CN107493297B - 一种VxLAN隧道接入认证的方法 - Google Patents

一种VxLAN隧道接入认证的方法 Download PDF

Info

Publication number
CN107493297B
CN107493297B CN201710806679.7A CN201710806679A CN107493297B CN 107493297 B CN107493297 B CN 107493297B CN 201710806679 A CN201710806679 A CN 201710806679A CN 107493297 B CN107493297 B CN 107493297B
Authority
CN
China
Prior art keywords
vxlan tunnel
user
tenant
tunnel
vxlan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710806679.7A
Other languages
English (en)
Other versions
CN107493297A (zh
Inventor
林晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Wantong Post And Telecommunications Co ltd
Original Assignee
Anhui Wantong Post And Telecommunications Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Wantong Post And Telecommunications Co ltd filed Critical Anhui Wantong Post And Telecommunications Co ltd
Priority to CN201710806679.7A priority Critical patent/CN107493297B/zh
Publication of CN107493297A publication Critical patent/CN107493297A/zh
Application granted granted Critical
Publication of CN107493297B publication Critical patent/CN107493297B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种VxLAN隧道接入认证的方法,公开了一种在CPE设备上使用Portal登录页面输入用户名密码和租户域名进行认证,认证通过后找到租户域关联的VxLAN隧道进行流量转发,远程接入该租户远端私有云的方法,包括:在CPE上设置VxLAN隧道、设置AAA认证方式、分配临时IP地址、基于用户名密码和域名完成Portal认证、通过授权策略关联VxLAN隧道、通过该隧道二次分配IP地址完成用户接入并转发流量。与现有技术相比,本发明可以实现VxLAN隧道接入前,对用户进行认证,弥补VxLAN隧道安全性的不足,特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。

