CN116248572A - 经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务 - Google Patents

经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务 Download PDF

Info

Publication number
CN116248572A
CN116248572A CN202210117853.8A CN202210117853A CN116248572A CN 116248572 A CN116248572 A CN 116248572A CN 202210117853 A CN202210117853 A CN 202210117853A CN 116248572 A CN116248572 A CN 116248572A
Authority
CN
China
Prior art keywords
network device
security
link
routing path
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210117853.8A
Other languages
English (en)
Inventor
M·塔尔瓦
R·博尼卡
A·卡查尼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN116248572A publication Critical patent/CN116248572A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/17Interaction among intermediate nodes, e.g. hop by hop
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

在一些实现中,一种网络设备可以基于路由表来确定从网络设备到另一网络设备的多个路由路径,其中多个路由路径分别与多个安全分类相关联。网络设备可以接收目的地为另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务。网络设备可以基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务。

Description

经由与安全分类相关联的路由路径转发与安全分类相关联的 网络业务
背景技术
媒体访问控制安全(MACsec)为诸如以太网链路的物理链路上的业务提供安全通信。MACsec在直接连接的设备之间的链路上提供点对点安全。
发明内容
本文中所描述的一些实现涉及一种网络设备。网络设备可以包括一个或多个存储器和一个或多个处理器。网络设备可以被配置为从另一网络设备接收第一消息、第二消息和第三消息。网络设备可以被配置为基于第一消息、第二消息和第三消息来更新路由表。网络设备可以被配置为基于路由表来确定从网络设备到另一网络设备的与第一安全分类相关联的第一路由路径、从网络设备到另一网络设备的与第二安全分类相关联的第二路由路径、以及从网络设备到另一网络设备的与第三安全分类相关联的第三路由路径。网络设备可以被配置为接收目的地为另一网络设备且与第一安全分类、第二安全分类或第三安全分类中的特定安全分类相关联的网络业务。网络设备可以被配置为基于第一路由路径、第二路由路径或第三路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务。
本文中所描述的一些实现涉及一种存储用于网络设备的指令集的非暂态计算机可读介质。该指令集在由网络设备的一个或多个处理器执行时可以使网络设备基于路由表来确定从网络设备到另一网络设备的与第一安全分类相关联的第一路由路径。该指令集在由网络设备的一个或多个处理器执行时可以使网络设备基于路由表来确定从网络设备到另一网络设备的与第二安全分类相关联的第二路由路径。该指令集在由网络设备的一个或多个处理器执行时可以使网络设备基于路由表来确定从网络设备到另一网络设备的与第三安全分类相关联的第三路由路径。该指令集在由网络设备的一个或多个处理器执行时可以使网络设备接收目的地为另一网络设备且与第一安全分类、第二安全分类或第三安全分类中的特定安全分类相关联的网络业务。该指令集在由网络设备的一个或多个处理器执行时可以使网络设备基于第一路由路径、第二路由路径或第三路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务。
本文中所描述的一些实现涉及一种方法。该方法可以包括由网络设备基于路由表来确定从网络设备到另一网络设备的多个路由路径,其中多个路由路径分别与多个安全分类相关联。该方法可以包括由网络设备接收目的地为另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务。该方法可以包括由网络设备基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务。
附图说明
图1A-图1D是本文中所描述的示例实现的示图;
图2是可以在其中实现本文中所描述的系统和/或方法的示例环境的示图;
图3和图4是图2的一个或多个设备的示例组件的示图;以及
图5-图6是与经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务有关的示例过程的流程图。
具体实施方式
示例实现的以下具体实施方式参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
在网络设备的网络中,可以利用媒体访问控制安全(MACsec)在直接连接的网络设备之间的链路上提供点对点安全。然而,对于需要在两个以上的网络设备之间安全路由的网络业务,确保网络业务经由仅包括MACsec链路的路由路径传输可能是具有挑战性的。在一些情况下,在转发网络业务之前,网络设备可以使用业务工程处理(例如,开放系统互连(OSI)模型中的第3级过程)来处理网络业务,以将网络业务与信息封装在一起,以使网络业务被引导经由适当安全的路由路径通过网络。但是,为了执行这样的业务工程过程,网络设备必须包括专门的硬件。此外,执行这样的处理通常使用大量计算资源(例如,处理资源、存储器资源、通信资源和/或电源资源等),并且导致与通过网络路由网络业务相关联的等待时间或延迟。
本文中所描述的一些实现涉及确定与不同安全分类相关联的网络业务的路由路径,诸如公共网络业务的路由路径、私有网络业务的路由路径和/或受限网络业务的路由路径。公共网络业务可以经由任何类型的链路路由。私有网络业务可以通过支持认证的链路(例如,利用MACsec进行认证的链路以及利用MACsec进行认证和加密的链路)路由。受限网络业务可以通过支持认证和加密的链路(例如,利用MACsec进行认证和加密的链路)路由。
在一些实现中,网络中的每个网络设备向网络中的其他网络设备发送公告消息,其中每个公告消息指示网络设备的链路的安全分类。因此,接收公告消息的网络设备基于公告消息来更新路由表并基于路由表来确定从网络设备到网络中的其他网络设备的与由网络支持的多个安全分类(例如,公共安全分类、私有安全分类和/或受限安全分类)中的每个安全分类相关联的路由路径。以这种方式,网络设备确定通往网络中的其他网络设备中的每一个的多个路由路径(其中多个路由路径中的每个路由路径与安全分类相关联)。
在一些实现中,网络设备接收目的地为网络中的另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务。网络设备选择通往另一网络设备的多个路由路径中的与特定安全分类相关联的路由路径,并且基于特定路由路径向另一网络设备转发网络业务。这使网络业务经由为网络业务提供适当安全性的链路路由通过网络。例如,当网络业务是公共网络业务时,网络业务经由网络中的任何类型的链路路由通过网络;当网络业务是私有网络业务时,网络业务经由支持认证的链路(例如,利用MACsec进行认证的链路和/或利用MACsec进行认证和加密的链路)路由通过网络;并且当网络设备受到网络业务限制时,网络业务经由支持认证和加密的链路(例如,利用MACsec进行认证和加密的链路)路由通过网络。
以这种方式,本文中所描述的一些实现使得能够经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务。因此,本文中所描述的一些实现提供(例如,使用OSI模型中的第2级技术)用于路由网络业务而不使用业务工程过程(例如,OSI模型中的等3级流程)的适当安全路径。这降低了网络中的路由网络业务的网络设备的复杂性(例如,因为网络设备不需要包括专门的硬件来执行业务工程过程)。此外,本文中所描述的网络设备不需要在转发网络业务之前封装网络业务,这减少了转发网络业务所需要的计算资源(例如,处理资源、存储器资源、通信资源和/或电源资源等)的量(例如,否则在使用业务工程过程时将需要)。这也减少或消除了与路由网络业务相关联的等待时间或延迟,否则该等待时间或延迟会由于使用业务工程而产生。
图1A-图1D是与经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务相关联的示例100的示图。如图1A-图1D所示,示例100包括端点设备以及与网络相关联的多个网络设备(被示出为网络设备1-4)。端点设备、多个网络设备和网络的其他细节在本文中的别处提供。
在一些实现中,多个网络设备中的网络设备可以经由诸如以太网链路的链路连接到多个网络设备中的另一网络设备。例如,如图1A-图1D所示,网络设备1可以经由链路(1,2)连接到网络设备2,经由链路(1,3)连接到网络设备3,并且经由链路(1,4)连接到网络设备4;网络设备2可以经由链路(1,2)连接到网络设备1,并且经由链路(2,4)连接到网络设备4;网络设备3可以经由链路(1,3)连接到网络设备1,并且经由链路(3,4)连接到网络设备4;并且网络设备4可以经由链路(1,4)连接到网络设备1,经由链路(2,4)连接到网络设备2,并且经由链路(3,4)连接到网络设备3。在一些实现中,多个网络设备中的网络设备可以不经由链路连接到多个网络设备中的另一网络设备。例如,进一步如图1A-图1D所示,网络设备2可以不经由链路连接到网络设备3。以这种方式,多个网络设备可以经由一组链路(例如,一个或多个链路)彼此连接,诸如在链路的网络拓扑中。
在一些实现中,该组链路中的每个链路可以与多个安全分类中的安全分类相关联。例如,如图1A-图1D所示,链路(1,4)(以实线示出)可以与第一安全分类相关联,链路(1,2)和链路(2,4)(以虚线示出)可以与第二安全分类相关联,并且链路(1,3)和链路(3,4)(以点划线示出)可以与第三安全分类相关联。安全分类可以指示可以经由与安全分类相关联的链路传输的网络业务的类型。例如,第一安全分类可以是公共安全分类,这可以指示公共(例如,常规的、非机密的或保密的)网络业务可以经由与第一安全分类相关联的链路(例如,链路(1,4))传输;第二安全分类可以是私有安全分类,这可以指示私有(例如,机密的,但非保密的)网络业务可以经由与第二安全分类相关联的链路(例如,链路(1,2)和链路(2,4))传输;并且第三安全分类可以是受限安全分类,这可以指示受限(例如,保密的)网络业务可以经由与第三安全分类相关联的链路(例如,链路(1,3)和链路(3,4))传输。
在一些实现中,多个安全分类中的每个安全分类可以具有安全级别(例如,其中安全级别的值指示安全分类的严格性,较低值指示较小严格性,并且较高值指示较大严格性)。例如,第一安全分类的安全级别可以为1,第二安全分类的安全级别可以为2,并且第三安全分类的安全级别可以为3。因此,该组链路中的每个链路可以与安全分类和安全分类的安全级别相关联。例如,如图1A-图1D所示,链路(1,4)(以实线示出)可以与第一安全分类和安全级别1相关联,链路(1,2)和链路(2,4)(以虚线示出)可以与第二安全分类和安全级别2相关联,并且链路(1,3)和链路(3,4)(以点划线示出)可以与第三安全分类和安全级别3相关联。
在一些实现中,如本文中进一步描述的,与多个安全分类中的特定安全分类相关联的网络业务可以经由与相应安全级别大于或等于特定安全分类的安全级别的一个或多个安全分类相关联的一组链路传输。例如,与第一安全分类和安全级别1相关联的网络业务可以经由链路(1,4)(例如,具有安全级别1)、链路(1,2)或链路(2,4)(例如,具有安全级别2)中的至少一个、和/或链路(1,3)或链路(3,4)(例如,具有安全级别3)中的至少一个传输;与第二安全分类和安全级别2相关联的网络业务可以经由链路(1,2)或链路(2,4)(例如,具有安全级别2)中的至少一个、和/或链路(1,3)或链路(3,4)(例如,具有安全级别3)中的至少一个传输;与第二安全分类和安全级别3相关联的网络业务可以经由链路(1,3)和/或链路(3,4)(例如,具有安全级别3)传输。
在一些实现中,该组链路中的每个链路可以是多种链路类型中的特定链路类型(例如,根据链路与安全分类的关联)。例如,如图1A-图1D所示,与第一安全分类相关联的链路(1,4)(以实线示出)可以是不利用认证且不利用加密的链路(例如,不利用利用MACsec的链路);与第二安全分类相关联的链路(1,2)和链路(2,4)(以虚线示出)可以是利用认证而不利用加密的链路(例如,利用MACsec进行认证的链路);并且与第三安全分类相关联的链路(1,3)和链路(3,4)(以点划线示出)可以是利用认证且利用加密的链路(例如,利用MACsec进行认证和加密的链路)。以这种方式,在一些实现中,安全分类可以指示与安全分类相关联的链路的类型。例如,当与链路(例如,链路(1,4))相关联时,第一安全分类可以指示链路不利用认证且不利用加密;当与链路(例如,链路(1,2)或链路(2,4))相关联时,第二安全分类可以指示链路利用认证而不利用加密;并且当与链路(例如,链路(1,3)或链路(3,4))相关联时,第三安全分类可以指示链路利用认证且利用加密。
在一些实现中,该组链路中的每个链路可以与至少一个成本度量相关联。例如,链路可以与内部网关协议(IGP)成本度量、业务工程(TE)成本度量和/或一个或多个其他成本度量相关联。在一些实现中,确定从多个网络设备中的网络设备到多个网络设备中的另一网络设备的与多个安全分类中的特定安全分类(例如,如本文中的别处描述的)相关联的路由路径可以基于该组链路中的每个链路的至少一个成本度量中的特定成本度量。例如,确定与第一安全分类相关联的第一路由路径可以基于与该组链路相关联的相应第一成本度量(例如,IGP成本度量),确定与第二安全分类相关联的第二路由路径可以基于与该组链路相关联的相应第二成本度量(例如,TE成本度量),确定与第三安全分类相关联的第三路由路径可以基于与该组链路相关联的相应第三成本度量(例如,其他成本度量),等等。
在一些实现中,多个网络设备中的网络设备可以向多个网络设备中的另一网络设备发送一个或多个公告消息。例如,如图1A和附图标记105所示,网络设备4可以向网络设备1、网络设备2和网络设备3中的每个网络设备发送一个或多个公告消息(例如,网络设备1、网络设备2和网络设备3中的每个网络设备可以接收一个或多个公告消息的个体副本)。网络设备可以针对连接到网络设备的每个链路向另一网络设备发送公告消息。例如,如图1A所示,网络设备4可以向网络设备1、网络设备2和网络设备3中的每个网络设备发送与链路(1,4)相关联的第一公告消息、与链路(2,4)相关联的第二公告消息、以及与链路(3,4)相关联的第三公告消息。
一个或多个公告消息中的每个公告消息可以包括标识网络设备的信息、标识网络设备的链路(例如,与公告消息相关联的)的信息、指示链路的至少一个成本度量(例如,IGP成本度量、TE成本度量和/或一个或多个其他成本度量)的信息、指示链路与多个安全分类中的安全分类相关联的信息、和/或其他信息。例如,由网络设备4发送的第一公告消息可以包括标识网络设备4的信息、标识链路(1,4)的信息、指示链路(1,4)的至少一个成本度量的信息、以及指示链路(1,4)与第一安全分类相关联的信息;由网络设备4发送的第二公告消息可以包括标识网络设备4的信息、标识链路(2,4)的信息、指示链路(2,4)的至少一个成本度量的信息、以及指示链路(2,4)与第二安全分类相关联的信息;并且由网络设备4发送的第三公告消息可以包括标识网络设备4的信息、标识链路(3,4)的信息、指示链路(3,4)的至少一个成本度量的信息、以及指示链路(3,4)与第三安全分类相关联的信息。
在一些实现中,多个网络设备中的网络设备可以基于网络设备从多个网络设备中的另一网络设备接收的一个或多个公告消息来更新路由表(例如,由网络设备存储和/或维护的)。例如,如图1B和附图标记110所示,网络设备1可以基于网络设备1从网络设备4接收的一个或多个公告消息来更新路由表(例如,如本文中关于图1A描述的)。网络设备可以通过将包括在一个或多个公告消息中的信息中的至少一些包括在路由表中来更新路由表。例如,如图1B所示,网络设备1可以更新路由表以包括或修改与链路(1,4)、链路(2,4)和链路(3,4)相关联的条目,其中该条目分别包括来自第一公告消息、第二公告消息和第三公告消息(例如,从网络设备4发送到网络设备1的)的至少一些信息。路由表可以包括例如与多个网络设备的每个链路相关联的条目,并且每个条目可以包括指示链路的信息、指示链路的至少一个成本度量的信息、指示多个安全分类中的与链路相关联的安全分类的信息、和/或其他信息。
在一些实现中,多个网络设备中的网络设备可以确定从网络设备到另一网络设备的多个路由路径。多个路由路径可以分别与多个安全分类相关联。例如,如图1C和附图标记115所示,网络设备1可以确定从网络设备1到网络设备4的多个路由路径(例如,第一路由路径、第二路由路径和第三路由路径)。第一路由路径(如实线箭头所示)可以与第一安全分类相关联,第二路由路径(如虚线箭头所示)可以与第二安全分类相关联,并且第三路由路径(如点划线箭头所示)可以与第三安全分类相关联。
网络设备可以基于路由表(例如,由网络设备存储和/或维护的)来确定多个路由路径。在一些实现中,为了确定与特定安全分类相关联的特定路由路径,网络设备可以标识与相应安全级别大于或等于特定安全分类的安全级别的一个或多个安全分类相关联的一组链路(例如,通过搜索和/或读取路由表)。因此,网络设备可以确定(例如,基于该组链路的相应成本度量并使用诸如最短路径优先(SPF)技术的路径计算技术)特定路由路径。
例如,为了确定第一路由路径(例如,与具有安全级别1的第一安全分类相关联的),网络设备1可以标识第一组链路(例如,通过搜索和/或读取路由表),该第一组链路与多个安全分类中的至少一个安全分类(诸如,第一安全分类(例如,具有安全级别1)、第二安全分类(例如,具有安全级别2)、或者第三安全分类(例如,具有安全级别3)中的至少一个安全分类)相关联。网络设备1可以确定(例如,基于第一组链路的相应成本度量并使用诸如SPF技术的路径计算技术)第一路由路径。以这种方式,第一路由路径可以包括不利用认证且不利用加密的链路(例如,不利用MACsec的链路)、利用认证而不利用加密的链路(例如,利用MACsec进行认证的链路)、或者利用认证且利用加密的链路(例如,利用MACsec进行认证和加密的链路)中的至少一种链路。
作为另一示例,为了确定第二路由路径(例如,与具有安全级别2的第二安全分类相关联的),网络设备1可以标识第二组链路(例如,通过搜索和/或读取路由表),该第二组链路与多个安全分类中的第一部分(而不与多个安全分类中的第二部分)中的至少一个安全分类(诸如,第二安全分类(例如,具有安全级别2)或第三安全分类(例如,具有安全级别3)中的(而不与第一安全分类(例如,具有安全级别1)中的)至少一个安全分类)相关联。网络设备1可以确定(例如,基于第二组链路的相应成本度量并使用诸如SPF技术的路径计算技术)第二路由路径。以这种方式,第二路由路径可以包括利用认证而不利用加密的链路(例如,利用MACsec进行认证的链路)、或者利用认证且利用加密的链路(例如,利用MACsec进行认证和加密的链路)中的至少一种链路,并且第二路由路径可以不包括不利用认证且不利用加密的链路(例如,不利用MACsec的链路)。
在附加示例中,为了确定第三路由路径(例如,与具有安全级别3的第三安全分类相关联的),网络设备1可以标识第三组链路(例如,通过搜索和/或读取路由表),该第三组链路与第三安全分类(例如,具有安全级别3)相关联而不与第一安全分类(例如,具有安全级别1)和第二安全分类(例如,具有安全级别2)相关联。网络设备1可以确定(例如,基于第三组链路的相应成本度量并使用诸如SPF技术的路径计算技术)第三路由路径。以这种方式,第三路由路径可以包括利用认证且利用加密的链路(例如,利用MACsec进行认证和加密的链路),并且第三路由路径可以不包括不利用认证且不利用加密的链路(例如,不利用MACsec的链路)、以及利用认证而不利用加密的链路(例如,利用MACsec进行认证的链路)。
在一些实现中,多个网络设备中的网络设备可以接收目的地为多个网络设备中的另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务。例如,如图1D和附图标记120所示,网络设备1可以接收网络业务(例如,从端点设备)。网络业务的目的地可以为网络设备4,并且可以与第一安全分类、第二安全分类或第三安全分类中的特定安全分类相关联。
在一些实现中,网络设备可以基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务。例如,如图1D和附图标记125进一步所示,网络设备1可以基于第一路由路径、第二路由路径或第三路由路径中的与网络设备4和网络业务的特定安全分类相关联的特定路由路径(被示出为第二路由路径)来转发网络业务。
在一些实现中,为了转发网络业务,网络设备可以处理网络业务以确定网络业务的目的地为另一网络设备且网络业务与特定安全分类相关联。因此,网络设备可以基于标识另一网络设备和特定安全分类的信息来选择与另一网络设备和特定安全分类相关联的特定路由路径。网络设备可以确定网络业务的下一跳(例如,如由特定路由路径指示的)并可以向下一跳转发网络业务。以这种方式,网络设备可以使网络业务根据特定路由路径被转发。
此外,以这种方式,网络设备可以使网络业务经由与相应安全级别大于或等于特定安全分类的安全级别的一个或多个安全分类相关联的一个或多个链路从网络设备被传输到另一网络设备。例如,关于图1D,网络设备1可以使网络业务经由与相应安全级别大于或等于特定安全分类(例如,具有安全级别2的第二安全分类)的安全级别的一个或多个安全分类(例如,具有安全级别2的第二安全分类和/或具有安全级别3的第三安全分类)相关联的一个或多个链路从网络设备1被传输到网络设备4。
如上所述,图1A-图1D作为示例被提供。其他示例可以与关于图1A-图1D所描述的不同。图1A-图1D所示的设备的数目和布置作为示例被提供。实际上,与图1A-图1D所示的相比,可以存在更多的设备、更少的设备、不同的设备、或者不同布置的设备。此外,图1A-图1D所示的两个或更多个设备可以在单个设备内实现,或者图1A-图1D所示的单个设备可以被实现为多个分布式设备。另外地或备选地,图1A-图1D所示的一组设备(例如,一个或多个设备)可以执行被描述为由图1A-图1D所示的另一组设备执行的一个或多个功能。
图2是可以在其中实现本文中所描述的系统和/或方法的示例环境200的示图。如图2所示,环境200可以包括一个或多个端点设备210、一组网络设备220(被示出为网络设备220-1至网络设备220-N,其中N≥2)、以及网络230。环境200的设备可以经由有线连接、无线连接、或者有线与无线连接的组合来互连。
端点设备210包括能够接收、生成、存储、处理和/或提供信息(诸如,本文中所描述的信息)的一个或多个设备。例如,端点设备210可以包括移动电话(例如,智能电话或无线电话)、膝上型计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴通信设备(例如,智能手表、智能眼镜、心率监测器、健身追踪器、智能服装、智能珠宝或头戴式显示器)、网络设备或类似类型的设备。在一些实现中,端点设备210可以经由网络230向其他端点设备210提供网络业务和/或可以接收网络业务(例如,通过使用网络设备220作为中介来路由网络业务)。
网络设备220包括能够以本文中所描述的方式接收、处理、存储、路由和/或提供网络业务的一个或多个设备。例如,网络设备220可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供商路由器(例如,提供商边缘路由器或提供商核心路由器)、虚拟路由器、或者其他类型的路由器。另外地或备选地,网络设备220可以包括网关、交换机、防火墙、集线器、网桥、反向代理、服务器(例如,代理服务器、云服务器或数据中心服务器)、负载平衡器和/或类似设备。在一些实现中,网络设备220可以是在诸如机箱的外壳内实现的物理设备。在一些实现中,网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,一组网络设备220可以是用于路由网络业务通过网络230的一组数据中心节点。在一些实现中,网络设备220可以接收(例如,从端点设备210或另一网络设备220)与多个安全分类中的特定安全分类相关联的业务网络;确定从网络设备220到另一网络设备220的多个路由路径(例如,其中多个路由路径分别与多个安全分类相关联);和/或可以基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络设备。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括分组交换网络、蜂窝网络(例如,第五代(5G)网络、诸如长期演进(LTE)网络等第四代(4G)网络、第三代(3G)网络、或码分多址(CDMA)网络)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、专用网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。
图2所示的设备和网络的数目和布置作为示例被提供。实际上,与图2所示的相比,可以存在更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同布置的设备和/或网络。此外,图2所示的两个或更多个设备可以在单个设备内实现,或者图2所示的单个设备可以被实现为多个分布式设备。另外地或备选地,环境200的一组设备(例如,一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
图3是可以与端点设备210和/或网络设备220相对应的设备300的示例组件的示图。在一些实现中,端点设备210和/或网络设备220包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括总线310、处理器320、存储器330、输入组件340、输出组件350和通信组件360。
总线310包括能够在设备300的组件之间进行有线和/或无线通信的一个或多个组件。总线310可以将图3的两个或更多个组件耦接在一起,诸如经由操作耦接、通信耦接、电子耦接和/或电耦接。处理器320包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或另一类型的处理组件。处理器320以硬件、固件、或者硬件与软件的组合实现。在一些实现中,处理器320包括能够被编程以执行本文中的别处所描述的一个或多个操作或处理过程的一个或多个处理器。
存储器330包括易失性和/或非易失性存储器。例如,存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或另一类型的存储器(例如,闪存、磁存储器和/或光学存储器)。存储器330可以包括内部存储器(例如,RAM、ROM或硬盘驱动器)和/或可移动存储器(例如,经由通用串行总线连接可移动)。存储器330可以是非暂态计算机可读介质。存储器330存储与设备300的操作相关的信息、指令和/或软件(例如,一个或多个软件应用)。在一些实现中,存储器330包括诸如经由总线310耦接到一个或多个处理器(例如,处理器320)的一个或多个存储器。
输入组件340使得设备300能够接收输入,诸如用户输入和/或感测输入。例如,输入组件340可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位系统传感器、加速度计、陀螺仪和/或致动器。输出组件350使得设备300能够提供输出,诸如经由显示器、扬声器和/或发光二极管。通信组件360使得设备300能够经由有线连接和/或无线连接与其他设备通信。例如,通信组件360可以包括接收器、传输器、收发器、调制解调器、网络接口卡和/或天线。
设备300可以执行本文中所描述的一个或多个操作或过程。例如,非暂态计算机可读介质(例如,存储器330)可以存储由处理器320执行的指令集(例如,一个或多个指令或代码)。处理器320可以执行该指令集以执行本文中所描述的一个或多个操作或过程。在一些实现中,一个或多个处理器320对指令集的执行使一个或多个处理器320和/或设备300执行本文中所描述的一个或多个操作或过程。在一些实现中,硬连线电路系统可以代替指令或与指令相结合使用以执行本文中所描述的一个或多个操作或过程。另外地或备选地,处理器320可以被配置为执行本文中所描述的一个或多个操作或过程。因此,本文中所描述的实现不限于硬件电路系统与软件的任何特定组合。
图3所示的组件的数目和布置作为示例被提供。与图3所示的相比,设备300可以包括更多的组件、更少的组件、不同的组件、或者不同布置的组件。另外地或备选地,设备300的一组组件(例如,一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
图4是设备400的示例组件的示图。设备400可以对应于端点设备210和/或网络设备220。在一些实现中,端点设备210和/或网络设备220可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示,设备400可以包括一个或多个输入组件410-1至410-B(B≥1)(在下文中被统称为输入组件410,并且个体地称为输入组件410)、切换组件420、一个或多个输出组件430-1至430-C(C≥1)(在下文中被统称为输出组件430,并且个体地被称为输出组件430)、以及控制器440。
输入组件410可以是物理链路的一个或多个附接点,并且可以是传入业务(诸如,分组)的一个或多个入口点。输入组件410可以处理传入业务,诸如通过执行数据链路层封装或解封装。在一些实现中,输入组件410可以传输和/或接收分组。在一些实现中,输入组件410可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
切换组件420可以将输入组件410与输出组件430互连。在一些实现中,切换组件420可以经由一个或多个交叉开关、经由总线和/或通过共享存储器实现。共享存储器可以充当临时缓冲器以在来自输入组件410的分组最终被调度以用于传送到输出组件430之前存储该分组。在一些实现中,切换组件420可以使得输入组件410、输出组件430和/或控制器440能够彼此通信。
输出组件430可以存储分组并且可以调度分组以在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装、和/或各种更高级别的协议。在一些实现中,输出组件430可以传输分组和/或接收分组。在一些实现中,输出组件430可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以由同一组组件实现(例如,输入组件/输出组件可以是输入组件410与输出组件430的组合)。
控制器440包括例如以下形式的处理器:CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或其他类型的处理器。处理器以硬件、固件、或者硬件与软件的组合实现。在一些实现中,控制器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实现中,控制器440可以包括存储用于由控制器440使用的信息和/或指令的RAM、ROM和/或另一类型的动态或静态存储设备(例如,闪存、磁存储器、光学存储器等)。
在一些实现中,控制器440可以与连接到设备400的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息来创建路由表,可以基于路由表来创建转发表,并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表针对传入和/或传出分组执行路由查找。
控制器440可以执行本文中所描述的一个或多个过程。控制器440可以响应于执行由非暂态计算机可读介质存储的软件指令而执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备的存储器空间。
软件指令可以从另一计算机可读介质或经由通信接口从另一设备读入与控制器440相关联的存储器和/或存储组件。当被执行时,存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文中所描述的一个或多个过程。另外地或备选地,硬连线电路系统可以代替软件指令或与软件指令相结合使用以执行本文中所描述的一个或多个过程。因此,本文中所描述的实现不限于硬件电路系统与软件的任何特定组合。
图4所示的组件的数目和布置作为示例被提供。在实践中,与图4所示的相比,设备400可以包括更多的组件、更少的组件、不同的组件、或者不同布置的组件。另外地或备选地,设备400的一组组件(例如,一个或多个组件)可以执行被描述为由设备400的另一组组件执行的一个或多个功能。
图5是与经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务相关联的示例过程500的流程图。在一些实现中,图5的一个或多个过程框由网络设备(例如,网络设备220)执行。在一些实现中,图5的一个或多个过程框由与网络设备分离或包括网络设备的另一设备或一组设备执行,诸如端点设备(例如,端点设备210)。另外地或备选地,图5的一个或多个过程框可以由设备300的一个或多个组件执行,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;由设备400的一个或多个组件执行,诸如输入组件410、切换组件420、输出组件430和/或控制器440;和/或由另一设备的一个或多个组件执行。
如图5所示,过程500可以包括基于路由表来确定从网络设备到另一网络设备的多个路由路径,其中多个路由路径分别与多个安全分类(框510)。例如,网络设备可以基于路由表来确定从网络设备到另一网络设备的多个路由路径,其中多个路由路径分别与多个安全分类相关联,如上所述。在一些实现中,多个路由路径分别与多个安全分类相关联。
如图5进一步所示,过程500可以包括接收目的地为另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务(框520)。例如,网络设备可以接收目的地为另一网络设备且与多个安全分类中的特定安全分类相关联的网络业务,如上所述。
如图5进一步所示,过程500可以包括基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务(框530)。例如,网络设备可以基于多个路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务,如上所述。
过程500可以包括附加实现,诸如下面所描述的和/或与本文中的别处所描述的一个或多个其他过程相结合描述的任何单个实现或任何实现的组合。
在第一实现中,过程500包括在确定多个路由路径之前从另一网络设备接收一个或多个公告消息,其中一个或多个公告消息中的每个公告消息包括以下至少一项:标识另一网络设备的信息、标识另一网络设备的链路的信息、指示链路的至少一个成本度量的信息、或者指示链路与多个安全分类中的安全分类相关联的信息;并且基于一个或多个公告消息来更新路由表。
在第二实现中,单独地或与第一实现相结合,其中多个路由路径中的第一路由路径包括不利用认证且不利用加密的链路、利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路,并且多个路由路径中的第二路由路径包括利用认证而不利用加密的链路或利用认证且利用加密的链路中的至少一种链路,并且不包括不利用认证且不利用加密的链路。
在第三实现中,单独地或与第一实现和第二实现中的一个或多个实现相结合,其中多个路由路径中的第一路由路径包括与多个安全分类中的至少一个安全分类相关联的一组链路,并且多个路由路径中的第二路由路径包括与多个安全分类中的第一组安全分类中的至少一种安全分类相关联而不与多个安全分类中的第二组安全分类相关联的一组链路。
在第四实现中,单独地或与第一实现至第三实现中的一个或多个实现相结合,其中基于特定路由路径来转发网络业务用以使网络业务经由与相应安全级别大于或等于特定安全分类的安全级别的安全分类相关联的一个或多个链路从网络设备被传输到另一网络设备。
尽管图5示出了过程500的示例框,但是在一些实现中,与图5所示的相比,过程500包括更多的框、更少的框、不同的框、或者不同布置的框。另外地或备选地,过程500的框中的两个或更多个框可以并行执行。
图6是与经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务相关联的示例过程600的流程图。在一些实现中,图6的一个或多个过程框由网络设备(例如,网络设备220)执行。在一些实现中,图6的一个或多个过程框由与网络设备分离或包括网络设备的另一设备或一组设备执行,诸如端点设备(例如,端点设备210)。另外地或备选地,图6的一个或多个过程框可以由设备300的一个或多个组件执行,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;由设备400的一个或多个组件执行,诸如输入组件410、切换组件420、输出组件430和/或控制器440;和/或由另一设备的一个或多个组件执行。
如图6所示,过程600可以包括从另一网络设备接收第一公告消息、第二公告消息和第三公告消息(框610)。例如,网络设备可以从另一网络设备接收第一公告消息、第二公告消息和第三公告消息,如上所述。在一些实现中,第一公告消息包括指示另一网络设备的第一链路与第一安全分类相关联的信息,第二公告消息包括指示另一网络设备的第二链路与第二安全分类相关联的信息,并且第三公告消息包括指示另一网络设备的第三链路与第三安全分类相关联的信息。
如图6进一步所示,过程600可以包括基于第一公告消息、第二公告消息和第三公告消息来更新路由表(框620)。例如,网络设备可以基于第一公告消息、第二公告消息和第三公告消息来更新路由表,如上所述。
如图6进一步所示,过程600可以包括基于路由表来确定从网络设备到另一网络设备的与第一安全分类相关联的第一路由路径、从网络设备到另一网络设备的与第二安全分类相关联的第二路由路径、以及从网络设备到另一网络设备的与第三安全分类相关联的第三路由路径(框630)。例如,网络设备可以基于路由表来确定从网络设备到另一网络设备的与第一安全分类相关联的第一路由路径、从网络设备到另一网络设备的与第二安全分类相关联的第二路由路径、以及从网络设备到另一网络设备的与第三安全分类相关联的第三路由路径,如上所述。
如图6进一步所示,过程600可以包括接收目的地为另一网络设备且与第一安全分类、第二安全分类或第三安全分类中的特定安全分类相关联的网络业务(框640)。例如,网络设备可以接收目的地为另一网络设备且与第一安全分类、第二安全分类或第三安全分类中的特定安全分类相关联的网络业务,如上所述。
如图6进一步所示,过程600可以包括基于第一路由路径、第二路由路径或第三路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务(框650)。例如,网络设备可以基于第一路由路径、第二路由路径或第三路由路径中的与另一网络设备和特定安全分类相关联的特定路由路径来转发网络业务,如上所述。
过程600可以包括附加实现,诸如下面所描述的和/或与本文中的别处所描述的一个或多个其他过程相结合描述的任何单个实现或任何实现的组合。
在第一实现中,第一公告消息还包括如下至少一项:标识另一网络设备的信息、标识另一网络设备的第一链路的信息、或者指示第一链路的至少一个成本度量的信息,并且第二公告消息还包括如下至少一项:标识另一网络设备的信息、标识另一网络设备的第二链路的信息、或者指示第二链路的至少一个成本度量的信息,并且第三公告消息还包括如下至少一项:标识另一网络设备的信息、标识另一网络设备的第三链路的信息、或者指示第三链路的至少一个成本度量的信息。
在第二实现中,单独地或与第一实现相结合,第一安全分类与公共安全分类相关联,第二安全分类与私有安全分类相关联,并且第三安全分类与受限安全分类相关联。
在第三实现中,单独地或与第一实现和第二实现中的一个或多个实现相结合,另一网络设备的第一链路是不利用MACsec的链路,另一网络设备的第二链路是利用MACsec进行认证的链路,并且另一网络设备的第三链路是利用MACsec进行认证和加密的链路。
在第四实现中,单独地或与第一实现至第三实现中的一个或多个实现相结合,第一路由路径包括不利用MACsec的链路、利用MACsec进行认证的链路、或利用MACsec进行认证和加密的链路中的至少一种链路,第二路由路径包括利用MACsec进行认证的链路、或者利用MACsec进行认证和加密的链路中的至少一种链路,并且不包括不利用MACsec的链路,并且第三路由路径包括利用MACsec进行认证和加密的链路,并且不包括不利用MACsec的链路以及利用MACsec进行认证的链路。
在第五实现中,单独地或与第一实现至第四实现中的一个或多个实现相结合,确定第一路由路径、第二路由路径和第三路由路径包括基于路由表来标识与第一安全分类、第二安全分类或第三安全分类中的至少一种安全分类相关联的第一组链路;基于第一组链路使用路径计算技术确定第一路由路径;基于路由表来标识与第二安全分类或第三安全分类中的至少一种安全分类相关联的第二组链路;基于第二组链路并使用路径计算技术来确定第二路由路径;基于路由表来标识与第三安全分类相关联的第三组链路;以及基于第三组链路并使用路径计算技术来确定第三路由路径。
在第六实现中,单独地或与第一实现至第五实现中的一个或多个实现相结合,转发网络业务包括处理网络业务以确定网络业务的目的地为另一网络设备且网络业务与特定安全分类相关联;基于标识另一网络设备和特定安全分类的信息来选择与另一网络设备和特定安全分类相关联的特定路由路径;基于特定路由路径来确定网络业务的下一跳;以及向下一跳转发网络业务。
在第七实现中,单独地或与第一实现至第六实现中的一个或多个实现相结合,基于特定路由路径来转发网络业务用以使网络业务经由与相应安全级别大于或等于特定安全分类的安全级别的安全分类相关联的一个或多个链路从网络设备被传输到另一网络设备。
在第八实现中,单独地或与第一实现至第七实现中的一个或多个实现相结合,第一路由路径包括不利用认证且不利用加密的链路、利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路;第二路由路径包括利用认证而不利用加密的链路、或者利用认证和加密的链路中的至少一种链路,并且不包括不利用认证且不利用加密的链路;以及第三路由路径包括利用认证和加密的链路,并且不包括不利用认证且不利用加密的链路以及利用认证而不利用加密的链路。
在第九实现中,单独地或与第一实现至第八实现中的一个或多个实现相结合,第一路由路径包括与第一安全分类、第二安全分类、第三安全分类中的至少一种安全分类相关联的一组链路;第二路由路径包括与第二安全分类或第三安全分类中的至少一种安全分类相关联而不与第一安全分类相关联的一组链路;以及第三路由路径包括与第三安全分类相关联而不与第一安全分类和第二安全分类相关联的一组链路。
在第十实现中,单独地或与第一实现至第九实现中的一个或多个实现相结合,转发网络业务包括处理网络业务以确定网络业务的目的地为另一网络设备且网络业务与特定安全分类相关联;基于标识另一网络设备和特定安全分类的信息来选择与另一网络设备和特定安全分类相关联的特定路由路径;以及向由特定路由路径指示的下一跳转发网络业务。
尽管图6示出了过程600的示例框,但是在一些实现中,与图5所示的相比,过程600包括更多的框、更少的框、不同的框、或者不同布置的框。另外地或备选地,过程600的框中的两个或更多个框可以并行执行。
前述公开提供了说明和描述,而非旨在穷举或将实现限制为所公开的精确形式。可以根据上述公开进行修改和变化,也可以从实现的实践中获取修改和变化。
如本文中所使用的,网络业务可以包括一组分组。分组可以是指用于传送信息的通信结构,诸如协议数据单元(PDU)、服务数据单元(SDU)、网络分组、数据报、段、消息、块、帧(例如,以太网帧)、前述各项中的任何项的一部分、和/或能够经由网络传输的另一类型的格式化或未格式化的数据单元。
如本文中所使用的,术语“组件”旨在被广义地解释为硬件、固件、或者硬件与软件的组合。显然,本文中所描述的系统和/或方法可以以不同形式的硬件、固件和/或硬件与软件的组合实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。因此,系统和/或方法的操作和行为在本文中在没有参考特定软件代码的情况下描述——应当理解,软件和硬件可以用于基于本文的描述来实现系统和/或方法。
即使在权利要求中记载和/或在说明书中公开了特定特征组合,这些组合也不旨在限制各种实现的公开。事实上,这些特征中的许多特征可以以在权利要求中未具体记载和/或在说明书中未公开的方式组合。尽管下面所列出的每个从属权利要求可以直接仅从属于一个权利要求,但是各种实现的公开包括每个从属权利要求与权利要求集中的每个其他权利要求的组合。如本文中所使用的,提及项目列表中的“至少一个”的短语是指这些项目的任何组合,包括单个成员。例如,“a、b或c中的至少一个”旨在涵盖a、b、c、a-b、a-c、b-c和a-b-c、以及这些项目中的多个的任何组合。
本文中所使用的任何元素、动作或指令均不应被解释为关键或必要的,除非如此明确地说明。而且,如本文中所使用的,冠词“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文中所使用的,冠词“该”旨在包括与冠词“该”相结合引用的一个或多个项目,并且可以与“该一个或多个”互换使用。此外,如本文中所使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、或者相关和不相关项目的组合),并且可以与“一个或多个”互换使用。如果仅旨在一个项目,则使用短语“仅一个”或类似语言。此外,如本文中所使用的,术语“有”、“带有”、“具有”等旨在是开放式术语。此外,除非另有明确地说明,否则短语“基于”旨在表示“至少部分地基于”。而且,如本文中所使用的,除非另有明确地说明(例如,如果与“任一个”或“……中的仅一个”相结合使用),否则术语“或”在以一系列形式使用时旨在是包括性的并可以与“和/或”互换使用。

Claims (20)

1.一种网络设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
从另一网络设备接收第一消息、第二消息和第三消息,其中:
所述第一消息包括指示所述另一网络设备的第一链路与第一安全分类相关联的信息,
所述第二消息包括指示所述另一网络设备的第二链路与第二安全分类相关联的信息,以及
所述第三消息包括指示所述另一网络设备的第三链路与第三安全分类相关联的信息;
基于所述第一消息、所述第二消息和所述第三消息更新路由表;
基于所述路由表,确定从所述网络设备到所述另一网络设备的与所述第一安全分类相关联的第一路由路径、从所述网络设备到所述另一网络设备的与所述第二安全分类相关联的第二路由路径、以及从所述网络设备到所述另一网络设备的与所述第三安全分类相关联的第三路由路径;
接收目的地为所述另一网络设备且与所述第一安全分类、所述第二安全分类或所述第三安全分类中的特定安全分类相关联的网络业务;以及
基于所述第一路由路径、所述第二路由路径或所述第三路由路径中的与所述另一网络设备和所述特定安全分类相关联的特定路由路径,转发所述网络业务。
2.根据权利要求1所述的网络设备,其中:
所述第一消息还包括标识所述另一网络设备的信息、标识所述另一网络设备的所述第一链路的信息、或者指示所述第一链路的至少一个成本度量的信息中的至少一种信息;
所述第二消息还包括标识所述另一网络设备的信息、标识所述另一网络设备的所述第二链路的信息、或者指示所述第二链路的至少一个成本度量的信息中的至少一种信息;以及
所述第三消息还包括标识所述另一网络设备的信息、标识所述另一网络设备的所述第三链路的信息、或者指示所述第三链路的至少一个成本度量的信息中的至少一种信息。
3.根据权利要求1所述的网络设备,其中:
所述第一安全分类与公共安全分类相关联;
所述第二安全分类与私有安全分类相关联;以及
所述第三安全分类与受限安全分类相关联。
4.根据权利要求1所述的网络设备,其中:
所述另一网络设备的所述第一链路是不利用媒体访问控制安全MACsec的链路;
所述另一网络设备的所述第二链路是利用MACsec进行认证的链路;以及
所述另一网络设备的所述第三链路是利用MACsec进行认证和加密的链路。
5.根据权利要求1所述的网络设备,其中:
所述第一路由路径包括不利用媒体访问控制安全MACsec的链路、利用MACsec进行认证的链路、或者利用MACsec进行认证和加密的链路中的至少一种链路;
所述第二路由路径包括利用MACsec进行认证的链路、或者利用MACsec进行认证和加密的链路中的至少一种链路,并且不包括不利用MACsec的链路;以及
所述第三路由路径包括利用MACsec进行认证和加密的链路,并且不包括不利用MACsec的链路以及利用MACsec进行认证的链路。
6.根据权利要求1所述的网络设备,其中为了确定所述第一路由路径、所述第二路由路径和所述第三路由路径,所述一个或多个处理器用以:
基于所述路由表,标识第一组链路,所述第一组链路与所述第一安全分类、所述第二安全分类或所述第三安全分类中的至少一种安全分类相关联;
基于所述第一组链路并使用路径计算技术,确定所述第一路由路径;
基于所述路由表,标识第二组链路,所述第二组链路与所述第二安全分类或所述第三安全分类中的至少一种安全分类相关联;
基于所述第二组链路并使用所述路径计算技术,确定所述第二路由路径;
基于所述路由表,标识第三组链路,所述第三组链路与所述第三安全分类相关联;以及
基于所述第三组链路并使用所述路径计算技术,确定所述第三路由路径。
7.根据权利要求1所述的网络设备,其中为了转发所述网络业务,所述一个或多个处理器用以:
处理所述网络业务以确定所述网络业务的目的地为所述另一网络设备且所述网络业务与所述特定安全分类相关联;
基于标识所述另一网络设备和所述特定安全分类的信息,选择与所述另一网络设备和所述特定安全分类相关联的所述特定路由路径;
基于所述特定路由路径,确定针对所述网络业务的下一跳;以及
向所述下一跳转发所述网络业务。
8.根据权利要求1所述的网络设备,其中基于所述特定路由路径来转发所述网络业务用以使所述网络业务经由与相应安全级别大于或等于所述特定安全分类的安全级别的安全分类相关联的一个或多个链路从所述网络设备被传输到所述另一网络设备。
9.一种存储指令集的非暂态计算机可读介质,所述指令集包括:
在由网络设备的一个或多个处理器执行时使所述网络设备进行以下操作的一个或多个指令:
基于路由表,确定从所述网络设备到另一网络设备的与第一安全分类相关联的第一路由路径;
基于所述路由表,确定从所述网络设备到所述另一网络设备的与第二安全分类相关联的第二路由路径;
基于所述路由表,确定从所述网络设备到所述另一网络设备的与第三安全分类相关联的第三路由路径;
接收目的地为所述另一网络设备且与所述第一安全分类、所述第二安全分类或所述第三安全分类中的特定安全分类相关联的网络业务;以及
基于所述第一路由路径、所述第二路由路径或所述第三路由路径中的与所述另一网络设备和所述特定安全分类相关联的特定路由路径,转发所述网络业务。
10.根据权利要求9所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述网络设备:
在确定所述第一路由路径、所述第二路由路径和所述第三路由路径之前,从所述另一网络设备接收一个或多个消息,
其中所述一个或多个消息中的每个消息包括以下至少一项:
标识所述另一网络设备的信息;
标识所述另一网络设备的链路的信息;
指示所述链路的至少一个成本度量的信息;或者
指示所述链路与所述第一安全分类、所述第二安全分类或所述第三安全分类中的安全分类相关联的信息。
11.根据权利要求10所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述网络设备:
基于所述一个或多个消息,更新所述路由表。
12.根据权利要求9所述的非暂态计算机可读介质,其中:
所述第一路由路径包括不利用认证且不利用加密的链路、利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路;
所述第二路由路径包括利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路,并且不包括不利用认证且不利用加密的链路;以及
所述第三路由路径包括利用认证且利用加密的链路,并且不包括不利用认证且不利用加密的链路以及利用认证而不利用加密的链路。
13.根据权利要求9所述的非暂态计算机可读介质,其中:
所述第一路由路径包括与所述第一安全分类、所述第二安全分类或所述第三安全分类中的至少一种安全分类相关联的一组链路;
所述第二路由路径包括与所述第二安全分类或所述第三安全分类中的至少一种安全分类相关联而不与所述第一安全分类相关联的一组链路;以及
所述第三路由路径包括与所述第三安全分类相关联而不与所述第一安全分类和所述第二安全分类相关联的一组链路。
14.根据权利要求9所述的非暂态计算机可读介质,其中使所述网络设备转发所述网络业务的所述一个或多个指令使所述网络设备:
处理所述网络业务以确定所述网络业务的目的地为所述另一网络设备且所述网络业务与所述特定安全分类相关联;
基于标识所述另一网络设备和所述特定安全分类的信息,选择与所述另一网络设备和所述特定安全分类相关联的所述特定路由路径;以及
向由所述特定路由路径指示的下一跳转发所述网络业务。
15.根据权利要求9所述的非暂态计算机可读介质,其中基于所述特定路由路径来转发所述网络业务用以使所述网络业务经由与相应安全级别大于或等于所述特定安全分类的安全级别的安全分类相关联的一个或多个链路从所述网络设备被传输到所述另一网络设备。
16.一种方法,包括:
由网络设备基于路由表来确定从所述网络设备到另一网络设备的多个路由路径,
其中所述多个路由路径分别与多个安全分类相关联;
由所述网络设备接收目的地为所述另一网络设备且与所述多个安全分类中的特定安全分类相关联的网络业务;以及
由所述网络设备基于所述多个路由路径中的与所述另一网络设备和所述特定安全分类相关联的特定路由路径来转发所述网络业务。
17.根据权利要求16所述的方法,还包括:
在确定所述多个路由路径之前,从所述另一网络设备接收一个或多个消息,
其中所述一个或多个消息中的每个消息包括以下至少一项:
标识所述另一网络设备的信息,
标识所述另一网络设备的链路的信息,
指示所述链路的至少一个成本度量的信息,或者
指示所述链路与所述多个安全分类中的安全分类相关联的信息;以及
基于所述一个或多个消息,更新所述路由表。
18.根据权利要求16所述的方法,其中:
所述多个路由路径中的第一路由路径包括不利用认证且不利用加密的链路、利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路;以及
所述多个路由路径中的第二路由路径包括利用认证而不利用加密的链路、或者利用认证且利用加密的链路中的至少一种链路,并且不包括不利用认证且不利用加密的链路。
19.根据权利要求16所述的方法,其中:
所述多个路由路径中的第一路由路径包括与所述多个安全分类中的至少一个安全分类相关联的一组链路;以及
所述多个路由路径中的第二路由路径包括与所述多个安全分类中的第一组安全分类中的至少一个安全分类相关联而不与所述多个安全分类中的第二组安全分类相关联的一组链路。
20.根据权利要求16所述的方法,其中基于所述特定路由路径来转发所述网络业务用以使所述网络业务经由与相应安全级别大于或等于所述特定安全分类的安全级别的安全分类相关联的一个或多个链路从所述网络设备被传输到所述另一网络设备。
CN202210117853.8A 2021-12-08 2022-02-08 经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务 Pending CN116248572A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/643,246 US11968232B2 (en) 2021-12-08 2021-12-08 Forwarding network traffic associated with a security classification via a routing path associated with the security classification
US17/643,246 2021-12-08

Publications (1)

Publication Number Publication Date
CN116248572A true CN116248572A (zh) 2023-06-09

Family

ID=80683115

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210117853.8A Pending CN116248572A (zh) 2021-12-08 2022-02-08 经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务

Country Status (3)

Country Link
US (1) US11968232B2 (zh)
EP (1) EP4195592A1 (zh)
CN (1) CN116248572A (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352729B2 (en) * 2008-07-29 2013-01-08 International Business Machines Corporation Secure application routing
WO2014143025A1 (en) * 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Secure path determination between devices
EP2797267B1 (en) * 2013-04-26 2016-07-27 Airbus Defence and Space Limited Routing data within a communications network
US11411876B2 (en) * 2020-11-30 2022-08-09 Cisco Technology, Inc. Optimizing segment routing paths using segment identifiers
CN113347095B (zh) 2021-08-02 2021-11-05 中国人民解放军国防科技大学 基于分段路由技术的规避路由路径选择方法及装置

Also Published As

Publication number Publication date
US11968232B2 (en) 2024-04-23
US20230179633A1 (en) 2023-06-08
EP4195592A1 (en) 2023-06-14

Similar Documents

Publication Publication Date Title
US11671322B2 (en) Configuration of a network using a flex-algorithm routing mechanism
EP4195591A1 (en) Using zones based on entry points and exit points of a network device to apply a security policy to network traffic
US11968232B2 (en) Forwarding network traffic associated with a security classification via a routing path associated with the security classification
US12068917B2 (en) Configuration of a network using a flex-algorithm routing mechanism
CN113630242A (zh) 使用数据平面反馈促进无损安全密钥翻转
CN114172836B (zh) 用于路由反射的路由反射器、计算机可读介质和方法
US11411866B1 (en) Supporting multiple segment routing traffic engineering algorithms
US20220060413A1 (en) Utilizing flex-algorithms with route reflection
US11770331B1 (en) Encoding forwarding policy data in multiprotocol label switching (MPLS) labels
US11032203B2 (en) Providing predictable quality of service traffic steering
US11902144B1 (en) Preserving consistency of redundant border gateway protocol link state topology information
CN115022234B (zh) 有冗余转发组件的网络设备的硬件辅助快速数据路径切换
US20240098026A1 (en) Load balancing of assisted replication network devices
US11949560B1 (en) Dynamic creation of overlay network slices using border gateway protocol flow specifications
US11777847B1 (en) Point-to-multipoint transport chain
EP4373036A1 (en) Inter-subnet multicast traffic forwarding using supplemental bridge domain (sbd)
US20240171500A1 (en) Inter-subnet multicast traffic forwarding using supplemental bridge domain (sbd)
CN118740800A (zh) 与网络设备的接口相关联的数据结构
CN117081766A (zh) 利用可移除量子随机数生成器以用于网络设备
CN117097667A (zh) 保护多协议标签交换(mpls)有效负载
CN117081767A (zh) 删除过时的或未使用的密钥以保证零分组丢失
CN117353967A (zh) 基于系统资源利用率来调整安全策略
CN116170405A (zh) 引起或阻止对网络地址转换表的更新
CN117335964A (zh) 连接关联密钥的自动生成和更新
CN118631729A (zh) 资源预留协议资源通知消息

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination