CN117560245A - 接入控制方法、装置、计算机可读介质及电子设备 - Google Patents
接入控制方法、装置、计算机可读介质及电子设备 Download PDFInfo
- Publication number
- CN117560245A CN117560245A CN202210932790.1A CN202210932790A CN117560245A CN 117560245 A CN117560245 A CN 117560245A CN 202210932790 A CN202210932790 A CN 202210932790A CN 117560245 A CN117560245 A CN 117560245A
- Authority
- CN
- China
- Prior art keywords
- access
- network
- tunnel
- configuration information
- access gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 112
- 238000005538 encapsulation Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 23
- 238000003860 storage Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 description 22
- 230000008569 process Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- CNQCVBJFEGMYDW-UHFFFAOYSA-N lawrencium atom Chemical compound [Lr] CNQCVBJFEGMYDW-UHFFFAOYSA-N 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的实施例提供了一种接入控制方法、装置、计算机可读介质及电子设备。该接入控制方法包括:获取网络接入方请求接入的专有网络的信息;向网络提供方的接入网关,以及网络接入方发送第一配置信息,以指示网络接入方通过核心网网元与接入网关建立第一传输隧道,所述第一传输隧道用于将网络接入方的流量传输至接入网关;向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。本申请实施例的技术方案有效提高了网络接入速度。
Description
技术领域
本申请涉及计算机及通信技术领域,具体而言,涉及一种接入控制方法、装置、计算机可读介质及电子设备。
背景技术
在相关技术中,云用户如果想将本地IDC(Internet Data Center,互联网数据中心)或网络设备与云端的VPC(Virtual Private Cloud,虚拟私有云,也称为专有网络)打通,且享有低时延、高带宽、安全的网络质量,只能通过运营商开通专线的方式接入本地运营商最近的POP(Point-of-Presence,入网点)点,然后通过运营商专线连接至云VPC。这种方式不仅成本高,而且专线开通时间受运营商施工影响,同时对于经常移动或需要多地点部署的用户来讲非常不方便。
发明内容
本申请的实施例提供了一种接入控制方法、装置、计算机可读介质及电子设备,进而可以通过控制器下发配置信息的方式实现网络接入方对专有网络的接入,有效提高了网络接入速度。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
第一方面,本申请实施例提供了一种接入控制方法,包括:获取网络接入方请求接入的专有网络的信息;向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;根据所述专有网络的信息,向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
第二方面,本申请实施例提供了一种接入控制方法,包括:接收控制器发送的第一配置信息,所述第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道;根据所述第一配置信息建立所述接入网关通过所述核心网网元与所述网络接入方之间的第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;接收所述控制器发送的第二配置信息,所述第二配置信息用于指示所述接入网关与转发设备建立第二传输隧道,所述转发设备连接在所述接入网关与所述网络接入方请求接入的专有网络之间;根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
第三方面,本申请实施例提供了一种接入控制装置,包括:获取单元,配置为获取网络接入方请求接入的专有网络的信息;配置单元,配置为向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;所述配置单元还用于:根据所述专有网络的信息,向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
第四方面,本申请实施例提供了一种接入控制装置,包括:接收单元,配置为接收控制器发送的第一配置信息,所述第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道;以及接收所述控制器发送的第二配置信息,所述第二配置信息用于指示所述接入网关与转发设备建立第二传输隧道,所述转发设备连接在所述接入网关与所述网络接入方请求接入的专有网络之间;建立单元,配置为根据所述第一配置信息建立所述接入网关通过所述核心网网元与所述网络接入方之间的第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;以及根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
第五方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中所述的接入控制方法。
第六方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个计算机程序,当所述一个或多个计算机程序被所述一个或多个处理器执行时,使得所述电子设备实现如上述实施例中所述的接入控制方法。
第七方面,本申请实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取并执行该计算机程序,使得该电子设备执行上述各种可选实施例中提供的接入控制方法。
在本申请的一些实施例所提供的技术方案中,通过由控制器向网络提供方的接入网关,以及网络接入方发送第一配置信息,以指示网络接入方通过核心网网元与接入网关建立第一传输隧道,并向接入网关及连接在接入网关和专有网络之间的转发设备发送第二配置信息,以指示接入网关与转发设备建立第二传输隧道,使得可以通过第一传输隧道将网络接入方的流量传输至接入网关,并通过第二传输隧道将网络接入方的流量传输至转发设备,以使转发设备将网络接入方的流量路由至专有网络。可见,在本申请实施例的技术方案中,通过控制器下发配置信息的方式就可以实现网络接入方对专有网络的接入,降低了接入专有网络时对传统专线网络的依赖,有效提高了网络接入速度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;
图2示出了根据本申请的一个实施例的接入控制方法的流程图;
图3示出了根据本申请的一个实施例的接入控制方法的流程图;
图4示出了可以应用本申请实施例的接入控制方案的示例性系统架构的示意图;
图5示出了根据本申请的一个实施例的CPE与接入GW之间的连接关系示意图;
图6示出了根据本申请的一个实施例的UPF与接入GW之间的连接关系示意图;
图7示出了根据本申请的一个实施例的接入GW与NGW之间的连接关系示意图;
图8示出了根据本申请的一个实施例的接入控制方法的交互流程图;
图9示出了根据本申请的一个实施例的接入控制装置的框图;
图10示出了根据本申请的一个实施例的接入控制装置的框图;
图11示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在参考附图以更全面的方式描述示例实施方式。然而,示例的实施方式能够以各种形式实施,且不应被理解为仅限于这些范例;相反,提供这些实施方式的目的是使得本申请更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,本申请所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,有许多具体细节从而可以充分理解本申请的实施例。然而,本领域技术人员应意识到,在实施本申请的技术方案时可以不需用到实施例中的所有细节特征,可以省略一个或更多特定细节,或者可以采用其它的方法、元件、装置、步骤等。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例的技术方案涉及到云技术(Cloud technology)领域,其中,云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
在相关技术中,云用户如果想将本地IDC或网络设备与云端的VPC打通,且享有低时延、高带宽、安全的网络质量,只能通过运营商开通专线的方式接入本地运营商最近的POP点,然后通过运营商专线连接至云VPC。这种方式不仅成本高,而且专线开通时间受运营商施工影响,同时对于经常移动或需要多地点部署的用户来讲非常不方便。
基于相关技术中存在的问题,本申请实施例提出了一种新的网络接入控制方案,可以通过控制器下发配置信息的方式实现网络接入方对专有网络的接入,降低了接入专有网络时对传统专线网络的依赖,有效提高了网络接入速度。
具体地,在本申请的一个具体应用场景中,如图1所示,系统架构包括控制器101、网络接入方102、移动网络核心网网元103、网络提供方和专有网络。网络提供方内部署有接入网关(GateWay,简称GW)104和转发设备105。
可选地,控制器101可以是服务器,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。网络接入方102可以是本地IDC或者能够接入网络的终端设备等,终端设备比如可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、飞行器等,但并不局限于此。
在本申请的一个实施例中,控制器101可以获取网络接入方102请求接入的专有网络的信息,比如通过提供的配置接口或者控制台等来获取网络接入方102配置的请求接入的专有网络的信息。
在本申请的一个实施例中,控制器101在接收到网络接入方102请求接入的专有网络的信息之后,可以向网络提供方的接入网关104,以及网络接入方102发送第一配置信息,以指示网络接入方102通过核心网网元103与接入网关104建立第一传输隧道,该第一传输隧道用于将网络接入方102的流量传输至接入网关104。
可选地,控制器101在向接入网关104和网络接入方102发送第一配置信息之前,还可以向接入网关104和核心网网元103发送第三配置信息,以指示核心网网元103与接入网关104建立通用路由封装(Generic Routing Encapsulation,简称GRE)隧道。那么网络接入方102与接入网关104之间的第一传输隧道可以负载到该GRE隧道之上。
可选地,为了保证数据的安全性,第一传输隧道可以是IPSec(Internet ProtocolSecurity,互联网安全协议)隧道。
在本申请的一个实施例中,控制器101还可以向接入网关104及连接在接入网关104和专有网络之间的转发设备105发送第二配置信息,以指示接入网关104与转发设备105建立第二传输隧道,该第二传输隧道用于将网络接入方102的流量传输至转发设备105,以使转发设备105将网络接入方102的流量路由至专有网络。可选地,由于接入网关104与转发设备105是在网络提供方内部,因此不需要进行加密传输,所以在接入网关104上可以解封装IPSec隧道,然后将用户流量转入更为轻量的VXLAN(Virtual Extensible Local AreaNetwork,虚拟扩展局域网)隧道中,即第二传输隧道可以是VXLAN隧道。
可选地,核心网网元103可以是UPF(User Plane Function,用户面功能),UPF是3GPP 5G核心网系统架构的重要组成部分,主要负责5G核心网中用户平面数据包的路由和转发相关功能。转发设备105可以是NGW(Next Generation GateWay,下一代网关),主要用于混合云专线接入、域间互通、公有云互通等场景,实现高性能转发,支持多租户接入,支持TGRE(Tunnel-GRE)、VXLAN隧道协议等,同时支持分片、重组、限速等特性。
在图1所示的系统架构中,通过控制器101下发配置信息的方式就可以实现网络接入方102对专有网络的接入,降低了接入专有网络时对传统专线网络的依赖,有效提高了网络接入速度。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图2示出了根据本申请的一个实施例的接入控制方法的流程图,该接入控制方法可以由控制器来执行,该控制器可以是图1中所示的控制器101。参照图2所示,该接入控制方法至少包括S210至S230,详细介绍如下:
在S210中,获取网络接入方请求接入的专有网络的信息。
在一些可选的实施例中,网络接入方可以通过配置接口或者控制台等向控制器发送请求接入的专有网络的信息。网络接入方可以是专有网络的租用方,具体可以通过CPE(Customer premises equipment,用户驻地设备)来向控制器发送请求接入的专有网络的信息。
在S220中,向网络提供方的接入网关,以及网络接入方发送第一配置信息,以指示网络接入方通过核心网网元与接入网关建立第一传输隧道,该第一传输隧道用于将网络接入方的流量传输至接入网关。
在一些可选的实施例中,第一传输隧道可以是IPSec隧道,这样使得网络接入方的数据在传输至网络提供方的过程中,能够保证数据的安全性。
在一些可选的实施例中,网络提供方可以部署至少两个接入网关,在这种情况下,控制器向网络提供方的接入网关,以及网络接入方发送第一配置信息的过程可以是:控制器向网络接入方和至少两个接入网关发送第一配置信息,以指示网络接入方分别与至少两个接入网关建立第一传输隧道,并指示网络接入方与至少两个接入网关之间建立的第一传输隧道为等价多径路由(Equal Cost Multi-path,简称ECMP)的方式,进而可以在任一接入网关出现故障时,能够通过其它接入网关无缝实现业务流量的接替,保证了业务流量传输的持续性与稳定性。
可选地,前述的核心网网元可以是UPF,网络接入方可以通过接入网设备(如基站等)连接至UPF,然后通过UPF与接入网关建立第一传输隧道。
在本申请的一个实施例中,控制器在向网络提供方的接入网关,以及网络接入方发送第一配置信息之前,还需要指示接入网关和核心网网元先建立传输隧道。具体地,控制器可以向接入网关和核心网网元发送第三配置信息,以指示核心网网元与接入网关建立GRE隧道,在这种情况下,网络接入方与接入网关之间的第一传输隧道可以负载到通用路由封装隧道之上。比如,第一传输隧道为IPSec隧道,那么在网络接入方与接入网关之间建立的传输隧道中,核心网网元与接入网关之间的传输隧道为IPSec over GRE隧道。
在一些可选的实施例中,网络提供方可以部署有至少两个接入网关,那么在这种情况下,控制器可以向该至少两个接入网关和至少两个核心网网元发送第三配置信息,以指示每个核心网网元分别与至少两个接入网关建立通用路由封装隧道,并指示每个核心网网元与至少两个接入网关之间建立的通用路由封装隧道为等价多径路由的方式。该实施例的技术方案使得可以高效利用接入网关和核心网网元之间的转发能力,并且也可以在部分核心网网元或者部分接入网关出现异常中,通过ECMP来保证网络传输的可靠性和稳定性。
在S230中,根据专有网络的信息,向接入网关及连接在接入网关和专有网络之间的转发设备发送第二配置信息,以指示接入网关与转发设备建立第二传输隧道,该第二传输隧道用于将网络接入方的流量传输至转发设备,以使转发设备将网络接入方的流量路由至专有网络。
在一些可选的实施例中,转发设备可以是网关设备,比如可以是NGW设备,转发设备与接入网关和专有网络相连接,并且可以在接收到接入网关转发过来的用户流量之后,将用户流量转发到专有网络中。
在一些可选的实施例中,网络提供方可以部署有至少两个接入网关和至少两个转发设备,在这种情况下,控制器向接入网关及连接在接入网关和专有网络之间的转发设备发送第二配置信息的过程具体可以是:向这至少两个接入网关和至少两个转发设备发送第二配置信息,以指示每个接入网关分别与至少两个转发设备建立第二传输隧道,并指示每个接入网关与至少两个转发设备建立的第二传输隧道为等价多径路由的方式。该实施例的技术方案使得可以高效利用接入网关和转发设备之间的转发能力,并且也可以在部分转发设备或者部分接入网关出现异常中,通过ECMP来保证网络传输的可靠性和稳定性。
在一些可选的实施例中,由于接入网关与转发设备是在网络提供方内部,因此不需要进行加密传输,故第二传输隧道可以是轻量级的VXLAN隧道。如果第一传输隧道是IPSec隧道,那么接入网关可以解封装IPSec隧道,然后将用户流量转入VXLAN隧道中,进而路由至转发设备,由转发设备传输给专用网关。
需要说明的是,图2中所示的S220与S230之间的执行顺序并不做具体限定,比如可以按照图2中所示的顺序先执行S220,再执行S230;或者也可以先执行S230,再执行S220;也可以同时执行S220与S230。
