SECURITY GROUP RESOLUTION AT INGRESS ACROSS VIRTUAL NETWORKS

Techniques and architecture are described for providing a service, e.g., a security service such as a firewall, across different virtual networks/VRFs/VPN IDs. The techniques and architecture provide modifications in enterprise computing fabrics by modifying pull-based overlay protocols such as, for example, locator/identifier separation protocol (LISP), border gateway protocol ethernet virtual private network (BGP EVPN), etc. A map request carries additional information to instruct a map-server that even though mapping (destination prefix and firewall service RLOC for the destination) is known within the map-server's own virtual network/VRF for firewall service insertion, the map-server still should do a lookup across virtual networks/VRFs and discover the final destination's DGT (destination group tag) and include that in the map reply. L'invention concerne des techniques et une architecture pour fournir un service, par exemple un service de sécurité tel qu'un pare-feu, à travers différentes identifications (ID) de réseaux virtuels/VRF/VPN. Les techniques et l'architecture fournissent des modifications dans des tissus informatiques d'entreprise par modification de protocoles de recouvrement basés sur une technologie d'extraction tels que, par exemple, le protocole de séparation de localisateur/identificateur (LISP), un réseau privé virtuel Ethernet de protocole de passerelle frontière (BGP EVPN), etc. Une demande de carte transporte des informations supplémentaires pour donner l'instruction à un serveur de carte qui même si un mappage (préfixe de destination et RLOC de service de pare-feu pour la destination) est connu à l'intérieur du propre réseau virtuel/VRF du serveur de carte pour une insertion de service de pare-feu, le serveur de carte doit toujours effectuer une recherche à travers des réseaux virtuels/VRF et découvrir la DGT (étiquette de groupe de destination) de destination finale et l'inclure dans la réponse de carte.