背景技术:
路由器可以指的是在计算机网络和/或网络设备之间路由和/或转发分组的网络设备。分组通常通过构成互联网的网络而从一个路由器被转发至另一个路由器、直至该分组到达目的地设备。当分组由路由器接收时,该路由器可以读取被包括在该分组中的地址信息以便确定针对该分组的目的地。然后,使用被存储在路由表中或者由路由策略指示的信息,该路由器可以将该分组引导朝向目的地。
技术实现要素:
根据一些可能的实施方式,一种提供方边缘设备可以包括:用于从与第一局域网相关联的第一客户方边缘设备接收去往第二局域网的网络流量的部件。提供方边缘设备可以为第一局域网提供对核心网的接入。提供方边缘设备可以不为第二局域网提供对核心网的接入。该提供方边缘设备可以包括用于基于网络流量标识与第二客户方边缘设备相关联的层3地址的部件。第二客户方边缘设备可以与第二局域网相关联。该提供方边缘设备可以包括用于确定第一客户方边缘设备被分类为由提供方边缘设备提供的以太网树(ethernettree)服务内的叶设备的部件。该提供方边缘设备可以包括用于基于层3地址确定第二客户方边缘设备被分类为以太网树服务内的叶设备的部件。该提供方边缘设备可以包括用于基于确定第一客户方边缘设备和第二客户方边缘设备被分类为以太网树服务内的叶设备来丢弃网络流量的部件。
在一种可能的实施方式中,层3地址可以是互联网协议地址。
在一种可能的实施方式中,提供方边缘设备可以进一步包括用于从另一个提供方边缘设备接收层3地址和树节点类型指示符的部件,树节点类型指示符指示与层3地址相关联的第二客户方边缘设备被分类为以太网树服务内的叶设备。
在一种可能的实施方式中,提供方边缘设备可以进一步包括用于以层3数据结构来存储层3地址和树节点类型指示符的部件。
在一种可能的实施方式中,用于确定第二客户方边缘设备被分类为以太网树服务内的叶设备的部件可以包括:用于使用层3数据结构来确定第二客户方边缘设备被分类为以太网树服务内的叶设备的部件。
在一种可能的实施方式中,层3地址可以是第一层3地址,并且该提供方边缘设备可以进一步包括:用于确定与第一客户方边缘设备相关联的第二层3地址的部件;用于以层3数据结构来将第二层3地址与树节点类型指示符相关联地存储的部件,树节点类型指示符指示第一客户方边缘设备被分类为以太网树服务内的叶设备;以及用于将第二层3地址和树节点类型指示符提供给另一个提供方边缘设备的部件。
在一种可能的实施方式中,提供方边缘设备可以进一步包括用于确定网络流量去往第二局域网的部件。用于将第二层3地址与树节点类型指示符相关联地存储的部件可以包括用于基于确定网络流量去往第二局域网来将层3地址与树节点类型指示符相关联地存储的部件。
根据一些可能的实施方式,一种提供方边缘设备可以包括一个或多个处理器,用于从与第一局域网相关联的第一客户方边缘设备接收去往第二局域网的网络流量。提供方边缘设备可以为第一局域网提供对核心网的接入。提供方边缘设备可以不为第二局域网提供对核心网的接入。一个或多个处理器可以基于网络流量标识与第二客户方边缘设备相关联的层3地址。第二客户方边缘设备可以与第二局域网相关联。一个或多个处理器可以确定第一客户方边缘设备被分类为由提供方边缘设备提供的以太网树服务内的叶设备。一个或多个处理器可以基于层3地址确定第二客户方边缘设备被分类为以太网树服务内的叶设备。一个或多个处理器可以基于确定第一客户方边缘设备和第二客户方边缘设备被分类为以太网树服务内的叶设备来丢弃网络流量。
在一种可能的实施方式中,层3地址可以是互联网协议地址。
在一种可能的实施方式中,一个或多个处理器进一步可以从另一个提供方边缘设备接收层3地址和树节点类型指示符,树节点类型指示符指示与层3地址相关联的第二客户方边缘设备被分类为以太网树服务内的叶设备。
在一种可能的实施方式中,一个或多个处理器进一步可以以层3数据结构来存储层3地址和树节点类型指示符。
在一种可能的实施方式中,一个或多个处理器进一步在确定第二客户方边缘设备被分类为以太网树服务内的叶设备时可以使用层3数据结构来确定第二客户方边缘设备被分类为以太网树服务内的叶设备。
在一种可能的实施方式中,层3地址可以是第一层3地址,并且一个或多个处理器进一步可以:确定与第一客户方边缘设备相关联的第二层3地址;以层3数据结构来将第二层3地址与树节点类型指示符相关联地存储,树节点类型指示符指示第一客户方边缘设备被分类为以太网树服务内的叶设备;以及将第二层3地址和树节点类型指示符提供给另一个提供方边缘设备。
在一种可能的实施方式中,一个或多个处理器进一步可以确定网络流量去往第二局域网。一个或多个处理器在将第二层3地址与树节点类型指示符相关联地存储时可以基于确定网络流量去往第二局域网来将层3地址与树节点类型指示符相关联地存储。
根据一些可能的实施方式,一种非瞬态计算机可读介质可以存储一个或多个指令,一个或多个指令在由第一网络设备的一个或多个处理器执行时使得一个或多个处理器从与第一局域网相关联的第二网络设备接收去往第二局域网的网络流量。第一网络设备可以为第二网络设备提供对核心网的接入。一个或多个指令可以使得一个或多个处理器基于网络流量标识与第三网络设备相关联的互联网协议(ip)地址。第三网络设备可以与第二局域网相关联。第一网络设备可以不为第三网络设备提供对核心网的接入。一个或多个指令可以使得一个或多个处理器确定第二网络设备是被分类为由第一网络设备提供的以太网树服务内的根设备还是叶设备。一个或多个指令可以使得一个或多个处理器基于ip地址确定第三网络设备是被分类为以太网树服务内的根设备还是叶设备。一个或多个指令可以使得一个或多个处理器基于确定第二网络设备是被分类为以太网树服务内的根设备还是叶设备并且确定第三网络设备是被分类为以太网树服务内的根设备还是叶设备,来选择性地丢弃或传输网络流量。
在一种可能的实施方式中,一个或多个指令在由第一网络设备的一个或多个处理器执行时可以进一步使得一个或多个处理器确定第二网络设备或第三网络设备中的至少一个网络设备被分类为以太网树服务内的根设备。使得一个或多个处理器选择性地丢弃或传输网络流量的一个或多个指令可以使得一个或多个处理器基于确定第二网络设备或第三网络设备中的至少一个网络设备被分类为以太网树服务内的根设备来传输网络流量。
在一种可能的实施方式中,一个或多个指令在由第一网络设备的一个或多个处理器执行时可以进一步使得一个或多个处理器确定第二网络设备和第三网络设备均被分类为以太网树服务内的叶设备。使得一个或多个处理器选择性地丢弃或传输网络流量的一个或多个指令可以使得一个或多个处理器基于确定第二网络设备和第三网络设备均被分类为以太网树服务内的叶设备来丢弃网络流量。
在一种可能的实施方式中,一个或多个指令在由第一网络设备的一个或多个处理器执行时可以使得一个或多个处理器从第四网络设备将ip地址与树节点类型指示符相关联地接收,该树节点类型指示符指示与该ip地址相关联的第三网络设备是被分类为以太网树服务内的根设备还是叶设备。
在一种可能的实施方式中,一个或多个指令在由第一网络设备的一个或多个处理器执行时可以使得一个或多个处理器以存储层3信息的数据结构将ip地址与树节点类型指示符相关联地存储,该树节点类型指示符指示第三网络设备是被分类为以太网树服务内的根设备还是叶设备。
在一种可能的实施方式中,使得一个或多个处理器确定第三网络设备是被分类为以太网树服务内的根设备还是叶设备的一个或多个指令可以:使用ip地址在数据结构中查找树节点类型指示符;以及基于树节点类型指示符来确定第三网络设备是被分类为以太网树服务内的根设备还是叶设备。
在一种可能的实施方式中,使得一个或多个处理器确定第二网络设备是被分类为以太网树服务内的根设备还是叶设备的一个或多个指令可以:基于以层2数据结构或层3数据结构存储的信息,确定第二网络设备是被分类为以太网树服务内的根设备还是叶设备。
根据一些可能的实施方式,一种方法可以包括由提供方边缘设备并且从第一客户方边缘设备接收去往与第二客户方边缘设备相关联的局域网的网络流量。提供方边缘设备可以直接连接至第一客户方边缘设备。提供方边缘设备可以不直接连接至第二客户方边缘设备。该方法可以包括由提供方边缘设备并且基于网络流量标识与第二客户方边缘设备相关联的层3地址。该方法可以包括由提供方边缘设备确定第一客户方边缘设备是被分类为由提供方边缘设备提供的以太网树服务内的根还是叶。该方法可以包括由提供方边缘设备并且基于层3地址确定第二客户方边缘设备是被分类为以太网树服务内的根还是叶。该方法可以包括由提供方边缘设备基于确定第一客户方边缘设备是被分类为以太网树服务内的根还是叶并且确定第二客户方边缘设备是被分类为以太网树服务内的根还是叶、来选择性地丢弃或传输网络流量。
在一种可能的实施方式中,该方法可以进一步包括确定第一客户方边缘设备或第二客户方边缘设备被分类为以太网树服务内的根。选择性地丢弃或传输网络流量可以包括基于确定第一客户方边缘设备或第二客户方边缘设备被分类为以太网树服务内的根,传输网络流量。
在一种可能的实施方式中,该方法可以进一步包括确定第一客户方边缘设备和第二客户方边缘设备均被分类为以太网树服务内的叶。选择性地丢弃或传输网络流量可以包括基于确定第一客户方边缘设备和第二客户方边缘设备均被分类为以太网树服务内的叶,丢弃网络流量。
在一种可能的实施方式中,提供方边缘设备可以被包括在具有一个或多个其他提供方边缘设备、用于提供以太网树服务的以太网虚拟专用网中。
在一种可能的实施方式中,该方法可以进一步包括将层3地址与树节点类型指示符相关联地存储,树节点类型指示符指示第二客户方边缘设备是被分类为以太网树服务内的根还是叶。
