[发明专利]具有MAC(L2)级认证、安全和策略控制的增强的EVPN MAC路由通知

说明书

描述了使得在L2交换网络诸如城域传输网络内能够MAC(L2)地址认证的技术。而且，当在EVPN中使用时，技术对L2交换网络提供细粒度策略控制，以使得载波网络能够指定和控制用于传输基于数据包的通信的拓扑结构。EVPN通信的接入路由器利用增强的EVPN MAC路由通知，该增强的EVPN MAC路由通知包含指示由网络地址认证设备验证被通知的L2网络地址的请求的额外的属性。根据L2网络地址的验证，路由控制器中继EVPN MAC通知。而且，路由控制器可以利用EVPN MAC路由通知分配MAC级策略，以控制EVPN内的拓扑结构和MAC学习，并且提供服务诸如每个MAC流量配额限制。

相关申请的交叉引用

本申请是2015年9月30日提交的美国申请序列No.14/871,960的部分继续，该专利的全部内容以引用方式并入本文。

技术领域

本发明涉及计算机网络，并且更具体地，涉及在层2(L2)网络内传送安全和策略控制。

背景技术

很多大城市区域已经安装大城市(城域)传输网络，以为本地订户到较大的基于数据包的服务网络提供高宽带连接性。每个订户通常与连接到城域传输网络的大量互联网服务提供商(ISP)网络中的任一个订立合同，并且每个ISP网络为订户提供用于通信会话的锚点，并且管理订户的网络服务，诸如认证、记账以及计费。

订户可以利用各种设备连接到ISP网络，以接入由互联网提供的资源和服务。例如，订户通常利用台式计算机、膝上型计算机、智能电视、移动智能电话和功能电话、平板计算机等。城域传输网络通常提供层2(L2)交换机制，以在订户和它们的相应的ISP之间传输基于数据包的数据，使得可以在ISP处为订户建立层3(L3)通信会话，以用于与超出ISP的资源(诸如远程内容数据网络(CDN)或互联网)通信。

发明内容

一般来说，描述了在网络(诸如城域传输网络)内提供层2(L2)网络地址(例如，媒体访问控制‘MAC’地址)认证的技术。而且，该技术使用城域传输网络上的以太网虚拟专用网络(EVPN)技术，对L2网络地址中的每个提供细粒度策略控制，以使得载波网络能够指定和控制用于传输基于数据包的通信的拓扑结构。

在一个示例中，系统包括城域传输网络，该城域传输网络提供层2(L2)数据包交换，以用于传输与客户设备相关联的网络数据包，其中，城域传输网络包括通过一个或多个接入链路以及城域传输网络的多个其它路由器被连接到客户设备的至少一个接入路由器，并且其中接入路由器和其它路由器在城域传输网络内建立EVPN。系统还包括在城域传输网络内且包括用于客户设备的有效的L2网络地址的数据库的网络地址认证设备。响应于从客户设备(例如，客户端设备(customer premise equipment，CE)或单独的订户设备)中的一个接收数据包，接入路由器将认证请求输出到城域传输网络的网络地址认证设备，认证请求指定数据包的源L2网络地址，并且请求源L2网络地址的验证。响应于从网络地址认证设备接收指示源L2网络地址是与客户设备中的一个相关联的有效的L2网络地址的响应消息，接入路由器被配置为输出通知L2网络地址为通过接入路由器可达的EVPN路由通知。响应于从网络地址认证设备接收指示源L2网络地址是不与客户设备中的任一个相关联的无效的L2网络地址(例如，被列入黑名单的或未知的)的响应消息，接入路由器被配置为用接入路由器丢弃数据包，而不将EVPN路由通知输出到EVPN中。