CN107018056B - 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 - Google Patents
具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 Download PDFInfo
- Publication number
- CN107018056B CN107018056B CN201610864658.6A CN201610864658A CN107018056B CN 107018056 B CN107018056 B CN 107018056B CN 201610864658 A CN201610864658 A CN 201610864658A CN 107018056 B CN107018056 B CN 107018056B
- Authority
- CN
- China
- Prior art keywords
- evpn
- network
- routing
- layer
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2852—Metropolitan area networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/66—Layer 2 routing, e.g. in Ethernet based MAN's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了使得在L2交换网络诸如城域传输网络内能够MAC(L2)地址认证的技术。而且,当在EVPN中使用时,技术对L2交换网络提供细粒度策略控制,以使得载波网络能够指定和控制用于传输基于数据包的通信的拓扑结构。EVPN通信的接入路由器利用增强的EVPN MAC路由通知,该增强的EVPN MAC路由通知包含指示由网络地址认证设备验证被通知的L2网络地址的请求的额外的属性。根据L2网络地址的验证,路由控制器中继EVPN MAC通知。而且,路由控制器可以利用EVPN MAC路由通知分配MAC级策略,以控制EVPN内的拓扑结构和MAC学习,并且提供服务诸如每个MAC流量配额限制。
Description
相关申请的交叉引用
本申请是2015年9月30日提交的美国申请序列No.14/871,960的部分继续,该专利的全部内容以引用方式并入本文。
技术领域
本发明涉及计算机网络,并且更具体地,涉及在层2(L2)网络内传送安全和策略控制。
背景技术
很多大城市区域已经安装大城市(城域)传输网络,以为本地订户到较大的基于数据包的服务网络提供高宽带连接性。每个订户通常与连接到城域传输网络的大量互联网服务提供商(ISP)网络中的任一个订立合同,并且每个ISP网络为订户提供用于通信会话的锚点,并且管理订户的网络服务,诸如认证、记账以及计费。
订户可以利用各种设备连接到ISP网络,以接入由互联网提供的资源和服务。例如,订户通常利用台式计算机、膝上型计算机、智能电视、移动智能电话和功能电话、平板计算机等。城域传输网络通常提供层2(L2)交换机制,以在订户和它们的相应的ISP之间传输基于数据包的数据,使得可以在ISP处为订户建立层3(L3)通信会话,以用于与超出ISP的资源(诸如远程内容数据网络(CDN)或互联网)通信。
发明内容
一般来说,描述了在网络(诸如城域传输网络)内提供层2(L2)网络地址(例如,媒体访问控制‘MAC’地址)认证的技术。而且,该技术使用城域传输网络上的以太网虚拟专用网络(EVPN)技术,对L2网络地址中的每个提供细粒度策略控制,以使得载波网络能够指定和控制用于传输基于数据包的通信的拓扑结构。
在一个示例中,系统包括城域传输网络,该城域传输网络提供层2(L2)数据包交换,以用于传输与客户设备相关联的网络数据包,其中,城域传输网络包括通过一个或多个接入链路以及城域传输网络的多个其它路由器被连接到客户设备的至少一个接入路由器,并且其中接入路由器和其它路由器在城域传输网络内建立EVPN。系统还包括在城域传输网络内且包括用于客户设备的有效的L2网络地址的数据库的网络地址认证设备。响应于从客户设备(例如,客户端设备(customer premise equipment,CE)或单独的订户设备)中的一个接收数据包,接入路由器将认证请求输出到城域传输网络的网络地址认证设备,认证请求指定数据包的源L2网络地址,并且请求源L2网络地址的验证。响应于从网络地址认证设备接收指示源L2网络地址是与客户设备中的一个相关联的有效的L2网络地址的响应消息,接入路由器被配置为输出通知L2网络地址为通过接入路由器可达的EVPN路由通知。响应于从网络地址认证设备接收指示源L2网络地址是不与客户设备中的任一个相关联的无效的L2网络地址(例如,被列入黑名单的或未知的)的响应消息,接入路由器被配置为用接入路由器丢弃数据包,而不将EVPN路由通知输出到EVPN中。
在另一个示例中,方法包括用被定位在至少一个互联网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器,建立EVPN,其中城域传输网络提供L2数据包交换,以用于在互联网服务提供商网络和客户设备之间传输网络数据包,并且其中,路由器中的第一路由器是通过接入链路耦接到客户设备的接入路由器。方法还包括用接入路由器通过接入链路从客户设备中的一个接收数据包;以及响应于接收数据包,将来自接入路由器的认证请求输出到城域传输网络的网络地址认证设备,其中,认证请求指定数据包的源L2网络地址,并且请求源L2网络地址的验证。方法包括响应于接收指示源L2网络地址是与客户设备中的一个相关联的有效的L2网络地址的响应消息,在EVPN内由接入路由器输出通知L2网络地址为通过接入路由器可达的EVPN路由通知。
在另一个示例中,城域传输网络的接入路由器包括控制单元,该控制单元具有耦接到存储器的至少一个处理器。控制单元执行软件,该软件被配置为用城域传输网络内的一组其它路由器建立EVPN,城域传输网络提供L2数据包交换,以用于传输与客户设备相关联的网络数据包。响应于通过接入链路从客户设备中的一个接收数据包,控制单元被配置为将认证请求输出到城域传输网络的网络地址认证设备,认证请求指定数据包的源L2网络地址,并且请求源L2网络地址的验证。响应于从网络地址认证设备接收指示源L2网络地址是与客户设备中的一个相关联的有效的L2网络地址的响应消息,接入路由器输出通知L2网络地址为通过接入路由器可达的EVPN路由通知。响应于从网络地址认证设备接收指示源L2网络地址是与客户设备中的任一个不相关联的无效的L2网络地址的响应消息,接入路由器用接入路由器放弃数据包,而不将EVPN路由通知输出到EVPN中。
在另一个示例中,城域传输网络提供层2(L2)数据包交换,以用于传输与客户设备相关联的网络数据包,其中,城域传输网络包括通过一个或多个接入链路以及城域传输网络的多个其它路由器被连接到客户设备的至少一个接入路由器,并且其中,接入路由器和其它路由器在城域传输网络内建立以太网虚拟专用网络(EVPN)。城域传输网络内的路由控制器在路由器之间中继路由,其中,路由控制器耦接到包括用于客户设备的有效的L2网络地址的数据库的网络地址认证设备。响应于通过接入链路从客户设备中的一个接收数据包,接入路由器将通知数据包的L2网络地址为通过接入路由器可达的EVPN MAC路由通知输出到路由控制器,其中,EVPN MAC路由通知包含用于由网络地址认证设备验证L2网络地址的请求。
在另一个示例中,一种方法包括用位于至少一个互联网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器,建立以太网虚拟专用网络(EVPN),其中,城域传输网络提供层2(L2)数据包交换,以用来在互联网服务提供商网络和客户设备之间传输网络数据包,并且其中,路由器中的第一路由器是通过接入链路耦接到客户设备的接入路由器。方法还包括用接入路由器通过接入链路从客户设备中的一个接收数据包;以及响应于接收数据包,由接入路由器输出通知数据包的L2网络地址为通过接入路由器可达的EVPNMAC路由通知,其中,EVPN MAC路由通知包含验证L2网络地址的请求。
在另一个示例中,路由控制器包括控制单元,该控制单元具有耦接到存储器的至少一个处理器。控制单元执行软件,该软件被配置为在城域传输网络内已经建立以太网虚拟专用网络(EVPN)的一组路由器之间互换路由,城域传输网络提供层2(L2)数据包交换,以用于传输与客户设备相关联的网络数据包。而且,路由控制器包括用于客户设备的有效的L2网络地址的数据库,并且响应于接收通知L2网络地址为通过接入路由器中的一个可达的EVPN MAC路由通知,接入用于客户设备的有效的L2网络地址的数据库,并且当由EVPN MAC路由通知指定的L2网络地址与数据库内指定的有效的L2网络地址中的一个匹配时,将EVPNMAC路由通知中继到一组路由器的其它路由器。
在另一个示例中,非暂时计算机可读储存介质包括被配置为执行本文中所描述的方法的可执行的指令。
在附图和下面的描述中阐述了本发明的一个或多个实施例的细节。从描述和附图,并且从权利要求书,本发明的其它特征、目的和优点将显而易见。
附图说明
图1是根据本文中所描述的各种技术的示例性网络系统的框图。
图2是根据本公开的技术的图1的网络系统的设备的示例性操作的流程图。
图3是根据本文中所描述的各种技术的图1的网络系统的另一个示例操作模式的框图。
图4是根据本文中所描述的各种技术的另一个示例性网络系统的框图。
图5是根据本文中所描述的各种技术的另一个示例性网络系统的框图。
图6是根据本公开的技术的示例性路由器的另外的细节的框图。
具体实施方式
图1是根据本文中所描述的各种技术的示例性网络系统2的框图。如图1的示例所示,网络系统2包括耦接到互联网服务提供商网络7的城域接入和聚集网络4。
一般来说,互联网服务提供商网络7通常为互联网服务提供商(ISP)所有,并且被操作作为向订户设备18提供基于数据包的网络服务的专用网络。如图1所示,订户设备18通常通过客户端设备(customer premise equipment,CE)35(诸如本地以太网交换机、电缆调制解调器、路由器等)由层2网络提供商互连。一般来说,本文中所描述的技术可以被应用于执行关于CE 35、订户设备18或其组合的MAC级安全和订户管理。例如,在一些情况下,CE 35是交换源自订户设备18的L2数据包的纯粹的L2设备,使得MAC级认证和安全被应用于订户设备的MAC。在其它示例中,CE 35包含L3功能(例如,路由和可选的网络地址转换(NAT)),使得认证CE 35的MAC地址。
作为示例,订户设备18可以是个人计算机、膝上型计算机或与订户相关联的其它类型的计算设备,例如,3G无线卡、具有无线能力的上网本、视频游戏设备、寻呼机、智能电话、个人数据助理(PDA)等。订户设备18中的每个可以运行各种软件应用程序,诸如文字处理和其它办公支持软件、web浏览软件、支持语音呼叫的软件、视频游戏、视频会议和电子邮件等等。
作为其它示例,订户设备18可以包括低功率、网络使能设备(诸如相机、传感器、恒温器、控制器、自动灯、电器、家庭或工作场所内的其它设备)的集合。这样的设备可以被通称为属于“物联网”。这样的设备的其它示例可以是部署在大城市环境内的交通灯、相机和传感器。
无论如何,互联网服务提供商网络7通常提供CE 35的认证和建立,使得订户设备18可以开始与在互联网骨干网12上可用的资源(诸如,内容数据网络(CDN)8A、内容数据网络(CDN)8B(本文中CDN 8))互换数据数据包。一般来说,每个CDN 8通常是合作以用于使用一种或多种服务将内容分配给客户端的互连设备的专用网络。例如,这样的内容可以包含流媒体文件、数据文件、软件下载、文档和数据库查询结果等等。因此,由CDN 8提供的服务的示例可以包含超文本传送协议(HTTP)、基于HTTP的自适应流、实时流协议(RTSP)流、其它媒体流、通知、文件传送协议(FTP)及其它。
在图1的示例中,城域传输网络24为与订户设备18相关联的网络流量提供层2(L2)传输服务。城域传输网络24通常包括内部交换和传输节点,诸如以太网交换机和用于通过接入提供商边缘路由器(A-PE)36和网络提供商边缘路由器(N-PE)30之间的高速链路进行传输、复用和交换通信的底层传输系统。为简单起见,虽然仅示出单个互联网服务提供商网络7,但是城域传输网络24可以为多个不同的互联网服务提供商的订户设备18提供数据包的城域接入、聚集和传输。一般来说,城域传输网络24通常由城域运营商(metro carrier)所有和运营,而互联网服务提供商网络7中的每个可以由单独的互联网服务提供商所有和运营。
在图1的该示例中,A-PE 36在城域传输网络24的边界处操作,并且A-PE 36提供用于接入网络(AN)27的连接。一般来说,AN 27通过CE 35向订户设备18提供对城域传输网络24的接入。例如,A-PE 36通常包含将来自CE 35的与订户设备18相关联的输出聚集到城域传输网络24的较高速上行链路的功能。例如,订户设备18可以连接到本地客户端设备(CPE),诸如DSL或电缆调制解调器。CPE可以利用点到点协议(PPP),诸如ATM上的PPP或以太网上的PPP(PPPoE),以经由由A-PE 36和N-PE 30提供的连接性与BNG 23通信。在其它实施例中,CE 35可以利用非PPP协议(诸如以太网和DHCP)以通过由A-PE 36和N-PE30提供的连接性与BNG 23通信。其它实施例可以使用除DSL线之外的其它线,诸如电缆,T1、T3上的以太网或其它接入链路。
在图1的示例中,订户设备18与拥有和运营互联网服务提供商网络7的互联网服务提供商的客户相关联。同样地,互联网服务提供商网络7从CE 35接收网络接入请求,并且进行用户证书的认证和会话建立,以便提供对订户设备18的网络接入。宽带网络网关(BNG)23经由N-PE 30为到城域传输网络24的连接性提供路由和交换功能,并且为CE 35提供端点,并且为CE 35建立的IP会话提供管理。在另一个示例中,BNG 23可以是宽带远程接入服务器(BRAS)或为订户会话提供锚点的其它路由设备。
AAA服务器11操作作为订户管理系统,该订户管理系统包括数据库29,数据库29具有指定用于与订户设备18和被分配给订户设备的L2网络地址相关联各个订户有效的用户证书的条目(例如,用户ID和密码或CE 35的MAC地址)。另外,对于每个条目,数据库29可以为每个L2网络地址指定策略,以为城域传输网络24提供策略驱动控制。在认证来自订户设备18的网络接入请求时,AAA服务器11分配来自服务提供商的IP域的层3(L3)网络地址(例如,专用IPv4或IPv6网络地址),用于通过互联网服务提供商网络7接收数据服务。作为示例,互联网服务提供商网络7的AAA服务器11通常是认证、授权和计费(AAA)服务器,以认证请求网络连接的订户的证书。例如,AAA服务器11可以是远程认证拨入用户服务(RADIUS)服务器或DIAMETER服务器。
如图1所示,城域传输网络24实施以太网虚拟专用网络(EVPN)26。虽然关于EVPN26进行了描述,但是在另一个示例实施方式中,城域传输网络24可以实施虚拟LAN服务(VPLS)或其它机制以用于实施L2传输服务。
在该示例中,由城域传输运营商(metro transport carrier,城域传输载体)操作的城域传输网络24的边缘路由器(例如,A-PE 36和N-PE 30)被配置为在它们的相应的控制平面(还被称为路由引擎)内执行EVPN协议,以彼此通信,并且互换建立和维持EVPN 26所必要的配置信息。与发生于VPLS中的传统的桥接(其中在VPLS中,L2地址学习发生于数据平面(例如,转发部件)中,同时转发L2流量)相比,当部署EVPN时,边缘路由器之间的L2地址学习(例如,MAC学习)根据EVPN协议,通过互换EVPN消息发生于控制平面中。例如,A-PE 36和N-PE 30的控制平面被配置为执行路由协议,诸如边界网关协议(BGP),以互换增强的消息,以便关于EVPN 26而彼此通信。也就是说,A-PE 36和N-PE 30的控制平面可以执行BGP协议,以相对于EVPN 26互换用于MAC地址信令/学习以及用于接入拓扑结构和VPN端点发现的BGP消息。可以由MPLS LSP基础设施连接A-PE 36和N-PE 30,或者可以由IP基础设备连接A-PE 36和N-PE 30,在这种情况下,IP/GRE隧穿或其它IP隧穿可以被用于穿过EVPN 26传输L2通信。在2014年7月2日的互联网工程任务组(IETF)的RFC 7432的“基于BGP MPLS的以太网VPN”(“BGP MPLS Based Ethernet VPN,”RFC 7432,Internet Engineering Task Force(IETF),July 2,2014)中描述了关于EVPN协议的额外的信息,其全部内容以引用方式并入本文。参考后随数字的网络层可以是指开放系统互连(OSI)模型的特定的层。可以在由Hubert Zimmermann于1980年4月公布于IEEE通信学报的第28卷第4号的标题为“OSI参考模型-用于开放系统互连的架构的ISO模型”("OSI Reference Model-the ISO Model ofArchitecture for Open Systems Interconnection,”by Hubert Zimmermann,publishedin IEEE Transactions on Communications,vol.28,no.4,dated April 1980)的IEEE公布中找到关于OSI模型的更多的信息,其以引用方式并入本文,如同在本文中完全阐述的一样。
在通过互联网服务提供商网络7的网络接入的认证和建立之后,订户设备18中的任一个可以开始与互联网骨干网12上的资源(诸如CDN 8)互换数据数据包。在该过程期间,为了在互联网骨干网12上的基于数据包的通信的目的,由互联网服务提供商网络7分配给订户设备18的专用IP地址可以被转换成与互联网服务提供商网络的路由前缀相关联的公用地址。而且,网关21提供层3(L3)路由功能,以用于通过互联网服务提供商网络7到达订户设备18。也就是说,网关21通知用于到达与互联网服务提供商网络7相关联的公用地址前缀的L3可到达性信息(例如,路由)。虽然未示出,但是互联网服务提供商网络7可以包括其它设备,以提供其它服务,诸如安全服务、负荷均衡、记账、深度数据包检查(DPI)和用于穿越互联网服务提供商网络的流量的其它服务。
在图1的示例中,当在城域传输网络24内提供EVPN 26服务时,A-PE 36和N-PE 30执行MAC地址学习,以在系统2中有效地转发L2网络通信。也就是说,当A-PE 36从CE 35接收源自订户设备18的以太网帧时,A-PE路由器学习用于客户网络21’的L2状态信息,包括客户网络内的用于CE 35的MAC寻址信息。A-PE 36通常将MAC寻址信息储存在与相应的接口相关联的MAC表中。当A-PE 36学习用于CE 35本地附接电路的MAC地址时,A-PE路由器利用层3(L3)路由协议(即,在该示例中的BGP)的MAC地址路由通知,以将所学习的MAC地址共享给EVPN 26的其它成员路由器,并且提供MAC地址通过发布路由通知的特定的PE路由器是可达的指示。在BGP EVPN的示例中,A-PE 36中的每个使用BGP路由通知(本文中还被称为“MAC路由”或“MAC通知路由”,即,类型2BGP EVPN路由通知),将本地学习的MAC地址通知给其它A-PE 36,并且通知给远程N-PE 30。如下面进一步描述的,MAC路由通常为相应的CE 35一个或多个单独的MAC地址以及额外的转发信息,诸如路由描述符、路由目标、层2段标识符和MPLS标签。以这种方式,A-PE 36使用BGP路由协议消息,通知和共享当将从接入网络27的本地附接电路接收的层2通信转发到EVPN 26中时学习的MAC地址。在2014年10月18日的互联网工程任务组(IETF)的网络工作组的RFC 743的基于BGP MPLS的以太网VPN(BGP MPLS BasedEthernet VPN,RFC 743,Network Working Group of the Internet Engineering TaskForce(IETF),October 18,2014)中描述了EVPN MAC路由通知的格式的另外的示例细节,其全部内容以引用方式并入本文。
根据本文中所描述的技术,在将L2网络地址通知给EVPN 26中之前,城域传输网络24通过使能CE 35(或可选地单独的订户设备18)的L2网络地址(例如,MAC地址)的认证,提供了增强的安全性。在图1的示例中,MAC认证系统15用为互联网服务提供商网络7中的任一个指定MAC地址的数据进行编程,对于互联网服务提供商网络7中的任一个,ISP已经同意参与到本文中所描述的本地MAC认证和策略控制技术中。特别地,AAA服务器或参与ISP的其它订户管理系统诸如AAA服务器11,输出通信17以复制与订户相关联的CE 35的授权的L2网络地址(例如,MAC地址),或以其它方式与由城域运营商所有和操作的MAC认证系统传输与订户相关联的CE 35的授权的L2网络地址(例如,MAC地址)。例如,AAA服务器11和MAC认证系统15可以参与数据库级复制和同步以传输MAC地址。作为额外的示例,各种通信协议可以被用于在AAA服务器11的数据库和MAC认证系统15之间传输MAC地址。以这种方式,MAC认证系统15被预先填充有分派给ISP提供商且由ISP供应商所有的MAC地址。
在从接入网络27的本地附接电路接收以太网帧时,A-PE36将认证请求37输出到MAC认证系统15,MAC认证系统15充当储存指定有效的MAC地址的信息的中央数据库。从MAC认证系统15接收到的响应消息41提供关于一个或多个MAC地址是否是有效的和被认证的或作为无效的(例如,被列入黑名单的或未知的)MAC地址而被拒绝的指示。基于响应消息41,A-PE 36通过附接电路和CE 35处理从本地订户设备18接收到的以太网帧。特别地,A-PE36通过封装以太网帧且将流量转发到城域传输网络24的EVPN 26中,处理具有已认证源MAC地址的以太网帧。另外,A-PE 36仅向其它A-PE 36和向远程N-PE 30通知本地学习的MAC地址,对于其它A-PE 36和远程N-PE 30,响应消息41指示有效的、认证的MAC地址。换句话说,A-PE36为由MAC认证系统15明确地认证的这些MAC地址,输出BGP路由通知(还被称为EVPN“MAC路由”或为“MAC通知路由”,即,类型2BGP EVPN路由通知)。
而且,技术对EVPN 26提供细粒度MAC级策略控制。例如,除了传输有效的MAC地址之外,AAA服务器11还可以为MAC地址中的每个传输用于每个L2网络地址的一个或多个策略,从而本地使能在城域传输网络24处的策略驱动控制。进而,在认证MAC地址时,MAC认证系统15将相应的、一个MAC特定策略或多个MAC特定策略中继到A-PE 36。例如,MAC认证系统15可以将响应消息41格式化为Radius或Diameter消息。除了包含提供关于MAC地址的有效性的响应的数据之外,响应消息41被构造为关于MAC地址嵌入将由A-PE 36应用的策略。例如,策略可以被嵌入作为符合响应消息的Radius或Diameter中的卖方特定属性(VSA)。在2000年6月的Carl Rigney等人的互联网工程任务组(IETF)的网络工作组请求注释2865的“远程认证拨入用户服务器(RADIUS)”(Carl Rigney et al.,“Remote AuthenticationDial In User Server(RADIUS),”Network Working Group of the InternetEngineering Task Force(IETF),Request forComments 2865,June 2000)中,描述了用于AAA的RADIUS协议的示例,其以其全部内容(在下文中被称为“RFC”2865)以引用方式并入本文。在2012年10月的Fajardo等人的互联网工程任务组(IETF)的网络工作组请求注释RFC6733的“Diameter基础协议”(Fajardo et al.,“Diameter Base Protocol,”NetworkWorking Group of theInternet Engineering Task Force(IETF),Request forComments RFC 6733,October2012)中,描述了用于AAA的Diameter协议的示例。
作为一个示例,MAC认证系统15可以构造响应消息41,以包含用于MAC地址的基于时间和/或容量的策略。例如,在认证有效的MAC地址时,MAC认证系统15可以使VSA嵌入成指定A-PE 36保持MAC地址当前处于其本地MAC表和/或认证的MAC的缓存中的持续时间或流量配额。同样地,具有MAC地址作为源MAC的任何额外的流量触发重新认证请求37。
作为另一个示例,MAC认证系统15可以将用于MAC地址的基于时间和容量的策略包含在响应消息41中。例如,使用VSA,MAC认证系统15可以包含执行的路由目标(RT)值。在这种情况下,当在控制平面中告知MAC地址在EVPN 26中时,接收A-PE 36利用在EVPN类型2路由中的路由目标。以这种方式,RT向其它EVPN PE路由器指定EVPN PE路由器是否将通过将MAC地址插入到与如通过通知A-PE 36可达的EVPN 26相关联的它们的相应的MAC表中,输入特定的MAC路由。同样地,城域传输网络24使能城域网络中的哪个PE将学习哪个MAC地址的自动策略驱动控制,并且这样的控制被以单独的MAC级粒度提供。而且,这样的控制被扩展到拥有和操作互联网服务提供商网络7且通过通信17将配置信息和策略提供到MAC认证系统15的单独的ISP。通过允许以MAC地址的粒度从MAC认证系统15自动地配置RT,可以由城域运营商和/或ISP实施和控制以MAC地址的粒度的服务/拓扑结构定制。
作为另一个示例,MAC认证系统15可以将传输EVPN PE的回送IP地址的新的BGP团体属性包含在响应消息41中。可以将BGP团体属性嵌入在响应消息41中的新的VSA中。当在控制平面中告知MAC地址在EVPN 26中时,接收A-PE 36利用EVPN类型2路由中的BGP团体属性。这提供了用于指定和控制哪个EVPN PE路由器将输入特定的MAC路由和将避免将EVPNPE的每个上指定RT的另一种机制。
以这种方式,本文中描述的示例性技术使得能够对MAC路由的分配进行自动的每个MAC控制。而且,这使得城域运营商能够指定丰富的拓扑结构,用于为以非常粒度的MAC地址级支持互联网服务提供商。
图2是根据本公开的技术的图1的网络系统的设备的示例性操作的流程图。首先,由参与ISP所拥有的且由相应的CE 35和/或ISP的订户设备18使用的MAC地址被传输到城域运营商,用于MAC认证系统15的配置(100、102)。可以由城域运营商用指定对于其ISP已经同意参与本文中所描述的技术中的互联网服务提供商网络7中的任一个的MAC地址的数据对MAC认证系统15进行编程。作为其它示例,同意ISP的AAA服务器11可以输出消息17,以将分配给对应的互联网服务提供商网络7且由CE 35或作为另一个示例的单独的订户设备18利用的MAC地址传输到MAC认证系统15。在接收到配置数据时,MAC认证系统15更新其有效的MAC地址的数据库(102)。
在从给定的CE 35接收网络接入请求时,互联网服务提供商网络7的AAA服务器11认证订户的证书,例如,用户名和密码,并且从分配给ISP且由ISP所有的IP地址前缀为订户分派IP地址(103)。在这一点上,CE 35通常开始输出数据包,诸如L2以太网帧,用于接入网络资源诸如CDN 8或互联网。
在经由本地附接电路从CE 35或假设是授权的设备的其它设备接收数据包(例如,以太网帧)时,A-PE 36检验最近认证的MAC地址的其本地缓存,并且确定发送订户设备的源MAC地址是否是先前尚未学习的新的MAC地址,并且同样地是否不存在于其本地MAC表内,并且是否还尚未被验证(105)。如果源MAC地址与当前在A-PE 36的本地MAC表内的MAC地址匹配,则A-PE 36封装数据包,并且用EVPN 26注入数据包(120)。
如果还尚未学习MAC地址,并且因而最近未认证MAC地址,则A-PE 36将认证请求37输出到MAC认证系统15,其中,认证请求指定数据包的源MAC地址,即,发送CE 35的MAC地址(108)。作为一个示例,认证请求37可以符合已经被修改的增强的RADIUS或DIAMETER协议,以携带认证所请求的(多个)MAC地址。
MAC认证系统15接收认证请求37,并且通过将由认证请求的有效载荷携带的源MAC地址与由ISP网络7提供的有效的MAC地址的其中央数据库相比较,处理请求(110)。基于比较,MAC认证系统15构造和输出响应消息41,响应消息41具有指示MAC地址是否是当发起L2数据包时预期将从CE35看到的有效的MAC地址的数据(112)。例如,如果MAC认证系统15确定MAC地址与其数据库内的MAC地址匹配,则MAC认证系统构造响应消息41,以具有指示MAC地址是预期将从CE 35(或订户设备18)看到的有效的源MAC地址的数据。然而,如果MAC认证系统15确定MAC地址与在其数据库中的MAC地址中的任一个不匹配,则认证系统构造和输出响应消息41,以包含指示特定的MAC地址不是有效的数据。
始发认证请求37的A-PE 36从MAC认证系统15接收响应消息41(114),并且处理响应消息,以确定响应消息是否指示用于最近接收的以太网帧的源MAC地址是有效的MAC地址(116)。如果响应消息41指示MAC地址是无效的MAC地址(例如,被列入黑名单的或未知的MAC),则请求A-PE 36放弃当前被缓冲的以太网帧(118)。此外,A-PE 36可以将MAC地址放在“黑名单”上,使得在一定的可配置的时间量内,具有相同的源MAC地址的随后的数据包在转发平面中被自动地放弃,以避免无效的MAC地址的不断的重新认证。
在响应消息41指示MAC地址是用于CE 35(或订户设备18)的有效的源MAC地址的情况下,A-PE 36封装以太网帧,并且将得到的数据包转发到城域传输网络24的EVPN 26中(120)。此外,对于任何新学习的MAC地址,A-PE 36更新与EVPN 26相关联的其MAC表,并且通过类型2EVPN MAC路由通知,向其它A-PE 36和向远程N-PE 30通知本地学习的源MAC地址(122)。此时,A-PE 36可以为特定的MAC地址应用由MAC认证系统15提供的任何策略。例如,A-PE 36可以构造BGP EVPN MAC路由通知,以包含如上所述的RT或BGP团体,来向其它EVPNPE路由器指定EVPN PE路由器是否将输入该特定的MAC路由。
远程EVPN路由器,诸如其它A-PE 36或N-PE 30接收EVPN MAC路由通知(124),并且基于如本文中所描述的RT输入规则或BGP团体属性,更新与EVPN相关联的MAC表(126)。
在通过由城域传输网络24提供的EVPN 26接收用于订户会话的出站以太网帧时,BNG 23提供用于订户会话的终止点,并且应用L3路由功能,以将L3数据包路由到互联网骨干网12和CDN 8(130)。
在上面的示例中,A-PE 36被配置为缓冲出站通信,直到认证通信内的源MAC地址。在可选的示例中,A-PE 36可以被配置为给定的源MAC地址注入有限量的通信(诸如多达阈值量的数据包),同时由MAC认证系统15同时请求认证。也就是说,A-PE 36可以转发数据包,同时认证请求37对于MAC认证系统15是悬而未决的。如果随后接收的响应消息41指示正在讨论的源MAC地址不是有效的地址,则请求A-PE 36将MAC地址添加到MAC地址的黑名单,自动地放弃具有和用于数据包的源MAC地址一样的MAC地址的任何随后的数据包,并且不使用EVPN MAC路由通知告知MAC地址在EVPN 26中。
图3是根据本文中所描述的各种技术的网络系统2的另一个示例性操作模式的框图。在图3的示例中,MAC认证系统15支持分层认证(tiered authentication)和策略控制。
例如,而不仅仅或除了用指定互联网服务提供商网络7的MAC地址的数据预编程MAC认证系统15之外,MAC认证系统和AAA服务器11合作,以提供分层MAC认证。也就是说,MAC认证系统15维持最近认证的MAC地址和相关联的策略的本地缓存。在从A-PE 36接收认证请求37时,MAC认证系统15将由认证请求的有效载荷携带的源MAC地址与有效的MAC地址的其中央数据库和先前从ISP网络7接收到的相关联的策略相比较。如果没有找到MAC地址,则MAC认证系统15向每个参与ISP的AAA服务器11发布查询152,以确定这样的MAC地址是否是有效的。每个查询的AAA服务器11提供响应154,该响应154具有指示MAC地址是预期将从CE35(或订户设备18)看到的有效的源MAC地址的数据。在从互联网服务提供商网络7中的一个的AAA服务器11接收到响应消息154时,MAC认证系统15更新有效的MAC地址的其本地缓存,并且输出具有指示MAC地址是有效的MAC地址的数据的响应消息41。此外,来自AAA服务器11的响应消息154携带将由与特定的MAC地址相关联的城域传输网络24实施的任何策略。MAC认证系统15将策略连同有效的MAC地址一起安装在其数据库中,并且构造响应消息41,以便向请求A-PE 36传送策略。
然而,如果MAC认证系统15从全部参与互联网服务提供商网络7的AAA服务器11接收MAC地址与在它们的数据库中的MAC地址中的任一个不匹配的响应消息154,则MAC认证系统构造和输出响应消息41,以包含指示特定的MAC地址不是有效的数据。
图4是根据本文中所描述的各种技术的网络系统2的另一个示例性操作模式的框图。
如图4所示,城域传输网络24包括增强的路由控制器113,增强的路由控制器113操作作为对于A-PE 36的路由协议对等体,以修改和中继A-PE之间中继的路由通知。路由控制器113可以例如是根据本文中所描述的技术操作的增强的路由反射器或路由服务器。一般来说,路由控制器113包括具有耦接到存储器的至少一个处理器的控制单元,以及用于执行软件指令以便实施用于与A-PE互换路由的一个或多个路由协议(诸如BGP)的其它电路系统。在互联网工程任务组(IETF)的RFC 4456的BGP路由反射-全网状IBGP的替代方式(BGPRoute Reflection-An Alternative to Full Mesh IBGP,RFC 4456,InternetEngineering Task Force(IETF))中描述了路由反射器的另外的示例细节,其以引用方式并入本文。
在图4的示例中,网络系统2利用已经被增强以实施本文中所描述的MAC认证和策略控制技术的路由协议消息,诸如增强的BGP EVPN协议消息。例如,在从接入网络27的本地附接电路接收以太网帧且学习用于CE 35或订户设备18的一个或多个新的MAC地址时,不是发送专设认证请求,而是A-PE 36将增强的EVPN MAC路由通知137输出到路由控制器(RC)113。例如,A-PE 36可以输出增强的MAC路由通知137作为类型2EVPN MAC路由通知,类型2EVPN MAC路由通知指定本地学习的MAC地址且已被增强以包含MAC地址要求认证的指示。作为一个示例,增强的MAC路由通知137可以是包含具有被用于指示MAC地址要求认证的预先定义的值的新的BGP属性或团体字符串(诸如,特定的路由目标扩展团体)的类型2的BGPEVPN路由通知。
在接收具有这样的指示的增强的MAC路由通知137时,路由控制器113例如通过认证请求37接入MAC认证系统15,以请求一个或多个MAC地址的认证。如本文中所描述的,MAC认证系统15将由认证请求的有效载荷携带的MAC地址与有效的MAC地址的其中央数据库和先前从ISP网络7接收到的相关联的策略相比较,并且基于比较,输出响应消息41,以传达认证的结果和将被应用于MAC地址的任何策略。
如果来自MAC认证系统15的响应消息41指示MAC地址是用于CE 35或订户设备18的有效的MAC地址,则路由控制器113将MAC路由转发到EVPN的其它A-PE 36。也就是说,在通知MAC地址的认证时,路由控制器113将MAC路由通知137’中继到其它A-PE 36。在中继MAC路由通知137之前,路由控制器113可以去除起初被用于指示请求认证的MAC地址的BGP属性或团体字符串,并且可以基于由MAC认证系统15为MAC地址指定的任何策略,修改MAC路由通知,以插入特定的路由目标或BGP团体属性。此外,路由控制器113将响应消息141输出到始发EVPN MAC路由通知的A-PE 36。响应消息141指示源L2网络地址是与客户设备中的一个相关联的有效的L2网络地址。在接收响应消息141时,始发EVPN MAC路由通知的A-PE 36封装数据包,并且通过EVPN将数据包隧传到城域传输网络的其它路由器中的一个。
如果响应消息41指示MAC地址是无效的MAC地址(例如,与有效的MAC地址不匹配的被列入黑名单的或未知的MAC),则RC 113不会将增强的MAC路由通知137中继到EVPN 23的其它A-PE 36,并且相反将响应消息141输出到始发MAC路由的A-PE 36,并且指示MAC路由内的MAC地址是无效的。响应于拒绝消息,始发增强的MAC路由通知137的A-PE 36放弃从其学习了MAC地址的数据包(例如,以太网帧),而不会将数据包转发到EVPN 26中。此外,A-PE 36可以将MAC地址放在“黑名单”上,使得在一定、可配置的时间量内,在转发平面中自动地放弃具有相同的源MAC地址的随后的数据包,以避免无效的MAC地址的不断的重新认证。
虽然被分开示出,但是可以在单个设备内实施路由控制器113和MAC认证系统15,或者路由控制器113和MAC认证系统15可以横跨多个设备进行分布。
图5是示出实施本文中所描述的各种技术的另一个示例性网络系统200的框图。类似于图1的城域传输网络24,城域传输网络224实施以太网虚拟专用网络(EVPN)226,其中,由城域传输运营商操作的边缘路由器(例如,A-PE 236和网关231)被配置为在它们的相应的控制平面(还被称为路由引擎)内执行EVPN协议,以彼此通信,并且互换建立和维持EVPN226所必要的配置信息。A-PE 236和网关231可以通过MPLS LSP基础设施进行连接,或者可以通过IP基础设备进行连接,在这种情况下,IP/GRE遂穿或其它IP遂穿可以被用于通过EVPN 226传输L2通信。
在图5的示例中,城域传输网络224包括将网络层(例如,IP)地址分配给订户设备218的动态主机配置协议(DHCP)服务器202。虽然被示出作为独立设备,但是DHCP服务器202可以被集成在其它设备(诸如A-PE 236或网关路由器221)内。以这种方式,网络系统200包括作为轻量级、MAC级订户管理系统进行操作的城域传输网络224。在该示例中,订户设备218包括部署在大城市区域内的设备(诸如相机、传感器和交通灯)的集合。虽然为了示例的目的仅关于此类设备进行了描述,但是参考图4所例示的技术可以被应用于其它形式的订户设备,诸如膝上型计算机、台式计算机、呼叫器、智能电话、个人数据助理(PDA)等。
在图5的示例中,CE 236可以是简单的L2交换设备,并且在这种情况下,基于订户设备218的MAC执行MAC认证。用指定CE 35和/或订户设备218的MAC地址的数据对MAC认证系统215进行编程,并且应用本文中所描述的本地MAC认证和策略控制技术。也就是说,类似于本文中所描述的技术,在从耦接到接入网络227的CE 236的本地附接电路接收数据包时,A-PE 236将认证请求237输出到MAC认证系统215,MAC认证系统215充当储存指定用于城域传输网224的有效的MAC地址的信息的中央数据库。从MAC认证系统215接收的响应消息241提供关于数据包中的源MAC地址是否是有效的和认证的或数据包中的源MAC地址是否作为无效的MAC地址而被拒绝的指示。基于响应消息241,A-PE 236通过附接电路处理从本地CE 35接收到的数据包(例如,以太网帧)。特别地,A-PE 236通过封装数据包且将封装的数据包转发到城域传输网络224的EVPN 226中,处理已经认证源MAC地址的数据包。另外,A-PE 236使用例如BGP EVPN类型2MAC路由通知(其还可以包含例如由对应的DHCP服务器分派的IP地址),仅向EVPN路由器通知验证的MAC地址。而且,此时,A-PE 236可以应用用于特定MAC地址的由MAC认证系统215提供的任何策略。
“物联网(IOT)”数据中心208表示被配置为控制订户设备218、处理从订户设备接收到的通信、基于通信生成报告等的计算系统(例如,一组服务器)。也就是说,IOT数据中心208可以是被配置为控制安装在大城市环境内的设备的计算系统。如图1所述,城域传输网络可以被配置为使能用于IOT或其它订户设备218的直接L2和L3支持,而不必要求中间互联网服务提供商。通过该轻量级订户管理系统,城域传输网络224可以表现得像具有很多对等点/退出点的全IP网络,而不需要将全部订户流量传输到各种ISP的集中式BNG中,如此提供更有效的和灵活的传输层服务。
虽然关于EVPN进行了描述,但是MAC认证系统可以将本文中所描述的MAC级认证技术应用于城域传输网络,在城域传输网络中,使用虚拟专用Lan服务(VPLS)。在这样的实施方式中,包含A-PE路由器和N-PE路由器的城域传输网络(例如,城域传输网络24、城域传输网络224)的路由器为传输通信建立VPLS。在从MAC认证系统接收指示源MAC是与客户设备中的一个相关联的有效的MAC的响应消息时,A-PE路由器将数据包转发到VPLS中。然而,在从MAC认证系统接收指示源MAC是无效的(例如,被列入黑名单的或未知的)响应消息时,A-PE路由器放弃数据包。
图6是示出能够执行所公开的技术的示例性路由器380的框图。一般来说,路由器380可以基本上类似于A-PE 36、A-PE 236进行操作,如关于图1至图4所描述的。
在该示例中,路由器380包括经由输入链路390A-输入链路390N(“输入链路390”)接收数据包且经由出站链路392A-出站链路392N(“出站链路392”)发送数据包的接口卡388A-388N(“IFC 388”)。IFC 388通常经由多个接口端口耦接到链路390、链路392。路由器380还包括确定所接收到的数据包的路由且相应地经由IFC 388转发数据包的控制单元382。
控制单元382可以包括路由引擎384和数据包转发引擎386。路由引擎384作为用于路由器380的控制平面进行操作,并且包括为大量并发进程的执行提供多任务操作环境的操作系统。例如,路由引擎384执行软件指令,以实施一个或多个控制平面网络协议397。例如,协议397可以包含用于与其它路由设备互换路由信息且用于更新路由信息394的一个或多个路由协议,诸如边界网关协议(BGP)393。路由信息394可以描述路由器380驻留在其中的计算机网络的拓扑结构,并且还可以包含通过网络的路由。路由信息394描述计算机网络内的各种路由,以及用于每个路由的适当的下一跳,即,沿着路由中的每个的邻近路由设备。路由引擎384分析储存的路由信息394,并且生成用于转发引擎386的转发信息396。转发信息396可以将例如用于订户的网络目的地与特定的下一跳和对应的IFC 388以及用于输出链路392的物理输出端口相关联。而且,转发信息396可以指定当将数据包转发到下一跳时应用的操作,诸如具有EVPN标记的封装或数据包的解封装。转发信息396可以是被编程到专设转发芯片的、一系列表、复合数据库、链路列表、基数树、数据库、平面文件或各种其它数据结构的基数树(radix tree)。
在图6的示例中,还被称为用于路由器380的控制平面的路由引擎384执行EVPN协议387,路由引擎384操作以与其它路由器通信,来建立和维持用于通过城域传输网络传输通信的EVPN,以便通过中间网络逻辑上扩展以太网网络。EVPN协议387可以例如与在远程路由器上执行的EVPN协议通信,以建立利用数据包上的标签栈用于通过EVPN传输数据包的隧道(例如,LSP或GRE隧道)。EVPN协议387在路由器380的控制平面中维持MAC地址表381,其中,MAC标将L2客户MAC地址与用于到达相关联的MAC地址的特定隧道相关联。当实施EVPN时,可以在控制平面中通过与远程PE设备互换包含客户MAC地址的BGP消息,执行L2MAC学习。EVPN协议387将记录在MAC表381中的信息传输到转发引擎386,以便配置转发信息396。以这种方式,可以用每个隧道和输出接口以及经由这些隧道可达的特定的源客户MAC地址之间的关联,对转发引擎386进行编程。在2014年7月2日的互联网工程任务组(IETF)的RFC7432的“基于BGP MPLS的以太网VPN”(“BGP MPLS Based Ethernet VPN,”RFC 7432,Internet Engineering Task Force(IETF),July 2,2014)中,描述了关于EVPN协议的额外的示例信息,其全部内容以引用方式并入本文。
在该示例中,路由器380包括在控制平面384中执行的、与在数据平面386中实行的监管器385B通信的监管器(policer)385A。当转发引擎386通过本地附接电路(即,链路390中的一个或多个)从订户设备或假设是授权的订户设备的设备接收数据包时,监管器385B检验最近认证的MAC地址的本地缓存395,并且确定发送订户设备的源MAC地址是否是先前尚未学习的新的MAC地址,并且同样地是否不存在于其MAC地址的本地缓存395内,并且是否还尚未被验证。如果源MAC地址与本地缓存395内的MAC地址匹配,则监管器385B引导转发引擎386封装数据包,并且根据转发信息396,将数据包注入EVPN内。
如果尚未学习MAC地址,并且因而最近还未验证MAC地址,则监管器385B向监管器385A发出警报,监管器385A继而将认证请求37输出到MAC认证系统15,在MAC认证系统15处,认证请求指定数据包的源MAC地址,即,发送CE 35或订户设备18的MAC地址。在此期间,监管器385B将数据包引导到队列389,直到接收到响应。
在接收到指示已经准许接入的响应消息41时,监管器385A告知EVPN协议387有效的MAC地址,其继而引起EVPN协议更新MAC表381,并且引导BGP协议393构造和输出类型2BGPMAC路由,以向其它EVPN成员路由器通知新学习的MAC地址。此时,EVPN协议387可以将由MAC认证系统15提供的任何策略399应用于特定的MAC地址。例如,EVPN协议387可以构造BGPEVPN MAC路由通知,以包含如上所述的RT或BGP团体,以向其它EVPN PE路由器指定EVPN PE路由器是否将输入该特定的MAC路由。此外,监管器385A告知监管器385B缓冲的数据包是否包含有效的源MAC地址,引起监管器385B或者许可用于转发数据包,或者从队列389丢弃数据包。
图6中所例示的路由器380的架构被示出仅用于示例性的目的。本发明并不局限于该架构。在其它示例中,路由器380可以以各种方式进行配置。在一个示例中,控制单元382的一些功能可以分布在IFC 388内。在另一个示例中,控制单元382可以包括被操作作为从属路由器的多个数据包转发引擎。
可以独自地以软件或硬件实施控制单元382,或者控制单元382可以被实施作为软件、硬件或固件的组合。例如,控制单元382可以包括执行软件指令的一个或多个处理器。在该情况下,控制单元382的各种软件模块可以包括储存在计算机可读介质(诸如计算机存储器或硬盘)上的可执行的指令。
可以以硬件、软件、固件或其任何组合实施本文中所描述的技术。可以在集成逻辑设备中一起实施被描述作为模块、单元或部件的各种特征,或者被描述作为模块、单元或部件的各种特征可以被分别地实施为分立的但能共同使用的逻辑设备或其它硬件设备。在一些情况下,电子电路系统的各种特征可以被实施作为一个或多个集成电路设备,诸如集成电路芯片或芯片组。
如果在硬件中实施,则本公开可以涉及装置诸如处理器或集成电路设备(诸如集成电路芯片或芯片组)。供选择地或额外地,如果在软件或固件中实施,则可以至少部分地由包括指令的计算机可读数据储存介质实现该技术,当执行指令时,引起处理器实行上面所描述的方法中的一个或多个。例如,计算机可读数据储存介质可以储存用于由处理器执行的这样的指令。
计算机可读介质可以形成可以包括包装材料的计算机程序产品的一部分。计算机可读介质可以包括计算机数据储存介质,诸如随机存取存储器(RAM)、只读存储器(ROM)、非暂时随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪速存储器、磁性或光学数据储存媒体等。在一些示例中,制造的物品可以包括一个或多个计算机可读储存媒体。
在一些示例中,计算机可读储存媒体可以包括非暂时媒体。术语“非暂时”可以指示不以载波信号或传播信号体现储存介质。在某些示例中,非暂时储存介质可以将可以随着时间改变的数据储存(例如,在RAM或缓存中)。
代码或指令可以是由包含一个或多个处理器的处理电路系统执行的软件和/或固件,一个或多个处理器诸如一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或其它等效集成的或分立逻辑电路系统。因此,如本文中所使用的术语“处理器”可以是指上述结构或适合于本文中所描述的技术的实施的任何其它结构中的任一个。此外,在一些方面中,在本公开中所描述的功能可以被提供在软件模块或硬件模块内。
已经描述了各种实施例。这些和其它实施例在以下示例的保护范围内。
Claims (29)
1.一种用于路由的方法,包括:
用位于至少一个互联网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器,建立以太网虚拟专用网络EVPN,其中,所述城域传输网络提供层2(L2)数据包交换,用于在所述互联网服务提供商网络和所述客户设备之间传输数据包,并且其中,所述一组路由器中的第一路由器是通过接入链路耦接到所述客户设备的接入路由器;
用接入路由器通过所述接入链路从所述客户设备中的一个接收数据包;以及
响应于接收所述数据包,由所述接入路由器输出通知所述数据包的层2网络地址为通过所述接入路由器可达的EVPN MAC路由通知,其中,所述EVPN MAC路由通知包含验证所述层2网络地址的请求。
2.根据权利要求1所述的方法,其中,输出EVPN MAC路由通知包括将所述EVPN MAC路由通知构造为路由协议消息,所述路由协议消息具有额外的路由属性或团体字符串,以指示将被通知的所述层2网络地址要求认证。
3.根据权利要求2所述的方法,其中,所述路由协议消息包括路由类型2的边界网关协议(BGP)路由协议消息。
4.根据权利要求1所述的方法,还包括响应于接收指示源层2网络地址是与所述客户设备中的一个相关联的有效的层2网络地址的响应消息,用所述接入路由器通过封装所述数据包,将所述数据包转发到所述EVPN中,并且通过所述EVPN将所述数据包隧传到所述城域传输网络的其它路由器中的一个。
5.根据权利要求4所述的方法,其中,所述响应消息指定与所述层2网络地址相关联的策略,所述策略指定控制所述其它路由器中的哪个将所述层2网络地址输入到与所述EVPN相关联的它们的相应的层2网络地址表中的属性。
6.根据权利要求5所述的方法,其中,所述属性指定规定的路由目标(RT)值或边界网关协议(BGP)路由团体。
7.根据权利要求1所述的方法,还包括响应于接收指示源层2网络地址是不与所述客户设备中的一个相关联的无效的层2网络地址的响应消息,用所述接入路由器丢弃所述数据包。
8.根据权利要求1所述的方法,还包括:
用路由控制器接收所述EVPN MAC路由通知;
响应于确定所述EVPN MAC路由通知包含验证所述层2网络地址的所述请求,接入用于所述客户设备的有效的层2网络地址的数据库;以及
当由所述EVPN MAC路由通知指定的所述层2网络地址与所述有效的层2网络地址中的一个匹配时,将所述EVPN MAC路由通知从所述路由控制器中继到建立所述EVPN的所述城域传输网络的所述一组路由器中的其它路由器。
9.根据权利要求8所述的方法,还包括,在中继所述EVPN MAC路由通知之前,修改所述EVPN MAC路由通知,以指定将由建立所述EVPN的所述一组路由器应用于所述层2网络地址的策略。
10.根据权利要求8所述的方法,还包括,当由所述EVPN MAC路由通知指定的所述层2网络地址与所述有效的层2网络地址中的一个不匹配时,将响应消息输出到所述接入路由器,所述接入路由器输出指示所述层2网络地址是无效的所述EVPN MAC路由通知,而不将所述EVPN MAC路由通知中继到建立所述EVPN的所述城域传输网络的所述一组路由器中的其它路由器。
11.一种用于路由的系统,包括:
城域传输网络,所述城域传输网络提供层2(L2)数据包交换,以传输与客户设备相关联的数据包,其中,所述城域传输网络包括至少一个接入路由器,所述至少一个接入路由器通过一个或多个接入链路和所述城域传输网络的多个其它路由器连接到所述客户设备,并且其中,所述接入路由器和所述其它路由器在所述城域传输网络内建立以太网虚拟专用网络EVPN;以及
路由控制器,所述路由控制器在所述城域传输网络内,以在路由器之间中继路由,其中,所述路由控制器耦接到包括用于所述客户设备的有效的层2网络地址的数据库的网络地址认证设备,
其中,响应于通过所述接入链路从所述客户设备中的一个接收数据包,所述接入路由器将通知所述数据包的层2网络地址为通过所述接入路由器可达的EVPN MAC路由通知输出到所述路由控制器,其中,所述EVPN MAC路由通知包含用于通过所述网络地址认证设备验证所述层2网络地址的请求。
12.根据权利要求11所述的系统,其中,所述接入路由器被配置为构造所述EVPN MAC路由通知,以包含额外的路由属性或团体字符串,来指示将被通知的所述层2网络地址要求认证。
13.根据权利要求11或12所述的系统,其中,所述EVPN MAC路由通知包括路由类型2的边界网关协议(BGP)路由协议消息。
14.根据权利要求11所述的系统,其中,响应于接收具有用于验证的所述请求的所述EVPN MAC路由通知,所述路由控制器接入用于所述客户设备的有效的层2网络地址的所述数据库,并且当由所述EVPNMAC路由通知指定的所述层2网络地址与在所述数据库内指定的所述有效的层2网络地址中的一个匹配时,将所述EVPN MAC路由通知中继到建立所述EVPN的所述城域传输网络的一组路由器中的所述其它路由器。
15.根据权利要求14所述的系统,其中,在中继所述EVPN MAC路由通知之前,所述路由控制器修改所述EVPN MAC路由通知,以指定将由建立所述EVPN的所述一组路由器应用于所述层2网络地址的策略。
16.根据权利要求15所述的系统,其中,所述策略指定控制所述其它路由器中的哪个将所述层2网络地址输入到与所述EVPN相关联的它们的相应的层2网络地址表中的属性。
17.根据权利要求16所述的系统,其中,所述属性包括指定的路由目标(RT)值或边界网关协议(BGP)路由团体。
18.根据权利要求14所述的系统,其中,当由所述EVPN MAC路由通知指定的所述层2网络地址与所述有效的层2网络地址中的一个不匹配时,所述路由控制器将拒绝请求输出到所述接入路由器,所述接入路由器输出EVPN拒绝请求,而不将所述EVPN MAC路由通知中继到建立所述EVPN的所述城域传输网络的所述一组路由器中的所述其它路由器。
19.根据权利要求11所述的系统,其中,响应于从所述网络地址认证设备接收指示源层2网络地址是与所述客户设备中的一个相关联的有效的层2网络地址的响应消息,输出所述EVPN MAC路由通知的所述接入路由器封装所述数据包,并且将所述数据包通过所述EVPN隧传到所述城域传输网络中的所述其它路由器中的一个。
20.根据权利要求11所述的系统,其中,响应于从所述网络地址认证设备接收指示源层2网络地址是无效的层2网络地址的响应消息,输出所述EVPN MAC路由通知的所述接入路由器丢弃所述数据包。
21.一种接入路由器,包括:
控制单元,具有耦接到存储器的至少一个处理器,
其中,所述控制单元执行软件,所述软件被配置为用城域传输网络内的一组其它路由器建立以太网虚拟专用网络EVPN,所述城域传输网络提供层2(L2)数据包交换,以传输与客户设备相关联的数据包,
其中,所述控制单元被配置为响应于通过接入链路从所述客户设备中的一个接收数据包,将通知所述数据包的层2网络地址为通过所述接入路由器可达的EVPN MAC路由通知输出到路由控制器,并且
其中,所述EVPN MAC路由通知包含指示用于由网络地址认证设备验证所述层2网络地址的请求的额外的属性。
22.根据权利要求21所述的接入路由器,其中,所述EVPN MAC路由通知包括路由类型2的边界网关协议(BGP)路由协议消息。
23.根据权利要求21或22所述的接入路由器,
其中,响应于接收指示源层2网络地址是与所述客户设备中的一个相关联的有效的层2网络地址的响应消息,所述接入路由器被配置为封装所述数据包,并且通过所述EVPN将所述数据包隧传到所述城域传输网络的所述其它路由器中的一个,并且
其中,响应于从所述网络地址认证设备接收指示所述源层2网络地址是无效的层2网络地址的响应消息,所述接入路由器丢弃所述数据包。
24.根据权利要求21所述的接入路由器,其中,所述客户设备包括客户端设备或订户设备。
25.一种路由控制器,包括:
控制单元,所述控制单元具有耦接到存储器的至少一个处理器;
其中,所述控制单元执行软件,所述软件被配置为在城域传输网络内已经建立以太网虚拟专用网络EVPN的一组路由器之间互换路由,所述城域传输网络提供层2数据包交换,以传输与客户设备相关联的数据包,
其中,所述路由控制器包括用于所述客户设备的有效的层2网络地址的数据库,
其中,响应于接收通知层2网络地址为通过接入路由器中的一个可达的EVPN MAC路由通知,所述路由控制器接入用于所述客户设备的有效的层2网络地址的所述数据库,并且当由所述EVPNMAC路由通知指定的所述层2网络地址与所述数据库内规定的所述有效的层2网络地址中的一个匹配时,将所述EVPN MAC路由通知中继到所述一组路由器的其它路由器。
26.根据权利要求25所述的路由控制器,其中,在中继所述EVPN MAC路由通知之前,所述路由控制器修改所述EVPN MAC路由通知,以指定将由建立所述EVPN的所述一组路由器应用于所述层2网络地址的策略。
27.根据权利要求26所述的路由控制器,其中,所述策略指定控制所述一组路由器中的哪个将所述层2网络地址输入到与所述EVPN相关联的它们的相应的层2网络地址表中的属性。
28.根据权利要求27所述的路由控制器,其中,所述属性包括指定的路由目标(RT)值或边界网关协议(BGP)路由团体。
29.根据权利要求25-28中任一项所述的路由控制器,其中,所述EVPNMAC路由通知包含指示用于由网络地址认证设备验证所述层2网络地址的请求的额外的属性。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/871,960 US9973469B2 (en) | 2015-09-30 | 2015-09-30 | MAC (L2) level authentication, security and policy control |
| US14/871,960 | 2015-09-30 | ||
| US15/079,981 US10091176B2 (en) | 2015-09-30 | 2016-03-24 | Enhanced EVPN MAC route advertisement having MAC (L2) level authentication, security and policy control |
| US15/079,981 | 2016-03-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107018056A CN107018056A (zh) | 2017-08-04 |
| CN107018056B true CN107018056B (zh) | 2021-03-19 |
Family
ID=57044867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610864658.6A Active CN107018056B (zh) | 2015-09-30 | 2016-09-29 | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10091176B2 (zh) |
| EP (1) | EP3151509B1 (zh) |
| CN (1) | CN107018056B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016141995A1 (en) * | 2015-03-12 | 2016-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for routing and switching redundancy |
| CN106936939B (zh) * | 2015-12-31 | 2020-06-02 | 华为技术有限公司 | 一种报文处理方法、相关装置及nvo3网络系统 |
| US10454877B2 (en) * | 2016-04-29 | 2019-10-22 | Cisco Technology, Inc. | Interoperability between data plane learning endpoints and control plane learning endpoints in overlay networks |
| DE102017120505A1 (de) * | 2016-09-12 | 2018-03-15 | Hyundai Motor Company | System zur Verifikation einer unregistrierten Vorrichtung basierend auf Informationen eines Ethernet-Switchs und Verfahren für dasselbige |
| US10164876B2 (en) | 2016-12-09 | 2018-12-25 | Cisco Technology, Inc. | Efficient multicast traffic forwarding in EVPN-based multi-homed networks |
| CN108259356B (zh) * | 2017-04-25 | 2020-08-04 | 新华三技术有限公司 | 路由控制方法和装置 |
| US11277407B2 (en) * | 2017-09-15 | 2022-03-15 | Hewlett Packard Enterprise Development Lp | Disabling MAC address aging time for an internet of things (IoT) device on a network switch |
| CN108123943B (zh) * | 2017-12-19 | 2020-11-03 | 新华三技术有限公司 | 信息验证方法及装置 |
| US10795912B2 (en) * | 2018-03-19 | 2020-10-06 | Fortinet, Inc. | Synchronizing a forwarding database within a high-availability cluster |
| US10708299B2 (en) * | 2018-03-19 | 2020-07-07 | Fortinet, Inc. | Mitigating effects of flooding attacks on a forwarding database |
| CN114070770A (zh) | 2018-07-10 | 2022-02-18 | 华为技术有限公司 | 一种收发消息的方法、装置和系统 |
| CN113542128B (zh) | 2018-10-12 | 2023-03-31 | 华为技术有限公司 | 一种发送路由信息的方法和装置 |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| US11102169B2 (en) | 2019-06-06 | 2021-08-24 | Cisco Technology, Inc. | In-data-plane network policy enforcement using IP addresses |
| CN112543136B (zh) * | 2019-09-23 | 2023-04-21 | 上海诺基亚贝尔股份有限公司 | 一种用于抑制pbb-evpn核心网络中洪泛流量的方法和装置 |
| DE102019007058A1 (de) * | 2019-10-10 | 2021-04-15 | CGF Counsel Group Frankfurt AG | Vorrichtung innerhalb eines masts und verfahren |
| CN112910784B (zh) * | 2019-12-03 | 2023-03-24 | 华为技术有限公司 | 路由的确定方法、装置和系统 |
| US11398927B1 (en) * | 2021-02-01 | 2022-07-26 | Cisco Technology, Inc. | Systems and methods for subscription based selective EVPN route distribution |
| US20220303642A1 (en) * | 2021-03-19 | 2022-09-22 | Product Development Associates, Inc. | Securing video distribution |
| US11929906B2 (en) | 2021-07-29 | 2024-03-12 | Cisco Technology, Inc. | Source-provisioned services infrastructure |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761244A (zh) * | 2005-11-11 | 2006-04-19 | 清华大学 | 设置边界网关协议路由选择通知功能的方法 |
| CN101136832A (zh) * | 2004-07-13 | 2008-03-05 | 华为技术有限公司 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7394820B1 (en) | 2004-01-28 | 2008-07-01 | Sprint Communications Company L.P. | Interworking unit (IWU) for interfacing a plurality of client devices to a multiprotocol label switching (MPLS) |
| US20100177752A1 (en) | 2009-01-12 | 2010-07-15 | Juniper Networks, Inc. | Network-based micro mobility in cellular networks using extended virtual private lan service |
| US8467355B2 (en) * | 2009-01-22 | 2013-06-18 | Belair Networks Inc. | System and method for providing wireless local area networks as a service |
| US8675664B1 (en) | 2011-08-03 | 2014-03-18 | Juniper Networks, Inc. | Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering |
| US9549317B2 (en) | 2011-10-17 | 2017-01-17 | Mitel Mobility Inc. | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network |
| WO2013067466A1 (en) * | 2011-11-03 | 2013-05-10 | Huawei Technologies Co., Ltd. | Border gateway protocol extension for the host joining/leaving a virtual private network |
| WO2014203113A1 (en) | 2013-06-18 | 2014-12-24 | Telefonaktiebolaget L M Ericsson (Publ) | Duplicate mac address detection |
| US9559951B1 (en) * | 2013-08-29 | 2017-01-31 | Cisco Technology, Inc. | Providing intra-subnet and inter-subnet data center connectivity |
| CN103634211A (zh) * | 2013-12-03 | 2014-03-12 | 网神信息技术(北京)股份有限公司 | 用户网络边缘路由器的数据处理方法和装置 |
| US9742678B2 (en) * | 2014-04-01 | 2017-08-22 | Cisco Technology, Inc. | E-tree service with optimal forwarding in EVPN |
-
2016
- 2016-03-24 US US15/079,981 patent/US10091176B2/en active Active
- 2016-09-27 EP EP16190770.4A patent/EP3151509B1/en active Active
- 2016-09-29 CN CN201610864658.6A patent/CN107018056B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136832A (zh) * | 2004-07-13 | 2008-03-05 | 华为技术有限公司 | 多协议标签交换虚拟专用网及其控制和转发方法 |
| CN1761244A (zh) * | 2005-11-11 | 2006-04-19 | 清华大学 | 设置边界网关协议路由选择通知功能的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10091176B2 (en) | 2018-10-02 |
| US20170093834A1 (en) | 2017-03-30 |
| EP3151509B1 (en) | 2019-11-06 |
| EP3151509A1 (en) | 2017-04-05 |
| CN107018056A (zh) | 2017-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018056B (zh) | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 | |
| CN106878253B (zh) | Mac(l2)层认证、安全性和策略控制 | |
| US11777783B2 (en) | Network slicing with smart contracts | |
| US9647937B1 (en) | Policy control using software defined network (SDN) protocol | |
| US10050840B2 (en) | Method and system for an internet of things (IOT) device access in a software-defined networking (SDN) system | |
| US9762490B2 (en) | Content filtering for information centric networks | |
| US10397066B2 (en) | Content filtering for information centric networks | |
| US20150350912A1 (en) | Residential service delivery based on unique residential apn | |
| EP3151477B1 (en) | Fast path content delivery over metro access networks | |
| EP3151478B1 (en) | Content caching in metro access networks | |
| US10218627B2 (en) | Disaggregated broadband network gateway functionality for efficient content delivery network peering | |
| CN110611893A (zh) | 为漫游无线用户设备扩展订户服务 | |
| WO2012075768A1 (zh) | 身份位置分离网络的监听方法和系统 | |
| CN107040442B (zh) | 通信方法、通信系统和城域传送网的缓存路由器 | |
| WO2012075770A1 (zh) | 身份位置分离网络的阻断方法和系统 | |
| Menachi et al. | Scalable, hierarchical, Ethernet transport network architecture (HETNA) | |
| Donohue et al. | CCNP Routing and Switching Quick Reference (642-902, 642-813, 642-832) | |
| Donohue | Ccnp route 642-902 quick reference | |
| CN116938809A (zh) | 接入交换机中的角色信息传播 | |
| Donohue | CCNP ROUTE 642-902 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |