CN218920438U - 一种基于vxlan的互联网接入控制系统 - Google Patents

一种基于vxlan的互联网接入控制系统 Download PDF

Info

Publication number
CN218920438U
CN218920438U CN202222616396.5U CN202222616396U CN218920438U CN 218920438 U CN218920438 U CN 218920438U CN 202222616396 U CN202222616396 U CN 202222616396U CN 218920438 U CN218920438 U CN 218920438U
Authority
CN
China
Prior art keywords
vxlan
layer
network
control system
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202222616396.5U
Other languages
English (en)
Inventor
胡益明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Dimiantong Information Network Co ltd
Original Assignee
Shanghai Dimiantong Information Network Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Dimiantong Information Network Co ltd filed Critical Shanghai Dimiantong Information Network Co ltd
Priority to CN202222616396.5U priority Critical patent/CN218920438U/zh
Application granted granted Critical
Publication of CN218920438U publication Critical patent/CN218920438U/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本实用新型涉及一种基于VxLAN的互联网接入控制系统,所述系统包括VxLAN大二层网络和三层网关,通过L2层以太网接口连接;所述VxLAN大二层网络包括VxLAN汇聚设备以及若干个与所述VxLAN汇聚设备通信连接的VxLAN终端设备;每个所述VxLAN终端设备与用户局域网间连接有用户防火墙。与现有技术相比,本实用新型具有成本低且隔离能力强的优点。

Description

一种基于VXLAN的互联网接入控制系统
技术领域
本实用新型涉及网络通信技术领域,尤其是涉及一种基于VXLAN的互联网接入控制系统。
背景技术
目前,电信运营商为企业客户提供以太专线接入互联网存在以下问题:
1)成本高:主要采用光纤专线或裸光纤接入互联网,造成重复投资,成本高,技术多年不变;
2)隔离能力弱:传统以太专线采用vlan封装方式,VLAN作为当前主流的网络隔离技术,在标准定义中只有12比特,因此可用的VLAN数量仅4096个;对于公有云或其它大型企业的虚拟化云计算服务场景下动辄上万甚至更多用户的场景而言,VLAN的隔离能力无法满足;
3)操作流程复杂,工期长,运营管理不便。
发明内容
本实用新型的目的就是为了克服上述现有技术存在的缺陷而提供一种成本低且隔离能力强的基于VXLAN的互联网接入控制系统。
本实用新型的目的可以通过以下技术方案来实现:
本实用新型给出了一种基于VxLAN的互联网接入控制系统,所述系统包括VxLAN大二层网络和三层网关,通过L2层以太网接口连接;
所述VxLAN大二层网络包括VxLAN汇聚设备以及若干个与所述VxLAN汇聚设备通信连接的VxLAN终端设备;每个所述VxLAN终端设备与用户局域网间连接有用户防火墙。
优选地,所述VxLAN终端设备通过vlan方式与所述用户防火墙对接。
优选地,所述VxLAN终端设备通过IP广域网与VxLAN汇聚设备通信连接。
优选地,所述三层网关上配置有VBDIF接口,用于进行VxLAN间互访、VxLAN和非VxLAN之间的通信;所述VBDIF接口为基于Bridge-Domain域创建的三层逻辑接口。
与现有技术相比,本实用新型具有以下优点:
1)位置无关性:业务可在任意位置灵活部署,缓解了用户搬迁后私有云服务器迁移带来的相关的网络扩展问题;
2)网络部署灵活性:在传统网络架构上叠加新的网络,部署方便,同时避免了大二层的广播风暴,可扩展性极强。传统网络转变为Carrier IP承载IP三层网络架构,可靠性更高;
3)适合云业务和传统专线替代:支持千万级别云租户隔离,支持云业务的大规模部署;
4)技术优势:采用MAC in UDP封装方式,无需关注主机的MAC地址,降低了大二层网络对MAC地址规格的需求。
附图说明
图1为本发明的系统架构示意图;
附图标记:1-VxLAN大二层网络,11-VxLAN汇聚设备,12-VxLAN终端设备;2-三层网关,3-用户防火墙;CT-中国电信公众互联网,CN2-中国电信下一代承载互联网,UT-中国联通公众互联网。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本实用新型的一部分实施例,而不是全部实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本实用新型保护的范围。
实施例
实施例
RFC定义了VLAN扩展方案VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)。VXLAN采用MAC in UDP(User Datagram Protocol)封装方式,是NVO3(Network Virtualization over Layer 3)中的一种网络虚拟化技术。VxLAN作为新型的网络隔离技术,在RFC定义中有24比特,支持多达16M(约1600万)用户隔离,有效地解决了云计算中海量用户隔离的问题。
为便于理解,本实施例中的VxLAN网络的相关参数解释如下:
网络标识VNI(VxLAN Network Identifier):类似于传统网络中的VLAN ID,用于区分VXLAN段,不同VxLAN段的租户不能直接进行二层通信。一个租户可以有一个或多个VNI,VNI由24比特组成,支持多达16M的租户。
广播域BD(Bridge Domain):类似传统网络中采用VLAN划分广播域方法,在VxLAN网络中通过BD划分广播域。在VxLAN网络中,将VNI以1:1方式映射到广播域BD,一个BD就表示着一个广播域,同一个BD内的主机就可以进行二层互通。
VxLAN隧道端点VTEP(VxLAN Tunnel Endpoints):VTEP可以对VxLAN报文进行封装和解封装。VxLAN报文中源IP地址为源端VTEP的IP地址,目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VxLAN隧道。在源端封装报文后通过隧道向目的端VTEP发送封装报文,目的端VTEP对接收到的封装报文进行解封装。
本实施例给出了一种基于VxLAN的互联网接入控制系统,所述系统包括VxLAN大二层网络1和三层网关2,通过L2层以太网接口连接;
所述VxLAN大二层网络1包括VxLAN汇聚设备11以及若干个与所述VxLAN汇聚设备11通信连接的VxLAN终端设备12;每个所述VxLAN终端设备12与用户局域网间连接有用户防火墙3。
所述VxLAN终端设备12通过vlan方式与所述用户防火墙3对接。
所述VxLAN终端设备12通过IP广域网与VxLAN汇聚设备11通信连接。
所述三层网关2上配置有VBDIF接口,用于进行VxLAN间互访、VxLAN和非VxLAN之间的通信;所述VBDIF接口为基于Bridge-Domain域创建的三层逻辑接口。
所述系统的报文传输过程具体为:VxLAN终端设备12采用MAC-in-UDP技术将待发送的用户应用层数据报文Payload进行封装,并传输到VxLAN汇聚设备11后进行拆分,并将拆分得到的原始报文输入至三层网关2上,剥离本地端口VLAN后,获得原始用户应用层数据报文。
所述VxLAN报文封装的过程具体为:用户应用层数据报文为Payload,被封装在Inner IP header中,然后再被封装到Inner Ethernet header中,报文到达VxLAN终端设备12后,插入VxLAN header,再被封装到目的端口为UDP4789中,形成Outer UDP header,再依次被封装到Outer IP header和Outer Ethernet header中,通过IP广域网传输到VxLAN汇聚设备11。
所述VxLAN汇聚设备11上建立有VLAN与Bridge-domain域的一对一或多对一映射关系;VxLAN汇聚设备11收到业务侧报文后,根据VLAN与Bridge-domain、Bridge-domain与VNI的对应关系,选择相应的VxLAN隧道进行转发。
本实施例中的基于VxLAN的互联网接入控制系统的接入过程具体为:成功创建VxLAN隧道后,用户端防火墙3WAN口IP地址上ping位于运营商的三层网关2上的VLAN子接口,用户防火墙3上定义一条缺省静态路由到运营商的三层网关2上访问,即访问互联网。
VxLAN隧道由一对VTEP(VxLAN隧道端点)IP地址确定;创建VXLAN隧道实际上是两端VTEP获取对端VTEP IP地址的过程,只要对端VTEP IP地址是三层路由可达的,VXLAN以建立成功。一般小规模网络场景下,创建静态VXLAN隧道。
接下来,结合附图1对本实施例的基于VxLAN的互联网接入控制系统进行详细说明,具体为:
1、部署一套由VxLAN汇聚设备11和若干个VxLAN终端设备12组成的VxLAN大二层网络1;其中:
VxLAN终端设备,一般指放置用户端的VxLAN隧道终结设备;
VxLAN汇聚设备,一般指放置在数据中心或网络边缘的VxLAN隧道终结及汇聚设备。
如图1所示的拓扑图中,VxLAN汇聚设备主要用于汇聚用户VxLAN映射,并和上层的三层网关2(路由器)通过L2层以太网接口封装802.1Q,通过802.1Q VID来区分不同客户。
2、VxLAN终端设备12,通过VLAN方式和客户防火墙3对接。
用户防火墙:指用户自己的安全网关防护设备,用来保护用户内网上网安全的专用设备。
本实施例中,用户防火墙3的WAN接口IP假设为192.168.1.2/24,三层网关2对应的三层子接口IP为192.168.1.1/24;
用户应用层数据报文为Payload,被封装在Inner IP header中,然后再被封装到Inner Ethernet header中,报文到达VxLAN终端设备12后,插入VxLAN header,再被封装到目的端口为UDP4789中,形成Outer UDP header,再依次被封装到Outer IP header和OuterEthernet header中,通过IP广域网传输到VxLAN汇聚设备11。
3、VxLAN数据包到达VxLAN汇聚设备11后,从Outer Ehernet header到Outer IPheader到Outer UDP header再到VxLAN header拆分,获得原始报文,送入到L3-Gateway网络2上,剥离本地端口vlan,获得原始数据报文。然后基于VLAN识别报文所属的VXLAN,再VXLAN汇聚节点上建立VLAN与Bridge-domain域的一对一或多对一映射关系,当VxLAN汇聚设备11收到业务侧报文后,根据VLAN与Bridge-domain以及Bridge-domain与VNI(VxLAN网络标识符)的对应关系,选择相应的VXLAN隧道进行转发。
4、通过Bridge-Domain划分广播域,同一个Bridge-Domain内的主机可以进行二层互通。VxLAN间互访、VxLAN和非VxLAN之间的通信通过VBDIF接口实现。VBDIF接口在三层网关上配置,是基于Bridge-Domain域创建的三层逻辑接口。
5、当VxLAN隧道建立后,从用户端防火墙3的WAN口IP地址192.168.1.2上ping位于运营商三层网关2上的VLAN子接口IP 192.168.1.1,用户防火墙3上定义一条缺省静态路由到运营商三层网关2上访问即可访问互联网。
以上所述,仅为本实用新型的具体实施方式,但本实用新型的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本实用新型的保护范围之内。因此,本实用新型的保护范围应以权利要求的保护范围为准。