图2所示实施例的技术方案使得通过控制器下发配置信息的方式就可以实现网络接入方对专有网络的接入,降低了接入专有网络时对传统专线网络的依赖,有效提高了网络接入速度。
以下从接入网关的角度对本申请实施例的技术方案的实现细节进行详细阐述:
图3示出了根据本申请的一个实施例的接入控制方法的流程图,该接入控制方法可以由接入网关来执行,该接入网关可以是图1中所示的接入网关104。参照图3所示,该接入控制方法至少包括S310至S340,详细介绍如下:
在S310中,接收控制器发送的第一配置信息,该第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道。
在一些可选的实施例中,第一传输隧道可以是IPSec隧道,这样使得网络接入方的数据在传输至网络提供方的过程中,能够保证数据的安全性。可选地,核心网网网元可以是UPF,网络接入方可以通过接入网设备(如基站等)连接至UPF,然后通过UPF与接入网关建立第一传输隧道。
在本申请的一个实施例中,接入网关在接收控制器发送的第一配置信息之前,还可以根据控制器的指示接入网关与核心网网元先建立传输隧道。具体而言,接入网关在接收控制器发送的第一配置信息之前,还可以接收控制器发送的第三配置信息,该第三配置信息用于指示核心网网元与接入网关建立GRE隧道,进而接入网关可以根据第三配置信息建立接入网关与核心网网元之间的通用路由封装隧道,在这种情况下,网络接入方与接入网关之间的第一传输隧道可以负载到通用路由封装隧道之上。比如,第一传输隧道为IPSec隧道,那么在网络接入方与接入网关之间建立的传输隧道中,核心网网元与接入网关之间的传输隧道为IPSec over GRE隧道。
在一些可选的实施例中,在有至少两个核心网网元的情况下,根据第三配置信息建立接入网关与核心网网元之间的通用路由封装隧道的过程可以是根据第三配置信息建立接入网关分别与至少两个核心网网元之间的通用路由封装隧道。在这种情况下,可以高效利用接入网关和核心网网元之间的转发能力,并且还可以将每个核心网网元与至少两个接入网关之间建立的GRE隧道设置为等价多径路由的方式,进而在部分核心网网元或者部分接入网关出现异常中,通过ECMP来保证网络传输的可靠性和稳定性。
在S320中,根据第一配置信息建立接入网关通过核心网网元与网络接入方之间的第一传输隧道,该第一传输隧道用于将网络接入方的流量传输至接入网关。
在S330中,接收控制器发送的第二配置信息,该第二配置信息用于指示接入网关与转发设备建立第二传输隧道,该转发设备连接在接入网关与网络接入方请求接入的专有网络之间。
在一些可选的实施例中,转发设备可以是网关设备,比如可以是NGW设备,转发设备与接入网关和专有网络相连接,并且可以在接收到接入网关转发过来的用户流量之后,将用户流量转发到专有网络中。
在S340中,根据第二配置信息建立接入网关与转发设备之间的第二传输隧道,该第二传输隧道用于将网络接入方的流量传输至转发设备,以使转发设备将网络接入方的流量路由至专有网络。
在一些可选的实施例中,网络提供方可以部署有至少两个转发设备,那么接入网关可以根据第二配置信息分别与至少两个转发设备建立第二传输隧道,并将接入网关与至少两个转发设备建立的第二传输隧道设置为等价多径路由的方式。该实施例的技术方案使得可以高效利用接入网关和转发设备之间的转发能力,并且也可以在部分转发设备或者部分接入网关出现异常中,通过ECMP来保证网络传输的可靠性和稳定性。
在一些可选的实施例中,由于接入网关与转发设备是在网络提供方内部,因此不需要进行加密传输,故第二传输隧道可以是轻量级的VXLAN隧道。如果第一传输隧道是IPSec隧道,那么接入网关可以解封装IPSec隧道,然后将解封装的用户流量转入VXLAN隧道中,进而路由至转发设备,由转发设备传输给专用网关。
需要说明的是,图3中所示的S310中接收第一配置信息的过程与S330中接收第二配置信息的过程在执行顺序上并不做具体限定,比如可以按照图3中所示的顺序先执行S310中接收第一配置信息的过程,再执行S330中接收第二配置信息的过程;或者也可以先执行S330中接收第二配置信息的过程,再执行S310中接收第一配置信息的过程;也可以同时执行S330中接收第二配置信息的过程与S310中接收第一配置信息的过程。
图3所示实施例的技术方案使得通过控制器下发配置信息的方式就可以实现网络接入方对专有网络的接入,降低了接入专有网络时对传统专线网络的依赖,有效提高了网络接入速度。
以下结合图4至图8,结合具体的应用场景对本申请实施例的网络接入方案再次进行详细说明:
在图4所示的应用场景中,将控制器分为CPE控制器、网关控制器和云控制器,这些控制器共同实现了前述实施例中所述的控制器的功能。其中,云租户侧即为租用专有网络VPC的用户,也即前述实施例中的网络接入方、UPF即为前述实施例中的核心网网元、接入GW即为前述实施例中的接入网关、NGW即为前述实施例中的转发设备。
图4所示实施例的技术方案主要采用NFV(Network Functions Virtualization,网络功能虚拟化)中转控分离的设计思路,分为云上的控制器(即CPE控制器+网关控制器+云控制器)和下层的网络设备组成。网络设备包括云租户侧的用于接入网络的移动CPE;运营商侧的基站、UPF等;云提供商侧的接入网关、NGW等。
在NFV网络中,采用了×86服务器的架构,其将路由器、交换机、防火墙、负载均衡这些不同的网络功能封装成独立的模块化软件,通过在硬件设备上运行不同的模块化软件,在单一硬件设备上实现多样化的网络功能。NFV架构由基础网络功能虚拟化架构(Network Functions Virtualization Infrastructure,简称NFVI)、虚拟网络功能(Virtual Network Functions,简称VNF)、管理自动化及网络编排(Management andorchestration,简称MANO)三个部分组成:
基础网络功能虚拟化架构NFVI类似于各手机厂商推出的手机系统,它给硬件设备赋予基本的组件,支持网络应用所需要的软件或者容器管理平台。
虚拟网络功能VNF是实现网络功能(转发服务、IP配置等)的软件应用,类似于终端设备上的APP。在NFV架构中,各种VNF在NFVI的基础上实现,由于NFVI是标准化的架构,使得不同的VNF获得了通用性,不再依赖于原来的黑盒设备。
管理自动化及网络编排MANO是用于管理各VNF以及NFVI的统一框架,方便运维人员进行业务编排与设备管理。
相比较于传统物理网络设备,NFV的优点如下表1所示:
表1
基于图4所示的应用场景,当云租户侧接入网络时,云租户侧可以将自己的CPE设备(或CPE下面挂载的私有IDC机房)接入离用户最近的网络,比如可以是移动网络,具体可以是4G或5G网络等。但由于空口网络是承载在公网之上,所以用户数据需要考虑加密性,因此在用户CPE与云接入网关之间可以采用IPSEC隧道方式,加密隧道直接穿过运营商网络抵达云接入网关,使运营商公网和内网链路感知不到隧道,能够最大程度保证用户数据的安全性。
在一些可选的实施例中,如图5所示,在云提供商网络中,为了网络的可靠性,会部署两台(或多台)双主的接入GW。两台GW同时工作,各自负载一部分的网络流量,任何一台出现故障时,另一台无需切换即可承接所有业务流量。用户CPE可以与两台接入GW都建立IPSec隧道,且在CPE上配置ECMP使两条IPSec隧道等价路由。
在一些可选的实施例中,在云提供商与运营商网络的连接中,运营商通常会提供通用的GRE隧道来进行网络封装,用于区分其不同的用户。GRE隧道的一端是运营商的UPF,另一端是云厂商的接入GW,GRE隧道用来承载用户CPE建立的IPSEC隧道。
具体地,如图6所示,运营商通常会提供2台以上的UPF(以下以2台为例进行说明)作为接入,此时可以通过网关控制器对两台UPF和两台GW之间都建立GRE隧道,且在各自的设备上两条隧道为ECMP。这样可以高效的利用网络设备的转发能力,也能在异常情况下保证网络的高可靠性和稳定性。
在这种情况下,GRE隧道对于用户是不可见的,用户CPE所建立的IPSEC隧道在通过UPF时会自动负载到GRE隧道上,即IPSEC over GRE的形式接入云上的网关。
在一些可选的实施例中,当用户流量到达接入GW后,需要经由NGW到达VPC。在接入GW和NGW之间可以采用VXLAN隧道,VXLAN的VNI(VXLAN Network Identifier,VXLAN网络标识符)有24个bit,最多可支持1600w+的用户接入,远多于VLAN(Virtual Local AreaNetwork,虚拟局域网)的12bit,因此VXLAN隧道十分适合云提供商接入时划分租户。又由于网络流量已经进入到云提供商内部,因此无需加密传输,故在接入GW上即可解封装IPSEC隧道,将用户流量转入更为轻量的VXLAN隧道中。
具体地,如图7所示,云提供商通常会提供2台以上的接入GW和NGW(以下以2台为例进行说明)作为接入,此时可以通过云控制器对两台接入GW和两台NGW之间都建立VXLAN隧道,且在各自的设备上两条隧道为ECMP。这样可以高效的利用网络设备的转发能力,也能在异常情况下保证网络的高可靠性和稳定性。
基于前述的系统架构和相关的配置,本申请实施例中采用了转控分离的思想,即各种配置信息都是通过云端的控制器进行编排下发的,底层的网络设备无需关心业务,只需提供标准的控制接口,按照控制器的编排指令配置网络即可。一个示意的处理流程如图8所示,包括如下步骤:
S801,初始化时,控制器向UPF与接入GW发送配置信息,具体是通过控制器将运营商的UPF与云提供商的接入GW打通,即在UPF与GW之间建立GRE隧道。
S802,当用户(即云租户)需要使用时,通过云控制台向控制器配置自身的CPE希望能接入的VPC网络。
S803,控制器通过下发配置信息至接入GW和NGW,以在接入GW与NGW之间配置VXLAN隧道,来打通接入GW与NGW之间的连接。
S804,控制器为该用户分配专属的IPSEC隧道资源,分配配置到CPE和接入GW上,以打通CPE与接入GW之间的连接。
在完成上述配置之后,用户即可通过CPE使用移动网络的方式接入到云上VPC中。
可见,在本申请的实施例中,用户CPE可以快速高效接入云VPC,充分利用了4G/5G网络的低时延、高带宽特性,取代了相关技术中接入专有网关时对于传统专线的依赖。同时,在网络架构上,在不同节点间配置不同的网络隧道,通过控制器下发编排指令,保证了网络传输的安全性。也保证了网络设备、链路异常情况下,业务数据的可靠性。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的接入控制方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的接入控制方法的实施例。
图9示出了根据本申请的一个实施例的接入控制装置的框图,该接入控制装置可以设置在控制器内,该控制器可以是图1中所示的控制器101。
参照图9所示,根据本申请的一个实施例的接入控制装置900,包括:获取单元902和配置单元904。
其中,获取单元902配置为获取网络接入方请求接入的专有网络的信息;配置单元904配置为向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;所述配置单元904还用于:根据所述专有网络的信息,向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
在本申请的一些实施例中,基于前述方案,所述配置单元904还用于:在向所述网络提供方的接入网关,以及所述网络接入方发送第一配置信息之前,向所述接入网关和所述核心网网元发送第三配置信息,以指示所述核心网网元与所述接入网关建立通用路由封装隧道;其中,所述网络接入方与所述接入网关之间的第一传输隧道负载到所述通用路由封装隧道之上。
在本申请的一些实施例中,基于前述方案,所述网络提供方部署有至少两个接入网关;所述配置单元904向所述接入网关和所述核心网网元发送第三配置信息,以指示所述核心网网元与所述接入网关建立通用路由封装隧道的过程,包括:
向所述至少两个接入网关和至少两个所述核心网网元发送第三配置信息,以指示每个所述核心网网元分别与所述至少两个接入网关建立所述通用路由封装隧道,并指示每个所述核心网网元与所述至少两个接入网关之间建立的通用路由封装隧道为等价多径路由的方式。
在本申请的一些实施例中,基于前述方案,所述网络提供方部署有至少两个接入网关;所述配置单元904向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道的过程,包括:
向所述网络接入方和所述至少两个接入网关发送第一配置信息,以指示所述网络接入方分别与所述至少两个接入网关建立所述第一传输隧道,并指示所述网络接入方与所述至少两个接入网关之间建立的第一传输隧道为等价多径路由的方式。
在本申请的一些实施例中,基于前述方案,所述网络提供方部署有至少两个接入网关和至少两个转发设备;所述配置单元904向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道的过程,包括:
向所述至少两个接入网关和至少两个转发设备发送第二配置信息,以指示每个所述接入网关分别与所述至少两个转发设备建立所述第二传输隧道,并指示每个所述接入网关与所述至少两个转发设备建立的第二传输隧道为等价多径路由的方式。
在本申请的一些实施例中,基于前述方案,所述第一传输隧道包括互联网安全协议隧道。
在本申请的一些实施例中,基于前述方案,所述第二传输隧道包括虚拟扩展局域网隧道,所述虚拟扩展局域网隧道用于将所述接入网关对所述互联网安全协议隧道解封装之后的流量传输至所述转发设备。
图10示出了根据本申请的一个实施例的接入控制装置的框图,该接入控制装置可以设置在接入网关内,该接入网关可以是图1中所示的接入网关104。
参照图10所示,根据本申请的一个实施例的接入控制装置1000,包括:接收单元1002和建立单元1004。
其中,接收单元1002配置为接收控制器发送的第一配置信息,所述第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道;以及接收所述控制器发送的第二配置信息,所述第二配置信息用于指示所述接入网关与转发设备建立第二传输隧道,所述转发设备连接在所述接入网关与所述网络接入方请求接入的专有网络之间;建立单元1004配置为根据所述第一配置信息建立所述接入网关通过所述核心网网元与所述网络接入方之间的第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;以及根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
在本申请的一些实施例中,基于前述方案,所述第一传输隧道包括互联网安全协议隧道,所述第二传输隧道包括虚拟扩展局域网隧道;所述接入控制装置1000还包括:处理单元,配置为在接收到所述互联网安全协议隧道传输的流量后,将所述互联网安全协议隧道传输的流量进行解封装;将解封装后的流量通过所述虚拟扩展局域网隧道传输至所述转发设备。
在本申请的一些实施例中,基于前述方案,所述接收单元1002还配置为:在所述接收控制器发送的第一配置信息之前,接收所述控制器发送的第三配置信息,所述第三配置信息用于指示所述核心网网元与所述接入网关建立通用路由封装隧道;
所述建立单元1004还配置为:根据所述第三配置信息建立所述接入网关与所述核心网网元之间的通用路由封装隧道,其中,所述网络接入方与所述接入网关之间的第一传输隧道负载到所述通用路由封装隧道之上。
在本申请的一些实施例中,基于前述方案,在有至少两个所述核心网网元的情况下,所述建立单元1004配置为:根据所述第三配置信息建立所述接入网关分别与至少两个所述核心网网元之间的通用路由封装隧道。
在本申请的一些实施例中,基于前述方案,所述网络提供方部署有至少两个转发设备;所述建立单元1004根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道的过程,包括:根据所述第二配置信息建立所述接入网关分别与所述至少两个转发设备之间的第二传输隧道,并将所述接入网关与所述至少两个转发设备建立的第二传输隧道设置为等价多径路由的方式。
图11示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图11示出的电子设备的计算机系统1100仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图11所示,计算机系统1100包括中央处理单元(Central Processing Unit,CPU)1101,其可以根据存储在只读存储器(Read-Only Memory,ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(Random Access Memory,RAM)1103中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 1103中,还存储有系统操作所需的各种程序和数据。CPU 1101、ROM 1102以及RAM 1103通过总线1104彼此相连。输入/输出(Input/Output,I/O)接口1105也连接至总线1104。
以下部件连接至I/O接口1105:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被中央处理单元(CPU)1101执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机程序的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个计算机程序,当上述一个或者多个计算机程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (17)
1.一种接入控制方法,其特征在于,包括:
获取网络接入方请求接入的专有网络的信息;
向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;
根据所述专有网络的信息,向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
2.根据权利要求1所述的接入控制方法,其特征在于,在向所述网络提供方的接入网关,以及所述网络接入方发送第一配置信息之前,所述方法还包括:
向所述接入网关和所述核心网网元发送第三配置信息,以指示所述核心网网元与所述接入网关建立通用路由封装隧道;
其中,所述网络接入方与所述接入网关之间的第一传输隧道负载到所述通用路由封装隧道之上。
3.根据权利要求2所述的接入控制方法,其特征在于,所述网络提供方部署有至少两个接入网关;所述向所述接入网关和所述核心网网元发送第三配置信息,以指示所述核心网网元与所述接入网关建立通用路由封装隧道,包括:
向所述至少两个接入网关和至少两个所述核心网网元发送第三配置信息,以指示每个所述核心网网元分别与所述至少两个接入网关建立所述通用路由封装隧道,并指示每个所述核心网网元与所述至少两个接入网关之间建立的通用路由封装隧道为等价多径路由的方式。
4.根据权利要求1所述的接入控制方法,其特征在于,所述网络提供方部署有至少两个接入网关;向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,包括:
向所述网络接入方和所述至少两个接入网关发送第一配置信息,以指示所述网络接入方分别与所述至少两个接入网关建立所述第一传输隧道,并指示所述网络接入方与所述至少两个接入网关之间建立的第一传输隧道为等价多径路由的方式。
5.根据权利要求1所述的接入控制方法,其特征在于,所述网络提供方部署有至少两个接入网关和至少两个转发设备;向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,包括:
向所述至少两个接入网关和至少两个转发设备发送第二配置信息,以指示每个所述接入网关分别与所述至少两个转发设备建立所述第二传输隧道,并指示每个所述接入网关与所述至少两个转发设备建立的第二传输隧道为等价多径路由的方式。
6.根据权利要求1至5中任一项所述的接入控制方法,其特征在于,所述第一传输隧道包括互联网安全协议隧道。
7.根据权利要求6所述的接入控制方法,其特征在于,所述第二传输隧道包括虚拟扩展局域网隧道,所述虚拟扩展局域网隧道用于将所述接入网关对所述互联网安全协议隧道解封装之后的流量传输至所述转发设备。
8.一种接入控制方法,其特征在于,包括:
接收控制器发送的第一配置信息,所述第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道;
根据所述第一配置信息建立所述接入网关通过所述核心网网元与所述网络接入方之间的第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;
接收所述控制器发送的第二配置信息,所述第二配置信息用于指示所述接入网关与转发设备建立第二传输隧道,所述转发设备连接在所述接入网关与所述网络接入方请求接入的专有网络之间;
根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
9.根据权利要求8所述的接入控制方法,其特征在于,所述第一传输隧道包括互联网安全协议隧道,所述第二传输隧道包括虚拟扩展局域网隧道;所述方法还包括:
在接收到所述互联网安全协议隧道传输的流量后,将所述互联网安全协议隧道传输的流量进行解封装;
将解封装后的流量通过所述虚拟扩展局域网隧道传输至所述转发设备。
10.根据权利要求8所述的接入控制方法,其特征在于,在所述接收控制器发送的第一配置信息之前,所述方法还包括:
接收所述控制器发送的第三配置信息,所述第三配置信息用于指示所述核心网网元与所述接入网关建立通用路由封装隧道;
根据所述第三配置信息建立所述接入网关与所述核心网网元之间的通用路由封装隧道,其中,所述网络接入方与所述接入网关之间的第一传输隧道负载到所述通用路由封装隧道之上。
11.根据权利要求10所述的接入控制方法,其特征在于,在有至少两个所述核心网网元的情况下,根据所述第三配置信息建立所述接入网关与所述核心网网元之间的通用路由封装隧道,包括:
根据所述第三配置信息建立所述接入网关分别与至少两个所述核心网网元之间的通用路由封装隧道。
12.根据权利要求8至11中任一项所述的接入控制方法,其特征在于,所述网络提供方部署有至少两个转发设备;根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,包括:
根据所述第二配置信息建立所述接入网关分别与所述至少两个转发设备之间的第二传输隧道,并将所述接入网关与所述至少两个转发设备建立的第二传输隧道设置为等价多径路由的方式。
13.一种接入控制装置,其特征在于,包括:
获取单元,配置为获取网络接入方请求接入的专有网络的信息;
配置单元,配置为向网络提供方的接入网关,以及所述网络接入方发送第一配置信息,以指示所述网络接入方通过核心网网元与所述接入网关建立第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;
所述配置单元还用于:根据所述专有网络的信息,向所述接入网关及连接在所述接入网关和所述专有网络之间的转发设备发送第二配置信息,以指示所述接入网关与所述转发设备建立第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
14.一种接入控制装置,其特征在于,包括:
接收单元,配置为接收控制器发送的第一配置信息,所述第一配置信息用于指示网络接入方通过核心网网元与接入网关建立第一传输隧道;以及接收所述控制器发送的第二配置信息,所述第二配置信息用于指示所述接入网关与转发设备建立第二传输隧道,所述转发设备连接在所述接入网关与所述网络接入方请求接入的专有网络之间;
建立单元,配置为根据所述第一配置信息建立所述接入网关通过所述核心网网元与所述网络接入方之间的第一传输隧道,所述第一传输隧道用于将所述网络接入方的流量传输至所述接入网关;以及根据所述第二配置信息建立所述接入网关与所述转发设备之间的第二传输隧道,所述第二传输隧道用于将所述网络接入方的流量传输至所述转发设备,以使所述转发设备将所述网络接入方的流量路由至所述专有网络。
15.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的接入控制方法。
16.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序,当所述一个或多个计算机程序被所述一个或多个处理器执行时,使得所述电子设备实现如权利要求1至12中任一项所述的接入控制方法。
17.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,电子设备的处理器从所述计算机可读存储介质读取并执行所述计算机程序,使得所述电子设备执行如权利要求1至12中任一项所述的接入控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210932790.1A CN117560245A (zh) | 2022-08-04 | 2022-08-04 | 接入控制方法、装置、计算机可读介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210932790.1A CN117560245A (zh) | 2022-08-04 | 2022-08-04 | 接入控制方法、装置、计算机可读介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117560245A true CN117560245A (zh) | 2024-02-13 |
Family
ID=89809758
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210932790.1A Pending CN117560245A (zh) | 2022-08-04 | 2022-08-04 | 接入控制方法、装置、计算机可读介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117560245A (zh) |
-
2022
- 2022-08-04 CN CN202210932790.1A patent/CN117560245A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115699698B (zh) | 虚拟l2网络中的环路防止 | |
TWI504193B (zh) | 用於在雲計算中卸載隧道資料包的方法和系統 | |
CN110290506B (zh) | 一种边缘云移动性管理方法及设备 | |
CN111193653B (zh) | 数据传输方法、装置、设备及存储介质 | |
US7965714B2 (en) | Method and system for offloading network processing | |
TWI599300B (zh) | 用於配置一或多個伺服器之機架系統與其配置方法 | |
CN109743370A (zh) | 基于sd-wan的混合云连接方法及系统 | |
US10362120B2 (en) | Distributed gateways with centralized data center for high throughput satellite (HTS) spot beam network | |
CN111698346B (zh) | 一种专线网络地址转换方法、装置、专线网关及存储介质 | |
US20220029917A1 (en) | Executing workloads across multiple cloud service providers | |
WO2016180020A1 (zh) | 一种报文处理方法、设备和系统 | |
CN103631652A (zh) | 虚拟机迁移的实现方法及系统 | |
WO2024120229A1 (zh) | 数据传输方法、装置、设备以及存储介质 | |
Li et al. | 6G cloud-native system: Vision, challenges, architecture framework and enabling technologies | |
JP2016012909A (ja) | 通信装置、通信方法および通信システム | |
US20240031236A1 (en) | Cross-domain distributed network function | |
CN113765801B (zh) | 应用于数据中心的报文处理方法和装置、电子设备和介质 | |
CN109728926B (zh) | 通信方法以及网络设备 | |
CN111130978B (zh) | 网络流量转发方法、装置、电子设备及机器可读存储介质 | |
CN117560245A (zh) | 接入控制方法、装置、计算机可读介质及电子设备 | |
CN115665026A (zh) | 一种集群组网的方法和装置 | |
US10218607B2 (en) | Flow distribution using fabric access tunnels | |
CN110620999B (zh) | 用户面数据处理方法及装置 | |
CN111866100A (zh) | 一种控制数据传输速率的方法、装置和系统 | |
CN114640555B (zh) | 一种信息处理方法、虚机集群及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |