[发明专利]在EVPN中部署安全邻居发现

说明书

本公开的实施例涉及在EVPN中部署安全邻居发现。描述了用于提供对以太网虚拟专用网络(EVPN)中的邻居发现的安全性扩展的技术。例如，实现以太网虚拟专用网络(EVPN)的网络设备接收邻居发现响应消息，邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。网络设备处理邻居发现响应消息，邻居发现响应消息包括由第二网络设备发起而不是由第一网络设备发起的新鲜值。

本申请要求于2019年10月18日提交的美国临时专利申请第62/923,070号的权益，并且要求于2020年4月28日提交的美国专利申请第16/860,828号的权益，以上案件均通过整体引用并入于此。

技术领域

本公开涉及计算机网络，并且更具体地，涉及在计算机网络内转发业务。

背景技术

计算机网络是可以交换数据和共享资源的互连计算设备的集合。示例网络设备包括：交换机或其他层2(“L2”)设备，该交换机或其他层2(“L2”)设备在开放系统互连(“OSI”)参考模型的第二层(即数据链路层)内操作；以及路由器或其他层3(“L3”)设备，该路由器或其他层3(“L3”)设备在OSI参考模型的第三层(即网络层)内操作。常见的L3操作包括根据L3协议(诸如互联网协议(“IP”))所执行的操作。计算机网络内的网络设备通常包括：为网络设备提供控制平面功能性的控制单元、和用于路由或交换数据单元的转发单元。

在L3网络中，网络设备可以使用邻居发现协议(NDP)来发现其他网络设备和链路层地址的存在，并维护关于到活动邻居的路径的可达性信息。例如，实现NDP的设备发送或接收五种类型的邻居发现消息：路由器恳求(RS)、路由器通告(RA)、邻居恳求(NS)、邻居通告(NA)和重定向。在一些示例中，NDP可以被扩展为包括安全性扩展，诸如安全邻居发现(SEND)。SEND为网络设备提供了加密机制，以保护邻居发现消息的递送和认证。作为一个示例，发送器设备发起新鲜值(nonce)，存储新鲜值，并发送包括新鲜值的邻居发现请求消息，例如邻居恳求消息，以防止重放攻击。如果发送器设备接收到邻居发现响应消息，例如邻居通告消息，包括与由发送器设备存储的新鲜值匹配的新鲜值，则发送器设备确定邻居发现响应消息不是重放攻击，并学习链路层地址。如果邻居发现响应消息不包括与由发送器设备存储的新鲜值匹配的新鲜值，则发送器设备弃用(drop)邻居发现响应消息。

发明内容

大体上，描述了用于提供对以太网虚拟专用网络(EVPN)中的邻居发现的安全性扩展的技术。例如，网络设备例如使用邻居发现协议(NDP)发送和接收邻居发现消息，以发现近邻设备和链路层地址的存在，并维护关于到活动邻居的路径的可达性信息。在一些示例中，NDP被扩展为包括安全性扩展，诸如安全邻居发现(SEND)。网络设备使用SEND生成邻居发现消息，这些邻居发现消息携带基于公钥的签名，以用于保护和认证邻居发现消息。例如，网络设备在邻居发现消息中包括新鲜值以防止重放攻击。在本文中所描述的示例中，即使接收网络设备并未发起新鲜值，网络设备也被配置为处理接收到的邻居发现响应消息。

在主机设备以折叠的IP结构被多宿主(multi-home)到以太网段的多个网络设备(例如提供方边缘(PE)设备)的一个示例中，主机设备可以响应于接收到包括来自第一PE设备的新鲜值的邻居发现请求消息(例如邻居恳求消息)，向以太网段的第二PE设备发送包括新鲜值的邻居通告消息。即，第一PE设备可以发送具有新鲜值的邻居恳求消息，但是第二PE设备接收具有第一PE设备所发起的新鲜值的邻居通告消息。第二PE设备不是因为第二PE设备由于第二PE设备未发起新鲜值而不能验证邻居通告消息中的新鲜值所以弃用邻居通告消息，而是可以被配置为放宽对到达被耦合到多宿主主机设备的第一PE设备和第二PE设备的以太网段标识符(ESI)接口的邻居发现消息的新鲜值验证要求。例如，第一PE设备和第二PE设备可以各自被配置为确定邻居通告消息是否到达被连接到主机的ESI接口，并且如果是这样，则即使接收PE设备未发起新鲜值，PE设备也可以从邻居通告消息中弃用新鲜值。