[发明专利]MAC（L2）层认证、安全性和策略控制

权利要求书

1.一种用于在层2L2网络内传送的方法，包括：

利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立以太网虚拟专用网络(EVPN)，其中，所述城域传输网络提供层2(L2)数据包交换，用于在所述因特网服务提供商网络和所述客户设备之间传输网络数据包，并且其中，所述路由器中的第一路由器是通过接入链路耦接到所述客户设备的接入路由器；

利用所述接入路由器通过所述接入链路接收来自所述客户设备中的一个的数据包；

响应于接收到所述数据包，将来自所述接入路由器的认证请求输出到所述城域传输网络的网络地址认证设备，其中，所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址；以及

响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息，在所述EVPN内通过所述接入路由器输出EVPN路由通知，所述EVPN路由通知将所述源L2网络地址通知为能够通过所述接入路由器到达。

2.根据权利要求1所述的方法，进一步包括：

响应于接收到指示所述源L2网络地址是与所述客户设备中的一个不关联的无效L2网络地址的响应消息，利用所述接入路由器丢弃所述数据包，而不输出所述EVPN路由通知。

3.根据权利要求1或2所述的方法，进一步包括：

响应于接收到指示所述源L2网络地址是与所述客户设备中的一个相关联的有效L2网络地址的响应消息，通过所述接入路由器封装所述数据包并通过所述EVPN将所述数据包隧道传输至所述城域传输网络的其他路由器中的一个。

4.根据权利要求1所述的方法，其中，

输出EVPN路由通知包括构建和输出路由类型2的路由协议消息。

5.根据权利要求1所述的方法，其中，输出EVPN路由通知包括边界网关协议(BGP)路由协议消息。

6.根据权利要求1所述的方法，

其中，所述响应消息指定与所述源L2网络地址关联的策略，所述策略指定控制其他路由器中的哪些将所述源L2网络地址导入它们相应的与所述EVPN关联的L2网络地址表的属性，以及

其中，在所述EVPN内通过所述接入路由器输出EVPN路由通知包括构建所述EVPN路由通知，以包括在从所述网络地址认证设备接收到的所述策略中指定的所述属性。

7.根据权利要求6所述的方法，其中，所述属性指定指定的路由目标(RT)值或边界网关协议(BGP)路由团体。

8.一种用于在层2L2网络内传送的系统，包括：

城域传输网络，提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包，其中，所述城域传输网络包括经由一个或多个接入链路连接到所述客户设备的至少一个接入路由器，以及所述城域传输网络的多个其他路由器，并且其中，所述接入路由器和所述其他路由器在所述城域传输网络内建立以太网虚拟专用网络(EVPN)；以及

网络地址认证设备，在所述城域传输网络内，并且包括所述客户设备的有效L2网络地址的数据库，

其中，响应于通过所述接入链路接收来自所述客户设备中的一个的数据包，所述接入路由器将认证请求输出到所述城域传输网络的所述网络地址认证设备，所述认证请求指定所述数据包的源L2网络地址并且请求验证所述源L2网络地址；

其中，响应于从所述网络认证设备接收到指示所述源L2网络地址是与所述客户设备中的一个关联的有效L2网络地址的响应消息，所述接入路由器被配置为输出EVPN路由通知，所述EVPN路由通知将所述源L2网络地址通知为能够通过所述接入路由器到达，以及

其中，响应于从所述网络地址认证设备接收到指示所述源L2网络地址是与所述客户设备中的任一个都不关联的无效L2网络地址的响应消息，所述接入路由器被配置为利用所述接入路由器丢弃所述数据包，而不将所述EVPN路由通知输出到所述EVPN中。