CN106878253B - Mac(l2)层认证、安全性和策略控制 - Google Patents

Mac(l2)层认证、安全性和策略控制 Download PDF

Info

Publication number
CN106878253B
CN106878253B CN201610867914.7A CN201610867914A CN106878253B CN 106878253 B CN106878253 B CN 106878253B CN 201610867914 A CN201610867914 A CN 201610867914A CN 106878253 B CN106878253 B CN 106878253B
Authority
CN
China
Prior art keywords
network
evpn
network address
access router
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610867914.7A
Other languages
English (en)
Other versions
CN106878253A (zh
Inventor
萨钦·S·纳图
基里蒂·康佩拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN106878253A publication Critical patent/CN106878253A/zh
Application granted granted Critical
Publication of CN106878253B publication Critical patent/CN106878253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请描述了在L2交换网络诸如城域传输网络内实现MAC(L2)层认证、安全性和策略控制。此外,当在EVPN中使用时,所述技术提供对L2交换网络的细粒度策略控制,以便使得运营商网络能够指定和控制拓扑以用于传输基于数据包的通信。EVPN的接入路由器与城域传输网络的L2网络地址认证设备通信,并且仅将MAC地址通知至已经验证的EVPN中。此外,L2网络地址认证设备可分发MAC级策略,以控制拓扑和EVPN内的MAC学习以及提供服务,诸如每MAC流量定额限制。

Description

MAC(L2)层认证、安全性和策略控制
技术领域
本发明涉及计算机网络,并更具体地涉及在层2(L2)网络内传送安全性和策略控制。
背景技术
许多城市地区已经安装了城市(城域)传输网络,以为本地用户提供到基于较大数据包的服务网络(例如,因特网)的高带通连通性。每个用户通常与连接到城域传输网络的许多因特网服务提供商(ISP)网络中的任一个签约,并且每个ISP网络为用户提供通信会话的锚,以及为用户管理诸如认证、计费的网络服务。
用户可利用多种设备以连接到ISP网络,以接入由因特网提供的资源和服务。例如,用户通常利用桌面型计算机、膝上型计算机、智能TV、移动智能电话和功能电话、平板计算机等等。城域传输网络通常提供层2 (L2)交换机制以用于在用户和他们各自的ISP之间传输基于数据包的数据,使得可在ISP处为用户建立第三层(L3)通信会话,以用于与诸如远程内容数据网络(CDN)或因特网的超出ISP的资源通信。
发明内容
一般而言,描述了在诸如城域传输网络的网络内提供层2(L2)网络地址(例如,媒体接入控制‘MAC’地址)认证的技术。此外,所述技术使用城域传输网络上的以太网虚拟专用网络(EVPN)技术提供对L2网络地址中的每个的细粒度策略控制,以便使得运营商网络能够指定和控制拓扑,以用于传输基于数据包的通信。
在一个示例中,系统包括:城域传输网络,其提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包,其中,城域传输网络包括经由一个或多个接入链路连接到客户设备的至少一个接入路由器,以及城域传输网络的多个其他路由器,并且其中接入路由器和其他路由器在城域传输网络内建立EVPN。系统进一步包括网络地址认证设备,网络地址认证设备在城域传输网络内,并包括客户设备的有效L2网络地址的数据库。响应于接收到来自客户设备(例如,客户端设备(CE)或各个用户设备) 中的一个的数据包,接入路由器向城域传输网络的网络地址认证设备输出认证请求,所述认证请求指定数据包的源L2网络地址并请求验证源L2 网络地址。响应于从网络地址认证设备接收到的响应消息指示源L2网络地址是与客户设备中的一个关联的有效L2网络地址,接入路由器被配置为输出EVPN路由通知,EVPN路由通知将L2网络地址通知为可通过接入路由器到达。响应于从网络地址认证设备接收到的响应消息指示源L2 网络地址是与客户设备中的任一个都不关联的无效L2网络地址(例如,被列入黑名单或未知),接入路由器被配置为利用接入路由器丢弃数据包,而不将EVPN路由通知输出到EVPN中。
在另一个示例中,方法包括利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立EVPN,其中,城域传输网络提供L2数据包交换以用于在因特网服务提供商网络和客户设备之间传输网络数据包,并且其中路由器中的第一个是经由接入链路耦接到客户设备的接入路由器。方法进一步包括通过接入路由器经由接入链路接收来自客户设备中的一个的数据包,以及响应于接收到所述数据包,将来自接入路由器的认证请求输出到城域传输网络的网络地址认证设备,其中,认证请求指定数据包的源L2网络地址并请求验证源L2网络地址。方法包括响应于接收到的响应消息指示源L2网络地址是与客户设备中的一个关联的有效L2网络地址,在EVPN内经由接入路由器输出EVPN路由通知,其将L2网络地址通知为可通过接入路由器到达。
在另一个示例中,城域传输网络的接入路由器包括控制单元,该控制单元具有耦接到存储器的至少一个处理器。控制单元执行被配置为在城域传输网络内通过一组其他路由器建立EVPN的软件,所述城域传输网络提供L2数据包交换以用于传输与客户设备关联的网络数据包。控制单元被配置为响应于经由接入链路接收到来自客户设备中的一个的数据包,将认证请求输出到城域传输网络的网络地址认证设备,所述认证请求指定数据包的源L2网络地址并请求验证源L2网络地址。响应于从网络地址认证设备接收到的响应消息指示源L2网络地址是与客户设备中的一个相关联的有效L2网络地址,接入路由器输出EVPN路由通知,EVPN路由通知将 L2网络地址通知为可通过接入路由器到达。响应于从网络地址认证设备接收到的响应消息指示源L2网络地址是与客户设备中的任一个都不关联的无效L2网络地址,接入路由器通过接入路由器丢弃数据包,而不将 EVPN路由通知输出到EVPN中。
在另一个示例中,非暂时性计算机可读存储介质包括可执行指令,其被配置为执行本文描述的方法。
附图以及下面的描述中提出了本发明的一个或多个实施例的细节。本发明的其他特征、目的和优点将从所述描述和附图中以及权利要求中变得明显。
附图说明
图1为示出根据本文描述的各种技术的示例网络系统的方框图。
图2为示出根据本公开的技术的图1的网络系统的设备的示例操作的流程图。
图3为示出根据本文描述的各种技术的图1的网络系统的另一种示例操作模式的方框图。
图4为示出根据本文描述的各种技术的另一个示例网络系统的方框图。
图5为示出根据本公开的技术的示例路由器的进一步细节的方框图。
具体实施方式
图1为示出根据本文描述的各种技术的示例网络系统2的方框图。如图1的示例中所示,网络系统2包括耦接到因特网服务提供商网络7的城域接入和聚合网络4。
一般而言,因特网服务提供商网络7通常由因特网服务提供商(ISP) 所持有并且被操作为向用户设备18提供基于数据包的网络服务的专用网络。如图1中所示,用户设备18通常通过客户端设备(CE)35(诸如本地以太网交换机、电缆调制解调器、路由器等等)经由层2网络21互连。一般而言,本文描述的技术可应用于相对于CE 35、用户设备18或它们的组合执行MAC层安全性和用户管理。例如,在一些情况下,CE 35为纯 L2设备,其交换由用户设备18发起的L2数据包使得MAC层认证和安全性应用于用户设备的MAC。在其他示例中,CE 35包括L3功能(例如,路由和可选网络地址转换(NAT)),以便认证CE 35的MAC地址。
作为示例,用户设备18可以是个人计算机、便携式计算机或者与用户关联的其他类型的计算设备,例如,3G无线卡、具有无线功能的上网本、视频游戏设备、寻呼机、智能电话、个人数据助理(PDA)等等。用户设备18中的每个可运行多个软件应用程序,诸如文字处理和其他办公支持软件、网络浏览软件、用以支持语音呼叫、视频游戏、视频会议和电子邮件的软件等等。
作为其他示例,用户设备18可包括低功率、网络使能设备的集合,诸如摄像头、传感器、恒温器、控制器、自动灯、电器或者家庭或工作场所内的其他设备。此类设备可被俗称为属于“物联网”。此类设备的其他示例可以是部署在城市环境内的交通灯、摄像头和传感器。
在任何情况下,因特网服务提供商网络7通常提供CE 35的认证和建立,使得用户设备18可开始与在诸如内容数据网络(CDA)8A和8B(本文中为CDN 8)的因特网骨干网12上可用的资源交换数据包。一般而言,每个CDN 8通常为互连设备的专用网络,所述互连设备协作以将内容分发给使用一个或多个服务的客户端。此类内容可包括例如流媒体文件、数据文件、软件下载、文档和数据库查询结果等等。因此,由CDN 8提供的服务的示例可包括超文本传输协议(HTTP)、基于HTTP的自适应流、实时流协议(RTSP)流、其他媒体流、通知、文本传输协议(FTP)等等。
在图1的示例中,城域传输网络24为与用户设备18关联的网络流量提供层2(L2)传输服务。城域传输网络24通常包括因特网交换和传输节点,诸如以太网交换机和底层传输系统,以用于在接入提供商边缘路由器(A-PE)36和网络提供商边缘路由器(N-PE)30之间经高速链路传输、多路复用和交换通信。尽管为简单起见示出了仅单个因特网服务提供商网络7,但城域传输网络24可为多个不同的因特网服务提供商的用户设备 18提供数据包的城域接入、聚合和传输。一般而言,城域传输网络24通常由城域网运营商所持有和操作,而因特网服务提供商网络7中的每个可由单独的因特网服务提供商所持有和操作。
在图1的该示例中,A-PE 36在城域传输网络24的边界处操作并为接入网络(AN)27提供连通性。一般而言,AN 27向用户设备18提供通过 CE 35的方式到城域传输网络24的接入。例如,A-PE 36通常包括将从与用户设备18关联的CE 35到较高速度上行链路的输出聚合到城域传输网络24的功能。例如,用户设备18可连接到本地客户端设备(CPE),诸如DSL或电缆调制解调器。CPE可利用点对点协议(PPP),诸如ATM上的PPP或以太网上的PPP(PPPoE),以经由A-PE 36和N-PE 30提供的连通性传送BNG 23。在其他实施例中,CE 35可利用诸如以太网和DHCP 的非PPP协议,以通过A-PE 36和N-PE 30提供的连通性与BNG 23通信。其他实施例可使用除DSL线路以外的其他线路,诸如电缆、T1、T3或其他接入链路上的以太网。
在图1的示例中,用户设备18与因特网服务提供商的客户关联,所述因特网服务提供商持有并操作因特网服务提供商网络7。如此,因特网服务提供商网络7接收来自CE 35的网络接入请求并处理用户的认证和会话建立,以便提供到用户设备18的接入。宽带网络网关(BNG)23提供用于经由N-PE 30到城域传输网络24的连通性的路由和交换功能,并为被建立用于CE 35的IP会话提供端点和管理。在另一个示例中,BNG 23 可以是宽带远程接入服务器(BRAS)或者为用户会话提供锚点的其他路由设备。
AAA服务器11作为包括数据库29的用户管理系统操作,所述数据库29具有指定与用户设备18关联的各个用户的有效用户凭证(例如,用户ID和密码或CE 35的MAC地址)以及被分配给用户设备的L2网络地址的条目。进一步地,对于每个条目,数据库29可为每个L2网络地址指定策略,以便为城域传输网络24提供策略驱动控制。在认证来自用户设备18的网络接入请求后,AAA服务器11指派来自服务提供商的IP域的第三层(L3)网络地址(例如,专用IPv4或IPv6网络地址),以用于通过因特网服务提供商网络7接收数据服务。作为示例,因特网服务提供商网络7的AAA服务器11通常为认证、授权和计费(AAA)服务器,用于认证请求网络连接的用户的凭证。例如,AAA服务器11可以是远程认证拨入用户服务(RADIUS)服务器或DIAMETER服务器。
如图1中所示,城域传输网络24实施以太网虚拟专用网络(EVPN) 26。尽管相对于EVPN 26进行了描述,在另一个示例实施中,城域传输网络24可实施虚拟LAN服务(VPLS)或其他机制以用于实施L2传输服务。
在该示例中,由城域传输运营商操作的城域传输网络24(例如,A-PE 36和N-PE30)的边缘路由器被配置为在它们各自的控制平面(也被称为路由引擎)内执行EVPN协议,以便彼此通信并交换建立和维护EVPN 26 所需的配置信息。当部署了EVPN时,边缘路由器之间的L2地址学习(例如,MAC学习)通过根据EVPN协议交换EVPN消息在控制平面中发生,与在VPLS中发生的传统桥接相反,其中L2地址学习在数据平面(例如,转发组件)中发生同时转发L2流量。例如,A-PE 36和N-PE 30的控制平面被配置为执行路由协议,诸如边界网关协议(BGP),以交换增强消息以便关于EVPN 26彼此通信。也就是说,A-PE 36和N-PE 30的控制平面可执行BGP协议以交换BGP消息,以用于MAC地址信令/学习以及用于相对于EVPN 26的接入拓扑和VPN端点发现。A-PE 36和N-PE 30可由MPLS LSP基础设施连接或者可由IP基础设施连接,在这种情况下, IP/GRE隧道或其他IP隧道可用于通过EVPN 26传输L2通信。相对于 EVPN协议的附加信息在RFC 7432,因特网工程任务组(IETF),2014年 7月2日的“基于BGP MPLS的以太网VPN”中有所描述,其全部内容通过引用结合于此。对紧跟数字的网络层的参考可指示开放系统互连(OSI) 模型的特定层。关于OSI模型的更多信息可在作者Hubert Zimmermann的公开于第28卷第4号,日期为1980年4月的IEEE通信学报的“OSI参考模型——开放系统互连的体系架构的ISO模型”中找到,其通过引用并入此处,如同在本文完全阐述一样。
在通过因特网服务提供商网络7认证和建立网络接入以后,用户设备 18中的任何一个可开始与诸如CDN 8的因特网骨干网12上的资源交换数据包。在该过程期间,由因特网服务提供商网络7指派给用户设备18的专用IP地址可被转换为与因特网服务提供商网络的路由前缀关联的公共地址,以用于因特网骨干网12上基于数据包的通信的目的。此外,网关21提供第三层(L3)路由功能以用于通过因特网服务提供商网络7到达用户设备18。网关21通知L3可达性信息(例如,路由),以用于到达与因特网服务提供商网络7关联的公共地址前缀。尽管未示出,因特网服务提供商网络7可包括其他设备以提供其他服务,诸如安全性服务、负载平衡、计费、深度数据包检测(DPI),以及用于穿过因特网服务提供商网络的流量的其他服务。
在图1的示例中,当在城域传输网络24内提供EVPN 26服务时,A-PE 路由器36和N-PE路由器30执行MAC地址学习,以有效地转发系统2 中的L2网络通信。也就是说,当A-PE路由器36从CE路由器35接收源自用户设备18的以太网帧时,A-PE路由器学习客户网络21的L2状态信息,包括客户网络内的CE 35的MAC寻址信息。A-PE路由器36通常在与相应接口关联的MAC表中存储MAC寻址信息。当A-PE路由器 36学习CE 35本地附连电路的MAC地址时,A-PE路由器利用第三层(L3) 路由协议(即,该示例中的BGP)的MAC地址路由通知,以将所习得的MAC地址共享到EVPN 26的其他成员路由器,以及提供MAC地址通过发出路由通知的特定PE路由器可到达的指示。在BGP EVPN的示例中, A-PE路由器36中的每个使用BGP路由通知,本文中也被称为“MAC路由”或“MAC通知路由”,将本地习得的MAC地址通知给其他A-PE路由器36并通知给远程N-PE路由器,即,第2类BGP EVPN路由通知。如下面进一步所描述,MAC路由通常为相应CE 35指定一个或多个单独的MAC地址以及附加转发信息,诸如路由描述符、路由目标、第2层段标识符以及MPLS标签。以该方式,A-PE路由器36使用BGP路由协议消息来通知和共享在将接收自接入网络27的本地附连电路的层2通信转发至EVPN 26时所习得的MAC地址。
根据本文描述的技术,城域传输网络24通过在将L2网络地址通知至 EVPN 26之前实现CE 35(或可选地,各个用户设备18)的L2网络地址 (例如,MAC地址)的认证来提供增强的安全性。在图1的示例中,通过指定因特网服务提供商网络7中的任一个的MAC地址的数据对MAC 认证系统15编程,其中针对该因特网服务提供商网络7,ISP已经同意参与本文描述的本地MAC认证和策略控制技术。具体地,AAA服务器或参与的ISP的其他用户管理系统(诸如AAA服务器11)输出通信17,以复制或以其他方式传送与用户关联的CE 35的授权的L2网络地址,例如, MAC地址,其中MAC认证系统15由城域网运营商所拥有和操作。例如, AAA服务器11和MAC认证系统15可参与数据库级复制和同步,以传送 MAC地址。作为附加示例,各种通信协议可用于在AAA服务器11的数据库和MAC认证系统15之间传送MAC地址。以该方式,可通过被分配到ISP提供商且由ISP提供商所拥有的MAC地址预填充MAC认证系统 15。
在从接入网络27的本地附连电路接收到以太网帧后,A-PE 36将认证请求37输出到MAC认证系统15,MAC认证系统15充当作为存储指定有效MAC地址的信息的中央数据库。从MAC认证系统15接收的响应消息41提供关于一个或多个MAC地址是否有效以及是否作为无效(例如,被列入黑名单或未知)MAC地址被认证或拒绝的指示。基于响应消息41, A-PE 36处理通过附连电路和CE设备35的方式从本地用户设备18接收的以太网帧。具体地,A-PE 36通过封装以太网帧以及将流量转发至城域传输网络24的EVPN 26来处理具有已认证的源MAC地址的以太网帧。进一步地,A-PE仅将本地习得的MAC地址通知至其他A-PE路由器36 以及通知至远程N-PE路由器30,针对所述本地习得的MAC地址,响应消息41指示为有效的、已认证的MAC地址。换言之,A-PE 36为由MAC 认证系统15明确认证的那些MAC地址输出BGP路由通知,也被称为 EVPN“MAC路由”或称为“MAC通知路由”,即,第2类BGP EVPN 路由通知。
此外,所述技术提供对EVPN 26的细粒度、MAC层策略控制。例如,除了传送有效MAC地址以外,AAA服务器111还可为MAC地址中的每个传送每个L2网络地址的一个或多个策略,从而在城域传输网络24本地实现策略驱动控制。继而,在对MAC地址进行认证后,MAC认证系统 15将相应的MAC特定策略或多个策略中继至A-PE 36。例如,MAC认证系统15可将响应消息41的格式规定为Radius消息或Diameter消息。除了包括提供关于MAC地址有效性的响应的数据以外,响应消息41被构建为嵌入策略,以便相对于MAC地址由A-PE 36应用。例如,可作为符合 Radius或Diameter的响应消息中的供应商特定属性(VSA)嵌入策略。 AAA的RADIUS协议的示例在Carl Rigney等人于2000年6月公布的因特网工程任务组(IETE)的网络工作组的注解请求2865中的“远程认证拨入用户服务器(RADIUS)”中有所描述,其通过应用全部并入本文(下文中称作“RFC 2865”)。AAA的Diameter协议的示例在Fajardo等人于2012年10月公布的因特网工程任务组(IETE)的网络工作组的注解请求 RFC 6733中的“Diameter基础协议”中有所描述。
作为一个示例,MAC认证系统15可构建响应消息41以包括MAC 地址的基于时间和/或容量的策略。例如,在对有效MAC地址进行认证后, MAC认证系统15可在指定持续时间或流量定额时嵌入VSA,针对该VSA, A-PE 36将MAC地址当前保持在其本地MAC表中和/或已认证的MAC 的高速缓存中。如此,具有MAC地址作为原MAC的任何附加流量触发重新认证请求37。
作为另一个示例,MAC认证系统15可在响应消息41中包括MAC 地址的基于时间和容量的策略。例如,MAC认证系统15可包括使用VSA 的指定路由目标(RT)。在这种情况下,当在控制平面中宣布进入EVPN 26 的该MAC地址时,所述接收A-PE 36利用EVPN路由类型2中的路由目标。以该方式,RT通过将MAC地址作为可通过所述通知A-PE 36到达插入它们各自的与EVPN 26关联的MAC表中来向其他EVPN PE路由器指定EVPN PE路由器是否将导入该特定MAC路由。如此,城域传输网络 24实现城域网络中的哪些PE学习哪些MAC地址的自动策略驱动控制,并且以单独的MAC级粒度提供该种控制。此外,该种控制扩展至各个ISP,其拥有并操作因特网服务提供商网络7并且通过通信17的方式将配置信息和策略提供至MAC认证系统15。通过允许以MAC地址的粒度从MAC 认证系统15自动配置RT,可通过城域网运营商和/或ISP实施并控制MAC 地址的粒度下的服务/拓扑定制化。
作为另一个示例,MAC认证系统15可在响应消息41中包括新的BGP 团体属性,其传送EVPN PE的回送IP地址。BGP团体属性可被嵌入在响应消息41中的新VSA中。当在控制平面中宣布进入EVPN 26的该MAC 地址时,所述接收A-PE 36利用EVPN路由类型2中的BGP团体属性。这提供用于指定和控制哪些EVPN PE路由器将导入该特定MAC路由的另一种机制,并且将避免指定EVPN PE中的每个上的RT。
以该方式,本文描述的示例技术实现对MAC路由分发的自动的、每 MAC控制。此外,这使得城域网运营商能够指定富拓扑,以用于以细粒度MAC地址级别支持因特网服务提供商。
图2为示出根据本公开的技术的图1的网络系统的设备的示例操作的流程图。最初,由参与的ISP所拥有的且由相应CE 35和/或ISP的用户设备18使用的MAC地址被传送到城域网运营商,以用于配置MAC认证系统15(100、102)。可通过指定因特网服务提供商网络7中的任一个的 MAC地址的数据,由城域网运营商对MAC认证系统15编程,其中针对该因特网服务提供商网络7,ISP已经同意参与本文描述的技术。作为其他示例,所述表示同意ISP的AAA服务器11可输出消息17以将MAC 地址传送到MAC认证系统15,所述MAC地址被分配给相应因特网服务提供商网络7并由CE 35使用,或者作为另一个示例,由各个用户设备18 使用。接收配置数据后,MAC认证系统15更新其有效MAC地址(102) 的数据库。
接收来自给定CE 35的网络接入请求后,因特网服务提供商网络7的 AAA服务器11对用户的凭证进行认证,例如,用户名和密码,并从被分配给ISP且由ISP所拥有的IP地址前缀为用户分配IP地址(103)。此时, CE 35通常开始输出数据包,诸如L2以太网帧,以用于接入网络资源,诸如CDN 8或因特网。
在经由本地附连电路从CE 35或假装为已认证设备的其他设备接收数据包(例如,以太网帧)后,A-PE 36检查其最近已认证的MAC地址的本地高速缓存,并确定所述发送用户设备的源MAC地址是否为先前未被学习的新MAC地址,并且因此不存在于其本地MAC表中且还未被验证 (105)。如果源MAC地址与当前存在于A-PE 36的本地MAC表内的MAC 地址匹配,则A-PE 36封装所述数据包并使用EVPN 26注入所述数据包 (120)。
如果MAC地址还未被学习并且因此最近未被认证,A-PE 36将认证请求37输出到MAC认证系统15(108),其中认证请求指定所述数据包的源MAC地址,即,所述发送CE 35的MAC地址。作为一个示例,认证请求37可符合增强的RADIUS或DIAMETER协议,其已经被修改以承载针对其请求验证的MAC地址(多个MAC地址)。
MAC认证系统15接收认证请求37,并通过比较由认证请求的有效负载承载的源MAC地址和其由ISP网络7提供的有效MAC地址的中央数据库来处理请求。基于比较,MAC认证系统15构建并输出响应消息41,响应消息41具有指示MAC地址是否为当源发L2数据包时期望从CE 35 看到的有效MAC地址的数据(112)。例如,如果MAC认证系统15确定 MAC地址匹配其数据库内的MAC地址,则MAC认证系统构建响应消息 41,以具有指示MAC地址为期望从CE 35(或用户设备18)看到的有效源MAC地址的数据。然而,如果MAC认证系统15确定MAC地址与其数据库中的MAC地址中的任一个都不匹配,则认证系统构建并输出响应消息41,以包括指示特定MAC地址无效的数据。
发起认证请求37的A-PE 36接收来自MAC认证系统15的响应消息 41(114),并处理响应消息以确定响应消息是否指示最近接收的以太网帧的源MAC地址为有效MAC地址(116)。如果响应消息41指示MAC地址为无效MAC地址(例如,被列入黑名单的或未知的MAC),则所述请求A-PE 36放弃当前正被缓冲的以太网帧(118)。另外,A-PE 36可将 MAC地址放入“黑名单”中,使得在一定的可配置时间量内在转发平面中自动放弃具有相同源MAC地址的随后的数据包,以避免连续地重新认证无效MAC地址。
在响应消息41指示MAC地址为CE 35(或用户设备18)的有效源 MAC地址的情况下,A-PE 36封装以太网帧并将所得数据包转发至城域传输网络24的EVPN 26(120)。另外,对于任何最新习得的MAC地址, A-PE 36更新与EVPN 26关联的其MAC表,并通过第2类EVPN MAC路由通知的方式将本地习得的源MAC地址通知至其他A-PE路由器36以及通知至N-PE路由器30(122)。此时,A-PE 36可应用由MAC认证系统15提供的任何策略以用于特定MAC地址。例如,如以上所描述,A-PE 36可构建BGP EVPN MAC路由通知,以包括RT或BGP团体以便向其他EVPN PE路由器指定EVPN PE路由器是否将导入该特定MAC路由。
诸如其他A-PE 36或N-PE 30的远程EVPN路由器接收EVPN MAC 路由通知(124),并基于如本文所描述的RT导入规则或BGP团体属性更新与EVPN关联的MAC表(126)。
在经由城域传输网络24提供的EVPN 26接收用户会话的出站以太网帧后,BNG 23提供用户会话的终止点,并应用L3路由功能将L3数据包路由至因特网骨干网12和CDN 8(130)。
在以上示例中,A-PE 36被配置为缓冲出站通信直到对通信内的源 MAC地址进行认证。在替代示例中,对于给定的源MAC地址,A-PE 36 可被配置为注入有限的通信量,诸如至多阈值数目的数据包,同时请求由 MAC认证系统15进行认证。也就是说,A-PE 36可转发所述数据包,同时认证请求37对于MAC认证系统15而言是未决的。如果随后接收的响应消息41指示所考虑中的源MAC地址不是有效MAC地址,那么所述请求A-PE 36将MAC地址添加到MAC地址的黑名单给,自动放弃具有与所述数据包的源MAC地址相同的MAC地址的任何随后的数据包,并且不宣布进入使用EVPN MAC路由通知的EVPN 26中的MAC地址。
图3为示出根据本文描述的各种技术的网络系统2的另一种示例操作模式的方框图。在图3的示例中,MAC认证系统15支持分层认证和策略控制。
例如,与使用指定因特网服务提供商网络7的MAC地址的数据对 MAC认证系统15编程不同或者除了使用指定因特网服务提供商网络7的 MAC地址的数据对MAC认证系统15编程以外,MAC认证系统和AAA 服务器11协作以提供分层MAC认证。也就是说,MAC认证系统15维护最近已认证的MAC地址和关联策略的本地高速缓存。在接收到来自A-PE 36的认证请求37后,MAC认证系统15将由认证请求的有效负载承载的源MAC地址与其先前从ISP网络7接收的有效MAC地址和关联策略的中央数据库进行比较。如果未发现MAC地址,则MAC认证系统15发出查询152至每个参与的ISP的AAA服务器11,以确定该MAC地址是否有效。每个查询的AAA服务器11提供具有指示MAC地址是否为被期望从CE 35(或用户设备18)看到的有效源MAC地址的数据的响应154。在从因特网服务提供商网络7中的一个的AAA服务器11接收到响应消息 154后,MAC认证系统15更新其有效MAC地址的本地高速缓存,并输出具有指示MAC地址为有效MAC地址的数据的响应消息41。另外,来自AAA服务器11的响应消息154承载由城域传输网络24与特定MAC 地址相关联地实施的任何策略。MAC认证系统15连同有效MAC地址一起在其数据库中安装策略,并构建响应消息41以便将策略传递到所述请求A-PE 36。
然而,如果MAC认证系统15从所有参与的因特网服务提供商网络7 的AAA服务器11接收到MAC地址不与它们数据库中的MAC地址中的任一个匹配的响应消息154,则MAC认证系统构建并输出响应消息41,以包括指示特定MAC地址无效的数据。
图4为示出实施本文描述的各种技术的另一个示例网络系统200的方框图。与图1的城域传输网络24类似,城域传输网络224实施以太网虚拟专用网络(EVPN)226,其中由城域传输运营商操作的边缘路由器(例如,A-PE 236和网关231)被配置为在它们各自的控制平面(也被称为路由引擎)内执行EVPN协议,以便彼此通信并交换建立和维护EVPN 226 所需的配置信息。A-PE 236和网关231可由MPLS LSP基础设施连接或者可由IP基础设施连接,在这种情况下,IP/GRE隧道或其他IP隧道可用于通过EVPN 26传输L2通信。
在图4的示例中,城域传输网络224包括动态主机配置协议(DHCP) 服务器202,DHCP服务器202将网络层(例如,IP)地址分配给用户设备218。尽管被示出为独立设备,DHCP服务器202可被集成在诸如A-PE 236或网关路由器221的其他设备内。以该方式,网络系统200包括城域传输网络224,其作为轻型、MAC级用户管理系统操作。在该示例中,用户设备218包括部署在城市区域内的设备的集合,诸如摄像头、传感器和交通灯。尽管出于举例说明此类设备的目的进行了描述,参考图4示出的技术可应用于其他形式的用户设备,诸如膝上型电脑、桌面型计算机、寻呼机、智能电话、个人数据助理(PDA)等等。
在图4的示例中,CE 237可以是简单的L2交换设备,并且在这种情况下,基于用户设备218的MAC执行MAC认证。MAC认证系统215通过指定CE 35和/或用户设备218的MAC地址的数据进行编程并且应用本文描述的本地MAC认证和策略控制技术。也就是说,与本文描述的技术类型,在从耦接到接入网络227的CE设备237的本地附连电路接收到数据包后,A-PE236将认证请求237输出至MAC认证系统215,MAC认证系统215充当中央数据库,该中央数据库存储为城域传输网络224指定有效MAC地址的信息。从MAC认证系统215接收到的响应消息241提供关于所述数据包中的源MAC地址是否有效以及是否作为无效MAC地址被认证或拒绝的指示。基于响应消息241,A-PE 236处理通过附连电路的方式从本地CE 35接收的数据包(例如,以太网帧)。具体地,A-PE 236 通过封装该数据包以及将封装的数据包转发至城域传输网络224的EVPN 226来处理具有已认证的源MAC地址的数据包。进一步地,A-PE 236仅将验证的MAC地址通知至使用例如BGP EVPN第2类MAC路由通知的 EVPN路由器,其还可包括例如由相应DHCP服务器分配的IP地址。此外,此时,A-PE 236可应用由MAC认证系统215提供的任何策略以用于特定MAC地址。
“物联网(IOT)”数据中心208代表计算系统,例如,一组服务器,其被配置为控制用户设备218,处理从用户设备接收到的通信以及基于通信生成报告等等。也就是说,IOT数据中心208可以是被配置为控制安装在城市环境内的设备的计算系统。如图1中所示,城域传输网络可被配置为实现对IOT或其他用户设备218的直接L2和L3支持,而无需中间的因特网服务提供商。通过该轻型用户管理系统,城域传输网络224可表现为具有许多对等/出口点的完全IP网络,而无须将所有用户流量传输至各种ISP的集中式BNG,从而提供更有效和灵活的传输层服务。
尽管相对于EVPN进行了描述,MAC认证系统可将本文描述的MAC 级认证技术应用到其中使用虚拟专用Lan服务(VPLS)的城域传输网络。在该种实施中,城域传输网络(例如,城域传输网络24、224)的路由器,包括A-PE路由器和N-PE路由器,建立VPLS以用于传输通信。在从MAC 认证系统接收到指示源MAC是与客户设备中的一个关联的有效MAC的响应消息后,A-PE路由器将所述数据包转发至VPLS。然而,在从MAC 认证系统接收到指示源MAC无效(例如,被列入黑名单或未知)的响应消息后,A-PE路由器放弃所述数据包。
图5为示出能够执行所公开的技术的示例性路由器380的方框图。一言而言,路由器380可与相对于图1-图4描述的A-PE 36、236大致类似地操作。
在该示例中,路由器380包括接口卡388A-388N(“IFC 388”),其经由入站链路390A-390N(“入站链路390”)接收数据包并经由出站链路 392A-392A(“出站链路392”)发送数据包。IFC 388通常经由多个接口端口耦接到链路390、392。路由器380还包括控制单元382,其确定所接收数据包的路由并相应地经由IFC 388转发所述数据包。
控制单元382可包括路由引擎384和数据包转发引擎386。路由引擎 384作为路由器380的控制平面操作并包括操作系统,其提供多任务操作环境以用于执行多个并行进程。例如,路由引擎384执行软件指令以实施一个或多个控制平面联网协议397。例如,协议397可包括一个或多个路由协议,诸如边界网关协议(BGP)393,以用于与其他路由设备交换路由信息以及用于更新路由信息394。路由信息394可描述其中驻留路由器 380的计算机网络的拓扑,并且还可包括通过网络的路由。路由信息394 描述计算机网络内的各种路由以及每个路由的适当的下一跳,即,沿着路由中的每个的邻近路由设备。路由引擎384分析所存储的路由信息394并为转发引擎386生成转发信息396。转发信息396可例如使用户的网络目的地与特定的下一跳和相应IFC 388以及输出链路392的物理输出端口关联。此外,转发信息396可指定在将数据包转发至下一跳时应用的操作,诸如使用EVPN标签的封装或数据包的解封装。转发信息396可以是被编程到专用转发芯片中的基数树、一系列表、复杂数据库、链接表、基数树、数据库、平面文件或各种其他数据结构。
在图5的示例中,还被称为路由器380的控制平面的路由引擎384执行EVPN协议387,其操作用于与其他路由器通信以建立和维护EVPN,诸如EVPN 26,以用于通过城域传输网络传输通信,从而通过中间网络本地扩展以太网网络。例如,EVPN协议387可与在远程服务器上执行的 EVPN协议通信,以建立隧道(例如,LSP或GRE隧道),其利用数据包上的标签栈以用于通过EVPN传输所述数据包。EVPN协议387维护路由器380的控制平面中的MAC地址表381,其中MAC表使L2客户MAC 地址与特定隧道关联以到达所关联的MAC地址。当实施EVPN时,可通过与远程PE设备交换包含客户MAC地址的BGP消息在控制平面中执行 L2MAC学习。EVPN协议387将MAC表381中记录的信息传送至转发引擎386,从而配置转发信息396。以该方式,可通过每个隧道和输出接口之间的关联以及可经由那些隧道到达的特定源客户MAC地址对转发引擎386编程。关于EVPN协议的附加示例信息在RFC 7432,因特网工程任务组(IETE),2014年7月2日的“基于BGP MPLS的以太网VPN”中有所描述,其全部内容通过引用结合于此。
在该示例中,路由器380包括策略器385A,策略器385A在控制平面 384中执行并与在数据平面386中执行的策略器组件385B通信。当转发引擎386经由本地附连电路(即,链路390中的一个或多个)从用户设备或假装为已认证设备的设备接收数据包时,策略器385检查最近已认证的 MAC地址的本地高速缓存387,并确定该发送用户设备的源MAC地址是否为先前未被学习的新MAC地址,并且因此不存在于其MAC表内且还未被验证。如果源MAC地址与本地高速缓存387内的MAC地址匹配,则策略器385B指导转发引擎386封装所述数据包并根据转发信息396将所述数据包注入EVPN 26中。
如果MAC地址还未被学习并因此最近未被认证,则策略器385B向策略器385A提出警告,所述策略器385A继而将认证请求37输出至MAC 认证系统15,其中认证请求指定数据包的源MAC地址,即,所述发送 CE 35或用户设备18的MAC地址。在此期间,策略器385B指导所述数据包排队直到接收了响应。
在接收导指示已经授权接入的响应消息41后,策略器385A通知 EVPN协议387有效MAC地址,这继而使得EVPN协议更新MAC表381 并指导BGP协议393构建和输出第2类BGP MAC路由,以将最新习得的MAC地址通知至其他EVPN成员路由器。此时,EVPN协议387可应用MAC认证系统15提供的任何策略399,以用于特定MAC地址。例如, EVPN协议387可构建BGP EVPNMAC路由通知以包括RT或BGP团体,如以上所描述,以便向其他EVPN PE路由器指定EVPN PE路由器是否将导入该特定MAC路由。另外,策略器385A通知策略器385B所缓冲的数据包是否包括有效源MAC地址,从而使策略器385B同意用于转发的数据包或从队列389丢弃该数据包。
图5中示出的路由器380的体系架构被示出用于仅说明性目的。本发明不限于该体系架构。在其他示例中,可用多种方式配置路由器380。在一个示例中,控制单元382的一些功能可分布在IFC 388内。在另一个示例中,控制单元382可包括作为从属路由器操作的多个数据包转发引擎。
控制单元382可以以软件或硬件单独实施,或者可以以软件、硬件或固件的组合实施。例如,控制单元382可包括执行软件指令的一个或多个处理器。在该情况下,控制单元382的各种软件模块可包括存储在诸如计算机存储器或硬盘的计算机可读介质上的可执行指令。
本文描述的技术可在硬件、软件、固件或它们的任何组合中实施。作为模块、单元或组件描述的各种特征可在集成逻辑设备中一起实施,或者单独地实施为离散的但可交互操作的逻辑设备或其他硬件设备。在一些情况下,电子电路的各种特征可被实施为一个或多个集成电路设备,诸如集成电路芯片或芯片集。
如果在硬件中实施,则本公开可针对一种装置,诸如处理器或集成电路设备,诸如集成电路芯片或芯片集。替代地或附加地,如果在软件或固件中实施,所述技术可至少部分由包括指令的计算机可读数据存储介质实现,当被执行时,所述指令使得处理器执行以上描述的方法中的一个或多个。例如,计算机可读数据存储介质可存储用于由处理器执行的该类指令。
计算机可读介质可形成计算机程序产品的部分,其可包括封装材料。计算机可读介质可包括计算机数据存储介质,诸如随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存、磁性或光学数据存储介质等等。在一些示例中,制造品可包括一个或多个计算机可读存储介质。
在一些示例中,计算机可读存储介质可包括非易失性介质。术语“非易失性”可指示存储介质不在载波或传播信号中实现。在某些示例中,非易失性存储介质可存储可随时间而改变的数据(例如,在RAM中或高速缓存中)。
代码或指令可以是由处理电路执行的软件和/或固件,所述处理电路包括一个或多个处理器,诸如一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他等效的集成或离散逻辑电路。因此,如本文使用的术语“处理器”可指前述结构或适用于实施本文描述的技术的任何其他结构中的任一个。另外,在一些方面中,可在软件模块或硬件模块内提供在本公开中描述的功能。
已经描述了各种实施例。这些和其他实施例在以下示例的范围内。

Claims (15)

1.一种用于在层2L2网络内传送的方法,包括:
利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立以太网虚拟专用网络(EVPN),其中,所述城域传输网络提供层2(L2)数据包交换,用于在所述因特网服务提供商网络和所述客户设备之间传输网络数据包,并且其中,所述路由器中的第一路由器是通过接入链路耦接到所述客户设备的接入路由器;
利用所述接入路由器通过所述接入链路接收来自所述客户设备中的一个的数据包;
响应于接收到所述数据包,将来自所述接入路由器的认证请求输出到所述城域传输网络的网络地址认证设备,其中,所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址;以及
响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息,在所述EVPN内通过所述接入路由器输出EVPN路由通知,所述EVPN路由通知将所述源L2网络地址通知为能够通过所述接入路由器到达。
2.根据权利要求1所述的方法,进一步包括:
响应于接收到指示所述源L2网络地址是与所述客户设备中的一个不关联的无效L2网络地址的响应消息,利用所述接入路由器丢弃所述数据包,而不输出所述EVPN路由通知。
3.根据权利要求1或2所述的方法,进一步包括:
响应于接收到指示所述源L2网络地址是与所述客户设备中的一个相关联的有效L2网络地址的响应消息,通过所述接入路由器封装所述数据包并通过所述EVPN将所述数据包隧道传输至所述城域传输网络的其他路由器中的一个。
4.根据权利要求1所述的方法,其中,
输出EVPN路由通知包括构建和输出路由类型2的路由协议消息。
5.根据权利要求1所述的方法,其中,输出EVPN路由通知包括边界网关协议(BGP)路由协议消息。
6.根据权利要求1所述的方法,
其中,所述响应消息指定与所述源L2网络地址关联的策略,所述策略指定控制其他路由器中的哪些将所述源L2网络地址导入它们相应的与所述EVPN关联的L2网络地址表的属性,以及
其中,在所述EVPN内通过所述接入路由器输出EVPN路由通知包括构建所述EVPN路由通知,以包括在从所述网络地址认证设备接收到的所述策略中指定的所述属性。
7.根据权利要求6所述的方法,其中,所述属性指定指定的路由目标(RT)值或边界网关协议(BGP)路由团体。
8.一种用于在层2L2网络内传送的系统,包括:
城域传输网络,提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包,其中,所述城域传输网络包括经由一个或多个接入链路连接到所述客户设备的至少一个接入路由器,以及所述城域传输网络的多个其他路由器,并且其中,所述接入路由器和所述其他路由器在所述城域传输网络内建立以太网虚拟专用网络(EVPN);以及
网络地址认证设备,在所述城域传输网络内,并且包括所述客户设备的有效L2网络地址的数据库,
其中,响应于通过所述接入链路接收来自所述客户设备中的一个的数据包,所述接入路由器将认证请求输出到所述城域传输网络的所述网络地址认证设备,所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址;
其中,响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息,所述接入路由器被配置为输出EVPN路由通知,所述EVPN路由通知将所述源L2网络地址通知为能够通过所述接入路由器到达,以及
其中,响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的任一个都不关联的无效L2网络地址的响应消息,所述接入路由器被配置为利用所述接入路由器丢弃所述数据包,而不将所述EVPN路由通知输出到所述EVPN中。
9.根据权利要求8所述的系统,其中,响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个相关联的有效L2网络地址的响应消息,所述接入路由器被配置为封装所述数据包并通过所述EVPN将所述数据包隧道传输至所述城域传输网络的所述其他路由器中的一个。
10.根据权利要求8所述的系统,进一步包括:用于执行权利要求1至7的方法中的任一个的装置。
11.一种城域传输网络的接入路由器,包括:
控制单元,具有耦接到存储器的至少一个处理器,
其中,所述控制单元执行被配置为用城域传输网络内的一组其他路由器建立以太网虚拟专用网络(EVPN)的软件,所述城域传输网络提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包,
其中,所述控制单元被配置为响应于通过所述接入链路接收到来自所述客户设备中的一个的数据包,将认证请求输出到所述城域传输网络的网络地址认证设备,所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址,
其中,响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个相关联的有效L2网络地址的响应消息,所述接入路由器被配置为输出EVPN路由通知,所述EVPN路由通知将所述源L2网络地址通知为能够通过所述接入路由器到达,以及
其中,响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的任一个都不关联的无效L2网络地址的响应消息,所述接入路由器被配置为通过所述接入路由器丢弃所述数据包,而不将所述EVPN路由通知输出到所述EVPN中。
12.根据权利要求11所述的接入路由器,其中,响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息,所述接入路由器被配置为封装所述数据包并通过所述EVPN将所述数据包隧道传输至所述城域传输网络的所述其他路由器中的一个。
13.根据权利要求12所述的接入路由器,其中,所述接入路由器被配置为通过构建和输出路由类型2的边界网关协议(BGP)路由协议消息来输出所述EVPN路由通知。
14.根据权利要求13所述的接入路由器,进一步包括用于执行权利要求1至7的方法中的任一个的装置。
15.一种用于在层2L2网络内传送的方法,包括:
利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立虚拟专用局域网服务(VPLS),其中,所述VPLS使能的城域传输网络提供层2(L2)数据包交换,以用于在所述因特网服务提供商网络和所述客户设备之间传输网络数据包,并且其中,所述路由器中的第一路由器为通过接入链路耦接到所述客户设备的接入路由器;
利用接入路由器通过所述接入链路接收来自所述客户设备中的一个的数据包;
响应于接收到所述数据包,将来自所述接入路由器的认证请求输出到所述城域传输网络的网络地址认证设备,其中,所述认证请求指定所述数据包的源MAC地址并且请求验证所述源MAC地址;
响应于从所述网络认证设备接收到指示所述源MAC地址是与所述客户设备中的一个相关联的有效MAC的响应消息,利用所述接入路由器将所述数据包转发至所述VPLS;以及
响应于从所述网络认证设备接收到指示所述源MAC无效的响应消息,放弃所述数据包。
CN201610867914.7A 2015-09-30 2016-09-29 Mac(l2)层认证、安全性和策略控制 Active CN106878253B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/871,960 2015-09-30
US14/871,960 US9973469B2 (en) 2015-09-30 2015-09-30 MAC (L2) level authentication, security and policy control

Publications (2)

Publication Number Publication Date
CN106878253A CN106878253A (zh) 2017-06-20
CN106878253B true CN106878253B (zh) 2020-11-20

Family

ID=57044868

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610867914.7A Active CN106878253B (zh) 2015-09-30 2016-09-29 Mac(l2)层认证、安全性和策略控制

Country Status (3)

Country Link
US (1) US9973469B2 (zh)
EP (1) EP3151510B1 (zh)
CN (1) CN106878253B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487717B (zh) * 2015-09-02 2020-03-27 华为技术有限公司 接入控制设备及认证控制方法
US11070395B2 (en) * 2015-12-09 2021-07-20 Nokia Of America Corporation Customer premises LAN expansion
US10164876B2 (en) 2016-12-09 2018-12-25 Cisco Technology, Inc. Efficient multicast traffic forwarding in EVPN-based multi-homed networks
CN107332774B (zh) * 2017-06-09 2019-12-03 烽火通信科技股份有限公司 一种vpls中基于软硬件协同进行mac地址学习的方法
US11038887B2 (en) * 2017-09-29 2021-06-15 Fisher-Rosemount Systems, Inc. Enhanced smart process control switch port lockdown
CN107947989B (zh) * 2017-11-28 2020-10-09 新华三技术有限公司 动态ac生成方法及装置
EP3735763A4 (en) * 2018-01-02 2021-07-21 Telefonaktiebolaget LM Ericsson (publ) CONTROL DEVICE AND PROCEDURE WITH IT FOR VIRTUAL PRIVATE ETHERNET NETWORK
US12028318B2 (en) * 2018-06-18 2024-07-02 Battelle Energy Alliance, Llc Smart network switching systems and related methods
CN112640362A (zh) * 2018-09-13 2021-04-09 康普技术有限责任公司 用于c-ran的前传即插即用配置
CN111835643B (zh) * 2019-04-22 2021-10-19 华为技术有限公司 管理mac表的方法、网络设备、存储介质和程序产品
US11228561B2 (en) * 2019-04-23 2022-01-18 Red Hat, Inc. Safe MAC programming support for vNIC
CN112422307B (zh) * 2019-08-22 2022-06-14 华为技术有限公司 Evpn和vpls共存双活的方法、设备及系统
CN110505152B (zh) * 2019-09-11 2022-02-22 迈普通信技术股份有限公司 路由过滤方法、装置及电子设备
US12113770B2 (en) * 2020-01-08 2024-10-08 Cisco Technology, Inc. DHCP snooping with host mobility
CN113329454B (zh) * 2020-02-29 2023-01-06 华为技术有限公司 发布路由的方法、网元、系统及设备
US11159419B1 (en) 2021-01-29 2021-10-26 Netskope, Inc. Policy-driven data locality and residency
US11863555B2 (en) * 2021-02-12 2024-01-02 Cisco Technology, Inc. Remote access policies for IoT devices using manufacturer usage description (MUD) files
CN113794642B (zh) * 2021-08-27 2022-11-18 新华三信息安全技术有限公司 一种mac表项同步方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102293047A (zh) * 2009-01-22 2011-12-21 贝拉尔网络公司 提供无线局域网作为服务的系统和方法
US8675664B1 (en) * 2011-08-03 2014-03-18 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7394820B1 (en) * 2004-01-28 2008-07-01 Sprint Communications Company L.P. Interworking unit (IWU) for interfacing a plurality of client devices to a multiprotocol label switching (MPLS)
US8411691B2 (en) * 2009-01-12 2013-04-02 Juniper Networks, Inc. Transfer of mobile subscriber context in cellular networks using extended routing protocol
US9549317B2 (en) * 2011-10-17 2017-01-17 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US9794176B2 (en) 2013-06-18 2017-10-17 Telefonaktiebolaget Lm Ericsson (Publ) Duplicate MAC address detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102293047A (zh) * 2009-01-22 2011-12-21 贝拉尔网络公司 提供无线局域网作为服务的系统和方法
US8675664B1 (en) * 2011-08-03 2014-03-18 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BGP MPLS-Based Ethernet VPN;A. Sajassi;《IETF RFC 7432》;20150228;正文第4、7、9、11.1、13.1节 *

Also Published As

Publication number Publication date
EP3151510A3 (en) 2017-05-03
US20170093794A1 (en) 2017-03-30
US9973469B2 (en) 2018-05-15
EP3151510A2 (en) 2017-04-05
CN106878253A (zh) 2017-06-20
EP3151510B1 (en) 2020-10-28

Similar Documents

Publication Publication Date Title
CN106878253B (zh) Mac(l2)层认证、安全性和策略控制
EP3151509B1 (en) Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control
US11777783B2 (en) Network slicing with smart contracts
US10050840B2 (en) Method and system for an internet of things (IOT) device access in a software-defined networking (SDN) system
US7373660B1 (en) Methods and apparatus to distribute policy information
US20150350912A1 (en) Residential service delivery based on unique residential apn
EP3732833B1 (en) Enabling broadband roaming services
EP3151477B1 (en) Fast path content delivery over metro access networks
WO2022001669A1 (zh) 建立vxlan隧道的方法及相关设备
EP3151478B1 (en) Content caching in metro access networks
CN112688873A (zh) 在evpn中部署安全邻居发现
Gleeson et al. RFC2764: A framework for IP based virtual private networks
CN108259292B (zh) 建立隧道的方法及装置
CN107040442B (zh) 通信方法、通信系统和城域传送网的缓存路由器
Liyanage Enhancing security and scalability of virtual private LAN services
Menachi et al. Scalable, hierarchical, Ethernet transport network architecture (HETNA)
WO2012075770A1 (zh) 身份位置分离网络的阻断方法和系统
JP2006005443A (ja) 通信制御装置とそのフレーム転送制御方法およびプログラム
Donohue et al. CCNP Routing and Switching Quick Reference (642-902, 642-813, 642-832)
Donohue Ccnp route 642-902 quick reference
CN116938809A (zh) 接入交换机中的角色信息传播
NV03 NV03 working group L. Dunbar Internet Draft D. Eastlake Category: Informational Huawei
Tarreau IntArea B. Carpenter Internet-Draft Univ. of Auckland Intended status: Informational S. Jiang Expires: April 10, 2014 Huawei Technologies Co., Ltd
Donohue CCNP ROUTE 642-902
KR20170140051A (ko) 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: California, USA

Applicant after: Juniper Networks, Inc.

Address before: California, USA

Applicant before: Jungle network

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant