基于以太网类型的帧传送的制作方法
基于以太网类型的帧传送的制作方法
【专利摘要】本文公开的示例实施例涉及传送或转发帧。接收来自第一设备的帧。该帧包含:包括目的地媒体接入控制(MAC)地址的第一报头、第一报头后的包括源MAC地址的第二报头、第二报头后的包括以太网类型的第三报头。基于以太网类型将该帧传送或转发至第二设备。
【专利说明】基于以太网类型的帧传送
【背景技术】
[0001]在组网【技术领域】中,有在源设备和目的地设备之间传输的各种分组。这些分组可以与一个或多个规范和/或标准关联,例如电气和电子工程师协会(IEEE) 802.3标准、IEEE802.1AE标准、专有规范等等。网络上的网络设备可能被希望处理各种不同类型的分组。
【专利附图】
【附图说明】
[0002]下面的详细描述参考附图,其中:
[0003]图1是根据一个示例的包括能够基于以太网类型传送巾贞的直通(pass through)交换机的系统的框图;
[0004]图2A和图2B是根据各示例的能够基于与各帧关联的以太网类型使帧直通的网络设备的框图;
[0005]图3是根据一个示例的用于基于以太网类型转发帧的方法的流程图;以及
[0006]图4是根据一个示例的能够基于以太网类型确定是否传送帧的网络设备的框图。
【具体实施方式】
[0007]如上面提到的,网络设备可能被希望处理各种协议和分组。这些分组可以遵照一个或多个标准。例如,现今的许多路由器和交换机兼容一个或多个规范或标准,如IEEE802.3。随着技术演进,正在增加附加标准。因此,正在增加像定义IEEE媒体接入控制(MAC)安全标准(MACsec)的IEEE 802.1AE、定义IEEE 802上的可扩展认证协议(EAP)的802.1X等这样的标准。这些标准可以例如通过增加安全特征来帮助使网络更安全。
[0008]然而,并非所有网络基础结构设备支持这些新技术,例如MACsec。在特定情况下,标准规定:为使设备之间的连接安全,在从第一设备到第二设备的路径中的每个网络设备兼容该标准。MACsec标准规定:形成安全关联的设备应是互联的。安全连接的链能够用于从一个设备向另一设备提供信息。在没有直接连接的情况下,不形成MACsec安全关联。
[0009]两个MACsec兼容设备之间的不兼容交换机可能不允许形成MACsec安全通道。因此,所有经由该不兼容设备发送和接收的业务可能要求不进行加密。因此,当管理员试图使用像MACsec协议这样的协议来升级系统以使其更安全时,管理员可能必须升级多个设备。该升级对于个人或公司可能是一大笔花费。
[0010]因此,本文公开的各实施例涉及在MACsec直通模式下使用像中间交换机这样的网络设备。在特定场景中,该网络设备可以是客户基础设施中能够通过软件升级而升级的普通网络设备。在其它场景中,制造商可以销售配置有MACsec直通模式的网络设备。这可以允许不直接连接的MACsec设备形成安全通道。在一个实施例中,该直通特征可以包括忽略802.1X帧和/或具有指示MACsec的以太网类型的MACsec分组。在特定场景中,802.1X帧可以包括0x888E的以太网类型,而MACsec帧可以包括0x88E5的以太网类型。对于消费者,与MACsec兼容设备相比,支持直通的设备可能使用起来更便宜,因为MACsec硬件可以增加单元成本。
[0011]这与802.1标准相反,802.1标准规定像802.1X帧这样的所有桥协议数据单元(BPDU)应由接收网络设备(例如交换机)消耗。在该场景中,中间网络交换机将与该标准的方法相反,并且将802.1X协议分组转发至通往目的地设备的链中的下一设备。如果MACsec客户端发送802.1X协议分组,则MACsec直通网络设备将忽略该分组并将其转发至下一设备,终设备是MACsec设备,如MACsec交换机。然后,MACsec交换机可以对客户端做出响应,并且中间网络设备将忽略正被用于在MACsec兼容设备之间传递的802.1X协议分组。该交换允许支持MACsec的设备协商必要信息以与彼此形成安全通道。在特定实施例中,一旦形成安全通道,中间网络设备就不再检查在MACsec设备之间发送的任何业务。多个直通网络设备可以在两个MACsec兼容终设备之间的路径中使用。
[0012]在特定场景中,以太网类型是以太网帧中的两个八位字节字段。其用于指示哪种协议被封装在以太网帧的净荷中。在现代应用中,以太网类型通常始于0x0800。如下面进一步详细说明的,以太网类型可以在以太网帧中放置在目的地MAC地址和源MAC地址之后。在特定实施例中,以太网类型的列表可以存储在能够用于确定哪些帧被直通的直通交换机处。MACsec巾贞和802.1X巾贞可以在该列表上。此外,该列表可以预设在固件中和/或可以基于用户输入是可变的。
[0013]图1是根据一个示例的包括能够基于以太网类型传送帧的直通交换机的系统的框图。系统100可以包括MACsec交换机102、直通交换机104、MACsec客户端设备106或多个MACsec客户端设备、一个或多个常规客户端设备108a-108n和/或通过通信网络110连接的其它设备。在特定示例中,MACsec客户端设备106、常规客户端设备108a_108n或通过通信网络110连接的其它设备是计算设备,如服务器、客户端计算机、台式计算机、移动计算机等。此外,在特定实施例中,MACsec交换机102、直通交换机104、MACsec客户端设备106和常规客户端设备108可以至少部分地通过处理元件、存储器和/或其它组件来实施。
[0014]在一个示例中,诸如MACsec客户端设备106和/或常规客户端设备108之类的客户端设备可以使用标准以太网帧(如以太网帧120)作为分组来与其它设备通信。以太网帧120包括:描述期望接收者的MAC地址的目的地MAC地址122、描述以太网帧120的发送者的MAC地址的源MAC地址124、以太网类型126、净荷数据128以及可以用于错误检测的帧校验序列(FCS) 130。在特定场景中,当通过直通交换机104在常规客户端设备108和另一设备之间建立连接时,常规客户端设备108可以由直通交换机104例如在接入层上被认证。
[0015]此外,MACsec客户端设备106可以使用一种或多种帧来与其它设备通信,例如标准以太网帧120或MACsec帧140。MACsec帧140可以包括:目的地MAC地址142 ;源MAC地址144 ;安全标签(SecTAG) 146 ;包括加密数据的安全数据148 ;可以基于帧的内容计算的完整性校验值(ICV) 150 ;以及FCS 152。SecTAG 146可以包括:MACsec以太网类型160 ;包括信息的标签控制信息/关联号(TCI/AN) 162,该信息可以用于确定将在分组中使用的MACsec协议版本并且可以包括可用于在安全通道上传输该帧的信息;短长度(SL) 164,该短长度(SL) 164可以用于确定安全数据148在SecTAG 146的最后字节和ICV 150的第一字节之间的字节数;分组编号166 ;以及安全通道标识符168,该安全通道标识符168可以用于识别传输该帧的源地址和端口。在本示例中,MACsec以太网类型160就在源MAC地址144后。因此,以太网类型在MACsec帧140和以太网帧120中位于相同位置。
[0016]在一个示例中,MACsec客户端设备106希望经由直通交换机104连接至另一支持MACsec的设备。在本示例中,可以通过MACsec交换机102处理通信。MACsec客户端设备106可以通过直通交换机104与MACsec交换机102执行802.1X认证。在该场景中,直通交换机104接收来自MACsec客户端设备106的一个或多个802.1X帧,并且解析这些帧以确定这些帧应直通该直通交换机104。这些帧不被直通交换机104消耗,这未被802.1X规范相反。直通该交换机的决定可以基于帧的以太网类型。在一个场景中,802.1X协议帧具有0x888E的以太网类型。该以太网类型可以被配置成直通该直通交换机104至另一设备。在特定场景中,MACsec交换机102可以直接连接至直通交换机104并且可以使用802.1X帧。在其它场景中,可以在MACsec设备之间连接多个直通交换机。每个直通交换机可以被配置成使802.1X帧直通。可以在两个MACsec兼容设备(例如,MACsec客户端设备106和MACsec交换机102)之间发生交换,以进行认证。每个送往MACsec兼容设备/来自MACsec兼容设备的802.1X帧被直通。因此,可以在MACsec兼容设备之间创建安全关联。这可以由通过直通交换机104/或其它直通交换机在直通这些直通交换机的MACsec兼容设备之间实现。
[0017]—旦建立安全关联,MACsec巾贞就可以被发送至MACsec兼容设备/从MACsec兼容设备发送。这些帧可以包括安全数据。直通交换机104可以解析所接收的帧以确定以太网类型。如果以太网类型指示该帧是MACsec帧,例如如果该帧具有0x88E5的以太网类型,则直通交换机104可以将该帧传送至MACsec兼容设备之间的路径中下一设备。在一个示例中,下一设备是这些MACsec设备之间的另一直通交换机。在另一示例中,下一设备是MACsec兼容设备,如MACsec客户端设备106或MACsec交换机102。在特定实施例中,使帧直通意味着将该帧被转发至下一设备而不改变。在特定实施例中,不改变意味着所转发的帧与该帧逐位相同。
[0018]在该阶段,在特定示例中,直通交换机104看不到客户端业务的净荷。因此,直通设备不执行接入层上的任何加强。此类加强可以包括例如接入控制列表(ACL)、服务质量(QoS)以及基于除MAC地址以外的内容的其它过滤策略。在特定示例中,任何这种过滤策略可以在像MACsec交换机102这样的MACsec兼容设备处执行。如上面提到的,当接收其它帧(例如不与关联于直通列表的以太网类型关联的帧)时,此类接入控制可以由直通交换机104实施。
[0019]通信网络110可以使用有线通信、无线通信或其结合。此外,通信网络110可以包括多个子通信网络,如数据网络、无线网络、电话网络等。这些网络可以包括例如公用数据网(如因特网)、局域网(LAN)、广域网(WAN)、城域网(MAN)、有线电视网、光纤网、它们的组合等等。在特定示例中,无线网络可以包括蜂窝网、卫星通信、无线LAN等。此外,通信网络110可以呈设备(例如MACsec交换机、直通交换机、其它交换机、路由器等)之间的直接网络链路的形式。各种通信结构和基础设施可以用于实施通信网络。
[0020]作为示例,MACsec客户端设备106、常规客户端设备108、直通交换机、MACsec交换机等通过通信协议或多个协议彼此通信以及与访问通信网络110的其它组件通信。协议可以是定义通信网络110的节点如何与其它节点交互的一套规则。此外,网络节点之间的通信可以通过交换离散的数据分组或发送消息来实施。分组可以包括净荷信息以及与协议(例如,关于要联系的网络节点的位置的信息)关联的报头(header)信息。
[0021]图2A和图2B是根据各示例的能够基于与各帧关联的以太网类型使帧直通的网络设备200a、200b的框图。各网络设备200a、200b可以是交换机,路由器,网桥,或接收、处理和/或转发分组和/或帧的任何其它计算设备。在一个示例中,内联设备,如互联网协议语音(VoIP)电话,可以被认为是网络设备。在另一示例中,直通交换机104可以被认为是网络设备。如图2A所示,网络设备200a可以包括通信模块210和直通模块212。此外,在特定示例中,网络设备200b还可以包括解析模块214、认证模块216、策略加强模块218、处理器230和机器可读存储介质232。
[0022]如参照系统100讨论的,网络设备200可以接收来自所连接的设备(例如常规客户端设备108、MACsec客户端设备106、MACsec交换机102、其它网络设备等)的帧240。网络设备200的通信模块210接收帧240。如上面提到的,该帧可以包括与目的地MAC地址关联的第一报头部分、第一报头部分后的与源MAC地址关联的第二报头部分、第二报头部分后的与以太网类型关联的第三报头部分。这些帧的示例包括MACsec帧140和以太网帧120。MACsec帧可以与0x88E5以太网类型相关联。在一些示例中,帧可以包括协议分组,如802.1X帧。在一些实施例中,协议分组是与像802.1X这样的一组数字系统消息规则关联的帧。如上面提到的,802.1X帧可以与例如0x888E这样的特定以太网类型关联。
[0023]解析模块214可以执行语法分析,以分析这些报头部分来确定帧240的以太网类型。此外,直通模块212可以基于以太网类型来确定是否将该帧传送至另一设备(例如MACsec客户端设备、MACsec交换机、在通往另一 MACsec兼容设备的路径中的另一直通设备等)。在特定实施例中,帧的传送是在不改变该帧的情况下进行的。如上面提到的,在一个示例中,如果以太网类型反映关联的协议帧(例如具有0x888E的以太网类型的802.1X帧)或具有安全数据的帧(例如具有0x88E5的以太网类型的MACsec帧),则直通模块212确定传送该帧。在特定实施例中,这些以太网类型可以与列表相关联。如果以太网类型匹配该列表上的以太网类型,则该帧被传送。在其它实施例中,该以太网类型确定可以被硬编码。
[0024]在一个示例中,客户端设备发送标准以太网帧。通信模块210接收该帧并解析该帧。以太网类型反映与该列表上的协议不同的另一协议关联的分组。因此,直通模块212不仅仅将该帧传送至其路径上的下一设备。作为替代,网络设备200可以使用认证模块216来对与该帧关联的设备执行接入层认证。此外,策略加强模块218可以执行接入层的策略加强(例如过滤,ACL的使用、QoS等)。
[0025]在另一示例中,MACsec客户端发送802.1X帧以发起通往另一 MACsec设备(例如MACsec交换机)的安全通道。该帧在通信模块210被接收。直通模块212基于该帧的以太网类型确定要传送该帧。因此,直通模块212可以促使通信模块210将未改变的帧发送至该MACsec设备。802.1X帧可以以这种方式直通该网络设备200,以创建MACsec设备之间的安全连接。
[0026]然后,MACsec客户端可以向另一 MACsec设备发送MACsec巾贞。通信模块210可以接收该帧,并且直通模块212可以基于以太网类型确定应使该帧直通。在该场景中,802.1X分组的接入层认证和/或MACsec帧的接入层验证不在网络设备200处执行。然而,接入层认证或验证可以在关联的MACsec交换机处执行。因此,MACsec巾贞可以在它们去往MACsec设备/来自MACsec设备的路上直通该网络设备200。在特定实施例中,接入层认证可以包括802.1X认证,该802.1X认证对客户端具有有效证书和/或在网络上被允许进行验证。在认证成功后,802.1X还可以用于执行MACsec设备之间的MACsec密钥协商(MKA)洽谈,以获得用于其安全通道的MACsec加密的对称密钥。经加密的MACsec帧可以在MACsec设备处使用ICV进行验证。
[0027]处理器230,如适于检索和执行指令的中央处理单元(CPU)或微处理器和/或电子电路,可以被配置成执行本文中描述的模块210、212、214、216中任意模块的功能。处理器230还可以是专用组网处理器。在特定场景中,指令和/或其它信息,如以太网类型列表、缓冲器、缓存等,可以包含在机器可读存储介质232或其它存储器中。而且,在特定实施例中,一些组件可以用于实施本文中描述的其它组件的功能。
[0028]模块210-216中的每个可以包括例如硬件设备,该硬件设备包括用于实施本文描述的功能的电子电路。另外或作为替代,每个模块210-216可以被实施为在网络设备200的机器可读存储介质232上编码的并可由处理器230执行的一系列指令。应该注意,在一些实施例中,一些模块被实施为硬件设备,而其它模块被实施为可执行指令。
[0029]图3是根据一个示例的用于基于以太网类型转发帧的方法的流程图。尽管下面参照网络设备200描述方法300的执行,但是可以使用用于执行方法300的其它合适组件(例如直通交换机104)。另外,用于执行方法300的组件可以散布在多个设备中。方法300可以以存储在像存储介质232这样的机器可读存储介质上的可执行指令的形式和/或以电子电路的形式实施。
[0030]方法300可以在302处开始,并且继续至304——网络设备200的通信模块210接收来自客户端设备(例如常规客户端设备108、MACsec客户端设备106等)的帧。该帧可以包含:包括目的地MAC地址的第一报头字段、第一报头字段后的包括源MAC地址的第二报头字段、第二报头字段后的包括以太网类型的第三报头字段。这种报头的示例包括MACsec中贞140和以太网巾贞120。因此,该巾贞可以是标准MACsec巾贞、标准以太网巾贞、与802.1X规范兼容的帧等。
[0031]然后,网络设备200的解析模块214解析该帧以确定以太网类型(306)。然后,基于该以太网类型是否匹配应被传送的以太网类型,该帧可以被传送或被转发至第二设备(307)。在一个示例中,在308处,如果该帧具有反映MACsec帧(例如0x88E5)或802.1X帧(例如0x888E)的以太网类型,则该帧被转发。第二设备可以是安全设备,如像MACsec交换机102这样的MACsec设备。在特定示例中,该帧可以通过其它直通设备到达第二安全设备。如果该以太网类型不匹配应被直通的以太网类型,则在309处,网络设备200可以处理该帧。然后,在310处,方法300可以停止。网络设备200可以继续其它功能,例如处理来自这些设备之一的另一帧。
[0032]图4是根据一个示例的能够基于以太网类型确定是否传送帧的网络设备的框图。网络设备400包括例如处理器410以及机器可读存储介质420,机器可读存储介质420包括用于基于以太网类型确定是否传送帧的指令422、424、426。网络设备400可以是例如网络交换机、路由器等。
[0033]处理器410可以是至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、至少一个专用处理单元、适于检索和执行在机器可读存储介质420中存储的指令的其它硬件设备、或它们的组合。例如,处理器410可以包括芯片上的多个核,包括多个芯片上的多个核、多个设备上的多个核、或它们的组合。处理器410可以获取、解码和执行指令422、424、426以实施在方法300中详述的任务。作为检索和执行指令的替代或除检索和执行指令之外,处理器410可以包括包含用于执行指令422、424、426的功能的多个电子组件的至少一个集成电路(IC)、其它控制逻辑、其它电子电路、或它们的组合。
