CN113645174B - Vxlan接入认证方法以及vtep设备 - Google Patents
Vxlan接入认证方法以及vtep设备 Download PDFInfo
- Publication number
- CN113645174B CN113645174B CN202010344197.6A CN202010344197A CN113645174B CN 113645174 B CN113645174 B CN 113645174B CN 202010344197 A CN202010344197 A CN 202010344197A CN 113645174 B CN113645174 B CN 113645174B
- Authority
- CN
- China
- Prior art keywords
- vxlan
- authentication
- vni
- message
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L2012/4629—LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种VXLAN接入认证方法,可以应用于网络通信领域。该方法包括:认证点设备接收VXLAN认证报文,VXLAN认证报文为VXLAN报文。VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VNI,认证请求包括认证凭据。认证点设备根据认证凭据得到终端的权限,或得到第二VNI。其中,终端的权限与第二VNI对应;认证点设备向控制点设备发送终端的权限或第二VNI,控制点设备为将认证请求封装到VXLAN认证报文中的设备。本申请通过在overlay网络中执行VXLAN接入认证,可以在修改或创建VXLAN接入认证方式时,减轻配置的繁琐程度。
Description
技术领域
本申请涉及网络通信领域,尤其涉及虚似扩展局域网(Virtual Extensible LAN,VXLAN)接入认证方法以及VXLAN隧道端点(VXLAN tunnel endpoints,VTEP)设备。
背景技术
VXLAN是一种将在媒介接入控制(media access control,MAC)头前封装用户报文协议(User Datagram Protocol,UDP)头的网络虚似化技术。在VXLAN中,通常将基础的物理网络称为底层(underlay)网络,将虚拟化出来的网络称为衍附(overlay)网络。为了使用户能够快速接入VXLAN,控制点设备可以为用户提供自动接入功能。如图1所示,用户使用终端101向控制点设备102发送认证请求。控制点设备102支持underlay网络和overlay网络,underlay网络中的流量可以通过流量封装点进入overlay网络。underlay网络中的认证模块根据认证请求中携带的源MAC地址,通过underlay网络向认证服务器103发起认证请求。控制点设备102通过underlay网络接收到来自认证服务器103针对该源MAC地址的认证结果。当认证结果为认证成功时,控制点设备102在流量封装点对终端101的流量进行VXLAN报文封装,让该流量进入overlay网络,然后进入相对应的VXLAN网络。
当前VXLAN流量的接入认证是在underlay网络执行,只有流量通过underlay网络的接入认证后,才能进入overlay网络。若要修改接入认证方式,不仅需要在underlay网络做相应配置,还需要在overlay网络做相应配置,导致配置繁琐。
发明内容
本申请提供了一种VXLAN接入认证方法以及VTEP设备,可以减轻在配置的繁琐程度。
本申请第一方面提供了一种VXLAN接入认证方法,包括:
认证点设备通过VXLAN隧道可以接收到控制点设备发送VXLAN认证报文。该VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识(VXLAN Network Identifier,VNI),认证请求包括认证凭据。认证点设备根据认证凭据得到终端可以访问网络的权限,或者得到第二VNI。其中,终端可以访问网络的权限与第二VNI对应。认证点设备向控制点设备发送终端可以访问网络的权限或第二VNI,控制点设备是将认证请求封装到VXLAN认证报文中的设备。
其中,因为VXLAN认证报文为VXLAN报文,因此VXLAN接入认证是在overlay网络执行的。通过在overlay网络中执行VXLAN接入认证,使得在修改或创建VXLAN接入认证方式时,只需在overlay网络做相应配置,减轻配置的繁琐程度。
基于本申请第一方面,在本申请第一方面的第一种实施方式中,第一VNI对应的VXLAN网络中不运行数据流量。在VXLAN接入认证中,第一VNI对应的VXLAN网络充当的是接入认证的前域。不同的用户,或者不同的终端可以通过该前域获得访问网络的权限,或者得到VNI。通过不在第一VNI对应的VXLAN网络中运行数据流量,可以提升VXLAN接入认证的效率。
基于本申请第一方面,在本申请第一方面的第二种实施方式中,本申请中的VXLAN接入认证采用基于超文本传输协议(hypertext transfer protocol,HTTP)或安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS)的Portal认证的方式进行接入认证。在认证点设备接收VXLAN认证报文之前,认证点设备可以接收到控制点设备发送的第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一HTTP请求,第一VXLAN头包括第一VNI。其中,第一HTTP请求可以是第一HTTPS请求。在认证点设备接收到第一VXLAN报文后,认证点设备向控制点设备发送第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的统一资源标识符(uniform resource identifier,URI)。
其中,第一VXLAN头包括第一VNI,第二VXLAN头也包括第一VNI,即在接入认证前的数据传输是在第一VNI对应的VXLAN网络中。在Portal认证方式下,统一将接入认证前的数据在第一VNI对应的VXLAN网络中传输,可以方便管理。
基于本申请第一方面,或本申请第一方面的第一种实施方式至第二种实施方式中的任意一种实施方式,在本申请第一方面的第三种实施方式中,控制点设备为边缘设备,认证点设备为边界设备。边界设备是第一VNI对应的VXLAN网络出口,表示VXLAN网络与外部网络的对接设备,通常是VXLAN网络的三层网关。边缘设备与终端相连。一般情况下,一台边界设备可以与多台边缘设备相连,每台边缘设备可以与一台边界设备完成VXLAN接入认证。通过在边界设备上集中做认证、在边缘设备上各自做认证请求的VXLAN报文封装,可以简化VXLAN接入认证的配置和管理。
基于本申请第一方面,或本申请第一方面的第一种实施方式至第三种实施方式中的任意一种实施方式,在本申请第一方面的第四种实施方式中,第一VNI为默认认证VXLAN的VNI。具体可以表现为,当认证点设备接收到VXLAN头包括第一VNI的报文,认证点设备默认该报文是与VXLAN接入认证相关的报文,据此来做相应处理。认证点设备不仅可以属于第一VNI相对应的VXLAN网络,还可以属于其它VNI相对应的VXLAN网络。通过将第一VNI作为默认认证VXLAN的VNI,可以提升认证点设备的处理效率。
