CN106230668B - 接入控制方法及装置 - Google Patents

接入控制方法及装置 Download PDF

Info

Publication number
CN106230668B
CN106230668B CN201610561352.3A CN201610561352A CN106230668B CN 106230668 B CN106230668 B CN 106230668B CN 201610561352 A CN201610561352 A CN 201610561352A CN 106230668 B CN106230668 B CN 106230668B
Authority
CN
China
Prior art keywords
vxlan
user
network element
user group
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610561352.3A
Other languages
English (en)
Other versions
CN106230668A (zh
Inventor
田妍君
赵海峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201610561352.3A priority Critical patent/CN106230668B/zh
Publication of CN106230668A publication Critical patent/CN106230668A/zh
Application granted granted Critical
Publication of CN106230668B publication Critical patent/CN106230668B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2852Metropolitan area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2876Handling of subscriber policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种接入控制方法及装置,其中,该方法应用于BRAS网元,该方法包括:在接收到核心设备发来的VXLAN报文之后,对该VXLAN报文进行解封装得到来自用户终端的数据报文;若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;若没有命中第一用户策略,则转发该数据报文。

Description

接入控制方法及装置
技术领域
本申请涉及网络通信技术领域,特别涉及一种接入控制方法及装置。
背景技术
宽带远程接入服务器(Broadband Remote Access Server,BRAS)是面向宽带网络应用的接入网关,它位于骨干网的边缘层,可以完成用户带宽的IP(Internet Protocol,因特网协议)/ATM(Asynchronous Transfer Mode,异步传输模式)网的数据接入,实现商业楼宇及小区住户的宽带上网。
在城域网中包括多个园区网络,每一个园区网络连接一个BRAS设备,通过该BRAS设备对用户进行接入认证,并且,该BRAS设备上配置该园区网络对应的IP网段的网关。在任一园区网络中的用户终端进行接入认证的过程中,DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器会根据该用户所属园区网络查找到对应的IP网段,从该IP网段中选择一个IP地址分配给该用户终端。
后续,在该用户终端漫游到另一个园区网络时,为了描述方便,将漫游前的园区网络称为源园区网络,将漫游到的园区网络称为目的园区网络,由于源园区网络和目的园区网络对应的IP网段不同,这两个园区网络的网关不同,因此,该用户终端需要重新申请IP地址,DHCP服务器会重新为该用户终端分配目的园区网络对应的IP网段中的IP地址。
发明内容
有鉴于此,本申请提供一种接入控制方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种接入控制方法,该方法应用于BRAS网元,该方法包括:
在接收到核心设备发来的VXLAN报文之后,对该VXLAN报文进行解封装得到来自用户终端的数据报文;
若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;
若没有命中第一用户策略,则转发该数据报文。
另一方面,还提供了一种接入控制方法,该方法应用于AAA服务器,该方法包括:
在接收到BRAS网元发来的来自用户终端的地址申请报文之后,判断用户是否已经认证过,其中,用户终端的MAC地址为第一MAC地址;若没有认证过,则建立第一MAC地址、该地址申请报文中携带的第一核心设备的ID和第一核心设备接收到地址申请报文的第一下行端口的ID的对应关系;
在接收到BRAS网元发来的来自用户终端的认证请求报文之后,对用户进行认证,并在认证通过后,将第一MAC地址与该认证请求报文中携带的用户名和密码绑定;确定BRAS网元上的与用户所属用户组对应的第一用户组VXLAN,建立第一MAC地址与第一用户组VXLAN的对应关系,向第一核心设备发送携带有第一MAC地址、第一下行端口的ID、以及第一用户组VXLAN的配置信息,以使第一核心设备在从第一下行端口接收到用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过第一用户组VXLAN对应的VXLAN隧道转发给BRAS网元。
又一方面,还提供了一种接入控制装置,该装置应用于BRAS网元中,该装置包括:
接收模块,用于接收核心设备发来的VXLAN报文;
解封装模块,用于在接收模块接收到核心设备发来的VXLAN报文之后,对VXLAN报文进行解封装得到来自用户终端的数据报文;
匹配模块,用于在解封装模块对接收模块接收到的VXLAN报文进行解封装得到来自用户终端的数据报文之后,若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;
发送模块,用于若匹配模块判断出该数据报文没有命中第一用户策略,则转发该数据报文。
又一方面,还提供了一种接入控制装置,该装置应用于AAA服务器中,该装置包括:
接收模块,用于接收BRAS网元发来的来自用户终端的地址申请报文和认证请求报文,其中,用户终端的MAC地址为第一MAC地址;
判断模块,用于在接收模块接收到BRAS网元发来的来自用户终端的地址申请报文之后,判断用户是否已经认证过;
认证模块,用于在接收模块接收到BRAS网元发来的来自用户终端的认证请求报文之后,对用户进行认证,并在认证通过后,将第一MAC地址与认证请求报文中携带的用户名和密码绑定;
关系建立模块,用于若判断模块判断出用户没有认证过,则建立第一MAC地址、地址申请报文中携带的第一核心设备的标识ID和第一核心设备接收到地址申请报文的第一下行端口的ID的对应关系;还用于在认证模块对用户进行认证通过后,确定BRAS网元上的与用户所属用户组对应的第一用户组VXLAN,建立第一MAC地址与第一用户组VXLAN的对应关系;
发送模块,用于在关系建立模块建立了第一MAC地址与第一用户组VXLAN的对应关系之后,向第一核心设备发送携带有第一MAC地址、第一下行端口的ID、以及第一用户组VXLAN的配置信息,以使第一核心设备在从第一下行端口接收到用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过第一用户组VXLAN对应的VXLAN隧道转发给BRAS网元。
通过本申请的以上技术方案,在核心设备与BRAS网元之间建立VXLAN隧道,从而构建VXLAN网络;核心设备接收到用户终端发来的数据报文之后,进行VXLAN封装后将VXLAN报文发送给BRAS网元;BRAS网元在接收到该VXLAN报文之后,进行解封装得到该数据报文,若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;最终,在没有命中第一用户策略时,将该数据报文转发出去。由于在BRAS网元上配置了与用户组VXLAN对应的用户策略,在接收到任一用户组VXLAN内的用户数据报文后,将该用户数据报文与对应的用户策略进行匹配,在没有命中该用户策略时才转发该用户数据报文,从而实现了对用户终端接入网络的接入控制。另外,由于是在BRAS网元上配置用户策略以进行网络接入控制,而BRAS网元的数量相对较少,因此,减少了配置工作量。
附图说明
图1是本申请一示例性实施例示出的城域网的一种组网架构示意图;
图2是本申请一示例性实施例示出的城域网的另一种组网架构示意图;
图3是本申请一示例性实施例示出的用户首次认证时的接入控制的交互流程图;
图4是本申请一示例性实施例示出的用户终端迁移到同一核心设备的同一下行端口时的接入控制的交互流程图;
图5是本申请一示例性实施例示出的用户终端迁移到另一核心设备的下行端口时的接入控制的交互流程图;
图6是在图1中增加BRAS网元12后的城域网的组网架构示意图;
图7是在图2中增加BRAS网元12后的城域网的组网架构示意图;
图8是本申请一示例性实施例示出的新增了BRAS网元12后,下线后再次上线的用户的接入控制的交互流程图;
图9是本申请一示例性实施例示出的BRAS网元12的状态变为不可用时,原来接入BRAS网元12的在线用户的接入控制的交互流程图;
图10是本申请一示例性实施例示出的BRAS网元的硬件结构示意图;
图11是本申请一示例性实施例示出的应用于BRAS网元的接入控制装置的一种结构示意图;
图12是本申请一示例性实施例示出的应用于BRAS网元的接入控制装置的另一种结构示意图;
图13是本申请一示例性实施例示出的AAA服务器的硬件结构示意图;
图14是本申请一示例性实施例示出的应用于AAA服务器的接入控制装置的一种结构示意图;
图15是本申请一示例性实施例示出的应用于AAA服务器的接入控制装置的另一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
如图1所示,为多个园区网络分配一个BRAS网元,此时,这多个园区网络中的核心设备均连接至该BRAS网元。或者,如图2所示,为一个园区网络分配一个BRAS网元,此时,该园区网络中的核心设备均连接至该BRAS网元。其中,BRAS网元可以是物理BRAS设备,也可以是物理服务器中的vBRAS(BRAS虚拟化软件)。
在BRAS网元与其连接的每一个核心设备之间建立VXLAN隧道,从而构建VXLAN网络。
以图1和图2中的BRAS网元11及其连接的核心设备21和核心设备22为例进行说明。
1、初始化配置过程:
AAA(Authentication Authorization Accounting,验证授权计费)服务器上保存有BRAS网元11上的每一个用户组对应的用户组VXLAN,用户与用户组的对应关系,以及游客VXLAN与IP网段的对应关系,用户组VXLAN与IP网段的对应关系。
例如,共有两个用户组:用户组A和用户组B,其中,在BRAS网元11上,用户组A对应的用户组VXLAN为VXLAN 31,用户组B对应的用户组VXLAN为VXLAN 32。游客VXLAN统一为VXLAN0,则VXLAN0对应IP网段51、与用户组A对应的VXLAN31对应IP网段52、与用户组B对应的VXLAN32对应IP网段53。
AAA服务器向BRAS网元11、核心设备21、核心设备22和DHCP服务器发送配置信息,以使这些设备根据接收到的配置信息执行如下配置过程:
BRAS网元11创建游客VXLAN和每一个用户组对应的用户组VXLAN。例如,BRAS网元11创建VXLAN0、用户组A对应的VXLAN31、用户组B对应的VXLAN32。
另外,BRAS网元11在VXLAN0上使能安全认证,在通过VXLAN0对应的VXLAN隧道接收到非协议报文后,触发安全认证。BRAS网元11配置每一个VXLAN对应的IP网段的网关,例如,VXLAN0对应IP网段51,VXLAN31对应IP网段52,VXLAN32对应IP网段53。
BRAS网元11配置用于限定用户组VXLAN的用户策略,即,禁止该用户组VXLAN内的数据报文访问至少一个IP地址,例如,用于禁止VXLAN31内的数据报文访问至少一个IP地址的用户策略,以及用于禁止VXLAN32内的数据报文访问至少一个IP地址的用户策略。
核心设备21创建VXLAN0、VXLAN31和VXLAN32,将本设备上连接汇聚交换机的所有下行端口加入到VXLAN0中。其中,VXLAN0、VXLAN31、VXLAN32对应的VXLAN隧道的目的IP地址为BRAS网元11。另外,核心设备21上使能DHCP Relay(中继)功能,通过该功能,在接收到来自用户终端的地址申请报文之后,将本核心设备的ID(标识)和接收到该地址申请报文的下行端口的ID携带在该地址申请报文中,发送给BRAS网元11。
同样,核心设备22也会执行上述核心设备21执行的配置过程。
DHCP服务器分别为VXLAN0、VXLAN31和VXLAN32创建对应的IP地址池,每一个IP地址池中保存有对应IP网段的所有IP地址。例如,VXLAN0对应包含IP网段51的IP地址池61,VXLAN31对应包含IP网段52的IP地址池62,VXLAN32对应包含IP网段53的IP地址池63。
2、首次认证过程
如图3所示,用户(用户使用的终端称为用户终端)进行首次认证时的交互流程包括以下步骤:
步骤S101,用户终端发出用于申请IP地址的地址申请报文,其中,该地址申请报文的源MAC地址是USER-MAC;核心设备21通过下行端口P1接收到该地址申请报文之后,将本核心设备的ID和P1携带在该地址申请报文中,根据P1和USER-MAC查找对应的VXLAN,结果没有查找到,然后,根据P1查找对应的VXLAN,结果查找到VXLAN0,根据VXLAN0对应的VXLAN隧道,对该地址申请报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S102,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的地址申请报文,将该VXLAN报文所属的VXLAN0携带在该地址申请报文中,发送给DHCP服务器和AAA服务器;
步骤S103,DHCP服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否绑定了IP地址,结果判断出没有绑定,则确定该地址申请报文中携带的VXLAN0对应的IP地址池61,从该IP地址池61中选择一个未被占用的IP地址IP71,将IP71携带在应答报文中发送给用户终端;
DHCP服务器为用户终端分配了IP71之后,会向AAA服务器发送通知,该通知中包括:USER-MAC、VXLAN0和IP71;AAA服务器接收到该通知之后,发现该通知中携带的VXLAN是VXLAN0,则不做处理。
步骤S104,AAA服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否已经绑定了用户名和密码,结果判断出没有绑定,说明该用户没有认证过,该用户是首次认证,则保存USER-MAC、该地址申请报文中携带的核心设备21的ID、以及P1的对应关系;
步骤S105,用户终端接收到DHCP服务器发来的应答报文之后,将本设备的IP地址配置为该应答报文中携带的IP71,当需要访问网络时,用户终端发出数据报文,其中,该数据报文的源MAC地址为USER-MAC、源IP地址为IP71;核心设备21通过P1接收到该数据报文之后,根据P1和USER-MAC查找对应的VXLAN,结果没有查找到,然后,根据P1查找对应的VXLAN,结果查找到VXLAN0,则根据VXLAN0对应的VXLAN隧道,对该数据报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S106,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该VXLAN报文所属的VXLAN为VXLAN0,VXLAN0使能了安全认证,则BRAS网元11将该数据报文发送给AAA服务器,以触发用户终端发出认证请求报文;
AAA服务器接收到该数据报文之后,从该数据报文中获取用户名和密码,结果没有获取到,则AAA服务器向用户终端推送用于认证的认证页面。
其中,当采用Portal(门户)认证或802.1x认证时,通过该认证页面获取到用户名和密码之后,用户终端发出携带有用户名和密码的HTTP(HyperText Transfer Protocol,超文本传输协议)报文,该HTTP报文即为认证请求报文。
步骤S107,用户终端发出携带有用户名和密码的认证请求报文,其中,该认证请求报文的源MAC地址为USER-MAC、源IP地址为IP71;核心设备21通过P1接收到该认证请求报文之后,根据P1和USER-MAC查找对应的VXLAN,结果没有查找到,然后,根据P1查找对应的VXLAN,结果查找到VXLAN0,则根据VXLAN0对应的VXLAN隧道,对该认证请求报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S108,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的认证请求报文,由于该VXLAN报文所属的VXLAN为VXLAN0,VXLAN0使能了安全认证,则BRAS网元11将该认证请求报文发送给AAA服务器;
步骤S109,AAA服务器接收到该认证请求报文之后,判断该认证请求报文的源MAC地址USER-MAC是否绑定了用户名和密码,结果判断出没有绑定,说明该用户没有认证过,该用户是首次认证,则根据该认证请求报文中携带的用户名和密码,对该用户进行认证,在认证通过后,将USER-MAC与该用户名和密码绑定,确定该用户属于用户组A之后,查找到BRAS网元11上的用户组A对应的用户组VXLAN为VXLAN31,将USER-MAC、用户组A与VXLAN31绑定;
此时,在AAA服务器上保存有:USER-MAC、核心设备21的ID、P1、用户组A、该用户的用户名和密码、以及VXLAN31的对应关系。
步骤S110,AAA服务器向核心设备21下发配置信息,其中,该配置信息中包括:USER-MAC、P1和VXLAN31;
步骤S111,核心设备21接收到该配置信息之后,在下行端口P1上配置USER-MAC、P1和VXLAN31的对应关系,即,USER-MAC+P1指向VXLAN31;
步骤S112,AAA服务器在确定出该用户属于用户组A之后,触发用户终端重新申请IP地址,用户终端重新发出源MAC地址为USER-MAC的地址申请报文;核心设备21通过P1接收到该地址申请报文之后,将本核心设备的ID和P1携带在该地址申请报文中,然后,根据P1和USER-MAC查找对应的VXLAN,结果查找到VXLAN31,则根据VXLAN31对应的VXLAN隧道,对该地址申请报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
其中,AAA服务器触发用户终端重新申请IP地址的方法可以是,AAA服务器通知DHCP服务器,由DHCP服务器通知用户终端的IP地址IP71超时,需要重新申请IP地址;或者AAA服务器直接关闭(DOWN掉)接入设备上与用户终端连接的端口,使得用户终端重新申请IP地址。
步骤S113,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的地址申请报文,将该VXLAN报文所属的VXLAN31携带在该地址申请报文中,发送给DHCP服务器和AAA服务器;
步骤S114,DHCP服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否绑定了IP地址,结果判断出没有绑定IP地址,则确定该地址申请报文中携带的VXLAN31对应的IP地址池62,从IP地址池62中选择一个未被占用的IP地址IP72,将IP72携带在应答报文中发送给用户终端;
步骤S115,AAA服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否已经绑定了用户名和密码,结果判断出已经绑定了,说明用户已经认证过,则判断该地址申请报文中携带的核心设备21的ID和P1与本地保存的USER-MAC对应的核心设备21的ID和P1是否一致,判断结果是一致,则无需更新本地保存的USER-MAC对应的核心设备21的ID和P1;之后,查找到BRAS网元11上与用户所属用户组A对应的用户组VXLAN为VXLAN31,在判断出查找到的VXLAN31与本地保存的USER-MAC对应的VXLAN31一致的情况下,不会对本地保存的USER-MAC对应的VXLAN31进行更新;