Description

一种VxLAN隧道接入认证的方法
技术领域
本发明涉及一种网络虚似化技术领域,具体涉及一种VxLAN隧道接入认证的方法。
背景技术
VxLAN(Virtual Extensible LAN),是一种网络虚似化技术,最初设计时是为了解决传统VLAN数量只有4096个的不足,试图改进大型云计算的部署时的扩展问题,将VLAN-ID从12bit扩展到24bit,支持2^24个VLAN。同时VxLAN采用MAC in UDP封装技术,对承载的网络没有特殊要求,能够overlay到各种网络之上。最初VxLAN主要用于数据中心互联,随着技术的演进,VxLAN应用场景逐渐变得更加广泛,VxLAN逐渐变为一种灵活的隧道互联技术。本发明所涉及的一种VxLAN隧道接入认证的方法,就是VxLAN应用到一个开放式园区中,通过部署在园区里的CPE设备(Customer Premise Equipment客户终端设备),帮助多个中小企业通过认证安全的访问其远端私有云的方法。
发明内容
本发明提出的一种VxLAN隧道接入认证的方法,可在VxLAN提供远程接入时,提供一种基于用户名密码和租户域名的认证方式,提高远程接入时的安全性。
为实现上述目的,本发明采用了以下技术方案:
一种VxLAN隧道接入认证的方法,包括以下步骤:
步骤1:在CPE上,设置VxLAN隧道,该隧道本端连接园区某个租户的网络,远端连接的是该租户位于Internet上的私有云的网关设备MSR;
步骤2:设置AAA认证,认证策略采用DHCP+Portal认证方式;
步骤3:设置认证前的临时地址池,当有用户上线后,通过DHCP协议从临时地址池中分配IP地址,DHCP租期为超短时间;
步骤4:当某租户的用户浏览网页时,使用重定向技术跳转到Portal登录页面,然后该用户使用正确的用户名、密码和租户域名完成Portal认证;
步骤5:通过租户域授权策略,找到该租户关联的VxLAN隧道,该用户的流量通过该隧道转发到该租户远端私有云网络中;
步骤6:临时地址租期到达后,通过该VxLAN隧道二次分配远端私有云网段的IP地址,完成用户接入以及后续流量转发。
进一步的,所述步骤5中租户关联VxLAN隧道后,出向流量转发采用的虚拟网桥转发方式,包括以下步骤:
步骤51:设置两个虚接口,虚接口一和虚接口二,将这两个虚接口绑定为一对桥接接口;
步骤52:设置Route-map重定向策略,设置重定向目标接口为虚接口一,再将Route-map应用到该租户的AAA授权策略中;
步骤53:设置租户的VxLAN隧道的本端连接的接口为虚接口二;
步骤54:虚接口一和虚接口二之间以虚拟桥接方式交换流量。
进一步的,所述步骤5中租户关联VxLAN隧道后,回程流量转发采用MAC-User转发方式,包括以下步骤:
步骤511:在虚接口一上使能MAC-User转发方式;
步骤512:当VxLAN隧道中有用户回程流量时,流量从虚接口二以桥接方式转发到虚接口一,在虚接口一上执行MAC-User转发方式;
步骤513:执行MAC-User转发时,根据报文目的MAC地址,找到用户,将报文转发给该用户。
进一步的,所述步骤6中二次分配远端私有云网段IP地址时,采用CPE做DHCP-Relay方式。
进一步的,所述步骤1中设置的VxLAN隧道的方式,可采用静态VxLAN隧道,或者SDN控制器下发的VxLAN隧道,或者EVPN动态建立的VxLAN隧道。
进一步的,所述步骤1中可以设置多条VxLAN隧道,同时连接多个租户网络和他们各自的私有云。
进一步的,所述步骤3中临时地址池的DHCP租期为超短租期,根据需要设置为几秒或几分钟。
进一步的,所述步骤4中网页重定向技术,采用HTTP劫持方式,构造一个HTTP302Moved应答消息,使得用户浏览器跳转到Portal登录页面。
由上可知,本发明的一种VxLAN隧道接入认证的方法,可以在VxLAN提供远程接入时,提供一种基于用户名密码和租户域名的认证方式,提高远程接入时的安全性,特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。
附图说明
图1是本发明的网络拓扑图;
图2是本发明的流量转发过程的示意图。
具体实施方式
下面结合附图对本发明做进一步说明:
本实施例的系统组成,如图1所示,由CPE(Customer Premise Equipment客户终端设备)、园区租户,以及远端MSR(Multi-Service Router多业务路由器)、私有云、AAA组成的网络,CPE和MSR之间跨越Internet网络。
步骤1:在CPE上,首先设置Internet接入方式、静态路由、默认路由、园区VLAN等网络参数。然后设置静态VxLAN隧道,该隧道本端连接园区某个租户的网络,远端连接的是该租户位于Internet上的私有云;
步骤2:设置AAA认证,使用Radus协议,Radius的地址填写为该租户远端私有云中的AAA服务器地址,用户认证策略采用DHCP+Portal认证方式,Portal服务器使用CPE内置Portal服务模块,AAA服务器上设置用户远程接入时认证用的用户名密码和域名;
步骤3:设置认证前的临时地址池,如图2所示,当有用户上线后,通过DHCP协议从临时地址池中分配IP地址,DHCP租期为30秒;
步骤4:当某租户的用户浏览网页时,如图2所示,使用重定向技术跳转到Portal登录页面,然后该用户使用正确的用户名、密码和租户域名完成Portal认证;
步骤5:通过租户域授权策略,找到该租户关联的VxLAN隧道,该用户的流量通过该隧道转发到该租户远端私有云网络中。
如图2所示,出向流程采用特殊的虚拟网桥转发方式:
1)设置两个虚接口1和2,将这两个虚接口绑定为一对桥接接口;
2)设置Route-map重定向策略,设置重定向目标接口为虚接口1,再将Route-map应用到该租户的授权策略中;
3)设置租户的VxLAN隧道的本端连接的接口为虚接口2;
4)虚接口1和虚接口2之间以虚拟桥接方式交换流量。
如图2所示,回程流量采用特殊的MAC-User转发方式:
1)在虚接口1上使能MAC-User转发方式;
2)当VxLAN隧道中有用户回程流量时,流量从虚接口2以桥接方式转发到虚接口1,在虚接口1上执行MAC-User转发方式;
3)执行MAC-User转发时,根据报文目的MAC地址,找到用户,将报文转发给该用户。
步骤6:临时地址租期到达后,如图2所示,采用DHCP-Relay方式,通过该VxLAN隧道二次分配远端私有云网段的IP地址,完成用户接入以及后续流量转发。
使用本实施例后,可以在VxLAN提供远程接入时,提供一种基于用户名密码和租户域名的认证方式,提高远程接入时的安全性,特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。
以上所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案作出的各种变形和改进,均应落入本发明的保护范围内。

Claims (6)

1.一种VxLAN隧道接入认证的方法,其特征在于:包括以下步骤:
步骤1:在CPE上,设置VxLAN隧道,该隧道本端连接园区某个租户的网络,远端连接的是该租户位于Internet上的私有云的网关设备MSR;
步骤2:设置AAA认证,认证策略采用DHCP+Portal认证方式;
步骤3:设置认证前的临时地址池,当有用户上线后,通过DHCP协议从临时地址池中分配IP地址,DHCP租期为超短时间;
步骤4:当某租户的用户浏览网页时,使用重定向技术跳转到Portal登录页面,然后该用户使用正确的用户名、密码和租户域名完成Portal认证;
步骤5:通过租户域授权策略,找到该租户关联的VxLAN隧道,该用户的流量通过该隧道转发到该租户远端私有云网络中;所述步骤5中租户关联VxLAN隧道后,出向流量转发采用的虚拟网桥转发方式,包括以下步骤:
步骤51:设置两个虚接口,虚接口一和虚接口二,将这两个虚接口绑定为一对桥接接口;
步骤52:设置Route-map重定向策略,设置重定向目标接口为虚接口一,再将Route-map应用到该租户的AAA授权策略中;
步骤53:设置租户的VxLAN隧道的本端连接的接口为虚接口二;
步骤54:虚接口一和虚接口二之间以虚拟桥接方式交换流量;
所述步骤5中租户关联VxLAN隧道后,回程流量转发采用MAC-User转发方式,包括以下步骤:
步骤511:在虚接口一上使能MAC-User转发方式;
步骤512:当VxLAN隧道中有用户回程流量时,流量从虚接口二以桥接方式转发到虚接口一,在虚接口一上执行MAC-User转发方式;
步骤513:执行MAC-User转发时,根据报文目的MAC地址,找到用户,将报文转发给该用户
步骤6:临时地址租期到达后,通过该VxLAN隧道二次分配远端私有云网段的IP地址,完成用户接入以及后续流量转发。
2.如权利要求1所述的一种VxLAN隧道接入认证的方法,其特征在于:所述步骤6中二次分配远端私有云网段IP地址时,采用CPE做DHCP-Relay方式。
3.如权利要求2所述 的一种VxLAN隧道接入认证的方法,其特征在于:所述步骤1中设置的VxLAN隧道的方式,可采用静态VxLAN隧道,或者SDN控制器下发的VxLAN隧道,或者EVPN动态建立的VxLAN隧道。
4.如权利要求3所述的一种VxLAN隧道接入认证的方法,其特征在于:所述步骤1中可以设置多条VxLAN隧道,同时连接多个租户网络和他们各自的私有云。
5.如权利要求4所述的一种VxLAN隧道接入认证的方法,其特征在于:所述步骤3中临时地址池的DHCP租期为超短租期,根据需要设置为几秒或几分钟。
6.如权利要求5所述的一种VxLAN隧道接入认证的方法,其特征在于:所述步骤4中网页重定向技术,采用HTTP劫持方式,构造一个HTTP 302 Moved应答消息,使得用户浏览器跳转到Portal登录页面。
CN201710806679.7A 2017-09-08 2017-09-08 一种VxLAN隧道接入认证的方法 Active CN107493297B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710806679.7A CN107493297B (zh) 2017-09-08 2017-09-08 一种VxLAN隧道接入认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710806679.7A CN107493297B (zh) 2017-09-08 2017-09-08 一种VxLAN隧道接入认证的方法

Publications (2)

Publication Number Publication Date
CN107493297A CN107493297A (zh) 2017-12-19
CN107493297B true CN107493297B (zh) 2020-11-27

Family

ID=60651361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710806679.7A Active CN107493297B (zh) 2017-09-08 2017-09-08 一种VxLAN隧道接入认证的方法

Country Status (1)

Country Link
CN (1) CN107493297B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494894A (zh) * 2018-03-27 2018-09-04 快云信息科技有限公司 一种私有云集群接入系统和接入方法
CN109743244A (zh) * 2019-03-21 2019-05-10 山东华辰泰尔信息科技股份有限公司 一种基于sdn与nfv技术实现高速互联互通的系统和方法
CN110198317A (zh) * 2019-05-31 2019-09-03 烽火通信科技股份有限公司 一种基于端口的Portal认证方法及系统
CN113037684B (zh) * 2019-12-24 2022-05-24 中国电信股份有限公司 VxLan隧道认证方法、装置和系统及网关
CN111654485B (zh) * 2020-05-26 2023-04-07 新华三信息安全技术有限公司 一种客户端的认证方法以及设备
CN113676390B (zh) * 2021-07-21 2022-10-25 北京网聚云联科技有限公司 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台
CN117201230A (zh) * 2022-05-31 2023-12-08 中国电信股份有限公司 一种vxlan隧道的认证方法、系统、接入网关及入网设备
CN115065576B (zh) * 2022-08-17 2022-11-04 广州赛讯信息技术有限公司 Vxlan隧道的建立方法、装置、网络系统及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833288A (zh) * 2011-06-16 2012-12-19 深圳市汇川控制技术有限公司 通信桥接系统、方法及通信桥接装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103516760B (zh) * 2012-06-28 2017-04-05 上海贝尔股份有限公司 一种虚拟网络系统接入方法、装置及系统
CN103036810B (zh) * 2012-12-06 2016-02-03 杭州华三通信技术有限公司 基于多外网出口的外网访问控制方法及接入设备
CN105592180B (zh) * 2015-09-30 2019-09-06 新华三技术有限公司 一种Portal认证的方法和装置
CN106131066B (zh) * 2016-08-26 2019-09-17 新华三技术有限公司 一种认证方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833288A (zh) * 2011-06-16 2012-12-19 深圳市汇川控制技术有限公司 通信桥接系统、方法及通信桥接装置

Also Published As

Publication number Publication date
CN107493297A (zh) 2017-12-19

Similar Documents

Publication Publication Date Title
CN107493297B (zh) 一种VxLAN隧道接入认证的方法
EP3151509B1 (en) Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control
EP3151510B1 (en) Mac (l2) level authentication, security and policy control
EP3228053B1 (en) Enf selection for nfvi
WO2017186181A1 (zh) 网络访问控制
JP6619894B2 (ja) アクセス制御
US20180205575A1 (en) Broadband access
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
CN106230668B (zh) 接入控制方法及装置
CN103685026A (zh) 一种虚拟网络的接入方法和系统
JP6722816B2 (ja) パケット転送
WO2018019299A1 (zh) 一种虚拟宽带接入方法、控制器和系统
CN101461198A (zh) 中继网络系统及终端适配装置
CN100514929C (zh) 一种虚拟专用局域网的报文转发方法及装置
CN107342941A (zh) 一种vxlan控制平面的优化方法及装置
EP3151477B1 (en) Fast path content delivery over metro access networks
CN102404293A (zh) 一种双栈用户管理方法及宽带接入服务器
EP2467979B1 (en) Link state identifier collision handling
CN115442184A (zh) 一种接入系统及方法、接入服务器、系统及存储介质
CN102710802B (zh) IPv6配置信息提供装置及获取方法
US20140195693A1 (en) Service node and inter-service node user protocol message synchronization method
CN108123943B (zh) 信息验证方法及装置
Pepelnjak Mpls And Vpn Architectures (Volume Ii)
CN105763414A (zh) 一种表项的学习方法和装置
CN106254253B (zh) 私网路由生成方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant