本公開的實施例涉及在EVPN中部署安全鄰居發現。描述了用于提供對以太網虛擬專用網絡(EVPN)中的鄰居發現的安全性擴展的技術。例如，實現以太網虛擬專用網絡(EVPN)的網絡設備接收鄰居發現響應消息，鄰居發現響應消息包括由第二網絡設備發起而不是由第一網絡設備發起的新鮮值。網絡設備處理鄰居發現響應消息，鄰居發現響應消息包括由第二網絡設備發起而不是由第一網絡設備發起的新鮮值。

本申請要求于2019年10月18日提交的美國臨時專利申請第62/923,070號的權益，并且要求于2020年4月28日提交的美國專利申請第16/860,828號的權益，以上案件均通過整體引用并入于此。

技術領域

本公開涉及計算機網絡，并且更具體地，涉及在計算機網絡內轉發業務。

背景技術

計算機網絡是可以交換數據和共享資源的互連計算設備的集合。示例網絡設備包括：交換機或其他層2(“L2”)設備，該交換機或其他層2(“L2”)設備在開放系統互連(“OSI”)參考模型的第二層(即數據鏈路層)內操作；以及路由器或其他層3(“L3”)設備，該路由器或其他層3(“L3”)設備在OSI參考模型的第三層(即網絡層)內操作。常見的L3操作包括根據L3協議(諸如互聯網協議(“IP”))所執行的操作。計算機網絡內的網絡設備通常包括：為網絡設備提供控制平面功能性的控制單元、和用于路由或交換數據單元的轉發單元。

在L3網絡中，網絡設備可以使用鄰居發現協議(NDP)來發現其他網絡設備和鏈路層地址的存在，并維護關于到活動鄰居的路徑的可達性信息。例如，實現NDP的設備發送或接收五種類型的鄰居發現消息：路由器懇求(RS)、路由器通告(RA)、鄰居懇求(NS)、鄰居通告(NA)和重定向。在一些示例中，NDP可以被擴展為包括安全性擴展，諸如安全鄰居發現(SEND)。SEND為網絡設備提供了加密機制，以保護鄰居發現消息的遞送和認證。作為一個示例，發送器設備發起新鮮值(nonce)，存儲新鮮值，并發送包括新鮮值的鄰居發現請求消息，例如鄰居懇求消息，以防止重放攻擊。如果發送器設備接收到鄰居發現響應消息，例如鄰居通告消息，包括與由發送器設備存儲的新鮮值匹配的新鮮值，則發送器設備確定鄰居發現響應消息不是重放攻擊，并學習鏈路層地址。如果鄰居發現響應消息不包括與由發送器設備存儲的新鮮值匹配的新鮮值，則發送器設備棄用(drop)鄰居發現響應消息。

發明內容

大體上，描述了用于提供對以太網虛擬專用網絡(EVPN)中的鄰居發現的安全性擴展的技術。例如，網絡設備例如使用鄰居發現協議(NDP)發送和接收鄰居發現消息，以發現近鄰設備和鏈路層地址的存在，并維護關于到活動鄰居的路徑的可達性信息。在一些示例中，NDP被擴展為包括安全性擴展，諸如安全鄰居發現(SEND)。網絡設備使用SEND生成鄰居發現消息，這些鄰居發現消息攜帶基于公鑰的簽名，以用于保護和認證鄰居發現消息。例如，網絡設備在鄰居發現消息中包括新鮮值以防止重放攻擊。在本文中所描述的示例中，即使接收網絡設備并未發起新鮮值，網絡設備也被配置為處理接收到的鄰居發現響應消息。

在主機設備以折疊的IP結構被多宿主(multi-home)到以太網段的多個網絡設備(例如提供方邊緣(PE)設備)的一個示例中，主機設備可以響應于接收到包括來自第一PE設備的新鮮值的鄰居發現請求消息(例如鄰居懇求消息)，向以太網段的第二PE設備發送包括新鮮值的鄰居通告消息。即，第一PE設備可以發送具有新鮮值的鄰居懇求消息，但是第二PE設備接收具有第一PE設備所發起的新鮮值的鄰居通告消息。第二PE設備不是因為第二PE設備由于第二PE設備未發起新鮮值而不能驗證鄰居通告消息中的新鮮值所以棄用鄰居通告消息，而是可以被配置為放寬對到達被耦合到多宿主主機設備的第一PE設備和第二PE設備的以太網段標識符(ESI)接口的鄰居發現消息的新鮮值驗證要求。例如，第一PE設備和第二PE設備可以各自被配置為確定鄰居通告消息是否到達被連接到主機的ESI接口，并且如果是這樣，則即使接收PE設備未發起新鮮值，PE設備也可以從鄰居通告消息中棄用新鮮值。