Claims (4)

1.一种基于VxLAN的互联网接入控制系统,其特征在于,所述系统包括VxLAN大二层网络(1)和三层网关(2),通过L2层以太网接口连接;
所述VxLAN大二层网络(1)包括VxLAN汇聚设备(11)以及若干个与所述VxLAN汇聚设备(11)通信连接的VxLAN终端设备(12);每个所述VxLAN终端设备(12)与用户局域网间连接有用户防火墙(3)。
2.根据权利要求1所述的一种基于VxLAN的互联网接入控制系统,其特征在于,所述VxLAN终端设备(12)通过vlan方式与所述用户防火墙(3)对接。
3.根据权利要求1所述的一种基于VXLAN的互联网接入控制系统,其特征在于,所述VxLAN终端设备(12)通过IP广域网与VxLAN汇聚设备(11)通信连接。
4.根据权利要求1所述的一种基于VxLAN的互联网接入控制系统,其特征在于,所述三层网关(2)上配置有VBDIF接口,用于进行VxLAN间互访、VxLAN和非VxLAN之间的通信;所述VBDIF接口为基于Bridge-Domain域创建的三层逻辑接口。
CN202222616396.5U 2022-09-30 2022-09-30 一种基于vxlan的互联网接入控制系统 Active CN218920438U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202222616396.5U CN218920438U (zh) 2022-09-30 2022-09-30 一种基于vxlan的互联网接入控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202222616396.5U CN218920438U (zh) 2022-09-30 2022-09-30 一种基于vxlan的互联网接入控制系统

Publications (1)

Publication Number Publication Date
CN218920438U true CN218920438U (zh) 2023-04-25

Family

ID=86010366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202222616396.5U Active CN218920438U (zh) 2022-09-30 2022-09-30 一种基于vxlan的互联网接入控制系统

Country Status (1)

Country Link
CN (1) CN218920438U (zh)

Similar Documents

Publication Publication Date Title
CN104871495B (zh) 用于叠加网络的虚拟叠加网关
US9001829B2 (en) Techniques for routing data between network areas
US8098656B2 (en) Method and apparatus for implementing L2 VPNs on an IP network
JP5830093B2 (ja) 非対称ネットワーク・アドレス・カプセル化
US9225640B2 (en) Intra-domain and inter-domain bridging over MPLS using MAC distribution via border gateway protocol
US9166807B2 (en) Transmission of layer two (L2) multicast traffic over multi-protocol label switching networks
EP1693996B1 (en) Automatic discovery of psuedo-wire peer addresses in ethernet-based networks
EP3782336B1 (en) Multi-vrf universal device internet protocol address for fabric edge devices
WO2009021458A1 (fr) Procédé, appareil et système de connexion d'un réseau de couche 2 à un réseau de couche 3
US10523464B2 (en) Multi-homed access
US20040202199A1 (en) Address resolution in IP interworking layer 2 point-to-point connections
CN107995083B (zh) 实现L2VPN与VxLAN互通的方法、系统及设备
WO2018214809A1 (zh) 消息发送方法及装置、存储介质
WO2015143879A1 (zh) 发送组播报文的方法及交换机
CN106209616B (zh) 一种泛洪抑制方法及装置
WO2008046359A1 (fr) Procédé et appareil destinés à isoler les différents services d'un réseau local virtuel
WO2017157206A1 (zh) 云数据中心互联方法及装置
WO2008037210A1 (fr) Procédé et dispositif servant à transférer un message dans un réseau local privé virtuel
WO2011147342A1 (zh) 交换路由信息的方法、设备和系统
EP3420687A1 (en) Addressing for customer premises lan expansion
CN103685007B (zh) 一种边缘设备报文转发时的mac学习方法及边缘设备
CN218920438U (zh) 一种基于vxlan的互联网接入控制系统
WO2014079208A1 (zh) Trill网络的通信方法及装置、系统
KR20060059877A (ko) 이더넷 접근 시스템에 관한 장치 및 방법
WO2021077991A1 (zh) 报文检测方法、连通性协商关系建立方法以及相关设备

Legal Events

Date Code Title Description
GR01 Patent grant
GR01 Patent grant