MASQUE代理服务的制作方法

本公开概括而言涉及使用quic和基于quic加密的多路复用应用基底(multiplexed application substrate over quic encryption，masque)协议表达网络策略和建立连接隧道，以向远程用户提供对(一个或多个)私有应用的访问、处理(一个或多个)连接迁移和施行网络流策略。

背景技术：

1、基于云的服务提供商网络——经常被描述为“超级缩放者(hyperscaler)”——提供基于云的服务，以满足用户的计算服务需求，而用户无需投资和维护实现服务所要求的计算基础设施。例如，云服务提供商可以操作容纳大量互联的计算系统(例如公共数据中心)的数据中心的网络，这些计算系统被服务提供商配置为向用户(或者“客户”)提供基于云的服务。这些服务提供商网络可根据需要提供基于网络的计算资源。例如，服务提供商网络可以允许用户购买和利用计算资源，例如虚拟机(virtual machine，“vm”)实例、计算资源、数据存储资源、数据库资源、联网资源、网络服务以及其他类型的计算资源。用户可以对服务提供商网络提供的计算资源进行配置，以实现期望的功能，例如向用户的企业提供基于网络的应用或者其他类型的功能。虽然基于超级缩放者的数据中心越来越受欢迎，但传统的企业管理数据中心仍在被广泛使用。这些部署的组合通常被描述为“混合”数据中心。一般来说，远程用户能够使用虚拟专用网络(virtual private network，vpn)或基于代理的解决方案来连接到这些基于网络的应用和/或企业功能。

2、虽然可以有额外的方法供远程用户连接到私有企业应用，但传统上，vpn隧传(tunneling)和反向代理技术是最常见的方法。然而，这两种方法都有局限性。虽然vpn隧传可以与任何应用和协议一起工作，但会在网络内打开一个很大的攻击面。此外，虽然基于代理的解决方案可以实现更好的边缘控制，从而缩小攻击面，但它们一般不能与非基于传输控制协议(transmission control protocol，tcp)的协议很好地一起工作，并且要求额外的解决方案来将非tcp协议转换为tcp协议，或者将非tcp协议封装在tcp中，这可能会影响代理本身的性能，等等。

3、另外，执行代理解决方案的代理节点充当到连接(例如，tcp或udp连接)中的中间盒(middle box)，并且允许客户端连接到公共互联网协议(internet protocol，ip)地址，而后端处理可在未连接到公共ip地址的节点上执行。代理通常通过取得传入连接、终止它们并且在后端打开新连接来实现这一目的。虽然这些代理技术传统上是在tcp和(用户数据报协议)udp协议上执行的，但同样的这些代理技术也可以在quic协议上执行。然而，由于quic协议利用udp作为底层传输，因此可能难以处理quic代理节点的故障转移或替换，也难以提供tcp或udp代理所提供的无缝用户体验。此外，quic协议被设计成不与版本未知的中间盒互操作。此外，quic可以迁移会话，使得只有端点和quic服务器可能知晓这种变化。然而，希望中间盒最好以可靠和可预测的方式彼此不同地处理各quic流。

4、此外，基于quic加密的多路复用应用基底(masque)协议提供了一种机制，用于使用单一代理解决方案代理不同类型的协议(例如，http代理、https上的dns、quic代理、udp代理、以及ip代理)。然而，masque协议并没有提供通过masque隧道代理l2以太网封包的机制，例如隧传协议ip承载以太网(ethernet over ip，eoip)。

5、从而，现有的解决方案往往有许多缺点，而且可能难以表达网络策略和建立安全连接隧道以为远程用户提供对(一个或多个)私有应用的访问并且施行网络流策略。

技术实现思路

技术特征：

1.一种方法，包括：

2.如权利要求1所述的方法，还包括：至少部分地基于所述第一mac地址，经由所述masque隧道向所述第一目的地传输所述tcp封包。

3.如权利要求1或2所述的方法，其中，所述tcp封包是第一tcp封包，并且所述方法还包括：

4.如权利要求1至3中任一项所述的方法，其中，所述masque隧道是第一masque隧道并且所述tcp封包是第一tcp封包，并且所述方法还包括：

5.如权利要求1至4中任一项所述的方法，其中，所述masque隧道是第一masque隧道并且所述tcp封包是第一tcp封包，并且所述方法还包括：

6.如权利要求1至5中任一项所述的方法，其中，所述第一目的地包括以下各项中的至少一者：

7.如权利要求1至6中任一项所述的方法，还包括：由所述第一设备利用所述一个或多个第一以太网封包来封装所述第一arp/ndp请求。

8.一种系统，包括：

9.如权利要求8所述的系统，所述操作还包括：至少部分地基于所述第一mac地址，经由所述masque隧道向所述第一目的地发送传输控制协议(tcp)封包。

10.如权利要求8或9所述的系统，所述操作还包括：

11.如权利要求8至10中任一项所述的系统，其中，所述masque隧道是第一masque隧道，并且所述操作还包括：

12.如权利要求8至11中任一项所述的系统，其中，所述masque隧道是第一masque隧道，并且所述操作还包括：

13.如权利要求8至12中任一项所述的系统，其中，所述第一目的地包括以下各项中的至少一者：

14.如权利要求8至13中任一项所述的系统，所述操作还包括：由所述第一设备利用所述一个或多个第一以太网封包来封装所述第一arp/ndp请求。

15.一种方法，包括：

16.如权利要求15所述的方法，还包括：

17.如权利要求15或16所述的方法，还包括：

18.如权利要求15至17中任一项所述的方法，其中，所述masque代理服务是在所述一个或多个节点中的第一节点上执行的所述masque代理服务的第一实例，并且所述方法还包括：

19.如权利要求15至18中任一项所述的方法，其中，所述第一目的地包括以下各项中的至少一者：

20.如权利要求15至19中任一项所述的方法，其中，所述第一设备利用所述一个或多个第一以太网封包来封装所述第一arp/ndp请求。

21.一种装置，包括：

22.根据权利要求21所述的装置，还包括：用于实现根据权利要求2至7中任一项所述的方法的装置。

23.一种装置，包括：

24.根据权利要求23所述的装置，还包括：用于实现根据权利要求16至20中任一项所述的方法的装置。

25.一种计算机程序、计算机程序产品或计算机可读介质，包括指令，所述指令当被计算机执行时，使得所述计算机执行如权利要求1至7或权利要求15至20中任一项所述的方法的步骤。

技术总结本文描述了使用MASQUE协议通过连接隧道隧传第2层以太网帧的技术。MASQUE协议可被扩展至包括被配置为使用MASQUE代理连接来代理以太网帧的新实体，以及关联的CONNECT方法，CONNECT‑ETH。使用扩展的MASQUE协议，于是就可以在相互远离并且连接到互联网的各种网络之间建立基于MASQUE的以太网(EoMASQUE)隧道。在不同的远程客户端场所之间和/或远程客户端场所与企业场所之间建立的EoMASQUE隧道可以在端点之间隧传以太网封包。此外，在配设于第一远程客户端场所中的第一客户端路由器和EoMASQUE代理节点之间建立的第一EoMASQUE隧道，以及在第二客户端场所和EoMASQUE代理节点之间建立的第二EoMASQUE隧道，可以在第一和第二客户端场所之间隧传以太网封包。技术研发人员：文森特·E·帕拉,凯尔·安德鲁·唐纳德·梅斯特里受保护的技术使用者：思科技术公司技术研发日：技术公布日：2024/7/23