[发明专利]在EVPN中部署安全邻居发现

权利要求书

1.一种处理邻居发现响应消息的方法，包括：

由实现以太网虚拟专用网络EVPN的第一网络设备接收邻居发现响应消息，所述邻居发现响应消息包括由第二网络设备发起的新鲜值，其中所述第一网络设备和所述第二网络设备通过以太网段并通过多宿主的中间网络设备被耦合到主机设备；

由所述第一网络设备确定所述邻居发现响应消息的所述新鲜值是否与被存储在所述第一网络设备中的新鲜值匹配；

响应于确定所述邻居发现响应消息的所述新鲜值与被存储在所述第一网络设备中的新鲜值不匹配，由所述第一网络设备确定所述邻居发现响应消息是否在所述以太网段的以太网段标识符ESI接口上被接收；以及

响应于确定所述邻居发现响应消息在所述以太网段的所述ESI接口上被接收，从所述邻居发现响应消息中弃用所述新鲜值，以从所述邻居发现响应消息中学习链路层地址。

2.根据权利要求1所述的方法，其中所述第一网络设备和所述第二网络设备用作层2网关和层3网关两者。

3.根据权利要求1所述的方法，其中所述邻居发现响应消息包括第一邻居发现响应消息，所述第一邻居发现响应消息包括由所述第二网络设备发起的第一新鲜值，所述方法还包括：

由所述第一网络设备接收第二邻居发现响应消息，所述第二邻居发现响应消息包括由所述第二网络设备发起的第二新鲜值，

由所述第一网络设备确定所述第二邻居发现响应消息的所述第二新鲜值是否与被存储在所述第一网络设备中新鲜值匹配；

响应于确定所述第二邻居发现响应消息的所述第二新鲜值与被存储在所述第一网络设备中的所述新鲜值不匹配，确定所述第二邻居发现响应消息的目的地地址是所述第二网络设备的物理IP地址；以及

响应于确定所述第二邻居发现响应消息的所述目的地地址是所述第二网络设备的所述物理IP地址，由所述第一网络设备经由重叠网络向所述第二网络设备发送所述第二邻居发现响应消息。

4.根据权利要求1至3中任一项所述的方法，其中所述邻居发现响应消息包括使用邻居发现协议NDP被配置的邻居通告消息。

5.根据权利要求4所述的方法，其中所述邻居发现协议被扩展为包括安全性扩展，所述安全性扩展包括安全邻居发现SEND。

6.一种实现以太网虚拟专用网络EVPN的第一网络设备，包括：

一个或多个处理器，被耦合到存储器，其中所述一个或多个处理器被配置为：

接收邻居发现响应消息，所述邻居发现响应消息包括由第二网络设备发起的新鲜值，其中所述第一网络设备和所述第二网络设备通过以太网段并通过多宿主中间网络设备被耦合到主机设备；

确定所述邻居发现响应消息的所述新鲜值是否与被存储在所述第一网络设备中的新鲜值匹配；

响应于确定所述邻居发现响应消息的所述新鲜值与被存储在所述第一网络设备中的新鲜值不匹配，确定所述邻居发现响应消息的目的地地址是所述第二网络设备的物理IP地址；以及

响应于确定所述邻居发现响应消息的所述目的地地址是所述第二网络设备的所述物理IP地址，经由重叠网络向所述第二网络设备发送所述邻居发现响应消息。

7.根据权利要求6所述的第一网络设备，其中所述邻居发现响应消息包括使用邻居发现协议NDP被配置的邻居通告消息。

8.根据权利要求7所述的第一网络设备，其中所述邻居发现协议被扩展为包括安全性扩展，所述安全性扩展包括安全邻居发现SEND。

9.一种非瞬态计算机可读存储介质，包括指令，所述指令用于使第一网络设备的一个或多个可编程处理器：

从被耦合到所述第一网络设备的本地主机设备拦截第一邻居发现响应消息，所述第一邻居发现响应消息包括新鲜值，其中所述第一邻居发现响应消息由所述本地主机设备响应于第一邻居发现请求消息而被生成，其中所述第一邻居发现响应消息以远程主机设备为目的地；

确定所述邻居发现响应消息的所述新鲜值是否与被存储在所述第一网络设备中的新鲜值匹配；以及

响应于确定述邻居发现响应消息的所述新鲜值与被存储在所述第一网络设备中新鲜值不匹配，存储所述新鲜值；

丢弃所述第一邻居发现响应消息；

向所述本地主机设备发送第二邻居发现请求消息，其中所述第二邻居发现请求消息包括所述新鲜值；

从所述本地主机设备接收包括所述新鲜值的第二邻居发现响应消息；以及

响应于确定所述新鲜值被存储在所述第一网络设备中，存储从所述第二邻居发现响应消息学习的一个或多个链路层地址。