步骤S116,DHCP服务器为用户终端分配了IP72之后,会向AAA服务器发送通知,该通知中包括:USER-MAC、VXLAN31和IP72;
步骤S117,AAA服务器接收到该通知之后,发现该通知中携带的VXLAN31是用户组VXLAN,则保存USER-MAC与IP72的对应关系,并通知DHCP服务器将USER-MAC与IP72绑定;
步骤S118,DHCP服务器将USER-MAC与IP72绑定;
步骤S119,用户终端接收到DHCP服务器发来的应答报文之后,将本设备的IP地址更新为该应答报文中携带的IP72。
至此,用户的首次认证完成,用户上线,用户终端可以正常访问网络。
步骤S120,当需要访问网络时,用户终端发出数据报文,其中,该数据报文的源MAC地址为USER-MAC、源IP地址为IP72;核心设备21通过P1接收到该数据报文之后,根据P1和USER-MAC查找对应的VXLAN,结果查找到VXLAN31,则根据VXLAN31对应的VXLAN隧道,对该数据报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S121,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该VXLAN报文所属的VXLAN31是用户组VXLAN,则将该数据报文与用于限定VXLAN31的用户策略进行匹配,若没有命中该用户策略,则转发该数据报文。
3、用户终端发生迁移,并且,迁移后仍然连接同一核心设备的同一下行端口时的认证过程
当用户终端发生了迁移,并且,迁移后仍然连接核心设备21的下行端口P1时,此时的交互流程如图4所示,包括以下步骤:
步骤S201,用户终端发生了迁移后,需要重新申请IP地址,即,发出源MAC地址为USER-MAC的地址申请报文;核心设备21通过P1接收到该地址申请报文之后,将本核心设备的ID和P1携带在该地址申请报文中,然后,根据USER-MAC和P1查找到对应的VXLAN为VXLAN31,根据VXLAN31对应的VXLAN隧道,对该地址申请报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S202,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的地址申请报文,将该VXLAN报文所属的VXLAN31携带在该地址申请报文中,发送给DHCP服务器和AAA服务器;
步骤S203,DHCP服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否绑定了IP地址,结果判断出USER-MAC绑定了IP72,则将IP72携带在应答报文中发送给用户终端;
步骤S204,AAA服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否已经绑定了用户名和密码,结果是已经绑定了,说明用户已经认证过,则判断该地址申请报文中携带的核心设备21的ID和P1与本地保存的USER-MAC对应的核心设备21的ID和P1是否一致,判断结果是一致,则无需对本地保存的USER-MAC对应的核心设备21的ID和P1进行更新,之后,查找到BRAS网元11上与用户所属用户组A对应的用户组VXLAN为VXLAN31,在判断出查找到的VXLAN31与本地保存的USER-MAC对应的VXLAN31一致的情况下,不会对本地保存的USER-MAC对应的VXLAN31进行更新;
步骤S205,用户终端接收到DHCP服务器发来的应答报文后,将本设备的IP地址配置为该应答报文中携带的IP72,在需要访问网络时,用户终端发出数据报文,其中,该数据报文的源MAC地址为USER-MAC、源IP地址为IP72;核心设备21通过P1接收到该数据报文之后,根据P1和USER-MAC查找对应的VXLAN为VXLAN31,则根据VXLAN31对应的VXLAN隧道,对该数据报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S206,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该数据报文所属的VXLAN31是用户组VXLAN,则将该数据报文与用于限定VXLAN31的用户策略进行匹配,若没有命中该用户策略,则转发该数据报文。
当用户终端发生了迁移,并且,迁移后仍然接入到核心设备21的下行端口P1时,由于用户终端的IP地址没有改变仍然是IP72,用户终端接入的核心设备没有改变仍然是核心设备21,BRAS网元11上保存的IP72的路由信息无需刷新,核心设备21上保存的用户终端的MAC地址对应的MAC表项不变,迁移后连接的汇聚设备和接入设备在接收到用户终端迁移后发出的地址申请报文后,能够学习到用户终端的MAC地址对应的MAC表项,因此,BRAS网元11接收到目的IP地址为IP72的数据报文之后,仍然可以按照IP72的路由信息转发到核心设备21,核心设备21、汇聚设备和接入设备均可以按照用户终端的MAC地址对应的MAC表项转发该数据报文,从而最终发送给用户终端。因此,从BRAS网元到用户终端方向的下行数据流不会发生中断。
4、用户终端发生迁移,并且,迁移后连接另一核心设备时的认证过程
当用户终端发生了迁移,并且,迁移后连接核心设备22的下行端口P2时,此时的报文交互流程如图5所示,包括以下步骤:
步骤S301,用户终端发生了迁移后,需要重新申请IP地址,即,发出源MAC地址为USER-MAC的地址申请报文;核心设备22通过P2接收到该地址申请报文之后,将本核心设备的ID和P2携带在该地址申请报文中,根据USER-MAC和P2查找对应的VXLAN,结果没有查找到,然后,根据P2查找对应的VXLAN,结果查找到VXLAN0,根据VXLAN0对应的VXLAN隧道,对该地址申请报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元11;
步骤S302,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的地址申请报文,将该VXLAN报文所属的VXLAN0携带在该地址申请报文中,发送给DHCP服务器和AAA服务器;
步骤S303,DHCP服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否绑定了IP地址,结果判断出绑定了IP72,则将IP72携带在应答报文中发送给用户终端;
步骤S304,AAA服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否已经绑定了用户名和密码,判断结果是已经绑定了,说明用户已经认证过,则判断该地址申请报文中携带的核心设备22的ID和P2与本地保存的USER-MAC对应的核心设备21的ID和P1是否一致,判断结果是不一致,则将本地保存的USER-MAC对应的核心设备21的ID,更新为核心设备22的ID,将本地保存的USER-MAC对应的P1更新为P2,AAA服务器查找BRAS网元11上与用户所属用户组A对应的用户组VXLAN为VXLAN31,在查找到的VXLAN31与本地保存的USER-MAC对应的VXLAN31一致的情况下,不会对本地保存的USER-MAC对应的VXLAN31进行更新;
步骤S305,AAA服务器向核心设备22发送配置信息,其中,该配置信息中包括:USER-MAC、P2、和VXLAN31;
步骤S306,核心设备22接收到该配置信息之后,在下行端口P2上配置USER-MAC和P2、与VXLAN31的对应关系,即,USER-MAC+P2指向VXLAN31;
步骤S307,用户终端接收到DHCP服务器发来的应答报文之后,将本设备的IP地址配置为该应答报文中携带的IP72,在需要访问网络时,用户终端发出数据报文,其中,该数据报文的源MAC地址为USER-MAC、源IP地址为IP72;核心设备22通过P2接收到该数据报文之后,根据P2和USER-MAC查找对应的VXLAN为VXLAN31,根据VXLAN31对应的VXLAN隧道对该数据报文进行封装后转发给BRAS网元11;
步骤S308,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该VXLAN报文所属的VXLAN31是用户组VXLAN,则将该数据报文与用于限定VXLAN31的用户策略进行匹配,若没有命中该用户策略,则转发该数据报文。
当用户终端发生了迁移,并且,迁移后接入核心设备22的下行端口P2时,由于用户终端的IP地址没有改变仍然为IP72,BRAS网元11上保存的IP72的路由信息可以在接收到用户终端迁移后发出的第一个数据报文后进行刷新,核心设备22、迁移后连接的汇聚设备和接入设备,在接收到用户终端迁移后发出的地址申请报文后,能够学习到用户终端的MAC地址对应的MAC表项,因此,BRAS网元11接收到目的IP地址为IP72的数据报文之后,可以按照刷新后的IP72的路由信息转发给核心设备22,核心设备22、迁移后连接的汇聚设备和接入设备均可以按照用户终端的MAC地址对应的MAC表项转发该数据报文,从而最终发送给用户终端。因此,从BRAS网元到用户方向的下行数据流不会发生中断。
另外,当用户终端发生了迁移,并且,迁移后连接同一核心设备21的另一下行端口P2时,此时的报文交互流程与如图5所示的流程类似,这里不再赘述。
5、BRAS网元进行负载分担时的认证过程
如图6或图7所示,当BRAS网元11的负载过重时,可以增加一个BRAS网元12,核心设备21和核心设备22同时连接BRAS网元11和BRAS网元12,从而,BRAS网元11和BRAS网元12实现负载分担。
BRAS网元12启动后注册到AAA服务器,AAA服务器上保存有BRAS网元12上的每一个用户组对应的用户组VXLAN,以及用户组VXLAN对应的IP网段。例如,在BRAS网元12上,用户组A对应的用户组VXLAN为VXLAN41、用户组B对应的用户组VXLAN为VXLAN42。另外,AAA服务器向BRAS网元12、核心设备21、核心设备22和DHCP服务器发送配置信息,以使这些设备根据接收到的配置信息执行如下的配置过程:
BRAS网元12创建游客VXLAN和每一个用户组对应的用户组VXLAN。例如,创建VXLAN0、用户组A对应的VXLAN41、用户组B对应的VXLAN42。其中,为了区别不同BRAS网元上同一用户组对应的用户组VXLAN,BRAS网元12与BRAS网元11上对应于同一用户组的用户组VXLAN不同。
