在EVPN中部署安全邻居发现制造技术

本公开的实施例涉及在EVPN中部署安全邻居发现。描述了用于提供对以太网虚拟专用网络(EVPN)中的邻居发现的安全性扩展的技术。例如，实现以太网虚拟专用网络(EVPN)的网络设备接收邻居发现响应消息，邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。网络设备处理邻居发现响应消息，邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。不是由第一网络设备发起的新鲜值。不是由第一网络设备发起的新鲜值。

【技术实现步骤摘要】
在EVPN中部署安全邻居发现
[0001]本申请要求于2019年10月18日提交的美国临时专利申请第62/923,070号的权益，并且要求于2020年4月28日提交的美国专利申请第16/860,828号的权益，以上案件均通过整体引用并入于此。


[0002]本公开涉及计算机网络，并且更具体地，涉及在计算机网络内转发业务。

技术介绍

[0003]计算机网络是可以交换数据和共享资源的互连计算设备的集合。示例网络设备包括：交换机或其他层2(“L2”)设备，该交换机或其他层2(“L2”)设备在开放系统互连(“OSI”)参考模型的第二层(即数据链路层)内操作；以及路由器或其他层3(“L3”)设备，该路由器或其他层3(“L3”)设备在OSI参考模型的第三层(即网络层)内操作。常见的L3操作包括根据L3协议(诸如互联网协议(“IP”))所执行的操作。计算机网络内的网络设备通常包括：为网络设备提供控制平面功能性的控制单元、和用于路由或交换数据单元的转发单元。
[0004]在L3网络中，网络设备可以使用邻居发现协议(NDP)来发现其他网络设备和链路层地址的存在，并维护关于到活动邻居的路径的可达性信息。例如，实现NDP的设备发送或接收五种类型的邻居发现消息：路由器恳求(RS)、路由器通告(RA)、邻居恳求(NS)、邻居通告(NA)和重定向。在一些示例中，NDP可以被扩展为包括安全性扩展，诸如安全邻居发现(SEND)。SEND为网络设备提供了加密机制，以保护邻居发现消息的递送和认证。作为一个示例，发送器设备发起新鲜值(nonce)，存储新鲜值，并发送包括新鲜值的邻居发现请求消息，例如邻居恳求消息，以防止重放攻击。如果发送器设备接收到邻居发现响应消息，例如邻居通告消息，包括与由发送器设备存储的新鲜值匹配的新鲜值，则发送器设备确定邻居发现响应消息不是重放攻击，并学习链路层地址。如果邻居发现响应消息不包括与由发送器设备存储的新鲜值匹配的新鲜值，则发送器设备弃用(drop)邻居发现响应消息。

技术实现思路

[0005]大体上，描述了用于提供对以太网虚拟专用网络(EVPN)中的邻居发现的安全性扩展的技术。例如，网络设备例如使用邻居发现协议(NDP)发送和接收邻居发现消息，以发现近邻设备和链路层地址的存在，并维护关于到活动邻居的路径的可达性信息。在一些示例中，NDP被扩展为包括安全性扩展，诸如安全邻居发现(SEND)。网络设备使用SEND生成邻居发现消息，这些邻居发现消息携带基于公钥的签名，以用于保护和认证邻居发现消息。例如，网络设备在邻居发现消息中包括新鲜值以防止重放攻击。在本文中所描述的示例中，即使接收网络设备并未发起新鲜值，网络设备也被配置为处理接收到的邻居发现响应消息。
[0006]在主机设备以折叠的IP结构被多宿主(multi-home)到以太网段的多个网络设备(例如提供方边缘(PE)设备)的一个示例中，主机设备可以响应于接收到包括来自第一PE设备的新鲜值的邻居发现请求消息(例如邻居恳求消息)，向以太网段的第二PE设备发送包括
新鲜值的邻居通告消息。即，第一PE设备可以发送具有新鲜值的邻居恳求消息，但是第二PE设备接收具有第一PE设备所发起的新鲜值的邻居通告消息。第二PE设备不是因为第二PE设备由于第二PE设备未发起新鲜值而不能验证邻居通告消息中的新鲜值所以弃用邻居通告消息，而是可以被配置为放宽对到达被耦合到多宿主主机设备的第一PE设备和第二PE设备的以太网段标识符(ESI)接口的邻居发现消息的新鲜值验证要求。例如，第一PE设备和第二PE设备可以各自被配置为确定邻居通告消息是否到达被连接到主机的ESI接口，并且如果是这样，则即使接收PE设备未发起新鲜值，PE设备也可以从邻居通告消息中弃用新鲜值。
[0007]在主机设备以非折叠的IP结构被多宿主到多个PE设备的另一示例中，发送器设备可以发送包括新鲜值的邻居发现请求消息，例如邻居恳求消息，其中该邻居恳求消息的源地址指定发送器设备的物理IP地址，而不是集成路由和桥接(IRB)接口的虚拟(或任播)IP地址，以使邻居通告消息被转发给发送器设备，该发送器设备发起了包括新鲜值的邻居恳求消息。
[0008]在另一示例中，其中网络设备可以用作邻居发现的代理(在本文中被称为“EVPN代理”)，如在2018年11月5日J.Rabadan ed.等人的“Operational Aspects of Proxy-ARP/ND in EVPN Networks(EVPN网络中的Proxy-ARP/ND的操作方面)”draft-ietf-bess-evpn-proxy-arp-nd-05，互联网草案中所描述的，其全部内容通过引用并入本文。在该示例中，PE设备可以拦截(即“监听”)包括新鲜值的第一邻居发现响应消息，例如第一邻居通告消息，该第一邻居发现响应消息响应于来自远程主机设备的第一邻居发现请求消息(例如邻居恳求消息)，从本地主机设备被发送给远程主机设备。响应于确定PE设备并未发起第一邻居通告消息的新鲜值，PE设备弃用第一邻居通告消息，并且将包括新鲜值的第二邻居恳求消息发送给本地主机设备。PE设备可以接收包括新鲜值的第二邻居通告消息，存储学习到的链路层地址，并且通过EVPN核心将学习到的地址通告给远程PE设备。以此方式，PE设备可以通过使用学习到的地址来应答本地主机设备的邻居发现请求消息而不是通过EVPN核心发送邻居发现请求消息来充当代理。
[0009]在一个示例中，一种方法包括：由实现以太网虚拟专用网络(EVPN)的第一网络设备接收邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。该方法还包括：由第一网络设备处理邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。
[0010]在另一示例中，一种实现以太网虚拟专用网络(EVPN)的第一网络设备，包括：一个或多个处理器，被耦合到存储器，其中一个或多个处理器被配置为：接收邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值；以及处理邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。
[0011]在又一示例中，一种非瞬态计算机可读存储介质，其包括指令，该指令用于使网络设备的一个或多个可编程处理器：接收邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值；以及处理邻居发现响应消息，该邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。
[0012]在附图和下文描述中阐述了技术的一个或多个方面的细节。本公开的技术的其他特征、目的和优点将通过描述和附图以及权利要求书变得明显。
附图说明
[0013]图1是图示根据本公开中所描述的技术的一个或多个方面的示例网络系统的框图，该示例网络系统被配置为提供对折叠的IP结构的EVPN中的邻居发现的安全性扩展，例如安全邻居发现(SEND)。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由实现以太网虚拟专用网络(EVPN)的第一网络设备接收邻居发现响应消息，所述邻居发现响应消息包括由第二网络设备发起而不是由所述第一网络设备发起的新鲜值；以及由所述第一网络设备处理所述邻居发现响应消息，所述邻居发现响应消息包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值。2.根据权利要求1所述的方法，其中所述第一网络设备和第二网络设备通过以太网段被耦合到多宿主的主机设备，其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述邻居发现响应消息还包括：由所述第一网络设备确定所述第一网络设备是否发起了所述新鲜值；响应于确定所述第一网络设备并未发起所述新鲜值，由所述第一网络设备确定所述邻居发现响应消息是否在所述以太网段的以太网段标识符(ESI)接口上被接收；以及响应于确定所述邻居发现响应消息在所述以太网段的所述ESI接口上被接收，从所述邻居发现响应消息中弃用所述新鲜值，以从所述邻居发现响应消息中学习链路层地址。3.根据权利要求2所述的方法，其中确定所述第一网络设备是否发起了所述新鲜值包括：由所述第一网络设备确定所述邻居发现响应消息的所述新鲜值是否与被存储在所述第一网络设备中的新鲜值匹配。4.根据权利要求2所述的方法，其中所述第一网络设备和所述第二网络设备用作层2网关和层3网关两者。5.根据权利要求1所述的方法，其中所述第一网络设备和所述第二网络设备通过以太网段由多宿主的中间网络设备耦合到主机设备，其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述邻居发现响应消息还包括：由所述第一网络设备确定所述邻居发现响应消息的目的地地址是所述第二网络设备的物理IP地址；响应于确定所述邻居发现响应消息的所述目的地地址是所述第二网络设备的所述物理IP地址，由所述第一网络设备经由重叠网络向所述第二网络设备发送所述邻居发现响应消息。6.根据权利要求1所述的方法，其中所述第一网络设备被耦合到本地主机设备，其中所述邻居发现响应消息包括第一邻居发现响应消息，其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述第一邻居发现响应消息还包括：由所述网络设备从本地主机设备拦截包括所述新鲜值的所述第一邻居发现响应消息，其中所述第一邻居发现响应消息由所述本地主机设备响应于第一邻居发现请求消息而生成，并且去往远程主机设备；由所述第一网络设备确定所述第一网络设备是否发起了所述新鲜值；响应于确定所述第一网络设备并未发起所述新鲜值，由所述第一网络设备弃用所述第一邻居发现响应消息；由所述第一网络设备向所述本地主机设备发送第二邻居发现请求消息，其中所述第二邻居发现请求消息包括由所述第一网络设备发起的所述新鲜值；由所述第一网络设备存储所述新鲜值；
由所述第一网络设备从所述本地主机设备接收包括所述新鲜值的第二邻居发现响应消息；响应于确定所述新鲜值被存储在所述第一网络设备中，由所述第一网络设备存储从所述第二邻居发现响应消息中学习到的一个或多个链路层地址。7.根据权利要求6所述的方法，还包括：由所述网络设备接收来自本地主机并且去往远程主机设备的第三邻居发现请求消息；以及由所述网络设备使用被存储在所述网络设备中的所述一个或多个链路层地址发送第三邻居发现响应消息，而不是通过EVPN核心发送所述第三邻居发现请求消息。8.根据权利要求1至7中任一项所述的方法，其中所述邻居发现响应消息包括使用邻居发现协议(NDP)被配置的邻居通告消息。9.根据权利要求8所述的方法，其中所述邻居发现协议被扩展为包括安全性扩展，所述安全性扩展包括安全邻居发现(SEND)。10.一种实现以太网虚拟专用网络(EVPN)的第一网络设备，包括：一个或多个处理器，被耦合到存储器，其中所述一个或多个处理器被配置为：接...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：