本申请第二方面提供了一种VXLAN接入认证方法,包括:
控制点设备通过VXLAN隧道向认证点设备发送VXLAN认证报文,VXLAN认证报文为VXLAN报文。VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据。控制点设备接收终端的权限,或接收第二VNI。其中,终端的权限与第二VNI对应。终端的权限,或者第二VNI由认证点设备根据认证凭据得到。在控制点设备接收到终端的权限,或接收到第二VNI后,控制点设备将来自终端的报文封装为第二VNI对应的VXLAN网络中的VXLAN报文。
其中,因为VXLAN认证报文为VXLAN报文,因此VXLAN接入认证是在overlay网络执行的。通过在overlay网络中执行VXLAN接入认证,使得在修改或创建VXLAN接入认证方式时,只需在overlay网络做相应配置,减轻配置的繁琐程度。
基于本申请第二方面,在本申请第二方面的第一种实施方式中,第一VNI对应的VXLAN网络中不运行数据流量。在VXLAN接入认证中,第一VNI对应的VXLAN网络充当的是接入认证的前域。不同的用户,或者不同的终端可以通过该前域获得访问网络的权限,或者得到VNI。通过不在第一VNI对应的VXLAN网络中运行数据流量,可以提升VXLAN接入认证的效率。
基于本申请第二方面,在本申请第二方面的第二种实施方式中,本申请中的VXLAN接入认证采用基于HTTP或HTTPS的Portal认证的方式进行接入认证。在控制点设备向认证点设备发送VXLAN认证报文之前,控制点设备向认证点设备发送第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一HTTP请求,其中,第一HTTP请求可以是第一HTTPS请求,第一VXLAN头包括所述第一VNI。控制点设备还可以接收认证点设备发送第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的URI。
其中,第一VXLAN头包括第一VNI,第二VXLAN头也包括第一VNI,即在接入认证前的数据传输是在第一VNI对应的VXLAN网络中。在Portal认证方式下,统一将接入认证前的数据在第一VNI对应的VXLAN网络中传输,可以方便管理。
基于本申请第二方面,或本申请第二方面的第一种实施方式至第二种实施方式中的任意一种实施方式,在本申请第二方面的第三种实施方式中,控制点设备为边缘设备,认证点设备为边界设备。通过在边界设备上集中做认证、在边缘设备上各自做认证请求的VXLAN报文封装,可以简化VXLAN接入认证的配置和管理。
基于本申请第二方面,或本申请第二方面的第一种实施方式至第三种实施方式中的任意一种实施方式,在本申请第二方面的第四种实施方式中,第一VNI为默认认证VXLAN的VNI。具体可以表现为,当控制点设备接收到与VXLAN接入认证相关的请求时,控制点设备对该请求进行VXLAN报文封装,VXLAN报文的头部携带第一VNI。控制点设备不仅可以属于第一VNI相对应的VXLAN网络,还可以属于其它VNI相对应的VXLAN网络。通过将第一VNI作为默认认证VXLAN的VNI,可以提升控制点设备的处理效率。
本申请第三方面提供了一种VTEP设备,包括:
接收单元,用于接收VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
处理单元,用于根据认证凭据得到终端的权限,或得到第二VNI,其中,终端的权限与第二VNI对应;
发送单元,用于向控制点设备发送终端的权限或第二VNI,控制点设备为将认证请求封装到VXLAN认证报文中的设备。
基于本申请第三方面,在本申请第三方面的第一种实施方式中,第一VNI对应的VXLAN网络中不运行数据流量。
基于本申请第三方面,在本申请第三方面的第二种实施方式中,接收单元还用于接收控制点设备发送的第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,第一VXLAN头包括第一VNI;
发送单元还用于向控制点设备发送第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的统一资源标识符URI。
基于本申请第三方面,或本申请第三方面的第一种实施方式至第二种实施方式中的任意一种实施方式,在本申请第三方面的第三种实施方式中,控制点设备为边缘设备,VTEP设备为边界设备。
基于本申请第三方面,或本申请第三方面的第一种实施方式至第三种实施方式中的任意一种实施方式,在本申请第三方面的第四种实施方式中,第一VNI为默认认证VXLAN的VNI。
关于本申请第三方面中VTEP设备的有益效果的描述,可以参考前述第一方面对VXLAN接入认证方法的描述。
本申请第四方面提供了一种VTEP设备,包括:
发送单元,用于向认证点设备发送VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
接收单元,用于接收终端的权限,或接收第二VNI,终端的权限与第二VNI对应,终端的权限,或者第二VNI由认证点设备根据认证凭据得到;
封装单元,用于将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。
基于本申请第四方面,在本申请第四方面的第一种实施方式中,第一VNI对应的VXLAN网络中不运行数据流量。
基于本申请第四方面,在本申请第四方面的第二种实施方式中,发送单元还用于向认证点设备发送第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,第一VXLAN头包括第一VNI;
接收单元还用于接收认证点设备发送的第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的统一资源标识符URI。
基于本申请第四方面,或本申请第四方面的第一种实施方式至第二种实施方式中的任意一种实施方式,在本申请第四方面的第三种实施方式中,VTEP设备为边缘设备,认证点设备为边界设备。
基于本申请第四方面,或本申请第四方面的第一种实施方式至第三种实施方式中的任意一种实施方式,在本申请第四方面的第四种实施方式中,第一VNI为默认认证VXLAN的VNI。
关于本申请第四方面中VTEP设备的有益效果的描述,可以参考前述第二方面对VXLAN接入认证方法的描述。
本申请第五方面提供了一种VTEP设备,包括:
处理器和收发器;
其中,收发器用于接收VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
处理器用于根据认证凭据得到终端的权限,或得到第二VNI,其中,终端的权限与第二VNI对应;
收发器还用于向控制点设备发送终端的权限或第二VNI,控制点设备为将认证请求封装到VXLAN认证报文中的设备。
本申请第六方面提供了一种VTEP设备,包括:
处理器和收发器;
其中,处理器用于对认证请求进行VXLAN报文封装,以得到VXLAN认证报文。
收发器用于向认证点设备发送VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
收发器还用于接收终端的权限,或接收第二VNI,终端的权限与第二VNI对应,终端的权限,或者第二VNI由认证点设备根据认证凭据得到;
处理器还用于将来自终端的报文封装为第二VNI对应的VXLAN网络中的VXLAN报文。
本申请第七方面提供了一种计算机存储介质,其特征在于,所述计算机存储介质中存储有指令,所述指令在计算机上执行时,使得所述计算机执行如第一方面或第一方面任意一种实施方式所述的方法;或执行如第二方面或第二方面任意一种实施方式所述的方法。
本申请第八方面提供了一种计算机程序产品,其特征在于,所述计算机程序产品在计算机上执行时,使得所述计算机执行如第一方面或第一方面任意一种实施方式所述的方法;或执行如第二方面或第二方面任意一种实施方式所述的方法。
附图说明
图1为VXLAN接入认证的示意图;
图2为underlay网络和overlay网络对比的示意图;
图3为不同VNI的组网示意图;
图4为本申请实施例中网络框架的示意图;
图5为本申请实施例中VXLAN认证方法的流程示意图;
图6为本申请实施例中VXLAN接入认证的示意图;
图7为本申请实施例中VTEP设备的一个结构示意图;
图8为本申请实施例中VTEP设备的另一个结构示意图;
图9为本申请实施例中VTEP设备的另一个结构示意图。
具体实施方式
本申请实施例提供了一种VXLAN接入认证方法以及VTEP设备,应用于网络通信领域,在修改或创建VXLAN接入认证方式时,可以减轻配置的繁琐程度。
VXLAN能够在任意路由可达的网络上叠加二层虚拟网络,通过VXLAN网关实现VXLAN网络内部的互通,同时,也可以实现与传统的非VXLAN网络的互通。VXLAN通过将终端的原始报文封装在UDP报文中来延伸二层网络,即将以太报文封装在IP报文之上,通过路由在网络中传输,无需关注终端的MAC地址。通过路由网络,终端的迁移不受网络架构限制。
VXLAN报文封装,原始报文(如以太网帧)在VXLAN报文封装过程中先被添加一个VXLAN头,再被封装在UDP报头中,并使用底层网络的IP、MAC地址作为外层头进行封装。因此,在VXLAN报文中,除了原始报文,还会包括VXLAN头,外层UDP头,外层IP头。
VTEP(VXLAN tunnel endpoints,VXLAN隧道端点)设备可以对VXLAN报文进行封装和解封装。VXLAN报文中外层IP头的源IP地址为源端VTEP的IP地址,目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VXLAN隧道。在源端VTEP封装VXLAN报文后,源端VTEP向目的端VTEP发送封装报文,目的端VTEP对接收到的封装报文进行解封装。
通常,为了便于区分和说明,如图2所示,通常将基础的物理网络称为underlay网络201,将虚拟化出来的VXLAN网络称为overlay网络202。同时,将overlay网络202中的虚拟设备分成两种角色,一种代表VXLAN网络的出口,称之为边界设备,如图2中的D1。边界设备D1与外部网络对接,通常是VXLAN网络的三层网关,通常对应于underlay网络的出口网关B1,出口网关B1可以是交换机。另一种代表VXLAN网络的接入,称之为边缘设备,如图2中的C1-C5。边缘设备表示VXLAN网络接入终端的部分。边缘设备通常对应于underlay网络的网络接入设备,如图2中的A1-A5,网络接入设备一般可以是交换机或无线访问接入点(wireless access point,AP)。图2中overlay网络202的C1-C5分别对应于underlay网络201中的网络接入设备A1-A5。D1对应于出口网关B1。边缘设备C1-C5,以及边界设备D1都属于VTEP设备。
在VXLAN网络中,通过VNI区分VXLAN段,不同VXLAN段的终端不能直接二层相互通信。一个VNI表示一个租户,或一个子网,或一个工作群组。一个租户可以包括一个或多个终端。VNI对应的VXLAN网络是指该VNI对应租户下的终端互相进行二层通信时,携带该VNI的VXLAN报文所通过的所有通道。通过使用VXLAN技术进行组网,可以实现不同租户之间的网络相互隔离。如图3所示,图3为不同VNI的组网示意图。其中,第二VNI301包括边缘设备C1,边缘设备C5,边界设备D1。第三VNI302包括边缘设备C1,边缘设备C3,边缘设备C5。第四VNI303包括边缘设备C1,边缘设备C2,边缘设备C3,边缘设备C4,边缘设备C5,边界设备D1。第二VNI301,第三VNI302以及第四VNI303都是overlay网络。下面以第二VNI301为例进行说明。第二VNI301对应的VXLAN网络包括边缘设备C1与边缘设备C5之间的VXLAN隧道,边缘设备C1与边界设备D1的VXLAN隧道,以及边缘设备C5与边界设备D1的VXLAN隧道。在VXLAN隧道传输的VXLAN报文的VXLAN头中包括第二VNI。第二VNI是overlay网络,该overlay网络对应的underlay网络包括网络接入设备A1,网络接入设备A5,出口网关B1。该underlay网络还可以包括为实现物理连通性的其它设备,例如网络接入设备A1与出口网关B1之间的交换机等。
VXLAN接入认证是指通过对终端进行认证,确定终端的流量数据应当进入哪个VXLAN网络。若与终端相连的VTEP设备只有一个VXLAN网络,则VXLAN接入认证可以理解为是否同意终端的数据流量进入该VXLAN网络。
通过在underlay网络执行VXLAN接入认证,让接入认证成功的终端的流量可以在第二VNI301中传输。接入认证失败的终端的流量将无法进入第二VNI301,即VXLAN网络流量的识别和接入认证是由underlay网络来实现的。第二VNI301对应的VXLAN网络实际上只是作为流量传输网络,无法针对终端的流量,以及接入认证进行管控。如果想对终端的流量,以及接入认证进行管控,比如针对不同VNI配置不同的接入认证方式,还得依赖并转换为overlay网络的配置。导致overlay网络与underlay网络的配置和流程交织在一起,无法直接基于VXLAN网络进行配置,既不容易理解,也不方便配置,导致配置和操作均相对复杂繁琐。比如,企业通常采用VXLAN网络来实现网络隔离,通常需要根据业务特性直接对这些隔离出来的VXLAN网络进行相关的配置,如针对不同类型的VXLAN网络配置不同的接入认证策略,比如,办公网可以是有线终端和无线终端接入,采用802.1x接入认证方式;生产网只能是有线终端接入,采用基于802.1x的MAC旁路认证;访客网只能无线终端接入,采用Portal认证。按照该配置方法,必须转换到underlay网络里进行配置才行,配置流程和步骤均比较复杂。
本申请实施例中,通过在overlay网络中进行VXLAN接入认证,实现underlay网络和overlay网络的相互解耦。underlay网络主要负责物理网络的互连互通,保证IP可达性和可靠性,提供基础的网络连通性。overlay网络则负责对终端的流量和接入认证进行管控,匹配企业对网络的业务诉求,以提供灵活的网络业务属性。若要在overlay网络中进行VXLAN接入认证,则必须在未明确终端的流量应当进入哪个VXLAN网络之前,让终端的认证请求进入一个VXLAN网络。本申请实施例以图2中的overlay网络202作为第一VNI202为例进行说明。在第一VNI中执行终端的VXLAN接入认证,在认证成功后,终端的数据流量将会进入第二VNI301。
下面对本申请实施例的网络框架进行描述。
请参阅图4,图4为本申请实施例中网络框架的示意图。
图4包括:终端401,控制点设备402,以及认证点设备403。
终端401通过有线或无线方式与控制点设备402相连。终端401可以是手机,平板电脑,物联网终端设备,车载设备,可穿戴设备,计算设备等。终端401的主要的功能是向控制点设备402发送认证请求,在认证成功后,终端401通过控制点设备402转发数据流量。应当确定的是,终端401可以在认证成功前,尝试向控制点设备402发送希望转发的数据流量。
控制点设备402是VTEP设备,VTEP设备可以是交换机,AP等。图4中以控制点设备402为AP为例画图。控制点设备402既包括underlay网络的部分,也包括overlay网络的部分。以图2为例进行说明,控制点设备402既是图2中的边缘设备C1,也是网络接入设备A1。控制点设备402主要的功能是接收控制点设备402发送认证请求,对认证请求进行VXLAN报文封装,以获得VXLAN认证报文,向认证点设备403发送VXLAN认证报文。根据认证点设备403的回复对终端的流量进行相应的转发。
认证点设备403是VTEP设备。认证点设备403主要的功能是接收控制点设备402发送的VXLAN认证报文,根据VXLAN认证报文得到终端401的权限,或得到第二VNI,并向控制点设备402返回认证结果。认证点设备403可以只加入第一VNI对应的VXLAN网络,不加入其它的VXLAN网络,那么,认证点设备403就可以只用于做接入认证。例如以图2中的出口网关B1作为认证点设备403,overlay网络202作为与第一VNI对应的VXLAN网络,认证点设备403在第一VNI对应的VXLAN网络中。以图3中的overlay网络302作为第二VNI对应的VXLAN网络,认证点设备403未加入第二VNI对应的VXLAN网络。
上面对本申请实施例的网络框架进行了描述,下面对本申请实施例中的VXLAN接入认证方法进行描述。示例性的,本申请实施例所涉及附图中以虚线标识的特征或内容可理解为实施例可选地操作或者可选地结构。
请参阅图5,图5为本申请实施中VXLAN接入认证方法的流程示意图。
在步骤501中,终端向控制点设备发送第一HTTP请求。
终端连接到控制点设备后,终端打开浏览器访问任意HTTP网页。终端访问任意HTTP网页的过程就是向控制点设备发送第一HTTP请求的过程。其中,若终端访问的是任意HTTPS网页,则终端向控制点设备发送的是第一HTTPS请求。
在步骤502中,控制点设备将第一HTTP请求封装到第一VXLAN报文。
控制点设备在接收到终端发送的第一HTTP请求后,对第一HTTP请求进行VXLAN报文封装,以得到第一VXLAN报文。第一VXLAN报文包括第一VXLAN头和第一HTTP请求,第一VXLAN头包括第一VNI。第一VXLAN报文中的源IP地址为控制点设备的IP地址,目的IP地址为认证点设备的IP地址。
在步骤503中,控制点设备向认证点设备发送第一VXLAN报文。
控制点设备和认证点设备都是属于第一VNI的网络设备,控制点设备和认证点设备可以直接通过VXLAN隧道进行通信。
在步骤504中,认证点设备向控制点设备发送第二VXLAN报文,第二VXLAN报文包括HTTP重定向报文。
在认证点设备接收到控制点设备发送的第一VXLAN报文后,认证点设备对第一VXLAN报文进行解封装,获得第一HTTP请求。认证点设备读取第一HTTP请求中请求访问的网址。若该网址为访问门户服务器或设定的免费访问的网址,则认证点设备向控制点设备回复第三VNI。其中,终端的数据流量通过控制点设备向第三VNI对应的VXLAN隧道转发,可以到达门户服务器或免费访问的网址的服务器。若该网址不是前述的网址,即不是访问门户服务器或设定的免费访问的网址,则认证点设备向控制点设备发送第二VXLAN报文。其中,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的URI。若与门户服务器相连的VTEP设备不在第一VNI中,则第二VXLAN报文还可以包括第四VNI,用于指示控制点设备转发终端指向门户服务器的流量。
在步骤505中,控制点设备向终端发送HTTP重定向报文。
在控制点设备接收到认证点设备发送的第二VXLAN报文后,控制点设备对第二VXLAN报文进行解封装,得到HTTP重定向报文。终端接收到HTTP重定向报文后,可以访问门户服务器的URI。终端访问该URI的过程可以理解为终端向控制点设备发送第二HTTP请求的过程。
控制点设备在接收到终端发送的第二HTTP请求后,对第二HTTP请求进行VXLAN报文封装,以得到第三VXLAN报文。第三VXLAN报文包括第三VXLAN头和第二HTTP请求,第三VXLAN头包括第一VNI。第三VXLAN报文中的源IP地址为控制点设备的IP地址,目的IP地址为认证点设备的IP地址。控制点设备通过VXLAN隧道向认证点设备发送第三VXLAN报文。
认证点设备对第三VXLAN报文解封装,得到第二HTTP请求。认证点设备根据第二HTTP请求中门户服务器的URI得到第四VNI,对第四VNI进行VXLAN报文封装,得到第四VXLAN报文。第四VXLAN报文包括第四VXLAN头和第四VNI,第四VXLAN头包括第一VNI。认证点设备向控制点设备发送第四VXLAN报文。
控制点设备接收到第四VXLAN报文后,对第四VXLAN报文进行解封装,得到第四VNI。控制点设备重新对第二HTTP请求进行VXLAN报文封装,以得到第五VXLAN报文。第五VXLAN报文包括第五VXLAN头和第二HTTP请求,第五VXLAN头包括第四VNI。第五VXLAN报文中的源IP地址为控制点设备的IP地址,目的IP地址为门户服务器连接的VTEP设备的IP地址。控制点设备通过VXLAN隧道向门户服务器发送第五VXLAN报文。
可选地,若第二VXLAN报文包括第四VNI,则控制点设备可以不向认证点设备发送第三VXLAN报文。控制点设备对第二HTTP请求进行VXLAN报文封装,得到第五VXLAN报文,并向门户服务器发送第五VXLAN报文。
在步骤506中,终端向控制点设备发送认证请求,该认证请求包括认证凭据。
在终端访问门户服务器的URI后,门户服务器向终端返回认证页面。终端在认证页面中输入认证凭据,并向控制点设备发送认证请求,认证请求中包括认证凭据,认证凭据可以包括用户名和密码。因为终端采用HTTP/HTTPS协议进行Portal认证,因此认证请求是HTTP POST或HTTP GET。在HTTP POST中,认证凭据放置在HTTP请求包的包体中,不作为URL的一部分。在HTTP GET中,认证凭据会附加在URL之后,以“?”分割URL和认证凭据。
可选地,认证凭据还包括终端的设备类型,终端的设备类型根据终端与控制点设备的连接方式确定。若终端与控制点设备通过无线连接,则终端的设备类型为无线设备;若终端与控制点设备通过有线连接,则终端的设备类型为有线设备。
可选地,步骤501-步骤505可以不执行。在采用Portal认证的方式进行接入认证时,才需要执行步骤501-步骤505。在采用其它的接入认证方式时,终端可以直接向控制点设备发送认证请求。例如终端可以采用802.1X认证,在802.1X认证中,终端使用可扩展认证协议(extensible authentication protocol,EAP)向控制点设备发送认证请求。认证请求中的认证凭据可以携带于不同的报文。例如,认证凭据中的用户名通过Identity类型的响应报文(EAP-Response/Identity)发送给控制点设备,认证凭据中的密码通过EAP-Response报文或MD5 Challenge报文发送给控制点设备。
在步骤507中,控制点设备将认证请求封装到VXLAN认证报文中,该VXLAN认证报文的VXLAN头包括第一VNI。
控制点设备在接收到终端发送的认证请求后,对第认证请求进行VXLAN报文封装,以得到VXLAN认证报文。VXLAN认证报文包括VXLAN头和认证请求,VXLAN头包括第一VNI。VXLAN认证报文中的源IP地址为控制点设备的IP地址,目的IP地址为认证点设备的IP地址。
与在underlay网络中做VXLAN接入认证不同的是,控制点设备接收到认证请求后,会对认证请求进行VXLAN报文封装,使得认证请求可以进入第一VNI。请参阅图6,图6为本申请实施中AN接入认证的示意图。图6包括终端601,认证点设备603以及控制点设备602。其中,控制点设备602支持underlay网络和overlay网络。终端601发送的认证请求到达控制点设备602后,会直接经过流量封装点进行封装,从而使认证请求进入overlay网络。
可选地,在不执行步骤501-步骤505的情况下,第一VNI对应的VXLAN网络中不运行数据流量,即与终端相关的,且携带第一VNI的报文只有VXLAN认证报文和认证点设备对控制点设备的回复。与终端相关的报文是指终端发出的报文。
可选地,第一VNI为默认认证VXLAN的VNI。即在控制点设备接收到与VXLAN接入认证相关的报文后,都是默认采用第一VNI对报文进行VXLAN报文封装。与VXLAN接入认证相关的报文包括认证请求,第一VXLAN报文,第三VXLAN报文等。
可选地,控制点设备为边缘设备,认证点设备为边界设备。本申请实施例是以控制点设备为边缘设备,认证点设备为边界设备为例进行说明。在具体实施中,控制点设备可以是边界设备,认证点设备可以是边缘设备。
在步骤508中,控制点设备向认证点设备发送VXLAN认证报文。
控制点设备通过第一VNI对应的VXLAN隧道向认证点设备发送VXLAN认证报文。
在步骤509中,认证点设备根据认证凭据得到终端的权限,或者得到第二VNI。
认证点设备接收到VXLAN认证报文,对VXLAN认证报文进行解封装,得到认证请求。认证点设备根据认证请求中的认证凭据得到终端的权限,或者得到第二VNI。终端的权限是指控制点设备是否允许终端的数据流量通过,若允许终端的数据流量通过,则终端的权限可以包括第二VNI。认证点设备中包括认证凭据与终端的权限的映射关系。通过该映射关系,认证点设备可以得到认证凭据相对应的终端的权限,或者得到第二VNI。
可选地,认证点设备与认证点服务器相连。认证点设备在得到认证请求后,向认证点服务器发送认证凭据。认证点服务器中包括认证凭据与终端的权限的映射关系。在认证点服务器根据认证凭据得到终端的权限,或者得到第二VNI后,认证点服务器向认证点设备发送终端的权限,或者第二VNI。
可选地,若认证凭据还包括终端的设备类型。认证点设备可以根据用户名,和终端的设备类型得到终端的权限,或者第二VNI。例如,都是用户名张三,用不同设备类型的终端向控制点设备发送认证请求。若终端的类型为无线设备,则认证点设备根据认证凭据得到终端的权限为禁止通过;若终端的类型为有线设备,则认证点设备根据认证凭据得到第二VNI。
在步骤510中,认证点设备向控制点设备发送终端的权限,或者第二VNI。
认证点设备对终端的权限,或者第二VNI进行VXLAN报文封装,得到的VXLAN报文的VXLAN头包括第一VNI。认证点设备通过第一VNI对应的VXLAN隧道向控制点设备发送该VXLAN报文。
在步骤511中,控制点设备根据终端的权限,或者第二VNI对终端的流量进行转发。
若控制点设备接收到的是第二VNI,则控制点设备在接收到终端的数据流量后,对终端的数据流量进行VXLAN报文封装,得到的VXLAN报文的VXLAN头包括第二VNI。并通过与第二VNI对应的VXLAN隧道转发该VXLAN报文。
若控制点设备接收到的是终端的权限,例如一个名字或群组,则认证点设备先查找映射表,获取该名字或群组相对应的第二VNI,然后对终端的数据流量进行VXLAN报文封装,得到的VXLAN报文的VXLAN头包括第二VNI。并通过与第二VNI对应的VXLAN隧道转发该VXLAN报文。
上面对本申请实施例中的VXLAN接入认证方法进行了描述,下面对本申请实施例中的VTEP设备进行描述。
请参阅图7,图7为本申请实施例中VTEP设备的一个结构示意图。
接收单元701,用于接收VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
处理单元702,用于根据认证凭据得到终端的权限,或得到第二VNI,其中,终端的权限与第二VNI对应;
发送单元703,用于向控制点设备发送终端的权限或第二VNI,控制点设备为将认证请求封装到VXLAN认证报文中的设备。
其中,因为VXLAN认证报文为VXLAN报文,因此VXLAN接入认证是在overlay网络执行的。通过在overlay网络中执行VXLAN接入认证,使得在修改或创建VXLAN接入认证方式时,只需在overlay网络做相应配置,减轻配置的繁琐程度。
在图7所述的VTEP设备基础上,VTEP设备还可以包括:
可选地,第一VNI对应的VXLAN网络中不运行数据流量。
可选地,接收单元701还用于接收控制点设备发送的第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,第一VXLAN头包括第一VNI;
发送单元703还用于向控制点设备发送第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的统一资源标识符URI。
可选地,控制点设备为边缘设备,VTEP设备为边界设备。
可选地,第一VNI为默认认证VXLAN的VNI。
请参阅图8,图8为本申请实施例中VTEP设备的另一个结构示意图。
发送单元801,用于向认证点设备发送VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据;
接收单元802,用于接收终端的权限,或接收第二VNI,终端的权限与第二VNI对应,终端的权限,或者第二VNI由认证点设备根据认证凭据得到;
封装单元803,用于将来自所终端的报文封装为第二VNI对应的VXLAN网络中的VXLAN报文。
在图8所述的VTEP设备基础上,VTEP设备还可以包括:
可选地,第一VNI对应的VXLAN网络中不运行数据流量。
可选地,发送单元801还用于向认证点设备发送第一VXLAN报文,第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,第一VXLAN头包括第一VNI;
接收单元802还用于接收认证点设备发送的第二VXLAN报文,第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,第二VXLAN头包括第一VNI,HTTP重定向报文包括门户服务器的统一资源标识符URI。
可选地,VTEP设备为边缘设备,认证点设备为边界设备。
可选地,第一VNI为默认认证VXLAN的VNI。
请参阅图9,图9为本申请实施例中VTEP设备的另一个结构示意图。
如图9所示,VTEP设备900包括处理器910,与所述处理器910耦接的收发器920。VTEP设备900可以是图4、图5和图6的认证点设备。处理器910可以是中央处理器(centralprocessing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。处理器910可以是指一个处理器,也可以包括多个处理器。
收发器920是用于在设备间接收和/或发送电信号的硬件电子器件。收发器920包括光纤收发器,射频收发器和CAN收发器以及宽带通信收发器等。收发器920用于接收VXLAN认证报文,VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据。
处理器910用于根据认证凭据得到终端的权限,或得到第二VNI,其中,终端的权限与第二VNI对应。
收发器920还用于向控制点设备发送终端的权限或第二VNI,控制点设备为将认证请求封装到VXLAN认证报文中的设备。
可选地,VTEP设备900还包括存储器,存储器可以包括易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如只读存储器(read-only memory,ROM),快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器还可以包括上述种类的存储器的组合。
此外,处理器910执行存储器中的计算机可读指令后,可以按照所述计算机可读指令的指示,执行VTEP设备可以执行的全部操作,例如认证点设备在与图5对应的实施例中执行的操作。
请参阅图9,图9为本申请实施例中VTEP设备的另一个结构示意图。
如图9所示,VTEP设备900包括处理器910,与所述处理器910耦接的收发器920。VTEP设备900可以是图4、图5和图6的控制点设备。处理器910可以是中央处理器(centralprocessing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。处理器910可以是指一个处理器,也可以包括多个处理器。
处理器910用于对认证请求进行VXLAN报文封装,以得到VXLAN认证报文。
收发器920是用于在设备间接收和/或发送电信号的硬件电子器件。收发器920包括光纤收发器,射频收发器和CAN收发器以及宽带通信收发器等。收发器920用于用于向认证点设备发送VXLAN认证报文。VXLAN认证报文为VXLAN报文,VXLAN认证报文包括VXLAN头和终端发送的认证请求,VXLAN头包括第一VXLAN网络标识VNI,认证请求包括认证凭据。收发器920还用于接收终端的权限,或接收第二VNI,终端的权限与第二VNI对应。终端的权限,或者第二VNI由认证点设备根据认证凭据得到。
处理器910还用于将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。
可选地,VTEP设备900还包括存储器,存储器可以包括易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如只读存储器(read-only memory,ROM),快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器还可以包括上述种类的存储器的组合。
此外,处理器910执行存储器中的计算机可读指令后,可以按照所述计算机可读指令的指示,执行VTEP设备可以执行的全部操作,例如控制点设备在与图5对应的实施例中执行的操作。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:闪存盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (19)
1.一种VXLAN接入认证方法,其特征在于,包括:
认证点设备接收VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
所述认证点设备通过所述认证凭据与所述终端的权限的映射关系得到所述终端的权限,或得到第二VNI,其中,所述终端的权限与所述第二VNI对应;
所述认证点设备向控制点设备发送所述终端的权限或所述第二VNI,所述控制点设备为将所述认证请求封装到所述VXLAN认证报文中的设备。
2.根据权利要求1所述的方法,其特征在于,所述第一VNI对应的VXLAN网络中不运行数据流量。
3.根据权利要求1所述的方法,其特征在于,在所述认证点设备接收所述VXLAN认证报文之前,所述方法还包括:
所述认证点设备接收所述控制点设备发送的第一VXLAN报文,所述第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,所述第一VXLAN头包括所述第一VNI;
所述认证点设备向所述控制点设备发送第二VXLAN报文,所述第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,所述第二VXLAN头包括所述第一VNI,所述HTTP重定向报文包括门户服务器的统一资源标识符URI。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述控制点设备为边缘设备,所述认证点设备为边界设备。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述第一VNI为默认认证VXLAN的VNI。
6.一种VXLAN接入认证方法,其特征在于,包括:
控制点设备向认证点设备发送VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
所述控制点设备接收所述终端的权限,或接收第二VNI,所述终端的权限与所述第二VNI对应,所述终端的权限,或者第二VNI由所述认证点设备通过所述认证凭据与所述终端的权限的映射关系得到;
所述控制点设备将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。
7.根据权利要求6所述的方法,其特征在于,所述第一VNI对应的VXLAN网络中不运行数据流量。
8.根据权利要求6所述的方法,其特征在于,在所述控制点设备向认证点设备发送VXLAN认证报文之前,所述方法还包括:
所述控制点设备向所述认证点设备发送第一VXLAN报文,所述第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,所述第一VXLAN头包括所述第一VNI;
所述控制点设备接收所述认证点设备发送的第二VXLAN报文,所述第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,所述第二VXLAN头包括所述第一VNI,所述HTTP重定向报文包括门户服务器的统一资源标识符URI。
9.根据权利要求6至8中任意一项所述的方法,其特征在于,所述控制点设备为边缘设备,所述认证点设备为边界设备。
10.根据权利要求6至9中任意一项所述的方法,其特征在于,所述第一VNI为默认认证VXLAN的VNI。
11.一种VTEP设备,其特征在于,包括:
接收单元,用于接收VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
处理单元,用于通过所述认证凭据与所述终端的权限的映射关系得到所述终端的权限,或得到第二VNI,其中,所述终端的权限与所述第二VNI对应;
发送单元,用于向控制点设备发送所述终端的权限或所述第二VNI,所述控制点设备为将所述认证请求封装到所述VXLAN认证报文中的设备。
12.根据权利要求11所述的设备,其特征在于,所述第一VNI对应的VXLAN网络中不运行数据流量。
13.根据权利要求11所述的设备,其特征在于,
所述接收单元还用于接收所述控制点设备发送的第一VXLAN报文,所述第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求,所述第一VXLAN头包括所述第一VNI;
所述发送单元还用于向所述控制点设备发送第二VXLAN报文,所述第二VXLAN报文包括第二VXLAN头和HTTP重定向报文,所述第二VXLAN头包括所述第一VNI,所述HTTP重定向报文包括门户服务器的统一资源标识符URI。
14.根据权利要求11至13中任意一项所述的设备,其特征在于,所述控制点设备为边缘设备,认证点设备为边界设备。
15.一种VTEP设备,其特征在于,包括:
发送单元,用于向认证点设备发送VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
接收单元,用于接收所述终端的权限,或接收第二VNI,所述终端的权限与所述第二VNI对应,所述终端的权限,或者第二VNI由所述认证点设备通过所述认证凭据与所述终端的权限的映射关系得到;
封装单元,用于将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。
16.根据权利要求15所述的设备,其特征在于,所述第一VNI为默认认证VXLAN的VNI。
17.一种VTEP设备,其特征在于,包括:
处理器和收发器;
其中,所述收发器用于接收VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
所述处理器用于通过所述认证凭据与所述终端的权限的映射关系得到所述终端的权限,或得到第二VNI,其中,所述终端的权限与所述第二VNI对应;
所述收发器还用于向控制点设备发送所述终端的权限或所述第二VNI,所述控制点设备为将所述认证请求封装到所述VXLAN认证报文中的设备。
18.一种VTEP设备,其特征在于,包括:
处理器和收发器;
其中,所述处理器用于对认证请求进行VXLAN报文封装,以得到VXLAN认证报文;
所述收发器用于向认证点设备发送VXLAN认证报文,所述VXLAN认证报文为VXLAN报文,所述VXLAN认证报文包括VXLAN头和终端发送的认证请求,所述VXLAN头包括第一VXLAN网络标识VNI,所述认证请求包括认证凭据;
所述收发器还用于接收所述终端的权限,或接收第二VNI,所述终端的权限与所述第二VNI对应,所述终端的权限,或者第二VNI由所述认证点设备通过所述认证凭据与所述终端的权限的映射关系得到;
所述处理器还用于将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。
19.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有指令,所述指令在计算机上执行时,使得所述计算机执行如权利要求1至10中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010344197.6A CN113645174B (zh) | 2020-04-27 | 2020-04-27 | Vxlan接入认证方法以及vtep设备 |
| PCT/CN2021/089790 WO2021218886A1 (zh) | 2020-04-27 | 2021-04-26 | Vxlan接入认证方法以及vtep设备 |
| EP21797245.4A EP4131884A4 (en) | 2020-04-27 | 2021-04-26 | VXLAN ACCESS AUTHENTICATION PROCEDURE AND VTEP DEVICE |
| US17/973,812 US20230048013A1 (en) | 2020-04-27 | 2022-10-26 | Vxlan access authentication method and vtep device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010344197.6A CN113645174B (zh) | 2020-04-27 | 2020-04-27 | Vxlan接入认证方法以及vtep设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645174A CN113645174A (zh) | 2021-11-12 |
| CN113645174B true CN113645174B (zh) | 2023-04-18 |
Family
ID=78331771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010344197.6A Active CN113645174B (zh) | 2020-04-27 | 2020-04-27 | Vxlan接入认证方法以及vtep设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230048013A1 (zh) |
| EP (1) | EP4131884A4 (zh) |
| CN (1) | CN113645174B (zh) |
| WO (1) | WO2021218886A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230113654A1 (en) * | 2021-10-11 | 2023-04-13 | Wmware, Inc. | Managing virtual local area networks (vlans) in multiple data centers |
| CN117201230A (zh) * | 2022-05-31 | 2023-12-08 | 中国电信股份有限公司 | 一种vxlan隧道的认证方法、系统、接入网关及入网设备 |
| US11943078B2 (en) * | 2022-07-08 | 2024-03-26 | Cisco Technology, Inc. | Asymmetric hub and spoke overlay network |
| CN115065576B (zh) * | 2022-08-17 | 2022-11-04 | 广州赛讯信息技术有限公司 | Vxlan隧道的建立方法、装置、网络系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104872A (zh) * | 2016-02-23 | 2017-08-29 | 华为技术有限公司 | 接入控制方法、装置及系统 |
| CN107547325A (zh) * | 2017-09-27 | 2018-01-05 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN107659485A (zh) * | 2017-10-31 | 2018-02-02 | 新华三技术有限公司 | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 |
| CN108028748A (zh) * | 2016-02-27 | 2018-05-11 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
| CN110943901A (zh) * | 2020-01-10 | 2020-03-31 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、设备和存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10020954B2 (en) * | 2015-04-29 | 2018-07-10 | Futurewei Technologies, Inc. | Generic packet encapsulation for virtual networking |
| US9979711B2 (en) * | 2015-06-26 | 2018-05-22 | Cisco Technology, Inc. | Authentication for VLAN tunnel endpoint (VTEP) |
| CN107547345B (zh) * | 2017-07-19 | 2021-01-29 | 新华三技术有限公司 | 一种vxlan动态接入方法、装置、设备及介质 |
| CN108462683B (zh) * | 2017-08-03 | 2020-04-03 | 新华三技术有限公司 | 认证方法和装置 |
| CN110650076B (zh) * | 2018-06-26 | 2021-12-24 | 华为技术有限公司 | Vxlan的实现方法,网络设备和通信系统 |
| CN110768889B (zh) * | 2019-10-21 | 2021-11-02 | 烽火通信科技股份有限公司 | 一种vxlan隧道的构建方法及系统 |
-
2020
- 2020-04-27 CN CN202010344197.6A patent/CN113645174B/zh active Active
-
2021
- 2021-04-26 WO PCT/CN2021/089790 patent/WO2021218886A1/zh unknown
- 2021-04-26 EP EP21797245.4A patent/EP4131884A4/en active Pending
-
2022
- 2022-10-26 US US17/973,812 patent/US20230048013A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104872A (zh) * | 2016-02-23 | 2017-08-29 | 华为技术有限公司 | 接入控制方法、装置及系统 |
| CN108028748A (zh) * | 2016-02-27 | 2018-05-11 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
| CN107547325A (zh) * | 2017-09-27 | 2018-01-05 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN107659485A (zh) * | 2017-10-31 | 2018-02-02 | 新华三技术有限公司 | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 |
| CN110943901A (zh) * | 2020-01-10 | 2020-03-31 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645174A (zh) | 2021-11-12 |
| EP4131884A1 (en) | 2023-02-08 |
| US20230048013A1 (en) | 2023-02-16 |
| WO2021218886A1 (zh) | 2021-11-04 |
| EP4131884A4 (en) | 2023-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113645174B (zh) | Vxlan接入认证方法以及vtep设备 | |
| US10122574B2 (en) | Methods and apparatus for a common control protocol for wired and wireless nodes | |
| US9015855B2 (en) | Secure tunneling platform system and method | |
| CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
| EP3410648B1 (en) | Method, device and system for access control | |
| US9838261B2 (en) | Method, apparatus, and system for providing network traversing service | |
| US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| US9825950B2 (en) | Method, apparatus, and system for controlling access of user terminal | |
| CN110650075B (zh) | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 | |
| EP3582523B1 (en) | Extending subscriber services to roaming wireless user equipment | |
| EP3457657B1 (en) | Access control method and system, and switch | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| WO2017091949A1 (zh) | 通讯方法、微基站、微基站控制器、终端和系统 | |
| JP2008017343A (ja) | 通信システムおよび通信方法 | |
| CN117377130A (zh) | 服务连接方法、装置及存储介质 | |
| CN117527283A (zh) | 接入认证方法、装置、设备、系统及存储介质 | |
| JP2016046625A (ja) | 通信中継装置、情報処理方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |