MAC（L2）層認證、安全性和策略控制制造技術

本申請描述了在L2交換網絡諸如城域傳輸網絡內實現MAC(L2)層認證、安全性和策略控制。此外，當在EVPN中使用時，所述技術提供對L2交換網絡的細粒度策略控制，以便使得運營商網絡能夠指定和控制拓撲以用于傳輸基于數據包的通信。EVPN的接入路由器與城域傳輸網絡的L2網絡地址認證設備通信，并且僅將MAC地址通知至已經驗證的EVPN中。此外，L2網絡地址認證設備可分發MAC級策略，以控制拓撲和EVPN內的MAC學習以及提供服務，諸如每MAC流量定額限制。

【技術實現步驟摘要】
MAC(L2)層認證、安全性和策略控制
本專利技術涉及計算機網絡，并更具體地涉及在層2(L2)網絡內傳送安全性和策略控制。
技術介紹
許多城市地區已經安裝了城市(城域)傳輸網絡，以為本地用戶提供到基于較大數據包的服務網絡(例如，因特網)的高帶通連通性。每個用戶通常與連接到城域傳輸網絡的許多因特網服務提供商(ISP)網絡中的任一個簽約，并且每個ISP網絡為用戶提供通信會話的錨，以及為用戶管理諸如認證、計費的網絡服務。用戶可利用多種設備以連接到ISP網絡，以接入由因特網提供的資源和服務。例如，用戶通常利用桌面型計算機、膝上型計算機、智能TV、移動智能電話和功能電話、平板計算機等等。城域傳輸網絡通常提供層2(L2)交換機制以用于在用戶和他們各自的ISP之間傳輸基于數據包的數據，使得可在ISP處為用戶建立第三層(L3)通信會話，以用于與諸如遠程內容數據網絡(CDN)或因特網的超出ISP的資源通信。
技術實現思路
一般而言，描述了在諸如城域傳輸網絡的網絡內提供層2(L2)網絡地址(例如，媒體接入控制‘MAC’地址)認證的技術。此外，所述技術使用城域傳輸網絡上的以太網虛擬專用網絡(EVPN)技術提供對L2網絡地址中的每個的細粒度策略控制，以便使得運營商網絡能夠指定和控制拓撲，以用于傳輸基于數據包的通信。在一個示例中，系統包括：城域傳輸網絡，其提供層2(L2)數據包交換以用于傳輸與客戶設備關聯的網絡數據包，其中，城域傳輸網絡包括經由一個或多個接入鏈路連接到客戶設備的至少一個接入路由器，以及城域傳輸網絡的多個其他路由器，并且其中接入路由器和其他路由器在城域傳輸網絡內建立EVPN。系統進一步包括網絡地址認證設備，網絡地址認證設備在城域傳輸網絡內，并包括客戶設備的有效L2網絡地址的數據庫。響應于接收到來自客戶設備(例如，客戶端設備(CE)或各個用戶設備)中的一個的數據包，接入路由器向城域傳輸網絡的網絡地址認證設備輸出認證請求，所述認證請求指定數據包的源L2網絡地址并請求驗證源L2網絡地址。響應于從網絡地址認證設備接收到的響應消息指示源L2網絡地址是與客戶設備中的一個關聯的有效L2網絡地址，接入路由器被配置為輸出EVPN路由通知，EVPN路由通知將L2網絡地址通知為可通過接入路由器到達。響應于從網絡地址認證設備接收到的響應消息指示源L2網絡地址是與客戶設備中的任一個都不關聯的無效L2網絡地址(例如，被列入黑名單或未知)，接入路由器被配置為利用接入路由器丟棄數據包，而不將EVPN路由通知輸出到EVPN中。在另一個示例中，方法包括利用定位在至少一個因特網服務提供商網絡和一組客戶設備之間的城域傳輸網絡的一組路由器建立EVPN，其中，城域傳輸網絡提供L2數據包交換以用于在因特網服務提供商網絡和客戶設備之間傳輸網絡數據包，并且其中路由器中的第一個是經由接入鏈路耦接到客戶設備的接入路由器。方法進一步包括通過接入路由器經由接入鏈路接收來自客戶設備中的一個的數據包，以及響應于接收到所述數據包，將來自接入路由器的認證請求輸出到城域傳輸網絡的網絡地址認證設備，其中，認證請求指定數據包的源L2網絡地址并請求驗證源L2網絡地址。方法包括響應于接收到的響應消息指示源L2網絡地址是與客戶設備中的一個關聯的有效L2網絡地址，在EVPN內經由接入路由器輸出EVPN路由通知，其將L2網絡地址通知為可通過接入路由器到達。在另一個示例中，城域傳輸網絡的接入路由器包括控制單元，該控制單元具有耦接到存儲器的至少一個處理器。控制單元執行被配置為在城域傳輸網絡內通過一組其他路由器建立EVPN的軟件，所述城域傳輸網絡提供L2數據包交換以用于傳輸與客戶設備關聯的網絡數據包。控制單元被配置為響應于經由接入鏈路接收到來自客戶設備中的一個的數據包，將認證請求輸出到城域傳輸網絡的網絡地址認證設備，所述認證請求指定數據包的源L2網絡地址并請求驗證源L2網絡地址。響應于從網絡地址認證設備接收到的響應消息指示源L2網絡地址是與客戶設備中的一個相關聯的有效L2網絡地址，接入路由器輸出EVPN路由通知，EVPN路由通知將L2網絡地址通知為可通過接入路由器到達。響應于從網絡地址認證設備接收到的響應消息指示源L2網絡地址是與客戶設備中的任一個都不關聯的無效L2網絡地址，接入路由器通過接入路由器丟棄數據包，而不將EVPN路由通知輸出到EVPN中。在另一個示例中，非暫時性計算機可讀存儲介質包括可執行指令，其被配置為執行本文描述的方法。附圖以及下面的描述中提出了本專利技術的一個或多個實施例的細節。本專利技術的其他特征、目的和優點將從所述描述和附圖中以及權利要求中變得明顯。附圖說明圖1為示出根據本文描述的各種技術的示例網絡系統的方框圖。圖2為示出根據本公開的技術的圖1的網絡系統的設備的示例操作的流程圖。圖3為示出根據本文描述的各種技術的圖1的網絡系統的另一種示例操作模式的方框圖。圖4為示出根據本文描述的各種技術的另一個示例網絡系統的方框圖。圖5為示出根據本公開的技術的示例路由器的進一步細節的方框圖。具體實施方式圖1為示出根據本文描述的各種技術的示例網絡系統2的方框圖。如圖1的示例中所示，網絡系統2包括耦接到因特網服務提供商網絡7的城域接入和聚合網絡4。一般而言，因特網服務提供商網絡7通常由因特網服務提供商(ISP)所持有并且被操作為向用戶設備18提供基于數據包的網絡服務的專用網絡。如圖1中所示，用戶設備18通常通過客戶端設備(CE)35(諸如本地以太網交換機、電纜調制解調器、路由器等等)經由層2網絡21互連。一般而言，本文描述的技術可應用于相對于CE35、用戶設備18或它們的組合執行MAC層安全性和用戶管理。例如，在一些情況下，CE35為純L2設備，其交換由用戶設備18發起的L2數據包使得MAC層認證和安全性應用于用戶設備的MAC。在其他示例中，CE35包括L3功能(例如，路由和可選網絡地址轉換(NAT))，以便認證CE35的MAC地址。作為示例，用戶設備18可以是個人計算機、便攜式計算機或者與用戶關聯的其他類型的計算設備，例如，3G無線卡、具有無線功能的上網本、視頻游戲設備、尋呼機、智能電話、個人數據助理(PDA)等等。用戶設備18中的每個可運行多個軟件應用程序，諸如文字處理和其他辦公支持軟件、網絡瀏覽軟件、用以支持語音呼叫、視頻游戲、視頻會議和電子郵件的軟件等等。作為其他示例，用戶設備18可包括低功率、網絡使能設備的集合，諸如攝像頭、傳感器、恒溫器、控制器、自動燈、電器或者家庭或工作場所內的其他設備。此類設備可被俗稱為屬于“物聯網”。此類設備的其他示例可以是部署在城市環境內的交通燈、攝像頭和傳感器。在任何情況下，因特網服務提供商網絡7通常提供CE35的認證和建立，使得用戶設備18可開始與在諸如內容數據網絡(CDA)8A和8B(本文中為CDN8)的因特網骨干網12上可用的資源交換數據包。一般而言，每個CDN8通常為互連設備的專用網絡，所述互連設備協作以將內容分發給使用一個或多個服務的客戶端。此類內容可包括例如流媒體文件、數據文件、軟件下載、文檔和數據庫查詢結果等等。因此，由CDN8提供的服務的示例可包括超文本傳輸協議(HTTP)、基于HTTP的自適應流、實時流協議(RTSP)流、其他媒體流、通知、文本本文檔來自技高網...

【技術保護點】
一種方法，包括：利用定位在至少一個因特網服務提供商網絡和一組客戶設備之間的城域傳輸網絡的一組路由器建立以太網虛擬專用網絡(EVPN)，其中，所述城域傳輸網絡提供層2(L2)數據包交換，用于在所述因特網服務提供商網絡和所述客戶設備之間傳輸網絡數據包，并且其中，所述路由器中的第一路由器是通過接入鏈路耦接到所述客戶設備的接入路由器；利用接入路由器通過所述接入鏈路接收來自所述客戶設備中的一個的數據包；響應于接收到所述數據包，將來自所述接入路由器的認證請求輸出到所述城域傳輸網絡的網絡地址認證設備，其中，所述認證請求指定所述數據包的源L2網絡地址并且請求驗證所述源L2網絡地址；以及響應于從所述網絡認證設備接收到指示所述源L2網絡地址是與所述客戶設備中的一個關聯的有效L2網絡地址的響應消息，在所述EVPN內通過所述接入路由器輸出EVPN路由通知，所述EVPN路由通知將所述L2網絡地址通知為能夠通過所述接入路由器到達。

【技術特征摘要】
2015.09.30 US 14/871,9601.一種方法，包括：利用定位在至少一個因特網服務提供商網絡和一組客戶設備之間的城域傳輸網絡的一組路由器建立以太網虛擬專用網絡(EVPN)，其中，所述城域傳輸網絡提供層2(L2)數據包交換，用于在所述因特網服務提供商網絡和所述客戶設備之間傳輸網絡數據包，并且其中，所述路由器中的第一路由器是通過接入鏈路耦接到所述客戶設備的接入路由器；利用接入路由器通過所述接入鏈路接收來自所述客戶設備中的一個的數據包；響應于接收到所述數據包，將來自所述接入路由器的認證請求輸出到所述城域傳輸網絡的網絡地址認證設備，其中，所述認證請求指定所述數據包的源L2網絡地址并且請求驗證所述源L2網絡地址；以及響應于從所述網絡認證設備接收到指示所述源L2網絡地址是與所述客戶設備中的一個關聯的有效L2網絡地址的響應消息，在所述EVPN內通過所述接入路由器輸出EVPN路由通知，所述EVPN路由通知將所述L2網絡地址通知為能夠通過所述接入路由器到達。2.根據權利要求1所述的方法，進一步包括：響應于接收到指示所述源L2網絡地址是與所述客戶設備中的一個不關聯的無效L2網絡地址的響應消息，利用所述接入路由器丟棄所述數據包，而不輸出所述EVPN路由通知。3.根據權利要求1或2所述的方法，進一步包括：響應于接收到指示所述源L2網絡地址是與所述客戶設備中的一個相關聯的有效L2網絡地址的響應消息，通過所述接入路由器封裝所述數據包并通過所述EVPN將所述數據包隧道傳輸至所述城域傳輸網絡的其他路由器中的一個。4.根據權利要求1所述的方法，其中，輸出EVPN路由通知包括構建和輸出路由類型2的路由協議消息。5.根據權利要求1所述的方法，其中，輸出EVPN路由通知包括邊界網關協議(BGP)路由協議消息。6.根據權利要求1所述的方法，其中，所述響應消息指定與所述L2網絡地址關聯的策略，所述策略指定控制其他路由器中的哪些將所述L2網絡地址導入它們相應的與所述EVPN關聯的L2網絡地址表的屬性，以及其中，在所述EVPN內通過所述接入路由器輸出EVPN路由通知包括構建所述EVPN路由通知，以包括在從所述網絡地址認證設備接收到的所述策略中指定的所述屬性。7.根據權利要求6所述的方法，其中，所述屬性指定指定的路由目標(RT)值或邊界網關協議(BGP)路由團體。8.一種系統，包括：城域傳輸網絡，提供層2(L2)數據包交換以用于傳輸與客戶設備關聯的網絡數據包，其中，所述城域傳輸網絡包括經由一個或多個接入鏈路連接到所述客戶設備的至少一個接入路由器，以及所述城域傳輸網絡的多個其他路由器，并且其中，所述接入路由器和所述其他路由器在所述城域傳輸網絡內建立以太網虛擬專用網絡(EVPN)；以及網絡地址認證設備，在所述城域傳輸網絡內，并且包括所述客戶設備的有效L2網絡地址的數據庫，其中，響應于通過所述接入鏈路接收來自所述客戶設備中的一個的數據包，所述接入路由器將認證請求輸出到所述城域傳輸網絡的所述網絡地址認證設備，所述認證請求指定所述數據包的源L2網絡地址并且請求驗證所述源L2網絡地址；其中，響應于從所述網絡認證設備接收到指示所述源L2網絡地址是與所述客戶設備中的一個關聯的有效L2網絡地址的響應消息，所述接入路由器被配置為輸出EVPN路由通知，所述EVPN路由通知將所述L2網絡地址通知為能夠通過所述接入路由器到達，以及其中，響應于從所...

【專利技術屬性】
技術研發人員：薩欽·S·納圖，基里蒂·康佩拉，
申請(專利權)人：叢林網絡公司，
類型：發明
國別省市：美國,US