另外,BRAS网元12在VXLAN0上使能安全认证,在通过VXLAN0对应的VXLAN隧道接收到非协议报文后,触发安全认证。BRAS网元12配置每一个VXLAN对应的IP网段的网关,例如,VXLAN0对应IP网段51,VXLAN41对应IP网段52,VXLAN42对应IP网段53。可见,不同BRAS网元上游客VXLAN对应的IP网段相同,不同BRAS网元上与同一用户组绑定的用户组VXLAN对应的IP网段相同。
BRAS网元12配置用于限定用户组VXLAN的用户策略,即,禁止该用户组VXLAN内的数据报文访问至少一个IP地址,例如,用于禁止VXLAN41内的数据报文访问至少一个IP地址的用户策略,以及用于禁止VXLAN42内的数据报文访问至少一个IP地址的用户策略。
核心设备21上创建VXLAN41和VXLAN42,将VXLAN0对应的VXLAN隧道的目的IP地址更新为BRAS网元12,将VXLAN41和VXLAN42对应的VXLAN隧道的目的IP地址设置为BRAS网元12。
同样,核心设备22也会执行上述核心设备21执行的配置过程。
DHCP服务器上将VXLAN41与IP地址池62建立对应关系,将VXLAN42与IP地址池63建立对应关系。
后续,之前没有认证过的新增用户会接入到BRAS网元12上,具体过程与如图3所示的交互流程相同,这里不再赘述。在线用户仍然接入BRAS网元11。
对于下线后需要再次上线的用户,此时的交互流程如图8所示,包括以下步骤:
步骤S401,用户终端发出用于申请IP地址的地址申请报文,其中,该地址申请报文的源MAC地址是USER-MAC;核心设备21通过下行端口P1接收到该地址申请报文之后,将本核心设备的ID和P1携带在该地址申请报文中,根据USER-MAC和P1查找对应的VXLAN,结果没有查找到,然后,根据P1查找对应的VXLAN,结果查找到VXLAN0,根据该VXLAN0对应的VXLAN隧道,对该地址申请报文进行封装,并将封装得到的VXLAN报文发送给BRAS网元12;
步骤S402,BRAS网元12接收到该VXLAN报文之后,进行解封装得到其中的地址申请报文,将该VXLAN报文所属的VXLAN0携带在该地址申请报文中,发送给DHCP服务器和AAA服务器;
步骤S403,DHCP服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否绑定了IP地址,结果判断出绑定了IP72,则将IP72携带在应答报文中发送给该用户终端;
步骤S404,AAA服务器接收到该地址申请报文之后,判断该地址申请报文的源MAC地址USER-MAC是否已经绑定了用户名和密码,判断结果是已经绑定了,说明用户已经认证过,则判断该地址申请报文中携带的核心设备21的ID和P1与本地保存的USER-MAC对应的核心设备21的ID和P1是否一致,判断结果是一致,则无需对本地保存的USER-MAC对应的核心设备21的ID和P1进行更新;之后,查找到BRAS网元12上用户所属用户组A对应的VXLAN41,在判断出查找到的VXLAN41与本地保存的USER-MAC对应的VXLAN31不相同的情况下,将本地保存的USER-MAC对应的VXLAN31更新为VXLAN41;
此时,在AAA服务器上保存有:USER-MAC、核心设备21的ID、P1、用户组A、用户的用户名和密码、VXLAN41、以及IP72的对应关系。
步骤S405,AAA服务器向核心设备21发送配置信息,其中,该配置信息中包括:USER-MAC、P1和VXLAN41;
步骤S406,核心设备21在接收到该配置信息之后,在下行端口P1上配置USER-MAC、P1和VXLAN41的对应关系,即,将USER-MAC+P1指向VXLAN41;
步骤S407,用户终端接收到DHCP服务器发来的应答报文之后,将本设备的IP地址配置为该应答报文中携带的IP72,在需要访问网络时,发出数据报文,其中,该数据报文的源MAC地址为USER-MAC、源IP地址为IP72;核心设备21通过P1接收到该数据报文之后,根据USER-MAC和P1查找对应的VXLAN,结果查找到VXLAN41,则根据VXLAN41对应的VXLAN隧道,对该数据报文进行封装,并将封装得到的VXLAN报文转发给BRAS网元12;
步骤S408,BRAS网元12接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该VXLAN报文所属的VXLAN41是用户组VXLAN,则将该数据报文与用于限定VXLAN41的用户策略进行匹配,若没有命中该用户策略,则转发该数据报文。
由上可见,可以将之前没有认证过的新增用户、以及下线后再次上线的用户分担到新增的BRAS网元12上,而在线用户仍然接入到BRAS网元11上,从而实现了BRAS网元11和BRAS网元12的负载分担。
6、实现负载分担的两个BRAS网元中的一个BRAS网元不可用时的认证过程
后续,当BRAS网元12的状态变为不可用时,例如,BRAS网元12故障或者重启,AAA服务器向核心设备21、核心设备22和BRAS网元11发送配置信息,以使这些设备可以根据接收到的配置信息进行如下配置过程:
核心设备21和核心设备22将VXLAN0、VXLAN41和VXLAN42对应的VXLAN隧道的目的IP地址更新为BRAS网元11的IP地址。
BRAS网元11创建VXLAN41和VXLAN42,配置用于限定VXLAN41和VXLAN42的用户策略。
这样,之前没有认证过的新增用户会接入到BRAS网元11上,具体交互流程与如图3所示的流程类似,这里不再赘述。下线后需要再次上线的用户会接入到BRAS网元11上,具体交互流程与图5或图8所示的流程类似,这里不再赘述。
对于原来接入BRAS网元12的在线用户,此时的交互流程如图9所示,包括以下步骤:
步骤S501,用户终端发出数据报文,该数据报文的源MAC地址为USER-MAC、源IP地址为IP72;核心设备21通过下行端口P1接收到该数据报文之后,根据USER-MAC和P1查找对应的VXLAN,结果查找到VXLAN41,则根据VXLAN41对应的VXLAN隧道,对该数据报文进行封装,并将封装得到的VXLAN报文转发给BRAS网元11;
步骤S502,BRAS网元11接收到该VXLAN报文之后,进行解封装得到其中的数据报文,由于该VXLAN报文所属的VXLAN41是用户组VXLAN,则将该数据报文与用于限定VXLAN41的用户策略进行匹配,若没有命中该用户策略,则转发该数据报文。
由上可见,当BRAS网元12的状态变为不可用时,可以将之前没有认证过的新增用户、下线后再次上线的用户、以及原来接入BRAS网元12的在线用户,切换到BRAS网元11上,从而实现了一个BRAS网元变为不可用时的快速切换,实现了BRAS网元间的冗余备份。
另外,当BRAS网元12的状态恢复可用,并且,需要回切时,例如,BRAS网元12故障恢复或者重启完成,AAA服务器向核心设备21、核心设备22、BRAS网元11和BRAS网元12发送配置信息,以使这些设备可以根据接收到的配置信息进行如下配置过程:
核心设备21和核心设备22将VXLAN0、VXLAN41和VXLAN42对应的VXLAN隧道的目的IP地址更新为BRAS网元12的IP地址。
BRAS网元11删除VXLAN41和VXLAN42,删除VXLAN41和VXLAN42对应的VXLAN隧道,并且删除用于限定VXLAN41和VXLAN42的用户策略。
这样,之前没有认证过的新增用户会接入到BRAS网元12上,具体交互流程与如图3所示的流程类似,这里不再赘述。下线后需要再次上线的用户会接入到BRAS网元12上,具体交互流程与图5或图8所示的流程类似,这里不再赘述。原本通过VXLAN41或VXLAN42接入到BRAS网元11上的在线用户,会接入到BRAS网元12上,此时的具体交互流程与如图9所示的流程类似,这里不再赘述。
本申请上述实施例的方法中,实现了以下技术效果:
(1)在核心设备与BRAS网元之间建立VXLAN隧道,从而构建VXLAN网络;核心设备接收到用户终端发来的数据报文之后,进行VXLAN封装后将VXLAN报文发送给BRAS网元;BRAS网元在接收到该VXLAN报文之后,进行解封装得到该数据报文,若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;最终,在没有命中第一用户策略时,将该数据报文转发出去。由于在BRAS网元上配置了与用户组VXLAN对应的用户策略,在接收到任一用户组VXLAN内的用户数据报文后,将该用户数据报文与对应的用户策略进行匹配,在没有命中该用户策略时才转发该用户数据报文,从而实现了对用户终端接入网络的接入控制。另外,由于是在BRAS网元上配置用户策略以进行网络接入控制,而BRAS网元的数量相对较少,因此,减少了配置工作量。
(2)由于在VXLAN网络中,用户终端接入网络不受物理位置的限制,无论用户终端从哪里接入网络,在首次认证过程中,都可以为该用户终端分配该用户所属用户组对应的IP网段内的IP地址;在认证成功后,将该用户终端的MAC地址与该IP地址绑定,从而,使得用户终端迁移到其它位置再次进行接入认证时,可以为其分配绑定的IP地址,该用户终端的IP地址不会发生变化。
(3)由于用户终端迁移后IP地址不会发生改变,从而,从BRAS网元到该用户终端方向的下行数据流不会发生中断。
(4)当一个BRAS网元的负载过重时,可以增加一个BRAS网元,实现了BRAS网元间的负载分担;当一个BRAS网元的状态变为不可用时,可以将原本接入该BRAS网元的在线用户终端切换到其它可用的BRAS网元上,并且,在该BRAS网元的状态恢复可用时,可以将用户终端切换回该BRAS网元上。
与前述接入控制方法的实施例相对应,本申请还提供了接入控制装置的实施例。
一种实施例中,本申请接入控制装置60的实施例可以应用在BRAS网元上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在BRAS网元的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图10所示,为本申请接入控制装置所在BRAS网元的一种硬件结构图,除了图10所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的BRAS网元通常根据该BRAS网元的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图11,应用于BRAS网元中的接入控制装置60中包括以下模块:
