相關(guān)申請的交叉引用

本申請是2015年9月30日提交的美國申請序列no.14/871,960的部分繼續(xù)，該專利的全部內(nèi)容以引用方式并入本文。

本發(fā)明涉及計算機網(wǎng)絡(luò)，并且更具體地，涉及在層2(l2)網(wǎng)絡(luò)內(nèi)傳送安全和策略控制。

背景技術(shù)：

很多大城市區(qū)域已經(jīng)安裝大城市(城域)傳輸網(wǎng)絡(luò)，以為本地訂戶到較大的基于數(shù)據(jù)包的服務(wù)網(wǎng)絡(luò)提供高寬帶連接性。每個訂戶通常與連接到城域傳輸網(wǎng)絡(luò)的大量互聯(lián)網(wǎng)服務(wù)提供商(isp)網(wǎng)絡(luò)中的任一個訂立合同，并且每個isp網(wǎng)絡(luò)為訂戶提供用于通信會話的錨點，并且管理訂戶的網(wǎng)絡(luò)服務(wù)，諸如認(rèn)證、記賬以及計費。

訂戶可以利用各種設(shè)備連接到isp網(wǎng)絡(luò)，以接入由互聯(lián)網(wǎng)提供的資源和服務(wù)。例如，訂戶通常利用臺式計算機、膝上型計算機、智能電視、移動智能電話和功能電話、平板計算機等。城域傳輸網(wǎng)絡(luò)通常提供層2(l2)交換機制，以在訂戶和它們的相應(yīng)的isp之間傳輸基于數(shù)據(jù)包的數(shù)據(jù)，使得可以在isp處為訂戶建立層3(l3)通信會話，以用于與超出isp的資源(諸如遠(yuǎn)程內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)(cdn)或互聯(lián)網(wǎng))通信。

技術(shù)實現(xiàn)要素：

一般來說，描述了在網(wǎng)絡(luò)(諸如城域傳輸網(wǎng)絡(luò))內(nèi)提供層2(l2)網(wǎng)絡(luò)地址(例如，媒體訪問控制‘mac’地址)認(rèn)證的技術(shù)。而且，該技術(shù)使用城域傳輸網(wǎng)絡(luò)上的以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)技術(shù)，對l2網(wǎng)絡(luò)地址中的每個提供細(xì)粒度策略控制，以使得載波網(wǎng)絡(luò)能夠指定和控制用于傳輸基于數(shù)據(jù)包的通信的拓?fù)浣Y(jié)構(gòu)。

在一個示例中，系統(tǒng)包括城域傳輸網(wǎng)絡(luò)，該城域傳輸網(wǎng)絡(luò)提供層2(l2)數(shù)據(jù)包交換，以用于傳輸與客戶設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包，其中，城域傳輸網(wǎng)絡(luò)包括通過一個或多個接入鏈路以及城域傳輸網(wǎng)絡(luò)的多個其它路由器被連接到客戶設(shè)備的至少一個接入路由器，并且其中接入路由器和其它路由器在城域傳輸網(wǎng)絡(luò)內(nèi)建立evpn。系統(tǒng)還包括在城域傳輸網(wǎng)絡(luò)內(nèi)且包括用于客戶設(shè)備的有效的l2網(wǎng)絡(luò)地址的數(shù)據(jù)庫的網(wǎng)絡(luò)地址認(rèn)證設(shè)備。響應(yīng)于從客戶設(shè)備(例如，客戶端設(shè)備(customerpremiseequipment，ce)或單獨的訂戶設(shè)備)中的一個接收數(shù)據(jù)包，接入路由器將認(rèn)證請求輸出到城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備，認(rèn)證請求指定數(shù)據(jù)包的源l2網(wǎng)絡(luò)地址，并且請求源l2網(wǎng)絡(luò)地址的驗證。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收指示源l2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個相關(guān)聯(lián)的有效的l2網(wǎng)絡(luò)地址的響應(yīng)消息，接入路由器被配置為輸出通知l2網(wǎng)絡(luò)地址為通過接入路由器可達(dá)的evpn路由通知。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收指示源l2網(wǎng)絡(luò)地址是不與客戶設(shè)備中的任一個相關(guān)聯(lián)的無效的l2網(wǎng)絡(luò)地址(例如，被列入黑名單的或未知的)的響應(yīng)消息，接入路由器被配置為用接入路由器丟棄數(shù)據(jù)包，而不將evpn路由通知輸出到evpn中。

在另一個示例中，方法包括用被定位在至少一個互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和一組客戶設(shè)備之間的城域傳輸網(wǎng)絡(luò)的一組路由器，建立evpn，其中城域傳輸網(wǎng)絡(luò)提供l2數(shù)據(jù)包交換，以用于在互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和客戶設(shè)備之間傳輸網(wǎng)絡(luò)數(shù)據(jù)包，并且其中，路由器中的第一路由器是通過接入鏈路耦接到客戶設(shè)備的接入路由器。方法還包括用接入路由器通過接入鏈路從客戶設(shè)備中的一個接收數(shù)據(jù)包；以及響應(yīng)于接收數(shù)據(jù)包，將來自接入路由器的認(rèn)證請求輸出到城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備，其中，認(rèn)證請求指定數(shù)據(jù)包的源l2網(wǎng)絡(luò)地址，并且請求源l2網(wǎng)絡(luò)地址的驗證。方法包括響應(yīng)于接收指示源l2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個相關(guān)聯(lián)的有效的l2網(wǎng)絡(luò)地址的響應(yīng)消息，在evpn內(nèi)由接入路由器輸出通知l2網(wǎng)絡(luò)地址為通過接入路由器可達(dá)的evpn路由通知。

在另一個示例中，城域傳輸網(wǎng)絡(luò)的接入路由器包括控制單元，該控制單元具有耦接到存儲器的至少一個處理器?？刂茊卧獔?zhí)行軟件，該軟件被配置為用城域傳輸網(wǎng)絡(luò)內(nèi)的一組其它路由器建立evpn，城域傳輸網(wǎng)絡(luò)提供l2數(shù)據(jù)包交換，以用于傳輸與客戶設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包。響應(yīng)于通過接入鏈路從客戶設(shè)備中的一個接收數(shù)據(jù)包，控制單元被配置為將認(rèn)證請求輸出到城域傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)地址認(rèn)證設(shè)備，認(rèn)證請求指定數(shù)據(jù)包的源l2網(wǎng)絡(luò)地址，并且請求源l2網(wǎng)絡(luò)地址的驗證。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收指示源l2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個相關(guān)聯(lián)的有效的l2網(wǎng)絡(luò)地址的響應(yīng)消息，接入路由器輸出通知l2網(wǎng)絡(luò)地址為通過接入路由器可達(dá)的evpn路由通知。響應(yīng)于從網(wǎng)絡(luò)地址認(rèn)證設(shè)備接收指示源l2網(wǎng)絡(luò)地址是與客戶設(shè)備中的任一個不相關(guān)聯(lián)的無效的l2網(wǎng)絡(luò)地址的響應(yīng)消息，接入路由器用接入路由器放棄數(shù)據(jù)包，而不將evpn路由通知輸出到evpn中。

在另一個示例中，城域傳輸網(wǎng)絡(luò)提供層2(l2)數(shù)據(jù)包交換，以用于傳輸與客戶設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包，其中，城域傳輸網(wǎng)絡(luò)包括通過一個或多個接入鏈路以及城域傳輸網(wǎng)絡(luò)的多個其它路由器被連接到客戶設(shè)備的至少一個接入路由器，并且其中，接入路由器和其它路由器在城域傳輸網(wǎng)絡(luò)內(nèi)建立以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)。城域傳輸網(wǎng)絡(luò)內(nèi)的路由控制器在路由器之間中繼路由，其中，路由控制器耦接到包括用于客戶設(shè)備的有效的l2網(wǎng)絡(luò)地址的數(shù)據(jù)庫的網(wǎng)絡(luò)地址認(rèn)證設(shè)備。響應(yīng)于通過接入鏈路從客戶設(shè)備中的一個接收數(shù)據(jù)包，接入路由器將通知數(shù)據(jù)包的l2網(wǎng)絡(luò)地址為通過接入路由器可達(dá)的evpnmac路由通知輸出到路由控制器，其中，evpnmac路由通知包含用于由網(wǎng)絡(luò)地址認(rèn)證設(shè)備驗證l2網(wǎng)絡(luò)地址的請求。

在另一個示例中，一種方法包括用位于至少一個互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和一組客戶設(shè)備之間的城域傳輸網(wǎng)絡(luò)的一組路由器，建立以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)，其中，城域傳輸網(wǎng)絡(luò)提供層2(l2)數(shù)據(jù)包交換，以用來在互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和客戶設(shè)備之間傳輸網(wǎng)絡(luò)數(shù)據(jù)包，并且其中，路由器中的第一路由器是通過接入鏈路耦接到客戶設(shè)備的接入路由器。方法還包括用接入路由器通過接入鏈路從客戶設(shè)備中的一個接收數(shù)據(jù)包；以及響應(yīng)于接收數(shù)據(jù)包，由接入路由器輸出通知數(shù)據(jù)包的l2網(wǎng)絡(luò)地址為通過接入路由器可達(dá)的evpnmac路由通知，其中，evpnmac路由通知包含驗證l2網(wǎng)絡(luò)地址的請求。

在另一個示例中，路由控制器包括控制單元，該控制單元具有耦接到存儲器的至少一個處理器?？刂茊卧獔?zhí)行軟件，該軟件被配置為在城域傳輸網(wǎng)絡(luò)內(nèi)已經(jīng)建立以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)的一組路由器之間互換路由，城域傳輸網(wǎng)絡(luò)提供層2(l2)數(shù)據(jù)包交換，以用于傳輸與客戶設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)包。而且，路由控制器包括用于客戶設(shè)備的有效的l2網(wǎng)絡(luò)地址的數(shù)據(jù)庫，并且響應(yīng)于接收通知l2網(wǎng)絡(luò)地址為通過接入路由器中的一個可達(dá)的evpnmac路由通知，接入用于客戶設(shè)備的有效的l2網(wǎng)絡(luò)地址的數(shù)據(jù)庫，并且當(dāng)由evpnmac路由器指定的l2網(wǎng)絡(luò)地址與數(shù)據(jù)庫內(nèi)指定的有效的l2網(wǎng)絡(luò)地址中的一個匹配時，將evpnmac路由通知中繼到一組路由器的其它路由器。

在另一個示例中，非暫時計算機可讀儲存介質(zhì)包括被配置為執(zhí)行本文中所描述的方法的可執(zhí)行的指令。

在附圖和下面的描述中闡述了本發(fā)明的一個或多個實施例的細(xì)節(jié)。從描述和附圖，并且從權(quán)利要求書，本發(fā)明的其它特征、目的和優(yōu)點將顯而易見。

附圖說明

圖1是根據(jù)本文中所描述的各種技術(shù)的示例性網(wǎng)絡(luò)系統(tǒng)的框圖。

圖2是根據(jù)本公開的技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的設(shè)備的示例性操作的流程圖。

圖3是根據(jù)本文中所描述的各種技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的另一個示例操作模式的框圖。

圖4是根據(jù)本文中所描述的各種技術(shù)的另一個示例性網(wǎng)絡(luò)系統(tǒng)的框圖。

圖5是根據(jù)本文中所描述的各種技術(shù)的另一個示例性網(wǎng)絡(luò)系統(tǒng)的框圖。

圖6是根據(jù)本公開的技術(shù)的示例性路由器的另外的細(xì)節(jié)的框圖。

具體實施方式

圖1是根據(jù)本文中所描述的各種技術(shù)的示例性網(wǎng)絡(luò)系統(tǒng)2的框圖。如圖1的示例所示，網(wǎng)絡(luò)系統(tǒng)2包括耦接到互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的城域接入和聚集網(wǎng)絡(luò)4。

一般來說，互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7通常為互聯(lián)網(wǎng)服務(wù)提供商(isp)所有，并且被操作作為向訂戶設(shè)備18提供基于數(shù)據(jù)包的網(wǎng)絡(luò)服務(wù)的專用網(wǎng)絡(luò)。如圖1所示，訂戶設(shè)備18通常通過客戶端設(shè)備(customerpremiseequipment，ce)35(諸如本地以太網(wǎng)交換機、電纜調(diào)制解調(diào)器、路由器等)由層2網(wǎng)絡(luò)提供商互連。一般來說，本文中所描述的技術(shù)可以被應(yīng)用于執(zhí)行關(guān)于ce35、訂戶設(shè)備18或其組合的mac級安全和訂戶管理。例如，在一些情況下，ce35是交換源自訂戶設(shè)備18的l2數(shù)據(jù)包的純粹的l2設(shè)備，使得mac級認(rèn)證和安全被應(yīng)用于訂戶設(shè)備的mac。在其它示例中，ce35包含l3功能(例如，路由和可選的網(wǎng)絡(luò)地址轉(zhuǎn)換(nat))，使得認(rèn)證ce35的mac地址。

作為示例，訂戶設(shè)備18可以是個人計算機、膝上型計算機或與訂戶相關(guān)聯(lián)的其它類型的計算設(shè)備，例如，3g無線卡、具有無線能力的上網(wǎng)本、視頻游戲設(shè)備、尋呼機、智能電話、個人數(shù)據(jù)助理(pda)等。訂戶設(shè)備18中的每個可以運行各種軟件應(yīng)用程序，諸如文字處理和其它辦公支持軟件、web瀏覽軟件、支持語音呼叫的軟件、視頻游戲、視頻會議和電子郵件等等。

作為其它示例，訂戶設(shè)備18可以包括低功率、網(wǎng)絡(luò)使能設(shè)備(諸如相機、傳感器、恒溫器、控制器、自動燈、電器、家庭或工作場所內(nèi)的其它設(shè)備)的集合。這樣的設(shè)備可以被通稱為屬于“物聯(lián)網(wǎng)”。這樣的設(shè)備的其它示例可以是部署在大城市環(huán)境內(nèi)的交通燈、相機和傳感器。

無論如何，互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7通常提供ce35的認(rèn)證和建立，使得訂戶設(shè)備18可以開始與在互聯(lián)網(wǎng)骨干網(wǎng)12上可用的資源(諸如，內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)(cdn)8a、內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)(cdn)8b(本文中cdn8))互換數(shù)據(jù)數(shù)據(jù)包。一般來說，每個cdn8通常是合作以用于使用一種或多種服務(wù)將內(nèi)容分配給客戶端的互連設(shè)備的專用網(wǎng)絡(luò)。例如，這樣的內(nèi)容可以包含流媒體文件、數(shù)據(jù)文件、軟件下載、文檔和數(shù)據(jù)庫查詢結(jié)果等等。因此，由cdn8提供的服務(wù)的示例可以包含超文本傳送協(xié)議(http)、基于http的自適應(yīng)流、實時流協(xié)議(rtsp)流、其它媒體流、通知、文件傳送協(xié)議(ftp)及其它。

在圖1的示例中，城域傳輸網(wǎng)絡(luò)24為與訂戶設(shè)備18相關(guān)聯(lián)的網(wǎng)絡(luò)流量提供層2(l2)傳輸服務(wù)。城域傳輸網(wǎng)絡(luò)24通常包括內(nèi)部交換和傳輸節(jié)點，諸如以太網(wǎng)交換機和用于通過接入提供商邊緣路由器(a-pe)36和網(wǎng)絡(luò)提供商邊緣路由器(n-pe)30之間的高速鏈路進(jìn)行傳輸、復(fù)用和交換通信的底層傳輸系統(tǒng)。為簡單起見，雖然僅示出單個互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7，但是城域傳輸網(wǎng)絡(luò)24可以為多個不同的互聯(lián)網(wǎng)服務(wù)提供商的訂戶設(shè)備18提供數(shù)據(jù)包的城域接入、聚集和傳輸。一般來說，城域傳輸網(wǎng)絡(luò)24通常由城域運營商(metrocarrier)所有和運營，而互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的每個可以由單獨的互聯(lián)網(wǎng)服務(wù)提供商所有和運營。

在圖1的該示例中，a-pe36在城域傳輸網(wǎng)絡(luò)24的邊界處操作，并且a-pe36提供用于接入網(wǎng)絡(luò)(an)27的連接。一般來說，an27通過ce35向訂戶設(shè)備18提供對城域傳輸網(wǎng)絡(luò)24的接入。例如，a-pe36通常包含將來自ce35的與訂戶設(shè)備18相關(guān)聯(lián)的輸出聚集到城域傳輸網(wǎng)絡(luò)24的較高速上行鏈路的功能。例如，訂戶設(shè)備18可以連接到本地客戶端設(shè)備(cpe)，諸如dsl或電纜調(diào)制解調(diào)器。cpe可以利用點到點協(xié)議(ppp)，諸如atm上的ppp或以太網(wǎng)上的ppp(pppoe)，以經(jīng)由由a-pe36和n-pe30提供的連接性與bng23通信。在其它實施例中，ce35可以利用非ppp協(xié)議(諸如以太網(wǎng)和dhcp)以通過由a-pe36和n-pe30提供的連接性與bng23通信。其它實施例可以使用除dsl線之外的其它線，諸如電纜，t1、t3上的以太網(wǎng)或其它接入鏈路。

在圖1的示例中，訂戶設(shè)備18與擁有和運營互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的互聯(lián)網(wǎng)服務(wù)提供商的客戶相關(guān)聯(lián)。同樣地，互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7從ce35接收網(wǎng)絡(luò)接入請求，并且進(jìn)行用戶證書的認(rèn)證和會話建立，以便提供對訂戶設(shè)備18的網(wǎng)絡(luò)接入。寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng)23經(jīng)由n-pe30為到城域傳輸網(wǎng)絡(luò)24的連接性提供路由和交換功能，并且為ce35提供端點，并且為ce35建立的ip會話提供管理。在另一個示例中，bng23可以是寬帶遠(yuǎn)程接入服務(wù)器(bras)或為訂戶會話提供錨點的其它路由設(shè)備。

aaa服務(wù)器11操作作為訂戶管理系統(tǒng)，該訂戶管理系統(tǒng)包括數(shù)據(jù)庫29，數(shù)據(jù)庫29具有指定用于與訂戶設(shè)備18和被分配給訂戶設(shè)備的l2網(wǎng)絡(luò)地址相關(guān)聯(lián)各個訂戶有效的用戶證書的條目(例如，用戶id和密碼或ce35的mac地址)。另外，對于每個條目，數(shù)據(jù)庫29可以為每個l2網(wǎng)絡(luò)地址指定策略，以為城域傳輸網(wǎng)絡(luò)24提供策略驅(qū)動控制。在認(rèn)證來自訂戶設(shè)備18的網(wǎng)絡(luò)接入請求時，aaa服務(wù)器11分配來自服務(wù)提供商的ip域的層3(l3)網(wǎng)絡(luò)地址(例如，專用ipv4或ipv6網(wǎng)絡(luò)地址)，用于通過互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7接收數(shù)據(jù)服務(wù)。作為示例，互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的aaa服務(wù)器11通常是認(rèn)證、授權(quán)和計費(aaa)服務(wù)器，以認(rèn)證請求網(wǎng)絡(luò)連接的訂戶的證書。例如，aaa服務(wù)器11可以是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(radius)服務(wù)器或diameter服務(wù)器。

如圖1所示，城域傳輸網(wǎng)絡(luò)24實施以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)26。雖然關(guān)于evpn26進(jìn)行了描述，但是在另一個示例實施方式中，城域傳輸網(wǎng)絡(luò)24可以實施虛擬lan服務(wù)(vpls)或其它機制以用于實施l2傳輸服務(wù)。

在該示例中，由城域傳輸運營商(metrotransportcarrier，城域傳輸載體)操作的城域傳輸網(wǎng)絡(luò)24的邊緣路由器(例如，a-pe36和n-pe30)被配置為在它們的相應(yīng)的控制平面(還被稱為路由引擎)內(nèi)執(zhí)行evpn協(xié)議，以彼此通信，并且互換建立和維持evpn26所必要的配置信息。與發(fā)生于vpls中的傳統(tǒng)的橋接(其中在vpls中，l2地址學(xué)習(xí)發(fā)生于數(shù)據(jù)平面(例如，轉(zhuǎn)發(fā)部件)中，同時轉(zhuǎn)發(fā)l2流量)相比，當(dāng)部署evpn時，邊緣路由器之間的l2地址學(xué)習(xí)(例如，mac學(xué)習(xí))根據(jù)evpn協(xié)議，通過互換evpn消息發(fā)生于控制平面中。例如，a-pe36和n-pe30的控制平面被配置為執(zhí)行路由協(xié)議，諸如邊界網(wǎng)關(guān)協(xié)議(bgp)，以互換增強的消息，以便關(guān)于evpn26而彼此通信。也就是說，a-pe36和n-pe30的控制平面可以執(zhí)行bgp協(xié)議，以相對于evpn26互換用于mac地址信令/學(xué)習(xí)以及用于接入拓?fù)浣Y(jié)構(gòu)和vpn端點發(fā)現(xiàn)的bgp消息?？梢杂蒻plslsp基礎(chǔ)設(shè)施連接a-pe36和n-pe30，或者可以由ip基礎(chǔ)設(shè)備連接a-pe36和n-pe30，在這種情況下，ip/gre隧穿或其它ip隧穿可以被用于穿過evpn26傳輸l2通信。在2014年7月2日的互聯(lián)網(wǎng)工程任務(wù)組(ietf)的rfc7432的“基于bgpmpls的以太網(wǎng)vpn”(“bgpmplsbasedethernetvpn,”rfc7432,internetengineeringtaskforce(ietf),july2,2014)中描述了關(guān)于evpn協(xié)議的額外的信息，其全部內(nèi)容以引用方式并入本文。參考后隨數(shù)字的網(wǎng)絡(luò)層可以是指開放系統(tǒng)互連(osi)模型的特定的層?？梢栽谟蒱ubertzimmermann于1980年4月公布于ieee通信學(xué)報的第28卷第4號的標(biāo)題為“osi參考模型-用于開放系統(tǒng)互連的架構(gòu)的iso模型”("osireferencemodel-theisomodelofarchitectureforopensystemsinterconnection,”byhubertzimmermann,publishedinieeetransactionsoncommunications,vol.28,no.4,datedapril1980)的ieee公布中找到關(guān)于osi模型的更多的信息，其以引用方式并入本文，如同在本文中完全闡述的一樣。

在通過互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的網(wǎng)絡(luò)接入的認(rèn)證和建立之后，訂戶設(shè)備18中的任一個可以開始與互聯(lián)網(wǎng)骨干網(wǎng)2上的資源(諸如cdn8)互換數(shù)據(jù)數(shù)據(jù)包。在該過程期間，為了在互聯(lián)網(wǎng)骨干網(wǎng)12上的基于數(shù)據(jù)包的通信的目的，由互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7分配給訂戶設(shè)備18的專用ip地址可以被轉(zhuǎn)換成與互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)的路由前綴相關(guān)聯(lián)的公用地址。而且，網(wǎng)關(guān)21提供層3(l3)路由功能，以用于通過互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7到達(dá)訂戶設(shè)備18。也就是說，網(wǎng)關(guān)21通知用于到達(dá)與互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7相關(guān)聯(lián)的公用地址前綴的l3可到達(dá)性信息(例如，路由)。雖然未示出，但是互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7可以包括其它設(shè)備，以提供其它服務(wù)，諸如安全服務(wù)、負(fù)荷均衡、記賬、深度數(shù)據(jù)包檢查(dpi)和用于穿越互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)的流量的其它服務(wù)。

在圖1的示例中，當(dāng)在城域傳輸網(wǎng)絡(luò)24內(nèi)提供evpn26服務(wù)時，a-pe路由器36和n-pe路由器30執(zhí)行mac地址學(xué)習(xí)，以在系統(tǒng)2中有效地轉(zhuǎn)發(fā)l2網(wǎng)絡(luò)通信。也就是說，當(dāng)a-pe路由器36從ce路由器35接收源自訂戶設(shè)備18的以太網(wǎng)幀時，a-pe路由器學(xué)習(xí)用于客戶網(wǎng)絡(luò)21的l2狀態(tài)信息，包括客戶網(wǎng)絡(luò)內(nèi)的用于ce35的mac尋址信息。a-pe路由器36通常將mac尋址信息儲存在與相應(yīng)的接口相關(guān)聯(lián)的mac表中。當(dāng)a-pe路由器36學(xué)習(xí)用于ce35本地附接電路的mac地址時，a-pe路由器利用層3(l3)路由協(xié)議(即，在該示例中的bgp)的mac地址路由通知，以將所學(xué)習(xí)的mac地址共享給evpn26的其它成員路由器，并且提供mac地址通過發(fā)布路由通知的特定的pe路由器是可達(dá)的指示。在bgpevpn的示例中，a-pe路由器36中的每個使用bgp路由通知(本文中還被稱為“mac路由”或“mac通知路由”，即，類型2bgpevpn路由通知)，將本地學(xué)習(xí)的mac地址通知給其它a-pe路由器36，并且通知給遠(yuǎn)程n-pe路由器30。如下面進(jìn)一步描述的，mac路由通常為相應(yīng)的ce35一個或多個單獨的mac地址以及額外的轉(zhuǎn)發(fā)信息，諸如路由描述符、路由目標(biāo)、層2段標(biāo)識符和mpls標(biāo)簽。以這種方式，a-pe路由器36使用bgp路由協(xié)議消息，通知和共享當(dāng)將從接入網(wǎng)絡(luò)27的本地附接電路接收的層2通信轉(zhuǎn)發(fā)到evpn26中時學(xué)習(xí)的mac地址。在2014年10月18日的互聯(lián)網(wǎng)工程任務(wù)組(ietf)的網(wǎng)絡(luò)工作組的rfc743的基于bgpmpls的以太網(wǎng)vpn(bgpmplsbasedethernetvpn,rfc743,networkworkinggroupoftheinternetengineeringtaskforce(ietf),october18,2014)中描述了evpnmac路由通知的格式的另外的示例細(xì)節(jié)，其全部內(nèi)容以引用方式并入本文。

根據(jù)本文中所描述的技術(shù)，在將l2網(wǎng)絡(luò)地址通知給evpn26中之前，城域傳輸網(wǎng)絡(luò)24通過使能ce35(或可選地單獨的訂戶設(shè)備18)的l2網(wǎng)絡(luò)地址(例如，mac地址)的認(rèn)證，提供了增強的安全性。在圖1的示例中，mac認(rèn)證系統(tǒng)15用為互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的任一個指定mac地址的數(shù)據(jù)進(jìn)行編程，對于互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的任一個，isp已經(jīng)同意參與到本文中所描述的本地mac認(rèn)證和策略控制技術(shù)中。特別地，aaa服務(wù)器或參與isp的其它訂戶管理系統(tǒng)諸如aaa服務(wù)器11，輸出通信17以復(fù)制與訂戶相關(guān)聯(lián)的ce35的授權(quán)的l2網(wǎng)絡(luò)地址(例如，mac地址)，或以其它方式與由城域運營商所有和操作的mac認(rèn)證系統(tǒng)傳輸與訂戶相關(guān)聯(lián)的ce35的授權(quán)的l2網(wǎng)絡(luò)地址(例如，mac地址)。例如，aaa服務(wù)器11和mac認(rèn)證系統(tǒng)15可以參與數(shù)據(jù)庫級復(fù)制和同步以傳輸mac地址。作為額外的示例，各種通信協(xié)議可以被用于在aaa服務(wù)器11的數(shù)據(jù)庫和mac認(rèn)證系統(tǒng)15之間傳輸mac地址。以這種方式，mac認(rèn)證系統(tǒng)15被預(yù)先填充有分派給isp提供商且由isp供應(yīng)商所有的mac地址。

在從接入網(wǎng)絡(luò)27的本地附接電路接收以太網(wǎng)幀時，a-pe36將認(rèn)證請求37輸出到mac認(rèn)證系統(tǒng)15，mac認(rèn)證系統(tǒng)15充當(dāng)儲存指定有效的mac地址的信息的中央數(shù)據(jù)庫。從mac認(rèn)證系統(tǒng)15接收到的響應(yīng)消息41提供關(guān)于一個或多個mac地址是否是有效的和被認(rèn)證的或作為無效的(例如，被列入黑名單的或未知的)mac地址而被拒絕的指示?；陧憫?yīng)消息41，a-pe36通過附接電路和ce設(shè)備35處理從本地訂戶設(shè)備18接收到的以太網(wǎng)幀。特別地，a-pe36通過封裝以太網(wǎng)幀且將流量轉(zhuǎn)發(fā)到城域傳輸網(wǎng)絡(luò)24的evpn26中，處理具有已認(rèn)證源mac地址的以太網(wǎng)幀。另外，a-pe36僅向其它a-pe路由器36和向遠(yuǎn)程n-pe路由器30通知本地學(xué)習(xí)的mac地址，對于其它a-pe路由器36和遠(yuǎn)程n-pe路由器30，響應(yīng)消息41指示有效的、認(rèn)證的mac地址。換句話說，a-pe36為由mac認(rèn)證系統(tǒng)15明確地認(rèn)證的這些mac地址，輸出bgp路由通知(還被稱為evpn“mac路由”或為“mac通知路由”，即，類型2bgpevpn路由通知)。

而且，技術(shù)對evpn26提供細(xì)粒度mac級策略控制。例如，除了傳輸有效的mac地址之外，aaa服務(wù)器11還可以為mac地址中的每個傳輸用于每個l2網(wǎng)絡(luò)地址的一個或多個策略，從而本地使能在城域傳輸網(wǎng)絡(luò)24處的策略驅(qū)動控制。進(jìn)而，在認(rèn)證mac地址時，mac認(rèn)證系統(tǒng)15將相應(yīng)的、一個mac特定策略或多個mac特定策略中繼到a-pe36。例如，mac認(rèn)證系統(tǒng)15可以將響應(yīng)消息41格式化為radius或diameter消息。除了包含提供關(guān)于mac地址的有效性的響應(yīng)的數(shù)據(jù)之外，響應(yīng)消息41被構(gòu)造為關(guān)于mac地址嵌入將由a-pe36應(yīng)用的策略。例如，策略可以被嵌入作為符合響應(yīng)消息的radius或diameter中的賣方特定屬性(vsa)。在2000年6月的carlrigney等人的互聯(lián)網(wǎng)工程任務(wù)組(ietf)的網(wǎng)絡(luò)工作組請求注釋2865的“遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器(radius)”(carlrigneyetal.,“remoteauthenticationdialinuserserver(radius),”networkworkinggroupoftheinternetengineeringtaskforce(ietf),requestforcomments2865,june2000)中，描述了用于aaa的radius協(xié)議的示例，其以其全部內(nèi)容(在下文中被稱為“rfc”2865)以引用方式并入本文。在2012年10月的fajardo等人的互聯(lián)網(wǎng)工程任務(wù)組(ietf)的網(wǎng)絡(luò)工作組請求注釋rfc6733的“diameter基礎(chǔ)協(xié)議”(fajardoetal.,“diameterbaseprotocol,”networkworkinggroupoftheinternetengineeringtaskforce(ietf),requestforcommentsrfc6733,october2012)中，描述了用于aaa的diameter協(xié)議的示例。

作為一個示例，mac認(rèn)證系統(tǒng)15可以構(gòu)造響應(yīng)消息41，以包含用于mac地址的基于時間和/或容量的策略。例如，在認(rèn)證有效的mac地址時，mac認(rèn)證系統(tǒng)15可以使vsa嵌入成指定a-pe36保持mac地址當(dāng)前處于其本地mac表和/或認(rèn)證的mac的緩存中的持續(xù)時間或流量配額。同樣地，具有mac地址作為源mac的任何額外的流量觸發(fā)重新認(rèn)證請求37。

作為另一個示例，mac認(rèn)證系統(tǒng)15可以將用于mac地址的基于時間和容量的策略包含在響應(yīng)消息41中。例如，使用vsa，mac認(rèn)證系統(tǒng)15可以包含執(zhí)行的路由目標(biāo)(rt)值。在這種情況下，當(dāng)在控制平面中告知mac地址在evpn26中時，接收a-pe36利用在evpn類型2路由中的路由目標(biāo)。以這種方式，rt向其它evpnpe路由器指定evpnpe路由器是否將通過將mac地址插入到與如通過通知a-pe36可達(dá)的evpn26相關(guān)聯(lián)的它們的相應(yīng)的mac表中，輸入特定的mac路由。同樣地，城域傳輸網(wǎng)絡(luò)24使能城域網(wǎng)絡(luò)中的哪個pe將學(xué)習(xí)哪個mac地址的自動策略驅(qū)動控制，并且這樣的控制被以單獨的mac級粒度提供。而且，這樣的控制被擴展到擁有和操作互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7且通過通信17將配置信息和策略提供到mac認(rèn)證系統(tǒng)15的單獨的isp。通過允許以mac地址的粒度從mac認(rèn)證系統(tǒng)15自動地配置rt，可以由城域運營商和/或isp實施和控制以mac地址的粒度的服務(wù)/拓?fù)浣Y(jié)構(gòu)定制。

作為另一個示例，mac認(rèn)證系統(tǒng)15可以將傳輸evpnpe的回送ip地址的新的bgp團體屬性包含在響應(yīng)消息41中。可以將bgp團體屬性嵌入在響應(yīng)消息41中的新的vsa中。當(dāng)在控制平面中告知mac地址在evpn26中時，接收a-pe36利用evpn類型2路由中的bgp團體屬性。這提供了用于指定和控制哪個evpnpe路由器將輸入特定的mac路由和將避免將evpnpe的每個上指定rt的另一種機制。

以這種方式，本文中描述的示例性技術(shù)使得能夠?qū)ac路由的分配進(jìn)行自動的每個mac控制。而且，這使得城域運營商能夠指定豐富的拓?fù)浣Y(jié)構(gòu)，用于為以非常粒度的mac地址級支持互聯(lián)網(wǎng)服務(wù)提供商。

圖2是根據(jù)本公開的技術(shù)的圖1的網(wǎng)絡(luò)系統(tǒng)的設(shè)備的示例性操作的流程圖。首先，由參與isp所擁有的且由相應(yīng)的ce35和/或isp的訂戶設(shè)備18使用的mac地址被傳輸?shù)匠怯蜻\營商，用于mac認(rèn)證系統(tǒng)15的配置(100、102)?？梢杂沙怯蜻\營商用指定對于其isp已經(jīng)同意參與本文中所描述的技術(shù)中的互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的任一個的mac地址的數(shù)據(jù)對mac認(rèn)證系統(tǒng)15進(jìn)行編程。作為其它示例，同意isp的aaa服務(wù)器11可以輸出消息17，以將分配給對應(yīng)的互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7且由ce35或作為另一個示例的單獨的訂戶設(shè)備18利用的mac地址傳輸?shù)絤ac認(rèn)證系統(tǒng)15。在接收到配置數(shù)據(jù)時，mac認(rèn)證系統(tǒng)15更新其有效的mac地址的數(shù)據(jù)庫(102)。

在從給定的ce35接收網(wǎng)絡(luò)接入請求時，互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的aaa服務(wù)器11認(rèn)證訂戶的證書，例如，用戶名和密碼，并且從分配給isp且由isp所有的ip地址前綴為訂戶分派ip地址(103)。在這一點上，ce35通常開始輸出數(shù)據(jù)包，諸如l2以太網(wǎng)幀，用于接入網(wǎng)絡(luò)資源諸如cdn8或互聯(lián)網(wǎng)。

在經(jīng)由本地附接電路從ce35或假設(shè)是授權(quán)的設(shè)備的其它設(shè)備接收數(shù)據(jù)包(例如，以太網(wǎng)幀)時，a-pe36檢驗最近認(rèn)證的mac地址的其本地緩存，并且確定發(fā)送訂戶設(shè)備的源mac地址是否是先前尚未學(xué)習(xí)的新的mac地址，并且同樣地是否不存在于其本地mac表內(nèi)，并且是否還尚未被驗證(105)。如果源mac地址與當(dāng)前在a-pe36的本地mac表內(nèi)的mac地址匹配，則a-pe36封裝數(shù)據(jù)包，并且用evpn26注入數(shù)據(jù)包(120)。

如果還尚未學(xué)習(xí)mac地址，并且因而最近未認(rèn)證mac地址，則a-pe36將認(rèn)證請求37輸出到mac認(rèn)證系統(tǒng)15，其中，認(rèn)證請求指定數(shù)據(jù)包的源mac地址，即，發(fā)送ce35的mac地址(108)。作為一個示例，認(rèn)證請求37可以符合已經(jīng)被修改的增強的radius或diameter協(xié)議，以攜帶認(rèn)證所請求的(多個)mac地址。

mac認(rèn)證系統(tǒng)15接收認(rèn)證請求37，并且通過將由認(rèn)證請求的有效載荷攜帶的源mac地址與由isp網(wǎng)絡(luò)7提供的有效的mac地址的其中央數(shù)據(jù)庫相比較，處理請求(110)?；诒容^，mac認(rèn)證系統(tǒng)15構(gòu)造和輸出響應(yīng)消息41，響應(yīng)消息41具有指示mac地址是否是當(dāng)發(fā)起l2數(shù)據(jù)包時預(yù)期將從ce35看到的有效的mac地址的數(shù)據(jù)(112)。例如，如果mac認(rèn)證系統(tǒng)15確定mac地址與其數(shù)據(jù)庫內(nèi)的mac地址匹配，則mac認(rèn)證系統(tǒng)構(gòu)造響應(yīng)消息41，以具有指示mac地址是預(yù)期將從ce35(或訂戶設(shè)備18)看到的有效的源mac地址的數(shù)據(jù)。然而，如果mac認(rèn)證系統(tǒng)15確定mac地址與在其數(shù)據(jù)庫中的mac地址中的任一個不匹配，則認(rèn)證系統(tǒng)構(gòu)造和輸出響應(yīng)消息41，以包含指示特定的mac地址不是有效的數(shù)據(jù)。

始發(fā)認(rèn)證請求37的a-pe36從mac認(rèn)證系統(tǒng)15接收響應(yīng)消息41(114)，并且處理響應(yīng)消息，以確定響應(yīng)消息是否指示用于最近接收的以太網(wǎng)幀的源mac地址是有效的mac地址(116)。如果響應(yīng)消息41指示mac地址是無效的mac地址(例如，被列入黑名單的或未知的mac)，則請求a-pe36放棄當(dāng)前被緩沖的以太網(wǎng)幀(118)。此外，a-pe36可以將mac地址放在“黑名單”上，使得在一定的可配置的時間量內(nèi)，具有相同的源mac地址的隨后的數(shù)據(jù)包在轉(zhuǎn)發(fā)平面中被自動地放棄，以避免無效的mac地址的不斷的重新認(rèn)證。

在響應(yīng)消息41指示mac地址是用于ce35(或訂戶設(shè)備18)的有效的源mac地址的情況下，a-pe36封裝以太網(wǎng)幀，并且將得到的數(shù)據(jù)包轉(zhuǎn)發(fā)到城域傳輸網(wǎng)絡(luò)24的evpn26中(120)。此外，對于任何新學(xué)習(xí)的mac地址，a-pe36更新與evpn26相關(guān)聯(lián)的其mac表，并且通過類型2evpnmac路由通知，向其它a-pe路由器36和向遠(yuǎn)程n-pe路由器30通知本地學(xué)習(xí)的源mac地址(122)。此時，a-pe36可以為特定的mac地址應(yīng)用由mac認(rèn)證系統(tǒng)15提供的任何策略。例如，a-pe36可以構(gòu)造bgpevpnmac路由通知，以包含如上所述的rt或bgp團體，來向其它evpnpe路由器指定evpnpe路由器是否將輸入該特定的mac路由。

遠(yuǎn)程evpn路由器，諸如其它a-pe36或n-pe30接收evpnmac路由通知(124)，并且基于如本文中所描述的rt輸入規(guī)則或bgp團體屬性，更新與evpn相關(guān)聯(lián)的mac表(126)。

在通過由城域傳輸網(wǎng)絡(luò)24提供的evpn26接收用于訂戶會話的出站以太網(wǎng)幀時，bng23提供用于訂戶會話的終止點，并且應(yīng)用l3路由功能，以將l3數(shù)據(jù)包路由到互聯(lián)網(wǎng)骨干網(wǎng)12和cdn8(130)。

在上面的示例中，a-pe36被配置為緩沖出站通信，直到認(rèn)證通信內(nèi)的源mac地址。在可選的示例中，a-pe36可以被配置為給定的源mac地址注入有限量的通信(諸如多達(dá)閾值量的數(shù)據(jù)包)，同時由mac認(rèn)證系統(tǒng)15同時請求認(rèn)證。也就是說，a-pe36可以轉(zhuǎn)發(fā)數(shù)據(jù)包，同時認(rèn)證請求37對于mac認(rèn)證系統(tǒng)15是懸而未決的。如果隨后接收的響應(yīng)消息41指示正在討論的源mac地址不是有效的地址，則請求a-pe36將mac地址添加到mac地址的黑名單，自動地放棄具有和用于數(shù)據(jù)包的源mac地址一樣的mac地址的任何隨后的數(shù)據(jù)包，并且不使用evpnmac路由通知告知mac地址在evpn26中。

圖3是根據(jù)本文中所描述的各種技術(shù)的網(wǎng)絡(luò)系統(tǒng)2的另一個示例性操作模式的框圖。在圖3的示例中，mac認(rèn)證系統(tǒng)15支持分層認(rèn)證(tieredauthentication)和策略控制。

例如，而不僅僅或除了用指定互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的mac地址的數(shù)據(jù)預(yù)編程mac認(rèn)證系統(tǒng)15之外，mac認(rèn)證系統(tǒng)和aaa服務(wù)器11合作，以提供分層mac認(rèn)證。也就是說，mac認(rèn)證系統(tǒng)15維持最近認(rèn)證的mac地址和相關(guān)聯(lián)的策略的本地緩存。在從a-pe36接收認(rèn)證請求37時，mac認(rèn)證系統(tǒng)15將由認(rèn)證請求的有效載荷攜帶的源mac地址與有效的mac地址的其中央數(shù)據(jù)庫和先前從isp網(wǎng)絡(luò)7接收到的相關(guān)聯(lián)的策略相比較。如果沒有找到mac地址，則mac認(rèn)證系統(tǒng)15向每個參與isp的aaa服務(wù)器11發(fā)布查詢152，以確定這樣的mac地址是否是有效的。每個查詢的aaa服務(wù)器11提供響應(yīng)154，該響應(yīng)154具有指示mac地址是預(yù)期將從ce35(或訂戶設(shè)備18)看到的有效的源mac地址的數(shù)據(jù)。在從互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7中的一個的aaa服務(wù)器11接收到響應(yīng)消息154時，mac認(rèn)證系統(tǒng)15更新有效的mac地址的其本地緩存，并且輸出具有指示mac地址是有效的mac地址的數(shù)據(jù)的響應(yīng)消息41。此外，來自aaa服務(wù)器11的響應(yīng)消息154攜帶將由與特定的mac地址相關(guān)聯(lián)的城域傳輸網(wǎng)絡(luò)24實施的任何策略。mac認(rèn)證系統(tǒng)15將策略連同有效的mac地址一起安裝在其數(shù)據(jù)庫中，并且構(gòu)造響應(yīng)消息41，以便向請求a-pe36傳送策略。

然而，如果mac認(rèn)證系統(tǒng)15從全部參與互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)7的aaa服務(wù)器11接收mac地址與在它們的數(shù)據(jù)庫中的mac地址中的任一個不匹配的響應(yīng)消息154，則mac認(rèn)證系統(tǒng)構(gòu)造和輸出響應(yīng)消息41，以包含指示特定的mac地址不是有效的數(shù)據(jù)。

圖4是根據(jù)本文中所描述的各種技術(shù)的網(wǎng)絡(luò)系統(tǒng)2的另一個示例性操作模式的框圖。

如圖4所示，城域傳輸網(wǎng)絡(luò)24包括增強的路由控制器113，增強的路由控制器113操作作為對于a-pe36的路由協(xié)議對等體，以修改和中繼a-pe之間中繼的路由通知。路由控制器113可以例如是根據(jù)本文中所描述的技術(shù)操作的增強的路由反射器或路由服務(wù)器。一般來說，路由控制器113包括具有耦接到存儲器的至少一個處理器的控制單元，以及用于執(zhí)行軟件指令以便實施用于與a-pe互換路由的一個或多個路由協(xié)議(諸如bgp)的其它電路系統(tǒng)。在互聯(lián)網(wǎng)工程任務(wù)組(ietf)的rfc4456的bgp路由反射-全網(wǎng)狀ibgp的替代方式(bgproutereflection-analternativetofullmeshibgp,rfc4456,internetengineeringtaskforce(ietf))中描述了路由反射器的另外的示例細(xì)節(jié)，其以引用方式并入本文。

在圖4的示例中，網(wǎng)絡(luò)系統(tǒng)2利用已經(jīng)被增強以實施本文中所描述的mac認(rèn)證和策略控制技術(shù)的路由協(xié)議消息，諸如增強的bgpevpn協(xié)議消息。例如，在從接入網(wǎng)絡(luò)27的本地附接電路接收以太網(wǎng)幀且學(xué)習(xí)用于ce35或訂戶設(shè)備18的一個或多個新的mac地址時，不是發(fā)送專設(shè)認(rèn)證請求，而是a-pe36將增強的evpnmac路由通知137輸出到路由控制器(rc)113。例如，a-pe36可以輸出增強的mac路由通知137作為類型2evpnmac路由通知，類型2evpnmac路由通知指定本地學(xué)習(xí)的mac地址且已被增強以包含mac地址要求認(rèn)證的指示。作為一個示例，增強的mac路由通知137可以是包含具有被用于指示mac地址要求認(rèn)證的預(yù)先定義的值的新的bgp屬性或團體字符串(諸如，特定的路由目標(biāo)擴展團體)的類型2的bgpevpn路由通知。

在接收具有這樣的指示的增強的mac路由通知137時，路由控制器113例如通過認(rèn)證請求37接入mac認(rèn)證系統(tǒng)15，以請求一個或多個mac地址的認(rèn)證。如本文中所描述的，mac認(rèn)證系統(tǒng)15將由認(rèn)證請求的有效載荷攜帶的mac地址與有效的mac地址的其中央數(shù)據(jù)庫和先前從isp網(wǎng)絡(luò)7接收到的相關(guān)聯(lián)的策略相比較，并且基于比較，輸出響應(yīng)消息41，以傳達(dá)認(rèn)證的結(jié)果和將被應(yīng)用于mac地址的任何策略。

如果來自mac認(rèn)證系統(tǒng)15的響應(yīng)消息41指示mac地址是用于ce35或訂戶設(shè)備18的有效的mac地址，則路由控制器113將mac路由轉(zhuǎn)發(fā)到evpn的其它a-pe36。也就是說，在通知mac地址的認(rèn)證時，路由控制器113將mac路由通知137’中繼到其它a-pe36。在中繼mac路由通知137之前，路由控制器113可以去除起初被用于指示請求認(rèn)證的mac地址的bgp屬性或團體字符串，并且可以基于由mac認(rèn)證系統(tǒng)15為mac地址指定的任何策略，修改mac路由通知，以插入特定的路由目標(biāo)或bgp團體屬性。此外，路由控制器113將響應(yīng)消息141輸出到始發(fā)evpnmac路由通知的a-pe36。響應(yīng)消息141指示源l2網(wǎng)絡(luò)地址是與客戶設(shè)備中的一個相關(guān)聯(lián)的有效的l2網(wǎng)絡(luò)地址。在接收響應(yīng)消息141時，始發(fā)evpnmac路由通知的a-pe36封裝數(shù)據(jù)包，并且通過evpn將數(shù)據(jù)包隧傳到城域傳輸網(wǎng)絡(luò)的其它路由器中的一個。

如果響應(yīng)消息41指示mac地址是無效的mac地址(例如，與有效的mac地址不匹配的被列入黑名單的或未知的mac)，則rr113不會將增強的mac路由通知137中繼到evpn23的其它a-pe36，并且相反將響應(yīng)消息141輸出到始發(fā)mac路由的a-pe36，并且指示mac路由內(nèi)的mac地址是無效的。響應(yīng)于拒絕消息141，始發(fā)增強的mac路由通知137的a-pe36放棄從其學(xué)習(xí)了mac地址的數(shù)據(jù)包(例如，以太網(wǎng)幀)，而不會將數(shù)據(jù)包轉(zhuǎn)發(fā)到evpn26中。此外，a-pe36可以將mac地址放在“黑名單”上，使得在一定、可配置的時間量內(nèi)，在轉(zhuǎn)發(fā)平面中自動地放棄具有相同的源mac地址的隨后的數(shù)據(jù)包，以避免無效的mac地址的不斷的重新認(rèn)證。

雖然被分開示出，但是可以在單個設(shè)備內(nèi)實施路由控制器113和mac認(rèn)證系統(tǒng)15，或者路由控制器113和mac認(rèn)證系統(tǒng)15可以橫跨多個設(shè)備進(jìn)行分布。

圖5是示出實施本文中所描述的各種技術(shù)的另一個示例性網(wǎng)絡(luò)系統(tǒng)200的框圖。類似于圖1的城域傳輸網(wǎng)絡(luò)24，城域傳輸網(wǎng)絡(luò)224實施以太網(wǎng)虛擬專用網(wǎng)絡(luò)(evpn)226，其中，由城域傳輸運營商操作的邊緣路由器(例如，a-pe236和網(wǎng)關(guān)231)被配置為在它們的相應(yīng)的控制平面(還被稱為路由引擎)內(nèi)執(zhí)行evpn協(xié)議，以彼此通信，并且互換建立和維持evpn226所必要的配置信息。a-pe236和網(wǎng)關(guān)231可以通過mplslsp基礎(chǔ)設(shè)施進(jìn)行連接，或者可以通過ip基礎(chǔ)設(shè)備進(jìn)行連接，在這種情況下，ip/gre遂穿或其它ip遂穿可以被用于通過evpn226傳輸l2通信。

在圖5的示例中，城域傳輸網(wǎng)絡(luò)224包括將網(wǎng)絡(luò)層(例如，ip)地址分配給訂戶設(shè)備218的動態(tài)主機配置協(xié)議(dhcp)服務(wù)器202。雖然被示出作為獨立設(shè)備，但是dhcp服務(wù)器202可以被集成在其它設(shè)備(諸如a-pe236或網(wǎng)關(guān)路由器221)內(nèi)。以這種方式，網(wǎng)絡(luò)系統(tǒng)200包括作為輕量級、mac級訂戶管理系統(tǒng)進(jìn)行操作的城域傳輸網(wǎng)絡(luò)224。在該示例中，訂戶設(shè)備218包括部署在大城市區(qū)域內(nèi)的設(shè)備(諸如相機、傳感器和交通燈)的集合。雖然為了示例的目的僅關(guān)于此類設(shè)備進(jìn)行了描述，但是參考圖4所例示的技術(shù)可以被應(yīng)用于其它形式的訂戶設(shè)備，諸如膝上型計算機、臺式計算機、呼叫器、智能電話、個人數(shù)據(jù)助理(pda)等。

在圖5的示例中，ce237可以是簡單的l2交換設(shè)備，并且在這種情況下，基于訂戶設(shè)備218的mac執(zhí)行mac認(rèn)證。用指定ce35和/或訂戶設(shè)備218的mac地址的數(shù)據(jù)對mac認(rèn)證系統(tǒng)215進(jìn)行編程，并且應(yīng)用本文中所描述的本地mac認(rèn)證和策略控制技術(shù)。也就是說，類似于本文中所描述的技術(shù)，在從耦接到接入網(wǎng)絡(luò)227的ce設(shè)備237的本地附接電路接收數(shù)據(jù)包時，a-pe236將認(rèn)證請求237輸出到mac認(rèn)證系統(tǒng)215，mac認(rèn)證系統(tǒng)215充當(dāng)儲存指定用于城域傳輸網(wǎng)224的有效的mac地址的信息的中央數(shù)據(jù)庫。從mac認(rèn)證系統(tǒng)215接收的響應(yīng)消息241提供關(guān)于數(shù)據(jù)包中的源mac地址是否是有效的和認(rèn)證的或數(shù)據(jù)包中的源mac地址是否作為無效的mac地址而被拒絕的指示?；陧憫?yīng)消息241，a-pe236通過附接電路處理從本地ce35接收到的數(shù)據(jù)包(例如，以太網(wǎng)幀)。特別地，a-pe236通過封裝數(shù)據(jù)包且將封裝的數(shù)據(jù)包轉(zhuǎn)發(fā)到城域傳輸網(wǎng)絡(luò)224的evpn226中，處理已經(jīng)認(rèn)證源mac地址的數(shù)據(jù)包。另外，a-pe236使用例如bgpevpn類型2mac路由通知(其還可以包含例如由對應(yīng)的dhcp服務(wù)器分派的ip地址)，僅向evpn路由器通知驗證的mac地址。而且，此時，a-pe236可以應(yīng)用用于特定mac地址的由mac認(rèn)證系統(tǒng)215提供的任何策略。

“物聯(lián)網(wǎng)(iot)”數(shù)據(jù)中心208表示被配置為控制訂戶設(shè)備218、處理從訂戶設(shè)備接收到的通信、基于通信生成報告等的計算系統(tǒng)(例如，一組服務(wù)器)。也就是說，iot數(shù)據(jù)中心208可以是被配置為控制安裝在大城市環(huán)境內(nèi)的設(shè)備的計算系統(tǒng)。如圖1所述，城域傳輸網(wǎng)絡(luò)可以被配置為使能用于iot或其它訂戶設(shè)備218的直接l2和l3支持，而不必要求中間互聯(lián)網(wǎng)服務(wù)提供商。通過該輕量級訂戶管理系統(tǒng)，城域傳輸網(wǎng)絡(luò)224可以表現(xiàn)得像具有很多對等點/退出點的全ip網(wǎng)絡(luò)，而不需要將全部訂戶流量傳輸?shù)礁鞣Nisp的集中式bng中，如此提供更有效的和靈活的傳輸層服務(wù)。

雖然關(guān)于evpn進(jìn)行了描述，但是mac認(rèn)證系統(tǒng)可以將本文中所描述的mac級認(rèn)證技術(shù)應(yīng)用于城域傳輸網(wǎng)絡(luò)，在城域傳輸網(wǎng)絡(luò)中，使用虛擬專用lan服務(wù)(vpls)。在這樣的實施方式中，包含a-pe路由器和n-pe路由器的城域傳輸網(wǎng)絡(luò)(例如，城域傳輸網(wǎng)絡(luò)24、城域傳輸網(wǎng)絡(luò)224)的路由器為傳輸通信建立vpls。在從mac認(rèn)證系統(tǒng)接收指示源mac是與客戶設(shè)備中的一個相關(guān)聯(lián)的有效的mac的響應(yīng)消息時，a-pe路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到vpls中。然而，在從mac認(rèn)證系統(tǒng)接收指示源mac是無效的(例如，被列入黑名單的或未知的)響應(yīng)消息時，a-pe路由器放棄數(shù)據(jù)包。

圖6是示出能夠執(zhí)行所公開的技術(shù)的示例性路由器380的框圖。一般來說，路由器380可以基本上類似于a-pe36、a-pe236進(jìn)行操作，如關(guān)于圖1至圖4所描述的。

在該示例中，路由器380包括經(jīng)由輸入鏈路390a-輸入鏈路190n(“輸入鏈路390”)接收數(shù)據(jù)包且經(jīng)由出站鏈路392a-出站鏈路192n(“出站鏈路392”)發(fā)送數(shù)據(jù)包的接口卡388a-88n(“ifc388”)。ifc388通常經(jīng)由多個接口端口耦接到鏈路390、鏈路392。路由器380還包括確定所接收到的數(shù)據(jù)包的路由且相應(yīng)地經(jīng)由ifc388轉(zhuǎn)發(fā)數(shù)據(jù)包的控制單元382。

控制單元382可以包括路由引擎384和數(shù)據(jù)包轉(zhuǎn)發(fā)引擎386。路由引擎384作為用于路由器380的控制平面進(jìn)行操作，并且包括為大量并發(fā)進(jìn)程的執(zhí)行提供多任務(wù)操作環(huán)境的操作系統(tǒng)。例如，路由引擎384執(zhí)行軟件指令，以實施一個或多個控制平面網(wǎng)絡(luò)協(xié)議397。例如，協(xié)議397可以包含用于與其它路由設(shè)備互換路由信息且用于更新路由信息394的一個或多個路由協(xié)議，諸如邊界網(wǎng)關(guān)協(xié)議(bgp)393。路由信息394可以描述路由器380駐留在其中的計算機網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且還可以包含通過網(wǎng)絡(luò)的路由。路由信息394描述計算機網(wǎng)絡(luò)內(nèi)的各種路由，以及用于每個路由的適當(dāng)?shù)南乱惶?，即，沿著路由中的每個的鄰近路由設(shè)備。路由引擎384分析儲存的路由信息394，并且生成用于轉(zhuǎn)發(fā)引擎386的轉(zhuǎn)發(fā)信息396。轉(zhuǎn)發(fā)信息396可以將例如用于訂戶的網(wǎng)絡(luò)目的地與特定的下一跳和對應(yīng)的ifc388以及用于輸出鏈路392的物理輸出端口相關(guān)聯(lián)。而且，轉(zhuǎn)發(fā)信息396可以指定當(dāng)將數(shù)據(jù)包轉(zhuǎn)發(fā)到下一跳時應(yīng)用的操作，諸如具有evpn標(biāo)記的封裝或數(shù)據(jù)包的解封裝。轉(zhuǎn)發(fā)信息396可以是被編程到專設(shè)轉(zhuǎn)發(fā)芯片的、一系列表、復(fù)合數(shù)據(jù)庫、鏈路列表、基數(shù)樹、數(shù)據(jù)庫、平面文件或各種其它數(shù)據(jù)結(jié)構(gòu)的基數(shù)樹(radixtree)。

在圖6的示例中，還被稱為用于路由器380的控制平面的路由引擎384執(zhí)行evpn協(xié)議387，路由引擎384操作以與其它路由器通信，來建立和維持用于通過城域傳輸網(wǎng)絡(luò)傳輸通信的evpn，諸如evpn26，以便通過中間網(wǎng)絡(luò)邏輯上擴展以太網(wǎng)網(wǎng)絡(luò)。evpn協(xié)議387可以例如與在遠(yuǎn)程路由器上執(zhí)行的evpn協(xié)議通信，以建立利用數(shù)據(jù)包上的標(biāo)簽棧用于通過evpn傳輸數(shù)據(jù)包的隧道(例如，lsp或gre隧道)。evpn協(xié)議387在路由器380的控制平面中維持mac地址表381，其中，mac標(biāo)將l2客戶mac地址與用于到達(dá)相關(guān)聯(lián)的mac地址的特定隧道相關(guān)聯(lián)。當(dāng)實施evpn時，可以在控制平面中通過與遠(yuǎn)程pe設(shè)備互換包含客戶mac地址的bgp消息，執(zhí)行l(wèi)2mac學(xué)習(xí)。evpn協(xié)議387將記錄在mac表381中的信息傳輸?shù)睫D(zhuǎn)發(fā)引擎386，以便配置轉(zhuǎn)發(fā)信息396。以這種方式，可以用每個隧道和輸出接口以及經(jīng)由這些隧道可達(dá)的特定的源客戶mac地址之間的關(guān)聯(lián)，對轉(zhuǎn)發(fā)引擎386進(jìn)行編程。在2014年7月2日的互聯(lián)網(wǎng)工程任務(wù)組(ietf)的rfc7432的“基于bgpmpls的以太網(wǎng)vpn”(“bgpmplsbasedethernetvpn,”rfc7432,internetengineeringtaskforce(ietf),july2,2014)中，描述了關(guān)于evpn協(xié)議的額外的示例信息，其全部內(nèi)容以引用方式并入本文。

在該示例中，路由器380包括在控制平面384中執(zhí)行的、與在數(shù)據(jù)平面386中實行的監(jiān)管器部件(policercomponent)385b通信的監(jiān)管器(policer)385a。當(dāng)轉(zhuǎn)發(fā)引擎386通過本地附接電路(即，鏈路390中的一個或多個)從訂戶設(shè)備或假設(shè)是授權(quán)的訂戶設(shè)備的設(shè)備接收數(shù)據(jù)包時，監(jiān)管器385檢驗最近認(rèn)證的mac地址的本地緩存387，并且確定發(fā)送訂戶設(shè)備的源mac地址是否是先前尚未學(xué)習(xí)的新的mac地址，并且同樣地是否不存在于其mac地址緩存387內(nèi)，并且是否還尚未被驗證。如果源mac地址與本地緩存387內(nèi)的mac地址匹配，則監(jiān)管器385b引導(dǎo)轉(zhuǎn)發(fā)引擎386封裝數(shù)據(jù)包，并且根據(jù)轉(zhuǎn)發(fā)信息396，將數(shù)據(jù)包注入evpn26內(nèi)。

如果尚未學(xué)習(xí)mac地址，并且因而最近還未驗證mac地址，則監(jiān)管器385b向監(jiān)管器385a發(fā)出警報，監(jiān)管器385a繼而將認(rèn)證請求37輸出到mac認(rèn)證系統(tǒng)15，在mac認(rèn)證系統(tǒng)15處，認(rèn)證請求指定數(shù)據(jù)包的源mac地址，即，發(fā)送ce35或訂戶設(shè)備18的mac地址。在此期間，監(jiān)管器385b將數(shù)據(jù)包引導(dǎo)到隊列389，直到接收到響應(yīng)。

在接收到指示已經(jīng)準(zhǔn)許接入的響應(yīng)消息41時，監(jiān)管器385a告知evpn協(xié)議387有效的mac地址，其繼而引起evpn協(xié)議更新mac表381，并且引導(dǎo)bgp協(xié)議393構(gòu)造和輸出類型2bgpmac路由，以向其它evpn成員路由器通知新學(xué)習(xí)的mac地址。此時，evpn協(xié)議387可以將由mac認(rèn)證系統(tǒng)15提供的任何策略399應(yīng)用于特定的mac地址。例如，evpn協(xié)議387可以構(gòu)造bgpevpnmac路由通知，以包含如上所述的rt或bgp團體，以向其它evpnpe路由器指定evpnpe路由器是否將輸入該特定的mac路由。此外，監(jiān)管器385a告知監(jiān)管器385b緩沖的數(shù)據(jù)包是否包含有效的源mac地址，引起監(jiān)管器385b或者許可用于轉(zhuǎn)發(fā)數(shù)據(jù)包，或者從隊列389丟棄數(shù)據(jù)包。

圖6中所例示的路由器380的架構(gòu)被示出僅用于示例性的目的。本發(fā)明并不局限于該架構(gòu)。在其它示例中，路由器380可以以各種方式進(jìn)行配置。在一個示例中，控制單元382的一些功能可以分布在ifc388內(nèi)。在另一個示例中，控制單元382可以包括被操作作為從屬路由器的多個數(shù)據(jù)包轉(zhuǎn)發(fā)引擎。

可以獨自地以軟件或硬件實施控制單元382，或者控制單元382可以被實施作為軟件、硬件或固件的組合。例如，控制單元382可以包括執(zhí)行軟件指令的一個或多個處理器。在該情況下，控制單元382的各種軟件模塊可以包括儲存在計算機可讀介質(zhì)(諸如計算機存儲器或硬盤)上的可執(zhí)行的指令。

可以以硬件、軟件、固件或其任何組合實施本文中所描述的技術(shù)?？梢栽诩蛇壿嬙O(shè)備中一起實施被描述作為模塊、單元或部件的各種特征，或者被描述作為模塊、單元或部件的各種特征可以被分別地實施為分立的但能共同使用的邏輯設(shè)備或其它硬件設(shè)備。在一些情況下，電子電路系統(tǒng)的各種特征可以被實施作為一個或多個集成電路設(shè)備，諸如集成電路芯片或芯片組。

如果在硬件中實施，則本公開可以涉及裝置諸如處理器或集成電路設(shè)備(諸如集成電路芯片或芯片組)。供選擇地或額外地，如果在軟件或固件中實施，則可以至少部分地由包括指令的計算機可讀數(shù)據(jù)儲存介質(zhì)實現(xiàn)該技術(shù)，當(dāng)執(zhí)行指令時，引起處理器實行上面所描述的方法中的一個或多個。例如，計算機可讀數(shù)據(jù)儲存介質(zhì)可以儲存用于由處理器執(zhí)行的這樣的指令。

計算機可讀介質(zhì)可以形成可以包括包裝材料的計算機程序產(chǎn)品的一部分。計算機可讀介質(zhì)可以包括計算機數(shù)據(jù)儲存介質(zhì)，諸如隨機存取存儲器(ram)、只讀存儲器(rom)、非暫時隨機存取存儲器(nvram)、電可擦除可編程只讀存儲器(eeprom)、閃速存儲器、磁性或光學(xué)數(shù)據(jù)儲存媒體等。在一些示例中，制造的物品可以包括一個或多個計算機可讀儲存媒體。

在一些示例中，計算機可讀儲存媒體可以包括非暫時媒體。術(shù)語“非暫時”可以指示不以載波信號或傳播信號體現(xiàn)儲存介質(zhì)。在某些示例中，非暫時儲存介質(zhì)可以將可以隨著時間改變的數(shù)據(jù)儲存(例如，在ram或緩存中)。

代碼或指令可以是由包含一個或多個處理器的處理電路系統(tǒng)執(zhí)行的軟件和/或固件，一個或多個處理器諸如一個或多個數(shù)字信號處理器(dsp)、通用微處理器、專用集成電路(asic)、現(xiàn)場可編程門陣列(fpga)，或其它等效集成的或分立邏輯電路系統(tǒng)。因此，如本文中所使用的術(shù)語“處理器”可以是指上述結(jié)構(gòu)或適合于本文中所描述的技術(shù)的實施的任何其它結(jié)構(gòu)中的任一個。此外，在一些方面中，在本公開中所描述的功能可以被提供在軟件模塊或硬件模塊內(nèi)。

已經(jīng)描述了各種實施例。這些和其它實施例在以下示例的保護(hù)范圍內(nèi)。