【技术实现步骤摘要】
在EVPN中部署安全邻居发现
[0001]本申请要求于2019年10月18日提交的美国临时专利申请第62/923,070号的权益,并且要求于2020年4月28日提交的美国专利申请第16/860,828号的权益,以上案件均通过整体引用并入于此。
[0002]本公开涉及计算机网络,并且更具体地,涉及在计算机网络内转发业务。
技术介绍
[0003]计算机网络是可以交换数据和共享资源的互连计算设备的集合。示例网络设备包括:交换机或其他层2(“L2”)设备,该交换机或其他层2(“L2”)设备在开放系统互连(“OSI”)参考模型的第二层(即数据链路层)内操作;以及路由器或其他层3(“L3”)设备,该路由器或其他层3(“L3”)设备在OSI参考模型的第三层(即网络层)内操作。常见的L3操作包括根据L3协议(诸如互联网协议(“IP”))所执行的操作。计算机网络内的网络设备通常包括:为网络设备提供控制平面功能性的控制单元、和用于路由或交换数据单元的转发单元。
[0004]在L3网络中,网络设备可以使用邻居发现协议(NDP)来发现其他网络设备和链路层地址的存在,并维护关于到活动邻居的路径的可达性信息。例如,实现NDP的设备发送或接收五种类型的邻居发现消息:路由器恳求(RS)、路由器通告(RA)、邻居恳求(NS)、邻居通告(NA)和重定向。在一些示例中,NDP可以被扩展为包括安全性扩展,诸如安全邻居发现(SEND)。SEND为网络设备提供了加密机制,以保护邻居发现消息的递送和认证。作为一个示例,发送器设备发起新鲜值(non ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由实现以太网虚拟专用网络(EVPN)的第一网络设备接收邻居发现响应消息,所述邻居发现响应消息包括由第二网络设备发起而不是由所述第一网络设备发起的新鲜值;以及由所述第一网络设备处理所述邻居发现响应消息,所述邻居发现响应消息包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值。2.根据权利要求1所述的方法,其中所述第一网络设备和第二网络设备通过以太网段被耦合到多宿主的主机设备,其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述邻居发现响应消息还包括:由所述第一网络设备确定所述第一网络设备是否发起了所述新鲜值;响应于确定所述第一网络设备并未发起所述新鲜值,由所述第一网络设备确定所述邻居发现响应消息是否在所述以太网段的以太网段标识符(ESI)接口上被接收;以及响应于确定所述邻居发现响应消息在所述以太网段的所述ESI接口上被接收,从所述邻居发现响应消息中弃用所述新鲜值,以从所述邻居发现响应消息中学习链路层地址。3.根据权利要求2所述的方法,其中确定所述第一网络设备是否发起了所述新鲜值包括:由所述第一网络设备确定所述邻居发现响应消息的所述新鲜值是否与被存储在所述第一网络设备中的新鲜值匹配。4.根据权利要求2所述的方法,其中所述第一网络设备和所述第二网络设备用作层2网关和层3网关两者。5.根据权利要求1所述的方法,其中所述第一网络设备和所述第二网络设备通过以太网段由多宿主的中间网络设备耦合到主机设备,其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述邻居发现响应消息还包括:由所述第一网络设备确定所述邻居发现响应消息的目的地地址是所述第二网络设备的物理IP地址;响应于确定所述邻居发现响应消息的所述目的地地址是所述第二网络设备的所述物理IP地址,由所述第一网络设备经由重叠网络向所述第二网络设备发送所述邻居发现响应消息。6.根据权利要求1所述的方法,其中所述第一网络设备被耦合到本地主机设备,其中所述邻居发现响应消息包括第一邻居发现响应消息,其中处理包括由所述第二网络设备发起而不是由所述第一网络设备发起的所述新鲜值的所述第一邻居发现响应消息还包括:由所述网络设备从本地主机设备拦截包括所述新鲜值的所述第一邻居发现响应消息,其中所述第一邻居发现响应消息由所述本地主机设备响应于第一邻居发现请求消息而生成,并且去往远程主机设备;由所述第一网络设备确定所述第一网络设备是否发起了所述新鲜值;响应于确定所述第一网络设备并未发起所述新鲜值,由所述第一网络设备弃用所述第一邻居发现响应消息;由所述第一网络设备向所述本地主机设备发送第二邻居发现请求消息,其中所述第二邻居发现请求消息包括由所述第一网络设备发起的所述新鲜值;由所述第一网络设备存储所述新鲜值;
由所述第一网络设备从所述本地主机设备接收包括所述新鲜值的第二邻居发现响应消息;响应于确定所述新鲜值被存储在所述第一网络设备中,由所述第一网络设备存储从所述第二邻居发现响应消息中学习到的一个或多个链路层地址。7.根据权利要求6所述的方法,还包括:由所述网络设备接收来自本地主机并且去往远程主机设备的第三邻居发现请求消息;以及由所述网络设备使用被存储在所述网络设备中的所述一个或多个链路层地址发送第三邻居发现响应消息,而不是通过EVPN核心发送所述第三邻居发现请求消息。8.根据权利要求1至7中任一项所述的方法,其中所述邻居发现响应消息包括使用邻居发现协议(NDP)被配置的邻居通告消息。9.根据权利要求8所述的方法,其中所述邻居发现协议被扩展为包括安全性扩展,所述安全性扩展包括安全邻居发现(SEND)。10.一种实现以太网虚拟专用网络(EVPN)的第一网络设备,包括:一个或多个处理器,被耦合到存储器,其中所述一个或多个处理器被配置为:接...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。