接收模块601,用于接收核心设备发来的VXLAN报文;
解封装模块602,用于在接收模块601接收到核心设备发来的VXLAN报文之后,对该VXLAN报文进行解封装得到来自用户终端的数据报文;
匹配模块603,用于在解封装模块602对接收模块601接收到的VXLAN报文进行解封装得到来自用户终端的数据报文之后,若该VXLAN报文所属的第一VXLAN为用户组VXLAN,则将该数据报文与第一VXLAN对应的第一用户策略进行匹配,其中,第一用户策略用于禁止第一VXLAN内的数据报文访问至少一个IP地址;
发送模块604,用于若匹配模块603判断出该数据报文没有命中第一用户策略,则转发该数据报文。
其中,发送模块604,还用于在解封装模块602对接收模块601接收到的VXLAN报文进行解封装得到来自用户终端的数据报文之后,若该VXLAN报文所属的第一VXLAN为游客VXLAN,则将该数据报文发送给AAA服务器,以使AAA服务器触发用户终端发出认证请求报文;
解封装模块602,还用于在接收模块601接收到核心设备发来的VXLAN报文之后,对该VXLAN报文进行解封装得到来自用户终端的认证请求报文;
发送模块604,还用于在解封装模块602对接收模块601接收到的VXLAN报文进行解封装得到来自用户终端的认证请求报文之后,若该VXLAN报文所属的第一VXLAN为游客VXLAN,则将该认证请求报文发送给AAA服务器,以使AAA服务器对用户进行认证。
其中,解封装模块602,还用于在接收模块601接收到核心设备发来的VXLAN报文之后,对该VXLAN报文进行解封装得到来自用户终端的地址申请报文;
发送模块604,还用于在解封装模块602对接收模块601接收到的VXLAN报文进行解封装得到来自用户终端的地址申请报文之后,将该VXLAN报文所属的第一VXLAN携带在地址申请报文中,发送给DHCP服务器和AAA服务器,以使DHCP服务器在判断出该地址申请报文的源MAC地址已经绑定了IP地址时,将该IP地址分配给用户终端,在尚未绑定IP地址时,从第一VXLAN对应的IP网段中选择一个IP地址分配给用户终端。
另外,如图12所示,上述应用于BRAS网元中的接入控制装置60中还包括:创建配置模块605和删除模块606,其中:
接收模块601,还用于接收AAA服务器发来的配置信息;
创建配置模块605,用于在接收模块601接收到AAA服务器发来的第一配置信息之后,在本设备上创建游客VXLAN,创建本设备上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;还用于在接收模块601接收到AAA服务器发来的第二配置信息之后,在本设备上创建其它BRAS网元上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
删除模块606,用于在接收模块601接收到AAA服务器发来的第三配置信息之后,从本设备上删除其它BRAS网元上的用户组VXLAN及其对应的用户策略。
另一种实施例中,本申请接入控制装置70的实施例可以应用在AAA服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在AAA服务器的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图13所示,为本申请接入控制装置70所在AAA服务器的一种硬件结构图,除了图13所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的AAA服务器通常根据该AAA服务器的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图14,应用于AAA服务器中的接入控制装置70中包括以下模块:接收模块701、判断模块702、认证模块703、关系建立模块704和发送模块705,其中:
接收模块701,用于接收BRAS网元发来的来自用户终端的地址申请报文和认证请求报文,其中,用户终端的MAC地址为第一MAC地址;
判断模块702,用于在接收模块701接收到BRAS网元发来的来自用户终端的地址申请报文之后,判断用户是否已经认证过;
认证模块703,用于在接收模块701接收到BRAS网元发来的来自用户终端的认证请求报文之后,对用户进行认证,并在认证通过后,将第一MAC地址与认证请求报文中携带的用户名和密码绑定;
关系建立模块704,用于若判断模块702判断出用户没有认证过,则建立第一MAC地址、地址申请报文中携带的第一核心设备的ID和第一核心设备接收到地址申请报文的第一下行端口的ID的对应关系;还用于在认证模块703对用户进行认证通过后,确定BRAS网元上的与用户所属用户组对应的第一用户组VXLAN,建立第一MAC地址与第一用户组VXLAN的对应关系;
发送模块705,用于在关系建立模块704建立了第一MAC地址与第一用户组VXLAN的对应关系之后,向第一核心设备发送携带有第一MAC地址、第一下行端口的ID、以及第一用户组VXLAN的配置信息,以使第一核心设备在从第一下行端口接收到用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过第一用户组VXLAN对应的VXLAN隧道转发给BRAS网元。
其中,如图15所示,上述应用于AAA服务器中的接入控制装置70中还包括:第一更新模块706,其中:
第一更新模块706,用于在判断模块702判断出用户已经认证过之后,若该地址申请报文中携带的第一下行端口的ID与本地保存的第一MAC地址对应的第二下行端口的ID不相同,则将第二下行端口的ID更新为第一下行端口的ID;还用于若该地址申请报文中携带的第一核心设备的ID与本地保存的第一MAC地址对应的第二核心设备的ID不相同,则将第二核心设备的ID更新为第一核心设备的ID;
发送模块705,还用于若该地址申请报文中携带的第一下行端口的ID与本地保存的第一MAC地址对应的第二下行端口的ID不相同,和/或若该地址申请报文中携带的第一核心设备的ID与本地保存的第一MAC地址对应的第二核心设备的ID不相同,则向第一核心设备发送携带有第一MAC地址、第一下行端口的ID、以及第一用户组VXLAN的配置信息,以使第一核心设备在从第一下行端口接收到用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过第一用户组VXLAN对应的VXLAN隧道转发给BRAS网元。
其中,关系建立模块704,还用于针对每一个用户组,建立该用户组与BRAS网元上的用户组VXLAN的对应关系;还用于建立用户与用户组之间的对应关系,分别为游客VXLAN和每一个用户组分配对应的IP网段;
发送模块705,还用于向BRAS网元发送配置信息,以使BRAS网元创建游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略,其中,用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;还用于向各个核心设备发送配置信息,以使该核心设备创建游客VXLAN以及BRAS网元上的每一个用户组VXLAN,将本设备的所有下行端口加入到游客VXLAN中;还用于向DHCP服务器发送配置信息,以使DHCP服务器建立游客VXLAN与对应的IP网段的对应关系,针对BRAS网元上的每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
另外,如图15所示,上述应用于AAA服务器中的接入控制装置70中还包括:查找模块707和第二更新模块708,其中:
查找模块707,用于在判断模块702判断出用户已经认证过之后,查找BRAS网元上与用户所属用户组对应的第一用户组VXLAN;
第二更新模块708,用于若查找模块707查找到的第一用户组VXLAN与本地保存的第一MAC地址对应的第二用户组VXLAN不相同,则将第二用户组VXLAN更新为第一用户组VXLAN;
发送模块705,还用于在第二更新模块708将第二用户组VXLAN更新为第一用户组VXLAN之后,向第一核心设备发送携带有第一MAC地址、第一下行端口的ID、以及第一用户组VXLAN的配置信息,以使第一核心设备在从第一下行端口接收到用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过第一用户组VXLAN对应的VXLAN隧道转发给BRAS网元。
其中,关系建立模块704,还用于在新增了BRAS网元进行负载分担时,针对每一个用户组,建立该用户组与新增的BRAS网元上的用户组VXLAN的对应关系,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
发送模块705,还用于向新增的BRAS网元发送配置信息,以使新增的BRAS网元创建游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略;还用于向各个核心设备发送配置信息,以使该核心设备创建新增的BRAS网元上的每一个用户组VXLAN,将游客VXLAN对应的VXLAN隧道的目的IP地址修改为新增的BRAS网元的IP地址;还用于向DHCP服务器发送配置信息,以使DHCP服务器针对新增的BRAS网元上每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
其中,发送模块705,还用于当进行负载分担的至少两个BRAS网元中的第一BRAS网元故障时,向各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从第一BRAS网元的IP地址修改为正常的第二BRAS网元的IP地址;还用于向第二BRAS网元发送配置信息,以使第二BRAS网元创建第一BRAS网元上的每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略。
另外,发送模块705,还用于当第一BRAS网元故障恢复,并且需要回切时,向各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从第二BRAS网元的IP地址修改为第一BRAS网元的IP地址;还用于向第二BRAS网元发送配置信息,以使第二BRAS网元删除第一BRAS网元上的每一个用户组VXLAN及其对应的用户策略。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (20)

1.一种接入控制方法,其特征在于,所述方法应用于宽带远程接入服务器BRAS网元,所述方法包括:
在接收到核心设备发来的可扩展虚拟局域网络VXLAN报文之后,对所述VXLAN报文进行解封装得到来自用户终端的数据报文;
若所述VXLAN报文所属的第一VXLAN为用户组VXLAN,则将所述数据报文与所述第一VXLAN对应的第一用户策略进行匹配,其中,所述第一用户策略用于禁止所述第一VXLAN内的数据报文访问至少一个IP地址;
若没有命中所述第一用户策略,则转发所述数据报文;
在对所述VXLAN报文进行解封装得到来自用户终端的数据报文之后,还包括:若所述第一VXLAN为游客VXLAN,则将所述数据报文发送给验证授权计费AAA服务器,以使所述AAA服务器触发所述用户终端发出认证请求报文;
所述方法还包括:在接收到核心设备发来的VXLAN报文之后,对所述VXLAN报文进行解封装得到来自所述用户终端的认证请求报文,若所述第一VXLAN为所述游客VXLAN,则将所述认证请求报文发送给所述AAA服务器,以使所述AAA服务器对所述用户进行认证。
2.根据权利要求1所述的方法,其特征在于,还包括:
在接收到核心设备发来的VXLAN报文之后,对所述VXLAN报文进行解封装得到来自所述用户终端的地址申请报文,将所述第一VXLAN携带在所述地址申请报文中发送给动态主机配置协议DHCP服务器和所述AAA服务器,以使所述DHCP服务器在判断出所述地址申请报文的源MAC地址已经绑定了IP地址时,将该IP地址分配给所述用户终端,在尚未绑定IP地址时,从所述第一VXLAN对应的IP网段中选择一个IP地址分配给所述用户终端。
3.根据权利要求1所述的方法,其特征在于,在接收到核心设备发来的VXLAN报文之前,还包括:
在接收到所述AAA服务器发来的第一配置信息之后,在本设备上创建所述游客VXLAN,创建本设备上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,所述用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;
在接收到所述AAA服务器发来的第二配置信息之后,在本设备上创建其它BRAS网元上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
在接收到所述AAA服务器发来的第三配置信息之后,从本设备上删除所述其它BRAS网元上的用户组VXLAN及其对应的用户策略。
4.一种接入控制方法,其特征在于,所述方法应用于验证授权计费AAA服务器,所述方法包括:
在接收到宽带远程接入服务器BRAS网元发来的来自用户终端的地址申请报文之后,判断所述用户是否已经认证过,其中,所述用户终端的MAC地址为第一MAC地址;若没有认证过,则建立所述第一MAC地址、所述地址申请报文中携带的第一核心设备的标识ID和所述第一核心设备接收到所述地址申请报文的第一下行端口的ID的对应关系;
在接收到所述BRAS网元发来的来自所述用户终端的认证请求报文之后,对所述用户进行认证,并在认证通过后,将所述第一MAC地址与所述认证请求报文中携带的用户名和密码绑定;确定所述BRAS网元上的与所述用户所属用户组对应的第一用户组VXLAN,建立所述第一MAC地址与所述第一用户组VXLAN的对应关系,向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
5.根据权利要求4所述的方法,其特征在于,在判断出所述用户已经认证过之后,还包括:
若所述地址申请报文中携带的第一下行端口的ID与本地保存的所述第一MAC地址对应的第二下行端口的ID不相同,则将所述第二下行端口的ID更新为所述第一下行端口的ID;
若所述地址申请报文中携带的第一核心设备的ID与本地保存的所述第一MAC地址对应的第二核心设备的ID不相同,则将所述第二核心设备的ID更新为所述第一核心设备的ID;
向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
6.根据权利要求4或5所述的方法,其特征在于,还包括:
针对每一个用户组,建立该用户组与所述BRAS网元上的用户组VXLAN的对应关系;
建立用户与用户组之间的对应关系,分别为游客VXLAN和每一个用户组分配对应的IP网段;
向所述BRAS网元发送配置信息,以使所述BRAS网元创建所述游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略,其中,所述用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;
向各个核心设备发送配置信息,以使该核心设备创建所述游客VXLAN以及所述BRAS网元上的每一个用户组VXLAN,将本设备的所有下行端口加入到所述游客VXLAN中;
向DHCP服务器发送配置信息,以使所述DHCP服务器建立所述游客VXLAN与对应的IP网段的对应关系,针对所述BRAS网元上的每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
7.根据权利要求4所述的方法,其特征在于,在判断出所述用户已经认证过之后,还包括:
查找所述BRAS网元上与所述用户所属用户组对应的第一用户组VXLAN;
若查找到的所述第一用户组VXLAN与本地保存的所述第一MAC地址对应的第二用户组VXLAN不相同,则将所述第二用户组VXLAN更新为所述第一用户组VXLAN;
向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
8.根据权利要求6所述的方法,其特征在于,还包括:
在新增了BRAS网元进行负载分担时,针对每一个用户组,建立该用户组与所述新增的BRAS网元上的用户组VXLAN的对应关系,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
向所述新增的BRAS网元发送配置信息,以使所述新增的BRAS网元创建所述游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略;
向所述各个核心设备发送配置信息,以使该核心设备创建所述新增的BRAS网元上的每一个用户组VXLAN,将所述游客VXLAN对应的VXLAN隧道的目的IP地址修改为所述新增的BRAS网元的IP地址;
向所述DHCP服务器发送配置信息,以使所述DHCP服务器针对所述新增的BRAS网元上每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
9.根据权利要求8所述的方法,其特征在于,还包括:
当进行负载分担的至少两个BRAS网元中的第一BRAS网元故障时,向所述各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从第一BRAS网元的IP地址修改为正常的第二BRAS网元的IP地址;
向所述第二BRAS网元发送配置信息,以使所述第二BRAS网元创建所述第一BRAS网元上的每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略。
10.根据权利要求9所述的方法,其特征在于,还包括:
当所述第一BRAS网元故障恢复,并且需要回切时,向所述各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从所述第二BRAS网元的IP地址修改为所述第一BRAS网元的IP地址;
向所述第二BRAS网元发送配置信息,以使所述第二BRAS网元删除所述第一BRAS网元上的每一个用户组VXLAN及其对应的用户策略。
11.一种接入控制装置,其特征在于,所述装置应用于宽带远程接入服务器BRAS网元中,所述装置包括:
接收模块,用于接收核心设备发来的可扩展虚拟局域网络VXLAN报文;
解封装模块,用于在所述接收模块接收到核心设备发来的VXLAN报文之后,对所述VXLAN报文进行解封装得到来自用户终端的数据报文;
匹配模块,用于在所述解封装模块对所述接收模块接收到的VXLAN报文进行解封装得到来自所述用户终端的数据报文之后,若所述VXLAN报文所属的第一VXLAN为用户组VXLAN,则将所述数据报文与所述第一VXLAN对应的第一用户策略进行匹配,其中,所述第一用户策略用于禁止所述第一VXLAN内的数据报文访问至少一个IP地址;
发送模块,用于若所述匹配模块判断出所述数据报文没有命中所述第一用户策略,则转发所述数据报文;
所述解封装模块,还用于在所述接收模块接收到核心设备发来的VXLAN报文之后,对所述VXLAN报文进行解封装得到来自所述用户终端的认证请求报文;
所述发送模块,还用于在所述解封装模块对所述接收模块接收到的VXLAN报文进行解封装得到来自所述用户终端的数据报文之后,若所述VXLAN报文所属的所述第一VXLAN为游客VXLAN,则将所述数据报文发送给验证授权计费AAA服务器,以使所述AAA服务器触发所述用户终端发出认证请求报文;还用于在所述解封装模块对所述接收模块接收到的VXLAN报文进行解封装得到来自所述用户终端的认证请求报文之后,若所述VXLAN报文所属的所述第一VXLAN为所述游客VXLAN,则将所述认证请求报文发送给所述AAA服务器,以使所述AAA服务器对所述用户进行认证。
12.根据权利要求11所述的装置,其特征在于,
所述解封装模块,还用于在所述接收模块接收到核心设备发来的VXLAN报文之后,对所述VXLAN报文进行解封装得到来自所述用户终端的地址申请报文;
所述发送模块,还用于在所述解封装模块对所述接收模块接收到的VXLAN报文进行解封装得到来自所述用户终端的地址申请报文之后,将所述VXLAN报文所属的所述第一VXLAN携带在所述地址申请报文中,发送给动态主机配置协议DHCP服务器和所述AAA服务器,以使所述DHCP服务器在判断出所述地址申请报文的源MAC地址已经绑定了IP地址时,将该IP地址分配给所述用户终端,在尚未绑定IP地址时,从所述第一VXLAN对应的IP网段中选择一个IP地址分配给所述用户终端。
13.根据权利要求11所述的装置,其特征在于,还包括:创建配置模块和删除模块,其中:
所述接收模块,还用于接收所述AAA服务器发来的配置信息;
所述创建配置模块,用于在所述接收模块接收到所述AAA服务器发来的第一配置信息之后,在本设备上创建所述游客VXLAN,创建本设备上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,所述用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;还用于在所述接收模块接收到所述AAA服务器发来的第二配置信息之后,在本设备上创建其它BRAS网元上的与每一个用户组对应的用户组VXLAN,针对各个用户组VXLAN配置对应的用户策略,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
所述删除模块,用于在所述接收模块接收到所述AAA服务器发来的第三配置信息之后,从本设备上删除所述其它BRAS网元上的用户组VXLAN及其对应的用户策略。
14.一种接入控制装置,其特征在于,所述装置应用于验证授权计费AAA服务器中,所述装置包括:
接收模块,用于接收宽带远程接入服务器BRAS网元发来的来自用户终端的地址申请报文和认证请求报文,其中,所述用户终端的MAC地址为第一MAC地址;
判断模块,用于在所述接收模块接收到所述BRAS网元发来的来自所述用户终端的地址申请报文之后,判断所述用户是否已经认证过;
认证模块,用于在所述接收模块接收到所述BRAS网元发来的来自所述用户终端的认证请求报文之后,对所述用户进行认证,并在认证通过后,将所述第一MAC地址与所述认证请求报文中携带的用户名和密码绑定;
关系建立模块,用于若所述判断模块判断出所述用户没有认证过,则建立所述第一MAC地址、所述地址申请报文中携带的第一核心设备的标识ID和所述第一核心设备接收到所述地址申请报文的第一下行端口的ID的对应关系;还用于在所述认证模块对所述用户进行认证通过后,确定所述BRAS网元上的与所述用户所属用户组对应的第一用户组VXLAN,建立所述第一MAC地址与所述第一用户组VXLAN的对应关系;
发送模块,用于在所述关系建立模块建立了所述第一MAC地址与所述第一用户组VXLAN的对应关系之后,向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
15.根据权利要求14所述的装置,其特征在于,还包括:第一更新模块,其中:
所述第一更新模块,用于在所述判断模块判断出所述用户已经认证过之后,若所述地址申请报文中携带的第一下行端口的ID与本地保存的所述第一MAC地址对应的第二下行端口的ID不相同,则将所述第二下行端口的ID更新为所述第一下行端口的ID;还用于若所述地址申请报文中携带的第一核心设备的ID与本地保存的所述第一MAC地址对应的第二核心设备的ID不相同,则将所述第二核心设备的ID更新为所述第一核心设备的ID;
所述发送模块,还用于若所述地址申请报文中携带的第一下行端口的ID与本地保存的所述第一MAC地址对应的第二下行端口的ID不相同,和/或若所述地址申请报文中携带的第一核心设备的ID与本地保存的所述第一MAC地址对应的第二核心设备的ID不相同,则向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
16.根据权利要求14或15所述的装置,其特征在于,
所述关系建立模块,还用于针对每一个用户组,建立该用户组与所述BRAS网元上的用户组VXLAN的对应关系;还用于建立用户与用户组之间的对应关系,分别为游客VXLAN和每一个用户组分配对应的IP网段;
所述发送模块,还用于向所述BRAS网元发送配置信息,以使所述BRAS网元创建所述游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略,其中,所述用户策略用于禁止对应用户组VXLAN内的数据报文访问至少一个IP地址;还用于向各个核心设备发送配置信息,以使该核心设备创建所述游客VXLAN以及所述BRAS网元上的每一个用户组VXLAN,将本设备的所有下行端口加入到所述游客VXLAN中;还用于向DHCP服务器发送配置信息,以使所述DHCP服务器建立所述游客VXLAN与对应的IP网段的对应关系,针对所述BRAS网元上的每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
17.根据权利要求14所述的装置,其特征在于,还包括:查找模块和第二更新模块,其中:
所述查找模块,用于在所述判断模块判断出所述用户已经认证过之后,查找所述BRAS网元上与所述用户所属用户组对应的第一用户组VXLAN;
所述第二更新模块,用于若所述查找模块查找到的所述第一用户组VXLAN与本地保存的所述第一MAC地址对应的第二用户组VXLAN不相同,则将所述第二用户组VXLAN更新为所述第一用户组VXLAN;
所述发送模块,还用于在所述第二更新模块将所述第二用户组VXLAN更新为所述第一用户组VXLAN之后,向所述第一核心设备发送携带有所述第一MAC地址、所述第一下行端口的ID、以及所述第一用户组VXLAN的配置信息,以使所述第一核心设备在从所述第一下行端口接收到所述用户终端发来的报文之后,对该报文进行VXLAN封装,将封装得到的VXLAN报文通过所述第一用户组VXLAN对应的VXLAN隧道转发给所述BRAS网元。
18.根据权利要求16所述的装置,其特征在于,
所述关系建立模块,还用于在新增了BRAS网元进行负载分担时,针对每一个用户组,建立该用户组与所述新增的BRAS网元上的用户组VXLAN的对应关系,其中,不同BRAS网元上对应于同一用户组的用户组VXLAN不同;
所述发送模块,还用于向所述新增的BRAS网元发送配置信息,以使所述新增的BRAS网元创建游客VXLAN以及每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略;还用于向所述各个核心设备发送配置信息,以使该核心设备创建所述新增的BRAS网元上的每一个用户组VXLAN,将所述游客VXLAN对应的VXLAN隧道的目的IP地址修改为所述新增的BRAS网元的IP地址;还用于向所述DHCP服务器发送配置信息,以使所述DHCP服务器针对所述新增的BRAS网元上每一个用户组VXLAN,建立该用户组VXLAN与对应用户组所绑定的IP网段之间的对应关系。
19.根据权利要求18所述的装置,其特征在于,
所述发送模块,还用于当进行负载分担的至少两个BRAS网元中的第一BRAS网元故障时,向所述各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从第一BRAS网元的IP地址修改为正常的第二BRAS网元的IP地址;还用于向所述第二BRAS网元发送配置信息,以使所述第二BRAS网元创建所述第一BRAS网元上的每一个用户组VXLAN,并配置各个用户组VXLAN对应的用户策略。
20.根据权利要求19所述的装置,其特征在于,
所述发送模块,还用于当所述第一BRAS网元故障恢复,并且需要回切时,向所述各个核心设备发送配置信息,以使该核心设备将对应VXLAN隧道的目的IP地址从所述第二BRAS网元的IP地址修改为所述第一BRAS网元的IP地址;还用于向所述第二BRAS网元发送配置信息,以使所述第二BRAS网元删除所述第一BRAS网元上的每一个用户组VXLAN及其对应的用户策略。
CN201610561352.3A 2016-07-14 2016-07-14 接入控制方法及装置 Active CN106230668B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610561352.3A CN106230668B (zh) 2016-07-14 2016-07-14 接入控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610561352.3A CN106230668B (zh) 2016-07-14 2016-07-14 接入控制方法及装置

Publications (2)

Publication Number Publication Date
CN106230668A CN106230668A (zh) 2016-12-14
CN106230668B true CN106230668B (zh) 2020-01-03

Family

ID=57520078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610561352.3A Active CN106230668B (zh) 2016-07-14 2016-07-14 接入控制方法及装置

Country Status (1)

Country Link
CN (1) CN106230668B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150673B (zh) 2017-06-16 2020-04-03 华为技术有限公司 基于bras系统的报文封装方法、装置及系统
CN108322368B (zh) 2017-06-23 2020-01-03 新华三技术有限公司 视频点播方法和装置
CN109274989B (zh) * 2017-07-18 2021-06-15 中国移动通信集团四川有限公司 视频流量的处理方法、装置、系统、控制器和存储介质
CN108259366B (zh) * 2017-07-25 2021-09-21 新华三技术有限公司 一种报文转发方法及装置
CN108259639B (zh) * 2017-12-25 2021-10-22 锐捷网络股份有限公司 Ip地址分配方法及装置
CN110650075B (zh) * 2018-06-26 2022-02-18 华为技术有限公司 基于vxlan的组策略实现方法、网络设备和组策略实现系统
CN109067788B (zh) * 2018-09-21 2020-06-09 新华三技术有限公司 一种接入认证的方法及装置
CN109861892A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 一种终端漫游方法及装置
CN110505621B (zh) * 2019-08-30 2022-04-26 新华三技术有限公司 一种终端迁移的处理方法及装置
CN113132326B (zh) * 2019-12-31 2022-08-09 华为技术有限公司 一种访问控制方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468552A (zh) * 2014-11-28 2015-03-25 迈普通信技术股份有限公司 一种接入控制方法和装置
CN104468394A (zh) * 2014-12-04 2015-03-25 杭州华三通信技术有限公司 一种vxlan网络中报文转发方法及装置
CN104734986A (zh) * 2013-12-19 2015-06-24 华为技术有限公司 一种报文转发方法和装置
CN105207873A (zh) * 2015-08-31 2015-12-30 华为技术有限公司 一种报文处理方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104734986A (zh) * 2013-12-19 2015-06-24 华为技术有限公司 一种报文转发方法和装置
CN104468552A (zh) * 2014-11-28 2015-03-25 迈普通信技术股份有限公司 一种接入控制方法和装置
CN104468394A (zh) * 2014-12-04 2015-03-25 杭州华三通信技术有限公司 一种vxlan网络中报文转发方法及装置
CN105207873A (zh) * 2015-08-31 2015-12-30 华为技术有限公司 一种报文处理方法和装置

Also Published As

Publication number Publication date
CN106230668A (zh) 2016-12-14

Similar Documents

Publication Publication Date Title
CN106230668B (zh) 接入控制方法及装置
JP6648308B2 (ja) パケット伝送
US10237230B2 (en) Method and system for inspecting network traffic between end points of a zone
US11095478B2 (en) Access control method, apparatus, and system
EP3461072B1 (en) Access control in a vxlan
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
CN108259303B (zh) 一种报文转发方法及装置
US8380819B2 (en) Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network
CN110650076B (zh) Vxlan的实现方法,网络设备和通信系统
US20150106913A1 (en) Method, Apparatus, Host, and Network System for Processing Packet
CN107493297B (zh) 一种VxLAN隧道接入认证的方法
JP2003069609A (ja) 仮想私設網サービスを提供するシステム
CN106559292A (zh) 一种宽带接入方法和装置
US10848457B2 (en) Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains
JP4852379B2 (ja) パケット通信装置
CN107659484B (zh) 从vlan网络接入vxlan网络的方法、装置及系统
US20200177654A1 (en) Method and system for inspecting unicast network traffic between end points residing within a same zone
US10412047B2 (en) Method and system for network traffic steering towards a service device
US20200228373A1 (en) Autonomous system bridge connecting in a telecommunications network
CN108600225B (zh) 一种认证方法及装置
CN112187638A (zh) 网络访问方法、装置、设备及计算机可读存储介质
CN107659446B (zh) 一种waf迁移方法和装置
KR102386386B1 (ko) 단말기의 선택적 vpn 연결 기능을 갖는 공유기 및 이를 이용한 단말기의 vpn 연결 방법
CN107959584B (zh) 信息配置方法及装置
US10749789B2 (en) Method and system for inspecting broadcast network traffic between end points residing within a same zone

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant