DE102023126692A1 - Synchronisierung einer client-ip-bindungsdatenbank über erweiterte netzwerke hinweg unter nutzung einer bgp-kontrollebene - Google Patents

Synchronisierung einer client-ip-bindungsdatenbank über erweiterte netzwerke hinweg unter nutzung einer bgp-kontrollebene Download PDF

Info

Publication number
DE102023126692A1
DE102023126692A1 DE102023126692.6A DE102023126692A DE102023126692A1 DE 102023126692 A1 DE102023126692 A1 DE 102023126692A1 DE 102023126692 A DE102023126692 A DE 102023126692A DE 102023126692 A1 DE102023126692 A1 DE 102023126692A1
Authority
DE
Germany
Prior art keywords
bgp
synchronization identifier
switch
information
update message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023126692.6A
Other languages
English (en)
Inventor
Saumya Dikshit
Thimma Reddy Gadekal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102023126692A1 publication Critical patent/DE102023126692A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es werden ein Verfahren und ein System bereitgestellt, die die Synchronisierung von Client-IP-Bindungsdatenbanken über ein erweitertes Netzwerk hinweg durch die Nutzung der BGP-Kontrollebene erleichtern. Während des Betriebs konfiguriert ein Switch einen ersten Synchronisationsidentifikator, der validierte Internetprotokoll-(IP-) Bindungsinformationen eines zugeordneten Clients angibt. Der Switch empfängt eine Border-Gateway-Protokoll- (BGP-) Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält. Als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt, extrahiert der Switch aus der BGP-Aktualisierungsnachricht Erreichbarkeitsinformationen, die dem ersten Client zugeordnete Medienzugriffskontroll-(MAC) und IP-Informationen enthalten; validiert die MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien und fügt die MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank hinzu, wodurch eine Synchronisation der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.

Description

  • HINTERGRUND
  • Feld
  • In einem erweiterten Netzwerk mit Clients innerhalb und über mehrere Fabrics hinweg besteht eine Funktion in der Synchronisierung der Client-IP-Bindungsdatenbank, in der erlernte Media Access Control (MAC-) und Internetprotokoll (IP-) Details (IP-Bindungen) von Clients gespeichert werden. Switches können vertrauenswürdige Datenbanken aufbauen, um validierte IP-Bindungen zu speichern. Diese Datenbanken können sich jedoch lokal auf den Zugangspunkt oder Switch beziehen, mit dem die Clients verbunden sind, während andere Zugangs-Switches innerhalb einer Fabric im erweiterten Netzwerk oder in einer entfernten Fabric im erweiterten Netzwerk den Client als nicht vertrauenswürdig und/oder nicht autorisiert behandeln können. Dies kann dazu führen, dass Switches Dienste für legitime Clients verweigern.
  • KURZBESCHREIBUNG DER FIGUREN
    • 1A zeigt eine Umgebung für ein erweitertes Schicht-2-Netzwerk gemäß einem Aspekt der vorliegenden Anmeldung.
    • 1B zeigt eine Umgebung, in der die Herausforderungen beim Hinzufügen eines neuen Hosts in einem erweiterten Schicht-2-Netzwerk gemäß dem Stand der Technik dargestellt sind.
    • 1C zeigt eine Umgebung, in der die Herausforderungen der Migration eines zuvor validierten Hosts in einem erweiterten Schicht-2-Netzwerk gemäß dem Stand der Technik dargestellt sind.
    • 2A zeigt ein beispielhaftes Format für ein Erweiterte-Communities-Pfadattribut, das einen Client-IP-Bindungs-Synchronisationsidentifikator gemäß einem Aspekt der vorliegenden Anmeldung angibt.
    • 2B zeigt eine Tabelle, die ein Feld, eine Größe und eine Beschreibung für das Format eines Erweiterte-Communities-Pfadattributs angibt, das einen Client-IP-Binding-Synchronisationsidentifikator gemäß einem Aspekt der vorliegenden Anmeldung angibt.
    • 3 illustriert eine Umgebung für ein erweitertes Schicht-2-Netzwerk, einschließlich der Kommunikation einer Border-Gateway-Protocol- (BGP-) Aktualisierungsnachricht mit dem erweiterten Community-Pfad-Attribut, das einen Client-IP-Bindungs-Synchronisations-Identifikator anzeigt, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung.
    • 4 stellt ein Flussdiagramm dar, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk, einschließlich der Vorgänge durch einen sendenden Zugangs-Switch, gemäß einem Aspekt der vorliegenden Anmeldung erleichtert.
    • 5A stellt ein Flussdiagramm dar, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk erleichtert, einschließlich der Operationen eines empfangenden Zugangs-Switches, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung.
    • 5B stellt ein Flussdiagramm dar, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk erleichtert, einschließlich Operationen durch einen empfangenden Zugangs-Switch, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung.
    • 6 zeigt eine Vorrichtung oder einen Switch, der die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk hinweg in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung erleichtert.
  • In den Figuren beziehen sich gleiche Ziffern auf die gleichen Elemente der Figur.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende Beschreibung soll den Fachmann in die Lage versetzen, die Aspekte und Beispiele herzustellen und zu verwenden, und wird im Zusammenhang mit einer bestimmten Anwendung und deren Anforderungen gegeben. Verschiedene Modifikationen der offenbarten Aspekte sind für den Fachmann leicht ersichtlich, und die hier definierten allgemeinen Grundsätze können auf andere Aspekte und Anwendungen angewandt werden, ohne vom Geist und Umfang der vorliegenden Offenbarung abzuweichen. Daher sind die hier beschriebenen Aspekte nicht auf die gezeigten Aspekte beschränkt, sondern haben den größtmöglichen Umfang, der mit den hier offenbarten Grundsätzen und Merkmalen vereinbar ist.
  • In einem erweiterten Netzwerk mit Clients innerhalb und über mehrere Fabrics hinweg ist eine wichtige Funktion die Synchronisierung der Client-IP-Bindungsdatenbank, in der erlernte MAC- und IP-Details (IP-Bindungen) von Clients gespeichert werden. Switches können vertrauenswürdige Datenbanken aufbauen, um validierte IP-Bindungen zu speichern. Diese Datenbanken können sich jedoch lokal auf den Zugangspunkt oder Switch beziehen, mit dem die Clients verbunden sind, während andere Zugangs-Switches innerhalb einer Fabric im erweiterten Netzwerk oder in einer entfernten Fabric im erweiterten Netzwerk den Client als nicht vertrauenswürdig und/oder nicht autorisiert behandeln können. Dies kann dazu führen, dass Switches Dienste für legitime Clients verweigern. Derzeit gibt es keine bekannte Standardtechnik, um diese Synchronisierung zwischen Switches innerhalb eines erweiterten Netzwerkes oder über ein erweitertes Netzwerk hinweg, z.B. in einem Overlay-Netz, zu erreichen. Ohne diese Synchronisierung kann beispielsweise einem Host, der für den Zugriff auf einen ersten Switch in einem erweiterten Netzwerk autorisiert ist (auf Basis von IP-Bindungen, die vom ersten Switch validiert wurden), anschließend fälschlicherweise der Zugriff auf einen zweiten Switch im erweiterten Netzwerk verweigert werden, wie unten in Bezug auf 1C beschrieben.
  • Aspekte der vorliegenden Anmeldung befassen sich mit diesen Herausforderungen, indem sie ein System und Verfahren bereitstellen, das diese Synchronisierung in einem erweiterten oder Overlay-Netzwerk erleichtert, das durch ein Border Gateway Protocol (BGP) bereitgestellt wird, z.B. über ein virtuelles privates Ethernet-Netzwerk (EVPN). Ein beispielhaftes erweitertes Netzwerk wird unten in Bezug auf 1A beschrieben. Das System kann ein neues Pfadattribut definieren, das in einer BGP-Aktualisierungsnachricht zu übertragen ist, die anschließend an alle oder ausgewählte Switches in dem erweiterten Netzwerk veröffentlicht wird. Das neue Pfadattribut kann ein Pfadattribut des Typs Erweiterte Communities (EC) sein, das einen „Client-IP-Bindungs-Synchronisationsidentifikator“ angibt. Ein beispielhaftes Format dieses Pfadattributs vom Typ EC wird im Folgenden mit Bezug auf die 2A und 2B beschrieben. Die BGP-Aktualisierungsnachricht, die dieses EC-Pfadattribut trägt, kann auch die MAC- und IP-Bindungsinformationen eines bestimmten Clients enthalten. Die BGP-Aktualisierungsnachricht kann auch als Route-Typ-2-Nachricht bezeichnet werden.
  • Jeder Switch im erweiterten Netzwerk kann dieselbe Synchronisierungskennung („Sync-ID“) konfigurieren und seine eigenen lokal erlernten IP-Bindungen (z.B. für seine zugeordneten Clients) validieren und speichern. Nach der Validierung der IP-Bindung eines ersten Clients kann ein erster Switch eine BGP-Aktualisierungsnachricht erzeugen und veröffentlichen, die die MAC- und IP-Informationen des Clients sowie die Sync-ID (als EC-Pfadattribut) enthält. Ein zweiter Switch kann die BGP-Update-Nachricht empfangen und feststellen, dass die empfangene Sync-ID mit seiner zuvor konfigurierten Sync-ID übereinstimmt. Der zweite Switch kann aus der BGP-Aktualisierungsnachricht Netzwerkschicht-Erreichbarkeitsinformationen (NLRI) extrahieren, die die mit dem ersten Client verbundenen MAC- und IP-Informationen enthalten können. Der zweite Switch kann die MAC- und IP-Informationen validieren und die validierten MAC- und IP-Informationen zu seiner lokalen Client-IP-Bindungsdatenbank hinzufügen. Beispielhafte Vorgänge eines Gesamtsystems werden im Folgenden in Bezug auf 3 beschrieben, während Vorgänge eines ersten Switches (z.B. eines sendenden Zugangs-Switch) und eines zweiten Switches (z.B. eines empfangenden Zugangs-Switch) im Folgenden in Bezug auf die 4, 5A und 5B beschrieben werden.
  • Die beschriebenen Aspekte, einschließlich der Kommunikation zwischen den Switches im BGP-bereitgestellten Overlay-Netzwerk, können zur Synchronisierung der validierten IP-Bindungsinformationen des ersten Clients zwischen dem ersten Switch und dem zweiten Switch führen. Dies kann zu einem schnelleren und korrekteren Prozess für die Migration des ersten Kunden vom ersten Switch zum zweiten Switch führen. Durch die Nutzung der BGP-Kontrollebene und die Verwendung einer Erweiterung des EC-Pfadattributs können die vorliegenden Aspekte die Synchronisierung von validierten Client-Bindungsinformationen zwischen Switches in einem erweiterten Netzwerk ermöglichen.
  • Die Begriffe „gekoppelt an“, „angeschlossen an“ und „zugeordnet zu“ werden in dieser Offenbarung austauschbar verwendet und beziehen sich auf Einheiten, die in einem einzigen Sprung erreicht werden können oder die direkt miteinander kommunizieren können.
  • Der Begriff „Switch“ kann sich z.B. auf einen Zugangs-Switch oder einen Grenzswitch beziehen. Wenn der Begriff „Switch“ verwendet wird, um die First-Hop-Zugangs-Switches zu beschreiben, die mit Hosts oder Clients verbunden sind, kann der Begriff „Switch“ auch virtuelle Tunnelendpunkte (VTEPs) oder „Zugangs-VTEPs“ umfassen, die mit virtuellen lokalen Netzen (VLANs) verbunden sind.
  • Der Begriff „erweitertes Netzwerk“ kann sich auf ein Netz beziehen, das mehrere Switches in mehreren Fabrics umfasst, die sich z.B. über ein WAN erstrecken. Ein erweitertes Netzwerk kann in einem Campus oder in einem Rechenzentrum eingesetzt werden. Ein erweitertes Netzwerk kann ein erweitertes Schicht-2-Netzwerk oder ein Overlay-Netz sein, einschließlich, aber nicht beschränkt auf: ein virtuelles privates Ethernet-Netz (EVPN), einen virtuellen privaten LAN-Dienst (VPLS), einen virtuellen privaten Leitungsdienst (VPWS) und ein virtuelles privates Schicht-3-Netzwerk (L3-VPN). Die Fabric im Overlay-Netz kann unter anderem Folgendes umfassen: ein virtuelles erweiterbares lokales Netzwerk (VxLAN), eine Multiprotokoll-Label-Switching-Technik (MPLS), eine Netzwerkvirtualisierung mit generischer Routing-Kapselung (NV-GRE) und eine allgemeine Protokollerweiterung (GPE).
  • Eine „BGP-Aktualisierungsnachricht“ und eine „BGP-Zurücknahmenachricht“ können als „Route-Typ-2“-Paket oder -Nachricht bezeichnet werden. In einigen Aspekten können die beschriebenen BGP-Aktualisierungs- und Zurücknahmenachrichten das neue Pfadattribut „Erweiterte Communities“ (EC) enthalten, das den Client-IP-Binding-Synchronisationsidentifikator und damit verbundene Informationen enthält. Das Format dieses EC-Pfadattributs wird nachstehend in Bezug auf die 2A und 2B beschrieben.
  • Die Begriffe „Host“ und „Client“ werden in dieser Offenbarung austauschbar verwendet und beziehen sich auf eine Einheit, eine Komponente, eine Anwendung, einen Dienst oder ein Computergerät, das mit einem Zugangs-Switch verbunden ist. Die „IP-Bindungsinformationen“ eines Clients oder Hosts können z.B. die MAC-Adresse, eine entsprechende IP-Adresse und/oder den VLAN-Bezeichner umfassen.
  • Herausforderungen bei der Erleichterung der Synchronisierung der Client-IP-Bindungsdatenbank über erweiterte Netzwerke hinweg
  • Switches in einem erweiterten Netz können vertrauenswürdige Datenbanken von Schicht-3-Clients aufbauen, z.B. durch Snooping in Dynamic Host Configuration Protocol (DHCP) / Neighbor Discovery (ND) Paketen im Client-VLAN. Sicherheits- und analytische Anwendungen können diese Datenbanken nutzen. Sicherheitsanwendungen können dazu beitragen, das Netz vor unbefugten und/oder nicht vertrauenswürdigen Benutzern zu schützen, während analytische Anwendungen helfen können, die Art des Zugriffs mit Telemetriedaten für bestimmte Hosts zu beurteilen. Diese Informationen können dazu beitragen, den Zustand des gesamten erweiterten Netzwerkes auf sichere und sachkundige Weise aufrechtzuerhalten. So kann das System beispielsweise Angriffe auf den ARP-Cache (Address Resolution Protocol) verhindern und den Datenverkehr nur von bekannten Clients auf Zugangsports zulassen. Das System kann auch Denial-of-Service (DoS-) und Man-in-the-Middle (MITM-) Angriffe verhindern.
  • 1A zeigt eine Umgebung 100 für ein erweitertes Schicht-2-Netzwerk gemäß einem Aspekt der vorliegenden Anmeldung. Die Umgebung 100 kann mehrere Fabrics umfassen, die über ein Weitverkehrsnetz (WAN) kommunizieren, wobei jede Fabric mehrere Switches umfassen kann, einschließlich Zugangs-Switches und Border-Switches. Ein Overlay-Netz (z.B. ein Virtual Extensible Lokalbereichsnetz (VxLAN)) kann definiert werden, indem die Switches als virtuelle Tunnelendpunkte (VTEPs) verwendet werden, wobei Gruppen von Switches einer gemeinsamen VLAN-Kennung zugewiesen werden können.
  • Grenzswitches in einer Fabric_1 110, einer Fabric_2 120 und einer Fabric_3 130 können über ein WAN 102 miteinander kommunizieren. Fabric_1 110 kann einen Zugangs-Switch oder VTEP_11 112, einen Zugangs-Switch oder VTEP_12 114 und einen Border-Switch border_1 116 enthalten. Fabric_2 120 kann einen Zugangs-Switch oder VTEP_21 122 und einen Grenzswitch border_2 124 umfassen. Fabric_3 130 kann einen Zugangs-Switch oder VTEP_31 132 und einen Grenzswitch border_3 134 enthalten.
  • Verschiedene Hosts können mit jedem der Zugangs-Switches (VTEPs 112, 114, 122 und 132) gekoppelt sein oder mit ihnen kommunizieren, die als First-Hop-Zugangs-Switches für einen bestimmten Host dienen können. Diese Hosts und zugehörigen VTEPs können in VLANs gruppiert werden. Beispielsweise kann ein Host_1 140 mit VTEP_12 114 gekoppelt sein oder mit diesem kommunizieren und eine VLAN-Kennung von VLAN_20 106 erhalten. Ein Host_2 142 kann mit VTEP_11 112 gekoppelt sein oder mit diesem kommunizieren und eine VLAN-Kennung von VLAN_10 104 zugewiesen bekommen. Ein Host_3 144 kann mit VTEP_31 132 gekoppelt werden oder mit diesem kommunizieren und ihm kann die VLAN-Kennung VLAN_20 106 zugewiesen werden. Ein drahtloser Controller 146 kann mit VTEP_21 122 gekoppelt werden oder mit diesem kommunizieren und eine VLAN-Kennung von VLAN_10 104 zugewiesen bekommen. Mehrere drahtlose Hosts 150 (wie die Hosts 152, 154, 156 und 158) können mit dem drahtlosen Controller 146 kommunizieren.
  • Jeder Zugangs-Switch kann seine eigene lokale Client-IP-Bindungsdatenbank unterhalten, die Informationen über validierte IP-Bindungen für Clients in einem bestimmten Switch enthält. So kann beispielsweise VTEP_11 112 eine lokale Client-IP-Bindungsdatenbank 113 enthalten, während VTEP_31 132 eine lokale Client-IP-Bindungsdatenbank 133 enthalten kann. Es gibt derzeit keine Möglichkeit, die validierten IP-Bindungen dieser separaten lokalen Datenbanken zu synchronisieren. Ohne eine explizite Lösung (wie unten beschrieben) sind die Informationen über die validierten IP-Bindungen der Clients anderen Switches innerhalb und zwischen Fabrics im erweiterten Netzwerk möglicherweise nicht bekannt. Obwohl sich z.B. VTEP_11 112 und VTEP_12 114 in derselben Fabric_1 110 befinden, kann jeder VTEP nur DHCP-Pakete ausspähen, die von seinen lokal angeschlossenen Hosts stammen oder für diese bestimmt sind. Das heißt, VTEP_11 112 kann nur Pakete von/zu host_2 142 abhören, und VTEP_12 114 kann nur Pakete von/zu host_1 140 abhören. Solche ausgespähten Pakete können im Allgemeinen per Unicast an/von dem DHCP-Server gesendet werden, der sich an einem zentralisierten Ort befindet (nicht dargestellt). Außerdem dürfen diese ausgespähten Pakete nicht an entfernte Netze weitergegeben werden. So werden die von host_1 140 und host_2 142 (als Teil von fabric_1 110) erzeugten DHCP-Pakete nicht an entfernte Fabrics (z.B. fabric_2 120 und fabric_3 130) weitergegeben, und diese Pakete können auch nicht von entfernten Zugangsgeräten (z.B. VTEP_21 122 und VTEP_31 132) abgefangen werden. Infolgedessen werden die erlernten IP-Bindungsinformationen von Clients nicht zwischen Zugangs-Switches ausgetauscht, weder innerhalb derselben Fabric noch über eine entfernte Fabric hinweg.
  • 1B und 1C beschreiben zwei Beispiele, die die Herausforderungen veranschaulichen, die sich aus der fehlenden Synchronisation zwischen den Client-IP-Bindungsdatenbanken der verschiedenen Switches im selben erweiterten Netzwerk ergeben. 1B zeigt eine Umgebung 160, die die Herausforderungen beim Hinzufügen eines neuen Hosts in einem erweiterten Schicht-2-Netzwerk gemäß dem Stand der Technik veranschaulicht. In der Umgebung 160 wird ein neuer Host_4 162 dargestellt, der versucht, auf VTEP_31 132 von Fabric_3 130 zuzugreifen (gekennzeichnet durch eine fette gestrichelte Linie 164). Da VTEP_31 132 in seiner Client-IP-Bindungsdatenbank 133 keine Informationen über host_4 162 als validierten Client speichert, wird VTEP_31 132 den Zugriff auf host_4 162 verweigern.
  • 1C zeigt eine Umgebung 170, die die Herausforderungen der Migration eines zuvor validierten Hosts in einem erweiterten Schicht-2-Netzwerk gemäß dem Stand der Technik veranschaulicht. In der Umgebung 170 hat VTEP_11 112 bereits host_2 142 validiert und die relevanten Informationen in seiner lokalen Client-IP-Bindungsdatenbank 113 gespeichert. Wenn host_2 142 sich bewegt oder migriert, um auf VTEP_31 132 zuzugreifen (wobei der ursprüngliche Zugriff durch ein fettes X 172 in der ursprünglichen Kommunikation mit VTEP_11 112 und der neue Zugriff durch eine fette gestrichelte Linie 174 gekennzeichnet ist), wird VTEP_31 132 den Zugriff auf host_2 142 verweigern. Wie beim Beispiel des neuen Hosts in 1B oben speichert VTEP_31 132 in seiner Client-IP-Bindungsdatenbank 133 keine Informationen über Host_2 142 als validierten Client. Daher wird VTEP_31 132 host_2 142 wie einen neuen, noch nie validierten Host (z.B. host_4 162) behandeln und den Zugriff verweigern. VTEP_31 132 kann anschließend sein eigenes Sicherheitsvalidierungsprotokoll für host_2 142 durchführen. Die fehlende Synchronisierung der Client-IP-Bindungsdatenbanken im gesamten erweiterten Netzwerk kann jedoch sowohl zu unnötigen und falschen Zugangsverweigerungen für legitime und zuvor validierte Clients als auch zu zusätzlichen separaten und unnötigen Validierungen durch jeden Zugangs-Switch führen.
  • Eine mögliche Lösung zur Behebung dieser Einschränkungen in Bezug auf die Synchronisierung der Client-IP-Bindungsdatenbanken in einem erweiterten Netzwerk kann darin bestehen, diese Client-Datenbanken durch Sniffing in Datenpakete zu erstellen. Diese Lösung hat jedoch mehrere Probleme. Ein erstes Problem besteht darin, dass das Schnüffeln von Datenpaketen möglicherweise das Lernen von Broadcast-Paketen wie ARP und ND erfordert. Die Zugangs-Switches können Gratuitous-ARP-Pakete (GARP) abfangen und die Existenz von Hosts hinter einem bestimmten Zugangs-Switch (d.h. an diesen gekoppelt) erfahren. Die Bridge-Domain-Erweiterung über Fabrics kann es erforderlich machen, dass diese Broadcast-Pakete über die WAN-Pipe (WAN 102) übertragen und bei Anfragen zur Host-Erkennung regelmäßig aktualisiert werden müssen.
  • In den obigen Umgebungen der 1A, 1B und 1C kann Host_1 140 von Fabric_1 110 GARPs generieren, die bei einem typischen Lernen auf der Datenebene an die entfernten Fabrics (Fabric_2 120 und Fabric_3 130) geflutet werden können. So können die GARPs von host_1 140 über die Fabrics verbreitet und an jeden von border_1 116, VTEP_11 112, border_2 124 und border_3 134 übertragen werden. Clients oder Hosts, die an die Zugangs-Switches angeschlossen sind, senden möglicherweise zu häufig GARP-Pakete (d.h. zu viele und zu häufig), was zu einer Verschärfung der Broadcast-Lecks im WAN 102 führen kann.
  • DHCP-Snooping funktioniert hier möglicherweise nicht, da DHCP-Pakete, wie oben beschrieben, nur auf der Seite des Zugangs-Switches abgefangen werden können, nicht aber auf der Fabric-Seite. Somit können die abgefangenen DHCP-Pakete nicht zu den entfernten Fabrics gelangen. Außerdem ist selbst in DHCP-Relay-basierten Implementierungen die Relay-Konfiguration lokal in einem Fabric und kann daher auch nicht an die Remote-Fabrics weitergegeben werden.
  • Ein zweites Problem kann entstehen, wenn unterschiedlichen VLANs innerhalb oder zwischen den Fabrics das gleiche Subnetz oder der gleiche Satz von IP-Adressen zugewiesen wird. So können z.B. VLAN_10 104 von fabric_1 110 und VLAN_20 106 von fabric_3 130 demselben Subnetz-Gateway zugeordnet sein, z.B. 10.0.0.0/24. Die Client-IP-Bindungen (die über DHCP oder ND-Snooping erlernt und z.B. auf VTEP_11 112 und VTEP_31 132 gehostet werden) müssen möglicherweise synchronisiert werden, wenn die Broadcast-Domäne über eine andere VNI erweitert wird (z.B. eine VNI von 100, die VLAN_10 104 zugeordnet ist, und eine VNI von 200, die VLAN_20 106 zugeordnet ist). Somit müssen die IP-Bindungen (Zuweisungen) für dasselbe (oder ein anderes) Subnetz, aber über die VLANs in unterschiedlichen Fabrics synchronisiert werden. Diese Synchronisierung ist bei einem Einsatz mit nativen VLAN-Erweiterungen und VLAN-Translations-basierten Fabric-Erweiterungen oder statischen VxLAN-basierten Netzwerkerweiterungen möglicherweise nicht möglich.
  • Ein weiteres Beispiel für dieses zweite Problem ist, dass dasselbe VLAN über verschiedene Fabrics mit unterschiedlichen Subnetzzuweisungen erweitert werden kann, z.B. können Clients, die mit VTEP_12 114 auf Fabric_1 110 und VLAN_20 106 verbunden sind, auf 10.0.0.0/24 abgebildet werden, während Clients, die mit VTEP_31 132 auf Fabric_3 130 und VLAN_20 106 verbunden sind, auf 20.0.0.0/24 abgebildet werden können. Somit kann dasselbe VLAN_20 106 einem anderen Satz von IP-Adressen (d.h. einem anderen Subnetz) auf verschiedenen VTEPs in verschiedenen Fabrics zugeordnet sein. Wenn die beiden Fabrics zu zwei verschiedenen Unternehmen gehören, die möglicherweise im Rahmen einer Unternehmensfusion/-übernahme fusionieren, kann dasselbe VLAN_20 106 auf jeder Fabric unterschiedliche Merkmale aufweisen, einschließlich, aber nicht beschränkt auf die unterschiedlich zugewiesenen Subnetze. Bei VTEPs in verschiedenen Fabrics kann ein bestimmtes VTEP, obwohl sie zum selben VLAN gehören, die Bindungen eines entfernten VTEP verwerfen, da die unterschiedlich zugewiesenen Subnetze dazu führen können, dass das bestimmte VTEP die Bindungen des entfernten VTEP nicht erkennt.
  • Ein drittes Problem beim Schnüffeln in Datenebenenpaketen (z.B. unter Verwendung der Datenebenenlösung über GARPs und NDs) besteht darin, dass das Fluten solcher Pakete über das WAN an alle entfernten Fabrics zu ungerechtfertigtem Lernen in Fabrics führen kann, über die keine Bedienerkontrolle besteht. Nehmen wir an, dass die drei in 1A dargestellten Fabrics zum selben VLAN gehören, d.h., dass VLAN_10 104 auf alle drei Fabrics 110, 120 und 130 ausgedehnt ist. Es kann schwierig sein, die IP-Binding-Validierungsinformationen nur auf ein Fabric zu beschränken. Wenn zum Beispiel dasselbe VLAN auf mehrere Fabrics ausgedehnt wird, werden GARPs von Fabric_1 110 sowohl an Fabric_2 120 als auch an Fabric_3 130 gesendet. Dies kann zu Informationsverlusten und einem Sicherheitsrisiko führen. Die Quell-Fabrics (z.B. fabric_1 110) haben in der in diesem Beispiel beschriebenen same-VLAN-Konfiguration möglicherweise keine Kontrolle über das Fluten des WAN. Es kann erforderlich sein, die Synchronisierung zwischen bestimmten Fabrics selektiv zu unterbinden oder einzuschränken. Eine Möglichkeit, diese Einschränkung zu umgehen, ist die Verwendung von Zugriffskontrolllisten (ACLs), aber ACLs können teuer sein und stellen möglicherweise keine praktikable Lösung für diese Einschränkung dar.
  • Darüber hinaus kann in DHCP-Relay-basierten Implementierungen oder Konfigurationen der DHCP-Austausch zwischen einem mit einem Client verbundenen Zugangs-Switch und dem Server über einen Unicast-Kanal erfolgen. Dieser vorherrschende Anwendungsfall kann es anderen Zugangs-Switches unmöglich machen, die DHCP-Pakete eines bestimmten Clients zu überwachen.
  • Ein viertes Problem betrifft Aktualisierungen. Wenn eine DHCP/IP-Bindung freigegeben wird oder ein Lease abläuft, gibt es derzeit keine Möglichkeit, eine Benachrichtigung über den Lease-Ablauf mit Hilfe von Updates auf der Datenebene zu senden. Das heißt, das Konzept des „Zurückziehens“ existiert bei der Dataplane-Lösung nicht, da die über den EVPN-Tunnel über die Dataplane erlernten Informationen keine Ablaufinformationen enthalten (es sei denn, es ist eine gültige MAC damit verbunden). Im Gegensatz dazu kann bei den hier beschriebenen, auf der BGP-EVPN-Kontrollebene basierenden Aktualisierungen der Status als Teil einer BGP-Zurücknahmenachricht (wie weiter unten beschrieben) aufgefrischt werden. Die BGP-Zurücknahmenachricht kann anzeigen, dass eine bestimmte MAC- und IP-Bindung nicht mehr gültig ist, und diese Nachricht kann, wie weiter unten beschrieben, an alle anderen entfernten VTEPs übermittelt werden.
  • Ein fünftes Problem kann im Zusammenhang mit SDN-Gateways (Software-definiertes Networking) auftreten. Ein Campus-Einsatz kann SDN-Gateways umfassen, die eine Verschlüsselung von Datenpaketen vornehmen, z.B. die Sicherheitskapselung. In Fällen, in denen keine SDN-Gateways vorhanden sind, kann das Problem des Durchsickerns von GARPs auftreten. Die native Verkapselung von Broadcast-, Unknown-Unicast- und Multicast-Datenverkehr (BUM) bietet möglicherweise keine ausreichende Sicherheit. Darüber hinaus können Sicherheitsprobleme auftreten, wenn man sie mit der nativen Message-Digest Algorithm 5 (MD5-) Kapselung der BGP-Kontrollebene vergleicht, die die Sicherheitsmerkmale der zugrunde liegenden Transportschicht (z.B. Transmission Control Protocol (TCP)) nutzen kann, wie unter https://datatracker.ietf.org/doc/rfc7454/ beschrieben.
  • Zusammenfassung des Systems zur Erleichterung der Synchronisierung der Client-IP-Bindungsdatenbank über erweiterte Netzwerke hinweg unter Nutzung der BGP-Kontrollebene
  • Es gibt derzeit keine Lösung oder Technik, die diese Probleme im Zusammenhang mit der Verwendung einer Datenebene-basierten Bereitstellung angehen kann. Die beschriebenen Aspekte stellen ein System bereit, das sowohl die oben beschriebenen Probleme als auch die in Bezug auf die 1A und 1C. Die beschriebenen Aspekte können die BGP-EVPN-Kontrollebene nutzen, indem sie Synchronisationsinformationen in die generierten BGP-Update-Nachrichten huckepack nehmen. Die BGP-Update-Nachrichten können mehrere Pfadattribute enthalten. In einem Pfadattribut, „MP_REACH_NLRI“, kann die BGP-Aktualisierungsnachricht die Zuverlässigkeitsinformationen der Netzwerkebene (NLRI) enthalten, die mit einem bestimmten Client verbunden sind. Die NLRI kann angeben, dass die „EVPN NRLI“ eine „MAC Advertisement Route“ und der „Routentyp“ eine „MAC Advertisement Route (2)“ (d.h. eine Route-Typ-2) ist. Die NLRI kann auch Folgendes angeben: den BGP-Adressen-Familienidentifikator (AFI), den Nachfolgende-Adresse-Familienidentifikator (SAFI), die IP-Bindungsinformationen (d.h. die MAC- und IP-Informationen) und die Virtuellen Netzwerkidentifikatoren (VNI).
  • In einem anderen Pfadattribut, „EXTENDED_COMMUNITIES“ (EC), können die beschriebenen Aspekte ein neues EC-Pfadattribut erweitern oder einschließen, das als „Client IP Binding Sync“ Erweiterte Communities definiert ist. EVPN kann für eine VxLAN-Fabric-Erweiterung über das WAN verwendet werden, wobei die IP-basierte Native-Transport-Kapselung (Underlay) zum Einsatz kommt. Da EVPN den Kern von Fabric-Implementierungen zur Unterstützung von Multi-Homing und Multi-Tenancy bildet, kann die Erweiterung der BGP-EVPN-Kontrollebene die oben beschriebenen Herausforderungen in Bezug auf die Synchronisierung der Client-IP-Binding-Informationen zwischen Switches innerhalb und zwischen Fabrics in einem erweiterten Netzwerk verringern. Die BGP-Aktualisierungsnachricht kann so konfiguriert werden, dass sie für alle oder ausgewählte Hosts gilt, die an einen entsprechenden Zugangs-Switch angeschlossen sind. Es wird darauf hingewiesen, dass ein Host in der BGP-EVPN-Kontrollebene über ein Segment (z.B. eine EVPN-Instanz (EVI)) mit mehr als einem VTEP gekoppelt oder verbunden sein kann (was auf Multihoming hinweisen kann).
  • - Beispielhaftes Format des Erweiterte-Communities-Pfadattributs mit Client Binding Sync ID
  • 2A zeigt ein beispielhaftes Format 200 für ein Erweiterte-Communities-Pfadattribut, das einen Client-IP-Binding-Synchronisationsidentifikator gemäß einem Aspekt der vorliegenden Anmeldung angibt. Das Format 200 zeigt in Vierergruppen angeordnete Oktette 210 mit 8 Bits pro Oktett. Die Daten 212 können Folgendes enthalten: ein Feld Typ 202 (in den Bits 0-7); ein Feld Untertyp 204 (in den Bits 8-15); und einen Client-IP-Bindungs-Synchronisationsidentifikator („Sync-ID“) 206 (angegeben als 206.1 in den Bits 16-31 und 206.2 in den Bits 32-63). Einzelheiten zu jedem dieser drei Felder werden weiter unten in Bezug auf 2B beschrieben.
  • 2B zeigt eine Tabelle 230 mit Spalten für ein Feld 232, eine Grö-ße 234 und eine Beschreibung 236 für das Format eines erweiterten Community-Pfad-Attributs, das einen Client-IP-Binding-Synchronisationsidentifikator angibt, gemäß einem Aspekt der vorliegenden Anmeldung. Eine Zeile 242 kann angeben, dass das Feld „TYPE“ eine Größe von 1 Oktett hat, und die entsprechende Beschreibung kann angeben, dass das Feld TYPE ein neu definiertes proprietäres Feld sein kann. Zeile 242 kann auch angeben, dass dieses Attribut transitiv ist, d.h., dass das Feld von einem empfangenden Knoten während der Übertragung des Feldes (z.B. während die Information das Netz durchläuft) nicht geändert werden kann. Zeile 242 kann auch anzeigen, dass der Wert eines Bits in dem Oktett auf den Wert „0“ gesetzt ist, um die transitive (d.h. nicht veränderbare) Natur dieses Feldes anzuzeigen.
  • In Zeile 244 kann angegeben werden, dass das Feld „SUB-TYPE“ eine Größe von 1 Oktett hat, und in der entsprechenden Beschreibung kann angegeben werden, dass der Wert dieses SUB-TYPE-Feldes wie unter https://datatracker.ietf.org/doc/html/rfc4360#section-7 beschrieben zugewiesen oder auf einen beliebigen nicht zugewiesenen Wert innerhalb des unter https://datatracker.ieft/doc/html/rfc7153#section 5.2 definierten Bereichs gesetzt werden kann. Darüber hinaus kann dieses SUB-TYPE-Feld auf einen Wert gesetzt werden, der einer empfangenden Stelle anzeigt, dass die NLRI zum Zweck der Synchronisierung der IP-Bindungsinformationen (z.B. der lokalen Client-IP-Bindungsdatenbanken der verschiedenen Switches) verarbeitet werden soll.
  • In Zeile 246 kann angegeben werden, dass das Feld „CLIENT IP BINDING SYNC ID“ eine Größe von 6 Oktetten hat, und in der entsprechenden Beschreibung kann angegeben werden, dass der Wert dieses Feldes CLIENT IP BINDING SYNC ID konfiguriert werden kann, um die IP-Bindungsinstanz zu kategorisieren. Außerdem kann dieses Feld für alle Daten gelten, die in der MAC- und IP-NLRI in derselben BGP-Aktualisierungsnachricht übertragen werden. Die IP-Bindungsinstanz kann konfigurierbar sein, und der Wert dieses Feldes kann von der Implementierung abhängig sein.
  • -- Systemarchitektur, die die Synchronisierung der Client-IP-Bindungsdatenbank über erweiterte Netzwerke hinweg unter Nutzung der BGP-Kontrollebene erleichtert
  • 3 zeigt eine Umgebung 300 für ein erweitertes Schicht-2-Netzwerk, einschließlich der Kommunikation einer Border Gateway Protocol (BGP-) Update-Nachricht mit dem erweiterten Community-Pfad-Attribut, das eine Client-IP-Binding-Sync-ID angibt, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung. Die Umgebung 300 ähnelt der Umgebung 100 von 1A und zeigt darüber hinaus Vorgänge im Zusammenhang mit der Aufnahme des neuen Pfadattributs EC in eine BGP-Aktualisierungsnachricht.
  • Nehmen wir an, dass VTEP_11 112 von fabric_1 110 ein sendender Knoten und VTEP_31 auf fabric_3 130 ein empfangender Knoten ist. In der Realität kann die BGP-Aktualisierungsnachricht an alle oder ausgewählte Knoten im erweiterten Netzwerk gesendet werden. Während des Betriebs kann ein Betreiber eine „erste Sync-ID“ konfigurieren, die validierte IP-Bindungsinformationen eines zugeordneten Clients angibt. Diese erste Sync-ID kann auf allen VTEPs im erweiterten Schicht-2-Netzwerk der Umgebung 300 konfiguriert werden. Jeder Knoten kann die MAC- und IP-Informationen seiner zugeordneten Clients lernen. Zum Beispiel kann VTEP_11 112 die MAC- und IP-Informationen seiner zugeordneten Clients durch lokales dynamisches Lernen erlernen. Beispielsweise kann Host_2 142 ein GARP an VTEP_11 112 senden, das über eine Host-zugewandte (z.B. Client-zugewandte) Gateway-Schnittstelle empfangen werden kann. Bei dieser Schnittstelle kann es sich um eine VLAN-Schnittstelle handeln, die dem Teilnetz zugeordnet ist, z.B. die mit VLAN_10 104 verbundene Schnittstelle auf VTEP_11 112. Es ist zu beachten, dass allen Hosts, die über VLAN_10 104 mit VTEP_11 112 verbunden sind, dieselbe Subnetz-IP-Adresse zugewiesen und von der IP-Binding-Instanz (oder anderen Sicherheitsvalidierungsanwendungen oder -protokollen) überwacht werden kann, die auf VTEP_11 112 untergebracht ist. VTEP_11 112 kann über Sicherheitsvalidierungsanwendungen oder -protokolle die dynamisch erlernten DHCP/IP-Bindungen validieren. VTEP_11 112 kann auch die relevanten EVPN- und ARP-Tabellen mit den Host-Learnings auffüllen, und diese MAC- und IP-Bindungen können den BGP-EVPN-Protokollen zur Verfügung gestellt werden. VTEP_11 112 kann die IP-Bindungen auch anhand seiner Sicherheitsprotokolle validieren, z.B. um festzustellen, ob für die IP-Bindungen des zugeordneten Clients bereits eine Validierung erfolgt ist. Wenn die Validierung bereits erfolgt ist, bedeutet dies für das BGP-EVPN-Protokoll, dass das zusätzliche EC-Pfadattribut (einschließlich der konfigurierten ersten Sync-ID) in eine BGP-Aktualisierungsnachricht eingekapselt werden soll. Diese Vorgänge von VTEP_11 112 sind als Vorgang 310 in 3 dargestellt und werden weiter unten in Bezug auf 4 beschrieben.
  • -- Operationen des Sendeknotens
  • Als Sendeknoten kann VTEP_11 112 diese BGP-Aktualisierungsnachricht erzeugen und veröffentlichen, die dann an folgende Stellen übermittelt wird: border_1 116 von fabric_1 110 (dargestellt als BGP-Update-Nachricht mit den Client IP Binding Sync Erweiterte Communities über eine Kommunikation 312); VTEP_12 114 von fabric_1 110 (über eine Kommunikation 314); border_2 124 von fabric_2 120 (über eine Kommunikation 318); VTEP_21 122 von fabric_2 120 (über eine Kommunikation 320); border_3 134 von fabric_3 130 (über eine Kommunikation 322); und VTEP_31 132 von fabric_3 130 (über eine Kommunikation 324). Da die BGP-Aktualisierungsnachricht in dem EC-Pfadattribut mit der ersten Sync-ID angibt, dass die Informationen transitiv sind, darf keiner der Knoten, die die BGP-Aktualisierungsnachricht empfangen, dieses EC-Pfadattribut ändern. Das heißt, keiner der Knoten 116, 114, 124, 122, 134 und 132 darf die EC-Pfadattribut-Informationen mit der ersten Sync-ID ändern.
  • Darüber hinaus kann die erste Sync-ID, die im EC-Pfad-Attribut enthalten ist, über einen Drehknopf oder explizit konfiguriert werden. Die erste Sync-ID kann eine Gruppe von Switches (z.B. eine „Group of Zugangs-Switches“) angeben, die über Fabrics verteilt sind und die IP-Bindungsinformationen gemeinsam nutzen wollen, z.B. weil die angegebene Gruppe von Switches zu einem Teil desselben Kunden oder derselben Kundengruppe gehören kann. Darüber hinaus kann die Sync-ID für die IP-Zuweisung desselben Kunden (oder derselben Kundengruppe) über dieselben oder unterschiedliche VLANs und Subnetze sorgen.
  • Der Konfigurationsumfang der ersten Sync-ID kann global (d.h. für alle BGP-Updates) oder spezifisch (d.h. für eine oder mehrere Gruppen von Switches, für die entsprechende MAC- und IP-Informationen veröffentlicht werden sollen, wie in der BGP-Update-Nachricht angegeben) sein. Die Bestimmung des Konfigurationsumfangs der ersten Sync-ID kann auf der Implementierung beruhen und kann auch auf dem Umfang der Sync-ID innerhalb einer ausgewählten Gruppe von Switches basieren. In einigen Aspekten kann bei VLAN-basierten Fabrics die erste Sync-ID vererbt und/oder von dem Erweiterte-Communities-Pfadattribut „Route-Target“ abgeleitet werden, das in der Gruppe von Switches konfiguriert werden kann.
  • VTEP_11 112 kann erfahren, dass eine zuvor erlernte MAC- und IP-Bindung nicht mehr gültig ist (z.B. weil der Client eine Zeitüberschreitung aufweist oder nicht mehr erkannt wird). VTEP_11 112 kann eine BGP-Zurücknahmenachricht (auch ein Route-Typ-2-Paket) erzeugen und senden, die wie die BGP-Update-Nachricht das EC-Pfad-Attribut der Client-IP-Binding-Sync-ID enthalten kann. Dieses EC-Pfadattribut in der BGP-Zurücknahmenachricht kann BGP-Peers, die auf der Gruppe von Switches konfiguriert sind, anzeigen, dass die zuvor veröffentlichten MAC- und IP-Bindungen nicht mehr gültig sind. Das heißt, die BGP-Zurücknahmenachricht kann die Ungültigkeit der zuvor veröffentlichten IP-Bindungen übermitteln. Es ist zu beachten, dass VTEP_11 112 als sendender Knoten das EC-Pfadattribut nicht in die BGP-Zurücknahmenachricht einfügen darf, wenn die entsprechenden IP-Bindungen noch gültig sind.
  • - Operationen des Empfangsknotens
  • Als Empfangsknoten kann VTEP_31 132 die BGP-Aktualisierungsnachricht (über Kommunikation 324) empfangen. Es sei daran erinnert, dass VTEP_31 132 die erste Sync-ID bereits auf Basis der oben beschriebenen Betreiberkonfiguration konfiguriert hat und dass die Sicherheitsanwendungen oder -protokolle auf VTEP_31 132 die entsprechend erlernten IP-Bindungen bereits validiert haben.
  • Wenn VTEP_31 132 das EC-Pfadattribut der Client IP Binding Sync ID in der empfangenen BGP-Aktualisierungsnachricht (d.h. dem Route-Typ-2-Paket) nicht unterstützt, kann VTEP_31 132 die Verarbeitung dieses EC-Pfadattributs ignorieren und die anderen Pfadattribute in der üblichen Weise verarbeiten. VTEP_31 132 wird auf das nicht unterstützte Attribut nicht mit einem Fehler reagieren. Im Allgemeinen darf VTEP_31 132 nur mit den in https://datatracker.ietf.org/doc/html/rfc4379#section-3.1 definierten Fehlern antworten.
  • Wenn VTEP_31 132 das EC-Pfadattribut der Client-IP-Binding-Sync-ID in der empfangenen BGP-Aktualisierungsnachricht (d.h. dem Route-Typ-2-Paket) unterstützt, kann VTEP_31 132 das EC-Pfadattribut dekodieren und die Client-IP-Binding-Sync-ID extrahieren. VTEP_31 132 kann feststellen, ob die extrahierte Sync-ID mit der lokal konfigurierten Sync-ID übereinstimmt. Wenn eine Übereinstimmung festgestellt wird, kann VTEP_31 132 die NLRI an seine Sicherheitsanwendung oder -protokolle übermitteln oder importieren. Das heißt, VTEP_31 132 kann aus der BGP-Aktualisierungsnachricht die Erreichbarkeitsinformationen (NLRI) extrahieren, die die MAC- und IP-Informationen zu einem zugeordneten Client enthalten. VTEP_31 132 kann über seine Sicherheitsanwendung oder -protokolle die MAC- und IP-Informationen auf Basis der Sicherheitsrichtlinien validieren. VTEP_31 132 kann die MAC- und IP-Informationen auch zu seiner lokalen Client-IP-Bindungsdatenbank hinzufügen (d.h. aufnehmen). Dies kann zu einer Synchronisierung der validierten IP-Bindungsinformationen des zugeordneten Clients zwischen VTEP_11 112 (z.B. dem Sendeknoten) und VTEP_31 132 (dem Empfangsknoten) führen. Während in der Umgebung 300 nur ein Knoten als Empfangsknoten dargestellt ist, können die vom beispielhaften Empfangsknoten VTEP_31 132 durchgeführten Operationen auch von jedem anderen Knoten im erweiterten Netzwerk durchgeführt werden, der ebenfalls die BGP-Aktualisierungsnachricht empfängt (und für den der Konfigurationsumfang für die erste Sync-ID gilt).
  • Wenn keine Übereinstimmung zwischen der extrahierten Sync-ID und der lokal konfigurierten Sync-ID festgestellt oder gefunden wird, übermittelt oder importiert VTEP_31 132 die NLRI nicht an seine Sicherheitsanwendung oder -protokolle zur weiteren Verarbeitung.
  • Da die BGP-Aktualisierungsnachricht in dem EC-Pfadattribut mit der ersten Sync-ID angibt, dass die Information transitiv ist, darf keiner der Knoten, die die BGP-Aktualisierungsnachricht empfangen, dieses EC-Pfadattribut ändern, wie oben beschrieben. Das heißt, keiner der Knoten 116, 114, 124, 122, 134 und 132 darf die EC-Pfadattribut-Informationen mit der ersten Sync-ID ändern. Zum Beispiel kann VTEP_11 112 die BGP-Aktualisierungsnachricht an Border_1 116 von Fabric_1 110 übermitteln. Border_116 kann die BGP-Aktualisierungsnachricht an VTEP_12 114 (über Kommunikation 314) in derselben Fabric (fabric_1 110) senden. Border_1 116 kann die BGP-Aktualisierungsnachricht auch an seine externen BGP (eBGP-) Peers senden: border_2 124 von fabric_2 120 (über Kommunikation 318) und border_3 134 von fabric_3 130 (über Kommunikation 322). Keiner dieser eBGP-Peers darf den Wert des EC-Pfadattributs mit der Client IP Binding Sync ID ändern. Die gleiche Logik kann gelten, wenn das Attribut Route-Reflector Routen zwischen zwei internen BGP-Peers (iBGP) angibt.
  • Durch die Nutzung der BGP-Kontrollebene können die beschriebenen Aspekte die Synchronisierung der Client-IP-Bindungsdatenbank (d.h. der zulässigen oder validierten Host-/Client-Anmeldeinformationen) für Switches in einem erweiterten oder überlappenden Netz erleichtern. Dies wiederum kann zur Verhinderung von „Rogue Traffic“ oder „Denial of Service“-Angriffen (DoS) führen, die ihren Ursprung im lokalen Netz haben oder für dieses bestimmt sind.
  • Die beschriebene Lösung für die Steuerungsebene kann daher die MAC/IP-Bindungs-Synchronisierungsdaten des Clients sicher an vertrauenswürdige oder kundenspezifische Standorte weitergeben, wobei die Daten auch mit dem EC-Pfadattribut verschlüsselt werden können, um die Protokolldateneinheiten (PDUs) oder Pakete zu sichern. Die beschriebenen Aspekte der Kontrollplan-Erweiterung können auch kostbare WAN-Bandbreite einsparen, indem sie das Fluten des BUM-Verkehrs über das WAN vermeiden. Darüber hinaus kann die beschriebene Kontrollplan-Erweiterung eine Client-gesteuerte Konfiguration berücksichtigen, was zu einer Erleichterung und Anpassung an die Multi-Tenancy-Eigenschaften des erweiterten oder Overlay-Netzwerks führen kann. Die beschriebenen Aspekte können es ferner ermöglichen, dass verschiedene VLANs im erweiterten Netzwerk auf dasselbe IP-Subnetz abgebildet werden, was es einer empfangenden Einheit ermöglicht, zu wissen, zu welchem lokalen VLAN ein bestimmter Client gehören kann (z.B. VxLANs). Schließlich kann die Verwendung der Erweiterung der Steuerebene der beschriebenen Aspekte die Synchronisierung und Auffrischung von Massendaten für IP-Bindungen mit der BGP-Protokoll-PDU ermöglichen.
  • Verfahren zur Erleichterung der Synchronisierung der Client-IP-Bindungsdatenbank über erweiterte Netzwerke hinweg unter Nutzung der BGP-Kontrollebene
  • 4 zeigt ein Flussdiagramm 400, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk erleichtert, einschließlich Operationen durch einen sendenden Zugangs-Switch, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung. Während des Betriebs konfiguriert das System durch einen sendenden Switch (eines erweiterten Netzwerks, das eine Mehrzahl von Switches umfasst) einen ersten Synchronisationsidentifikator, der validierte Internetprotokoll (IP-) Bindungsinformationen eines zugeordneten Clients angibt (Vorgang 402). Der sendende Switch lernt lokal und dynamisch die IP-Bindungen seiner zugeordneten Clients, Tenants oder Hosts, z.B. über DHCP-Snooping und GARP- oder ND-Pakete (Vorgang 404). Der sendende Switch validiert über Sicherheitsanwendungen oder -protokolle die lokal erlernten IP-Bindungen der zugeordneten Clients des sendenden Switches (Vorgang 406). Der sendende Switch füllt die relevanten EVPN- und ARP-Tabellen mit den IP-Bindungen (Vorgang 408) und stellt die IP-Bindungen für die BGP-EVPN-Protokolle zur Verfügung (Vorgang 410). Der sendende Switch validiert auch die IP-Bindungen, um festzustellen, ob bereits eine Validierung für IP-Bindungen eines zugeordneten Clients vorliegt (Vorgang 412).
  • Wenn eine Validierung noch nicht vorhanden ist (Entscheidung 414), fügt der sendende Switch die Validierung zur Client-IP-Bindungsdatenbank des Switches hinzu (Vorgang 416). Wenn bereits eine Validierung vorhanden ist (Entscheidung 414), gibt der sendende Switch dem BGP-EVPN-Protokoll an, das zusätzliche EC-Pfadattribut (einschließlich der konfigurierten ersten Sync-ID) in eine BGP-Aktualisierungsnachricht einzukapseln (Vorgang 418). Der sendende Switch veröffentlicht die BGP-Aktualisierungsnachricht (z.B. durch Übermittlung der BGP-Aktualisierungsnachricht an die entsprechenden anderen Switches im erweiterten Netzwerk) (Vorgang 420). Der Vorgang wird mit dem Label A von 5A fortgesetzt.
  • 5A zeigt ein Flussdiagramm 500, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk erleichtert, einschließlich der Operationen eines empfangenden Zugangs-Switches, in Übereinstimmung mit einem Aspekt der vorliegenden Anmeldung. Das System konfiguriert durch einen empfangenden Switch (des erweiterten Netzwerks) einen ersten Synchronisationsidentifikator, der validierte Internetprotokoll (IP-) Bindungsinformationen eines zugeordneten Clients angibt (Vorgang 502). Der empfangende Switch lernt lokal und dynamisch die IP-Bindungen seiner zugeordneten Clients, Tenants oder Hosts, z.B. über DHCP-Snooping und GARP- oder ND-Pakete (nicht gezeigt), ähnlich wie bei Vorgang 404, der vom sendenden Switch ausgeführt wird. Der empfangende Switch validiert über Sicherheitsanwendungen oder - protokolle die lokal erlernten IP-Bindungen der zugeordneten Clients des empfangenden Switches (Vorgang 504). Der empfangende Switch füllt die relevanten EVPN- und ARP-Tabellen mit den IP-Bindungen und stellt die IP-Bindungen den BGP-EVPN-Protokollen (nicht gezeigt) zur Verfügung, ähnlich wie die vom sendenden Switch durchgeführten Vorgänge 408 und 410. Der empfangende Switch validiert auch die IP-Bindungen, um festzustellen, ob bereits eine Validierung für IP-Bindungen eines zugeordneten Clients vorliegt (Vorgang 506). Der empfangende Switch kann seine eigenen BGP-Aktualisierungsnachrichten auf Basis der Bestimmung von Vorgang 506 veröffentlichen, ähnlich wie die Entscheidung 414 und die vom sendenden Switch durchgeführten Vorgänge 416, 418 und 420.
  • Der empfangende Switch empfängt eine BGP-Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht eine zweite Synchronisierungskennung enthält (Vorgang 508). Der empfangende Switch bestimmt, ob er die Verarbeitung auf Basis des in der BGP-Nachricht enthaltenen zweiten Synchronisationsidentifikators unterstützt (Entscheidung 510). Ist dies der Fall, wird der Vorgang mit Label B in 5B fortgesetzt. Ist dies nicht der Fall, verarbeitet der empfangende Switch die BGP-Aktualisierungsnachricht nach herkömmlichen Methoden (z.B. indem sie nicht feststellt, ob die zweite Synchronisierungskennung mit der ersten Synchronisierungskennung übereinstimmt, und indem sie ferner auf die Vorgänge 524, 526, 528, 530 und 530 von 5B verzichtet), und der Vorgang kehrt zurück.
  • 5B stellt ein Flussdiagramm 520 dar, das ein Verfahren veranschaulicht, das die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk erleichtert, einschließlich der Operationen eines empfangenden Zugangs-Switches, gemäß einem Aspekt der vorliegenden Anmeldung. Wenn der empfangene zweite Synchronisationsidentifikator mit dem konfigurierten ersten Synchronisationsidentifikator übereinstimmt (Entscheidung 522), extrahiert der empfangende Switch aus der BGP-Aktualisierungsnachricht Erreichbarkeitsinformationen, die MAC- und IP-Informationen enthalten, die dem ersten Client zugeordnet sind (Vorgang 524). Der empfangende Switch validiert die MAC- und IP-Informationen anhand von Sicherheitsrichtlinien (Vorgang 526). Der empfangende Switch fügt die MAC- und IP-Informationen zu einer lokalen Client-IP-Bindungsdatenbank hinzu und ermöglicht so die Synchronisierung der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches (Vorgang 528).
  • Anschließend empfängt der empfangende Switch eine BGP-Zurücknahmenachricht, die die Ungültigkeit der zuvor aus der BGP-Aktualisierungsmeldung extrahierten MAC- und IP-Informationen anzeigt (Vorgang 530). Diese BGP-Zurücknahmenachricht kann vom sendenden Switch erzeugt und gesendet werden, wenn er eine Zeitüberschreitung, eine Migration oder eine andere Änderung feststellt, die zur Ungültigkeit der MAC- und IP-Informationen des ersten Clients führt (nicht dargestellt). Der empfangende Switch stellt die Ungültigkeit der zuvor hinzugefügten MAC- und IP-Informationen in der lokalen Client-IP-Bindungsdatenbank fest (z.B. durch Löschen des entsprechenden Eintrags) (Vorgang 532), und der Vorgang kehrt zurück.
  • Wenn der empfangene zweite Synchronisationsidentifikator nicht mit dem konfigurierten ersten Synchronisationsidentifikator übereinstimmt (Entscheidung 522), unterlässt der empfangende Switch das Hinzufügen der MAC- und IP-Informationen zur lokalen Client-IP-Bindungsdatenbank (Vorgang 542) und der Vorgang kehrt zurück.
  • Vorrichtung zur Erleichterung der Synchronisierung der Client-IP-Bindungsdatenbank über erweiterte Netzwerke hinweg unter Nutzung der BGP-Kontrollebene
  • 6 zeigt eine Vorrichtung oder einen Switch 600, der die Synchronisierung der Client-IP-Bindungsdatenbank über ein erweitertes Netzwerk gemäß einem Aspekt der vorliegenden Anmeldung erleichtert. Switch 600 kann eine Anzahl von Kommunikationsanschlüssen 602, einen Paketprozessor 610 und eine Speichereinrichtung 650 umfassen. Switch 600 kann auch Switch-Hardware 660 (z.B. Verarbeitungs-Hardware des Switches 600, wie z.B. seine anwendungsspezifischen integrierten Schaltungschips (ASIC-Chips)) enthalten, die Informationen enthält, auf deren Grundlage Switch 600 Pakete verarbeitet (z.B. Ausgangsports für Pakete bestimmt). Der Paketprozessor 610 kann Header-Informationen aus den empfangenen Paketen extrahieren und verarbeiten. Der Paketprozessor 610 kann einen Switch-Identifikator (z.B. eine MAC-Adresse und/oder eine IP-Adresse) identifizieren, der dem Switch 600 im Header eines Pakets zugeordnet ist.
  • Die Kommunikationsanschlüsse 602 können Kommunikationskanäle zwischen den Switches zur Kommunikation mit anderen Switches und/oder Benutzergeräten umfassen. Die Kommunikationskanäle können über einen normalen Kommunikationsanschluss implementiert werden und auf einem beliebigen offenen oder proprietären Format basieren. Die Kommunikationsanschlüsse 602 können einen oder mehrere Ethernet-Anschlüsse umfassen, die in einem Ethernet-Header gekapselte Rahmen empfangen können. Die Kommunikationsanschlüsse 602 können auch einen oder mehrere IP-Anschlüsse umfassen, die in der Lage sind, IP-Pakete zu empfangen. Ein IP-Port kann ein IP-Paket empfangen und kann mit einer IP-Adresse konfiguriert werden. Der Paketprozessor 610 kann Ethernet-Rahmen und/oder IP-Pakete verarbeiten. Ein entsprechender Anschluss der Kommunikationsanschlüsse 602 kann als Eingangsanschluss und/oder als Ausgangsanschluss fungieren.
  • Der Switch 600 kann eine Datenbank 652 (z.B. im Speichergerät 650) verwalten. Bei der Datenbank 652 kann es sich um eine relationale Datenbank handeln, die auf einer oder mehreren DBMS-Instanzen (Database Management System) laufen kann. In der Datenbank 652 können am Switch 600 Informationen gespeichert werden, die mit der Erleichterung der Synchronisierung von Client-IP-Bindungsdatenbanken und zugehörigen Informationen in erweiterten Netzwerken durch Nutzung der BGP-Kontrollebene verbunden sind. Die Informationen können z.B. validierte IP-Bindungen, MAC/IP-Informationen, ein Erweiterte-Communities-Pfadattribut und eine Synchronisierungskennung umfassen.
  • Der Switch 600 kann außerdem einen Logikblock 630 enthalten, der z.B. Folgendes umfasst: einen Synchronisationsidentifikator-Konfigurationsblock 632, um durch einen Switch einen ersten Synchronisationsidentifikator zu konfigurieren, der validierte IP-Bindungsinformationen eines zugeordneten Clients anzeigt; einen ersten Validierungsblock 642, um lokal gelernte IP-Bindungen von zugeordneten Clients des Switches zu validieren; einen BGP-Aktualisierungsnachrichten-Verwaltungsblock 634 zum Empfangen einer BGP-Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält; einen Block 636 zur Verarbeitung von Erweiterte-Community-Pfadattributen, um festzustellen, ob und dass der Switch die Verarbeitung auf Basis des in der BGP-Nachricht enthaltenen zweiten Synchronisationsidentifikators unterstützt; einen Synchronisationsidentifikator-Abgleichblock 638, um festzustellen, ob und dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt; einen Netzwerkschicht-Erreichbarkeitsinformations-Ermittlungsblock 640, um aus der BGP-Aktualisierungsnachricht Erreichbarkeitsinformationen zu extrahieren, die MAC- und IP-Informationen enthalten, die dem ersten Client zugeordnet sind; einen zweiten Validierungsblock 644, um die MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien zu validieren; und einen Datenbankverwaltungsblock 646, um die MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank hinzuzufügen, wodurch eine Synchronisierung der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.
  • Im Allgemeinen bieten die offenbarten Aspekte ein Verfahren und ein System, die die Synchronisierung von Client-IP-Bindungsdatenbanken über ein erweitertes Netzwerk erleichtern, indem sie die BGP-Kontrollebene nutzen. In einem Aspekt konfiguriert das System durch einen Switch einen ersten Synchronisationsidentifikator, der validierte Internet Protocol (IP-) Bindungsinformationen eines zugeordneten Clients anzeigt. Das System empfängt eine BGP-Aktualisierungsnachricht (Border Gateway Protocol), die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält. Als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt, extrahiert das System: aus der BGP-Aktualisierungsnachricht Erreichbarkeitsinformationen, die dem ersten Client zugeordnete Medienzugriffskontroll- (MAC) und IP-Informationen enthalten; validiert die MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien; und fügt die MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank hinzu, wodurch eine Synchronisation der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.
  • In einer weiteren Variante dieses Aspekts validiert das System lokal erlernte IP-Bindungen von zugeordneten Clients und aktualisiert die lokale IP-Bindungsdatenbank mit den validierten IP-Bindungen der zugeordneten Clients.
  • In einer weiteren Variante dieses Aspekts wird der erste Synchronisationsidentifikator auf allen Switches im erweiterten Netzwerk konfiguriert.
  • In einer weiteren Variante dieses Aspekts stellt das System fest, ob der Switch die Verarbeitung auf Basis des in der BGP-Aktualisierungsnachricht enthaltenen zweiten Synchronisationsidentifikators unterstützt. Als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators nicht unterstützt, unterlässt das System die Feststellung, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt, und unterlässt ferner die Schritte des Extrahierens, Validierens und Hinzufügens. Als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators unterstützt, bestimmt das System, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt.
  • In einer weiteren Variante gehören der Switch und die anderen Switches zu einem erweiterten Netzwerk, das durch BGP bereitgestellt wird. Die BGP-Aktualisierungsnachricht wird von einem anderen Switch im erweiterten Netzwerk übertragen. Die aus der BGP-Aktualisierungsnachricht extrahierten Erreichbarkeitsinformationen umfassen Netzwerkschicht-Erreichbarkeitsinformationen. Die BGP-Aktualisierungsnachricht ist eine Route-Typ-2-Nachricht und enthält ein Erweiterte-Communities-Pfadattribut, wobei das Erweiterte-Communities-Pfadattribut den zweiten Synchronisationsidentifikator angibt. Das System extrahiert den zweiten Synchronisationsidentifikator aus dem Erweiterte-Communities-Pfadattribut der BGP-Aktualisierungsnachricht.
  • In einer weiteren Variante unterlässt das System als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator nicht mit dem ersten Synchronisationsidentifikator übereinstimmt, das Hinzufügen der MAC- und IP-Informationen zu der lokalen IP-Bindungsdatenbank.
  • In einer weiteren Variante empfängt das System eine BGP-Zurücknahmenachricht, die eine Ungültigkeit der aus der BGP-Aktualisierungsnachricht extrahierten MAC- und IP-Informationen anzeigt. Als Reaktion auf den Empfang der BGP-Zurücknahmenachricht bestimmt das System die Ungültigkeit der zuvor hinzugefügten MAC- und IP-Informationen in der lokalen IP-Bindungsdatenbank.
  • In einer weiteren Variante umfasst ein Konfigurationsumfang des ersten Synchronisationsidentifikators mindestens eines von Folgendem: einen globalen Konfigurationsumfang, der für alle BGP-Updates gilt, und einen spezifischen Konfigurationsumfang, der für eine oder mehrere Gruppen von Switches gilt, für die entsprechende MAC- und IP-Informationen veröffentlicht werden sollen, wie in der BGP-Update-Nachricht angegeben.
  • In einer weiteren Variante umfasst ein jeweiliger Switch einen virtuellen Tunnelendpunkt (VTEP), und eine jeweilige Gruppe von Switches umfasst ein virtuelles lokales Netzwerk (VLAN).
  • In einer weiteren Variante umfasst der Switch einen Zugangs-Switch. Das erweiterte Netzwerk ist ein Overlay-Netz, das mindestens eines von Folgendem umfasst: ein virtuelles privates Ethernet-Netz (EVPN), einen virtuellen privaten LAN-Dienst (VPLS), einen virtuellen privaten Leitungsdienst (VPWS) und ein virtuelles privates Schicht-3-Netzwerk (L3-VPN). Ein Fabric für das Overlay-Netz umfasst mindestens eines der folgenden Verfahren: ein virtuelles erweiterbares lokales Netzwerk (VxLAN); eine Multiprotokoll-Label-Switching-Technik (MPLS); eine Netzwerkvirtualisierung mit generischer Routing-Kapselung (NV-GRE); und eine allgemeine Protokollerweiterung (GPE).
  • In einem anderen Aspekt speichert ein nicht-transitorisches computerlesbares Speichermedium Anweisungen, die, wenn sie von einem Computersystem ausgeführt werden, das Computersystem veranlassen, das oben beschriebene Verfahren durchzuführen, einschließlich in Bezug auf die 3, 4, 5A, und 5B.
  • In einem weiteren Aspekt umfasst ein Computersystem Verarbeitungsschaltungen, Weiterleitungs-Hardware und einen Logikblock. Der Logikblock umfasst die oben beschriebenen Blöcke, auch in Bezug auf 6.
  • Die vorstehenden Beschreibungen von Aspekten dienen lediglich der Veranschaulichung und Beschreibung. Sie erheben keinen Anspruch auf Vollständigkeit und beschränken die hierin beschriebenen Aspekte nicht auf die offenbarten Formen. Dementsprechend werden viele Modifikationen und Variationen für Fachleute auf dem Gebiet der Technik offensichtlich sein. Darüber hinaus soll die obige Offenbarung die hierin beschriebenen Aspekte nicht einschränken. Der Umfang der hierin beschriebenen Aspekte wird durch die beigefügten Ansprüche definiert.

Claims (20)

  1. Computerimplementiertes Verfahren, das Folgendes umfasst: Konfigurieren eines ersten Synchronisationsidentifikators, der validierte Internetprotokoll (IP-) Bindungsinformationen eines zugeordneten Clients angibt, durch einen Switch; Empfangen einer Border-Gateway-Protocol- (BGP-) Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält; und als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt: Extrahieren von Erreichbarkeitsinformationen aus der BGP-Aktualisierungsnachricht, die Media-Access-Control- (MAC-) und IP-Informationen enthalten, welche dem ersten Client zugeordnet sind; Validieren der MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien und Hinzufügen der MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank, wodurch eine Synchronisation der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.
  2. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Validieren der lokal erlernten IP-Bindungen zugeordneter Clients und Aktualisieren der lokalen IP-Bindungsdatenbank mit den validierten IP-Bindungen der zugeordneten Clients.
  3. Verfahren nach Anspruch 1, wobei der erste Synchronisationsidentifikator auf allen Switches im erweiterten Netzwerk konfiguriert ist.
  4. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Bestimmen, ob der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators, der in der BGP-Aktualisierungsnachricht enthalten ist, unterstützt; als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators nicht unterstützt, Unterlassen der Bestimmung, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt, und ferner Unterlassen der Schritte des Extrahierens, Validierens und Hinzufügens; und als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators unterstützt, Bestimmen, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt.
  5. Verfahren nach Anspruch 1, wobei der Switch und die anderen Switches zu einem erweiterten, durch BGP bereitgestellten Netz gehören, wobei die BGP-Aktualisierungsnachricht durch einen anderen Switch im erweiterten Netzwerk übertragen wird, wobei die aus der BGP-Aktualisierungsnachricht extrahierten Erreichbarkeitsinformationen Netzwerkschicht-Erreichbarkeitsinformationen umfassen, wobei die BGP-Aktualisierungsnachricht eine Route-Typ-2-Nachricht ist, wobei die BGP-Aktualisierungsnachricht ein Erweiterte-Communities-Pfadattribut enthält, wobei das Erweiterte-Communities-Pfadattribut den zweiten Synchronisationsidentifikator angibt, und wobei das Verfahren ferner das Extrahieren des zweiten Synchronisationsidentifikators aus dem Erweiterte-Communities-Pfadattribut der BGP-Aktualisierungsnachricht umfasst.
  6. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator nicht mit dem ersten Synchronisationsidentifikator übereinstimmt: Unterlassen des Hinzufügens der MAC- und IP-Informationen zur lokalen IP-Bindungsdatenbank.
  7. Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Empfangen einer BGP-Zurücknahmenachricht, die eine Ungültigkeit der aus der BGP-Aktualisierungsnachricht extrahierten MAC- und IP-Informationen anzeigt; und als Reaktion auf den Empfang der BGP-Zurücknahmenachricht, Feststellen der Ungültigkeit der zuvor hinzugefügten MAC- und IP-Informationen in der lokalen IP-Bindungsdatenbank.
  8. Verfahren nach Anspruch 1, wobei ein Konfigurationsumfang des ersten Synchronisationsidentifikators mindestens eines von Folgendem umfasst: einen globalen Konfigurationsumfang, der für alle BGP-Aktualisierungen gilt; und einen spezifischen Konfigurationsumfang, der für eine oder mehrere Gruppen von Switches gilt, für die entsprechende MAC- und IP-Informationen veröffentlicht werden sollen, wie in der BGP-Aktualisierungsnachricht angegeben.
  9. Verfahren nach Anspruch 1, wobei ein jeweiliger Switch einen virtuellen Tunnelendpunkt (VTEP) umfasst, und wobei eine jeweilige Gruppe von Switches ein virtuelles lokales Netzwerk (VLAN) umfasst.
  10. Verfahren nach Anspruch 1, wobei der Switch einen Zugangs-Switch umfasst; wobei das erweiterte Netzwerk ein Overlay-Netz ist, das mindestens eines von Folgendem umfasst: ein virtuelles privates Ethernet-Netzwerk (EVPN); einen Virtuelles-privates-lokales-Netzwerk- (LAN-) Dienst (VPLS); einen Virtuelles-privates-Kabel-Dienst (VPWS) und ein virtuelles privates Schicht-3-Netzwerk (L3-VPN); und wobei eine Fabric für das Overlay-Netzwerk mindestens eines von Folgendem umfasst: ein virtuelles erweiterbares lokales Netzwerk (VxLAN); eine Multi-Protocol-Label-Switching- (MPLS-) Technik; eine Netzwerkvirtualisierung mit generischer Routing-Kapselung (NV-GRE) und eine Allgemeine-Protokoll-Erweiterung- (GPE-) Technik.
  11. Nicht-transitorisches computerlesbares Speichermedium, das Anweisungen speichert, die, wenn sie von einem Computersystem ausgeführt werden, bewirken, dass das Computersystem ein Verfahren durchführt, wobei das Verfahren Folgendes umfasst: Konfigurieren eines ersten Synchronisationsidentifikators, der validierte Internetprotokoll (IP-) Bindungsinformationen eines zugeordneten Clients angibt, durch einen Switch; Empfangen einer Border-Gateway-Protocol- (BGP-) Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält; und als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt: Extrahieren von Erreichbarkeitsinformationen aus der BGP-Aktualisierungsnachricht, die Media-Access-Control- (MAC-) und IP-Informationen enthalten, welche dem ersten Client zugeordnet sind; Validieren der MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien und Hinzufügen der MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank, wodurch die Synchronisierung der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.
  12. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, das ferner Folgendes umfasst: Validieren der lokal erlernten IP-Bindungen der zugeordneten Clients und Aktualisieren der lokalen IP-Bindungsdatenbank mit den validierten IP-Bindungen der zugeordneten Clients.
  13. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei ein Konfigurationsumfang des ersten Synchronisationsidentifikators mindestens eines von Folgendem umfasst: einen globalen Konfigurationsumfang, der für alle BGP-Aktualisierungen gilt, wobei der erste Synchronisationsidentifikator auf allen Switches im erweiterten Netzwerk konfiguriert ist; und einen spezifischen Konfigurationsumfang, der für eine oder mehrere Gruppen von Switches gilt, für die entsprechende MAC- und IP-Informationen veröffentlicht werden sollen, wie in der BGP-Aktualisierungsnachricht angegeben.
  14. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei das Verfahren weiterhin umfasst: Bestimmen, ob der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators, der in der BGP-Aktualisierungsnachricht enthalten ist, unterstützt; als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators nicht unterstützt, Unterlassen der Bestimmung, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt, und ferner Unterlassen der Schritte des Extrahierens, Validierens und Hinzufügens; und als Reaktion auf die Bestimmung dessen, dass der Switch die Verarbeitung auf Basis des zweiten Synchronisationsidentifikators unterstützt, Bestimmen dessen, ob der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt.
  15. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei der Switch und die anderen Switches zu einem erweiterten, durch BGP bereitgestellten Netz gehören, wobei die BGP-Aktualisierungsnachricht durch einen anderen Switch im erweiterten Netzwerk übertragen wird, wobei die aus der BGP-Aktualisierungsnachricht extrahierten Erreichbarkeitsinformationen Netzwerkschicht-Erreichbarkeitsinformationen umfassen, wobei die BGP-Aktualisierungsnachricht eine Route-Typ-2-Nachricht ist, wobei die BGP-Aktualisierungsnachricht ein Erweiterte-Communities-Pfadattribut enthält, wobei das Erweiterte-Communities-Pfadattribut den zweiten Synchronisationsidentifikator angibt, und wobei das Verfahren ferner das Extrahieren des zweiten Synchronisationsidentifikators aus dem Erweiterte-Communities-Pfadattribut der BGP-Aktualisierungsnachricht umfasst.
  16. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei das Verfahren weiterhin umfasst: als Reaktion auf die Bestimmung dessen, dass der zweite Synchronisationsidentifikator nicht mit dem ersten Synchronisationsidentifikator übereinstimmt: Unterlassen des Hinzufügens der MAC- und IP-Informationen zur lokalen IP-Bindungsdatenbank.
  17. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei das Verfahren weiterhin umfasst: Empfangen einer BGP-Zurücknahmenachricht, die eine Ungültigkeit der aus der BGP-Aktualisierungsnachricht extrahierten MAC- und IP-Informationen anzeigt; und als Reaktion auf den Empfang der BGP-Zurücknahmenachricht, Feststellung der Ungültigkeit der zuvor hinzugefügten MAC- und IP-Informationen in der lokalen IP-Bindungsdatenbank.
  18. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 17, wobei die BGP-Aktualisierungsnachricht und die BGP-Zurücknahmenachricht ferner von mindestens einer ersten internen BGP (iBGP-) Peer-Entität und einer oder mehreren externen BGP (eBGP-) Peer-Entitäten empfangen und in ähnlicher Weise wie durch den Switch verarbeitet werden.
  19. Nicht-transitorisches computerlesbares Speichermedium nach Anspruch 11, wobei der Switch einen Zugangs-Switch umfasst; wobei das erweiterte Netzwerk ein Overlay-Netz ist, das mindestens eines von Folgendem umfasst: ein virtuelles privates Ethernet-Netzwerk (EVPN); einen Virtuelles-privates-lokales-Netzwerk- (LAN-) Dienst (VPLS); einen Virtuelles-privates-Kabel-Dienst (VPWS) und ein virtuelles privates Schicht-3-Netzwerk (L3-VPN); und wobei eine Fabric für das Overlay-Netzwerk mindestens eines von Folgendem umfasst: ein virtuelles erweiterbares lokales Netzwerk (VxLAN); eine Multi-Protocol-Label-Switching- (MPLS-) Technik; eine Netzwerkvirtualisierung mit generischer Routing-Kapselung (NV-GRE) und eine Allgemeine-Protokoll-Erweiterung- (GPE-) Technik.
  20. Computersystem, das Folgendes umfasst: Verarbeitungsschaltungen; Weiterleitungs-Hardware; einen Logikblock, der Folgendes umfasst: einen Synchronisationsidentifikator-Konfigurationsblock zum Konfigurieren eines ersten Synchronisationsidentifikators, der validierte Internetprotokoll (IP-) Bindungsinformationen eines zugeordneten Clients angibt, durch einen Switch; einen ersten Validierungsblock zum Validieren von lokal erlernten IP-Bindungen zugeordneter Clients des Switches; einen BGP-Aktualisierungsnachrichten-Verwaltungsblock zum Empfangen einer Border-Gateway-Protocol- (BGP-) Aktualisierungsnachricht, die einem ersten Client zugeordnet ist, wobei die BGP-Aktualisierungsnachricht einen zweiten Synchronisationsidentifikator enthält; einen Verarbeitungsblock für Erweiterte-Communities-Attribute zum Bestimmen dessen, ob und dass der Switch eine Verarbeitung auf Basis des in der BGP-Nachricht enthaltenen zweiten Synchronisationsidentifikators unterstützt; einen Synchronisationsidentifikator-Abgleichsblock zum Bestimmen dessen, ob und dass der zweite Synchronisationsidentifikator mit dem ersten Synchronisationsidentifikator übereinstimmt; einen Netzwerkschicht-Erreichbarkeits-Informationsgewinnungsblock zum Extrahieren von Erreichbarkeitsinformationen aus der BGP-Aktualisierungsnachricht, die Media-Access-Control- (MAC-) und IP-Informationen enthalten, welche dem ersten Client zugeordnet sind; einen zweiten Validierungsblock zum Validieren der MAC- und IP-Informationen auf Basis von Sicherheitsrichtlinien und einen Datenbankverwaltungsblock zum Hinzufügen der MAC- und IP-Informationen zu einer lokalen IP-Bindungsdatenbank, wodurch eine Synchronisation der validierten IP-Bindungsinformationen des ersten Clients zwischen dem Switch und anderen Switches ermöglicht wird.
DE102023126692.6A 2022-11-28 2023-09-29 Synchronisierung einer client-ip-bindungsdatenbank über erweiterte netzwerke hinweg unter nutzung einer bgp-kontrollebene Pending DE102023126692A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US18/070,209 2022-11-28
US18/070,209 US11909819B1 (en) 2022-11-28 2022-11-28 Synchronization of client IP binding database across extended networks leveraging BGP control plane

Publications (1)

Publication Number Publication Date
DE102023126692A1 true DE102023126692A1 (de) 2024-05-29

Family

ID=89633751

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023126692.6A Pending DE102023126692A1 (de) 2022-11-28 2023-09-29 Synchronisierung einer client-ip-bindungsdatenbank über erweiterte netzwerke hinweg unter nutzung einer bgp-kontrollebene

Country Status (3)

Country Link
US (1) US11909819B1 (de)
CN (1) CN117478687A (de)
DE (1) DE102023126692A1 (de)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8364949B1 (en) * 2005-11-01 2013-01-29 Juniper Networks, Inc. Authentication for TCP-based routing and management protocols
US9876715B2 (en) * 2013-11-05 2018-01-23 Cisco Technology, Inc. Network fabric overlay
US11218508B2 (en) * 2018-06-27 2022-01-04 Cisco Technology, Inc. Assurance of security rules in a network
US20220400075A1 (en) * 2021-06-09 2022-12-15 Hewlett Packard Enterprise Development Lp Failure detection and mitigation in an mc-lag environment

Also Published As

Publication number Publication date
CN117478687A (zh) 2024-01-30
US11909819B1 (en) 2024-02-20

Similar Documents

Publication Publication Date Title
DE102012220834B4 (de) Verfahren und Vorrichtung zum Umsetzen eines flexiblen virtuellen lokalen Netzwerks
DE112016005600B4 (de) Querverbindung von Switches auf der Basis eines hierarchischen Overlay-Tunneling
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
EP1602214B1 (de) Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen
DE69934192T2 (de) Verfahren und Einrichtung zur Netzverbindung mittels Brücken
DE112013002272T5 (de) ARP/ND-Cache vor Denial-Of-Service-Angriffen schützen
DE112013003812T5 (de) Überlagern von virtuellen Broadcast-Domänen über ein darunterliegendes physisches Netzwerk
EP1628458A1 (de) Verfahren zur Vermittlung von IP-Paketen zwischen Kundennetzen und IP-Provider-Netzen über ein Zugangsnetz
DE10052311A1 (de) Manuelles Verhindern des unerlaubten Mithörens in einem virtuellen privaten Netzwerk über das Internet
DE112022003743T5 (de) Sichere frame-verschlüsselung als dienst
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
DE102020120554A1 (de) Gruppenbasierte Politik Multicast-Weiterleitung
EP2062400B1 (de) Verfahren und system zur adressierung und zum routing bei verschlüsselten kommunikationsbeziehungen
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
DE60316158T2 (de) Filter zur verkehrstrennung
DE102023126692A1 (de) Synchronisierung einer client-ip-bindungsdatenbank über erweiterte netzwerke hinweg unter nutzung einer bgp-kontrollebene
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
DE102022108384A1 (de) Zuweisung von sicherheitsgruppen-tags für den infrastrukturverkehr und beibehaltung der sicherheitsgruppen-tags in abgehörten paketen bei dynamischer segmentierung
DE102015209361A1 (de) Paketbasiertes Kommunikationsnetz mit Autokonfigurierung lokaler Netzwerk-Adressen
DE102022126664A1 (de) Weitergabe von rolleninformationen in access switches
DE102021127234A1 (de) Authentifizierungsverkettung bei der bereitstellung von mikrofilialen
DE102022206442A1 (de) Speichereffiziente Implementierung von Downstream-VXLAN-Kennungen
DE102022109126A1 (de) Schleifenerkennung in einer komplexen topologie mit mehreren verteilten tunnel-fabrics
DE102021127546A1 (de) Verfahren und system zur dynamischen aktivierung von virtuellen netzwerken in einer verteilten tunnelstruktur

Legal Events

Date Code Title Description
R012 Request for examination validly filed