背景

網絡管理不再是簡單任務。大公司通常主要存在于單個位置，或者分散在通過公司企業互連的若干地理位置中。在這樣的大而復雜的部署下，與所述網絡相關聯的頻繁改變的動態特性涉及添加/刪除雇員、添加/刪除雇員設備（例如計算機、打印機）等等，并且在處理復雜網絡時是特別明顯的，所述復雜網絡橫跨多個位置或者包括多個子網、VPN（虛擬專用網絡）、多個路由器或諸如服務器、路由器、網關、交換機等等之類的其他網絡設備。此外，如今的網絡管理常常包括廠商特有的知識和數據，這使網絡管理和經營進一步復雜化。

概述

下面提供了簡化的發明內容，以便提供對此處所描述的一些新穎實施例的基本理解。本概述不是廣泛的概覽，并且它不旨在標識關鍵/重要元素或描繪本發明的范圍。其唯一目的是以簡化形式呈現一些概念，作為稍后呈現的更具體實施例的序言。

所公開的架構促進端點之間的連接的虛擬指定?？梢詫⒕W絡定義成一種抽象連通性模型，該模型是按照連通性意圖、而不是任何特定技術來表達的。該架構將連通性模型翻譯（編譯）成配置設定、策略、防火墻規則等等以基于可用物理網絡和設備能力來實現連通性意圖。

該連通性模型被用于定義網絡的連通性語義。該模型可以被翻譯成控制物理網絡的物理節點之間的通信的一組策略和網絡配置。所得到的虛擬網絡可以是獨立于物理層的虛擬覆蓋?？商娲兀撎摂M覆蓋還可以包括物理網絡的元素和抽象。此外，自動網絡安全規則（例如因特網協議安全－IPSec）可以從網絡的連通性模型中導出。

為了實現上述及相關目的，本文結合下面的描述和附圖來描述某些說明性方面。這些方面指示了可以實踐本文所公開的原理的各種方式，并且所有方面及其等效方面旨在落入所要求保護的主題的范圍內。結合附圖閱讀下面的詳細描述，其它優點和新穎特征將變得顯而易見。

附圖簡述

圖1示出根據所公開架構的計算機實現的網絡管理系統。

圖2示出了包括翻譯層的網絡管理系統的可替代實施例。

圖3示出了根據所公開架構的網絡管理系統的更詳細表示。

圖4示出了連通性模型的示例性細節。

圖5示出了一種計算機實現的網絡管理方法。

圖6示出了圖5的方法的附加方面。

圖7示出了用于開發、翻譯和實現根據所公開架構的連通性模型的計算系統的框圖。

圖8示出了用于部署、翻譯和實現連通性模型的計算環境的示意性框圖。

詳細描述

所公開的架構促進了連通性模型的部署和實現，所述連通性模型定義虛擬網絡來配置和管理物理網絡。換言之，物理網絡被定義成一種抽象模型，該抽象模型是按照連通性意圖、而不是任何特定技術來表達的。例如，該連通性模型可以虛擬地指定：計算機X、Y和Z應當彼此自由通信并且還應當與計算機D在特定端口上具有受控的通信。模型的翻譯（編譯）將虛擬網絡應用于物理網絡，使得配置設定、策略、防火墻規則等等在給定可用物理網絡和物理設備能力的情況下實現連通性意圖。

例如，可以將特定范圍的IP地址分配給物理機A和B。連通性模型的連通性語義簡單地定義了機器A和B應當能夠彼此通信，而不是如用于配置物理網絡的現有技術中所表示的那樣具體地調出合適子網之間的路由。

連通性模型按照身份（例如機器和用戶）、組（例如機器和用戶）和其他抽象（不具有連通性細節的邏輯模型）來操作，而不是按照物理網絡地址來操作。

所期望的連通性的實現可以通過如下方式來實現：創建獨立于物理網絡的一個或多個網絡覆蓋；和/或通過合適的API（應用編程接口）/設定來控制物理網絡。在使用網絡覆蓋的配置下，連通性模型還可以用于控制對該網絡覆蓋中的機器和/或用戶的IP地址分配。例如，可以將特定IP地址分配給某機器，并且該地址然后無論該機器的物理網絡或IP地址如何都將是有效的，因為所分配的IP地址處于網絡覆蓋空間中。該能力促進了對傳統應用的支持。

該架構包括用于將網絡的連通性模型定義成表達連通性意圖的一組規則的機制。該機制例如可以是用于圖形化地編輯連通性模型的GUI（圖形用戶界面）編輯器。還可以包括用于將連通性模型編譯成配置設定、策略、防火墻規則等等的機制以實現所期望的連通性模型。