具有多站点数据中心结构的多租户工作负载的以应用为中心的执行

摘要

本公开为具有多站点数据中心结构的多租户工作负载提供了以应用为中心的执行，方法是：在第一站点的本地交换机处接收来自第一站点的第一主机的分组，该分组旨在用于位于第二站点的第二主机；识别主机的类标识符(ID)；基于类ID，确定用于在主机之间传送数据的安全策略；响应于确定安全策略指示第二站点专门管理主机网络的安全策略：在分组上设定策略应用指标，指示安全策略的执行从第一交换机委托给与第二主机连接的第二交换机；分组中包括类ID；并将分组传送到第二站点。

说明书

技术领域

本公开中呈现的实施例总体上涉及站点位于彼此不同的地理位置的为多个租户服务的网络结构。更具体地说，本文中公开的实施例涉及在网络结构上的多个站点处为给定租户实施安全策略。

背景技术

许多数据中心租户将工作负载分散在彼此处于不同地理位置的站点。工作负载可以包括服务/应用提供商工作负载以及访问服务/应用提供商工作负载的客户工作负载。在数据中心的给定站点，一个或多个路由器或交换机接收来自站点外的传入通信，并基于各种安全策略将这些通信转发到连接到路由器或交换机的一个或多个主机。类似地，路由器接收来自主机的传出通信，并基于各种安全策略将这些通信发送到站点外的设备。安全策略的示例可以包括：给定主机(或给定主机上的工作负载)是否被许可与另一设备通信的规则；以及如何处理不被许可的通信。不被许可的通信可以被丢弃或忽略、被隔离或被标记为行政关注，而许可的通信则被转发给预定的接收者(站点的内部或外部)。租户可以为在主机上运行的各种工作负载分配各种安全策略，但随着站点数量的增加，在若干站点上维护相同的安全策略的复杂性也在增加。

附图说明

为了能够详细理解本公开的上述特征的方式，可以通过参考实施例对上文简要概述的本公开进行更具体的描述，其中一些实施例示出在附图中。然而，需要注意的是，附图示出了典型的实施例，因此不应视为限制性的；可以设想其他同样有效的实施例。

图1示出了根据本公开的实施例的网络结构；

图2示出了根据本公开的实施例的通信路径；

图3是根据本公开的实施例的用于处理来自网络交换机处的入口站点的出站分组的方法的流程图。

图4是根据本公开的实施例的用于处理网络交换机处的入站分组的方法的流程图。

图5示出了根据本公开的实施例的用于远程主机的类标识符的学习场景。

图6示出了根据本公开的实施例的网络交换机的硬件。

为了便于理解，在可能的情况下，使用相同的附图标记指定图中共同的相同元素。可以设想，一个实施例中公开的元素可以有益地用于其他实施例，而不需要具体陈述。

具体实施方式

本发明的各方面在独立权利要求中列出，优选特征在从属权利要求中列出。一个方面的特征可以单独应用于每个方面，也可以与其他方面相结合。

本公开中提出的一个实施例提供了一种用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行的方法，该方法包括：在第一站点处的本地交换机处接收来自所述第一站点的第一主机的分组，该分组旨在用于位于与所述第一站点不同地理位置的第二站点处的第二主机；从所述第一站点处维护的数据库识别用于所述第二主机的第二类标识符(ID)，其中用于所述第一主机的第一类标识符对于所述本地交换机来说是已知的；基于所述第一类ID和所述第二类ID，确定用于将数据从所述第一主机传送到所述第二主机的安全策略；响应于确定所述安全策略指示所述第二站点专门管理包括所述第一主机和所述第二主机的软件定义网络的安全策略：在所述分组上设定源自策略覆盖指标的策略应用指标，该策略应用指标指示所述安全策略的执行被从所述第一交换机委托给连接到所述第二站点处的所述第二主机的第二交换机；在所述分组中包括所述第一类ID和所述第二类ID；以及将所述分组传送到所述第二站点。

本公开中提出的一个实施例提供了一种用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行方法，该方法包括：在第一站点的本地交换机处接收来自位于第二站点的远程主机的分组，其中该分组旨在用于位于所述第一站点的本地主机，其中所述分组包括策略应用指标；以及响应于确定所述策略应用指标指示用于所述远程主机和所述本地主机之间通信的安全策略被委托给所述本地交换机，对所述本地交换机处的所述分组应用所述安全策略，其中对所述分组应用所述安全策略使得所述本地交换机将所述分组发送到所述本地主机。

本公开中提出的一个实施例提供了一种具有用于多租户工作负载的以应用为中心的执行的网络结构，该网络结构包括：第一站点，该第一站点包括：第一主机；以及与所述第一主机通信的第一交换机；第二站点，位于与所述第一站点不同的地理位置并通过站点间网络与所述第一站点进行通信，该第二站点包括：第二主机；以及与所述第二主机通信的第二交换机，其中，所述网络结构的安全策略被本地化到所述第一站点，其中，所述第二交换机被配置为：响应于从所述第二主机接收到去往所述第一主机的第一分组并确定所述网络结构的所述安全策略被本地化到所述第一站点，在所述第一分组中包括所述第一主机的第一类标识符(ID)、所述第二主机的第二类ID和策略应用指标；以及将所述第一分组传送到所述第一站点；并且其中，所述第一交换机被配置为响应于接收到所述第一分组，基于所述策略应用指标确定所述第二交换机将所述安全策略的执行委托给所述第一交换机；以及基于所述第一类ID和所述第二类ID，将所述安全策略应用于所述第一分组。

还描述了用于实施本文所述方法的系统和装置，包括网络节点、计算机程序、计算机程序产品、计算机可读介质和编码在有形介质上用于实施该方法的逻辑。

在分布于多个地点的多租户网络环境中，将安全策略部署到多个站点可能是时间和资源密集型的，并且在将新的安全策略部署到不同站点时可能导致服务停机或分布不均。通过将安全策略的应用集中到与提供服务的主机连接的网络交换机，而不是将安全策略分布到与提供服务的主机或该服务的客户连接的每个网络交换机，网络运营商可以保留硬件和计算资源，去除与在共享子网内共同存放不同安全策略的多个应用有关的操作障碍，并更一致且更快速地部署安全策略以影响租户的工作负载。

图1示出了根据本公开的实施例的网络结构100。所示的网络结构100是软件定义的网络(SDN)，其包括第一站点110a(一般来说，站点110)、第二站点110b以及第三站点110c，其中站点110中的每一者均位于彼此不同的地理位置(即，是远程定位)。尽管本文的示例中讨论了三个站点110a-c，但在其他示例中，网络结构100可以包括多于三个或少于三个的站点110。尽管远程定位的元素之间有距离，但是站点110中的每一者均通过网络160(如互联网或另一个公共网络)与网络结构100中的其他站点110连接，以作为一个单一的网络运行。

在图1中，每个站点110包括各种脊交换机120和叶交换机130，它们可以基于通信路径、站点110的租户等被划分为各种集群。脊交换机120和叶交换机130是专门的计算机网络设备，用于网络内的数据路由。可用于脊交换机120或叶交换机130的示例性硬件实例将关于图6进行讨论。在各种实施例中，脊交换机120和叶交换机130可以在内部缓存中或在外部缓存(例如与关于图5讨论的终端数据库510)中保留与其连接的设备或先前与交换机通信的设备的寻址信息。

如图所示，叶交换机130通过脊交换机120路由通信流，并且脊交换机120通过叶交换机130路由通信流。换句话说，在站点110内，脊交换机120不与其他脊交换机120直接通信，叶交换机130不与其他叶交换机130直接通信。在图示的网络结构100中，远程站点110中的脊交换机120被通信在一起，以通过公共网络160将站点110链接到网络结构100中。每个站点110中的脊交换机120均可以具有一个或多个接口，该接口专门用于处理来自主机设备140的通信，这些通信从本地站点110通过公共网络160外部发送至网络结构100中的远程站点110处的一个或多个脊交换机120。此外，每个站点110均包括各自的本地站点控制器150，以控制相关站点110。可以使用软件、硬件或其组合来实施本地站点控制器150。尽管在图1中，每个脊交换机120均被图示为与给定站点110中的每个叶交换机130连接，但也设想到了其他布置。

各种主机设备140连接到叶交换机130，并且为各种租户托管工作负载。租户可以定义各种类标识符(也被称为类ID)，并将这些类ID分配给由主机设备140提供的各种设备和服务。主机设备可以为网络结构100的各种租户提供服务或客户端，尽管在图1中为每个站点110图示了一个主机设备140，但可以理解的是，网络结构100可以包括多个主机设备140，其中每个单独的主机设备140均连接到单独的叶交换机130。每个叶交换机130均可以连接到一个或多个主机设备140，主机设备可以分配给一个或多个不同的租户。

因为若干不同的租户可以共享给定站点110中提供的计算资源，并且租户可能希望管理与特定租户相关联的工作负载之间的通信，所以租户可以为如何处理通信而指定各种安全策略。例如，安全策略可以：允许第一工作负载与第二工作负载进行通信；可以阻止来自第一工作负载的通信被第二工作负载接收；可以限制第一工作负载只从已知来源接收通信(例如白名单)；可以阻止第一工作负载从已知来源接收通信(例如黑名单)，等等。当安全策略阻止通信或以其他方式阻止通信被给定工作负载接收时，通信可以被丢弃、忽略、隔离(例如，保留或转发到不同的设备以进行分析)或转发到与最初指定目的地不同的设备或工作负载。当安全策略在叶交换机130处实施时，允许传入的分组到达预期工作负载的决定导致叶交换机130将分组交付给指定的主机设备140，阻止分组被指定的主机设备140接收，或将分组转发到不同的主机设备140或节点(例如，隔离设备)。

随着连接到网络结构100的主机设备140的数量增加以及包括在网络结构100中的站点110的数量增加，指定是否允许发送主机设备140和接收主机设备140之间的通信的安全策略的均匀且一致的部署变得更加困难。换句话说，随着网络结构100的规模和复杂性的增加，安全策略面临着可扩展性挑战。然而，通过将安全策略的实施集中到网络结构100中的单个叶交换机130(例如，为提供服务/应用提供商工作负载的主机设备140提供服务)，其他叶交换机130(例如，为提供客户工作负载的主机设备140提供服务)可以将安全策略的执行委托给一个叶交换机130，并由此克服可扩展性挑战。执行安全策略的第一叶交换机130维护由租户(或由租户指定的特定服务)设定的安全策略，而其他叶交换机130在传送到主机设备140的消息中表明，安全策略的执行已经被推迟或委托给第一叶交换机130。

图2示出了一种通信场景200，其中安全策略的执行已经被定位到第一站点110a，以用于第一站点110a和第二站点110b之间的通信。第一站点110a至少包括：维护和应用安全策略210的第一叶交换机130a；第四叶交换机130d；第一脊交换机120a；和第四脊交换机120d。第二站点110b至少包括：第二叶交换机130b；第三叶交换机130c；第二脊交换机120b；和第三脊交换机120c。在图示的通信场景中，为租户提供服务的第一主机设备140a连接到第一叶交换机130a，为租户提供客户端工作负载以访问服务提供商工作负载(由第一主机设备140a提供)的第二主机设备140b连接到第二叶交换机130b，并且第三主机设备140c(其可能与另一主机设备140b的租户或不同的租户相关)连接到第三叶交换机130c。

如图2所示，安全策略210允许(或许可)第一主机设备140a和第二主机设备140b之间的通信，并拒绝(即，不允许或许可)第一主机设备140a和第三主机设备140c之间的通信。

尽管关于图2讨论的通信场景200表明通信通过特定的脊开关120进行路由，但可以理解的是，通信也可以通过其他脊开关120进行路由(例如，通过第四脊开关120d而不是第一脊开关120a，反之亦然，通过第三脊开关120c而不是第二脊开关120b，反之亦然，或者通过未示出的另一个脊开关120)。换句话说，在给定的站点110中，与指定的主机设备140的相关叶交换机130进行通信的任何一个脊交换机120可用于从/到指定的主机设备140路由通信到/从网络160。

在图2中，示出了第一主机设备140a和第二主机设备140b之间的第一通信路径220a(一般来说，通信路径220)，该路径穿过第一叶开关130a、第一脊开关120a、网络160、第二脊开关120b和第二叶开关130b。第一通信路径220a可以传送从第一主机设备140a发送至第二主机设备140b的分组和/或从第二主机设备140b发送至第一主机设备140a的分组。第一主机设备140a和第三主机设备140c之间的第二通信路径220b穿过第一叶开关130a、第一脊开关120a、网络160、第三脊开关120c和第三叶开关130c。第二通信路径220b可以传送从第一主机设备140a发送至第三主机设备140c的分组和/或从第三主机设备140c发送至第一主机设备140a的分组。

因为在通信路径220上传送的分组穿过第一叶开关130a，所以不管是从第一主机设备140a寻址还是向第一主机设备140a寻址，第一叶开关130a都可以将安全策略210应用于通信路径220上传送的所有通信，从而使第二叶开关130b或第三叶开关130c不必为通信路径220维护和应用一套安全策略210。

对于源自第二主机设备140b或第三主机设备140c并以第一主机设备140a为目的地的分组，第二站点110b中的相关第二叶交换机130b指示安全策略210的执行已被覆盖，并因此委托给第一叶交换机130a来应用。通过在第二站点110b覆盖安全策略210的执行，站点110之间的转发平面允许源自第二站点110b的通信到达第一站点110a，即使在安全策略210(或缺乏相关的安全策略210)以其他方式阻止或放弃该通信的情况下亦如此。因此，在第一通信路径220a上从第二主机设备140b传送到第一主机设备140a的分组和在第二通信路径220b上从第三主机设备140c传送的分组都到达第一叶开关130a。然而，第一叶开关130a应用安全策略210并确定是否将分组转发到第一主机设备140a(例如，来自第二主机设备140b)或阻止第一主机设备140a接收该分组(例如，来自第三主机设备140c)。

对于源自第一主机设备140a并以第二主机设备140b或第三主机设备140c为目的地的分组，第一叶交换机130a将安全策略210应用于出站分组。第一叶开关130a阻止、丢弃、隔离或重定向安全策略210不许可从第一主机设备140a传到第二主机设备140b的任何分组。因此，由第一叶开关130a接收的来自第一主机设备140a寻址到第二主机设备140b的分组被许可在第一通信路径220a上继续，而来自第一主机设备140a寻址到第三主机设备140c的分组在第一叶开关130a处被阻止在第二通信路径220b上继续。

在一些实施例中，第二主机设备140b和第三主机设备140c可以容纳在同一子网中(例如，都在20.20.0.0/16中)，但是属于不同的端点组，并因此受制于不同的安全策略210。因此，尽管网络的转发平面将把流量从第一主机设备140a路由到第二主机设备140b和第三主机设备140c，但安全策略210应阻止或拒绝第二通信路径220b上的通信，但许可或允许第一通信路径220a上的通信。

图3是根据本公开的实施例的用于在叶交换机上处理出站分组的方法300的流程图。在方框310处，本地交换机(例如，第一站点的本地)接收来自第一主机的分组，该分组旨在用于位于不同地理位置的远程站点的第二主机。例如，参考图2，第一站点110a中的第一叶交换机130a可以从第一主机设备140a接收预定用于第二主机设备140b的分组。

在各种实施例中，本地交换机不知道或没有提供第二主机的物理地址；IP(互联网协议)地址、MAC(媒体访问控制)地址、VLAN(虚拟局域网)地址，和/或VXLAN(虚拟可扩展局域网)地址可能对本地交换机是未知的。相反，在方框320处，本地交换机识别(例如，查找)目标主机的类ID。远程主机的类ID存储在数据库中(维护在站点的脊交换机上)，该数据库以对话方式或通过慢速路径端点学习机制来学习和存储远程主机的类ID(关于图5有更详细的讨论)。因为本地交换机与第一主机连接，所以本地交换机不需要查找第一主机的类ID；本地交换机已经知道第一主机的类ID。主机的类ID识别由不同的主机提供(例如，A型的服务提供商、A型的客户、B型的客户)的租户＝定义类型的设备或服务。

在方框330处，本地交换机确定哪个站点处理安全策略--本地站点或远程站点。本地交换机使用第一主机和第二主机的类ID来确定在本地交换机上是否维护了所识别的类ID的安全策略。响应于未识别用于在第一主机和第二主机之间传送数据的安全策略，本地交换机确定安全策略是远程(即，在远程站点)执行的，并且方法300进行到方框340。响应于识别用于在第一主机和第二主机之间传送数据的安全策略，本地交换机确定安全策略在本地执行，并且方法300进行到方框340。

在方框340处，本地交换机确定安全策略指定了如何处理第一主机和第二主机之间的通信。方法300进行到方框350，其中本地交换机应用该安全策略。根据安全策略指定的行动，当通信被拒绝时，方法300进行到方框360，或者当通信被许可时进行到方框370。

在方框360处，当安全策略拒绝第一主机和第二主机之间的通信时，本地交换机丢弃或阻止分组。在各种实施例中，丢弃/阻止的分组可以从本地交换机的存储器中删除、隔离、转发到另一个设备等。在一些实施例中，当安全策略拒绝分组被传送到第二主机时，本地交换机向第一主机指示。然后，方法300可以得出结论。

在方框370处，本地交换机在分组中设定策略应用指标，该指标衍生自将安全策略应用于分组的策略覆盖指标，该指标在收到分组时向远程交换机(连接到第二主机)识别用于第一主机和第二主机之间通信的安全策略是由本地交换机应用的，还是已经委托给远程交换机进行的。当策略覆盖指标为TRUE时，策略应用指标被设定为FALSE；表示安全策略没有被本地交换机应用，应该由远程交换机应用。当策略覆盖指标为FALSE时，本地交换机已经为指示的端点应用了适当的安全策略(根据方框340和350)，并且本地交换机将策略应用指标设定为TRUE(对于根据方框350未丢弃的分组)。正如将理解的那样，在各种实施例中，TRUE和FALSE可以基于指定位的单个二进制值来指定(例如，将bit

在方框380处，当安全策略许可第一主机和第二主机之间的通信(按方框360)或本地交换机已将应用委托给远程交换机并设定覆盖指标(按方框340)时，本地交换机在分组中包括目的地主机的类ID和源主机的类ID(例如，与相应第一主机和第二主机相关联的第一类ID和第二类ID)。方法300从方框380进行到方框390，其中本地交换机将分组传送到远程目的地站点。在各种实施例中，本地交换机将分组转发到本地站点的脊交换机，该脊交换机通过公共网络将分组转发到远程站点。然后，方法300可以得出结论。

图4是根据本公开的实施例的用于在叶交换机处理入站分组的方法400的流程图。当本地交换机收到来自远程站点的分组(例如，根据关于图3描述的按方法300的方框390传送的分组)时，方法400在方框410处开始。

在方框420处，本地交换机确定在方框410中收到的分组是否包括设定为指示远程(发送)交换机已处理安全策略的执行的策略应用指标。当策略应用指标被设定成指示安全策略没有被远程交换机处理(例如，安全被委托给本地交换机或每个交换机都要应用安全策略)时，方法400进行到方框430。当策略应用指标被设定为指示安全策略已经被远程交换机处理时，方法400进行到方框450。

在方框430处，本地交换机基于本地(接收)主机和远程(发送)主机的类ID，确定要应用到分组的安全策略。在方框440处，本地交换机将安全策略应用于该分组。当安全策略指示该分组被允许或远程主机和本地主机以其他方式被许可通信时，方法400进行到方框450。当安全策略指示该分组被阻止或远程主机和本地主机以其他方式不被许可通信时，方法400进行到方框460。

在方框450处，本地交换机将分组转发到目标主机。当方法400到达方框450时，应用安全策略的远程交换机(如按方框420应用策略应用指标所示)或者应用安全策略的本地交换机(按方框440)。然后，方法400可以得出结论。

在方框460处，本地交换机丢弃或阻止分组交付到本地(目的地)主机。在各种实施例中，被丢弃/阻止的分组可以从本地交换机的存储器中删除、隔离、转发到另一个设备等。在一些实施例中，当安全策略拒绝将分组交付给本地(接收)主机时，本地交换机向远程(发送)主机指示。然后，方法400可以得出结论。

图5示出了用于远程主机(即，来自其他站点110的主机设备140和在其上运行的进程)的类ID的学习场景500。第一站点110a至少包括：第一叶开关130a；第四叶开关130d；维护第一端点数据库510a(大体上说，端点数据库510)的第一脊开关120a；和第四脊开关120d。第二站点110b至少包括：第二叶开关130b；第三叶开关130c；维护第二端点数据库510b的第二脊开关120b；和第三脊开关120c。第一站点110a和第二站点110b通过网络160相互通信。

当通信在两个站点110之间发送时，发送主机的类ID包括在通信中，并且接收通信的脊开关120可以将远程主机的类ID存储在相关的端点数据库510中，以便由该站点110的任何叶开关130使用。例如，第一脊开关120a从第二主机设备140b接收的通信包括第二主机设备140b的类ID，第一脊开关120a将其存储在第一端点数据库510a中。在另一个示例中，第二脊开关120b从第一主机设备140a接收的通信包括第一主机设备140a的类ID，第二脊开关120b将其存储在第二端点数据库510b中。从两个站点110之间发送的通信中学习和存储远程主机的类ID在这里被称为“对话式学习”及其变体。然而，如果位于不同站点110的主机之间的通信在预定的时间内没有被观察到，端点数据库510可能“老化”并删除在预定的时间内没有发送通信的主机的类ID。

为了在端点数据库510中不存在远程主机的类ID时更新或补充端点数据库510，每个脊开关120均可以查询其他站点的端点数据库510以提供所请求的主机的类ID。例如，对于从第一主机设备140a到第二主机设备140b的通信流，如果第一叶开关130a不知道第二主机设备140b的类ID，则第一叶开关130a向第一端点数据库510发送ID请求520以返回该类ID。

如果第一端点数据库510a不包括第二主机设备140b的类ID，则第一脊开关120a向第二站点110b的脊开关120(例如，第二脊开关120b)发送拾取请求530，该脊开关以所请求的类ID(例如，如存储在第二端点数据库510b中)进行答复。在各种实施例中，拾取请求530是响应于端点数据库510不包括类ID的ID请求520而发送的，而在其他实施例中，拾取请求530是定期发送的(例如，每h小时、每d天等)。

一旦第一端点数据库510a已经拾取或以其他方式了解了第二主机设备140b的类ID，第一脊开关120a就向第一叶节点130a发送回复540，该回复包括最初在ID请求中请求的第二主机设备140b的类ID。第一叶交换机130a可以在本地缓存第二主机设备140b的类ID，以便以后在主机设备140之间的通信中使用以及在确定是否按照方法300或400应用各种安全策略时使用，这分别关于图3和图4讨论。

图6示出了根据本公开的实施例的网络交换机600的硬件，该网络交换机600可被用作脊交换机120或叶交换机130中的一者。网络交换机600包括主管模块610和多个线卡620a-n。主管模块610包括处理器611和存储器612。存储器612存储由处理器611执行的软件指令。特别地，存储器612可存储根据本公开的各种安全策略210、类ID以及用于将数据路由到其他设备(例如，外部设备或网络结构中的其他网络交换机600)的指令，以便将安全策略210的执行本地化。当用作与服务提供商主机相关联的叶交换机130时，网络交换机600可以包括与服务相关联的一组给定的安全策略210，而当用作与客户主机相关联的脊交换机120或叶交换机时，可以省略安全策略210。正如将理解的那样，网络交换机600可以连接到几个主机，虽然省略与一个特定服务相关的安全策略210，但给定的网络交换机600可以包括与不同服务相关的安全策略210。

每个线卡620均包括控制路径处理器621、专用集成电路(ASIC)622、多个与ASIC622联接的端口/接口623、三元内容可寻址存储器(TCAM)624以及静态随机存取存储器(SRAM)625。控制路径处理器621是CPU/处理器，接收来自监管模块610的配置命令，对TCAM624和SRAM 625进行编程。ASIC 622是硬件设备，它根据TCAM 624和SRAM 625的内容，将端口/接口623处的传入分组引导到另一设备上的特定其他端口/接口。ASIC 622可以TCAM/SRAM中缓冲收到的分组，以便延迟传送到其他设备。线卡620中可能有多个TCAM/SRAM对。

综上所述，在一个实施例中，提供了用于具有多站点数据中心结构的多租户工作负载的以应用为中心的执行的方法，该方法是：在第一站点的本地交换机处接收来自第一站点的第一主机的分组，该分组旨在用于位于第二站点的第二主机；识别主机的类标识符(ID)；基于类ID，确定用于在主机之间传送数据的安全策略；响应于确定该安全策略指示第二站点专门管理主机网络的安全策略：在分组上设定策略应用指标，指示安全策略的执行从第一交换机委托给连接到第二主机的第二交换机；在分组中包括类ID；并将分组传送到第二站点。

在本公开中，参考了各种实施例。然而，本公开的范围不限于具体描述的实施例。相反，所描述的特征和元素的任何组合，无论是否与不同的实施例有关，都被设想用来实施和实践所设想的实施例。此外，当实施例的元素以“A和B中的至少一个”的形式被描述时，可以理解为完全包括元素A、完全包括元素B以及包括元素A和B的实施例都是可以设想的。此外，尽管本文公开的一些实施例可能实现了比其他可能的解决方案或比现有技术的优势，但某一实施例是否实现了特定的优势并不限制本公开的范围。因此，这里公开的方面、特征、实施例和优点只是说明性的，不被视为所附权利要求的要素或限制，除非在权利要求中明确提及。同样，对“本发明”的提及不应被解释为对本文所公开的任何创造性主题的概括，也不应被认为是所附权利要求的要素或限制，除非在权利要求中明确提及。

正如本领域技术人员所理解的那样，本文公开的实施例可以体现为系统、方法或计算机程序产品。因此，实施例可以采取完全的硬件实施例、完全的软件实施例(包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例的形式，这些实施例在这里都可以一般称为“电路”、“模块”或“系统”。此外，实施例可以采取体现在一个或多个计算机可读介质中的计算机程序产品的形式，该介质上体现有计算机可读程序代码。

体现在计算机可读介质上的程序代码可以使用任何适当的介质进行传送，包括但不限于无线、有线、光缆、射频等或上述的任何适当组合。

用于执行本公开的实施例的操作的计算机程序代码可以用一种或多种编程语言的任何组合来编写，包括面向对象的编程语言(如Java、Smalltalk、C++或类似语言)以及传统的程序性编程语言(如“C”编程语言或类似编程语言)。程序代码可以完全在用户的计算机上执行，部分在用户的计算机上执行；作为一个独立的软件包，部分在用户的计算机上执行，部分在远程计算机上执行或完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机，或者连接到外部计算机(例如，通过互联网使用互联网服务提供商)。

这里参考根据本公开提出的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图来描述本公开的各个方面。可以理解的是，流程图图示和/或框图的每个方框以及流程图图示和/或框图中的方框的组合都可以通过计算机程序指令实施。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器，以产生一台机器，从而使通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实施流程图图示和/或框图中的方框所规定的功能/行为的手段。

这些计算机程序指令也可以存储在计算机可读介质中，该介质可以指示计算机、其他可编程数据处理设备或其他设备以特定方式运行，从而使存储在计算机可读介质中的指令产生包括实施流程图图示和/或框图的方框中指定的功能/行为的指令的制造品。

计算机程序指令也可以加载到计算机、其他可编程数据处理装置或其他设备上，以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行，以产生计算机实施的过程，从而使在计算机、其他可编程数据处理装置或其他设备上执行的指令提供用于实施流程图图示和/或框图的方框中指定的功能/行为的过程。

图中的流程图图示和框图说明了根据各种实施例的系统、方法和计算机程序产品的可能实施的结构、功能和操作。在这方面，流程图图示或框图中的每个方框均可以代表模块、段或代码的一部分，其包括一个或多个用于实施指定逻辑功能的可执行指令。还应注意的是，在一些另选实施中，方框中指出的功能可以不按图中指出的顺序出现。例如，连续示出的两个方框实际上可以基本上同时执行，或者方框有时可以按相反的顺序执行，这取决于所涉及的功能。还将注意到，框图和/或流程图图示中的每个方框以及框图和/或流程图图示中的方框的组合可以由执行指定功能或行为的基于特殊目的硬件的系统或特殊目的硬件和计算机指令的组合来实施。

鉴于以上所述，本公开的范围是由所附权利要求书确定的。