MAC（L2）层认证、安全性和策略控制制造技术

本申请描述了在L2交换网络诸如城域传输网络内实现MAC(L2)层认证、安全性和策略控制。此外，当在EVPN中使用时，所述技术提供对L2交换网络的细粒度策略控制，以便使得运营商网络能够指定和控制拓扑以用于传输基于数据包的通信。EVPN的接入路由器与城域传输网络的L2网络地址认证设备通信，并且仅将MAC地址通知至已经验证的EVPN中。此外，L2网络地址认证设备可分发MAC级策略，以控制拓扑和EVPN内的MAC学习以及提供服务，诸如每MAC流量定额限制。

【技术实现步骤摘要】
MAC(L2)层认证、安全性和策略控制
本专利技术涉及计算机网络，并更具体地涉及在层2(L2)网络内传送安全性和策略控制。
技术介绍
许多城市地区已经安装了城市(城域)传输网络，以为本地用户提供到基于较大数据包的服务网络(例如，因特网)的高带通连通性。每个用户通常与连接到城域传输网络的许多因特网服务提供商(ISP)网络中的任一个签约，并且每个ISP网络为用户提供通信会话的锚，以及为用户管理诸如认证、计费的网络服务。用户可利用多种设备以连接到ISP网络，以接入由因特网提供的资源和服务。例如，用户通常利用桌面型计算机、膝上型计算机、智能TV、移动智能电话和功能电话、平板计算机等等。城域传输网络通常提供层2(L2)交换机制以用于在用户和他们各自的ISP之间传输基于数据包的数据，使得可在ISP处为用户建立第三层(L3)通信会话，以用于与诸如远程内容数据网络(CDN)或因特网的超出ISP的资源通信。
技术实现思路
一般而言，描述了在诸如城域传输网络的网络内提供层2(L2)网络地址(例如，媒体接入控制‘MAC’地址)认证的技术。此外，所述技术使用城域传输网络上的以太网虚拟专用网络(EVPN)技术提供本文档来自技高网...

【技术保护点】
一种方法，包括：利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立以太网虚拟专用网络(EVPN)，其中，所述城域传输网络提供层2(L2)数据包交换，用于在所述因特网服务提供商网络和所述客户设备之间传输网络数据包，并且其中，所述路由器中的第一路由器是通过接入链路耦接到所述客户设备的接入路由器；利用接入路由器通过所述接入链路接收来自所述客户设备中的一个的数据包；响应于接收到所述数据包，将来自所述接入路由器的认证请求输出到所述城域传输网络的网络地址认证设备，其中，所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址；以及响应于从所述网络认证设备...

【技术特征摘要】
2015.09.30 US 14/871,9601.一种方法，包括：利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立以太网虚拟专用网络(EVPN)，其中，所述城域传输网络提供层2(L2)数据包交换，用于在所述因特网服务提供商网络和所述客户设备之间传输网络数据包，并且其中，所述路由器中的第一路由器是通过接入链路耦接到所述客户设备的接入路由器；利用接入路由器通过所述接入链路接收来自所述客户设备中的一个的数据包；响应于接收到所述数据包，将来自所述接入路由器的认证请求输出到所述城域传输网络的网络地址认证设备，其中，所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址；以及响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息，在所述EVPN内通过所述接入路由器输出EVPN路由通知，所述EVPN路由通知将所述L2网络地址通知为能够通过所述接入路由器到达。2.根据权利要求1所述的方法，进一步包括：响应于接收到指示所述源L2网络地址是与所述客户设备中的一个不关联的无效L2网络地址的响应消息，利用所述接入路由器丢弃所述数据包，而不输出所述EVPN路由通知。3.根据权利要求1或2所述的方法，进一步包括：响应于接收到指示所述源L2网络地址是与所述客户设备中的一个相关联的有效L2网络地址的响应消息，通过所述接入路由器封装所述数据包并通过所述EVPN将所述数据包隧道传输至所述城域传输网络的其他路由器中的一个。4.根据权利要求1所述的方法，其中，输出EVPN路由通知包括构建和输出路由类型2的路由协议消息。5.根据权利要求1所述的方法，其中，输出EVPN路由通知包括边界网关协议(BGP)路由协议消息。6.根据权利要求1所述的方法，其中，所述响应消息指定与所述L2网络地址关联的策略，所述策略指定控制其他路由器中的哪些将所述L2网络地址导入它们相应的与所述EVPN关联的L2网络地址表的属性，以及其中，在所述EVPN内通过所述接入路由器输出EVPN路由通知包括构建所述EVPN路由通知，以包括在从所述网络地址认证设备接收到的所述策略中指定的所述属性。7.根据权利要求6所述的方法，其中，所述属性指定指定的路由目标(RT)值或边界网关协议(BGP)路由团体。8.一种系统，包括：城域传输网络，提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包，其中，所述城域传输网络包括经由一个或多个接入链路连接到所述客户设备的至少一个接入路由器，以及所述城域传输网络的多个其他路由器，并且其中，所述接入路由器和所述其他路由器在所述城域传输网络内建立以太网虚拟专用网络(EVPN)；以及网络地址认证设备，在所述城域传输网络内，并且包括所述客户设备的有效L2网络地址的数据库，其中，响应于通过所述接入链路接收来自所述客户设备中的一个的数据包，所述接入路由器将认证请求输出到所述城域传输网络的所述网络地址认证设备，所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址；其中，响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息，所述接入路由器被配置为输出EVPN路由通知，所述EVPN路由通知将所述L2网络地址通知为能够通过所述接入路由器到达，以及其中，响应于从所...

【专利技术属性】
技术研发人员：萨钦·S·纳图，基里蒂·康佩拉，
申请(专利权)人：丛林网络公司，
类型：发明
国别省市：美国,US