在一种可能的实施方式中,确定第二客户方边缘设备是被分类为以太网树服务内的根还是叶可以进一步包括:基于将层3地址与树节点类型指示符相关联地存储,来确定第二客户方边缘设备是被分类为所述以太网树服务内的根还是叶。
附图说明
图1a-1d是本文中描述的示例实施方式的概览图;
图2是可以在其中实施本文中描述的系统和/或方法的示例环境的图;
图3是图2的一个或多个设备的示例组件的图;以及
图4是用于处理以太网树中的vlan间的流量的示例过程的流程图。
具体实施方式
示例实施方式的以下详细描述参照了附图。不同附图中的相同参考标号可以标识相同或相似要素。
层2虚拟专用网络(virtualprivatenetwork,vpn)或以太网vpn可以由提供方供应以便提供设备之间的点对多点(例如多播或广播)连接性。以太网vpn可以包括客户方设备(例如,位于客户房屋上的客户方边缘路由器)和提供方边缘设备(例如,位于提供方的核心网的边缘上的提供方边缘路由器)。客户方设备可以经由以太网接口(例如,用户-网络接口(uni)或附接电路(ac))与提供方边缘设备通信,以便提供客户方的局域网(lan)与提供方的核心网之间的连接性。
以太网vpn服务可以被提供为以太网树(e-tree),其可以指的是有根的多点服务,其中客户方设备与提供方边缘设备之间的接口被分类为根接口或叶接口。以太网树服务可以包括一个或多个根接口和至少两个叶接口。以太网树服务支持根到根通信、根到叶通信和叶到根通信,但是禁止叶到叶通信以便提高安全性和客户方隐私。树节点类型指示符可以指示客户方设备是被分类为根设备还是叶设备,并且可以用于禁止叶到叶通信。
当以太网树服务跨多个虚拟局域网(vlan)被提供时,提供方边缘设备可能不能够禁止叶到叶通信,因为树节点类型指示符与层2设备标识符、诸如媒体访问控制(mac)地址相关联。在一些情况下,提供方边缘设备可能不能够确定与如下vlan相关联的客户方设备的层2信息、诸如mac地址,该vlan不是由该提供方边缘设备直接服务的。因此,提供方边缘设备可能不能够将客户方设备标识为根设备或叶设备,从而阻碍了提供方边缘设备禁止叶到叶通信。本文中描述的实施方式允许提供方边缘设备通过将树节点类型指示符与层3信息、诸如互联网协议(ip)地址相关联来共享树节点类型指示符,从而提高安全性和客户方隐私。
图1a-1d是本文中描述的示例实施方式100的概览图。如图1a所示,以太网vpn服务可以被提供为以太网树,该以太网树包括多个提供方边缘设备和多个客户方边缘设备。例如,假设被示出为提供方边缘设备a的第一提供方边缘设备与关联于第一vlan(被示出为vlana)的第一客户方边缘设备(被示出为客户方边缘设备a1)通信。如参考标号105所示,假设客户方边缘设备a1具有由前缀10.0.0.1/24定义的范围内的ip地址、具有ma1的mac地址并且被分类为叶设备。
进一步地,假设被示出为提供方边缘设备b的第二提供方边缘设备与关联于第二lan(被示出为vlanb1)的第二客户方边缘设备(被示出为客户方边缘设备b1)通信。类似地,假设提供方边缘设备b与关联于第三lan(被示出为vlanb2)的第三客户方边缘设备(被示出为客户方边缘设备b2)通信。尽管未示出,在一些实施方式中,提供方边缘设备可以与关联于单个vlan的多个客户方边缘设备通信。如参考标号110所示,假设客户方边缘设备b1具有在由前缀10.0.0.2/24定义的范围内的ip地址、具有mb1的mac地址并且被分类为叶设备。如参考标号115所示,假设客户方边缘设备b2具有在由前缀20.0.0.2/24定义的范围内的ip地址、具有mb2的mac地址并且被分类为根设备。
如图1b所示,假设提供方边缘设备存储具有层3信息的数据结构,以便允许在提供方边缘设备之间的分组的路由(例如使用tcp/ip)。例如,提供方边缘设备可以与局域网(例如vlan)上的客户方边缘设备通信,以便确定客户方边缘设备的ip地址、标识用于将分组路由至客户方边缘设备的下一跳(nexthop)的信息、以及树节点类型标识符,该树节点类型标识符指示客户方边缘设备是被分类为根设备还是叶设备。
如参考标号120所示,假设提供方边缘设备a以层3数据结构存储如下信息,该信息指示客户方边缘设备a1具有由前缀10.0.0.1/24定义的范围内的ip地址、位于提供方边缘设备a本地的vlan上(例如,具有本地的下一跳)、并且被分类为叶设备。如参考标号125所示,假设提供方边缘设备b以层3数据结构存储如下信息,该信息指示客户方边缘设备b1具有由前缀10.0.0.2/24定义的范围内的ip地址、位于提供方边缘设备b本地的vlan上(例如,具有本地的下一跳)、并且被分类为叶设备。进一步地,假设提供方边缘设备b以层3数据结构存储如下信息,该信息指示客户方边缘设备b2具有由前缀20.0.0.2/24定义的范围内的ip地址、位于提供方边缘设备b本地的vlan上(例如,具有本地的下一跳)、并且被分类为根设备。
如图1c中由参考标号130所示,提供方边缘设备a和提供方边缘设备b可以交换层3信息、包括树节点类型指示符,这些树节点类型指示符指示由ip地址标识的客户方边缘设备是被分类为根设备还是叶设备。例如,如参考标号135所示,假设提供方边缘设备a以层3数据结构存储如下信息,该信息指示客户方边缘设备b1具有由前缀10.0.0.2/24定义的范围内的ip地址、具有提供方边缘设备b的下一跳、并且被分类为叶设备。进一步地,假设提供方边缘设备a以层3数据结构存储如下信息,该信息指示客户方边缘设备b2具有由前缀20.0.0.2/24定义的范围内的ip地址、具有提供方边缘设备b的下一跳、并且被分类为根设备。类似地,如参考标号140所示,假设提供方边缘设备b以层3数据结构存储如下信息,该信息指示客户方边缘设备a1具有由前缀10.0.0.1/24定义的范围内的ip地址、具有提供方边缘设备a的下一跳、并且被分类为叶设备。
如图1d中由参考标号145所示,假设在以层3数据结构存储交换信息之后,提供方边缘设备a从客户方边缘设备a1接收分组(或者帧)。假设该分组去往具有由前缀10.0.0.2/24定义的范围内的ip地址的设备(例如去往客户方边缘设备b1)。如参考标号150所示,提供方边缘设备a可以使用ip地址来在层3数据结构中查找针对该分组的目的地的树节点类型指示符。提供方边缘设备a还可以查找针对该分组的源(例如客户方边缘设备a1)的树节点类型指示符。在这种情况中,由于树节点类型指示符指示源和目的地均被分类为叶设备,提供方边缘设备a丢弃该分组,因为叶到叶通信在以太网树中是被禁止的。通过这种方式,提供方边缘设备可以通过阻止在跨越多个vlan的以太网树中的叶到叶通信来提高安全性和客户方隐私。
如以上所指示的,图1a-1d仅仅被提供为示例。其他示例是可能的并且可以不同于关于图1a-1d所描述的那些。
图2是可以在其中实施本文中描述的系统和/或方法的示例环境200的图。如图2所示,环境200可以包括从210-1至210-n(n≥1)的提供方边缘设备集合(在本文中被统称为“提供方边缘设备210”并且单独地称为“提供方边缘设备210”)、客户方边缘设备220集合、虚拟局域网(vlan)230集合和以太网虚拟专用网(evpn)240。环境200的设备可以经由有线连接、无线链接、或者有线和无线链接的组合而互连。
提供方边缘设备210包括支持处理和传送流量的一个或多个网络设备(例如一个或多个流量传送设备)。例如,提供方边缘设备210可以包括路由器、网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如代理服务器、执行虚拟机的服务器等等)、安全设备、入侵检测设备、负载均衡器、线卡(例如在基于机架的系统中)、或者类似类型的设备。在一些实施方式中,提供方边缘设备210可以位于服务提供方(例如互联网服务提供方)的核心网的边缘上并且可以提供对核心网的接入。例如,提供方边缘设备210可以提供对核心网的接入、对与客户方的lan(例如vlan230)相关联的客户方边缘设备220的接入。附加地或备选地,提供方边缘设备210可以与一个或多个提供方边缘设备210通信以便允许不同客户方边缘设备220(和/或vlan230)之间的通信。
客户方边缘设备220包括支持处理和传送流量的一个或多个网络设备(例如一个或多个流量传送设备)。例如,客户方边缘设备220可以包括路由器、网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如代理服务器、执行虚拟机的服务器等等)、安全设备、入侵检测设备、负载均衡器、线卡(例如在基于机架的系统中)、或者类似类型的设备。在一些实施方式中,客户方边缘设备220可以位于客户房屋的边缘上、并且可以与提供方边缘设备210通信以获得对服务提供方的核心网的接入。附加地或备选地,客户方边缘设备220可以经由lan(例如vlan230)与一个或多个端点设备通信,以便为(多个)端点设备提供经由客户方边缘设备220和提供方边缘设备210对核心网的接入。
vlan230包括一个或多个有线和/或无线网络。在一些实施方式中,vlan230可以包括虚拟局域网。附加地或备选地,vlan230可以包括另一种类型的lan。在一些实施方式中,与客户方相关联的端点设备可以经由vlan230内部地彼此通信。附加地或备选地,端点设备可以经由客户方边缘设备220和提供方边缘设备210与(例如不被包括在vlan230中的)外部设备通信。
以太网vpn240包括层2虚拟专用网(vpn),其提供以太网树服务(例如,有根的多点服务)。在一些实施方式中,以太网vpn240可以由服务提供方供应,以便(例如,经由提供方边缘设备210和客户方边缘设备220)在多个端点设备之间提供点对多点(例如多播或广播)流量。在以太网树中,根设备通常是点到多点流量的源,而叶设备通常是点到多点流量的目的地。
在一些实施方式中,客户方边缘设备220可以被分类为以太网树中的根设备或叶设备。附加地或备选地,客户方边缘设备220与提供方边缘设备210之间的接口可以被分类为以太网树中的根接口(例如,其中经由根接口连接的(多个)客户方边缘设备220是根设备)或者叶接口(例如其中经由叶接口连接的(多个)客户方边缘设备220是(多个)叶设备)。客户方边缘设备220与提供方边缘设备210之间的接口可以包括例如物理接口(例如物理端口)或者逻辑接口(例如逻辑端口),并且可以被称为用户-网络接口(user-networkinterface,uni)或者附接电路(attachmentcircuit,ac)。
图2中示出的设备和网络的数目和布置被提供为示例。实际上,可以存在除了图2示出的这些之外的附加设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者被不同地布置的设备和/或网络。此外,图2中示出的两个或更多设备可以被实现在单个设备内、或者图2中示出的单个设备可以被实现为多个离散的设备。附加地或备选地,环境200的设备集合(一个或多个设备)可以执行被描述为由环境200的另一个设备集合执行的一个或多个功能。
图3是图300的设备300的示例组件的图。设备300可以对应于提供方边缘设备210和/或客户方边缘设备220。在一些实施方式中,提供方边缘设备210和/或客户方边缘设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括输入组件305集合、交换组件310、输出组件315集合和控制器320。在一些实施方式中,设备300的组件可以经由有线连接、无线连接、或者有线和无线链接的组合而互连。
输入组件305包括用于与设备300连接的物理链路的附接点,并且可以是用于输入由设备300接收到的输入流量(例如分组)的入口点。输入组件305可以处理输入流量、诸如通过执行数据链路层封装或解封装。在一些实施方式中,输入组件305可以发送和/或接收分组。在一些实施方式中,输入组件305可以包括输入线卡,其包括一个或多个分组处理组件(例如以集成电路的形式),输入线卡诸如是一个或多个接口卡(ifc)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器、和/或输入队列。
交换组件310将输入组件305与输出组件315互连。在一些实施方式中,交换组件310可以经由一个或多个交叉开关(crossbar)、经由一个或多个总线和/或使用共享存储器来实现。共享存储器可以充当临时缓冲器,用以在分组最终被调度用于传递至输出组件315之前存储来自输入组件305的分组。在一些实施方式中,交换组件310可以使得输入组件305、输出组件315和/或控制器320能够通信。
输出组件315包括用于与设备300连接的物理链路的附接点,并且可以是用于传输由设备300发射的输出流量(例如分组)的出口点。输出组件315可以存储分组和/或可以在输出物理链路上调度分组,以便传输。输出组件315可以支持数据链路层封装和/或解封装、和/或多个高级协议。在一些实施方式中,输出组件315可以发送分组和/或接收分组。在一些实施方式中,输出组件315可以包括输出线卡,其包括一个或多个分组处理组件(例如以集成电路的形式),输出线卡诸如是一个或多个ifc、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实施方式中,输入组件305和输出组件315可以由相同的组件来实现(例如,输入/输出组件可以是输入组件305和输出组件315的组合)。
控制器320包括如下形式的处理器,该形式例如是中央处理单元(cpu)、微控制器、现场可编程门阵列(fpga)、专用集成电路(asic)和/或可以解译和/或执行指令的另一种类型的处理器。该处理器以硬件、固件或者硬件和软件的组合来实现。在一些实施方式中,控制器320可以包括能够被编程以执行功能的一个或多个处理器。
在一些实施方式中,控制器320可以包括随机访问存储器(ram)、只读存储器(rom)和/或存储由控制器320使用的信息和/或指令的另一种类型的动态或静态存储设备(例如闪存、磁性存储器、光学存储器等)。
在一些实施方式中,控制器320可以与连接到设备300的其他设备、网络和/或系统通信,以便关于网络拓扑来交换信息。控制器320可以基于网络拓扑信息来建立路由表、可以基于路由表来创建转发表、并且可以向输入组件305和/或输出组件315转发这些转发表。输入组件305和/或输出组件315可以使用转发表来执行针对输入和/或输出分组的路由查找。
控制器320可以执行本文中描述的一个或多个过程。控制器320可以响应于执行由非瞬态计算机可读介质所存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储空间或者跨多个物理存储设备的存储空间。
软件指令可以从另一个计算机可读介质或者经由通信接口从另一个设备被读取到与控制器320相关联的存储器和/或存储组件中。当被执行时,存储在与控制器320相关联的存储器和/或存储组件中的软件指令可以使得控制器320执行本文中描述的一个或多个过程。附加地或备选地,取代软件指令或者与软件结合起来使用硬件电路、以便执行本文中描述的一个或多个过程。因此,本文中描述的实施方式不限于硬件电路和软件的任何具体组合。
图3中示出的组件的数目和布置被提供为示例。实际上,设备300可以包括除了图3中示出的那些之外的附加组件、更少的组件、不同的组件、被不同地布置的组件。附加地或备选地,设备300的组件集合(一个或多个组件)可以执行被描述为由设备300的另一个组件集合执行的一个或多个功能。
图4是用于在以太网树中处理vlan内的流量的示例过程400的流程图。在一些实施方式中,图4的一个或多个框可以由提供方边缘设备210执行。在一些实施方式中,图4的一个或多个框可以由独立于提供方边缘设备210或者包括提供方边缘设备210的另一个设备或设备群组、诸如客户方边缘设备220来执行。
如图4所示,过程400可以包括从客户方边缘设备接收第一流量(框410)并且确定与该客户方边缘设备相关联的ip地址和树节点类型指示符(框420)。例如,提供方边缘设备210可以(例如经由以太网接口)从与提供方边缘设备210直接通信的本地客户方边缘设备220接收第一流量(例如网络流量、诸如帧、分组、流等)。提供方边缘设备210可以确定与客户方边缘设备220相关联的ip地址(或者ip地址的范围)。例如,ip地址可以标识客户方边缘设备220或者可以标识由客户方边缘设备220服务的lan内的端点设备。在一些实施方式中,提供方边缘设备210可以基于被包括在第一流量中的(例如被包括在分组中的)源ip地址来确定该ip地址。当结合ip地址在本文中描述一些实施方式时,其他层3地址可以在一些实施方式中被使用。
附加地或备选地,提供方边缘设备210可以确定树节点类型指示符,该树节点类型指示符指示客户方边缘设备220是以太网树中的根设备还是叶设备。在一些实施方式中,提供方边缘设备210可以基于第一流量经由其从客户方边缘设备220被接收到的接口,来确定该树节点类型标识符。例如,当提供方边缘设备210被供应以向客户方边缘设备220提供服务(例如给客户方边缘设备220提供对核心网的接入)时,提供方边缘设备210可以被配置(例如由管理员、运营商、或者客户)以经由一个或多个接口与客户方边缘设备220通信。
在供应过程期间,提供方边缘设备210可以存储树节点类型指示符,该树节点类型指示符指示接口和/或客户方边缘设备220是以太网树中的根还是叶。当提供方边缘设备210接收第一流量时,提供方边缘设备210可以标识经由其接收到该流量的接口和/或可以标识从其接收到该流量的客户方边缘设备220,并且可以基于该接口和/或客户方边缘设备220来查找树节点类型指示符。
如图4进一步指示的,过程400可以包括存储ip地址和树节点类型指示符(框430)。例如,提供方边缘设备210可以将ip地址与树节点类型指示符相关联地存储。在一些实施方式中,提供方边缘设备210可以以层3数据结构来存储ip地址和树节点类型指示符,该层3数据结构诸如是路由表、转发表、流表、ip地址表或者虚拟路由和转发(virtualroutingandforwarding,vrf)表。在一些实施方式中,提供方边缘设备210可以以层3数据结构来存储其他路由信息、诸如下一跳指示符、接口标识符、与路由该流量相关联的度量等,下一跳指示符指示流量要被转发到该处以便到达客户方边缘设备220的网络设备(例如提供方边缘设备210)的地址,接口标识符标识流量要经由其被发送以到达客户方边缘设备220的接口。
在一些实施方式中,提供方边缘设备210可以将客户方边缘设备220的mac地址与关联于客户方边缘设备220的树节点类型指示符相关联地存储。例如,提供方边缘设备210可以以层2数据结构来存储mac地址和树节点类型指示符,该层2数据结构诸如mac地址表、内容可寻址存储器(cam)表等。
然而,当提供方边缘设备210从本地客户方边缘设备220(例如与提供方边缘设备210直接地通信或者与由提供方边缘设备210服务的vlan230相关联的本地客户方边缘设备220)向远程客户方边缘设备220(例如不与提供方边缘设备210直接地通信或者与不由提供方边缘设备210服务的vlan230相关联的远程客户方边缘设备220)发送流量时,提供方边缘设备210可以不将树节点类型指示符与远程客户方边缘设备220的mac地址相关联地存储(因为层2信息可能从在提供方边缘设备210之间通信的流量中被移除)。在这种情况下,提供方边缘设备210将不能够使用层2数据结构来查找针对远程客户方边缘设备220的树节点类型指示符以便阻止以太网树中的叶到叶通信。因此,提供方边缘设备210可以以层3数据结构来将树节点类型指示符与ip地址相关联地存储,从而可以针对在两个不同的lan230之间传输的流量而阻止叶到叶通信。
在一些实施方式中,提供方边缘设备210可以在存储ip地址和树节点类型指示符之前确定第一流量是否去往远程客户方边缘设备220和/或远程vlan230。如果第一流量去往远程客户方边缘设备220和/或远程vlan230,那么提供方边缘设备210可以以层3数据结构来存储ip地址和树节点类型指示符(并且在一些实施方式中还可以以层2数据结构来存储mac地址和树节点类型指示符)。然而,如果第一流量去往本地客户方边缘设备220和/或本地vlan230,那么提供方边缘设备210可以阻止以层3数据结构来存储ip地址和树节点类型指示符(但是在一些实施方式中可以以层2数据结构来存储mac地址和树节点类型指示符)。通过这种方式,提供方边缘设备210可以通过阻止不必要的信息被存储在层3数据结构中(例如当来自客户方边缘设备220的流量将不会使用层3信息而被传输至另一个提供方边缘设备210时),来保留存储器资源。
在一些实施方式中,本地客户方边缘设备220可以被称为内部客户方边缘设备220,因为本地客户方边缘设备220在由提供方边缘设备210服务的vlan230的内部。在一些实施方式中,远程客户方边缘设备220可以被称为外部客户方边缘设备220,因为远程客户方边缘设备220在由提供方边缘设备210服务的vlan230的外部。
如图4进一步所示,过程400可以包括向提供方边缘设备提供ip地址和树节点类型指示符(框440)。例如,提供方边缘设备210可以将ip地址与树节点类型指示符相关联地提供给另一个提供方边缘设备210。类似地,提供方边缘设备210可以从其他(多个)提供方边缘设备210接收一个或多个ip地址和对应的(多个)树节点类型指示符。通过这种方式,多个提供方边缘设备210可以交换如下信息,该信息能够被用于阻止在包括提供方边缘设备210的以太网树中的叶到叶通信,从而提高安全性和客户隐私。
例如,提供方边缘设备210可以交换被存储在层3数据结构中的信息。所交换的信息可以被公布、订阅给(多个)提供方边缘设备210、被(多个)提供方边缘设备210请求、推送和/或拉取。在一些实施方式中,这个信息可以使用提供方边缘设备210之间的控制平面消息来被交换。在一些实施方式中,多个提供方边缘设备210可以同步层3数据结构,从而使得每个提供方边缘设备210使用相同的信息来允许和/或阻止客户方边缘设备220之间的通信。
如图4进一步示出的,过程400可以包括从本地客户方边缘设备接收去往远程虚拟局域网(vlan)的第二流量(框450),并且确定指示该本地客户方边缘设备是被分类为根设备还是叶设备的源边缘分类(框460)。例如,提供方边缘设备210可以从本地客户方边缘设备220接收第二流量(例如网络流量)。第二流量可以去往远程vlan230和/或远程客户方边缘设备220。
提供方边缘设备210可以确定指示本地客户方边缘设备220是被分类为以太网树中的根设备还是叶设备的源边缘分类。例如,提供方边缘设备210可以使用层2数据结构和/或层3数据结构来确定该源边缘分类(其可以以层2数据结构和层3数据结构两者来存储,因为本地客户方边缘设备220对于提供方边缘设备210而言是本地的)。如果提供方边缘设备210使用层2数据结构,那么提供方边缘设备210可以使用本地客户方边缘设备220的mac地址来查找针对本地客户方边缘设备220的树节点类型指示符。如果提供方边缘设备210使用层3数据结构,那么提供方边缘设备210可以使用本地客户方边缘设备220的ip地址来查找针对本地客户方边缘设备220的树节点类型指示符。该树节点类型指示符可以是源边缘分类(例如,根设备或叶设备)。
在一些实施方式中,当第二流量要被发送至远程客户方边缘设备220和/或远程vlan230上的端点时,提供方边缘设备210可以使用层3数据结构来查找针对本地客户方边缘设备220的树节点类型指示符。附加地或备选地,当第二流量要被发送至本地客户方边缘设备220和/或本地vlan230上的端点时,提供方边缘设备210可以使用层2数据结构来查找针对本地客户方边缘设备220的树节点类型指示符。这可以保留处理资源,因为如果本地客户方边缘设备220仅本地通信的话,与本地客户方边缘设备220相关联的信息可以不被存储在层3数据结构中。
如图4进一步示出的,过程400可以包括确定指示与远程vlan相关联的远程客户方边缘设备是被分类为根设备还是叶设备的目的地边缘分类(框470),并且基于源边缘分类和/或目的地边缘分类来选择性地丢弃或传输第二流量(框480)。例如,提供方边缘设备210可以确定如下的目的地边缘分类,该目的地边缘分类指示远程客户方边缘设备220和/或远程vlan230上的端点是被分类为以太网树中的根设备还是叶设备。提供方边缘设备210可以使用层3数据结构来确定该目的地边缘分类。例如,提供方边缘设备210可以使用与远程客户方边缘设备220相关联的ip地址来查找针对远程客户方边缘设备220的树节点类型指示符。该树节点类型指示符可以是目的地边缘分类(例如,根设备或叶设备)。
在这种情况下,提供方边缘设备210可能不能够使用层2数据结构来确定针对远程客户方边缘设备220的目的地边缘分类,因为提供方边缘设备210没有将树节点类型指示符与针对关联于远程vlan230的设备的层2信息相关联地存储。因此,提供方边缘设备可以使用层3数据结构来基于从远程提供方边缘设备210接收到的信息确定目的地边缘分类,该远程提供方边缘设备210服务该远程客户方边缘设备220(例如,其与远程客户方边缘设备220直接地通信)。通过这种方式,提供方边缘设备210可以阻止vlan间的叶到叶通信,从而提高以太网树服务中的安全性和客户隐私。
例如,如果远边缘分类指示本地客户方边缘设备220是叶设备,并且如果目的地边缘分类指示远程客户方边缘设备220是叶设备,那么提供方边缘设备210可以丢弃第二流量。针对源和目的地边缘分类的所有其他组合(例如根到根、叶到根、以及根到叶),提供方边缘设备210可以传输第二流量。附加地或备选地,提供方边缘设备210可以使用接入控制列表(acl),该接入控制列表(例如基于(多个)ip地址、(多个)mac地址、和/或(多个)树节点类型指示符)指示是丢弃还是传输从第一客户方边缘设备220到第二客户方边缘设备220的流量。通过这种方式,提供方边缘设备210可以通过阻止叶到叶通信(例如通过阻止客户看到彼此的流量)来提高客户安全性和隐私。
尽管图4示出了一些实施方式中的过程400的示例框,过程400可以包括除了图4中示出的这些之外的另外的框、更少的框、不同的框或者被不同地布置的框。附加地或备选地,过程400的框中的两个或更多框可以并行地被执行。
本文中描述的实施方式允许提供方边缘设备通过将树节点类型指示符与层3信息、诸如互联网协议(ip)地址相关联来共享树节点类型指示符,从而提高安全性和客户方隐私并且允许在以太网树中的vlan间的流量。
前述公开提供了解释说明和描述,但是不旨在于是排除性的或者将实施方式限制为所公开的具体形式。鉴于以上公开内容,修改和变化时可能的,或者可以从实施方式的实践中获得修改和变化。
如本文中所使用的,术语组件旨在于广义地被认为是硬件、固件和/或硬件和软件的组合。
将认识到的,本文中描述的系统和/或方法可以以硬件、固件或硬件和软件的组合的不同形式来实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不受限于这些实施方式。因此,本文中没有关于具体软件代码来描述这些系统和/或方法的操作和行为——要理解的是,软件和硬件可以基于本文中的描述而被设计为实现这些系统和/或方法。
即使在权利要求书中记载和/或在说明书中公开了特征的具体组合,这些组合并非旨在于限制可能的实施方式的公开。实际上,这些特征中的许多特征可以以未在权利要求书中具体记载和/或在说明书中具体公开的方式来组合。尽管所附每个从属权利要求可能直接从属于仅一个权利要求,可能的实施方式的公开包括每个从属权利要求与权利要求书中每个其他权利要求的组合。
除非明确说明,否则本文中使用的任何要素、动作或指令都不被认为是关键或必要的。而且,如本文中所使用的,不定冠词旨在于包括一个或多个项,并且可以与“一个或多个”可互换地使用。此外,如本文中所使用的,术语“集合”旨在于包括一个或多个项(例如,相关项、不相关项、相关和不相关项的组合),并且可以与“一个或多个”可互换地使用。当涉及仅一个项时,使用术语“一个”或类似的语言。而且,如本文中所使用的,术语“具有”、“有”等涉及开放性术语。此外,除非明确说明,否则词组“基于”旨在于指的是“至少部分地基于”。