本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò),并更具體地涉及在層2(L2)網(wǎng)絡(luò)內(nèi)傳送安全性和策略控制。
背景技術(shù):
許多城市地區(qū)已經(jīng)安裝了城市(城域)傳輸網(wǎng)絡(luò),以為本地用戶提供到基于較大數(shù)據(jù)包的服務(wù)網(wǎng)絡(luò)(例如,因特網(wǎng))的高帶通連通性。每個(gè)用戶通常與連接到城域傳輸網(wǎng)絡(luò)的許多因特網(wǎng)服務(wù)提供商(ISP)網(wǎng)絡(luò)中的任一個(gè)簽約,并且每個(gè)ISP網(wǎng)絡(luò)為用戶提供通信會(huì)話的錨,以及為用戶管理諸如認(rèn)證、計(jì)費(fèi)的網(wǎng)絡(luò)服務(wù)。
用戶可利用多種設(shè)備以連接到ISP網(wǎng)絡(luò),以接入由因特網(wǎng)提供的資源和服務(wù)。例如,用戶通常利用桌面型計(jì)算機(jī)、膝上型計(jì)算機(jī)、智能TV、移動(dòng)智能電話和功能電話、平板計(jì)算機(jī)等等。城域傳輸網(wǎng)絡(luò)通常提供層2(L2)交換機(jī)制以用于在用戶和他們各自的ISP之間傳輸基于數(shù)據(jù)包的數(shù)據(jù),使得可在ISP處為用戶建立第三層(L3)通信會(huì)話,以用于與諸如遠(yuǎn)程內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)(CDN)或因特網(wǎng)的超出ISP的資源通信。
技術(shù)實(shí)現(xiàn)要素:
一般而言,描述了在諸如城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)內(nèi)提供層2(L2)網(wǎng)絡(luò)地址(例如,媒體接入控制‘MAC’地址)認(rèn)證的技術(shù)。此外,所述技術(shù)使用城域傳輸網(wǎng)絡(luò)上的以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)技術(shù)提供對(duì)L2網(wǎng)絡(luò)地址中的每個(gè)的細(xì)粒度策略控制,以便使得運(yùn)營(yíng)商網(wǎng)絡(luò)能夠指定和控制拓?fù)洌杂糜趥鬏敾跀?shù)據(jù)包的通信。
在一個(gè)示例中,系統(tǒng)包括:城域傳輸網(wǎng)絡(luò),其提供層2(L2)數(shù)據(jù)包交換以用于傳輸與客戶設(shè)備關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包,其中,城域傳輸網(wǎng)絡(luò)包括經(jīng)由一個(gè)或多個(gè)接入鏈路連接到客戶設(shè)備的至少一個(gè)接入路由器,以及城域傳輸網(wǎng)絡(luò)的多個(gè)其他路由器,并且其中接入路由器和其他路由器在城域傳輸網(wǎng)絡(luò)內(nèi)建立EVPN。系統(tǒng)進(jìn)一步包括網(wǎng)絡(luò)地址認(rèn)證設(shè)備,網(wǎng)絡(luò)地址認(rèn)證設(shè)備在城域傳輸網(wǎng)絡(luò)內(nèi),并包括客戶設(shè)備的有效L2網(wǎng)絡(luò)地址的數(shù)據(jù)庫。響應(yīng)于接收到來自客戶設(shè)備(例如,客戶端設(shè)備(CE)或各個(gè)用戶設(shè)備)中的一個(gè)的數(shù)據(jù)包,接入路由器向城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備輸出認(rèn)證請(qǐng)求,所述認(rèn)證請(qǐng)求指定數(shù)據(jù)包的源L2網(wǎng)絡(luò)地址并請(qǐng)求驗(yàn)證源L2網(wǎng)絡(luò)地址。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收到的響應(yīng)消息指示源L2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個(gè)關(guān)聯(lián)的有效L2網(wǎng)絡(luò)地址,接入路由器被配置為輸出EVPN路由通知,EVPN路由通知將L2網(wǎng)絡(luò)地址通知為可通過接入路由器到達(dá)。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收到的響應(yīng)消息指示源L2網(wǎng)絡(luò)地址是與客戶設(shè)備中的任一個(gè)都不關(guān)聯(lián)的無效L2網(wǎng)絡(luò)地址(例如,被列入黑名單或未知),接入路由器被配置為利用接入路由器丟棄數(shù)據(jù)包,而不將EVPN路由通知輸出到EVPN中。
在另一個(gè)示例中,方法包括利用定位在至少一個(gè)因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和一組客戶設(shè)備之間的城域傳輸網(wǎng)絡(luò)的一組路由器建立EVPN,其中,城域傳輸網(wǎng)絡(luò)提供L2數(shù)據(jù)包交換以用于在因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和客戶設(shè)備之間傳輸網(wǎng)絡(luò)數(shù)據(jù)包,并且其中路由器中的第一個(gè)是經(jīng)由接入鏈路耦接到客戶設(shè)備的接入路由器。方法進(jìn)一步包括通過接入路由器經(jīng)由接入鏈路接收來自客戶設(shè)備中的一個(gè)的數(shù)據(jù)包,以及響應(yīng)于接收到所述數(shù)據(jù)包,將來自接入路由器的認(rèn)證請(qǐng)求輸出到城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備,其中,認(rèn)證請(qǐng)求指定數(shù)據(jù)包的源L2網(wǎng)絡(luò)地址并請(qǐng)求驗(yàn)證源L2網(wǎng)絡(luò)地址。方法包括響應(yīng)于接收到的響應(yīng)消息指示源L2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個(gè)關(guān)聯(lián)的有效L2網(wǎng)絡(luò)地址,在EVPN內(nèi)經(jīng)由接入路由器輸出EVPN路由通知,其將L2網(wǎng)絡(luò)地址通知為可通過接入路由器到達(dá)。
在另一個(gè)示例中,城域傳輸網(wǎng)絡(luò)的接入路由器包括控制單元,該控制單元具有耦接到存儲(chǔ)器的至少一個(gè)處理器。控制單元執(zhí)行被配置為在城域傳輸網(wǎng)絡(luò)內(nèi)通過一組其他路由器建立EVPN的軟件,所述城域傳輸網(wǎng)絡(luò)提供L2數(shù)據(jù)包交換以用于傳輸與客戶設(shè)備關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包??刂茊卧慌渲脼轫憫?yīng)于經(jīng)由接入鏈路接收到來自客戶設(shè)備中的一個(gè)的數(shù)據(jù)包,將認(rèn)證請(qǐng)求輸出到城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備,所述認(rèn)證請(qǐng)求指定數(shù)據(jù)包的源L2網(wǎng)絡(luò)地址并請(qǐng)求驗(yàn)證源L2網(wǎng)絡(luò)地址。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收到的響應(yīng)消息指示源L2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個(gè)相關(guān)聯(lián)的有效L2網(wǎng)絡(luò)地址,接入路由器輸出EVPN路由通知,EVPN路由通知將L2網(wǎng)絡(luò)地址通知為可通過接入路由器到達(dá)。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收到的響應(yīng)消息指示源L2網(wǎng)絡(luò)地址是與客戶設(shè)備中的任一個(gè)都不關(guān)聯(lián)的無效L2網(wǎng)絡(luò)地址,接入路由器通過接入路由器丟棄數(shù)據(jù)包,而不將EVPN路由通知輸出到EVPN中。
在另一個(gè)示例中,非暫時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括可執(zhí)行指令,其被配置為執(zhí)行本文描述的方法。
附圖以及下面的描述中提出了本發(fā)明的一個(gè)或多個(gè)實(shí)施例的細(xì)節(jié)。本發(fā)明的其他特征、目的和優(yōu)點(diǎn)將從所述描述和附圖中以及權(quán)利要求中變得明顯。
附圖說明
圖1為示出根據(jù)本文描述的各種技術(shù)的示例網(wǎng)絡(luò)系統(tǒng)的方框圖。
圖2為示出根據(jù)本公開的技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的設(shè)備的示例操作的流程圖。
圖3為示出根據(jù)本文描述的各種技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的另一種示例操作模式的方框圖。
圖4為示出根據(jù)本文描述的各種技術(shù)的另一個(gè)示例網(wǎng)絡(luò)系統(tǒng)的方框圖。
圖5為示出根據(jù)本公開的技術(shù)的示例路由器的進(jìn)一步細(xì)節(jié)的方框圖。
具體實(shí)施方式
圖1為示出根據(jù)本文描述的各種技術(shù)的示例網(wǎng)絡(luò)系統(tǒng)2的方框圖。如圖1的示例中所示,網(wǎng)絡(luò)系統(tǒng)2包括耦接到因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的城域接入和聚合網(wǎng)絡(luò)4。
一般而言,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7通常由因特網(wǎng)服務(wù)提供商(ISP)所持有并且被操作為向用戶設(shè)備18提供基于數(shù)據(jù)包的網(wǎng)絡(luò)服務(wù)的專用網(wǎng)絡(luò)。如圖1中所示,用戶設(shè)備18通常通過客戶端設(shè)備(CE)35(諸如本地以太網(wǎng)交換機(jī)、電纜調(diào)制解調(diào)器、路由器等等)經(jīng)由層2網(wǎng)絡(luò)21互連。一般而言,本文描述的技術(shù)可應(yīng)用于相對(duì)于CE 35、用戶設(shè)備18或它們的組合執(zhí)行MAC層安全性和用戶管理。例如,在一些情況下,CE 35為純L2設(shè)備,其交換由用戶設(shè)備18發(fā)起的L2數(shù)據(jù)包使得MAC層認(rèn)證和安全性應(yīng)用于用戶設(shè)備的MAC。在其他示例中,CE 35包括L3功能(例如,路由和可選網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)),以便認(rèn)證CE 35的MAC地址。
作為示例,用戶設(shè)備18可以是個(gè)人計(jì)算機(jī)、便攜式計(jì)算機(jī)或者與用戶關(guān)聯(lián)的其他類型的計(jì)算設(shè)備,例如,3G無線卡、具有無線功能的上網(wǎng)本、視頻游戲設(shè)備、尋呼機(jī)、智能電話、個(gè)人數(shù)據(jù)助理(PDA)等等。用戶設(shè)備18中的每個(gè)可運(yùn)行多個(gè)軟件應(yīng)用程序,諸如文字處理和其他辦公支持軟件、網(wǎng)絡(luò)瀏覽軟件、用以支持語音呼叫、視頻游戲、視頻會(huì)議和電子郵件的軟件等等。
作為其他示例,用戶設(shè)備18可包括低功率、網(wǎng)絡(luò)使能設(shè)備的集合,諸如攝像頭、傳感器、恒溫器、控制器、自動(dòng)燈、電器或者家庭或工作場(chǎng)所內(nèi)的其他設(shè)備。此類設(shè)備可被俗稱為屬于“物聯(lián)網(wǎng)”。此類設(shè)備的其他示例可以是部署在城市環(huán)境內(nèi)的交通燈、攝像頭和傳感器。
在任何情況下,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7通常提供CE 35的認(rèn)證和建立,使得用戶設(shè)備18可開始與在諸如內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)(CDA)8A和8B(本文中為CDN 8)的因特網(wǎng)骨干網(wǎng)12上可用的資源交換數(shù)據(jù)包。一般而言,每個(gè)CDN 8通常為互連設(shè)備的專用網(wǎng)絡(luò),所述互連設(shè)備協(xié)作以將內(nèi)容分發(fā)給使用一個(gè)或多個(gè)服務(wù)的客戶端。此類內(nèi)容可包括例如流媒體文件、數(shù)據(jù)文件、軟件下載、文檔和數(shù)據(jù)庫查詢結(jié)果等等。因此,由CDN 8提供的服務(wù)的示例可包括超文本傳輸協(xié)議(HTTP)、基于HTTP的自適應(yīng)流、實(shí)時(shí)流協(xié)議(RTSP)流、其他媒體流、通知、文本傳輸協(xié)議(FTP)等等。
在圖1的示例中,城域傳輸網(wǎng)絡(luò)24為與用戶設(shè)備18關(guān)聯(lián)的網(wǎng)絡(luò)流量提供層2(L2)傳輸服務(wù)。城域傳輸網(wǎng)絡(luò)24通常包括因特網(wǎng)交換和傳輸節(jié)點(diǎn),諸如以太網(wǎng)交換機(jī)和底層傳輸系統(tǒng),以用于在接入提供商邊緣路由器(A-PE)36和網(wǎng)絡(luò)提供商邊緣路由器(N-PE)30之間經(jīng)高速鏈路傳輸、多路復(fù)用和交換通信。盡管為簡(jiǎn)單起見示出了僅單個(gè)因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7,但城域傳輸網(wǎng)絡(luò)24可為多個(gè)不同的因特網(wǎng)服務(wù)提供商的用戶設(shè)備18提供數(shù)據(jù)包的城域接入、聚合和傳輸。一般而言,城域傳輸網(wǎng)絡(luò)24通常由城域網(wǎng)運(yùn)營(yíng)商所持有和操作,而因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的每個(gè)可由單獨(dú)的因特網(wǎng)服務(wù)提供商所持有和操作。
在圖1的該示例中,A-PE 36在城域傳輸網(wǎng)絡(luò)24的邊界處操作并為接入網(wǎng)絡(luò)(AN)27提供連通性。一般而言,AN 27向用戶設(shè)備18提供通過CE 35的方式到城域傳輸網(wǎng)絡(luò)24的接入。例如,A-PE 36通常包括將從與用戶設(shè)備18關(guān)聯(lián)的CE 35到較高速度上行鏈路的輸出聚合到城域傳輸網(wǎng)絡(luò)24的功能。例如,用戶設(shè)備18可連接到本地客戶端設(shè)備(CPE),諸如DSL或電纜調(diào)制解調(diào)器。CPE可利用點(diǎn)對(duì)點(diǎn)協(xié)議(PPP),諸如ATM上的PPP或以太網(wǎng)上的PPP(PPPoE),以經(jīng)由A-PE 36和N-PE 30提供的連通性傳送BNG 23。在其他實(shí)施例中,CE 35可利用諸如以太網(wǎng)和DHCP的非PPP協(xié)議,以通過A-PE 36和N-PE 30提供的連通性與BNG 23通信。其他實(shí)施例可使用除DSL線路以外的其他線路,諸如電纜、T1、T3或其他接入鏈路上的以太網(wǎng)。
在圖1的示例中,用戶設(shè)備18與因特網(wǎng)服務(wù)提供商的客戶關(guān)聯(lián),所述因特網(wǎng)服務(wù)提供商持有并操作因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7。如此,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7接收來自CE 35的網(wǎng)絡(luò)接入請(qǐng)求并處理用戶的認(rèn)證和會(huì)話建立,以便提供到用戶設(shè)備18的接入。寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)23提供用于經(jīng)由N-PE 30到城域傳輸網(wǎng)絡(luò)24的連通性的路由和交換功能,并為被建立用于CE 35的IP會(huì)話提供端點(diǎn)和管理。在另一個(gè)示例中,BNG 23可以是寬帶遠(yuǎn)程接入服務(wù)器(BRAS)或者為用戶會(huì)話提供錨點(diǎn)的其他路由設(shè)備。
AAA服務(wù)器11作為包括數(shù)據(jù)庫29的用戶管理系統(tǒng)操作,所述數(shù)據(jù)庫29具有指定與用戶設(shè)備18關(guān)聯(lián)的各個(gè)用戶的有效用戶憑證(例如,用戶ID和密碼或CE 35的MAC地址)以及被分配給用戶設(shè)備的L2網(wǎng)絡(luò)地址的條目。進(jìn)一步地,對(duì)于每個(gè)條目,數(shù)據(jù)庫29可為每個(gè)L2網(wǎng)絡(luò)地址指定策略,以便為城域傳輸網(wǎng)絡(luò)24提供策略驅(qū)動(dòng)控制。在認(rèn)證來自用戶設(shè)備18的網(wǎng)絡(luò)接入請(qǐng)求后,AAA服務(wù)器11指派來自服務(wù)提供商的IP域的第三層(L3)網(wǎng)絡(luò)地址(例如,專用IPv4或IPv6網(wǎng)絡(luò)地址),以用于通過因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7接收數(shù)據(jù)服務(wù)。作為示例,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的AAA服務(wù)器11通常為認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器,用于認(rèn)證請(qǐng)求網(wǎng)絡(luò)連接的用戶的憑證。例如,AAA服務(wù)器11可以是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)服務(wù)器或DIAMETER服務(wù)器。
如圖1中所示,城域傳輸網(wǎng)絡(luò)24實(shí)施以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)26。盡管相對(duì)于EVPN 26進(jìn)行了描述,在另一個(gè)示例實(shí)施中,城域傳輸網(wǎng)絡(luò)24可實(shí)施虛擬LAN服務(wù)(VPLS)或其他機(jī)制以用于實(shí)施L2傳輸服務(wù)。
在該示例中,由城域傳輸運(yùn)營(yíng)商操作的城域傳輸網(wǎng)絡(luò)24(例如,A-PE 36和N-PE 30)的邊緣路由器被配置為在它們各自的控制平面(也被稱為路由引擎)內(nèi)執(zhí)行EVPN協(xié)議,以便彼此通信并交換建立和維護(hù)EVPN 26所需的配置信息。當(dāng)部署了EVPN時(shí),邊緣路由器之間的L2地址學(xué)習(xí)(例如,MAC學(xué)習(xí))通過根據(jù)EVPN協(xié)議交換EVPN消息在控制平面中發(fā)生,與在VPLS中發(fā)生的傳統(tǒng)橋接相反,其中L2地址學(xué)習(xí)在數(shù)據(jù)平面(例如,轉(zhuǎn)發(fā)組件)中發(fā)生同時(shí)轉(zhuǎn)發(fā)L2流量。例如,A-PE 36和N-PE 30的控制平面被配置為執(zhí)行路由協(xié)議,諸如邊界網(wǎng)關(guān)協(xié)議(BGP),以交換增強(qiáng)消息以便關(guān)于EVPN 26彼此通信。也就是說,A-PE 36和N-PE 30的控制平面可執(zhí)行BGP協(xié)議以交換BGP消息,以用于MAC地址信令/學(xué)習(xí)以及用于相對(duì)于EVPN 26的接入拓?fù)浜蚔PN端點(diǎn)發(fā)現(xiàn)。A-PE 36和N-PE 30可由MPLS LSP基礎(chǔ)設(shè)施連接或者可由IP基礎(chǔ)設(shè)施連接,在這種情況下,IP/GRE隧道或其他IP隧道可用于通過EVPN 26傳輸L2通信。相對(duì)于EVPN協(xié)議的附加信息在RFC 7432,因特網(wǎng)工程任務(wù)組(IETF),2014年7月2日的“基于BGP MPLS的以太網(wǎng)VPN”中有所描述,其全部?jī)?nèi)容通過引用結(jié)合于此。對(duì)緊跟數(shù)字的網(wǎng)絡(luò)層的參考可指示開放系統(tǒng)互連(OSI)模型的特定層。關(guān)于OSI模型的更多信息可在作者Hubert Zimmermann的公開于第28卷第4號(hào),日期為1980年4月的IEEE通信學(xué)報(bào)的“OSI參考模型——開放系統(tǒng)互連的體系架構(gòu)的ISO模型”中找到,其通過引用并入此處,如同在本文完全闡述一樣。
在通過因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7認(rèn)證和建立網(wǎng)絡(luò)接入以后,用戶設(shè)備18中的任何一個(gè)可開始與諸如CDN 8的因特網(wǎng)骨干網(wǎng)12上的資源交換數(shù)據(jù)包。在該過程期間,由因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7指派給用戶設(shè)備18的專用IP地址可被轉(zhuǎn)換為與因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)的路由前綴關(guān)聯(lián)的公共地址,以用于因特網(wǎng)骨干網(wǎng)12上基于數(shù)據(jù)包的通信的目的。此外,網(wǎng)關(guān)21提供第三層(L3)路由功能以用于通過因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7到達(dá)用戶設(shè)備18。網(wǎng)關(guān)21通知L3可達(dá)性信息(例如,路由),以用于到達(dá)與因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7關(guān)聯(lián)的公共地址前綴。盡管未示出,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7可包括其他設(shè)備以提供其他服務(wù),諸如安全性服務(wù)、負(fù)載平衡、計(jì)費(fèi)、深度數(shù)據(jù)包檢測(cè)(DPI),以及用于穿過因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)的流量的其他服務(wù)。
在圖1的示例中,當(dāng)在城域傳輸網(wǎng)絡(luò)24內(nèi)提供EVPN 26服務(wù)時(shí),A-PE路由器36和N-PE路由器30執(zhí)行MAC地址學(xué)習(xí),以有效地轉(zhuǎn)發(fā)系統(tǒng)2中的L2網(wǎng)絡(luò)通信。也就是說,當(dāng)A-PE路由器36從CE路由器35接收源自用戶設(shè)備18的以太網(wǎng)幀時(shí),A-PE路由器學(xué)習(xí)客戶網(wǎng)絡(luò)21的L2狀態(tài)信息,包括客戶網(wǎng)絡(luò)內(nèi)的CE 35的MAC尋址信息。A-PE路由器36通常在與相應(yīng)接口關(guān)聯(lián)的MAC表中存儲(chǔ)MAC尋址信息。當(dāng)A-PE路由器 36學(xué)習(xí)CE 35本地附連電路的MAC地址時(shí),A-PE路由器利用第三層(L3)路由協(xié)議(即,該示例中的BGP)的MAC地址路由通知,以將所習(xí)得的MAC地址共享到EVPN 26的其他成員路由器,以及提供MAC地址通過發(fā)出路由通知的特定PE路由器可到達(dá)的指示。在BGP EVPN的示例中,A-PE路由器36中的每個(gè)使用BGP路由通知,本文中也被稱為“MAC路由”或“MAC通知路由”,將本地習(xí)得的MAC地址通知給其他A-PE路由器36并通知給遠(yuǎn)程N(yùn)-PE路由器,即,第2類BGP EVPN路由通知。如下面進(jìn)一步所描述,MAC路由通常為相應(yīng)CE 35指定一個(gè)或多個(gè)單獨(dú)的MAC地址以及附加轉(zhuǎn)發(fā)信息,諸如路由描述符、路由目標(biāo)、第2層段標(biāo)識(shí)符以及MPLS標(biāo)簽。以該方式,A-PE路由器36使用BGP路由協(xié)議消息來通知和共享在將接收自接入網(wǎng)絡(luò)27的本地附連電路的層2通信轉(zhuǎn)發(fā)至EVPN 26時(shí)所習(xí)得的MAC地址。
根據(jù)本文描述的技術(shù),城域傳輸網(wǎng)絡(luò)24通過在將L2網(wǎng)絡(luò)地址通知至EVPN 26之前實(shí)現(xiàn)CE 35(或可選地,各個(gè)用戶設(shè)備18)的L2網(wǎng)絡(luò)地址(例如,MAC地址)的認(rèn)證來提供增強(qiáng)的安全性。在圖1的示例中,通過指定因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的任一個(gè)的MAC地址的數(shù)據(jù)對(duì)MAC認(rèn)證系統(tǒng)15編程,其中針對(duì)該因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7,ISP已經(jīng)同意參與本文描述的本地MAC認(rèn)證和策略控制技術(shù)。具體地,AAA服務(wù)器或參與的ISP的其他用戶管理系統(tǒng)(諸如AAA服務(wù)器11)輸出通信17,以復(fù)制或以其他方式傳送與用戶關(guān)聯(lián)的CE 35的授權(quán)的L2網(wǎng)絡(luò)地址,例如,MAC地址,其中MAC認(rèn)證系統(tǒng)15由城域網(wǎng)運(yùn)營(yíng)商所擁有和操作。例如,AAA服務(wù)器11和MAC認(rèn)證系統(tǒng)15可參與數(shù)據(jù)庫級(jí)復(fù)制和同步,以傳送MAC地址。作為附加示例,各種通信協(xié)議可用于在AAA服務(wù)器11的數(shù)據(jù)庫和MAC認(rèn)證系統(tǒng)15之間傳送MAC地址。以該方式,可通過被分配到ISP提供商且由ISP提供商所擁有的MAC地址預(yù)填充MAC認(rèn)證系統(tǒng)15。
在從接入網(wǎng)絡(luò)27的本地附連電路接收到以太網(wǎng)幀后,A-PE 36將認(rèn)證請(qǐng)求37輸出到MAC認(rèn)證系統(tǒng)15,MAC認(rèn)證系統(tǒng)15充當(dāng)作為存儲(chǔ)指定有效MAC地址的信息的中央數(shù)據(jù)庫。從MAC認(rèn)證系統(tǒng)15接收的響應(yīng)消息41提供關(guān)于一個(gè)或多個(gè)MAC地址是否有效以及是否作為無效(例如,被列入黑名單或未知)MAC地址被認(rèn)證或拒絕的指示。基于響應(yīng)消息41,A-PE 36處理通過附連電路和CE設(shè)備35的方式從本地用戶設(shè)備18接收的以太網(wǎng)幀。具體地,A-PE 36通過封裝以太網(wǎng)幀以及將流量轉(zhuǎn)發(fā)至城域傳輸網(wǎng)絡(luò)24的EVPN 26來處理具有已認(rèn)證的源MAC地址的以太網(wǎng)幀。進(jìn)一步地,A-PE僅將本地習(xí)得的MAC地址通知至其他A-PE路由器36以及通知至遠(yuǎn)程N(yùn)-PE路由器30,針對(duì)所述本地習(xí)得的MAC地址,響應(yīng)消息41指示為有效的、已認(rèn)證的MAC地址。換言之,A-PE 36為由MAC認(rèn)證系統(tǒng)15明確認(rèn)證的那些MAC地址輸出BGP路由通知,也被稱為EVPN“MAC路由”或稱為“MAC通知路由”,即,第2類BGP EVPN路由通知。
此外,所述技術(shù)提供對(duì)EVPN 26的細(xì)粒度、MAC層策略控制。例如,除了傳送有效MAC地址以外,AAA服務(wù)器111還可為MAC地址中的每個(gè)傳送每個(gè)L2網(wǎng)絡(luò)地址的一個(gè)或多個(gè)策略,從而在城域傳輸網(wǎng)絡(luò)24本地實(shí)現(xiàn)策略驅(qū)動(dòng)控制。繼而,在對(duì)MAC地址進(jìn)行認(rèn)證后,MAC認(rèn)證系統(tǒng)15將相應(yīng)的MAC特定策略或多個(gè)策略中繼至A-PE 36。例如,MAC認(rèn)證系統(tǒng)15可將響應(yīng)消息41的格式規(guī)定為Radius消息或Diameter消息。除了包括提供關(guān)于MAC地址有效性的響應(yīng)的數(shù)據(jù)以外,響應(yīng)消息41被構(gòu)建為嵌入策略,以便相對(duì)于MAC地址由A-PE 36應(yīng)用。例如,可作為符合Radius或Diameter的響應(yīng)消息中的供應(yīng)商特定屬性(VSA)嵌入策略。AAA的RADIUS協(xié)議的示例在Carl Rigney等人于2000年6月公布的因特網(wǎng)工程任務(wù)組(IETE)的網(wǎng)絡(luò)工作組的注解請(qǐng)求2865中的“遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器(RADIUS)”中有所描述,其通過應(yīng)用全部并入本文(下文中稱作“RFC 2865”)。AAA的Diameter協(xié)議的示例在Fajardo等人于2012年10月公布的因特網(wǎng)工程任務(wù)組(IETE)的網(wǎng)絡(luò)工作組的注解請(qǐng)求RFC 6733中的“Diameter基礎(chǔ)協(xié)議”中有所描述。
作為一個(gè)示例,MAC認(rèn)證系統(tǒng)15可構(gòu)建響應(yīng)消息41以包括MAC地址的基于時(shí)間和/或容量的策略。例如,在對(duì)有效MAC地址進(jìn)行認(rèn)證后,MAC認(rèn)證系統(tǒng)15可在指定持續(xù)時(shí)間或流量定額時(shí)嵌入VSA,針對(duì)該VSA,A-PE 36將MAC地址當(dāng)前保持在其本地MAC表中和/或已認(rèn)證的MAC的高速緩存中。如此,具有MAC地址作為原MAC的任何附加流量觸發(fā)重新認(rèn)證請(qǐng)求37。
作為另一個(gè)示例,MAC認(rèn)證系統(tǒng)15可在響應(yīng)消息41中包括MAC地址的基于時(shí)間和容量的策略。例如,MAC認(rèn)證系統(tǒng)15可包括使用VSA的指定路由目標(biāo)(RT)。在這種情況下,當(dāng)在控制平面中宣布進(jìn)入EVPN 26的該MAC地址時(shí),所述接收A-PE 36利用EVPN路由類型2中的路由目標(biāo)。以該方式,RT通過將MAC地址作為可通過所述通知A-PE 36到達(dá)插入它們各自的與EVPN 26關(guān)聯(lián)的MAC表中來向其他EVPN PE路由器指定EVPN PE路由器是否將導(dǎo)入該特定MAC路由。如此,城域傳輸網(wǎng)絡(luò)24實(shí)現(xiàn)城域網(wǎng)絡(luò)中的哪些PE學(xué)習(xí)哪些MAC地址的自動(dòng)策略驅(qū)動(dòng)控制,并且以單獨(dú)的MAC級(jí)粒度提供該種控制。此外,該種控制擴(kuò)展至各個(gè)ISP,其擁有并操作因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7并且通過通信17的方式將配置信息和策略提供至MAC認(rèn)證系統(tǒng)15。通過允許以MAC地址的粒度從MAC認(rèn)證系統(tǒng)15自動(dòng)配置RT,可通過城域網(wǎng)運(yùn)營(yíng)商和/或ISP實(shí)施并控制MAC地址的粒度下的服務(wù)/拓?fù)涠ㄖ苹?/p>
作為另一個(gè)示例,MAC認(rèn)證系統(tǒng)15可在響應(yīng)消息41中包括新的BGP團(tuán)體屬性,其傳送EVPN PE的回送IP地址。BGP團(tuán)體屬性可被嵌入在響應(yīng)消息41中的新VSA中。當(dāng)在控制平面中宣布進(jìn)入EVPN 26的該MAC地址時(shí),所述接收A-PE 36利用EVPN路由類型2中的BGP團(tuán)體屬性。這提供用于指定和控制哪些EVPN PE路由器將導(dǎo)入該特定MAC路由的另一種機(jī)制,并且將避免指定EVPN PE中的每個(gè)上的RT。
以該方式,本文描述的示例技術(shù)實(shí)現(xiàn)對(duì)MAC路由分發(fā)的自動(dòng)的、每MAC控制。此外,這使得城域網(wǎng)運(yùn)營(yíng)商能夠指定富拓?fù)洌杂糜谝约?xì)粒度MAC地址級(jí)別支持因特網(wǎng)服務(wù)提供商。
圖2為示出根據(jù)本公開的技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的設(shè)備的示例操作的流程圖。最初,由參與的ISP所擁有的且由相應(yīng)CE 35和/或ISP的用戶設(shè)備18使用的MAC地址被傳送到城域網(wǎng)運(yùn)營(yíng)商,以用于配置MAC認(rèn)證系統(tǒng)15(100、102)??赏ㄟ^指定因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的任一個(gè)的MAC地址的數(shù)據(jù),由城域網(wǎng)運(yùn)營(yíng)商對(duì)MAC認(rèn)證系統(tǒng)15編程,其中針對(duì)該因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7,ISP已經(jīng)同意參與本文描述的技術(shù)。作為其他示例,所述表示同意ISP的AAA服務(wù)器11可輸出消息17以將MAC地址傳送到MAC認(rèn)證系統(tǒng)15,所述MAC地址被分配給相應(yīng)因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7并由CE 35使用,或者作為另一個(gè)示例,由各個(gè)用戶設(shè)備18使用。接收配置數(shù)據(jù)后,MAC認(rèn)證系統(tǒng)15更新其有效MAC地址(102)的數(shù)據(jù)庫。
接收來自給定CE 35的網(wǎng)絡(luò)接入請(qǐng)求后,因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的AAA服務(wù)器11對(duì)用戶的憑證進(jìn)行認(rèn)證,例如,用戶名和密碼,并從被分配給ISP且由ISP所擁有的IP地址前綴為用戶分配IP地址(103)。此時(shí),CE 35通常開始輸出數(shù)據(jù)包,諸如L2以太網(wǎng)幀,以用于接入網(wǎng)絡(luò)資源,諸如CDN 8或因特網(wǎng)。
在經(jīng)由本地附連電路從CE 35或假裝為已認(rèn)證設(shè)備的其他設(shè)備接收數(shù)據(jù)包(例如,以太網(wǎng)幀)后,A-PE 36檢查其最近已認(rèn)證的MAC地址的本地高速緩存,并確定所述發(fā)送用戶設(shè)備的源MAC地址是否為先前未被學(xué)習(xí)的新MAC地址,并且因此不存在于其本地MAC表中且還未被驗(yàn)證(105)。如果源MAC地址與當(dāng)前存在于A-PE 36的本地MAC表內(nèi)的MAC地址匹配,則A-PE 36封裝所述數(shù)據(jù)包并使用EVPN 26注入所述數(shù)據(jù)包(120)。
如果MAC地址還未被學(xué)習(xí)并且因此最近未被認(rèn)證,A-PE 36將認(rèn)證請(qǐng)求37輸出到MAC認(rèn)證系統(tǒng)15(108),其中認(rèn)證請(qǐng)求指定所述數(shù)據(jù)包的源MAC地址,即,所述發(fā)送CE 35的MAC地址。作為一個(gè)示例,認(rèn)證請(qǐng)求37可符合增強(qiáng)的RADIUS或DIAMETER協(xié)議,其已經(jīng)被修改以承載針對(duì)其請(qǐng)求驗(yàn)證的MAC地址(多個(gè)MAC地址)。
MAC認(rèn)證系統(tǒng)15接收認(rèn)證請(qǐng)求37,并通過比較由認(rèn)證請(qǐng)求的有效負(fù)載承載的源MAC地址和其由ISP網(wǎng)絡(luò)7提供的有效MAC地址的中央數(shù)據(jù)庫來處理請(qǐng)求?;诒容^,MAC認(rèn)證系統(tǒng)15構(gòu)建并輸出響應(yīng)消息41,響應(yīng)消息41具有指示MAC地址是否為當(dāng)源發(fā)L2數(shù)據(jù)包時(shí)期望從CE 35看到的有效MAC地址的數(shù)據(jù)(112)。例如,如果MAC認(rèn)證系統(tǒng)15確定MAC地址匹配其數(shù)據(jù)庫內(nèi)的MAC地址,則MAC認(rèn)證系統(tǒng)構(gòu)建響應(yīng)消息41,以具有指示MAC地址為期望從CE 35(或用戶設(shè)備18)看到的有效源MAC地址的數(shù)據(jù)。然而,如果MAC認(rèn)證系統(tǒng)15確定MAC地址與其數(shù)據(jù)庫中的MAC地址中的任一個(gè)都不匹配,則認(rèn)證系統(tǒng)構(gòu)建并輸出響應(yīng)消息41,以包括指示特定MAC地址無效的數(shù)據(jù)。
發(fā)起認(rèn)證請(qǐng)求37的A-PE 36接收來自MAC認(rèn)證系統(tǒng)15的響應(yīng)消息41(114),并處理響應(yīng)消息以確定響應(yīng)消息是否指示最近接收的以太網(wǎng)幀的源MAC地址為有效MAC地址(116)。如果響應(yīng)消息41指示MAC地址為無效MAC地址(例如,被列入黑名單的或未知的MAC),則所述請(qǐng)求A-PE 36放棄當(dāng)前正被緩沖的以太網(wǎng)幀(118)。另外,A-PE 36可將MAC地址放入“黑名單”中,使得在一定的可配置時(shí)間量?jī)?nèi)在轉(zhuǎn)發(fā)平面中自動(dòng)放棄具有相同源MAC地址的隨后的數(shù)據(jù)包,以避免連續(xù)地重新認(rèn)證無效MAC地址。
在響應(yīng)消息41指示MAC地址為CE 35(或用戶設(shè)備18)的有效源MAC地址的情況下,A-PE 36封裝以太網(wǎng)幀并將所得數(shù)據(jù)包轉(zhuǎn)發(fā)至城域傳輸網(wǎng)絡(luò)24的EVPN 26(120)。另外,對(duì)于任何最新習(xí)得的MAC地址,A-PE 36更新與EVPN 26關(guān)聯(lián)的其MAC表,并通過第2類EVPN MAC路由通知的方式將本地習(xí)得的源MAC地址通知至其他A-PE路由器36以及通知至N-PE路由器30(122)。此時(shí),A-PE 36可應(yīng)用由MAC認(rèn)證系統(tǒng)15提供的任何策略以用于特定MAC地址。例如,如以上所描述,A-PE 36可構(gòu)建BGP EVPN MAC路由通知,以包括RT或BGP團(tuán)體以便向其他EVPN PE路由器指定EVPN PE路由器是否將導(dǎo)入該特定MAC路由。
諸如其他A-PE 36或N-PE 30的遠(yuǎn)程EVPN路由器接收EVPN MAC路由通知(124),并基于如本文所描述的RT導(dǎo)入規(guī)則或BGP團(tuán)體屬性更新與EVPN關(guān)聯(lián)的MAC表(126)。
在經(jīng)由城域傳輸網(wǎng)絡(luò)24提供的EVPN 26接收用戶會(huì)話的出站以太網(wǎng)幀后,BNG 23提供用戶會(huì)話的終止點(diǎn),并應(yīng)用L3路由功能將L3數(shù)據(jù)包路由至因特網(wǎng)骨干網(wǎng)12和CDN 8(130)。
在以上示例中,A-PE 36被配置為緩沖出站通信直到對(duì)通信內(nèi)的源MAC地址進(jìn)行認(rèn)證。在替代示例中,對(duì)于給定的源MAC地址,A-PE 36可被配置為注入有限的通信量,諸如至多閾值數(shù)目的數(shù)據(jù)包,同時(shí)請(qǐng)求由MAC認(rèn)證系統(tǒng)15進(jìn)行認(rèn)證。也就是說,A-PE 36可轉(zhuǎn)發(fā)所述數(shù)據(jù)包,同時(shí)認(rèn)證請(qǐng)求37對(duì)于MAC認(rèn)證系統(tǒng)15而言是未決的。如果隨后接收的響應(yīng)消息41指示所考慮中的源MAC地址不是有效MAC地址,那么所述請(qǐng)求A-PE 36將MAC地址添加到MAC地址的黑名單給,自動(dòng)放棄具有與所述數(shù)據(jù)包的源MAC地址相同的MAC地址的任何隨后的數(shù)據(jù)包,并且不宣布進(jìn)入使用EVPN MAC路由通知的EVPN 26中的MAC地址。
圖3為示出根據(jù)本文描述的各種技術(shù)的網(wǎng)絡(luò)系統(tǒng)2的另一種示例操作模式的方框圖。在圖3的示例中,MAC認(rèn)證系統(tǒng)15支持分層認(rèn)證和策略控制。
例如,與使用指定因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的MAC地址的數(shù)據(jù)對(duì)MAC認(rèn)證系統(tǒng)15編程不同或者除了使用指定因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的MAC地址的數(shù)據(jù)對(duì)MAC認(rèn)證系統(tǒng)15編程以外,MAC認(rèn)證系統(tǒng)和AAA服務(wù)器11協(xié)作以提供分層MAC認(rèn)證。也就是說,MAC認(rèn)證系統(tǒng)15維護(hù)最近已認(rèn)證的MAC地址和關(guān)聯(lián)策略的本地高速緩存。在接收到來自A-PE 36的認(rèn)證請(qǐng)求37后,MAC認(rèn)證系統(tǒng)15將由認(rèn)證請(qǐng)求的有效負(fù)載承載的源MAC地址與其先前從ISP網(wǎng)絡(luò)7接收的有效MAC地址和關(guān)聯(lián)策略的中央數(shù)據(jù)庫進(jìn)行比較。如果未發(fā)現(xiàn)MAC地址,則MAC認(rèn)證系統(tǒng)15發(fā)出查詢152至每個(gè)參與的ISP的AAA服務(wù)器11,以確定該MAC地址是否有效。每個(gè)查詢的AAA服務(wù)器11提供具有指示MAC地址是否為被期望從CE 35(或用戶設(shè)備18)看到的有效源MAC地址的數(shù)據(jù)的響應(yīng)154。在從因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的一個(gè)的AAA服務(wù)器11接收到響應(yīng)消息154后,MAC認(rèn)證系統(tǒng)15更新其有效MAC地址的本地高速緩存,并輸出具有指示MAC地址為有效MAC地址的數(shù)據(jù)的響應(yīng)消息41。另外,來自AAA服務(wù)器11的響應(yīng)消息154承載由城域傳輸網(wǎng)絡(luò)24與特定MAC地址相關(guān)聯(lián)地實(shí)施的任何策略。MAC認(rèn)證系統(tǒng)15連同有效MAC地址一起在其數(shù)據(jù)庫中安裝策略,并構(gòu)建響應(yīng)消息41以便將策略傳遞到所述請(qǐng)求A-PE 36。
然而,如果MAC認(rèn)證系統(tǒng)15從所有參與的因特網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的AAA服務(wù)器11接收到MAC地址不與它們數(shù)據(jù)庫中的MAC地址中的任一個(gè)匹配的響應(yīng)消息154,則MAC認(rèn)證系統(tǒng)構(gòu)建并輸出響應(yīng)消息41,以包括指示特定MAC地址無效的數(shù)據(jù)。
圖4為示出實(shí)施本文描述的各種技術(shù)的另一個(gè)示例網(wǎng)絡(luò)系統(tǒng)200的方框圖。與圖1的城域傳輸網(wǎng)絡(luò)24類似,城域傳輸網(wǎng)絡(luò)224實(shí)施以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)226,其中由城域傳輸運(yùn)營(yíng)商操作的邊緣路由器(例如,A-PE 236和網(wǎng)關(guān)231)被配置為在它們各自的控制平面(也被稱為路由引擎)內(nèi)執(zhí)行EVPN協(xié)議,以便彼此通信并交換建立和維護(hù)EVPN 226所需的配置信息。A-PE 236和網(wǎng)關(guān)231可由MPLS LSP基礎(chǔ)設(shè)施連接或者可由IP基礎(chǔ)設(shè)施連接,在這種情況下,IP/GRE隧道或其他IP隧道可用于通過EVPN 26傳輸L2通信。
在圖4的示例中,城域傳輸網(wǎng)絡(luò)224包括動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器202,DHCP服務(wù)器202將網(wǎng)絡(luò)層(例如,IP)地址分配給用戶設(shè)備218。盡管被示出為獨(dú)立設(shè)備,DHCP服務(wù)器202可被集成在諸如A-PE 236或網(wǎng)關(guān)路由器221的其他設(shè)備內(nèi)。以該方式,網(wǎng)絡(luò)系統(tǒng)200包括城域傳輸網(wǎng)絡(luò)224,其作為輕型、MAC級(jí)用戶管理系統(tǒng)操作。在該示例中,用戶設(shè)備218包括部署在城市區(qū)域內(nèi)的設(shè)備的集合,諸如攝像頭、傳感器和交通燈。盡管出于舉例說明此類設(shè)備的目的進(jìn)行了描述,參考圖4示出的技術(shù)可應(yīng)用于其他形式的用戶設(shè)備,諸如膝上型電腦、桌面型計(jì)算機(jī)、尋呼機(jī)、智能電話、個(gè)人數(shù)據(jù)助理(PDA)等等。
在圖4的示例中,CE 237可以是簡(jiǎn)單的L2交換設(shè)備,并且在這種情況下,基于用戶設(shè)備218的MAC執(zhí)行MAC認(rèn)證。MAC認(rèn)證系統(tǒng)215通過指定CE 35和/或用戶設(shè)備218的MAC地址的數(shù)據(jù)進(jìn)行編程并且應(yīng)用本文描述的本地MAC認(rèn)證和策略控制技術(shù)。也就是說,與本文描述的技術(shù)類型,在從耦接到接入網(wǎng)絡(luò)227的CE設(shè)備237的本地附連電路接收到數(shù)據(jù)包后,A-PE 236將認(rèn)證請(qǐng)求237輸出至MAC認(rèn)證系統(tǒng)215,MAC認(rèn)證系統(tǒng)215充當(dāng)中央數(shù)據(jù)庫,該中央數(shù)據(jù)庫存儲(chǔ)為城域傳輸網(wǎng)絡(luò)224指定有效MAC地址的信息。從MAC認(rèn)證系統(tǒng)215接收到的響應(yīng)消息241提供關(guān)于所述數(shù)據(jù)包中的源MAC地址是否有效以及是否作為無效MAC地址被認(rèn)證或拒絕的指示?;陧憫?yīng)消息241,A-PE 236處理通過附連電路的方式從本地CE 35接收的數(shù)據(jù)包(例如,以太網(wǎng)幀)。具體地,A-PE 236通過封裝該數(shù)據(jù)包以及將封裝的數(shù)據(jù)包轉(zhuǎn)發(fā)至城域傳輸網(wǎng)絡(luò)224的EVPN 226來處理具有已認(rèn)證的源MAC地址的數(shù)據(jù)包。進(jìn)一步地,A-PE 236僅將驗(yàn)證的MAC地址通知至使用例如BGP EVPN第2類MAC路由通知的EVPN路由器,其還可包括例如由相應(yīng)DHCP服務(wù)器分配的IP地址。此外,此時(shí),A-PE 236可應(yīng)用由MAC認(rèn)證系統(tǒng)215提供的任何策略以用于特定MAC地址。
“物聯(lián)網(wǎng)(IOT)”數(shù)據(jù)中心208代表計(jì)算系統(tǒng),例如,一組服務(wù)器,其被配置為控制用戶設(shè)備218,處理從用戶設(shè)備接收到的通信以及基于通信生成報(bào)告等等。也就是說,IOT數(shù)據(jù)中心208可以是被配置為控制安裝在城市環(huán)境內(nèi)的設(shè)備的計(jì)算系統(tǒng)。如圖1中所示,城域傳輸網(wǎng)絡(luò)可被配置為實(shí)現(xiàn)對(duì)IOT或其他用戶設(shè)備218的直接L2和L3支持,而無需中間的因特網(wǎng)服務(wù)提供商。通過該輕型用戶管理系統(tǒng),城域傳輸網(wǎng)絡(luò)224可表現(xiàn)為具有許多對(duì)等/出口點(diǎn)的完全I(xiàn)P網(wǎng)絡(luò),而無須將所有用戶流量傳輸至各種ISP的集中式BNG,從而提供更有效和靈活的傳輸層服務(wù)。
盡管相對(duì)于EVPN進(jìn)行了描述,MAC認(rèn)證系統(tǒng)可將本文描述的MAC級(jí)認(rèn)證技術(shù)應(yīng)用到其中使用虛擬專用Lan服務(wù)(VPLS)的城域傳輸網(wǎng)絡(luò)。在該種實(shí)施中,城域傳輸網(wǎng)絡(luò)(例如,城域傳輸網(wǎng)絡(luò)24、224)的路由器,包括A-PE路由器和N-PE路由器,建立VPLS以用于傳輸通信。在從MAC認(rèn)證系統(tǒng)接收到指示源MAC是與客戶設(shè)備中的一個(gè)關(guān)聯(lián)的有效MAC的響應(yīng)消息后,A-PE路由器將所述數(shù)據(jù)包轉(zhuǎn)發(fā)至VPLS。然而,在從MAC認(rèn)證系統(tǒng)接收到指示源MAC無效(例如,被列入黑名單或未知)的響應(yīng)消息后,A-PE路由器放棄所述數(shù)據(jù)包。
圖5為示出能夠執(zhí)行所公開的技術(shù)的示例性路由器380的方框圖。一言而言,路由器380可與相對(duì)于圖1-圖4描述的A-PE 36、236大致類似地操作。
在該示例中,路由器380包括接口卡388A-388N(“IFC 388”),其經(jīng)由入站鏈路390A-390N(“入站鏈路390”)接收數(shù)據(jù)包并經(jīng)由出站鏈路392A-392A(“出站鏈路392”)發(fā)送數(shù)據(jù)包。IFC 388通常經(jīng)由多個(gè)接口端口耦接到鏈路390、392。路由器380還包括控制單元382,其確定所接收數(shù)據(jù)包的路由并相應(yīng)地經(jīng)由IFC 388轉(zhuǎn)發(fā)所述數(shù)據(jù)包。
控制單元382可包括路由引擎384和數(shù)據(jù)包轉(zhuǎn)發(fā)引擎386。路由引擎384作為路由器380的控制平面操作并包括操作系統(tǒng),其提供多任務(wù)操作環(huán)境以用于執(zhí)行多個(gè)并行進(jìn)程。例如,路由引擎384執(zhí)行軟件指令以實(shí)施一個(gè)或多個(gè)控制平面聯(lián)網(wǎng)協(xié)議397。例如,協(xié)議397可包括一個(gè)或多個(gè)路由協(xié)議,諸如邊界網(wǎng)關(guān)協(xié)議(BGP)393,以用于與其他路由設(shè)備交換路由信息以及用于更新路由信息394。路由信息394可描述其中駐留路由器380的計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)?,并且還可包括通過網(wǎng)絡(luò)的路由。路由信息394描述計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的各種路由以及每個(gè)路由的適當(dāng)?shù)南乱惶?,即,沿著路由中的每個(gè)的鄰近路由設(shè)備。路由引擎384分析所存儲(chǔ)的路由信息394并為轉(zhuǎn)發(fā)引擎386生成轉(zhuǎn)發(fā)信息396。轉(zhuǎn)發(fā)信息396可例如使用戶的網(wǎng)絡(luò)目的地與特定的下一跳和相應(yīng)IFC 388以及輸出鏈路392的物理輸出端口關(guān)聯(lián)。此外,轉(zhuǎn)發(fā)信息396可指定在將數(shù)據(jù)包轉(zhuǎn)發(fā)至下一跳時(shí)應(yīng)用的操作,諸如使用EVPN標(biāo)簽的封裝或數(shù)據(jù)包的解封裝。轉(zhuǎn)發(fā)信息396可以是被編程到專用轉(zhuǎn)發(fā)芯片中的基數(shù)樹、一系列表、復(fù)雜數(shù)據(jù)庫、鏈接表、基數(shù)樹、數(shù)據(jù)庫、平面文件或各種其他數(shù)據(jù)結(jié)構(gòu)。
在圖5的示例中,還被稱為路由器380的控制平面的路由引擎384執(zhí)行EVPN協(xié)議387,其操作用于與其他路由器通信以建立和維護(hù)EVPN,諸如EVPN 26,以用于通過城域傳輸網(wǎng)絡(luò)傳輸通信,從而通過中間網(wǎng)絡(luò)本地?cái)U(kuò)展以太網(wǎng)網(wǎng)絡(luò)。例如,EVPN協(xié)議387可與在遠(yuǎn)程服務(wù)器上執(zhí)行的EVPN協(xié)議通信,以建立隧道(例如,LSP或GRE隧道),其利用數(shù)據(jù)包上的標(biāo)簽棧以用于通過EVPN傳輸所述數(shù)據(jù)包。EVPN協(xié)議387維護(hù)路由器380的控制平面中的MAC地址表381,其中MAC表使L2客戶MAC地址與特定隧道關(guān)聯(lián)以到達(dá)所關(guān)聯(lián)的MAC地址。當(dāng)實(shí)施EVPN時(shí),可通過與遠(yuǎn)程PE設(shè)備交換包含客戶MAC地址的BGP消息在控制平面中執(zhí)行L2MAC學(xué)習(xí)。EVPN協(xié)議387將MAC表381中記錄的信息傳送至轉(zhuǎn)發(fā)引擎386,從而配置轉(zhuǎn)發(fā)信息396。以該方式,可通過每個(gè)隧道和輸出接口之間的關(guān)聯(lián)以及可經(jīng)由那些隧道到達(dá)的特定源客戶MAC地址對(duì)轉(zhuǎn)發(fā)引擎386編程。關(guān)于EVPN協(xié)議的附加示例信息在RFC 7432,因特網(wǎng)工程任務(wù)組(IETE),2014年7月2日的“基于BGP MPLS的以太網(wǎng)VPN”中有所描述,其全部?jī)?nèi)容通過引用結(jié)合于此。
在該示例中,路由器380包括策略器385A,策略器385A在控制平面384中執(zhí)行并與在數(shù)據(jù)平面386中執(zhí)行的策略器組件385B通信。當(dāng)轉(zhuǎn)發(fā)引擎386經(jīng)由本地附連電路(即,鏈路390中的一個(gè)或多個(gè))從用戶設(shè)備或假裝為已認(rèn)證設(shè)備的設(shè)備接收數(shù)據(jù)包時(shí),策略器385檢查最近已認(rèn)證的MAC地址的本地高速緩存387,并確定該發(fā)送用戶設(shè)備的源MAC地址是否為先前未被學(xué)習(xí)的新MAC地址,并且因此不存在于其MAC表內(nèi)且還未被驗(yàn)證。如果源MAC地址與本地高速緩存387內(nèi)的MAC地址匹配,則策略器385B指導(dǎo)轉(zhuǎn)發(fā)引擎386封裝所述數(shù)據(jù)包并根據(jù)轉(zhuǎn)發(fā)信息396將所述數(shù)據(jù)包注入EVPN 26中。
如果MAC地址還未被學(xué)習(xí)并因此最近未被認(rèn)證,則策略器385B向策略器385A提出警告,所述策略器385A繼而將認(rèn)證請(qǐng)求37輸出至MAC認(rèn)證系統(tǒng)15,其中認(rèn)證請(qǐng)求指定數(shù)據(jù)包的源MAC地址,即,所述發(fā)送CE 35或用戶設(shè)備18的MAC地址。在此期間,策略器385B指導(dǎo)所述數(shù)據(jù)包排隊(duì)直到接收了響應(yīng)。
在接收導(dǎo)指示已經(jīng)授權(quán)接入的響應(yīng)消息41后,策略器385A通知EVPN協(xié)議387有效MAC地址,這繼而使得EVPN協(xié)議更新MAC表381并指導(dǎo)BGP協(xié)議393構(gòu)建和輸出第2類BGP MAC路由,以將最新習(xí)得的MAC地址通知至其他EVPN成員路由器。此時(shí),EVPN協(xié)議387可應(yīng)用MAC認(rèn)證系統(tǒng)15提供的任何策略399,以用于特定MAC地址。例如,EVPN協(xié)議387可構(gòu)建BGP EVPN MAC路由通知以包括RT或BGP團(tuán)體,如以上所描述,以便向其他EVPN PE路由器指定EVPN PE路由器是否將導(dǎo)入該特定MAC路由。另外,策略器385A通知策略器385B所緩沖的數(shù)據(jù)包是否包括有效源MAC地址,從而使策略器385B同意用于轉(zhuǎn)發(fā)的數(shù)據(jù)包或從隊(duì)列389丟棄該數(shù)據(jù)包。
圖5中示出的路由器380的體系架構(gòu)被示出用于僅說明性目的。本發(fā)明不限于該體系架構(gòu)。在其他示例中,可用多種方式配置路由器380。在一個(gè)示例中,控制單元382的一些功能可分布在IFC 388內(nèi)。在另一個(gè)示例中,控制單元382可包括作為從屬路由器操作的多個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)引擎。
控制單元382可以以軟件或硬件單獨(dú)實(shí)施,或者可以以軟件、硬件或固件的組合實(shí)施。例如,控制單元382可包括執(zhí)行軟件指令的一個(gè)或多個(gè)處理器。在該情況下,控制單元382的各種軟件模塊可包括存儲(chǔ)在諸如計(jì)算機(jī)存儲(chǔ)器或硬盤的計(jì)算機(jī)可讀介質(zhì)上的可執(zhí)行指令。
本文描述的技術(shù)可在硬件、軟件、固件或它們的任何組合中實(shí)施。作為模塊、單元或組件描述的各種特征可在集成邏輯設(shè)備中一起實(shí)施,或者單獨(dú)地實(shí)施為離散的但可交互操作的邏輯設(shè)備或其他硬件設(shè)備。在一些情況下,電子電路的各種特征可被實(shí)施為一個(gè)或多個(gè)集成電路設(shè)備,諸如集成電路芯片或芯片集。
如果在硬件中實(shí)施,則本公開可針對(duì)一種裝置,諸如處理器或集成電路設(shè)備,諸如集成電路芯片或芯片集。替代地或附加地,如果在軟件或固件中實(shí)施,所述技術(shù)可至少部分由包括指令的計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)實(shí)現(xiàn),當(dāng)被執(zhí)行時(shí),所述指令使得處理器執(zhí)行以上描述的方法中的一個(gè)或多個(gè)。例如,計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)可存儲(chǔ)用于由處理器執(zhí)行的該類指令。
計(jì)算機(jī)可讀介質(zhì)可形成計(jì)算機(jī)程序產(chǎn)品的部分,其可包括封裝材料。計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)介質(zhì),諸如隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、非易失性隨機(jī)存取存儲(chǔ)器(NVRAM)、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、閃存、磁性或光學(xué)數(shù)據(jù)存儲(chǔ)介質(zhì)等等。在一些示例中,制造品可包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。
在一些示例中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可包括非易失性介質(zhì)。術(shù)語“非易失性”可指示存儲(chǔ)介質(zhì)不在載波或傳播信號(hào)中實(shí)現(xiàn)。在某些示例中,非易失性存儲(chǔ)介質(zhì)可存儲(chǔ)可隨時(shí)間而改變的數(shù)據(jù)(例如,在RAM中或高速緩存中)。
代碼或指令可以是由處理電路執(zhí)行的軟件和/或固件,所述處理電路包括一個(gè)或多個(gè)處理器,諸如一個(gè)或多個(gè)數(shù)字信號(hào)處理器(DSP)、通用微處理器、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其他等效的集成或離散邏輯電路。因此,如本文使用的術(shù)語“處理器”可指前述結(jié)構(gòu)或適用于實(shí)施本文描述的技術(shù)的任何其他結(jié)構(gòu)中的任一個(gè)。另外,在一些方面中,可在軟件模塊或硬件模塊內(nèi)提供在本公開中描述的功能。
已經(jīng)描述了各種實(shí)施例。這些和其他實(shí)施例在以下示例的范圍內(nèi)。