CN116938809A - 接入交换机中的角色信息传播 - Google Patents
接入交换机中的角色信息传播 Download PDFInfo
- Publication number
- CN116938809A CN116938809A CN202211313650.2A CN202211313650A CN116938809A CN 116938809 A CN116938809 A CN 116938809A CN 202211313650 A CN202211313650 A CN 202211313650A CN 116938809 A CN116938809 A CN 116938809A
- Authority
- CN
- China
- Prior art keywords
- host device
- switch
- network
- network switch
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims description 39
- 238000013507 mapping Methods 0.000 claims description 23
- 239000010410 layer Substances 0.000 description 38
- 238000004891 communication Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 230000007704 transition Effects 0.000 description 7
- 239000012792 core layer Substances 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 230000017702 response to host Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L2012/4629—LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
接入交换机中的角色信息传播。在示例中,交换机可以从与连接到交换机的第一无线接入点(WAP)相关联的主机处接收认证请求。交换机充当基于边界网关协议(BGP)以太网虚拟专用网络(EVPN)的虚拟可扩展局域网(VXLAN)中的VXLAN隧道端点(VTEP)。交换机向认证服务器转发认证请求,并且在主机成功认证时,可以基于来自认证服务器的认证响应来将角色信息与主机相关联。此外,交换机可以创建BGP扩展团体字段,该BGP扩展团体字段携带指示针对主机实现的网络策略的角色标识符,以及该交换机将路由通告附加到BGP扩展团体字段。然后,该交换机向另一交换机发送路由通告。另一交换机被配置作为VXLAN中的对端VTEP。该交换机和另一交换机被配置在单个虚拟局域网(VLAN)中。
Description
背景技术
通信网络通常分离为三层,即,核心层、接入层和分发层。核心层向位于分发层和接入层中的网络设备(诸如交换机和路由器)提供高速通信能力。接入层向主机设备提供通信能力。分发层充当核心层与接入层之间的接口。它管理路由、过滤和通信网络的服务质量(QoS)策略。
通信网络拓扑可以布置有连接交换机的物理链路。多个物理链接的交换机可以形成局域网(LAN)。这种LAN的集合可以形成网络接入层。接入层中的交换机可以被连接到一个或多个无线接入点(WAP)。WAP可以用作无线主机设备的接入点。
附图说明
为了更完整地理解本公开,结合附图参考以下详细描述可以更容易地理解根据本文所述的各种特征的示例,其中相同的附图标记表示相同的结构元件,以及其中:
图1A示意性地图示了根据示例的实现用于角色信息传播的有线网络交换机的计算网络;
图1B是根据示例的用于角色信息传播的示例网络交换机的框图;
图1C示意性地图示了根据示例的用于角色信息传播的边界网关协议(BGP)扩展团体字段;
图2是图示了根据示例的用于角色信息传播的方法的流程图;
图3A和图3B是图示了根据示例的用于角色信息传播的另一方法的流程图;以及
图4图示了根据示例的用于实现角色信息传播方法的计算设备。
某些示例具有除上述附图中所示的特征之外或代替上述附图中所示的特征的特征。为了清楚起见,某些标号可以从某些图中省略。
具体实施方式
诸如校园区域网络(CAN)的通信网络部署可以包括局域网(LAN)与连接到LAN交换机的无线接入点(WAP)的互连。交换机可以通过物理链路被连接到WAP。它们可以起到针对WAP的网络连接点的作用。接入层中的交换机,也称为接入交换机,可以被连接到一个或多个WAP。每个WAP可以服务于特定范围内的无线主机设备(诸如膝上型计算机和蜂窝电话)。例如,WAP可以服务于部署了CAN的校园建筑物的特定楼层。在建筑物的不同楼层之间移动的主机设备可以在服务于不同楼层的WAP之间转换或漫游以保持连通性。
在一些示例中,为了实现网络内主机设备的无缝移动,WAP采用快速漫游技术。快速漫游可以允许移动主机设备在网络中四处移动而不从网络中断开连接或掉线。快速漫游技术可以帮助主机设备漫游到新的WAP而无需重新认证。为了避免主机重新认证,相同接入层中的WAP可以共享主机设备认证信息。
在WAP之间共享的主机设备信息可以包括网络前缀和IP地址。为了安全地共享这些信息,接入交换机通常形成虚拟可扩展局域网(VXLAN),该虚拟可扩展局域网使用以太网虚拟专用网(EVPN)来交换控制平面信息。控制平面信息包括交换机路由表中限定对传入分组做什么的信息。VXLAN是使用封装技术将开放系统互连(OSI)第2层以太网帧封装在第4层用户数据报协议(UDP)数据报内的网络虚拟化技术。终止VXLAN隧道并且可以是虚拟或物理交换机端口的VXLAN端点被称为VXLAN隧道端点(VTEP)。EVPN基于边界网关协议(BGP),边界网关协议允许以网络层可达性信息(NLRI)的形式共享网络前缀和IP地址。接入交换机充当VTEP,还被称为VXLAN对端体,其交换BGP EVPN更新消息以在它们之间共享NLRI。NLRI的交换允许VXLAN中的接入交换机获知哪个主机设备经由哪个WAP被连接到哪个接入交换机,并且相应地转发数据。
然而,连接到网络的不同主机设备可以根据它们的角色信息而受限于不同的网络策略。网络策略可以包括限定哪些主机设备被授权连接到网络的规则、许可、条件和设置,以及不同主机设备被允许连接到网络的情况。角色信息指示主机设备用户的组或类别。可以基于这种角色信息来确定应用于每个主机设备的网络策略。角色的示例可包括访客、学生、雇员、销售、领导等。应用于这些角色的网络策略的示例可以包括各种条件。例如,“访客”蜂窝电话可以不允许使用办公室网络超过一个小时。作为另一示例,“学生”主机可以被阻止访问某些URL。利用在接入交换机中实现的BGP EVPN VXLAN,尽管在接入交换机之间共享了主机设备NLRI,但是接入交换机仍然不知道主机设备角色信息。这对实现基于角色的网络策略提出了挑战,特别是在第一WAP和第二WAP被连接到两个不同的接入交换机的情况下,主机设备从第一WAP漫游到第二WAP时。