[0034]机器可读存储介质420可以是含有或存储可执行指令的任何电子的、磁性的、光学的或其它物理存储设备。因此,机器可读存储介质可以是例如随机存取存储器(RAM)、电可擦写可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(⑶-ROM)等等。因此,机器可读存储介质可以是非瞬态的。如本文详细描述的,机器可读存储介质420可以编码有用于基于以太网类型确定是否将帧传送至第二设备的一系列可执行指令。
[0035]在一个示例中,网络设备400的固件可以被升级成包括指令422、424、426。例如,传统的网络可能包括与特定标准不兼容的交换机,例如不与MACsec兼容的交换机。用于这种传统的交换机的固件可以被升级成包括指令422、424、426以选择性地将帧传送至另一设备。
[0036]在一个示例中,网络设备400可以接收来自第一设备的帧430。帧430可以包含:包括目的地MAC地址的第一报头字段、该第一报头字段后的包括源MAC地址的第二报头字段、该第二报头字段后的包括以太网类型的第三报头字段。如上面提到的,帧430可以是标准MACsec帧和标准以太网帧中至少之一。此外,帧430可以与如802.1X协议这样的协议关联。
[0037]解析指令424可以促使处理器410解析报头字段以确定以太网类型。然后,处理器410可以执行传送指令426以基于以太网类型确定是否将该帧传送至第二设备。在一个示例中,如果以太网类型指示802.1X帧(例如0x888E的以太网类型)或MACsec帧(例如以太网类型0x88E5),则处理器410确定将该帧传送至第二设备。第二设备可以是MACsec兼容设备。此外,第二设备可以是另一网络设备。其它网络设备也可以用于将该帧传送至最终安全设备上。
[0038]在一个示例中,所确定的以太网类型与像802.1X这样的协议分组类型关联。网络设备400可以转发帧430,而不消耗该帧。如上面提到的,这与802.1X协议相反。这可以用于创建第一设备和第二安全设备之间的安全通道。多个这种帧可以被直通该网络设备400,以在终设备之间进行通信来建立该安全通道。
[0039]在另一示例中,所确定的以太网类型与MACsec帧关联。可以在建立安全通道之后发送该帧。该帧可以被解析,并且可以做出关于是否应传送该帧的确定。在本示例中,以太网类型可以是0x88E5并且帧可以被传送。
[0040]在又一示例中,可以接收另一帧。该帧可以具有不在要转发的以太网类型列表上的以太网类型。因此,在处理器410上执行的传送指令426可以基于该以太网类型确定不传送该帧。网络设备400可以对该帧执行其它交换机活动。在该场景中,网络设备400可以基于报头信息对其接收该帧所来自的设备执行接入层认证和/或对该帧执行接入层认证。
【权利要求】
1.一种网络设备,包括: 通信模块,用于接收来自第一设备的帧,其中所述帧包括与目的地媒体接入控制地址关联的第一报头部分、所述第一报头部分后的与源媒体接入控制地址关联的第二报头部分、所述第二报头部分后的与以太网类型关联的第三报头部分;以及 直通模块,用于基于所述以太网类型确定是否将所述帧传送至第二设备而不修改所述帧。
2.根据权利要求1所述的网络设备,进一步包括: 解析模块,用于解析报头部分来确定所述以太网类型。
3.根据权利要求2所述的网络设备,其中如果所述以太网类型是0x88E5和0x888E之一,则所述通信模块传送所述帧。
4.根据权利要求1所述的网络设备,其中所述帧是标准媒体接入控制安全帧和标准以太网帧中至少之一。
5.根据权利要求1所述的网络设备,其中所述帧是协议分组。
6.根据权利要求1所述的网络设备,其中所述第一设备是媒体接入控制安全客户端,所述第二设备是媒体接入控制安全交换机。
7.根据权利要求1所述的网络设备,进一步包括: 认证模块,其中如果所述直通模块确定所述帧不应被直通,则所述认证模块对所述第一设备执行接入层认证。
8.一种存储指令的非瞬态机器可读存储介质,该指令如果由设备的至少一个处理器执行则促使所述设备: 接收来自第一设备的帧,其中所述帧包含包括目的地媒体接入控制地址的第一报头字段、所述第一报头字段后的包括源媒体接入控制地址的第二报头字段、所述第二报头字段后的包括以太网类型的第三报头字段; 解析所述帧来确定所述以太网类型;并且 基于所述以太网类型确定是否将所述帧传送至第二设备。
9.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 如果所述以太网类型是0x88E5和0x888E之一,则将所述帧传送至所述第二设备。
10.根据权利要求8所述的非瞬态机器可读存储介质,其中所述帧是标准媒体接入控制安全巾贞和标准以太网帧中至少之一。
11.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 确定所述以太网类型是要传送的协议分组类型;并且 将所述帧转发至所述第二安全设备而不消耗帧。
12.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 基于所述以太网类型确定不传送所述帧;并且 对所述第一设备执行接入层认证。
13.—种方法,包括: 接收来自客户端设备的帧,其中所述帧包含包括目的地媒体接入控制地址的第一报头字段、所述第一报头字段后的包括源媒体接入控制地址的第二报头字段、所述第二报头字段后的包括以太网类型的第三报头字段; 解析所述帧来确定所述以太网类型;并且 基于所述以太网类型将所述帧转发至第二安全设备。
14.根据权利要求13所述的方法,其中如果所述以太网类型是0x88E5和0x888E之一,则转发所述帧。
15.根据权利要求13所述的方法,其中所述帧是标准媒体接入控制安全帧和标准以太网帧中至少之一。
【文档编号】H04L29/06GK104205764SQ201280071318
【公开日】2014年12月10日 申请日期:2012年3月26日 优先权日:2012年3月26日
【发明者】帕尔韦兹·赛义德·穆罕默德, 莱昂纳德·克内普, 马克·J·希尔顿, 马克·艾伦·格拉韦沃, 肖恩·瓦库莫托 申请人:惠普发展公司,有限责任合伙企业
【专利摘要】本文公开的示例实施例涉及传送或转发帧。接收来自第一设备的帧。该帧包含:包括目的地媒体接入控制(MAC)地址的第一报头、第一报头后的包括源MAC地址的第二报头、第二报头后的包括以太网类型的第三报头。基于以太网类型将该帧传送或转发至第二设备。
【专利说明】基于以太网类型的帧传送
【背景技术】
[0001]在组网【技术领域】中,有在源设备和目的地设备之间传输的各种分组。这些分组可以与一个或多个规范和/或标准关联,例如电气和电子工程师协会(IEEE) 802.3标准、IEEE802.1AE标准、专有规范等等。网络上的网络设备可能被希望处理各种不同类型的分组。
【专利附图】
【附图说明】
[0002]下面的详细描述参考附图,其中:
[0003]图1是根据一个示例的包括能够基于以太网类型传送巾贞的直通(pass through)交换机的系统的框图;
[0004]图2A和图2B是根据各示例的能够基于与各帧关联的以太网类型使帧直通的网络设备的框图;
[0005]图3是根据一个示例的用于基于以太网类型转发帧的方法的流程图;以及
[0006]图4是根据一个示例的能够基于以太网类型确定是否传送帧的网络设备的框图。
【具体实施方式】
[0007]如上面提到的,网络设备可能被希望处理各种协议和分组。这些分组可以遵照一个或多个标准。例如,现今的许多路由器和交换机兼容一个或多个规范或标准,如IEEE802.3。随着技术演进,正在增加附加标准。因此,正在增加像定义IEEE媒体接入控制(MAC)安全标准(MACsec)的IEEE 802.1AE、定义IEEE 802上的可扩展认证协议(EAP)的802.1X等这样的标准。这些标准可以例如通过增加安全特征来帮助使网络更安全。
[0008]然而,并非所有网络基础结构设备支持这些新技术,例如MACsec。在特定情况下,标准规定:为使设备之间的连接安全,在从第一设备到第二设备的路径中的每个网络设备兼容该标准。MACsec标准规定:形成安全关联的设备应是互联的。安全连接的链能够用于从一个设备向另一设备提供信息。在没有直接连接的情况下,不形成MACsec安全关联。
[0009]两个MACsec兼容设备之间的不兼容交换机可能不允许形成MACsec安全通道。因此,所有经由该不兼容设备发送和接收的业务可能要求不进行加密。因此,当管理员试图使用像MACsec协议这样的协议来升级系统以使其更安全时,管理员可能必须升级多个设备。该升级对于个人或公司可能是一大笔花费。
[0010]因此,本文公开的各实施例涉及在MACsec直通模式下使用像中间交换机这样的网络设备。在特定场景中,该网络设备可以是客户基础设施中能够通过软件升级而升级的普通网络设备。在其它场景中,制造商可以销售配置有MACsec直通模式的网络设备。这可以允许不直接连接的MACsec设备形成安全通道。在一个实施例中,该直通特征可以包括忽略802.1X帧和/或具有指示MACsec的以太网类型的MACsec分组。在特定场景中,802.1X帧可以包括0x888E的以太网类型,而MACsec帧可以包括0x88E5的以太网类型。对于消费者,与MACsec兼容设备相比,支持直通的设备可能使用起来更便宜,因为MACsec硬件可以增加单元成本。
[0011]这与802.1标准相反,802.1标准规定像802.1X帧这样的所有桥协议数据单元(BPDU)应由接收网络设备(例如交换机)消耗。在该场景中,中间网络交换机将与该标准的方法相反,并且将802.1X协议分组转发至通往目的地设备的链中的下一设备。如果MACsec客户端发送802.1X协议分组,则MACsec直通网络设备将忽略该分组并将其转发至下一设备,终设备是MACsec设备,如MACsec交换机。然后,MACsec交换机可以对客户端做出响应,并且中间网络设备将忽略正被用于在MACsec兼容设备之间传递的802.1X协议分组。该交换允许支持MACsec的设备协商必要信息以与彼此形成安全通道。在特定实施例中,一旦形成安全通道,中间网络设备就不再检查在MACsec设备之间发送的任何业务。多个直通网络设备可以在两个MACsec兼容终设备之间的路径中使用。
[0012]在特定场景中,以太网类型是以太网帧中的两个八位字节字段。其用于指示哪种协议被封装在以太网帧的净荷中。在现代应用中,以太网类型通常始于0x0800。如下面进一步详细说明的,以太网类型可以在以太网帧中放置在目的地MAC地址和源MAC地址之后。在特定实施例中,以太网类型的列表可以存储在能够用于确定哪些帧被直通的直通交换机处。MACsec巾贞和802.1X巾贞可以在该列表上。此外,该列表可以预设在固件中和/或可以基于用户输入是可变的。
[0013]图1是根据一个示例的包括能够基于以太网类型传送帧的直通交换机的系统的框图。系统100可以包括MACsec交换机102、直通交换机104、MACsec客户端设备106或多个MACsec客户端设备、一个或多个常规客户端设备108a-108n和/或通过通信网络110连接的其它设备。在特定示例中,MACsec客户端设备106、常规客户端设备108a_108n或通过通信网络110连接的其它设备是计算设备,如服务器、客户端计算机、台式计算机、移动计算机等。此外,在特定实施例中,MACsec交换机102、直通交换机104、MACsec客户端设备106和常规客户端设备108可以至少部分地通过处理元件、存储器和/或其它组件来实施。
[0014]在一个示例中,诸如MACsec客户端设备106和/或常规客户端设备108之类的客户端设备可以使用标准以太网帧(如以太网帧120)作为分组来与其它设备通信。以太网帧120包括:描述期望接收者的MAC地址的目的地MAC地址122、描述以太网帧120的发送者的MAC地址的源MAC地址124、以太网类型126、净荷数据128以及可以用于错误检测的帧校验序列(FCS) 130。在特定场景中,当通过直通交换机104在常规客户端设备108和另一设备之间建立连接时,常规客户端设备108可以由直通交换机104例如在接入层上被认证。
[0015]此外,MACsec客户端设备106可以使用一种或多种帧来与其它设备通信,例如标准以太网帧120或MACsec帧140。MACsec帧140可以包括:目的地MAC地址142 ;源MAC地址144 ;安全标签(SecTAG) 146 ;包括加密数据的安全数据148 ;可以基于帧的内容计算的完整性校验值(ICV) 150 ;以及FCS 152。SecTAG 146可以包括:MACsec以太网类型160 ;包括信息的标签控制信息/关联号(TCI/AN) 162,该信息可以用于确定将在分组中使用的MACsec协议版本并且可以包括可用于在安全通道上传输该帧的信息;短长度(SL) 164,该短长度(SL) 164可以用于确定安全数据148在SecTAG 146的最后字节和ICV 150的第一字节之间的字节数;分组编号166 ;以及安全通道标识符168,该安全通道标识符168可以用于识别传输该帧的源地址和端口。在本示例中,MACsec以太网类型160就在源MAC地址144后。因此,以太网类型在MACsec帧140和以太网帧120中位于相同位置。
[0016]在一个示例中,MACsec客户端设备106希望经由直通交换机104连接至另一支持MACsec的设备。在本示例中,可以通过MACsec交换机102处理通信。MACsec客户端设备106可以通过直通交换机104与MACsec交换机102执行802.1X认证。在该场景中,直通交换机104接收来自MACsec客户端设备106的一个或多个802.1X帧,并且解析这些帧以确定这些帧应直通该直通交换机104。这些帧不被直通交换机104消耗,这未被802.1X规范相反。直通该交换机的决定可以基于帧的以太网类型。在一个场景中,802.1X协议帧具有0x888E的以太网类型。该以太网类型可以被配置成直通该直通交换机104至另一设备。在特定场景中,MACsec交换机102可以直接连接至直通交换机104并且可以使用802.1X帧。在其它场景中,可以在MACsec设备之间连接多个直通交换机。每个直通交换机可以被配置成使802.1X帧直通。可以在两个MACsec兼容设备(例如,MACsec客户端设备106和MACsec交换机102)之间发生交换,以进行认证。每个送往MACsec兼容设备/来自MACsec兼容设备的802.1X帧被直通。因此,可以在MACsec兼容设备之间创建安全关联。这可以由通过直通交换机104/或其它直通交换机在直通这些直通交换机的MACsec兼容设备之间实现。
[0017]—旦建立安全关联,MACsec巾贞就可以被发送至MACsec兼容设备/从MACsec兼容设备发送。这些帧可以包括安全数据。直通交换机104可以解析所接收的帧以确定以太网类型。如果以太网类型指示该帧是MACsec帧,例如如果该帧具有0x88E5的以太网类型,则直通交换机104可以将该帧传送至MACsec兼容设备之间的路径中下一设备。在一个示例中,下一设备是这些MACsec设备之间的另一直通交换机。在另一示例中,下一设备是MACsec兼容设备,如MACsec客户端设备106或MACsec交换机102。在特定实施例中,使帧直通意味着将该帧被转发至下一设备而不改变。在特定实施例中,不改变意味着所转发的帧与该帧逐位相同。
[0018]在该阶段,在特定示例中,直通交换机104看不到客户端业务的净荷。因此,直通设备不执行接入层上的任何加强。此类加强可以包括例如接入控制列表(ACL)、服务质量(QoS)以及基于除MAC地址以外的内容的其它过滤策略。在特定示例中,任何这种过滤策略可以在像MACsec交换机102这样的MACsec兼容设备处执行。如上面提到的,当接收其它帧(例如不与关联于直通列表的以太网类型关联的帧)时,此类接入控制可以由直通交换机104实施。
[0019]通信网络110可以使用有线通信、无线通信或其结合。此外,通信网络110可以包括多个子通信网络,如数据网络、无线网络、电话网络等。这些网络可以包括例如公用数据网(如因特网)、局域网(LAN)、广域网(WAN)、城域网(MAN)、有线电视网、光纤网、它们的组合等等。在特定示例中,无线网络可以包括蜂窝网、卫星通信、无线LAN等。此外,通信网络110可以呈设备(例如MACsec交换机、直通交换机、其它交换机、路由器等)之间的直接网络链路的形式。各种通信结构和基础设施可以用于实施通信网络。
[0020]作为示例,MACsec客户端设备106、常规客户端设备108、直通交换机、MACsec交换机等通过通信协议或多个协议彼此通信以及与访问通信网络110的其它组件通信。协议可以是定义通信网络110的节点如何与其它节点交互的一套规则。此外,网络节点之间的通信可以通过交换离散的数据分组或发送消息来实施。分组可以包括净荷信息以及与协议(例如,关于要联系的网络节点的位置的信息)关联的报头(header)信息。
[0021]图2A和图2B是根据各示例的能够基于与各帧关联的以太网类型使帧直通的网络设备200a、200b的框图。各网络设备200a、200b可以是交换机,路由器,网桥,或接收、处理和/或转发分组和/或帧的任何其它计算设备。在一个示例中,内联设备,如互联网协议语音(VoIP)电话,可以被认为是网络设备。在另一示例中,直通交换机104可以被认为是网络设备。如图2A所示,网络设备200a可以包括通信模块210和直通模块212。此外,在特定示例中,网络设备200b还可以包括解析模块214、认证模块216、策略加强模块218、处理器230和机器可读存储介质232。
[0022]如参照系统100讨论的,网络设备200可以接收来自所连接的设备(例如常规客户端设备108、MACsec客户端设备106、MACsec交换机102、其它网络设备等)的帧240。网络设备200的通信模块210接收帧240。如上面提到的,该帧可以包括与目的地MAC地址关联的第一报头部分、第一报头部分后的与源MAC地址关联的第二报头部分、第二报头部分后的与以太网类型关联的第三报头部分。这些帧的示例包括MACsec帧140和以太网帧120。MACsec帧可以与0x88E5以太网类型相关联。在一些示例中,帧可以包括协议分组,如802.1X帧。在一些实施例中,协议分组是与像802.1X这样的一组数字系统消息规则关联的帧。如上面提到的,802.1X帧可以与例如0x888E这样的特定以太网类型关联。
[0023]解析模块214可以执行语法分析,以分析这些报头部分来确定帧240的以太网类型。此外,直通模块212可以基于以太网类型来确定是否将该帧传送至另一设备(例如MACsec客户端设备、MACsec交换机、在通往另一 MACsec兼容设备的路径中的另一直通设备等)。在特定实施例中,帧的传送是在不改变该帧的情况下进行的。如上面提到的,在一个示例中,如果以太网类型反映关联的协议帧(例如具有0x888E的以太网类型的802.1X帧)或具有安全数据的帧(例如具有0x88E5的以太网类型的MACsec帧),则直通模块212确定传送该帧。在特定实施例中,这些以太网类型可以与列表相关联。如果以太网类型匹配该列表上的以太网类型,则该帧被传送。在其它实施例中,该以太网类型确定可以被硬编码。
[0024]在一个示例中,客户端设备发送标准以太网帧。通信模块210接收该帧并解析该帧。以太网类型反映与该列表上的协议不同的另一协议关联的分组。因此,直通模块212不仅仅将该帧传送至其路径上的下一设备。作为替代,网络设备200可以使用认证模块216来对与该帧关联的设备执行接入层认证。此外,策略加强模块218可以执行接入层的策略加强(例如过滤,ACL的使用、QoS等)。
[0025]在另一示例中,MACsec客户端发送802.1X帧以发起通往另一 MACsec设备(例如MACsec交换机)的安全通道。该帧在通信模块210被接收。直通模块212基于该帧的以太网类型确定要传送该帧。因此,直通模块212可以促使通信模块210将未改变的帧发送至该MACsec设备。802.1X帧可以以这种方式直通该网络设备200,以创建MACsec设备之间的安全连接。
[0026]然后,MACsec客户端可以向另一 MACsec设备发送MACsec巾贞。通信模块210可以接收该帧,并且直通模块212可以基于以太网类型确定应使该帧直通。在该场景中,802.1X分组的接入层认证和/或MACsec帧的接入层验证不在网络设备200处执行。然而,接入层认证或验证可以在关联的MACsec交换机处执行。因此,MACsec巾贞可以在它们去往MACsec设备/来自MACsec设备的路上直通该网络设备200。在特定实施例中,接入层认证可以包括802.1X认证,该802.1X认证对客户端具有有效证书和/或在网络上被允许进行验证。在认证成功后,802.1X还可以用于执行MACsec设备之间的MACsec密钥协商(MKA)洽谈,以获得用于其安全通道的MACsec加密的对称密钥。经加密的MACsec帧可以在MACsec设备处使用ICV进行验证。
[0027]处理器230,如适于检索和执行指令的中央处理单元(CPU)或微处理器和/或电子电路,可以被配置成执行本文中描述的模块210、212、214、216中任意模块的功能。处理器230还可以是专用组网处理器。在特定场景中,指令和/或其它信息,如以太网类型列表、缓冲器、缓存等,可以包含在机器可读存储介质232或其它存储器中。而且,在特定实施例中,一些组件可以用于实施本文中描述的其它组件的功能。
[0028]模块210-216中的每个可以包括例如硬件设备,该硬件设备包括用于实施本文描述的功能的电子电路。另外或作为替代,每个模块210-216可以被实施为在网络设备200的机器可读存储介质232上编码的并可由处理器230执行的一系列指令。应该注意,在一些实施例中,一些模块被实施为硬件设备,而其它模块被实施为可执行指令。
[0029]图3是根据一个示例的用于基于以太网类型转发帧的方法的流程图。尽管下面参照网络设备200描述方法300的执行,但是可以使用用于执行方法300的其它合适组件(例如直通交换机104)。另外,用于执行方法300的组件可以散布在多个设备中。方法300可以以存储在像存储介质232这样的机器可读存储介质上的可执行指令的形式和/或以电子电路的形式实施。
[0030]方法300可以在302处开始,并且继续至304——网络设备200的通信模块210接收来自客户端设备(例如常规客户端设备108、MACsec客户端设备106等)的帧。该帧可以包含:包括目的地MAC地址的第一报头字段、第一报头字段后的包括源MAC地址的第二报头字段、第二报头字段后的包括以太网类型的第三报头字段。这种报头的示例包括MACsec中贞140和以太网巾贞120。因此,该巾贞可以是标准MACsec巾贞、标准以太网巾贞、与802.1X规范兼容的帧等。
[0031]然后,网络设备200的解析模块214解析该帧以确定以太网类型(306)。然后,基于该以太网类型是否匹配应被传送的以太网类型,该帧可以被传送或被转发至第二设备(307)。在一个示例中,在308处,如果该帧具有反映MACsec帧(例如0x88E5)或802.1X帧(例如0x888E)的以太网类型,则该帧被转发。第二设备可以是安全设备,如像MACsec交换机102这样的MACsec设备。在特定示例中,该帧可以通过其它直通设备到达第二安全设备。如果该以太网类型不匹配应被直通的以太网类型,则在309处,网络设备200可以处理该帧。然后,在310处,方法300可以停止。网络设备200可以继续其它功能,例如处理来自这些设备之一的另一帧。
[0032]图4是根据一个示例的能够基于以太网类型确定是否传送帧的网络设备的框图。网络设备400包括例如处理器410以及机器可读存储介质420,机器可读存储介质420包括用于基于以太网类型确定是否传送帧的指令422、424、426。网络设备400可以是例如网络交换机、路由器等。
[0033]处理器410可以是至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、至少一个专用处理单元、适于检索和执行在机器可读存储介质420中存储的指令的其它硬件设备、或它们的组合。例如,处理器410可以包括芯片上的多个核,包括多个芯片上的多个核、多个设备上的多个核、或它们的组合。处理器410可以获取、解码和执行指令422、424、426以实施在方法300中详述的任务。作为检索和执行指令的替代或除检索和执行指令之外,处理器410可以包括包含用于执行指令422、424、426的功能的多个电子组件的至少一个集成电路(IC)、其它控制逻辑、其它电子电路、或它们的组合。
[0034]机器可读存储介质420可以是含有或存储可执行指令的任何电子的、磁性的、光学的或其它物理存储设备。因此,机器可读存储介质可以是例如随机存取存储器(RAM)、电可擦写可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(⑶-ROM)等等。因此,机器可读存储介质可以是非瞬态的。如本文详细描述的,机器可读存储介质420可以编码有用于基于以太网类型确定是否将帧传送至第二设备的一系列可执行指令。
[0035]在一个示例中,网络设备400的固件可以被升级成包括指令422、424、426。例如,传统的网络可能包括与特定标准不兼容的交换机,例如不与MACsec兼容的交换机。用于这种传统的交换机的固件可以被升级成包括指令422、424、426以选择性地将帧传送至另一设备。
[0036]在一个示例中,网络设备400可以接收来自第一设备的帧430。帧430可以包含:包括目的地MAC地址的第一报头字段、该第一报头字段后的包括源MAC地址的第二报头字段、该第二报头字段后的包括以太网类型的第三报头字段。如上面提到的,帧430可以是标准MACsec帧和标准以太网帧中至少之一。此外,帧430可以与如802.1X协议这样的协议关联。
[0037]解析指令424可以促使处理器410解析报头字段以确定以太网类型。然后,处理器410可以执行传送指令426以基于以太网类型确定是否将该帧传送至第二设备。在一个示例中,如果以太网类型指示802.1X帧(例如0x888E的以太网类型)或MACsec帧(例如以太网类型0x88E5),则处理器410确定将该帧传送至第二设备。第二设备可以是MACsec兼容设备。此外,第二设备可以是另一网络设备。其它网络设备也可以用于将该帧传送至最终安全设备上。
[0038]在一个示例中,所确定的以太网类型与像802.1X这样的协议分组类型关联。网络设备400可以转发帧430,而不消耗该帧。如上面提到的,这与802.1X协议相反。这可以用于创建第一设备和第二安全设备之间的安全通道。多个这种帧可以被直通该网络设备400,以在终设备之间进行通信来建立该安全通道。
[0039]在另一示例中,所确定的以太网类型与MACsec帧关联。可以在建立安全通道之后发送该帧。该帧可以被解析,并且可以做出关于是否应传送该帧的确定。在本示例中,以太网类型可以是0x88E5并且帧可以被传送。
[0040]在又一示例中,可以接收另一帧。该帧可以具有不在要转发的以太网类型列表上的以太网类型。因此,在处理器410上执行的传送指令426可以基于该以太网类型确定不传送该帧。网络设备400可以对该帧执行其它交换机活动。在该场景中,网络设备400可以基于报头信息对其接收该帧所来自的设备执行接入层认证和/或对该帧执行接入层认证。
【权利要求】
1.一种网络设备,包括: 通信模块,用于接收来自第一设备的帧,其中所述帧包括与目的地媒体接入控制地址关联的第一报头部分、所述第一报头部分后的与源媒体接入控制地址关联的第二报头部分、所述第二报头部分后的与以太网类型关联的第三报头部分;以及 直通模块,用于基于所述以太网类型确定是否将所述帧传送至第二设备而不修改所述帧。
2.根据权利要求1所述的网络设备,进一步包括: 解析模块,用于解析报头部分来确定所述以太网类型。
3.根据权利要求2所述的网络设备,其中如果所述以太网类型是0x88E5和0x888E之一,则所述通信模块传送所述帧。
4.根据权利要求1所述的网络设备,其中所述帧是标准媒体接入控制安全帧和标准以太网帧中至少之一。
5.根据权利要求1所述的网络设备,其中所述帧是协议分组。
6.根据权利要求1所述的网络设备,其中所述第一设备是媒体接入控制安全客户端,所述第二设备是媒体接入控制安全交换机。
7.根据权利要求1所述的网络设备,进一步包括: 认证模块,其中如果所述直通模块确定所述帧不应被直通,则所述认证模块对所述第一设备执行接入层认证。
8.一种存储指令的非瞬态机器可读存储介质,该指令如果由设备的至少一个处理器执行则促使所述设备: 接收来自第一设备的帧,其中所述帧包含包括目的地媒体接入控制地址的第一报头字段、所述第一报头字段后的包括源媒体接入控制地址的第二报头字段、所述第二报头字段后的包括以太网类型的第三报头字段; 解析所述帧来确定所述以太网类型;并且 基于所述以太网类型确定是否将所述帧传送至第二设备。
9.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 如果所述以太网类型是0x88E5和0x888E之一,则将所述帧传送至所述第二设备。
10.根据权利要求8所述的非瞬态机器可读存储介质,其中所述帧是标准媒体接入控制安全巾贞和标准以太网帧中至少之一。
11.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 确定所述以太网类型是要传送的协议分组类型;并且 将所述帧转发至所述第二安全设备而不消耗帧。
12.根据权利要求8所述的非瞬态机器可读存储介质,进一步包括指令,该指令如果由所述至少一个处理器执行则促使所述设备: 基于所述以太网类型确定不传送所述帧;并且 对所述第一设备执行接入层认证。
13.—种方法,包括: 接收来自客户端设备的帧,其中所述帧包含包括目的地媒体接入控制地址的第一报头字段、所述第一报头字段后的包括源媒体接入控制地址的第二报头字段、所述第二报头字段后的包括以太网类型的第三报头字段; 解析所述帧来确定所述以太网类型;并且 基于所述以太网类型将所述帧转发至第二安全设备。
14.根据权利要求13所述的方法,其中如果所述以太网类型是0x88E5和0x888E之一,则转发所述帧。
15.根据权利要求13所述的方法,其中所述帧是标准媒体接入控制安全帧和标准以太网帧中至少之一。
【文档编号】H04L29/06GK104205764SQ201280071318
【公开日】2014年12月10日 申请日期:2012年3月26日 优先权日:2012年3月26日
【发明者】帕尔韦兹·赛义德·穆罕默德, 莱昂纳德·克内普, 马克·J·希尔顿, 马克·艾伦·格拉韦沃, 肖恩·瓦库莫托 申请人:惠普发展公司,有限责任合伙企业
最新回复(0)