公司

申请日：2018-05-22

公开（公告）日：2021-01-05

公开（公告）号：CN109923838B

主分类号：H04L12/46(20060101)

分类号：H04L12/46(20060101)

优先权：["20170522 US 62/509,436","20180518 US 15/984,007"]

专利状态码：有效-授权

法律状态：2021.01.05#授权;2019.07.16#实质审查的生效;2019.06.21#公开

摘要：一种采用用于向软件定义网络softwaredefinednetworking，SDN控制器发送注册请求的发送器的网络设备。所述网络设备采用接收器从所述SDN控制器接收回复。所述回复指示耦合到运营商网络的多个运营商边缘provideredge，PE设备。所述网络设备采用处理器，使得所述发送器和接收器通过所述PE设备建立与在广域网wideareanetwork，WAN上运行的虚拟专用网virtualprivatenetwork，VPN的多个非对称连接。

主权项：1.一种网络设备，其特征在于，包括：发送器，用于向软件定义网络SDN控制器发送解析请求；耦合到所述发送器的接收器，所述接收器用于接收来自所述SDN控制器的回复，所述回复指示耦合到运营商网络的多个运营商边缘PE设备；以及耦合到所述发送器和所述接收器的处理器，所述处理器用于通过所述PE设备建立与在软件定义广域网SDWAN上运行的虚拟专用网VPN的多个非对称连接。

全文数据：桥接远程孤岛的弹性VPN相关申请案交叉申请本专利申请要求于2018年5月18日递交的发明名称为“桥接远程孤岛的弹性VPNElasticVPNThatBridgesRemoteIslands”的第15984,007号非临时专利申请案的在先申请优先权，该在先申请案又要求于2017年5月22日由LindaDunbar等人递交的发明名称为“桥接远程孤岛的弹性VPNElasticVPNThatBridgesRemoteIslands”的第62509,436号美国临时专利申请案的在先申请优先权，这些在先申请案的全部内容均以引入的方式并入本文本中。关于由联邦政府赞助研究或开发的声明不适用。参考缩微胶片附录不适用。背景技术许多企业网络采用云计算将处理任务卸载到第三方数据中心。虚拟网络技术可用于在企业网络和容纳云网络的数据中心之间安全地传输数据。该系统允许企业用户在数据中心之间移动应用功能，例如在任何指定日期时间在地理上最接近活跃终端用户群的数据中心处动态分配处理能力。这种方法允许动态分配和回收处理能力以支持依赖于企业网络的分支机构网络。遗憾的是，当在这种架构中采用数千个分支机构网络时，管理分支机构网络和第三方数据中心之间的路由的虚拟网络技术可能无法很好地进行扩展。发明内容在一实施例中，本发明包括一种网络设备，包括：发送器，用于向软件定义网络softwaredefinednetwork，SDN控制器发送解析请求；耦合到所述发送器的接收器，所述接收器用于接收来自所述SDN控制器的回复，所述回复指示耦合到运营商网络的多个运营商边缘provideredge，PE设备；以及耦合到所述发送器和所述接收器的处理器，所述处理器用于使得所述发送器和接收器通过所述PE设备建立与在软件定义广域网softwaredefinedwideareanetwork，SDWAN上运行的虚拟专用网virtualprivatenetwork，VPN的多个非对称连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述多个非对称连接包括无线连接、接入网连接、公共互联网连接或其组合。可选地，在任一前述方面中，所述方面的另一实现方式包括，建立所述多个非对称连接不包括建立所有设备都与所述VPN连接的全网状连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述PE设备中的至少一个耦合到所述运营商网络，并且不耦合到所述VPN。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述发送器还用于向所述SDN控制器发送包括指示客户端本地地址、客户端虚拟网标识、隧道标识或其组合的客户端信息表项的注册请求。可选地，在任一前述方面中，所述方面的另一实现方式包括，建立所述多个非对称连接包括建立直接从耦合到所述网络设备的本地客户端到耦合到所述VPN的目的地的隧道连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述解析请求指示目标客户端的客户端地址，并且请求所述SDN控制器选择PE设备将所述目标客户端连接到所述VPN。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述解析请求包含请求选择公共互联网开放度最小的PE设备的代码。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述回复为包含指示所述PE设备与公共互联网开放度最小的连接相关的解析回复。在一实施例中，本发明包括一种软件定义网络softwaredefinednetwork，SDN控制器，包括：接收器，用于从网络设备接收增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求，所述eNHRP注册请求包括指示与所述网络设备共享局域网的客户端节点的客户端本地地址的客户端信息表项；耦合到所述接收器的处理器，所述处理器用于选择耦合到运营商网络的一个或多个运营商边缘provideredge，PE设备，所述PE设备设置为将所述客户端节点耦合到在广域网wideareanetwork，WAN上运行的虚拟专用网virtualprivatenetwork，VPN；以及耦合到所述处理器的发送器，所述发送器用于将指示所述PE设备的eNHRP解析回复发送给所述网络设备，以支持通过所述PE设备建立所述客户端节点与所述VPN之间的连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述PE设备中的至少一个耦合到所述运营商网络，并且不耦合到所述VPN。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述PE设备支持所述客户端节点与所述VPN之间的非对称连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述eNHRP注册请求的所述客户端信息表项还包括与所述客户端节点关联的客户端虚拟网标识和隧道标识。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述eNHRP注册请求包括指示所述客户端节点不得完全连接到在所述VPN中运行的所有节点的标志。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述接收器还用于接收包含请求选择公共互联网开放度最小的PE设备的代码的eNHRP解析请求。在一实施例中，本发明包括一种运营商网络，包括：通过多协议标记交换multi-protocollabelswitching，MPLS网络互联的多个运营商边缘provideredge，PE设备，所述PE设备用于实现连接来自至少一个数据中心网络、至少一个总部网络以及至少一个远程网络的流量的广域网；以及虚拟专用网virtualprivatenetwork，VPN，用于通过所述MPLS网络经由互联网协议安全internetprotocolsecurity，IPsec隧道安全地在所述数据中心网络、所述总部网络与所述远程网络之间传输所述流量，所述远程网络由所述VPN通过至少一个第三方网络连接到所述MPLS网络，所述远程网络包含至少一个与所述VPN中的部分但非全部节点连接的客户端。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述VPN通过多个通信介质上的多个非对称连接与所述远程网络中的客户端连接。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述运营商网络还包括用于从所述远程网络接收增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求的软件定义网络softwaredefinednetwork，SDN控制器，所述eNHRP注册请求包括指示所述远程网络中的客户端的客户端本地地址的客户端信息表项。