在主机设备首次连接到网络时,第一WAP可以接收角色信息。这是因为角色信息可以在认证期间被提供给WAP。例如,WAP可以充当诸如远程认证拨入用户服务(RADIUS)或通过安全传输层(TLS)的RADIUS的认证服务的代理。然而,在主机设备在相同接入层中从第一WAP漫游到第二WAP时,WAP所连接的第二接入交换机可能不知道主机设备的角色。接入交换机通常不在它们之间共享主机设备角色信息。因此,尽管主机设备可以由于快速漫游而在第一WAP与第二WAP之间无缝地转换,并且数据可以由于NLRI共享而通过第二WAP被正确地路由,但是第二接入交换机可能不能实现基于角色的网络策略。如果在第二接入交换机处没有适当地实现网络策略,则可能不能正确地应用与主机设备交换数据的条件。这可以影响整体网络性能、吞吐量以及安全性。这还可以使网络节点处于脆弱或过载的情况。这可以导致影响服务可用性的安全威胁或故障。
本公开描述了在BGP更新消息通告内并入主机设备角色信息以在VXLAN网络中的接入交换机之间共享该角色信息的技术。因此,当在接入交换机之间共享BGP更新消息通告时,该接入交换机还接收与特定主机设备相关联的角色信息。这允许角色信息在接入交换机之间被分发。接入交换机可以基于角色信息来实现网络策略。这允许主机设备在网络交换机之间无缝漫游,同时保持角色适当的网络策略。此外,使用BGP EVPN基础设施来传送角色信息避免了产生与新角色信息通信协议相关联的开销。这可以帮助移除可扩展性的障碍。
在示例中描述了网络交换机。网络交换机(也被称为交换机)包括处理器和包括指令的非暂态计算机可读介质,在由处理器执行该指令时使得交换机从与连接到交换机的第一WAP相关联的主机设备处接收认证请求消息。交换机可以被配置作为基于BGP EVPN的VXLAN中的VTEP。在VXLAN中,可以有被配置作为对端(peer)VTEP的其他交换机。交换机可以被配置在单个虚拟局域网(VLAN)中,以允许主机设备在连接到这些交换机的WAP之间快速漫游。交换机向认证服务器(诸如RADIUS服务器)转发认证请求消息。响应于主机设备的成功认证,交换机基于来自认证服务器的认证响应消息来将角色信息与主机设备相关联。交换机基于角色信息在主机设备的路由通告消息中添加角色标识符。路由通告消息指示主机设备的互联网协议(IP)地址与主机设备的媒体访问控制(MAC)地址之间的映射。在示例中,为了添加角色标识符,交换机创建BGP扩展团体字段,该BGP扩展团体字段携带指示针对主机设备实现的网络策略的角色标识符,并且该交换机将BGP扩展团体字段附加到路由通告消息中。然后,交换机向另一交换机发送路由通告消息,并且在接收到路由通告消息时,其他交换机知道针对主机设备要被实现的网络接入策略。在主机设备从第一WAP转换到连接到其他交换机的第二WAP的情况下,其他交换机基于所接收的路由通告消息中的角色标识符来得知主机设备的角色信息。使用路由通告消息中的角色标识符,其他交换机可以配置其数据平面以执行针对该主机设备的网络策略,并且可以相应地向/从与第二WAP相关联的主机设备转发业务。因此,主机设备的角色信息在交换机之间被传播,因此,即使主机设备漫游经过连接到不同接入交换机的WAP,交换机也可以基于主机设备的角色来实现网络策略。
所描述的系统和方法可以在通信网络中的接入层中实现网络交换机的功能的各种交换机中实现。尽管上文的描述是参考接入交换机的,但是该方法和所描述的技术可以在实现不同通信技术的其他类型的交换机中被实现(尽管有一些变化)。以下通过参考多个示例描述了本主题的各种实现。
参考图1A至图4进一步描述上述系统和方法。应当注意,说明书和附图仅说明了本主题的原理以及在本文中描述的示例,并且不应当被解释为对本主题的限制。因此,应当理解,尽管这里没有明确描述或示出,但是可以设计出体现本主题的原理的各种布置。此外,在本文中叙述本主题的原理、方面和实施例的所有陈述以及其具体示例旨在涵盖其等效物。
图1A示意性地图示了根据本主题的示例的计算网络100。例如,计算网络100可以是公共分布式环境、私有封闭计算环境等。计算网络100可以针对诸如企业、教育机构,政府实体、医疗保健机构或其他组织的组织来实现。该图示出了利用具有多个用户(或至少多个主机设备)的组织来实现的配置的示例。计算网络100可以在可以包括主网络的地理站点处被实现,例如,该主网络可以是办公室网络、家庭网络或其他网络设置。主网络可以是专用网络,诸如可以包括安全控制和接入控制以限制接入授权用户的专用网络。例如,授权用户可以包括在地理站点处的公司的雇员、住宅的居民、企业的客户,学校的学生等等。在示例中,计算网络100是校园区域网络(CAN)。
如图1所示,根据本主题的示例,计算网络100可以包括接入层A、分发层D以及核心层C。接入层A可以实现多个网络交换机,诸如交换机102-1、交换机102-2和交换机102-3。为了便于说明,交换机102-1、交换机102-2和交换机102-3在下文中通常被称为交换机102。此外,术语“网络交换机”和“交换机”在说明书中可互换使用。交换机102中的每个交换机可以提供彼此之间以及主机之间的连通性。交换机102中的每个交换机可以被实现为,但不限于,接入层交换单元、交换机路由器或能够在接入层A处交换数据分组并且提供分发层D中的设备与主机设备之间以及主机设备之间的连通性的任何设备。
每个交换机102可以连接到一个或多个WAP。如图1所示,交换机102-1被连接到WAP103-1,并且交换机102-2被连接到WAP103-2与103-3。WAP 103-1、WAP 103-2与103-3统称为WAP 103。在示例中,交换机102中的每个交换机可以是接入交换机,并且便于主机设备连接到计算网络100。交换机102中的每个交换机包括多个端口。在示例中,网络管理员可以将交换机102中的端口指定为网络端口或无线接入端口。网络端口充当交换机102与上层(诸如分发层D)中的网络设备之间的接口。无线接入端口充当交换机102与连接到交换机102的WAP 103之间的接口。
WAP 103作为接入针对无线主机设备(诸如主机设备110)的计算网络100的点的示例被包括在内。WAP 103可以控制主机设备110的网络接入,并且可以允许主机设备110的认证,用于连接到WAP103以及通过WAP 103连接到计算网络100内的其他设备。WAP 103可以使用交换机102和诸如RADIUS或RADSec服务器(未示出)的认证服务器来允许该认证。WAP 103中的每一者可以是被配置为向无线主机设备提供无线网络连通性的硬件、软件和/或固件的组合。在所说明的示例中,WAP 103可以在分布式WLAN架构中被实现,其中WAP 103提供独立的分布式智能,但是作为系统一起工作以协同地提供控制机制。
交换机102-1和102-2被配置在单个广播域中。广播域可以被理解为计算机网络的逻辑划分,其中所有节点可以通过在数据链路层处的广播而到达彼此。广播指将数据分组传输到网络上的每个设备。广播域可以在相同LAN段内,或者其可以被桥接到其他LAN段。在示例中,单个VLAN 120被配置在交换机102-1和102-2中。例如,可以为连接到WAP 103-1、103-2和103-3的交换机102-1和102-2中的每个交换机中的无线接入端口配置公共VLAN标识符。
分发层D包括网络设备104-1和104-2,用于管理接入层A和核心层C中的有线网络设备102之间的连通性。核心层C可以包括网络设备106-1和106-2。网络设备106-1和106-2的示例可以包括路由器、第3层交换机等。网络设备106-1和106-2将分发层和接入层中的设备与数据中心108连接。数据中心108可以与外部网络或互联网中的一个或多个设备连接。
现在转向图1B,示出了示例网络交换机150。交换机150可以类似于图1A所示的一个或多个交换机,诸如接入层A中的交换机102-1、交换机102-2和交换机102-3。交换机150可以包括可以通过通信链路(例如,总线)来相互耦合的处理器152和存储器154。处理器152可以包括单个或多个中央处理单元(CPU)或诸如网络ASIC的其他合适的(多个)硬件处理器。存储器154可以是可存储由处理器152执行的机器可读指令的机器可读存储介质。存储器154可以包括易失性和/或非易失性存储器的任何合适的组合,诸如随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器和/或其他合适的存储器的组合。
存储器154包括非暂态计算机可读介质,该非暂态计算机可读介质包括可以由处理器152执行的指令。存储器154存储要由处理器152执行的指令,该指令包括用于认证管理器156、角色管理器158和路由管理器160的指令。
处理器152可以执行认证管理器156以从与连接到网络交换机150的第一WAP相关联的主机设备处接收认证请求消息。在示例中,网络交换机150可以被配置作为基于BGPEVPN的VXLAN中的VTEP。在示例中,认证管理器156可以与诸如RADIUS/RADSec服务器的认证服务器进行通信,并且可以包括代理认证服务。在示例中,认证请求消息可以是源自主机设备的RADIUS接入请求。RADIUS接入请求可以包括接入凭证(诸如用户名和密码或由用户提供的安全证书)以及主机设备的网络地址。
处理器152可以执行认证管理器156以向认证服务器转发认证请求消息。基于接入凭证,认证服务器可以授权主机设备接入。在示例中,响应于主机设备的成功认证,认证服务器可以向网络交换机150中的认证管理器156发送认证响应消息。例如,认证响应消息可以是“RADIUS:接入接受(Access-Accept)”消息,指示对主机设备的网络接入许可。在示例中,认证服务器可以利用认证响应消息来返回主机设备的角色信息。主机设备的角色信息指示主机设备的用户连接到网络的目的或功能。基于主机设备的角色信息,在主机设备上应用用于接入的网络策略。
响应于主机设备的成功认证,处理器152可以执行角色管理器158以基于来自认证服务器的认证响应消息来将角色信息与主机设备相关联。将角色信息与主机设备相关联包括基于主机设备的角色在交换机150处实现网络策略。
此外,处理器152可以执行角色管理器160以基于角色信息在主机设备的路由通告消息中添加角色标识符。角色标识符指示针对主机设备实现的网络策略。在示例中,角色标识符是指示在认证时与主机设备相关联的角色的16位值。路由通告消息可以是指示主机设备的互联网协议(IP)地址与主机设备的媒体访问控制(MAC)地址之间的映射的BGP EVPN类型2路由。例如,路由通告消息可以包括映射到主机设备的MAC地址的主机设备的IP地址以及地址解析协议(ARP)条目。BGP是路由协议,其基于路径、网络策略等做出动态路由决定,并且使得能够在通过BGP连接的网络设备(诸如交换机)之间交换路由和可达性信息。BGP可以使得通过VPN隧道连接的两个远程站点能够交换路由信息。EVPN可以使用多协议BGP(MP-BGP)机制,并且在第2层VPN地址族中限定新的诸如EVPN地址族的子地址族。在EVPN地址族中,可以添加EVPN网络层可达性信息(NLRI)。EVPN NLRI可以限定数个类型的BGP EVPN路由,该BGP EVPN路由携带诸如主机IP地址、MAC地址以及VXLAN网络标识符(VNI)的信息。在充当VTEP的交换机102获知所连接的主机的IP地址和MAC地址之后,VTEP可以通过BGP EVPN路由来将信息发送到其他交换机(VTEP)。这样,可以在基于BGP EVPN的VXLAN的控制平面中实现获知主机IP地址和MAC地址信息。因此,可以使用BGP EVPN路由来交换交换机102之间的控制平面信息。这种包括针对主机设备的MAC地址到IP地址映射的BGP EVPN路由被称为BGP EVPN类型2路由。
此外,处理器152可以执行角色管理器160以创建携带角色标识符的BGP扩展团体字段。在示例中,BGP团体包括共享公共属性的一组目的地。关于BGP团体的信息作为路径属性被包括在BGP更新消息中。BGP更新消息通常被用于在基于BGP EVPN的VXLAN中的VTEP之间交换NLRI。关于BGP团体的信息标识团体成员并且允许对目的地组执行动作。BGP扩展团体字段可以是厂商特定的或供应商特定的。
处理器152可以执行角色管理器158以将BGP扩展团体字段附加到路由通告消息。路由通告消息可以是指示主机设备的互联网协议(IP)地址与主机设备的媒体访问控制(MAC)地址之间的映射的BGP EVPN类型2路由。在示例中,附加BGP扩展团体字段可以包括标记在VXLAN中的BGP EVPN对端体之间共享的BGP EVPN类型2路由中的属性。
此外,处理器152可以执行路由管理器160以向另一网络交换机发送路由通告消息。另一网络交换机被配置作为VXLAN中的对端VTEP。在接收到路由通告消息时,其他交换机知道针对主机设备要被实现的网络接入策略。网络交换机和另一网络交换机被配置在单个虚拟局域网(VLAN)中。
再次转向图1A,主机设备110可以向WAP 103-1发送认证请求消息以接入网络100。主机设备110可以是具有与WAP连接的能力的无线主机设备。主机设备110的示例可以包括膝上型计算机、智能电话、平板计算机等。WAP 103-1可以将认证请求转发到交换机102-1。在示例中,交换机102-1可以与认证服务器(未示出)交互以处理认证请求消息。认证请求可以包括诸如主机设备的用户名和密码的接入凭证。
基于接入凭证,诸如RADIUS的认证服务器可以验证主机设备的身份并且授权针对主机设备的网络接入。在示例中,交换机102-1中的认证管理器156可以包括认证客户端代理服务,该认证客户端代理服务可以从主机设备110向认证服务器(未示出)转发认证请求。认证服务器可以维护用户配置文件的中央数据库。认证服务器将用户凭证与用户配置文件的数据库进行匹配。如果存在匹配,则认证服务器可以检查与用户相关联的角色信息。角色信息指示连接到网络的主机设备的用户的组/类别,基于该组/类别确定用户的网络接入策略或用户配置文件。认证服务器可以发送指示主机设备110成功认证的认证响应消息。认证响应消息可以包括主机设备110的用户的角色信息。
响应于主机设备110的成功认证,交换机102-1可以基于来自认证服务器的认证响应消息将角色信息与主机设备相关联。在示例中,交换机102-1的角色管理器158可以基于主机设备110的角色信息来配置交换机102-1的数据平面以转发数据,从而将角色信息与主机设备110相关联。数据平面(也称为转发平面)可以包括承载用户流量的交换机中的硬件和软件的组合。数据平面允许去往和来自客户端的数据传输、通过多个协议处理多个会话以及管理与远程对端体的会话。
由于交换机102-1接收来自认证服务器的认证响应消息,以及交换机102-1中的认证管理器156包括认证客户端代理服务,因此交换机102-1在接收到认证响应消息时得知主机设备110的角色信息。在示例中,交换机102-1的角色管理器158可以创建主机设备的MAC与来自认证响应消息的角色信息(例如“访客”)之间的映射。在示例中,角色标识符是指示主机设备的角色信息的16位数值。角色管理器158可以从角色标识符表中获取与主机设备的角色信息相对应的角色标识符。角色标识符表可以包括角色信息到角色标识符的映射。在示例中,角色标识符表可以被存储在交换机102-1中,并且可以由网络管理员预先限定。
此外,角色管理器158可以创建携带角色标识符的BGP扩展团体字段。在示例中,BGP扩展团体字段被标记作为路由通告消息(诸如EVPN类型2消息)的属性,该路由通告消息在VXLAN中的BGP EVPN对端体之间发布NLRI。如图1C所示,在示例中,BGP扩展分区是4个八位字节值,其可以被划分为三个主要部分。BGP扩展团体字段的第一八位字节编码类型字段,第二八位字节编码子类型字段,而最后两个八位字节以由类型字段和子类型字段所限定的格式来携带唯一的数据集。
在示例中,BGP扩展团体字段是不透明团体字段。在示例中,角色管理器158将BGP扩展团体字段的类型限定为(0*43),指示团体字段是扩展团体,以及将BGP扩展团体字段的子类型限定为(0*03),指示其是不透明字段。不透明字段指示被分类在该团体内的成员被允许读取团体字段中的信息,而不能识别BGP扩展团体字段的团体的非成员被配置为忽略BGP扩展团体字段并且将分组转发到其下一跳。在示例中,团体的成员包括由特定原始设备制造商(OEM)制造的交换机。来自转发从交换机102-1处接收的消息的其他OEM的交换机可能不能读取扩展团体字段,并且由于BGP扩展团体字段是不透明的,因此这样的交换机被配置为忽略该字段并将分组转发到其下一跳或目的地。在示例中,BGP扩展团体字段是非传递团体字段,即该字段在超出自治系统(AS)的边界时是不可应用的。此外,交换机102-1的角色管理器158将路由通告消息附加到BGP扩展团体字段中。
交换机102-1的路由管理器160随后向另一网络交换机发送路由通告消息。在示例中,交换机102-1在VLAN 120中广播路由通告消息。由于交换机102-2是VLAN 120的部分,因此其接收所广播的路由通告消息,该路由通告消息包括携带角色标识符的BGP扩展团体字段。在接收到路由通告消息时,其他网络交换机知道针对主机设备要被实现的网络接入策略。
响应于接收到路由通告消息,交换机102-2可以基于角色标识符来创建主机媒体访问控制(MAC)地址到角色的映射。该MAC地址到角色的映射可以被存储在交换机102-2的交换表中。交换表通常包括主机设备的MAC地址和交换机端口,在该交换机端口上获知或静态配置MAC地址。响应于接收到路由通告消息,可以将MAC到角色的映射添加到交换机102-2的交换表中。通过在交换表中查找目的地MAC地址来转发帧。帧被发送到对应的交换机端口。
考虑主机设备110漫游出WAP 103-1的范围并且转换到WAP103-2的范围的情况,如箭头112所示。参考图1A,虚线所示的主机设备110描述了主机设备110从WAP 103-1漫游到WAP 103-2时的新位置。在示例中,主机设备110的用户可以从建筑物的一层移动到建筑物的另一层,这可以使主机设备110从WAP 103-1漫游到WAP103-2。一旦主机设备110从WAP103-1漫游到WAP 103-2,则主机设备110可以发送请求以与WAP 103-2相关联。在示例中,WAP 103-2可以认证主机设备110并与其相关联。在一些其他示例中,主机设备110可以使用快速漫游技术来漫游,一旦其漫游离开WAP 103-1的范围并转换到WAP 103-2的范围,它就可以立即与WAP 103-2相关联。快速漫游(也被称为IEEE 802.11r或快速BSS转换(FT))允许主机设备在实现WPA2企业安全的环境中很快的漫游,使得客户端设备每次从一个WAP漫游到另一WAP时不需要到认证服务器(诸如RADIUS服务器)重新认证。在示例中,在快速漫游的情况下,在主机设备110连接到WAP 103-1之后,WAP 103-1将主机设备110标识为针对广播域(诸如图1A的VLAN 120)中的所有WAP的经认证的设备。在主机设备漫游到新的WAP时,来自原始关联的信息被传递到新的WAP以向主机设备提供凭证。因此,新的WAP获知主机设备已经被认证服务器认可,因此不需要重复整个认证过程,这使得能够更快地/即时地与新的WAP相关联。
响应于主机设备110从WAP 103-1转换到连接到交换机102-2的WAP 103-2并且与WAP 103-2相关联,交换机102-2可以确定主机设备110本地连接到交换机102-2。本地连接到交换机的主机设备可以被理解为与连接到交换机的WAP相关联的主机设备。在示例中,交换机102-2可以扫描交换机102-2的无线接入端口,并且可以基于WAP 103-2获知的MAC来确定主机设备110本地连接到交换机102-2。响应于确定主机设备110本地连接到交换机102-2,交换机102-2可以将主机设备110的MAC地址与其交换表中的条目进行比较。如果存在匹配,则交换机102-2可以基于MAC地址到角色的映射来配置其数据平面,用于主机设备110的网络策略执行。因此,响应于主机设备110从WAP 103-1转换到103-2,可以在交换机102-2中实现与主机设备110的角色信息相关联的网络策略,因为主机设备110的角色信息已经被传播到交换机102-2。此外,在示例中,响应于主机设备110从WAP 103-2断开连接,交换机102-2可以从其数据平面中清除网络策略。因此,如果主机设备没有被本地附加到交换机102-2,则在存储网络策略时不消耗交换机102-2的数据平面的硬件空间。
图2是示出根据示例的用于交换机中的角色信息传播的方法200的流程图。方法200可以在诸如图1的计算环境100的接入层A中的交换机102-1的有线网络交换机上执行。
在框202处,交换机可以从与连接到交换机的第一WAP相关联的主机设备处接收认证请求消息。在示例中,交换机被配置作为基于BGP EVPN的VXLAN中的VTEP。该交换机可以是CAN的接入层中的多个交换机中的一个。多个交换机中的每一者可以被配置为执行框202的方法。主机设备可以发送认证请求以建立与网络的连接。
在框204处,交换机可将认证请求消息转发到诸如RADIUS服务器的认证服务器。在示例中,交换机可以充当代表主机设备转发和接收认证消息的认证代理服务。
在框206处,响应于主机设备的成功认证,交换机可以基于来自认证服务器的认证响应消息来将角色信息与主机设备相关联。在示例中,来自认证服务器的认证响应消息可以包括角色信息。
在框208处,交换机可以基于角色信息来在主机设备的路由通告消息中添加角色标识符。在示例中,交换机可以创建BGP扩展团体字段,该BGP扩展团体字段携带指示针对主机设备实现的网络策略的角色标识符,以及可以将BGP扩展团体字段附加到路由通告消息中。
在框210处,交换机可以向另一网络交换机发送路由通告消息,其中另一网络交换机被配置作为VXLAN中的对端VTEP。在示例中,网络交换机与另一网络交换机被配置在单个VLAN中。在接收到路由通告消息时,其他网络交换机知道针对主机设备要被实现的网络接入策略。
图3是示出根据示例的用于交换机中的角色信息传播的方法300的流程图。方法300可以在有线交换机,诸如图1的计算环境100的接入层A中的交换机102-1上执行。
考虑在网络的接入层中存在多个互连的交换机。在框302处,交换机可以从与连接到交换机的第一WAP相关联的主机设备处接收认证请求消息。在示例中,交换机可以与认证服务器(未示出)交互以处理认证请求消息。认证请求消息可以包括诸如主机设备的用户的用户名和密码的接入凭证。在框304处,交换机向认证服务器转发认证请求。
基于接入凭证,认证服务器(诸如RADIUS)可以验证主机设备的用户的身份以及针对主机设备的用户授权网络接入。在示例中,交换机可以包括认证客户端代理服务,该认证客户端代理服务可以从主机设备向认证服务器转发认证请求消息。认证服务器可以维护用户配置文件的中央数据库。认证服务器将用户凭证与用户配置文件的数据库进行匹配。如果存在匹配,则认证服务器可以检查与用户相关联的角色信息。角色信息指示连接到网络的主机设备的用户的组/类别,基于该组/类别来确定用户的网络接入策略或用户配置文件。认证服务器可以发送指示主机设备认证成功的认证响应消息。在框306处,交换机可以检查认证是否成功。在从认证服务器接收到指示认证成功的认证响应消息时,交换机可以确定认证已成功(来自框306的“是”分支)。在未接收到认证成功消息的情况下,交换机确定认证已失败(来自框306的“否”分支),并且可以在框308处继续检查来自其他主机设备的认证请求。
响应于主机设备的成功认证,交换机可以基于来自认证服务器的认证响应消息来将角色信息与主机设备相关联。因此,在框310处,交换机可以基于主机设备的角色来配置其数据平面,以处理去往/来自主机设备的数据,并且因此将角色信息与主机设备相关联。
由于交换机从认证服务器处接收认证响应消息,因此交换机知道被包括在认证响应消息中的角色信息。在框312处,交换机可以创建主机设备的MAC与来自认证响应消息的角色信息(例如“访客”)之间的映射。在示例中,角色标识符是指示主机设备的角色的16位数值。在框314处,交换机可以从角色标识符表中获取对应于主机设备角色信息的角色标识符。角色标识符表可以包括角色信息到角色标识符的映射。在示例中,角色标识符表可以被存储在交换机中,并且可以由网络管理员预先定义。
在框316处,交换机可以创建携带角色标识符的BGP扩展团体字段。在示例中,BGP扩展团体字段被标记为路由通告消息(诸如EVPN类型2消息)的属性,该路由通告消息在VXLAN中基于BGP EVPN的对端VTEP之间发布NLRI。在示例中,BGP扩展团体是可以被划分为三个主要部分的4个八位字节的值。BGP扩展团体字段的第一八位字节编码类型字段,第二八位字节编码子类型字段,而最后两个八位字节以由类型和子类型字段限定的格式来携带唯一的数据集。
在示例中,BGP扩展团体字段是不透明团体字段。在示例中,交换机将BGP扩展团体字段的类型限定为(0*43),指示团体字段是扩展团体,以及将BGP扩展团体字段的子类型限定为(0*03),指示其是不透明字段。不透明字段指示被分类在该团体内的成员被允许读取团体字段中的信息,而不能识别BGP扩展团体字段的团体的非成员被配置为忽略BGP扩展团体字段并且将分组转发到其下一跳。在示例中,团体的成员包括由特定原始设备制造商(OEM)制造的交换机。来自转发从交换机接收的消息的其他OEM的交换机可能不能读取扩展团体字段,并且由于BGP扩展团体字段是不透明的,因此这样的交换机忽略该字段并将分组转发到其下一跳。BGP扩展团体字段的示例在图1C中示出。然后,在框318处,交换机将BGP扩展团体字段附加到路由通告消息中。
在框320处,交换机在其广播域中广播路由通告消息。因此,相同广播域中的其他交换机接收具有BGP扩展团体字段的路由通告消息。在接收到路由通告消息时,其他网络交换机知道针对主机设备要被实现的网络接入策略。
图3B图示了由接收路由通告消息的另一交换机执行的方法300的步骤。参考图3B,在框322处,响应于接收到路由通告消息,广播域中的另一交换机基于角色标识符来创建主机媒体访问控制(MAC)地址到角色的映射。该MAC地址到角色的映射可以被存储在其他交换机的交换表中。交换表通常包括主机设备的MAC地址和交换机端口,在该交换机端口上获知或静态配置MAC地址。响应于接收到路由通告消息,可以将MAC到角色的映射添加到交换机102-2的交换表中。通过在交换表中查找目的地MAC地址来转发帧。帧被发送到相应的交换机端口。
考虑主机设备漫游出第一WAP的范围并且转换到连接到其他交换机的第二WAP的范围的情况。在示例中,主机设备的用户可以从建筑物的一层移动到建筑物的另一层,这可以使主机设备从第一WAP漫游到第二WAP。一旦主机设备从第一WAP漫游到第二WAP,主机设备可以发送请求以与第二WAP相关联。在示例中,第二WAP可以认证主机设备并且与其相关联。在一些其他示例中,主机设备可以使用快速漫游技术来漫游,并且一旦其漫游离开第一WAP的范围并且转换到第二WAP的范围,它就可以立即与第二WAP相关联。
在框324处,交换机可以扫描其无线接入端口。使用第二WAP获知的MAC,交换机可以检查主机设备的MAC地址是否与其无线接入端口中的一个所获知的任何MAC地址相匹配。如果存在匹配,则在框326,交换机可以确定主机设备本地连接到它。本地连接到交换机的主机设备可以理解为与连接到交换机的WAP相关联的主机设备。在框328处,响应于确定主机设备被本地连接到交换机,交换机可以将主机设备的MAC地址与其交换表中的条目进行比较。在框330处,响应于匹配成功,交换机可以基于MAC地址到角色的映射来配置其数据平面以用于主机设备的网络策略执行。因此,响应于主机设备从第一WAP转换到第二WAP,可以在其他交换机中实现与主机设备的角色信息相关联的网络策略。这是因为主机设备的角色信息已经与路由通告消息一起被传播到其他交换机。响应于主机设备从第一WAP漫游到第二WAP,其他交换机可以基于主机设备的角色信息来执行主机设备的网络策略,该主机设备的角色信息作为由其他交换机创建的MAC地址到角色映射的结果而获得。
图4是根据一个或多个所公开的示例实现的示例计算设备400,该示例计算设备400具有硬件处理器401以及存储在机器可读介质402上的用于实现一个示例系统的可访问机器可读指令。在示例中,计算设备400可以是网络交换机,诸如上文参考图1所描述的交换机102。图4图示了被配置为执行以下所述的指令404至指令412的计算设备400。然而,计算设备400还可以被配置为执行本公开中所描述的其他方法、技术、功能或过程的流程,诸如例如图2的方法200。
诸如处理器401的处理元件可以包括一个或多个硬件处理器,其中每个硬件处理器可以具有单个或多个处理器核。在一个实施例中,处理器401可以包括至少一个共享高速缓存,该共享告诉缓存存储由处理器401的一个或多个其他组件使用的数据(例如,计算指令)。例如,共享高速缓存可以是存储在存储器中的本地高速缓存的数据,用于由组成处理器401的处理元件的组件更快地接入。在一个或多个实施例中,共享高速缓存可以包括一个或多个中级高速缓存(诸如2级(L2)、3级(L3)、4级(L4)或其他级的高速缓存)、末级高速缓存(LLC)或其组合。处理器的示例包括但不限于中央处理单元(CPU)、微处理器。尽管未在图4中说明,但组成处理器401的处理元件还可以包括一个或更多其他类型的硬件处理组件,诸如图形处理单元(GPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或数字信号处理器(DSP)。
处理器401可以可操作地和可通信地被耦合到存储器。存储器可以是非暂态计算机可读介质,诸如被配置为存储各种类型的数据的机器可读存储介质402。例如,存储器可以包括一个或多个存储设备,该一个或多个存储设备包括非易失性存储设备和/或易失性存储器。诸如随机存取存储器(RAM)的易失性存储器可以是任何合适的非永久性存储设备。非易失性存储设备可以包括一个或多个磁盘驱动器、光学驱动器、固态驱动器(SSD)、分接驱动器、闪存、只读存储器(ROM)和/或任何其他类型的设计为在掉电或关闭操作之后将数据维持一段时间的存储器。在某些方面中,如果所分配的RAM不足以容纳所有工作数据,那么非易失性存储设备则可以被用于存储溢出的数据。非易失性存储设备还可以被用于存储程序,该程序在被选择用于执行时被加载到RAM中。
图4的机器可读存储介质402可以包括易失性和非易失性、可移除和不可移除介质,并且可以是包括或存储可执行指令、数据结构、程序模块或处理器可访问的其他数据的任何电子、磁、光或其他物理存储设备,例如固件、可擦除可编程只读存储器(EPROM)、随机存取存储器(RAM)、非易失性随机存取存储器(NVRAM)、光盘、固态驱动器(SSD)、闪存芯片等。机器可读存储介质可以是非暂态存储介质,其中术语“非暂态”不包括暂态传播信号。
机器可读介质402包括指令404,当处理器401执行该指令时,使交换机从与连接到交换机的第一WAP相关联的主机设备接收认证请求消息。交换机被配置为基于BGP EVPN的VXLAN中的VTEP。
指令406在由处理器401执行时,使得交换机向认证服务器转发认证请求消息。响应于主机设备的成功认证,指令408在由处理器401执行时使得交换机基于来自认证服务器的认证响应消息来将角色信息与主机设备相关联。指令410在由处理器401执行时,使得交换机基于角色信息在主机设备的路由通告消息中添加角色标识符。在示例中,交换机可以创建BGP扩展团体字段,该BGP扩展团体字段携带指示针对主机设备实现的网络策略的角色标识符,以及将BGP扩展团体字段附加到路由通告消息中。指令412在由处理器401执行时,使得交换机向另一网络交换机发送路由通告消息,其中另一网络交换机被配置作为VXLAN中的对端VTEP。交换机和另一网络交换机被配置在单个虚拟局域网(VLAN)中。在接收到路由通告消息时,其他网络交换机知道针对主机设备要被实现的网络接入策略。
如本文示例中所使用的,网络交换机或交换机基于可以由交换机访问的转发信息(或等效地,“路由信息”)在发送方设备与接收方设备(或多个接收方设备)之间转发数据(在控制分组中)。转发信息可以包括将网络地址(例如,MAC地址或IP地址)和/或端口映射到朝向(多个)接收方设备的相应网络路径的条目。
WAP被包括作为到网络(诸如图1的网络100)的接入点的示例。WAP可以控制主机设备的网络接入,并且可以认证主机设备用于连接到WAP,以及通过WAP连接到网络内的其他设备。WAP中的每个可以是被配置为向无线主机设备提供无线网络连通性的硬件、软件和/或固件的组合。在所示的示例中,WAP可以由控制器管理和配置。WAP通过可以是有线接口或无线接口的连接与控制器和网络进行通信。
在整个说明书和权利要求书中使用了某些术语来指代特定的系统组件。如本领域技术人员将理解的,不同方可以用不同的名称来指代组件。本公开并不旨在区分名称不同但功能相同的组件。在本公开和权利要求中,术语“包括(including)”和“包含(comprising)”以开放式方式使用,因此应当被解释为表示“包括但不限于”。此外,术语“耦合”或“被耦合”旨在表示间接或直接的有线或无线连接。因此,如果第一设备耦合到第二设备,则该连接可以是通过直接连接或通过经由其他设备和连接的间接连接。表述“基于”旨在表示“至少部分地基于”。因此,如果X基于Y,则X可以是Y和任何数目的其他因素的函数。
上述讨论意在说明本公开的原理和各种实现方式。一旦完全理解上述公开内容,许多变化和修改对于本领域技术人员将变得显而易见。所附权利要求旨在被解释为包括所有这些变化和修改。
Claims (20)
1.一种网络交换机,包括:
处理器;以及
非暂态计算机可读介质,所述非暂态计算机可读介质包括指令,所述指令在由所述处理器执行时使所述网络交换机:
从与被连接到所述网络交换机的第一无线接入点WAP相关联的主机设备接收认证请求消息,其中所述网络交换机被配置作为基于边界网关协议BGP以太网虚拟专用网络EVPN的虚拟可扩展局域网VXLAN中的VXLAN隧道端点VTEP;
向认证服务器转发所述认证请求消息;
响应于从所述认证服务器接收到认证响应消息,基于所述认证响应消息将角色信息与所述主机设备相关联;
基于所述角色信息向所述主机设备的路由通告消息添加角色标识符,其中所述路由通告消息指示所述主机设备的互联网协议IP地址与所述主机设备的媒体访问控制MAC地址之间的映射,其中为了添加所述角色标识符,所述网络交换机要:
创建BGP扩展团体字段,所述BGP扩展团体字段携带指示针对所述主机设备要被实现的网络接入策略的所述角色标识符;以及
将所述BGP扩展团体字段附加到所述路由通告消息;以及
向另一网络交换机发送所述路由通告消息,其中所述另一网络交换机被配置作为所述VXLAN中的对端VTEP,并且所述网络交换机和所述另一网络交换机被配置在单个虚拟局域网VLAN中,并且其中在接收到所述路由通告消息时,所述另一网络交换机知道针对所述主机设备要被实现的所述网络接入策略。
2.根据权利要求1所述的网络交换机,其中所述BGP扩展团体字段是不透明团体字段。
3.根据权利要求1所述的网络交换机,其中所述BGP扩展团体字段是非传递团体字段。
4.根据权利要求1所述的网络交换机,其中所述路由通告消息是BGP EVPN类型2路由。
5.根据权利要求1所述的网络交换机,其中所述BGP扩展团体字段包括四个八位字节。
6.根据权利要求1所述的网络交换机,其中所述角色标识符是从所述BGP扩展团体字段的所述最低有效位开始的16位值。
7.根据权利要求1所述的网络交换机,其中所述BGP扩展团体字段包括:
类型信息,指示所述BGP扩展团体字段为非传递不透明扩展团体;以及
子类型信息,指示所述BGP扩展团体字段携带所述角色标识符。
8.根据权利要求1所述的网络交换机,其中所述网络交换机是客户边缘处的接入交换机。
9.一种方法,包括:
由网络交换机从与被连接到所述网络交换机的第一无线接入点WAP相关联的主机设备接收认证请求消息,其中所述网络交换机被配置作为基于边界网关协议BGP以太网虚拟专用网络EVPN的虚拟可扩展局域网VXLAN中的VXLAN隧道端点VTEP;
由所述网络交换机向认证服务器转发所述认证请求消息;
响应于所述主机设备的成功认证,由所述网络交换机基于来自所述认证服务器的认证响应消息将角色信息与所述主机设备相关联;
由所述网络交换机基于所述角色信息在所述主机设备的路由通告消息中添加角色标识符,其中所述路由通告消息指示所述主机设备的互联网协议IP地址与所述主机设备的媒体访问控制MAC地址之间的映射,其中添加所述角色标识符包括:
创建BGP扩展团体字段,所述BGP扩展团体字段携带指示针对所述主机设备要被实现的网络策略的所述角色标识符;以及
将所述BGP扩展团体字段附加到所述路由通告消息;以及
由所述网络交换机向另一网络交换机发送所述路由通告消息,其中所述另一网络交换机被配置作为所述VXLAN中的对端VTEP,所述网络交换机和所述另一网络交换机被配置在单个虚拟局域网VLAN中,并且其中在接收到所述路由通告消息时,所述另一网络交换机知道针对所述主机设备要被实现的所述网络接入策略。
10.根据权利要求9所述的方法,其中所述BGP扩展团体字段是不透明团体字段。
11.根据权利要求9所述的方法,其中所述BGP扩展团体字段是非传递团体字段。
12.根据权利要求9所述的方法,其中所述路由通告消息是BGP EVPN类型2路由。
13.根据权利要求9所述的方法,其中所述BGP扩展团体字段包括四个八位字节。
14.根据权利要求9所述的方法,其中所述BGP扩展团体字段包括:
类型信息,指示所述BGP扩展团体字段是非传递不透明扩展团体;以及
子类型信息,指示所述BGP扩展团体字段携带所述角色标识符。
15.根据权利要求9所述的方法,其中所述网络交换机是客户边缘处的接入交换机。
16.根据权利要求9所述的方法,还包括由所述另一网络交换机基于从所述路由通告消息获得的所述角色标识符来创建主机媒体访问控制MAC地址到角色的映射,所述路由通告消息从所述网络交换机被接收。
17.根据权利要求16所述的方法,还包括响应于所述主机设备从所述第一WAP漫游到被连接到所述另一网络交换机的第二WAP,由所述另一网络交换机并且作为所述创建所述MAC地址到角色的映射的结果,基于所述主机设备的所述角色来执行所述主机设备的网络策略。
18.根据权利要求16所述的方法,还包括响应于所述主机设备从所述第一WAP漫游到被连接到所述另一网络交换机的第二WAP,由所述另一网络交换机基于所述MAC地址到角色的映射来配置针对所述主机设备的网络策略执行的数据平面。
19.一种非暂态计算机可读介质,所述非暂态计算机可读介质包括指令,所述指令在由处理器执行时使网络交换机:
从与被连接到所述网络交换机的第一无线接入点WAP相关联的主机设备接收认证请求消息,其中所述网络交换机被配置作为基于边界网关协议BGP以太网虚拟专用网络EVPN的虚拟可扩展局域网VXLAN中的VXLAN隧道端点VTEP;
向认证服务器转发所述认证请求消息;
响应于所述主机设备的成功认证,基于来自所述认证服务器的认证响应消息将角色信息与所述主机设备相关联;
基于所述角色信息在所述主机设备的路由通告消息中添加角色标识符,其中所述路由通告消息指示所述主机设备的互联网协议IP地址与所述主机设备的媒体访问控制MAC地址之间的映射,其中为了添加所述角色标识符,所述网络交换机要:
创建BGP扩展团体字段,所述BGP扩展团体字段携带指示针对所述主机设备要被实现的网络策略的所述角色标识符;以及
将所述BGP扩展团体字段附加到所述路由通告消息;以及
向另一网络交换机发送所述路由通告消息,其中所述另一网络交换机被配置作为所述VXLAN中的对端VTEP,所述网络交换机和所述另一网络交换机被配置在单个虚拟局域网VLAN中,并且其中在接收到所述路由通告消息时,所述另一网络交换机知道针对所述主机设备要被实现的所述网络接入策略。
20.根据权利要求19所述的非暂态计算机可读介质,其中所述BGP扩展团体字段是不透明并且非传递团体字段。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/712,342 | 2022-04-04 | ||
US17/712,342 US20230318961A1 (en) | 2022-04-04 | 2022-04-04 | Role information propagation in access switches |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116938809A true CN116938809A (zh) | 2023-10-24 |
Family
ID=88018841
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211313650.2A Pending CN116938809A (zh) | 2022-04-04 | 2022-10-25 | 接入交换机中的角色信息传播 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230318961A1 (zh) |
CN (1) | CN116938809A (zh) |
DE (1) | DE102022126664A1 (zh) |
-
2022
- 2022-04-04 US US17/712,342 patent/US20230318961A1/en active Pending
- 2022-10-13 DE DE102022126664.8A patent/DE102022126664A1/de active Pending
- 2022-10-25 CN CN202211313650.2A patent/CN116938809A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20230318961A1 (en) | 2023-10-05 |
DE102022126664A1 (de) | 2023-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025677B2 (en) | Using symmetric and asymmetric flow response paths from an autonomous system | |
EP3522457B1 (en) | Dedicated virtual local area network for peer-to-peer traffic transmitted between switches | |
US20200067812A1 (en) | First Hop Gateway Redundancy In A Network Computing Environment | |
US9184981B2 (en) | System and apparatus for distributed mobility management based network layer virtual machine mobility protocol | |
US11252199B2 (en) | Redirecting packets in an autonomous system | |
US9660905B2 (en) | Service chain policy for distributed gateways in virtual overlay networks | |
US9559952B2 (en) | Routing internet protocol version 6 link-local addresses in a network environment | |
JP5579853B2 (ja) | バーチャル・プライベート・ネットワークの実現方法及びシステム | |
US10448246B2 (en) | Network re-convergence point | |
CN106878253B (zh) | Mac(l2)层认证、安全性和策略控制 | |
US20140233569A1 (en) | Distributed Gateway in Virtual Overlay Networks | |
US9407493B2 (en) | System and apparatus for router advertisement options for configuring networks to support multi-homed next hop routes | |
EP3759870A1 (en) | Network slicing with smart contracts | |
US11317272B2 (en) | Method and system for enabling broadband roaming services | |
US8441983B2 (en) | Maintaining point of presence at tunneling endpoint for roaming clients in distributed wireless controller system | |
WO2022001669A1 (zh) | 建立vxlan隧道的方法及相关设备 | |
WO2016192550A1 (en) | Distribution of internal routes for virtual networking | |
CN113037883B (zh) | 一种mac地址表项的更新方法及装置 | |
US10708295B1 (en) | Network route hijack protection | |
US10944665B1 (en) | Auto-discovery and provisioning of IP fabric underlay networks for data centers | |
US20230318961A1 (en) | Role information propagation in access switches | |
US11743693B2 (en) | Seamless mobility for clients receiving multicast traffic | |
Banik et al. | Enabling distributed mobility management: A unified wireless network architecture based on virtualized core network | |
Ibáñez et al. | ABridges: Scalable, self-configuring Ethernet campus networks | |
US12028250B2 (en) | Communication of policy changes in LISP-based software defined networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |