[发明专利]MAC（L2）层认证、安全性和策略控制

说明书

本申请描述了在L2交换网络诸如城域传输网络内实现MAC(L2)层认证、安全性和策略控制。此外，当在EVPN中使用时，所述技术提供对L2交换网络的细粒度策略控制，以便使得运营商网络能够指定和控制拓扑以用于传输基于数据包的通信。EVPN的接入路由器与城域传输网络的L2网络地址认证设备通信，并且仅将MAC地址通知至已经验证的EVPN中。此外，L2网络地址认证设备可分发MAC级策略，以控制拓扑和EVPN内的MAC学习以及提供服务，诸如每MAC流量定额限制。

技术领域

本发明涉及计算机网络，并更具体地涉及在层2(L2)网络内传送安全性和策略控制。

背景技术

许多城市地区已经安装了城市(城域)传输网络，以为本地用户提供到基于较大数据包的服务网络(例如，因特网)的高带通连通性。每个用户通常与连接到城域传输网络的许多因特网服务提供商(ISP)网络中的任一个签约，并且每个ISP网络为用户提供通信会话的锚，以及为用户管理诸如认证、计费的网络服务。

用户可利用多种设备以连接到ISP网络，以接入由因特网提供的资源和服务。例如，用户通常利用桌面型计算机、膝上型计算机、智能TV、移动智能电话和功能电话、平板计算机等等。城域传输网络通常提供层2 (L2)交换机制以用于在用户和他们各自的ISP之间传输基于数据包的数据，使得可在ISP处为用户建立第三层(L3)通信会话，以用于与诸如远程内容数据网络(CDN)或因特网的超出ISP的资源通信。

发明内容

一般而言，描述了在诸如城域传输网络的网络内提供层2(L2)网络地址(例如，媒体接入控制‘MAC’地址)认证的技术。此外，所述技术使用城域传输网络上的以太网虚拟专用网络(EVPN)技术提供对L2网络地址中的每个的细粒度策略控制，以便使得运营商网络能够指定和控制拓扑，以用于传输基于数据包的通信。

在一个示例中，系统包括：城域传输网络，其提供层2(L2)数据包交换以用于传输与客户设备关联的网络数据包，其中，城域传输网络包括经由一个或多个接入链路连接到客户设备的至少一个接入路由器，以及城域传输网络的多个其他路由器，并且其中接入路由器和其他路由器在城域传输网络内建立EVPN。系统进一步包括网络地址认证设备，网络地址认证设备在城域传输网络内，并包括客户设备的有效L2网络地址的数据库。响应于接收到来自客户设备(例如，客户端设备(CE)或各个用户设备) 中的一个的数据包，接入路由器向城域传输网络的网络地址认证设备输出认证请求，所述认证请求指定数据包的源L2网络地址并请求验证源L2 网络地址。响应于从网络地址认证设备接收到的响应消息指示源L2网络地址是与客户设备中的一个关联的有效L2网络地址，接入路由器被配置为输出EVPN路由通知，EVPN路由通知将L2网络地址通知为可通过接入路由器到达。响应于从网络地址认证设备接收到的响应消息指示源L2 网络地址是与客户设备中的任一个都不关联的无效L2网络地址(例如，被列入黑名单或未知)，接入路由器被配置为利用接入路由器丢弃数据包，而不将EVPN路由通知输出到EVPN中。

在另一个示例中，方法包括利用定位在至少一个因特网服务提供商网络和一组客户设备之间的城域传输网络的一组路由器建立EVPN，其中，城域传输网络提供L2数据包交换以用于在因特网服务提供商网络和客户设备之间传输网络数据包，并且其中路由器中的第一个是经由接入链路耦接到客户设备的接入路由器。方法进一步包括通过接入路由器经由接入链路接收来自客户设备中的一个的数据包，以及响应于接收到所述数据包，将来自接入路由器的认证请求输出到城域传输网络的网络地址认证设备，其中，认证请求指定数据包的源L2网络地址并请求验证源L2网络地址。方法包括响应于接收到的响应消息指示源L2网络地址是与客户设备中的一个关联的有效L2网络地址，在EVPN内经由接入路由器输出EVPN路由通知，其将L2网络地址通知为可通过接入路由器到达。