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述SDN控制器还用于使用所述客户端本地地址控制直接从所述远程网络中的所述客户端到所述VPN的IPsec隧道的创建。可选地，在任一前述方面中，所述方面的另一实现方式包括，所述SDN控制器还用于向所述远程网络发送eNHRP解析回复，所述eNHRP解析回复指示用于连接到所述MPLS网络的一个或多个PE设备，所述PE设备根据与所述远程网络的地理距离而非根据附着到所述VPN的PE设备指示。为了清晰起见，在本发明范围内，上述实施例中的任何一个可以与上述其它实施例的任何一个或多个组合来创建新的实施例。在下文的详细描述以及结合附图和权利要求中，可以更清楚地理解这些和其它特征。附图说明为了更透彻地理解本发明，现参阅结合附图和具体实施方式而描述的以下简要说明，其中的相似参考标号表示相似部分。图1为采用虚拟专用网VirtualPrivateNetwork，VPN通过IGP连接孤岛网络的示例网络的示意图。图2为采用中心辐射型配置来管理VPN的示例网络的示意图。图3为采用VPN通过不受控网络上的隧道连接孤岛网络的示例网络的示意图。图4为采用VPN支持非对称连接的SDWAN的示例实施例的示意图。图5为示例增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求的示意图。图6为示例eNHRP注册请求头的示意图。图7为示例客户端信息表项clientinformationentry，CIE的示意图。图8为示例eNHRP解析请求的示意图。图9为示例eNHRP解析回复的示意图。图10为采用CPE以非对称方式连接到使用VPN的SDWAN的示例方法的流程图。图11为用于在使用VPN的SDWAN中运行SDN控制器的示例方法的流程图。图12为用于在SDWAN中运行的示例网络设备的示意图。具体实施方式首先应理解，尽管下文提供一项或多项实施例的说明性实施方案，但所公开的系统和或方法可使用任何数目的技术来实施，无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施例、附图和技术，包括本文所说明并描述的示例性设计和实施方式，而是可在所附权利要求书的范围以及其等效物的完整范围内修改。本文所用的孤岛为物理上与对应的企业网络分开的小型网络，例如分支机构网络。在某些真实的情况下，企业网络可以与五万个或更多的分支机构网络连接，例如零售商店、保险公司分支机构等的网络。可以采用软件定义广域网softwaredefinedwideareanetwork，SDWAN将分支机构与企业网络以及相关第三方数据中心datacenter，DC网络连接。本文所用的SDWAN为采用虚拟组网技术的软件控制网络，以分配网络资源，提供安全性，并且为孤岛等网络端点之间的数据通信提供服务水平协议servicelevelagreement，SLA保证。虚拟组网技术可以是例如虚拟专用网virtualprivatenetwork，VPN、互联网协议安全internetprotocolsecurity，IPsec隧道、多协议标记交换multi-protocollabelswitching，MPLS隧道以及其它虚拟网络管理机制。孤岛可以采用客户终端设备customerpremisesequipment，CPE连接到SDWAN。CPE为路由器等位于孤岛处并且提供到对应分支网络的互联网接入的终端。SDWAN在包括用作CPE网关的运营商边缘provideredge，PE设备的运营商网络上运行。相应地，SDWAN可以提供CPE间的虚拟网络隧道，以互联各个分支、第三方数据中心和或企业网络。上述架构有一些缺点。例如，当这些CPE的地理位置较远，例如位于不同国家和或不同大陆，时延、带宽、服务质量qualityofservice，QoS等可能是不可预测的，从而导致难以执行SLA。此外，当连接了成千上万个孤岛时，要采用成千上万个IPsec隧道。CPE可能无法处理如此大量的IPsec隧道，这限制了网络扩展的能力。另外，这一方案实现了CPE间的安全性。第三方DC可以控制这些对应的CPE与这些运行应用的虚拟机virtualmachine，VM、容器、服务器等之间的内部网络。相应地，SDWAN可能无法保持孤岛之间的端到端安全以及DC处的工作负载。本文公开了实现弹性VPN以桥接远程孤岛并且解决上述问题的机制。SDWAN由软件定义网络softwaredefinednetwork，SDN控制器管理。SDN控制器是用于根据运营商网络中的应用和控制逻辑管理网络路由和数据流控制的网络设备。在孤岛上运行的CPE向SDN控制器发送增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求registrationrequest。eNHRP注册请求包括描述本地地址和虚拟网络信息的客户信息表项clientinformationentry，CIE，所述虚拟网络信息可以是例如虚拟网络标识identifier，ID和隧道IDTheeNHRPregistrationrequestsincludeclientinformationentriesCIEsthatdescribethelocaladdressesandvirtualnetworkinformation,suchasvirtualnetworkidentifiersIDsandtunnelIDs。该信息允许SDN控制器编排各种功能的配置。在一示例实施例中，SDN控制器可以向CPE发送eNHRP注册响应，指示附着到运营商网络且地理位置距离CPE最近的PE。相应地，CPE可以连接到附着到运营商网络的最近的PE，而不是连接到已经过VPN认证的最近的PE。这样将穿过公共互联网等不受控网络的部分连接减到最小，从而减少了超出运营商网络控制的不可预测的网络行为。此外，这样可以允许SDN控制器编排orchestrate经过CPE以及到工作负载的安全网络隧道的创建，这提供了端到端的安全解决方案。在某些情况下，这种端到端安全还可以从CPE中移除对相应隧道管理的责任。另外，SDN控制器可以发送具有多个PE的eNHRP解析回复，以支持多个通信介质communicationmedia上的连接。相应地，CPE可以在无线长期演进longtermevolution，LTE接口、接入网接口、公共互联网接口等多个接口上创建与多个PE的多个非对称连接。这反过来允许控制在孤岛上运行的应用和或虚拟网络的不同等级的SLA和连接管理。在另一示例中，CIE信息可以向SDN控制器提供充分的信息，以确定孤岛上的哪些子网应连接到网络中的其它子网。相应地，网络不需要在网络中的所有CPE之间创建全网状fullmesh网络，从而提高可扩展性。例如，SDWAN可以采用CIE信息来避免采用内部网关协议interiorgatewayprotocol，IGP。这些IGP可能要求CPE在路由表中维护与网络中完整的其它CPE集合相关联的信息，这反过来限制了在SDWAN中使用数千个CPE时的网络可扩展性。图1为采用VPN通过IGP连接孤岛网络的示例网络100的示意图。网络100包括将分站点111连接到主站点110的运营商网络120。分站点111为物理上与主站点110分开的孤岛。例如，分站点111可以在主站点110处运行的商业的商店、远程办公室、特许经营店等。分站点111采用局域网localareanetwork，LAN，该局域网为小型网络，将楼宇或相邻楼宇群等小型地理区域内的具有网络功能的设备互联起来。在分站点111中的LAN上运行的各种应用可以由在主站点110上运行的处理功能来服务。例如，分站点111可以包括由主站点110服务的客户端机器。分站点111采用CPE133作为进入和离开LAN的通信的本地网关。CPE133为路由器等终端，位于孤岛处并且为对应的分支网络111提供非本地网络接入例如，互联网接入、运营商网络120接入等。主站点110可以包括支持分站点111的公司园区或其它企业设施。主站点110还包括连接网络流量的LAN以及与分站点111通信的CPE133。在该示例中，主站点110包括数据中心137。数据中心137为服务器和相关计算和网络设备的集合，其提供计算资源以运行和服务在分站点111处运行的应用。这种资源可以包括例如处理器、随机存取存储器randomaccessmemory，RAM、长期存储器存储例如，只读存储器readonlymemory，ROM、存储器备份等等硬件资源和或例如VM、容器等虚拟化计算资源。数据中心137通过主站点110处的LAN、主站点110处的CPE133、运营商网络120以及分站点111处的CPE133与分站点111通信。运营商网络120将分站点111连接到主站点110。运营商网络120包括互联节点的网络，互连节点为例如在其它网络之间传输通信的路由器、交换机等。运营商网络120可以是电网络、光网络、电光网络等。运营商网络120通过运营商边缘provideredge，PE设备131与其它网络通信。PE131为服务提供商管理域例如，运营商网络120与其它网络例如，公共互联网、分站点111、主站点110等管理的管理域之间的路由器或其它网关通信设备。在一些示例中，运营商网络120采用MPLS。MPLS是一种数据传输技术，包括建立通过运营商网络120的路径pathway并为这些路径关联标签。当在PE131处接收到数据分组时，为该分组附上标签。然后根据标签在网络中交换分组。MPLS允许通过运营商网络120建立专用路径dedicatedpathway，从而使得分组以一致的方式穿越traverse运营商网络120。可以组织VPN121安全地路由分站点111和主站点110之间的通信。VPN121包括分配的一组网络资源，例如安全资源和通信资源。经过认证接入VPN121的设备可以访问运营商网络120资源的特定子集，从而产生认证设备专有的虚拟化网络。VPN121可以是分别作为广播网络或可寻址点对点网络运行的开放系统互连opensystemsinterconnect，OSI模式二层网络或OSI三层网络。VPN121可以通过采用CPE133之间的、穿越PE131和运营商网络120的互联网协议安全internetprotocolsecurity，IPsec隧道123实现。IPsec隧道123为点到点通信隧道，通过加密进入隧道的分组和解密离开隧道的分组来保证通信安全。网络100采用内部网关协议interiorgatewayprotocol，IGP，例如开放式最短路径优先OpenShortestPathFirst，OSPF、路由信息协议RoutingInformationProtocol，RIP、中间系统到中间系统协议IntermediateSystemtoIntermediateSystem，IS-IS以及增强型内部网关路由协议EnhancedInteriorGatewayRoutingProtocol，EIGRP。IGP为在网络内共享路由数据的广播协议。相应地，IGP在PE131之间共享路由数据，从而可以解析运营商网络120上的路由。如图1所示，每个CPE133都有一条通往所有其它CPE133的IPsec隧道，这形成全网状fullmesh网络。采用IGP解析该网状网络mesh。这样的系统在VPN121连接少量静态分站点111到主站点110的情况下运行效果较好。然而，随着额外的分站点111被添加到VPN121，完整的网状网络采用数量呈指数增长的IPsec隧道123。当添加数百或数千个分站点111时，CPE133可能无法维持相应数量的IPsec隧道123。此外，可以静态地定义IPsec隧道123。这意味着管理员可以添加和移除隧道以管理121。在采用数百或数千个分站点111时，这种方法会比较麻烦。图2为采用中心hub231和分支spoke133配置来管理VPN221的示例网络200的示意图。具体地，网络200显示了一种可用于生成VPN221的机制，其中VPN221可以是VPN121的一个示例。诸如PE131等的中心231维护包含VPN221中节点地址的路由表，诸如CPE133等的分支233可以通过向中心231发送NHRP注册请求等增强型下一跳解析协议nexthopresolutionprotocol，NHRP通信加入VPN221。NHRP注册请求包含分支233的公共互联网协议internetprotocol，IP地址和专用隧道地址privatetunneladdress。中心231采用IGP与VPN221中的其它中心231和或其它分支233共享该信息。相应地，中心231和分支233可以维护包含分站点IP和隧道地址的路由表。该信息可用于建立IPsec隧道以维护VPN221。在该示例中，只要中心231已经是VPN221的一部分，则分支233可以通过在任一中心231注册来加入VPN221。在网络200中，NHRP注册请求仅包含分支233的地址信息，而不包含附着到分支233的分站点的地址信息。因此，VPN221在分支233处终结IPsec隧道，并且不能提供一直到在与分支233关联的局域网中运行的工作负载的安全性。此外，在网络200中，分支233加入VPN221上最近的中心231。然而，当分支233在地理位置较远时，例如在不同的国家或大陆，VPN221上最近的中心231可能远离分支233。因此，从分支233到中心231的路径可以穿越公共互联网的大部分，这样可能会提供不可靠的通信资源。在未在VPN221上认证的运营商网络PE物理上靠近分支233的情况下，如果分支233要建立通过较近的PE的路径，则可以大幅改善通信。然而，由于较近的PE不在VPN221中，因此分支233可能不知道较近的PE的存在。另外，当数百或数千个分支233例如，分站点已连接到VPN221时，采用IGP向所有分支233传递地址信息可能导致路由表过大且低效。图3为采用VPN321通过不受控网络上的隧道连接孤岛网络的示例网络300的示意图。VPN321与VPN121和或VPN221类似，但采用了动态IPsec隧道323。具体地，网络300包括分站点313和主站点310，分别与分站点111和主站点110类似。网络300还包括DC云337。DC云337可以包括第三方云计算网络。云计算网络是服务器和网络组件的网络。云计算网络用于根据需要弹性地向应用提供硬件资源，例如处理核、存储器和网络带宽。当第一应用为特定任务使用高级资源时，可以将硬件资源分配给第一应用，然后当第一应用不再需要硬件资源时，将硬件资源重新分配给第二应用。与在主站点310处维护专用DC相比，DC云337允许主站点310以经济高效的方式卸载处理任务，因此DC云337是有益的。然而，由于DC云337由第三方拥有和管理，因此以这种方式卸载处理任务可能产生安全问题。VPN321采用动态IPsec隧道323互联分站点313、主站点310和DC云337。动态IPsec隧道323可由控制器建立和控制。VPN321可以在MPLS网络上运行。因此，VPN321可以提供优质的通信服务和SLA保证，例如服务质量qualityofservice，QoS保证、优先级通信、带宽最小化、低延迟等。网络300的难点在于分站点313、主站点310和或DC云337可能会被公共互联网等其它不受控网络从VPN321分开。因此，无法在不受控网络上保证SLA。而且，动态IPsec隧道323可能带来实现上的困难。例如，动态IPsec隧道323的端点可能会动态地改变。相应地，当IPsec隧道323的端点未知和或位于经由运行VPN321的运营商网络难以到达的位置时，维护网络300可能存在挑战。图4为采用VPN421支持不对称连接的SDWAN400的示例实施例的示意图。SDWAN400克服和或减少了与上述网络相关的问题。SDWAN400包括分站点413、主站点410和DC云437，分别与分站点313、主站点310和DC云337类似。分站点413采用LAN互联远程网元networkelement，NE439。远程NE439为计算设备，例如在分站点413处为用户运行应用的客户端机器例如，计算机。分站点413还包括类似于CPE133并且用作分站点413LAN的通信网关的CPE433。主站点410也采用NE439组成的局域网并通过CPE433通信。DC云437包括一个或多个VM438，用于为在主站点410和分站点413处的NE439上运行的应用计算数据。VM438是对通过将DC云437中的硬件资源弹性分配给VM438以执行计算和通信任务而创建的计算机系统的仿真。DC云437可以包括CPE433或虚拟CPEvirtualCPE，vCPE434，其中vCPE434是对通过将DC云437中的硬件资源弹性分配给vCPE434以执行对应通信任务而创建的硬件CPE433的仿真。虽然仅描述了一个DC云437，但是可以采用多个DC云437。此外，可以根据需要、例如通过分站点413在DC云437之间动态地移动进程，从而定位地理上更接近增加了应用使用的区域的处理资源。DC云437、分站点413和主站点410通过运营商网络420连接在一起。运营商网络420包括例如在其它网络之间传输通信的路由器、交换机等互联节点的网络。运营商网络420可以是电网络、光网络、电光网络等。运营商网络420包括位于运营商网络420边缘的多个PE431设备。PE431可以类似于PE131。PE431通过运营商网络420互联。此外，运营商网络420可以通过建立通过运营商网络420的标签交换路径来通过MPLS协议在PE431间传送数据。PE431用于连接来自DC云437网络、主站点410网络例如，企业的总部网络以及包括远离主站点410的网络的分站点413的流量，例如经由通过运营商网络420的MPLS路径。由于分站点413在地理上远离主站点410例如，在不同州、国家和或大陆，网络可以视为是广域网wideareanetwork，WAN。WAN是一个连接距离数十、数百或数千英里的设备的网络。运营商网络420可以不为任何特定企业所专用，因此为在主站点410处运行的企业之外的第三方传送业务。采用VPN421将在主站点410和分站点413运行的企业所使用的运营商网络420中的通信资源划分开来。相应地，VPN421用于在DC云437网络、主站点410与分站点413处的远程网络之间安全地传送业务。VPN421是一组分配的专用通信资源，因此只能由在VPN421上认证的网络设备访问。对VPN421的资源分配可以由控制器435动态地改变。因此，VPN421实现SDWAN，而SDWAN是由动态且以编程方式分配的通信资源实现的WAN，例如通过在控制器435上运行的软件进行。如图所示，在任何给定时间，运营商网络420中的一些PE431被认证到例如，连接到VPN421，而其它PE431未被认证。与上面讨论的VPN一样，VPN421可以通过在MPLS网络上建立IPsec隧道423来实现。IPsec隧道423可以由控制器435动态地建立。因此，IPsec隧道423可以在预定条件出现时不经直接的管理员用户交互而以编程方式创建和终结。如图所示，部分分站点413、DC云437和或甚至主站点410可以通过诸如公共互联网441等不受控的第三方网络与运营商网络420分开。因此，分站点413、DC云437和或主站点410可以由VPN421经由第三方网络通过采用IPsec隧道423连接到运营商网络420。VPN421和IPsec隧道423的资源分配由控制器435处理，控制器435可以是SDN控制器。控制器435是一个用于在预定义条件出现时以编程方式分配网络资源的硬件组件。具体地，控制器435可以管理交换机和路由器级别的数据流控制以及运行为主站点410、分站点413和DC云437确定动态通信需求的网络控制应用。因此，控制器435维持运营商网络420中VPN421的网络资源分配的视图、IPsec隧道423的视图，以及对动态网络通信使用和预期需求的理解。控制器435可以在物理上位于运营商网络420内，以保持对当前网络资源分配的了解。在准备连接到SDWAN400时，CPE433通过增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP通信436与控制器435通信。具体地，CPE433将CIE附着到eNHRP通信436。根据示例，CIE向控制器435提供远程NE439和或分站点413处的LAN、DC云427处的VM438和或主站点410处的NE439的网络地址信息。例如，eNHRP通信436CIE可以包含客户端虚拟网络标识、隧道标识、专用本地地址和或连接目的地的公共IP地址。eNHRP通信436可以包括eNHRP注册和或eNHRP解析请求。eNHRP注册请求是向控制器435注册与LANNE有关的网络地址信息的请求，eNHRP解析请求是确定解析到VPN421的连接点下一跳的请求。eNHRP通信436还可以指示分站点413是否想要以不对称的方式连接到单个PE431或多个PE431。eNHRP通信436也包括控制器435对相关CPE433的eNHRP解析回复，该eNHRP解析回复包含基于CIE中的信息的连接指令。来自CIE的信息允许控制器435执行数个功能。例如，控制器435可以采用专用IP地址创建到远程NE439、VM438和或主站点410处的NE439的IPsec隧道423。相应地，可以以端到端的方式提供安全性，而非停留在CPE433处。这对于向执行处理任务的VM438提供跨DC云437的安全性特别有益，这是因为DC云437可以由不受主站点410处的企业或运行运营商网络420的实体控制的第三方运行。该方法也可以减轻CPE433的管理IPsec隧道423的一些负荷，这些CPE433在采用大量分站点413的其它网络架构中可能负荷过重。此外，可以使用该信息使得远程NE439、VM438和或主站点410处的NE439连接到作为VPN421的子集的子网或其它虚拟网络，而不是要求所有节点都连接到整个VPN421。因此，可以在没有IGP的情况下进行连接，并且无需使用全网就可建立VPN421。当避免使用全网状网络时，网络的复杂性可以不随着每个新节点被添加到网络而呈指数增长。相应地，SDWAN400可以以可靠的方式扩展到数百和或数千个分站点413。此外，CIE信息可以支持CPE433和运营商网络420之间的非对称连接。例如，一些CPE433可以包含多个接口，例如无线LTE接口、到耦合到运营商网络420的接入网的接口、耦合到公共互联网441的接口等。这些接口可以包括无线接口、电接口例如，数字订户线digitalsubscriberline，DSL和同轴连接、光接口例如，光纤和或电光接口。CIE信息可以请求多个PE431，来自控制器435的响应回复可以指示与不同CPE433接口关联的PE431。然后，CPE433可以与PE431建立非对称连接，其中非对称连接是采用不同连接介质的相关网络连接，因此可以以不同时延、带宽和QoS等操作。具体地，非对称连接是通过多个不相关的路径，例如通过不同的接入网，将CPE433耦合到VPN421的相关连接。作为说明性示例，一组非对称连接可以包括一个或多个基于隧道的连接以及一个或多个不采用隧道的连接。作为另一说明性示例，一组非对称连接可以包括一个或多个电连接以及一个或多个光连接。作为另一说明性示例，一组非对称连接可以包括一个或多个有线连接以及一个或多个无线连接。作为另一说明性示例，一组非对称连接可以包括一个或多个同轴连接以及一个或多个数字订户线digitalsubscriberline，DSL连接。作为另一说明性示例，一组非对称连接可以包括一个或多个蜂窝连接以及一个或多个电气和电子工程师学会InstituteofElectricalandElectronicsEngineers，IEEE802.11无线连接。作为另一说明性示例，一组非对称连接可以包括前述说明性示例的组合。相应地，CPE433和控制器435可以进行交互来创建非对称连接，从而为分站点413处的不同远程NE439和或在分站点413处运行的不同应用提供不同级别的通信服务。作为具体示例，CPE433可以通过分组数据网络网关packetdatanetworkgateway，P-GW443经由LTE接口创建到运营商网络420中的PE431的第一连接，其中P-GW443是第三代合作伙伴计划thirdgenerationpartnershipproject，3gpp和非3gpp通信技术之间的移动锚点。CPE433还可以通过宽带远程接入服务器broadbandremoteaccessserver，BRAS447经由接入网创建到运营商网络420中的第二PE431的第二连接，其中BRAS447是用于在因特网服务提供商internetserviceprovider，ISP网络和运营商网络420等核心网之间路由数据的设备。CPE433也可以经由到公共互联网441的可用连接创建到运营商网络420中的第三PE431的第三连接。另外，如图所示，可以将一些PE431认证到VPN421，而其它PE431未经认证。控制器435可以采用CIE信息来指示CPE433连接到物理上最接近分站点413的PE431，而非连接到同样与VPN421连接的最近的PE431，这在最近的PE431与分站点413位于同一国家大陆而最近的PE431还连接到不同国家大陆的VPN421的情况下会产生显著差异。未连接到VPN421的PE431仍然可以为通信提供SLA，例如通过提供带宽、时延和或QoS保证。这种保证在不受控网络上不可用，因此连接到同样与VPN421连接的最近的PE431可能导致相当一部分的连接会穿越无法提供SLA的区域。因此，控制器435可以指示CPE433通过最近的PE431连接到与VPN421连接的最近的PE431，从而提高整体的通信质量。在一些示例中，控制器435可以指示邻近请求方的多个PE431。在孤岛站点处的CPE433可以使用各种测量工具选择最佳的PE431，以用于到附着到VPN421的不同站点的流量。在另一示例中，由于配有控制器435来测量哪个PE431的时延最短、QoS最高、或者向分站点413的CPE433提供充足的通信资源，因此控制器435可以向分站点413的CPE433发送优选的PE431。上述功能可以通过控制器435和请求CPE433之间的eNHRP通信436完成。作为具体示例，CPE433可以预先配置为控制器435的地址、CPE433自身的公共IP地址以及到VPN421的CPE433自身的隧道端点。当CPE433实例化时，CPE433为关联LAN中的客户端发送带有CIE的eNHRP注册请求。也可以定期发送eNHRP注册请求以防止过期。CIE包括附着的客户端例如，远程NE439的专用地址、其对于VPN421的对应虚拟网标识、以及到控制器435的相关隧道标识。为了隔离来自不同客户端的业务，请求CPE433可以请求与可以是中心或其它分支节点的所需对端建立多个隧道。控制器435用于接收来自远程网络中的CPE433的eNHRP注册请求。相应地，控制器435也接收指示客户端的本地专用地址、网络标识和隧道标识的CIE。控制器435存储信息并且发送eNHRP注册响应以指示已经收到eNHRP注册请求。CPE433发送eNHRP解析请求。在一些示例中，eNHRP解析请求可以包含请求选择公共互联网441开放度最小的PE431设备的代码。这表示CPE433请求的是最近的PE431的地址，而不是同样连接到VPN421的最近的PE431的地址。在一些示例中，eNHRP解析请求也可以包含选择多个PE431以支持非对称连接的偏好。然后，控制器435可以根据eNHRP解析请求参数、针对请求分站点413的存储的CIE信息、VPN421的当前网络资源分配、相关隧道端点以及运营商网络420中可用的网络资源计算通过运营商网络420的路由。例如，控制器435可以采用分站点413网络中的客户端本地地址来确定通过VPN421将分站点413远程网络中的客户端与VM438直接连接的IPsec隧道423的端点。控制器435还可以计算穿越多个PE431的IPsec隧道423，将一些客户端连接到VPN421上的节点子集，等等。一旦完成计算，控制器435向远程网络处的CPE433提供eNHRP解析回复。在一些示例中，eNHRP解析回复指示根据与远程网络之间的地理距离而非根据附着到VPN421的PE431选择的连接到MPLS网络的一个或多个PE431。在这种情况下，eNHRP解析回复可以包含指示已经选择公共互联网441开放度最小的PE431。在一些示例中，eNHRP解析回复指示多个PE431以支持通过PE设备431建立到VPN421的多个非对称连接。在其它示例中，eNHRP解析回复指示允许远程网络将客户端连接到VPN421中的部分但非全部节点的IPsec隧道423的端点。在其它示例中，eNHRP解析回复指示允许分站点413DC云437中的客户端服务器直接连接到VPN421而不是使用CPE433作为端点。然后，CPE433可以直接建立IPsec隧道423或向相关的远程NE439VM438提供信息，相关的远程NE439VM438进而建立IPsec隧道423。在选择邻近CPE433的PE431时一般有两种情况。第一种情况，分站点413知道本地附着的客户端工作负载想要与哪些远程站点通信。这些远程站点可以直接附着到VPN421或者可以通过公共互联网441到达。例如，在一些情况下，可以在分站点413上静态地配置通信对端。在这种情况下，分站点413在eNHRP解析请求中传送对端的目的地公共地址。来自控制器435的响应则包括隧道423的地址以及VPN421上邻近请求方的PE431的地址。第二种情况，分站点413不知道本地附着的客户端工作负载应该与哪些远程站点通信。在这种情况下，分站点413应在eNHRP解析请求中传送目的地专用地址。来自控制器435的响应则不仅包括远程站点的公共IP地址和隧道地址，而且包括邻近请求方的PE431。上文讨论的实施例通过采用各种eNHRP消息完成。下文描述了实现这些消息的示例编码。图5为可用作eNHRP通信436的示例eNHRP注册请求500的示意图。eNHRP注册请求500可以在CPE实例化例如，接通时从CPE发送给SDN控制器，以提供有关客户端、VM和或在应通过VPN连接到SDWAN的LAN中运行的其它节点的网络信息。eNHRP注册请求500也可以定期发送以刷新控制器处的对应信息。eNHRP注册请求500包括IP头551、隧道头553、eNHRP头560、保持时间555以及一个或多个CIE570。IP头551包括CPE的源公共IP地址和控制器的目的IP地址。IP头551用来将eNHRP注册请求500从CPE路由到控制器。隧道头553用来通过建立的隧道将eNHRP注册请求500路由到控制器。隧道头553可以包括隧道端点并根据通用路由封装genericroutingencapsulation，GRE或虚拟扩展局域网VirtualExtensibleLAN，VxLAN封装eNHRP注册请求500。eNHRP头560用来指示与CPE有关的IP地址和隧道地址。IP头551也可以用来指示至少一些附着的客户端子网不得完全连接到VPN中的所有节点。下面图6示出了eNHRP头560的示例。保持时间555指示eNHRP注册请求500中包含的信息应到期的时间。因此，可以在保持时间555结束之前发送新的eNHRP注册请求500以防止控制器处的信息过期。CIE570包含指示应部分连接到VPN中的节点的客户端子网。CIE570还包含指示隧道ID、虚拟网ID和或附着到CPE的网络中的客户端的专用本地地址。下面图7示出了CIE的示例。图6为示例eNHRP注册请求头600的示意图，eNHRP注册请求头600可用作eNHRP通信436中发送的eNHRP注册请求500中的eNHRP头560。eNHRP注册请求头600包括源协议长度字段661、目的地协议长度字段662、标志字段663、请求ID字段664、源非广播多址接入non-broadcastmulti-access，NMBA地址字段665、源NMBA子地址字段666、源协议地址字段667以及目的地协议地址字段668。源协议长度字段661长度可以是8比特长，可以从比特0扩展到比特7，并且可以以八进制指示源协议地址的长度，其中源协议地址为发送eNHRP注册请求500的CPE的公共IP地址。目的地协议长度字段662长度可以是8比特长，可以从比特8扩展到比特15，并且可以以八进制指示目的地协议地址的长度，其中目的地协议地址为控制器的IP地址。标志字段663可以是16比特长，可以从比特16扩展到比特31，并且可以指示消息专有的标志。标志字段663可以在第21比特位置包括C标志。C标志设置为指示边缘或分支节点不希望与其它对端运行路由协议，并且CIE指示了附着的私有地址子网。相应地，C标志指示CIE中的至少一个节点客户端不得附着到VPN中的所有节点。请求ID字段664可以为32比特长，可以从比特0扩展到比特31，并且可以包括eNHRP注册请求500的唯一ID。将取值拷贝到eNHRP注册响应以允许CPE将响应与请求相匹配。源NMBA地址字段665可以是32比特长，可以从比特0扩展到比特31，并且可以包括发送eNHRP注册请求500的CPE的公共IP地址。源NMBA子地址字段666可以是32比特长，可以从比特0扩展到比特31，并且如果有的话，可以包括发送eNHRP注册请求500的CPE的公共IP地址的扩展。源协议地址字段667可以是32比特长，可以从比特0扩展到比特31，并且可以包括发送eNHRP注册请求500的CPE的IPsec隧道私有IP地址。目的地协议地址字段668可以是32比特长，可以从比特0扩展到比特31，并且可以包括与控制器相关联的目的地隧道地址。图7为可以用作在eNHRP通信436中发送的eNHRP注册请求500中的CIE570的示例CIE700的示意图。CIE570描述了分站点413、主站点410和或DC云437中的单个客户端。因此，eNHRP注册请求500可以包括多个CIE700。CIE700包括代码字段771、前缀长度字段772、未使用比特773、最大传输单元字段774、保持时间字段775、客户端地址类型和长度字段776、客户端子地址类型和长度字段777、客户端协议长度字段778、偏好字段779、客户端隧道ID字段780、客户端虚拟网ID字段781以及客户端专用本地地址字段782。代码字段771可以是8比特长，可以从比特0扩展到比特7，并且可以设置为指示CIE700表项中的客户端地址应在本地附着到CPE而非直接通过IPsec附着到VPN。因此，代码字段771可以指示客户端是否应通过附着到CPE来完全附着到整个VPN还是直接附着到VPN的特定子网。前缀长度字段772可以是8比特长，可以从比特8扩展到比特15，并且可以设置为指示CIE700适用于客户端子网或者设为0指示CIE700适用于特定客户端。未使用的比特773可以是16比特长，可以从比特16扩展到比特31，并且可以不使用预留作他用。最大传输单元字段774可以是16比特长，可以从比特0扩展到比特15，并且可以设置为指示相关联客户端采用的最大传输单元长度。保持时间字段775可以是16比特长，可以从比特16扩展到比特31，并且可以设置为指示CIE700信息有效的秒数。客户端地址类型和长度字段776可以是8比特长，可以从比特0扩展到比特7，并且可以设置为指示客户端隧道ID字段780的类型和长度。客户端子地址类型和长度字段777可以是8比特长，可以从比特8扩展到比特15，并且可以设置为指示客户端虚拟网ID字段781的类型和长度。客户端协议长度字段778可以是8比特长，可以从比特16扩展到比特23，并且可以设置为指示客户端专用本地地址字段782的长度。偏好字段779可以是8比特长，可以从比特24扩展到比特31，并且可以设置为指示CIE700相对其它CIE的使用偏好例如，优先级。客户端隧道ID字段780可以为可变长度，可以设置为指示客户端采用网络流量的唯一隧道时的客户端IPsec隧道ID。客户端虚拟网ID字段781可以为可变长度，可以设置为指示VPN中的客户端虚拟网ID。客户端专用本地地址字段782可以为可变长度，可以设置为指示连接到CPE的LAN上的专用本地地址。因此，客户端隧道ID字段780、客户端虚拟网ID字段781和客户端专用本地地址字段782可以用来指示与LAN上的客户端和或客户端群组有关的地址信息，可以用来直接通过IPsec隧道将客户端连接到VPN和或将客户端子组连接到VPN子网。图8为可以用作eNHRP通信436的示例eNHRP解析请求800的示意图。具体地，eNHRP解析请求800可以由CPE发送给控制器以请求控制器向PE建议CPE和或关联客户端可以连接以加入VPN和或关联SDWAN。eNHRP解析请求800包括代码字段871、前缀长度字段872、未使用比特873、最大传输单元字段874、保持时间字段875、客户端地址类型和长度字段876、客户端子地址类型和长度字段877、客户端协议长度字段878、偏好字段879、客户端公共IP地址字段880、客户端NMBA子地址字段881以及客户端协议地址字段882，分别类似于代码字段codefield771、前缀长度字段prefixlengthfield772、未使用比特unusedbits773、最大传输单元字段maximumtransmissionunitfield774、保持时间字段holdingtimefield775、客户端地址类型和长度字段clientaddresstypeandlengthfield776、客户端子地址类型和长度字段777clientsub-addresstypeandlengthfield、客户端协议长度字段clientprotocollengthfield778、偏好字段preferencefield779、客户端隧道ID字段clienttunnelIDfield780、客户端虚拟网ID字段clientvirtualnetworkIDfield781以及客户端专用本地地址字段clientprivatelocaladdressfield782。eNHRP解析请求800的字段可以指示用于LAN或客户端VM的对应CPE。更多差异如下。代码字段871可以设置为指示请求方请求选择最接近孤岛分站点的PE，从而可以以最小公共互联网开放度建立隧道。相应地，代码字段871可以用来将CPE客户端附着到地理上最近的PE而不是VPN中最近的PE。偏好字段879可以设置为指示请求方请求多个PE，允许请求方选择PE和或允许请求方通过多个PE建立多个非对称连接。客户端公共IP地址字段880包含请求客户端的公共IP地址。客户端NMBA子地址字段881包含请求客户端的非广播多址接入子地址。客户端协议地址字段882包含请求客户端的互联层地址。图9为可以用作eNHRP通信436的示例eNHRP解析回复900的示意图。具体地，eNHRP解析回复900可以响应于eNHRP解析请求800由控制器发送给CPE。因此，eNHRP解析回复900可以指示客户端和或CPE可以连接以接入VPN、VPN子网和或SDWAN的PE的地址信息。eNHRP解析回复900包括代码字段971、前缀长度字段972、未使用比特973、最大传输单元字段974、保持时间字段975、客户端地址类型和长度字段976、客户端子地址类型和长度字段977、客户端协议长度字段978、偏好字段979、PE公共IP地址字段980、目的地隧道地址字段981以及目标专用IP协议地址字段982，分别类似于代码字段771、前缀长度字段772、未使用比特773、最大传输单元字段774、保持时间字段775、客户端地址类型和长度字段776、客户端子地址类型和长度字段777、客户端协议长度字段778、偏好字段779、客户端隧道ID字段780、客户端虚拟网ID字段781以及客户端专用本地地址字段782。eNHRP解析回复900用来指示响应于eNHRP解析请求800的PE。多组eNHRP解析回复900字段可以用来指示多个PE。更多差异如下。代码字段971可以设置为指示为孤岛分站点选择所指示的PE以建立公共互联网开放度最小的IPsec隧道。相应地，代码字段971可以用来将CPE客户端附着到地理上最近的PE而不是VPN中最近的PE。PE公共IP地址字段980包含所指示PE的公共IP地址。目的地隧道地址字段981包含在PE处的目的地隧道端点。目标专用IP协议地址字段982包含所指示PE的专用IP地址。图10为采用CPE433等CPE以非对称的方式连接到使用VPN421等VPN的SDWAN400等SDWAN的示例方法1000的流程图。具体地，方法1000采用结合图5到图9所示和所述的示例编码的eNHRP通信，例如eNHRP注册请求、eNHRP解析请求和或eNHRP解析回复。方法1000描述了分站点处的CPE侧的过程，但在一些示例中也可以由DC云中的CPEvCPE和或主站点处的CPE使用。方法1000可以在CPE实例化接通和或分站点决定添加或更改通信时实施。在框1001处，CPE向SDN控制器发送eNHRP注册请求。发送eNHRP注册请求以将与CPE和或通过LAN或其它网络附着到CPE的设备相关联的网络信息通知给控制器。eNHRP注册请求包括指示给SDN控制器的客户端本地地址、客户端虚拟网标识、隧道标识或其组合的客户信息表项。eNHRP注册请求还包括CIE中的标志和对应代码，指示应连接到VPN子集而非整个VPN的客户端。在框1003处，从CPE处的控制器接收eNHRP注册响应。eNHRP注册响应作为确认来指示框1001处的注册成功。eNHRP注册请求可以包括保持时间。因此，可以定期重复框1001和1003以便在控制器处维护关联CPE和分站点的网络信息。在框1005处，CPE向SDN控制器发送eNHRP解析请求。eNHRP解析请求为确定接入VPN的连接点下一跳的请求。在一些情况下，解析请求可以包含请求CPE选择一个或多个PE设备的代码，其中到该PE设备的连接的公共互联网开放度最小。具体地，该代码指示控制器返回的PE应位于尽可能接近CPE的地理位置，从而使得建立的连接中遍历公共互联网等第三方网络的链路节点数量尽可能少。此外，解析请求可以指示附着到CPE的目标客户端的客户端地址，例如公共IP地址。在这种情况下，解析请求指示SDN控制器应选择PE设备连接目标客户端到VPN，例如通过IPsec隧道。这样可以使得CPE请求客户端直接连接到VPN，因此用作对应IPsec隧道的端点。还减少了CPE的一些隧道管理负荷并将负荷转移到客户端。eNHRP解析请求还可以包含偏好字段，指示CPE和或对应客户端希望接收多个PE而不是单个PE。这样可以使CPE客户端选择一个PE，还可以使CPE客户端可以建立多个非对称连接。SDN控制器接收eNHRP解析请求并根据eNHRP解析请求中的信息以及之前在eNHRP注册请求中接收的信息选择PE作为CPE客户端的下一跳。然后，在框1007处，在eNHRP解析回复中将选择的PE从控制器发送给CPE。PE通过公共IP地址、专用IP地址和或隧道端点标识指示。相应地，CPE接收来自SDN控制器的eNHRP解析回复。eNHRP解析回复包含在框1005处的eNHRP解析请求来请求多个PE时与运营商网络耦合的多个PE设备。eNHRP解析回复还可以包含指示在eNHRP解析请求中进行请求时所包括的一个或多个PE与公共互联网开放度最小的连接关联的代码。在一些情况下，可以指示已标识PE耦合到了提供商网络，而非耦合认证到VPN。相应地，请求方可以通过已标识PE连接到VPN中的其它PE。在框1009处，CPE和或客户端可以通过eNHRP解析回复中指示的PE设备建立到在SDWAN上运行的VPN的一个或多个连接。例如，当eNHRP解析回复中包括多个PE时，CPE客户端可以建立到VPN的多个非对称连接。例如，非对称连接可以包括无线连接、接入网连接、公共互联网连接或其组合。此外，建立CPE客户端之间的连接不可以建立所有设备都连接到VPN的全网连接。如上所述，当框1001的eNHRP注册请求指示对应CPE客户端应连接到VPN子集而非整个VPN时可能会发生这种情况。另外，CPE客户端可以通过建立耦合到运营商网络的最近PE而非同时耦合到运营商网络和VPN的最近PE的连接来建立与公共互联网开放度最小的PE的连接。另外，CPE可以将相关信息转发给附着到CPE的本地客户端，以允许客户端建立直接从本地客户端到耦合到VPNSDWAN的目的地的隧道连接。例如，包括建立从客户端到PE的隧道，而非建立从CPE到PE的隧道。图11为用于在使用VPN421等VPN的SDWAN400等SDWAN中运行控制器435等SDN控制器的示例方法1100的流程图。方法1100类似于方法1000，但是从控制器的角度表述。具体地，方法1100采用结合图5到图9所示和所述的示例编码的eNHRP通信，例如eNHRP注册请求、eNHRP解析请求和或eNHRP解析回复。在框1101处，SDN控制器从分站点的CPE或云网络的CPEvCPE等网络设备接收eNHRP注册请求。eNHRP注册请求将与CPE和或NE、VM等附着到CPE的设备相关的网络信息通知给控制器。eNHRP注册请求包括指示与CPE共享局域网的客户端节点的客户端本地地址的CIE。eNHRP注册请求CIE还可以包括附着到CPE的设备的客户端虚拟网标识和或隧道标识。在一些情况下，eNHRP注册请求还包括CIE中的标志和对应代码，标志代码指示应连接到VPN子集而非整个VPN的客户端。在框1103处，控制器通过将相关CIE存储在存储器中并向CPE发送eNHRP注册响应来对eNHRP注册请求进行处理。eNHRP注册响应作为确认来指示框1103处的注册成功。eNHRP注册请求可以包括保持时间。因此，可以定期重复框1101和1103以便在控制器处维护与CPE和分站点相关联的网络信息。在框1105处，控制器从CPE接收eNHRP解析请求。eNHRP解析请求为确定CPE和或接入VPN的客户端的连接点下一跳的请求。在一些情况下，解析请求可以包括请求CPE选择一个或多个PE设备的代码，其中到该PE设备的连接的公共互联网开放度最小。具体地，该代码指示控制器返回的PE应位于尽可能接近CPE的地理位置，从而使得建立的连接中遍历公共互联网等第三方网络的链路节点数量尽可能少。此外，解析请求可以指示附着到CPE的目标客户端的客户端地址，例如公共IP地址。在这种情况下，解析请求指示SDN控制器应选择PE设备将目标客户端连接到VPN，例如通过IPsec隧道。这样可以使得CPE请求客户端直接连接到VPN，并因此用作对应IPsec隧道的端点。还减少了CPE的一些隧道管理负荷并将负荷转移到客户端。eNHRP解析请求还可以包含偏好字段，指示CPE和或对应客户端希望接收多个PE而不是单个PE。这样可以使CPE客户端选择一个PE，还可以使CPE客户端建立多个非对称连接。在框1107处，控制器选择耦合到运营商网络的一个或多个PE设备。具体地，控制器选择用于将CPE和或客户端节点连接到在SDWAN上运行的VPN的PE设备。PE根据CPE的eNHRP注册请求和eNHRP解析请求的信息选择。例如，PE设备可以根据到远程网络包括CPE的分支网络的地理距离而非根据附着到VPN的PE设备选择。这样可以将公共互联网连接开放度降到最小。在一些情况下，可以选择多个PE支持可以在不同接入技术和或接入媒体上出现的非对称连接。还可以选择PE以在CPE客户端与VPN中节点子集之间建立连接。也可以确定到PE的连接，从而使得对应隧道在PE以及请求客户端处有端点，而不是在PE和CPE处有端点。在框1109处，控制器向CPE发送eNHRP解析回复。eNHRP解析回复向CPE和或对应客户端指示在框1107处选择的PE设备。相应地，eNHRP解析回复中的信息指示选择的PE，因此支持CPE客户端通过PE设备在客户端节点和VPN之间建立连接。eNHRP解析回复还可以包含与选择的PE相关的其它IP和隧道地址，从而使得CPE客户端按照指示建立隧道。eNHRP解析回复可以包含指示在eNHRP解析请求中进行请求时所包括的一个或多个PE与公共互联网开放度最小的连接关联的代码。在一些情况下，可以指示已标识PE耦合到提供商网络，而非耦合认证到VPN。相应地，请求方可以通过已标识PE连接到VPN中的其它PE。此外，eNHRP解析回复中指示的PE可以用于支持客户端节点与VPN之间的非对称连接，例如通过LTE网络、接入网、公共互联网或其组合。eNHRP解析回复中指示的PE还可以用于在CPE客户端与VPN中的节点子集之间建立连接。eNHRP解析回复中指示的PE还可以用于建立在PE和请求客户端处、而非在PE和CPE处有端点的隧道。根据eNHRP解析回复中的信息，CPE可以建立到VPN的隧道和或将该信息传递给对应网络中的设备VM，从而使得该设备VM建立到VPN的隧道。图12为用于在SDWAN中运行的示例网络设备1200的示意图，例如在SDWAN400中的CPE433或控制器435。根据示例，网络设备1200可以实施方法1000或1100。此外，网络设备1200可以通过发送和接收采用结合图5到图9所示和所述的示例编码的eNHRP通信进行通信，例如eNHRP注册请求、eNHRP解析请求和或eNHRP解析回复。相应地，网络设备1200可以用于实施或支持本文所述的方案特征方法。例如，本发明的特征方法可以通过硬件、固件和或安装在硬件上运行的软件来实施。本领域技术人员将认识到，术语网络设备包含广泛范围的设备，网络设备1200仅仅是示例。包括网络设备1200是为了论述清楚起见，但绝不意味着将本发明的应用限制于特定网络设备实施例或一类网络设备实施例。网络设备1200可以是通过网络传送电和或光信号的设备，例如控制器、交换机、路由器、网桥、服务器、客户端、网关等。如图12所示，网络设备1200可以包括收发器transceiver，TxRx1210，收发器1210可以是发送器、接收器或其组合。TxRx1210可以耦合到多个下行端口1220例如，下行接口，用于发送和或接收来自其它节点的帧，TxRx1210耦合到多个上行端口1250例如，上行接口，用于分别发送和或接收来自其它节点的帧。处理器1230可以耦合到TxRx1210以处理数据信号和或确定向哪些节点发送数据信号。处理器1230可以包括一个或多个多核处理器和或存储设备1232，其可充当数据存储、缓冲区等。处理器1230可实现为通用处理器或可为一个或多个专用集成电路applicationspecificintegratedcircuit，ASIC和或数字信号处理器digitalsignalprocessor，DSP。网络设备1200可以包括通信模块1214，在网络设备1200用作CPE时用于与局域网中的设备VM通信、传输局域网信息给控制器、接收PE和或与已接收PE建立IPsec隧道。当网络设备1200用作控制器时，通信模块1214用于从CPE接收局域网信息和相关请求、根据局域网信息选择PE并将该PE发送给CPE。不论哪种情况，通信模块1214都用来生成、发送、接收和或读取eNHRP通信并实施方法1000和或1100。通信模块1214可以实现为通用处理器、现场可编程门阵列fieldprogrammablegatearray，FPGA、ASIC、DSP、微控制器等。在替代性实施例中，通信模块1214可以实现为处理器1230、存储设备1232中存储的可由处理器1230执行的指令例如，作为计算机程序产品和或部分实现为处理器1230、部分实现为存储设备1232。根据实施例，下行端口1220和或上行端口1250可以包含无线、电和或光发送和或接收组件。本发明包括一种网络设备，包括：向软件定义网络softwaredefinednetwork，SDN控制器发送解析请求的发送装置；接收来自SDN控制器的回复的接收装置，其中该回复指示耦合到运营商网络的多个运营商边缘provideredge，PE设备；以及使得发送装置和接收装置通过PE设备建立与在软件定义广域网softwaredefinedwideareanetwork，SDWAN上运行的虚拟专用网virtualprivatenetwork，VPN的多个不对称连接的处理装置。本发明包括一种软件定义网络softwaredefinednetwork，SDN控制器，包括：从网络设备接收增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求的接收装置，其中eNHRP注册请求包括指示与网络设备共享局域网的客户端节点的客户端本地地址的客户端信息表项；选择耦合到运营商网络的一个或多个运营商边缘provideredge，PE设备的处理装置，PE设备设置为将客户端节点耦合到在广域网wideareanetwork，WAN上运行的虚拟专用网virtualprivatenetwork，VPN；以及将指示PE设备的eNHRP解析回复发送给网络设备以支持通过PE设备建立客户端节点与VPN之间的连接的发送装置。本发明包括一种运营商网络，包括：通过多协议标记交换multi-protocollabelswitching，MPLS网络互联的多个运营商边缘provideredge，PE装置，PE装置用于实现连接来自至少一个数据中心网络、至少一个总部网络以及至少一个远程网络的流量的广域网；以及虚拟专用网virtualprivatenetwork，VPN装置，用于通过MPLS网络、由VPN通过至少一个第三方网络连接到MPLS网络的远程网络、以及包括至少一个与VPN中的部分但非全部节点连接的客户端的远程网络上的互联网协议安全internetprotocolsecurity，IPsec隧道安全地在数据中心网络、总部网络与远程网络之间传输流量。虽然本发明中已提供若干实施例，但应理解，在不脱离本发明精神或范围的情况下，本发明所公开的系统和方法可以以许多其它特定形式来体现。本发明的实例应被视为说明性而非限制性的，且本发明并不限于本文中所给出的细节。例如，可以在另一系统中组合或集成各种元件或组件，或者可以省略或不实施某些特征。此外，在不脱离本发明范围的情况下，各种实施例中描述和说明为离散或独立的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或集成。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式经由某一接口、设备或中间组件间接地耦合或通信。其它变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开范围的情况下确定。

权利要求：1.一种网络设备，其特征在于，包括：发送器，用于向软件定义网络softwaredefinednetwork，SDN控制器发送解析请求；耦合到所述发送器的接收器，所述接收器用于接收来自所述SDN控制器的回复，所述回复指示耦合到运营商网络的多个运营商边缘provideredge，PE设备；以及耦合到所述发送器和所述接收器的处理器，所述处理器用于通过所述PE设备建立与在软件定义广域网softwaredefinedwideareanetwork，SDWAN上运行的虚拟专用网virtualprivatenetwork，VPN的多个非对称连接。2.根据权利要求1所述的网络设备，其特征在于，所述多个非对称连接包括无线连接、接入网连接、公共互联网连接或其组合。3.根据权利要求1所述的网络设备，其特征在于，建立所述多个非对称连接不包括建立所有设备都与所述VPN连接的全网状连接。4.根据权利要求1所述的网络设备，其特征在于，所述PE设备中的至少一个耦合到所述运营商网络，并且不耦合到所述VPN。5.根据权利要求1所述的网络设备，其特征在于，所述发送器还用于向所述SDN控制器发送包括指示客户端本地地址、客户端虚拟网标识、隧道标识或其组合的客户端信息表项的注册请求。6.根据权利要求1所述的网络设备，其特征在于，建立所述多个非对称连接包括建立直接从耦合到所述网络设备的本地客户端到耦合到所述VPN的目的地的隧道连接。7.根据权利要求1所述的网络设备，其特征在于，所述解析请求指示目标客户端的客户端地址，并且请求所述SDN控制器选择PE设备将所述目标客户端连接到所述VPN。8.根据权利要求7所述的网络设备，其特征在于，所述解析请求包含请求选择以最小公共互联网开放度的PE设备的代码。9.根据权利要求8所述的网络设备，其特征在于，所述回复为包含指示所述PE设备与公共互联网开放度最小的连接相关联的解析回复。10.一种软件定义网络softwaredefinednetwork，SDN控制器，其特征在于，包括：接收器，用于从网络设备接收增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求，所述eNHRP注册请求包括指示与所述网络设备共享局域网的客户端节点的客户端本地地址的客户端信息表项；耦合到所述接收器的处理器，所述处理器用于选择耦合到运营商网络的一个或多个运营商边缘provideredge，PE设备，所述PE设备设置为将所述客户端节点耦合到在广域网wideareanetwork，WAN上运行的虚拟专用网virtualprivatenetwork，VPN；以及耦合到所述处理器的发送器，所述发送器用于将指示所述PE设备的eNHRP解析回复发送给所述网络设备，以支持通过所述PE设备建立所述客户端节点与所述VPN之间的连接。11.根据权利要求10所述的SDN控制器，其特征在于，所述PE设备中的至少一个耦合到所述运营商网络，并且不耦合到所述VPN。12.根据权利要求10所述的SDN控制器，其特征在于，所述PE设备支持所述客户端节点与所述VPN之间的非对称连接。13.根据权利要求10所述的SDN控制器，其特征在于，所述eNHRP注册请求的所述客户端信息表项还包括与所述客户端节点关联的客户端虚拟网标识和隧道标识。14.根据权利要求10所述的SDN控制器，其特征在于，所述eNHRP注册请求包括指示所述客户端节点不得完全连接到在所述VPN中运行的所有节点的标志。15.根据权利要求10所述的SDN控制器，其特征在于，所述接收器还用于接收包含请求选择公共互联网开放度最小的PE设备的代码的eNHRP解析请求。16.一种运营商网络，其特征在于，包括：通过多协议标记交换multi-protocollabelswitching，MPLS网络互联的多个运营商边缘provideredge，PE设备，所述PE设备用于实现连接来自至少一个数据中心网络、至少一个总部网络以及至少一个远程网络的流量的广域网；以及虚拟专用网virtualprivatenetwork，VPN，用于通过所述MPLS网络经由互联网协议安全internetprotocolsecurity，IPsec隧道安全地在所述数据中心网络、所述总部网络与所述远程网络之间传输所述流量，所述远程网络由所述VPN通过至少一个第三方网络连接到所述MPLS网络，所述远程网络包含至少一个与所述VPN中的部分但非全部节点连接的客户端。17.根据权利要求16所述的运营商网络，其特征在于，所述VPN通过多个通信介质上的多个非对称连接与所述远程网络中的客户端连接。18.根据权利要求16所述的运营商网络，其特征在于，还包括用于从所述远程网络接收增强型下一跳解析协议enhancednexthopresolutionprotocol，eNHRP注册请求的软件定义网络softwaredefinednetwork，SDN控制器，所述eNHRP注册请求包括指示所述远程网络中的客户端的客户端本地地址的客户端信息表项。19.根据权利要求18所述的运营商网络，其特征在于，所述SDN控制器还用于使用所述客户端本地地址控制直接从所述远程网络中的所述客户端到所述VPN的IPsec隧道的创建。20.根据权利要求19所述的运营商网络，其特征在于，所述SDN控制器还用于向所述远程网络发送eNHRP解析回复，所述eNHRP解析回复指示用于连接到所述MPLS网络的一个或多个PE设备，所述PE设备根据与所述远程网络的地理距离而非根据附着到所述VPN的PE设备指示。

百度查询： 华为技术有限公司 桥接远程孤岛的弹性VPN

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD