DE102022126664A1 - Weitergabe von rolleninformationen in access switches - Google Patents

Weitergabe von rolleninformationen in access switches Download PDF

Info

Publication number
DE102022126664A1
DE102022126664A1 DE102022126664.8A DE102022126664A DE102022126664A1 DE 102022126664 A1 DE102022126664 A1 DE 102022126664A1 DE 102022126664 A DE102022126664 A DE 102022126664A DE 102022126664 A1 DE102022126664 A1 DE 102022126664A1
Authority
DE
Germany
Prior art keywords
host device
switch
network
network switch
bgp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022126664.8A
Other languages
English (en)
Inventor
Venkatavaradhan Devarajan
Vinayak Joshi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102022126664A1 publication Critical patent/DE102022126664A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L2012/4629LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

In einem Beispiel kann ein Switch eine Authentifizierungsanforderung von einem Host empfangen, der mit einem ersten drahtlosen Zugangspunkt (WAP) verbunden ist, der mit dem Switch verbunden ist. Der Switch fungiert als VXLAN-Tunnelendpunkt (VTEP) in einem auf dem Border Gateway Protocol (BGP) Ethernet Virtual Private Network (EVPN) basierenden Virtual Extensible Local Area Network (VXLAN). Der Switch leitet die Authentifizierungsanforderung an einen Authentifizierungsserver weiter und kann bei erfolgreicher Authentifizierung des Hosts auf der Grundlage einer Authentifizierungsantwort des Authentifizierungsservers eine Rolleninformation mit dem Host verknüpfen. Ferner kann der Switch ein erweitertes BGP-Community-Feld erstellen, das die Rollenkennung trägt, die die für den Host zu implementierenden Netzwerkrichtlinien angibt, und das erweiterte BGP-Community-Feld mit einer Routenanzeige verbinden. Der Switch sendet dann die Routenanzeige an einen anderen Switch. Der andere Switch ist als Peer-VTEP im VXLAN konfiguriert. Der Switch und der andere Switch sind in einem einzigen Virtual Local Area Network (VLAN) konfiguriert.

Description

  • HINTERGRUND
  • Kommunikationsnetze werden häufig in drei Schichten unterteilt, nämlich in eine Kernschicht, eine Zugangsschicht und eine Verteilungsschicht. Die Kernschicht bietet Hochgeschwindigkeitskommunikationsmöglichkeiten für Netzgeräte wie Switches und Router, die sich in der Verteilungs- und Zugriffsschicht befinden. Die Zugriffsschicht bietet Kommunikationsmöglichkeiten für Host-Geräte. Die Verteilungsschicht fungiert als Schnittstelle zwischen der Kernschicht und der Zugriffsschicht. Sie verwaltet Routing-, Filter- und QoS-Richtlinien (Quality of Service) für das Kommunikationsnetz.
  • Kommunikationsnetztopologien können mit physischen Verbindungen zwischen Switches aufgebaut werden. Mehrere physikalisch verbundene Switches können ein lokales Netz (LAN) bilden. Eine Sammlung solcher LANs kann die Netzzugangsebene bilden. Die Switches in der Zugangsebene können mit einem oder mehreren Wireless Access Points (WAPs) verbunden sein. Die WAPs können als Zugangspunkte für drahtlose Host-Geräte dienen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Für ein umfassenderes Verständnis der vorliegenden Offenbarung können Beispiele in Übereinstimmung mit den verschiedenen hierin beschriebenen Merkmalen durch Bezugnahme auf die folgende detaillierte Beschreibung in Verbindung mit den beigefügten Zeichnungen leichter verstanden werden, in denen gleiche Bezugsziffern gleiche Strukturelemente bezeichnen und in denen:
    • 1A zeigt schematisch ein Computernetzwerk, in dem ein drahtgebundener Netzwerk-Switch für die Weitergabe von Rolleninformationen implementiert ist, gemäß einem Beispiel;
    • 1B ist ein Blockdiagramm eines beispielhaften Netzwerk-Switches für die Weitergabe von Rolleninformationen, gemäß einem Beispiel;
    • 1C zeigt schematisch ein erweitertes BGP-Community-Feld für die Weitergabe von Rolleninformationen, gemäß einem Beispiel;
    • 2 ist ein Flussdiagramm, das ein Verfahren zur Weitergabe von Rolleninformationen gemäß einem Beispiel zeigt;
    • 3A und 3B sind Flussdiagramme, die ein weiteres Verfahren zur Weitergabe von Rolleninformationen gemäß einem Beispiel illustrieren; und
    • 4 zeigt eine Recheneinrichtung zur Durchführung des Verfahrens zur Weitergabe von Rolleninformationen, gemäß einem Beispiel.
  • Bestimmte Beispiele weisen Merkmale auf, die zusätzlich zu den in den oben genannten Figuren dargestellten Merkmalen oder anstelle von ihnen vorhanden sind. Bestimmte Beschriftungen können aus Gründen der Übersichtlichkeit in bestimmten Figuren weggelassen werden.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Kommunikationsnetzwerke, wie z. B. Campus-Netzwerke (CANs), können eine Verbindung zwischen lokalen Netzwerken (LANs) und drahtlosen Zugangspunkten (WAPs), die mit LAN-Switches verbunden sind, beinhalten. Die Switches können über physische Verbindungen mit den WAPs verbunden sein. Sie können als Netzanschlusspunkte für die WAPs fungieren. Ein Switch in der Zugriffsschicht, auch Access Switch genannt, kann mit einem oder mehreren WAPs verbunden sein. Jeder WAP kann drahtlose Host-Geräte, wie Laptops und Mobiltelefone, innerhalb eines bestimmten Bereichs bedienen. Ein WAP kann zum Beispiel ein bestimmtes Stockwerk eines Gebäudes auf einem Campus bedienen, in dem ein CAN eingesetzt wird. Ein Host-Gerät, das sich zwischen verschiedenen Stockwerken des Gebäudes bewegt, kann zwischen den WAPs, die die verschiedenen Stockwerke versorgen, wechseln oder roamen, um die Verbindung aufrechtzuerhalten.
  • Um eine nahtlose Bewegung der Host-Geräte innerhalb des Netzes zu ermöglichen, verwenden WAPs in einigen Beispielen Fast-Roaming-Techniken. Schnelles Roaming kann es einem mobilen Host-Gerät ermöglichen, sich innerhalb des Netzes zu bewegen, ohne die Verbindung zu unterbrechen oder aus dem Netz zu fallen. Schnelle Roaming-Techniken können den Host-Geräten helfen, zu einem neuen WAP zu wechseln, ohne sich erneut zu authentifizieren. Um eine erneute Authentifizierung des Host-Geräts zu vermeiden, können WAPs in derselben Zugangsschicht die Authentifizierungsinformationen des Host-Geräts gemeinsam nutzen.
  • Zu den von WAPs gemeinsam genutzten Host-Geräte-Informationen können Netzpräfixe und IP-Adressen gehören. Um solche Informationen sicher auszutauschen, bilden Zugangs-Switches häufig Virtual Extensible Local Area Networks (VXLANs), die Informationen der Steuerungsebene über Ethernet Virtual Private Network (EVPN) austauschen. Die Informationen der Steuerebene umfassen Informationen in einer Switch-Routing-Tabelle, die festlegt, was mit eingehenden Paketen geschehen soll. VXLAN ist eine Netzwerkvirtualisierungstechnologie, die eine Kapselungstechnik verwendet, um Open Systems Interconnection (OSI) Layer 2 Ethernet-Frames in Layer 4 User Datagram Protocol (UDP)-Datagramme zu kapseln. VXLAN-Endpunkte, die VXLAN-Tunnel abschließen und entweder virtuelle oder physische Switch-Ports sein können, werden als VXLAN-Tunnel-Endpunkte (VTEPs) bezeichnet. EVPN basiert auf dem Border Gateway Protocol (BGP), das die gemeinsame Nutzung von Netzwerkpräfixen und IP-Adressen in Form von Network Layer Reachability Information (NLRI) ermöglicht. Die Zugangsswitches fungieren als VTEPs, auch VXLAN-Peers genannt, die BGP-EVPN-Aktualisierungsnachrichten austauschen, um NLRI untereinander zu teilen. Durch den Austausch von NLRI wissen die Access Switches im VXLAN, welches Host-Gerät über welchen WAP mit welchem Access Switch verbunden ist und leiten die Daten entsprechend weiter.
  • Verschiedene Host-Geräte, die eine Verbindung mit dem Netzwerk herstellen, können jedoch je nach ihren Rolleninformationen unterschiedlichen Netzwerkrichtlinien unterliegen. Zu den Netzwerkrichtlinien können Regeln, Berechtigungen, Bedingungen und Einstellungen gehören, die festlegen, welche Host-Geräte zur Verbindung mit dem Netzwerk berechtigt sind und unter welchen Umständen verschiedene Host-Geräte eine Verbindung mit dem Netzwerk herstellen dürfen. Die Rolleninformationen sind ein Hinweis auf eine Gruppe oder Kategorie von Host-Gerätebenutzern. Die auf jedes Host-Gerät anzuwendenden Netzwerkrichtlinien können auf der Grundlage dieser Rolleninformationen festgelegt werden. Beispiele für Rollen können sein: Gast, Student, Angestellter, Verkäufer, Führungskraft, usw. Beispiele für Netzwerkrichtlinien, die auf solche Rollen angewendet werden, können verschiedene Bedingungen umfassen. Einem „Gast“-Handy kann beispielsweise die Nutzung eines Büronetzes für mehr als eine Stunde untersagt werden. Ein anderes Beispiel: Einem „Studenten“-Host kann der Zugriff auf bestimmte URLs untersagt werden. Bei BGP EVPN VXLANs, die in den Access Switches implementiert sind, kennen die Access Switches die Rolleninformationen des Host-Geräts nicht, obwohl die NLRI des Host-Geräts von den Access Switches gemeinsam genutzt wird. Dies stellt eine Herausforderung bei der Implementierung von rollenbasierten Netzwerkrichtlinien dar, insbesondere wenn ein Host-Gerät von einem ersten WAP zu einem zweiten WAP roamt, wobei der erste und der zweite WAP mit zwei verschiedenen Access Switches verbunden sind.
  • Wenn sich ein Host-Gerät zum ersten Mal mit einem Netz verbindet, kann das erste WAP Rolleninformationen erhalten. Dies liegt daran, dass dem WAP während der Authentifizierung Rolleninformationen zur Verfügung gestellt werden können. So kann der WAP beispielsweise als Proxy für einen Authentifizierungsdienst wie RADIUS (Remote Authentication Dial-In User Service) oder RADIUS über TLS (Transport Layer Security) fungieren. Wenn das Host-Gerät jedoch vom ersten WAP zu einem zweiten WAP in derselben Zugangsschicht wechselt, ist dem zweiten Zugangsschalter, mit dem das WAP verbunden ist, die Rolle des Host-Geräts möglicherweise nicht bekannt. Zugriffsschalter tauschen im Allgemeinen keine Informationen über die Rolle des Host-Geräts untereinander aus. Obwohl das Host-Gerät aufgrund des schnellen Roamings nahtlos zwischen dem ersten und dem zweiten WAP wechseln kann und die Daten aufgrund der gemeinsamen Nutzung von NLRIs korrekt über den zweiten WAP geleitet werden, ist der zweite Access-Switch möglicherweise nicht in der Lage, die rollenbasierten Netzwerkrichtlinien umzusetzen. Ohne eine angemessene Umsetzung der Netzrichtlinien am zweiten Access Switch werden die Bedingungen für den Datenaustausch mit dem Host-Gerät möglicherweise nicht korrekt angewendet. Dies kann die Gesamtleistung, den Durchsatz und die Sicherheit des Netzes beeinträchtigen. Außerdem können die Netzknoten Schwachstellen aufweisen oder überlastet werden. Dies kann zu Sicherheitsbedrohungen oder Ausfällen führen, die die Verfügbarkeit der Dienste beeinträchtigen.
  • Die vorliegende Offenlegung beschreibt Techniken zur Einbeziehung von Host-Geräte-Rolleninformationen in BGP-Update-Message-Ankündigungen, um die Rolleninformationen unter Access-Switches in einem VXLAN-Netzwerk zu teilen. Wenn also BGP-Update-Nachrichtenanzeigen zwischen Access-Switches ausgetauscht werden, erhalten sie auch Rolleninformationen, die mit bestimmten Host-Geräten verbunden sind. Auf diese Weise können Rolleninformationen zwischen Access Switches verteilt werden. Die Access Switches können auf der Grundlage der Rolleninformationen Netzwerkrichtlinien implementieren. Auf diese Weise können die Host-Geräte nahtlos zwischen Netzwerk-Switches hin- und herwechseln und dabei rollengerechte Netzwerkrichtlinien beibehalten. Durch die Verwendung der BGP-EVPN-Infrastruktur zur Übermittlung der Rolleninformationen wird außerdem der mit einem neuen Kommunikationsprotokoll für Rolleninformationen verbundene Overhead vermieden. Dies kann dazu beitragen, Hindernisse für die Skalierbarkeit zu beseitigen.
  • In einem Beispiel wird ein Netzwerk-Switch beschrieben. Der Netzwerk-Switch, der auch als Switch bezeichnet wird, umfasst einen Prozessor und ein nichttransitorisches, computerlesbares Medium, das Anweisungen enthält, die, wenn sie vom Prozessor ausgeführt werden, den Switch veranlassen, eine Authentifizierungsanforderungsnachricht von einem Host-Gerät zu empfangen, das mit einem ersten, mit dem Switch verbundenen WAP verbunden ist. Der Switch kann als VTEP in einem BGP-EVPN-basierten VXLAN konfiguriert sein. In dem VXLAN können andere Switches als Peer-VTEPs konfiguriert sein. Die Switches können in einem einzigen Virtual Local Area Network (VLAN) konfiguriert sein, um ein schnelles Roaming von Host-Geräten zwischen WAPs zu ermöglichen, die mit diesen Switches verbunden sind. Der Switch leitet die Authentifizierungsanforderungsnachricht an einen Authentifizierungsserver, z. B. einen RADIUS-Server, weiter. Als Reaktion auf die erfolgreiche Authentifizierung des Host-Geräts ordnet der Switch dem Host-Gerät auf der Grundlage einer Authentifizierungsantwortnachricht vom Authentifizierungsserver eine Rolleninformation zu. Der Switch fügt auf der Grundlage der Rolleninformationen eine Rollenkennung in eine Routenankündigungsnachricht des Hostgeräts ein. Die Routenankündigungsnachricht zeigt eine Zuordnung zwischen einer IP-Adresse (Internet Protocol) des Host-Geräts und einer MAC-Adresse (Media Access Control) des Host-Geräts an. In einem Beispiel erstellt der Switch zum Hinzufügen des Rollenidentifikators ein erweitertes BGP-Community-Feld, das den Rollenidentifikator trägt, der die für das Host-Gerät zu implementierenden Netzwerkrichtlinien angibt, und fügt das erweiterte BGP-Community-Feld an die Routenankündigungsnachricht an. Der Switch sendet die Route-Advertisement-Nachricht an einen anderen Switch, und beim Empfang der Route-Advertisement-Nachricht sind dem anderen Switch die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien bekannt. Für den Fall, dass das Host-Gerät von dem ersten WAP zu einem zweiten WAP wechselt, das mit dem anderen Switch verbunden ist, kennt der andere Switch die Rolleninformationen des Host-Geräts auf der Grundlage der Rollenkennung in der empfangenen Route-Advertisement-Nachricht. Unter Verwendung der Rollenkennung in der Routenankündigungsnachricht kann der andere Switch seine Datenebene so konfigurieren, dass die Netzwerkrichtlinien für das Host-Gerät durchgesetzt werden, und kann dementsprechend den Verkehr zu/von dem mit dem zweiten WAP verbundenen Host-Gerät weiterleiten. Auf diese Weise werden die Rolleninformationen des Host-Geräts zwischen den Vermittlungsstellen weitergegeben, und die Vermittlungsstellen können folglich Netzwerkrichtlinien auf der Grundlage der Rolle des Host-Geräts umsetzen, selbst wenn das Host-Gerät über WAPs, die mit verschiedenen Zugangsvermittlungsstellen verbunden sind, roamt.
  • Die beschriebenen Systeme und Methoden können in verschiedenen Switches implementiert werden, die Funktionen eines Netzwerk-Switches in einer Zugangsebene in einem Kommunikationsnetz implementieren. Obwohl sich die obige Beschreibung auf Access-Switches bezieht, können die Methoden und beschriebenen Techniken auch in anderen Arten von Switches implementiert werden, die verschiedene Kommunikationstechniken implementieren, wenn auch mit einigen Abweichungen. Im Folgenden werden verschiedene Implementierungen des vorliegenden Themas anhand mehrerer Beispiele beschrieben.
  • Die oben genannten Systeme und Verfahren werden unter Bezugnahme auf die 1A bis 4 näher beschrieben. Es ist zu beachten, dass die Beschreibung und die Figuren lediglich die Prinzipien des vorliegenden Gegenstands zusammen mit den hierin beschriebenen Beispielen veranschaulichen und nicht als Einschränkung des vorliegenden Gegenstands ausgelegt werden sollten. Es versteht sich daher, dass verschiedene Anordnungen entwickelt werden können, die, obwohl sie hier nicht ausdrücklich beschrieben oder gezeigt werden, die Prinzipien des vorliegenden Gegenstandes verkörpern. Darüber hinaus sind alle hierin enthaltenen Aussagen, die Prinzipien, Aspekte und Ausführungsformen des vorliegenden Gegenstands sowie spezifische Beispiele davon beschreiben, so zu verstehen, dass sie auch Äquivalente davon umfassen.
  • 1A zeigt schematisch ein Computernetz 100 gemäß einem Beispiel des vorliegenden Gegenstands. Bei dem Computernetzwerk 100 kann es sich beispielsweise um eine öffentliche verteilte Umgebung, eine private geschlossene Computerumgebung usw. handeln. Das Computernetzwerk 100 kann für eine Organisation implementiert werden, z. B. für ein Unternehmen, eine Bildungseinrichtung, eine Regierungsbehörde, eine Gesundheitseinrichtung oder eine andere Organisation. Dieses Diagramm zeigt ein Beispiel für eine Konfiguration, die in einer Organisation mit mehreren Benutzern (oder zumindest mehreren Host-Geräten) implementiert ist. Das Computernetzwerk 100 kann an einem geografischen Standort implementiert werden, der ein primäres Netzwerk umfassen kann, das z. B. ein Büronetzwerk, ein Heimnetzwerk oder eine andere Netzwerkinstallation sein kann. Das primäre Netzwerk kann ein privates Netzwerk sein, z. B. ein Netzwerk, das Sicherheits- und Zugangskontrollen enthalten kann, um den Zugang auf autorisierte Benutzer des privaten Netzwerks zu beschränken. Zu den autorisierten Benutzern können beispielsweise Angestellte eines Unternehmens am geografischen Standort, Bewohner eines Hauses, Kunden eines Unternehmens, Schüler in der Schule usw. gehören. In einem Beispiel ist das Computernetzwerk 100 ein Campus Area Network (CAN).
  • Gemäß einem Beispiel des vorliegenden Gegenstands kann das Computernetzwerk 100 eine Zugriffsschicht A, eine Verteilungsschicht D und eine Kernschicht C umfassen, wie in 1 gezeigt. Die Zugriffsschicht A kann eine Vielzahl von Netzwerk-Switches implementieren, z. B. Switch 102-1, Switch 102-2 und Switch 102-3. Der Einfachheit halber werden der Switch 102-1, der Switch 102-2 und der Switch 102-3 im Folgenden allgemein als Switches 102 bezeichnet. Außerdem werden die Begriffe Netzwerk-Switch und Switch in der Beschreibung synonym verwendet. Jeder der Switches 102 kann Konnektivität untereinander und zwischen Hosts bereitstellen. Jeder der Switches 102 kann als Vermittlungseinheit der Zugriffsschicht, als Switch-Router oder als beliebiges Gerät implementiert werden, das in der Lage ist, Datenpakete auf der Zugriffsschicht A zu vermitteln und Konnektivität zwischen Geräten der Verteilungsschicht D und den Host-Geräten sowie zwischen den Host-Geräten bereitzustellen, ohne darauf beschränkt zu sein.
  • Jeder Schalter 102 kann mit einem oder mehreren WAPs verbunden sein. Wie in 1 dargestellt, ist Schalter 102-1 mit WAP 103-1 und Schalter 102-2 mit WAPs 103-2 und 103-3 verbunden. WAP 103-1, WAP 103-2 und 103-3 werden gemeinsam als WAPs 103 bezeichnet. In einem Beispiel kann jeder der Switches 102 ein Zugangs-Switch sein und Host-Geräten den Anschluss an das Computernetzwerk 100 ermöglichen. Jeder der Switches 102 umfasst mehrere Ports. In einem Beispiel kann ein Netzwerkadministrator einen Port in einem Switch 102 als Netzwerkport oder als drahtlosen Zugangsport bezeichnen. Der Netzwerkport fungiert als Schnittstelle zwischen dem Switch 102 und Netzwerkgeräten in höheren Schichten, z. B. der Verteilungsschicht D. Der drahtlose Zugriffsport fungiert als Schnittstelle zwischen den Switches 102 und WAPs 103, die mit den Switches 102 verbunden sind.
  • WAPs 103 sind als Beispiele für Zugangspunkte zum Computernetzwerk 100 für drahtlose Host-Geräte, wie das Host-Gerät 110, enthalten. Die WAPs 103 können den Netzzugang des Host-Geräts 110 steuern und die Authentifizierung des Host-Geräts 110 für die Verbindung mit den WAPs 103 und über die WAPs 103 mit anderen Geräten innerhalb des Computernetzwerks 100 ermöglichen. Die WAPs 103 können diese Authentifizierung unter Verwendung der Switches 102 und eines Authentifizierungsservers, wie z. B. eines RADIUS- oder RADSec-Servers (nicht dargestellt), ermöglichen. Jeder der WAPs 103 kann eine Kombination aus Hardware, Software und/oder Firmware sein, die so konfiguriert ist, dass sie drahtlose Netzwerkkonnektivität für drahtlose Hostgeräte bereitstellt. Im gezeigten Beispiel können die WAPs 103 in einer verteilten WLAN-Architektur implementiert sein, in der die WAPs 103 unabhängige verteilte Intelligenz bereitstellen, aber als System zusammenarbeiten, um kooperativ Kontrollmechanismen bereitzustellen.
  • Die Switches 102-1 und 102-2 sind in einer einzigen Broadcast-Domäne konfiguriert. Eine Broadcast-Domäne kann als logische Unterteilung eines Computernetzes verstanden werden, in dem alle Knoten einander durch Broadcast auf der Datenübertragungsschicht erreichen können. Unter einem Broadcast versteht man die Übertragung eines Datenpakets an jedes Gerät in einem Netzwerk. Eine Broadcast-Domäne kann innerhalb desselben LAN-Segments liegen oder mit anderen LAN-Segmenten überbrückt werden. In einem Beispiel wird ein einziges VLAN 120 in den Switches 102-1 und 102-2 konfiguriert. So kann beispielsweise eine gemeinsame VLAN-Kennung für die drahtlosen Zugangsports in jedem der Switches 102-1 und 102-2 konfiguriert werden, die mit den WAPs 103-1, 103-2 und 103-3 verbunden sind.
  • Die Verteilungsschicht D umfasst Netzwerkgeräte 104-1 und 104-2 zur Verwaltung der Konnektivität zwischen den drahtgebundenen Netzwerkgeräten 102 in der Zugangsschicht A und der Kernschicht C. Die Kernschicht C kann Netzwerkgeräte 106-1 und 106-2 umfassen. Beispiele für die Netzwerkgeräte 106-1 und 106-2 können ein Router, ein Layer-3-Switch usw. sein. Die Netzwerkgeräte 106-1 und 106-2 verbinden die Geräte der Verteilungs- und Zugangsebene mit einem Rechenzentrum 108. Das Rechenzentrum 108 kann mit einem oder mehreren Geräten in einem externen Netz oder dem Internet verbunden sein.
  • In 1 B ist ein beispielhafter Netzwerk-Switch 150 dargestellt. Der Switch 150 kann einem oder mehreren der in 1A dargestellten Switches ähneln, wie z. B. dem Switch 102-1, dem Switch 102-2 und dem Switch 102-3 in der Zugriffsschicht A. Der Switch 150 kann einen Prozessor 152 und einen Speicher 154 enthalten, die über eine Kommunikationsverbindung (z. B. einen Bus) miteinander verbunden sein können. Der Prozessor 152 kann eine einzelne oder mehrere Zentraleinheiten (Central Processing Units, CPU) oder andere geeignete Hardware-Prozessoren, wie z. B. einen Netzwerk-ASIC, umfassen. Der Speicher 154 kann ein maschinenlesbares Speichermedium sein, das maschinenlesbare Anweisungen speichern kann, die vom Prozessor 152 ausgeführt werden. Der Speicher 154 kann jede geeignete Kombination aus flüchtigem und/oder nichtflüchtigem Speicher umfassen, wie z. B. Kombinationen aus Random Access Memory (RAM), Read-Only Memory (ROM), Flash-Speicher und/oder andere geeignete Speicher.
  • Der Speicher 154 enthält ein nicht-übertragbares, computerlesbares Medium mit Anweisungen, die vom Prozessor 152 ausgeführt werden können. Der Speicher 154 speichert Anweisungen, die von dem Prozessor 152 ausgeführt werden sollen, einschließlich Anweisungen für den Authentifizierungsmanager 156, den Rollenmanager 158 und den Routenmanager 160.
  • Der Prozessor 152 kann den Authentifizierungsmanager 156 ausführen, um eine Authentifizierungsanforderungsnachricht von einem Host-Gerät zu empfangen, das mit einem ersten WAP verbunden ist, der an den Netzwerk-Switch 150 angeschlossen ist. In einem Beispiel kann der Netzwerk-Switch 150 als VTEP in einem BGP EVPN-basierten VXLAN konfiguriert sein. In einem Beispiel kann der Authentifizierungsmanager 156 mit einem Authentifizierungsserver, z. B. einem RADIUS/RADSec-Server, kommunizieren und einen Proxy-Authentifizierungsdienst enthalten. In einem Beispiel kann die Authentifizierungsanforderungsnachricht eine RADIUS-Zugangsanforderung sein, die vom Host-Gerät ausgeht. Die RADIUS-Zugangsanforderung kann Zugangsdaten wie Benutzername und Kennwort oder ein vom Benutzer bereitgestelltes Sicherheitszertifikat sowie die Netzwerkadresse des Host-Geräts enthalten.
  • Der Prozessor 152 kann den Authentifizierungsmanager 156 ausführen, um die Authentifizierungsanforderungsnachricht an den Authentifizierungsserver weiterzuleiten. Basierend auf den Zugangsdaten kann der Authentifizierungsserver das Host-Gerät für den Zugang autorisieren. In einem Beispiel kann der Authentifizierungsserver als Reaktion auf die erfolgreiche Authentifizierung des Hostgeräts eine Authentifizierungsantwortnachricht an den Authentifizierungsmanager 156 im Netzwerk-Switch 150 senden. Bei der Authentifizierungsantwortnachricht kann es sich beispielsweise um eine RADIUS: Access-Accept-Nachricht handeln, die die Gewährung des Netzzugangs für das Host-Gerät anzeigt. In einem Beispiel kann der Authentifizierungsserver eine Rolleninformation des Hostgeräts mit der Authentifizierungsantwortnachricht zurücksenden. Die Rolleninformationen des Host-Geräts geben einen Zweck oder eine Funktion an, für die ein Benutzer des Host-Geräts eine Verbindung mit dem Netz herstellt. Auf der Grundlage der Rolleninformationen des Host-Geräts werden Netzwerkrichtlinien für den Zugriff auf das Host-Gerät angewendet.
  • Als Reaktion auf die erfolgreiche Authentifizierung des Host-Geräts kann der Prozessor 152 den Rollenmanager 158 ausführen, um die Rolleninformationen auf der Grundlage der Authentifizierungsantwortnachricht vom Authentifizierungsserver mit dem Host-Gerät zu verknüpfen. Das Zuordnen der Rolleninformationen zu dem Host-Gerät umfasst die Implementierung von Netzwerkrichtlinien an dem Switch 150 auf der Grundlage der Rolle des Host-Geräts.
  • Darüber hinaus kann der Prozessor 152 den Rollenmanager 160 ausführen, um auf der Grundlage der Rolleninformationen eine Rollenkennung in eine Routenankündigungsnachricht des Host-Geräts einzufügen. Die Rollenkennung ist ein Indikator für die Netzwerkrichtlinien, die für das Host-Gerät implementiert werden sollen. In einem Beispiel ist der Rollenidentifikator ein 16-Bit-Wert, der die Rolle angibt, die dem Host-Gerät bei der Authentifizierung zugeordnet ist. Bei der Routenankündigung kann es sich um eine BGP-EVPN-Route vom Typ 2 handeln, die eine Zuordnung zwischen einer IP-Adresse (Internet Protocol) des Host-Geräts und einer MAC-Adresse (Media Access Control) des Host-Geräts angibt. Beispielsweise kann die Routenankündigung eine IP-Adresse des Host-Geräts, die einer MAC-Adresse des Host-Geräts zugeordnet ist, und einen ARP-Eintrag (Address Resolution Protocol) enthalten. BGP ist ein Routing-Protokoll, das dynamische Routing-Entscheidungen auf der Grundlage von Pfaden, Netzwerkrichtlinien usw. trifft und den Austausch von Routing- und Erreichbarkeitsinformationen zwischen Netzwerkgeräten, wie z. B. Switches, ermöglicht, die über BGP verbunden sind. BGP kann es zwei entfernten Standorten, die über einen VPN-Tunnel verbunden sind, ermöglichen, Routing-Informationen auszutauschen. EVPN kann einen Multiprotokoll-BGP-Mechanismus (MP-BGP) verwenden und eine neue Unteradressenfamilie, z. B. eine EVPN-Adressenfamilie, in einer Layer-2-VPN-Adressenfamilie definieren. In der EVPN-Adressfamilie kann eine EVPN-Netzschicht-Erreichbarkeitsinformation (NLRI) hinzugefügt werden. Die EVPN-NLRI kann verschiedene Arten von BGP-EVPN-Routen definieren, die Informationen wie die Host-IP-Adresse, MAC-Adresse und VXLAN Network Identifier (VNI) enthalten. Nachdem ein Switch 102, der als VTEP fungiert, die IP-Adresse und MAC-Adresse eines angeschlossenen Hosts erfahren hat, kann der VTEP die Informationen über die BGP-EVPN-Routen an andere Switches (VTEPs) senden. Auf diese Weise kann das Erlernen von Host-IP-Adress- und MAC-Adressinformationen in der Steuerebene eines BGP EVPN-basierten VXLANs implementiert werden. So können Informationen der Steuerebene zwischen den Switches 102 unter Verwendung der BGP-EVPN-Routen ausgetauscht werden. Eine solche BGP-EVPN-Route, die eine Zuordnung von MAC-Adresse zu IP-Adresse für ein Host-Gerät enthält, wird als BGP-EVPN-Route vom Typ 2 bezeichnet.
  • Darüber hinaus kann der Prozessor 152 den Rollenmanager 160 ausführen, um ein erweitertes BGP-Community-Feld zu erstellen, das den Rollenidentifikator trägt. In einem Beispiel umfasst eine BGP-Community eine Gruppe von Zielen, die eine gemeinsame Eigenschaft haben. Informationen über die BGP-Community sind als Pfadattribut in BGP-Update-Nachrichten enthalten. BGP-Aktualisierungsnachrichten werden im Allgemeinen zwischen VTEPs in einem BGP-EVPN-basierten VXLAN zum Austausch von NLRI verwendet. Die Informationen über die BGP-Community identifizieren die Mitglieder der Community und ermöglichen die Durchführung von Aktionen für die Gruppe der Ziele. Das erweiterte BGP-Community-Feld kann hersteller- oder anbieterspezifisch sein.
  • Der Prozessor 152 kann den Rollenmanager 158 ausführen, um das erweiterte BGP-Community-Feld mit der Routenankündigungsnachricht zu verbinden. Die Routenankündigungsnachricht kann eine BGP-EVPN-Typ-2-Route sein, die eine Zuordnung zwischen einer IP-Adresse (Internet Protocol) des Host-Geräts und einer MAC-Adresse (Media Access Control) des Host-Geräts angibt. In einem Beispiel kann das Anhängen des erweiterten BGP-Community-Feldes das Markieren eines Attributs in einer BGP-EVPN-Route vom Typ 2 beinhalten, die von BGP-EVPN-Peers in einem VXLAN gemeinsam genutzt wird.
  • Außerdem kann der Prozessor 152 den Routenmanager 160 ausführen, um die Routenankündigungsnachricht an einen anderen Netzwerk-Switch zu senden. Der andere Netzwerk-Switch ist als Peer-VTEP im VXLAN konfiguriert. Beim Empfang der Routenankündigungsnachricht kennt der andere Switch die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien. Der Netzwerk-Switch und der andere Netzwerk-Switch sind in einem einzigen Virtual Local Area Network (VLAN) konfiguriert.
  • Um wieder auf 1A zurückzukommen, kann das Host-Gerät 110 eine Authentifizierungsanforderung an das WAP 103-1 senden, um auf das Netzwerk 100 zuzugreifen. Bei dem Host-Gerät 110 kann es sich um ein drahtloses Host-Gerät handeln, das in der Lage ist, sich mit WAPs zu verbinden. Beispiele für das Host-Gerät 110 können ein Laptop, ein Smartphone, ein Tablet usw. sein. Der WAP 103-1 kann die Authentifizierungsanfrage an den Switch 102-1 weiterleiten. In einem Beispiel kann der Switch 102-1 mit einem Authentifizierungsserver (nicht dargestellt) interagieren, um die Authentifizierungsanforderungsnachricht zu verarbeiten. Die Authentifizierungsanforderung kann Zugangsdaten wie Benutzername und Passwort des Host-Geräts enthalten.
  • Auf der Grundlage der Zugangsdaten kann der Authentifizierungsserver, z. B. RADIUS, die Identität des Host-Geräts validieren und den Netzzugang für das Host-Gerät genehmigen. In einem Beispiel kann ein Authentifizierungsmanager 156 im Switch 102-1 einen Authentifizierungs-Client-Proxy-Dienst enthalten, der die Authentifizierungsanforderung vom Host-Gerät 110 an den Authentifizierungsserver (nicht dargestellt) weiterleiten kann. Der Authentifizierungsserver kann eine zentrale Datenbank mit Benutzerprofilen unterhalten. Der Authentifizierungsserver gleicht die Anmeldedaten des Benutzers mit der Datenbank der Benutzerprofile ab. Wenn es eine Übereinstimmung gibt, kann der Authentifizierungsserver nach Rolleninformationen suchen, die dem Benutzer zugeordnet sind. Die Rolleninformationen sind ein Hinweis auf eine Gruppe/Kategorie des Benutzers des Host-Geräts, das eine Verbindung zum Netzwerk herstellt, auf deren Grundlage die Netzwerkzugangsrichtlinie oder das Profil des Benutzers bestimmt wird. Der Authentifizierungsserver kann eine Authentifizierungsantwortnachricht senden, die eine erfolgreiche Authentifizierung des Host-Geräts 110 anzeigt. Die Authentifizierungsantwortnachricht kann die Rolleninformationen des Benutzers des Host-Geräts 110 enthalten.
  • Als Reaktion auf die erfolgreiche Authentifizierung des Host-Geräts 110 kann der Switch 102-1 dem Host-Gerät eine Rolleninformation auf der Grundlage der Authentifizierungsantwortnachricht vom Authentifizierungsserver zuordnen. In einem Beispiel kann der Rollenmanager 158 des Schalters 102-1 die Datenebene des Schalters 102-1 so konfigurieren, dass er Daten auf der Grundlage der Rolleninformationen des Host-Geräts 110 weiterleitet und somit die Rolleninformationen dem Host-Gerät 110 zuordnet. Die Datenebene (auch Weiterleitungsebene genannt) kann eine Kombination aus Hardware und Software in einem Switch umfassen, die den Benutzerverkehr leitet. Die Datenebene ermöglicht den Datentransfer zu und von Clients, die Abwicklung mehrerer Konversationen über mehrere Protokolle und die Verwaltung von Konversationen mit entfernten Gegenstellen.
  • Da die Vermittlungsstelle 102-1 die Authentifizierungsantwortnachricht vom Authentifizierungsserver empfängt und der Authentifizierungsmanager 156 in der Vermittlungsstelle 102-1 einen Authentifizierungs-Client-Proxy-Dienst enthält, kennt die Vermittlungsstelle 102-1 die Rolleninformationen des Host-Geräts 110 beim Empfang der Authentifizierungsantwortnachricht. In einem Beispiel kann der Rollenmanager 158 des Schalters 102-1 eine Zuordnung zwischen einer MAC des Hostgeräts und der Rolleninformation, z. B. „Gast“, aus der Authentifizierungsantwortnachricht erstellen. In einem Beispiel ist der Rollenidentifikator ein numerischer 16-Bit-Wert, der die Rolleninformationen des Host-Geräts angibt. Der Rollenmanager 158 kann einen Rollenidentifikator, der den Rolleninformationen des Host-Geräts entspricht, aus einer Rollenidentifikatortabelle abrufen. Die Rollenidentifizierungstabelle kann eine Zuordnung von Rolleninformationen zu Rollenidentifizierern enthalten. In einem Beispiel kann die Rollenkennzeichentabelle im Switch 102-1 gespeichert und von einem Netzwerkadministrator vordefiniert sein.
  • Außerdem kann der Rollenmanager 158 ein erweitertes BGP-Community-Feld erstellen, das den Rollenidentifikator enthält. In einem Beispiel wird das erweiterte BGP-Community-Feld als Attribut an eine Route-Advertisement-Nachricht, wie eine EVPN-Typ-2-Nachricht, angehängt, die NLRI zwischen BGP-EVPN-Peers in einem VXLAN veröffentlicht. In einem Beispiel ist die erweiterte BGP-Community ein 4-Oktett-Wert, der in drei Hauptabschnitte unterteilt werden kann, wie in 1C dargestellt. Das erste Oktett des erweiterten BGP-Community-Feldes kodiert ein Typ-Feld, das zweite Oktett ein Sub-Typ-Feld, während die letzten beiden Oktette einen eindeutigen Datensatz in einem durch die Typ- und Sub-Typ-Felder definierten Format enthalten.
  • In einem Beispiel ist das erweiterte BGP-Community-Feld ein undurchsichtiges Community-Feld. In einem Beispiel definiert der Rollenmanager 158 einen Typ des erweiterten BGP-Community-Feldes als (0*43), was anzeigt, dass das Community-Feld eine erweiterte Community ist, und einen Subtyp des erweiterten BGP-Community-Feldes als (0*03), was anzeigt, dass es ein undurchsichtiges Feld ist. Das undurchsichtige Feld zeigt an, dass Mitglieder, die in der Community kategorisiert sind, die Informationen im Community-Feld lesen dürfen, während Nicht-Mitglieder der Community, die das erweiterte BGP-Community-Feld nicht erkennen können, so konfiguriert sind, dass sie das erweiterte BGP-Community-Feld ignorieren und das Paket an seinen nächsten Hop weiterleiten. Ein Beispiel: Zu den Mitgliedern der Community gehören Switches, die von einem bestimmten Original Equipment Manufacturer (OEM) hergestellt wurden. Switches anderer OEMs, die vom Switch 102-1 empfangene Nachrichten weiterleiten, sind möglicherweise nicht in der Lage, das erweiterte Community-Feld zu lesen, und da das erweiterte BGP-Community-Feld undurchsichtig ist, sind solche Switches so konfiguriert, dass sie das Feld ignorieren und das Paket an den nächsten Hop oder das nächste Ziel weiterleiten. In einem Beispiel ist das erweiterte BGP-Community-Feld ein nicht-transitives Community-Feld, d. h., das Feld ist nicht über die Grenzen eines Autonomen Systems (AS) hinaus anwendbar. Außerdem fügt der Rollenmanager 158 des Switches 102-1 das erweiterte BGP-Community-Feld der Route-Advertisement-Nachricht bei.
  • Der Routenmanager 160 des Switches 102-1 sendet dann die Routenankündigungsnachricht an einen anderen Netzwerk-Switch. In einem Beispiel sendet der Switch 102-1 die Route-Advertisement-Nachricht im VLAN 120. Da der Switch 102-2 Teil von VLAN 120 ist, empfängt er die gesendete Route-Advertisement-Nachricht einschließlich des erweiterten BGP-Community-Feldes mit der Rollenkennung. Beim Empfang der Routenankündigungsnachricht ist dem anderen Netzwerk-Switch bekannt, welche Netzzugangsrichtlinien für das Host-Gerät implementiert werden sollen.
  • Als Reaktion auf den Empfang der Routenankündigungsnachricht kann der Switch 102-2 eine Zuordnung von Host-MAC-Adresse zu Rolle auf der Grundlage des Rollenidentifikators erstellen. Diese Zuordnung von MAC-Adresse zu Rolle kann in einer Vermittlungstabelle des Switches 102-2 gespeichert werden. Die Switching-Tabelle enthält im Allgemeinen MAC-Adressen von Host-Geräten und die Switch-Ports, an denen die MAC-Adressen gelernt oder statisch konfiguriert wurden. Als Reaktion auf den Empfang der Route-Advertisement-Meldung kann die MAC-Rollen-Zuordnung zur Vermittlungstabelle des Switches 102-2 hinzugefügt werden. Frames werden weitergeleitet, indem die Ziel-MAC-Adresse in der Switching-Tabelle nachgeschlagen wird. Die Frames werden über den entsprechenden Switch-Port gesendet.
  • Nehmen wir an, das Host-Gerät 110 verlässt den Bereich des WAP 103-1 und wechselt in den Bereich des WAP 103-2, wie durch Pfeil 112 dargestellt. Mit Bezug auf 1A zeigen die gestrichelten Linien des Host-Geräts 110 die neue Position des Host-Geräts 110, wenn es vom WAP 103-1 zum WAP 103-2 wechselt. In einem Beispiel kann sich ein Benutzer des Host-Geräts 110 von einem Stockwerk des Gebäudes in ein anderes Stockwerk des Gebäudes bewegen, was das Host-Gerät 110 veranlassen kann, von WAP 103-1 zu WAP 103-2 zu wechseln. Sobald das Host-Gerät 110 von WAP 103-1 zu WAP 103-2 wechselt, kann das Host-Gerät 110 eine Anfrage senden, um sich mit dem WAP 103-2 zu verbinden. In einem Beispiel kann das WAP 103-2 das Host-Gerät 110 authentifizieren und sich mit diesem verbinden. In einigen anderen Beispielen kann das Host-Gerät 110 Roaming-Techniken verwenden und sich sofort mit dem WAP 103-2 verbinden, sobald es sich aus dem Bereich des WAP 103-1 entfernt und in den Bereich des WAP 103-2 übergeht. Schnelles Roaming, auch als IEEE 802.11r oder Fast BSS Transition (FT) bezeichnet, ermöglicht einem Host-Gerät ein schnelles Roaming in Umgebungen, die WPA2 Enterprise-Sicherheit implementieren, so dass sich das Client-Gerät nicht jedes Mal neu bei einem Authentifizierungsserver, wie z. B. einem RADIUS-Server, authentifizieren muss, wenn es von einem WAP zum anderen wechselt. In einem Beispiel mit schnellem Roaming identifiziert das WAP 103-1 nach der Verbindung des Host-Geräts 110 mit dem WAP 103-1 das Host-Gerät 110 als authentifiziertes Gerät für alle WAPs in der Broadcast-Domäne, wie z. B. VLAN 120 von 1A. Wenn ein Host-Gerät zu einem neuen WAP roamt, werden Informationen aus der ursprünglichen Zuordnung an das neue WAP weitergegeben, um das Host-Gerät mit Anmeldeinformationen zu versehen. Das neue WAP weiß daher, dass das Host-Gerät bereits vom Authentifizierungsserver zugelassen wurde, und muss daher nicht den gesamten Authentifizierungsprozess wiederholen, was eine schnellere/schnellere Verbindung mit dem neuen WAP ermöglicht.
  • Als Reaktion darauf, dass das Host-Gerät 110 vom WAP 103-1 zum WAP 103-2 wechselt, das mit dem Switch 102-2 verbunden ist, und sich mit dem WAP 103-2 verbindet, kann der Switch 102-2 feststellen, dass das Host-Gerät 110 lokal mit dem Switch 102-2 verbunden ist. Ein Host-Gerät, das lokal mit einem Switch verbunden ist, kann so verstanden werden, dass das Host-Gerät mit einem WAP verbunden ist, das mit dem Switch verbunden ist. In einem Beispiel kann der Switch 102-2 drahtlose Zugangsports des Switches 102-2 scannen und auf der Grundlage von MAC-Learnings des WAP 103-2 feststellen, dass das Host-Gerät 110 lokal mit dem Switch 102-2 verbunden ist. Als Reaktion auf die Feststellung, dass das Host-Gerät 110 lokal mit dem Switch 102-2 verbunden ist, kann der Switch 102-2 die MAC-Adresse des Host-Geräts 110 mit Einträgen in seiner Vermittlungstabelle vergleichen. Wenn es eine Übereinstimmung gibt, kann der Switch 102-2 seine Datenebene für die Durchsetzung von Netzwerkrichtlinien für das Host-Gerät 110 auf der Grundlage der Zuordnung von MAC-Adresse und Rolle konfigurieren. Somit können Netzwerkrichtlinien, die mit den Rolleninformationen des Host-Geräts 110 verbunden sind, im Switch 102-2 als Reaktion auf den Übergang des Host-Geräts 110 vom WAP 103-1 zu 103-2 implementiert werden, da die Rolleninformationen des Host-Geräts 110 bereits an den Switch 102-2 weitergegeben werden. Ferner kann der Switch 102-2 in einem Beispiel als Reaktion auf die Trennung des Hostgeräts 110 vom WAP 103-2 die Netzwerkrichtlinien aus seiner Datenebene löschen. Dementsprechend wird kein Hardware-Speicherplatz in der Datenebene des Switches 102-2 für die Speicherung der Netzwerkrichtlinien verbraucht, wenn das Host-Gerät nicht lokal mit dem Switch 102-2 verbunden ist.
  • 2 ist ein Flussdiagramm, das ein Verfahren 200 zur Weitergabe von Rolleninformationen in Switches gemäß einem Beispiel veranschaulicht. Das Verfahren 200 kann auf einem drahtgebundenen Netzwerk-Switch ausgeführt werden, z. B. dem Switch 102-1 in einer Zugriffsschicht A einer Computerumgebung 100 (1).
  • In Block 202 kann ein Switch eine Authentifizierungsanforderungsnachricht von einem Host-Gerät empfangen, das mit einem ersten, mit dem Switch verbundenen WAP verbunden ist. In einem Beispiel ist der Switch als VTEP in einem BGP-EVPN-basierten VXLAN konfiguriert. Der Switch kann einer von mehreren Switches in einer Zugriffsschicht eines CAN sein. Jeder der mehreren Switches kann so konfiguriert sein, dass er das Verfahren von Block 202 durchführt. Das Host-Gerät kann die Authentifizierungsanfrage senden, um eine Verbindung mit dem Netzwerk herzustellen.
  • In Block 204 kann der Switch die Authentifizierungsanforderungsnachricht an einen Authentifizierungsserver, z. B. einen RADIUS-Server, weiterleiten. In einem Beispiel kann der Switch als Authentifizierungs-Proxy-Dienst fungieren, der Authentifizierungsnachrichten im Namen des Host-Geräts weiterleitet und empfängt.
  • In Block 206 kann der Schalter als Reaktion auf die erfolgreiche Authentifizierung des Host-Geräts eine Rolleninformation mit dem Host-Gerät verknüpfen, die auf einer Authentifizierungsantwortnachricht vom Authentifizierungsserver basiert. In einem Beispiel kann die Authentifizierungsantwortnachricht vom Authentifizierungsserver die Rolleninformationen enthalten.
  • In Block 208 kann der Switch auf der Grundlage der Rolleninformationen eine Rollenkennung in eine Routenankündigungsnachricht des Hostgeräts einfügen. In einem Beispiel kann der Switch ein erweitertes BGP-Community-Feld erstellen, das den Rollen-Identifikator trägt, der auf die für das Host-Gerät zu implementierenden Netzwerkrichtlinien hinweist, und kann das erweiterte BGP-Community-Feld mit der Route-Advertisement-Nachricht verbinden.
  • In Block 210 kann der Switch die Routenankündigungsnachricht an einen anderen Netzwerk-Switch senden, wobei der andere Netzwerk-Switch als Peer-VTEP im VXLAN konfiguriert ist. In einem Beispiel sind der Netzwerk-Switch und der andere Netzwerk-Switch in einem einzigen VLAN konfiguriert. Beim Empfang der Routenankündigungsnachricht kennt der andere Netzwerk-Switch die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien.
  • 3 ist ein Flussdiagramm, das ein Verfahren 300 zur Weitergabe von Rolleninformationen in Switches gemäß einem Beispiel veranschaulicht. Das Verfahren 300 kann auf einem verdrahteten Switch ausgeführt werden, z. B. dem Switch 102-1 in einer Zugriffsschicht A einer Computerumgebung 100 (1).
  • Nehmen wir an, es gibt mehrere miteinander verbundene Switches in einer Zugangsebene des Netzes. Der Switch kann in Block 302 eine Authentifizierungsanforderungsnachricht von einem Host-Gerät empfangen, das mit einem ersten, mit dem Switch verbundenen WAP verbunden ist. In einem Beispiel kann der Switch mit einem Authentifizierungsserver (nicht dargestellt) interagieren, um die Authentifizierungsanforderungsnachricht zu verarbeiten. Die Authentifizierungsanforderungsnachricht kann Zugangsdaten enthalten, z. B. Benutzername und Passwort eines Benutzers des Hostgeräts. Der Switch leitet die Authentifizierungsanforderung in Block 304 an den Authentifizierungsserver weiter.
  • Auf der Grundlage der Zugangsdaten kann der Authentifizierungsserver, z. B. RADIUS, die Identität des Benutzers des Host-Geräts validieren und den Netzzugang für den Benutzer des Host-Geräts autorisieren. In einem Beispiel kann der Switch einen Authentifizierungs-Client-Proxy-Dienst enthalten, der die Authentifizierungsanforderungsnachricht vom Host-Gerät an den Authentifizierungsserver weiterleiten kann. Der Authentifizierungsserver kann eine zentrale Datenbank mit Benutzerprofilen unterhalten. Der Authentifizierungsserver gleicht die Anmeldedaten des Benutzers mit der Datenbank der Benutzerprofile ab. Wenn es eine Übereinstimmung gibt, kann der Authentifizierungsserver prüfen, ob dem Benutzer Rolleninformationen zugeordnet sind. Die Rolleninformationen geben Aufschluss über eine Gruppe/Kategorie des Benutzers des Host-Geräts, das eine Verbindung zum Netz herstellt, auf deren Grundlage die Netzzugangsrichtlinie oder das Profil des Benutzers bestimmt wird. Der Authentifizierungsserver kann eine Authentifizierungsantwortnachricht senden, die eine erfolgreiche Authentifizierung des Hostgeräts anzeigt. Der Switch kann in Block 306 prüfen, ob die Authentifizierung erfolgreich war. Beim Empfang der Authentifizierungs-Antwortnachricht, die die erfolgreiche Authentifizierung vom Authentifizierungsserver anzeigt, kann der Schalter feststellen, dass die Authentifizierung erfolgreich war („YES“-Zweig von Block 306). Wird die Nachricht über die erfolgreiche Authentifizierung nicht empfangen, stellt die Vermittlungsstelle fest, dass die Authentifizierung fehlgeschlagen ist („Nein“-Zweig von Block 306), und kann in Block 308 nach Authentifizierungsanforderungen von anderen Host-Geräten suchen.
  • Als Reaktion auf die erfolgreiche Authentifizierung des Host-Geräts kann der Switch die Rolleninformationen auf der Grundlage der Authentifizierungsantwortnachricht vom Authentifizierungsserver mit dem Host-Gerät verknüpfen. Daher kann der Switch in Block 310 seine Datenebene so konfigurieren, dass er Daten zum/vom Host-Gerät auf der Grundlage der Rolle des Host-Geräts verarbeitet und somit die Rolleninformationen mit dem Host-Gerät verknüpft.
  • Da der Switch die Authentifizierungsantwortnachricht vom Authentifizierungsserver empfängt, kennt er die in der Authentifizierungsantwortnachricht enthaltenen Rolleninformationen. In Block 312 kann der Switch eine Zuordnung zwischen einer MAC des Hostgeräts und der Rolleninformation, z. B. „Gast“, aus der Authentifizierungsantwortnachricht erstellen. In einem Beispiel ist der Rollenidentifikator ein numerischer 16-Bit-Wert, der die Rolle des Host-Geräts angibt. In Block 314 kann der Schalter einen Rollenidentifikator, der den Rolleninformationen des Host-Geräts entspricht, aus einer Rollenidentifikatortabelle abrufen. Die Rollenkennzeichnungstabelle kann eine Zuordnung von Rolleninformationen zu Rollenkennungen enthalten. In einem Beispiel kann die Rollenkennzeichentabelle im Switch gespeichert und von einem Netzwerkadministrator vordefiniert sein.
  • In Block 316 kann der Switch ein erweitertes BGP-Community-Feld erstellen, das den Rollenidentifikator trägt. In einem Beispiel wird das erweiterte BGP-Community-Feld als Attribut an eine Route-Advertisement-Nachricht, z. B. eine EVPN-Typ-2-Nachricht, angehängt, die NLRI zwischen BGP EVPN-basierten Peer-VTEPs in einem VXLAN veröffentlicht. In einem Beispiel ist die erweiterte BGP-Community ein 4-Oktett-Wert, der in drei Hauptabschnitte unterteilt werden kann. Das erste Oktett des erweiterten BGP-Community-Feldes kodiert ein Type-Feld, das zweite Oktett ein Sub-Type-Feld, während die letzten beiden Oktette einen eindeutigen Datensatz in einem durch die Type- und Sub-Type-Felder definierten Format enthalten.
  • In einem Beispiel ist das erweiterte BGP-Community-Feld ein undurchsichtiges Community-Feld. In einem Beispiel definiert der Switch einen Typ des erweiterten BGP-Community-Feldes als (0*43), was anzeigt, dass das Community-Feld eine erweiterte Community ist, und einen Subtyp des erweiterten BGP-Community-Feldes als (0*03), was anzeigt, dass es ein undurchsichtiges Feld ist. Das undurchsichtige Feld zeigt an, dass Mitglieder, die in der Community kategorisiert sind, die Informationen im Community-Feld lesen dürfen, während Nicht-Mitglieder der Community, die das erweiterte BGP-Community-Feld nicht erkennen können, so konfiguriert sind, dass sie das erweiterte BGP-Community-Feld ignorieren und das Paket an seinen nächsten Hop weiterleiten. Ein Beispiel: Zu den Mitgliedern der Community gehören Switches, die von einem bestimmten Original Equipment Manufacturer (OEM) hergestellt wurden. Switches anderer OEMs, die von dem Switch empfangene Nachrichten weiterleiten, sind möglicherweise nicht in der Lage, das erweiterte Community-Feld zu lesen, und da das erweiterte BGP-Community-Feld undurchsichtig ist, ignorieren solche Switches das Feld und leiten das Paket an den nächsten Hop weiter. Ein Beispiel für das erweiterte BGP-Community-Feld ist in 1C dargestellt. Der Switch fügt dann das erweiterte BGP-Community-Feld in Block 318 an die Route-Advertisement-Nachricht an.
  • In Block 320 sendet der Switch die Route Advertisement Message in seiner Broadcast-Domäne. Dadurch erhalten andere Switches in derselben Broadcast-Domäne die Route-Advertisement-Nachricht mit dem erweiterten BGP-Community-Feld. Beim Empfang der Routenankündigungsnachricht sind den anderen Netzwerk-Switches die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien bekannt.
  • 3B illustriert die Schritte des Verfahrens 300, die von einem anderen Switch ausgeführt werden, der die Route Advertisement Message empfängt. Wie in 3B gezeigt, erstellt ein anderer Switch in der Broadcast-Domäne als Reaktion auf den Empfang der Routenankündigungsnachricht in Block 322 eine Zuordnung zwischen Host-MAC-Adresse und Rolle auf der Grundlage des Rollenidentifikators. Diese Zuordnung von MAC-Adresse zu Rolle kann in einer Vermittlungstabelle des anderen Switches gespeichert werden. Die Switching-Tabelle enthält im Allgemeinen MAC-Adressen von Host-Geräten und die Switch-Ports, an denen die MAC-Adressen gelernt oder statisch konfiguriert wurden. Als Reaktion auf den Empfang der Route-Advertisement-Meldung kann die MAC-Rollen-Zuordnung zur Switching-Tabelle des Switches 102-2 hinzugefügt werden. Frames werden weitergeleitet, indem die Ziel-MAC-Adresse in der Switching-Tabelle nachgeschlagen wird. Die Frames werden über den entsprechenden Switch-Port gesendet.
  • Nehmen wir an, das Host-Gerät verlässt den Bereich des ersten WAPs und wechselt in den Bereich eines zweiten WAPs, das mit dem anderen Switch verbunden ist. In einem Beispiel kann sich ein Benutzer des Host-Geräts von einem Stockwerk des Gebäudes in ein anderes Stockwerk des Gebäudes bewegen, was das Host-Gerät veranlassen kann, vom ersten WAP zum zweiten WAP zu roamen. Sobald das Host-Gerät vom ersten WAP zum zweiten WAP wechselt, kann das Host-Gerät eine Anfrage senden, um sich mit dem zweiten WAP zu verbinden. In einem Beispiel kann das zweite WAP das Host-Gerät authentifizieren und sich mit diesem verbinden. In anderen Beispielen kann das Host-Gerät beim Roaming schnelle Roaming-Techniken verwenden und sich sofort mit dem zweiten WAP verbinden, sobald es den Bereich des ersten WAP verlässt und in den Bereich des zweiten WAP wechselt.
  • In Block 324 kann der Switch seine Wireless Access Ports scannen. Anhand der MAC-Lerndaten des zweiten WAP kann der Switch prüfen, ob die MAC-Adresse des Host-Geräts mit einer der MAC-Adressen übereinstimmt, die für einen seiner Wireless Access Ports gelernt wurden. Wenn eine Übereinstimmung vorliegt, kann der Switch in Block 326 feststellen, dass das Host-Gerät lokal mit ihm verbunden ist. Ein Host-Gerät, das lokal mit einem Switch verbunden ist, kann so verstanden werden, dass das Host-Gerät mit einem an den Switch angeschlossenen WAP verbunden ist. Als Reaktion auf die Feststellung, dass das Host-Gerät lokal mit dem Switch verbunden ist, kann der Switch in Block 328 die MAC-Adresse des Host-Geräts mit Einträgen in seiner Vermittlungstabelle vergleichen. Als Reaktion auf eine Übereinstimmung kann der Switch in Block 330 seine Datenebene für die Durchsetzung von Netzwerkrichtlinien für das Host-Gerät auf der Grundlage der Zuordnung von MAC-Adresse und Rolle konfigurieren. Auf diese Weise können Netzwerkrichtlinien, die mit den Rolleninformationen des Host-Geräts verbunden sind, in dem anderen Switch implementiert werden, wenn das Host-Gerät vom ersten WAP zum zweiten WAP wechselt. Dies liegt daran, dass die Rolleninformationen des Host-Geräts bereits mit der Route-Advertisement-Nachricht an den anderen Switch weitergegeben wurden. Als Reaktion auf das Roaming des Host-Geräts vom ersten WAP zum zweiten WAP kann der andere Switch die Netzwerkrichtlinien des Host-Geräts auf der Grundlage der Rolleninformationen des Host-Geräts durchsetzen, die als Ergebnis der vom anderen Switch erstellten Zuordnung von MAC-Adresse zu Rolle erhalten wurden.
  • 4 ist ein Beispiel für ein Computergerät 400 mit einem Hardware-Prozessor 401 und zugänglichen maschinenlesbaren Anweisungen, die auf einem maschinenlesbaren Medium 402 gespeichert sind, um ein Beispielsystem gemäß einer oder mehrerer offengelegter Beispielimplementierungen zu implementieren. In einem Beispiel kann die Rechenvorrichtung 400 ein Netzwerk-Switch sein, wie der Switch 102, der oben unter Bezugnahme auf 1 beschrieben wurde. 4 zeigt die Rechenvorrichtung 400, die so konfiguriert ist, dass sie die unten beschriebenen Anweisungen 404-412 ausführt. Die Rechenvorrichtung 400 kann jedoch auch so konfiguriert sein, dass sie den Ablauf anderer Methoden, Techniken, Funktionen oder Prozesse durchführt, die in dieser Offenbarung beschrieben sind, wie z. B. die Methode 200 von 2.
  • Ein Verarbeitungselement wie der Prozessor 401 kann einen oder mehrere Hardware-Prozessoren enthalten, wobei jeder Hardware-Prozessor einen oder mehrere Prozessorkerne haben kann. In einer Ausführungsform kann der Prozessor 401 mindestens einen gemeinsam genutzten Cache enthalten, der Daten (z. B. Rechenanweisungen) speichert, die von einer oder mehreren anderen Komponenten des Prozessors 401 genutzt werden. Bei dem gemeinsam genutzten Cache kann es sich beispielsweise um lokal zwischengespeicherte Daten handeln, die in einem Speicher für einen schnelleren Zugriff durch die Komponenten der Verarbeitungselemente, aus denen der Prozessor 401 besteht, gespeichert sind. In einer oder mehreren Ausführungsformen kann der gemeinsam genutzte Cache einen oder mehrere Mid-Level-Caches, wie z. B. Level 2 (L2), Level 3 (L3), Level 4 (L4) oder andere Cache-Ebenen, einen Last-Level-Cache (LLC) oder Kombinationen davon umfassen. Beispiele für Prozessoren sind u. a. eine zentrale Verarbeitungseinheit (CPU), ein Mikroprozessor. Obwohl in 4 nicht dargestellt, können die Verarbeitungselemente, aus denen der Prozessor 401 besteht, auch eine oder mehrere andere Arten von Hardwareverarbeitungskomponenten umfassen, wie z. B. Grafikverarbeitungseinheiten (GPU), anwendungsspezifische integrierte Schaltungen (ASICs), feldprogrammierbare Gate-Arrays (FPGAs) und/oder digitale Signalprozessoren (DSPs).
  • Der Prozessor 401 kann operativ und kommunikativ mit einem Speicher verbunden sein. Bei dem Speicher kann es sich um ein nicht transitorisches, computerlesbares Medium handeln, wie das maschinenlesbare Speichermedium 402, das so konfiguriert ist, dass es verschiedene Arten von Daten speichern kann. Zum Beispiel kann der Speicher eine oder mehrere Speichervorrichtungen umfassen, die eine nichtflüchtige Speichervorrichtung und/oder einen flüchtigen Speicher umfassen. Ein flüchtiger Speicher, wie z. B. ein Speicher mit wahlfreiem Zugriff (RAM), kann eine beliebige geeignete nichtflüchtige Speichervorrichtung sein. Zu den nichtflüchtigen Speichergeräten können ein oder mehrere Festplattenlaufwerke, optische Laufwerke, Solid-State-Laufwerke (SSDs), Tap-Laufwerke, Flash-Speicher, Festwertspeicher (ROM) und/oder jede andere Art von Speicher gehören, die dafür ausgelegt sind, Daten nach einem Stromausfall oder einem Abschaltvorgang für eine gewisse Zeit aufzubewahren. In bestimmten Fällen können die nichtflüchtigen Speichergeräte zur Speicherung von Überlaufdaten verwendet werden, wenn der zugewiesene Arbeitsspeicher nicht groß genug ist, um alle Arbeitsdaten zu speichern. Die nichtflüchtigen Speichervorrichtungen können auch zum Speichern von Programmen verwendet werden, die in den Arbeitsspeicher geladen werden, wenn solche Programme zur Ausführung ausgewählt werden.
  • Das maschinenlesbare Speichermedium 402 von 4 kann sowohl flüchtige als auch nicht flüchtige, entfernbare und nicht entfernbare Medien umfassen und kann jedes elektronische, magnetische, optische oder andere physikalische Speichergerät sein, das ausführbare Anweisungen, Datenstrukturen, Programmmodule oder andere Daten enthält oder speichert, auf die ein Prozessor zugreifen kann, z. B. Firmware, löschbarer programmierbarer Festwertspeicher (EPROM), Direktzugriffsspeicher (RAM), nicht flüchtiger Direktzugriffsspeicher (NVRAM), optische Platte, Solid-State-Laufwerk (SSD), Flash-Speicherchips und dergleichen. Das maschinenlesbare Speichermedium kann ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ keine transitorischen Übertragungssignale umfasst.
  • Das maschinenlesbare Medium 402 enthält Anweisungen 404, die, wenn sie vom Prozessor 401 ausgeführt werden, einen Switch veranlassen, eine Authentifizierungsanforderungsnachricht von einem Host-Gerät zu empfangen, das mit einem ersten, mit einem Switch verbundenen WAP verbunden ist. Der Switch ist als VTEP in einem BGP-EVPN-basierten VXLAN konfiguriert.
  • Die Anweisungen 406 veranlassen, wenn sie von dem Prozessor 401 ausgeführt werden, den Schalter, die Authentifizierungsanforderungsnachricht an einen Authentifizierungsserver weiterzuleiten. Als Reaktion auf eine erfolgreiche Authentifizierung des Host-Geräts veranlassen die Anweisungen 408, wenn sie vom Prozessor 401 ausgeführt werden, die Vermittlungsstelle, dem Host-Gerät eine Rolleninformation zuzuordnen, die auf einer Authentifizierungsantwortnachricht vom Authentifizierungsserver basiert. Die Anweisungen 410 veranlassen, wenn sie vom Prozessor 401 ausgeführt werden, die Vermittlungsstelle, eine Rollenkennung in einer Routenankündigungsnachricht des Hostgeräts auf der Grundlage der Rolleninformationen hinzuzufügen. In einem Beispiel kann der Switch ein erweitertes BGP-Community-Feld erstellen, das den Rollen-Identifikator trägt, der auf die für das Host-Gerät zu implementierenden Netzwerkrichtlinien hinweist, und das erweiterte BGP-Community-Feld an die Route-Advertisement-Nachricht anhängen. Die Anweisungen 412 veranlassen, wenn sie vom Prozessor 401 ausgeführt werden, den Switch, die Route-Advertisement-Nachricht an einen anderen Netzwerk-Switch zu senden, wobei der andere Netzwerk-Switch als ein Peer-VTEP im VXLAN konfiguriert ist. Der Switch und der andere Netzwerk-Switch sind in einem einzigen Virtual Local Area Network (VLAN) konfiguriert. Beim Empfang der Routenankündigungsnachricht sind dem anderen Netzwerk-Switch die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien bekannt.
  • Ein Netzwerk-Switch oder eine Vermittlungsstelle, wie sie in den hier genannten Beispielen verwendet werden, leitet Daten (in Steuerpaketen) zwischen einem Absendergerät und einem Empfängergerät (oder mehreren Empfängergeräten) auf der Grundlage von Weiterleitungsinformationen (oder gleichwertigen „Routing-Informationen“) weiter, auf die der Switch zugreifen kann. Die Weiterleitungsinformationen können Einträge enthalten, die Netzwerkadressen (z. B. MAC-Adressen oder IP-Adressen) und/oder Ports auf entsprechende Netzwerkpfade zu dem/den Empfängergerät(en) abbilden.
  • WAPs sind ein Beispiel für einen Zugangspunkt zu einem Netzwerk, wie dem Netzwerk 100 von 1. Die WAPs können den Netzwerkzugang der Host-Geräte steuern und die Host-Geräte für die Verbindung mit den WAPs und über die WAPs mit anderen Geräten innerhalb des Netzwerks authentifizieren. Jeder WAP kann eine Kombination aus Hardware, Software und/oder Firmware sein, die so konfiguriert ist, dass sie drahtlose Netzwerkkonnektivität für drahtlose Host-Geräte bereitstellt. Im gezeigten Beispiel können die WAPs von einem Controller verwaltet und konfiguriert werden. Die WAPs kommunizieren mit dem Controller und dem Netzwerk über Verbindungen, bei denen es sich um verdrahtete oder drahtlose Schnittstellen handeln kann.
  • In dieser Beschreibung und den Ansprüchen werden bestimmte Begriffe verwendet, die sich auf bestimmte Systemkomponenten beziehen. Wie der Fachmann weiß, können sich verschiedene Parteien auf eine Komponente mit unterschiedlichen Namen beziehen. In diesem Dokument wird nicht beabsichtigt, zwischen Komponenten zu unterscheiden, die sich zwar im Namen, nicht aber in der Funktion unterscheiden. In dieser Offenbarung und in den Ansprüchen werden die Begriffe „einschließlich“ und „umfassend“ in einer offenen Weise verwendet und sollten daher so interpretiert werden, dass sie „einschließlich, aber nicht beschränkt auf ...“ bedeuten. Auch der Begriff „koppeln“ oder „koppeln“ soll entweder eine indirekte oder direkte drahtgebundene oder drahtlose Verbindung bedeuten. Wenn also ein erstes Gerät mit einem zweiten Gerät gekoppelt wird, kann diese Verbindung durch eine direkte Verbindung oder durch eine indirekte Verbindung über andere Geräte und Verbindungen erfolgen. Die Formulierung „basiert auf‟ soll bedeuten „basiert zumindest teilweise auf‟. Wenn also X auf Y basiert, kann X eine Funktion von Y und einer beliebigen Anzahl anderer Faktoren sein.
  • Die obigen Ausführungen sollen die Grundsätze und verschiedenen Umsetzungen der vorliegenden Offenlegung veranschaulichen. Zahlreiche Variationen und Modifikationen werden dem Fachmann einleuchten, sobald die obige Offenbarung vollständig verstanden ist. Es ist beabsichtigt, die folgenden Ansprüche so auszulegen, dass sie alle derartigen Variationen und Modifikationen umfassen.

Claims (20)

  1. Ein Netzwerk-Switch mit: einen Prozessor; und ein nicht-übertragbares, computerlesbares Medium, das Anweisungen enthält, die, wenn sie vom Prozessor ausgeführt werden, den Netzwerk-Switch dazu veranlassen,: eine Authentifizierungsanforderungsnachricht von einem Host-Gerät empfangen, das mit einem ersten drahtlosen Zugangspunkt (WAP) verbunden ist, der mit dem Netzwerk-Switch verbunden ist, wobei der Netzwerk-Switch als ein VXLAN-TunnelEndpunkt (VTEP) in einem auf dem Border Gateway Protocol (BGP) Ethernet Virtual Private Network (EVPN) basierenden Virtual Extensible Local Area Network (VXLAN) konfiguriert ist; die Nachricht über die Authentifizierungsanfrage an einen Authentifizierungsserver weiterleiten; als Reaktion auf den Empfang einer Authentifizierungs-Antwortnachricht vom Authentifizierungsserver eine Rolleninformation mit dem Host-Gerät auf der Grundlage der Authentifizierungs-Antwortnachricht zu verknüpfen; Hinzufügen einer Rollenkennung zu einer Routenankündigungsnachricht des Host-Geräts auf der Grundlage der Rolleninformationen, wobei die Routenankündigungsnachricht eine Abbildung zwischen einer Internetprotokoll (IP)-Adresse des Host-Geräts und einer Media Access Control (MAC)-Adresse des Host-Geräts anzeigt, wobei der Netzwerkschalter zum Hinzufügen der Rollenkennung Folgendes tut: ein erweitertes BGP-Community-Feld erzeugen, das den Rollenidentifikator trägt, der die für das Host-Gerät zu implementierenden Netzzugangsrichtlinien angibt; und das erweiterte BGP-Community-Feld an die Route-Advertisement-Nachricht anhängen; und Senden der Routenankündigungsnachricht an einen anderen Netzwerk-Switch, wobei der andere Netzwerk-Switch als Peer-VTEP im VXLAN konfiguriert ist und der Netzwerk-Switch und der andere Netzwerk-Switch in einem einzigen Virtual Local Area Network (VLAN) konfiguriert sind, und wobei bei Empfang der Routenankündigungsnachricht dem anderen Netzwerk-Switch die für das Host-Gerät zu implementierenden Netzwerkzugangsrichtlinien bekannt sind.
  2. Der Netzwerk-Switch nach Anspruch 1, wobei das erweiterte BGP-Community-Feld ein undurchsichtiges Community-Feld ist.
  3. Der Netzwerk-Switch nach Anspruch 1, wobei das erweiterte BGP-Community-Feld ein nicht-transitives Community-Feld ist.
  4. Der Netzwerk-Switch nach Anspruch 1, wobei die Routen-Ankündigungsnachricht eine BGP-EVPN-Typ-2-Route ist.
  5. Der Netzwerk-Switch nach Anspruch 1, wobei das erweiterte BGP-Community-Feld vier Oktette umfasst.
  6. Der Netzwerk-Switch nach Anspruch 1, wobei der Rollenidentifikator ein Sechzehn-Bit-Wert ist, der mit dem niedrigstwertigen Bit des erweiterten BGP-Community-Feldes beginnt.
  7. Netzwerk-Switch nach Anspruch 1, wobei das erweiterte BGP-Community-Feld umfasst: eine Typinformation, die angibt, dass das erweiterte BGP-Gemeinschaftsfeld eine nichttransitive undurchsichtige erweiterte Gemeinschaft ist; und eine Subtyp-Information, die angibt, dass das erweiterte BGP-Community-Feld die Rollenkennung trägt.
  8. Der Netzwerk-Switch nach Anspruch 1, wobei der Netzwerk-Switch ein Access-Switch an einem Kundenrand ist.
  9. Ein Verfahren, das Folgendes umfasst: Empfangen einer Authentifizierungsanforderungsnachricht von einem Host-Gerät, das mit einem ersten drahtlosen Zugangspunkt (WAP) verbunden ist, der mit dem Netzwerk-Switch verbunden ist, durch einen Netzwerk-Switch, wobei der Netzwerk-Switch als ein VXLAN-Tunnelendpunkt (VTEP) in einem Border Gateway Protocol (BGP) Ethernet Virtual Private Network (EVPN) basierten Virtual Extensible Local Area Network (VXLAN) konfiguriert ist; Weiterleitung der Authentifizierungsanforderungsnachricht durch den Netzwerk-Switch an einen Authentifizierungsserver; als Reaktion auf eine erfolgreiche Authentifizierung des Host-Geräts, Zuordnen einer Rolleninformation zu dem Host-Gerät durch den Netzwerk-Switch auf der Grundlage einer Authentifizierungsantwortnachricht von dem Authentifizierungsserver; Hinzufügen, durch den Netzwerk-Switch, eines Rollen-Identifizierers in einer Routen-Ankündigungsnachricht des Host-Gerätes basierend auf der Rolleninformation, wobei die Routen-Ankündigungsnachricht eine Abbildung zwischen einer InternetProtokoll (IP)-Adresse des Host-Gerätes und einer Media-Access-Control (MAC)-Adresse des Host-Gerätes anzeigt, wobei das Hinzufügen des Rollen-Identifizierers umfasst: Erzeugen eines erweiterten BGP-Community-Feldes, das den Rollen-Identifikator trägt, der die für das Host-Gerät zu implementierenden Netzwerkrichtlinien angibt; und Anhängen des erweiterten BGP-Community-Feldes an die Route-Advertisement-Nachricht; und Senden der Routenankündigungsnachricht durch den Netzwerk-Switch an einen anderen Netzwerk-Switch, wobei der andere Netzwerk-Switch als Peer-VTEP im VXLAN konfiguriert ist, der Netzwerk-Switch und der andere Netzwerk-Switch in einem einzigen Virtual Local Area Network (VLAN) konfiguriert sind, und wobei bei Empfang der Routenankündigungsnachricht der andere Netzwerk-Switch die für das Host-Gerät zu implementierenden Netzwerkzugangsrichtlinien kennt.
  10. Das Verfahren nach Anspruch 9, wobei das erweiterte BGP-Community-Feld ein undurchsichtiges Community-Feld ist.
  11. Das Verfahren nach Anspruch 9, wobei das erweiterte BGP-Community-Feld ein nicht-transitives Community-Feld ist.
  12. Das Verfahren nach Anspruch 9, wobei die Routenankündigung eine BGP-EVPN-Typ-2-Route ist.
  13. Das Verfahren nach Anspruch 9, wobei das erweiterte BGP-Community-Feld vier Oktette umfasst.
  14. Das Verfahren nach Anspruch 9, wobei das erweiterte BGP-Community-Feld umfasst: eine Typinformation, die angibt, dass das erweiterte BGP-Gemeinschaftsfeld eine nichttransitive undurchsichtige erweiterte Gemeinschaft ist; und eine Subtyp-Information, die angibt, dass das erweiterte BGP-Community-Feld die Rollenkennung trägt.
  15. Das Verfahren nach Anspruch 9, wobei der Netzwerk-Switch ein Access-Switch an einem Kundenrand ist.
  16. Das Verfahren nach Anspruch 9, das ferner umfasst, dass der andere Netzwerk-Switch eine Zuordnung von Host-MAC-Adressen (Media Access Control) zu Rollen erstellt, die auf dem Rollen-Identifikator basiert, der aus der vom Netzwerk-Switch empfangenen Routen-Ankündigungsnachricht erhalten wurde.
  17. Das Verfahren nach Anspruch 16 umfasst ferner das Durchsetzen von Netzwerkrichtlinien des Host-Geräts durch den anderen Netzwerk-Switch und als Ergebnis des Erstellens der MAC-Adressen-Rollen-Zuordnung, basierend auf der Rolle des Host-Geräts, als Reaktion auf das Roaming des Host-Geräts von dem ersten WAP zu einem zweiten WAP, das mit dem anderen Netzwerk-Switch verbunden ist.
  18. Das Verfahren nach Anspruch 16 umfasst ferner das Konfigurieren einer Datenebene durch den anderen Netzwerk-Switch zur Durchsetzung von Netzwerkrichtlinien für das Host-Gerät auf der Grundlage der MAC-Adresse-Rollen-Zuordnung als Reaktion auf das Roaming des Host-Geräts von dem ersten WAP zu einem zweiten WAP, das mit dem anderen Netzwerk-Switch verbunden ist.
  19. Ein nicht-transitorisches, computerlesbares Medium, das Anweisungen enthält, die, wenn sie von einem Prozessor ausgeführt werden, einen Netzwerk-Switch dazu veranlassen: eine Authentifizierungsanforderungsnachricht von einem Host-Gerät empfangen, das mit einem ersten drahtlosen Zugangspunkt (WAP) verbunden ist, der mit dem Netzwerk-Switch verbunden ist, wobei der Netzwerk-Switch als ein VXLAN-TunnelEndpunkt (VTEP) in einem auf dem Border Gateway Protocol (BGP) Ethernet Virtual Private Network (EVPN) basierenden Virtual Extensible Local Area Network (VXLAN) konfiguriert ist; die Nachricht über die Authentifizierungsanfrage an einen Authentifizierungsserver weiterleiten; als Reaktion auf eine erfolgreiche Authentifizierung des Host-Geräts eine Rolleninformation mit dem Host-Gerät auf der Grundlage einer Authentifizierungsantwortnachricht vom Authentifizierungsserver zu verknüpfen; Hinzufügen einer Rollenkennung in einer Routenankündigungsnachricht des Host-Geräts auf der Grundlage der Rolleninformationen, wobei die Routenankündigungsnachricht eine Abbildung zwischen einer Internetprotokoll (IP)-Adresse des Host-Geräts und einer Media Access Control (MAC)-Adresse des Host-Geräts anzeigt, wobei der Netzwerkschalter zum Hinzufügen der Rollenkennung Folgendes tut: ein erweitertes BGP-Community-Feld zu erzeugen, das den Rollenidentifikator trägt, der die für das Host-Gerät zu implementierenden Netzwerkrichtlinien angibt; und das erweiterte BGP-Community-Feld an die Route-Advertisement-Nachricht anhängen; und Senden der Routenankündigungsnachricht an einen anderen Netzwerk-Switch, wobei der andere Netzwerk-Switch als Peer-VTEP im VXLAN konfiguriert ist, der Netzwerk-Switch und der andere Netzwerk-Switch in einem einzigen Virtual Local Area Network (VLAN) konfiguriert sind, und wobei bei Empfang der Routenankündigungsnachricht der andere Netzwerk-Switch die für das Host-Gerät zu implementierenden Netzwerkzugangsrichtlinien kennt.
  20. Das nicht-transitorische computerlesbare Medium nach Anspruch 19, wobei das erweiterte BGP-Community-Feld ein undurchsichtiges und nicht-transitives Community-Feld ist.
DE102022126664.8A 2022-04-04 2022-10-13 Weitergabe von rolleninformationen in access switches Pending DE102022126664A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/712,342 2022-04-04
US17/712,342 US20230318961A1 (en) 2022-04-04 2022-04-04 Role information propagation in access switches

Publications (1)

Publication Number Publication Date
DE102022126664A1 true DE102022126664A1 (de) 2023-10-05

Family

ID=88018841

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022126664.8A Pending DE102022126664A1 (de) 2022-04-04 2022-10-13 Weitergabe von rolleninformationen in access switches

Country Status (3)

Country Link
US (1) US20230318961A1 (de)
CN (1) CN116938809A (de)
DE (1) DE102022126664A1 (de)

Also Published As

Publication number Publication date
US20230318961A1 (en) 2023-10-05
CN116938809A (zh) 2023-10-24

Similar Documents

Publication Publication Date Title
DE102012220834B4 (de) Verfahren und Vorrichtung zum Umsetzen eines flexiblen virtuellen lokalen Netzwerks
DE112016007055B4 (de) Querverbindung von Switches auf der Basis eines hierarchischen Overlay-tunneling
US8902904B2 (en) Network assignment based on priority
US10111053B2 (en) Overlaying virtual broadcast domains on an underlying physical network
DE69727930T2 (de) Zusammenfassung von verbindungen in vermittlungskommunikationsnetzen
DE60216862T2 (de) System und Verfahren zum mikromobilitätsbasierten Netz-Routing
DE60310593T2 (de) Routing in einem datenkommunikationsnetz
DE69636126T2 (de) Verteilte verbindungsorientierte dienste für vermittelte fernmeldenetz
DE602004011783T2 (de) Beschränkter WLAN-Zugriff für eine unbekannte Mobilstation
DE602006000868T2 (de) Verfahren und System zur Einsparung von Batterieenergie in drahtlosen Geräten operierend in einem lokalen drahtlosen Netzwerk
DE112008003903T5 (de) Vereinheitlichung von Virtualisierungen in einem Kernnetz und einem drahtlosen Zugangsnetz
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE102020203746A1 (de) Interworking-techniken informationszentrischer netzwerke
DE112005003332T5 (de) Multicast-Architektur für drahtlose Maschennetze
DE102021110225A1 (de) Erkennung von netzwerkdiensten
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
DE112022003743T5 (de) Sichere frame-verschlüsselung als dienst
Cattoni et al. Mobile low latency services in 5G
US20140119187A1 (en) Processing method, device and system for controlling packet broadcast
DE102022126664A1 (de) Weitergabe von rolleninformationen in access switches
US9231862B2 (en) Selective service based virtual local area network flooding
DE102019128185A1 (de) Heterogenes drahtloses wechseln eines informationszentrischen netzwerks
US20230024996A1 (en) Seamless mobility for clients receiving multicast traffic
US11909819B1 (en) Synchronization of client IP binding database across extended networks leveraging BGP control plane
US11909591B2 (en) Dynamic user private networks of a shared virtual network

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB - PATENT- , DE

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB PATENTANWA, DE