[发明专利]用于承载操作和叠加操作的双向加密/解密设备

说明书

本公开涉及用于承载操作和叠加操作的双向加密/解密设备。描述了用于承载操作和叠加操作的双向加密和解密技术。一个网络设备包括多个端口、网络处理元件、可编程路径选择电路和安全IC。可编程路径选择电路被配置为在第一模式下进行操作，在第一模式中，第一传出分组被路由到安全集成电路以便在其中一个端口上发送之前进行加密，而在其中一个端口上接收到的第一传入分组被路由到安全集成电路进行解密。可编程路径选择电路被配置为在第二模式下进行操作，在第二模式中，第二传入分组被路由到安全集成电路，以便在由网络处理元件处理之前进行加密，并在由网络处理元件处理之后将第二传出分组路由到安全集成电路以进行解密。

技术领域

至少一个实施例涉及用于执行和促进网络通信的处理资源。例如，至少一个实施例涉及用于承载(underlay)操作和叠加(overlay)操作的双向加密/解密技术。

背景技术

网络设备(例如，交换机、路由器、集线器、端点、网络接口卡(NIC)、数据处理单元(DPU)等)可以具有加密/解密功能(例如，媒体访问控制安全性(MACsec)或互联网协议安全性(IPsec))，以从网络堆栈的相关层开始加密/解密，例如第2层(L2)或第3层(L3)。当设备通过光缆点对点连接时，或者当中间有用于L2加密的交换机以及中间有用于L3加密的路由器时，可以使用这些加密/解密功能作为示例。

叠加联网(overlay networking)可用于创建网络抽象层，这些网络抽象层可用于在物理网络之上运行多个独立的、离散的虚拟化网络层。叠加联网使用叠加封装协议。叠加封装协议可以创建覆盖在现有物理网络基础设施之上的虚拟网络。它使用承载IP网络，并在其上构建灵活的第2层叠加逻辑网络。通过叠加，任何在第2层上运行的连接都可以跨越第3层网络。

将加密/解密功能与叠加网络技术一起使用可能会带来一些挑战。例如，支持MACsec/IPsec的设备不能支持以下情况：需要携带叠加流量，同时假定承载设备应该能够使用L3路由来本地路由流量，包括在需要时读取L4报头。

附图说明

将参考附图描述根据本公开的各种实施例，其中：

图1A示出了根据至少一些实施例的示例通信系统。

图1B是根据至少一些实施例的网络设备的框图。

图2A是根据至少一些实施例的可编程路径选择电路以第一模式操作的网络设备的框图。

图2B是根据至少一些实施例的可编程路径选择电路以第二模式操作的网络设备的框图。

图3A是根据至少一些实施例的路径在第一模式下通过加密电路和解密电路的网络设备的框图。

图3B是根据至少一些实施例的路径在使用可编程复用器的第二模式中去往加密电路和解密电路的网络设备的框图。

图4是根据至少一些实施例的网络设备的框图。

图5是根据至少一些实施例的用于路由要在网络设备中加密和封装的传入分组的方法的流程图。

图6是根据至少一些实施例的用于在第一模式或第二模式下操作网络设备以在网络设备中路由传入分组的方法的流程图。

图7示出了根据至少一些实施例的包括可编程路径选择电路的示例计算机系统。

具体实施方式